——「當防火牆第一次醒來,你只有一次機會當好人」
防火牆第一次開機,就像新同事第一天報到:
你現在怎麼對它,它以後就怎麼對你。
這篇文章會帶你完成 Palo Alto PA-1410 的首次開機與「工程師生存等級」的管理存取設定,避免未來半夜被自己關在門外。
一、第一次開機前,你至少要準備這些(不然會很想哭)
1️⃣ 硬體與線材
-
PA-1410 本體(廢話,但真的有人忘)
-
電源線 ×2(能插就插,未來你會感謝現在的自己)
-
管理電腦(筆電即可)
-
Console 線 or 網路線
-
有 Console → 人生比較順
-
沒 Console → 走 Web 管理也可以,但要更小心
-
2️⃣ 管理電腦網路設定(重點)
預設狀態下:
-
Management IP:
192.168.1.1/24 -
你的電腦請設:
-
IP:
192.168.1.10 -
Mask:
255.255.255.0 -
Gateway:不用設(真的)
-
二、開機那一刻:風扇起飛,但你要冷靜
🟢 開機流程
-
插上電源
-
電源鍵按下去
-
你會聽到:
-
風扇:「我要起飛啦!」
-
你內心:「這聲音正常嗎?」
-
放心,正常。
第一次開機約 5–10 分鐘,這段時間請不要:
-
重開機
-
拔電
-
懷疑人生
三、登入防火牆:第一次見面要有禮貌
方法一:Web 管理(最常用)
-
打開瀏覽器
-
輸入:
-
忽略憑證警告(工程師的日常)
-
預設帳密:
| 項目 | 值 |
|---|---|
| 帳號 | admin |
| 密碼 | admin |
⚠️ 這組帳密全世界工程師都知道,
你現在不改,未來一定會被自己罵。
四、第一件事:改 admin 密碼(不然你不配叫工程師)
路徑:
建議密碼原則(現實版)
-
長度 ≥ 12
-
有大寫 / 小寫 / 數字
-
不要:
-
company123
-
admin@123
-
你公司名稱+年份(拜託)
-
五、設定 Management IP(不然你之後會找不到它)
路徑:
常見企業設定範例:
| 項目 | 範例 |
|---|---|
| Default Gateway | 10.10.0.1 |
| DNS | 8.8.8.8 / 公司 DNS |
✔ 設完 一定要 Commit
✔ Commit 前先確認「你電腦能不能連得到新 IP」
✔ 當然時間也是很重要囉~記得要啟用NTP校時!記得開放對外連線權限
工程師血淚名言:
「Commit 完才發現接錯網段,是一種修行。」
六、管理存取設定:誰可以「摸」這台防火牆?
1️⃣ 管理服務限制(超重要)
路徑:
建議只開:
-
✔ HTTPS
-
✔ SSH(需要 CLI 時)
-
❌ Telnet(這年代還用 Telnet 的…算了)
2️⃣ 限制來源 IP(保命設定)
-
指定:
-
IT 管理網段
-
VPN 管理網段
-
例如:
👉 不要 0.0.0.0/0
👉 防火牆不是咖啡店 Wi-Fi
七、建立「不是 admin 的帳號」(未來會救你)
為什麼?
-
admin 是核彈
-
日常操作用核彈,遲早出事
路徑:
建議做法:
| 帳號 | 權限 |
|---|---|
| it-admin | Superuser |
| it-readonly | Read-only |
出事時,你會慶幸有 Read-only 帳號。或是自己建立Admin Role Profile
八、Commit:你今天最重要的一個按鈕
右上角那顆 Commit
不是裝飾,是信仰。
✔ 設定沒 Commit = 沒做
✔ Commit 失敗 = 去看 Log,不要罵設備
✔ 且看做了那些修改
✔若有多人管理可以選擇針對自己帳號修改的地方執行Commit
九、工程師經驗談(真的)
-
❌ 忘記改 admin 密碼 → 資安稽核直接開場白
-
❌ 管理介面全開 → 防火牆變成「被防火牆」
-
❌ 管理 IP 設錯 → Console 線重出江湖
-
✔ 管理存取先鎖好 → 晚上睡得著
結語:防火牆不是怕你,是怕你亂來
PA-1410 很強,
但它強不強,取決於第一次開機時你多謹慎。
防火牆不會背叛你,
會背叛你的,只有沒改密碼的 admin。
沒有留言:
張貼留言