Primeros pasos: Configuración de su Firewall

Primeros pasos: Configuración de su Firewall

294673
Created On 09/25/18 18:56 PM - Last Modified 01/16/20 08:35 AM


Resolution


¿Yo he descomprimido mi firewall, ahora qué?

 

Después de unboxing de tu nuevo cortafuegos de Palo Alto Networks, o después de un restablecimiento de fábrica, el dispositivo está en un estado en blanco sin nada, pero la configuración mínima y una imagen de software que se instala en la fábrica. ¿A dónde vas desde aquí? Nuestra primera entrega en la nueva serie Getting Started le guía a través de las primeras etapas de la preparación de su cortafuegos para su operación. 

 
Te tomamos un vistazo a cómo conectar con el servidor de seguridad por primera vez, cómo configurar licencias así que usted puede descargar contenido y nuevo software y cómo preparar su primera política de seguridad.

 

Lo primero que querrá configurar es la dirección IP, lo que facilita seguir configurando su nuevo dispositivo más adelante.

 

1. Configuración inicial

 

Los dos métodos disponibles para conectar al nuevo dispositivo o está utilizando un cable de red en el puerto de administración o un cable de ethernet-a-db-9 consola.

 

2016-09-12_11-32-50.jpg

 

Cuando se utiliza el Puerto de administración , la estación de trabajo que se va a utilizar debe reconfigurarse de manera que su interfaz de red tenga una dirección IP en el rango de IP 192.168.1.0/24, ya que la IP predeterminada del puerto de administración será 192.168.1.1.

 

2015-10-14_11-36-51.png

 

Al usar un cable de consola , configure el emulador de terminal a 9600baud, 8 bits de datos, 1 bit de STOP, paridad None, VT100. Si utiliza Putty, debe venir con la configuración apropiada si el tipo de conexión está configurado en serie.

 

Después de preparar los cables y la estación de trabajo, conecte la unidad a una toma de corriente y ver el arranque de firewall para arriba.

La consola de salidas de la secuencia de arranque:

 

                Bienvenido a Panos
Starting udev: [OK]
Setting Clock (UTC): Wed Oct 14 11:10: 53 PDT 2015 [OK]
configuración de hostname 200: [OK]
comprobación de filesystems:
 ejecutando el sistema de archivos Compruebe en sysroot0: [OK]
 ejecutando el sistema de archivos Compruebe en pancfg: [OK]
 ejecutando el sistema de archivos Compruebe en panrepo: [OK]
[OK] remontando
archivos root TEM en modo de lectura-escritura: [OK]
habilitando/etc/fstab swaps: [OK] init: entrando en el nivel de
ejecución: 3
ingresando Inicio no interactivo iniciar
red: [OK]
Inicio del sistema Logger: [OK]
Inicio del logger del kernel: [OK]
.   ...

 

Después de arranca el dispositivo, aparece un prompt de login en la conexión de consola y pueden hacer conexiones SSH o SSL a 192.168.1.1.

 

A destacar la consola y SSH en el paso 1.1. y la interfaz gráfica de usuario o GUI en el paso 1.2.

 

    1.1. Conexión a consola y SSH

2015-10-14_11-40-51.png

 

El nombre de usuario y la contraseña por defecto son admin/admin, así que vamos a iniciar sesión para revelar la CLI. Desde aquí, comenzaremos estableciendo la correcta dirección IP y subred para el dispositivo y la puerta de enlace predeterminada y configuración de DNS, por lo que la unidad puede recoger actualizaciones más adelante.

