Getting Started: Ihre Firewall einrichten

Getting Started: Ihre Firewall einrichten

294563
Created On 09/25/18 18:56 PM - Last Modified 01/16/20 08:35 AM


Resolution


Ich habe meine Firewall ausgepackt was nun?

 

Nach dem unboxing der brandneuen Palo Alto Networks Firewall, oder nach einem Factory-Reset ist das Gerät in einem leeren Zustand mit nichts aber die minimale Konfiguration und ein Software-Image, das in der Fabrik installiert ist. Wohin gehen Sie von hier? Unsere erste Tranche in der neuen Getting Started-Serie führt Sie durch die allerersten Phasen der Vorbereitung Ihrer Firewall für den Betrieb. 

 
Wir werden werfen einen Blick auf gewusst wie: Herstellen einer Verbindung mit der Firewall zum ersten Mal, wie Sie Lizenzen einrichten, damit Sie neue Software und Inhalte herunterladen können und wie Sie Ihre ersten Sicherheitsrichtlinie vorbereiten.

 

Das erste, was, das Sie konfigurieren wollen, ist die Management-IP-Adresse, die später Ihr neues Gerät einrichten weiter erleichtert.

 

1. Ersteinrichtung

 

Die zwei Methoden zur Verfügung, um auf das neue Gerät zu verbinden ist entweder ein Netzwerkkabel verwenden, auf den Management-Port oder eine Ethernet-zu-Db-9 Konsolenkabel.

 

2016-09-12_11-32-50.jpg

 

Wenn Sie den Management- Port verwenden, muss die Workstation, die Sie verwenden werden, neu konfiguriert werden, so dass Ihre Netzwerkschnittstelle eine IP-Adresse im IP-Bereich 192.168.1.0/24 hat, da die Standard-IP des Management-Ports 192.168.1.1 wird.

 

2015-10-14_11-36-51.png

 

Wenn Sie ein Konsolen Kabel verwenden, setzen Sie den Terminal-Emulator auf 9600Baud, 8 Datenbits, 1 Stopp-Bit, Parität None, VT100. Wenn Sie PuTTY verwenden, sollte es mit der entsprechenden Konfiguration kommen, wenn der Verbindungstyp auf seriell eingestellt ist.

 

Schließen Sie nach der Vorbereitung der Kabel und der Arbeitsstation das Gerät an eine Steckdose an und schauen Sie die Firewall-Boot up.

Die Konsole gibt die Boot-Reihenfolge:

 

                Willkommen bei PanOS
Starting udev: [OK]
Einstell Uhr (UTC): Mi Oct 14 11:10: 53 PDT 2015 [OK]
Einstellung Hostname 200: [OK] über
Prüfung von dateiSystemen:
 Running File Systemcheck auf sysroot0: [OK]
 Running File Systemcheck auf PANCFG: [OK]
 Running File Systemcheck on panrepo: [OK]
[OK]
Wiedermontage von root filesys tem im Lese-und Schreibmodus: [OK] die
Aktivierung von/etc/fstab Swaps: [OK]
Init: Eingabe von Runlevel: 3
Eingabe von nicht-interaktiven Startup-
Start-Networking: [OK]
Startsystem Logger: [OK]
Start des Kernel-Loggers: [OK]
.   ...

 

Nachdem das Gerät gestartet wird, eine Login-Prompt erscheint in der Konsolenverbindung und SSH oder SSL-Verbindungen auf 192.168.1.1 erfolgen können.

 

Der Konsole / SSH werde in Schritt 1.1 hervorzuheben. und die grafische Benutzeroberfläche oder GUI in Schritt 1.2.

 

    1.1. Konsole und SSH Verbindung

2015-10-14_11-40-51.png

 

Der Standard-Benutzername und das Passwort sind admin/admin, also werden wir weitermachen und uns einloggen, um das CLI zu enthüllen. Von hier aus beginnen wir Einrichten der richtigen IP-Adresse und Subnetzmaske für das Gerät und das Standard-Gateway und DNS-Einstellungen, so dass das Gerät Updates später abholen kann.

