症状 在Explore app或Panorama上看不到日志（当日志只发送到Cortex Data Lake时）。 环境 Palo Alto防火墙 PAN-OS 8.0和8.1 日志转发到Cortex Data Lake (CDL) 解决办法 这个步骤对PanOS 8.0.X有效。当duplicate logging没有被启用时，它也对PanOS 8.1.X有效。 验证Cortex Data Lake的功能。   1.运行下面的命令并注意客户ID（Customer ID，后面客户ID也是指这个）（对每个客户都是唯一的）和区域信息（目前可以是欧洲或美洲，基于在Data Lake的初始设置中选择的位置）。   > request logging-service-forwarding customerinfo show 该命令的输出示例： Ingest endpoint: xxxxxxxx.in3.lcaas-beta.us.paloaltonetworks.com Query endpoint: xxxxxxxx.api3.lcaas-beta.us.paloaltonetworks.com:444 Customer ID: Customer_Tenant_Id Region : Selected Region   2.运行下面的命令并检查证书中的CN值。它应该与上一步看到的客户ID相同。序列号应与防火墙的序列号相同。 > request logging-service-forwarding certificate info 输出示例: ....Omitted output.... Validity Not Before: May 104:48:362018GMT Not After : Jul 3004:48:362018GMT Subject: C=US, L=Palo Alto Networks, OU=Cloud/serialNumber=FW_S/N, CN=Customer_Tenant_Id Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048bit) Modulus:   3.如果你没有看到正确的S/N或客户ID（证书的CN参数），你应该运行下面的命令，然后按照步骤1和2来检查序列号和CN值是否正确。 > request logging-service-forwarding certificate delete > request logging-service-forwarding certificate fetch   4.你应该检查 "show logging-status "输出，以确定日志转发是否成功。 命令 "show logging-status "的输出示例。(7k和5200系列除外) • US: 65.154.226.0/24 • EU: 154.59.126.0/24 查找'Log collection log forwarding agent'是激活的，并连接到<IP_address>line。由于选择的地区不同，IP地址会发生变化。你可以从下面的子网看到基于区域的IP地址。 如果你在这个输出中看到日志转发代理处于活动状态但没有连接，你应该重启mgmtsrvr进程以刷新与Cortex Data Lake的连接。在PanOS 8.1.8中，你将不需要重启进程。将会有一个增强功能，无需重启即可刷新连接。 运行命令，重新启动管理服务器。 > debug software restart process management-server 命令 "show logging-status "的输出示例。(7k和5200系列除外) • US: 65.154.226.0/24 • EU: 154.59.126.0/24 查找找 "PANW_LOG_RECEPTOR_SRV"，MS(mgmtserver)和LR(Log receiever)都是激活的，并且连接到<IP_address>line。由于选择的地区不同，IP地址会发生变化。你可以在下面看到基于区域的子网的IP地址。 5200和7K系列有不同的结构，因为有high log rate。日志接收程序负责转发流量、威胁等日志 Mgmtserver负责转发系统和配置日志。 如果你在这个输出中看到MS或LR的连接状态是不活动的，你应该重新启动mgmtsrvr进程和日志接收器，以刷新与Cortex Data Lake的连接。在PanOS 8.1.8中，你将不需要重启进程。将会有一个增强功能，无需重启即可刷新连接。   运行命令来重新启动管理服务器。 debug software restart process management-server 运行命令来重启日志接收器。 debug software restart process log-receiver   验证Cortex Data Lake的功能（PanOS 8.1.X当duplicate logging被启用时）。 1.运行下面的命令并注意客户ID（每个客户都是唯一的）和区域信息（目前它可以是欧洲或美洲，基于在Data Lake的初始设置中选择的位置）   > request logging-service-forwarding customerinfo show 该命令的输出示例： Ingest endpoint: xxxxxxxx.in3.lcaas-beta.us.paloaltonetworks.com Query endpoint: xxxxxxxx.api3.lcaas-beta.us.paloaltonetworks.com:444 Customer ID: Customer_Tenant_Id Region : Selected Region   2.