ホームおよびスモールオフィス用の PA-200 のセットアップ

概要

このドキュメントでは、ホームまたは小規模オフィスの展開に関するクイックスタートガイドを提供します。

備品

• パロアルトネットワーク PA-200 デバイス。
  メモ: PA-500 などのその他のデバイスは、同じ方法で設定できます。
• DHCP によってパブリック IP を割り当てるモデム。
• 通常、4つ以上の LAN ポートと1つの WAN ポートを備えたワイヤレスルーター。
• 3つのストレートスルー RJ-45 UTP ケーブル。
  メモ:ギガビットイーサネット (GigE) の速度に CAT5e または CAT6 をお勧めします。

提案されたトポロジー

WebGUI へのアクセス

1. UTP ケーブルをコンピュータからパロアルトネットワークファイアウォールの管理ポートに接続します。
2. コンピュータのイーサネットポートに IP 192.168.1.2 とネットマスク255.255.255.0 を設定します。デフォルトゲートウェイは必要ありません。
3. web ブラウザを開き、https://192.168.1.1 に移動すると 、デフォルトの資格情報があります: ユーザー名 : 管理者、パスワード: 管理者

セキュリティゾーンの作成

1. 「ネットワーク」 > 「ゾーン」に移動し、「追加」をクリックします。
2. 3つのゾーンを作成:
   • Untrust-L3 型 Layer3
   • トラスト-L3 型 Layer3
   • トラスト-L2、タイプ Layer2
     
     
     

この例は、結果の構成を示しています。

ISP モデムをファイアウォールに接続する

ISP モデムからの UTP ケーブルをパロ・アルト・ネットワーク・ファイアウォール、ポート ethernet1/1 に接続します。

1. WebGUI のネットワーク > インターフェイスに移動し、イーサネット1/1 を設定します。
2. 設定で
   • ethernet1/1 インターフェイスの種類を Layer3 として構成します。
   • 仮想ルーターを既定に設定します。
   • セキュリティゾーンを Untrust-L3 に設定します。
     
3. [IPv4
   • ISP が、構成を自動的に取得できるモデムを提供している場合は、その種類を DHCP クライアントとして設定します。
     注: 「サーバから提供されるデフォルトゲートウェイを指すデフォルトルートを自動的に作成する」が有効になっている場合、デフォルトのルートは仮想ルータ ' default ' にインストールされます。
     
   • ISP が、静的エントリを手動で構成する必要があるモデムを提供している場合は、型を static として設定します。次に、静的 IP アドレス/ネットマスクを追加します。
     たとえば
     
     、次に、[ネットワーク] > [仮想ルーター] > [既定] > [静的ルート] > [IPv4] に移動し、ISP の次ホップを指す静的ルートを追加します。
     例:
     

注:スクリーンショットに示されている IP アドレスは例です。ISP によって割り当てられた IP アドレスを使用します。

ワイヤレスルータを接続する

一般的な推奨事項:

• SNAT を回避するには、ワイヤレスルータの WAN'or インターネットポートを使用せず、ワイヤレスアクセス Point'mode で使用してください。
• ワイヤレスルーターの DHCP サーバーオプションを無効にする必要があります。新しい DHCP サーバーは、ファイアウォールの ' vlan ' インターフェイスで構成されます。
• ワイヤレスルーター管理 IP として192.168.1.253 を構成します。
• ワイヤレスルーターのポート1をパロアルトネットワークファイアウォールのイーサネット1/2 ポートに接続します。

VLAN オブジェクトを作成する

1. [ネットワーク] > [vlan] に移動し、[追加] をクリックします。
2. 名前を入力し、VLAN インターフェイスのための ' v ' を選択してください
   

Layer2 ポートと VLAN オブジェクトを構成する

1. ネットワーク > インタフェース > イーサネットに移動します。
2. ethernet1/2、ethernet1/3 および ethernet1/4 インタフェースの次の設定を編集します。
   • インターフェイスの種類: Layer2
   • Netflow プロファイル: なし
   • vlan: vlan オブジェクト
   • セキュリティゾーン: トラスト-L2
     
     
     

VLAN インタフェースの設定

[ネットワーク] > [インターフェイス] > [VLAN] および [e dit] に移動し、次の設定を行います。

設定タブ

• vlan: vlan オブジェクト
• 仮想ルーター: 既定
• セキュリティゾーン: トラスト-L3
  

[IPv4] タブ

[追加] をクリックし、IP アドレス 192.168.1.254/24 を入力します。

DHCP サーバーを構成する

1. ネットワーク > dhcp > dhcp サーバーに移動します。
2. [追加] をクリックします。
3. 次に示すように、DHCP サーバーの設定を編集します。

• isp が、構成を自動的に取得できるモデムを提供している場合、dhcp サーバーは、dhcp クライアントが最初に受信した構成を isp から継承できます。次に、ローカルネットワークに渡す ISP から取得した設定を使用して、継承元を構成します。
  
• ISP が静的エントリを手動で構成する必要があるモデムを提供している場合は、ローカルネットワークの設定を指定します。
  注:公共の Google の DNS サーバー8.8.8.8 および8.8.4.4 は例としてここに使用される。ただし、ISP から提供された DNS サーバーを使用することをお勧めします。
  

セキュリティプロファイルグループの定義

1. [オブジェクト] > [セキュリティプロファイルグループ] に移動し、[追加] をクリックします。
2. 必要に応じて、次のセキュリティプロファイルグループの設定を編集します。
   
   注:これらのプロファイルは、デフォルトでは、パロアルトネットワークファイアウォールで来て、デモンストレーションの目的のために選択されているものです。選択した各プロファイルの設定がセットアップに適しているかどうかを確認するのに時間がかかることをお勧めします。

送信インターネットセキュリティポリシーを構成する

1. [ポリシー] > [セキュリティ] に移動し、[追加] をクリックします。
2. 名前と説明を入力してください:
   
3. ソースゾーンを追加します。
   
4. 宛先ゾーンを追加します。
   
5. アクションを [許可] として指定し、プロファイル設定を完了します。
   

送信インターネット NAT ポリシーを構成する

1. [ポリシー] > [NAT] に移動し、[追加] をクリックします。
2. 名前を入力し、NAT タイプの IPv4 をチェックします。
   
3. 元のパケットで、ソースゾーン、デスティネーションゾーン、およびデスティネーションインタフェースを指定します。
   
4. 翻訳されたパケットで、セット:
   • 翻訳の種類: 動的 IP およびポート
   • アドレスの種類: インターフェイスアドレス
   • インターフェイス: ethernet1/1
     

管理 IP を構成する

[デバイス] > [セットアップ] > [管理] に移動し、次の管理インターフェイス設定を指定します。

• IP アドレス
• ネットマスク
• デフォルト ゲートウェイ
  

DNS を管理用に設定する

1. [デバイス] > [セットアップ] > [サービス] に移動します。
2. DNS サーバーの ip アドレスを入力します。たとえば: Google の DNS の IP の8.8.8.8 と8.8.4.4。
   注:これは既にデバイスにライセンスをインストールするように構成されている必要があります。ライセンスがデバイスにインストールされていない場合、ファイアウォールはこれらの設定を使用してライセンスサーバーに到達できません。
   

変更をコミットする

コミットを実行して、ファイアウォールで実行中の構成として変更をアクティブにします。DHCP アドレスをファイアウォールに割り当てるためには、インターネットモデムを再起動する必要があります。

所有者: mivald