中国 (Simplified Chinese)

Web 界面参考指南
版本 7.0
联系方式
公司总部:
Palo Alto Networks
4401 Great America Parkway
Santa Clara, CA 95054
http://www.paloaltonetworks.com/contact/contact/
关于本指南
本指南介绍 Palo Alto Networks 下一代防火墙和 Panorama Web 接口。此外,还可提供有关如何使用 Web 接
口的信息以及如何填充接口内字段的参考信息:

有关其他功能的信息以及在防火墙和 Panorama 上进行功能配置的说明,请参阅
https://www.paloaltonetworks.com/documentation。

要访问知识库、完整文档集、讨论区和视频,请参阅 https://live.paloaltonetworks.com。

要联系支持部门、了解支持计划的相关信息或是管理个人帐户或设备,请参阅
https://support.paloaltonetworks.com。

有关最新的发布说明,请转到软件下载页面,网址为:
https://support.paloaltonetworks.com/Updates/SoftwareUpdates 。
要提供有关本文档的反馈,请给我们发送电子邮件,地址如下:documentation@paloaltonetworks.com。
Palo Alto Networks, Inc.
www.paloaltonetworks.com
© 2007–2015 Palo Alto Networks。保留所有权利。
Palo Alto Networks 和 PAN-OS 是 Palo Alto Networks, Inc. 的商标。
修订日期:2015 年 6 月 30 日
ii
June 30?2015 - Palo Alto Networks ??????
目录
章节 1
简介 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
防火墙概述 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
功能与优点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
管理界面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
章节 2
入门指南 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
使用 PALO ALTO NETWORKS 防火墙 WEB 界面 . . . . . . . . . . . . . . . . . . . . 6
提交更改 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
搜索配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
锁定事务 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
支持的浏览器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
获取配置防火墙的帮助 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
获取详细信息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
技术支持 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
章节 3
设备管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
15
系统设置、配置和许可证管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
定义管理设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
定义操作设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
定义硬件安全模块 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
启用 SNMP 监控 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
定义服务设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
目标服务路由 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
定义 DNS 服务器配置文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
定义 CONTENT-ID 设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
配置 WILDFIRE 设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
定义会话设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
会话设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
会话超时 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
解密设置:证书撤销检查 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
解密设置:转发代理服务器证书设置. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
VPN 会话设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Palo Alto Networks
Web 界面参考指南,版本 7.0 • iii
目录
比较配置文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
安装许可证 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
许可证到期后的行为 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
定义 VM 信息源 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
安装软件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
更新威胁和应用程序定义 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
管理员角色、配置文件和帐户 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
定义管理员角色. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
定义密码配置文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
用户名和密码要求 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
创建管理帐户 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
指定管理员的访问域 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
设置身份验证配置文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
创建本地用户数据库 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
添加本地用户组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
配置 RADIUS 服务器设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
配置 TACACS+ 服务器设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
配置 LDAP 服务器设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
配置 KERBEROS 服务器设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
设置身份验证序列 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
调度日志导出 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
定义日志记录目标 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
配置日志设置. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
系统日志设置. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
关联日志设置. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
HIP 匹配日志设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
定义警报设置. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
管理日志设置. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
配置 SNMP 陷阱目标 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
配置 SYSLOG 服务器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
配置电子邮件通知设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
配置 NETFLOW 设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
配置 DNS 服务器配置文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
使用证书 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
管理设备证书. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
管理默认可信证书颁发机构 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
创建证书配置文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
添加 OCSP 响应者 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
管理 SSL/TLS 服务配置文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
在防火墙中加密私钥和密码 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
在防火墙中启用高可用性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
定义虚拟系统 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
配置共享网关 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
定义自定义响应页面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
查看支持信息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
章节 4
网络设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
45
46
47
47
50
52
54
55
56
57
57
59
59
61
62
62
63
64
65
66
67
67
68
69
69
70
70
71
71
73
74
75
75
76
76
79
80
81
82
82
83
91
93
93
94
97
定义 VIRTUAL WIRE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
配置防火墙接口 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
防火墙接口概述 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
防火墙接口的通用构建块 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
iv • Web 界面参考指南,版本 7.0
Palo Alto Networks
目录
PA-7000 系列防火墙接口的通用构建块 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
配置第 2 层接口 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
配置第 2 层子接口 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
配置第 3 层接口 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
配置第 3 层子接口 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
配置 VIRTUAL WIRE 接口 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
配置 VIRTUAL WIRE 子接口 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
配置旁接接口 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
配置日志卡接口 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
配置日志卡子接口 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
配置解密镜像接口 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
配置聚合接口组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
配置聚合接口 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
配置 HA 接口 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
配置 VLAN 接口 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
配置回环接口 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
配置隧道接口 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
配置虚拟路由器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
配置“常规”选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
配置“静态路由”选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
配置“重新分发配置文件”选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
配置 RIP 选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
配置 OSPF 选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
配置 OSPFv3 选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
配置 BGP 选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
配置“多播”选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
定义安全区域 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ECMP 的构建块 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
有关虚拟路由器的更多运行时统计数据 . . . . . . . . . . . . . . . . . . . . . . . . .
配置 VLAN 支持 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
配置 DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DHCP 概述 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DHCP 寻址 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DHCP 服务器的构建块 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DHCP 中继的构建块 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DHCP 客户端的构建块 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
示例:使用自定义选项配置 DHCP 服务器 . . . . . . . . . . . . . . . . . . . . . . .
配置 DNS 代理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DNS 代理概述 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
请参阅: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DNS 代理的构建块 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
其他 DNS 代理操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
配置 LLDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
LLDP 概述 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
LLDP 的构建块 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
定义接口管理配置文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
定义监视配置文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
定义区域保护配置文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
配置泛滥攻击防护 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
配置侦察防护 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
配置基于数据包的攻击保护 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
定义 LLDP 配置文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
LLDP 配置文件的构建块. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Palo Alto Networks
101
101
102
103
109
113
114
114
115
116
116
117
119
120
120
124
126
127
128
128
129
130
132
135
140
147
150
151
152
158
158
159
159
160
163
163
164
166
167
167
167
169
169
169
170
172
173
174
175
176
176
180
180
Web 界面参考指南,版本 7.0 • v
目录
章节 5
策略和安全配置文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
183
策略类型 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183
移动或克隆策略或对象 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
替代或恢复默认安全规则 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
替代或恢复对象. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
为策略指定用户及应用程序 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
在 PANORAMA 上定义策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
定义安全策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
安全策略概述 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
请参阅:. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
安全策略的构建块 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
创建和管理策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
在 PANORAMA 上定义策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NAT 策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
确定 NAT 和安全策略中的区域配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NAT 规则选项. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NAT 策略示例. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NAT64 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NAT64 示例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
定义网络地址转换策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
“常规”选项卡. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
原始数据包选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
转换后的数据包选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
基于策略的转发策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
“常规”选项卡. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
“源”选项卡. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
目标 / 应用程序 / 服务选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
转发选项卡. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
解密策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
“常规”选项卡. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
“源”选项卡. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
“目标”选项卡. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
服务 / URL 类别选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
选项选项卡. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
定义应用程序替代策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
“常规”选项卡. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
“源”选项卡. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
“目标”选项卡. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
协议 / 应用程序选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
定义强制网络门户策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
“常规”选项卡. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
“源”选项卡. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
“目标”选项卡. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
服务 / URL 类别选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
操作选项卡. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
定义 DOS 策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
“常规”选项卡. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
“源”选项卡. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
“目标”选项卡. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
选项 / 保护选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
vi • Web 界面参考指南,版本 7.0
184
184
186
187
187
188
189
190
190
196
198
199
200
200
201
202
202
205
206
206
207
208
209
209
210
210
211
211
212
213
213
213
214
214
215
215
215
216
216
217
217
217
218
218
218
219
219
220
Palo Alto Networks
目录
安全配置文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220
安全配置文件中的操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
防病毒配置文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
防病毒配置文件对话框 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
防病毒选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
例外选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
防间谍软件配置文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
漏洞保护配置文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
URL 过滤配置文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
文件传送阻止配置文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
WILDFIRE 分析配置文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
数据过滤配置文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DOS 配置文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
定义地址对象 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
定义地址组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
定义地区 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
应用程序 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
应用程序概述 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
定义应用程序 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
定义应用程序组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
应用程序过滤器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
服务 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
服务组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
标记 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
创建标记 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
使用标记浏览器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
管理标记 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
数据模式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
动态阻止列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
自定义间谍软件和漏洞签名 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
定义数据模式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
定义间谍软件和漏洞签名 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
自定义 URL 类别 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
安全配置文件组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
日志转发 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
解密配置文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
计划 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
221
222
222
223
223
223
227
229
233
237
238
239
241
242
243
244
245
245
249
252
252
253
254
254
255
256
257
258
259
261
261
262
264
265
266
267
271
章节 6
报告和日志 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
273
其他策略对象 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
使用仪表盘 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274
使用应用程序命令中心 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275
使用
Palo Alto Networks
视图 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276
小部件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277
操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278
APP SCOPE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281
摘要报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282
异动监控报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283
威胁监控报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284
威胁地图报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285
Web 界面参考指南,版本 7.0 • vii
目录
网络监控报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286
流量地图报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288
查看日志 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289
与日志互动 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291
查看会话信息. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292
使用自动关联引擎 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293
查看关联对象 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293
查看关联事件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294
使用 BOTNET 报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295
配置 Botnet 报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295
管理 Botnet 报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296
管理 PDF 摘要报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297
管理用户 / 组活动报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299
管理报告组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300
计划需要电子邮件传递的报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301
查看报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301
生成自定义报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302
执行数据包捕获 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303
数据包捕获概述 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303
构建自定义数据包捕获的块 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304
启用威胁数据包捕获 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306
章节 7
为用户配置防火墙标识. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
307
为用户标识配置防火墙 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
“用户映射”选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
“User-ID 代理”选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
“终端服务代理”选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
“组映射”选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
“强制网络门户设置”选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
307
308
313
314
315
317
章节 8
配置 IPSEC 隧道 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
321
定义 IKE 网关. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321
管理 IKE 网关 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
IKE 网关“常规”选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
IKE 网关“高级选项”选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
重新启动或刷新 IKE 网关 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
设置 IPSEC 隧道 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
管理 IPSEC VPN 隧道 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
IPSEC 隧道“常规”选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
“IPSEC 隧道代理 ID”选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
查看防火墙中的 IPSEC 隧道状态 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
重新启动或刷新 IPSEC 隧道 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
定义 IKE 加密配置文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
定义 IPSEC 加密配置文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
定义 GLOBALPROTECT IPSEC 加密配置文件 . . . . . . . . . . . . . . . . . . . . .
viii • Web 界面参考指南,版本 7.0
322
322
325
326
327
327
328
330
331
331
331
332
333
Palo Alto Networks
目录
章节 9
GLOBALPROTECT 设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
335
设置 GLOBALPROTECT 门户 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
门户配置选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
客户端配置选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
卫星配置选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
设置 GLOBALPROTECT 网关 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
“常规”选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
客户端配置选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
卫星配置选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
设置对 MOBILE SECURITY MANAGER 的网关访问权 . . . . . . . . . . . . . . . . . . .
创建 HIP 对象 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
“常规”选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
移动设备选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
修补程序管理选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
防火墙选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
防病毒选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
防间谍软件选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
磁盘备份选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
磁盘加密选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
数据丢失保护选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
自定义检查选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
设置 HIP 配置文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
设置和激活 GLOBALPROTECT 代理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
设置 GLOBALPROTECT 代理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
使用 GlobalProtect 代理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
335
335
337
341
343
343
344
348
350
351
351
353
354
354
355
355
356
356
357
357
358
359
360
361
章节 10
配置服务质量 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
363
定义 QOS 配置文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364
定义 QOS 策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365
启用防火墙接口的 QOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368
QoS 概述 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368
在接口上启用 QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368
监控 QoS 接口 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370
章节 11
使用 PANORAMA 集中管理 PANORAMA. . . . . . . . . . . . . . . . . . . . . . .
371
PANORAMA 选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
切换设备上下文 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
设置存储分区 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
配置高可用性 (HA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
管理设备 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
备份防火墙配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
定义设备组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
共享对象和策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
将策略应用于设备组中的特定设备 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
定义 PANORAMA 管理员角色 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
372
374
375
375
377
379
380
381
381
381
Palo Alto Networks
Web 界面参考指南,版本 7.0 • ix
目录
创建 PANORAMA 管理帐户 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382
指定管理员的 PANORAMA 访问域 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384
在 PANORAMA 中提交更改 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385
管理模板和模板堆栈 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387
定义模板 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387
定义模板堆栈 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388
替代模板设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389
克隆模板和模板堆栈 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390
删除或禁用模板和模板堆栈 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390
日志记录和报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390
启用日志转发 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391
管理日志收集器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393
添加日志收集器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393
安装日志收集器上的软件更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397
定义日志收集器组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397
生成用户活动报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400
管理设备更新和许可证 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400
计划动态更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402
计划配置导出 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403
升级 PANORAMA 软件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404
将 VM 系列防火墙注册为 NSX MANAGER 上的服务 . . . . . . . . . . . . . . 405
更新 VMware Service Manager 中的信息 . . . . . . . . . . . . . . . . . . . . . . . . . 406
附录 A
常见标准 / 联邦信息处理标准支持 . . . . . . . . . . . . . . . . . . . . . . . . . .
407
启用 CC/FIPS 模式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407
CC/FIPS 安全功能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407
索引 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
x • Web 界面参考指南,版本 7.0
409
Palo Alto Networks
章节 1
简介
本节对防火墙进行概述:
• “防火墙概述”
• “功能与优点”
• “管理界面”
防火墙概述
Palo Alto Networks® 可提供全系列的下一代安全设备,其范围从设计用于企业远程办公的
PA-200 防火墙到设计用于高速数据中心的模块化机箱,即 PA-7000 系列防火墙。防火墙允许
您对每个将遍历您网络的应用程序进行准确地标识,以此来指定安全策略。和传统防火墙仅通
过协议和端口号来识别应用程序不同,Palo Alto Networks 下一代防火墙则可通过数据包检查和
应用程序签名库来区分协议和端口号相同的两个应用程序,并且还可识别出使用非标准端口的
潜在恶意应用程序。
为了安全地启用应用程序、维持全面的可见性和控制并使组织能够抵御最新的网络威胁,您可
以为特定的应用程序或应用程序组定义安全策略,而不是为所有端口的 80 个连接使用单个策
略。对于每个已标识的应用程序,可以基于源区域和目标区域及地址(IPv4 和 IPv6)来指定
安全策略,以阻止或允许通信。每个安全策略还可以调用用于防御病毒、间谍软件和其他威胁
的安全配置文件。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 1
功能与优点
功能与优点
Palo Alto Networks 下一代防火墙可以对允许访问您网络的通信进行粒度控制。主要功能与优
点包括:
• 基于应用程序的策略实施 (App-ID™) — 根据应用程序类型进行的访问控制远比只基于协议
和端口号的应用程序标识来得有效。App-ID 服务可以阻止高风险应用程序以及高风险行
为(如文件共享),而使用安全套接字层 (SSL) 协议加密的通信可以接受解密和检查。
• 用户标识 (User-ID™) — 管理员可以使用 User-ID 功能根据用户和用户组(而非网络区域和
地址或除此之外)来配置和实施防火墙策略。防火墙可与许多目录服务器(例如 Microsoft
Active Directory、eDirectory、SunOne、OpenLDAP 以及大多数其他基于 LDAP 的目录
服务器)通信以向防火墙提供用户和组信息。然后,您可以使用此信息进行可按用户或组
定义的安全应用程序启用。例如,管理员可允许某个组织使用基于 Web 的应用程序,但
不允许公司内的所有其他组织使用同一应用程序。您还可以基于用户和组为应用程序的某
些组件进行粒度控制配置(参阅“为用户配置防火墙标识”)。
• 威胁防御 — 威胁防御服务可以保护网络免遭病毒、蠕虫、间谍软件以及其他恶意通信的攻
击,这些服务因应用程序和通信源的不同而有所差异(参阅“安全配置文件”)。
• URL 过滤 — 可对出站连接进行过滤,以防访问不当的网站(参阅“URL 过滤配置文件”)。
• 通讯可视化 — 广泛的报告、日志和通知机制可让您详细地看到网络应用程序通信和安全事
件。Web 界面中的应用程序命令中心 (ACC) 可识别流量最大和安全风险最高的应用程序
(参阅“报告和日志”)。
• 网络的多功能性和速度 — Palo Alto Networks 防火墙可以增强或取代现有防火墙,并可以
透明地安装在任何网络中或配置为支持交换或路由环境。数千兆的速度配合单通道架构使
得这些服务对网络延迟只会产生很小的影响或不会产生影响。
• GlobalProtect — 通过允许从全球任意位置方便安全地登录,GlobalProtect™ 软件可确保客
户端系统(如在现场使用的便携式计算机)的安全性。
• 防故障操作 — 高可用性 (HA) 支持会在出现任何硬件或软件崩溃的情况下自动进行故障转移
(参阅“在防火墙中启用高可用性”)。
• 恶意软件分析和报告 — WildFire™ 安全服务会提供有关通过防火墙的恶意软件的详细分析
和报告。
• VM-Series 防火墙 — VM-Series 防火墙会提供一个专用于虚拟数据中心环境的 PAN-OS® 虚
拟实例,尤其适用于专用、公共和混合云计算环境。
• 管理和 Panorama™ — 您可以通过直观的 web 界面或通过命令行界面 (CLI) 来管理各个防火
墙,也可以通过 Panorama 集中式管理系统集中管理所有设备,该系统的 web 界面与 Palo
Alto Networks 防火墙的 web 界面非常相似。
2 • Web 界面参考指南,版本 7.0
Palo Alto Networks
管理界面
管理界面
Palo Alto Networks 下一代防火墙支持下列管理界面:
• Web 界面 — 从 Web 浏览器通过 HTTP 或 HTTPS 进行配置和监控。
• CLI — 通过 Telnet、安全外壳 (SSH) 或控制台端口进行基于文本的配置和监控。
• Panorama — 一种 Palo Alto Networks 产品,可基于 Web 对多个防火墙进行管理、报告和
日志记录。Panorama 界面与防火墙 web 界面类似,但前者具有额外的管理功能(参阅“使
用 Panorama 集中管理 Panorama”以获取有关使用 Panorama 的信息)。
• XML API — 提供一个基于表述性状态转移 (REST) 的接口,用于访问设备配置、运行状态、
报告和从防火墙捕获数据包。防火墙在 https://<firewall>/api 上提供一个 API 浏览器,其
中 <firewall> 是防火墙的主机名或 IP 地址。此链接提供有关每种类型 API 调用所需参数
的帮助。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 3
管理界面
4 • Web 界面参考指南,版本 7.0
Palo Alto Networks
章节 2
入门指南
本章介绍如何设置和开始使用 Palo Alto Networks 防火墙:
• “使用 Palo Alto Networks 防火墙 Web 界面”
• “获取配置防火墙的帮助”
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 5
使用 Palo Alto Networks 防火墙 Web 界面
使用 Palo Alto Networks 防火墙 Web 界面
项目
说明
1
单击沿着顶部显示的选项卡可查看该类别下的配置项目。突出显示的项目表示已经
选定。
2
选择左侧窗格中的选项可查看该选项卡内的选项。例如,在上述屏幕截图中,已选
择网络选项卡中的虚拟路由器。本文档在 Web 界面中将此导航路径标识为网络 >
虚拟路由器。
对于某些选项卡,配置选项是嵌套的。单击左侧窗格的
窗格内所包括的配置选项。
6 • Web 界面参考指南,版本 7.0
下拉列表可展开和折叠
Palo Alto Networks
使用 Palo Alto Networks 防火墙 Web 界面
项目
说明
3
页面的操作按钮可能会有所不同,但大多数页面均包括下列按钮:
• 添加 — 单击添加可创建一个新项目。
• 删除 — 要删除一个或多个项目,选中项目旁边的复选框,然后单击删除。单击确
定以确认删除,或单击取消以取消操作。
• 修改 — 单击名称列中的超链接项目。
– 必填字段以浅黄色背景显示。
– 要修改页面内的部分(如设备 > 设置),单击部分右上角的图标以编辑设置。
– 设置配置完成后,必须单击确定或保存以保存更改。单击确定后,已更新待选
配置。要将更改保存到运行配置,必须提交更改。
4
注销 — 单击注销按钮可注销 Web 界面。
5
• 任务 — 单击任务图标可查看所有或运行任务、作业和日志请求的当前列表。使用
显示下拉列表可过滤任务列表。随即打开任务管理器窗口,其中显示任务列表以
及状态、开始时间、关联消息和操作。
• 语言 — 单击语言可从“语言首选项”窗口的下拉列表中选择所需语言,然后单击
确定以保存更改。除非您指定语言首选项,否则 Web 界面语言与您从中登录的
计算机的当前语言相同。例如,如果您使用计算机管理区域设置为西班牙语的防
火墙,则在您登录到防火墙时 Web 界面语言将为西班牙语。
• 警报 — 单击警报可查看警报日志中警报的当前列表。要启用警报和 Web 警报通
知,请转到设备 > 日志设置 > 警报。该列表显示未确认和已确认的警报。要确认
警报,请选中复选框,然后单击确认。此操作会将警报移至已确认警报列表。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 7
使用 Palo Alto Networks 防火墙 Web 界面
项目
说明
6
该表可让您对数据进行排序,并显示或隐藏您可以在页面上查看的列。单击列标题
可对该列进行排序,再次单击可颠倒排序顺序。要显示或隐藏列,单击任何列右侧
的箭头,然后选中或清除相应复选框可在显示中显示或隐藏列。
7
使用过滤器输入框可在页面上搜索项目的术语、名称或关键字。页面上的总项目数
会显示在过滤器输入框的左角。要应用过滤器,请单击 ;要清除过滤器,请单
击 。随即会显示搜索结果,且匹配项数显示为过滤器输入框左角显示的总项目
数的一部分。
8
有关提交的信息,请参阅“提交更改”。
有关锁定的信息,请参阅“锁定事务”。
有关搜索的信息,请参阅“搜索配置”。
8 • Web 界面参考指南,版本 7.0
Palo Alto Networks
使用 Palo Alto Networks 防火墙 Web 界面
提交更改
单击 Web 界面顶部的提交可打开“提交”对话框。
“提交”对话框可提供下列选项。单击高级链接(如果需要)可显示下列选项:
– 包括设备和网络配置 — 在提交操作中包括设备和网络配置更改。
– 包括共享对象配置 —(仅限多虚拟系统防火墙)在提交操作中包括共享对象配置更改。
– 包括策略和对象 —(仅限不能为多虚拟系统防火墙或无法配置以允许多个虚拟系统的防
火墙)在提交操作中包含策略和对象配置更改。
跨越多个配置区域的配置更改可能需要完整提交。例如,如果单击提交且只
选择包括设备和网络配置选项,则将不会提交您在“设备”选项卡中更改的
某些项目。这包括证书和 User-ID 选项,以及用于 User-ID 的服务器配置
文件,如 LDAP 服务器配置文件。如果在导入配置后执行部分提交,也可
能会发生这种情况。要提交这些类型的更改,必须执行完整提交,并且同时
选择包括设备和网络配置和包括策略和对象配置选项。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 9
使用 Palo Alto Networks 防火墙 Web 界面
– 包括虚拟系统配置 — 包括所有虚拟系统或选择选择一个或多个虚拟系统。
有关提交更改的详细信息(参阅“定义操作设置”)。
– 预览更改 — 单击预览更改会弹出一个双窗格窗口,其中显示与当前运行配置相比的候选
配置中的建议更改。可选择要显示的行数,或显示所有行。根据已添加、修改或删除的
项目对所做更改进行颜色编码。设备 > 配置审核功能可执行相同的功能(参阅“比较配
置文件”)。
– 验证更改 — 单击验证更改可在提交更改前对防火墙配置执行语法验证(配置语法是否正
确)和语义验证(配置是否完整且可以理解)。响应将包括完整提交或虚拟系统提交可
能会出现的所有错误和警告,包括规则阴影和应用程序信赖警告;但是,不会对运行配
置进行任何更改。此验证有助于您在实际提交前知道是否可成功提交更改,大大减少了
在提交时失败的可能性。验证选项适用于管理员角色配置文件,因此您能够控制可以验
证配置的管理员。
从 PAN-OS 7.0 和 Panorama 7.0 开始,防火墙不再在出现第一个错误时终止提交。相反,防火墙
会收集和显示所有错误,然后终止提交。这可让管理员在提交失败后立即查看所有错误,并避免
循环可能会返回其他错误的多次提交,而在最终成功提交所有更改前也需要解决这些错误。
搜索配置
全局查找可让您在防火墙或 Panorama 上搜索特定字符串的待选配置,如 IP 地址、对象名称、
策略名称、威胁 ID 或应用程序名称。搜索结果已按类别进行分组,并在 Web 界面上提供指向
配置位置的链接,这样您可以轻松找到引用字符串的所有位置。
以下是全局查找功能的列表,可以帮助您成功执行搜索:
• 如果您在已启用多个虚拟系统的防火墙上开始搜索或如果已定义管理员角色,则全局查找将
只返回您在其中拥有权限的防火墙区域的结果。这同样适用于 Panorama 设备组。在这种情
况下,您将会看到您对其拥有权限的所有设备组的搜索结果。
• 搜索文本中的空格作为 AND 操作进行处理。例如,如果您针对公司政策进行搜索,则公司
和政策都必须存在要查找的配置中。
• 要查找一个精确短语,必须用引号将该短语引起来。
• 全局查找可搜索待选配置。
• 要返回上一个搜索,单击 Web 界面右上角的搜索图标,随即会显示最后 20 个搜索的列表。
单击列表中的项目可重新执行该搜索。搜索历史记录列表对于每个管理员帐户都是唯一。
您可以通过单击管理 Web 界面右上角的搜索图标,或单击支持全局查找的 Web 界面的任何区域
中的全局查找以启动全局查找。以下屏幕截图显示在 Web 界面的所有区域都可见的搜索图标。
10 • Web 界面参考指南,版本 7.0
Palo Alto Networks
使用 Palo Alto Networks 防火墙 Web 界面
要从配置区域内访问全局查找功能,单击项目旁边的下拉列表,然后单击全局查找。以下屏幕
截图显示当您单击安全策略名称右侧的下拉列表时显示的全局查找图标。
已经为可以搜索的每个字段都提供了全局查找图标。例如,在安全策略的情况下,您可以针对
下列字段进行搜索:名称、标记、区域、地址、用户、HIP 配置文件、应用程序和服务。要执
行搜索,只需单击任意这些字段旁边的下拉列表,然后单击全局查找。例如,如果单击名为 l3vlan-trust 的区域上的全局查找,则会搜索该区域名称的整个配置,并将返回引用区域的每个
位置的结果。搜索结果已按类别进行分组,您可以将鼠标悬停在任意项目上方以查看详细信
息,或者您可以单击项目以导航至该项目的配置页面。
以下屏幕截图显示区域 l3-vlan-trust 的搜索结果:
全局查找不会搜索防火墙分配给用户的动态内容(如日志、地址范围或单个
DHPC 地址)。在 DHCP 的情况下,您可以针对 DHCP 服务器属性(如
DNS 条目)进行搜索,但不能搜索分配给用户的单个地址。另一个示例是
在启用 User-ID 功能时收集的用户名。在这种情况下,如果配置中存在名称
或组(如在策略中定义用户组),则只能搜索 User-ID 数据库中存在的用户
名或用户组。一般情况下,只能针对防火墙写入配置的内容进行搜索。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 11
使用 Palo Alto Networks 防火墙 Web 界面
锁定事务
Web 界面允许管理员锁定当前的事务集,这样在锁定删除之前,可以阻止另一管理员执行配置
更改或提交操作,以此支持多个管理员。受支持的锁定类型如下:
• 配置锁定 — 阻止其他管理员对配置进行更改。此类锁定既可全局设置,也可专门针对虚拟
系统设置。它仅可由设置该锁定的管理员,或者由系统中的超级用户删除。
• 提交锁定 — 阻止其他管理员在所有锁定解除之前提交更改。此类锁定可防止产生以下两种
冲突:两个管理员同时进行更改;第一个管理员在完成更改之前,第二个管理员便已完成
并要提交更改。该锁定在应用锁定的管理员提交当前更改时便会释放;该锁定也可以由应
用锁定的管理员或由系统中的超级用户手动释放。
任何管理员均可打开该锁定窗口,查看当前锁定的事务,以及每个事务的时间戳。
要锁定事务,请单击顶栏中的解锁锁定图标
以打开“锁定”对话框。单击获取锁,从下拉
列表中选择锁定的锁定范围,然后单击确定。根据需要添加其他锁定,然后单击关闭以关闭
“锁定”对话框。该事务将锁定,且顶栏的图标将更改为已锁定锁定图标,它会以圆括号显示
锁定项目数。
要解锁事务,请单击顶栏中的已锁定锁定图标 以打开“锁定”窗口。对于要删除的锁定,
请单击
图标,然后单击是以确认。单击关闭可关闭“锁定”对话框。
通过在设备设置页面的管理区域选中自动获取提交锁定复选框,您可以安排自动获得提交锁定
(参阅“系统设置、配置和许可证管理”)。
支持的浏览器
支持访问防火墙 Web 界面的 Web 浏览器的最低版本如下:
• Internet Explorer 7
• Firefox 3.6
• Safari 5
• Chrome 11
12 • Web 界面参考指南,版本 7.0
Palo Alto Networks
获取配置防火墙的帮助
获取配置防火墙的帮助
使用本节中的信息可获取有关使用防火墙的帮助。
获取详细信息
要获取有关防火墙的详细信息,请参阅以下内容:
• 常规信息 — 转至 http://www.paloaltonetworks.com。
• 文档 — 有关其他功能的信息以及防火墙功能配置的说明,请转到
https://www.paloaltonetworks.com/documentation。
• 联机帮助 — 单击 Web 界面右上角的帮助,可访问联机帮助系统。
• 知识库 — 要访问知识库、供客户和合作伙伴进行互动的协作区域、论坛和视频,请转到
https://live.paloaltonetworks.com。
技术支持
要获取技术支持,要了解支持计划的相关信息,或是要管理您的帐户或设备,请转到
https://support.paloaltonetworks.com。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 13
获取配置防火墙的帮助
14 • Web 界面参考指南,版本 7.0
Palo Alto Networks
章节 3
设备管理
以下各节可用作防火墙基本系统配置和维护任务的现场参考:
• “系统设置、配置和许可证管理”
• “定义 VM 信息源”
• “安装软件”
• “更新威胁和应用程序定义”
• “管理员角色、配置文件和帐户”
• “设置身份验证配置文件”
• “创建本地用户数据库”
• “添加本地用户组”
• “配置 RADIUS 服务器设置”
• “配置 TACACS+ 服务器设置”
• “配置 LDAP 服务器设置”
• “配置 Kerberos 服务器设置”
• “设置身份验证序列”
• “创建证书配置文件”
• “调度日志导出”
• “定义日志记录目标”
• “配置 Netflow 设置”
• “使用证书”
• “在防火墙中加密私钥和密码”
• “在防火墙中启用高可用性”
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 15
系统设置、配置和许可证管理
• “定义虚拟系统”
• “定义自定义响应页面”
• “查看支持信息”
系统设置、配置和许可证管理
以下小节针对访问管理以及定义服务路由和服务说明了如何定义网络设置,并说明了如何管理
诸如全局会话超时、内容标识、WildFire 恶意软件分析和报告之类的配置选项:
• “定义管理设置”
• “定义操作设置”
• “定义硬件安全模块”
• “启用 SNMP 监控”
• “定义服务设置”
• “定义 DNS 服务器配置文件”
• “定义 Content-ID 设置”
• “配置 WildFire 设置”
• “定义会话设置”
• “比较配置文件”
• “安装许可证”
定义管理设置
设备 > 设置 > 管理
Panorama > 设置 > 管理
在防火墙上,使用设备 > 设置 > 管理选项卡配置管理设置。
在 Panorama 上,使用设备 > 设置 > 管理选项卡配置通过 Panorama 模板管理的防火墙。使用
Panorama > 设置 > 管理选项卡为 Panorama 配置设置。
对于防火墙管理,您还可以选择使用回环接口(而非管理端口)的 IP 地址
(参阅“配置回环接口”)。
配置以下管理设置。这些设置同时适用于防火墙和 Panorama,除非另有说明。
• “常规设置”
• “身份验证设置”
• “Panorama 设置:设备 > 设置 > 管理”(在连接到 Panorama 的防火墙上配置设置)
• “Panorama 设置:Panorama > 设置 > 管理”(在连接到防火墙的 Panorama 上配置设置)
16 • Web 界面参考指南,版本 7.0
Palo Alto Networks
定义管理设置
• “管理接口设置”
• “Eth1 接口设置”(仅限 Panorama)
• “Eth2 接口设置”(仅限 Panorama)
• “记录和报告设置”
• “最小密码复杂性”
表 1. 管理设置
项目
说明
常规设置
主机名
输入主机名(最多 31 个字符)。名称区分大小写,且必须是唯一的。仅
可使用字母、数字、空格、连字符和下划线。
域
输入防火墙的完全限定域名 (FQDN)(最多 31 个字符)。
登录提示
输入将在防火墙登录页面上显示的自定义文本。该文本将显示在名称和密
码字段下方。
SSL/TLS 服务配置文件
分配现有的 SSL/TLS 服务配置文件或创建新的 SSL/TLS 服务配置文件,
以指定用于保护设备管理接口的入站通信的证书和允许协议。有关详细信
息,请参阅“管理 SSL/TLS 服务配置文件”。如果选择无,则设备使用
预配置的自签名证书。
注:最佳做法是不使用默认证书。要获得更好的安全性,我们建议您使用
受信任的证书授权机构 (CA) 颁发的证书分配 SSL/TLS 服务配置文件。
时区
选择防火墙的时区。
区域设置
从下拉列表中选择用于 PDF 报告的语言。请参阅“管理 PDF 摘要报告”。
即使您已为 Web 界面设置了特定语言首选项,PDF 报告仍会使用此区域
设置 中指定的语言。请参阅“使用 Palo Alto Networks 防火墙 Web 界
面”中的语言首选项。
时间
在防火墙上设置日期和时间:
• 输入当前日期(格式为 YYYY/MM/DD),或从下拉列表中选择。
• 以 24 小时格式 (HH:MM:SS) 输入当前时间。
注:还可以通过设备 > 设置 > 服务定义 NTP 服务器。
序列号(仅限 Panorama
虚拟机)
输入 Panorama 的序列号。在发送给您的订单实现电子邮件中找到序列号。
地理位置
输入防火墙的纬度(-90.0 到 90.0)和经度(-180.0 到 180.0)。
自动获取提交锁定
更改待选配置时,请选中此复选框以自动应用提交锁定。有关详细信息,
请参阅“锁定事务”。
证书到期检查
指示防火墙在证书接近其到期日时创建警告消息。
多虚拟系统功能
启用使用支持此功能的防火墙上的多个虚拟系统(参阅“定义虚拟系统”)。
URL 过滤数据库(仅限
Panorama)
选 择 与 Panorama 搭配使用的 URL 过滤服务供应商:brightcloud 或
paloaltonetworks (PAN-DB)。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 17
定义管理设置
表 1. 管理设置(续)
项目
说明
使用虚拟机监控程序分配
的 MAC 地址(仅限 VM
系列防火墙)
选中该复选框可使 VM 系列防火墙使用虚拟机监控程序分配的 MAC 地
址,而不是使用 PAN-OS 自定义模式生成 MAC 地址。
如果启用此选项且使用接口的 IPv6 地址,则接口 ID 不得使用 EUI-64 格
式,这可以根据 MAC 地址派生出 IPv6 地址。在高可用性 (HA) 主动 / 被
动配置中,如果使用 EUI-64 格式,则可能会出现提交错误。
身份验证设置
身份验证配置文件
选择用来对拥有外部帐户(不是在设备上定义的帐户)的管理员进行身份
验证的身份验证配置文件(或序列)。只能将身份验证配置文件的类型设
置为 RADIUS,且身份验证配置文件只能引用适用于此设置的 RADIUS
服务器配置文件。当外部管理员登录时,设备会从 RADIUS 服务器请求
身份验证信息(包括管理员角色)。
要对外部管理员进行身份验证,还必须在 RADIUS 服务器上安装 Palo
Alto Networks RADIUS 词典文件。此文件定义在设备和 RADIUS 服务器
间进行通信所需的身份验证属性。有关安装该文件的位置的说明,请参阅
RADIUS 服务器软件文档。
如果选择无,设备不会对外部管理员进行身份验证;他们无法登录。
有关详细信息,请参阅“设置身份验证配置文件”和“配置 RADIUS 服
务器设置”。
注:如果管理员为本地管理员,则设备使用与管理员帐户相关联的身份验
证配置文件进行身份验证(参阅“创建管理帐户”)。
证书配置文件
选择证书配置文件,以供管理员用来访问防火墙。有关配置证书配置文件
的说明,请参阅“创建证书配置文件”。
空闲超时
输入以分钟为单位的超时间隔(范围为 0-1440,默认为 0)。值为 0 表示管
理、Web 界面或 CLI 会话未超时。
失败的尝试次数
输入锁定帐户之前 Web 界面和 CLI 将允许 PAN-OS 登录尝试失败的次数
(范围为 0-10,默认为 0)。值 0 代表没有尝试限制。
锁定时间
输入用户在达到失败的尝试次数限制后将被 PAN-OS 锁定的分钟数(范
围为 0-60,默认为 0)。值 0 代表没有尝试限制。
Panorama 设置:设备 > 设置 > 管理
在防火墙或 Panorama 的模板中配置以下设置。这些设置用于建立从防火墙到 Panorama 的连接。
您还必须在 Panorama 上配置连接和对象共享设置:请参阅“Panorama 设置:Panorama > 设置 > 管理”。
Panorama 服务器
输入 Panorama 服务器的 IP 地址。如果 Panorama 采用高可用性 (HA) 配
置,请在第二个 Panorama 服务器字段中输入辅助 Panorama 服务器的 IP
地址。
连接到 Panorama 的接收
超时
输入以秒为单位从 Panorama 接收 TCP 消息的超时值(范围为 1-240,默
认为 240)。
连接到 Panorama 的发送
超时
输入以秒为单位将 TCP 消息发送到 Panorama 的超时值(范围为 1-240,
默认为 240)。
对 Panorama 的 SSL 发送
的重试次数
输入在将安全套接字层 (SSL) 消息发送到 Panorama 时的重试次数(范围
为 1-64,默认为 25)。
18 • Web 界面参考指南,版本 7.0
Palo Alto Networks
定义管理设置
表 1. 管理设置(续)
项目
说明
禁用 / 启用 Panorama 策
略和对象
在防火墙(而非 Panorama 的模板中)编辑 Panorama 设置时,会出现该
按钮。
单击禁用 Panorama 策略和对象可禁用传播到防火墙的设备组策略和对
象。默认情况下,该操作还会将这些策略和对象从防火墙中删除。要在防
火墙上保留设备组策略和对象的本地副本,请在单击该按钮后打开的对话
框中选中禁用前导入 Panorama 策略和对象复选框。在执行提交之后,这
些策略和对象就会成为防火墙配置的一部分且 Panorama 不再管理它们。
在正常运行情况下,不需要禁用 Panorama 管理,禁用会让防火墙的维护
和配置变得复杂。通常,该选项适用于防火墙需要不同于在设备组中所定
义的规则和对象值的情况。例如,在防火墙完成生产并移入实验室环境进
行测试时。
要将防火墙策略和对象管理恢复到 Panorama 中,请单击启用 Panorama 策
略和对象。
禁用 / 启用设备和网络
模板
在防火墙(而非 Panorama 的模板中)编辑 Panorama 设置时,会出现该
按钮。
单击禁用设备和网络模板可禁用传播到防火墙的模板信息(设备和网络配
置)。默认情况下,该操作还会将模板信息从防火墙中删除。要在防火墙
上保留模板信息的本地副本,请在单击该按钮后打开的对话框中选中禁用
前导入设备和网络模板复选框。在执行提交之后,模板信息就会成为防火
墙配置的一部分且 Panorama 不再管理该信息。
在正常运行情况下,不需要禁用 Panorama 管理,禁用会让防火墙的维护
和配置变得复杂。通常,该选项适用于防火墙需要不同于在模板中组所定
义的设备和网络配置值的情况。例如,在防火墙完成生产并移入实验室环
境进行测试时。
要配置防火墙再次接受模板,请单击启用设备和网络模板。
Panorama 设置:Panorama > 设置 > 管理
如要使用 Panorama 来管理防火墙,请在 Panorama 上配置以下设置。这些设置可确定从 Panorama
到受管防火墙的连接的超时和 SSL 消息尝试次数,以及还确定对象共享参数。
您还必须在防火墙或 Panorama 的模板中配置 Panorama 连接设置:请参阅 “Panorama 设置:设备 >
设置 > 管理”。
连接到设备的接收超时
输入以秒为单位从所有受管防火墙接收 TCP 消息的超时值(范围为 1-240,
默认为 240)。
连接到设备的发送超时
输入以秒为单位将 TCP 消息发送到所有受管防火墙的超时值(范围为 1-240,
默认为 240)。
对设备的 SSL 发送的重试
次数
输入在将安全套接字层 (SSL) 消息发送到受管防火墙时的允许重试次数(范
围为 1-64,默认为 25)。
与设备共享未使用的地址
和服务对象
选中此复选框可以与受管防火墙共享所有 Panorama 共享对象和设备组特
定对象。该设置在默认情况下已启用。
如果取消选中该复选框,PAN-OS 将检查 Panorama 的地址、地址组、服
务和服务组对象引用策略,而且不会共享任何非引用对象。该选项可确保
PAN-OS 只将所需对象发送至受管防火墙,从而减少总对象数。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 19
定义管理设置
表 1. 管理设置(续)
项目
说明
父对象具有较高优先级
选中该复选框可指定当层次结构不同级别中的设备组拥有相同的类型和名
称但值不同时,祖先组中的对象值的优先级高于后代组中的对象值。这意
味着在您执行设备组提交时,祖先值将会替换所有替代值。
默认情况下,已禁用此系统范围设置,且在后代组中替代的对象的优先级
高于从祖先组继承对象的该组。
管理接口设置
该接口适用于防火墙、Panorama M 系列 设备或 Panorama 虚拟设备。
默认情况下,M 系列 设备使用管理 (MGT) 接口来进行配置、日志收集和收集器组通信。但是,如果
要配置 Eth1 或 Eth2 进行日志收集或收集器组通信,则最佳做法就是为管理接口定义一个私有化程度
高于 Eth1 或 Eth2 子网的独立子网。可以在网络掩码(对于 IPv4)或 IPv6 地址 / 前缀长度(对于
IPv6)字段中定义该子网。Panorama 虚拟设备不支持独立接口。
注:要完成管理接口的配置,您必须指定 IP 地址、网络掩码(对于 IPv4)或前缀长度(对于 IPv6)
和默认网关。如果只提交部分配置(例如,您可能省略了默认网关),那么以后在执行配置更改时只
能通过控制台端口访问设备。我们建议您始终提交完整配置。
IP 地址 (IPv4)
如果网络使用 IPv4,请为管理接口分配 IPv4 地址。此外,您还可以分配
设备管理回环接口的 IP 地址。默认情况下,输入的 IP 地址是用于转发日
志的源地址。
网络掩码 (IPv4)
如果已为管理接口分配 IPv4 地址,还必须输入网络掩码(例如,
255.255.255.0)。
默认网关
如果已为管理接口分配 IPv4 地址,还必须为默认网关分配 IPv4 地址(网
关必须与管理接口在同一子网中)。
IPv6 地址 / 前缀长度
如果网络使用 IPv6,请为管理接口分配 IPv6 地址。为了指明网络掩码,
请输入 IPv6 前缀长度(例如,2001:400:f00::1/64)。
默认 IPv6 网关
如果已为管理接口分配 IPv6 地址,还必须为默认网关分配 IPv6 地址(网
关必须与管理接口在同一子网中)。
速度
配置管理接口的数据速率和双工选项。选项包括 10Mbps、100Mbps 和
1Gbps(全双工或半双工)。使用默认自动协商设置可使设备(Panorama
或防火墙)确定接口速度。
注意:此设置必须与邻近网络设备上的端口设置匹配。
MTU
输入在此接口上发送的数据包的最大传输单元 (MTU),以字节为单位(范
围为 576-1500,默认为 1500)。
服务
选 择 您 想在指定管理接口地址中启用的服务:HTTP、HTTP OCSP、
HTTPS、Telnet、SSH(安 全 外 壳)、Ping、SNMP、User-ID、User-ID
系统日志侦听器 SSL、User-ID 系统日志侦听器 UDP。
允许的 IP 地址
输入允许从其中管理防火墙的 IP 地址列表。当为 Panorama M 系列 设备
使用此选项时,应添加每个受管防火墙的 IP 防火墙。否则,防火墙无法
连接并将日志转发到 Panorama,或接收配置更新。
Eth1 接口设置
此接口仅适用于 Panorama M 系列 设备。默认情况下,M 系列 设备使用管理接口来进行配置、日志收
集和收集器组通信。但是,如果使用 Eth1,可以在定义受管收集器(Panorama > 受管收集器)时对
该接口进行配置,以用于日志收集或收集器组通信。
注:只有指定 IP 地址、网络掩码(对于 IPv4)或前缀长度(对于 IPv6)和默认网关,您才能提交 Eth1
配置。
Eth1
20 • Web 界面参考指南,版本 7.0
选中此复选框可启用 Eth1 接口。
Palo Alto Networks
定义管理设置
表 1. 管理设置(续)
项目
说明
IP 地址 (IPv4)
如果网络使用 IPv4,请为 Eth1 接口分配 IPv4 地址。
网络掩码 (IPv4)
如果已为接口分配 IPv4 地址,还必须输入网络掩码(例如,255.255.255.0)。
默认网关
如果已为接口分配 IPv4 地址,还必须为默认网关分配 IPv4 地址(网关必
须与 Eth1 接口在同一子网中)。
IPv6 地址 / 前缀长度
如果网络使用 IPv6,还必须为 Eth1 接口分配 IPv6 地址。为了指明网络掩
码,请输入 IPv6 前缀长度(例如,2001:400:f00::1/64)。
默认 IPv6 网关
如果已为接口分配 IPv6 地址,还必须为默认网关分配 IPv6 地址(网关必
须与 Eth1 接口在同一子网中)。
速度
配置 Eth1 接口的数据速率和双工选项。选项包括 10Mbps、100Mbps 和
1Gbps(全双工或半双工)。使用默认自动协商设置可使 Panorama 确定
接口速度。
注意:此设置必须与邻近网络设备上的端口设置匹配。
MTU
输入在此接口上发送的数据包的最大传输单元 (MTU),以字节为单位(范
围为 576-1500,默认为 1500)。
服务
如果想在 Eth1 接口上启用 Ping,请选择该服务。
允许的 IP 地址
输入包含可以通过其进行 Eth1 管理的 IP 地址的列表。
Eth2 接口设置
此接口仅适用于 Panorama M 系列 设备。默认情况下,M 系列 设备使用管理接口来进行配置、日志
收集和收集器组通信。但若启用了 Eth2,那么您可以在定义受管收集器(Panorama > 受管收集器)
时对该接口进行配置,以用于日志收集和 / 或收集器组通信。
注:只有指定 IP 地址、网络掩码(对于 IPv4)或前缀长度(对于 IPv6)和默认网关,您才能提交 Eth2
配置。
Eth2
选中此复选框可启用 Eth2 接口。
IP 地址 (IPv4)
如果网络使用 IPv4,请为 Eth2 接口分配 IPv4 地址。
网络掩码 (IPv4)
如果已为接口分配 IPv4 地址,还必须输入网络掩码(例如,255.255.255.0)。
默认网关
如果已为接口分配 IPv4 地址,还必须为默认网关分配 IPv4 地址(网关必
须与 Eth2 端口在同一子网中)。
IPv6 地址 / 前缀长度
如果网络使用 IPv6,请为 Eth2 接口分配 IPv6 地址。为了指明网络掩码,
请输入 IPv6 前缀长度(例如,2001:400:f00::1/64)。
默认 IPv6 网关
如果已为接口指定 IPv6 地址,还必须为默认网关分配 IPv6 地址(网关必
须与 Eth2 接口在同一子网中)。
速度
配置 Eth2 接口的数据速率和双工选项。选项包括 10Mbps、100Mbps 和
1Gbps(全双工或半双工)。使用默认自动协商设置可使 Panorama 确定
接口速度。
注意:此设置必须与邻近网络设备上的端口设置匹配。
MTU
输入在此接口上发送的数据包的最大传输单元 (MTU),以字节为单位(范
围为 576-1500,默认为 1500)。
服务
如果想在 Eth2 接口上启用 Ping,请选择该服务。
允许的 IP 地址
输入包含可以通过其进行 Eth2 管理的 IP 地址的列表。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 21
定义管理设置
表 1. 管理设置(续)
项目
说明
记录和报告设置
使用此部分可修改:
• 下列设备生成的日志和报告的过期期限和配额。在高可用性对之间同步的设置。
– 防火墙生成的日志(设备 > 设置 > 管理)。应用到防火墙上所有虚拟系统的设置。
– Panorama 管理服务器及其受管收集器生成的日志(Panorama > 设置 > 管理)。要配置受管收集
器接收来自防火墙的日志的设置,请参阅“定义日志收集器组”。
• 用于计算和导出用户活动报告的属性。
• 防火墙 / Panorama 上创建的预定义报告。
日志存储子选项卡
对于各种日志类型和日志摘要类型,可以指定:
(日志卡存储和管理卡存
储选项卡仅适用于
PA-7000 系列防火墙)
• 在硬盘上以百分比为单位为日志存储分配的配额。更改配额值时,相关
联的磁盘分配情况会自动更改。如果所有值的总和超出 100%,则页面
上将显示红色消息,并将在您尝试保存设置时显示错误消息。如果发生
这种情况,请重新调整百分比值以使总和在 100% 限制范围内。
• 最大天数是指日志过期期限(范围为 1-2,000)。设备会自动删除超过指
定期限的日志。默认情况下,未设置过期期限,这意味着日志不会过期。
设备在创建日志时会对其进行评估,并删除超过过期期限或配额大小的
日志。
注意:如果每周摘要日志在设备删除日志后达到两次之间的过期阈值,则
其期限可能会在下一次删除之前超过阈值。日志配额达到最大大小后,设
备会开始使用新日志条目覆盖最旧日志条目。如果减小日志配额大小,则
设备会在您提交更改后删除最旧的日志。在高可用性 (HA) 主动 / 被动配
置中,被动对端不会收到日志,因此不会将其删除,除非发生故障转移且
变成主动。
单击还原默认值可恢复为默认值。
单击确定可保存更改。
PA-7000 系列防火墙会将日志存储在日志处理卡 (LPC) 和交换机管理卡 (SMC)
中,所以会将日志配额分给这两个区域。日志存储选项卡包含适用于存储
在 LPC 上的数据类通信的配额设置(例如,通信和威胁日志)。管理卡存
储选项卡包含适用于存储在 SMC 上的管理类通信的配额设置(例如,配
置日志、系统日志和警报日志)。
22 • Web 界面参考指南,版本 7.0
Palo Alto Networks
定义管理设置
表 1. 管理设置(续)
项目
说明
日志导出和报告子选项卡
配置审核的版本数 — 输入在放弃最旧配置版本之前要保存的配置版本数
(默认值为 100)。您可以使用这些保存的版本进行审计和比较配置中的
更改。
配置备份的版本数 —(仅限 Panorama)输入在放弃最旧的配置备份版本之
前要保存的配置备份数(默认为 100)。
CSV 导出中的最大行数 — 在“通信日志”视图中,输入将从导出到 CSV 图
标生成的 CSV 报告中显示的最大行数(范围为 1-1048576,默认为 65535)。
用户活动报告中的最大行数 — 输入详细用户活动报告支持的最大行数
(范围为 1-1048576,默认为 5000)。
平均浏览时间(秒)— 配置此变量可调整“用户活动报告”中浏览时间
(以秒为单位)的计算方式(范围为 0-300,默认为 60)。
此计算将忽略类别为“Web 通告”和“内容分发网络”的两类站点。此浏
览时间计算将以 URL 过滤日志中记录的容器页面为基础。由于外部站点
的许多站点加载内容都不应考虑在内,因此容器页面将用作此计算的基
础。有关容器页面的详细信息,请参阅“容器页”。
平均浏览时间设置是管理员认为用户浏览网页所用的平均时间。平均浏览
时间过后进行的任何请求将被视为新的浏览活动。计算将忽略在第一次请
求时间(开始时间)与平均浏览时间之间加载的任何新网页。此行为旨在
排除所需网页内加载的任何外部站点。
示例:如果平均浏览时间设置为 2 分钟,那么用户打开一个网页并查看该页
面 5 分钟,则此页面的浏览时间仍然为 2 分钟。由于无法确定用户查看给
定页面的时间,因此系统将执行此操作。
页面加载阀值(秒)— 此选项允许您调整在页面上加载页面元素所用的假
定时间(以秒为单位)(范围为 0-60,默认为 20)。第一次页面加载和页
面加载阈值之间发生的任何请求都会被假定为页面元素。在页面加载阈值
之外发生的任何请求都会被假定为用户单击页面内链接的操作。页面加载
阀值还可以用在“用户活动报告”的计算中。
系统日志主机名格式 — 选择是使用系统日志消息标头中的 FQDN、主机
名还是 IP 地址;该标头可以从消息来源中标识防火墙 / Panorama。
LogDb 被填满时,停止通信 —(仅限防火墙)如果您希望通过防火墙的通
信在日志数据库填满时停止,请选中此复选框(默认未选中)。
报告过期期限 — 设置以天数为单位的报告过期期限(范围为 1-2,000)。
默认情况下,未设置过期期限,这意味着报告不会过期。设备每晚会根据
其时间在上午两点删除过期的报告。
启用高 DP 负载上的日志 —(仅限防火墙)如果希望防火墙上的数据包处
理负载达到 100% CPU 使用率时生成系统日志条目,请选中此复选框。
高 CPU 负载可能会导致操作性能降级,因为 CPU 没有足够的周期来处理
所有数据包。系统日志将向您警告此问题(每分钟生成一次日志条目),
并可使您调查可能的原因。
默认情况下禁用。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 23
定义管理设置
表 1. 管理设置(续)
项目
说明
(仅限在 Panorama 上)
已缓冲从设备转发的日志 — 允许防火墙在丢失与 Panorama 的连接时缓冲
其硬盘(本地存储器)上的日志条目。与 Panorama 的连接恢复后,这些
日志条目将转发到 Panorama ;可用于缓冲的磁盘空间取决于该平台的日
志存储配额以及暂挂的滚动日志量。如果可用空间耗尽,最旧的条目将被
删除,以便记录新事件。
默认情况下启用。
仅获取转换成主设备时的新日志 — 该选项仅在 Panorama 将日志写入网络
文件共享 (NFS) 时适用。使用 NFS,只有主 Panorama 会装入到 NFS。因
此,防火墙只会向主动主要 Panorama 发送日志。
该选项可让管理员对受管防火墙进行配置,从而在出现 HS 故障转移且辅
助 Panorama 恢复向 NFS 记录日志时(提升为主 Panorama 后),只向
Panorama 发送新生成的日志。
启用此行为通常是为了阻止防火墙在很长时间之后恢复与 Panorama 的连
接时发送大量的缓冲日志。
仅将主动主要设备记录到本地磁盘 — 允许您只将主动主要 Panorama 配
置为将日志保存到本地磁盘。
该选项对于带有虚拟磁盘的 Panorama 虚拟机以及处于 Panorama 模式的
M 系列 设备有效。
预定义报告 — 应用程序、通信、威胁和 URL 过滤的预定义报告可用在防火
墙和 Panorama 上。默认情况下,这些预定义报告处于启用状态。
因为每隔一小时,防火墙就会生成这些结果,因此会消耗内存资源(将结
果转发给 Panorama,对其进行聚合和编译以进行查看,这也会消耗内
存),为了减少内存使用,可以禁用与您无关的报告;要禁用某个报告,
请清除该报告的复选框。
使用全选或取消全选选项可以启用或禁用全部预定义报告的生成。
注:在禁用报告之前,请确保此报告未包含在“组报告”或“PDF 报告”
内。如果某预定义报告属于报告组,但对此报告进行了禁用,那么整组报
告中都不会有数据。
最小密码复杂性
已启用
启用本地帐户的最小密码要求。使用此功能,可以确保防火墙上的本地管
理员帐户遵从已定义的一组密码要求。
还可以使用这些选项的子集创建密码配置文件,这些选项的子集将替代这
些设置并可应用到特定帐户。有关详细信息,请参阅“定义密码配置文
件”;有关用于帐户的有效字符的信息,请参阅“定义管理员角色”。
注:可输入的最大密码长度为 31 个字符。设置要求时,请确保您不会创
建不被接受的组合。例如,您不能设置包括 10 个大写字母、10 个小写字
母、10 个数字和 10 个特殊字符的要求,因为此组合将超出最大长度 31 个
字符。
注:如果您已配置高可用性 (HA),请在配置密码复杂性选项时始终使用
主要设备,并在更改后立即提交。
最小长度
要求最小长度在 1-15 个字符以内。
最小大写字母数
要求最少大写字母数在 0-15 字符以内。
最小小写字母数
要求最少小写字母数在 0-15 字符以内。
最小数字字母数
要求最少数字字母数在 0-15 数字以内。
24 • Web 界面参考指南,版本 7.0
Palo Alto Networks
定义操作设置
表 1. 管理设置(续)
项目
说明
最小特殊字符数
要求最少特殊字符(非字母数字)数在 0-15 个字符以内。
阻止重复的字符
指定密码允许的连续重复字符数。范围为(2-15)。
如果将值设置为 2,密码可以连续两次包含同一字符,但如果连续三次或
多次使用同一字符,则密码不允许。
例如,如果将值设置为 2,系统将接受密码 test11 或 11test11,但不接受
test111,因为数字 1 连续出现三次。
阻止包括用户名(反之
亦然)
选中此复选框可阻止在密码中使用帐户用户名(或相反的名称版本)。
字符不同的新密码
管理员更改其密码时,字符必须按指定的值而有所不同。
在第一次登录时需要更改
密码
选中此复选框将在管理员第一次登录到设备时提示他们更改其密码。
阻止密码重用限制
要求系统根据指定计数不得重用之前的密码。例如,如果值设置为 4,则
您不能重用最后四个密码(范围 0-50)的任意一个。
阻止密码更改期限
(天数)
达到指定天数(范围为 0-365 天)后,用户才能更改其密码。
需要密码更改期限
(天数)
需要管理员按设置的指定天数定期更改其密码,范围为 0-365 天。例如,
如果值设置为 90,则系统将每隔 90 天提示管理员更改一次密码。
您还可以设置 0-30 天的到期警告,并指定宽限期。
到期警告期限(天数)
如果已设置“需要密码更改期限”,则此设置可用于提示用户根据强制密
码更改日期方法,更改每个日志的密码(范围为 0-30 天)。
允许到期管理登录
(次数)
允许管理员在帐户到期后进行指定次数的登录。例如,如果值设置为 3,
且其帐户已过期,则此用户最多可在帐户锁定前进行 3 次登录(范围为
0-3 次登录)。
发布到期宽限期(天数)
允许管理员在帐户到期后在指定天数内登录(范围为 0-30 天)。
定义操作设置
设备 > 设置 > 操作
Panorama > 设置 > 操作
更改配置设置并单击确定时,将更新当前待选配置,而不是活动配置。单击页面顶部的提交将
在主动配置中应用待选配置,此操作将激活自上次提交后的所有配置更改。
此方法使您可以在激活配置前先查看配置。同时激活多个更改,有助于避免实时应用更改时可
能发生的无效配置状态。
需要时可以保存并恢复(还原)待选配置,还可以加载、验证、导入和导出配置。按保存会创
建当前待选配置的副本,而选择提交会使用待选配置的内容更新主动配置。
最好是通过单击屏幕右上角的保存链接,定期保存已输入的配置设置。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 25
定义操作设置
要管理配置,请选择适当的配置管理功能,如下表所述。
表 2. 配置管理功能
功能
说明
配置管理
恢复到上次保存的配置
从本地驱动器还原上次保存的待选配置。将覆盖当前待选配置。如果尚未
保存待选配置,会出现错误。
恢复到运行配置
还原上次运行配置。将替代当前运行配置。
保存已命名的配置快照
将待选配置保存到文件。输入文件名,或选择要替代的现有文件。请注意
不能替代当前活动配置文件 (running-config.xml)。
保存待选配置
将待选配置保存在闪存中(等同于单击页面顶部的保存)。
加载已命名的配置快照
从活动配置 (running-config.xml) 或者以前导入或保存的配置加载待选配
置。选择要加载的配置文件。将覆盖当前待选配置。
加载配置版本
加载指定的配置版本。
导出已命名的配置快照
导出活动配置 (running-config.xml) 或者以前保存或导入的配置。选择要
导出的配置文件。可以打开文件和 / 或将其保存在任何网络位置中。
导出配置版本
导出指定的配置版本。
导出 Panorama 及设备配
置包(仅限 Panorama)
手动生成和导出 Panoram 和每个受管防火墙的运行配置备份的最新版
本。要实现每天创建配置包并将其导出到 SCP 或 FTP 服务器的流程自动
化,请参阅“计划配置导出”。
导出或推送设备配置包
提示您选择防火墙,并对存储在 Panorama 上的防火墙配置执行下列操作
之一:
(仅限 Panorama)
• 将配置推送和提交到防火墙。该操作会清理防火墙(删除其所有本地配
置),并推送存储在 Panorama 上的防火墙配置。在导入防火墙配置
后,使用此选项可清理防火墙,以便可以使用 Panorama 进行管理。有
关详细信息,请参阅“将设备配置导入 Panorama”。
• 将配置导出到防火墙,而不加载。要加载配置,必须访问防火墙 CLI 并
运行配置模式命令 load device-state。此命令按照与推送和提交选项相
同的方式清理防火墙。
导出设备状态
(仅防火墙)
通过启用大规模 VPN (LSVPN) 功能,从配置为 GlobalProtect 门户的防
火墙导出配置和动态信息。如果此门户失败,可以导入导出文件,以还原
此门户的配置和动态信息。
导出包含门户管理的所有卫星设备的列表、导出时的运行配置以及所有证
书信息(根 CA、服务器和卫星证书)。
重要信息:你必须手动运行设备状态导出,或创建调度的 XML API 脚
本,以便将文件导出到远程服务器。因卫星证书经常改变,所以此操作应
定期完成。
要从 CLI 创建设备状态文件,请从配置模式运行save device state。
此文件将被命名为 device_state_cfg.tgz 并存储在 in /opt/pancfg/mgmt/
device-state 中。导出设备状态文件的操作命令为 scp export devicestate(您也可以使用 tftp export device-state)。
有关使用 XML API 的信息,请参阅 http://www.paloaltonetworks.com/
documentation 上的文档“PAN-OS XML-Based Rest API 使用指南”。
导入已命名的配置快照
26 • Web 界面参考指南,版本 7.0
从任意网络位置导入配置文件。单击浏览并选择要导入的配置文件。
Palo Alto Networks
定义操作设置
表 2. 配置管理功能(续)
功能
说明
导入设备状态
使用“导出设备状态”选项导入已导出的防火墙状态信息。其中包括当前
运 行 配置、Panorama 模板和共享策略。如果设备为 Global Protect 门
户,则导出包括证书颁发机构 (CA) 信息以及卫星设备和其身份验证信息
的列表。
(仅防火墙)
将设备配置导入 Panorama
(仅限 Panorama)
将防火墙配置导入 Panorama。Panorama 自动创建模板以包含网络和设
备配置。对于防火墙上的每个虚拟系统 (vsys),Panorama 自动创建设备
组以包含策略和对象配置。设备组在层次结构中将是共享位置下的一个级
别,尽管您可以在完成导入后重新将其分配给不同的父设备组(参阅“定
义设备组”)。
警告:Panorama 的内容版本(如应用程序和威胁数据库)必须与从其中
导入配置的防火墙的版本相同或更高。
配置以下导入选项:
• 设备 — 选择 Panorama 将从中导入配置的防火墙。下拉列表仅列出已连
接到 Panorama 且尚未分配给任何设备组或模板的防火墙。只能选择整
个防火墙,而不是单个虚拟系统。
• 模板名称 — 输入将包含导入的设备和网络设置的模板的名称。对于多虚
拟系统防火墙,该字段留空。对于其他防火墙,默认值为防火墙名称。
您不能使用现有模板的名称。
• 设备组名称前缀(仅限多虚拟系统防火墙)—(可选)添加一个字符串作
为每个设备组名称的前缀。
• 设备组名称 — 对于多虚拟系统防火墙,每个设备组默认都拥有一个虚拟系
统名称。对于其他防火墙,默认值为防火墙名称。您可以编辑默认名
称,但不能使用现有设备组的名称。
• 将设备的共享对象导入 Panorama 的共享上下文 — 默认选中此复选框,
这意味着 Panorama 导入属于在防火墙中共享的对象以便在 Panorama
中共享。如果清除此复选框,Panorama 会将共享防火墙对象复制到设
备组,而不是共享。此设置具有以下例外:
– 如果共享防火墙对象具有与现有共享 Panorama 对象相同的名称和值,
则导入排除该防火墙对象。
– 如果共享防火墙对象的名称或值不同于共享 Panorama 对象,则
Panorama 将防火墙对象导入每个设备组。
– 如果已导入模板的配置引用共享防火墙对象,则 Panorama 将对象导入
共享,无论您是否选中该复选框。
– 如果共享防火墙对象引用已导入模板的配置,则 Panorama 将对象导入
设备组,无论您是否选中该复选框。
• 规则导入位置 — 选择 Panorama 将导入策略是作为前导规则还是后续规
则。无论您的选择怎样,Panorama 都会将默认安全规则(区域内默认
和区域间默认)导入后续规则库。
警 告:如果 Panorama 拥有名称与所导入的防火墙规则相同的规则,
Panorama 会同时显示两个规则。但是,规则名称必须唯一:在 Panorama
上执行提交前应删除其中一个规则,否则提交将失败。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 27
定义操作设置
表 2. 配置管理功能(续)
功能
说明
设备操作
重新启动
要重新启动防火墙或 Panorama,单击重新启动设备。设备会将您注销、
重新加载软件(PAN-OS 或 Panorama)和主动配置、关闭和记录现有会
话以及创建用于显示启动关机的管理员的姓名的系统日志条目。尚未保存
或提交的任何配置更改将丢失(参阅“定义操作设置”)。
注:如果 Web 界面不可用,请使用 CLI 命令
request restart system。
关机
要正常关闭防火墙 / Panorama,请单击关闭设备或关闭 Panorama,然
后在出现确认提示时单击是。尚未保存或提交的任何配置更改将丢失。所
有管理员都将注销,并且将发生以下进程:
• 所有登录会话都将注销。
• 接口将禁用。
• 所有系统进程都将停止。
• 现有会话将被关闭和记录。
• 系统会创建显示启动关闭的管理员名称的系统日志。如果无法写入此日
志条目,则系统将显示警告且不会关闭。
• 磁盘驱动程序将完全卸除,设备将关闭。
您必须拔出电源并在开启设备前插回电源。
注:如果 Web 界面不可用,请使用 CLI 命令
request shutdown system。
重新启动数据面板
要 在 不 重 新 启 动 机 器 的 情 况 下 重 新 启 动 防 火 墙 的 数 据 功 能,请 单 击
Restart Dataplane。此选项在 PA-200 防火墙和 Panorama 上不可用。
注:如果 Web 界面不可用,请使用 CLI 命令
request restart dataplane。
其他
自定义徽标
使用此选项可自定义以下任意图像:
• 登录屏幕背景图像
• 主 UI(用户界面)标头图像
• PDF 报告标题页图像。请参阅“管理 PDF 摘要报告”。
• PDF 报告页脚图像
单击
上传图像文件,单击
进行预览或
删除以前上传的图像。
注意以下几点:
• 支持的文件类型有 png、gif 和 jpg。
不支持包含 alpha 通道的图片文件,如果在 PDF 报告中使用此类文件,
将无法正确生成报告。您可能需要联络创建此图片的制图者删除 alpha 通
道,或者确保您所使用的图形软件不会保存带有 alpha 通道功能的文件。
• 要恢复默认徽标,请删除您的条目然后提交。
• 任何徽标图像的最大图像大小均为 128 KB。
• 对于登录屏幕和主用户界面选项,单击
后将按原样显示图像。如有
必要,可将图像裁切为合适大小。对于 PDF 报告,图像将自动调整为合
适大小,无需裁切。在所有情况下,预览均显示建议采用的图像尺寸。
有关生成 PDF 报告的信息,请参阅“管理 PDF 摘要报告”。
28 • Web 界面参考指南,版本 7.0
Palo Alto Networks
定义硬件安全模块
表 2. 配置管理功能(续)
功能
说明
SNMP 设置
指定 SNMP 参数。请参阅“启用 SNMP 监控”。
统计信息服务设置
静态服务功能允许防火墙向 Palo Alto Networks 研究团队发送匿名应用程
序、威胁和崩溃信息。使用收集的信息,研究团队可以根据实际信息持续
提高 Palo Alto Networks 产品的效率。默认情况下此服务处于禁用状态,
启用后,信息将每隔 4 小时上载一次。
可允许防火墙发送以下任何类型的信息:
• 应用程序和威胁报告
• 未知应用程序报告
• URL 报告
• 用于发现崩溃的设备跟踪
要查看欲发送统计报告的内容示例,请单击报告图标
。此时将打开报
告示例选项卡,以显示报告代码。要查看报告,请单击所需报告旁边的复
选框,然后单击报告示例选项卡。
定义硬件安全模块
设备 > 设置 > HSM
HSM 选项卡可让您查看硬件安全模块 (HSM) 的状态并对其进行配置。
以下状态设置显示在硬件安全模块 (HSM) 供应商部分中。
表 3. HSM 模块供应商状态设置
字段
已配置供应商
说明
指定以下任一命令:
• None — 不对防火墙配置任何 HSM。
• SafeNet Luna SA — 在防火墙上配置 SafeNet Luna SA HSM。
• Thales Nshield Connect — 在防火墙上配置 Thales Nshield 连接。
高可用性
如果选中了 HSM 高可用性,将予以配置。仅限 SafeNet Luna SA。
高可用性组名。
防火墙上为 HSM 高可用性配置的组名。仅限 SafeNet Luna SA。
防火墙源地址
用于 HSM 服务的端口地址。默认为管理端口地址。通过使用设备 > 设置 >
服务中的服务路由配置,也可以指定为其他地址。
HSM 加密的主密钥
如果选中此复选框,主密钥将在 HSM 上加密。
状态
请根据需要参阅“SafeNet Luna SA 硬件安全模块状态设置”或“Thales
Nshield 连接硬件安全模块状态设置”。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 29
定义硬件安全模块
要在防火墙上配置硬件安全模块 (HSM),请单击“硬件安全模块供应商”部分中的“编辑”图
标,并配置以下设置。
表 4. HSM 配置设置
字段
说明
已配置供应商
指定以下某个加密选项:
• None — 不对防火墙配置任何 HSM。不需要其他配置。
• SafeNet Luna SA — 在防火墙上配置 SafeNet Luna SA HSM。
• Thales Nshield Connect — 在防火墙上配置 Thales Nshield 连接。
模块名称
指定 HSM 的模块名称。该名称可以是任意 ASCII 字符串,长度最多 31 个
字符。如果您要配置高可用性 HSM 配置,请创建多个模块名称。
服务器地址
为您要配置的任何 HSM 模块指定 IPv4 地址。
高可用性
如果要以高可用性配置来配置 HSM 模块,请选中此复选框。必须配置各个
HSM 模块的模块名称和服务器地址。
仅限 SafeNet Luna SA
自动恢复重试
仅限 SafeNet Luna SA
指定故障转移到 HSM 高可用性配置中另一个 HSM 之前,防火墙尝试恢复
与 HSM 连接的次数。范围是 0-500 次。
仅限 SafeNet Luna SA
指定要用于 HSM 高可用性组的组名。该名称供防护墙内部使用。该名称可
以是任意 ASCII 字符串,长度最多 31 个字符。
远程文件系统地址
配置 Thales Nshield 连接 HSM 配置中所用的远程文件系统的 IPv4 地址。
高可用性组名
仅限 Thales Nshield 连接
选择设置硬件安全模块,并配置以下设置以向防火墙验证 HSM。
表 5. 设置“硬件安全模块”设置
字段
说明
服务器名称
从下拉框中选择 HSM 服务器名称。
管理员密码
输入 HSM 的管理员密码以向防火墙验证 HSM。
“硬件安全模块状态”部分中提供了有关已成功验证的 HSM 的信息。显示内容根据所配置的
HSM 供应商不同而不同。
表 6.
SafeNet Luna SA 硬件安全模块状态设置
字段
说明
序列号
如果 HSM 分区验证成功,会显示此 HSM 分区的序列号。
分区
分配到此防火墙的 HSM 上的分区名称。
模块状态
HSM 的当前操作状态。如果此表内显示该 HSM,那么该设置的值将为已
验证。
30 • Web 界面参考指南,版本 7.0
Palo Alto Networks
启用 SNMP 监控
表 7.
Thales Nshield 连接硬件安全模块状态设置
字段
说明
名称
HSM 的服务器名称。
IP 地址
分配到此防火墙的 HSM 的 IP 地址。
模块状态
HSM 的当前操作状态。
• 已验证
• 未验证
启用 SNMP 监控
设备 > 设置 > 操作
简单网络管理协议 (SNMP) 是用于监视网络设备的一个标准协议。使用操作页面配置设备使用
SNMP 管理器支持的 SNMP 版本(SNMPv2c 或 SNMPv3)。如需必须加载到 SNMP 管理器
以便解释从 Palo Alto Networks 设备收集的统计信息的 MIB 列表,请参阅支持的 MIB。
要对服务器配置文件(该文件用于支持防火墙与网络上的 SNMP 陷阱目标进行通信)进行配
置,请参阅“配置 SNMP 陷阱目标”。SNMP MIB 可定义设备生成的所有 SNMP 陷阱。SNMP
陷阱可以识别带有唯一对象标识 (OID) 的事件,且各个字段将定义为变量绑定 (varbind) 列表。
单击 SNMP 设置链接,并指定以下设置以允许从 SNMP 管理器发送 SNMP GET 请求:
表 8. SNMP 设置
字段
说明
物理位置
指定防火墙的物理位置。如果生成日志和陷阱,该信息可使您识别(在 SNMP 管理
器)生成此通知的设备。
联系人
输入负责维护防火墙的人员的姓名或电子邮件地址。此设置在标准系统信息 MIB 中
已提供。
使用特定陷阱定义
默认选中此复选框,这意味着设备根据事件类型使用每个 SNMP 陷阱的唯一 OID。
如果清除此复选框,每个陷阱都将拥有相同的 OID。
版本
选择 SNMP 版本:V2c(默认)或 V3。您的选择可控制对话框显示的其余字段。
对于 SNMP V2c
SNMP 团体字符串
Palo Alto Networks
输入团体字符串,不但可用于识别 SNMP 管理器和监控设备的 SNMP 团体,并且
还可用作密码在团体成员交换 SNMP 获取(统计信息请求)和陷阱消息时对其彼
此进行身份验证。字符串最多可以包含 127 个字符,接受所有字符且区分大小写。
最佳做法是不使用默认团体字符串 public。由于 SNMP 消息包含明文团体字符
串,因此在定义团体成员(管理员访问权限)时需要考虑网络的安全要求。
Web 界面参考指南,版本 7.0 • 31
定义服务设置
表 8. SNMP 设置(续)
字段
说明
对于 SNMP V3
名称 / 视图
您可以将一组或多个视图分配给 SNMP 管理器的用户,以控制用户可以从设备获
取的 MIB 对象(统计信息)。每个视图是一个配对的 OID 和位掩码:OID 指定
MIB,掩码(十六进制格式)指定可以在 MIB 内部(包括匹配)或外部(排除匹
配)访问的对象。
例如,如果 OID 为 1.3.6.1,将匹配选项设置为包括且掩码为 0xf0,则用户请求的对
象必须拥有与 1.3.6.1 的前四个节点 (f = 1111) 匹配的 OID。对象不需要匹配其余节
点。在本例中,1.3.6.1.2 与掩码相匹配,而 1.4.6.1.2 则不匹配。
对于每组视图,单击添加,输入组的名称,然后配置添加到组的每个视图的下列
设置:
• 视图 — 指定视图的名称。名称最多可以包含 31 个字符,包括字母数字、句点、
下划线或连线。
• OID — 指定 MIB 的 OID。
• 选项 — 选择应用到 MIB 的匹配逻辑。
• 掩码 — 指定掩码(十六进制格式)。
注:要访问所有管理信息,使用顶层 OID 1.3.6.1,将掩码设置为 0xf0 并将匹配选
项设置为包括。
当设备转发陷阱和 SNMP 管理器获取设备统计信息时,SNMP 用户帐户可提供身
份验证、隐私和访问控制。对于每位用户,单击添加并配置以下设置:
用户
• 用户 — 指定用户名以标识 SNMP 用户帐户。在设备上配置的用户名必须与在 SNMP
管理器上配置的用户名相匹配。用户名最多可以包含 31 个字符。
• 视图 — 将一组视图分配给用户。
• 身份验证密码 — 指定用户的身份验证密码。在转发陷阱并对统计信息请求做出响
应时,设备使用密码对 SNMP 管理器进行身份验证。设备使用安全哈希算法 (SHA-1
160) 对密码进行加密。密码长度必须为 8-256 个字符,且允许使用所有字符。
• 私人密码 — 指定用户的私人密码。设备使用密码和高级加密标准 (AES-128) 对
SNMP 陷阱进行加密,并对统计信息请求做出响应。密码长度必须为 8-256 个字
符,且允许使用所有字符。
定义服务设置
设备 > 设置 > 服务
在启用多个虚拟系统的防火墙上,服务选项卡分成全局和虚拟系统选项卡,您可以在其中分别
设置防火墙或其虚拟系统用于提高操作效率的服务。(如果防火墙是单个虚拟系统或如果已禁
用多个虚拟系统,则不会显示这两个选项卡,但只显示服务菜单。)
使用全局选项卡可设置整个防火墙的服务。此外,还可以将这些设置用作没有自定义服务设置
的虚拟系统的默认值。
• 在服务部分中,单击“编辑”图标可定义域名系统 (DNS) 服务器、更新服务器和代理服务器
的目标 IP 地址。使用专用 NTP 选项卡可配置网络时间协议设置。请参阅表 9,以获取服务
部分中的可用选项的字段描述。
32 • Web 界面参考指南,版本 7.0
Palo Alto Networks
定义服务设置
• 在服务功能部分中,单击服务路由配置以指定防火墙与提供服务(如 DNS、电子邮件、
LDAP、RADIUS 和 syslog 等)的其他服务器 / 设备进行通信的方式。可以通过两种方式配
置全局服务路由:
– 对所有项使用管理接口选项将通过管理接口 (MGT) 强制执行与外部服务器的所有防火墙
服务通信。如果选择此选项,则必须配置 MGT 接口以允许防火墙与提供服务的服务器 /
设备进行通信。要配置 MGT 接口,请导航到设备 > 设置 > 管理选项卡,并编辑“管理
接口设置”部分。
– 自定义选项可让您通过配置服务在其响应中用作目标接口和目标 IP 地址的特定源接口和
IP 地址粒度控制服务通信。(例如,您可以对防火墙与电子邮件服务器之间的所有电子
邮件通信配置接口的特定源 IP / 接口,并对 Palo Alto 更新使用其他源 IP / 接口。)选
择您要自定义以拥有相同设置的一个或多个服务,然后单击设置所选服务路由。表 10
中列出的服务表示是否可以为全局防火墙或虚拟系统配置服务,以及服务是否支持
IPv4 和 / 或 IPv6 源地址。
目标选项卡是可以自定义的另一个全局服务路由功能。目标选项卡显示在“服务路由配置”窗
口中,如“目标服务路由”中所述。
使用虚拟系统选项卡可指定单个虚拟系统的服务路由。选择一个位置(虚拟系统),并单击服
务路由配置。选择虚拟系统的继承全局服务路由配置或自定义服务路由。如果选择自定义设
置,可以选择 IPv4 或 IPv6。选择您要自定义以拥有相同设置的一个或多个服务,然后单击设
置所选服务路由。请参阅表 10,了解可以自定义的服务。
要控制和重定向共享和特定虚拟系统之间的 DNS 查询,可以使用 DNS 代理和 DNS 服务器配
置文件。
表 9 介绍全局服务。
表 9. 服务设置
功能
说明
服务
DNS
选择 DNS 服务的类型:服务器或 DNS 代理对象。此设置用于防火墙为支持 FQDN 地址对
象、日志记录和设备管理而发起的所有 DNS 查询。这些选项包括:
• 提供域名解析的主 DNS 服务器和辅助 DNS 服务器。
• 可以选择在防火墙上配置的 DNS 代理配置 DNS 服务器。
主 DNS 服务器
输入主 DNS 服务器的 IP 地址。此服务器用于从防火墙发起的 DNS 查询(例如用于查找更
新服务器,解析日志中的 DNS 条目),或用于基于 FDQN 的地址对象。
辅助 DNS 服务器
输入在主服务器不可用时要使用的辅助 DNS 服务器的 IP 地址(可选)。
更新服务器
此设置表示用于从 Palo Alto Networks 下载更新的服务器的 IP 地址或主机名。当前值为
updates.paloaltonetworks.com。除非技术支持人员要求更改服务器名称,否则请勿进行更改。
验证更新服务器的
身份
如果启用该选项,防火墙或 Panorama 将验证从其中下载软件或内容数据包的服务器是否拥
有由可信认证机构签署的 SSL 证书。该选项可为防火墙 / Panorama 服务器和更新服务器之
间的通信添加额外的安全级别。
“代理服务器”部分
服务器
如果设备需要使用代理服务器才能访问 Palo Alto Networks 更新服务,那么请输入该服务器
的 IP 地址或主机名。
端口
输入代理服务器的端口。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 33
定义服务设置
表 9. 服务设置(续)
功能
说明
用户
输入用于访问服务器的用户名。
密码 / 确认密码
输入并确认用户用于访问该代理服务器的密码。
NTP
NTP 服务器地址
输入想用于同步防火墙时钟的 NTP 服务器的 IP 地址或主机名。还可以输入在主服务器不可
用时要与防火墙时钟同步的辅助 NTP 服务器的 IP 地址或主机名。
身份验证类型
您可以启用防火墙,以对来自 NTP 服务器的时间更新进行身份验证。请针对各个 NTP 服务
器为防火墙选择身份验证类型,以便使用:
• 无 —(默认值)选择该选项可以禁用 NTP 身份验证。
• 对称式密钥 — 请为要使用对称式密钥交换(共享机密)对 NTP 服务器的时间更新进行身份
验证的防火墙选择该选项。如果选择“对称式密钥”,请继续输入以下字段:
– 密钥 ID — 输入密钥 ID (1-65534)。
– 算法 — 选择要用于 NTP 身份验证的算法(MD5 或 SHA1)。
– 身份验证密钥 / 确认身份验证密钥 — 输入并确认身份验证算法的身份验证密钥。
• 自动密钥 — 请为要使用自动密钥(公钥加密)对 NTP 服务器的时间更新进行身份验证的防
火墙选择该选项。
表 10. 服务路由配置设置
服务
虚拟
系统
全局
IPv4
IPv6
IPv4
IPv6
CRL 状态 — 证书吊销列表 (CRL) 服务器。


—
—
DNS — 域名系统服务器。* 对于虚拟系统,DNS 在 DNS 服
务器配置文件中完成。


*
*
电子邮件 — 电子邮件服务器。




HSM — 硬件安全模块服务器。

—
—
—
Kerberos — Kerberos 身份验证服务器。

—

—
LDAP — 轻型目录访问协议服务器。




MDM — 移动设备管理服务器。


—
—
Netflow — 收集网络通信统计信息的 Netflow 服务器。




NTP — 网络时间协议服务器。


—
—
Palo Alto 更新 — 通过 Palo Alto Networks 进行更新。

—
—
—
Panorama — Palo Alto Networks Panorama 服务器。


—
—
代理 — 用作防火墙代理的服务器。


—
—
RADIUS — 远程身份验证拨入用户服务服务器。




34 • Web 界面参考指南,版本 7.0
Palo Alto Networks
定义服务设置
表 10. 服务路由配置设置(续)
服务
虚拟
系统
全局
IPv4
IPv6
IPv4
IPv6
SNMP 陷阱 — 简单网络管理协议陷阱服务器。

