為什麼要用 Security Zones
- Palo Alto 以「Zone」作為安全邊界;所有實體/邏輯介面都要被指派到某個 Zone,安全性政策(Policies)才有意義。官方亦說明預設規則位於規則底部:允許同區(intrazone-default)、拒絕跨區(interzone-default),且可覆寫部分設定(動作、Log、Security Profiles)。官方建議用精細分區來降低側移風險(Users、Servers/DMZ、Internet/Untrust、Mgmt…),分別制定東西向與南北向政策。
- 建議:把「同風險/同需求」的子網劃到同一 Zone,Policies 以白名單 + App-ID管理,並在入口面(Untrust/DMZ)套用 Zone Protection 防洪與偵探防護
設定方式(GUI/CLI)
A. GUI:建立分區並指派介面
- 建立/指派 Zone
Network → Interfaces → <選介面> → Interface Type(多為 Layer3) → Config → Security Zone(New Zone:例如 Users/Servers/Internet) → OK。必要時同頁設定 Virtual Router 與 IPv4 位址。
- 基本政策思路
- Users → Internet:僅放行必要業務 App(Web、DNS、更新…)且全掛 Security Profiles;依最佳實務調整順序/記錄。
- Users ↔ Servers:依 App 精準開放(例:mssql、rdp)。
- 覆寫 intrazone/interzone 預設規則的記錄與分析設定,保留審計證據。
- Zone Protection(入口面必備)
- 在
Network → Zones → <你的 Zone>套用事先建立好的 Zone Protection Profile(Flood/Recon 門檻)。入口面(Untrust/對外 DMZ)務必啟用並依流量調整 CPS。
B. CLI:快速示例
分區設計範例
| Zone | 典型成員 | 政策重點 | 備註 |
|---|---|---|---|
| Users/Trust | 內網用戶 VLAN | 白名單放行必要 App;全掛 Security Profiles | 以 App-ID 管理而非只看埠號。 |
| Servers/DMZ | 對外或關鍵應用 | 嚴格來源/目的/App;高強度記錄/檔案分析 | 防側移與最小權限 |
| Internet/Untrust | ISP/WAN | 僅放行必要通道;必套 Zone Protection | 參考官方「Internet Gateway 最佳實務」。 |
| Mgmt | 帶外管理 | 僅允許跳板/指定段;強制 MFA/清單化 | 與資料面策略分離,利於稽核 |
最佳實務與落地重點
- App-ID 驅動政策:依應用辨識流量,不受埠/加密影響;建立「允許業務 App、阻擋非必要 App」的基線。
- 預設規則處理:覆寫 intrazone-default、interzone-default 的記錄與檔案分析,保留鑑識足跡。
- 分層防護:入口 Zone 用 Zone Protection Profile 防洪;對單一關鍵主機則用 DoS Policy/Profiles 進一步細化。
FAQ
Q1:為什麼同一 Zone 裡面彼此能通?
事實:預設有 intrazone-default 允許同區流量;你可以覆寫其 Log/Profiles 或改動作。
Q2:跨 Zone 一定被擋嗎?
事實:預設 interzone-default 會拒絕跨區流量;請新增明確的白名單規則放行需要的 App。
Q3:Zone Protection 要套哪些區?
建議:至少 Internet/Untrust 與對外 DMZ 要套 Flood/Recon 防護並持續調整門檻;內網視掃描/濫發狀況再加。
Q4:App-ID 比只看 Port 好在哪?
事實:App-ID 可在任意埠/加密下精準辨識應用,利於最小通行與風險控管;是官方長期建議的策略核心。
請先 登入 以發表留言。