paloalto networks操作版技術(shù)手冊v5.new蘭天明

Paloalto此次更新了GlobalProtect單一Gateway實戰(zhàn)配置篇。如需要了解原理含義請參考手冊。GlobalProtect支持windows32/64。MacAppleIOS，Adnriod4.0PadPAN-OS5.0.5簡 1.1.概 功能與優(yōu) 管理方 入門安 設(shè)備準 執(zhí)行的初始設(shè)置 設(shè)備管 License（證）安裝/支 軟件升級安 創(chuàng)建管理帳 查看支持信 網(wǎng)絡(luò)部署及配 虛擬線路（VirtualWires）部 三層部署(路由/NAT模式 旁路Tap部 配置旁路部署Tap配 虛擬路由Virtual 配置靜態(tài)IP路 配置策略路由轉(zhuǎn)發(fā) 基于安全的保護Zone 策略與安全配 錯誤!未定義書簽源NAT策 錯誤!未定義書簽動態(tài)IP/端 錯誤!未定義書簽動態(tài) 錯誤!未定義書簽靜態(tài) 錯誤!未定義書簽安全策 錯誤!未定義書簽 錯誤!未定義書簽 錯誤!未定義書簽應(yīng)用程序管 內(nèi)置數(shù)據(jù)挖掘- ACC工具覆蓋范 應(yīng)用分析 過濾（URL 各種（Threat Monitor內(nèi)置數(shù)據(jù)挖掘-流量//數(shù)據(jù)日 流量//數(shù)據(jù)日志挖 活動會話......................................................................................................... 綜 GlobalProtect基 部署拓 配置實 簡1.1.概PaloAltoNetworks允許您對每個試圖您網(wǎng)絡(luò)的應(yīng)用程序進行準確地標識，以此來指定安全策略傳統(tǒng)僅通過協(xié)議和端來識別應(yīng)用程序，本則可通過數(shù)據(jù)包檢查和應(yīng)用程序簽名庫來區(qū)分協(xié)議和端相同的兩個應(yīng)用程序并且還可識別出使、例如，您可以為特定的應(yīng)用程序定義安全策略，而不是對所有的80端口連接都使用（IPv4IPv6）來指定安全策略，以或允許通信。每個安全策略還可以調(diào)用用于防御軟件和其他的、功能與優(yōu)基于應(yīng)用程序的策略—基于應(yīng)用的權(quán)限控制遠比傳統(tǒng)基于端口協(xié)議的策略有。用戶標識(User-ID)—管理員通過User-ID可根據(jù)用戶和用戶（而非網(wǎng)絡(luò)區(qū)域和地址或除此之外）配置和實施策略可與許多 ActiveDirectory、eDirectory、SunOne、OpenLDAP以及大多數(shù)其他基于LDAP的 或組定義權(quán)限確保安全使用應(yīng)用程序例如管理員可允許某個組織使用基于Web的。防御—防御服務(wù)可以保護網(wǎng)絡(luò)免遭蠕蟲軟件以及其他通信的URL過濾—可對出站連接進行過濾，防止特定的通訊可視化—廣泛的報告日志和通知機制可詳細地看到網(wǎng)絡(luò)應(yīng)用程序通信和安全事件。Web(ACC)可識別流量最大和安全風險最高的應(yīng)用部署方式靈活快速—本可以增強現(xiàn)有功能或取代現(xiàn)有可以透GlobalProtectGlobalProtect幫助用戶設(shè)備（如筆記本電腦）從全球任何地方安高可用性/容災(zāi)—高可用性支持可在出現(xiàn)任何硬件或軟件的情況下能夠自動進軟件分析和報告—WildFire提供有關(guān)通過的軟件的詳細分析和報告VM系列—提供一個于虛擬數(shù)據(jù)中心環(huán)境的PAN-OS的虛擬實例尤其適VMwareESXi的x86PaloAltoNetworks硬件。管理和Panorama—每個均通過直觀的Web界面或命令行界面(CLI)進行PanoramaWeb界面與設(shè)備Web界面非常相似。管理方Web—WebHTTPHTTPS進行配置和監(jiān)視。