Top Banner
Palo Alto Networks 管理者指南 5.0 11/15/12 ??????? — Palo Alto Networks ????
100

Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Aug 20, 2018

Download

Documents

trinhcong
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Page 1: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks管理者指南5.0 版

11/15/12 ??????? — Palo Alto Networks????

Page 2: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks, Inc.www.paloaltonetworks.com

© 2007-2012 Palo Alto Networks. 保留所有權利。 Palo Alto Networks、PAN-OS 與 Panorama 是 Palo Alto Networks, Inc. 的商標。其他所有商標為其各自擁有者所有。P/N 810-000108-00A

Page 3: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks • 3

11 15, 2012 - Palo Alto Networks 公司機密

前言 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

關於本指南 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

組成部分 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

拼字慣例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

註記與警告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

相關文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

第 1 章介紹 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

防火牆概要介紹 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

功能與好處 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

管理介面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

第 2 章開始使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

準備防火牆 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

設定防火牆 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

使用防火牆 Web 介面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23交付變更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25導覽至設定頁面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26使用設定頁面上的表格 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26必填欄位 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26鎖定設定程序 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27支援的瀏覽器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

取得設定防火牆方面的協助 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28取得更多資訊 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28技術支援 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

目錄

Page 4: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

4 • Palo Alto Networks

第 3 章設備管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

系統設定、設定及授權管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30定義 Management 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30定義 Operations 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35定義 Services 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38定義 Content ID 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40定義 Session 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

統計資料服務 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

比較設定檔案 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

安裝授權 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

升級 /降級 PAN-OS 軟體 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45在高可用性設定中升級 PAN-OS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46降級 PAN-OS 軟體 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47維護版本降級 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47功能版本降級 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

更新威脅與應用程式定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

管理者角色、設定檔及帳戶 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49使用者名稱與密碼需求 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50定義管理者角色 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51定義密碼設定檔 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52建立管理帳戶 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53為管理者指定存取網域 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

驗證設定檔 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55設定驗證設定檔 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55建立本機使用者資料庫 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56設定 RADIUS 伺服器設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57設定 LDAP 伺服器設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58進行 Kerberos 設定(原始 Active Directory 驗證) . . . . . . . . . . . . . . . . . . 59

驗證順序 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59設定驗證順序 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

防火牆日誌 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60日誌記錄設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62排程日誌匯出 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62定義設定日誌設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63定義系統日誌設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64定義 HIP 相符日誌設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64定義警告日誌設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65管理日誌設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

設定 SNMP Trap 目的地 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

設定系統日誌伺服器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67自訂系統日誌欄位描述 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

設定電子郵件通知設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74

Page 5: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks • 5

檢視警告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

進行 Netflow 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

匯入、匯出與產生安全性憑證 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76憑證 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76信任的憑證授權單位 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78憑證設定檔 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79OCSP 回應程式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80在防火牆上加密私人金鑰與密碼 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80主要金鑰與診斷設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81更新主要金鑰 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

高可用性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82主動 /被動 HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82主動 /主動 HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83封包流量 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83部署架構選項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

NAT 考量因素 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85設定 HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87在防火牆上啟用 HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

虛擬系統 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95虛擬系統間的通訊 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97共享閘道 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98定義虛擬系統 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99設定共享閘道 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100

定義自訂回應頁面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100

檢視支援資訊 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101

第 4 章網路設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103

防火牆部署 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104虛擬連接部署 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104Layer 2 部署 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106Layer 3 部署 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106旁接模式部署 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107定義虛擬連接 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107封包內容修改 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108

防火牆介面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108檢視目前介面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109設定 Layer 2 介面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109設定 Layer 2 子介面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110設定 Layer 3 介面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110設定 Layer 3 子介面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114設定虛擬連接介面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118設定虛擬連接子介面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119設定彙總介面群組 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120設定彙總乙太網路介面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121

Page 6: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

6 • Palo Alto Networks

設定 VLAN 介面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122設定回路介面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125設定通道介面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126設定旁接介面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127設定 HA 介面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128

安全性區域 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129定義安全性區域 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129

VLAN 支援 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130

虛擬路由器與路由通訊協定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131路由資訊通訊協定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131優先開放最短路徑 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131邊界閘道通訊協定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131多點傳送路由 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132定義虛擬路由器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133

DHCP 伺服器與轉送 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147

DNS Proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149

網路設定檔 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150定義介面管理設定檔 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151定義監控設定檔 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151定義區域防護設定檔 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152

第 5 章政策與安全性設定檔. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157

政策 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157定義政策指南 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158指定政策的使用者與應用程式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160

安全政策 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160定義安全政策 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161

NAT 政策 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164確定 NAT 與安全政策中的區域設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165NAT 規則選項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166定義網路位址轉譯政策 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166NAT 政策範例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168NAT64 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168

基於政策的轉送政策 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171解密政策 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173應用程式覆蓋政策 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175使用應用程式覆蓋自訂應用程式定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . 175定義應用程式覆蓋政策 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176

網頁認證政策 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177定義網頁認證政策 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177

DoS 防護政策 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178定義 DoS 政策 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178

Page 7: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks • 7

安全性設定檔 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180防毒設定檔 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181反間諜軟體設定檔 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182弱點防護設定檔 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183URL 過濾設定檔 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185檔案封鎖設定檔 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188資料過濾設定檔 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191DoS 設定檔 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193

其他政策物件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194位址與位址群組 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194定義位址範圍 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194定義位址群組 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196定義區域 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196

應用程式與應用程式群組 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197定義應用程式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199含簽章的自訂應用程式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201定義應用程式群組 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203

應用程式篩選器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203服務 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204服務群組 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205資料特徵碼 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205自訂 URL 類別 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206動態封鎖清單 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207自訂間諜軟體與弱點簽章 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208定義資料特徵碼 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208定義間諜軟體與弱點簽章 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209

安全性設定檔群組 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210日誌轉送 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211解密設定檔 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212排程 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213

第 6 章報表與日誌 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215

使用儀表板 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216

使用應用程式控管中心 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217

使用應用程式層面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220摘要報表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221異動監控報表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222威脅監控報表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223威脅地圖報表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224網路監控報表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225流量地圖報表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226

檢視日誌 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228檢視工作階段資訊 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230

Page 8: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

8 • Palo Alto Networks

使用殭屍網路報表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231設定殭屍網路報表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231管理殭屍網路報表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232

管理 PDF 摘要報表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233

管理使用者活動報表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235

管理報表群組 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235

排程報表以進行電子郵件傳送 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236

檢視報表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236

產生自訂報表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237

識別未知應用程式並採取動作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238採取動作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239向 Palo Alto Networks 要求 App-ID. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239其他未知流量 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240

獲得封包擷取 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240

第 7 章設定防火牆以識別使用者 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243

User Identification 概要介紹 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243如何使用 User Identification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243識別使用者與群組 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244User-ID 元件如何互動 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244

User-ID Agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245

PAN-OS 使用者對應 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245Terminal Services Agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245

PAN-OS LDAP 群組查詢 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245

User Identification Agents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246

網頁認證 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247設定防火牆以識別使用者 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247

PAN-OS 使用者對應設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252設定 PAN-OS 使用者對應 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253設定防火牆共享使用者對應資料 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255

設定 User-ID Agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257安裝 User-ID Agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257設定 User-ID Agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258探索網域控制站 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261監控 User-ID Agent 的操作情形 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261解除安裝與升級 User-ID Agent. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261

設定 Terminal Services Agent. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261在終端機伺服器上安裝或升級 Terminal Server Agent . . . . . . . . . . . . . . . 262在終端機伺服器上設定 Terminal Server Agent . . . . . . . . . . . . . . . . . . . . . 263解除安裝終端機伺服器上的 Terminal Server Agent . . . . . . . . . . . . . . . . . 267

Page 9: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks • 9

第 8 章設定 IPSec 通道 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269

虛擬私人網路 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270VPN 通道 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271

IPSec 與 IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271IPSec 與 IKE Crypto 設定檔 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272

設定 IPSec VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272定義 IKE 閘道 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274設定 IPSec 通道 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275定義 IKE Crypto 設定檔 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278定義 IPSec Crypto 設定檔 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278檢視防火牆的 IPSec 通道狀態 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279

VPN 設定檔範例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279現有拓撲 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279新拓撲 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280設定 VPN 連線 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281VPN 連線疑難排解 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282

GlobalProtect 大規模 VPN 部署 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283概要介紹 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283部署大規模 VPN 網路 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284憑證及 OCSP 回應程式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285GlobalProtect 閘道設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288GlobalProtect 入口網站設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289GlobalProtect Satellite 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291

動態路由通訊協定及大規模 VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292備份 GlobalProtect 入口網站 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292

第 9 章設定 GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293

概要介紹 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293GlobalProtect 驗證 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294

設定 GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295

設定並啟動 GlobalProtect 代理程式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307設定 GlobalProtect 代理程式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307

第 10 章設定頻寬管理機制 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309

防火牆的 QoS 支援 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309為防火牆介面設定 QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310

定義 QoS 設定檔 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312

定義 QoS 政策. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313

顯示 QoS 統計資料 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316

Page 10: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

10 • Palo Alto Networks

第 11 章設定 VM 系列防火牆 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317

概要介紹 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317

系統需求及限制 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318需求 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318限制 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318

授權 VM 系列防火牆 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319

安裝 VM 系列防火牆 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319

疑難排解 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322

第 12 章設定 Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323

概要介紹 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323

將 Panorama 設定為虛擬設備 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324安裝 Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324設定 Panorama 網路介面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325擴展日誌儲存容量 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325新增虛擬磁碟 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326設定儲存分割區 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327

在 M 系列設備上設定 Panorama. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328執行初始設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328

登入 Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329變更預設密碼 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329

設定高可用性 (HA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329在 HA 配對中切換日誌記錄優先順序 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331

第 13 章使用 Panorama 進行中央設備管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . 333

存取 Panorama Web 介面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334

使用 Panorama 介面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334Panorama 頁籤 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335

新增設備 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337定義設備群組 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338

Panorama 管理者角色、設定檔及帳戶 . . . . . . . . . . . . . . . . . . . . . . . . . 339定義 Panorama 管理者角色 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339建立 Panorama 管理帳戶 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341

為管理者指定 Panorama 存取網域 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343

設備群組 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344使用政策 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344使用物件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346

Page 11: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks • 11

使用設備 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348Panorama 中的交付操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348Panorama 回溯相容 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349

範本 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350設定 Panorama 範本 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351新增範本 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351設定範本 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352覆蓋範本設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352移除範本 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353

日誌記錄 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353日誌記錄與報表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353產生使用者活動報表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354使用 Panorama 的日誌收集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354部署散佈日誌收集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355管理日誌收集器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358定義日誌收集器群組 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360

檢視防火牆部署資訊 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364

備份防火牆設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365

排程設定匯出 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365

升級 Panorama 軟體 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366

第 14 章設定 WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367

關於 WildFire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367

在防火牆上設定 WildFire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368在防火牆上進行 WildFire 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369

設定 WildFire 轉送 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369

WildFire 資料過濾日誌. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370

使用 WildFire 入口網站 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371在 WildFire 入口網站上進行設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372檢視 WildFire 報表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372

附錄 A自訂頁面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373

預設防毒回應頁面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373預設應用程式封鎖頁面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375預設檔案封鎖頁面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375預設 URL 過濾回應頁面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376預設反間諜軟體下載回應頁面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377預設解密退出回應頁面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377網頁認證 WEB 認證頁面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378URL 過濾繼續與覆蓋頁面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378

Page 12: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

12 • Palo Alto Networks

SSL VPN 登入頁面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379SSL 憑證撤銷通知頁面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380

附錄 B應用程式類別、子類別、技術與特性 . . . . . . . . . . . . . . . . . . . . . . 381

應用程式類別與子類別 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381

應用程式技術 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383

應用程式特性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383

附錄 C聯邦資訊處理標準支援 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385

附錄 D開放原始碼授權 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387

藝術授權 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388

BSD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389

GNU 通用公共許可證 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390

GNU 寬通用公共許可證 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393

MIT/X11 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397

OpenSSH. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398

PSF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401

PHP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401

Zlib . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402

索引 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403

Page 13: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks 前言 • 13

11 15, 2012 - Palo Alto Networks 公司機密

前言本前言包括以下幾節:

• 位於下一節的「關於本指南」

• 第 13 頁的「組成部分」

• 第 15 頁的「拼字慣例」

• 第 15 頁的「註記與警告」

• 第 15 頁的「相關文件」

關於本指南

本指南介紹如何使用設備的 Web 介面管理 Palo Alto Networks 防火牆。

本指南適用於負責部署、操作及維護防火牆的系統管理者。

組成部分

本指南的組成部分如下:

• 第 1 章,「介紹」— 提供防火牆的概要介紹。

• 第 2 章,「開始使用」— 介紹如何安裝防火牆。

• 第 3 章,「設備管理」— 介紹如何對防火牆執行基本系統設定與維護,其中包括如何設定用於高可用性的防火牆配對、定義使用者帳戶、更新軟體及管理設定。

• 第 4 章,「網路設定」— 介紹如何設定、佈署防火牆於您的網路環境中,包括路由設定在內。

• 第 5 章,「政策與安全性設定檔」— 介紹如何按區域、使用者、來源 /目的地位址及應用程式設定安全政策與設定檔。

• 第 6 章,「報表與日誌」— 介紹如何檢視防火牆本機上預設提供的報表與日誌。

• 第 7 章,「設定防火牆以識別使用者」— 介紹如何設定防火牆來識別嘗試存取網路的使用者。

• 第 8 章,「設定 IPSec 通道」— 介紹如何在防火牆上設定 IP 安全性 (IPSec) 通道。

Page 14: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

組成部分

14 • 前言 Palo Alto Networks

• 第 9 章,「設定 GlobalProtect」— GlobalProtect 的介紹,GlobalProtect 可允許位於全世界任何地方的用戶端系統安全地登入。

• 第 10 章,「設定頻寬管理機制」— 介紹如何設定防火牆的頻寬管理機制 (QoS)。

• 第 12 章,「設定 Panorama」— 介紹如何安裝 Palo Alto Networks 防火牆的中央管理系統。

• 第 13 章,「使用 Panorama 進行中央設備管理」— 介紹如何使用 Panorama 來管理多個防火牆。

• 第 14 章,「設定 WildFire」— 介紹如何使用 WildFire 針對周遊防火牆的惡意軟體產生分析與報表。

• 附錄 A,「自訂頁面」— 為自訂回應頁面提供 HTML 程式碼,以通知一般使用者政策違規以及特殊存取條件。

• 附錄 B,「應用程式類別、子類別、技術與特性」— 包含由 Palo Alto Networks 所定義的應用程式類別清單。

• 附錄 C,「聯邦資訊處理標準支援」— 介紹支援聯邦資訊處理標準 140-2 的防火牆。

• 附錄 D,「開放原始碼授權」— 包含適用的開放原始碼授權之相關資訊。

Page 15: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks 前言 • 15

拼字慣例

拼字慣例

本指南針對特殊術語及指示,使用以下拼字慣例。

註記與警告

本指南針對註記與警告使用下列符號。

相關文件

防火牆隨附下列額外文件:

• 《快速入門》

• Palo Alto Networks 授權合約和擔保

您可以在 https://live.paloaltonetworks.com/community/documentation 找到其他相關文件。

慣例 意義 範例

粗體 Web 介面中的命令名稱、關鍵字及可選取項目

按一下 Security 來開啟 Security Rules 頁面。

斜體 參數、檔案、目錄的名稱,或統一資

源定位器 (URL)Palo Alto Networks 首頁的網址是http://www.paloaltonetworks.com

courier 字型 您在命令提示下輸入的編碼範例與

文字

輸入下列命令:

set deviceconfig system dns-settings

按一下 按一下滑鼠左鍵 按一下 Devices 頁籤下的 Administrators。

按一下滑鼠右鍵 按一下滑鼠右鍵。 在您要複製的規則編號上按一下滑鼠右鍵,然後選取 Clone Rule。

符號 說明

注意

表示有用的建議或補充資訊。

小心

表示可能導致資料遺失的動作。

Page 16: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

相關文件

16 • 前言 Palo Alto Networks

Page 17: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks 介紹 • 17

第 1 章

介紹

本章提供防火牆的概要介紹:

• 位於下一節的「防火牆概要介紹」

• 第 18 頁的「功能與好處」

• 第 19 頁的「管理介面」

防火牆概要介紹

Palo Alto Networks 防火牆可以讓您精確地識別想要存取您的網路的每一個應用程式,藉以指定安全政策。與傳統防火牆不同,傳統防火牆只能根據通訊協定與埠號來識別應用程式,而本防火牆則使用封包檢查及應用程式特徵資料庫來區別通訊協定與連接埠相同的應用程式,並識別出使用非標準連接埠的潛在性惡意應用程式。

例如,您可以為特定應用程式定義安全政策,而無須讓所有使用 TCP80 連接埠的連線都依賴於單一政策。針對每一個已識別的應用程式,您可以指定安全政策,根據來源與目的地區域與位址(IPv4 和 IPv6)封鎖或允許流量。每一個安全政策也可以指定安全設定檔,來對病毒、間諜軟體及其他威脅提供防護。

Page 18: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

功能與好處

18 • 介紹 Palo Alto Networks

功能與好處

防火牆對獲准存取網路的流量進行更精確的控制。主要功能與好處包括:

• 以應用程式為基礎的政策強化 — 當應用程式的識別不只是以通訊協定與埠號為基礎時,應用程式的存取控制更有效。將可封鎖高風險應用程式,以及高風險的行為,例如檔案共享。以 Secure Sockets Layer (SSL) 通訊協定加密的流量將可進行解密及檢查。

• 使用者識別 (User-ID) — User-ID 允許管理者根據使用者和使用者群組(而不是根據網路區域或位址),設定並強制執行防火牆政策。或者,根據網路區域或位址與使用者和使用者群組,設定並強制執行防火牆政策。防火牆能夠與許多目錄伺服器進行通訊,例如Microsoft Active Directory、eDirectory、SunOne、OpenLDAP 及大多數其他以 LDAP為基礎的伺服器,將使用者及群組資訊提供給防火牆。這些資訊隨後可用來做為一種重要的方法,提供可按照各個使用者或群組定義的安全應用程式啟用。例如,管理員可允許一個組織使用 Web 式應用程式,而公司中其他任何的組織不可使用該應用程式。您也可以按照使用者和群組,設定應用程式某些元件的精確控制。請參閱第 243 頁的「設定防火牆以識別使用者」。

• 威脅防範 — 威脅防範服務可使網路免於病毒、蠕蟲、間諜軟體及其他惡意流量的威脅,並可在應用程式與流量來源之間做出區別(請參閱第 180 頁的「安全性設定檔」)。

• URL 過濾 — 可以過濾對外連線,以防存取不適當的網站(請參閱第 185 頁的「URL 過濾設定檔」)。

• 流量可見度 — 大量報表、日誌與通知機制為網路應用程式流量及安全事件提供更詳細的可見度。Web 介面中的應用程式控管中心 (ACC) 可識別出流量最大及安全風險最高的應用程式(請參閱第 215 頁的「報表與日誌」)。

• 網路的多功能性與速度 — 本防火牆可以增強或取代現有防火牆,並可透明安裝於任何網路中,或設定為支援使用交換器或路由器的環境。單通道平行處理架構為所有服務提供流暢的速度,使網路延遲的影響降到最低程度。

• GlobalProtect — GlobalProtect 為現場使用的用戶端系統(例如筆記型電腦)提供安全性,可允許在全世界的任何地方輕鬆而安全地登入。

• 故障防護操作 — 高可用性支援在任何硬體或軟體發生故障的情況下提供自動故障防護的功能(請參閱第 88 頁的「在防火牆上啟用 HA」)。

• 惡意軟體的分析與報表 — WildFire 可以針對周遊防火牆的惡意軟體提供詳細的分析與報表。

• VM 系列防火牆 — 提供 PAN-OS 的虛擬實例,用於虛擬資料中心環境,特別適合私人與公共雲端部署。安裝於任何能夠執行 VMware ESXi 的 x86 裝置,不需要部署 Palo AltoNetworks 硬體。

• 管理及 Panorama — 每一個防火牆都透過直覺式 Web 介面或命令行介面 (CLI) 進行管理,或所有設備都可以透過 Panorama 中央管理系統進行中央管理,其 Web 介面與設備 Web介面非常類似。

Page 19: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks 介紹 • 19

管理介面

管理介面

防火牆支援下列管理介面。如需支援的瀏覽器清單,請參閱第 27 頁的「支援的瀏覽器」。

• Web 介面 — 從瀏覽器透過 HTTP 或 HTTPS 進行設定及監控。

• CLI — 透過 Telnet、Secure Shell (SSH) 或主控台連接埠進行文字模式的設定及監控(請參閱《PAN-OS 命令行介面參考指南》)。

• Panorama — 為多個防火牆提供 Web 式管理、報表和登入的 Palo Alto Networks 產品。Panorama 介面與設備 Web 介面類似,並提供額外的管理功能。如需安裝 Panorama 的相關指示,請參閱第 323 頁的「設定 Panorama」,如需使用 Panorama 的相關資訊,請參閱第 333 頁的「使用 Panorama 進行中央設備管理」。

• 簡易網路管理通訊協定 (SNMP) — 支援 RFC 1213 (MIB-II) 與 RFC 2665(乙太網路介面)的遠端監控,並可為一或多個設陷下沈產生 SNMP Trap(請參閱第 66 頁的「設定 SNMPTrap 目的地」)。

• 系統日誌 — 為一或多個遠端系統日誌伺服器提供訊息產生(請參閱第 67 頁的「設定系統日誌伺服器」)。

• XML API — 提供以 Representational State Transfer (REST) 為基礎的介面來存取防火牆的設備設定、操作狀態、報表和封包擷取。防火牆有提供 API 瀏覽器,位址是 https://<firewall>/api,其中的 <firewall> 是防火牆的主機名稱或 IP 位址。此連結提供關於每種API 呼叫類型所需參數方面的協助。DevCenter 線上社群有 XML API 用法指南,網址是http://live.paloaltonetworks.com。

Page 20: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

管理介面

20 • 介紹 Palo Alto Networks

Page 21: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks 開始使用 • 21

第 2 章

開始使用

本章介紹如何設定及開始使用防火牆:

• 位於下一節的「準備防火牆」

• 第 22 頁的「設定防火牆」

• 第 23 頁的「使用防火牆 Web 介面」

• 第 28 頁的「取得設定防火牆方面的協助」

準備防火牆

執行下列任務,準備設定防火牆:

1. 將防火牆安裝在機架上,然後開機,如《硬體參考指南》所述。

2. 使用電子郵件中的授權碼到 https://support.paloaltonetworks.com 登錄您的防火牆,取得最新的軟體與 App-ID 更新,並啟動支援或使用授權。

3. 自網路管理者取得 IP 位址,以供設定防火牆的管理連接埠。

注意:如需安裝 Panorama 中央管理系統的相關指示,請參閱第 323 頁的「設定 Panorama」。

Page 22: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

設定防火牆

22 • 開始使用 Palo Alto Networks

設定防火牆

若要執行初次防火牆設定:

1. 使用 RJ-45 乙太網路纜線將您的電腦連接到防火牆的管理連接埠 (MGT)。

2. 啟動電腦。在網路遮罩為 255.255.255.0 的 192.168.1.0 網路中,為您的電腦指定一個靜態IP 位址(例如 192.168.1.5)。

3. 啟動支援的 Web 瀏覽器,並輸入 https://192.168.1.1。

瀏覽器會自動開啟 Palo Alto Networks 登入頁面。

4. 在名稱與密碼欄位輸入 admin,然後按一下登入。系統會顯示警告,通知您應變更預設密碼。按一下確定繼續。

5. 在 Device 頁籤上,選擇 Setup 進行下列設定(如需在網路介面中進行設定的一般指示,請參閱第 23 頁的「使用防火牆 Web 介面」):

– 在 Management Interface Settings 下的 Management 頁籤上,輸入防火牆的 IP 位址、網路遮罩和預設閘道。

– 在 Services 頁籤上,輸入網域名稱系統 (DNS) 伺服器的 IP 位址。輸入網路時間通訊協定 (NTP) 伺服器的 IP 位址或主機與網域名稱,並選取您的時區。

– 按一下側功能表上的支援。如果這是公司中的第一部 Palo Alto Networks 防火牆,按一下註冊設備註冊防火牆。(如果您已註冊防火牆,您會收到使用者名稱和密碼。)按一下使用授權碼啟動支援連結,輸入電子郵件中所有選用功能的授權碼。使用空白來分隔多個授權碼。

6. 按一下 Devices 頁籤下的 Administrators。

7. 按一下 admin。

8. 在 New Password 與 Confirm New Password 欄位中,輸入並確認區分大小寫的密碼(最多 15 個字元)。

9. 按一下確定提交新密碼。

10. 交付設定,使這些設定生效。交付變更後,您將可透過步驟 5 中指定的 IP 位址到達防火牆。如需交付變更的相關資訊,請參閱第 25 頁的「交付變更」。

注意:出廠時或進行原廠重設後的防火牆預設設定是乙太網路連接埠 1 與 2之間的虛擬連接,其中的預設政策是拒絕所有輸入流量,並允許所有輸出流量。

Page 23: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks 開始使用 • 23

使用防火牆 Web 介面

使用防火牆 Web 介面

使用防火牆介面時,適用於下列慣例。

• 若要顯示一般功能類別的功能表項目,請按一下接近瀏覽器視窗頂部的頁籤,例如Objects 或 Device。

• 按一下側功能表上的項目來顯示面板。

• 若要顯示子功能表項目,按一下項目左側的 圖示。若要隱藏子功能表項目,按一下項目左側的 圖示。

• 在大多數設定頁面上,您可以按一下新增來建立新項目。

• 若要刪除一或多個項目,請選取其核取方塊並按一下刪除。在大多數情況下,系統會提示您按一下確定來確認,或按一下取消來取消刪除。

• 在某些設定頁面上,您可以選取項目的核取方塊,然後按一下複製,以所選項目的相同資訊建立新項目。

Page 24: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

使用防火牆 Web 介面

24 • 開始使用 Palo Alto Networks

• 若要修改項目,請按一下它的底線連結。

• 若要檢視頁面上的說明資訊,請按一下頁面右上角的說明圖示。

• 若要檢視目前的任務清單,按一下頁面右下角的任務圖示。Task Manager 視窗會開啟,顯示任務清單以及狀態、開始時間、相關的訊息和動作。使用顯示下拉式清單過濾任務清單。

