LQ-2180C列印時,左上角出現284.4 @EJL

於WIN11 安裝EPSON LQ-2180C列印時,左上角會出現,如下圖

參考網路大神及原廠說明:裝置設定-->封包模式-->關閉

設定後即不會印出左上角亂碼!

參考原廠說明如下:
 https://www.epson.com.cn/services/videomanual/videodetail/a69e7d3fe8574822ba3a4dcebdcad10b.html

outlook.exe 一直閃退

 我的outlook.exe是2019版,今早突然發現有些電腦會突然閃退

1.修復PST,一樣
2.換設定檔.一樣

3.換帳號,一樣
4.後來去查LOG

5.重安裝Visual C++ Redistributable ,一樣(如下LOG-1)
6.參如下(如下LOG-2),去控制台移除TEAMS插件,即恢復正常,給各位參考看看

如下LOG-1
=========================

失敗的應用程式名稱： OUTLOOK.EXE，版本： 16.0.10417.20020，時間戳記： 0x6833d606

錯誤模組名稱： MSVCP140.dll， 版本： 14.24.28127.4，時間戳記： 0x5d8e68d7

例外狀況代碼： 0xc0000005

錯誤位移： 0x0000000000012590

錯誤處理常式識別碼： 0xE24

失敗的應用程式開始時間： 0x1DCBCBFE2741E94

Faulting 應用程式路徑： C:\Program Files\Microsoft Office\root\Office16\OUTLOOK.EXE

Faulting 模組路徑： C:\WINDOWS\SYSTEM32\MSVCP140.dll

Report 識別碼： 3000c50e-1d87-4dce-a595-

如下LOG-2

=========================

應用程式: OUTLOOK.EXE

Framework 版本: v4.0.30319

描述: 處理序已終止，因為有未處理的例外狀況。

例外狀況資訊: System.AccessViolationException

   於 Microsoft.Teams.MeetingAddin.Scheduler.OneAuthUtils.Startup(System.String, System.String, System.String, Boolean, Boolean, Boolean, System.String)

   於 Microsoft.Teams.MeetingAddin.Scheduler.OneAuthAuthenticator+<>c.<.cctor>b__16_1(System.String, System.String, System.String, Boolean, Boolean, Boolean, System.String)

   於 Microsoft.Teams.MeetingAddin.Scheduler.OneAuthAuthenticator.OneAuthStartup(Microsoft.Teams.MeetingAddin.Telemetry.ITelemetryAppLifecycleContext, Microsoft.Teams.Diagnostics.Logger, Microsoft.Teams.MeetingAddin.Scheduler.IHrdHostService)

   於 Microsoft.Teams.MeetingAddin.Application+<CompleteIntializationAfterSettingsAreLoadedAsync>d__64.MoveNext()

=========================

資安，真的會造成對立嗎？

 

有時候，我總覺得資安就像那個家裡的「防盜門」，一開始大家覺得多此一舉，但一旦用上就知道不裝不行；然而在裝的過程中，總是有人抱怨「幹嘛這麼麻煩？」。職場上的資安，好像也差不多。

沒資安人員前：對外能用就好，稽核過關就好

還記得公司還沒有資安人員進駐的時候，整個IT團隊都抱著「能用就好」的心態。
系統能讓客戶連上線、資料能夠順利跑完流程、Email 可以寄出收進來，基本上就是合格了。至於稽核？只要偶爾整理一下紀錄、檢查一下權限，看起來「表面乾淨整齊」，稽核官來檢查也能點頭說：「嗯，可以過。」

那個階段，大家對資安的感覺很簡單：

• 防火牆？開著就好。

• SSL 證書？不要過期就好。

• 使用者權限？能登入能操作就好。

總之，只要對外能用，內部同事操作不被卡到，稽核能過關，一切就算完成任務。

那時候的我們，根本還沒有遇到資安人員。大家的心態大概是：「資安？等會有人來管就好了。」

資安人員來了：安全 VS 可用，好像開始對立

事情開始轉折，是在應用程式人員想開通某些外對內服務的時候。原本只要「能用」就好了，但資安人員出現後，情況完全變了。

你申請一個端口開放？資安人員開始計算風險、考慮潛在攻擊面。
你想部署一個 API 對外？資安人員會要求加驗證、加日誌、加加密，甚至提醒「這個還可能被 XX 攻擊」。

突然間，原本簡單的需求，變得像是過五關斬六將。大家會開始覺得：「幹嘛要這麼麻煩？我只是想讓客戶能用啊！」
私下裡，抱怨聲此起彼落。應用程式人員說：「資安人員就是來拆我的需求！」
資安人員心裡想：「他們懂什麼是安全？都只會想著好用！」

就這樣，一個小小的功能開通申請，瞬間演變成職場小戰爭，雙方好像天生就是對立的。

我本人對資安的初體驗：從抗拒到習慣

老實說，我自己也不是資安出身。以前提到資安，我的心裡是：「啊…又要學一堆東西嗎？」
尤其是當客戶要求必須達到某些資安檢查標準的時候，我一開始完全抗拒。

想想那些東西：

• SSL 憑證要檢查，還要知道什麼是中間憑證、根憑證。

• 網頁安全要調整，防 XSS、防 CSRF、防 SQL Injection。

• 權限管理要檢查，每個帳號都有什麼權限、誰能改誰不能改。

天啊！這些以前完全不熟的東西，突然要我搞懂還要落實，真的是一開始覺得心裡打鼓、手腳發抖。

但後來，我逼自己去看文件、查資料，甚至實際操作了一遍，結果發現…只要按步驟做，其實並沒有想像中恐怖。
最終，我達到客戶要求的資安最低標準，雖然不是滿分，但至少符合規範，也算是一種成就感。