运行下面的命令并检查证书中的CN值。它应该与上一步看到的客户ID相同。序列号应与防火墙的序列号相同。 > request logging-service-forwarding certificate info 输出示例: ....Omitted output.... Validity Not Before: May 104:48:362018GMT Not After : Jul 3004:48:362018GMT Subject: C=US, L=Palo Alto Networks, OU=Cloud/serialNumber=FW_S/N, CN=Customer_Tenant_Id Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048bit) Modulus:   3.如果你没有看到正确的S/N或客户ID（证书的CN参数），你应该运行下面的命令，然后按照步骤1和2来检查序列号和CN值是否正确。 > request logging-service-forwarding certificate delete > request logging-service-forwarding certificate fetch 然后按照步骤1和2，检查信息是否匹配。   4.启用duplicate logging后，你会看到以下命令的输出。 > request logging-service-forwarding status 结果是: LCaaS forwarding enabled: No(duplicate logging没有启用，你会看到 “Yes”) > show system state | match lcaas 结果是: cfg.lcaas-enabled: False(duplicate logging没有启用, 你会看到 “True”) > show logging-status (duplicate logging启用，你只能看到客户网络中的日志收集器的IP地址。预计不会看到与子网的任何连接 US: 65.154.226.0/24 EU: 154.59.126.0/24) 结果是:Panorama log forwarding agent is active but not connected to Logging Service   5.你可以用下面的命令验证日志是否被转发到Data Lake。   当duplicate logging被启用时，show logging-status将只显示正在被发送到Panorama的日志。 为了验证日志在当前设置中被发送，你需要运行以下命令。 > debug log-receiver rawlog_fwd_trial stats global show (将显示发送到云端的日志统计数据，关注掉线计数器（drop counters）很重要。运行该命令2-3次，检查掉线次数的增加。) > debug log-receiver rawlog_fwd_dpi stats global show (将显示发送至云端的增强型应用程序日志的统计数据，重要的是关注下降计数器 （drop counters） 。运行该命令2-3次，检查下降计数器的增加情况) > debug log-receiver rawlog_fwd_trial evtmgr (将显示与Cortex Data Lake实例的连接) servers=1 timers=1 proxies=0 msg_class=1 int_timer=13 last_id=1000001 debug counters: 56134 56134 67 0 56142 56142 0 0 0 0 56100 56100 0 0 2 1 0 0 error counters: 56098 0 0 0 0 0 currtime=337001 last_check=337000 Server port=0 fd=-100 ssl=no clients=1 max_pending_msg=250 triallr-74.217.90.122-def 1000001 26 2 0 0 msg total=0 in=0 out=0 outdated=0 leak=0 option_bytes=0 data_bytes=0   6. 如果你看到下降计数器（drop counters）的增加，请遵循以下步骤。 (如果不是7k和5200系列） 运行命令，重新启动管理服务器。 > debug software restart process management-server (7k和5200系列) 运行命令，重新启动管理服务器。 > debug software restart process management-server 运行命令重启log receiver。 > debug software restart process log-receiver

