第1页 / 共1040页
第2页 / 共1040页
第3页 / 共1040页
第4页 / 共1040页
第5页 / 共1040页
第6页 / 共1040页
第7页 / 共1040页
第8页 / 共1040页
PAN-OS 8.1 管理员指南.pdf
Table of Contents
入门指南
将防火墙集成到管理网络
确定管理策略
执行初始配置
设置外部服务的网络访问权
注册防火墙
创建新支持账户,并注册防火墙
注册防火墙
激活许可证和订阅
安装内容和软件更新
使用接口和区域对网络进行分段
减小攻击面的网络分段
配置接口和区域
设置基本安全策略
访问网络流量
启用基本 WildFire 转发
控制 Web 内容访问
启用 AutoFocus 威胁情报
完成防火墙部署的最佳实践
确保管理员访问安全的最佳实践
防火墙管理
管理接口
使用 Web 界面
启动 Web 界面
配置横幅、当日消息及徽标
使用管理员登录活动指标检测帐户不当使用
管理和监控管理任务
提交、验证和预览防火墙配置更改
导出配置表格数据
利用全局查找搜索防火墙或 Panorama 管理服务器
管理配置更改限制锁
管理配置备份
保存并导出防火墙配置
还原防火墙配置更改
管理防火墙管理员
管理角色类型
配置管理角色配置文件
管理身份验证
配置管理帐户和身份验证
配置防火墙管理员帐户
为防火墙管理员配置本地或外部身份验证
配置 Web 界面的基于证书的管理员身份验证
配置 CLI 的 SSH 基于密钥的管理员身份验证
参考资料:Web 界面管理员访问
Web 界面访问权限
定义对 Web 界面选项卡的访问
提供对监控选项卡的粒度访问
提供对策略选项卡的粒度访问
提供对对象选项卡的粒度访问
提供对网络选项卡的粒度访问
提供对设备选项卡的粒度访问
定义管理角色配置文件中的用户隐私设置
限制管理员访问提交和验证功能
提供对全局设置的粒度访问
提供对 Panorama 选项卡的粒度访问控制
Panorama Web 界面访问权限
参考资料:端口码使用
用于管理功能的端口
用于 HA 的端口
用于 Panorama 的端口
用于 GlobalProtect 的端口
用于 User-ID 的端口
将防火墙重置为出厂默认设置
自举防火墙
USB 闪存盘支持
init-cfg.txt 样本文件
为防火墙自举准备 USB 闪存盘
使用 USB 闪存盘自举防火墙
身份验证
身份验证类型
外部身份验证服务
多重因素身份验证
SAML
Kerberos
TACACS+
RADIUS
LDAP
本地身份验证
计划您的身份验证部署
配置多重因素身份验证
在 RSA SecurID 和防火墙之间配置 MFA
获取 RSA SecurID 访问云身份验证服务详细信息
配置带 RSA SecurID 的 MFA 防火墙
在 Okta 和防火墙之间配置 MFA
配置 Okta
配置防火墙以便与 Okta 进行集成
采用 Okta 对 MFA 进行验证
在 Duo 和防火墙之间配置 MFA
采用 Duo 访问网关为 SAML MFA 配置 Duo
配置防火墙以便与 Duo 进行集成
采用 Duo 对 MFA 进行验证
配置 SAML 身份验证
配置 Kerberos 单一登入
配置 Kerberos 服务器身份验证
配置 TACACS+ 身份验证
配置 RADIUS 身份验证
配置 LDAP 身份验证
身份验证服务器连接超时
设置身份验证服务器超时的原则
修改 PAN-OS Web 服务器超时
修改强制网络门户会话超时
配置本地数据库身份验证
配置身份验证配置文件和序列
测试身份验证服务器连接
身份验证策略
身份验证时间戳
配置身份验证策略
身份验证问题故障排除
证书管理
密钥和证书
默认可信证书颁发机构(CA)
证书撤消
证书吊销列表 (CRL)
在线证书状态协议 (OCSP)
证书部署
设置证书吊销状态验证
配置 OCSP 响应者
配置证书吊销状态验证
配置用于 SSL/TLS 解密的证书吊销状态验证
配置主密钥
获取证书
创建自签名根 CA 证书
生成证书
导入证书和私钥
从外部 CA 获取证书
使用 SCEP 部署证书
导出证书和私钥
配置证书配置文件
配置 SSL/TLS 服务配置文件
入站流量管理之证书替换
配置 SSL 转发代理服务器证书的密钥大小
吊销和续订证书
吊销证书
续订证书
安全密钥与硬件安全模块
建立与 HSM 的连接
建立与 SafeNet Network HSM 的连接
建立与 Thales nshield Connect HSM 的连接
使用 HSM 加密主密钥
加密主密钥
刷新主密钥加密
在 HSM 上存储私钥
管理 HSM 部署
高可用性
HA 概述
HA 概念
HA 模式
HA 链路和备份链路
Palo Alto Networks 防火墙上的 HA 端口
设备优先级和抢先
故障转移
主动/被动 HA 的 LACP 及 LLDP 预先协商
浮动 IP 地址和虚拟 MAC 地址
ARP 加载共享
基于路由的冗余
高可用性计时器
会话所有者
会话设置
处于主动/主动模式的 NAT
处于主动/主动 HA 模式的 ECMP
设置主动/被动 HA
主动/被动 HA 的先决条件
主动/被动 HA 的配置原则
配置主动/被动 HA
定义 HA 故障转移条件
验证故障转移
设置主动/主动 HA
主动/主动 HA 的先决条件
配置主动/主动 HA
确定主动/主动用例
用例:配置带有基于路由冗余的主动/主动 HA
用例:配置具有浮动 IP 地址的主动/主动 HA
用例:配置主动/主动 HA 的 ARP 加载共享
用例:配置具有绑定至主动-主要防火墙的浮动 IP 地址的主动/主动 HA
用例:配置具有使用浮动 IP 地址的源 DIPP NAT 的主动/主动 HA
用例:为主动/主动 HA 防火墙配置单独的源 NAT IP 地址池
用例:配置带有目标 NAT 的主动/主动 HA,进行ARP 加载共享
用例:在第三层中配置带有目标 NAT 的主动/主动 HA,进行 ARP 加载共享
HA 防火墙状态
参考资料:高可用性同步
哪些设置不会在主动/被动 HA 中同步?