—

—
Syslog — 系统消息记录服务器。




Tacplus — 提供身份验证、授权和计费 (AAA) 服务的增强的
终端访问控制器访问控制系统服务器。




UID 代理 — User-ID 代理服务器。




URL 更新 — 统一资源定位符 (URL) 更新服务器。


—
—
VM 监视器 — 虚拟机监控服务器。




Wildfire 私有 — Palo Alto Networks WildFire 私有服务器。

—
—
—
Wildfire 公共 — Palo Alto Networks WildFire 公共服务器。

—
—
—
当自定义全局服务路由时,在 IPv4 或 IPv6 选项卡上,选择可用服务列表,单击设置所选服务
路由,然后从下拉列表选择源接口和源地址。将“源接口”设置为任何可让您选择任何可用接
口的“源地址”。“源地址”中将显示分配给选定接口的 IPv4 或 IPv6 地址;选定 IP 地址将成
为服务通信的源地址。由于在配置各项服务时已配置目标,因此无需定义目标地址。例如,从
设备 > 设置 > 服务选项卡定义 DNS 服务器时,系统会同时设置 DNS 查询的目标。
在配置虚拟系统的服务路由时,继承全局服务路由配置选项意味着虚拟系统的所有服务都将会
继承全局服务路由设置。或者,您可以选择自定义,选择 IPv4 或 IPv6,选择一项服务,然后
单击设置所选服务路由。源接口包含下列三个选择:
• 继承全局设置 — 所选服务将继承这些服务的全局设置。
• 任何 — 可让您选择任何可用接口(特定虚拟系统的接口)的源地址。
• 从下拉列表选择接口 — 对于配置的服务,会将服务器的响应发送到所选接口,因为该接口
为源接口。
对于源地址,从下拉列表中选择地址。对于所选服务,会将服务器的响应发送到此源地址。
目标服务路由
设备 > 设置 > 服务 > 全局
返回全局选项卡,单击服务路由配置和自定义后,随即将显示目标选项卡。只有全局选项卡
(非虚拟系统选项卡)下的目标服务路由才可用,因此单个虚拟系统的服务路由无法替代不与
该虚拟系统相关联的路由表条目。
目标服务路由可以用来添加服务的自定义列表不支持的自定义服务重定向(表 10)。目标服务
路由是一种设置路由以替代转发信息库 (FIB) 路由表的方法。目标服务路由中的任何设置均会
替代路由表条目。可以将它们与任何服务进行关联或取消关联。
目标选项卡适用于下列用案:
• 当服务没有应用程序服务路由时。
• 在单个虚拟系统内,当您要使用多个虚拟系统或者虚拟路由器和管理端口的组合时。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 35
定义 DNS 服务器配置文件
表 11 定义了目标服务路由的字段。
表 11. 目标服务路由设置
字段
说明
目标
输入目标 IP 地址。
源接口
选择将用于从目标返回数据包的源接口。
源地址
选择将用于从目标返回数据包的源地址。您无需输入目标地址的
子网。
定义 DNS 服务器配置文件
设备 > 服务器配置文件 > DNS
要简化虚拟系统配置,DNS 服务器配置文件可让您指定要配置的虚拟系统,继承源或 DNS 服
务器的主和辅助 DNS 地址,以及将在已发送到 DNS 服务器的数据包中使用的源接口和源地址
(服务路由)。源接口和源地址可用作 DNS 服务器回复的目标接口和目标地址。
DNS 服务器配置文件仅适用于虚拟系统;不适用于全局共享位置。
表 12 介绍 DNS 服务器配置文件设置。
表 12. DNS 服务器配置文件设置
字段
说明
名称
DNS 服务器配置文件的名称。
位置
选择要应用配置文件的虚拟系统。
继承源
如果没有继承 DNS 服务器地址,则应选择无。否则,指定配置
文件应从中继承设置的 DNS 服务器。
检查继承源状态
单击可查看继承源信息。
主 DNS
指定主 DNS 服务器的 IP 地址。
辅助 DNS
指定辅助 DNS 服务器的 IP 地址。
服务路由 IPv4
如果您要指定将数据包转发到以 IPv4 地址为源地址的 DNS 服务
器,可以单击此复选框。
源接口
指定将数据包转发到的 DNS 服务器要使用的源接口。
源地址
指定将数据包转发到的 DNS 服务器用作源地址的 IPv4 源地址。
服务路由 IPv6
如果您要指定将数据包转发到以 IPv6 地址为源地址的 DNS 服务
器,可以单击此复选框。
源接口
指定将数据包转发到的 DNS 服务器要使用的源接口。
源地址
指定将数据包转发到的 DNS 服务器用作源地址的 IPv6 源地址。
36 • Web 界面参考指南,版本 7.0
Palo Alto Networks
定义 Content-ID 设置
定义 Content-ID 设置
设备 > 设置 > Content-ID
使用 Content-ID 选项卡定义 URL 过滤、数据保护和容器页面的设置。
表 13. Content-ID 设置
功能
说明
URL 过滤
动态 URL 缓存超时
单击编辑,并输入超时(以小时为单位)。此值用于动态 URL 过滤,以确定
条目从 URL 过滤服务返回后保留在缓存中的时间长度。仅在使用BrightCloud
数据库时,此选项才适用于 URL 过滤。有关 URL 过滤的信息,请参阅
“URL 过滤配置文件”。
URL 继续超时
指定用户执行“继续”操作后,用户必须在相同类别中再次对 URL 按“继
续”的时间间隔(以分钟为单位)(范围为 1-86400,默认为 15)。
URL 管理替代超时
指定用户输入管理替代密码后,用户必须在相同类别中重新输入 URL 的
管理替代密码之间的时间间隔(以分钟为单位)(范围为 1-86400,默认
为 900)。
URL 管理锁定超时
指定三次尝试不成功后,禁止用户使用 URL 管理替代密码的时间长度
(以分钟为单位)(范围为 1-86400,默认为 1800)。
PAN-DB 服务器
指定网络中私有 PAN-DB 服务器的 IPv4 地址、IPv6 地址或 FQDN。最多
可以输入 20 个条目。
(连接到私有 PAN-DB
服务器所需)
默认情况下,会将防火墙连接到公共 PAN-DB 云。适用于企业的私有
PAN-DB 解决方案不允许防火墙直接访问公共云中的 PAN-DB 服务器。
防火墙访问 URL 数据库、URL 更新和 URL 查询的此 PAN-DB 服务器列
表所包含的服务器,以便对网页进行分类。
URL 管理替代
URL 管理员替代设置
对于要为 URL 管理替代配置的每个虚拟系统,单击添加,并指定当 URL
过滤配置文件阻止一个页面且指定替代操作时要应用的设置(有关详细信
息,请参阅“URL 过滤配置文件”):
• 位置 — 从下拉列表中选择虚拟系统(仅限多虚拟系统防火墙)。
• 密码 / 确认密码 — 输入用户必须输入的密码以替代阻止页面。
• SSL/TLS 服务配置文件 — 要指定在通过指定服务器进行重定向时用来保
护通信的证书和允许的 TLS 协议版本,可以选择 SSL/TLS 服务配置文
件。有关详细信息,请参阅“管理 SSL/TLS 服务配置文件”。
• 模式 — 确定阻止页面是透明传递(似乎源自受阻网站)还是将用户重定
向到指定服务器。如果选择重定向,请输入用于重定向的 IP 地址。
单击
以删除条目。
Content-ID 设置
扩展数据包捕获长度
Palo Alto Networks
设置防间谍软件和漏洞保护配置文件中启用扩展捕获选项时,要捕获的数
据包数量。范围为 1-50,默认为 5。
Web 界面参考指南,版本 7.0 • 37
定义 Content-ID 设置
表 13. Content-ID 设置(续)
功能
说明
允许转发解密的内容
选中此复选框可允许防火墙将解密内容转发到外部服务。选中此复选框
后,这可让防火墙在端口镜像或发送 WildFire 文件进行分析时转发解密
的内容。
对于具有多个虚拟系统功能的设备,已经为每个虚拟系统启用此选项。要
为每个虚拟系统启用此设置,请转到设备 > 虚拟系统选项卡。
X-Forwarded-For 标头
在 User-ID 中使用
X-Forwarded-For 标头
选中此复选框,以指定 User-ID 服务读取在 Internet 和代理服务器之间部
署防火墙时请求 Web 服务的客户端的 X-Forwarded-For (XFF) 标头中的
IP 地址,否则会隐藏用户的 IP 地址。User-ID 服务与其使用策略引用的
用户名读取的 IP 地址相匹配,以便这些策略可以控制和记录相关联的用
户和组进行的访问。
如果标头拥有无效 IP 地址,则 User-ID 服务会将该 IP 地址用作策略中的
组映射引用的用户名。如果标头拥有多个 IP 地址,则 User-ID 服务使用
左侧的第一个条目。
URL 日志显示“源用户”字段中匹配的用户名。如果 User-ID 服务无法执
行匹配或没有为与 IP 地址相关联的区域启用,“源用户”字段会显示含
有前缀 x-fwd-for 的 XFF IP 地址。
Strip-X-Forwarded-For
标头
选中此复选框可删除 X-Forwarded-For (XFF) 标头,其中包含在 Internet
和代理服务器之间部署防火墙时请求 Web 服务的客户端的 IP 地址。防火
墙会在转发请求之前将标头值归零:转发的数据包不包含内部源 IP 信息。
注:选中此复选框不会禁用将 XFF 标头用于策略中的用户属性(参阅“在
User-ID 中使用 X-Forwarded-For 标头”);防火墙只有在将 XFF 标头
用于用户属性后才会将 XFF 值归零。
Content-ID 功能
管理数据保护
对访问可能包含敏感信息(如信用卡号或社会保险号)的日志增强保护。
单击管理数据保护,并配置以下内容:
• 如果尚未设置新密码,请单击设置密码进行新密码设置。输入并确认
密码。
• 要更改密码,请单击更改密码。输入旧密码,然后输入并确认新密码。
• 要删除受保护的密码和数据,请单击删除密码。
容器页
使用这些设置可根据内容类型(如 application/pdf、application/soap+xml、
application/xhtml+、text/html、text/plain 和 text/xml)指定防火墙将
跟踪或记录的 URL 类型。按虚拟系统(从位置下拉列表中选择)设置容
器页面。如果虚拟系统未定义明确的容器页面,则将使用默认内容类型。
单击添加,并输入或选择内容类型。
为虚拟系统添加新内容类型时,将替代内容类型的默认列表。如果没有与
虚拟系统关联的内容类型,则将使用内容类型的默认列表。
38 • Web 界面参考指南,版本 7.0
Palo Alto Networks
配置 WildFire 设置
配置 WildFire 设置
设备 > 设置 > WildFire
使用 WildFire 选项卡在防火墙上配置 WildFire 设置。您可以同时启用要用来执行文件分析的
WildFire 云和 WildFire 设备。还可以设置将报告的文件大小限制和会话信息。在填充 WildFire
设置后,您可以通过创建 WildFire 分析配置文件指定要转发到 WildFire 云或 WildFire 设备的
文件(对象 > 安全配置文件 > WildFire 分析)。
要将解密内容转发到 WildFire,您需要选中设备 > 设置 > Content-ID >
URL 过滤设置框中的“允许转发解密内容”复选框。
表 14. 防火墙上的 WildFire 设置
字段
说明
常规设置
WildFire 私有云
输入 wildfire.paloaltonetworks.com 使用在美国托管的 WildFire 云分析文件。
要使用在日本托管的 WildFire 云,请输入 wildfire.paloaltonetworks.jp。
如果不想将良性文件转发到美国云服务器,您可能要使用日本的服务器。如
果已发送到日本云的文件确定为恶意,则日本云系统会将其转发到美国服务
器,可以在该服务器重新分析文件并生成签名。如果您在日本境内,还可以
体验更快速的样本提交和报告生成的响应时间。
WildFire 私有云
指定要用来分析文件的 WildFire 设备的 IP 地址或 FQDN。
最大文件大小 (MB)
指定将转发到 WildFire 服务器的最大文件大小。可用范围为:
• Flash (Adobe Flash) — 1-10MB,默认为 5MB
• apk(Android 应用程序)— 1-50MB,默认为 10MB
• pdf —(可移植文档格式)100KB-1000KB,默认为 200KB
• jar(封装 Java 类文件)— 1-10MB,默认为 1MB
• pe(可移植可执行文件)— 1-10MB,默认为 2MB
• ms-office (Microsoft Office) — 200KB-10000KB,默认为 500KB
注:上列值会因所安装的 PAN-OS 版本和 / 或内容发行版本而异。要查看
有效范围,请单击“大小限制”字段,随即会出现一个显示有可用范围和默
认值的弹出窗口。
报告良性文件
启用该选项后(默认情况下禁用),经 WildFire 分析确定为良性的文件将出
现在监控 > WildFire 提交日志中。
注:即使在防火墙上启用了该选项,被 WildFire 视为良性的电子邮件链接
仍会因已处理链接的潜在数量而无法记录到日志中。
报告灰色软件文件
启用该选项后(默认情况下禁用),经 WildFire 分析确定为灰色的文件将出
现在监控 > WildFire 提交日志中。
注:即使已在防火墙中启用该选项,WildFire 确定为灰色的电子邮件链接
仍会因已处理链接的潜在数量而无法记录到日志中。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 39
定义会话设置
表 14. 防火墙上的 WildFire 设置(续)
字段
说明
会话信息设置
设置
指定要转发到 WildFire 服务器的信息。默认情况下,选择以下所有信息:
• 源 IP — 发送可疑文件的源 IP 地址。
• 源端口 — 发送可疑文件的源端口。
• 目标 IP — 可疑文件的目标 IP 地址。
• 目标端口 — 可疑文件的目标端口。
• Vsys — 用于标识可能的恶意软件的防火墙虚拟系统。
• 应用程序 — 用于传输文件的用户应用程序。
• 用户 — 目标用户。
• URL — 与可疑文件关联的 URL。
• 文件名 — 所发送的文件的名称。
• 电子邮件发件人 — 当在 SMTP 和 POP3 通信中检测到恶意电子邮件链接时,
将在 WildFire 日志和 WildFire 详细报告中提供发件人姓名。
• 电子邮件收件人 — 当在 SMTP 和 POP3 通信中检测到恶意电子邮件链接时,
将在 WildFire 日志和 WildFire 详细报告中提供收件人姓名。
• 电子邮件主题 — 当在 SMTP 和 POP3 通信中检测到恶意电子邮件链接时,
将在 WildFire 日志和 WildFire 详细报告中提供电子邮件主题。
定义会话设置
设备 > 设置 > 会话
使用会话选项卡可配置会话老化时间、解密证书设置以及与全局会话相关的设置(例如,用防
火墙保护 IPv6 通信以及在策略更改时将安全策略与现有会话重新匹配)。该选项卡包含以下
部分:
• “会话设置”
• “会话超时”
• “解密设置:证书撤销检查”
• “解密设置:转发代理服务器证书设置”
• “VPN 会话设置”
40 • Web 界面参考指南,版本 7.0
Palo Alto Networks
定义会话设置
会话设置
表 15. 会话设置
字段
说明
重新匹配会话
如果单击编辑并选择重新匹配会话,防火墙就会将新配置的安全策略应用于
已在进行的会话。该功能在默认情况下已启用。如果禁用该设置,那么所有
策略更改都只会应用于在策略更改提交后发起的会话。
例如,如果在将关联策略配置为允许 Telnet 后启动了一个 Telnet 会话,随
后您又提交了策略更改以拒绝 Telnet,那么防火墙会将这个经过修订的策略
应用于当前会话并阻止该对话。
ICMPv6 令牌桶大小
输入 ICMPv6 错误消息的比率限制的桶大小。令牌桶大小是令牌桶算法的
参数,它控制 ICMPv6 错误数据包的数量(范围为 10-65535 个数据包,默
认为 100)。
ICMPv6 错误数据包
比率
输入每一秒全局允许通过防火墙的 ICMPv6 错误数据包平均数(范围为 1065535 个数据包 / 秒,默认为 100 个数据包 / 秒)。此值应用于所有接口。如
果防火墙达到该 ICMPv6 错误数据包速率,就会使用 ICMPv6 令牌桶启用
ICMPv6 错误消息节流。
启用 IPv6 防火墙
要为 IPv6 启用防火墙功能,请单击编辑,并选中 IPv6 防火墙复选框。
如果未启用 IPv6,则忽略所有基于 IPv6 的配置。即使为接口启用了 IPv6,
为了让 IPv6 正常工作,仍需启用 IPv6 防火墙设置。
启用巨帧
全局 MTU
选择可启用 Ethernet 接口上的 Jumbo frame 支持。Jumbo frame 的最大传
输单元 (MTU) 为 9192 字节,仅在特定平台中可用。
• 如果未选中启用 Jumbo Frame,全局 MTU 默认为 1500 字节;范围为 576
到 1500 字节。
• 如果选中启用 Jumbo Frame,全局 MTU 默认为 9192 字节;范围为 9192
到 9216 字节。
如果启用了 jumbo frame 并存在 MTU 未经专门配置的接口,那么这些接口
将自动继承该 jumbo frame 大小。因此,在启用 jumbo frame 之前,如果
存在不希望其包含 jumbo frame 的任何接口,您必须将该接口的 MTU 设置
为 1500 字节或其他值。要配置接口的 MTU(网络 > 接口 > Ethernet),请
参阅“第 3 层接口设置”。
NAT64 IPv6 最小网络
MTU
输入 IPv6 转换通信的全局 MTU。默认值 1280 字节基于 IPv6 通信的标准最
小 MTU。
NAT 超额订阅率
选择 DIPP NAT 超额订阅率,即可以同时使用同一转换 IP 地址和端口对的
次数。降低超额订阅率会减少源设备转换次数,但能提高 NAT 规则容量。
• 平台默认设置 — 将关闭超额订阅率显式配置,应用平台的默认超额订阅率。
请参阅 https://www.paloaltonetworks.com/products/product-selection.html
中的平台默认率值。
• 1x — 1 次。这意味着不能进行超额订阅;每个转换 IP 地址和端口对每次都
只能使用一次。
• 2x — 2 次
• 4x — 4 次
• 8x — 8 次
ICMP 无法访问数据包
率(每秒)
定义防火墙每秒可以发送的 ICMP 无法访问响应的最大数。此限制由 IPv4
和 IPv6 数据包共享。
默认值为每秒 200 条消息;范围为每秒 1-65535 条消息。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 41
定义会话设置
表 15. 会话设置(续)
字段
说明
加速老化
可加快空闲会话的超时。
选中此复选框可启用加速超时,并可指定阈值 (%) 和换算因数。
会话表一旦达到加速老化阈值(全百分比),PAN-OS 就会在所有会话的
老化计算中应用加速老化换算系数。默认换算系数为 2,意外着将以两倍于
所配置空闲时间的速率加速老化。将所配置空闲时间除以 2 就能得到比该时
间快一半的超时值。为了执行会话加速老化计算,PAN-OS 会将所配置空
闲时间(针对此类会话)除以换算系数,以确定更短的超时值。
例如,如果换算系数为 10,则通常在 3600 秒后超时的会话将以快 10 倍速度
(该时间的 1/10)超时,即在 360 秒后超时。
会话超时
会话超时将定义 PAN-OS 在会话进入非活动状态后在防火墙上进行会话维护的持续时间。默认
情况下,协议的会话超时到期时,PAN-OS 会关闭会话。
您可以在防火墙上定义 TCP、UDP、尤其是 ICMP 会话的超时数值。默认超时值将应用于所有其
他类型的会话。这些超时值都是全局性的,这意味着它们将应用于防火墙上的所有此类会话。
除了全局设置之外,您还可以在对象 > 应用程序选项卡中灵活地定义单个应用程序的超时值。可
用于该应用程序的超时值会显示在“选项”窗口中。防火墙会将应用程序超时值应用于处于已建
立状态的应用程序。配置完成后,应用程序的超时值将替代全局 TCP 或 UDP 会话超时值。
请使用该部分中的选项来配置全局会话超时设置,尤其是为 TCP、UDP 和 ICMP 以及所有其
他类型的会话进行配置。
默认值是最佳值。但是,您可以根据网络需求对其进行修改。将值设置得太低可能会导致对轻
微的网络延迟过于敏感,还可能会导致无法与防火墙建立连接。将值设置得太高可能会导致故障
检测延迟。
表 16. 会话超时
字段
说明
默认
非 TCP/UDP 或非 ICMP 会话能在没有响应的情况下处于打开状态的最长
时间。
默认为 30 秒,范围为 1-1599999 秒
放弃超时
– 放弃默认值
在根据防火墙上配置的安全策略拒绝会话后,PAN-OS 会应用放弃超时。
仅适用于非 TCP/UDP 通信。
默认为 60 秒,范围为 1-1599999 秒
– 放弃 TCP
适用于 TCP 通信。
默认为 90 秒,范围为 1-1599999 秒
– 放弃 UDP
适用于 UDP 通信。
默认为 60 秒,范围为 1-1599999 秒
ICMP
ICMP 会话能在没有响应的情况下处于打开状态的最长时间。
默认为 6 秒,范围为 1-1599999 秒
扫描
任意会话在被视为进入非活动状态后保持打开状态的最长时间。当应用程序超
出为其定义的滴滤阀值后,PAN-OS 会将该应用程序视为处于非活动状态。
默认为 10 秒,范围为 5-30 秒
42 • Web 界面参考指南,版本 7.0
Palo Alto Networks
定义会话设置
表 16. 会话超时(续)
字段
说明
TCP
TCP 会话在进入已建立状态后(即在握手完成和 / 或数据传输开始后)且
没有响应的情况下保持打开状态的最长时间。
默认为 3600 秒,范围为 1-1599999 秒
TCP 握手
从接收 SYN-ACK 及后续 ACK 开始到完全建立会话的最长时间。
默认为 10 秒,范围为 1-60 秒
TCP init
从接收 SYN 和 SYN-ACK 开始到启动 TCP 握手计时器之前的最长时间。
默认:5 秒;范围为 1-60 秒
TCP 半闭合
接收第一个 FIN 和接收第二个 FIN 或 RST 之间相隔的最长时间。
默认:120 秒;范围为 1-604800 秒
TCP 等待时间
接收第二个 FIN 或 RST 之后经历的最长时间。
默认:15 秒;范围为 1-600 秒
未验证的 RST
接收无法验证的 RST(RST 在 TCP 窗口中,但其序列号并非预期值,或是
RST 来自非对称路径)之后经历的最长时间。
默认:30 秒;范围为 1-600 秒
UDP
UDP 会话能在没有 UDP 响应的情况下保持打开状态的最长时间。
默认为 30 秒,范围为 1-1599999 秒
强制网络门户
强制网络门户 Web 表单以秒为单位的身份验证会话超时(默认为 30,范围
为 1-1,599,999)。用户必须在此表单内输入验证凭证并验证成功才能访问
请求的内容。
要定义其他强制网络门户超时(如空闲计时器以及到期时间(在经过此时间
之后,必须重新对用户进行身份验证),请使用设备 > 用户标识 > 强制网
络门户设置。请参阅““强制网络门户设置”选项卡”。
解密设置:证书撤销检查
在会话选项卡的“解密设置”部分中,选择证书撤销检查以设置下表中所描述的参数。
表 17. 会话功能:证书撤销检查
字段
说明
启用:CRL
选中此复选框可使用证书吊销列表 (CRL) 方法来验证证书的吊销状态。
如果还启用了联机证书状态协议 (OCSP),则防火墙首先会尝试使用 OCSP;
如果 OCSP 服务器不可用,则防火墙随后会尝试使用 CRL 方法。
有关解密证书的详细信息,请参阅“解密策略”。
接收超时:CRL
如果已启用 CRL 方法来验证证书吊销状态,请以秒为单位指定防火墙在过
后将停止等待 CRL 服务响应的时间间隔(1-60 秒,默认为 5)。
启用:OCSP
选中此复选框可使用 OCSP 来验证证书的吊销状态。
接收超时:OCSP
如果已启用 OCSP 方法来验证证书吊销状态,请以秒为单位指定防火墙在过
后将停止等待 OCSP 响应者响应的时间间隔(1-60 秒,默认为 5)。
如果证书状态未知,
则阻止会话
选中此复选框可在 OCSP 或 CRL 服务回到未知证书吊销状态后阻止 SSL/TLS
会话。否则,防火墙继续进行会话。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 43
定义会话设置
表 17. 会话功能:证书撤销检查(续)
字段
说明
如果证书状态检查超
时,则阻止会话
选中此复选框可在防火墙注册 OCSP 或 CRL 请求超时后阻止 SSL/TLS 会
话。否则,防火墙继续进行会话。
证书状态超时
请以秒为单位指定防火墙在过后将停止等待任何证书状态服务响应并应用您
选择定义的所有会话阻止逻辑的时间间隔(1-60 秒,默认为 5)。将证书状
态超时与 OCSP/CRL 接收超时进行关联,如下所示:
• 如果同时启用 OCSP 和 CRL — 防火墙在两个时间间隔中的较小时间间隔
之后注册请求超时:证书状态超时值或两个接收超时值的总和。
• 如果只启用 OCSP — 防火墙在两个时间间隔中的较小时间间隔之后注册请
求超时:证书状态超时值或 OCSP 接收超时值。
• 如果只启用 CRL — 防火墙在两个时间间隔中的较小时间间隔之后注册请求
超时:证书状态超时值或 CRL 接收超时值。
解密设置:转发代理服务器证书设置
在会话选项卡的“解密设置”部分中,选择转发代理服务器证书设置,以便为防火墙将在建立
SSL/TLS 转发代理解密会话后递交给客户端的证书配置密钥大小和哈希算法。下表介绍了参数。
表 18. 会话功能:转发代理服务器证书设置
字段
说明
目标主机定义
如果您希望 PAN-OS 根据目标服务器所用密钥来生成证书,请选择此选项:
• 如果目标服务器使用 RSA 1024 位密钥,PAN-OS 会按照该密钥大小和 SHA-1
哈希算法来生成证书。
• 如果目标服务器使用大于 1024 位(例如,2048 位或 4096 位)的密钥大小,
PAN-OS 会生成使用 2048 位密钥和 SHA-256 算法的证书。
这是默认设置。
1024 位 RSA
如果无论目标服务器所用的密钥大小如何您都希望 PAN-OS 生成使用 RSA
1024 位密钥和 SHA-1 哈希算法的证书,就请选择此选项。从 2013 年 12 月
31 日开始,公共证书颁发机构 (CA) 和常用浏览器能为所用密钥小于 2048 位
的 X.509 证书提供有限支持。将来,当出现此类密钥时,浏览器将根据安全
设置向用户发出警告或全面阻止 SSL/TLS 会话。
2048 位 RSA
如果无论目标服务器所用的密钥大小如何,您都希望 PAN-OS 生成使用
RSA 2048 位密钥和 SHA-256 哈希算法的证书,请选择此选项。公共 CA 和
常用浏览器支持 2048 位密钥,此类密钥的安全性高于 1024 位密钥。
44 • Web 界面参考指南,版本 7.0
Palo Alto Networks
比较配置文件
VPN 会话设置
在会话选项卡中,在“VPN 会话设置”部分中配置与建立 VPN 会话的防火墙相关联的全局设
置。下表介绍了这些全局设置。
表 19 VPN 会话设置
字段
说明
指定每个防火墙允许的 IKEv2 半开 IKE SA 的最大数,高于该数字就会触发
Cookie 验证。如果半开 IKE SA 数量超过 Cookie 激活阈值,响应者将会请求
Cookie,且发起者必须使用包含 Cookie 的 IKE_SA_INIT 进行响应。如果
Cookie 验证成功,可以启动其他 SA 会话。
Cookie 激活阈值
值为 0 表示 Cookie 验证应始终开启。
Cookie 激活阈值是一个全局防火墙设置,且应低于同样为全局设置的最大半开
SA 设置。
范围:0-65535。默认:500。
最大半开 SA
指定发起者可以发送到防火墙而不会获得响应的 IKEv2 半开 IKE SA 的最大
数。在达到最大数后,防火墙不会对新的 IKE_SA_INIT 数据包作出响应。范
围:1-65535。默认:65535。
最大缓存证书
指定通过防火墙可以缓存的 HTTP 检索的对端证书授权机构 (CA) 证书的最大
数。此值仅供 IKEv2 哈希和 URL 功能使用。范围:1-4000。默认:500。
比较配置文件
设备 > 配置审核
通过使用配置审核页面,您可以查看和比较配置文件。从下拉列表中选择要比较的配置。选择
要作为上下文加入的行数,然后单击转至。
随后系统会显示这两个配置并突出显示二者的差异,如下图所示。
该页面在下拉列表旁还包括
和
按钮,在比较两个连续的配置版本时会启用这两个按钮。
单击
可将所比较的配置更改为所存储的上一组配置,而单击
可将所比较的配置更改为所
存储的下一组配置。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 45
安装许可证
图 1. 配置比较
无论是通过 Panorama 接口进行更改还是在防火墙上进行本地更改,Panorama 都将自动保存
在每个受管防火墙上提交的所有配置文件。
安装许可证
设备 > 许可证
使用此页面可在所有防火墙平台上激活许可证。从 Palo Alto Networks 购买订阅后,将收到一
个授权代码,用于激活一个或多个许可证密钥。
在 VM 系列防火墙上,此页可还可让您停用虚拟机 (VM)。
许可证页面上提供了以下操作:
• 从许可证服务器检索许可证密钥:要启用需要授权代码且已在支持门户上激活的已订购订
阅,请单击从许可证服务器检索许可证密钥。
• 使用授权代码激活功能:要启用需要授权代码但以前未在支持门户上激活的已订购订阅,
请单击使用授权代码激活功能。输入授权代码,然后单击确定。
• 手动上载许可证密钥:如果防火墙未连接到许可证服务器,而您要手动上载许可证密钥,
请遵循以下步骤:
a. 从 https://support.paloaltonetworks.com 下载许可证密钥文件,并将其保存在本地。
b. 单击手动上传许可证密钥,然后单击浏览并选择文件,最后单击确定。
要为 URL 过滤启用许可证,必须安装许可证并下载文件,然后单击激活。如果要使
用 PAN-DB 进行 URL 过滤,需要先单击下载检索初始种子数据库,然后单击激活。
您也可以运行以下 CLI:request url-filtering download paloaltonetworks region
< 区域名称 >
46 • Web 界面参考指南,版本 7.0
Palo Alto Networks
定义 VM 信息源
• 停用 VM:此选项可以在具有支持永久和基于期限的许可证的具有自带许可证模型的 VM 系
列防火墙上可用;按需许可证模型不支持此功能。
如果不再需要 VM 系列防火墙的实例,请单击停用 VM。使用此选项可让您释放全部有效许
可证 — 订阅许可证、VM 容量许可证和支持授权。许可证会退回到您的帐户,然后您可以
在需要时对 VM 系列防火墙的新实例应用许可证。
在停用许可证后,将会禁用防火墙的功能且其进入未经许可状态,但配置保持不变。
– 如果 VM 系列防火墙无法直接访问 Internet,请单击手动继续。防火墙生成令牌文件。
单击导出许可证令牌链接可将令牌文件保存到本地计算机,然后重新启动防火墙。登录
到 Palo Alto Networks 支持门户和访问“资产”>“设备”页面,然后单击“停用 VM”
链接使用此令牌文件并完成停用过程。
– 如果停用 VM 系列防火墙的许可证,请单击继续。单击立即重新启动以完成许可证停用
过程。
– 如果要取消并关闭“停用 VM”窗口,请单击取消。
许可证到期后的行为
请联系 Palo Alto Networks 运营团队或销售部门,以获取有关续订许可证 / 订阅的信息。
• 如果防火墙上的威胁阻止订阅到期,则会出现以下情况:
– 已生成系统日志条目;条目表明订阅已到期。
– 通过使用许可证到期后安装的签名,所有威胁阻止功能都将继续正常工作。
– 要想安装新签名,必须先安装有效许可证。此外,许可证到期后,将无法回复至先前的
签名版本。
– 自定义 App-ID 签名将继续正常工作,并能进行修改。
• 支持许可证到期后,威胁阻止和威胁阻止更新将继续正常工作。
• 如果支持授权到期,将不再提供软件更新。您需要续订许可证,以便继续访问软件更新并与
技术支持组进行交互。
• 如果基于期限的 VM 容量许可证到期,则您无法获得有关防火墙的软件或内容更新,直到续
订新的许可证。尽管您可能拥有有效的订阅(如威胁预防或 WildFire)和支持许可证,但
您必须拥有有效的容量许可证才能获取最新的软件或内容更新。
定义 VM 信息源
设备 > VM 信息源
使用此选项卡可以主动跟踪部属在以下任意源上的虚拟机 (VM) 所发生的变化:VMware ESXi
服务器、VMware vCenter 服务器或 Amazon Web 服务、虚拟私有云 (AWS-VPC)。监控 VM
信息源的方式有两种:
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 47
定义 VM 信息源
• 防火墙可以监控 VMware ESXi 服务器、VMware vCenter 服务器和 AWS-VPC 环境,并
在您提供或修改监控源中配置的来宾时检索到相应变化。对于各个防火墙或是支持多个虚
拟系统的防火墙上的各个虚拟系统,您最多可以配置 10 个源。
如果您的防火墙是以高可用性配置配置的:
– 在主动 / 被动设置中,只有主动的防火墙可以监控 VM 信息源。
– 在主动 / 被动设置中,只有优先级值为“主要”的防火墙可以监控 VM 源。
想要了解 VM 信息源和动态地址组是如何实现同步工作并使您能够监控虚拟环境变化的,
请参阅《VM-Series 部署指南》。
• 关于用户映射的 IP 地址,您可以对 Windows User-ID 代理或防火墙上的 VM 信息源进行
配置,以便监控 VMware ESXi 和 vCenter 服务器,并在您提供或修改监控源中配置的来
宾时检索到相应变化。Windows User-ID 代理最多可以支持 100 个源; User-ID 代理不支
持 AWS。
注:受监控 ESXi 或 vCenter 服务器上的每一个 VM 都必须安装并运行 VMware 工具。VMware 工具能
够收集分配给各个 VM 的 IP 地址和其他值。
为了收集分配给受监控 VM 的值,防火墙将监控以下属性:
VMware 源所监控的属性
AWS-VPC 所监控的属性
• UUID
• 架构
• 名称
• 来宾操作系统
• 来宾操作系统
• 映像 ID
• VM 状态 — 电源状态可以为关闭、开启、 • 实例 ID
待机和未知。
• 注释
• 版本
• 网络 — 虚拟交换机名称、端口组名和
VLAN ID。
• 实例状态
• 实例类型
• 密钥名称
• 位置 — 租户、组名称、可用性区域
• 容器名称 — vCenter 名称、数据中心对象 • 私有 DNS 名称
名称、资源池名称、集群名称、主机、 • 公共 DNS 名称
主机 IP 地址。
• 子网 ID
• 标记(键、值)(每个实例最多支持 5 个标记)
• VPC ID
48 • Web 界面参考指南,版本 7.0
Palo Alto Networks
定义 VM 信息源
添加 — 要为 VM 监控添加新源,请单击添加,然后根据受监控源填写详细信息:
• 有关 VMware ESXi 或 vCenter 服务器,请参阅“为 VMware ESXi 或 vCenter 服务器启用 VM
信息源”。
• 有关 AWS-VPC,请参阅“为 AWS VPC 启用 VM 信息源”。
刷新连接 — 单击可刷新连接状态;将刷新屏幕显示。该按钮不会刷新防火墙和受监控源之间
的连接。
删除 — 选择已配置的 VM 信息源,然后单击此按钮可以删除该配置源。
表 20. 为 VMware ESXi 或 vCenter 服务器启用 VM 信息源
字段
说明
名称
输入名称以标识受监控源(最多 31 个字符)。名称区分大小写,且必须是
唯一的。仅可使用字母、数字、空格、连字符和下划线。
类型
选定受监控主机 / 源是 ESXi 服务器还是 vCenter 服务器。
说明
(可选)添加用于识别此源的位置和功能的标签。
端口
指定主机 / 源要侦听的端口。(默认端口 443)。
已启用
默认情况下,会启用防火墙和所配置源之间的通信。
受监控源和防火墙之间的连接状态将如下所示显示在界面中:
–
已连接
–
已断开
–
暂挂;禁用受监控资源时,连接状态也会显示为黄色。
清除启用复选框可禁用主机和防火墙之间的通信。
超时
输入时间间隔(以小时为单位),在此时间后,如果主机无响应,则与受
监控源的连接将关闭。(默认:2 小时,范围为 2-10 小时)
(可选)要更改默认值,请选择复选框源中断时启用超时并指定一个值。
到达指定限制时,或者如果主机无法访问或无响应,防火墙将关闭源连接。
源
输入受监控主机 / 源的 FQDN 或 IP 地址。
用户名
指定向源进行验证时需要使用的用户名。
密码
输入密码并确认输入。
更新间隔
指定防火墙从源检索信息的时间间隔。(默认为 5 秒,范围为 5-600 秒)
表 21. 为 AWS VPC 启用 VM 信息源
字段
说明
名称
输入名称以标识受监控源(最多 31 个字符)。名称区分大小写,且必须是
唯一的。仅可使用字母、数字、空格、连字符和下划线。
类型
选择 AWS VPC。
说明
(可选)添加用于识别此源的位置和功能的标签。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 49
安装软件
表 21. 为 AWS VPC 启用 VM 信息源(续)
字段
说明
已启用
默认情况下,会启用防火墙和所配置源之间的通信。
受监控源和防火墙之间的连接状态将如下所示显示在界面中:
–
已连接
–
已断开
–
暂挂;禁用受监控资源时,连接状态也会显示为黄色。
清除启用复选框可禁用主机和防火墙之间的通信。
添加虚拟私有云所在的 URI。例如,ec2.us-west-1.amazonaws.com。
源
语法为:ec2.<your_AWS_region>.amazonaws.com
输入字母文本字符串,该字符串应能唯一标识拥有或有权访问 AWS 帐户
的用户。
访问密钥 ID
AWS 安全证书包含这一信息。防火墙需要这些证书(访问密钥 ID 和秘
密访问密钥),才能为针对 AWS 服务执行的 API 调用进行数字签名。
秘密访问密钥
输入密码并确认输入。
更新间隔
指定防火墙从源检索信息的时间间隔。(默认为 60 秒,范围为 60-1200 秒)
超时
时间间隔(以小时为单位),在此时间后,如果主机无响应,则与受监
控源的连接将关闭。(默认为 2 小时)
(可选)选中此复选框可在源中断时启用超时。到达指定限制时,或者
如果源无法访问或无响应,防火墙将关闭源连接。
输入要监控的 AWS-VPC 的 ID,例如 vpc-1a2b3c4d。只会监控部署在该
VPC 中的 EC2 实例。
VPC ID
如果将帐户配置为使用默认 VPC,AWS 帐户属性下会列出默认 VPC ID。
安装软件
设备 > 软件
使用此页面可查看可用的软件版本,下载或上传版本,安装版本(需要支持版本),从设备删
除设备映像或查看发行说明。请确保在升级或降级软件版本之前查看以下建议:
• 检查发行说明可以查看版本更改的说明以及查看用于安装软件的迁移路径。
• 由于功能版本可能会迁移特定配置以容纳新功能,因此请保存当前配置的备份。(单击定
义 > 设置 > 操作选项卡,并选择导出已命名的配置快照,选择 running-config.xml,然后
单击确定,将配置文件保存到您的计算机。)
• 在降级时,建议降级到与软件版本匹配的配置。
• 将高可用性 (HA) 对升级到新功能版本(其中,PAN-OS 版本中的第一个数字或第二个数字
会更改,如从 5.0 更改为 6.0,或从 6.0 更改为 6.1)时,系统可能会迁移配置以容纳新功
能。如果已启用会话同步,但集群中的一个设备正在运行其他 PAN-OS 功能版本,则会话
不会同步。
50 • Web 界面参考指南,版本 7.0
Palo Alto Networks
安装软件
• 如果需要将防火墙升级到基础版本高于当前所安装版本的 PAN-OS 维护版本,则必须在下
载和安装维护版本之前将基础版本下载(而不安装)到防火墙。例如,要将防火墙从
PAN-OS 5.0.12 升级到 PAN-OS 6.0.3,必须在下载和安装 PAN-OS 6.0.3 之前将 PAN-OS
6.0.0 下载(而不安装)到防火墙。
• 防火墙上的日期和时间设置必须是当前日期和时间。对 PAN-OS 软件进行数字签名,并在
安装新版本之前由设备检查该签名。如果设备的日期设置不是当前的,则设备可能认为软
件签名在将来会出错,并且显示消息
Decrypt failed: GnuPG edit non-zero, with code 171072 Failed to load into
PAN software manager.
下表提供了有关使用软件页面的帮助。
表 22. 软件选项
字段
说明
版本
列出了 Palo Alto Networks 更新服务器上当前提供的软件版本。要检查
Palo Alto Networks 中是否提供了新的软件发行版,请单击立即检查。防
火墙将使用服务路由连接更新服务器,并检查是否有新版本,如果有可用
更新,会将这些更新显示在列表顶部。
大小
指示软件映像的大小。
版本日期
指示 Palo Alto Networks 发布新版本的日期和时间。
可用
指示已上传或下载到防火墙的软件映像的相应版本。
当前已安装
指示是激活还是目前在防火墙上运行软件映像的相应版本。
操作
指示可以为对应软件映像采取的操作,如下所示:
• 下载 — 对应的软件版本可从 Palo Alto Networks 更新服务器获取。单击
此链接可启动下载。
• 安装 — 已将相应的软件版本下载或上传到防火墙。单击此链接可安装软
件。需要重新启动才能完成升级过程。
• 重新安装 — 已安装对应的软件版本。要重新安装同一版本,请单击此
链接。
发行说明
提供了指向相应软件更新的发行说明的链接。此链接仅适用于从 Palo
Alto Networks 更新服务器下载的更新:不适用于上传的更新。
从防火墙中删除先前下载或上传的软件映像。您只需删除无需升级的较早
版本的基本映像。例如,如果运行 7.0,可以删除 6.1 的基本映像,除非您
认为可能需要降级。
立即检查按钮
检查 Palo Alto Networks 是否提供了新的软件更新。
上传按钮
从防火墙可以访问的计算机导入软件更新映像。通常情况下,如果防火墙
无法访问 Internet(当从 Palo Alto Networks 更新服务器下载更新时需
要),可以执行此操作。为了上传,可以使用已连接 Internet 的计算机访
问软件更新站点,将更新下载到该计算机,然后在防火墙的设备 > 软件页
面中单击上传以导入软件映像。在高可用性 (HA) 配置中,可以选中同步
到对端复选框以便将导入的软件映像推送到高可用性对端。在上传后,软
件页面会显示相同的信息(如版本和大小)以及用于上传和下载软件的安
装 / 重新安装链接。发行说明链接不适用于上传软件。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 51
更新威胁和应用程序定义
更新威胁和应用程序定义
设备 > 动态更新
Panorama > 动态更新
Palo Alto Networks 会通过如下动态更新定期发布应用程序检测、威胁阻止和 GlobalProtect 数
据文件更新:
• 防病毒软件 — 包含最新和更新的防病毒签名,包括 WildFire 发现的签名。您必须订阅“威
胁阻止”才能获得这些更新。我们每天发布防病毒威胁签名更新。
• 应用程序 — 包含最新和更新的应用程序签名。此更新不需要任何额外订阅,但是一定需要
具备有效的维护 / 支持合约。我们每周发布新应用程序更新。
• 应用程序和威胁 — 包含最新和更新的应用程序和威胁签名。如果您已订阅威胁阻止,则可
以获得此更新(且在这种情况下,您将会获得此更新,而不是应用程序更新)。我们每周
发布新应用程序和威胁更新。还可以选择在内容发行版本上只安装新的威胁签名。在安装
内容发行版本和将计划设置为自动安装内容发行版本时,都会提示您使用此选项。此选项
可让您立即从新的威胁签名中受益;然后,您可以查看新的应用程序签名的策略影响,并
在启用之前进行任何必要的策略更新。
• 全局保护数据文件 — 包含供应商特定信息,用于定义和评估 GlobalProtect 代理返回的主机
信息配置文件 (HIP) 数据。您必须具有 GlobalProtect 网关订阅才可接收这些更新。另外,
在运行 GlobalProtect 之前,必须为这些更新制定一个计划。
• BrightCloud URL 过滤 — 仅提供对 BrightCloud URL 过滤数据库的更新。您必须订阅
BrightCloud 才能获得这些更新。我们每天发布新的 BrightCloud URL 数据库更新。如果
您拥有 PAN-DB 许可证,则不需要计划更新,因为设备将与服务器自动保持同步。
• WildFire — 由于 WildFire 云服务进行了分析,从而几乎实时提供已创建的恶意软件和防病
毒威胁签名。未订阅此服务,则必须等待 24 至 48 个小时,以便防病毒威胁签名传送到应
用程序和威胁更新。
• WF-Private — 提供根据 WildFire 设备 (WF-500) 所执行的分析而创建的几乎实时的恶意软
件和防病毒签名。要接收来自 WF-500 的内容更新,防火墙和设备必须同时运行 PAN-OS 6.1
或更高版本,而且必须将防火墙配置为使用 WildFire 设备进行文件 / 电子邮件链接分析。
您可以查看最新更新,阅读各个更新的发行说明,然后选择要下载和安装的更新。还可以恢复
到之前安装的更新版本。
如果您使用 Panorama 管理防火墙并希望为一个或多个防火墙调度动态更新,请参阅“计划动
态更新”。
52 • Web 界面参考指南,版本 7.0
Palo Alto Networks
更新威胁和应用程序定义
下表提供了有关使用此页面的帮助。
表 23. 动态更新选项
字段
说明
版本
列出了 Palo Alto Networks 更新服务器上当前提供的版本。要检查 Palo
Alto Networks 中是否提供了新的软件发行版,请单击立即检查。防火墙
将使用服务路由连接更新服务器,并检查是否有新的内容发行版本,如果
有可用更新,会将这些更新显示在列表顶部。
最后检查
显示防火墙最后一次连接到更新服务器并检查是否有可用更新的日期和
时间。
计划
允许您计划检索更新的频率。
您可以定义动态内容更新发生的频率和时间(日期和时间),只下载更新,
还是下载并安装到防火墙。
在计划重复下载和安装内容更新时,可以选择在内容更新中禁用新应用程
序。此选项不但可防止最新的威胁,而且同时还可让您在准备新识别的应
用程序必需的策略更新后灵活启用应用程序并可能区别对待下列更新。
(要在以后启用自动为计划内容更新禁用的应用程序,选择“动态更新”
页面上的应用程序,威胁链接或选择对象 > 应用程序)。
在计划下载时,如果希望在新更新发行后经过若干小时再进行安装,您可
以指定发行后需要等待多长时间才能执行内容更新。在阀值(小时)字段
中输入要等待的时数。
文件名
列示文件名;其中包括内容版本信息。
功能
列出内容版本可能包含的签名类型。
对于应用程序和威胁内容发行版本,此字段可能会显示用于查看应用程
序,威胁的链接。单击此选项可查看自上次在防火墙上安装内容发行版本
以来提供的新应用程序签名。还可以使用新建应用程序对话框启用 / 禁用
新应用程序。如果您希望避免唯一标识应用程序对策略造成任何影响,可
以选择禁用内容发行版本中包含的新应用程序(如果已确定之前未知的应
用程序并对其进行不同分类,则在安装内容之前和之后可能要区别对待应
用程序)。
类型
指示下载是完整数据库更新还是增量更新。
大小
显示内容更新数据包的大小。
版本日期
Palo Alto Networks 发布内容发行版本的日期和时间。
已下载
此列中的复选标记指示已将相应内容发行版本下载到防火墙。
当前已安装
此列中的复选标记指示目前正在防火墙上运行相应内容发行版本。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 53
管理员角色、配置文件和帐户
表 23. 动态更新选项(续)
字段
说明
操作
指示可以为对应软件映像采取的操作,如下所示:
• 下载 — 可从 Palo Alto Networks 更新服务器获取相应内容发行版本。单
击此链接可启动下载。如果防火墙无法访问 Internet,可以使用已连接
Internet 的计算机访问动态更新站点以查找内容发行版本,并将其下载
到本地计算机。然后单击上载按钮,手动将软件映像上载到防火墙。此
外,下载应用程序和威胁内容发行版本可启用选项查看策略,这些策略
可能会受该版本包含的新应用程序签名影响。
• 查看策略(仅限应用程序和威胁内容)— 查看内容发行版本中包含的新应
用程序的任何策略影响。使用此选项可评估对在安装内容更新之前和之
后接收的应用程序的处理。您还可以使用“查看策略”对话框将待处理
应用程序(已通过内容发行版本下载应用程序,但未在防火墙上安装)
添加到现有安全策略或将其删除;待处理应用程序的策略更改不会生
效,直到安装相应内容发行版本。
• 安装 — 已将相应内容发行版本下载到防火墙。单击此链接可安装更新。
在安装新的应用程序和威胁内容发行版本时,将会提示您使用选项在内
容更新中禁用新应用程序。此选项不但可防止最新的威胁,而且同时还
可让您在因新应用程序签名的影响而准备任何策略更新后灵活启用应用
程序(启用之前禁用的应用程序、选择“动态更新”页面中的应用程
序,威胁链接或选择对象 > 应用程序)。
• 恢复 — 之前已下载相应内容发行版本,要重新安装同一版本,请单击此
链接。
文档
提供了指向对应版本发行说明的链接。
从防火墙中删除先前下载的内容发行版本。
管理员角色、配置文件和帐户
在创建管理员帐户时,可以指定下列其中一个选项来确定防火墙对登录的管理用户进行身份验
证的方法:
• 本地数据库 — 用户登录和密码信息直接输入到防火墙数据库中。
• 客户端证书 — 使用现有客户端证书对用户进行身份验证。
• 身份验证配置文件 — 选择下列其中一种类型的现有外部服务器对用户进行身份验证:
– RADIUS(远程身份验证拨入用户服务)
– TACACS+(增强的终端访问控制器访问控制系统)
– LDAP(轻型目录访问协议)
– Kerberos
您分配给管理员帐户的角色可确定防火墙允许管理员在登录后执行的功能。您可以分配预定义
角色或自定义角色配置文件,以指定详细权限。有关详细信息,请参阅:
• “设置身份验证配置文件”
• “定义管理员角色”
54 • Web 界面参考指南,版本 7.0
Palo Alto Networks
管理员角色、配置文件和帐户
• “创建管理帐户”
• “GlobalProtect 设置” — 有关在 SSL 虚拟专用网络 (VPN) 中进行身份验证的信息
• “指定管理员的访问域” — 有关为管理员定义虚拟系统域的说明
• “创建证书配置文件” — 有关为管理员定义证书配置文件的说明
定义管理员角色
设备 > 管理员角色
使用管理员角色页面可定义确定对管理用户可用的访问权限和职责的角色配置文件。有关添加
管理员帐户的说明,请参阅“创建管理帐户”。
有三类预定义的管理员角色可用于常见标准用途。您首先会对设备的初始配置使用“超级用
户”角色,并为“安全管理员”、“审核管理员”和“加密管理员”创建管理员帐户。创建帐
户和应用正确的常见标准“管理员角色”后,您可使用这些帐户进行登录。联邦信息处理标准
(FIPS) 或常见标准 (CC) 模式下的默认超级用户帐户为 admin,默认密码为 paloalto。在标准
操作模式下,默认管理员密码为管理员。预定义的“管理员角色”已创建,其中不存在功能重
叠,但具有审核跟踪的只读访问权限的管理员角色除外(除非审核管理员具有完全的读取 / 删
除权限)。这些管理员角色不能修改,其定义如下:
• 审核管理员 — 审核管理员负责定期查看防火墙的审核数据。
• 加密管理员 — 加密管理员负责与防火墙建立安全连接相关的加密元素的配置和维护。
• 安全管理员 — 安全管理员负责其他两个管理角色不处理的所有其他管理任务(如创建防火墙
安全策略)。
要添加管理员角色,请单击添加并填写以下信息:
表 24. 管理员角色设置
字段
说明
名称
输入名称以标识此管理员角色(最多 31 个字符)。名称区分大小写,且必
须是唯一的。仅可使用字母、数字、空格、连字符和下划线。
说明
输入角色的可选说明(最多 255 个字符)。
角色
选择管理职责范围:设备或虚拟系统(对于启用了多虚拟系统功能的
设备)。
WebUI
单击代表指定区域的图标,以指示 Web 界面中
允许的访问类型:
• 启用 — 对选定选项卡有读取 / 写入访问权。
• 只读 — 对选定选项卡有只读访问权。
• 禁用 — 对选定选项卡无访问权。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 55
定义密码配置文件
表 24. 管理员角色设置(续)
字段
说明
XML API
单击代表指定区域的图标,以指示 Web 界面中允许的访问类型。
命令行
选择 CLI 访问的角色类型:
• None — 不允许访问设备 CLI。
• superuser — 对当前设备有完全访问权。
• superreader — 对当前设备有只读访问权。
• deviceadmin — 除了定义新帐户或虚拟系统之外,对所选设备有完全访
问权。
• devicereader — 对所选设备有只读访问权。
定义密码配置文件
设备 > 密码配置文件和 Panorama > 密码配置文件
密码配置文件允许您设置单个本地帐户的基本密码要求。如果已启用为所有本地帐户提供密码
要求的最小密码复杂性(参阅“最小密码复杂性”),则此密码配置文件将替代这些设置。
要创建密码配置文件,请单击添加,并输入以下信息:
表 25. 密码配置文件设置
字段
说明
名称
输入名称以标识密码配置文件(最多 31 个字符)。名称区分大小写,且必须是
唯一的。仅可使用字母、数字、空格、连字符和下划线。
需要密码更改期限
(天数)
需要管理员按设置的指定天数定期更改其密码,范围为 0-365 天。例如,如果
值设置为 90,则系统将每隔 90 天提示管理员更改一次密码。
您还可以设置 0-30 天的到期警告,并指定宽限期。
到期警告期限
(天数)
如果已设置“需要密码更改期限”,则此设置可用于提示用户根据强制密码更
改日期方法,更改每个日志的密码(范围为 0-30 天)。
发布到期后管理员
登录次数
允许管理员在其帐户到期后进行指定次数的登录。例如,如果值设置为 3,且其
帐户已过期,则此用户最多可在帐户锁定前进行 3 次登录(范围为 0-3 次登录)。
发布到期宽限期
(天数)
允许管理员在其帐户到期后在指定天数内登录(范围为 0-30 天)。
要将密码配置文件应用到帐户,请选择设备 > 管理员(对于防火墙)或 Panorama > 管理员,选
择一个帐户,然后从密码配置文件下拉列表中选择该配置文件。
56 • Web 界面参考指南,版本 7.0
Palo Alto Networks
创建管理帐户
用户名和密码要求
下表列出了可在 PAN-OS 和 Panorama 帐户的用户名和密码中使用的有效字符。
表 26. 用户名和密码的有效字符
帐户类型
限制
密码字符集
对任何密码字段字符集都没有限制。
远程管理员、SSL-VPN 或强
制网络门户
用户名不允许使用以下字符:
• 反撇号 (`)
• 尖括号(< 和 >)
• 与号 (&)
• 星号 (*)
• At 符号 (@)
• 问号 (?)
• 分隔符 (|)
• 单引号 (‘)
• 分号 (;)
• 双引号 (")
• 美元符号 ($)
• 圆括号(“(” 和 “)”)
• 冒号(“:”)
本地管理员帐户
本地用户名允许使用以下字符:
• 小写字母 (a-z)
• 大写字母 (A-Z)
• 数字 (0-9)
• 下划线 (_)
• 句号 (.)
• 连字号 (-)
注:登录名不能以连字符 (-) 开头。
创建管理帐户
设备 > 管理员
管理员帐户可控制对设备的访问。防火墙管理员可以对单个防火墙或单个防火墙上的虚拟系统
进行完全或只读访问。防火墙具有可执行完全访问的预定义管理员帐户。(有关 Panorama 管
理员的详细信息,请参阅“创建 Panorama 管理帐户”。)
支持以下身份验证选项:
• 密码身份验证 — 管理员输入登录用户名和密码。该身份验证不需要证书。可以将其与身份
验证配置文件结合使用,或用于本地数据库身份验证。
• 客户端证书身份验证 (Web) — 该身份验证不需要用户名或密码;只需使用证书就能对设备
访问权限进行身份验证。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 57
创建管理帐户
• 公钥身份验证 (SSH) — 管理员会在需要访问设备的计算机上生成公钥 / 私钥对,然后将公
钥上载到设备,以使管理员不必输入用户名和密码即可进行安全访问。
要确保设备管理接口保持安全,建议使用小写字母、大写字母和数字的组合方式定期更改管理
密码。还可以通过设置 > 管理强制执行“最小密码复杂性”。
要添加管理员,请单击添加并填写以下信息:
表 27.
管理员帐户设置
字段
说明
名称
输入管理员的登录名称(最多 31 个字符)。名称区分大小写,且必
须是唯一的。仅可使用字母、数字、连字符、句点和下划线。登录
名不能以连字符 (-) 开头。
身份验证配置文件
选择用于进行管理员身份验证的身份验证配置文件。该设置可用于
RADIUS、TACACS+、LDAP、Kerberos 或本地数据库身份验证。
有关详细信息,请参阅“设置身份验证配置文件”。
仅使用客户端证书身份验证
(Web)
选中此复选框将对 Web 访问使用客户端证书身份验证。如果选中此
复选框,则不需要用户名和密码;证书即足以对访问设备进行身份
验证。
新密码
确认新密码
输入并确认管理员的区分大小写的密码(最多 31 个字符)。还可以
通过设置 > 管理强制执行“最小密码复杂性”。
使用公钥身份验证 (SSH)
选中此复选框将使用 SSH 公钥身份验证。单击导入密钥并浏览以选
择公钥文件。上载的密钥显示在只读文本区域中。
支持的密钥文件格式为 IETF SECSH 和 OpenSSH。支持的密钥算法
为 DSA(1024 位)和 RSA(768-4096 位)。
注:如果公钥身份验证失败,则提示管理员输入用户名和密码。
角色
为该管理员分配角色。角色将确定管理员可以查看和修改的内容。
如果选择了基于角色,请从下拉列表中选择自定义的角色配置文
件。有关详细信息,请参阅“定义管理员角色”。
如果选择动态,可以选择下列预定义角色之一:
• 超级用户 — 对当前防火墙具有完全访问权限。
• 超级用户(只读)— 可以对当前防火墙进行只读访问。
• 设备管理员 — 除了定义新帐户或虚拟系统之外,可以对所选设备进
行完全访问。
• 设备管理员(只读)— 可以对所选防火墙进行只读访问。
• Vsys 管理员 — 可以对特定防火墙上的选定虚拟系统进行完全访问
(如果启用了多个虚拟系统)。
• Vsys 管理员(只读)— 可以对特定防火墙上的选定虚拟系统进行
只读访问。
虚拟系统
单击添加以选择管理员可以访问的虚拟系统。
(仅适用于防火墙虚拟系统管
理员角色)
密码配置文件
58 • Web 界面参考指南,版本 7.0
请选择密码配置文件(如果适用)。要新建密码配置文件,请参阅
“定义密码配置文件”。
Palo Alto Networks
指定管理员的访问域
指定管理员的访问域
设备 > 访问域
Panorama > 访问域
使用访问域页面可指定供管理员访问防火墙或 Panorama 的域。在防火墙上,访问域将链接到
RADIUS 供应商特定属性 (VSA),并且仅在 RADIUS 服务器用于管理员身份验证时才受支持
(参阅“配置 RADIUS 服务器设置”)。在 Panorama 上,您可以在本地管理访问域或使用
RADIUS VSA(参阅“指定管理员的 Panorama 访问域”)。
管理员尝试登录防火墙时,防火墙会向 RADIUS 服务器查询管理员的访问域。如果 RADIUS
服务器中存在关联域,则返回该关联域,且管理员仅可访问该设备中指定访问域内的已定义虚
拟系统。如果未使用 RADIUS,则忽略此页面上的访问域设置。
表 28.
访问域设置
字段
说明
名称
输入访问域的名称(最多 31 个字符)。名称区分大小写,且必须是
唯一的。仅可使用字母、数字、连字符、下划线和句点。
虚拟系统
在“可用”列中选择虚拟系统,并单击添加将其选中。
访问域只在支持虚拟系统的设备上受支持。
设置身份验证配置文件
设备 > 身份验证配置文件
Panorama > 身份验证配置文件
使用身份验证配置文件页面可以配置能够应用至管理员帐户、SSL-VPN 访问和强制网络门户的
身份验证设置。Palo Alto Networks 设备支持本地数据库、RADIUS、TACACS+、LDAP 和
Kerberos 身份验证服务。
提示:在配置身份验证配置文件后,使用测试身份验证 CLI 命令确定防火墙或 Panorama 管理
服务器是否可以与后端身份验证服务器进行通信,以及身份验证请求是否成功。您可以在待选
配置中执行身份验证测试,这样您就知道在提交前配置是否正确。有关使用此命令的详细信
息,请参阅《PAN-OS 管理员指南》版本 7.0 本或更高版本。
表 29. 身份验证配置文件设置
字段
说明
名称
输入名称以标识配置文件。名称区分大小写,最多可以包含 31 个字符,只能包括字母、
数字、空格、连字符和下划线和句点。名称在与其他身份验证配置文件和身份验证序列
相对的当前位置(防火墙或虚拟系统)中必须唯一。
注意:在处于多个虚拟系统模式(多 vsys 模式)下的防火墙中,如果身份验证配置文件
的位置为 vsys,请不要输入与共享位置中身份验证序列相同的名称。同样,如果配置文
件位置为共享,请不要输入与虚拟系统中序列相同的名称。在这些情况下,尽管您可以
提交具有同一名称的身份验证配置文件和序列,但可能会发生引用错误。
位置
Palo Alto Networks
选择在其中使用配置文件的范围。在拥有多个虚拟系统 (vsys) 的防火墙的上下文中,选
择一个虚拟系统或选择共享(所有虚拟系统)。在任何其他上下文中,您无法选择位置;
其值预定义为共享(对于防火墙)或为 Panorama。在保存配置文件后,您无法更改其位置。
Web 界面参考指南,版本 7.0 • 59
设置身份验证配置文件
表 29. 身份验证配置文件设置(续)
字段
说明
身份验证选项卡
类型
选择身份验证类型:
• 无 — 不在防火墙中使用任何身份验证。
• 本地数据库 — 在防火墙上使用身份验证数据库。
• RADIUS — 使用 RADIUS 服务器进行身份验证。
• TACACS+ — 使用 TACACS+ 服务器进行身份验证。
• LDAP — 使用 LDAP 进行身份验证。
• Kerberos — 使用 Kerberos 进行身份验证。
服务器配置文件
如果身份验证类型为 RADIUS、TACACS+、LDAP 或 Kerberos,可以从下拉列表中选
择身份验证服务器配置文件。请参阅“配置 RADIUS 服务器设置”、“配置 TACACS+
服务器设置”、“配置 LDAP 服务器设置”和“配置 Kerberos 服务器设置”。
检索用户组
如果身份验证类型为 RADIUS,则选中此复选框可使用 RADIUS 供应商特定属性 (VSA)
来定义有权访问防火墙的组。
登录属性
如果身份验证类型为 LDAP,则输入 LDAP 目录属性将用户和功能唯一标识为该用户的
登录 ID。
密码到期警告
如果身份验证类型为 LDAP 且身份验证配置文件适用于 GlobalProtect 用户,则输入密码
到期之前的天数以开始向用户显示通知消息,以提醒他们其密码将在 x 天后到期。默认
情况下,会在密码过期前七天显示通知消息(范围为 1 到 255 天)。如果密码过期,用户
将无法访问 VPN。
注:建议采用最佳做法,即将代理配置为使用预登录连接方法。这样,即使密码过期,
用户仍能连接域以更改其密码。
注:如果用户允许其密码过期,那么管理员可以分配临时 LDAP 密码以使用户能够登录
VPN。在这一工作流程中,最佳做法是将门户配置中的身份验证修饰符设置为配置刷新
的 Cookie 身份验证(否则,将使用临时密码对门户进行身份验证,但是网关登录会失
败,以防止 VPN 访问)。
有关 Cookie 身份验证和预登录的更多详细信息,请参阅 “GlobalProtect 设置”。
用户域
与
用户名修饰符
设备组合用户域和用户名修饰符值来修改用户在登录时输入的域 / 用户名字符串。设备
使用修改后的字符串进行身份验证,并使用用户域值进行 User-ID 组映射。可以选择下
列选项:
• 要只发送未修改的用户输入,将用户域留空(默认)并将用户名修饰符设置为变量
%USERINPUT%(默认)。
• 要将域预置到用户输入,输入用户域并将用户名修饰符设置为
%USERDOMAIN%\%USERINPUT%。
• 要将域附加到用户输入,输入用户域并将用户名修饰符设置为
%USERINPUT%@%USERDOMAIN%。
注:如果用户名修饰符包括变量 %USERDOMAIN%,则用户域值会替换用户输入的所
有域字符串。如果指定 %USERDOMAIN% 变量并将用户域留空,则设备会删除所有用
户输入的域字符串。设备将域名解析为 User-ID 组映射的相应 NetBIOS 名称。这同时适
用于父域和子域。用户域修饰符的优先级高于自动衍生的 NetBIOS 名称。
Kerberos 领域
如果网络支持 Kerberos 单点登录 (SSO),请输入 Kerberos 领域(最多 127 个字符)。这是
用户登录名的主机名部分。例如,用户帐户名 user@EXAMPLE.LOCAL 的领域为
EXAMPLE.LOCAL。
60 • Web 界面参考指南,版本 7.0
Palo Alto Networks
创建本地用户数据库
表 29. 身份验证配置文件设置(续)
字段
说明
Kerberos Keytab
如果网络支持 Kerberos 单点登录 (SSO),请单击导入链接,单击浏览找到 keytab 文件,
然后单击确定。keytab 包含设备的 Kerberos 帐户信息(主体名称和哈希密码),执行单
点登录身份验证时需要该信息。每个身份验证配置文件都可以拥有一个 keytab。在执行
身份验证时,设备首先尝试使用 keytab 建立单点登录。如果成功且用户尝试访问“允许
列表”,则身份验证立即成功。否则,身份验证过程回滚到指定类型的手动(用户名 /
密 码)身 份 验 证,这不需要 Kerberos。有关创建适用于 Palo Alto Networks 设 备的
keytab 的详细信息,请参阅《PAN-OS 管理员指南》。
注:如果设备处于联邦信息处理标准 (FIPS) 或常见标准 (CC) 模式,则算法必须为
aes128-cts-hmac-sha1-96 或 aes256-cts-hmac-sha1-96。否则,您也可以使用 des3-cbc-sha1
或 arcfour-hmac。keytab 中的算法必须与票据授予服务签发给客户的服务票据中的算法
相匹配才能启用单点登录。否则,单点登录过程将失败。Kerberos 管理员确定服务票据
使用的算法。
高级选项卡
允许列表
单击添加,然后选择所有或选择允许使用此配置文件进行身份验证的特定用户和组。如
果不添加条目,则用户无法进行身份验证。
注:如果输入用户域值,则不需要在允许列表中指定域。例如,如果用户域为 businessinc
且您要将用户 admin1 添加到允许列表,则输入 admin1 与输入 businessinc\admin1 的
效果相同。您可以指定目录服务中已经存在的组或根据 LDAP 过滤器指定自定义组(参
阅““自定义组”子选项卡”)。
要删除用户或组,请选中相应复选框并单击删除。
失败的尝试次数
输入设备在锁定用户帐户之前允许的失败登录尝试次数 (1-10)。值为 0(默认)表示没有
任何限制。
注意:如果将失败的尝试次数设置为除 0 以外的值,但将锁定时间保留为 0,则忽略失败
的尝试次数且从不锁定用户。
输入设备在用户达到失败的尝试次数后锁定用户帐户的分钟数 (0-60)。值为 0(默认)表
示应用锁定,直到管理员手动解锁用户帐户。
锁定时间
注意:如果将锁定时间设置为除 0 以外的值,但将失败的尝试次数保留为 0,则忽略锁定
时间且从不锁定用户。
创建本地用户数据库
设备 > 本地用户数据库 > 用户
您可以在防火墙中设置本地数据库,以存储远程访问用户、设备管理员和强制网络门户用户的
身份验证信息。此配置无需任何外部身份验证服务器,因此所有帐户管理都在防火墙上执行或
从 Panorama 执行。
表 30. 本地用户设置
字段
说明
名称
输入名称以标识用户(最多 31 个字符)。名称区分大小写,且必须是唯一
的。仅可使用字母、数字、空格、连字符和下划线。
位置
Palo Alto Networks
选择在其中使用用户帐户的范围。在拥有多个虚拟系统 (vsys) 的防火墙的上
下文中,选择一个虚拟系统或选择共享(所有虚拟系统)。在任何其他上下
文中,您无法选择位置;其值预定义为共享(对于防火墙)或为 Panorama。
在保存用户帐户后,您无法更改其位置。
Web 界面参考指南,版本 7.0 • 61
添加本地用户组
表 30. 本地用户设置(续)
字段
说明
模式
使用此字段可指定身份验证选项:
• 密码 — 输入并确认用户密码。
• 密码哈希 — 输入哈希密码字符串。
启用
选中此复选框可激活用户帐户。
使用本地用户页面将用户信息添加到本地数据库。配置强制网络门户时,首先要创建本地帐户,
然后将其添加到用户组并使用新组创建身份验证配置文件。然后通过设备 > 用户身份验证 > 强制
网络门户启用强制网络门户,并选择身份验证配置文件。此配置完成后,便可以通过策略 > 强制
网络门户创建策略。有关详细信息,请参阅“为用户标识配置防火墙”。
添加本地用户组
设备 > 本地用户数据库 > 用户组
使用本地用户组页面将用户组信息添加到本地数据库。
表 31. 本地用户组设置
字段
说明
名称
输入名称以标识组(最多 31 个字符)。名称区分大小写,且必须是唯一
的。仅可使用字母、数字、空格、连字符和下划线。
位置
所有本地用户
选择在其中使用用户组的范围。在拥有多个虚拟系统 (vsys) 的防火墙的上下
文中,选择一个虚拟系统或选择共享(所有虚拟系统)。在任何其他上下文
中,您无法选择位置;其值预定义为共享(对于防火墙)或为 Panorama。
在保存用户组后,您无法更改其位置。
单击添加以选择要添加到组中的用户。
配置 RADIUS 服务器设置
设备 > 服务器配置文件 > RADIUS
Panorama > 服务器配置文件 > RADIUS
使用 RADIUS 页面可以为身份验证配置文件引用的 RADIUS 服务器配置设置(参阅“设置身
份验证配置文件”)。
62 • Web 界面参考指南,版本 7.0
Palo Alto Networks
配置 TACACS+ 服务器设置
表 32. RADIUS 服务器设置
字段
说明
配置文件名称
输入名称以标识服务器配置文件(最多 31 个字符)。名称区分大小写,且
必须是唯一的。仅可使用字母、数字、空格、连字符和下划线。
位置
选择在其中使用配置文件的范围。在拥有多个虚拟系统 (vsys) 的防火墙的上
下文中,选择一个虚拟系统或选择共享(所有虚拟系统)。在任何其他上下
文中,您无法选择位置;其值预定义为共享(对于防火墙)或为 Panorama。
在保存配置文件后,您无法更改其位置。
仅供管理员使用
选中此复选框可指定只能使用配置文件进行身份验证的管理员帐户。对于拥
有多个虚拟系统的防火墙,此复选框只有在当位置为共享时显示。
超时
输入身份验证请求超时后以秒为单位的时间间隔(范围为 1-30,默认为 3)。
重试
输入请求失败之前,在超时后自动重试的次数(范围为 1-5,默认为 3)。
服务器
以首选顺序配置每个服务器的信息。
• 名称 — 输入名称以标识服务器。
• RADIUS 服务器 — 输入服务器 IP 地址或 FQDN。
• 密钥 / 确认密钥 — 输入并确认密钥,以验证并加密设备和 RADIUS 服务器
之间的连接。
• 端口 — 输入用于身份验证请求的服务器端口(默认为 1812)。
配置 TACACS+ 服务器设置
设备 > 服务器配置文件 > TACACS+
Panorama > 服务器配置文件 > TACACS+
使用 TACACS+ 页面可以为身份验证配置文件引用的增强的终端访问控制器访问控制系统
(TACACS+) 服务器配置设置(参阅“设置身份验证配置文件”)。
表 33. TACACS+ 服务器设置
字段
说明
配置文件名称
输入名称以标识服务器配置文件(最多 31 个字符)。名称区分大小写,且
必须是唯一的。仅可使用字母、数字、空格、连字符和下划线。
位置
选择在其中使用配置文件的范围。在拥有多个虚拟系统 (vsys) 的防火墙的上
下文中,选择一个虚拟系统或选择共享(所有虚拟系统)。在任何其他上下
文中,您无法选择位置;其值预定义为共享(对于防火墙)或为 Panorama。
在保存配置文件后,您无法更改其位置。
仅供管理员使用
选中此复选框可指定只能使用配置文件进行身份验证的管理员帐户。对于拥
有多个虚拟系统的防火墙,此复选框只有在当位置为共享时显示。
超时
输入身份验证请求超时后以秒为单位的时间间隔(范围为 1-20,默认为 3)。
对所有身份验证使用单
个连接
选中此复选框可以为所有身份验证使用同一 TCP 会话。此选项可以通过避免
启动所需的过程并为每个身份验证事件拆解单独的 TCP 会话以提高性能。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 63
配置 LDAP 服务器设置
表 33. TACACS+ 服务器设置(续)
字段
说明
服务器
单击添加并为每个 TACACS+ 服务器指定下列设置:
• 名称 — 输入名称以标识服务器。
• TACACS+ 服务器 — 输入 TACACS+ 服务器的 IP 地址或 FQDN。
• 密钥 / 确认密钥 — 输入并确认密钥,以验证并加密设备和 TACACS+ 服
务器之间的连接。
• 端口 — 输入用于身份验证请求的服务器端口(默认为 49)。
配置 LDAP 服务器设置
设备 > 服务器配置文件 > LDAP
Panorama > 服务器配置文件 > LDAP
使用 LDAP 页面可以为身份验证配置文件引用的 LDAP 服务器配置设置(参阅“设置身份验
证配置文件”)。
表 34. LDAP 服务器设置
字段
说明
配置文件名称
输入名称以标识配置文件(最多 31 个字符)。名称区分大小写,且必须是
唯一的。仅可使用字母、数字、空格、连字符和下划线。
位置
选择在其中使用配置文件的范围。在拥有多个虚拟系统 (vsys) 的防火墙的上
下文中,选择一个虚拟系统或选择共享(所有虚拟系统)。在任何其他上下
文中,您无法选择位置;其值预定义为共享(对于防火墙)或为 Panorama。
在保存配置文件后,您无法更改其位置。
仅供管理员使用
选中此复选框可指定只能使用配置文件进行身份验证的管理员帐户。对于拥
有多个虚拟系统的防火墙,此复选框只有在当位置为共享时显示。
服务器
对于每个 LDAP 服务器,单击添加,然后输入主机名称、IP 地址或 FQDN
(LDAP 服务器)和端口(默认为 389)。
类型
从下拉列表中选择服务器类型。
基本 DN
在目录服务器中指定根上下文,以缩小用户或组信息的搜索范围。
绑定 DN
为目录服务器指定登录名称(专有名称)。
密码 / 确认密码
指定绑定帐户密码。代理将在配置文件中保存加密密码。
绑定超时
指定连接到目录服务器时施加的时间限制(范围为 1-30 秒,默认为 30 秒)。
搜索超时
指定执行目录搜索时施加的时间限制(范围为 1-30 秒,默认为 30 秒)。
重试间隔
指定以秒为单位的时间间隔,在此之后系统将尝试在上一次失败尝试后连接
到 LDAP 服务器(范围为 1-3600,默认为 60)。
64 • Web 界面参考指南,版本 7.0
Palo Alto Networks
配置 Kerberos 服务器设置
表 34. LDAP 服务器设置(续)
字段
说明
需要 SSL/TLS 安全连接
如果您希望设备使用 SSL 或 TLS 与目录服务器进行通信,请选中此复选
框。协议取决于服务器端口:
• 389(默认)— TLS(具体来说,设备使用 StartTLS 操作,这可以将初始明
文连接升级至 TLS。)
• 636 — SSL
• 任何其他端口 — 设备首先尝试使用 TLS。如果目录服务器不支持 TLS,则
设备回滚至 SSL。
默认情况下,已选中此复选框。
验证 SSL 会话的服务器
证书
如果您希望设备验证目录服务器为建立 SSL/TLS 连接提供的证书,可以选
中此复选框(默认为未选中)。设备在两个方面对证书进行验证:
• 证书可信且有效。对于设备要信任的证书、其根证书颁发机构 (CA) 和任何
中间证书,均必须存储在设备 > 证书管理 > 证书 > 设备证书下的证书中。
• 证书名称必须与 LDAP 服务器的主机名称相匹配。设备首先检查证书属性
主题 AltName 是否相匹配,然后尝试使用属性主题 DN。如果证书使用
目录服务器的 FQDN,则必须使用 LDAP 服务器字段中的 FQDN 匹配名
称才能成功。
如果验证失败,则连接也会失败。要启用此验证,还必须选中需要 SSL/
TLS 安全连接复选框。
配置 Kerberos 服务器设置
设备 > 服务器配置文件 > Kerberos
Panorama > 服务器配置文件 > Kerberos
使用 Kerberos 页面可以配置服务器配置文件,以便让用户在本地对 Active Directory 域控制器
或 Kerberos V5 兼容的身份验证服务器进行身份验证。在配置 Kerberos 服务器配置文件后,可
以将其分配给身份验证配置文件(参阅“设置身份验证配置文件”)。
要使用 Kerberos 身份验证,必须能够通过 IPv4 地址访问后端 Kerberos 服
务器。不支持 IPv6 地址。
表 35. Kerberos 服务器设置
字段
说明
配置文件名称
输入名称以标识服务器(最多 31 个字符)。名称区分大小写,且必须是唯
一的。仅可使用字母、数字、空格、连字符和下划线。
位置
选择在其中使用配置文件的范围。在拥有多个虚拟系统 (vsys) 的防火墙的上
下文中,选择一个虚拟系统或选择共享(所有虚拟系统)。在任何其他上下
文中,您无法选择位置;其值预定义为共享(对于防火墙)或为 Panorama。
在保存配置文件后,您无法更改其位置。
仅供管理员使用
选中此复选框可指定只能使用配置文件进行身份验证的管理员帐户。对于拥
有多个虚拟系统的防火墙,此复选框只有在当位置为共享时显示。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 65
设置身份验证序列
表 35. Kerberos 服务器设置(续)
字段
说明
服务器
对于每个 Kerberos 服务器,请单击添加,并指定以下设置:
• 名称 — 输入服务器的名称。
• Kerberos 服务器 — 输入服务器 IPv4 地址或 FQDN。
• 端口 — 输入与服务器进行通信的可选端口(默认为 88)。
设置身份验证序列
设备 > 身份验证序列
Panorama > 身份验证序列
在某些环境中,用户帐户驻留在多个目录中(如本地数据库、LDAP 和 RADIUS)。身份验证
序列是 Palo Alto Networks 设备在用户登录时尝试用于对其进行身份验证的一组身份验证配置
文件。设备尝试依次使用列表自上而下的配置文件 — 应用每个配置文件的身份验证、Kerberos
单点登录、允许列表和帐户锁定值 — 直到某个配置文件成功对用户进行身份验证。设备只有在
当身份验证序列中的所有配置文件进行身份验证失败时才可拒绝访问。有关身份验证配置文件
的详细信息,请参阅“设置身份验证配置文件”。
表 36. 身份验证序列设置
字段
说明
名称
输入名称以标识序列。名称区分大小写,最多可以包含 31 个字符,只能包
括字母、数字、空格、连字符和下划线和句点。名称在与其他身份验证序列
和身份验证配置文件相对的当前位置(防火墙或虚拟系统)中必须唯一。
注意:在拥有多个虚拟系统的防火墙中,如果身份验证序列的位置为虚拟系
统 (vsys),请不要输入与共享位置中身份验证配置文件相同的名称。同样,
如果序列位置为共享,请不要输入与虚拟系统中配置文件相同的名称。在这
些情况下,尽管您可以提交具有同一名称的身份验证序列和配置文件,但可
能会发生引用错误。
位置
选择在其中使用序列的范围。在拥有多个虚拟系统 (vsys) 的防火墙的上下
文中,选择一个虚拟系统或选择共享(所有虚拟系统)。在任何其他上下文
中,您无法选择位置;其值预定义为共享(对于防火墙)或为 Panorama。
在保存序列后,您无法更改其位置。
使用域确定身份验证配
置文件
如果您希望设备将用户在登录时输入的域名来匹配与序列相关联的身份验证
配置文件的用户域或 Kerberos 领域,然后使用该配置文件对用户进行身份
验证,则可以选中此复选框(默认为选中)。设备用来相匹配的用户输入可
以是用户名前面的文本(带有反斜杠分隔符)或用户名后面的文本(带有 @
分隔符)。如果设备找不到匹配,则尝试按自上而下顺序使用序列中的身份
验证配置文件。
身份验证配置文件
单击添加,然后从下拉列表中选择要添加到序列的每个身份验证配置文件。
要更改列表顺序,选择一个配置文件,然后单击向上移或向下移。要删除配
置文件,请将其选中,并单击删除。
66 • Web 界面参考指南,版本 7.0
Palo Alto Networks
调度日志导出
调度日志导出
设备 > 调度日志导出
您可以调度日志的导出,并以 CSV 格式将其保存到文件传输协议 (FTP) 服务器,或使用安全复
制 (SCP) 在设备和远程主机之间安全地传输数据。日志配置文件包含调度和 FTP 服务器信息。
例如,配置文件可指定每天凌晨 3 点收集前一天的日志,并将其存储在特定 FTP 服务器上。
单击添加并填写以下详细信息:
表 37. 已调度日志导出设置
字段
说明
名称
输入名称以标识配置文件(最多 31 个字符)。名称区分大小写,且必须是
唯一的。仅可使用字母、数字、空格、连字符和下划线。
创建配置文件后无法再更改其名称。
说明
输入可选说明(最多 255 个字符)。
已启用
选中此复选框可启用日志导出调度。
日志类型
选择日志类型(通信、威胁、URL、数据或 HIP 匹配)。默认为通信。
已计划的导出开始时间
(每天)
使用 24 小时制输入导出开始的时间 (hh:mm)(00:00 - 23:59)。
协议
选择用于将日志从防火墙导出到远程主机的协议。可以使用 SCP 安全导出
日志,也可以使用非安全协议 FTP。
如果您使用 SCP,则需要单击“测试 SCP 服务器连接”按钮以测试防火墙
与 SCP 服务器之间的连接,且必须验证和接受 SCP 服务器的主机密钥。
主机名
输入将用于导出的 FTP 服务器的主机名或 IP 地址。
端口
输入 FTP 服务器将使用的端口号。默认为 21。
路径
指定 FTP 服务器上用于存储导出信息的路径。
启用 FTP 被动模式
选中此复选框可使用被动模式进行导出。默认情况下,此选项处于选中状态。
用户名
输入用于访问 FTP 服务器的用户名。默认为匿名。
密码
输入用于访问 FTP 服务器的密码。如果用户是 “anonymous”,则不需要
密码。
定义日志记录目标
设备 > 日志设置
使用此页面可使防火墙记录配置更改、系统事件、HIP 匹配日志、关联日志(在某些平台
上),以及配置和启用警报。对于每个日志,您可以启用 Panorama 的远程日志记录,生成
SNMP 陷阱,以及选择用于发送 syslog 消息和电子邮件通知的系统日志配置文件和电子邮件服
务器配置文件。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 67
定义日志记录目标
下表描述了远程日志目标。
表 38. 远程日志目标
目标
说明
Panorama
可以将所有日志条目转发到 Panorama — Palo Alto 集中管理设备。要指定
Panorama 服务器的地址,请参阅“定义管理设置”。
SNMP 陷阱
可以按严重性级别系统、威胁和通信日志条目(不包括配置日志条目)生成
SNMP 陷阱。要定义 SNMP 陷阱目标,请参阅“配置 SNMP 陷阱目标”。
Syslog
可以按严重性级别系统、威胁、通信和配置日志条目生成 Syslog 消息。要定义
syslog 目标,请参阅“配置 Syslog 服务器”。
电子邮件
可以按严重性级别系统、威胁、通信和配置日志条目发送电子邮件通知。要定
义电子邮件收件人和服务器,请参阅“配置电子邮件通知设置”。
注: 要为通信配置日志记录目标,请参阅“日志转发”。
配置日志设置
配置小部件可让您定义配置日志条目的设置。
表 39. 配置日志设置
字段
说明
Panorama
选中此复选框可将配置日志条目发送到 Panorama 集中式管理系统。
SNMP 陷阱
要生成配置日志条目的 SNMP 陷阱,请选择 SNMP 陷阱服务器配置文
件。要指定新 SNMP 陷阱目标,请参阅“配置 SNMP 陷阱目标”。
电子邮件
要生成配置日志条目的电子邮件通知,请从下拉列表中选择电子邮件配置
文件。要指定新电子邮件配置文件,请参阅“配置电子邮件通知设置”。
Syslog
要为配置日志条目生成 syslog 消息,请选择 syslog 服务器的名称。要指定
新 syslog 服务器,请参阅“配置 Syslog 服务器”。
68 • Web 界面参考指南,版本 7.0
Palo Alto Networks
定义日志记录目标
系统日志设置
系统日志显示诸如高可用性故障、链接状态更改以及管理员登录和注销防火墙之类的系统事
件。根据事件的严重性,您可以指定是否通过 Panorama 远程记录系统日志条目,并作为
SNMP 陷阱、syslog 消息和 / 或电子邮件通知发送。
表 40. 系统日志设置
字段
说明
Panorama
对于要发送到 Panorama 集中式管理系统的系统日志条目的每个严重性级别,
选中其复选框。要指定 Panorama 服务器地址,请参阅“定义管理设置”。
严重性级别如下:
• 严重 — 硬件故障,包括高可用性故障转移和链接故障。
• 高 — 严重问题,包括与外部设备(例如 syslog 和 RADIUS 服务器)断开
连接。
• 中 — 中级通知,例如防病毒软件包升级。
• 低 — 不太严重的通知,例如用户密码更改。
• 参考 — 登录 / 注销、管理员名称或密码更改、任何配置更改以及其他严重
性级别未涵盖的所有其他事件。
SNMP 陷阱
电子邮件
Syslog
在每个严重性级别下,选择 SNMP、syslog 和 / 或电子邮件设置,这些设置
指定了系统日志条目将发送到的其他目标。要定义新目标,请参阅:
• “配置 SNMP 陷阱目标”。
• “配置 Syslog 服务器”。
• “配置电子邮件通知设置”。
关联日志设置
在关联对象与模式或行为相匹配且记录关联事件后,就已生成关联日志。关联事件可收集网络中
用户或主机的可疑或异常行为的证据。有关关联引擎的信息,请参阅“使用自动关联引擎”。
根据事件的严重性,您可以指定是否通过 Panorama 远程记录系统日志条目,并作为 SNMP 陷
阱、syslog 消息和 / 或电子邮件通知发送。
表 41. 关联日志设置
字段
说明
Panorama
选择要发送到 Panorama 的关联日志条目的各严重性级别的复选框。
严重性级别如下:
• 严重 — 根据表示升级模式的关联事件确认主机已受到影响。例如,当主
机收到 WildFire 判定为恶意的文件时会记录重要事件,此事件呈现一些
在该恶意文件的 WildFire 沙盒中观察到的命令和控制活动。
• 高 — 根据多个威胁事件之间的关联表示主机很有可能受到影响,如在与
从特定主机生成的命令和控制活动相匹配的网络中的任何位置检测到的
恶意软件。
• 中 — 根据检测到的一个或多个可疑事件表示主机可能受到影响,如重复
访问已知的恶意 URL,以建议对命令和控制活动编写脚本。
• 低 — 根据检测到的一个或多个可疑事件表示主机可能受到影响,如访问
恶意 URL 或动态 DNS 域。
• 参考 — 检测到可以在聚合中用于确定可疑活动的事件;每个事件对于自
己并不一定很重要。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 69
定义日志记录目标
表 41. 关联日志设置(续)
字段
说明
SNMP 陷阱
电子邮件
Syslog
在每个严重性级别下,选择 SNMP、syslog 和 / 或电子邮件设置,这些设置
指定了关联日志条目将发送到的其他目标。要定义新目标,请参阅:
• “配置 SNMP 陷阱目标”。
• “配置 Syslog 服务器”。
• “配置电子邮件通知设置”。
HIP 匹配日志设置
主机信息配置文件 (HIP) 匹配日志设置用来提供 GlobalProtect 客户端中采用的安全策略信息。
表 42. HIP 匹配日志设置
字段
说明
Panorama
选中此复选框可将配置日志条目发送到 Panorama 集中式管理系统。
SNMP 陷阱
要为 HIP 匹配日志条目生成 SNMP 陷阱,请选择陷阱目标的名称。要指
定新 SNMP 陷阱目标,请参阅“配置 SNMP 陷阱目标”。
电子邮件
要为配置日志条目生成电子邮件通知,请选择指定相应电子邮件地址的电
子邮件设置的名称。要指定新电子邮件设置,请参阅“配置电子邮件通知
设置”。
Syslog
要为配置日志条目生成 syslog 消息,请选择 syslog 服务器的名称。要指定
新 syslog 服务器,请参阅“配置 Syslog 服务器”。
定义警报设置
“警报设置”可让您为 CLI 和 Web 界面启用警报和警报通知。还可让您配置下列事件的通知:
• 已按指定阈值和在指定时间间隔内对安全规则(或一组规则)进行匹配。
• 达到加密 / 解密失败阈值。
• 各种日志类型的日志数据库几乎已满;当已经使用 90% 的可用磁盘空间时,默认将配额设
置为通知。配置警报可让您在磁盘装满之前采取措施,并清除日志。
配置“警报”选项时,随时可通过单击 Web 界面右下角的警报图标
查看警报的当前列
表。此操作将打开一个窗口,其中列出了当前警报日志中未确认和已确认的警报。
要确认警报,请选中其复选框,然后单击确认。此操作会将警报移至“已确认警报”列表。警
报窗口中还包括用于分页、列排序和刷新的控件。
要添加警报 , 请编辑“警报设置”部分并使用下表定义警报:
表 43. 警报日志设置
字段
说明
启用警报
根据此页面上列出的事件启用警报。
“警报”按钮
启用 CLI 警报通知
70 • Web 界面参考指南,版本 7.0
仅在启用警报复选框处于选中状态时才可见。
发生警报后立即启用 CLI 警报通知。
Palo Alto Networks
配置 SNMP 陷阱目标
表 43. 警报日志设置(续)
字段
说明
启用 Web 警报通知
将打开一个显示用户会话相关警报的窗口,其中包括警报的发生时间和确
认时间。
启用有声警报
如果 Web 界面或 CLI 中存在未确认的警报,则防火墙将持续发出提示音。
加密 / 解密失败阈值
指定生成警报之前的加密 / 解密失败次数。
日志 DB 警报阈值(全百
分比)
当日志数据库达到最大大小的指示百分比时,系统将生成警报。
安全策略限制
如果某个特定的 IP 地址或端口在安全违反时间期限设置中指定的时间段
(秒)内命中某项拒绝规则的次数达到安全违反阈值设置中指定的次数,
则会生成警报。
安全策略组限制
在违反时间期限字段指定的期限内,如果规则集合达到在违反阈值字段中
指定的规则限制违反次数,则生成警报。会话与显式拒绝策略匹配时视为
冲突。
使用安全策略标记指定规则限制阈值将因其生成警报的标记。定义安全策
略时,可以指定这些标记。
选择性审核
注:这些设置仅出现在“常见标准”模式内的警报页面中。
指定以下设置:
• CC 特定日志记录 — 启用符合常见标准 (CC) 所需的详细记录。
• 登录成功日志记录 — 记录管理员登录防火墙成功的事件。
• 登录失败日志记录 — 记录管理员登录防火墙失败的事件。
• 被禁止的管理员 — 对于所列管理员对防火墙配置所做的更改,不生成
日志。
管理日志设置
配置日志记录时,防火墙会记录设备生成的配置更改、系统事件、安全威胁、通信流和警报。
使用“管理日志”页面可以清除设备上的日志。单击日志对应的链接(通信、威胁、URL、数
据、配置、系统、HIP 匹配、警报),即可进行清除。
配置 SNMP 陷阱目标
设备 > 服务器配置文件 > SNMP 陷阱
Panorama > 服务器配置文件 > SNMP 陷阱
简单网络管理协议 (SNMP) 是用于监视网络设备的一个标准协议。为了提醒您网络上的系统事
件或威胁,受监控设备会将 SNMP 陷阱发送到 SNMP 管理器(陷阱服务器)。使用 SNMP 陷
阱页面可以配置服务器配置文件,可使防火墙或 Panorama 将陷阱发送到 SNMP 管理器。要启
用 SNMP GET(从 SNMP 管理器请求的统计信息),请参阅“启用 SNMP 监控”。
在创建服务器配置文件后,必须指定将触发防火墙发送 SNMP 陷阱的日志类型(参阅“定义日
志记录目标”)。如需您必须加载到 SNMP 管理器以便可以解释其从 Palo Alto Networks 设
备收到的陷阱的 MIB 的列表,请参阅支持的 MIB。
请不要删除任何系统日志设置或日志记录配置文件使用的服务器配置文件。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 71
配置 SNMP 陷阱目标
表 44. SNMP 陷阱服务器配置文件设置
字段
说明
名称
输入 SNMP 配置文件的名称(最多 31 个字符)。名称区分大小写,且必
须是唯一的。仅可使用字母、数字、空格、连字符和下划线。
位置
选择在其中使用配置文件的范围。在拥有多个虚拟系统 (vsys) 的防火墙的
上下文中,选择一个虚拟系统或选择共享(所有虚拟系统)。在任何其他
上下文中,您无法选择位置;其值预定义为共享(对于防火墙)或为
Panorama。在保存配置文件后,您无法更改其位置。
版本
选择 SNMP 版本:V2c(默认)或 V3。您的选择可控制对话框显示的其余
字段。对于任一版本,最多可以添加四个 SNMP 管理器。
对于 SNMP V2c
名称
指定 SNMP 管理器的名称。名称最多可以包含 31 个字符,包括字母数
字、句点、下划线或连线。
SNMP 管理器
指定 SNMP 管理器的 FQDN 或 IP 地址。
团体
输入团体字符串,不但可用于识别 SNMP 管理器和监控设备的 SNMP 团
体,并且还可用作密码在转发陷阱时对团体成员彼此进行身份验证。字符
串最多可以包含 127 个字符,接受所有字符且区分大小写。最佳做法是不
使用默认团体字符串 public。由于 SNMP 消息包含明文团体字符串,因
此在定义团体成员(管理员访问权限)时需要考虑网络的安全要求。
对于 SNMP V3
名称
指定 SNMP 管理器的名称。名称最多可以包含 31 个字符,包括字母数
字、句点、下划线或连线。
SNMP 管理器
指定 SNMP 管理器的 FQDN 或 IP 地址。
用户
指定用于标识 SNMP 用户帐户的用户名(最多 31 个字符)。在设备上配
置的用户名必须与在 SNMP 管理器上配置的用户名相匹配。
引擎 ID
指定设备的引擎 ID。当 SNMP 管理器和设备相互进行身份验证时,陷阱
消息使用此值唯一标识设备。如果将此字段留空,则消息将设备序列号用
作引擎 ID。如果输入一个值,则其格式必须为十六进制,前缀为 0x 且包
含表示 5-64 个字节的任意数量的其他 10-128 个字符(每个字节 2 个字
符)。对于高可用性 (HA) 配置中的设备,将此字段留空,以便 SNMP 管
理器可以标识已发送陷阱的高可用性对端;否则,值同步且两个对端都将
使用同一引擎 ID。
身份验证密码
指定 SNMP 用户的身份验证密码。设备使用该密码对 SNMP 管理器进行
身份验证。设备使用安全哈希算法 (SHA-1 160) 对密码进行加密。密码长
度必须为 8-256 个字符,且允许使用所有字符。
私人密码
指定 SNMP 用户的私人密码。设备使用密码和高级加密标准 (AES-128) 对
陷阱进行加密。密码长度必须为 8-256 个字符,且允许使用所有字符。
72 • Web 界面参考指南,版本 7.0
Palo Alto Networks
配置 Syslog 服务器
配置 Syslog 服务器
设备 > 服务器配置文件 > Syslog
Panorama > 服务器配置文件 > Syslog
要为系统、配置、通信、威胁或 HIP 匹配日志生成 syslog 消息,必须指定一个或多个 Syslog 服
务器。定义 syslog 服务器后,可以将其用于系统和配置日志条目(参阅“配置日志设置”)。
表 45. 新 Syslog 服务器
字段
说明
名称
输入 syslog 配置文件的名称(最多 31 个字符)。名称区分大小写,且必须
是唯一的。仅可使用字母、数字、空格、连字符和下划线。
位置
选择在其中使用配置文件的范围。在拥有多个虚拟系统 (vsys) 的防火墙的
上下文中,选择一个虚拟系统或选择共享(所有虚拟系统)。在任何其他
上下文中,您无法选择位置;其值预定义为共享(对于防火墙)或为
Panorama。在保存配置文件后,您无法更改其位置。
服务器选项卡
名称
单击添加,并输入 Syslog 服务器的名称(最多31个字符)。名称区分大小
写,且必须是唯一的。仅可使用字母、数字、空格、连字符和下划线。
服务器
输入 syslog 服务器的 IP 地址。
传输
选择通过 UDP、TCP 还是 SSL 端口传输 syslog 消息。
端口
输入 syslog 服务器的端口号(UDP 的标准端口号为 514 ; SSL 的标准端口
号为 6514 ;对于 TCP,必须指定端口号)。
格式
指定要使用的 syslog 格式:BSD(默认格式)或 IETF。
工具
选择一个 Syslog 标准值。选择该值可以映射 Syslog 服务器使用工具字段管
理 消息的方式。有关工具字段的详细信息,请参阅 RFC 3164(BSD 格
式)或 RFC 5424(IETF 格式)。
自定义日志格式
选项卡
日志类型
单击日志类型将打开一个对话框,您可以在此对话框中指定自定义日志格
式。在该对话框中,单击字段可以将其添加到“日志格式”区域。其他文
本字符串均可在“日志格式”区域中直接编辑。单击确定以保存设置。查
看可用于自定义日志的每个字段的说明。
有关可用于自定义日志的字段的详细信息,请参阅“配置电子邮件通知
设置”。
转义
指定转义序列。使用转义符框可列出所有要转义而不带空格的字符。
不能删除用于任何系统、配置日志设置或日志记录配置文件的服务器。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 73
配置电子邮件通知设置
配置电子邮件通知设置
设备 > 服务器配置文件 > 电子邮件
Panorama > 服务器配置文件 > 电子邮件
要为日志生成电子邮件消息,必须配置电子邮件配置文件。定义电子邮件设置后,便可以为系
统和配置日志条目启用电子邮件通知(参阅“配置日志设置”)。有关调度电子邮件报告传递
的信息,请参阅“计划需要电子邮件传递的报告”。
表 46. 电子邮件通知设置
字段
说明
名称
输入服务器配置文件的名称(最多 31 个字符)。名称区分大小写,且必
须是唯一的。仅可使用字母、数字、空格、连字符和下划线。
位置
选择在其中使用配置文件的范围。在拥有多个虚拟系统 (vsys) 的防火墙的
上下文中,选择一个虚拟系统或选择共享(所有虚拟系统)。在任何其他
上下文中,您无法选择位置;其值预定义为共享(对于防火墙)或为
Panorama。在保存配置文件后,您无法更改其位置。
服务器选项卡
服务器
输入名称以标识服务器(1-31 个字符)。此字段仅是一个标签,不必用作
现有 SMTP 服务器的主机名。
显示名称
输入在电子邮件的发件人字段中显示的名称。
发件人
输入发件人电子邮件地址,例如 “security_alert@company.com”。
收件人
输入收件人的电子邮件地址。
其他接收人
(可选)输入其他收件人的电子邮件地址。只能添加一个其他收件人。要
添加多个收件人,请添加通讯组列表的电子邮件地址。
网关
输入用于发送电子邮件的简单邮件传输协议 (SMTP) 服务器的 IP 地址或主
机名。
自定义日志格式选
项卡
日志类型
单击日志类型将打开一个对话框,您可以在此对话框中指定自定义日志格
式。在该对话框中,单击字段可以将其添加到“日志格式”区域。单击确
定以保存设置。
转义
包括已转义的字符,并指定一个或多个转义字符。
不能删除用于任何系统、配置日志设置或日志配置文件的电子邮件设置。
74 • Web 界面参考指南,版本 7.0
Palo Alto Networks
配置 Netflow 设置
配置 Netflow 设置
设备 > 服务器配置文件 > Netflow
所有防火墙均支持 NetFlow 9 版,除 PA-4000 系列防火墙和 PA-7000 系列防火墙以外。以上防
火墙仅支持单向 NetFlow,而不支持双向 NetFlow。您可以启用所有接口类型(HA、日志卡
或解密镜像除外)上的 NetFlow 导出功能。防火墙支持标准版和企业版(专用于 PAN-OS)
NetFlow 模板。NetFlow 收集器需要模板破译导出的字段。防火墙基于其导出的数据类型选择
模板:IPv4 或 IPv6 流量、包含或不包含 NAT、标准或专用于企业的字段。
要配置 NetFlow 数据导出,可以定义 NetFlow 服务器配置文件,以便指定将接收数据的
NetFlow 服务器并指定导出参数。在将配置文件分配给接口后(参阅“配置防火墙接口”),
防火墙会将遍历该接口的所有通信的 NetFlow 数据导出至指定服务器。
表 47. Netflow 设置
字段
说明
名称
输入 Netflow 服务器配置文件的名称(最多 31 个字符)。名称区分大小
写,且必须是唯一的。仅可使用字母、数字、空格、连字符和下划线。
模板刷新率
指定分钟数(1-3600 分钟,默认为 30 分钟)或数据包数(1-600 个,默认
为 20 个),防火墙将根据该值刷新 NetFlow 模板以将所有更改应用到其
字段或将更改应用到模板选择。所需的刷新频率取决于 NetFlow 收集
器。如果在服务器配置文件中添加多个 NetFlow 收集器,请使用刷新速
率最高的收集器的值。
主动超时
指定防火墙为各个会话导出数据时的频率(以分钟为单位)(1-60 分钟,
默认为 5 分钟)。根据您希望 NetFlow 收集器隔多久更新一次通信统计数
据来设置频率。
PAN-OS 字段类型
导出 Netflow 记录中 App-ID 和 User-ID 服务的 PAN-OS 特定字段。
服务器
名称
指定用于标识服务器的名称(最多 31 个字符)。名称区分大小写,且必须
是唯一的。仅可使用字母、数字、空格、连字符和下划线。
服务器
指定服务器的主机名或 IP 地址。每个配置文件最多可添加两台服务器。
端口
指定用于访问服务器的端口号(默认为 2055)。
配置 DNS 服务器配置文件
设备 > 服务器配置文件 > DNS
配置 DNS 服务器配置文件,从而将其应用到虚拟系统以简化配置。
表 48 DNS 服务器配置文件
字段
说明
名称
指定 DNS 服务器配置文件的名称。
位置
选择要应用配置文件的虚拟系统。
继承源
(可选)指定配置文件应从中继承设置的 DNS 服务器。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 75
使用证书
表 48 DNS 服务器配置文件(续)
字段
说明
检查继承源状态
(可选)如果选择从中继承设置的 DNS 服务器,单击此链接可查看继承源的状态。
主 DNS
指定主 DNS 服务器的 IP 地址,或将其保留为已继承(如果选择继承源)。
辅助 DNS
指定辅助 DNS 服务器的 IP 地址,或将其保留为已继承(如果选择继承源)。
如果您要指定将数据包转发到以 IPv4 地址为源地址的 DNS 服务器,可以单击此复选框。
– (可选)指定将数据包转发到的 DNS 服务器要使用的源接口。
服务路由 IPv4
– 指定将数据包转发到的 DNS 服务器用作源地址的 IPv4 源地址。
如果您要指定将数据包转发到以 IPv6 地址为源地址的 DNS 服务器,可以单击此复选框。
– (可选)指定将数据包转发到的 DNS 服务器要使用的源接口。
服务路由 IPv6
– 指定将数据包转发到的 DNS 服务器用作源地址的 IPv6 源地址。
使用证书
设备 > 证书管理 > 证书
证书用于对数据进行加密和保护网络间通信。
• “管理设备证书”:使用设备 > 证书管理 > 证书 > 设备证书页面可管理(生成、导入、续
订、删除、吊销)用于确保通信安全的设备证书。您还可以导出和导入用于保护网络上高
可用性对端之间连接的高可用性 (HA) 密钥。
• “管理默认可信证书颁发机构”:使用设备 > 证书管理 > 证书 > 默认可信证书颁发机构页
面可查看、启用和禁用防火墙信任的证书颁发机构 (CA)。
管理设备证书
设备 > 证书管理 > 证书 > 设备证书
Panorama > 证书管理 > 证书
列出防火墙或 Panorama 针对某些任务(如确保对 Web 界面进行安全访问、SSL 解密或 LSVPN)
所用的证书。
以下是一部分适用于证书的设置:
• 转发信任 — 当与客户端相连的服务器由防火墙的可信 CA 列表中的 CA 签名时,系统将在
加密期间向该客户端显示此证书。如果使用自签名证书对转发代理解密,则必须在证书页
面中单击该证书名称,并选中转发信任证书复选框。
• 转发不可信 — 当与客户端相连的服务器不是由防火墙的可信 CA 列表中的 CA 签名时,系
统将在加密期间向该客户端显示此证书。
76 • Web 界面参考指南,版本 7.0
Palo Alto Networks
使用证书
• 可信根 CA — 该证书将标记为可信的 CA,以便对转发进行解密。
防火墙对通信进行解密时,将检查上行证书以查看其是否由可信 CA 颁发。如果不是,将
使用特殊的不可信 CA 证书对解密证书进行签名。在这种情况下,用户在访问防火墙时将
看到常见证书错误页面,这时必须解除登录警告。
防火墙具有现有可信 CA 的大型列表。可信根 CA 证书针对的是企业信任的其他 CA,但
不属于预安装信任列表的一部分。
• SSL 排除 — 如果在对 SSL 转发代理进行解密时遇到 SSL 连接,则此证书将排除这些连接。
• 保护 Syslog 安全的证书 — 此证书可以将 Syslog 安全地转发到外部 Syslog 服务器。
要生成证书,请单击生成并填写以下字段:
表 49. 用来生成证书的设置
字段
说明
证书名称
输入用来标识证书的名称(最多 31 个字符)。名称区分大小写,且必须是
唯一的。仅可使用字母、数字、空格、连字符和下划线。仅名称是必需的。
常见名称
输入将显示在证书上的 IP 地址或 FQDN。
共享
在拥有多个虚拟系统 (vsys) 的防火墙上,如果您希望证书可用于每个虚拟
系统,请选中此复选框。
签名者
证书可由已导入防火墙的证书颁发机构 (CA) 证书签名,也可以由防火墙
作为证书颁发机构进行自签名。如果使用的是 Panorama,则还可以选择
为 Panorama 生成自签名证书。
如果您已导入证书颁发机构证书或在自身设备上颁发证书(自签名),则
下拉列表将包含可用于对所创建证书进行签名的证书颁发机构。
要生成证书签名请求 (CSR),请选择外部颁发机构 (CSR)。设备生成证书
和密钥对,然后您可以导出 CSR。
证书授权机构
如果您希望防火墙颁发证书,请选中此复选框。
将此证书标记为 CA 可让您对防火墙中的其他证书进行签名。
OCSP 响应者
从下拉列表中选择 OCSP 响应者配置文件(参阅“添加 OCSP 响应者”)。
相应的主机名会显示在证书中。
算法
选择证书的密钥生成算法:RSA 或椭圆曲线 DSA (ECDSA)。
注:ECDSA 使用的密钥大小比 RSA 算法更小,因此可以提供处理 SSL/
TLS 连接的性能增强功能。此外,ECDSA 还可以提供相当于或高于 RSA
的 安 全 性。对 于 受 支 持 的 客 户 端 浏 览 器 和 操 作 系 统,我 们 建 议 使 用
ECDSA。否则,为了与传统浏览器和操作系统兼容,请选择 RSA。
警告:运行 PAN-OS 7.0 之前版本的防火墙将会删除从 Panorama 推送的
所有 ECDSA 证书,并且在这些防火墙上由 ECDSA 证书授权机构 (CA)
签发的所有 RSA 证书都将无效。
位数
选择证书的密钥长度。
如果防火墙处于 FIPS 或 CC 模式且密钥生成算法为 RSA,则生成的 RSA
密钥必须为 2048 位或更大。如果算法为椭圆曲线 DSA,可以使用两个密
钥长度选项(256 和 384)。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 77
使用证书
表 49. 用来生成证书的设置(续)
字段
说明
摘要
选择证书的摘要算法。可用选项取决于密钥生成算法:
• RSA — MD5、SHA1、SHA256、SHA384 或 SHA512
• 椭圆曲线 DSA — SHA256 或 SHA384
如果防火墙处于 FIPS 或 CC 模式且密钥生成算法为 RSA,必须选择
SHA256、SHA384 或 SHA512 作为摘要算法。如果算法为椭圆曲线 DSA,
则可以使用两个摘要算法(SHA256 和 SHA384)。
到期(天数)
指定证书有效的天数。默认为 365 天。
注意:如果在 GlobalProtect 卫星配置中指定有效期限,则该值将替代在
此字段中输入的值。
证书属性
(可选)单击添加可指定其他证书属性,以用于标识证书将颁发到的实
体。您可以添加以下任意属性:国家 / 地区、州、地点、公司、部门和电
子邮件。此外,您可以指定以下“使用者备用名称”字段:主机名
(SubjectAltName:DNS)、IP (SubjectAltName:IP) 和 Alt 电子邮件
(SubjectAltName:email)。
注:要将国家 / 地区添加为证书属性,请从类型列中选择国家 / 地区,然
后单击值列查看 ISO 6366 国家 / 地区代码。
如果已配置硬件安全模块 (HSM),则私钥存储在外部 HSM 存储设备上,
而不是存储在防火墙中。
生成证书后,页面上将显示详细信息。
