ファイアウォールのセットアップの開始。

私のファイアウォールを展開した今何ですか?

 

あなたのブランドの新しいパロアルト ネットワーク ファイアウォールをボックス化解除後または工場出荷時リセット後に、デバイスは最小構成と工場出荷時にインストールされているソフトウェア イメージが何も空白状態です。ここからどこへ行くの?新しい入門シリーズの最初の割賦は、操作のためのファイアウォールを準備するの非常に最初の段階をガイドします。 

 

1。初期セットアップ

 

新しいデバイスに接続する使用できる 2 つの方法どちらか管理ポートまたはイーサネット-db 9 コンソール ケーブルをネットワーク ケーブルを使用しています。

 

 

管理ポートを使用する場合は、管理ポートのデフォルト ip が192.168.1.1 になるので、使用するワークステーションを再構成して、ネットワークインターフェイスの ip アドレスが 192.168.1.0/24 ip の範囲内になるようにする必要があります。

 

 

コンソールケーブルを使用する場合は 、端末エミュレータを9600baud、8データビット、1ストップビット、パリティなし、VT100 に設定します。パテを使用する場合は、接続タイプがシリアルに設定されている場合は、適切な構成が付属している必要があります。

 

ケーブルとワークステーションを準備した後、ユニットを電気コンセントに差し込み、ファイアウォールのブートを見る。

コンソールは、ブート シーケンスを出力します。

 

                パノス
開始 udev へようこそ: [OK] を
設定クロック (utc): 水10月 14 11:10: 53 PDT 2015 [ok] を
設定するホスト名 200: [ok] をファイルシステムのチェック: [ok] を実行しているファイルシステムのチェックを

 sysroot0:
 pancfg
 

上のファイルシステムのチェックを実行しています。読み取り/書き込みモードでの tem: [ok] を有効にする/etc/fstab スワップ: [ok] を

初期化: ランレベルを入力する: 3 非対話型起動ネットワークを起動する: [ok] を起動するシステムロガー: [ok] を起動する



カーネルロガー: [
   ok] を....

 

デバイスを起動すると、コンソール接続でログイン プロンプトが表示され、192.168.1.1 に SSH や SSL 接続を行うことができます。

 

手順 1.1 でコンソールや SSH が取り上げます。グラフィカル ユーザー インターフェイスや 1.2 の手順で GUI。

 

    1.1。コンソールや SSH の接続

 

デフォルトのユーザー名とパスワードはadmin/admin である、従って私達は CLI を明らかにするために先に行き、ログインする。ここから、まず適切な IP アドレスとサブネットのデバイス、およびデフォルト ゲートウェイを設定し、DNS 設定ユニットが更新を後で集めることができるので。

 

ログインとして: 管理者
は、キーボード-対話型認証を使用します。
パスワード:
最終ログイン: 水10月 14 11:57:  16 2015 からの 192.168.1.168
警告: デバイスは、既定の管理者アカウントの資格情報で構成されています。展開する前にパスワードを変更してください。
管理者 @ pa-200 > 構成
モードの入力を構成する
[編集]
管理者 @ pa-200 # セット deviceconfig システムの ip アドレス10.0.0.10 ネットマスク255.255.255.0 デフォルトゲートウェイ 10.0.0.1 dns 設定サーバープライマリ 4.2.2.2   

 

[commit] コマンドを使用して、新しい設定をシステムに適用します。 

管理者 @ PA-200 # コミットしてください... ・・・。


55%...60% 75% 99%... ・・・100% の構成が正常にコミットされました


[編集]  

この時点では、SSH や SSL を失うよ、デバイスへのアクセスを IP アドレスが変更され、これらの変更を採用する、管理サービスを再起動します。これで、新しい IP アドレスに再接続する必要があります-ステップ1.3 に進んでください。

 

1.2 です。Web インターフェイスの初期設定

 

Web インターフェイスへの最初の接続の際は、お使いのブラウザーがエラー メッセージを表示可能性があります。これは、web インターフェイスによって使用される証明書は自己署名証明書のブラウザーが信頼していないためにです。今回、その後、ログイン画面でエラー メッセージを無視できます。

 

