开始视频 - 设置您的视频 Firewall

开始视频 - 设置您的视频 Firewall

74018
Created On 09/26/18 13:44 PM - Last Modified 03/26/21 17:04 PM


Symptom


I"已经解开了我的 firewall ,现在怎么办?

拆箱后 firewall ,或在出厂重置后,设备处于空白状态,只有最小配置和安装在工厂中的软件图像。 你从这里往哪里走? 我们在新的"开始"系列的第一期指导您完成操作准备的第一阶段 firewall 。

Resolution





我们将首先了解如何连接到许可证 firewall ,如何设置许可证,以便您可以下载新的软件和内容,以及如何准备您的第一个安全 policy 。

您首先需要配置的是管理 IP 地址,这样以后继续设置新设备就更方便了。

1. 初始设置

这两种方法可用来连接到新设备要么管理端口或以太网到 db 9 控制台电缆上使用网络电缆。

  • 使用管理端口时,必须重新配置您要使用的工作站,以便其网络界面 IP 的地址位于 192.168.1.0/24 IP 范围内,因为 IP 管理端口的默认值为 192.168.1.1。
  • 使用控制台电缆时,将终端模拟器设置为 9600baud、8 个数据位、1 个停止位、平价无 VT100。 如果您使用PuTTY,它应该附带适当的配置,如果连接类型设置为串行。

在准备电缆和工作站后,将设备插入电源插座并观看 firewall 启动。

控制台输出启动序列:

           Welcome to PanOS
Starting udev: [  OK  ]
Setting clock  (utc): Wed Oct 14 11:10:53 PDT 2015 [  OK  ]
Setting hostname 200:  [  OK  ]Checking filesystems:
   Running filesystem check on sysroot0: [  OK  ]
   Running filesystem check on pancfg: [  OK  ]
   Running filesystem check on panrepo: [  OK  ]
[  OK  ]
Remounting root filesystem in read-write mode:  [  OK  ]
Enabling /etc/fstab swaps:  [  OK  ]
INIT: Entering runlevel: 3
Entering non-interactive startup
Starting Networking: [  OK  ]
Starting system logger: [  OK  ]
Starting kernel logger: [  OK  ]
....
 

设备启动后,主机连接中会显示登录提示, SSH 或者 SSL 可以连接到 192.168.1.1。

我们将在第 SSH 1.1 步和第 1.2 步中突出显示控制台和图形用户界面 GUI ()。

1.1. 控制台和 SSH 连接

默认用户名和密码是 管理员/管理员,所以我们将继续登录以显示 CLI 。 从这里开始,我们将开始 IP 为设备设置正确的地址和子网,以及默认的网关和 DNS 设置,以便设备可以稍后收集更新。

login as: admin
Using keyboard-interactive authentication.
Password:
Last login: Wed Oct 14 11:57:16 2015 from 192.168.1.168
Warning: Your device is still configured with the default admin account credentials. Please change your password prior to deployment.
admin@PA-200> configure
Entering configuration mode
[edit]
admin@PA-200# set deviceconfig system ip-address 10.0.0.10 netmask 255.255.255.0 default-gateway 10.0.0.1 dns-setting servers primary 4.2.2.2


使用 提交 命令将新设置应用到系统中。

admin@PA-200# commit


..................55%...60%75%.99%...........100%
Configuration committed successfully

[edit]

此时,您将丢失 SSH 并 SSL 访问设备,因为 IP 地址已更改,管理服务重新启动以采用这些更改。 现在,您需要重新连接到新 IP 地址-请跳转到步骤1.3。

1.2. Web 界面初始设置

当您首次连接到 Web 界面时,您的浏览器可能会显示错误消息。 这是因为 web 接口使用的证书是自签名的证书,您的浏览器不信任。 此时您可以安全地忽略错误消息,该错误消息随后将您带到登录屏幕:

使用默认用户名和密码 管理员/管理员登录。

导航到设备>设置>管理,在那里您可以更改管理界面设置:
  • 更改界面配置并单击 OK 。
  • 接下来,选择服务选项卡并配置 DNS 服务器。
  • 应用设备更改,单击右上角的提交链接: 
提交完成后,当地址更改时,浏览器最终会出时间 IP ,因此您需要手动更改地址栏中的地址才能重新连接到新 IP 地址。

1.3 完成第一步

firewall 现在配置了一个适当的 IP 地址,以便在 LAN 您的网络中工作,因此请继续连接电缆:
  • 连接到路由器的接口 1
  • 连接到交换机的接口 2
  • 将管理 (mgmt) 接口连接到开关
您应该能够 IP 从网络连接到管理层,并且应该能够上网冲浪。

2. 准备许可证和更新系统

要允许下载内容和应用程序更新或软件升级,系统需要获得许可。 各种许可证控制系统的不同功能, 因此,
  • 支持 许可证使系统有权获得软件和 AppID 更新
  • 威胁防护 许可证添加病毒、威胁和恶意软件签名
  • URL 许可证启用 URL 用于安全策略的类别
如果设备尚未在支持门户上注册,请按照以下步骤注册设备: 如何注册 Palo Alto 网络设备、备用 Traps 设备或 VM- 系列 Auth 码

导航到设备选项卡,并从左侧窗格中选择许可证:
  • 如果设备已使用上述方法进行注册,并且已经添加了身份验证代码,请继续 从许可证服务器中选择检索许可证密钥。
  • 如果设备已注册,但尚未添加许可证,请 使用授权代码选择"激活"功能 ,通过其授权代码激活许可证,您将从您的 Palo Alto 销售联系人那里收到该代码。

现在,您已准备好开始更新此设备上的内容,因此请导航到设备>动态更新。

2.1 更新内容

此页面首次打开时,将没有可见的软件包供下载。 系统将首先需要获取可用的更新列表,然后才能显示哪些可用,因此请选择"立即检查"。

当系统检索可用更新列表时,应用程序威胁将可用。 您可能会注意到防病毒软件包丢失。 仅在下载和安装"应用程序和威胁包"后才会显示。

下载包后,继续将其安装在系统上。

当应用程序和威胁包已安装时,立即运行另一个检查以检索防病毒

现在下载并安装防病毒包,就像您使用"应用程序和威胁"包一样。

2.2 设置时间表

完成这些任务后,这是为每个包设置一个时间表的好时机,以便在方便您的时间内自动下载和安装。 更新可以安装在生产过程中和不中断现有会话内容,所以它是安全的来应用更新在白天。 但是,大多数组织选择在夜间或下班时间执行更新,以最大限度地降低风险。

单击计划旁边的时间框架来设置时间表。

设置相应的时间表后,提交更改。

2.3 升级系统

提交完成后,继续将系统升级到较新的系统 PAN-OS ,以防将设备安装在较旧的设备上 OS 。

导航到设备>软件。 首次访问此选项卡时,弹出窗口显示没有可用的更新信息因为系统以前与更新服务器没有联系,也不知道哪些更新可用。 继续关闭此弹出窗口,然后选择"立即检查"。

有关 BEST PRACTICES GUIDE FOR PAN-OS UPGRADE 如何正确升级设备的更多信息,请查看。

3. 准备安全配置文件

系统预加载了每个类别中的默认安全配置文件。

现在,您将使用这些默认配置文件开始配置,但过滤除外 URL 。 导航到对象选项卡,选择安全配置文件> URL 筛选,并添加新的 URL 筛选配置文件。

在此第一个自定义 URL 筛选配置文件中,首先设置所有操作以提醒而不是允许,因为允许操作不会创建 URL 筛选日志条目。 设置操作以提醒以了解网络上发生的 Web 浏览类型。

所有其他默认配置文件应已经为网络安全和攻击性会话在适当的日志中可见提供了足够的覆盖。 接下来,您将准备一组不需要的应用程序。

4. 应用程序

下载更新包后, firewall 包含许多应用程序,你可以用来创建安全 policy ,但这些应用程序也配备了有用的元数据,以创建基于他们的行为的应用程序组,称为应用程序过滤器。 应用程序筛选器不必手动将应用程序添加到组并保持列表当前,而是自动将与特定行为匹配的新应用添加到应用程序筛选器中,使安全性 policy 能够采取适当的操作。

