Redes · Firewall · Palo Alto Networks · PAN-OS · Security Policy · NAT · GlobalProtect · HA

Duarte Spínola · 25 de Junho de 2026

Palo Alto Networks 2026: Security Zones, Policies, NAT e GlobalProtect — Guia Prático para PME

O Palo Alto Networks (PAN-OS) é uma das firewalls de próxima geração mais usadas em ambientes empresariais, com funcionalidades como App-ID (identificação de aplicações independentemente da porta), User-ID (mapeamento de utilizadores para IPs via Active Directory) e Content-ID (prevenção de ameaças). Este guia cobre a configuração base que um sysadmin de PME precisa de dominar: security zones, security policies, NAT, App-ID/User-ID, GlobalProtect (VPN SSL) e High Availability. Para configuração de VPN IPsec site-to-site com failover, ver o artigo já publicado no kbase.pt (Palo Alto IPsec: 2 Túneis com Failover Automático). Todas as fontes oficiais estão referenciadas inline, baseadas na documentação do PAN-OS 11.1 (docs.paloaltonetworks.com).

Neste artigo

  1. Entender o Modelo de Segurança do PAN-OS
  2. Pré-requisitos e Conceitos Essenciais
  3. Passo 1 — Configurar Security Zones
  4. Passo 2 — Criar Security Policies com Security Profiles
  5. Passo 3 — Configurar NAT (Source, Destination e Bidirectional)
  6. Passo 4 — Activar App-ID e Migrar Regras com Policy Optimizer
  7. Passo 5 — Configurar User-ID com Active Directory
  8. Passo 6 — Configurar GlobalProtect (VPN SSL)
  9. Passo 7 — Configurar High Availability (Active/Passive)
  10. Passo 8 — Verificar e Diagnosticar com CLI
  11. Erros Comuns de Configuração
  12. Checklist Rápido de Verificação

1. Entender o Modelo de Segurança do PAN-OS

O PAN-OS difere de firewalls tradicionais porque avalia tráfego com base na aplicação real (App-ID) e não apenas em portas/protocolos. Isto significa que uma regra pode permitir “Facebook” mas bloquear “Facebook Chat”, ou permitir “web-browsing” mas bloquear “file-transfer” sobre o mesmo protocolo HTTP (Palo Alto — App-ID Overview).

A arquitectura do PAN-OS assenta em três pilares:

Pilar Função Exemplo prático
App-ID Identifica a aplicação real, independentemente da porta Detectar BitTorrent na porta 443
Content-ID Prevenção de ameaças (AV, anti-spyware, URL filter, WildFire) Bloquear malware em anexo de email
User-ID Mapeia IPs a utilizadores/grupos do Active Directory “Permitir DOMAIN\Finance aceder ao ERP”

O fluxo de configuração segue uma ordem lógica: Zones (segmentar a rede) → Interfaces (atribuir IPs às zones) → Security Policies (permitir/negar tráfego entre zones) → NAT Policies (traduzir endereços) → Security Profiles (anexar prevenção de ameaças às regras allow).

Atenção

No PAN-OS, as NAT policies e as security policies são avaliadas de forma independente. Uma regra NAT traduz o endereço, mas o tráfego também precisa de uma security policy que o permita. Não assumir que criar uma regra NAT permite automaticamente o tráfego.

2. Pré-requisitos e Conceitos Essenciais

Antes de configurar policies e NAT, é necessário entender os conceitos base do PAN-OS:

Zones — Cada interface física ou lógica pertence a uma zone. As security policies são escritas entre zones (ex.: trust → untrust). As zones mínimas para uma PME são: trust (LAN interna), untrust (Internet/WAN) e DMZ (servidores públicos). Ao configurar VPN (IPsec ou GlobalProtect), adiciona-se uma zone tunnel (Palo Alto — Network Segmentation).

Zone Protection Profiles — Perfis de protecção anexados a zones que adicionam defesas contra DoS, flood, reconhecimento (port scan) e ataques de protocolo. Essencial para a zone untrust (voltada para a internet) (Palo Alto — Zone Protection Profiles).

Security Profiles — Grupos de perfis de prevenção de ameaças (Antivirus, Anti-Spyware, Vulnerability Protection, URL Filtering, WildFire, File Blocking) que são anexados a regras allow. Uma regra sem security profiles permite o tráfego mas não o inspeciona (Palo Alto — Security Profiles).