 

login as: admin
usando la autenticación interactiva del teclado.
 Contraseña:
última entrada: Wed Oct 14 11:57:  16 2015 de 192.168.1.168
ADVERTENCIA: su dispositivo todavía está configurado con las credenciales de cuenta admin predeterminadas. Por favor, cambie su contraseña antes de la implementación. 
admin @ PA-200 > configurar
entrar en modo de configuración
[editar]
admin @ PA-200 # Set deviceconfig sistema IP-dirección 10.0.0.10 máscara de red 255.255.255.0 default-gateway 10.0.0.1 DNS-configuración de servidores primarios 4.2.2.2

 

Utilice el comando commit para aplicar la nueva configuración al sistema.  

admin @ PA-200 # commit..................


 55%... 60% 75%. 99%........... 100% de
configuración confirmada correctamente

[editar]

En este punto, que perderá SSH y SSL de acceso al dispositivo, como cambió la dirección IP y reinicia el servicio de gestión a adoptar estos cambios. Ahora necesita volver a conectarse a la nueva dirección IPpor favor salte al paso 1,3.

 

1.2. Configuración inicial de la interfaz web

 

Al hacer su primera conexión a la interfaz web, su navegador puede mostrar un mensaje de error. Esto es porque el certificado utilizado por la interfaz web es un certificado autofirmado que no confía en su navegador. Puede ignorar el mensaje de error en este momento, que luego te lleva a la pantalla de login:

 

2015-10-14_12-15-44.png

2015-10-14_12-16-44.png

Inicie sesión, utilizando el nombre de usuario y la contraseña por defecto admin/admin, luego desplácese a la ficha dispositivo. Seleccione configuración en el panel izquierdo y seleccione Administración, donde puede cambiar la configuración de la interfaz de administración:

 

2016-09-12_11-39-13.jpg

Cambiar la configuración de la interfaz y haga clic en Aceptar.

2016-09-12_11-41-50.jpg

 

A continuación, seleccione la ficha servicios y configurar un servidor DNS.

2016-09-12_11-43-18.jpg

 

2016-09-12_11-44-14.jpg

Para completar este paso y aplicar los cambios en el dispositivo, haga clic en el enlace de confirmación en la parte superior derecha:

 

2016-09-12_11-45-30.jpg

2016-09-12_11-46-13.jpg

Una vez finalizada la confirmación, el navegador eventualmente de tiempo como ha cambiado la dirección IP, por lo que tendrá que cambiar manualmente la dirección en la barra de direcciones para conectarse a la nueva IP.

 

1.3 terminando el primer paso

 

El firewall ya está configurado con una dirección IP adecuada para trabajar en tu red LAN, así que adelante y conecte los cables:

 

  • 1 interfaz de conectar al router
  • Conecte la interfaz 2 al conmutador
  • Conecte la interfaz de administración (admin) en el conmutador

Usted debe ser capaz de conectarse a la IP de gestión de la red, y usted debe ser capaz de navegar hacia fuera a Internet.

 

2015-10-14_13-17-29.png

 

2. Preparar las licencias y actualizar el sistema

 

Para poder descargar contenido y actualizaciones de aplicaciones o actualizaciones de software, el sistema debe tener una licencia. Varias licencias controlan las diferentes funciones del sistema,

 

  • la licencia de soporte da derecho al sistema a las actualizaciones de software y AppID
  • La licencia ThreatPrevention agrega virus, amenazas y firmas de malware
  • La licencia de URL permite categorías de URL para su uso en directivas de seguridad

Si el dispositivo aún no se ha registrado en el portal de soporte, siga estos pasos para registrar el dispositivo: Cómo registrar un dispositivo de redes palo alto, repuestos, trampas o código de autenticación de la serie VM

 

Desplácese hasta la ficha de dispositivo y seleccione licencias en el panel izquierdo:

 

Si el dispositivo se ha registrado utilizando el método anterior y los códigos de autenticación ya han sido añadidos, siga adelante y seleccione recuperar las claves de licencia del servidor de licencias.

 

Si el dispositivo se registró pero aún no se han añadido licencias, seleccione Activar función utilizando el código de autorización para activar una licencia a través de su código de autorización, que recibirá de su contacto de ventas de palo alto.

