PaloAlto_9 PA 到貨前最後的掙扎：那些我差點忘了的「資安冷知識」

 

各位工程師同胞，換機計畫進行到這裡，你可能已經覺得自己無堅不摧了。但就在剛才，你是不是突然在洗澡、吃飯、或是盯著天花板發呆時，腦袋裡閃過一道閃電：「乾！那條對分公司的 VPN 參數我有記下來嗎？」或者是「PA 那個孔，我到底是買光纖還是銅線？」

這種「突然想起」的恐懼，我們稱之為**「換機前夕綜合症」**。為了治好你的焦慮，我把這幾個容易被遺忘的魔鬼細節補齊。

第一章：靜態路由（Static Route）的「考古挖掘」

很多人以為把舊牆的 Policy（規則）搬過去就完工了。大錯特錯！ 沒了路由，你的 Policy 就像是一張印得精美的地圖，但你家門口的馬路卻斷了。

1. 隱藏在 Virtual Router 裡的秘密

請打開舊防火牆的路由表，不要只看那條 0.0.0.0/0（預設出口）。請細心檢查那些往內網深處走的「羊腸小徑」：

• VLAN 的橋樑： 如果你有些 VLAN 沒在 Core Switch 做 Layer 3，而是拉到防火牆做。

• 特定服務的導向： 例如「去財務系統的流量請走這台小路由器」。

• SOP 建議： 在 PA 到貨前，請截圖舊牆的 Routing Table。在 PA 上設定時，請記住 PA 的虛擬路由器（Virtual Router, VR）邏輯，確保每一條靜態路由都精準入庫。

第二章：SSL VPN (GlobalProtect) 的「全民公測預演」

PA 的 SSL VPN 叫做 GlobalProtect。它很強大，但它對「細節」的龜毛程度也是首屈一指。

1. 操作 SOP 製作：別讓電話變成熱線

換機後，原本的 VPN 客戶端（可能叫 AnyConnect 或 FortiClient）會失效。

• 預防針： 你必須在換機前兩天，把 GlobalProtect 下載與連線圖解 SOP 發給全公司。

• 圖解內容： 截圖要包含「連線網址（Portal）」、「帳號密碼格式」以及「遇到憑證警告時該怎麼按」。

• 測試 SOP： 自己先拿一支沒加入網域的手機（用 5G 網路），模擬外部使用者連線。確認 Portal 網頁能跳出、Agent 能下載、Tunnel 能撥通。如果這關沒過，明天早上你會被 200 個遠端辦公的同事用眼神殺死。

第三章：實體接口的「聯姻策略」—— SFP vs RJ45

這是最容易發生「慘案」的地方。你買了 PA，但你確認過它的接口類型了嗎？

1. SFP 還是 RJ45？

• RJ45（電口）： 基本的 Cat.6 網路線。請確保你準備了足夠的長度，且不是那種卡榫斷掉、一碰就掉的爛線。

• SFP/SFP+（光口）： 這是工程師最容易吃癟的地方。

  • 模組相容性： PA 很挑食。如果你拿華為或思科的模組塞進去，它可能會賞你一個紅燈。

  • 線材準備： 如果是光纖，請檢查跳線（Jumper）的接頭是 LC 還是 SC？是單模還是多模？

• 建議： 準備兩條 DAC (Direct Attach Cable)。這是一種自帶模組的銅線，穩定性高且省去配對模組的煩惱。如果當晚光纖模組抓不到，DAC 就是你的救命稻草。

第四章：跨廠 Site-to-Site VPN 的「外交紀錄」

如果你的公司跟分公司、或跟廠商（如台積電、中華電信）有連線，這就是所謂的 Site-to-Site VPN。這不是你的家務事，這是兩家公司的「外交問題」。

1. 參數大對決

舊牆通常跑的是 IPsec。在換機前，你必須把對方的以下參數記錄得清清楚楚：

• IKE Phase 1 / Phase 2： 加密演算法（AES-256?）、雜湊（SHA-256?）、金鑰群組（DH Group 14?）。

• Pre-shared Key (PSK)： 那串長得像亂碼的密碼。如果你忘了，你得拉下臉打電話去求對方的工程師幫你重設。

• Proxy IDs： PA 非常在乎這個。如果對方的牆是舊式的（如 Policy-based VPN），你必須手動定義 Local 與 Remote 的 Subnet。只要差一個 IP，隧道就不會亮綠燈。

第五章：換機當晚的「心理建設補強」

1. 建立「隔離區」測試

在把 Core Switch 全部接上去之前，先拿一台筆電接在 PA 的 Trust Zone，手動設個 IP。

• 測試目標： 筆電 -> PA -> WAN。如果這一步通了，代表你的「出路」是好的。剩下的就是「內憂」（路由或內網線路）問題。

2. 備份舊牆的「最後一眼」

在拔掉舊牆電源前，去監控界面看最後一眼：目前的連線數（Sessions）是多少？ 換機後，如果你發現 PA 的連線數只有原本的一半，先別高興太早，那通常代表有一半的人連不進來。

結語：這是一場有準備的戰爭

這篇補遺紀錄，就是為了堵住那些可能讓你「翻車」的細節。靜態路由是地基，VPN 是橋樑，線材是管道。

換機夜的最終檢查表（追加版）：

1. [ ] 路由表截圖：包含所有靜態路由。

2. [ ] VPN SOP 懶人包：已經上傳到公司公用雲端或發出郵件。

3. [ ] SFP 模組與跳線：確認長度、型號、顏色（單模藍、多模橘/綠）。

4. [ ] 外部廠商聯絡清單：VPN 另一端的聯絡窗口，預防隧道不通。

5. [ ] 筆電的 USB 網卡：以防筆電沒有 RJ45 孔可以接 Console。

少年，最後一塊拼圖已經給你了。去吧，去機房完成你的壯舉！