About Wei_Zhang

目标 问题 - 用户正试图通过RQL排除调查页面上的一个云账户。当他试图在查询中添加 cloud.account != "XXX "时，他无法排除来自云账户的结果。   环境 Prisma Cloud   流程 配置扫描器会忽略cloud.account, cloud.accountgroup, cloud.region以及任何其他限制账户或区域的条件。这是因为那些应该由警报规则(Alert Rule)来配置。因此，要使自定义策略不产生云帐户，必须在警报规则中排除它。   要在警报规则中排除云账户，请通过 "高级设置"。这将为该警报规则的云资源触发警报添加更多的粒度：排除云账户 - 如果在选定的账户组中有一些云账户您不想触发警报，请从列表中选择这些账户。   其他信息 为运行时检查创建一个警报规则(Create an Alert Rule for Run-Time Checks) ... View more

环境 Global Protect设置   解决办法 本文介绍了在GlobalProtect设置中配置证书的基本知识。请注意，为GlobalProtect部署证书可能有其他方法，本文没有涉及。   SSL/TLS服务配置文件 - 指定门户/网关服务器证书，每个门户/网关都需要一个。 证书配置文件（若有）- 由门户/网关用于请求客户端/机器证书。 在终端客户机上安装客户机/机器证书   A. SSL/TLS服务配置文件 在GlobalProtect中，该配置文件用于指定GlobalProtect门户/网关的 "服务器证书 "和SSL/TLS "协议版本范围"。如果同一个接口同时作为门户和网关，你可以为门户/网关使用相同的SSL/TLS配置文件。如果门户/网关通过不同的接口提供服务，只要证书中在其主题别名SAN(Subject Alternate Name)中包括门户/网关的IP/FQDN，就可以使用相同的SSL/TLS配置文件，如果没有，根据需要为门户和网关创建不同的配置文件。   创建SSL/TLS配置文件的前提是生成/导入门户/网关的 "服务器证书 "及其链(chain)。 要导入外部生成的证书，请到设备>证书管理>证书，点击底部的 "导入"。 要在防火墙上生成证书，请到设备>证书管理>证书，并点击底部的 "生成"。   如果服务器证书是由知名的第三方CA或内部PKI服务器签名的 导入Root CA(私钥是可选的) 如果有中间CA(intermediate CAs)，则导入中间CA（私钥是可选的） 导入由上述CA签名的服务器证书。（"带 "私钥）   重要! 主题别名SAN(Subject Alternate Name)应该至少存在一个条目，用于门户/网关的IP或FQDN "必须 "是该SAN列表中的一个条目。 如果SAN没有上述条目，证书验证将在网关上失败，并将导致连接失败。 不应该是CA类型的。它必须是终端实体(end-entity)的类型。 一种良好的做法，最好使用 FQDN 而不是 IP。在整个配置中保持一致，同时教育终端用户在GlobalProtect客户端的门户字段中使用这个FQDN/IP。例如，如果门户/网关可以通过fqdn 'vpn.xyz.com'或IP 1.1.1.1到达；如果证书引用了fqdn 'vpn.xyz.com'，那么用户 "必须 "使用 "vpn.xyz.com "而不是 "1.1.1.1"。   4. SSL/TLS配置文件 (位置: 设备>证书管理>SSL/TLS服务配置文件)     -名称 -为这个配置文件给出任何名称     -证书 - 参考第三步中的服务器证书     -协议设置 - 为客户端和服务器之间的ssl交易(ssl transaction)选择ssl/tls的最小和最大版本   5. 根据需要在门户/网关中参考这个SSL/TLS配置文件。   如果服务器证书需要在Palo Alto Networks防火墙上生成 1. 生成一个根证书，其常见名称(Common Name)为任何唯一值。(除门户/网关的IP或FQDN外)  (位置: 设备>证书管理>证书，点击屏幕底部的 "生成"）。   2.（可选）生成一个由上述根证书签署的中间证书。指定其常见名称(Common Name)为任何唯一值。(除门户/网关的IP或FQDN外)   3. 生成一个由上述中间证书签署的服务器证书。   a. 如果这个证书中不存在主题别名SAN(Subject Alternate Name)，该证书的常见名称(Common Name) "必须 "与门户/网关的 IP 或 FQDN 匹配。在 PAN 防火墙中，SAN 可以在 " hostname"、"IP "或 " email"类型的可选的"证书属性(certificate attributes)"下创建。 b. 如果SAN至少存在一个条目，那么用于门户/网关的IP或FQDN "必须 "存在于该SAN列表中。 