Commit — Todas as alterações no PAN-OS ficam pendentes até executar commit. Isto permite preparar múltiplas alterações e aplicá-las atomicamente. Sem commit, as alterações não estão activas.

Virtual Routers — O PAN-OS usa virtual routers para gerir tabelas de routing. Por defeito, existe um virtual router default. Em ambientes complexos, pode-se criar virtual routers separados para segmentar domínios de routing.

3. Passo 1 — Configurar Security Zones

As zones são a base de toda a configuração. Sem zones, não há policies. O processo é:

  1. Navegar para Network > Network Profiles > Zone Protection (opcional mas recomendado)
  2. Criar um Zone Protection Profile para a zone untrust:
  • Name: Untrust-Protection
  • Flood Protection: SYN flood → SYN cookies
  • Reconnaissance Protection: IP sweep → drop, port scan → drop
  1. Navegar para Network > Zones
  2. Criar as zones:

Zone trust (LAN interna):

  • Name: trust
  • Type: Layer3
  • Interface: ethernet1/2 (interface LAN)
  • User-ID: Enabled (para mapear utilizadores)
  • Zone Protection: nenhum (interno)

Zone untrust (Internet/WAN):

  • Name: untrust
  • Type: Layer3
  • Interface: ethernet1/1 (interface WAN)
  • User-ID: Disabled (nunca mapear utilizadores da internet)
  • Zone Protection: Untrust-Protection

Zone DMZ (servidores públicos):

  • Name: DMZ
  • Type: Layer3
  • Interface: ethernet1/3
  • User-ID: Disabled
  • Zone Protection: opcional

Zone tunnel (para GlobalProtect e IPsec):

  • Name: tunnel
  • Type: Tunnel
  • Interface: tunnel.1 (interface virtual de túnel)

💡 Nota

A zone tunnel é do tipo Tunnel, não Layer3. É usada para tráfego que termina num túnel VPN (GlobalProtect ou IPsec). Não confundir com a interface física — a interface tunnel.1 é virtual e só existe para dar um ponto de entrada/saída ao tráfego VPN.

4. Passo 2 — Criar Security Policies com Security Profiles

As security policies controlam que tráfego pode passar entre zones. São avaliadas de cima para baixo — a primeira regra que corresponde determina a acção. A regra default (no fim da lista) é tipicamente deny (negar tudo o que não foi explicitamente permitido) (Palo Alto — Security Policy).

Ordem recomendada de regras para PME:

  1. Regra de gestão — permitir tráfego da sub-rede de administração para a firewall
  2. Outbound — trust → untrust para aplicações permitidas + security profiles
  3. DMZ inbound — untrust → DMZ para serviços publicados (restrito)
  4. VPN/GlobalProtect — tunnel → trust (com restrições por User-ID)
  5. Default deny — any → any → deny (no fim da lista)

Criar regra outbound (trust → untrust):

  1. Navegar para Policies > Security
  2. Adicionar nova regra:
  • Name: Outbound-Web
  • Source Zone: trust
  • Destination Zone: untrust
  • Source Address: 192.168.1.0/24 (ou qualquer subnet interna)
  • Destination Address: any
  • Application: web-browsing, ssl, dns (App-ID)
  • Service: application-default (usa as portas padrão de cada aplicação)
  • Action: allow
  • Security Profiles: anexar grupo com Antivirus + Anti-Spyware + URL Filtering
  1. Clicar OK e fazer Commit

Criar regra para publicar servidor web (untrust → DMZ):

  1. Adicionar nova regra:
  • Name: Inbound-Web-Server
  • Source Zone: untrust
  • Destination Zone: DMZ
  • Source Address: any
  • Destination Address: Web_Server_IP (address object do servidor)
  • Application: web-browsing, ssl
  • Service: application-default
  • Action: allow
  • Security Profiles: Antivirus + Vulnerability Protection + URL Filtering

Atenção

Usar application-default no campo Service em vez de any garante que cada aplicação só é permitida na sua porta standard (ex.: web-browsing na 80/443, DNS na 53). Isto reduz a superfície de ataque — se uma aplicação tentar usar uma porta não standard, não vai corresponder à regra.