哪些设置不会在主动/主动 HA 中同步?
系统运行时信息同步
监控
使用仪表板
使用应用程序命令中心
ACC—第一印象
ACC 选项卡
ACC 小部件
小部件说明
ACC 筛选器
与 ACC 交互
用例:ACC — 信息发现路径
使用 App-Scope 报告
摘要报告
异动监控报告
威胁监控报告
威胁地图报告
网络监控报告
通信地图报告
使用自动关联引擎
自动关联引擎概念
关联项目
关联事件
查看关联项目
解释关联事件
使用 ACC 中的“受影响主机”小部件
执行数据包捕获
数据包捕获类型
禁用硬件卸载
执行自定义数据包捕获
执行威胁数据包捕获
执行应用程序数据包捕获
执行针对未知应用程序的数据包捕获
执行定制应用程序数据包捕获
在管理接口上执行数据包捕获
监视应用程序和威胁
查看和管理日志
日志类型和严重性级别
流量日志
威胁日志
URL 筛选日志
WildFire 提交日志
数据筛选日志
关联日志
隧道检测日志
配置日志
系统日志
HIP 匹配日志
User-ID 日志
警报日志
身份验证日志
统一日志
查看日志
过滤日志
导出日志
配置日志存储配额和过期期限
计划将日志导出至 SCP 或 FTP 服务器
监控阻止列表
查看和管理报告
报告类型
查看报告
配置报告的过期期限和运行时间
禁用预定义的报告
自定义报告
生成定制报告
生成 Botnet 报告
配置 Botnet 报告
解释 Botnet 报告输出
生成 SaaS 应用程序使用情况报告
管理 PDF 摘要报告
生成用户/组活动报告
管理报告组
计划通过电子邮件传递的报告
查看策略规则使用情况
使用外部服务进行监控
配置日志转发
配置电子邮件警报
使用 Syslog 进行监控
配置 Syslog 监控
Syslog 字段说明
流量日志字段
威胁日志字段
HIP 匹配日志字段
User-ID 日志字段
隧道检测日志字段
SCTP 日志字段
身份验证日志字段
配置日志字段
系统日志字段
关联事件日志字段
GTP 日志字段
Syslog 严重性
自定义日志/事件格式
转义序列
SNMP 监控和陷阱
SNMP 支持
使用 SNMP 管理器浏览 MIB 和对象
识别包含已知 OID 的 MIB
对 MIB 执行 Walk
确定系统统计信息或陷阱的 OID
为防火墙保护的网元启用 SNMP 服务
使用 SNMP 监控统计信息
将陷阱转发至 SNMP 管理器
支持的 MIB
MIB-II
IF-MIB
HOST-RESOURCES-MIB
ENTITY-MIB
ENTITY-SENSOR-MIB
ENTITY-STATE-MIB
IEEE 802.3 LAG MIB
LLDP-V2-MIB.my
BFD-STD-MIB
PAN-COMMON-MIB.my
PAN-GLOBAL-REG-MIB.my
PAN-GLOBAL-TC-MIB.my
PAN-LC-MIB.my
PAN-PRODUCT-MIB.my
PAN-ENTITY-EXT-MIB.my
PAN-TRAPS.my
将日志转发到 HTTP(S) 目标
NetFlow 监控
配置 NetFlow 导出
NetFlow 模板
SNMP 管理器和 NetFlow 收集器中的防火墙接口标识符
增强 Palo Alto Networks 云服务的应用日志
User-ID
User-ID 概述
User-ID 概念
组映射
用户映射
服务器监视
端口映射
XFF 标头
身份验证策略和强制网络门户
Syslog
GlobalProtect
XML API
客户端探测
启用 User-ID
将用户映射到组
将 IP 地址映射到用户
为 User-ID 代理创建专用服务帐户
使用 Windows User-ID 代理配置用户映射
安装基于 Windows 的 User-ID 代理
为用户映射配置基于 Windows 的 User-ID 代理
使用 PAN-OS 集成的 User-ID 代理来配置用户映射
配置 User-ID 以监控用户映射的 Syslog 发件人
将 PAN-OS 集成 User-ID 代理配置为 Syslog 侦听器
将 Windows User-ID 代理配置为 Syslog 侦听程序
使用强制网络门户将 IP 地址映射到用户名
强制网络门户身份验证方法
强制网络门户模式
配置强制网络门户
为终端服务器用户配置用户映射
配置 Palo Alto Networks 终端服务代理执行用户映射
使用 PAN-OS XML API 检索源自 Terminal Server 的用户映射
使用 XML API 将用户映射发送到 User-ID
启用基于用户和基于组的策略
为具有多个帐户的用户启用策略
验证用户标识配置
在大规模网络中部署 User-ID
为大量映射信息源部署 User-ID
Windows 日志转发和全局目录服务器
计划大规模 User-ID 部署
配置 Windows 日志转发
为大量映射信息源配置 User-ID
重新分发用户映射和身份验证时间戳
防火墙有关 User-ID 重新分发的配置
配置 User-ID 重新分发
App-ID
App-ID 概述
管理自定义应用程序或未知应用程序
管理新建和修改过的 App-ID
最佳工作流程包含新的和修改过的 App-ID
请参阅内容发布中新建和修改过的 App-ID
请参阅新的和修改过的 App-ID 如何影响您的安全策略
确保允许新的关键 App-ID
监控新的 App-ID
禁用或启用 App-ID
在策略中使用应用程序对象
创建应用程序组
创建应用程序筛选器
创建定制应用程序
应用程序与隐式支持
应用层网关
禁用 SIP 应用层网关 (ALG)
使用 HTTP 标头管理 SaaS 应用程序访问
了解 SaaS 自定义标头
预定义 SaaS 应用程序类型使用的域
使用预定义类型创建 HTTP 标头插入条目
创建自定义 HTTP 标头插入条目
保留数据中心应用程序的自定义超时
威胁阻止
设置防病毒威胁、防间谍软件和漏洞保护
创建威胁异常
设置数据筛选
设置文件阻止
应用程序和威胁内容更新
部署应用程序和威胁内容更新
内容更新提示
请执行应用程序和威胁内容更新的最佳实践
获取最新内容更新
打开威胁情报遥测
向合适的人员转发 Palo Alto Networks 内容更新警报
必要时,使用 Panorama 回滚到较早的内容发布
内容交付网络基础架构
应用程序和威胁内容更新的最佳实践
内容更新的最佳实践——任务关键型
内容更新的最佳实践 ——安全第一
防止网络免遭第 4 层和第 7 层逃避的最佳实践
防止暴力攻击
自定义暴力签名的操作和触发条件
启用规避签名
预防凭证网络钓鱼
检查公司凭据提交的方法
使用基于 Windows 的 User-ID 代理配置凭据检测
设置凭据网络钓鱼防护
使用 DNS 查询来确定网络上受感染的主机
DNS 黑洞
为自定义域列表配置 DNS Sinkholing
将 Sinkholing IP 地址配置为网络上的本地服务器
确定受感染主机
监控阻止 IP 列表
进一步了解和评估威胁
使用 AutoFocus 评估防火墙构件
AutoFocus 情报摘要
查看并处理 AutoFocus 情报摘要数据
进一步了解威胁签名
监控活动并根据威胁类别创建自定义报告
与 Palo Alto Networks 共享威胁情报
防火墙收集哪些遥测数据?