目标 如何在Prisma云计算中通过漏洞或CVEs过滤images？ 环境 Prisma云计算版 (Self-Hosted) Prisma云企业版(SaaS) 步骤 “Vulnerability Explorer”有助于调查整个环境中的漏洞，并根据特定的CVE过滤images。   Prisma云计算版（Self-Hosted）控制台。  进入 "监控">"漏洞">"漏洞浏览器">输入感兴趣的CVE（例如：CVE-2021-21687）。  Monitor > Vulnerabilities > Vulnerability Explorer > Input the CVE  过滤后的列表可以以CSV格式下载。  点击条目列表中的任何地方（在标签--风险分数、CVE风险因素、环境风险因素或受影响包下），以获得受该CVE影响的images。  如下图所示，2个images受到CVE-2021-21687的影响   Prisma云企业版（SaaS）控制台：  进入 "计算">"监控">"漏洞">"漏洞浏览器">输入感兴趣的CVE（例如：CVE-2021-41990）。  Compute > Monitor > Vulnerabilities > Vulnerability Explorer > Input the CVE  过滤后的列表可以以CSV格式下载。  点击条目列表中的任何地方（在标签--风险分数、CVE风险因素、环境风险因素或受影响包下）以获得受该CVE影响的images。  如下图所示，1个image受到CVE-2021-41990的影响。  关于漏洞浏览器的视频教程，请参考Video Tutorial: What Does Vulnerability Explorer Accomplish Within Prisma Cloud?   额外信息 注意：  目前，在Monitor > Vulnerabilities > Images下，images只能通过某些关键词和属性进行过滤，而不是通过特定的CVE进行过滤，如下图所示。    以下是为在 Monitor > Vulnerabilities > Images下添加CVE漏洞过滤器而提出的功能请求，目前没有ETA。 1、在image细节中添加额外的过滤器。PANW-I-3012 2、在控制台界面的CI image扫描报告中添加CVE过滤器。PANW-I-2959

症状 文档提供了关于设置IPSEC隧道的信息。这篇文章提供了一个带有屏幕截图和IP地址的例子。   环境 Palo Alto 防火墙 IPSEC VPN配置 支持的PAN-OS   拓扑 解决办法 注意：Palo Alto Networks只支持IPSec VPN的隧道模式。IPSec VPN不支持传输模式。  步骤1 进入 "网络">"接口">"隧道 "标签，点击 "添加 "创建一个新的隧道接口，并指定以下参数。 名称： tunnel.1 虚拟路由器：（选择你希望你的隧道接口所在的虚拟路由器） 安全区：（为隧道接口配置一个新的安全区，以便更精细地控制进出隧道的流量）。     注意：如果隧道接口所处的区域与流量起源或离开的区域不同，那么就需要一个策略来允许流量从源区域流向包含隧道接口的区域。 在隧道接口上配置ip-address是可选的。如果你打算在隧道接口上运行动态路由协议，就需要IP-address。 第2步 转到网络 > 网络配置文件 > IKE加密。 点击添加并定义IKE加密配置文件（IKEv1阶段1）参数。 名称并不重要，可以是任何你喜欢的。 这些参数应该在远程防火墙上匹配，以便IKE Phase-1协商成功。   第3步 进入网络 > 网络配置文件 > IKE网关，配置IKE阶段1的网关。 版本。版本有选项，你可以选择只有IKEv1模式、只有IKEv2模式或IKEv2首选模式。 选择网关支持的IKE版本，并且必须同意与对等网关一起使用。IKEv2首选模式使网关进行IKEv2协商，如果对等方也支持IKEv2，他们就会使用该模式。否则，网关将退回到IKEv1。 接口。连接到互联网的外部接口。 本地和对等体识别。定义本地/对等网关的格式和标识，它们与预共享密钥一起用于IKEv1第一阶段SA和IKEv2 SA的建立。 选择以下类型之一并输入数值。FQDN（主机名）、IP地址、KEYID（二进制格式的HEX ID字符串）、或用户FQDN（电子邮件地址）。如果不指定数值，网关将使用本地/对方的IP地址作为本地/对方的识别值。   点击 "高级选项 "标签   启用被动模式 - 防火墙仅处于响应者模式。防火墙将只响应IKE连接，而不会发起连接。 交换模式 - 设备可以接受主模式和攻击性模式的协商请求；但是，只要有可能，它就会发起协商并允许在主模式下进行交换 步骤 4 在 "网络">"网络配置文件">"IPSec加密 "下，单击 "添加 "创建新的配置文件，定义IPSec加密配置文件以指定协议和算法，用于基于IPSec SA协商（IKEv1阶段2）的VPN隧道的识别、验证和加密。 这些参数应在远程防火墙上匹配，以使IKE第二阶段的协商成功。   第5步 在网络 > IPSec隧道下，点击添加创建一个新的IPSec隧道。 在常规窗口中，使用上面的隧道接口、IKE网关和IPSec加密配置文件来设置参数，以便在防火墙之间建立IPSec VPN隧道。   注意：如果隧道的另一端是支持基于策略的VPN的对等体，你必须定义代理ID 当配置IPSec隧道的Proxy-ID配置来识别被NAT化的流量的本地和远程IP网络时，IPSec隧道的Proxy-ID配置必须配置Post-NAT的IP网络信息，因为Proxy-ID信息定义了IPSec配置中允许通过隧道两边的网络。   