表 50. 支持的其他操作
操作
说明
删除
选择要删除的证书并单击删除。
吊销
选择要吊销的证书,然后单击吊销。证书将立即设置为已吊销状态。不需
要进行任何提交。
续订
如果证书到期或即将到期,请选择对应的证书并单击续订。设置证书的有
效期限(以天为单位),然后单击确定。
如果防火墙是签发证书的 CA,则防火墙将它替换为拥有不同序列号的新
证书,但属性与旧证书相同。
如果外部证书颁发机构 (CA) 签发证书,且防火墙使用在线证书状态协议
(OCSP) 验证证书吊销状态,则防火墙使用 OCSP 响应者信息更新证书
状态。
78 • Web 界面参考指南,版本 7.0
Palo Alto Networks
使用证书
表 50. 支持的其他操作
操作
说明
导入
要导入证书,请单击导入,并填写以下详细信息
• 用来标识证书的名称。
• 浏览到证书文件。如果是导入 PKCS #12 证书和私钥,则该证书文件是
一个含有这两个对象的文件。如果使用 PEM,则该证书文件只是一个公
共证书。
• 选择证书文件的文件格式。
• 如果要使用 HSM 存储此证书的私钥,请选中硬件安全模块上的私钥复
选框。有关 HSM 的更多详细信息,请参阅“定义硬件安全模块”。
• 选择导入私钥复选框以加载私钥,并输入通行码两次。如果使用 PKCS
#12,则上面的操作将选中该密钥文件。如果使用 PEM,请浏览找到加
密的私钥文件(通常名为 *.key)。
• 从下拉列表中选择要将证书导入到的虚拟系统。
生成
请参阅生成。
导出
要导出证书,请选择要导出的证书并单击导出。选择导出证书要使用的文件
格式(对于 PKCS#12,请选择 .pfx;对于 base64 编码格式,请选择 .pem)。
选中导出私钥复选框,并输入通行码两次,以便在导出证书时,连同私钥
一起导出。
导入 HA 密钥
导出 HA 密钥
HA 密钥必须在两个防火墙对等之间交换;即必须将防火墙 1 的密钥导出,
然后将其导入到防火墙 2 中,然后逆向执行此操作。
要导入高可用性 (HA) 的密钥,请单击导入 HA 密钥并浏览以指定要导入
的密钥文件。
要导出 HA 的密钥,请单击导出 HA 密钥,然后指定保存文件的位置。
定义证书用法
在“名称”列中选择证书链接,然后选中复选框以指示计划如何使用此证
书。有关各个用法的说明,请参阅使用。
管理默认可信证书颁发机构
设备 > 证书管理 > 证书 > 默认可信证书颁发机构
此页面用于查看、禁用或导出防火墙信任的预先包含的证书颁发机构 (CA)。将为每个 CA 显示
名称、使用者、颁发者、到期日期和验证状态。
该列表中不包含防火墙上生成的 CA 证书。
表 51 可信证书颁发机构设置
字段
说明
启用
如果已禁用 CA 并要启用该 CA,则单击 CA 旁边的复选框,然后
单击启用。
禁用
单击要禁用的 CA 旁的复选框,然后单击禁用。如果只想信任某
些 CA,或删除所有 CA 以仅信任本地 CA,则需要执行该操作。
导出
单击 CA 旁的复选框,然后单击导出以导出 CA 证书。要将证书
导入到另一个系统时,或要脱机查看证书时,可以执行此操作。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 79
创建证书配置文件
创建证书配置文件
设备 > 证书管理 > 证书配置文件
Panorama > 证书管理 > 证书配置文件
证书配置文件用来为强制网络门户、GlobalProtect、站点到站点 IPsec VPN、Mobile Security
Manager 和防火墙 / Panorama Web 界面访问定义用户和设备身份验证。配置文件用来指定要
使用的证书、验证证书吊销状态的方法和状态限制访问的方式。配置每个应用程序的证书配置
文件。
表 52. 证书配置文件设置
页面类型
说明
名称
输入名称以标识配置文件(最多 31 个字符)。名称区分大小写,
且必须是唯一的。仅可使用字母、数字、空格、连字符和下划线。
位置
选择在其中使用配置文件的范围。在拥有多个虚拟系统 (vsys) 的防火
墙的上下文中,选择一个虚拟系统或选择共享(所有虚拟系统)。在
任何其他上下文中,您无法选择位置;其值预定义为共享(对于防火
墙)或为 Panorama。在保存配置文件后,您无法更改其位置。
用户名字段
如果 GlobalProtect 只使用证书进行门户 / 网关身份验证,那么 PANOS 会使用您在用户名字段下拉列表中选择的证书字段作为用户名,
并将其与 User-ID 服务的 IP 地址进行匹配:
• 主题:PAN-OS 使用公共名称。
• 主题 Alt:选择 PAN-OS 是要使用电子邮件还是使用主体名称。
• 无:这常用于 GlobalProtect 设备或预登录身份验证。
域
输入 NetBIOS 域,这样 PAN-OS 就能通过 User-ID 映射用户。
CA 证书
单击添加并选择 CA 证书以分配配置文件。
(可选)如果防火墙使用在线证书状态协议 (OCSP) 验证证书吊销状
态,可配置以下字段覆盖默认行为。对于大多数部署,这些字段不
适用。
• 默认情况下,防火墙使用在步骤“添加 OCSP 响应者”中发送的
OCSP 响应者 URL。要覆盖该设置,请输入默认 OCSP URL(以
http:// 或 https:// 为开头)。
• 默认情况下,防火墙使用在 CA 证书字段中选择的证书验证 OCSP
响应者。要使用不同的证书进行验证,可在 OCSP 验证 CA 证书
字段中进行选择。
使用 CRL
选中此复选框可使用证书吊销列表 (CRL) 来验证证书的吊销状态。
使用 OCSP
选中此复选框可使用 OCSP 来验证证书的吊销状态。
注:如果同时选择 OCSP 和 CRL,则防火墙首先尝试使用 OCSP,
并且只有在 OCSP 响应者不可用时返回来使用 CRL 方法。
CRL 接收超时
指定防火墙在过后将停止等待 CRL 服务响应的时间间隔(1-60 秒)。
OCSP 接收超时
指定防火墙在过后将停止等待 OCSP 响应者响应的时间间隔
(1-60 秒)。
证书状态超时
指定防火墙在过后将停止等待任何证书状态服务响应并应用您定义
的所有会话阻止逻辑的时间间隔(1-60 秒)。
80 • Web 界面参考指南,版本 7.0
Palo Alto Networks
添加 OCSP 响应者
表 52. 证书配置文件设置(续)
页面类型
说明
如果证书状态未知,则阻止会话
如果您希望防火墙在 OCSP 或 CRL 服务返回未知证书吊销状态时阻
止会话,请选中此复选框。否则,防火墙继续进行会话。
如果无法在超时时间内检索到
证书状态,则阻止会话
如果您希望防火墙在注册 OCSP 或 CRL 请求超时后阻止会话,请选
中此复选框。否则,防火墙继续进行会话。
添加 OCSP 响应者
设备 > 证书管理 > OCSP 响应者
使用 OCSP 响应者页面可定义联机证书状态协议 (OCSP) 响应者(服务器),以验证证书的吊
销状态。
除了添加 OCSP 响应者之外,启用 OCSP 时还需要执行以下任务:
• 启用防火墙和 OCSP 服务器之间的通信:设备 > 设置 > 管理,编辑“管理接口设置”部分,
选择 HTTP OCSP,然后单击确定。
• 如果防火墙将解密出站 SSL/TLS 通信,则可以选择将其配置为验证目标服务器证书的吊销
状态:选择设备 > 设置 > 会话,单击解密证书吊销设置,在 OCSP 部分中选择启用,输入
接收超时(防火墙在过后将停止等待 OCSP 响应的时间间隔),然后单击确定。
• (可选)要配置防火墙作为 OCSP 响应者,可将接口管理配置文件添加到 OCSP 服务使用
的接口。首先,选择网络 > 网络配置文件 > 接口管理,单击添加,选择 HTTP OCSP,然
后单击确定。其次,选择网络 > 接口,单击将被防火墙用于 OCSP 服务的接口的名称,选
择高级 > 其他信息,选择您已配置的接口管理配置文件,然后单击确定和提交。
表 53 OCSP 响应者设置
字段
说明
名称
输入名称以标识响应者(最多 31 个字符)。名称区分大小写。
它必须是唯一且只能使用字母、数字、空格、连字符和下划线。
位置
选择在其中使用响应者的范围。在拥有多个虚拟系统 (vsys) 的防
火墙的上下文中,选择一个虚拟系统或选择共享(所有虚拟系
统)。在任何其他上下文中,您无法选择位置;其值预定义为共
享。在保存响应者后,您无法更改其位置。
主机名
输入 OCSP 响应者的主机名(推荐)或 IP 地址。根据此值,PANOS 自动派生一个 URL,并将其添加到正在验证的证书。如果将防
火墙配置作为 OCSP 响应者,则主机名必须在防火墙用于 OCSP
服务的接口中解析 IP 地址。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 81
管理 SSL/TLS 服务配置文件
管理 SSL/TLS 服务配置文件
设备 > 证书管理 > SSL/TLS 服务配置文件
Panorama > 证书管理 > SSL/TLS 服务配置文件
SSL/TLS 服务配置文件可指定使用 SSL/TLS 的设备服务的证书和协议版本或版本范围。通过
定义协议版本,配置文件可让您限制用来与请求服务的客户进行安全通信的密码套件。
要添加配置文件,单击添加并填写下表中的字段,然后单击确定。
要克隆配置文件,请选择该配置文件,并单击克隆,然后单击确定。
要删除配置文件,请选择该配置文件,并单击删除。
表 54 SSL/TLS 服务配置文件设置
字段
说明
名称
输入名称以标识配置文件(最多 31 个字符)。名称区分大小写。
它必须是唯一且只能使用字母、数字、空格、连字符和下划线。
共享
如果防火墙拥有多个虚拟系统 (vsys),可以选中此复选框以使配置
文件对所有虚拟系统可用。默认情况下,未选中此复选框,且配置
文件仅适用于在位置下拉列表的设备选项卡中选择的虚拟系统。
证书
选择、导入或生成与配置文件相关联的证书。请参阅“管理设备
证书”。
注意:请不要使用 SSL/TLS 服务的证书授权机构 (CA) 证书;只
能使用签名的证书。
最小版本
选择分配的此配置文件可以使用的服务的最早 TLS 版本:
TLSv1.0、TLSv1.1 或 TLSv1.2。
最大版本
选择分配的此配置文件可以使用的服务的最新 TLS 版本:
TLSv1.0、TLSv1.1、TLSv1.2 或最大(最新的可用版本)。
在防火墙中加密私钥和密码
设备 > 主密钥和诊断
Panorama > 主密钥和诊断
主密钥和诊断页面用于指定主密钥,从而在设备(防火墙或 Panorama 设备)上加密私钥。
主密钥用于对私钥(如用于对 CLI 的访问进行身份验证的 RSA)以及设备上加载的其他密钥进
行加密,私钥用于对设备 Web 界面的访问进行身份验证。因为主密钥用于加密所有其他密
钥,因此请确保将主密钥存储在安全位置。
默认情况下,即使不指定新的主密钥,私钥也会始终以加密形式存储在设备上。该主密钥可提
供额外的一层安全防护。
如果设备处于高可用性 (HA) 配置中,请确保在两台设备上使用同一主密钥,以保证私钥和证
书使用同一密钥加密。如果主密钥不同,则 HA 配置同步将无法正常工作。
82 • Web 界面参考指南,版本 7.0
Palo Alto Networks
在防火墙中启用高可用性
要添加主密钥,请单击“主密钥”部分中的“编辑”按钮,并使用下表输入值:
表 55. 主密钥和诊断设置
字段
说明
当前主密钥
指定当前用来对设备中所有私钥和密码进行加密的密钥。
新主键
要更改主密钥,请输入 16 个字符长的字符串,并确认新密钥。
确认主密钥
指定主密钥过期之前的天数和小时数(范围为 1-730 天)。
生命周期
在过期之前,您需要更新主密钥。有关更新主密钥的信息,请参阅“在防
火墙中启用高可用性”。
提醒的时间
指定过期之前向用户通知即将过期的天数和小时数(范围为 1-365 天)。
保存在 HSM 上
如果主密钥是在硬件安全模块 (HSM) 上进行加密的,请选中此复选框。
不能在诸如 DHCP 客户端或 PPPoE 之类的动态接口上使用 HSM。
在高可用性模式下,对等设备之间的 HSM 配置不会同步。因此,HA 对
中的每个对等都可以连接到不同的 HSM 源。如果您要使用 Panorama 并
希望两个对等上的配置保持同步,请使用 Panorama 模板配置受管防火墙
上的 HSM 源。
PA-200、PA-500 和 PA-2000 系列防火墙上不支持 HSM。
常见标准
在“常见标准”模式下,可以使用其他按钮运行加密算法自检和软件完整
性自检。还包括一个计划程序,可用于指定两个自检的运行时间。
在防火墙中启用高可用性
设备 > 高可用性
为了实现冗余,可以以主动 / 被动或主动 / 主动高可用性 (HA) 配置部署防火墙。在 HA 中配
置时,配置中的 HA 对端互为镜像。
在高可用性对中,两个对端必须型号相同,必须运行同一 PAN-OS 版本,且许可
证必须为同一组。
此外,对于 VM 系列防火墙,两个对端必须在同一虚拟机监控程序中,且必须拥
有在每个对端上分配的相同数量的 CPU 核心。
HA Lite
PA-200 防火墙和 VM 系列 NSX 版防火墙均支持主动 / 被动 HA Lite 版本,该版本中不包括任
何会话同步。HA Lite 提供配置同步和某些运行时项目的同步。此外,它还支持 IPSec 隧道的
故障转移(必须重新建立会话)、DHCP 服务器租借信息、DHCP 客户端租借信息、PPPoE
租借信息以及防火墙的转发表(在第 3 层模式下配置后)。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 83
在防火墙中启用高可用性
对于高可用性页面上的每个部分,单击标头中的编辑,并指定下表中描述的对应信息。
表 56. 高可用性设置
字段
说明
“常规”选项卡
设置
指定以下设置:
• 启用 HA — 激活 HA 功能。
• 组 ID — 输入一个数字以标识主动 / 被动对(1 到 63)。允许多对主动 / 被
动防火墙驻留在同一网络上。当第 2 层网络上存在多个高可用性对时,该
ID 必须唯一。
• 说明 — 输入主动 / 被动对的说明(可选)。
• 模式 — 选择主动 - 主动或主动 - 被动。
• 设备 ID — 选择 0 或 1,以指定防火墙在主动 / 被动高可用性配置中作为主动 主要或被动 - 辅助。
• 对等 HA IP 地址 — 输入在另一个防火墙的“控制链路”部分中指定的 HA1
接口的 IP 地址。
• 备份对等 HA IP 地址 — 输入该对等的备份控制链路的 IP 地址。
• 启用配置同步 — 同步对端之间的配置。
• 链接速度 — 选择主动与被动防火墙(具有专用 HA 端口的防火墙)之间数据
链路的速度。
• 链接双工 — 选择主动与被动防火墙(具有专用 HA 端口的防火墙)之间数据
链路的双工选项。
主动 / 被动设置
被动链接状态 — 关机或自动。此选项不适用于 AWS 中的 VM 系列防火墙。
• 自动 — 使链接状态反映物理连接,但放弃接收的所有数据包。此选项可使接
口链路状态在发生故障转移之前保持不变,这样可以减少接管被动设备所需
的时间。
“第 2 层”、“第 3 层”和 “Virtual Wire” 模式支持此选项。如果“自动”
选项适用于网络,则可以使用此选项。
• 关闭 — 强制使接口链接处于关闭状态。此为默认选项,用于确保不会在网络
中创建循环。
监控失败保持时间(分钟)— 此值介于 1-60 分钟之间,确定防火墙在变成被动
之前处于非运行状态的间隔。如果因链接或路径监控发生故障而出现缺少检
测信号或呼叫信息,可以使用此计时器。
84 • Web 界面参考指南,版本 7.0
Palo Alto Networks
在防火墙中启用高可用性
表 56. 高可用性设置(续)
字段
说明
选择设置
指定防火墙处于无法工作状态多长时间(分钟)后会变为被动。仅在失败原
因为链路或路径监控失败时才会使用此计时器(范围是 1 到 60,默认为 1)。
Palo Alto Networks
›
最大翻动数— 防火墙在上次脱离主动状态后 15 分钟内脱离主动状
态时,计算一次翻动。可以指定在确定要挂起防火墙并且由被动
防火墙接管之前允许的最大翻动次数(范围为 0-16,默认为 3)。
值为 0 表示没有最大值(无论翻动多少次,都不会由被动防火墙
接管)。
›
抢先持有时间 — 输入被动设备或主动辅助设备在作为主动设备或
主动主要设备接管之前将等待的时间(范围是 1-60 分钟,默认为
1 分钟)。
›
监视失败持续时间(毫秒)— 指定防火墙在路径监视或链路监视失
败后将保持活动状态的时间间隔。建议使用此设置,避免因邻近设
备的偶尔翻动而导致 HA 出现故障转移(范围是 0-60000 毫秒,默
认为 0 毫秒)。
›
额外主设备持续时间(分钟)— 此时间间隔应用于与监视失败持续
时间相同的事件(范围是 0-60000 毫秒,默认为 500 毫秒)。其他
时间间隔仅适用于主动 / 被动模式下的主动设备,以及主动 / 主
动模式下的主动主要设备。建议使用此计时器,以避免两个设备同
时遇到相同链接 / 路径监控失败时而发生故障转移。
Web 界面参考指南,版本 7.0 • 85
在防火墙中启用高可用性
表 56. 高可用性设置(续)
字段
说明
控制链路 (HA1) / 控
制链路(HA1 备份)
HA 控制链路连接的建议配置为:在两台设备之间使用专用 HA1 链路并将管
理端口用作“控制链路”(HA 备份)接口。在这种情况下,您无需在“选择
设置”页面中启用“检测信号备份”选项。如果要对控制链路 HA 链路使用
物理 HA1 端口,对控制链路(HA 备份)使用数据端口,建议您启用“检测
信号备份”选项。
对于 PA-200 防火墙等无专用高可用性端口的设备,您应为控制链接高可用性
连接配置管理端口,并为控制链接 HA1 备份连接配置类型为高可用性的数据
端口接口。由于管理端口在此种情况下使用,且检测备份信号已通过管理接
口连接发生,因此无需在“选择设置”页面中启用“检测信号备份”选项。
在 AWS 中的 VM 系列防火墙上,可将管理端口用作 HA1 链路。
对 HA 控制链路使用数据端口时,应注意,由于控制消息必须在数据面板与
管理面板之间通信,因此如果数据面板中发生故障,则 HA 控制链路信息无
法在设备之间通信,同时还会发生故障转移。最佳做法是使用专用 HA 端
口,或在无专用 HA 端口的设备上使用管理端口。
为主 HA 控制链路和备份 HA 控制链路指定以下设置:
• 端口 — 选择主 HA1 接口和备份 HA1 接口的 HA 端口。备份设置是可选的。
• IPv4/IPv6 地址 — 输入主 HA1 接口和备份 HA1 接口的 HA1 接口的 IPv4 或
IPv6 地址。备份设置是可选的。
• 网络掩码 — 输入主 HA1 接口和备份 HA1 接口的 IP 地址的网络掩码(如
“255.255.255.0”)。备份设置是可选的。
• 网关 — 输入主 HA1 接口和备份 HA1 接口的默认网关的 IP 地址。备份设置
是可选的。
• 链接速度(仅限具有专用 HA 端口的型号)— 为专用的 HA1 端口选择防火
墙之间控制链路的速度。
• 链接双工(仅限具有专用 HA 端口的型号)— 为专用的 HA1 端口选择防火
墙之间控制链路的双工选项。
• 启用加密 — 从 HA 对等端导出 HA 密钥并将其导入此设备后启用加密。还
必须从此设备中导出设备的 HA 密钥,然后将其导入到 HA 对中。请为主
HA1 接口配置此设置。
密钥导入 / 导出在“证书”页面上完成(参阅创建证书配置文件)。
• 监视保持时间(毫秒)— 输入声明控制链路故障导致对等失败之前防火墙将
等待的时间长度(毫秒)(1000-60000 毫秒,默认为 3000 毫秒)。此选项
可监视 HA1 端口的物理链路状态。
86 • Web 界面参考指南,版本 7.0
Palo Alto Networks
在防火墙中启用高可用性
表 56. 高可用性设置(续)
字段
说明
数据链接 (HA2)
为主数据链路和备份数据链路指定以下设置:
• 端口 — 选择 HA 端口。请为主要和备份 HA2 接口配置此设置。备份设置是
可选的。
• IP 地址 — 指定主 HA2 接口和备份 HA2 接口的 HA 接口的 IPv4 或 IPv6 地
址。备份设置是可选的。
• 网络掩码 — 指定主 HA2 接口和备份 HA2 接口的 HA 接口的网络掩码。备
份设置是可选的。
• 网关 — 指定主 HA2 接口和备份 HA2 接口的 HA 接口的默认网关。备份设
置是可选的。如果 HA 对中防火墙的 HA2 IP 地址在同一子网中,则“网
关”字段应留空。
• 启用会话同步 — 允许与被动防火墙同步会话信息,并选择传输选项。
• 传输 — 选择以下任一传输选项:
– 以太网 — 当防火墙以后端到后端的方式或者通过交换机 (Ethertype 0x7261)
连接时,请使用此选项。
– IP — 需要第 3 层传输时,请使用此选项(IP 协议号为 99)。
– UDP — 使用此选项,系统将对整个数据库,而不是只对标头计算校验和,
正如 IP 选项一样(UDP 端口为 29281)。
• 链接速度(仅限具有专用 HA 端口的型号)— 为专用的 HA2 端口选择主动
与被动防火墙之间控制链路的速度。
• 链接双工(仅限具有专用 HA 端口的型号)— 为专用的 HA2 端口选择主动
与被动防火墙之间控制链路的双工选项。
• HA2 保持活动状态 — 选中此复选框可启用对 HA 对之间的 HA2 数据链接的
监视。根据设置的阈值,如果发生故障,则将发生定义的操作(记录或拆分
数据路径)。此选项在默认情况下禁用。
您可以在 HA 对的两台设备或仅在一台设备上配置“HA2 保持活动状态”
选项。如果仅在一台设备上设置此选项,则仅这一台设备会发送“保持活动
状态”消息。尽管如此,系统仍然会在发生故障时通知其他设备,并进入
“拆分数据路径”模式(如果已选择此操作)。
– 操作 — 如果根据阈值设置监视消息失败,请选择要采取的操作。
续
›
仅日志 — 根据阈值设置 HA2 发生故障时,选择此选项可生成关
键级别系统日志消息。如果 HA2 路径恢复,则生成参考日志。在
主动 / 被动配置中,由于您无需拆分数据(在给定时间只有一台
设备处于活动状态),因此应使用此操作。
›
拆分数据路径 — 此选项专为主动 / 主动 HA 配置而设计。在主动 /
主动配置中,如果会话同步已被管理员禁用,或通过监视故障禁
用,则会话所有权和会话设置将设置为本地设备,且新的会话将
在会话生命周期内进行本地处理。
›
阈值 (ms) — “保持活动状态”消息在上述任一操作触发之前发生
故障的持续时间(范围为 5000-60000 毫秒,默认为 10000 毫秒)。
注:配置 HA2 备份链路时,如果发生物理链路故障,则将故障转移到备份链
路。启用“HA2 保持活动状态”选项后,如果根据定义的阈值“HA 保持活
动状态”消息发生故障,则同样会发生故障转移。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 87
在防火墙中启用高可用性
表 56. 高可用性设置(续)
字段
说明
链接和路径监视选项卡(不适用于 AWS 中的 VM 系列防火墙)
路径监视
指定以下项:
• 已启用 — 启用路径监视。通过发送 ICMP ping 消息,路径监控使防火墙可
以监视指定的目标 IP 地址以确保它们可以作出响应。路径监控用于 Virtual
Wire、第 2 层或第 3 层配置,在这些配置中,只有链路监控不足以进行故障
转移,还必需监控其他网络设备。
• 失败条件 — 选择当部分或所有受监视路径组未能响应时是否进行故障转移。
路径组
定义一个或多个路径组以监视特定目标地址。要添加路径组,请对接口类型
(Virtual Wire、VLAN 或虚拟路由器)单击添加,然后指定以下各项:
• 名称 — 从下拉选项中选择 virtual wire、VLAN 或虚拟路由器(下拉选项将
根据您添加的是 virtual wire、VLAN 还是虚拟路由器路径来进行填充)。
• 已启用 — 启用该路径组。
• 失败条件 — 选择当部分或所有指定目标地址未能响应时是否发生失败。
• 源 IP — 对于虚拟线路和 VLAN 接口,输入在发送到下一个跃点路由器(目
标 IP 地址)的探测数据包中使用的源 IP 地址。本地路由器必须能够将地址
路由到防火墙。与虚拟路由器关联的路径组的源 IP 地址将自动配置为接口
IP 地址,该 IP 地址在路由表中指示为指定目标 IP 地址的 egress 接口。
• 目标 IP — 输入要监视的一个或多个(用逗号分隔)目标地址。
• Ping 间隔 — 指定发送到目标地址的 ping 之间的间隔(范围为 200-60,000 毫
秒,默认为 200 毫秒)。
• Ping 数量 — 在声明故障前指定失败 ping 的数量(范围为 3-10 个 ping,默
认为 10 个 ping)。
链接监视
指定以下项:
• 已启用 — 启用链路监视。链路监控允许在物理链路或物理链路组失败时触发
故障转移。
• 失败条件 — 选择当部分或所有受监视链路组失败时是否进行故障转移。
链接组
定义一个或多个链路组以监视特定以太网链路。要添加链接组,请指定以下
内容,并单击添加:
• 名称 — 输入链接组名称。
• 已启用 — 启用链路组。
• 失败条件 — 选择当部分或所有选定链接失败时是否发生失败。
• 接口 — 选择要监视的一个或多个以太网接口。
主动 / 主动配置选项卡
数据包转发
88 • Web 界面参考指南,版本 7.0
选中“启用”复选框,可启用通过 HA3 链路转发数据包。对于要求进行 App-ID
和 Content-ID 的第 7 层检查的非对称路由会话来说,必须选中此复选框。
Palo Alto Networks
在防火墙中启用高可用性
表 56. 高可用性设置(续)
字段
说明
HA3 接口
选择以主动 / 主动模式配置 HA 端口时,用于在 HA 对端之间转发数据包的
接口。
使用 HA3 接口时,必须在防火墙和所有中间网络设备上启用巨帧。
要启用巨帧,请选择设备 > 设置 > 会话,并在“会话设置”部分选择
此选项以启用巨帧。
VR 同步
强制同步 HA 设备上配置的所有虚拟路由器。
当虚拟路由器没有采用动态路由协议时,可以使用虚拟路由器同步。两个设
备必须通过交换式网络连接到相同的下一个跃点路由器,并且只能使用静态
路由。
QoS 同步
同步所有物理接口上的 QoS 配置文件选择。如果两个设备具有类似的链路速
度,且在所有物理接口中均需使用相同的 QoS 配置文件,请使用此选项。此
设置将影响网络选项卡中的 QoS 同步设置。无论此设置如何,QoS 策略都会
同步。
试验保持时间(秒)
当处于 HA 主动 / 主动状态的防火墙失败时,防火墙会进入实验状态。计时
器用于定义防火墙将处于此状态的时间长度。实验期间,防火墙将尝试构建
路由邻接,并在处理任何数据包之前先填充其路由表。如果没有此计时器,
恢复中的防火墙会立即进入主动二级状态,并且会因为没有必需的路由而使
数据包成为黑洞(默认为 60 秒)。
会话拥有者选择
指定下列其中一个选项来选择会话所有者:
• 主要设备 — 选中此选项,主动 / 主要防火墙将处理所有会话的第 7 层检查。
建议使用此设置主要是为了进行故障排除操作。
• 第一个数据包 — 选中此选项,收到第一个会话数据包的防火墙将负责进行支
持 App-ID 和 Content-ID 的第 7 层检查。若要最大程度地减少利用 HA3 数
据包的转发链接,建议使用此配置。
会话设置
选择用于初次会话设置的方法。
• IP 模 — 根据源 IP 地址的奇偶校验选择防火墙。
• 主要设备 — 确保所有会话均在主要防火墙上进行设置。
• IP 哈希 — 确定使用源 IP 地址或源和目标 IP 地址的哈希和哈希种子值的设
置防火墙(如需更多随机性)。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 89
在防火墙中启用高可用性
表 56. 高可用性设置(续)
字段
说明
虚拟地址
单击添加,选择 IPv4 或 IPv6 选项卡,然后再次单击添加以输入 HA 主动 /
主动集群使用的 HA 虚拟地址的选项。您可以选择虚拟地址的类型为“浮
动”或“ARP 负载共享”。还可以在集群中混合使用虚拟地址类型,例如,
可以在 LAN 接口上使用 ARP 负载共享,在 WAN 接口上使用浮动 IP。
• 浮动 — 输入在链接或设备发生故障时在 HA 设备之间移动的 IP 地址。您应
在接口上配置两个浮动 IP 地址,以使每个防火墙都拥有一个地址,然后设置
优先级。如果任意一个防火墙发生故障,则浮动 IP 地址将转换到 HA 对端。
– 设备 0 优先级 — 设置优先级,以确定哪个设备拥有浮动 IP 地址。值最低
的设备优先级最高。
– 设备 1 优先级 — 设置优先级,以确定哪个设备拥有浮动 IP 地址。值最低
的设备优先级最高。
– 如果链接状态为失效,则对地址执行故障转移 — 接口上的链接状态为失效
时使用故障转移地址。
• ARP 负载共享 — 输入 HA 对将共享的 IP 地址,并为主机提供网关服务。只有
在防火墙和主机位于同一广播域中时才应使用此选项。选择设备选择算法:
– IP 模 — 如果选择此选项,则系统将根据 ARP 请求者 IP 地址的奇偶校验
选择响应 ARP 请求的防火墙。
– IP 哈希 — 如果选择此选项,则系统将根据 ARP 请求者 IP 地址的哈希选
择响应 ARP 请求的防火墙。
操作命令
切换为 Make local
将 HA 对端设置为挂起状态,并临时禁用防火墙上的 HA 功能。如果挂起当
前主动防火墙,则其他对端将接管。
device functional
要将挂起设备恢复至运行状态,请使用 CLI 命令。
挂起本地设备
要测试故障转移,可以禁用主动(或主动主要)设备,或者可以单击此链接
将主动设备挂起。
配置 HA 时要考虑的重要事项
• 用于本地和对等 IP 的子网不应在虚拟路由器上的其他任何地方使用。
• OS 和内容版本在每个设备上都应该相同。如果不匹配,可能会阻止集群设备的同步。
• LED 在主动防火墙的 HA 端口上呈绿色,而在被动防火墙上的该端口上呈琥珀色。
• 通过在左选择框中选择所需本地配置,以及在右选择框中选择所需对等配置,可以使用设
备选项卡上的配置审核工具比较本地和对等防火墙上的配置。
• 通过按位于仪表盘选项卡上 HA 小部件中的推送配置按钮,从 Web 界面同步防火墙。请注
意,从中推送配置的设备上的配置将覆盖对等设备上的配置。要在主动设备上通过 CLI 同步
防火墙,请使用命令 request high-availability sync-to-remote running-config。
在设备使用 10 千兆 SFP+ 端口的高可用性 (HA) 主动 / 被动配置中,如果发生故障转移且主动设
备变成被动状态,则 10 千兆以太网端口会关闭,然后重新打开以进行刷新,但在设备再次变为
主动之前,不会启用传输。如果您监控了临近设备上的软件,将看到此端口不断反复,因为此
端口一直在循环关闭和打开。该行为与对其他端口(如 1 千兆以太网端口)的操作不同,后者
已禁用但仍允许传输,因此临近设备不会检测到此反复。
90 • Web 界面参考指南,版本 7.0
Palo Alto Networks
定义虚拟系统
定义虚拟系统
设备 > 虚拟系统
虚拟系统 (vsys) 是可以在物理防火墙内单独管理的独立(虚拟)防火墙实例。每个虚拟系统都
可以作为带有其自身安全策略、接口和管理员的独立防火墙;虚拟系统允许您分段管理防火墙
提供的所有策略、报告和可视性功能。例如,如果要为与财务部门关联的通信自定义安全功
能,您可以定义财务虚拟系统,然后定义仅与该部门有关的安全策略。要优化策略管理,可以
在创建允许访问个别虚拟系统的虚拟系统管理员帐户时,针对整个设备和网络功能分别维护管
理员帐户。这使得财务部门中的虚拟系统管理员可以仅管理用于该部门的安全策略。
网络功能包括与整个防火墙及其所有虚拟系统有关的静态和动态路由;虚拟系统不会控制设备
和网络级别功能。对于每个虚拟系统,您可以指定一组物理和逻辑防火墙接口(包括 VLAN 和
Virtual Wire)以及安全区域。如果需要对各个虚拟系统进行路由分割,必须创建 / 分配其他
虚拟路由器,并根据需要分配接口、VLAN 和 Virtual Wire。
如果使用 Panorama 模板定义虚拟系统,可以将一个虚拟系统设置为默认虚拟系统。默认虚拟
系统和多虚拟系统模式确定防火墙在提交模板时是否接受虚拟系统特定配置:
• 处于多虚拟系统模式下的防火墙接受在模板中定义的所有虚拟系统的虚拟系统特定配置。
• 不处于多虚拟系统模式下的防火墙仅接受默认虚拟系统的虚拟系统特定配置。请注意,如果
没有将一个虚拟系统设置为默认虚拟系统,则这些防火墙不接受任何虚拟系统特定配置。
PA-4000 和 PA-5000 系列防火墙及 PA-7000 系列防火墙可以支持多个虚拟系统。如果已安装相
应的许可证,则 PA-2000 和 PA-3000 系列防火墙可以支持多个虚拟系统。PA-500 和 PA-200 防
火墙不支持多个虚拟系统。
在启用多个虚拟系统之前,注意以下事项:
• 虚拟系统管理员创建和管理策略所需的所有项目。
• 区域是虚拟系统中的对象。在定义策略或策略对象之前,从策略或对象选项卡的下拉列表中
选择虚拟系统。
• 您可以将可用的远程日志记录目标(SNMP、syslog 和电子邮件)、应用程序、服务和配置
文件设置为所有虚拟系统(共享)或单个虚拟系统。
• 可以配置全局(为防火墙上的所有虚拟系统)或虚拟系统特定服务路由(参阅“定义服务
设置”)。
在定义虚拟系统之前,首先必须在防火墙上启用多虚拟系统功能:选择设备 > 设置 > 管理,编
辑常规设置,选中多虚拟系统功能复选框,然后单击确定。这会添加设备 > 虚拟系统页面。选
择该页面,单击添加,并指定以下信息。
表 57. 虚拟系统设置
字段
说明
ID
输入虚拟系统的整数标识符。有关支持的虚拟系统数量的信息,请参阅防
火墙型号的数据表。
注:如果使用 Panorama 模板配置虚拟系统,则此字段不会显示。
名称
输入用于标识虚拟系统的名称(最多 31 个字符)。名称区分大小写,且必
须是唯一的。仅可使用字母、数字、空格、连字符和下划线。
注:如果使用 Panorama 模板推送虚拟系统配置,则模板中的虚拟系统名
称必须与防火墙上的虚拟系统名称相匹配。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 91
定义虚拟系统
表 57. 虚拟系统设置(续)
字段
说明
允许转发解密的内容
选中此复选框,可以让虚拟系统在端口镜像或发送 WildFire 文件进行分
析时将解密的内容转发到外部服务。有关解密端口镜像的信息,请参阅解
密端口镜像。
“常规”选项卡
如果要将 DNS 代理规则应用至此虚拟系统,请选择 DNS 代理对象。请
参阅“配置 DNS 代理”。
要包括特定类型的对象,请选中该类型(接口、VLAN、Virtual Wire、虚
拟路由器或可见虚拟系统)的复选框,单击添加,然后从下拉列表中选择
对象。可以添加一个或多个任何类型的对象。要删除对象,请将其选中,
并单击删除。
资源选项卡
指定此虚拟系统允许的资源限制:
• 会话限制 — 最大会话数。
• 安全规则 — 最大安全规则数。
• NAT 规则 — 最大 NAT 规则数。
• 解密规则 — 最大解密规则数。
• QoS 规则 — 最大 QoS 规则数。
• 应用程序替代规则 — 最大应用程序替代规则数。
• 基于策略的转发规则 — 最大基于策略的转发 (PBF) 规则数。
• 强制网络门户规则 — 最大强制网络门户 (CP) 规则数。
• DoS 保护规则 — 最大拒绝服务 (DoS) 规则数。
• 站点到站点 VPN 隧道 — 最大站点到站点 VPN 隧道数。
• 并发 GlobalProtect 隧道 — 最大并发远程 GlobalProtect 用户数。
92 • Web 界面参考指南,版本 7.0
Palo Alto Networks
配置共享网关
配置共享网关
设备 > 共享网关
共享网关允许多个虚拟系统共同使用一个接口进行外部通信(通常连接到一般上行网络,如
Internet 服务供应商)。所有虚拟系统都使用一个 IP 地址通过物理接口与外界通信。单个虚拟
路由器用于通过共享网关路为所有虚拟系统路由通信。
共享网关使用第 3 层接口,因此必须至少配置一个第 3 层接口作为共享网关。通信起源于一个
虚拟系统,并且通过共享网关退出防火墙,因此需要类似的策略在两个虚拟系统之间传递通
信。您可以配置“外部 vsys”区域,以在虚拟系统中定义安全规则。
表 58. 共享网关设置
字段
说明
ID
网关标识符(不能由防火墙使用)。
名称
输入共享网关的名称(最多 31 个字符)。名称区分大小写,且必须是唯一
的。仅可使用字母、数字、空格、连字符和下划线。仅名称是必需的。
DNS 代理
(可选)如果配置了 DNS 代理,请选择要用于域名查询的 DNS 服务器。
接口
选中共享网关将使用的接口的复选框。
定义自定义响应页面
设备 > 响应页面
自定义响应页面是用户尝试访问 URL 时显示的网页。可以提供下载和显示(而不是请求)的
网页或文件的自定义 HTML 消息。
每个虚拟系统都可以有自己的自定义响应页面。下表描述了支持客户消息的自定义响应页面类型。
表 59. 自定义响应页面类型
页面类型
说明
防病毒软件阻止页面
因病毒感染而阻止访问。
应用程序阻止页面
由于应用程序被安全策略阻止,所以访问被阻止。
强制网络门户 Web 认证页面
该页面供用户对不属于此域的机器验证其用户名和密码。
文件传送阻止继续页面
此页面供用户确认应继续进行下载。仅在安全配置文件中启用继续
功能时,此选项才可用。请参阅“文件传送阻止配置文件”。
文件传送阻止阻止页面
因为阻止对文件的访问,所以访问受阻。
GlobalProtect 网络门户帮助
页面
GlobalProtect 用户的自定义帮助页面(可从门户访问)。
GlobalProtect 网络门户登录页
此页面供用户尝试访问 GlobalProtect 门户。
GlobalProtect 欢迎页面
向尝试登录 GlobalProtect 门户的用户显示的欢迎页面。
SSL 证书错误通知页面
已吊销 SSL 证书的通知。
SSL 解密退出页面
指示将检查此会话的用户警告页面。
URL 过滤和类别匹配阻止页面
URL 过滤配置文件阻止访问,或因安全策略阻止 URL 类别而阻止
访问。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 93
查看支持信息
表 59. 自定义响应页面类型(续)
页面类型
说明
URL 过滤继续和替代页面
含有可使用户绕过阻止的初始阻止策略的页面。例如,认为阻止页
面不当的用户可单击继续按钮进入该页面。
使用替代页面时,用户需要密码来替代阻止此 URL 的策略。有关设置
替代密码的说明,请参阅表 1 的“URL 管理替代”一节。
URL 过滤安全搜索执行阻止
页面
安全策略阻止访问,该策略中的 URL 过滤配置文件启用了安全搜索
执行选项。
如果使用 Bing、Google、Yahoo、Yandex 或 YouTube 执行搜索,
且其浏览器或搜索引擎帐户的安全搜索设置未设置为严格,则用户将
看到此页面。阻止页面将指导用户将“安全搜索设置”设置为严格。
您可以在响应页面下执行以下任何功能。
• 要导入自定义 HTML 响应页面,请单击要更改的页面类型的链接,然后单击“导入” /
“导出”。浏览以找到页面。将显示一条消息,指示导入是否成功。为了使导入成功,文
件必须为 HTML 格式。
• 要导出自定义 HTML 响应页面,请单击页面类型的导出链接。选择是要打开文件还是将文
件保存到硬盘,如果希望始终使用相同选项,请选中该复选框。
• 要启用或禁用应用程序阻止页面或 SSL 解密退出页面,请单击页面类型的启用链接。选中
或取消选中启用复选框。
• 要使用默认响应页面(而不是先前加载的自定义页面),请删除自定义阻止页面并提交操
作。该操作会将默认阻止页面设置为新主动页面。
查看支持信息
设备 > 支持
Panorama > 支持
支持页面允许您访问受支持的相关选项。您可以根据设备(防火墙或 Panorama 设备)的序列
号查看 Palo Alto Networks 联系信息、查看支持到期日期,以及查看 Palo Alto Networks 中的
产品和安全警报。
在此页面上执行以下任何功能:
• 支持 — 此部分可用于查看 Palo Alto Networks 支持联系信息,查看设备的支持状态或使用
授权码激活合同。
• 生产警报 / 应用程序和威胁警报 — 访问或刷新此页面时会从 Palo Alto Networks 更新服务
器中检索这些警报。要查看生产警报、应用程序和威胁警报的详细信息,请单击警报名
称。如果存在与指定发行版相关的大范围召回或紧急问题,将发布生产警报。如果发现重
大威胁,将发布应用程序和威胁警报。
• 链接 — 本部分中提供了指向支持主页的链接(您可以从该页面中管理案例),还提供了可
使用支持登录注册设备的链接。
94 • Web 界面参考指南,版本 7.0
Palo Alto Networks
查看支持信息
• 技术支持文件 — 使用生成技术支持文件链接可生成系统文件,“支持”组可使用此文件帮
助诊断使用此设备时遇到的问题。生成此文件后,请单击下载技术支持文件以检索此文
件,然后将其发送到 Palo Alto Networks 支持部门。
• 统计转储文件 — 使用生成统计转储文件链接生成一组 XML 报告,该组报告对过去 7 天内
的网络通信进行了汇总。生成此报告后,请单击下载统计转储文件链接以检索此报告。
Palo Alto Networks 或授权合作伙伴系统工程师将使用此报告生成应用程序可见性和风
险报告(AVR 报告)。AVR 中会突出显示网络中发现的内容以及可能存在的相关业务
或安全风险,该报告通常用作评估过程的一部分。有关 AVR 报告的详细信息,请联系
Palo Alto Networks 或授权合作伙伴系统工程师。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 95
查看支持信息
96 • Web 界面参考指南,版本 7.0
Palo Alto Networks
章节 4
网络设置
• “定义 Virtual Wire”
• “配置防火墙接口”
• “配置虚拟路由器”
• “配置 VLAN 支持”
• “配置 DHCP”
• “配置 DNS 代理”
• “配置 LLDP”
• “定义接口管理配置文件”
• “定义监视配置文件”
• “定义区域保护配置文件”
• “定义 LLDP 配置文件”
定义 Virtual Wire
网络 > 虚拟线路
使用此页面可在已在防火墙上指定两个虚拟线路接口之后定义虚拟线路。
表 60. Virtual Wire 设置
字段
说明
虚拟线路名称
输入虚拟线路名称(最多 31 个字符)。配置接口时,此名称出现在虚拟线
路列表中。名称区分大小写,且必须是唯一的。仅可使用字母、数字、空
格、连字符和下划线。
接口
从显示的列表中为虚拟线路配置选择两个以太网接口。只有当接口具有虚
拟线路接口类型并且尚未分配给其他虚拟线路时,它们才会在此处列出。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 97
定义 Virtual Wire
表 60. Virtual Wire 设置(续)
字段
说明
允许的标记
为虚拟线路上允许的通信输入标记编号(0 至 4094)或标记编号的范围
(tag1-tag2)。标记值为零表示未标记的通信(默认)。多个标记或范围必
须以逗号分隔。会丢弃标记值为排除的通信。注意,传入或传出数据包上
的标记值不会更改。
在使用虚拟线路子接口时,允许的标记列表将使所有带有所列标记的通信
分类到父虚拟线路中。虚拟线路子接口必须使用父允许的标记列表中不存
在的标记。
多播防火墙
希望将安全规则应用到多播通信时选择此选项。如果未启用此设置,则多
播通信将转发到整个虚拟线路中。
链接状态传递
如果您想在检测到链接状态关闭时关闭虚拟线路中的另一端口,请选中此
复选框。如果不选中此复选框,则链接状态不会传播到整个虚拟线路中。
配置防火墙接口
防火墙接口(端口)使防火墙可以与其他网络设备以及防火墙之内的其他接口相连。以下主题
将介绍接口类型及其配置方式:
您在查找什么内容?
请参阅
什么是防火墙接口?
“防火墙接口概述”
我不太了解防火墙接口;防火墙
接口有哪些部分组成?
“防火墙接口的通用构建块”
98 • Web 界面参考指南,版本 7.0
“PA-7000 系列防火墙接口的通用构建块”
Palo Alto Networks
防火墙接口概述
您在查找什么内容?
请参阅
我已经了解防火墙接口;怎样才
能找到有关配置特定接口类型的
信息?
物理接口 (Ethernet)
“配置第 2 层接口”
“配置第 2 层子接口”
“配置第 3 层接口”
“配置第 3 层子接口”
“配置 Virtual Wire 接口”
“配置 Virtual Wire 子接口”
“配置旁接接口”
“配置日志卡接口”
“配置日志卡子接口”
“配置解密镜像接口”
“配置聚合接口组”
“配置聚合接口”
“配置 HA 接口”
逻辑接口
“配置 VLAN 接口”
“配置回环接口”
“配置隧道接口”
了解更多?
请参阅网络。
防火墙接口概述
通过对防火墙数据端口进行接口配置可以使通信进入和退出防火墙。Palo Alto Networks 防火
墙可以在多个部署中同时运行,因为您可以配置接口以支持不同部署。例如,您可以在防火墙
上为 virtual wire、第 2 层、第 3 层和旁接模式部署配置 Ethernet 接口。防火墙支持的接口有:
• 物理接口 — 防火墙有两类 Ethernet 接口,即同轴铜线和光纤接口,它们可以发送和接收不同
传输速率的通信。您可以将 Ethernet 接口配置为以下类型:旁接、高可用性 (HA)、日志卡
(接口和子接口)、解密镜像、virtual wire(接口和子接口)、第 2 层(接口和子接口)、
第 3 层(接口和子接口)及聚合 Ethernet。可用的接口类型和传输速率因硬件型号而异。
• 逻辑接口 — 包括虚拟局域网 (VLAN) 接口、回环接口和隧道接口。在定义 VLAN 或隧道接
口之前,您必须先设置物理接口。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 99
防火墙接口的通用构建块
防火墙接口的通用构建块
下表介绍了 Network > 接口页面上的组件,这些组件是大多数接口类型的通用组件。
有关在配置 PA-7000 系列防火墙上的接口时或在使用 Panorama 配置任意
防火墙上的接口时所遇到的特有或不同组件的说明,请参阅“PA-7000 系列
防火墙接口的通用构建块”。
表 61. 防火墙接口的通用构建块
字段
说明
接口
(接口名称)
接口名称是预定义的,您不能对其进行更改。您可以为子接口、聚合接口、
VLAN 接口、回环接口和隧道接口附加数字后缀。
接口类型
对于 Ethernet 接口(Network > 接口 > Ethernet),您可以选择接口类型:
• 旁接
• HA
• 解密镜像(仅限 PA-7000 系列、PA-5000 系列和 PA-3000 系列防火墙)
• Virtual Wire
•第2 层
•第3 层
• 日志卡(仅限 PA-7000 系列防火墙)
• 聚合以太网
管理配置文件
选择配置文件以定义可用来通过该接口管理防火墙的协议(例如,SSH、Telnet
和 HTTP)。
链接状态
对于 Ethernet 接口,该列将指示接口当前是否可访问并可接收网络上的通信:
• 绿色 — 已配置且启动
• 红色 — 已配置但关闭或禁用
• 灰色 — 未配置
将鼠标指针悬停在图标上可显示工具提示,以指示接口的链接速度和双工设置。
IP 地址
配置 Ethernet、VLAN、回环或隧道接口的 IPv4 或 IPv6 地址。对于 IPv4 地址,
您还可以选择接口的寻址模式:静态、动态主机配置协议 (DHCP) 或是 Ethernet
上的点对点协议 (PPPoE)。
虚拟路由器
为接口分配虚拟路由器,或单击虚拟路由器链接以定义新的虚拟路由器(参阅
“配置虚拟路由器”)。选择无可从接口删除当前虚拟路由器分配。
标记
输入该子接口的 VLAN 标记 (1-4094)。
VLAN
选择 VLAN,或单击 VLAN 链接以定义新的 VLAN(参阅“配置 VLAN 支持”)。
选择无可从接口删除当前 VLAN 分配。要启用第 2 层接口之间的切换,或要通过
VLAN 接口启用路由,必须配置 VLAN 对象。
虚拟系统
如果防火墙支持多个虚拟系统且已启用该功能,请选择适用于接口的虚拟系统
(vsys),或单击虚拟系统链接以定义新的 vsys。
安全区域
选择接口的安全区域,或单击区域链接以定义新区域。选择无可从接口删除当前
区域分配。
100 • Web 界面参考指南,版本 7.0
Palo Alto Networks
PA-7000 系列防火墙接口的通用构建块
表 61. 防火墙接口的通用构建块(续)
字段
说明
功能
对于 Ethernet 接口,此列可指明以下功能是否已启用:
链接聚合控制协议 (LACP)
服务质量 (QoS) 配置文件
链路层发现协议 (LLDP)
NetFlow 配置文件
动态主机配置协议 (DHCP) 客户端 — 接口会充当 DHCP 客户端并接收动态
分配的 IP 地址。
注释
有关接口功能或用途的说明。
PA-7000 系列防火墙接口的通用构建块
下表介绍了在配置 PA-7000 系列防火墙上的接口时或在使用 Panorama 配置任意防火墙上的接
口时会遇到的 Network > 接口 > Ethernet 页面上的特有或不同组件。请单击添加接口按钮以
创建接口,或单击现有接口的名称(例如,ethernet1/1)以对其进行编辑。
在 PA-7000 系列防火墙上,您必须为一个数据端口“配置日志卡接口” 。
表 62. PA-7000 系列防火墙接口的通用构建块
字段
说明
插槽
选择接口的插槽号 (1-12)。只有 PA-7000 系列防火墙有多个插槽。如果使用 Panorama
为任何其他防火墙平台配置接口,请选择插槽 1。
接口
(接口名称)
选择与所选插槽关联的接口的名称。
配置第 2 层接口
网络 > 接口 > 以太网
要配置第 2 层接口,请单击还未配置的接口的名称(例如,ethernet1/1),并指定以下信息。
表 63. 第 2 层接口设置
字段
配置位置
说明
接口名称
以太网接口
接口名称是预定义的,您不能对其进行更改。
注释
以太网接口
输入接口的可选说明。
接口类型
以太网接口
选择第 2 层。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 101
配置第 2 层子接口
表 63. 第 2 层接口设置(续)
字段
配置位置
说明
Netflow 配置
文件
以太网接口
如果您想要导出从 Ingress 接口遍历到 NetFlow 服务器的单向 IP 通信,请选
择服务器配置文件或单击 Netflow 配置文件链接以定义新的配置文件(参阅
“配置 Netflow 设置”)。选择无可从接口删除当前 NetFlow 服务器分配。
注:PA-4000 系列防火墙不支持此功能。
VLAN
Ethernet 接口 >
配置
要启用第 2 层接口之间的切换,或要启用通过 VLAN 接口的路由,请选择
VLAN,或单击 VLAN 链接以定义新的 VLAN(参阅“配置 VLAN 支
持”)。选择无可从接口删除当前 VLAN 分配。
虚拟系统
Ethernet 接口 >
配置
如果防火墙支持多个虚拟系统且已启用该功能,请选择适用于接口的虚拟系
统,或单击虚拟系统链接以定义新的 vsys。
安全区域
Ethernet 接口 >
配置
选择接口的安全区域,或单击区域链接以定义新区域。选择无可从接口删除
当前区域分配。
链接速度
Ethernet 接口 >
高级
选择接口速度,以 Mbps 为单位(10、100 或 1000),或选择自动以使防火墙
自动确定速度。
链接双工
Ethernet 接口 >
高级
选择接口传输模式为全双工 (full)、半双工 (half) 还是自动协商 (auto)。
链接状态
Ethernet 接口 >
高级
选择接口状态为启用 (up)、禁用 (down) 还是自动确定 (auto)。
启用 LLDP
Ethernet 接口 >
高级 > LLDP
选择此选项可在接口上启用链路层发现协议 (LLDP)。链路层上的 LLDP 功
能可发现邻近设备及其功能。
配置文件
Ethernet 接口 >
高级 > LLDP
如果 LLDP 已启用,请选择 LLDP 配置文件以分配给接口,或单击 LLDP 配
置文件链接以创建新的配置文件(参阅“定义 LLDP 配置文件”)。如果选
择无,防火墙会使用全局默认值。
配置第 2 层子接口
网络 > 接口 > 以太网
对于配置为第 2 层物理接口的每个 Ethernet 端口,您可以为分配给该端口所接收通信的每个
VLAN 标记定义一个附加的第 2 层逻辑接口(子接口)。要启用第 2 层子接口之间的切换,请
为这些子接口分配相同的 VLAN 对象。
要配置第 2 层子接口,“配置第 2 层接口”,请选中该物理接口所在的行,单击添加子接口,
然后指定以下信息。
表 64. 第 2 层子接口设置
字段
说明
接口名称
只读的接口名称字段会显示您所选物理接口的名称。在相邻字段中,输入数字后缀 (1-9999) 以标
识子接口。
注释
输入子接口的可选说明。
标记
输入该子接口的 VLAN 标记 (1-4094)。
102 • Web 界面参考指南,版本 7.0
Palo Alto Networks
配置第 3 层接口
表 64. 第 2 层子接口设置(续)
字段
说明
Netflow 配置
文件
如果您想要导出从 Ingress 子接口遍历到 NetFlow 服务器的单向 IP 通信,请选择服务器配置文
件或单击 Netflow 配置文件链接以定义新的配置文件(参阅“配置 Netflow 设置”)。选择无
可从子接口删除当前 NetFlow 服务器分配。
注:PA-4000 系列防火墙不支持此功能。
VLAN
要启用第 2 层接口之间的切换,或要启用通过 VLAN 接口的路由,请选择 VLAN,或单击
VLAN 链接以 定义新 的 VLAN(参阅“配置 VLAN 支持”)。选择 无可从子接口删除当前
VLAN 分配。
虚拟系统
如果防火墙支持多个虚拟系统且已启用该功能,请选择适用于子接口的虚拟系统 (vsys),或单击
虚拟系统链接以定义新的 vsys。
安全区域
选择子接口的安全区域,或单击区域链接以定义新区域。选择无可从子接口删除当前区域分配。
配置第 3 层接口
网络 > 接口 > 以太网
要配置第 3 层接口,请单击还未配置的接口的名称(例如,ethernet1/1),并指定以下信息。
表 65. 第 3 层接口设置
字段
配置位置
说明
接口名称
以太网接口
接口名称是预定义的,您不能对其进行更改。
注释
以太网接口
输入接口的可选说明。
接口类型
以太网接口
选择第 3 层。
Netflow 配置文件
以太网接口
如果您想要导出从 Ingress 接口遍历到 NetFlow 服务器的单向 IP 通信,
请选择服务器配置文件或单击 Netflow 配置文件链接以定义新的配置文
件(参阅“配置 Netflow 设置”)。选择无可从接口删除当前 NetFlow
服务器分配。
注:PA-4000 系列防火墙不支持此功能。
虚拟路由器
Ethernet 接口 >
配置
选择虚拟路由器,或单击虚拟路由器链接以定义新的虚拟路由器(参阅
“配置虚拟路由器”)。选择无可从接口删除当前虚拟路由器分配。
虚拟系统
Ethernet 接口 >
配置
如果防火墙支持多个虚拟系统且已启用该功能,请选择适用于接口的虚
拟系统 (vsys),或单击虚拟系统链接以定义新的 vsys。
安全区域
Ethernet 接口 >
配置
选择接口的安全区域,或单击区域链接以定义新区域。选择无可从接口
删除当前区域分配。
链接速度
Ethernet 接口 >
高级
选择接口速度,以 Mbps 为单位(10、100 或 1000),或选择自动。
链接双工
Ethernet 接口 >
高级
选择接口传输模式为全双工 (full)、半双工 (half) 还是自动协商 (auto)。
链接状态
Ethernet 接口 >
高级
选择接口状态为启用 (up)、禁用 (down) 还是自动确定 (auto)。
管理配置文件
Ethernet 接口 >
高级 > 其他信息
选择配置文件以定义可用来通过该接口管理防火墙的协议(例如,
SSH、Telnet 和 HTTP)。选择无可从接口删除当前配置文件分配。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 103
配置第 3 层接口
表 65. 第 3 层接口设置(续)
字段
配置位置
说明
MTU
Ethernet 接口 >
高级 > 其他信息
输入在此接口上发送的数据包的最大传输单元 (MTU),以字节为单位
(范围是 576-9192,默认为 1500)。如果防火墙两端的机器执行路径
MTU 发现 (PMTUD) 且接口收到的数据包超过 MTU,则防火墙向源端
返回 ICMP fragmentation needed 消息以表示该数据包太大。
调整 TCP MSS
Ethernet 接口 >
高级 > 其他信息
如果您想要将最大段大小 (MSS) 调整为比接口 MTU 小 40 个字节,请
选中该复选框。此设置处理通过网络的隧道需要更小的 MSS 的情况。
如果数据包在没有分片的 MSS 中不适用,则此设置启用调整。
未标记子接口
Ethernet 接口 >
高级 > 其他信息
指定不标记所有属于第 3 层接口的子接口。PAN-OS 根据数据包的目的
地选择一个无标记子接口作为 Ingress 接口。如果目的地是无标记子接
口的 IP 地址,可将其映射到子接口。这也意味着数据包必须将其源地
址转换为无标记子接口的 IP 地址才能逆向传送。按产品的分类机制是
将所有多播和广播数据包分配到基接口,而非任何子接口。由于开放式
最短路径优先 (OSPF) 使用多播,因此防火墙在无标记子接口上不支持
此功能。
IP 地址
Ethernet 接口 >
高级 > ARP 条目
要添加一个或多个静态地址解析协议 (ARP) 条目,请单击添加,然后输
入 IP 地址及其关联的硬件 [介质访问控制 (MAC)] 地址。要删除条目,
请选择条目,并单击删除。静态 ARP 条目减少 ARP 处理,并且排除指
定地址的“中间人”(man-in-the-middle)攻击。
Ethernet 接口 >
高级 > ND 条目
要为邻居发现协议 (NDP) 提供邻居信息,请单击添加,然后输入邻居
的 IP 地址和 MAC 地址。
Ethernet 接口 >
高级 > NDP 代理
选中此复选框可为接口启用邻居发现 (ND) 协议代理。防火墙将对为该
列表中 IPv6 地址请求 MAC 地址的 ND 数据包做出响应。在 ND 响应
中,防火墙会针对接口发送它自己的 MAC 地址,并请求发往这些地址
的 所 有数据包。您可以输入搜索字符串并单 击“应用过滤器”图标
,以便对大量地址进行过滤。
MAC 地址
IPv6 地址
MAC 地址
启用 NDP 代理
如果使用了网络前缀转换 IPv6 (NPTv6),建议您选中启用 NDP 代理。
如果“启用 NDP 代理”复选框已选中,
地址
Ethernet 接口 >
高级 > NDP 代理
单击添加可输入一个或多个会将防火墙当作 NDP 代理的 IPv6 地址、IP
范围、IPv6 子网或地址对象。在这些地址中,最好要有一个地址和
NPTv6 中的源转换的地址相同。地址的顺序无关紧要。
如果地址所对应的是一个子网络,那么防火墙将针对该子网中的所有地
址发送 ND 响应,所以建议您还要添加防火墙的 IPv6 邻居,然后选中
求反复选框以指示防火墙不要响应这些 IP 地址。
求反
Ethernet 接口 >
高级 > NDP 代理
为某个地址选中求反复选框可以为该地址防止 NDP 代理。可以对指定 IP
地址范围或 IP 子网的子集进行求反。
启用 LLDP
Ethernet 接口 >
高级 > LLDP
选择此选项可在接口上启用链路层发现协议 (LLDP)。链路层上的 LLDP
功能可发现邻近设备及其功能。
配置文件
Ethernet 接口 >
高级 > LLDP
如果 LLDP 已启用,请选择 LLDP 配置文件以分配给接口,或单击 LLDP
配置文件链接以创建新的配置文件(参阅“定义 LLDP 配置文件”)。
如果选择无,防火墙会使用全局默认值。
104 • Web 界面参考指南,版本 7.0
Palo Alto Networks
配置第 3 层接口
表 65. 第 3 层接口设置(续)
字段
配置位置
说明
Ethernet 接口 >
IPv4
选择为接口分配 IPv4 地址类型的方法:
对于 IPv4 地址
类型
• 静态 — 您必须手动指定 IP 地址。
• PPPoE — 防火墙将使用 Ethernet 上的点对点协议 (PPPoE) 的接口。
• DHCP 客户端 — 启用接口作为动态主机配置协议 (DHCP) 客户端并接
受动态分配 IP 地址。
注:防火墙在主动 / 主动高可用性 (HA) 模式下不支持 PPPoE 或 DHCP
客户端。
该选项卡中显示的选项将因您所选的 IP 地址方法而异。
• IPv4 地址类型 = 静态
IP
Ethernet 接口 >
IPv4
单击添加,然后执行下列步骤之一,以指定接口的静态 IP 地址和网络
掩码。
• 以无类别域间路由 (CIDR) 格式键入条目:ip_address/mask(例如,
192.168.2.0/24(对于 IPv4)或 2001:db8::/32(对于 IPv6))。
• 选择 IP 网络掩码类型的现有地址对象。
• 单击地址链接可创建 IP 网络掩码类型的地址对象。
可以为接口输入多个 IP 地址。系统使用转发信息库 (FIB) 来确定 IP 地址
的最大数。
要删除 IP 地址,请选择地址并单击删除。
• IPv4 地址类型 = PPPoE
启用
Ethernet 接口 >
IPv4 > PPPoE >
常规
选中该复选框可激活用于 PPPoE 终止的接口。
用户名
Ethernet 接口 >
IPv4 > PPPoE >
常规
输入用于点对点连接的用户名。
密码 / 确认密码
Ethernet 接口 >
IPv4 > PPPoE >
常规
输入并确认用户名的密码。
显示 PPPoE 客户端运
行时信息
Ethernet 接口 >
IPv4 > PPPoE >
常规
(可选)单击此链接可打开一个对话框,该对话框会显示防火墙与
Internet 服务提供商 (ISP) 协商用于建立连接的参数。具体的信息取决
于 ISP。
身份验证
Ethernet 接口 >
IPv4 > PPPoE >
高级
选择用于 PPPoE 通信的身份验证协议。CHAP(质询握手身份验证协
议)、PAP(密码身份验证协议)或默认自动(防火墙确定协议)。选
择无可从接口删除当前协议分配。
静态地址
Ethernet 接口 >
IPv4 > PPPoE >
高级
执行下列步骤之一可指定 Internet 服务提供商分配的 IP 地址(无默
认值):
• 以无类别域间路由 (CIDR) 格式键入条目:ip_address/mask(例如,
192.168.2.0/24(对于 IPv4)或 2001:db8::/32(对于 IPv6))。
• 选择 IP 网络掩码类型的现有地址对象。
• 单击地址链接可创建 IP 网络掩码类型的地址对象。
• 选择无可从接口删除当前地址分配。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 105
配置第 3 层接口
表 65. 第 3 层接口设置(续)
字段
配置位置
说明
自动创建指向对端的
默认路由
Ethernet 接口 >
IPv4 > PPPoE >
高级
选中此复选框可在连接时自动创建指向 PPPoE 对端的默认路由。
默认路由跃点数
Ethernet 接口 >
IPv4 > PPPoE >
高级
对于防火墙与 Internet 服务提供商之间的路由,请输入要与默认路由关
联并用于路径选择的路由跃点数(优先级)(可选,范围为 1-65535)。
数值越小,优先级越高。
访问集中器
Ethernet 接口 >
IPv4 > PPPoE >
高级
(可选)输入防火墙要连接到的 Internet 服务提供商端访问集中器的名
称(无默认值)。
服务
Ethernet 接口 >
IPv4 > PPPoE >
高级
(可选)输入服务字符串(无默认值)。
被动
Ethernet 接口 >
IPv4 > PPPoE >
高级
选中此复选框可使用被动模式。在被动模式中,PPPoE 结束点将等待访
问集中器发送第一个帧。
• IPv4 地址类型 = DHCP
启用
Ethernet 接口 >
IPv4
选中此复选框可在接口上激活 DHCP 客户端。
自动创建指向服务器
所提供的默认网关的
默认路由
Ethernet 接口 >
IPv4
选中此复选框可自动创建指向 DHCP 服务器提供的默认网关的默认路由。
默认路由跃点数
Ethernet 接口 >
IPv4
对于防火墙与 DHCP 服务器之间的路由,可以输入要与默认路由关联
和用于路径选择(范围为 1-65535,无默认值)的路由跃点数(优先
级)。数值越小,优先级越高。
显示 DHCP 客户端运
行时信息
Ethernet 接口 >
IPv4
单击此按钮可显示从 DHCP 服务器收到的所有设置,包括 DHCP 租借
状 态、动态 IP 地址分配、子网掩码、网关和服务器设置(DNS、
NTP、域、WINS、NIS、POP3 和 SMTP)。
在接口上启用 IPv6
Ethernet 接口 >
IPv6
选中此复选框可在此接口上启用 IPv6 寻址。
接口 ID
Ethernet 接口 >
IPv6
以十六进制格式输入 64 位扩展唯一标识符 (EUI-64)(例如,
00:26:08:FF:FE:DE:4E:29)。如果将此字段留空,则防火墙使用根据物
理接口的 MAC 地址生成的 EUI-64。如果在添加地址时启用使用接口
ID 作为主机部分选项,则防火墙使用接口 ID 作为该地址的主机部分。
对于 IPv6 地址
106 • Web 界面参考指南,版本 7.0
Palo Alto Networks
配置第 3 层接口
表 65. 第 3 层接口设置(续)
字段
配置位置
说明
地址
Ethernet 接口 >
IPv6
单击添加并为每个 IPv6 地址配置以下参数:
• 地址 — 输入 IPv6 地址和前缀长度(如 2001:400:f00::1/64)。您也可以
选择现有的 IPv6 地址对象,或单击地址链接以创建地址对象。
• 在接口上启用地址 — 选中该复选框可在接口上启用 IPv6 地址。
• 使用接口 ID 作为主机部分 — 选中该复选框可将接口 ID 用作 IPv6 地
址的主机部分。
• 任意广播 — 选中该复选框可包括通过最近节点的路由。
• 发送路由器通告 — 选中该复选框可启用此 IP 地址的路由器通告 (RA)。
(您还必须在接口上启用全局启用路由器通告选项。)有关路由器通
告的详细信息,请参阅此表中的“启用路由器通告”。
其余字段只有在启用全局路由器通告后才适用。
– 有效生存时间 — 防火墙认为地址有效的时间长度(秒)。有效生存
时间必须等于或超过首选生存时间。默认值为 2592000。
– 首选生存时间 — 首选的有效地址的时间长度(秒),这意味着防火
墙可以用它来发送和接收流量。在首选生存时间到期后,防火墙不
能使用地址来建立新的连接,但任何现有的连接仍然有效,直到有
效生存时间到期。默认值为 604800。
– 在链路上 — 如果系统包含在不使用路由器时可以访问的前缀内的地
址,则选中该复选框。
– 自治 — 如果系统可以通过结合使用通告前缀和接口 IP 独立创建 IP
地址,则选中该复选框。
启用重复地址检测
Ethernet 接口 >
IPv6
选中此复选框可启用重复地址检测 (DAD),然后配置本部分中的其他
字段。
DAD 尝试
Ethernet 接口 >
IPv6
指定在尝试标识邻居失败之前在邻居请求间隔(NS 间隔)内的 DAD 尝
试次数(范围为 1-10,默认为 1)。
可达到时间
Ethernet 接口 >
IPv6
指定成功查询和响应之后邻居可继续访问的时间长度(秒)(范围为
1-36000,默认为 30)。
NS 间隔(邻居请求
间隔)
Ethernet 接口 >
IPv6
指定在指示失败之前 DAD 尝试的秒数(范围为 1-10,默认为 1)。
启用路由器通告
Ethernet 接口 >
IPv6
要在 IPv6 接口上提供无状态地址自动配置 (SLAAC),请选中该复选
框,然后配置本部分中的其他字段。客户端使用此信息接收路由器通告
(RA) 消息。
路由器通告将防火墙用作非静态配置的 IPv6 主机的默认防火墙,并向
该主机提供用于地址配置的 IPv6 前缀。您可以将独立的 DHCPv6 服务
器与此功能结合使用,以向客户端提供 DNS 和其他设置。
该选项是适用于接口的全局设置。如果您要设置单个 IP 地址的路由器通
告选项,请单击 IP 地址表中的添加,然后配置地址(有关详细信息,请
参阅此表中的“地址”)。如果您要为任何 IP 地址设置路由器通告,则
必须选中接口的启用路由器通告选项。
最小间隔(秒)
Palo Alto Networks
Ethernet 接口 >
IPv6
指定防火墙将要发送路由器通告之间的最小间隔(秒)(范围为 3-1350,
默认为 200)。防火墙将会以您配置的最小值和最大值之间的随机间隔
发送路由器通知。
Web 界面参考指南,版本 7.0 • 107
配置第 3 层接口
表 65. 第 3 层接口设置(续)
字段
配置位置
说明
最大间隔(秒)
Ethernet 接口 >
IPv6
指定防火墙将要发送路由器通告之间的最大间隔(秒)(范围为 4-1800,
默认为 600)。防火墙将会以您配置的最小值和最大值之间的随机间隔
发送路由器通知。
跃点限制
Ethernet 接口 >
IPv6
指定适用于发送数据报的客户端的跃点限制(范围为 1-255,默认为 64)。
输入 0 表示没有跃点限制。
链接 MTU
Ethernet 接口 >
IPv6
指定要应用到客户端的链路最大传输单元 (MTU)。选择未指定表示无链
路 MTU(范围为 1280-9192,默认为未指定)。
可访问时间(毫秒)
Ethernet 接口 >
IPv6
指定可访问时间(毫秒),该时间是客户端用于在收到可访问性确认消
息后假定可以访问邻居的时间。选择未指定表示没有可访问时间值(范
围为 0-3600000,默认为未指定)。
重传时间(毫秒)
Ethernet 接口 >
IPv6
指定重传计时器确定客户将在重传邻居请求消息之前将要等待的时间
(毫秒)。选择未指定表示没有重传时间(范围为 0-4294967295,默认
为未指定)。
路由器生存时间
(秒)
Ethernet 接口 >
IPv6
指定客户端将防火墙用作默认网关的时间(秒)(范围为 0-9000,默认
为 1800)。零用于指定防火墙不是默认网关。当生存时间到期后,客
户端会从其默认路由器列表删除防火墙条目,并将另一个路由器用作默
认网关。
路由器首选项
Ethernet 接口 >
IPv6
如果网段拥有多个 IPv6 路由器,则客户端会使用此字段来选择首选路
由器。选择防火墙路由器相对于网段中的其他路由器认为路由器通告拥
有高、中(默认)还是低优先级。
托管配置
Ethernet 接口 >
IPv6
选中该复选框以向客户端指示可通过 DHCPv6 使用该地址。
其他配置
Ethernet 接口 >
IPv6
选中该复选框可向客户端指示可通过 DHCPv6 使用其他地址信息(例
如,DNS 相关设置)。
一致性检查
Ethernet 接口 >
IPv6
如果您希望防火墙验证从其他路由器发出的 RA 是否是正在链路上通告
一致信息,请选中该复选框。防火墙会记录任何不一致。
108 • Web 界面参考指南,版本 7.0
Palo Alto Networks
配置第 3 层子接口
配置第 3 层子接口
网络 > 接口 > 以太网
对于已配置为第 3 层物理接口的各个 Ethernet 端口,您可以定义附加的第 3 层逻辑接口(子
接口)。
要配置第 3 层子接口,“配置第 3 层接口”,请选中该物理接口所在的行,单击添加子接口,
然后指定以下信息。
表 66. 第 3 层子接口设置
字段
配置位置
说明
接口名称
第 3 层子接口
只读的接口名称字段会显示您所选物理接口的名称。在相邻字段中,输
入数字后缀 (1-9999) 以标识子接口。
注释
第 3 层子接口
输入子接口的可选说明。
标记
第 3 层子接口
输入该子接口的 VLAN 标记 (1-4094)。
Netflow 配置文件
第 3 层子接口
如果您想要导出从 Ingress 子接口遍历到 NetFlow 服务器的单向 IP 通
信,请选择服务器配置文件或单击 Netflow 配置文件链接以定义新的
配置文件(参阅“配置 Netflow 设置”)。选择无可从子接口删除当前
NetFlow 服务器分配。
注:PA-4000 系列防火墙不支持此功能。
虚拟路由器
第 3 层子接口 >
配置
为接口分配虚拟路由器,或单击虚拟路由器链接以定义新的虚拟路由器
(参阅“配置虚拟路由器”)。选择无可从接口删除当前虚拟路由器
分配。
虚拟系统
第 3 层子接口 >
配置
如果防火墙支持多个虚拟系统且已启用该功能,请选择适用于子接口的
虚拟系统 (vsys),或单击虚拟系统链接以定义新的 vsys。
安全区域
第 3 层子接口 >
配置
选择子接口的安全区域,或单击区域链接以定义新区域。选择无可从子
接口删除当前区域分配。
管理配置文件
第 3 层子接口 >
高级 > 其他信息
管理配置文件 — 选择配置文件以定义可用来通过该接口管理防火墙的
协议(例如,SSH、Telnet 和 HTTP)。选择无可从接口删除当前配置
文件分配。
MTU
第 3 层子接口 >
高级 > 其他信息
输入在此接口上发送的数据包的最大传输单元 (MTU),以字节为单位
(范围是 576-9192,默认为 1500)。如果防火墙两端的机器执行路径
MTU 发现 (PMTUD) 且接口收到的数据包超过 MTU,则防火墙向源端
返回 ICMP fragmentation needed 消息以表示该数据包太大。
调整 TCP MSS
第 3 层子接口 >
高级 > 其他信息
如果您想要将最大段大小 (MSS) 调整为比接口 MTU 小 40 个字节,请选
中该复选框。此设置处理通过网络的隧道需要更小的 MSS 的情况。如
果数据包在没有分片的 MSS 中不适用,则此设置启用调整。
IP 地址
第 3 层子接口 >
高级 > ARP 条目
要添加一个或多个静态地址解析协议 (ARP) 条目,请单击添加,然后输
入 IP 地址及其关联的硬件 [介质访问控制 (MAC)] 地址。要删除条目,
请选择条目,并单击删除。静态 ARP 条目减少 ARP 处理,并且排除指
定地址的“中间人”(man-in-the-middle) 攻击。
第 3 层子接口 >
高级 > ND 条目
要为邻居发现协议 (NDP) 提供邻居信息,请单击添加,然后输入邻居
的 IP 地址和 MAC 地址。
MAC 地址
IPv6 地址
MAC 地址
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 109
配置第 3 层子接口
表 66. 第 3 层子接口设置(续)
字段
配置位置
说明
启用 NDP 代理
第 3 层子接口 >
高级 > NDP 代理
单击可为接口启用邻居发现协议 (NDP) 代理。防火墙将对为该列表中
IPv6 地址请求 MAC 地址的 ND 数据包做出响应。在 ND 响应中,防
火墙会针对接口发送它自己的 MAC 地址,以便防火墙接收对列表中的
地址有意义的数据包。
如果正在使用网络前缀转换 IPv6 (NPTv6),建议您启用 NDP 代理。
如果启用 NDP 代理复选框已选中,那么您可以输入过滤器并单击“应用
过滤器”图标(灰色箭头),以便对大量地址条目进行过滤。
地址
第 3 层子接口 >
高级 > NDP 代理
单击添加可输入一个或多个会将防火墙当作 NDP 代理的 IPv6 地址、IP
范围、IPv6 子网或地址对象。在这些地址中,最好要有一个地址和
NPTv6 中的源转换的地址相同。地址的顺序无关紧要。
如果地址所对应的是一个子网络,那么防火墙将针对该子网中的所有地
址发送 ND 响应,所以建议您还要添加防火墙的 IPv6 邻居,然后单击
求反复选框以指示防火墙不要响应这些 IP 地址。
求反
第 3 层子接口 >
高级 > NDP 代理
为某个地址选中求反复选框可以为该地址防止 NDP 代理。可以对指定
IP 地址范围或 IP 子网的子集进行求反。
第 3 层子接口 >
IPv4
选择为子接口分配 IPv4 地址类型的方法:
对于 IPv4 地址
类型
• 静态 — 您必须手动指定 IP 地址。
• DHCP 客户端 — 启用子接口作为动态主机配置协议 (DHCP) 客户端并
接受动态分配 IP 地址。
注:防火墙在主动 / 主动高可用性 (HA) 模式下不支持 DHCP 客户端。
该选项卡中显示的选项将因您所选的 IP 地址方法而异。
• IPv4 地址类型 = 静态
IP
第 3 层子接口 >
IPv4
单击添加,然后执行下列步骤之一,以指定接口的静态 IP 地址和网络
掩码。
• 以无类别域间路由 (CIDR) 格式键入条目:ip_address/mask(例如,
192.168.2.0/24(对于 IPv4)或 2001:db8::/32(对于 IPv6))。
• 选择 IP 网络掩码类型的现有地址对象。
• 单击地址链接可创建 IP 网络掩码类型的地址对象。
可以为接口输入多个 IP 地址。系统使用转发信息库 (FIB) 来确定 IP 地址
的最大数。
要删除 IP 地址,请选择地址并单击删除。
• IPv4 地址类型 = DHCP
启用
第 3 层子接口 >
IPv4
选中此复选框可在接口上激活 DHCP 客户端。
自动创建指向服务器
所提供的默认网关的
默认路由
第 3 层子接口 >
IPv4
选中此复选框可自动创建指向 DHCP 服务器提供的默认网关的默认路由。
默认路由跃点数
第 3 层子接口 >
IPv4
对于防火墙与 DHCP 服务器之间的路由,可以输入要与默认路由关联和
用于路径选择(范围为 1-65535,无默认值)的路由跃点数(优先级)。
数值越小,优先级越高。
110 • Web 界面参考指南,版本 7.0
Palo Alto Networks
配置第 3 层子接口
表 66. 第 3 层子接口设置(续)
字段
配置位置
说明
显示 DHCP 客户端运
行时信息
第 3 层子接口 >
IPv4
单击此按钮可显示从 DHCP 服务器收到的所有设置,包括 DHCP 租借
状态、动态 IP 地址分配、子网掩码、网关和服务器设置(DNS、NTP、
域、WINS、NIS、POP3 和 SMTP)。
在接口上启用 IPv6
第 3 层子接口 >
IPv6
选中此复选框可在此接口上启用 IPv6 寻址。
接口 ID
第 3 层子接口 >
IPv6
以十六进制格式输入 64 位扩展唯一标识符 (EUI-64)(例如,
00:26:08:FF:FE:DE:4E:29)。如果将此字段留空,则防火墙使用根据物
理接口的 MAC 地址生成的 EUI-64。如果在添加地址时启用使用接口 ID
作为主机部分选项,则防火墙使用接口 ID 作为该地址的主机部分。
地址
第 3 层子接口 >
IPv6
对于 IPv6 地址
单击添加并为每个 IPv6 地址配置以下参数:
• 地址 — 输入 IPv6 地址和前缀长度(如 2001:400:f00::1/64)。您也可以
选择现有的 IPv6 地址对象,或单击地址链接以创建地址对象。
• 在接口上启用地址 — 单击可在接口上启用 IPv6 地址。
• 使用接口 ID 作为主机部分 — 单击可将接口 ID 用作 IPv6 地址的主机
部分。
• 任意播 — 单击可包括通过最近节点的路由。
• 发送路由器通告 — 单击可启用此 IP 地址的路由器通告 (RA)。(您还
必须在接口上启用全局启用路由器通告选项。)有关路由器通告的详
细信息,请参阅此表中的“启用路由器通告”。
其余字段只有在启用 RA 后才适用。
– 有效生存时间 — 防火墙认为地址有效的时间长度(秒)。有效生存
时间必须等于或超过首选生存时间。默认值为 2592000。
– 首选生存时间 — 首选的有效地址的时间长度(秒),这意味着防火
墙可以用它来发送和接收流量。在首选生存时间到期后,防火墙不
能使用地址来建立新的连接,但任何现有的连接仍然有效,直到有
效生存时间到期。默认值为 604800。
– 在链路上 — 如果能在不使用路由器的情况下访问前缀中包含地址的
系统,请单击此项。
– 自治 — 如果系统可以通过结合使用通告前缀和接口 IP 来独立创建 IP
地址,请单击此项。
启用重复地址检测
第 3 层子接口 >
IPv6
选中此复选框可启用重复地址检测 (DAD),然后配置本部分中的其他
字段。
DAD 尝试
第 3 层子接口 >
IPv6
指定在尝试标识邻居失败之前在邻居请求间隔(NS 间隔)内的 DAD
尝试次数(范围为 1-10,默认为 1)。
可达到时间
第 3 层子接口 >
IPv6
指定成功查询和响应之后邻居可继续访问的时间长度(秒)(范围为
1-36000,默认为 30)。
NS 间隔(邻居请求
间隔)
第 3 层子接口 >
IPv6
指定在指示失败之前 DAD 尝试的秒数(范围为 1-10,默认为 1)。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 111
配置第 3 层子接口
表 66. 第 3 层子接口设置(续)
字段
配置位置
说明
启用路由器通告
第 3 层子接口 >
IPv6
要在 IPv6 接口上提供无状态地址自动配置 (SLAAC),请选中该复选
框,然后配置本部分中的其他字段。客户端使用此信息接收路由器通告
(RA) 消息。
路由器通告将防火墙用作非静态配置的 IPv6 主机的默认防火墙,并向
该主机提供用于地址配置的 IPv6 前缀。您可以将独立的 DHCPv6 服务
器与此功能结合使用,以向客户端提供 DNS 和其他设置。
该选项是适用于接口的全局设置。如果您要设置单个 IP 地址的路由器通
告选项,请单击 IP 地址表中的添加,然后配置地址(有关详细信息,请
参阅此表中的“地址”)。如果您要为任何 IP 地址设置路由器通告,则
必须选中接口的启用路由器通告选项。
最小间隔(秒)
第 3 层子接口 >
IPv6
指定防火墙将要发送路由器通告之间的最小间隔(秒)(范围为 3-1350,
默认为 200)。防火墙将会以您配置的最小值和最大值之间的随机间隔
发送路由器通知。
最大间隔(秒)
第 3 层子接口 >
IPv6
指定防火墙将要发送路由器通告之间的最大间隔(秒)(范围为 4-1800,
默认为 600)。防火墙将会以您配置的最小值和最大值之间的随机间隔
发送路由器通知。
跃点限制
第 3 层子接口 >
IPv6
指定适用于发送数据报的客户端的跃点限制(范围为 1-255,默认为 64)。
输入 0 表示没有跃点限制。
链接 MTU
第 3 层子接口 >
IPv6
指定要应用到客户端的链路最大传输单元 (MTU)。选择未指定表示无链
路 MTU(范围为 1280-9192,默认为未指定)。
可访问时间(毫秒)
第 3 层子接口 >
IPv6
指定可访问时间(毫秒),该时间是客户端用于在收到可访问性确认消
息后假定可以访问邻居的时间。选择未指定表示没有可访问时间值(范
围为 0-3600000,默认为未指定)。
重传时间(毫秒)
第 3 层子接口 >
IPv6
指定重传计时器确定客户将在重传邻居请求消息之前将要等待的时间
(毫秒)。选择未指定表示没有重传时间(范围为 0-4294967295,默认
为未指定)。
路由器生存时间
(秒)
第 3 层子接口 >
IPv6
指定客户端将防火墙用作默认网关的时间(秒)(范围为 0-9000,默认
为 1800)。零用于指定防火墙不是默认网关。当生存时间到期后,客
户端会从其默认路由器列表删除防火墙条目,并将另一个路由器用作默
认网关。
路由器首选项
第 3 层子接口 >
IPv6
如果网段拥有多个 IPv6 路由器,则客户端会使用此字段来选择首选路
由器。选择防火墙路由器相对于网段中的其他路由器认为路由器通告拥
有高、中(默认)还是低优先级。
托管配置
第 3 层子接口 >
IPv6
选中该复选框以向客户端指示可通过 DHCPv6 使用该地址。
其他配置
第 3 层子接口 >
IPv6
选中该复选框可向客户端指示可通过 DHCPv6 使用其他地址信息(例
如,DNS 相关设置)。
一致性检查
第 3 层子接口 >
IPv6
如果您希望防火墙验证从其他路由器发出的 RA 是否是正在链路上通告
一致信息,请选中该复选框。防火墙会记录任何不一致。
112 • Web 界面参考指南,版本 7.0
Palo Alto Networks
配置 Virtual Wire 接口
配置 Virtual Wire 接口
网络 > 接口 > 以太网
虚拟线路接口将两个以太网端口绑定在一起,从而允许在接口之间传递所有通信,或仅允许传
递具有所选 VLAN 标记的通信(没有其他交换或路由服务可用)。也可根据 IP 地址、IP 范围
或子网创建虚拟线路子接口和分类通信。虚拟线路不需要对相邻网络设备进行更改。
要设置通过防火墙的 virtual wire,必须首先定义 virtual wire 接口(如以下过程中所述),然
后使用您创建的接口创建 virtual wire。
1.
在以太网选项卡上找出要用于虚拟线路的接口,然后从当前安全区域(如果有)中删除该
接口。
2.
单击接口名称,并指定以下信息。
表 67. Virtual Wire 接口设置
字段
配置位置
说明
接口名称
以太网接口
接口名称是预定义的,您不能对其进行更改。
注释
以太网接口
输入接口的可选说明。
接口类型
以太网接口
选择 Virtual Wire。
Virtual Wire
Ethernet 接口 >
配置
选择 virtual wire,或单击 Virtual Wire 链接以定义新的 virtual wire(参阅
“定义 Virtual Wire”)。选择无可从接口删除当前 virtual wire 分配。
虚拟系统
Ethernet 接口 >
配置
如果防火墙支持多个虚拟系统且已启用该功能,请选择适用于接口的虚拟系
统,或单击虚拟系统链接以定义新的 vsys。
安全区域
Ethernet 接口 >
配置
选择接口的安全区域,或单击区域链接以定义新区域。选择无可从接口删除
当前区域分配。
链接速度
Ethernet 接口 >
高级
选择接口速度,以 Mbps 为单位(10、100 或 1000),或选择自动以使防火墙
自动确定速度。
链接双工
Ethernet 接口 >
高级
选择接口传输模式为全双工 (full)、半双工 (half) 还是自动协商 (auto)。
链接状态
Ethernet 接口 >
高级
选择接口状态为启用 (up)、禁用 (down) 还是自动确定 (auto)。
启用 LLDP
Ethernet 接口 >
高级 > LLDP
选择此选项可在接口上启用链路层发现协议 (LLDP)。链路层上的 LLDP 功
能可发现邻近设备及其功能。
配置文件
Ethernet 接口 >
高级 > LLDP
如果 LLDP 已启用,请选择 LLDP 配置文件以分配给接口,或单击 LLDP 配
置文件链接以创建新的配置文件(参阅“定义 LLDP 配置文件”)。如果选
择无,防火墙会使用全局默认值。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 113
配置 Virtual Wire 子接口
配置 Virtual Wire 子接口
网络 > 接口 > 以太网
Virtual wire (vwire) 子接口可通过 VLAN 标记或通过 VLAN 标记和 IP 分类器的组合来分隔通
信,将标记的通信分配到不同的区域和虚拟系统,然后对与所定义条件匹配的通信实施安全策略。
要添加 vwire 子接口,“配置 Virtual Wire 接口”,请选中该接口所在的行,单击添加子接
口,然后指定以下信息。
表 68. Virtual Wire 子接口设置
字段
说明
接口名称
只读的接口名称字段会显示您所选 vwire 接口的名称。在相邻字段中,输入数字后缀 (1-9999) 以
标识子接口。
注释
输入子接口的可选说明。
标记
输入该子接口的 VLAN 标记 (0-4094)。
Netflow 配置
文件
如果您想要导出从 Ingress 子接口遍历到 NetFlow 服务器的单向 IP 通信,请选择服务器配置文
件或单击 Netflow 配置文件链接以定义新的配置文件(参阅“配置 Netflow 设置”)。选择无
可从子接口删除当前 NetFlow 服务器分配。
注:PA-4000 系列防火墙不支持此功能。
IP 分类器
单击添加并输入 IP 地址、IP 范围或子网,以对该 vwire 子接口上的通信进行分类。
Virtual Wire
选择 virtual wire,或单击 Virtual Wire 链接以定义新的 virtual wire(参阅“定义 Virtual Wire”)。
选择无可从子接口删除当前 virtual wire 分配。
虚拟系统
如果防火墙支持多个虚拟系统且已启用该功能,请选择适用于子接口的虚拟系统 (vsys),或单击
虚拟系统链接以定义新的 vsys。
安全区域
选择子接口的安全区域,或单击区域链接以定义新区域。选择无可从子接口删除当前区域分配。
配置旁接接口
网络 > 接口 > 以太网
可以使用旁接接口监控端口上的通信。
要配置旁接接口,请单击还未配置的接口的名称(例如,ethernet1/1),并指定以下信息。
表 69. 旁接接口设置
字段
配置位置
说明
接口名称
以太网接口
接口名称是预定义的,您不能对其进行更改。
注释
以太网接口
输入接口的可选说明。
接口类型
以太网接口
选择旁接。
Netflow 配置
文件
以太网接口
如果您想要导出从 Ingress 接口遍历到 NetFlow 服务器的单向 IP 通信,请选
择服务器配置文件或单击 Netflow 配置文件链接以定义新的配置文件(参阅
“配置 Netflow 设置”)。选择无可从接口删除当前 NetFlow 服务器分配。
注:PA-4000 系列防火墙不支持此功能。
114 • Web 界面参考指南,版本 7.0
Palo Alto Networks
配置日志卡接口
表 69. 旁接接口设置(续)
字段
配置位置
说明
虚拟系统
Ethernet 接口 >
配置
如果防火墙支持多个虚拟系统且已启用该功能,请选择适用于接口的虚拟系
统,或单击虚拟系统链接以定义新的 vsys。
安全区域
Ethernet 接口 >
配置
选择接口的安全区域,或单击区域链接以定义新区域。选择无可从接口删除
当前区域分配。
链接速度
Ethernet 接口 >
高级
选择接口速度,以 Mbps 为单位(10、100 或 1000),或选择自动以使防火
墙自动确定速度。
链接双工
Ethernet 接口 >
高级
选择接口传输模式为全双工 (full)、半双工 (half) 还是自动协商 (auto)。
链接状态
Ethernet 接口 >
高级
选择接口状态为启用 (up)、禁用 (down) 还是自动确定 (auto)。
配置日志卡接口
网络 > 接口 > 以太网
在 PA-7000 系列防火墙上,一个数据端口必须拥有一个日记卡类型的接口。这是因为此平台的
流量和记录功能超出管理端口的功能。日志卡数据端口会为 syslog、电子邮件、简单网络管理
协议 (SNMP) 及 WildFire 文件转发进行日志转发。在防火墙上只有一个端口可以为日志卡接
口。如果您启用日志转发,但不将任何接口配置为日志卡,则在提交时可能会发生错误。
要配置日志卡接口,请单击还未配置的接口的名称(例如,ethernet1/16),并指定以下信息。
表 70. 日志卡接口设置
字段
配置位置
说明
插槽
以太网接口
选择接口的插槽号 (1-12)。
接口名称
以太网接口
接口名称是预定义的,您不能对其进行更改。
注释
以太网接口
输入接口的可选说明。
接口类型
以太网接口
选择日志卡。
IPv4
Ethernet 接口 >
日志卡转发
如果网络使用的是 IPv4,请定义以下各项:
• IP 地址:端口的 IPv4 地址。
• 网络掩码:端口的 IPv4 地址的网络掩码。
• 默认网关:端口的默认网关的 IPv4 地址。
IPv6
Ethernet 接口 >
日志卡转发
如果网络使用的是 IPv6,请定义以下各项:
• IP 地址:端口的 IPv6 地址。
• 默认网关:端口的默认网关的 IPv6 地址。
链接速度
Ethernet 接口 >
高级
选择接口速度,以 Mbps 为单位(10、100 或 1000),或选择自动以使防火墙
自动确定速度。
链接双工
Ethernet 接口 >
高级
选择接口传输模式为全双工 (full)、半双工 (half) 还是自动协商 (auto)。
链接状态
Ethernet 接口 >
高级
选择接口状态为启用 (up)、禁用 (down) 还是自动确定 (auto)。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 115
配置日志卡子接口
配置日志卡子接口
网络 > 接口 > 以太网
要添加日志卡子接口,“配置日志卡接口”,请选中该接口所在的行,单击添加子接口,然后
指定以下信息。
表 71. 日志卡子接口设置
字段
配置位置
说明
接口名称
LPC 子接口
只读的接口名称字段会显示您所选日志卡接口的名称。在相邻字段中,输入
数字后缀 (1-9999) 以标识子接口。
注释
LPC 子接口
输入接口的可选说明。
标记
LPC 子接口
输入该子接口的 VLAN 标记 (0-4094)。为了便于使用,最佳做法是让该标记
与子接口编号保持一致。
虚拟系统
LPC 子接口 >
配置
选择日志处理卡 (LPC) 子接口被分配至的虚拟系统 (vsys)。或者,也可以单
击虚拟系统链接以添加新的 vsys。在将 LPC 子接口分配给某个 vsys 后,该
接口会用作从日志卡转发日志(syslog、电子邮件、SNMP)的所有服务的
源接口。
IPv4
Ethernet 接口 >
日志卡转发
如果网络使用的是 IPv4,请定义以下各项:
• IP 地址 — 端口的 IPv4 地址。
• 网络掩码 — 端口的 IPv4 地址的网络掩码。
• 默认网关 — 端口的默认网关的 IPv4 地址。
IPv6
Ethernet 接口 >
日志卡转发
如果网络使用的是 IPv6,请定义以下各项:
• IP 地址 — 端口的 IPv6 地址。
• 默认网关 — 端口的默认网关的 IPv6 地址。
配置解密镜像接口
网络 > 接口 > 以太网
要使用解密端口镜像功能,必须选择解密镜像接口类型。此功能可以创建来自防火墙的已解密
流量的副本,并且将其发送到能够接收原始数据包捕获(如 NetWitness 或 Solera)的流量收
集工具以用于存档和分析。对于需要用于取证和历史研究目的的全面数据捕获和数据遗失防
护 (DLP) 功能的企业而言,此功能是必需的。解密端口镜像仅适用于 PA-7000 系列防火墙、
PA-5000 系列防火墙和 PA-3000 系列防火墙。要启用此功能,必须获取和安装免费许可证。
要配置解密镜像接口,请单击还未配置的接口的名称(例如,ethernet1/1),并指定以下信息。
表 72. 解密镜像接口设置
字段
说明
接口名称
接口名称是预定义的,您不能对其进行更改。
注释
输入接口的可选说明。
接口类型
选择解密镜像。
链接速度
选择接口速度,以 Mbps 为单位(10、100 或 1000),或选择自动以使防火墙自动
确定速度。
116 • Web 界面参考指南,版本 7.0
Palo Alto Networks
配置聚合接口组
表 72. 解密镜像接口设置(续)
字段
说明
链接双工
选择接口传输模式为全双工 (full)、半双工 (half) 还是自动协商 (auto)。
链接状态
选择接口状态为启用 (up)、禁用 (down) 还是自动确定 (auto)。
配置聚合接口组
网络 > 接口 > 以太网
聚合接口组可用于使用 IEEE 802.1AX 链路聚合来组合多个 Ethernet 接口。您可以聚合 1Gbps
或 10Gbps XFP 和 SFP+ Ethernet。您创建的聚合接口变成逻辑接口。以下逻辑接口的属性,而
不 是 基 本 物 理 接 口:配 置 任 务(虚 拟 系 统、虚 拟 路 由 器、Virtual Wire、VLAN、安 全 区
域)、IP 地址、管理配置文件、链路聚合控制协议 (LACP) 配置、地址解析协议 (ARP) 条目和
邻居发现 (ND) 条目。因此,在创建组后,必须在聚合组(而非单个接口)上执行相关操作
(如配置第 2 层或第 3 层参数)。
以下规则适用于聚合组:
• 在一个组内,1Gbps 链路必须为全铜或全光纤链路。
• 一个组最多可以拥有八个接口。
• 聚合组支持高可用性、Virtual Wire、第 2 层或第 3 层接口。在一个组内,所有接口均必须
为同一类型。PAN-OS 会在提交操作期间会对此进行验证。
• 您可以使用聚合组在主动 / 主动高可用性 (HA) 部署的 HA3(数据包转发)链路上缩放冗余
和吞吐量。支持 HA3 限于 PA-500、PA-3000 系列、PA-4000 系列和 PA-5000 系列防火墙。
• 如果您为聚合组启用 LACP,则支持限于 HA3、第 2 层和第 3 接口。您不能为 Virtual Wire 接
口启用 LACP。支持启用 LACP 的组限于 PA-500、PA-3000 系列、PA-4000 系列、PA-5000
系列和 PA-7000 系列防火墙。
要配置聚合组,请单击添加聚合组,配置下表中的设置,然后按“配置聚合接口”所述将接口
分配给该组。
表 73. 聚合接口组设置
字段
配置位置
说明
接口名称
聚合以太网接口
只读的接口名称字段会设置为 ae。在相邻字段中,输入数字后缀 (1-8) 以标
识聚合组。
注释
聚合以太网接口
输入接口的可选说明。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 117
配置聚合接口组
表 73. 聚合接口组设置(续)
字段
配置位置
说明
接口类型
聚合以太网接口
选择接口类型,用于控制其余配置要求和选项:
• 高可用性 — 只有当接口为主动 / 主动部署中两个防火墙之间的 HA3 链路时
才选择此选项。(可选)选择 Netflow 配置文件,并按如下所述配置 LACP
选项卡。
• Virtual Wire —(可选)选择 Netflow 配置文件,并按表 67 所述配置配置
和高级选项卡。
• 第 2 层 —(可选)选择 Netflow 配置文件;按表 63 所述配置配置和高级选
项卡;并(可选)按如下所述配置 LACP 选项卡。
• 第 3 层 —(可选)选择 Netflow 配置文件;按表 65 所述配置配置、IPv4 或
IPv6 和高级选项卡;并(可选)按如下所述配置 LACP 选项卡。
Netflow 配置
文件
聚合以太网接口
如果您想要导出从 Ingress 接口遍历到 NetFlow 服务器的单向 IP 通信,请选
择服务器配置文件或单击 Netflow 配置文件链接以定义新的配置文件(参阅
“配置 Netflow 设置”)。选择无可从聚合接口组删除当前 NetFlow 服务器
分配。
注:PA-4000 系列防火墙不支持此功能。
启用 LACP
聚合 Ethernet
接口 > LACP
如果您要为聚合组启用链路聚合控制协议 (LACP),则请选中此复选框。在
默认情况下禁用 LACP。
模式
聚合 Ethernet
接口 > LACP
选择防火墙的 LACP 模式。在任何两个 LACP 对端之间,建议一个对端为主
动模式,另一个对端为被动模式。如果两个对端均为被动模式,则 LACP 无
法正常运行。
• 主动 — 防火墙主动查询对端的 LACP 状态(可用或无响应)。
• 被动(默认)— 防火墙被动地对对端的 LACP 状态查询做出响应。
传输速率
聚合 Ethernet
接口 > LACP
选择防火墙与对端交换查询和响应的速率:
• 快 — 每一秒
• 慢 — 每 30 秒(此为默认设置)
快速故障转移
聚合 Ethernet
接口 > LACP
当某个接口出现故障后,如果您希望防火墙在一秒钟内故障转移至操作接
口,则选中此复选框。否则,以标准 IEEE 802.1AX 定义的速度进行故障转
移(至少三秒)。
系统优先级
聚合 Ethernet
接口 > LACP
用于确定防火墙或其对端覆盖其他防火墙或其对端的端口优先级的数字(参
阅下面的最大端口数字段说明)。请注意,数字越小,优先级越高。范围为
1-65535,默认为 32768。
最大端口数
聚合 Ethernet
接口 > LACP
在 LACP 聚合组中可以在任何指定时间启用的接口数(1-8 个)。该值不得
超过您分配给组的接口数。如果分配的接口数超过活动接口数,则防火墙使
用接口的端口优先级来确定处于待机模式的接口。您可以在为组配置单个接
口时设置端口优先级。
118 • Web 界面参考指南,版本 7.0
Palo Alto Networks
配置聚合接口
表 73. 聚合接口组设置(续)
字段
配置位置
说明
为主动 - 被动高
可用性模式使用
相同的系统
MAC 地址
聚合 Ethernet
接口 > LACP
高可用性 (HA) 对中的防火墙拥有相同的系统优先级值。但是,在主动 / 被动
部署中,每个防火墙的系统 ID 可以是相同或不同,具体取决于您是否分配相
同的 MAC 地址。如果 LACP 对端(也在高可用性模式下)已经虚拟化(显
示为网络作为一个单一的设备),则对防火墙使用相同的系统 MAC 地址是
在故障转移期间最大限度减少延迟的最佳做法。如果 LACP 对端未虚拟化,
则对每个防火墙使用唯一的 MAC 地址是最大限度减少故障转移延迟的最佳
做法。如果防火墙不是处于主动 / 被动高可用性模式下,PAN-OS 会忽略此
字段。(主动 / 主动部署中的防火墙需要唯一的 MAC 地址,这样 PAN-OS
能够自动分配它们。)
LACP 使用 MAC 地址来获得每个 LACP 对端的系统 ID。如果防火墙对和对
端对拥有相同的系统优先级值,LACP 会使用系统 ID 值来确定凭借端口优先
级覆盖其他对的防火墙对和对端对。如果两个防火墙拥有相同的 MAC 地
址,则它们拥有相同的系统 ID,该 ID 可能会比 LACP 对端的系统 ID 更高或
更低。如果高可用性防火墙拥有唯一的 MAC 地址,可能一个防火墙拥有比
LACP 对端更高的系统 ID,另一个防火墙拥有比 LACP 对端更低的系统 ID。
在后一种情况下,当在防火墙上进行故障转移时,LACP 对端和防火墙之间
的端口优先级切换会变成主动。
MAC 地址
聚合 Ethernet
接口 > LACP
如果选择使用相同的系统 MAC 地址,可以为高可用性对中的两个防火墙选
择系统生成的 MAC 地址或输入自己的 MAC 地址。您必须验证该地址是否
是全局唯一。
配置聚合接口
网络 > 接口 > 以太网
要配置聚合 Ethernet 接口,“配置聚合接口组”,然后单击将要分配给该聚合组的接口的名
称。必须选择与为聚合组定义的接口类型相同的接口,但您可以在配置时将类型更改为聚合
Ethernet。指定接口的以下信息。
如果为聚合组启用了链接聚合控制协议 (LACP),最佳做法是为该组中的每
个接口选择相同的链接速度和链接双工。对于非匹配值,提交操作会显示警
告且 PAN-OS 默认为更高的速度和全双工。
表 74. 聚合 Ethernet 接口设置
字段
说明
接口名称
接口名称是预定义的,您不能对其进行更改。
注释
输入接口的可选说明。
接口类型
选择聚合 Ethernet。
聚合组
将接口分配到聚合组。
链接速度
选择接口速度,以 Mbps 为单位(10、100 或 1000),或选择自动以使防火墙自动
确定速度。
链接双工
选择接口传输模式为全双工 (full)、半双工 (half) 还是自动协商 (auto)。
链接状态
选择接口状态为启用 (up)、禁用 (down) 还是自动确定 (auto)。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 119
配置 HA 接口
表 74. 聚合 Ethernet 接口设置(续)
字段
说明
LACP 端口优
先级
防火墙只有在为聚合组启用链路聚合控制协议 (LACP) 后才会使用该字段。一个聚
合组可能拥有多个其在活动状态下支持的接口。(在聚合组配置中,最大端口数参
数确定了活动接口的数量。)在这种情况下,分配给每个接口的端口优先级将确定
该接口是活动接口还是备用接口。数值越小,优先级越高。范围为 1-65535,默认
为 32768。
配置 HA 接口
网络 > 接口 > 以太网
各个高可用性 (HA) 接口都有特定的功能:一个接口用于配置同步和检测信号,另一个接口用于
状态同步。如果启用了主动 / 主动高可用性,防火墙可以使用第三个 HA 接口来转发数据包。
有些 Palo Alto Networks 防火墙包括 HA 部署中使用的专用物理端口(一个
用于控制链接,一个用于数据链接)。对于那些不包括专用端口的防火墙,必
须指定 HA 要使用的数据端口。有关 HA 的其他信息,请参阅“在防火墙中启
用高可用性”。
要配置 HA 接口,请单击还未配置的接口的名称(例如,ethernet1/1),并指定以下信息。
表 75. HA 接口设置
字段
说明
接口名称
接口名称是预定义的,您不能对其进行更改。
注释
输入接口的可选说明。
接口类型
选择 HA。
链接速度
选择接口速度,以 Mbps 为单位(10、100 或 1000),或选择自动以使防火墙自动
确定速度。
链接双工
选择接口传输模式为全双工 (full)、半双工 (half) 还是自动协商 (auto)。
链接状态
选择接口状态为启用 (up)、禁用 (down) 还是自动确定 (auto)。
配置 VLAN 接口
网络 > 接口 > VLAN
VLAN 接口可提供至第 3 层网络(IPv4 和 IPv6)的路由。可以将一个或多个第 2 层 Ethernet 端
口(参阅“配置第 2 层接口”)添加到一个 VLAN 接口。
表 76. VLAN 接口设置
字段
配置位置
说明
接口名称
VLAN 接口
只读的接口名称字段会设置为 vlan。在相邻字段中,输入数字后缀 (1-9999)
以标识接口。
注释
VLAN 接口
输入接口的可选说明。
120 • Web 界面参考指南,版本 7.0
Palo Alto Networks
配置 VLAN 接口
表 76. VLAN 接口设置(续)
字段
配置位置
说明
Netflow 配置
文件
VLAN 接口
如果您想要导出从 Ingress 接口遍历到 NetFlow 服务器的单向 IP 通信,请选
择服务器配置文件或单击 Netflow 配置文件链接以定义新的配置文件(参阅
“配置 Netflow 设置”)。选择无可从接口删除当前 NetFlow 服务器分配。
注:PA-4000 系列防火墙不支持此功能。
VLAN
VLAN 接口 >
配置
选择 VLAN,或单击 VLAN 链接以定义新的 VLAN(参阅“配置 VLAN 支
持”)。选择无可从接口删除当前 VLAN 分配。
虚拟路由器
VLAN 接口 >
配置
为接口分配虚拟路由器,或单击虚拟路由器链接以定义新的虚拟路由器(参
阅“配置虚拟路由器”)。选择无可从接口删除当前虚拟路由器分配。
虚拟系统
VLAN 接口 >
配置
如果防火墙支持多个虚拟系统且已启用该功能,请选择适用于接口的虚拟系
统 (vsys),或单击虚拟系统链接以定义新的 vsys。
安全区域
VLAN 接口 >
配置
选择接口的安全区域,或单击区域链接以定义新区域。选择无可从接口删除
当前区域分配。
管理配置文件
VLAN 接口 >
高级 > 其他信息
管理配置文件 — 选择配置文件以定义可用来通过该接口管理防火墙的协议
(例如,SSH、Telnet 和 HTTP)。选择无可从接口删除当前配置文件分配。
MTU
VLAN 接口 >
高级 > 其他信息
输入在此接口上发送的数据包的最大传输单元 (MTU),以字节为单位(范围
是 576-9192,默认为 1500)。如果防火墙两端的机器执行路径 MTU 发现
(PMTUD) 且接口收到的数据包超过 MTU,则防火墙向源端返回 ICMP
fragmentation needed 消息以表示该数据包太大。
调整 TCP MSS
VLAN 接口 >
高级 > 其他信息
如果您想要将最大段大小 (MSS) 调整为比接口 MTU 小 40 个字节,请选中该
复选框。此设置处理通过网络的隧道需要更小的 MSS 的情况。如果数据包在
没有分片的 MSS 中不适用,则此设置启用调整。
IP 地址
VLAN 接口 > 高
级 > ARP 条目
要添加一个或多个静态地址解析协议 (ARP) 条目,请单击添加,输入 IP 地
址及其关联的硬件 [介质访问控制 (MAC)] 地址,然后选择可访问该硬件地址
的第 3 层接口。要删除条目,请选择条目,并单击删除。静态 ARP 条目减少
ARP 处理,并且排除指定地址的“中间人”(man-in-the-middle) 攻击。
VLAN 接口 >
高级 > ND 条目
要为邻居发现协议 (NDP) 提供邻居信息,请单击添加,然后输入邻居的 IPv6
地址和 MAC 地址。
VLAN 接口 > 高
级 > NDP 代理
选择此项可为接口启用邻居发现协议 (NDP) 代理。防火墙将对为该列表中
IPv6 地址请求 MAC 地址的 ND 数据包做出响应。在 ND 响应中,防火墙会
针对接口发送它自己的 MAC 地址,这基本上就是在说“请将对这些地址有
意义的数据包发给我”。
MAC 地址
接口
IPv6 地址
MAC 地址
启用 NDP 代理
如果正在使用网络前缀转换 IPv6 (NPTv6),建议您启用 NDP 代理。
如果启用 NDP 代理复选框已选中,那么您可以输入过滤器并单击“应用过滤
器”图标(绿色箭头),以便对大量地址条目进行过滤。
地址
VLAN 接口 > 高
级 > NDP 代理
单击添加可输入一个或多个会将防火墙当作 NDP 代理的 IPv6 地址、IP 范
围、IPv6 子网或地址对象。在这些地址中,最好要有一个地址和 NPTv6 中
的源转换的地址相同。地址的顺序无关紧要。
如果地址所对应的是一个子网络,那么防火墙将针对该子网中的所有地址发
送 ND 响应,所以建议您还要添加防火墙的 IPv6 邻居,然后单击“求反”
复选框,以指示防火墙不要响应这些 IP 地址。
求反
Palo Alto Networks
VLAN 接口 > 高
级 > NDP 代理
为某个地址选中求反复选框可以为该地址防止 NDP 代理。可以对指定 IP 地
址范围或 IP 子网的子集进行求反。
