PaloAlto_19 SSL 解密：別當那個「隔著麻袋摸大象」的資安工程師

前言：加密流量，是駭客最溫柔的掩護

如果你已經搞定了 Zone 的邏輯，也學會了用 App-ID 去抓應用程式，你可能會覺得自己現在就像機房裡的葉問，一個能打十個。

但我要潑你一盆冷水。

在 2026 年的今天，超過 90% 的網路流量都是加密的（HTTPS/TLS）。如果你沒有開啟 SSL Decryption (SSL 解密)，你的 PA-1410 就算效能再強，在它眼裡，這些流量通通都長這樣：

[一團亂碼] -> [目的地] -> [又一團亂碼]

這就像是你身為機場安檢員，看到旅客提著一個「死鎖的保險箱」走進來。你問他裡面裝什麼，他說裝的是「個人隱私（HTTPS）」。你就揮揮手讓他過去了？這不叫資安，這叫佛系管理。

今天的 PaloAlto_19，我們要聊聊如何優雅地拆開這些保險箱，又不被旅客（使用者）投訴到爆。

一、 為什麼非「拆」不可？（SSL 解密的必要性）

很多老闆（甚至有些資深工程師）會問：「解密很耗效能耶，真的有必要嗎？」

我通常會回他一個情境： 如果有一個員工，從家裡的雲端硬碟下載了一個包著 Cobalt Strike（木馬） 的檔案，並且這個檔案是透過 HTTPS 傳輸的。

• 沒開解密： PA 只看到 App: web-browsing，流量通過。恭喜你，內網中毒了。

• 開了解密： PA 會在防火牆中間把流量拆開，用 Content-ID 掃描裡面的位元組。發現病毒，直接攔截。

一句話總結：不開解密，你的進階威脅防禦（IPS、WildFire）就跟裝飾品沒兩樣。

二、 實戰操作：PA-1410 的「中間人」演技

SSL 解密的原理其實就是合法的「中間人攻擊 (Man-in-the-Middle)」。

1. 使用者想連到 Google。

2. PA-1410 攔截請求，自己偽裝成 Google 發一個憑證給使用者。

3. PA-1410 另外去跟真正的 Google 連線。

這中間最容易翻車的地方就是：憑證 (Certificate)。

如果你的使用者電腦不信任 PA 發出來的那張「代理憑證」，他們打開瀏覽器就會看到滿螢幕的「您的連線不是私密連線」。接著，你的分機就會被打爆，主管會站在你背後，問你為什麼公司網路壞了。

良的避坑指南：

• 一定要透過 AD GPO 派送憑證： 讓全公司的電腦預設信任 PA 的 Sub-CA 憑證。

• 手機與 IoT 設備是地雷： 這些東西很難塞憑證進去，建議先排除在解密清單外，不然你的報修單會接到手軟。

三、 哪些東西打死都不能解？（Decryption Exclusion）

做 SSL 解密不能像推土機一樣全推平，有些東西解密了會出大事（甚至有法律責任）：

1. 金融銀行類 (Financial Services)： 你解密員工的網銀帳密？這在某些法規下是違法的。

2. 醫療與隱私 (Health and Medicine)： 同上，別給自己找麻煩。

3. 政府網站： 有些政府憑證有特殊檢查機制，解密後會直接斷線。

4. 不支援解密的 App： 例如 Dropbox 或某些特定的手機 App，它們會檢查憑證的「指紋」（Certificate Pinning），一旦發現中間有人動手腳，就直接擺工。

工程師的專業溫柔： 在 PA 的 Decryption Policy 裡，記得最上面要疊一層 No-Decrypt 的規則，把這些敏感類別通通排除。

四、 效能與「爆機」的恐懼

「解密會讓防火牆變慢」這不是傳聞，這是物理規律。解密需要大量的數學運算。 好在我們用的是 PA-1410，它有專門的硬體加速晶片處理這塊。但即便如此，你還是要監控你的 DP CPU (Dataplane CPU)。