被动 DNS 监控
启用遥测
自定义签名
威胁签名
威胁阻止资源
解密
解密概述
解密概念
适用于解密策略的密钥和证书
SSL 转发代理
SSL 转发代理解密配置文件
SSL 入站检查
SSL 入站检查解密配置文件
SSL 协议设置解密配置文件
SSH 代理
SSH 代理解密配置文件
无解密的解密配置文件
用于椭圆曲线加密法 (ECC) 证书的 SSL 解密
用于 SSL 解密的完全正向保密 (PFS)
SSL 解密和主题备用名称(SAN)
解密会话的高可用性支持
正在解密镜像
准备部署解密
与利益相关者联合制定解密部署策略
制定 PKI 推出计划
调整防火墙解密部署规模
规划分阶段的优先部署
确定解密流量
创建解密配置文件
创建解密策略规则
配置 SSL 转发代理
配置 SSL 入站检查
配置 SSH 代理
为未加密流量配置服务器证书验证
解密排除
Palo Alto Networks 预定义解密排除
出于技术原因从解密中排除服务器
创建基于策略的解密排除
让用户选择停用 SSL 解密
暂时禁用 SSL 解密
配置解密端口镜像
验证解密
解密代理
解密代理的工作方式
解密代理概念
解密代理:转发接口
解密代理:第三层安全链
解密代理:透明桥接安全链
解密代理:安全链会话流
解密代理:多个安全链
解密代理:安全链健康检查
第三层安全链指南
配置具有一个或多个第三层安全链的解密代理
透明桥接安全链指南
配置具有单一透明桥接安全链的解密代理
配置具有多个透明桥接安全链的解密代理
解密许可证
URL 筛选
URL 筛选概述
URL 筛选供应商
在 App-ID 和 URL 类别之间互动
PAN-DB 私有云
用于 PAN-DB 私有云的 M-500 设备
URL 筛选概念
URL 分类
URL 筛选配置文件
URL 筛选配置文件操作
URL 类别异常列表
URL 类别异常列表的基本指南
URL 类别异常列表的通配符指南
URL 类别异常列表 — 通配符示例
URL 的外部动态列表
容器页面
HTTP 标头日志记录
URL 筛选响应页面
用作策略匹配条件的 URL 类别
PAN-DB 分类
启用 URL 筛选供应商
启用 PAN-DB URL 筛选
启用 BrightCloud URL 筛选
确定 URL 筛选策略要求
配置 URL 筛选
使用 URL 筛选配置文件中的外部动态列表
自定义 URL 筛选响应页面
允许密码访问某些站点
安全搜索执行
搜索提供商的安全搜索设置
阻止未启用严格安全搜索时的搜索结果
透明启用用户安全搜索
监控 Web 活动
监控网络用户的 Web 活动
查看用户活动报告
配置自定义 URL 筛选报告
设置 PAN-DB 私有云
配置 PAN-DB 私有云
将防火墙配置为访问 PAN-DB 私有云
在 PAN-DB 私有云上使用自定义证书配置身份验证
URL 筛选用例
用例:控制 Web 访问
用例:使用 URL 类别进行策略匹配
对 URL 筛选进行故障排除
激活 PAN-DB 问题
PAN-DB 云连接问题
将 URL 分类为未解析
分类不正确
URL 数据库过期
服务质量
QoS 概述
QoS 概念
用于应用程序和用户的 QoS
QoS 策略
QoS 配置文件
QoS 类
QoS 优先级队列
QoS 带宽管理
QoS 出口接口
针对明文与隧道通信的 QoS
配置 QoS
为虚拟系统配置 QoS
基于 DSCP 分类实施 QoS
QoS 用例
用例:单个用户的 QoS
用例:语音和视频应用程序的 QoS
VPN
VPN 部署
站点到站点 VPN 概述
站点到站点 VPN 概念
IKE 网关
隧道接口
隧道监控
VPN 的 Internet 密钥交换 (IKE)
IKE 阶段 1
IKE 阶段 2
保护 IPSec VPN 隧道的方法(IKE 阶段 2)
IKEv2
活性检查
Cookie 激活阈值和严格 Cookie 验证
流量选择器
哈希和 URL 证书交换
SA 密钥生命周期和重新验证间隔
设置站点到站点 VPN
设置 IKE 网关
导出对端设备的证书以使用哈希和 URL 进行访问
导入证书以进行 IKEv2 网关验证
更改 IKEv2 的密钥生命周期或身份验证间隔
更改 IKEv2 的 Cookie 激活阈值
配置 IKEv2 流量选择器
定义加密配置文件
定义 IKE 加密配置文件
定义 IPSec 加密配置文件
建立 IPSec 隧道
设置隧道监控
定义隧道监控配置文件
查看隧道状态
启用/禁用,刷新或重新启动 IKE 网关或 IPSec 隧道
启用或禁用 IKE 网关或 IPSec 隧道
刷新和重新启动行为
刷新或重新启动 IKE 网关或 IPSec 隧道
测试 VPN 连接
解释 VPN 错误消息
站点到站点 VPN 快速配置
使用静态路由的站点到站点 VPN
使用 OSPF 的站点与站点 VPN
使用静态和动态路由的站点到站点 VPN
大规模 VPN (LSVPN)
LSVPN 概述
为 LSVPN 创建接口和区域
在 GlobalProtect LSVPN 组件之间启用 SSL
关于证书部署
将服务器证书部署到 GlobalProtect LSVPN 组件
通过 SCEP 部署客户端证书到 GlobalProtect 卫星
配置门户以验证卫星
为 LSVPN 配置 GlobalProtect 网关
为 LSVPN 配置 GlobalProtect 门户
GlobalProtect 门户的 LSVPN 前提任务
配置门户
