Palo Alto PA-200 基本設定手冊

網路架構說明:
ADSL 為撥接式 PPPOE，由於要讓在外面的筆電可以透過 VPN 連回公司內部作業，(在 Palo Alto 中，
並沒有所謂的 SSL VPN，它們叫做 global protect VPN)，因此，我們需要去申請一組固定 IP 做為未來
讓外面的使用者可以連線回來的 IP(申請方式請自行上網查詢)

在此範例中，我把網路介面的定義如下
Ethernet1/1 作為 WAN 端，利用 PPPOE 帶固定 IP 的方式撥接上網
帳號 XXXXXXX@ip.hinet.net 密碼 : xxxxxxx

Ethernet1/2-1/3 作為 LAN，因為該設備是 interface port 的關係，所以，我利用 VLAN 的概念將這兩個

Interface 綁再一起，將這個 VLAN 設為 192.168.1.1/24，並在這個 VLAN 裡，利用機器本身的 DHCP 功
能來發 Lan 網段的 IP。

Ethernet1/4 則拿來做 DMZ 區，一樣透 VLAN 的方式來設定

網路架構圖

基本設定
拿到設備後，我們要利用機器本身上的 MGT 來做連線(原廠預設為 https://192.168.1.1 帳號/密碼皆
為 admin )，我們要將 MGT 的 IP 換成 192.168.1.2(因為 192.168.1.1 要用來做 LAN 的 IP)，將 NB 的 IP
改為 192.168.1.3/24，透過瀏覽器連到 192.168.1.1 登入後修改 MGT 相關資訊，在這要注意一點，
MGT 中的 GATEWAY 一定要設定，因為，PALOALTO 的韌體更新是夠過 MGT PORT 來更新的，如果沒
設定 GATEWAY 或是接上實體線路，到時候會無法更新。
在此時的線路要直接把 NB 的網路線接到 MGT 上，其他的 port 都不要接網路線，不然會有連不到
PA-200 的問題
1. 從 Device -> Setup -> Management -> Management Interface Settings 右上角編輯去修改 IP

2. 接下來要修改時區跟地區，從 Device -> Setup -> Management - > General Settings 右上角編輯去修
改 -> 確定

3. 設定 MGT 的 DNS Server 及 NTP Server

Device -> Setup -> Management - > Service -> 修改
 NTP Server

4. 修改管理員密碼
Device -> Administrator -> Admin

5. 做完基本設定之後，我們要將原廠預設的一些設定刪除，以利於我們做後續。
Policies -> Security -> 點選 rule1 -> 刪除
6. 接著要刪除地區(Zone)，從 Network -> 地區(Zone) -> 勾選要刪除的地區(Zone) -> 刪除

7. 接著要刪除 Virtual Wires，從 Network -> Virtual Wires -> 點選 default-vwire ->刪除
8. 完成以上的刪除後，就可以將剛剛做的寫入韌體裡了
9. 因為已經修改過 MGT 的 IP 位置了，所以，這時必須把瀏覽器的網址改為 https://192.168.1.2 才
有辦法登入

再繼續設定之前，先提供我在 Object 中建立的一些 Address 物件，先了解一下，對於後面的設定

會有幫助，除了外部的真實 IP 不同以外，其餘的僅供參考!
PPPOE 撥接設定及 LAN 端設定
參考文件: https://live.paloaltonetworks.com/t5/Configuration-Articles/Setting-Up-the-PA-200-for-Home-
and-Small-Office/ta-p/61838
接下來我們要先 PPPoE 的撥接設定，我選定用 Ethernet 1/1 當 WAN，因此，我們要先建立三個地區
(Zone)以利於進行後續
1. Network -> Zone -> Add，三個 Zone 的設定如圖，不再說明
Name: Untrust-L3
Type: Layer3

Name: Trust-L3
Type: Layer3
Name: Trust-L2
Type: Layer2
2. 接下來，把 ADSL 的線路接到 PA-200 的 Ethernet1/1 上，做 PPPOE 的撥接設定。
從 Network -> Interface -> Ethernet -> 點選 ethernet1/1，將其內容修改為如圖
在設定頁面

在 IPv4 頁面

在 IPv4 中的進階頁面
 在這個 IPv4 裡的 PPPOE 中的帳號跟密碼我要特別說明一下，建議先用 86384070@hinet.net 去設
定，密碼不能有特殊符號，等到 PPPOE 撥接設定階段做完後，在回來修改，後面會在提到要如
何設定 PPPOE 的固定 IP，不然會一直出現 ethernet1/1 是無效的字串訊息。
3. 接下來要做的 LAN 的設定，我們要把 Ethernet1/2 & 1/3 兩個綁在一起，因此，我們要先建立 L2
的 VLAN 物件，作為 Switch 用，從 Network -> VLANs -> Add，並修改如下圖

