palo-alto-networks
外部客户端应使用我们的代理来通过防火墙进行过滤
我希望外部客户端(4.3.2.1)使用我们的代理(9.9.9.9),将流量转发到我们的防火墙(8.8.8.8),然后将流量转发回我们的客户端(4.3.2.1)。 所以我很好奇: 这个有可能 鱿鱼是最好的选择 有一个快速而简单的指南可用 代理需要位于防火墙前面或后面 我做了相当多的研究,发现代理有多种使用方式,但都不是我想要的方式。 ...
palo-alto-networks
palo-alto-networks
记录 PAN-OS(Palo Alto Networks)防火墙上的传入流量
拥有 Palo Alto Networks PA-200 防火墙,基本设置完成,所有传出流量均允许且运行良好。 这显示在来自创建的内部和外部区域的流量日志中。 我无法记录来自外部区域传入的流量 - 使用数据包捕获功能,我可以看到 ping 到达接口,但无法获得任何显示丢弃数据包的日志。 我怎样才能使这种类型的流量可见? 网上几乎没有关于配置这些设备的信息,而且要达到这一步已经相当困难了! 标签请求: Palo Alto 网络 ...
palo-alto-networks
Ansible“臀部轮廓意外出现” Palo Alto panos_security_rule
我正在尝试使用带有模块的 Ansible 在我的 Palo Alto 防火墙上设置安全策略panos_security_rule。 但是,我不断遇到同样的错误hip-profiles unexpected here。 我发现多份报告关于这个问题,甚至还有 GitHub问题在 Palo Alto 官方存储库上。 我的防火墙版本是 10.0.8 和 10.0.9,有人知道如何解决这个问题吗?我不知道 GitHub 问题需要多长时间才能解决,我真的等不及修复更新了。我想也许有一种解决方法可以防止 hip-profiles 变量成为推送到防火墙的最终配置 xml 文...
palo-alto-networks
Exchange 2019 ActiveSync 内部网络本机 iOS 邮件无法正常工作
我正在从 Exchange 2013 迁移到 2019。在此过程中,我将路由(邮件流、OWA 等)更改为新服务器。 公共路由:公共 DNS 记录 --> Azure Trafficmanager --> 我的 Exchange 的公共 IP 地址 --> NAT 到 Exchange 服务器。ActiveSync 运行完美。 来自访客 Wifi 的内部路由:这是一个允许访问互联网的单独 VLAN。互联网中继有一个指向 Exchange 服务器内部 IP 地址的 OWA/ActiveSync-URL 静态条目。防火墙是访客 Wifi 中的 D...
palo-alto-networks
如何将 Strongswan 连接到 Palo Alto 防火墙
我正在尝试在 StrongSwan 和 palo alto 之间创建一个隧道。StrongSwan 在 Digital Ocean Droplet(Ubuntu)上运行。在我的 中ipsec.conf,我有: conn %default ikelifetime=28800s keyexchange=ikev1 authby=psk type=tunnel conn partner left=1.2.3.4 leftid=1.2.3.4 leftsubnet=10.17.0.6 leftsour...
palo-alto-networks
在 MacOS 上通过 VPN 使用 GlobalProtect VPN
我正在使用 GlobalProtect VPN 客户端访问我公司的网络。我还有一个个人 IPSec VPN 服务器。我想在个人 VPN 之后访问我公司的网络,我的意思是我想先使用个人 VPN,然后运行 GlobalProtect VPN 来访问公司网络。 但是当我自己的 VPN(在 Mac 上)开启时,GlobalProtect VPN 不起作用。 有没有办法在 GlobalProtect VPN 之前再增加一层 VPN 层?我应该更改我的 VPN 服务器协议吗,或者我的 GlobalProtect VPN 客户端中是否有任何设置? ...
palo-alto-networks
Palo Alto 间歇性丢弃 Global Protect 流量
大家,希望我发帖到正确的论坛,Palo Alto 支持还无法为我解决这个问题。 安装了 Palo Alto Global Protect 的用户发现他们的数据包被防火墙拒绝,但只是间歇性的,并且只有当 Global Protect 加入域时才会拒绝,到目前为止仅在 Windows 10 上出现。Windows 7 上可能也会发生这种情况,不确定。 我应该明确说明,这不是 Global Protect 断开连接的情况。它保持连接状态,但数据包开始在防火墙处被拒绝。它在 Global Protect IP 的防火墙日志中显示为在此期间被拒绝。在此期间,该 IP ...