 

Login as: admin
mit Tastatur-interaktive Authentifizierung.
 Passwort:
Letztes Login: Mi Oct 14 11:57:  16 2015 von 192.168.1.168
Warning: Ihr Gerät ist immer noch mit den Standard-Admin-Konto-Berechtigungen konfiguriert. Bitte ändern Sie Ihr Passwort vor dem Einsatz. 
Admin @ PA-200 > konfigurieren Sie den
Konfigurations Modus
[Bearbeiten]
Admin @ PA-200 # Set DeviceConfig System IP-Adresse 10.0.0.10 Netzmaske 255.255.255.0 Default-Gateway 10.0.0.1 DNS-Einstellung Server Primary 4.2.2.2

 

Verwenden Sie den Commit- Befehl, um die neuen Einstellungen auf das System anzuwenden.  

admin @ PA-200 # Commit


...................... 55%... 60% 75%. 99%........... 100%
Konfiguration erfolgreich

[Bearbeiten]

An dieser Stelle verlierst du SSH und SSL-Zugriff auf das Gerät, da die IP-Adresse geändert wurde und der Management-Dienst neu gestartet, um diese Änderungen anzunehmen. Jetzt müssen Sie sich wieder mit der neuen IP-Adresse verbinden— überspringen Sie bitte denSchritt 1,3.

 

1.2. Ersteinrichtung der Web-Schnittstelle

 

Wenn Sie Ihre erste Verbindung zum Web-Interface, kann Ihr Browser eine Fehlermeldung anzeigen. Dies ist da das Zertifikat durch das Web-Interface verwendet ein selbstsigniertes Zertifikat handelt, die, das ihr Browser nicht traut. Sie können die Fehlermeldung zu diesem Zeitpunkt ignorieren führt dann Sie zum Login-Bildschirm:

 

2015-10-14_12-15-44.png

2015-10-14_12-16-44.png

Loggen Sie sich ein, verwenden Sie den Standard-Benutzernamen und Passwort -admin/admin und Navigieren Sie dann zum Device-Tab. Wählen Sie Setup auf der linken Seite und dann Management, wo Sie das Management Interface-Einstellungen ändern können:

 

2016-09-12_11-39-13.jpg

Ändern Sie die Konfiguration der Netzwerkschnittstelle, und klicken Sie auf "OK".

2016-09-12_11-41-50.jpg

 

Als nächstes wählen Sie die Registerkarte "Dienste" und konfigurieren Sie einen DNS-Server.

2016-09-12_11-43-18.jpg

 

2016-09-12_11-44-14.jpg

Um diesen Schritt abzuschließen und Änderungen zuweisen, das Gerät, klicken Sie oben rechts auf Commit:

 

2016-09-12_11-45-30.jpg

2016-09-12_11-46-13.jpg

Nachdem die Übertragung abgeschlossen ist, Timeout Browser schließlich wie die IP-Adresse geändert hat, müssen Sie manuell ändern Sie die Adresse in der Adressleiste, um die neue IP-Adresse zu verbinden.

 

1.3 Ende des ersten Schritts

 

Die Firewall ist jetzt konfiguriert, eine korrekte IP-Adresse arbeiten in Ihrem LAN-Netzwerk, so gehen Sie vor und schließen die Kabel:

 

  • Schnittstelle 1 mit dem Router verbinden
  • Schnittstelle 2 an den Schalter anschließen
  • Managment (Mgmt) Schnittstelle an den Schalter anschließen

Sollte man sich auf die Management-IP aus dem Netzwerk zu verbinden, und sollte man in der Lage, mit dem Internet zu surfen.

