Getting Started

PAN‐OS®
Administrator’s
Guide
Version 7.1
Contact Information

Corporate Headquarters:
Palo Alto Networks
4401 Great America Parkway
Santa Clara, CA 95054
www.paloaltonetworks.com/company/contact‐us

About this Guide

This guide takes you through the configuration and maintenance of your Palo Alto Networks next‐generation 
firewall. For additional information, refer to the following resources:

 For information on how to configure other components in the Palo Alto Networks Next‐Generation Security 
Platform, go to the Technical Documentation portal: https://www.paloaltonetworks.com/documentation or 
search the documentation.

 For access to the knowledge base and community forums, refer to https://live.paloaltonetworks.com.

 For contacting support, for information on support programs, to manage your account or devices, or to open a 
support case, refer to https://www.paloaltonetworks.com/support/tabs/overview.html.

 For the most current PAN‐OS and Panorama 7.1 release notes, go to 
https://www.paloaltonetworks.com/documentation/71/pan‐os/pan‐os‐release‐notes.html.
To provide feedback on the documentation, please write to us at: [email protected].

Palo Alto Networks, Inc.
www.paloaltonetworks.com
© 2016 Palo Alto Networks, Inc. Palo Alto Networks is a registered trademark of Palo Alto Networks. A list of our trademarks can be found 
at http://www.paloaltonetworks.com/company/trademarks.html. All other marks mentioned herein may be trademarks of their 
respective companies.

Revision Date: October 21, 2016

2 •  PAN‐OS 7.1 Administrator’s Guide © Palo Alto Networks, Inc.
 Getting Started
The following topics provide detailed steps to help you deploy a new Palo Alto Networks next‐generation 
firewall. They provide details for integrating a new firewall into your network, registering the firewall, 
activating licenses and subscriptions, and configuring basic security policies and threat prevention features. 
After you perform the basic configuration steps required to integrate the firewall into your network, you can 
use the rest of the topics in this guide to help you deploy the comprehensive security platform features as 
necessary to address your network security needs.
 Integrate the Firewall into Your Management Network
 Register the Firewall
 Activate Licenses and Subscriptions
 Install Content and Software Updates
 Segment Your Network Using Interfaces and Zones
 Set Up a Basic Security Policy
 Assess Network Traffic
 Enable Basic Threat Prevention Features
 Best Practices for Completing the Firewall Deployment

© Palo Alto Networks, Inc. PAN‐OS 7.1 Administrator’s Guide  •  17

Copyright © 2007-2015 Palo Alto Networks

Integrate the Firewall into Your Management Network Getting Started

Integrate the Firewall into Your Management Network

All Palo Alto Networks firewalls provide an out‐of‐band management port (MGT) that you can use to 
perform the firewall administration functions. By using the MGT port, you separate the management 
functions of the firewall from the data processing functions, safeguarding access to the firewall and 
enhancing performance. When using the web interface, you must perform all initial configuration tasks from 
the MGT port even if you plan to use an in‐band data port for managing your firewall going forward. 
Some management tasks, such as retrieving licenses and updating the threat and application signatures on 
the firewall require access to the Internet. If you do not want to enable external access to your MGT port, 
you will need to either set up an in‐band data port to provide access to required external services (using 
service routes) or plan to manually upload updates regularly.
The following topics describe how to perform the initial configuration steps that are necessary to integrate 
a new firewall into the management network and deploy it in a basic security configuration. 
 Determine Your Management Strategy
 Perform Initial Configuration
 Set Up Network Access for External Services

The following topics describe how to integrate a single Palo Alto Networks next‐generation 
firewall into your network. However, for redundancy, consider deploying a pair of firewalls in a 
High Availability configuration.

Determine Your Management Strategy

The Palo Alto Networks firewall can be configured and managed locally or it can be managed centrally using 
Panorama, the Palo Alto Networks centralized security management system. If you have six or more firewalls 
deployed in your network, use Panorama to achieve the following benefits:
 Reduce the complexity and administrative overhead in managing configuration, policies, software and 
dynamic content updates. Using device groups and templates on Panorama, you can effectively manage 
firewall‐specific configuration locally on a firewall and enforce shared policies across all firewalls or 
device groups.
 Aggregate data from all managed firewalls and gain visibility across all the traffic on your network. The 
Application Command Center (ACC) on Panorama provides a single glass pane for unified reporting 
across all the firewalls, allowing you to centrally analyze, investigate and report on network traffic, 
security incidents and administrative modifications.
The procedures that follow describe how to manage the firewall using the local web interface. If you want 
to use Panorama for centralized management, first Perform Initial Configuration and verify that the firewall 
can establish a connection to Panorama. From that point on you can use Panorama to configure your firewall 
centrally.

18  •  PAN‐OS 7.1 Administrator’s Guide © Palo Alto Networks, Inc.

Copyright © 2007-2015 Palo Alto Networks

Getting Started Integrate the Firewall into Your Management Network

Perform Initial Configuration

By default, the firewall has an IP address of 192.168.1.1 and a username/password of admin/admin. For 
security reasons, you must change these settings before continuing with other firewall configuration tasks. 
You must perform these initial configuration tasks either from the MGT interface, even if you do not plan to 
use this interface for your firewall management, or using a direct serial connection to the console port on 
the firewall.

Set Up Network Access to the Firewall 

Step 1 Gather the required information from  •  IP address for MGT port

your network administrator. •  Netmask
•  Default gateway
•  DNS server address

Step 2 Connect your computer to the firewall.  You can connect to the firewall in one of the following ways:

•  Connect a serial cable from your computer to the Console port 
and connect to the firewall using terminal emulation software 
(9600‐8‐N‐1). Wait a few minutes for the boot‐up sequence to 
complete; when the firewall is ready, the prompt changes to the 
name of the firewall, for example PA-500 login.
•  Connect an RJ‐45 Ethernet cable from your computer to the 
MGT port on the firewall. From a browser, go to 
https://192.168.1.1. Note that you may need to change the 
IP address on your computer to an address in the 
192.168.1.0/24 network, such as 192.168.1.2, in order to 
access this URL.

Step 3 When prompted, log in to the firewall. You must log in using the default username and password 

(admin/admin). The firewall will begin to initialize.

Step 4 Configure the MGT interface. 1. Select Device > Setup > Management and edit the 

Management Interface Settings. 
2. Configure the address settings for the MGT interface using 
one of the following methods:
•  To configure static IP address settings for the MGT 
interface, set the IP Type to Static and enter the IP
Address, Netmask, and Default Gateway.
•  To dynamically configure the MGT interface address 
settings, set the IP Type to DHCP. To use this method, you 
must Configure the Management Interface as a DHCP 
Client.
To prevent unauthorized access to the management 
interface, it is a best practice to Add the Permitted IP
Addresses from which an administrator can access the 
MGT interface.
3. Set the Speed to auto-negotiate.
4. Select which management services to allow on the interface.
Make sure Telnet and HTTP are not selected because 
these services use plaintext and are not as secure as 
the other services and could compromise 
administrator credentials.
5. Click OK.

© Palo Alto Networks, Inc. PAN‐OS 7.1 Administrator’s Guide  •  19

Copyright © 2007-2015 Palo Alto Networks

Integrate the Firewall into Your Management Network Getting Started

Set Up Network Access to the Firewall  (Continued)

Step 5 Configure DNS, update server, and  1. Select Device > Setup > Services.

proxy server settings. •  For multi‐virtual system platforms, select Global and edit 
You must manually configure at  the Services section. 
least one DNS server on the  •  For single virtual system platforms, edit the Services 
firewall or it will not be able to  section.
resolve hostnames; it will not use 
2. On the Services tab, for DNS, click one of the following: 
DNS server settings from 
another source, such as an ISP. •  Servers—Enter the Primary DNS Server address and 
Secondary DNS Server address.
•  DNS Proxy Object—From the drop‐down, select the DNS
Proxy that you want to use to configure global DNS 
services, or click DNS Proxy to configure a new DNS proxy 
object.
3. Click OK.

Step 6 Configure date and time (NTP) settings. 1. Select Device > Setup > Services.

•  For multi‐virtual system platforms, select Global and edit 
the Services section. 
•  For single virtual system platforms, edit the Services 
section.
2. On the NTP tab, to use the virtual cluster of time servers on 
the Internet, enter the hostname pool.ntp.org as the 
Primary NTP Server or enter the IP address of your primary 
NTP server.
3. (Optional) Enter a Secondary NTP Server address. 
4. (Optional) To authenticate time updates from the NTP 
server(s), for Authentication Type, select one of the following 
for each server:
•  None—(Default) Disables NTP authentication.
•  Symmetric Key—Firewall uses symmetric key exchange 
(shared secrets) to authenticate time updates. 
– Key ID—Enter the Key ID (1‐65534).
– Algorithm—Select the algorithm to use in NTP 
authentication (MD5 or SHA1).
•  Autokey—Firewall uses autokey (public key cryptography) 
to authenticate time updates.
5. Click OK.

20  •  PAN‐OS 7.1 Administrator’s Guide © Palo Alto Networks, Inc.

Copyright © 2007-2015 Palo Alto Networks

Getting Started Integrate the Firewall into Your Management Network

Set Up Network Access to the Firewall  (Continued)

Step 7 (Optional) Configure general firewall  1. Select Device > Setup > Management and edit the General 

settings as needed. Settings. 
2. Enter a Hostname for the firewall and enter your network 
Domain name. The domain name is just a label; it will not be 
used to join the domain.
3. Enter Login Banner text that informs users who are about to 
log in that they require authorization to access the firewall 
management functions.
As a best practice, avoid using welcoming verbiage. 
Additionally, you should ask your legal department to 
review the banner message to ensure it adequately 
warns that unauthorized access is prohibited.
4. Enter the Latitude and Longitude to enable accurate 
placement of the firewall on the world map.
5. Click OK.

