--- PALO ALTO ---

1 Initial Packet Processing

PLATAFORMA DE HADWARE

2 Securidad Pre-Politica

Tenemos varios modelos tales

como PA-200,PA-500,PA-2000
Series,PA-3000 Series

3 Application

Asimimo tenemos un PA4500(aeropuerto),PA-3650

(Securesoft)
PLATAFORMA VIRTUALES
Tenemos equipos tales como VM1000HV,VM-300 & VM-200 (1Gbps
de
APPID,600Mbps,8000(connections
x second),250.000 and
100.00(max seccions)
Ideal para proteger la
virtualizacion en los datacenter del
trafico este a oeste
Se usa VM-WARE , Amazon and
AWS
ARQUITECTURE
*SINGLES PLASS
CONTROL PLANE : Sirve para el
Managment,CPU,RAMdedicado.
DATA PLANE:
1.SIGNATURE MATCH >
IPS,PROXY,spyware,virus maneja
su propia memoria
2.SECURIRTY PROCCESING >
SSL,IPSEC,Session setup
3.NETWORK PROCESSING > flujo
control , route, ARP,MAC
lookup,QoS,NAT

4 Securidad de Politicas
5 Post Policy Proccesing

CONFIGURACION INICIAL
Inicialmente las credenciales son
admin para el usuario
Presenta un puerto de MGT y un
puerto CONSOLE
CONFIGURATION de mgmt Int-CLI
>configure
#set de device config system ipaddres 10.30.11.1 netmask
255.25.55.0
default gateway 54.43.5.3 dnssetting servers primary
163.75.103.5
#commit
CONFIGURATION de mgmnt GUI
device>setup>managmente>man
agment interface settings
CONFIGURACION DE DNS Y NTP
device>setup>services

CONFIGURACION DE HOSTNMAE
device>setup>managmente>gen
eral setting

*PARALLEL PROCESSING
SERVICE ROUTE CONFIGURATION
FLUJO LOGICO
PBF= para hacer enrutamiento de
origen

device>setup>services
(especigicamos por que intergace
queremos tener cada

actualizacion ,configuracion)

TIPOS DE CONFIGURACION
CANDIDATE CONFIG>Es cuando
realizacon una conf y no haces el
guardado correcto (commit)
RUNNIG CONFIG> Es cuando si se
aplica el comit

Instalacion de software actualizado

Las licencias puedo ver en
device>licencs o device>support
DYNAMIC UPDATES
device>dynamic updates
(descarga de aplicaciones y
actualizaciones)
.global protect(para conectarse a
la vpn)

CONFIGURATION MANAGMENT
PAN-OS SOFTWARE UPDATES
VALIDATE>validate candidate
configuration
REVERT>reverte conf
(borrar),revert running conf
( borrar)
SAVE> savenamed conf snapshsot
, save candidate conft
LOAD>load named configuration
snapshot,load configuration

check fow new software , load

software from desktop , install
software previosuly stored on
desktop

POWER OPERATION
device>setup>operations
(reboot,shutdown device & restart
dataplane)

EXPERT>export maed conf

snapshot, expor conf
version,export dynamicconf

Por comando seria

IMPORT>import named conf

snapshoy , import dynamic conf

> request shutdown system

> request restart system

> request restart dataplane

CONFIG MANAGMENTE | AUDITION
Aqui con ello podemos ver todods
los cambios, y hacer
comparaciones desde la ultima
actalizacion que se dio

ACTIVATING PAN FW SERVICES

ACCOUNT ADMINISTRATION
Los administradores pueden
autenticarse mediante
,RADIUS,ADSLDAP,Kerberos o
usando certificaciones
Toda accion del adminsitadores
esta reigistrado en los logs

