Thực hiện cấu hình ban đầu tường lửa Palo Alto

Tác giả Security+, T.Ba 18, 2024, 05:43:58 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Thực hiện cấu hình ban đầu tường lửa Palo Alto


Theo mặc định, tường lửa PA-Series có địa chỉ IP là 192.168.1.1 và tên người dùng/mật khẩu của quản trị viên/quản trị viên. Vì lý do bảo mật, bạn phải thay đổi các cài đặt này trước khi tiếp tục các tác vụ cấu hình tường lửa khác.

Bạn phải thực hiện các tác vụ cấu hình ban đầu này từ giao diện MGT, ngay cả khi bạn không định sử dụng giao diện này để quản lý tường lửa của mình hoặc sử dụng kết nối nối tiếp trực tiếp tới cổng console trên tường lửa.

Bước 1: Cài đặt tường lửa của bạn và kết nối nguồn với nó.

Nếu mô hình tường lửa của bạn có nguồn điện kép, hãy kết nối nguồn điện thứ hai để dự phòng. Tham khảo hướng dẫn tham khảo phần cứng cho model của bạn để biết chi tiết.

Bước 2: Thu thập thông tin cần thiết từ quản trị viên mạng của bạn.

  • Địa chỉ IP cho cổng MGT
  • Mặt nạ mạng
  • Gateway mặc định
  • Địa chỉ máy chủ DNS

Bước 3: Kết nối máy tính của bạn với tường lửa.

Bạn có thể kết nối với tường lửa theo một trong những cách sau:

  • Kết nối cáp nối tiếp từ máy tính của bạn với cổng Console và kết nối với tường lửa bằng phần mềm mô phỏng thiết bị đầu cuối (9600-8-N-1). Đợi vài phút để quá trình khởi động hoàn tất; khi tường lửa sẵn sàng, lời nhắc sẽ thay đổi thành tên của tường lửa, chẳng hạn Đăng nhập PA-220.
  • Kết nối cáp Ethernet RJ-45 từ máy tính của bạn với cổng MGT trên tường lửa. Từ trình duyệt, hãy truy cập   Đăng nhập để xem liên kết.

Bạn có thể cần thay đổi địa chỉ IP trên máy tính của mình thành địa chỉ trong mạng 192.168.1.0/24, chẳng hạn như 192.168.1.2, để truy cập URL này.

Bước 4: Khi được nhắc, hãy đăng nhập vào tường lửa.

Bạn phải đăng nhập bằng tên người dùng và mật khẩu mặc định (admin/admin). Tường lửa sẽ bắt đầu khởi tạo.

Bước 5: Đặt tên người dùng và mật khẩu an toàn cho tài khoản quản trị viên.

Bắt đầu với PAN-OS 9.0.4, mật khẩu quản trị viên mặc định, được xác định trước (quản trị viên) phải được thay đổi trong lần đăng nhập đầu tiên trên thiết bị. Mật khẩu mới phải có tối thiểu tám ký tự và bao gồm tối thiểu một ký tự chữ thường và một ký tự viết hoa, cũng như một số hoặc ký tự đặc biệt. Mặc dù bạn không phải định cấu hình tên người dùng mới nhưng cách tốt nhất là làm như vậy và sử dụng tên người dùng cũng như mật khẩu duy nhất cho mỗi quản trị viên.

Bắt đầu với PAN-OS 10.2, thông tin đăng nhập phải bao gồm ít nhất một ký tự hoặc ký hiệu chữ cái (dấu gạch dưới, dấu chấm hoặc dấu gạch nối, mặc dù dấu gạch nối không thể là ký tự đầu tiên trong tên người dùng) và không thể chỉ là số.

Hãy đảm bảo sử dụng các phương pháp hay nhất về độ mạnh của mật khẩu để đảm bảo mật khẩu nghiêm ngặt và xem lại cài đặt độ phức tạp của mật khẩu.

  • Lựa chọn Device > Administrators.
  • Chọn vai trò admin.
  • Nhập mật khẩu mặc định hiện tại và mật khẩu mới.


  • Nhấp chuột OK để lưu cài đặt của bạn.
   
Bước 6: Cấu hình giao diện MGT.

