Palo Alto Networks®

WildFire 管理者指南

WildFire Appliance Software 5.1

聯絡資訊
企業總部：
Palo Alto Networks
3300 Olcott Street
Santa Clara, CA 95054

http://www.paloaltonetworks.com/contact/contact/

關於本指南
本指南說明使用和維護 Palo Alto Networks WildFire 功能所需的管理作業。
涵蓋的主題包括授權資訊、設定防火牆轉送檔案以供檢驗、檢視報告，
以及如何設定和管理 WF-500 WildFire 設備。
如需詳細資訊，請參閱以下來源：
S Palo Alto Networks 管理者指南 —有關其他功能的資訊及設定防火牆
功能的說明。
S https://live.paloaltonetworks.com — 可存取知識庫、完整說明文件集、
討論區和視訊。
S https://support.paloaltonetworks.com — 可聯絡支援人員、取得支援計
畫資訊，或管理您的帳號或設備。
對於文件若有任何意見，請致函：
documentation@paloaltonetoworks.com

Palo Alto Networks, Inc.

www.paloaltonetworks.com
© 2013 Palo Alto Networks。保留所有權利。
Palo Alto Networks、PAN-OS 與 Panorama 是 Palo Alto Networks, Inc. 的商標。
其他所有商標為其各自擁有者所有。
P/N 810-000175-00A

ii
目錄

WildFire 概要介紹. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
關於 WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
WildFire 如何運作？. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
WildFire 報告包含那些內容？ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
偵測到惡意軟體後，我應該採取什麼動作？ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
有哪些部署可用？ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
WildFire 使用授權享有哪些權益？ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

使用 WF-500 WildFire 設備分析檔案 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7

關於 WF-500 WildFire 設備. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
設定 WF-500 WildFire 設備. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
開始之前 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
執行初始設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
驗證 WF-500 WildFire 設備設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
設定虛擬電腦介面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
更新 WF-500 WildFire Appliance Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
將檔案轉送至 WF-500 WildFire 設備 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
動態更新最佳作法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
驗證防火牆上的 WildFire 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

使用 WildFire Cloud 分析檔案 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

將檔案轉送至 WildFire Cloud. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
動態更新最佳作法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
驗證防火牆上的 WildFire 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
將檔案上載至 WildFire Cloud 入口網站. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
使用 WildFire API 上載檔案 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

監控、追蹤和避免網路上的惡意軟體 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .45
關於 WildFire 日誌 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
使用 WildFire Cloud 監控提交 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
自訂 WildFire 入口網站設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
WildFire 入口網站使用者帳戶 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
新增 WildFire 使用者帳戶 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
檢視 WildFire 報告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
WildFire 報告包含那些內容？ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
設定對於偵測到的惡意軟體所發出的警示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
WildFire 的運作. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

WildFire 管理者指南 iii

 目錄

WildFire 設備軟體 CLI 參考. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

關於 WildFire 設備軟體 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
關於 WildFire 設備軟體 CLI 結構 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
存取 CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
建立直接主控台連線 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
建立 SSH 連線 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
使用 WildFire 設備軟體 CLI 命令 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
CLI 命令模式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
關於設定模式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
關於操作模式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
為設定命令設定輸出格式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
設定模式命令. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
操作模式命令. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80

iv WildFire 管理者指南
 1 WildFire 概要介紹
本章概要介紹 WildFire 功能，包括支援的部署、使用授權需求，以及偵測到您的環境出現惡意軟
體時所採取步驟的描述。本章包含以下幾節：
S 關於 WildFire
S WildFire 如何運作？
S WildFire 報告包含那些內容？
S 偵測到惡意軟體後，我應該採取什麼動作？
S 有哪些部署可用？
S WildFire 使用授權享有哪些權益？

WildFire 管理員指南 1
關於 WildFire WildFire 概要介紹

關於 WildFire
現今的惡意軟體主導目前最複雜的網路攻擊，而且愈來愈能夠規避傳統的安全性解決方案。Palo
Alto Networks 開發出整合式方法，因應整個惡意軟體生命週期，其中包括避免感染、識別零時差
惡意軟體（也就是其他防毒廠商不曾識別的惡意軟體）或指向性惡意軟體（鎖定特定產業或企業
的惡意軟體），以及突顯和破壞進行中感染。
Palo Alto Networks WildFire 引擎透過 WildFire 系統內的虛擬環境中進行的直接監測，讓零時差和指
向性惡意軟體無所遁形。WildFire 功能特別採用 Palo Alto Networks App-ID 技術，不僅監控電子郵
件附件或瀏覽器的檔案下載，而且能夠識別應用程式內的檔案傳輸。
Palo Alto Networks WildFire 功能的主要優點在於能夠發覺零時差惡意軟體，而且能夠快速產生特徵
碼，以針對所有偵測到的惡意軟體防範後續感染。防火牆能夠在偵測到網路出現惡意軟體時，傳
送電子郵件警示、系統日誌警示或 SNMP 陷阱，提供立即的警示。這能夠讓您快速識別下載惡意
軟體的使用者，並且在造成大規模損壞或傳播到其他使用者前予以清除。此外，WildFire 產生的
各個特徵碼會自動傳播到以威脅防範及 / 或 WildFire 使用授權保護的各個 Palo Alto Networks 防火牆，
因此，即使在網路中未找到惡意軟體，仍然能夠提供自動保護。Palo Alto Networks 目前每週探索
數千個零時差攻擊並產生相應的特徵碼，而這個數字仍然持續增加中。