CLI—通過net、安全外殼(SSH)或控制臺端口在文本狀態(tài)下進行配置和監(jiān)Panorama—一種PaloAltoNetworks產(chǎn)品可基于Web對多個進行管理、報告和日志記錄。Panorama界面與設(shè)備Web界面類似，前者還包括其他管理功能。(SNMP)—支持RFC1213MIB-II)RFC2665（以太網(wǎng)接口，以便進行監(jiān)測，并為一個或多個服務(wù)器生成日志Syslog—為一個或多個Syslog服務(wù)器提供生成的消XMLAPI—提供一個基于表述性狀態(tài)轉(zhuǎn)移(REST)的接口用于設(shè)備配置、運行狀態(tài)報告和從捕獲數(shù)據(jù)包在https://<firewall>/api上提供一個API瀏覽器其中<firewall>是的主機名或IP地址此提供有關(guān)每種類型API調(diào)用所需參數(shù)的幫助DevCenter社區(qū)在上提供XMLAPI用法指南。入門安設(shè)備初始化連接設(shè)5commit執(zhí)行的初始設(shè)置使用RJ-45以太網(wǎng)線纜將計算機連接到上的管理端口(MGT)92.168..5啟動一個支持的Web瀏覽器，輸入瀏覽器將自動打開PaloAltoNetworks登錄頁。初始用戶均為admin，單擊登錄。系統(tǒng)將顯示警告，提示您應(yīng)更改默認。單在Device選項卡上，選擇Setup，然后配置以下各在ManagementinterfaceSettings選項卡上設(shè)置，輸入的IP地址、網(wǎng)絡(luò)掩碼服務(wù)器的IP地址或主機名和在Device->Administrators,編輯->admin修 ，在oldPassword中輸入當前碼，在新和確認新字段中，輸入并確認區(qū)分大小寫的（最多15個字符設(shè)備從經(jīng)銷商后，將由經(jīng)銷商激活代碼，用于激活一個或多個證密鑰。包括：設(shè)備技術(shù)支持服務(wù)（標準、partner）Theat、URL過濾、GlobalProtect、WildFire野火、Vsys虛擬系統(tǒng)注意！License、特征庫升級都需要從MGT端口連接互聯(lián)網(wǎng)并DNS解Device，在升級到最高系統(tǒng)版本(5.0.0.x)之前必須安裝一個基本系統(tǒng)(5.0.0)。原因在于您從4.1.9升級到5.0.1，則需要5.0.0基本系統(tǒng)（安裝此基本系統(tǒng)因此4.1.9版5.0.05.0.1。如果要從一個版本升級到兩個更高4.05.04.0升。，PaloAlto會定期發(fā)布更新以及新的或修訂的應(yīng)用程序定義和有關(guān)新安全的信息，例如防簽名（需要防御證、URL過濾條件和GlobalProtect WildFire簽名（需要WildFire可證。您可以查看及更新特征。Device->DynamicUpdates我們看到點擊CheckNow以后沒有Anti ，這個首次需要在CLi命令行下CheckNow。admin@PA-500>requestanti-upgradecheckDeviceDynamicUpdates/downloadand可以設(shè)置自動升級時間，建議是每天夜里。注意！此升級需要從MGT下，默認管理員為admin。預定義的“管理員角色”已創(chuàng)建，其中不存在功能，但具有審核的只讀權(quán)限的管理員角色除（除非審核管理員具有完全的/刪除權(quán)審核管理員—審核管理員負責定期查看的審核數(shù)據(jù)加密管理員—加密管理員負責與安全連接的建立相關(guān)的加密元素的配置和維（如創(chuàng)建管理員帳戶控制對的每個管理員都可以具有對單個設(shè)備或單個設(shè)備上虛擬系統(tǒng)的完全或只讀權(quán)。預定義的管理員帳戶具有完全權(quán)。支持以下驗證選項?驗證—用戶輸入用戶名和進行登錄。不需要；客戶端驗證(web)—如果選中此復選框，則不需要用戶名和即足以對的進行驗證。；公鑰驗證(SSH)—用戶可在需要的計算機上生成公鑰/私鑰對，然后 入用戶名和即可進行安全 求的“SupportCase文件。要PaloAlto 要生成系統(tǒng)文件以幫助PaloAltoNetworks 持文件“SupportCase文件。