如果有一天你發現解密開下去，CPU 飆到 90%，請不要驚慌，這時候你有兩個選擇：

1. 縮小範圍： 只解密「最危險」的類別（例如：Web-browsing, Unknown-tcp）。

2. 升級硬體： 拿著數據去找老闆，說我們需要更高階的型號了。（這也是幫自己爭取預算的好機會）。

五、 結語：資安就是一場「透明度」的戰爭

SSL 解密很痛苦，部署過程會有很多雜音，甚至會讓你懷疑人生。但一旦你熬過去，你會發現你的 Traffic Log 變得很清澈。

你會看到：

• 本來是 SSL 的流量，現在顯示為 Google-base。

• 原本藏在加密流量裡的惡意檔案，被 WildFire 準確擊落。

• 員工在上班時間偷偷用加密代理跳牆，被你一秒抓到。

資安工程師的價值，就在於你能看到別人看不見的東西。

PaloAlto_18 App-ID 的覺醒--別再讓 Port 號綁架你的智商

 

前言：你還在玩「看門牌猜屋主」的遊戲嗎？

如果你看完上一篇 [PaloAlto_17] 已經乖乖把 Zone 劃分清楚了，恭喜你，你已經從「水電工」晉升為「資安室內設計師」。但先別急著開香檳，因為接下來這個關卡，會決定你的 PA-1410 到底是一台具備人工智慧的頂級超跑，還是一台跑得比較快的電子垃圾。

這個關卡就叫：App-ID。

傳統防火牆（我們簡稱 Legacy FW，或是「那些讓你半夜被 Call 的舊機器」）邏輯很簡單：

• Source: 10.1.1.5

• Destination: 8.8.8.8

• Port: TCP 80 / 443

• Action: Allow

這種邏輯在 2005 年可能很神，但在 2026 年的今天，這簡直是開大門揖盜。為什麼？因為現在連阿嬤都知道，只要把病毒包在 HTTPS (Port 443) 裡面，你的防火牆就像瞎子一樣，摸著大象腿說這是一根柱子。

Palo Alto 的靈魂除了 Zone，另一個就是 App-ID。 它不看門牌（Port），它直接衝進屋子裡看你在幹嘛。

---

一、 Port 是騙人的，App 才是真的

很多剛從傳統防火牆轉過來的工程師（包括當年的我），最常問的一句話就是：

「良大，我明明開了 Port 80，為什麼網頁還是打不開？」

因為在 PA 的世界裡，Port 只是載體，App 才是本體。

想像一下，今天有一個外送員（流量）來到公司門口：

• 傳統防火牆思維： 「喔，你穿黃色制服（Port 80），進去吧。」（結果裡面包的是炸彈）。

• Palo Alto 思維： 「穿黃色制服是吧？把箱子打開。裡面是麥當勞（Web-browsing）？還是偽裝成麥當勞的非法無線電（BitTorrent）？」

如果你在 Policy 裡只寫了 Service Port 而沒有定義 Application，那你的 PA-1410 就只是在做「基礎重體力活」，完全浪費了它那顆強大的運算處理器。

二、 實戰演練：當主管叫你封鎖 Facebook，但又要留著發文功能

這是我最愛舉的例子，也是工程師最常遇到的「職場機車要求」。

在傳統防火牆，你要嘛全放，要嘛全擋。但在 PA-1410 裡，App-ID 讓你像拿著手術刀一樣精準。 在 Application 列表裡，你會發現 Facebook 不是一個 App，而是一群 App：

1. facebook-base（基本的瀏覽）

2. facebook-chat（聊天，這就是薪水小偷的來源）

3. facebook-posting（發文）

4. facebook-video（看影片，流量殺手）

工程師的優雅操作： 你只需要寫一條 Policy，把 facebook-chat 和 facebook-video 設為 Deny，保留 facebook-base。 明天主管過來就會說：「奇怪，為什麼我可以看公司粉專，但沒辦法看妹子的直播？一定是 FB 壞了。」 你只要推一下眼鏡，淡淡地說：「可能是最近海纜斷了吧。」

