Installation du PA-200 pour la maison et le petit bureau
Resolution
Vue d’ensemble
Ce document fournit un guide de démarrage rapide pour un déploiement à domicile ou dans un petit bureau.
Équipement
- Palo Alto Networks PA-200 dispositif.
Remarque: d'autres périphériques, tels que le PA-500, peuvent être configurés de la même manière. - Modem qui affecte une adresse IP publique par DHCP.
- Routeur sans fil, qui a généralement 4 ports LAN ou plus et 1 port WAN.
- Trois câbles RJ-45 UTP rectilignes.
Remarque: CAT5 ou CAT6 est recommandé pour les vitesses Gigabit Ethernet (GigE).
Topologie proposée
Accédez au WebGUI
- Branchez un câble UTP de votre ordinateur au port Mgmt du pare-feu de Palo Alto Networks.
- Configurez le port Ethernet de votre ordinateur pour avoir 192.168.1.2 IP et le masque de réseau 255.255.255.0. UNE passerelle par défaut n'est pas requise.
- Ouvrez un navigateur Web et aller à https://192.168.1.1, les informations d'identification par défaut sont: nom d'utilisateur: admin , mot de passe: admin
Créer des zones de sécurité
- Accédez à: Network > zones et cliquez sur Ajouter.
- Créer 3 zones:
- Untrust-L3, tapez Layer3
- Trust-L3, tapez Layer3
- Trust-L2, tapez layer2
L'exemple montre la configuration résultante:
Connectez le modem ISP au pare-feu
Branchez un câble UTP du modem ISP au pare-feu de Palo Alto Networks, port ethernet1/1.
- Accédez au réseau > interfaces sur le WebGUI et configurez Ethernet 1/1.
- Sur config
- Configurez le type d'Interface ethernet1/1 en tant que Layer3.
- Définissez le routeur virtuel sur default.
- Définissez la zone de sécurité sur non-confiance-L3.
- Sous IPv4
- Si le FAI fournit un modem à partir duquel la configuration peut être obtenue automatiquement, définissez le type comme client DHCP.
Remarque: lorsque "créer automatiquement la route par défaut pointant vers la passerelle par défaut fournie par le serveur" est activé, un itinéraire par défaut est installé dans le routeur virtuel, 'default'. - Si le FAI fournit un modem nécessitant une configuration manuelle des entrées statiques, définissez le type comme static. Ensuite, ajoutez l'adresse IP statique/masque de réseau.
Par exemple:
ensuite, allez sur le réseau > routeurs virtuels > 'default' > routes statiques > IPv4 et ajouter un itinéraire statique pointant vers le prochain saut du FAI.
Par exemple:
- Si le FAI fournit un modem à partir duquel la configuration peut être obtenue automatiquement, définissez le type comme client DHCP.
Remarque: les adresses IP affichées dans les captures d'écran ne sont que des exemples. Utiliser les adresses IP attribuées par le FAI.
Connectez le routeur sans fil
Recommandations générales:
- Pour éviter un double-SNAT, N'utilisez pas le port Internet WAN'or du routeur sans fil, ce qui l'utilise dans un Point'mode D'Accès sans fil.
- L'option serveur DHCP du routeur sans fil doit être désactivée. Le nouveau serveur DHCP sera configuré dans l'interface «VLAN» du pare-feu.
- Configurez 192.168.1.253 comme IP de gestion du routeur sans fil.
- Connectez le port 1 du routeur sans fil au port Ethernet 1/2 du pare-feu de Palo Alto Networks.
Créer un objet VLAN
- Accédez au réseau > VLAN et cliquez sur Ajouter.
- Entrez un nom et sélectionnez'v'pour l'Interface VLAN
Configurer les ports Layer2 et l'Objet VLAN
- Allez dans le réseau > interfaces > Ethernet.
- Modifiez les paramètres suivants pour les interfaces ethernet1/2, ethernet1/3 et ethernet1/4:
- Type d'Interface: layer2
- Profil NetFlow: aucun
- VLAN: objet VLAN
- Zone de sécurité: Trust-L2
Configurer l'Interface VLAN
Allez dans le réseau > interfaces > VLAN et edit les paramètres suivants :
Onglet config
- VLAN: objet VLAN
- Routeur virtuel: par défaut
- Zone de sécurité: Trust-L3
Onglet IPv4
Cliquez sur Ajouter et entrez l'adresse IP 192.168.1.254/24:
Configurer le serveur DHCP
- Allez au réseau > DHCP > DHCP Server.
- Cliquez sur ajouter.
- Modifier les paramètres du serveur DHCP, comme illustré:
- Si le FAI fournit un modem où la configuration peut être obtenue automatiquement, le serveur DHCP peut hériter de la configuration qui a été initialement reçue par le client DHCP à partir du FAI. Nous allons ensuite configurer une source d'Héritage, avec les paramètres obtenus à partir du FAI, nous voulons passer le long du réseau local.
- Si le FAI fournit un modem nécessitant la configuration manuelle d'entrées statiques, spécifiez les paramètres du réseau local.
Remarque: les serveurs DNS publics Google 8.8.8.8 et 8.8.4.4 sont utilisés ici comme exemple. Toutefois, nous vous conseillons d'utiliser les serveurs DNS fournis par le FAI.
Définir un groupe de profils de sécurité
- Allez dans objets > groupes de profils de sécurité et cliquez sur Ajouter.
- Modifiez les paramètres de groupe de profils de sécurité suivants comme désiré:
Remarque: ces profils sont ceux qui viennent par défaut avec le pare-feu de Palo Alto Networks et ont été sélectionnés à des fins de démonstration. Nous vous conseillons de prendre votre temps pour vérifier si les paramètres de chacun des profils sélectionnés présentés conviennent à votre configuration.
Configurer la stratégie de sécurité Internet sortant
- Accédez à stratégies > sécurité et cliquez sur Ajouter.
- Entrez un nom et une description:
- Ajouter la zone source:
- Ajouter la zone de destination:
- Spécifiez l'action comme autoriser et complétez le paramètre de profil:
Configurer la stratégie NAT Internet sortant
- Allez dans stratégies > NAT et cliquez sur Ajouter.
- Entrez un nom et vérifiez IPv4 pour le type NAT:
- Sur le paquet d'origine, spécifiez la zone source, la zone de destination et l'Interface de destination:
- Sur le paquet traduit, ensemble:
- Type de traduction: IP dynamique et port
- Type d'Adresse: adresse de l'Interface
- Interface: ethernet1/1
Configurer l'IP MGMT
Accédez à Device > Setup > Management et spécifiez les paramètres d'Interface de gestion suivants:
- Adresse IP
- Netmask
- Passerelle par défaut
Définir DNS pour MGMT
- Allez à l'Appareil > Setup > services.
- Entrez le serveur DNS IPs. Par exemple: Google DNS IP 8.8.8.8 et 8.8.4.4.
Remarque: cela aurait déjà dû être configuré pour installer des licences sur l'appareil. Si les licences n'ont pas été installées sur le périphérique, le pare-feu ne sera pas en mesure d'atteindre le serveur de licences avec ces paramètres.
Valider les modifications
Effectuez une validation pour que les modifications soient actives en tant que configuration en cours d'exécution sur le pare-feu. Il se peut que le modem Internet doive être redémarré afin qu'il puisse affecter une adresse DHCP au pare-feu.
propriétaire: mivald