 

2015-10-14_13-17-29.png

 

2. Vorbereitung der Lizenzen und Aktualisierung des Systems

 

Um Inhalte und Anwendungs-Updates oder Software-Upgrades herunterladen zu können, muss das System lizenziert werden. Verschiedene Lizenzen steuern die verschiedenen Funktionen des Systems, so dass die

 

  • Support -Lizenz berechtigt das System zu Software und AppID-Updates
  • Die Verhütungs Lizenz fügt Viren, Bedrohungen und Malware-Signaturen hinzu
  • URL- Lizenz ermöglicht URL-Kategorien für den Einsatz in Sicherheitsrichtlinien

Wenn das Gerät noch nicht auf dem Support-Portal registriert ist, folgen Sie bitte diesen Schritten, um das Gerät zu registrieren: wie Sie ein Palo Alto Networks-Gerät, Ersatz, fallen oder VM-Serie auth -Code registrieren

 

Navigieren Sie zu der Registerkarte "Gerät" und wählen Sie im linken Bereich Lizenzen:

 

Wenn das Gerät mit der obigen Methode registriert wurde und die auth-Codes bereits hinzugefügt wurden, gehen Sie vor und wählen Sie die Lizenzschlüssel vom Lizenzserver abrufen.

 

Wenn das Gerät registriert wurde, aber noch keine Lizenzen hinzugefügt wurden, wählen Sie die Funktion aktivieren, indem Sie den Berechtigungscode verwenden, um eine Lizenz über seinen Autorisierungs Code zu aktivieren, den Sie von Ihrem Palo Alto-Verkaufskontakt erhalten haben

2016-09-12_11-48-47.jpg

 

Nachdem die Lizenzen erfolgreich hinzugefügt wurden, sieht die Seite "Lizenzen" ähnlich wie diese:

 

Jetzt können Sie starten Sie die Aktualisierung der Inhalte auf diesem Gerät, so navigieren zu der Registerkarte "Gerät", dann wählen dynamische Aktualisierungen aus dem linken Bereich.

 

Zum ersten Mal, das diese Seite geöffnet wird, das werden keine sichtbaren Pakete zum Download bereit. Das System muss zunächst eine Liste der verfügbaren Updates abrufen, bevor es angezeigt werden kann, welche verfügbar sind, also wählen Sie jetzt Check.

 

2016-09-12_12-51-00.jpg

 

Wenn das System eine Liste der verfügbaren Updates abruft, wird die Anwendungen und Bedrohungen Paket verfügbar. Sie können feststellen, dass das Antiviren-Paket fehlt— icherscheint erst nach dem herunterladen und der Installation des Anwendungs-und Bedrohungs Pakets.

2016-09-12_12-52-01.jpg

2016-09-12_12-53-07.jpg

Nachdem das Paket heruntergeladen haben, gehen Sie voran und installieren Sie es auf das System.

2016-09-12_13-05-41.jpg

2016-09-12_13-06-55.jpg

Wenn das Paket für Anwendungen und Bedrohungen installiert ist, starten Sie jetzt einen weiteren Check, um das Antiviren-Paket abzurufen.  2016-09-12_13-18-06.jpg

Jetzt downloaden Sie und installieren Sie die Antivirus-Paket zu, wie Sie mit den Anwendungen und Bedrohungen Paket.

 

Mit diesen Aufgaben abgeschlossen ist dies ein guter Zeitpunkt, um einen Zeitplan für jedes Paket automatisch heruntergeladen und installiert, die für Sie am bequemsten ist. Content Updates installiert werden können, während der Produktion und nicht vorhandene Sitzungen unterbrechen, also ist es sicher, im Laufe des Tages Updates anwenden. Allerdings entscheiden sich die meisten Organisationen um Aktualisierungen während der Nacht oder außerhalb der Geschäftszeiten Risikominimierung durchzuführen.

 

Legen Sie einen Zeitplan, indem Sie auf den Zeitrahmen neben den Zeitplan:

 

2016-09-12_13-24-20.jpg

 

Schreiben Sie nach der Einstellung der entsprechenden Zeitpläne die Änderung.