c. 不应该是一个CA。 d. 一个好的做法，最好使用FQDN而不是IP。在整个配置中保持一致，并教育最终用户在GlobalProtect客户端的门户字段中使用这个FQDN/IP。例如，如果可以通过fqdn 'vpn.xyz.com'或IP 1.1.1.1到达门户/网关；证书引用了fqdn 'vpn.xyz.com'，用户 "必须 "使用 "vpn.xyz.com "而不是 "1.1.1.1"。     4. SSL/TLS配置文件 (位置: 设备>证书管理>SSL/TLS服务配置文件) 名称 - 为这个配置文件提供任何名称 证书 - 参考第三步中的服务器证书 协议设置 - 为客户和服务器之间的ssl交易(ssl transaction)选择ssl/tls的最小和最大版本 5. 根据需要在门户/网关中参考这个SSL/TLS配置文件。   B. 证书配置文件 (位置：设备>证书管理>证书配置文件) 证书配置文件指定了一个CA和中间CA的列表。当这个证书配置文件应用于配置时，门户/网关将向客户端发送一个客户端证书请求，要求获得由证书配置文件中指定的CA/中间CA签署的客户端/机器证书。建议在此配置文件中同时放置根和中间CA，而不是只放置Root CA。   重要! -客户端证书是指用户证书，它可以用于 "user-login"/"on-demand"的连接方法。用于验证用户的身份。 -机器证书指的是设备证书，它可以用于 "pre-login"的连接方法。这用于验证设备，而不是用户。   1. 在 设备>证书管理>证书中导入签署客户端/机器证书的 "Root CA"（私钥可选）。 2. 将签署了客户端/机器证书的 "中间CA"（如果有）导入到设备 > 证书管理 > 证书中（私钥可选）。 3. 到设备 > 证书管理 > 证书配置文件，点击添加。 4. 给该配置文件起个名称。 5. 添加步骤1和2中的根和中间CA。   6. 注意：用户名字段默认设置为 "None"，在一个典型的设置中，用户名是从LDAP/RADIUS认证中提取的，你可以把它设置为None。另一方面，如果证书是唯一的认证方法，也就是说，如果你没有RADIUS/LDAP作为门户/网关认证，那么你必须把用户名字段从None改为'主题'或'主题Alt'，从客户端证书的common-name或Email/ Principal name中提取用户名。如果不这样做，将导致提交失败。   7.（可选）如果门户/网关需要使用CRL或OCSP来验证客户端/机器证书的废止状态，则检查CRL或OCSP。请谨慎使用，因为如果与 "如果证书状态未知，则阻止会话"一起使用，可能会导致客户端连接失败。   8. 根据需要参考这个证书配置文件门户/网关。   C. 在终端客户机中安装客户端/机器证书   当导入客户端/机器证书时，以PKCS格式导入，该格式将包含其私钥。   Windows -  1. 单击 "开始">"运行"，输入mmc以打开Microsoft 管理控制台。   2. 到文件 > 添加/删除管理单元:     重要! 3. 点击证书>添加，选择以下一项或两项:   a. 要添加客户端（用户）证书，选择 "我的用户账户"。这用于 "user-login"和 "on-demand"，因为它可以验证用户。 b. 要添加机器（设备）证书，选择"计算机账户"。这将用于 "pre-login"，因为它可以验证机器。     4. 将客户端/机器证书导入mmc。 a. 如果你要导入客户端证书，请将其导入 "我的用户账户 "下的 "个人 "文件夹。 b. 如果你要导入机器证书，请将其导入 "计算机账户 "下的 "个人 "文件夹。     5. 同样地在 "受信任的根证书颁发机构 "中导入Root CA，在 "中间证书颁发机构 "中导入中间CA（如果有）。     重要! 6. 一旦导入，双击导入的客户机/机器证书，以确保： a. 它有私钥 b. 它的证书链是完整的，直到其Root CA。如果证书链中缺少Root CA或中间 CA，请按照步骤 5 的说明将它们导入各自的文件夹中。       7. 此时，客户机上的证书已被导入，所以你可以关闭mmc控制台而不保存它。   macOS   1. 打开 钥匙串访问，去到系统钥匙串:   2. 确保所有的应用程序能访问设备的私钥和Root CA的证书：       ... View more

