PAN-OS管理员指南：防火墙配置和管理

需积分: 17 134 浏览量更新于2024-07-06 收藏 40.32MB PDF 举报

PAN-OS 管理员指南 - V9.0 中文版 PAN-OS 管理员指南是 Palo Alto Networks 官方发布的管理员配置指南，旨在帮助管理员快速掌握 PAN-OS 的配置和管理。该指南涵盖了 PAN-OS 的所有方面，包括入门指南、防火墙集成、管理策略、初始配置、网络访问权、注册防火墙、创建新支持账户等。本指南共分为九大部分，分别是： 1. 入门指南：介绍 PAN-OS 的基本概念和架构，包括防火墙的基本组件、网络架构、安全策略等。 2. 防火墙集成：详细介绍如何将防火墙集成到管理网络中，包括防火墙的安装、配置、管理等。 3. 管理策略：讲解如何确定管理策略，包括安全策略、网络策略、应用策略等。 4. 执行初始配置：指导管理员如何执行初始配置，包括防火墙的基本配置、网络配置、安全配置等。 5. 设置外部服务的网络访问权：介绍如何设置外部服务的网络访问权，包括防火墙规则、网络地址转换、端口映射等。 6. 注册防火墙：指导管理员如何注册防火墙，包括防火墙的激活、License 管理、软件升级等。 7. 创建新支持账户：讲解如何创建新支持账户，包括账户类型、权限管理、身份验证等。 8. 防火墙管理：详细介绍防火墙的管理，包括日志管理、报表分析、故障排除等。 9. 附加资源：提供了其他相关资源，包括技术文档、视频教程、社区支持等。 PAN-OS 管理员指南旨在帮助管理员快速掌握 PAN-OS 的配置和管理，提高防火墙的安全性和性能。该指南适合所有级别的管理员，从初学者到经验丰富的管理员都可以从中获益。在本指南中，我们将详细介绍 PAN-OS 的所有方面，包括入门指南、防火墙集成、管理策略、初始配置、网络访问权、注册防火墙、创建新支持账户等。通过本指南，管理员可以快速掌握 PAN-OS 的配置和管理，提高防火墙的安全性和性能。 PAN-OS 管理员指南是 Palo Alto Networks 官方发布的管理员配置指南，旨在帮助管理员快速掌握 PAN-OS 的配置和管理。本指南涵盖了 PAN-OS 的所有方面，包括入门指南、防火墙集成、管理策略、初始配置、网络访问权、注册防火墙、创建新支持账户等。

区域保护和 DoS 保护..................................................................................1123

使用区域进行网络分段........................................................................................................................ 1124

区域如何保护网络？............................................................................................................................ 1125

区域防御................................................................................................................................................. 1126

区域防御工具............................................................................................................................ 1126

区域防御工具如何运行？....................................................................................................... 1127

适用于 Dos 保护的防火墙布置.............................................................................................1128

用于设置泛滥阈值的 CPS 基线测量.................................................................................... 1128

区域保护配置文件....................................................................................................................1129

数据包缓冲区保护....................................................................................................................1132

DoS 保护配置文件和策略规则..............................................................................................1133

配置区域保护以提高网络安全性....................................................................................................... 1138

配置侦察保护............................................................................................................................ 1138

配置基于数据包的攻击保护...................................................................................................1138

配置协议保护............................................................................................................................ 1139

配置数据包缓冲区保护........................................................................................................... 1143

DoS 保护新会话不受泛滥攻击...........................................................................................................1145

多会话 DoS 攻击......................................................................................................................1145

单会话 DoS 攻击......................................................................................................................1148

针对新会话的泛滥攻击配置 DoS 保护................................................................................1148

结束单会话 DoS 攻击............................................................................................................. 1150

识别在包缓冲区中占太多百分比的会话..............................................................................1150

不提交丢弃会话........................................................................................................................ 1152

认证..................................................................................................................1153

启用 FIPS 和通用条件支持................................................................................................................. 1154

访问维护恢复工具 (MRT)....................................................................................................... 1154

将操作模式更改为 FIPS-CC 模式.........................................................................................1155

FIPS-CC 安全功能................................................................................................................................ 1157

刷洗正在 FIPS-CC 模式下运行的防火墙或设备的交换内存....................................................... 1158

xvi TABLE OF CONTENTS

将防火墙集成到管理网络

所有 Palo Alto Networks 防火墙都提供一个可用于执行防火墙管理功能的带外管理端口 (MGT)。通过使用该

MGT 端口，可以将防火墙的管理功能与数据处理功能分开，从而保护对防火墙的访问权并提高性能。使用

Web 界面时，必须从 MGT 端口执行所有初始配置任务，即使您计划将来使用带内数据端口来管理防火墙。

某些管理任务（例如在防火墙上检索许可证及更新威胁和应用程序签名）需要访问 Internet。如果您不希望

启用对 MGT 端口的外部访问权，则需要设置带内数据端口以访问所需的外部服务（使用服务路由），或者

计划手动定期上传更新。

请勿从互联网管理接口或企业安全边界内其他不信任区域访问。无论是使用专用管理端

口

(MGT)

