分享小众的网络设备----Palo Alto网络防
本帖最后由 xplvk 于 2024-1-1 22:22 编辑【Home Lab】 比较冷门的家庭实验室 >>>> 已经更新在新贴上!
【Home Lab】无尽折腾中。。。。。。(搬家后继续)
【HOMELAB】 无尽的折腾 -- 补完篇
潜水多年发现论坛里好像没有分享过关于防火墙的帖子,几乎都是某某全家桶、交换机、路由器包含软硬路由、机柜,很少人关注过网络安全方面的内容,最多就是DNS方面包括AD Guard之类的。相信很多大大也有在用或者用过pfSense之类的自建防火墙,我也是用了pfSense配合snort插件很多年。因为以前工作性质的关系(外资银行的IT部门),需要接触很多业内有名的产品像Netscreen, Checkpoint, Fortinet, Symantec, Cisco等但有一样没有机会接触到长年在魔力象限霸榜的Palo Alto。
直到两年多前疫情期间无聊,再加上家里申请了一条商业线路,于是抱着跪键盘的觉悟,买了一台入门级的PA-220回家,这是一款PA家里面最低端面向小型企业的桌面型,无风扇,无散热片,纯靠通风孔散热的防火墙。我记得当时回到家,门口随便放在地上的小盒子,我以为是Palo Alto会用一个很大的盒子里塞满泡沫寄来,里面就一个气囊包裹附上一个外置电源。
体积虽然很小但很有分量,各个面都有一定面积的散热网,背面原生支持双路外置电源输入,第二个电源要“加钱”。。。反正我有双路UPS后备电源,所以就不花167刀去买了。
配置介面是网页方式,只要有一定的网络基础配合官方的文档,就可以搞通各种配置。
防火墙部署的位置是标准的桥接在路由器和核心交换机之间。我的做法是将LAN1 和LAN2配置成透明模式,所有通过两个口之间的流量都会被各种安全过滤处理,包括防毒、防间谍、安全攻击、URL过滤、文件过滤、野火分析、数据过滤、DoS保护,其中野火分析是通过PA在线式实时分析流量里的数据。LAN3用作对内网提供DHCP, DNS, GlobalProtect(VxN)。
下图是当时的网络机柜设备,对比N年前的上一次折腾分享(https://www.chiphell.com/thread-1643682-1-1.html)已经作了大幅度,路由器由巨无霸C3945e换成C1111-4P再换由多功能的4331, 在能效比上进度了很多。关于具体的网络架构介绍,我尽量会之后发贴分享。
两年用下来已经现在回不去了,它的安全保护全面、且稳定,速度完全跑满上下行双方向940M带宽,比较特别是防火墙上有两个处理器,一个处理数据流量, 一个处理管理,在防火墙上的管理操作(查日志、配置、导出、数据分析)是不会影响处理数据CPU的性能的,设计上和Fortinet相似。
说得这么好的防火墙当然也会很缺点的,第一点肯定是使用成本的,不只购买防火墙硬件本身,每年还要支付授权费用。失去授权的防火墙就跟鸡肋一样,没有安全过滤的更新,没有远程**接入。第二点就是“性能”极低的问题,就像上面提到的,性能极低的是处理管理部分的CPU,查看日志要等、配置要等、提交保存配置更离谱每次都足足要15到20分钟的用时,升级固件重启的话更需要30分钟以上。。。这个对于每天都会折腾配置的我是十分痛苦的,每做一次变更都要漫长的等待。于是就有了最近 的升级。。。
PA440的体积比220大一圈,重量也重一倍,全金属机身本身也是散热片作为被动散热,性能飞跃提升,保存配置的时间从20分钟减到只要2分钟,心情舒畅多了。
随手拍了最近的网络机柜照片,比较凌乱因为打算换房子所以有就懒得整理了请见谅。主要改动就是路由器集成了XEON D1528服务器模块和语音模块,升级防火墙,还有就是申请了一条5个固定静态IP地址的光纤,网络供应商提供一台SRX300作为接入设备。以上
膜拜大佬[震惊] NB,Palo Alto可不小众 在之前公司还折腾过watchguard的防火墙 pa850用户飘过 设备真好看,国内家宽弄个网站都不行,所以没人分享很正常 cisco,juniper,PA,APC...可以的,用的都是好东西
一般的小企业肯定不会花这么多钱投资网络设备 强大!!! PA的防火墙更新系统需要授权吗?还有你二层透明模式防火墙怎么在线更新特征库? 啥大家庭能用上这套东西
嘿嘿
h2xftvy9 发表于 2023-6-16 09:21
都这么多高端设备了也不弄点理线架
机房太小,还有服务器机柜,迟些要换房子再整理 Krakenius 发表于 2023-6-17 06:00
PA的防火墙更新系统需要授权吗?还有你二层透明模式防火墙怎么在线更新特征库? ...