解决方案 在你按照入门系列的前几篇文章设置了你的防火墙后，你可能需要开始设置服务器。除非你拥有一个足够大的公共IP子网来承载你所有的内部主机，下面的详细信息将指导你如何配置网络地址转换（NAT）或端口地址转换（PAT），使主机可以从外部到达，或使用一个特定的IP去到互联网。   在这一部分中，我将讨论，在确定如何配置NAT或PAT以最好地满足你的需要时，可能会用到的一些情况，并提出一些需要注意的事项。     多对一（Many-to-One），Hide NAT，源NAT（Source NAT）   Hide NAT是最常使用的地址转换。它将所有内部子网隐藏在一个单一的外部公共IP后面，与此类似:  这个NAT策略将转换所有来自信任区（trust zone）的会话，去到非信任区（untrust zone），并将源地址改变为分配给外部物理接口的IP。它还将随机化源端口。   返回的数据包将自动被反向转换，因为防火墙维护着一个跟踪所有活动会话及其NAT操作的状态表。   多对多NAT（Many-to-Many NAT）   简单的Hide NAT策略的变体是，如果有更多的源地址可用，就添加更多的源地址。例如，如果你的ISP提供了一个/29或更大的公共子网，你有额外的IP地址可以用于各种事情。如果你的内部网络相当大，可能需要这些额外的地址来防止NAT池的超额订阅。   对于这种配置，地址类型从 "接口 "改为 "转换地址"。然后，可用的IP地址被添加为一个IP范围，或一个IP子网：  防火墙将根据源IP地址的哈希值，从可用池中选择一个IP。对于来自该源IP的所有会话，该源地址将保持不变。源端口仍将是随机的。   如果源端口需要保持不变（一些应用程序可能需要一个特定的源端口），转换类型可以设置为动态IP，这将保留客户端的每个会话的源端口。转换的地址是通过 "下一个可用 "来分配的，意味着有一些注意事项： 支持不超过32.000个连续的IP地址 转换的地址池需要与你的内部主机数量相同或更大，因为每个内部主机都被分配自己的转换地址。   如果上述标准通常都能满足，但有时可能会被打破，可以设置一个备份，以便失败时返回到动态IP和端口。转换地址和接口地址选项都可以使用，默认是没有：   一对一NAT, 静态NAT   如果你需要从互联网上提供一个服务器，如本地SMTP或Web服务器，需要创建一个一对一的NAT策略，将传入的连接转发到一个特定的服务器。有几种不同的方法来完成这个任务：   双向策略（Bi-directional policy）：   在双向策略中，像上述NAT策略一样，创建常规的出站静态NAT策略，并设置双向标志（bi-directional flag），这允许系统创建一个（看不见的）隐含的入站策略。 该策略将来自信任区（trust），目的地为非信任区（untrust），源地址设置为服务器的内部IP，源转换为其公共NAT地址。一个隐含的策略将被创建，其源区（source zone）为不信任区（untrust），目的地为任何（Any），目的IP为公共NAT地址，目的转换为服务器的IP地址。   这是创建几个一对一转换的简单方法，如果几个服务器都有自己独特的公共IP地址，就能完美地工作，这给我们带来:   单一方向的策略（Uni-directional policy）：   单一方向的NAT允许对策略的控制比双向的多一点，它允许PAT/端口地址转换。PAT使你能够在不同的内部服务上共享一个公共IP地址。   在接下来的3条规则中，你可以看到3个不同的入站静态NAT的例子： 规则#1是一个传统的一对一规则，将所有入站端口转换到内部服务器，并保持目标端口 规则#2只将目的端口80的入站连接转换到端口8080的内部服务器上 规则#3像规则#2一样，转换同一公共IP地址的入站会话，但目的端口25到不同的内部服务器保持目的端口25 注意事项： 为什么目的区域（destination zones）被设置为不信任（untrust），什么是目的接口？ "任何 "（any）可以作为一个入站（非信任到非信任）（untrust to untrust）NAT的目的地址吗？   安全策略应该被设置为源区（source zone）是不可信任的，目的区（destination zone）（最终目的区）是信任的，目的地址是公共地址，预NAT（pre-NAT）。   源和目的NAT   在某些情况下，可能需要同时执行源和目的NAT。一个常见的例子是U-Turn情况，即内部主机需要连接到一个内部服务器，该服务器与客户端在同一网络上，使用它的公共IP地址。   已经有一篇很好的文章和一个教程视频更详细地介绍了U-Turn，但简短的描述是这样的：   为了能够在一个公共IP上到达内部资源，需要创建一个新的NAT策略，以适应信任到不信任的（trust to untrust）转换。   如果源转换（source translation）不包括在这个策略中，服务器将收到原始源地址的数据包，导致服务器直接向客户发送回复数据包。   这就形成了一个不对称的循环：客户端-防火墙-服务器-客户端，防火墙会话将被终止，因为它违反了TCP的完整性检查。   解决办法是添加源转换，例如，防火墙IP，因此服务器的回复数据包被发送到防火墙，允许 "有状态（stateful）"会话。     额外的：VWire上的NAT   如果您能够编辑路由器上的路由表，也可以在VWire上实现NAT（一个ISP路由器可能不允许这样做）。