Palo Alto Networks Administrator’s Guide Release 3.0 5/29/09 Final Review Draft - Palo Alto Networks COMPANY CONFIDENTIAL Palo Alto Networks, Inc. www.paloaltonetworks.com © 2007-2009 Palo Alto Networks. All rights reserved. Palo Alto Networks, PAN-OS, and Panorama are trademarks of Palo Alto Networks, Inc. All other trademarks are the property of their respective owners. P/N 810-000044-00A May 29, 2009 - Palo Alto Networks COMPANY CONFIDENTIAL Table of Contents Preface. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 About This Guide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Organization. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Typographical Conventions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 Notes and Cautions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Related Documentation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Obtaining More Information. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Technical Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Chapter 1 Introduction. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 About the Firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Features and Benefits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 About the Management Interfaces. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 Overview of Key Concepts. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 About Security Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 About Security Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 About Virtual Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 About Virtual Routers and Routing Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 About Virtual Private Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 Chapter 2 Firewall Installation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Pre-Installation Tasks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Installation Procedure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Performing the Initial Setup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Choosing a Deployment Option . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Performing the Final Setup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 Connecting to Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 Post-Installation Tasks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 Palo Alto Networks • 3 Chapter 3 Device Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 System Setup and Configuration Management . . . . . . . . . . . . . . . . . . . . . . 40 Defining the Host Name and Network Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 Comparing Configuration Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 Managing Configurations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 Managing Administrator Roles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 Creating Administrative Accounts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 Configuring User Identification. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 Configuring the User Identification Agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 Configuring the Firewall to Support Terminal Servers . . . . . . . . . . . . . . . . . . . . . . 62 Defining Virtual Systems. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 Configuring High Availability. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 Defining Custom Response Pages. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 Defining Configuration and System Log Settings . . . . . . . . . . . . . . . . . . . . . 76 About the Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 Defining Configuration Log Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 Defining System Log Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 Defining Log Destinations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 About Log Destinations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 Defining SNMP Trap Destinations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 Defining Syslog Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 Defining Email Notification Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 Scheduling Log Exports. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 Upgrading the PAN-OS Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 Updating Threat and Application Definitions. . . . . . . . . . . . . . . . . . . . . . . . 88 Installing a License. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 Importing, Exporting and Generating Security Certificates. . . . . . . . . . . . . 91 Viewing Support Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 Chapter 4 Network Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 Networking Overview. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 Deployment Types . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 Virtual Wire Deployments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 Layer 2 Deployments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 Layer 3 Deployments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 Tap Mode Deployments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 Summary of Interface Types . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 Configuring Interfaces. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 Viewing the Current Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 Configuring Layer 2 Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 Configuring Layer 2 Subinterfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 Configuring Layer 3 Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 Configuring Aggregate Ethernet Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 Configuring Layer 3 Subinterfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 Configuring Virtual Wire Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 Configuring Aggregate Interface Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 4 • Palo Alto Networks Configuring VLAN Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 Configuring Loopback Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 Configuring Tap Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 Configuring High Availability Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 Defining Security Zones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 Defining VLANs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 Defining Virtual Wires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 Defining Virtual Routers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122 Defining DHCP Options. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130 Defining Network Profiles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 Setting Up IKE Gateways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 Defining Interface Management Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136 Defining Zone Protection Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 Chapter 5 Policies and Security Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 About Policies and Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 Defining Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 Defining Security Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 Defining Network Address Translation Policies . . . . . . . . . . . . . . . . . . . . . . . . . 150 Defining SSL Decryption Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154 Defining Application Override Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158 Defining Captive Portal Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160 Specifying Users and Applications for Policies . . . . . . . . . . . . . . . . . . . . . . . . . . 163 Defining Security Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164 Defining Antivirus Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 Defining Anti-Spyware Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 Defining Vulnerability Protection Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 Defining URL Filtering Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 Defining File Blocking Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182 Defining Log Forwarding Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 Defining Data Filtering Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188 Defining Security Profile Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191 Defining Policy Objects. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192 Defining Addresses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193 Defining Address Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195 Defining Applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196 Defining Application Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202 Defining Application Filters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204 Defining Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 Defining Service Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 Defining Data Patterns . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209 Defining Schedules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212 Palo Alto Networks • 5 Chapter 6 Reports and Logs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215 Using the Dashboard. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216 Using the Application Command Center. . . . . . . . . . . . . . . . . . . . . . . . . . . 217 Viewing App-Scope Reports. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221 Summary Report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222 Change Monitor Report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223 Threat Monitor Report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224 Threat Map Report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225 Network Monitor Report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227 Traffic Map Report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228 Viewing the Logs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229 Managing PDF Summary Reports. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234 Managing User Activity Reports. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238 Managing Report Groups. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239 Scheduling Reports for Email Delivery . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240 Viewing Reports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241 Generating Custom Reports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244 Identifying Unknown Applications and Taking Action. . . . . . . . . . . . . . . . . 246 Taking Action . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248 Chapter 7 Configuring SSL VPNs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251 About SSL VPNs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251 Setting Up SSL VPNs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252 Downloading and Activating the NetConnect SSL VPN Client . . . . . . . . . . 255 Configuring Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256 Creating a Local User Database . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258 Adding Local Users . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258 Adding Local User Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259 Chapter 8 Configuring IPSec Tunnels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261 About IPSec VPN Support on the Firewall . . . . . . . . . . . . . . . . . . . . . . . . . 261 Defining IKE Crypto Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263 Defining IPSec Crypto Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264 Defining Tunnel Monitor Profiles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266 Setting Up IPSec Tunnels. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268 6 • Palo Alto Networks Chapter 9 Configuring Quality of Service. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271 About Firewall Support for QoS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271 Configuring QoS for Firewall Interfaces. . . . . . . . . . . . . . . . . . . . . . . . . . . 272 Defining QoS Profiles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275 Defining QoS Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277 Chapter 10 Panorama Installation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281 Installing Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281 Setting Up a Custom Virtual Disk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282 Performing the Final Setup. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283 Accessing Panorama for the First Time. . . . . . . . . . . . . . . . . . . . . . . . . . . . 283 Creating an SSL Certificate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284 Chapter 11 Central Management of Devices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285 Accessing the Panorama Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285 Overview of the Panorama Interface. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286 Panorama Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288 Viewing Information on Individual Devices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289 Adding Devices. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289 Defining Device Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291 Managing Administrator Roles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293 Upgrading the Panorama Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295 Backing Up Firewall Configurations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296 Appendix A Custom Pages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299 Default Antivirus Response Page . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299 Default Application Block Page . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301 Default File Blocking Block Page . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301 Default URL Filtering Response Page . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302 Default Anti-Spyware Download Response Page . . . . . . . . . . . . . . . . . . . . . . . . 303 Default SSL Decryption Opt-out Response Page . . . . . . . . . . . . . . . . . . . . . . . . . 303 Captive Portal Comfort Page . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304 URL Filtering Continue and Override Page . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304 SSL VPN Login Page . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305 SSL Certificate Revoked Notify Page . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305 Palo Alto Networks • 7 Appendix B Sample VPN Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307 Existing Topology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307 New Topology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308 Configure the VPN Connection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308 VPN Connectivity Troubleshooting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309 Appendix C Application Categories, Subcategories, Technologies, and Characteristics 311 Application Categories and Subcategories . . . . . . . . . . . . . . . . . . . . . . . . 311 Application Technologies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312 Application Characteristics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313 Appendix D Open Source Licenses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315 Artistic License. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316 BSD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317 GNU General Public License. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318 GNU Lesser General Public License . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322 MIT/X11 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328 OpenSSH. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328 PSF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332 PHP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332 Zlib . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333 Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335 8 • Palo Alto Networks May 29, 2009 - Palo Alto Networks COMPANY CONFIDENTIAL Preface This preface contains the following sections: • “About This Guide” in the next section (cid:129) “Organization” on page9 (cid:129) “Typographical Conventions” on page10 (cid:129) “Related Documentation” on page11 (cid:129) “Obtaining More Information” on page11 (cid:129) “Technical Support” on page11 About This Guide This guide describes how to administer the Palo Alto Networks firewall using the device’s web interface. This guide is intended for system administrators responsible for deploying, operating, and maintaining the firewall. Organization This guide is organized as follows: (cid:129) Chapter1, “Introduction”—Provides an overview of the firewall. (cid:129) Chapter2, “Firewall Installation”—Describes how to install the firewall. (cid:129) Chapter3, “Device Management”—Describes how to perform basic system configuration and maintenance for the firewall, including how to configure a pair of firewalls for high availability, define user accounts, update the software, and manage configurations. (cid:129) Chapter4, “Network Configuration”—Describes how to configure the firewall for your network. The firewall supports virtual wire, Layer 2, Layer 3, and combined Layer 2/ Layer 3 configurations. (cid:129) Chapter5, “Policies and Security Profiles”—Describes how to configure security policies and profiles by zone, users, source/destination address, and application. Palo Alto Networks Preface • 9 Typographical Conventions (cid:129) Chapter6, “Reports and Logs”—Describes how to view the reports and logs provided with the firewall. (cid:129) Chapter7, “Configuring SSL VPNs”— Describes how configure virtual private networks (VPNs) using Secure Socket Layer (SSL). (cid:129) Chapter8, “Configuring IPSec Tunnels”— Describes how to configure IP Security (IPSec) tunnels on the firewall. (cid:129) Chapter9, “Configuring Quality of Service”— Describes how to configure quality of service (QoS) on the firewall. (cid:129) Chapter10, “Panorama Installation”—Describes how to install the Central Management System (CMS) for the High Definition Firewalls. (cid:129) Chapter11, “Central Management of Devices”— Describes how to use Panorama to manage multiple firewalls. (cid:129) AppendixA, “Custom Pages”—Provides HTML code for custom response pages to notify end users of policy violations or special access conditions. (cid:129) AppendixB, “Sample VPN Configuration”—Provides a sample VPN configuration to establish a VPN tunnel between a central and branch office. (cid:129) AppendixC, “Application Categories, Subcategories, Technologies, and Characteristics”—Contains a list of the application categories defined by Palo Alto Networks. (cid:129) AppendixD, “Open Source Licenses”—Includes information on applicable open source licenses. Typographical Conventions This guide uses the following typographical conventions for special terms and instructions. Convention Meaning Example boldface Names of commands, keywords, and Click Security to open the Security selectable items in the web interface Rules page. italics Name of parameters, files, The address of the Palo Alto Networks directories, or Uniform Resource home page is Locators (URLs) http://www.paloaltonetworks.com courier font Coding examples and text that you Enter the following command: enter at the command prompt a:\setup Click Click the left mouse button Click Administrators under the Devices tab. Right-click Click the right mouse button. Right-click on the number of a rule you want to copy, and select Clone Rule. 10 • Preface Palo Alto Networks