Step 8 Set a secure password for the admin  1. Select Device > Administrators.

account. 2. Select the admin role.
3. Enter the current default password and the new password.
4. Click OK to save your settings.

Step 9 Commit your changes. Click Commit at the top right of the web interface. The firewall can 

When the configuration changes  take up to 90 seconds to save your changes.
are saved, you lose connectivity 
to the web interface because the 
IP address has changed.

Step 10 Connect the firewall to your network. 1. Disconnect the firewall from your computer.

2. Connect the MGT port to a switch port on your management 
network using an RJ‐45 Ethernet cable. Make sure that the 
switch port you cable the firewall to is configured for 
auto‐negotiation.

Step 11 Open an SSH management session to  Using a terminal emulation software, such as PuTTY, launch an SSH 

the firewall. session to the firewall using the new IP address you assigned to it.

© Palo Alto Networks, Inc. PAN‐OS 7.1 Administrator’s Guide  •  21

Copyright © 2007-2015 Palo Alto Networks

Integrate the Firewall into Your Management Network Getting Started

Set Up Network Access to the Firewall  (Continued)

Step 12 Verify network access to external  1. Use the ping utility to verify network connectivity to the Palo 

services required for firewall  Alto Networks Update server as shown in the following 
management, such as the Palo Alto  example. Verify that DNS resolution occurs and the response 
Networks Update Server.  includes the IP address for the Update server; the update 
You can do this in one of the following  server does not respond to a ping request.  
ways: admin@PA-200 > ping host
• If you do not want to allow external  updates.paloaltonetworks.com
network access to the MGT interface,  PING updates.paloaltonetworks.com (10.101.16.13)
56(84) bytes of data.
you will need to set up a data port to 
From 192.168.1.1 icmp_seq=1 Destination Host
retrieve required service updates. 
Unreachable
Continue to Set Up Network Access 
From 192.168.1.1 icmp_seq=2 Destination Host
for External Services. Unreachable
• If you do plan to allow external  From 192.168.1.1 icmp_seq=3 Destination Host
network access to the MGT interface,  Unreachable
verify that you have connectivity and  From 192.168.1.1 icmp_seq=4 Destination Host
then proceed to Register the Firewall  Unreachable
and Activate Licenses and  After verifying DNS resolution, press Ctrl+C to stop the 
Subscriptions. ping request.

2. Use the following CLI command to retrieve information on the 
support entitlement for the firewall from the Palo Alto 
Networks update server:
request support check
If you have connectivity, the update server will respond with 
the support status for your firewall. Because your firewall is 
not registered, the update server will return the following 
message:
Contact Us
https://www.paloaltonetworks.com/company/contact-u
s.html
Support Home
https://www.paloaltonetworks.com/support/tabs/over
view.html
Device not found on this update server

22  •  PAN‐OS 7.1 Administrator’s Guide © Palo Alto Networks, Inc.

Copyright © 2007-2015 Palo Alto Networks

Getting Started Integrate the Firewall into Your Management Network

Set Up Network Access for External Services

By default, the firewall uses the MGT interface to access remote services, such as DNS servers, content 
updates, and license retrieval. If you do not want to enable external network access to your management 
network, you must set up an in‐band data port to provide access to required external services and set up 
service routes to instruct the firewall what port to use to access the external services. 

This task requires familiarity with firewall interfaces, zones, and policies. For more information on 
these topics, see Configure Interfaces and Zones and Set Up a Basic Security Policy.

Set Up a Data Port for Access to External Services

Step 1 Decide which port you want to use for  The interface you use must have a static IP address. 

access to external services and connect 
it to your switch or router port. 

Step 2 Log in to the web interface. Using a secure connection (https) from your web browser, log in 

using the new IP address and password you assigned during initial 
configuration (https://<IP address>). You will see a certificate 
warning; that is okay. Continue to the web page.

Step 3 (Optional) The firewall comes  You must delete the configuration in the following order:

preconfigured with a default virtual wire  1. To delete the default security policy, select Policies >
interface between ports Ethernet 1/1  Security, select the rule, and click Delete.
and Ethernet 1/2 (and a corresponding 
default security policy and zones). If you  2. To delete the default virtual wire, select Network > Virtual
do not plan to use this virtual wire  Wires, select the virtual wire and click Delete.
configuration, you must manually delete  3. To delete the default trust and untrust zones, select Network
the configuration to prevent it from  > Zones, select each zone and click Delete. 
interfering with other interface settings 
4. To delete the interface configurations, select Network >
you define.
Interfaces and then select each interface (ethernet1/1 and 
ethernet1/2) and click Delete.
5. Commit the changes.

© Palo Alto Networks, Inc. PAN‐OS 7.1 Administrator’s Guide  •  23

Copyright © 2007-2015 Palo Alto Networks

Integrate the Firewall into Your Management Network Getting Started

Set Up a Data Port for Access to External Services (Continued)

Step 4 Configure the interface you plan to use  1. Select Network > Interfaces and select the interface that 

for external access to management  corresponds to the port you cabled in Step 1. 
services. 2. Select the Interface Type. Although your choice here depends 
on your network topology, this example shows the steps for 
Layer3. 
3. On the Config tab, expand the Security Zone drop‐down and 
select New Zone.
4. In the Zone dialog, enter a Name for new zone, for example 
Management, and then click OK. 
5. Select the IPv4 tab, select the Static radio button, and click 
Add in the IP section, and enter the IP address and network 
mask to assign to the interface, for example 
192.168.1.254/24. You must use a static IP address on this 
interface.
6. Select Advanced > Other Info, expand the Management
Profile drop‐down, and select New Management Profile. 
7. Enter a Name for the profile, such as allow_ping, and then 
select the services you want to allow on the interface. For the 
purposes of allowing access to the external services, you 
probably only need to enable Ping and then click OK.
These services provide management access to the 
firewall, so only select the services that correspond to 
the management activities you want to allow on this 
interface. For example, if you plan to use the MGT 
interface for firewall configuration tasks through the 
web interface or CLI, you would not want to enable 
HTTP, HTTPS, SSH, or Telnet so that you could 
prevent unauthorized access through this interface 
(and if you did allow those services, you should limit 
access to a specific set of Permitted IP Addresses). 
For details, see Use Interface Management Profiles to 
Restrict Access.
8. To save the interface configuration, click OK.

24  •  PAN‐OS 7.1 Administrator’s Guide © Palo Alto Networks, Inc.

Copyright © 2007-2015 Palo Alto Networks

Getting Started Integrate the Firewall into Your Management Network

Set Up a Data Port for Access to External Services (Continued)

Step 5 Configure the service routes. 1. Select Device > Setup > Services > Global and click Service

By default, the firewall uses the MGT  Route Configuration. 
interface to access the external services 
it requires. To change the interface the 
firewall uses to send requests to external 
services, you must edit the service  For the purposes of activating your licenses and 
routes.  getting the most recent content and software updates, 
This example shows how to set  you will want to change the service route for DNS, 
up global service routes. For  Palo Alto Updates, URL Updates, WildFire, and 
information on setting up  AutoFocus.
network access to external  2. Click the Customize radio button, and select one of the 
services on a virtual system basis  following:
rather than a global basis, see 
•  For a predefined service, select IPv4 or IPv6 and click the 
Per‐Virtual System Service 
link for the service for which you want to modify the 
Routes.
Source Interface and select the interface you just 
configured. 
If more than one IP address is configured for the selected 
interface, the Source Address drop‐down allows you select 
an IP address.
•  To create a service route for a custom destination, select 
Destination, and click Add. Enter a Destination name and 
select a Source Interface. If more than one IP address is 
configured for the selected interface, the Source Address 
drop‐down allows you select an IP address.
3. Click OK to save the settings.
4. Repeat steps 2‐3 above for each service route you want to 
modify. 
5. Commit your changes.

Step 6 Configure an external‐facing interface  1. Select Network > Interfaces and then select the 

and an associated zone and then create a  external‐facing interface. Select Layer3 as the Interface Type, 
security policy rule to allow the firewall  Add the IP address (on the IPv4 or IPv6 tab), and create the 
to send service requests from the  associated Security Zone (on the Config tab), such as Internet. 
internal zone to the external zone. This interface must have a static IP address; you do not need 
to set up management services on this interface.
2. To set up a security rule that allows traffic from your internal 
network to the Palo Alto Networks update server, select 
Policies > Security and click Add. 
As a best practice when creating Security policy rules, 
use application‐based rules instead of port‐based rules 
to ensure that you are accurately identifying the 
underlying application regardless of the port, protocol, 
evasive tactics, or encryption in use. Always leave the 
Service set to application-default. In this case, create 
a security policy rule that allows access to the update 
server (and other Palo Alto Networks services).

© Palo Alto Networks, Inc. PAN‐OS 7.1 Administrator’s Guide  •  25

Copyright © 2007-2015 Palo Alto Networks

Integrate the Firewall into Your Management Network Getting Started

Set Up a Data Port for Access to External Services (Continued)

Step 7 Create a NAT policy rule. 1. If you are using a private IP address on the internal‐facing 

interface, you will need to create a source NAT rule to 
translate the address to a publicly routable address. Select 
Policies > NAT and then click Add. At a minimum you must 
define a name for the rule (General tab), specify a source and 
destination zone, Management to Internet in this case 
(Original Packet tab), and define the source address 
translation settings (Translated Packet tab) and then click OK.
2. Commit your changes.