Web 界面参考指南,版本 7.0 • 121
配置 VLAN 接口
表 76. VLAN 接口设置(续)
字段
配置位置
说明
VLAN 接口 >
IPv4
选择为接口分配 IPv4 地址类型的方法:
对于 IPv4 地址
类型
• 静态 — 您必须手动指定 IP 地址。
• DHCP 客户端 — 启用接口作为动态主机配置协议 (DHCP) 客户端并接受
动态分配 IP 地址。
注:防火墙在主动 / 主动高可用性 (HA) 模式下不支持 DHCP 客户端。
该选项卡中显示的选项将因您所选的 IP 地址方法而异。
• IPv4 地址类型 = 静态
IP
VLAN 接口 >
IPv4
单击添加,然后执行下列步骤之一,以指定接口的静态 IP 地址和网络掩码。
• 以无类别域间路由 (CIDR) 格式键入条目:ip_address/mask(例如,
192.168.2.0/24(对于 IPv4)或 2001:db8::/32(对于 IPv6))。
• 选择 IP 网络掩码类型的现有地址对象。
• 单击地址链接可创建 IP 网络掩码类型的地址对象。
可以为接口输入多个 IP 地址。系统使用转发信息库 (FIB) 来确定 IP 地址的最
大数。
要删除 IP 地址,请选择地址并单击删除。
• IPv4 地址类型 = DHCP
启用
VLAN 接口 >
IPv4
选中此复选框可在接口上激活 DHCP 客户端。
自动创建指向
服务器所提供
的默认网关的
默认路由
VLAN 接口 >
IPv4
选中此复选框可自动创建指向 DHCP 服务器提供的默认网关的默认路由。
默认路由跃点数
VLAN 接口 >
IPv4
对于防火墙与 DHCP 服务器之间的路由,可以输入要与默认路由关联和用于
路径选择(范围为 1-65535,无默认值)的路由跃点数(优先级)。数值越
小,优先级越高。
显 示 DHCP 客
户端运行时信息
VLAN 接口 >
IPv4
单击此按钮可显示从 DHCP 服务器收到的所有设置,包括 DHCP 租借状
态、动态 IP 地址分配、子网掩码、网关和服务器设置(DNS、NTP、域、
WINS、NIS、POP3 和 SMTP)。
在接口上启用
IPv6
VLAN 接口 >
IPv6
选中此复选框可在此接口上启用 IPv6 寻址。
接口 ID
VLAN 接口 >
IPv6
以十六进制格式输入 64 位扩展唯一标识符 (EUI-64)(例如,
00:26:08:FF:FE:DE:4E:29)。如果将此字段留空,则防火墙使用根据物理接
口的 MAC 地址生成的 EUI-64。如果在添加地址时启用使用接口 ID 作为主
机部分选项,则防火墙使用接口 ID 作为该地址的主机部分。
对于 IPv6 地址
122 • Web 界面参考指南,版本 7.0
Palo Alto Networks
配置 VLAN 接口
表 76. VLAN 接口设置(续)
字段
配置位置
说明
地址
VLAN 接口 >
IPv6
单击添加并为每个 IPv6 地址配置以下参数:
• 地址 — 输入 IPv6 地址和前缀长度(如 2001:400:f00::1/64)。您也可以选
择现有的 IPv6 地址对象,或单击地址链接以创建地址对象。
• 在接口上启用地址 — 选中该复选框可在接口上启用 IPv6 地址。
• 使用接口 ID 作为主机部分 — 选中该复选框可将接口 ID 用作 IPv6 地址的
主机部分。
• 任意广播 — 选中该复选框可包括通过最近节点的路由。
• 发送 RA — 选中该复选框可为此 IP 地址启用路由器通告 (RA)。(您还必须
在接口上启用全局启用路由器通告选项。)有关路由器通告的详细信息,
请参阅此表中的“启用路由器通告”。
其余字段只有在启用全局路由器通告后才适用。
– 有效生存时间 — 防火墙认为地址有效的时间长度(秒)。有效生存时间
必须等于或超过首选生存时间。默认值为 2592000。
– 首选生存时间 — 首选的有效地址的时间长度(秒),这意味着防火墙可
以用它来发送和接收流量。在首选生存时间到期后,防火墙不能使用地
址来建立新的连接,但任何现有的连接仍然有效,直到有效生存时间到
期。默认值为 604800。
– 在链路上 — 如果系统包含在不使用路由器时可以访问的前缀内的地址,
则选中该复选框。
– 自治 — 如果系统可以通过结合使用通告前缀和接口 IP 独立创建 IP 地址,
则选中该复选框。
启用重复地址
检测
VLAN 接口 >
IPv6
选中此复选框可启用重复地址检测 (DAD),然后配置本部分中的其他字段。
DAD 尝试
VLAN 接口 >
IPv6
指定在尝试标识邻居失败之前在邻居请求间隔(NS 间隔)内的 DAD 尝试次数
(范围为 1-10,默认为 1)。
可达到时间
VLAN 接口 >
IPv6
指定成功查询和响应之后邻居可继续访问的时间长度(秒)(范围为 1-36000,
默认为 30)。
NS 间隔(邻居
请求间隔)
VLAN 接口 >
IPv6
指定在指示失败之前 DAD 尝试的秒数(范围为 1-10,默认为 1)。
启用路由器通告
VLAN 接口 >
IPv6
要在 IPv6 接口上提供无状态地址自动配置 (SLAAC),请选中该复选框,然后
配置本部分中的其他字段。客户端使用此信息接收路由器通告 (RA) 消息。
路由器通告将防火墙用作非静态配置的 IPv6 主机的默认防火墙,并向该主机
提供用于地址配置的 IPv6 前缀。您可以将独立的 DHCPv6 服务器与此功能
结合使用,以向客户端提供 DNS 和其他设置。
该选项是适用于接口的全局设置。如果您要设置单个 IP 地址的路由器通告选
项,请单击 IP 地址表中的添加,然后配置地址(有关详细信息,请参阅此表
中的“地址”)。如果您要为任何 IP 地址设置路由器通告,则必须选中接口
的启用路由器通告选项。
最小间隔(秒)
VLAN 接口 >
IPv6
指定防火墙将要发送路由器通告之间的最小间隔(秒)(范围为 3-1350,默
认为 200)。防火墙将会以您配置的最小值和最大值之间的随机间隔发送路
由器通知。
最大间隔(秒)
VLAN 接口 >
IPv6
指定防火墙将要发送路由器通告之间的最大间隔(秒)(范围为 4-1800,默
认为 600)。防火墙将会以您配置的最小值和最大值之间的随机间隔发送路
由器通知。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 123
配置回环接口
表 76. VLAN 接口设置(续)
字段
配置位置
说明
跃点限制
VLAN 接口 >
IPv6
指定适用于发送数据报的客户端的跃点限制(范围为 1-255,默认为 64)。
输入 0 表示没有跃点限制。
链接 MTU
VLAN 接口 >
IPv6
指定要应用到客户端的链路最大传输单元 (MTU)。选择未指定表示无链路 MTU
(范围为 1280-9192,默认为未指定)。
可访问时间
(毫秒)
VLAN 接口 >
IPv6
指定可访问时间(毫秒),该时间是客户端用于在收到可访问性确认消息
后假定可以访问邻居的时间。选择未指定表示没有可访问时间值(范围为
0-3600000,默认为未指定)。
重传时间
(毫秒)
VLAN 接口 >
IPv6
指定重传计时器确定客户将在重传邻居请求消息之前将要等待的时间(毫
秒)。选择未指定表示没有重传时间(范围为 0-4294967295,默认为未指定)。
路由器生存时间
(秒)
VLAN 接口 >
IPv6
指定客户端将防火墙用作默认网关的时间(秒)(范围为 0-9000,默认为
1800)。零用于指定防火墙不是默认网关。当生存时间到期后,客户端会从
其默认路由器列表删除防火墙条目,并将另一个路由器用作默认网关。
路由器首选项
VLAN 接口 >
IPv6
如果网段拥有多个 IPv6 路由器,则客户端会使用此字段来选择首选路由器。
选择防火墙路由器相对于网段中的其他路由器认为路由器通告拥有高、中
(默认)还是低优先级。
托管配置
VLAN 接口 >
IPv6
选中该复选框以向客户端指示可通过 DHCPv6 使用该地址。
其他配置
VLAN 接口 >
IPv6
选中该复选框可向客户端指示可通过 DHCPv6 使用其他地址信息(例如,
DNS 相关设置)。
一致性检查
VLAN 接口 >
IPv6
如果您希望防火墙验证从其他路由器发出的 RA 是否是正在链路上通告一致
信息,请选中该复选框。防火墙会记录任何不一致。
配置回环接口
网络 > 接口 > 回环
表 77. 回环接口设置
字段
配置位置
说明
接口名称
回环接口
只读的接口名称字段会设置为 loopback。在相邻字段中,输入数字后缀
(1-9999) 以标识接口。
注释
回环接口
输入接口的可选说明。
Netflow 配置
文件
回环接口
如果您想要导出从 Ingress 接口遍历到 NetFlow 服务器的单向 IP 通信,请选
择服务器配置文件或单击 Netflow 配置文件链接以定义新的配置文件(参阅
“配置 Netflow 设置”)。选择无可从接口删除当前 NetFlow 服务器分配。
注:PA-4000 系列防火墙不支持此功能。
虚拟路由器
回环接口 > 配置
为接口分配虚拟路由器,或单击虚拟路由器链接以定义新的虚拟路由器(参
阅“配置虚拟路由器”)。选择无可从接口删除当前虚拟路由器分配。
虚拟系统
回环接口 > 配置
如果防火墙支持多个虚拟系统且已启用该功能,请选择适用于接口的虚拟系
统 (vsys),或单击虚拟系统链接以定义新的 vsys。
安全区域
回环接口 > 配置
选择接口的安全区域,或单击区域链接以定义新区域。选择无可从接口删除
当前区域分配。
124 • Web 界面参考指南,版本 7.0
Palo Alto Networks
配置回环接口
表 77. 回环接口设置(续)
字段
配置位置
说明
管理配置文件
隧道接口 >
高级 > 其他信息
管理配置文件 — 选择配置文件以定义可用来通过该接口管理防火墙的协议
(例如,SSH、Telnet 和 HTTP)。选择无可从接口删除当前配置文件分配。
MTU
隧道接口 >
高级 > 其他信息
输入在此接口上发送的数据包的最大传输单元 (MTU),以字节为单位(范围
是 576-9192,默认为 1500)。如果防火墙两端的机器执行路径 MTU 发现
(PMTUD) 且接口收到的数据包超过 MTU,则防火墙向源端返回 ICMP
fragmentation needed 消息以表示该数据包太大。
调整 TCP MSS
隧道接口 >
高级 > 其他信息
如果您想要将最大段大小 (MSS) 调整为比接口 MTU 小 40 个字节,请选中该复
选框。此设置处理通过网络的隧道需要更小的 MSS 的情况。如果数据包在没有
分片的 MSS 中不适用,则此设置启用调整。
回环接口 > IPv4
单击添加,然后执行下列步骤之一,以指定接口的静态 IP 地址和网络掩码。
对于 IPv4 地址
IP
• 以无类别域间路由 (CIDR) 格式键入条目:ip_address/mask(例如,
192.168.2.0/24(对于 IPv4)或 2001:db8::/32(对于 IPv6))。
• 选择 IP 网络掩码类型的现有地址对象。
• 单击地址链接可创建 IP 网络掩码类型的地址对象。
可以为接口输入多个 IP 地址。系统使用转发信息库 (FIB) 来确定 IP 地址的最
大数。
要删除 IP 地址,请选择地址并单击删除。
对于 IPv6 地址
在接口上启用
IPv6
回环接口 > IPv6
选中此复选框可在此接口上启用 IPv6 寻址。
接口 ID
回环接口 > IPv6
以十六进制格式输入 64 位扩展唯一标识符 (EUI-64)(例如,
00:26:08:FF:FE:DE:4E:29)。如果将此字段留空,则防火墙使用根据物理接口
的 MAC 地址生成的 EUI-64。如果在添加地址时启用使用接口 ID 作为主机部
分选项,则防火墙使用接口 ID 作为该地址的主机部分。
地址
回环接口 > IPv6
单击添加并为每个 IPv6 地址配置以下参数:
• 地址 — 输入 IPv6 地址和前缀长度(如 2001:400:f00::1/64)。您也可以选择
现有的 IPv6 地址对象,或单击地址链接以创建地址对象。
• 在接口上启用地址 — 选中该复选框可在接口上启用 IPv6 地址。
• 使用接口 ID 作为主机部分 — 选中该复选框可将接口 ID 用作 IPv6 地址的
主机部分。
• 任意广播 — 选中该复选框可包括通过最近节点的路由。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 125
配置隧道接口
配置隧道接口
网络 > 接口 > 隧道
表 78. 隧道接口设置
字段
配置位置
说明
接口名称
隧道接口
只读的接口名称字段会设置为 tunnel。在相邻字段中,输入数字后缀 (1-9999)
以标识接口。
注释
隧道接口
输入接口的可选说明。
Netflow 配置
文件
隧道接口
如果您想要导出从 Ingress 接口遍历到 NetFlow 服务器的单向 IP 通信,请选
择服务器配置文件或单击 Netflow 配置文件链接以定义新的配置文件(参阅
“配置 Netflow 设置”)。选择无可从接口删除当前 NetFlow 服务器分配。
注:PA-4000 系列防火墙不支持此功能。
虚拟路由器
隧道接口 > 配置
为接口分配虚拟路由器,或单击虚拟路由器链接以定义新的虚拟路由器(参
阅“配置虚拟路由器”)。选择无可从接口删除当前虚拟路由器分配。
虚拟系统
隧道接口 > 配置
如果防火墙支持多个虚拟系统且已启用该功能,请选择适用于接口的虚拟系
统 (vsys),或单击虚拟系统链接以定义新的 vsys。
安全区域
隧道接口 > 配置
选择接口的安全区域,或单击区域链接以定义新区域。选择无可从接口删除
当前区域分配。
管理配置文件
隧道接口 >
高级 > 其他信息
管理配置文件 — 选择配置文件以定义可用来通过该接口管理防火墙的协议
(例如,SSH、Telnet 和 HTTP)。选择无可从接口删除当前配置文件分配。
MTU
隧道接口 >
高级 > 其他信息
输入在此接口上发送的数据包的最大传输单元 (MTU),以字节为单位(范围
是 576-9192,默认为 1500)。如果防火墙两端的机器执行路径 MTU 发现
(PMTUD) 且接口收到的数据包超过 MTU,则防火墙向源端返回 ICMP
fragmentation needed 消息以表示该数据包太大。
隧道接口 > IPv4
单击添加,然后执行下列步骤之一,以指定接口的静态 IP 地址和网络掩码。
对于 IPv4 地址
IP
• 以无类别域间路由 (CIDR) 格式键入条目:ip_address/mask(例如,
192.168.2.0/24(对于 IPv4)或 2001:db8::/32(对于 IPv6))。
• 选择 IP 网络掩码类型的现有地址对象。
• 单击地址链接可创建 IP 网络掩码类型的地址对象。
可以为接口输入多个 IP 地址。系统使用转发信息库 (FIB) 来确定 IP 地址的最
大数。
要删除 IP 地址,请选择地址并单击删除。
对于 IPv6 地址
在接口上启用
IPv6
隧道接口 > IPv6
选中此复选框可在此接口上启用 IPv6 寻址。
接口 ID
隧道接口 > IPv6
以十六进制格式输入 64 位扩展唯一标识符 (EUI-64)(例如,
00:26:08:FF:FE:DE:4E:29)。如果将此字段留空,则防火墙使用根据物理接
口的 MAC 地址生成的 EUI-64。如果在添加地址时启用使用接口 ID 作为主
机部分选项,则防火墙使用接口 ID 作为该地址的主机部分。
126 • Web 界面参考指南,版本 7.0
Palo Alto Networks
配置虚拟路由器
表 78. 隧道接口设置(续)
字段
配置位置
说明
地址
隧道接口 > IPv6
单击添加并为每个 IPv6 地址配置以下参数:
• 地址 — 输入 IPv6 地址和前缀长度(如 2001:400:f00::1/64)。您也可以选择
现有的 IPv6 地址对象,或单击地址链接以创建地址对象。
• 在接口上启用地址 — 选中该复选框可在接口上启用 IPv6 地址。
• 使用接口 ID 作为主机部分 — 选中该复选框可将接口 ID 用作 IPv6 地址的主
机部分。
• 任意广播 — 选中该复选框可包括通过最近节点的路由。
配置虚拟路由器
Network > 虚拟路由器
使用此页面可以定义虚拟路由器。定义虚拟路由器能让您设置第 3 层的转发规则并启用动态路
由协议。在防火墙上定义的每个第 3 层接口、回环接口和 VLAN 接口都应当与虚拟路由器关
联。每个接口只能属于一个虚拟路由器。
根据网络拓扑的要求,定义虚拟路由器时需要对路由器设置 > 常规选项卡和以下任意选项卡上
的设置进行分配配置:
• 静态路由选项卡:请参阅“配置“静态路由”选项卡”。
• 重新分发配置文件选项卡:请参阅“配置“重新分发配置文件”选项卡”。
• RIP 选项卡:请参阅“配置 RIP 选项卡”。
• OSPF 选项卡:请参阅“配置 OSPF 选项卡”。
• OSPFv3 选项卡:请参阅“配置 OSPFv3 选项卡”。
• BGP 选项卡:请参阅“配置 BGP 选项卡”。
• 多播选项卡:请参阅“配置“多播”选项卡”。
• ECMP 选项卡:请参阅“ECMP 的构建块”。
在配置好虚拟路由器的一个部分后,您可以在“Network > 虚拟路由器”页面内单击最后一列
中的更多运行时统计数据,以查看特定虚拟路由器的相关信息。
• 更多运行时统计数据链接:请参阅“有关虚拟路由器的更多运行时统计数据”。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 127
配置虚拟路由器
配置“常规”选项卡
Network > 虚拟路由器 > 路由器设置 > 常规
所有虚拟路由器配置都需要指定第 3 层接口和管理距离跃点数,如下表所述:
表 79. 虚拟路由器设置 –“常规”选项卡
字段
说明
名称
指定名称以描述虚拟路由器(最多 31 个字符)。名称区分大小写,且必须
是唯一的。仅可使用字母、数字、空格、连字符和下划线。
接口
选择要包含在虚拟路由器中的接口。选择接口后,虚拟路由器中即包括该
接口,并可使用该接口作为虚拟路由器的路由表中的传出接口。
要指定接口类型,请参阅“配置防火墙接口”。
添加接口时,会自动添加它所连接的路由。
管理距离
指定以下管理距离:
• 静态路由(10-240,默认为 10)。
• 内部 OSPF(10-240,默认为 30)。
• 外部 OSPF(10-240,默认为 110)。
• IBGP(10-240,默认为 200)。
• EBGP(10-240,默认为 20)。
• RIP(10-240,默认为 120)。
配置“静态路由”选项卡
网络 > 虚拟路由器 > 静态路由
可按需输入一个或多个静态路由。单击 IP 或 IPv6 选项卡,以使用 IPv4 或 IPv6 地址指定路
由。通常需要在此处配置默认路由 (0.0.0.0/0)。对于在虚拟路由器的路由表中以其他方式找不
到的目标应用默认路由。
表 80. 虚拟路由器设置 –“静态路由”选项卡
字段
说明
名称
输入名称以标识静态路由(最多 31 个字符)。名称区分大小写,且必须是
唯一的。仅可使用字母、数字、空格、连字符和下划线。
目标
以无类别域间路由 (CIDR) 格式输入 IP 地址和网络掩码:ip_address/mask
(例如,192.168.2.0/24(对于 IPv4)或 2001:db8::/32(对于 IPv6))。
接口
选择用来将数据包转发到目标的接口,并 / 或配置下一个跃点设置。
下一个跃点
指定以下“下一个跃点”设置:
• 无 — 如果路由没有下一个跃点,请选择此项。
• IP 地址 — 指定下一个跃点路由器的 IP 地址。
• 丢弃 — 选择是否要丢弃发往此目标的通信。
• 下一个 VR — 选择防火墙中的虚拟路由器作为下一个跃点。使用此选项,
您可以在单个防火墙内的虚拟路由器之间进行内部路由。
管理距离
128 • Web 界面参考指南,版本 7.0
指定静态路由的管理距离(10-240,默认为 10)。
Palo Alto Networks
配置虚拟路由器
表 80. 虚拟路由器设置 –“静态路由”选项卡(续)
字段
说明
跃点数
指定静态路由的有效跃点数值 (1 - 65535)。
无安装
如果不想在转发表中安装路由,请选择该项。路由保留在配置中以供将来
参考。
配置“重新分发配置文件”选项卡
网络 > 虚拟路由器 > 重新分发配置文件
重新分发配置文件指示防火墙根据需要的网络行为进行过滤、设置优先级和执行操作。路由重
新分发允许静态路由和其他协议获得的路由通过指定的路由协议进行通告。重新分发配置文件
必须应用于路由协议才能生效。如果没有重新分发规则,每个协议单独运行,且不会在其范围
之外通信。配置完所有路由协议并且建立随之而生的网络拓扑之后,可以添加或修改重新分发
配置文件。通过定义导出规则,将重新分发配置文件应用于 RIP 和 OSPF 协议。在重新分发规
则选项卡中应用再分发配置文件到 BGP。请参阅下表。
表 81. 虚拟路由器设置 –“重新分发配置文件”选项卡
字段
说明
名称
单击添加以显示重新分发配置文件页面,然后输入配置文件名称。
优先级
输入此配置文件的优先级(范围是 1-255)。配置文件是按顺序进行匹配
的(最小的数字最先)。
重新分发
选择是否根据此窗口中的设置执行路由重新分发。
• 重新分发 — 选择该项可重新分发匹配的候选路由。如果选择此选项,则
输入新的跃点数值。较低的跃点数值表示更首选的路由。
• 无重新分发 — 选择该项不会重新分发匹配的候选路由。
常规过滤器选项卡
类型
选中复选框以指定候选路由的路由类型。
接口
选择接口以指定候选路由的转发接口。
目标
要指定候选路由的目标,请输入目标 IP 地址或子网(格式为 x.x.x.x 或
x.x.x.x/n),然后单击添加。要删除条目,请单击与该条目关联的
图标。
下一个跃点
要指定候选路由的网关,请输入代表下一个跃点的 IP 地址或子网(格式为
x.x.x.x 或 x.x.x.x/n),然后单击添加。要删除条目,请单击与该条目关联
的
图标。
OSPF 过滤器选项卡
路径类型
选中复选框以指定候选 OSPF 路由的路由类型。
区域
指定候选 OSPF 路由的区域标识符。输入 OSPF 区域 ID(格式为 x.x.x.x),
并单击添加。要删除条目,请单击与该条目关联的
图标。
标记
指定 OSPF 标记值。输入标记数值 (1-255),然后单击“添加”。要删除条
目,请单击与该条目关联的
图标。
BGP 过滤器选项卡
社区
指定 BGP 路由策略的社区。
扩展的社区
指定 BGP 路由策略的扩展社区。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 129
配置虚拟路由器
配置 RIP 选项卡
网络 > 虚拟路由器 > RIP
配置路由信息协议 (RIP) 需要配置以下常规设置:
表 82. 虚拟路由器设置 – RIP 选项卡
字段
说明
启用
选中该复选框以启用 RIP 协议。
拒绝默认路由
如果不想通过 RIP 获得任何默认路由,请选中该复选框。强烈建议您选中
该复选框。
此外,还必须配置以下选项卡上的设置:
• 接口选项卡:请参阅“配置“接口”选项卡”。
• 计时器选项卡:请参阅“配置“计时器”选项卡”。
• 身份验证配置文件选项卡:请参阅“配置“身份验证配置文件”选项卡”。
• 导出规则选项卡:请参阅“配置“导出规则”选项卡”。
配置“接口”选项卡
网络 > 虚拟路由器 > RIP > 接口
下表介绍了接口选项卡的设置。
表 83.
RIP 设置 –“接口”选项卡
字段
说明
接口
接口
选择运行 RIP 协议的接口。
启用
选择该项可启用这些设置。
通告
选择该项可将默认路由通告到具有指定跃点数值的 RIP 对等端。
跃点数
指定路由器通告的跃点数值。仅当选中通告复选框时,此字段才可见。
身份验证配置文件
选择配置文件。
模式
选择正常、被动或仅发送。
配置“计时器”选项卡
网络 > 虚拟路由器 > RIP > 计时器
下表介绍了计时器选项卡的设置。
表 84. RIP 设置 –“计时器”选项卡
字段
说明
计时器
间隔(秒)
130 • Web 界面参考指南,版本 7.0
定义计时器时间间隔的长度(以秒为单位)。此持续时间用于剩余的 RIP
Timing 字段 (1 - 60)。
Palo Alto Networks
配置虚拟路由器
表 84. RIP 设置 –“计时器”选项卡(续)
字段
说明
更新间隔
输入路由更新声明之间的时间间隔数 (1 - 3600)。
到期间隔
输入自上次更新路由直至路由过期之间的时间间隔数 (1 - 3600)。
删除间隔
输入自路由过期直至路由删除之间的时间间隔数 (1 - 3600)。
配置“身份验证配置文件”选项卡
网络 > 虚拟路由器 > RIP > 身份验证配置文件
下表介绍了身份验证配置文件选项卡的设置。
表 85. RIP 设置 –“身份验证配置文件”选项卡
字段
说明
身份验证配置文件
配置文件名称
输入用于对 RIP 消息进行身份验证的身份验证配置文件的名称。要对 RIP
消息进行身份验证,请在 RIP 选项卡上先定义身份验证配置文件,然后将
它们应用于接口。
密码类型
选择密码类型(Simple 或 MD5)。
• 如果选择简单,则输入简单密码,然后确认。
• 如果选择 MD5,请输入一个或多个密码条目,包括 Key-ID (0-255)、密
钥和可选的首选状态。对于每个条目,单击添加,然后单击OK。要指定
用来对传出消息进行身份验证的密钥,请选择首选选项。
配置“导出规则”选项卡
网络 > 虚拟路由器 > RIP > 导出规则
下表介绍了导出规则选项卡的设置。
表 86. RIP 设置 –“导出规则”选项卡
字段
说明
导出规则
导出规则
(只读)显示应用于由虚拟路由器发送到接收路由器的路由的规则。
• 允许重新分发默认路由 — 选中该复选框以允许防火墙将其默认路由重新
分发到对等端。
• 重新分发配置文件 — 选择一个重新分发配置文件,以便根据所需网络行
为修改路由重新分发、过滤器、优先级和操作。请参阅“配置“重新分
发配置文件”选项卡”。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 131
配置虚拟路由器
配置 OSPF 选项卡
网络 > 虚拟路由器 > OSPF
配置开放式最短路径优先 (OSPF) 协议需要配置以下常规设置:
表 87. 虚拟路由器设置 – OSPF 选项卡
字段
说明
启用
选中该复选框以启用 OSPF 协议。
拒绝默认路由
如果不想通过 OSPF 获得任何默认路由,请选中该复选框。建议选中该复
选框,尤其是在静态路由的情况下。
路由器 ID
指定与此虚拟路由器中的 OSPF 实例关联的路由器 ID。OSPF 协议使用路
由器 ID 来对 OSPF 实例进行唯一标识。
此外,还必须配置以下选项卡上的设置:
• 区域选项卡:请参阅“配置“区域”选项卡”。
• 身份验证配置文件选项卡:请参阅“配置“身份验证配置文件”选项卡”。
• 导出规则选项卡:请参阅“配置导出规则选项卡”。
• 高级选项卡:请参阅“配置高级选项卡”。
配置“区域”选项卡
网络 > 虚拟路由器 > OSPF > 区域
下表介绍了区域选项卡的设置。
表 88. OSPF 设置 –“区域”选项卡
字段
说明
区域
区域 ID
配置可应用 OSPF 参数的区域。
以 x.x.x.x 格式输入区域的标识符。这是每个邻居必须接受才能成为同一区
域成员的标识符。
类型
选择以下某个选项。
• 正常 — 没有限制;区域可以承载所有类型的路由。
• 存根 — 区域没有出口。要访问区域外的目标,必须通过连接到其他区域
的边界。如果选择此选项,若您想要接受来自其他区域的此类型的链接
状态通告 (LSA),请选择接受摘要。并且指定是否将默认路由 LSA 随关
联的跃点数值 (1-255) 一起包含在发送到 stub 区域的通告中。如果禁用
stub 区域“区域边界路由器”(ABR) 接口中的接受摘要选项,则 OSPF
区域将相当于“完全末梢区域”(TSA),且 ABR 将不会传播任何摘要
LSA。
• NSSA(非纯末节区域)— 可以直接离开区域,但只能由 OSPF 路由除外
的其他路由进行。如果选择此选项,若您想要接受此类型的 LSA,请选
择接受摘要。选择通告默认路由以指定是否将默认路由 LSA 随关联的跃
点数值 (1-255) 一起包含在发送到 stub 区域的通告中。并且选择用于通
告默认 LSA 的路由类型。如果想要启用或禁止将通过 NSSA 获得的外部
路由通告到其他区域,请单击外部范围部分中的添加,并输入范围。
132 • Web 界面参考指南,版本 7.0
Palo Alto Networks
配置虚拟路由器
表 88. OSPF 设置 –“区域”选项卡(续)
字段
说明
范围
单击添加以将区域中的 LSA 目标地址聚合到子网中。启用或禁止通告与子
网匹配的 LSA,然后单击确定。重复该过程以添加其他范围。
接口
单击添加,并为每个要包含在区域中的接口输入以下信息,然后单击确定。
• 接口 — 选择接口。
• 启用 — 使 OSPF 接口设置生效。
• 被动 — 如果不想让 OSPF 接口发送或接收 OSPF 数据包,请选中该复选
框。如果您选择此选项,虽然不会发送或接收 OSPF 数据包,但接口仍
然包含在 LSA 数据库中。
• 链接类型 — 如果希望多播 OSPF 呼叫消息自动发现所有能够通过接口访
问的邻居(如 Ethernet 接口),请选择广播。选择 p2p(点对点)以自
动发现邻居。在必须手动定义邻居时,请选择 p2mp(点对多点)。只
有在 p2mp 模式时才可手动定义邻居。
• 跃点数 — 输入此接口的 OSPF 跃点数 (0-65535)。
• 优先级 — 输入此接口的 OSPF 优先级 (0-255)。它是根据 OSPF 协议将路
由器选为指定路由器 (DR) 或备份 DR (BDR) 的优先级。值为零时,路由
器不会被选为 DR 或 BDR。
• 身份验证配置文件 — 选择先前定义的身份验证配置文件。
• 呼叫间隔(秒)— OSPF 进程向其直接连接的邻居发送呼叫数据包的间隔。
范围:0-3600 秒。默认:10 秒。
• 间隔次数 — 在 OSPF 认为邻居关闭之前,邻居可以发生呼叫间隔的次数,
而无需 OSPF 接收邻居的呼叫数据包。呼叫间隔乘以间隔次数等于间隔
计时器的值。范围:3-20。默认:4。
• 重传间隔(秒)— OSPF 在其重传 LSA 之前等待接收邻居的链路状态通告
(LSA) 的时间长度。范围:0-3600 秒。默认:10 秒。
• 传输延迟(秒)— 在将 LSA 发送到接口之前延迟的时间长度。范围:
0-3600 秒。默认:1 秒。
• 平稳重新启动呼叫延迟(秒)— 当配置主动 / 被动高可用性时适用于 OSPF
接口。平稳重新启动呼叫延迟是防火墙以 1 秒间隔发送宽限 LSA 数据包
期间的时间长度。在此期间,不会从重新启动防火墙发送任何呼叫数据
包。在重新启动期间,间隔计时器(其值等于呼叫间隔乘以间隔次数)
也会倒计时。如果间隔计时器太短,邻居将会在平稳重新启动期间因呼
叫延迟而关闭。因此,建议将间隔计时器的值设置为至少是平稳重新启
动呼叫延迟的值的四倍。例如,呼叫间隔为 10 秒,间隔次数为 4,而间
隔计时器则为 40 秒。如果将平稳重新启动呼叫延迟设置为 10 秒,则呼
叫数据包的 10 秒延迟正好在间隔计时器的 40 秒内,因此邻居在平稳重
新启动期间将不会超时。范围:1-10 秒。默认:10 秒。
虚拟链接
配置虚拟链接设置以维护或增强骨干网区域连通性。这些设置必须为区域
边界路由器定义,且必须在骨干网区域 (0.0.0.0) 中定义。单击添加,并为
每个要包含在骨干网区域中的虚拟链接输入以下信息,然后单击确定。
• 名称 — 输入虚拟链接的名称。
• 邻居 ID — 输入虚拟链接另一端的路由器(邻居)的路由器 ID。
• 中转区域 — 输入实际包含虚拟链接的中转区域的区域 ID。
• 启用 — 选择该项可启用虚拟链接。
• 计时 — 建议保留默认计时设置。
• 身份验证配置文件 — 选择先前定义的身份验证配置文件。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 133
配置虚拟路由器
配置“身份验证配置文件”选项卡
网络 > 虚拟路由器 > OSPF > 身份验证配置文件
下表介绍了身份验证配置文件选项卡的设置。
表 89. OSPF 设置 – “身份验证配置文件”选项卡
字段
说明
身份验证配置文件
配置文件名称
输入身份验证配置文件的名称。要对 OSPF 消息进行身份验证,请在 OSPF
选项卡上先定义身份验证配置文件,然后将它们应用于接口。
密码类型
选择密码类型(Simple 或 MD5)。
• 如果选择简单,请输入密码。
• 如果选择 MD5,请输入一个或多个密码条目,包括 Key-ID (0-255)、密
钥和可选的首选状态。对于每个条目,单击添加,然后单击OK。要指定
用来对传出消息进行身份验证的密钥,请选择首选选项。
配置导出规则选项卡
网络 > 虚拟路由器 > OSPF > 导出规则
下表介绍了导出规则选项卡的设置。
表 90. OSPF 设置 –“身份验证配置文件”选项卡
字段
说明
导出规则
允许再分发默认路由
选中该复选框以允许通过 OSPF 重新分发默认路由。
名称
选择重新分发配置文件的名称。值必须是 IP 子网或有效的重新分发配置文
件的名称。
新路径类型
选择要应用的跃点数类型。
新标记
为匹配路由指定具有 32 位值的标记。
跃点数
指定要与导出的路由关联并用于路径选择的路由跃点数(可选,范围是
1-65535)。
配置高级选项卡
网络 > 虚拟路由器 > OSPF > 高级
下表介绍了高级选项卡的设置。
表 91. OSPF 设置 – 高级选项卡
字段
说明
高级
RFC 1583 兼容性
134 • Web 界面参考指南,版本 7.0
选中该复选框可确保与 RFC 1583 兼容。
Palo Alto Networks
配置虚拟路由器
表 91. OSPF 设置 – 高级选项卡(续)
字段
说明
计时器
• SPF 计算延迟(秒)— 此选项是一个延时计时器,用来调整在接收新拓
扑信息和执行 SPF 计算之间的延时。值越低启用 OSPF 重新收敛速度越
快。应通过类似方式调整与防火墙对等的路由以优化收敛时间。
• LSA 间隔(秒)— 此选项可指定同一个 LSA(相同路由器、相同类型、
相同 LSA ID)的两个实例间传输的最短时间。这等同于 RFC 2328 中的
MinLSInterval。可使用更低的值,以减少发生拓扑更改时进行重新收敛
的次数。
平稳重新启动
• 启用正常重启 — 默认情况下启用,启用此功能的防火墙会指示邻居路由
器继续使用通过防火墙的路由,同时会发生转换,汇报防火墙临时关闭。
• 启用帮助程序模式 — 默认情况下启用,启用此模式的防火墙会在相邻设
备重启时,继续转发到该设备。
• 启用严格的 LSA 检查 — 默认情况下启用,如果拓扑发生更改,此功能会
使启用 OSPF 帮助程序模式的防火墙退出帮助程序模式。
• 宽限期(秒)— 重新建立相邻设备或路由器重启时,对等设备应该继续转
发到该防火墙的时间段(以秒为单位)。范围:5 - 1800 秒。默认:120 秒。
• 最长邻近重新启动时间 — 防火墙接受的作为帮助模式路由器的最长宽限期
(以秒为单位)。如果对等设备在其宽限 LSA 中提供更长的宽限期,那
么防火墙不会进入帮助程序模式。范围:5 - 1800 秒。默认:140 秒。
配置 OSPFv3 选项卡
网络 > 虚拟路由器 > OSPFv3
配置开放式最短路径优先 v3 (OSPFv3) 协议需要配置以下常规设置:
表 92. 虚拟路由器设置 – OSPF 选项卡
字段
说明
启用
选中该复选框以启用 OSPF 协议。
拒绝默认路由
如果不想通过 OSPF 获得任何默认路由,请选中该复选框。建议选中该复
选框,尤其是在静态路由的情况下。
路由器 ID
指定与此虚拟路由器中的 OSPF 实例关联的路由器 ID。OSPF 协议使用路
由器 ID 来对 OSPF 实例进行唯一标识。
此外,还必须配置以下选项卡上的设置:
• 区域选项卡:请参阅“配置“区域”选项卡”。
• 身份验证配置文件选项卡:请参阅“配置“身份验证配置文件”选项卡”。
• 导出规则选项卡:请参阅“配置“导出规则”选项卡”。
• 高级选项卡:请参阅“配置高级选项卡”。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 135
配置虚拟路由器
配置“区域”选项卡
网络 > 虚拟路由器 > OSPFv3 > 区域
下表介绍了区域选项卡的设置。
表 93. 虚拟路由器设置 –“区域”选项卡
字段
说明
身份验证
选择要为该 OSPF 区域指定的身份验证配置文件的名称。
类型
选择以下某个选项。
• 正常 — 没有限制;区域可以承载所有类型的路由。
• 存根 — 区域没有出口。要访问区域外的目标,必须通过连接到其他区域的
边界。如果选择此选项,若您想要接受来自其他区域的此类型的链接状
态通告 (LSA),请选择接受摘要。并且指定是否将默认路由 LSA 随关联的
跃点数值 (1-255) 一起包含在发送到 stub 区域的通告中。如果禁用 stub
区域“区域边界路由器”(ABR) 接口中的接受摘要选项,则 OSPF 区域
将相当于“完全末梢区域”(TSA),且 ABR 将不会传播任何摘要 LSA。
• NSSA(非纯末节区域)— 可以直接离开区域,但只能由 OSPF 路由除外
的其他路由进行。如果选择此选项,若您想要接受此类型的 LSA,请选
择接受摘要。指定是否将默认路由 LSA 随关联的跃点数值 (1-255) 一起包
含在发送到 stub 区域的通告中。并且选择用于通告默认 LSA 的路由类
型。如果想要启用或禁止将通过 NSSA 获得的外部路由通告到其他区域,
请单击外部范围部分中的添加,并输入范围。
范围
136 • Web 界面参考指南,版本 7.0
单击添加以在区域中按照子网聚合 LSA 目标 IPv6 地址。启用或禁止通告
与子网匹配的 LSA,然后单击确定。重复该过程以添加其他范围。
Palo Alto Networks
配置虚拟路由器
表 93. 虚拟路由器设置 –“区域”选项卡(续)
字段
说明
接口
单击添加,并为每个要包含在区域中的接口输入以下信息,然后单击确定。
• 接口 — 选择接口。
• 启用 — 使 OSPF 接口设置生效。
• 实例 ID — 输入 OSPFv3 实例 ID 号。
• 被动 — 如果不想让 OSPF 接口发送或接收 OSPF 数据包,请选中该复选
框。如果您选择此选项,虽然不会发送或接收 OSPF 数据包,但接口仍
然包含在 LSA 数据库中。
• 链接类型 — 如果希望多播 OSPF 呼叫消息自动发现所有能够通过接口访问
的邻居(如 Ethernet 接口),请选择广播。选择 p2p(点对点)以自动发
现邻居。在必须手动定义邻居时,请选择 p2mp(点对多点)。只有在
p2mp 模式时才可手动定义邻居。
• 跃点数 — 输入此接口的 OSPF 跃点数 (0-65535)。
• 优先级 — 输入此接口的 OSPF 优先级 (0-255)。它是根据 OSPF 协议将路
由器选为指定路由器 (DR) 或备份 DR (BDR) 的优先级。值为零时,路由
器不会被选为 DR 或 BDR。
• 身份验证配置文件 — 选择先前定义的身份验证配置文件。
• 呼叫间隔(秒)— OSPF 进程向其直接连接的邻居发送呼叫数据包的间隔。
范围:0-3600 秒。默认:10 秒。
• 间隔次数 — 在 OSPF 认为邻居关闭之前,邻居可以发生呼叫间隔的次数,
而无需 OSPF 接收邻居的呼叫数据包。呼叫间隔乘以间隔次数等于间隔
计时器的值。范围:3-20。默认:4。
• 重传间隔(秒)— OSPF 在其重传 LSA 之前等待接收邻居的链路状态通告
(LSA) 的时间长度。范围:0-3600 秒。默认:10 秒。
• 传输延迟(秒)— 在将 LSA 发送到接口之前延迟的时间长度。范围:
0-3600 秒。默认:1 秒。
• 平稳重新启动呼叫延迟(秒)— 当配置主动 / 被动高可用性时适用于 OSPF
接口。平稳重新启动呼叫延迟是防火墙以 1 秒间隔发送宽限 LSA 数据包
期间的时间长度。在此期间,不会从重新启动防火墙发送任何呼叫数据
包。在重新启动期间,间隔计时器(其值等于呼叫间隔乘以间隔次数)
也会倒计时。如果间隔计时器太短,邻居将会在平稳重新启动期间因呼
叫延迟而关闭。因此,建议将间隔计时器的值设置为至少是平稳重新启
动呼叫延迟的值的四倍。例如,呼叫间隔为 10 秒,间隔次数为 4,而间
隔计时器则为 40 秒。如果将平稳重新启动呼叫延迟设置为 10 秒,则呼
叫数据包的 10 秒延迟正好在间隔计时器的 40 秒内,因此邻居在平稳重
新启动期间将不会超时。范围:1-10 秒。默认:10 秒。
• 邻居 — 对于 p2pmp 接口,输入可通过此接口访问的所有邻居的 IP 地址。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 137
配置虚拟路由器
表 93. 虚拟路由器设置 –“区域”选项卡(续)
字段
说明
虚拟链接
配置虚拟链接设置以维护或增强骨干网区域连通性。这些设置必须为区域
边界路由器定义,且必须在骨干网区域 (0.0.0.0) 中定义。单击添加,并为
每个要包含在骨干网区域中的虚拟链接输入以下信息,然后单击确定。
• 名称 — 输入虚拟链接的名称。
• 实例 ID — 输入 OSPFv3 实例 ID 号。
• 邻居 ID — 输入虚拟链接另一端的路由器(邻居)的路由器 ID。
• 中转区域 — 输入实际包含虚拟链接的中转区域的区域 ID。
• 启用 — 选择该项可启用虚拟链接。
• 计时 — 建议保留默认计时设置。
• 身份验证配置文件 — 选择先前定义的身份验证配置文件。
配置“身份验证配置文件”选项卡
网络 > 虚拟路由器 > OSPFv3 > 身份验证配置文件
下表介绍了身份验证配置文件选项卡的设置。
表 94. OSPFv3 设置 –“身份验证配置文件”选项卡
字段
说明
身份验证配置文件
配置文件名称
输 入 身 份验证配置文件的名称。要对 OSPF 消息进行身份验证,请在
OSPF 选项卡上先定义身份验证配置文件,然后将它们应用于接口。
SPI
指定安全参数索引 (SPI),以供数据包遍历远程防火墙到达对等端设备。
协议
指定以下任意一个协议:
• ESP — 封装式安全措施负载协议。
• AH — 身份验证头协议
加密算法
指定以下某个加密算法
• 无 — 不会使用任何加密算法。
• SHA1 — 安全散列算法 1。
• SHA256 — 安全散列算法 2。四个哈希函数的集合,具有 256 位摘要。
• SHA384 — 安全散列算法 2。四个哈希函数的集合,具有 384 位摘要。
• SHA512 — 安全散列算法 2。四个哈希函数的集合,具有 512 位摘要。
• MD5 — MD5 消息摘要算法。
密钥 / 确认密钥
输入并确认身份验证密钥。
加密
指定以下某个加密选项:
• aes-128-cbc — 应用使用 128 位加密密钥的高级加密标准 (AES)。
• aes-192-cbc — 应用使用 192 位加密密钥的高级加密标准 (AES)。
• aes-256-cbc — 应用使用 256 位加密密钥的高级加密标准 (AES)。
• null — 不加密。
如果已选择 AH 协议,则该选项不适用。
密钥 / 确认密钥
138 • Web 界面参考指南,版本 7.0
输入并确认加密密钥。
Palo Alto Networks
配置虚拟路由器
配置“导出规则”选项卡
网络 > 虚拟路由器 > OSPF > 导出规则
下表介绍了导出规则选项卡的设置。
表 95. OSPF 设置 –“身份验证配置文件”选项卡
字段
说明
导出规则
允许再分发默认路由
选中该复选框以允许通过 OSPF 重新分发默认路由。
名称
选择重新分发配置文件的名称。值必须是 IP 子网或有效的重新分发配置文
件的名称。
新路径类型
选择要应用的跃点数类型。
新标记
为匹配路由指定具有 32 位值的标记。
跃点数
指定要与导出的路由关联并用于路径选择的路由跃点数(可选,范围是
1-65535)。
配置高级选项卡
网络 > 虚拟路由器 > OSPF > 高级
下表介绍了高级选项卡的设置。
表 96. OSPF 设置 – 高级选项卡
字段
说明
高级
禁用 SRF 计算的转接路由
如果要在路由器 LSA 中设置从该设备发送的 R 位,以表示路由器处于不
活动状态,则选中此复选框。处于此状态时,设备会参与 OSPFv3,但是
其他路由器不会发送转接通信。在此状态中,仍然会将本地通信转发到设
备。使用双宿网络执行维护时,这非常有用,因为可以在设备周围重新路
由通信,同时仍然可以对其进行访问。
计时器
• SPF 计算延迟(秒)— 此选项是一个延时计时器,用来调整在接收新拓
扑信息和执行 SPF 计算之间的延时。值越低启用 OSPF 重新收敛速度越
快。应通过类似方式调整与防火墙对等的路由以优化收敛时间。
• LSA 间隔(秒)— 此选项可指定同一个 LSA(相同路由器、相同类型、
相同 LSA ID)的两个实例间传输的最短时间。这等同于 RFC 2328 中的
MinLSInterval。可使用更低的值,以减少发生拓扑更改时进行重新收敛
的次数。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 139
配置虚拟路由器
表 96. OSPF 设置 – 高级选项卡(续)
字段
说明
平稳重新启动
• 启用正常重启 — 默认情况下启用,启用此功能的防火墙会指示邻居路由
器继续使用通过防火墙的路由,同时会发生转换,汇报防火墙临时关闭。
• 启用帮助程序模式 — 默认情况下启用,启用此模式的防火墙会在相邻设
备重启时,继续转发到该设备。
• 启用严格的 LSA 检查 — 默认情况下启用,如果拓扑发生更改,此功能会
使启用 OSPF 帮助程序模式的防火墙退出帮助程序模式。
• 宽限期(秒)— 重新建立相邻设备或路由器重启时,对等设备应该继续转
发到该防火墙的时间段(以秒为单位)。范围:5 - 1800 秒。默认:120 秒。
• 最长邻近重新启动时间 — 防火墙接受的作为帮助模式路由器的最长宽限
期(以秒为单位)。如果对等设备在其宽限 LSA 中提供更长的宽限期,
那么防火墙不会进入帮助程序模式。范围:5 - 1800 秒。默认:140 秒。
配置 BGP 选项卡
网络 > 虚拟路由器 > BGP
配置边界网关协议 (BGP) 协议需要配置以下设置:
表 97. 虚拟路由器设置 – BGP 选项卡
字段
说明
启用
选中该复选框以启用 BGP。
路由器 ID
输入要分配给虚拟路由器的 IP 地址。
AS 编号
根据路由器 ID,输入虚拟路由器所属的 AS 的编号(范围是 1-4294967295)。
此外,还必须配置以下选项卡上的设置:
• 常规选项卡:请参阅“配置“常规”选项卡”。
• 高级选项卡:请参阅“配置高级选项卡”。
• 对等组选项卡:请参阅“配置“对端组”选项卡”。
• 导入选项卡:请参阅“配置“导入”和“导出”选项卡”。
• 导出选项卡:请参阅“配置“导入”和“导出”选项卡”。
• 有条件通告选项卡:请参阅“配置“有条件通告”选项卡”。
• 聚合选项卡:请参阅“配置“有条件通告”选项卡”。
• 重新分发规则选项卡:请参阅“配置“重新分发规则”选项卡”。
140 • Web 界面参考指南,版本 7.0
Palo Alto Networks
配置虚拟路由器
配置“常规”选项卡
网络 > 虚拟路由器 > BGP > 常规
下表介绍了常规选项卡的设置。
表 98. BGP 设置 –“常规”选项卡
字段
说明
“常规”选项卡
拒绝默认路由
选中该复选框以忽略由 BGP 对等端通告的任何默认路由。
安装路由
选中该复选框以在全局路由表中安装 BGP 路由。
聚合 MED
选择该项以启用路由聚合,即使路由有不同的多出口鉴别 (MED) 值也如此。
默认本地首选项
指定一个值,可使用该值在不同路径之间确定首选路径。
AS 格式
选择 2 字节(默认)或 4 字节格式。可配置此设置以便于互操作。
始终比较 MED
允许对源自不同自治系统中的邻居的路径进行 MED 比较。
确定性 MED 比较
允许 MED 比较过程中在 IBGP 对等端(同一自治系统中的 BGP 对等端)
通告的路由之间进行选择。
身份验证配置文件
单击添加以包括新身份验证配置文件,并配置以下设置:
• 配置文件名称 — 输入名称以标识配置文件。
• 密钥 / 确认密钥 — 输入并确认用于 BGP 对等通信的口令。
单击
图标可删除配置文件。
配置高级选项卡
网络 > 虚拟路由器 > BGP > 高级
下表介绍了高级选项卡的设置:
表 99. BGP 设置 – 高级选项卡
字段
说明
高级选项卡
平稳重新启动
激活平稳重启选项。
• 失效路由时间 — 指定路由可以在已失效状态中停留的时间长度(范围是
1-3600 秒,默认为 120 秒)。
• 本地重新启动时间 — 指定本地设备重新启动所花费的时间长度。该值将
被通告到对等端(范围是 1-3600 秒,默认为 120 秒)。
• 最长对等重新启动时间 — 指定本地设备接受的作为对等设备平稳重启时
间的最长时间(范围是 1-3600 秒,默认为 120 秒)。
反射器集群 ID
指定代表反射器集群的 IPv4 标识符。
联合成员 AS
指定标识符,以让 AS 联合作为单个 AS 显示给外部 BGP 对等端。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 141
配置虚拟路由器
表 99. BGP 设置 – 高级选项卡(续)
字段
说明
抑制配置文件
设置包括:
• 配置文件名称 — 输入名称以标识配置文件。
• 启用 — 激活配置文件。
• 截断 — 指定路由收回阈值,高于该值的路由通告将会被禁止(范围是
0.0-1000.0,默认为 1.25)。
• 重用 — 指定路由收回阈值,低于该值的被禁止路由将会再次使用(范围
是 0.0-1000.0,默认为 5)。
• 最长保持时间 — 指定路由可被禁止的最长时间,而不论其如何不稳定(范
围是 0-3600 秒,默认为 900 秒)。
• 可到达半衰期 — 指定一段时间的长度,超过该时间后,如果认为路由可访
问,则路由的稳定性跃点数将会减半(范围是 0-3600 秒,默认为 300 秒)。
• 无法到达半衰期 — 指定一段时间的长度,超过该时间后,如果认为路由
不可访问,则路由的稳定性跃点数将会减半(范围是 0-3600 秒,默认为
300 秒)。
单击
图标可删除配置文件。
配置“对端组”选项卡
网络 > 虚拟路由器 > BGP > 对等组
下表介绍了对等组选项卡的设置:
表 100. BGP 设置 –“对端组”选项卡
字段
说明
“对端组”选项卡
名称
输入名称以标识对等端。
启用
选择该项可激活对等端。
聚合 Confed AS 路径
选中该复选框将包括所配置的聚合联合 AS 的路径。
使用存储的信息执行软
重置
选中该复选框将在更新对等端设置后对防火墙执行软重置。
类型
指定对等端或组的类型并配置关联设置(参阅下表中对“导入下一个跃点”
和“导出下一个跃点”的描述)。
• IBGP — 指定以下各项;
– 导出下一个跃点
• EBGP Confed — 指定以下各项;
– 导出下一个跃点
• IBGP Confed — 指定以下各项;
– 导出下一个跃点
• EBGP — 指定以下各项;
– 导入下一个跃点
– 导出下一个跃点
– 删除专用 AS(如果想强制 BGP 删除专用 AS 编号,请选择此项)。
142 • Web 界面参考指南,版本 7.0
Palo Alto Networks
配置虚拟路由器
表 100. BGP 设置 –“对端组”选项卡(续)
字段
说明
导入下一个跃点
选择用于导入下一个跃点的选项:
• 原始 — 使用原始路由通告中提供的 Next Hop 地址。
• 使用对等 — 使用对等端的 IP 地址作为 Next Hop 地址。
导出下一个跃点
选择用于导出下一个跃点的选项:
• 解析 — 使用本地转发表解析 Next Hop 地址。
• 使用自身 — 用此路由器的 IP 地址替换 Next Hop 地址以确保它出现在转
发路径中。
对等
要添加新对等端,请单击新建,并配置以下设置:
• 名称 — 输入名称以标识对等端。
• 启用 — 选择该项可激活对等端。
• 对等 AS — 指定对等端的 AS。
• 本地地址 — 选择防火墙接口和本地 IP 地址。
• 连接选项 — 指定以下选项:
– 身份验证配置文件 — 选择配置文件。
– 保持活动状态间隔 — 指定一个时间间隔,在该时间间隔之后将根据保持
时间设置禁止来自对等端的路由(范围为 0-1200 秒,默认为 30 秒)。
– 多个跃点 — 设置 IP 标头中的生存时间 (TTL) 值(范围为 1-255,默认
为 0)。默认值 0 对于 eBGP 表示 2,对于 iBGP 表示 255。
– 打开延迟时间 — 指定在打开对等 TCP 连接和发送第一个 BGP 打开消
息之间的延迟时间(范围为 0-240 秒,默认为 0 秒)。
– 保持时间 — 指定在关闭对等连接之前,从对等端发出连续的
KEEPALIVE 或 UPDATE 消息之间所经历的时间。(范围为 3-3600 秒,
默认值为 90 秒)。
– 空闲保持时间 — 指定在重试与对等端连接之前在空闲状态中等待的时
间(范围为 1-3600 秒,默认为 15 秒)。
• 对等地址 — 指定对等端的 IP 地址和端口。
• 高级选项 — 配置以下设置:
– 反射器客户端 — 选择反射器客户端的类型(非客户端、客户端或网状
客户端)。从反射器客户端接收的路由将会与所有内部和外部 BGP 对
等端共享。
– 对等类型 — 指定双边对等端,或不指定。
– 最大前缀数 — 指定受支持的 IP 前缀的最大数目(1 - 100000 或无限制)。
• 传入连接 / 传出连接 — 指定传入和传出端口号,并选中 Allow 复选框以
允许通信进出这些端口。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 143
配置虚拟路由器
配置“导入”和“导出”选项卡
网络 > 虚拟路由器 > BGP > 导入
网络 > 虚拟路由器 > BGP > 导出
下表介绍了导入和导出选项卡的设置:
表 101. BGP 设置 –“导入”和“导出”选项卡
字段
说明
导入规则 / 导出规则
选项卡
导入规则 / 导出规则
单击 BGP 导入规则或导出规则子选项卡。要添加新规则,请单击添加,然
后配置以下设置。
• 常规子选项卡:
– 名称 — 指定名称以标识规则。
– 启用 — 选择该项可激活规则。
– Used by — 选择将使用此规则的对等端组。
• 匹配子选项卡:
– AS 路径正则表达式 — 指定用于过滤 AS 路径的正则表达式。
– 社区正则表达式 — 指定用于过滤社区字符串的正则表达式。
– 扩展社区正则表达式 — 指定用于过滤扩展社区字符串的正则表达式。
– 地址前缀 — 指定用于路由过滤的 IP 地址或前缀。
– MED — 指定用于路由过滤的 MED 值。
– 下一个跃点 — 指定用于路由过滤的下一个跃点路由器或子网。
– 从对等 — 指定用于路由过滤的对等路由器。
• 操作子选项卡:
– 操作 — 指定在符合匹配条件时要执行的操作(允许或拒绝)。
– 本地首选项 — 指定本地首选项跃点数(仅当操作是允许时)。
– MED — 指定 MED 值 (0- 65535)(仅当操作是允许时)。
– 权重 — 指定权重值(仅当操作是允许时)(0- 65535)。
– 下一个跃点 — 指定下一个跃点路由器(仅当操作是允许时)。
– 来源 — 指定原始路由的路径类型:IGP、EGP 或 incomplete(仅当操
作是允许时)。
– AS 路径限制 — 指定 AS 路径限制(仅当操作是允许时)。
– AS 路径 — 指定 AS 路径:无、删除、预先设置和删除并预先设置(仅
当操作是允许时)。
– 社区 — 指定社区选项:无、删除全部、删除正则表达式、追加或覆盖
(仅当操作是允许时)。
– 扩展社区 — 指定社区选项:无、删除全部、删除正则表达式、追加或
覆盖(仅当操作是允许时)。
– 抑制 — 指定惩罚参数(仅当操作是允许时)。
单击
图标可删除组。单击克隆以添加与选定组具有相同设置的新组。
新组名称后将会添加一个后缀,用以与原始组区分。
144 • Web 界面参考指南,版本 7.0
Palo Alto Networks
配置虚拟路由器
配置“有条件通告”选项卡
网络 > 虚拟路由器 > BGP > 有条件通告
下表介绍了有条件通告选项卡的设置:
表 102. BGP 设置 –“有条件通告”选项卡
字段
说明
有条件通告选项卡
通过 BGP 条件通告功能,可以控制当在本地 BGP 路由表 (LocRIB) 中有个别
路由不可用时,由哪个路由发出通告,以指示对等操作或可访问性问题。在
尝试或强制通过一个 AS 路由到另一个 AS 的情况下,例如,通过多个 ISP
链接到 Internet 且希望将通信路由到某个提供商而非另一个(除非与预先选
定的提供商断开连接),此功能特别有用。使用条件通告,可以配置一个与
首选路由前缀匹配的非现有过滤器。如果在本地 BGP 路由表中未找到与非
现有过滤器匹配的任何路由,则设备允许通告其通告过滤器中指定的替代路
由(到其他非首选提供商的路由)。要配置条件通告,请选择条件通告选项
卡,然后单击添加。以下内容介绍了如何在此字段中配置此值。
策略
为此条件通告规则指定策略名称。
启用
选中该复选框以启用 BGP 条件通告。
使用者
单击添加,然后选择将使用此条件通告策略的对等端组。
非现有过滤器子选项卡
使用此选项卡指定首选路由的前缀。这可指定要通告的路由(如果此路由
在本地 BGP 路由表中可用)。如果要通告的前缀与非现有过滤器匹配,则
通告将被禁止。
单击添加创建非现有过滤器。
• 非现有过滤器 — 指定一个用于标识此过滤器的名称。
• 启用 — 选择该项可激活此过滤器。
• AS 路径正则表达式 — 指定用于过滤 AS 路径的正则表达式。
• 社区正则表达式 — 指定用于过滤社区字符串的正则表达式。
• 扩展社区正则表达式 — 指定用于过滤扩展社区字符串的正则表达式。
• MED — 指定用于路由过滤的 MED 值。
• 地址前缀 — 单击添加,然后为首选路由指定准确的 NLRI 前缀。
• 下一个跃点 — 指定用于路由过滤的下一个跃点路由器或子网。
• 从对等 — 指定用于路由过滤的对等路由器。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 145
配置虚拟路由器
表 102. BGP 设置 –“有条件通告”选项卡(续)
字段
说明
通告过滤器子选项卡
使用此选项卡指定本地 RIB 路由表中的路由前缀(当非现有过滤器中的路
由在本地路由表中不可用时,应通告此前缀)。
如果要通告的前缀与非现有过滤器不匹配,将发生通告。
单击添加创建通告过滤器。
• 通告过滤器 — 指定一个用于标识此过滤器的名称。
• 启用 — 选择该项可激活此过滤器。
• AS 路径正则表达式 — 指定用于过滤 AS 路径的正则表达式。
• 社区正则表达式 — 指定用于过滤社区字符串的正则表达式。
• 扩展社区正则表达式 — 指定用于过滤扩展社区字符串的正则表达式。
• MED — 指定用于路由过滤的 MED 值。
• 地址前缀 — 单击添加,然后为要通告的路由(如果首选路由不可用)指
定准确 NLRI 前缀。
• 下一个跃点 — 指定用于路由过滤的下一个跃点路由器或子网。
• 从对等 — 指定用于路由过滤的对等路由器。
配置聚合选项卡
网络 > 虚拟路由器 > BGP > 聚合
下表介绍了聚合选项卡的设置:
表 103. BGP 设置 –“聚合”选项卡
字段
说明
聚合选项卡
名称
输入聚合配置的名称。
禁止过滤器
定义用于禁止相匹配的路由的属性。
通告过滤器
定义通告过滤器的属性,这可确保将与所定义的过滤器相匹配的任何路由
器通告到对端。
聚合路由属性
定义用于匹配将要聚合的路由的属性。
146 • Web 界面参考指南,版本 7.0
Palo Alto Networks
配置虚拟路由器
配置“重新分发规则”选项卡
网络 > 虚拟路由器 > BGP > 重新分发规则
下表介绍了重新分发规则选项卡的设置:
表 104. BGP 设置 – 重新分发规则
字段
说明
Redist Rules 选项卡
名称
选择重新分发配置文件的名称。
允许再分发默认路由
选中该复选框以允许防火墙将其默认路由重新分发到 BGP 对等端。
重新分发规则
要添加新规则,请单击添加,配置设置,然后单击完成。在上面关于导入
规则和导出规则选项卡的该表中描述了这些参数。
单击
图标可删除规则。
配置“多播”选项卡
网络 > 虚拟路由器 > 多播
配置多播协议需要配置以下标准设置:
表 105. 虚拟路由器设置 –“多播”选项卡
字段
说明
启用
选中该复选框将启用多播路由。
此外,还必须配置以下选项卡上的设置:
• 集合点选项卡:请参阅“配置“集合点”选项卡”。
• 接口选项卡:请参阅“配置“接口”选项卡”。
• SPT 阈值选项卡:请参阅“配置“SPT 阈值”选项卡”。
• 特定源地址空间选项卡:请参阅“配置“特定源地址”选项卡”。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 147
配置虚拟路由器
配置“集合点”选项卡
网络 > 虚拟路由器 > 多播 > 集合点
下表介绍了集合点选项卡的设置:
表 106. 多播设置 –“集合点”选项卡
字段
说明
集合点子选项卡
RP 类型
选择此虚拟路由器上将运行的集合点 (RP) 的类型。必须在其他 PIM 路由
器上显式配置静态 RP,但自动选择候选 RP。
• 无 — 如果没有 RP 在此虚拟路由器上运行,则选择此项。
• 静态 — 为 RP 指定静态 IP 地址,然后从下拉列表中选择 RP 接口和 RP
地址的选项。如果要使用指定的 RP 而非为此组选择的 RP,则选中替代
相同的已获知的 RP 复选框。
• 待选 — 为在此虚拟路由器上运行的候选 RP 指定以下信息。
– RP 接口 — 选择 RP 的接口。有效的接口类型包括回环、L3、VLAN、
聚合以太网和隧道。
– RP 地址 — 选择 RP 的 IP 地址。
– 优先级 — 指定候选 RP 消息的优先级(默认为 192)。
– 通告间隔 — 指定通告候选 RP 消息之间的时间间隔。
• 组列表 — 如果选择静态或待选,则单击添加可指定建议将此候选 RP 作为
其 RP 的组的列表。
远程集合点
单击添加,并指定以下项:
• IP 地址 — 指定 RP 的 IP 地址。
• 替代相同的已获知的 RP — 选中该复选框将使用指定的 RP 而非为此组选
择的 RP。
• 组 — 指定所指定地址将充当其 RP 的组的列表。
配置“接口”选项卡
网络 > 虚拟路由器 > 多播 > 接口
下表介绍了接口选项卡的设置:
表 107. 多播设置 –“接口”选项卡
字段
说明
接口子选项卡
名称
输入名称以标识接口组。
说明
输入可选说明。
接口
单击添加以指定一个或多个防火墙接口。
组权限
指定多播通信的一般规则:
• 任何源 — 单击添加以指定对其允许 PIM-SM 通信的多播组的列表。
• 源特定 — 单击添加以指定对其允许 PIM-SSM 通信的多播组和多播源对
的列表。
148 • Web 界面参考指南,版本 7.0
Palo Alto Networks
配置虚拟路由器
表 107. 多播设置 –“接口”选项卡(续)
字段
说明
IGMP
指定 IGMP 通信的规则。对于面向主机一侧的接口(IGMP 路由器)或
IGMP 代理主机接口,必须启用 IGMP。
• 启用 — 选中该复选框将启用 IGMP 配置。
• IGMP 版本 — 选择在接口上运行版本 1、2 或 3。
• 强制路由器 - 警报 IP 选项 — 谈到 IGMPv2 或 IGMPv3 时,选中该复选框
将需要 router-alert IP 选项。要与 IGMPv1 兼容,必须禁用此选项。
• 稳定 — 选择一个整数值以表示网络上的丢包情况(范围是 1-7,默认为
2)。如果经常丢包,则选择较高的值。
• 最大源数 — 指定此接口上允许的最大源特定成员身份数量(0 = 无限)。
• 最大组数 — 指定此接口上允许的最大组数。
• 查询配置 — 指定以下各项:
– 查询间隔 — 指定向所有主机发送常规查询的时间间隔。
– 最长查询响应时间 — 指定主机中常规查询与响应之间的最长时间。
– 最后一个成员查询间隔 — 指定组或源特定查询消息(包括为响应离组
消息而发送的消息)之间的时间间隔。
– 立即离开 — 选中该复选框可在收到离开消息后立即离开组。
PIM 配置
指定以下 Protocol Independent Multicast (PIM) 设置:
• 启用 — 选中该复选框将允许此接口接收和 / 或转发 PIM 消息。
• 断言间隔 — 指定 PIM 声明消息之间的时间间隔。
• 呼叫间隔 — 指定 PIM 呼叫消息之间的时间间隔。
• 加入修剪间隔 — 指定 PIM 加入和修剪消息之间的时间间隔(秒)。默
认为 60。
• DR 优先级 — 指定此接口的指派路由器优先级。
• BSR 边界 — 选中该复选框将使用接口作为自举路由器。
• PIM 邻居 — 单击添加以指定将使用 PIM 与之通信的邻居的列表。
配置“SPT 阈值”选项卡
网络 > 虚拟路由器 > 多播 > SPT 阈值
下表介绍了 SPT 阈值选项卡的设置:
表 108. 多播设置 –“SPT 阈值”选项卡
字段
说明
SPT 阈值子选项卡
名称
最短路径树 (SPT) 阈值定义多播路由将从共享树分发(来自集合点)切换
到源树分发时的吞吐率(以 kbps 计)。
单击添加以指定以下 SPT 设置:
• 多播组前缀 — 指定当吞吐率达到所需阈值 (kbps) 时其 SPT 将切换到源
树分发的多播 IP 地址 / 前缀。
• 阈值 — 指定将从共享树分发切换到源树分发时的吞吐率。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 149
配置虚拟路由器
配置“特定源地址”选项卡
网络 > 虚拟路由器 > 多播 > 特定源地址空间
下表介绍了特定源地址空间选项卡的设置:
表 109. 多播设置 –“特定源地址空间”选项卡
字段
说明
特定源地址空间子选
项卡
名称
定义防火墙将为其提供源特定多播 (SSM) 服务的多播组。
单击添加以指定源特定地址的以下设置:
• 名称 — 输入名称以标识此组设置。
• 组 — 指定 SSM 地址空间的组。
• 包括 — 选中此复选框将在 SSM 地址空间中包括指定的组。
定义安全区域
网络 > 区域
为了使防火墙接口能够处理通信,必须将它分配到安全区域。要定义安全区域,请单击新建,
并指定以下信息:
表 110. 安全区域设置
字段
说明
名称
输入区域名称(最多 15 个字符)。定义安全策略和配置接口时,此名称
出现在区域列表中。名称区分大小写,且必须是唯一的。仅可使用字母、
数字、空格、连字符、句点和下划线。
位置
此字段只有在设备支持多个虚拟系统 (vsys) 和已启用该功能时才可出现。
选择应用于此区域的虚拟系统。
类型
选择区域类型(第 2 层、第 3 层、Virtual Wire、点击或外部虚拟系统)以
列出未被分配到区域的该类型的所有接口。第 2 层和第 3 层区域类型列出
该类型的所有 Ethernet 接口和子接口。外部虚拟系统类型用于防火墙中虚
拟系统之间的通信。
在一个虚拟系统中,每个接口可属于一个区域。
区域保护配置文件
选择配置文件,以指定安全网关如何响应来自此区域的攻击。要添加新配
置文件,请参阅“定义区域保护配置文件”。
日志设置
选择日志转发配置文件,用于将区域保护日志转发到外部系统。
如果您拥有名为 default 的日志转发配置文件,则在定义新安全区域时会
自动为此字段选择该配置文件。您可以在设置新安全区域时通过继续选择
不同的日志转发配置文件随时覆盖此默认设置。要定义或添加新日志转发
配置文件(并将该配置文件命名为 default 以便自动填充此字段),可单
击新建(参阅“日志转发”)。
150 • Web 界面参考指南,版本 7.0
Palo Alto Networks
配置虚拟路由器
表 110. 安全区域设置(续)
字段
说明
启用用户标识
如果已将 User-ID 配置为执行 IP 地址到用户名的映射(发现),请选中
该复选框,以将映射信息应用于该区域中的通信。如果清除该复选框,则
防火墙日志、报告和策略会将用户映射排除在外。
默认情况下,如果选中该复选框,则防火墙会将用户映射信息应用于该区
域中所有子网络的通信。要将信息限制于该区域中的特定子网络,请使用
包括列表和排除列表。
请注意,仅当该区域落在 User-ID 所监控的网络范围内时,User-ID 才会
针对该区域执行发现操作。如果该区域不在此范围内,那么即使选中启用
用户标识复选框,防火墙也不会将用户映射信息应用于该区域。要定义监
控范围,请参阅《PAN-OS 管理员指南》。
用户标识 ACL
包括列表
默认情况下,如果未在该列表中指定子网络,则防火墙会将其发现的用户
映射信息应用于该区域的所有通信,以便用于日志、报告和策略。要将用
户映射信息的应用限值于该区域内的特定子网络,请针对各个子网络单击
添加并选择地址(或地址组)对象或输入 IP 地址范围(例如,10.1.1.1/
24)。所有其他子网络都会被隐式排除:无需将其添加到排除列表中。将
条目添加到排除列表中只会为包括列表中的子网络子集排除用户映射信
息。例如,如果将 10.0.0.0/8 添加到包括列表中并将 10.2.50.0/22 添加到
排除列表中,则防火墙会为 10.0.0.0/8 种除 10.2.50.0/22 以外的所有区域
子网络包括用户映射信息,并会为不在 10.0.0.0/8 中的所有区域子网络排
除信息。请注意,您只能将落在 User-ID 所监控的网络范围内的子网络包
括进来。要定义监控范围,请参阅《PAN-OS 管理员指南》。
用户标识 ACL
排除列表
要为包括列表中的子网络子集排除用户映射信息,请针对要排除的各个子
网络单击添加并选择地址(或地址组)对象或输入 IP 地址范围。
如果将条目添加到排除列表中,但不添加到包括列表中,则防火墙
会为该区域中的所有子网络(不只是所添加的子网络)排除用户映
射信息。
ECMP 的构建块
Network > 虚拟路由器 > 路由器设置 > ECMP
等成本多路径 (ECMP) 处理是一个网络功能,它能让防火墙最多使用至同一目标的四条等成本
路由。不使用此功能时,如果至同一目标存在多条等成本路由,那么虚拟路由器会从路由表中
选择其中的一条路由,并将该路由添加到其转发表中;它不会使用任何其他路由,除非所选路
由中断。在虚拟路由器上启用 ECMP 功能后,对于一个目标,防火墙在其转发表中最多能有四
条等成本路径,这使得防火墙能够:
• 通过多个等成本链路将平衡流(会话)加载到同一目标。
• 充分利用链路上至同一目标的可用带宽,不会让某些链路处于未使用状态。
• 如果某个链路出现故障,通信会动态转移到至同一目标的另一个 ECMP 成员上,而不必等
待路由协议或 RIB 表选定替代路径。这有助于缩短链路出现故障时的中断时间。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 151
配置虚拟路由器
ECMP 负载平衡为会话级操作,而非数据包级操作。这意味着,防火墙会在新会话开始时选择
等成本路径,而不是在每次收到数据包时选择。
注:启用、禁用或更改 ECMP 功能后需要重新启动防火墙,这可能会导致会话终止。
要为虚拟路由器配置 ECMP,请选择一个虚拟路由器,然后针对路由器设置选择 ECMP 选项
卡并配置以下各项:
表 111 ECMP
字段
说明
单击启用可启用 ECMP。
启用、禁用或更改 ECMP 后需要重新启动防火墙,这可能会导致会话
终止。
启用
对称返回
(可选)单击对称返回复选框可使返回数据包从关联 ingress 数据包抵达时所
通过的同一接口离开。也就是说,防火墙将使用 ingress 接口来发送返回数据
包,而不是使用 ECMP 接口,所以 对称返回 设置优先于负载平衡。该行为仅
适用于从服务器到客户端的通信流。
最大路径
选择可从 RIB 复制到 FIB 的至目标网络的最大等成本路径数(2、3 或 4)。默
认:2。
选择以下任一 ECMP 负载平衡算法以用于虚拟路由器。ECMP 负载平衡为会话
级操作,而非数据包级操作。这意味着,防火墙 (ECMP) 会在新会话开始时选
择等成本路径,而不是在每次收到数据包时选择。
• IP 模 — 默认情况下,虚拟路由器负载会使用该选项来平衡会话,它会使用数
据包标头中的源和目标 IP 地址的散列来确定要使用的 ECMP 路由。
方法
• IP 散列 —(可选)单击使用源 / 目标端口以将端口纳入散列计算,源和目标
IP 地址除外。还可以输入散列种子值(整数),以进一步实现负载平衡的随
机化。
• 加权循环调度 — 使用此算法可将不同链路容量和速度纳入考虑范围。选择此
算法后,“接口”窗口即会打开。请单击添加,然后选择要纳入加权循环调
度组的接口。针对各个接口,输入要用于该接口的权重。权重默认为 100,范
围为 1-255。特定等成本路径的权重越高,该等成本路径将越常被选中用于新
会话。应为快速链路指定高于慢速链路的权重,以使更多的 ECMP 通信使用
快速链路。再次单击添加可添加另一接口和权重。
• 平衡循环调度 — 将传入 ECMP 会话平均分布到各个链路上。
有关虚拟路由器的更多运行时统计数据
单击虚拟路由器所在行上的更多运行时统计数据链接可打开一个显示该虚拟路由器相关信息的
窗口。该窗口会显示以下选项卡:
• 路由选项卡:请参阅““路由”选项卡”。
• RIP 选项卡:请参阅“RIP 选项卡”。
• BGP 选项卡:请参阅“BGP 选项卡”。
• 多播选项卡:请参阅““多播”选项卡”。
152 • Web 界面参考指南,版本 7.0
Palo Alto Networks
配置虚拟路由器
“路由”选项卡
下表将介绍虚拟路由器的路由运行时统计数据。
表 112 路由运行时统计数据
字段
说明
目标
虚拟路由器可访问的网络的 IPv4 地址和网络掩码或 IPv6 地址和前缀长度。
下一个跃点
至目标网络的下一个跃点上的设备的 IP 地址。如果下一个跃点为 0.0.0.0,即是
指默认路由。
跃点数
路由的跃点数。
标记
• A B — 处于活动状态,且通过 BGP 获得。
• A C — 处于活动状态,且是根据某个内部接口(已连接)得出的结果 目标 = 网络。
• A H — 处于活动状态,且是根据某个内部接口(已连接)得出的结果 目标 = 仅主机。
• A R — 处于活动状态,且通过 RIP 获得。
• A S — 处于活动状态,且为静态。
• S — 处于非活动状态(因为该路由的跃点数较大),且为静态。
• O1 — OSPF 外部类型 1。
• O2 — OSPF 外部类型 2。
• Oi — OSPF 区域内。
• Oo — OSPF 区域间。
年龄
路由表中的路由条目的年龄。静态路由没有年龄。
接口
将用于访问下一个跃点的虚拟路由器的 egress 接口。
RIP 选项卡
下表将介绍虚拟路由器的 RIP 运行时统计数据。
表 113 RIP 运行时统计数据
字段
说明
“摘要”子选项卡
间隔(秒)
间隔的秒数;该值会影响更新、到期和删除间隔。
更新间隔
虚拟路由器发送到对端的 RIP 路由通告更新之间相隔的间隔数。
到期间隔
虚拟路由器从对端接收到上一个更新之后所经历的间隔数,在间隔数达到该
值后,虚拟路由器会将来自对端的路由标记为不可使用。
删除间隔
路由被标记为不可用之后所经历的间隔数,如果在间隔数达到该值后仍未收
到任何更新,则会从路由表中删除该路由。
“接口”子选项卡
地址
虚拟路由器上启用了 RIP 的接口的 IP 地址。
身份验证类型
身份验证的类型:简单密码、MD5 或无。
允许发送
选中标记表示允许该接口发送 RIP 数据包。
允许接收
选中标记表示允许该接口接收 RIP 数据包。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 153
配置虚拟路由器
表 113 RIP 运行时统计数据(续)
字段
说明
通告默认路由
选中标记表示 RIP 将向其对端通告其默认路由。
默认路由跃点数
分配给默认路由的跃点数(跃点计数)。跃点数值越小,其在路由表中被选
为首选路径的优先级就越高。
密钥 ID
用于对端的身份验证密钥。
首选
身份验证的首选密钥。
“对端”子选项卡
对等地址
虚拟路由器 RIP 接口的对端的 IP 地址。
最后更新
从该对端收到上一个更新时的日期和时间。
RIP 版本
对端正在运行的 RIP 版本。
数据包无效
从该对端收到无效数据包的计数。有关防火墙无法解析 RIP 数据包的可能原
因:超过路由边界 x 个字节,数据包中的路由过多,子网有问题,地址非
法,身份验证失败,或是内存不足。
路由无效
从该对端收到无效路由的计数。可能的原因:路由无效,导入失败,或是内
存不足。
BGP 选项卡
下表将介绍虚拟路由器的 BGP 运行时统计数据。
表 114 BGP 运行时统计数据
字段
说明
“摘要”子选项卡
路由器 ID
分配给 BGP 实例的路由器 ID。
拒绝默认路由
指明“拒绝默认路由”选项是否已配置,该选项会使 VR 忽略 BGP 对端通告
的任何默认路由。
重新分发默认路由
指明“允许重新分发默认路由”选项是否已配置。
安装路由
指明“安装路由”选项是否已配置,该选项会使 VR 安装全局路由表中的 BGP
路由。
平稳重新启动
指明“平稳重新启动”是否已启用(支持)。
AS 大小
指明所选的 AS 格式大小是 2 个字节还是 4 个字节。
本地 AS
VR 从属的 AS 的编号。
本地成员 AS
本地成员 AS 的编号(仅当 VR 在某个联合内时才有效)。如果 VR 不在任何
联合内,此字段为 0。
集群 ID
显示已配置的反射器群集 ID。
默认本地首选项
显示已为 VR 配置的默认本地首选项。
始终比较 MED
指明“始终比较 MED”选项是否已配置,该选项会启用比较,以便在源自
不同自治系统中邻居的路由之间进行选择。
聚合(不管 MED)
指明“聚合 MED”选项是否已配置,该选项会启用路由聚合,即使路由的
MED 值不同。
154 • Web 界面参考指南,版本 7.0
Palo Alto Networks
配置虚拟路由器
表 114 BGP 运行时统计数据(续)
字段
说明
确定性 MED 处理
指明“确定性 MED 比较”选项是否已配置,该选项会启用 MED 比较,以
便在 IBGP 对端(同一 AS 中的 BGP 对端)通告的路由之间进行选择。
当前 RIB 输出条目
“RIB 输出”表中的条目数。
RIB 峰值条目
任何一次分配的 Adj-RIB-Out 路由的峰值数量。
“对端”子选项卡
名称
对端的名称。
组
该对端从属的对端组的名称。
本地 IP
VR 上的 BGP 接口的 IP 地址。
对等 IP
对端的 IP 地址。
对等 AS
对端从属的自治系统。
密码集合
使用“是”或“否”指明是否已设置身份验证。
状态
对端的状态,如:活动、连接、已建立、空闲、OpenConfirm 或 OpenSent。
状态持续时间(秒)
对端状态的持续时间。
“对端组”选项卡
组名称
对端组的名称。
类型
已配置的对端组的类型,如 EBGP 或 IBGP。
聚合联合 AS
使用“是”或“否”指明“聚合联合 AS”选项是否已配置。
软重置支持
使用“是”或“否”指明对端组是否支持软重置。当 BGP 对端的路由策略更
改时,路由表更新可能会受影响。BGP 会话的软重置优先于硬重置,因为软
重置允许路由表在不清除 BGP 会话的情况下进行更新。
下一个跃点本身
使用“是”或“否”指明该选项是否已配置。
下一个跃点第三方
使用“是”或“否”指明该选项是否已配置。
删除专用 AS
指明更新在被发送之前是否会从 AS_PATH 属性中删除专用 AS 编号。
“本地 RIB”子选
项卡
前缀
本地路由信息库中的网络前缀和子网掩码。
标记
* 指明是否已将路由选作最佳 BGP 路由。
下一个跃点
至前缀的下一个跃点的 IP 地址。
对等
对端的名称。
权重
已分配给前缀的权重属性。如果防火墙拥有至同一前缀的多个路由,则权重
最高的路由会安装在 IP 路由表中。
本地首选项
路由的本地首选项属性,用于在有多个出口时选择至前缀的出口。优先级较
高的本地首选项优先于优先级较低的本地首选项。
AS 路径
会列出至前缀网络的路径中的自治系统;该列表会在 BGP 更新中通告。
原始
前缀的原始属性; BGP 获得路由的方式。
MED
路由的多出口鉴别 (MED) 属性。MED 是路由的一个度量属性,由通告路由
的 AS 向外部 AS 推荐。较小的 MED 优先于较大的 MED。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 155
配置虚拟路由器
表 114 BGP 运行时统计数据(续)
字段
说明
翻动计数
路由的标记数量。
“RIB 输出”子选
项卡
前缀
路由信息库中的网络路由条目。
下一个跃点
至前缀的下一个跃点的 IP 地址。
对等
VR 会将该路由通告至的对端。
本地首选项
用于访问前缀的本地首选项属性,用于在有多个出口时选择至前缀的出口。
优先级较高的本地首选项优先于优先级较低的本地首选项。
AS 路径
会列出至前缀网络的路径中的自治系统。
原始
前缀的原始属性; BGP 获得路由的方式。
MED
前缀的多出口鉴别 (MED) 属性。MED 是路由的一个度量属性,由通告路由
的 AS 向外部 AS 推荐。较小的 MED 优先于较大的 MED。
通告状态
路由的通告状态。
聚合状态
指明该路由是否已与其他路由聚合。
“多播”选项卡
下表将介绍虚拟路由器的 IP 多播运行时统计数据。
表 115 多播运行时统计数据
字段
说明
FIB 子选项卡
组
VR 将转发的多播组地址。
源
多播源地址。
传入接口
指明多播通信在 VR 上的传入接口。
“IGMP 接口”
子选项卡
接口
已启用 IGMP 的接口。
版本
第 1、2 或 3 版的 Internet 组管理协议 (IGMP)。
查询器
该接口上的 IGMP 查询器的 IP 地址。
查询器正常运行
时间
IGMP 查询器已运行的时间长度。
查询器到期时间
当前的“其他查询器出现”计时器到期之前的剩余时间。
稳定
IGMP 接口的“稳定”变量。
组限制
接口上允许的多播组的数量。
源限制
接口上允许的多播源的数量。
立即离开
使用“是”或“否”指明“立即离开”是否已配置。“立即离开”表明虚拟路
由器将在不发送接口 IGMP 组特定查询的情况下从转发表中删除接口。
156 • Web 界面参考指南,版本 7.0
Palo Alto Networks
配置虚拟路由器
表 115 多播运行时统计数据(续)
字段
说明
“IGMP 成员身
份”子选项卡
接口
成员身份从属的接口的名称。
组
IP 多播组地址。
源
多播通信的源地址。
运行时间
该成员身份已运行的时间长度。
到期时间
成员身份到期前的剩余时间长度。
过滤模式
包括或排除源。VR 会配置为包括所有通信、仅限来自该源的通信(包括)或
是来自该源之外的任意源的通信(排除)。
排除到期
接口“排除”状态到期之前的剩余时间。
V1 主机计时器
在本地路由器做出如下假设之前的剩余时间:IP 子网上不会再有任何 IGMP 第 1 版
成员与该接口相连。
V2 主机计时器
在本地路由器做出如下假设之前的剩余时间:IP 子网上不会再有任何 IGMP 第 2 版
成员与该接口相连。
“PIM 组映射”
子选项卡
组
已映射至集合点的组的 IP 地址。
RP
组的集合点的 IP 地址。
原始
指明 VR 获得 RP 的位置。
PIM 模式
ASM 或 SSM。
非活动
指明组至 RP 的映射处于非活动状态。
“PIM 接口”
子选项卡
接口
参与 PIM 的接口的名称。
地址
接口的 IP 地址。
DR
接口上的指定路由器的 IP 地址。
呼叫间隔
已配置的呼叫间隔(以秒为单位)。
加入 / 修剪间隔
已配置的加入 / 修剪间隔(以秒为单位)。
断言间隔
已配置的断言间隔(以秒为单位)。
DR 优先级
已为指定路由器配置的优先级。
BSR 边界
“是”或“否”。
“PIM 邻居”
子选项卡
接口
VR 中接口的名称。
地址
邻居的 IP 地址。
辅助地址
邻居的辅助 IP 地址。
运行时间
邻居已运行的时间长度。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 157
配置 VLAN 支持
表 115 多播运行时统计数据(续)
字段
说明
到期时间
在邻居因 VR 未收到来自邻居的呼叫数据包而要到期之前的剩余时间长度。
生成 ID
VR 通过该接口所接收的上一个 PIM 呼叫消息从邻居那里接收到的值。
DR 优先级
VR 通过上一个 PIM 呼叫消息从该邻居那里接收到的指定路由器优先级。
配置 VLAN 支持
网络 > VLAN
防火墙支持符合 IEEE 802.1Q 标准的 VLAN。在防火墙上定义的每个第 2 层接口必须与 VLAN
关联。同一个 VLAN 可以分配给多个第 2 层接口,但每个接口只能属于一个 VLAN。
表 116. VLAN 设置
字段
说明
名称
输入 VLAN 名称(最多 31 个字符)。配置接口时,此名称出现在 VLAN
列表中。名称区分大小写,且必须是唯一的。仅可使用字母、数字、空
格、连字符和下划线。
VLAN 接口
选择 VLAN 接口以允许在 VLAN 之外路由通信。要定义 VLAN 接口,请
参阅“配置 VLAN 接口”。
接口
指定 VLAN 的防火墙接口。
静态 MAC 配置
指 定 可 通过其访问 MAC 地址的接口。这将替代任何已获得的接口到
MAC 映射。
配置 DHCP
动态主机配置协议 (DHCP) 是一个标准化协议,可向 TCP/IP 网络上的动态配置主机提供
TCP/IP 和链路层配置参数及网络地址。Palo Alto Networks 防火墙上的接口可以充当 DHCP
服务器、客户端或中继代理。通过将这些角色分配给不同的接口,防火墙可以扮演多个角色。
您在查找什么内容?
请参阅
什么是 DHCP?
“DHCP 概述”
DHCP 服务器如何分配地址?
“DHCP 寻址”
我要如何配置 DHCP 服务器?
“DHCP 服务器的构建块”
我要如何配置 DHCP 中继代理?
“DHCP 中继的构建块”
我如何才能配置 DHCP 客户端?
“DHCP 客户端的构建块”
向我提供一个基本示例。
“示例:使用自定义选项配置 DHCP 服务器”
了解更多?
请参阅 DHCP。
158 • Web 界面参考指南,版本 7.0
Palo Alto Networks
配置 DHCP
DHCP 概述
网络 > DHCP
DHCP 使用“客户端 - 服务器”通信模型。该模型由设备可以扮演的三个角色构成:DHCP 客
户端、DHCP 服务器和 DHCP 中继代理。
• 充当 DHCP 客户端(主机)的设备可以从 DHCP 服务器请求 IP 地址和其他配置设置。客户
端设备上的用户可保存配置时间和作业,并且不需要了解网络的寻址计划或是继承自 DHCP
服务器的其他网络资源和选项。
• 充当 DHCP 服务器的设备可以为客户端提供服务。通过使用任一种 DHCP 寻址机制,网络管
理员可以保存配置时间,并能在客户端不再需要网络连接时重复使用有限数量的 IP 地址。服
务器还可以向多个客户端提供 IP 寻址和 DHCP 选项。
• 充当 DHCP 中继代理的设备会侦听广播和单播 DHCP 消息,并在 DHCP 客户端和服务器
间中继这些消息。
DHCP 使用用户数据报协议 (UDP) (RFC 768) 作为其传输协议。客户端发送到服务器的 DHCP
消息将发送到众所周知的端口 67(UDP — Bootstrap 协议和 DHCP)。服务器发送到客户端
的 DHCP 消息将发送到端口 68。
DHCP 寻址
DHCP 服务器可以通过三种方式向客户端分配或发送 IP 地址:
• 自动分配 — DHCP 服务器将其 IP 池中的永久性 IP 地址分配给客户端。在防火墙上,将租
借指定为无限制意味着分配是永久性的。
• 动态分配 — DHCP 服务器将地址 IP 池中的可复用 IP 地址分配给客户端,以便让其使用最
长的一段时间,称为租借。如果客户的 IP 地址数量有限,这种地址分配方式就非常有用;
可以将这些地址分配给只需临时访问网络的客户端。
• 静态分配 — 网络管理员选择要分配给客户端的 IP 地址,然后由 DHCP 服务器将其发至客
户端。静态 DHCP 分配是永久性的;将通过以下方式来完成:配置 DHCP 服务器并选择
与客户端设备的 MAC 地址相对应的保留地址。即使客户端断开连接(注销、重启、断电
等),DHCP 分配也将保持就绪状态。
IP 地址的静态分配非常有用,例如,当 LAN 中有打印机而您不希望其 IP 地址不断变化
(因为它会通过 DNS 与打印机名称关联)时。又例如,如果客户端设备被用于执行某些
关键任务,那么即使该设备出现关机、拔下插头、重启或断电情况,也必须保持相同的 IP
地址。
在配置保留地址时,请记住以下几点:
– 它是 IP 池中的某个地址。您可以配置多个保留地址。
– 如果未配置保留地址,那么服务器的客户端会在租借过期或执行重启等操作后收到来自
该池中的新 DHCP 分配(除非将租借指定为无限制)。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 159
配置 DHCP
– 如果将 IP 池中的每一个地址都分配为保留地址,就意味着无法为下一个请求地址的 DHCP
客户端分配可用的动态地址。
– 您可以分配保留地址,但不分配 MAC 地址。在这种情况下,DHCP 服务器不会向任何
设备分配保留地址。您可以保留池中的小部分地址,并在不使用 DHCP 的情况下对其
进行静态分配,例如分配给传真机和打印机。
至相关主题的链接:
• “DHCP 服务器的构建块”
• “DHCP 中继的构建块”
• “DHCP 客户端的构建块”
• “示例:使用自定义选项配置 DHCP 服务器”
DHCP 服务器的构建块
Network > DHCP > DHCP 服务器
以下部分将介绍 DHCP 服务器的各个组件。在配置 DHCP 服务器之前,您应该已经配置了分
配给某个虚拟路由器和区域的第 3 层 Ethernet 或第 3 层 VLAN 接口。您还应该通过自己的网
络计划了解有效的 IP 地址池,其中的地址可被指定为由 DHCP 服务器分配给客户端。
在添加 DHCP 服务器时,您会配置下表所述的设置。最终得到的 DHCP 服务器设置将如下所示:
表 117. DHCP 服务器设置
字段
配置位置
说明
接口
DHCP 服务器
将充当 DHCP 服务器的接口的名称。
模式
DHCP 服务器
选择启用或自动模式。自动模式会启用服务器,而且该服务
器会在检测到网络中存在另一 DHCP 服务器时被禁用。已
禁用设置会禁用该服务器。
租借
如果单击在分配新 IP 时 Ping IP,那么服务器会在将 IP 地
址分配给其客户端之前对该地址执行 ping 操作。如果 Ping
收到响应,这意味着另一设备已拥有该地址,因此该地址不
可分配。服务器会转而分配池中的下一个地址。如果选择该
选项,显示屏上的“探测 IP”列会有一个选中标记。
分配新 IP 时,
Ping IP
160 • Web 界面参考指南,版本 7.0
Palo Alto Networks
配置 DHCP
表 117. DHCP 服务器设置(续)
字段
配置位置
说明
指定租借类型。
租借
租借
• 无限制可让服务器从 IP 池中动态选择 IP 地址并将其永久分
配给客户端。
• 超时可决定租借的持续时长。输入天数和小时数,并(可
选)输入分钟数。
IP 池
租借
指定有状态的 IP 地址池,DHCP 服务器将从中选择地址并
将其分配给 DHCP 客户端。
您可以输入单个地址“地址 / <掩码长度>”(如 192.168.1.0/
24)或地址范围(如 192.168.1.10-192.168.1.20)。
(可选)从 IP 池中指定一个您不希望由 DHCP 服务器动态
分配的 IP 地址(格式为 x.x.x.x)。
保留地址
租借
如果还指定了 MAC 地址(格式为 xx:xx:xx:xx:xx:xx),那么
当与该 MAC 地址关联的设备通过 DHCP 请求 IP 地址时,保
留地址会被分配给该设备。
选择无(默认值)或选择源 DHCP 客户端接口或 PPPoE 客户
端接口,以便将各种服务器设置传播到 DHCP 服务器。如果
指定了继承源,请选择想要从此源继承的一个或多个选项。
指定继承源的一个好处在于:DHCP 选项会从源 DHCP 客
户端的上游服务器快速传输。如果继承源上的选项有所更
改,客户端的选项也能得到更新。例如,如果继承源设备更
换了其 NTP 服务器(已被标识为主 NTP 服务器),那么客
户端会将该新地址自动继承为其主 NTP 服务器。
继承源
选项
检查继承源状态
选项
如果已选择继承源,那么单击检查继承源状态可打开动态 IP
接口状态窗口,该窗口会显示继承自 DHCP 客户端的选项。
网关
选项
指定用于访问和此 DHCP 服务器不在同一 LAN 中的任何设
备的网络网关(防火墙上的接口)的 IP 地址。
子网掩码
选项
指定应用于 IP 池中地址的网络掩码。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 161
配置 DHCP
表 117. DHCP 服务器设置(续)
字段
配置位置
说明
请针对以下字段单击向下箭头并选择无或继承,或者输入您
的 DHCP 服务器将发送到客户端以用于访问该服务的远程
服务器的 IP 地址。如果选择继承,DHCP 服务器会从被指
定为继承源的源 DHCP 客户端继承值。
DHCP 服务器会将这些设置发送到其客户端。
• 主 DNS、辅助 DNS — 首选和备用域名系统 (DNS) 服务器
的 IP 地址。
选项
选项
• 主 WINS、辅助 WINS — 首选和备用 Windows Internet 命
名服务 (WINS) 服务器的 IP 地址。
• 主 NIS、辅助 NIS — 首选和备用网络信息服务 (NIS) 服务器
的 IP 地址。
• 主 NTP、辅助 NTP — 可用的网络时间协议 (NTP) 服务器
的 IP 地址。
• POP3 服务器 — 邮局协议版本 3 (POP3) 服务器的 IP 地址。
• SMTP 服务器 — 简单邮件传输协议 (SMTP) 服务器的 IP
地址。
• DNS 后缀 — 客户端在无法解析所输入的非限定主机名时要
在本地使用的后缀。
单击添加,然后输入希望 DHCP 服务器发送到客户端的自
定义选项的名称。
输入选项代码(范围为 1-254)。
自定义 DHCP
选项
选项
如果输入选项代码 43,则会出现“供应商类标识符 (VCI)”
字段。输入将与来自客户端选项 60 的传入 VCI 进行比较的
匹配条件。防火墙会检查来自客户端选项 60 的传入 VCI,
在它自己的 DHCP 服务器表中找到匹配的 VCI,然后将对
应的值返回至选项 43 中的客户端。VCI 匹配条件是一个字
符串或十六进制值。十六进制值的前缀必须为 “0x”。
单击从 DHCP 服务器继承源继承可使服务器继承来自继承
源的该选项代码的值,您不用输入选项值。
除了选中该复选框之外,您也可以选择继续设置以下各项:
选项类型:选择 IP 地址、ASCII 或十六进制,以指定用于
“选项值”的数据类型。
针对选项值,单击添加并输入自定义选项的值。
162 • Web 界面参考指南,版本 7.0
Palo Alto Networks
配置 DHCP
DHCP 中继的构建块
Network > DHCP > DHCP 中继
在将防火墙接口配置为 DHCP 中继代理之前,请确保您已配置第 3 层 Ethernet 或第 3 层 VLAN 接
口,并确保已将该接口分配给某个虚拟路由器和区域。您会希望该接口能在客户端和服务器之间
传递 DHCP 消息。该接口最多可将消息转发给四个外部 DHCP 服务器。客户端 DHCPDISCOVER
消息会发送至所有已配置的服务器,而第一个做出响应的服务器的 DHCPOFFER 消息会重新中继
到发出请求的客户端。
表 118. DHCP 中继设置
字段
配置位置
说明
接口
DHCP 中继
将成为 DHCP 中继代理的接口的名称。
IPv4 / IPv6
DHCP 中继
选择您将指定的 DHCP 服务器和 IP 地址的类型。
DHCP 服务器 IP
地址
DHCP 中继
接口
DHCP 中继
输入将收发中继 DHCP 消息的 DHCP 服务器的 IP 地址。
如果选择了 IPv6 作为 DHCP 服务器的 IP 地址协议并指定了
多播地址,您还必须指定传出接口。
DHCP 客户端的构建块
Network > 接口 > Ethernet > IPv4
Network > 接口 > VLAN > IPv4
在将防火墙接口配置为 DHCP 客户端之前,请确保您已配置第 3 层 Ethernet 或第 3 层 VLAN
接口,并确保已将该接口分配给某个虚拟路由器和区域。如果需要使用 DHCP 为防火墙上的接
口请求 IPv4 地址,请执行此任务。
表 119. DHCP 客户端设置
字段
配置位置
说明
类型
IPv4
单击 DHCP 客户端对应的单选按钮,并选中启用以将接口
配置为 DHCP 客户端。
自动创建指向服
务器所提供的默
认网关的默认
路由
IPv4
使防火墙针对默认网关创建静态路由,当客户端尝试访问不
需要在防火墙的路由表中进行路由维护的多个目标时,该静
态路由非常有用。
默认路由跃点数
IPv4
(可选)输入防火墙和 DHCP 服务器间路由的默认路由跃点
数(优先级级别)。数值越小的路由,在路由选择期间的优
先级越高。例如,相对于跃点数为 100 的路由,会先使用跃
点数为 10 的路由。范围为 1-65535。没有默认跃点数。
显示 DHCP 客户
端运行时信息
IPv4
显示从 DHCP 服务器收到的所有设置,包括 DHCP 租借状
态、动态 IP 分配、子网掩码、网关和服务器设置(DNS、
NTP、域、WINS、NIS、POP3 和 SMTP)。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 163
配置 DHCP
示例:使用自定义选项配置 DHCP 服务器
在以下示例中,防火墙上的某个接口被配置为 DHCP 服务器。使用选项 66 和 150 对该 DHCP
服务器进行了配置,以便提供为 Cisco IP 电话提供配置的 TFTP 服务器的相关信息。这意味
着,当客户端从该服务器请求选项 66 和 150 时,该服务器将通过其响应发送这些选项值。
Cisco IP 电话会从 TFTP 服务器收到配置。DHCP 选项 66 会提供 TFTP 服务器的主机名;选项
150 会提供 TFTP 服务器的 IP 地址。
使用自定义选项配置 DHCP 服务器
1.
选择 Network > DHCP > DHCP 服务器。
2.
选择要充当 DHCP 服务器的接口。
3.
在租借选项卡上,将超时指定为 1 天。
4.
指定可由服务器分配给客户端的 IP 池中的 IP 地址范围。
164 • Web 界面参考指南,版本 7.0
Palo Alto Networks
配置 DHCP
使用自定义选项配置 DHCP 服务器
5.
在选项选项卡上,输入网络的网关地址和子网掩码。
6.
输入该 DHCP 服务器将发送到客户端的服务器地址。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 165
配置 DNS 代理
使用自定义选项配置 DHCP 服务器
7.
要输入自定义 DHCP 选项,请单击添加。对于本示例,请输入选项名称,如 VoIP 电话主机名和
选项代码 66。选项的名称不会发送到客户端;它是为了能在服务器上轻松标识。
8.
选择 ASCIl。
9.
单击添加以输入选项值 TFTPserver10,然后单击确定。
10. 要输入其他 DHCP 选项,请单击添加。输入另一名称,如 VoIP 电话 IP 地址和选项代码 150。
该名称必须不同于第一个名称,因为数据类型不同。
11. 选择 IP 地址。
12. 单击添加以输入选项值 10.1.1.1(主 TFTP 服务器地址),然后单击确定。
13. 单击确定和提交,以保存配置。
配置 DNS 代理
DNS 服务器会使用 IP 地址执行域名解析服务,反之亦然。如果将防火墙配置为 DNS 代理,它
会充当客户端和服务器之间的中介,并会通过解析来自 DNS 高速缓存的查询来充当 DNS 服务
器。使用该页面可配置相应设置,以确定防火墙将以何种方式充当 DNS 代理。
您想了解什么内容?
请参阅
防火墙代理 DNS 请求如何工作?
“DNS 代理概述”
我要如何配置 DNS 高速缓存?
“DNS 代理的构建块”
如何配置 FQDN 至 IP 地址的静
态映射?
“DNS 代理的构建块”
我还能执行哪些操作以管理 DNS
代理?
“其他 DNS 代理操作”
166 • Web 界面参考指南,版本 7.0
Palo Alto Networks
配置 DNS 代理
DNS 代理概述
网络 > DNS 代理
要根据域名将 DNS 查询引向不同的 DNS 服务器,您可以将防火墙配置为 DNS 代理并指定要
使用的 DNS 服务器。指定多个 DNS 服务器可确保 DNS 查询的本地化并提高效率。例如,您可
以将所有企业 DNS 查询转发到企业 DNS 服务器,并将所有其他查询转发到 ISP DNS 服务器。
您还可以通过安全隧道发送 DNS 查询,以便保护有关内部网络配置的详细信息,并使您能使
用身份验证和加密之类的安全功能。
对于定向到接口 IP 地址的所有 DNS 查询,防火墙支持根据完整域名或部分域名选择性地将查
询定向到不同的 DNS 服务器。TCP 或 UDP DNS 查询通过配置的接口进行发送。如果 DNS 查
询答案对于单个 UDP 数据包来说太长,则 UDP 查询切换到 TCP。
该接口包括用于定义 DNS 代理的以下选项卡:
• DNS 代理规则 — 允许您配置名称、域名以及主和辅助 DNS 服务器设置。
• 静态条目 — 允许您配置将通过响应由主机提出的 DNS 查询来实现的 FQDN 到 IP 地址静态
映射。
• 高级 — 允许您定义高速缓存、TCP 查询和 UDP 查询重试。
如果在 DNS 代理高速缓存中找不到域名,则防火墙会根据特定 DNS 代理对象中(位于 DNS
查询的到达接口中)的条目配置来搜索匹配项,并根据匹配结果转发到名称服务器。如果没有
找到匹配项,则使用默认名称服务器。静态条目和缓存也受到支持。
请参阅:
“DNS 代理的构建块”
“移动或克隆策略或对象”
DNS 代理的构建块
网络 > DNS 代理
以下部分将介绍在将防火墙设置为 DNS 代理时要配置的各个组件。
表 120. DNS 代理设置
字段
配置位置
说明
启用
DNS 代理
选中此复选框可启用 DNS 代理。
名称
DNS 代理
指定一个用于标识 DNS 代理对象的名称(最多 31 个字符)。名称
区分大小写,且必须是唯一的。仅可使用字母、数字、空格、连字
符和下划线。
位置
DNS 代理
指定 DNS 代理对象适用于的虚拟系统。如果选择共享,服务器配
置文件字段不可用。输入主和辅助 DNS 服务器的 IP 地址或地址对
象。为了让虚拟系统使用 DNS 代理,您必须先配置一个 DNS 代
理。请转至 Device > 虚拟系统,选择虚拟系统,然后选择 DNS
代理。
继承源
DNS 代理
选择一个源以继承默认 DNS 服务器设置。这常用于防火墙 WAN
接口由 DHCP 或 PPPoE 寻址的分支办公室部署。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 167
配置 DNS 代理
表 120. DNS 代理设置(续)
字段
配置位置
说明
检查继承源状态
DNS 代理
单击该链接可查看当前分配给 DHCP 客户端和 PPPoE 客户端接口
的服务器设置。这些设置可包括 DNS、WINS、NTP、POP3、
SMTP 或 DNS 后缀。
服务器配置文件
DNS 代理
选择或创建新的 DNS 服务器配置文件。如果虚拟系统的“位置”被
指定为“共享”,则此字段不会出现。
主
DNS 代理
指定默认的主要 DNS 服务器和辅助 DNS 服务器的 IP 地址。如果
未找到主要 DNS 服务器,则使用次要 DNS 服务器。
DNS 代理
选中接口复选框,可指定防火墙接口,以支持 DNS 代理规则。从下
拉列表中选择接口,并单击添加。可以添加多个接口。要删除接
口,请选择接口,并单击删除。
辅助
接口
如果 DNS 代理仅用于服务路由功能,则不需要接口。如果您希望
源 IP 地址由目标服务路由来设置,则应将目标服务路由用于没有
接口的 DNS 代理。否则,DNS 代理将选择接口 IP 地址用作源
(在没有设置 DNS 服务路由的情况下)。
名称
DNS 代理 > DNS
代理规则
名称为必填项,这样才可通过 CLI 引用和修改条目。
为此映射解析的域启用
缓存
DNS 代理 > DNS
代理规则
选中该复选框可高速缓存由此映射解析的域。
域名
DNS 代理 > DNS
代理规则
单击添加,然后输入代理服务器域名。重复该过程以添加其他名
称。要删除名称,请选择名称,并单击删除。对于 DNS 代理规
则,通配符字符串中的标记数必须与所请求域中的标记数相符。例
如,“*.engineering.local”与“engineering.local”不符。必须同时指
定二者。
主 / 辅助
DNS 代理 > DNS
代理规则
输入主 DNS 服务器和辅助 DNS 服务器的主机名或 IP 地址。
名称
DNS 代理 > 静态
条目
输入静态条目的名称。
FQDN
DNS 代理 > 静态
条目
输入将会映射到“地址”字段中定义的静态 IP 地址的完全限定域
名 (FQDN)。
地址
DNS 代理 > 静态
条目
单击添加,并输入映射到此域的 IP 地址。
重复该过程以添加其他地址。要删除地址,请选择地址并单击删除。
缓存
DNS 代理 > 高级
选中此复选框可启用 DNS 高速缓存,并指定以下信息:
• 大小 — 指定高速缓存将容纳的条目数(范围为 1024-10240,默认
为 1024)。
• 超时 — 指定在多长时间(小时)后删除所有缓存条目。如果 DNS
生存时间值的存储时间小于配置的超时期,则可用来删除缓存条
目。超时后,新请求必须再次解析并高速缓存(范围为 4 至 24,
默认为 4 小时)。
TCP 查询
DNS 代理 > 高级
168 • Web 界面参考指南,版本 7.0
选中此复选框可启用使用 TCP 的 DNS 代理。在最大挂起请求数字
段中,指定防火墙将支持的并发暂挂 TCP DNS 请求数的上限(范
围为 64-256,默认为 64)。
Palo Alto Networks
配置 LLDP
表 120. DNS 代理设置(续)
字段
配置位置
说明
UDP 查询重试
DNS 代理 > 高级
指定 UDP 查询尝试的设置:
• 间隔 — 以秒为单位,指定在未收到任何响应的情况下发送另一请
求相隔的时间(范围是 1-30,默认为 2 秒)。
• 尝试 — 指定在尝试下一个 DNS 服务器之前的最大尝试次数(不
包括第一次尝试)(范围为 1-30,默认为 5)。
其他 DNS 代理操作
在将防火墙配置为 DNS 代理后,可以在 Network > DNS 代理页面上执行以下操作,以管理 DNS
代理配置:
• 修改 — 要修改 DNS 代理,请单击 DNS 代理配置的名称。
• 删除 — 选择 DNS 代理条目并单击删除可删除 DNS 代理配置。
• 禁用 — 要禁用 DNS 代理,请单击 DNS 代理条目的名称并取消选中启用。要启用已禁用的
DNS 代理,请单击 DNS 代理条目的名称并选中启用。
配置 LLDP
链路层发现协议 (LLDP) 可以自动在链路层中发现邻近设备及其功能。
您在查找什么内容?
请参阅
什么是 LLDP?
“LLDP 概述”
我要如何配置 LLDP?
“LLDP 的构建块”
我要如何配置 LLDP 配置文件?
“定义 LLDP 配置文件”
了解更多?
请参阅 LLDP。
LLDP 概述
Network > LLDP
LLDP 允许防火墙收发邻居的包含 LLDP 数据单元 (LLDPDU) 的 Ethernet 帧。接收设备会将信
息存储在 MIB 中,这些信息可通过简单网络管理协议 (SNMP) 来访问。LLDP 使网络设备能够
映射其网络拓扑并获得相连设备的功能。这简化了故障排除工作,尤其是当在 virtual wire 部
署中通常检测不到网络拓扑中的防火墙时。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 169
配置 LLDP
LLDP 的构建块
Network > LLDP
要在防火墙上启用 LLDP,请单击“编辑”,单击启用;(可选)然后,如果默认设置不适合您
的环境,请配置下表中显示的四个设置。表中的其余条目将介绍状态和对端统计数据。
表 121. LLDP 设置和显示的信息
字段
配置或显示位置
说明
传输间隔(秒)
LLDP
指定 LLDPDU 的传输间隔。默认:30 秒。范围:1-3600 秒。
LLDP
指定在“典型长度值 (TLV)”元素更改和 LLDP 传输发送之间相隔
的延迟时间。如果大量的网络更改导致 LLDP 更改数量猛增,或是
接口出现翻动,则延迟有助于防止段中的 LLDPDU 泛滥。传输延迟
必须小于传输间隔。默认:2 秒。范围:1-600 秒。
保持时间多个
LLDP
指定一个值,将该值乘以传输间隔即可确定 TTL 保持总时间。TTL
保持时间是指防火墙使来自对端的信息保持有效状态的时间长度。
默认:4。范围:1-100。无论乘数值是多少,最大的 TTL 保持时间都
为 65535 秒。
通知间隔
LLDP
指定 syslog 和 SNMP 陷阱通知在 MIB 发生变化时的传输间隔。默
认:5 秒。范围:1-3600 秒。
小望远镜过滤器
状态
(可选)在过滤行中输入数据值并单击灰色箭头,这样便只会显示
包含该数据值的行。单击红色的 X 可清除过滤器。
接口
状态
已被分配到 LLDP 配置文件的接口的名称。
LLDP
状态
LLDP 状态:启用或禁用。
模式
状态
接口的 LLDP 模式:Tx/Rx、仅 Tx 或仅 Rx。
配置文件
状态
已分配给接口的配置文件的名称。
传输的总数
状态
已传出接口的 LLDPDU 的计数。
丢弃的传输
状态
因存在错误而未传出接口的 LLDPDU 的计数。例如,当系统在构建
要传输的 LLDPDU 时会出现长度错误。
接收的总数
状态
接口已收到的 LLDP 帧的计数。
传输延迟(秒)
170 • Web 界面参考指南,版本 7.0
Palo Alto Networks
配置 LLDP
表 121. LLDP 设置和显示的信息(续)
字段
配置或显示位置
说明
丢弃的 TLV
状态
在收到后被放弃的 LLDP 帧的计数。
错误
状态
接口已收到且包含错误的“时间长度值 (TLV)”元素的计数。TLV
错误的类型包括:缺少一个或多个必需的 TLV,顺序错误,包含范
围以外的信息,或是存在长度错误。
未识别
状态