• Web 介面語言由電腦目前的語言所控制,如果未設定特定語言偏好設定,電腦目前的語言將管理裝置。例如,如果您管理防火牆所用的電腦使用西班牙的地區設定,則您登入防火牆時,Web 介面將是西班牙文。若要指定無論電腦的地區設定為何均對於指定帳戶一律使用的語言,請按一下頁面右下角的語言圖示,[語言偏好設定 ] 視窗隨即開啟。按一下下拉式清單,選取所需的語言,然後按一下確定儲存您的變更。

• 在列出您可以修改的資訊頁面上(例如 Devices 頁籤上的 Setup 頁面),按一下區域右上角的圖示,編輯設定。

注意:裝置上的說明系統目前僅提供英文版。若要檢視其他語言的說明內容,請參閱《Palo Alto Networks 管理者指南》,網址是 https://live.paloaltonetworks.com/community/documentation。

Page 25: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks 開始使用 • 25

使用防火牆 Web 介面

• 設定完成後,您必須按一下確定或儲存才能儲存變更。當您按一下確定時,會更新目前的「候選」設定檔。

交付變更按一下 Web 介面頂端的交付,開啟交付對話方塊。

交付對話方塊中有下列選項。如果需要,按一下進階連結,顯示選項:

– Include Device and Network configuration — 在交付的操作中包含設備和網路設定的變更。

– Include Shared Object configuration —(僅適用於多個虛擬系統的防火牆)在交付的操作中包含共享物件設定的變更。

– Include Policy and Objects —(僅適用於非多個虛擬系統的防火牆)在交付的操作中包含政策和物件設定的變更。

Page 26: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

使用防火牆 Web 介面

26 • 開始使用 Palo Alto Networks

– Include virtual system configuration — 包含所有的虛擬系統或選擇選取一個或多個虛擬系統。

如需交付變更的相關資訊,請參閱第 35 頁的「定義 Operations 設定」。

– Preview Changes — 按一下此按鈕將顯示兩個窗格的視窗,顯示相較於目前執行的設定所提議的候選設定變更。您可以選擇顯示的內容行數,也可以顯示所有行。變更將按照新增、修改或刪除的項目以顏色分類。Device > Config Audit 功能可執行相同的功能,請參閱第 44 頁的「比較設定檔案」。

導覽至設定頁面本指南中的每一個設定部分都顯示設定頁面的功能表路徑。例如,若要前往 VulnerabilityProtection 頁面,選擇 Objects 頁籤,然後選擇側功能表中 Security Profiles 下的 VulnerabilityProtection。在指南中,這會以下列路徑來表示:

Objects > Security Profiles > Vulnerability Protection

使用設定頁面上的表格設定頁面上的表格包含排序和直欄選擇器的選項。按一下直欄的標題對該直欄進行排序,再按一次可改變排序的方向。按一下任一直欄右側的箭頭,選取要顯示的直欄核取方塊。

必填欄位必填欄位會顯示淺黃色的背景。您將游標移動至欄位輸入區域或在其上按一下時,指示此欄位為必填的訊息便會出現。

Page 27: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks 開始使用 • 27

使用防火牆 Web 介面

鎖定設定程序Web 介面透過允許管理者鎖定設定程序的目前設定來為多個管理者提供支援,進而防止其他管理者進行設定變更或交付操作,直到移除鎖定為止。支援下列類型的鎖定:

• Config lock — 防止其他管理者對設定進行變更。您可以全域設定此類型的鎖定或針對虛擬系統設定。只有設定鎖定的管理者或系統上的超級使用者才能移除鎖定。

• Commit Lock — 防止其他管理者交付變更,直到解除所有鎖定為止。此類型的鎖定可防止在兩個管理者正同時進行變更,且第一個管理者在第二個管理者完成之前完成並交付變更時發生衝突。套用鎖定的管理者交付目前變更之後,便會解除鎖定,也可以手動解除。

任何管理者都可以開啟鎖定視窗來檢視目前已鎖定的設定程序,以及每個設定程序的時間戳記。

若要鎖定設定程序,請在頂端列上按一下已解除鎖定圖示 來開啟 [鎖定 ] 對話方塊。按一下鎖定,從下拉式清單中選取鎖定範圍,並按一下確定。視需要新增其他鎖定,然後按一下關閉來關閉 [鎖定 ] 對話方塊。

將會鎖定設定程序,頂端列上的圖示會變更為已鎖定圖示,並在括號中顯示已鎖定項目的數量。

若要解除鎖定設定程序,請在頂端列上按一下已鎖定圖示 來開啟 [鎖定 ] 視窗。針對您想要移除的鎖定按一下 圖示,然後按一下是來確認。按一下關閉來關閉 [鎖定 ] 對話方塊。

您可以在 Device Setup 頁面的 Management 區域中選取 Automatically acquire commit lock核取方塊來安排自動取得交付鎖定。請參閱第 30 頁的「系統設定、設定及授權管理」。

支援的瀏覽器下列是支援的網路瀏覽器,可以用於存取防火牆的 Web 介面:• Internet Explorer 7+

• Firefox 3.6+

• Safari 5+

• Chrome 11+

Page 28: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

取得設定防火牆方面的協助

28 • 開始使用 Palo Alto Networks

取得設定防火牆方面的協助

此用此節中的資訊取得使用防火牆方面的協助。

取得更多資訊若要取得有關防火牆的更多資訊,請參閱以下內容:

• 一般資訊 — 前往 http://www.paloaltonetworks.com。

• 線上說明 — 按一下 Web 介面右上角的 Help 來存取線上說明系統。

• 客戶 /合作夥伴共享提示、指令碼與簽名的互動協同作業區 — 前往 https://live.paloaltonetworks.com/community/devcenter。

技術支援如需技術支援,請利用以下方法:

• 前往 KnowledgePoint 線上支援社群,網址是:http://live.paloaltonetworks.com。

• 前往 https://support.paloaltonetworks.com。

Page 29: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks 設備管理 • 29

第 3 章

設備管理

本章說明如何對防火牆執行基本系統設定與維護,並會概要介紹虛擬系統、高可用性以及日誌記錄功能:

• 位於下一節的「系統設定、設定及授權管理」

• 第 44 頁的「比較設定檔案」

• 第 44 頁的「安裝授權」

• 第 45 頁的「升級 /降級 PAN-OS 軟體」

• 第 49 頁的「更新威脅與應用程式定義」

• 第 49 頁的「管理者角色、設定檔及帳戶」

• 第 55 頁的「驗證設定檔」

• 第 59 頁的「驗證順序」

• 第 79 頁的「憑證設定檔」

• 第 60 頁的「防火牆日誌」

• 第 66 頁的「設定 SNMP Trap 目的地」

• 第 67 頁的「設定系統日誌伺服器」

• 第 74 頁的「設定電子郵件通知設定」

• 第 75 頁的「檢視警告」

• 第 75 頁的「進行 Netflow 設定」

• 第 76 頁的「匯入、匯出與產生安全性憑證」

• 第 82 頁的「高可用性」

• 第 95 頁的「虛擬系統」

• 第 100 頁的「定義自訂回應頁面」

• 第 101 頁的「檢視支援資訊」

Page 30: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

系統設定、設定及授權管理

30 • 設備管理 Palo Alto Networks

系統設定、設定及授權管理

以下幾節說明如何定義網路設定及管理防火牆的設定:

• 位於下一節的「定義 Management 設定」

• 第 35 頁的「定義 Operations 設定」

• 第 38 頁的「定義 Services 設定」

• 第 40 頁的「定義 Content ID 設定」

• 第 41 頁的「定義 Session 設定」

• 第 42 頁的「SNMP」

• 第 43 頁的「統計資料服務」

• 第 44 頁的「安裝授權」

定義 Management 設定Device > Setup > Management

Setup 頁面可讓您設定防火牆的管理、操作、服務、內容識別、WildFire 惡意軟體的分析與報表,以及工作階段行為。

如果您不想使用管理連接埠,可以定義回路介面並透過回路介面的 IP 位址管理防火牆(請參閱第 125 頁的「設定回路介面」)。

在此頁面執行下列任何操作:

• 若要變更主機名稱或網路設定,請按一下此頁面第一個表格上的編輯,並指定下列資訊。

注意:如需有關在 WildFire 頁籤上進行設定的相關資訊,請參閱第 367 頁的「設定 WildFire」。

表格 1. Management 設定

項目 說明

一般設定

主機名稱 輸入主機名稱(最多 31 個字元)。名稱區分大小寫,且必須是唯一。請僅使用字母、數字、空格、連字號與底線。

Domain 輸入防火牆的完全合格的網域名稱 (FQDN)(最多 31 個字元)。

登入橫幅 輸入將會顯示在防火牆登入頁面上的自訂文字。文字會顯示在 Name 與Password 欄位下。

時區 選取防火牆的時區。

Page 31: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks 設備管理 • 31

系統設定、設定及授權管理

地區設定 從下拉式清單中選取 PDF 報表的語言。請參閱第 233 頁的「管理 PDF 摘要報表」。

如果您已為 Web 介面設定特定語言偏好設定,PDF 報表仍將使用在此地區設定中指定的語言。請參閱第 23 頁的「使用防火牆 Web 介面」中的語言偏好設定。

時間 若要設定防火牆上的日期與時間,請按一下設定時間。以 (YYYY/MM/DD) 的格式輸入目前日期,或按一下行事曆圖示 ,選取月份與日期。以 24 小時制的格式輸入目前時間 (HH:MM:SS)。您也可以從 Device >Setup > Services 定義 NTP 伺服器。

序號 (僅限 Panorama)輸入防火牆的序號。

Geo Location 輸入防火牆的緯度(-90.0 到 90.0)與經度(-180.0 到 180.0)。

Automatically acquire commit lock

變更候選設定時,自動套用交付鎖定。如需詳細資訊,請參閱第 27 頁的「鎖定設定程序」。

憑證到期檢查 當盒上的憑證接近到期日時,指示防火牆建立警告訊息。

多個虛擬系統功能 若要使用多個虛擬系統(如果防火牆型號支援),請針對 Setup 頁面頂部附近的 Multi Virtual System Capability 按一下編輯。選取核取方塊,然後按一下確定。如需虛擬系統的詳細資訊,請參閱第 95 頁的「虛擬系統」。

驗證設定

驗證設定檔 選取要用來讓管理者存取防火牆的驗證設定檔。如需設定驗證設定檔的相

關指示,請參閱第 55 頁的「設定驗證設定檔」。

憑證設定檔 選取要用來讓管理者存取防火牆的憑證設定檔。如需設定憑證設定檔的相

關指示,請參閱第 79 頁的「憑證設定檔」。

閒置逾時輸入逾時間隔時間(1 - 1440 分鐘)。值 0 表示管理、Web 或 CLI 工作階段未逾時。

# Failed Attempts 輸入在帳戶鎖定前,Web 介面及 CLI 所允許的失敗登入嘗試次數。(1-10,預設為 0)。0 表示無限制。

鎖定時間輸入達到失敗嘗試次數時,鎖定使用者的分鐘數(0-60 分鐘)。預設值 0表示沒有對於嘗試次數的限制。

表格 1. Management 設定(續)

項目 說明

Page 32: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

系統設定、設定及授權管理

32 • 設備管理 Palo Alto Networks

Panorama 設定

Panorama Server 輸入 Panorama、Palo Alto Networks 中央管理系統(如果有)的 IP 位址。若要透過 Panorama 管理設備,必須使用伺服器位址。

注意:若要移除 Panorama 傳送至受管理防火牆的任何政策,請按一下停用 Panorama 政策與物件連結。若要在將政策與物件從 Panorama 中移除之前將其本機複本保留在設備中,請按一下所開啟對話方塊中的在停用之

前匯入 Panorama 政策與物件核取方塊。按一下確定。

注意:當您選取匯入核取方塊時,會將政策與物件複製到目前的候選設

定。如果您交付此設定,政策與物件會變為設定的一部分,且不再由

Panorama 管理。

若要移除設備與網路範本,請按一下停用設備與網路範本連結。若要保留

設備與網路範本的本機複本,請按一下所開啟對話方塊中的在停用之前匯

入設備與網路範本核取方塊,然後按一下確定。當您選取匯入核取方塊

時,會將在設備與網路範本中定義的設定複製到目前的候選設定。如果您

交付該設定,這些項目會變為設定的一部分,且不再由 Panorama 管理。在您按一下啟用設備與網路範本之前,設備將不再接受範本。

Panorama 伺服器 2 如果在高可用性 (HA) 模式下操作 Panorama,請指定做為 HA 設定一部分的第二個 Panorama 系統。

Receive Timeout for connection to Panorama

輸入從 Panorama 接收 TCP 訊息的逾時(1-120 秒,預設為 20)。

Send Timeout for connection to Panorama

輸入將 TCP 通訊傳送至 Panorama 的逾時(1-120 秒,預設為 20)。

Retry Count for SSL send to Panorama

輸入嘗試將 Secure Sockets Layer (SSL) 訊息傳送至 Panorama 的重試次數(1-64,預設為 25)。

與設備共享未使用的位址

與服務物件

(僅限 Panorama)

選取此核取方塊可與受管理的設備共享所有 Panorama 共享物件與設備群組特定物件。取消核取之後,會檢查對位址、位址群組、服務與服務群組

物件的參考是否符合 Panorama 政策,且不會共享未參考的任何物件。此選項將確保只會將必要的物件傳送至受管理的設備,以減少總物件數。

共享物件較為優先

(僅限 Panorama)選取此核取方塊可指定共享物件優先於設備群組物件。此選項是系統全域

設定,且預設為關閉。關閉此選項時,設備群組會覆蓋相同名稱的對應物

件。如果開啟(核取)選項,則設備群組物件無法從共享位置覆蓋相同名

稱的對應物件,且將丟棄與共享物件名稱相同的任何設備群組物件。

管理介面設定

MGT Interface Speed 設定管理介面的資料速率與雙工選項。選擇包括全雙工或半雙工下的

10Mbps、100Mbps 與 1Gbps。使用預設自動交涉設定,讓防火牆決定介面速度。

此設定應該與相鄰網路設備的連接埠設定相符。

MGT Interface IP Address

輸入管理連接埠的 IP 位址。或者,您也可以使用回路的 IP 位址進行設備管理。此位址可做為遠端日誌記錄的來源位址使用。

網路遮罩 輸入 IP 位址的網路遮罩,例如 “255.255.255.0”。

預設閘道 輸入預設路由器的 IP 位址(必須位於與管理連接埠相同的子網路上)。

表格 1. Management 設定(續)

項目 說明

Page 33: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks 設備管理 • 33

系統設定、設定及授權管理

MGT Interface IPv6 Address

(選用)輸入管理連接埠的 IPv6 位址。指示網路遮罩需要 IPv6 前置詞長度,例如 2001:400:f00::1/64。

預設 IPv6 閘道 如果您已將 IPv6 位址指定給管理連接埠,輸入預設路由器的 IPv6 位址(必須與管理連接埠位於相同的子網路上)。

MGT Interface Services 選取在指定管理介面位址上啟用的服務:HTTP、HTTPS、Telnet、Secure Shell (SSH) 及 /或 ping。

Permitted IPs 輸入允許防火牆管理的 IP 位址清單。

登入與報告設定

日誌儲存 指定硬碟上配置給每個日誌類型的空間比例。

當您變更比例值時,相關聯的磁碟配置也會自動變更。如果所有值的總和

超過 100%,而您嘗試儲存設定時,頁面上會出現紅色的錯誤訊息。如果發生這種情形,請重新調整比例,使總和不超過 100% 的限制。

按一下確定可儲存設定,按一下還原預設可還原所有預設設定。

注意:當日誌到達最大大小時,系統會從最舊的項目開始覆寫。如果您將

現有日誌的大小調整為小於目前的大小,防火牆會在您交付變更時,立即

以先移除最舊的日誌開始縮短日誌。

使用者活動報告中的最大

列數

輸入詳細使用者活動報表支援的最大列數(1-1048576,預設為 65535)。

CSV 匯出中的最大列數 輸入將出現在從流量日誌檢視中匯出為 CSV 圖示產生之 CSV 報表中的最大列數(範圍是 1-1048576,預設為 65535)。

組態檔稽核的版本編號 輸入丟棄最舊版本之前要儲存的設定稽核版本數(預設為 100)。

組態檔備份的版本編號 (僅適用於 Panorama)輸入丟棄最舊備份之前要儲存的設定備份數(預設為 100)。

Average Browse Time (sec)

設定此變數可調整在 “User Activity Report” 中計算瀏覽時間的方式。

計算將忽略分類為網路廣告與內容傳送網路的網站。瀏覽時間計算以記錄

在 URL 過濾日誌中的容器頁面為基礎。容器頁面之所以會做為此計算的基礎使用,是因為許多網站都從不應考慮的外部網站載入內容。如需容器

頁面的詳細資訊,請參閱第 41 頁的「容器頁面」。

平均瀏覽時間設定為管理者認為使用者瀏覽網頁應花費的平均時間。在平

均瀏覽時間過去之後所做的任何要求都將視為新瀏覽活動。計算將忽略在

第一個要求的時間(開始時間)與平均瀏覽時間之間載入的任何新網頁。

此行為的設計目的是排除在感興趣之網頁內載入的任何外部網站。

例如:如果平均瀏覽時間設定為 2 分鐘且使用者開啟網頁並檢視該頁面 5分鐘,則該頁面的瀏覽時間仍將為 2 分鐘。之所以會如此,是因為無法決定使用者檢視指定頁面的時間。

(範圍是 0-300 秒,預設為 60 秒)

Page Load Threshold (sec)

設定此變數可調整在 “User Activity Report” 中計算瀏覽時間的方式。

此選項可讓您調整將頁面元件載入到頁面上所花費的假設時間。會將在第

一個頁面載入與頁面載入臨界值之間發生的任何要求假設為頁面的元件。

而將在頁面載入臨界值以外發生的任何要求假設為使用者按一下頁面內的

連結。

(範圍是 0-60 秒,預設為 20 秒)

表格 1. Management 設定(續)

項目 說明

Page 34: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

系統設定、設定及授權管理

34 • 設備管理 Palo Alto Networks

傳送系統日誌中的主機

名稱

選取此核取方塊可傳送系統日誌訊息內的設備主機名稱欄位。

設定此選項時,系統日誌訊息將在訊息標頭中包含防火牆設備的主機名稱。

Stop Traffic when LogDb full

如果您想要通過防火牆的流量在日誌資料庫已滿時停止,請選取此核取方

塊(預設為關閉)。

於高 DP 載入時啟用日誌 如果您想要系統日誌項目在設備處於負載較大的情況下產生,請選取此核

取方塊(預設為關閉)。

Minimum Password Complexity

已啟用 啟用本機帳戶的最低密碼需求。在使用此功能的情況下,您可以確保防火

牆上的本機管理者帳戶遵守一組定義的密碼需求。

您也可以建立含這些選項子集的密碼設定檔,其將覆蓋這些設定並可套用

至特定帳戶。如需詳細資訊,請參閱第 52 頁的「定義密碼設定檔」,另請參閱第 50 頁的「使用者名稱與密碼需求」以取得可用於帳戶之有效字元的相關資訊。

注意:可輸入的最大密碼長度為 31 個字元。在設定需求時,請確保不會建立無法接受的組合。例如,您無法設定含 10 個大寫、10 個小寫、10 個數字以及 10 個特殊字元的需求,因為這會超出 31 個字元的最大長度。

注意:如果您已設定高可用性 (HA),請務必在設定密碼複雜度選項時使用主要設備,並在變更後快速交付。

最小長度 需要 1-15 個字元的最小長度。

最小大寫字母 需要 0-15 個字元的最小大寫字母數。

最小小寫字母 需要 0-15 個字元的最小小寫字母數。

最小數字字母 需要 0-15 個數字的最小數字字母數。

最小特殊字元 需要 0-15 個字元的最小特殊字元(非英數字元)數。

封鎖重複字元 根據指定值,不允許重複字元該次數。例如,如果將值設定為 4,則無法接受密碼 test2222,但會接受 test222(範圍是 2-15)。

Block Username Inclusion (including reversed)

選取此核取方塊可防止在密碼中使用帳戶使用者名稱(或與名稱順序相反

的字元)。

新密碼在字元數上有差異 在管理者變更其密碼時,字元必須根據指定值而有所不同。

需要在首次登入時變更

密碼

選取此核取方塊可提示管理者在首次登入設備時變更其密碼。

防止密碼重複使用限制 要求根據指定數量,不重複使用該數量的之前密碼。例如,如果將值設定

為 4,您無法重複使用之前 4 個密碼的任何一個(範圍為 0-50)。

Block Password Change Period (days)

使用者在到達指定天數之前無法變更其密碼(範圍是 0-365 天)。

Required Password Change Period (days)

要求管理者根據所設定天數(範圍是 0-365 天)的指定,定期變更其密碼。例如,如果將值設定為 90,則將提示管理者每 90 天變更一次密碼。

您也可以設定 0-30 天的到期警告,並指定寬限期。

Expiration Warning Period (days)

如果已設定所需密碼變更週期,則在強制密碼變更日期即將到達時,此設

定可用於在每次登入時提示使用者變更其密碼(範圍是 0-30 天)。

表格 1. Management 設定(續)

項目 說明

Page 35: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks 設備管理 • 35

系統設定、設定及授權管理

定義 Operations 設定Device > Setup > Operations

當您變更設定並按一下確定時,會更新目前的「候選」設定,而不是使用中設定。按一下頁面頂部的交付可將候選設定套用至使用中設定,這會啟動自從上次交付之後的所有設定變更。

此方法可讓您在啟動設定之前先檢閱設定。同時啟動多個變更可協助避免即時套用變更時可能發生的無效設定狀態。

您可以視需要時常儲存及回復(還原)候選設定,也可載入、驗證、匯入及匯出設定。按下儲存可建立目前候補設定的複本,而選擇交付可將使用中設定更新為候補設定的內容。

若要管理設定,請選取適當的設定管理功能,如下表所述。

Allowed expired admin login (count)

允許管理者在帳戶過期後登入指定次數。例如,如果將值設定為 3 且其帳戶已過期,則其可以在帳戶遭到鎖定之前再登入 3 次(範圍是 0-3 次登入)。

Post Expiration Grace Period (days)

允許管理者在帳戶過期後登入指定天數(範圍是 0-30 天)。

表格 1. Management 設定(續)

項目 說明

注意:建議您按一下畫面右上角的儲存連結,定期儲存您輸入的設定。

表格 2. 設定管理功能

功能 說明

組態管理

Validate candidate config

檢查候選設定是否存在錯誤。

Revert to last saved config

從快閃記憶體還原最後儲存的候選設定。目前的候選設定會遭到覆寫。如

果已儲存候選設定,會發生錯誤。

Revert to running config 還原最後一個執行中設定。目前的執行中設定會遭到覆蓋。

Save named configuration snapshot

將候選設定儲存至檔案。輸入檔案名稱或選取要覆寫的現有檔案。請注

意,無法覆寫目前使用中設定 (running-config.xml)。

Save candidate config 將候選設定儲存在快閃記憶體中(與按一下頁面頂部的儲存相同)。

Load named configuration snapshot

從使用中設定 (running-config.xml) 或之前已匯入或已儲存的設定載入候選設定。選取要載入的設定檔。目前的候選設定會遭到覆寫。

Load configuration version

載入指定版本的設定。

Export named configuration snapshot

匯出使用中設定 (running-config.xml) 或之前已儲存或已匯入的設定。選取要匯出的設定檔。您可以開啟檔案及 /或將其儲存在任何網路位置。

Export configuration version

匯出指定版本的設定。

Page 36: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

系統設定、設定及授權管理

36 • 設備管理 Palo Alto Networks

匯出設備狀態 此功能用於在啟用大範圍 VPN 功能的情況下,從設定為 GlobalProtect 入口網站的防火牆匯出設定與動態資訊。如果入口網站遭遇失敗,可將匯出

檔案匯入以還原入口網站的設定與動態資訊。

匯出包含入口網站管理之所有衛星設備的清單、匯出時的執行中設定,以

及所有憑證資訊(根 CA、伺服器與衛星憑證)。

重要:您必須手動執行設備狀態匯出或建立排程 XML API 指令碼,才能將檔案匯出至遠端伺服器。此操作應定期執行,因為衛星憑證可能經常變更。

若要從 CLI 建立設備狀態檔案,請從設定模式執行 save device state。會將檔案命名為 device_state_cfg.tgz 並儲存在 /opt/pancfg/mgmt/device-state 中。匯出設備狀態檔案的操作命令是 scp export device-state(您也可以使用 tftp export device-state)。

如需使用 XML API 的相關資訊,請參閱文件《PAN-OS XML 式 Rest API 用法指南》,其位於 https://live.paloaltonetworks.com/community/documentation。

請參閱第 283 頁的「GlobalProtect 大規模 VPN 部署」。

Import named config snapshot

從任何網路位置匯入設定檔。按一下瀏覽並選取要匯入的設定檔。

匯入設備狀態 匯入使用 Export device state 選項匯出的設備狀態資訊。這包括目前執行中設定、Panorama 範本與共享政策。如果設備為 Global Protect 入口網站,匯出會包括憑證授權單位 (CA) 資訊與衛星設備清單及其驗證資訊。

設備操作

Reboot Device 若要重新啟動防火牆,請按一下 Reboot Device。您將會登出,而且會重新載入 PAN-OS 軟體與使用中設定。現有工作階段也將會關閉及記錄,並將建立系統日誌項目,顯示啟動關閉的管理者名稱。尚未儲存或已交付的

