PaloAlto 備份/還原出廠/預設登入/橋接/zone防禦/snmp

 

一、            PaloAlto設備開機

Step1.

接上電源線,打開電源開關,開機時間約5~10分鐘

圖一Palo alto上圖:


 

圖二Palo alto前置


 

二、            備份設定檔

將目前正在使用中的設定檔(running-config)備份出來,檔案格式為xml,步驟如下

Step1.

登入PaloAltoweb管理介面,輸入帳密後登入


 

Step2.

Device->Setup->Operations,點擊Export named configuration snapshot

 


 

Step3.

Name的下拉式選單,選擇running-config.xml,點擊OK開始下載備份檔案


 

三、            還原出廠設定

Step1.

將電腦使用Console Line接上PaloAltoConsole Port


 

 

Step2.

電腦打開超級終端機,連上PaloAlto

 

Step3.

PaloAlto開啟電源,大概5~10秒之後,畫面會出現請輸入「maint」,請在5秒內輸入完畢

 

Step4.

進入maint之後,選擇PANOS(maint.sda)Enter

 

Step5.

選擇< ContinueEnter

 

Step6.

選擇< Factory ResetEnter

 

Step7.

詢問是否恢復出廠值,選擇< Factour ResetEnter

 

Step8

等待PaloAlto恢復出廠值

 

Step9

成功之後,選擇reboot重新開機


 

四、            登入

Step1.

恢復出廠值後,預設使用MGT Port登入,將電腦與Palo AltoMGT port使用網路線對接

 

Step2.

將電腦的ip設定為192.168.1.2

 

Step3.

Web介面的預設ip192.168.1.1,開啟瀏覽器輸入https://192.168.1.1

  

 

Step4.

預設帳號為admin,預設密碼為admin,輸入帳密後登入


 

五、            修改admin密碼

Step1.

Device-> Administrators->admin

 


 

Step2.

Old Password輸入舊密碼:admin

New Password輸入新密碼:自行定義新密碼

Confirm New Password再次輸入密碼:再輸入一次新密碼

點擊OK,完成設定

 

Step3.

設定完成之後,記得點擊頁面右上角的Commit,讓設定生效


 

六、            修改MGT ip

Step1.

Device->Setup->Management->Management Interface Settings->Edit

 


 

Step2.

IP Address:為MGT設定一個新的IP

NetmaskIP的遮罩

Default GatewayIP的預設閘道

 

Step3.

Services,勾選HTTPSSSHPingSNMP,可依需求自行勾選需要的服務

 

Step4.

Permitted IP Addresses,只允許特定IP可以登入,如果有此需求,可以在這個欄位用Add加上允許登入的IP,若無需求,則不用設定此欄位點擊OK,完成設定

 


 

Step5.

設定完成之後,記得點擊頁面右上角的Commit,讓設定生效


 

七、            新增Zones

因為出廠值預設即做好兩個Zonetrustuntrust,所以我們新增trust2untrust2來做範例

Step1.

Network->Zones->Add

 


 

Step2.

Name:為Zone設定一個標示名稱,以trust為例

TypeZone的類型,由於這次要做橋接模式的範例,所以選擇Virtual Wire

Interfaces:無需指定

Zone Protection ProfileZone的防禦策略,預設為None,如果有設定Zone Protection,則可以在此選擇

Include List:允許通過的IP網段,可用Add加入允許通過此ZoneIP網段,若無此需求則不用設定此欄位

Exclude List:禁止通過的IP網段,可用Add加入禁止通過此ZoneIP網段,若無此需求則不用設定此欄位

點擊OK,完成設定

 


 

Step3.

設定好trust之後,依照Step1.~Step3.設定untrust

 

Step4.

設定完成之後,記得點擊頁面右上角的Commit,讓設定生效


 

八、            e1/3e1/4做橋接模式

因為出廠值預設即做好e1/1e1/2為橋接模式,所以我們用e1/3e1/4來做範例,e1/3設定為untrust2e1/4設定為trust2

Step1.

Network->Interfaces-> ethernet1/3

Step2.

