Configuración de la PA-200 para el hogar y la pequeña oficina

Configuración de la PA-200 para el hogar y la pequeña oficina

275894
Created On 09/25/18 17:27 PM - Last Modified 06/05/23 20:28 PM


Resolution


Resumen

Este documento proporciona una guía de inicio rápido para un despliegue en casa o en una pequeña oficina.

 

Equipamiento

  • Palo Alto Networks PA-200 dispositivo.
    Nota: otros dispositivos, como el PA-500, se pueden configurar de la misma manera.
  • Módem que asigna una IP pública por DHCP.
  • Router inalámbrico, que típicamente tiene 4 o más puertos LAN y 1 puerto WAN.
  • Tres cables rectos RJ-45 UTP.
    Nota: se recomienda Cat5e o Cat6 para velocidades Gigabit Ethernet (GigE).

 

Topología propuesta

Diagrama sin título (2) (1). jpg

 

Acceda al WebGUI

  1. Conecte un cable UTP desde su ordenador al puerto de administración de Palo Alto Networks Firewall.
  2. Configure el puerto Ethernet de su ordenador para que tenga IP 192.168.1.2 y máscara de red 255.255.255.0. No se requiere una puerta de enlace predeterminada.
  3. Abra un navegador web y vaya a https://192.168.1.1, las credenciales por defecto son: username: admin, password : admin

 

Crear zonas de seguridad

  1. Vaya a: red > Zones y haga clic en Agregar.
  2. Crear 3 zonas:
    • Untrust-L3, escriba layer3
    • Trust-L3, escriba layer3
    • Trust-L2, tipo Layer2
      Pantalla + Shot + 2014-10-16 + en + 3.31.59 + PM. png
      Pantalla + Shot + 2014-10-16 + en + 3.34.26 + PM. png
      Pantalla + Shot + 2014-10-16 + en + 3.35.00 + PM. png

En el ejemplo se muestra la configuración resultante:

Pantalla Shot 2014-10-16 en 3.36.18 PM 1. png

 

Conecte el módem del ISP al cortafuegos

Conecte un cable UTP desde el módem del ISP al cortafuegos de Palo Alto Networks, Port ethernet1/1.

  1. Ir a la red > interfaces en el WebGUI y configurar Ethernet 1/1.
  2. En config
    • Configure el tipo de interfaz ethernet1/1 como layer3.
    • Configure el enrutador virtual en default.
    • Establezca la zona de seguridad en Untrust-L3.
      Screen Shot 2014-10-13 en 5.18.55 PM. png
  3. Bajo IPv4
    • Si el ISP proporciona un módem desde el que se puede obtener la configuración automáticamente, defina el tipo como cliente DHCP.
      Nota: cuando "crea automáticamente la ruta predeterminada que apunta a la puerta de enlace predeterminada proporcionada por el servidor" está activada, una ruta predeterminada se instala en el enrutador virtual, ' default '.
      Screen Shot 2014-10-13 en 5.17.13 PM. png
    • Si el ISP proporciona un módem que requiere la configuración manual de entradas estáticas, configure el tipo como estático. A continuación, añada la dirección IP estática/máscara de máscaras.
      Por ejemplo:
      Screen Shot 2015-04-30 en 2.39.22 PM. png
      a continuación, vaya a la red > enrutadores virtuales > ' default ' > rutas estáticas > IPv4 y añadir una ruta estática que apunta al siguiente salto del ISP.
      Por ejemplo:
      Screen Shot 2015-04-30 en 2.40.42 PM. png

Nota: las direcciones IP mostradas en las capturas de pantallas son sólo ejemplos. Utilice las direcciones IP asignadas por el ISP.

 

Conectar el router inalámbrico

Recomendaciones generales:

  • Para evitar una doble SNAT, no utilice el puerto de Internet WAN'or del router inalámbrico, utilizándolo en un Point'mode de acceso inalámbrico.
  • La opción del servidor DHCP en el enrutador inalámbrico debe estar desactivada. El nuevo servidor DHCP se configurará en la interfaz ' VLAN ' del cortafuegos.
  • Configure 192.168.1.253 como IP de administración de enrutadores inalámbricos.
  • Conecte el puerto 1 del router inalámbrico al puerto Ethernet 1/2 de Palo Alto Networks Firewall.