理想情况下，你在VWire的两端都有一个路由器，以保持事情的简单性，但如果你想挑战一下，你也可以只用一个上游路由器来实现:   在两个路由器之间，你应该创建一个小的点对点子网，例如，10.0.0.0/30。给每个路由器分配一个IP，并在位于转换一侧的路由器上为转换后的IP地址添加路由，例如，在不信任的路由器上为198.51.100.1添加路由，指向信任路由器的IP。防火墙会处理剩下的事情。   注意事项 区域的解决（Zone resolution）是通过路由查询实现的。当防火墙收到一个数据包时，会进行路由查询，以检查源子网和目标子网的路由位置，并将适当的区域（zone）分配给该会话。在来自互联网的入站流量的情况下，源区（source zone）将是不信任的（untrust），因为默认路由0.0.0.0/0指向不信任的接口，而目的IP地址pre-NAT，也是不信任的，因为它是连接到不信任的接口的IP（上述例子中的198.51.100.0/24）。   在NAT策略中使用目的接口（destination interfaces）可以帮助防止在使用类似的NAT策略时发生冲突。 例如，如果存在两个外部接口，到两个不同的ISP，保持不同的公共IP地址，可以配置两个相同的出站NAT规则。 假如使用的NAT IP没有在接口上进行物理配置（例如，接口198.51.100.1 ，为服务器198.51.100.5做NAT），防火墙将发送无故ARP数据包，通知邻居它承载了一个IP地址，并将回复上游设备的ARP请求。无故ARP也可以手动触发：admin@MyFW> test arp gratuitous interface ethernet1/1 ip 198.51.100.6 发送了1个ARPs 注意：如果一个NAT规则被配置为将转换应用于一个没有配置在接口上的子网，防火墙将为该子网的所有IP地址发送无故ARP。   由于防火墙为目的（入站）NAT的目的地址中列出的地址提供代理ARP解析，目的地址子网必须与目的转换子网相匹配。不允许使用 "任何（any）"作为目的地址。   当为内部客户端创建NAT策略以通过其公共IP到达dmz或受信任网络（trusted network）中的服务器时，无论如何确保将其置于Hide-NAT策略之上。   超额订阅（Oversubscription）   当防火墙有多个（两个或更多）并发会话共享同一转换的IP地址和端口对时，就会发生超额订阅，并且当公共 IP 地址对于正在创建的会话数量来说太少时会提供可扩展性。例如，通常情况下，并发会话的最大数量是64K（65.000个源端口减去1024个 "服务器 "端口）。根据平台，超额订阅允许每个IP最多有512K并发会话，超额订阅为8x。   一些相关的文章： 如何改变NAT超额订阅率（How to Change the NAT Oversubscription Rate） 如何检查NAT规则的超额订阅（How to Check the Oversubscription on a NAT Rule） ... View more

环境 PAN-OS 8.1及以上版本 Palo Alto Firewall或Panorama   解决方法 1， 管理服务器进程可以用下面的 cli 命令重新启动。 FW-> debug software restart process management-server 2， 几分钟后，请重新登录 CLI。 3， 通过运行 CLI 命令 show system resources | match mgmtsrvr ，检查管理服务器进程。 FW-> show system resources | match mgmt 2140       20   0  708m 484m 9828 S    2 12.9   8:13.06 mgmtsrvr 这个过程应该显示如上，并且CLI 和 WebUI 的功能都正常。   注意: cli命令 "debug software restart process management-server "将 重启"mgmtsrvr "进程。 如果发生这种情况时有登录的管理员，他们将从WebGUI以及CLI中被踢出。 通常情况下，重启管理服务器进程并不影响数据包的转发，只是管理员会被踢出。 我们一直鼓励在非高峰期或维护窗口期间执行任何进程重启。   其他信息 一般来说，管理重启是在以下一种或多种情况下进行的。如果遇到以下情况并且在与TAC合作之前急需解决，那么重启管理服务器 "可能 "有帮助。 WebGUI迟缓或无反应 显示陈旧的admin 会话 已输入授权码，但没有激活或更新许可证 日志没有显示在WebGUI中 CLI命令show system resources 显示mgmtsrvr进程消耗了过多的内存 ... View more