更重要的是，這個過程變成了經驗累積。下次遇到類似需求，我就不會再慌張，因為我知道要檢查哪些、要調整哪些、要注意哪些細節。

所以，資安學起來，不只保護系統，也保護自己。這種「以不變應萬變」的心態，對職場生存很有幫助。

資安不是資安人的責任，而是全公司的責任

這點我深深體會到：資安不能只是資安人員的事情。
如果公司上下都沒有資安意識，再強的資安團隊也只能像「孤軍奮戰」，結果往往是疲於奔命、被抱怨、甚至被孤立。

我認為，要把資安導入公司，有幾個前提：

1. 老闆要支持
   如果老闆不支持資安策略，資安人員在公司就像走鋼索，一不小心就被人咬耳朵、被排擠、甚至被標黑。
   老闆的態度會決定資安在公司內部的定位：是「戰略核心」還是「麻煩製造者」。

2. 全公司都有責任
   資安不是資安團隊的專利，應用程式人員、系統管理員、業務部門、甚至行政部門都應該參與。
   這樣一來，當資安人員提出需求時，不會只聽到抱怨，而是理解「這是保護公司、保護客戶、保護自己」。

3. 教育和經驗累積
   不可能每個人一開始就熟悉資安，但可以透過訓練和實務操作，慢慢建立經驗。
   就像我自己，雖然初期抗拒，但累積經驗後就能從容應對，甚至可以幫助團隊提升整體資安水平。

職場幽默小觀察

我發現，資安造成的「對立感」其實有點像職場的「愛恨交錯」：

• 應用程式人員抱怨資安人員太嚴格，但其實心底也希望系統不被攻擊。

• 資安人員抱怨大家不懂安全，但看到系統被保護起來時，也會暗自竊喜。

• 老闆覺得資安很麻煩，但一旦出了問題，第一個被問責的還是自己。

所以，資安的對立感，其實更多是角色定位的衝突，而不是人人天生敵對。

我常開玩笑說，資安就像吃蔬菜：一開始嫌棄、覺得麻煩，但吃過幾次、感受到健康好處後，你就會慢慢欣賞它。

總結：資安其實可以是一種「職場成長的契機」

回過頭來看，資安的存在並非為了製造對立，而是保護公司、保護客戶、保護自己。

• 沒資安時，大家覺得簡單、方便，但風險潛藏。

• 有資安時，看似對立，其實是不同角色在不同角度思考。

• 個人學習資安，能累積經驗、增加面對挑戰的自信。

• 導入資安，需要老闆支持與全公司參與，才能避免孤立與抱怨。

所以，下次當應用程式人員抱怨「資安太麻煩」或資安人員皺眉「大家都不懂安全」時，不妨幽默地想想：這是職場的必經過程，也是每個人進步的契機。

資安，不是對立，而是成長。

而且，說不定有一天，你會發現，那些曾經抱怨的麻煩要求，其實都是你未來職場生存的「防彈衣」。

PaloAlto_21 Security Policy 不是 allow any

 

