PaloAlto_17 PA-1410 的世界觀建立：

 

Zone 先想清楚，防火牆才不會變成「有電的 Hub」

一句話先講清楚：
如果你在 Palo Alto 裡把 Zone 想錯了，
那你後面再怎麼寫 Policy，都是在幫未來的自己挖坑。

一、為什麼 Palo Alto 不是「介面防火牆」？

很多工程師第一次接觸 Palo Alto，內心都會有一個疑問：

「啊不就跟傳統防火牆一樣？
inside → outside → allow？」

錯。
Palo Alto 從一開始就不是用『介面』在思考世界的。

在它的宇宙裡，真正的主角只有一個：

👉 Zone（安全區域）

你可以把介面想成「門」，
但 Zone 才是「門後面是什麼世界」。

而 Palo Alto 所有的安全政策，都是在問一句話：

「哪個 Zone 的誰，要去另一個 Zone 幹嘛？」

二、定義 Zone：先想邏輯，不要急著點滑鼠

5️⃣ 定義 Zone（先想好邏輯）

在你還沒點進 Web UI 前，
請先拿一張紙（或心中的白板），問自己三個問題：

1. 誰是自己人？

2. 誰是外面來的？

3. 哪些人是「半生不熟」？

最基本、但 90% 公司都會用到的 Zone 架構

🔹 Trust（內部區域）

• 使用者電腦

• 內部 Server

• AD、NAS、ERP、File Server

• 工程師最愛、駭客最想進來的地方

一句話定義：

「我信任你，但還是會盯著你」

👉 Trust ≠ 無限制
👉 Trust = 預設比較乾淨，但還是要被管

🔹 Untrust（外網）

• Internet

• ISP

• 全世界的奇怪 IP

• 掃 Port 的、丟 Exploit 的、亂敲 SSH 的

一句話定義：

「我不認識你，也不想認識你」

👉 預設 全部拒絕
👉 只放你明確說 OK 的流量

🔹 DMZ（如果你有對外服務）

• Web Server

• Mail Server

• API Server

• 被外面打爆也不能拖垮內部的地方

DMZ 的精神是：

「你可以被打，但不能把火帶回家」

👉 DMZ 不等於 Trust
👉 DMZ 更不等於 Untrust

它是個：

「被嚴密監控的公開空間」

🔹 VPN（GlobalProtect）

• 在家工作的員工

• 出差連線的主管

• 半夜接到電話被叫起來修系統的工程師

VPN Zone 的特色是：

「人是自己人，但網路環境我不信任」

👉 筆電可能在：

• 咖啡廳

• 機場

• 飯店

• 小孩在旁邊看 YouTube

所以：

VPN Zone 通常權限比 Trust 少一點

三、為什麼說「Zone 是 Palo Alto 的靈魂」？

來，我們用一句很工程師的比喻。

傳統防火牆思維

Port 開了
IP 對了
就放行

像在看門牌號碼。

Palo Alto 思維

你是誰？
從哪裡來？
要去哪裡？
要做什麼應用？
風險高不高？

而這一切的第一個判斷條件，就是：

Zone → Zone

👉 沒有 Zone，就沒有 Policy 的意義
👉 Zone 設錯，Policy 再漂亮都沒用

四、Interface 設定：門開在哪，一定要搞清楚

6️⃣ Interface 設定（這裡是新手最容易翻車的地方）

Palo Alto 的實體介面很多：

• ethernet1/1

• ethernet1/2

• ethernet1/3 …

但請記住一句話：

介面只是硬體，Zone 才是身份

Step 1️⃣ 設定 Layer3 Interface

在 PA-1410 裡，最常見的是：

👉 Layer3 Interface

因為我們要它：

• 有 IP

• 會 Routing

• 能被安全政策管

Step 2️⃣ 指派到對應 Zone

這一步超重要，但也超多人亂做。

例如：

介面	正確 Zone
ethernet1/1	Untrust
ethernet1/2	Trust
ethernet1/3	DMZ
tunnel.1	VPN

錯誤示範：

「啊這條線接內網，就丟 Trust 好了」

不行。
你要問的是：

「這條線後面，是哪一個『世界』？」

Step 3️⃣ 設定 IP（這不是只是填數字）

IP 在 Palo Alto 裡不只是通訊用，它還代表：

• 這個 Zone 的 Gateway

• NAT 的基準點

• Policy 比對的參考

👉 IP 設錯，會出現以下症狀：

• Policy 明明寫了卻不通

• NAT 怎麼看都對，但就是連不上

• 工程師開始懷疑人生

五、實戰小劇場：Zone 想錯會發生什麼事？

🎭 情境一：把 VPN 放進 Trust

結果：

• VPN 使用者 = 內部員工

• 家裡 Wi-Fi 被入侵

• 駭客直接進內網

👉 老闆會問一句：

「防火牆不是很貴嗎？」

🎭 情境二：DMZ 跟 Trust 合在一起

結果：

• Web Server 被打

• 橫向移動

• AD 掛掉

• 全公司改密碼

👉 工程師的年終也一起不見

六、正確心法總整理（工程師版）

請把這幾句刻在心裡：

1. Zone 是邏輯，不是線路

2. 介面只是門，Zone 才是房間

3. 不同風險，一定要不同 Zone

4. Policy 永遠是 Zone → Zone

5. Zone 想清楚，後面 80% 的設定都會順

七、結語：PA-1410 不是難，是你還沒進入它的世界觀