2016-09-12_11-48-47.jpg

 

Después de que las licencias han sido correctamente añadido, la página de licencias es similar a esto:

 

Ahora estás listo para empezar a actualizar el contenido de este dispositivo, así que vaya a la pestaña de dispositivo y seleccione actualizaciones dinámicas del panel izquierdo.

 

La primera vez que se abre esta página, habrá no hay paquetes accesibles para su descarga. El sistema primero tendrá que obtener una lista de actualizaciones disponibles antes de que pueda mostrar cuáles están disponibles, así que seleccione comprobar ahora.

 

2016-09-12_12-51-00.jpg

 

Cuando el sistema recupera una lista de actualizaciones disponibles, el paquete de aplicaciones y amenazas está disponible. Puede notar que falta el paquete antivirus:sólo aparece después de descargar e instalar el paquete Applications and Threats.

2016-09-12_12-52-01.jpg

2016-09-12_12-53-07.jpg

Después de descargado el paquete, siga adelante e instale en el sistema.

2016-09-12_13-05-41.jpg

2016-09-12_13-06-55.jpg

Cuando se haya instalado el paquete Applications and Threats, ejecute otra comprobación ahora para recuperar el paquete antivirus.  2016-09-12_13-18-06.jpg

Ahora descarga e instala el paquete Antivirus al igual que con el paquete de aplicaciones y las amenazas.

 

Con estas tareas de completar, este es un buen momento para establecer un calendario para cada paquete para ser automáticamente descargado e instalado en un momento que sea conveniente para usted. Contenido puede ser instalado durante la producción y no interrumpir las sesiones existentes, así que es seguro aplicar actualizaciones durante el día. Sin embargo, la mayoría de las organizaciones opta para realizar actualizaciones durante la noche o apagado-horas a minimizar el riesgo.

 

Establecer un programa haciendo clic en el calendario junto a la programación:

 

2016-09-12_13-24-20.jpg

 

Después de establecer los horarios adecuados, cometer el cambio.

 

Nota: el ajuste umbral es una cantidad de horas que se deben mantener antes de que se empuje una confirmación y el paquete esté instalado. En el momento que expire la bodega otro control se realiza para verificar el paquete todavía está disponible o se ha actualizado con una versión más reciente. Si el mismo paquete está disponible en el servidor de actualización, se instala. Si hay un paquete más reciente, se descarga y se restablece el temporizador de umbral.

 

Una vez finalizada la confirmación, seguir adelante y actualizar el sistema a un más reciente OS de PAN en caso de que la unidad se instala en un más viejo sistema operativo.

 

En la ficha dispositivo, abra la sección de Software. La primera vez que acceda a esta ficha, un popup no mostrará ninguna información de actualización disponible, ya que el sistema no tiene ningún contacto previo con el servidor de actualización y no sabe qué actualizaciones están disponibles. Seguir adelante y cerrar esta ventana emergente, luego seleccione comprobar ahora.

 

2016-09-12_13-36-58.jpg

 

La siguiente parte puede variar dependiendo de qué versión es actualmente activa en el dispositivo. Si su cortafuegos está funcionando ya 7.1.0 o mayor, sólo necesitará instalar la última versión de mantenimiento. Si su firewall está actualmente en 6.1. x, descargará tanto pan-os 7.0.1 como el último 7.0. x. Para permitir actualizaciones acumulativas para más pequeños, la primera imagen de un tren de código principal se utiliza como una imagen base. Los posteriores actualizaciones o versiones de mantenimiento, son más pequeñas y contienen sobre todo actualizaciones.

Instalar 7.0.2 en esta instancia, pero seguir adelante y seleccionar una versión más reciente si está disponible., una vez completada la instalación, repita los pasos para subir a la versión principal siguiente hasta alcanzar la liberación deseada.