26  •  PAN‐OS 7.1 Administrator’s Guide © Palo Alto Networks, Inc.

Copyright © 2007-2015 Palo Alto Networks

Getting Started Integrate the Firewall into Your Management Network

Set Up a Data Port for Access to External Services (Continued)

Step 8 Verify that you have connectivity from  1. Use the ping utility to verify network connectivity to the Palo 

the data port to the external services,  Alto Networks Update server as shown in the following 
including the default gateway, and the  example. Verify that DNS resolution occurs and the response 
Palo Alto Networks Update Server.  includes the IP address for the Update server; the update 
After you verify you have the required  server does not respond to a ping request.  
network connectivity, continue to  admin@PA-200 > ping host
Register the Firewall and Activate  updates.paloaltonetworks.com
Licenses and Subscriptions. PING updates.paloaltonetworks.com (10.101.16.13)
56(84) bytes of data.
From 192.168.1.1 icmp_seq=1 Destination Host
Unreachable
From 192.168.1.1 icmp_seq=2 Destination Host
Unreachable
From 192.168.1.1 icmp_seq=3 Destination Host
Unreachable
From 192.168.1.1 icmp_seq=4 Destination Host
Unreachable
After verifying DNS resolution, press Ctrl+C to stop the 
ping request.

2. Use the following CLI command to retrieve information on the 
support entitlement for the firewall from the Palo Alto 
Networks update server:
request support check
If you have connectivity, the update server will respond with 
the support status for your firewall. Because your firewall is 
not registered, the update server will return the following 
message:
Contact Us
https://www.paloaltonetworks.com/company/contact-u
s.html
Support Home
https://www.paloaltonetworks.com/support/tabs/over
view.html
Device not found on this update server

© Palo Alto Networks, Inc. PAN‐OS 7.1 Administrator’s Guide  •  27

Copyright © 2007-2015 Palo Alto Networks

Register the Firewall Getting Started

Register the Firewall

Before you can activate support and other licenses and subscriptions, you must first register the firewall.

If you are registering a VM‐Series firewall, refer to the VM‐Series Deployment Guide.

Register the Firewall 

Step 1 Log in to the web interface. Using a secure connection (https) from your web browser, log in 

using the new IP address and password you assigned during initial 
configuration (https://<IP address>). 

Step 2 Locate your serial number and copy it to  On the Dashboard, locate your Serial Number in the General 

the clipboard.  Information section of the screen. 

Step 3 Go to the Palo Alto Networks Customer  In a new browser tab or window, go to 

Support portal and log in. https://www.paloaltonetworks.com/support/tabs/overview.html.

Step 4 Register the firewall.  If you already have a support account, log in and register the 

You must have a support account  hardware‐based firewall as follows:
to register a firewall. If you do not  1. Select Assets > Devices.
yet have a support account, click 
2. Click Register New Device.
the Register link on the support 
login page and follow the  3. Select Register device using Serial Number or Authorization
instructions to get your account  Code and click Submit.
set up and register the firewall. 4. Enter the firewall Serial Number (you can copy and paste it 
from the firewall Dashboard). 
5. (Optional) Enter the Device Name and Device Tag.
6. Provide information about where you plan to deploy the 
firewall including the City, Postal Code, and Country.
7. Read the end‐user license agreement (EULA) and then click 
Agree and Submit.

28  •  PAN‐OS 7.1 Administrator’s Guide © Palo Alto Networks, Inc.

Copyright © 2007-2015 Palo Alto Networks

Getting Started Activate Licenses and Subscriptions

Activate Licenses and Subscriptions

Before you can start using your firewall to secure the traffic on your network, you must activate the licenses 
for each of the services you purchased. Available licenses and subscriptions include the following:
 Threat Prevention—Provides antivirus, anti‐spyware, and vulnerability protection.
 Decryption Mirroring—Provides the ability to create a copy of decrypted traffic from a firewall and send 
it to a traffic collection tool that is capable of receiving raw packet captures—such as NetWitness or 
Solera—for archiving and analysis. 
 URL Filtering—Allows you create security policy to enforce web access based on dynamic URL 
categories. You must purchase and install a subscription for one of the supported URL filtering databases: 
PAN‐DB or BrightCloud. With PAN‐DB, you can set up access to the PAN‐DB public cloud or to the 
PAN‐DB private cloud. For more information about URL filtering, see Control Access to Web Content.
 Virtual Systems—This license is required to enable support for multiple virtual systems on PA‐2000 and 
PA‐3000 Series firewalls. In addition, you must purchase a Virtual Systems license if you want to increase 
the number of virtual systems beyond the base number provided by default on PA‐4000 Series, PA‐5000 
Series, and PA‐7000 Series firewalls (the base number varies by platform). The PA‐500, PA‐200, and 
VM‐Series firewalls do not support virtual systems.
 WildFire—Although basic WildFire support is included as part of the Threat Prevention license, the 
WildFire subscription service provides enhanced services for organizations that require immediate 
coverage for threats, frequent WildFire signature updates, advanced file type forwarding (APK, PDF, 
Microsoft Office, and Java Applet), as well as the ability to upload files using the WildFire API. A WildFire 
subscription is also required if your firewalls will be forwarding files to a WF‐500 appliance. 
 GlobalProtect—Provides mobility solutions and/or large‐scale VPN capabilities. By default, you can 
deploy GlobalProtect portals and gateways (without HIP checks) without a license. If you want to use HIP 
checks, you will also need gateway licenses (subscription) for each gateway.
 AutoFocus—Provides a graphical analysis of firewall traffic logs and identifies potential risks to your 
network using threat intelligence from the AutoFocus portal. With an active license, you can also open 
an AutoFocus search based on logs recorded on the firewall.

Activate Licenses and Subscriptions

Step 1 Locate the activation codes for the  When you purchased your subscriptions you should have received 

licenses you purchased.  an email from Palo Alto Networks customer service listing the 
activation code associated with each subscription. If you cannot 
locate this email, contact Customer Support to obtain your 
activation codes before you proceed.

Step 2 Activate your Support license. 1. Log in to the web interface and then select Device > Support.

You will not be able to update your  2. Click Activate support using authorization code.
PAN‐OS software if you do not have a 
3. Enter your Authorization Code and then click OK.
valid Support license.

© Palo Alto Networks, Inc. PAN‐OS 7.1 Administrator’s Guide  •  29

Copyright © 2007-2015 Palo Alto Networks

Activate Licenses and Subscriptions Getting Started

Activate Licenses and Subscriptions (Continued)

Step 3 Activate each license you purchased. Select Device > Licenses and then activate your licenses and 

subscriptions in one of the following ways:
•  Retrieve license keys from license server—Use this option if 
you activated your license on the Customer Support portal.
•  Activate feature using authorization code—Use this option to 
enable purchased subscriptions using an authorization code for 
licenses that have not been previously activated on the support 
portal. When prompted, enter the Authorization Code and then 
click OK.
•  Manually upload license key—Use this option if your firewall 
does not have connectivity to the Palo Alto Networks Customer 
Support web site. In this case, you must download a license key 
file from the support site on an Internet connected computer 
and then upload to the firewall.

Step 4 Verify that the license was successfully  On the Device > Licenses page, verify that the license was 

activated successfully activated. For example, after activating the WildFire 
license, you should see that the license is valid:

Step 5 (WildFire subscriptions only) Perform a  After activating a WildFire subscription, a commit is required for 

commit to complete WildFire  the firewall to begin forwarding advanced file types. You should 
subscription activation. either:
•  Commit any pending changes.
•  Check that the WildFire Analysis profile rules include the 
advanced file types that are now supported with the WildFire 
subscription. If no change to any of the rules is required, make a 
minor edit to a rule description and perform a commit.

30  •  PAN‐OS 7.1 Administrator’s Guide © Palo Alto Networks, Inc.

Copyright © 2007-2015 Palo Alto Networks

Getting Started Install Content and Software Updates

Install Content and Software Updates

In order to stay ahead of the changing threat and application landscape, Palo Alto Networks maintains a 
Content Delivery Network (CDN) infrastructure for delivering content updates to Palo Alto Networks 
firewalls. The firewalls access the web resources in the CDN to perform various App‐ID and Content‐ID 
functions. By default, the firewalls use the management port to access the CDN infrastructure for application 
updates, threat and antivirus signature updates, BrightCloud and PAN‐DB database updates and lookups, 
and access to the Palo Alto Networks WildFire cloud. To ensure that you are always protected from the 
latest threats (including those that have not yet been discovered), you must ensure that you keep your 
firewalls up‐to‐date with the latest content and software updates published by Palo Alto Networks. 
The following content updates are available, depending on which subscriptions you have:

Although you can manually download and install content updates at any time, as a best practice 
you should Schedule each content update. Scheduled updates occur automatically.

 Antivirus—Includes new and updated antivirus signatures, including signatures discovered by the 
WildFire cloud service. You must have a Threat Prevention subscription to get these updates. New 
antivirus signatures are published daily.
 Applications—Includes new and updated application signatures. This update does not require any 
additional subscriptions, but it does require a valid maintenance/support contract. New application 
updates are published weekly. To review the policy impact of new application updates, see Manage New 
App‐IDs Introduced in Content Releases.
 Applications and Threats—Includes new and updated application and threat signatures. This update is 
available if you have a Threat Prevention subscription (and you get it instead of the Applications update). 
New Applications and Threats updates are published weekly. To review the policy impact of new 
application updates, see Manage New App‐IDs Introduced in Content Releases.
 GlobalProtect Data File—Contains the vendor‐specific information for defining and evaluating host 
information profile (HIP) data returned by GlobalProtect agents. You must have a GlobalProtect gateway 
license and create an update schedule in order to receive these updates. 
 BrightCloud URL Filtering—Provides updates to the BrightCloud URL Filtering database only. You must 
have a BrightCloud subscription to get these updates. New BrightCloud URL database updates are 
published daily. If you have a PAN‐DB license, scheduled updates are not required as firewalls remain 
in‐sync with the servers automatically.
 WildFire—Provides near real‐time malware and antivirus signatures created as a result of the analysis 
done by the WildFire cloud service. Without the subscription, you must wait 24 to 48 hours for the 
signatures to roll into the Applications and Threats update.