定义卫星配置
准备卫星加入 LSVPN
验证 LSVPN 配置
LSVPN 快速配置
基本 LSVPN 配置和静态路由
高级 LSVPN 配置和动态路由
使用 iBGP 进行高级 LSVPN 配置
networking(网络)
配置接口
旁接接口
虚拟线路接口
虚拟线路上的第 2 层和第 3 层数据包
虚拟线路接口的端口速度
虚拟线路上的 LLDP
虚拟线路的聚合接口
虚拟线路支持高可用性
虚拟线路接口的区域保护
VLAN 标记的流量
Virtual Wire 子接口
配置虚拟线路
第 2 层接口
不带 VLAN 的第 2 层接口
带 VLAN 的第 2 层接口
配置第 2 层接口
配置第 2 层接口、子接口和 VLAN
第 3 层接口
配置第 3 层接口
使用 NDP 管理 IPv6 主机
用于 DNS 配置的 IPv6 路由器通告
配置用于 IPv6 路由器通告的 RDNS 服务器和 DNS 搜索列表
NDP 监控
启用 NDP 监控
配置聚合接口组
使用接口管理概要文件限制访问
虚拟路由器
服务路由
静态路由
静态路由概述
基于路径监控删除静态路由
配置静态路由
为静态路由配置路径监控
RIP
OSPF
OSPF 概念
OSPFv3
OSPF 邻居
OSPF 区域
OSPF 路由器类型
配置 OSPF
配置 OSPFv3
配置 OSPF 平稳重启
确认 OSPF 运行
查看路由表
确认 OSPF 邻居
确认建立了 OSPF 连接
BGP
BGP 概述
MP-BGP
配置 BGP
为 IPv4 或 IPv 6 单播配置带 MP-BGP 的 BGP 对等设备
为 IPv4 多播配置带 MP-BGP 的 BGP 对等设备
BGP 联合
IP 多播
IGMP
PIM
最短路径树 (SPT) 和共享树
PIM 断言机制
反向路径转发
配置 IP 多播
查看 IP 多播信息
路由重新分发
DHCP
DHCP 概述
防火墙作为 DHCP 服务器和客户端
DHCP 消息
DHCP 寻址
DHCP 地址分配方法
DHCP 租借
DHCP 选项
预定义 DHCP 选项
DHCP 选项的多个值
DHCP 选项 43、55 和 60 以及其他自定义选项
将接口配置为 DHCP 服务器
将接口配置为 DHCP 客户端
将管理接口配置为 DHCP 客户端
将接口配置为 DHCP 中继代理
对 DHCP 进行监控和故障排除
查看 DHCP 服务器信息
清除 DHCP 租借
查看 DHCP 客户端信息
收集 DHCP 的相关调试输出
DNS
DNS 概述
DNS 代理对象
DNS 服务器配置文件
多租户 DNS 部署
配置 DNS 代理对象
配置 DNS 服务器配置文件
用例 1:出于管理目的,防火墙要求执行 DNS 解析
用例 2:ISP 租户使用 DNS 代理在其虚拟系统中对安全策略、报告和服务执行 DNS 解析。
用例 3:防火墙充当客户端和服务器之间的 DNS 代理
DNS 代理规则和 FQDN 匹配
NAT
NAT 策略规则
NAT 策略概述
已被标识为地址对象的 NAT 地址池
NAT 地址池的代理 ARP
源 NAT 和目标 NAT
源 NAT
目标 NAT
NAT 规则容量
动态 IP 和端口 NAT 超额订阅
数据面板 NAT 内存统计信息
配置 NAT
将内部客户端 IP 地址转换为公共 IP 地址(源 DIPP NAT)
使内部网络上的客户端能够访问公共服务器(目标 U-Turn NAT)
为面向公众的服务器启用双向地址转换(静态源 NAT)
使用动态 IP 地址配置目标 NAT
修改 DIPP NAT 的超额订阅率
为特定主机或接口禁用 NAT
保留动态 IP NAT 地址
NAT 配置示例
目标 NAT 示例 — 一对一映射
带有端口转换示例的目标 NAT
目标 NAT 示例 — 一对多映射
源和目标 NAT 示例
Virtual Wire 源 NAT 示例
Virtual Wire 静态 NAT 示例
Virtual Wire 目标 NAT 示例
NPTv6
NPTv6 概述
NPTv6 不提供安全保障
针对 NPTv6 的型号支持
唯一本地地址
使用 NPTv6 的理由
NPTv6 的运作方式
校验和中性映射
双向转换
应用于特定服务的 NPTv6
NDP 代理
NPTv6 和 NDP 代理示例
NPTv6 示例中的 ND 高速缓存
NPTv6 示例中的 NDP 代理
NPTv6 示例中的 NPTv6 转换
不会转换 ND 高速缓存中的邻居
创建 NPTv6 策略
NAT64
NAT64 概述
嵌入 IPv4 的 IPv6 地址
DNS64 服务器
路径 MTU 发现
IPv6 启动的通信
为 IPv6 启动的通信配置 NAT64
为 IPv4 启动的通信配置 NAT64
通过端口转换为 IPv4 启动的通信配置 NAT64
ECMP
ECMP 负载均衡算法
ECMP 型号、接口和 IP 路由支持
在虚拟路由器上配置 ECMP
为多个 BGP 自治系统启用 ECMP
验证 ECMP
LLDP
LLDP 概述
LLDP 内支持的 TLV
LLDP Syslog 消息和 SNMP 陷阱
配置 LLDP
查看 LLDP 设置和状态
清除 LLDP 统计信息
BFD
BFD 概述
BFD 模式、接口和客户端支持
BFD 不支持的 RFC 部件
用于静态路由的 BFD
BFD 用于静态路由协议
配置 BFD
参考资料:URL 详细信息
会话设置和超时
传输层会话
TCP