 

2015-10-14_16-00-15.png

 

Cuando haga clic en instalar, puede mostrar una advertencia. Haga clic en aceptar en el mensaje y continuar con la instalación.

2015-10-14_16-03-13.png

 

Una vez finalizada la instalación, reiniciar el firewall para activar el nuevo OS de PAN.

2015-10-14_16-10-00.png

 

En caso de que el dispositivo viene instalado con una versión más vieja que la versión directamente anterior las principales más recientes disponibles en la actualidad liberar, así que en este ejemplo si el servidor de seguridad fue instalado previamente en PAN-OS 6.0, primero tendríamos que instalar la próxima importante versión 6.1, antes de poder actualizar a 7.0 y así sucesivamente.

 

 

3. Preparación de perfiles de seguridad

 

 

El sistema viene precargado con un perfil de seguridad predeterminado en cada categoría.

2016-09-12_13-52-30.jpg2016-09-12_13-52-09.jpg2016-09-12_13-51-57.jpg

 

Por ahora, a empezar la configuración con estos perfiles por defecto, excepto el filtrado de URL.

Una vez que se sienta listo para "patear una muesca" por favor, consulte este tutorial: optimización de su política de seguridad

 

Desplácese hasta la ficha de objetos, seleccione los perfiles de seguridad > filtrado de URL y añadir un nuevo perfil de filtrado de URL.

 

2016-09-12_14-07-24.jpg

 

En este primer perfil de filtrado de la URL personalizada, comience estableciendo todas las acciones en alerta y no permitir, como la acción de permitir no crea una entrada de registro de filtrado de URL. Establecer acciones para obtener algunos conocimientos en la clase de suceso en la red de navegación web.

 

2016-09-12_14-09-43.jpg

 

Todos los otros perfiles por defecto ya deben proporcionar una cobertura suficiente para seguridad de la red y para sesiones de ofensiva a hacerse visible en los registros correspondientes. A continuación, a preparar el grupo de aplicaciones no deseadas.

 

4. Aplicaciones

 

Después de descargar los paquetes de actualización, el Firewall contiene una gran cantidad de aplicaciones que puede utilizar para crear una política de seguridad, pero estas aplicaciones también vienen cargadas con metadatos útiles para crear grupos de aplicaciones basadas en su comportamiento, llamada una aplicación Filter. En lugar de tener que agregar aplicaciones a un grupo manualmente y mantener actualizada la lista, el filtro de aplicación automáticamente añade nuevas aplicaciones que coinciden con un cierto comportamiento al filtro de aplicación, que permite la política de seguridad a adoptar las medidas adecuadas.

 

Crear un filtro de aplicación con comportamientos indeseables de la política de primera. Ir a la pestaña de objetos y seleccione filtros de aplicación.

 

2016-09-12_14-20-26.jpg

 

Como ejemplo, creará un filtro de aplicaciones llamado peer-to-peer, donde agregará todas las aplicaciones que coincidan con el uso compartido de archivos y la tecnología peer- to-peer.

 

2016-09-12_14-27-59.jpg

 

Ahora estás listo para establecer su primera política de seguridad y mirar los logs, pero antes, echemos un rápido desvío a mirar la configuración de red.

 

5. Configuración de la red

 

Si usted vaya a la pestaña de red y mira Interfaces, ves que las interfaces 1 y 2 son ambos como Virtual del alambre o vwire, y ambos se agregan a la vwire por defecto.

 

2016-09-12_14-32-10.jpg

 

Un vwire tiene algunas interesantes ventajas sobre otros tipos de configuraciones de interfaz: se considera un bump-en-el-wire, que requiere ninguna dirección IP en la interfaz y no de configuración de enrutamiento. Simplemente puede ser conectado entre el router y cambiar para comenzar a pasar tráfico. A otros tipos de interfaz en próximos artículos, pero por ahora, vamos a seguir con la configuración de vwire.

