paloalto networks操作版技術(shù)手冊(cè)v5.new蘭天明

Paloalto此次更新了GlobalProtect單一Gateway實(shí)戰(zhàn)配置篇。如需要了解原理含義請(qǐng)參考手冊(cè)。GlobalProtect支持windows32/64。MacAppleIOS，Adnriod4.0PadPAN-OS5.0.5簡(jiǎn) 1.1.概 功能與優(yōu) 管理方 入門安 設(shè)備準(zhǔn) 執(zhí)行的初始設(shè)置 設(shè)備管 License（證）安裝/支 軟件升級(jí)安 創(chuàng)建管理帳 查看支持信 網(wǎng)絡(luò)部署及配 虛擬線路（VirtualWires）部 三層部署(路由/NAT模式 旁路Tap部 配置旁路部署Tap配 虛擬路由Virtual 配置靜態(tài)IP路 配置策略路由轉(zhuǎn)發(fā) 基于安全的保護(hù)Zone 策略與安全配 錯(cuò)誤!未定義書(shū)簽源NAT策 錯(cuò)誤!未定義書(shū)簽動(dòng)態(tài)IP/端 錯(cuò)誤!未定義書(shū)簽動(dòng)態(tài) 錯(cuò)誤!未定義書(shū)簽靜態(tài) 錯(cuò)誤!未定義書(shū)簽安全策 錯(cuò)誤!未定義書(shū)簽 錯(cuò)誤!未定義書(shū)簽 錯(cuò)誤!未定義書(shū)簽應(yīng)用程序管 內(nèi)置數(shù)據(jù)挖掘- ACC工具覆蓋范 應(yīng)用分析 過(guò)濾（URL 各種（Threat Monitor內(nèi)置數(shù)據(jù)挖掘-流量//數(shù)據(jù)日 流量//數(shù)據(jù)日志挖 活動(dòng)會(huì)話......................................................................................................... 綜 GlobalProtect基 部署拓 配置實(shí) 簡(jiǎn)1.1.概PaloAltoNetworks允許您對(duì)每個(gè)試圖您網(wǎng)絡(luò)的應(yīng)用程序進(jìn)行準(zhǔn)確地標(biāo)識(shí)，以此來(lái)指定安全策略傳統(tǒng)僅通過(guò)協(xié)議和端來(lái)識(shí)別應(yīng)用程序，本則可通過(guò)數(shù)據(jù)包檢查和應(yīng)用程序簽名庫(kù)來(lái)區(qū)分協(xié)議和端相同的兩個(gè)應(yīng)用程序并且還可識(shí)別出使、例如，您可以為特定的應(yīng)用程序定義安全策略，而不是對(duì)所有的80端口連接都使用（IPv4IPv6）來(lái)指定安全策略，以或允許通信。每個(gè)安全策略還可以調(diào)用用于防御軟件和其他的、功能與優(yōu)基于應(yīng)用程序的策略—基于應(yīng)用的權(quán)限控制遠(yuǎn)比傳統(tǒng)基于端口協(xié)議的策略有。用戶標(biāo)識(shí)(User-ID)—管理員通過(guò)User-ID可根據(jù)用戶和用戶（而非網(wǎng)絡(luò)區(qū)域和地址或除此之外）配置和實(shí)施策略可與許多 ActiveDirectory、eDirectory、SunOne、OpenLDAP以及大多數(shù)其他基于LDAP的 或組定義權(quán)限確保安全使用應(yīng)用程序例如管理員可允許某個(gè)組織使用基于Web的。防御—防御服務(wù)可以保護(hù)網(wǎng)絡(luò)免遭蠕蟲(chóng)軟件以及其他通信的URL過(guò)濾—可對(duì)出站連接進(jìn)行過(guò)濾，防止特定的通訊可視化—廣泛的報(bào)告日志和通知機(jī)制可詳細(xì)地看到網(wǎng)絡(luò)應(yīng)用程序通信和安全事件。Web(ACC)可識(shí)別流量最大和安全風(fēng)險(xiǎn)最高的應(yīng)用部署方式靈活快速—本可以增強(qiáng)現(xiàn)有功能或取代現(xiàn)有可以透GlobalProtectGlobalProtect幫助用戶設(shè)備（如筆記本電腦）從全球任何地方安高可用性/容災(zāi)—高可用性支持可在出現(xiàn)任何硬件或軟件的情況下能夠自動(dòng)進(jìn)軟件分析和報(bào)告—WildFire提供有關(guān)通過(guò)的軟件的詳細(xì)分析和報(bào)告VM系列—提供一個(gè)于虛擬數(shù)據(jù)中心環(huán)境的PAN-OS的虛擬實(shí)例尤其適VMwareESXi的x86PaloAltoNetworks硬件。管理和Panorama—每個(gè)均通過(guò)直觀的Web界面或命令行界面(CLI)進(jìn)行PanoramaWeb界面與設(shè)備Web界面非常相似。