ebook img

Palo Alto Networks PDF

504 Pages·2016·3.36 MB·English
by  
Save to my drive
Quick download
Download
Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.

Preview Palo Alto Networks

Palo Alto Networks Web Interface Reference Guide Version 7.0 Contact Information Corporate Headquarters: Palo Alto Networks 4401 Great America Parkway Santa Clara, CA 95054 www.paloaltonetworks.com/company/contact-us About this Guide This guide describes the Palo Alto Networks next-generation firewall and Panorama™ web interfaces. It provides information on how to use the web interface and reference information about how to populate fields within the interface:  For information on the additional capabilities and for instructions on configuring the features on the firewall, refer to https://www.paloaltonetworks.com/documentation.  For access to the knowledge base, complete documentation set, discussion forums, and videos, refer to https://live.paloaltonetworks.com.  For contacting support, for information on support programs, to manage your account or devices, or to open a support case, refer to https://www.paloaltonetworks.com/support/tabs/overview.html.  For the most current PAN-OS and Panorama 7.0 release notes, go to https://www.paloaltonetworks.com/documentation/70/pan-os/pan-os-release-notes.html. To provide feedback on the documentation, please write to us at: [email protected]. Palo Alto Networks, Inc. www.paloaltonetworks.com © 2015–2016 Palo Alto Networks, Inc. Palo Alto Networks is a registered trademark of Palo Alto Networks. A list of our trademarks can be found at http://www.paloaltonetworks.com/company/trademarks.html. All other marks mentioned herein may be trademarks of their respective companies. Revision Date: November 10, 2016 2 • PAN-OS 7.0 Web Interface Reference Guide © Palo Alto Networks, Inc. November 10, 2016 - Table of Contents Chapter 1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Firewall Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Features and Benefits. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Management Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Chapter 2 Getting Started. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Using the Palo Alto Networks Firewall Web Interface. . . . . . . . . . . . . . . . . 16 Committing Changes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 Searching the Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 Locking Transactions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Supported Browsers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Getting Help Configuring the Firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Obtaining More Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Technical Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Chapter 3 Device Management. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 System Setup, Configuration, and License Management . . . . . . . . . . . . . . . . . . . 26 Defining Management Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 Defining Operations Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 Defining Hardware Security Modules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 Enabling SNMP Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 Defining Services Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 Destination Service Route. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 Defining a DNS Server Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 Defining Content-ID Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 Configuring WildFire Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 Defining Session Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 Session Settings. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 Session Timeouts. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 Decryption Settings: Certificate Revocation Checking . . . . . . . . . . . . . . . . . . 62 Decryption Settings: Forward Proxy Server Certificate Settings. . . . . . . . . . 63 VPN Session Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Comparing Configuration Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 © Palo Alto Networks, Inc. PAN-OS 7.0 Web Interface Reference Guide • 3 Table of Contents Installing a License . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 Behavior on License Expiry . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 Defining VM Information Sources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 Installing the Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 Updating Threat and Application Definitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 Administrator Roles, Profiles, and Accounts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 Defining Administrator Roles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 Defining Password Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 Username and Password Requirements. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 Creating Administrative Accounts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 Specifying Access Domains for Administrators . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 Setting Up Authentication Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 Creating a Local User Database . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 Adding Local User Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 Configuring RADIUS Server Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 Configuring TACACS+ Server Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 Configuring LDAP Server Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 Configuring Kerberos Server Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 Setting Up an Authentication Sequence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 Scheduling Log Exports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 Defining Logging Destinations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 Configuration Log Settings. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 System Log Settings. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 Correlation Log Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 HIP Match Log Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 Defining Alarm Settings. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 Managing Log Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 Configuring SNMP Trap Destinations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 Configuring Syslog Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 Configuring Email Notification Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 Configuring Netflow Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 Configuring a DNS Server Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 Using Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 Managing Device Certificates. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 Managing the Default Trusted Certificate Authorities. . . . . . . . . . . . . . . . . . 108 Creating a Certificate Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 Adding an OCSP Responder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 Managing SSL/TLS Service Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 Encrypting Private Keys and Passwords on the Firewall . . . . . . . . . . . . . . . . . . . 112 Enabling HA on the Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 Defining Virtual Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 Configuring Shared Gateways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 Defining Custom Response Pages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 Viewing Support Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 Chapter 4 Network Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 Defining Virtual Wires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 Configuring a Firewall Interface. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130 Firewall Interfaces Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 Common Building Blocks for Firewall Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . 132 Common Building Blocks for PA-7000 Series Firewall Interfaces . . . . . . . . . . . . 133 4 • PAN-OS 7.0 Web Interface Reference Guide © Palo Alto Networks, Inc. Table of Contents Configure a Layer 2 Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 Configure a Layer 2 Subinterface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 Configure a Layer 3 Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 Configure a Layer 3 Subinterface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 Configure a Virtual Wire Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148 Configure a Virtual Wire Subinterface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150 Configure a Tap Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150 Configure a Log Card Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151 Configure a Log Card Subinterface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 Configure a Decrypt Mirror Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153 Configure an Aggregate Interface Group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153 Configure an Aggregate Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 Configure an HA Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 Configure a VLAN Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158 Configure a Loopback Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 Configure a Tunnel Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164 Configuring a Virtual Router . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166 Configuring the General tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166 Configuring the Static Routes tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 Configuring the Redistribution Profiles Tab . . . . . . . . . . . . . . . . . . . . . . . . . 