 

Hinweis: die Treshold-Einstellung ist eine Menge von Stunden zu halten, bevor eine Übergabe gedrückt wird und das Paket installiert ist. Zum Zeitpunkt des Ablaufs der Halt wird eine weitere Prüfung durchgeführt, um zu überprüfen, das Paket ist noch verfügbar oder mit einem neueren aktualisiert wurde. Wenn das gleiche Paket noch auf dem Updateserver verfügbar ist, wird es installiert. Wenn ein neueres Paket verfügbar ist, wird es heruntergeladen und Treshold-Timer wird zurückgesetzt.

 

Nachdem die Übertragung abgeschlossen ist, gehen Sie vor und aktualisieren Sie das System auf eine neuere PAN-OS, für den Fall, dass das Gerät auf ein älteres Betriebssystem installiert ist.

 

Öffnen Sie in der Registerkarte "Gerät" Bereich "Software". Das erste Mal, wenn Sie auf diese Registerkarte zugreifen, zeigt ein Popup keine Aktualisierungs Informationen an , da das System keinen vorherigen Kontakt mit dem Update-Server hat und nicht weiß, welche Updates verfügbar sind. Gehen Sie vor und schließen Sie dieses Popup, und wählen Sie dann jetzt prüfen.

 

2016-09-12_13-36-58.jpg

 

Der nächste Teil variieren je nachdem, welche Version auf Ihrem Gerät derzeit aktiv ist. Wenn Ihre Firewall bereits 7.1.0 läuft oder höher, Sie nur die neueste Version zu installieren müssen. Wenn Ihre Firewall derzeit auf 6.1. x ist, werden Sie sowohl PAN-OS 7.0.1 als auch die neueste 7.0. x. herunterladen. Um kleinere kumulativen Updates zu ermöglichen, wird das erste Bild in einem großen Code Zug als ein Basis-Image verwendet. Nachfolgende Updates, oder Wartungsversionen, sind kleiner und enthalten meist Updates.

7.0.2 zu installieren, in diesem Fall aber gehen Sie vor und wählen Sie eine neuere Version, wenn eine verfügbar ist., sobald die Installation abgeschlossen ist, wiederholen Sie die Schritte gehen bis zu der nächsten Hauptversion, bis die gewünschte Freigabe erreicht ist.

 

2015-10-14_16-00-15.png

 

Wenn Sie auf installieren klicken, möglicherweise eine Warnung angezeigt. Die Meldung "OK" anklicken und mit der Installation fortzufahren.

2015-10-14_16-03-13.png

 

Nachdem die Installation abgeschlossen ist, starten Sie die Firewall so, dass die neue PAN-OS zu aktivieren.

2015-10-14_16-10-00.png

 

Für den Fall, dass das Gerät installierten kommt mit einer älteren Version als die Hauptversion unmittelbar vorhergehenden der derzeit verfügbaren neuesten Major release, also in diesem Beispiel wenn die Firewall im PAN-OS 6.0 vorinstalliert war, müssen wir zuerst die nächste Major installieren Version 6.1, bevor Sie ein upgrade auf 7.0 und so weiter.

 

 

3. Vorbereitung der Sicherheitsprofile

 

 

Das System ist vorinstalliert mit einem Standardprofil für die Sicherheit in jeder Kategorie.

2016-09-12_13-52-30.jpg2016-09-12_13-52-09.jpg2016-09-12_13-51-57.jpg

 

Jetzt beginnen Sie die Konfiguration mit diesen Standardprofilen, mit Ausnahme der URL-Filterung.

Sobald Sie sich bereit fühlen, ' Kick it up a Notch ' Bitte schauen Sie sich dieses Tutorial an: Optimierung Ihrer Sicherheitsrichtlinien

 

Navigieren Sie zu der Registerkarte "Objekte", wählen Sie Security-Profile > URL-Filterung und fügen Sie eine neue URL-Filterung Profil.

 

2016-09-12_14-07-24.jpg

 

Starten Sie in diesem ersten benutzerdefinierten URL-Filterung Profil indem alle Aktionen auf Warnung eher als zulassen, wie die zulassen-Aktion keine URL-Filterung Log-Eintrag zu erstellen. Festlegen Sie Aktionen, warnen einige Einblick in die Art von Web-browsing-Happening im Netzwerk.