© Palo Alto Networks, Inc. PAN‐OS 7.1 Administrator’s Guide  •  31

Copyright © 2007-2015 Palo Alto Networks

Install Content and Software Updates Getting Started

Install Content and Software Updates

Step 1 Ensure that the firewall has access to the  1. By default, the firewall accesses the Update Server at 

update server. updates.paloaltonetworks.com so that the firewall 
receives content updates from the server to which it is closest 
in the CDN infrastructure. If the firewall has restricted access 
to the Internet, set the update server address to use the 
hostname staticupdates.paloaltonetworks.com or 
the IP address 199.167.52.15 instead of dynamically 
selecting a server from the CDN infrastructure. 
2. (Optional) Click Verify Update Server Identity for an extra 
level of validation to enable the firewall to check that the 
server’s SSL certificate is signed by a trusted authority.
3. (Optional) If the firewall needs to use a proxy server to reach 
Palo Alto Networks update services, in the Proxy Server 
window, enter:
•  Server—IP address or host name of the proxy server.
•  Port—Port for the proxy server. Range: 1‐65535.
•  User—Username to access the server.
•  Password—Password for the user to access the proxy 
server. Re‐enter the password at Confirm Password.

32  •  PAN‐OS 7.1 Administrator’s Guide © Palo Alto Networks, Inc.

Copyright © 2007-2015 Palo Alto Networks

Getting Started Install Content and Software Updates

Install Content and Software Updates (Continued)

Step 2 Check for the latest content updates. Select Device > Dynamic Updates and click Check Now (located in 

the lower left‐hand corner of the window) to check for the latest 
updates. The link in the Action column indicates whether an update 
is available:
•  Download—Indicates that a new update file is available. Click 
the link to begin downloading the file directly to the firewall. 
After successful download, the link in the Action column 
changes from Download to Install.

You cannot download the antivirus update until you 
have installed the Application and Threats update.

•  Upgrade—Indicates that a new version of the BrightCloud 
database is available. Click the link to begin the download and 
installation of the database. The database upgrade begins in the 
background; when completed a check mark displays in the 
Currently Installed column. Note that if you are using PAN‐DB 
as your URL filtering database you will not see an upgrade link 
because the PAN‐DB database on the firewall automatically 
synchronizes with the PAN‐DB cloud.

To check the status of an action, click Tasks (on the 
lower right‐hand corner of the window).

•  Revert—Indicates that a previously installed version of the 
content or software version is available. You can choose to 
revert to the previously installed version.

Step 3 Install the content updates.  Click the Install link in the Action column. When the installation 

Installation can take up to 20  completes, a check mark displays in the Currently Installed 
minutes on a PA‐200, PA‐500, or  column.
PA‐2000 Series firewall and up to 
two minutes on a PA‐3000 
Series, PA‐4000 Series, PA‐5000 
Series, PA‐7000 Series, or 
VM‐Series firewall.

© Palo Alto Networks, Inc. PAN‐OS 7.1 Administrator’s Guide  •  33

Copyright © 2007-2015 Palo Alto Networks

Install Content and Software Updates Getting Started

Install Content and Software Updates (Continued)

Step 4 Schedule each content update.  1. Set the schedule of each update type by clicking the None link. 

Repeat this step for each update you 
want to schedule.
Stagger the update schedules 
because the firewall can only  2. Specify how often you want the updates to occur by selecting 
download one update at a time. If  a value from the Recurrence drop‐down. The available values 
you schedule the updates to  vary by content type (WildFire updates are available Every
download during the same time  Minute, Every 15 Minutes, Every 30 minutes, or Every Hour 
interval, only the first download  whereas Applications and Threats updates can be scheduled 
will succeed. for Daily or Weekly update and Antivirus updates can be 
scheduled for Hourly, Daily, or Weekly).
As new WildFire signatures are made available every 
five minutes, set the firewall to retrieve WildFire 
updates Every Minute to get the latest signatures 
within a minute of availability.
3. Specify the Time and (or, minutes past the hour in the case of 
WildFire), if applicable depending on the Recurrence value 
you selected, Day of the week that you want the updates to 
occur.
4. Specify whether you want the system to Download Only or, as 
a best practice, Download And Install the update.
5. Enter how long after a release to wait before performing a 
content update in the Threshold (Hours) field. In rare 
instances, errors in content updates may be found. For this 
reason, you may want to delay installing new updates until 
they have been released for a certain number of hours. 
6. Click OK to save the schedule settings.
7. Click Commit to save the settings to the running 
configuration.

Step 5 Update PAN‐OS. 1. Review the Release Notes.

Always update content before  2. Update the PAN‐OS software.
updating PAN‐OS. Every 
PAN‐OS version has a minimum 
supported content release 
version.

34  •  PAN‐OS 7.1 Administrator’s Guide © Palo Alto Networks, Inc.

Copyright © 2007-2015 Palo Alto Networks

Getting Started Segment Your Network Using Interfaces and Zones

Segment Your Network Using Interfaces and Zones

Traffic must pass through the firewall in order for the firewall to manage and control it. Physically, traffic 
enters and exits the firewall through interfaces. The firewall determines how to act on a packet based on 
whether the packet matches a Security policy rule. At the most basic level, each Security policy rule must 
identify where the traffic came from and where it is going. On a Palo Alto Networks next‐generation firewall, 
Security policy rules are applied between zones. A zone is a grouping of interfaces (physical or virtual) that 
represents a segment of your network that is connected to, and controlled by, the firewall. Because traffic 
can only flow between zones if there is a Security policy rule to allow it, this is your first line of defense. The 
more granular the zones you create, the greater control you have over access to sensitive applications and 
data and the more protection you have against malware moving laterally throughout your network. For 
example, you might want to segment access to the database servers that store your customer data into a 
zone called Customer Data. You can then define security policies that only permit certain users or groups of 
users to access the Customer Data zone, thereby preventing unauthorized internal or external access to the 
data stored in that segment. 
 Network Segmentation for a Reduced Attack Surface
 Configure Interfaces and Zones

Network Segmentation for a Reduced Attack Surface

The following diagram shows a very basic example of how you can create zones to segment your network. 
The more granular you make your zones (and the corresponding security policy rules that allows traffic 
between zones), the more you reduce the attack surface on your network. This is because traffic can flow 
freely within a zone (intra‐zone traffic), but traffic cannot flow between zones (inter‐zone traffic) until you 
define a Security policy rule that allows it. Additionally, an interface cannot process traffic until you have 
assigned it to a zone. Therefore, by segmenting your network into granular zones you have more control over 
access to sensitive applications or data and you can prevent malicious traffic from establishing a 
communication channel within your network, thereby reducing the likelihood of a successful attack on your 
network.

© Palo Alto Networks, Inc. PAN‐OS 7.1 Administrator’s Guide  •  35

Copyright © 2007-2015 Palo Alto Networks

Segment Your Network Using Interfaces and Zones Getting Started

Configure Interfaces and Zones

After you identify how you want to segment your network and the zones you will need to create to achieve 
the segmentation (as well as the interfaces to map to each zone), you can begin configuring the interfaces 
and zones on the firewall. Each interface on the firewall supports all Interface Deployments and the 
deployment you will use depends on the topology of each part of the network you are connecting to. The 
following workflow shows how to configure Layer 3 interfaces and assign them to zones. For details on 
integrating the firewall using a different type of interface deployments (for example Virtual Wire 
Deployments or Layer 2 Deployments), see Networking.

The firewall comes preconfigured with a default virtual wire interface between ports Ethernet 
1/1 and Ethernet 1/2 (and a corresponding default security policy and virtual router). If you do 
not plan to use the default virtual wire, you must manually delete the configuration and commit 
the change before proceeding to prevent it from interfering with other settings you define. For 
instructions on how to delete the default virtual wire and its associated security policy and zones, 
see Step 3 in Set Up a Data Port for Access to External Services.

Set Up Interfaces and Zones

Step 1 Configure a default route to your  1. Select Network > Virtual Router and then select the default 

Internet router. link to open the Virtual Router dialog.
2. Select the Static Routes tab and click Add. Enter a Name for 
the route and enter the route in the Destination field (for 
example, 0.0.0.0/0).
3. Select the IP Address radio button in the Next Hop field and 
then enter the IP address and netmask for your Internet 
gateway (for example, 203.0.113.1).
4. Click OK twice to save the virtual router configuration.

Step 2 Configure the external interface (the  1. Select Network > Interfaces and then select the interface you 

interface that connects to the Internet).  want to configure. In this example, we are configuring 
Ethernet1/16 as the external interface.
2. Select the Interface Type. Although your choice here depends 
on interface topology, this example shows the steps for 
Layer3.
3. On the Config tab, select New Zone from the Security Zone 
drop‐down. In the Zone dialog, define a Name for new zone, 
for example Internet, and then click OK.
4. In the Virtual Router drop‐down, select default.
5. To assign an IP address to the interface, select the IPv4 tab, 
click Add in the IP section, and enter the IP address and 
network mask to assign to the interface, for example 
203.0.113.23/24.
6. To enable you to ping the interface, select Advanced > Other
Info, expand the Management Profile drop‐down, and select 
New Management Profile. Enter a Name for the profile, select 
Ping and then click OK.
7. To save the interface configuration, click OK.