Interface Type:介面的連結模式,由於這次要做橋接模式的範例,所以選擇Virtual Wire

Security Zone:選擇介面所屬的Zone,這裡選擇untrust

點擊OK,完成設定

 

Step3.

Network->Interfaces-> ethernet1/4

 

Step4.

Interface Type:介面的連結模式,選擇Virtual Wire

Security Zone:選擇介面所屬的Zone,選擇trust

點擊OK,完成設定

 

Step5.

設定完成之後,記得點擊頁面右上角的Commit,讓設定生效


 

九、            zone防禦

Step1.

Network->Zone Protection->Add

 


 

Step2.

Name:為Zone Protection設定一個標示名稱,以untrust-Protection為例

->Flood Protection

依照使用需求勾選啟用SYNICMPICMPv6Other IPUDP的防禦機制,並填上符合需求的數值(封包/)

->Reconnaissance Protection

依照使用需求勾選

->Packet Based Attack Protection

依照使用需求勾選

點擊OK,完成設定

 


 

Step3.

Network->Zones->選擇要套用此策略的Zone,以untrust為例

 


 

Step4.

Zone Protection Profile:選擇untrust-Protection

點擊OK,完成設定

 

Step5.

設定完成之後,記得點擊頁面右上角的Commit,讓設定生效


 

十、            設定snmp trapsnmp

SNMP Trap

Step1.

Device->Server Profiles->SNMP Trap->Add

 


 

Step2.

NameSNMP Trap的標示名稱,這裡以wellpower為例

VersionSNMP版本,選擇V2c

 

Step3.

點擊Add,增加接收SNMP TrapServer資訊

NameSNMP Trap目的地的標示名稱,這裡以wellpower為例

SNMP Manager:要接收TrapServer IP

Community:要接收TrapServer Community群組

點擊OK,完成設定

 

Step4.

Device->Log Settings->System->medium,在這裡選擇要發送Trap的事件等級,以medium為例

 


 

Step5.

SNMP Trapmedium等級的事件發生時發送的Trap,選擇剛剛建立的Trap

Emailmedium等級的事件發生時發送Email通知的收件人,若無此需求則保持None即可

Syslogmedium等級的事件發生時紀錄的log設定,若無此需求則保持None即可

點擊OK,完成設定

 


 

SNMP

Step6.

Device->Setup->Operations->Miscellaneous->SNMP Setup

 


 

Step7.

Physical LocationSNMP位置,這裡要用MGT,所以填上MGTIP

VersionSNMP版本,選擇V2c

SNMP Community String:設定SNMP的群組名稱,預設無填寫即為public,建議請自行定義名稱以增加安全性,這裡以public為例

點擊OK,完成設定

 


 

Step8.

Device->Setup->Management->Management Interface Settings->Edit

檢查Services->SNMP是否有勾選,若無勾選,請把SNMP勾選

點擊OK,完成設定

 

Step9.

設定完成之後,記得點擊頁面右上角的Commit,讓設定生效


 

十一、  mrtg server上設定監測paloalto網卡流量、CPUSession

這裡以Linux Server為例

Step1.

製作監測流量的conf檔,以下紅字部份請以需求自行更改

# cfgmaker --snmp-options=:::::2 --global 'WorkDir: /var/www/html/mrtg2/mrtg_web' \

--global 'Options[_]: bits,growright' \

--global 'Language: big5' \

--output /var/www/html/mrtg2/MRTG_PaloAlto.cfg \

ikeeper@192.168.1.1

 

Step2.

製作監測流量的首頁檔案,以下紅字部份請以需求自行更改

# indexmaker --output=/var/www/html/mrtg2/mrtg_web/MRTG_PaloAlto.html \

--title='192.168.1.1' \

/var/www/html/mrtg2/MRTG_PaloAlto.cfg

 

Step3.

製作監測CPUSessionconf檔,在linux系統下新增一個MRTG_CPU_PaloAlto.cfg,檔案名稱可依需求自行更改

# vi MRTG_CPU_PaloAlto.cfg

 

Step4.