，还是将数据端口配置为管理接口，这都适用。将您的防火墙集成到您的管理网络

时，务必按照

安全管理访问的最佳实践

确保您以防止成功攻击的方式保护对防火墙和其他安全

设备的管理访问权限。

以下主题介绍了如何执行将新防火墙集成到管理网络并在基本安全配置中进行部署所需的初始配置步骤。

• 确定管理策略

• 执行初始配置

• 设置外部服务的网络访问权

以下主题介绍了如何将单个

Palo Alto Networks

下一代防火墙集成到网络。但是为了实现冗余

性，可考虑在

高可用性

配置中部署一对防火墙。

确定管理策略

Palo Alto Networks 防火墙可以在本地进行配置和管理，或者可以使用 Panorama 来集中管理，Panorama 是

Palo Alto Networks 的集中安全管理系统。如果您在网络中部署了六个或更多防火墙，使用 Panorama 可以

获得以下优势：

• 降低管理配置、策略、软件和动态内容更新的复杂性和管理开销。使用 Panorama 上的设备组和模板，可

以在一道防火墙上本地高效管理防火墙特定配置，并在所有防火墙或设备组之间实施共享的策略。

• 汇聚来自所有受管防火墙的数据，并了解网络上所有通信的信息。Panorama 上的应用程序命令中心

(ACC) 提供单个玻璃窗格来实现跨所有防火墙的统一报告，从而可以集中分析、调查和报告网络通信、安

全事件和管理修改。

下述过程介绍如何使用本地 Web 界面管理防火墙。如果要使用 Panorama 进行集中管理，请先执行初始配

置，并确认防火墙可以与 Panorama 建立连接。之后，您可以使用 Panorama 集中配置防火墙。

执行初始配置

默认情况下，防火墙的 IP 地址为 192.168.1.1，用户名/密码为 admin/admin。为了安全起见，在继续执行

其他防火墙配置任务之前，必须更改这些设置。必须从 MGT 接口（即使计划不使用此接口进行防火墙管

理），或使用直接连接到防火墙控制台端口的串行连接来执行这些初始配置任务。

STEP 1 |

安装防火墙，并连接电源。

如果防火墙型号具有双电源，则连接第二个电源以实现冗余。有关型号的详细信息，请参

阅

硬件参考指南

。

STEP 2 |

从网络管理员处收集必要的信息。

• MGT 端口的 IP 地址

• 子网掩码

18 《PAN-OS

管理员指南》 | 入门指南

2019 Palo Alto Networks, Inc.

• 默认网关

• DNS 服务器地址

STEP 3 |

将您的计算机连接到防火墙。

可以使用以下方法之一连接到防火墙：

• 使用串行电缆将计算机连接到控制台端口，并使用终端模拟软件 (9600-8-N-1) 连接到防火墙。需要

等待几分钟时间启动过程才能完成；当防火墙准备就绪时，提示信息将更改为防火墙的名称，例如

PA-220 login。

• 使用 RJ-45 Ethernet 电缆将计算机连接到防火墙的 MGT 端口。从浏览器中访问

https://192.168.1.1。

您可能需要将计算机上的

地址更改为

192.168.1.0/24

网络中的地址（例如

192.168.1.2

）才能访问此

URL

。

STEP 4 |

收到提示时，登录到防火墙。

必须使用默认用户名和密码 (admin/admin) 登录。防火墙将开始初始化。

STEP 5 |

配置 MGT 接口。

1. 选择 Device（设备） > Setup（设置） > Interfaces（接口），然后编辑 Management（管理）接

口。

2. 通过以下的其中一种方法配置 MGT 界面的地址设置：

• 要配置 MGT 界面的静态 IP 地址设置，将 IP Type（IP 类型）设置为 Stac（静态），输入 IP

Address（IP 地址）、Netmask（网络掩码）和 Default Gateway（默认网关）。

• 要动态配置 MGT 接口地址设置，将 IP Type（IP 类型）设置为 DHCP Client（DHCP 客户端）。

要使用此方法，必须将管理接口配置为 DHCP 客户端。

要防止对管理接口进行未经授权的访问，最好

Add

（添加）管理员可以从其中访问

MGT

接口的

Permitted IP Addresses

（允许的

地址）。

3. 将 Speed（速度）设置为 auto-negoate（自动协商）。

4. 选择允许在该接口上执行哪些管理服务。

确保不选择

Telnet

和

HTTP

，因为这些服务使用明文，不像其他服务一样安全，可能会

泄露管理员凭据。

5. 单击 OK（确定）。

STEP 6 |

配置 DNS、更新服务器和代理服务器设置。

必须在防火墙上手动配置至少一个

DNS

服务器，否则无法解析主机名；它不会使用其他资

源（如

ISP

）上的

DNS

服务器设置。

