LAB MODULE 1 – Palo Alto NGFW

Objective: Create a basic firewall architecture with three security zones —

Inside, DMZ, and Outside — by configuring IPs, zones, routing, and validating
communication.
Version: PAN-OS 10.0 (academic, no license)
Environment: VMware Workstation (independent images)
Goal: Build a basic architecture simulating real enterprise segmentation and
access control.
By: Fabio Almeida

Logical Lab Structure

The architecture simulates a small company with three main networks:

Zone Interface Interface IP Function

Internal network for users (clients and

Inside ethernet1/1 192.168.1.1/24
employees)

Intermediate network for exposed

DMZ ethernet1/3 192.168.50.1/24
servers (DMZ)

Simulated external network (e.g.,

Outside ethernet1/2 172.16.1.1/24
internet access)

Security Zones Concept

In PAN-OS, traffic between different zones is denied by default. That means
even if hosts are connected to the firewall, they won’t communicate unless:
1. They are in different zones, and
 2. There’s an explicit security policy allowing the traffic.
Security zones reflect the trust level assigned to different parts of the
network:
• Inside: Most trusted. Represents the company’s internal LAN
(employees, users).
• Outside: Least trusted. Typically represents the internet or public
networks.
• DMZ (Demilitarized Zone): Neutral zone between Inside and Outside.
Used to host services (e.g., web servers) that must be accessible from
both sides — with strict access control.

Complete and Explained Step-by-Step

1. Accessing the Firewall
• Accessed the firewall via the mgmt interface, using both GUI (web
browser) and CLI (console).
• Management IP: 192.168.1.254
Goal: Enter the admin interface to perform the base configuration.

2. Configuring Layer3 Interfaces

Each interface was configured with an IP, set to Layer3 mode, and associated
with a security zone. This allows each interface to act as a network gateway.
Commands used:
set network interface ethernet ethernet1/1 layer3 ip 192.168.1.1/24
set network interface ethernet ethernet1/2 layer3 ip 172.16.1.1/24
set network interface ethernet ethernet1/3 layer3 ip 192.168.50.1/24
 Why: In Layer3 mode, the firewall interfaces act like routers between
networks.

3. Creating Security Zones

Commands:
set zone inside network layer3 ethernet1/1
set zone untrust network layer3 ethernet1/2
set zone dmz network layer3 ethernet1/3

Why: PAN-OS uses zones as the foundation for applying security policies.
Separating the interfaces into zones helps protect corporate assets through
distinct access control rules.

4. Assigning to Virtual Router

Command:
set network virtual-router default interface [ ethernet1/1 ethernet1/2
ethernet1/3 ]

Why: The Virtual Router handles the firewall’s routing table. Interfaces that
must communicate with each other must be part of the same VR.

5. Creating Management Profile (allow-ping)

Command:
set network profiles interface-management allow-ping ping yes
Apply to interfaces:
set network interface ethernet ethernet1/1 layer3 management-profile
allow-ping
set network interface ethernet ethernet1/2 layer3 management-profile
allow-ping
set network interface ethernet ethernet1/3 layer3 management-profile
allow-ping

Why: By default, PAN-OS blocks all inbound traffic to interfaces —

including ICMP. Creating and assigning a profile that allows ping helps with
connectivity testing.

6. Commit the Changes

commit

Why: In PAN-OS, all changes must be committed to be applied. This

ensures traceability and change control.

7. Connectivity Testing
Tests performed:

• Ping from client 192.168.1.20 to 192.168.1.1: Success

• Ping from client to 192.168.50.1: Initial failure

• Ping from firewall (source 192.168.50.1) to 192.168.50.10: No

response

Why: Validate if internal hosts can reach their respective gateways.

8. Troubleshooting
• Verified all interfaces were up, with correct IPs, zones assigned, and
management profiles applied.
 • The failure in ping was due to the lack of a security policy allowing
traffic from Inside to DMZ.

9. Creating the Security Policy (Inside → DMZ)

Command:
set rulebase security rules allow-inside-to-dmz from inside to dmz source
any destination any application ping action allow

Why: PAN-OS requires explicit policies between zones. Without them,

traffic is denied, even with proper routing.

10. Final Commit and Validation

• Commit was applied again.
• Retested the pings:

o 192.168.1.20 → 192.168.50.1 Success

o Firewall → 192.168.50.10 Success (after correcting host

config)

Technical Configuration Summary

Interface IP Zone Virtual Router Ping Working?

ethernet1/1 192.168.1.1/24 inside default

ethernet1/2 172.16.1.1/24 untrust default

ethernet1/3 192.168.50.1/24 dmz default

Key Learnings and Takeaways – Module 1
• Zone-based architecture offers a robust security model with granular
traffic control.
• PAN-OS denies inter-zone traffic by default, requiring explicit policies.
• Management profiles are essential for basic diagnostics (like ping).
• Every change requires commit, ensuring configuration integrity and
traceability.
• Practicing via CLI reinforces command hierarchy understanding and
prepares engineers for real-world scenarios and automation.
LAB MÓDULO 1 – Palo Alto NGFW
Objetivo: Criar uma arquitetura básica de firewall com três zonas de segurança — Inside,
DMZ e Outside — configurando IPs, zonas, roteamento e validando comunicação.

Versão: PAN-OS 10.0 (acadêmico, sem licença)

Ambiente: VMware Workstation (imagens independentes)
Objetivo: Criar uma arquitetura básica de firewall com três zonas de segurança — Inside,
DMZ e Outside — configurando IPs, zonas, roteamento e validando comunicação.

