Palo Alto Networks(派拓网络)作为全球网络安全行业的领军厂商,实力早已得到行业公认。全球权威 IT 研究和咨询公司 Gartner 发布的《2021 年全球网络防火墙魔力象限报告》中,派拓网络连续 10 年被评为网络防火墙领导者,在 “前瞻性” 和 “执行力” 两大核心维度均位居行业顶尖位置,与 Fortinet、Cisco 等厂商共同位列 “领导者” 象限,其技术实力和市场地位毋庸置疑。

然而,由于 PA 防火墙硬件设备动辄百万的高昂成本,多数企业和个人学习者难以接触到真实设备。好在我们可以借助 EVE-NG 模拟器,导入 PA 的 OS 系统进行实验模拟,轻松实现低成本体验。本文将详细拆解 PA 防火墙在 EVE-NG 中的部署与初始化配置步骤,助力大家快速上手。

一、前期环境准备

1. 基础运行环境

本次实验基于 VMware Workstation 搭建基础平台,在工作站中安装 EVE-NG 模拟器(版本 2.0.3-110)。EVE-NG 本身是基于 Linux 内核的系统,通过开源虚拟化技术 KVM 集成,支持多种网络设备的模拟部署,是网络实验的理想工具。

2. 核心资源准备

  • PA 防火墙 OS 镜像:提前准备两个版本(6.0 和 10.0),建议优先选用 10.0 新版本,功能更全面且支持最新特性;

  • 辅助设备镜像:Virtual PC(VPCS)或 Windows 系列镜像(如 Win7/Win10),用于后续网络连通性测试;

  • 网络配置规划:提前规划管理网段(本次实验采用 192.168.176.0/24 网段),确保模拟器与本地设备网络互通。

二、EVE-NG 模拟器配置步骤

1. 登录 EVE-NG 管理界面

  1. EVE-NG 的管理网卡(第一块网卡)用于 Web 前台登录,默认管理地址为 192.168.176.200;

  2. 打开浏览器输入地址:https://192.168.176.200/#/login,输入用户名和密码后登录(默认账户需提前配置);

  3. 登录成功后进入 EVE-NG 主界面,可看到文件管理、实验拓扑等核心功能模块。

2. 创建新实验项目

  1. 点击 “File manager”→“Add New Lab”,填写实验基本信息:

    • Lab's Name:输入实验名称(仅支持 A-Z、a-z、0-9、_、- 字符);

    • Version:填写版本号(仅支持数字);

    • Author:填写作者名称;

    • Description/Tasks:可补充实验描述和任务说明(可选);

    • Config Script Timeout:默认 300 秒,无需修改;

  2. 点击 “Save” 完成实验项目创建,进入拓扑编辑界面。

3. 添加 PA 防火墙设备

  1. 在拓扑编辑界面点击 “Add a new object”→“Node”,进入设备添加配置页;

  2. 配置设备核心参数:

    • Template:选择 “Palo Alto”;

    • Number of nodes to add:填写 1(单台 PA 设备);

    • Image:选择 “paloalto-10.0.0”(新版本);

    • Name/prefix:输入设备名称(如 PaloAlto);

    • Icon:默认选择 “PaloAlto.png”;

    • CPU Limit:配置 2 核;

    • RAM (MB):配置 4096MB(4GB);

    • Ethernets:配置 4 个网口;

    • QEMU Arch:选择 x86_64;

    • QEMU Nic:选择 e1000;

    • QEMU custom options:填写-machine type=pc,accel=kvm -nographic -rtc base=utc

    • Startup configuration:选择 “None”;

  3. 点击 “Save” 完成 PA 设备添加,设备图标将显示在拓扑界面中。

4. 添加网络并连接

  1. 点击 “Add a new object”→“Network”,添加一个虚拟网络(用于连接 PA 管理口);

  2. 建立网络与 PA 设备的连接:

    • 点击 “Add CONNECTION BETWEEN NET AND PALOALTO”;

    • Source 选择创建的虚拟网络(Source ID:1);

    • Destination 选择 PA 设备,Interface 选择 “mgmt”(管理口);

    • 点击 “Save” 完成连接,拓扑图中将显示连接线路。

三、PA 防火墙初始化配置

1. 登录 PA 设备后台

  1. 在 EVE-NG 拓扑界面中,右键点击 PA 设备图标,选择 “Start” 启动设备;

  2. 启动完成后,右键点击设备图标选择 “Console”,进入 QEMU 命令行界面;

  3. 输入登录凭证:

    • Login:root(默认用户名);Password:输入默认密码(首次登录需提前获取);

    • 登录成功后,系统会通过 DHCP 自动分配管理 IP(本次实验分配到 192.168.176.131,子网掩码 255.255.255.0)。

2. 强制修改初始密码

  1. 打开浏览器输入 PA 管理 IP:https://192.168.176.131,进入密码修改页面;

  2. 系统提示 “Password Change Required”(默认凭证或密码过期),输入新密码(需满足复杂度要求);

  3. 点击 “Change Password” 完成修改,系统将自动跳转至登录页面。

3. 登录 PA Web 管理界面

  1. 用新密码登录 PA Web 管理界面,默认进入 “DASHBOARD”(仪表盘);

  2. 仪表盘将显示设备核心信息:

    • 设备名称:PA-VM;

    • 管理 IP:192.168.176.131(DHCP 获取);

    • 软件版本:10.0.0;

    • 系统资源:CPU 使用率、内存占用、会话数等;

    • 功能模块:ACC、MONITOR、POLICIES、OBJECTS、NETWORK、DEVICE 等核心配置模块。

4. (可选)修改 Web 界面语言

  1. 对于英文不熟悉的使用者,可修改界面语言:

    • 点击界面右上角 “语言首选项”,选择 “简体中文”;

    • 系统提示 “Web 界面将在更新语言首选项后重新加载”,点击确认;

    • 页面重新加载后,将切换为简体中文界面,便于后续配置。

四、PA 防火墙 10.0 版本核心特性简介

PA-OS 10.0 版本新增多项实用功能,为实验和实际部署提供更强支撑:

  1. IoT Security:基于 AI 和机器学习算法,动态发现 IoT 设备、评估风险、检测异常行为,并提供防火墙策略建议;

  2. Inline ML for URL Filtering and WildFire:

    • 实时分析网页内容,检测恶意 JavaScript 和钓鱼攻击;

    • 在数据层面拦截 Windows 可执行文件和 PowerShell 脚本,防范未知恶意软件;

  3. Telemetry:收集设备健康状态、性能数据、产品使用情况和威胁防护信息,通过 ML 优化安全策略,减少配置错误导致的漏洞。

五、后续实验拓展

完成 PA 防火墙的部署和初始化后,可进行以下实验拓展:

  1. 配置接口 IP、安全区域、路由协议(静态路由、OSPF 等);

  2. 配置安全策略(允许 / 拒绝特定流量)、NAT 转换;

  3. 测试 IoT 设备接入防护、URL 过滤、恶意软件拦截等功能;

  4. 联动其他设备(如 Cisco 路由器、华为交换机、Windows 客户端)搭建复杂网络拓扑,验证 PA 防火墙的防护能力。

至此,EVE-NG 模拟器中 PA 防火墙的部署与初始化配置已全部完成。后续将持续更新 PA 防火墙的进阶配置实验,敬请关注!

用PaloAlto防火墙进行组网实验(篇一)