Professional Documents
Culture Documents
paloalto基本設定
paloalto基本設定
網路架構說明:
ADSL 為撥接式 PPPOE,由於要讓在外面的筆電可以透過 VPN 連回公司內部作業,(在 Palo Alto 中,
並沒有所謂的 SSL VPN,它們叫做 global protect VPN),因此,我們需要去申請一組固定 IP 做為未來
讓外面的使用者可以連線回來的 IP(申請方式請自行上網查詢)
在此範例中,我把網路介面的定義如下
Ethernet1/1 作為 WAN 端,利用 PPPOE 帶固定 IP 的方式撥接上網
帳號 XXXXXXX@ip.hinet.net 密碼 : xxxxxxx
基本設定
拿到設備後,我們要利用機器本身上的 MGT 來做連線(原廠預設為 https://192.168.1.1 帳號/密碼皆
為 admin ),我們要將 MGT 的 IP 換成 192.168.1.2(因為 192.168.1.1 要用來做 LAN 的 IP),將 NB 的 IP
改為 192.168.1.3/24,透過瀏覽器連到 192.168.1.1 登入後修改 MGT 相關資訊,在這要注意一點,
MGT 中的 GATEWAY 一定要設定,因為,PALOALTO 的韌體更新是夠過 MGT PORT 來更新的,如果沒
設定 GATEWAY 或是接上實體線路,到時候會無法更新。
在此時的線路要直接把 NB 的網路線接到 MGT 上,其他的 port 都不要接網路線,不然會有連不到
PA-200 的問題
1. 從 Device -> Setup -> Management -> Management Interface Settings 右上角編輯去修改 IP
2. 接下來要修改時區跟地區,從 Device -> Setup -> Management - > General Settings 右上角編輯去修
改 -> 確定
4. 修改管理員密碼
Device -> Administrator -> Admin
5. 做完基本設定之後,我們要將原廠預設的一些設定刪除,以利於我們做後續。
Policies -> Security -> 點選 rule1 -> 刪除
6. 接著要刪除地區(Zone),從 Network -> 地區(Zone) -> 勾選要刪除的地區(Zone) -> 刪除
7. 接著要刪除 Virtual Wires,從 Network -> Virtual Wires -> 點選 default-vwire ->刪除
8. 完成以上的刪除後,就可以將剛剛做的寫入韌體裡了
9. 因為已經修改過 MGT 的 IP 位置了,所以,這時必須把瀏覽器的網址改為 https://192.168.1.2 才
有辦法登入
Name: Trust-L3
Type: Layer3
Name: Trust-L2
Type: Layer2
2. 接下來,把 ADSL 的線路接到 PA-200 的 Ethernet1/1 上,做 PPPOE 的撥接設定。
從 Network -> Interface -> Ethernet -> 點選 ethernet1/1,將其內容修改為如圖
在設定頁面
在 IPv4 頁面
在 IPv4 中的進階頁面
在這個 IPv4 裡的 PPPOE 中的帳號跟密碼我要特別說明一下,建議先用 86384070@hinet.net 去設
定,密碼不能有特殊符號,等到 PPPOE 撥接設定階段做完後,在回來修改,後面會在提到要如
何設定 PPPOE 的固定 IP,不然會一直出現 ethernet1/1 是無效的字串訊息。
3. 接下來要做的 LAN 的設定,我們要把 Ethernet1/2 & 1/3 兩個綁在一起,因此,我們要先建立 L2
的 VLAN 物件,作為 Switch 用,從 Network -> VLANs -> Add,並修改如下圖
在 IPv4 頁面,必須設定一組固定 IP 使用
在 Advance 進階頁面,新增一個管理設定檔,方便日後管理防火牆,這個的設定跟 MGT 是一樣
的意思,預設的情況下,只能透過 MGT 管理 PA-200,做這個設定之後,以後可以透過 LAN 端的
IP 來管理防火牆
6. LAN 端的 DHCP Server 設定
Network -> DHCP -> DHCP Server-> Add
然後把剛剛修改的設定寫入(Commit)到系統裡,才會生效
確認方式:Network -> Interface -> Ethernet -> ethernet1/1 後面的 Dynamic-PPPoE 就會跳出一個目前
的 IP 相關資訊
Global Protect(SSL VPN)設定
參考文件:https://www.youtube.com/watch?v=bSa2K0QK8BY
1. 首先,我們要建立 VPN 的使用者帳號
Device -> Local User Database -> User -> Add
2. 建立 Authentication Profile(驗證設定檔)
Device -> Authentication Profile -> Add
3. 建立 VPN Tunnel
Network -> Interfaces -> Tunnel -> Add
在 Gateways 頁面
External Gateways 新增要連的 VPN 外部 IP: 114.32.229.72
12. 連續按下兩個 OK 後,回到 GlobalProtect Portal 的清單畫面
13. 接著要在 PA-200 上,下載 Global Protect Client 提供給外部 USER 連到外部網址時可以下載使用
Network -> Global Protect Client -> 點選要下載的版本
下載完之後,要點選 Active 才會啟動
啟動完成的畫面如下
14. 記得要寫入設定才會生效(Commit)
2. 建立 DMZ VLAN 物件
Network -> VLANs -> Add
Name: DMZ VLAN
3. 設定 ethernet1/4 所屬的 VLAN 物件及 Zone
Network -> Interface -> ethernet1/4,設定如圖
在 Original Packet 頁面
在畫面左邊的 Ext IP 指的是防火牆對外的真實 IP(114.32.229.72)
在 Translated Packet 頁面
左邊的 Translated Address 的 IP 是內部的 FTP Server
在 Source 頁面
在 Destination 頁面
Ext IP 指的是防火牆外部的真實 IP
在 Service/URL Category 頁面
在 Action 頁面
9. 寫入剛剛的設定(Commit)
10. 外網的電腦測試連線
FTP Server 看到的訊息