ebook img

Palo Alto Networks® Web Interface Reference Guide PDF

451 Pages·2016·2.78 MB·English
by  
Save to my drive
Quick download
Download
Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.

Preview Palo Alto Networks® Web Interface Reference Guide

PAN-OS® Web Interface Reference Guide Release 6.0 Contact Information Corporate Headquarters: Palo Alto Networks 4401 Great America Parkway Santa Clara, CA 95054 www.paloaltonetworks.com/company/contact-support About this Guide This guide takes you through the configuration and maintenance of your Palo Alto Networks next-generation firewall. For additional information, refer to the following resources:  For information on the additional capabilities and for instructions on configuring the features on the firewall, refer to https://www.paloaltonetworks.com/documentation.  For access to the knowledge base, discussion forums, and videos, refer to https://live.paloaltonetworks.com.  For contacting support, for information on support programs, to manage your account or devices, or to open a support case, refer to https://www.paloaltonetworks.com/support/tabs/overview.html.  For the most current PAN-OS 6.0 release notes, go to https://www.paloaltonetworks.com/documentation/60/pan-os/pan-os-6-0-release-notes.html To provide feedback on the documentation, please write to us at: [email protected]. Palo Alto Networks, Inc. www.paloaltonetworks.com © 2007–2016 Palo Alto Networks, Inc. Palo Alto Networks is a registered trademark of Palo Alto Networks. A list of our trademarks can be found at https://www.paloaltonetworks.com/company/trademarks.html. All other marks mentioned herein may be trademarks of their respective companies. Revision Date: November 14, 2016 2 • PAN-OS 6.0 Web Interface Reference Guide © Palo Alto Networks, Inc. November 14, 2016 - Table of Contents Preface. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 About This Guide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Organization. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Typographical Conventions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Notes and Cautions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Related Documentation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Chapter 2 Introduction. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Firewall Overview. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Features and Benefits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 Management Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 Chapter 3 Getting Started . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 Preparing the Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 Setting Up the Firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 Using the Firewall Web Interface. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Committing Changes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Navigating to Configuration Pages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 Using Tables on Configuration Pages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 Required Fields . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 Locking Transactions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 Supported Browsers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 Getting Help Configuring the Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 Obtaining More Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 Technical Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 Chapter 4 Device Management. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 System Setup, Configuration, and License Management . . . . . . . . . . . . . . . 28 Defining Management Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 Defining Operations Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 Defining Hardware Security Modules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 © Palo Alto Networks, Inc. PAN-OS 6.0 Web Interface Reference Guide • 3 Table of Contents SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 Defining Services Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 Defining Content-ID Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 Configuring WildFire Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 Defining Session Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 Comparing Configuration Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 Installing a License . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 Defining VM Information Sources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 Installing the Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 Updating Threat and Application Definitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 Administrator Roles, Profiles, and Accounts. . . . . . . . . . . . . . . . . . . . . . . . . . 63 Defining Administrator Roles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Defining Password Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 Username and Password Requirements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 Creating Administrative Accounts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 Specifying Access Domains for Administrators . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 Setting Up Authentication Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 Creating a Local User Database . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 Adding Local User Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 Configuring RADIUS Server Settings. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 Configuring LDAP Server Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 Configuring Kerberos Settings (Native Active Directory Authentication) . . . . 74 Setting Up an Authentication Sequence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 Scheduling Log Exports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 Defining Logging Destinations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 Defining Configuration Log Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 Defining System Log Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 Defining HIP Match Log Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 Defining Alarm Log Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 Managing Log Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 Configuring SNMP Trap Destinations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 Configuring Syslog Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 Custom Syslog Field Descriptions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 Configuring Email Notification Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 Configuring Netflow Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 Using Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 Managing Device Certificates. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 Managing the Default Trusted Certificate Authorities. . . . . . . . . . . . . . . . . . . 97 Creating a Certificate Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 Adding an OCSP Responder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 Encrypting Private Keys and Passwords on the Firewall . . . . . . . . . . . . . . . . . . . 100 Enabling HA on the Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 Defining Virtual Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 Configuring Shared Gateways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 Defining Custom Response Pages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 Viewing Support Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 Chapter 5 Network Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 Defining Virtual Wires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 Configuring a Firewall Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 Configuring an Ethernet Interface. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 4 • PAN-OS 6.0 Web Interface Reference Guide © Palo Alto Networks, Inc. Table of Contents Configuring an Ethernet Subinterface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 Configuring a Virtual Wire Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132 Configuring a Virtual Wire Subinterface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132 Configuring a Tap Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 Configuring a Log Card Interface. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 Configuring a Decrypt Mirror Interface. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 Configuring Aggregate Interface Groups. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 Configuring an Aggregate Ethernet Interface. . . . . . . . . . . . . . . . . . . . . . . . . . . 136 Configuring an HA Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 Configuring a VLAN Interface. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 Configuring a Loopback Interfaces. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142 Configuring a Tunnel Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 Configuring a Virtual Router . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145 Configuring the General tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146 Configuring the Static Routes tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146 Configuring the Redistribution Profiles Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147 Configuring the RIP Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148 Configuring the OSPF Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150 Configuring the OSPFv3 Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154 Configuring the BGP Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159 Configuring the Multicast Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 Defining Security Zones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170 VLAN Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171 DHCP Server and Relay . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172 DNS Proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173 Defining Interface Management Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . 175 Defining Monitor Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176 Defining Zone Protection Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176 Configuring Flood Protection. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177 Configuring Reconnaissance Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179 Configuring Packet Based Attack Protection. . . . . . . . . . . . . . . . . . . . . . . . . . . . 180 Chapter 6 Policies and Security Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183 Policy Types . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183 Guidelines on Defining Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184 Specifying Users and Applications for Policies . . . . . . . . . . . . . . . . . . . . . . . . . . 186 Defining Policies on Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187 Defining Security Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188 General Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188 Source Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189 User Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189 Destination Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190 Application Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191 Service/URL Category Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191 Actions Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192 NAT Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193 Determining Zone Configuration in NAT and Security Policy . . . . . . . . . . . . . . . 195 NAT Rule Options. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195 NAT Policy Examples. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196 © Palo Alto Networks, Inc. PAN-OS 6.0 Web Interface Reference Guide • 5 Table of Contents NAT64. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196 NAT64 Examples . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197 The following table describes the values needed in this NAT64 policy. . . . . . . . 198 Defining Network Address Translation Policies . . . . . . . . . . . . . . . . . . . . . 201 General Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 Original Packet Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202 Translated Packet Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202 Policy-Based Forwarding Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204 General Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204 Source Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 Destination/Application/Service Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206 Forwarding Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206 Decryption Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 General Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208 Source Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208 Destination Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209 URL Category Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210 Options Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210 Defining Application Override Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . 210 General Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211 Source Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212 Destination Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212 Protocol/Application Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212 Defining Captive Portal Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213 General Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213 Source Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214 Destination Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214 Service/URL Category Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214 Action Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215 Defining DoS Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215 General Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215 Source Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217 Destination Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218 Options/Protection Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218 Security Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219 Antivirus Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220 Antivirus Profile Page. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221 Antivirus Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221 Exceptions Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222 Anti-spyware Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222 Vulnerability Protection Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226 URL Filtering Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229 File Blocking Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234 Data Filtering Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239 DoS Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241 Other Policy Objects. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 Defining Address Objects. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 Defining Address Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245 Defining Regions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246 Applications and Application Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248 Defining Applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252 6 • PAN-OS 6.0 Web Interface Reference Guide © Palo Alto Networks, Inc. Table of Contents Defining Application Groups. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255 Application Filters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255 Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256 Service Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257 Working with Tags . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258 Data Patterns . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259 Dynamic Block Lists . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260 Custom Spyware and Vulnerability Signatures . . . . . . . . . . . . . . . . . . . . . 261 Defining Data Patterns . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262 Defining Spyware and Vulnerability Signatures. . . . . . . . . . . . . . . . . . . . . . . . . . 262 Custom URL Categories. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266 Security Profile Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266 Log Forwarding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268 Decryption Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269 Schedules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272 Chapter 7 Reports and Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273 Using the Dashboard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274 Using the Application Command Center. . . . . . . . . . . . . . . . . . . . . . . . . . . 275 Using App-Scope . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279 Summary Report. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280 Change Monitor Report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281 Threat Monitor Report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282 Threat Map Report. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283 Network Monitor Report. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284 Traffic Map Report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286 Viewing the Logs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287 Viewing Session Information. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290 Working with Botnet Reports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290 Managing Botnet Reports. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291 Configuring the Botnet Report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291 Managing PDF Summary Reports. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293 Managing User/Group Activity Reports. . . . . . . . . . . . . . . . . . . . . . . . . . . 295 Managing Report Groups. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296 Scheduling Reports for Email Delivery . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296 Viewing Reports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297 Generating Custom Reports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297 Taking Packet Captures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298 Chapter 8 Configuring the Firewall for User Identification . . . . . . . . . . . . . . . . . . . 301 Configuring the Firewall for User Identification . . . . . . . . . . . . . . . . . . . . . 