Erste Schritte Video - Einrichten Ihrer Firewall

Die zwei Methoden zur Verfügung, um auf das neue Gerät zu verbinden ist entweder ein Netzwerkkabel verwenden, auf den Management-Port oder eine Ethernet-zu-Db-9 Konsolenkabel.

• Wenn Sie den Verwaltungsport verwenden, muss die Arbeitsstation, die Sie verwenden, neu konfiguriert werden, damit ihre Netzwerkschnittstelle eine IP Adresse im Bereich 192.168.1.0/24 IP hat, da der Standardwert IP des Verwaltungsports 192.168.1.1 ist.

• Wenn Sie ein Konsolenkabel verwenden, stellen Sie den Terminalemulator auf 9600baud, 8 Datenbits, 1 Stoppbit, Parität keine, VT100. Wenn Sie PuTTY verwenden, sollte es mit der entsprechenden Konfiguration kommen, wenn der Verbindungstyp auf Serial festgelegtist.

Nach der Vorbereitung der Kabel und des Arbeitsplatzes schließen Sie das Gerät an eine Steckdose an und beobachten Sie den firewall Start.

Die Konsole gibt die Startsequenz aus:

           Welcome to PanOS
Starting udev: [  OK  ]
Setting clock  (utc): Wed Oct 14 11:10:53 PDT 2015 [  OK  ]
Setting hostname 200:  [  OK  ]Checking filesystems:
   Running filesystem check on sysroot0: [  OK  ]
   Running filesystem check on pancfg: [  OK  ]
   Running filesystem check on panrepo: [  OK  ]
[  OK  ]
Remounting root filesystem in read-write mode:  [  OK  ]
Enabling /etc/fstab swaps:  [  OK  ]
INIT: Entering runlevel: 3
Entering non-interactive startup
Starting Networking: [  OK  ]
Starting system logger: [  OK  ]
Starting kernel logger: [  OK  ]
....

Nach dem Booten des Geräts wird eine Anmeldeaufforderung in der Konsolenverbindung angezeigt, oder es SSH SSL können Verbindungen zu 192.168.1.1 hergestellt werden.

Wir markieren die Konsole und SSH in Schritt 1.1. und die grafische Benutzeroberfläche ( GUI ) in Schritt 1.2.

1.1. Konsole und SSH Verbindung

Der Standardbenutzername und das Standardkennwort sind admin / admin, also melden wir uns an, um die CLI anzuzeigen. Von hier aus beginnen wir mit dem Einrichten der richtigen IP Adresse und des Subnetzes für das Gerät sowie des Standardgateways und der DNS Einstellungen, damit das Gerät später Aktualisierungen sammeln kann.

login as: admin
Using keyboard-interactive authentication.
Password:
Last login: Wed Oct 14 11:57:16 2015 from 192.168.1.168
Warning: Your device is still configured with the default admin account credentials. Please change your password prior to deployment.
admin@PA-200> configure
Entering configuration mode
[edit]
admin@PA-200# set deviceconfig system ip-address 10.0.0.10 netmask 255.255.255.0 default-gateway 10.0.0.1 dns-setting servers primary 4.2.2.2

Verwenden Sie den Commit-Befehl, um die neuen Einstellungen auf das System anzuwenden.

admin@PA-200# commit


..................55%...60%75%.99%...........100%
Configuration committed successfully

[edit]

• Ändern Sie die Schnittstellenkonfiguration, und klicken Sie auf OK .
• Wählen Sie als Nächstes die Registerkarte Dienste aus, und konfigurieren Sie einen DNS Server.
• Wenden Sie Änderungen auf das Gerät an, klicken Sie oben rechts auf den Commit-Link: 

• Schnittstelle 1 mit dem Router verbinden
• Schnittstelle 2 an den Schalter anschließen
• Verbinden Sie die Management-Schnittstelle (mgmt) mit dem Switch

• Support-Lizenz berechtigt das System zu Software- und AppID-Updates
• ThreatPrevention-Lizenz fügt Viren, Bedrohungen und Malware-Signaturen hinzu
• URL Lizenz ermöglicht URL Kategorien für die Verwendung in Sicherheitsrichtlinien

• Wenn das Gerät mit der oben genannten Methode registriert wurde und Auth-Codes bereits hinzugefügt wurden, wählen Sie Lizenzschlüssel vom Lizenzserver abrufen aus.

• Wenn das Gerät registriert wurde, aber noch keine Lizenzen hinzugefügt wurden, wählen Sie Funktion aktivieren mithilfe des Autorisierungscodes aus, um eine Lizenz über den Autorisierungscode zu aktivieren, den Sie von Ihrem Palo Alto-Verkaufskontakt erhalten haben.