第6步 在网络 > 虚拟路由器下，点击你的虚拟路由器配置文件，然后点击静态路由。 为另一个VPN端点后面的网络添加一个新的路由。使用适当的隧道接口。 完成后点击确定。   第7步 配置所需的安全规则/政策 允许IKE协商和IPSec/ESP数据包。默认情况下，IKE协商和IPSec/ESP数据包将通过区域内的默认允许被允许。 如果你希望有更精细的控制，你可以特别允许所需的流量，而拒绝其他的流量。   允许传入和传出的流量通过隧道。如果你需要对传入和传出的流量进行细化控制，你可以为每个方向创建单独的规则。 第八步 提交配置。 注意。 只有当有有趣的流量指向该隧道时，该隧道才会出现。 要手动启动隧道，检查状态和清除隧道请参考。 如何检查状态、清除、恢复和监控IPSEC VPN隧道。  

解决办法： 为了将本地管理的防火墙添加到Panorama，首先你需要将防火墙配置导入到Panorama。当导入防火墙配置时，Panorama自动创建一个模板（template），以包含导入的网络（Network)和设备(Device)设置。为了包含导入的策略(Policies)和对象(Objects)，Panorama自动创建一个设备组(Device Group)。   你可以导入运行PAN-OS 5.0或更高版本的防火墙的配置到Panorama上。不过支持这些配置导入的Panorama的版本（Panorama 7.0或更高版本）不能将配置推送或导出到运行PAN-OS 6.0.3或更早版本的防火墙。   步骤： 1. 将防火墙添加到Panorama管理的设备列表中。登录Panorama，选择Panorama > Managed Devices，然后点击Add。输入防火墙的序列号，并点击确定。提交。对于提交类型，选择Panorama，并再次点击提交。 2. 设置从防火墙到Panorama的连接。登录到防火墙，选择 "设备">"设置"，并编辑 "Panorama设置"。在 Panorama 服务器字段中，输入 Panorama 管理服务器的 IP 地址。单击 "确定 "并提交。 3. 将防火墙配置导入Panorama。从 Panorama，选择 Panorama > 设置 > 操作，单击导入设备配置到 Panorama，并选择设备。Panorama不能从分配给现有设备组或模板的防火墙导入配置。 4. 通过Panorama > Config Audit > Go比较运行和候选配置，验证配置被正确和完整地导入。如果配置是好的，单击 "提交 "并提交到类型 Panorama。 5. 将设备配置包推送到防火墙，以便从本地配置中删除所有策略和对象。进入Panorama > Setup > Operations，点击 "Export or push device config bundle"。选择你导入配置的设备，单击 "确定"，然后单击 "推送和提交"。 6. 进行任何必要的配置修改，并将你的修改提交给设备组。点击提交，在提交类型中选择设备组。选择与设备候选配置合并（Merge with Device Candidate Config），选择 "包括设备和网络模板（Include Device and Network Templates） " 复选框，然后点击提交。  

主题 检索防火墙上的 license （ 如果 在 Customer Support Portal 上 已经 激活了订阅授权代码）   环境 物理设备和虚拟防火墙 任何 PAN-OS 步骤 用户必须是管理员才能检索license，非管理员用户不能检索或手动上传license 登录防火墙的 webGUI 点击 Device 选择L icenses （高亮部分） 选择 "Retrieve License keys from License server" license 会相应更新

症状   文档提供了关于设置IPSEC隧道的信息。这篇文章提供了一个带有截图和IP地址的例子。   环境 Palo Alto 防火墙 IPSEC VPN配置 支持的PAN-OS   拓扑      解决办法 注意：Palo Alto Networks只支持IPSec VPN的隧道模式。IPSec VPN不支持传输模式。   第1步 进入 "网络">"接口">"隧道 "标签，点击 "添加 "创建一个新的隧道接口，并指定以下参数。 名称： tunnel.1 虚拟路由器：（选择你希望的隧道接口所在的虚拟路由器） 安全区（Security Zone）：（为隧道接口配置一个新的安全区，以便更精细地控制进出隧道的流量）。 注意：如果隧道接口所处的区域与流量起源或离开的区域不同，那么就需要一个策略来允许流量从源区域流向包含隧道接口的区域。 在隧道接口上配置ip-address是可选的。如果你打算在隧道接口上运行动态路由协议，就需要IP-address。   第2步 转到网络 > 网络配置文件 > IKE加密。 点击添加并定义IKE加密配置文件（IKEv1阶段1）参数。 名称并不重要，可以是任何。 这些参数应该在远程防火墙上匹配，以便IKE Phase-1协商成功。   第3步 进入网络 > 网络配置文件 > IKE网关，配置IKE阶段1的网关。 版本：版本有选项，你可以选择只有IKEv1模式、只有IKEv2模式或IKEv2首选模式。 选择网关支持的IKE版本，并且必须同意与对等网关一起使用。