Lựa chọn Device > Setup > Interfaces và chỉnh sửa giao diện Management.
Định cấu hình cài đặt địa chỉ cho giao diện MGT bằng một trong các phương pháp sau:

  • Để định cấu hình cài đặt địa chỉ IP tĩnh cho giao diện MGT, hãy đặt IP Type đến Static và nhập IP Address, Netmask, Và Default Gateway.
  • Để cấu hình động các cài đặt địa chỉ giao diện MGT, hãy đặt IP Type đến DHCP Client. Để sử dụng phương pháp này, bạn phải Cấu hình Management Interface as a DHCP Client.

Để ngăn chặn truy cập trái phép vào giao diện quản lý, cách tốt nhất về quản trị là Add vào Permitted IP Addresses từ đó quản trị viên có thể truy cập vào giao diện MGT.

Đặt Speed đến auto-negotiate.

Chọn dịch vụ quản lý nào sẽ cho phép trên giao diện. Bảo đảm Telnet Và HTTP không được chọn vì các dịch vụ này sử dụng văn bản gốc và không an toàn như các dịch vụ khác và có thể xâm phạm thông tin xác thực của quản trị viên.


Nhấp chuột OK.

Bước 7: Định cấu hình cài đặt DNS, máy chủ cập nhật và máy chủ proxy.

Bạn phải cấu hình thủ công ít nhất một máy chủ DNS trên tường lửa nếu không nó sẽ không thể phân giải tên máy chủ; nó sẽ không sử dụng cài đặt máy chủ DNS từ nguồn khác, chẳng hạn như ISP.

Lựa chọn Thiết bị > Cài đặt > Dịch vụ.

  • Đối với nền tảng hệ thống đa ảo, chọn Global và chỉnh sửa phần Dịch vụ.
  • Đối với các nền tảng hệ thống ảo đơn lẻ, hãy chỉnh sửa phần Dịch vụ.

Trên tab Services, cho DNS, Lựa chọn một trong những thứ sau:

Servers —Nhập địa chỉ Primary DNS Server và Địa chỉ Secondary DNS Server.
DNS Proxy Object —Từ trình đơn thả xuống, hãy chọn Proxy DNS mà bạn muốn sử dụng để định cấu hình các dịch vụ DNS toàn cầu hoặc nhấp vào Proxy DNS để cấu hình một đối tượng proxy DNS mới.


Nhấp chuột OK.

Bước 8: Định cấu hình cài đặt ngày và giờ (NTP).

Lựa chọn Device > Setup > Services.

  • Đối với nền tảng hệ thống đa ảo, chọn Toàn cầu và chỉnh sửa phần Dịch vụ.
  • Đối với các nền tảng hệ thống ảo đơn lẻ, hãy chỉnh sửa phần Dịch vụ.

Trên NTP tab, để sử dụng cụm máy chủ thời gian ảo trên Internet, hãy nhập tên máy chủ   Đăng nhập để xem liên kết như Máy chủ NTP chính hoặc nhập địa chỉ IP của máy chủ NTP chính của bạn.


(Không bắt buộc) Nhập Máy chủ NTP phụ Địa chỉ.
(Không bắt buộc) Để xác thực cập nhật thời gian từ (các) máy chủ NTP, đối với Loại xác thực, hãy chọn một trong các tùy chọn sau cho mỗi máy chủ:

Không có —(Mặc định) Tắt xác thực NTP.
Khóa đối xứng —Tường lửa sử dụng trao đổi khóa đối xứng (bí mật chung) để xác thực cập nhật thời gian.

  • ID khóa —Nhập ID khóa (1-65534).
  • Thuật toán —Chọn thuật toán để sử dụng trong xác thực NTP (MD5hoặc SHA1).

Chìa khóa tự động —Tường lửa sử dụng khóa tự động (mật mã khóa công khai) để xác thực cập nhật thời gian.

Nhấp chuột OK.

Bước 9: (Không bắt buộc) Định cấu hình cài đặt tường lửa chung nếu cần.

