Hands-On Palo Alto Firewall Bootcamp: Configuration, implementation, and Troubleshooting

โลกของระบบเครือข่ายในปัจจุบันไม่สามารถพึ่งพาแค่ Firewall แบบเดิมได้อีกต่อไป — การป้องกันภัยคุกคามยุคใหม่จำเป็นต้องอาศัยความสามารถเชิงลึกในการตรวจจับ วิเคราะห์ และควบคุมทราฟฟิกที่ซับซ้อนแบบเรียลไทม์ ด้วยเหตุนี้ หลักสูตร Hands-On Palo Alto Firewall Bootcamp: Configuration, implementation, and Troubleshooting  จึงถูกออกแบบมาเพื่อยกระดับทักษะของผู้เรียนให้สามารถใช้งาน Next-Generation Firewall ของ Palo Alto ได้อย่างมืออาชีพ ตั้งแต่การออกแบบระบบเครือข่ายที่มั่นคงปลอดภัย การกำหนดนโยบายแบบ Granular ไปจนถึงการวิเคราะห์ Log และตอบสนองต่อเหตุการณ์ความปลอดภัยอย่างชาญฉลาด

ผู้เข้าอบรมจะได้เรียนรู้ผ่านบทเรียนที่เข้มข้นและการปฏิบัติจริง (Hands-on Labs) ตั้งแต่ระดับสถาปัตยกรรมระบบ (Single Pass Architecture, Control/Data Plane) ไปจนถึงการตั้งค่า App-ID, Content-ID, NAT, GlobalProtect VPN, URL Filtering และ Decryption รวมทั้งการบริหารจัดการผ่าน Panorama และการบูรณาการกับ SIEM เพื่อการเฝ้าระวังภัยคุกคามในระดับองค์กร หลักสูตรนี้ไม่ได้สอนแค่ “การตั้งค่า” แต่ยังปูพื้นฐานด้าน “การวิเคราะห์และการตัดสินใจ” เพื่อให้ผู้เรียนสามารถนำไปประยุกต์ใช้ในสถานการณ์จริงได้ทันที

ผู้ที่เหมาะเข้ารับการอบรม

  • Network Engineers ที่ต้องการพัฒนาแนวทางการออกแบบเครือข่ายที่ปลอดภัยและมีประสิทธิภาพด้วย Next-Gen Firewall
  • Security Administrators ที่รับผิดชอบด้านการตั้งค่านโยบาย ป้องกันภัยคุกคาม และการบริหาร GlobalProtect VPN
  • SOC Analysts ที่ต้องการใช้ Firewall เป็นเครื่องมือในการตรวจจับ วิเคราะห์ และตอบสนองต่อเหตุการณ์ด้านความมั่นคงปลอดภัย
  • ผู้เตรียมสอบ PCNSA หรือ PCNSE ที่ต้องการพื้นฐานแน่นและฝึกจากสถานการณ์จริง
  • ผู้ดูแลระบบในองค์กร ที่ใช้ Palo Alto และต้องการเสริมทักษะการตรวจสอบ วิเคราะห์ และจัดการความเสี่ยงอย่างเป็นระบบ

รายละเอียดหลักสูตร

1. Palo Alto Networks Firewalls Architecture

  • Understanding Palo Alto Networks
  • What is a Security Operating Platform?
    • Palo Alto Networks as a Security Operating Platform
  • Other Features of Palo Alto Firewalls
  • Single Pass Architecture
    • Single Pass Software
    • Parallel Processing Hardware
  • Control Plane and Data Plane
    • Differences between the Data Plane and the Control Plane
  • Virtual Systems
    • Use Cases for Virtual Systems
  • High Availability (HA) and Redundancy
    • Failovers
    • Conditions for a Failover
    • HA Modes
    • HA Links and Backup Links
  • Lab 1: Configure High Availability
    • Solution

2. Device Management and Services

  • Management Interfaces (MGT)
  • Methods Of Access
  • Access Restrictions
  • Identity-Management Traffic Flow
  • Management Services
  • Service Routes
  • Provision Local Administrators
    • Authentication profile
    • Authentication sequence
  • Assign Role-Based Authentication
  • Maintain Firewall Configurations
    • Running configuration
    • Candidate configuration
    • Discern When to use Load, Save, Import, and Export
    • Differentiate Between Configuration States
    • Backup Panorama Configurations and Firewalls from Panorama
  • Push Policy Updates to Panorama-Managed Firewalls
    • Device Groups and Hierarchy
    • Where to Place Policies
    • Implications of Panorama Management
    • Impact of Templates, Template Stacks, and Hierarchy
  • Schedule and Install Dynamic Updates
    • From The Firewall
    • Scheduling and Staggering Updates on an HA Pair
  • Create and Apply Security Zones to Policies
    • Security Zones  External Zones
    • Layer 2 / Layer 3
    • Tap / VWire
    • Tunnel
  • Lab 2: Configure Traffic Rules between the Zones
    • Solution
  • Lab 3: Configure Virtual Wire
    • Solution
  • Identify and Configure Firewall Interfaces
    • Different Categories of Interfaces
    • Impact of Interface Types on Security Policies
  • Maintain and Enhance the Configuration of a Virtual or Logical Router
    • Steps to Establish a Static Route
    • Utilizing the Routing Table
    • Interface Types Supported in Virtual or Logical Routers
    • Configuring Route Monitoring
  • Lab 4: IPv4 Static and Default Routing
    • Solution
  • Routing Information Protocol (RIP)
  • Lab 5: Configure Routing Information Protocol (RIP)
    • Solution
  • Open Shortest Path First (OSPF)
    • OSPF Concepts
  • Lab 6: Configure OSPF
    • Solution

3. Managing Objects

  • Create and Maintain Address and Address Group Objects
    • Dynamic Address Group
    • Address Object
    • Types of Address Objects
    • Referencing Address Objects
    • Object Name
  • Create and Maintain Services and Service Groups
    • Service Objects
    • Service Groups
  • Create and Maintain External Dynamic Lists
    • External Dynamic Lists (EDL)
    • Possible Connection Loss Scenarios
    • Types of External Dynamic Lists (EDLs)
    • Custom EDL Limit
  • Configure and Maintain Application Filters and Application Groups
    • Application Group
    • Application Filter

4. Initial Configuration and Management

  • Initial Setup and Basic Configuration
  • Web Interface and CLI
    • Web Interface
    • Command-Line Interface
  • Lab 7: Configure Interfaces
    • Solution
  • Panorama Management System
    • Panorama Features
    • Set Up the Panorama Virtual Appliance
    • Access and Navigate Panorama Management Interfaces
    • Log in to the Panorama Web Interface
    • Configure an Admin Role Profile
    • Configure an Access Domain
    • Configure a Panorama Administrator Account
  • Device Administration
  • User-ID and Authentication
    • User-ID Overview
    • Benefits of User-ID

5. Security Policies

  • Policy Basics
    • Definition and Purpose of Security Policies
    • Elements of a Security Policy
    • Policy Match Criteria and Order of Evaluation
    • Policy Precedence and Overlapping Rules
    • Implicit Deny and Explicit Allow Concepts
  • Policy Types and Components
    • Application-Based Policies
    • User-Based Policies
    • Threat-Based Policies
    • URL-Based Policies
    • Decryption Policies
    • QoS-Based Policies
    • GlobalProtect-Based Policies
  • Policy Evaluation and Enforcement
    • Packet Flow Through the Firewall For Policy Enforcement
    • Policy Match And Evaluation Process
    • Policy Hit Counts And Logging
    • Policy Enforcement Actions
    • Configuring Policy Options
  • Policy Best Practices
    • Principles Of Effective Policy Design
    • Rule Simplification and Consolidation
    • Use of Application-Based Policies for Granular Control
    • User-Based Policy Strategies and Group Mapping
    • Leveraging Predefined Security Profiles for Threat Prevention
    • Creating Custom Application and URL Categories for Policy Control
    • Order of Rules and Policy Optimization
    • Regular Policy Review and Cleanup
  • Policy Management and Troubleshooting
    • Policy Management Using Panorama Management System
    • Device Groups, Templates, and Policy Sharing
    • Rule and Policy Versioning and Rollback
    • Policy Troubleshooting Tools and Techniques
    • Monitoring Policy Hits and Logs
    • Identifying and Resolving Policy Conflicts or Misconfigurations
    • Analyzing and Troubleshooting Policy-Related Performance Issues
  • Develop the Appropriate Application-Based Security Policy
    • Create An Appropriate App-ID Rule
    • Rule Shadowing
    • Group Rules By Tag
    • The Potential Impact of App-ID Updates to Existing Security Policy Rules
    • Policy Usage Statistics
  • Differentiate Specific Security Rule Type
    • Security Rule Types
    • Interzone
    • Intrazone
    • Universal
  • Configure Security Policy Match Conditions, Actions, and Logging Options
    • Application Filters And Groups
    • Logging Options
    • App-ID
    • User-ID
    • Device-ID
    • Application Filter In Policy
    • Application Group In Policy
    • EDLs
  • Setting up a Basic Security Policy
  • Identify and Implement Proper NAT Policies
    • Destination
    • Source
  • Optimize Security Policies Using Appropriate Tools
    • Policy Test Match Tool
    • Policy Optimizer

6. Network Address Translation (NAT)

  • NAT Configuration
    • Perform Source Destination IP Port Network Address Translation (Source DIPP NAT) to Map Internal Client IP Addresses to Your Public IP Address
    • Activate Destination U-Turn NAT to Enable Clients On The Internal Network To Access Your Public Servers
    • Activate Static Source NAT to Enable Bi-Directional Address Translation for Your Public-Facing Servers
  • NAT Policy Rule
    • Understanding NAT Policy Rules
    • Importance of NAT Policy Rules In Managing Traffic Translation
    • Order of NAT Rule Evaluation
    • Real-World Examples of NAT Policy Rules
  • NAT Troubleshooting
    • Common NAT Issues and Errors
    • Troubleshooting NAT Connectivity Problems
    • Using Debug and Logging Tools for NAT
    • NAT-Related Security Considerations

7. App-ID

  • The Role of Application Identification in Network Security
  • Benefits of Granular Application Control
  • App-ID’s Contribution to PCNSA Certification
  • Application Identification Basics
    • The Importance of Application Visibility
    • Methods of Application Identification
    • Application Characteristics and Attributes
    • Identifying Encrypted Applications
  • App-ID Configuration
    • Creating Basic App-ID Rules
    • User-Based Policies and Group Mapping
    • Application Overrides and Custom Applications
  • Custom Application Signatures
    • Components of a Custom Application Signature
    • Signature Matching and Order of Evaluation
    • Testing and Refining Custom Signatures
  • App-ID Best Practices
    • Balancing Security and Performance
    • Rule Consolidation and Elimination of Redundancy
    • Keeping App-ID Databases Up to Date
    • Monitoring and Adjusting Policies Over Time
  • App-ID Troubleshooting
    • Common App-ID Challenges and Scenarios
    • Interpreting Application Identification Logs
    • Addressing Misidentification and False Positives/Negatives
    • Investigating Application Evasion Techniques

8. Content-ID

  • Content Identification Basics
    • Combination of Content-ID and App-ID
    • Intrusion Prevention System and Anti-Malware Integration
    • URL Filtering
    • File and Data Filtering
  • Antivirus and Anti-Spyware
    • Antivirus
    • Anti-Spyware
    • Security Policy Rules and Security Profiles
  • WildFire
    • Key Capabilities
  • File Blocking
    • File Blocking Profiles
  • Content-ID Best Practices
    • URL Filtering Best Practices
    • Antivirus Best Practices
    • Anti-Spyware Best Practices
    • Vulnerability Protection
  • Content-ID Troubleshooting
    • URL Filtering
  • Lab 8: Configure Content-ID and URL Filtering
    • Solution

9. URL Filtering

  • URL Filtering Concepts
    • How URL Filtering Fits into the Network Security Architecture
    • Exploring URL Databases and Lists for Filtering
    • Techniques for Determining Allow or Block Decisions
    • How To Allow a Blocked URL
    • How To Request a URL Recategorization
  • URL Filtering Profiles
    • URL Filtering Profiles and Their Purpose
    • Creating User-Specific and Department-Specific Profiles
    • URL Filtering Rules and Policies
    • Role of Time-Based and Schedule-Based URL Filtering
  • Custom URL Categories
    • Custom URL Categories: Tailoring Filtering to Specific Needs
    • Steps to Define and Implement Custom URL Categories
    • Real-World Use Cases for Custom URL Categories
    • Integrating Custom Categories into URL Filtering Profiles
  • URL Filtering Best Practices
    • Selecting Appropriate URL Categories for Your Organization
    • Designing Effective URL Filtering Policies
    • Balancing Security and Productivity in URL Filtering
    • Strategies for Regularly Reviewing and Updating Policies
    • Control Traffic Based on a URL Category
  • URL Filtering Troubleshooting
    • Common Challenges and Issues in URL Filtering Implementation
    • Identifying False Positives and False Negatives in Filtering
    • Analyzing Logs and Reports for URL Filtering Insights
    • Performance Optimization and Addressing Bottlenecks

10. Decryption

  • Decryption Overview
    • Decryption Concept
    • Prepare to Deploy Decryption
    • Define Traffic to Decrypt
    • Configure SSL Forward Proxy
    • Configure SSL Inbound Inspection
    • Configure SSH Proxy
    • Decryption Broker
  • Decryption Configuration
    • Certificate Management
    • Create a Decryption Profile
    • Create Decryption Policy Rules
    • Test Decryption from the Client
    • Set up Decryption Port Mirroring
    • Configure the Decryption Mirror Interface
    • Verify Forwarding of Decrypted Traffic
  • Certificate Management
    • Keys and Certificates
    • Default Trusted Certificate Authorities (CAs)
    • Certificate Revocation
    • Set Up Verification for Certificate Revocation Status
  • Lab 9: Configure IPSec VPN
    • Solution
  • Decryption Best Practices
    • Plan Your SSL Decryption Best Practice Deployment
    • Deploy SSL Decryption Using Best Practices
    • Follow Post-Deployment SSL Decryption Best Practices
  • Decryption Troubleshooting
    • Investigate Decryption Failure Reasons
    • Troubleshoot Unsupported Cipher Suites
    • Identify Weak Protocols and Cipher Suites
    • Identify Untrusted CA Certificates

11. GlobalProtect

  • GlobalProtect Components
    • GlobalProtect Portal
    • GlobalProtect Gateway
    • GlobalProtect Client
    • GlobalProtect App
    • Internal and External Gateways
  • GlobalProtect Configuration
    • Step-by-Step Configuration of GlobalProtect
  • GlobalProtect Best Practices
    • Security Policy Best Practices
    • User Authentication Best Practices
    • Split Tunneling Considerations
    • Update and Patch Management Best Practices
  • GlobalProtect Troubleshooting
    • Common Issues and Solutions
    • Logs and Monitoring Tools
    • Step-by-Step Troubleshooting
  • Lab 10: Configure GlobalProtect
    • Solution

12. Monitoring, Troubleshooting, and Reporting

  • Monitoring Overview
    • Understanding the importance of monitoring in firewall environments
    • Difference between Control Plane and Data Plane monitoring
    • Overview of monitoring tools: Dashboard, ACC, Monitor tab, and CLI
  • Application Command Center (ACC)
    • Purpose of the ACC and its relevance to visibility
    • Navigating through Threat Activity, Blocked Activity, and Network Activity tabs
    • Customizing ACC views for tailored analysis
  • Log Types and Interpretation
    • Overview of major log types:
      • Traffic Logs
      • Threat Logs
      • URL Filtering Logs
      • WildFire Submission Logs
      • HIP Logs
    • Using filtering, sorting, and drill-downs to investigate security events
  • Command-Line Monitoring Tools
    • Essential CLI commands:
    • Accessing detailed logs: less mp-log, less dp-log
  • Real-Time Troubleshooting Tools
    • Performing packet capture (via GUI and CLI)
    • Understanding the flow basic view for connection tracing
    • Using the Session Browser to monitor live sessions
  • Network Connectivity Troubleshooting
    • Diagnosing basic Layer 3 and Layer 4 issues
    • Testing reachability with ping, traceroute, and test commands
    • NAT diagnostics and Policy matching overview
  • Security Policy Troubleshooting
    • Verifying policy hit counters
    • Analyzing dropped traffic due to incorrect rule orders
    • Using log forwarding profiles to view alerts and audit behavior
  • VPN Troubleshooting
    • Monitoring IPsec VPN and GlobalProtect VPN tunnels
    • Key CLI commands
    • Interpreting tunnel establishment logs and common error conditions
  • Health Monitoring
    • Monitoring system resource usage:
      • CPUMemory
      • Disk/log space
    • Setting thresholds for alerting on high resource usage
  • Reporting and Scheduled Alerts
    • Creating custom reports based on logs
    • Configuring scheduled reports for automatic delivery
    • Exporting reports in PDF/CSV format
  • Log Forwarding and SIEM Integration
    • Setting up Syslog, SNMP, and Email alerting
    • Best practices for log forwarding profile configuration
  • Best Practices for Troubleshooting
    • Using a systematic approach to root cause analysis
    • Establishing a baseline and monitoring anomalies
    • Documenting incidents with audit trails for future reference

จุดเด่นที่ทำให้หลักสูตรนี้ “น่าเรียน” มากที่สุด

  1. ครอบคลุม Lifecycle ของ Firewall จริงในองค์กร
    1. ตั้งแต่ Initial Configuration ไปจนถึง Policy Design การลงมือทำ Threat Prevention และ Monitoring/Reporting
    1. ผู้เรียนจะเข้าใจระบบ แบบ End-to-End ตั้งแต่ Layer 2/3 ไปจนถึงการจัดการ VPN และ Decryption
  2. มี Lab Practice ต่อเนื่อง
  3. ทุก Section มี Lab ให้ทดลอง เช่น HA, Routing, NAT, OSPF, GlobalProtect, URL Filtering
  4. ช่วยให้ผู้เรียนฝึกมือจริง (Lab-driven learning) ซึ่งดีกว่าทฤษฎีล้วน
  5. เน้นฟีเจอร์ขั้นสูงของ Palo Alto
  6. เช่น App-ID, Content-ID, WildFire, Panorama, Decryption, GlobalProtect
  7. ผู้เรียนจะได้รู้จักความสามารถที่แท้จริงของ Next-Gen Firewall ระดับ Enterprise
  8. เหมาะกับผู้ที่ต้องทำงานจริง
  9. SOC Analyst → รู้วิธีดู Log, วิเคราะห์ Threat, Forward Log ไป SIEM
  10. Security Admin → รู้การออกแบบ Policy อย่างมีชั้นเชิง
  11. Network Engineer → เข้าใจ Interface, Zone, Routing, HA อย่างละเอียด
  12. สอดคล้องกับการเตรียมสอบ PCNSA / PCNSE
  13. โครงสร้างและเนื้อหาสอดคล้องกับมาตรฐาน Palo Alto Certifications
  14. ผู้เรียนสามารถนำไปสอบได้หากต้องการ

คำถาม-ตอบ ที่พบบ่อย (FAQ) – หลักสูตร Palo Alto Networks Firewall Workshop

1. หลักสูตรนี้เหมาะสำหรับใคร?

ตอบ: เหมาะสำหรับ Network Engineer, Security Administrator, SOC Analyst และผู้ที่ดูแลระบบ Firewall ในองค์กร โดยเฉพาะผู้ที่ใช้หรือวางแผนจะใช้งาน Palo Alto Firewall

2. ผู้เข้าอบรมต้องมีพื้นฐานอะไรมาก่อนหรือไม่?

ตอบ: ควรมีพื้นฐานด้าน TCP/IP, การทำงานของ Firewall, การแบ่ง VLAN และ Routing เบื้องต้น เพื่อให้เข้าใจเนื้อหาได้ลึกซึ้งและนำไปใช้จริงได้อย่างมีประสิทธิภาพ

3. ในหลักสูตรมี Lab ให้ฝึกปฏิบัติจริงหรือไม่?

ตอบ: มีแน่นอนครับ! หลักสูตรนี้เน้น Hands-on Labs ตลอดทั้งคอร์ส เช่น HA, NAT, VPN, App-ID, OSPF, Content-ID และอื่น ๆ

4. หลังจบคอร์สจะสามารถนำความรู้ไปใช้งานจริงได้เลยหรือไม่?

ตอบ: ได้ทันทีครับ ผู้เรียนจะเข้าใจการออกแบบ กำหนดนโยบาย ตรวจสอบและแก้ไขปัญหาแบบครบวงจร พร้อมตัวอย่างเหตุการณ์จริงให้ฝึกวิเคราะห์

5. มีการใช้ Panorama ในหลักสูตรนี้ด้วยหรือไม่?

ตอบ: มีครับ! จะสอนการใช้งาน Panorama เบื้องต้น ไปจนถึงการจัดการ Policy, Templates, Log Forwarding และการบริหารแบบรวมศูนย์

6. ใช้ Firewall รุ่นไหนในการเรียน?

ตอบ: เนื้อหาและ Lab อ้างอิงจาก PAN-OS เวอร์ชัน 8.x ขึ้นไป รองรับการใช้งานได้ด้วยอุปกรณ์การเรียนการสอนจริง ไม่ได้ใช้ Simulator ซึ่งจะทำให้ผู้เรียนไม่ได้สัมผัสของจริงและเห็นภาพการเชื่อมต่อของจริง

7. หลักสูตรนี้ช่วยเตรียมสอบ PCNSA หรือ PCNSE ได้หรือไม่?

ตอบ: ช่วยได้มากครับ โดยเฉพาะ PCNSA เพราะเนื้อหาครอบคลุมหัวข้อที่ใช้สอบ พร้อมเสริมทักษะที่ใช้ในสถานการณ์จริง

8. มีใบประกาศนียบัตรให้หรือไม่?

ตอบ: มีครับ ผู้ที่เข้าเรียนครบและทำ Lab ได้ตามกำหนดจะได้รับ Certificate of Completion จากสถาบันของเรา

9. เนื้อหามีการสอนเรื่อง App-ID และ Content-ID ด้วยหรือไม่?

ตอบ: มีอย่างละเอียดครับ พร้อมสอนการสร้างนโยบายแบบ Granular เพื่อควบคุมการใช้งานแอปพลิเคชันและเนื้อหาบนเครือข่าย

10. เรียนจบแล้วสามารถแก้ปัญหาที่เกิดขึ้นในระบบได้หรือไม่?

ตอบ: สามารถวิเคราะห์และแก้ไขปัญหาเบื้องต้นถึงระดับกลางได้ เช่น ปัญหา Policy Conflict, NAT ผิดพลาด, Decryption ล้มเหลว หรือ VPN ไม่เชื่อมต่อ

11. สอนการบูรณาการกับ SIEM หรือไม่?

ตอบ: มีสอนพื้นฐานการ Forward Log ไปยัง SIEM เช่น Wazuh หรือ Elastic พร้อมแนะนำแนวทางในการวิเคราะห์ Log

12. ใช้อุปกรณ์จริง เพื่อการฝึก Lab หรือไม่?

ตอบ: หลักสูตรนี้ใช้อุปกรณ์ Firewalls ของจริง ที่เตรียมไว้ให้ พร้อมคู่มือการใช้งานและคำแนะนำทุกขั้นตอน แจก Simulator Software หลังจากอบรมให้นำกลับไปทดลองเล่นต่อไป

13. ใช้เวลาอบรมนานแค่ไหน?

ตอบ: หลักสูตรนี้ใช้เวลา 3 วัน ที่มีเนื้อหาเข้มข้น ทั้งภาคทฤษฎีและปฎิบัติ

14. ในหลักสูตรมีเนื้อหาเกี่ยวกับ GlobalProtect VPN หรือไม่?

ตอบ: มีพร้อม Lab การตั้งค่า Portal, Gateway, Policy รวมถึงการตรวจสอบปัญหา VPN ที่มักพบบ่อย

15. สามารถขอคำปรึกษาเพิ่มเติมหลังอบรมได้หรือไม่?

ตอบ: ได้ครับ ผู้เรียนจะได้รับ สิทธิ์เข้ากลุ่มผู้เรียน และสามารถสอบถามผู้สอนได้ภายหลังการอบรม เพื่อช่วยแก้ไขปัญหาและแชร์ประสบการณ์จริงจากหน้างาน