PAN OS 6.1 Web Interface Ref

Palo Alto Networks

Web Interface Reference GuideVersion 6.1

Contact Information

Corporate Headquarters:

Palo Alto Networks4401 Great America ParkwaySanta Clara, CA 95054

http://www.paloaltonetworks.com/contact/contact/

About this Guide

This guide describes the Palo Alto Networks next-generation firewall and Panorama web interfaces. It provides information on how to use the web interface and reference information about how to populate fields within the interface:

For information on the additional capabilities and for instructions on configuring the features on the firewall and Panorama, see https://www.paloaltonetworks.com/documentation.

For access to the knowledge base, complete documentation set, discussion forums, and videos, see https://live.paloaltonetworks.com.

For contacting support, for information on the support programs, or to manage your account or devices, see https://support.paloaltonetworks.com

For the latest release notes, go to the software downloads page at https://support.paloaltonetworks.com/Updates/SoftwareUpdates.

To provide feedback on the documentation, please write to us at: [email protected]

Palo Alto Networks, Inc.www.paloaltonetworks.com 2014 Palo Alto Networks. All rights reserved. Palo Alto Networks and PAN-OS are trademarks of Palo Alto Networks, Inc.

Revision Date: January 30, 20152

http://www.paloaltonetworks.com/contact/contact/https://www.paloaltonetworks.com/documentationhttps://support.paloaltonetworks.comhttps://live.paloaltonetworks.comhttps://live.paloaltonetworks.com/community/documentation/content?filterID=content~category%5badministrators-guide%5dhttps://live.paloaltonetworks.com/community/documentation/content?filterID=content~category%5badministrators-guide%5dhttps://support.paloaltonetworks.comhttps://support.paloaltonetworks.com/Updates/SoftwareUpdateshttps://support.paloaltonetworks.com/Updates/SoftwareUpdateshttps://live.paloaltonetworks.commailto:[email protected]

January 30, 2015 - Palo Alto Networks COMPANY CONFIDENTIAL

Table of ContentsChapter 1Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Firewall Overview. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11Features and Benefits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12Management Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Chapter 2Getting Started . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Preparing the Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15Setting Up the Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15Using the Firewall Web Interface. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

Committing Changes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19Navigating to Configuration Pages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20Using Tables on Configuration Pages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20Required Fields . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20Locking Transactions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20Supported Browsers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Getting Help Configuring the Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22Obtaining More Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22Technical Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

Chapter 3Device Management. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

System Setup, Configuration, and License Management . . . . . . . . . . . . . . . . . . . . 24Defining Management Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24Defining Operations Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37Defining Hardware Security Modules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43Defining Services Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44Defining Content-ID Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48Configuring WildFire Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50Defining Session Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

Session Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52Session Timeouts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53Decryption Settings: Certificate Revocation Checking . . . . . . . . . . . . . . . . . . . 55Decryption Settings: Forward Proxy Server Certificate Settings . . . . . . . . . . . 56Palo Alto Networks 3

Comparing Configuration Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57Installing a License . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58Defining VM Information Sources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59Installing the Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63Updating Threat and Application Definitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65Administrator Roles, Profiles, and Accounts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

Defining Administrator Roles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68Defining Password Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

Username and Password Requirements. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71Creating Administrative Accounts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71Specifying Access Domains for Administrators . . . . . . . . . . . . . . . . . . . . . . . . . . . 73Setting Up Authentication Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74Creating a Local User Database . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76Adding Local User Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

Configuring RADIUS Server Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77Configuring LDAP Server Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78Configuring Kerberos Settings (Native Active Directory Authentication) . . . . . . . . 78Setting Up an Authentication Sequence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79Scheduling Log Exports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80Defining Logging Destinations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81Defining Configuration Log Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83Defining System Log Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83Defining HIP Match Log Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84Defining Alarm Log Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84Managing Log Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85Configuring SNMP Trap Destinations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86Configuring Syslog Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

Custom Syslog Field Descriptions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89Configuring Email Notification Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96Configuring Netflow Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97Using Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97

Managing Device Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98Managing the Default Trusted Certificate Authorities. . . . . . . . . . . . . . . . . . 102

Creating a Certificate Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102Adding an OCSP Responder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104Encrypting Private Keys and Passwords on the Firewall . . . . . . . . . . . . . . . . . . . 105Enabling HA on the Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107Defining Virtual Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116Configuring Shared Gateways . . . . . . . . . . . . . . . . . . . . . . . .