開場白：allow any 是工程師的泡麵

凌晨兩點、專案卡關、客戶在催、系統就是不通。
這時候，最容易出現的一行設定就是：

Source：any
Destination：any
Service：any
Action：allow

它就像泡麵——
不健康、沒營養、但「立刻可以活下來」。

但在 Palo Alto Networks 的世界裡，
Security Policy 的存在，就是為了阻止你每天吃泡麵。

第一課：Security Policy 到底在管什麼？

先講人話版本：
Security Policy = 誰，可以，在什麼情況下，用什麼方式，跟誰說話。

工程師翻譯版是五個 W：

1. Who（Source）：誰發起連線

2. To Whom（Destination）：要連到哪

3. How（Application / Service）：用什麼方式

4. When（Schedule）：什麼時間

5. So What（Action）：放行 or 擋掉

allow any 等於直接跟防火牆說：

「你不要思考，我來承擔後果。」
（歷史證明，後果通常你也承擔不起）

第二課：為什麼 Palo Alto 討厭 allow any？

因為 Palo Alto 的核心哲學只有一句話：

「我不只看 port，我看你在幹嘛。」

傳統防火牆：

• TCP/443？好，大概是 HTTPS，放。

Palo Alto：

• TCP/443？

• 是 HTTPS？

• 還是 Dropbox？

• 還是某個你不想讓老闆知道的東西？

你如果用 allow any，等於買了跑車卻永遠踩一檔。

第三課：正確的 Policy 心法

1️⃣ 先想「業務需求」，不是先想「怎麼通」

錯誤流程：

ping 不通 → allow any → 世界和平（10 分鐘）

正確流程：

這台 Server 要做什麼？
它應該跟誰說話？

Security Policy 是白名單思維，不是黑名單懺悔錄。

2️⃣ App-ID 是你的好朋友，不是麻煩鬼

很多人抱怨：

「App-ID 很煩，規則寫不動。」

但實話是：
App-ID 是幫你把『不知道自己在幹嘛』變成『我很清楚』。

實務建議：

• 能用 Application，就不要只用 Service

• HTTPS ≠ 一切合法行為

3️⃣ Rule Order：防火牆是從上往下讀的

這不是小說，沒有伏筆。

• 第一條 match，就停

• allow any 放最上面 = 所有規則都是裝飾品

工程師金句：

「規則不是沒生效，是你永遠跑不到它。」

第四課：一個「不丟臉」的 Security Policy 教學範例

假設情境：

Web Server 需要對外提供 HTTPS

錯誤寫法（資安會皺眉）：

• Source：any

• Destination：Web Server

• Service：any

• Action：allow

比較像樣的寫法：

• Source：Internet Zone

• Destination：Web Server Zone

• Application：ssl, web-browsing

• Service：application-default

• Action：allow

這時候 Palo Alto 會說：

「好，我知道你在做網站，不是在亂來。」

第五課：Log 不看，比 allow any 更可怕

很多人寫完規則就收工，
Log 的存在彷彿只是為了佔硬碟。

但事實是：

• Log = 你未來自保的證據

• Log = 你跟資安、稽核、老闆溝通的翻譯機

至少做到三件事：

1. 允許的流量要記錄

2. 被擋的流量要敢看

3. 出事時不要第一句就說「防火牆沒動」

結語：allow any 不是原罪，但是警訊

老實說，每個工程師人生中都用過 allow any。
真正的差別在於：

• 新手：用了就忘

• 老手：用了會內疚，然後刪掉

Security Policy 的成熟度，
不是你會不會寫 allow any，
而是你能不能不用它，系統還是活得好好的。

如果你現在打開 Palo Alto，
看到某條 allow any 在角落對你微笑——
別怕，
它不是在嘲笑你，
它是在等你長大。

PaloAlto_20 的 Routing & NAT

 

一場封包的迷航記，以及工程師的自我修行

如果你第一次打開 Palo Alto Networks Firewall，大概會有一種感覺：
「介面好漂亮。」
三分鐘後：
「Routing 跑去哪？」
十分鐘後：
「為什麼 NAT 看起來像在玩邏輯題？」

放心，你不是一個人。
在 PaloAlto_20（泛指 PA 防火牆 10.x 世代設定邏輯）裡，Routing 與 NAT 從來不是單純的「網路設定」，而是一場工程師心智成熟度測驗。

一、Routing：不是幫你指路，是決定你的人生方向

在工程師的世界裡，Routing 就像人生規劃。
你以為只要設定一條 Default Route（0.0.0.0/0），封包就會自動走向幸福的彼岸。
但 Palo Alto 冷冷地告訴你一句話：

「不好意思，我要先看 Virtual Router。」

是的，Palo Alto 沒有「全域 Routing Table」，
每個 Interface 都要掛在正確的 Virtual Router 底下，
否則你的封包會陷入量子狀態——
介於「送出」與「消失」之間。

工程師常見錯誤清單：

• Interface 掛錯 Virtual Router

• 靜態路由寫得很美，但根本沒人用

• OSPF 開得很開心，對面根本沒鄰居

這時候你會學到 Palo Alto 的第一堂人生課：
👉 Routing 沒錯，只是你想得太天真。

二、NAT：封包的變裝秀，比你想得更複雜

如果 Routing 是人生方向，那 NAT 就是身分證改名大賽。

在 Palo Alto 裡，NAT 不是「順手設定一下」，
而是明確告訴你：
「我什麼時候要改你、在哪裡改你、改成什麼樣子。」

Palo Alto 的 NAT 三大靈魂問題：

1. Original Packet 長怎樣？

2. Translated Packet 要變成誰？

3. 這一切發生在 Security Policy 之前，還是之後？

很多新手工程師會天真地問：
「為什麼我 NAT 設好了，還是連不上？」

答案通常只有一句：
👉 因為你的 Security Policy 根本不是用 NAT 後的 IP 在比對。

這一刻，你會突然理解為什麼資深工程師都不愛說話。
不是冷漠，是已經痛過。

三、Routing × NAT：當兩個世界開始互相傷害

真正的修羅場，是 Routing 跟 NAT 同時出問題。

經典場景如下：

• 封包進來 → Routing 看得懂

• NAT 改得很開心

• 封包出去 → Routing 說「這不是我認識的你」

然後 Session 就這樣死在 Log 裡，
留下你一個人盯著 Monitor → Traffic，看著封包的最後一跳。

這時候你會開始做工程師的三大儀式：

1. 開 Packet Capture

2. 打開 CLI 看 test routing fib-lookup

3. 默默懷疑人生選擇

四、工程師的覺醒：你終於開始「看流程」

某一天，你突然不再亂改設定了。

你會開始照流程思考：

1. 封包從哪個 Interface 進來？

2. 屬於哪個 Zone？

3. Routing 決定往哪走？

4. NAT 什麼時候介入？

5. Security Policy 用的是哪個 IP？

6. 回程路由是不是對稱？

那一刻，你不會特別開心，
但你會很平靜地說一句話：

「嗯，這個我大概知道問題在哪。」

恭喜你，你已經從「亂試工程師」
進化成「有邏輯的工程師」。

五、結語：Palo Alto 沒有很難，只是很誠實

PaloAlto_20 的 Routing & NAT，
其實沒有陷阱、沒有魔法、也沒有黑箱。

它只是把網路的本質攤開來，
逼你面對現實。

如果你哪天設定完，
封包一次就通，Log 乾乾淨淨，
那不是因為運氣好——

而是因為你已經學會用工程師的方式思考。

最後送你一句 Palo Alto 生存守則：

「Routing 決定你去哪，NAT 決定你是誰。」

而工程師，決定要不要再加班。

PaloAlto_19 SSL 解密：別當那個「隔著麻袋摸大象」的資安工程師

前言：加密流量，是駭客最溫柔的掩護

如果你已經搞定了 Zone 的邏輯，也學會了用 App-ID 去抓應用程式，你可能會覺得自己現在就像機房裡的葉問，一個能打十個。

但我要潑你一盆冷水。

在 2026 年的今天，超過 90% 的網路流量都是加密的（HTTPS/TLS）。如果你沒有開啟 SSL Decryption (SSL 解密)，你的 PA-1410 就算效能再強，在它眼裡，這些流量通通都長這樣：

