📘 Tuần 1 – Tổng quan PAN-OS và Khởi động Lab Palo Alto

🗺️ Sơ đồ Topology Lab (Mermaid)

graph TD Internet(["🌐 Internet"]) Cloud0["☁️ Cloud0 - NAT (PnetLab - ra Internet)"] Cloud1["☁️ Cloud1 - Bridge/Host (Kết nối máy thật)"] subgraph PA["🔥 Palo Alto VM (PA-VM) ──────────────────────── MGMT: 192.168.1.1/24 ethernet1/1: WAN (DHCP) ethernet1/2: LAN Trunk"] MGMT["Management Interface 192.168.1.1/24 Truy cập GUI/SSH"] E1["ethernet1/1 – WAN Zone: Untrust"] E2["ethernet1/2 – LAN Zone: Trust Sub-interface VLAN"] end subgraph SW["🔀 Cisco Switch IOSv-L2"] trunk["e0/0 Trunk VLAN10+20"] acc1["e0/1 Access VLAN10"] acc2["e0/2 Access VLAN20"] end PC["💻 PC-Client VLAN10: 10.10.10.x"] SRV["🖥️ Server VLAN20: 10.10.20.x"] HOST["🖥️ Máy Host Truy cập GUI PA"] Internet --> Cloud0 --> E1 Cloud1 --> MGMT HOST --> Cloud1 E2 --> trunk --> acc1 --> PC trunk --> acc2 --> SRV

📚 Lý thuyết cơ bản (Dành cho sinh viên mới)

🔰 Palo Alto Firewall là gì?

Palo Alto Networks là hãng bảo mật hàng đầu thế giới. Sản phẩm firewall của họ chạy hệ điều hành PAN-OS.

💡 Nếu FortiGate giống "bảo vệ đa năng", thì Palo Alto giống thám tử chuyên nghiệp: - Không chỉ chặn/cho qua theo port và IP như firewall cũ. - Nhận dạng ứng dụng (App-ID): biết đây là traffic Facebook, YouTube, hay malware – dù chạy trên cùng port 443. - Nhận dạng người dùng (User-ID): biết user "Nguyễn Văn A" đang làm gì. - Ngăn chặn mối đe dọa (Content-ID): quét virus, spyware, khai thác lỗ hổng.

🔰 PAN-OS là gì?

PAN-OS = Hệ điều hành chạy trên thiết bị Palo Alto Firewall, tương tự FortiOS của Fortinet.

Phiên bản hiện tại phổ biến: PAN-OS 10.x / 11.x

🔰 So sánh Palo Alto vs FortiGate

	Palo Alto	FortiGate
Điểm mạnh	App-ID, User-ID, bảo mật nâng cao	Tích hợp đa tính năng, giá cạnh tranh
App-ID	✅ Rất mạnh	Cơ bản hơn
GUI	Web-based (port 443)	Web-based (port 443)
CLI	SSH / Console	SSH / Console
Chứng chỉ	PCNSA, PCNSE	NSE 4, 5, 6, 7
Lab ảo	PA-VM trên PnetLab/VMware	FortiGate-VM trên PnetLab

🔰 Kiến trúc đặc biệt: Management Plane vs Data Plane

Palo Alto tách bộ não (xử lý quản trị) ra khỏi động cơ (xử lý traffic):

┌─────────────────────────────────────┐
│         Palo Alto Firewall          │
│                                     │
│  [Management Plane]  [Data Plane]   │
│   - Web GUI          - App-ID       │
│   - CLI              - Content-ID   │
│   - Logging          - User-ID      │
│   - Config           - Routing      │
└─────────────────────────────────────┘

💡 Lợi ích: Dù Management Plane bị tấn công, Data Plane vẫn tiếp tục xử lý traffic → tăng tính sẵn sàng.

🔰 Các khái niệm quan trọng trong PAN-OS

Thuật ngữ	Giải thích đơn giản
Zone	Vùng mạng (Trust, Untrust, DMZ) – thay vì dùng interface trực tiếp như FortiGate
App-ID	Tính năng nhận dạng ứng dụng (Facebook, SSH, BitTorrent...)
User-ID	Tính năng nhận dạng người dùng (kết hợp Active Directory)
Content-ID	Tính năng quét nội dung (antivirus, IPS, URL filter)
Security Policy	Bộ quy tắc kiểm soát traffic (tương tự Firewall Policy của FortiGate)
NAT Policy	Quy tắc dịch địa chỉ IP
Commit	Lưu và áp dụng cấu hình (BẮT BUỘC sau mỗi thay đổi!)