36  •  PAN‐OS 7.1 Administrator’s Guide © Palo Alto Networks, Inc.

Copyright © 2007-2015 Palo Alto Networks

Getting Started Segment Your Network Using Interfaces and Zones

Set Up Interfaces and Zones (Continued)

Step 3 Configure the interface that connects to  1. Select Network > Interfaces and select the interface you want 

your internal network.  to configure. In this example, we are configuring Ethernet1/15 
In this example, the interface  as the internal interface our users connect to.
connects to a network segment  2. Select Layer3 as the Interface Type.
that uses private IP addresses. 
3. On the Config tab, expand the Security Zone drop‐down and 
Because private IP addresses 
select New Zone. In the Zone dialog, define a Name for new 
cannot be routed externally, you 
zone, for example Users, and then click OK. 
will have to configure NAT. 
4. Select the same Virtual Router you used previously, default in 
this example.
5. To assign an IP address to the interface, select the IPv4 tab, 
click Add in the IP section, and enter the IP address and 
network mask to assign to the interface, for example 
192.168.1.4/24.
6. To enable you to ping the interface, select the management 
profile that you just created.
7. To save the interface configuration, click OK.

Step 4 Configure the interface that connects to  1. Select the interface you want to configure.

your data center applications. 2. Select Layer3 from the Interface Type drop‐down. In this 
Although this basic security  example, we are configuring Ethernet1/1 as the interface that 
policy example configuration  provides access to your data center applications.
depicts using a single zone for all 
3. On the Config tab, expand the Security Zone drop‐down and 
of your data center applications, 
select New Zone. In the Zone dialog, define a Name for new 
as a best practice you would 
zone, for example Data Center Applications, and then click OK.
want to define more granular 
zones to prevent unauthorized  4. Select the same Virtual Router you used previously, default in 
access to sensitive applications  this example.
or data and eliminate the  5. To assign an IP address to the interface, select the IPv4 tab, 
possibility of malware moving  click Add in the IP section, and enter the IP address and 
laterally within your data center. network mask to assign to the interface, for example 
10.1.1.1/24.
6. To enable you to ping the interface, select the management 
profile that you created.
7. To save the interface configuration, click OK.

Step 5 (Optional) Create tags for each zone. Tags allow you to visually scan policy rules. 

1. Select Objects > Tags and Add.
2. Select a zone Name.
3. Select a tag Color and click OK.

Step 6 Save the interface configuration. Click Commit.

© Palo Alto Networks, Inc. PAN‐OS 7.1 Administrator’s Guide  •  37

Copyright © 2007-2015 Palo Alto Networks

Segment Your Network Using Interfaces and Zones Getting Started

Set Up Interfaces and Zones (Continued)

Step 7 Cable the firewall. Attach straight through cables from the interfaces you configured 

to the corresponding switch or router on each network segment.

Step 8 Verify that the interfaces are active. Select Dashboard and verify that the interfaces you configured 

show as green in the Interfaces widget.

38  •  PAN‐OS 7.1 Administrator’s Guide © Palo Alto Networks, Inc.

Copyright © 2007-2015 Palo Alto Networks

Getting Started Set Up a Basic Security Policy

Set Up a Basic Security Policy

Now that you have defined some zones and attached them to interfaces, you are ready to begin creating 
your Security Policy. The firewall will not allow any traffic to flow from one zone to another unless there is 
a Security policy rule to allow it. When a packet enters a firewall interface, the firewall matches the attributes 
in the packet against the Security policy rules to determine whether to block or allow the session based on 
attributes such as the source and destination security zone, the source and destination IP address, the 
application, user, and the service. The firewall evaluates incoming traffic against the security policy rulebase 
from left to right and from top to bottom and then takes the action specified in the first security rule that 
matches (for example, whether to allow, deny, or drop the packet). This means that you must order the rules 
in your security policy rulebase so that more specific rules are at the top of the rulebase and more general 
rules are at the bottom to ensure that the firewall is enforcing policy as expected. 
The following workflow shows how to set up a very basic Internet gateway security policy that enables 
access to the network infrastructure, to data center applications, and to the Internet. This will enable you to 
get the firewall up and running so that you can verify that you have successfully configured the firewall. This 
policy is not comprehensive enough to protect your network. After you verify that you have successfully 
configured the firewall and integrated it into your network, proceed to Policy to learn how to create a Best 
Practice Internet Gateway Security Policy that will safely enable application access while protecting your 
network from attack.

Define Basic Security Policy Rules 

Step 1 (Optional) Delete the default security  By default, the firewall includes a security rule named rule1 that 

policy rule. allows all traffic from Trust zone to Untrust zone. You can either 
delete the rule or modify the rule to reflect your zone naming 
conventions.

Step 2 Create the File Blocking profiles you will  1. Configure a File Blocking profile for general use. You will 

need to prevent upload/download of  attach this profile to most of your security profiles to block 
malicious files and for drive‐by download  files known to carry threats or that have no real business use 
protection. for upload/download.
2. Configure a File Blocking profile for risky traffic. You will 
attach this profile to security policy rules that allow general 
web access to prevent users from unknowingly downloading 
malicious files from the Internet.

© Palo Alto Networks, Inc. PAN‐OS 7.1 Administrator’s Guide  •  39

Copyright © 2007-2015 Palo Alto Networks

Set Up a Basic Security Policy Getting Started

Define Basic Security Policy Rules  (Continued)

Step 3 Allow access to your network  1. Select Policies > Security and click Add.

infrastructure resources. 2. Enter a descriptive Name for the rule in the General tab.
3. In the Source tab, set the Source Zone to Users.
4. In the Destination tab, set the Destination Zone to IT 
Infrastructure.
As a best practice, consider using address objects in 
the Destination Address field to enable access to 
specific servers or groups of servers only, particularly 
for services such as DNS and SMTP that are commonly 
exploited. By restricting users to specific destination 
server addresses you can prevent data exfiltration and 
command and control traffic from establishing 
communication through techniques such as DNS 
tunneling.
5. In the Applications tab, Add the applications that correspond 
to the network services you want to safely enable. For 
example, select dns, ntp, ocsp, ping, smtp.
6. In the Service/URL Category tab, keep the Service set to 
application-default.
7. In the Actions tab, set the Action Setting to Allow.
8. Select Profiles as the Profile Type. Select the default profiles 
for Antivirus and URL Filtering and the strict profiles for 
Vulnerability Protection and Anti-Spyware and select the 
File Blocking profile you configured for general traffic.
9. Verify that Log at Session End is enabled. Only traffic that 
matches a security rule will be logged.
10. Click OK.

40  •  PAN‐OS 7.1 Administrator’s Guide © Palo Alto Networks, Inc.

Copyright © 2007-2015 Palo Alto Networks

Getting Started Set Up a Basic Security Policy

Define Basic Security Policy Rules  (Continued)

Step 4 Enable access to general Internet  1. Select Policies > Security and click Add.

applications. 2. Enter a descriptive Name for the rule in the General tab.
This is a temporary rule that 
3. In the Source tab, set the Source Zone to Users.
allows you to gather information 
about the traffic on your  4. In the Destination tab, set the Destination Zone to Internet.
network. After you have more  5. In the Applications tab, Add an Application Filter and enter a 
insight into what applications  Name. To safely enable access to legitimate web‐based 
your users need access to, you  applications, set the Category in the application filter to 
can make informed decisions  general-internet and then click OK. To enable access to 
about what applications to allow  encrypted sites, Add the ssl application.
and create more granular 
application‐based rules for each  6. In the Service/URL Category tab, keep the Service set to 
user group.  application-default.
7. In the Actions tab, set the Action Setting to Allow.
8. Select Profiles as the Profile Type. Select the default profiles 
for Antivirus and URL Filtering and the strict profiles for 
Vulnerability Protection and Anti-Spyware and select the 
File Blocking strict profile you configured for risky traffic.
9. Verify that Log at Session End is enabled. Only traffic that 
matches a security rule will be logged.
10. Click OK.

Step 5 Enable access to data center  1. Select Policies > Security and click Add.

applications. 2. Enter a descriptive Name for the rule in the General tab.
3. In the Source tab, set the Source Zone to Users.
4. In the Destination tab, set the Destination Zone to Data 
Center Applications.
5. In the Applications tab, Add the applications that correspond 
to the network services you want to safely enable. For 
example, select activesync, imap, kerberos, ldap, 
ms-exchange, and ms-lync.
6. In the Service/URL Category tab, keep the Service set to 
application-default.
7. In the Actions tab, set the Action Setting to Allow.
8. Select Profiles as the Profile Type. Select the default profiles 
for Antivirus and URL Filtering and the strict profiles for 
Vulnerability Protection and Anti-Spyware and select the 
File Blocking profile you configured for general traffic.
9. Verify that Log at Session End is enabled. Only traffic that 
matches a security rule will be logged.
10. Click OK.

© Palo Alto Networks, Inc. PAN‐OS 7.1 Administrator’s Guide  •  41

Copyright © 2007-2015 Palo Alto Networks

Set Up a Basic Security Policy Getting Started

Define Basic Security Policy Rules  (Continued)

Step 6 Save your policies to the running  Click Commit.

configuration on the firewall.