デフォルトのユーザー名とパスワード管理者/管理者を使用してログインし、 [デバイス] タブに移動します。左側のウィンドウでセットアップを選択し、管理、管理インタ フェースの設定を変更することができますを選択します。

 

インターフェイスの構成を変更し、[ok] をクリックします。

 

次に、[サービス] タブを選択し、DNS サーバーを構成します。

 

この手順を完了してデバイスに変更を適用するには、右上のコミットをクリックします。

 

コミットが完了すると、ブラウザーが最終的にタイムアウト IP アドレスが変わって、新しい ip アドレスを再接続するアドレス バーにアドレスを手動で変更する必要がありますので。

 

1.3 最初のステップを終えた

 

ファイアウォールは、LAN ネットワークで働く、だから先に行くし、ケーブルを接続するための適切な IP アドレスで構成されます今。

 

• ルーター インターフェイス 1 に接続します。
• インターフェイス 2 をスイッチに接続します。
• 管理 (管理) インターフェイスをスイッチに接続します。

ネットワークから管理 ip アドレスに接続することができ、インターネットをサーフィンすることができます。

 

 

2。ライセンスの準備とシステムの更新

 

コンテンツとアプリケーションの更新プログラムやソフトウェアのアップグレードをダウンロードを許可するには、システムはライセンスを取得する必要があります。さまざまなライセンスがシステムのさまざまな機能を制御するので、—

 

• サポートライセンスは、ソフトウェアと AppID のアップデートにシステムを受ける
• ThreatPreventionライセンスは、ウイルス、脅威とマルウェアの署名を追加
• urlライセンスは、セキュリティポリシーで使用するための url カテゴリを有効にします

デバイスがまだサポートポータルに登録されていない場合は、次の手順に従ってデバイスを登録してください。パロアルトネットワークデバイス、スペア、トラップ、または VM シリーズの認証コードを登録する方法

 

[デバイス] タブに移動し、左側のペインからライセンスを選択します。

 

上記の方法でデバイスが登録されていて、認証コードが既に追加されている場合は、「ライセンスサーバー からライセンスキーを取得する」を選択してください。

 

デバイスが登録されていてもライセンスがまだ追加されていない場合は、「認証コードを使用して機能をアクティブ化」を選択して、パロアルトの販売担当者から受け取った認証コードを通じてライセンスを有効化します。

 

ライセンスは正常に追加されている後、ライセンス] ページで、次のように。

 

このデバイス上のコンテンツの更新を開始、ので、[デバイス] タブに移動し、左側のペインから動的な更新を選択する準備が整いました。

 

初めてこのページを開くと、何も残りませんダウンロード表示されるパッケージ。利用可能な更新プログラムの一覧を表示する前に、利用可能なアップデートのリストを取得する必要があるので、[今すぐ確認] を選択します。

 

 

システムは、利用可能な更新の一覧を取得、アプリケーションと脅威のパッケージが使用可能になります。あなたは、ウイルス対策パッケージが欠落していることがあります-私は t は、アプリケーションと脅威のパッケージをダウンロードしてインストールした後に表示されます。

パッケージをダウンロードした後、先に行くし、システムにインストールします。

アプリケーションと脅威パッケージがインストールされている場合は、別のチェックを実行してウイルス対策パッケージを取得します。 

今すぐダウンロードしてアプリケーションと脅威のパッケージと同じようにアンチ ウイルスのパッケージをインストールします。

 

これらのタスクを完了、これはパッケージごとに自動的にダウンロードして、都合の良い時にインストールするスケジュールを設定する良い時間です。コンテンツの更新生産中にインストールすることができます、既存のセッションを中断しないで、だから安全です日中に更新を適用します。ただし、ほとんどの組織は夜または営業時間外のリスクを最小限に抑えるの間に更新を実行することを選ぶ。

 

スケジュールの横にある期間をクリックしてスケジュールを設定します。

 

 

適切なスケジュールを設定した後、変更をコミットします。

 