接口已收到但 LLDP 本地代理未能识别(如因 TLV 类型属于保留的
TLV 范围)的 TLV 的计数。
已过期
状态
因相应 TTL 到期而从接收 MIB 中删除的项目的计数。
清除 LLDP 统计信息
状态
单击屏幕底部的这一按钮可清除所有的 LLDP 统计数据。
小望远镜过滤器
对端
(可选)在过滤行中输入数据值并单击灰色箭头,这样便只会显示
包含该数据值的行。单击红色的 X 可清除过滤器。
本地接口
对端
防火墙上检测到邻居设备的接口。
远程机箱 ID
对端
对端的机箱 ID ;使用 MAC 地址。
端口 ID
对端
对端的端口 ID。
名称
对端
对端的名称。
更多信息
对端
单击此链接可查看远程对端的详细信息,这些信息取决于必需和可
选 TLV。
机箱类别
对端
机箱类别为 MAC 地址。
MAC 地址
对端
对端的 MAC 地址。
系统名称
对端
对端的名称。
系统说明
对端
对端的说明。
端口说明
对端
对端的端口说明。
端口类型
对端
接口名称。
端口 ID
对端
防火墙使用接口的 ifname。
系统功能
对端
系统的功能。O = 其他,P = 中继器,B = 网桥,W = 无线 LAN,R =
路由器,T = 电话
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 171
定义接口管理配置文件
表 121. LLDP 设置和显示的信息(续)
字段
配置或显示位置
说明
启用的功能
对端
对端上已启用的功能。
管理地址
对端
对端的管理地址。
定义接口管理配置文件
网络 > 网络配置文件 > 接口管理
使用此页面可指定用于管理防火墙的协议。要将管理配置文件分配到每个接口,请参阅“配置
第 3 层接口”和“配置第 3 层子接口”。
172 • Web 界面参考指南,版本 7.0
Palo Alto Networks
定义监视配置文件
表 122. 接口管理配置文件设置
字段
说明
名称
输入配置文件名称(最多 31 个字符)。配置接口时,此名称出现在接口管
理配置文件列表中。名称区分大小写,且必须是唯一的。仅可使用字母、
数字、空格、连字符和下划线。
Ping
针对想在分配了配置文件的接口上启用的各项服务选中其对应的复选框。
Telnet
如果选中响应页面复选框,则用于服务强制网络门户响应页面的端口会在
第 3 层接口上保持打开状态:用于 NTLM 的端口 6080、用于透明模式强
制网络门户的端口 6081 以及用于重定向模式强制网络门户的端口 6082。
SSH
HTTP
HTTP OCSP
HTTPS
如果选中 User-ID 复选框,那么当一个人向其他人重新分发用户映射和组
映射时,便可在防火墙间进行通信。有关详细信息,请参阅““User-ID
代理”选项卡”。
SNMP
响应页面
User-ID
用户 ID 系统日志侦听器
SSL
用户 ID 系统日志侦听器
UDP
允许的 IP 地址
输入可用于管理防火墙的 IPv4 或 IPv6 地址的列表。
定义监视配置文件
网络 > 网络配置文件 > 监视
监视配置文件用于监视 IPSec 隧道,并根据基于策略的转发 (PBF) 规则监视下一个跃点设备。
在两种情况下,监视配置文件均可用来指定源(IPSec 隧道或下一个跃点设备)不可用时要采
取的操作。监视配置文件是可选的,但是在维护站点间连接性以及确保 PBF 规则处于维护中
时,此功能特别有用。以下设置可用于配置监视配置文件。
表 123. 监视设置
字段
说明
名称
输入名称以标识监视器配置文件(最多 31 个字符)。名称区分大小写,且
必须是唯一的。仅可使用字母、数字、空格、连字符和下划线。
操作
指定在隧道不可用时要执行的操作。如果丢失的检测信号个数达到阈值,
防火墙将执行指定操作。
• 等待恢复 — 等待隧道恢复,不执行其他操作。数据包将继续根据 PBF 规
则发送。
• 故障转移 — 通信将切换到备份路径(如果存在)。防火墙使用路由表查
询以确定此会话持续时间的路由。
在以上两种情况下,防火墙将尝试协商新 IPSec 密钥,以加速恢复。
间隔
指定检测信号之间的时间(范围为 2-10,默认为 3)。
阈值
指定在防火墙执行指定操作之前所要丢失的检测信号数(范围为 2-100,
默认为 5)。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 173
定义区域保护配置文件
定义区域保护配置文件
网络 > 网络配置文件 > 区域保护
区域保护配置文件可以针对最常见的泛滥攻击、侦察攻击和其他基于数据包的攻击提供保护。
其目的是在 Ingress 区域(即流量进入防火墙的区域)提供广泛的保护,而不是用于保护特定
终端主机或将流量转到特定目的地区域。要在防火墙上加强区域保护功能,可使用 DoS 保护规
则库针对特定区域、接口、IP 地址或用户进行匹配。
注:区域保护只有在数据包没有匹配的会话时才执行。如果数据包与现有会话匹配,则它将会绕过区域保
护设置。
要配置区域保护配置文件,可单击添加,然后指定以下设置:
表 124. 区域保护配置文件设置
字段
说明
名称
输入配置文件名称(最多 31 个字符)。配置区域时,此名称出现在区域保
护配置文件列表中。名称区分大小写,且必须是唯一的。仅可使用字母、
数字、空格和下划线。
说明
为区域保护配置文件输入一个可选描述。
在定义区域保护配置文件时,必须配置常规选项卡的设置和网络拓扑所需的任何下列选项卡:
• 泛滥攻击保护选项卡:请参阅“配置泛滥攻击防护”。
• 侦察配置文件选项卡:请参阅“配置侦察防护”。
• 基于数据包的攻击保护选项卡:请参阅“配置基于数据包的攻击保护”。
如果您拥有多个虚拟系统环境,则必须启用以下内容:
• 外部区域,用于在虚拟系统之间进行通信
• 共享网关,允许虚拟系统共享用于外部通信的通用接口和单个 IP 地址
在外部区域中将会禁用下列区域和 DoS 保护机制:
• SYN Cookie
• IP 分片
• Icmpv6
要启用 IP 分片和 ICMPv6 保护,您必须单独为共享网关创建区域保护配置文件。
要在共享网关上防止 SYN 泛滥攻击,可以通过随机早期丢弃或 SYN cookie 来应用
SYN 泛滥攻击保护配置文件;在外部区域中,只有随机早期丢弃适用于 SYN 泛滥攻
击保护。
174 • Web 界面参考指南,版本 7.0
Palo Alto Networks
定义区域保护配置文件
配置泛滥攻击防护
Network > 网络配置文件 > 区域保护 > 泛滥攻击保护
下表介绍了泛滥攻击保护选项卡的设置:
表 125. “泛滥攻击保护”选项卡设置
字段
说明
泛滥攻击保护阈值 - SYN 泛滥攻击
操作
选择响应 SYN 泛滥攻击时要执行的操作。
• 随机早期丢弃 — 导致丢弃 SYN 数据包以缓解泛滥攻击:
– 流量超过警告速率阈值时,生成警报。
– 流量超过激活速率阈值时,将随机丢弃个别 SYN 数据包以限制流量。
– 流量超过最大速率阈值时,将丢弃所有数据包。
• SYN cookie — 计算不需要将暂挂连接存储在内存中的 SYN-ACK 数据包
的序号。这是首选方法。
警报(数据包 / 秒)
输入触发攻击警报的区域每秒接收到的 SYN 数据包数目。可以在仪表盘
(参阅“使用仪表盘”)和威胁日志(参阅“执行数据包捕获”)中查看
警报。
激活(数据包 / 秒)
输入触发指定操作的区域每秒接收到的 SYN 数据包数目。
最大(数据包 / 秒)
输入每秒能够接收的 SYN 数据包的最大数目。将会丢弃超过最大数目的那
部分数据包。
Flood 攻击保护阈值 - ICMP Flood 攻击
警报(数据包 / 秒)
输入每秒接收到的将触发攻击警报的 ICMP 回显请求 (ping) 数目。
激活(数据包 / 秒)
输入导致丢弃后续 ICMP 数据包的区域每秒接收到的 ICMP 数据包数目。
最大(数据包 / 秒)
输入每秒能够接收的 ICMP 数据包的最大数目。将会丢弃超过最大数目的
那部分数据包。
泛滥攻击保护阈值 - ICMPv6
警报(数据包 / 秒)
输入每秒接收到的将触发攻击警报的 ICMPv6 回显请求 (ping) 数目。
激活(数据包 / 秒)
输入导致丢弃后续 ICMPv6 数据包的区域每秒接收到的 ICMPv6 数据包数
目。当 ICMPv6 数据包的数目降低到该阈值以下时,计量停止。
最大(数据包 / 秒)
输入每秒能够接收的 ICMPv6 数据包的最大数目。将会丢弃超过最大数目
的那部分数据包。
泛滥攻击保护阈值 - UDP
警报(数据包 / 秒)
输入触发攻击警报的区域每秒接收到的 UDP 数据包数目。
激活(数据包 / 秒)
输入触发随机丢弃 UDP 数据包的区域每秒接收到的 UDP 数据包数目。当
UDP 数据包的数目降低到该阈值以下时,响应被禁用。
最大(数据包 / 秒)
输入每秒能够接收的 UDP 数据包的最大数目。将会丢弃超过最大数目的那
部分数据包。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 175
定义区域保护配置文件
表 125. “泛滥攻击保护”选项卡设置(续)
字段
说明
泛滥攻击保护阈值 - 其他 IP
警报(数据包 / 秒)
输入触发攻击警报的区域每秒接收到的 IP 数据包数目。
激活(数据包 / 秒)
输入触发随机丢弃 IP 数据包的区域每秒接收到的 IP 数据包数目。当 IP 数
据包的数目降低到该阈值以下时,响应被禁用。将会丢弃超过最大数目的
那部分数据包。
最大(数据包 / 秒)
输入每秒能够接收的 IP 数据包的最大数目。将会丢弃超过最大数目的那部
分数据包。
配置侦察防护
网络 > 网络配置文件 > 区域保护 > 侦察保护
下表介绍了侦察保护选项卡的设置:
表 126. “侦察保护”选项卡设置
字段
说明
侦察保护 - TCP 端口扫描、UDP 端口扫描、主机扫掠
间隔(秒)
输入端口扫描和主机扫掠检测的时间间隔(秒)。
阈值(事件)
输入指定时间间隔内将触发此保护类型(事件)的扫描端口数。
操作
输入系统为响应此事件类型而执行的操作:
• 允许 — 允许主机扫掠侦察的端口扫描。
• 警报 — 对于在指定时间间隔内达到阈值的每次扫描或扫掠生成警报。
• 阻止 — 丢弃在指定时间间隔的剩余时间内从源到目标的所有后续数据包。
• 阻止 IP — 在指定时间段内丢弃所有后续数据包。选择阻止源、目标还是
源和目标通信,然后输入持续时间(秒)。
IPv6 弃数据包,具有
类型 0 路由标头
选中此复选框将丢弃包含类型 0 路由器标头的 IPv6 数据包。
IPv4 兼容地址
选中此复选框将丢弃包含 IPv4 兼容地址的 IPv6 数据包。
多播源地址
选中此复选框将丢弃包含多播源地址的 IPv6 数据包。
任意播源地址
选中此复选框将丢弃包含任意播源地址的 IPv6 数据包。
配置基于数据包的攻击保护
网络 > 网络配置文件 > 区域保护 > 基于数据包的攻击保护
以下选项卡用于配置基于数据包的攻击保护:
• IP 丢弃:请参阅“配置“IP 丢弃”选项卡”。
• TCP 丢弃:请参阅“配置“TCP 丢弃”选项卡”。
• ICMP 丢弃:请参阅“配置“ICMP 丢弃”选项卡”。
176 • Web 界面参考指南,版本 7.0
Palo Alto Networks
定义区域保护配置文件
• IPv6 丢弃:请参阅“配置“IPv6 丢弃”选项卡”。
• ICMPv6:请参阅“配置“ICMPv6 丢弃”选项卡”。
配置“IP 丢弃”选项卡
要配置 IP 丢弃,请指定以下设置:
表 127. “基于数据包的攻击保护”选项卡设置
字段
说明
“IP 丢弃”子选项卡
欺诈 IP 地址
选中该复选框以启用对 IP 地址欺诈的防御。
严格 IP 地址检查
碎片通信
丢弃分段的 IP 数据包。
IP 选项丢弃
严格源路由
丢弃已选中“严格源路由 IP”选项的数据包。
松散源路由
丢弃已选中“松散源路由 IP”选项的数据包。
时间戳
丢弃已选中“时间戳 IP”选项的数据包。
记录路由
丢弃已选中“记录路由 IP”选项的数据包。
安全
如果已定义安全选项,则抛弃数据包。
流 ID
如果已定义 Stream ID 选项,则抛弃数据包。
未知
如果类和编号未知,则抛弃数据包。
格式不正确
如果数据包包含不正确的类、编号、长度组合(基于 RFC 791、1108、
1393 和 2113),则抛弃数据包。
不匹配的重叠 TCP 分段
分段数据在以下情况中不匹配时,此设置会使防火墙报告重叠不匹配并丢
弃数据包。
• 分段位于其他分段之内。
• 分段与其他分段的部分内容重叠。
• 分段覆盖其他分段。
此保护机制使用序列号确定数据包在 TCP 数据流中的位置。
删除 TCP 时间戳
确定数据包在报头中是否拥有 TCP 时间戳,如果有时间戳,将会从报头中
删除时间戳。
拒绝非 SYN TCP
确定在 TCP 会话设置的第一个数据包不是 SYN 数据包时,是否拒绝数据包:
• 全局 — 使用通过 CLI 分配的系统级设置。
• 是 — 拒绝非 SYN TCP。
• 否 — 接受非 SYN TCP。请注意,如果在发生阻止之后未设置客户端和 /
或服务器连接,那么允许非 SYN TCP 通信可能使文件阻止策略无法按预
期运行。
非对称路径
确定是否丢弃或绕过包含非同步 ACK 或超出范围序列号的数据包:
• 全局 — 使用通过 CLI 分配的系统级设置。
• 丢弃 — 丢弃包含非对称路径的数据包。
• 绕过 — 绕过对包含非对称路径的数据包的扫描。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 177
定义区域保护配置文件
配置“TCP 丢弃”选项卡
要配置 TCP 丢弃,请指定以下设置:
表 128 “TCP 丢弃”选项卡设置
字段
说明
不匹配的重叠 TCP
分段
分段数据在以下情况中不匹配时,防火墙会报告重叠不匹配并丢弃数据包。
• 分段位于其他分段之内。
• 分段与其他分段的部分内容重叠。
• 分段覆盖其他分段。
此保护机制使用序列号确定数据包在 TCP 数据流中的位置。
分离握手
如果 TCP 会话建立程序未使用众所周知的 3 向握手,则阻止该会话建立。4 向
或 5 向分离握手,亦或是同步开放式会话建立程序,都是不允许的变体示例。
Palo Alto Networks 下一代防火墙能在不配置分离握手的情况下正确地处理会
话以及所有适用于分离握手和同步开放式会话建立的第 7 层流程。如果为区域
保护配置文件配置了该选项,而且该配置文件被应用于某个区域,那么必须使
用标准的 3 向握手为该区域中的接口建立 TCP 会话;不允许使用变体。
拒绝非 SYN TCP
确定在 TCP 会话设置的第一个数据包不是 SYN 数据包时是否要拒绝该数据包:
• 全局 — 使用通过 CLI 分配的系统级设置。
• 是 — 拒绝非 SYN TCP。
• 否 — 接受非 SYN TCP。请注意,如果在发生阻止之后未设置客户端和 / 或服
务器连接,那么允许非 SYN TCP 通信可能使文件阻止策略无法按预期运行。
非对称路径
确定是否丢弃或绕过包含非同步 ACK 或超出范围序列号的数据包:
• 全局 — 使用通过 CLI 分配的系统级设置。
• 丢弃 — 丢弃包含非对称路径的数据包。
• 绕过 — 绕过对包含非对称路径的数据包的扫描。
删除 TCP 时间戳
确定数据包在报头中是否拥有 TCP 时间戳,如果有时间戳,将会从报头中删除
时间戳。
配置“ICMP 丢弃”选项卡
要配置 ICMP 丢弃,请指定以下设置:
表 129. ICMP 丢弃选项卡设置
字段
说明
ICMP 丢弃子选项卡
ICMP Ping ID 0
如果 ICMP ping 数据包有标识符值 0,则抛弃数据包。
ICMP 碎片
丢弃由 ICMP 分段组成的数据包。
ICMP 大型数据包
(>1024)
丢弃大于 1024 字节的 ICMP 数据包。
放弃嵌入了错误消息的
ICMP
丢弃嵌入了错误消息的 ICMP 数据包。
禁止 ICMP TTL 过期错误
停止发送 ICMP TTL 过期消息。
178 • Web 界面参考指南,版本 7.0
Palo Alto Networks
定义区域保护配置文件
表 129. ICMP 丢弃选项卡设置(续)
字段
说明
禁止 ICMP Frag 需要
停止发送需要 ICMP 分片的消息,以响应超过接口 MTU 且具有不分片 (DF)
位集合的数据包。此设置将干扰主机在防火墙后执行的 PMTUD 过程。
配置“IPv6 丢弃”选项卡
要配置 IPv6 丢弃,请指定以下设置:
表 130. “IPv6 丢弃”选项卡设置
字段
说明
IPv6 丢弃子选项卡
类型 0 路由标头
丢弃包含类型 0 路由标头的 IPv6 数据包。有关类型 0 路由标头的信息,请
参阅 RFC 5095。
IPv4 兼容地址
丢弃被定义为与 RFC 4291 IPv4 兼容的 IPv6 地址的 IPv6 数据包。
任意播源地址
丢弃包含任意播源地址的 IPv6 数据包。
多余的碎片标头
丢弃带有最新碎片标头 (M=0) 且零偏离的 IPv6 数据包。
ICMP“数据包太大”中
的 MTU 小于 1280 字节
在最大传输单元 (MTU) 小于 1280 字节时丢弃包含“数据包太大”ICMPv6
消息的 IPv6 数据包。
逐跃点扩展
丢弃包含逐跃点选项扩展标头的 IPv6 数据包。
路由扩展
丢弃包含路由扩展标头的 IPv6 数据包,该标头会将数据包在其前往目标的
路上引至一个或多个中间节点。
目标扩展
丢弃包含目标选项扩展的 IPv6 数据包,该扩展中包含仅适用于数据包目标
的选项。
扩展标头中的 IPv6 选项
无效
丢弃扩展标头中包含无效 IPv6 选项的 IPv6 数据包。
非零保留字段
丢弃标头的保留字段未设为零的 IPv6 数据包。
配置“ICMPv6 丢弃”选项卡
要配置 ICMPv6 丢弃,请指定以下设置:
表 131. “ICMPv6 丢弃”选项卡设置
字段
说明
ICMPv6 子选项卡
ICMPv6 目标不可访问 需要显式安全规则匹配
对于目标不可访问 ICMPv6 错误,需要进行显式安全策略匹配,即使与现
有会话关联也是如此。
ICMPv6 数据包太大 - 需
要显式安全规则匹配
对于数据包太大 ICMPv6 错误,需要进行显式安全策略匹配,即使与现有
会话关联也是如此。
ICMPv6 超时 - 需要显式
安全规则匹配
对于超时 ICMPv6 错误,需要进行显式安全策略匹配,即使与现有会话关
联也是如此。
ICMPv6 参数问题 - 需要
显式安全规则匹配
对于参数问题 ICMPv6 错误,需要进行显式安全策略匹配,即使与现有会
话关联也是如此。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 179
定义 LLDP 配置文件
表 131. “ICMPv6 丢弃”选项卡设置(续)
字段
说明
ICMPv6 重定向 - 需要显
式安全规则匹配
对于重定向 ICMPv6 消息,需要进行显式安全策略匹配,即使与现有会话
关联也是如此。
定义 LLDP 配置文件
您在查找什么内容?
请参阅
什么是 LLDP?
“LLDP 概述”
我要如何配置 LLDP?
“LLDP 的构建块”
我要如何配置 LLDP 配置文件?
“LLDP 配置文件的构建块”
了解更多?
请参阅 LLDP。
LLDP 配置文件的构建块
Network > 网络配置文件 > LLDP 配置文件
链路层发现协议 (LLDP) 配置文件即是您在配置防火墙的 LLDP 模式、启用 syslog 和 SNMP 通
知以及配置想传输到 LLDP 对端的可选类型长度值 (TLV) 时所采用的方式。配置好 LLDP 配置
文件后,您会将该配置文件分配给一个或多个接口。
表 132. LLDP 配置文件设置
字段
配置位置
说明
名称
LLDP 配置文件
输入 LLDP 配置文件的名称。
模式
LLDP 配置文件
选择 LLDP 的工作模式:传输接收、仅传输或仅接收。
SNMP Syslog
通知
LLDP 配置文件
启用 SNMP 陷阱和 syslog 通知,这些通知将按照全局通知间隔发送。如果
启用了,防火墙将按照 Device > 日志设置 > 系统 > SNMP 陷阱配置文件和
Syslog 配置文件中的配置来发送 SNMP 陷阱和 syslog 事件。
端口说明
LLDP 配置文件
使防火墙的 ifAlias 对象能通过“端口说明”TLV 来发送。
系统名称
LLDP 配置文件
使防火墙的 ifAlias 对象能通过“系统名称”TLV 来发送。
系统说明
LLDP 配置文件
使防火墙的 sysDescr 对象能通过“系统说明”TLV 来发送。
使接口的部署模式(L3、L2 或 virtual wire)能通过“系统功能”TLV 按照
以下映射来发送。
系统功能
LLDP 配置文件
• 如果是 L3,防火墙会通告路由器(位 6)功能和另一个位(位 1)。
• 如果是 L2,防火墙会通告 MAC 网桥(位 3)功能和另一个位(位 1)。
• 如果是 virtual wire,防火墙会通告中继器(位 2)功能和另一个位(位 1)。
SNMP MIB 会将接口上已配置的功能组合到单个条目中。
管理地址
LLDP 配置文件
使管理地址能通过“管理地址”TLV 来发送。您最多可以输入四个管理地
址,这些地址会按照指定顺序发送。要更改此顺序,请使用上移或下移按钮。
名称
LLDP 配置文件
指定管理地址的名称。
180 • Web 界面参考指南,版本 7.0
Palo Alto Networks
定义 LLDP 配置文件
表 132. LLDP 配置文件设置(续)
字段
配置位置
说明
接口
LLDP 配置文件
选择其 IP 地址将成为管理地址的接口。如果指定了无,可在 IPv4 或 IPv6
选项旁的字段中输入 IP 地址。
IP 选项
LLDP 配置文件
选择 IPv4 或 IPv6,然后在相邻字段中选择或输入要作为管理地址来传输的 IP
地址。如果启用了管理地址 TLV,那么至少需要一个管理地址。如果未配置
管理 IP 地址,则系统会使用传输接口的 MAC 地址作为被传输的管理地址。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 181
定义 LLDP 配置文件
182 • Web 界面参考指南,版本 7.0
Palo Alto Networks
章节 5
策略和安全配置文件
本节介绍如何配置策略和安全配置文件:
• “策略类型”
• “移动或克隆策略或对象”
• “安全配置文件”
• “其他策略对象”
策略类型
通过强制规则并自动采取操作,策略允许您控制防火墙操作。支持以下策略类型:
基本安全策略,用于根据应用程序、源 / 目标区域和地址以及(可选)服务(端口和协
议)阻止或允许网络会话。区域标识发送或接收通信的物理接口或逻辑接口。请参阅“定
义安全策略”。
有关使用标记浏览器的信息,请参阅“使用标记浏览器”。
• 网络地址转换 (NAT) 策略,用于根据需要转换地址和端口。请参阅 “NAT 策略”和“定
义网络地址转换策略”。
• 基于策略的转发策略,用于替代路由表,和指定流量的 egress 接口。请参阅“基于策略的转
发策略”。
• 解密策略,用于指定安全策略的通信解密。每个策略均可以为要解密的通信指定 URL 类别。
SSH 解密用于标识和控制除 SSH 外壳访问以外的 SSH 隧道。请参阅“解密策略”。
• 替代策略,用于替代由防火墙提供的应用程序定义。请参阅“定义应用程序替代策略”。
• 服务质量 (QoS) 策略,用于确定当通信通过启用了 QoS 的接口时如何对通信进行分类处理。
请参阅“QoS 统计信息”。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 183
策略类型
• 强制网络门户策略,用于要求未经确认的用户进行身份验证。请参阅“定义强制网络门户
策略”。
• 拒绝服务 (DoS) 策略,用于防御 DoS 攻击,并在响应规则匹配时采取保护措施。请参阅“定
义 DoS 策略”。
从 Panorama 推入的共享策略在防火墙 Web 界面上采用绿色显示;这些共
享策略不能在防火墙上进行编辑。
移动或克隆策略或对象
在移动或克隆策略或对象时,可以为您有其访问权限的策略或对象分配目标(防火墙上的虚拟
系统或 Panorama 上的设备组),包括共享位置。
要移动策略或对象,请在策略或对象选项卡中选择它们,单击移动,选择移到其他虚拟系统
(仅限防火墙)或移到其他设备组(仅限 Panorama),在随后的表格中填写字段,然后单击
确定。
要克隆策略或对象,请在策略或对象选项卡中选择它们,单击克隆,在随后的表格中填写字段,
然后单击确定。
表 133 移动 / 克隆设置
字段
说明
所选规则 / 对象
显示为操作选择的策略或对象的名称和当前位置(虚拟系统或设
备组)。
目标
为策略或对象选择新位置:虚拟系统、设备组或共享位置。默认值
是在策略或对象选项卡中选择的虚拟系统或设备组。
选择相对于其他规则的规则位置:
• 移至顶部 — 此规则将位于所有其他规则的前面。
规则顺序(仅限策略)
• 移至底部 — 此规则将位于所有其他规则的后面。
• 前导规则 — 在相邻下拉列表中,选择随后的规则。
• 后继规则 — 在相邻下拉列表中,选择前面的规则。
输出验证中第一个检测到的
错误
选中此复选框(默认选中)可让设备显示其找到的第一个错误,并
停止检查更多错误。例如,如果目标不包含要移动的策略规则所引
用的对象,则会出错。如果清除此复选框,则设备会查找所有错
误,然后显示这些错误。
替代或恢复默认安全规则
默认安全规则(区域间默认规则和区域内默认规则)具有可在防火墙或 Panorama 上替代的预
定义设置。如果防火墙收到来自设备组的默认规则,还可以替代设备组设置。执行替代操作的
设备或虚拟系统的配置中可存储规则的本地版本。可以替代的设置是完整集合的子集(下表列
出了安全规则子集)。有关默认安全规则的详细信息,请参阅“定义安全策略”。
要替代规则,请在防火墙上选择策略 > 安全,或在 Panorama 上选择策略 > 安全 > 默认规则。
“名称”列将对可替代的规则显示继承图标
。选择规则,单击替代,然后在随后的表格中
编辑设置。
184 • Web 界面参考指南,版本 7.0
Palo Alto Networks
策略类型
要将替代的规则恢复为其预定义设置或从 Panorama 设备组推送的设置,请在防火墙上选择策
略 > 安全,或在 Panorama 上选择策略 > 安全 > 默认规则。“名称”列将对有替代值的规则显
示替代图标
。选择规则,单击恢复,然后单击是以确认操作。
表 134 替代默认安全规则
字段
说明
“常规”选项卡
名称
用于识别规则的名称是只读字段;不能替代它。
规则类型 :
规则类型是只读字段;不能替代它。
说明
说明是只读字段;不能替代它。
标记
从下拉列表中选择标记。
策略标记是允许您对策略进行排序或过滤的关键字或短语。如果您
定义了许多策略,并且希望查看用特定关键字标记的策略,那么它
会非常有用。例如,您可能希望使用“入站到 DMZ”来标记某些安
全策略,使用关键字“解密”和“不解密”标记特定解密策略,或
者将特定数据中心的名称用于和该位置关联的策略。
操作选项卡
操作设置
操作:为与规则匹配的流量选择以下操作之一。
• 允许 —(默认)允许流量。
• 拒绝 — 阻止流量,并强制执行为防火墙所拒绝应用程序定义的默认
拒绝操作。要查看为应用程序默认定义的拒绝操作,请在对象 > 应
用程序中查看应用程序详细信息。
• 丢弃 — 静默丢弃应用程序。防火墙不向主机或应用程序发送 TCP 重
置消息。
• 重置客户端 — 向客户端设备发送 TCP 重置消息。
• 重置服务器 — 向服务器端设备发送 TCP 重置消息。
• 重置两者 — 向客户端和服务器端设备发送 TCP 重置消息。
配置文件设置
配置文件类型:将配置文件或配置文件组分配给安全规则:
• 要指定默认安全配置文件执行的检查,请选择配置文件,然后选择
单个防病毒软件、漏洞保护、防间谍软件、URL 过滤、文件传送
阻止、数据过滤和 / 或 WildFire 分析配置文件。
• 要分配配置文件组,而非单个配置文件,请选择组,然后从下拉列
表中选择组配置文件。
• 要定义新配置文件(参阅“安全配置文件”)或配置文件组(参阅
“安全配置文件组”),请单击相应配置文件或组的下拉列表中的
新建。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 185
策略类型
表 134 替代默认安全规则(续)
字段
说明
日志设置
指定以下选项的任意组合:
• 日志转发 — 要将本地流量日志和威胁日志条目转发到远程目标,如
Panorama 和 Syslog 服务器,请从下拉列表中选择日志转发配置文
件。安全配置文件用于决定是否生成威胁日志条目。要定义新的日
志转发配置文件,请在下拉列表中选择配置文件(参阅“日志转
发”)。
• 要在本地通信日志中为匹配此规则的通信生成条目,请选择以下
选项:
– 在会话开始时记录 — 生成关于会话开始的流量日志条目(默认
选择)。
– 在会话结束时记录 — 生成关于会话结束的流量日志条目(默认不
选择)。
注:如果将防火墙配置为在流量日志中包含会话开始或会话结束条
目,则其中还将包含丢弃和拒绝条目。
替代或恢复对象
在 Panorama 中,可以在多达四级的树层次结构中嵌套设备组。在底层级别中,设备组在依次更
高的级别中可以拥有父级、祖父级和曾祖父级 — 统称为祖先 — 从中继承策略和对象。在顶层级
别中,设备组可以拥有子级、孙级和曾孙级设备组 — 统称后代。您可以替代子对象中的对
象,以使其值与父对象中的对象值不同。此替代功能在默认情况下已启用。但是,不能替代共
享对象或默认(预配置)对象。Web 界面通过显示
图标表示某对象已继承值,通过显示
图标表示某继承对象已替代值。
要替代对象,请选择对象选项卡,选择将包含替代版本的设备组子对象,选择对象,单击替代,
然后编辑设置。不能替代对象名称或共享设置。
要将替代对象恢复为其继承值,请选择对象选项卡,选择有替代版本的设备组,选择对象,单
击恢复,然后单击是以确认操作。
要禁用某对象的替代功能,请选择对象选项卡,选择此对象所驻留的设备组,单击要编辑的对
象名称,选中禁用替代复选框,然后单击确定。该对象所选设备组的所有子对象的替代功能随
即已被禁用。
要将 Panorama 中的所有对象替代项替换为从共享位置或父对象设备组继承的值,请选择
Panorama > 设置 > 管理,编辑 Panorama 设置,选中父对象优先复选框,然后单击确定。随
后必须提交到 Panorama 和包含替代项的设备组,才能推送继承的值。
186 • Web 界面参考指南,版本 7.0
Palo Alto Networks
策略类型
为策略指定用户及应用程序
策略 > 安全
策略 > 解密
通过在安全或解密设备规则页面上单击用户或应用程序链接,可以将安全策略应用于选择的用
户或应用程序。有关按应用程序限制规则的信息,请参阅“定义应用程序”。
要将策略限制到选定的用户 / 组,请执行以下步骤:
1.
在安全或解密设备规则页面上,单击用户选项卡打开选择窗口。
如果正在使用 RADIUS 服务器,而不是 User-ID Agent,则不会显示用户
的列表,必须手动输入用户信息。
2.
单击源用户表上方的下拉菜单选择用户类型:
– 任何 — 无论用户数据怎样,包括任何流量。
– 预登录 — 包括使用 GlobalProtect 连接到网络的远程用户,但尚未登录到自己的系统。
当在 GlobalProtect 客户端门户网站上配置预登录选项时,可以通过用户名 pre-logon 识别
当前尚未登录到自己计算机的所有用户。然后,您可以为预登录用户创建策略,尽管用户
没有直接登录,但也可以在域中对其计算机进行身份验证,好像他们已经完全登录。
– 已知用户 — 包括所有已经过身份验证的用户,这意味着包括含有映射的用户数据的所有
IP。此选项相当于域中的“域用户”组。
– 未知 — 包括所有未经身份验证的用户,这意味着包括尚未映射到用户的 IP 地址。例如,
您可以使用来宾级别访问权限访问未知的内容,因为它们在网络中拥有 IP 地址,但没
有对域进行身份验证,且在防火墙上没有用户映射信息的 IP 地址。
– 选择 — 包括由此窗口中的选择项所确定的选定用户。例如,您可能想要添加一个用户、
个人列表、一部分组或手动添加用户。
3.
若要添加用户组,请从可用的用户组复选框中选择,并单击添加用户组。或者,也可以输入
匹配一个或多个组的文本,然后单击添加用户组。
4.
若要添加单个用户,请在用户搜索字段中输入搜索字符串,并单击查找。然后可以选择用
户,并单击添加用户。或者,也可以在其他用户区域中输入单个用户名。
5.
单击确定以保存选择,并更新安全或解密规则。
在 Panorama 上定义策略
Panorama 上的设备组可让您集中管理受管设备(或防火墙)的策略。可以在 Panorama 上创
建定义的策略作为预处理规则或作为后处理规则;预处理规则和后处理规则可让您在实施策略
时创建分层的方法。
可以在共享上下文中定义预处理规则和后处理规则作为适用于所有受管设备的共享策略,或在
设备组上下文中使其特定于某个设备组。由于已在 Panorama 上定义预处理规则和后处理规
则,然后将它们从 Panorama 推送到受管设备,因此您可以查看受管设备上的规则,但只能编
辑 Panorama 中的预处理规则和后处理规则。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 187
策略类型
• 预处理规则 — 在进行评估前添加到规则序列顶部的规则。您可以使用预处理规则强制执行组
织的可接受使用策略;例如,阻止访问特定的 URL 类别,或者允许所有用户的 DNS 流量。
• 后处理规则 — 在使用预处理规则进行评估后添加到规则序列底部且在设备本地进行定义的
规则。后处理规则通常包括根据应用程序 ID、用户 ID 或服务拒绝访问流量的规则。
• 默认规则 — 规则指导防火墙如何处理与任何预处理、后处理规则或本地设备规则不匹配的
流量。这些规则是 Panorama 的预定义配置的一部分。必须替代它们才能编辑在这些规则
中选择的设置:请参阅“替代或恢复默认安全规则”。
使用预览规则可查看在将规则推送到受管设备之前的规则列表。在每个规则库内,每个设备组
(和受管设备)的规则级联可在视觉上进行划定,从而使得更容易通过大量规则进行扫描。
使用突出显示未使用的规则可查找未使用的规则,并选择性地删除或禁用规则。当前未使用的
规则用黄色斑点背景显示。每个设备都为具有匹配项的规则来维护标记。Panorama 监控每个
设备,提取并聚合没有匹配项的规则的列表。由于标记在重新引导或重新启动时由于数据面板
重置而重置,因此作为最佳实践,应该在删除或禁用规则之前,定期监控此列表以确定规则自
从上次检查以来是否具有了匹配项。
要创建策略,请参阅每个规则库的相关章节:
• “定义安全策略”
• “定义网络地址转换策略”
• “QoS 统计信息”
• “基于策略的转发策略”
• “解密策略”
• “定义应用程序替代策略”
• “定义强制网络门户策略”
• “定义 DoS 策略”
定义安全策略
策略 > 安全
安全策略引用安全区域,并让您能够根据应用程序、用户或用户组以及服务(端口和协议)允
许、限制和跟踪网络上的流量。默认情况下,防火墙包含一个名为 rule1 的安全规则,它允许
从信任区域到不信任区域的所有流量。
您想了解什么内容?
请参阅
安全策略是什么?
“安全策略概述”
对于 Panorama,请参阅“在 Panorama 上定义策略”
哪些字段可用于创建安全策略?
188 • Web 界面参考指南,版本 7.0
“安全策略的构建块”
Palo Alto Networks
策略类型
您想了解什么内容?
请参阅
如何使用 Web 界面管理安全
策略?
“创建和管理策略”
是否需要了解更多内容?
找不到正在查找的内容?
请参阅安全策略。
安全策略概述
策略 > 安全
安全策略可让您强制执行规则并执行操作,根据需要可以是一般的,也可以是特定的。将针对
传入通信按顺序对策略规则进行比较,并且因为将应用第一个与通信匹配的规则,所以特定性
更强的规则必须位于一般性更强的规则前面。例如,如果所有其他与通信相关的设置均相同,
则适用于单个应用程序的规则必须位于适用于所有应用程序的规则前面。
对于与任何用户定义的规则不匹配的流量,将应用默认规则。在安全规则库底部显示的默认规
则是预定义的规则,用于允许所有区域内(在区域内部)流量和拒绝所有区域间(在区域之
间)流量。尽管这些规则是预定义配置的一部分且默认为只读,但您可以覆盖它们并更改数量
有限的设置,包括标记、操作(允许或拒绝)、日志设置和安全策略。
界面包含以下定义安全策略的选项卡。
• 常规 — 使用常规选项卡可以配置安全策略的名称和说明。
• 源 — 使用源选项卡可以定义流量起源的源区域或源地址。
• 用户 — 使用用户选项卡可以对单个用户或用户组强制实施策略。如果使用启用主机信息配
置文件 (HIP) 的 GlobalProtect,则还可以让策略基于 GlobalProtect 所收集的信息。例
如,用户的访问级别可以通过 HIP 确定,该配置文件可将用户本地配置告知防火墙。HIP
信息可以用来根据正在主机上运行的安全程序、注册表值和许多其他检查(如主机是否已
安装防病毒软件)进行粒度控制访问。
• 目标 — 使用目标选项卡可以定义流量的目标区域或目标地址。
• 应用程序 — 使用应用程序选项卡可以根据应用程序或应用程序组针对发生的操作制定策略。
此外,系统管理员也可以使用现有的 App-ID 签名和进行自定义,检测专用应用程序或现
有应用程序的特定属性。已经在对象 > 应用程序中定义了自定义应用程序。
• 服务 / URL 类别 — 使用服务 / URL 类别选项卡可以指定特定 TCP 和 / 或 UDP 端口号或 URL
类别作为策略中的匹配条件。
• 操作 — 使用操作选项卡可以根据与所定义的策略属性匹配的流量确定将执行的操作。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 189
策略类型
请参阅:
“安全策略的构建块”
“创建和管理策略”
安全策略的构建块
以下部分介绍了安全策略规则中的每个构建块或组件。在查看默认安全规则,或创建新的规则
时,可以配置下面介绍的选项。
表 135. 安全规则的构建块
字段
规则号
名称
配置位置
N/A
常规
说明
每个规则会自动编号,并且顺序会随着规则的移动改变。在
过滤规则以匹配特定过滤器时,会将每个规则连同其在规则
库中整组规则上下文中的编号及其在评估顺序中的位置一起
列出。
在 Panorama 中,会将前导规则和后续规则单独编号。当将
规则从 Panorama 推送至受管防火墙时,规则编号将前导规
则、设备规则和后续规则中的层次结构加入规则库并反映规
则顺序及其评估顺序。
输入标识规则的名称。名称区分大小写,最多可以包含 31 个
字符,可以是字母、数字、空格、连字符和下划线。名称在
防火墙上必须是唯一的,并且在 Panorama 上,在其设备组
以及所有父对象或子对象设备组中必须是唯一的。
单击添加可为策略指定标记。
标记
常规
策略标记是允许您对策略进行排序或过滤的关键字或短语。
如果您定义了许多策略,并且希望查看用特定关键字标记的
策略,那么它会非常有用。例如,您可能希望使用“解密”
和“不解密”等特定关键字标记某些规则,或者将特定数据
中心的名称用于和该位置关联的策略。
您还可以将标记添加到默认规则。
190 • Web 界面参考指南,版本 7.0
Palo Alto Networks
策略类型
表 135. 安全规则的构建块(续)
字段
配置位置
说明
指定将规则应用于区域内部、区域之间还是两者的流量:
• 通用(默认)— 将规则应用于指定源和目标区域中的所有匹
配区域间和区域内流量。例如,如果您使用源区域 A 和 B 及
目标区域 A 和 B 创建通用规则,则该规则将适用于区域 A
内部的所有流量、区域 B 内部的所有流量、从区域 A 至区域
B 以及从区域 B 至区域 A 的所有流量。
类型
常规
• 区域内 — 将规则应用于指定源区域内部的所有匹配流量(您
不能为区域内规则指定目标区域)。例如,如果您将源区
域设置为 A 和 B,则规则将适用于区域 A 和区域 B 内部的
所有流量,但不适用于区域 A 和 B 之间的流量。
• 区域间 — 将规则应用于指定源区域和目标区域之间的所有
匹配流量。例如,如果您将源区域设置为 A、B 和 C,并
将目标区域设置为 A 和 B,则该规则将适用于从区域 A 至
区域 B、从区域 B 至区域 A、从区域 C 至区域 A 以及从区
域 C 至区域 B 的流量,但不适用于区域 A、B 或 C 内部的
流量。
源区域
源
源地址
源
Palo Alto Networks
单击添加以选择源区域(默认为任何区域)。区域类型必须
相同(第 2 层、第 3 层或虚拟线路)。要定义新区域,请参
阅“定义安全区域”。
多个区域可以用于简化管理。例如,如果有三个不同内部区
域(市场部、销售部和公关部)都定向到非受信目标区域,
则可以创建一个涵盖所有情况的规则。
单击添加可以添加源地址、地址组或地区(默认为任何地
区)。从下拉列表中选择,或在下拉列表的底部单击地址、
地址组或区域,并指定设置。
Web 界面参考指南,版本 7.0 • 191
策略类型
表 135. 安全规则的构建块(续)
字段
配置位置
说明
单击添加可以选择适用于策略的源用户或用户组。支持以下
源用户类型:
• 任何 — 无论用户数据怎样,包括任何流量。
• 预登录 — 包括使用 GlobalProtect 连接到网络的远程用户,
但尚未登录到自己的系统。当在 GlobalProtect 客户端门户
网站上配置预登录选项时,可以通过用户名 pre-logon 识别
当前尚未登录到自己计算机的所有用户。然后,您可以为预
登录用户创建策略,尽管用户没有直接登录,但也可以在域
中对其计算机进行身份验证,好像他们已经完全登录。
源用户
用户
• 已知用户 — 包括所有已经过身份验证的用户,这意味着包
括含有映射的用户数据的所有 IP。此选项相当于域中的域
用户组。
• 未知 — 包括所有未经身份验证的用户,这意味着包括尚未
映射到用户的 IP 地址。例如,您可以使用来宾级别未知访问
权限访问内容,因为它们在网络中拥有 IP 地址,但没有对域
进行身份验证,且在防火墙上没有 IP 到用户的映射信息。
• 选择 — 包括由此窗口中的选择项所确定的选定用户。例如,
您可能想要添加一个用户、个人列表、一部分组或手动添
加用户。
注:如果正在使用 RADIUS 服务器,而不是 User-ID Agent,
则不会显示用户的列表,必须手动输入用户信息。
源 HIP 配置文件
用户
单击添加可以选择用于标识用户的主机信息配置文件 (HIP)。
HIP 可让您收集有关终端主机安全状态的信息,例如终端主
机是否已安装最新的安全修补程序和防病毒定义。使用策略
实施的主机信息配置文件可启用粒度安全功能,确保远程主
机能够访问得到充分维护的关键资源,并且保证遵循安全标
准之后才允许访问网络资源。
单击添加可以选择目标区域(默认为任何区域)。区域类型
必须相同(第 2 层、第 3 层或虚拟线路)。要定义新区域,
请参阅“定义安全区域”。
目标区域
目标
多个区域可以用于简化管理。例如,如果有三个不同内部区
域(市场部、销售部和公关部)都定向到非受信目标区域,
则可以创建一个涵盖所有情况的规则。
注:在区域内规则上,您不能定义目标区域,因为这些类型
的规则只与同一区域内部的源和目标流量匹配。要指定与区
域内规则匹配的区域,您需要设置源区域。
目标地址
目标
192 • Web 界面参考指南,版本 7.0
单击添加可以添加目标地址、地址组或地区(默认为任何地
区)。从下拉列表中选择,或单击下拉列表底部的地址链
接,并指定地址设置。
Palo Alto Networks
策略类型
表 135. 安全规则的构建块(续)
字段
应用程序
配置位置
应用程序
说明
选择安全规则的特定应用程序。如果应用程序具有多项功
能,则可以选择整个应用程序或个别功能。如果选择整个应
用程序,则所有功能均将包含,而且在将来添加功能时会自
动更新应用程序定义。
如果在安全规则中使用应用程序组、过滤器或容器,则可以
通过将鼠标悬停在应用程序列中的对象上方,单击下拉箭头
并选择值,查看这些对象的详细信息。此操作可让您直接从
策略轻松查看应用程序成员,无需导航到对象选项卡。
选择要限制到特定 TCP 和 / 或 UDP 端口号的服务。从下拉
列表中选择以下选项之一:
• 任何 — 所选应用程序在任何协议或端口上均得到许可或遭
到拒绝。
服务
服务 / URL 类别
• 应用程序默认 — 仅在 Palo Alto Networks 定义的默认端口
上允许或拒绝所选应用程序。建议选择此选项可让您使用
各项策略,因为这些策略可以防止在不寻常的端口或协议
上运行应用程序,如果发生异常情况,则这可能是发生意
外应用程序行为和用途的迹象。
请注意,在使用此选项时,设备仍然会检查在所有端口上
运行的所有应用程序,但使用该配置,只允许在自己的默
认端口和协议上运行应用程序。
• 选择 — 单击添加。选择现有服务或选择服务或服务组以指
定新条目。请参阅“服务”和“服务组”。
选择安全规则的 URL 类别。
• 选择任何将允许或拒绝所有会话,而不考虑 URL 类别。
URL 类别
Palo Alto Networks
服务 / URL 类别
• 要指定类别,请单击添加,然后从下拉列表中选择特定类
别(包括自定义类别)。您可以添加多个类别。有关定义
自定义类别的信息,请参阅“动态阻止列表”。
Web 界面参考指南,版本 7.0 • 193
策略类型
表 135. 安全规则的构建块(续)
字段
配置位置
说明
要为与规则所定义属性匹配的流量指定操作,请从以下操作
中选择:
– 允许 —(默认)允许流量。
– 拒绝 — 阻止流量,并强制执行为被拒应用程序定义的默
认拒绝操作。要查看为应用程序默认定义的拒绝操作,
请在对象 > 应用程序中查看应用程序详细信息。
由于默认拒绝操作因应用程序而异,防火墙可能会阻止
会话,并对一个应用程序发送重置消息,同时可能会对
另一个应用程序静默丢弃会话。
– 丢弃 — 静默丢弃应用程序。不向主机 / 应用程序发送 TCP
重置消息,除非选择发送 ICMP 无法访问。
– 重置客户端 — 向客户端设备发送 TCP 重置消息。
操作
操作
– 重置服务器 — 向服务器端设备发送 TCP 重置消息。
– 重置两者 — 向客户端和服务器端设备发送 TCP 重置
消息。
• 发送 ICMP 无法访问 — 仅可用于第 3 层接口。将安全策略
配置为丢弃流量或重置连接时,流量无法到达目标主机。
在这种情况下,对于所有 UDP 流量和丢弃的 TCP 流量,
您可以让防火墙向流量起源的源 IP 地址发送“ICMP 无法
访问”响应。启用此设置,可让流量源正常关闭或清除会
话,防止应用程序遭到破坏。
要查看在防火墙上配置的“ICMP 无法访问数据包率”,
请在设备 > 设置 > 会话中查看“会话设置”部分。
要替代预定义区域间和区域内规则中定义的默认操作:请参
阅“替代或恢复默认安全规则”
要指定通过默认安全配置文件完成的检查,请选择单个防病
毒、防间谍软件、漏洞保护、URL 过滤、文件传送阻止和 /
或数据过滤配置文件。
配置文件设置
操作
要指定配置文件组,而非单个配置文件,请选择配置文件类
型组,然后从组配置文件下拉列表选择配置文件组。
要定义新配置文件或配置文件组,请单击相应配置文件或组
旁的新建(请参阅“安全配置文件组”)。
您还可以将安全配置文件(或配置文件组)附加到默认规
则中。
194 • Web 界面参考指南,版本 7.0
Palo Alto Networks
策略类型
表 135. 安全规则的构建块(续)
字段
配置位置
说明
选项选项卡包含日志记录设置和
下列其他选项组合:
要在本地通信日志中为匹配此规则的通信生成条目,请选择
以下选项:
• 在会话开始时记录。生成关于会话开始的通信日志条目(默
认情况下禁用)。
• 在会话结束时记录。生成关于会话结束的通信日志条目(默
认情况下启用)。
注:如果记录了会话开始或结束条目,则 drop 和 deny 条
目也随之记录下来。
选项
操作
• 日志转发配置文件 — 要将本地流量日志和威胁日志条目转
发到远程目标,如 Panorama 和 Syslog 服务器,请从日志
转发配置文件下拉列表选择日志配置文件。
请注意,由安全配置文件决定是否生成威胁日志条目。要定
义新日志配置文件,请单击新建(请参阅“日志转发”)。
您也可以修改默认规则的日志设置。
指定以下选项的任意组合:
• 计划 — 要限制规则有效的天数和时间,请从下拉列表中选
择调度。要定义新调度,请单击新建(请参阅“解密配置
文件中的 SSL 解密设置”)。
• QoS 标记 — 要更改与规则匹配的数据包的服务质量 (QoS)
设置,请选择 IP DSCP 或 IP 优先级,并以二进制形式输
入 QoS 值,或从下拉列表中选择预定义的值。有关 QoS
的详细信息,请参阅“配置服务质量”。
• 禁用服务器响应检查 — 要禁用从服务器到客户端的数据包
检查,请选中此复选框。如果服务器负载较重,此选项可
能很有用。
说明
Palo Alto Networks
常规
输入策略的说明(最多 255 个字符)。
Web 界面参考指南,版本 7.0 • 195
策略类型
创建和管理策略
使用策略 > 安全页面可添加、修改和管理安全策略:
任务
说明
添加
要添加新策略规则,请执行以下操作之一:
• 单击页面底部的添加。
• 选择新规则要基于的规则,并单击克隆规则,或单击规则的空白处以选择规则,
并选择页面底部的克隆规则(在 Web 界面中选择的规则以黄色背景显示)。被复
制的规则(“rulen”)将插入到所选规则的下面,其中 n 是使规则名称保持唯一的
下一个可用整数。有关克隆的详细信息,请参阅“移动或克隆策略或对象”。
修改
要修改规则,请单击它。
如果此规则是从 Panorama 推送的,则此规则在防火墙上是只读规则,并且不能
在本地进行编辑。
替代和恢复操作仅适用于安全规则库底部显示的默认规则。这些预定义规则(允
许所有区域内流量,拒绝所有区域间流量)可指导防火墙如何处理与规则库中任
何其他规则不匹配的流量。由于它们是预定义配置的一部分,因此您必须覆盖它
们以便编辑选定的策略设置。如果您使用 Panorama,也可以覆盖默认规则,然后
在设备组或共享上下文中将它们推送到防火墙。您也可以恢复默认规则,这样可
以还原预定义的设置或从 Panorama 推送的设置。有关详细信息,请参阅“替代
或恢复默认安全规则”。
移动
规则按照策略页面上所列举的自上而下的顺序进行评估。要更改对网络流量评估
规则的顺序,请选择一个规则,然后单击向上移动、向下移动、移至顶部或移至
底部。有关详细信息,请参阅“移动或克隆策略或对象”。
删除
选择一个规则,然后单击删除可删除现有规则。
启用 / 禁用
要禁用规则,选择规则并单击禁用。要启用已禁用的规则,请选择此规则,并单
击启用。
查看未使用的
规则
要查找当前未使用的规则,请选中突出显示未使用的规则复选框。随后可以决定
是禁用此规则还是删除它。当前未使用的规则用黄色斑点背景显示。
最佳做法:每个设备都为具有匹配项的规则来维护标记。由于标记在重新引导或
重新启动时因数据面板重置而重置,因此应该在删除或禁用规则之前,定期监控
此列表以确定规则自从上次检查以来是否具有匹配项。
在 Panorama 上,Panorama 可从每个受管设备中提取并聚合没有匹配项的规则的
列表。
使用的规则
196 • Web 界面参考指南,版本 7.0
未使用的规则(黄点背景)
Palo Alto Networks
策略类型
任务
说明
显示 / 隐藏列
要更改(显示或隐藏)任何策略页面中显示的列,请选中或取消选中列名称旁的
复选框,以切换每个列的显示。
应用过滤器
要对列表应用过滤器,请从过滤器规则下拉列表中选择规则。要添加值以定义过
滤器,请单击项目的下拉列表,并选择过滤器。注:默认规则不是用于过滤的规
则库的一部分,并且始终显示在过滤规则列表中。
要查看作为策略的匹配项记录的网络会话,请单击规则名称下拉列表,然后选择
日志查看器。
通过单击条目的下拉列表,并选择值,可显示当前值。还可以直接从列菜单编
辑、过滤或删除特定项目。例如,要查看地址组中包含的地址,请将鼠标悬停在
地址列中的对象上方,单击下拉列表,然后选择值。此操作可让您快速查看地址
组的成员和相应 IP 地址,无需导航到对象选项卡。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 197
在 Panorama 上定义策略
任务
说明
要根据对象名称或 IP 地址查找策略中使用的对象,请使用过滤器。搜索将彻底搜
查嵌入的对象,以查找地址对象或地址组中的地址。在以下屏幕截图中,在过滤
器栏中已输入 IP 地址 10.8.10.177 并显示 aaa 策略。此策略使用名为 aaagroup 的
地址组对象,其中包含 IP 地址。
过滤器栏
过滤器结果
预览规则
(仅限
Panorama)
使用预览规则可查看在将规则推送到受管设备之前的规则列表。在每个规则库
内,每个设备组(和受管设备)的规则级联可在视觉上进行划定,从而使得更容
易通过大量规则进行扫描。
在 Panorama 上定义策略
Panorama 上的设备组可让您集中管理受管设备(或防火墙)的策略。可以在 Panorama 上创建
定义的策略作为预处理规则或作为后处理规则;预处理规则和后处理规则可让您在实施策略时
创建分层的方法。
可以在共享上下文中定义预处理规则和后处理规则作为适用于所有受管设备的共享策略,或在设
备组上下文中使其特定于某个设备组。由于已在 Panorama 上定义预处理规则和后处理规则,然
后将它们从 Panorama 推送到受管设备,因此您可以查看受管设备上的规则,但只能编辑
Panorama 中的预处理规则和后处理规则。
• 预处理规则 — 在进行评估前添加到规则序列顶部的规则。您可以使用预处理规则强制执行组
织的可接受使用策略;例如,阻止访问特定的 URL 类别,或者允许所有用户的 DNS 流量。
• 后处理规则 — 在使用预处理规则进行评估后添加到规则序列底部且在设备本地进行定义的
规则。后处理规则通常包括根据应用程序 ID、用户 ID 或服务拒绝访问流量的规则。
• 默认规则 — 规则指导防火墙如何处理与任何预处理、后处理规则或本地设备规则不匹配的
流量。这些规则是 Panorama 的预定义配置的一部分。您可以替代默认规则,以便编辑在
这些规则中选择的设置,然后将它们推送到设备组或共享环境中的受管防火墙中。
要定义策略,请参阅“安全策略的构建块”或“创建和管理策略”。
198 • Web 界面参考指南,版本 7.0
Palo Alto Networks
在 Panorama 上定义策略
NAT 策略
在防火墙上定义第 3 层接口时,可以使用网络地址转换 (NAT) 策略指定在公用和专用地址和端
口之间,是转换源 IP 地址和端口还是目标 IP 地址和端口。例如,从内部(受信)区域向公用
(非受信)区域发送流量时,专用源地址可以转换为公用地址。
虚拟线路接口同样支持 NAT。在虚拟线路接口上执行 NAT 时,建议将源地址转换为与相邻设
备进行通信的子网不同的子网。虚拟线路上不支持代理 ARP,因此相邻设备将只能解析对虚拟
线路另一端设备接口上 IP 地址的 ARP 请求。
在防火墙上配置 NAT 时,重要的是要注意到还必须将安全策略配置为允许 NAT 流量。将根据
NAT 后区域和 NAT 前区域 IP 地址匹配安全策略。
防火墙支持以下地址转换类型:
• 动态 IP / 端口 — 用于出站流量。在源端口号不同的情况下,多个客户端可以共用同一公用
IP 地址。动态 IP / 端口 NAT 规则允许转换到单个 IP 地址、IP 地址范围、子网或这些项
的组合。在 Egress 接口具有动态分配的 IP 地址的情况下,将接口自身指定为转换地址会
很有用。通过在动态 IP / 端口规则中指定接口,NAT 策略将进行自动更新,以使用由此
接口所获取的任何地址来进行后续转换。
Palo Alto Networks 动态 IP / 端口 NAT 支持的 NAT 会话数多于可用 IP 地址
和端口数所支持的 NAT 会话数。如果目标 IP 地址唯一,防火墙在 PA-200、
PA-500、PA-2000 系列和 PA-3000 系列防火墙上最多可以(同时)使用两
次 IP 地址和端口组合,在 PA-4020 和 PA-5020 防火墙上最多使用四次,在
PA-4050、PA-4060、PA-5050、PA-5060 和 PA-7050 系列防火墙上最多使
用八次。
• 动态 IP — 用于出站流量。专用源地址会转换为指定地址范围内的下一个可用地址。动态 IP
NAT 策略允许将单个 IP 地址、多个 IP、多个 IP 范围或多个子网指定为转换地址池。如果
源地址池大于所转换的地址池,则在转换地址池被完全利用期间将阻止新的 IP 地址查找转
换。要避免此问题,可以指定主池 IP 地址不足时使用的回退池。
• 静态 IP — 用于入站或出站流量。可以使用静态 IP 更改源或目标 IP 地址,同时保留源或目
标端口不变。用于将单个公用 IP 地址映射到多个专用服务器和服务时,目标端口可以保持
不变,也可以定向到其他目标端口。
可能需要在相邻路由器和 / 或防火墙上定义静态路由,才能确保将发送到公用 IP
地址的流量路由到合适的专用地址。如果公用地址与防火墙接口相同,或位于同
一子网上,则对于该地址,路由器上不需要静态路由。指定 NAT 的服务(TCP
或 UDP)端口时,预定义 HTTP 服务 (service-http) 包括两个 TCP 端口:80 和
8080。若要指定单个端口(如 TCP 80),则必须定义新服务。
下一个表对 NAT 类型进行了汇总。可以通过两种动态方法将某一范围的客户端地址 (M) 映射
到 NAT 地址池 (N),其中 M 和 N 是不同的数字。N 也可以为 1。动态 IP / 端口 NAT 不同于
动态 IP NAT,在动态 IP / 端口中未保留 TCP 和 UDP 源端口,反之它们不能与动态 IP NAT
交换。对于转换的 IP 池大小也有不同的限制,如下所述。
对于静态 IP NAT,各原始地址和其转换地址之间存在一对一映射。对于单个映射 IP 地址,这
可以表达为“一对一”,对于由多个一对一映射 IP 地址组成的池,则可表达为“M 对 M”。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 199
在 Panorama 上定义策略
表 136. NAT 类型
PAN-OS
NAT 类型
源端口保持不变
目标端口可
以更改
映射类型
转换地址池的大小
Dynamic IP/
Port
否
否
多对一
最多 254 个连续地址
动态 IP
是
否
M对N
最多 32k 个连续地址
静态 IP
是
否
1对1
无限制
M对N
M对M
MIP
可选
1 对多 VIP
PAT
确定 NAT 和安全策略中的区域配置
必须将 NAT 规则配置为使用与在策略中配置的 NAT 前的 IP 地址关联的区域。例如,如果正
在转换传入到内部服务器(由 Internet 用户通过公用 IP 访问)的流量,则需要使用驻留公用
IP 地址的区域来配置 NAT 策略。在这种情况下,源和目标区域将是相同的。作为另一个示
例,在将传出主机流量转换成公用 IP 地址时,需要用对应于这些主机的专用 IP 地址的源区域
来配置 NAT 策略。NAT 前区域是必需的,因为此匹配发生在数据包被 NAT 修改之前。
安全策略不同于 NAT 策略之处在于:必须使用 NAT 后区域来控制流量。NAT 可能影响源或
目标 IP 地址,并且可以潜在地修改传出接口和区域。创建具有特定 IP 地址的安全策略时,重
要的是要注意到将在策略匹配中使用 NAT 前 IP 地址。当服从于 NAT 的流量经过多个区域
时,安全策略必须显式允许该流量。
NAT 规则选项
防火墙支持非 NAT 规则和双向 NAT 规则。
非 NAT 规则
非 NAT 规则被配置为允许将随后在 NAT 策略中定义的 NAT 规则范围内所定义的 IP 地址排
除。要定义非 NAT 策略,请指定所有匹配条件,并在源转换列中选择无源转换。
200 • Web 界面参考指南,版本 7.0
Palo Alto Networks
在 Panorama 上定义策略
双向 NAT 规则
静态源 NAT 规则中的双向设置为反方向流向相同资源的流量隐式创建目标 NAT 规则。在此示
例中,使用两个 NAT 规则以创建一个源转换,用于从 IP 10.0.1.10 到公用 IP 3.3.3.1 的传出流
量,以及一个目标转换,用于从公用 IP 3.3.3.1 到专用 IP 10.0.1.10 的流量。通过仅配置使用双
向功能的第三个 NAT 规则,可简化这对规则。
图 2. 双向 NAT 规则
NAT 策略示例
以下 NAT 策略规则将某一范围的专用源地址(“L3Trust” 区域中的 10.0.0.1 到 10.0.0.100)转
换为单个公用 IP 地址(“L3Untrust” 区域中的 200.10.2.100)和一个唯一的源端口号(动态源
转换)。该规则仅适用于在 “L3Trust” 区域中的第 3 层接口上收到的目标为 “L3Untrust” 区域
中某个接口的流量。因为隐藏了专用地址,所以无法从公用网络启动网络会话。如果公用地址
不是防火墙接口地址或与防火墙接口地址位于同一子网上,则本地路由器需要静态路由,才能
直接将流量返回防火墙。
必须将安全策略显式配置为允许与此 NAT 规则匹配的流量。请以与 NAT 规则匹配的源 / 目标
区域和源 / 目标地址创建安全策略。
图 3. 动态源地址转换
在以下示例中,第一个 NAT 规则将内部邮件服务器的专用地址转换为静态公用 IP 地址。该规
则仅适用于从 “L3Trust” 区域发送到 “L3Untrust” 区域的传出电子邮件。对于反向流量(传入
电 子 邮 件),第 二 个 规 则 将 目 标 地 址 从 服 务 器 的 公 用 地 址 转 换 为 其 专 用 地 址。Rule2 用
“L3Untrust” 作为源和目标区域,因为 NAT 策略基于 NAT 前地址区域。在这种情况下,该
NAT 前地址是公用 IP 地址,因此在 “L3Untrust” 区域中。
图 4. 静态源和目标地址转换
在两个示例中,如果公用地址不是防火墙的接口地址或与防火墙的接口地址位于同一子网上,
则必须将静态路由添加到本地路由器才能将流量路由到防火墙。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 201
在 Panorama 上定义策略
NAT64
NAT64 用于在 IPv6 和 IPv4 地址之间转换源 IP 标头和目标 IP 标头。它允许 IPv6 客户端访问
IPv4 服务器,并允许 IPv4 客户端访问 IPv6 服务器。IETF 定义了三种主要转换机制:如果您
具有仅限 IPv4 的网络和仅限 IPv6 的网络并需要进行通信时,则必须使用转换。
在 Palo Alto Networks 防火墙上使用 NAT64 策略时,必须采用第三方 DNS64 解决方案,以
将 DNS 查询功能与 NAT 功能分离。
支持以下 NAT64 功能:
• 有状态 NAT64,用于保留 IPv4 地址,以便一个 IPv4 地址可以映射到多个 IPv6 地址。IPv4
地址还能与 NAT44 共享。与之相反,无状态 NAT64 则将一个 IPv4 地址映射到一个 IPv6
地址。
• IPv4 启动的通信转换。IPv4 的静态绑定将 IPv4 地址 / 端口号映射到 IPv6 IP 地址。PAN-OS
还支持端口重写,用于保留更多的 IPv4 地址。
• 支持 /32、/40、/48、/56、/64 和 /96 子网的转换。
• 支持多个前缀。可以向每个规则分配一个 NAT64 前缀。
• 无需保留专用于 NAT64 的 IPv4 地址池。因此,您可以使用单个 IP 地址执行 NAT44 和
NAT64。
• 支持发夹 (NAT U-Turn) 访问,此功能可防御发夹回环攻击。
• 不但支持每个 RFC 的 TCP/UDP/ICMP 数据包转换,而且还支持其他无 ALG 的协议(尽
其所能)。例如,可以转换 GRE 数据包。此转换具有与 NAT44 相同的限制。
• 支持 PMTUD(路径 MTU 发现),此功能将更新 TCP 的 MSS(最大分段大小)。
• 支持 IPv6 MTU 设置的配置。默认值为 1280,此值为 IPv6 流量的最小 MTU。可以在会话
设置下的设备 > 设置 > 会话选项卡中配置此设置。
• 转换 IPv4 和 IPv6 之间的长度属性。
• 第 3 层接口和子接口、隧道和 VLAN 接口均支持。
NAT64 示例
可以使用防火墙配置两类转换:与 IPv4 中的源 NAT 类似的 IPv6 启动的通信,以及与 IPv4 中
的目标 NAT 类似的目标为 IPv6 服务器的 IPv4 启动的通信。
IPv6 启动的通信
在此类转换中,NAT 规则中的目标 IPv6 地址为采用以下 RFC 6052 格式(/32、/40、/48、/56、
/64 和 /96)的前缀。此规则中的目标 IPv6 地址子网掩码将用于提取 IPv4 地址。源转换必须
具备“动态 IP 和端口”才能实施有状态 NAT64。作为源的 IPv4 地址集将按与 NAT44 源转换
相同的方式进行配置。目标转换字段未设置。但是,必须执行目标转换,因为地址是从数据包
中的 IPv6 地址提取。此转换使用在目标 IP 匹配条件中定义的前缀。应当注意,在 /96 前缀中
地址为最后 4 个八进制数,但如果前缀不是 /96,则 IPv4 地址的位置将有所不同。
202 • Web 界面参考指南,版本 7.0
Palo Alto Networks
在 Panorama 上定义策略
DNS64 服务器
防火墙
NAT64 网关
IPv6 网络
IPv4 Internet
信任
不信任
IPv6 主机
图 5. NAT64 IPv6 客户端到 IPv4 网络
下表描述此 NAT64 策略中需要的值。
表 137.
源 IP
目标 Ip
源转换
目标转换
任意 / IPv6
地址
带有 RFC6052
兼容子网掩码的
NAT64 IPv6 前缀
动态 IP 和端口模式
(使用 IPv4 地址)
无
(从目标 IPv6 地址提取)
IPv4 启动的通信
IPv4 地址为映射到 IPv6 地址的地址,在源转换中使用静态 IP 模式。源将在 RFC6052 中定义
的 IPv6 前缀中设置,并附加到 IPv4 源地址。目标地址为在目标转换列中设置的 IP 地址。您可
以重写目标端口。此方法允许单个 IP 地址通过静态映射和端口共享多个 IPv6 服务器。
IPv6 服务器
DNS 服务器
防火墙
NAT64 网关
IPv4 Internet
IPv6 网络
不信任
信任
IPv4 主机
图 6. NAT64 IPv4 Internet 到 IPv6 客户网络
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 203
在 Panorama 上定义策略
下表描述此 NAT64 策略中需要的值。
表 138. IPv4 启动的值
源 IP
目标 Ip
源转换
目标转换
任意 / IPv4
地址
IPv4 地址
静态 IP 模式
单个 IPv6 地址(实际服务器 IP 地址)
(RFC 6052 格式的
IPv6 前缀)
注:可以指定服务器端口重写。
防火墙的数据包处理引擎必须执行路由查找,以便在查看 NAT 规则之前找到目标区域。在
NAT64 中,由于 NAT64 前缀不应通过 NAT64 网关路由,因此解决 NAT64 前缀的可访问性
问题以执行目标区域分配十分重要。NAT64 前缀很可能匹配默认路由,或由于无路由而丢
弃。由于此类接口会像回环端口那样操作并接受 / 128 以外的其他子网掩码,因此可以设置无
终止点的隧道接口。您将 NAT64 前缀应用到隧道并应用适当的区域,以确保带 NAT64 前缀的
IPv6 通信分配到适当的目标区域。如果未与 NAT6 规则匹配,则同样具有丢弃带有 NAT64 前
缀的 IPv6 流量的优势。
IPv4/IPv6 转换的 IETF 场景
IETF 在 RFC 6144 中定义了六类基于 NAT64 的场景。如下表所述,Palo Alto Networks 防火墙
支持以下任一场景以外的所有场景。
表 139. 使用 PAN-OS 的 IETF 场景实施摘要
场景
源 IP
目标 Ip
源转换
目标转换
IPv6 网络到
IPv4 Internet
任意 / IPv6
地址
带有 RFC6052 兼
容子网掩码的
NAT64 IPv6
前缀。
动态 IP 和端口
模式。
无
静态 IP 模式。
(从目标 IPv6 地址提取)
使用公用 IPv4 地址
IPv4 Internet
到 IPv6 网络
任意 / IPv4
地址
单个 IPv4 地址
IPv6 Internet
到 IPv4 网络
任意 / IPv6
地址
带有 RFC6052 兼
容子网掩码的
IPV6 全局路由
前缀。
动态 IP 和端口。
无
使用专用 IPv4 地址
(从目标 IPv6 地址提取)
IPv4 网络到
IPv6 Internet
当前不支持
IPv4 网络到
IPv6 网络
任意 / IPv4
地址
单个 IPv4 地址
静态 IP 模式。
单个 IPv6 地址
IPv6 网络到
IPv4 网络
任意 / IPv6
地址
带有 RFC6052 兼
容子网掩码的
NAT64 IPv6
前缀。
204 • Web 界面参考指南,版本 7.0
单个 IPv6 地址
RFC 6052 格式的
IPv6 前缀
RFC 6052 格式的
IPv6 前缀
动态 IP 和端口。
无
使用专用 IPv4 地址
(从目标 IPv6 地址提取)
Palo Alto Networks
在 Panorama 上定义策略
• 静态 IP — 用于入站或出站流量。可以使用静态 IP 更改源或目标 IP 地址,同时保留源或目
标端口不变。用于将单个公用 IP 地址映射到多个专用服务器和服务时,目标端口可以保持
不变,也可以定向到其他目标端口。
可能需要在相邻路由器和 / 或防火墙上定义静态路由,才能确保将发送到公用 IP
地址的流量路由到合适的专用地址。如果公用地址与防火墙接口相同,或位于同
一子网上,则对于该地址,路由器上不需要静态路由。指定 NAT 的服务(TCP
或 UDP)端口时,预定义 HTTP 服务 (service-http) 包括两个 TCP 端口:80 和
8080。若要指定单个端口(如 TCP 80),则必须定义新服务。
下一个表对 NAT 类型进行了汇总。可以通过两种动态方法将某一范围的客户端地址 (M) 映射
到 NAT 地址池 (N),其中 M 和 N 是不同的数字。N 也可以为 1。动态 IP / 端口 NAT 不同于
动态 IP NAT,在动态 IP / 端口中未保留 TCP 和 UDP 源端口,反之它们不能与动态 IP NAT
交换。对于转换的 IP 池大小也有不同的限制,如下所述。
对于静态 IP NAT,各原始地址和其转换地址之间存在一对一映射。对于单个映射 IP 地址,这
可以表达为“一对一”,对于由多个一对一映射 IP 地址组成的池,则可表达为“M 对 M”。
表 140. NAT 类型
PAN-OS
NAT 类型
源端口保持不变
目标端口可
以更改
映射类型
转换地址池的大小
Dynamic IP/
Port
否
否
多对一
最多 254 个连续地址
动态 IP
是
否
M对N
最多 32k 个连续地址
静态 IP
是
否
1对1
无限制
M对N
M对M
MIP
可选
1 对多 VIP
PAT
定义网络地址转换策略
策略 > NAT
NAT 规则基于源区域和目标区域、源地址和目标地址以及应用程序服务(比如 HTTP)。与安全
策略一样,针对传入流量按顺序对 NAT 策略规则进行比较,并应用与流量匹配的第一个规则。
根据需要,将静态路由添加到本地路由器,以便将发送到所有公用地址的流量路由到防火墙。
此外,可能需要将静态路由添加到防火墙上的接收接口,才能将流量路由回专用地址。
有关定义 Panorama 策略的详细信息,请参阅“在 Panorama 上定义策略”。
下表介绍了 NAT 和 NPTv6(IPv6 到 IPv6 的网络前缀转换)设置:
• ““常规”选项卡”
• “原始数据包选项卡”
• “转换后的数据包选项卡”
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 205
在 Panorama 上定义策略
“常规”选项卡
使用常规选项卡可以配置 NAT 或 NPTv6 策略的名称和说明。此外,也可以配置标记以便在存
在许多策略时对其进行排序和过滤。可以选择要创建的 NAT 策略的类型,从而影响“原始数
据包”和“转换后的数据包”选项卡上的可用字段。
表 141. NAT 规则设置(“常规”选项卡)
字段
说明
名称
输入标识规则的名称。名称区分大小写,最多可以包含 31 个字符,
可以是字母、数字、空格、连字符和下划线。名称在防火墙上必须
是唯一的,并且在 Panorama 上,在其设备组以及所有父对象或子
对象设备组中必须是唯一的。
说明
输入规则的说明(最多 255 个字符)。
标记
如果想要标记策略,请单击添加以指定标记。
策略标记是允许您对策略进行排序或过滤的关键字或短语。如果您
定义了许多策略,并且希望查看用特定关键字标记的策略,那么它
会非常有用。例如,您可能要使用“入站到 DMZ”来标记某些安全
策略,使用关键字“解密”和“不解密”标记解密策略,或者将特
定数据中心的名称用于和该位置关联的策略。
NAT 类型
指定规则适用的转换类型:
• ipv4 用于 IPv4 地址之间的转换。
• nat64 用于 IPv6 和 IPv4 地址之间的转换。
• nptv6 用于 IPv6 前缀之间的转换。
无法在单个 NAT 规则中合并 IPv4 和 IPv6 地址范围。
原始数据包选项卡
使用原始数据包选项卡可以定义将要转换的源和目标流量,以及目标接口和服务的类型。可以
配置相同类型的多个源和目标区域,并设置要应用到特定网络或 IP 地址的规则。
表 142. NAT 规则设置(原始数据包选项卡)
字段
说明
源区域
目标区域
选择原始(非 NAT)数据包的一个或多个源区域和目标区域(默认
为任何区域)。区域类型必须相同(第 2 层、第 3 层或虚拟线路)。
要定义新区域,请参阅“定义安全区域”。
多个区域可以用于简化管理。例如,可以配置设置,以便可以将多
个内部 NAT 地址定向到同一外部 IP 地址。
目标接口
指定用于转换的接口类型。如果网络连接到具有不同 IP 地址池的两
个 ISP,则目标接口可以用于以不同方式转换 IP 地址。
服务
指定为其转换源或目标地址的服务。要定义新服务组,请参阅“服
务组”。
源地址
目标地址
指定要转换的源和目标地址组合。
206 • Web 界面参考指南,版本 7.0
对于 NPTv6,为源地址和目标地址配置的前缀必须使用 xxxx:xxxx::/
yy 格式。此地址不能定义接口标识符(主机)部分。支持的前缀长
度范围为 /32 - /64。
Palo Alto Networks
在 Panorama 上定义策略
转换后的数据包选项卡
使用转换后的数据包选项卡可以确定,在源地址转换中,对源地址执行的转换的类型,以及将
源地址转换到的地址和 / 或端口。
此外,也可以为需要通过公用 IP 地址访问的内部主机配置目标地址转换。在这种情况下,您可
以在原始数据包选项卡中为内部主机定义源地址(公用)和目标地址(专用),并在转换后的
数据包选项卡中启用目标地址转换和输入转换后的地址。在访问公用地址时,需将其转换为内
部主机的内部(目标)地址。
表 143. NAT 规则设置(“转换后的数据包”选项卡)
字段
说明
源地址转换
可选择转换类型(动态或静态地址池),输入源地址转换到的 IP 地
址或地址范围 (address1-address2)(转换后的地址)。地址范围的
大小受到地址池类型的限制:
• 动态 IP 和端口 — 根据 IP 地址的哈希选择地址。对于给定的源 IP 地
址,防火墙会将同一转换的源地址用于所有会话。在 NAT 池中,
动态 IP 和端口源 NAT 支持在每个 IP 地址上运行约 64k 个并发会
话。某些平台支持过度订阅,即允许单个 IP 托管超过 64k 个并发
会话。
Palo Alto Networks 动态 IP / 端口 NAT 支持的 NAT 会话数多于可
用 IP 地址和端口数所支持的 NAT 会话数。如果目标 IP 地址唯
一,防火墙在 PA-200、PA-500、PA-2000 系列和 PA-3000 系列防
火墙上最多可以(同时)使用两次 IP 地址和端口组合,在 PA4020 和 PA-5020 防火墙上最多使用四次,在 PA-4050、PA-4060、
PA-5050 和 PA-5060 防火墙上最多使用八次。
• 动态 IP — 使用指定范围中的下一个可用地址,但未更改端口号。
最多支持 32K 个连续 IP 地址。动态 IP 池可包含多个子网,因此您
可以将内部网络地址转换为两个或多个单独的公用子网。
– 高级(回退动态 IP 转换)— 使用此选项创建回退池,此池将执
行 IP 和端口转换,并在主池地址不足时使用。使用“转换地
址”选项或“接口地址”选项可为池定义地址,此地址适用于
动态接收 IP 地址的端口。创建回退池时,请确保上述地址与主
池中的地址不重叠。
• 静态 IP — 转换始终使用同一地址,并且端口保持不变。例如,如果
源范围是 192.168.0.1-192.168.0.10 且转换范围是 10.0.0.1-10.0.0.10,
则始终将地址 192.168.0.2 转换为 10.0.0.2。实际上,地址范围不受
限制。
– NPTv6 必须使用静态 IP 转换进行源地址转换。对于 NPTv6,
为转换后的地址配置的前缀必须使用 xxxx:xxxx::/yy 格式。此
地址不能定义接口标识符(主机)部分。支持的前缀长度范围
为 /32 - /64。
• 无 — 不执行转换。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 207
在 Panorama 上定义策略
表 143. NAT 规则设置(“转换后的数据包”选项卡)(续)
字段
说明
双向
(可选)如果想要防火墙按所配置转换的相反方向创建相应的转换
(NAT 或 NPTv6),则启用双向转换。
如果启用双向转换,确保正确使用安全策略双向控制流量很
重要。如果不使用这种策略,双向功能将允许数据包自动双
向转换,您可能不希望这样。
目标地址转换 — 转换后的地址
输入目标地址和端口号所转换为的一个 IP 地址或某个范围的 IP 地址
以及转换后的端口号(1 到 65535)。如果转换后的端口字段为空,
则不更改目标端口。通常使用目标转换以允许从公用网络访问内部
服务器,如电子邮件服务器。
对于 NPTv6,为目标前缀转换后的地址配置的前缀必须使用
xxxx:xxxx::/yy 格式。此地址不能定义接口标识符(主机)部分。支
持的前缀长度范围为 /32 - /64。注意,NPTv6 不支持转换后的端
口,因为 NPTv6 是严格的前缀转换。只需原样转发端口和主机地址
部分。
基于策略的转发策略
策略 > 基于策略的转发
通常,当流量进入防火墙时,将由 ingress 接口虚拟路由器根据目标 IP 地址指出用于确定传出
接口和目标安全区域的路由。使用基于策略的转发 (PBF),您可以指定其他信息以确定传出接
口,其中包括源区域、源地址、源用户、目标地址、目标应用程序和目标服务。在给定目标 IP
地址和与应用程序关联的端口上的初始会话与应用程序特定规则不匹配,并将根据后续 PBF 规
则(不指定应用程序)或虚拟路由器的转发表进行转发。对于同一应用程序,该目标 IP 地址和
端口上的所有后续会话均与特定于应用程序的规则匹配。若要确保通过 PBF 规则进行转发,建
议不使用特定于应用程序的规则。
需要时,PBF 规则可以用于强制使用 Forward-to-VSYS 转发操作来实现通过其他虚拟系统的通
信。在这种情况下,需要定义其他 PBF 规则,用于通过防火墙上的特定出口接口将来自目标虚
拟系统的数据包转发出去。
有关其他策略类型的配置准则和信息,请参阅“策略和安全配置文件”。
有关定义 Panorama 策略的详细信息,请参阅“在 Panorama 上定义策略”。
下表介绍了基于策略的转发设置:
• ““常规”选项卡”
• ““源”选项卡”
• “目标 / 应用程序 / 服务选项卡”
• “转发选项卡”
208 • Web 界面参考指南,版本 7.0
Palo Alto Networks
在 Panorama 上定义策略
“常规”选项卡
使用“常规”选项卡可以配置 PBF 策略的名称和说明。此外,也可以配置标记以便在存在大量
策略时对其进行排序和过滤。
字段
说明
名称
输入标识规则的名称。名称区分大小写,最多可以包含 31 个字符,可以是
字母、数字、空格、连字符和下划线。名称在防火墙上必须是唯一的,并
且在 Panorama 上,在其设备组以及所有父对象或子对象设备组中必须是
唯一的。
说明
输入策略的说明(最多 255 个字符)。
标记
如果需要标记策略,请单击添加以指定标记。
策略标记是允许您对策略进行排序或过滤的关键字或短语。如果您定义了
许多策略,并且希望查看用特定关键字标记的策略,那么它会非常有用。
例如,您可能希望使用“入站到 DMZ”来标记某些安全策略,使用关键
字“解密”和“不解密”标记解密策略,或者将特定数据中心的名称用于
和该位置关联的策略。
“源”选项卡
使用源选项卡可以定义源区域或源地址,用于定义将应用转发策略的传入源流量。
字段
说明
源区域
若要选择源区域(默认为任何区域),请单击添加,并从下拉列表中选择。
要定义新区域,请参阅“定义安全区域”。
多个区域可以用于简化管理。例如,如果有三个不同内部区域(市场部、
销售部和公关部)都定向到非受信目标区域,则可以创建一个涵盖所有情
况的规则。
注:仅基于策略的转发支持第 3 层类型区域。
源地址
单击添加可以添加源地址、地址组或地区(默认为任何地区)。从下拉列表
中选择,或在下拉列表的底部单击地址、地址组或区域链接,并指定设置。
源用户
单击添加可以选择适用于策略的源用户或用户组。支持以下源用户类型:
• 任何 — 无论用户数据怎样,包括任何流量。
• 预登录 — 包括使用 GlobalProtect 连接到网络的远程用户,但尚未登录到
自己的系统。当在 GlobalProtect 客户端门户网站上配置预登录选项时,
可以通过用户名 pre-logon 识别当前尚未登录到自己计算机的所有用
户。然后,您可以为预登录用户创建策略,尽管用户没有直接登录,但
也可以在域中对其计算机进行身份验证,好像他们已经完全登录。
• 已知用户 — 包括所有已经过身份验证的用户,这意味着包括含有映射的
用户数据的所有 IP。此选项相当于域中的“域用户”组。
• 未知 — 包括所有未经身份验证的用户,这意味着包括尚未映射到用户的
IP 地址。例如,您可以使用来宾级别未知访问权限访问内容,因为它们
在网络中拥有 IP 地址,但没有对域进行身份验证,且在防火墙上没有 IP
到用户的映射信息。
• 选择 — 包括由此窗口中的选择项所确定的选定用户。例如,您可能想要
添加一个用户、个人列表、一部分组或手动添加用户。
注:如果正在使用 RADIUS 服务器,而不是 User-ID Agent,则不会显示
用户的列表,必须手动输入用户信息。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 209
在 Panorama 上定义策略
目标 / 应用程序 / 服务选项卡
使用目标 / 应用程序 / 服务选项卡可以定义将要应用到与转发规则匹配的流量的目标设置。
字段
说明
目标地址
单击添加可以添加目标地址、地址组或地区(默认为任何地区)。默认情
况下,规则应用到任何 IP 地址。从下拉列表中选择,或在下拉列表的底部
单击地址、地址组或区域链接,并指定设置。
应用程序 / 服务
选择 PBF 规则的特定应用程序或服务。要定义新应用程序,请参阅“定义
应用程序”。要定义应用程序组,请参阅“定义应用程序组”。
注:不建议将特定于应用程序的规则用于 PBF。如果可行,可使用服务对
象,其为协议或应用程序使用的第 4 层端口(TCP 或 UDP)。有关详细
信息,请参阅 https://paloaltonetworks.com/documentation/70/pan-os/
pan-os/policy/pbf.html
如果在 PBF 规则中使用应用程序组、过滤器或容器,则可以通过将鼠标悬
停在应用程序列中的对象上方,单击向下箭头并选择值,查看有关这些对
象的详细信息。此操作使您可以直接从策略轻松查看应用程序成员,无需
转到“对象”选项卡。
转发选项卡
使用转发选项卡可以定义将要应用到与转发策略匹配的流量的操作和网络信息。可以将流量转
发到下一个跃点 IP 地址、虚拟系统,或者可以丢弃流量。
字段
说明
操作
选择以下任一选项:
• 转发— 指定下一个跃点的 IP 地址和出口接口(数据包为到达指定的下一
个跃点所使用的接口)。
• 转发到 VSYS — 从下拉列表中选择要转发到的虚拟系统。
• 丢弃 — 丢弃数据包。
• 无 PBF — 不改变数据包将采取的路径。此选项可排除与规则中所定义源 /
目标 / 应用程序 / 服务的条件匹配的数据包。匹配数据包使用路由表而
非 PBF ;防火墙使用路由表从重定向端口排除匹配的流量。
Egress 接口
将数据包引导至特定 Egress 接口。
下一个跃点
如果将数据包引导至特定接口,则为此数据包指定下一个跃点 IP 地址。
监控
启用监控来验证目标 IP 地址的连接或下一个跃点 IP 地址的连接。选择监
控并附加监控配置文件(默认或自定义),该配置文件指定在 IP 地址无法
访问时的操作。
强制对称返回
(非对称路由环境必需项)选择强制对称返回,并在下一个跃点地址列表
中输入一个或多个 IP 地址。
启用对称返回可确保通过有流量从 Internet 进入的相同接口向外转发流量
(例如,从 LAN 上的可信区域转发至 Internet)。
计划
210 • Web 界面参考指南,版本 7.0
要限制规则生效的时间和日期,请从下拉列表中选择调度。要定义新调
度,请参阅“解密配置文件中的 SSL 解密设置”。
Palo Alto Networks
在 Panorama 上定义策略
解密策略
策略 > 解密
可以将防火墙配置为解密流量以实现可见性、控制和粒度安全性。解密策略可以应用于安全套
接字层 (SSL)(包括 IMAP(S)、POP3(S)、SMTP(S) 和 FTP(S) 等 SSL 封装的协议)和安全外壳
(SSH) 流量。SSH 解密可用于解密出站和入站 SSH 流量,以确保安全协议未被用于不允许隧道
的应用程序和内容。
每个解密策略都会指定要解密或不解密的 URL 的类别。SSL 解密可用于将 App-ID 及防病毒、漏
洞、防间谍软件、URL 过滤和文件传送阻止配置文件应用于解密后的 SSL 流量,然后该流量会
在离开设备时重新加密。您可以将解密配置文件应用到任何解密策略,以阻止和控制流量的各个
方面。有关详细信息,请参阅“解密配置文件”。启用解密可维护客户端和服务器之间的端到端
安全,同时防火墙在连接期间充当受信任的第三方。流量离开设备时不会处于已解密状态。
根据需要,解密策略可以是一般的,也可以是特定的。针对通信按顺序对策略规则进行比较,
因此特定性更强的规则必须位于一般性更强的规则前面。要将规则移动到策略的顶部以便优先
使用该规则,首先选择规则,然后单击“向上移动”。为了提高效率,应始终优先使用排除解
密流量的策略(启用未解密操作)。
如果用户要连接的服务器拥有防火墙信任的 CA 所签署的证书,则 SSL 转发代理的解密过程需
要对要呈现给用户的可信证书进行配置。要配置此证书,需要在设备 > 证书管理 > 证书页面上
创建证书,然后单击证书的名称,并选中转发信任证书复选框。请参阅“管理设备证书”。
有关其他策略类型的配置准则和信息,请参阅“策略和安全配置文件”。
有关定义 Panorama 策略的详细信息,请参阅“在 Panorama 上定义策略”。
如果某些应用程序由防火墙进行解密,则这些应用程序将不会运行。为了防
止上述情况发生,PAN-OS 不会解密这些应用程序的 SSL 通信,并且不会
应用解密规则设置。
有关这些应用程序的列表,请参阅位于以下网址的支持文章:
https://live.paloaltonetworks.com/docs/DOC-1423。
下表介绍了解密策略设置:
• ““常规”选项卡”
• ““源”选项卡”
• ““目标”选项卡”
• “服务 / URL 类别选项卡”
• “选项选项卡”
“常规”选项卡
使用常规选项卡可以配置解密策略的名称和说明。此外,也可以配置标记以便在存在大量策略
时对其进行排序和过滤。
字段
说明
名称
输入标识规则的名称。名称区分大小写,最多可以包含 31 个字符,可以是
字母、数字、空格、连字符和下划线。名称在防火墙上必须是唯一的,并
且在 Panorama 上,在其设备组以及所有父对象或子对象设备组中必须是
唯一的。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 211
在 Panorama 上定义策略
字段
说明
说明
输入规则的说明(最多 255 个字符)。
标记
如果需要标记策略,请单击添加以指定标记。
策略标记是允许您对策略进行排序或过滤的关键字或短语。如果您定义了
许多策略,并且希望查看用特定关键字标记的策略,那么它会非常有用。
例如,您可能希望使用“入站到 DMZ”来标记某些安全策略,使用关键
字“解密”和“不解密”标记解密策略,或者将特定数据中心的名称用于
和该位置关联的策略。
“源”选项卡
使用源选项卡可以定义源区域或源地址,用于定义将要应用到解密策略的传入源流量。
字段
说明
源区域
单击添加以选择源区域(默认为任何区域)。区域类型必须相同(第 2 层、
第 3 层或虚拟线路)。要定义新区域,请参阅“定义安全区域”。
多个区域可以用于简化管理。例如,如果有三个不同内部区域(市场部、
销售部和公关部)都定向到非受信目标区域,则可以创建一个涵盖所有情
况的规则。
源地址
单击添加可以添加源地址、地址组或地区(默认为任何地区)。从下拉列
表中选择,或在下拉列表的底部单击地址、地址组或区域链接,并指定设
置。选中求反复选框以选择除所配置的地址以外的任何地址。
源用户
单击添加可以选择适用于策略的源用户或用户组。支持以下源用户类型:
• 任何 — 无论用户数据怎样,包括任何流量。
• 预登录 — 包括使用 GlobalProtect 连接到网络的远程用户,但尚未登录到
自己的系统。当在 GlobalProtect 客户端门户网站上配置预登录选项时,
可以通过用户名 pre-logon 识别当前尚未登录到自己计算机的所有用
户。然后,您可以为预登录用户创建策略,尽管用户没有直接登录,但
也可以在域中对其计算机进行身份验证,好像他们已经完全登录。
• 已知用户 — 包括所有已经过身份验证的用户,这意味着包括含有映射的用
户数据的所有 IP。此选项相当于域中的“域用户”组。
• 未知 — 包括所有未经身份验证的用户,这意味着包括尚未映射到用户的 IP
地址。例如,您可以使用来宾级别访问权限访问未知的内容,因为它们
在网络中拥有 IP 地址,但没有对域进行身份验证,且在防火墙上没有用
户映射信息的 IP 地址。
• 选择 — 包括由此窗口中的选择项所确定的选定用户。例如,您可能想要添
加一个用户、个人列表、一部分组或手动添加用户。
注:如果正在使用 RADIUS 服务器,而不是 User-ID Agent,则不会显示
用户的列表,必须手动输入用户信息。
212 • Web 界面参考指南,版本 7.0
Palo Alto Networks
在 Panorama 上定义策略
“目标”选项卡
使用目标选项卡可以定义目标区域或目标地址,用于定义将要应用到策略的目标流量。
字段
说明
目标区域
单击添加可以选择目标区域(默认为任何区域)。区域类型必须相同(第
2 层、第 3 层或虚拟线路)。要定义新区域,请参阅“定义安全区域”。
多个区域可以用于简化管理。例如,如果有三个不同内部区域(市场部、
销售部和公关部)都定向到非受信目标区域,则可以创建一个涵盖所有情
况的规则。
目标地址
单击添加可以添加目标地址、地址组或地区(默认为任何地区)。从下拉
列表中选择,或在下拉列表的底部单击地址、地址组或区域链接,并指定
设置。选中求反复选框以选择除所配置的地址以外的任何地址。
服务 / URL 类别选项卡
使用服务 / URL 类别选项卡可以将解密策略应用到基于 TCP 端口号的流量,或应用到任何
URL 类别(或类别列表)。
字段
说明
服务
将解密策略应用到基于特定 TCP 端口号的流量。从下拉列表中选择下列选
项之一:
• 任何 — 所选应用程序在任何协议或端口上均得到许可或遭到拒绝。
• 应用程序 - 默认 — 仅在 Palo Alto Networks 为应用程序定义的默认端口
上解密(或免除解密)所选应用程序。
• 选择 — 单击添加。选择现有服务或指定新的服务或服务组。请参阅“服
务”和“服务组”。
URL 类别选项卡
选择解密规则的 URL 类别。
• 选择任何以匹配任何会话,无论 URL 类型是什么。
• 要指定类别,请单击添加,然后从下拉列表中选择特定类别(包括自定
义类别)。您可以添加多个类别。有关定义自定义类别的信息,请参阅
“动态阻止列表”。
选项选项卡
使用选项选项卡可以确定是否应对匹配的流量进行解密。如果设置为解密,可以指定解密类
型。您也可以通过配置或选择解密配置文件添加其他解密功能。
字段
说明
操作
选择通信的解密或无解密。
类型
从下拉列表中选择要解密的通信的类型:
• SSL 转发代理 — 指定策略将解密发往外部服务器的客户端通信。
• SSH 代理 — 指定策略将解密 SSH 通信。此选项允许您通过指定 sshtunnel App-ID 在策略中控制 SSH 隧道。
• SSL 入站检查 — 指定策略将解密 SSL 入站检查通信。
解密配置文件
Palo Alto Networks
选择现有解密配置文件,或创建新解密配置文件。请参阅“解密配置文件”。
Web 界面参考指南,版本 7.0 • 213
在 Panorama 上定义策略
定义应用程序替代策略
策略 > 应用程序替代
要更改防火墙将网络流量分类到应用程序中的方式,可以指定应用程序替代策略。例如,如果
要控制一个自定义应用程序,则可以按照区域、源和目标地址、端口和协议,使用应用程序替
代策略来标识该应用程序的通信。如果网络应用程序的类别为 “unknown”,则可以为其创建新
应用程序定义(参阅“定义应用程序”)。
安全策略一样,根据需要,应用程序替代策略可以是一般的,也可以是特定的。针对通信按顺
序对策略规则进行比较,因此特定性更强的规则必须位于一般性更强的规则前面。
因为 PAN-OS 中的 App-ID 引擎通过在网络流量中识别特定于应用程序的内容来对流量进行分
类,所以自定义应用程序定义不能简单地只使用端口号来标识应用程序。应用程序定义还必须
包括通信(受到源区域、源 IP 地址、目标区域和目标 IP 地址的限制)。
要创建包含应用程序替代的自定义应用程序,请执行以下操作:
1.
定义自定义应用程序。请参阅“定义应用程序”。如果应用程序仅用于应用程序替代规则,
则无需为应用程序指定签名。
2.
定义应用程序替代策略,以指定应当调用自定义应用程序的时间。策略通常包括运行自定
义应用程序的服务器的 IP 地址和一组受限的源 IP 地址或一个源区域。
有关其他策略类型的配置准则和信息,请参阅“策略和安全配置文件”。
有关定义 Panorama 策略的详细信息,请参阅“在 Panorama 上定义策略”。
使用下表配置应用程序替代规则。
• ““常规”选项卡”
• ““源”选项卡”
• ““目标”选项卡”
• “协议 / 应用程序选项卡”
“常规”选项卡
使用“常规”选项卡可以配置应用程序替代策略的名称和说明。此外,也可以配置标记以便在
存在大量策略时对其进行排序和过滤。
字段
说明
名称
输入标识规则的名称。名称区分大小写,最多可以包含 31 个字符,可以是
字母、数字、空格、连字符和下划线。名称在防火墙上必须是唯一的,并
且在 Panorama 上,在其设备组以及所有父对象或子对象设备组中必须是
唯一的。
说明
输入规则的说明(最多 255 个字符)。
标记
如果需要标记策略,请单击添加以指定标记。
策略标记是允许您对策略进行排序或过滤的关键字或短语。如果您定义了
许多策略,并且希望查看用特定关键字标记的策略,那么它会非常有用。
例如,您可能希望使用“入站到 DMZ”来标记某些安全策略,使用关键
字“解密”和“不解密”标记解密策略,或者将特定数据中心的名称用于
和该位置关联的策略。
214 • Web 界面参考指南,版本 7.0
Palo Alto Networks
在 Panorama 上定义策略
“源”选项卡
使用源选项卡可以定义源区域或源地址,用于定义将要应用到应用程序替代策略的传入源流量。
字段
说明
源区域
单击添加以选择源区域(默认为任何区域)。区域类型必须相同(第 2
层、第 3 层或虚拟线路)。要定义新区域,请参阅“定义安全区域”。
多个区域可以用于简化管理。例如,如果有三个不同内部区域(市场部、
销售部和公关部)都定向到非受信目标区域,则可以创建一个涵盖所有情
况的规则。
源地址
单击添加可以添加源地址、地址组或地区(默认为任何地区)。从下拉列
表中选择,或在下拉列表的底部单击地址、地址组或区域链接,并指定设
置。选中求反复选框以选择除所配置的地址以外的任何地址。
“目标”选项卡
使用目标选项卡可以定义目标区域或目标地址,用于定义将要应用到策略的目标流量。
字段
说明
目标区域
单击添加可以选择目标区域(默认为任何区域)。区域类型必须相同(第
2 层、第 3 层或虚拟线路)。要定义新区域,请参阅“定义安全区域”。
多个区域可以用于简化管理。例如,如果有三个不同内部区域(市场部、
销售部和公关部)都定向到非受信目标区域,则可以创建一个涵盖所有情
况的规则。
目标地址
单击添加可以添加目标地址、地址组或地区(默认为任何地区)。从下拉
列表中选择,或在下拉列表的底部单击地址、地址组或区域链接,并指定
设置。选中求反复选框以选择除所配置的地址以外的任何地址。
协议 / 应用程序选项卡
使用协议 / 应用程序选项卡可以定义协议(TCP 或 UDP)、端口和应用程序,用于进一步定义
与策略匹配的应用程序的属性。
字段
说明
协议
选择可以替代其应用程序的协议。
端口
输入指定目标地址的端口号(0 到 65535)或端口号范围 (port1-port2)。多
个端口或范围必须以逗号分隔。
应用程序
为匹配上述规则条件的通信流选择替代应用程序。替代为自定义应用程序
时,不会执行任何威胁检查。但替代为支持威胁检查的预定义应用程序
除外。
要定义新应用程序,请参阅“定义应用程序”。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 215
在 Panorama 上定义策略
定义强制网络门户策略
策略 > 强制网络门户
使用下表可以设置并自定义强制网络门户以指引用户身份验证,使其以身份验证配置文件、身
份验证序列或证书配置文件的方式进行。强制网络门户与 User-ID Agent 结合使用,以将用户
标识功能扩展到 Active Directory 域之外。用户将被定向到网络门户并经过身份验证,从而创
建一个用户到 IP 地址的映射。
在定义强制网络门户策略之前,请在用户标识页面上启用强制网络门户并配置强制网络门户设
置,如“为用户配置防火墙标识”中所述。
有关其他策略类型的配置准则和信息,请参阅“策略和安全配置文件”。
下表介绍了强制网络门户策略设置:
• ““常规”选项卡”
• ““源”选项卡”
• ““目标”选项卡”
• “服务 / URL 类别选项卡”
• “操作选项卡”
“常规”选项卡
使用“常规”选项卡可以配置强制网络门户策略的名称和说明。此外,也可以配置标记以便在
存在大量策略时对其进行排序和过滤。
字段
说明
名称
输入标识规则的名称。名称区分大小写,最多可以包含 31 个字符,可以是
字母、数字、空格、连字符和下划线。名称在防火墙上必须是唯一的,并
且在 Panorama 上,在其设备组以及所有父对象或子对象设备组中必须是
唯一的。
说明
输入规则的说明(最多 255 个字符)。
标记
如果需要标记策略,请单击添加以指定标记。
策略标记是允许您对策略进行排序或过滤的关键字或短语。如果您定义了
许多策略,并且希望查看用特定关键字标记的策略,那么它会非常有用。
例如,您可能希望使用“入站到 DMZ”来标记某些安全策略,使用关键
字“解密”和“不解密”标记解密策略,或者将特定数据中心的名称用于
和该位置关联的策略。
216 • Web 界面参考指南,版本 7.0
Palo Alto Networks
在 Panorama 上定义策略
“源”选项卡
使用源选项卡可以定义源区域或源地址,用于定义将要应用到强制网络门户策略的传入源流量。
字段
说明
源
指定以下信息:
• 如果需要将策略应用于来自给定区域中所有接口的通信,请选择源区
域。单击添加以指定多个接口或区域。
• 指定源地址设置,以对来自特定源地址的通信应用强制网络门户策略。
选中求反复选框以选择除所配置的地址以外的任何地址。单击添加以指
定多个接口或区域。
“目标”选项卡
使用目标选项卡可以定义目标区域或目标地址,用于定义将要应用到策略的目标流量。
字段
说明
目标
指定以下信息:
• 如果需要将策略应用于流向给定区域中所有接口的通信,则选择目标区
域。单击添加以指定多个接口或区域。
• 指定目标地址设置,以对前往特定目标地址的通信应用强制网络门户策
略。选中求反复选框以选择除所配置的地址以外的任何地址。单击添加
以指定多个接口或区域。
服务 / URL 类别选项卡
使用服务 / URL 类别选项卡可以根据特定 TCP 和 / 或 UDP 端口号针对发生的操作制定策略。此
外,也可以将 URL 类别用作策略的属性。
字段
说明
服务
选择要限制到特定 TCP 和 / 或 UDP 端口号的服务。从下拉列表中选择下
列选项之一:
• 任何 — 可在任何协议或端口上许可或拒绝所选服务。
• 默认 — 仅在 Palo Alto Networks 定义的默认端口上允许或拒绝所选服务。
建议对允许策略使用此选项。
• 选择 — 单击添加。选择现有服务或选择服务或服务组以指定新条目。请
参阅“服务”和“服务组”。
URL 类别
选择强制网络门户规则的 URL 类别。
• 选择任何将应用服务 / 操作选项卡上指定的操作,而不考虑 URL 类别。
• 要指定类别,请单击添加,然后从下拉列表中选择特定类别(包括自定
义类别)。您可以添加多个类别。有关定义自定义类别的信息,请参阅
“动态阻止列表”。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 217
在 Panorama 上定义策略
操作选项卡
使用操作选项卡可以确定用户将是否能够看到 Web 表单、浏览器质询对话框,或是否应发生
强制网络门户质询。
字段
说明
操作设置
选择要采取的操作:
• Web 表单 — 呈现强制网络门户页面,让用户显式输入身份验证凭据。
• 无强制网络门户 — 允许通信传递,而不呈现用于进行身份验证的强制网
络门户页面。
• 浏览器质询 — 向用户的 Web 浏览器打开 NT LAN 管理器 (NTLM) 身份
验证请求。Web 浏览器将使用用户的当前登录凭据进行响应。
定义 DoS 策略
策略 > DoS 保护
DoS 保护策略允许基于聚合会话或源和 / 或目标 IP 地址控制接口、区域、地址和国家 / 地区之
间的会话数。例如,您可以控制发送到和来自特定地址或地址组的流量,或者来自特定用户和
适用于特定服务的流量。
DoS 策略可以包括 DoS 配置文件,用于指定表明攻击的阈值(每秒会话或数据包)。在策略中,
在触发匹配时可以选择保护性操作。
有关定义 Panorama 策略的详细信息,请参阅“在 Panorama 上定义策略”。
使用此页面可以添加、编辑或删除 DoS 保护策略规则。要添加策略规则,单击添加,然后完成
以下字段填写:
“常规”选项卡
使用常规选项卡可以配置 DoS 策略的名称和说明。此外,也可以配置标记以便在存在大量策略
时对其进行排序和过滤。
字段
说明
名称
输入标识规则的名称。名称区分大小写,最多可以包含 31 个字符,可以是
字母、数字、空格、连字符和下划线。名称在防火墙上必须是唯一的,并
且在 Panorama 上,在其设备组以及所有父对象或子对象设备组中必须是
唯一的。
说明
输入规则的说明(最多 255 个字符)。
标记
如果需要标记策略,请单击添加以指定标记。
策略标记是允许您对策略进行排序或过滤的关键字或短语。如果您定义了
许多策略,并且希望查看用特定关键字标记的策略,那么它会非常有用。
例如,您可能希望使用“入站到 DMZ”来标记某些安全策略,使用关键
字“解密”和“不解密”标记解密策略,或者将特定数据中心的名称用于
和该位置关联的策略。
218 • Web 界面参考指南,版本 7.0
Palo Alto Networks
在 Panorama 上定义策略
“源”选项卡
使用源选项卡可以定义源区域或源地址,用于定义将要应用到 DoS 策略的传入源流量。
字段
说明
源
指定以下信息:
• 从类型下拉列表中选择接口,以便将 DoS 策略应用于来自某个或某组接
口的通信。如果需要将 DoS 策略应用于来自给定区域中所有接口的通
信,请选择区域。单击添加以指定多个接口或区域。
• 指定源地址设置,以应用来自特定源地址的通信的 DoS 策略。选中求反复
选框以选择除所配置的地址以外的任何地址。单击添加以指定多个地址。
• 通过指定源用户设置,可以对来自特定用户的通信应用 DoS 策略。支持
以下源用户类型:
–
任何 — 无论用户数据怎样,包括任何流量。
–
预登录 — 包括使用 GlobalProtect 连接到网络的远程用户,但尚未
登录到自己的系统。当在 GlobalProtect 客户端门户网站上配置预
登录选项时,可以通过用户名 pre-logon 识别当前尚未登录到自己
计算机的所有用户。然后,您可以为预登录用户创建策略,尽管用
户没有直接登录,但也可以在域中对其计算机进行身份验证,好像
他们已经完全登录。
–
已知用户 — 包括所有已经过身份验证的用户,这意味着包括含有
映射的用户数据的所有 IP。此选项相当于域中的“域用户”组。
–
未知 — 包括所有未经身份验证的用户,这意味着包括尚未映射到
用户的 IP 地址。例如,您可以使用来宾级别访问权限访问未知的
内容,因为它们在网络中拥有 IP 地址,但没有对域进行身份验
证,且在防火墙上没有用户映射信息的 IP 地址。
–
选择 — 包括由此窗口中的选择项所确定的选定用户。例如,您可
能想要添加一个用户、个人列表、一部分组或手动添加用户。
注:如果正在使用 RADIUS 服务器,而不是 User-ID Agent,则不会显示
用户的列表,必须手动输入用户信息。
“目标”选项卡
使用目标选项卡可以定义目标区域或目标地址,用于定义将要应用到策略的目标流量。
字段
说明
目标
指定以下信息:
• 从类型下拉列表中选择接口,以便将 DoS 策略应用于来自某个或某组接口
的通信。如果需要将 DoS 策略应用于来自给定区域中所有接口的通信,
请选择区域。单击添加以指定多个接口或区域。
• 指定目标地址设置,以便将通信的 DoS 策略应用于特定目标地址。选中求
反复选框以选择除所配置的地址以外的任何地址。单击添加以指定多个
地址。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 219
安全配置文件
选项 / 保护选项卡
使用选项 / 保护选项卡可以配置 DoS 策略的其他选项(如服务类型(http 或 https))、要执
行的操作和是否为匹配流量触发日志转发。此外,您也可以定义启用策略时的调度,并选择聚
合或分类的 DoS 配置文件用于定义 DoS 保护的更多属性。
字段
说明
服务
从下拉列表中选择,以便将 DoS 策略仅应用于配置的服务。
操作
从下拉列表中选择操作:
• 拒绝 — 丢弃所有通信。
• 允许 — 允许所有通信。
• 保护 — 强制执行用阈值提供的保护,这些阈值被配置为应用于此规则的
DoS 配置文件的一部分。
计划
从下拉列表中选择预配置的调度,将 DoS 规则应用于特定日期 / 时间。
日志转发
如果您想要触发将威胁日志条目转发到外部服务(如 Syslog 服务器或
Panorama),可以从下拉菜单选择转发配置文件,或单击配置文件创建新
的转发配置文件。请注意,将只会记录和转发与规则中的操作匹配的流量。
聚合
从下拉列表中选择 DoS 保护配置文件,以确定为响应 DoS 威胁而要采取
操作的速率。聚合设置应用于从指定源到指定目标的所有通信的总和。
分类
选中此复选框,并指定以下项:
• 配置文件 — 从下拉列表中选择配置文件。
• 地址 — 选择是否将规则应用于源、目标或源和目标 IP 地址。
如果指定了分类配置文件,则配置文件限制将应用于源 IP 地址、目标 IP 地
址或源和目标 IP 地址对。例如,可以按 100 作为会话限制指定分类配置文
件,并在规则中指定 “source” 的地址设置。结果将是该特定源 IP 地址在任
何给定时间有 100 个会话的限制。
安全配置文件
安全配置文件在安全策略中提供威胁保护。每个安全策略可以包含一个或多个安全配置文件。
可用的配置文件类型如下:
• 防病毒配置文件,可防御蠕虫、病毒和特洛伊木马以及阻止间谍软件下载。请参阅“防病
毒配置文件”。
• 防间谍软件配置文件,可阻止受感染主机上的间谍软件尝试回拨或向外部命令与控制 (C2)
服务器发送信号。请参阅“防间谍软件配置文件”。
• 停止尝试利用系统缺陷或获取未经授权的系统访问的漏洞保护配置文件。请参阅“漏洞保
护配置文件”。
• URL 过滤配置文件,可将用户访问限制到特定网站和 / 或网站类别,例如购物或赌博。请参
阅“URL 过滤配置文件”。
220 • Web 界面参考指南,版本 7.0
Palo Alto Networks
安全配置文件
• 文件传送阻止配置文件,可按指定会话流方向(入站 / 出站 / 两者)阻止所选文件类型。
请参阅“文件传送阻止配置文件”。
• WildFire 分析配置文件,可指定要在 WildFire 设备本地或在 WildFire 云中执行的文件分析。
请参阅“WildFire 分析配置文件”。
• 数据过滤配置文件,有助于阻止像信用卡或社会保险号这样的敏感信息离开受保护的网
络。请参阅“数据过滤配置文件”。
除单个配置文件以外,还可以组合通常一起应用的配置文件,并在对象 > 安全配置文件组中创
建安全配置文件组。
安全配置文件中的操作
操作可指定防火墙响应威胁事件的方式。Palo Alto Networks 所定义的每一个威胁或病毒签名
都包含默认操作,通常设置为警报(使用您启用的通知选项通知您)或重置两者(重置连接两
端)。但是,您可以在防火墙上定义或替代操作。在定义防病毒配置文件、防间谍软件配置文
件、漏洞保护配置文件、自定义间谍软件对象或自定义漏洞对象时,以下操作适用。
操作
说明
默认
采取为每个威胁签名内
部指定的默认操作。
防病毒
配置
文件
防间谍软
件配置
文件
漏洞保护
配置文件
自定义对
象—间
谍软件和
漏洞