IKEv2首选模式使网关进行IKEv2协商，如果对等方也支持IKEv2，他们就会使用该模式。否则，网关将退回到IKEv1。 接口：连接到互联网的外部接口。 本地和对等体识别：定义了本地/对等网关的格式和标识，与预共享密钥一起用于IKEv1第一阶段SA和IKEv2 SA的建立。  选择以下类型之一并输入数值。FQDN（主机名）、IP地址、KEYID（HEX格式的二进制ID字符串）、或用户FQDN（电子邮件地址）。如果不指定数值，网关将使用本地/对方的IP地址作为本地/对方的识别值。  点击 "高级选项 "标签。  启用被动模式 - 防火墙将处于仅响应者模式。防火墙将只响应IKE连接，而从不发起连接。  交换模式 - 设备可以接受主模式和攻击性模式的协商请求；但是，只要有可能，它就会发起协商并允许在主模式（main mode）下进行交换。   第4步 在 "网络">"网络配置文件">"IPSec加密 "下，单击 "添加 "创建新的配置文件，定义IPSec加密配置文件以指定协议和算法，用于基于IPSec SA协商（IKEv1阶段2）的VPN隧道的识别、验证和加密。 这些参数应在远程防火墙上匹配，以使IKE第二阶段的协商成功。   第5步 在网络 > IPSec隧道下，点击添加创建一个新的IPSec隧道。 在常规窗口中，使用上面的隧道接口、IKE网关和IPSec加密配置文件来设置参数，以便在防火墙之间建立IPSec VPN隧道。   注意：如果隧道的另一端是支持基于策略的VPN的对等体，你必须定义代理ID 当配置IPSec隧道的Proxy-ID配置来识别被NAT化的流量的本地和远程IP网络时，IPSec隧道的Proxy-ID配置必须配置Post-NAT的IP网络信息，因为Proxy-ID信息定义了IPSec配置中允许通过隧道两边的网络。   第6步 在网络 > 虚拟路由器下，点击你的虚拟路由器配置文件，然后点击静态路由。 为另一个VPN端点后面的网络添加一个新的路由。使用适当的隧道接口。 完成后点击确定。   第7步 配置所需的安全规则/政策 允许IKE协商和IPSec/ESP数据包。默认情况下，IKE协商和IPSec/ESP数据包将通过区域内的默认允许被允许。 如果你希望有更精细的控制，你可以特别允许所需的流量，而拒绝其他的流量。 允许传入和传出的流量通过隧道。如果你需要对传入和传出的流量进行细化控制，你可以为每个方向创建单独的规则。   第8步 提交配置   注意。 只有当有感兴趣的流量指向该隧道时，该隧道才会出现。 要手动启动隧道，检查状态和清除隧道请参考。 How to check Status, Clear, Restore, and Monitor an IPSEC VPN Tunnel

  什么是U-Turn NAT ?   U-Turn是指内部用户使用服务器的外部公网IP访问内部服务时经过的逻辑路径。   在什么场景下需要用到U-Turn NAT？   在某些环境中，内部主机可能需要连接到外部 IP 地址才能访问特定的本地服务，例如，本地托管的 Web 服务器或邮件服务器。由于没有内部 DNS 服务器或由于服务本身特定的要求，内部用户必须访问它的外部 IP 地址。   如何使用Palo Alto 下一代防火墙配置 U-Turn NAT？   配置清单： U-Turn NAT规则 安全策略 注意事项： 在设置NAT规则时，需要配置源区域和目的区域与源IP地址和目的IP地址所属的区域一致。相反，安全规则配置区域由实际的源区域和目标区域确定，但使用原始目标 IP 地址。 U-Turn NAT规则的优先级需要高于通用NAT规则。 如图所示，当内部用户需要使用公共IP地址访问本地资源。   在该示例中，使用常规目标 NAT 配置，从客户端连接到服务器的外部 IP 地址 198.51.100.22 的连接都将被转换为目标 IP 地址 192.168.1.100，但服务器会将回包直接发送到客户端，从而导致非对称路径流量。 NAT 规则配置如下： 安全策略配置如下：   如图所示，当内部用户需要使用公共IP地址访问DMZ资源。 在该示例中，不存在非对称路径数据包的问题，因此无需配置源NAT。 NAT 规则配置如下： 安全策略配置为User区域到DMZ区域：  

随着大量社交媒体、 Web 应用访问和其他高带宽的应用程序的日益增长，对办公环境的带宽需求也持续增加，很多公司通过增加 ISP 备用链路来应对当前挑战。利用增加的 ISP 备用链路去卸载SLA较低的、非关键的 Web 流量，从而保障关键应用程序的带宽需求。   为了实现上述需求，下面给大家介绍防火墙的一个非常酷的技巧：基于策略的转发(Policy Based Forwarding)。   基于策略的转发允许您绕过路由表，转而使用基于应用程序、源或目标配置的策略指定的路由选项。简而言之，这意味着您可以选择让某些应用程序使用不同的ISP链路，而无需对路由表做出调整。                               下面我们详细看一下示例防火墙是如何配置的： ISP1 是用于关键应用程序的主要链路； ISP2 是具有高带宽但没有SLA保证的备用链路；                                       虚拟路由器的默认网关配置为指向 ISP1；另外也 配置了具有更高Metric值的 ISP2 链路作为备份，预防 ISP1链路出现中断。                               