任何設定變更都會遺失(請參閱第 35 頁的「定義 Operations 設定」)。

注意:如果沒有 Web 介面,請使用 CLI 命令 request restart system。關於詳細資訊,請參閱《PAN-OS 命令行介面參考指南》。

Shutdown Device 若要對防火牆執行非失誤性關閉,請按一下 Shutdown Device,然後在看見確認提示時按一下是。尚未儲存或已交付的任何設定變更都會遺失。所

有管理者都將登出,並將發生下列程序:

•所有登入工作階段都將登出。

•介面將停用。

•所有系統程序都將停止。

•現有工作階段將關閉及記錄。

•將建立系統日誌,顯示啟動關閉的管理者名稱。如果此日誌項目無法寫入,則會出現警告,且系統將不會關閉。

•將徹底卸載磁碟機並關閉設備的電源。

您需要在拔下後重新插上電源,然後才能開啟設備的電源。

注意:如果沒有 Web 介面,請使用 CLI 命令 request restart system。關於詳細資訊,請參閱《PAN-OS 命令行介面參考指南》。

Restart Data Plane 若要重新啟動防火牆的資料功能而不重新啟動設備,請按一下 RestartDataplane。此選項不適用於 PA-200。

注意:如果沒有 Web 介面,請使用 CLI 命令 request restart dataplane。關於詳細資訊,請參閱《PAN-OS 命令行介面參考指南》。

表格 2. 設定管理功能(續)

功能 說明

Page 37: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks 設備管理 • 37

系統設定、設定及授權管理

雜項

自訂標誌 使用此選項可自訂下列任何資訊:

•登入畫面背景影像

•主要 UI(使用者介面)標頭影像

• PDF 報表的標題頁面影像。請參閱第 233 頁的「管理 PDF 摘要報表」。

• PDF 報表的頁尾影像

按一下 可上載影像檔案,按一下 可預覽,或按一下 可移除上次上載的影像。

請注意下列事項:

•支援的檔案類型是 png、gif 和 jpg。

•若要返回預設標誌,請移除您的項目然後交付。

•任何標誌影像的影像最大大小是 128 KB。

•對於登入畫面與主要使用者介面選項,當您按一下 ,系統會顯示這些

選項的預覽畫面。系統將視需要裁剪影像以符合頁面。對於 PDF 報表,系統則不裁剪,以自動調整大小的方式符合頁面。在所有情況下,預覽會

顯示建議的影像尺寸。

如需產生 PDF 報表的相關資訊,請參閱第 233 頁的「管理 PDF 摘要報表」。

SNMP 設定 指定 SNMP 參數。請參閱第 42 頁的「SNMP」。

統計資料服務設定 指定統計資料服務的設定。請參閱第 43 頁的「統計資料服務」。

注意:當您按一下交付或輸入 commit CLI 命令時,自上次交付後透過 Web 介面及 CLI 所做的所有變更都會啟動。為避免可能發生的衝突,請使用設定程序鎖定功能,如第 27 頁的「鎖定設定程序」所述。

表格 2. 設定管理功能(續)

功能 說明

Page 38: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

系統設定、設定及授權管理

38 • 設備管理 Palo Alto Networks

定義 Services 設定Device > Setup > Services

使用 Services 頁籤可定義網域名稱系統 (DNS)、網路時間通訊協定 (NTP)、更新伺服器、Proxy 伺服器與服務路由設定等設定。

表格 3. Services 設定

功能 說明

DNS 選取 DNS 服務的類型。此設定會用於所有由防火牆啟動的 DNS 查詢,此防火牆必須支援 FQDN 位址物件、日誌記錄與設備管理。選項包括:

•用於網域名稱解析的主要與次要 DNS 伺服器

•已設定於防火牆的 DNS Proxy

主要 DNS 伺服器 輸入主要 DNS 伺服器的 IP 位址或主機名稱。此伺服器用於防火牆的 DNS查詢,例如尋找更新伺服器、解析日誌中的 DNS 項目或用於基於 FDQN的位址物件。

Secondary DNS Server 輸入當主要伺服器不可用時,您要使用的次要 DNS 伺服器 IP 位址與主機名稱(選用)。

主要 NTP 伺服器 輸入主要 NTP 伺服器(若存在)的 IP 位址或主機名稱。如果您未使用NTP 伺服器,可以手動設定設備時間。

次要 NTP 伺服器 輸入當主要伺服器不可用時,您要使用的次要 NTP 伺服器 IP 位址與主機名稱(選用)。

更新伺服器 此設定代表用來從 Palo Alto Networks 下載更新的伺服器 IP 位址或主機名稱。目前的值是 updates.paloaltonetworks.com。除非技術支援指示,否則請勿變更伺服器名稱。

安全 Proxy 伺服器 如果設備需要使用 Proxy 伺服器才能取得 Palo Alto Networks 更新服務,請輸入伺服器的 IP 位址或主機名稱。

安全 Proxy 連接埠 如果您指定 Proxy 伺服器,請輸入連接埠。

安全 Proxy 使用者 如果您指定 Proxy 伺服器,請輸入存取伺服器的使用者名稱。

安全 Proxy 密碼Confirm Secure Proxy Password

如果您指定 Proxy 伺服器,請輸入並確認使用者存取伺服器的密碼。

Page 39: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks 設備管理 • 39

系統設定、設定及授權管理

Service Route Configuration

指定防火牆將與其他伺服器 / 設備通訊以進行服務通訊的方式,例如DNS、電子郵件、Palo Alto Networks 更新與 NTP。您可以選取 “Use Management Interface for all” 來針對所有通訊使用內建管理連接埠 (MGT),或者您可以定義特定來源 IP 位址來針對每種服務的更精確控制使用不同介面。例如,您可以針對防火牆與電子郵件伺服器之間

的所有電子郵件通訊設定介面的特定來源 IP,並針對 Palo Alto Networks更新使用其他來源 IP/介面。

按一下 Service Route Configuration 並設定下列項目:

• Use Management Interface for all — 此選項將強制所有防火牆服務透過管理介面 (MGT) 與外部伺服器進行通訊。如果已選取此選項,您需要將MGT 介面設定為允許在防火牆與提供服務的伺服器/設備之間進行通訊。若要設定 MGT 介面,請導覽至 Device > Setup > Management 頁籤並編輯 “Management Interface Settings”。

• Select — 選擇此選項可為服務通訊設定更精確的控制。將會出現一個表格,顯示可用服務的清單以及用於選取來源位址的下拉式清單。選取所需

服務,然後從來源位址下拉式清單中選取來源。[ 來源位址 ] 是指定給將為服務流量來源之介面的 IP 位址。您不必定義目的地位址,因為會在設定指定服務時設定目的地。例如,當您從 Device > Setup > Services 頁籤以及服務定義 DNS 伺服器時,該操作會設定 DNS 查詢的目的地。

• Destination 與 Source Address 欄位 — 如果您想要路由的服務並未列在服務欄中,您可以使用 Destination 與 Source Address 欄位來定義將由其他服務使用的路由。未列出的服務包括諸如 Kerberos、LDAP 與Panorama 日誌收集器通訊等項目。您不需要輸入目的地位址的子網路。

在多租用戶環境中,需要有目的地 IP 式服務路由,而公用服務則需要不同的來源位址。例如,在兩個租用戶需要使用 RADIUS 時。

為將用於路由服務的介面正確設定路由與政策很重要。例如,如果您想在

除 MGT 連接埠以外的介面上路由 Kerberos 驗證要求,需要在 ServiceRoute Configuration 視窗的右側部分設定 Destination 與 SourceAddress,因為 Kerberos 並不會列在預設 [服務] 欄中。例如,您可以在Ethernet1/3 上擁有來源 IP 位址 192.168.2.1,以及 Kerberos 伺服器目的地 10.0.0.240。您需要將 Ethernet1/3 新增至含預設路由的現有虛擬路由器,或者您可以從 Network > Virtual Routers 建立新虛擬路由器,並根據需要新增靜態路由。這將可確保透過虛擬路由器路由介面上的所有流

量,以到達適當的目的地。在此情況下,目的地位址為 10.0.0.240,且Ethernet1/3 介面擁有來源 IP 192.168.2.1/24。

目的地與來源位址的 CLI 輸出類似於:

PA-200-Test# show route

destination {

10.0.0.240 {

source address 192.168.2.1/24

}

在此設定下,介面 Ethernet1/3 上的所有流量都將使用在虛擬路由器中定義的預設路由,並會傳送至 10.0.0.240。

表格 3. Services 設定(續)

功能 說明

Page 40: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

系統設定、設定及授權管理

40 • 設備管理 Palo Alto Networks

定義 Content ID 設定Device > Setup > Content-ID

使用 Content-ID 頁籤可定義 URL 過濾、資料防護與容器頁面等設定。

表格 4. Content ID 設定

功能 說明

URL 過濾

Dynamic URL Cache Timeout

按一下編輯並輸入逾時(以小時為單位)。此值在動態 URL 過濾中使用,用來決定項目在從 URL 過濾服務傳回之後保留在快取中的時間長度。此選項僅適用於使用 BrightCloud 資料庫的 URL 過濾。如需 URL 過濾的相關資訊,請參閱第 185 頁的「URL 過濾設定檔」。

URL 繼續逾時 指定使用者必須在執行「繼續」動作之後多久時間之內,針對相同類別的

URL 再次按下 “continue”(範圍為 1 - 86400 分鐘,預設為 15 分鐘)。

URL 管理員取代逾時 指定使用者輸入管理覆蓋密碼之後,必須在多久時間之內針對相同類別的

URL 重新輸入管理覆蓋密碼(範圍為 1 - 86400 分鐘,預設為 900 分鐘)。

URL 管理員鎖定逾時 指定使用者在嘗試使用 URL 管理覆蓋密碼三次失敗之後,將遭到鎖定的時間(範圍為 1 - 86400 分鐘,預設為 1800 分鐘)。

x-forwarded-for 加入包含來源 IP 位址的 X-Forwarded-For 標頭。選取此選項之後,防火牆會檢查 HTTP 標頭中是否有 X-Forwarded-For 標頭,Proxy 可以使用此標頭來儲存原始使用者的來源 IP 位址。

系統會取得值 Src:x.x.x.x 並將其放在 URL 日誌的 Source User 欄位中(其中 x.x.x.x 為從標頭讀取的 IP 位址)。

Strip-x-forwarded-for 移除包含來源 IP 位址的 X-Forwarded-For 標頭。選取此選項之後,防火牆會在轉送要求前將標頭值調整為零,且轉送的封包不包含內部來源 IP 資訊。

允許轉寄解密的內容 選取此核取方塊可允許防火牆將解密的內容轉送至外部服務。例如,當設

定此選項時,防火牆可將解密的內容傳送至 WildFire 進行分析。針對多VSYS 設定,此選項為按 VSYS。

URL 管理員取代

Settings for URL Admin Override

指定頁面由 URL 過濾設定檔封鎖且指定 Override 動作時所使用的設定。請參閱第 185 頁的「URL 過濾設定檔」。

按一下新增,並針對您要為 URL 管理覆蓋設定的每個虛擬系統進行下列設定。

• Location — 從下拉式清單中選取虛擬系統(僅限多 VSYS 設備)。

• Password/Confirm Password — 輸入使用者必須輸入來覆蓋封鎖頁面的密碼。

• Server Certificate — 選取透過指定伺服器重新導向時要用於 SSL 通訊的伺服器憑證。

• Mode — 決定封鎖頁面是以透明方式傳送(它看起來像是源自封鎖的網站),還是將使用者重新導向至指定伺服器。如果您選擇 Redirect,請輸入要重新導向的 IP 位址。

按一下 ,刪除項目。

Page 41: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks 設備管理 • 41

系統設定、設定及授權管理

定義 Session 設定Device > Setup > Session

Session 頁籤允許您設定工作階段過時的時間以及與全域工作階段相關的設定,例如防護 IPv6流量以及政策變更時,將安全政策重新比對到現有的工作階段。

管理資料保護 為存取可能包含機敏資訊(如信用卡號碼或身份證號碼)的日誌新增其他

保護。

按一下 Manage Data Protection 並設定下列項目:

•若要在尚未設定密碼的情況下設定新密碼,請按一下設定密碼。輸入確認密碼。

•若要變更密碼,請按一下變更密碼。輸入舊密碼,然後輸入並確認新密碼。

•若要刪除密碼與已經受到保護的資料,請按一下刪除密碼。

容器頁面 使用這些設定可根據內容類型(如應用程式/pdf、應用程式/soap+xml、應用程式 /xhtml+、文字 /html、文字 /純文字與文字 /xml),指定防火牆將追蹤或記錄的 URL 類型。每個虛擬系統都會設定容器頁面,您可以從位置下拉式清單中選取。如果虛擬系統沒有定義明確的容器頁面,會使

用預設內容類型。

按一下新增,然後輸入或選取內容類型。

為虛擬系統新增內容類型會覆蓋預設內容類型清單。如果沒有與虛擬系統

相關聯的內容類型,會使用預設內容類型清單。

表格 4. Content ID 設定(續)

功能 說明

表格 5. Session 設定

欄位 說明

同時連線設定

重新比對同時連線 按一下編輯,並選取設定政策變更時重新比對所有工作階段核取方塊。

例如,假設之前已允許 Telnet,然後在最後一次交付時變更為 Deny。預設行為適用於在重新比對及封鎖交付之前開啟的任何 Telnet 工作階段。

ICMPv6 語彙基元陣列大小

輸入用於限制 ICMPv6 錯誤訊息速率的桶大小。語彙基元桶大小是語彙基元桶演算法的參數,可控制 ICMPv6 錯誤封包的突發程度(範圍是 10-65535 個封包,預設為 100)。

ICMPv6 錯誤封包速率 輸入全域範圍內允許的每秒 ICMPv6 錯誤封包平均數(範圍是 10-65535 封包 /秒,預設為 100)。此值適用於所有介面。

Jumbo Frame

Jumbo Frame MTU

選取此項可啟用 jumbo 框架支援。Jumbo 框架的最大 MTU 為 9192,且可在某些平台上使用。請參閱防火牆型號的規格表,您可以在 http://www.paloaltonetworks.com 找到。

啟用 IPv6 防火牆 若要針對 IPv6 啟用防火牆功能,請按一下編輯,然後選取 IPv6 防火牆核取方塊。

如果未啟用 IPv6,所有 IPv6 設定都會遭到忽略。

NAT64 IPv6 最小網路 MTU

可讓您變更 IPv6 轉譯流量的全域 MTU 設定(預設為 1280)。預設以 IPv6流量的標準最低 MTU 為基礎。

Page 42: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

系統設定、設定及授權管理

42 • 設備管理 Palo Alto Networks

SNMPDevice > Setup > Operations

使用此頁面可定義對 SNMPv2c 與 SNMPv3 的 SNMP 管理資訊庫 (MIB) 的存取權。在 Setup頁面上按一下 SNMP Setup,然後指定下列設定。

MIB 模組可以定義系統產生的所有 SNMP Trap。系統內的每個事件日誌會定義為獨立的SNMP Trap,擁有自有的物件 ID (OID),事件日誌內的個別欄位則定義為變數連結 (varbind)清單。

加速老化 允許閒置工作階段的加速老化。

選取此核取方塊可啟用加速過時,然後指定臨界值 (%) 與比例係數。

當工作階段表到達 Accelerated Aging Threshold(% 比例),AcceleratedAging Scaling Factor 會套用到所有工作階段的過時計算。工作階段的閒置時間計算方式是實際的閒置時間乘以比例係數。例如,如果使用比例係數 10,工作階段正常會在 3600 秒後逾時,而不是 360 秒。

同時連線逾時

逾時 指定每個類別的逾時秒數。系統會列出範圍與預設秒數。

同時連線功能

解密憑證撤銷設定 選取此項可設定防火牆的憑證管理選項。

啟用 選取此核取方塊可使用憑證撤銷清單 (CRL) 來檢查 SSL 憑證的有效性。

每個信任的憑證授權單位 (CA) 都會保留 CRL,以確定 SSL 憑證對於 SSL 解密是否有效(未撤銷)。線上憑證狀態通訊協定 (OCSP) 也可以用來動態檢查憑證的撤銷狀態。如需 SSL 解密的詳細資訊,請參閱第 173 頁的「解密政策」。

接收逾時 指定 CRL 要求在多久的間隔時間之後逾時,且狀態被判定為未知(1-60 秒)。

Enable OCSP 選取此核取方塊可使用 OCSP 來檢查 SSL 憑證的有效性。

接收逾時 指定 OCSP 要求在多久的間隔時間之後逾時,且狀態被判定為未知(1-60 秒)。

封鎖未知憑證狀態的工

作階段

如果您要封鎖無法驗證的憑證,請選取此核取方塊。

封鎖憑證狀態檢查逾時

的工作階段

如果您要在憑證資訊的要求逾時後封鎖憑證,請選取此核取方塊。

憑證狀態逾時 指定憑證狀態要求將於多久間隔時間之後逾時(1 - 60 秒)。

表格 5. Session 設定(續)

欄位 說明

表格 6. SNMP 設定

欄位 說明

實體位置 指定防火牆的實體位置。

聯絡 輸入負責維護防火牆之人員的姓名或電子郵件地址。會在標準系統資訊

MIB 中報告此設定。

Page 43: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks 設備管理 • 43

系統設定、設定及授權管理

統計資料服務Device > Setup > Operations

統計資料服務功能可讓防火牆將匿名應用程式、威脅與當機資訊傳送至 Palo Alto Networks 研究團隊。收集的資訊可讓研究團隊根據真實世界的資訊持續改善 Palo Alto Networks 產品的有效性。此服務預設為停用,若啟用,則會每 4 小時上載一次資訊。

您可以讓防火牆傳送下列任何類型的資訊:

• 應用程式與威脅報表

• 未知的應用程式報告

• URL 報表

• 設備對當機的追蹤

若要檢視要傳送之統計資料報表的內容範例,請按一下報表圖示 。Report Sample 頁籤即會開啟並顯示報表代碼。若要檢視報表,請按一下所需報表旁邊的核取方塊,然後按一下報表範例頁籤。

Use Specific Trap Definitions

選取此核取方塊可根據事件類型為每個 SNMP Trap 使用唯一的 OID(預設為選取狀態)。

版本 選取 SNMP 版本(V2c 或 V3)。此設定會控制對 MIB 資訊的存取權。依預設,V2c 需使用 “public” 社群字串進行選取。

針對 V2c,進行下列設定:

• SNMP Community String — 輸入存取防火牆的 SNMP 社群字串(預設為 public)。

針對 V3,進行下列設定:

• Views — 按一下新增並進行下列設定:

– Name — 指定視圖群組的名稱。

– View — 指定視圖的名稱。

– OID — 指定物件識別碼 (OID)(例如,1.2.3.4)。

– Option — 選擇會將 OID 包含在視圖中,還是從視圖中排除。

– Mask — 為 OID 上的過濾指定十六進位格式的遮罩值(例如 0xf0)。

• Users — 按一下新增並進行下列設定:

– Users — 指定使用者名稱。

– View — 指定使用者的視圖群組。

– Auth Password — 指定使用者的驗證密碼(最少 8 個字元,最多 256個字元,且沒有字元限制)。允許使用所有字元。僅支援安全雜湊演算

法 (SHA)。

– Priv Password — 指定使用者的加密密碼(最少 8 個字元,最多 256 個字元,且沒有字元限制)。僅支援進階加密標準 (AES)。

表格 6. SNMP 設定(續)

欄位 說明

Page 44: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

比較設定檔案

44 • 設備管理 Palo Alto Networks

比較設定檔案

Device > Config Audit

您可以使用 Config Audit 頁面檢視及比較設定檔案。從下拉式清單中,選取要比較的設定。選取您要包含在內容中的行數,然後按一下前往。

系統會顯示設定並反白顯示差異,如下圖所示。

頁面中還包含與下拉式清單相鄰的 和 按鈕,這些按鈕會在比較兩個連續設定版本時啟用。按一下 可變更即將與上一組儲存設定進行比較的設定,按一下 可變更即將與下一組儲存設定進行比較的設定。

圖 1. 設定比較

Panorama 會自動儲存在每個受管理防火牆上交付的所有設定檔案,無論變更是透過 Panorama介面執行還是在防火牆上本機執行都是如此。

安裝授權

Device > Licenses

當您從 Palo Alto Networks 購買使用授權後,您會接收到啟動一或多個授權金鑰的驗證碼。

若要啟動 URL 過濾的 URL 協力廠商授權,您必須安裝授權、下載資料庫,然後按一下啟動。

Licenses 頁面有以下功能:

• 若要啟用 URL 過濾的授權,按一下啟動。

• 若要啟用需要驗證碼的購買使用授權,而且您已在支援入口網站上啟動使用授權,按一下從授權伺服器擷取授權金鑰。

• 若要啟用需要驗證碼的購買使用授權,但是您先前未在支援入口網站上啟動使用授權,按一下使用授權碼啟動功能。輸入驗證碼,然後按一下確定。

Page 45: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks 設備管理 • 45

升級 /降級 PAN-OS 軟體

• 如果防火牆無法連線至授權伺服器,而且您想要手動上載授權金鑰,請依照以下步驟執行:

a. 從 http://support.paloaltonetworks.com 取得授權金鑰的檔案。

b. 本機儲存授權金鑰檔案。

c. 按一下手動上載授權金鑰,按一下瀏覽並選取檔案,然後按一下確定。

安裝授權時要考慮的重要項目如果您無法使用 Web 介面啟動 URL 過濾,您可以使用 CLI 命令。如需詳細資訊,請參閱《PAN-OS 命令行介面參考指南》。

升級 /降級 PAN-OS 軟體

Device > Software

若要升級為新版的 PAN-OS 軟體,您可以檢視可從 Palo Alto Networks 中找到的最新版本 PAN-OS 軟體、閱讀各版本的發行註記,然後再選取您要下載的版本並進行安裝(需要支援授權)。

在 Software 頁面執行下列任何功能:

• 按一下重新整理,檢視可從 Palo Alto Networks 中找到的最新軟體版本。

• 按一下發行註記可檢視版本變更描述與安裝軟體的移轉路徑。您無法略過功能版本,且必須先下載基礎影像,然後才能從某個功能版本升級到更高功能版本中的維護版本。這是由於下列事實所致,即維護版本並不包含完整的軟體版本,只包含自基礎影像版本以來所做的變更,因此升級需要基礎影像。例如,如果您從 4.0.12 升級為 4.1.7,需要下載 4.1.0 基礎影像(而非安裝),使得 4.1.7 維護版本升級可以存取 4.1.0基礎影像檔案。如果您想從一個版本升級到兩個更高的功能版本,需要升級到每個功能版本。例如,如果您想從 4.0 升級到 5.0,必須從 4.0 升級到 4.1,然後再從 4.1 升級到 5.0。您可以在完成升級後刪除基礎影像檔案,但並不建議您執行此操作,因為當您升級到下一個維護版本時會需要基礎影像。您可能只想刪除無需升級之舊版本的基礎影像。例如,如果您要執行 4.1,則可能不需要 3.1 與 4.0 的基礎影像,除非您打算降級到這些版本。

• 按一下下載,從下載網站安裝新版本。下載完成後,會在下載欄顯示一個核取標記。若要安裝下載的版本,請按一下版本旁的安裝。

在安裝期間,會在安裝完成時詢問您是否重新啟動。安裝完成後,您將在防火牆重新啟動時登出。如果已選取該選項,防火牆將會重新啟動。

在升級到功能版本(對此版本而言,PAN-OS 版本中的第一或第二位數會變更,例如 4.0變為 4.1. 或 4.1 變為 5.0)時,您將會在按一下安裝時看到一則訊息,說明您將要執行功能版本升級。您應確保備份目前設定,因為功能版本可能會移轉某些設定以符合新功能。請參閱第 47 頁的「降級 PAN-OS 軟體」。

• 按一下上載,安裝您之前已儲存在 PC 上的版本。瀏覽以選取軟體套件,然後按一下從檔案安裝。選擇您剛剛從下拉式清單中選取的檔案,然後按一下確定來安裝影像。

• 按一下刪除圖示 ,刪除過期的版本。

Page 46: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

升級 /降級 PAN-OS 軟體

46 • 設備管理 Palo Alto Networks

升級 PAN-OS 軟體時的注意事項• 從之前的 PAN-OS 版本升級時,請遵循建議的路徑來取得最新版本,如發行註記所述。

• 在將高可用性 (HA) 配對升級到新功能版本(對此版本而言,PAN-OS 版本中的第一或第二位數會變更,例如 4.0 變為 4.1. 或 4.1 變為 5.0)時,可能會移轉設定以符合新功能。如果已啟用工作階段同步,若叢集中的一個設備位於不同的 PAN-OS 功能版本,則不會同步工作階段。

• 防火牆上的日期與時間設定必須是目前日期與時間。在安裝新版本前,PAN-OS 軟體會進行數位簽署,而且設備會檢查簽名。如果防火牆上的日期設定不是目前日期,設備可能會在未來將軟體簽名視為錯誤,並顯示訊息:Decrypt failed:GnuPG edit non-zero, with code 171072 Failed to load intoPAN software manager.