Security Profile Groups:

Para não anexar cada perfil individualmente, cria-se um Security Profile Group (Palo Alto — Create Security Profile Group):

  1. Navegar para Objects > Security Profile Groups
  2. Criar grupo SMB-Baseline:
  • Antivirus: default
  • Anti-Spyware: default
  • Vulnerability Protection: default
  • URL Filtering: SMB-URL-Filter (perfil customizado que bloqueia malware, phishing, adult content)
  • WildFire: default
  1. Anexar este grupo a todas as regras allow

5. Passo 3 — Configurar NAT (Source, Destination e Bidirectional)

O NAT no PAN-OS é uma policy separada das security policies. Existem três tipos principais (Palo Alto — NAT):

Tipo Quando usar Exemplo
Source NAT (DIPP) Traduzir IPs internos para o IP público da interface WAN Clientes LAN a aceder à internet
Destination NAT Redireccionar tráfego externo para um servidor interno Aceder servidor web interno via IP público
Bidirectional (Static) NAT Mapear 1:1 um IP público para um IP interno Servidor DMZ com IP público dedicado

Source NAT (Dynamic IP and Port):

  1. Navegar para Policies > NAT
  2. Adicionar nova regra:
  • Name: SNAT-Outbound
  • Original Packet: Source Zone = trust, Destination Zone = untrust, Source Address = 192.168.1.0/24
  • Translated Packet: Source Translation = Dynamic IP and Port, Interface Address = ethernet1/1 (WAN)
  1. Clicar OK

Isto traduz todos os IPs internos para o IP público da interface WAN1. Para PME com um único IP público, é a configuração mais comum (Palo Alto — Source DIPP NAT).

Destination NAT (para servidor web interno):

  1. Adicionar nova regra NAT:
  • Name: DNAT-Web-Server
  • Original Packet: Source Zone = untrust, Destination Address = 203.0.113.10 (IP público)
  • Translated Packet: Destination Translation = 192.168.10.100 (IP interno do servidor), Port Translation = 80
  1. Criar a security policy correspondente:
  • Source Zone: untrust
  • Destination Zone: DMZ
  • Destination Address: 203.0.113.10 (IP público original, pré-NAT)

Atenção

A security policy deve usar o IP público original (pré-NAT) no Destination Address, mas a Destination Zone deve ser a zona pós-NAT (DMZ). O PAN-OS avalia a NAT primeiro para determinar a zona de saída, mas a security policy é aplicada com os endereços originais (pré-NAT) e a zona pós-NAT. Isto é uma das confusões mais comuns em PAN-OS: NAT rules usam pré-NAT para tudo (zonas e endereços), mas security policies usam endereços pré-NAT com zonas pós-NAT (Palo Alto — Destination NAT).

Bidirectional NAT (para servidor DMZ com IP público dedicado):

  1. Adicionar regra NAT:
  • Name: Static-NAT-DMZ-Server
  • Original Packet: Source Zone = untrust, Destination Address = 203.0.113.20
  • Translated Packet: Static Translation, Bi-directional = Yes, IP = 192.168.10.20
  1. Isto cria automaticamente a tradução inversa: o servidor 192.168.10.20 aparece na internet com o IP 203.0.113.20

U-turn NAT (hairpin):

Se clientes internos precisam de aceder a um servidor interno usando o IP público (ex.: servidor.empresa.pt resolve para 203.0.113.10), é necessário U-turn NAT para que o tráfego não saia para a internet e volte (Palo Alto — U-turn DNAT):

  1. Adicionar regra NAT:
  • Original Packet: Source Zone = trust, Destination Zone = untrust, Destination Address = 203.0.113.10
  • Translated Packet: Destination Translation = 192.168.10.100, Source Translation = Dynamic IP and Port (interface WAN)

6. Passo 4 — Activar App-ID e Migrar Regras com Policy Optimizer

O App-ID identifica aplicações independentemente da porta. Em vez de permitir “TCP 443” (que pode ser HTTPS, mas também pode ser uma aplicação P2P disfarçada), o App-ID identifica a aplicação real e permite criar policies baseadas nessa identificação (Palo Alto — App-ID).

Para PME que estão a migrar de uma firewall tradicional (baseada em portas) para o PAN-OS, o Policy Optimizer é a ferramenta ideal. Ele analisa o tráfego real que passa pela firewall e sugere aplicações App-ID para substituir regras baseadas em portas (Palo Alto — Policy Optimizer):

  1. Navegar para Policies > Security
  2. Clicar em Policy Optimizer (botão no topo da lista de regras)
  3. Seleccionar uma regra baseada em portas (ex.: Service = tcp-443)
  4. O Optimizer mostra as aplicações reais detectadas nessa regra (ex.: ssl, web-browsing, bing, facebook-base)
  5. Substituir o Service tcp-443 pelas aplicações identificadas
  6. Usar application-default para garantir que cada aplicação só usa a sua porta standard

Nota: A migração de regras baseadas em portas para App-ID deve ser faseada. Começar pelas regras outbound (trust → untrust) que são menos arriscadas. Deixar as regras inbound (untrust → DMZ) para o fim, onde o erro pode expor serviços. O Policy Optimizer mostra o tráfego dos últimos 30 dias — quanto mais tempo a firewall estiver em produção, mais dados há para optimizar.