這就是 App-ID 帶給工程師的尊嚴。

三、 為什麼「Service: Any」是資安人的髒話？

在設定 Policy 時，新手最容易犯的罪就是為了省事，在 Service 欄位選 Any 或 Application-default。

讓我告訴你為什麼這很危險。 有些聰明的惡意軟體會故意走非標準 Port。例如，它用 Port 80 來跑 SSH 隧道。

• 如果你設 Service: Any 且 App: SSH，它就通了。

• 如果你設 Service: Application-default，PA 就會發現：「不對喔，SSH 應該走 Port 22，你現在走 Port 80？抓到你了，滾吧！」

良的溫馨提示： 永遠優先使用 Application-default。這意味著你強迫 Application 必須走在它該走的軌道上。不守規矩的流量，一律視為「非法入侵」。

四、 那些年，我們一起踩過的 App-ID 坑

雖然 App-ID 很強，但它也有脾氣。最常見的坑就是 「相依性 (Dependency)」。

你興沖沖地開了一條 Policy 給 Office365，結果發現 outlook 還是轉圈圈。 為什麼？因為 Office365 運作時，背後可能還需要 SSL、Web-browsing 甚至是 DNS。

解決心法：

1. 善用 Policy Optimizer： 讓 PA 跑個幾天，它會自動告訴你：「欸，我看這條流量其實還包含這幾個 App，你要不要順便補上去？」

2. 看 Log 是美德： 當流量不通時，不要一直改 IP，去看 Traffic Log。PA 會清清楚楚告訴你，這個流量被辨識為什麼 App，以及為什麼被丟掉。

五、 App-ID 之後：如何跟老闆解釋這台 PA-1410 買得很值？

身為工程師，我們不只要會做，還要會「演」。 當年度報表拿出來時，你不要只給他看 CPU 負載（老闆聽不懂）。你要給他看 「ACC (Application Command Center)」。

當你打開 ACC，畫面出現：

• 「本月攔截了 50,000 次試圖偽裝成 Web 的加密隧道。」

• 「辨識出 200 種未授權的雲端硬碟應用。」

• 「成功將頻寬從 YouTube 轉向了真正生產力工具。」

老闆會覺得你不是在管機器，你是在管「公司的數位資產」。這時候要談明年的維護費，或者是幫你自己爭取換個大一點的螢幕，勝算就高多了。

六、 結語：從「看門人」變成「引路人」

Zone 是領土，App-ID 就是規矩。 PA-1410 的強大，不在於它能撐多少 Gbps，而在於它能多細緻地理解你的流量。

PaloAlto_17 PA-1410 的世界觀建立：

 