很多人說 Palo Alto 難用，
其實不是它難，而是你還用著：

「傳統防火牆的腦袋」

一旦你理解：

• Zone 是世界

• Interface 是入口

• Policy 是規則

• App / User / Content 才是智慧

你會發現：

PA-1410 不是防火牆，是資安的邏輯引擎。

而這一切的起點，就只有一句話：

👉 Zone，是 Palo Alto 的靈魂。

 

PaloAlto_16 PA-1410 更新 PAN-OS 實戰指南

 

HA 架構下，工程師如何優雅升級不斷線

在企業網路的日常裡，有三件事會讓工程師瞬間清醒：
防火牆掛了、主管在旁邊、還有防火牆要升級。

如果你用的是 Palo Alto PA-1410 × 2，並且採用 HA（High Availability）架構，那恭喜你，你已經站在「可以不中斷服務升級」的正確起跑線上；但前提是——流程要對、順序不能亂。

這篇文章，就用一個工程師＋一點幽默的角度，帶你完整跑過一次 PA-1410 HA 架構下的 PAN-OS 升級流程。

一、HA 架構的核心哲學：不是快，是穩

HA 架構的基本設定很簡單：

• 一台 Active：實際扛流量

• 一台 Passive：待命、同步、準備接手

HA 的真正價值不是「升級比較快」，而是：

你可以在不中斷服務的情況下，把防火牆升級完成。

所以整個流程的黃金守則只有一句：

👉 先升 Passive，再切 Failover，最後升 Active

二、升級前檢查（這段做完，晚上比較睡得著）

在你按下 Download 之前，先確認這些事情：

1️⃣ HA 狀態正常

• Active / Passive 清楚

• HA Sync：In Sync

• 沒有 Split-Brain

👉 不同步，先修 HA，別碰升級。

2️⃣ 設定備份（工程師的護身符）

• Export Device State

• Export Running Config

• 有 Panorama 一起備

這不是迷信，是生存技巧。

3️⃣ 確認 PAN-OS 升級路徑

• 不要跨大版本直跳

• 先升到目前分支最新，再往上

防火牆不喜歡驚喜。

三、HA 架構下的標準升級流程

Step 1：先升級 Passive

確認哪台是 Passive，然後：

• Download 新版 PAN-OS

• Install

• Reboot

這時：

• 流量還在 Active

• 使用者完全無感

• 工程師心情尚可 ☕

Step 2：確認 Passive 升級完成狀態

升完後請檢查：

• OS 版本正確

• 仍是 Passive

• HA Sync 正常

• Log 沒有爆紅字

這一步，是你「最後可以反悔」的時間點。

四、手動觸發 Failover（整篇最關鍵）

Passive 升級完成後，接下來要讓它正式接手流量，這一步就是 手動 Failover。

▶ 為什麼要手動？

因為工程師要的是「可控」，不是「賭」。

方法一：Web UI（最直覺、最安全）

一定要登入「目前的 Active」那台

路徑：

Device → High Availability → Operational Commands

點選：

Suspend local device

這代表你對 Active 說：
「你可以下班了，換你兄弟上場。」

系統會自動：

• 將目前 Active 降為 Passive

• 已升級完成的那台升為 Active

• 流量完成切換（通常 1～3 秒）

方法二：CLI（工程師帥氣版）

在「目前 Active」執行：

request high-availability state suspend

驗證狀態：

show high-availability state

你要看到：

• 一台 Active

• 一台 Passive

• HA In Sync

Failover 當下會發生什麼？

正常情況下：

• Ping 掉 1～2 包

• 少量 TCP 重新建立（視 session sync 設定）

使用者：

「剛剛是不是卡一下？」

工程師：

「嗯，有，但我有預期。」😎

五、升級原本的 Active（現在它是 Passive）

Failover 成功、流量穩定後：

• 原本的 Active 現在已變 Passive

• 重複一樣的升級流程

  • Download

  • Install

  • Reboot

完成後，兩台 PA-1410：

• OS 版本一致

• HA 狀態正常

• 架構回到穩定狀態

六、升級完成後檢查清單（別急著關瀏覽器）

請確認：

• 上網正常

• VPN（GlobalProtect / Site-to-Site）

• NAT / Security Policy 命中

• Traffic / Threat Log 正常

• HA Sync：In Sync

確認穩定 10～15 分鐘，再安心收工。

七、工程師結語

HA 升級成功的關鍵不是技巧，而是紀律：

• Passive 永遠先升

• Failover 一定手動

• 備份一定要有

只要流程正確，
PA-1410 的 PAN-OS 升級，其實是一件非常優雅的事。

最後送你一句工程師名言：

「HA 不是用來救亂升級的，
是讓你可以冷靜升級。」

PaloAlto_15 PA-1410 第一次開機 & 管理存取設定

 

