你好
这是汤姆与社区小组, 今天我们要看看如何硬化你的配置。
帕洛阿尔托防火墙设计时考虑了安全性, 但您仍然需要采取几项步骤来提高管理界面的安全性。
首先要做的事情之一是更改默认的管理员密码。如果您浏览到 "设备" 选项卡并转到管理员:
- 打开管理帐户
- 更改 "admin" 的默认密码, 这是很容易猜出, 更安全的东西
在准备防火墙以进行进一步部署时, 这将防止任何未经授权的访问。
另一个步骤是将管理员隔离到不同的组中, 并为它们提供不同的访问权限。您可以通过进入管理角色和创建新角色来完成此任务。有几个默认在那里已经, 但我会从一个新的, 以证明我们可以做什么。
例如, 如果我们有一个只需要访问特定日志的管理员组, 例如。我们可以简单地停用他们不需要访问的所有部件。例如, 我们可以禁用策略, 我们可以禁用对象、网络、设备选项卡。如果我们不希望他们能够看到完整的 IP 地址或连接在日志中的用户名, 我们可以禁用这些隐私以及。
如果我们现在创建一个管理员并将其设置为 "基于角色", 并选择日志管理配置文件。
让我们继续, 并承诺这一点..。
我要注销, 然后我将重新登录作为新创建的 logadmin。
正如您所看到的, 一些常用的选项卡已被删除: 没有更多的网络选项卡, 没有更多的对象, 没有更多的系统。唯一可用的是配置文件中保留的功能。因此, 我现在只能使用此管理员帐户访问仪表板、ACC 和显示器。所有 ip 地址也都已 anonomized, 因此此管理员无法标识单个 ip 地址。
让我重新登录。
在 "管理" 选项卡中, 您可以选择最小密码复杂性:
这将允许您设置几个参数, 如最小密码长度, 最小数目的上/下, 数字和特殊字符。阻止重复字符。它可以要求管理员在首次登录时更改其密码, 并设置每个密码有效的时间段。
让我们设置几个共同的值, 像一个最短的密码长度为七, 最小数目的大写一个, 最小的大小写一, 最小的数字一, 最小数目的特殊字符一。让我们防止重复使用2密码, 要求每六十天更改一次密码, 在密码需要更改之前有十天的宽限期, 然后要求管理员在第一次登录时更改密码。
您还可以设置密码配置文件, 它是最小密码复杂性的简化版本。最低密码复杂性将在全球应用, 在这种情况下, 可以将密码配置文件应用于将覆盖全局设置的单个管理员。因此, 如果我将其更改为, 例如, 十天, 而没有其他, 我可以转到管理员, 用我的密码配置文件覆盖全局设置。
下一步: 限制对接口本身的访问总是一个好主意。如果我们转到 "设置" 选项卡并选择 "接口", 然后打开管理界面。
首先, 您可以选择在接口本身上提供哪些服务。禁用 ping 始终是一个好主意, 它使接口微观, 这样就不太可能有人在界面上绊倒了。对于应用于 dataplane 接口的任何管理配置文件, 也同样适用。并为您的管理员 (子网或单个斜线三十二 (../32) ip 地址添加允许的 ip 地址列表, 以便只有这些 ip 地址能够访问此接口。
对于 dataplane 接口, 您可以转到 "网络" 选项卡, 访问接口管理, 创建一个配置文件, 启用您希望提供的服务。因此, 对于管理员 SSH 和 SSL 可能是有趣的。对于某些监视, SNMP 可能是一个好主意, 然后添加应该允许访问此接口 (包括任何 SNMP 监视器) 的任何和所有 IP 地址。然后继续访问接口, 并将配置文件添加到接口中。
当我们讨论 snmp 的主题时, 如果您转到操作并更改 snmp 设置, 我们可以将 snmp 社区字符串更改为复杂的内容, 这样就不能轻易猜到, 用户也不能滥用 snmp 环境, 或者如果您有一个 SNMPv3 启用的 snmp 服务器, 请继续并启用此项, 这一点更安全。
最后, 为您的配置日志条目设置系统日志的日志转发配置文件可能是个好主意。这样, 如果您的系统发生了某种情况, 可能有人更改了您的配置或其他事情发生, 您的日志将被转发到 "全景" 或 "电子邮件地址" 上。
让我告诉你这是怎么看的: 你可以添加一个电子邮件配置文件, 你可以添加一个服务器, 一个显示名称, 从, 到, 其他收件人 (让我们现在留空), 然后是电子邮件网关。
我最后的建议更具物理性: 确保管理界面位于隔离网络中, 无论是带外网络还是单独的 VLAN, 只能由应该访问该接口。
现在, 最后的步骤:
谢谢!
死神