Jetzt können Sie mit der Aktualisierung des Inhalts auf diesem Gerät beginnen, also navigieren Sie zum Gerät > dynamische Updates.

2.1 Inhalt aktualisieren

Wenn diese Seite zum ersten Mal geöffnet wird, gibt es keine sichtbaren Pakete zum Download. Das System muss zunächst eine Liste der verfügbaren Updates abrufen, bevor es anzeigen

kann, welche verfügbar sind. Wenn das System eine Liste der verfügbaren Updates abruft, wird das Paket "Anwendungen und Bedrohungen" verfügbar. Möglicherweise stellen Sie fest, dass das AntiVirus-Paket fehlt. Es wird erst nach dem Herunterladen und Installieren des Anwendungs- und Bedrohungspakets angezeigt.

Nachdem das Paket heruntergeladen wurde, fahren Sie fort und installieren Sie es auf dem System.

Wenn das Paket "Anwendungen und Bedrohungen" installiert wurde, führen Sie eine weitere Option jetzt überprüfen aus, um das Antivirus-Paket abzurufen.

Laden Sie jetzt das Antivirus-Paket herunter und installieren Sie es genau wie mit dem Paket "Anwendungen und Bedrohungen".

2.2 Festlegen eines Zeitplans

Wenn diese Aufgaben abgeschlossen sind, ist dies ein guter Zeitpunkt, um einen Zeitplan für jedes Paket festzulegen, das automatisch heruntergeladen und installiert werden soll, zu einem Zeitpunkt, der für Sie bequem ist. Content Updates installiert werden können, während der Produktion und nicht vorhandene Sitzungen unterbrechen, also ist es sicher, im Laufe des Tages Updates anwenden. Die meisten Unternehmen entscheiden sich jedoch dafür, Updates während der Nacht oder außerhalb der Öffnungszeiten durchzuführen, um das Risiko zu minimieren.

Legen Sie einen Zeitplan fest, indem Sie auf den Zeitrahmen neben dem Zeitplan klicken.

Nachdem Sie die entsprechenden Zeitpläne gesetzt haben, übernehmen Sie die Änderung.

2.3 Aktualisieren des Systems

Nachdem der Commit abgeschlossen ist, gehen Sie vor und aktualisieren Sie das System auf ein neueres, PAN-OS falls das Gerät auf einem älteren installiert OS ist.

Navigieren Sie zur Device > Software. Wenn Sie zum ersten Mal auf diese Registerkarte zugreifen, werden in einem Popup keine Aktualisierungsinformationen angezeigt, da das System keinen vorherigen Kontakt mit dem Updateserver hat und nicht weiß, welche Updates verfügbar sind. Gehen Sie vor an und schließen Sie dieses Popup, und wählen Sie dann Jetzt überprüfen aus.

Weitere Informationen zum ordnungsgemäßen Upgrade Ihres Geräts finden Sie BEST PRACTICES GUIDE FOR PAN-OS UPGRADE unter.

3. Vorbereiten von Sicherheitsprofilen

Das System ist mit einem Standardsicherheitsprofil in jeder Kategorie vorinstalliert.

Vorerst starten Sie die Konfiguration mit diesen Standardprofilen, mit Ausnahme URL der Filterung. Navigieren Sie zur Registerkarte Objekte, wählen Sie Sicherheitsprofile > URL Filtern aus, und fügen Sie ein neues URL Filterprofil hinzu.

Legen Sie in diesem ersten benutzerdefinierten Filterprofil zunächst fest, indem URL Sie alle Aktionen auf Warnung statt Als Zulassen festlegen, da die Aktion zulassen keinen URL Filterprotokolleintrag erstellt. Legen Sie Warnungsaktionen fest, um einen Einblick in die Art des Web-Browsings im Netzwerk zu erhalten.

Alle anderen Standardprofile sollten bereits eine ausreichende Abdeckung für die Netzwerksicherheit und für anstößige Sitzungen bieten, die in den entsprechenden Protokollen sichtbar werden. Als Nächstes bereiten Sie die Gruppe unerwünschter Anwendungen vor.

4. Anwendungen

Nach dem Herunterladen von Updatepaketen enthält der viele Anwendungen, die Sie zum Erstellen von Sicherheit verwenden firewall policy können, aber diese Anwendungen werden auch mit nützlichen Metadaten geladen, um Gruppen von Anwendungen basierend auf ihrem Verhalten zu erstellen, der als Anwendungsfilter bezeichnet wird. Anstatt Anwendungen manuell zu einer Gruppe hinzufügen zu müssen und die Liste auf dem aktuellen Stand zu halten, fügt der Anwendungsfilter automatisch neue Anwendungen hinzu, die einem bestimmten Verhalten entsprechen, sodass die Sicherheit policy entsprechende Maßnahmen ergreifen kann.