Zone 先想清楚，防火牆才不會變成「有電的 Hub」

一句話先講清楚：
如果你在 Palo Alto 裡把 Zone 想錯了，
那你後面再怎麼寫 Policy，都是在幫未來的自己挖坑。

一、為什麼 Palo Alto 不是「介面防火牆」？

很多工程師第一次接觸 Palo Alto，內心都會有一個疑問：

「啊不就跟傳統防火牆一樣？
inside → outside → allow？」

錯。
Palo Alto 從一開始就不是用『介面』在思考世界的。

在它的宇宙裡，真正的主角只有一個：

👉 Zone（安全區域）

你可以把介面想成「門」，
但 Zone 才是「門後面是什麼世界」。

而 Palo Alto 所有的安全政策，都是在問一句話：

「哪個 Zone 的誰，要去另一個 Zone 幹嘛？」

二、定義 Zone：先想邏輯，不要急著點滑鼠

5️⃣ 定義 Zone（先想好邏輯）

在你還沒點進 Web UI 前，
請先拿一張紙（或心中的白板），問自己三個問題：

1. 誰是自己人？

2. 誰是外面來的？

3. 哪些人是「半生不熟」？

最基本、但 90% 公司都會用到的 Zone 架構

🔹 Trust（內部區域）

• 使用者電腦

• 內部 Server

• AD、NAS、ERP、File Server

• 工程師最愛、駭客最想進來的地方

一句話定義：

「我信任你，但還是會盯著你」

👉 Trust ≠ 無限制
👉 Trust = 預設比較乾淨，但還是要被管

🔹 Untrust（外網）

• Internet

• ISP

• 全世界的奇怪 IP

• 掃 Port 的、丟 Exploit 的、亂敲 SSH 的

一句話定義：

「我不認識你，也不想認識你」

👉 預設 全部拒絕
👉 只放你明確說 OK 的流量

🔹 DMZ（如果你有對外服務）

• Web Server

• Mail Server

• API Server

• 被外面打爆也不能拖垮內部的地方

DMZ 的精神是：

「你可以被打，但不能把火帶回家」

👉 DMZ 不等於 Trust
👉 DMZ 更不等於 Untrust

它是個：

「被嚴密監控的公開空間」

🔹 VPN（GlobalProtect）

• 在家工作的員工

• 出差連線的主管

• 半夜接到電話被叫起來修系統的工程師

VPN Zone 的特色是：

「人是自己人，但網路環境我不信任」

👉 筆電可能在：

• 咖啡廳

• 機場

• 飯店

• 小孩在旁邊看 YouTube

所以：

VPN Zone 通常權限比 Trust 少一點

三、為什麼說「Zone 是 Palo Alto 的靈魂」？

來，我們用一句很工程師的比喻。

傳統防火牆思維

Port 開了
IP 對了
就放行

像在看門牌號碼。

Palo Alto 思維

你是誰？
從哪裡來？
要去哪裡？
要做什麼應用？
風險高不高？

而這一切的第一個判斷條件，就是：

Zone → Zone

👉 沒有 Zone，就沒有 Policy 的意義
👉 Zone 設錯，Policy 再漂亮都沒用

四、Interface 設定：門開在哪，一定要搞清楚

6️⃣ Interface 設定（這裡是新手最容易翻車的地方）

Palo Alto 的實體介面很多：

• ethernet1/1

• ethernet1/2

• ethernet1/3 …

但請記住一句話：

介面只是硬體，Zone 才是身份

Step 1️⃣ 設定 Layer3 Interface

在 PA-1410 裡，最常見的是：

👉 Layer3 Interface

因為我們要它：

• 有 IP

• 會 Routing

• 能被安全政策管

Step 2️⃣ 指派到對應 Zone

這一步超重要，但也超多人亂做。

例如：

介面	正確 Zone
ethernet1/1	Untrust
ethernet1/2	Trust
ethernet1/3	DMZ
tunnel.1	VPN

錯誤示範：

「啊這條線接內網，就丟 Trust 好了」

不行。
你要問的是：

「這條線後面，是哪一個『世界』？」

Step 3️⃣ 設定 IP（這不是只是填數字）

IP 在 Palo Alto 裡不只是通訊用，它還代表：

• 這個 Zone 的 Gateway

• NAT 的基準點

• Policy 比對的參考

👉 IP 設錯，會出現以下症狀：

• Policy 明明寫了卻不通

• NAT 怎麼看都對，但就是連不上

• 工程師開始懷疑人生

五、實戰小劇場：Zone 想錯會發生什麼事？

🎭 情境一：把 VPN 放進 Trust

結果：

• VPN 使用者 = 內部員工

• 家裡 Wi-Fi 被入侵

• 駭客直接進內網

👉 老闆會問一句：

「防火牆不是很貴嗎？」

🎭 情境二：DMZ 跟 Trust 合在一起

結果：

• Web Server 被打

• 橫向移動

• AD 掛掉

• 全公司改密碼

👉 工程師的年終也一起不見

六、正確心法總整理（工程師版）

請把這幾句刻在心裡：

1. Zone 是邏輯，不是線路

2. 介面只是門，Zone 才是房間

3. 不同風險，一定要不同 Zone

4. Policy 永遠是 Zone → Zone

5. Zone 想清楚，後面 80% 的設定都會順

七、結語：PA-1410 不是難，是你還沒進入它的世界觀

很多人說 Palo Alto 難用，
其實不是它難，而是你還用著：

「傳統防火牆的腦袋」

一旦你理解：

• Zone 是世界

• Interface 是入口

• Policy 是規則

• App / User / Content 才是智慧

你會發現：

PA-1410 不是防火牆，是資安的邏輯引擎。

而這一切的起點，就只有一句話：

👉 Zone，是 Palo Alto 的靈魂。

 

PaloAlto_16 PA-1410 更新 PAN-OS 實戰指南

 