Por: Fabio Almeida

Estrutura Lógica do Laboratório

A arquitetura simula uma pequena empresa com três redes principais:

Zona Interface IP da Interface Função

Rede interna de usuários (clientes e

Inside ethernet1/1 192.168.1.1/24
colaboradores)

DMZ ethernet1/3 192.168.50.1/24 Rede intermediária para servidores expostos (DMZ)

Simulação de rede externa (como acesso à

Outside ethernet1/2 172.16.1.1/24
internet)

Conceito das Zonas de Segurança

No PAN-OS, o tráfego não é permitido entre zonas diferentes por padrão. Ou seja,
mesmo que dois hosts estejam conectados ao firewall, eles só se comunicam se:

1. Estiverem em zonas diferentes e

2. Houver uma política explícita permitindo o tráfego

As zonas representam o nível de confiança que damos a diferentes partes da rede:

• Inside: Zona mais segura. Representa a rede local da empresa (clientes,

funcionários).
 • Outside: Zona menos confiável. Geralmente representa a internet ou redes
públicas.

• DMZ (zona desmilitarizada): Zona neutra entre Inside e Outside. Usada para
hospedar serviços (como web servers) que precisam ser acessados tanto de dentro
quanto de fora da empresa — mas com controle rígido de segurança.

Passo a Passo Completo e Explicado

1. Acesso ao Firewall

• Acessamos o firewall pela interface mgmt, via navegador (GUI) e também pelo
console (CLI).

• IP de gerenciamento: 192.168.1.254

Objetivo: Entrar na interface administrativa para realizar toda a configuração base.

2. Configuração das Interfaces Layer3

Cada interface foi configurada com um IP, modo Layer3 e associada a uma zona de
segurança. Isso permite que cada interface funcione como um gateway de rede.

Comandos utilizados:

set network interface ethernet ethernet1/1 layer3 ip 192.168.1.1/24

set network interface ethernet ethernet1/2 layer3 ip 172.16.1.1/24

set network interface ethernet ethernet1/3 layer3 ip 192.168.50.1/24

Motivo: Em modo Layer3, a interface do firewall atua como um roteador entre redes
diferentes.

3. Criação das Zonas de Segurança

Comandos:

set zone inside network layer3 ethernet1/1

set zone untrust network layer3 ethernet1/2

set zone dmz network layer3 ethernet1/3

 Motivo: O PAN-OS usa zonas como base para aplicar regras de segurança. A separação
em zonas ajuda a proteger os ativos da empresa com políticas distintas de acesso.

4. Associação ao Virtual Router

Comando:

set network virtual-router default interface [ ethernet1/1 ethernet1/2 ethernet1/3 ]

Motivo: O Virtual Router é responsável por manter a tabela de roteamento do firewall.

Todas as interfaces que devem se comunicar entre si devem estar vinculadas ao mesmo
VR.

5. Criação do Management Profile allow-ping

Comando:

set network profiles interface-management allow-ping ping yes

Depois, aplicamos esse profile a cada interface:

set network interface ethernet ethernet1/1 layer3 management-profile allow-ping

set network interface ethernet ethernet1/2 layer3 management-profile allow-ping

set network interface ethernet ethernet1/3 layer3 management-profile allow-ping

Motivo: O PAN-OS, por padrão, bloqueia todo tráfego de entrada nas interfaces,
mesmo ICMP. Aplicar um profile que permita ping facilita o diagnóstico de conectividade.

6. Commit das Alterações

commit

Motivo: Toda mudança em PAN-OS precisa ser explicitamente aplicada com commit.
Isso garante rastreabilidade e controle de alterações.
7. Validação da Conectividade

Testes executados:

• Ping do client (192.168.1.20) para 192.168.1.1: Sucesso

• Ping do client para 192.168.50.1: Falha inicial

• Ping do firewall (source 192.168.50.1) para 192.168.50.10: Sem resposta

Motivo: Verificar se os hosts internos conseguem alcançar os gateways.

8. Diagnóstico e Troubleshooting

• Confirmamos que todas as interfaces estavam up, com IPs corretos, zonas
atribuídas e profiles de gerenciamento aplicados.

• A falha no ping ocorreu por ausência de regra de segurança permitindo tráfego de

Inside para DMZ.

9. Criação da Security Policy (Inside → DMZ)

Comando:

set rulebase security rules allow-inside-to-dmz from inside to dmz source any
destination any application ping action allow

Motivo: O PAN-OS exige políticas explícitas entre zonas. Sem essa regra, o tráfego é
bloqueado, mesmo se tudo estiver roteado.

10. Commit Final e Validação

• Aplicamos o commit

• Reexecutamos os testes de ping com sucesso:

o 192.168.1.20 → 192.168.50.1 Sucesso

o Firewall → 192.168.50.10 Sucesso (após correção no host)

 Resumo Técnico da Configuração

Interface IP Zona Virtual Router Ping Funciona?

ethernet1/1 192.168.1.1/24 inside default

ethernet1/2 172.16.1.1/24 untrust default

ethernet1/3 192.168.50.1/24 dmz default

Aprendizados e Conclusões do Módulo 1

• A arquitetura baseada em zonas oferece um modelo robusto de segurança e

controle granular sobre o tráfego.

• O PAN-OS não permite tráfego entre zonas por padrão, exigindo regras
explícitas.

• O management-profile é essencial para testes básicos (como ping).

• Toda modificação requer commit, garantindo integridade e rastreabilidade.

• A prática por CLI reforça a compreensão da hierarquia de comandos e prepara o

engenheiro para cenários reais e automatizações.