在高可用性設定中升級 PAN-OS本節提供有關在於主動 /被動及主動 /主動模式下進行高可用性 (HA) 設定時升級 PAN-OS 軟體的資訊。

如果已啟用工作階段同步,若叢集中的一個設備位於不同的 PAN-OS 功能版本,則不會同步工作階段。如果需要工作階段連續性,您必須在重建工作階段表格時暫時允許 non-syn-tcp。

如需高可用性 (HA) 設定的相關資訊,請參閱第 82 頁的「高可用性」。若要檢視 HA 設定的一般狀態,請前往 Dashboard 頁籤並檢視高可用性 Widget。如果 Widget 未顯示出來,請按一下 Widget 連結下拉式清單,然後選取系統 > 高可用性。

下列步驟假設您要執行新功能版本升級。維護版本可以使用相同的程序,但在該情況下,若已啟用工作階段同步,則在兩部設備都處於正常操作狀態的情況下,該程序不會中斷。同時,配對中的較高修訂維護版本將不會轉至非正常操作狀態,功能版本也是如此。

若要將 HA 配對升級到新功能版本:

1. 請閱讀第 45 頁的「升級/降級 PAN-OS 軟體」,以獲得有關升級程序的一般資訊與重要註記。

2. 透過導覽至 Device > Setup > Operations 頁籤將目前設定檔的備份儲存在兩部設備上,選取 Export named configuration snapshot,然後選取 running-config.xml,最後按一下確定,將設定檔儲存至電腦。

3. 將被動 /主動次要防火牆(設備 B)升級到新 PAN-OS 功能版本,然後重新啟動來完成安裝。重新啟動之後,在暫停設備 A(主動 /主動主要)之前,該設備將無法正常操作。如果已啟用工作階段同步,您可以執行操作命令 set session tcp-reject-non-synno。這將會重建工作階段表格,且升級前的工作階段將會繼續。當兩部設備都處於相同功能版本之後,執行 set session tcp-reject-non-syn yes 來啟用此選項。在主動 / 被動模式下,如果有設定先佔式選項,當狀態同步完成時,目前的被動式設備將會還原為主動式。

4. 暫停主動 / 主動主要防火牆(設備 A),這將強制被動 / 主動次要(設備 B)防火牆變為正常操作狀態。此時,工作階段同步將因兩部設備均未處於相同 PAN-OS 功能版本上而停止。請確保設備 B 處於正常操作狀態且傳送流量,然後才能繼續對設備 A 進行升級。

注意:下列步驟適用於主動/被動與主動/主動,僅有說法不同。主動/被動表示您擁有主動與被動設備。主動 /主動表示您擁有主動主要與主動次要設備,且這兩部設備在叢集處於正常操作狀態時都會傳送流量。

Page 47: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks 設備管理 • 47

升級 /降級 PAN-OS 軟體

5. 將「設備 A」升級到新 PAN-OS 版本,然後重新啟動設備來完成安裝。設備 A 重新開啟之後,所有HA 功能都應恢復,包括工作階段同步。如果您允許非 non-syn-tcp(如步驟 3 所述),可以執行 set session tcp-reject-non-syn yes 予以還原。

6. 檢視 Monitor > Session Browser 或從 CLI 執行 show session all 來確認主動設備是否在傳送流量。您也可以檢查設備的 HA 狀態,方法是執行 show high-availability all | matchreason。如果這是主動 /主動設定,請檢查是否兩部設備都在傳送流量。若要檢查工作階段同步,請執行 show high-availability interface ha2。在「從CPU 讀取的硬體介面計數器」表中檢查計數器是否在增加。在主動 /被動設定中,只有主動設備會顯示傳輸的封包,被動設備只會顯示接收的封包。而在主動 / 主動中,您會在兩部設備上看到接收的封包與傳輸的封包。

降級 PAN-OS 軟體如果您需要降級 PAN-OS 軟體,則需要根據 PAN-OS 版本類型(功能或維護)來依照不同步驟執行操作。若為功能版本(對此版本而言,PAN-OS 版本中的第一或第二位數會變更,例如從 4.0 變為 4.1 或從 4.1 變為 5.0),可能會移轉設定以符合新功能,因此除非您也要還原之前版本的設定,否則不應降級。而維護版本可以降級,且不必擔心還原設定的問題。

• 位於下一節的「維護版本降級」

• 第 48 頁的「功能版本降級」

維護版本降級

在維護版本中,版本號碼的第三位數會變更(從 4.1.4 變為 4.1.5 或從 5.0.0 變為 5.0.1)。當您從一個維護版本升級到另一個維護版本時,功能不會變更,因此不需要在降級期間還原設定。

若要降級為之前的維護版本:

1. 透過導覽至 Device > Setup > Operations 頁籤儲存目前設定檔的備份,選取 Export namedconfiguration snapshot,然後選取 running-config.xml,最後按一下確定儲存設定檔。此備份可用於在您於降級時遇到問題且需要執行原廠重設的情況下還原設定。

2. 導覽至 Device > Software,您會看到軟體頁面,其列出可下載或已經下載的所有 PAN-OS 版本。

3. 若要降級為舊維護版本,請針對所需版本按一下動作欄中的安裝。如果您要使用的版本顯示下載,請按一下下載連結來擷取軟體套件,然後按一下安裝。

4. 降級 PAN-OS 之後,按一下確定來重新啟動設備以啟動新版本。

小心:我們建議您降級的目標設定與軟體版本必須相符。不相符的軟體與設定會導致降級失敗,甚至會強制系統進入維護模式。這僅適用於從一個功能版本降級到另一個功能版本,不適用於維護版本。

如果您在降級時遇到問題,可能需要進入維護模式並將設備重設為原廠預設,然後從在升級之前匯出的原始設定檔還原設定。

Page 48: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

升級 /降級 PAN-OS 軟體

48 • 設備管理 Palo Alto Networks

功能版本降級

在功能版本中,版本號碼的第一或第二位數會變更(從 4.0 變為 4.1 或從 4.1 變為 5.0)。當您從一個功能版本升級到另一個功能版本時,設定可能會變更,以符合新功能。因此,您需要還原在將設備升級到功能版本之前所建立的設定備份。從 PAN-OS 4.1 開始,此設定備份會在升級到功能版本時自動建立。

若要降級為之前的功能版本:

1. 透過導覽至 Device > Setup > Operations 頁籤儲存目前設定檔的備份,選取 Export namedconfiguration snapshot,然後選取 running-config.xml,最後按一下確定儲存設定檔。此備份可用於在您於降級時遇到問題且需要執行原廠重設的情況下還原設定。

2. 若要降級為舊功能版本,您必須導覽至 Device > Software 並瀏覽至包含之前功能版本的頁面來尋找該版本。請參閱圖 2。

3. 針對功能版本按一下動作欄中的安裝。如果您要使用的版本顯示下載,請按一下下載連結來擷取軟體套件,然後按一下安裝。

4. 您將會看到提示,其允許您選取將在設備重新啟動之後使用的設定。在大多數情況下,由於這是功能版本降級,因此您會想要選取在將設備升級到下一個功能版本時所建立的自動儲存設定。例如,如果您正在執行 PAN-OS 5.0 且想要降級為 PAN-OS 4.1,請按一下動作欄中的安裝,然後在為降級選取設定檔下拉式清單中選取 autosave-4.1.0,如圖 2 所示。

圖 2. 降級為舊功能版本

注意:有一點很重要需要注意,即此程序會將您的設備還原成在升級到功能版本之前所做的設定。從那時起所做的任何變更都將遺失,因此備份您的目前設定,以備您想在返回新版本時還原這些變更,這一點很重要。

Page 49: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks 設備管理 • 49

更新威脅與應用程式定義

5. 安裝 PAN-OS 之後,按一下確定來重新啟動設備以啟動新版本。然後會啟動 PAN-OS 的所選功能版本與設定。

更新威脅與應用程式定義

Device > Dynamic Updates

Palo Alto Networks 會定期發佈更新,包括新的或修訂的應用程式定義、有關新安全性威脅的資訊(例如需要威脅防範授權的防毒簽章)、URL 過濾條件、GlobalProtect 資料的更新以及WildFire 簽章(需要 WildFire 使用授權)。您可以檢視最新更新、閱讀每個更新的發行註記,然後選取您要下載及安裝的更新。您也可以還原為之前安裝的更新版本。

在此頁面執行下列任何功能:

• 按一下立即檢查以從 Palo Alto Networks 中取得最新資訊。

• 按一下動作欄中的安裝以更新至該版本。

• 針對某版本按一下還原以恢復為該版本。

• 按一下發行註記,檢視更新的描述。

• 按一下上載,安裝您之前已儲存在 PC 上的檔案。瀏覽以選取檔案,然後按一下從檔案安裝。選擇您剛剛從下拉式清單中選取的檔案,然後按一下確定來進行安裝。

• 按一下排程連結以排程自動更新。指定更新的頻率與時間,以及是下載並安裝更新,還是只下載。如果您選取僅下載,可以按一下 Dynamic Updates 頁面上動作欄中的安裝連結安裝下載的更新。按一下確定後,即會排程更新。不需要交付。您也可以只是針對要採取的動作,內容必須持續多長時間(小時數),以及上載是否應該與對等防火牆同步。

管理者角色、設定檔及帳戶

防火牆支援使用下列選項來驗證嘗試登入防火牆的管理使用者:

• Local database — 使用者登入與密碼資訊會直接輸入到防火牆資料庫中。

• RADIUS — 現有的 Remote Authentication Dial In User Service (RADIUS) 伺服器將用於驗證使用者。

• LDAP — 現有輕量型目錄存取通訊協定 (LDAP) 伺服器用來驗證使用者。

• Kerberos — 現有 Kerberos 伺服器用來驗證使用者。

• Client Certificate — 現有用戶端憑證用來驗證使用者。

建立管理帳戶時,您可以指定本機驗證或用戶端憑證(無驗證設定檔),或驗證設定檔(RADIUS、LDAP、Kerberos 或本機 DB 驗證)。此設定決定檢查管理者驗證的方式。

注意:針對 4.1 版之前的版本,您可能需要進行原廠重設,並還原設備。例如從 4.0 降級為 3.1。

Page 50: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

管理者角色、設定檔及帳戶

50 • 設備管理 Palo Alto Networks

管理者角色決定在登入後允許管理者執行的功能。您可以將角色直接指定給管理者帳戶,或定義角色設定檔,設定檔可指定詳細的權限,並可將這些權限指定給管理者帳戶。

如需詳細資訊,請參閱以下幾節:

• 如需設定驗證設定檔的指示,請參閱第 55 頁的「設定驗證設定檔」。

• 如需設定角色設定檔的指示,請參閱第 51 頁的「定義管理者角色」。

• 如需設定管理者帳戶的指示,請參閱第 53 頁的「建立管理帳戶」。

• 如需 SSL 虛擬私人網路 (VPN) 的相關資訊,請參閱第 293 頁的「設定 GlobalProtect」。

• 如需為管理者定義虛擬系統網域的指示,請參閱第 54 頁的「為管理者指定存取網域」。

• 如需為管理者定義憑證設定檔的相關指示,請參閱第 79 頁的「憑證設定檔」。

使用者名稱與密碼需求

下表列出可在 PAN-OS 與 Panorama 帳戶的使用者名稱與密碼中使用的有效字元。

注意:下列限制適用於 PAN-OS 3.1 及更新版本。

表格 7. 使用者名稱與密碼的有效字元

帳戶類型 限制

密碼字元集 對任何密碼欄位字元集都沒有限制。

遠端管理、SSL-VPN 或網頁認證

不允許在使用者名稱中使用下列字元:

•倒引號 (`)

•尖括號(< 與 >)

•符號 (&)

•星號 (*)

•符號 (@)

•問號 (?)

•直立線符號 (|)

•單引號 (\)

•分號 (;)

•雙引號 (")

•貨幣符號 ($)

•括號('(' 與 ')')

•冒號 (':')

Page 51: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks 設備管理 • 51

管理者角色、設定檔及帳戶

定義管理者角色Device > Admin Roles

您可以使用 Admin Roles 頁面來定義角色設定檔,以決定管理使用者可以使用的存取權與責任。如需新增管理者帳戶的指示,請參閱第 53 頁的「建立管理帳戶」。

還有三個預先定義的管理者角色,可基於通用條件目的進行使用。您可以先使用超級使用者角色對設備進行初始設定,然後為安全管理者、稽核管理者與密碼管理者建立管理者帳戶。在建立帳戶並套用適當的通用條件管理者角色之後,您便可以使用這些帳戶登入。FIPS 或 CC 模式下的預設超級使用者帳戶為 admin 且預設密碼為 paloalto。在標準操作模式下,預設 admin密碼為 admin。除非所有角色都擁有對稽核記錄的唯讀存取權(擁有完整讀取 /刪除存取權的稽核管理者除外),否則會在功能無重疊的情況下建立預先定義的管理者角色。這些管理者角色無法修改,且定義如下:

• auditadmin — 稽核管理者負責定期檢閱防火牆的稽核資料。

• cryptoadmin — 密碼管理者負責設定及維護與建立防火牆的安全連線相關的密碼元件。

• securityadmin — 安全管理者負責另外兩個管理角色未解決的其他所有管理任務(例如建立防火牆的安全政策)。

本機管理者帳戶 以下是本機使用者名稱的允許字元:

•符號 (@)

•插入號 (^)

•左方括號 ([)

•小寫 (a-z)

•大寫 (A-Z)

•數字 (0-9)

•底線 (_)

•句點 (.)

•連字號 (-)

•右方括號 (])

•加號 (+)

•貨幣符號 ($)

注意:系統不會將限制加諸回應頁面字元集。

表格 7. 使用者名稱與密碼的有效字元

帳戶類型 限制

Page 52: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

管理者角色、設定檔及帳戶

52 • 設備管理 Palo Alto Networks

定義密碼設定檔Device > Password Profiles

密碼設定檔可讓您設定個別本機帳戶的基本密碼需求。如果您啟用 Minimum PasswordComplexity 來為所有本機帳戶提供密碼需求,則此密碼設定檔將覆蓋這些設定。如需詳細資訊,請參閱第 34 頁的「Minimum Password Complexity」,另請參閱第 50 頁的「使用者名稱與密碼需求」以取得可用於帳戶之有效字元的相關資訊。

若要將密碼設定檔套用至帳戶,請前往 Device > Administrators,選取帳戶,然後從密碼設定檔下拉式清單中選擇設定檔。

表格 8. 管理者角色設定

欄位 說明

名稱 輸入用來識別管理者角色的名稱(最多 31 個字元)。名稱區分大小寫,且必須是唯一。請僅使用字母、數字、空格、連字號與底線。

說明 輸入角色的選擇性描述(最多 255 個字元)。

Role 從下拉式清單中選取管理責任的一般範圍。

WebUI 按一下指定區域的圖示,指示 Web 介面中

允許的存取類型:

•可對指示的頁面進行讀取 /寫入存取。

•可對指示的頁面進行唯讀存取。

•不可存取指示的頁面。

CLI 角色 為 CLI 存取選取角色類型:

• disable — 不允許存取設備 CLI。

• superuser — 完整存取目前設備。

• superreader — 唯讀存取目前設備。

• deviceadmin — 完整存取所選設備,定義新帳戶或虛擬系統除外。

• devicereader — 唯讀存取所選設備。

表格 9. 密碼設定檔設定

欄位 說明

名稱 輸入用來識別密碼設定檔的名稱(最多 31 個字元)。名稱區分大小寫,且必須是唯一。請僅使用字母、數字、空格、連字號與底線。

Required Password Change Period (days)

要求管理者根據所設定天數(範圍是 0-365 天)的指定,定期變更其密碼。例如,如果將值設定為 90,則將提示管理者每 90 天變更一次密碼。

您也可以設定 0-30 天的到期警告,並指定寬限期。

Expiration Warning Period (days)

如果已設定所需密碼變更週期,則在強制密碼變更日期即將到達時,此設定可

用於在每次登入時提示使用者變更其密碼(範圍是 0-30 天)。

Post Expiration Grace Period (days)

允許管理者在其帳戶過期後登入指定天數(範圍是 0-30 天)。

Allowed expired admin login (count)

允許管理者在其帳戶過期後登入指定次數。例如,如果將值設定為 3 且其帳戶已過期,則其可以在帳戶遭到鎖定之前再登入 3 次(範圍是 0-3 次登入)。

Page 53: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks 設備管理 • 53

管理者角色、設定檔及帳戶

建立管理帳戶Device > Administrators

管理者帳戶可控制對於防火牆的存取。每位管理者都可以擁有對於單一設備或單一設備上虛擬系統的完整或唯讀存取權。預先定義的 admin 帳戶具有完整存取權。

支援以下驗證選項:

• Password authentication — 使用者輸入名稱與密碼進行登入。不需要憑證。

• Client certificate authentication (web) — 如果您選取此核取方塊,使用者不需要輸入使用者名稱與密碼;憑證足以驗證防火牆的存取。

• 公開金鑰驗證 (SSH) — 使用者可以在需要存取防火牆的電腦上,產生公開 / 私人金鑰配對,然後將公開金鑰上載到防火牆,允許使用者不輸入使用者名稱與密碼就能進行安全性存取。

注意:若要確保設備管理介面保持安全,建議定期更改管理密碼,並使用大小寫字母與數字混合的形式。您也可以從 Setup > Management 強制執行“Minimum Password Complexity”。

表格 10. 管理者帳戶設定

欄位 說明

名稱 輸入使用者的登入名稱(最多 15 個字元)。名稱區分大小寫,且必須是唯一。請僅使用字母、數字、連字號與底線。

驗證設定檔 選取驗證設定檔,以根據指定驗證設定檔中的設定進行管理者驗

證。此設定可用於 RADIUS、LDAP、Kerberos 或本機 DB 驗證。

如需設定驗證設定檔的指示,請參閱第 55 頁的「設定驗證設定檔」。

Use only client certificate authentication (web)

選取此核取方塊可使用用戶端憑證驗證存取 Web。如果您選取此核取方塊,使用者不需要輸入使用者名稱與密碼;憑證足以驗證防火

牆的存取。

新密碼Confirm New Password

輸入及確認使用者的區分大小寫密碼(最多 15 個字元)。您也可以從 Setup > Management 強制執行 “Minimum Password”。

使用公開金鑰驗證 (SSH) 選取此核取方塊可使用 SSH 公開金鑰驗證。按一下匯入金鑰,瀏覽並選取公開金鑰檔案。已上載的金鑰會顯示在唯讀的文字區域內。

支援的金鑰檔案格式是 IETF SECSH 與 OpenSSH。支援的金鑰演算法是 DSA(1024 位元)與 RSA (768 - 4096 位元)。

注意:如果公開金鑰無法驗證,使用者會收到使用者名稱與密碼的

提示。

Page 54: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

管理者角色、設定檔及帳戶

54 • 設備管理 Palo Alto Networks

為管理者指定存取網域Device > Access Domain

使用 Access Domain 頁面,為管理者指定存取防火牆的網域。存取網域已連結至 RADIUS 廠商特定屬性 (VSA),且只有在將 RADIUS 伺服器用於管理者驗證時才會受到支援。如需設定RADIUS 的相關資訊,請參閱第 57 頁的「設定 RADIUS 伺服器設定」。

當管理者嘗試登入防火牆時,防火牆會在 RADIUS 伺服器中查詢管理者的存取網域。如果RADIUS 伺服器上有相關聯的網域,會將其傳回,並將管理者限制在設備上已命名存取網域內的已定義虛擬系統。如果未使用 RADIUS,則會忽略此頁面上的存取網域設定。如需 Panorama存取網域的相關資訊,請參閱第 343 頁的「為管理者指定 Panorama 存取網域」。

Role 選取選項以將角色指定給此使用者。角色可決定使用者可以檢視及

修改的內容。

如果您選擇 Dynamic,則可以從下拉式清單中選取下列任何預先指定的角色:

• Superuser — 可完整存取目前設備。

• Superuser (read-only) — 唯讀存取目前設備。

• Device Admin — 完整存取所選設備,定義新帳戶或虛擬系統除外。

• Device administrator (read-only) — 唯讀存取所選設備。

• Vsys Admin — 完整存取指定設備上的所選虛擬系統(如果啟用多個虛擬系統)。

• Vsys Admin (read-only) — 唯讀存取特定設備上的所選虛擬系統。

• Role Based Admin — 根據指定的角色存取,如第 51 頁的「定義管理者角色」中所定義。

如果您選擇以角色為基礎,請從下拉式清單中選取之前定義的角色

設定檔。如需定義角色設定檔的指示,請參閱第 51 頁的「定義管理者角色」。

虛擬系統 選取您想要管理者能夠存取的虛擬系統,並按一下新增,將它們從

可用區域移至所選區域。

注意:在對於「超級使用者」所顯示的 Panorama Administrators 頁面上,如果帳戶鎖定,會在右側欄中顯示一個鎖定圖示。管理者可以按一下該圖示來解除鎖定帳戶。

表格 10. 管理者帳戶設定(續)

欄位 說明

表格 11. 存取網域設定

欄位 說明

名稱 輸入存取網域的名稱(最多 31 個字元)。名稱區分大小寫,且必須是唯一。請僅使用字母、數字、連字號與底線。

虛擬系統 在 [可用 ] 欄選取虛擬系統,並按一下新增予以選取。

注意:只有支援虛擬系統的設備支援存取網域。

Page 55: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks 設備管理 • 55

驗證設定檔

驗證設定檔

驗證設定檔可指定本機資料庫、RADIUS、LDAP 或 Kerberos 設定,而且可指定給管理者帳戶、SSL-VPN 存取及網頁認證。當管理者嘗試直接或透過 SSL-VPN 或網頁認證登入防火牆時,防火牆會檢查指定給帳戶的驗證設定檔,並會根據驗證設定對使用者進行驗證。

如果使用者沒有本機管理者帳戶,則在設備 Setup 頁面上指定的驗證設定檔可決定驗證使用者的方式(請參閱第 30 頁的「定義 Management 設定」):

• 如果您在 Setup 頁面上指定 RADIUS 驗證設定,且使用者在防火牆上沒有本機帳戶,則防火牆會從 RADIUS 伺服器要求使用者(包括角色)的驗證資訊。您可在下列支援網站找到包含各角色屬性的 Palo Alto Networks RADIUS 目錄檔案:https://live.paloaltonetworks.com/docs/DOC-3189。

• 如果在 Settings 頁面上將 None 指定為驗證設定檔,則使用者必須由防火牆根據為使用者指定的驗證設定檔在本機驗證。

設定驗證設定檔Device > Authentication Profile

使用 Authentication Profile 頁面可設定可以套用至帳戶以管理對防火牆之存取權的驗證設定。

表格 12. 驗證設定檔設定

欄位 說明

名稱 輸入用來識別設定檔的名稱(最多 31 個字元)。名稱區分大小寫,且必須是唯一。請僅使用字母、數字、空格、連字號與底線。

共用 如果設備在多個虛擬系統模式下,選取此核取方塊可允許所有虛擬系統共享

設定檔。

鎖定時間 輸入達到失敗嘗試次數時,鎖定使用者的分鐘數(0-60 分鐘,預設為 0)。0 表示在手動解除鎖定之前,鎖定一直有效。

失敗的嘗試 輸入在帳戶鎖定前所允許的失敗登入嘗試次數(1-10,預設為 0)。0 表示無限制。

允許清單 指示明確允許驗證的使用者及群組。按一下編輯允許清單並執行下列任何

操作:

•選取可用欄中適當使用者或使用者群組旁的核取方塊,然後按一下新增,將您選取的項目新增到所選欄中。

•使用 All 核取方塊來套用至所有使用者。

•在 Search 欄位中輸入名稱的前幾個字元,列出名稱以這些字元開頭的所有使用者與使用者群組。選取清單中的項目會設定 Available 欄中的核取方塊。請時常視需要重複此程序,然後按一下新增。

•若要移除使用者或使用者群組,請在所選欄內選取適當的核取方塊並按一下移除,或是選取 any 來清除所有使用者。

Page 56: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

驗證設定檔

56 • 設備管理 Palo Alto Networks

建立本機使用者資料庫

您可以在防火牆上設定本機資料庫,來儲存遠端存取使用者、設備管理者與網頁認證使用者的驗證資訊。此設定不需要外部驗證伺服器,因此所有帳戶管理都會在設備上或從 Panorama執行。

設定 Captive Portal 時,您需要先建立本機帳戶,將其新增至 User Group 並使用新群組建立Authentication Profile。然後,從 Device > User Authentication > Captive Portal 啟用 CaptivePortal,並選取 Authentication Profile。設定完之後,您可以從 Policies > Captive Portal 建立政策。如需詳細資訊,請參閱第 247 頁的「網頁認證」。

驗證 選擇驗證類型:

• None — 不在防火牆上使用任何驗證。

• Local Database — 使用防火牆中的驗證資料庫。

• RADIUS — 使用 RADIUS 伺服器進行驗證。

• LDAP — 使用 LDAP 做為驗證方法。

• Kerberos — 使用 Kerberos 做為驗證方法。

伺服器設定檔 如果您選取 RADIUS、LDAP 或 Kerberos 做為驗證方法,請從下拉式清單中選擇驗證伺服器。可在 Server 頁面設定伺服器。請參閱第 57 頁的「設定RADIUS 伺服器設定」、第 58 頁的「設定 LDAP 伺服器設定」與第 59 頁的「進行 Kerberos 設定(原始 Active Directory 驗證)」。

登入屬性 如果您選取 LDAP 做為驗證方法,請輸入能夠單獨識別使用者的 LDAP 目錄屬性。

密碼到期警告 如果您選取 LDAP 做為驗證方法,請輸入密碼到期之前要向使用者傳送自動訊息的天數。如果欄位保留空白,則表示不提供警告。下列資料庫支援此

設定方式:Active Directory、eDirectory 與 Sun ONE Directory。

此設定可用於 SSL-VPN。如需詳細資訊,請參閱第 293 頁的「設定 GlobalProtect」。

您可以編輯下列指令碼,來將到期警告訊息自訂為 SSL-VPN 登入頁面的一部分:

<SCRIPT>function getPassWarnHTML(expdays){ var str = "Your password will expire in " + expdays + " days"; return str;}</SCRIPT>

變更 str 變數的值會變更顯示的訊息。

表格 12. 驗證設定檔設定(續)

欄位 說明

Page 57: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks 設備管理 • 57

驗證設定檔

新增本機使用者Device > Local User Database > Users

使用 Local Users 頁面來將使用者資訊新增至本機資料庫。

新增本機使用者群組Device > Local User Database > User Groups

使用 Local User Groups 頁面來將使用者群組資訊新增至本機資料庫。

設定 RADIUS 伺服器設定Device > Server Profiles > RADIUS

您可以使用 RADIUS 頁面來為在驗證設定檔中識別的 RADIUS 伺服器進行設定。請參閱第 55頁的「驗證設定檔」。

表格 13. 本機使用者設定

欄位 說明

Local User Name 輸入用來識別使用者的名稱(最多 31 個字元)。名稱區分大小寫,且必須是唯一。請僅使用字母、數字、空格、連字號與底線。

位置 選擇虛擬系統或選擇 Shared 來讓所有虛擬系統都能使用憑證。

模式 使用此欄位來指定驗證選項:

• Password — 輸入並確認使用者的密碼。

• Password Hash — 輸入雜湊的密碼字串。

啟用 選取用來啟動使用者帳戶的核取方塊。

表格 14. 本機使用者群組設定

欄位 說明

Local User Group Name

輸入用來識別群組的名稱(最多 31 個字元)。名稱區分大小寫,且必須是唯一。請僅使用字母、數字、空格、連字號與底線。

位置 選擇虛擬系統或選擇 Shared 來讓所有虛擬系統都能使用憑證。

所有本機使用者 按一下新增可選取您要新增到群組的使用者。

表格 15. RADIUS 伺服器設定

欄位 說明

名稱 輸入用來識別伺服器的名稱(最多 31 個字元)。名稱區分大小寫,且必須是唯一。請僅使用字母、數字、空格、連字號與底線。

位置 選擇虛擬系統,或選擇 Shared 來讓所有虛擬系統都能使用設定檔。

僅限管理員使用 此伺服器設定檔僅適用於管理員驗證。

網域 輸入 RADIUS 伺服器網域。如果使用者在登入時未指定網域,會使用網域設定。

逾時 輸入驗證要求將於多久間隔之後逾時(1-30 秒,預設為 3 秒)。

Page 58: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

驗證設定檔

58 • 設備管理 Palo Alto Networks

設定 LDAP 伺服器設定Device > Server Profiles > LDAP

您可以使用 LDAP 頁面來為用於透過驗證設定檔方式進行驗證的 LDAP 伺服器進行設定。請參閱第 55 頁的「驗證設定檔」。

重試次數 輸入在逾時後,經過多少次自動重試之後,要求才會失敗(1-5,預設為 3)。

Retrieve User Group 選取此核取方塊可使用 RADIUS VSA 來定義能夠存取防火牆的群組。

伺服器 依偏好順序設定每部伺服器的資訊。

• Name — 輸入用來識別伺服器的名稱。

• IP address — 輸入伺服器 IP 位址。

• Port — 輸入驗證要求的伺服器連接埠。

• Secret/Confirm Secret — 輸入與確認金鑰,以驗證及加密防火牆與 RADIUS伺服器之間的連線。

表格 15. RADIUS 伺服器設定(續)

欄位 說明

表格 16. LDAP 伺服器設定

欄位 說明

名稱 輸入用來識別設定檔的名稱(最多 31 個字元)。名稱區分大小寫,且必須是唯一。請僅使用字母、數字、空格、連字號與底線。

位置 選擇虛擬系統,或選擇 Shared 來讓所有虛擬系統都能使用設定檔。

僅限管理員使用 此伺服器設定檔僅適用於管理員驗證。

伺服器 指定最多三個 LDAP 伺服器的主機名稱、IP 位址及連接埠。

網域 輸入伺服器網域名稱。此網域名稱應為網域的 NetBIOS 名稱,且將在執行驗證時新增至使用者名稱。例如,如果您的網域為 paloaltonetworks.com,只需輸入 paloaltonetworks 便可。

類型 從下拉式清單中選擇伺服器。

基礎 在目錄伺服器中指定根內容,以縮小搜尋使用者或群組資訊的範圍。

繫結 DN 為目錄伺服器指定登入名稱(辨別名稱)。

Bind Password/Confirm Bind Password

指定連結帳戶密碼。代理程式會將加密的密碼儲存在設定檔案中。

SSL 選取此選項可在 Palo Alto Networks 設備與目錄伺服器之間使用安全 SSL或傳輸層安全性 (TLS) 通訊。

時間限制 指定執行目錄搜尋時強制使用的時間限制(0 - 60 秒,預設為 30 秒)。

繫結時間限制 指定連線至目錄伺服器時強制使用的時間限制(0 - 60 秒,預設為 30 秒)。

重試間隔 指定在上一次失敗嘗試之後,系統將於多久間隔時間之後再嘗試連線至

LDAP 伺服器(1-3600 秒)。

Page 59: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks 設備管理 • 59

驗證順序

進行 Kerberos 設定(原始 Active Directory 驗證)Device > Server Profiles > Kerberos

在無需要求客戶啟動 Internet Authentication Service (IAS) 來支援 RADIUS 的情況下,使用Kerberos 頁面來設定 Active Directory 驗證。設定 Kerberos 伺服器可讓使用者原始驗證網域控制站。

設定 Kerberos 後,Kerberos 即會變為定義驗證設定檔時可用的選項。請參閱第 55 頁的「驗證設定檔」。

您可以設定 Kerberos 來辨識以下任一格式的使用者帳戶,其中的網域與領域指定為 Kerberos伺服器設定的一部分:

• 網域 \使用者名稱

• 使用者名稱 @領域

• 使用者名稱

驗證順序

在某些環境下,使用者帳戶存在於多個目錄中。訪客或其他帳戶可能也儲存在不同目錄中。驗證順序是一組驗證設定檔,當使用者嘗試登入防火牆時,會依序套用這組設定檔。防火牆始終會先嘗試本機資料庫,然後依序嘗試每個設定檔,直到識別出使用者為止。只有在驗證順序中的所有設定檔都驗證失敗的情況下,才會拒絕存取防火牆。

例如,在檢查完本機資料庫之後,您可以將驗證順序設定為先嘗試 RADIUS,然後再進行LDAP 驗證。

表格 17. Kerberos 伺服器設定

欄位 說明

名稱 輸入用來識別伺服器的名稱(最多 31 個字元)。名稱區分大小寫,且必須是唯一。請僅使用字母、數字、空格、連字號與底線。

位置 選擇虛擬系統,或選擇 Shared 來讓所有虛擬系統都能使用設定檔。

僅限管理員使用 此伺服器設定檔僅適用於管理員驗證。

領域 指定使用者登入名稱的主機名稱部分(最多 127 個字元)

例如:使用者帳戶名稱 [email protected] 具有領域 example.local。

網域 指定使用者帳戶的網域(最多 31 個字元)。

伺服器 針對每個 Kerberos 伺服器,請按一下新增,並指定下列設定:

• Server — 輸入伺服器 IP 位址。

• Host — 輸入伺服器 FQDN。

• Port — 輸入選擇性埠號,用來與伺服器進行通訊。

Page 60: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

防火牆日誌

60 • 設備管理 Palo Alto Networks

設定驗證順序Device > Authentication Sequence

使用 Authentication Sequence 頁面設定數組驗證設定檔,在使用者要求存取防火牆時,會依序嘗試這些設定檔。如果使用順序中的任一驗證設定檔驗證成功,則會賦予使用者存取權限。如需詳細資訊,請參閱第 55 頁的「驗證設定檔」。

防火牆日誌

Monitor > Logs

防火牆會提供記錄組態變更、系統事件、安全性威脅及流量的日誌。對於每個日誌,您都可以啟用將日誌遠端記錄到 Panorama 伺服器,並產生 SNMP Trap、系統日誌訊息以及電子郵件通知。

下表說明日誌與日誌記錄選項。

表格 18. 驗證順序設定

欄位 說明

設定檔名稱 輸入用來識別設定檔的名稱(最多 31 個字元)。名稱區分大小寫,且必須是唯一。請僅使用字母、數字、空格、連字號與底線。

共用 如果設備在多個虛擬系統模式下,選取此核取方塊可允許所有虛擬系統共享。

鎖定時間 輸入達到失敗嘗試次數時,鎖定使用者的分鐘數(0-60 分鐘,預設為 0)。0 表示在手動解除鎖定之前,鎖定一直有效。

失敗的嘗試 輸入在帳戶鎖定前所允許的失敗登入嘗試次數(1-10,預設為 0)。0 表示無限制。

設定檔清單 選擇要包含到驗證順序中的驗證設定檔。若要變更清單順序,請選取項目,

並按一下上移或下移。

表格 19. 日誌類型與設定

日誌 說明

警告 警告日誌會記錄系統產生的警告詳細資訊。此日誌中的資訊也會在 Alarms 視窗中提供。請參閱第 75 頁的「檢視警告」。

Configuration 設定日誌會記錄每個設定變更,包括日期與時間、管理者使用者名稱以及變更

是成功還是失敗。

所有設定日誌項目都可以傳送至 Panorama、系統日誌及電子郵件伺服器,但是它們無法產生 SNMP Trap。

若要檢視展開的設定日誌項目詳細資訊,將滑鼠游標移到變更之後欄的變更之

前上方,然後按一下省略符號 。畫面上會開啟快顯視窗,顯示完整的項目

詳細資訊。

Data Filtering 資料過濾日誌可記錄安全性政策的相關資訊,安全性政策可協助防止機敏資訊

(例如信用卡或身份證號碼)離開受防火牆保護的區域(請參閱第 191 頁的「資料過濾設定檔」)。

如果您設定檔案封鎖設定檔來封鎖特定檔案類型,則檔案類型與檔案名稱將顯

示在資料過濾日誌中,讓您知道已封鎖哪些檔案。

Page 61: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks 設備管理 • 61

防火牆日誌

HIP 比對 HIP 相符日誌會針對 GlobalProtect 列出主機資訊設定檔 (HIP) 的相符要求。請參閱第 293 頁的「設定 GlobalProtect」。

系統 系統日誌會記錄每個系統事件,例如 HA 失敗、連結狀態變更以及管理者登入與登出。每個項目都包括日期與時間、事件嚴重性以及事件描述。

系統日誌項目可以依嚴重性等級遠端記錄。例如,您可以只針對重要及高等級

事件產生 SNMP Trap 與電子郵件通知。

威脅 威脅日誌會記錄防火牆產生的各安全性警示。每個項目都包含日期與時間、威

脅類型(例如病毒或間諜軟體/弱點過濾違規)、來源與目的地區域、位址、連接埠、應用程式名稱以及動作與嚴重性。

您可以定義日誌轉送設定檔,然後再將設定檔指定給安全性規則,依嚴重性等

級遠端記錄威脅日誌項目(請參閱第 160 頁的「安全政策」)。只能針對與已指定日誌記錄設定檔之安全性規則相符的流量遠端記錄威脅日誌。

威脅日誌用於產生報表及應用程式控管中心(請參閱第 215 頁的「報表與日誌」)。

流量 流量日誌可記錄各工作階段開始及結束的項目。每個項目都包括日期與時間、

來源與目的地區域、位址、連接埠、應用程式名稱、套用至工作階段的安全性

規則、規則動作(允許、拒絕或捨棄)、下傳頻寬及上傳頻寬介面,以及位元

組數。

每個安全性規則都可指定是否針對符合規則的流量,在本機記錄各工作階段開

始及/或結束的日誌。指定至規則的日誌轉送設定檔也可決定是否也遠端記錄本機記錄項目的日誌。

流量日誌用於產生報表及應用程式控管中心(請參閱第 215 頁的「報表與日誌」)。

URL Filtering URL 過濾日誌可記錄 URL 過濾的項目,URL 過濾會封鎖對特定網站與網站類別的存取,或在使用者存取禁止的網站時產生警示。

如果您正在使用 PAN-DB,且想要求變更網站的 URL 類別,請開啟所需日誌項目的 URL 過濾日誌詳細資訊,然後按一下要求分類變更。從下拉式功能表中選取建議的類別,輸入您的電子郵件地址(選用)與註解(選用),然後按一

下傳送。

如果您正在使用 BrightCloud DB,請按一下要求分類變更,系統會將您導向BrightCloud 支援頁面,您可在此提交要求。

(請參閱第 185 頁的「URL 過濾設定檔」)。

WildFire WildFire 日誌將顯示 WildFire 分析之檔案的結果。將顯示的其中一些欄位包括:[檔案名稱 ]、[來源區域 ]、[目的地區域 ]、[攻擊者 ]、[受害者 ] 與 [應用程式 ]。

注意:整合日誌記錄需要 WildFire 使用授權。如果您沒有使用授權,可使用WildFire 入口網站來檢視日誌資訊,該網站的網址為:https://wildfire.paloaltonetworks.com。

(請參閱第 367 頁的「關於 WildFire」與第 371 頁的「使用 WildFire 入口網站」)

表格 19. 日誌類型與設定(續)

日誌 說明

Page 62: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

防火牆日誌

62 • 設備管理 Palo Alto Networks

日誌記錄設定您可以將防火牆設定為將日誌項目傳送至 Panorama 中央管理系統、SNMP Trap 庫、系統日誌伺服器以及電子郵件地址。

下表說明遠端日誌目的地。

排程日誌匯出Device > Scheduled Log Export

您可以排程日誌的匯出,並將它們以 CSV 格式儲存到檔案傳輸通訊協定 (FTP) 伺服器中,或使用安全複製 (SCP) 來在設備與遠端主機之間安全傳輸資料。日誌設定檔包含排程與 FTP 伺服器資訊。例如,設定檔可以指定於每天凌晨 3 點收集前一天的日誌,並將其儲存在特殊 FTP 伺服器中。

建立新項目之後,當您按一下確定時,新設定檔會新增到 Scheduled Log Export 頁面。您必須交付變更,匯出才會生效。如果您要使用 SCP,需要按一下 Test SCP server connection 按鈕來測試防火牆與 SCP 伺服器之間的連線,且必須確認及接受 SCP 伺服器的主機金鑰。

表格 20. 遠端日誌目的地

目的地 說明

Panorama 可以將所有日誌項目轉送至 Panorama 中央管理系統。若要指定 Panorama 伺服器的位址,請參閱第 30 頁的「定義 Management 設定」。

SNMP Trap SNMP Trap 可依系統、威脅及流量日誌項目的嚴重性等級產生,但是不可依設定日誌項目的嚴重性等級產生。若要定義 SNMP Trap 目的地,請參閱第 66 頁的「設定 SNMP Trap 目的地」。

Syslog 系統日誌訊息可依系統、威脅、流量日誌項目及所有設定日誌項目的嚴重性等級

產生。若要定義系統日誌目的地,請參閱第 67 頁的「設定系統日誌伺服器」。

電子郵件 電子郵件可依系統、威脅、流量日誌項目及所有設定日誌項目的嚴重性等級產

生。若要定義電子郵件地址與伺服器,請參閱第 68 頁的「您可在 [ 系統日誌伺服器設定檔 ] 中設定自訂日誌格式,方法是選取 Device > Server Profiles >Syslog 中的 Custom Log Format 頁籤。按一下所需日誌類型(設定、系統、威脅、流量或 HIP 相符),然後按一下您要在日誌中看見的欄位。下列表格顯示每一個日誌類型的每一個欄位的意義。」。

表格 21. 排程日誌匯出設定

欄位 說明

名稱 輸入用來識別設定檔的名稱(最多 31 個字元)。名稱區分大小寫,且必須是唯一。請僅使用字母、數字、空格、連字號與底線。

建立設定檔之後,無法變更名稱。

說明 輸入選擇性描述(最多 255 個字元)。

已啟用 選取此核取方塊可啟用日誌匯出的排程。

日誌類型 選取日誌的類型(流量、威脅、url、資料或 hipmatch)。預設為流量。

Scheduled export start time (daily)

使用 24 小時制輸入每天開始匯出的時間 (hh:mm) (00:00 - 23:59)。

Page 63: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks 設備管理 • 63

防火牆日誌

定義設定日誌設定Device > Log Settings > Config

設定日誌設定可指定使用 Panorama 遠端記錄日誌,及做為系統日誌訊息與 / 或電子郵件通知傳送的設定日誌項目。

通訊協定 選取要用於將日誌從防火牆匯出至遠端主機的通訊協定。您可以使用 SCP來安全匯出日誌,或者您可以使用並非安全通訊協定的 FTP。

主機名稱 輸入將用於匯出之 FTP 伺服器的主機名稱或 IP 位址。

Port 輸入 FTP 伺服器將會使用的埠號。預設為 21。

路徑 指定位於將用來儲存匯出資訊之 FTP 伺服器上的路徑。

啟用 FTP 被動模式 選取此核取方塊可使用被動模式來進行匯出。依照預設,會選取此選項。

Username 輸入用來存取 FTP 伺服器的使用者名稱。預設為 anonymous。

密碼 輸入用來存取 FTP 伺服器的密碼。如果使用者為 “anonymous”,則不需要密碼。

表格 21. 排程日誌匯出設定(續)

欄位 說明

表格 22. 設定日誌設定

欄位 說明

Panorama 選取此核取方塊可啟用將設定日誌項目傳送至 Panorama 中央管理系統。

SNMP 陷阱 若要產生設定日誌項目的 SNMP Trap,選取設陷名稱。若要指定新的SNMP Trap 目的地,請參閱第 66 頁的「設定 SNMP Trap 目的地」。

電子郵件 若要產生設定日誌項目的電子郵件通知,請從下拉式功能表中選取電子郵

件設定檔。若要指定新電子郵件設定檔,請參閱第 74 頁的「設定電子郵件通知設定」。

Syslog 若要產生設定日誌項目的系統日誌訊息,請選取系統日誌伺服器的名稱。

若要指定新系統日誌伺服器,請參閱第 67 頁的「設定系統日誌伺服器」。

Page 64: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

防火牆日誌

64 • 設備管理 Palo Alto Networks

定義系統日誌設定Device > Log Settings > System

系統日誌設定可指定使用 Panorama 遠端記錄日誌,及做為 SNMP Trap、系統日誌訊息與 /或電子郵件通知傳送之系統日誌項目的嚴重性等級。系統日誌可顯示系統事件,例如 HA 失敗、連結狀態變更以及管理者登入與登出。

定義 HIP 相符日誌設定Device > Log Settings > HIP Match

主機資訊設定檔 (HIP) 相符日誌設定用來提供有關套用至 GlobalProtect 用戶端之安全政策的資訊。如需詳細資訊,請參閱第 293 頁的「概要介紹」。

表格 23. 系統日誌設定

欄位 說明

Panorama 針對要傳送至 Panorama 中央管理系統之系統日誌項目的各嚴重性等級選取核取方塊。若要指定 Panorama 伺服器位址,請參閱第 30 頁的「定義Management 設定」。

嚴重性等級包括:

• Critical — 硬體失敗,包括 HA 故障復原及連結失敗。

• High — 嚴重問題,包括與外部設備的連線中斷,例如系統日誌與 RADIUS 伺服器。

• Medium — 中等級通知,例如防毒套件升級。

• Low — 低等級嚴重性通知,例如使用者密碼變更。

• Informational — 登入 /登出、管理者名稱或密碼變更、任何設定失敗及其他嚴重性等級未涵蓋的其他所有事件。

SNMP 陷阱EmailSyslog

在每種嚴重性等級下,選取指定傳送系統日誌項目之其他目的地的

SNMP、系統日誌與 /或電子郵件設定。若要定義新目的地,請參閱:

•第 66 頁的「設定 SNMP Trap 目的地」 .

•第 67 頁的「設定系統日誌伺服器」 .

•第 74 頁的「設定電子郵件通知設定」 .

表格 24. HIP 相符日誌設定

欄位 說明

Panorama 選取此核取方塊可啟用將設定日誌項目傳送至 Panorama 中央管理系統。

SNMP 陷阱 若要產生 HIP 相符日誌項目的 SNMP Trap,請選取設陷目的地的名稱。若要指定新的 SNMP Trap 目的地,請參閱第 66 頁的「設定 SNMP Trap目的地」。

電子郵件 可產生設定日誌項目的電子郵件通知,選取指定適當電子郵件地址的電子

郵件設定名稱。若要指定新電子郵件設定,請參閱第 68 頁的「您可在 [系統日誌伺服器設定檔 ] 中設定自訂日誌格式,方法是選取 Device > ServerProfiles > Syslog 中的 Custom Log Format 頁籤。按一下所需日誌類型(設定、系統、威脅、流量或 HIP 相符),然後按一下您要在日誌中看見的欄位。下列表格顯示每一個日誌類型的每一個欄位的意義。」。

Syslog 若要產生設定日誌項目的系統日誌訊息,請選取系統日誌伺服器的名稱。

若要指定新系統日誌伺服器,請參閱第 67 頁的「設定系統日誌伺服器」。

Page 65: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks 設備管理 • 65

防火牆日誌

定義警告日誌設定Device > Log Settings > Alarms

當在一段指定時間內重複與一項安全性規則(或一組規則)相符時,可使用 Alarms 頁面來設定通知。

管理日誌設定Device > Log Settings > Manage Logs

按一下此頁面上的連結可以清除指示的日誌。

表格 25. 警告日誌設定

欄位 說明

啟用警報 根據此頁面所列事件啟用警告。

啟用 CLI 警報通知 出現警告時啟用 CLI 警告通知。

啟用 Web 警報通知 畫面上會開啟視窗,顯示有關使用者工作階段的警告,包括警告出現時間

與確認時間。

啟用可聽式警報 防火牆將在 Web 介面或 CLI 中存在未確認警告時,持續播放一段聲音。

Encryption/DecryptionFailure Threshold

指定產生警告前允許的加密 /解密失敗次數。

日誌 DB 警報閾值(完成百分比)

當日誌資料庫達到指示的最大大小比例時,系統會產生警告。

安全性原則限制 在 Security Violations Time Period 設定的指定期限內(秒),如果特定的 IP 位址或連接埠符合拒絕規則的次數達到 Security Violations Threshold設定的指定次數,系統會產生警告。

安全性規則群組限制 在違規時段欄位指定的時間內,如果規則集合達到違規臨界值欄位指定的

規則限制違規次數,即會產生警告。工作階段符合明確的拒絕政策時,即

計入違規次數。

使用安全政策標籤可指定標籤,規則限制的臨界值將針對這些標籤產生警

告。定義安全政策時,可以指定這些頁籤。

Selective Audit 注意:只有在一般條件模式下,這些設定才會顯示在 Alarms 頁面上。

指定下列設定:

• CC Specific Logging — 啟用遵從一般條件 (CC) 所需要的 Verbose 日誌記錄。

• Login Success Logging — 記錄管理者登入防火牆成功。

• Login Failure Logging — 記錄管理者登入防火牆失敗。

• Suppressed Administrators — 不針對所列管理者對防火牆設定所進行的變更產生日誌。

Page 66: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

設定 SNMP Trap 目的地

66 • 設備管理 Palo Alto Networks

設定 SNMP Trap 目的地

Device > Server Profiles > SNMP Trap

若要產生系統、流量或威脅日誌的 SNMP Trap,您必須指定一或多個 SNMP Trap 目的地。在您定義完設陷目的地之後,您可以將其用於系統日誌項目(請參閱第 64 頁的「定義系統日誌設定」)。

表格 26. SNMP Trap 目的地設定

欄位 說明

名稱 輸入 SNMP 設定檔的名稱(最多 31 個字元)。名稱區分大小寫,且必須是唯一。請僅使用字母、數字、空格、連字號與底線。

共用 如果設備在多個虛擬系統模式下,選取此核取方塊可允許所有虛擬系統

共享。

版本 選擇 SNMP 版本或停用 SNMP。預設為停用。

V2c settings 如果您選擇 V2c,請進行下列設定:

• Server — 為 SNMP Trap 目的地指定名稱(最多 31 個字元)。

• Manager — 指定設陷目的地的 IP 位址。

• Community — 指定將設陷傳送至指定目的地所需的社群字串(預設為public)。

V3 settings 如果您選擇 V3,請進行下列設定:

• Server — 指定 SNMP Trap 目的地名稱(最多 31 個字元)。

• Manager — 指定設陷目的地的 IP 位址。

• User — 指定 SNMP 使用者。

• EngineID — 指定防火牆的引擎 ID。輸入為以十六進位表示的字串。引擎 ID 為介於 5 到 64 位元組之間的任何數字。在表示為十六進位字串的情況下,其介於 10 到 128 個字元之間(每個位元組佔 2 個字元),另外還有兩個字元用於表示您需要做為輸入字串中的前置詞來使用的 0x。每個防火牆都有唯一的引擎 ID,您可以透過使用 MIB 瀏覽器來針對 OID1.3.6.1.6.3.10.2.1.1.0 執行 GET 的方式取得 ID。

• Auth Password — 指定使用者的驗證密碼(最少 8 個字元,最多 256 個字元,且沒有字元限制)。允許使用所有字元。僅支援安全雜湊演算法

(SHA)。

• Priv Password — 指定使用者的加密密碼(最少 8 個字元,最多 256 個字元,且沒有字元限制)。僅支援進階加密標準 (AES)。

注意:請勿刪除在任何系統日誌設定或日誌記錄設定檔中使用的目的地。

Page 67: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks 設備管理 • 67

設定系統日誌伺服器

SNMP MIB

防火牆支援下列 SNMP MIB:• SNMPv2-MIB

• DISMAN-EVENT-MIB

• IF-MIB

• HOST-RESOURCES-MIB

• ENTITY-SENSOR-MIB

• PAN-COMMON-MIB

• PAN-TRAPS-MIB

您可在 Palo Alto Networks 支援網站上的 Technical Documentation 部份找到 Enterprise MIB的完整集合:https://live.paloaltonetworks.com/community/documentation。

設定系統日誌伺服器

Device > Server Profiles > Syslog

若要產生系統、設定、流量、威脅或 HIP 相符日誌的系統日誌訊息,您必須指定一或多個系統日誌伺服器。在您定義完系統日誌伺服器之後,您可以將其用於系統與設定日誌項目(請參閱第 64 頁的「定義系統日誌設定」)。

表格 27. 新系統日誌伺服器

欄位 說明

名稱 輸入系統日誌設定檔的名稱(最多 31 個字元)。名稱區分大小寫,且必須是唯一。請僅使用字母、數字、空格、連字號與底線。

共用 如果設備在多個虛擬系統模式下,選取此核取方塊可允許所有虛擬系統

共享。

Servers 頁籤

名稱 按一下新增並輸入系統日誌伺服器的名稱(最多 31 個字元)。名稱區分大小寫,且必須是唯一。請僅使用字母、數字、空格、連字號與底線。

Server 輸入系統日誌伺服器的 IP 位址。

Port 輸入系統日誌伺服器的埠號(標準連接埠是 514)。

設備 從下拉式清單中選擇等級。

Page 68: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

設定系統日誌伺服器

68 • 設備管理 Palo Alto Networks

自訂系統日誌欄位描述

您可在 [系統日誌伺服器設定檔 ] 中設定自訂日誌格式,方法是選取 Device > Server Profiles >Syslog 中的 Custom Log Format 頁籤。按一下所需日誌類型(設定、系統、威脅、流量或HIP 相符),然後按一下您要在日誌中看見的欄位。下列表格顯示每一個日誌類型的每一個欄位的意義。

