各位維護世界和平(或者只是維護公司網路不中斷)的社畜同胞們,大家好。
如果你正在讀這篇文章,代表你可能剛經歷了人生中最煎熬的一段採購流程:你成功說服了對資安預算極度吝嗇的老闆,刷掉了一張足以買下一台進口車的報價單,訂購了那台號稱資安界「勞斯萊斯」的 Palo Alto Networks (PA) 防火牆。
現在,採購單發出去了,代理商跟你說硬體正在海上漂。你以為接下來只要翹首以盼,等著開箱那台散發著「美金香味」的新機嗎?少年,你太天真了。 PA 到貨前的這段「空窗期」,才是決定你未來半年是能準時下班,還是住在機房睡袋裡的關鍵。這是一場關於空間、電力、邏輯與考古學的全面戰爭。
第一階段:物理空間的「大掃除」—— 幫大爺找個好位子
PA 不是一般的 SOHO 級路由器,它是有脾氣的。在它進門前,你得先幫它安頓好「起居」。
1. 機櫃的「風水」評估
請移駕到你的機房,看看那個堆滿了過期公文、不知名網路線和 2005 年淘汰伺服器的機櫃。PA 的機器通常比你想像中還要「深」。如果你買的是 PA-3400 或 5400 系列,請務必拿捲尺量一下:
深度夠嗎? 很多舊式機櫃關不上門,到時候你只能看著裸露的屁股發呆。
U 數夠嗎? 別等到機器搬到機房門口,才發現你要手動遷移三台跑著重要資料庫的舊 Server 才能騰出空間。
2. 電力與散熱:它不是省油的燈
PA 的發熱量跟它的價格一樣驚人。
電源接頭: 檢查你的 PDU。PA 高階型號通常配備雙電源。如果到時候插頭不對(例如是 C13/C14 規格而你只有一般三孔),你真的會想撞牆。
冷氣空調: 確保機房冷氣不是下午五點會準時關閉的節能模式。不然隔天早上你進公司,會聞到一股焦香的「美金味」。
第二階段:規則的「考古與斷捨離」—— 別把垃圾搬進新豪宅
這是整個流程中最痛苦、最想讓人遞辭呈的環節:翻開舊防火牆那疊厚如《辭海》的 Rule。
1. 那些年,我們亂開的 Policy
PA 的核心價值在於 App-ID。如果你打算直接把舊牆的 Port-based Rule(例如:80, 443 隨便過)一比一搬過去,那你就白花公司的錢了。
Hit Count 大法: 請觀察舊牆規則的點擊數。如果有一條規則這半年來的 Hit Count 都是 0,請毫不猶豫地標記它。這不是「以防萬一」,這是「這條路根本沒人走」。
需求確認(拷問各部門): * 「行銷部,這條連到某不知名外包商的規則還要嗎?」
「喔,那家公司前年倒閉了。」
很好,恭喜你,減少了一條潛在的資安破口。
2. 命名規格化
趁現在,把那些命名叫 Test_1、New_Policy_Final、Rule_For_Boss 的鬼東西全部重新命名。PA 的管理界面很美,請不要用一堆垃圾命名來玷汙它。
第三階段:WAN 與外網線路的「身世調查」
在切換當天,最容易讓你崩潰的往往不是 PA 沒設好,而是你根本不知道 ISP 的線路長什麼樣子。
1. 記錄所有 WAN 資訊
別相信你的記憶力,請寫在紙上:
靜態 IP / Gateway / Mask: 這些是基本的。
PPPoE 帳密: 去翻翻看那個藏在抽屜深處的中華電信小信封還在不在。
多線路路徑 (PBF): 如果你有兩條線路(一條專線、一條 ADSL 備援),請搞清楚目前的流量是怎麼走的。PA 的 Policy-Based Forwarding 很強,但邏輯沒理好,包準你換機後分公司的人會衝過來找你拼命。
第四階段:網路接孔與 Core Switch 的「實體點名」
別等到機器上架了才在喊:「這條線是接哪裡的?」
1. 接口對應表 (Mapping Table)
PA 的接口(Port)命名通常是 ethernet1/1, ethernet1/2...。
製作一張實體對應表:
Eth 1/1-> 接 ISP 數據機(Untrust)Eth 1/2-> 接 Core Switch(Trust)Eth 1/8-> 接另一台 PA(HA 心跳線)
標籤、標籤、還是標籤! 趁機器還沒到,把 Core Switch 上對接防火牆的那幾條線貼上鮮豔的標籤。
2. 與 Core Switch 的「握手協議」
VLAN Trunk 還是 Access? 確認你要在防火牆上做 L3 路由,還是在 Core Switch 做。
LACP (Aggregate Ethernet): 如果你想把兩個 Port 綁在一起增加頻寬,請確認你的 Core Switch 指令已經準備好。PA 的 LACP 沒設定好,輕則網路卡頓,重則直接 Loop 讓全公司斷網。
第五階段:到貨後的「穩定性壓力測試」—— 鑑賞期求生術
機器終於到了!別急著推入機房「登機」,先把它放在辦公室桌上進行「入坑儀式」。
1. 版本更新與「燒機」
版本降落: PA 剛出廠的版本通常很「隨機」。第一件事就是更新到官方推薦的 Preferred Release(例如 10.1.x 或 11.x 的穩定版)。不要追求最新功能,要追求「最不折磨人」。
加電測試: 讓它跑個 48 小時。聽聽看風扇聲是否正常,有沒有那種快起飛的異音,或者變壓器有沒有發出「滋滋」聲。
2. HA(高可用性)演習
如果你買了兩台做 HA,這是在桌上測試的最佳時機。
拔電源、拔網路線: 練習在還沒上架前,手動模擬故障。看備機(Passive)有沒有秒級接管。如果這時候出錯,你只需要在桌子上重插線;如果上架後才出錯,你得在機房狂奔。
第六階段:心理建設與「免責聲明」
作為工程師,你要明白:防火牆換掉的那天,就是全公司網路出問題都怪你的那天。
1. 預期管理
到貨前一週,請在公司發公告: 「為提升資安等級,本司將進行設備升級。屆時部分非必要應用程式(如:非法直播、奇怪的挖礦軟體、老闆兒子的遊戲)可能會受到限制,請同仁知悉。」 這叫**「預期管理」**。
2. 準備好「回退計畫」(Rollback Plan)
萬一換機當晚搞到凌晨四點,網路還是不通怎麼辦? 永遠要有一個 30 分鐘內能接回舊牆的方案。 不要把舊牆的線全部拔掉就丟進垃圾桶,它們是你最後的保命符。
結語:入坑是為了更好的出坑
PA 是一台很棒的機器,它能讓你看到網路世界的「真相」(原來會計部的王姐一直在偷偷看韓劇,原來那台印表機一直在嘗試攻擊 NASA)。
但這一切的前提是,你做好了到貨前的準備。如果你現在不把機櫃清乾淨、不把規則理清楚、不把線路標記好,那到貨那天,它就不是你的資安護衛,而是把你埋進坑裡的最後一鏟土。
好了,不說了。快遞打電話來了,說有兩箱很重的東西在樓下。
各位,祝你們 Commit 成功,永不 Rollback!
沒有留言:
張貼留言