HA 架構下，工程師如何優雅升級不斷線

在企業網路的日常裡，有三件事會讓工程師瞬間清醒：
防火牆掛了、主管在旁邊、還有防火牆要升級。

如果你用的是 Palo Alto PA-1410 × 2，並且採用 HA（High Availability）架構，那恭喜你，你已經站在「可以不中斷服務升級」的正確起跑線上；但前提是——流程要對、順序不能亂。

這篇文章，就用一個工程師＋一點幽默的角度，帶你完整跑過一次 PA-1410 HA 架構下的 PAN-OS 升級流程。

一、HA 架構的核心哲學：不是快，是穩

HA 架構的基本設定很簡單：

• 一台 Active：實際扛流量

• 一台 Passive：待命、同步、準備接手

HA 的真正價值不是「升級比較快」，而是：

你可以在不中斷服務的情況下，把防火牆升級完成。

所以整個流程的黃金守則只有一句：

👉 先升 Passive，再切 Failover，最後升 Active

二、升級前檢查（這段做完，晚上比較睡得著）

在你按下 Download 之前，先確認這些事情：

1️⃣ HA 狀態正常

• Active / Passive 清楚

• HA Sync：In Sync

• 沒有 Split-Brain

👉 不同步，先修 HA，別碰升級。

2️⃣ 設定備份（工程師的護身符）

• Export Device State

• Export Running Config

• 有 Panorama 一起備

這不是迷信，是生存技巧。

3️⃣ 確認 PAN-OS 升級路徑

• 不要跨大版本直跳

• 先升到目前分支最新，再往上

防火牆不喜歡驚喜。

三、HA 架構下的標準升級流程

Step 1：先升級 Passive

確認哪台是 Passive，然後：

• Download 新版 PAN-OS

• Install

• Reboot

這時：

• 流量還在 Active

• 使用者完全無感

• 工程師心情尚可 ☕

Step 2：確認 Passive 升級完成狀態

升完後請檢查：

• OS 版本正確

• 仍是 Passive

• HA Sync 正常

• Log 沒有爆紅字

這一步，是你「最後可以反悔」的時間點。

四、手動觸發 Failover（整篇最關鍵）

Passive 升級完成後，接下來要讓它正式接手流量，這一步就是 手動 Failover。

▶ 為什麼要手動？

因為工程師要的是「可控」，不是「賭」。

方法一：Web UI（最直覺、最安全）

一定要登入「目前的 Active」那台

路徑：

Device → High Availability → Operational Commands

點選：

Suspend local device

這代表你對 Active 說：
「你可以下班了，換你兄弟上場。」

系統會自動：

• 將目前 Active 降為 Passive

• 已升級完成的那台升為 Active

• 流量完成切換（通常 1～3 秒）

方法二：CLI（工程師帥氣版）

在「目前 Active」執行：

request high-availability state suspend

驗證狀態：

show high-availability state

你要看到：

• 一台 Active

• 一台 Passive

• HA In Sync

Failover 當下會發生什麼？

正常情況下：

• Ping 掉 1～2 包

• 少量 TCP 重新建立（視 session sync 設定）

使用者：

「剛剛是不是卡一下？」

工程師：

「嗯，有，但我有預期。」😎

五、升級原本的 Active（現在它是 Passive）

Failover 成功、流量穩定後：

• 原本的 Active 現在已變 Passive

• 重複一樣的升級流程

  • Download

  • Install

  • Reboot

完成後，兩台 PA-1410：

• OS 版本一致

• HA 狀態正常

• 架構回到穩定狀態

六、升級完成後檢查清單（別急著關瀏覽器）

請確認：

• 上網正常

• VPN（GlobalProtect / Site-to-Site）

• NAT / Security Policy 命中

• Traffic / Threat Log 正常

• HA Sync：In Sync

確認穩定 10～15 分鐘，再安心收工。

七、工程師結語

HA 升級成功的關鍵不是技巧，而是紀律：

• Passive 永遠先升

• Failover 一定手動

• 備份一定要有

只要流程正確，
PA-1410 的 PAN-OS 升級，其實是一件非常優雅的事。

最後送你一句工程師名言：

「HA 不是用來救亂升級的，
是讓你可以冷靜升級。」

PaloAlto_15 PA-1410 第一次開機 & 管理存取設定

 