 

Crear un objeto VLAN

  1. Ir a red > VLANs y haga clic en Agregar.
  2. Introduzca un nombre y seleccione ' v ' para la interfaz de VLAN
    Screen Shot 2014-10-17 en 3.47.32 PM. png

 

Configurar los puertos Layer2 y el objeto VLAN

  1. Ir a la red > interfaces > Ethernet.
  2. Edite los siguientes ajustes para las interfaces ethernet1/2, ethernet1/3 y ethernet1/4:
    • Tipo de interfaz: Layer2
    • NetFlow perfil: None
    • VLAN: objeto VLAN
    • Zona de seguridad: Trust-L2
      Screen Shot 2014-10-15 en 4.19.03 PM. png
      Screen Shot 2015-04-30 en 4.12.18 PM. png
      Screen Shot 2015-04-30 en 4.12.32 PM. png

 

Configurar la interfaz de VLAN

Ir a la red > interfaces > VLAN y eDIT los siguientes ajustes :

Ficha config

  • VLAN: objeto VLAN
  • Enrutador virtual: predeterminado
  • Zona de seguridad: Trust-L3
    Screen Shot 2014-10-15 en 4.21.25 PM. png

Ficha IPv4

Haga clic en Agregar e ingrese la dirección IP 192.168.1.254/24:
Screen Shot 2014-10-17 en 3.51.11 PM. png

 

Configurar el servidor DHCP

  1. Ir a la red > DHCP servidor DHCP.
  2. Haga clic en Agregar.
  3. Edite la configuración del servidor DHCP, como se muestra:
    • Si el ISP proporciona un módem donde la configuración se puede obtener automáticamente, entonces el servidor DHCP puede heredar la configuración que fue recibida originalmente por el cliente DHCP desde el ISP. A continuación, configurar un origen de herencia, con la configuración obtenida del ISP que queremos pasar a la red local.
      Screen Shot 2015-04-30 en 3.53.41 PM. png
    • Si el ISP proporciona un módem que requiere la configuración manual de entradas estáticas, especifique la configuración de la red local.
      Nota: los servidores públicos de Google DNS 8.8.8.8 y 8.8.4.4 se utilizan aquí como ejemplo. Sin embargo, recomendamos utilizar los servidores DNS proporcionados por el ISP.
      Screen Shot 2015-04-30 en 3.56.33 PM. png

 

Definir un grupo de perfiles de seguridad

  1. Ir a objetos > grupos de Perfil de seguridad y haga clic en Agregar.
  2. Edite las siguientes configuraciones de grupo de Perfil de seguridad como desee:
    Screen Shot 2014-10-15 en 4.37.27 PM. png
    Nota: estos perfiles son los que vienen por defecto con el cortafuegos de Palo Alto Networks y han sido seleccionados para propósitos de demostración. Le recomendamos que tome su tiempo para revisar si los ajustes de cada uno de los perfiles seleccionados son apropiados para su configuración.

 

Configurar la Directiva de seguridad de Internet saliente

  1. Ir a directivas > seguridad y haga clic en Agregar.
  2. Introduzca un nombre y una descripción:
    Screen Shot 2014-10-15 en 4.35.55 PM. png
  3. Agregue la zona de origen:
    Screen Shot 2014-10-15 en 4.36.08 PM. png
  4. Agregar la zona de destino:
    Screen Shot 2014-10-15 en 4.36.22 PM. png
  5. Especifique la acción como permitir y completar la configuración del perfil:
    Screen Shot 2014-10-15 en 4.36.43 PM. png

 

Configurar la Directiva de NAT de Internet saliente

  1. Vaya a directivas > NAT y haga clic en Agregar.
  2. Escriba un nombre y marque IPv4 para el tipo NAT:
    Screen Shot 2014-10-15 en 4.49.09 PM. png
  3. En el paquete original, especifique la zona de origen, la zona de destino y la interfaz de destino:
    Screen Shot 2014-10-15 en 4.49.28 PM. png
  4. En el paquete traducido, fije:
    • Tipo de traducción: IP y Puerto dinámicos
    • Tipo de dirección: dirección de interfaz
    • Interfaz: ethernet1/1
      Screen Shot 2014-10-15 en 4.49.36 PM. png

 

Configurar la IP de MGMT

Ir al dispositivo > configuración > administración y especificar la siguiente configuración de la interfaz de administración:

  • Dirección IP
  • Netmask
  • Puerta de enlace predeterminada
    Screen Shot 2014-10-17 en 3.55.14 PM. png

 

Establecer DNS para MGMT

  1. Ir al dispositivo > Setup > servicios.
  2. Ingrese el servidor DNS IPs. Por ejemplo: Google DNS IP 8.8.8.8 y 8.8.4.4.
    Nota: esto ya debería haber sido configurado para instalar licencias en el dispositivo. Si las licencias no han sido instaladas en el dispositivo, entonces el Firewall no podrá llegar al servidor de licencias con estas configuraciones.
    Screen Shot 2014-10-17 en 3.56.54 PM. png

Confirmar los cambios

Realice una confirmación para que los cambios se activen como configuración en ejecución en el cortafuegos. Es posible que sea necesario reiniciar el módem de Internet para que asigne una dirección DHCP al cortafuegos.

 

Propietario: mivald
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFkCAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language