Démarrer la vidéo - Mise en place de votre Firewall

Les deux méthodes disponibles pour se connecter sur le nouveau périphérique est soit via un câble réseau sur le port de gestion ou d’un câble ethernet à db-9 console.

• Lors de l’utilisation du port de gestion, le poste de travail que vous utiliserez doit être reconfiguré de sorte que son interface réseau a IP une adresse dans la gamme 192.168.1.0/24, IP comme le défaut du port de gestion sera IP 192.168.1.1.

• Lors de l’utilisation d’un câble console , réglez l’émulateur terminal à 9600baud, 8 bits de données, 1 bit d’arrêt, parité aucun, VT100. Si vous utilisez PuTTY, il doit venir avec la configuration appropriée si le type de connexion est défini sur Serial.

Après avoir préparé les câbles et le poste de travail, branchez l’appareil dans une prise électrique et regardez firewall le démarrage.

La console sortie la séquence de démarrage :

           Welcome to PanOS
Starting udev: [  OK  ]
Setting clock  (utc): Wed Oct 14 11:10:53 PDT 2015 [  OK  ]
Setting hostname 200:  [  OK  ]Checking filesystems:
   Running filesystem check on sysroot0: [  OK  ]
   Running filesystem check on pancfg: [  OK  ]
   Running filesystem check on panrepo: [  OK  ]
[  OK  ]
Remounting root filesystem in read-write mode:  [  OK  ]
Enabling /etc/fstab swaps:  [  OK  ]
INIT: Entering runlevel: 3
Entering non-interactive startup
Starting Networking: [  OK  ]
Starting system logger: [  OK  ]
Starting kernel logger: [  OK  ]
....

Une fois l’appareil démarré, une invite de connexion est affichée dans la connexion console et SSH ou des SSL connexions peuvent être faites au 192.168.1.1.

Nous allons mettre en évidence la console et SSH à l’étape 1.1. et l’interface utilisateur graphique ( GUI ) dans l’étape 1.2.

1.1. Console et SSH connexion

Le nom d’utilisateur par défaut et mot de passe sont admin / admin, donc nous allons aller de l’avant et se connecter pour révéler le CLI . À partir de là, nous allons commencer à mettre en place IP l’adresse appropriée et sous-réseau pour l’appareil, et la passerelle par défaut et DNS les paramètres, de sorte que l’unité peut recueillir des mises à jour plus tard.

login as: admin
Using keyboard-interactive authentication.
Password:
Last login: Wed Oct 14 11:57:16 2015 from 192.168.1.168
Warning: Your device is still configured with the default admin account credentials. Please change your password prior to deployment.
admin@PA-200> configure
Entering configuration mode
[edit]
admin@PA-200# set deviceconfig system ip-address 10.0.0.10 netmask 255.255.255.0 default-gateway 10.0.0.1 dns-setting servers primary 4.2.2.2

Utilisez la commande commit pour appliquer les nouveaux paramètres au système.

admin@PA-200# commit


..................55%...60%75%.99%...........100%
Configuration committed successfully

[edit]

• Modifiez la configuration de l’interface et cliquez OK .
• Ensuite, sélectionnez l’onglet Services et configurez un DNS serveur.
• Appliquez des modifications à l’appareil, cliquez sur le lien Commit en haut à droite : 

• Connecter l’Interface 1 au routeur
• 2 Interface pour connecter le commutateur
• Connectez l’interface Gestion (mgmt) au commutateur

• La licence de support donne droit au système aux mises à jour logicielles et AppID
• La licence ThreatPrevention ajoute des signatures de virus, de menaces et de logiciels malveillants
• URL licence permet des URL catégories pour une utilisation dans les politiques de sécurité

• Si l’appareil a été enregistré en utilisant la méthode ci-dessus et que des codes auth ont déjà été ajoutés, allez-y et sélectionnez récupérer les clés de licence du serveur de licence.

