В данной статье вы узнаете, как запустить и сделать первые настройки межсетевого экрана.
О том, как установить виртуальный NGFW, смотрите в прошлой статье.
По умолчанию межсетевой экран имеет IP-адрес 192.168.1.1 и имя пользователя/пароль – admin/admin. По соображениям безопасности вы должны изменить эти параметры, прежде чем продолжить выполнение других задач по настройке межсетевого экрана. Вы можете сделать эти настройки либо из интерфейса MGMT, даже если вы не планируете использовать этот интерфейс для управления межсетевым экраном, либо через прямое подключение к консольному порту на межсетевом экранн.
Шаг 1. Установите межсетевой экран и подключите к нему питание. (Для физического оборудования)
Если ваша модель межсетевого экрана имеет два источника питания, подключите второй источник питания для резервирования. Обратитесь к инструкции, которая идет в комплекте к аппаратной модели.
Шаг 2. Соберите необходимую информацию у вашего сетевого администратора.
• IP-адрес для порта MGMT
• Netmask
• Default gateway
• Адрес DNS-сервера
Шаг 3. Подключитесь к межсетевому экрану.
В случае, если у вас физическое оборудование:
Вы можете подключиться к межсетевому экрану одним из следующих способов:
• Подключите консольный кабель от вашего компьютера к консольному порту и подключитесь к межсетевому экрану с помощью программного обеспечения эмуляции терминала (9600-8-N-1). Подождите несколько минут для завершения последовательности загрузки; когда межсетевой экран будет готов, в консоли появится имя межсетевого экрана, например, "PA-220 login".
• Подключите кабель Ethernet RJ-45 от компьютера к порту MGMT на межсетевом экране. Из браузера перейдите на https://192.168.1.1.
Вам может потребоваться изменить IP-адрес на вашем компьютере на адрес в сети 192.168.1.0/24, например 192.168.1.2, чтобы получить доступ к этому IP.
В случае, если у вас виртуальное оборудование, сделайте "start" виртуальной машины на гипервизоре. Введите следующие команды, для того, чтобы задать IP адрес, netmask, gateway и dns:
configure
set deviceconfig system type static
set deviceconfig system ip-address <ip address> netmask <netmask> default-gateway <default gateway> dns-setting servers primary <DNS ip address>
commit
Шаг 4. Сделайте "log in" в межсетевой экран.
Вам нужно войти в систему, используя имя пользователя и пароль по умолчанию (admin/admin).
Шаг 5. Установите безопасный пароль для учетной записи администратора.
Начиная с PAN-OS 9.0.4, предварительно заданный пароль администратора по умолчанию (admin/admin) должен быть изменен при первом входе в систему на устройстве. Новый пароль должен содержать не менее восьми символов и содержать как минимум один строчный и один верхний регистр, а также один номер или специальный символ.
Обязательно используйте best practice для создания надежного пароля, чтобы обеспечить достаточно сильный пароль, а также рекомендуем просмотреть параметры сложности пароля.
1) Выберите Device –> Administrators.
2) Выберите роль admin.
3) Введите текущий пароль по умолчанию и новый пароль.
4) Нажмите кнопку ОК, чтобы сохранить настройки.
Шаг 6. Настройте интерфейс MGMT.
1) Выберите Device –> Setup –> Interfaces и отредактируйте Management интерфейс.
2) Настройте параметры адреса для интерфейса MGT, используя один из следующих методов:
• Чтобы настроить параметры статического IP-адреса для интерфейса MGT, установите для параметра «IP Type» как «Static» и введите IP-address, Netmask и Default Gateway.
• Чтобы динамически настроить параметры адреса интерфейса MGMT, установите тип IP-address на DHCP Client. Чтобы использовать этот метод, необходимо настроить интерфейс управления в качестве клиента DHCP.
Чтобы предотвратить несанкционированный доступ к интерфейсу управления, рекомендуется добавить (Add) разрешенные IP-адреса (Permitted IP Addresses), с которых администратор может получить доступ к интерфейсу MGMT.
3) Установите Speed как "auto-negotiate".
4) Выберите, какие службы разрешить на интерфейсе управления.
Убедитесь, что Telnet и HTTP не выбраны, поскольку эти службы не безопасны, так как используют открытый текст, и могут поставить под угрозу учетные данные администратора.
5) Нажмите ОК.
Шаг 7. Настройте DNS, update server и proxy-server.
Необходимо вручную настроить хотя бы один DNS-сервер на межсетевом экране, иначе он не сможет сделать resolve имени хостов.
1) Выберите Device –> Setup –> Services.
• Для платформ с несколькими виртуальными системами выберите Global и отредактируйте раздел Services.
• Для платформ с одной виртуальной системой отредактируйте раздел Services.
2) На вкладке «Services» для DNS выберите один из следующих вариантов:
• Servers - введите адрес primary и secondary DNS-servers.