——「當防火牆第一次醒來，你只有一次機會當好人」

防火牆第一次開機，就像新同事第一天報到：
你現在怎麼對它，它以後就怎麼對你。

這篇文章會帶你完成 Palo Alto PA-1410 的首次開機與「工程師生存等級」的管理存取設定，避免未來半夜被自己關在門外。

一、第一次開機前，你至少要準備這些（不然會很想哭）

1️⃣ 硬體與線材

• PA-1410 本體（廢話，但真的有人忘）

• 電源線 ×2（能插就插，未來你會感謝現在的自己）

• 管理電腦（筆電即可）

• Console 線 or 網路線

  • 有 Console → 人生比較順

  • 沒 Console → 走 Web 管理也可以，但要更小心

2️⃣ 管理電腦網路設定（重點）

預設狀態下：

• Management IP：192.168.1.1/24

• 你的電腦請設：

  • IP：192.168.1.10

  • Mask：255.255.255.0

  • Gateway：不用設（真的）

二、開機那一刻：風扇起飛，但你要冷靜

🟢 開機流程

1. 插上電源

2. 電源鍵按下去

3. 你會聽到：

   • 風扇：「我要起飛啦！」

   • 你內心：「這聲音正常嗎？」

放心，正常。
第一次開機約 5–10 分鐘，這段時間請不要：

• 重開機

• 拔電

• 懷疑人生

三、登入防火牆：第一次見面要有禮貌

方法一：Web 管理（最常用）

1. 打開瀏覽器

2. 輸入：

https://192.168.1.1

3. 忽略憑證警告（工程師的日常）

4. 預設帳密：

項目	值
帳號	admin
密碼	admin

⚠️ 這組帳密全世界工程師都知道，
你現在不改，未來一定會被自己罵。

四、第一件事：改 admin 密碼（不然你不配叫工程師）

路徑：

Device → Administrators → admin

建議密碼原則（現實版）

• 長度 ≥ 12

• 有大寫 / 小寫 / 數字

• 不要：

  • company123

  • admin@123

  • 你公司名稱＋年份（拜託）

五、設定 Management IP（不然你之後會找不到它）

路徑：

Device → Setup → Services

常見企業設定範例：

項目	範例
Default Gateway	10.10.0.1
DNS	8.8.8.8 / 公司 DNS

✔ 設完 一定要 Commit
✔ Commit 前先確認「你電腦能不能連得到新 IP」

✔ 當然時間也是很重要囉~記得要啟用NTP校時!記得開放對外連線權限

工程師血淚名言：
「Commit 完才發現接錯網段，是一種修行。」

   

六、管理存取設定：誰可以「摸」這台防火牆？

1️⃣ 管理服務限制（超重要）

路徑：

Device → Setup → Management → Management Interface Settings

建議只開：

• ✔ HTTPS

• ✔ SSH（需要 CLI 時）

• ❌ Telnet（這年代還用 Telnet 的…算了）

2️⃣ 限制來源 IP（保命設定）

• 指定：

  • IT 管理網段

  • VPN 管理網段

例如：

10.10.0.0/24
172.16.100.0/24

👉 不要 0.0.0.0/0
👉 防火牆不是咖啡店 Wi-Fi

七、建立「不是 admin 的帳號」（未來會救你）

為什麼？

• admin 是核彈

• 日常操作用核彈，遲早出事

路徑：

Device → Administrators → Add

建議做法：

帳號	權限
it-admin	Superuser
it-readonly	Read-only

出事時，你會慶幸有 Read-only 帳號。或是自己建立Admin Role Profile

八、Commit：你今天最重要的一個按鈕

右上角那顆 Commit
不是裝飾，是信仰。

✔ 設定沒 Commit = 沒做
✔ Commit 失敗 = 去看 Log，不要罵設備

✔ 且看做了那些修改

✔若有多人管理可以選擇針對自己帳號修改的地方執行Commit

九、工程師經驗談（真的）

• ❌ 忘記改 admin 密碼 → 資安稽核直接開場白

• ❌ 管理介面全開 → 防火牆變成「被防火牆」

• ❌ 管理 IP 設錯 → Console 線重出江湖

• ✔ 管理存取先鎖好 → 晚上睡得著

結語：防火牆不是怕你，是怕你亂來

PA-1410 很強，
但它強不強，取決於第一次開機時你多謹慎。

防火牆不會背叛你，
會背叛你的，只有沒改密碼的 admin。