对于防病毒配置文件,采
取病毒签名的默认操作。
允许
允许应用程序流量。




警报
为每个应用程序流量
流生成警报。警报保
存在威胁日志中。




丢弃
丢弃应用程序流量。




重置客户端
对于 TCP,重置客户
端连接。
















对于 UDP,丢弃此连接
重置服务器
对于 TCP,重置服务
器端连接。
对于 UDP,丢弃此连接
重置二者
对于 TCP,重置客户
端和服务器端的连接。
对于 UDP,丢弃此连接
阻止 IP
Palo Alto Networks
此操作可阻止来自源或
源 - 目标对的流量;指
定时间段是可配置的。
Web 界面参考指南,版本 7.0 • 221
安全配置文件
不能删除安全策略中使用的配置文件。必须首先从安全策略移除配置文件,
然后将其删除。
防病毒配置文件
对象 > 安全配置文件 > 防病毒软件
使用防病毒配置文件页面可以配置防火墙用于扫描所定义流量的病毒的选项。设置应用程序应
检测病毒和在检测到病毒时要执行的操作。默认配置文件对列出的所有协议解码器进行病毒检
查,为简单邮件传输协议 (SMTP)、Internet 消息访问协议 (IMAP) 和邮局协议版本 3 (POP3)
生成警报,以及对其他应用程序采取默认操作(警报或拒绝),具体取决于检测到的病毒类
型。然后,将配置文件附加到安全策略,以确定将要检测的遍历特定区域的流量。
自定义的配置文件可以用于对受信安全区域之间的通信执行最低限度的防病毒检查,并对从非
受信区域(如 Internet)接收到的通信以及发送到高敏感目标(如服务器场)的通信执行最大
限度的检查。
有关所有安全配置文件类型的列表和要针对匹配流量执行的操作,请参阅“安全配置文件”。
下表介绍了基于策略的转发设置:
• “防病毒配置文件对话框”
• “防病毒选项卡”
• “例外选项卡”
防病毒配置文件对话框
使用此对话框可以定义配置文件的名称和说明。
字段
说明
名称
输入配置文件名称(最多 31 个字符)。定义安全策略时,此名称将出现在
防病毒配置文件的列表中。名称区分大小写,且必须是唯一的。仅可使用
字母、数字、空格、连字符、句点和下划线。
说明
输入配置文件的说明(最多 255 个字符)。
共享
如果想要将配置文件用于以下位置,请选中此复选框:
• 多虚拟系统防火墙上的每个虚拟系统 (vsys)。如果清除此复选框,配置
文件只可用于在对象选项卡中选择的虚拟系统。
• Panorama 上的每个设备组。如果清除此复选框,配置文件只可用于在对
象选项卡中选择的设备组。
禁用替代
(仅限 Panorama)
222 • Web 界面参考指南,版本 7.0
如果想要阻止管理员通过替代继承的值在子对象设备组中创建配置文件的
本地副本,则选中此复选框。默认情况下,此复选框已取消选中,这意味
着已启用替代。
Palo Alto Networks
安全配置文件
防病毒选项卡
使用“防病毒”选项卡可以定义将要检测的流量的类型(如 ftp 和 http),然后指定要执行的
操作。您可以为标准防病毒签名(操作列)定义不同操作,并通过 WildFire 系统(WildFire
操作列)生成签名。某些环境可能需要较长的防病毒签名预备时间,因此该选项可以用来为
Palo Alto Networks 提供的两种防病毒签名类型设置不同操作。例如,在发布之前需要经过较
长的预备时间(24 小时)的标准防病毒签名,以及在检测到威胁后可以在 15 分钟内生成和发
布的 WildFire 签名。为此,您可以选择 WildFire 签名的警报操作,而不是阻止。
使用应用程序异常表可以定义将不会对其进行检测的应用程序。例如,可以选择允许通过 http
进行通信,但不会根据通过 http 运行的特定应用程序检测流量。
字段
说明
数据包捕获
如果要捕获所识别的数据包,请选中此复选框。
解码器和操作
对于要进行病毒检查的各种通信类型,请从下拉列表中选择操作。还可以
根据 WildFire 创建的签名执行特定操作。
应用程序例外情况和操作
标识将成为防病毒规则例外情况的应用程序。
例如,若要阻止除特定应用程序以外的所有 HTTP 通信,则可以定义该应
用程序对其是例外情况的防病毒配置文件。阻止是针对 HTTP 解码器的操
作,而允许是针对该应用程序的例外情况。
若要查找应用程序,请开始在文本框中键入应用程序名称。随即将显示应
用程序的匹配列表,然后可以进行选择。应用程序将添加到表中,并且您
可以分配操作。
对于每个应用程序例外情况,选择检测到威胁时要采取的操作。有关操作
列表,请参阅“安全配置文件中的操作”
例外选项卡
使用异常选项卡可以定义防病毒配置文件忽略的威胁的列表。
字段
说明
威胁 ID
将添加应忽略的特定威胁。将列出已经指定的例外情况。通过输入威胁 ID
并单击添加,可以添加其他威胁。威胁 ID 显示为威胁日志信息的一部分。
请参阅“查看日志”。
防间谍软件配置文件
对象 > 安全配置文件 > 防间谍软件
您可以将防间谍软件配置文件附加到安全策略中,以便检测系统上安装的间谍软件在您的网络
中启动的“回拨”连接。
您可以在安全策略中的两个预定义防间谍软件配置文件之间进行选择。其中每个配置文件都有
一组按威胁的严重性组织的预定义规则(包含威胁签名);每个威胁签名都包含一个由 Palo
Alto Networks 指定的默认操作。
• 默认 — 默认配置文件按照创建签名时 Palo Alto Networks 指定的设置,对每个签名使用默
认操作。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 223
安全配置文件
• 严格 — 严格配置文件将替代严重、高和中等严重性威胁的签名文件中定义的操作,并将其
设置为阻止操作。对严重性为低和信息性的威胁执行默认操作。
还可以创建自定义配置文件。例如,可以降低对受信安全区域之间的流量执行防间谍软件检查
的严格性要求,对从 Internet 接收到的流量或发送到受保护资产(如服务器场)的流量执行最
大限度地检查。
规则设置
例外设置可让您更改特定签名的操作。例如,您可以对一组特定签名生成警报,阻止与所有其
他签名匹配的所有数据包。在发生误报时通常会配置威胁异常。要简化威胁异常的管理,可以
直接从监视器 > 日志 > 威胁列表添加威胁异常。确保获取最新的内容更新,以便防御新的威
胁,拥有所有假阳性误报的新签名。
DNS 签名设置提供用于标识网络上感染的主机的其他方法。这些签名会检测与恶意软件关联
的主机名的特定 DNS 查找。与常规防病毒签名相同,发现这些查询时,可将 DNS 签名配置为
“允许”、“警报”或“(默认)阻止”。此外,botnet 报告中会显示执行恶意软件域的 DNS
查询的主机。DNS 签名将作为防病毒软件更新的一部分下载。
Anti-Spyware 页面提供默认的一组列。通过使用列选择器可获得其他信息列。单击列标题右
侧的箭头,然后从“列”子菜单中选择列。有关详细信息,请参阅“锁定事务”。
下表介绍了防间谍软件配置文件设置:
表 144. 防间谍软件配置文件设置
字段
说明
名称
输入配置文件名称(最多 31 个字符)。定义安全策略时,此名称将出现在
防间谍软件配置文件的列表中。名称区分大小写,且必须是唯一的。仅可
使用字母、数字、空格、连字符、句点和下划线。
说明
输入配置文件的说明(最多 255 个字符)。
共享
如果想要将配置文件用于以下位置,请选中此复选框:
• 多虚拟系统防火墙上的每个虚拟系统 (vsys)。如果清除此复选框,配置文
件只可用于在对象选项卡中选择的虚拟系统。
• Panorama 上的每个设备组。如果清除此复选框,配置文件只可用于在对
象选项卡中选择的设备组。
禁用替代
(仅限 Panorama)
如果想要阻止管理员通过替代继承的值在子对象设备组中创建配置文件的
本地副本,则选中此复选框。默认情况下,此复选框已取消选中,这意味
着已启用替代。
规则选项卡
规则名称
指定规则名称。
威胁名称
输入任何以匹配所有签名,或输入文本以匹配包含输入的文本(作为签名
名称的一部分)的任何签名。
严重性
选择安全级别(严重、高、中、低或信息性)。
操作
为每个威胁选择操作。有关操作列表,请参阅“安全配置文件中的操作”。
224 • Web 界面参考指南,版本 7.0
Palo Alto Networks
安全配置文件
表 144. 防间谍软件配置文件设置(续)
字段
说明
数据包捕获
如果要捕获所识别的数据包,请选中此复选框。
选择单个数据包选项可以在检测到威胁时捕获一个数据包,或选择扩展捕
获选项可以捕获 1 至 50 个数据包。扩展捕获可以在分析威胁日志时提供
有关威胁的更多上下文信息。要查看数据包捕获,导航至监视器 > 日志 >
威胁并找到感兴趣的日志条目,然后单击第二列中的绿色向下箭头。要定
义应捕获的数据包数量,请导航至设备 > 设置 > Content-ID,然后编辑
Content-ID 设置部分。
数据包捕获只有在操作为“允许”或“警报”时才会发生。如果将操作设
置为“阻止”状态,则会话立即终止。
例外选项卡
异常
选中要为其分配操作的每个威胁的启用复选框,或选择全部以响应所有列
出的威胁。列表取决于所选主机、类别和严重性。如果列表为空,则对于
当前选择项不存在威胁。
使用“IP 地址异常”列可以向威胁异常添加 IP 地址过滤器。如果 IP 地址
已添加到威胁异常,且有匹配异常中的 IP 的源 IP 或目标 IP 的会话已触发
签名,则此规则的操作将只接管此签名的威胁异常操作。每个签名最多可
以添加 100 个 IP 地址。使用此选项,无需创建新策略规则和新漏洞配置
文件,即可为特定 IP 地址创建异常。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 225
安全配置文件
表 144. 防间谍软件配置文件设置(续)
字段
说明
DNS 签名选项卡
对 DNS 查询的响应
选择在执行 DNS 查找操作以获取恶意软件站点时执行的操作(“允许”、
“阻止”、“Sinkhole”或“默认(警报)”)。
DNS Sinkhole 操作可以为管理员提供使用 DNS 流量确定网络中受感染的
主机的方法,即使防火墙在本地 DNS 服务器中检测不到任何内容(即防
火墙检测不到 DNS 查询的来源)。在安装威胁防御许可证和在安全配置
文件中启用防间谍软件配置文件后,基于 DNS 的签名将会触发恶意域中
的定向 DNS 查询。在防火墙在本地 DNS 服务器中检测不到任何内容的典
型部署中,威胁日志将确定本地 DNS 解析器作为流量的来源,而不是实
际受感染的主机。Sinkholing 恶意 DNS 查询通过伪造对恶意域中定向查
询的响应解决这种可见性问题,以便客户端试图连接到恶意域(如对于命
令和控制),而不是试图连接到管理员指定的 IP 地址。然后,可以在流
量日志中轻易地识别受感染的主机,因为试图连接到 Sinkhole IP 地址的
任何主机最有可能被恶意软件感染。
在选择 Sinkhole 操作后,可以指定 IPv4 和 / 或 IPv6 地址用作 Sinkhole IP
地址(默认为回送 IP 地址,该地址可以解析本地主机的域)。在配置
Sinkhole IP 地址时,可以通过过滤流量日志或创建自定义报告确定受感染的
客户端来检查指定 IP 地址的会话。请务必确保选择通过防火墙路由的会话生
成的 IP 地址以便防火墙查看会话,如另一个内部区域中未使用的 IP 地址。
以下是在启用 Sinkhole 功能后将要发生的事件顺序:
1.
受恶意软件感染的客户端计算机发送 DNS 查询解析 Internet 中的恶意
主机。
2.
将客户端的 DNS 查询发送到内部 DNS 服务器,然后查询位于防火墙
另一端的公共 DNS 服务器。
3.
DNS 查询对 DNS 签名数据库中的 DNS 条目进行匹配,以便针对查询
执行 Sinkhole 操作。
4.
然后,受感染的客户端试图与主机开始会话,但使用伪造的 IP 地址。
伪 造 的 IP 地址是在选择 Sinkhole 操作时在防间谍软件配置文件
“DNS 签名”选项卡上定义的地址。
5.
管理员在威胁日志中收到恶意 DNS 查询的警报,然后可以搜索 Sinkhole
IP 地址的流量日志,并轻松找到用来试图与 Sinkhole IP 地址开始会
话的客户端 IP 地址。
数据包捕获
如果要捕获所识别的数据包,请选中此复选框。
启用被动 DNS 监视
该选项是一项选择功能,能够将防火墙用作被动 DNS 传感器并将选定
DNS 信息发送到 Palo Alto Networks 进行分析,以提高威胁情报和威胁
防御功能。收集的数据包括非递归(即来自本地递归解析器,而不是单个
客户端)DNS 查询和响应数据包有效负载。Palo Alto Networks 威胁研
究团队使用此信息深入了解滥用 DNS 系统的恶意软件传播和逃避技术。
通过此数据集收集的信息用于提高 PAN-DB URL 过滤、基于 DNS 命令和
控制签名以及 WildFire 的准确性和恶意软件检测能力。此功能的建议设
置是启用该选项。
当使用自定义服务路由配置防火墙时,被动 DNS 功能将使用 WildFire 服
务路由将 DNS 信息发送到 Palo Alto Networks。
此选项在默认情况下禁用。
威胁 ID
226 • Web 界面参考指南,版本 7.0
手动输入 DNS 签名异常(范围 4000000-4999999)。
Palo Alto Networks
安全配置文件
漏洞保护配置文件
对象 > 安全配置文件 > 漏洞保护
安全策略可以包括指定漏洞保护配置文件,用于根据缓冲区溢出、非法代码执行以及其他利用
系统漏洞的尝试来确定保护的级别。有两种预定义的配置文件适用于漏洞保护功能:
• 默认配置文件将默认操作应用到所有客户端和服务器的关键、高和中等严重性漏洞。它不
检测低和信息漏洞保护事件。
• 严格配置文件将阻止响应应用到所有客户端和服务器的关键、高和中等严重性间谍事件,
并使用低和信息漏洞保护事件的默认操作。
自定义的配置文件可以用于对受信安全区域之间的通信执行最低限度的漏洞检查,并对从非受
信区域(如 Internet)接收到的通信以及发送到高敏感目标(如服务器场)的通信执行最大限
度的检查。要将漏洞保护配置文件应用到安全策略,请参阅“定义安全策略”。
“规则”设置指定要启用的签名的集合,以及触发集合中的签名时要执行的操作。
使用“异常”设置可以更改对特定签名的响应。例如,可阻止匹配某个签名的所有数据包,但
有一个所选数据包除外,它将生成警报。异常选项卡支持过滤功能。
漏洞保护页面提供一组默认列。通过使用列选择器可获得其他信息列。单击列标题右侧的箭
头,然后从“列”子菜单中选择列。有关详细信息,请参阅“锁定事务”。
下表介绍了漏洞保护配置文件设置:
表 145. 漏洞保护配置文件设置
字段
说明
名称
输入配置文件名称(最多 31 个字符)。定义安全策略时,此名称将出现在
漏洞保护配置文件的列表中。名称区分大小写,且必须是唯一的。仅可使
用字母、数字、空格、连字符、句点和下划线。
说明
输入配置文件的说明(最多 255 个字符)。
共享
如果想要将配置文件用于以下位置,请选中此复选框:
• 多虚拟系统防火墙上的每个虚拟系统 (vsys)。如果清除此复选框,配置
文件只可用于在对象选项卡中选择的虚拟系统。
• Panorama 上的每个设备组。如果清除此复选框,配置文件只可用于在对
象选项卡中选择的设备组。
禁用替代
(仅限 Panorama)
如果想要阻止管理员通过替代继承的值在子对象设备组中创建配置文件的
本地副本,则选中此复选框。默认情况下,此复选框已取消选中,这意味
着已启用替代。
规则选项卡
规则名称
指定名称以标识规则。
威胁名称
指定要匹配的文本字符串。防火墙通过搜索此文本字符串的签名名称,将
一组签名应用于规则。
操作
选择触发规则时要执行的操作。有关操作列表,请参阅“安全配置文件中
的操作”。
默认操作以预定义的操作为基础,是 Palo Alto Networks 提供的每个签名
的一部分。要查看签名的默认操作,导航到“对象”>“安全配置文件”>
“漏洞保护”,然后单击新增或选择现有配置文件。单击例外选项卡,然
后单击显示所有签名。此时将显示所有签名的列表,您将看到操作列。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 227
安全配置文件
表 145. 漏洞保护配置文件设置(续)
字段
说明
主机
指定将规则的签名限制为客户端、服务器端还是二者任意一项(任何)的
签名。
数据包捕获
如果要捕获所识别的数据包,请选中此复选框。
选择单个数据包选项可以在检测到威胁时捕获一个数据包,或选择扩展捕
获选项可以捕获 1 至 50 个数据包。扩展捕获可以在分析威胁日志时提供
有关威胁的更多上下文信息。要查看数据包捕获,导航至监视器 > 日志 >
威胁并找到感兴趣的日志条目,然后单击第二列中的绿色向下箭头。要定
义应捕获的数据包数量,请导航至设备 > 设置 > Content-ID,然后编辑
Content-ID 设置部分。
数据包捕获只有在操作为“允许”或“警报”时才会发生。如果将操作设
置为“阻止”状态,则会话立即终止。
类别
如果要将签名限制为与该类别匹配的签名,则选择漏洞类别。
CVE 列表
如果要将签名限制为同时与指定的 CVE 匹配的签名,则指定常见漏洞和
暴露 (CVE)。
每个 CVE 的格式均为 CVE-yyyy-xxxx,其中 yyyy 为年份,xxxx 是唯一标
识符。可对此字段执行字符串匹配。例如,要查找 2011 年的漏洞,请输
入 “2011”。
供应商 ID
如果要将签名限制为同时与指定的供应商 ID 匹配的签名,则指定供应商
ID。
例如,Microsoft 供应商 ID 的形式为 MSyy-xxx,其中 yy 为两位数的年份,
xxx 是唯一标示符。例如,要匹配 2009 年的 Microsoft,请输入 “MS09”。
严重性
如果要将签名限制为同时与指定的严重性匹配的签名,则选择要匹配的严
重性(信息性、低、中、高或严重)。
例外选项卡
威胁
选中要为其分配操作的每个威胁的启用复选框,或选择全部以响应所有列
出的威胁。列表取决于所选主机、类别和严重性。如果列表为空,则对于
当前选择项不存在威胁。
从下拉列表框选择操作,或从列表顶部的下拉框中选择操作将同一操作应
用到所有威胁。如果选中显示全部复选框,则列出所有签名。如果未选中
显示全部复选框,则仅列出作为例外的签名。
如果要捕获所识别的数据包,请选中数据包捕获复选框。
漏洞签名数据库包含可以指示暴力攻击的签名;例如,在 FTP 暴力攻击时,
将触发威胁 ID 40001。在特定时间阈值内发生某种情况时,将触发暴力签
名。阈值是为暴力签名预配置的,可以通过单击漏洞选项卡(选择自定义
选项后)上威胁名称旁边的铅笔图标
进行更改。可以指定每个单位时
间的匹配数,以及阈值是应用于源或目标还是同时应用于源和目标。
阈值可以应用于源 IP、目标 IP 或源 IP 和目标 IP 的组合。
默认操作用圆括号括起。CVE 列显示常见漏洞和暴露 (CVE) 的标识符。
这些唯一的公共标识符用于熟知的信息安全漏洞。
使用“IP 地址异常”列可以向威胁异常添加 IP 地址过滤器。如果 IP 地址
已添加到威胁异常,且有匹配异常中的 IP 的源 IP 或目标 IP 的会话已触发
签名,则此规则的操作将只接管此签名的威胁异常操作。每个签名最多可
以添加 100 个 IP 地址。使用此选项,无需创建新策略规则和新漏洞配置
文件,即可为特定 IP 地址创建异常。
228 • Web 界面参考指南,版本 7.0
Palo Alto Networks
安全配置文件
URL 过滤配置文件
对象 > 安全配置文件 > URL 过滤
安全策略可以包括指定 URL 过滤配置文件,以阻止访问特定网站和网站类别,安全搜索执行
或在访问指定网站时(URL 过滤许可证是必需的)生成警报。还可定义“阻止列表”,其中是
始终受到阻止(或生成警报)的网站,以及“允许列表”,其中是始终允许的网站。
要将 URL 过滤配置文件应用到安全策略,请参阅“定义安全策略”。要创建包含自己的 URL
列表的自定义 URL 类别,请参阅“自定义 URL 类别”。
下表介绍了 URL 过滤配置文件设置:
表 146. URL 过滤配置文件设置
字段
说明
名称
输入配置文件名称(最多 31 个字符)。定义安全策略时,此名称将出现在
URL 过滤配置文件的列表中。名称区分大小写,且必须是唯一的。仅可
使用字母、数字、空格、连字符和下划线。
说明
输入配置文件的说明(最多 255 个字符)。
共享
如果想要将配置文件用于以下位置,请选中此复选框:
• 多虚拟系统防火墙上的每个虚拟系统 (vsys)。如果清除此复选框,配置文
件只可用于在对象选项卡中选择的虚拟系统。
• Panorama 上的每个设备组。如果清除此复选框,配置文件只可用于在对
象选项卡中选择的设备组。
禁用替代
(仅限 Panorama)
如果想要阻止管理员通过替代继承的值在子对象设备组中创建配置文件的
本地副本,则选中此复选框。默认情况下,此复选框已取消选中,这意味
着已启用替代。
类别
(仅限配置 BrightCloud)
选择 URL 过滤许可证到期的情况下要采取的操作:
许可证到期时的操作
• 阻止 — 阻止访问所有网站。
• 允许 — 允许访问所有网站。
注:如果使用 BrightCloud 数据库并在许可证到期后将此选项设置为“阻
止”,则会阻止所有 URL,而不仅仅是设置为阻止的 URL 类别。如果将
此选项设置为“允许”,则会允许所有 URL。
如果使用 PAN-DB 数据库,则 URL 过滤将继续正常工作,且可以使用当
前位于缓存中的 URL 类别根据配置进行阻止或允许。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 229
安全配置文件
表 146. URL 过滤配置文件设置(续)
字段
说明
阻止列表
输入要阻止或在其上面生成警报的网站的 IP 地址或 URL 路径名称。每行
输入一个 URL。
重要信息:向列表添加网站时必须省略 URL 的 “http” 和 “https” 部分。
阻止列表中的条目为完全匹配,并且不区分大小写。例如,
“www.paloaltonetworks.com” 与 “paloaltonetworks.com” 不同。如果要阻
止整个域,则应包括 “*.paloaltonetworks.com” 和 “paloaltonetworks.com”。
示例:
• www.paloaltonetworks.com
• 198.133.219.25/en/US
阻止列表和允许列表支持通配符模式。以下字符将视为分隔符:
.
/
?
&
=
;
+
由以上字符分隔的每个子字符串均将视为标记。标记可以是不含分隔符的
任意数目 ASCII 字符,也可以是一个 *。例如,有效模式如下:
*.yahoo.com
(标记为:“*”、“yahoo” 和 “com”)
www.*.com
(标记为:“www”、“*” 和 “com”)
www.yahoo.com/search=*
“search”、“*”)
(标 记 为:“www”、“yahoo”、“com”、
以下模式无效,因为标记中并非仅有字符 “*”。
ww*.yahoo.com
www.y*.com
操作
选择在阻止列表中的网站受到访问时要执行的操作。
• 警报 — 允许用户访问该网站,但向 URL 日志添加警报。
• 阻止 — 阻止访问该网站。
• 继续 — 允许用户通过单击阻止页面上的继续访问受阻页面。
• 替代 — 允许用户在输入密码之后访问受阻页面。在设置页面的“URL 管
理替代”区域指定密码和其他替代设置(参阅“定义管理设置”中的
“管理设置”表)。
230 • Web 界面参考指南,版本 7.0
Palo Alto Networks
安全配置文件
表 146. URL 过滤配置文件设置(续)
字段
说明
允许列表
输入要允许或在其上面生成警报的网站的 IP 地址或 URL 路径名称。每行
输入一个 IP 地址或 URL。
重要信息:向列表添加网站时必须省略 URL 的 “http” 和 “https” 部分。
允许列表中的条目为完全匹配,并且不区分大小写。例如,
“www.paloaltonetworks.com” 与 “paloaltonetworks.com” 不同。如果要允
许整个域,则应包括 “*.paloaltonetworks.com” 和 “paloaltonetworks.com”。
示例:
• www.paloaltonetworks.com
• 198.133.219.25/en/US
阻止列表和允许列表支持通配符模式。以下字符将视为分隔符:
.
/
?
&
=
;
+
由以上字符分隔的每个子字符串均将视为标记。标记可以是不含分隔符的
任意数目 ASCII 字符,也可以是一个 *。例如,有效模式如下:
*.yahoo.com
(标记为:“*”、“yahoo” 和 “com”)
www.*.com
(标记为:“www”、“*” 和 “com”)
www.yahoo.com/search=*
“search”、“*”)
(标 记 为:“www”、“yahoo”、“com”、
以下模式无效,因为标记中并非仅有字符 “*”。
ww*.yahoo.com
www.y*.com
此列表优先于所选网站类别。
类别 / 操作
为每个类别选择该类别的网站受到访问时要执行的操作。
• 警报 — 允许用户访问该网站,但向 URL 日志添加警报。
• 允许 — 允许用户访问该网站。
• 阻止 — 阻止访问该网站。
• 继续 — 允许用户通过单击阻止页面上的继续访问受阻页面。
• 替代 — 允许用户在输入密码之后访问受阻页面。在设置页面的“URL 管
理替代”区域指定密码和其他替代设置(参阅“定义管理设置”中的
“管理设置”表)。
注:继续和替代页面将不会正常显示在配置为使用代理服务器的客户端机
器上。
检查 URL 类别
Palo Alto Networks
单击访问网站,从中可输入 URL 或 IP 地址查看分类信息。
Web 界面参考指南,版本 7.0 • 231
安全配置文件
表 146. URL 过滤配置文件设置(续)
字段
说明
动态 URL 过滤
默认:禁用
选择启用云查询以便对 URL 进行分类。只有当本地数据库无法对 URL 进
行分类时才会调用此选项。
(仅限配置 BrightCloud)
如果在 5 秒超时过后未解析 URL,响应显示为“未解析的 URL”。
使 用 PAN-DB,默 认 情
况下此选项为启用状态,
但不可配置。
仅日志容器页面
选中此复选框可以仅记录与所指定的内容类型匹配的 URL。
默认:启用
启用安全搜索执行
选中此复选框可以搜索严格安全搜索过滤。
默认:禁用
启用后,该选项将阻止使用以下搜索提供商(Bing、Google、Yahoo、
Yandex 或 YouTube)之一搜索 Internet 的用户查看搜索结果,除非设置
这些搜索引擎浏览器的最严格安全搜索选项。如果用户使用这些搜索引擎
之一及其浏览器进行搜索,或者使用尚未设置为严格安全搜索的搜索引擎
帐户设置进行搜索,则将会阻止搜索结果(具体取决于在配置文件中设置
的操作),并且系统会提示用户将其安全搜索设置设置为严格。
要使用此功能,无需 URL
过滤许可证。
注:如果在登录到 Yahoo 帐户的同时在 Yahoo Japan (yahoo.co.jp) 上执
行搜索,必须启用搜索设置的锁定选项。
要执行安全搜索,必须将配置文件添加到安全策略。并且,要为加密的站
点 (HTTPS) 启用安全搜索,必须将配置文件附加到解密策略。
防火墙能够检测三大搜索引擎提供商使用“应用程序和威胁”签名更新更
新的安全搜索设置。如果搜索引擎提供商更改 Palo Alto Networks 用来检
测安全搜索设置的安全搜索设置方法,则将会更新签名更新以确保能够正
确检测到设置。此外,将由每家搜索引擎提供商执行如何将网站判定为安
全或不安全,而不是 Palo Alto Networks。
要防止用户通过使用其他搜索引擎提供商绕过此功能,可以配置 URL 过滤
配置文件阻止搜索引擎类别,然后允许 Bing、Google、Yahoo、Yandex
和 YouTube。
有关详细信息,请参阅《PAN-OS 管理员指南》。
HTTP 标题日志记录
启用 HTTP 标题日志记录可让您查看发送到服务器的 HTTP 请求中包含的
属性。当启用一个或多个在 URL 过滤日志中记录的以下属性值对时:
• 用户代理 — 用户用于访问 URL 的 Web 浏览器。此信息在 HTTP 请求中
发送到服务器。例如,用户代理可以是 Internet Explorer 或 Firefox。日
志中的用户代理值最多支持 1024 个字符。
• 引用站点 — 用户链接到其他网页的网页的 URL ;它是用户重定向(引用)
到所请求的网页的源。日志中的引用站点值最多支持 256 个字符。
• X-Forwarded-For — 用于保留请求网页的用户的 IP 地址的标头字段选项。
它可让您识别用户的 IP 地址,如果网络上拥有代理服务器或已实施源
NAT,则该属性值对非常有用,即屏蔽似乎来自代理服务器 IP 地址的所
有请求的用户 IP 地址或公用 IP 地址。日志中的 x-forwarded-for 值最多
支持 128 个字符。
232 • Web 界面参考指南,版本 7.0
Palo Alto Networks
安全配置文件
文件传送阻止配置文件
对象 > 安全配置文件 > 文件传送阻止
安全策略可以包括指定文件传送阻止配置文件,以阻止上传和 / 或下载选定的文件类型,或在检
测到指定文件类型时生成警报。如果选择转发操作,可以将支持的文件类型发送到 WildFire 以分
析恶意行为。下文中的表 148 列出了支持的文件格式。但是,由于可以在内容更新中添加支持的
新文件类型,因此如需最新的列表,请单击“文件传送阻止”对话框的文件类型字段中的添加。
要将文件传送阻止配置文件应用到安全策略,请参阅“定义安全策略”。
下表介绍了文件传送配置文件设置:
表 147. 文件传送阻止配置文件设置
字段
说明
名称
输入配置文件名称(最多 31 个字符)。定义安全策略时,此名称将出现在
文件传送阻止配置文件的列表中。名称区分大小写,且必须是唯一的。仅
可使用字母、数字、空格、连字符和下划线。
说明
输入配置文件的说明(最多 255 个字符)。
共享
如果想要将配置文件用于以下位置,请选中此复选框:
• 多虚拟系统防火墙上的每个虚拟系统 (vsys)。如果清除此复选框,配置文
件只可用于在对象选项卡中选择的虚拟系统。
• Panorama 上的每个设备组。如果清除此复选框,配置文件只可用于在对
象选项卡中选择的设备组。
禁用替代
(仅限 Panorama)
Palo Alto Networks
如果想要阻止管理员通过替代继承的值在子对象设备组中创建配置文件的
本地副本,则选中此复选框。默认情况下,此复选框已取消选中,这意味
着已启用替代。
Web 界面参考指南,版本 7.0 • 233
安全配置文件
表 147. 文件传送阻止配置文件设置(续)
字段
说明
规则
定义一个或多个规则,用于指定为所选文件类型采取的操作(如果存在)。
要添加规则,请指定以下内容,并单击添加:
• 名称 — 输入规则名称(最多 31 个字符)。
• 应用程序 — 选择要应用规则的应用程序,或选择任何。
• 文件类型 — 选择要阻止或为其生成警报的文件类型。
• 方向 — 选择文件传输方向(上载、下载或两者)。
• 操作 — 选择检测到所选文件类型时所执行的操作:
– 警报 — 向威胁日志添加条目。
– 阻止 — 阻止文件。
– 继续 — 向用户给出一条消息,指示已请求下载,并要求用户确认是否
继续。目的是警告用户可能的未知下载(也称为“下载驱动”),并
让用户选择继续或停止下载。
如 果 使 用 继 续 或 继 续 和 转 发 操 作 创 建 文 件 传 送 阻 止 配 置 文 件(用 于
WildFire 转发),则只能选择应用程序 web-browsing。如果选择任何其
他应用程序,则由于系统不会向用户显示继续页面加以提示,因此匹配安
全策略的通信不会通过防火墙流动。
– 转发 — 将文件自动发送到 WildFire。
– 继续并转发 — 显示一个继续页面,并将文件发送到 WildFire(结合了
继续和转发操作)。此操作仅适用于基于 Web 的流量。这是由于用
户在转发文件之前必须单击“继续”,且继续响应页面选项仅适用于
http/https。
表 148. 文件传送阻止的受支持文件格式
字段
说明
apk
Android 应用程序包文件
avi
基于 Microsoft AVI (RIFF) 文件格式的视频文件
avi-divx
使用 DivX 编解码器编码的 AVI 视频文件
avi-xvid
使用 XviD 编解码器编码的 AVI 视频文件
bat
MS DOS 批处理文件
bmp-upload
位图图像文件(仅上载)
cab
Microsoft Windows 压缩包存档文件
cdr
Corel Draw 文件
cmd
Microsoft 命令文件
dll
Microsoft Windows 动态链接库
doc
Microsoft Office 文档
docx
Microsoft Office 2007 文档
dpx
数字图像交换文件
dsn
数据源名称文件
dwf
Autodesk Design Web Format 文件
234 • Web 界面参考指南,版本 7.0
Palo Alto Networks
安全配置文件
表 148. 文件传送阻止的受支持文件格式(续)
字段
说明
dwg
Autodesk AutoCAD 文件
edif
电子设计交换格式文件
email-link
通过转发 email-link 文件类型,防火墙提取 SMTP 和 POP3 电子邮件消息
中包含的 HTTP/HTTPS 链接,并将链接发送到 WildFire 云进行分析(在
WF-500 WildFire 设备上不支持此功能)。注意,防火墙仅从穿越防火墙的
电子邮件消息中提取链接和相关的会话信息(发件人、收件人和主题);
它不接收、存储、转发或查看电子邮件消息。
在收到来自防火墙的电子邮件链接后,WildFire 访问链接以确定是否有相
应的网页主机的任何漏洞。如果它确定网页本身是良性的,则不会向防火
墙发送任何日志条目。如果链接是恶意的,将会在防火墙的 WildFire 提交
日志中生成 WildFire 的详细分析报告,并将 URL 添加到 PAN-DB。
encrypted-doc
加密 Microsoft Office 文档
encrypted-docx
加密 Microsoft Office 2007 文档
encrypted-office2007
Microsoft Office 2007 加密文件
encrypted-pdf
Adobe PDF 加密文档
encrypted-ppt
加密 Microsoft Office PowerPoint
encrypted-pptx
加密 Microsoft Office 2007 PowerPoint
encrypted-rar
加密 rar 文件
encrypted-xls
加密 Microsoft Office Excel
encrypted-xlsx
加密 Microsoft Office 2007 Excel
encrypted-zip
加密 zip 文件
exe
Microsoft Windows 可执行文件
flash
包括 Adobe Shockwave Flash SWF 和 SWC 文件类型。SWF 文件可通过
Internet 提供矢量图形、文本、视频和声音,并使用 Adobe Flash 播放器
查看内容。SWC 文件是 SWF 组件的压缩包。
flv
Adobe Flash 视频文件
gds
图形数据系统文件
gif-upload
GIF 图像文件(仅上载)
gzip
用 gzip 实用工具压缩的文件
hta
HTML 应用程序文件
iso
基于 ISO-9660 标准的光盘映像文件
iwork-keynote
Apple iWork Keynote 文档
iwork-numbers
Apple iWork Numbers 文档
iwork-pages
Apple iWork Pages 文档
jar
Java ARchive
jpeg-upload
JPG/JPEG 图像文件(仅上载)
lnk
Microsoft Windows 文件快捷方式
lzh
用 lha/lzh 实用工具 / 算法压缩的文件
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 235
安全配置文件
表 148. 文件传送阻止的受支持文件格式(续)
字段
说明
mdb
Microsoft Access 数据库文件
mdi
Microsoft 文档映像文件
mkv
Matroska Video 文件
mov
Apple Quicktime 电影文件
mp3
MP3 音频文件
mp4
MP4 音频文件
mpeg
使用 MPEG-1 或 MPEG-2 压缩的电影文件
msi
Microsoft Windows Installer 包文件
msoffice
Microsoft Office 文件(doc、docx、ppt、pptx、pub、pst、rtf、xls、xlsx)。
如果您希望防火墙阻止 / 转发 MS Office 文件,我们建议您选择 “msoffice”
组,以确保能够识别所有支持的 MS Office 文件类型,而不是单独选择每
种文件类型。
ocx
Microsoft ActiveX 文件
pdf
Adobe 可移植文档文件
PE
Microsoft Windows 可移植执行文件(exe、dll、com、scr、ocx、cpl、
sys、drv、tlb)
pgp
用 PGP 软件加密的安全密钥或数字签名
pif
包含可执行文件说明的 Windows 程序信息文件
pl
Perl 脚本文件
png-upload
PNG 图像文件(仅上载)
ppt
Microsoft Office PowerPoint 演示文稿
pptx
Microsoft Office 2007 PowerPoint 演示文稿
psd
Adobe Photoshop 文档
rar
用 winrar 创建的压缩文件
reg
Windows 注册表文件
rm
RealNetworks Real Media 文件
rtf
Windows 富文本格式文档文件
sh
Unix 外壳脚本文件
stp
产品模型数据交换标准 3D 图形文件
tar
Unix tar 存档文件
tdb
Tanner Database (www.tannereda.com)
tif
Windows 标记图像文件
torrent
BitTorrent 文件
wmf
Windows Metafile 存储向量图像
wmv
Windows Media 视频文件
wri
Windows 书写文档文件
wsf
Windows 脚本文件
236 • Web 界面参考指南,版本 7.0
Palo Alto Networks
安全配置文件
表 148. 文件传送阻止的受支持文件格式(续)
字段
说明
xls
Microsoft Office Excel
xlsx
Microsoft Office 2007 Excel
zcompressed
Unix 中的压缩 Z 文件,用 uncompress 解压缩
zip
Winzip/pkzip 文件
多级编码
经过五次或五次以上编码的文件。
多级文件编码标志着行为可疑。为了隐藏原始文件类型,规避恶意内容的
检测,文件可能经过多次压缩。默认情况下,防火墙可对最多五次编码的
文件解码,并可识别这些文件;但是,您可以使用此文件类型来阻止因五
次或更多次数地编码致使防火墙未能解码的文件。
类
Java 字节码文件
WildFire 分析配置文件
对象 > 安全配置文件 > WildFire 分析
使用 WildFire 分析配置文件可以指定要在 WildFire 设备本地或在 WildFire 云中执行的 WildFire 文
件分析。您可以根据文件类型、应用程序或文件传输方向(上传或下载),指定要转发到公共
云或私有云的流量。在创建 WildFire 分析配置文件后,进一步将此配置文件添加到策略(策略 >
安全),可让您将此配置文件设置应用到与策略(例如,在策略中定义的 URL 类别)匹配的所
有流量。
表 149. WildFire 分析配置文件设置
字段
说明
名称
输入 WildFire 分析配置文件的描述性名称(最多 31 个字符)。定义安全策
略时,此名称将出现在可供您选择的 WildFire 分析配置文件列表中。名
称区分大小写,且必须是唯一的。仅可使用字母、数字、空格、连字符和
下划线。
说明
(可选)介绍配置文件规则或配置文件的预期用途(最多 255 个字符)。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 237
安全配置文件
表 149. WildFire 分析配置文件设置(续)
字段
说明
共享
如果想要将配置文件用于以下位置,请选中此复选框:
• 多虚拟系统防火墙上的每个虚拟系统 (vsys)。如果清除此复选框,配置文
件只可用于在对象选项卡中选择的虚拟系统。
• Panorama 上的每个设备组。如果清除此复选框,配置文件只可用于在对
象选项卡中选择的设备组。
规则
定义一个或多个规则,以便指定要转发到 WildFire 公共云或 WildFire 设备
(私有云)进行分析的流量。
• 输入添加到配置文件的所有规则的描述性名称(最多 31 个字符)。
• 添加应用程序,以便所有应用程序流量都与规则匹配,并转发到指定分
析目标。
• 为规则选择在定义分析目标分析的文件类型。
• 根据传输方向将规则应用到流量。可以将规则应用到上传流量、下载流
量或这两者。
• 选择待分析流量转发的目标:
– 选择公共云,以使与规则匹配的所有流量转发到 WildFire 公共云进行
分析。
– 选择私有云,以使与规则匹配的所有流量转发到 WildFire 设备进行
分析。
数据过滤配置文件
对象 > 安全配置文件 > 数据过滤
安全策略可以包括指定数据过滤配置文件,以帮助标识诸如信用卡号或社会保险号这样的敏感
信息,并防止敏感信息脱离由防火墙保护的区域。
要将数据过滤配置文件应用到安全策略,请参阅“定义安全策略”。
下表介绍了数据过滤配置文件设置:
表 150. 数据过滤配置文件设置
字段
说明
名称
输入配置文件名称(最多 31 个字符)。定义安全策略时,此名称将出现在
日志转发配置文件的列表中。名称区分大小写,且必须是唯一的。仅可使
用字母、数字、空格、连字符和下划线。
说明
输入配置文件的说明(最多 255 个字符)。
共享
如果想要将配置文件用于以下位置,请选中此复选框:
• 多虚拟系统防火墙上的每个虚拟系统 (vsys)。如果清除此复选框,配置文
件只可用于在对象选项卡中选择的虚拟系统。
• Panorama 上的每个设备组。如果清除此复选框,配置文件只可用于在对
象选项卡中选择的设备组。
238 • Web 界面参考指南,版本 7.0
Palo Alto Networks
安全配置文件
表 150. 数据过滤配置文件设置(续)
字段
说明
禁用替代
(仅限 Panorama)
如果想要阻止管理员通过替代继承的值在子对象设备组中创建配置文件的
本地副本,则选中此复选框。默认情况下,此复选框已取消选中,这意味
着已启用替代。
数据捕获
选中该复选框可自动收集被过滤器阻止的数据。
在设置页面上为 Manage Data Protection 指定密码,以查看捕获的数据。
请参阅“定义管理设置”。
若要添加数据模式,请单击添加,并指定以下信息:
表 151. 数据模式设置
字段
说明
数据模式
从“数据模式”下拉列表中选择现有数据模式,或从该列表中选择数据模
式并指定“定义数据模式”中介绍的信息以配置新模式。
应用程序
指定要包含在过滤规则中的应用程序:
• 选择任何可以将过滤器应用到所有列出的应用程序。此选择不会阻止所
有可能的应用程序,只阻止列出的应用程序。
• 单击添加以指定个别应用程序。
文件类型
指定要包括在过滤规则中的文件类型:
• 选择任何可以将过滤器应用到所有列出的文件类型。此选择不阻止所有
可能的文件类型,只阻止列出的文件类型。
• 单击添加以指定个别文件类型。
方向
指定是要在上载方向、下载方向还是两个方向上同时应用过滤器。
警报阈值
指定将触发警报的值。例如,如果阈值为 100,其 SSN 权重为 5,则规则
将需要检测到至少 20 个 SSN 模式,然后才会触发规则(20 个实例 x 5 权
重 = 100)。
阻止阈值
指定将触发阻止的值。例如,如果阈值为 100,其 SSN 权重为 5,则规则
将需要检测到至少 20 个 SSN 模式,然后才会触发规则(20 个实例 x 5 权
重 = 100)。
DoS 配置文件
对象 > 安全配置文件 > DoS 保护
DoS 保护配置文件设计用于高度精确定位和增强区域保护配置文件。DoS 配置文件指定操作类
型和匹配条件来检测 DoS 攻击。将这些配置文件附加到 DoS 保护策略,可让您根据聚合会话
或唯一的源和 / 或目标 IP 地址控制接口、区域、地址和国家 / 地区之间的流量。要将 DoS 配
置文件应用到 DoS 策略,请参阅“定义 DoS 策略”。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 239
安全配置文件
如果您拥有多个虚拟系统环境,则必须启用以下内容:
• 外部区域,用于在虚拟系统之间进行通信
• 共享网关,允许虚拟系统共享用于外部通信的通用接口和单个 IP 地址
在外部区域中将会禁用下列区域和 DoS 保护机制:
• SYN Cookie
• IP 分片
• Icmpv6
要启用 IP 分片和 ICMPv6 保护,您必须单独为共享网关创建区域保护配置文件。
要在共享网关上防止 SYN 泛滥攻击,可以使用随机早期丢弃或 SYN cookie 应用
SYN 泛滥攻击保护配置文件;在外部区域中,只有随机早期丢弃适用于 SYN 泛滥攻
击保护。
下表介绍了 DoS 保护配置文件设置:
表 152. DoS 保护配置文件设置
字段
说明
名称
输入配置文件名称(最多 31 个字符)。定义安全策略时,此名称将出现在
日志转发配置文件的列表中。名称区分大小写,且必须是唯一的。仅可使
用字母、数字、空格、连字符和下划线。
共享
如果想要将配置文件用于以下位置,请选中此复选框:
• 多虚拟系统防火墙上的每个虚拟系统 (vsys)。如果清除此复选框,配置文
件只可用于在对象选项卡中选择的虚拟系统。
• Panorama 上的每个设备组。如果清除此复选框,配置文件只可用于在对
象选项卡中选择的设备组。
禁用替代
(仅限 Panorama)
如果想要阻止管理员通过替代继承的值在子对象设备组中创建配置文件的
本地副本,则选中此复选框。默认情况下,此复选框已取消选中,这意味
着已启用替代。
说明
输入配置文件的说明(最多 255 个字符)。
类型
指定以下某个配置文件类型:
• 聚合 — 将配置文件中所配置的 DoS 阈值应用于与被应用此配置文件的规
则条件匹配的所有数据包。例如,包含以每秒 10000 个数据包 (pps) 作
为 SYN Flood 阈值的聚合规则会对符合该特定 DoS 规则的所有数据包
进行计数。
• 已分类 — 将配置文件中配置的 DoS 阈值应用于满足分类标准(源 IP、目
标 IP 或源及目标 IP)的所有数据包。
240 • Web 界面参考指南,版本 7.0
Palo Alto Networks
其他策略对象
表 152. DoS 保护配置文件设置(续)
字段
说明
泛滥攻击保护选项卡
Syn 泛滥攻击子选项卡
选中此复选框可以启用 SYN 泛滥攻击保护,并指定以下设置:
UDP 泛滥攻击子选项卡
• 操作 —(仅限 SYN 泛滥攻击)选择以下选项:
ICMP 泛滥攻击子选项卡
– 随机提前丢弃 — 在达到总体 DoS 限制之前随机丢弃数据包。
其他子选项卡
– SYN cookie — 使用 SYN cookies 生成确认消息,以便在出现 SYN
flood 攻击时不必丢弃连接。
• 警报速率 — 指定生成 DoS 警报的速率 (pps)(范围是 0-2000000 pps,
默认为 10000 pps)。
• 激活速率 — 指定激活 DoS 响应的速率 (pps)(范围是 0-2000000 pps,
默认为 10000 pps)。
• 最大速率 — 指定丢弃或阻止数据包的速率。
• 阻止持续时间 — 指定拒绝恶意数据包的时间长度(秒)。对于在阻止持
续时间内到达的数据包,不会进行触发警报的计数。
注:为区域保护配置文件定义每秒数据包数 (pps) 阀值限制时,此阈值是
根据与之前建立的会话不匹配的每秒数据包数确定的。
资源保护选项卡
会话
选中此复选框可启用资源保护。
最大并发数限制
指定最大并发会话数。如果 DoS 配置文件类型为聚合,则此限制将应用
于符合应用 DoS 配置文件的 DoS 规则的整个通信。如果对 DoS 配置文件
类型进行分类,则此限制将基于分类(源 IP、目标 IP 或源及目标 IP)应
用于满足应用 DoS 配置文件的 DoS 规则的整个通信。
其他策略对象
策略对象是可让您构造、调度和搜索策略的元素。支持以下对象类型:
• 地址和地址组,用于确定策略作用域。请参阅“定义地址组”。
• 应用程序和应用程序组,用于指定如何在策略中处理软件应用程序。请参阅“应用程序”。
• 应用程序过滤器,用于简化搜索。请参阅“应用程序过滤器”。
• 服务和服务组,用于对端口号进行限制。请参阅“服务”。
• 标记,用于对对象进行排序和过滤。请参阅“标记”。
• 数据模式,用于为数据过滤策略定义敏感信息类别。请参阅“数据模式”。
• 自定义 URL 类别,包含要作为组包含到 URL 过滤配置文件中的您自己的 URL 列表。请参
阅“自定义 URL 类别”。
• 间谍软件和漏洞威胁,实现详细的威胁响应。请参阅“安全配置文件组”。
• 日志转发,用于指定日志设置。请参阅“日志转发”。
• 调度,用于指定策略何时变为活动。请参阅“解密配置文件中的 SSL 解密设置”。
要移动或克隆对象,请参阅“移动或克隆策略或对象”。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 241
其他策略对象
定义地址对象
对象 > 地址
地址对象可以包括 IPv4 或 IPv6 地址(单个 IP、范围、子网)或 FQDN。它可让您将相同对象
重复用作所有策略规则库的源或目标地址,而无需每次手动添加。可以使用 Web 界面或 CLI
进行配置,且需要提交操作以使对象成为配置的一部分。
要定义地址对象,单击添加,然后填写以下字段:
表 153. 新建地址设置
字段
说明
名称
输入描述要定义的地址的名称(最多 63 个字符)。定义安全策略时,此名
称将出现在地址列表中。名称区分大小写,且必须是唯一的。仅可使用字
母、数字、空格、连字符和下划线。
共享
如果想要将地址对象用于以下位置,请选中此复选框:
• 多虚拟系统防火墙上的每个虚拟系统 (vsys)。如果清除此复选框,地址对
象只可用于在对象选项卡中选择的虚拟系统。
• Panorama 上的每个设备组。如果清除此复选框,地址对象只可用于在对
象选项卡中选择的设备组。
禁用替代
(仅限 Panorama)
如果想要阻止管理员通过替代继承的值在子对象设备组中创建地址的本地
副本,则选中此复选框。默认情况下,此复选框已取消选中,这意味着已
启用替代。
说明
输入对象的说明(最多 255 个字符)。
类型
指定 IPv4 或 IPv6 地址或地址范围或者 FQDN。
IP 子网掩码:
使用以下表示法输入 IPv4 或 IPv6 地址或者 IP 地址范围:
ip_address/mask 或 ip_address
其中掩码是地址网络部分所使用的有效二进制位数。
示例:
“192.168.80.150/32” 指示一个地址,而 “192.168.80.0/24” 指示从
192.168.80.0 到 192.168.80.255 的所有地址。
示例:
“2001:db8:123:1::1” 或 “2001:db8:123:1::/64”
IP 范围:
要指定地址范围,请选择 IP 范围,然后输入地址的范围。格式如下:
ip_address–ip_address
其中,每个地址均可以是 IPv4 或 IPv6。
示例:
“2001:db8:123:1::1 - 2001:db8:123:1::22”
类型(续)
FQDN:
要使用 FQDN 指定地址,请选择 FQDN,并输入域名。
FQDN 最初在提交时进行解析。当防火墙每 30 分钟执行检查时会后续刷
新条目;在刷新周期会选取条目的所有 IP 地址变更。
如果配置代理,则 FQDN 由系统 DNS 服务器或 DNS 代理对象解析。有
关 DNS 代理的信息,请参阅“配置 DNS 代理”。
242 • Web 界面参考指南,版本 7.0
Palo Alto Networks
其他策略对象
表 153. 新建地址设置(续)
字段
说明
标记
选择或输入您希望应用到此地址对象的标记。
您可以在这里定义标记或使用“对象”>“标记”选项卡创建新标记。有
关标记的信息,请参阅“标记”。
定义地址组
对象 > 地址组
要简化创建安全策略,可以将需要相同安全设置的地址组合到地址组中。地址组可以是静
态地址组,也可以是动态地址组。
• 动态地址组:动态地址组使用查找标记和基于标记的过滤器动态填充其成员。如果使用可以
在其中频繁更改虚拟机位置 / IP 地址的广泛虚拟基础架构,则动态地址组非常有用。例如,
您可以频繁使用灵活的故障转移设置或配置新虚拟机,并将策略应用到流量表或新计算机,
而无需修改防火墙的配置 / 规则。
与在其中指定主机的网络地址的静态地址组不同,动态地址组的成员可以使用定义的匹配
条件进行填充。匹配条件使用逻辑 and 或 or 运算符;要添加到动态地址组的每台主机均
必须包括在匹配条件中定义的标记或属性。可以在防火墙或 Panorama 上直接定义标记,
或使用 XML API 动态定义并注册到防火墙。在注册 IP 地址和相应标记(一个或多个)
时,每个动态组都会评估标记并更新其组成员的列表。
要注册新的 IP 地址和标记或更改现有的 IP 地址和标记,必须在防火墙中使用调用 XML
API 的脚本。如果使用已安装 VMware 的虚拟环境,而不是使用脚本调用 XML API,则
可以使用虚拟机信息源功能(设备 > 虚拟机信息源选项卡)配置防火墙监控 ESX(i) 主机或
vCenterServer,并检索有关在这些虚拟机上部署的新服务器 / 来宾操作系统的信息(网络地
址和相应标记)。
要在策略中使用动态地址组,必须完成以下任务:
– 定义动态地址组,并在策略规则中引用该动态地址组。
– 通知 IP 地址和相应标记的防火墙,以便形成动态地址组的成员。该任务可以在防火墙中
使用外部脚本利用 XML API 完成,或用于在防火墙的设备 > 虚拟机信息源选项卡上配
置的基于 VMware 的环境。
动态地址组也可以包括静态定义的地址对象。如果创建地址对象和应用已分配给动态地址组的
相同标记,则动态地址组将包括与标记匹配的所有静态和动态对象。因此,您可以在同一个地
址组中使用标记合并动态和静态对象。
• 静态地址组:静态地址组可以包括静态地址对象、动态地址组或者是地址对象和动态地址
组的组合。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 243
其他策略对象
要创建地址组,单击添加,然后填写以下字段:
表 154. 地址组
字段
说明
名称
输入描述地址组的名称(最多 63 个字符)。定义安全策略时,此名称将出
现在地址列表中。名称区分大小写,且必须是唯一的。仅可使用字母、数
字、空格、连字符和下划线。
共享
如果想要将地址组用于以下位置,请选中此复选框:
• 多虚拟系统防火墙上的每个虚拟系统 (vsys)。如果清除此复选框,地址组
只可用于在对象选项卡中选择的虚拟系统。
• Panorama 上的每个设备组。如果清除此复选框,地址组只可用于在对象
选项卡中选择的设备组。
禁用替代
(仅限 Panorama)
如果想要阻止管理员通过替代继承的值在子对象设备组中创建地址组的本
地副本,则选中此复选框。默认情况下,此复选框已取消选中,这意味着
已启用替代。
说明
输入对象的说明(最多 255 个字符)。
类型
选择静态或动态。
要创建动态地址组,可以使用匹配条件构成该组要包括的成员。可以使用
AND 或 OR 运算符定义匹配条件。
注:要查看匹配条件的属性列表,必须配置防火墙访问和检索源 / 主机的属
性。可以将为其配置信息源的每台虚拟机注册到防火墙,并且防火墙可以
轮询虚拟机以检索 IP 地址或配置更改,而无需在防火墙上进行任何修改。
对于静态地址组,单击添加,然后选择一个或多个地址。单击添加可以将
对象或地址组添加到地址组。地址组可以包含地址对象,以及静态和动态
地址组。
标记
选择或输入您希望应用到此地址组的标记。有关标记的信息,请参阅
“标记”。
定义地区
对象 > 地区
防火墙支持创建应用于指定国家 / 地区或其他地区的策略规则。在指定安全策略、解密策略和
DoS 策略的源和目标时,地区可作为选项。可以从国家 / 地区的标准列表中选择,或者使用这
一节描述的地区设置来定义要包括的自定义地区,作为安全策略规则的选项。
下表介绍了地区设置:
表 155. 新建地区设置
字段
说明
名称
输入描述地区的名称(最多 31 个字符)。定义安全策略时,此名称将出现
在地址列表中。名称区分大小写,且必须是唯一的。仅可使用字母、数
字、空格、连字符和下划线。
地理位置
若要指定纬度和经度,请选中此复选框并指定值(xxx.xxxxxx格式)。此信
息在 App-Scope 的通信和威胁映射中使用。请参阅“使用 App Scope”。
244 • Web 界面参考指南,版本 7.0
Palo Alto Networks
其他策略对象
表 155. 新建地区设置(续)
字段
说明
地址
使用以下任意格式指定用于标识地区的 IP 地址、IP 地址的范围或子网:
x.x.x.x
x.x.x.x-y.y.y.y
x.x.x.x/n
应用程序
对象 > 应用程序
您在查找什么内容?
请参阅
了解应用程序页面上显示的应
用程序设置和属性。
“应用程序概述”
添加新应用程序或修改现有应
用程序。
“定义应用程序”
应用程序概述
应用程序 页面列出了每个应用程序定义的各种属性,如应用程序的相对安全风险(1 到 5)。
风险值基于一些条件,例如应用程序是否可以共享文件、是否容易误用或是否尝试规避防火
墙。值越高表示风险越大。
页面顶部的应用程序浏览器区域列出可以用于过滤显示的属性,如下所示。每个条目左侧的数
字表示具有该属性的应用程序的总数。
每周发布的内容定期放入了可以制作签名的新解码器和上下文。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 245
其他策略对象
您可以在此页上执行下列任意功能:
• 要应用应用程序过滤器,请单击要用作过滤基础的项。例如,要将列表限制为协作类别,
请单击协作,列表将仅显示此类别的应用程序。
• 要在其他列上执行过滤,请在其他列中选择一个条目。过滤按顺序连续进行:依次应用类
别过滤器、子类别过滤器、技术过滤器、风险过滤器和特征过滤器。例如,如果应用类
别、子类别和风险过滤器,即使尚未显式应用技术过滤器,技术列也会自动限制为与所选
类别和子类别一致的技术。每次应用过滤器时,页面下部的应用程序列表都会自动更新。
可以在对象 > 应用程序过滤器中查看保存的任何过滤器。
• 要搜索特定应用程序,请在搜索字段中输入应用程序名称或说明,然后按 Enter 键。随即列
出应用程序,并更新过滤器列,以显示匹配搜索的应用程序的统计信息。
搜索将匹配部分字符串。定义安全策略时,可以写入应用于与已保存过滤器匹配的所有应用
程序的规则。通过匹配过滤器的内容更新添加新应用程序时,此类规则将得到动态更新。
• 您可以禁用某应用程序(或多个应用程序),以使此应用程序的签名与流量不匹配。禁用
应用程序后,为阻止、允许或强制执行匹配应用程序定义的安全规则不适用于应用程序流
量。您可能会选择禁用包含在新内容发行版本中的应用程序,因为在唯一标识应用程序
后,应用程序的策略实施可能会改变。例如,在新内容版本安装之前,防火墙允许标识为
Web 浏览流量的应用程序;在安装内容更新后,唯一标识的应用程序与允许 Web 浏览流量
的安全规则不再匹配。在这种情况下,可以选择禁用应用程序,以使与应用程序签名匹配
的流量继续被归类为 Web 浏览流量,并允许此流量。
• 选择禁用的应用程序,然后启用此应用程序,以便根据配置的安全策略强制执行。
• 若要导入应用程序,请单击导入。浏览以选择文件,并从目标下拉列表中选择目标虚拟系统。
• 要导出应用程序,请选中应用程序的复选框,并单击导出。执行提示的操作以保存文件。
• 查看策略,以便评估安装某内容发行版本前后应用程序基于策略的执行情况。使用“策略
查看”对话框,查看策略对下载内容发行版本中包含的新应用程序的影响。“策略查看”
对话框可让您在现有安全策略中添加或删除暂挂应用程序(通过内容发行版本下载的,但
未安装到防火墙上的应用程序);在安装相应的内容发行版本后,暂挂应用程序的策略更
改才生效。在设备 > 动态更新页面上下载和安装内容发行版本时,也可以访问“策略查
看”对话框。
246 • Web 界面参考指南,版本 7.0
Palo Alto Networks
其他策略对象
• 要查看有关应用程序的其他详细信息或自定义风险和超时值,如下表所述,请单击应用程
序名称。如果应用程序名称左侧有一个黄色铅笔图标,则表明该应用程序是一个自定义应
用程序。请注意,可用设置可能会有所不同,具体取决于应用程序。
下表介绍了应用程序设置:
表 156. 应用程序详细信息
项目
说明
名称
应用程序的名称。
说明
应用程序的说明(最多 255 个字符)。
其他信息
指向包含应用程序更多相关信息的 Web 源(Wikipedia、Google 和
Yahoo!)的链接。
标准端口
应用程序用于与网络通信的端口。
取决于
必须依赖此应用程序才能运行的其他应用程序的列表。在创建允许
所选应用程序的策略规则时,还必须确保允许此应用程序所依赖的
任何其他应用程序。
隐式使用
所选应用程序所依赖的,但无需添加到允许所选应用程序的安全策略
规则中的其他应用程序,因为这些应用程序是隐式支持的应用程序。
之前已识别为
对于新的 App-ID,或已更改的 App-ID,均表明此应用程序之前已
识别为此 App-ID。此标识可帮助您根据应用程序更改评估策略更改
是否是必需的。如果禁用 App-ID,则与该应用程序关联的会话会像
之前已识别为 App-ID 的应用程序一样与策略匹配。同样,禁用的
App-ID 会像之前已识别为 App-ID 的应用程序一样显示在日志中。
拒绝操作
App-ID 是为默认拒绝操作开发的,默认拒绝操作规定了应用程序包
含在有拒绝操作的安全规则中时防火墙的响应方式。默认拒绝操作可
以指定静默丢弃或 TCP 重置。您可以在安全策略中替代此默认操作。
特征
回避
将端口或协议用于其原始预期目的之外,以期穿过防火墙。
过多带宽
正常使用中稳定地消耗至少 1 Mbps 带宽。
易误用
经常用于不法目的,或可轻易设置使其暴露非用户期望的信息。
在防火墙上,软件即服务 (SaaS) 的特点是服务,其中软件和基础架
构归应用程序服务提供商所有和管理,但您可以保留数据的完全控
制权,包括创建、访问、共享和传输数据。
SaaS
请记住,在应用程序的特点方面,SaaS 应用程序与 Web 服务不同。
Web 服务是托管应用程序,其中用户不能拥有数据(例如,
Pandora),或者服务主要由大量订户为社交提供的共享数据组成
(例如,LinkedIn、Twitter 或 Facebook)。
传输文件
能通过网络将文件从一个系统传输到另一个系统。
其他隧道应用程序
能够在其协议内传输其他应用程序。
由恶意软件使用
已知恶意软件利用该应用程序进行传播、攻击或数据窃取,或其随
恶意软件一起散布。
漏洞
已经公开报告存在漏洞。
广泛使用
可能有超过 1000000 个用户。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 247
其他策略对象
表 156. 应用程序详细信息(续)
项目
说明
为其他应用程序继续扫描
指示防火墙继续尝试匹配其他应用程序签名。如果不选择此选项,
则防火墙会在第一次匹配签名后停止查找其他应用程序匹配项。
类别
应用程序类别是以下类别之一:
• 商业系统
• 协作
• general-internet
• media
• 联网
• 未知
子类别
对应用程序分类使用的子类别。不同的类别具有与之关联的不同子类
别。例如,协作类别中的子类别包括电子邮件、文件共享、即时消
息、Internet 会议、社交商业、社交网络、VoIP 视频和 Web 发布。
而商业系统类别中的子类别包括身份验证服务、数据库、erp-crm、
通用商业、管理、Office 程序、软件更新和存储备份。
技术
browser-based
此应用程序依赖于 Web 浏览器运行。
client-server
此应用程序使用客户端 - 服务器模型,其中,有一个或多个客户端在
网络中与服务器进行通信。
network-protocol
此应用程序通常用于系统与系统间的通信,以便执行网络操作。这
包括大多数 IP 协议。
peer-to-peer
此应用程序直接与其他客户端通信来传输信息,而不依赖于中心服
务器进行通信。
风险
应用程序的指定风险。
要自定义此设置,请单击自定义链接,输入值 (1-5),然后单击确定。
选项
会话超时
应用程序由于不活动而变为超时需要经过的时间段(以秒为单位,
范围为 1-604800 秒)。此超时适用于 TCP 或 UDP 以外的协议。有
关 TCP 或 UDP,请参阅此表的后几行。
要自定义此设置,请单击自定义链接,输入值,然后单击确定。
终止 TCP 应用程序流时超时(以秒为单位,范围为 1-604800)。
TCP 超时(秒)
UDP 超时(秒)
248 • Web 界面参考指南,版本 7.0
要自定义此设置,请单击自定义链接,输入值,然后单击确定。
值为 0 表示将使用全局会话计时器,TCP 的超时为 3600 秒。
终止 UDP 应用程序流时超时(以秒为单位,范围为 1-604800 秒)。
要自定义此设置,请单击自定义链接,输入值,然后单击确定。
Palo Alto Networks
其他策略对象
表 156. 应用程序详细信息(续)
项目
说明
TCP 半闭合(秒)
在接收第一个 FIN 数据包和接收第二个 FIN 数据包或 RST 数据包之
间,会话保持在会话表中范围内的最大时间长度(以秒为单位)。
如果计时器超时,会话将关闭(范围为 1-604800)。
默认:如果在应用层未配置计时器,将会使用全局设置。
如果已在应用层配置此值,则它将替代全局 TCP 半闭合设置。
在接收第二个 FIN 数据包或 RST 数据包后,会话保持在会话表中范
围内的最大时间长度(以秒为单位)。如果计时器超时,会话将关
闭(范围为 1-600)。
TCP 等待时间(秒)
默认:如果在应用层未配置计时器,将会使用全局设置。
如果已在应用层配置此值,则它将替代全局 TCP 等待时间设置。
指示已启用还是已禁用 App-ID。如果已禁用 App-ID,该应用程序
的流量在安全策略和日志中会被视为之前已识别为 App-ID 的流量。
对于在内容发行版本 490 之后添加的应用程序,您可以在查看新应
用程序的策略影响时禁用它们。在查看策略后,您可能会选择启用
App-ID。您还可以禁用之前启用的应用程序。在多虚拟系统防火墙
上,可以在每个虚拟系统中单独禁用 App-ID。
已启用 App-ID
如果防火墙无法使用 App-ID 识别应用程序,则将流量分类为“未知”:unknown-tcp 或
unknown-udp。此行为适用于所有未知应用程序,完全模拟 HTTP 的未知应用程序除外。有
关详细信息,请参阅“使用 Botnet 报告”。
可以为未知应用程序创建新定义,然后定义新应用程序定义的安全策略。此外,可以将需要相
同安全设置的应用程序组合到应用程序组中,以简化安全策略的创建。
定义应用程序
对象 > 应用程序
使用应用程序页面可以添加让防火墙评估何时应用策略的新应用程序。
表 157. 新建应用程序设置
字段
说明
配置选项卡
名称
共享
输入应用程序名称(最多 31 个字符)。定义安全策略时,此名称将出现在
应用程序列表中。名称区分大小写,且必须是唯一的。仅可使用字母、数
字、空格、句点、连字符和下划线。第一个字符必须是字母。
如果想要将应用程序用于以下位置,请选中此复选框:
• 多虚拟系统防火墙上的每个虚拟系统 (vsys)。如果清除此复选框,应用程
序只可用于在对象选项卡中选择的虚拟系统。
• Panorama 上的每个设备组。如果清除此复选框,应用程序只可用于在对
象选项卡中选择的设备组。
禁用替代
(仅限 Panorama)
Palo Alto Networks
如果想要阻止管理员通过替代继承的值在子对象设备组中创建应用程序的
本地副本,则选中此复选框。默认情况下,此复选框已取消选中,这意味
着已启用替代。
Web 界面参考指南,版本 7.0 • 249
其他策略对象
表 157. 新建应用程序设置(续)
字段
说明
说明
输入应用程序说明,供一般参考(最多 255 个字符)。
类别
选择应用程序类别,如电子邮件或数据库。此类别用于生成前十个应用程
序类别图表,且可供过滤(参阅“使用应用程序命令中心”)。
子类别
选择应用程序子类别,如电子邮件或数据库。此子类别用于生成前十个应
用程序类别图表,且可供过滤(参阅“使用应用程序命令中心”)。
技术
选择应用程序的技术。
父应用程序
指定此应用程序的父应用程序。当会话与父应用程序和自定义应用程序都
匹配时,则应用此设置;但是,只报告自定义应用程序,因为它更明确。
风险
选择与此应用程序关联的风险级别(最低级别 1 到最高级别 5)。
特征
选择可能使应用程序处于风险中的应用程序特征。有关各种特征的说明,
请参阅“特征”。
高级选项卡
端口
如果应用程序使用的协议是 TCP 和 / 或 UDP,则选择端口并输入协议和
端口号的一种或多种组合(每行输入一种)。一般格式如下:
< 协议 > / < 端口 >
其中,端口是单个端口号,或使用动态表示动态端口分配。
示例:TCP / 动态或 UDP/32。
在安全规则的服务列中使用 app-default 时,将应用此设置。
IP 协议
要指定除 TCP 或 UDP 以外的 IP 协议,请选择 IP 协议,并输入协议号
(1 到 255)。
ICMP 类型
若要指定 Internet 控制消息协议版本 4 (ICMP) 类型,请选择 ICMP 类型,
并输入类型号(范围 0-255)。
ICMP6 类型
若要指定 Internet 控制消息协议版本 6 (ICMPv6) 类型,请选择 ICMP6 类
型,并输入类型号(范围 0-255)。
无
若要指定与协议无关的签名,请选择无。
超时
输入空闲应用程序流终止之前经过的秒数(范围 0-604800 秒)。零表示
将使用应用程序的默认超时。在所有情况下,此值均可用于除 TCP 和
UDP 以外的协议,并且在未指定 TCP 超时和 UDP 超时的情况下,用于
TCP 和 UDP 超时。
TCP 超时
输入空闲 TCP 应用程序流终止之前经过的秒数(范围 0-604800 秒)。零表
示将使用应用程序的默认超时。
UDP 超时
输入空闲 UDP 应用程序流终止之前经过的秒数(范围 0-604800 秒)。零
表示将使用应用程序的默认超时。
TCP 半闭合
输入会话将保持在会话表中范围内的最大时间长度,即在接收第一个 FIN
和接收第二个 FIN 或 RST 之间。如果计时器超时,会话将关闭。
默认:如果在应用层未配置计时器,将会使用全局设置。范围为
1-604800 秒。
如果已在应用层配置此值,则它将替代全局 TCP 半闭合设置。
250 • Web 界面参考指南,版本 7.0
Palo Alto Networks
其他策略对象
表 157. 新建应用程序设置(续)
字段
说明
TCP 等待时间
输入会话保持在会话表中范围内的最大时间长度,即在接收第二个 FIN 或
RST 之后。如果计时器超时,会话将关闭。
默认:如果在应用层未配置计时器,将会使用全局设置。范围为 1-600 秒。
如果已在应用层配置此值,则它将替代全局 TCP 等待时间设置。
正在扫描
选中要基于安全配置文件(文件类型、数据模式和病毒)允许的扫描类型
的复选框。
签名选项卡
签名
单击添加以添加新签名,并指定以下信息:
• 签名名称 — 输入名称以标识该签名。
• 注释 — 输入可选说明。
• 范围 — 选择是仅将此签名应用于当前事务还是完整用户会话。
• 排序条件匹配 — 选择签名条件的定义顺序是否重要。
指定用于定义签名的条件:
• 通过单击添加 AND 条件或添加 OR 条件,添加条件。要在组中添加条
件,请选择组,然后单击添加条件。
• 从模式匹配和等于中选择运算符。选择模式匹配运算符时,请指定以
下项:
– 上下文 — 从可用上下文中选择。
– 模式 — 指定正则表达式。有关正则表达式的模式规则,请参阅
表 163。
– 限定符和值 —(可选)添加限定符 / 值对。
• 选择等于运算符时,请指定以下项:
– 上下文 — 从 TCP 或 UDP 的未知请求和响应中选择。
– 位置 — 在负载中的前四字节或第二个四字节之间选择。
– 掩码 — 指定一个 4 字节的十六进制值,例如,0xffffff00。
– 值 — 指定一个 4 字节的十六进制值,例如,0xaabbccdd。
• 要在组中移动条件,请选择条件,然后单击上移或下移箭头。要移动
组,请选择组,然后单击上移或下移箭头。无法将条件从一个组移动到
另一个组。
如果应用程序仅用于应用程序替代规则,则无需为应用程序指定签名。
若要导入应用程序,请单击导入。浏览以选择文件,并从目标下拉列表中选择目标虚拟系统。
若要导出应用程序,请选中应用程序的复选框,并单击导出。执行提示的操作以保存文件。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 251
其他策略对象
定义应用程序组
对象 > 应用程序组
要简化安全策略的创建,可以将需要相同安全设置的应用程序组合到应用程序组中。(要定义
新应用程序,请参阅“定义应用程序”。)
表 158. 新建应用程序组
字段
说明
名称
输入描述应用程序组的名称(最多 31 个字符)。定义安全策略时,此名
称将出现在应用程序列表中。名称区分大小写,且必须是唯一的。仅可使
用字母、数字、空格、连字符和下划线。
共享
如果想要将应用程序组用于以下位置,请选中此复选框:
• 多虚拟系统防火墙上的每个虚拟系统 (vsys)。如果清除此复选框,应用程
序组只可用于在对象选项卡中选择的虚拟系统。
• Panorama 上的每个设备组。如果清除此复选框,应用程序组只可用于在
对象选项卡中选择的设备组。
禁用替代
(仅限 Panorama)
如果想要阻止管理员通过替代继承的值在子对象设备组中创建应用程序组
的本地副本,则选中此复选框。默认情况下,此复选框已取消选中,这意
味着已启用替代。
应用程序
单击添加,然后选择此组中要包括的应用程序、应用程序过滤器和 / 或其
他应用程序组。
应用程序过滤器
对象 > 应用程序过滤器
可以定义应用程序过滤器以简化重复的搜索。要定义应用程序过滤器以简化重复的搜索,单击
添加,然后输入过滤器的名称。
在窗口的上方区域中,单击要用作过滤基础的项。例如,要将列表限制为“网络”类别,请单
击网络。
要在其他列上执行过滤,请在列中选择条目以显示复选框。过滤按顺序连续进行:依次应用类
别过滤器、子类别过滤器、技术过滤器、风险过滤器和特征过滤器。
252 • Web 界面参考指南,版本 7.0
Palo Alto Networks
其他策略对象
例如,下图中显示了选择类别、子类别和风险过滤器的结果。在应用前两个过滤器的过程中,
即使尚未显式应用技术过滤器,技术列也将自动限制为与所选类别和子类别一致的技术。
选择选项时,页面靠下部分中的应用程序列表将自动更新,如图所示。
服务
对象 > 服务
定义特定应用程序的安全策略时,可以选择一项或多项服务以限制应用程序可以使用的端口
号。默认服务是任何,即允许所有 TCP 和 UDP 端口。
虽然预定义了 HTTP 和 HTTPS 服务,但仍可以添加其他服务定义。可以将通常一起分配的服
务组合到服务组中,以简化安全策略的创建(参阅“服务组”)。
下表介绍了服务设置:
表 159. 服务设置
字段
说明
名称
输入服务名称(最多 63 个字符)。定义安全策略时,此名称将出现在服务
列表中。名称区分大小写,且必须是唯一的。仅可使用字母、数字、空
格、连字符和下划线。
说明
输入服务的说明(最多 255 个字符)。
共享
如果想要将服务对象用于以下位置,请选中此复选框:
• 多虚拟系统防火墙上的每个虚拟系统 (vsys)。如果清除此复选框,服务对
象只可用于在对象选项卡中选择的虚拟系统。
• Panorama 上的每个设备组。如果清除此复选框,服务对象只可用于在对
象选项卡中选择的设备组。
禁用替代
(仅限 Panorama)
如果想要阻止管理员通过替代继承的值在子对象设备组中创建服务对象的
本地副本,则选中此复选框。默认情况下,此复选框已取消选中,这意味
着已启用替代。
协议
选择由服务使用的协议(TCP 或 UDP)。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 253
其他策略对象
表 159. 服务设置(续)
字段
说明
目标端口
输入服务使用的目标端口号(0 到 65535)或端口号范围 (port1-port2)。
多个端口或范围必须以逗号分隔。目标端口为必填字段。
源端口
输入由服务使用的源端口号(0 到 65535)或端口号的范围 (port1-port2)。
多个端口或范围必须以逗号分隔。源端口可选。
服务组
对象 > 服务组
要简化安全策略的创建,可以将具有相同安全设置的服务组合到服务组中。要定义新服务,请
参阅“服务”。
下表介绍了服务组设置:
表 160. 服务组设置
字段
说明
名称
输入服务组名称(最多 63 个字符)。定义安全策略时,此名称将出现在服
务列表中。名称区分大小写,且必须是唯一的。仅可使用字母、数字、空
格、连字符和下划线。
共享
如果想要将服务组用于以下位置,请选中此复选框:
• 多虚拟系统防火墙上的每个虚拟系统 (vsys)。如果清除此复选框,服务组
只可用于在对象选项卡中选择的虚拟系统。
• Panorama 上的每个设备组。如果清除此复选框,服务组只可用于在对象
选项卡中选择的设备组。
禁用替代
(仅限 Panorama)
如果想要阻止管理员通过替代继承的值在子对象设备组中创建服务组的本
地副本,则选中此复选框。默认情况下,此复选框已取消选中,这意味着
已启用替代。
服务
单击添加将服务添加到组。从下拉列表中选择,或在下拉列表的底部单击
服务按钮,并指定设置。有关设置的说明,请参阅“服务”。
标记
对象 > 标记
标记可让您使用关键字或词组将对象进行分组。可以将标记应用到地址对象、地址组(静态和
动态)、区域、服务、服务组和策略规则。可以使用标记排序或过滤对象,从视觉上分辨对
象,因为它们具有颜色。当将颜色应用到标记时,策略选项卡将显示拥有背景颜色的对象。
您想了解什么内容?
请参阅
如何创建标记?
“创建标记”
标记浏览器是什么?
“使用标记浏览器”
254 • Web 界面参考指南,版本 7.0
Palo Alto Networks
其他策略对象
您想了解什么内容?
请参阅
如何搜索已标记的规则?
“管理标记”
如何使用标记对规则分组?
如何查看策略中使用的标记?
如何将标记应用到策略?
是否需要了解更多内容?
请参阅策略。
创建标记
对象 > 标记
使用此选项卡可以创建标记、分配颜色、删除、重命名和克隆标记。每个对象最多可以拥有 64
个标记;当某对象拥有多个标记时,它会显示应用的第一个标记的颜色。
在防火墙上,对象 > 标记选项卡会显示在防火墙上本地定义的标记或从 Panorama 推送到防火
墙的标记;在 Panorama 上,此选项卡会显示在 Panorama 上定义的标记。此选项卡不会显示
为构成动态地址组从防火墙上定义的虚拟机信息源动态检索的标记,或使用 XML API 定义的
标记。
在创建新标记时,标记会在当前在防火墙或 Panorama 上选择的虚拟系统或设备组中自动创建。
• 添加标记:要添加新标记,单击添加,然后填写完成以下字段:
表 161. 标记设置
字段
说明
名称
输入唯一的标记名称(最多 127 个字符)。名称不区分大小写。
共享
如果想要将标记用于以下位置,请选中此复选框:
• 多虚拟系统防火墙上的每个虚拟系统 (vsys)。如果清除此复选框,标记只
可用于在对象选项卡中选择的虚拟系统。
• Panorama 上的每个设备组。如果清除此复选框,标记只可用于在对象选
项卡中选择的设备组。
禁用替代
(仅限 Panorama)
如果想要阻止管理员通过替代继承的值在子对象设备组中创建标记的本地
副本,则选中此复选框。默认情况下,此复选框已取消选中,这意味着已
启用替代。
颜色
从下拉列表的调色板中选择一种颜色。默认值是“无”。
注释
可以添加使用标记的标签或说明。
在策略选项卡中创建或编辑策略时,也可以创建新标记。标记会在当前选择的设备组或虚
拟系统中自动创建。
• 编辑标记:要编辑、重命名标记或向标记分配颜色,请单击显示为链接的标记名称,然后
修改设置。
• 删除标记:要删除标记,请单击删除,然后在窗口中选择标记。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 255
其他策略对象
• 移动或克隆标记:移动或克隆标记的选项可让您在为多个虚拟系统启用的设备上复制标
记,或将标记移到不同的设备组或虚拟系统。
单击克隆或移动,然后在窗口中选择标记。为标记选择目标位置(设备组或虚拟系统)。
如果希望验证过程发现对象的所有错误后再显示错误,则清除输出验证中第一个检测到的
错误复选框。默认情况下,已启用此复选框,并且验证过程会在检测到第一个错误时停
止,且仅显示此错误。
• 替代或恢复标记(仅在 Panorama 上):如果在创建标记时尚未选择“禁用替代”选项,则
“替代”选项可用。此选项可让您替代从共享或父对象设备组继承的标记的分配颜色。位
置字段显示当前设备组。您也可以通过选择“禁用替代”来禁用进一步替代。
要撤消标记的更改,请单击“恢复”。恢复标记时,位置字段显示继承标记的源设备组或
虚拟系统。
使用标记浏览器
策略 > 规则库(安全、NAT、QoS...)
标记浏览器可提供规则库(策略集)中使用的所有标记的摘要。它可让您查看所有标记的列表
以及规则库中列出标记的顺序。
您可以排序、浏览、搜索和过滤特定标记,也可以仅查看规则库中各规则应用的第一个标记。
下表介绍了标记浏览器中的选项:
表 162. 使用标记浏览器
字段
说明
标记 (#)
显示标签和规则编号,或连续使用标记时的编号范围。
将鼠标悬停在标签上方可以查看定义规则的位置。位置可以继承自共享位
置、设备组或虚拟系统。
规则
列出规则编号,或与多个标记关联的编号范围。
根据规则中的第一个标记
过滤
选择后,仅显示规则库中各规则应用的第一个标记。
规则顺序
按在所选规则库中出现的顺序对标记排序。按出现的顺序显示时,连续的
规则中所使用的标记会组合在一起。与标记关联的规则编号会与标记名称
一起显示。
按字母顺序
按所选规则库中的字母顺序对标记排序。显示内容列出了标记名称、颜色
(如果已分配颜色)和在规则库中使用的次数。
如果您想要缩小列表范围,查看可能分散在规则库中的相关规则,此视图特
别有用。例如,如果各规则的第一个标记指示了其功能(管理、Web 访
问、数据中心访问、代理),则可缩小结果范围,并可根据功能扫描结果。
标签无表示没有任何标记的规则;对于无标记规则,不显示规则编号。
选择无后,对右侧窗格进行过滤,以显示未向其分配标记的规则。
清除
清除搜索栏中当前所选标记的过滤。
搜索栏
可让您搜索标记,输入术语并单击绿色箭头图标可以应用过滤。
还可显示规则库中的标记总数和所选标记的数量。
有关其他操作,请参阅“管理标记”。
256 • Web 界面参考指南,版本 7.0
Palo Alto Networks
其他策略对象
管理标记
下表列出了可以使用选项卡浏览器执行的操作。
管理标记
标记规则。
1.
在右侧窗格上选择规则。
2.
执行以下操作之一:
– 在标记浏览器中选择标记,然后从
下拉列表中选择将标记应用于选项。
– 将标记从标记浏览器拖放到规则的
标记列上。丢弃标记时,将显示一个确认对话框。
1.
在标记浏览器中选择一个或多个标记。使用
OR 运算符过滤标记。
2.
右侧窗格会更新显示具有任何所选标记的
规则。
3.
要查看当前选择的标记,请将鼠标悬停在标
记浏览器的清除标签上方。
查看当前选择的标记。
要查看当前选择的标记,请将鼠标悬停在标记浏览器的
“清除”标签上方。
查看与所选标记匹配的规则。
• OR 过滤器:要查看具有特定标记的规则,请在标记浏
览器中选择一个或多个标记。右侧窗格将仅显示包含
当前所选标记的规则。
您可以使用 AND 或 OR 运算符过滤基于标
记的规则。
• AND 过滤器:要查看具有所有所选标记的规则,请将
鼠标悬停在标记浏览器规则列中的编号上方,然后在
下拉列表中选择过滤。重复操作以添加更多标记。
单击右侧窗格上搜索栏中的
算符的结果。
。将显示使用 AND 运
取消标记规则。
将鼠标悬停在标记浏览器规则列中的规则编号上方,然
后在下拉列表中选择取消标记规则。确认您要从规则中
删除所选标记。
使用标记对规则重新排序。
选择一个或多个标记,将鼠标悬停在标记浏览器规则列
中的规则编号上方,然后在下拉列表中选择移动规则。
在移动规则窗口中,从下拉列表中选择一个标记,然后
选择是要前移还是后移在下拉列表中选择的标记。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 257
其他策略对象
管理标记
添加应用所选标记的新规则。
选择一个或多个标记,将鼠标悬停在标记浏览器规则列中
的规则编号上方,然后在下拉列表中选择添加新规则。
新规则的数字顺序因是否在右侧窗格上选择规则而异。
如果未在右侧窗格上选择任何规则,则将新规则添加到
所选标记所属的规则之后。否则,将新规则添加到所选
规则之后。
搜索标记。
在标记浏览器中,输入要搜索的标记名称的前几个字
母,然后单击
。将显示与输入匹配的标记。
数据模式
通过数据模式支持,您可以指定希望使用数据过滤安全策略进行过滤的敏感信息类别。有关配
置数据模式的说明,请参阅“定义数据模式”。
添加新模式(正则表达式)时,将应用以下常规要求:
• 模式必须至少包含 7 个匹配字节的字符串。可以超过 7 字节,但不能少于 7 字节。
• 字符串匹配可能或可能不区分大小写,具体取决于使用的解码器。需要区分大小写时,您需
要定义所有可能的字符串的模式,才能匹配各种不同形式的词语。例如,如果要匹配指定为
机密的所有文档,则需要创建 “confidential”、“Confidential” 和 “CONFIDENTIAL” 等模式。
PAN-OS 中的正则表达式语法与传统正则表达式引擎类似,但每个引擎都是唯一的。下表描述了
PAN-OS 中支持的语法。
表 163. 模式规则
语法
说明
.
匹配任意单个字符。
?
与前面的字符或表达式匹配 0 次或 1 次。常规表达式必须在一对圆括号内。
示例:(abc)?
*
与前面的字符或表达式匹配 0 次或多次。常规表达式必须在一对圆括号内。
示例:(abc)*
+
与前面的字符或正则表达式匹配一次或多次。常规表达式必须在一对圆括号内。
示例:(abc)+
|
等同于 “or”。
示例:((bif)|(scr)|(exe)) 匹配 “bif”、“scr” 或 “exe”。请注意,替代子字符串必须在圆括
号中。
-
用于创建范围表达式。
示例:[c-z] 匹配 c 和 z 之间的任意字符,包括 c 和 z。
[]
匹配任意字符。
示例:[abz]:匹配 a、b 或 z 中的任意字符。
^
匹配除此之外的任意字符。
示例:[^abz] 匹配除 a、b 或 z 以外的任意字符。
258 • Web 界面参考指南,版本 7.0
Palo Alto Networks
其他策略对象
表 163. 模式规则
语法
说明
{}
最小 / 最大字节数。
示例:{10-20} 匹配长度在 10 到 20 字节之间的任意字符串。固定字符串必须紧随此部
分,并且此部分仅支持 “-”。
\
要对上述任一特殊字符执行字面匹配,必须通过在这些字符前面加上 “\”(反斜杠),
对这些字符进行转义。
&amp
& 是特殊字符,因此要在字符串中查找 “&”,必须改用 “&amp”。
数据模式示例
有效的自定义模式示例如下:
• .*((Confidential)|(CONFIDENTIAL))
– 在任意位置查找单词 “Confidential” 或 “CONFIDENTIAL”
– 开头的 “.*” 指定在流中的任意位置进行查找
– 根据解码器区分大小写的要求,此内容可能与 “confidential”(全部小写)不匹配
• .*((Proprietary &amp Confidential)|(Proprietary and Confidential))
– 查找 “Proprietary & Confidential” 或 “Proprietary and Confidential”
– 比查找 “Confidential” 更精确
• .*(Press Release).*((Draft)|(DRAFT)|(draft))
– 查找后接单词 draft 的各种形式的 “Press Release”(这可能表明发行版并未准备好发往
公司外部)
• .*(Trinidad)
– 查找项目代号,如 “Trinidad”
动态阻止列表
对象 > 动态阻止列表
使用动态阻止列表页面创建基于导入的 IP 地址列表的地址对象。必须将此列表创建为文本文件,
并将其保存到防火墙可以访问和导入的 Web 服务器;防火墙可以使用管理端口检索此列表。
您可以配置防火墙,以便每小时、每天、每周或每月自动更新设备上的列表。创建动态阻止列
表对象后,可以在安全策略的源字段和目标字段中使用地址对象。
大多数平台最多支持十个动态阻止列表; PA-5000 系列和 PA-7000 系列防火墙例外,它们最多
支持 50 个列表。每个列表均可包含最多 5000 个 IP 地址(IPv4 和 / 或 IPv6),其中可包含 IP
范围和 / 或 IP 子网。此列表的每行必须包含一个 IP 地址、范围或子网。某些示例如下:
单个 IP 地址:
IPv4:192.168.80.150/32
IPv6:2001:db8:123:1::1 或 2001:db8:123:1::/64
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 259
其他策略对象
IP 范围:
要指定地址范围,请选择 IP 范围,然后输入地址的范围。格式如下:
ip_address–ip_address
其中,每个地址均可以是 IPv4 或 IPv6。
IPv4:“192.168.80.0/24” 指示从 192.168.80.0 到 192.168.80.255 的所有地址
IPv6:2001:db8:123:1::1 - 2001:db8:123:1::22
下表介绍了动态阻止列表设置:
表 164 动态阻止列表
字段
说明
名称
输入一个名称以标识动态阻止列表(最多 32 个字符)。在策略中
选择源或目标时将显示此名称。
共享
如果想要将动态阻止列表用于以下位置,请选中此复选框:
• 多虚拟系统防火墙上的每个虚拟系统 (vsys)。如果清除此复选框,
动态阻止列表只可用于在对象选项卡中选择的虚拟系统。
• Panorama 上的每个设备组。如果清除此复选框,动态阻止列表只
可用于在对象选项卡中选择的设备组。
禁用替代(仅限 Panorama)
如果想要阻止管理员通过替代继承的值在子对象设备组中创建动
态阻止列表的本地副本,则选中此复选框。默认情况下,此复选
框已取消选中,这意味着已启用替代。
说明
输入动态阻止列表的说明(最多 255 个字符)。
源
输入包含文本文件的 HTTP 或 HTTPS URL 路径。例如,
http://1.1.1.1/myfile.txt。
重复
指定导入列表的频率。可以选择每小时、每天、每周或每月。列表
会按指定间隔导入到配置中。发生此类更新时不需要完整提交。
测试源 URL(仅限防火墙)
测试源 URL 或服务器路径是否可用。此按钮只可用于防火墙 Web
界面,不能用于 Panorama。
260 • Web 界面参考指南,版本 7.0
Palo Alto Networks
其他策略对象
自定义间谍软件和漏洞签名
本节介绍可用于创建自定义间谍软件和漏洞签名的选项,创建自定义漏洞配置文件时可以使用
这些选项。
对象 > 自定义对象 > 数据模式
对象 > 自定义对象 > 间谍软件
对象 > 自定义对象 > 漏洞
对象 > 自定义对象 > URL 类别
定义数据模式
对象 > 自定义对象 > 数据模式
使用数据模式 页面,可以定义希望使用数据过滤安全策略进行过滤的敏感信息类别。有关定义
数据过滤配置文件的信息,请参阅“数据过滤配置文件”。
下表介绍了数据模式设置:
表 165. 数据模式设置
字段
说明
名称
输入数据模式名称(最多31个字符)。名称区分大小写,且必须是唯一的。
仅可使用字母、数字、空格、连字符和下划线。
说明
输入数据模式的说明(最多 255 个字符)。
共享
如果想要将数据模式用于以下位置,请选中此复选框:
• 多虚拟系统防火墙上的每个虚拟系统 (vsys)。如果清除此复选框,数据模
式只可用于在对象选项卡中选择的虚拟系统。
• Panorama 上的每个设备组。如果清除此复选框,数据模式只可用于在对
象选项卡中选择的设备组。
禁用替代
(仅限 Panorama)
如果想要阻止管理员通过替代继承的值在子对象设备组中创建数据模式的
本地副本,则选中此复选框。默认情况下,此复选框已取消选中,这意味
着已启用替代。
权重
输入预指定模式类型的权重。权重是介于 1 和 255 之间的数字。在数据过
滤配置文件中指定的“警报”和“阻止”阈值是此权重的函数。
• CC# — 指定信用卡字段的权重(范围 0-255)。
• SSN# — 指定社会保险号字段的权重,在此处,字段包括短划线,比如
123-45-6789(范围 0-255,255 是最高权重)。
• SSN#(无短划线)— 指定社会保险号字段的权重,在这里,条目没有短
划线,比如 123456789(范围 0-255,255 是最高权重)。
自定义模式
预定义模式包括信用卡号和社会保险号(包括带有短划线和不带短划线两
种情况)。
单击添加以添加新模式。指定模式的名称,输入用于定义模式的正则表达
式,然后输入分配到模式的权重。根据需要添加其他模式。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 261
其他策略对象
定义间谍软件和漏洞签名
对象 > 自定义对象 > 间谍软件
对象 > 自定义对象 > 漏洞
防火墙支持使用防火墙威胁引擎来创建自定义间谍软件和漏洞签名的功能。可以编写自定义正
则表达式模式,以标识间谍软件 Phone Home 通信或漏洞利用。生成的间谍软件和漏洞模式可
在任意自定义漏洞配置文件中使用。防火墙在网络通信中查找自定义的模式并针对漏洞利用采
取指定操作。
每周发布的内容定期放入了可以制作签名的新解码器和上下文。
通过每个间隔指定一个阈值以便为响应攻击而触发可能的操作,可以在定义自定义签名时可选
地包括时间属性。只有在达到阈值之后,才会执行操作。
使用自定义间谍软件签名页面可以定义防间谍软件配置文件的签名。使用自定义漏洞签名页面
可以定义漏洞保护配置文件的签名。
表 166. 自定义签名 - 漏洞和间谍软件
字段
说明
配置选项卡
威胁 ID
输入该配置的数字标识符。对于间谍软件签名,范围是 15000-18000;对于
漏洞签名,范围是 41000-45000。
名称
指定威胁名称。
共享
如果想要将自定义签名用于以下位置,请选中此复选框:
• 多虚拟系统防火墙上的每个虚拟系统 (vsys)。如果清除此复选框,自定义
签名只可用于在对象选项卡中选择的虚拟系统。
• Panorama 上的每个设备组。如果清除此复选框,自定义签名只可用于在
对象选项卡中选择的设备组。
禁用替代
(仅限 Panorama)
如果想要阻止管理员通过替代继承的值在子对象设备组中创建签名的本地
副本,则选中此复选框。默认情况下,此复选框已取消选中,这意味着已
启用替代。
注释
输入可选注释。
严重性
分配表示威胁严重性的级别。
默认操作
如果符合威胁条件,则分配要执行的默认操作。有关操作列表,请参阅
“安全配置文件中的操作”。
方向
表示评估威胁时是从客户端到服务器还是从服务器到客户端,或者两者
皆是。
受影响系统
表示威胁是涉及客户端、服务器还是两者均涉及。适用于漏洞签名,而不
适用于间谍软件签名。
CVE
指定常见的漏洞枚举 (CVE) 作为外部参考以获取更多的背景和分析信息。
供应商
指定漏洞的供应商标识符作为外部参考以获取更多的背景和分析信息。
Bugtraq
指定 bugtraq(与 CVE 类似)作为外部参考以获取更多背景和分析信息。
引用
添加指向附加分析或背景信息的链接。当用户单击 ACC、日志或漏洞配置
文件中的威胁时,会显示此信息。
262 • Web 界面参考指南,版本 7.0
Palo Alto Networks
其他策略对象
表 166. 自定义签名 - 漏洞和间谍软件(续)
字段
说明
签名选项卡
标准签名
选择标准单选按钮,然后单击添加以添加新签名。指定以下信息:
• 标准 — 输入名称以标识签名。
• 注释 — 输入可选说明。
• 排序条件匹配 — 选择签名条件的定义顺序是否重要。
• 范围 — 选择是仅将此签名应用于当前事务还是完整用户会话。
通过单击添加 Or 条件或添加 And 条件,添加条件。要在组中添加条件,
请选择组,然后单击添加条件。将条件添加到签名,以便在定义的条件参
数适用时为流量生成签名。从下拉列表中选择一个运算符。运算符定义匹
配流量时必须适用于自定义签名的条件的类型。从小于、等于、大于或模
式匹配中选择运算符。
• 选择模式匹配运算符时,可指定以下适用于签名的选项来匹配流量:
– 上下文 — 从可用上下文中选择。
– 模式 — 指定正则表达式。有关正则表达式的模式规则,请参阅
表 163。
– 限定符和值 —(可选)添加限定符 / 值对。
– 求反 — 选中“求反”复选框,仅当定义的“模式匹配”条件不成立时,
自定义签名才与流量匹配。此选项可让您确保在某些情况下,不触发
自定义签名。
注:自定义签名不能仅使用“求反”条件创建;必须包含至少一个求
正条件,才能指定求反条件。此外,如果签名范围设置为“会话”,
则不能将“求反”条件配置为匹配流量的最后一个条件。
当流量与签名和签名例外都匹配时,可以立即使用生成求反签名的新选项
定义自定义漏洞或间谍软件签名的例外。使用此选项可以允许网络中可以
其他方式归类为间谍软件或漏洞攻击的某些流量。在这种情况下,可为与
模式匹配的流量生成签名;对于与模式匹配同时与模式例外匹配的流量,
则不生成签名,和任何关联的策略操作(例如阻止或丢弃)。例如,可以
为重定向 URL 定义要生成的签名;但是,如果不对重定向到受信域的 URL
生成签名,也可以立即创建例外。
• 选择等于、小于或大于运算符时,可指定以下适用于签名的选项来匹配
流量:
– 上下文 — 从 TCP 或 UDP 的未知请求和响应中选择。
– 位置 — 在负载中的前四字节或第二个四字节之间选择。
– 掩码 — 指定一个 4 字节的十六进制值,例如,0xffffff00。
– 值 — 指定一个 4 字节的十六进制值,例如,0xaabbccdd。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 263
其他策略对象
表 166. 自定义签名 - 漏洞和间谍软件(续)
字段
说明
组合签名
选择组合单选按钮。在子选项卡上面的区域中,指定以下信息:
在组合签名子选项卡上,指定用于定义签名的条件:
• 通过单击添加 AND 条件或添加 OR 条件,添加条件。要在组中添加条
件,请选择组,然后单击添加条件。
• 要在组中移动条件,请选择条件,然后单击上移或下移箭头。要移动组,
请选择组,然后单击上移或下移箭头。无法将条件从一个组移动到另一
个组。
在时间属性子选项卡上,指定以下信息:
• 命中数 — 指定将触发任何基于策略操作的阈值,作为在指定秒数 (1-3600)
中的很多匹配数 (1-1000)。
• 聚合标准 — 指定按源 IP 地址、目标 IP 地址或源和目标 IP 地址的组合
来跟踪匹配。
• 要在组中移动条件,请选择条件,然后单击上移或下移箭头。要移动
组,请选择组,然后单击上移或下移箭头。无法将条件从一个组移动到
另一个组。
自定义 URL 类别
对象 > 自定义对象 > URL 类别
通过自定义 URL 类别功能,您可以创建自己的 URL 列表,可以在任意 URL 过滤配置文件中选
择这些 URL。每个自定义类别均可以独立控制,并且在每个 URL 过滤配置文件中具有与其关联
的操作(“允许”、“阻止”、“继续”、“覆盖”、“警报”或“无”)。无操作仅适用于
自定义 URL 类别。选择无的目的是确保自定义类别将不会对其他配置文件产生任何影响(如果
存在多个 URL 配置文件)。例如,如果您拥有两个 URL 配置文件且在其中一个配置文件中将
自定义 URL 类别设置为阻止,则应将另一个配置文件操作设置无(如果您不希望应用它)。
可逐个添加 URL 条目,也可导入 URL 列表。为此,请创建一个文本文件,其中含有要包括的
URL,每行一个 URL。每个 URL 的格式都可以为 “www.example.com”,且可以包含 * 作为通
配符,如 “*.example.com”。有关通配符的其他信息,请参阅“URL 过滤配置文件设置”表中
“阻止列表”字段的说明。
添加到自定义类别的 URL 条目不区分大小写。此外,要在将自定义类别添
加到 URL 配置文件和设置操作后将其删除,必须在可以删除自定义类别之
前将操作设置为“无”。
有关设置 URL 过滤配置文件的说明,请参阅“URL 过滤配置文件”。
264 • Web 界面参考指南,版本 7.0
Palo Alto Networks
其他策略对象
下表介绍了自定义 URL 设置:
表 167. 自定义 URL 类别
字段
说明
名称
输入一个名称以标识自定义 URL 类别(最多 31 个字符)。定义 URL 过滤
策略时,此名称将出现在类别列表中。名称区分大小写,且必须是唯一
的。仅可使用字母、数字、空格、连字符和下划线。
说明
输入 URL 类别的说明(最多 255 个字符)。
如果想要将 URL 类别用于以下位置,请选中此复选框:
共享
• 多虚拟系统防火墙上的每个虚拟系统 (vsys)。如果清除此复选框,URL 类
别只可用于在对象选项卡中选择的虚拟系统。
• Panorama 上的每个设备组。如果清除此复选框,URL 类别只可用于在对
象选项卡中选择的设备组。
禁用替代
(仅限 Panorama)
如果想要阻止管理员通过替代继承的值在子对象设备组中创建 URL 类别
的本地副本,则选中此复选框。默认情况下,此复选框已取消选中,这意
味着已启用替代。
站点
在 Sites 区域中,单击添加输入 URL,或单击导入浏览以选择包含 URL 列
表的文本文件。
安全配置文件组
对象 > 安全配置文件组
防火墙支持创建安全配置文件组的功能,利用此功能,可以指定安全配置文件集合,该集合被视
为一个单元,添加到安全策略。例如,可以创建一个“威胁”安全配置文件组,其中包括防病
毒、防间谍软件和漏洞保护的配置文件,然后再创建一个包括“威胁”配置文件的安全策略。
对于那些通常一起分配的防病毒、防间谍软件、漏洞保护、URL 过滤以及文件传送阻止配置文
件,可以将它们组合到配置文件组中,以简化安全策略的创建。
要定义新安全配置文件,请参阅“定义安全策略”。
下表介绍了安全配置文件设置:
表 168. 安全配置文件组设置
字段
说明
名称
输入配置文件组名称(最多 31 个字符)。定义安全策略时,此名称将出
现在配置文件列表中。名称区分大小写,且必须是唯一的。仅可使用字
母、数字、空格、连字符和下划线。
共享
如果想要将配置文件组用于以下位置,请选中此复选框:
• 多虚拟系统防火墙上的每个虚拟系统 (vsys)。如果清除此复选框,配置文
件组只可用于在对象选项卡中选择的虚拟系统。
• Panorama 上的每个设备组。如果清除此复选框,配置文件组只可用于在
对象选项卡中选择的设备组。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 265
其他策略对象
表 168. 安全配置文件组设置(续)
字段
说明
禁用替代
(仅限 Panorama)
如果想要阻止管理员通过替代继承的值在子对象设备组中创建配置文件组
的本地副本,则选中此复选框。默认情况下,此复选框已取消选中,这意
味着已启用替代。
配置文件
选择要包括在此组中的防病毒、防间谍软件、漏洞保护、URL 过滤和 / 或
文件传送阻止配置文件。还可以在安全配置文件组中指定数据过滤配置文
件。请参阅“数据过滤配置文件”。
日志转发
对象 > 日志转发
每个安全策略均可以指定日志转发配置文件,以确定通信和威胁日志条目是否通过 Panorama
进行了远程记录,并且 / 或者作为 SNMP 陷阱、syslog 消息或电子邮件通知发送。默认情况
下,仅执行本地日志记录。
通信日志记录有关每个通信流的信息,威胁日志记录网络通信的威胁或问题(例如病毒或间谍软件
检测)。请注意,与每个规则关联的防病毒、防间谍软件和漏洞保护配置文件可确定(以本地或
远程方式)记录哪些威胁。要将日志记录配置文件应用到安全策略,请参阅“定义安全策略”。
在 PA-7000 系列防火墙上,必须在防火墙转发以下日志类型之前配置特殊
接口类型(记录卡):Syslog、电子邮件和 SNMP。这也需要将文件转发
到 WildFire。在配置端口后,日志转发和 WildFire 转发将自动使用此端
口,并且对于出现这种情况不需要进行任何特殊设置。只需配置其中一个
PA-7000 系列 NPC 的数据端口作为接口类型记录卡,并确保所使用的网络
可以与日志服务器进行通信。对于 WildFire 转发,网络需要与 WildFire 云
和 / 或 WildFire 设备进行通信。
有关配置此接口的信息,请参阅 “配置日志卡接口”。
下表介绍了日志转发设置:
表 169.
日志转发配置文件设置
字段
说明
名称
输入配置文件名称(最多 31 个字符)。定义安全策略时,此名称将出现在
日志转发配置文件的列表中。名称区分大小写,且必须是唯一的。仅可使
用字母、数字、空格、连字符和下划线。
共享
如果想要将配置文件用于以下位置,请选中此复选框:
• 多虚拟系统防火墙上的每个虚拟系统 (vsys)。如果清除此复选框,配置文
件只可用于在对象选项卡中选择的虚拟系统。
• Panorama 上的每个设备组。如果清除此复选框,配置文件只可用于在对
象选项卡中选择的设备组。
禁用替代
(仅限 Panorama)
266 • Web 界面参考指南,版本 7.0
如果想要阻止管理员通过替代继承的值在子对象设备组中创建配置文件的
本地副本,则选中此复选框。默认情况下,此复选框已取消选中,这意味
着已启用替代。
Palo Alto Networks
其他策略对象
表 169.
日志转发配置文件设置(续)
字段
说明
流量设置
Panorama
选中此复选框可启用将通信日志条目发送到 Panorama 的集中化管理系
统。要定义 Panorama 服务器地址,请参阅“定义管理设置”。
SNMP 陷阱
电子邮件
Syslog
选择 SNMP、Syslog 和 / 或电子邮件设置,以指定发送通信日志条目的其
他目标。要定义新目标,请参阅:
• “配置 SNMP 陷阱目标”。
• “配置电子邮件通知设置”
• “配置 Syslog 服务器”
威胁日志设置
Panorama
单击要发送到 Panorama 的威胁日志条目的各严重性级别的复选框。严重
性级别如下:
• 严重 — 威胁安全引擎检测到非常严重的攻击。
• 高 — 威胁安全引擎检测到重大攻击。
• 中 — 威胁安全引擎检测到轻微攻击,包括 URL 阻止。
• 低 — 威胁安全引擎检测到警告级别的攻击。
• 信息性 — 其他严重性级别未覆盖的所有其他事件,包括信息性攻击对象
匹配。
SNMP 陷阱
电子邮件
Syslog
在各严重性级别下,选择 SNMP、Syslog 和 / 或电子邮件设置,以指定发
送威胁日志条目的其他目标。
解密配置文件
对象 > 解密配置文件
使用解密配置文件,您可以阻止和控制 SSL 转发代理、SSL 入站检查和 SSH 通信的特定方面。
创建解密配置文件后,可以将此配置文件添加到解密策略;对于与解密策略匹配的所有流量,
将根据配置文件设置强制执行。
您还可以控制设备信任的可信 CA,有关详细信息,请参阅“管理默认可信证书颁发机构”。
默认解密配置文件可在防火墙上进行配置,并可自动包含到新的解密策略中(不能修改默认解密
配置文件)。单击添加以创建新的解密配置文件,或者选择现有配置文件,以克隆或修改它。
以下部分介绍解密策略的匹配流量通常应用的设置,以及解密 SSL 流量、解密 SSH 流量和无
解密策略(解密例外)所匹配流量专门应用的设置的详细信息:
• “解密配置文件常规设置”
• “解密配置文件中的 SSL 解密设置”
• “解密配置文件中的无解密设置”
• “解密配置文件中的 SSH 代理设置”
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 267
其他策略对象
在启用解密端口镜像之前,必须获取解密端口镜像许可证,安装此许可证,
然后重新启动防火墙。
表 170. 解密配置文件常规设置
字段
说明
名称
输入配置文件名称(最多 31 个字符)。定义解密策略时,此名称将出现在解密
配置文件的列表中。名称区分大小写,且必须是唯一的。仅可使用字母、数
字、空格、连字符和下划线。
共享
如果想要将配置文件用于以下位置,请选中此复选框:
• 多虚拟系统防火墙上的每个虚拟系统 (vsys)。如果清除此复选框,配置文件只
可用于在对象选项卡中选择的虚拟系统。
• Panorama 上的每个设备组。如果清除此复选框,配置文件只可用于在对象选项
卡中选择的设备组。
禁用替代
(仅限 Panorama)
如果想要阻止管理员通过替代继承的值在子对象设备组中创建配置文件的本地
副本,则选中此复选框。默认情况下,此复选框已取消选中,这意味着已启用
替代。
解密镜像接口
选择接口以用于解密端口镜像。
(仅限 PA-3000 系
列、PA-5000 系列
和 PA-7000 系列防
火墙)
仅被转发
(仅限 PA-3000 系
列、PA-5000 系列
和 PA-7000 系列防
火墙)
SSL 解密、无解密
和 SSH 代理选项卡
如果要仅在安全策略实施后镜像解密流量,则选中仅被转发复选框。使用此选
项,只镜像通过防火墙转发的流量。如果将解密的流量转发到其他威胁检测设
备(如 DLP 设备或其他入侵防御系统 (IPS)),可以使用此选项。如果清除此
复选框(默认设置),防火墙会在安全策略查询之前将所有解密的流量镜像到
接口,这可让您重播事件和分析生成威胁或触发丢弃操作的流量。
有关 SSL 解密、无解密和 SSH 代理的其他配置文件设置的详细信息,请参阅:
• “SSL 解密选项卡设置”
• “无解密选项卡设置”
• “SSH 代理选项卡设置”
解密配置文件中的 SSL 解密设置
下表介绍了用于控制 SSL 流量的设置,这些流量是使用 SSL 正向代理解密或 SSL 入站检查进行
解密的。您可以根据包括外部服务器证书状态、不支持的密码套件或协议版本的使用情况,或
处理解密的系统资源的可用性在内的条件,使用这些设置限制或阻止 SSL 会话。
表 171. SSL 解密选项卡设置
字段
SSL 正向代理子选项卡
说明
使用 SSL 正向代理解密,防火墙可充当内部客户端和外部服务器之间的会
话代理,为外部服务器生成转发信任(或转发不可信,如果原始服务器证
书不是由受信任的 CA 签名的)证书,以便以后向该客户端显示此证书。
防火墙可作为会话的受信第三方。
选择选项可限制或阻止使用 SSL 正向代理解密的 SSL 流量。
268 • Web 界面参考指南,版本 7.0
Palo Alto Networks
其他策略对象
表 171. SSL 解密选项卡设置(续)
字段
说明
服务器证书验证
选择选项可控制解密 SSL 流量的服务器证书。
阻止具有过期证书的会话
如果服务器证书过期,则终止 SSL 连接。此选项将使用户无法接受过期的
证书和无法继续 SSL 会话。
阻止具有不可信颁发者的
会话
如果服务器证书颁发者不可信,则终止 SSL 会话。
如果证书状态未知,则阻
止会话
如果服务器返回“未知”证书吊销状态,则终止 SSL 会话。证书吊销状态
指示是否已吊销证书的信任。
如果证书状态检查超时,
则阻止会话
如果在为防火墙配置的停止等待证书状态服务响应的时间内未能检索到证
书状态,则终止 SSL 会话。在创建或修改证书配置文件(设备 > 证书管理 >
证书配置文件)时,可以配置证书状态超时值。
限制证书延期
将用于动态服务器证书的证书扩展限于密钥用法和扩展密钥用法。
不受支持模式检查
选择控制不受支持的 SSL 应用程序的选项。
阻止具有不受支持版本的
会话
如果 PAN-OS 不支持“客户端呼叫”消息,则终止会话。PAN-OS 支持
SSLv3、TLS1.0、TLS1.1 和 TLS1.2。
阻止具有不受支持加密套
件的会话
如果 PAN-OS 不支持在 SSL 握手中指定的密码套件,则终止会话。
阻止具有客户端认证的
会话
终止具有 SSL 转发代理通信的客户端身份验证的会话。
失败检查
如果系统资源无法用于处理解密,则选择要执行的操作。
如果资源不可用,则阻止
会话
如果系统资源无法用于处理解密,则终止会话。
HSM 不可用时阻止会话
如果硬件安全模块 (HSM) 不能用于签署证书,则终止会话。
注:对于不受支持的模式和故障模式,会话信息会缓存 12 个小时,因此相同主机和服务器对之间的未
来会话将不会被解密。选中此复选框,阻止这些会话。
SSL 入站检查子选项卡
使用 SSL 入站检查,防火墙驻留在客户端和目标服务器之间,其中目标服
务器证书和密钥已导入防火墙。此选项卡可让防火墙透明地访问目标服务
器和客户端之间的 SSL 会话,而不是充当代理(就像使用 SSL 正向代理解
密一样)。
选择选项可限制或阻止使用 SSL 正向代理解密的 SSL 流量。
不受支持模式检查
如果在 SSL 流量中检测到不受支持的模式,则选择此选项控制会话。
阻止具有不受支持版本的
会话
如果 PAN-OS 不支持“客户端呼叫”消息,则终止会话。PAN-OS 支持
SSLv3、TLS1.0、TLS1.1 和 TLS1.2。
阻止具有不受支持加密套
件的会话
如果 PAN-OS 不支持使用的密码套件,则终止会话。
失败检查
如果系统资源不可用,则选择要执行的操作。
如果资源不可用,则阻止
会话
如果系统资源无法用于处理解密,则终止会话。
HSM 不可用时阻止会话
如果硬件安全模块 (HSM) 不能用于解密会话密钥,则终止会话。
SSL 协议设置子选项卡
选择以下设置可以对 SSL 会话流量强制执行协议版本和密码套件。
协议版本
对 SSL 会话强制使用最低和最高协议版本。
最小版本
设置最低协议版本,以便用于建立 SSL 连接。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 269
其他策略对象
表 171. SSL 解密选项卡设置(续)
字段
说明
最大版本
设置最高协议版本,以便用于建立 SSL 连接。可以选择最高版本选项,以便
不指定最高版本;在这种情况下,支持不低于所选最低版本的协议版本。
加密算法
对 SSL 会话强制使用所选加密算法。
身份验证算法
对 SSL 会话强制使用所选身份验证算法。
解密配置文件中的无解密设置
可以使用无解密选项卡启用相关设置来阻止以下流量:与使用无解密操作(策略 > 解密 > 操作)
配置的解密策略匹配的流量。使用这些选项可以控制会话的服务器证书,但防火墙不能解密和
检查会话流量。
表 172. 无解密选项卡设置
字段
说明
阻止具有过期证书的会话
如果服务器证书过期,则终止 SSL 连接。此选项将使用户无法接受过期的
证书和无法继续 SSL 会话。
阻止具有不可信颁发者的
会话
如果服务器证书颁发者不可信,则终止 SSL 会话。
解密配置文件中的 SSH 代理设置
下表介绍了用于控制解密入站和出站 SSH 流量的设置。这些设置可让您根据包括不支持算法的
使用情况、SSH 错误检测或处理 SSH 代理解密的资源可用性在内的条件,限制或阻止 SSH 隧
道流量。
表 173. SSH 代理选项卡设置
字段
说明
不受支持模式检查
如果在 SSH 流量中检测到不受支持的模式,则使用这些选项控制会话。受支持
的 SSH 版本为 SSH 版本 2。
阻止具有不受支持
版本的会话
如果 PAN-OS 不支持“客户端呼叫”消息,则终止会话。
阻止具有不受支持
算法的会话
如果 PAN-OS 不支持客户端或服务器指定的算法,则终止会话。
失败检查
如果发生 SSH 应用程序错误且系统资源不可用,则选择要执行的操作。
如果发生 SSH 错
误,则阻止会话
如果发生 SSH 错误,则终止会话。
如 果 资 源 不 可 用,
则阻止会话
如果系统资源无法用于处理解密,则终止会话。
270 • Web 界面参考指南,版本 7.0
Palo Alto Networks
其他策略对象
计划
对象 > 调度
默认情况下,每个安全策略均应用于所有日期和时间。要将安全策略限制到特定时间,可以定
义调度,然后将调度应用到合适的策略。对于每个调度,可以指定固定的日期和时间范围或重
复性的每日或每周调度。要将调度应用到安全策略,请参阅“定义安全策略”。
由定义的调度调用安全策略时,仅新会话受所应用的安全策略影响。现有会
话不受调度的策略影响。
下表介绍了调度设置:
表 174. 调度设置
字段
说明
名称
输入调度名称(最多 31 个字符)。定义安全策略时,此名称将出现在调
度列表中。名称区分大小写,且必须是唯一的。仅可使用字母、数字、空
格、连字符和下划线。
共享
如果想要将调度用于以下位置,请选中此复选框:
• 多虚拟系统防火墙上的每个虚拟系统 (vsys)。如果清除此复选框,调度只
可用于在对象选项卡中选择的虚拟系统。
• Panorama 上的每个设备组。如果清除此复选框,调度只可用于在对象选
项卡中选择的设备组。
禁用替代
(仅限 Panorama)
如果想要阻止管理员通过替代继承的值在子对象设备组中创建调度的本地
副本,则选中此复选框。默认情况下,此复选框已取消选中,这意味着已
启用替代。
重复
选择调度类型(每天、每周或非重复)。
每天
单击添加,然后采用 24 小时制 (HH:MM) 指定开始时间和结束时间。
每周
单击添加,选择星期几,然后采用 24 小时制 (HH:MM) 指定开始时间和
结束时间。
非重复
单击添加,然后指定开始和结束日期和时间。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 271
其他策略对象
272 • Web 界面参考指南,版本 7.0
Palo Alto Networks
章节 6
报告和日志
以下主题介绍了如何在防火墙上使用仪表盘、应用程序命令中心 (ACC)、报告和日志来监控网
络上的活动:
• “使用仪表盘”
• “使用应用程序命令中心”
• “使用 App Scope”
• “查看日志”
• “使用自动关联引擎”
• “使用 Botnet 报告”
• “管理 PDF 摘要报告”
• “管理用户 / 组活动报告”
• “管理报告组”
• “计划需要电子邮件传递的报告”
• “查看报告”
• “生成自定义报告”
• “执行数据包捕获”
本节的大多数报告均支持从位于页首的下拉列表中任意选择一个虚拟系统。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 273
使用仪表盘
使用仪表盘
仪表盘
仪表盘页面小部件显示一般设备信息,如软件版本、每个接口的运行状态、资源使用率以及威
胁日志、配置日志和系统日志中的最多 10 个条目。显示最后 60 分钟的日志条目。默认情况下
显示所有可用的小部件,但每个用户可根据需要删除和添加各个小部件。
单击刷新图标
,更新仪表盘或单个小部件。要更改自动刷新间隔,请从下拉列表(1 分
钟、2 分钟、5 分钟或手动)中选择间隔。要向仪表盘添加小部件,请单击小部件下拉列表,
选择类别,然后选择小部件名称。要删除小部件,请在标题栏单击
。
表 175. 仪表盘图表
图表
说明
热门应用程序
显示会话最多的应用程序。块大小表示会话的相对数量(将鼠标置于块之
上可查看数字),颜色表示安全风险 — 从绿色(最低)到红色(最高)。
单击应用程序可查看其应用程序配置文件。
热门高风险应用程序
与热门应用程序类似,同时还显示会话最多、风险最高的应用程序。
常规信息
显示设备名称、型号、PAN-OS 软件版本、应用程序、威胁、URL 过滤定
义版本、当前日期和时间以及距离上次重新启动的时间长度。
接口状态
表示每个接口的状态为开启(绿色)、关闭(红色)还是未知(灰色)。
威胁日志
显示威胁日志中最后 10 个条目的威胁 ID、应用程序以及日期和时间。威胁
ID 是违反 URL 过滤配置文件的恶意软件说明或 URL。只显示最后 60 分钟
的条目。
配置日志
显示配置日志中最后 10 个条目的管理员用户名、客户端(Web 或 CLI)
以及日期和时间。只显示最后 60 分钟的条目。
数据过滤日志
显示数据过滤日志中最后 60 分钟的说明以及日期和时间。
URL 过滤日志
显示 URL 过滤日志中最后 60 分钟的说明以及日期和时间。
系统日志
显示系统日志中最后 10 个条目的说明以及日期和时间。注意,“Config
installed” 条目表示配置更改提交成功。只显示最后 60 分钟的条目。
系统资源
显示管理 CPU 使用率、数据面板使用率以及会话计数(将显示通过防火
墙建立的会话数目)。
登录管理
显示当前登录的每个管理员的源 IP 地址、会话类型(Web 或 CLI)和会
话开始时间。
ACC 风险因素
显示过去一周处理的网络通信平均风险因子(1 到 5)。值越高表示风险
越大。
高可用性
如果启用了高可用性 (HA),则会指示本地和对等设备的 HA 状态 — 绿色
(主动)、黄色(被动)或黑色(其他)。有关 HA 的详细信息,请参阅
“在防火墙中启用高可用性”。
锁
显示管理员锁定的配置。
274 • Web 界面参考指南,版本 7.0
Palo Alto Networks
使用应用程序命令中心
使用应用程序命令中心
ACC
应用程序命令中心 (ACC) 是一个分析工具,提供与网络中的活动有关的可执行的智能。ACC
使用防火墙日志来以图表形式展示网络流量的趋势。图形表示可让您与数据交互,并且查看网
络上的事件之间的关系,包括网络使用情况模式、流量模式,以及可疑的活动和异常。
您想了解什么内容?
请参阅
如何使用 ACC?
“ACC 简介”
“视图”
“小部件”
如何与 ACC 交互?
“操作”
“使用过滤器”
是否需要了解更多内容?
找不到正在查找的内容?
请参阅使用应用程序命令中心。
ACC 简介
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 275
使用应用程序命令中心
ACC 简介
1
选项卡
ACC 包括三个预定义的选项卡或视图,可在其中查看网络流量、威胁活动和
阻止的活动。有关每个视图的信息,请参阅“视图”。
2
小部件
每个选项卡都包括一组默认的小部件,这些小部件最能代表与选项卡相关联
的事件和趋势。小部件可让您使用以下过滤器调查数据:字节(传入和传
出)、会话、内容(文件和数据)、URL 类别、威胁(恶意和良性)以及计
数。有关每个小部件的信息,请参阅“小部件”。
3
时间
每个小部件中的图表和图形提供实时视图和历史视图。可以选择一个自定义范
围,或者从最近 15 分钟最多至最近 30 天内(或最近 30 个日历日内)选择一
个预定义的时间段。
默认情况下,用于展示数据的时间段为最后一小时。会在屏幕上显示日期和
时间间隔。例如:
01/12 10:30:00-01/12 11:29:59
4
全局过滤器
全局过滤器可让您设置适用于所有选项卡的过滤器。图表和图形会在展示数
据之前应用选定的过滤器。有关使用过滤器的信息,请参阅“操作”。
5
风险计量器
风险计量器(最低级别 1 到最高级别 5)指示网络中的相对安全风险。而且它
使用各种因素,例如在网络中看到的应用程序的类型、与应用程序相关联的
风险级别、通过阻止的威胁的数量看到的威胁活动和恶意软件,以及指向恶
意主机和域的受影响的主机或流量。
6
源
防火墙和 Panorama 用于显示的数据源有所不同。
在防火墙中,如果为多个虚拟系统启用,则可以使用虚拟系统下拉列表更改
ACC 显示,以包括所有虚拟系统或者仅包括选定的虚拟系统。
在 Panorama 中,可以将显示更改为使用 Panorama 或远程设备数据。如果数
据源是 Panorama,则可以过滤特定设备组的显示。
7
导出
可以将当前选项卡中显示的小部件导出为 PDF。
视图
• 网络活动 — 此选项卡简要显示了网络中的流量和用户活动。它专注于使用的热门应用程序、
热门用户(即通过深入分析用户访问的字节、内容、威胁或 URL 而产生流量的用户),以及
最常用的安全规则(针对发生的流量匹配)。此外,还可以按照源或目标区域、地区、IP 地
址、Ingress 和 Egress 接口,以及主机信息(例如网络中最常用的设备的操作系统)来查看网
络活动。
• 威胁活动 — 此选项卡简要显示了网络中的威胁。它专注于排名靠前的威胁,即安全漏洞、间
谍软件、病毒、访问恶意域或 URL 的主机、按文件类型和应用程序提交的顶级 WildFire,以
及使用非标准端口的应用程序。受影响的主机小部件使用更好的可视化技术对检测进行补
充。它使用来自关联事件选项卡(自动关联引擎 > 关联事件)的信息来按照源用户或 IP 地址
提供网络中的受影响主机的数据的聚合视图,按严重性排序。
• 阻止的活动 — 此选项卡专注于被阻止进入网络的流量。此选项卡中的小部件可让您查看被
以下因素拒绝的活动:应用程序名称、用户名、威胁名称、内容(文件和数据),以及含
有被阻止的流量的拒绝操作的热门安全规则。
276 • Web 界面参考指南,版本 7.0
Palo Alto Networks
使用应用程序命令中心
小部件
每个选项卡上的小部件都是交互式的。可以设置过滤器,并且深入分析视图,从而自定义视图
以重点关注所需的信息。
每个小部件都经过结构化,以显示以下内容:
1
查看
可以按照字节、会话、威胁、计数、内容、URL、恶意、良性、文件、数据、
配置文件或对象来对数据进行排序。各个小部件的可用选项有所不同。
2
图形
图形显示选项有树状图、线形图、水平条形图、堆栈区域图形、堆栈条形图以及
地图。各个小部件的可用选项有所不同,每个图形类型也会提供不同的交互体
验。例如,使用非标准端口的应用程序的小部件可让您选择树状图和线形图。
要深入分析显示视图,可单击图形。单击的区域会成为过滤器,可让您放大
所选的内容,并且查看关于该内容的更详细的信息。
3
表
在图形下方的表格中,会提供用于展示图形的数据的详细视图。
可以在表格中单击并设置针对元素的本地过滤器或全局过滤器。使用本地过
滤器,可以更新图形,并且按照此过滤器来对表格进行排序。
使用全局过滤器,能够以 ACC 为中心进行查看,从而仅显示适用于此过滤器
的信息。
4
操作
最大化视图 — 可让您放大小部件,从而在更大的屏幕空间中进行查看。在小部
件的默认屏幕宽度中,只能显示前 10 个项目,但是在最大化视图中,除了这些
项目之外,还可以查看其他项目。
设置本地过滤器 — 可让您添加过滤器以调整小部件中显示的内容。请参阅
“使用过滤器 — 本地过滤器和全局过滤器”。
跳到日志 — 可让您直接导航到日志(监控 > 日志 > 日志类型选项卡)。在展
示图形的时间段内对日志进行过滤。
如果已设置本地过滤器和全局过滤器,则日志查询会合并时间段和过滤器,
并且仅显示与设置的过滤器相匹配的日志。
导出 — 可让您将图形导出为 PDF。
对于每个小部件的说明,请参阅使用 ACC 中的详细信息。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 277
使用应用程序命令中心
操作
要自定义和调整 ACC 显示,可以添加和删除选项卡、添加和删除小部件、设置本地过滤器和
全局过滤器,以及与小部件进行交互。
• “使用选项卡和小部件”
• “使用过滤器 — 本地过滤器和全局过滤器”
使用选项卡和小部件
使用选项卡和小部件
• 添加选项卡。
1.
选择
2.
添加视图名称。此名称会用作选项卡的名称。
图标以及选项卡列表。
最多可以添加 5 个选项卡。
• 编辑选项卡。
1.
选择选项卡,然后单击选项卡名称旁边的铅
笔图标以编辑选项卡。
例如
• 查看视图中包括哪些小部件。
• 添加小部件或小部件组。
。
1.
选择视图,然后单击铅笔图标以编辑视图。
2.
选择添加小部件下拉列表,并且确认已选中
要添加的小部件的复选框。
1.
添加新的选项卡,或者编辑预定义的选项卡。
2.
选择添加小部件,然后选中要添加的小部件
的复选框。最多可以添加 12 个小部件。
3.
(可选)要创建双列布局,可选择添加小部
件组。可以将小部件拖放到双列显示中。将
小部件拖动到布局中时,会在放置小部件之
处显示占位符。
注:不能命名小部件组。
• 删除选项卡或小部件组 / 小部件。
1.
要删除自定义选项卡,可选择选项卡并单击 X
图标。
注:不能删除预定义的选项卡。
2.
• 重置默认视图。
278 • Web 界面参考指南,版本 7.0
要删除小部件组 / 小部件,可编辑选项卡,然
后单击右侧的 [X] 图标。不能撤消删除。
可以在预定义的视图(例如阻止的活动视图)中
删除一个或多个小部件。如果要重置布局以包括
选项卡的默认小部件组,可编辑选项卡并单击重
置视图。
Palo Alto Networks
使用应用程序命令中心
使用过滤器 — 本地过滤器和全局过滤器
要深入分析详细信息,并且很好地控制 ACC 显示,可以使用过滤器。
本地过滤器:可以对特定的小部件应用本地过滤器。本地过滤器可让您与图形进行交互,并且
自定义显示的内容,从而能够深入分析详细信息,以及访问要在特定小部件上监控的信息。可
以采用两种方式应用本地过滤器 — 单击图形或表格中的属性,或者使用小部件之内的“设置
过滤器”图标 。“设置过滤器”图标可让您设置在重新启动之后仍然可以持续发挥作用的本
地过滤器。
全局过滤器:可以跨 ACC 应用全局过滤器。全局过滤器可让您立即根据关注的详细信息来调
整显示的内容,并且从当前显示中排除无关的信息。例如,要查看与特定用户和应用程序相关
的所有事件,可以将用户的 IP 地址和应用程序应用为全局过滤器,从而通过 ACC 中的所有选
项卡和小部件仅查看关于该用户和应用程序的信息。全局过滤器的效果不是永久性的。
可以采用三种方式应用全局过滤器:
• 从表格设置全局过滤器:从任何小部件的表格中选择属性,然后将该属性应用为全局过滤器。
• 将本地过滤器升级为全局过滤器:此选项可让您将已设置为本地过滤器的属性升级为全局过
滤器。将本地过滤器升级为全局过滤器会更改 ACC 中所有视图的显示。
• 定义全局过滤器:在 ACC 中使用全局过滤器窗格定义过滤器。
使用过滤器
• 设置本地过滤器。
1.
选择小部件,然后单击
注:还可以在图形下方的表格中单击某个
属性,以将其应用为本地过滤器。
2.
单击
3.
单击应用。这些过滤器在重新启动之后仍然
可以持续发挥作用。
图标。
图标添加要应用的过滤器。
注:小部件名称旁边会表示在小部件中应用的本地过滤
器的数量。
• 从表格设置全局过滤器。
1.
将鼠标悬停在图形下方的表格中的属性上方,
然后单击下拉列表。
2.
单击过滤器将属性添加为全局过滤器。
• 使用全局过滤器窗格设置全局过滤器 单击
Palo Alto Networks
图标添加要应用的过滤器。
Web 界面参考指南,版本 7.0 • 279
使用应用程序命令中心
使用过滤器
• 将本地过滤器升级为全局过滤器。
• 删除过滤器。
1.
在小部件中的任意表格上,单击某个属性的
链接。这样会将该属性设置为本地过滤器。
2.
要将过滤器升级为全局过滤器,可选择过滤
器左侧的箭头。
单击
图标可删除过滤器。