• DNS Proxy Object - в раскрывающемся списке выберите DNS Proxy, который вы хотите использовать для настройки глобальных служб DNS, или нажмите DNS Proxy, чтобы настроить новый DNS Proxy Object.
3) Нажмите ОК.
Шаг 8. Настройка параметров даты и времени (NTP).
1) Выберите Device –> Setup –> Services.
• Для платформ с несколькими виртуальными системами выберите Global и отредактируйте раздел «Services».
• Для платформ с одной виртуальной системой отредактируйте раздел «Services».
2) На вкладке NTP, чтобы использовать виртуальный кластер серверов времени в Интернете, введите имя хоста pool.ntp.org в качестве Primary NTP Server или введите IP-адрес.
3) (Необязательно) Введите адрес Secondary NTP Server.
4) (Необязательно) Чтобы аутентифицировать обновления времени с NTP-серверов, в качестве Authentication Type выберите один из следующих параметров для каждого сервера:
• None – (по умолчанию) Отключает проверку подлинности NTP.
• Symmetric Key – межсетевой экран использует обмен симметричным ключом для аутентификации обновлений времени.
• Key ID – введите идентификатор ключа (1-65534).
• Algorithm – выберите алгоритм для использования в аутентификации NTP (MD5 или SHA1).
• Autokey – межсетевой экран использует autokey (криптография с открытым ключом) для аутентификации обновлений времени.
5) Нажмите ОК.
Шаг 9. (Необязательно) Настройте общие параметры межсетевого экрана при необходимости.
1) Выберите Device –> Setup –> Management и измените General Settings.
2) Введите Hostname для межсетевого экрана и введите Domain name вашей сети. Доменное имя — это просто метка; он не будет использоваться для соединений с доменом.
3) Введите текст для Login Banner, который информирует пользователей, которые собираются войти, о том, что им требуется авторизация для доступа к функциям управления межсетевым экраном.
В качестве best practice избегайте использования длинного приветственного текста. Кроме того, вам следует обратиться в юридический отдел с просьбой просмотреть баннерное сообщение, чтобы убедиться, что оно надлежащим образом предупреждает о том, что несанкционированный доступ запрещен.
4) Введите Latitude и Longitude, чтобы задать точное размещение межсетевого экрана на карте мира.
5) Нажмите ОК.
Шаг 10. Сделайте Commit ваших изменений.
Когда вы сохранили новую конфигурацию, вы можете потеряете связь с веб-интерфейсом, если меняли IP-адрес.
Нажмите кнопку «Commit» в правом верхнем углу веб-интерфейса. Межсетевому экрану может понадобится до 90 секунд, чтобы сохранить ваши изменения.
Шаг 11. Подключите межсетевой экран к вашей сети.
1) Отключите межсетевой экран от вашего компьютера.
2) Подключите порт MGMT к порту коммутатора в сети управления с помощью кабеля RJ-45 Ethernet. Убедитесь, что порт коммутатора, к которому подключен межсетевой экран, настроен для автосогласования.
Шаг 12. Откройте сеанс управления межсетевого экрана по SSH.
С помощью программного обеспечения эмуляции терминала, такого как PuTTY, запустите сеанс SSH с межсетевым экраном, используя новый IP-адрес, который вы ему присвоили.
Шаг 13. Проверьте сетевой доступ к внешним службам, необходимым для управления межсетевым экраном, таким как сервер обновлений Palo Alto Networks.
Вы можете сделать это одним из следующих способов:
• Если вы не хотите разрешать доступ внешней сети к интерфейсу MGMT, вам потребуется настроить порт данных для получения необходимых обновлений службы. Продолжить настройку доступа к сети для внешних служб.
• Если вы планируете разрешить доступ внешней сети к интерфейсу MGMT, убедитесь, что у вас есть подключение, а затем перейдите к регистрации межсетевого экрана и активации лицензий подписки.
1) Для проверки сетевого подключения к серверу обновлений Palo Alto Networks используйте сервер обновлений, как показано в следующем примере:
• Выберите Device –> Troubleshooting и выберите Update Server Connectivity в раскрывающемся списке Select Test.
• Выполните тест подключения сервера обновлений путем нажатия кнопки “Execute”.
2) Используйте следующую команду CLI, чтобы получить информацию о праве на поддержку межсетевого экрана с сервера обновлений Palo Alto Networks:
request support
check
Если у вас есть подключение, сервер обновлений ответит сообщением о состоянии поддержки вашего межсетевого экрана. Если ваш межсетевой экран еще не зарегистрирован, сервер обновлений возвращает следующее сообщение:
Contact Us
https://www.paloaltonetworks.com/company/contact-us.html
Support Home
https://www.paloaltonetworks.com/support/tabs/overview.html
Device not found on this update server
О том, как активировать лицензии, смотрите в следующей статье.
Comments
0 comments
Please sign in to leave a comment.