[一團亂碼] -> [目的地] -> [又一團亂碼]

這就像是你身為機場安檢員，看到旅客提著一個「死鎖的保險箱」走進來。你問他裡面裝什麼，他說裝的是「個人隱私（HTTPS）」。你就揮揮手讓他過去了？這不叫資安，這叫佛系管理。

今天的 PaloAlto_19，我們要聊聊如何優雅地拆開這些保險箱，又不被旅客（使用者）投訴到爆。

一、 為什麼非「拆」不可？（SSL 解密的必要性）

很多老闆（甚至有些資深工程師）會問：「解密很耗效能耶，真的有必要嗎？」

我通常會回他一個情境： 如果有一個員工，從家裡的雲端硬碟下載了一個包著 Cobalt Strike（木馬） 的檔案，並且這個檔案是透過 HTTPS 傳輸的。

• 沒開解密： PA 只看到 App: web-browsing，流量通過。恭喜你，內網中毒了。

• 開了解密： PA 會在防火牆中間把流量拆開，用 Content-ID 掃描裡面的位元組。發現病毒，直接攔截。

一句話總結：不開解密，你的進階威脅防禦（IPS、WildFire）就跟裝飾品沒兩樣。

二、 實戰操作：PA-1410 的「中間人」演技

SSL 解密的原理其實就是合法的「中間人攻擊 (Man-in-the-Middle)」。

1. 使用者想連到 Google。

2. PA-1410 攔截請求，自己偽裝成 Google 發一個憑證給使用者。

3. PA-1410 另外去跟真正的 Google 連線。

這中間最容易翻車的地方就是：憑證 (Certificate)。

如果你的使用者電腦不信任 PA 發出來的那張「代理憑證」，他們打開瀏覽器就會看到滿螢幕的「您的連線不是私密連線」。接著，你的分機就會被打爆，主管會站在你背後，問你為什麼公司網路壞了。

良的避坑指南：

• 一定要透過 AD GPO 派送憑證： 讓全公司的電腦預設信任 PA 的 Sub-CA 憑證。

• 手機與 IoT 設備是地雷： 這些東西很難塞憑證進去，建議先排除在解密清單外，不然你的報修單會接到手軟。

三、 哪些東西打死都不能解？（Decryption Exclusion）

做 SSL 解密不能像推土機一樣全推平，有些東西解密了會出大事（甚至有法律責任）：

1. 金融銀行類 (Financial Services)： 你解密員工的網銀帳密？這在某些法規下是違法的。

2. 醫療與隱私 (Health and Medicine)： 同上，別給自己找麻煩。

3. 政府網站： 有些政府憑證有特殊檢查機制，解密後會直接斷線。

4. 不支援解密的 App： 例如 Dropbox 或某些特定的手機 App，它們會檢查憑證的「指紋」（Certificate Pinning），一旦發現中間有人動手腳，就直接擺工。

工程師的專業溫柔： 在 PA 的 Decryption Policy 裡，記得最上面要疊一層 No-Decrypt 的規則，把這些敏感類別通通排除。

四、 效能與「爆機」的恐懼

「解密會讓防火牆變慢」這不是傳聞，這是物理規律。解密需要大量的數學運算。 好在我們用的是 PA-1410，它有專門的硬體加速晶片處理這塊。但即便如此，你還是要監控你的 DP CPU (Dataplane CPU)。

如果有一天你發現解密開下去，CPU 飆到 90%，請不要驚慌，這時候你有兩個選擇：

1. 縮小範圍： 只解密「最危險」的類別（例如：Web-browsing, Unknown-tcp）。

2. 升級硬體： 拿著數據去找老闆，說我們需要更高階的型號了。（這也是幫自己爭取預算的好機會）。

五、 結語：資安就是一場「透明度」的戰爭

SSL 解密很痛苦，部署過程會有很多雜音，甚至會讓你懷疑人生。但一旦你熬過去，你會發現你的 Traffic Log 變得很清澈。

你會看到：

• 本來是 SSL 的流量，現在顯示為 Google-base。

• 原本藏在加密流量裡的惡意檔案，被 WildFire 準確擊落。

• 員工在上班時間偷偷用加密代理跳牆，被你一秒抓到。

資安工程師的價值，就在於你能看到別人看不見的東西。

PaloAlto_18 App-ID 的覺醒--別再讓 Port 號綁架你的智商

 

前言：你還在玩「看門牌猜屋主」的遊戲嗎？

如果你看完上一篇 [PaloAlto_17] 已經乖乖把 Zone 劃分清楚了，恭喜你，你已經從「水電工」晉升為「資安室內設計師」。但先別急著開香檳，因為接下來這個關卡，會決定你的 PA-1410 到底是一台具備人工智慧的頂級超跑，還是一台跑得比較快的電子垃圾。

這個關卡就叫：App-ID。

傳統防火牆（我們簡稱 Legacy FW，或是「那些讓你半夜被 Call 的舊機器」）邏輯很簡單：

• Source: 10.1.1.5

• Destination: 8.8.8.8

• Port: TCP 80 / 443

• Action: Allow

這種邏輯在 2005 年可能很神，但在 2026 年的今天，這簡直是開大門揖盜。為什麼？因為現在連阿嬤都知道，只要把病毒包在 HTTPS (Port 443) 裡面，你的防火牆就像瞎子一樣，摸著大象腿說這是一根柱子。