Custom Log Format 頁籤

日誌類型 按一下日誌類型可開啟對話方塊,讓您指定自訂日誌格式。在對話方塊

中,按一下欄位可將其新增至 [ 日誌格式 ] 區域。您可直接在 [ 日誌格式 ]區域中編輯其他文字字串。按一下確定來儲存設定。

如需有關可用於自訂日誌之欄位的詳細資訊,請參閱第 68 頁的「自訂系統日誌欄位描述」。

正在逸出 指定逸出序列。使用 Escaped characters 方塊可列出所有在無空格情況下要逸出的字元。

注意:您無法刪除在任何系統或設定日誌設定或日誌記錄設定檔中使用的伺服器。

表格 27. 新系統日誌伺服器(續)

欄位 說明

表格 28. 設定欄位

欄位 意義

actionflags 指示是否將日誌轉送至 Panorama 的位元欄位。適用於 PAN-OS4.0.0 及以上版本。

admin 執行設定之管理者的使用者名稱。

after-change-detail 進行變更之後的設定詳細資訊。

before-change-detail 進行變更之前的設定詳細資訊。

formtted-receive_time 在管理平面接收日誌的時間,以與 CEF 相容的時間格式顯示。

cef-formatted-time_generated 產生日誌的時間,以與 CEF 相容的時間格式顯示。

client 管理者所使用的用戶端;值有 Web 與 CLI。

cmd 管理者所執行的命令;值有 add、clone、commit、delete、edit、move、rename、set、validate。

host 用戶端電腦的主機名稱或 IP 位址。

path 所發出之設定命令的路徑。長度最長為 512 個位元組。

receive_time 在管理平面接收日誌的時間。

result 設定動作的結果。值有 [已提交 ]、[成功 ]、[失敗 ] 與 [未授權 ]。

seqno 依序遞增的 64 位元日誌項目識別碼。每個日誌類型有一個唯一編號空間。適用於 PAN-OS 4.0.0 及以上版本。

serial 產生日誌之設備的序號。

subtype 設定日誌的子類型;未使用。

Page 69: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks 設備管理 • 69

設定系統日誌伺服器

time_generated 在資料平面上接收日誌的時間。

類型 指定日誌類型;值有 [流量]、[威脅]、[設定]、[系統]、[hip 相符]。

vsys 與設定日誌相關聯的虛擬系統。

表格 29. 系統欄位

欄位 意義

actionflags 指示是否將日誌轉送至 Panorama 的位元欄位。適用於 PAN-OS4.0.0 及以上版本。

cef-formatted-receive_time 在管理平面接收日誌的時間,以與 CEF 相容的時間格式顯示。

cef-formatted-time_generated 產生日誌的時間,以與 CEF 相容的時間格式顯示。

eventid 顯示事件名稱的字串。

fmt 事件的詳細描述。最長長度為 512 個位元組。

module 此欄位只有在 [子類型 ] 欄位的值為一般時可用;它提供了有關產生日誌之子系統的其他資訊。值有 [一般 ]、[管理 ]、[驗證 ]、[高可用性 ]、[升級 ]、[機殼 ]。

number-of-severity 嚴重性等級為整數-資訊 -1、低 -2、中 -3、高 -4、重要 -5。

物件 與系統日誌相關聯之物件的名稱。

opaque 事件的詳細描述。最長長度為 512 個位元組。

receive_time 在管理平面接收日誌的時間。

seqno 依序遞增的 64 位元日誌項目識別碼。每個日誌類型有一個唯一編號空間。適用於 PAN-OS 4.0.0 及以上版本。

serial 產生日誌之設備的序號。

severity 與事件相關聯的嚴重性;值有 [資訊 ]、[低 ]、[中 ]、[高 ]、[重要 ]

subtype 系統日誌的子類型。指產生日誌的系統精靈;值有 crypto、dhcp、dnsproxy、dos、general、global-protect、ha、hw、nat、ntpd、pbf、port、pppoe、ras、routing、satd、sslmgr、sslvpn、userid、url-filtering、vpn。

time_generated 在資料平面上接收日誌的時間。

類型 指定日誌類型;值有 [流量]、[威脅]、[設定]、[系統]、[hip 相符]。

vsys 與系統事件相關聯的虛擬系統。

表格 28. 設定欄位(續)

欄位 意義

Page 70: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

設定系統日誌伺服器

70 • 設備管理 Palo Alto Networks

表格 30. 威脅欄位

欄位 意義

action 針對工作階段採取的動作;值有 [ 警示 ]、[ 允許 ]、[ 拒絕 ]、[ 捨棄 ]、[捨棄所有封包 ]、[重設用戶端 ]、[重設伺服器 ]、[重設兩者 ]、[ 封鎖 url]。如需每個值的意義,請參閱以下的 [ 動作欄位 ]表格。

actionflags 指示是否將日誌轉送至 Panorama 的位元欄位。適用於 PAN-OS4.0.0 及以上版本。

app 與工作階段相關聯的應用程式。

category 針對 URL 子類型,它是 URL 類別;針對 WildFire 子類型,它是對於檔案的裁定且是「惡意」或「良性」;針對其他子類型,值

是 “any”。

cef-formatted-receive_time 在管理平面接收日誌的時間,以與 CEF 相容的時間格式顯示。

cef-formatted-time_generated 產生日誌的時間,以與 CEF 相容的時間格式顯示。

contenttype HTTP 回應資料的內容類型。最大長度 32 位元組。僅當子類型是URL 時可用。適用於 PAN-OS 4.0.0 及以上版本。

direction 表示攻擊的目錄,'client-to-server' 或 'server-to-client'。

dport 工作階段使用的目的地連接埠。

dst 原始工作階段目的地 IP 位址。

dstloc 私人位址的目的地國家或內部地區。最大長度為 32 位元組。適用於 PAN-OS 4.0.0 及以上版本。

dstuser 將工作階段指定至之使用者的使用者名稱。

flags 提供有關工作階段詳細資訊的 32 位元欄位;如需每個值的意義,請參閱 [旗標欄位 ] 表格。

from 工作階段的來源區域。

inbound_if 工作階段的來源介面。

logset 套用至工作階段的日誌轉送設定檔。

misc 當子類型是 URL 時的實際 URI;當子類型是檔案時的檔案名稱或檔案類型;當子類型是病毒時的檔案名稱;當檔案子類型是

wildfire 時的檔案名稱。在 4.0 之前的 PAN-OS 版本中長度是 63個字元。從 4.0 版本開始,可變長度最大是 1023 個字元。

natdport 後續 NAT 目的地連接埠。

natdst 如果執行目的地 NAT 的後續 NAT 目的地 IP 位址。

natsport 後續 NAT 來源連接埠。

natsrc 如果執行來源 NAT 的後續 NAT 來源 IP 位址。

number-of-severity 嚴重性等級為整數-資訊 -1、低 -2、中 -3、高 -4、重要 -5。

outbound_if 將工作階段指定至的介面。

proto 與工作階段相關聯的 IP 通訊協定。

receive_time 在管理平面接收日誌的時間。

repeatcnt 在 5 秒鐘內看到的有相同來源 IP、目的地 IP 與威脅 ID 的日誌數目;適用於所有子類型,URL 除外。

Page 71: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks 設備管理 • 71

設定系統日誌伺服器

rule 工作階段符合的規則名稱。

seqno 依序遞增的 64 位元日誌項目識別碼。每個日誌類型有一個唯一編號空間。適用於 PAN-OS 4.0.0 及以上版本。

serial 產生日誌之設備的序號。

sessionid 套用至每個工作階段的內部數字識別碼。

severity 與威脅相關聯的嚴重性;值有 [資訊]、[低]、[中]、[高]、[重要]。

sport 工作階段使用的來源連接埠。

src 原始工作階段來源 IP 位址。

srcloc 私人位址的來源國家或內部地區。最大長度為 32 位元組。適用於PAN-OS 4.0.0 及以上版本。

srcuser 啟動工作階段之使用者的使用者名稱。

subtype 威脅日誌的子類型;值有 [URL]、[病毒 ]、[間諜軟體 ]、[弱點 ]、[檔案 ]、[掃描 ]、[流量 ]、[資料 ] 與 [wildfire]。

threatid 威脅的 Palo Alto Networks 識別碼。這是某些子類型的描述字串,後跟括在括號中的數字識別碼。從 PAN-OS 5.0 版本及更新版本開始,數字識別碼是 64 位元的數字。

time_generated 在資料平面上產生日誌的時間。

time_received 在資料平面上接收日誌的時間。

to 將工作階段指定至的區域。

類型 指定日誌類型;值有 [流量]、[威脅]、[設定]、[系統]、[hip 相符]。

vsys 與工作階段相關聯的虛擬系統。

Wildfire 由 WildFire 產生的日誌。

表格 31. 流量欄位

欄位 意義

action 針對工作階段採取的動作;值有 [允許 ] 或 [拒絕 ]。請參閱 [動作欄位 ] 表格。

actionflags 指示是否將日誌轉送至 Panorama 的位元欄位。從 PAN-OS 4.0.0版開始可用。

app 與工作階段相關聯的應用程式。

bytes 工作階段的位元組(傳輸與接收)總數。

bytes_received 在工作階段之伺服器至用戶端方向的位元組數。所有型號(PA-4000系列除外)上的 PAN-OS 4.1.0 中都可用。

bytes_sent 在工作階段之用戶端至伺服器方向的位元組數。所有型號(PA-4000系列除外)上的 PAN-OS 4.1.0 中都可用。

category 與工作階段相關聯的 URL 類別(如果適用)。

cef-formatted-receive_time 在管理平面接收日誌的時間,以與 CEF 相容的時間格式顯示。

cef-formatted-time_generated 產生日誌的時間,以與 CEF 相容的時間格式顯示。

表格 30. 威脅欄位(續)

欄位 意義

Page 72: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

設定系統日誌伺服器

72 • 設備管理 Palo Alto Networks

dport 工作階段使用的目的地連接埠。

dst 原始工作階段目的地 IP 位址。

dstloc 私人位址的目的地國家或內部地區。最大長度為 32 位元組。適用於 PAN-OS 4.0.0 及以上版本。

dstuser 將工作階段指定至之使用者的使用者名稱。

elapsed 工作階段經過的時間。

flags 提供有關工作階段詳細資訊的 32 位元欄位;如需每個值的意義,請參閱 [ 旗標欄位 ] 表格。您可以透過 AND 有記錄值的值解碼此欄位。

from 工作階段的來源區域。

inbound_if 工作階段的來源介面。

logset 套用至工作階段的日誌轉送設定檔。

natdport 後續 NAT 目的地連接埠。

natdst 如果執行目的地 NAT 的後續 NAT 目的地 IP 位址。

natsport 後續 NAT 來源連接埠。

natsrc 如果執行來源 NAT 的後續 NAT 來源 IP 位址。

outbound_if 將工作階段指定至的介面。

packets 工作階段的封包(傳輸與接收)總數。

pkts_received 工作階段之伺服器至用戶端封包數。所有型號(PA-4000 系列除外)上的 PAN-OS 4.1.0 中都可用。

pkts_sent 工作階段之用戶端至伺服器封包數。所有型號(PA-4000 系列除外)上的 PAN-OS 4.1.0 中都可用。

proto 與工作階段相關聯的 IP 通訊協定。

receive_time 在管理平面接收日誌的時間。

repeatcnt 在 5 秒鐘內看到的有相同來源 IP、目的地 IP、應用程式與子類型的工作階段數;僅適用於 ICMP。

rule 工作階段符合的規則名稱。

seqno 依序遞增的 64 位元日誌項目識別碼。每個日誌類型有一個唯一編號空間。適用於 PAN-OS 4.0.0 及以上版本。

serial 產生日誌之設備的序號。

sessionid 套用至每個工作階段的內部數字識別碼。

sport 工作階段使用的來源連接埠。

src 原始工作階段來源 IP 位址。

srcloc 私人位址的來源國家或內部地區。最大長度為 32 位元組。適用於PAN-OS 4.0.0 及以上版本。

srcuser 啟動工作階段之使用者的使用者名稱。

start 工作階段開始的時間。

表格 31. 流量欄位(續)

欄位 意義

Page 73: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks 設備管理 • 73

設定系統日誌伺服器

subtype 流量日誌的子類型;值有 [開始 ]、[結束 ]、[捨棄 ] 與 [拒絕 ]。如需每個值的意義,請參閱 [子類型欄位 ] 表格。

time_generated 在資料平面上產生日誌的時間。

time_received 在資料平面上接收日誌的時間。

to 將工作階段指定至的區域。

類型 指定日誌類型;值有 [流量]、[威脅]、[設定]、[系統]、[hip 相符]。

vsys 與工作階段相關聯的虛擬系統。

表格 32. HIP 相符欄位

欄位 意義

actionflags 指示是否將日誌轉送至 Panorama 的位元欄位。適用於 PAN-OS4.0.0 及以上版本。

cef-formatted-receive_time 在管理平面接收日誌的時間,以與 CEF 相容的時間格式顯示。

cef-formatted-time_generated 產生日誌的時間,以與 CEF 相容的時間格式顯示。

machinename 使用者電腦的名稱。

matchname HIP 物件或設定檔的名稱。

matchtype 指定 HIP 欄位是表示 HIP 物件還是 HIP 設定檔。

receive_time 在管理平面接收日誌的時間。

repeatcnt 相符 HIP 設定檔的次數。

seqno 依序遞增的 64 位元日誌項目識別碼。每個日誌類型有一個唯一編號空間。適用於 PAN-OS 4.0.0 及以上版本。

serial 產生日誌之設備的序號。

src 來源使用者的 IP 位址。

srcuser 來源使用者的使用者名稱。

subtype HIP 符合日誌的子類型;未使用。

time_generated 在資料平面上產生日誌的時間。

類型 指定日誌類型;值有 [流量]、[威脅]、[設定]、[系統]、[hip 相符]。

vsys 與 HIP 符合日誌相關聯的虛擬系統。

表格 31. 流量欄位(續)

欄位 意義

Page 74: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

設定電子郵件通知設定

74 • 設備管理 Palo Alto Networks

設定電子郵件通知設定

Device > Server Profiles > Email

若要為日誌產生電子郵件訊息,您必須設定電子郵件設定檔。在您定義完電子郵件設定之後,您可以啟用系統與設定日誌項目的電子郵件通知(請參閱第 64 頁的「定義系統日誌設定」)。如需排程電子郵件報表傳送的相關資訊,請參閱第 236 頁的「排程報表以進行電子郵件傳送」。

表格 33. 電子郵件通知設定

欄位 說明

名稱 輸入電子郵件設定的名稱(最多 31 個字元)。名稱區分大小寫,且必須是唯一。請僅使用字母、數字、空格、連字號與底線。

共用 如果設備在多個虛擬系統模式下,選取此核取方塊可允許所有虛擬系統共

享設定檔。

Servers 頁籤

Server 輸入用來識別伺服器的名稱(1-31 個字元)。此欄位只是標籤,無須成為現有 SMTP 伺服器的主機名稱。

顯示名稱 輸入顯示在電子郵件 From 欄位中的名稱。

從 輸入 From 電子郵件地址,例如 “[email protected]”。

至 輸入收件人的電子郵件地址。

其他收件人 也可選擇輸入其他收件人的電子郵件地址。

閘道 輸入用來傳送電子郵件之簡單郵件傳輸通訊協定 (SMTP) 伺服器的 IP 位址或主機名稱。

Custom Log Format 頁籤

日誌類型 按一下日誌類型可開啟對話方塊,讓您指定自訂日誌格式。在對話方塊

中,按一下欄位可將其新增至 [日誌格式 ] 區域。按一下確定來儲存設定。

正在逸出 包含逸出的字元,及指定單一或多個逸出字元。

注意:您無法刪除在任何系統或設定日誌設定或日誌記錄設定檔中使用的電子郵件設定。

Page 75: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks 設備管理 • 75

檢視警告

檢視警告

當設定 [警告 ] 選項時,您可以隨時按一下 Web 介面右下角的警告圖示 ,檢視目前的警告清單。此動作會開啟視窗,列出目前警告日誌中未確認與已確認的警告。若要確認警告,選取警告的核取方塊,然後按一下確認。此動作會將警告移至 [確認的警告 ] 清單。警告視窗還包含有頁面、直欄排序與重新整理等控制功能。

只有選取 Device > Log Settings > Alarms > Alarm Settings 頁面上的 Enable Alarms 核取方塊,您才能看見 [警告 ] 按鈕。

進行 Netflow 設定

Device > Server Profiles > Netflow

防火牆可以透過往外部收集器的單向 IP 流量,產生並匯出 NetFlow 第 9 版的記錄。系統內的任何內部介面都能啟用 NetFlow 匯出。個別的範本記錄是針對 IPv4、IPv4 和 NAT 與 IPv6 流量所定義,而且 App-ID 與 User-ID 的 PAN-OS 特定欄位都可以選擇性匯出。此功能在 PA-4000 系列型號之外的所有平台上皆有提供。

防火牆支援標準的 NetFlow 範本,而且可以根據即將匯出的資料選取正確的範本。

若要設定 NetFlow 資料匯出,定義 NetFlow 伺服器設定檔,在其中指定匯出的頻率與將接收匯出資料的 NetFlow 伺服器。

接著,當您指定此設定檔給現有的防火牆介面時,該介面上的所有流量都會匯出到指定的伺服器。所有介面類型皆支援 NetFlow 設定檔的指定。如需指定 NetFlow 設定檔給介面的相關資訊,請參閱第 108 頁的「防火牆介面」。

表格 34. Netflow 設定

欄位 說明

名稱 輸入 Netflow 設定的名稱(最多 31 個字元)。名稱區分大小寫,且必須是唯一。請僅使用字母、數字、空格、連字號與底線。

範本重新整理速率 指定分鐘數或封包數,Netflow 範本將在此指定值之後進行重新整理(分鐘數範圍為 1 - 3600,預設為 30 分鐘;封包數範圍為 1 - 600,預設為 20)。

主動式逾時 指定頻率,資料記錄將以此頻率針對每個工作階段進行匯出(分鐘)。

匯出 PAN-OS 特定欄位類型

匯出 PAN-OS 特定欄位,例如 Netflow 記錄中的 App-ID 與 User-ID。

伺服器

名稱 指定用來識別伺服器的名稱(最多 31 個字元)。名稱區分大小寫,且必須是唯一。請僅使用字母、數字、空格、連字號與底線。

Server 指定伺服器的主機名稱或 IP 位址。每個設定檔最多可以新增 2 個伺服器。

Port 指定伺服器存取的埠號(預設為 2055)。

Page 76: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

匯入、匯出與產生安全性憑證

76 • 設備管理 Palo Alto Networks

匯入、匯出與產生安全性憑證

憑證Device > Certificate Management > Certificates

Certificates 頁面可讓您產生下列安全性憑證:

• Forward Trust — 當與用戶端連線的伺服器由防火牆信任的 CA 清單中的 CA 簽署時,會於解密期間將此憑證提供給用戶端。如果自我簽署的憑證用於轉送代理解密,您必須按一下 Certificates 頁面中的憑證名稱,然後選取轉送信任憑證核取方塊。

• Forward Untrust — 當與用戶端連線的伺服器由不在防火牆信任的 CA 清單中的 CA 簽署時,會於解密期間將此憑證提供給用戶端。

• Trusted Root CA — 憑證標記為信任的 CA,以用於轉送解密。

防火牆解密流量時,它會檢查上游憑證,以查看它是否由信任的 CA 發行。如果不是,它會使用特殊的不信任 CA 憑證來簽署解密憑證。在這種情況下,使用者會在存取防火牆時看到一般憑證錯誤頁面,而且必須關閉登入警告。

防火牆擁有一份現有信任 CA 的大清單。信任的根 CA 憑證適用於您企業信任但不屬於預先安裝信任清單一部分的其他 CA。

• SSL Exclude — 如果 SSL 轉送代理解密期間遇到連線,此憑證會將其排除。

• Certificate for Secure Web GUI — 此憑證會針對防火牆 Web 介面的存取驗證使用者。如果針對憑證選取此核取方塊,防火牆將於下一個交付操作之後針對所有未來 Web 式管理工作階段使用此憑證。

在 Certificates 頁面執行下列任何功能:

• 若要撤銷憑證:

a. 選取您要撤銷的憑證。

b. 按一下撤銷,會立刻將憑證設定為撤銷狀態。不需要交付。

您也可以按一下現有憑證並按一下撤銷圖示。

• 若要更新憑證:

a. 選取您要更新的憑證。

b. 按一下更新,然後設定要延伸憑證的天數並按一下確定。將會以相同的屬性產生新憑證,但會使用新序號。然後會用新憑證取代舊憑證。

Page 77: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks 設備管理 • 77

匯入、匯出與產生安全性憑證

• 若要匯入 Web 介面、信任的 CA 或 SSL 轉送代理憑證:

a. 按一下匯入。

b. 輸入用來識別憑證的名稱。

c. 選取憑證檔案。如果匯入 PKCS #12 憑證與私人金鑰,這將是存放兩個物件的單一檔案。如果使用 PEM,這將僅是公開憑證。

d. 按一下匯入私人金鑰核取方塊來載入私人金鑰,然後輸入複雜密碼兩次。如果使用PKCS #12,會於上一步選取金鑰檔案。如果使用 PEM,請瀏覽至加密的私人金鑰檔案(通常名為 *.key)。

e. 從下拉式清單中選取您要將憑證匯入的虛擬系統。

• 若要匯出憑證:

a. 選取您要匯出的憑證。

b. 按一下匯出。

c. 選擇您想要匯出憑證使用的檔案格式(PKCS#12 為 .pfx,或 .pem)。

d. 選取 Export Private Key 核取方塊,然後輸入複雜密碼兩次以除了憑證以外還匯出私人金鑰。

• 按一下儲存,然後選擇要將檔案複製到本機電腦中的位置。若要產生憑證:

a. 按一下產生來開啟 [產生憑證 ] 視窗,然後指定下表中描述的資訊。

b. 產生憑證之後,按一下憑證連結並指定憑證類型(Forward Trust、Forward Untrust、Trusted Root CA、SSL Exclude 或 Certificate for Secure Web GUI)。

• 若要匯入高可用性 (HA) 的金鑰,按一下匯入 HA 金鑰,瀏覽並指定要匯入的金鑰檔案。若要匯出 HA 的金鑰,按一下匯出 HA 金鑰並指定要儲存檔案的位置。HA 金鑰必須跨2 個防火牆進行交換。換句話說,來自防火牆 1 的金鑰必須匯出再匯入到防火牆 2,反之亦然。

注意:如果您使用 Panorama,也可以選擇產生 Panorama 伺服器的自我簽署憑證。如需 Panorama 的相關資訊,請參閱第 333 頁的「使用 Panorama進行中央設備管理」。

表格 35. 產生憑證的設定

欄位 說明

憑證名稱 輸入用來識別憑證的名稱(最多 31 個字元)。名稱區分大小寫,且必須是唯一。請僅使用字母、數字、空格、連字號與底線。只有名稱為必填。

通用名稱 輸入將顯示在憑證上的 IP 位址或 FQDN。

位置 選擇虛擬系統或選擇 Shared 來讓所有虛擬系統都能使用憑證。

簽署者 從在防火牆上產生的 CA 憑證清單中進行選擇。所選憑證可以用來簽署要建立的憑證。

Page 78: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

匯入、匯出與產生安全性憑證

78 • 設備管理 Palo Alto Networks

信任的憑證授權單位Device > Certificate Management > Certificates > Trusted Certificate Authorities

使用此頁面可控制防火牆信任的憑證授權單位 (CA)。您可以視需要停用及啟用 CA。

憑證授權單位 將此憑證標記為 CA,以使它可以用來簽署防火牆上的其他憑證。

OCSP 回應程式 從下拉式清單中選取 OSCP 回應程式設定檔。會在 Device > CertificateManagement > OCSP Responder 中設定設定檔。當產生憑證並輸入 OCSP回應程式時,會針對 IP 位址的主機名稱執行查尋來產生 OCSP 回應程式URL,其稍後會顯示在下拉式清單中。

位元組數 選擇憑證的金鑰長度。

摘要 選擇憑證的摘要演算法。

Expiration (days) 指定憑證有效的天數。預設為 365 天。

如果您在 GlobalProtect 入口網站衛星設定中指定 Validity Period,該值將會覆蓋在此欄位中輸入的值。

國家

狀態LocalityOrganizationDepartment電子郵件

選擇指定可識別憑證的其他資訊。

若要檢視國碼定義清單,請按一下 ISO 6366 國碼連結。

表格 35. 產生憑證的設定(續)

欄位 說明

表格 36. Trusted Certificate Authorities 設定

欄位 說明

啟用 如果您已停用 CA 並想要再次啟用,請按一下 CA 旁邊的核取方塊,然後按一下啟用。

停用 按一下您要停用之 CA 旁邊的核取方塊,然後按一下停用。如果您僅要信任某些 CA,或要將它們全部移除而僅信任您的本機CA,可能需要執行此操作。

匯出 按一下 CA 旁邊的核取方塊,然後按一下匯出來匯出 CA 憑證。若要匯入至其他系統,或者如果您想要離線檢視憑證,可以執行

此動作。

Page 79: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks 設備管理 • 79

匯入、匯出與產生安全性憑證

憑證設定檔Device > Certificate Management > Certificate Profile

您可以建立憑證設定檔,然後在 Setup 頁面將設定檔附加至管理者登入,或附加至 SSL-VPN登入,以用於驗證或與網頁認證搭配使用。您也可以建立要由驗證之 GlobalProtect 閘道使用的憑證設定檔。請參閱第 30 頁的「定義 Management 設定」與第 247 頁的「網頁認證」。