  • Lựa chọn Thiết bị. Cài đặt > Sự quản lý và chỉnh sửa Cài đặt chung.
  • Nhập Tên máy chủ cho tường lửa và vào mạng của bạn Lãnh địa tên. Tên miền chỉ là nhãn hiệu; nó sẽ không được sử dụng để tham gia miền.
  • Đi vào Biểu ngữ đăng nhập văn bản thông báo cho người dùng sắp đăng nhập rằng họ yêu cầu ủy quyền để truy cập các chức năng quản lý tường lửa. Cách tốt nhất là tránh sử dụng lối nói dài dòng chào đón. Ngoài ra, bạn nên yêu cầu bộ phận pháp lý của mình xem lại thông báo biểu ngữ để đảm bảo thông báo đó cảnh báo đầy đủ rằng việc truy cập trái phép bị cấm.
  • Nhập Vĩ độ Và Kinh độ để cho phép đặt chính xác tường lửa trên bản đồ thế giới.
  • Nhấp chuột OK.

Bước 10:Cam kết thay đổi của bạn.

  • Khi thay đổi cấu hình được lưu, bạn sẽ mất kết nối với giao diện web vì địa chỉ IP đã thay đổi.
  • Nhấp chuột Làm ở phía trên bên phải của giao diện web. Tường lửa có thể mất tới 90 giây để lưu các thay đổi của bạn.

Bước 11: Kết nối tường lửa với mạng của bạn.

  • Ngắt kết nối tường lửa khỏi máy tính của bạn.
  • (Tất cả tường lửa ngoại trừ PA-5450) Kết nối cổng MGT với cổng chuyển đổi trên mạng quản lý của bạn bằng cáp Ethernet RJ-45. Đảm bảo rằng cổng chuyển đổi mà bạn kết nối tường lửa được định cấu hình để tự động đàm phán.
  • (Chỉ PA-5450) Kết nối cổng MGT với cổng chuyển mạch trên mạng quản lý của bạn bằng cáp và bộ thu phát SFP/SFP+ được chứng nhận của Palo Alto Networks.

Bước 12: Mở phiên quản lý SSH tới tường lửa.

  • Sử dụng phần mềm mô phỏng thiết bị đầu cuối, chẳng hạn như PuTTY, khởi chạy phiên SSH tới tường lửa bằng địa chỉ IP mới mà bạn đã gán cho nó.

Bước 13: Xác minh quyền truy cập mạng vào các dịch vụ bên ngoài cần thiết để quản lý tường lửa, chẳng hạn như Máy chủ cập nhật mạng Palo Alto.

Bạn có thể thực hiện việc này theo một trong những cách sau:

  • Nếu không muốn cho phép mạng bên ngoài truy cập vào giao diện MGT, bạn sẽ cần thiết lập cổng dữ liệu để truy xuất các bản cập nhật dịch vụ cần thiết. Tiếp tục thiết lập quyền truy cập mạng cho các dịch vụ bên ngoài.
  • Nếu bạn định cho phép mạng bên ngoài truy cập vào giao diện MGT, hãy xác minh rằng bạn có kết nối và sau đó tiến hành Đăng ký Tường lửa và Kích hoạt Giấy phép Đăng ký.

Sử dụng kiểm tra kết nối máy chủ cập nhật để xác minh kết nối mạng với máy chủ Cập nhật Mạng Palo Alto như trong ví dụ sau:

  • Lựa chọn Thiết bị > Xử lý sự cố và chọn Cập nhật kết nối máy chủ từ trình đơn thả xuống Chọn Kiểm tra.
  • Execute kiểm tra kết nối máy chủ cập nhật.


Sử dụng lệnh CLI sau để truy xuất thông tin về quyền hỗ trợ cho tường lửa từ máy chủ cập nhật Palo Alto Networks:

Mã nguồn [Chọn]
request support
check

Nếu bạn có kết nối, máy chủ cập nhật sẽ phản hồi với trạng thái hỗ trợ cho tường lửa của bạn. Nếu tường lửa của bạn chưa được đăng ký, máy chủ cập nhật sẽ trả về thông báo sau:

Mã nguồn [Chọn]
Contact Us

https://www.paloaltonetworks.com/company/contact-us.html

Support Home

https://www.paloaltonetworks.com/support/tabs/overview.html

Device not found on this update server