注: しきい値設定は、コミットがプッシュされ、パッケージがインストールされるまでに保持する時間の長さです。保留リストの有効期限が切れる時パッケージはまだ利用可能または新しいものに更新されていることを確認する別のチェックが実行されます。同じパッケージがまだ更新サーバーにある場合、それがインストールされています。新しいパッケージが利用可能な場合、それがダウンロードされ、しきい値タイマーがリセットされます。

 

コミットが完了した後、先に行くし、ユニットは古い OS にインストールされている場合にシステムをより最近のパン OS をアップグレードします。

 

[デバイス] タブでソフトウェアのセクションを開きます。このタブに初めてアクセスする と、システムには更新サーバーとの以前の連絡先がないため、利用可能 な更新プログラムがわからないため、ポップアップには更新情報が表示されません。先に行く、このポップアップを閉じるし、今すぐチェックを選択します。

 

 

次の部分は、どのバージョンがお使いのデバイス上で現在アクティブで異なります。場合は、ファイアウォールが既に実行されている 7.1.0 またはより高く、最新のメンテナンス リリースをインストールする必要がありますのみ。ファイアウォールが現在 6.1. x にある場合は、PAN-OS 7.0.1 と最新の7.0. x の両方をダウンロードします。小さい累積更新プログラムできるように、コードの主要な鉄道の最初のイメージは、基本イメージとして使用されます。すべての後続の更新プログラムまたはメンテナンス リリースはより小さく、ほとんど更新が含まれています。

このインスタンスに 7.0.2 をインストールが、先に行くし、1 つが利用可能な場合、新しいバージョンを選択します。インストールが完了したら、所望のリリースに到達するまで、次のメジャー バージョンにまで行くことの手順を繰り返します。

 

 

インストールをクリックすると、警告が表示されます。メッセージで [ok] をクリックし、インストールを続けます。

 

インストールが完了すると、新しいパン OS を有効にするファイアウォールを再起動します。

 

デバイスがインストールされている場合は直接前メジャー バージョンより古いバージョンで現在使用可能な最新のメジャー リリース、この例では、ファイアウォールはパン OS 6.0 にあらかじめインストールされていた場合、我々 は、次の主要なをインストールするだろうバージョン 6.1 7.0 にアップグレードすることができる前に。

 

 

3。セキュリティ プロファイルの準備

 

 

システムは、各カテゴリの既定のセキュリティ プロファイルでプリロード.

 

今のところ、URL フィルタ リングを除いて、これらの既定のプロファイルを構成を開始します。

したら、"ノッチをキックする準備ができて感じる" このチュートリアルをチェックアウトしてください:セキュリティポリシー の最適化

 

[オブジェクト] タブに移動し、セキュリティ ・ プロファイルの選択 > URL フィルター プロファイルをフィルター処理する新しい URL を追加。

 

 

この最初カスタム URL のプロファイルをフィルタ リング、許可アクション URL フィルターのログ エントリは作成されません、すべてのアクションを警告ではなく、[許可] に設定すると、開始します。ネットワーク上の出来事をブラウズしているウェブのようないくつかの洞察を得るために警告するアクションを設定します。

 

 

ネットワーク セキュリティおよび適切なログで見えるようになり攻撃的なセッション、その他のすべての既定のプロファイルする必要があります十分なカバレッジを提供しています。次は、不要なアプリケーションのグループを準備します。

 

4. アプリケーション

 

更新プログラムパッケージをダウンロードした後、ファイアウォールには、セキュリティポリシーの作成に使用できる多くのアプリケーションが含まれていますが、これらのアプリケーションは、アプリケーションと呼ばれる動作に基づいてアプリケーションのグループを作成するために有用なメタデータを読み込んでいます。フィルター。手動でグループにアプリケーションを追加し、リストを最新に保つのではなく、アプリケーション フィルターでは、セキュリティ ポリシーの適切なアクションを実行するを有効にするアプリケーション フィルターは、特定の行動に一致する新しいアプリケーションが自動的に追加されます。

 

最初にポリシーの望ましくない動作のアプリケーション フィルターを作成します。[オブジェクト] タブに移動し、アプリケーションのフィルターを選択します。

 

 

たとえば、ピアツーピアというアプリケーションフィルタを作成し、サブカテゴリのファイル共有とテクノロジピアツーピアに 一致するすべてのアプリケーションを追加します。