生成文件后，單擊技術(shù)支持文件將文件到計算機。網(wǎng)絡(luò)部署及配。當安裝在邊緣路由器（或Internet的其他設(shè)備）和連接至網(wǎng)絡(luò)的交換機或路由器之間時，它可替換您現(xiàn)有的支持很多可以同時在不同物理接口上。Paloalto支持以下部署模式2“第3層部署”在虛擬線路（VirtualWires）部署中，通過將兩個端口關(guān)聯(lián)在一起，將透明地安裝在網(wǎng)段中（下圖。您可以將安裝在任何網(wǎng)絡(luò)環(huán)境中，而無需對相鄰網(wǎng)絡(luò)設(shè)備進行配置。默認情況下，虛擬線路“default-vwire”將以太網(wǎng)端口1和2關(guān)聯(lián)在一起，并允許0-4094Tag允許通過)標注!MAC地址、IPMac表轉(zhuǎn)發(fā)，大大減輕了識別（、軟件、-IPS）控URLnetwork>Virtual要創(chuàng)建一條虛擬線路VirtualWires，可將兩個以太網(wǎng)端口綁定在一起，這樣允許在接口之間傳遞所有通信或僅允許傳遞具有VLAN TagAllowed:Vlan,0(VlanTag的數(shù)據(jù)),0-4094全部允LinkStatePassThrough:VirtualWiresup/down狀態(tài)同步(HA模配置端口需要到配置端口需要到interfacenetwork>VirtualWirescommit在第三層部署中在多個端口之間進行路由通信必須向每個接口分配IP地址，并定義虛擬路由器(VirtualRouters）來進行路由通信。network>IP(IPV4\IPV6)PPPoE,DHCPIPIPnetwork>VirtualPaloaltoVirtualRouters，把不同的接口賦予到不同的虛擬路由，IP配置一個靜態(tài)路由指向配置一個靜態(tài)路由指向ISP網(wǎng)ISPE1專線環(huán)境。注意在Pan-OS5.0以還可以支持在雙鏈路情況下入向回包基于MAC地址默認路由，PaloaltoAdminGuidZone多個區(qū)域。有關(guān)ZoneProtection的功能請看AdminGuid或 地址簿、服務(wù)簿、NAT策略與安全策略配NAT應(yīng)用程序管應(yīng)用（APP-ID）功應(yīng)用（APP-ID）過濾Objects->ApplicationObjects->Application1、控2、跳墻控制3Stock4Webmail內(nèi)置數(shù)據(jù)挖掘-ACC工具覆蓋范ACCACCACC應(yīng)用分析HighRisk（4-5應(yīng)用大類（6Sub過濾（URLURLURLBlockedURLBlockedURL各種（Threat類型（、軟件、SpywarephoneSpyware軟件Content/FileFileACC工具如何進一步挖掘分舉例-舉例-->的IP 內(nèi)容就是所有應(yīng)用情況舉例- 舉例-Monitor內(nèi)置數(shù)據(jù)挖掘-流量//數(shù)據(jù)日流量//數(shù)據(jù)日志挖進入Monitor->Logs可以瀏覽和查詢各種日志信息，其中和用戶行為/相關(guān)的日志：Traffic、Threat、URLfiltering、DataFiltering23內(nèi)置數(shù)據(jù)挖掘工具-內(nèi)置客戶報內(nèi)置數(shù)據(jù)挖掘工具-生成AVR報GlobalProtect（單一Gateway配置篇PAN-5.0.2，GP客戶端1.2.1，修復了之前PC重新啟動后無法連接的問題1.2.1連接后無需再次輸入用戶名與。綜GlobalProtect提供的主機安全性，如筆記本電腦,用于在世界任何地方能夠便捷安是受到控制的是主機免受數(shù)據(jù)的,等等.在PAN-OS4.1版本,GlobalProtect替換了NetConnect功能該文件包括，配置 取代NETCONNECTGlobalProtectGlobalProtectPortal:提供在GlobalProtect系統(tǒng)集中控制。Portal所有網(wǎng)關(guān)列表，