Step 7 To verify that you have set up your basic  To verify the policy rule that matches a flow, use the following CLI 

policies effectively, test whether your  command:
security policy rules are being evaluated  test security-policy-match source <IP_address>
and determine which security policy rule  destination <IP_address> destination port <port_number>
applies to a traffic flow. application <application_name> protocol
<protocol_number>
The output displays the best rule that matches the source and 
destination IP address specified in the CLI command.
For example, to verify the policy rule that will be applied for a client 
in the user zone with the IP address 10.35.14.150 when it sends a 
DNS query to the DNS server in the data center:
test security-policy-match source 10.35.14.150
destination 10.43.2.2 application dns protocol 53

"Network Infrastructure" {
from Users;
source any;
source-region none;
to Data_Center;
destination any;
destination-region none;
user any;
category any;
application/service dns/any/any/any;
action allow;
icmp-unreachable: no
terminal yes;
}

42  •  PAN‐OS 7.1 Administrator’s Guide © Palo Alto Networks, Inc.

Copyright © 2007-2015 Palo Alto Networks

Getting Started Assess Network Traffic

Assess Network Traffic

Now that you have a basic security policy, you can review the statistics and data in the Application Command 
Center (ACC), traffic logs, and the threat logs to observe trends on your network. Use this information to 
identify where you need to create more granular security policy rules.

Monitor Network Traffic

•  Use the Application Command Center and Use  In the ACC, review the most used applications and the high‐risk 
the Automated Correlation Engine. applications on your network. The ACC graphically summarizes the 
log information to highlight the applications traversing the 
network, who is using them (with User‐ID enabled), and the 
potential security impact of the content to help you identify what 
is happening on the network in real time. You can then use this 
information to create appropriate security policy rules that block 
unwanted applications, while allowing and enabling applications in 
a secure manner.
The Compromised Hosts widget in ACC > Threat Activity displays 
potentially compromised hosts on your network and the logs and 
match evidence that corroborates the events.

•  Determine what updates/modifications are  For example:
required for your network security policy rules  •  Evaluate whether to allow web content based on schedule, 
and implement the changes.  users, or groups.
•  Allow or control certain applications or functions within an 
application.
•  Decrypt and inspect content.
•  Allow but scan for threats and exploits.
For information on refining your security policies and for attaching 
custom security profiles, see Enable Basic Threat Prevention 
Features.

•  Work with Logs. Specifically, view the traffic and threat logs (Monitor > Logs).

Traffic logs are dependent on how your security policies 
are defined and set up to log traffic. The Application Usage 
widget in the ACC, however, records applications and 
statistics regardless of policy configuration; it shows all 
traffic that is allowed on your network, therefore it 
includes the inter‐zone traffic that is allowed by policy and 
the same zone traffic that is allowed implicitly.

© Palo Alto Networks, Inc. PAN‐OS 7.1 Administrator’s Guide  •  43

Copyright © 2007-2015 Palo Alto Networks

Assess Network Traffic Getting Started

Monitor Network Traffic

•  View AutoFocus Threat Data for Logs. Review the AutoFocus intelligence summary for artifacts in your 
logs. An artifact is an item, property, activity, or behavior 
associated with logged events on the firewall. The intelligence 
summary reveals the number of sessions and samples in which 
WildFire detected the artifact. Use WildFire verdict information 
(benign, grayware, malware) and AutoFocus matching tags to look 
for potential risks in your network.
AutoFocus tags created by Unit 42, the Palo Alto Networks 
threat intelligence team, call attention to advanced, 
targeted campaigns and threats in your network.
From the AutoFocus intelligence summary, you can start an 
AutoFocus search for artifacts and assess their 
pervasiveness within global, industry, and network 
contexts.

•  Monitor Web Activity of Network Users. Review the URL filtering logs to scan through alerts, denied 
categories/URLs. URL logs are generated when a traffic matches a 
security rule that has a URL filtering profile attached with an action 
of alert, continue, override or block.

44  •  PAN‐OS 7.1 Administrator’s Guide © Palo Alto Networks, Inc.

Copyright © 2007-2015 Palo Alto Networks

Getting Started Enable Basic Threat Prevention Features

Enable Basic Threat Prevention Features

The Palo Alto Networks next‐generation firewall has unique threat prevention capabilities that allow it to 
protect your network from attack despite the use of evasion, tunneling, or circumvention techniques. The 
threat prevention features on the firewall include the WildFire service, Security Profiles that support 
Antivirus, Anti‐Spyware, Vulnerability Protection, URL Filtering, File Blocking and Data Filtering capabilities, 
the Denial of Service (DoS) and Zone protection functionality, and AutoFocus threat intelligence.
Threat Prevention contains more in‐depth information on how to protect your network from threats. For 
details on how to scan encrypted (SSH or SSL) traffic for threats, see Decryption. Visit Applipedia and Threat 
Vault to learn more about the applications and threats that Palo Alto Networks products can identify, 
respectively.
 

Before you can apply threat prevention features, you must first configure zones—to identify one 
or more source or destination interfaces—and security policy rules. To configure interfaces, zones, 
and the policies that are needed to apply threat prevention features, see Configure Interfaces and 
Zones and Set Up a Basic Security Policy.

To begin protecting your network from threats, start here:
 Enable Basic WildFire Forwarding
 Scan Traffic for Threats
 Control Access to Web Content
 Enable AutoFocus Threat Intelligence

Enable Basic WildFire Forwarding

WildFire is a cloud‐based virtual environment that analyzes and executes unknown samples (files and email 
links) and determines the samples to be malicious, grayware, or benign. With WildFire enabled, a Palo Alto 
Networks firewall can forward unknown samples to WildFire for analysis. For newly‐discovered malware, 
WildFire generates a signature to detect the malware and distributes it to all firewalls with active WildFire 
licenses. This enables global firewalls to detect and prevent malware found by a single firewall.
A basic WildFire service is included as part of the Palo Alto Networks next generation firewall and does not 
require a WildFire subscription. With the basic WildFire service, you can enable the firewall to forward 
portable executable (PE) files. Additionally, if do not have a WildFire subscription, but you do have a Threat 
Prevention subscription, you can receive signatures for malware WildFire identifies every 24‐ 48 hours (as 
part of the antivirus updates).
Beyond the basic WildFire service, a WildFire subscription is required for the firewall to:
 Get the latest WildFire signatures every five minutes.
 Forward advanced file types and email links for analysis.
 Use the WildFire API.
 Use a WF‐500 appliance to host a WildFire private cloud or a WildFire hybrid cloud.
If you have a WildFire subscription, go ahead and get started with WildFire to get the most out of your 
subscription. Otherwise, take the following steps to enable basic WildFire forwarding:

© Palo Alto Networks, Inc. PAN‐OS 7.1 Administrator’s Guide  •  45

Copyright © 2007-2015 Palo Alto Networks

Enable Basic Threat Prevention Features Getting Started

Enable Basic WildFire Forwarding

Step 1 Confirm that your firewall is registered  1. Go to the Palo Alto Networks Customer Support web site, log 

and that you have a valid support  in, and select My Devices.
account as well as any subscriptions you  2. Verify that the firewall is listed. If it is not listed, see Register 
require. the Firewall.
3. (Optional) If you have a Threat Prevention subscription, be 
sure to Activate Licenses and Subscriptions.

Step 2 Configure WildFire forwarding settings. 1. Select Device > Setup > WildFire and edit the General 

Settings.
2. Set the WildFire Public Cloud field to: 
wildfire.paloaltonetworks.com. 
3. Review the File Size Limits for PEs the firewall forwards for 
WildFire analysis. set the Size Limit for PEs that the firewall 
can forward to the maximum available limit of 10 MB.
As a WildFire best practice, set the Size Limit for PEs 
to the maximum available limit of 10 MB.

4. Click OK to save your changes.

Step 3 Enable the firewall to forward PEs for  1. Select Objects > Security Profiles > WildFire Analysis and 

analysis. Add a new profile rule.
2. Name the new profile rule.
3. Click Add to create a forwarding rule and enter a name. 
4. In the File Types column, add pe files to the forwarding rule. 
5. In the Analysis column, select public-cloud to forward PEs to 
the WildFire public cloud.
6. Click OK.

Step 4 Apply the new WildFire Analysis profile  1. Select Policies > Security and either select an existing policy 

to traffic that the firewall allows. or create a new policy as described in Set Up a Basic Security 
Policy.
2. Select Actions and in the Profile Settings section, set the 
Profile Type to Profiles.
3. Select the WildFire Analysis profile you just created to apply 
that profile rule to all traffic this policy allows. 
4. Click OK.

Step 5 Enable the firewall to forward decrypted SSL traffic for WildFire analysis.

Step 6 Review and implement WildFire best practices to ensure that you are getting the most of WildFire detection 
and prevention capabilities.

Step 7 Click Commit to save your configuration updates.

Step 8 Verify that the firewall is forwarding PE  Select Monitor > Logs > WildFire Submissions to view log entries 

files to the WildFire public cloud. for PEs the firewall successfully submitted for WildFire analysis. 
The Verdict column displays whether WildFire found the PE to be 
malicious, grayware, or benign.

46  •  PAN‐OS 7.1 Administrator’s Guide © Palo Alto Networks, Inc.

Copyright © 2007-2015 Palo Alto Networks

Getting Started Enable Basic Threat Prevention Features

Enable Basic WildFire Forwarding

Step 9 (Threat Prevention subscription only) If  1. Select Device > Dynamic Updates.

you have a Threat Prevention  2. Check that the firewall is set to retrieve, download, and install 
subscription, but do not have a WildFire  Antivirus updates.
subscription, you can still receive 
WildFire signature updates every 24‐ 48 
hours.

