NGFW-Engineer 高频考点速记表

Palo Alto Networks · 基于 125 题提炼 · 考前 10 分钟速扫 · Ctrl/⌘+P 可打印

⭐ 黄金法则(必背)

  1. 逻辑路由器前提:必须先在 General settings 勾选 Advanced Routing(ARE) 切换掉传统 virtual router;ARE 不靠许可证/插件/内容更新激活;ARE 支持 PA-5200/PA-7000/PA-3200/VM-Series,PA-850 不支持。
  2. 路由选优:先比 Administrative Distance 取最低者,同协议内再比 metric;前缀长度不同才先用最长前缀匹配。
  3. Panorama 策略评估顺序固定:Pre-Rules → 本地防火墙规则 → Post-Rules → 默认规则;本地规则命中即停。
  4. 跨 VSYS 内部流量用 External Zone(不绑接口、归属单个 VSYS);若已配 next-vr 静态路由+策略仍不通,缺的是 Visible Virtual System(互相可见)。
  5. IPSec VPN 需两类策略:显式放行 IKE/IPSec 容器应用的协商流量(interzone-default 默认拒绝),再加隧道区域到本地区的一对进/出方向数据策略。
  6. 隧道接口必须配 IP 的两种用途:Tunnel monitoring 与隧道上跑动态路由(OSPF/BGP);加密解密、NAT 穿越、Proxy ID、IKEv2 都不需要。
  7. 与基于策略(policy-based)对端互通且 IKE Phase 2 失败时,先查 Proxy ID/加密域选择器是否匹配。
  8. User-ID 最可靠的 user-to-IP 映射来自直接认证(GlobalProtect / Authentication Portal);Syslog/服务器监控/XFF/API 推送都是间接推断。
  9. SSL Forward Proxy 必须把防火墙 Forward Trust CA 公钥导入所有客户端受信任根存储,否则所有解密站点报证书警告。
  10. 云原生跨 AZ 高可用统一用负载均衡器+健康探测(AWS GWLB+Auto Scaling / Azure LB / GCP ILB),不用跨 AZ 的 PAN-OS HA 链路。
  11. 关键业务内容更新阈值最佳实践设 48 小时(延迟安装暴露问题、稳定优先),方向是增大而非缩短。
  12. active/passive HA 升级遵循一次只升一台:先升被动→挂起主动触发切换→再升剩余,始终保持一台转发,禁止两台同时重启。

🧭 路由与 ARE

  • 逻辑路由器(logical router)前提:先在 General settings 勾选 Advanced Routing(ARE) 全局开关,切换掉传统 virtual router。
  • ARE 不靠许可证/插件/内容更新/订阅激活,是一项常规设置开关。
  • ARE 支持平台(版本敏感):PA-5200(如5280)、PA-7000(如7080)、PA-3200(如3250)、VM-Series。
  • 跨协议选路:先比 Administrative Distance(最低=最受信任),同协议内再比 metric。
  • 前缀长度不同时先用最长前缀匹配;同前缀长度才比管理距离。
  • 静态路由 path monitoring 的 preemptive hold time = 0 表示主路径恢复后立即无延迟回切(failback)。
⚠ 易错
  • PA-850 不在 ARE 支持列表。
  • 别选‘激活高级路由订阅’或‘把 virtual router 类型 default 改 advanced’——ARE 是常规设置开关。
  • 同前缀长度下首先比的是管理距离,不是 metric/下一跳可用性/最长前缀。
  • 立即回切对应值是 0,不是 -1/1/2/默认值,也不是禁用功能。

🗂️ Panorama 集中管理

  • 策略评估顺序:Pre-Rules → 本地防火墙规则 → Post-Rules → 默认规则;本地规则命中即停。
  • 同时发往 Strata Logging Service(云)与本地 Panorama 日志收集器:在模板 Device > Setup > Management 启用 Enable Duplicate Logging。
  • 仅 Enable Cloud Logging 会停掉本地投递;云日志与本地转发是各自独立路径。
  • Log Collector Group 内所有 Log Collector 必须运行相同 Panorama 型号(保证分发/冗余可预测)。
  • 无需 Context Switch 即可做的集中配置:编辑 pre/post-rule、共享对象、virtual router、IKE Gateway、创建 certificate profile、配主机名。
⚠ 易错
  • Post-Rules 在本地规则之后、不在 Pre 之前;本地规则不先于 Pre 评估。
  • 本地看不到新日志而云端正常时,先查 Duplicate Logging 开关,而非设备证书/Log Forwarding/收集器组目标。
  • 冗余不要求各收集器磁盘容量相同,启用冗余不会使处理流量增加 50%。
  • 查看实时会话/本地 ACC、装内容更新、设备重启、改 L3 接口 IP、建本地管理员账户、访问 CLI 等运行时操作必须切上下文。