168 Configuring the RIP Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169 Configuring the OSPF Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171 Configuring the OSPFv3 Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176 Configuring the BGP Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 Configuring the Multicast Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189 Defining Security Zones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192 Building Blocks of ECMP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194 More Runtime Stats for a Virtual Router . . . . . . . . . . . . . . . . . . . . . . . . . . . 195 Configuring VLAN Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 Configuring DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202 DHCP Overview. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202 DHCP Addressing. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202 Building Blocks of DHCP Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 Building Blocks of DHCP Relay. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 Building Blocks of DHCP Client. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208 Example: Configure a DHCP Server with Custom Options. . . . . . . . . . . . . . 208 Configuring DNS Proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211 DNS Proxy Overview. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212 Building Blocks of DNS Proxy. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212 Additional DNS Proxy Actions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214 Configuring LLDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214 LLDP Overview. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215 Building Blocks of LLDP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215 Defining Interface Management Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218 Defining Monitor Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219 Defining Zone Protection Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220 Configuring Flood Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221 Configuring Reconnaissance Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222 Configuring Packet Based Attack Protection . . . . . . . . . . . . . . . . . . . . . . . . 223 Defining LLDP Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227 Building Blocks of LLDP Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227 © Palo Alto Networks, Inc. PAN-OS 7.0 Web Interface Reference Guide • 5 Table of Contents Chapter 5 Policies and Security Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229 Policy Types . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229 Moving or Cloning a Policy or Object. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230 Overriding or Reverting a Default Security Rule. . . . . . . . . . . . . . . . . . . . . . 230 Overriding or Reverting an Object. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232 Specifying Users and Applications for Policies . . . . . . . . . . . . . . . . . . . . . . . 233 Defining Policies on Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233 Defining Security Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234 Security Policies Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235 Building Blocks in a Security Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236 Creating and Managing Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244 NAT Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246 Determining Zone Configuration in NAT and Security Policy . . . . . . . . . . . . 248 NAT Rule Options. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248 NAT Policy Examples. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249 NAT64. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250 NAT64 Examples. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250 Defining Network Address Translation Policies . . . . . . . . . . . . . . . . . . . . . . . . . . 253 General Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254 Original Packet Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255 Translated Packet Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255 Policy-Based Forwarding Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257 General Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258 Source Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258 Destination/Application/Service Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259 Forwarding Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260 Decryption Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260 General Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261 Source Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262 Destination Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263 Service/URL Category Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263 Options Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263 Defining Application Override Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264 General Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265 Source Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265 Destination Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266 Protocol/Application Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266 Defining Captive Portal Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266 General Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267 Source Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267 Destination Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268 Service/URL Category Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268 Action Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269 Defining DoS Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269 General Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269 Source Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270 Destination Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271 Options/Protection Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271 6 • PAN-OS 7.0 Web Interface Reference Guide © Palo Alto Networks, Inc. Table of Contents Security Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272 Actions in Security Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272 Antivirus Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274 Antivirus Profile Dialog. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274 Antivirus Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275 Exceptions Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275 Anti-Spyware Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276 Vulnerability Protection Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279 URL Filtering Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282 File Blocking Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286 WildFire Analysis Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291 Data Filtering Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291 DoS Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293 Other Policy Objects. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295 Defining Address Objects. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296 Defining Address Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297 Defining Regions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300 Applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301 Applications Overview. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301 Defining Applications. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307 Defining Application Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310 Application Filters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310 Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311 Service Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312 Tags . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313 Create Tags . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313 Use the Tag Browser. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314 Manage Tags. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316 Data Patterns . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317 Dynamic Block Lists . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319 Custom Spyware and Vulnerability Signatures . . . . . . . . . . . . . . . . . . . . . . . . . 321 Defining Data Patterns. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321 Defining Spyware and Vulnerability Signatures . . . . . . . . . . . . . . . . . . . . . 322 Custom URL Categories . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325 Security Profile Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327 Log Forwarding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328 Decryption Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329 Schedules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333 Chapter 6 Reports and Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335 Using the Dashboard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336 Using the Application Command Center. . . . . . . . . . . . . . . . . . . . . . . . . . . 338 Views . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340 Widgets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341 Actions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342 Using App Scope . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346 Summary Report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347 Change Monitor Report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348 Threat Monitor Report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349 Threat Map Report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351 © Palo Alto Networks, Inc. PAN-OS 7.0 Web Interface Reference Guide • 7 Table of Contents Network Monitor Report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352 Traffic Map Report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354 Viewing the Logs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355 Interacting with Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357 Viewing Session Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359 Using the Automated Correlation Engine . . . . . . . . . . . . . . . . . . . . . . . . . . 360 View the Correlation Objects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360 View the Correlated Events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361 Working with Botnet Reports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362 Managing Botnet Reports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362 Configuring the Botnet Report. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363 Managing PDF Summary Reports. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365 Managing User/Group Activity Reports. . . . . . . . . . . . . . . . . . . . . . . . . . . 367 Managing Report Groups. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368 Scheduling Reports for Email Delivery . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369 Viewing Reports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369 Generating Custom Reports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370 Taking Packet Captures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371 Packet Capture Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372 Building Blocks for a Custom Packet Capture . . . . . . . . . . . . . . . . . . . . . . . . . . . 372 Enable Threat Packet Capture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375 Chapter 7 Configuring the Firewall for User Identification. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377 Configuring the Firewall for User Identification . . . . . . . . . . . . . . . . . . . . . . . . . . 377 User Mapping Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378 User-ID Agents Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384 Terminal Services Agents Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386 Group Mapping Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386 Captive Portal Settings Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389 Chapter 8 Configuring IPSec Tunnels. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393 Defining IKE Gateways. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393 Managing IKE Gateways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393 IKE Gateway General Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394 IKE Gateway Advanced Options Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397 Restart or Refresh an IKE Gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399 Setting Up IPSec Tunnels. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399 Managing IPSec VPN Tunnels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399 IPSec Tunnel General Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400 IPSec Tunnel Proxy IDs Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402 Viewing IPSec Tunnel Status on the Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403 Restart or Refresh an IPSec Tunnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403 Defining IKE Crypto Profiles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404 Defining IPSec Crypto Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405 Defining GlobalProtect IPSec Crypto Profiles . . . . . . . . . . . . . . . . . . . . . . 406 8 • PAN-OS 7.0 Web Interface Reference Guide © Palo Alto Networks, Inc. Table of Contents Chapter 9 GlobalProtect Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407 Setting Up the GlobalProtect Portal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407 Portal Configuration Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407 Client Configuration Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409 Satellite Configuration Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415 Setting Up the GlobalProtect Gateways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417 General Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417 Client Configuration Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418 Satellite Configuration Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422 Setting Up Gateway Access to a Mobile Security Manager . . . . . . . . . . . . . . . 425 Creating HIP Objects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 426 General Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 426 Mobile Device Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427 Patch Management Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429 Firewall Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429 Antivirus Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 430 Anti-Spyware Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431 Disk Backup Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431 Disk Encryption Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432 Data Loss Prevention Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432 Custom Checks Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433 Setting Up HIP Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434 Setting Up and Activating the GlobalProtect Agent . . . . . . . . . . . . . . . . . . . . . 435 Setting Up the GlobalProtect Agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437 Using the GlobalProtect Agent. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437 Chapter 10 Configuring Quality of Service. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439 Defining a QoS Profile. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440 Defining a QoS Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441 Enabling QoS for Firewall Interfaces. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445 QoS Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445 Enabling QoS on an Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446 Monitoring a QoS Interface. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 448 Chapter 11 Central Device Management Using Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449 Panorama Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 451 Switching Device Context . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453 Setting Up Storage Partitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 454 Configuring High Availability (HA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455 Managing Devices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457 Backing Up Firewall Configurations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 460 Defining Device Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461 Shared Objects and Policies. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462 Applying Policy to Specific Devices in a Device Group. . . . . . . . . . . . . . . . 463 © Palo Alto Networks, Inc. PAN-OS 7.0 Web Interface Reference Guide • 9 Table of Contents Defining Panorama Administrator Roles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463 Creating Panorama Administrative Accounts . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464 Specifying Panorama Access Domains for Administrators . . . . . . . . . . . . . . . . . . 467 Committing your Changes in Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . 468 Managing Templates and Template Stacks . . . . . . . . . . . . . . . . . . . . . . . . 470 Defining Templates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 471 Defining Template Stacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 472 Overriding Template Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473 Cloning Templates and Template Stacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473 Deleting or Disabling Templates and Template Stacks . . . . . . . . . . . . . . . . . . . . 474 Logging and Reporting. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 474 Enable Log Forwarding. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 474 Managing Log Collectors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 478 Adding a Log Collector . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 479 Installing a Software Update on a Log Collector . . . . . . . . . . . . . . . . . . . . . . . . 483 Defining Log Collector Groups. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 483 Generating User Activity Reports. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 486 Managing Device Updates and Licenses . . . . . . . . . . . . . . . . . . . . . . . . . . 487 Scheduling Dynamic Updates. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 489 Scheduling Configuration Exports. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 490 Upgrading the Panorama Software. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 491 Register VM-Series Firewall as a Service on the NSX Manager . . . . . . . . 493 Updating Information from the VMware Service Manager . . . . . . . . . . . . . 495 Appendix A Common Criteria/Federal Information Processing Standards Support . . 497 Enabling CC/FIPS Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 497 CC/FIPS Security Functions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 497 Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 499 10 • PAN-OS 7.0 Web Interface Reference Guide © Palo Alto Networks, Inc.

Description:
© Palo Alto Networks, Inc. PAN-OS 7.0 Web Interface Reference Guide • 9 Table of Contents Chapter 9
See more

The list of books you might like

Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.