Zone 先想清楚,防火牆才不會變成「有電的 Hub」
一句話先講清楚:
如果你在 Palo Alto 裡把 Zone 想錯了,
那你後面再怎麼寫 Policy,都是在幫未來的自己挖坑。
一、為什麼 Palo Alto 不是「介面防火牆」?
很多工程師第一次接觸 Palo Alto,內心都會有一個疑問:
「啊不就跟傳統防火牆一樣?
inside → outside → allow?」
錯。
Palo Alto 從一開始就不是用『介面』在思考世界的。
在它的宇宙裡,真正的主角只有一個:
👉 Zone(安全區域)
你可以把介面想成「門」,
但 Zone 才是「門後面是什麼世界」。
而 Palo Alto 所有的安全政策,都是在問一句話:
「哪個 Zone 的誰,要去另一個 Zone 幹嘛?」
二、定義 Zone:先想邏輯,不要急著點滑鼠
5️⃣ 定義 Zone(先想好邏輯)
在你還沒點進 Web UI 前,
請先拿一張紙(或心中的白板),問自己三個問題:
-
誰是自己人?
-
誰是外面來的?
-
哪些人是「半生不熟」?
最基本、但 90% 公司都會用到的 Zone 架構
🔹 Trust(內部區域)
-
使用者電腦
-
內部 Server
-
AD、NAS、ERP、File Server
-
工程師最愛、駭客最想進來的地方
一句話定義:
「我信任你,但還是會盯著你」
👉 Trust ≠ 無限制
👉 Trust = 預設比較乾淨,但還是要被管
🔹 Untrust(外網)
-
Internet
-
ISP
-
全世界的奇怪 IP
-
掃 Port 的、丟 Exploit 的、亂敲 SSH 的
一句話定義:
「我不認識你,也不想認識你」
👉 預設 全部拒絕
👉 只放你明確說 OK 的流量
🔹 DMZ(如果你有對外服務)
-
Web Server
-
Mail Server
-
API Server
-
被外面打爆也不能拖垮內部的地方
DMZ 的精神是:
「你可以被打,但不能把火帶回家」
👉 DMZ 不等於 Trust
👉 DMZ 更不等於 Untrust
它是個:
「被嚴密監控的公開空間」
🔹 VPN(GlobalProtect)
-
在家工作的員工
-
出差連線的主管
-
半夜接到電話被叫起來修系統的工程師
VPN Zone 的特色是:
「人是自己人,但網路環境我不信任」
👉 筆電可能在:
-
咖啡廳
-
機場
-
飯店
-
小孩在旁邊看 YouTube
所以:
VPN Zone 通常權限比 Trust 少一點
三、為什麼說「Zone 是 Palo Alto 的靈魂」?
來,我們用一句很工程師的比喻。
傳統防火牆思維
Port 開了
IP 對了
就放行
像在看門牌號碼。
Palo Alto 思維
你是誰?
從哪裡來?
要去哪裡?
要做什麼應用?
風險高不高?
而這一切的第一個判斷條件,就是:
Zone → Zone
👉 沒有 Zone,就沒有 Policy 的意義
👉 Zone 設錯,Policy 再漂亮都沒用
四、Interface 設定:門開在哪,一定要搞清楚
6️⃣ Interface 設定(這裡是新手最容易翻車的地方)
Palo Alto 的實體介面很多:
-
ethernet1/1
-
ethernet1/2
-
ethernet1/3 …
但請記住一句話:
介面只是硬體,Zone 才是身份
Step 1️⃣ 設定 Layer3 Interface
在 PA-1410 裡,最常見的是:
👉 Layer3 Interface
因為我們要它:
-
有 IP
-
會 Routing
-
能被安全政策管
Step 2️⃣ 指派到對應 Zone
這一步超重要,但也超多人亂做。
例如:
| 介面 | 正確 Zone |
|---|---|
| ethernet1/1 | Untrust |
| ethernet1/2 | Trust |
| ethernet1/3 | DMZ |
| tunnel.1 | VPN |
錯誤示範:
「啊這條線接內網,就丟 Trust 好了」
不行。
你要問的是:
「這條線後面,是哪一個『世界』?」
Step 3️⃣ 設定 IP(這不是只是填數字)
IP 在 Palo Alto 裡不只是通訊用,它還代表:
-
這個 Zone 的 Gateway
-
NAT 的基準點
-
Policy 比對的參考
👉 IP 設錯,會出現以下症狀:
-
Policy 明明寫了卻不通
-
NAT 怎麼看都對,但就是連不上
-
工程師開始懷疑人生
五、實戰小劇場:Zone 想錯會發生什麼事?
🎭 情境一:把 VPN 放進 Trust
結果:
-
VPN 使用者 = 內部員工
-
家裡 Wi-Fi 被入侵
-
駭客直接進內網
👉 老闆會問一句:
「防火牆不是很貴嗎?」
🎭 情境二:DMZ 跟 Trust 合在一起
結果:
-
Web Server 被打
-
橫向移動
-
AD 掛掉
-
全公司改密碼
👉 工程師的年終也一起不見
六、正確心法總整理(工程師版)
請把這幾句刻在心裡:
-
Zone 是邏輯,不是線路
-
介面只是門,Zone 才是房間
-
不同風險,一定要不同 Zone
-
Policy 永遠是 Zone → Zone
-
Zone 想清楚,後面 80% 的設定都會順
七、結語:PA-1410 不是難,是你還沒進入它的世界觀
很多人說 Palo Alto 難用,
其實不是它難,而是你還用著:
「傳統防火牆的腦袋」
一旦你理解:
-
Zone 是世界
-
Interface 是入口
-
Policy 是規則
-
App / User / Content 才是智慧
你會發現:
PA-1410 不是防火牆,是資安的邏輯引擎。
而這一切的起點,就只有一句話:
👉 Zone,是 Palo Alto 的靈魂。
沒有留言:
張貼留言