• 对于全局过滤器:位于“全局过滤器”窗格中。
• 对于本地过滤器:单击
图表显示“设置本地
过滤器”对话框,然后选择过滤器并单击删
除图标。
• 清除所有过滤器
• 对于全局过滤器:单击“全局过滤器”下方的
全部清除按钮。
• 对于本地过滤器:选择小部件,然后单击
图
标。然后单击“设置本地过滤器”小部件中
的全部清除按钮。
• 过滤器求反
选择属性并单击
图标,以对过滤器求反。
• 对于全局过滤器:位于“全局过滤器”窗格中。
• 对于本地过滤器:单击
图表显示“设置本地
过滤器”对话框,添加过滤器,然后单击求
反图标。
• 查看正在使用的过滤器。
• 对于全局过滤器:应用的全局过滤器的数量
显示在全局过滤器下方的左窗格中。
• 对于本地过滤器:小部件名称旁边会显示在小
部件中应用的本地过滤器的数量。要查看过
滤器,可单击设置本地过滤器图标。
280 • Web 界面参考指南,版本 7.0
Palo Alto Networks
使用 App Scope
使用 App Scope
监视 > App Scope
App Scope 报告能让您以图形的方式更好地了解网络的以下几个方面:
• 应用程序使用情况和用户活动的更改
• 占用大多数网络带宽的用户和应用程序
• 网络威胁
使用 App Scope 报告,您可以快速查看是否有任何不寻常或意外的行为,并有助于指出有问题
的行为;每个报告都可提供网络的动态的用户可自定义窗口。报告包括选择数据和显示范围的
选项。在 Panorama 上,您还可以选择所显示的信息的数据源。默认数据源(在新的 Panorama
安装软件上)使用 Panorama 上的本地数据库,该数据库存储由受管设备转发的日志;升级
后,默认的数据源为远程设备数据。要从受管设备中提取并显示数据统计图,您必须将数据源
从 Panorama 切换至远程设备数据。
将鼠标悬停于图表上的行或栏并单击该行或该栏可切换至 ACC,并提供有关特定应用程序、
应用程序类别、用户或源的详细信息。
表 176. 应用程序命令中心图表
图表
说明
摘要
“摘要报告”
更改监视器
“异动监控报告”
威胁监视器
“威胁监控报告”
威胁地图
“威胁地图报告”
网络监视器
“网络监控报告”
通信地图
“流量地图报告”
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 281
使用 App Scope
摘要报告
摘要报告(图 7)显示前五个胜利者、失败者和带宽消耗应用程序、应用程序类别、用户和源的
图表。
要导出摘要报告中的图表作为 PDF,请单击
。每个图表都已另存为 PDF 输出中的页面。
图 7. App Scope 摘要报告
282 • Web 界面参考指南,版本 7.0
Palo Alto Networks
使用 App Scope
异动监控报告
异动监视报告(图 8)显示指定时间段内的更改。例如,图 8 显示了在与过去 24 小时时段相比较
的最后一小时内使用得最多的应用程序。排在前面的应用程序由会话数决定,并按百分比排序。
图 8. App Scope 更改监控报告
此报告包含以下按钮和选项。
表 177. 异动监测报告选项
项目
说明
顶栏
确定具有图表所包括的最高测量结果的记录数。
确定报告的项目的类型:应用程序、应用程序类别、
源或目标。
显示测量期间已增加的项目的测量结果。
显示测量期间已减少的项目的测量结果。
显示在测量期间所添加的项目的测量结果。
显示测量期间中断的项目的测量结果。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 283
使用 App Scope
表 177. 异动监测报告选项(续)
项目
说明
应用过滤器以仅显示所选项目。无显示所有条目。
确定是显示会话信息还是显示字节信息。
确定是按百分比还是按原始增长量对条目进行排序。
导出图表作为 .png 图像或 PDF。
底栏
指定执行更改测量的时间段。
威胁监控报告
威胁监控报告(图 9)显示所选时间段内排名靠前的威胁计数。例如,图 9 显示了过去 6 小时内
排在前面的 10 种威胁类型。
图 9. App Scope 威胁监控报告
284 • Web 界面参考指南,版本 7.0
Palo Alto Networks
使用 App Scope
每个威胁类型均用颜色进行标记,如图表下面的图例所示。此报告包含以下按钮和选项。
表 178. 威胁监测报告按钮
按钮
说明
顶栏
确定具有图表所包括的最高测量结果的记录数。
确定测量的项目的类型:威胁、威胁类别、源或目标。
应用过滤器以仅显示所选类型的项目。
确定是通过堆积柱形图还是通过堆积面积图来呈现信息。
导出图表作为 .png 图像或 PDF。
底栏
指定执行测量的时间段。
威胁地图报告
威胁地图报告(图 10)显示威胁(包括严重性)的地理视图。
图 10. App Scope 威胁地图报告
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 285
使用 App Scope
每个威胁类型均用颜色进行标记,如图表下面的图例所示。在地图上单击国家 / 地区可进行放
大。在屏幕右下角单击缩小按钮可进行缩小。此报告包含以下按钮和选项。
表 179. 威胁地图报告按钮
按钮
说明
顶栏
确定具有图表所包括的最高测量结果的记录数。
显示传入威胁。
显示传出威胁。
应用过滤器以仅显示所选类型的项目。
放大和缩小地图。
导出图表作为 .png 图像或 PDF。
底栏
表示执行测量的时间段。
网络监控报告
网络监控报告(图 11)显示指定时间段内专用于不同网络功能的带宽。每个网络功能均用颜色进
行标记,如图表下面的图例所示。例如,图 11 显示了过去 7 天基于会话信息的应用程序带宽。
286 • Web 界面参考指南,版本 7.0
Palo Alto Networks
使用 App Scope
图 11. App Scope 网络监控报告
此报告包含以下按钮和选项。
表 180. 网络监控报告按钮
按钮
说明
顶栏
确定具有图表所包括的最高测量结果的记录数。
确定报告的项目的类型:应用程序、应用程序类别、源或目标。
应用过滤器以仅显示所选项目。无显示所有条目。
确定是显示会话信息还是显示字节信息。
确定是通过堆积柱形图还是通过堆积面积图来呈现信息。
导出图表作为 .png 图像或 PDF。
底栏
表示执行更改测量的时间段。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 287
使用 App Scope
流量地图报告
流量地图报告(图 12)按照会话数或流量显示流量流的地理视图。
图 12. App Scope 流量地图报告
每个通信类型均用颜色进行标记,如图表下面的图例所示。此报告包含以下按钮和选项。
288 • Web 界面参考指南,版本 7.0
Palo Alto Networks
查看日志
表 181. 威胁地图报告按钮
按钮
说明
顶栏
确定具有图表所包括的最高测量结果的记录数。
显示传入威胁。
显示传出威胁。
确定是显示会话信息还是显示字节信息。
放大和缩小地图。
导出图表作为 .png 图像或 PDF。
底栏
表示执行更改测量的时间段。
查看日志
监视 > 日志
防火墙维护 WildFire、配置、系统、警报、流量流、威胁、URL 过滤、数据过滤和主机信息
配置文件 (HIP) 匹配的日志。您可以随时查看当前日志。要查找特定条目,可以对大多数日志
字段应用过滤器。
防火墙将信息显示在日志中,以便尊重基于角色的管理权限。在显示日志
时,所显示的内容只会包括有权查看的信息。有关管理员权限的信息,请参
阅“定义管理员角色”。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 289
查看日志
要查看日志,请单击监视器选项卡页面左侧的日志类型。
表 182. 日志说明
图表
说明
流量
每个会话的开始和结束显示一个条目。每个条目均包括日期和时间,源和目标区
域、地址和端口,应用程序名称,应用到流的安全规则名称,规则操作(允许、
拒绝或丢弃)、Ingress 和 Egress 接口、字节数和会话结束原因。
单击条目旁边的
可查看有关会话的其他详细信息,比如 ICMP 条目是否在相
同源和目标之间聚合多个会话(计数值将大于一)。
注意,类型列显示条目是用于会话的开始还是结束,或者会话已拒绝还是已丢
弃。“drop” 表示阻止通信的安全规则指定了“any” 应用程序,而 “deny” 则表示规
则标识了特定应用程序。
如果在标识应用程序之前丢弃通信,例如当规则丢弃特定服务的所有通信时,应
用程序将显示为 “not-applicable”。
威胁
针对防火墙生成的每个安全警报显示一个条目。每个条目包括日期和时间,威胁
名称或 URL,源和目标区域、地址和端口,应用程序名称以及警报操作(允许或
阻止)和严重性。
单击条目旁边的
可查看有关威胁的其他详细信息,比如条目是否在相同源和
目标之间聚合相同类型的多个威胁(计数值大于一)。
注意,类型列显示威胁的类型,比如 “virus” 或 “spyware”。名称列是威胁说明或
URL,类别列是威胁类别(例如 “keylogger”)或 URL 类别。
如果启用了本地数据包捕获,单击条目旁边的
可访问捕获的数据包,如下图
所示。要启用本地数据包捕获,请参阅“安全配置文件”下面的小节。
URL 过滤
显示 URL 过滤器的日志,URL 过滤器会阻止对特定网站和网站类别的访问或在
访问网站时生成警报。您可以启用 URL 的 HTTP 标题日志记录选项。有关定义
URL 过滤配置文件的信息,请参阅“URL 过滤配置文件”。
WildFire 提交
显示 WildFire 服务器上传和分析的文件的日志,分析结束后,日志数据和分析结
果一起发送回设备。
数据过滤
显示安全策略的日志,此类策略有助于防止将信用卡或社会保险号等敏感信息泄
露到受防火墙保护的区域之外。有关定义数据过滤配置文件的信息,请参阅“数
据过滤配置文件”。
要对访问日志条目的详细信息配置密码保护,请单击 图标。输入密码,然后单击
OK。有关更改或删除数据保护密码的说明,请参阅“定义自定义响应页面”。
注:系统在每个会话中只会提示一次输入密码。
此日志还会显示文件传送阻止配置文件的信息。例如,如果您在阻止 .exe 文件,
则日志会显示已阻止的文件。如果您将文件转发至 WildFire,则您会看到此操作
的结果。在这种情况下,例如,如果您正在将 PE 文件转发至 WildFire,日志会显
示文件已转发,并且还会显示是否成功上传至 WildFire 的状态。
配置
每个配置更改显示一个条目。每个条目均包括日期和时间、管理员用户名、从其
进行更改的 IP 地址、客户端类型(Web 或 CLI)、执行的命令类型、命令成功
还是失败、配置路径以及更改前后的值。
系统
每个系统事件显示一个条目。每个条目均包括日期和时间、事件严重性和事件说明。
HIP 匹配
显示应用于 GlobalProtect 客户端的安全策略的相关信息。有关详细信息,请参阅
“设置 GlobalProtect 门户”。
警报
警报日志记录有关系统生成的警报的详细信息。警报窗口中也将报告此日志中的
信息。请参阅“定义警报设置”。
290 • Web 界面参考指南,版本 7.0
Palo Alto Networks
查看日志
与日志互动
• 使用过滤器:过滤器可让您根据自己的需要解析日志文件。例如,在特定事件范围内,可
以仅查看特定属性(例如 IP 地址)的日志。
每个日志页面的顶部均有过滤区域。
– 单击日志列表中任何带下划线的链接,将该项目添加为日志过滤选项。例如,如果单击
10.0.0.252 的日志条目中的主机链接,则会在该项目后添加 Web 浏览项目,而搜索将会
查找与两者都匹配的条目(AND 搜索)。
– 要定义其他搜索条件,请单击添加日志过滤器图标。选择搜索类型 (AND/OR)、搜索中
要包括的属性、匹配运算符和匹配的值(如适用)。单击添加将标准添加到日志页面上
的过滤区域,然后单击关闭关闭弹出窗口。单击应用过滤器图标以显示过滤后的列表。
可以将添加到日志页面上的过滤器表达式与在 “Expression” 弹出窗口中定义的过滤
器表达式结合使用。每个组合在日志页面上均作为“过滤器”行上的一个条目进行
添加。
如果将 “in” 接收时间过滤器设置为最后 60 秒,则日志查看器上的某些页面链接可
能不显示结果,因为页数可能会由于所选时间的动态变化而增长或减少。
– 要清除过滤器并重新显示未过滤的列表,请单击清除过滤器按钮。
– 要将您的选择保存为新过滤器,请单击保存过滤器按钮,输入过滤器的名称,并单击
确定。
– 要导出当前日志列表(如页面上所示,包括任何应用的过滤器),请单击保存过滤器按
钮。选择是要打开文件还是将文件保存到硬盘,如果希望始终使用相同选项,请选中该
复选框。单击确定。
• 导出日志:要以 CSV 格式导出当前日志列表,请选择“导出为 CSV”图标
。默认情况
下,将日志列表导出为 CSV 格式会生成最多含 2,000 行日志的 CSV 报告。要更改生成的
CSV 报告的行数限制,可使用 CSV 导出中的最大行数字段(选择设备 > 设置 > 管理 > 记录
和报告设置 > 日志导出和报告或参阅“定义管理设置”)。
• 更改自动刷新间隔:从下拉列表中选择间隔(1 分钟、30 秒、10 秒或手动)。
• 更改在每个页面中显示的条目:日志条目以 10 页为一个页面块进行检索。使用页底的页码
控件可以浏览日志列表。要更改每页的日志条目数,请从行下拉列表中选择行数。要按照
升序或降序对结果进行排序,可以使用 ASC 或 DESC 下拉列表。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 291
查看日志
• 将 IP 地址解析为域名:选中解析主机名复选框可以开始将外部 IP 地址解析为域名。
• 查看其他日志详细信息:要显示其他详细信息,请单击条目的小望远镜图标
。
如果源或目标在地址页面中定义了 IP 地址到名称映射,则会显示名称而不是 IP 地址。要查看
关联的 IP 地址,请将光标移至名称上。
查看会话信息
监视 > 会话浏览器
打开会话浏览器页面可以浏览并过滤防火墙上当前运行的会话。有关此页面的过滤选项的信
息,请参阅“查看日志”。
292 • Web 界面参考指南,版本 7.0
Palo Alto Networks
使用自动关联引擎
使用自动关联引擎
自动关联引擎跟踪网络中的模式,并且关联表示可疑行为中的升级情况的事件,或者涉及恶意
活动的事件。引擎会用作个人安全分析师,它会在防火墙上的不同日志组之间仔细检查孤立的
事件、查询特定模式的数据,以及将各个点连接起来,以便获得实用的信息。
关联引擎使用生成关联事件的关联对象。关联事件会核对相关证据,以跟踪看似无关的网络事
件之间的共性,并且关注事件响应。
仅在以下平台上支持自动关联引擎:
• Panorama — M 系列和虚拟设备
• PA-3000 系列防火墙
• PA-5000 系列防火墙
• PA-7000 系列防火墙
您想了解什么内容?
请参阅
什么是关联对象?
“查看关联对象”
什么是关联事件?
“查看关联事件”
在何处查看关联匹配的匹配
证据?
如何查看关联匹配的图形视图?
是否需要了解更多内容?
找不到正在查找的内容?
请在“使用应用程序命令中心”中参阅受影响的主机小
部件。
请参阅使用自动关联引擎。
查看关联对象
监控 > 自动关联引擎 > 关联对象
针对漏洞和恶意软件分发方法的发展,关联对象扩展了防火墙中基于签名的恶意软件检测功
能。它们提供了关于在不同的日志组之间识别可疑行为模式的智能,并且收集调查和推动事件
响应所需的证据。
关联对象是定义文件,指定用于匹配的模式、用于执行查询的数据源,以及查找这些模式的时
间段。模式是查询数据源的条件的布尔结构,每个模式都分配了严重性和阈值(在指定的时间
限制之内出现模式匹配的次数)。出现模式匹配时,会记录关联事件。
用于执行查找的数据源可以包括以下日志:应用程序统计信息、流量、流量摘要、威胁摘要、
威胁、数据过滤和 URL 过滤。例如,关联对象的定义可以包括一组模式,这些模式会查询关
于以下内容的日志:受感染主机的证据、恶意软件模式的证据、流量中恶意软件的横向移动、
URL 过滤和威胁。
关联对象由 Palo Alto Networks 定义,并且包含在内容更新数据包中。必须具备有效的威胁防
御许可证才能获得内容更新。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 293
使用自动关联引擎
关联对象包括以下字段:
字段
说明
名称和标题
表示关联对象检测到的活动的类型的标签。
ID
识别关联对象的编号,此编号是唯一的。而且此编号属于 6000 系列。
类别
针对网络、用户或主机的威胁或伤害的类型的摘要。
状态
表示关联对象的状态,即启用(活动)还是禁用(不活动)。
说明
说明会指出防火墙或 Panorama 分析日志的匹配条件。它还会描述用于识别恶意活
动或可疑主机行为的升级模式或进度路径。
默认情况下,所有关联对象都处于启用状态。要禁用对象,可选中该对象旁边的复选框,然后
单击禁用。
查看关联事件
监控 > 自动关联引擎 > 关联事件
关联事件扩展了防火墙和 Panorama 中的威胁检测功能,并且会收集网络中的用户或主机存在
可疑行为或异常行为的证据。
通过关联对象,可以重点关注特定的条件或行为,并且跟踪多个日志源之间的共性。在网络中
观察到关联对象中指定的一组条件时,每个匹配项都会记录为关联事件。
关联事件包括以下详细信息:
字段
说明
匹配时间
关联对象触发匹配项的时间。
更新时间
上一次更新匹配项的时间戳。
对象名称
触发匹配项的关联对象的名称。
源地址
产生流量的用户的 IP 地址。
源用户
目录服务器的用户和用户组信息(如果启用 User-ID)。
严重性
根据造成的损害程度对风险进行分类的等级。
摘要
汇总收集的针对关联事件的证据的说明。
294 • Web 界面参考指南,版本 7.0
Palo Alto Networks
使用 Botnet 报告
要查看其他详细信息,请单击条目的详细日志视图
有证据:
。详细的日志视图包括关于匹配项的所
选项卡
说明
匹配信息
对象详细信息:提供触发匹配项的关联对象的信息。有关关联对象的信息,请参阅
“查看关联对象”。
匹配详细信息:匹配详细信息的摘要包括匹配时间、匹配证据中的上一次更新时
间、事件的严重性,以及事件摘要。
匹配证据
此选项卡包括确认关联事件的所有证据。它列出为每个会话收集的证据的详细信息。
在关联事件选项卡中查看信息的图形显示,在 ACC > 威胁活动选项卡中查看受影响的主机小
部件。在受影响的主机小部件中,按照源用户和 IP 地址聚合显示的内容,并且按照严重性进行
排序。
要在记录关联事件时配置通知,可转到设备 > 日志设置或 Panorama > 日志设置选项卡。
使用 Botnet 报告
Botnet 报告功能可让您使用基于行为的机制来识别网络中可能感染 Botnet 的主机。通过使用
网络、威胁、URL 和数据过滤日志,防火墙基于一些条件来计算威胁,这些条件包括对恶意软
件站点和动态 DNS 站点的访问、对最近注册域(过去 30 天内)的访问、未知应用程序的使用
以及是否存在 Internet 中继聊天 (IRC) 通信。
在关联并识别与感染 botnet 行为匹配的主机之后,防火墙将向每个可能感染的主机分配 1 到 5 的
可能性分数,以表示感染 botnet 的可能性(1 表示最低感染可能性,5 表示最高感染可能性)。
因为基于行为的检测机制需要对 24 小时时段内跨多个日志的流量进行关联,所以防火墙将每
24 小时生成一份报告,其中包含按照置信度评分来排序的主机的列表。
配置 Botnet 报告
监视 > Botnet
使用这些设置可以指定可疑通信(可能表示 botnet 活动的通信)的类型。要配置这些设置,请
单击 Botnet 页面右侧的配置按钮。
表 183. Botnet 配置设置
字段
说明
HTTP 通信
对要包括在报告中的事件,选中相应的启用复选框:
• 恶意软件 URL 访问 — 根据恶意软件和 Botnet URL 过滤类别来识别与已
知恶意软件 URL 进行通信的用户。
• 使用动态 DNS — 查找可以指示 botnet 通信的动态 DNS 查询通信。
• 浏览到 IP 域 — 识别浏览到 IP 域而不是 URL 的用户。
• 浏览到最近注册的域 — 查找流向在过去 30 天内注册的域的流量。
• 来自未知站点的可执行文件 — 识别从未知 URL 下载的可执行文件。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 295
使用 Botnet 报告
表 183. Botnet 配置设置(续)
字段
说明
未知应用程序
选中这些复选框可以将未知 TCP 或未知 UDP 应用程序标记为可疑,并指
定以下信息:
• 每小时会话数目 — 与未知应用程序关联的每小时应用程序会话数。
• 每小时目标数 — 与未知应用程序关联的每小时目标数。
• 最小字节数 — 最小负载大小。
• 最大字节数 — 最大负载大小。
IRC
选中此复选框可以将 IRC 服务器作为可疑项包括在内。
管理 Botnet 报告
监视 > Botnet > 报告设置
可以指定报告查询,然后生成和查看 botnet 分析报告。这些报告基于 botnet 配置设置(参阅
“配置 Botnet 报告”)。可以包括或排除源或目标 IP 地址、用户、区域、接口、地区或国家。
计划的报告每天运行一次。通过在用于定义报告查询的窗口中单击立即运行,还可以按需生成
并显示报告。生成的报告将显示在 Botnet 页面上。
要管理 botnet 报告,请单击 Botnet 页面右侧的报告设置按钮。
要导出报告,请选定报告并单击导出为 PDF 或导出为 CSV。
表 184. Botnet 报告设置
字段
说明
测试运行时间框架
选择报告的时间间隔(最后 24 小时或最后一个日历天)。
# Rows
指定报告的行数。
已计划
选中此复选框可以每天运行报告。如果取消选中,则可以通过在 Botnet 报
告窗口的顶部单击立即运行手动运行报告。
查询生成器
通过指定以下项,然后单击添加将所配置的表达式添加到查询,可以构造
报告查询。根据需要重复构造完整的查询:
• 连接器 — 指定逻辑连接符 (AND/OR)。
• 属性 — 指定源或目标区域、地址或用户。
• 运算符 — 指定使属性与值相关的运算符。
• 值 — 指定要匹配的值。
求反
296 • Web 界面参考指南,版本 7.0
选中此复选框以应用指定查询的否定,这意味着,报告将包含所有不是定
义查询结果的信息。
Palo Alto Networks
管理 PDF 摘要报告
管理 PDF 摘要报告
监测 > PDF 报告 > 管理 PDF 摘要
PDF 摘要报告包含根据现有报告编译的信息,此信息基于每个类别中前 5 条数据(而不是前 50 条
数据)。它们还包含在其他报告中没有的趋势图表。
图 13. PDF 摘要报告
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 297
管理 PDF 摘要报告
要创建 PDF 摘要报告,请单击添加。管理 PDF 摘要报告 页面可以显示所有可用的报告元素。
图 14. 管理 PDF 报告
可以使用下列一个或多个选项来设计报告:
• 要从报告中删除元素,请在元素的图标框右上角单击
图标,或在靠近页面顶部的合适下
拉列表框中删除项目的复选框。
• 在靠近页面顶部的下拉列表框中进行选择来选择其他元素。
• 拖放元素的图标框,可将它移到报告的另一个区域。
最多允许 18 个报告元素。您可能需要删除现有元素才能添加其他元素。
单击保存,输入报告的名称(如提示),然后单击 OK。
要显示 PDF 报告,请选择 PDF 摘要报告,并从页面底部的下拉列表中选择报告类型,以显示生
成的该类型报告。单击带下划线的报告链接以打开或保存该报告。
298 • Web 界面参考指南,版本 7.0
Palo Alto Networks
管理用户 / 组活动报告
管理用户 / 组活动报告
监视 > PDF 报告 > 用户活动报告
使用此页面可以创建用于总结各个用户或用户组的活动情况的报告。单击新建,并指定以下
信息。
表 185. 用户 / 组活动报告设置
字段
说明
名称
输入名称以标识报告(最多31个字符)。名称区分大小写,且必须是唯一的。
仅可使用字母、数字、空格、连字符和下划线。
类型
对于用户活动报告:选择用户并输入报告主题的用户的用户名或 IP 地址
(IPv4 或 IPv6)。
关于 Panorama,您必须设置各设备组的主设备,以便检索用户组的信息用
于生成报告。
对于组活动报告:选择组并输入组名。
在 Panorama 上,您无法生成组活动报告,因为 Panorama 不包含将用户映射
到组的相关信息。
时间期限
从下拉列表中选择报告的时间框架。
包括详细的浏览活动
仅在您希望报告中包含详细的 URL 日志的情况下才选择此选项。
详细的浏览活动信息可能包含所选用户或用户组的大量日志(成千上万条日
志),从而使报告非常大。
组活动报告不包括 URL 类别的浏览摘要;用户活动报告和组活动报告中的其他所有信息都是
常见信息。
要运行需要的报告,请单击立即运行;要更改报告中显示的最大行数,请参阅“记录和报告设
置”。
要保存报告,请单击确定。然后计划通过电子邮件传递的报告,请参阅“计划需要电子邮件传
递的报告”。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 299
管理报告组
管理报告组
监视 > PDF 报告 > 报告组
报告组可让您创建报告集合,系统可以对此集合进行编译并将其作为单个聚合 PDF 报告进行发
送,此报告中包含可选的标题页和所有成员报告。
表 186.
报告组设置
字段
说明
名称
输入名称以标识报告组(最多31个字符)。名称区分大小写,且必须是唯一
的。仅可使用字母、数字、空格、连字符和下划线。
标题页
选中该复选框可在报告中包括标题页。
标题
输入显示为报告标题的名称。
报告选择
在左列中选择报告并单击添加可将每个报告移动到右侧的报告组。可以选择
“预定义”、“自定义”、“PDF 摘要”以及“日志查看”报告类型。
日志查看报告是每次创建自定义报告时自动创建的一种报告类型,它与此自定
义报告使用相同的名称。此报告将显示用于构建此自定义报告内容的日志。
要包含日志查看数据,请在创建报告组时,将自定义报告添加到自定义报告
列表下,然后通过从日志查看列表中选择匹配的报告名称,添加日志查看报
告。在收到报告后,您将看到自定义报告数据后面即为创建自定义报告所用
的日志数据。
要使用报告组,请参阅“计划需要电子邮件传递的报告”。
300 • Web 界面参考指南,版本 7.0
Palo Alto Networks
计划需要电子邮件传递的报告
计划需要电子邮件传递的报告
监视 > PDF 报告 > 电子邮件调度程序
使用电子邮件计划程序可以计划通过电子邮件传递的报告。在添加计划之前,必须定义报告组
和电子邮件配置文件。请参阅“管理报告组”和“配置电子邮件通知设置”。
计划的报告在 2:00 AM 开始运行,而且电子邮件转发发生在所有计划的报告已完成运行之后。
表 187. 电子邮件计划程序设置
字段
说明
名称
输入名称以标识调度(最多31个字符)。名称区分大小写,且必须是唯一的。
仅可使用字母、数字、空格、连字符和下划线。
报告组
选择报告组(参阅“管理报告组”)。
重复
选择生成并发送报告的频率。
电子邮件配置文件
选择定义电子邮件设置的配置文件。有关定义电子邮件配置文件的信息,请
参阅“配置电子邮件通知设置”。
覆盖收件人电子邮件
输入可选电子邮件地址,替代在电子邮件配置文件中指定的收件人。
查看报告
监测 > 报告
防火墙会提供前一天或前一周中选定日期的流量统计信息的各种“前 50”报告。
要查看报告,单击页面右侧的报告名称(自定义报告、应用程序报告、通信报告、威胁报告、
URL 过滤报告以及 PDF 摘要报告)。
默认情况下将显示前一天的所有报告。要查看任何以前日期的报告,请从页面底部的选择下拉
列表中选择报告生成日期。
报告分部分列出。您可以查看所选时间段的每个报告的信息。要以 CSV 格式导出日志,请单
击导出为 CSV。要以 PDF 格式打开日志信息,请单击导出为 PDF。此时将在新窗口中打开
PDF 文件。单击窗口顶部的相应图标可打印或保存文件。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 301
生成自定义报告
生成自定义报告
监视 > 管理自定义报告
可以选择性地基于现有报告模板创建自定义报告。报告可以按需运行或按计划每晚运行。要查
看以前定义的报告,请在侧菜单上选择报告。
单击添加可创建新的自定义报告。要使报告基于现有模板,请单击加载模板并选择模板。
指定以下设置以定义报告。
表 188. 自定义报告设置
字段
说明
名称
输入名称以标识报告(最多 31 个字符)。名称区分大小写,且必须是唯一
的。仅可使用字母、数字、空格、连字符和下划线。
数据库
选择要用作报告的数据源的数据库。
时间框架
选择固定时间框架,或选择自定义以指定日期和时间范围。
排序关键字
选择用于组织报告的排序选项,包括要包括在报告中的信息的 amount。可
用选项取决于数据库的选择。
分组依据
选择用于组织报告的分组选项,包括要包括在报告中的信息的 amount。可
用选项取决于数据库的选择。
已计划
选中此复选框可每晚运行报告。然后可以在侧菜单上选择报告使报告变为
可用。
列
从可用列中选择要包括在报告中的列,并使用加号图标 将它们移到选定
列列表。使用向上和向下箭头可以重新排列所选列,还可以使用向减号图
标 移除以前选择的列。
查询生成器
要构建报告查询,请指定以下项,并单击添加。根据需要重复操作以构造
完整查询。
• 连接器 — 选择要放在正在添加的表达式前面的连接符 (and/or)。
• 求反 — 选中此复选框将查询解释为否定。在前面的示例中,否定选项将
产生不在过去 24 小时内或不来自不可信区域的匹配条目。
• 属性 — 选择数据元素。可用选项取决于数据库的选择。
• 运算符 — 选择用于确定属性是否应用的标准(比如 =)。可用选项取决于
数据库的选择。
• 值 — 指定要匹配的属性值。
例如,下图(基于 Traffic Log 数据库)显示的查询将列出在过去 24 小时
内收到并且来自 “untrust” 区域的通信日志条目。
有关详细信息,请参阅生成自定义报告。
302 • Web 界面参考指南,版本 7.0
Palo Alto Networks
执行数据包捕获
执行数据包捕获
监控 > 数据包捕获
所有 Palo Alto Networks 防火墙都具有内置的数据包捕获 (pcap) 功能,可以使用此功能捕获
遍历防火墙中的网络接口的数据包。然后可以将捕获的数据用于故障排除,或者创建自定义应
用程序签名。
数据包捕获功能会占用大量的 CPU 资源,可能会降低防火墙性能。仅在必
要时使用此功能,并且确保在收集到所需的数据包之后关闭此功能。
您想了解什么内容?
请参阅
防火墙可以使用哪些不同的方法
来捕获数据包?
“数据包捕获概述”
如何生成自定义数据包捕获?
“构建自定义数据包捕获的块”
如何在防火墙检测到威胁时生成
数据包捕获?
“启用威胁数据包捕获”
在何处下载数据包捕获?
“数据包捕获概述”
是否需要了解更多内容?
找不到正在查找的内容?
如何打开安全配置文件的扩展数据包捕获?请参阅“定
义 Content-ID 设置”。
如何使用数据包捕获写入自定义应用程序签名?请参阅
Doc-2015。请注意,该示例使用第三方应用程序,但是可
以使用防火墙捕获所需的数据包。
 如何防止防火墙管理员查看数据包捕获?请参阅定义
Web 界面管理员访问。
有关示例请参阅执行数据包捕获。
数据包捕获概述
监控 > 数据包捕获
可以配置 Palo Alto Networks 防火墙以执行自定义数据包捕获或威胁数据包捕获。
• 自定义数据包捕获 — 捕获所有流量的数据包,或者根据定义的过滤器捕获特定流量的数据
包。例如,可以配置防火墙,以便仅捕获进出特定源和目标 IP 地址或端口的数据包。这些数
据包捕获用于排除与网络流量相关的问题,或者收集应用程序属性以写入自定义应用程序签
名。可以在监控 > 数据包捕获中配置此类型的数据包捕获。可以根据阶段(丢弃、防火墙、
接收、传输)定义文件名,并且在完成 pcap 之后,可以在“捕获文件”部分下载 pcap。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 303
执行数据包捕获
• 威胁数据包捕获 — 在防火墙检测到病毒、间谍软件或漏洞时捕获数据包。在防病毒、防间
谍软件和漏洞保护安全配置文件中启用此功能。这些数据包捕获提供关于威胁的上下文,
以帮助确定攻击是否成功,或者了解有关攻击者使用的方法的详细信息。必须将威胁的操
作设置为“允许”或“警报”,否则威胁会被阻止,并且不能捕获数据包。可以在对象 > 安
全配置文件中配置此类型的数据包捕获。要下载 pcap,可选择监控 > 威胁,然后就可以在
威胁日志的第二列中看到 pcap 下载图标 。
构建自定义数据包捕获的块
监控 > 数据包捕获
下表说明监控 > 数据包捕获页面的组件,这些组件可用于配置数据包捕获、启用数据包捕获以
及下载数据包捕获文件。
304 • Web 界面参考指南,版本 7.0
Palo Alto Networks
执行数据包捕获
表 189. 构建自定义数据包捕获的块
字段
配置位置
说明
管理过滤器
配置过滤
启用自定义数据包捕获时,应该定义过滤器,以便仅捕获与
过滤器匹配的数据包。这样更便于在 pcap 中定位需要的信
息,并且减少防火墙执行数据包捕获所需的工作量。
单击添加以添加新的过滤器,并配置以下字段:
• ID — 输入或选择过滤器的标识符。
• Ingress 接口 — 选择要捕获其流量的 Ingress 接口。
• 源 — 指定要捕获的流量的源 IP 地址。
• 目标 — 指定要捕获的流量的目标 IP 地址。
• 源端口 — 指定要捕获的流量的源端口。
• 目标端口 — 指定要捕获的流量的目标端口。
• 协议 — 指定要过滤的协议号 (1-255)。例如,ICMP 是协议
号 1。
• 非 IP — 选择如何处理非 IP 流量(排除所有 IP 流量、包括
所有 IP 流量、仅包括 IP 流量或不包括 IP 过滤器)。广播
和 AppleTalk 就是典型的非 IP 流量。
• IPv6 — 选中此复选框可以将 IPv6 数据包包括在过滤器中。
正在过滤
配置过滤
预分析匹配
配置过滤
定义过滤器之后,将过滤设置为开。如果过滤为关,则会捕
获所有流量。
此选项用于高级故障排除目的。在数据包进入入口端口之
后,它先继续穿过几个处理步骤,然后按预配置的过滤器分
析它的匹配情况。
数据包可能由于故障而无法到达过滤阶段。例如,如果路由
查找失败,就会发生这种情况。
如果将预分析匹配的设置设置为开,则可以对进入系统的每
个数据包模拟正匹配。这将允许防火墙捕获未到达过滤阶段
的数据包。如果数据包能够到达过滤阶段,则会按照过滤器
配置处理它,如果它未能符合过滤条件,则被放弃。
数据包捕获
配置捕获
• 数据包捕获 — 单击切换开关将数据包捕获设置为开或关。
必须至少选择一个捕获阶段。单击添加,并指定以下项:
• 阶段 — 指示开始捕获数据包的点:
– 丢弃 — 当数据包处理遇到错误并且要将数据包丢弃时
使用。
– 防火墙 — 当数据包有会话时匹配或成功创建具有会话的
第一个数据包时使用。
– 接收 — 在数据平面处理器上接收数据包时使用。
– 传输 — 当数据包要在数据平面处理器上传输时使用。
• 文件 — 指定捕获文件名。文件名应当以字母开头,并且可
以包括字母、数字、句点、下划线或连字符。
• 字节计数 — 指定在最多捕获多少字节后捕获停止。
• 数据包计数 — 指定在最多捕获多少数据包后捕获停止。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 305
执行数据包捕获
表 189. 构建自定义数据包捕获的块
字段
配置位置
说明
已捕获文件
已捕获文件
包含防火墙之前生成的自定义数据包捕获的列表。单击文件
以将其下载到自己的计算机。要删除数据包捕获,可选中文
件左侧的复选框,然后单击窗口底部的删除。
• 文件名 — 列出数据包捕获文件。文件名基于为捕获阶段指
定的文件名。
• 日期 — 生成文件的日期。
• 大小 (MB) — 捕获文件的大小。
如果打开数据包捕获随后又将其关闭,则必须单击位于“已
捕获文件”部分上方的刷新图标
,然后新的 pcap 文件才
会显示在该列表中。
清除所有设置
设置
单击清除所有设置可关闭数据包捕获,并且清除所有数据包
捕获设置。请注意,这样不会关闭在安全配置文件中设置的
数据包捕获。有关在安全配置文件中启用数据包捕获的信
息,请参阅“启用威胁数据包捕获”。
启用威胁数据包捕获
监控 > 安全配置文件
要在防火墙检测到威胁时在防火墙中启用数据包捕获,可在安全配置文件中启用数据包捕获选项。
首先选择监控 > 安全配置文件,然后根据下表中的说明修改所需的配置文件:
安全配置文件
数据包捕获选项
防病毒软件
选择自定义防病毒配置文件,然后在防病毒软件选项卡中选中数据包捕获复选框。
防间谍软件
选择自定义防间谍软件配置文件,单击 DNS 签名选项卡,然后在数据包捕获下拉
列表中选择单个数据包或扩展捕获。
漏洞保护
选择自定义漏洞保护配置文件,然后在规则选项卡中单击添加,以添加新规则或选
择现有规则。然后选择数据包捕获下拉列表,并且选择单个数据包或扩展捕获。
在防间谍软件配置文件和漏洞保护配置文件中,还可以启用关于例外情况的
数据包捕获。单击例外情况选项卡,然后在签名的“数据包捕获”列中,单
击下拉列表并选择单个数据包或扩展捕获。
(可选)要根据已捕获数据包的数量(基于全局设置)定义威胁数据包捕获的长度,可选择设
备 > 设置 > Content-ID,然后在“Content-ID 设置”部分中修改扩展数据包捕获长度(数据
包字段)(范围是 1-50,默认值为 5)。
在安全配置文件中启用数据包捕获之后,需要验证配置文件是安全规则的一部分。有关如何向
安全规则添加安全配置文件的信息,请参阅“安全策略概述”。
如果在安全配置文件中启用了数据包捕获,则防火墙每次检测到威胁时,可以单击位于日志的
第二列中的“数据包捕获”图标 ( ),以查看或导出数据包捕获。
306 • Web 界面参考指南,版本 7.0
Palo Alto Networks
章节 7
为用户配置防火墙标识
• “为用户标识配置防火墙”
• ““用户映射”选项卡”
• ““User-ID 代理”选项卡”
• ““终端服务代理”选项卡”
• ““组映射”选项卡”
• ““强制网络门户设置”选项卡”
为用户标识配置防火墙
设备 > 用户标识
用户标识 (User-ID) 服务是 Palo Alto Networks 的下一代防火墙功能,允许您根据用户和组
(而不是单独的 IP 地址)来创建策略以及执行报告。如果使用多个虚拟系统来配置防火墙,则
必须为每个虚拟系统创建单独的 User-ID 配置,因为虚拟系统之间不会共享用户映射信息。从
“用户标识”页面顶部的位置下拉菜单中,选择要为 User-ID 配置的虚拟系统。
选择虚拟系统(如果适用)之后,使用该页面上的设置配置用户标识设置。
• ““用户映射”选项卡”
• ““User-ID 代理”选项卡”
• ““终端服务代理”选项卡”
• ““组映射”选项卡”
• ““强制网络门户设置”选项卡”
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 307
为用户标识配置防火墙
“用户映射”选项卡
使用用户映射选项卡配置防火墙,以直接从域服务器检索 IP 地址到用户名映射数据。此功能不
需要在域服务器上安装 User-ID 代理。还可将该防火墙配置为向其他防火墙重新分发用户映射
信息。
表 190. 用户映射设置
字段
说明
Palo Alto Networks 用户 ID 代理设置
屏幕中的这个部分显示防火墙用于执行 IP 地址到用户映射的设置。要配置
设置,可单击“编辑” 图标以打开设置对话框,其中包含以下选项卡:
• ““WMI 身份验证”选项卡”
• ““服务器监视”选项卡”
• ““客户端探测”选项卡”
• ““缓存”选项卡”
• “NTLM 选项卡”
• ““重新分发”选项卡”
• ““Syslog 过滤器”选项卡”
“WMI 身份验证”选项卡
使用该子选项卡为防火墙用于访问 Windows 资源的帐户设置域凭据。监视
Exchange Server 和域控制器以及进行 WMI 探测时均需要该凭据。
用户名 — 指定有权在客户端计算机和服务器监视上执行 WMI 查询的帐户。
使用“域 \ 用户名”语法输入用户名。
密码 / 确认密码 — 指定帐户密码。
“服务器监视”选项卡
启用安全日志 — 选中该复选框以在 Windows 服务器上启用安全日志监
视。将查询安全日志以在服务器监视列表中指定的服务器上查找 IP 地址
到用户名的映射信息。
服务器日志监视频率(秒)— 指定防火墙对 Windows 服务器进行查询以查
找 IP 地址到用户名的映射信息的频率(默认为 2 秒,范围为 1-3600 秒)。
这是防火墙完成最后一条查询的处理和开始下一条查询之间的时间间隔。
启用会话 — 选中该复选框以启用对服务器监视列表中指定的服务器上的
用户会话进行监视。每次用户与服务器连接时都会创建一个会话,并且该
信息还可用于标识用户 IP 地址。
服务器会话读取频率(秒)— 指定防火墙对 Windows 服务器用户会话进
行查询以查找 IP 地址到用户名的映射信息的频率(以秒为单位,默认为
10 秒,范围为 1-3600 秒)。这是防火墙完成最后一条查询的处理和开始
下一条查询之间的时间间隔。
Novell eDirectory 查询间隔(秒)— 指定防火墙对 Novell eDirectory 服
务器进行查询以查找 IP 地址到用户名的映射信息的频率(以秒为单位,
默认为 30 秒,范围为 1-3600)。这是防火墙完成最后一条查询的处理和
开始下一条查询之间的时间间隔。
Syslog 服务配置文件 — 选择 SSL/TLS 服务配置文件,该配置文件用于指
定防火墙与 User-ID 服务监视的任何 Syslog 发件人之间进行通信所需要
的证书和 SSL/TLS 版本。有关详细信息,请参阅 “管理 SSL/TLS 服务配
置文件”。如果您选择无,则设备使用其预配置自签名证书。
警告:如果对 Windows 服务器日志、Windows 服务器会话或 eDirectory
服务器的查询负载很高,则观察到的查询之间的延迟可能明显超出指定的
频率或时间间隔。
308 • Web 界面参考指南,版本 7.0
Palo Alto Networks
为用户标识配置防火墙
表 190. 用户映射设置(续)
字段
说明
“客户端探测”选项卡
启用探测 — 选中该复选框以启用由用户映射进程标识的每个客户端 PC 的
WMI/NetBIOS 探测。探测将帮助确保同一用户继续登录客户端 PC,以
提供准确的用户到 IP 的信息。
探测间隔(分钟)— 指定客户端 PC 探测间隔(默认为 20 分钟,范围为 11440 分钟)。防火墙完成处理最后一条请求与开始下一条请求之间的时间
间隔。
在大型部署中,必须正确设置探测间隔,以便具有足够的时间探测已标识
的每个客户端。例如,如果具有 6,000 个用户并且间隔为 10 分钟,则需要
从每个客户端每秒执行 10 次 WMI 请求。
注:如果探测请求负载很高,则观察到的请求之间的延迟可能明显超出指
定的时间间隔。
注:为使 WMI 轮询有效工作,必须以域管理员帐户配置用户映射配置文
件,并且每个被探测的客户端 PC 必须在 Windows 防火墙中配置远程管
理例外。为使 NetBIOS 探测有效工作,每个被探测的客户端 PC 必须在
Windows 防火墙中允许端口 139,还必须启用文件和打印机共享服务。
“缓存”选项卡
启用用户标识超时 — 选中该复选框以启用 IP 地址到用户名的映射条目的
超时值。在达到超时值时,将会清除 IP 地址到用户名的映射并收集新的映
射。这将确保用户在漫游并获取全新 IP 地址时防火墙具有最新的信息。
用户标识超时(分钟)— 为 IP 地址到用户名的映射条目设置超时值(默认
为 45 分钟,范围为 1-1440 分钟)。
NTLM 选项卡
启用 NTLM 身份验证处理 — 选中此复选框可启用 NT LAN 管理器 (NTLM)
身份验证处理。如果将强制门户规则的某个操作设置为浏览器质询(参阅
“定义强制网络门户策略”)以捕获用户映射信息,则 NTLM 质询会透
明地验证客户端身份。如果启用该选项,则防火墙会从 NTLM 域收集此
信息。
如果将防火墙配置为与其他 PAN-OS 防火墙共享其 User-ID 信息(参阅
““重新分发”选项卡”),则可以服务来自这些防火墙的 NTLM 请
求,从而执行 User-ID 代理的功能。
注:如果您使用基于 Windows 的 User-ID 代理,NTLM 响应会直接转
到安装代理的域收集器。
NTLM 域 — 输入 NTLM 域名。
管理员用户名 — 输入可访问 NTLM 域的管理员帐户。
警告:不要在管理员用户名字段中包括该域。否则,该防火墙将无法加
入域。
密码 / 确认密码 — 输入可访问 NTLM 域的管理员帐户的密码。
注:可以仅在一个虚拟系统上启用 NTLM 身份验证处理(从页面顶部的
位置下拉菜单中选择虚拟系统)。
“重新分发”选项卡
收集器名称 — 如果希望该防火墙充当网络上其他防火墙的用户映射重新
分发点,请指定收集器名称。
当在获取用户映射信息的防火墙上配置 User-ID 代理时使用收集器名称和预
共享密钥。
要将防火墙作为重新分发点,您还需要在网络 > 网络配置文件 > 接口管理
中启用 User-ID 服务。
预共享密钥 / 确认预共享密钥 — 输入其他防火墙用于建立安全连接以进行
用户映射传输的预共享密钥。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 309
为用户标识配置防火墙
表 190. 用户映射设置(续)
字段
说明
“Syslog 过滤器”选项卡
使用该子选项卡,可以指定防火墙应该如何解析 Syslog 消息以从其检索的
Syslog 消息提取用户映射信息(IP 地址和用户名)。要添加 Syslog 过滤
器,可单击添加,然后完成以下字段。可以创建单独的过滤器来过滤来自
不同的 Syslog 发件人的消息。而且必须指定在将发件人添加到受监视服务
器的列表时使用的过滤器。此外,必须先在与接口相关的管理配置文件中
启用 Syslog 侦听程序服务,然后才能在接口上接受 Syslog 消息。
Syslog 解析配置文件 — 输入解析配置文件的名称(最多 63 个字母数字字
符)。Palo Alto Networks 提供了多个预定义的 Syslog 过滤器,这些过
滤器作为应用内容更新交付,并且可以在开发新的过滤器时动态更新。预
定义的过滤器会全局应用至整个防火墙,手动定义的过滤器则仅会应用至
单个虚拟系统。
说明 — 输入配置文件的说明(最多 255 个字母数字字符)。
类型 — 指定用于过滤用户映射信息的解析类型。有两种支持的类型:正
则表达式标识符和字段标识符。要创建过滤器,必须了解 Syslog 中的身
份验证消息的格式。以下字段说明显示为具有下列格式的 Syslog 消息创
建过滤器的示例:
[Tue Jul 5 13:15:04 2005 CDT] Administrator authentication
success User:domain\johndoe_4 Source:192.168.0.212
• 正则表达式标识符 — 通过此类型的解析,可以指定正则表达式,以说明
用于识别和提取来自 Syslog 消息的用户映射信息的搜索模式。如果选择
此选项,则必须指定用于匹配 Syslog 消息中的身份验证事件的正则表达
式,以及用于匹配匹配消息中的用户名和 IP 地址字段的正则表达式。
• 事件正则表达式 — 使用该字段指定识别 Syslog 消息中成功的身份验证事
件的正则表达式。例如,当根据上文中的示例 Syslog 消息进行匹配时,
以下正则表达式表示防火墙应该匹配字符串 authentication success
的前 {1} 个实例。空格之前的反斜杠是标准的正则表达式转义符,表示正则
表达式引擎不会将空格视为特殊字符:(authentication\ success){1}"
310 • Web 界面参考指南,版本 7.0
Palo Alto Networks
为用户标识配置防火墙
表 190. 用户映射设置(续)
字段
“Syslog 过滤器”选项
卡(续)
说明
– 用户名正则表达式 — 输入用于识别身份验证成功消息中的用户名的开
头部分的正则表达式。例如,正则表达式 User:([a-zA-Z0-9\\\._]+)
会匹配示例消息中的字符串 User:johndoe_4,并且会将 acme\johndoe1
提取为用户名。使用该字段指定识别身份验证成功消息中的用户名字段
的正则表达式。
– 地址正则表达式 — 使用该字段指定识别身份验证成功消息中的 IP 地址
字段的正则表达式。例如,以下正则表达式 Source:([0-9]{1,3}\.[09]){1,3}\.[0-9]{1,3}\.0-9]{1,3}) 会匹配示例消息中的字符串
Source:192.168.0.212,并且会将 192.168.0.212 提取为创建的用户名映
射中的 IP 地址。
• 字段标识符 — 通过此类型的解析,可以指定匹配身份验证事件的字符串,
以及识别 Syslog 中的用户映射信息的前缀和后缀字符串,如下所示:
– 事件字符串 — 指定用于识别从哪些事件日志类型提取用户映射信息的
字符串。例如,使用上文中显示的示例 Syslog 格式,可以输入字符串
authentication success 以匹配日志中成功的身份验证事件。
– 用户名前缀 — 输入用于识别身份验证 Syslog 消息中的用户名字段的开
头部分的匹配字符串。例如,使用上文中显示的示例 Syslog 格式,可
以输入字符串 User: 以识别用户名的开头部分。
– 用户名分隔符 — 输入用于标记身份验证日志消息中的用户名字段的结
尾部分的分隔符。例如,在示例日志消息格式中,用户名后面包含空
格,因此需要输入 \s 以表示用户名字段由空格分隔。
– 地址前缀 — 指定匹配从日志消息提取 IP 地址的字符串。例如,使用
上文中显示的示例 Syslog 格式,可以输入字符串 Source: 以识别从
中提取地址的日志字段。
– 地址分隔符 — 输入用于标记身份验证成功消息中的 IP 地址字段的结尾
部分的匹配字符串。例如,在示例日志消息格式中,地址后面包含换
行符,因此需要输入 \n 以表示地址字段由新行分隔。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 311
为用户标识配置防火墙
表 190. 用户映射设置(续)
字段
说明
服务器监视
使用屏幕的该部分定义要监视登录事件的 Microsoft Exchange Server、域控
制器、Novell eDirectory 服务器或 Syslog 发件人。例如,在 AD 环境中,
代理将监视 Kerberos 票据授予和续订、Exchange Server 访问(如果已配
置)以及文件和打印服务连接(针对监视的服务器)的安全日志。可以在
每个虚拟系统中为最多 50 个 Syslog 发件人定义条目,以及为最多 100 个受
监视服务器(包括 Syslog 发件人、Microsoft Active Directory、Microsoft
Exchange 或 Novell eDirectory 服务器)定义条目。可以添加其他类型的设
备(例如无线控制器、802.1 设备,和 / 或网络访问控制 (NAC) 服务),以
用于发现防火墙无法通过将其设置为 Syslog 发件人来直接对其进行监视的
用户映射信息。在已将其他设备配置为对最终用户进行身份验证的环境
中,这非常有用。要实现这一点,还必须将防火墙配置为 Syslog 侦听程序
(参阅“定义接口管理配置文件”),并且定义如何过滤传入 Syslog 消息
以提取用户映射信息(参阅““Syslog 过滤器”选项卡”)。要通过 DNS
自动发现 Microsoft Active Directory 域控制器,可单击发现。防火墙将根据
在设备 > 设置 > 管理 > 常规设置页上域字段中输入的域名发现域控制器。
然后可以启用要用于获取用户映射信息的服务器。
注:切记,为了将 Active
Directory (AD) 事件记录
在 安 全 日 志 中,必 须 将
AD 域配置为记录成功的
帐户登录事件。
注:“发现”功能仅适用于域控制器,不能将其用于自动发现 Exchange
服务器或 eDirectory 服务器。
要手动定义要监视的新服务器,或者要侦听的 Syslog 发件人,可单击添
加,然后完成以下字段:
• 名称 — 输入服务器的名称。
• 说明 — 输入要监视的服务器的说明。
• 启用 — 选中此复选框以在该服务器上启用日志监视。
• 类型 — 选择要监视的服务器的类型。根据类型,会显示一个或多个以下
字段:
– 网络地址 — 输入要监视的 Exchange 或 Active Directory 服务器的 IP
地址或完全限定域名 (FQDN)。
– 服务器配置文件 — 选择用于连接到 Novell eDirectory 服务器的 LDAP
服务器配置文件。
– 连接类型 — 指定防火墙是否会侦听 UDP 端口 (514) 或 SSL 端口 (6514)
上的 Syslog 消息。如果您选择 SSL,则在“User ID 代理设置”设置
中选择的 Syslog 服务配置文件(参阅““服务器监视”选项卡”)
决定允许的 SSL/TLS 版本和用于在 Syslog 发件人与防火墙之间建立
连接的证书。
– 过滤器 — 选择用于从接收自该服务器的 Syslog 消息提取用户名和 IP
地址的 Syslog 过滤器。
– 默认域名 —(可选)指定前置于用户名的域名(如果日志条目中没有
任何域名)。
要完成添加服务器,可单击确定。防火墙将尝试连接到服务器。成功连接
之后,状态会显示为已连接。如果防火墙无法连接,则状态会显示错误条
件,例如连接被拒绝或连接超时。
312 • Web 界面参考指南,版本 7.0
Palo Alto Networks
为用户标识配置防火墙
表 190. 用户映射设置(续)
字段
说明
包括 / 排除网络
默认情况下,如果您不在此列表中指定子网,则 User-ID 代理将执行 IP
地址到服务器监视列表中服务器的所有子网的用户名映射(发现)。要限
制发现特定的子网,请单击添加并指定由名称、子网 IP 地址范围(网络
地址)、发现选项(包括或排除)以及启用选项(用于启用或禁用配置文
件)组成的配置文件。User-ID 代理会将隐式排除所有规则应用到该列
表。例如,如果您使用包含选项添加子网 10.0.0.0/8,那么即使您不将其
他子网添加到列表中,User-ID 代理也会排除所有其他子网。只有当您希
望 User-ID 代理排除已明确包含的子网的一个子集事,您才需要使用排除
选项添加条目。例如,如果您使用包含选项添加 10.0.0.0/8,并使用排除
选 项 添加 10.2.50.0/22,则 User-ID 代理将对除 10.2.50.0/22 外的所有
10.0.0.0/8 子网执行发现,并且排除 10.0.0.0/8 之外的所有子网。请注
意,如果您添加排除配置文件而不添加任何包含配置文件,则 User-ID 代
理会排除所有子网,而不只是您添加的子网。
默认情况下,User-ID 代理会按照您添加配置文件的顺序(从顶部第一个到
底部最后一个)评估配置文件。要更改评估顺序,请单击自定义包含 / 排除
网络顺序。在打开的对话框中,请添加、删除、上移或下移配置文件以创
建自定义评估顺序。
如果您将防火墙配置文件将映射信息分发到其他防火墙,则您在包含 / 排
除网络列表中执行的发现限制将应用到分发的信息。
要将用户映射信息应用到防火墙流量,以便信息在日志、报告和策略中可
用,您必须在每个安全区域启用用户标识(参阅“定义安全区域”)。
“User-ID 代理”选项卡
使用 User-ID 代理选项卡可配置防火墙,使其与安装在网络中的目录服务器上的用户标识代理
(User-ID 代理)交互,或者与针对无代理 User-ID 配置为交换 IP 地址到用户映射信息的防火
墙交互。
User-ID 代理从网络资源收集 IP 地址到用户名映射信息,并将这些信息提供给防火墙以用于安
全策略和日志。
用户标识映射要求防火墙在使用 NAT 转换 IP 地址之前,先获取用户的源
IP 地址。如果多个用户显示为具有相同的源地址(由于 NAT 或使用了代理
设备),那么无法进准确的用户标识。
在其他网络设备已对用户进行身份验证的环境中,可以配置身份验证服务,
以将事件日志转发到使用 Syslog 的 User-ID 代理。代理可以从 Syslogs 提
出身份验证事件,并将其添加到 IP 地址到用户名映射。
要将新的 User-ID 代理添加到与该防火墙通信的代理的列表中,可单击添加,然后完成以下字段。
表 191. User-ID 代理设置
字段
说明
名称
输入名称以标识 User-ID 代理(最多 31 个字符)。名称区分大小写,且必
须是唯一的。仅可使用字母、数字、空格、连字符和下划线。
主机
输入安装有 User-ID 代理的 Windows 主机的 IP 地址。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 313
为用户标识配置防火墙
表 191. User-ID 代理设置(续)
字段
说明
端口
输入在其中将 User-ID 代理配置为侦听来自防火墙的请求的端口号。默认的
Windows User-ID 代理服务端口号是 5007,但是只要防火墙和 User-ID 代
理使用相同的值,就可以使用任何可用的端口。此外,还可以在不同的代
理上使用不同的端口号。
注:某些更低版本的 User-ID 代理将 2010 用作默认端口。
收集器名称
如果该防火墙从其他配置为重新分发的防火墙接收用户映射信息,则指定
在防火墙上配置为收集用户映射数据的收集器名称(此名称显示在设备 >
用户标识 > 用户映射选项卡中)。
收集器预共享密钥 / 确认
收集器预共享密钥
输入预共享密钥,它将用于允许 User-ID 代理和充当用户映射的分发点的
防火墙之间的 SSL 连接。
用作 LDAP 代理
选中该复选框,以将该 User-ID 代理用作用于查询 LDAP 服务器的 LDAP
代理(而非直接连接到目录服务的防火墙)。在需要进行缓存,或者无法
从防火墙直接访问目录服务器的环境中,此选项很有用。
用于 NTLM 身份验证
选中该复选框来使用已配置的 User-ID 代理验证从 Active Directory 域的
强制网络门户进行的 NTLM 客户端身份验证。
启用
选中该复选框,以使防火墙可以与该用户标识代理通信。
要完成添加 User-ID 代理条目,可单击确定。新的 User-ID 代理会显示在代
理列表中。确保已连接列中的图标是绿色的,这表明防火墙可以成功地与
代理通信。单击刷新连接以尝试重新连接到配置的代理。如果希望防火墙
以特定顺序与代理通信(例如根据代理对防火墙的临近程度,或者代理是
备份代理还是主代理),可单击自定义代理序列,然后以首选顺序对代理
进行排序。
“终端服务代理”选项卡
使用终端服务代理选项卡将防火墙配置为与网络上安装的终端服务代理(TS 代理)交互。TS
代理识别特定的单个用户,这些用户受相同的终端服务器支持,因此显示为具有相同的 IP 地
址。通过将特定的端口范围分配给每个单个用户,终端服务器上的 TS 代理可识别这些用户。
为特定用户分配端口范围后,终端服务代理向所连接的每个防火墙通知所分配的端口范围,以
便可根据用户和用户组实施策略。
要将 TS 代理添加到防火墙配置,可单击添加,然后完成以下字段:
表 192. 终端服务代理设置
字段
说明
名称
输入名称以标识 TS 代理(最多 31 个字符)。名称区分大小写,且必须是唯
一的。仅可使用字母、数字、空格、连字符和下划线。
主机
输入安装有 TS 代理的终端服务器的 IP 地址。
端口
输入在其中将 TS 代理服务配置为与防火墙通信的端口号。默认端口为 5009。
备用 IP 地址
如果已安装 TS 代理的终端服务器有多个可显示为传出通信的源 IP 地址的
IP 地址,则单击添加,然后输入最多八个附加 IP 地址。
启用
选中该复选框,以使防火墙可以与该用户标识代理通信。
要完成添加 TS 代理条目,可单击确定。新的 TS 代理会显示在代理列表
中。确保已连接列中的图标是绿色的,这表明防火墙可以成功地与代理通
信。单击刷新连接以尝试重新连接到配置的代理。
314 • Web 界面参考指南,版本 7.0
Palo Alto Networks
为用户标识配置防火墙
“组映射”选项卡
为了基于用户或组定义安全策略,防火墙必须从您的目录服务器检索组列表及相应的成员列
表。要启用此功能,必须创建 LDAP 服务器配置文件(参阅“配置 LDAP 服务器设置”),
以指示防火墙如何连接 LDAP 目录服务器,以及如何对该服务器进行身份验证。防火墙支持各
种 LDAP 目录服务器,包括 Microsoft Active Directory (AD)、Novell eDirectory 和 Sun ONE
Directory Server。创建服务器配置文件之后,可使用组映射选项卡定义如何搜索目录以查找用
户和组信息。请使用自定义组选项卡创建基于 LDAP 过滤器的自定义组。
要添加组映射配置,可单击添加,然后输入用于识别配置的唯一名称。名称区分大小写,最多
可以包含 31 个字符,包括字母、数字、空格、连字符和下划线。接下来必须完成以下子选项
卡中的字段:
• “服务器配置文件子选项卡”
• ““组包括列表”子选项卡”
• ““自定义组”子选项卡”
服务器配置文件子选项卡
使用“服务器配置文件”子选项卡选择用于组映射的 LDAP 服务器配置文件,指定如何搜索目
录以查找包含用户和组信息的特定对象
表 193. 组映射服务器配置文件设置
字段
说明
服务器配置文件
选择用于在该防火墙上进行组映射的 LDAP 服务器配置文件。
更新间隔
指定在防火墙启动与 LDAP 目录服务器的连接以获取任何针对防火墙策略
中使用的组的更新之后的间隔,以秒为单位(范围为 60 到 86,400 秒)。
用户域
默认情况下,用户域字段为空:防火墙自动检测 Active Directory 服务器
的域名。如果您输入一个值,则会替代设备从 LDAP 源检索到的任何域
名。您输入的必须是 NetBIOS 名称。
注:该字段仅影响从 LDAP 源检索到的用户名和组名。对于用户身份验
证,为了覆盖与用户名相关联的域,请在您分配给该用户的身份验证配置
文件中配置用户域和用户名修饰符(参阅“设置身份验证配置文件”)。
组对象
• 搜索过滤器 — 指定可以用于控制检索和跟踪哪些组的 LDAP 查询。
• 对象类 — 指定组的定义。例如,默认值是 objectClass=group,表示系统
将在目录中检索与组过滤器匹配且具有 objectClass=group 的所有对象。
• 组名称 — 输入用于指定组名称的属性。例如,在 Active Directory 中,
此属性为 “CN”(公用名)。
• 组成员 — 指定包含此组成员的属性。例如,在 Active Directory 中,此
属性为 “member”。
用户对象
• 搜索过滤器 — 指定可用于控制检索和跟踪哪些用户的 LDAP 查询。
• 对象类 — 指定用户对象的定义。例如,在 Active Directory 中,objectClass
为 “user”。
• 用户名 — 指定用户名的属性。例如,在 Active Directory 中,默认用户
名属性为 “samAccountName”。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 315
为用户标识配置防火墙
表 193. 组映射服务器配置文件设置(续)
字段
说明
邮件域
当防火墙收到恶意电子邮件的 WildFire 日志后,日志中的电子邮件收件
人信息将会与 User-ID 收集的用户信息进行匹配。日志将包含指向用户的
链接和单击时间,以及按用户显示和过滤的 ACC。如果已将电子邮件发
送到通信组列表,则按列表中包含的成员过滤 ACC。
电子邮件标题和用户映射信息将有助于您快速跟踪,并阻止通过电子邮件
为了使得更易于识别接收电子邮件的用户所带来的威胁。
• 邮件属性 — 该字段根据 LDAP 服务器类型(Sun/RFC、Active Directory
和 Novell)自动填充。
• 域列表 — 输入企业的电子邮件域列表,使用逗号分隔列表,最多 256 个
字符。
启用
选中此复选框,以将该服务器配置文件用于组映射。
“组包括列表”子选项卡
使用组包括列表子选项卡限制创建安全策略时显示的组的数量。浏览 LDAP 树以查找要在策略
中使用的组。
要包括一个组,请在“可用组”列表中选择该组,然后单击“添加”
图标。您可以添加到组
映射配置(组包含列表子选项卡和自定义组子选项卡之和)的总组数为每个虚拟系统 640 个。
要从列表中删除一个组,请在“包含组”列表中将其选中并单击“删除”
图标。
单击确定可保存包含组的列表。
“自定义组”子选项卡
使用自定义组子选项卡可创建基于 LDAP 过滤器的自定义组,这样您就可以让防火墙策略基于
与现有用户组(在基于 LDAP 的服务中,如Active Directory (AD))不匹配的用户属性。UserID 服务将所有与过滤条件相符的 LDAP 目录用户映射到自定义组。如果您创建的自定义组的
可辨别名称与与现有 AD 域名称相同,则防火墙会在所有引用中使用自定义组的该名称(例
如,在策略和日志中)。
该防火墙不会验证 LDAP 过滤器。
在创建或克隆一个自定义组后,您必须执行提交以使其可在策略和对象中
可用。
要创建自定义组,请单击添加,输入组名称(对于当前防火墙或虚拟系统,在组映射配置中必
须是唯一的),指定 LDAP 过滤器(最多 2,048 个字符),然后单击确定。您可以添加到组映
射配置的总组数(自定义组子选项卡和组包含列表子选项卡)为每个虚拟系统 640 个。
为了加快 LDAP 搜索并最大限度地降低对 LDAP 目录服务器的性能影响,
最好在过滤器中仅使用建立了索引的属性。
要删除自定义组,请将其选中并单击删除。
要复制自定义组,请将其选中,单击克隆,根据需要编辑名称和 LDAP 过滤器,然后单击确定。
316 • Web 界面参考指南,版本 7.0
Palo Alto Networks
为用户标识配置防火墙
“强制网络门户设置”选项卡
使用强制网络门户设置选项卡配置防火墙中的强制网络门户身份验证。如果防火墙收到来自已
启用 User-ID 服务的区域的请求,并且源 IP 地址还没有任何与其相关的用户数据,则它会检查
其强制网络门户策略以查找确定是否执行身份验证的匹配。如果环境中存在未登录到域服务器
的客户端(如 Linux 客户端),这样会非常有用。仅对与某个安全规则 / 策略匹配但未使用其
他方法进行映射的 Web 通信(如 HTTP 或 HTTPS)触发此用户映射方法。对于并非基于 Web
的通信,或者不匹配强制网络门户策略的通信,防火墙会使用其基于 IP 的安全策略,而不是基
于用户的策略。
要配置或编辑强制网络门户配置,可单击“编辑”
图标并填写以下字段:
表 194. 强制网络门户设置
字段
说明
启用强制网络门户
选中此复选框,为用户标识启用强制网络门户选项。
空闲计时器(分钟)
这是强制网络门户会话的用户在线时间(用户 TTL)设置。每次强制网络
门户用户产生活动时,都会重置该计时器。如果用户处于空闲的时间超过
空闲计时器,则会删除强制网络门户用户映射,然后用户必须重新登录。
(1-1440 分钟,默认为 15 分钟)。
定时器(分钟)
这是最长 TTL,也就是任意强制网络门户会话可以保持映射状态的最长时
间。经过过期持续时间之后,映射会被删除,而且用户必须重新进行身份
验证(即使会话处于活动状态)。该计时器用于确保防止失效的映射,以
及防止此处设置的值替代空闲超时。因此,最好的方法是将过期时间的值
设置为高于空闲计时器的值(范围是 1 - 1440 分钟,默认为 60 分钟)。
SSL/TLS 服务配置文件
要指定安全重定向请求的证书和允许的协议,请选择 SSL/TLS 服务配置
文件。有关详细信息,请参阅 “管理 SSL/TLS 服务配置文件”。如果选
择无,则防火墙会使用 SSL/TLS 连接的本地默认证书。
要透明地重定向用户而不显示证书错误,请将与接口 IP 地址相匹配的证
书相关联的配置文件分配给您重定向请求的接口。
身份验证配置文件
Palo Alto Networks
选择用于验证重定向到 Web 窗体以进行身份验证的验证用户的身份验证
配置文件。请注意,即使计划使用 NTLM 进行身份验证,也必须配置身
份验证配置文件或证书配置文件以对用户进行身份验证(如果由于客户端
或浏览器不支持 NTLM 身份验证而导致其失败或无法使用)。
Web 界面参考指南,版本 7.0 • 317
为用户标识配置防火墙
表 194. 强制网络门户设置(续)
字段
说明
模式
请选择一个模式来定义捕获 Web 请求以进行身份验证的方式:
• 透明 — 防火墙按照强制网络门户规则拦截浏览器通信,并模仿原始目标
URL 发出 HTTP 401,以调用身份验证。但是,由于防火墙没有目标
URL 的真正证书,因此浏览器将向尝试访问安全站点的用户显示证书错
误。因此,仅当绝对需要时才应使用此模式,例如第 2 层或 Virtual
Wire 部署。
• 重定向 — 防火墙拦截未知的 HTTP 或 HTTPS 会话,并使用 HTTP 302
重定向将它们重定向至防火墙上的第 3 层接口,以执行身份验证。这是
首选模式,因为此模式能提供更好的最终用户体验(无证书错误)。但
是,它却需要额外的第 3 层配置。重定向模式的另一个优势是用户可以
使用会话 Cookie,这样用户在每次超时到期时可以继续浏览经过身份验
证的站点,无需进行重新映射。这对从一个 IP 地址漫游到另一个地址
(例如,从公司 LAN 到无线网络)的用户尤为有用,因为只要会话保
持打开状态,用户就无需因 IP 地址变更重新进行身份验证。另外,如果
您打算使用 NTLM 身份验证,则必须使用“重定向”模式,因为浏览器
将只向受信任的站点提供凭据。
注:要以重定向模式使用强制网络门户,必须在分配给将强制网络门户重
定向到的第 3 层接口的接口管理配置文件中启用响应页面。请参阅“定义
接口管理配置文件”和“配置第 3 层接口”。
会 话 Cookie(仅 限 重 定
向模式)
• 启用 — 选中此复选框可启用会话 Cookie。
• 超时 — 如果已启用会话 Cookie,那么该计时器会指定会话 Cookie 处于
有效状态的分钟数。(范围是 60 - 10080 分钟,默认为 1440 分钟)。
• 漫游 — 如果 IP 地址在激活会话时发生更改(例如,如果客户端从有线
网 络 移动到无线网 络),则可以选中此复选框以保留 Cookie。如果
Cookie 超时或用户关闭浏览器,那么用户只需要重新进行身份验证。
重定向主机(仅限重定向
模式)
318 • Web 界面参考指南,版本 7.0
指定解析到将请求重定向至的第 3 层接口的 IP 地址的 Intranet 主机名。
Palo Alto Networks
为用户标识配置防火墙
表 194. 强制网络门户设置(续)
字段
说明
证书身份验证
选择用于对强制门户网络用户进行身份验证的证书配置文件。使用此类型
的身份验证时,强制网络门户会提示浏览器显示用于对用户进行身份验证
的有效客户端证书。若要使用此方法,必须在每个用户系统上提供客户端
证书,并安装受信任的 CA 证书,用于在防火墙上颁发这些证书。这是对
Mac OS 和 Linux 客户端启用透明身份验证的唯一身份验证方法。
NTLM 身份验证
配置强制网络门户以进行 NTLM 身份验证时,防火墙使用加密的质询 - 响
应机制从浏览器获取用户的凭据。正确配置后,浏览器将不提示用户,透
明地向防火墙提供凭据,但是如有必要,将显示提供凭据的提示。如果浏
览器无法执行 NTLM 或如果 NTLM 身份验证失败,防火墙会返回到 Web
表单或客户端证书身份验证,具体取决于您的强制网络门户配置。
默 认情况下,IE 支持 NTLM。Firefox 和 Chrome 经配置后可以 使用
NTLM。无法使用 NTLM 对非 Windows 客户端进行身份验证。要配置
NTLM 以用于基于 Windows 的 User-ID 代理,需要指定以下内容:
• 尝试次数 — 指定 NTLM 身份验证失败之前的尝试次数(范围是 1-60 次,
默认为 1 次)。
• 超时 — 指定 NTLM 身份验证超时之前的秒数(范围是 1-60 秒,默认为
2 秒)。
• 恢复时间 — 指定代理变为不可用之后,防火墙将再次尝试联系 User-ID
代理的列表中的第一个代理之前的时间(范围是 60-3600 秒,默认为
300 秒)。
注:这些选项仅适用于在域服务器上安装的 User-ID 代理。使用设备上的
User-ID 代理时,防火墙必须能够成功按照防火墙加入域的顺序来解析域
控制器的 DNS 名称。然后可以在用户映射选项卡上启用 NTLM 身份验
证处理,并且提供防火墙加入域所需的凭证。有关分步说明的详细信息,
请参阅《PAN-OS 管理员指南》。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 319
为用户标识配置防火墙
320 • Web 界面参考指南,版本 7.0
Palo Alto Networks
章节 8
配置 IPSec 隧道
本节介绍了基本的虚拟专用网络 (VPN) 技术,并详细介绍如何在 Palo Alto Networks 防火墙
上设置和管理 IP 安全 (IPSec) VPN。
请参阅以下主题:
• “定义 IKE 网关”
• “设置 IPSec 隧道”
• “定义 IKE 加密配置文件”
• “定义 IPSec 加密配置文件”
• “定义 GlobalProtect IPSec 加密配置文件”
定义 IKE 网关
网络 > 网络配置文件 > IKE 网关
使用本页可以管理或定义网关,包括与对端网关进行 Internet 密钥交换 (IKE) 协议协商时所需
的配置信息。这是 IKE/IPSec VPN 设置的阶段 1 部分。
要管理、配置、重新启动或刷新 IKE 网关,请参阅以下内容:
• “管理 IKE 网关”
• “IKE 网关“常规”选项卡”
• “IKE 网关“高级选项”选项卡”
• “重新启动或刷新 IKE 网关”
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 321
定义 IKE 网关
管理 IKE 网关
网络 > 网络配置文件 > IKE 网关
下表介绍了如何管理 IKE 网关。
表 195 管理 IKE 网关
字段
说明
添加
要创建新的 IKE 网关,请单击添加。有关配置新网关的说明,请参阅
“IKE 网关“常规”选项卡”和“IKE 网关“高级选项”选项卡”。
删除
要删除某个网关,请选择该网关,并单击删除。
启用
要启用已禁用的网关,请选择该网关,并单击启用(这是网关的默认
设置)。
禁用
要禁用某个网关,请选择该网关,并单击禁用。
IKE 网关“常规”选项卡
网络 > 网络配置文件 > IKE 网关
下表介绍了配置 IKE 网关时一开始的几个步骤。IKE 是 IKE/IPSec VPN 流程的阶段 1。在执行
好这些步骤后,请参阅“IKE 网关“高级选项”选项卡”。
表 196. IKE 网关常规设置
字段
说明
名称
输入名称以标识网关(最多 31 个字符)。名称区分大小写,且必须是唯一
的。仅可使用字母、数字、空格、连字符和下划线。
版本
选择网关支持的 IKE 版本,而且必须同意用于对端网关:仅 IKEv1 模式、
仅 IKEv2 模式或 IKEv2 首选模式。IKEv2 首选模式可使网关针对 IKEv2
进行协商;如果对端也支持 IKEv2,它们都将使用 IKEv2。否则,网关会
回过头来使用 IKEv1。
IPv4 / IPv6
选择网关所使用的 IP 地址的类型。
接口
指定到 VPN 隧道的传出防火墙接口。
本地 IP 地址
为作为隧道端点的本地接口选择或输入 IP 地址。
对端设备 IP 类型
为隧道远端的对端选择静态或动态。
对等 IP 地址
如果选择静态作为对端 IP 类型,请指定隧道远端对端的 IP 地址。
身份验证
选择对端网关将要采用的身份验证、与共享密钥或证书的类型。请根据所
做的选择参阅“预共享密钥字段”或“证书字段”。
预共享密钥字段
预共享密钥
确认预共享密钥
322 • Web 界面参考指南,版本 7.0
如果选中了预共享密钥,请输入要用于跨隧道对称身份验证的单个安全密
钥。预共享密钥值是管理员创建的字符串。
Palo Alto Networks
定义 IKE 网关
表 196. IKE 网关常规设置(续)
字段
说明
本地标识
定义本地网关的格式和标识,它们将和预共享密钥一同用于 IKEv1 阶段 1 SA
和 IKEv2 SA 建立。
选择以下任一类型,然后输入值:FQDN(主机名)、IP 地址、KEYID(以
十六进制表示的二进制格式 ID 字符串)、用户 FQDN(电子邮件地址)。
如果没有指定值,则将使用本地 IP 地址作为本地标识值。
对端标识
定义对端网关的类型和标识,它们将在 IKEv1 阶段 1 SA 和 IKEv2 SA 建立
期间与预共享密钥结合使用。
选择以下任一类型,然后输入值:FQDN(主机名)、IP 地址、KEYID(以
十六进制表示的二进制格式 ID 字符串)、用户 FQDN(电子邮件地址)。
如果没有指定值,则将使用对端的 IP 地址作为对端标识值。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 323
定义 IKE 网关
表 196. IKE 网关常规设置(续)
字段
说明
证书字段
本地证书
如果选择证书作为身份验证类型,请从下拉列表中选择防火墙中已存在的
证书。
或者,可以如下所示地导入证书或生成新证书:
导入:
• 证书名称 — 输入您正导入的证书的名称。
• 共享 — 如果要在多个虚拟系统间共享该证书,请单击此选项。
• 证书文件 — 单击“浏览”按钮以导航至证书文件所在位置。单击该文件并
选择“打开”,以填充“证书文件”字段。
• 文件格式 — 选择以下任一项:
– Base64 编码证书 (PEM) — 包含证书,但不含密钥。明文。
– 加密私钥和证书 (PKCS12) — 包含证书和密钥。
• 硬件安全模块上的私钥 — 如果防火墙是密钥所在的 HSM 服务器客户端,
请单击此选项。
• 导入密钥 — 如因和证书在不同文件中而要导入私钥,请单击此选项。
– 密钥文件 — 浏览并导航至要导入的密钥文件。如果选择 PEM 作为文
件格式,请指定此条目。
– 密码和确认密码 — 输入以访问密钥。
生成:
• 证书名称 — 输入您正创建的证书的名称。
• 公用名 — 输入公用名,即要显示在证书上的 IP 地址或 FQDN。
• 共享 — 如果要在多个虚拟系统间共享该证书,请单击此选项。
• 签名者 — 选择“外部颁发机构 (CSR)”或输入防火墙 IP 地址。此条目必
须为 CA。
• 证书颁发机构 — 如果防火墙为根 CA,请单击此选项。
• OCSP 响应者 — 输入用于跟踪证书是有效还是已吊销的 OSCP。
• 算法 — 选择用于为证书生成密钥的 RSA 或椭圆曲线 DSA。
• 位数 — 选择 512、1024、2048 或 3072 作为密钥的位数。
• 摘要 — 选择 md5、sha1、sha256、sha384 或 sha512 作为从散列恢复字
符串的方法。
• 到期(天数)— 输入证书的有效天数。
• 证书属性:类型 —(可选)从下拉列表中选择证书的其他属性类型。
• 值 — 输入属性的值。
HTTP 证书交换
单击 HTTP 证书交换并输入证书 URL,以便使用“散列和 URL”方式告
知对端要从何处提取证书。证书 URL 就是存储证书的远程服务器的 URL。
如果对端表明自己对于散列和 URL 过度支持,则会通过 SHA1 散列和
URL 交换来交换证书。
当对端收到 IKE 证书负载时,它会看到 HTTP URL,并从该服务器提取证
书。它将使用证书负载中指定的散列来检查从 http 服务器下载的证书。
本地标识
324 • Web 界面参考指南,版本 7.0
标识证书标识本地对端的方式。选择以下任一类型,然后输入值:可分辨名
称(主题)、FQDN(主机名)、IP 地址、用户 FQDN(电子邮件地址)。
Palo Alto Networks
定义 IKE 网关
表 196. IKE 网关常规设置(续)
字段
说明
对端标识
标识证书标识远程对端的方式。选择以下任一类型,然后输入值:可分辨名
称(主题)、FQDN(主机名)、IP 地址、用户 FQDN(电子邮件地址)。
对端设备 ID 检查
选择精确或通配符。此设置适用于正在接受检查以验证证书的对端标识。
假设对端标识是一个等于 domain.com 的名称。如果选择了精确,而 IKE
ID 负载中的证书指出名称为 mail.domain2.com,那么 IKE 协商将失败。
但是,如果选择了通配符,那么名称字符串中 * 前面的所有字符都必须匹
配,* 后面的所有字符都可以不同。
允许对等设备标识和证书
负载标识不匹配
如果希望即使在对端标识与证书负载不匹配时也能灵活地成功完成 IKE
SA,请选择此选项。
证书配置文件
选择配置文件或创建新的证书配置文件,以便配置适用于本地网关发送至
对端网关的证书的证书选项。请参阅“创建证书配置文件”。
启用对端扩展密钥使用的
严格验证
如果想要严格控制可以使用密钥的方式,请选择此选项。
IKE 网关“高级选项”选项卡
网络 > 网络配置文件 > IKE 网关
使用此选项卡可为 IKE 网关配置更多高级设置。
表 197. IKE 网关高级选项
字段
说明
启用被动模式
单击以使防火墙仅响应 IKE 连接,并且从不启动此类连接。
启用 NAT 遍历
单击以对 IKE 和 UDP 协议使用 UDP 封装,从而使这些协议通过中间 NAT
设备。
如果在设备上的 IPSec VPN 端点间配置了网络地址转换 (NAT),则请启用
NAT 遍历。
IKEv1 子选项卡
交换模式
选择自动、主动或主。处于自动模式(默认值)时,设备可以接受主模式
和主动模式的协商请求;但是,只要有可能,该设备便会启动协商,并允
许以主模式进行交换。必须使用相同交换模式配置对端设备,以便接受从
第一个设备启动的协商请求。
IKE 加密配置文件
选择现有配置文件、保留默认配置文件或创建新配置文件。可以为 IKEv1
和 IKEv2 选择不同的配置文件。
有关 IKE 加密配置文件的信息,请参阅“定义 IKE 加密配置文件”。
启用碎片
单击可允许本地网关接收碎片 IKE 数据包。最大的碎片数据包大小为
576 字节。
失效对端检测
单击可启用并输入间隔(2 - 100 秒)和重试前的延迟(2 - 100 秒)。失效
对端检测可识别不活动或不可用的 IKE 对端,并可帮助还原在对端不可用
时丢失的资源。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 325
定义 IKE 网关
表 197. IKE 网关高级选项(续)
字段
说明
IKEv2 子选项卡
IKE 加密配置文件
选择现有配置文件、保留默认配置文件或创建新配置文件。可以为 IKEv1
和 IKEv2 选择不同的配置文件。
有关 IKE 加密配置文件的信息,请参阅“定义 IKE 加密配置文件”。
严格 Cookie 验证
单击可在 IKE 网关上启用严格 Cookie 验证。
• 启用严格 Cookie 验证时,IKEv2 cookie 验证总会实施;发起程序必须发
送包含 cookie 的 IKE_SA_INIT。
• 禁用严格 Cookie 验证(默认设置)时,系统将针对全局 Cookie 激活阈值
来检查半开 SA 的数量(这是一个 VPN 会话设置)。如果半开 SA 的数量
超过 Cookie 激活阈值,发起程序必须发送包含 cookie 的 IKE_SA_INIT。
IKEv2 活性检查始终处于打开状态;所有的 IKEv2 数据包都用于活性检查。
单击此框可让系统在对端空闲指定秒数后发送空信息数据包。范围:2-100。
默认:5。
活性检查
如有必要,试图发送 IKEv2 数据包的一端最多会尝试进行 10 次活性检查
(所有 IKEv2 数据包都会计入重新传输设置)。如果得不到响应,发送方会
关闭并删除 IKE_SA 和 CHILD_SA。发送方会发出另一个 IKE_SA_INIT,
以便从头开始。
重新启动或刷新 IKE 网关
网络 > IPSec 隧道
打开 IPSec 隧道页面,该页面可指明隧道的状态。在第二个状态列中,有一个至 IKE 信息的链
接。单击想要重新启动或刷新的网关的相应链接。“IKE 信息”页面随即会打开。单击列表中
的某个条目,然后单击重新启动或刷新。
表 198 IKE 网关重新启动或刷新
字段
说明
重新启动
重新启动所选网关。重新启动会破坏通过隧道的流量。如下所示,IKEv1 和
IKEv2 的重新启动行为有所不同:
• IKEv1 — 可以单独重新启动(清除)阶段 1 SA 或阶段 2 SA,只会影响相应
的 SA。
• IKEv2 — 重新启动 IKEv2 SA 时,会导致所有子 SA(IPSec 隧道)被清除。
– 如果重新启动 IKEv2 SA,所有底层 IPSec 隧道也会被清除。
– 如果重新启动与 IKEv2 SA 相关的 IPSec 隧道(子 SA),重新启动不会影响
IKEv2 SA。
刷新
显示当前 IKE SA 状态。
326 • Web 界面参考指南,版本 7.0
Palo Alto Networks
设置 IPSec 隧道
设置 IPSec 隧道
网络 > IPSec 隧道
使用 IPSec 隧道页面可在防火墙之间建立 IPSec VPN 隧道并对其进行管理。这是 IKE/IPSec
VPN 设置的阶段 2 部分。
要管理 IPSec VPN 隧道,请参阅以下内容:
• “管理 IPSec VPN 隧道”
要配置 IPSec 隧道,请使用以下两个选项卡:
• “IPSec 隧道“常规”选项卡”
• ““IPSec 隧道代理 ID”选项卡”
查看 IPSec 隧道状态时,请参阅以下内容:
• “查看防火墙中的 IPSec 隧道状态”
要重新启动或刷新 IPSec 隧道,请参阅以下内容:
• “重新启动或刷新 IPSec 隧道”
管理 IPSec VPN 隧道
网络 > IPSec 隧道
下表介绍了如何管理 IPSec VPN 隧道。
表 199 管理 IPSec VPN 隧道
字段
说明
添加
要创建新的 IPSec VPN 隧道,请单击添加。有关配置新隧道的说明,请参
阅“IPSec 隧道“常规”选项卡”。
删除
要删除某个隧道,请选择该隧道,并单击删除。
启用
要启用已禁用的隧道,请选择该隧道,并单击启用(这是隧道的默认设置)。
禁用
要禁用某个隧道,请选择该隧道,并单击禁用。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 327
设置 IPSec 隧道
IPSec 隧道“常规”选项卡
表 200. IPSec 隧道“常规”选项卡设置
字段
说明
名称
输入名称以标识隧道(最多 63 个字符)。名称区分大小写,且必须是唯一
的。仅可使用字母、数字、空格、连字符和下划线。
此字段最多只能包含 63 个字符,其中除代理 ID(以冒号字符分隔)之外,
还包括隧道名称。
隧道接口
选择一个现有隧道接口,或单击新建隧道接口。有关创建隧道接口的信息,
请参考“配置隧道接口”。
IPv4 或 IPv6
选择 IPv4 或 IPv6 以将隧道配置为包含此类 IP 地址的端点。
类型
选择是使用自动生成的安全密钥还是手动输入的安全密钥。建议使用自动
密钥。
自动键
如果选择自动密钥,则指定以下各项:
• IKE 网关 — 有关 IKE 网关设置的说明,请参阅“定义 IKE 网关”。
• IPSec 加密配置文件 — 选择现有配置文件或保留默认配置文件。要定义
新的配置文件,请单击新建,并按照“定义 IPSec 加密配置文件”中的
说明操作。
• 单击显示高级选项以访问其余字段。
• 启用重播保护 — 选择此选项以防止重播攻击。
• 复制 TOS 标头 — 将封装数据包的内部 IP 标头中的(服务类型)TOS 字
段复制到其外部 IP 标头中,以保留原始 TOS 信息。此选项还会复制“显
示拥挤通知 (ECN)”字段。
• 隧道监视器 — 选择此选项以便在隧道出现故障时向设备管理员发出警报
并自动故障转移到另一个接口。注意,您需要向隧道接口分配一个 IP 地
址才能进行监测。
– 目标 IP — 在隧道的另一端指定一个 IP 地址,隧道监视器将使用此地
址确定隧道能否正常工作。
– 配置文件 — 选择现有配置文件以确定在隧道故障时所采取的操作。如
果监视器配置文件中指定的操作是等待恢复,那么防火墙会等待隧道
恢复正常运行,而不会使用路由表寻找替代路径。如果使用的是故障
转移操作,那么防火墙会检查路由表,以确定是否存在可用于到达目
标的替代路由。有关详细信息,请参阅“定义监视配置文件”。
328 • Web 界面参考指南,版本 7.0
Palo Alto Networks
设置 IPSec 隧道
表 200. IPSec 隧道“常规”选项卡设置(续)
字段
说明
手动密钥
如果选择手动密钥,则指定以下各项:
• 本地 SPI — 指定本地安全参数索引 (SPI),以供数据包从本地防火墙遍历
到对端。SPI 是添加到 IPSec 隧道标头的十六进制索引,用于帮助区分
各个 IPSec 通信流。
• 接口 — 选择作为隧道端点的接口。
• 本地地址 — 为作为隧道端点的本地接口选择 IP 地址。
• 远程 SPI — 指定远程安全参数索引 (SPI),以供数据包遍历远程防火墙到
达对等端设备。
• 协议 — 选择对通过隧道的通信使用的协议(ESP 或 AH)。
• 身份验证 — 选择对隧道访问使用的身份验证类型(SHA1、SHA256、
SHA384、SHA512、MD5 或无)。
• 密钥 / 确认密钥 — 输入并确认身份验证密钥。
• 加密 — 选择用于隧道通信的加密选项(3des、aes-128-cbc、aes-192-cbc、
aes-256-cbc 或 null [不加密])。
• 密钥 / 确认密钥 — 输入并确认加密密钥。
GlobalProtect 卫星
如果选择 GlobalProtect 卫星,则指定以下各项:
• 名称 — 输入名称以标识隧道(最多 31 个字符)。名称区分大小写,且必
须是唯一的。仅可使用字母、数字、空格、连字符和下划线。
• 隧道接口 — 选择一个现有隧道接口,或单击 “New Tunnel Interface”。
• 门户地址 — 输入“GlobalProtect 门户”的 IP 地址。
• 接口 — 从下拉列表中选择接口,此接口是用于访问 GlobalProtect 门户的
出口接口。
• 本地 IP 地址 — 输入连接 GlobalProtect 门户的出口接口的 IP 地址。
高级选项
• 将所有静态路由和已连接的路由发布到网关 — 选择此选项将所有路由从
卫星设备发布到与此卫星连接的 GlobalProtect 网关。
• 子网 — 单击添加以手动为此卫星位置添加本地子网。如果其他卫星正使
用相同的子网信息,您必须通过 NAT 将所有通信传输到隧道接口 IP。
而且,在此情况下,该卫星不能共享路由,所以所有路由都将通过隧道
IP 完成。
• 外部证书颁发机构 — 如果您使用外部 CA 管理证书,则选择此选项。证
书生成后,需要您将其导入到设备中,然后选择要使用的本地证书和证
书配置文件。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 329
设置 IPSec 隧道
“IPSec 隧道代理 ID”选项卡
IPSec 隧道代理 ID 选项卡被分隔为两个选项卡:IPv4 和 IPv6。这两类的帮助类似;下表中的
本地和远程字段介绍了 IPv4 和 IPv6 之间的差别。
IPSec 隧道代理 ID 选项卡还用于为 IKEv2 指定通信选择器。
表 201. IPSec 隧道代理 ID IPv4 和 IPv6 选项卡设置
字段
代理 ID
说明
单击添加并输入名称以标识代理。
对于 IKEv2 通信选择器,此字段会用作“名称”。
本地
对于 IPv4:输入一个 IP 地址或子网,格式为 x.x.x.x / 掩码(例如,
10.1.2.0/24)。
对于 IPv6:输入一个 IP 地址和前缀长度,格式为
xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx / 前缀长度(或按照 IPv6 约定,
例如,2001:DB8:0::/48)。
IPv6 寻址不需要写出所有的零;前导零可以省略,一组连续零可用两个相
邻冒号 (::) 代替。
对于 IKEv2 通信选择器,此字段会转换为源 IP 地址。
远程
如果对端需要:
对于 IPv4,输入一个 IP 地址或子网,格式为 x.x.x.x / 掩码(例如,
10.1.1.0/24)。
对于 IPv6,输入一个 IP 地址和前缀长度,格式为
xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx / 前缀长度(或按照 IPv6 约定,
例如,2001:DB8:55::/48)。
对于 IKEv2 通信选择器,此字段会转换为目标 IP 地址。
协议
指定本地和远程端口的协议以及端口号:
• 编号 — 指定协议号(用于与第三方设备进行互操作)。
• 任何 — 允许进行 TCP 和 / 或 UDP 通信。
• TCP — 指定本地和远程 TCP 端口号。
• UDP — 指定本地和远程 UDP 端口号。
所配置的每个代理 ID 都将计入防火墙的 IPSec VPN 隧道容量。
此字段还会用作 IKEv2 通信选择器。
330 • Web 界面参考指南,版本 7.0
Palo Alto Networks
定义 IKE 加密配置文件
查看防火墙中的 IPSec 隧道状态
网络 > IPSec 隧道
要查看当前所定义 IPSec VPN 隧道的状态,请打开 IPSec 隧道页面。该页面将报告以下状态信息:
• 隧道状态(第一个状态列)— 绿色表示 IPSec 阶段 2 安全关联 (SA) 隧道。红色表示 IPSec
阶段 2 SA 不可用或已过期。
• IKE 网关状态 — 绿色表示有效的 IKE 阶段 1 SA 或 IKEv2 IKE SA。红色表示 IKE 阶段 1 SA
不可用或已过期。
• 隧道接口状态 — 绿色表示隧道接口已打开(因为隧道监视器已禁用,或因为隧道监视器状
态为 UP 且监控 IP 地址可到达)。红色表示隧道接口已关闭,因为隧道监视器已启用且远
程隧道监控 IP 地址不可到达。
重新启动或刷新 IPSec 隧道
网络 > IPSec 隧道
打开 IPSec 隧道页面,该页面可指明隧道的状态。在第一个状态列中,有一个至隧道信息的链
接。单击想要重新启动或刷新的隧道的相应链接。该隧道的隧道信息页面随即会打开。单击列
表中的某个条目,然后单击重新启动或刷新。
表 202 IPSec 隧道重新启动或刷新
字段
说明
重新启动
重新启动所选隧道。重新启动会破坏通过隧道的流量。
刷新
显示当前 IPSec SA 状态。
定义 IKE 加密配置文件
网络 > 网络配置文件 > IKE 加密
使用 IKE 加密配置文件页面可以为标识、身份验证和加密操作(IKEv1 或 IKEv2,阶段 1)指定
协议和算法。
要更改算法或组的排列顺序,请选择该项目,然后单击上移或下移图标。该顺序将确定与远程
对端协商设置时的第一选择。首先尝试的是列表顶部的设置,然后沿列表向下移动,直到尝试
成功。
表 203. IKE 加密配置文件设置
字段
说明
名称
输入配置文件的名称。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 331
定义 IPSec 加密配置文件
表 203. IKE 加密配置文件设置(续)
字段
说明
DH 组
指 定 Diffie-Hellman (DH) 组的优先级。单击 添加 并选择组:group1、
group2、group5、group14、group19 或 group20。要获得最高安全级
别,请选择该项目,然后单击上移或下移图标,将具有更多标识符的组移
到列表顶部。例如,将 group14 移到 group2 上方。
身份验证
指定哈希算法的优先级。单击添加并选择算法。要获得最高安全级别,请
选择项目,然后单击上移或下移图标,以更改为如下顺序(由上至下):
sha512、sha384、sha256、sha1、md5。
加密
选中所需 Encapsulating Security Payload (ESP) 身份验证选项的复选框。单
击添加并选择算法。要获得最高安全级别,请选择项目,然后单击上移或下
移图标,以更改为如下顺序(由上至下):aes-256-cbc、aes-192-cbc、aes128-cbc、3des。
关键生命周期
选择单位,并输入协商 IKE 阶段 1 密钥的有效时间长度。默认:8 小时。
• IKEv2 — 在该密钥的生命周期到期之前,必须重新为 SA 生成密钥或采取
其他措施;一旦到期,SA 必须开始新的阶段 1 密钥协商。
• IKEv1 — 在到期之前,不会主动执行阶段 1 重新生成密钥操作。只有在
IKEv1 IPSec SA 到期时,才会触发 IKEv1 阶段 1 重新生成密钥操作。
IKEv2 身份验证多个
指定一个值(范围为 0-50,默认值为 0),该值乘以密钥生命周期后可确
定身份验证计数。身份验证计数是网关在必须开始重新进行 IKEv2 身份验
证之前可以执行 IKEv2 IKE SA 重新生成密钥操作的次数。值 0 会禁用重
新身份验证功能。
定义 IPSec 加密配置文件
网络 > 网络配置文件 > IPSec 加密
使用 IPSec 加密配置文件页面可以为基于 IPSec SA 协商(阶段 2)的 VPN 隧道中的身份验证
和加密操作指定协议和算法。
对于 GlobalProtect 网关和客户端之间的 VPN 隧道,请参阅“定义
GlobalProtect IPSec 加密配置文件”。
表 204. IPSec 加密配置文件设置
字段
说明
名称
输入名称以标识配置文件(最多 31 个字符)。名称区分大小写,且必须
是唯一的。仅可使用字母、数字、空格、连字符和下划线。
IPSec 协议
选择协议以确保遍历 VPN 隧道的数据的安全性:
• ESP — 封装式安全措施负载协议会加密数据、对源进行身份验证并验证
数据完整性。
• AH — 身份验证头协议会对源进行身份验证并验证数据完整性。
加密(仅限 ESP 协议)
332 • Web 界面参考指南,版本 7.0
单击添加,然后选择所需的加密算法。要获得最高安全级别,请使用上移
和下移按钮,以更改为如下顺序(由上至下):aes-256-gcm、aes-256cbc、aes-192-cbc、aes-128-gcm、aes-128-ccm(VM 系列防火墙不支持
此选项)、aes-128-cbc 和 3des。您还可以选择 null(不加密)。
Palo Alto Networks
定义 GlobalProtect IPSec 加密配置文件
表 204. IPSec 加密配置文件设置(续)
字段
说明
身份验证
单击添加,然后选择所需的身份验证算法。要获得最高安全级别,请使用
上移和下移按钮,以更改为如下顺序(由上至下):sha512、sha384、
sha256、sha1、md5。如果 IPSec 协议为 ESP,您还可以选择无(不进行
身份验证)。
DH 组
为 Internet 密钥交换 (IKE) 选择 Diffie-Hellman (DH) 组:group1、group2、
group5、group14、group19 或 group20。要获得最高安全级别,请选择
编号最大的组。如果不想续订防火墙在 IKE 阶段 1 中创建的密钥,请选择
no-pfs(不进行完全向前保密):防火墙会重复使用当前密钥进行 IPSec
安全关联 (SA) 协商。
生命周期
选择单位,并输入协商密钥保持有效的时间长度(默认为一小时)。
生存期
选择可选单位,并输入密钥可用于加密的数据量。
定义 GlobalProtect IPSec 加密配置文件
网络 > 网络配置文件 > GlobalProtect IPSec 加密
使用 GlobalProtect IPSec 加密配置文件页面可以为 GlobalProtect 网关和客户端之间的 VPN
隧道中的身份验证和加密操作指定算法。算法的添加顺序就是设备应用这些算法的顺序,会影
响隧道的安全性和性能。要更改此顺序,请使用上移和下移按钮。
对于 GlobalProtect 网关和卫星设备(防火墙)之间的 VPN 隧道,请参阅
“定义 IPSec 加密配置文件”。
表 205. GlobalProtect IPSec 加密配置文件设置
字段
说明
名称
输入名称以标识配置文件。此名称区分大小写,必须是唯一的,且最多可
包含 31 个字符。仅可使用字母、数字、空格、连字符和下划线。
加密
单击添加,然后选择所需的加密算法。要获得最高安全级别,请将顺序
(由上至下)更改为:aes-256-gcm、aes-128-gcm、aes-128-cbc。
身份验证
单击添加,然后选择身份验证算法。目前,仅有的一个选项为 sha1。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 333
定义 GlobalProtect IPSec 加密配置文件
334 • Web 界面参考指南,版本 7.0
Palo Alto Networks
章节 9
GlobalProtect 设置
设置 GlobalProtect 门户
网络 > GlobalProtect > 门户
使用此页面可设置和管理 GlobalProtect 门户配置。门户提供了针对 GlobalProtect 基础架构的管
理功能。参与 GlobalProtect 网络的每个客户端系统都会从门户收到配置信息,其中包括可用网
关的相关信息以及连接到这些网关时可能需要的任何客户端证书的相关信息。此外,门户还控制
GlobalProtect 代理软件的行为以及向 Mac 和 Windows 便携式计算机的分发。(对于移动设备,
如果是 iOS 设备,GlobalProtect 应用通过 Apple App Store 进行分发。对于 Android 设备,则通
过 Google Play 进行分发。)
要添加门户配置,请单击添加以打开“GlobalProtect 门户”对话框。有关此对话框的各个选项
卡上字段的详细信息,请参阅以下各节:
• “门户配置选项卡”
• “客户端配置选项卡”
• “卫星配置选项卡”
有关设置门户的详细分步骤说明,请参阅《GlobalProtect 管理员指南》中的“配置 GlobalProtect
门户”。
门户配置选项卡
使用门户配置选项卡可定义用于使代理能够连接到门户的网络设置,并可指定门户验证终端客
户端的方式。
此外,还可以使用此选项卡指定自定义的 GlobalProtect 门户登录和帮助页面(可选)。有关
如何创建和导入这些自定义页面的信息,请参阅《GlobalProtect 管理员指南》中的“自定义
门户登录、欢迎和帮助页面”。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 335
设置 GlobalProtect 门户
表 206. GlobalProtect 门户设置
字段
说明
名称
输入门户的名称(最多 31 个字符)。名称区分大小写,且必须是唯一的。
仅可使用字母、数字、空格、连字符和下划线。
位置
对于处于多虚拟系统模式下的防火墙,位置是指提供 GlobalProtect 网络
门户的虚拟系统 (vsys)。对于不是处于多虚拟系统模式下的防火墙,位置
字段不会出现在“GlobalProtect 网络门户”对话框中。在保存网络门户
后,您无法更改其位置。
网络设置
接口
选择将用作远程客户端 / 防火墙入口的防火墙接口。
IP 地址
指定将运行 GlobalProtect 门户 Web 服务的 IP 地址。
SSL/TLS 服务配置文件
要指定用于保护 GlobalProtect 网络门户的证书和允许协议,请选择 SSL/TLS
服务配置文件。有关详细信息,请参阅“管理 SSL/TLS 服务配置文件”。
与配置文件相关联的证书的“公用名 (CN)”字段和“主题备用名称 (SAN)”
字段(如果适用)必须与所选接口的 IP 地址或完全限定域名 (FQDN) 完全
匹配。
执行 GlobalProtect VPN 配置时的最佳做法是,使用与来自可信第三方 CA
的证书相关联的配置文件或内部企业 CA 生成的证书。
身份验证
身份验证配置文件
选择用于对访问门户的客户端 / 卫星进行身份验证的身份验证配置文件。如
果正在配置 LSVPN,那么只有在选择身份验证配置文件之后,您才能保存
配置。即使您计划使用序列号对卫星进行身份验证,门户仍需要身份验证配
置文件,因为只有这样门户才能在无法定位或验证序列号时进行回退。
请参阅“设置身份验证配置文件”。
身份验证消息
输入一条消息以帮助最终用户了解其应该使用哪些凭证来登录到门户,或
者使用默认消息。此消息的最大长度为 50 个字符。
客户端证书
(可选)如果计划使用相互 SSL 身份验证,请选择客户端将向网关显示的
证书。该客户端证书将分发到针对门户验证成功的所有代理,除非代理的
对应客户端配置包含其他客户端证书。如果在使用内部 CA 将证书分发到
客户端,请保留此字段空白。
证书配置文件
(可选)选择要用于对门户上的用户进行身份验证的证书配置文件。仅当
已使用内部公共密钥基础架构 (PKI) 预先部署了客户端证书时,才应使用
此选项。
外观
禁用登录页面
选中该选项可禁止通过 Web 浏览器访问 GlobalProtect 门户登录页面。
自定义登录页
选择用户访问门户的可选自定义登录页面。
自定义帮助页
选择帮助用户使用 GlobalProtect 的可选自定义帮助页面。
336 • Web 界面参考指南,版本 7.0
Palo Alto Networks
设置 GlobalProtect 门户
客户端配置选项卡
使用客户端配置选项卡可定义在成功连接并进行身份验证后,门户将部署到代理 / 应用的
GlobalProtect 客户端配置设置。
此选项卡还可让您自动部署任何可信根 CA 证书和中间证书,终端客户端将需要这些证书以与
GlobalProtect 网络和 / 或 GlobalProtect Mobile Security Manager 建立 HTTPS 连接(在这些
组件使用终端客户端不信任的服务器证书的情况下)。您在此处添加的任何证书都与客户端配
置一起被推送到客户端。要添加可信根 CA 证书,请单击添加,然后从列表中选择一个证书,
或单击导入以浏览证书并将其导入到防火墙中。
如果有不同类别的用户需要不同配置,则可以为每个类别用户创建单独的客户端配置。然后,
门户将使用用户名 / 组名和 / 或客户端的操作系统来确定要部署的客户端配置。与安全规则评
估相同,门户从列表的顶部开始查找匹配项。在其找到匹配项后,会将对应的配置传递到代理 /
应用。因此,如果有多个客户端配置,请务必将其排序,以使更具体的配置(也就是适用于特
定用户或操作系统的配置)在更通用配置的上方。使用上移和下移按钮可对配置进行排序。单
击添加可打开“配置”对话框并可创建新的客户端配置。有关配置门户和创建客户端配置的详
细信息,请参阅《GlobalProtect 管理员指南》中的“配置 GlobalProtect 门户”。
“配置”对话框包含五个选项卡,下表中描述了这些选项卡:
• “常规”选项卡
• 用户 / 用户组选项卡
• 网关选项卡
• 代理选项卡
• 数据收集选项卡
表 207. GlobalProtect 门户客户端配置设置
字段
说明
“常规”选项卡
名称
输入名称以标识此客户端配置。
使用单一登录
选中该复选框,从而让 GlobalProtect 使用用户的 Windows 登录凭据透明
地连接到 GlobalProtect 门户和网关并进行身份验证。用户不需要在代理
的“设置”选项卡中输入用户名和密码。
配置刷新间隔(小时)
以小时为单位指定刷新 GlobalProtect 代理配置的间隔(默认为 24 小时,
范围是 1 到 168 小时)。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 337
设置 GlobalProtect 门户
表 207. GlobalProtect 门户客户端配置设置(续)
字段
说明
身份验证修饰符
• 无 — 门户始终使用指定的身份验证配置文件和 / 或证书配置文件对代理
进行身份验证,并且将身份验证凭据发送到网关。这是默认设置。
• 配置刷新的 Cookie 身份验证 — 允许对门户进行基于 Cookie 的代理身份
验证,以刷新缓存的客户端配置。
• Cookie 过期(天数)— 仅当从身份验证修饰符字段中选择了配置刷新的
Cookie 身份验证时,才会显示此选项。使用此选项可指定代理可使用
Cookie 向门户进行身份验证(以刷新配置)的天数;值 0(默认值)表
示 Cookie 从不过期。
• 外部网关的不同密码 — 表示门户和网关使用不同身份验证凭据并且在门
户身份验证成功后提示用户输入网关密码。默认情况下,门户会将代理
用于向门户进行身份验证的相同密码发送到网关。
• 仅手动网关身份验证修饰符中选择了外部网关的不同密码时,才会显示此
选项。如果希望能够在配置为手动网关的不同网关上使用不同的身份验证
机制,请选中此复选框。例如,对于一组网关的始终开启的连接,您可能
选择使用 Active Directory 凭据,而在保护更安全的资源的另一组网关
上,您可以使用更强大的身份验证机制(如,双重 OTP 身份验证)。
连接方法
• 按需 — 选中此选项以允许用户按需建立连接。选中此选项后,用户必须
显式启动连接。此功能主要用于远程访问连接。
• 用户登录 — 设置此选项时,用户登录到其计算机之后,GlobalProtect 代
理将自动建立连接。如果选择使用单一登录,则用于登录到 Windows
的用户名和密码由 GlobalProtect 代理捕获,并用于进行身份验证。
• 预先登录 — 允许代理在用户登录到计算机之前,使用预先安装的计算机
证书来对 GlobalProtect 网关进行身份验证并与其建立 VPN 隧道。使用
“预 先 登 录”连 接 方 法 时,可 以 创 建 将 预 先 登 录 指 定 为 源 用 户 的
GlobalProtect 客户端配置和安全策略,并且仅启用对基本服务的访问权
(如、DHCP、DNS、Active Directory 以及防病毒和操作系统更新服
务),以进一步加速用户的登录过程。要使用此功能,必须使用您自己
的公用密钥基础架构 (PKI) 来向最终用户系统颁发和分发证书。然后必
须 将 用于颁发计算机证书的根 CA 证书导入到防火墙(门户以及网
关),然后必须创建对应的证书配置文件。
客户端证书
如果计划使用相互 SSL 身份验证,请选择客户端将向网关显示的证书。此
客户端证书将分发到与此客户端配置相匹配的所有代理。如果门户配置选
项卡上也指定了某个客户端证书,则将使用此客户端证书。如果在使用内
部 PKI 将唯一证书部署到端点,请保留此字段空白。
Mobile Security
Manager
如果使用 GlobalProtect Mobile Security Manager 进行移动设备管理,请
输入 GP-100 设备上设备检入 / 注册界面的 IP 地址或 FQDN。
注册端口
在移动设备连接到 GlobalProtect Mobile Security Manager 以进行注册时
应使用的端口号。默认情况下,Mobile Security Manager 侦听端口 443,
最佳实践是仍将其设置为此值,以便在注册过程中不会提示移动设备用户
提供客户机证书。(默认:443 ;可能的值:443、7443 和 8443)
338 • Web 界面参考指南,版本 7.0
Palo Alto Networks
设置 GlobalProtect 门户
表 207. GlobalProtect 门户客户端配置设置(续)
字段
说明
内部主机检测
使用此选项,GlobalProtect 会执行从指定主机名到指定 IP 地址的逆向 DNS
查找。如果不匹配,则 GlobalProtect 会确定端点是在企业网络的外部,并
且与网关选项卡中配置的任何可用外部网关建立隧道。如果匹配,则代理
会确定端点是在网络内部,并且连接到内部网关(如果已配置);在这种
情况下,代理不会创建与任何外部网关的 VPN 连接。
选中此复选框以允许使用 DNS 查找进行内部主机检测。指定以下项:
• IP 地址 — 输入内部主机检测的内部 IP 地址。
• 主机名 — 输入在内部网络中解析到上述 IP 地址的主机名。
用户 / 用户组选项卡
指定要将客户端配置应用到的用户或用户组和 / 或客户端操作系统:
• 用户 / 用户组 — 单击添加以从列表中选择此配置将应用到的特定用户或用
户组(必须配置组映射才会显示用户和组的列表)。还可以使用预先登
录模式(即,在用户登录到系统之前)创建要部署到代理的配置,或者
要应用于任何用户的配置。
• 操作系统 — 要根据终端系统上运行的特定操作系统来部署配置,请在此窗
口的“操作系统”部分中单击添加,然后选择适用的操作系统(Android、
iOS、Mac 或 Windows)。或者,仍将此部分中的值设置为任何,以
便仅根据用户 / 组来部署配置。
网关选项卡
截断时间
指定代理将等待网关进行响应的时间(秒),在超过此时间之后,系统会
确定要连接到的最佳网关。然后,代理将尝试仅连接到在指定的截断时间
内进行响应的网关。默认值是 5。值 0 表示没有截断时间;代理将等待,
直至 TCP 超时。(范围是 0 到 10)
内部网关
指定内部防火墙,代理将对其进行身份验证并向其提供 HIP 报告。
外部网关
指定在位于企业网络外部的情况下,代理尝试与之建立隧道的防火墙的列
表。单击添加,然后为每个外部网关输入以下信息:
• 名称 — 用来标识网关的标签,最多 31 个字符。名称区分大小写,且必须
是唯一的。仅可使用字母、数字、空格、连字符和下划线。
• 地址 — 配置了网关的防火墙接口的 IP 地址或 FQDN。值必须与网关服务
器证书的 CN 匹配,如果指定了 SAN,则还必须与 SAN 匹配(例如,如
果使用 FQDN 生成证书,则还必须在此处输入 FQDN)。
• 优先级 — 选择一个值(最高、高、中、低、最低或仅手动)以帮助代理
确定要连接到的网关。代理将与所有网关(优先级为仅手动的网关除
外)取得联系,并与提供最快响应和最低优先级值的防火墙建立隧道。
• 手动 — 如果希望允许用户手动连接到(或切换到)网关,请选中此复选
框。GlobalProtect 代理将能够选择连接到配置为手动选项的任何外部网
关。连接到新网关时,将断开连接现有隧道,并将建立新隧道。与主网
关相比,手动网关也可以拥有其他身份验证机制。如果客户端系统已重
新启动,或如果已执行重新发现,则 GlobalProtect 代理将连接到主网
关。如果您拥有的用户组需要临时连接到特定网关,以访问网络的安全
分段,则此功能会很有用。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 339
设置 GlobalProtect 门户
表 207. GlobalProtect 门户客户端配置设置(续)
字段
说明
代理选项卡
此选项卡上的设置指定最终用户如何与其系统上安装的 GlobalProtect 代
理进行交互。可以为您创建的不同 GlobalProtect 客户端配置定义不同代
理设置。
通行码 / 确认通行码
输入在最终用户要代替代理时需要输入的通行码。仅当“代理用户替代”
字段设置为“使用通行码”,此字段才是必填字段。
代理用户替代
选择替代选项:
• 已禁用 — 阻止最终用户禁用 GlobalProtect 代理。
• 使用注释 — 禁用 GlobalProtect 代理时,提示最终用户输入注释。
• 使用通行码 — 该选项允许最终用户输入通行码以替代 GlobalProtect 代理。
如果选择此选项,则必须还要在通行码和确认通行码字段中输入值。用
户必须输入此值才能替代代理。
• 使用凭据 — 此选项启用一种质询响应机制,以授权在客户端禁用
GlobalProtect 代理。选中此选项后,将在禁用 GlobalProtect 时向用户
显示质询。然后,以带外方式向防火墙管理员传达该质询,而管理员可
通过防火墙管理界面验证该质询。防火墙产生一个读回到用户的响应,
然 后 此用户可通过在 GlobalProtect 代理提示时输入该响应而禁用
GlobalProtect。使用此选项时,必须还要在客户端配置顶部的代理用户
替代密钥字段中输入用于解密凭据的密钥。
最大代理用户替代数
指定在需要成功连接到防火墙之前用户可禁用 GlobalProtect 的最大次数。
值 0(默认值)表示代理替代数不受限制。
代理用户替代超时
指定在替代后将禁用 GlobalProtect 的最大时间长度(分钟);在经过了指定
的时间量后,代理将重新连接。值 0(默认值)表示替代的持续时间无限。
代理升级
选择以下任一选项以指定 GlobalProtect 代理软件下载 / 升级的进行方式:
• 已禁用 — 阻止用户升级代理。
• 手动 — 允许用户通过选择代理的“检查版本”选项来手动检查和启动
升级。
• 提示 — 只要防火墙上激活了新的代理版本时,就提示最终用户升级。这
是默认设置。
• 透明 — 只要门户上有新版本可用时,便自动升级代理软件。
欢迎页面
选择在成功连接到 GlobalProtect 之后要向最终用户显示的欢迎页面。您可
以选择出厂默认值页面或导入自定义页面。默认情况下,该字段设置为无。
第三方 VPN
单击添加以添加端点中可能存在的第三方远程访问 VPN 客户端的列表。
如果配置了此项,则 GlobalProtect 将忽略这些客户端及其路由设置,以
确保不干扰这些客户端及其路由设置或与之产生冲突。
启用高级视图
取消选中此复选框以将客户端上的用户界面限制为基本的最小视图。默认
情况下,启用高级视图设置。
显示 GlobalProtect 图标
清除此复选框可在客户端系统上隐藏 GlobalProtect 图标。隐藏时,用户
无法执行其他任务,如更改密码、重新发现网络、重新提交主机信息、查
看故障诊断信息或执行按需连接。但是,HIP 通知消息、登录提示和证书
对话框仍将根据需要显示,从而与最终用户交互。
340 • Web 界面参考指南,版本 7.0
Palo Alto Networks
设置 GlobalProtect 门户
表 207. GlobalProtect 门户客户端配置设置(续)
字段
说明
允许用户更改门户地址
清除此复选框可禁用 GlobalProtect 代理中设置选项卡上的门户字段。由
于用户随后将无法指定要连接到的门户,因此您必须在 Windows 注册表
中指定缺省门户地址:(HKEY_LOCAL_MACHINE\SOFTWARE\Palo
Alto Networks\GlobalProtect\PanSetup with key Portal)或 Mac plist
(/Library/Preferences/com.
paloaltonetworks.GlobalProtect.pansetup.plist with key Portal)。
启用“不再显示这个欢迎
页面”复选框
清除此复选框可强制欢迎页面每次显示用户启动连接。这可以防止用户忽
略重要信息,如企业保持遵守适用标准可能需要的条款和条件。
允许用户保存密码
清除此复选框将阻止用户在代理上保存其密码(即,您希望强制用户每次
连接时都提供密码 — 通过客户端以透明方式提供,或者通过手动输入)。
启用重新发现网络选项
清除此复选框将阻止用户执行手动网络重新发现。
启用重新提交主机配置文
件选项
清除此复选框将阻止用户手动触发最新 HIP 的重新提交。
如果门户服务器证书无
效,则允许用户继续
清除此复选框将阻止代理在门户证书无效的情况下建立与门户的连接。
数据收集选项卡
使用此子选项卡可定义代理在 HIP 报告中将从客户端中收集的数据:
最长等待时间
指定代理在提交可用信息之前应搜索 HIP 数据的时间长度(范围是 10 到
60 秒;默认为 20 秒)。
排除类别
使用此子选项卡可定义您不希望为其收集 HIP 数据的任何主机信息类别。
选择类别可从 HIP 集合中排除。在选择类别后,可以选择优化排除,方法
是单击添加,然后选择特定供应商。在此对话框的“产品”部分中单击添
加,然后从供应商中选择产品。单击 OK 保存设置。
自定义检查
使用此子选项卡可定义您希望代理收集的任何自定义主机信息。例如,如
果您有任何必需应用程序未包含在用于创建 HIP 对象的供应商和 / 或产品
列表中,则创建一个自定义检查,可让您确定是否安装了应用程序(具有
对应的注册表或 plist 项),或者是否正在运行(具有对应的运行进程):
• Windows — 单击添加以便为特定注册表项和 / 或键值添加选中标记。
• Mac — 单击添加以便为特定 plist 项或键值添加选中标记。
• 进程列表 — 单击添加以指定要在最终用户的系统上检查的进程列表,以
确认它们是否正在运行。例如,要确定某个软件应用程序是否正在运
行,请将这个可执行文件的名称添加到进程列表中。您可以向 Windows
选项卡或 Mac 选项卡中添加进程列表。
卫星配置选项卡
卫星设备是 Palo Alto Networks 防火墙,通常是在分支办公室,充当 GlobalProtect 代理以使
其能够建立与 GlobalProtect 网关的 VPN 连接。与 GlobalProtect 代理一样,卫星设备从门户
接收其初始配置,这包括证书和 VPN 配置路由信息,以使卫星设备能够连接所有已配置的网
关,从而建立 VPN 连接。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 341
设置 GlobalProtect 门户
在分支机构防火墙上配置 GlobalProtect 卫星设备上,必须首先配置与 WAN 连接的接口,然
后设置一个允许分支办公室 LAN 与 Internet 通信的安全区域和安全策略。然后便可以在门户
上配置 GlobalProtect 卫星设置,如下表中所述:
表 208. GlobalProtect 门户卫星配置设置
字段
说明
常规子选项卡
单击添加以显示子选项卡,然后在 GlobalProtect 卫星 > 常规子选项卡上
指定以下项:
• 名称 — 输入名称以标识 GlobalProtect 卫星设备配置文件。
• 配置刷新间隔(小时)— 指定卫星设备检查门户配置更新的频率(默认
为 24 小时,范围是 1-48 小时)。
设备子选项卡
登记用户 / 用户组子选
项卡
单击添加以使用设备序列号手动添加卫星设备。如果使用此选项,当卫星设
备首次连接以接收身份验证证书和初始配置时,无需用户登录提示。在对卫
星设备进行身份验证之后,名称(主机名)将自动添加到 “Portal” 中。
门户使用注册用户 / 用户组设置和 / 或设备序列号将卫星与配置进行匹配。
指定卫星配置的匹配条件,如下所示:
• 要使用特定序列号限制卫星设备的此配置,选择设备选项卡,单击添加,
然后输入序列号(无需输入卫星主机名;在卫星连接时将自动添加)。对
于要接收此配置的每颗卫星,请重复此步骤。
• 选择注册用户 / 用户组选项卡,单击添加,然后输入要接收此配置的用户
或组。需要对序列号不匹配的卫星进行验证,如同用户在此处所指定(个
人用户或组成员)。
注:请注意,您必须先启用组映射,之后才能将配置限制在特定组。
网管子选项卡
单击添加以输入网关的 IP 地址或主机名,以便使用该配置的卫星与之建立
IPSec 隧道。在网关字段中,输入在其上配置网关的接口的 FQDN 或 IP
地址。
(可选)如果要将两个或多个网关添加到配置,路由优先级有助于卫星选
择首选网关。输入一个介于 1-25 范围内的值,数字越小优先级越高(即卫
星可以连接到网关,如果所有网关可用)。卫星将路由优先级乘以 10 来确
定路由跳数。
注:在卫星上安装网关发布的路由作为静态路由。静态路由的跳数为 10 乘
以路由优先级。如果拥有多个网关,请确保同时设置路由优先级,确保备
份网关通告的路由拥有比主网关通告的同一路由更高的跳数。例如,如果
将主网关和备份网关的路由优先级分别设置为 1 和 10,则卫星将使用 10
作为主网关的跳数,并使用 100 作为备份网关的跳数。
如果选中将所有静态路由和连接路由发布到网关(已在网络 > IPSec 隧道 >
高级选项卡)中的卫星上配置,则卫星也将与网关共享其网络和路由信
息。有关详细信息,请参阅“GlobalProtect 卫星”。
可信根 CA
单击添加,然后选择用于签发网关服务器证书的 CA 证书。最佳做法是,
所有网关均使用同一颁发者。
注:如果用于签发网关服务器证书的根 CA 证书不在门户上,则可立即将
其导入。
正在颁发证书
选择门户用来在成功验证卫星后向其签发证书的根 CA 证书。
有效期限(天数)
指定已颁发的 GlobalProtect 卫星证书的生命周期(默认为 7 天,范围是
7-365 天)。
342 • Web 界面参考指南,版本 7.0
Palo Alto Networks
设置 GlobalProtect 网关
表 208. GlobalProtect 门户卫星配置设置(续)
字段
说明
证书续订期间(天数)
指定 GlobalProtect 卫星证书的续订期间(默认为 3 天,范围是 3-30 天)。
这将确定续订证书的频率。
OCSP 响应者
为卫星选择 OCSP 响应者,以用来验证门户和网关所呈现的证书吊销状态。
设置 GlobalProtect 网关
网络 > GlobalProtect > 网关
使用此页面可配置 GlobalProtect 网关。该网关可用于为 GlobalProtect 代理 / 应用或 GlobalProtect
卫星设备提供 VPN 连接。
要添加网关配置,请单击添加以打开“GlobalProtect 门户”对话框。有关此对话框的各个选项
卡上字段的详细信息,请参阅以下各节:
• ““常规”选项卡”
• “客户端配置选项卡”
• “卫星配置选项卡”
有关设置网关的详细分步骤说明,请参阅《GlobalProtect 管理员指南》中的“配置 GlobalProtect
网关”。
“常规”选项卡
使用常规选项卡可定义代理 / 应用将连接到的网关接口并可指定网关将对终端客户机进行身份
验证的方式。
表 209. GlobalProtect 网关常规设置
字段
说明
名称
输入网关的名称(最多 31 个字符)。名称区分大小写,且必须是唯一的。
仅可使用字母、数字、空格、连字符和下划线。
位置
对于处于多虚拟系统模式下的防火墙,位置是指提供 GlobalProtect 网关
的虚拟系统 (vsys)。对于不是处于多虚拟系统模式下的防火墙,位置字段
不会出现在“GlobalProtect 网关”对话框中。在保存网关后,您无法更
改其位置。
网络设置
接口
选择将用作远程代理 / 卫星 ingress 的防火墙接口。
IP 地址
指定网关访问的 IP 地址。
SSL/TLS 服务配置文件
要指定用于保护 GlobalProtect 网关的证书和允许的协议,请选择 SSL/TLS
服务配置文件。有关详细信息,请参阅“管理 SSL/TLS 服务配置文件”。
身份验证
身份验证配置文件
Palo Alto Networks
选择用于对网关访问权限进行验证的身份验证配置文件或序列。请参阅
“设置身份验证配置文件”。
Web 界面参考指南,版本 7.0 • 343
设置 GlobalProtect 网关
表 209. GlobalProtect 网关常规设置(续)
字段
说明
身份验证消息
输入一条消息以帮助最终用户了解其应该使用哪些凭证来登录到此网关,
或者使用默认消息。此消息的最大长度为 50 个字符。
证书配置文件
选择用于进行客户端身份验证的证书配置文件。
客户端配置选项卡
使用“客户端配置”选项卡可配置隧道设置以使代理 / 应用能够建立与网关的 VPN 隧道。此
外,使用此选项卡还可定义在匹配 / 不匹配连接到安全策略的 HIP 配置文件之后,要向最终用
户显示的 HIP 通知消息。
此选项卡包含三个子选项卡,如下表中所述:
• “隧道设置子选项卡”
• “网络设置子选项卡”
• “网络服务子选项卡”
• “HIP 通知子选项卡”
隧道设置子选项卡
使用此子选项卡可配置隧道参数以及启用隧道。
仅当在设置外部网关时,才需要隧道参数。如果配置内部网关,则隧道参数是可选的。
344 • Web 界面参考指南,版本 7.0
Palo Alto Networks
设置 GlobalProtect 网关
表 210. GlobalProtect 网关客户端隧道模式配置设置
字段
说明
隧道模式
选中此复选框以启用隧道模式,并指定以下设置:
• 隧道接口 — 选择用于访问网关的隧道接口。
• 最大用户数 — 指定可以同时访问网关以进行身份验证、HIP 更新和
GlobalProtect 代理更新的最大用户数。如果达到最大用户数,则拒绝后
续用户访问,并显示错误消息,指示已达到最大用户数。默认情况下,不
设置限制(范围是 1 到 1024 个用户)。
• 启用 IPSec — 选中此复选框以使客户端通信可使用 IPSec 模式,从而使
IPSec 成为主方法,使 SSL-VPN 成为回退方法。
• GlobalProtect IPSec 加密 — 选择 GlobalProtect IPSec 加密配置文件可指
定用于 VPN 隧道的身份验证和加密算法。默认配置文件使用 aes-128-cbc
加密算法和 sha1 身份验证。有关详细信息,请参阅“定义 GlobalProtect
IPSec 加密配置文件”。
• 启用扩展身份验证支持 — 选中此复选框以在启用 IPSec 时启用 GlobalProtect
网关中的扩展身份验证 (X-Auth) 支持。凭借 X-Auth 支持,支持 X-Auth
的第三方 IPSec VPN 客户端(例如 Apple iOS 和 Android 设备上的 IPSec
VPN 客户端以及 Linux 上的 VPNC 客户端)可与 GlobalProtect 网关建立
VPN 隧道。使用 X-Auth 选项,可以从 VPN 客户端远程访问某个特定
GlobalProtect 网关。由于 X-Auth 访问仅提供了有限的 GlobalProtect 功
能,因此请考虑使用 GlobalProtect 应用以对 GlobalProtect 在 iOS 和
Android 设备上提供的完整安全功能集进行简化访问。
选中 X-Auth 支持复选框将启用组名和组密码选项:
– 如果指定了组名称和组密码,则身份验证的第一阶段要求双方均使用
此凭据进行身份验证。第二个阶段需要有效的用户名和密码(通过在
身份验证部分中配置的身份验证配置文件进行验证)。
– 如果未定义组名称和组密码,则身份验证的第一个阶段基于第三方
VPN 客户端提供的有效证书。然后,通过在身份验证部分中配置的证
书配置文件验证此证书。
– 默认情况下,当用于建立 IPSec 隧道的密钥过期后,用户不需要重新进
行身份验证。若要求用户重新进行身份验证,请清除在 IKE Rekey 上
跳过身份验证复选框。
超时配置
指定以下超时设置:
• 登录生命周期 — 指定单个网关登录会话所允许的天数、小时数或分钟数。
• 非活动注销 — 指定天数、小时数或分钟数,在此之后将自动注销非活动
的会话。
• 空闲时断开连接 — 指定分钟数,如果 GlobalProtect app 未能在该指定时
间内通过 VPN 隧道建立路由通信,客户端就会从 GlobalProtect 注销。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 345
设置 GlobalProtect 网关