一定要授权。防火墙有接一个管理端口,该接口也负责更新系统和特征库 魔剑录joe 发表于 2023-6-17 08:14
啥大家庭能用上这套东西
嘿嘿
一家四口 请教一下楼主,每年授权费用大概要多少? orangestreet 发表于 2023-6-17 09:56
请教一下楼主,每年授权费用大概要多少?
因为Palo Alto是不做零售的,建议查一下经销商。 neozhang1982 发表于 2023-6-15 23:52
pa850用户飘过
家用吗?授权太贵,之前想咬牙换PA820,幸好后来推出了新款400系列 本帖最后由 Krakenius 于 2023-6-18 09:29 编辑
xplvk 发表于 2023-6-17 21:40
一定要授权。防火墙有接一个管理端口,该接口也负责更新系统和特征库
用管理口更新就是说每次更新都得手动上传对吧,那太麻烦了,我一般都用路由模式防火墙可以自己联网更新[狂笑]
PS: 我用H3C的系统更新不用授权,虽然功能没那么丰富 本帖最后由 xplvk 于 2023-6-17 21:33 编辑
Krakenius 发表于 2023-6-17 21:25
用管理口更新就是说每次更新都得手动上传对吧,那太麻烦了,我一般都用路由模式防火墙可以自己联网更新[ ...
用管理口就是手动吗?
PS. 所有更新都是自动的,可以设置实时或定时更新。
Krakenius 发表于 2023-6-18 09:25
用管理口更新就是说每次更新都得手动上传对吧,那太麻烦了,我一般都用路由模式防火墙可以自己联网更新[ ...
都是独立的mgmt口,和业务口没关系,mgmt口是独立的路由和地址,接交换机的用户端口就能上网更新 这个并不小众,外资企业用的也多的。 本帖最后由 Krakenius 于 2023-6-18 14:32 编辑
xplvk 发表于 2023-6-18 09:30
用管理口就是手动吗?
PS. 所有更新都是自动的,可以设置实时或定时更新。
和H3C的有点不一样所以我不知道才问的。H3C的带外管理口不外联,只用于管理,管理口默认直通Local安全域,把管理口接公网相当于防火墙自身裸奔 星小宇 发表于 2023-6-18 11:37
都是独立的mgmt口,和业务口没关系,mgmt口是独立的路由和地址,接交换机的用户端口就能上网更新 ...
mgmt口直通Local安全域直接连公网不怕?不知道我才问的 xplvk 发表于 2023-6-17 22:40
家用吗?授权太贵,之前想咬牙换PA820,幸好后来推出了新款400系列
我看pa-1410配置也挺高的,开了威胁防御吞吐量还有3Gbps+,设备5k USD caileipk 发表于 2023-6-18 01:58
这个并不小众,外资企业用的也多的。
只是指论坛里小众[傻笑] Krakenius 发表于 2023-6-18 02:30
和H3C的有点不一样所以我不知道才问的。H3C的带外管理口不外联,只用于管理,管理口默认直通Local安全域 ...
管理口的路由也是通过桥接网口的安全过滤去访问互联网 本帖最后由 xplvk 于 2023-6-18 09:19 编辑
Krakenius 发表于 2023-6-18 02:34
我看pa-1410配置也挺高的,开了威胁防御吞吐量还有3Gbps+,设备5k USD
不可能这么便宜,是二手翻新吧?
二手不能得到官方的授权和保养的,买回来跟废铁一样喔。 Krakenius 发表于 2023-6-18 14:31
mgmt口直通Local安全域直接连公网不怕?不知道我才问的
防火墙的mgmt口都要过安全策略的,要么是显式安全策略,在通用的安全策略里面配置,华为的墙是这种类型。一种是隐式的安全策略,有单独的页面设定可访问mgmt端口的地址和接口,以及对应的协议,天融信是这种类型。 本帖最后由 Krakenius 于 2023-6-18 22:18 编辑
xplvk 发表于 2023-6-18 21:16
不可能这么便宜,是二手翻新吧?
二手不能得到官方的授权和保养的,买回来跟废铁一样喔。 ...
我一看到这些设备就很激动,我自己用F1000-AI-25虽然买回来全新的,但Comware和PAN-OS一比,Comware就是废铁[狂笑]
PS:我不是来吵架的,只是看你网速挺快,觉得你应该弄个PA-1410[傻笑]
本帖最后由 Krakenius 于 2023-6-18 22:25 编辑
星小宇 发表于 2023-6-18 21:36
防火墙的mgmt口都要过安全策略的,要么是显式安全策略,在通用的安全策略里面配置,华为的墙是这种类型。 ...
好吧,因为我自己的那台mgmt口默认是management安全域的放行所有到local安全域的流量,所以我不敢把mgmt口随便接,用的是三层模式,直接放通Local到Untrust就有路由去公网下载特征库了。
我不太懂,还在学