1. Paloalto 7.1 安裝手冊 (For POC)

Paloalto POC 安裝手冊

這份文件是我在客戶那邊針對Paloalto POC時所使用的,有需要的就拿去看吧

 

一、      準備

  1. 一組可以向外連線的IP address
  2. 確認此次安裝是採用L3、旁接或是Vwire(穿透)模式
  3. 網路線,Console線

 

二、      系統設定

  1. 下述實作採用PA-500作為範例
  2. 開機後,管理Port預設IP address:192.168.1.1,如果是借來POC的機器有可能未清設定檔,連不進去就用Wireshark來抓IP。
  3. 若使用SSH登入,預設帳號:admin 密碼:admin
    若使用Web登入,預設帳號:admin   密碼:admin
  1. 將管理Port修改為可以向外連線之IP address
    (Device>Setup>Management>Management Interface Setting)

1

 

  1. 接著設定時區、時間、經緯度等(Device>Setup>Management> General Setting)

2

 

  1. 設定DNS (Device>Setup>Services>Services)

3

 

  1. 設定NTP (Device>Setup>Services>NTP)

4

 

  1. 上述設定完後記得Commit

5

 

  1. 更新License (Device>License>License Management>Retrive license keys……..)

6

 

  1. 更新病毒碼、應用程式碼、Wild Fire,下載並安裝(Device>Dynamic Updates)

7

8

 

  1. 針對第10項每一種更新設定排程(Device>Dynamic Updates>Schedule)

9

10

 

  1. 如有需要更新系統版本(Device>Software>Check Now)

11

12

 

  1. 設定Network Interface Types (Network>Interfaces>etherent>選擇Interface 1/?)

13

 

  1. 設定Zone(Network>Zones),或是設定Network Interface時直接帶出設定

14

 

  1. 設定Security Profiles (Object>Security Profiles)
    進行POC時,建議最優先的方法為Monitor目標流量,而不是介入網路環境進行阻擋,其次是用Vwire的方式做線路透通(Transparent),第三是使用L3 Routing的方式做介入。 依上述原則,建立Security Profiles的目的是為了產生Log,而不是為了進行阻擋,下面將針對Antivirus、Anti-Spyware、Vulnerability Protection、URL Filtering、File Blocking、Wildfire Analysis、Data Filtering各自設定一個新的規則,並將這些規則綁成一個群組,套用到Policy中,用來收集LogA. Antivirus (Object>Security Profiles>Antivirus)
    新增一條規則,將連線行為設定為Alert。

1

 

B. Anti-spyware (Object>Security Profiles>Anti-spyware)

設定位置,新增一條規則。

2

 

將預設執行動作改為Alert

3

 

如果沒有設定到DNS Signatures就OK,是會出現提示訊息的,記得在”Action on DNS Quries”中要設定Alert哦!

4

 

 

C. Vulnerability Protection (Object>Security Profiles> Vulnerability Protection)

5

 

新增一筆規則,將執行動作一樣設定為Alert,其他不變

6

 

7

 

D. URL Filtering (Object>Security Profiles> URL Filtering)

 

8

 

新增一筆規則,將執行動作一樣設定為Alert

9

 

E. File Blocking (Object>Security Profiles> File Blocking)

10

 

新增一筆規則,將執行動作一樣設定為Alert

11

 

F. Wildfire Analysis (Object>Security Profiles> Wildfire Analysis)

12

 

這邊可以看到除了新增一筆名稱,裡面並無顯示action的選項,這是因為Wildfire目的是將看不懂的程式、資料內容送上雲端,因此只要有放上雲端的這些資料都會有紀錄。

13

 

16. 設定Security Profile Groups (Object>Security Profile Groups)

建立Group的目的是可以針對不同的安全機制設定不同的阻擋條件,做成一組一組的Group可以

14

 

新增一個Group並命名,將剛剛我們在上述Security Profiles底下設定好的條件全部套用進來,做完這些動作後記得要Commit。

15

 

17. 設定Policy (Policies > Security)

這邊採用複製規則的方式,新增一筆資料並重新命名

16

 

設定過很多不同品牌的防火牆,Policy都是用相同的過濾方式,從最上面的規則順序向下過濾,所以Policy記得在Rule order中設定”Move top”,此步驟要讓所有的流量都最先吃到這條規則,以免被其他規則干擾導致我們無法達成POC的目標。

17

 

變更規則名稱。

18

 

記得將動作都設定成允許,雖然我們可能是採取旁接模式,沒甚麼影響,但如果是以Vwire(透通)或是L3 Routing來接,那可是會進行阻擋的,另外在Profile Setting上要改成以Group的方式來套用安全性規則(也就是我們在15 16項所做的設定),並且在下面Group Profile一欄中,放入我們剛剛建立的Group ”alert”。

19

 

 

 

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.