Scan Traffic for Threats

Security Profiles provide threat protection in security policies. For example, you can apply an antivirus profile 
to a security policy and all traffic that matches the security policy will be scanned for viruses. 
The following sections provide steps for setting up a basic threat prevention configuration: 
 Set Up Antivirus, Anti‐Spyware, and Vulnerability Protection
 Set Up File Blocking

Set Up Antivirus, Anti‐Spyware, and Vulnerability Protection

Every Palo Alto Networks next‐generation firewall comes with redefined Antivirus, Anti‐Spyware, and 
Vulnerability Protection profiles that you can attach to security policies. There is one predefined Antivirus 
profile, default, which uses the default action for each protocol (block HTTP, FTP, and SMB traffic and alert 
on SMTP, IMAP, and POP3 traffic). There are two predefined Anti‐Spyware and Vulnerability Protection 
profiles:
 default—Applies the default action to all client and server critical, high, and medium severity 
spyware/vulnerability protection events. It does not detect low and informational events.
 strict—Applies the block response to all client and server critical, high and medium severity 
spyware/vulnerability protection events and uses the default action for low and informational events.
To ensure that the traffic entering your network is free from threats, attach the predefined profiles to your 
basic web access policies. As you monitor the traffic on your network and expand your policy rulebase, you 
can then design more granular profiles to address your specific security needs.

Set up Antivirus/Anti‐Spyware/Vulnerability Protection

Step 1 Verify that you have a Threat Prevention  •  The Threat Prevention license bundles the Antivirus, 

license. Anti‐Spyware, and the Vulnerability Protection features in one 
license.
•  Select Device > Licenses to verify that the Threat Prevention 
license is installed and valid (check the expiration date).

Step 2 Download the latest antivirus threat  1. Select Device > Dynamic Updates and click Check Now at the 

signatures. bottom of the page to retrieve the latest signatures.
2. In the Actions column, click Download to install the latest 
Antivirus, and Applications and Threats signatures.

© Palo Alto Networks, Inc. PAN‐OS 7.1 Administrator’s Guide  •  47

Copyright © 2007-2015 Palo Alto Networks

Enable Basic Threat Prevention Features Getting Started

Set up Antivirus/Anti‐Spyware/Vulnerability Protection (Continued)

Step 3 Schedule signature updates. 1. From Device > Dynamic Updates, click the text to the right of 

Perform a download-and-install  Schedule to automatically retrieve signature updates for 
on a daily basis for antivirus  Antivirus and Applications and Threats. 
updates and weekly for  2. Specify the frequency and timing for the updates and whether 
applications and threats updates. the update will be downloaded and installed or only 
downloaded. If you select Download Only, you would need to 
manually go in and click the Install link in the Action column 
to install the signature. When you click OK, the update is 
scheduled. No commit is required. 
3. (Optional) You can also enter the number of hours in the 
Threshold field to indicate the minimum age of a signature 
before a download will occur. For example, if you entered 10, 
the signature must be at least 10 hours old before it will be 
downloaded, regardless of the schedule.
4. In an HA configuration, you can also click the Sync To Peer 
option to synchronize the content update with the HA peer 
after download/install. This will not push the schedule settings 
to the peer firewall; you need to configure the schedule on 
each firewall.

Recommendations for HA Configurations:
•  Active/Passive HA—If the firewalls use the MGT port for content updates, configure a schedule on each firewall so 
that each firewall downloads and installs content independently. If the firewalls are using a data port for content 
updates, the passive firewall will not perform downloads while it is in the passive state. In this case set a schedule 
on each peer and enable Sync To Peer to ensure that content updates on the active peer sync to the passive peer.
•  Active/Active HA—If the firewalls use the MGT port for content updates, configure a schedule on each firewall, but 
do not enable Sync To Peer. If the firewalls are using a data port for content updates, schedule content updates on 
each firewall and select Sync To Peer to enable the active‐primary firewall to download and install the content 
updates and then push the content update to the active‐secondary peer.

48  •  PAN‐OS 7.1 Administrator’s Guide © Palo Alto Networks, Inc.

Copyright © 2007-2015 Palo Alto Networks

Getting Started Enable Basic Threat Prevention Features

Set up Antivirus/Anti‐Spyware/Vulnerability Protection (Continued)

Step 4 Attach the security profiles to a security  1. Select Policies > Security, select the desired policy to modify 

policy. it and then click the Actions tab.
Attach a clone of a predefined  2. In Profile Settings, click the drop‐down next to each security 
security profile to your basic  profile you would like to enable. In this example we choose 
Security policy rules. That way, if  default for Antivirus and WildFire Analysis, and strict for 
you want to customize the profile you  Vulnerability Protection and Anti-Spyware.
can do so without deleting the read‐only  If you don’t see drop‐downs for selecting profiles, 
predefined strict or default profile and  select Profiles from the Profile Type drop‐down.
attaching a customized profile.

Step 5 Save the configuration. Click Commit.

Set Up File Blocking

File Blocking Profiles allow you to identify specific file types that you want to want to block or monitor. For 
most traffic (including traffic on your internal network) you will want to block files that are known to carry 
threats or that have no real use case for upload/download. Currently, these include batch files, DLLs, Java 
class files, help files, Windows shortcuts (.lnk), and BitTorrent files. Additionally, to provide drive‐by 
download protection, allow download/upload of executables and archive files (.zip and .rar), but force users 
to acknowledge that they are transferring a file so that they will notice that the browser is attempting to 
download something they were not aware of. For policy rules that allow general web browsing, be more 
strict with your file blocking because the risk of users unknowingly downloading malicious files is much 
higher. For this type of traffic you will want to attach a more strict file blocking profile that also blocks 
portable executable (PE) files.

© Palo Alto Networks, Inc. PAN‐OS 7.1 Administrator’s Guide  •  49

Copyright © 2007-2015 Palo Alto Networks

Enable Basic Threat Prevention Features Getting Started

Configure File Blocking

Step 6 Configure a File Blocking profile for  1. Select Objects > Security Profiles > File Blocking and click 

general use. Add. 
2. Enter a Name for the file blocking profile, for example 
general‐file‐blocking. 
3. Optionally enter a Description, such as block‐risky‐apps. Click 
Add to define the profile settings.
4. Enter a Name, such as block‐risky.
5. Set File Types to block. For example, Add the following: bat,
dll, jar, hlp, lnk, and torrent. 
6. Leave the Direction set to both. 
7. Set the Action to block.
8. Add a second rule and enter a Name, for example continue exe 
and archive.
9. Set File Types to continue. For example, Add the following: 
PE, zip and rar. 
10. Leave the Direction set to both. 
11. Set the Action to block.
12. Click OK to save the profile.

Step 7 Configure a File Blocking profile for risky  1. On the Objects > Security Profiles > File Blocking page, 

traffic. select the file blocking profile you just created for general 
When users are web browsing it  traffic and click Clone. Select the profile to clone and click OK.
is much more likely that they will  2. Select the cloned profile and give it a new Name, such as 
download a malicious file  strict‐block‐risky‐apps.
unintentionally. Therefore, it is 
3. Click in the File Types section of the block rule and Add the PE 
important to attach a stricter file 
file type.
blocking policy than you would 
attach to Security policy rules  4. Click in the File Types section of the continue rule, select PE 
that allow access to less  and click Delete.
risk‐prone application traffic. 5. Click OK to save the profile.

Step 8 Attach the file blocking profile to the  1. Select Policies > Security and either select an existing policy 

security policies that allow access to  or create a new policy as described in Set Up a Basic Security 
content. Policy.
2. Click the Actions tab within the security policy.
3. In the Profile Settings section, click the drop‐down and select 
the file blocking profile you created. 
If you don’t see drop‐downs for selecting profiles, 
select Profiles from the Profile Type drop‐down.

50  •  PAN‐OS 7.1 Administrator’s Guide © Palo Alto Networks, Inc.

Copyright © 2007-2015 Palo Alto Networks

Getting Started Enable Basic Threat Prevention Features

Configure File Blocking (Continued)

Step 9 Enable response pages in the  1. Select Network > Network Profiles > Interface Mgmt and 

management profile for each interface  then select an interface profile to edit or click Add to create a 
on which you are attaching file blocking  new profile.
profile with a continue action.  2. Select Response Pages, as well as any other management 
services required on the interface.
3. Click OK to save the interface management profile.
4. Select Network > Interfaces and select the interface to which 
to attach the profile. 
5. On the Advanced > Other Info tab, select the interface 
management profile you just created.
6. Click OK to save the interface settings.

Step 10 Save the configuration. 1. Click Commit.

Step 11 Test the file blocking configuration.  From a client PC in the trust zone of the firewall, attempt to 

download an.exe file from a website in the Internet zone. Make 
sure the file is blocked as expected based on the action you defined 
in the file blocking profile:
•  If you selected alert as the action, check the data filtering log to 
make sure you see a log entry for the request.
•  If you selected block as the action, the File Blocking Block Page 
response page should display.
•  If you selected the continue action, the File Blocking Continue 
Page response page should display. Click Continue to download 
the file. The following shows the default File Blocking Continue 
Page.

Control Access to Web Content

URL Filtering provides visibility and control over web traffic on your network. With URL filtering enabled, 
the firewall can categorize web traffic into one or more (from approximately 60) categories. You can then 
create policies that specify whether to allow, block, or log (alert) traffic based on the category to which it 
belongs. The following workflow shows how to enable PAN‐DB for URL filtering, create security profiles, 
and attach them to security policies to enforce a basic URL filtering policy.

