Configuración de la PA-200 para el hogar y la pequeña oficina
Resolution
Resumen
Este documento proporciona una guía de inicio rápido para un despliegue en casa o en una pequeña oficina.
Equipamiento
- Palo Alto Networks PA-200 dispositivo.
Nota: otros dispositivos, como el PA-500, se pueden configurar de la misma manera. - Módem que asigna una IP pública por DHCP.
- Router inalámbrico, que típicamente tiene 4 o más puertos LAN y 1 puerto WAN.
- Tres cables rectos RJ-45 UTP.
Nota: se recomienda Cat5e o Cat6 para velocidades Gigabit Ethernet (GigE).
Topología propuesta
Acceda al WebGUI
- Conecte un cable UTP desde su ordenador al puerto de administración de Palo Alto Networks Firewall.
- Configure el puerto Ethernet de su ordenador para que tenga IP 192.168.1.2 y máscara de red 255.255.255.0. No se requiere una puerta de enlace predeterminada.
- Abra un navegador web y vaya a https://192.168.1.1, las credenciales por defecto son: username: admin, password : admin
Crear zonas de seguridad
- Vaya a: red > Zones y haga clic en Agregar.
- Crear 3 zonas:
- Untrust-L3, escriba layer3
- Trust-L3, escriba layer3
- Trust-L2, tipo Layer2
En el ejemplo se muestra la configuración resultante:
Conecte el módem del ISP al cortafuegos
Conecte un cable UTP desde el módem del ISP al cortafuegos de Palo Alto Networks, Port ethernet1/1.
- Ir a la red > interfaces en el WebGUI y configurar Ethernet 1/1.
- En config
- Configure el tipo de interfaz ethernet1/1 como layer3.
- Configure el enrutador virtual en default.
- Establezca la zona de seguridad en Untrust-L3.
- Bajo IPv4
- Si el ISP proporciona un módem desde el que se puede obtener la configuración automáticamente, defina el tipo como cliente DHCP.
Nota: cuando "crea automáticamente la ruta predeterminada que apunta a la puerta de enlace predeterminada proporcionada por el servidor" está activada, una ruta predeterminada se instala en el enrutador virtual, ' default '. - Si el ISP proporciona un módem que requiere la configuración manual de entradas estáticas, configure el tipo como estático. A continuación, añada la dirección IP estática/máscara de máscaras.
Por ejemplo:
a continuación, vaya a la red > enrutadores virtuales > ' default ' > rutas estáticas > IPv4 y añadir una ruta estática que apunta al siguiente salto del ISP.
Por ejemplo:
- Si el ISP proporciona un módem desde el que se puede obtener la configuración automáticamente, defina el tipo como cliente DHCP.
Nota: las direcciones IP mostradas en las capturas de pantallas son sólo ejemplos. Utilice las direcciones IP asignadas por el ISP.
Conectar el router inalámbrico
Recomendaciones generales:
- Para evitar una doble SNAT, no utilice el puerto de Internet WAN'or del router inalámbrico, utilizándolo en un Point'mode de acceso inalámbrico.
- La opción del servidor DHCP en el enrutador inalámbrico debe estar desactivada. El nuevo servidor DHCP se configurará en la interfaz ' VLAN ' del cortafuegos.
- Configure 192.168.1.253 como IP de administración de enrutadores inalámbricos.
- Conecte el puerto 1 del router inalámbrico al puerto Ethernet 1/2 de Palo Alto Networks Firewall.
Crear un objeto VLAN
- Ir a red > VLANs y haga clic en Agregar.
- Introduzca un nombre y seleccione ' v ' para la interfaz de VLAN
Configurar los puertos Layer2 y el objeto VLAN
- Ir a la red > interfaces > Ethernet.
- Edite los siguientes ajustes para las interfaces ethernet1/2, ethernet1/3 y ethernet1/4:
- Tipo de interfaz: Layer2
- NetFlow perfil: None
- VLAN: objeto VLAN
- Zona de seguridad: Trust-L2
Configurar la interfaz de VLAN
Ir a la red > interfaces > VLAN y eDIT los siguientes ajustes :
Ficha config
- VLAN: objeto VLAN
- Enrutador virtual: predeterminado
- Zona de seguridad: Trust-L3
Ficha IPv4
Haga clic en Agregar e ingrese la dirección IP 192.168.1.254/24:
Configurar el servidor DHCP
- Ir a la red > DHCP servidor DHCP.
- Haga clic en Agregar.
- Edite la configuración del servidor DHCP, como se muestra:
- Si el ISP proporciona un módem donde la configuración se puede obtener automáticamente, entonces el servidor DHCP puede heredar la configuración que fue recibida originalmente por el cliente DHCP desde el ISP. A continuación, configurar un origen de herencia, con la configuración obtenida del ISP que queremos pasar a la red local.
- Si el ISP proporciona un módem que requiere la configuración manual de entradas estáticas, especifique la configuración de la red local.
Nota: los servidores públicos de Google DNS 8.8.8.8 y 8.8.4.4 se utilizan aquí como ejemplo. Sin embargo, recomendamos utilizar los servidores DNS proporcionados por el ISP.
Definir un grupo de perfiles de seguridad
- Ir a objetos > grupos de Perfil de seguridad y haga clic en Agregar.
- Edite las siguientes configuraciones de grupo de Perfil de seguridad como desee:
Nota: estos perfiles son los que vienen por defecto con el cortafuegos de Palo Alto Networks y han sido seleccionados para propósitos de demostración. Le recomendamos que tome su tiempo para revisar si los ajustes de cada uno de los perfiles seleccionados son apropiados para su configuración.
Configurar la Directiva de seguridad de Internet saliente
- Ir a directivas > seguridad y haga clic en Agregar.
- Introduzca un nombre y una descripción:
- Agregue la zona de origen:
- Agregar la zona de destino:
- Especifique la acción como permitir y completar la configuración del perfil:
Configurar la Directiva de NAT de Internet saliente
- Vaya a directivas > NAT y haga clic en Agregar.
- Escriba un nombre y marque IPv4 para el tipo NAT:
- En el paquete original, especifique la zona de origen, la zona de destino y la interfaz de destino:
- En el paquete traducido, fije:
- Tipo de traducción: IP y Puerto dinámicos
- Tipo de dirección: dirección de interfaz
- Interfaz: ethernet1/1
Configurar la IP de MGMT
Ir al dispositivo > configuración > administración y especificar la siguiente configuración de la interfaz de administración:
- Dirección IP
- Netmask
- Puerta de enlace predeterminada
Establecer DNS para MGMT
- Ir al dispositivo > Setup > servicios.
- Ingrese el servidor DNS IPs. Por ejemplo: Google DNS IP 8.8.8.8 y 8.8.4.4.
Nota: esto ya debería haber sido configurado para instalar licencias en el dispositivo. Si las licencias no han sido instaladas en el dispositivo, entonces el Firewall no podrá llegar al servidor de licencias con estas configuraciones.
Confirmar los cambios
Realice una confirmación para que los cambios se activen como configuración en ejecución en el cortafuegos. Es posible que sea necesario reiniciar el módem de Internet para que asigne una dirección DHCP al cortafuegos.
Propietario: mivald