palo-alto-networks
在 ESXi 中通过 Palo Alto 防火墙发送虚拟机流量
我有一个 Palo Alto VM 系列防火墙,已在 ESXi 6.0 机箱中启动。如何让 PAN 充当机箱上所有 VM 的透明防火墙? 我原本希望使用两个 vSwitch,一个用于物理上行链路到内部网络(最终到互联网),另一个用于放置虚拟机(PAN 网络)。在这个“PAN 网络”vSwitch 上,我会让 PAN 的其中一个接口与虚拟机一起放在这里,然后在“内部网络”vSwitch 中放置另一个接口(最终到互联网)。 PAN 提供第 2 层交换机模式或“虚拟线路”模式来帮助透明地运行,但我似乎无法让它按预期工作。这是一个可行的解决方案吗?还是我必须做一...
palo-alto-networks
在 PA-850 上配置多个 ISP 路由器
我正在研究 Palo-Alto 850 防火墙的配置。目前,我们的设施中有 4 个 ISP 路由器(1 个 MPLS/光纤、1 个电缆和 2 个 DSL)。我们希望将它们连接到 L3 交换机,以便我们可以设置 vLan,并从那里将光纤连接到我们的 PA-850 HA 集。是否可以在 PA 上创建 4 个虚拟路由器,并为每个路由器分配一条到特定 vLan/ISP 路由器的路由。 我研究过 PA 文档,它列出了最多 2 个连接的多 ISP 选项,但专门配置为连接故障转移,而不仅仅是根据源/目标 vLans 分离流量。 ...
palo-alto-networks
更改 Palo Alto Networks 防火墙上的密码无效
默认情况下,Palo Alto Networks PA-220 附带超级用户名 admin / 密码 admin。我可以更改这些(通过ssh > set password或通过 Web GUI )Device > Administrators > admin。但密码似乎仍然是 admin。 即使我单击 Web GUI 上的“提交”,并且它显示提交成功,情况也是如此。 (这是一个新品牌的防火墙,甚至尚未获得许可。) ...
palo-alto-networks
Palo Alto 和 nfdump:没有匹配的流
我是 Netflow 的新手,所以也许我的问题在于理解,但我还没有找到有关发生了什么的参考资料。 我有一个 Palo Alto PA500 防火墙,我正在尝试使用 nfdump 将 netflow 统计信息提取到 Ubuntu 盒中。 我已经安装了 nfdump 并运行了 nfcap,没有任何问题: sudo apt-get install nfdump nfcapd -E -T all -p 9001 -l /tmp/nfcaptest 我已经按照文档中所述配置了 Palo Alto: Device / Server Profiles / N...
palo-alto-networks
如何让网站免受公司防火墙的阻拦
我有一个相当新的网站,从未发生过任何可疑的事情,我的一些朋友报告说他们无法在公司访问该网站。我如何确定我处于哪些列表中以及如何退出这些列表?其中一位表示他们的防火墙是 Palo Alto Networks。 ...
palo-alto-networks
Palo Alto 和 Strong Swan 之间的 IPSec - 隧道端点 IP(用于 ESP 传输)之间的流量应通过隧道
有一个 Palo Alto 防火墙(我必须对其进行配置)和一个我无法控制的工业控制器(他们称之为 CP)。 假设 Palo Alto 的外部 IP 为 1.1.1.1,而 CP 的外部 IP 为 2.2.2.2。这些是它们用于相互通信的 IP,这些 IP 可以在连接到 PA 外部接口的嗅探器上看到。 IPSec 隧道建立后,如果 CP 有第二个接口,则一切正常。但其中一些 CP 只有一个接口,只有一个 IP,并且该 IP 应该可以通过隧道访问,但事实并非如此。 从 PA 对 2.2.2.2 进行 ping 操作并观察嗅探器,结果显示原因如下:PA 发送...
palo-alto-networks
DNS 静态工作,但来自 dhcp 池的 DNS 动态不起作用
因此我们有 2 个 DNS 服务器, DNS-Server-A:20.20.33.82(普通 DNS 服务器,我无法访问) DNS-Server-B:172.30.11.254(带有 DNS 代理的 Palo Alto) 核心交换机DHCP池配置: ip dhcp pool wifi-user network 172.20.12.0 255.255.252.0 default-router 172.20.12.1 dns-server 20.20.33.82 172.30.11.254 DNS-Server-A| 20.20.33.82 ...
palo-alto-networks
当 Nginx/Puma Rails 应用服务器通过防火墙联系 PostgreSQL 后端时,最终会出现 504 网关超时
我遇到过一个问题,Rails 应用服务器 (nginx/puma) 和 PostgreSQL 数据服务器在我们的 DMZ 上的同一个 VLAN 上时可以持续通信,但当数据库被隔离到另一个 VLAN 并且应用服务器仍在 DMZ 上时,访问应用服务器的用户最终只会遇到来自 nginx 的 504(网关超时)错误。这些最终的超时似乎与应用程序的实际最终用户使用无关(可能连接分配不足、连接用尽等),因为我注意到这个问题可能发生在周末,那时几乎肯定没有用户在系统中。从第一个 504 网关超时开始,所有后续对服务器的请求都会出错,并出现更多 504 网关超时页面。我想说...