Registras y pides el codigo en su

url
Activas licencias
Contenido de administracion
actualizado

ADMINISTRATOR ROLES
device>admin roles

Aqui creamos perfiles para permitir

o bloquear una accion.
dynamic roles and aadmin role
profiles

AUTHENTICATION PROFILES

con el usuario y contrasea me

voy a la linea de comandos y
escribo
> request system private-data-rest
o tambine puedes entras con el
usuario factory-rest y logearte y
hacer el cmabio

>device>authentication profile
>device>aunthentication
sequence
como se va autenticar RSA,RADIUS

APPLICATION COMMAND CENTER

Nos muestra las ips,las
aplicaciones, reportes
,informacion,zonas roles

CREATION ADMINISTRATOR
>device>admistrators

MONITOR TAB -LOGS

>device>log>traffic

TRANSACTION LOOKS
config lock> bloquea a los
administradores que hacen
cambios a las configuracociones
commit lock> bloquea a todo
adminsitradore que ha hecho un
commit

SET ADMIN PASSWORDS

device>administrators
MINIMUM PASSWORD COMPLEXITY

CLI MODES
*OPERATION MODE
Aqui vemos las vpns objetos
Acciones que se ven en el
momento

Aqui podemos ejecutar el

comando > find command
keyword fgpa
*CONFIGURATION MODE

device>setup>managment>miniu
m password complexity
aqui medimos las politicas para
tener una contrasea mucho mas
compleja

PASSWORD PROFILES
device>administrators

POdemos hacer ping con este

comando : ping source 15.3.3.6
admin

CONFIGURACION DE INTERFACES
ZONES DE SECURITY
network>zones>add

RESET TO FACTORY CONFIG

intra-zone : el trafico esta

permitido por defecto

inter-zone : el trafico esta

denegado por defecto
Una zona de seguridad puede
tener multiples interfaces
INTERFACE TYPES
ethernet,vlan,loopback,tunnel,decr
ypt mirror
INTERFACE CONFGURATION

INTERFACE MANAGEMENT PROFILE

network>network profiles
>interface mgment > add

SECURITY AND NAT POLICIES

La lista de politicas son
evaluaadas de arriba hacia abajo
Intrazone, interzone,univeresal

network> interfaces > ethernetg

ADDRES OBJECTS
INTERFACES CONFIGURATION DEPLOYMENT OPTIONS
tap mode ,virtual wire mode ,layer
3 mode

CONFIGURING A LAYER 3
INTERFACE
network>interface>ethernet
interface type: layer3
virtual router , security zone , ip
addres, interface management
profile

VIRTUAL ROUTERS (static o

dynamic)
La tabla de rutas son definidas de
manera estatica o dynamicament.
netwok>virtual routers

DHCP SERVER
network>dhcp>dhcp server

DHCP RELAY
Es una peticin de retransmisin
DHCP para hasta cuatro servidores
DHCP externos

Se crea una referencia usando una

ip o rangos
SECURITY PROFILES and SECURITY
PROFILE(antivirus,vulnerability,anti
-spysware,url filtering)

MANAGING POLICY ROWS

las politicas pueden ser
removidas , cambiadas de acuerdo
al requerimiento

TRAFFIC LOGS
Se muestra los logs es como
tracket en checkpoint

NETWORK ADDRESS TRANLATION

(NAT)
Source nat > es comument usado
para usuarios internos para tener
accesos ainternet
Destination nat > se utiliza para
proporcionar acceso externo a los
servidores publicaos en la rred
privado
Hay 3 tipos de translacion dynamic
ip and port,dynamic , static ip
Tipo de direccion , direccion
translated, interface

DESTINATION NAT PORT MAPPING

CONFIGURATION

ZS:PRE-NAT;ZD:POST-NAT;DA:PRENAT

policies>nat
APP-ID
DESTINATION NAT EXAMPLE
POLICIES
policies>nat
S:PRE-NAT;DA:PRE-NAT;DT:POSTNAT

policies>security

SITE TO SITE OVERVIEW

El trfico se basa en un tnel el
destino del trfico
La tabla de enrutamiento escoge
la configuracin del tnel