Network

本篇文档介绍了在 AWS 上配置 Palo Alto GlobalProtect VPN 的完整流程。内容包括实例启动和初始化、防火墙接口配置、证书创建、认证方式设置、区域和地址池的建立、VPN 网关和门户的配置、客户端安装和连接测试、安全策略及 NAT 配置、保留客户端原始 IP 地址的 Ghost Pool 方法，以及主机信息收集（HIP）与授权许可的应用。 实验拓扑 一、AWS 启动 Paloalto 实例 实例启动较慢，大约需要 10 分钟才能通过SSH登录。这里选择PAYG类型的实例（pay-as-you-go），实例启动后带有Paloalto的授权许可。 实例设置两块网卡时，需要禁用自动分配公有 IP 功能。只有一块网卡时，才会自动分配公有 IP。 Paloalto 实例默认的第一个接口（

Palo Alto Networks 防火墙上配置QoS需要配置三个部分，分别是QoS Profile、QoS Policy以及 QoS 出口接口的设置。 先创建QoS Profile，其中设置不同类（class）的带宽大小，然后设置Qos Policy，其中定义流量所属的类（class），最后在QoS出接口调用QoS Profile文件即可。 创建QoS Profile，定义不同类能享用的带宽。这里使用的是VM-100实例，最大带宽为2Gbps，所以配置QoS策略时，可以设置最大带宽为2000Mpbs。 AWS VM-100M5.XLARGE VM-300 M5.XLARGE Firewall Throughput (App-ID enabled) 2 Gbps 4 Gbps Threat Prevention Throughput 1 Gbps 1.7 Gbps

Panorama 可以聚合所有管理防火墙的日志，并显示网络中所有流量的信息。此外，它还提供了所有策略修改的审核记录和对受管防火墙所作的配置更改。 一、Panorama集中收集日志 新建日志收集器，填入Panorama的序列号，配置提交到Panorama。 添加一块磁盘，因为虚拟机在启动时，已经添加过一块2TB的磁盘，所以这里可以直接识别出来。配置完后继续提交到Panorama。 新建收集组，设置日志保留时间，添加刚才创建的收集器。配置完后，配置提交并推送到防火墙设备。 查看收集器状态，如果收集组的配置没有推送到防火墙，可能遇见“Ring version mismatch”的报错。 编辑需要记录日志的策略，设置日志转发到IoT Security Default Profile，这是一个默认的日志策略，会记录所有日志信息。 如果防火墙已经修改过默认策略，那么Panorama是无法推送默认策略到防火墙上的，需要先在防火墙上点击Revert同步Panorama的策略，之后才能接受来自Panorama的策略。 等待一会，在Panorama上查看日志信息。

一、设备组 1.1 设备组层次结构 Panorama会管理很多防火墙，Panorama修改防火墙配置时，往往会同时修改很多防火墙的配置。通过将防火墙加入相同的设备组，就可以共享设备组中的Policy（策略）和Objects（对象）。一般依据地理位置、功能特性等来划分设备组。 Panorama上创建一个设备组之后，会出现Policy和Objects的选项。 设备组的主要目的是绑定Policy和Objects * 防火墙设备必须要要加入一个设备组。 * 设备组有层级关系，最多含有4个层级。较低层次的设备组会继承较高层次设备组的Policy和Objects。 * 默认的Shared设备组，位于最顶层。 设备组的层次结构示例。 下面是按照地理位置划分设备组的一个示例，并将防火墙添加到了SecVpc-Firewall这个设备组。 Panorama添加防火墙到设备组后，需要将配置提交并推送到防火墙才会生效。如果未推送成功，可以选择强制推送到设备（Push to Devices--Edit Selections--OK） 1.2 设备组策略 防火墙按

一、注意事项 * AWS上Paloalto防火墙默认版本是10.2.2h2，Panorama默认版本是10.2.0，需要将Panorama升级到与Paloalto相同版本，或者更高的版本，否则Panorama无法查看日志。 * Paloalto防火墙VM-50型号只支持ESXi、Hyper-V和KVM平台，不支持AWS和其他云平台。 二、利用CloudFormation部署实验环境 Panorama主要用来管理多台防火墙，在AWS云上，对流量做集中安全检测一般会有多台防火墙，所以这里利用CloudFormation搭建了流量集中检测的LAB环境，然后利用Panorama管理这两台防火墙。 只启动两台防火墙和一台Panorama，也可以做大部分的测试，搭建流量集中检测环境是为了更加模拟真实环境。 利用CloudFormation创建实验环境，CloudFormation代码中不会创建Panorama，需要自行手动创建，也不会对Paloalto防火墙做初始化。 上传堆栈模板文件。 设置堆栈名称，选择EC2密钥。 允许创建IAM资源。 Clou

这篇文档介绍如何利用EVE-NG搭建Panorama测试环境。 一、注意事项 * EVE-NG的低版本不支持Panorama镜像，例如2.0.3-86版本就不支持。这里实验环境使用的是版本是5.0.1-13-Community，下载链接：https://www.eve-ng.net/index.php/download/#DL-COMM。 * Panorama与Paloalto防火墙版本需要保持一致，或者Panorama高于Paloalto防火墙的版本。这里实验环境Panorama与Paloalto都是用10.2.0版本。另外测试时发现Paloalto防火墙10.2.3版本在EVE-NG环境中需要编辑节点，在“QEMU custom options”中添加“-cpu host”参数才能启动。 * Paloalto防火墙在未激活的情况也可以测试大部分功能，但是Panorama不激活的情况下，无法管理Paloalto防火墙。 二、下载Panorama与Paloalto镜像 下载Panorama与Paloalto镜像文件，需要拥有Paloalto账号，登录https

B站视频 上一篇文章讲过了AWS GWLB如何集成Palo Alto防火墙，来对流量做集中检测。上一次实验是通过AWS 控制台操作的，部署起来还是比较繁琐的，这里分享一下实验环境的CloudFormation代码，帮助大家快速部署一下实验环境。 一、CloudFormation 代码部署 这里的CloudFormation代码在Tokyo区域(ap-northeast-1)部署的，如果要在其他Region部署，请修改paloalto和windows的ami id。堆栈大概会在8分钟创建完成。 AWSTemplateFormatVersion: "2010-09-09" Mappings: RegionMap: ap-northeast-1: PaBundle1: ami-0bcddfc3678d5a897 PaBundle2: ami-0c4d901d7a5370b78 us-west-2: PaBundle1: ami-01d7ef8ff7ddaff25 PaBundle

B站视频 一、背景 1.1 参考的博客 这个文档是我的笔记，最开始是对着AWS官方博客[参见链接1]来做实验的，发现无论如何都无法实验成功，后来发现博客里面一个重要参数写错了导致异常。坑出现在原博客[3.2.1 创建PA防火墙实例]，里面写到plugin-op-commands=Amazon-gwlb-inspect:enable，应该将Amazon修改为aws，即plugin-op-commands=aws-gwlb-inspect:enable。 测试完paloalto之后，我想测试FortiGate防火墙，飞塔是对这个AWS官方博客[参见链接2]来做实验的，两个拓扑基本一致，只是替换了防火墙，但是发现这篇博客更坑，关键步骤有缺失，无法实现防火墙的高可用切换。后续我会在相同的拓扑下，使用FortiGate防火墙来测试，会填上博客缺失步骤的坑。 这次实验是在AWS Console上操作的，后续我会演示AWS CloudFormation来部署这个环境。 1.2 流量集中检测 传统网络都会在出口部署防火墙，用于检测内网进出互联