4. 設定 ethernet1/2 & ethernet1/3 所屬的 VLAN 物件及 Zone

Network -> Interface -> ethernet1/2 及 ethernet1/3，設定如圖
5. 設定 VLAN Interface
Network -> Interfaces -> VLAN ->點選 vlan 並修改如圖
在設定的頁面

在 IPv4 頁面，必須設定一組固定 IP 使用
在 Advance 進階頁面，新增一個管理設定檔，方便日後管理防火牆，這個的設定跟 MGT 是一樣
的意思，預設的情況下，只能透過 MGT 管理 PA-200，做這個設定之後，以後可以透過 LAN 端的
IP 來管理防火牆
6. LAN 端的 DHCP Server 設定
Network -> DHCP -> DHCP Server-> Add

7. 定義 Security Profile Group(中文叫做 安全配置文件組)

Objects -> Security Profile Group (安全配置文件組)-> Add
8. 設定對外的安全性原則
Policies -> Security(安全性規則) -> Add
9. 設定 Lan To Wan 的 NAT 設定
Policies -> NAT -> Add
10. 以上已經完成基本的設定，記得要寫入設定檔才會生效
 如果有出現以上訊息的畫面，主要是跟你說你所購買的產品裡，並沒有有效的網址過濾的授權而
已（可能是沒有買的關係），但是你可以看到 Commit 的結果是確定的成功的！
11. 線路調整
此時，需要將實體的線路做一下調整，在我的環境下，我是把電腦直接接到 MGT 上，為了要測
試設定是否正確，因此，我要在 PA-200 下層增加一台 Hub，讓 MGT 跟 LAN 都可以上網，線路接
法如下
Ethernet 1/1 to ATU-R
Ethernet 1/2 to Hub(Switch)
Ethernet 1/3 不接
Ethernet 1/4 暫時不接(要設定 DMZ 用)
MGT to Hub(Switch)
然後把電腦的 IP 改回自動取得 IP，應該就可以上網了。
12. 如何確認 PPPoE 現在上網的 IP 及 MGT 的網路是可以通的?
可以透過瀏覽器登入到 192.168.1.2 或是 192.168.1.1（理論上這兩個 ip 你應該都可以連的到，
如果連不到就要檢查在前面的步驟是哪裡做錯或是漏了？）
登入之後，到
Network -> Interface -> 點選 ethernet1/1 後面的 Dynamic-PPPoE(綠色的)就會顯示如下的訊息

再來確認 MGT port 是否可以連線

Device -> Software -> 這時候右邊中間的畫面是空白的 ->點選下方的立即檢查
會跳出連線中的畫面

如果連線正常就會有版本更新的清單，PA-200 根據代理商表示，不建議更新到 7.X 版，因為會變

得很慢…
修改 PPPoE 帶固定 IP 設定
由於此範例要用 Global Protect(SSL VPN)，要讓在公司以外的員工可以透過 Global Protect 連線回公
司，因此，我們需要一個固定 IP，中華電信的 7+1 的固定 IP 請自行上網查詢，不再說明
此範例所申請到的固定 IP 為 114.32.229.72
透過瀏覽器連到 PA-200 (192.168.1.1 或是 192.168.1.2)
Network -> Interface -> Ethernet -> Ethernet 1/1 -> IPv4 -> General 頁面中，把原先的帳號加上 ip.

在 IPv4 中的 Advance 進階頁面，新增 Static Address

修改過後會變這樣

然後把剛剛修改的設定寫入(Commit)到系統裡，才會生效
確認方式：Network -> Interface -> Ethernet -> ethernet1/1 後面的 Dynamic-PPPoE 就會跳出一個目前
的 IP 相關資訊
Global Protect(SSL VPN)設定
參考文件：https://www.youtube.com/watch?v=bSa2K0QK8BY
1. 首先，我們要建立 VPN 的使用者帳號
Device -> Local User Database -> User -> Add

2. 建立 Authentication Profile(驗證設定檔)
Device -> Authentication Profile -> Add
3. 建立 VPN Tunnel
Network -> Interfaces -> Tunnel -> Add

4. 建立 Global Protect Gateway(步驟 4~8 都是在建立 Global Protect Gateway)