首先打开策略 Policies  —> Policy Based Forwarding ，创建一个新的策略：                                               配置源区域或接口； 将目标应用程序设置为网站浏览(web-browsing); 或选择另一个您希望通过 ISP2链路重新路由的应用程序（ftp, tftp...）; 最佳实践是将服务(service)设置为应用程序默认(application-default);                                     在转发选项卡中： 将 Action 设置为转发模式； 将 Egress Interface 设置为对应 ISP2 链路的接口； 将 Next Hop 设置为 ISP2 链路的路由器 IP 地址，以便将数据包正确路由到此设备； 勾选Monitor复选框； 创建配置文件以实现Fail Over； 勾选“如果下一跳/监控IP地址不可达时禁用此规则”复选框：当 ISP2 链路中断时禁用此策略，以通过默认网关重新路由会话； 设置ISP2的路由器IP为监控目标 至此，您已成功配置基于策略的转发路由！剩下要做的就是创建安全策略，以允许会话从信任区域到 ISP2 区域建立，如果有必要，还需配置 NAT 规则：                                                     Commit提交上述配置后，您可以使用几个有用的 CLI 命令来验证 PBF 规则是否正常运行以及是否正在使用中：   > show pbf rule all Rule       ID    Rule State Action   Egress IF/VSYS  NextHop                                 NextHop Status ========== ===== ========== ======== =============== ======================================= ============== ISP2_webac 1     Active     Forward  ethernet1/2     172.16.31.1                             UP             > show running pbf-policy ISP2_webaccess {         id 1;         from trust;         source any;         destination any;         user any;         application/service [ ftp/tcp/any/21 web-browsing/tcp/any/80 ];         action Forward;         symmetric-return no;         forwarding-egress-IF/VSYS ethernet1/2;         next-hop 172.16.31.1;         terminal no; }   > test pbf-policy-match from trust application web-browsing source 192.168.0.7 destination 93.184.216.34 protocol 6 destination-port 80 ISP2_webaccess {         id 1;         from trust;         source any;         destination any;         user any;         application/service [ ftp/tcp/any/21 web-browsing/tcp/any/80 ];         action Forward;         symmetric-return no;         forwarding-egress-IF/VSYS ethernet1/2;         next-hop 172.16.31.1;         terminal no; }   > show session all filter pbf-rule ISP2_webaccess -------------------------------------------------------------------------------- ID          Application    State   Type Flag  Src[Sport]/Zone/Proto (translated IP[Port]) Vsys                                          Dst[Dport]/Zone (translated IP[Port]) -------------------------------------------------------------------------------- 9873         web-browsing   ACTIVE  FLOW  NS   