Palo Alto Networks Web Interface Reference Guide Version 7.0 Contact Information Corporate Headquarters: Palo Alto Networks 4401 Great America Parkway Santa Clara, CA 95054 www.paloaltonetworks.com/company/contact-us About this Guide This guide describes the Palo Alto Networks next-generation firewall and Panorama™ web interfaces. It provides information on how to use the web interface and reference information about how to populate fields within the interface: For information on the additional capabilities and for instructions on configuring the features on the firewall, refer to https://www.paloaltonetworks.com/documentation. For access to the knowledge base, complete documentation set, discussion forums, and videos, refer to https://live.paloaltonetworks.com. For contacting support, for information on support programs, to manage your account or devices, or to open a support case, refer to https://www.paloaltonetworks.com/support/tabs/overview.html. For the most current PAN-OS and Panorama 7.0 release notes, go to https://www.paloaltonetworks.com/documentation/70/pan-os/pan-os-release-notes.html. To provide feedback on the documentation, please write to us at: [email protected]. Palo Alto Networks, Inc. www.paloaltonetworks.com © 2015–2016 Palo Alto Networks, Inc. Palo Alto Networks is a registered trademark of Palo Alto Networks. A list of our trademarks can be found at http://www.paloaltonetworks.com/company/trademarks.html. All other marks mentioned herein may be trademarks of their respective companies. Revision Date: November 10, 2016 2 • PAN-OS 7.0 Web Interface Reference Guide © Palo Alto Networks, Inc. November 10, 2016 - Table of Contents Chapter 1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Firewall Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Features and Benefits. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Management Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Chapter 2 Getting Started. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Using the Palo Alto Networks Firewall Web Interface. . . . . . . . . . . . . . . . . 16 Committing Changes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 Searching the Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 Locking Transactions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Supported Browsers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Getting Help Configuring the Firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Obtaining More Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Technical Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Chapter 3 Device Management. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 System Setup, Configuration, and License Management . . . . . . . . . . . . . . . . . . . 26 Defining Management Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 Defining Operations Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 Defining Hardware Security Modules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 Enabling SNMP Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 Defining Services Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 Destination Service Route. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 Defining a DNS Server Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 Defining Content-ID Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 Configuring WildFire Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 Defining Session Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 Session Settings. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 Session Timeouts. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 Decryption Settings: Certificate Revocation Checking . . . . . . . . . . . . . . . . . . 62 Decryption Settings: Forward Proxy Server Certificate Settings. . . . . . . . . . 63 VPN Session Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Comparing Configuration Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 © Palo Alto Networks, Inc. PAN-OS 7.0 Web Interface Reference Guide • 3 Table of Contents Installing a License . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 Behavior on License Expiry . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 Defining VM Information Sources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 Installing the Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 Updating Threat and Application Definitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 Administrator Roles, Profiles, and Accounts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 Defining Administrator Roles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 Defining Password Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 Username and Password Requirements. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 Creating Administrative Accounts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 Specifying Access Domains for Administrators . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 Setting Up Authentication Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 Creating a Local User Database . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 Adding Local User Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 Configuring RADIUS Server Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 Configuring TACACS+ Server Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 Configuring LDAP Server Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 Configuring Kerberos Server Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 Setting Up an Authentication Sequence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 Scheduling Log Exports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 Defining Logging Destinations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 Configuration Log Settings. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 System Log Settings. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 Correlation Log Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 HIP Match Log Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 Defining Alarm Settings. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 Managing Log Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 Configuring SNMP Trap Destinations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 Configuring Syslog Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 Configuring Email Notification Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 Configuring Netflow Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 Configuring a DNS Server Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 Using Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 Managing Device Certificates. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 Managing the Default Trusted Certificate Authorities. . . . . . . . . . . . . . . . . . 108 Creating a Certificate Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 Adding an OCSP Responder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 Managing SSL/TLS Service Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 Encrypting Private Keys and Passwords on the Firewall . . . . . . . . . . . . . . . . . . . 112 Enabling HA on the Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 Defining Virtual Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 Configuring Shared Gateways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 Defining Custom Response Pages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 Viewing Support Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 Chapter 4 Network Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 Defining Virtual Wires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 Configuring a Firewall Interface. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130 Firewall Interfaces Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 Common Building Blocks for Firewall Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . 132 Common Building Blocks for PA-7000 Series Firewall Interfaces . . . . . . . . . . . . 133 4 • PAN-OS 7.0 Web Interface Reference Guide © Palo Alto Networks, Inc. Table of Contents Configure a Layer 2 Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 Configure a Layer 2 Subinterface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 Configure a Layer 3 Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 Configure a Layer 3 Subinterface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 Configure a Virtual Wire Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148 Configure a Virtual Wire Subinterface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150 Configure a Tap Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150 Configure a Log Card Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151 Configure a Log Card Subinterface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 Configure a Decrypt Mirror Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153 Configure an Aggregate Interface Group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153 Configure an Aggregate Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 Configure an HA Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 Configure a VLAN Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158 Configure a Loopback Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 Configure a Tunnel Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164 Configuring a Virtual Router . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166 Configuring the General tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166 Configuring the Static Routes tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 Configuring the Redistribution Profiles Tab . . . . . . . . . . . . . . . . . . . . . . . . . 