“TCP 半闭合”和“TCP 等待时间”计时器
“未验证的 RST”计时器
TCP 分离握手丢弃
最大分段大小 (MSS)
UDP
ICMP
基于 ICMP 和 ICMPv6 数据包的安全策略规则
ICMPv6 速率限制
控制特定 ICMP 或 ICMPv6 类型和代码
配置会话超时
配置会话设置
会话分发策略
会话分发策略说明
更改会话分发策略和查看统计信息
阻止 TCP 分离握手会话建立
隧道内容检测
隧道内容检测概述
配置隧道内容检测
查看已检测的隧道活动
查看日志中的隧道信息
基于标记的隧道流量创建自定义报告
策略
策略类型
安全策略
安全策略的组件规则
安全策略操作
创建安全策略规则
策略对象
安全配置文件
创建安全配置文件组
设置或替代默认安全配置文件组
枚举规则库中的规则
将策略规则或对象移动或克隆到不同的虚拟系统
使用标记分组并以可视方式区分对象
创建并应用标记
修改标记
使用标记浏览器
在策略中使用外部动态列表
外部动态列表
格式化外部动态列表方针
IP 地址列表
域列表
URL 列表
Palo Alto Networks 恶意 IP 地址馈送
将防火墙配置为访问外部动态列表
从 Web 服务器检索外部动态列表
查看外部动态列表条目
从外部动态列表中排除条目
在外部动态列表上实施策略
查找身份验证失败的外部动态列表
禁用外部动态列表的身份验证
动态注册 IP 地址和标记
监控虚拟环境中的变化
启用 VM 监控以跟踪虚拟网络上的更改
云平台虚拟机上受监控的属性
VMware ESXi
Amazon Web Services (AWS)
Microsoft Azure
Google
在策略中使用动态地址组
动态 IP 地址和标记的 CLI 命令
识别通过代理服务器连接的用户
为策略使用 XFF 值并记录源用户日志
使用 XFF 标头中的 IP 地址来对事件进行故障排查
基于策略的转发
PBF
Egress 路径和对称返回
用于 PBF 的路径监控
PBF 中的服务和应用程序
创建基于策略的转发规则
用例:采用双 ISP 的出站访问的 PBF
虚拟系统
虚拟系统概述
虚拟系统组件和分段
虚拟系统的优势
虚拟系统的用例
虚拟系统的平台支持和许可
虚拟系统的管理角色
虚拟系统的共享对象
虚拟系统之间的通信
必须离开防火墙的 VSYS 间流量
留在防火墙的 VSYS 间流量
外部区域
防火墙中流量的外部区域和安全策略
VSYS 间的通信使用两个会话
共享网关
外部区域和共享网关
共享网关的注意事项
配置虚拟系统
在防火墙中配置虚拟系统间通信
配置共享网关
自定义虚拟系统的服务路由
将服务路由自定义为虚拟系统的服务
将 PA-7000 系列防火墙配置为对每个虚拟系统进行记录
配置每个虚拟系统或防火墙的管理员访问权限
包含其他特征的虚拟系统功能
区域保护和 DoS 保护
使用区域进行网络分段
区域如何保护网络?
区域防御
区域防御工具
区域防御工具如何运行?
适用于 Dos 保护的防火墙布置
用于设置泛滥阈值的 CPS 基线测量
待执行的 CPS 测量
如何测量 CPS
区域保护配置文件
泛滥攻击保护
侦察保护
基于数据包的攻击保护
协议保护
数据包缓冲区保护
DoS 保护配置文件和策略规则
分类与聚合 DoS 保护
DoS 保护配置文件
DoS 保护策略规则
配置区域保护以提高网络安全性
配置侦察保护
配置基于数据包的攻击保护
配置协议保护
用例:第 2 层接口上安全区域之间的非 IP 协议保护
用例:第 2 层接口上安全区域内的非 IP 协议保护
配置数据包缓冲区保护
DoS 保护新会话不受泛滥攻击
多会话 DoS 攻击
单会话 DoS 攻击
针对新会话的泛滥攻击配置 DoS 保护
结束单会话 DoS 攻击
识别在包缓冲区中占太多百分比的会话
不提交丢弃会话
认证
启用 FIPS 和通用条件支持
访问维护恢复工具 (MRT)
将操作模式更改为 FIPS-CC 模式
FIPS-CC 安全功能
刷洗正在 FIPS-CC 模式下运行的防火墙或设备的交换内存
PAN-OS® 8.1 管理员指南
docs.paloaltonetworks.com
Contact Informaon
Corporate Headquarters:
Palo Alto Networks
3000 Tannery Way
Santa Clara, CA 95054
www.paloaltonetworks.com/company/contact-support
About the Documentaon
• To ensure you are viewing the most current version of this document, or to access related
documentaon, visit the Technical Documentaon portal: docs.paloaltonetworks.com.
• To search for a specific topic, go to our search page: docs.paloaltonetworks.com/search.html.
• Have feedback or quesons for us? Leave a comment on any page in the portal, or write to us at
documentaon@paloaltonetworks.com.