表格 37. Certificate Profile 設定

頁面類型 說明

名稱 輸入用來識別設定檔的名稱(最多 31 個字元)。名稱區分大小寫,且必須是唯一。請僅使用字母、數字、空格、連字號與底線。

位置 如果設備在多個虛擬系統模式下,選取此核取方塊可允許所有虛擬

系統共享。

Username Field 從下拉式清單中選擇 user name 選項。

網域 輸入設定檔的網域。

CA 憑證 從下拉式清單中選擇 CA 憑證,指定預設 OCSP URL,選取驗證 CA憑證的選項,然後按一下新增。重複上述操作可新增其他憑證。

如果您有可以確認憑證的單獨 OCSP 回應程式,則可使用 OCSP 確認 CA 憑證下拉式清單。

使用 CRL 選取此核取方塊可使用憑證撤銷清單 (CRL)。

使用 OCSP 選取此核取方塊可使用線上憑證狀態通訊協定 (OCSP) 伺服器。OCSP 優先於 CRL。

CRL 接收逾時 指定 CRL 要求將於多久間隔時間之後逾時(1 - 60 秒)。

OCSP Receive Timeout 指定 OCSP 要求將於多久間隔時間之後逾時(1 - 60 秒)。

憑證狀態逾時 指定憑證狀態的要求將於多久間隔時間之後逾時(1 - 60 秒)。

如果憑證狀態未知則封鎖工作

階段

選取此核取方塊可在憑證狀態未知時封鎖工作階段。

如果在逾時時間內無法擷取憑

證狀態,會封鎖工作階段

選取此核取方塊可在無法在逾時間隔時間內擷取憑證狀態時封鎖工

作階段。

Page 80: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

匯入、匯出與產生安全性憑證

80 • 設備管理 Palo Alto Networks

OCSP 回應程式Device > Certificate Management > OCSP Responder

使用 OCSP Responder(線上憑證狀態通訊協定回應程式)頁面可定義伺服器,該伺服器將由PAN-OS 設備用於確認憑證的撤銷狀態問題。當產生新憑證時,您可以指定要使用的 OCSP 回應程式。

若要啟用 OCSP,請前往 Device > Setup > Sessions,並在 Sessions Features 之下按一下Decryption Certificate Revocation Settings。

在防火牆上加密私人金鑰與密碼Device > Master Key and Diagnostics

使用 Master Key and Diagnostics 頁面來指定可在防火牆上加密私人金鑰的主要金鑰。即使未指定新的主要金鑰,私人金鑰也會依預以加密形式設儲。如果防火牆在通用條件模式下,會有幾個加密診斷能力可用。這些診斷可讓您執行已排程的加密自我測試與視需要而定的自我測試。

若要建立新主要金鑰,請在 New Master Key 欄位中輸入 16 個字元的字串,然後確認金鑰。輸入生命週期與提醒值,然後按一下確定。您將需要在到期之前更新主要金鑰。如需更新主要金鑰的相關資訊,請參閱第 81 頁的「更新主要金鑰」。

• 第 81 頁的「主要金鑰與診斷設定」

• 第 81 頁的「更新主要金鑰」

表格 38. OCSP Responder 設定

欄位 說明

名稱 輸入用來識別 OCSP 回應程式伺服器的名稱(最多 31 個字元)。名稱區分大小寫,且必須是唯一。請僅使用字母、數字、空格、

連字號與底線。

主機名稱 輸入將要用於檢查設備憑證撤銷狀態之 OCSP 回應程式伺服器的主機名稱。

Page 81: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks 設備管理 • 81

匯入、匯出與產生安全性憑證

主要金鑰與診斷設定

更新主要金鑰

當建立新主要金鑰時將會定義到期時段,因此在達到到期時段之前更新金鑰很重要。當在高可用性 (HA) 設定中使用主要金鑰時,在兩部設備上使用相同的主要金鑰,以確保私人金鑰與憑證用相同的主要金鑰加密也很重要。如果主要金鑰不同,HA 設定同步將無法正常運作。下節說明如果主要金鑰運作正常則如何進行更新,且如果主要金鑰已經到期,或如果 HA 配對中每個設備上的主要金鑰不同步時將會提供指示。自 PAN-OS 5.0 起,如果 HA 配對中的主要金鑰不相符,將會產生重要系統日誌。

更新主要金鑰的原因:

• 您要變更預設主要金鑰或變更您建立的主要金鑰。

• HA 設定中的主要金鑰不同步。

• 主要金鑰很快就會到期。

HA 主要金鑰更新(金鑰都同步且沒有到達到期日):

1. 如果您要更新主要金鑰且金鑰都沒有到期或不同步,在您更新金鑰之前,需要交付設定並確保 HA 配對中的兩部設備上都沒有擱置設定更新。您可以按一下每個設備上 Web 介面右下方的任務連結,檢視交付狀態。從 CLI 執行 showjobs all 來查看所有執行的工作,或執行 show jobs pending 來檢視擱置的工作。若要檢查是否並沒有擱置更新,請從設定模式下執行 check pending-changes,您應該會看到否。

2. 透過導覽至兩部設備上的 Device > High Availability 來停用設定同步,並從 General 頁籤上取消選取 Enable Config Sync 核取方塊。交付兩部設備上的設定。

3. 使用 16 個字元更新設備 A 上的主要金鑰並交付設定。

4. 使用相同主要金鑰更新設備 B 上的主要金鑰並交付設定。

5. 主要金鑰現在應已同步。檢查日誌以確保沒有與主要金鑰相關的重要系統日誌。

6. 透過選取 Enable Config Sync 核取方塊來再次啟用設定同步,然後交付設定。

表格 39. Master Key and Diagnostic 設定

欄位 說明

主要金鑰 指定目前用來在防火牆上加密所有私人金鑰與密碼的金鑰。

新增主要金鑰

確認主要金鑰

若要變更主要金鑰,請輸入並確認新金鑰。

SA 生命週期 指定主要金鑰將於多少天及多少小時之後過期(範圍 1-730 天)。

提醒時間 指定當使用者收到即將過期的通知時,將於多少天及多少小時後過期(範

圍 1-365 天)。

通用準則 在通用條件模式下,可以使用其他按鈕來執行密碼演算法自我測試與軟體

完整性自我測試。也會包含排程器來指定兩個自我測試的執行時間。

Page 82: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

高可用性

82 • 設備管理 Palo Alto Networks

HA 主要金鑰更新(金鑰不同步或已到期):

1. 如果主要金鑰不同步或已到期,您將在系統日誌中看到重要錯誤。如果發生這種情形,您應該立即在HA 配對中的兩部設備上停用 HA 設定同步。導覽至兩部設備上的 Device > High Availability,並從General 頁籤上取消選取 Enable Config Sync 核取方塊。交付兩部設備上的設定。

2. 請確保 HA 配對中的兩部設備上不存在擱置設定更新。如果有擱置變更,請交付兩部設備上的設定並等到所有設定更新都完成為止。您可以按一下每個設備上 Web 介面右下方的任務連結,檢視交付狀態。從 CLI 執行 showjobs all 來查看所有執行的工作,或執行 show jobs pending 來檢視擱置的工作。若要檢查是否並沒有擱置更新,請從設定模式下執行 check pending-changes,您應該會看到否。

3. 使用 16 個字元更新設備 A 上的主要金鑰並交付設定。

4. 使用相同主要金鑰更新設備 B 上的主要金鑰並交付設定。

5. 在兩部設備上都啟用設定同步並交付設定。

6. 主要金鑰現在應已同步。檢查日誌以確保沒有與主要金鑰相關的重要系統日誌。

7. 透過選取 Enable Config Sync 核取方塊來再次啟用設定同步,然後交付設定。如果仍有問題,請聯絡技術支援部門。

高可用性

PAN-OS 支援主動 /被動與主動 /主動高可用性 (HA)。

主動 /被動 HA在主要 / 次要設定中,兩個設備構成可提供冗餘的 HA 群組。兩個防火牆在設定中彼此鏡像。如果主要防火牆因某些原因而失敗,次要防火牆會自動變為使用中,以免遺失服務。如果所選乙太網路連結失敗或主要防火牆無法到達一或多個指定目的地,也可能會發生故障復原。從流量處理的角度來看,最多有一個設備任何時間皆可接收封包。

下列規則適用於 HA 操作與故障復原:

• 主要防火牆會透過 HA 介面連續不斷地將其設定及工作階段資訊與次要防火牆同步。

• 如果主要防火牆失敗,則次要防火牆會偵測到活動訊號消失,並會自動變為使用中。

• 如果一個 HA 介面失敗,同步會在剩餘介面上繼續進行。如果狀態同步連線中斷,則不會發生狀態同步。如果設定未同步,活動訊號會消失。兩個設備都會判斷另一個設備當機,而且都會變為使用中。

• 您可以設定 HA 設備上的管理連接埠 (MGT) 來為活動訊號與 hello 訊息提供備份路徑。如果在管理連接埠上設定 HA1 或 HA1 備份,您不必啟用活動訊號備份選項。

注意:在 HA 配對中,兩個防火牆的型號必須相同,而且必須具有相同授權。如果啟用狀態同步,現有工作階段會在轉換後繼續;但是威脅防範功能不會繼續。會將威脅防護套用至新的工作階段。

Page 83: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks 設備管理 • 83

高可用性

主動 /主動 HA主動 /主動高可用性可讓 HA 配對中的兩個設備同時傳送流量,及在需要 App-ID 與 Content-ID 支援的非對稱式路由環境中獲得主要部署。會針對每個工作階段在單一設備上執行 App-ID與 Content-ID 的 Layer 7 檢驗(該設備稱為工作階段擁有者)。在有需要的情況下,PAN-OS會使用封包轉送(透過 HA3 連結),將封包傳送至指定的工作階段擁有者以進行處理。

可以使用 Layer 3 或虛擬連接介面部署主動 /主動設備。在 Layer 3 部署中,可以於處理後由工作階段擁有者直接轉送已掃描封包。在虛擬連接部署中,必須將已掃描封包傳回至接收防火牆才能保留轉送路徑。如果工作階段擁有者一開始便接收封包,則不會使用 HA3 連結。不需要App-ID 與 Content-ID 的工作階段皆由接收設備(即使它不是工作階段擁有者)直接轉送,以最大化效能。

為了提供彈性,您有數種方式可以設定 Layer 3 介面:請注意,除了使用虛擬位址(浮動 IP 位址或 ARP 載入共享 IP 位址)外,使用者通常還可以使用靜態介面 IP 位址設定 Layer 3 介面。

• Static interface IP — 每當防火牆透過鄰近設備加入動態路由通訊協定,Layer 3 介面應指定為靜態 IP 位址。有一個可能的主動 /主動部署架構選項會利用動態路由通訊協定成本公制,強制對稱路徑通過 HA 配對。在這種情況下,所有的流量將會是對稱的,而且主動 /主動配對的效率將會最大化。

• Floating IP — 當需要類似 Virtual Router Redundancy Protocol (VRRP) 的功能時,例如無論 HA 配對成員狀態如何都必須能夠使用 IP 位址時,會採用此模式。在特定介面上設定兩個浮動 IP 位址,讓每個防火牆都能有一個 IP 位址,這種設定很常見。擁有權則指定給擁有較高優先順序的設備 ID。如果防火牆之一發生失敗,浮動 IP 位址將會轉換給 HA 端點。

• ARP load sharing — 此模式用來散佈使用位址解析通訊協定 (ARP) 的兩個防火牆之間的主機流量負載。

如需這三個選項的更深入討論,請參閱本節稍後的討論。

封包流量在主動 /主動設定中,封包流量的使用步驟如下:

• 工作階段擁有者負責 App-ID 與 Content-ID 的所有封包處理。可以將工作階段擁有者設定為 (1) 接收工作階段封包的第一個設備或 (2) 主要設備。如果設定選項設定為「主要設備」,會在主要設備上設定所有工作階段。

• 選取單一設備做為所有新工作階段的工作階段設定設備。這是避免可能在非對稱式路由環境中發生競爭條件的先決條件。工作階段設定設備由以下其中一個方法決定:

– IP modulo — 針對來源 IP 位址使用簡單模數運算,以決定哪個設備將設定工作階段。IP modulo 根據 IP 位址的同位性將工作階段設定責任散佈至特殊 HA 設備。

– Primary Device — 工作階段設定始終發生在主要設備上。

– Hash — 雜湊用來在設定設備選取程序中插入更多隨機性。

注意:通過主動 / 主動 HA 配對的日誌會顯示在指定為工作階段擁有者的設備上。

Page 84: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

高可用性

84 • 設備管理 Palo Alto Networks

• 當新工作階段開始時,接收防火牆會設定工作階段或將它轉送至 HA 端點。動作由工作階段設定決定,如之前所述。在此時間內,會根據設定決定工作階段擁有者(負責保持App-ID 與 Content-ID 狀態的設備)。

• 如果封包到達工作階段擁有者,會掃描封包是否有威脅(如果已在安全政策中設定),並根據設備的網路設定進行轉送。如果封包到達 HA 端點,工作階段表格查詢會識別工作階段由其他設備擁有,且可以跨 HA3 將封包轉送至工作階段擁有者。如果工作階段不需要Layer 7 檢驗,接收設備可對現有工作階段表格項目簡單比對工作階段,然後將封包轉送至其最終目的地。

部署架構選項主動 /主動 HA 支援同時使用虛擬連接與 Layer 3 介面。IPv6 環境中支援所有主動 /主動部署架構選項,包括 IPv6 路徑監控。

虛擬連接部署虛擬連接部署支援與其他主動 / 主動部署一樣的完整非對稱性路由。值得注意的是,必須將針對 App-ID 與 Content-ID 檢驗轉送至工作階段擁有者的封包傳回至接收防火牆,才能保留轉送路徑。

Layer 3 浮動 IP 部署此部署架構選項考慮到在發生連結失敗或設備失敗時,建立可在 HA 設備之間移動的浮動 IP位址。擁有浮動 IP 位址的連接埠會回應含虛擬 MAC 位址的 ARP 要求。當需要類似 VRRP 的功能時,建議使用浮動 IP 位址。考慮到當提供這些服務的設備上發生失敗時能保有持續連線,可以在 VPN 與網路位址轉譯 (NAT) 設定中使用浮動 IP 位址。

Layer 3 ARP 載入共享ARP 載入共享可讓 HA 配對共享 IP 位址及提供閘道服務。在此案例中,會以單一閘道 IP 位址設定所有主機。根據 ARP 要求的來源,由配對中的單一設備回應閘道 IP 位址的 ARP 要求。可以調整設備選取演算法來實現更均勻地散佈兩個防火牆之間的主機流量。當防火牆與主機存在於相同廣播網域上時,應使用 ARP 載入共享。如果存在 Layer 3 分隔,將失去 ARP 載入共享的好處。

Layer 3 以路由為基礎的備援(靜態介面 IP)以路由為基礎的冗餘可強制流量成為對稱的,方法是在防火牆及相鄰設備上使用例如優先開放最短路徑 (OSPF) 成本的路由公制。可以調整路由兩個防火牆中流量的成本來處理載入共享。在這種情況下,指定至設備介面的 IP 位址會加以固定,且不會於故障復原期間移轉至 HA 端點。

注意:當發生失敗時,浮動 IP 位址會在 IP 在 HA 設備之間移動時利用不同的虛擬 MAC 位址。

注意:在主動/主動模式下,您無法在 ARP 載入共享 IP 位址上 ping 或執行任何管理服務。

Page 85: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks 設備管理 • 85

高可用性

NAT 考量因素在主動 / 主動模式下,必須在所有 NAT 規則中定義主動 / 主動設備連結。當將 HA 模式變更為主動 /主動時,Web 介面中的主動 /主動設備連結會變得可用。當建立新工作階段時,設備連結會確定哪些 NAT 規則與防火牆相符(設備連結必須包含工作階段擁有者設備才能產生相符結果)。雖然 NAT 政策比對由工作階段設定設備執行,但會從工作階段擁有者的角度評估NAT 規則。會根據連結至工作階段擁有者設備的 NAT 規則轉譯工作階段。針對設備特定的規則,當執行 NAT 政策比對時,防火牆會略過未連結至工作階段擁有者的所有 NAT 規則。

例如,假設設備 1 是工作階段擁有者,而且也負責設定工作階段。當設備 1 嘗試將工作階段與NAT 規則進行比對時,它將略過設備連結為設備 0 的所有規則。

NAT 設備連結選項包括下列內容:

• Device 0 and Device 1 — 只有 NAT 規則中的工作階段擁有者與設備 ID 相符時,才會根據設備特定的連結執行轉譯。當兩個防火牆使用唯一的公開 IP 位址進行轉譯時,通常會使用設備特定的 NAT 規則。

• Both — 此選項可允許任一設備將新工作階段與 NAT 規則進行比對,且通常用於目的地NAT。

• Primary — 此選項只允許主動主要設備將新工作階段與 NAT 規則進行比對。此設定主要用於內送靜態 NAT,其中只有一個防火牆可以回應 ARP 要求。與設備 0/1 連結不同,當傳輸主要角色時,主要設備連結可以在設備之間移動。

下列案例適用於主動 /主動 NAT 部署。

動態 IP 或 IP/連接埠集區的來源轉譯當來源轉譯至動態 IP 或動態 IP/連接埠集區時,必須將 NAT 規則連結至特定設備(設備 ID 0或 1)。HA 設備要轉譯至的 IP 集區不得重疊。當建立工作階段時,任一設備皆可轉譯傳回封包。

在下例中,設備 0 擁有的工作階段皆轉譯為 1.1.1.1,設備 1 擁有的工作階段皆轉譯為 1.1.1.2。如果發生設備失敗,會將來自設備 0 的工作階段繼續轉譯為 1.1.1.1,直到它們停止為止。在此範例中,可以在每個防火牆上有效使用浮動 IP 位址(如果需要該功能)。

圖 3. 來源轉譯動態 IP 設定

私人網路

設備 ID 0

1.1.1.1/24

ISP 路由器1.1.1.254/24

1.1.1.2/24

設備 ID 1

Page 86: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

高可用性

86 • 設備管理 Palo Alto Networks

針對不同網際網路服務供應商 (ISP) 的公開 IP 位址的動態來源轉譯在此案例中,會將 NAT 規則連結至特定設備(設備 ID 0 或 1)。設備 0 擁有的所有工作階段皆轉譯為 1.1.1.1,設備 1 擁有的所有工作階段皆轉譯為 2.2.2.1。如果設備 0 失敗,設備 1 將根據原始 IP 位址 1.1.1.1 來嘗試轉譯現有工作階段。如果第二個 ISP 無法路由至這些位址,這些工作階段將失敗。在此範例中,會將 ISP 特定的介面 IP 位址固定至特殊設備。不應在此設定中使用浮動 IP 位址。

圖 4. 公開 IP 位址設定的動態來源轉譯

表格 40. 來源轉譯動態 IP 規則

原始封包 轉譯的封包

名稱 來源區域 目的地區域 來源轉譯主動式 /主動式 HA 繫結

Src NAT 設備 0 L3Trust L3Untrust dynamic-ip-and-port 1.1.1.1

0

Src NAT 設備 1 L3Trust L3Untrust dynamic-ip-and-port 1.1.1.2

1

表格 41. 公開 IP 位址規則的動態來源轉譯

原始封包 轉譯的封包

名稱 來源區域 目的地區域 來源轉譯主動式 /主動式 HA 繫結

Src NAT 設備 0 L3Trust L3Untrust dynamic-ip-and-port 1.1.1.1

0

Src NAT 設備 1 L3Trust L3Untrust dynamic-ip-and-port 2.2.2.1

1

ISP 路由器1.1.1.254/24

ISP 路由器2.2.2.254/24

1.1.1.1/24 2.2.2.1/24

設備 ID 1

私人網路

Page 87: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks 設備管理 • 87

高可用性

供應商獨立 IP 位址的目的地轉譯在此案例中,會將 NAT 規則連結至兩個設備。無論哪個設備接收第一個連入封包,轉譯都相同。無論哪個設備接收封包,都會將預定為 3.3.3.30 的封包轉譯為 10.0.0.200。

圖 5. 供應商獨立 IP 位址的目的地轉譯

設定 HA若要設定 HA,請依照以下步驟執行:

1. 使用兩個具有相同型號的防火牆。

2. 將兩個防火牆安裝在彼此靠近的機架上,然後開機,如《硬體參考指南》所述。如果這是已有安裝,我們建議您從主功能表中選取原廠重設選項,在維護模式下進行原廠重設。請參閱《PAN-OS 命令行介面參考指南》。

3. 使用相同實體連接埠,將每個防火牆連線至您的網路及網際網路。

4. 使用兩條 RJ-45 乙太網路跳接纜線,將每個防火牆上的 HA1 與 HA2 連接埠連接至另一個防火牆上的相同連接埠,或將兩個防火牆上的連接埠連接至交換器。HA1 適用於控制連結,HA2 適用於資料連結。針對主動 / 主動設定,在兩個防火牆之間進行其他實體連線HA3。如果防火牆支援彙總乙太網路,建議針對 HA3 上的連結備援使用連結彙總群組。

ISP 路由器1.1.1.254/24

ISP 路由器2.2.2.254/24

1.1.1.1/24 2.2.2.1/24

設備 ID 1設備 ID 0

10.0.0.200(公共 IP 3.3.3.30)

表格 42. 公開 IP 位址規則的動態來源轉譯

原始封包 轉譯的封包

名稱 來源地區 目的地區域 目的地位址 目的地轉譯主動式 /主動式 HA 繫結

DNAT Prov Indep

L3Untrust L3Untrust 3.3.3.30 位址:10.0.0.200 兩者皆可

Page 88: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

高可用性

88 • 設備管理 Palo Alto Networks

5. 開啟 Network 頁籤,並確認 HA 連結有出現。將各連結都設定為 HA 類型。

圖 6. 確認 HA 介面

6. 在兩個防火牆上進行 HA 設定。請參閱第 88 頁的「在防火牆上啟用 HA」。

設定 HA 時需要注意的項目直接連線 HA 連結時,建議使用跳接纜線。

在防火牆上啟用 HADevice > High Availability

依照第 87 頁的「設定 HA」所述設定完 HA 之後,您可以在主動式與被動式防火牆上啟用HA。對於 High Availability 頁面的各部分,請按一下標頭中的編輯,然後指定如下表所述的對應資訊。

注意:對於沒有專用 HA 介面的設備而言,您必須針對 HA 使用流量介面。例如,將 ethernet 1/15 介面彼此連接,並將 ethernet 1/16 介面彼此連接。

表格 43. HA 設定

欄位 說明

General 頁籤

設定 指定下列設定:

• Enable — 啟動 HA 功能。

• Group ID — 輸入用來識別主要 /次要配對的號碼(1 到 63)。讓主要 /次要防火牆的多個配對存在於相同網路中。如果 Layer 2 網路上存在一個以上的高可用性配對,則 ID 必須是唯一的。

• Description — 輸入主要 /次要配對的描述(選用)。

• Mode — 選擇 active-active 或 active-passive。

• Peer HA IP Address — 輸入在其他防火牆的 Control Link 部分所指定的HA1 介面 IP 位址。

• Backup Peer HA IP Address — 輸入端點的備份控制連結的 IP 位址。

• Enable Config Sync — 同步對等系統。

• Link Speed — 選取主要 /次要防火牆(具備專用 HA 連接埠的防火牆)間資料連結的速度。

• Link Duplex — 選取主要 /次要防火牆(具備專用 HA 連接埠的防火牆)間資料連結的雙工選項。

Page 89: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks 設備管理 • 89

高可用性

選取設定 指定下列設定:

• Device Priority — 輸入識別主要防火牆的優先順序值。值較低(優先順序較高)的防火牆會變為主要防火牆(範圍是 0-255)。

• Heartbeat Backup — 使用 HA 設備上的管理連接埠來為活動訊號與 hello訊息提供備份路徑。會透過 HA1 控制連結將管理連接埠 IP 位址與 HA 端點共享。不需要其他設定。

• Preemptive — 使較高優先順序防火牆在從失敗復原之後繼續使用中操作。如果此設定為關閉,則即使在較高優先順序防火牆從失敗復原之後,較低優

先順序的防火牆仍然會保持使用中。

• Preemption Hold Time — 輸入被動或主動次要設備在接管成為主動或主動主要設備之前將等待的時間(範圍是 1-60 分鐘,預設為 1 分鐘)。

• Promotion Hold Time — 輸入被動式設備(在主動式 /被動式模式下)或主動式次要設備(在主動式 /主動式模式中下)在失去與 HA 端點之間的通訊後,接管成為主動式或主動式主要設備之前需等待的時間。此保留時間將

僅在進行端點失敗宣告之後開始。

• Hello Interval — 輸入傳送以確認其他防火牆上的 HA 程式是否可正常操作之 hello 封包間的毫秒數。範圍是 8000-60000 毫秒,所有平台的預設都是8000 毫秒。

• Heartbeat Interval — 指定 HA 端點以 ICMP ping 形式交換活動訊號訊息的頻率(範圍是 1000-60000 毫秒,預設為 1000 毫秒)。

• Maximum No. of Flaps — 當防火牆脫離 “active” 狀態的 15 分內可設定 flap門檻值(範圍是 0-16,預設為 3)來決定防火牆是否進入 “suspended” 狀態。此門檻值亦可設定為 “0”(代表在 Passive firewall 接手前不考慮 flap 發生的次數)。

• Monitor Fail Hold Up Time (ms) — 指定防火牆在路徑監控或連結監控失敗後,將於其間保持使用中狀態的時間間隔。建議使用此設定,以避免由

於相鄰設備偶而波動所致的 HA 故障復原(範圍是 0-60000 毫秒,預設為0 毫秒)。

• Additional Master Hold Up Time (min) — 此時間間隔適用於與監控失敗保持時間相同的事件(範圍是 0-60000 毫秒,預設為 500 毫秒)。其他時間間隔僅適用於主動 /被動模式下的主要設備,及適用於主動 /主動模式下的主動主要設備。建議使用此計時器,以避免兩個設備同時遇到相同連結 /路徑監控失敗時的故障復原。

表格 43. HA 設定(續)

