[Palo Alto] Palo Alto安全防火墙初始化配置实例

Palo Alto防火墙

Palo Alto防火墙是一种高级的网络安全设备，由Palo Alto Networks网络安全公司设计制造，用于保护企业网络免受各种网络威胁和入侵。

Palo Alto防火墙提供以下网络安全功能：

1. 应用程序可见性和控制：Palo Alto防火墙可以深度检测和识别网络流量中的应用程序，包括常见的Web应用程序、文件传输协议、P2P应用程序等。
2. 威胁防护：Palo Alto防火墙集成了威胁情报和安全许可证，可以实时检测和阻止各种网络威胁，如恶意软件、僵尸网络、漏洞利用等。
3. 内容过滤和URL过滤：Palo Alto防火墙可以对网络流量进行内容过滤和URL过滤，以防止未经授权的内容和网站访问。
4. 虚拟专用网络（VPN）：Palo Alto防火墙支持VPN功能，可以建立安全的远程访问连接。它可以加密和隧道化网络流量，确保远程用户和分支机构之间的通信安全。
5. 网络分段和安全区域：Palo Alto防火墙支持网络分段和安全区域的划分，可以将网络划分为多个安全域，实施不同的安全策略和访问控制。

Gartner 魔力象限

在 2023 年的 Gartner 魔力象限报告中，Palo Alto Networks 的防火墙得到了高度认可，是其中的佼佼者，连续多年的leaders level。

魔力象限2023

产品价格

防火墙的成本可以根据多种因素而变化，包括产品的型号、规模、功能、以及任何额外的服务或支持。

最贵的方案，不一定是最合适的，但确是最好的，需要由IT专业工程师，分析实际现状和企业业务发展需求，综合考虑。

实施费用评估：

• Palo Alto Networks 解决方案通常被视为高端选择，可能在定价上更高，特别是对于其先进的特性和全面的网络安全能力。
• Cisco ASA 解决方案被广泛应用于多种业务规模的组织，价格可能会根据配置和功能而有所不同，优势在于VPN特性。
• FortiGate 以其高性价比而闻名，可提供更具竞争力的定价，尤其是对中小型企业而言。

配置步骤

• 配置网络参数
• 访问HTTPS控制台
• 配置主机名
• 配置管理口
• 配置DNS+NTP
• 配置管理
• 账号管理
• Locks
• 重启设备
• 恢复出厂设置
• 切换webUI语言

配置网络参数

admin@PA-VM> configure
Entering configuration mode
[edit]  

set deviceconfig system ip-address 172.16.0.48 netmask 255.255.254.0 default-gateway 172.16.0.1 dns-setting servers primary 223.6.6.6

[edit]                                                                          
admin@PA-VM# commit

Commit job 5 is in progress. Use Ctrl+C to return to command prompt
...........75%.98%..............100%
Configuration committed successfully

好了，理论上管理IP发生变更，我们应该连不上了，需要切换IP ，但是似乎没反应，查看system info，IP没有发生变化

admin@PA-VM> show system info

hostname: PA-VM
ip-address: 172.16.0.57
public-ip-address: unknown
netmask: 255.255.254.0
default-gateway: 172.16.0.1
ip-assignment: dhcp

我们发现接口类型是DHCP,需要切换为静态static

set deviceconfig system type static

ok,成功使用指定的IP address

admin@PA-VM> show system info

hostname: PA-VM
ip-address: 172.16.0.48
public-ip-address: unknown
netmask: 255.255.254.0
default-gateway: 172.16.0.1
ip-assignment: static
ipv6-address: unknown
ipv6-link-local-address: fe80::20c:29ff:fe58:dc55/64
ipv6-default-gateway: 
mac-address: 00:0c:29:58:dc:55
time: Fri Jan 12 20:50:10 2024
uptime: 0 days, 0:03:15

show interface management

使用https://172.16.0.48 访问控制台

默认界面

配置主机名，时区

配置管理口

配置NTP

提交确认，commit

等待5-10分钟，查看NTP status，等待时间太短，则回显结果是rejected，或者你的NTP SERVER root Dispersion 相差太大，换个NTP SERVER 试试。

账号管理

角色定义了管理员对系统拥有的权限，角色有两种：

• dynamic roles：内建的角色，例如Superuser 和Device Administrator。
• admin role profiles：用户自定义的角色。

Device > Admin Roles

新增一个管理员角色，禁止远程登录

新增一个管理员账户，分配角色

Device > Administrators

登录新账号

Locks

• config lock：阻止其他管理员修改配置。
• commit lock：阻止其他管理员提交配置。

重启设备

request restart system

Executing this command will disconnect the current session. Do you want to continue? (y or n) 
y

恢复出厂设置

使用admin账号：

• request system private-data-reset
• 所有的日志和配置都会被擦掉

切换webUI语言

ok，至此，设备除了license授权，常规初始化完成。