192.168.0.7[4015]/trust/6  (172.16.31.2[7914]) vsys1                                          93.184.216.34[80]/ISP2  (93.184.216.34[80]) > show session id 9873 Session            9873         c2s flow:                 source:      192.168.0.7 [trust]                 dst:         93.184.216.34                 proto:       6                 sport:       4015            dport:      80                 state:       INIT            type:       FLOW                 src user:    unknown                 dst user:    unknown                 pbf rule:    ISP2_webaccess 1         s2c flow:                 source:      93.184.216.34 [ISP2]                 dst:         172.16.31.2                 proto:       6                 sport:       80              dport:      7914                 state:       INIT            type:       FLOW                 src user:    unknown                 dst user:    unknown  

首次使用时，PA系列防火墙及其他PAN-OS设备都处于出厂配置状态，设备上已配置了IP地址192.168.1.1及用户名和密码admin/admin。由于安全原因，你必须在进行其他配置操作之前更改这些配置。即使你将来不打算使用管理网口（MGT口）来管理你的设备，你也必须首先通过管理网口或者使用串口连接到控制台端口（CONSOLE口）来完成初始配置。   在《PAN-OS® Administrator’s Guide》的Perform Initial Configuration章节中已经介绍了通过https://192.168.1.1网页界面进行初始配置。但是在有些环境中，用户只能使用串口连接到设备或者通过SSH协议连接到192.168.1.1，但是无法访问位于192.168.1.1的HTTPS网页。此时，用户就只能使用命令行先配置可用的IP地址，然后才能通过新配置的IP地址访问设备的HTTPS网页界面并完成初始配置。下面就专门介绍如何用命令行设置PAN-OS设备初始配置前的IP地址。   第一步 »  使用用户名和密码admin/admin连接和登录设备的命令行。此时设备可能要求更改密码，请按照提示更改用户admin的密码。 第二步 » 使用以下命令进入配置模式 > configure # 第三步 » 在配置模式下，运行以下命令设置设备的IP地址（运行前需替换相关参数）并提交本次更改 # set deviceconfig system ip-address IP地址 netmask 子网掩码 default-gateway 缺省网关 dns-setting servers primary DNS服务器 # commit 第四步 » 提交完成后，退出配置模式，使用show system info命令确认设备的新IP地址 # exit > show system info  

在进行RMA之前 优先参考 "Hardware issue tracker"页面，了解已知问题。 如果可能的话，恢复设备（例如：重启，维护模式选项，如重新安装PAN-OS或恢复出厂重置）。 如果客户的设备在问题发生后恢复了，或者如果问题似乎与已知的JIRA/Marvin/Auto Assistant签名相匹配，可以提交一个新的JIRA问题，以获得研发团队的确认。 在进行RMA时 始终参照 “RMA instructions - Technical Failure Description”来收集信息。 这个模板也可以在SFDC评论区找到 -> 点击 "Select a Template" -> "PPAN TAC Templates" -> "Technical Failure Description Template (RMA)" 在所有情况下按照模板收集细节（即使是客户满意的RMA）。 不要复制粘贴多个日志。只粘贴相关的日志。 为PAN内部处理做正确选择。参考 “RMA instructions - PAN Internal Handling”以了解更多细节。   其他 有关其他硬件相关问题的更多信息，请参阅文件“Troubleshooting Palo Alto Networks Hardware Issues ” 。 有关RMA处理的更多信息，请参阅“RMA Loop Content page”，特别是“RMA Handbook”。