168 Configuring the RIP Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169 Configuring the OSPF Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171 Configuring the OSPFv3 Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176 Configuring the BGP Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 Configuring the Multicast Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189 Defining Security Zones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192 Building Blocks of ECMP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194 More Runtime Stats for a Virtual Router . . . . . . . . . . . . . . . . . . . . . . . . . . . 195 Configuring VLAN Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 Configuring DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202 DHCP Overview. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202 DHCP Addressing. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202 Building Blocks of DHCP Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 Building Blocks of DHCP Relay. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 Building Blocks of DHCP Client. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208 Example: Configure a DHCP Server with Custom Options. . . . . . . . . . . . . . 208 Configuring DNS Proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211 DNS Proxy Overview. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212 Building Blocks of DNS Proxy. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212 Additional DNS Proxy Actions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214 Configuring LLDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214 LLDP Overview. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215 Building Blocks of LLDP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215 Defining Interface Management Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218 Defining Monitor Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219 Defining Zone Protection Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220 Configuring Flood Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221 Configuring Reconnaissance Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222 Configuring Packet Based Attack Protection . . . . . . . . . . . . . . . . . . . . . . . . 223 Defining LLDP Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227 Building Blocks of LLDP Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227 © Palo Alto Networks, Inc. PAN-OS 7.0 Web Interface Reference Guide • 5 Table of Contents Chapter 5 Policies and Security Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229 Policy Types . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229 Moving or Cloning a Policy or Object. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230 Overriding or Reverting a Default Security Rule. . . . . . . . . . . . . . . . . . . . . . 230 Overriding or Reverting an Object. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232 Specifying Users and Applications for Policies . . . . . . . . . . . . . . . . . . . . . . . 233 Defining Policies on Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233 Defining Security Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234 Security Policies Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235 Building Blocks in a Security Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236 Creating and Managing Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244 NAT Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246 Determining Zone Configuration in NAT and Security Policy . . . . . . . . . . . . 248 NAT Rule Options. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248 NAT Policy Examples. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249 NAT64. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250 NAT64 Examples. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250 Defining Network Address Translation Policies . . . . . . . . . . . . . . . . . . . . . . . . . . 253 General Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254 Original Packet Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255 Translated Packet Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255 Policy-Based Forwarding Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257 General Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258 Source Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258 Destination/Application/Service Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259 Forwarding Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260 Decryption Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260 General Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261 Source Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262 Destination Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263 Service/URL Category Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263 Options Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263 Defining Application Override Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264 General Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265 Source Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265 Destination Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266 Protocol/Application Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266 Defining Captive Portal Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266 General Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267 Source Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267 Destination Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268 Service/URL Category Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268 Action Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269 Defining DoS Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269 General Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269 Source Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270 Destination Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271 Options/Protection Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271 6 • PAN-OS 7.0 Web Interface Reference Guide © Palo Alto Networks, Inc. Table of Contents Security Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272 Actions in Security Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272 Antivirus Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274 Antivirus Profile Dialog. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274 Antivirus Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275 Exceptions Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275 Anti-Spyware Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276 Vulnerability Protection Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279 URL Filtering Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282 File Blocking Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286 WildFire Analysis Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291 Data Filtering Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291 DoS Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293 Other Policy Objects. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295 Defining Address Objects. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296 Defining Address Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297 Defining Regions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300 Applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301 Applications Overview. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301 Defining Applications. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307 Defining Application Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310 Application Filters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310 Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311 Service Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312 Tags . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313 Create Tags . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313 Use the Tag Browser. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314 Manage Tags. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316 Data Patterns . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317 Dynamic Block Lists . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319 Custom Spyware and Vulnerability Signatures . . . . . . . . . . . . . . . . . . . . . . . . . 321 Defining Data Patterns. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321 Defining Spyware and Vulnerability Signatures . . . . . . . . . . . . . . . . . . . . . 322 Custom URL Categories . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325 Security Profile Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327 Log Forwarding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328 Decryption Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329 Schedules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333 Chapter 6 Reports and Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335 Using the Dashboard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336 Using the Application Command Center. . . . . . . . . . . . . . . . . . . . . . . . . . . 338 Views . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340 Widgets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341 Actions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342 Using App Scope . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346 Summary Report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347 Change Monitor Report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348 Threat Monitor Report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349 Threat Map Report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351 © Palo Alto Networks, Inc. PAN-OS 7.0 Web Interface Reference Guide • 7 Table of Contents Network Monitor Report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352 Traffic Map Report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354 Viewing the Logs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355 Interacting with Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357 Viewing Session Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359 Using the Automated Correlation Engine . . . . . . . . . . . . . . . . . . . . . . . . . . 360 View the Correlation Objects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360 View the Correlated Events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361 Working with Botnet Reports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362 Managing Botnet Reports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362 Configuring the Botnet Report. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363 Managing PDF Summary Reports. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365 Managing User/Group Activity Reports. . . . . . . . . . . . . . . . . . . . . . . . . . . 367 Managing Report Groups. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368 Scheduling Reports for Email Delivery . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369 Viewing Reports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369 Generating Custom Reports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370 Taking Packet Captures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371 Packet Capture Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372 Building Blocks for a Custom Packet Capture . . . . . . . . . . . . . . . . . . . . . . . . . . . 372 Enable Threat Packet Capture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375 Chapter 7 Configuring the Firewall for User Identification. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377 Configuring the Firewall for User Identification . . . . . . . . . . . . . . . . . . . . . . . . . . 377 User Mapping Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378 User-ID Agents Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384 Terminal Services Agents Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386 Group Mapping Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386 Captive Portal Settings Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389 Chapter 8 Configuring IPSec Tunnels. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393 Defining IKE Gateways. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393 Managing IKE Gateways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393 IKE Gateway General Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394 IKE Gateway Advanced Options Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397 Restart or Refresh an IKE Gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399 Setting Up IPSec Tunnels. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399 Managing IPSec VPN Tunnels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399 IPSec Tunnel General Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400 IPSec Tunnel Proxy IDs Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402 Viewing IPSec Tunnel Status on the Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403 Restart or Refresh an IPSec Tunnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403 Defining IKE Crypto Profiles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404 Defining IPSec Crypto Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405 Defining GlobalProtect IPSec Crypto Profiles . . . . . . . . . . . . . . . . . . . . . . 406 8 • PAN-OS 7.0 Web Interface Reference Guide © Palo Alto Networks, Inc. Table of Contents Chapter 9 GlobalProtect Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407 Setting Up the GlobalProtect Portal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407 Portal Configuration Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407 Client Configuration Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409 Satellite Configuration Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415 Setting Up the GlobalProtect Gateways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417 General Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417 Client Configuration Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418 Satellite Configuration Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422 Setting Up Gateway Access to a Mobile Security Manager . . . . . . . . . . . . . . . 425 Creating HIP Objects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 426 General Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 426 Mobile Device Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427 Patch Management Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429 Firewall Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429 Antivirus Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 430 Anti-Spyware Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431 Disk Backup Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431 Disk Encryption Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432 Data Loss Prevention Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432 Custom Checks Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433 Setting Up HIP Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434 Setting Up and Activating the GlobalProtect Agent . . . . . . . . . . . . . . . . . . . . . 435 Setting Up the GlobalProtect Agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437 Using the GlobalProtect Agent. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437 Chapter 10 Configuring Quality of Service. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439 Defining a QoS Profile. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440 Defining a QoS Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441 Enabling QoS for Firewall Interfaces. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445 QoS Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445 Enabling QoS on an Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446 Monitoring a QoS Interface. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 448 Chapter 11 Central Device Management Using Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449 Panorama Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 451 Switching Device Context . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453 Setting Up Storage Partitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 454 Configuring High Availability (HA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455 Managing Devices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457 Backing Up Firewall Configurations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 460 Defining Device Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461 Shared Objects and Policies. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462 Applying Policy to Specific Devices in a Device Group. . . . . . . . . . . . . . . . 463 © Palo Alto Networks, Inc. PAN-OS 7.0 Web Interface Reference Guide • 9 Table of Contents Defining Panorama Administrator Roles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463 Creating Panorama Administrative Accounts . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464 Specifying Panorama Access Domains for Administrators . . . . . . . . . . . . . . . . . . 467 Committing your Changes in Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . 468 Managing Templates and Template Stacks . . . . . . . . . . . . . . . . . . . . . . . . 470 Defining Templates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 471 Defining Template Stacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 472 Overriding Template Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473 Cloning Templates and Template Stacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473 Deleting or Disabling Templates and Template Stacks . . . . . . . . . . . . . . . . . . . . 474 Logging and Reporting. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 474 Enable Log Forwarding. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 474 Managing Log Collectors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 478 Adding a Log Collector . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 479 Installing a Software Update on a Log Collector . . . . . . . . . . . . . . . . . . . . . . . . 483 Defining Log Collector Groups. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 483 Generating User Activity Reports. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 486 Managing Device Updates and Licenses . . . . . . . . . . . . . . . . . . . . . . . . . . 487 Scheduling Dynamic Updates. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 489 Scheduling Configuration Exports. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 490 Upgrading the Panorama Software. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 491 Register VM-Series Firewall as a Service on the NSX Manager . . . . . . . . 493 Updating Information from the VMware Service Manager . . . . . . . . . . . . . 495 Appendix A Common Criteria/Federal Information Processing Standards Support . . 497 Enabling CC/FIPS Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 497 CC/FIPS Security Functions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 497 Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 499 10 • PAN-OS 7.0 Web Interface Reference Guide © Palo Alto Networks, Inc.
Description: