LAB MODULE 1 – Palo Alto NGFW

Objective: Create a basic firewall architecture with three security

zones — Inside, DMZ, and Outside — by configuring IPs, zones,
routing, and validating communication.
Version: PAN-OS 10.0 (academic, no license)
Environment: VMware Workstation (independent images)
Goal: Build a basic architecture simulating real enterprise
segmentation and access control.
By: Fabio Almeida

Logical Lab Structure

The architecture simulates a small company with three main
networks:
Zone Interface Interface IP Function

ethernet1 192.168.1.1/2 Internal network for users

Inside
/1 4 (clients and employees)

ethernet1 192.168.50.1/ Intermediate network for

DMZ
/3 24 exposed servers (DMZ)

Outsid ethernet1 Simulated external network (e.g.,

172.16.1.1/24
e /2 internet access)

Security Zones Concept

In PAN-OS, traffic between different zones is denied by default.
That means even if hosts are connected to the firewall, they
won’t communicate unless:
1. They are in different zones, and
2. There’s an explicit security policy allowing the traffic.
Security zones reflect the trust level assigned to different parts
of the network:
 Inside: Most trusted. Represents the company’s internal
LAN (employees, users).
 Outside: Least trusted. Typically represents the internet or
public networks.
 DMZ (Demilitarized Zone): Neutral zone between Inside
and Outside. Used to host services (e.g., web servers) that
must be accessible from both sides — with strict access
control.

Complete and Explained Step-by-Step

1. Accessing the Firewall
 Accessed the firewall via the mgmt interface, using both
GUI (web browser) and CLI (console).
 Management IP: 192.168.1.254
🎯 Goal: Enter the admin interface to perform the base
configuration.

2. Configuring Layer3 Interfaces

Each interface was configured with an IP, set to Layer3 mode, and
associated with a security zone. This allows each interface to act
as a network gateway.
Commands used:
set network interface ethernet ethernet1/1 layer3 ip
192.168.1.1/24
set network interface ethernet ethernet1/2 layer3 ip
172.16.1.1/24
set network interface ethernet ethernet1/3 layer3 ip
192.168.50.1/24
🎯 Why: In Layer3 mode, the firewall interfaces act like routers
between networks.

3. Creating Security Zones

Commands:
set zone inside network layer3 ethernet1/1
set zone untrust network layer3 ethernet1/2
set zone dmz network layer3 ethernet1/3
🎯 Why: PAN-OS uses zones as the foundation for applying
security policies. Separating the interfaces into zones helps
protect corporate assets through distinct access control rules.

4. Assigning to Virtual Router

Command:
set network virtual-router default interface [ ethernet1/1
ethernet1/2 ethernet1/3 ]
🎯 Why: The Virtual Router handles the firewall’s routing table.
Interfaces that must communicate with each other must be part
of the same VR.

5. Creating Management Profile (allow-ping)

Command:
set network profiles interface-management allow-ping
ping yes
Apply to interfaces:
set network interface ethernet ethernet1/1 layer3
management-profile allow-ping
set network interface ethernet ethernet1/2 layer3
management-profile allow-ping
set network interface ethernet ethernet1/3 layer3
management-profile allow-ping
🎯 Why: By default, PAN-OS blocks all inbound traffic to interfaces
— including ICMP. Creating and assigning a profile that allows ping
helps with connectivity testing.

6. Commit the Changes

commit
🎯 Why: In PAN-OS, all changes must be committed to be applied.
This ensures traceability and change control.

7. Connectivity Testing
Tests performed:
 Ping from client 192.168.1.20 to 192.168.1.1: ✅ Success
 Ping from client to 192.168.50.1: ❌ Initial failure
 Ping from firewall (source 192.168.50.1) to 192.168.50.10: ❌
No response
🎯 Why: Validate if internal hosts can reach their respective
gateways.

8. Troubleshooting
 Verified all interfaces were up, with correct IPs, zones
assigned, and management profiles applied.
  The failure in ping was due to the lack of a security policy
allowing traffic from Inside to DMZ.

9. Creating the Security Policy (Inside → DMZ)

Command:
set rulebase security rules allow-inside-to-dmz from inside
to dmz source any destination any application ping action
allow
🎯 Why: PAN-OS requires explicit policies between zones.
Without them, traffic is denied, even with proper routing.

10. Final Commit and Validation

 Commit was applied again.
 Retested the pings:
o 192.168.1.20 → 192.168.50.1 ✅ Success
o Firewall → 192.168.50.10 ✅ Success (after correcting
host config)

✅ Technical Configuration Summary

Virtual Ping
Interface IP Zone
Router Working?

ethernet1/ 192.168.1.1/2
inside default ✅
1 4

ethernet1/ untrus
172.16.1.1/24 default ✅
2 t
 Virtual Ping
Interface IP Zone
Router Working?

ethernet1/ 192.168.50.1/
dmz default ✅
3 24

Key Learnings and Takeaways – Module 1

 Zone-based architecture offers a robust security model
with granular traffic control.
 PAN-OS denies inter-zone traffic by default, requiring
explicit policies.
 Management profiles are essential for basic diagnostics
(like ping).
 Every change requires commit, ensuring configuration
integrity and traceability.
 Practicing via CLI reinforces command hierarchy
understanding and prepares engineers for real-world
scenarios and automation.
LAB MÓDULO 1 – Palo Alto NGFW
Objetivo: Criar uma arquitetura básica de firewall com três zonas de
segurança — Inside, DMZ e Outside — configurando IPs, zonas, roteamento e
validando comunicação.

Versão: PAN-OS 10.0 (acadêmico, sem licença)

Ambiente: VMware Workstation (imagens independentes)
Objetivo: Criar uma arquitetura básica de firewall com três zonas de
segurança — Inside, DMZ e Outside — configurando IPs, zonas, roteamento e
validando comunicação.

Por: Fabio Almeida

Estrutura Lógica do Laboratório

A arquitetura simula uma pequena empresa com três redes principais:

IP da
Zona Interface Função
Interface

ethernet1/ 192.168.1.1/2 Rede interna de usuários (clientes e

Inside
1 4 colaboradores)

ethernet1/ 192.168.50.1/ Rede intermediária para servidores

DMZ
3 24 expostos (DMZ)

Outsid ethernet1/ Simulação de rede externa (como acesso à

172.16.1.1/24
e 2 internet)

Conceito das Zonas de Segurança

No PAN-OS, o tráfego não é permitido entre zonas diferentes por
padrão. Ou seja, mesmo que dois hosts estejam conectados ao firewall,
eles só se comunicam se:

1. Estiverem em zonas diferentes e

2. Houver uma política explícita permitindo o tráfego

As zonas representam o nível de confiança que damos a diferentes partes

da rede:

 Inside: Zona mais segura. Representa a rede local da empresa

(clientes, funcionários).

 Outside: Zona menos confiável. Geralmente representa a internet ou

redes públicas.

 DMZ (zona desmilitarizada): Zona neutra entre Inside e Outside.

Usada para hospedar serviços (como web servers) que precisam ser
acessados tanto de dentro quanto de fora da empresa — mas com
controle rígido de segurança.

Passo a Passo Completo e Explicado

1. Acesso ao Firewall

 Acessamos o firewall pela interface mgmt, via navegador (GUI) e

também pelo console (CLI).

 IP de gerenciamento: 192.168.1.254

🎯 Objetivo: Entrar na interface administrativa para realizar toda a

configuração base.

2. Configuração das Interfaces Layer3

Cada interface foi configurada com um IP, modo Layer3 e associada a uma
zona de segurança. Isso permite que cada interface funcione como um
gateway de rede.

Comandos utilizados:

set network interface ethernet ethernet1/1 layer3 ip 192.168.1.1/24

set network interface ethernet ethernet1/2 layer3 ip 172.16.1.1/24

set network interface ethernet ethernet1/3 layer3 ip
192.168.50.1/24

🎯 Motivo: Em modo Layer3, a interface do firewall atua como um roteador

entre redes diferentes.

3. Criação das Zonas de Segurança

Comandos:

set zone inside network layer3 ethernet1/1

set zone untrust network layer3 ethernet1/2

set zone dmz network layer3 ethernet1/3

🎯 Motivo: O PAN-OS usa zonas como base para aplicar regras de segurança.
A separação em zonas ajuda a proteger os ativos da empresa com políticas
distintas de acesso.

4. Associação ao Virtual Router

Comando:

set network virtual-router default interface [ ethernet1/1

ethernet1/2 ethernet1/3 ]

🎯 Motivo: O Virtual Router é responsável por manter a tabela de roteamento

do firewall. Todas as interfaces que devem se comunicar entre si devem
estar vinculadas ao mesmo VR.

5. Criação do Management Profile allow-ping

Comando:

set network profiles interface-management allow-ping ping yes

Depois, aplicamos esse profile a cada interface:

set network interface ethernet ethernet1/1 layer3 management-

profile allow-ping

set network interface ethernet ethernet1/2 layer3 management-

profile allow-ping
set network interface ethernet ethernet1/3 layer3 management-
profile allow-ping

🎯 Motivo: O PAN-OS, por padrão, bloqueia todo tráfego de entrada nas

interfaces, mesmo ICMP. Aplicar um profile que permita ping facilita o
diagnóstico de conectividade.

6. Commit das Alterações

commit

🎯 Motivo: Toda mudança em PAN-OS precisa ser explicitamente aplicada

com commit. Isso garante rastreabilidade e controle de alterações.

7. Validação da Conectividade

Testes executados:

 Ping do client (192.168.1.20) para 192.168.1.1: ✅ Sucesso

 Ping do client para 192.168.50.1: ❌ Falha inicial

 Ping do firewall (source 192.168.50.1) para 192.168.50.10: ❌ Sem

resposta

🎯 Motivo: Verificar se os hosts internos conseguem alcançar os gateways.

8. Diagnóstico e Troubleshooting

 Confirmamos que todas as interfaces estavam up, com IPs corretos,

zonas atribuídas e profiles de gerenciamento aplicados.

 A falha no ping ocorreu por ausência de regra de segurança

permitindo tráfego de Inside para DMZ.

9. Criação da Security Policy (Inside → DMZ)

Comando:
set rulebase security rules allow-inside-to-dmz from inside to dmz
source any destination any application ping action allow

🎯 Motivo: O PAN-OS exige políticas explícitas entre zonas. Sem essa regra, o
tráfego é bloqueado, mesmo se tudo estiver roteado.

10. Commit Final e Validação

 Aplicamos o commit

 Reexecutamos os testes de ping com sucesso:

o 192.168.1.20 → 192.168.50.1 ✅ Sucesso

o Firewall → 192.168.50.10 ✅ Sucesso (após correção no host)

✅ Resumo Técnico da Configuração

Virtual Ping
Interface IP Zona
Router Funciona?

ethernet1/ 192.168.1.1/2
inside default ✅
1 4

ethernet1/ untrus
172.16.1.1/24 default ✅
2 t

ethernet1/ 192.168.50.1/
dmz default ✅
3 24

🧠 Aprendizados e Conclusões do Módulo 1

 A arquitetura baseada em zonas oferece um modelo robusto de

segurança e controle granular sobre o tráfego.

 O PAN-OS não permite tráfego entre zonas por padrão, exigindo

regras explícitas.

 O management-profile é essencial para testes básicos (como ping).

 Toda modificação requer commit, garantindo integridade e
rastreabilidade.

 A prática por CLI reforça a compreensão da hierarquia de comandos

e prepara o engenheiro para cenários reais e automatizações.