Erstellen Sie einen Anwendungsfilter mit unerwünschtem Verhalten für die erste policy . Wechseln Sie zur Registerkarte Objekte, und wählen Sie dann Anwendungsfilter aus.

Als Beispiel erstellen Sie einen Anwendungsfilter namens Peer-to-Peer, in dem Sie alle Anwendungen hinzufügen, die mit der Dateifreigabe der Unterkategorie und der Technologie Peer-to-Peer übereinstimmen.

Jetzt können Sie Ihre erste Sicherheit einrichten policy und sich die Protokolle ansehen, aber zuerst machen wir einen kurzen Umweg, um die Netzwerkkonfiguration zu betrachten.

5. Netzwerkkonfiguration

Wenn Sie zur Registerkarte Netzwerk navigieren und Schnittstellen betrachten, sehen Sie, dass die Schnittstellen 1 und 2 sowohl als Virtueller Draht oder vwire eingerichtet sind, als auch als vwire eingerichtet sind und beide dem default-vwire hinzugefügt werden.

A vwire hat einige interessante Vorteile gegenüber anderen Arten von Schnittstellenkonfigurationen: Es wird als Bump-in-the-Wire betrachtet, der keine IP Adresse auf der Schnittstelle und kein Konfigurationsrouting erfordert. Es kann einfach zwischen Ihrem Router angeschlossen werden und wechseln um Durchgangsverkehr zu starten. Wir behandeln andere Schnittstellentypen in kommenden Artikeln, aber vorerst bleiben wir bei der vwire-Konfiguration.

6. Sicherheit policy und Protokollierung

Jetzt, da Sie Ihr Gerät vorbereitet haben, sehen wir uns die Sicherheitsrichtlinien an und richten eine erste Konfiguration ein, die es ermöglicht, guten Datenverkehr zu ergehen und fehlerhaften Datenverkehr zu blockieren.

Die anfängliche Sicherheit policy erlaubt einfach den gesamten ausgehenden Datenverkehr, ohne Inspektion. Es gibt zwei Standardregeln, die Intrazone zulassen und interzone Datenverkehr blockiert. Wir zoomen auf diese beiden letzten in einer kommenden Sitzung, da sie derzeit nicht für den vwire relevant sind.

Beginnen Sie mit der Bearbeitung von Regel1 und machen Sie sie zur Blockregel "Schlechte Anwendungen":

• Lassen Sie die Quelle und das Ziel, wie sie sind.
• Unter Anwendung > Anwendungsfilter, wählen Sie Peer-to-Peer. Es hilft, den Namen der Anwendung oder Gruppe einzugeben, die Sie hinzufügen möchten –keine Notwendigkeit, durch alle Anwendungen zu scrollen:
• Legen Sie unter Aktionen die Aktion auf Verweigern fest, da Sie Peer-to-Peer nicht mögen, und klicken Sie auf OK .

• Wählen Sie unter Quelle Die Vertrauensstellung als Quellzone aus, die Schnittstelle 2 zugeordnet ist, die mit dem Switch verbunden LAN ist.
• Wählen Sie unter Ziel die Option Nicht vertrauenswürdig als Zone aus, die Mitgrenzung 1 verknüpft und mit dem Internetrouter verbunden ist.
• Lassen Sie die Anwendungen vorerst als Any.  
• Unter Aktionen fügen Sie Sicherheitsprofile hinzu, um das Scannen ausgehender Verbindungen auf schädliche Inhalte zu ermöglichen oder URL die Filterung auf Browsersitzungen anzuwenden.

Das Day 1 Configuration Tool hilft beim Erstellen einer stabilen Basiskonfiguration, indem Vorlagen bereitgestellt werden, die die Best Practice-Konfiguration als Grundlage für den Rest der Konfiguration bereitstellen.

Die Konfigurationsvorlagen basieren auf vorhandenen Best Practice-Empfehlungen von Palo Alto Networks.

Anstelle einer ausführlichen und detaillierten Anleitung bieten die Day 1-Konfigurationsvorlagen ein einfach zu implementierendes Konfigurationsmodell, das anwendungsunabhängig ist. Der Schwerpunkt liegt auf wichtigen Sicherheitselementen, z. B. dynamische Updates, Sicherheitsprofile, Regeln und Protokollierung, die über Allehinaus hinweg konsistent sein sollten.
 

BLOG: DAY 1CONFIGURATION
DAY1 : CONFIGURATION WHAT DOES IT DO ?
BLOG: DAY CONFIGURATION TOOL FOR PANORAMA
VIDEO TUTORIAL: DAY 1CONFIGURATION TOOL