📘 Tuần 12 – Tổng kết, Go-Live Checklist và Bài Lab Cuối Kỳ

🗺️ Sơ đồ – Topo Lab Cuối Kỳ Tổng hợp

📚 Ôn tập nhanh – 12 tuần PAN-OS

✅ Go-Live Checklist – Palo Alto Production

🔐 Bảo mật cơ bản

text[ ] Đổi mật khẩu admin mặc định (admin/admin)
[ ] Tạo named admin accounts, không dùng chung
[ ] Gán Custom Role phù hợp (không cấp superuser cho vận hành)
[ ] Bật Password Complexity + Lockout policy
[ ] Giới hạn Management access (chỉ IP quản trị xác định)
[ ] Không mở Management interface ra Internet
[ ] Disable giao thức quản trị không cần thiết (HTTP, Telnet)

🌐 Cấu hình mạng

text[ ] Tạo đủ Zones (Untrust, Trust, DMZ...)
[ ] Gán đúng interface vào Zone
[ ] Cấu hình sub-interface VLAN đúng VLAN ID
[ ] Static Route / Default Route hoạt động
[ ] Test ping từ PA ra Internet
[ ] Test ping từ PA đến các subnet nội bộ

📜 Security Policy

text[ ] Áp dụng nguyên tắc Least-Privilege (chỉ allow những gì cần)
[ ] Dùng App-ID thay vì chỉ dùng port/service
[ ] Có rule Deny-All ở cuối danh sách
[ ] Bật Log (at session end hoặc all) cho rule quan trọng
[ ] Gán Security Profile Group cho rule ra Internet
[ ] Áp dụng User-ID cho rule cần kiểm soát theo người dùng

🛡️ Security Profiles

text[ ] Antivirus Profile đã tạo và gán vào policy
[ ] Anti-Spyware Profile: block critical/high severity
[ ] Vulnerability Protection: block critical CVE
[ ] URL Filtering: block malware, phishing category
[ ] WildFire: bật submit for analysis
[ ] SSL Decryption bật cho traffic ra Internet
[ ] CA cert đã push đến máy client qua GPO

📊 Logging & Monitoring

text[ ] Log Forwarding Profile tạo và gán vào policy
[ ] Syslog Server cấu hình và nhận log
[ ] SNMP cấu hình (ưu tiên SNMPv3)
[ ] Kiểm tra log có ghi đầy đủ
[ ] Panorama kết nối (nếu có)

💾 Backup & HA

text[ ] Backup running config (xuất file XML)
[ ] Test restore từ backup
[ ] Script backup tự động theo lịch
[ ] HA cấu hình đúng (nếu có 2 thiết bị)
[ ] Test failover HA
[ ] GlobalProtect VPN test kết nối

🧪 Bài lab cuối kỳ – Dựng từ đầu

Yêu cầu cấu hình hoàn chỉnh:

🔑 CLI Quick Reference – PAN-OS

text=== OPERATIONAL MODE (>) ===
show system info                     → Thông tin hệ thống
show interface all                   → Tất cả interfaces
show routing route                   → Routing table
show session all                     → Sessions đang active
show log traffic last 20             → Traffic log 20 dòng gần nhất
show log threat last 20              → Threat log
show user ip-user-mapping all        → User-ID mapping
show high-availability all           → Trạng thái HA
show global-protect-gateway current-user  → VPN users đang kết nối
test security-policy-match ...       → Test policy match
ping host 8.8.8.8                    → Ping test
traceroute host 8.8.8.8              → Traceroute

=== CONFIGURATION MODE (#) ===
configure                            → Vào config mode
show                                 → Xem candidate config
show | compare                       → Xem thay đổi chưa commit
set [path] [value]                   → Thay đổi cấu hình
delete [path]                        → Xóa cấu hình
revert                               → Hủy thay đổi (trước commit)
validate full                        → Kiểm tra cấu hình hợp lệ
commit                               → Áp dụng thay đổi ← BẮT BUỘC!
exit                                 → Thoát về operational mode

=== DEBUG ===
debug dataplane packet-diag set filter match source <IP>
debug dataplane packet-diag set log feature flow basic
debug dataplane packet-diag start
debug dataplane packet-diag stop
debug dataplane packet-diag clear

📚 Tài liệu tham khảo

• PAN-OS Administrator's Guide
• Palo Alto Networks EDU-210: Firewall Essentials
• PCNSA Study Guide – Palo Alto Networks
• CNTTShop – Hướng dẫn giả lập PA trên PnetLab
• Palo Alto Live Community

🎓 Chứng chỉ tiếp theo sau khóa học

📅 Tuần 12/12 – PAN-OS Administration Lab trên PnetLab 🎉