Palo Alto 的靈魂除了 Zone，另一個就是 App-ID。 它不看門牌（Port），它直接衝進屋子裡看你在幹嘛。

---

一、 Port 是騙人的，App 才是真的

很多剛從傳統防火牆轉過來的工程師（包括當年的我），最常問的一句話就是：

「良大，我明明開了 Port 80，為什麼網頁還是打不開？」

因為在 PA 的世界裡，Port 只是載體，App 才是本體。

想像一下，今天有一個外送員（流量）來到公司門口：

• 傳統防火牆思維： 「喔，你穿黃色制服（Port 80），進去吧。」（結果裡面包的是炸彈）。

• Palo Alto 思維： 「穿黃色制服是吧？把箱子打開。裡面是麥當勞（Web-browsing）？還是偽裝成麥當勞的非法無線電（BitTorrent）？」

如果你在 Policy 裡只寫了 Service Port 而沒有定義 Application，那你的 PA-1410 就只是在做「基礎重體力活」，完全浪費了它那顆強大的運算處理器。

二、 實戰演練：當主管叫你封鎖 Facebook，但又要留著發文功能

這是我最愛舉的例子，也是工程師最常遇到的「職場機車要求」。

在傳統防火牆，你要嘛全放，要嘛全擋。但在 PA-1410 裡，App-ID 讓你像拿著手術刀一樣精準。 在 Application 列表裡，你會發現 Facebook 不是一個 App，而是一群 App：

1. facebook-base（基本的瀏覽）

2. facebook-chat（聊天，這就是薪水小偷的來源）

3. facebook-posting（發文）

4. facebook-video（看影片，流量殺手）

工程師的優雅操作： 你只需要寫一條 Policy，把 facebook-chat 和 facebook-video 設為 Deny，保留 facebook-base。 明天主管過來就會說：「奇怪，為什麼我可以看公司粉專，但沒辦法看妹子的直播？一定是 FB 壞了。」 你只要推一下眼鏡，淡淡地說：「可能是最近海纜斷了吧。」

這就是 App-ID 帶給工程師的尊嚴。

三、 為什麼「Service: Any」是資安人的髒話？

在設定 Policy 時，新手最容易犯的罪就是為了省事，在 Service 欄位選 Any 或 Application-default。

讓我告訴你為什麼這很危險。 有些聰明的惡意軟體會故意走非標準 Port。例如，它用 Port 80 來跑 SSH 隧道。

• 如果你設 Service: Any 且 App: SSH，它就通了。

• 如果你設 Service: Application-default，PA 就會發現：「不對喔，SSH 應該走 Port 22，你現在走 Port 80？抓到你了，滾吧！」

良的溫馨提示： 永遠優先使用 Application-default。這意味著你強迫 Application 必須走在它該走的軌道上。不守規矩的流量，一律視為「非法入侵」。

四、 那些年，我們一起踩過的 App-ID 坑

雖然 App-ID 很強，但它也有脾氣。最常見的坑就是 「相依性 (Dependency)」。

你興沖沖地開了一條 Policy 給 Office365，結果發現 outlook 還是轉圈圈。 為什麼？因為 Office365 運作時，背後可能還需要 SSL、Web-browsing 甚至是 DNS。

解決心法：

1. 善用 Policy Optimizer： 讓 PA 跑個幾天，它會自動告訴你：「欸，我看這條流量其實還包含這幾個 App，你要不要順便補上去？」

2. 看 Log 是美德： 當流量不通時，不要一直改 IP，去看 Traffic Log。PA 會清清楚楚告訴你，這個流量被辨識為什麼 App，以及為什麼被丟掉。

五、 App-ID 之後：如何跟老闆解釋這台 PA-1410 買得很值？

身為工程師，我們不只要會做，還要會「演」。 當年度報表拿出來時，你不要只給他看 CPU 負載（老闆聽不懂）。你要給他看 「ACC (Application Command Center)」。

當你打開 ACC，畫面出現：

• 「本月攔截了 50,000 次試圖偽裝成 Web 的加密隧道。」

• 「辨識出 200 種未授權的雲端硬碟應用。」

• 「成功將頻寬從 YouTube 轉向了真正生產力工具。」

老闆會覺得你不是在管機器，你是在管「公司的數位資產」。這時候要談明年的維護費，或者是幫你自己爭取換個大一點的螢幕，勝算就高多了。

六、 結語：從「看門人」變成「引路人」

Zone 是領土，App-ID 就是規矩。 PA-1410 的強大，不在於它能撐多少 Gbps，而在於它能多細緻地理解你的流量。

PaloAlto_17 PA-1410 的世界觀建立：

 

Zone 先想清楚，防火牆才不會變成「有電的 Hub」

一句話先講清楚：
如果你在 Palo Alto 裡把 Zone 想錯了，
那你後面再怎麼寫 Policy，都是在幫未來的自己挖坑。

一、為什麼 Palo Alto 不是「介面防火牆」？

很多工程師第一次接觸 Palo Alto，內心都會有一個疑問：

「啊不就跟傳統防火牆一樣？
inside → outside → allow？」

錯。
Palo Alto 從一開始就不是用『介面』在思考世界的。

在它的宇宙裡，真正的主角只有一個：

👉 Zone（安全區域）

你可以把介面想成「門」，
但 Zone 才是「門後面是什麼世界」。

而 Palo Alto 所有的安全政策，都是在問一句話：

「哪個 Zone 的誰，要去另一個 Zone 幹嘛？」

二、定義 Zone：先想邏輯，不要急著點滑鼠

5️⃣ 定義 Zone（先想好邏輯）

在你還沒點進 Web UI 前，
請先拿一張紙（或心中的白板），問自己三個問題：

1. 誰是自己人？

2. 誰是外面來的？

3. 哪些人是「半生不熟」？

最基本、但 90% 公司都會用到的 Zone 架構

🔹 Trust（內部區域）

• 使用者電腦

• 內部 Server

• AD、NAS、ERP、File Server

• 工程師最愛、駭客最想進來的地方

一句話定義：

「我信任你，但還是會盯著你」

👉 Trust ≠ 無限制
👉 Trust = 預設比較乾淨，但還是要被管

🔹 Untrust（外網）

• Internet

• ISP

• 全世界的奇怪 IP

• 掃 Port 的、丟 Exploit 的、亂敲 SSH 的

一句話定義：

「我不認識你，也不想認識你」

👉 預設 全部拒絕
👉 只放你明確說 OK 的流量

🔹 DMZ（如果你有對外服務）

• Web Server

• Mail Server

• API Server

• 被外面打爆也不能拖垮內部的地方

DMZ 的精神是：

「你可以被打，但不能把火帶回家」

👉 DMZ 不等於 Trust
👉 DMZ 更不等於 Untrust

它是個：

「被嚴密監控的公開空間」

🔹 VPN（GlobalProtect）

• 在家工作的員工

• 出差連線的主管

• 半夜接到電話被叫起來修系統的工程師

VPN Zone 的特色是：

「人是自己人，但網路環境我不信任」

👉 筆電可能在：

• 咖啡廳

• 機場

• 飯店

• 小孩在旁邊看 YouTube

所以：

VPN Zone 通常權限比 Trust 少一點

三、為什麼說「Zone 是 Palo Alto 的靈魂」？

來，我們用一句很工程師的比喻。

傳統防火牆思維

Port 開了
IP 對了
就放行

像在看門牌號碼。

Palo Alto 思維

你是誰？
從哪裡來？
要去哪裡？
要做什麼應用？
風險高不高？

而這一切的第一個判斷條件，就是：

Zone → Zone

👉 沒有 Zone，就沒有 Policy 的意義
👉 Zone 設錯，Policy 再漂亮都沒用

四、Interface 設定：門開在哪，一定要搞清楚

6️⃣ Interface 設定（這裡是新手最容易翻車的地方）

Palo Alto 的實體介面很多：

• ethernet1/1

• ethernet1/2

• ethernet1/3 …

但請記住一句話：

介面只是硬體，Zone 才是身份

Step 1️⃣ 設定 Layer3 Interface

在 PA-1410 裡，最常見的是：

👉 Layer3 Interface

因為我們要它：

• 有 IP

• 會 Routing

• 能被安全政策管

Step 2️⃣ 指派到對應 Zone

這一步超重要，但也超多人亂做。

例如：

介面	正確 Zone
ethernet1/1	Untrust
ethernet1/2	Trust
ethernet1/3	DMZ
tunnel.1	VPN

錯誤示範：

「啊這條線接內網，就丟 Trust 好了」

不行。
你要問的是：

「這條線後面，是哪一個『世界』？」

Step 3️⃣ 設定 IP（這不是只是填數字）

IP 在 Palo Alto 裡不只是通訊用，它還代表：

• 這個 Zone 的 Gateway

• NAT 的基準點

• Policy 比對的參考

👉 IP 設錯，會出現以下症狀：

• Policy 明明寫了卻不通

• NAT 怎麼看都對，但就是連不上

• 工程師開始懷疑人生

五、實戰小劇場：Zone 想錯會發生什麼事？

🎭 情境一：把 VPN 放進 Trust

結果：

• VPN 使用者 = 內部員工

• 家裡 Wi-Fi 被入侵

• 駭客直接進內網

👉 老闆會問一句：

「防火牆不是很貴嗎？」

🎭 情境二：DMZ 跟 Trust 合在一起

結果：

• Web Server 被打

• 橫向移動

• AD 掛掉

• 全公司改密碼

👉 工程師的年終也一起不見

六、正確心法總整理（工程師版）

請把這幾句刻在心裡：

1. Zone 是邏輯，不是線路

2. 介面只是門，Zone 才是房間

3. 不同風險，一定要不同 Zone

4. Policy 永遠是 Zone → Zone

5. Zone 想清楚，後面 80% 的設定都會順

七、結語：PA-1410 不是難，是你還沒進入它的世界觀

很多人說 Palo Alto 難用，
其實不是它難，而是你還用著：

「傳統防火牆的腦袋」

一旦你理解：

• Zone 是世界

• Interface 是入口

• Policy 是規則

• App / User / Content 才是智慧

你會發現：

PA-1410 不是防火牆，是資安的邏輯引擎。

而這一切的起點，就只有一句話：

👉 Zone，是 Palo Alto 的靈魂。

 

PaloAlto_16 PA-1410 更新 PAN-OS 實戰指南

 

HA 架構下，工程師如何優雅升級不斷線

在企業網路的日常裡，有三件事會讓工程師瞬間清醒：
防火牆掛了、主管在旁邊、還有防火牆要升級。

如果你用的是 Palo Alto PA-1410 × 2，並且採用 HA（High Availability）架構，那恭喜你，你已經站在「可以不中斷服務升級」的正確起跑線上；但前提是——流程要對、順序不能亂。

這篇文章，就用一個工程師＋一點幽默的角度，帶你完整跑過一次 PA-1410 HA 架構下的 PAN-OS 升級流程。

一、HA 架構的核心哲學：不是快，是穩

HA 架構的基本設定很簡單：

• 一台 Active：實際扛流量

• 一台 Passive：待命、同步、準備接手

HA 的真正價值不是「升級比較快」，而是：

你可以在不中斷服務的情況下，把防火牆升級完成。

所以整個流程的黃金守則只有一句：

👉 先升 Passive，再切 Failover，最後升 Active

二、升級前檢查（這段做完，晚上比較睡得著）

在你按下 Download 之前，先確認這些事情：

1️⃣ HA 狀態正常

• Active / Passive 清楚

• HA Sync：In Sync

• 沒有 Split-Brain

👉 不同步，先修 HA，別碰升級。

2️⃣ 設定備份（工程師的護身符）

• Export Device State

• Export Running Config

• 有 Panorama 一起備

這不是迷信，是生存技巧。

3️⃣ 確認 PAN-OS 升級路徑

• 不要跨大版本直跳

• 先升到目前分支最新，再往上

防火牆不喜歡驚喜。

三、HA 架構下的標準升級流程

Step 1：先升級 Passive

確認哪台是 Passive，然後：

• Download 新版 PAN-OS

• Install

• Reboot

這時：

• 流量還在 Active

• 使用者完全無感

• 工程師心情尚可 ☕

Step 2：確認 Passive 升級完成狀態

升完後請檢查：

• OS 版本正確

• 仍是 Passive

• HA Sync 正常

• Log 沒有爆紅字

這一步，是你「最後可以反悔」的時間點。

四、手動觸發 Failover（整篇最關鍵）

Passive 升級完成後，接下來要讓它正式接手流量，這一步就是 手動 Failover。

▶ 為什麼要手動？

因為工程師要的是「可控」，不是「賭」。

方法一：Web UI（最直覺、最安全）

一定要登入「目前的 Active」那台

路徑：

Device → High Availability → Operational Commands

點選：

Suspend local device

這代表你對 Active 說：
「你可以下班了，換你兄弟上場。」

系統會自動：

• 將目前 Active 降為 Passive

• 已升級完成的那台升為 Active

• 流量完成切換（通常 1～3 秒）

方法二：CLI（工程師帥氣版）

在「目前 Active」執行：

request high-availability state suspend

驗證狀態：

show high-availability state

你要看到：

• 一台 Active

• 一台 Passive

• HA In Sync

Failover 當下會發生什麼？

正常情況下：

• Ping 掉 1～2 包

• 少量 TCP 重新建立（視 session sync 設定）

使用者：

「剛剛是不是卡一下？」

工程師：

「嗯，有，但我有預期。」😎

五、升級原本的 Active（現在它是 Passive）

Failover 成功、流量穩定後：

• 原本的 Active 現在已變 Passive

• 重複一樣的升級流程

  • Download

  • Install

  • Reboot

完成後，兩台 PA-1410：

• OS 版本一致

• HA 狀態正常

• 架構回到穩定狀態

六、升級完成後檢查清單（別急著關瀏覽器）

請確認：

• 上網正常

• VPN（GlobalProtect / Site-to-Site）

• NAT / Security Policy 命中

• Traffic / Threat Log 正常

• HA Sync：In Sync

確認穩定 10～15 分鐘，再安心收工。

七、工程師結語

HA 升級成功的關鍵不是技巧，而是紀律：

• Passive 永遠先升

• Failover 一定手動

• 備份一定要有

只要流程正確，
PA-1410 的 PAN-OS 升級，其實是一件非常優雅的事。

最後送你一句工程師名言：

「HA 不是用來救亂升級的，
是讓你可以冷靜升級。」

PaloAlto_15 PA-1410 第一次開機 & 管理存取設定

 

——「當防火牆第一次醒來，你只有一次機會當好人」

防火牆第一次開機，就像新同事第一天報到：
你現在怎麼對它，它以後就怎麼對你。

這篇文章會帶你完成 Palo Alto PA-1410 的首次開機與「工程師生存等級」的管理存取設定，避免未來半夜被自己關在門外。

一、第一次開機前，你至少要準備這些（不然會很想哭）

1️⃣ 硬體與線材

• PA-1410 本體（廢話，但真的有人忘）

• 電源線 ×2（能插就插，未來你會感謝現在的自己）

• 管理電腦（筆電即可）

• Console 線 or 網路線

  • 有 Console → 人生比較順

  • 沒 Console → 走 Web 管理也可以，但要更小心

2️⃣ 管理電腦網路設定（重點）

預設狀態下：

• Management IP：192.168.1.1/24

• 你的電腦請設：

  • IP：192.168.1.10

  • Mask：255.255.255.0

  • Gateway：不用設（真的）

二、開機那一刻：風扇起飛，但你要冷靜

🟢 開機流程

1. 插上電源

2. 電源鍵按下去

3. 你會聽到：

   • 風扇：「我要起飛啦！」

   • 你內心：「這聲音正常嗎？」

放心，正常。
第一次開機約 5–10 分鐘，這段時間請不要：

• 重開機

• 拔電

• 懷疑人生

三、登入防火牆：第一次見面要有禮貌

方法一：Web 管理（最常用）

1. 打開瀏覽器

2. 輸入：

https://192.168.1.1

3. 忽略憑證警告（工程師的日常）

4. 預設帳密：

項目	值
帳號	admin
密碼	admin

⚠️ 這組帳密全世界工程師都知道，
你現在不改，未來一定會被自己罵。

四、第一件事：改 admin 密碼（不然你不配叫工程師）

路徑：

Device → Administrators → admin

建議密碼原則（現實版）

• 長度 ≥ 12

• 有大寫 / 小寫 / 數字

• 不要：

  • company123

  • admin@123

  • 你公司名稱＋年份（拜託）

五、設定 Management IP（不然你之後會找不到它）

路徑：

Device → Setup → Services

常見企業設定範例：

項目	範例
Default Gateway	10.10.0.1
DNS	8.8.8.8 / 公司 DNS

✔ 設完 一定要 Commit
✔ Commit 前先確認「你電腦能不能連得到新 IP」

✔ 當然時間也是很重要囉~記得要啟用NTP校時!記得開放對外連線權限

工程師血淚名言：
「Commit 完才發現接錯網段，是一種修行。」

   

六、管理存取設定：誰可以「摸」這台防火牆？

1️⃣ 管理服務限制（超重要）

路徑：

Device → Setup → Management → Management Interface Settings

建議只開：

• ✔ HTTPS

• ✔ SSH（需要 CLI 時）

• ❌ Telnet（這年代還用 Telnet 的…算了）

2️⃣ 限制來源 IP（保命設定）

• 指定：

  • IT 管理網段

  • VPN 管理網段

例如：

10.10.0.0/24
172.16.100.0/24

👉 不要 0.0.0.0/0
👉 防火牆不是咖啡店 Wi-Fi

七、建立「不是 admin 的帳號」（未來會救你）

為什麼？

• admin 是核彈

• 日常操作用核彈，遲早出事

路徑：

Device → Administrators → Add

建議做法：

帳號	權限
it-admin	Superuser
it-readonly	Read-only

出事時，你會慶幸有 Read-only 帳號。或是自己建立Admin Role Profile

八、Commit：你今天最重要的一個按鈕

右上角那顆 Commit
不是裝飾，是信仰。

✔ 設定沒 Commit = 沒做
✔ Commit 失敗 = 去看 Log，不要罵設備

✔ 且看做了那些修改

✔若有多人管理可以選擇針對自己帳號修改的地方執行Commit

九、工程師經驗談（真的）

• ❌ 忘記改 admin 密碼 → 資安稽核直接開場白

• ❌ 管理介面全開 → 防火牆變成「被防火牆」

• ❌ 管理 IP 設錯 → Console 線重出江湖

• ✔ 管理存取先鎖好 → 晚上睡得著

結語：防火牆不是怕你，是怕你亂來

PA-1410 很強，
但它強不強，取決於第一次開機時你多謹慎。

防火牆不會背叛你，
會背叛你的，只有沒改密碼的 admin。

PaloAlto_14 PA-1410 標準企業網路建置實戰：

 

雙機 HA ＋ Core Switch LACP，
一套讓工程師能安心請假的架構**

一、前言：

「ISP 第一個接到誰，決定你晚上睡不睡得著」

企業網路只有兩種狀態：

1. 還沒出事

2. 正在被追究責任

而「ISP 進來先接誰」，就是那條讓你站在第 1 或第 2 種狀態的分水嶺。

正確答案只有一個：防火牆。

二、整體架構一眼懂（老闆版・修正版）

Internet
   |
 [ ISP ]
   |
====================
|| PA-1410 A      ||  ← Active
|| PA-1410 B      ||  ← Passive
====================
   ||   (LACP ae)
===========
||  Core  ||
|| Switch ||
===========
   |
 Internal Network

老闆只要懂一句話就好：

「網路不會因為一台設備壞掉就全公司停工。」

三、為什麼一定是「ISP → PA → Core Switch」？

因為反過來會出事，而且是那種會被寫報告的事。

❌ ISP → Core → Firewall 的真實下場

• Core Switch 直接暴露在 Internet

• 掃 Port、攻擊封包先打到交換器

• 防火牆：

  • 看不到第一手流量

  • Log 永遠少一段

• 資安稽核一句就夠：

  「為什麼邊界設備不是防火牆？」

✅ ISP → PA → Core 的好處

• 防火牆是真正的 Security Boundary

• NAT / Threat / App-ID / URL 全部吃得到

• Core Switch：

  • 專心當交換器

  • 不用替你擋駭客

四、PA-1410 × 2：

不是高可用，是基本生存

為什麼要做 HA？

因為：

• 防火牆一定會重開

• 升級一定會用到

• 硬體一定有壽命

HA 模式選擇

• Active / Passive

• 原因很工程師：

  • 穩定

  • 好除錯

  • 出事只會有一台被罵

HA 必接線路（少一條你會後悔）

• HA1：控制

• HA1 Backup：備援控制

• HA2：Session Sync（超重要）

• HA2 Backup：睡得更熟用

五、外網設計（Untrust）：

簡單就是王道

• ISP → PA-1410 A ethernet1/1

• ISP → PA-1410 B ethernet1/1

• 不做 LACP

• 由 HA 控制誰是 Active

👉 外網設計原則：
越單純，越不會半夜出事

六、內網設計（Trust）：

這才是 LACP 發揮的地方

PA-1410

• ethernet1/3 + ethernet1/4 → ae1

• 指派到 Trust Zone

Core Switch

• 對應 Port-Channel

• LACP Mode：Active

你會得到什麼？

• 頻寬疊加

• 任一條線斷都不會掉線

• 工程師不會因為「被踢到線」而被叫醒

七、Zone 與邏輯設計

基本但一定要清楚：

• Untrust：外網

• Trust：內部網路

• DMZ：對外服務

• VPN：給未來自己留路

一句工程師真理：

Zone 沒想清楚，Policy 一定長得像義大利麵。

八、Policy 與資安（不要 any any）

新手最愛：

Trust → Untrust → any any allow

老手會補一句：

「你確定這段要留下來？」

正確方向：

• Policy 分層

• 一定開 Log

• 一定套 Security Profile

Palo Alto 的價值不是擋，而是看得清楚。

九、HA ＋ LACP 的實際價值

狀況	結果
防火牆 Active 掛掉	Passive 秒接
一條內網線斷	LACP 撐住
升級重開	使用者幾乎無感
老闆問穩不穩	你敢點頭

十、結語：

這不是炫技，是工程師的基本修養

PA-1410 × 2
Active / Passive HA
Core Switch LACP

這套架構的目的知道只有一個：

讓網路出事時，
第一個心跳加速的不是你。