Network -> Global Protect -> Gateways -> Add
在 General 頁面
Name : RA-VPN-GW
Interface : Ethernet1/1
IP Address : 輸入外部 IP(圖中的 Ext IP 是接續 PPPoE 帶固定 IP 的設定而來的)
在 Server Certificate 的部份要點選 Generate
5. 跳出憑證視窗的設定，Common Name 中要輸入外部 IP

6. 回到 Global Protect Gateway 中的 General 頁面

畫面中的 Authentication Profile 要選 LOCAL
7. 接上一個步驟，在點選左邊的 Client Configuration -> Tunnel Settings -> 勾選 Tunnel Mode -> Tunnel
Interface 選 tunnel.1，設定如下圖

8. 接上一個步驟，在 Client Configuration -> Network Settings，這是外部 USER 連進 VPN 後，所取的

IP 設定，如下圖
Primary DNS 8.8.8.8
Secondary DNS 8.8.4.4
IP Pool(VPN DHCP Server) 10.0.0.1-10.0.0.20
Access Route(可以連到哪個內部網段) 192.168.1.0/24
9. 回到 GlobalProtect Gateway 清單畫面

10. 建立 Global Protect Portal

Network -> Global Protect -> Portal -> Add
在 GlobalProtect Portal 的 Portal Configuration
Name: GP-Portal
Interface: Ethernet1/1
IP Address: 選外部 IP(Ext IP，指的是剛剛設定的外部固定 IP)
Server Certificate: Contoso
畫面中的 Authentication Profile 要選 LOCAL
11. 接續上一個步驟，在點選左邊的 Client Configuration -> Add
在 General 頁面
Name: VPN-GW
Connect Method: on-demand (Manual user initiated connection)

在 Gateways 頁面
External Gateways 新增要連的 VPN 外部 IP: 114.32.229.72
12. 連續按下兩個 OK 後，回到 GlobalProtect Portal 的清單畫面

13. 接著要在 PA-200 上，下載 Global Protect Client 提供給外部 USER 連到外部網址時可以下載使用
Network -> Global Protect Client -> 點選要下載的版本
下載完之後，要點選 Active 才會啟動
 啟動完成的畫面如下

14. 記得要寫入設定才會生效(Commit)

15. 測試 Global Protect

用另一台在外網的 NB，透過瀏覽器連線到 http://外部 IP 位置
這樣就代表連線成功囉
PA-200 DMZ 設定
在此範例架構中，有一台 FTP Server 需要提供外部服務，但由於我們只有一個固定 IP，所以，我們
要用 Port Map 的方式來做設定，先前的設定裡，我們有留了一個 ethernet 1/4 要作為 DMZ 使用
DMZ 區的 IP 網段為 192.168.10.0/24
FTP Server 的內部 IP 192.168.10.21 Port 用 80 代替，因為我用 HFS 做測試
1. 建立 DMZ Zone 的物件
Network -> Zones -> Add

2. 建立 DMZ VLAN 物件
Network -> VLANs -> Add
Name: DMZ VLAN
3. 設定 ethernet1/4 所屬的 VLAN 物件及 Zone
Network -> Interface -> ethernet1/4，設定如圖

4. 建立 DMZ VLAN Interface 介面

Network -> Interfaces -> VLAN -> Add
5. 做到這邊，經實驗測試，LAN 與 DMZ 已經可以互通了，但是外部的 PC 還無法連到內網的 FTP
上。
6. 接下來，我們要做的設定是讓外網可以連到 DMZ 區的 Server 做存取
參考文件: https://www.youtube.com/watch?v=aVXzzZEgIA4 第 4:38 秒開始教你如何做 NAT 及
Port Map，如果你聽的懂英文，可以參考看看影片的作者在說什麼，我個人是聽不懂…
7. 建立 FTP Server 的 NAT
Policies -> NAT ->Add
在 General 頁面

在 Original Packet 頁面
在畫面左邊的 Ext IP 指的是防火牆對外的真實 IP(114.32.229.72)
 在 Translated Packet 頁面
左邊的 Translated Address 的 IP 是內部的 FTP Server

8. 建立 FTP Server 的 Security Policies Rules

Policies -> Security -> Add

在 Source 頁面
在 Destination 頁面
Ext IP 指的是防火牆外部的真實 IP

在 Service/URL Category 頁面
 在 Action 頁面

9. 寫入剛剛的設定(Commit)

10. 外網的電腦測試連線
 FTP Server 看到的訊息

以上的設定除了 DMZ 我還不確定是不是正確的邏輯與觀念外，但至少這樣做可以讓外部的 USER 連

到 FTP 上做存取!! 其餘的設定皆是參考官方文件或是網路上搜尋到的教學影片完成!