 

2016-09-12_14-09-43.jpg

 

Alle anderen Standardprofile sollen bereits ausreichende Deckung für Netzwerksicherheit und offensive Sitzungen in den entsprechenden Protokollen sichtbar werden. Als nächstes bereiten Sie, die Gruppe von unerwünschten Anwendungen.

 

4. Anwendungen

 

Nach dem Herunterladen von Update-Paketen enthält die Firewall eine Vielzahl von Anwendungen, die Sie verwenden können, um Sicherheitsrichtlinien zu erstellen, aber diese Anwendungen kommen auch mit nützlichen Metadaten geladen, um Gruppen von Anwendungen zu erstellen, die auf Ihrem Verhalten basieren, eine Anwendung genannt Filters. Anstatt manuell Anwendungen zu einer Gruppe hinzufügen und die Liste aktuell zu halten, fügt der Filter automatisch neue Anwendungen, die eine bestimmtes Verhalten an den Anwendungsfilter, aktivieren die Sicherheitsrichtlinie, angemessene Maßnahmen übereinstimmen.

 

Erstellen Sie ein Anwendungsfilter mit unerwünschtem Verhalten für die erste Richtlinie. Gehen Sie auf die Registerkarte "Objekte", dann wählen Sie Anwendungsfilter.

 

2016-09-12_14-20-26.jpg

 

Als Beispiel werden Sie einen Anwendungs Filter namens Peer-to-Peer erstellen, in dem Sie alle Anwendungen hinzufügen, die der Unterkategorie File-Sharing und Technologie Peer-to-Peer entsprechen.

 

2016-09-12_14-27-59.jpg

 

Jetzt bist du bereit, richten Sie Ihre erste Sicherheits-Policy und schauen Sie sich die Protokolle, aber erste, nehmen wir einen kleinen Abstecher zu betrachten die Netzwerkkonfiguration.

 

5. Netzwerk-Konfiguration

 

Wenn Sie navigieren Sie zu der Registerkarte "Netzwerk" und Schnittstellen betrachten, sehen Sie, dass Schnittstellen 1 und 2 sind beide als virtuellen Draht oder Vwire eingerichtet, und beide, um die Standard-Vwire hinzugefügt sind.

 

2016-09-12_14-32-10.jpg

 

Ein Vwire hat einige interessante Vorteile gegenüber anderen Arten von Schnittstelle Konfigurationen: Es gilt eine Beule-in-the-Wire, die keine IP-Adresse auf der Schnittstelle und keine routing-Konfiguration erfordert. Es kann einfach zwischen Ihrem Router angeschlossen werden und wechseln um Durchgangsverkehr zu starten. Wir decken andere Interface-Typen in den kommenden Artikeln, aber für jetzt, bleiben wir bei der Vwire Konfiguration.

 

Wenn die Schnittstellen sind rot, sie sind nicht an ein aktives Gerät angeschlossen, stellen Sie sicher ethernet1/1 an den ausgehenden Router angeschlossen und ethernet1/2 ist mit Ihren internen Switch verbunden und beide Schnittstellen sind grün.

 

6. Sicherheitspolitik und Protokollierung

 

Nun, da Sie Ihr Gerät vorbereitet haben, schauen wir auf die Sicherheitsrichtlinien und richten Sie eine anfängliche Konfiguration, die guten Verkehrsanbindung zum ausgehen kann und schlechten Verkehr gesperrt werden.

 

Die erste Sicherheits-Policy kann einfach alle ausgehenden Datenverkehr ohne Inspektion. Es gibt zwei Standardregeln, die Intrazone zulassen und interzone Datenverkehr blockiert. Wir werden die letzten beiden in einer nächsten Sitzung vergrößern da sie nicht für die Vwire derzeit relevant sind.