——「當防火牆第一次醒來，你只有一次機會當好人」

防火牆第一次開機，就像新同事第一天報到：
你現在怎麼對它，它以後就怎麼對你。

這篇文章會帶你完成 Palo Alto PA-1410 的首次開機與「工程師生存等級」的管理存取設定，避免未來半夜被自己關在門外。

一、第一次開機前，你至少要準備這些（不然會很想哭）

1️⃣ 硬體與線材

• PA-1410 本體（廢話，但真的有人忘）

• 電源線 ×2（能插就插，未來你會感謝現在的自己）

• 管理電腦（筆電即可）

• Console 線 or 網路線

  • 有 Console → 人生比較順

  • 沒 Console → 走 Web 管理也可以，但要更小心

2️⃣ 管理電腦網路設定（重點）

預設狀態下：

• Management IP：192.168.1.1/24

• 你的電腦請設：

  • IP：192.168.1.10

  • Mask：255.255.255.0

  • Gateway：不用設（真的）

二、開機那一刻：風扇起飛，但你要冷靜

🟢 開機流程

1. 插上電源

2. 電源鍵按下去

3. 你會聽到：

   • 風扇：「我要起飛啦！」

   • 你內心：「這聲音正常嗎？」

放心，正常。
第一次開機約 5–10 分鐘，這段時間請不要：

• 重開機

• 拔電

• 懷疑人生

三、登入防火牆：第一次見面要有禮貌

方法一：Web 管理（最常用）

1. 打開瀏覽器

2. 輸入：

https://192.168.1.1

3. 忽略憑證警告（工程師的日常）

4. 預設帳密：

項目	值
帳號	admin
密碼	admin

⚠️ 這組帳密全世界工程師都知道，
你現在不改，未來一定會被自己罵。

四、第一件事：改 admin 密碼（不然你不配叫工程師）

路徑：

Device → Administrators → admin

建議密碼原則（現實版）

• 長度 ≥ 12

• 有大寫 / 小寫 / 數字

• 不要：

  • company123

  • admin@123

  • 你公司名稱＋年份（拜託）

五、設定 Management IP（不然你之後會找不到它）

路徑：

Device → Setup → Services

常見企業設定範例：

項目	範例
Default Gateway	10.10.0.1
DNS	8.8.8.8 / 公司 DNS

✔ 設完 一定要 Commit
✔ Commit 前先確認「你電腦能不能連得到新 IP」

✔ 當然時間也是很重要囉~記得要啟用NTP校時!記得開放對外連線權限

工程師血淚名言：
「Commit 完才發現接錯網段，是一種修行。」

   

六、管理存取設定：誰可以「摸」這台防火牆？

1️⃣ 管理服務限制（超重要）

路徑：

Device → Setup → Management → Management Interface Settings

建議只開：

• ✔ HTTPS

• ✔ SSH（需要 CLI 時）

• ❌ Telnet（這年代還用 Telnet 的…算了）

2️⃣ 限制來源 IP（保命設定）

• 指定：

  • IT 管理網段

  • VPN 管理網段

例如：

10.10.0.0/24
172.16.100.0/24

👉 不要 0.0.0.0/0
👉 防火牆不是咖啡店 Wi-Fi

七、建立「不是 admin 的帳號」（未來會救你）

為什麼？

• admin 是核彈

• 日常操作用核彈，遲早出事

路徑：

Device → Administrators → Add

建議做法：

帳號	權限
it-admin	Superuser
it-readonly	Read-only

出事時，你會慶幸有 Read-only 帳號。或是自己建立Admin Role Profile

八、Commit：你今天最重要的一個按鈕

右上角那顆 Commit
不是裝飾，是信仰。

✔ 設定沒 Commit = 沒做
✔ Commit 失敗 = 去看 Log，不要罵設備

✔ 且看做了那些修改

✔若有多人管理可以選擇針對自己帳號修改的地方執行Commit

九、工程師經驗談（真的）

• ❌ 忘記改 admin 密碼 → 資安稽核直接開場白

• ❌ 管理介面全開 → 防火牆變成「被防火牆」

• ❌ 管理 IP 設錯 → Console 線重出江湖

• ✔ 管理存取先鎖好 → 晚上睡得著

結語：防火牆不是怕你，是怕你亂來

PA-1410 很強，
但它強不強，取決於第一次開機時你多謹慎。

防火牆不會背叛你，
會背叛你的，只有沒改密碼的 admin。

PaloAlto_14 PA-1410 標準企業網路建置實戰：

 