Copyright
Palo Alto Networks, Inc.
www.paloaltonetworks.com
© 2018-2019 Palo Alto Networks, Inc. Palo Alto Networks is a registered trademark of Palo
Alto Networks. A list of our trademarks can be found at www.paloaltonetworks.com/company/
trademarks.html. All other marks menoned herein may be trademarks of their respecve companies.
Last Revised
February 19, 2019
2 PAN-OS® 8.1 管理员指南 |
Table of Contents
入门指南.............................................................................................................. 17
将防火墙集成到管理网络.........................................................................................................................18
确定管理策略................................................................................................................................. 18
执行初始配置................................................................................................................................. 18
设置外部服务的网络访问权........................................................................................................22
注册防火墙.................................................................................................................................................. 25
创建新支持账户,并注册防火墙............................................................................................... 25
注册防火墙..................................................................................................................................... 27
激活许可证和订阅..................................................................................................................................... 29
安装内容和软件更新................................................................................................................................. 31
使用接口和区域对网络进行分段............................................................................................................34
减小攻击面的网络分段................................................................................................................ 34
配置接口和区域.............................................................................................................................34
设置基本安全策略..................................................................................................................................... 37
访问网络流量..............................................................................................................................................40
启用基本 WildFire 转发........................................................................................................................... 41
控制 Web 内容访问.................................................................................................................................. 43
启用 AutoFocus 威胁情报.......................................................................................................................45
完成防火墙部署的最佳实践.................................................................................................................... 46
确保管理员访问安全的最佳实践............................................................................................................47
防火墙管理..........................................................................................................53
管理接口...................................................................................................................................................... 54
使用 Web 界面...........................................................................................................................................55
启动 Web 界面..............................................................................................................................55
配置横幅、当日消息及徽标........................................................................................................55
使用管理员登录活动指标检测帐户不当使用.......................................................................... 57
管理和监控管理任务.................................................................................................................... 58
提交、验证和预览防火墙配置更改...........................................................................................59
导出配置表格数据.........................................................................................................................60
利用全局查找搜索防火墙或 Panorama 管理服务器............................................................. 61
管理配置更改限制锁.................................................................................................................... 62
管理配置备份..............................................................................................................................................64
保存并导出防火墙配置................................................................................................................ 64
还原防火墙配置更改.................................................................................................................... 65
管理防火墙管理员..................................................................................................................................... 67
管理角色类型................................................................................................................................. 67
配置管理角色配置文件................................................................................................................ 67
管理身份验证................................................................................................................................. 68
配置管理帐户和身份验证............................................................................................................69
参考资料:Web 界面管理员访问.......................................................................................................... 74
Web 界面访问权限.......................................................................................................................74
Panorama Web 界面访问权限.................................................................................................116
参考资料:端口码使用.......................................................................................................................... 119
用于管理功能的端口..................................................................................................................119
用于 HA 的端口..........................................................................................................................120
用于 Panorama 的端口............................................................................................................. 120
用于 GlobalProtect 的端口.......................................................................................................121
用于 User-ID 的端口................................................................................................................. 122
TABLE OF CONTENTS iii
将防火墙重置为出厂默认设置..............................................................................................................124
自举防火墙................................................................................................................................................125
USB 闪存盘支持......................................................................................................................... 125
init-cfg.txt 样本文件.................................................................................................................. 126
为防火墙自举准备 USB 闪存盘...............................................................................................127
使用 USB 闪存盘自举防火墙...................................................................................................129
身份验证............................................................................................................131
身份验证类型........................................................................................................................................... 132
外部身份验证服务...................................................................................................................... 132
多重因素身份验证...................................................................................................................... 132
SAML.............................................................................................................................................133
Kerberos....................................................................................................................................... 134
TACACS+......................................................................................................................................134
RADIUS.........................................................................................................................................135
LDAP............................................................................................................................................. 136
本地身份验证...............................................................................................................................136
计划您的身份验证部署.......................................................................................................................... 137
配置多重因素身份验证.......................................................................................................................... 138
在 RSA SecurID 和防火墙之间配置 MFA............................................................................. 141
在 Okta 和防火墙之间配置 MFA............................................................................................147
在 Duo 和防火墙之间配置 MFA.............................................................................................157
配置 SAML 身份验证............................................................................................................................. 165
配置 Kerberos 单一登入........................................................................................................................168
配置 Kerberos 服务器身份验证........................................................................................................... 169
配置 TACACS+ 身份验证...................................................................................................................... 170
配置 RADIUS 身份验证......................................................................................................................... 172
配置 LDAP 身份验证..............................................................................................................................175
身份验证服务器连接超时...................................................................................................................... 176
设置身份验证服务器超时的原则.............................................................................................176
修改 PAN-OS Web 服务器超时..............................................................................................177
修改强制网络门户会话超时..................................................................................................... 177
配置本地数据库身份验证...................................................................................................................... 178
配置身份验证配置文件和序列..............................................................................................................179
测试身份验证服务器连接...................................................................................................................... 181
身份验证策略........................................................................................................................................... 183
身份验证时间戳.......................................................................................................................... 183
配置身份验证策略...................................................................................................................... 183
身份验证问题故障排除.......................................................................................................................... 186
证书管理............................................................................................................189
密钥和证书................................................................................................................................................190
默认可信证书颁发机构(CA)...................................................................................................................192
证书撤消....................................................................................................................................................193
证书吊销列表 (CRL)................................................................................................................... 193
在线证书状态协议 (OCSP)........................................................................................................193
证书部署....................................................................................................................................................195
设置证书吊销状态验证.......................................................................................................................... 196
配置 OCSP 响应者.....................................................................................................................196
配置证书吊销状态验证..............................................................................................................197
配置用于 SSL/TLS 解密的证书吊销状态验证...................................................................... 197
配置主密钥................................................................................................................................................199