🛠️ Thực hành – Cài PA-VM trên PnetLab

Bước 1: Upload image lên PnetLab

bash# SSH vào PnetLab server
ssh root@<IP_PNETLAB>

# Tạo thư mục image Palo Alto
mkdir -p /opt/unetlab/addons/qemu/paloalto-10.1.0
cd /opt/unetlab/addons/qemu/paloalto-10.1.0

# Upload file PA-VM qcow2 từ máy tính (dùng SCP)
# scp PA-VM-KVM-10.1.0.qcow2 root@<IP_PNETLAB>:/opt/unetlab/addons/qemu/paloalto-10.1.0/

# Đổi tên thành hda.qcow2 (BẮT BUỘC)
mv PA-VM-KVM-10.1.0.qcow2 hda.qcow2

# Fix permission
/opt/unetlab/wrappers/unl_wrapper -a fixpermission

Bước 2: Tạo topology trên PnetLab

Mở PnetLab Web UI → New Lab → đặt tên PaloAlto-Lab
Thêm node Palo Alto → RAM: 4096 MB, CPU: 2
Thêm node Cisco IOSv-L2 Switch
Thêm Cloud0 (NAT) và Cloud1 (Bridge)
Kết nối dây:

- PA mgmt → Cloud1 (để truy cập GUI từ máy host)

- PA ethernet1/1 → Cloud0 (WAN/Internet)

- PA ethernet1/2 → Switch e0/0 (Trunk LAN)

- Switch e0/1 → PC-Client (VLAN10)

- Switch e0/2 → Server (VLAN20)

Start All Nodes

Bước 3: Đăng nhập và cấu hình ban đầu

text# Mặc định: username admin / password admin
login: admin
Password: admin

# ĐỔI MẬT KHẨU NGAY (BẮT BUỘC)
admin@PA-VM> configure
admin@PA-VM# set mgt-config users admin password
(nhập mật khẩu mới)

# Đặt hostname
admin@PA-VM# set deviceconfig system hostname PA-LAB-01

# Cấu hình IP Management (nếu chưa có DHCP)
admin@PA-VM# set deviceconfig system ip-address 192.168.1.1
admin@PA-VM# set deviceconfig system netmask 255.255.255.0
admin@PA-VM# set deviceconfig system default-gateway 192.168.1.254
admin@PA-VM# set deviceconfig system dns-setting servers primary 8.8.8.8

# Cấu hình NTP
admin@PA-VM# set deviceconfig system ntp-servers primary-ntp-server ntp-server-address time.google.com

# Lưu cấu hình (QUAN TRỌNG - Palo Alto cần COMMIT sau mỗi thay đổi)
admin@PA-VM# commit

Bước 4: Truy cập GUI

Mở trình duyệt → nhập https://192.168.1.1 → đăng nhập admin / mật khẩu vừa đặt.

⚠️ Lưu ý quan trọng với Palo Alto: Mọi thay đổi cấu hình PHẢI nhấn Commit để có hiệu lực. Khác với FortiGate (lưu ngay khi gõ lệnh), Palo Alto giữ thay đổi trong "vùng chờ" cho đến khi bạn Commit.

🔒 Bảo mật cần nhớ

✅ Đổi mật khẩu admin ngay – mặc định là admin/admin, rất nguy hiểm!
✅ Giới hạn Management interface chỉ cho phép IP quản trị xác định.
✅ Không bao giờ mở Management interface ra Internet.
✅ Luôn Commit sau khi cấu hình – nếu không, thay đổi sẽ mất khi reboot.

📖 Case thực tế

Một kỹ thuật viên cấu hình xong Palo Alto nhưng quên Commit. Thiết bị reboot do mất điện → toàn bộ cấu hình vừa làm biến mất. 👉 Bài học: Commit là thao tác BẮT BUỘC sau mỗi lần thay đổi cấu hình Palo Alto!

📅 Tuần 1/12 – PAN-OS Administration Lab trên PnetLab