• Si l’appareil a été enregistré mais qu’aucune licence n’a encore été ajoutée, sélectionnez activer la fonctionnalité en utilisant le code d’autorisation pour activer une licence via son code d’autorisation, que vous aurez reçu de votre contact de vente à Palo Alto.

Maintenant, vous êtes prêt à commencer à mettre à jour le contenu de cet appareil, alors naviguez vers l’appareil et > mises à jour dynamiques.

2.1 Mise à jour du contenu

La première fois que cette page s’ouvre, il n’y aura pas de paquets visibles à télécharger. Le système devra d’abord aller chercher une liste de mises à jour disponibles avant qu’il puisse afficher ceux qui sont disponibles, alors sélectionnez Check Now.

Lorsque le système récupère une liste de mises à jour disponibles, le package Applications et Menaces devient disponible. Vous remarquerez peut-être que le paquet AntiVirus est manquant. Il n’apparaît qu’après le téléchargement et l’installation du package Applications et Menaces.

Après le téléchargement du paquet, allez-y et installez-le sur le système.

Lorsque le paquet Applications et Menaces a été installé, exécutez un autre Check Now pour récupérer le package Antivirus.

Téléchargez et installez maintenant le package Antivirus comme vous l’avez fait avec le package Applications et Menaces.

2.2 Établissement d’un calendrier

Avec ces tâches accomplies, c’est le bon moment pour définir un calendrier pour chaque paquet à télécharger et installer automatiquement à un moment qui vous convient. Contenu mises à jour peuvent être installés au cours de la production et ne pas interrompre les sessions existantes, alors il est sûr d’appliquer les mises à jour pendant la journée. Toutefois, la plupart des organisations choisissent d’effectuer des mises à jour pendant la nuit ou en dehors des heures de travail afin de minimiser les risques.

Définissez un calendrier en cliquant sur le délai suivant l’horaire.

Après avoir définir les horaires appropriés, engagez la modification.

2.3 Mise à niveau du système

Une fois l’engagement terminé, allez-y et mettez à niveau le système à un plus récent PAN-OS au cas où l’appareil est installé sur un ancien OS .

Accédez au logiciel >'appareil. La première fois que vous accédez à cet onglet, un popup affiche aucune information de mise à jour disponible, parce que le système n’a aucun contact antérieur avec le serveur de mise à jour et ne sait pas quelles mises à jour sont disponibles. Allez-y et fermez ce popup, puis sélectionnez Check Now.

Consultez la recherche de BEST PRACTICES GUIDE FOR PAN-OS UPGRADE plus d’informations sur la façon de mettre à niveau votre appareil correctement.

3. Préparation des profils

de sécurité Le système est préchargé avec un profil de sécurité par défaut dans chaque catégorie.

Pour l’instant, vous démarrez la configuration avec ces profils par défaut, à l’exception du URL filtrage. Accédez à l’onglet Objets, sélectionnez profils de sécurité > URL filtrage et ajoutez un nouveau URL profil de filtrage.

Dans ce premier profil de URL filtrage personnalisé, commencez par définir toutes les actions à alerter plutôt qu’à autoriser, car l’action autoriser ne crée pas URL d’entrée de journal de filtrage. Définissez des actions à alerter pour avoir un aperçu du type de navigation web qui se passe sur le réseau.

Tous les autres profils par défaut devraient déjà fournir une couverture suffisante pour la sécurité du réseau et pour que les sessions offensives deviennent visibles dans les journaux appropriés. Ensuite, vous préparerez le groupe d’applications indésirables.

4. Applications

Après avoir téléchargé des paquets de mise à jour, le contient beaucoup firewall d’applications que vous pouvez utiliser pour créer la policy sécurité , mais ces applications sont également chargées de métadonnées utiles pour créer des groupes d’applications en fonction de leur comportement, appelé un filtre d’application . Plutôt que d’avoir à ajouter manuellement des applications à un groupe et à maintenir la liste à jour, le filtre d’application ajoute automatiquement de nouvelles applications qui correspondent à un certain comportement au filtre d’application, permettant à la sécurité de prendre les policy mesures appropriées.