301 User Mapping Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302 User-ID Agents Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308 Terminal Services Agents Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310 © Palo Alto Networks, Inc. PAN-OS 6.0 Web Interface Reference Guide • 7 Table of Contents Group Mapping Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311 Captive Portal Settings Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312 Chapter 9 Configuring IPSec Tunnels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317 Defining IKE Gateways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317 IKE Gateway General Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318 IKE Gateway Advanced Phase 1 Options Tab . . . . . . . . . . . . . . . . . . . . . . . . . . 318 Setting Up IPSec Tunnels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319 IPSec Tunnel General Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319 IPSec Tunnel Proxy ID Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321 Viewing IPSec Tunnel Status on the Firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322 Defining IKE Crypto Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322 Defining IPSec Crypto Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323 Chapter 10 GlobalProtect Settings. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333 Setting Up the GlobalProtect Portal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333 Portal Configuration Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333 Client Configuration Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335 Satellite Configuration Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341 Setting Up the GlobalProtect Gateways . . . . . . . . . . . . . . . . . . . . . . . . . . 343 General Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343 Client Configuration Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344 Satellite Configuration Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347 Setting Up Gateway Access to a Mobile Security Manager . . . . . . . . . . 349 Creating HIP Objects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351 General Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351 Mobile Device Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352 Patch Management Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354 Firewall Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354 Antivirus Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355 Anti-Spyware Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356 Disk Backup Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356 Disk Encryption Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357 Data Loss Prevention Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357 Custom Checks Tab. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358 Setting Up HIP Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359 Setting Up and Activating the GlobalProtect Agent . . . . . . . . . . . . . . . . . 360 Setting Up the GlobalProtect Agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362 Using the GlobalProtect Agent. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362 Chapter 11 Configuring Quality of Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363 Configuring QoS for Firewall Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . 363 Defining QoS Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365 8 • PAN-OS 6.0 Web Interface Reference Guide © Palo Alto Networks, Inc. Table of Contents Defining QoS Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366 Displaying QoS Statistics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370 Chapter 12 Central Device Management Using Panorama. . . . . . . . . . . . . . . . . . . . 371 Panorama Tab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372 Switching Device Context . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375 Setting Up Storage Partitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375 Configuring High Availability (HA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376 Adding Devices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378 Backing Up Firewall Configurations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380 Defining Device Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381 Shared Objects and Policies. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382 Applying Policy to a Specific Device in a Device Group . . . . . . . . . . . . . . . . . . . 383 Defining Panorama Administrator Roles . . . . . . . . . . . . . . . . . . . . . . . . . . 383 Creating Panorama Administrative Accounts . . . . . . . . . . . . . . . . . . . . . . . 384 Specifying Panorama Access Domains for Administrators . . . . . . . . . . . . . 387 Committing your Changes in Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . 387 Templates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389 Overriding Template Settings. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390 Deleting Templates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391 Logging and Reporting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391 Managing Log Collectors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392 Adding a Log Collector. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392 Installing a Software Update on a Collector . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395 Defining Log Collector Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395 Generating User Activity Reports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397 Viewing Firewall Deployment Information . . . . . . . . . . . . . . . . . . . . . . . . . 398 Scheduling Dynamic Updates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399 Scheduling Configuration Exports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399 Upgrading the Panorama Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401 Enable Log Forwarding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401 Register the VM-Series Firewall as a Service on the NSX Manager . . . . . 405 Updating Information from the VMware Service Manager . . . . . . . . . . . . . . . . . 406 Appendix 13 Custom Pages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407 Antivirus and Anti-spyware Block Page . . . . . . . . . . . . . . . . . . . . . . . . . . . 407 Application Block Page . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409 File Blocking Block Page . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409 SSL Decryption Opt-out Page . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410 Captive Portal Comfort Page . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410 SSL VPN Login Page . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410 SSL Certificate Revoked Notify Page . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412 URL Filtering and Category Match Block Page . . . . . . . . . . . . . . . . . . . . . 412 © Palo Alto Networks, Inc. PAN-OS 6.0 Web Interface Reference Guide • 9 Table of Contents URL Filtering Continue and Override Page . . . . . . . . . . . . . . . . . . . . . . . . 413 URL Filtering Safe Search Enforcement Block Page . . . . . . . . . . . . . . . . . . 414 Appendix 14 Application Categories, Subcategories, Technologies, and Characteristics 415 Application Categories and Subcategories . . . . . . . . . . . . . . . . . . . . . . . . 415 Application Technologies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417 Application Characteristics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417 Appendix 15 Common Criteria/Federal Information Processing Standards Support. . 419 Enabling CC/FIPS Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419 CC/FIPS Security Functions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419 Appendix 16 Open Source Licenses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421 Artistic License. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422 BSD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423 GNU General Public License. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424 GNU Lesser General Public License . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 428 MIT/X11 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434 OpenSSH. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434 PSF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438 PHP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438 Zlib . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439 Appendix 17 Firewall Access to External Web Resources. . . . . . . . . . . . . . . . . . . . . . . 441 Application Database. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442 Threat/Antivirus Database . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442 PAN-DB URL Filtering Database. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442 Brightcloud URL Filtering Database . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442 WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442 Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445 10 • PAN-OS 6.0 Web Interface Reference Guide © Palo Alto Networks, Inc.

Description:
Defining Policies on Panorama 187 .. Managing PDF Summary Reports . Defining IPSec Crypto Profiles .
See more

The list of books you might like

Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.