© Palo Alto Networks, Inc. PAN‐OS 7.1 Administrator’s Guide  •  51

Copyright © 2007-2015 Palo Alto Networks

Enable Basic Threat Prevention Features Getting Started

Configure URL Filtering

Step 1 Confirm license information for URL  1. Obtain and install a URL Filtering license. See Activate 

Filtering. Licenses and Subscriptions for details.
2. Select Device > Licenses and verify that the URL Filtering 
license is valid.

Step 2 Download the seed database and  1. To download the seed database, click Download next to 

activate the license. Download Status in the PAN‐DB URL Filtering section of the 
Licenses page.
2. Choose a region (North America, Europe, APAC, Japan) and 
then click OK to start the download.
3. After the download completes, click Activate.

Step 3 Create a URL filtering profile. 1. Select Objects > Security Profiles > URL Filtering.

Because the default URL filtering  2. Select the default profile and then click Clone. The new profile 
profile blocks risky and  will be named default‐1.
threat‐prone content, clone this 
3. Select the new profile and rename it. 
profile when creating a new 
profile in order to preserve the 
default settings. 

52  •  PAN‐OS 7.1 Administrator’s Guide © Palo Alto Networks, Inc.

Copyright © 2007-2015 Palo Alto Networks

Getting Started Enable Basic Threat Prevention Features

Configure URL Filtering (Continued)

Step 4 Define how to control access to web  1. For each category that you want visibility into or control over, 

content.  select a value from the Action column as follows: 
If you are not sure what traffic you want  •  If you do not care about traffic to a particular category (that 
to control, consider setting the  is you neither want to block it nor log it), select allow.
categories (except for those blocked by  •  For visibility into traffic to sites in a category, select alert.
default) to alert. You can then use the  •  To present a response page to users attempting to access a 
visibility tools on the firewall, such as the  particular category to alert them to the fact that the 
ACC and App Scope, to determine which  content they are accessing might not be work appropriate, 
web categories to restrict to specific  select continue.
groups or to block entirely. You can then 
•  To prevent access to traffic that matches the associated 
go back and modify the profile to block 
policy, select block (this also generates a log entry).
and allow categories as desired. 
You can also define specific sites to 
always allow or always block regardless 
of category and enable the safe search 
option to filter search results when 
defining the URL Filtering profile. 

2. Click OK to save the URL filtering profile.

Step 5 Attach the URL filtering profile to a  1. Select Policies > Security.

security policy.  2. Select the desired policy to modify it and then click the 
Actions tab.
3. If this is the first time you are defining a security profile, select 
Profiles from the Profile Type drop‐down.
4. In the Profile Settings list, select the profile you just created 
from the URL Filtering drop‐down. (If you don’t see 
drop‐downs for selecting profiles, select Profiles from the 
Profile Type drop‐down.)
5. Click OK to save the profile.
6. Commit the configuration.

© Palo Alto Networks, Inc. PAN‐OS 7.1 Administrator’s Guide  •  53

Copyright © 2007-2015 Palo Alto Networks

Enable Basic Threat Prevention Features Getting Started

Configure URL Filtering (Continued)

Step 6 Enable response pages in the  1. Select Network > Network Profiles > Interface Mgmt and 

management profile for each interface  then select an interface profile to edit or click Add to create a 
on which you are filtering web traffic.  new profile.
2. Select Response Pages, as well as any other management 
services required on the interface.
3. Click OK to save the interface management profile.
4. Select Network > Interfaces and select the interface to which 
to attach the profile. 
5. On the Advanced > Other Info tab, select the interface 
management profile you just created.
6. Click OK to save the interface settings.

Step 7 Save the configuration. Click Commit.

Step 8 Test the URL filtering configuration.  Access a client PC in the trust zone of the firewall and attempt to 

access a site in a blocked category. Make sure URL filtering is 
applied based on the action you defined in the URL filtering profile:
•  If you selected alert as the action, check the data filtering log to 
make sure you see a log entry for the request.
•  If you selected the continue action, the URL Filtering Continue 
and Override Page response page should display. Continue to 
the site. 
•  If you selected block as the action, the URL Filtering and 
Category Match Block Page response page should display as 
follows:

Enable AutoFocus Threat Intelligence

With a valid AutoFocus subscription, you can compare the activity on your network with the latest threat 
data available on the AutoFocus portal. Connecting your firewall and AutoFocus unlocks the following 
features:
 Ability to view an AutoFocus intelligence summary for session artifacts recorded in the firewall logs.
 Ability to open an AutoFocus search for log artifacts from the firewall.
The AutoFocus intelligence summary reveals the prevalence of an artifact on your network and on a global 
scale. The WildFire verdicts and AutoFocus tags listed for the artifact indicate whether the artifact poses a 
security risk.

54  •  PAN‐OS 7.1 Administrator’s Guide © Palo Alto Networks, Inc.

Copyright © 2007-2015 Palo Alto Networks

Getting Started Enable Basic Threat Prevention Features

Enable AutoFocus Threat Intelligence on the Firewall

Step 1 Verify that the AutoFocus license is activated on  1. Select Device > Licenses to verify that the AutoFocus 

the firewall. Device License is installed and valid (check the 
expiration date).
2. If the firewall doesn’t detect the license, see Activate 
Licenses and Subscriptions.

Step 2 Connect the firewall to AutoFocus. 1. Select Device > Setup > Management and edit the 

AutoFocus settings.
2. Enter the AutoFocus URL:
https://autofocus.paloaltonetworks.com:1044
3
3. Use the Query Timeout field to set the duration of 
time for the firewall to attempt to query AutoFocus 
for threat intelligence data. If the AutoFocus portal 
does not respond before the end of the specified 
period, the firewall closes the connection.
As a best practice, set the query timeout to 
the default value of 15 seconds. AutoFocus 
queries are optimized to complete within this 
duration.
4. Select Enabled to allow the firewall to connect to 
AutoFocus.
5. Click OK.
6. Commit your changes to retain the AutoFocus 
settings upon reboot.

Step 3 Connect AutoFocus to the firewall. 1. Log in to the AutoFocus portal: 

https://autofocus.paloaltonetworks.com
2. Select Settings.
3. Add new remote systems.
4. Enter a descriptive Name to identify the firewall.
5. Select PanOS as the System Type.
6. Enter the firewall IP Address.
7. Click Save changes to add the remote system.
8. Click Save changes again on the Settings page to 
ensure the firewall is successfully added.

Step 4 Test the connection between the firewall and  1. On the firewall, select Monitor > Logs > Traffic.

AutoFocus. 2. Verify that you can View AutoFocus Threat Data for 
Logs.

© Palo Alto Networks, Inc. PAN‐OS 7.1 Administrator’s Guide  •  55

Copyright © 2007-2015 Palo Alto Networks

Best Practices for Completing the Firewall Deployment Getting Started

Best Practices for Completing the Firewall Deployment

Now that you have integrated the firewall into your network and enabled the basic security features, you 
can begin configuring more advanced features. Here are some things to consider next:
 Learn about the different Management Interfaces that are available to you and how to access and use 
them.
 Replace the Certificate for Inbound Management Traffic. By default, the firewall ships with a default 
certificate that enables HTTPS access to the web interface over the management (MGT) interface or any 
other interface that supports HTTPS management traffic. To improve the security of inbound 
management traffic, replace the default certificate with a new certificate issued specifically for your 
organization.
 Configure a best‐practice security policy rulebase to safely enable applications and protect your 
network from attack. See Best Practice Internet Gateway Security Policy for details.
 Set up High Availability—High availability (HA) is a configuration in which two firewalls are placed in a 
group and their configuration and session tables are synchronized to prevent a single point to failure on 
your network. A heartbeat connection between the firewall peers ensures seamless failover in the event 
that a peer goes down. Setting up a two‐firewall cluster provides redundancy and allows you to ensure 
business continuity.
 Configure the Master Key—Every Palo Alto Networks firewall has a default master key that encrypts all 
private keys on the firewall used for cryptographic protocols. As a best practice to safeguard the keys, 
configure the master key on each firewall to be unique. However, if you use Panorama, you must use 
the same master key on Panorama and all managed firewalls. Otherwise, Panorama cannot push 
configurations to the firewalls.
 Manage Firewall Administrators—Every Palo Alto Networks firewall and appliance is preconfigured with 
a default administrative account (admin) that provides full read‐write access (also known as superuser 
access) to the firewall. As a best practice, create a separate administrative account for each person who 
needs access to the administrative or reporting functions of the firewall. This allows you to better 
protect the firewall from unauthorized configuration (or modification) and to enable logging of the 
actions of each individual administrator. 
 Enable User Identification (User‐ID)—User‐ID is a Palo Alto Networks next‐generation firewall feature 
that allows you to create policies and perform reporting based on users and groups rather than 
individual IP addresses.
 Enable Decryption—Palo Alto Networks firewalls provide the capability to decrypt and inspect traffic for 
visibility, control, and granular security. Use decryption on a firewall to prevent malicious content from 
entering your network or sensitive content from leaving your network concealed as encrypted or 
tunneled traffic. 
 Enable Passive DNS Collection for Improved Threat Intelligence—Enable this opt‐in feature to enable 
the firewall to act as a passive DNS sensor and send select DNS information to Palo Alto Networks for 
analysis in order to improve threat intelligence and threat prevention capabilities.
 Follow the Best Practices for Securing Your Network from Layer 4 and Layer 7 Evasions.

56  •  PAN‐OS 7.1 Administrator’s Guide © Palo Alto Networks, Inc.

Copyright © 2007-2015 Palo Alto Networks