雙機 HA ＋ Core Switch LACP，
一套讓工程師能安心請假的架構**

一、前言：

「ISP 第一個接到誰，決定你晚上睡不睡得著」

企業網路只有兩種狀態：

1. 還沒出事

2. 正在被追究責任

而「ISP 進來先接誰」，就是那條讓你站在第 1 或第 2 種狀態的分水嶺。

正確答案只有一個：防火牆。

二、整體架構一眼懂（老闆版・修正版）

Internet
   |
 [ ISP ]
   |
====================
|| PA-1410 A      ||  ← Active
|| PA-1410 B      ||  ← Passive
====================
   ||   (LACP ae)
===========
||  Core  ||
|| Switch ||
===========
   |
 Internal Network

老闆只要懂一句話就好：

「網路不會因為一台設備壞掉就全公司停工。」

三、為什麼一定是「ISP → PA → Core Switch」？

因為反過來會出事，而且是那種會被寫報告的事。

❌ ISP → Core → Firewall 的真實下場

• Core Switch 直接暴露在 Internet

• 掃 Port、攻擊封包先打到交換器

• 防火牆：

  • 看不到第一手流量

  • Log 永遠少一段

• 資安稽核一句就夠：

  「為什麼邊界設備不是防火牆？」

✅ ISP → PA → Core 的好處

• 防火牆是真正的 Security Boundary

• NAT / Threat / App-ID / URL 全部吃得到

• Core Switch：

  • 專心當交換器

  • 不用替你擋駭客

四、PA-1410 × 2：

不是高可用，是基本生存

為什麼要做 HA？

因為：

• 防火牆一定會重開

• 升級一定會用到

• 硬體一定有壽命

HA 模式選擇

• Active / Passive

• 原因很工程師：

  • 穩定

  • 好除錯

  • 出事只會有一台被罵

HA 必接線路（少一條你會後悔）

• HA1：控制

• HA1 Backup：備援控制

• HA2：Session Sync（超重要）

• HA2 Backup：睡得更熟用

五、外網設計（Untrust）：

簡單就是王道

• ISP → PA-1410 A ethernet1/1

• ISP → PA-1410 B ethernet1/1

• 不做 LACP

• 由 HA 控制誰是 Active

👉 外網設計原則：
越單純，越不會半夜出事

六、內網設計（Trust）：

這才是 LACP 發揮的地方

PA-1410

• ethernet1/3 + ethernet1/4 → ae1

• 指派到 Trust Zone

Core Switch

• 對應 Port-Channel

• LACP Mode：Active

你會得到什麼？

• 頻寬疊加

• 任一條線斷都不會掉線

• 工程師不會因為「被踢到線」而被叫醒

七、Zone 與邏輯設計

基本但一定要清楚：

• Untrust：外網

• Trust：內部網路

• DMZ：對外服務

• VPN：給未來自己留路

一句工程師真理：

Zone 沒想清楚，Policy 一定長得像義大利麵。

八、Policy 與資安（不要 any any）

新手最愛：

Trust → Untrust → any any allow

老手會補一句：

「你確定這段要留下來？」

正確方向：

• Policy 分層

• 一定開 Log

• 一定套 Security Profile

Palo Alto 的價值不是擋，而是看得清楚。

九、HA ＋ LACP 的實際價值

狀況	結果
防火牆 Active 掛掉	Passive 秒接
一條內網線斷	LACP 撐住
升級重開	使用者幾乎無感
老闆問穩不穩	你敢點頭

十、結語：

這不是炫技，是工程師的基本修養

PA-1410 × 2
Active / Passive HA
Core Switch LACP

這套架構的目的知道只有一個：

讓網路出事時，
第一個心跳加速的不是你。