管理方Web—WebHTTPHTTPS進(jìn)行配置和監(jiān)視。CLI—通過(guò)net、安全外殼(SSH)或控制臺(tái)端口在文本狀態(tài)下進(jìn)行配置和監(jiān)Panorama—一種PaloAltoNetworks產(chǎn)品可基于Web對(duì)多個(gè)進(jìn)行管理、報(bào)告和日志記錄。Panorama界面與設(shè)備Web界面類似，前者還包括其他管理功能。(SNMP)—支持RFC1213MIB-II)RFC2665（以太網(wǎng)接口，以便進(jìn)行監(jiān)測(cè)，并為一個(gè)或多個(gè)服務(wù)器生成日志Syslog—為一個(gè)或多個(gè)Syslog服務(wù)器提供生成的消XMLAPI—提供一個(gè)基于表述性狀態(tài)轉(zhuǎn)移(REST)的接口用于設(shè)備配置、運(yùn)行狀態(tài)報(bào)告和從捕獲數(shù)據(jù)包在https://<firewall>/api上提供一個(gè)API瀏覽器其中<firewall>是的主機(jī)名或IP地址此提供有關(guān)每種類型API調(diào)用所需參數(shù)的幫助DevCenter社區(qū)在上提供XMLAPI用法指南。入門安設(shè)備初始化連接設(shè)5commit執(zhí)行的初始設(shè)置使用RJ-45以太網(wǎng)線纜將計(jì)算機(jī)連接到上的管理端口(MGT)92.168..5啟動(dòng)一個(gè)支持的Web瀏覽器，輸入瀏覽器將自動(dòng)打開(kāi)PaloAltoNetworks登錄頁(yè)。初始用戶均為admin，單擊登錄。系統(tǒng)將顯示警告，提示您應(yīng)更改默認(rèn)。單在Device選項(xiàng)卡上，選擇Setup，然后配置以下各在ManagementinterfaceSettings選項(xiàng)卡上設(shè)置，輸入的IP地址、網(wǎng)絡(luò)掩碼服務(wù)器的IP地址或主機(jī)名和在Device->Administrators,編輯->admin修 ，在oldPassword中輸入當(dāng)前碼，在新和確認(rèn)新字段中，輸入并確認(rèn)區(qū)分大小寫(xiě)的（最多15個(gè)字符設(shè)備從經(jīng)銷商后，將由經(jīng)銷商激活代碼，用于激活一個(gè)或多個(gè)證密鑰。包括：設(shè)備技術(shù)支持服務(wù)（標(biāo)準(zhǔn)、partner）Theat、URL過(guò)濾、GlobalProtect、WildFire野火、Vsys虛擬系統(tǒng)注意！License、特征庫(kù)升級(jí)都需要從MGT端口連接互聯(lián)網(wǎng)并DNS解Device，在升級(jí)到最高系統(tǒng)版本(5.0.0.x)之前必須安裝一個(gè)基本系統(tǒng)(5.0.0)。原因在于您從4.1.9升級(jí)到5.0.1，則需要5.0.0基本系統(tǒng)（安裝此基本系統(tǒng)因此4.1.9版5.0.05.0.1。如果要從一個(gè)版本升級(jí)到兩個(gè)更高4.05.04.0升。，PaloAlto會(huì)定期發(fā)布更新以及新的或修訂的應(yīng)用程序定義和有關(guān)新安全的信息，例如防簽名（需要防御證、URL過(guò)濾條件和GlobalProtect WildFire簽名（需要WildFire可證。您可以查看及更新特征。Device->DynamicUpdates我們看到點(diǎn)擊CheckNow以后沒(méi)有Anti ，這個(gè)首次需要在CLi命令行下CheckNow。admin@PA-500>requestanti-upgradecheckDeviceDynamicUpdates/downloadand可以設(shè)置自動(dòng)升級(jí)時(shí)間，建議是每天夜里。注意！此升級(jí)需要從MGT下，默認(rèn)管理員為admin。預(yù)定義的“管理員角色”已創(chuàng)建，其中不存在功能，但具有審核的只讀權(quán)限的管理員角色除（除非審核管理員具有完全的/刪除權(quán)審核管理員—審核管理員負(fù)責(zé)定期查看的審核數(shù)據(jù)加密管理員—加密管理員負(fù)責(zé)與安全連接的建立相關(guān)的加密元素的配置和維（如創(chuàng)建管理員帳戶控制對(duì)的每個(gè)管理員都可以具有對(duì)單個(gè)設(shè)備或單個(gè)設(shè)備上虛擬系統(tǒng)的完全或只讀權(quán)。預(yù)定義的管理員帳戶具有完全權(quán)。支持以下驗(yàn)證選項(xiàng)?驗(yàn)證—用戶輸入用戶名和進(jìn)行登錄。不需要；客戶端驗(yàn)證(web)—如果選中此復(fù)選框，則不需要用戶名和即足以對(duì)的進(jìn)行驗(yàn)證。