欄位 說明

Page 90: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

高可用性

90 • 設備管理 Palo Alto Networks

Control Link (HA1)/Control Link (HA1 Backup)

HA 控制連結連線的建議設定是使用兩部設備之間的專用 HA1 連結,並將管理連接埠做為控制連結(HA 備份)介面使用。在這種情況下,您無須在 [ 選取設定 ] 頁面啟用 Heartbeat Backup 選項。如果您針對控制連結 HA 連結使用實體 HA1 連接埠,並針對控制連結(HA 備份)使用資料連接埠,建議您啟用 Heartbeat Backup 選項。

針對沒有專用 HA 連接埠的設備(例如 PA-200),您應針對控制連結 HA 連線設定管理連接埠,並針對控制連結 HA1 備份連線使用以類型 HA 設定的資料連接埠介面。自從在此情況下使用管理連接埠之後,便不需要在 [ 選取設定] 頁面啟用 Heartbeat Backup 選項,因為活動訊號備份將已透過管理介面連線發生。

注意:當針對 HA 控制連結使用資料連接埠時,您應意識到由於控制訊息必須從資料平面傳送至管理平面,如果在資料平面中發生失敗,HA 控制連結資訊無法在設備之間傳送並將發生故障復原。最好使用專用 HA 連接埠,或在沒有專用 HA 連接埠的設備上使用管理連接埠。

針對主要與備份 HA 控制連結指定下列設定:

• Port — 選取主要與備份 HA1 介面的 HA 連接埠。備份設定為選用。

注意:管理連接埠也可以做為控制連結使用。

• IPv4/IPv6 Address — 針對主要與備份 HA1 介面輸入 HA1 介面的 IPv4 或IPv6 位址。備份設定為選用。

• Netmask — 針對主要與備份 HA1 介面輸入 IP 位址的網路遮罩(例如“255.255.255.0”)。備份設定為選用。

• Gateway — 針對主要與備份 HA1 介面輸入預設閘道的 IP 位址。備份設定為選用。

• Link Speed(僅限具有專用 HA 連接埠的型號)— 針對專用 HA1 連接埠選取防火牆間控制連結的速度。

•連結雙工(僅限具有專用 HA 連接埠的型號)— 針對專用 HA1 連接埠選取防火牆間控制連結的雙工選項。

• Encryption Enabled — 在從 HA 端點中匯出 HA 金鑰並將它匯入至此設備上之後啟用加密。也必須從此設備中匯出此設備上的 HA 金鑰並在 HA 端點上匯入它。針對主要 HA1 介面進行此設定。在 Certificates 頁面上執行金鑰匯入 /匯出。請參閱 60 頁的「匯入、匯出與產生安全性憑證」。

• Monitor Hold Time (ms) — 輸入防火牆在由於控制連結失敗而宣告端點失敗之前將會等待的時間,單位為毫秒(1000-60000 毫秒,預設為 3000 毫秒)。此選項可監控 HA1 連接埠的實體連結狀態。

表格 43. HA 設定(續)

欄位 說明

Page 91: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks 設備管理 • 91

高可用性

資料連結 (HA2) 針對主要與備份資料連結指定下列設定:

• Port — 選取 HA 連接埠。針對主要與備份 HA2 介面進行此設定。備份設定為選用。

• IP Address — 針對主要與備份 HA2 介面指定 HA 介面的 IPv4 或 IPv6 位址。備份設定為選用。

• Netmask — 針對主要與備份 HA2 介面指定 HA 介面的網路遮罩。備份設定為選用。

• Gateway — 針對主要與備份 HA2 介面指定 HA 介面的預設閘道。備份設定為選用。如果 HA 配對中的防火牆 HA2 IP 位址皆在同一個子網路中,Gateway 欄位應保留空白。

• Enable Session Synchronization — 啟用工作階段資訊與被動式防火牆間的同步,及選擇傳輸選項。

• Transport — 選擇下列其中一個傳輸選項:

– Ethernet — 當連續或透過交換器連線防火牆時使用 (Ethertype 0x7261)。

– IP — 當需要 Layer 3 傳輸時使用(IP 通訊協定號碼 99)。

– UDP — 用來利用在完整封包而非僅僅是標頭上計算總和檢查碼之事實,與 IP 選項相同(UDP 連接埠 29281)。

• Link Speed(僅限具有專用 HA 連接埠的型號)— 針對專用 HA2 連接埠選取主動式與被動式防火牆間控制連結的速度。

• Link Duplex(僅限具有專用 HA 連接埠的型號)— 針對專用 HA2 連接埠選取主動式與被動式防火牆間控制連結的雙工選項。

• HA2 keep-alive — 選取此核取方塊可啟用對 HA 端點之間 HA2 資料連結的監控。如果根據設定的臨界值發生失敗,定義的動作將會發生(記錄或分

割資料路徑)。預設為停用此選項。

您可以對兩部設備都設定 HA2 保持運作選項,或僅對 HA 配對中的一部設備設定。如果僅對一個設備設定選項,僅該設備將會傳送保持運作訊息。儘

管如此,如果發生失敗將會通知其他設備,且如果選取該動作將會進入分割

資料路徑模式。

– Action — 如果監控訊息根據臨界值設定失敗,請選取要執行的動作。

› log-only — 選取此選項以在根據臨界值設定發生 HA2 失敗時,產生重要等級系統日誌訊息。如果 HA2 路徑復原,將會產生資訊日誌。在主動 /被動設定中,由於在指定時間內只有一個設備是主動而無須分割資料,因此您應該使用此動作。

› split data-path — 此動作是為主動 / 主動 HA 設定所設計。在active/active 設定中,如果由管理者或因監控失敗而停用工作階段同步,會將工作階段擁有權與工作階段設定都設為本機設備,並會

針對工作階段生命週期在本機上處理新工作階段。

› Threshold (ms) — 在觸發上述其中一個動作之前,保持運作訊息已失敗的持續時間(範圍 5000-60000 毫秒,預設為 10000 毫秒)。

注意:當設定 HA2 備份連結時,如果實體連結失敗將會發生備份連結故障復原。在啟用 HA2 keep-alive 選項的情況下,如果 HA 保持運作訊息根據定義的臨界值失敗,也會發生故障復原。

表格 43. HA 設定(續)

欄位 說明

Page 92: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

高可用性

92 • 設備管理 Palo Alto Networks

Link and Path Monitoring 頁籤

路徑監視 指定下列設定:

• Enabled — 啟用路徑監控。路徑監控可讓防火牆監控指定的目的地 IP 位址,方法是傳送 ICMP ping 訊息以確定它們是否有回應。針對虛擬連接、Layer 2或 Layer 3 設定進行路徑監控,只進行故障復原與連結監控所需的其他網路設備監控是不足的。

• Failure Condition — 選取當任何或所有監控的路徑群組無法回應時是否發生故障復原。

路徑群組 定義監控特定目的地位址的一或多個路徑群組。若要新增路徑群組,按一下

介面類型(虛擬連接、VLAN 或虛擬路由器)的新增,指定下列設定:

• Name — 輸入用來識別群組的名稱。

• Enabled — 啟用路徑群組。

• Failure Condition — 選取當任何或所有指定目的地位址無法回應時是否發生失敗。

• Source IP — 對於虛擬連接與 VLAN 介面,輸入在已傳送至下一個躍點路由器(目的地 IP 位址)的探查封包中所使用之來源 IP 位址。本機路由器必須能夠將位址傳送至防火牆。路徑群組(與虛擬路由器相關聯)的來源 IP 位址將自動設定為介面 IP 位址,在路由表中,此介面 IP 位址被指定為指定目的地 IP 位址的上傳頻寬介面。

• Destination IPs — 輸入要監控的一或多個(以逗號分隔)目的地位址。

• Ping Interval — 指定傳送至目的地位址的 ping 之間的間隔(範圍是 200-60,000 毫秒,預設為 200 毫秒)。

• Ping Count — 指定宣告失敗前失敗的 ping 數(範圍是 3-10 次 ping,預設為 10 次 ping)。

連結監視 指定下列設定:

• Enabled — 啟用連結監控。連結監控可讓故障復原在實體連結或實體連結的群組失敗時觸發。

• Failure Condition — 選取當任何或所有監控的連結群組失敗時是否發生故障復原。

Link Groups 定義監控特定乙太網路連結的一或多個連結群組。若要新增連結群組,請指

定下列項目並按一下新增:

• Name — 輸入連結群組名稱。

• Enabled — 啟用連結群組。

• Failure Condition — 選取當任何或所有所選連結失敗時是否發生失敗。

• Interfaces — 選取要監控的一或多個乙太網路介面。

表格 43. HA 設定(續)

欄位 說明

Page 93: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks 設備管理 • 93

高可用性

Active Passive 頁籤

Passive Link State 從下列選項中選擇:

• auto — 使連結狀態反映實體連線,但丟棄所有接收到的封包。此選項可讓介面的連結狀態維持到故障復原發生為止,減少被動設備接管的時間。

在 Layer 2、Layer 3 與虛擬連接模式中,支援此選項。如果您的網路適合使用自動選項,建議使用此選項。

• shutdown — 強制介面連結處於關閉狀態。這是預設選項,可確保不在網路中建立迴圈。

監視失敗抑制時間 指定防火牆在變成被動式之前於非運作狀態下將花費的時間長度(分鐘)。

僅在失敗原因為連結或路徑監控失敗時使用此計時器(範圍是 1 到 60,預設為 1)。

Active/Active 設定頁籤

封包轉送 選取 [ 啟用 ] 核取方塊可啟用跨 HA3 連結的封包轉送。需要 App-ID 與Content-ID 的 Layer 7 檢驗的非對稱路由工作階段需要此操作。

HA3 介面 當在主動 /主動模式下設定之後,選擇可在 HA 端點之間轉送封包的介面。

VR 同步處理 強制 HA 設備上設定的所有虛擬路由器進行同步。

當虛擬路由器不採用動態路由通訊協定時,可以使用虛擬路由器同步。必須

透過交換式網路將兩個設備都連線至相同的下一個躍點路由器,且只能使用

靜態路由。

QoS 同步處理 同步所有實體介面上選取的 QoS 設定檔。當兩個設備的連結速度相似,且需要所有實體介面上的 QoS 設定檔都相同時,請使用此選項。此設定會影響Network 頁籤上 QoS 設定的同步。無論此設定為何,都會同步 QoS 政策。

同時連線擁有者

選取項

指定下列其中一個選項選擇工作階段擁有者:

• Primary Device — 選取此選項可使主動 / 主要防火牆處理所有工作階段的Layer 7 檢驗。此設定建議主要用於疑難排解操作之用。

• First packet — 選取此選項可使接收工作階段第一個封包的防火牆負責支援App-ID 與 Content-ID 的 Layer 7 檢驗。這是最小化 HA3 封包轉送連結使用率的建議設定。

同時連線設定 選擇初始工作階段設定的方法。

• IP Modulo — 根據來源 IP 位址的同位性選取防火牆。

• Primary Device — 確保在主要防火牆上設定所有工作階段。

• IP Hash — 決定使用來源 IP 位址或來源與目的地 IP 位址雜湊的設定防火牆,及雜湊種子值(如果需要更多隨機選擇)。

表格 43. HA 設定(續)

欄位 說明

Page 94: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

高可用性

94 • 設備管理 Palo Alto Networks

設定 HA 時要考慮的重要項目• 當在配對中的兩個防火牆上啟用先佔時,指定較低設備優先順序值的防火牆是具有較高優先順序的設備,而且會在 HA 配對中變為主動式防火牆。

• 若要使高優先順序防火牆於失敗後復原時能夠繼續使用中操作,必須在兩個設備上啟用先佔選項。

• 用於本機及對等 IP 的子網路不應在虛擬路由器上的其他任何位置使用。

• 各設備上的作業系統與內容版本都應相同。如果不相符,會阻止叢集中的設備進行同步。

• 主要防火牆 HA 連接埠上的 LED 會亮綠燈,而次要防火牆上則會亮黃燈。

• 若要測試故障復原,請在主要設備上拔線,或發出 request high-availability statesuspend 的 CLI 命令,以使主要設備處於暫停狀態。您也可以按下 Device 頁籤上 HighAvailability 設定頁面右上角的 Suspend 連結,暫停主動式設備。

虛擬位址 按一下新增,選取 IPv4 或 IPv6 頁籤,然後再按一下新增,針對要由 HA 主動 /主動叢集使用的 HA 虛擬位址輸入選項。您可以選取虛擬地址的類型是浮動還是 ARP 載入共享。您也可以在叢集中混合虛擬位址類型,例如您可以在LAN 介面上使用 ARP 載入共享,在 WAN 介面上使用浮動 IP。如需有關部署類型的詳細資訊,請參閱第 84 頁的「部署架構選項」。

• Floating — 輸入會在連結或設備失敗的情況下在 HA 設備之間移動的 IP位址。您應該在介面上設定兩個浮動 IP 位址,使每個防火牆都有一個位址,然後設定優先順序。如果防火牆之一發生失敗,浮動 IP 位址將會轉換給 HA端點。

– Device 0 Priority — 設定決定哪個設備將擁有浮動 IP 位址的優先順序。有最低值的設備將有最高優先順序。

– Device 1 Priority — 設定決定哪個設備將擁有浮動 IP 位址的優先順序。有最低值的設備將有最高優先順序。

– Failover address if link state is down — 當介面上的連結狀態為關閉時使用故障復原位址。

• ARP Load Sharing — 輸入將由 HA 配對共用並會為主機提供閘道服務的 IP位址。只有當防火牆與主機存在於相同廣播網域上時,才應使用此選項。選

取設備選取演算法:

– IP Modulo — 如果選取此選項,會根據 ARP 要求者 IP 位址的同位性選取將回應 ARP 要求的防火牆。

– IP Hash — 如果選取此選項,會根據 ARP 要求者 IP 位址的雜湊選取將回應 ARP 要求的防火牆。

操作命令

Suspend local device 使 HA 設備處於暫停模式,這可暫時停用防火牆的 HA 功能。如果您暫停目前使用中防火牆,次要防火牆將會接管工作。

表格 43. HA 設定(續)

欄位 說明

Page 95: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks 設備管理 • 95

虛擬系統

• 若要使暫停的設備恢復為運作狀態,請使用 CLI 命令:request high-availability state functional。

• 若要檢視有關本機防火牆的詳細 HA 資訊,請使用 CLI 命令:show high-availability all。

• 若要比較本機與對等防火牆的設定,請從任一設備使用 CLI 命令:show high-availability state。您也可以使用 Device 頁籤上的 Config Audit 工具,在左側選取方塊中選取所需本機設定並在右側選取方塊中選取對等設定,來比較本機與對等防火牆的設定。

• 按下 Dashboard 頁籤上 HA Widget 中的套用設定按鈕,從 Web 介面同步防火牆。請注意,您從中套用設定之設備的設定會覆寫對等設備的設定。若要在主動式設備上從 CLI 同步防火牆,請使用命令:request high-availability sync-to-remote running-config。

• 若要遵循載入的狀態,請使用 CLI 命令 show jobs processed。

HA Lite

PA-200 與 VM 系列防火牆支援 “Lite” 版的主動式 / 被動式 HA,但不包含任何的工作階段同步。HA Lite 版不提供設定同步與部分執行時間項目的同步。Lite 版也支援 IPSec 通道的故障復原(工作階段必須重新建立)、DHCP 伺服器租用資訊、DHCP 用戶端租用資訊、PPPoE租用資訊,以及在 Layer 3 模式下設定的防火牆轉送表。

虛擬系統

虛擬系統指定實體與邏輯防火牆介面(包括 VLAN 與虛擬連接)及安全性區域的集合。(如需安全性區域的詳細資訊,請參閱第 129 頁的「定義安全性區域」。)虛擬系統可讓您分割管理防火牆提供的所有政策(安全性、NAT、QoS 等等)、所有報表與可見度功能。

一般虛擬系統的運作範圍是防火牆的安全性功能。包含靜態與動態路由在內的網路功能則無法由虛擬系統控制。如果每個虛擬系統都需要路由區段,您必須另外建立一個虛擬路由器。

例如,如果您要為與財務部門關聯的流量自訂安全性功能,您可以定義財務虛擬系統,然後再定義只適用於該部門的安全政策。

注意:PA-4000 與 PA-5000 系列防火牆支援多個虛擬系統。若安裝適當的授權,PA-2000 與 PA-3000 系列防火牆可支援多個虛擬系統。PA-500 與 PA-200防火牆不支援虛擬系統。

Page 96: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

虛擬系統

96 • 設備管理 Palo Alto Networks

圖 7 說明防火牆中政策與虛擬系統之間的關係。與適用於整個防火牆的設備及網路層級功能相比,政策與單一虛擬系統關聯。

圖 7. 虛擬系統與政策

若要最佳化政策管理,您可以建立允許存取單一虛擬系統的虛擬系統管理者帳戶,同時對所有設備與網路功能保持單獨的管理者帳戶。例如,可以指定財務部門的虛擬系統管理者,來只管理該部門的安全政策。

最初,所有介面、區域及政策都屬於預設虛擬系統 (vsys1)。

啟用多個虛擬系統時,請注意下列事項:

• 政策所需的所有項目都由虛擬系統管理者建立及管理。

• 區域是虛擬系統內的物件。在定義政策或政策物件之前,請先從 Policies 或 Objects 頁籤上的虛擬系統下拉式清單中選取虛擬系統。

• 可將介面、VLAN、虛擬連接及虛擬路由器指定給虛擬系統。請參閱第 99 頁的「定義虛擬系統」。

• 遠端日誌記錄目的地(SNMP、系統日誌及電子郵件)以及應用程式、服務與設定檔可由所有虛擬系統共享,或限制為所選虛擬系統。

網際網路

設備管理者

部門 1 VSYS 部門 2 VSYS 部門 3 VSYS 部門 4 VSYS

政策 政策 政策 政策

vsys 管理者 vsys 管理者 vsys 管理者 vsys 管理者

部門 4 VSYS

Page 97: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks 設備管理 • 97

虛擬系統

虛擬系統間的通訊防火牆內的虛擬系統會被視為單獨的實體。若要支援虛擬系統間的內部流量,您必須指示哪些虛擬系統能夠彼此之間進行通訊。當指定某虛擬系統可見的其他虛擬系統來設定該虛擬系統時,您可以執行此操作。如果虛擬系統設定為可以互相看見,請建立「外部」類型區域並指定哪些虛擬系統將對應到各個外部區域。在下例中,Dept 1 VSYS 必須有與 Dept 2 VSYS 相關聯的外部區域,外部區域會用於所有政策,影響通過虛擬系統之間的流量。流量日誌項目會針對VSYS 內部流量記錄在雙方虛擬系統中。

每個虛擬系統都必須具有傳送與接收流量的政策。例如,若要讓部門 1 VSYS 與部門 2 VSYS 進行通訊,部門 1 VSYS 內的政策必須允許流量傳送至部門 2 VSYS,並讓部門 2 VSYS 內的政策接受來自部門 1 VSYS 的連入流量。

圖 8. 虛擬系統間的通訊

網際網路

部門 1 VSYS 部門 2 VSYS 部門 3 VSYS

政策 政策 政策 政策

部門 4 VSYS

Page 98: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

虛擬系統

98 • 設備管理 Palo Alto Networks

共享閘道在標準虛擬系統介面設定中,每個虛擬系統都對外界使用專用介面。每個虛擬系統都是自發的,且防火牆內部的虛擬系統之間不存在直接的通訊路徑,除非明確設定此類通訊(請參閱第97 頁的「虛擬系統間的通訊」)。由於各虛擬系統都有其自己的 IP 位址,因此若要進行外部通訊,需要多個位址。

圖 9. 不含共享閘道的虛擬系統

共享閘道可讓虛擬系統對外部通訊共享公用介面。對於 ISP 只提供一個 IP 位址的部署而言,這特別有幫助。所有虛擬系統都使用一個 IP 位址透過實體介面與外界通訊(請參閱圖 10)。會使用一個虛擬路由器來透過共享閘道傳送所有虛擬系統的流量。

圖 10. 含共享閘道的虛擬系統

所有政策規則都在虛擬系統層級管理。如有需要,您可以在政策畫面上從虛擬系統下拉式清單中選取共享閘道,來透過共享閘道建立 NAT 與基於政策的轉送規則。

網際網路

部門 1 VSYS 部門 2 VSYS 部門 3 VSYS 部門 4 VSYS

a.a.a.a b.b.b.b c.c.c.c d.d.d.d

部門 1 VSYS 部門 2 VSYS 部門 3 VSYS 部門 4 VSYS

網際網路

x.x.x.x

a.a.a.a b.b.b.b c.c.c.c d.d.d.d

共用閘道

Page 99: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

Palo Alto Networks 設備管理 • 99

虛擬系統

定義虛擬系統Device > Virtual Systems

若要定義虛擬系統,您必須先啟用多個虛擬系統的定義。若要執行此操作,請開啟 Device >Setup 頁面,在 Management 頁籤中,按一下 General Settings 下的編輯連結,選取 MultiVirtual System Capability 核取方塊。如此會在側功能表中新增一個虛擬系統連結。

現在您可以開啟 Virtual Systems 頁面,按一下新增,並指定下列資訊。

定義虛擬系統之後,您可以執行下列任何其他工作:

• 若要變更虛擬系統,請按一下您要變更之虛擬系統名稱或介面、VLAN、虛擬連接、虛擬路由器或可見虛擬系統的名稱,進行適當的變更,然後按一下確定。

• 若要定義新虛擬系統的安全性區域,請選擇 Network > Zones,然後為各新虛擬系統定義安全性區域(請參閱第 129 頁的「定義安全性區域」)。定義新區域時,現在您可以選取虛擬系統。

• 按一下 Network > Interfaces,並確認每個介面都有虛擬系統及安全性區域。

表格 44. 虛擬系統設定

欄位 說明

ID 為虛擬系統輸入整數識別碼。如需所支援虛擬系統數的相關資訊,請參閱

您防火牆型號的資料表。

名稱 輸入用來識別虛擬系統的名稱(最多 31 個字元)。名稱區分大小寫,且必須是唯一。請僅使用字母、數字、空格、連字號與底線。只有名稱為必填。

General 頁籤 如果您要將 DNS Proxy 規則套用至此介面,請從下拉式清單中選取 DNSProxy 設定檔。請參閱第 149 頁的「DNS Proxy」。

若要包含特殊類型的物件,請選取該類型(介面、VLAN、虛擬連接、虛擬路由器或可見虛擬系統)的核取方塊。按一下新增並從下拉式清單中進

行選擇。您可以新增一或多個任何類型的物件。若要移除物件,請選取它

並按一下刪除。

Resource 頁籤 輸入下列設定:

• Sessions Limit — 此虛擬系統允許的工作階段數量上限。

• Security Rules — 此虛擬系統允許的安全性規則數量上限。

• NAT Rules — 此虛擬系統允許的 NAT 規則數量上限。

• Decryption Rules — 此虛擬系統允許的解密規則數量上限。

• QoS Rules — 此虛擬系統允許的 QoS 規則數量上限。

• Application Override Rules — 此虛擬系統允許的應用程式覆蓋規則數量上限。

• PBF Rules — 此虛擬系統允許的基於政策的轉送 (PBF) 規則數量上限。

• CP Rules — 此虛擬系統允許的網頁認證 (CP) 規則數量上限。

• DoS Rules — 此虛擬系統允許的阻斷式攻擊 (DoS) 規則數量上限。

• Site to Site VPN Tunnels — 此虛擬系統允許的站台間 VPN 通道數量上限。

• Concurrent GlobalProtect Tunnel Mode Users — 此虛擬系統允許的同時遠端 GlobalProtect 使用者數量上限。

Page 100: Palo Alto Networks Administrator's Guide - xcdtp.com · Palo Alto Networks • 3 11 15, 2012 - Palo Alto Networks 公司機密 前言

定義自訂回應頁面

100 • 設備管理 Palo Alto Networks

設定共享閘道Device > Shared Gateways

共享閘道使用 Layer 3 介面,而且必須設定至少一個 Layer 3 介面為共享閘道。請參閱第 110 頁的「設定 Layer 3 介面」。

定義自訂回應頁面

Device > Response Pages

自訂回應頁面是使用者嘗試存取 URL 時顯示的網頁。您可以提供下載及顯示的自訂 HTML 訊息,而非要求的網頁或檔案。

每個虛擬系統都可以擁有自己的自訂回應頁面。

下表說明支援客戶訊息的自訂回應頁面類型。

表格 45. 共享閘道設定

欄位 說明

ID 閘道的識別碼(未由防火牆使用)。

名稱 輸入共享閘道的名稱(最多 31 個字元)。名稱區分大小寫,且必須是唯一。請僅使用字母、數字、空格、連字號與底線。只有名稱為必填。

介面 針對共享閘道將會使用的介面選取這些核取方塊。

注意:如需預設回應頁面的範例,請參閱附錄 A,「自訂頁面」。

表格 46. 自訂回應頁面類型

頁面類型 說明

Antivirus Block 因感染病毒而使存取遭到封鎖。

Application Block 因應用程式遭到安全政策封鎖而使存取遭到封鎖。

Captive Portal Comfort 此頁面可供使用者針對不屬於網域一部分的電腦,驗證他們的使用

者名稱與密碼。

File Blocking Block 因檔案存取遭到封鎖而使存取遭到封鎖。

File Blocking Continue 此頁面可供使用者確認下載應該繼續。只有在安全性設定檔中啟用

了繼續功能,才可使用此選項。請參閱第 188 頁的「檔案封鎖設定檔」。

GlobalProtect Portal Help GlobalProtect 使用者的自訂說明頁面(可從入口網站存取)。

GlobalProtect Portal Login 此頁面可供使用者嘗試存取 GlobalProtect 入口網站。如需 GlobalProtect 的相關資訊,請參閱第 293 頁的「概要介紹」。

GlobalProtect Welcome 頁面 歡迎頁面可供使用者嘗試登入 GlobalProtect 入口網站。如需 GlobalProtect 的相關資訊,請參閱第 293 頁的「概要介紹」。

SSL 憑證錯誤通知頁面 SSL 憑證已撤銷的通知。