PaloAlto_15 PA-1410 第一次開機 & 管理存取設定

 

——「當防火牆第一次醒來，你只有一次機會當好人」

防火牆第一次開機，就像新同事第一天報到：
你現在怎麼對它，它以後就怎麼對你。

這篇文章會帶你完成 Palo Alto PA-1410 的首次開機與「工程師生存等級」的管理存取設定，避免未來半夜被自己關在門外。

一、第一次開機前，你至少要準備這些（不然會很想哭）

1️⃣ 硬體與線材

• PA-1410 本體（廢話，但真的有人忘）

• 電源線 ×2（能插就插，未來你會感謝現在的自己）

• 管理電腦（筆電即可）

• Console 線 or 網路線

  • 有 Console → 人生比較順

  • 沒 Console → 走 Web 管理也可以，但要更小心

2️⃣ 管理電腦網路設定（重點）

預設狀態下：

• Management IP：192.168.1.1/24

• 你的電腦請設：

  • IP：192.168.1.10

  • Mask：255.255.255.0

  • Gateway：不用設（真的）

二、開機那一刻：風扇起飛，但你要冷靜

🟢 開機流程

1. 插上電源

2. 電源鍵按下去

3. 你會聽到：

   • 風扇：「我要起飛啦！」

   • 你內心：「這聲音正常嗎？」

放心，正常。
第一次開機約 5–10 分鐘，這段時間請不要：

• 重開機

• 拔電

• 懷疑人生

三、登入防火牆：第一次見面要有禮貌

方法一：Web 管理（最常用）

1. 打開瀏覽器

2. 輸入：

https://192.168.1.1

3. 忽略憑證警告（工程師的日常）

4. 預設帳密：

項目	值
帳號	admin
密碼	admin

⚠️ 這組帳密全世界工程師都知道，
你現在不改，未來一定會被自己罵。

四、第一件事：改 admin 密碼（不然你不配叫工程師）

路徑：

Device → Administrators → admin

建議密碼原則（現實版）

• 長度 ≥ 12

• 有大寫 / 小寫 / 數字

• 不要：

  • company123

  • admin@123

  • 你公司名稱＋年份（拜託）

五、設定 Management IP（不然你之後會找不到它）

路徑：

Device → Setup → Services

常見企業設定範例：

項目	範例
Default Gateway	10.10.0.1
DNS	8.8.8.8 / 公司 DNS

✔ 設完 一定要 Commit
✔ Commit 前先確認「你電腦能不能連得到新 IP」

✔ 當然時間也是很重要囉~記得要啟用NTP校時!記得開放對外連線權限

工程師血淚名言：
「Commit 完才發現接錯網段，是一種修行。」

   

六、管理存取設定：誰可以「摸」這台防火牆？

1️⃣ 管理服務限制（超重要）

路徑：

Device → Setup → Management → Management Interface Settings

建議只開：

• ✔ HTTPS

• ✔ SSH（需要 CLI 時）

• ❌ Telnet（這年代還用 Telnet 的…算了）

2️⃣ 限制來源 IP（保命設定）

• 指定：

  • IT 管理網段

  • VPN 管理網段

例如：

10.10.0.0/24
172.16.100.0/24

👉 不要 0.0.0.0/0
👉 防火牆不是咖啡店 Wi-Fi

七、建立「不是 admin 的帳號」（未來會救你）

為什麼？

• admin 是核彈

• 日常操作用核彈，遲早出事

路徑：

Device → Administrators → Add

建議做法：

帳號	權限
it-admin	Superuser
it-readonly	Read-only

出事時，你會慶幸有 Read-only 帳號。或是自己建立Admin Role Profile

八、Commit：你今天最重要的一個按鈕

右上角那顆 Commit
不是裝飾，是信仰。

✔ 設定沒 Commit = 沒做
✔ Commit 失敗 = 去看 Log，不要罵設備

✔ 且看做了那些修改

✔若有多人管理可以選擇針對自己帳號修改的地方執行Commit

九、工程師經驗談（真的）

• ❌ 忘記改 admin 密碼 → 資安稽核直接開場白

• ❌ 管理介面全開 → 防火牆變成「被防火牆」

• ❌ 管理 IP 設錯 → Console 線重出江湖

• ✔ 管理存取先鎖好 → 晚上睡得著

結語：防火牆不是怕你，是怕你亂來

PA-1410 很強，
但它強不強，取決於第一次開機時你多謹慎。

防火牆不會背叛你，
會背叛你的，只有沒改密碼的 admin。

PaloAlto_14 PA-1410 標準企業網路建置實戰：

 

雙機 HA ＋ Core Switch LACP，
一套讓工程師能安心請假的架構**

一、前言：

「ISP 第一個接到誰，決定你晚上睡不睡得著」

企業網路只有兩種狀態：

1. 還沒出事

2. 正在被追究責任

而「ISP 進來先接誰」，就是那條讓你站在第 1 或第 2 種狀態的分水嶺。

正確答案只有一個：防火牆。

二、整體架構一眼懂（老闆版・修正版）

Internet
   |
 [ ISP ]
   |
====================
|| PA-1410 A      ||  ← Active
|| PA-1410 B      ||  ← Passive
====================
   ||   (LACP ae)
===========
||  Core  ||
|| Switch ||
===========
   |
 Internal Network

老闆只要懂一句話就好：

「網路不會因為一台設備壞掉就全公司停工。」

三、為什麼一定是「ISP → PA → Core Switch」？

因為反過來會出事，而且是那種會被寫報告的事。

❌ ISP → Core → Firewall 的真實下場

• Core Switch 直接暴露在 Internet

• 掃 Port、攻擊封包先打到交換器

• 防火牆：

  • 看不到第一手流量

  • Log 永遠少一段

• 資安稽核一句就夠：

  「為什麼邊界設備不是防火牆？」

✅ ISP → PA → Core 的好處

• 防火牆是真正的 Security Boundary

• NAT / Threat / App-ID / URL 全部吃得到

• Core Switch：

  • 專心當交換器

  • 不用替你擋駭客

四、PA-1410 × 2：

不是高可用，是基本生存

為什麼要做 HA？

因為：

• 防火牆一定會重開

• 升級一定會用到

• 硬體一定有壽命

HA 模式選擇

• Active / Passive

• 原因很工程師：

  • 穩定

  • 好除錯

  • 出事只會有一台被罵

HA 必接線路（少一條你會後悔）

• HA1：控制

• HA1 Backup：備援控制

• HA2：Session Sync（超重要）

• HA2 Backup：睡得更熟用

五、外網設計（Untrust）：

簡單就是王道

• ISP → PA-1410 A ethernet1/1

• ISP → PA-1410 B ethernet1/1

• 不做 LACP

• 由 HA 控制誰是 Active

👉 外網設計原則：
越單純，越不會半夜出事

六、內網設計（Trust）：

這才是 LACP 發揮的地方

PA-1410

• ethernet1/3 + ethernet1/4 → ae1

• 指派到 Trust Zone

Core Switch

• 對應 Port-Channel

• LACP Mode：Active

你會得到什麼？

• 頻寬疊加

• 任一條線斷都不會掉線

• 工程師不會因為「被踢到線」而被叫醒

七、Zone 與邏輯設計

基本但一定要清楚：

• Untrust：外網

• Trust：內部網路

• DMZ：對外服務

• VPN：給未來自己留路

一句工程師真理：

Zone 沒想清楚，Policy 一定長得像義大利麵。

八、Policy 與資安（不要 any any）

新手最愛：

Trust → Untrust → any any allow

老手會補一句：

「你確定這段要留下來？」

正確方向：

• Policy 分層

• 一定開 Log

• 一定套 Security Profile

Palo Alto 的價值不是擋，而是看得清楚。

九、HA ＋ LACP 的實際價值

狀況	結果
防火牆 Active 掛掉	Passive 秒接
一條內網線斷	LACP 撐住
升級重開	使用者幾乎無感
老闆問穩不穩	你敢點頭

十、結語：

這不是炫技，是工程師的基本修養

PA-1410 × 2
Active / Passive HA
Core Switch LACP

這套架構的目的知道只有一個：

讓網路出事時，
第一個心跳加速的不是你。