；公鑰驗(yàn)證(SSH)—用戶可在需要的計(jì)算機(jī)上生成公鑰/私鑰對(duì)，然后 入用戶名和即可進(jìn)行安全 求的“SupportCase文件。要PaloAlto 要生成系統(tǒng)文件以幫助PaloAltoNetworks 持文件“SupportCase文件。生成文件后，單擊技術(shù)支持文件將文件到計(jì)算機(jī)。網(wǎng)絡(luò)部署及配。當(dāng)安裝在邊緣路由器（或Internet的其他設(shè)備）和連接至網(wǎng)絡(luò)的交換機(jī)或路由器之間時(shí)，它可替換您現(xiàn)有的支持很多可以同時(shí)在不同物理接口上。Paloalto支持以下部署模式2“第3層部署”在虛擬線路（VirtualWires）部署中，通過(guò)將兩個(gè)端口關(guān)聯(lián)在一起，將透明地安裝在網(wǎng)段中（下圖。您可以將安裝在任何網(wǎng)絡(luò)環(huán)境中，而無(wú)需對(duì)相鄰網(wǎng)絡(luò)設(shè)備進(jìn)行配置。默認(rèn)情況下，虛擬線路“default-vwire”將以太網(wǎng)端口1和2關(guān)聯(lián)在一起，并允許0-4094Tag允許通過(guò))標(biāo)注!MAC地址、IPMac表轉(zhuǎn)發(fā)，大大減輕了識(shí)別（、軟件、-IPS）控URLnetwork>Virtual要?jiǎng)?chuàng)建一條虛擬線路VirtualWires，可將兩個(gè)以太網(wǎng)端口綁定在一起，這樣允許在接口之間傳遞所有通信或僅允許傳遞具有VLAN TagAllowed:Vlan,0(VlanTag的數(shù)據(jù)),0-4094全部允LinkStatePassThrough:VirtualWiresup/down狀態(tài)同步(HA模配置端口需要到配置端口需要到interfacenetwork>VirtualWirescommit在第三層部署中在多個(gè)端口之間進(jìn)行路由通信必須向每個(gè)接口分配IP地址，并定義虛擬路由器(VirtualRouters）來(lái)進(jìn)行路由通信。network>IP(IPV4\IPV6)PPPoE,DHCPIPIPnetwork>VirtualPaloaltoVirtualRouters，把不同的接口賦予到不同的虛擬路由，IP配置一個(gè)靜態(tài)路由指向配置一個(gè)靜態(tài)路由指向ISP網(wǎng)ISPE1專線環(huán)境。注意在Pan-OS5.0以還可以支持在雙鏈路情況下入向回包基于MAC地址默認(rèn)路由，PaloaltoAdminGuidZone多個(gè)區(qū)域。有關(guān)ZoneProtection的功能請(qǐng)看AdminGuid或 地址簿、服務(wù)簿、NAT策略與安全策略配NAT應(yīng)用程序管應(yīng)用（APP-ID）功應(yīng)用（APP-ID）過(guò)濾Objects->ApplicationObjects->Application1、控2、跳墻控制3Stock4Webmail內(nèi)置數(shù)據(jù)挖掘-ACC工具覆蓋范ACCACCACC應(yīng)用分析HighRisk（4-5應(yīng)用大類（6Sub過(guò)濾（URLURLURLBlockedURLBlockedURL各種（Threat類型（、軟件、SpywarephoneSpyware軟件Content/FileFileACC工具如何進(jìn)一步挖掘分舉例-舉例-->的IP 內(nèi)容就是所有應(yīng)用情況舉例- 舉例-Monitor內(nèi)置數(shù)據(jù)挖掘-流量//數(shù)據(jù)日流量//數(shù)據(jù)日志挖進(jìn)入Monitor->Logs可以瀏覽和查詢各種日志信息，其中和用戶行為/相關(guān)的日志：Traffic、Threat、URLfiltering、DataFiltering23內(nèi)置數(shù)據(jù)挖掘工具-內(nèi)置客戶報(bào)內(nèi)置數(shù)據(jù)挖掘工具-生成AVR報(bào)GlobalProtect（單一Gateway配置篇PAN-5.0.2，GP客戶端1.2.1，修復(fù)了之前PC重新啟動(dòng)后無(wú)法連接的問(wèn)題1.2.1連接后無(wú)需再次輸入用戶名與。綜GlobalProtect提供的主機(jī)安全性，如筆記本電腦,用于在世界任何地方能夠便捷安是受到控制的是主機(jī)免受數(shù)據(jù)的,等等.在PAN-OS4.1版本,GlobalProtect替換了NetConnect功能該文件包括，配置 取代NETCONNECTGlobalProtectGlobalProtectPortal:提供在GlobalProtect系統(tǒng)集中控制。Portal所有網(wǎng)關(guān)列表，