7. Passo 5 — Configurar User-ID com Active Directory

O User-ID mapeia endereços IP a utilizadores e grupos do Active Directory, permitindo criar regras de security policy baseadas em identidade (ex.: “permitir DOMAIN\Finance aceder ao ERP; negar a todos os outros”) (Palo Alto — User-ID).

Para PME com um único domínio Active Directory, a configuração mais simples usa o User-ID agent embutido na firewall (não precisa de um agente separado em Windows):

  1. Navegar para Device > User Identification > User-ID Agents
  2. Criar um User-ID agent embutido:
  • Server Monitor: adicionar o Domain Controller
  • Connection Type: Read AD security logs
  • LDAP Server Profile: criar perfil LDAP para o DC (IP, porta 389, bind DN, password)
  1. Navegar para Device > User Identification > Group Mapping:
  • Name: AD-Group-Mapping
  • LDAP Server Profile: o perfil criado acima
  • Group Include List: seleccionar os grupos do AD a mapear (ex.: Finance, IT-Admins, HR)
  1. Activar User-ID na zone trust (Network > Zones > trust > User-ID: Enabled)
  2. Criar security policy baseada em utilizador:
  • Source User: DOMAIN\Finance
  • Application: erp-app (ou a aplicação do ERP)
  • Action: allow

Para verificar o mapeamento de um IP específico:

# CLI: Verificar qual utilizador está mapeado a um IP
show user ip-user-mapping ip 192.168.1.50

# Verificar grupos mapeados
show user group list

(Palo Alto — User-ID CLI Cheat Sheet)

💡 Nota

O User-ID só deve estar activo em zones internas (trust). Nunca activar User-ID na zone untrust — não faz sentido mapear IPs da internet a utilizadores internos. Para ambientes com múltiplos domínios ou florestas AD, usar o User-ID agent dedicado (software instalado num Windows Server) que pode ler logs de múltiplos DCs (Palo Alto — Deploy User-ID in Large-Scale Network).

8. Passo 6 — Configurar GlobalProtect (VPN SSL)

O GlobalProtect é a solução de VPN SSL / acesso remoto da Palo Alto. A arquitectura tem três componentes: Portal (autentica utilizadores e distribui configuração), Gateway (termina o túnel e atribui IPs aos clientes) e Agent (a aplicação GlobalProtect no endpoint) (Palo Alto — GlobalProtect Overview).

Configuração passo a passo:

1. Criar interface e zone de túnel:

  1. Navegar para Network > Network Profiles > Interfaces > Tunnel
  2. Criar interface tunnel.1:
  • IP: 10.10.50.1/24 (subnet para clientes VPN)
  • Zone: tunnel
  1. Navegar para Network > Zones e criar zone tunnel (tipo Tunnel, interface tunnel.1)

2. Obter e importar certificado SSL:

  1. Navegar para Device > Certificate Management > Certificates
  2. Importar certificado (Let’s Encrypt ou CA comercial) para o portal/gateway
  3. O certificado deve cobrir o FQDN público da firewall (ex.: vpn.empresa.pt)

3. Configurar o Portal:

  1. Navegar para Network > GlobalProtect > Portals
  2. Adicionar novo portal:
  • Name: GP-Portal
  • Interface: ethernet1/1 (WAN)
  • Certificate: o certificado importado
  • Authentication Profile: criar perfil LDAP/AD para autenticar utilizadores
  • Client Config: definir o gateway que os clientes vão usar

4. Configurar o Gateway:

  1. Navegar para Network > GlobalProtect > Gateways
  2. Adicionar novo gateway:
  • Name: GP-Gateway
  • Interface: ethernet1/1 (WAN)
  • Tunnel Interface: tunnel.1
  • IP Pool: 10.10.50.10-10.10.50.200 (IPs para clientes VPN)
  • Split Tunnel: activar e definir as rotas internas (ex.: 192.168.1.0/24)
  • Authentication: LDAP/AD + opcionalmente 2FA (FortiToken, Google Authenticator, SAML)