网络设置子选项卡
仅当您已启用隧道模式并且在“隧道设置”选项卡上定义隧道接口时,“网络设置”选项才可用。
在代理建立与网关的隧道时,此处定义的网络设置将分配给客户端系统上的虚拟网络适配器。
表 211. GlobalProtect 网关客户端网络配置设置
字段
说明
用户 / 用户组子选
项卡
指定要将客户端配置应用到的用户或用户组和 / 或客户端操作系统。
用户 / 用户组
单击添加以从列表中选择此配置将应用到的特定用户或用户组(必须配置组
映射才会显示用户和组的列表)。还可以使用预先登录模式(即在用户登录
到系统之前)创建要部署到代理的配置,或者要应用于任何用户的配置。
操作系统
要根据终端系统上运行的特定操作系统来部署配置,请在此窗口的“操作
系统”部分中单击添加,然后选择适用的操作系统(Android、iOS、Mac
或 Windows)。或者,仍将此部分中的值设置为任何,以便仅根据用户 /
组来部署配置。
网络设置子选项卡
从身份验证服务器检索
Framed-IP-Address 属性
选中此复选框能使 GlobalProtect 网关使用外部身份验证服务器分配固定
IP 地址。启用后,GlobalProtect 网关使用身份验证服务器的 Framed-IP
属性将 IP 地址分配给连接设备。
身份验证服务器 IP 池
此部分只有在启用从身份验证服务器检索 Framed-IP-Address 属性选项后
才可用。
单击添加以指定身份验证服务器 IP 池设置。
使用此部分可创建分配给远程用户的子网或 IP 地址范围。建立隧道后,
GlobalProtect 网关使用身份验证服务器的 Framed-IP 属性将在此范围内
的 IP 地址分配给连接设备。
注:身份验证服务器 IP 池必须足够大以支持所有的并发连接。IP 地址分
配为固定,且在用户断开连接后会保留地址分配。从不同子网配置多个范
围,可允许系统为客户端提供一个不与该客户端上的其他接口冲突的 IP
地址。
网络中的服务器 / 路由器必须将此 IP 池的通信路由到防火墙。
例如,对于 192.168.0.0/16 网络,可以为远程用户分配地址 192.168.0.10。
IP 池
单击添加以指定 IP 池设置。
使用此部分可创建分配给远程用户的 IP 地址范围。建立隧道时,将用此
范围内的地址在远程用户的计算机上创建接口。
注:为了避免冲突,IP 池必须足够大以支持所有的并发连接。网关保持客
户端和 IP 地址的索引,这样客户端可以在下一次连接时自动收到同一 IP
地址。从不同子网配置多个范围,可允许系统为客户端提供一个不与该客
户端上的其他接口冲突的 IP 地址。
网络中的服务器 / 路由器必须将此 IP 池的通信路由到防火墙。
例如,对于 192.168.0.0/16 网络,可以为远程用户分配地址 192.168.0.10。
346 • Web 界面参考指南,版本 7.0
Palo Alto Networks
设置 GlobalProtect 网关
表 211. GlobalProtect 网关客户端网络配置设置(续)
字段
说明
不能直接访问本地网络
选中此复选框可禁用拆分隧道,包括在 Windows 和 Mac OS 系统上直接访
问本地网络。这可以防止用户将通信发送到代理或本地资源,如家用打印
机。在建立隧道后,通过隧道路由所有通信且应符合防火墙执行的策略。
访问路由
单击添加指定访问路由选项。
使用此部分可添加推送到远程用户计算机上的路由,因此该路由可确定用
户计算机通过 VPN 连接发送的内容。
例如,可以将拆分隧道设置为允许远程用户无需经由 VPN 隧道便可访问
Internet。
如果不添加任何路由,则每个请求都通过隧道进行路由(无拆分隧道)。
在这种情况下,每个 Internet 请求均会穿过防火墙,到达网络。此方法可
避免外部的某一方先访问用户的计算机,然后再通过该计算机访问内部网
络(将用户的计算机充当网桥)。
网络服务子选项卡
仅当您已启用隧道模式并且在“隧道设置”选项卡上定义隧道接口时,“网络服务”选项才可用。
在此选项卡上,在代理与网关建立隧道时,您可以配置将分配给客户端系统上虚拟网络适配器
的 DNS 设置。
表 212. GlobalProtect 网关客户端网络服务配置设置
字段
说明
继承源
选择一个来源,从这个来源将所选 DHCP 客户端或 PPPoE 客户端界面中的
DNS 服务器和其他设置传播到 GlobalProtect 代理的配置。进行此设置后,
从在继承源中选择的界面配置继承 DNS 服务器和 WINS 服务器等所有客户
端网络配置。
检查继承源状态
单击此链接以查看当前分配给客户端界面的服务器设置。
主 DNS
输入向客户端提供 DNS 的主辅服务器的 IP 地址。
辅助 DNS
主 WINS
辅助 WINS
输入向客户端提供 Windows Internet 命名服务 (WINS) 的主辅服务器的 IP
地址。
DNS 后缀
单击添加可输入一个后缀,当输入的非限定主机名无法解析时,客户端应
在本地使用该后缀。可以输入多个后缀(以逗号分隔)。
继承 DNS 后缀
选中此复选框以继承来自继承源的 DNS 后缀。
HIP 通知子选项卡
使用此子选项卡可定义在实施具有主机信息配置文件 (HIP) 的安全规则时,最终用户将看到的
通知消息。
仅当已创建了主机信息配置文件并且将其添加到了安全策略时,此步骤才适用。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 347
设置 GlobalProtect 网关
表 213. GlobalProtect 网关客户端 HIP 通知配置设置
字段
说明
HIP 通知
单击添加以指定通知选项。选择启用可启用匹配消息和 / 或不匹配消息。
从显示通知为部分中选择通知选项,然后选择系统托盘气球或弹出消息单
选按钮,然后指定要匹配或不匹配的消息。例如,使用这些设置可以将机
器的状态通知最终用户,以提供一条用于说明主机系统未安装某个必需应
用的警告消息。对于匹配消息,还可以启用在消息中包含匹配的应用程序
列表选项以表明触发 HIP 匹配的应用程序。
注:可按 Rich HTML 格式化 HIP 通知消息,即其中可包括指向外部网站
和资源的链接。使用富文本设置工具栏中的链接图标
添加链接。
卫星配置选项卡
卫星设备是 Palo Alto Networks 防火墙,通常是在分支办公室,充当 GlobalProtect 代理以使
其能够建立与 GlobalProtect 网关的 VPN 连接。使用卫星配置选项卡可定义网关隧道和网络设
置以使卫星设备能够与其建立 VPN 连接。还可以使用此选项卡来控制卫星所通告的路径。
此选项卡包含三个子选项卡,如下表中所述:
• 隧道设置子选项卡
• 网络设置子选项卡
• 路由过滤器子选项卡
表 214. GlobalProtect 网关卫星配置设置
字段
说明
隧道设置子选项卡
隧道配置
选中隧道配置复选框,并选择现有隧道接口,或单击新建隧道接口。有关
详细信息,请参阅“配置隧道接口”。
重播攻击检测 — 防御重播攻击。
复制 TOS — 将(服务类型)ToS 标头从封装的数据包的内部 IP 标头复制
到外部 IP 标头,以保留原始 ToS 信息。
配置刷新间隔(小时)— 指定卫星设备检查门户配置更新的频率(默认为
2 小时,范围是 1-48 小时)。
隧道监视
选中隧道监控复选框能使卫星设备监控网关隧道连接,以允许它们在连接
失败时故障转移至备份网关。
目标 IP — 为隧道监视器指定将用来确定是否存在网关连接的 IP 地址(例
如,受网关保护的网络上的 IP 地址)。或者,如果已配置隧道接口的 IP
地址,可以将此字段留空,并且隧道监视器将改用隧道接口确定连接是否
处于活动状态。
隧道监视器配置文件 — 故障转移至其他网关是使用 LSVPN 支持的隧道监
控配置文件的唯一类型。
348 • Web 界面参考指南,版本 7.0
Palo Alto Networks
设置 GlobalProtect 网关
表 214. GlobalProtect 网关卫星配置设置(续)
字段
说明
加密配置文件
选择 IPSec 加密配置文件,或创建新的配置文件。这将确定用于对 VPN
隧道进行标识、身份验证和加密的协议和算法。因为 LSVPN 中的两个隧
道终结点是组织内受信任的防火墙,因此通常可以使用默认配置文件,该
配置文件使用 ESP 协议、DH group2、AES 128 CVC 加密和 SHA-1 身份
验证。有关详细信息,请参阅“定义 IPSec 加密配置文件”。
网络设置子选项卡
继承源
选择一个来源,从这个来源将所选 DHCP 客户端或 PPPoE 客户端界面中
的 DNS 服务器和其他设置传播到 GlobalProtect 卫星配置。进行此设置
后,从在“继承源”中选择的界面配置继承 DNS 服务器等所有网络配置。
主 DNS
输入向卫星提供 DNS 的主辅服务器的 IP 地址。
辅助 DNS
DNS 后缀
单击添加可输入一个后缀,当输入的非限定主机名无法解析时,卫星应在
本地使用该后缀。可以输入多个后缀(以逗号分隔)。
继承 DNS 后缀
选中此复选框将 DNS 后缀发送给卫星设备,当输入的非限定主机名无法
解析时,卫星在本地使用该后缀。
IP 池
单击添加以指定 IP 池设置。
使用此部分可创建一个 IP 地址范围,只要有 VPN 隧道建立就会将其中的
IP 地址分配给卫星设备上的隧道接口。
注:若要支持所有的并发连接,IP 池必须足够大。IP 地址分配是动态,
卫星断开连接后不会保留地址分配。从不同子网配置多个范围,可允许系
统为卫星提供一个不与该设备上的其他接口冲突的 IP 地址。
网络中的服务器 / 路由器必须将此 IP 池的通信路由到防火墙。
例如,对于 192.168.0.0/16 网络,可以为卫星分配地址 192.168.0.10。
如果使用动态路由,请确保指定给卫星的 IP 地址池不会与手动分配给网
关和卫星上隧道接口的 IP 地址重叠。
访问路由
单击添加,然后按照以下说明输入路由:
• 如果要通过隧道路由卫星的所有流量,将该字段留空。
• 要仅通过网关路由一些流量(称为拆分隧道),请指定必须建立隧道的
目标子网。在这种情况下,卫星将使用自己的路由表路由不是发往指定
访问路由的流量。例如,可以选择仅将隧道流量发往公司网络,并使用
本地卫星安全启用 Internet 访问。
• 如果要在卫星之间启用路由,输入受每颗卫星保护的网络的汇总路由。
路由过滤器子选项卡
选中接受发布的路由复选框可接受由卫星在网关的路由表中所通告的路
由。如果不选择此选项,则网关将不会接受卫星所通告的任何路由。
如果希望更加严格地限制接受卫星所通告的路由,请在“允许的子网”部
分中单击添加以定义网关应接受其路由的子网;将过滤掉卫星所通告的不
属于该列表的子网。例如,如果所有卫星在 LAN 端都使用 192.168.x.0/24
子网配置,则可以在网关上配置允许的路由 192.168.0.0/16。这样会导致
仅当网关处于 192.168.0.0/16 子网中时,网关才会接受来自卫星的路径。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 349
设置对 Mobile Security Manager 的网关访问权
设置对 Mobile Security Manager 的网关访问权
网络 > GlobalProtect > MDM
如果在使用 Mobile Security Manager 管理最终用户移动设备并且在使用支持 HIP 的策略实
施,则必须配置网关以 Mobile Security Manager 通信,从而检索受管设备的 HIP 报告。使用
此页面可使网关能够访问 Mobile Security Manager。
要添加 Mobile Security Manager 的信息,请单击添加。下表提供了有关在 GlobalProtect 的
MDM 对话框中输入的内容的信息。有关设置 GlobalProtect Mobile Security Manager 服务的更
多详细信息,请参阅《GlobalProtect 管理员指南》中的“设置 GlobalProtect Mobile Device
Manager”。有关设置网关以在 GlobalProtect Mobile Security Manager 上检索 HIP 报告的详细
分步骤说明,请参阅“启用对 GlobalProtect Mobile Security Manager 的网关访问权”。
表 215. GlobalProtect MDM 设置
字段
说明
名称
输入 Mobile Security Manager 的名称(最多 31 个字符)。名称区分大小写,
且必须是唯一的。仅可使用字母、数字、空格、连字符和下划线。
位置
对于处于多虚拟系统模式下的防火墙,位置是指提供 Mobile Security
Manager 的虚拟系统 (vsys)。对于不是处于多虚拟系统模式下的防火墙,
位置字段不会出现在 MDM 对话框中。在保存 Mobile Security Manager
后,您无法更改其位置。
连接设置
服务器
输入网关在 Mobile Security Manager 上将连接到(以检索 HIP 报告)的
接口的 IP 地址或 FQDN。确保您具有此接口的服务路由。
连接端口
Mobile Security Manager 将侦听 HIP 报告请求的端口。默认端口是 5008,
这是 GlobalProtect Mobile Security Manager 侦听的端口。如果在使用第
三方 Mobile Security Manager,请输入该服务器侦听 HIP 报告请求时使
用的端口号。
客户端证书
选择在建立 HTTPS 连接时网关要呈现给 Mobile Security Manager 的客户
端证书。仅当 Mobile Security Manager 配置为使用相互身份验证时,此
选项才是必需的。
可信根 CA
单击添加,然后选择根 CA 证书,该证书用于为网关将连接(以检索 HIP 报
告)的接口颁发证书(该证书可能不同于 Mobile Security Manager 上为
设备检入接口颁发的服务器证书)。必须导入根 CA 证书并将其添加到此
列表中。
350 • Web 界面参考指南,版本 7.0
Palo Alto Networks
创建 HIP 对象
创建 HIP 对象
对象 > GlobalProtect > HIP 对象
使用此页面可定义主机信息配置文件 (HIP) 对象。HIP 对象提供了匹配条件以过滤出您有兴趣
使用的主机信息,从而通过代理 / 应用报告的原始数据实施策略。例如,尽管原始主机数据可
能包括有关客户端上安装的若干防病毒软件包的信息,但是您可能仅对贵组织中需要的某个特
定应用程序感兴趣。在这种情况下,您将创建 HIP 对象以匹配您有兴趣实施的特定应用程序。
确定您需要的 HIP 对象的最佳方式是确定您将如何使用所收集的主机信息来实施策略。请记
住,HIP 对象自身仅仅是构建块,使您可以创建在安全策略中使用的 HIP 配置文件。因此,您
可能希望保持对象简化,与一个对象匹配,例如,是否存在特定类型的必需软件、特定域中的
成员资格或者是否存在特定客户端操作系统。这样做,您将能够灵活创建颗粒度很高的 HIP 扩
充策略。
要创建 HIP 对象,请单击添加以打开“HIP 对象”对话框。有关要在特定字段中输入的内容的
说明,请参阅下表。
• ““常规”选项卡”
• “移动设备选项卡”
• “修补程序管理选项卡”
• “防火墙选项卡”
• “防病毒选项卡”
• “防间谍软件选项卡”
• “磁盘备份选项卡”
• “磁盘加密选项卡”
• “数据丢失保护选项卡”
• “自定义检查选项卡”
有关创建 HIP 扩充安全策略的更多详细信息,请参阅《GlobalProtect 管理员指南》中的“配
置基于 HIP 的策略实施”。
“常规”选项卡
使用常规选项卡可指定新 HIP 对象的名称,配置要与常规主机信息(如,域、操作系统或者其
网络连接类型)匹配的对象。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 351
创建 HIP 对象
表 216. HIP 对象常规设置
字段
说明
名称
输入 HIP 对象的名称(最多 31 个字符)。名称区分大小写,且必须是唯一
的。仅可使用字母、数字、空格、连字符和下划线。
共享
如果您希望为下列组件提供 HIP 对象,请选中此复选框:
• 防火墙上的所有虚拟系统 (vsys)(如果您登录到位于多虚拟系统模式下的
防火墙)。如果清除此复选框,则只为在虚拟系统下拉列表的对象选项
卡中选择的虚拟系统提供对象。对于不是处于多虚拟系统模式下的防火
墙,此复选框不会出现在“HIP 对象”对话框中。
• Panorama 上的所有设备组。如果清除此复选框,则只为在设备组下拉列
表的对象选项卡中选择的设备组提供对象。
在保存对象后,您无法更改其共享设置。对象 > GlobalProtect > HIP 对
象页面显示“位置”字段中的当前设置。
禁用替代
此复选框仅在 Panorama 中显示。它用于控制替代访问设备组中的 HIP 对
象,这些设备组是在对象选项卡中选择的设备组的后代。如果您希望通过
替代其继承值防止管理员创建后代设备组中的对象的本地副本,请选中此
复选框。默认情况下,此复选框已取消选中,这意味着已启用替代。
说明
输入可选说明。
主机信息
选中复选框以对主机信息字段启用过滤。
域
若要匹配域名,请从下拉列表中选择运算符,并输入要匹配的字符串。
操作系统
要匹配主机操作系统,请从第一个下拉列表中选择包含,从第二个下拉列
表中选择供应商,然后从第三个下拉列表中选择特定操作系统版本,或者
选择全部以匹配所选供应商的任何操作系统版本。
客户端版本
要匹配某个特定版本号,请从下拉列表中选择一个运算符,然后在文本框
中输入要匹配(或者不匹配)的字符串。
主机名
要匹配特定主机名或主机名的一部分,请从下拉列表中选择一个运算符,
然后在文本框中输入要匹配(或者不匹配,取决于您选择的运算符)的字
符串。
网络
使用此字段可启用对特定移动设备网络配置的过滤。该匹配条件仅适用于
移动设备。
从下拉列表中选择一个运算符,然后选择从第二个下拉列表中选择要过滤
的网络连接类型:Wifi、移动或 Ethernet(仅可用于非过滤器)或未知。
选择网络类型后,输入要匹配的任何其他字符串(如果可用),如移动设
备运营商或 Wifi SSID。
352 • Web 界面参考指南,版本 7.0
Palo Alto Networks
创建 HIP 对象
移动设备选项卡
使用移动设备选项卡可针对从移动设备(运行 GlobalProtect 应用)收集的数据启用 HIP 匹配。
表 217. HIP 对象移动设备设置
字段
说明
移动设备
选中此复选框可针对从运行 GlobalProtect 应用的移动设备中收集的主机
数据启用过滤。选中此复选框将使设备、设置和应用子选项卡可供编辑。
设备子选项卡
• 序列号 — 要匹配完整的设备序列号或其中一部分,请从下拉列表中选择
一个运算符,然后输入要匹配的字符串。
• 型号 — 要匹配特定设备型号,请从下拉列表中选择运算符,并输入要匹
配的字符串。
• 标记 — 要匹配 GlobalProtect Mobile Security Manager 上定义的标记
值,请从第一个下拉列表中选择运算符,然后从第二个下拉列表中选择
一个标记。
• 电话号码 — 要匹配完整的电话号码或其中一部分,请从下拉列表中选择
一个运算符,然后输入要匹配的字符串。
• IMEI — 要匹配设备的完整国际移动设备标识 (IMEI) 码或其中一部分,
请从下拉列表中选择一个运算符,然后输入要匹配的字符串。
设置子选项卡
• 通行码 — 根据设备是否设置了通行码来进行过滤。要匹配设置了通行码
的设备,请选择是。要匹配未设置通行码的设备,请选择否。
• 受管设备 — 根据设备是否由 MDM 进行管理来过滤。要匹配受管的设备,
请选择是。要匹配不受管的设备,请选择否。
• 破解 / 越狱 — 根据设备已破解或者已越狱来进行过滤。要匹配已破解 / 越
狱的设备,请选择是。要匹配未破解 / 越狱的设备,请选择否。
• 磁盘加密 — 根据设备数据是否已加密来进行过滤。要匹配启用了磁盘加密
的设备,请选择是。要匹配未启用磁盘加密的设备,请选择否。
• 自上一次签入之后的时间 — 根据设备上次在 MDM 中签入之后的时间进
行过滤。从下拉列表中选择运算符,然后指定签入窗口的天数。例如,
您可以将对象定义为匹配在 5 天内未签入的设备。
应用子选项卡
• 应用 —(仅限 Android 设备)选中此复选框可根据设备上安装的应用以
及设备是否安装了受恶意软件感染的应用来启用过滤。
• 条件子选项卡
– 有恶意软件 — 要匹配安装了受恶意软件感染的应用的设备,请选择是;
要匹配未安装受恶意软件感染的应用的设备,请选择否。如果不希望
使用有恶意软件作为匹配条件,请选择无。
• 包括子选项卡
– 数据包 — 要匹配安装了特定应用的设备,请单击添加,然后在数据包
字段中输入唯一的应用名称(以逆向 DNS 格式;例如,
com.netflix.mediaclient),然后输入对应的应用哈希,GlobalProtect
应用会计算该哈希并将其与设备 HIP 报告一起提交。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 353
创建 HIP 对象
修补程序管理选项卡
使用修补程序管理选项卡可对 GlobalProtect 客户端的修补程序管理状态启用 HIP 匹配。
表 218. HIP 对象修补程序管理设置
字段
说明
修补程序管理
选中此复选框可启用对主机的修补程序管理状态的匹配。选中此复选框将
使条件和供应商子选项卡可供编辑。
条件子选项卡
在此子选项卡上指定以下设置:
• 已启用 — 匹配主机上是否启用了修补程序管理软件。如果清除了已安装
复选框,那么此字段会自动设置为无并且被禁止编辑。
• 已安装 — 匹配主机上是否安装了修补程序管理软件。
• 严重性 — 匹配主机是否缺少了指定严重性级别的修补程序。
• 检查 — 匹配主机是否缺少修补程序。
• 修补程序 — 匹配主机是否具有特定修补程序。单击添加,然后输入要检
查的特定修补程序名称的文件名。
供应商子选项卡
使用此子选项卡可定义要在主机上查找的特定修补程序管理软件供应商和 /
或产品以确定匹配项。单击添加,然后从下拉列表中选择供应商。(可
选)单击添加以选择特定产品。单击确定以保存设置。
防火墙选项卡
使用防火墙选项卡可根据 GlobalProtect 客户端的防火墙软件状态启用 HIP 匹配。
表 219. HIP 对象防火墙设置
字段
防火墙
说明
选中防火墙复选框可启用对主机的防火墙软件状态的匹配:
• 已启用 — 匹配主机上是否启用了防火墙软件。如果清除了已安装复选框,
那么此字段会自动设置为无并且被禁止编辑。
• 供应商和产品 — 匹配主机上是否安装了防火墙软件。
• 供应商和产品 — 定义要在主机上查找的特定防火墙软件和 / 或产品以确
定匹配项。单击添加,然后从下拉列表中选择供应商。(可选)单击添
加以选择特定产品。单击确定以保存设置。
• 排除供应商 — 选中此复选框可匹配不具有指定供应商的软件的主机。
354 • Web 界面参考指南,版本 7.0
Palo Alto Networks
创建 HIP 对象
防病毒选项卡
使用防病毒软件选项卡可根据 GlobalProtect 客户端的防病毒覆盖范围来启用 HIP 匹配。
表 220. HIP 对象防病毒设置
字段
说明
防病毒软件
选中此复选框可启用对主机的防病毒覆盖范围的匹配:
• 实时保护 — 匹配主机上是否启用了实时防病毒保护。如果清除了已安装
复选框,那么此字段会自动设置为无并且被禁止编辑。
• 供应商和产品 — 匹配主机上是否安装了防病毒软件。
• 病毒定义版本 — 指定匹配病毒定义是否在指定天数内或发布版本内进行
了更新。
• 产品版本 — 使用此选项可匹配特定版本的防病毒软件。若要指定要查找
的版本,请从下拉列表中选择一个运算符,然后输入表示产品版本的字
符串。
• 最后扫描时间 — 指定是否根据防病毒扫描的最后运行时间来进行匹配。
从下拉列表中选择运算符,然后指定要匹配的天或小时数量。
• 供应商和产品 — 定义要在主机上查找的特定防病毒软件和 / 或产品以确
定匹配项。单击添加,然后从下拉列表中选择供应商。(可选)单击添
加以选择特定产品。单击确定以保存设置。
• 排除供应商 — 选中此复选框可匹配不具有指定供应商的软件的主机。
防间谍软件选项卡
使用“防间谍软件”选项卡可根据 GlobalProtect 客户端的防间谍软件覆盖范围来启用 HIP 匹配。
表 221. HIP 对象防间谍软件设置
字段
说明
防间谍软件
选中此复选框可启用对主机上的防间谍软件覆盖范围的匹配,然后定义匹
配项的其他匹配条件,如下所示:
• 实时保护 — 匹配主机上是否启用了实时防间谍软件保护。如果清除了已
安装复选框,那么此字段会自动设置为无并且被禁止编辑。
• 供应商和产品 — 匹配主机上是否安装了防间谍软件。
• 病毒定义版本 — 指定匹配病毒定义是否在指定天数内或发布版本内进行
了更新。
• 产品版本 — 使用此选项可匹配特定版本的防间谍软件。若要指定要查找
的版本,请从下拉列表中选择一个运算符,然后输入表示产品版本的字
符串。
• 最后扫描时间 — 指定是否根据防间谍软件扫描的最后运行时间来进行匹
配。从下拉列表中选择运算符,然后指定要匹配的天或小时数量。
• 供应商和产品 — 定义要在主机上查找的特定防间谍软件供应商和 / 或产
品,以确定匹配项。单击添加,然后从下拉列表中选择供应商。(可
选)单击添加以选择特定产品。单击确定以保存设置。
• 排除供应商 — 选中此复选框可匹配不具有指定供应商的软件的主机。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 355
创建 HIP 对象
磁盘备份选项卡
使用磁盘备份选项卡可根据 GlobalProtect 客户端的磁盘备份状态启用 HIP 匹配。
表 222. HIP 对象磁盘备份设置
字段
说明
磁盘备份
选中此复选框可启用对主机上的磁盘备份状态的匹配,然后定义匹配项的
其他匹配条件,如下所示:
• 已安装 — 匹配主机上是否安装了磁盘备份软件。
• 最后备份时间 — 指定是否根据磁盘备份的最后运行时间来进行匹配。从
下拉列表中选择运算符,然后指定要匹配的天或小时数量。
• 供应商和产品 — 定义要在主机上查找的特定磁盘备份软件供应商和 / 或
产品,以确定匹配项。单击添加,然后从下拉列表中选择供应商。(可
选)单击添加以选择特定产品。单击确定以保存设置。
• 排除供应商 — 选中此复选框可匹配不具有指定供应商的软件的主机。
磁盘加密选项卡
使用磁盘加密选项卡可根据 GlobalProtect 客户端的磁盘加密状态启用 HIP 匹配。
表 223. HIP 对象磁盘加密设置
字段
说明
磁盘加密
选中此复选框可启用对主机上磁盘加密状态的匹配:
标准
在此子选项卡上指定以下设置:
• 已安装 — 匹配主机上是否安装了磁盘加密软件。
• 加密位置 — 单击添加可指定在确定匹配项时检查磁盘加密的驱动器或
路径:
– 加密位置 — 输入用于在主机上检查加密的特定位置。
– 状态 — 指定如何匹配加密位置的状态,方法是从下拉列表中选择运算
符,然后选择可能的状态(完全、无、部分或不可用)。
单击确定以保存设置。
供应商
356 • Web 界面参考指南,版本 7.0
使用此子选项卡可定义要在主机上查找的特定磁盘加密软件供应商和 / 或产
品以确定匹配项。单击添加,然后从下拉列表中选择供应商。(可选)单击
添加以选择特定产品。单击确定保存设置,并返回到磁盘加密选项卡。
Palo Alto Networks
创建 HIP 对象
数据丢失保护选项卡
使用数据丢失保护选项卡可根据 GlobalProtect 客户端是否在运行数据丢失保护软件来启用
HIP 匹配。
表 224. HIP 对象数据丢失保护设置
字段
说明
数据丢失保护
选中此复选框可启用对主机上数据丢失防护 (DLP) 状态的匹配(仅限
Windows 主机),然后定义匹配项的其他匹配条件,如下所示:
• 已启用 — 匹配主机上是否启用了 DLP 软件。如果清除了已安装复选框,
那么此字段会自动设置为无并且被禁止编辑。
• 供应商和产品 — 匹配主机上是否安装了 DLP 软件。
• 供应商和产品 — 定义要在主机上查找的特定 DLP 软件供应商和 / 或产
品,以确定匹配项。单击添加,然后从下拉列表中选择供应商。(可
选)单击添加以选择特定产品。单击确定以保存设置。
• 排除供应商 — 选中此复选框可匹配不具有指定供应商的软件的主机。
自定义检查选项卡
使用自定义检查选项卡可针对您已在 GlobalProtect 门户上定义的任何自定义检查启用 HIP 匹
配。有关向 HIP 集合中添加自定义检查的详细信息,请参阅“设置 GlobalProtect 门户”。
表 225. HIP 对象自定义检查设置
字段
说明
自定义检查
选中此复选框可针对您已在 GlobalProtect 门户上定义的任何自定义检查
启用匹配。
进程列表
要检查某个特定进程的主机系统,请单击添加,然后输入进程名称。默认
情况下,代理将检查正在运行的进程;如果只想检查系统上是否存在某个
特定进程,请清除正在运行复选框。
注册表项
要在 Windows 主机中检查某个特定注册表项,请单击添加,然后输入要
匹配的注册表项。要仅匹配没有指定注册表项的主机,请选中密钥不存在
或与指定的值数据不匹配复选框。
要匹配特定值,请单击添加,然后输入注册表值和值数据。要匹配明确没
有指定值或值数据的主机,请选中求反复选框。
单击确定以保存设置。
Plist
要在 Mac 主机中检查特定属性列表 (plist),请单击添加,然后输入 Plist 名
称。要仅匹配没有指定 Plist 的主机,请选中 Plist 不存在复选框。
要匹配 Plist 中的特定键值对,请单击添加,然后输入要匹配的键和对应的
值。要匹配明确没有指定键和 / 或值的主机,请选中求反复选框。
单击确定以保存设置。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 357
设置 HIP 配置文件
设置 HIP 配置文件
对象 > GlobalProtect > HIP 配置文件
使用此页面可创建 HIP 配置文件,您将使用这些配置文件来设置支持 HIP 的安全策略。将一
起求值的 HIP 对象的集合用于监控,或者用于安全策略实施。创建 HIP 配置文件时,可以使
用布尔逻辑来合并先前创建的 HIP 对象(以及其他 HIP 配置文件),例如,当按照生成的
HIP 配置文件对通信流进行评估时,可能匹配,也可能不匹配。如果存在匹配项,那么将实施
对应的策略规则;如果没有匹配项,将按照下一个规则来对流进行评估(与任何其他策略匹配
条件一样)。
要创建 HIP 配置文件,请单击添加。下表提供了有关在“HIP 配置文件”对话框上的字段中输
入的内容的信息。有关设置 GlobalProtect 以及创建 HIP 扩充安全策略的工作流程的更多详细
信息,请参阅《GlobalProtect 管理员指南》中的“配置基于 HIP 的策略实施”。
表 226. HIP 配置文件设置
字段
说明
名称
输入配置文件的名称(最多 31 个字符)。名称区分大小写,且必须是唯一
的。仅可使用字母、数字、空格、连字符和下划线。
说明
输入可选说明。
共享
如果您希望为下列组件提供 HIP 配置文件,请选中此复选框:
• 防火墙上的所有虚拟系统 (vsys)(如果您登录到位于多虚拟系统模式下的
防火墙)。如果清除此复选框,则只为在虚拟系统下拉列表的对象选项
卡中选择的虚拟系统提供配置文件。对于不是处于多虚拟系统模式下的
防火墙,此复选框不会出现在“HIP 配置文件”对话框中。
• Panorama 上的所有设备组。如果清除此复选框,则只为在设备组下拉列
表的对象选项卡中选择的设备组提供配置文件。
在保存配置文件后,您无法更改其共享设置。对象 > GlobalProtect > HIP
配置文件页面显示“位置”字段中的当前设置。
358 • Web 界面参考指南,版本 7.0
Palo Alto Networks
设置和激活 GlobalProtect 代理
表 226. HIP 配置文件设置(续)
字段
说明
禁用替代
此复选框仅在 Panorama 中显示。它用于控制替代访问设备组中的 HIP 配置
文件,这些设备组是在对象选项卡中选择的设备组的后代。如果想要阻止管
理员通过替代继承的值在子对象设备组中创建配置文件的本地副本,则选中
此复选框。默认情况下,此复选框已取消选中,这意味着已启用替代。
匹配
单击添加匹配条件可打开 HIP 对象 / 配置文件生成器。
选择要用作匹配条件的第一个 HIP 对象或配置文件,然后单击添加
以
将其移动到“HIP 配置文件”对话框上的匹配文本框。请记住,如果您希
望仅当对象中的条件对于流不成立时,HIP 配置文件才作为匹配项评估对
象,请在添加对象之前选中非复选框。
(如果适用)继续为您在生成的配置文件添加匹配条件,确保在每个加法之
间选中相应的布尔运算符单选按钮(与或或)(如果适用,请再次使用非复
选框)。
如果在创建复杂的布尔表达式,必须手动在匹配文本框中的适当位置中添
加圆括号,以确保使用需要的逻辑来对 HIP 配置文件进行求值。例如,以
下表达式表示 HIP 配置文件将匹配以下通信:来自具有 FileVault 磁盘加
密(对于 Mac OS 系统)或 TrueCrypt 磁盘加密(对于 Windows 系统)
的主机,属于必需的域,并且安装了 Symantec 防病毒客户端:
((“MacOS” and “FileVault”) or (“Windows” and
“TrueCrypt”)) and “Domain” and “SymantecAV”
完成向新的 HIP 配置文件中添加对象 / 配置文件后,单击确定。
设置和激活 GlobalProtect 代理
设备 > GlobalProtect 客户端
使用此页面可将 GlobalProtect 代理软件下载到托管门户的防火墙并将其激活,以便连接到门
户的客户端能够下载此代理软件。可定义进行软件下载的方式和时间:代理连接时自动进行升
级,提示最终用户进行升级或者仅允许特定用户组(位于您在门户上定义的客户端配置中)进
行升级。有关更多详细信息,请参阅介绍门户的章节(“客户端配置选项卡”)中对代理升级
字段的描述。有关分发 GlobalProtect 代理软件的各种选项的详细信息以及有关部署软件的逐
步说明,请参阅《GlobalProtect 管理员指南》中的“部署 GlobalProtect 客户端软件”。
对于 GlobalProtect 代理的初始下载和安装,客户端系统上的用户必须用管
理员权限登录。对于随后的升级,则可以不用管理员权限。
下表提供了有关使用此屏幕的帮助。有关部署代理软件的更多详细信息,请参阅
《GlobalProtect 管理员指南》。
表 227. GlobalProtect 客户端设置
字段
说明
版本
Palo Alto Networks 更新服务器上提供的 GlobalProtect 代理软件的版本
号。要检查 Palo Alto Networks 是否提供了某个新的代理软件版本,请单
击立即检查。防火墙将使用其服务转到更新服务器以检查新版本,如果有
版本可用,会将其显示在列表顶部。
大小
代理软件包的大小。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 359
设置 GlobalProtect 代理
表 227. GlobalProtect 客户端设置(续)
字段
说明
版本日期
Palo Alto Networks 发布新版本的日期和时间。
已下载
此列中的选中标记表示对应版本的代理软件包已经下载到防火墙。
当前已激活
此列中的选中标记表示对应版本的代理软件包已在防火墙上激活,并且可
以通过连接代理来下载。一次只能激活软件的一个版本。
操作
表示您可以为对应的代理软件包采取的当前操作,如下所示:
• 下载 — Palo Alto Networks 更新服务器上提供的对应的代理软件版本。
单击此链接可启动下载。如果防火墙无法访问 Internet,请使用连接了
Internet 的计算机转至软件更新站点以查找新的代理软件版本,并将其
下载到您的本地计算机。然后单击 GlobalProtect 客户端屏幕上下载按钮
以手动将代理软件上载到防火墙。
• 激活 — 对应的代理软件版本已下载到防火墙,但代理尚未将其下载。单
击此链接可激活软件并启用代理升级。要使用上载按钮激活手动上载到
防火墙的软件更新,必须单击从文件激活按钮,然后从下拉列表中选择
要激活的版本(可能需要刷新屏幕,以使其显示为当前已激活)。
• 重新激活 — 对应的代理软件已激活并且可供客户端下载。由于一次只能
激活 GlobalProtect 代理软件的一个版本,如果最终用户需要访问当前激
活的版本之外的版本,那么您将必须激活其他版本以使其他版本变为当
前活动版本。
提供一个链接,指向对应的代理版本的 GlobalProtect 发行说明。
发行说明
从防火墙中删除先前下载的代理软件映像。
设置 GlobalProtect 代理
GlobalProtect 代理(PanGP 代理)是一个应用程序,它安装在客户端系统(通常是便携式计
算机)上,用于支持 GlobalProtect 与门户和网关的连接,并受 GlobalProtect 服务(PanGP 服
务)支持。
确保为主机操作系统(32 位或 64 位)选择正确的安装选项。如果安装在 64 位
主机上,请使用 64 位浏览器 / Java 组合进行初始安装。
若要安装代理,请打开安装程序文件,并按照屏幕上的说明操作。
配置代理:
1.
选择开始 > 所有程序 > Palo Alto Networks > GlobalProtect > GlobalProtect。
客户端接口将打开并显示设置选项卡。
2.
指定用于 GlobalProtect 身份验证的用户名和密码,并选中(可选)请保存我的信息复选框。
3.
输入充当 GlobalProtect 门户的防火墙的 IP 地址。
4.
单击应用。
360 • Web 界面参考指南,版本 7.0
Palo Alto Networks
设置 GlobalProtect 代理
使用 GlobalProtect 代理
GlobalProtect 代理中的选项卡包含有关状态和设置的有用信息,并为帮助解决连接问题提供相
关信息。
• “状态”选项卡 — 显示当前连接状态,并列出任何警告或错误。
• “详细信息”选项卡 — 显示有关当前连接的信息,包括门户 IP 地址和协议,并呈现有关
网络连接的字节和数据包统计信息。
• “主机状态”选项卡 — 显示 HIP 中存储的信息。通过在窗口左侧单击类别,可以在窗口
右侧显示该类别的配置信息。
• 故障排除选项卡 — 显示用于帮助排除故障的信息。
– 网络配置 — 显示当前客户端系统配置。
– 路由表 — 显示有关当前如何路由 GlobalProtect 连接的信息。
– 套接字 — 显示当前活动连接的套接字信息。
– 日志 — 允许显示 GlobalProtect 代理(PanGP 代理)和服务(PanGP 服务)的日志。
选择日志类型和调试级别。单击开始开始记录,单击停止终止记录。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 361
设置 GlobalProtect 代理
362 • Web 界面参考指南,版本 7.0
Palo Alto Networks
章节 10
配置服务质量
本节介绍如何在防火墙上配置服务质量 (QoS)。有关配置支持完整 QoS 实施的组件的详细信
息,请参阅下表中的各个主题。设置好 QoS 后,您还可以监控接收 QoS 处理的通信。
您在查找什么内容?
请参阅
定义接收 QoS 处理的通信并为其
分配 QoS 服务类。
“定义 QoS 策略”
定义 QoS 服务类、设置带宽限制
以及各个类的优先级。
“定义 QoS 配置文件”
在接口上启用 QoS。
“启用防火墙接口的 QoS”
监控接收 QoS 处理的通信。
“监控 QoS 接口”
了解更多?
请参阅服务质量。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 363
定义 QoS 配置文件
定义 QoS 配置文件
网络 > 网络配置文件 > QoS 配置文件
对于每个接口,可以定义确定 QoS 通信类处理方式的 QoS 配置文件。您可以不考虑类而设置
总体带宽限制,同时还可为各个类设置限制。另外,还可以为不同的类指定优先级。优先级确
定出现冲突时对通信的处理方式。
单击添加并完成描述的字段,可定义 QoS 配置文件。
有关配置防火墙接口 QoS 的信息,请参阅“启用防火墙接口的 QoS” ;有
关配置激活 QoS 限制的策略的信息,请参阅“QoS 统计信息” 。
表 228. QoS 配置文件设置
字段
说明
配置文件名称
输入名称以标识配置文件(最多 31 个字符)。名称区分大小写,且必须是
唯一的。仅可使用字母、数字、空格、连字符和下划线。
最大 Egress
输入此配置文件的最大允许带宽 (Mbps)。
QoS 配置文件的最大出口速率值必须小于或等于为在其中启用 QoS 的物理
接口所定义的最大出口速率值。请参阅“启用防火墙接口的 QoS” 。
注:尽管这不是一个必填字段,但建议始终定义 QoS 配置文件的最大出口
速率值。
具 Egress 保证
输入此配置文件的保证带宽 (Mbps)。
类
单击添加可指定处理各个 QoS 类的方式。可以选择要配置的一个或多个类:
• 类 — 即使不配置类,仍可在 QoS 策略中包括类。在这种情况下,通信受
限于总体 QoS 限制。将与 QoS 策略不匹配的通信分配给类 4。
• 优先级 — 单击并选择优先级以分配给某类。
– 实时
– 高
– 中
– 低
• 最大出口 — 单击并输入此类的带宽限制 (Mbps)。
QoS 类的最大出口速率值必须小于或等于为 QoS 配置文件所定义的最大
出口速率值。
注:尽管这不是一个必填字段,但建议始终定义 QoS 配置文件的最大出口
速率值。
具 Egress 保证 — 单击并输入此类的保证带宽 (Mbps)。发生冲突时,会丢
弃分配到较低优先级的通信。实时优先级使用自己的单独队列。
364 • Web 界面参考指南,版本 7.0
Palo Alto Networks
定义 QoS 策略
定义 QoS 策略
策略 > QoS
QoS 策略确定通信通过启用了 QoS 的接口时将被如何处理分类。每个规则可以指定八个类中的
一个类。您还可以分配调度,以指定哪个规则是活动的。未分类通信将自动分配到类 4。
有关定义 Panorama 策略的详细信息,请参阅“在 Panorama 上定义策略”。
单击添加,打开 QoS 策略规则对话框。根据表 229 中的描述,QoS 策略规则对话框包含六个子
选项卡:
• ““常规”选项卡”
• ““源”选项卡”
• ““目标”选项卡”
• ““应用程序”选项卡”
• ““服务 / URL 类别”选项卡”
• “DSCP/TOS 选项卡”
• “其他设置选项卡”
有关配置防火墙接口 QoS 的信息,请参阅“启用防火墙接口的 QoS”;有
关配置服务类的信息,请参阅“QoS 统计信息”。
通过 QoS 策略页执行多项操作,具体包括:
• 如果仅查看特定虚拟系统的规则,请从虚拟系统下拉列表中选择系统,并单击执行。
• 要对列表应用过滤器,请从过滤器规则下拉列表进行选择。
• 要仅查看特定区域的规则,请从源区域和 / 或目标区域下拉列表中选择区域,然后单击按区
域过滤。
从 Panorama 推入的共享策略以绿色显示,无法在设备级别上进行编辑。
• 要添加新 QoS 规则,请执行以下操作之一:
– 单击页面底部的添加,并配置规则。新规则随即添加到列表的底部。
– 选择克隆规则,或单击规则的空白处以选择规则,并选择页面底部的克隆(选定规则具
有黄色背景)。复制的规则随即插入到选定规则的下方。
表 229. QoS 规则设置
字段
说明
“常规”选项卡
名称
Palo Alto Networks
输入名称以标识规则(最多 31 个字符)。名称区分大小写,且必须是唯一
的。仅可使用字母、数字、空格、连字符和下划线。
Web 界面参考指南,版本 7.0 • 365
定义 QoS 策略
表 229. QoS 规则设置 (续)
字段
说明
说明
输入可选说明。
标记
如果需要标记策略,请单击添加以指定标记。
策略标记是允许您对策略进行排序或过滤的关键字或短语。如果您定义了
许多策略,并且希望查看用特定关键字标记的策略,那么它会非常有用。
例如,您可能希望使用“入站到 DMZ”来标记某些安全策略,使用关键
字“解密”和“不解密”标记解密策略,或者将特定数据中心的名称用于
和该位置关联的策略。
“源”选项卡
源区域
选择一个或多个源区域(默认为 any)。区域类型必须相同(第 2 层、第 3 层
或虚拟线路)。
源地址
指定可替代已标识应用程序的 IPv4 或 IPv6 源地址的组合。要选择特定地
址,请从下拉列表中选择选择,然后执行以下任意操作:
• 在可用列中,选中相应地址
和 / 或地址组
击添加,将选择项添加到选定列。
旁的复选框,然后单
• 在搜索字段中输入名称的前几个字符,列出所有以这些字符开头的地址
和地址组。通过选中列表中的某项可对可用列中的复选框进行设置。可
根据需要不断重复此过程,然后单击添加。
• 输入一个或多个 IP 地址(每行一个),带或不带网络掩码均可。一般格
式如下:
<ip_address>/<mask>
• 要删除地址,请在选定列中选中相应的复选框,然后单击删除,或者选
择任何,清除所有地址和地址组。
要添加可用于此策略或其他策略的新地址,请单击新建地址。要定义新地
址组,请参阅“定义地址组” 。
源用户
指定将应用 QoS 策略的源用户和组。
求反
选中该复选框将在此选项卡上的指定信息不匹配时应用策略。
“目标”选项卡
目标区域
选择一个或多个源区域(默认为 any)。区域类型必须相同(第 2 层、第 3 层
或虚拟线路)。
目标地址
指定可替代已标识应用程序的 IPv4 或 IPv6 源地址的组合。要选择特定地
址,请从下拉列表中选择选择,然后执行以下任意操作:
• 在可用列中,选中相应地址
和 / 或地址组
添加,将选择项添加到选定列。
旁的复选框,然后单击
• 在搜索字段中输入名称的前几个字符,列出所有以这些字符开头的地址
和地址组。通过选中列表中的某项可对可用列中的复选框进行设置。可
根据需要不断重复此过程,然后单击添加。
• 输入一个或多个 IP 地址(每行一个),带或不带网络掩码均可。一般格式
如下:
<ip_address>/<mask>
• 要删除地址,请在选定列中选中相应的复选框,然后单击删除,或者选
择任何,清除所有地址和地址组。
要添加可用于此策略或其他策略的新地址,请单击新建地址(参阅“定义
应用程序” )。要定义新地址组,请参阅“定义地址组” 。
366 • Web 界面参考指南,版本 7.0
Palo Alto Networks
定义 QoS 策略
表 229. QoS 规则设置 (续)
字段
说明
求反
选中该复选框将在此选项卡上的指定信息不匹配时应用策略。
“应用程序”选项卡
应用程序
选择 QoS 规则的特定应用程序。要定义新应用程序,请参阅“定义应用程
序” 。要定义应用程序组,请参阅“定义应用程序组” 。
如果应用程序具有多项功能,则可以选择整个应用程序或个别功能。如果
选择整个应用程序,则所有功能均将包含,而且在将来添加功能时会自动
更新应用程序定义。
如果您正在 QoS 规则中使用应用程序组、过滤器或容器,则可以通过将鼠
标悬停在应用程序列中的对象上方,查看有关这些对象的详细信息,单击
向下箭头并选择值。此操作使您可以直接从策略轻松查看应用程序成员,
无需转到“对象”选项卡。
“服务 /
URL 类别”选项卡
服务
选择要限制到特定 TCP 和 / 或 UDP 端口号的服务。从下拉列表中选择下
列选项之一:
• 任何 — 所选应用程序在任何协议或端口上均得到许可或遭到拒绝。
• 应用程序默认 — 仅在 Palo Alto Networks 定义的默认端口上允许或拒绝
所选应用程序。建议对允许策略使用此选项。
• 选择 — 单击添加。选择现有服务或选择服务或服务组以指定新条目。请
参阅“服务” 和“服务组” 。
URL 类别
选择 QoS 规则的 URL 类别。
• 选择任何将确保无论 URL 类别是什么,会话均可与此 QoS 规则匹配。
• 要指定类别,请单击添加,然后从下拉列表中选择特定类别(包括自定
义类别)。您可以添加多个类别。有关定义自定义类别的信息,请参阅
“动态阻止列表” 。
DSCP/TOS 选项卡
将 qos 规则与带有任何 dscp 标记 / 分类的通信匹配,或选择特定代码点以
匹配通信。
任何
选择选项任何(默认设置)以允许策略匹配通信,无论为通信定义的区分化
服务代码点 (DSCP) 值或 IP 优先级 / 服务类型 (ToS) 为何。
代码点
选择代码点以使通信能按定义数据包 IP 标头的 DSCP 或 ToS 值来接收
QoS 处理。DSCP 和 ToS 值用于指明为通信请求的服务级别,如高优先级
或尽力交付。使用代码点作为 QoS 策略的匹配标准能让会话根据会话开始
时检测到的代码点来接收 QoS 处理。
继续添加代码点可将通信与 QoS 策略匹配:
• 为代码点条目分配描述性名称。
• 选择想要用作 QoS 策略匹配标准的代码点类型,然后选择具体的代码点
值。您还可以通过输入代码点名称和二进制值来创建自定义代码点。
其他设置选项卡
类
选择要分配到规则的 QoS 类,并单击确定。类特征在 QoS 配置文件中定
义。有关配置 QoS 类设置的信息,请参阅“QoS 统计信息”。
计划
选择日历图标可为要应用的 QoS 策略设置调度。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 367
启用防火墙接口的 QoS
启用防火墙接口的 QoS
网络 > QoS
使用 QoS 页面设置接口的带宽限制,并启用接口以实施 egress 通信服务质量 (QoS)。启用
QoS 接口时要将 QoS 配置文件附加到该接口。
您在查找什么内容?
请参阅
告 诉 我 有 关 Palo Alto Networks
下一代防火墙上的 QoS 的信息。
“QoS 概述”
怎样才能启用接口上的 QoS?
定义通信以根据通信源、目标、应用程序和 / 或 DSCP 值来接收
QoS 服务类:
“定义 QoS 策略”
定义 QoS 服务类,包括为各个服务类设置最大值和 / 或保证带宽
及优先级(实时、高、中或低):
“定义 QoS 配置文件”
可用于在接口上启用 QoS 的字段
有哪些?
“在接口上启用 QoS”
设置好 QoS 接口后,怎样才能继
续监控接收 QoS 处理的通信?
“监控 QoS 接口”
了解更多?
请参阅服务质量。
QoS 概述
服务质量 (QoS) 可保证网络通信中特定流的带宽和优先级。在 Palo Alto Networks 下一代防火
墙上实施 QoS 需要三个组件:
• QoS 策略规则 — 定义 QoS 策略规则,以便根据通信源、目标、应用程序和 / 或区分化服务
代码点 (DSCP) 来匹配通信。与 QoS 策略规则匹配的通信会被分配要接收的 QoS 服务类
(策略 > QoS)。
• QoS 配置文件 — 创建 QoS 配置文件,以便为各个 QoS 服务类定义带宽和优先级(网络 > 网
络配置文件 > QoS 配置文件)。您可以为各个服务类定义保证或最大带宽,还可以定义类
以接收实时、高、中或低优先级。
• QoS 接口 — 在接口上启用 QoS,以使通信能在针对该接口执行 egress 操作时进行共享并确
定优先级(网络 > QoS)。您还可以在接口上启用 QoS,以便限制或保证该接口的带宽。
在接口上启用 QoS
网络 > QoS
添加或修改 QoS 接口。物理接口支持 QoS,子接口和 aggregate ethernet (AE) 接口也支持 QoS
(取决于防火墙平台)。请查看 Palo Alto Networks 产品比较工具,以了解您的防火墙平台的
QoS 功能支持情况。
368 • Web 界面参考指南,版本 7.0
Palo Alto Networks
启用防火墙接口的 QoS
表 230. QoS 接口设置
字段
配置位置
说明
接口名称
Qos 接口 > 物理
接口
选择要启用 QoS 的防火墙接口。
最大出口速率
(Mbps)
注:尽管这不是一个必填字段,但建议始终定义 QoS 接口的最大出口速
率值。
选中此复选框可在所选接口上启用 QoS。
为此接口启用
QoS 功能
明文
隧道接口
隧道接口
出口保障速率
(Mbps)
最大出口速率
(Mbps)
添加
输入通过此接口离开防火墙的通信速率限制。
QoS 接口 > 物
理接口 > 默认配
置文件
选择明文通信和隧道通信的默认 QoS 配置文件。每项都必须指定默认配置文
件。对于明文通信,默认配置文件以聚合的形式应用到所有明文通信。对于
隧道通信,默认配置文件分别应用到在详细配置部分没有分配特定配置文件
的各个隧道。有关定义 QoS 配置文件的说明,请参阅“QoS 统计信息”。
QoS 接口 > 明
文通信 / 隧道
通信
输入来自此接口的明文或隧道通信的保证带宽。
输入通过此接口离开防火墙的明文或隧道通信的限制。
• 单击明文通信选项卡上的添加,可定义处理明文通信的其他粒度。单击
个别条目可配置以下设置:
– 名称 — 输入能辨别这些设置的名称。
– QoS 配置文件 — 选择应用于指定接口和子网的 QoS 配置文件。有关
定义 QoS 配置文件的说明,请参阅“QoS 统计信息” 。
– 源接口 — 选择防火墙接口。
– 源子网 — 选择子网以限制来自该源的通信设置,或保持默认的任何值,
以对任何通过指定接口的通信均应用这些设置。
• 单击隧道通信选项卡中的添加,可覆盖默认分配给特定隧道的配置文
件,并分配以下设置:
– 隧道接口 — 选择防火墙上的隧道接口。
– QoS 配置文件 — 选择应用于指定隧道接口的 QoS 配置文件。
例如,假定配置两个站点,其中一个与防火墙的连接速度为 45 Mbps,另一
个为 T1。您可以对 T1 站点应用限制性 QoS 设置,以便该连接不会超载,
同时还允许对 45 Mbps 的站点应用更灵活的设置。
要删除明文通信或隧道通信条目,请选中条目复选框并单击删除。
如果明文通信和隧道通信选项为空,则会使用“物理接口”选项卡“默认
配置文件”中指定的值。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 369
启用防火墙接口的 QoS
监控 QoS 接口
网络 > QoS
选择“统计信息”链接,以查看已配置的 QoS 接口的带宽、会话和应用程序信息。左面板显示
的是 QoS 树表,右面板显示的是以下选项卡中的数据:
表 231. QoS 统计信息
字段
说明
带宽
显示所选节点和类的实时带宽图。此信息每隔两秒更新一次。
注:为 QoS 类配置的 QoS 最大 Egress 和保证的 Egress 限制可能和 QoS 统计信
息屏幕中显示的值略有不同。此为正常行为,由硬件引擎对带宽限制和计数器的
汇总方式引起。当带宽利用率图表显示实时值和数量时,不存在运行问题。
应用程序
列出所选 QoS 节点和 / 或类的所有活动应用程序。
源用户
列出所选 QoS 节点和 / 或类的所有活动源用户。
目标用户
列出所选 QoS 节点和 / 或类的所有活动目标用户。
安全规则
列出匹配并实施所选 QoS 节点和 / 或类的安全规则。
QoS 规则
列出匹配并实施所选 QoS 节点和 / 或类的 QoS 规则。
370 • Web 界面参考指南,版本 7.0
Palo Alto Networks
章节 11
使用 Panorama 集中管理 Panorama
Panorama 既可作为专用硬件平台,又可作为 VMware 虚拟设备,是用于 Palo Alto Networks
系列新一代防火墙的集中式管理系统。其基于 Web 的外观和风格与特定防火墙界面相同,因
此可进行无缝转换,从而实现多个防火墙的集中管理并减少管理多个防火墙的成本投入。
本节可用作使用 Panorama web 界面来管理网络防火墙的实战参考。有关 Panorama 的设置、
Panorama 概念和工作流程的信息,请参阅《Panorama 管理员指南》。
• “Panorama 选项卡”
• “切换设备上下文”
• “设置存储分区”
• “配置高可用性 (HA)”
• “管理设备”
• “备份防火墙配置”
• “定义设备组”
• “定义 Panorama 管理员角色”
• “创建 Panorama 管理帐户”
• “指定管理员的 Panorama 访问域”
• “在 Panorama 中提交更改”
• “管理模板和模板堆栈”
• “日志记录和报告”
• “启用日志转发”
• “管理日志收集器”
• “定义日志收集器组”
• “生成用户活动报告”
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 371
Panorama 选项卡
• “管理设备更新和许可证”
• “计划动态更新”
• “计划配置导出”
• “升级 Panorama 软件”
• “将 VM 系列防火墙注册为 NSX Manager 上的服务”
Panorama 选项卡
Panorama
Panorama 选项卡类似于防火墙的设备选项卡,但设置适用于 Panorama 设备,而不适用于受
管防火墙。下表介绍此选项卡上的页面。要访问页面,请单击侧菜单中的页面名称链接。
表 232. Panorama 页面汇总
页面
说明
设置
允许指定 Panorama 主机名、管理接口的网络设置和网络服务器(DNS 和
NTP)的地址。请参阅“定义管理设置”。
模板
允许创建模板和模板堆栈来根据设备和网络选项卡管理配置选项。“管理模板和
模板堆栈”可让您在部署具有相似配置的多个防火墙时减少管理员的工作量。
配置审核
允许查看并比较配置文件。请参阅“定义操作设置”和“切换设备上下文”。
受管设备
用于添加由 Panorama 管理的防火墙、将共享配置推送到受管防火墙以及对防
火墙或整个设备组运行综合配置审核。请参阅“管理设备”。
设备组
允许根据功能、网络分段或地理位置对防火墙进行分组。设备组可以包括物理
防火墙、虚拟防火墙和虚拟系统。
通常,一个设备组中的防火墙需要类似的策略配置。通过 Panorama 上的“策
略和对象”选项卡,设备组提供了一种方式,可用来实现管理整个受管防火墙
网络的策略的分层方法。可以在最多四个级别的树形层次结构中嵌套设备组。
后代组自动继承祖先组和共享位置的策略和对象。请参阅“定义设备组”。
受管收集器
可让您配置和管理日志收集器。在 Panorama 模式下,日志收集器可以在 M 系
列 设备的本地(默认日志收集器);或在日志收集器模式下,日志收集器可以
是 M 系列 设备(专用日志收集器)。
Panorama 模式下的 M 系列 设备或 Panorama 虚拟设备可以管理日志收集器。
由于您使用 Panorama 配置日志收集器,因此这些设备也称为受管收集器。运
行 PAN-OS 5.0 和更高版本的受管防火墙可以将日志收送到受管收集器。还可
以使用此选项卡升级日志收集器上的软件:首先下载最新的 Panorama 软件,
然后通过单击“受管收集器”页面上的安装将其推送到日志收集器。
注:M 系列 设备可以是 Panorama 管理服务器、日志收集器或这两者。更改
M 系列设备模式的操作命令是 request system system-mode [panorama |
logger]。要查看当前模式,请运行 show system info | match
system-mode。当 M 系列 设备处于日志收集器模式时,仅 CLI 可用于管理。
有关详细信息,请参阅“管理日志收集器”。
372 • Web 界面参考指南,版本 7.0
Palo Alto Networks
Panorama 选项卡
表 232. Panorama 页面汇总(续)
页面
说明
收集器组
允许最多对八个日志收集器进行逻辑分组,以便将相同的配置设置应用于收集
器组中的所有日志收集器,然后为日志收集器分配防火墙。Panorama 将日志
均 匀 地 分 布 在 日 志 收 集 器 的 所 有 磁 盘 以 及 收 集 器 组 的 所 有 成 员 中。每 个
Panorama 最多可以拥有 16 个收集器组。有关详细信息,请参阅“定义日志收
集器组”。
管理角色
允许指定特权和责任,分配给需要访问 Panorama 的用户。请参阅“定义
Panorama 管理员角色”。
密码配置文件
允许定义密码配置文件,Panorama 管理员随后可应用用该文件。可以配置以
下配置文件选项:
• 需要密码更改期限(天数)
• 到期警告期限(天数)
• 发布到期后管理员登录次数
• 发布到期宽限期(天数)
管理员
允许为需要访问 Panorama 的用户定义帐户。请参阅“创建Panorama 管理
帐户”。
注:如果用户帐户被锁定,管理员页面将在“已锁定用户”列中显示一个锁形
图标。您可以单击此图标解锁帐户。
高可用性
允许配置一对 Panorama 设备以支持高可用性 (HA)。请参阅“配置高可用性
(HA)”。
证书管理
允许配置并管理证书、证书配置文件和密钥。请参阅“管理设备证书”。
日志设置
允许定义简单网络管理协议 (SNMP) 的陷阱接收器、Syslog 服务器和电子邮件
地址,用于分发日志消息。
服务器配置文件
允许为向 Panorama 提供服务的服务器指定配置文件。
请参阅以下部分:
• “配置电子邮件通知设置”
• “配置 SNMP 陷阱目标”
• “配置 Syslog 服务器”
• “配置 RADIUS 服务器设置”
• “配置 TACACS+ 服务器设置”
• “配置 LDAP 服务器设置”
• “配置 Kerberos 服务器设置”
身份验证配置文件
允许指定对 Panorama 访问进行身份验证的配置文件。请参阅“设置身份验证
配置文件”。
身份验证序列
允许指定用来授权访问 Panorama 的一系列身份验证配置文件。请参阅“设置
身份验证序列”。
访问域
访问域可让您控制管理员访问设备组、模板、模板堆栈和设备的 Web 接口
(“切换设备上下文”)。请参阅“指定管理员的 Panorama 访问域”。
已计划的配置导出
允许收集 Panorama 和受管防火墙中的运行配置,并每天将其传递到文件传输
协议 (FTP) 服务器,或通过使用安全复制 (SCP) 在 Panorama 服务器和远程主
机间安全传输数据。请参阅“计划配置导出”。
软件
允许查看可用 Panorama 软件版本以及下载和安装所选软件版本。请参阅“升
级 Panorama 软件”。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 373
切换设备上下文
表 232. Panorama 页面汇总(续)
页面
说明
动态更新
允许查看新安全威胁的最新应用程序定义和信息,比如防病毒签名(需要威胁
防御许可证),还可以使用这些新定义来更新 Panorama。请参阅“更新威胁
和应用程序定义”。
支持
允许访问 Palo Alto Networks 提供的产品和安全警报。请参阅“查看支持信息”。
设备部署
用于查看受管防火墙上当前许可证的信息以及在受管防火墙和受管收集器上安
装软件、客户端和动态内容。请参阅“管理设备更新和许可证”。
要自动化下载并更新动态内容的过程,请参阅“计划动态更新”。
主密钥和诊断
允许指定主密钥,以在防火墙上加密私钥。默认情况下,即使未指定新的主密
钥,私钥仍会以加密形式存储。请参阅“在防火墙中加密私钥和密码”。
切换设备上下文
切换设备上下文可让您从 Panorama Web 界面启动受管防火墙的 Web 界面,以便直接访问和
管理防火墙特定设置(如防火墙特定策略、网络设置和设备设置)。
使用侧菜单之上的上下文下拉列表,可以选择单个防火墙或完整的 Panorama 视图。选择防火
墙后,Web 界面将更新以显示所选防火墙的所有设备选项卡和选项。下拉列表只显示您拥有管
理访问权限(参阅“创建 Panorama 管理帐户”)且已连接至 Panorama 的防火墙。使用过滤
器来优化您的搜索条件。
处于高可用性 (HA) 模式下的防火墙的图标的背景为彩色,以表示其高可用性状态:
• 绿色 — 主动。
• 黄色 — 被动或防火墙正在启动(启动后启动状态持续 60 秒)。
• 红色 — 防火墙处于非运行(错误状态)、已挂起(管理员已禁用防火墙)或暂定状态(对
于主动 / 主动高可用性配置中的链路或路径监控事件)。
图 15. 选择上下文
374 • Web 界面参考指南,版本 7.0
Palo Alto Networks
设置存储分区
设置存储分区
Panorama > 设置 > 操作 > 存储分区设置
默认情况下,Panorama 维护日志文件和统计数据的内部存储。默认的 Panorama 安装过程设
置了一个磁盘分区来存储所有数据;系统将为分区中的日志存储分配 10 GB 的空间。
即使是在较大的分区上安装 Panorama 虚拟机,日志的可用空间也不会超出 10GB。要支持需
要更高存储空间的环境,您可以为 ESX 或 ESXi 创建最高 2TB 的自定义虚拟磁盘,或者配置外
部 NFS 数据存储。
要配置外部 NFS 数据存储,请在“其他”部分中选择 Panorama > 设置 > 操作,然后单击存储
分区设置。
表 233.
存储分区设置
字段
说明
内部
在 Panorama 设备中维持日志文件和统计日期的存储空间。
NFS v3
为存储指定外部 NFS 服务器安装点。配置以下设置:
• 服务器 — 指定 NFS 服务器的完全限定域名 (FQDN) 或 IP 地址。
• 日志目录 — 指定要存储日志的目录的完整路径名称。
• 协议 — 指定与 NFS 服务器通信所使用的协议(UDP 或 TCP)。
• 端口 — 指定与 NFS 服务器通信所使用的端口。
• 读取大小 — 指定 NFS 读取操作的最大大小(字节)(范围为
256 - 32768)。
• 写入大小 — 指定 NFS 写入操作的最大大小(字节)(范围
256 - 32768)。
• 安装时复制 — 选中此复选框,可以在 Panorama 设备引导时安装 NFS
分区,并将任何现有日志复制到服务器内的目标目录中。
• 测试记录分区 — 单击可执行安装 NFS 分区的测试,并显示成功或失败
消息。
配置存储分区设置后,必须重新启动 Panorama 服务器。
配置高可用性 (HA)
Panorama > 高可用性
在出现故障时,高可用性 (HA) 支持冗余。为了确保高可用性,您可以在提供受管防火墙同步
连接的高可用性对等配置中部署一对基于硬件的 Panorama 设备或一对 Panorama 虚拟设备。
在高可用性配置的对端中,一台设备必须指定为主设备,而另一台则必须指定为辅助设备;在
受监控的指标失效之前,主设备处于主动状态,辅助设备处于被动状态。对端会维护检测信息
或定期执行 ICMP Ping,以验证运行状态。如果主动 Panorama 服务器不可用,则被动服务器
可临时接管。如果已启用 Preemption(默认设置),当主动 Panorama 服务器重新可用时,被
动服务器将放弃控制,并恢复为被动状态。
要配置一对具有高可用性的 Panorama 虚拟设备,必须有两个 Panorama 许
可证,每个虚拟实例都有唯一的序列号。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 375
配置高可用性 (HA)
要在 Panorama 上启用高可用性,请配置以下设置:
表 234. Panorama 高可用性设置
字段
说明
设置
启用 HA
选中此复选框可启用 HA。
对等 HA IP 地址
输入对端 MGT 接口的 IP 地址。
启用加密
将 HA 密钥从 HA 对端中导出,并将其导入到设备上之后,启用加密。还必
须从此设备中导出设备的 HA 密钥,然后将其导入到 HA 对中。启用后,
MGT 接口会加密 HA 对端之间的通信。
密钥导入 / 导出是在“证书”页面上完成的。请参阅“管理设备证书”。
注:在 未 启用加密时,高可用性连接使用已启用加密的 TCP 端口 28 和
28769。
监视保持时间
(毫秒)
输入在处理控制链接故障之前系统将等待的时间长度(毫秒)(1000-60000 毫
秒,默认为 3000 毫秒)。
选择设置
优先级
将一个设备指定为主要设备,而将另一设备指定为辅助设备。
(仅虚拟 Panorama
需要)
此主配置或辅助配置可确定会将哪一个对端指定为受管防火墙发送的日志的
主要接收者。您可以对 Panorama 进行配置,使其针对分配的主要设备和辅
助设备(网络文件系统 (NFS) 选项)使用相同的日志外部存储工具或配置内
部日志记录。如果使用 NFS 选项,则只有主接收者可以接收受管防火墙发送
的日志。但是,如果启用本地日志记录,默认情况下,日志会发送至主接收
者和辅助接收者。
抢先
选中此复选框可启用主要 Panorama 设备,以便从失败中恢复后可以继续活
动操作。如果关闭此设置,则辅助设备将保持主动状态,即使较高优先级设
备从失败中恢复后也是如此。
抢占保持时间(秒)
输入被动设备在作为主动设备接管之前将等待的时间(范围是 1-60 分钟,默
认为 1)。
提升保持时间
(毫秒)
输入辅助设备在接管之前将等待的时间(范围是 0-60000 ms,默认为 2000)。
呼叫间隔(毫秒)
输入为了验证其他设备是否正常工作而发送的呼叫数据包之间的毫秒数(范
围是 8000-60000 ms,默认为 8000)。
检测信号间隔
(毫秒)
指定 Panorama 将 ICMP Ping 发送到 HA 对端的频率(范围是 1000-60000 ms,
默认为 1000)。
监视失败保持运行时
间(毫秒)
指定尝试重新进入被动状态之前,在路径监视失败之后 Panorama 等待的间
隔(默认为 0 ms)。在此期间,该设备不可以在主动设备发生故障的情况下接
管它。
其他主设备保持运行
时间(毫秒)
指定在作为主动设备接管之前,在此期间抢占设备保留被动状态的间隔(默
认为 7000 ms)。
376 • Web 界面参考指南,版本 7.0
Palo Alto Networks
管理设备
表 234. Panorama 高可用性设置(续)
字段
说明
路径监视
已启用
选 中 此复选框可启用路径监视。通过发送 ICMP Ping 消息,路径监测使
Panorama 可以监测指定的目标 IP 地址以确保它们可以作出响应。
失败条件
选择当部分或所有受监视路径组未能响应时,是否发生故障转移。
路径组
定义一个或多个路径组以监视特定目标地址。要添加路径组,请指定以下内
容,并单击添加:
• 名称 — 指定路径组的名称。
• 已启用 — 选中此复选框可启用路径组。
• 失败条件 — 选择当部分或所有指定目标地址未能响应时是否发生失败。
• Ping 时间间隔 — 指定检查路径是否正常的两个 ICMP 回显消息之间的时长
(范围是 1000-60000 毫秒,默认为 5000)。
• 目标 IP — 输入要监视的一个或多个目标地址(多个地址必须用逗号分隔)。
• Ping 间隔 — 指定发送到目标地址的 ping 之间的间隔(范围为 1000-60000 毫
秒,默认为 5000 毫秒)。
• Ping 计数 — 在声明故障前指定失败 ping 的计数(范围为 3-10 个 ping,默
认为 3 个 ping)。
要删除路径组,请选择该组,并单击删除。
管理设备
Panorama > 受管设备
由 Panorama 管理的 Palo Alto Networks 防火墙称为受管设备。受管设备页面可让您在防火墙
上执行管理任务并查看其状态信息。
Panorama 可管理运行相同版本或更低支持版本的 PAN-OS 防火墙,但不可
管理运行更高版本的防火墙。例如,Panorama 5.0 可以管理运行 PAN-OS 5.0
或更低支持版本的防火墙,但不能管理运行 PAN-OS 5.1 的防火墙。
使用受管设备页面可以执行下列任务:
• 添加受管设备 — 单击添加,然后输入一个或多个防火墙的序列号。每行只能输入一个序列
号。在添加防火墙作为受管设备后,要将 Panorama 连接至防火墙并对其进行管理,必须
在 Panorama 管理服务器上添加防火墙序列号,然后在防火墙上添加 Panorama 管理服务
器的 IP 地址(参阅“定义管理设置”)。
• 删除受管设备 — 选中一个或多个防火墙的复选框,并单击删除可将防火墙从 Panorama 管
理的防火墙列表中删除。
• 标记设备 — 选中一个或多个防火墙的复选框,并单击标记,然后输入最多 31 个字符的文本
字符串或选择现有标记。不要使用空格。如果 Web 界面显示防火墙的长列表(如在安装
软件的对话框中),标记可提供一种用于过滤列表的方法。例如,如果添加了名为“分支
机构”的标记,则可以过滤整个网络中的所有分支机构防火墙。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 377
管理设备
• 分组高可用性对端 — 如果您希望受管设备页面对高可用性 (HA) 配置中的对端防火墙进行
分组,可以选中分组高可用性对端复选框。然后,每个高可用性对均将拥有一个复选框。
对于主动-被动高可用性配置,可考虑将对端的两个防火墙或虚拟系统(如果处于多虚拟系
统模式下)添加至同一设备组。这可让您同时将配置推送到两个高可用性对等防火墙。
• 安装软件或内容更新 — 单击安装,然后选择以下选项:
表 235 受管设备上的软件 / 内容更新
字段
说明
类型
选择要安装的更新类型:PAN-OS 软件、GlobalProtect 客户端软件、
应用程序和威胁签名、防病毒软件签名、WildFire 或 URL 过滤。
文件
选择更新映像。下拉列表仅列出使用 Panorama > 设备部署页面下载
或上传到 Panorama 的映像。
设备
使用过滤器选择要在其上安装映像的防火墙。
仅上传到设备(不安装)
如果您要上传防火墙上的映像但不立即重新启动防火墙,则选择此
选项。
在启动重新启动之前,PAN-OS 不会安装映像。
在安装之后重新启动设备
如果您要上传并安装软件映像,则选择此选项。PAN-OS 将重新启动
防火墙。
分组高可用性对端
如果您要使设备列表对高可用性配置中的对端防火墙进行分组,可以
选择此选项。
过滤器已选择
如果您要使设备列表只显示特定防火墙,可以选中相应的“设备名
称”复选框,然后选中过滤器已选择复选框。
受管设备页面显示每个受管防火墙的下列信息:
表 236. 受管设备的状态
字段
说明
设备组
显示成员防火墙中的设备组的名称。默认情况下,此列已隐藏,但
可以通过在任何列标头中选择下拉列表并选择列 > 设备组来显示。
无论列是否可见,该页面都会根据其设备组显示集群中的设备。每
个集群都拥有一个标头行,用于显示设备组名称、分配设备的总
数、连接设备的数量和层次结构中的设备组路径。例如,数据中心
(已连接 4 个设备中的 2 个):共享 > 欧洲 > 数据中心将表示名为
数据中心的设备组拥有四个成员防火墙(已连接其中两个),且设
备组的子设备组名为欧洲。可以折叠或展开任何设备组以隐藏或显
示其防火墙。
设备名称
显示防火墙主机名或序列号。
虚拟系统
列出处于多虚拟系统模式下的防火墙上可用的虚拟系统。
标记
显示为每个防火墙 / 虚拟系统定义的标记。
序列号
显示防火墙的序列号。
IP 地址
显示防火墙 / 虚拟系统的 IP 地址。
模板
显示防火墙所属的模板或模板堆栈。
378 • Web 界面参考指南,版本 7.0
Palo Alto Networks
备份防火墙配置
表 236. 受管设备的状态
字段
说明
状态
设备状态 — 表示 Panorama 和防火墙之间的连接(连接或断开)状态。
VM 系列防火墙可以拥有其他两种状态:
• 停用 — 表示您直接在防火墙上或使用 Panorama > 设备部署 > 许
可证页面上的停用虚拟机链接停用虚拟机,并删除防火墙上的所有
许可证 / 授权。已停用的防火墙不再连接到 Panorama,因为停用
过程已删除 VM 系列防火墙的序列号。
• 部分停用 — 表示您已从 Panorama 启动许可证停用过程,但该过程
未全部完成,因为防火墙处于离线状态且 Panorama 无法与其通信。
高可用性状态 — 表示防火墙是处于主动(正常通信处理运行状
态)、被动(正常备份状态)、启动(启动后设备处于此状态持续
60 秒)、非运行(错误状态)、挂起(管理员已禁用防火墙)还是
处于暂定状态(对于主动 / 主动配置中的链路或路径监控事件)。
共享策略 — 表示防火墙上的策略和对象配置是否与 Panorama 同步。
模板 — 表示防火墙上的网络和设备配置是否与 Panorama 同步。
最后提交状态 — 表示防火墙上的最后提交是否成功。
软件版本 | 应用程序和威胁 |
防病毒软件 | URL 过滤 |
GlobalProtect 客户端 |
WildFire
显示防火墙上目前安装的软件和内容版本。
备份
每次提交后,PAN-OS 自动将受管防火墙的配置备份发送到
Panorama。您可以使用管理 ... 链接查看可用的配置备份。要加载已
保存配置文件列表中的某个版本,请单击加载。
备份防火墙配置
Panorama > 受管设备
Panorama 自动保存提交至受管防火墙的每一个配置更改。要配置保留在 Panorama 设备上的
版本数量,请选择 Panorama > 设置 > 管理,编辑“记录和报告设置”部分,选择日志导出和
报告选项卡,并在配置备份的版本数字段中输入一个值(默认为 100)。
要在 Panorama 上管理备份,请选择 Panorama > 受管设备,并在设备的备份列中单击管理。
此时将打开一个窗口,显示保存和提交的设备配置。单击加载链接以将备份还原到待选配置,
然后进行任何所需的更改,并单击提交以将加载的配置还原到设备。要移除已保存的配置,请
单击
图标。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 379
定义设备组
定义设备组
Panorama > 设备组
设备组可以包含要作为组加以管理的防火墙和 / 或虚拟系统,如用来管理公司中一组分支机构
或单个部门的防火墙。在应用策略时,Panorama 将每个组视为一个单元。一个防火墙只能属
于一个设备组。由于在 Panorama 中将虚拟系统视为完全不同的实体,因此您可以将防火墙内
的虚拟系统分配到不同的设备组。
您可以在最多四个级别的树形层次结构中嵌套设备组,以实现分层方法来管理整个防火墙网络
的策略。在底层级别中,设备组在依次更高的级别中可以拥有父级、祖父级和曾祖父级 — 统
称为祖先 — 从中继承策略和对象。在顶层级别中,设备组可以拥有子级、孙级和曾孙级设备
组 — 统称后代。设备组页面中的“名称”列体现了层次结构。
使用设备组页面可添加(最多 256 个)、编辑、删除或查看设备组。在添加、编辑或删除设备
组后,必须将更改提交至 Panorama 和设备组:Panorama 将配置更改推送到已分配给设备组
的防火墙。有关详细信息,请参阅“在 Panorama 中提交更改”。
要编辑设备组,单击其名称并修改下表所述的字段。
要添加设备组,单击添加并填写下表中所述的字段。
要删除设备组,选中其名称旁边的复选框并单击删除。
表 237. 设备组设置
字段
说明
名称
输入名称以标识组(最多 31 个字符)。名称区分大小写,且在整个
设备组层次结构中必须唯一。仅可使用字母、数字、空格、连字符
和下划线。
说明
输入设备组的说明。
设备
选择要添加到设备组的各个防火墙的复选框。如果防火墙列表太
长,可以按设备状态、平台、模板或标记进行过滤。过滤器部分显
示(在括号中)每个类别的受管设备的数量。
如果设备组仅用于组织目的(即要包含其他设备组),则不需要为
其分配设备。
父设备组
相对于您所定义的设备组,选择在层次结构中正好在其上方的设备
组(或共享位置)。对于用来管理设备组分配的规则,请参阅
《Panorama 管理员指南》。
主设备
选择 Panorama 可从中收集 User-ID 信息的设备组中的一个防火墙,
以便在策略中使用。收集的用户和组映射信息专供设备组使用。
分组高可用性对端
选中该复选框可对高可用性 (HA) 配置中的对端防火墙进行分组。然
后,该列表首先会在括号中显示主动(或主动 / 主动配置中的主动 主要)防火墙和被动(或主动 / 主动配置中的主动 - 辅助)防火墙。
这可让您轻松确定处于高可用性模式下的防火墙。推送共享策略
时,可以推送到分组的对,而不是单个对端。
对于主动 / 被动配置中的高可用性对,可以考虑将两个防火墙或其虚
拟系统添加到同一设备组。这可让您将配置同时推送到两个对端。
过滤器已选择
380 • Web 界面参考指南,版本 7.0
如果您要使设备列表只显示特定防火墙,则选中相应的防火墙“名
称”复选框,然后选中过滤器已选择复选框。
Palo Alto Networks
定义 Panorama 管理员角色
共享对象和策略
设备组自动继承共享位置和祖先设备组的策略和对象。
• 要创建共享策略,选择策略选项卡,选择选项卡顶部设备组下拉列表中的共享,并选择策
略类型(如安全 > 前导规则),然后单击添加。要创建专供特定设备组及其后代设备组使
用的策略,选择下拉列表中的相应设备组,然后单击添加。
• 要创建共享对象,选择对象选项卡,单击添加,然后选中共享复选框。要创建专供特定设
备组及其后代设备组使用的对象,选择下拉列表中的相应设备组,然后单击添加(而不是
选择共享)。默认情况下,为新对象启用替代祖先配置。要禁用替代对象的配置,请选中
禁用替代复选框。
如果两个对象具有相同的名称和类型,其中一个为继承对象,另一个属于设
备组对象,则该设备组的所有配置默认将使用属于设备组的对象的值。如果
在这种情况下您希望配置使用继承对象的值,可以选择 Panorama > 设置 >
管理,编辑“Panorama 设置”,然后选中祖先对象优先复选框。
如果您希望对象在后代设备组中拥有与继承对象中祖先设备组不同的设置,
可以替代祖先配置(参阅“替代或恢复对象”)。但是,您不能替代共享或
默认(预定义)对象。
将策略应用于设备组中的特定设备
默认情况下,策略规则适用于已分配给规则的设备组中的所有防火墙。如果您希望规则仅适用
于设备组中的目标防火墙,可以在策略选项卡中选择策略类型,单击所需规则的目标列条目,
清除任何(以全部设备为目标)复选框,然后选中目标防火墙的复选框。要将规则应用到设备
组中除目标防火墙以外的所有防火墙,请选中定位到所有设备,除:复选框。如果防火墙列表
太长,可以按设备状态、平台、设备组、模板、标记和高可用性状态进行过滤。对于高可用性
(HA) 配置中的防火墙,还可以使用分组高可用性对端。要只显示选定防火墙,请选中过滤器
已选择复选框。
定义 Panorama 管理员角色
Panorama > 管理员角色
使用管理员角色页面可定义确定对管理用户可用的访问权限和职责的角色配置文件。对于每个
角 色,可 以 根 据 各 项 功 能 配 置 访 问 权 限。可 以 配 置 的 功 能 集 取 决 于 角 色 范 围:自 定 义
Panorama 角色拥有比设备组和模板角色更丰富的功能(如 CLI 访问)。对于设备组和模板管
理员,您可以将每个角色与访问域进行相关联。有关分配角色和访问域的详细信息,请参阅
“创建 Panorama 管理帐户”。有关访问域的详细信息,请参阅“指定管理员的 Panorama 访
问域”。
如果使用 RADIUS 服务器对管理员进行身份验证,请将管理员角色和访问
映射到 RADIUS 供应商特定属性 (VSA)。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 381
创建 Panorama 管理帐户
表 238. Panorama 管理员角色设置
字段
说明
名称
输入名称以标识此管理员角色(最多 31 个字符)。名称区分大小写,且
必须是唯一的。仅可使用字母、数字、空格、连字符和下划线。
说明
输入角色的可选说明。
角色
选择管理职责范围:Panorama 或设备组和模板。《PAN-OS 管理员指
南》列出每个角色的有效访问权限。
Web UI
单击 Web 界面页面的图标可指定在 Panorama 上下文(Web UI 列表)和
设备上下文(上下文切换 UI 列表)中允许的访问权限类型:
• 读 / 写(启用)
• 只读
• 无访问权限(禁用)
XML API
选择适用于 XML API 的访问权限类型:
(仅限 Panorama 角色)
• 报告 — 防火墙报告的访问权限。
• 日志 — 防火墙日志的访问权限。
• 配置 — 检索或修改防火墙配置的权限。
• 操作请求 — 运行操作命令的权限。
• 提交 — 提交配置的权限。
• User-ID 代理 — User ID 代理的访问权限。
• 导出 — 从防火墙导出文件的权限,其中包括配置、阻止页面或响应页面、
证书、密钥以及其他文件。
• 导入 — 从防火墙导入文件的权限,其中包括软件、内容、许可证、配置、
证书、阻止页面、自定义日志以及其他文件。
命令行
选择 CLI 访问的角色类型:
(仅限 Panorama 角色)
• None — 不允许访问防火墙 CLI。
• 超级用户 — 对当前防火墙具有完全访问权限。
• 超级读者 — 对当前防火墙具有只读访问权限。
• Panorama 管理员 — 对所选防火墙的完全访问,除定义新帐户或虚拟系统
以外。
创建 Panorama 管理帐户
Panorama > 管理员
管理员帐户可定义角色和身份验证参数。这些参数用于控制访问 Panorama 并通过上下文切换
控制受管防火墙。预定义的管理员帐户具有对 Panorama 和受管防火墙的完全访问权限。有关
角色的详细信息,请参阅“定义 Panorama 管理员角色”。
Panorama 支持以下身份验证选项:
• 密码身份验证 — 管理员输入登录用户名和密码。该身份验证不需要证书。可以将其与身份
验证配置文件(参阅“设置身份验证配置文件”)和身份验证序列(参阅“设置身份验证
序列”)结合使用,或用于本地数据库身份验证。
• 客户端证书身份验证 (web) — 该身份验证不需要用户名或密码;只需使用证书就能对
Panorama 访问权限进行身份验证。请参阅“使用证书”。
382 • Web 界面参考指南,版本 7.0
Palo Alto Networks
创建 Panorama 管理帐户
• 公钥身份验证 (SSH) — 管理员会在需要访问 Panorama 的计算机上生成公钥 / 私钥对,然
后将公钥上载到 Panorama,以使管理员不必输入用户名和密码即可进行安全访问。
表 239. 管理员帐户设置
字段
说明
名称
输入管理员的登录用户名(最多 15 个字符)。名称区分大小写,且
必须是唯一的。只能使用字母、数字、连字符和下划线。
身份验证配置文件
选择身份验证配置文件或序列对此管理员进行身份验证。该设置可用
于 RADIUS、TACACS+、LDAP、Kerberos 或本地数据库身份验证。
仅使用客户端证书身份验证
(Web)
选中此复选框将对 Web 访问使用客户端证书身份验证。如果选中此复
选框,则不需要用户名(名称)和密码;证书即足以对访问 Panorama
的用户进行身份验证。
密码 / 确认密码
输入并确认管理员的区分大小写的密码(最多 15 个字符)。为确保
安全,建议管理员使用小写字母、大写字母和数字的组合方式定期
更改其密码。还可以通过选择密码配置文件和 / 或设置最小密码复
杂性参数(参阅“定义管理设置”)设置密码过期参数。
拥有某些角色配置文件的 Panorama 管理员无法访问 Panorama > 管
理员页面。要更改他们的本地密码,这些管理员可以单击 Web 界面
底部注销链接旁边的用户名。
使用公钥身份验证 (SSH)
选中此复选框将使用 SSH 公钥身份验证。单击导入密钥并浏览以选择
公钥文件。“管理员”对话框显示在只读文本区域中上传的密钥。
支持的密钥文件格式为 IETF SECSH 和 OpenSSH。支持的密钥算法
为 DSA(1024 位)和 RSA(768-4096 位)。
注:如果公钥身份验证失败,则 Panorama 提示输入登录名和密码。
管理员类型
类型选择可确定管理员角色选项:
• 动态 — 这些角色可提供对 Panorama 和受管设备的访问权限。添加
新功能时,Panorama 会自动更新动态角色的定义;您不需要手动
更新这些角色。
• 自定义 Panorama 管理员 — 这些角色都是可配置的角色,具有读写
访问权限、只读访问权限或无权访问 Panorama 功能。
• 设备组和模板管理员 — 这些角色都是可配置的角色,具有读写访问
权限、只读访问权限或无权访问已分配给为该管理员选择的访问域
的设备组和模板的功能。
管理角色
选择预配置角色:
(动态管理员类型)
• 超级用户 — 对 Panorama 以及所有设备组、模板和受管防火墙都
具有完全读写访问权限。
• 超级用户(只读)— 对 Panorama 以及所有的设备组、模板和受
管防火墙具有只读访问权。
• Panorama 管理员 — 对 Panorama 具有完全访问权限,但以下操
作除外:
– 创建、修改或删除 Panorama 或设备管理员以及角色。
– 在设备 > 设置 > 操作页面上导出、验证、恢复、保存、加载或
导入配置。
– 在 Panorama 选项卡中配置已调度配置导出功能。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 383
指定管理员的 Panorama 访问域
表 239. 管理员帐户设置(续)
字段
说明
配置文件
选择自定义 Panorama 角色(参阅“定义 Panorama 管理员角色”)。
(自定义 Panorama 管理员管
理员类型)
访问域管理员角色
(设备组和模板管理员管理员
类型)
对于您要分配给管理员的每个访问域(最多 25 个),单击添加,从下
拉列表中选择访问域(参阅“指定管理员的 Panorama 访问域”),
然后单击相邻的管理员角色单元格并从下拉列表中选择自定义设备组
和模板管理员角色(参阅“定义 Panorama 管理员角色”)。管理员
登录到 Panorama 后,将会在 Web 界面页面底部显示访问域下拉列
表。管理员可以选择任何分配的访问域以过滤 Panorama 显示的监控
和配置数据。
注:如果您使用 RADIUS 服务器对管理员进行身份验证,您必须将
管理员角色和访问映射到 RADIUS 供应商特定属性 (VSA)。由于
VSA 字符串支持的字符数有限,因此如果您为管理员配置最大数量
的访问域 / 角色对 (25),则每个访问域和角色的名称值不得超过平均
9 个字符。
密码配置文件
选择密码配置文件(参阅“定义密码配置文件”)(如果适用)。
在 Panorama 管理员页面上,如锁定帐户,已锁定用户栏将显示锁定图标。
超级用户或 Panorama 管理员可以单击此图标解锁帐户。
指定管理员的 Panorama 访问域
Panorama > 访问域
使用访问域页面可提供对下列内容的设备组和模板管理员访问权限:
• 设备组 — 管理员可以管理策略和对象,并监控在设备组中添加到访问域的防火墙的报告和
日志。
• 模板 — 管理员可以管理已分配给模板的防火墙的设备和网络设置,您需要将这些模板添加
到访问域。
• 防火墙 Web 界面 — 管理员可以切换到您需要添加到访问域的防火墙的设备上下文。
拥有多个访问域的管理员可以通过选择界面底部下拉列表中的访问域,以过滤 Web 界面显示
的配置和监控数据。最多可以定义 4,000 个访问域,并在本地管理或使用 RADIUS 供应商特定
属性 (VSA)。
如果您使用 RADIUS 服务器对管理员进行身份验证,您必须将管理员角色
和访问映射到 RADIUS 供应商特定属性 (VSA)。
384 • Web 界面参考指南,版本 7.0
Palo Alto Networks
指定管理员的 Panorama 访问域
表 240.
访问域设置
字段
说明
名称
输入访问域的名称(最多 31 个字符)。名称区分大小写,且必须是
唯一的。只能使用字母、数字、连字符和下划线。
共享对象
在从共享位置继承的此访问域中为设备组的对象选择下列访问权限之
一。无论权限怎样,管理员都可以替代共享或默认(预定义)对象。
• 读 — 管理员可以显示和克隆共享对象,但不能对其执行任何其他操
作。当添加非共享对象或克隆共享对象时,目标必须为访问域内的
设备组,而不是共享对象。
• 写 — 管理员可以对共享对象执行所有操作。这是默认值。
• 仅共享 — 管理员只能添加要共享的对象。管理员还可以显示、编辑
和删除共享对象,但不能移动或克隆。选择此选项的后果是管理员
无法对非共享对象执行除显示以外的任何操作。
设备组
单击图标可以为访问域中的设备组启用读写访问权限。还可以单击
全部启用或全部禁用。启用设备组的读写访问权限会自动为其后代
设备组启用相同的访问权限。如果手动禁用后代设备组,则其最高
祖先设备组的访问权限自动更改为只读。默认情况下,将会禁用所
有设备组的访问权限。
注:如果您将共享对象的访问权限设置为仅共享,则 Panorama 将
只读访问权限应用于您指定读写访问权限的所有设备组。
模板
对于要分配的每个模板或模板堆栈,单击添加,然后从下拉列表中
进行选择。
设备上下文
选中管理员可以切换上下文的防火墙的复选框以执行本地配置编辑。
如果防火墙列表太长,可以按设备状态、平台、设备组、模板、标记
和高可用性状态进行过滤。
在 Panorama 中提交更改
要提交 Panorama 配置更改,单击提交图标 / 链接以打开提交对话框。此对话框可让您提交
Panorama 环境的特定区域。
提交更改时,必须先将配置更改提交到 Panorama,然后再提交到受管防火
墙或日志收集器。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 385
指定管理员的 Panorama 访问域
图 16. Panorama 提交对话框
提交对话框包含下列选项:
• 提交类型:
– Panorama — 提交 Panorama 的当前待选配置。
– 模板 — 向选定设备防火墙提交 Panorama 中的模板更改。提交模板时,如有必要,可
以选择防火墙子集。
– 设备组 — 向选定防火墙 / 虚拟系统提交 Panorama 中的防火墙配置更改。
– 收集器组 — 仅向 Panorama 日志收集器组提交更改。这将提交在 Panorama > 收集器
组页面中执行的更改,并将这些更改应用于日志收集器设备。
• 过滤器 — 如果提交类型为设备组或模板,可以过滤防火墙列表。
• 防火墙名称和状态 — 如果提交类型为设备组或模板,可以通过单击这些列的标头按设备组
或模板名称、最后提交状态或高可用性状态对防火墙列表进行排序(对于高可用性配置中
的防火墙对端)。如果提交类型为设备组,名称列显示设备组的完整树形层次结构,包括
防火墙和虚拟系统 (vsys) 名称。
• 预览更改 — 如果提交类型为设备组、模板或 Panorama,可以显示一个配置审核窗口,显
示与当前运行配置相比待选配置中建议的更改。可以选择要显示的上下文行数,或根据已
添加、修改或删除的项目显示所有行。设备 > 配置审核功能可执行相同的功能(参阅“比
较配置文件”)。
• 分组高可用性对端 — 如果提交类型为设备组或模板,可以选中此复选框以显示每对防火墙
高可用性对端作为一个条目。
• 过滤器已选择 — 如果提交类型为设备组或模板,可以通过选择这些防火墙,然后选中过滤
器已选择复选框过滤防火墙列表只显示特定防火墙。
386 • Web 界面参考指南,版本 7.0
Palo Alto Networks
定义模板
• 与待选配置合并 — 此选项只有在提交类型为设备组或模板时才可用。如果选中此复选框,
则当从 Panorama 调用提交时防火墙包括其本地待选配置。如果清除此复选框,则防火墙
排除其本地待选配置。如果本地管理员对防火墙进行更改且您希望在从 Panorama 中推送
配置时排除其更改,则必须清除此复选框。
• 包括设备和网络模板 — 此选项只有在提交类型为设备组时才可用。提交将包括已分配给选
定防火墙的模板或模板堆栈中的设备和网络设备(参阅“管理模板和模板堆栈”)。也可
以选择模板作为提交类型以便将模板提交到防火墙。
• 强制模板值 — 如果提交类型为设备组或模板,可以选中此复选框以删除管理员在防火墙或
虚拟系统的本地配置中为其替代模板的对象(参阅“替代模板设置”)。如果提交类型为
设备组,必须选中包括设备和网络模板复选框以启用强制模板值复选框。
提交完成后,将会显示“提交成功”消息。如果 Panorama 在提交过程中生成警告,将会显示
“提交成功,但出现警告”消息。要查看成功或警告消息的详细信息,单击 Panorama > 受管
设备页面的最后提交状态列中的文本。
管理模板和模板堆栈
Panorama > 模板
以下主题介绍如何管理模板和模板堆栈:
• “定义模板”
• “定义模板堆栈”
• “替代模板设置”
• “克隆模板和模板堆栈”
• “删除或禁用模板和模板堆栈”
定义模板
通过设备和网络选项卡,可以使用模板将常用基本配置部署到需要类似设置的多个防火墙。使
用 Panorama 管理防火墙配置时,可以使用设备组(管理共享策略和对象)和模板(管理共享
设备和网络设置)的组合。Panorama 会分开管理这些功能,因为共享策略和对象设置的防火
墙不需要拥有相同的设备和网络设置。
Panorama 最多支持 128 个模板。可以通过“定义模板堆栈”组合多个模板的设置。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 387
定义模板堆栈
要创建 Panorama 模板,单击添加并填写下表中所述的字段。添加第一个模板后,设备和网络
选项卡会显示模板下拉列表。然后,可以配置在下拉列表中选择的模板的设备和网络设置。
表 241 模板设置 (Panorama)
字段
说明
名称
输入模板名(最多 31 个字符)。仅可使用字母、数字、空格、连字符、句点和
下划线。名称区分大小写,且必须是唯一的。
此名称将显示在模板下拉列表的设备和网络选项卡中。在这些选项卡中修改的
设置仅适用于选定模板。
默认 VSYS
如果您希望 Panorama 将专供该虚拟系统使用的配置(如接口)推送到不拥有
多个虚拟系统的防火墙,可以选择虚拟系统 (vsys)。
说明
输入模板的说明。
设备
选中要向模板中添加的每个防火墙的复选框。如果只使用堆栈内的模板,则不
需要将防火墙分配给模板,只需分配给堆栈(参阅“定义模板堆栈”)。
如果防火墙列表太长,可以按平台、设备组、标记和高可用性状态进行过滤。
对于每个类别,该对话框都会显示受管防火墙的数量。
注:您可以将拥有非匹配模式(VPN 节点、多虚拟系统模式或操作模式)的防
火墙分配给同一模板。Panorama 只将节点特定设置推送到支持这些模式的防火
墙。例如,Panorama 只将 IPSec 隧道推送到拥有已启用 VPN 节点的防火墙。
分组高可用性对端
选中该复选框可对高可用性 (HA) 配置对端中的防火墙进行分组。然后,该列
表首先会在括号中显示主动(或主动 / 主动配置中的主动-主要)防火墙和被动
(或主动 / 主动配置中的主动-辅助)防火墙。此选项可让您轻松确定拥有高可
用性配置的防火墙。推送模板设置时,可以推送到分组的对,而不是逐个推送
到每个防火墙。
过滤器已选择
要只显示特定防火墙,请选中相应的防火墙复选框,然后选中过滤器已选择复
选框。
在配置模板后,必须执行 Panorama 提交和模板提交以将配置更改推送到已分配给模板的防火
墙。有关详细信息,请参阅“在 Panorama 中提交更改”。
定义模板堆栈
模板堆栈是模板的组合。通过将防火墙分配到堆栈,可以将所有必需设置推送到防火墙,而不
需要将每个设置添加到每个模板。Panorama 最多支持 128 个堆栈。
Panorama 不会验证模板组合,因此可避免对模板进行排序而创建无效的关系。例
如,如果 ethernet1/1 接口在 Template_A 中为第 3 层接口,但在 Template_B 中
为具有 VLAN 的第 2 层接口,且 Template_A 具有更高的优先级,则 Panorama
会推送 ethernet1/1 作为第 3 层接口类型,但已分配给 VLAN。
模板配置不能引用另一个模板的配置,即使两个模板在同一个堆栈中。例如,
Template_A 的区域配置不能引用在 Template_B 中定义的区域保护配置文件,即
使 Template_A 和 Template_B 在同一个堆栈中。
388 • Web 界面参考指南,版本 7.0
Palo Alto Networks
替代模板设置
要创建堆栈,在 Panorama > 模板页面中,单击添加堆栈并填写下表中所述的字段。
表 242 堆栈设置 (Panorama)
字段
说明
名称
输入堆栈名称(最多 31 个字符)。只能使用字母、数字和下划线。首字符必须
是字母。名称区分大小写,且必须是唯一的。
在设备和网络选项卡中,模板下拉列表将显示堆栈名称及其指定模板。
说明
输入堆栈的说明。
模板
对于要在堆栈中包括的每个堆栈(最多 16 个),单击添加并选择模板。
如果模板包含重复设置,Panorama 只会将列表中优先级较高的模板的设置推
送到指定防火墙。例如,如果在列表中 Template_A 的优先级高于 Template_B
的优先级,且两个模板都定义 ethernet1/1 接口,则 Panorama 将从 Template_A
推送 ethernet1/1 定义,而不是从 Template_B。要更改顺序,选择模板,然后
单击向上移或向下移。
设备
选中要添加到堆栈的每个防火墙的复选框。
如果防火墙列表太长,可以按平台、设备组、标记和高可用性状态进行过滤。
注:您可以将拥有非匹配模式(VPN 节点、多虚拟系统模式或操作模式)的防
火墙分配给同一堆栈。Panorama 只将节点特定设置推送到支持这些模式的防火
墙。例如,Panorama 只将 IPSec 隧道推送到拥有已启用 VPN 节点的防火墙。
分组高可用性对端
选中该复选框可对高可用性 (HA) 配置对端中的防火墙进行分组。此选项可让
您轻松确定拥有高可用性配置的防火墙。推送设置时,可以推送到分组的对,
而不是逐个推送到每个防火墙。
过滤器已选择
要只显示特定防火墙,选中防火墙复选框,然后选中过滤器已选择复选框。
替代模板设置
当应用模板或模板堆栈来控制防火墙的设备和网络设置时,可以替代某些设置以使用本地防火
墙配置。例如,可以将基本配置部署到全局防火墙组,但使用替代直接在防火墙上配置特定时
区设置。
要标识已应用模板的设置,Web 界面会显示如图 17 所示的图标:
图 17. 模板标识
绿色图标 表示 Panorama 应用的模板和未替代的设置。橙色重叠绿色图标
应用的模板和已替代的某些设置。
Palo Alto Networks
表示 Panorama
Web 界面参考指南,版本 7.0 • 389
克隆模板和模板堆栈
替代 Panorama 从模板推送的设备或网络设置:
1.
将上下文切换到防火墙,或直接访问防火墙 Web 界面。
2.
导航到设置。
3.
如果页面显示表格中的设置,选择该设置的行,并单击替代按钮。否则,编辑显示设置的
部分(如图 17 所示),然后单击设置的绿色图标 。
4.
输入替代值,并单击确定。
防火墙将设置复制到其本地配置,且模板将不再控制设置。要恢复更改,单击还原按钮:防火
墙将恢复从模板继承设置。从 Panorama 向包含替代对象的受管防火墙提交时,可选中强制模
板值复选框以使 Panorama 模板控制任何已替代的对象。
替代设备 > 高可用性设置时,替代内容适用于配置树内部的各个值和参数:防火墙不会将替代
应用于整个树配置。这包括 DNS 服务器、管理 IP 或 NTP 服务器设置等项目。对于接口和
RADIUS 服务器配置文件等项目,将替代内容应用到整个对象,而非内部值。
克隆模板和模板堆栈
要克隆模板或模板堆栈,在 Panorama > 模板页面中选择要克隆的模板或模板堆栈,然后单击
克隆。
删除或禁用模板和模板堆栈
要删除模板或模板堆栈,在 Panorama > 模板页面中选择要删除的模板或模板堆栈,然后单击删
除。删除模板或模板堆栈,或从模板或模板堆栈删除防火墙,都将不会删除 Panorama 已推送
到防火墙的值。当从模板或模板堆栈删除防火墙时,Panorama 不再将新的更新推送到防火墙。
要禁用防火墙的模板或模板堆栈,访问该防火墙的 Web 界面,选择设备 > 设置 > 管理,编辑
Panorama 设置,然后单击禁用设备和网络模板按钮。
日志记录和报告
Panorama 具有两大功能:配置(防火墙和 Panorama 自身)和日志收集。
要实现大型部署的可扩展性,可以使用 M 系列 设备分隔 Panorama 上的管理功能和日志收集
功能。M 系列 设备为 Palo Alto Networks 防火墙提供综合日志收集解决方案。这可以帮助从
Panorama 管理服务器卸载通信密集型日志收集进程;部署完成后,您可以将每个防火墙配置
为将日志发送到配置为日志收集器的 M 系列 设备。有关使用 Panorama 服务器部署分布式日
志收集架构以及配置和管理日志收集器的详细信息,请参阅《Panorama 管理员指南》。
Panorama 日志和报告 — ACC、AppScope、PDF 报告和日志查看器提供受管网络中用户活动
的相关信息。要查看 Panorama 上的用户 / 网络活动,需配置明确的日志转发。若要长期存储
日志或使用本地存储在 Panorama 上的日志生成报告,则必须进行日志转发。如果启用日志转
发,默认先将日志缓存在防火墙上,然后以预定义的时间间隔发送到 Panorama。
Panorama 中的 ACC 选项卡默认显示本地存储在 Panorama 上的信息。但是,您可以更改数据
源,从而使得 Panorama 可从已连接的防火墙访问信息;所有表将动态拉出信息并显示您网络
上的流量聚合图。
您可以在 Panorama 上生成并计划自定义报告。对于计划的预定义和自定义报告,每 15 分钟
统计报告信息,并每小时将统计信息转发给 Panorama。
390 • Web 界面参考指南,版本 7.0
Palo Alto Networks
删除或禁用模板和模板堆栈
启用日志转发
Panorama > 日志设置
使用此页面可从 Panorama 启用日志转发。Panorama 可聚合防火墙和受管收集器日志,并以
SNMP 陷阱、系统日志消息和电子邮件通知形式将其转发到已配置的目标。如果没有设置用来
定义目标的服务器配置文件,请参阅“配置 SNMP 陷阱目标”、“配置 Syslog 服务器”和
“配置电子邮件通知设置”。
在 Panorama 虚拟设备上,使用 Panorama > 日志设置页面可启用防火墙日志、受管收集器日
志和本地 Panorama 日志的转发。在 Panorama 模式下的 M 系列 设备上,使用 Panorama > 日
志设置页面可启用受管收集器日志和本地 Panorama 日志的转发,但配置收集器组可启用防火
墙日志的转发(参阅“定义日志收集器组”)。
下表介绍 Panorama > 日志设置页面上的日志和转发选项。
关联、HIP 匹配、通信、威胁和 WildFire 日志仅适用于防火墙,因此如果使
用 Panorama 模式下的 M 系列 设备,则这些日志将不会显示在此页面上。
Panorama 虚拟设备会显示所有日志类型。
表 243.
日志设置
部分
说明
系统
要启用特殊严重性级别的日志转发,单击严重性列中的相应链接,
然后选择所需的服务器配置文件。删除全部按钮可让您将选择重置
为默认设置。严重性表示系统事件的紧急程度和影响:
• 严重 — 表示需要立即引起注意的故障(如硬件故障,包括高可用性
故障转移和链接故障)。
• 高 — 表示将有故障或可能会影响防火墙运行效率或安全的状况发
生,如与外部服务器(如 LDAP 和 RADIUS 服务器)断开连接。
• 中 — 表示存在可能会使问题严重性升级的状况,如未能完成防病毒
软件包升级。
• 低 — 表示可能会是问题或可能会变成问题的状况,如用户密码
更改。
• 参考 — 不需要注意。这些日志仅在系统正常运行期间提供有用信
息。此级别涉及其他严重性级别未涉及的配置更改和所有其他事件。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 391
删除或禁用模板和模板堆栈
表 243.
日志设置(续)
部分
说明
关联
在定义与网络上的通信模式相匹配的关联对象后,将会创建关联日
志。有关关联对象的信息,请参阅“使用自动关联引擎”。
Panorama 使用关联对象查询聚合日志(从受管防火墙和日志收集器
转发)以便匹配和记录关联事件。可以将这些关联事件作为系统日
志消息、电子邮件通知或 SNMP 陷阱发送。要启用特殊严重性级别
的日志转发,单击严重性列中的相应链接,然后选择所需的服务器
配置文件。
严重性表示匹配的紧急程度和影响;它广泛用于评估观察到的损害
或升级模式的程度,以及发生的频率。由于关联对象主要侧重于检
测威胁,因此关联事件通常与确定网络上受影响的主机相关联,且
严重性意味着以下级别:
• 严重 — 根据表示升级模式的关联事件确认主机已受到影响。例如,
当主机收到 WildFire 判定为恶意的文件时会记录重要事件,此事
件呈现一些在该恶意文件的 WildFire 沙盒中观察到的命令和控制
活动。
• 高 — 根据多个威胁事件之间的关联表示主机很有可能受到影响,如
在与从特定主机生成的命令和控制活动相匹配的网络中的任何位置
检测到的恶意软件。
• 中 — 根据检测到的一个或多个可疑事件表示主机可能受到影响,如
重复访问已知的恶意 URL,以建议对命令和控制活动编写脚本。
• 低 — 根据检测到的一个或多个可疑事件表示主机可能受到影响,如
访问恶意 URL 或动态 DNS 域。
• 参考 — 检测到可以在聚合中用于确定可疑活动的事件;每个事件对
于自己并不一定很重要。
配置
配置日志会记录设备配置的所有更改。要启用转发,单击编辑图
标,然后选择所需的服务器配置文件。
HIP 匹配
HIP 匹配日志会列出 GlobalProtect 的主机信息配置文件 (HIP) 匹配请
求。要启用转发,单击编辑图标,然后选择所需的服务器配置文件。
通信
通信日志会捕捉与代理相匹配的通信的详细信息(如始发地和目的
地)。要启用转发,单击编辑图标,然后选择所需的服务器配置文件。
392 • Web 界面参考指南,版本 7.0
Palo Alto Networks
添加日志收集器
表 243.
日志设置(续)
部分
说明
威胁
要启用特殊严重性级别的日志转发,单击严重性列中的相应链接,然
后选择所需的服务器配置文件。严重性表示威胁的紧急程度和影响:
• 严重 — 严重威胁,如影响广泛部署软件的默认安装的威胁,这些威
胁会导致服务器的超级用户权限被窃取,使得漏洞利用代码被广大
攻击者有机可乘。攻击者通常不需要任何特别的身份验证凭据,或者
无需知道各个受害人,也不需要操纵目标,即可执行所有特定功能。
• 高 — 能够演变为关键威胁但有抑制因素的威胁;例如,可能难以利
用,不会导致攻击者的权限得到提升,或者受害者群体不会很大。
• 中 — 影响力降到最低的小威胁,例如不会危害目标的 DoS 攻击或
如下攻击:需要攻击者与受害者驻留在同一 LAN 中,仅会影响非
标准配置或不知名应用程序,或者提供的访问权限有限。另外,被
判为恶意软件的 WildFire 日志条目会被记录为严重性为“中等”
的威胁。
• 低 — 警告级别的威胁,对组织的基础结构产生的影响非常小。它们
通常需要本地或物理系统访问权限,并且可能经常会导致受害者隐
私或 DoS 问题及信息遭到泄漏。与数据过滤配置文件匹配的情况
会被记录为严重性为“低”的威胁。
• 参考 — 不会立即构成威胁,但是会被报告,以提醒相关人员注意可
能存在更深层次问题的可疑事件。信息日志的示例包括:URL 过
滤日志条目、判为良性的 WildFire 日志条目或数据过滤日志。
WildFire
WildFire 扫描文件并分配判断。要启用特殊判断的日志转发,单击判
断列中的相应链接,然后选择所需的服务器配置文件。判断可以为:
• 良性 — 表示文件是安全的。
• 灰色 — 表示文件具有可疑的品质或行为,但没有恶意。
• 恶意 — 表示文件包含恶意代码。
管理日志收集器
Panorama > 受管收集器
使用“受管收集器”页面配置、管理和更新日志收集器设备。
• 要添加日志收集器,请参阅“添加日志收集器”。
• 要安装软件更新,请参阅“安装日志收集器上的软件更新”。
添加日志收集器
要添加日志收集器,单击添加并填写以下字段。
表 244. 受管控制器页面
字段
说明
“常规”选项卡
收集器序列号
Palo Alto Networks
输入日志收集器设备的序列号。
Web 界面参考指南,版本 7.0 • 393
添加日志收集器
表 244. 受管控制器页面
字段
说明
收集器名称
输入名称以标识此日志收集器(最多 31 个字符)。名称区分大小写,
且必须是唯一的。仅可使用字母、数字、空格、连字符和下划线。
此名称将显示为日志收集器的主机名。
设备日志收集
选择接口以用于防火墙日志收集。默认情况下,管理接口 (MGT) 会执
行 这 一功能。要选择 Eth1 或 Eth2,必须先启用并配置这些接口
(Panorama > 设置,Eth1/Eth2 接口设置)。
收集器组通信
选择接口以用于收集器组内部的通信。默认情况下,管理接口 (MGT)
会执行这一功能。要选择 Eth1 或 Eth2,必须先启用并配置这些接口
(Panorama > 设置,Eth1/Eth2 接口设置)。
安全系统日志的证书
选择证书以将系统日志安全地转发到外部系统日志服务器。证书必须
包含选定的安全系统日志的证书选项(参阅“管理设备证书”)。将
系统日志服务器配置文件分配给包括此日志收集器的收集器组后,服务
器配置文件的传输协议必须为 SSL(参阅“配置 Syslog 服务器”)。
Panorama 服务器 IP
指定用于管理此收集器的 Panorama 服务器的 IP 地址。
Panorama 服务器 IP 2
如果 Panorama 服务器处在 HA 模式下,则指定辅助设备的 IP 地址。
域
输入日志收集器的域名。
主 DNS 服务器
输入主 DNS 服务器的 IP 地址。日志收集器使用此服务器查询 DNS
(如查找 Panorama 服务器)。
辅助 DNS 服务器
输入在主服务器不可用时要使用的辅助 DNS 服务器的 IP 地址(可选)。
主 NTP 服务器
输入主 NTP 服务器(如果有)的 IP 地址或主机名。如果不使用 NTP
服务器,则可以手动设置日志收集器时间。
辅助 NTP 服务器
输入在主服务器不可用时要使用的辅助 NTP 服务器的 IP 地址或主机
名(可选)。
时区
选择日志收集器的时区。
纬度
输入在 App Scope 通信和威胁映射中使用的日志收集器的纬度 (-90.0
到 90.0)。
经度
输入在 App-Scope 通信和威胁映射中使用的日志收集器的经度(-180.0
到 180.0)。
身份验证选项卡
用户
此字段始终显示管理员,并用于日志收集器上的本地 CLI 登录名称。
模式
选择密码手动输入将用于身份验证的密码,或选择密码哈希输入哈
希值。
要从 Panorama 管理服务器 CLI 中创建密码哈希,请运行以下命令:
request password-hash password password123
这将返回密码的哈希值 password123(示例:
$1$urlishri$aLP2by.u2A1IQ/Njh5TFy9)。
从 CLI 中复制哈希值,并将其复制到密码哈希字段。提交更改时,新哈
希将推送到日志收集器,新的本地管理员登录密码将为 password123。
失败的尝试次数
394 • Web 界面参考指南,版本 7.0
指定锁定帐户之前 Web 界面和 CLI 允许的失败的登录尝试次数(1-10
次)。默认值 0 代表没有限制。
Palo Alto Networks
添加日志收集器
表 244. 受管控制器页面
字段
说明
锁定时间(分钟)
指定当达到失败尝试次数时用户被锁定的分钟数(0-60 分钟)。默认
值 0 表示没有尝试次数限制。
管理选项卡
该选项卡仅适用于 M 系列 设备,不适用于 Panorama 虚拟设备。默认情况下,M 系列 设备会使用管
理 (MGT) 端口来进行配置、日志收集和收集器组通信。但是,如果要对 Eth1 或 Eth2 进行日志收集和 /
或收集器组通信配置,则最佳做法就是为管理接口定义一个私有化程度高于 Eth1 或 Eth2 子网的独立
子网。您可以在网络掩码(对于 IPv4)或 IPv6 地址(定义前缀)字段中定义该子网。
注:要完成管理接口的配置,您必须指定 IP 地址、网络掩码(对于 IPv4)或前缀长度(对于 IPv6)
以及默认网关。如果只提交部分配置(如您可能省略默认网关),则以后在执行配置更改时只能通过
控制台端口访问 M 系列 设备。建议您提交完整配置。
速度和双工
选择接口速度,以 Mbps 为单位(10、100 或 1000),选择接口传输
模式为全双工 (Full)、半双工 (Half) 还是自动协商 (Auto)。
IP 地址
如果您的网络使用 IPv4,请为日志收集器的管理端口分配 IPv4 地址
(默认值为 192.168.1.1)。
子网掩码
如果已为管理端口分配了 IPv4 地址,请输入网络掩码(例如,
255.255.255.0)。
默认网关
如果已为管理端口分配了 IPv4 地址,请为默认路由器分配 IPv4 地址
(必须和管理端口在同一子网中)。
IPv6 地址
如果您的网络使用 IPv46,请为日志收集器的管理端口分配 IPv46 地
址。为了指明网络掩码,请输入 IPv6 前缀长度(例如,2001:400:f00::1/
64)。
IPv6 默认网关
如果已为管理端口分配了 IPv6 地址,请为默认路由器分配 IPv6 地址
(必须和管理端口在同一子网中)。
MTU
输入在此接口上发送的数据包的最大传输单元 (MTU),以字节为单位
(范围是 576-1500,默认为 1500)。
管理接口服务
选择希望已在日志收集器设备的受管接口上启用的服务:
• SSH
• Ping
• SNMP(简单网络管理协议)
允许的 IP 地址
单击添加以输入可用于管理该接口的 IP 地址的列表。
Eth1 选项卡
该选项卡仅适用于 M 系列 设备,不适用于 Panorama 虚拟设备。只有在 Panorama 管理设置中配置了
Eth1(Panorama > 设置 > 管理,Eth1 接口设置),该选项卡才可用。
注:只有指定 IP 地址、网络掩码(对于 IPv4)或前缀长度(对于 IPv6)以及默认网关,您才能提交
Eth1 配置。
Eth1
选中此复选框可启用该接口。
速度和双工
选择接口速度,以 Mbps 为单位(10、100 或 1000),选择接口传输
模式为全双工 (Full)、半双工 (Half) 还是自动协商 (Auto)。
IP 地址
如果您的网络使用了 IPv4,请为 Eth1 分配 IPv4 地址。
子网掩码
如果已为 Eth1 分配了 IPv4 地址,请输入网络掩码(例如,
255.255.255.0)。
默认网关
如果已为 Eth1 分配了 IPv4 地址,请为默认路由器分配 IPv4 地址(必
须和 Eth1 在同一子网中)。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 395
添加日志收集器
表 244. 受管控制器页面
字段
说明
IPv6 地址
如果您的网络使用了 IPv6,请为 Eth1 分配 IPv6 地址。为了指明网络
掩码,请输入 IPv6 前缀长度(例如,2001:400:f00::1/64)。
IPv6 默认网关
如果已为 Eth1 分配了 IPv6 地址,请为默认路由器分配 IPv6 地址(必
须和 Eth1 在同一子网中)。
MTU
输入在此接口上发送的数据包的最大传输单元 (MTU),以字节为单位
(范围是 576-1500,默认为 1500)。
Ping
如果想在 Eth1 接口上启用 Ping,请选中此复选框。
允许的 IP 地址
单击添加以输入可用于管理该接口的 IP 地址的列表。
Eth2 选项卡
该选项卡仅适用于 M 系列 设备,不适用于 Panorama 虚拟设备。只有在 Panorama 管理设置中配置了
Eth2(Panorama > 设置 > 管理,Eth2 接口设置),该选项卡才可用。
注:只有指定 IP 地址、网络掩码(对于 IPv4)或前缀长度(对于 IPv6)以及默认网关,您才能提交
Eth2 配置。
Eth2
选中此复选框可启用该接口。
速度和双工
选择接口速度,以 Mbps 为单位(10、100 或 1000),选择接口传输
模式为全双工 (Full)、半双工 (Half) 还是自动协商 (Auto)。
IP 地址
如果您的网络使用了 IPv4,请为 Eth2 分配 IPv4 地址。
子网掩码
如果已为 Eth2 分配了 IPv4 地址,请输入网络掩码(例如,
255.255.255.0)。
默认网关
如果已为 Eth2 分配了 IPv4 地址,请为默认路由器分配 IPv4 地址(必
须和 Eth2 在同一子网中)。
IPv6 地址
如果您的网络使用了 IPv6,请为 Eth2 分配 IPv6 地址。为了指明网络
掩码,请输入 IPv6 前缀长度(例如,2001:400:f00::1/64)。
IPv6 默认网关
如果已为 Eth2 分配了 IPv6 地址,请为默认路由器分配 IPv6 地址(必
须和 Eth2 在同一子网中)。
MTU
输入在此接口上发送的数据包的最大传输单元 (MTU),以字节为单位
(范围是 576-1500,默认为 1500)。
Ping
如果想在 Eth2 接口上启用 Ping,请选中此复选框。
允许的 IP 地址
单击添加以输入可用于管理该接口的 IP 地址的列表。
磁盘选项卡
单击添加以选择日志收集器将用于存储日志的 RAID 1 磁盘对。可以根据需要添加其他磁盘对以扩展
存储容量。要使添加的磁盘对可用于日志收集器,请选中此复选框。要使添加的所有磁盘对都可用,
请选中启用磁盘对复选框。
默认情况下,M 系列 设备将与安装在托架 A1/A2 中并已启用的第一个 RAID 1 对一起提供。要增加
存储容量,最多可在托架 B1/B2、C1/C2 和 D1/D2 中另外添加三个 RAID 1 对。在软件中,托架
A1/A2 中的 RAID 1 对命名为磁盘对 A。
在启用新磁盘对后,日志收集器会在所有磁盘之间重新分发其现有日志,这样生成每 TB 的日志可能
需要几个小时。在重新分发过程期间,会降低最大日志记录速率。在 Panorama > 受管收集器页面
中,重新分发状态列表示过程状态。
在添加日志收集器后,您可以单击各个收集器的统计信息链接以打开“收集器统计信息”窗
口,该窗口将显示磁盘信息、CPU 性能数据和平均日志速率(日志数 / 秒)。为了更好地了解
正在检查的日志范围,您还可以查看收集器收到的最旧日志中的信息。
396 • Web 界面参考指南,版本 7.0
Palo Alto Networks
安装日志收集器上的软件更新
安装日志收集器上的软件更新
要在日志收集器上安装软件映像(日志收集器模式下的 M 系列设备),下载映像并将其上传到
Panorama(参阅“管理设备更新和许可证”),然后单击 Panorama > 受管收集器页面中的安
装,并填写以下详细信息:
表 245 日志收集器上的软件更新
字段
说明
文件
选择软件映像文件。必须使用 Panorama > 设备部署 > 软件页面下载
或上传文件。
设备
选择要安装映像的日志收集器。
仅上传到设备 (不安装)
如果要将映像上传到收集器但不想立即重新启动收集器,则选择此选项。
在执行重新启动之前,不会安装软件映像。
在安装之后重新启动设备
如果您要上传并安装软件映像,则选择此选项。安装过程会触发重新
启动。
定义日志收集器组
Panorama > 收集器组
在收集器组中,可以将受管防火墙分配给日志收集器。在完成日志收集器建立和防火墙配置
后,PAN-OS 会将防火墙日志发送到日志收集器。然后,Panorama 会查询日志收集器,以进
行聚合日志查看或调查。
要配置收集器组,请单击添加,并填写以下参数:
表 246. 收集器组设置
字段
说明
“常规”选项卡
名称
输入名称以标识此收集器组 (最多 31 个字符)。名称区分大小写,且
必须是唯一的。仅可使用字母、数字、空格、连字符和下划线。
日志存储
表示收集器组收到的防火墙日志的当前存储与额。
单击容量文本以打开日志存储设置对话框,您可以在该对话框中设置
各种日志类型、日志摘要类型和扩展威胁 PCAP 的存储配额和过期期
限 (最大天数)。有关配额和过期期限的详细信息,请参阅 “定义管
理设置”下的 “日志和报告设置”。
也可以单击还原默认值以使用默认设置。
最短保留期限 (天)
Palo Alto Networks
指定在生成警告之前 Panorama 保持收集器组中所有日志收集器的最
短日志保留期限(1-2000 天)。如果当前日期减去最早日志日期小于所
定义的最短保留期限,则 Panorama 将会以系统日志的形式生成违规
警报。
Web 界面参考指南,版本 7.0 • 397
安装日志收集器上的软件更新
表 246. 收集器组设置 (续)
字段
说明
启用跨收集器记录冗余
如果选中此复选框,则收集器组中的每个日志都将拥有两个副本,且每
个副本都将驻留在不同的日志收集器上。如果任何一个日志收集器变成
不可用,此冗余可确保不会丢失任何日志:可以查看转发到收集器组的
所有日志并运行所有日志数据的报告。日志冗余只有在当收集器组拥有
多个日志收集器且每个日志收集器拥有相同数量的磁盘时才可用。
在启用冗余后, Panorama 会在所有日志收集器之间重新分发现有日
志,这样生成每 TB 的日志可能需要几个小时。在重新分发过程期间,
会降低最大日志记录速率。在 Panorama > 收集器组页面中,重新分发
状态列表示过程状态。任何特定收集器组的所有日志收集器均必须为
相同平台 (所有 M-100 设备或所有 M-500 设备)。
注:由于启用冗余会创建更多日志,因此该配置需要更多存储容量。当
收集器组用完容量空间后,将会删除较早的日志。启用冗余会将收集器
组中的日志处理通信增加一倍,从而将其最大日志记录速率降低一半,
因为每个日志收集器均必须分发其收到的每个日志的副本。
398 • Web 界面参考指南,版本 7.0
Palo Alto Networks
安装日志收集器上的软件更新
表 246. 收集器组设置 (续)
字段
说明
监视选项卡
SNMP
SNMP 选项可用于收集有关日志收集器的信息,包括磁盘驱动器统计
信息、软件版本、平均 CPU 利用率、平均日志数 / 秒、每 DB 类型的
存储持续时间 (如分钟、小时、天、周)。 SNMP 信息根据每个收集
器组提供。
指定 SNMP 设置:
• 位置 — 指定日志收集器设备的位置。
• 联系人 — 指定此收集器的电子邮件联系人。
• 访问设置 — 指定将用于与 Panorama 管理服务器通信的 SNMP 版本
(V2c 或 V3)。
如果选择 V3,请指定以下设置:
– 视图 — 单击 “添加”,并配置以下设置:
›
视图 — 指定视图的名称。
›
OID — 指定对象标识符 (OID)。
›
选项(包括或排除)— 选择 OID 是包括在视图中,还是从
视图中排除。
›
掩码 — 以十六进制格式 (例如, 0xf0)在 OID 中指定过
滤器的掩码值。
– 用户 — 单击添加,并配置以下设置:
›
用户 — 指定用于在日志收集器和 SNMP 管理服务器之间
进行身份验证的用户名。
›
视图 — 指定用户的视图组。
›
Authpwd — 指定用户的身份验证密码(最少为 8 个字符)。
仅支持安全哈希算法 (SHA)。
›
Privpwd — 指定用户的加密密码 (最少为 8 个字符)。仅
支持高级加密标准 (AES)。
• SNMP 社区 — 指定由 SNMP 管理环境使用的 SNMP 社区字符串。
仅 SNMPv2c (默认为公用)。
“设备日志转发”选项卡
收集器组成员
单击添加并从下拉列表中选择将成为此组一部分的日志收集器 (最多
八个)。下拉列表将显示 Panorama > 受管收集器页面中可用的所有日
志收集器。
在将日志收集器添加到现有收集器组后, Panorama 会在所有日志收集
器之间重新分发其现有日志,这样生成每 TB 的日志可能需要几个小时。
在重新分发过程期间,会降低最大日志记录速率。在 Panorama > 收集
器组页面中,重新分发状态列表示过程状态。任何特定收集器组的所有
日志收集器均必须为相同平台 (所有 M-100 设备或所有 M-500 设备)。
Palo Alto Networks
Web 界面参考指南,版本 7.0 • 399
安装日志收集器上的软件更新
表 246. 收集器组设置 (续)
字段
说明
设备
必须在可以将防火墙添加到收集器组之前添加收集器组成员。
要添加防火墙,单击添加,单击设备列表中的修改,选择受管防火墙,
然后单击确定。要将防火墙分配给日志收集器以便转发日志,单击收集
器列表中的添加,然后选择日志收集器。您指定的第一个日志收集器将
成为防火墙的主日志收集器。如果主日志收集器发生故障,则防火墙将
日志发送到辅助日志收集器。如果辅助日志收集器发生故障,则防火墙
将日志发送到第三日志收集器,以此类推。要更改顺序,选择日志收集
器,然后单击向上移或向下移按钮。在按理想顺序分配所有日志收集器
后,单击确定。
“收集器日志转发”选项卡
系统
配置
HIP 匹配
对于要向此收集器组转发日志的所有受管防火墙,请按严重性选择要聚
合并转发到 SNMP 陷阱、电子邮件和系统日志服务器的日志和事件。
如果尚未配置目标的服务器配置文件,请参阅 “配置 SNMP 陷阱目
标”、“配置 Syslog 服务器”和 “配置电子邮件通知设置”。
通信
威胁
WildFire
关联
生成用户活动报告
监视 > PDF 报告 > 用户活动报告
Panorama 用户活动报告可汇总所有受管防火墙中的用户活动。它以转到 Panorama 的防火墙
数据为基础。有关创建用户活动报告的常规信息,请参阅“管理用户 / 组活动报告”。
管理设备更新和许可证
Panorama > 设备部署
设备部署页面显示受管防火墙的当前部署信息。此外,还可让您在受管防火墙和日志收集器上
管理软件和内容更新、管理许可证和计划更新。
表 247. “Panorama 设备部署”选项卡
页面
说明
设备部署 > 软件
列出可安装在受管防火墙和日志收集器上的软件版本。
设备部署 > SSL VPN
客户端
列出可安装在受管防火墙上的 SSL VPN 客户端软件更新。
设备 > GlobalProtect
客户端
列出可安装在受管防火墙上的 GlobalProtect 客户端软件更新。
400 • Web 界面参考指南,版本 7.0
Palo Alto Networks
安装日志收集器上的软件更新
表 247. “Panorama 设备部署”选项卡
页面
设备部署 > 动态更新
说明
列出可部署在受管防火墙和日志收集器上的动态内容更新。Palo Alto
Networks 会定期发布包含新的或修订的应用程序和威胁定义、防病毒软
件签名、URL 过滤类别、GlobalProtect 数据和 WildFire 签名的更新。要
接收更新,需要订阅相应内容。
要自动化下载并更新动态内容的过程,请参阅“计划动态更新”。
列出每个受管防火墙及当前许可证状态。每个条目将指出许可证是活动的
(
图标)还是不活动的(
图标),并会列出活动许可证的过期日期。
在此页面上执行以下任何操作:
• 单击刷新可手动更新列表。Panorama 利用许可服务器和提取的许可更改
执行日常检入 — 续订或停用 — 并将其推送到受管防火墙和日志收集器。
设备部署 > 许可证
• 单击激活可激活许可证。选择要激活的受管防火墙,并输入 Palo Alto
Networks 为该防火墙提供的身份验证代码。
• 单击停用 VM 可停用 VM 系列防火墙上安装的所有许可证和订阅 / 授
权。选择要停用其许可证的 VM 系列防火墙;不显示运行比 PAN-OS 7.0
更早版本的防火墙。
– 单击继续可停用许可证并自动将更改注册到许可服务器。许可证被退
回到您的帐户,且可供重复使用。
– 单击手动完成可重成令牌文件。如果 Panorama 无法直接访问 Internet,
可以使用此选项。要完成停用过程,必须登录到支持门户并上传生成
的令