 

Si las interfaces son rojas, no están conectadas a un dispositivo activo, asegúrese de ethernet1/1 está conectado a su router de salida y ethernet1/2 está conectado al conmutador interno y ambas interfaces son verdes.

 

6. Registro y política de seguridad

 

Ahora que has preparado tu dispositivo, vamos a mirar las políticas de seguridad y establecer una configuración inicial que permite buen tráfico salir y mal tráfico bloqueado.

 

La política de seguridad inicial simplemente permite todo el tráfico saliente, sin inspección. Hay dos reglas por defecto que permiten intrazone y bloquean el tráfico interzone. Nos a ampliar estos dos últimos en una próxima sesión ya que no son relevantes actualmente para el vwire.

2016-09-12_14-38-35.jpg

 

Empezar por editar rule1 y hacer la regla de bloqueo de 'malos usos':

2016-09-12_15-15-29.jpg

Deje la fuente y el destino como son.

Bajo la aplicación > filtro de aplicación, seleccione peer-to-peer. Ayuda a escribir el nombre de la aplicación o grupo que desea agregar,sin necesidad de desplazarse por todas las aplicaciones:

2016-09-12_15-16-34.jpg

 

En acciones, establece la acción a denegar no como peer-to-peer y haga clic en Aceptar.

2016-09-12_15-18-30.jpg

 

Próximo a crear una política de seguridad para permitir que todo lo demás fuera. Lerecomendamos que añada aplicaciones a la regla ' Allow' más adelante, pero por ahora, vamos a bloquear sólo las aplicaciones que sabemos que no nos gusta y permitir que el resto, por lo que puede obtener visibilidad sobre qué tipo de tráfico está pasando a Internet y decidir si desea bloquear más aplicaciones en la línea.  

2016-09-12_15-19-24.jpg

2016-09-12_15-20-28.jpg

En Source, seleccione Trust como la zona de origen asociada a la interfaz 2, que está conectada al Switch LAN.

2016-09-12_15-21-05.jpg

En destino, seleccione desconfianza como la zona asociada a la interfaz 1 y conectada al enrutador de Internet.

2016-09-12_15-22-02.jpg

 

Deja el aplicaciones como cualquiera por ahora.  

2016-09-12_15-23-34.jpg

 

En acciones, a añadir perfiles de seguridad para permitir la exploración de las conexiones salientes de contenido malicioso o aplicar a las sesiones de navegación de filtrado de URL.

2016-09-12_15-25-01.jpg

2016-09-12_15-26-36.jpg

 

La política de seguridad debe ahora verse así. Asegúrese de que la política de acceso a Internet se coloca a continuación de la política de malas aplicaciones de bloque, como se procesa la Directiva de seguridad se aplica de arriba hacia abajo para cada nueva conexión y el primer encuentro positivo. Si la política de malas aplicaciones de bloque se encuentra por debajo de la regla de acceso a Internet, se permitirá aplicaciones peer-to-peer.

2016-09-12_15-28-30.jpg

 

Ahora seguir adelante y cometer estos cambios y desplácese hasta la ficha Monitor. Cuando termina la operación de commit, los registros de inicio llena de interesante registro de tráfico, URL registros y logs de amenaza, si se detecta alguna infección.

 

2016-09-12_16-20-18.jpg

 

Espero que hayas disfrutado este artículo. Siéntase libre de dejar cualquier comentario abajo!

 

Saludos,

Tom Piens

 

Una vez que se siente a gusto con la configuración de las políticas de seguridad, consulte este vídeo tutorial:  

Optimizar su política de seguridad

 

Si has disfrutado de este artículo, por favor también tome un vistazo a los artículos de seguimiento:

¿Yo he desempaquetado mi firewall e hice lo que usted me dijo, ahora qué?

Me has desempaquetado mi firewall y quiero configurar VLANs, subinterfaces

Yo he descomprimido mi firewall, pero ¿dónde están los registros?

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClS2CAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language