1. 选择 Device（设备） > Setup（设置） > Services（服务）。

• 对于多虚拟系统平台，请选择 Global（全局）并编辑“服务”部分。

• 对于单个虚拟系统平台，请编辑“服务”部分。

2. 在 Services（服务）选项卡上，请为 DNS 单击以下选项之一：

• Servers（服务器）— 输入 Primary DNS Server（主 DNS 服务器）地址和 Secondary DNS

Server（辅助 DNS 服务器）地址。

• DNS Proxy Object（DNS 代理对象）— 从下拉列表中选择要用于配置全局 DNS 服务的 DNS

Proxy（DNS 代理），或单击 DNS Proxy（DNS 代理）以配置新的 DNS 代理对象。

3. 单击 OK（确定）。

《PAN-OS

管理员指南》 | 入门指南 19

2019 Palo Alto Networks, Inc.

STEP 7 |

配置日期和时间 (NTP) 设置。

1. 选择 Device（设备） > Setup（设置） > Services（服务）。

• 对于多虚拟系统平台，请选择 Global（全局）并编辑“服务”部分。

• 对于单个虚拟系统平台，请编辑“服务”部分。

2. 在 NTP 选项卡上，要使用互联网上的虚拟时间服务器群集，请输入主机名 pool.ntp.org 作为

Primary NTP Server（主 NTP 服务器）或输入您的主 NTP 服务器的 IP 地址。

3. （可选）输入 Secondary NTP Server（辅助 NTP 服务器）地址。

4. （可选）要对 NTP 服务器中的时间更新进行身份验证，对于 Authencaon Type（身份验证类

型），请为各个服务器选择以下选项之一：

• None（无）—（默认）禁用 NTP 身份验证。

• Symmetric Key（对称式密钥）— 防火墙使用对称式密钥交换（共享密钥）对时间更新进行身份验

证。

• Key ID（密钥 ID）— 输入密钥 ID (1-65534)。

• Algorithm（算法）— 选择要用于 NTP 身份验证的算法（MD5 或 SHA1）。

• Autokey（自动密钥）— 防火墙使用自动密钥（公钥加密）对时间更新进行身份验证。

5. 单击 OK（确定）。

STEP 8 |

（可选）按需配置常规防火墙设置。

1. 选择 Device（设备） > Setup（设置） > Management（管理），然后编辑常规设置。

2. 输入防火墙的 Hostname（主机名）并输入您的网络 Domain（域）名。域名只是一个标签；不会使

用它来加入域。

3. 输入 Login Banner（登录横幅），通知准备登录的用户他们需要通过验证才能访问防火墙管理功能。

最佳实践是避免使用欢迎赘词。此外，您应当请法律部门审核横幅信息，以确保其起到

了相应地禁止未授权访问的警示作用。

4. 输入 Latude（纬度）和Longitude（经度）以支持在世界地图上准确放置防火墙。

5. 单击 OK（确定）。

STEP 9 |

为管理员帐户设置安全密码。

确保使用

密码复杂性设置

来确保密码的严谨。

1. 选择 Device（设备） > Administrators（管理员）。

2. 选择 admin 角色。

3. 输入当前的默认密码和新密码。

4. 单击 OK（确定）以保存设置。

STEP 10 |

提交更改。

保存配置更改时，您将失去与

Web

界面的连接，因为

地址已经发生更改。

单击 Web 界面右上角的 Commit（提交）。防火墙最长可能需要 90 秒才能保存您的更改。

STEP 11 |

将防火墙连接到网络。

1. 断开防火墙与您的计算机的连接。

2. 使用 RJ-45 Ethernet 电缆将 MGT 端口连接到管理网络上的交换机端口。请确保将防火墙连接到的交

换机端口已配置为自动协商。

20 《PAN-OS

管理员指南》 | 入门指南

2019 Palo Alto Networks, Inc.

剩余1157页未读，继续阅读

sinat_34066134

粉丝: 41
资源: 4

PAN-OS管理员指南：防火墙配置和管理

Palo Alto Networks PAN-OS管理员指南v11：全面配置教程

提升PCNSE认证分数：完整PDF教程与PAN-OS 10.0指南

React-zoom-pan-pinch：轻量级缩放、平移捏合库解析

pan-os-91管理员指南.pdf

PAN-OS 8.1 管理员指南.pdf

pan-os-ansible：PAN-OS的Ansible集合

PAN-OS 入门指南.pdf

PAN-OS-7.0-配置管理指导-简体中文.pdf

Paloalto pan-os-admin guide v10.2

PAN-OS-6.0-GSG.pdf

最新资源