iv TABLE OF CONTENTS
获取证书....................................................................................................................................................200
创建自签名根 CA 证书..............................................................................................................200
生成证书....................................................................................................................................... 200
导入证书和私钥.......................................................................................................................... 202
从外部 CA 获取证书..................................................................................................................203
使用 SCEP 部署证书..................................................................................................................204
导出证书和私钥....................................................................................................................................... 207
配置证书配置文件...................................................................................................................................208
配置 SSL/TLS 服务配置文件................................................................................................................ 210
入站流量管理之证书替换...................................................................................................................... 211
配置 SSL 转发代理服务器证书的密钥大小........................................................................................212
吊销和续订证书....................................................................................................................................... 213
吊销证书....................................................................................................................................... 213
续订证书....................................................................................................................................... 213
安全密钥与硬件安全模块...................................................................................................................... 214
建立与 HSM 的连接.................................................................................................................. 214
使用 HSM 加密主密钥.............................................................................................................. 218
在 HSM 上存储私钥.................................................................................................................. 219
管理 HSM 部署...........................................................................................................................220
高可用性............................................................................................................223
HA 概述.....................................................................................................................................................224
HA 概念.....................................................................................................................................................225
HA 模式........................................................................................................................................225
HA 链路和备份链路...................................................................................................................226
设备优先级和抢先...................................................................................................................... 229
故障转移....................................................................................................................................... 229
主动/被动 HA 的 LACP 及 LLDP 预先协商......................................................................... 230
浮动 IP 地址和虚拟 MAC 地址...............................................................................................230
ARP 加载共享..............................................................................................................................231
基于路由的冗余.......................................................................................................................... 233
高可用性计时器.......................................................................................................................... 234
会话所有者...................................................................................................................................235
会话设置....................................................................................................................................... 236
处于主动/主动模式的 NAT......................................................................................................237
处于主动/主动 HA 模式的 ECMP.......................................................................................... 238
设置主动/被动 HA..................................................................................................................................239
主动/被动 HA 的先决条件....................................................................................................... 239
主动/被动 HA 的配置原则....................................................................................................... 239
配置主动/被动 HA..................................................................................................................... 241
定义 HA 故障转移条件............................................................................................................. 245
验证故障转移...............................................................................................................................246
设置主动/主动 HA..................................................................................................................................247
主动/主动 HA 的先决条件....................................................................................................... 247
配置主动/主动 HA..................................................................................................................... 247
确定主动/主动用例.................................................................................................................... 252
HA 防火墙状态........................................................................................................................................265
参考资料:高可用性同步...................................................................................................................... 267
哪些设置不会在主动/被动 HA 中同步?..............................................................................267
哪些设置不会在主动/主动 HA 中同步?..............................................................................269
系统运行时信息同步..................................................................................................................272
TABLE OF CONTENTS v
监控.................................................................................................................... 275
使用仪表板................................................................................................................................................276
使用应用程序命令中心.......................................................................................................................... 277
ACC—第一印象.......................................................................................................................... 277
ACC 选项卡................................................................................................................................. 279
ACC 小部件................................................................................................................................. 279
小部件说明...................................................................................................................................281
ACC 筛选器................................................................................................................................. 284
与 ACC 交互................................................................................................................................285
用例:ACC — 信息发现路径.................................................................................................. 288
使用 App-Scope 报告............................................................................................................................ 294
摘要报告....................................................................................................................................... 294
异动监控报告...............................................................................................................................294
威胁监控报告...............................................................................................................................295
威胁地图报告...............................................................................................................................296
网络监控报告...............................................................................................................................297
通信地图报告...............................................................................................................................298
使用自动关联引擎...................................................................................................................................299
自动关联引擎概念...................................................................................................................... 299
查看关联项目...............................................................................................................................300
解释关联事件...............................................................................................................................300
使用 ACC 中的“受影响主机”小部件....................................................................................... 302
执行数据包捕获....................................................................................................................................... 303
数据包捕获类型.......................................................................................................................... 303
禁用硬件卸载...............................................................................................................................303
执行自定义数据包捕获..............................................................................................................304
执行威胁数据包捕获..................................................................................................................308
执行应用程序数据包捕获..........................................................................................................309
在管理接口上执行数据包捕获.................................................................................................312
监视应用程序和威胁...............................................................................................................................314
查看和管理日志....................................................................................................................................... 315
日志类型和严重性级别..............................................................................................................315
查看日志....................................................................................................................................... 319
过滤日志....................................................................................................................................... 320
导出日志....................................................................................................................................... 321
配置日志存储配额和过期期限.................................................................................................321
计划将日志导出至 SCP 或 FTP 服务器.................................................................................321
监控阻止列表........................................................................................................................................... 323
查看和管理报告....................................................................................................................................... 324
报告类型....................................................................................................................................... 324
查看报告....................................................................................................................................... 324
配置报告的过期期限和运行时间.............................................................................................325
禁用预定义的报告...................................................................................................................... 325
自定义报告...................................................................................................................................325
生成定制报告...............................................................................................................................327
生成 Botnet 报告........................................................................................................................330
生成 SaaS 应用程序使用情况报告..........................................................................................331
管理 PDF 摘要报告....................................................................................................................333
生成用户/组活动报告................................................................................................................ 335
管理报告组...................................................................................................................................336