2016-09-12_14-38-35.jpg

 

Starten Sie durch Regel1 bearbeiten und machen Sie es die "schlecht-Anwendungen" Block-Regel:

2016-09-12_15-15-29.jpg

Lassen Sie die Quelle und das Ziel, wie sie sind.

Unter Anwendung > Anwendungsfilter, wählen Sie Peer-to-Peer. Es hilft, den Namen der Anwendung oder Gruppe, die Sie hinzufügen möchten, zu tippenkeine Notwendigkeit, durch alle Anwendungen zu scrollen:

2016-09-12_15-16-34.jpg

 

Legen Sie unter Aktionen die Aktion auf verweigern da Sie nicht wie Peer-to-Peer, und klicken Sie auf ok.

2016-09-12_15-18-30.jpg

 

Als Nächstes erstellen Sie eine Sicherheitsrichtlinie um alles aus zu ermöglichen. Wirempfehlen Ihnen, später Anwendungen in die 'Allow' -Regel einzufügen , aber vorerst blockieren wir nur die Anwendungen, von denen wir wissen, dass wir Sie nicht mögen und erlauben den Rest, so dass Sie kann die Sichtbarkeit darüber gewinnen, welche Art von Verkehr ins Internet geht, und entscheiden, ob Sie mehr Anwendungen auf der Strecke blockieren wollen.  

2016-09-12_15-19-24.jpg

2016-09-12_15-20-28.jpg

Unter Source wählen Sie Trust als Quell Zone, die mit Interface 2 verbunden ist, das mit dem LAN-Schalter verbunden ist.

2016-09-12_15-21-05.jpg

Unter Destination wählen Sie Untrust als die Zone, die mit Interface 1 verbunden ist und mit dem Internet-Router verbunden ist.

2016-09-12_15-22-02.jpg

 

Lassen Sie die Applikation wie bisher.  

2016-09-12_15-23-34.jpg

 

Unter Aktionen fügen Sie Security-Profile ermöglichen Scannen ausgehender Verbindungen für schädliche Inhalte oder URL-Filterung, Browsersitzungen anzuwenden.

2016-09-12_15-25-01.jpg

2016-09-12_15-26-36.jpg

 

Die Sicherheitsrichtlinie sollte jetzt so aussehen. Stellen Sie sicher, die Internet-Access-Policy ist unter der Politik schlecht-Anwendungen-Block positioniert wie die Sicherheitsrichtlinie verarbeitet wird von oben nach unten für jede neue Verbindung, und die erste positive Übereinstimmung gilt. Wenn die schlechte-Anwendungen-Block-Richtlinie sich unterhalb der Internet-Zugang-Regel befindet, Peer-to-Peer-Anwendungen dürfen.

2016-09-12_15-28-30.jpg

 

Jetzt gehen Sie voran und übernehmen Sie diese Änderungen und navigieren Sie zur Registerkarte "überwachen". Wenn der Commit-Vorgang abgeschlossen ist, starten die Protokolle füllt sich mit interessanten Datenverkehrsprotokoll, URL-Protokolle und Bedrohung Protokolle, wenn keine Infektionen erkannt werden.

 

2016-09-12_16-20-18.jpg

 

Ich hoffe, dass Ihnen dieser Artikel gefallen hat. Bitte zögern Sie nicht lassen Sie Anmerkungen unten!

 

Viele Grüße,

Tom Piens

 

Sobald Sie beim Einrichten von Sicherheitsrichtlinien vertraut sind, schauen Sie sich dieses Tutorial-video:  

Optimieren Ihre Sicherheits-Policy

 

Wenn Ihnen dieser Artikel gefallen hat, bitte nehmen Sie auch einen Blick auf die Followup-Artikel:

Ich habe meine Firewall ausgepackt und Tat, was du mir erzählt, was nun?

Ich habe meine Firewall ausgepackt und VLANs konfigurieren möchten – Unterschnittstellen

Ich habe meine Firewall ausgepackt, aber wo sind die Protokolle?

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClS2CAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language