PaloAlto_10 決戰紫禁城之巔：PA 防火牆換機當晚的應變 SOP 與「保命檢查表」

 

各位同胞，如果你正在閱讀這篇文章，這代表「那一天」終於來了。

你的辦公桌上堆滿了紅牛、咖啡，以及幾根可能已經被你捏爛的乖乖。PA 機器已經在旁邊閃爍著冷酷的綠光，彷彿在嘲笑你：「少年，準備好今晚不睡覺了嗎？」

換防火牆這件事，在老闆眼裡只是「把線拔掉，再插上去」；但在工程師眼裡，這是一場心臟去顫手術。如果成功了，公司網路重獲新生；如果失敗了，明天早上八點半，你就是全公司五百人共同的殺父仇人。

為了讓你能在明天準時下班，我幫你整理了這份「換機當晚應變 SOP」。請在動手前，先深呼吸三次。

第一階段：換機前兩小時——「最後的晚餐與法事」

在正式動手切斷網路前，這兩小時決定了你待會是「優雅下班」還是「崩潰求援」。

1. 祭品與祈禱

別笑，這很重要。請確保機房與你的辦公桌上各擺了一包綠色乖乖（絕對不能是黃色或紅色的，那是火警與故障的顏色）。

• 檢查： 乖乖是否過期？（過期的乖乖會讓 BGP 路由也跟著過期）。

• 檢查： 你有沒有喝太多咖啡？（手抖會讓你拔錯線）。

2. 備份中的備份（Backup of Backups）

• 舊牆備份： 把舊防火牆的 Config 再匯出一份，存在兩個不同的隨身碟裡，並發一份到你自己的私密信箱。

• PA 初始備份： 把你這幾天在辦公桌上辛苦設定好的 PA Config 也匯出一份。

• 核心開關（Core SW）備份： 萬一你待會改了 VLAN 結果改爛了，你得保證 Core SW 能回得去。

第二階段：網路切斷（D-Day 22:00）—— 進入靜默狀態

當你在公司群組發出「網路維護開始」的那一刻，你就已經踏入了無人區。

3. 實體接線的「盲選」挑戰

這是我最緊張的時刻。你要面對那團像義大利麵一樣的線路。

• SOP 檢查點： * 拔掉一條線，就立刻貼上一個對應的標籤。

  • 嚴禁一次拔掉所有線！這跟拆炸彈一樣，你必須確認紅線接紅線，藍線接藍線。

  • 檢查光纖模組（SFP/SFP+）有沒有插好？有沒有聽到那聲療癒的「咔」？沒聽到就代表你明天會因為 Link Down 被釘在牆上。

4. 路由與介面的「大和解」

當線插好後，請盯著 PA 的 Web 界面。

• 檢查： 介面有沒有亮綠燈？（亮紅燈代表你線接錯了，或者 ISP 根本沒理你）。

• 檢查： 你的 ARP 表有沒有抓到東西？如果抓不到 Gateway 的 MAC，代表你跟 ISP 之間隔著一條銀河。

第三階段：規則驗證——「為什麼王姐不能上網？」

這是換機夜最漫長的階段。你會發現，原來公司隱藏著這麼多奇怪的服務。

5. 基礎連線測試（The Ping Test）

• Ping Gateway： 沒通？檢查 WAN IP。

• Ping 8.8.8.8： 沒通？檢查 NAT 規則（PA 的 NAT 規則比舊牆複雜得多，請確認你有選對 Interface）。

• DNS 查詢： 沒通？檢查安全原則有沒有擋掉 Port 53。

6. App-ID 的反撲

PA 最強的功能是 App-ID，但這也是換機夜最容易讓你撞牆的地方。

• 案例： 你開了 Port 443 給某個系統，但 PA 覺得那是 unknown-tcp。

• SOP： 第一時間把 Monitor Log 打開，盯著那些 Reset 或 Deny。看到紅色的字，就像看到仇人一樣，立刻分析它是被哪一條 Rule 擋掉的。

第四階段：核心服務的「魔鬼測試」—— 這是玩真的

基礎網路通了不代表完工，接下來是那些會讓你掉腦袋的服務。

7. VPN 隧道（IPsec VPN）

這是最玄學的部分。

• 檢查： 跟分公司的 VPN 通了嗎？Phase 1 亮綠燈了嗎？

• 叮嚀： 萬一不通，通常是加密協議（IKE Proposal）對不上。請確認你沒有把舊牆的 3DES/MD5 帶過來，PA 雖然支持，但它會用眼神鄙視你。

8. GlobalProtect (SSL VPN)

明天早上八點，全公司的業務都要連 VPN 進來報單。

• 測試： 用你的手機熱點連進去測試。

• 檢查： 憑證過期了嗎？Portal 頁面跳得出來嗎？如果跳出「不安全的連接」，你明天電話會被打爆。

第五階段：應變與回退（Rollback）—— 承認失敗也是種勇氣

現在是凌晨三點，如果網路還是不通，你面臨人生最大的抉擇：撐下去，還是換回去？

9. 設定「止損點」

• SOP： 如果凌晨四點半，核心業務（如 ERP、Mail、網際網路）仍有 30% 以上不通。

• 果斷回退： 拔掉 PA，接回舊牆。雖然很丟臉，但至少明天公司能運作。記住： 活著的工程師才能解決問題，死掉的工程師只能寫檢討報告。

第六階段：黎明前的最後一搏——「收尾與監控」

如果一切順利，恭喜你，你已經看到了勝利的曙光。

10. Commit & Save

• 不要笑： 真的有工程師搞了一整晚，最後忘記 Commit 或者忘記存檔，結果停電重啟後全部歸零。請確認你的 Config 已經穩穩地存在 Flash 裡。

11. 清理戰場

• 把機房的地板掃一掃，把那些斷掉的紮線帶收好。

• 把你那包功成身退的綠色乖乖吃掉（這是傳統，象徵吸收了神力）。

結語：明天，你就是英雄（或路人）

當你走出公司大門，看到清晨的第一道曙光時，你會覺得空氣特別清新。雖然你整晚沒睡，雖然你的眼睛紅得像 PA 的 Alarm 燈，但你成功了。

你把一台美金幾萬塊的「黑盒子」馴服了。你讓全公司的流量都乖乖地聽你指揮。

明天早上的計畫：

1. 睡覺。

2. 關機，拒接任何電話。

3. 如果有人問你：「為什麼網路變快了？」你要專業地回答：「那是因為我優化了應用程式層級的深層動態路由與 App-ID 識別引擎。」

4. 其實心裡想的是：「呼，還好沒斷網。」

換機當晚保命清單（SOP Check List）：

1. [ ] 綠色乖乖（必備，放機房）。

2. [ ] Console 線（兩條，預防斷掉）。

3. [ ] 筆電充滿電（機房不一定有插座）。

4. [ ] ISP 聯絡電話（萬一線路有問題，你要有人可以罵）。

5. [ ] 主管的電話（萬一要回退，你需要有人背黑鍋）。

6. [ ] 外送平台 App（凌晨兩點你會需要雞排與珍奶）。

恭喜你，工程師！你剛完成了一次資安界的壯舉。