 

 

今最初のセキュリティ ポリシーを設定し、ログを見て準備ができてしかし、最初に、あなたは、迅速な迂回をネットワーク構成を見てみましょう。

 

5。ネットワークの設定

 

[ネットワーク] タブに移動し、インターフェイスを見て、インターフェイス 1 と 2 両方として設定されて仮想ワイヤ、または vwire と両方のデフォルト vwire に追加されますが表示されます。

 

 

Vwire は他のタイプのインタ フェース構成いくつかの興味深い利点: バンプ-の-、-ワイヤ、インターフェイスの IP アドレスとルーティング設定を必要としないと考えられます。それは単にあなたのルータの間に差し込むことができるし、トラフィックを渡すことを開始に切り替えます。私達は今後の記事で、今のところ他のインターフェイス型をカバー、vwire 構成に固執してみましょう。

 

アクティブなデバイスに接続されていない場合、インターフェイスは赤、ethernet1/1 が発信ルーターに接続されている、ethernet1/2 は、内部スイッチに接続されているし、両方のインターフェイスが緑であることを確認します。

 

6。セキュリティ ポリシーとログ

 

今では、お使いのデバイスを準備した let's セキュリティ ポリシーを見て、ブロックされる初期構成に出て良いトラフィックを許可して悪いトラフィックを設定します。

 

初期のセキュリティ ポリシーは単に検査することがなく、すべての送信トラフィックをことができます。Intrazone、interzone トラフィックをブロックと 2 つの既定の規則があります。現在、vwire には関係ないので今後のセッションでこれらの最後の 2 つにズームインします。

 

Rule1 を編集を開始し、'悪いアプリケーション' ブロック規則。

ソースとデスティネーションはそのままに。

[アプリケーション > アプリケーション フィルター、選択ピア ツー ピア。追加するアプリケーションまたはグループの名前を入力すると、すべてのアプリケーションをスクロールする必要がなく なります。

 

[操作] アクションが拒否設定されて好きではない、ピア ツー ピア、し [ok] をクリックします。

 

次に他のすべてを許可するセキュリティ ポリシーを作成します。後で ' allow ' ルールにアプリケーションを追加 することをお勧めしますが、今のところ、我々が好きではないことを知っているアプリケーションだけをブロックして残りを許可しましょう。インターネットにどのようなトラフィックが通過しているかを把握し、より多くのアプリケーションをブロックする かどうかを判断します。 

[ソース] で、LAN スイッチに接続されているインターフェイス2に関連付けられているソースゾーンとして[信頼] を選択します。

[宛先] で、インターフェイス1に関連付けられているゾーンとして[untrust] を選択し、インターネットルーターに接続します。

 

今のところは、appliactions を残す。 

 

[アクション] で、悪意のあるコンテンツの発信接続のスキャンを有効にするまたは URL セッションを参照するフィルタ リングを適用するセキュリティ プロファイルを追加します。

 

セキュリティ ポリシーはこのようになります。セキュリティ ポリシーが処理されるインターネット アクセス ポリシーが悪いアプリケーション ブロック ポリシーの下にあるを確認してくださいすべての新しい接続と最初に肯定的な一致を最上位に適用します。悪いアプリケーション ブロックのポリシーは、インターネット アクセス ルールの下に、ピア ツー ピア アプリケーションが許可されます。

 

今先に行くとこれらの変更をコミットし、[モニター] タブに移動します。コミット操作が完了すると、ログを開始興味深いトラフィック ログ、URL のログ、および脅威ログでいっぱいの任意の感染が検出された場合。

 

 

私はこの記事を楽しんでほしい。下記にコメントを残すこと自由に感じなさい!

 

敬具します。

トム Piens

 

セキュリティ ポリシーを設定できたら、このチュートリアル ビデオをチェックしてください。 

セキュリティ ポリシーの最適化

 

この記事を楽しんでいる場合、フォロー アップの記事を見てもください。

私は私のファイアウォールを展開したし、私に言ったことでした今は何ですか?

私のファイアウォールを展開した Vlan を構成するし -サブインタ フェース

私のファイアウォールを展開したが、ログはどこにありますか?