Créez un filtre d’application avec un comportement indésirable pour le premier policy . Allez à l’onglet Objets, puis sélectionnez Filtres d’application.

À titre d’exemple, vous créerez un filtre d’application appelé peer-to-peer, où vous ajoutez toutes les applications qui correspondent au partage de fichiers Subcategory et à la technologie peer-to-peer.

Maintenant, vous êtes prêt à configurer votre première sécurité policy et regarder les journaux, mais tout d’abord, nous allons faire un détour rapide pour regarder la configuration du réseau.

5. Configuration réseau

Si vous naviguez vers l’onglet Réseau et regardez interfaces, vous voyez que les interfaces 1 et 2 sont toutes deux définies sous le nom de Virtual Wire, ou vwire, et sont toutes deux ajoutées à la par défaut-vwire. vwire a quelques avantages intéressants par rapport

A à d’autres types de configurations d’interface: il est considéré comme une bosse-dans-le-fil, qui ne nécessite IP aucune adresse sur l’interface et aucune configuration de routage. Il peut simplement être branché entre votre routeur et commutateur pour démarrer en passant de trafic. Nous allons couvrir d’autres types d’interface dans les prochains articles, mais pour l’instant, nous allons nous en tenir à la configuration vwire.

6. Sécurité policy et enregistrement Maintenant que vous avez préparé votre appareil, examinons les stratégies de sécurité et mettons en place une configuration initiale qui permet à un

bon trafic de sortir et à bloquer le mauvais trafic.

La sécurité initiale policy permet simplement tout le trafic sortant, sans inspection. Il y a deux règles par défaut qui permettent intrazone et bloquent le trafic interzone. Nous allons zoomer sur ces deux derniers dans une session à venir car ils ne sont pas actuellement pertinents pour le vwire.

Commencez par modifier la règle1 et en faire la règle du bloc « mauvaises applications » :

• Laissez la source et destination telles quelles.
• En vertu de l’Application > filtre d’Application, sélectionnez peer-to-peer. Il aide à taper le nom de l’application ou du groupe que vous souhaitez ajouter — pas besoin de fairedéfiler toutes les applications :
• Sous Actions, définissez l’action à Refuser car vous n’aimez pas peer-to-peer, et cliquez OK sur .

• Sous Source, sélectionnez la confiance comme zone source associée à Interface 2, qui est connecté au LAN commutateur.
• Sous Destination, sélectionnez le mensonge comme zone associée à interface 1 et connecté au routeur Internet.
• Laissez les applications comme n’importe quelle pour l’instant. 
• Sous Actions, vous ajouterez des profils de sécurité pour activer la numérisation des connexions sortantes pour le contenu malveillant ou pour appliquer le URL filtrage aux sessions de navigation.

L’outil configuration Day 1 aide à construire une configuration de base robuste en fournissant des modèles qui introduisent la configuration des meilleures pratiques comme base sur laquelle le reste de la configuration peut être construit.

Les modèles de configuration sont basés sur les recommandations de bonnes pratiques existantes de Palo Alto Networks.

Au lieu d’une documentation complète et détaillée, les modèles de configuration day 1 fournissent un modèle de configuration facile à implémenter qui est agnostique de cas d’utilisation. L’accent est mis sur les éléments de sécurité clés, tels que : les mises à jour dynamiques, les profils de sécurité, les règles et l’enregistrement qui devraient être cohérents entre les déploiements.
 

BLOG: DAY 1CONFIGURATION
DAY1 CONFIGURATION : WHAT DOES IT DO ?
BLOG: DAY CONFIGURATION TOOL FOR PANORAMA
VIDEO TUTORIAL: DAY 1CONFIGURATION TOOL