首先创建一个具有不良行为的应用程序筛选器 policy 。 转到对象选项卡,然后选择应用筛选器。

例如,您将创建一个名为点对点的应用程序筛选器,其中添加与子类别 文件共享 和技术 点对点

匹配的所有应用程序。现在,您已准备好设置第一个安全设置 policy 并查看日志,但首先,让我们快速绕道查看网络配置。

5. 网络配置

如果您导航到网络选项卡并查看接口,则会发现接口 1 和 2 都设置为虚拟线或 vwire,并且都添加到默认的 vwire 中

A 。 vwire 与其他类型的界面配置相比有一些有趣的优势:它被认为是一个在接线中颠簸,不需要 IP 界面上的地址,也没有路由配置。 它简单可以插入在您的路由器和交换机,以开始传递交通。 我们将在即将发表的文章中涵盖其他界面类型,但现在,让我们坚持使用 vwire 配置。

6. 安全和 policy 记录

现在您已准备了设备,让我们查看安全策略并设置初始配置,允许良好的流量和坏流量被阻止。

初始安全 policy 性只是允许所有出站流量,无需检查即可。 有两个主要的允许和阻止区间交通的默认规则。 我们将在即将到来的会议上放大这最后两个,因为它们目前与 vwire 无关。

从编辑规则1开始,并使其成为"坏应用程序"块规则:

  • 正如他们离开的源和目标。
  • 根据应用程序 > 选择点对点应用程序筛选器。 它有助于键入要添加的应用程序或组的名称 -无需滚动浏览所有应用程序:
  • 在"操作"下,将操作设置为"拒绝",因为您不喜欢点对点,然后单击 OK 。
接下来,您将创建一个安全性 policy ,以允许其他一切。 我们建议稍后应用程序添加到"允许"规则中,但目前,让我们只阻止我们知道我们不喜欢的应用程序,并允许其余应用程序,以便您可以了解互联网上传递的流量类型,并决定是否要阻止更多的应用程序下线。 
  • 在源下,选择信任 作为与接口 2 关联的源区,接口 2 连接到 LAN 交换机。
  • 在"目的地"下,选择不信任作为与接口 1 关联并连接到 Internet 路由器的区域。
  • 立即将应用程序保留为 "任何 "。 
  • 在"操作"下,您将添加安全配置文件,以便扫描传出的恶意内容连接,或将 URL 筛选应用到浏览会话中。
确保 Internet 访问 policy 位于坏应用程序块的下面 policy ,因为 policy 每个新连接的安全性都会从上到下处理,并且第一个正匹配适用。 如果不良应用块 policy 位于 Internet 访问规则的下面,则允许点对点应用程序。

现在继续并提交这些更改并导航到监视器选项卡。 当提交操作完成后,日志开始充满有趣的流量 URL 和威胁信息,如果发现任何感染

I 。 请随时留下评论,看看我们的其他情节在 开始系列

 

 


问候,
汤姆 · 皮恩斯

Additional Information


第 1 天配置:它做什么?

在注册过程结束时注册新设备时,会出现可选的新步骤,要求您运行 第 1 天配置

这一步是做什么的,运行它有什么好处?

Day 1 配置工具通过提供引入最佳实践配置的模板,帮助构建坚固的基线配置,作为构建其余配置的基础。

配置模板基于帕洛阿尔托网络公司现有的最佳实践建议。

Day 1 配置模板不是广泛而详细的"操作"文档,而是提供易于实现的配置模型,该模型是不可知用的。 重点是关键安全要素,例如:动态更新、安全配置文件、规则和记录,这些要素应在整个部署中保持一致。
 

BLOG DAY :1CONFIGURATION
DAY1 CONFIGURATION WHAT DOES IT DO :
BLOG DAY CONFIGURATION TOOL FOR PANORAMA
VIDEO TUTORIAL DAY ::1CONFIGURATION TOOL
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CllmCAC&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language