⬆️ 部署与升级

  • 关键业务(mission-critical)内容更新阈值最佳实践 = 48 小时(延迟安装先暴露问题,稳定优先)。
  • 阈值方向是增大(如 24→48)而非缩短。
  • active/passive HA 最小停机升级:先升被动→挂起主动触发切换→验证后再升剩余,一次只升一台。
⚠ 易错
  • 关键业务别选 8/12/16/24/32 小时;阈值是延迟安装的等待时长。
  • 不要关机离线升级、不要两台同时隔离/并行重启、不要从 Panorama 同时排计划升级两台、不要禁用 HA 同步。

🛡️ 安全策略·区域·NAT

  • 有效安全区域类型由接口模式决定:Layer 2、Layer 3、Virtual Wire、Tap、Tunnel、External。
  • Zone Protection 四类区分:Flood(泛洪)、Reconnaissance(扫描)、Protocol(协议)、Packet-Based(畸形/伪造/异常握手)。
  • Packet-Based Attack Protection 处理:伪造 IP、split handshake、non-SYN TCP 洪水、ICMP 分片、畸形 IP 头、非法 TCP 标志(SYN+FIN)。
  • 防火墙(而非工作站)发起出站、浏览器需指向防火墙并强制认证:用 Explicit Proxy(显式代理)。
⚠ 易错
  • Intrazone 是同区默认策略概念而非区域类型;Internal/Management/DMZ 是命名不是类型。
  • 畸形包/伪造 IP/非法标志位别选 Flood/Reconnaissance/Protocol。
  • Transparent proxy 不要求浏览器显式指向防火墙;GlobalProtect+User-ID、解密+认证门户都不是‘防火墙当代理端点’方案。

🔐 VPN·IPSec·GlobalProtect

  • IPSec VPN 需两类策略:显式放行 IKE/IPSec 容器应用的协商流量 + 隧道区到本地区的一对进/出方向数据策略。
  • 到达防火墙的 IKE 与 IPSec/ESP 默认被 interzone-default deny,须显式放行(intrazone-default 不覆盖)。
  • 与 policy-based 对端(ASA/Check Point/第三方)互通、IKE Phase 2 失败:配 Proxy ID 匹配对端加密域/选择器。
  • 隧道接口必须配 IP 的两种用途:Tunnel monitoring 与隧道上跑动态路由(OSPF/BGP)。
  • GlobalProtect split tunnel 选 Both Network Traffic and DNS 启用 Split DNS:指定域名走 VPN-DNS、其余走本地 DNS。
  • GlobalProtect pre-logon 用机器证书认证:在 Gateway 的 Client Authentication 分配信任机器 CA 的 certificate profile;user-logon 用 SAML(云 MFA)。
  • 后量子 IKEv2 加固:①PQ PPK(IKE Gateway 配 64+ 字符后量子预共享密钥);②PQ KEM,在 IKE Crypto Profile 加一个或多个 Rounds;须 IKEv2(非 Preferred)。
⚠ 易错
  • 别以为返回流量有状态/区域内默认允许就不用按方向建规则。
  • Proxy ID 故障不靠静态路由下一跳、隧道接口 VLAN、外部接口管理配置文件、DPD、MTU、调整规则顺序解决。
  • 隧道接口 IP 不为加密解密、NAT 穿越、Proxy ID、IKEv2、对等体 IP、重分发 User-ID 而配。
  • Split DNS 不阻断未列域、不强制所有应用用企业 DNS、不在端点建 DNS 代理;别选 DNS Proxy/隧道 DNS Forwarding/NAT。
  • pre-logon 用 certificate profile(在 Gateway)非 authentication profile(在 Portal);SAML 以用户为中心无法做无会话的机器认证。
  • PPK 配在 IKE Gateway(IKEv2)而非 IPSec 隧道高级设置;‘IKEv2 Preferred’/导入后量子证书都不对。