计划通过电子邮件传递的报告.................................................................................................337
查看策略规则使用情况.......................................................................................................................... 338
vi TABLE OF CONTENTS
使用外部服务进行监控.......................................................................................................................... 339
配置日志转发........................................................................................................................................... 340
配置电子邮件警报...................................................................................................................................343
使用 Syslog 进行监控.............................................................................................................................344
配置 Syslog 监控........................................................................................................................ 344
Syslog 字段说明..........................................................................................................................346
SNMP 监控和陷阱.................................................................................................................................. 375
SNMP 支持.................................................................................................................................. 375
使用 SNMP 管理器浏览 MIB 和对象.................................................................................... 376
为防火墙保护的网元启用 SNMP 服务.................................................................................. 378
使用 SNMP 监控统计信息....................................................................................................... 379
将陷阱转发至 SNMP 管理器................................................................................................... 380
支持的 MIB..................................................................................................................................381
将日志转发到 HTTP(S) 目标.................................................................................................................388
NetFlow 监控...........................................................................................................................................391
配置 NetFlow 导出.................................................................................................................... 391
NetFlow 模板.............................................................................................................................. 392
SNMP 管理器和 NetFlow 收集器中的防火墙接口标识符.............................................................397
增强 Palo Alto Networks 云服务的应用日志................................................................................... 399
User-ID..............................................................................................................401
User-ID 概述............................................................................................................................................ 402
User-ID 概念............................................................................................................................................ 403
组映射........................................................................................................................................... 403
用户映射....................................................................................................................................... 403
启用 User-ID............................................................................................................................................ 407
将用户映射到组....................................................................................................................................... 410
将 IP 地址映射到用户............................................................................................................................ 414
为 User-ID 代理创建专用服务帐户........................................................................................ 414
使用 Windows User-ID 代理配置用户映射..........................................................................416
使用 PAN-OS 集成的 User-ID 代理来配置用户映射..........................................................425
配置 User-ID 以监控用户映射的 Syslog 发件人..................................................................427
使用强制网络门户将 IP 地址映射到用户名..........................................................................435
为终端服务器用户配置用户映射.............................................................................................439
使用 XML API 将用户映射发送到 User-ID.......................................................................... 446
启用基于用户和基于组的策略..............................................................................................................447
为具有多个帐户的用户启用策略..........................................................................................................448
验证用户标识配置...................................................................................................................................450
在大规模网络中部署 User-ID...............................................................................................................452
为大量映射信息源部署 User-ID..............................................................................................452
重新分发用户映射和身份验证时间戳.................................................................................... 455
App-ID...............................................................................................................459
App-ID 概述............................................................................................................................................. 460
管理自定义应用程序或未知应用程序.................................................................................................461
管理新建和修改过的 App-ID................................................................................................................462
最佳工作流程包含新的和修改过的 App-ID..........................................................................462
请参阅内容发布中新建和修改过的 App-ID..........................................................................463
请参阅新的和修改过的 App-ID 如何影响您的安全策略................................................... 464
确保允许新的关键 App-ID....................................................................................................... 464
监控新的 App-ID........................................................................................................................ 465
禁用或启用 App-ID....................................................................................................................466
TABLE OF CONTENTS vii
在策略中使用应用程序对象..................................................................................................................468
创建应用程序组.......................................................................................................................... 468
创建应用程序筛选器..................................................................................................................468
创建定制应用程序...................................................................................................................... 469
应用程序与隐式支持...............................................................................................................................473
应用层网关................................................................................................................................................476
禁用 SIP 应用层网关 (ALG)...................................................................................................................477
使用 HTTP 标头管理 SaaS 应用程序访问.........................................................................................479
了解 SaaS 自定义标头...............................................................................................................479
预定义 SaaS 应用程序类型使用的域......................................................................................480
使用预定义类型创建 HTTP 标头插入条目........................................................................... 481
创建自定义 HTTP 标头插入条目............................................................................................481
保留数据中心应用程序的自定义超时.................................................................................................483
威胁阻止............................................................................................................485
设置防病毒威胁、防间谍软件和漏洞保护.........................................................................................486
创建威胁异常........................................................................................................................................... 489
设置数据筛选........................................................................................................................................... 491
设置文件阻止........................................................................................................................................... 493
应用程序和威胁内容更新...................................................................................................................... 495
部署应用程序和威胁内容更新.................................................................................................495
内容更新提示...............................................................................................................................496
内容交付网络基础架构..............................................................................................................497
应用程序和威胁内容更新的最佳实践.................................................................................................499
内容更新的最佳实践——任务关键型.................................................................................... 499
内容更新的最佳实践 ——安全第一....................................................................................... 502
防止网络免遭第 4 层和第 7 层逃避的最佳实践.............................................................................. 505
防止暴力攻击........................................................................................................................................... 511
自定义暴力签名的操作和触发条件..................................................................................................... 512
启用规避签名........................................................................................................................................... 515
预防凭证网络钓鱼...................................................................................................................................516
检查公司凭据提交的方法..........................................................................................................516
使用基于 Windows 的 User-ID 代理配置凭据检测............................................................517
设置凭据网络钓鱼防护..............................................................................................................519
使用 DNS 查询来确定网络上受感染的主机......................................................................................522
DNS 黑洞..................................................................................................................................... 522
为自定义域列表配置 DNS Sinkholing................................................................................... 523
将 Sinkholing IP 地址配置为网络上的本地服务器..............................................................524
确定受感染主机.......................................................................................................................... 527
监控阻止 IP 列表.....................................................................................................................................529
进一步了解和评估威胁.......................................................................................................................... 531
使用 AutoFocus 评估防火墙构件........................................................................................... 531
进一步了解威胁签名..................................................................................................................534
监控活动并根据威胁类别创建自定义报告............................................................................537
与 Palo Alto Networks 共享威胁情报................................................................................................539
防火墙收集哪些遥测数据?..................................................................................................... 539
被动 DNS 监控........................................................................................................................... 540
启用遥测....................................................................................................................................... 540
自定义签名................................................................................................................................................543
威胁签名....................................................................................................................................................544
威胁阻止资源........................................................................................................................................... 549
viii TABLE OF CONTENTS
相关推荐
2023年江西萍乡中考道德与法治真题及答案.doc
2012年重庆南川中考生物真题及答案.doc
2013年江西师范大学地理学综合及文艺理论基础考研真题.doc
2020年四川甘孜小升初语文真题及答案I卷.doc
2020年注册岩土工程师专业基础考试真题及答案.doc
2023-2024学年福建省厦门市九年级上学期数学月考试题及答案.doc
2021-2022学年辽宁省沈阳市大东区九年级上学期语文期末试题及答案.doc
2022-2023学年北京东城区初三第一学期物理期末试卷及答案.doc
2018上半年江西教师资格初中地理学科知识与教学能力真题及答案.doc
2012年河北国家公务员申论考试真题及答案-省级.doc
2020-2021学年江苏省扬州市江都区邵樊片九年级上学期数学第一次质量检测试题及答案.doc
2022下半年黑龙江教师资格证中学综合素质真题及答案.doc