在檔案內容貼上以下內容,紅字部份請以需求自行更改

EnableIPv6: no

WorkDir: /var/www/html/mrtg2/mrtg_web

Options[_]: growright, bits

Refresh: 300

Language: big5

 

Target[mgmt_cpu]: .1.3.6.1.2.1.25.3.3.1.2.1&.1.3.6.1.2.1.25.3.3.1.2.1:[email protected]:::::2

MaxBytes[mgmt_cpu]: 100

Options[mgmt_cpu]: gauge, nopercent, growright

YLegend[mgmt_cpu]: Mgmt CPU Loading (%)

ShortLegend[mgmt_cpu]: %

Unscaled[mgmt_cpu]: dwmy

LegendI[mgmt_cpu]: &nbsp; CPU Loading pre 1 Min.

LegendO[mgmt_cpu]: &nbsp; CPU Loading pre 1 Min.

Title[mgmt_cpu]: Mgmt CPU Loading

PageTop[mgmt_cpu]: <H1>Mgmt CPU Loading</H1>

 

Target[data_cpu]: .1.3.6.1.2.1.25.3.3.1.2.2&.1.3.6.1.2.1.25.3.3.1.2.2:[email protected]:::::2

MaxBytes[data_cpu]: 100

Options[data_cpu]: gauge, nopercent, growright

YLegend[data_cpu]: Data CPU Loading (%)

ShortLegend[data_cpu]: %

Unscaled[data_cpu]: dwmy

LegendI[data_cpu]: &nbsp; CPU Loading pre 1 Min.

LegendO[data_cpu]: &nbsp; CPU Loading pre 1 Min.

Title[data_cpu]: Data CPU Loading

PageTop[data_cpu]: <H1>Data CPU Loading</H1>

 

Target[total_sess]: .1.3.6.1.4.1.25461.2.1.2.3.3.0&.1.3.6.1.4.1.25461.2.1.2.3.3.0:[email protected]:::::2

MaxBytes[total_sess]: 262142

Options[total_sess]: gauge, nopercent, growright

YLegend[total_sess]: Total Active Sessions

ShortLegend[total_sess]: Count

LegendI[total_sess]: &nbsp; Sessions Count

LegendO[total_sess]:&nbsp; Sessions Count

Title[total_sess]: Total Active Sessions

PageTop[total_sess]: <H1>Total Active Sessions</H1>

 

Target[util_sess]: .1.3.6.1.4.1.25461.2.1.2.3.1.0&.1.3.6.1.4.1.25461.2.1.2.3.1.0:[email protected]:::::2

MaxBytes[util_sess]: 100

Options[util_sess]: gauge, nopercent, growright

YLegend[util_sess]: session utilization (%)

ShortLegend[util_sess]: %

LegendI[util_sess]: &nbsp; session utilization.

LegendO[util_sess]: &nbsp; session utilization.

Title[util_sess]: session utilization

PageTop[util_sess]: <H1>session utilization</H1>

 

Step5.

製作監測CPUSession的首頁檔案,以下紅字部份請以需求自行更改

# indexmaker --output=/var/www/html/mrtg2/mrtg_web/MRTG_CPU_PaloAlto.html \

--title='192.168.1.1' \

/var/www/html/mrtg2/MRTG_CPU_PaloAlto.cfg

 

Step6.

將監測流量、CPUSessionconf檔加入排程crontab

# crontab -e

 

Step7.

將以下兩項排程加入crontab,紅字部份請以需求自行更改

*/5 * * * * /usr/bin/mrtg /var/www/html/mrtg2/MRTG_CPU_PaloAlto.cfg  > /dev/null

*/5 * * * * /usr/bin/mrtg /var/www/html/mrtg2/MRTG_PaloAlto.cfg  > /dev/null

 

Step8.

開啟瀏覽器,測試MRTG是否正常抓取數據,網址部份請依Web Server的設定自行更改

http://SNMP Server IP/mrtg2/mrtg_web/MRTG_CPU_PaloAlto.html

http://SNMP Server IP/mrtg2/mrtg_web/MRTG_PaloAlto.html