👤 User-ID 与认证

  • 最可靠 user-to-IP 映射来自直接认证:GlobalProtect / Authentication Portal(防火墙亲自观察登录事件)。
  • 按用户/组做策略的前提:先配 LDAP Server Profile(组映射依赖目录连接)。
  • 显式代理 + Kerberos:浏览器手动指向防火墙 IP+端口、用现有 AD 凭据无缝 SSO。
  • 认证回退/迁移用 authentication sequence:按序排多个 authentication profile,新方法在前旧方法在后;RADIUS→SAML 迁移须单独建 SAML profile 并保留回滚。
  • Cloud Identity Engine(CIE)单租户聚合多 IdP(AD/Azure AD/Okta),用 Segment 过滤后仅向对应防火墙组重分发,实现身份隔离+最小开销。
  • Admin Role Profile 定义细粒度(基于角色)管理权限。
⚠ 易错
  • 端口映射/Syslog/服务器监控/XFF/XML API 推送都是间接映射,可靠性低。
  • 前提选 LDAP Server Profile,不是 User Mapping/Authentication profile/Kerberos profile/Group mapping/User-ID agent 服务账户。
  • Transparent 模式不需手动配代理;MFA/SAML 重定向不满足‘手动指向防火墙端口+无缝 SSO’。
  • 回退别用 sequence 把 RADIUS+SAML server profile 塞同序列、也别把 SAML profile 加进 RADIUS 的认证 profile。
  • CIE 别建多租户/多实例、别让防火墙绕过 CIE 直查 IdP、别靠 Panorama 组映射区分。
  • Admin Role Profile 不启用 MFA、不提供不受限访问。

📜 证书·解密·PKI

  • Certificate Profile 作用:定义信任锚(根/中间 CA)、指定吊销检查(CRL/OCSP)、映射证书属性(CN)到身份;供 GlobalProtect/认证门户/管理员访问验证客户端证书。
  • SSL/TLS service profile:给防火墙托管的 TLS 服务绑定服务器证书+TLS 参数;典型为 GlobalProtect Portal/Gateway、Authentication Portal。
  • SSL Forward Proxy:把 Forward Trust CA 公钥导入所有客户端受信任根存储,否则解密站点报证书警告。
  • Decryption profile 负责定义对服务器证书做 OCSP/CRL 吊销检查的机制。
  • 大规模(数千用户)客户端证书认证优选 OCSP:按需实时、低内存、高扩展、低延迟,CRL 作后备。
  • 中间 CA 签发的客户端证书:除根 CA 外还须导入中间 CA,否则报 invalid certificate。
  • 企业最佳实践:经 Panorama 共享对象一致分发根/中间 CA;用户与设备各用独立证书 Profile;用 SCEP/GPO/MDM 自动注册。
⚠ 易错
  • Certificate Profile 不存私钥、不当备用 CA、不跳过验证、不负责证书分发。
  • NAT 表、用户认证本身、Strata Logging Service 转发/TLS syslog、LDAP server profile、Prisma Access service connection 不用 SSL/TLS service profile。
  • 不需把 CA 设默认路由证书、不配无限期有效期、不必传播前禁用解密规则、不导私钥到域控。
  • Forward Untrust 证书只对不受信任站点起作用,不会造成所有站点报错;这不是 TLS 1.3 许可或‘不解密’导致。
  • OCSP 优势不是让防火墙当 CA、不是更老更兼容、不是打包单一签名文件。
  • ‘中间 CA 缺失’场景报错最可能原因不是弱密钥/时钟偏差/OCSP-CRL 不可达。