5. Criar security policies para tráfego VPN:

  1. Navegar para Policies > Security
  2. Criar regra GP-Access:
  • Source Zone: tunnel
  • Destination Zone: trust
  • Source Address: 10.10.50.0/24 (IPs de clientes VPN)
  • Destination Address: 192.168.1.0/24 (rede interna)
  • Application: any (ou restringir por App-ID)
  • Action: allow
  • Security Profiles: anexar SMB-Baseline

6. Instalar o GlobalProtect app nos endpoints:

Os utilizadores descarregam o agent a partir do portal (navegam para https://vpn.empresa.pt e instalam). Para MDM (Intune, Jamf), o agent pode ser deployado silenciosamente (Palo Alto — GlobalProtect Apps).

Atenção

O GlobalProtect requer licença GlobalProtect Gateway (incluída em algumas bundles). Verificar o licenciamento antes de configurar. Para PME que só precisam de acesso browser (sem tunnel mode), o GlobalProtect Portal pode ser configurado em modo web (sem agent) — útil para acesso ocasional a bookmarks internos.

9. Passo 7 — Configurar High Availability (Active/Passive)

Para PME que não podem tolerar downtime da firewall, o HA (High Availability) sincroniza dois appliances idênticos. O modo recomendado para PME é Active/Passive: um firewall activo processa todo o tráfego, e um standby assume automaticamente se o activo falhar (Palo Alto — HA Overview).

Requisitos para HA:

  • Dois appliances idênticos (mesmo modelo, mesmo PAN-OS)
  • Ligações HA1 (controle) e HA2 (dados) — usar cabos directos ou VLANs dedicadas
  • /30 subnets dedicadas para HA1 e HA2

Configuração Active/Passive:

  1. Navegar para Device > High Availability > General
  2. Activar Enable HA
  3. Configurar no firewall primário (Active):
  • Group ID: 1
  • Peer HA1 IP: 10.10.255.2 (IP do HA1 do peer)
  • Local HA1 IP: 10.10.255.1
  • Device Priority: 100 (prioridade alta = primário)
  • Preemption: Enabled (o primário reassume quando recupera)
  1. Configurar no firewall secundário (Passive):
  • Group ID: 1
  • Peer HA1 IP: 10.10.255.1
  • Local HA1 IP: 10.10.255.2
  • Device Priority: 50 (prioridade baixa = standby)
  1. Configurar HA2 (data link):
  • Local HA2 IP: 10.10.254.1 (primário), 10.10.254.2 (secundário)
  1. Activar Session Synchronization (para failover sem perda de ligações)
  2. Fazer Commit em ambos os firewalls

Verificar estado do HA:

# CLI: Verificar estado do cluster HA
show high-availability cluster state

# Verificar sincronizacao de sessoes
show high-availability cluster session-synchronization

# Verificar estatisticas de HA
show high-availability cluster statistics

# Forcar sincronizacao de config do peer
request high-availability cluster sync-from

(Palo Alto — HA CLI Cheat Sheet)

Nota: Após configurar HA, todas as alterações de configuração devem ser feitas no firewall activo e depois sincronizadas para o standby via commit. O PAN-OS sincroniza automaticamente após cada commit, mas é possível forçar sincronização manual com request high-availability cluster sync-from (Palo Alto — HA Synchronization).

10. Passo 8 — Verificar e Diagnosticar com CLI

O PAN-OS CLI tem três modos: Operational (>, o default), Configuration (#, via configure) e comandos debug. Os comandos mais úteis para troubleshooting de PME são (Palo Alto — CLI Quick Start):

Sistema e sessões:

# Informacao do sistema (modelo, versao PAN-OS, licencas)
show system info

# Estado das licencas
request license info

# Sessoes activas (resumo)
show session info

# Detalhe de uma sessao especifica
show session id 12345

# Politicas de seguranca activas (effective rulebase)
show running security-policy

NAT e routing:

# Regras NAT activas
show running nat-policy

# Testar qual regra NAT corresponde a um fluxo
test nat-policy-match source 192.168.1.50 destination 203.0.113.10 destination-port 80 protocol 6

# Tabela de routing
show routing route

# VPN tunnels
show vpn ike-sa
show vpn ipsec-sa
show vpn tunnel

User-ID:

# Qual utilizador esta mapeado a um IP
show user ip-user-mapping ip 192.168.1.50

# Listar grupos mapeados do AD
show user group list

# Limpar cache de User-ID para um IP (forcar re-mapeamento)
clear user-cache ip 192.168.1.50

Security policy match (testar sem gerar trafego):

# Testar qual regra de security policy corresponde a um fluxo
test security-policy-match application web-browsing source 192.168.1.50 \
destination 203.0.113.10 destination-port 80 protocol 6

# Testar autenticacao LDAP
test authentication authentication-profile LDAP-Profile username john.doe password

(Palo Alto — Test the Configuration)

Nota

O fluxo de troubleshooting recomendado para um admin de PME é: (1) show session info para ver o estado das ligações; (2) test security-policy-match para descobrir qual regra corresponde ao tráfego; (3) test nat-policy-match para verificar se o NAT está correcto; (4) show user ip-user-mapping ip para confirmar o User-ID; (5) verificar logs no ACC/Monitor; (6) show high-availability cluster state se for um problema de HA.

11. Erros Comuns de Configuração

Problema Causa Solução
Tráfego bloqueado após criar regra NAT Falta de security policy correspondente Criar security policy com o IP público (pré-NAT) no Destination Address e a zona pós-NAT (DMZ) na Destination Zone
Destination NAT não funciona Security policy usa o IP público (pré-NAT) correcto, mas com a zona errada (untrust em vez de DMZ) A security policy deve usar o IP público (pré-NAT) no Destination Address mas a zona pós-NAT (DMZ) na Destination Zone
User-ID não mapeia utilizadores User-ID não activado na zone trust Activar User-ID em Network > Zones > trust > User-ID: Enabled
Policy Optimizer não mostra aplicações Firewall nova sem histórico de tráfego Aguardar 7-30 dias de tráfego real. O Optimizer precisa de dados para sugerir App-IDs
GlobalProtect não conecta Certificado self-signed ou porta bloqueada Importar certificado de CA confiável. Verificar que a porta 443 está aberta na WAN
HA não sincroniza HA1/HA2 com IPs errados ou firewalls com versões PAN-OS diferentes Garantir que ambos têm a mesma versão PAN-OS e os IPs HA1/HA2 estão em /30 dedicadas
Commit falha Erro de sintaxe na configuração pendente Verificar a mensagem de erro no commit log. Corrigir e fazer commit novamente
App-ID não identifica aplicação Aplicação muito nova ou customizada Verificar se há content update disponível. Para aplicações customizadas, criar custom App-ID
URL Filtering não bloqueia Perfil não anexado à regra allow Anexar o Security Profile Group (que inclui URL Filtering) à regra allow
HA failover não ocorre HA timers demasiado altos ou preemption desactivada Reduzir HA timers (recommendado: 3000ms prompt + 3000ms hold). Activar preemption no primário

12. Checklist Rápido de Verificação

  • [ ] Criar zones mínimas: trust, untrust, DMZ (e tunnel se houver VPN)
  • [ ] Anexar Zone Protection Profile à zone untrust (DoS/flood/recon protection)
  • [ ] Configurar interfaces físicas e atribuir a zones
  • [ ] Criar security policy outbound (trust → untrust) com App-ID e security profiles
  • [ ] Criar security policy inbound (untrust → DMZ) restrita por aplicação
  • [ ] Criar regra default deny no fim da lista (any → any → deny)
  • [ ] Configurar Source NAT (DIPP) para tráfego outbound
  • [ ] Configurar Destination NAT para serviços publicados (usar IP traduzido na security policy)
  • [ ] Criar Security Profile Group com AV + Anti-Spyware + URL Filtering + WildFire
  • [ ] Anexar Security Profile Group a todas as regras allow
  • [ ] Activar User-ID na zone trust e configurar mapeamento com AD
  • [ ] Usar Policy Optimizer para migrar regras de portas para App-ID
  • [ ] Configurar GlobalProtect portal e gateway se houver teletrabalho
  • [ ] Importar certificado SSL confiável para GlobalProtect
  • [ ] Criar security policy tunnel → trust para tráfego GlobalProtect
  • [ ] Configurar HA Active/Passive se houver dois appliances
  • [ ] Activar session synchronization no HA para failover sem perda de ligações
  • [ ] Verificar com show running security-policy e show running nat-policy
  • [ ] Fazer commit final e testar com test security-policy-match

Artigos Relacionados

Este artigo foi útil?

Duarte Spínola

Artigos  

Deixe um Comentário