☁️ 云·自动化·HA

  • Cloud NGFW(托管)替代自管 VM-Series 省算力:AWS 经 TGW 引流到集中 Security VPC(分布式则每应用 VPC 部端点+改 VPC 路由表);Azure 作 vWAN hub 的 trusted security partner;策略统一由 Panorama 管理。
  • 跨 AZ 高可用用 LB+健康探测:AWS=Auto Scaling+GWLB(透明插入),Azure=多 AZ 独立 VM-Series+Azure LB,GCP=多 AZ instance group+Internal LB;不用跨 AZ PAN-OS HA 链路。
  • CN-Series=Kubernetes 容器化 NGFW,保护 Pod/微服务东西向(east-west)流量,用 Helm 等 K8s 工具部署、Panorama 统一管理。
  • Terraform=声明式 IaC,置备 VM-Series/VNet/子网等基础设施(期望状态、可重复、可版本控制)。
  • Ansible=过程式 playbook,做部署后配置管理(推策略与对象),幂等可审查。
  • active/active HA 三链路:HA1 控制平面心跳/状态,HA2 同步会话/转发表/ARP/IPSec SA,HA3 数据包转发(会话建立+非对称流量,仅 a/a 才有)。
  • AE/LACP 接口勾选 Enable in HA passive state 让被动设备预协商 LACP,减少切换收敛延迟。
  • HA 链路监控(link monitoring)仅监控转发接口:Layer 3、Layer 2、Virtual Wire。
⚠ 易错
  • 别每个 VPC 部 VM-Series、别用本地规则管理策略、别用 UDR 绕过 vWAN hub、别用原生云防火墙替代托管插入。
  • 跨 AZ 别选 active/active HA 对+TGW、VNet peering 上主备 HA、Traffic Manager 故障切换、Terraform 重部署、单实例弹性 IP 重关联。
  • 容器东西向认准 CN-Series,不是 VM-Series(虚机/南北向)或 Cloud NGFW(托管云);不是 Service graph/Ansible/Panorama RBAC。
  • Terraform 不做日志/实时流量检查/威胁同步/应用安全策略/存凭据。
  • Ansible 不做日志收集/威胁库投递/GUI/自动发现设备。
  • HA3 别混成心跳(HA1)或会话表同步(HA2)。
  • LACP 预协商别选 Transmission Rate fast、Mode active、System Priority 1、passive link state Auto。
  • HA 控制接口本身和 Tap 接口不参与链路监控。

🚦 App-ID·威胁·SD-WAN

  • SD-WAN 由 Panorama 集中编排:用 Panorama REST API,创建接口用 sdwanInterfaceprofiles,路径质量配置用 SDWanPathQualityProfiles 端点 POST。
  • AI Runtime Security: Network Intercept 生命周期四阶段:Discovery → Deployment → Detection → Prevention。
⚠ 易错
  • 别在被管防火墙上操作、别用 XML API;参数不是 sdwanInterfaces/sdwanprofiles/path-quality-profiles xpath。
  • 生命周期不是 Scanning/Isolation/Whitelisting/Logging,也不含 Policy Generation/Enforcement/Reporting。

🧭 接口·VSYS·日志·服务路由

  • Service route 控制防火墙自身发起的流量(更新、日志、遥测、身份、云服务)出口,可从 MGT 改走数据平面;更新走 ‘Palo Alto Networks Services’,ADEM 默认走管理口。
  • 跨 VSYS 内部流量用 External Zone:不绑接口、归属单个 VSYS;若已配 next-vr 静态路由+策略仍不通,缺 Visible Virtual System(互相可见)。
  • VSYS 资源配额限制规则/对象数量上限(如 Max sessions、NAT/SSL 解密规则最大数),防止耗尽共享状态表/配置容量。
  • DDNS client 与 DHCP client 仅 Layer 3 接口支持(需路由 IP 上下文),Layer 2 不支持。
  • Layer 2 同 VLAN 接口须分到同一 L2 区域(intrazone-default 默认放行)或为不同 L2 区配策略;无需 IP 路由。
  • Virtual Wire 内联透明对要求两接口相同 link rate 和 transmission mode。
  • 管理口配 DHCP 客户端 CLI:set deviceconfig system type dhcp-client。
  • Log Forwarding 配置文件目标:Panorama/Cloud logging、Syslog、Email、SNMP、HTTP。
  • 自定义报告查询详细日志库:Traffic、Threat、URL Filtering、Data Filtering、WildFire Submissions、HIP Match、User-ID、GlobalProtect 等。
⚠ 易错
  • 改防火墙发起流量出口用 Service route,不是 Interface Management profile/虚拟路由器/静态路由/EDL/Syslog/Clientless VPN。
  • External Zone 不绑接口/VR、不随跨 VSYS 路由自动创建、不要求与入向接口同 VR;VSYS 间不需中转 VSYS/隧道接口/‘allow inter-VSYS’开关。
  • VSYS 配额不能限 CPU%、内存、虚拟路由器数、管理员账户数、日志条目/磁盘空间、安全配置文件限制。
  • Link Duplex/NetFlow/LLDP/QoS L2 也可用;仅 L3 的是 DDNS 与 DHCP client。
  • Layer 2 互通别建 AE/L3 子接口启用路由、别写源目都为 VLAN 的策略。
  • CLI 不是 set network dhcp / set deviceconfig management type dhcp-client。
  • Log Forwarding 不含 NetFlow、SD-WAN、RADIUS、ADEM。
  • 自定义报告别选 System/Config/Session Flow/IP-Tag/Endpoint Security 等非日志源。