WildFire 如何運作？

若要設定防火牆使用 WildFire，您必須設定檔案封鎖設定檔，設定 Win32 可攜式執行檔（PE）檔

案類型的轉送動作，將檔案傳送到 WildFire。另外，也可以選取「繼續並轉送」動作，在透過
HTTP 下載檔案時提示使用者。由於 WildFire 設定是使用檔案封鎖設定檔所設定的，並且附加於防
火牆政策，因此您可以精確控制將檔案傳送到 WildFire 的情況。例如，您可以選擇僅轉送 Web 式
電子郵件的附件，或僅從某些 URL 類型的網站轉送。
只要透過轉送設定檔符合安全性規則的工作階段傳輸檔案，防火牆就會以 WildFire 確認其是否為
新檔案。如果檔案是新的，即使檔案是包含在 ZIP 檔中或透過壓縮的 HTTP 傳輸，防火牆也會自
動將檔案轉送到 WildFire。防火牆也可設定為轉送解密的 SSL 工作階段內的檔案。WildFire 收到檔
案時，會在虛擬的沙箱中分析檔案，判斷檔案是否出現惡意行為：變更瀏覽器安全性設定、將程
式碼插入其他程序、修改 Windows 系統資料夾或樣本入造訪的網域中存在的檔案。WildFire 引擎
完成分析時，將產生詳細的取證報告，摘要說明主機和網路上的樣本所執行的活動，並自動裁定
惡意軟體或良性檔案。
此外，WildFire 引擎識別樣本為惡意軟體時，會將樣本傳送到 WildFire 特徵碼產生器，這將自動按
照樣本的惡意程式裝載產生特徵碼，並測試特徵碼的準確性和安全性。由於惡意軟體變化的速度
相當快，因此 WildFire 產生的特徵碼將因應惡意軟體的眾多變體。新的特徵碼將在 30 到 60 分鐘內
散佈到具備 WildFire 使用授權的所有 Palo Alto Networks 防火牆，或在次日對於僅具備威脅防範使
用授權的防火牆進行防毒更新時散佈。一旦以新的特徵碼更新防火牆，任何包含該惡意軟體或其
變體的檔案均自動予以捨棄。WildFire 在分析惡意軟體時收集的資訊也將用來強化其他威脅防範
功能，例如 PAN-DB 惡意軟體 URL 類別、DNS 特徵碼、防毒和反間碟軟體特徵碼。Palo Alto
Networks 也開發命令和控制流量的特徵碼，能夠立即中斷任何惡意軟體在網路內進行的通訊。如
需特徵碼及具備 WildFire 使用授權的效益相關的詳細資訊，請參閱第 4 頁的「WildFire 使用授權享
有哪些權益？」。

2 WildFire 管理員指南
WildFire 概要介紹 關於 WildFire

下圖顯示 WildFire 工作流程：

WildFire 報告包含那些內容？

對於 WildFire 分析的各個檔案，都會在檔案提交時產生詳細的行為報告。端視檔案如何提交到
WildFire 以及防火牆上啟用什麼使用授權而定，防火牆的 WildFire 日誌、WildFire 入口網站
（https://wildfire.paloaltonetworks.com）或 WildFire API 查詢將提供這些報告。這些報告顯示檔案詳
細的行為資訊、目標使用者、傳遞檔案的應用程式，以及用於檔案傳遞或回撥活動的所有 URL 相
關的資訊。如需如何存取連接埠的詳細資訊和報告欄位的描述，請參閱第 50 頁的「檢視 WildFire
報告」。

偵測到惡意軟體後，我應該採取什麼動作？

偵測到網路有惡意軟體時，必須迅速採取動作，避免惡意軟體散佈到其他系統。為了確保網路上
偵測到惡意軟體時能夠立即警示，請將防火牆設定為在 WildFire 對於從防火牆轉送的檔案傳回惡
意軟體裁定時，傳送電子郵件通知、SNMP 陷阱及 / 或系統日誌。這能夠讓您迅速檢視 WildFire 分
析報告，並識別下載惡意軟體的使用者、判斷使用者是否執行遭感染的檔案，並評估惡意軟體是
否自行散佈到網路上其他的主機。如果您判斷使用者已執行檔案，您可以迅速中斷電腦的網路連
線，避免惡意軟體散佈，並按照必要的事件回應和補救程序。如需 WildFire 報告的詳細資訊和
WildFire 運作的範例，請參閱第 45 頁的「監控、追蹤和避免網路上的惡意軟體」。

WildFire 管理員指南 3
關於 WildFire WildFire 概要介紹

有哪些部署可用？

Palo Alto Networks 新一代的防火牆支援下列 WildFire 部署：

• Palo Alto Networks WildFire Cloud：在此部署中，防火牆會將檔案轉送到由 Palo Alto Networks 擁

有並維護的主控 WildFire 環境。WildFire 偵測到新的惡意軟體時，會在一小時內產生新的特徵
碼。具備 WildFire 使用授權的防火牆可在 30 到 60 分鐘內收到新的特徵碼；僅具備威脅防範使
用授權的防火牆可在 24 至 48 小時內進行下一次特徵碼更新時收到新的特徵碼。如需詳細資
訊，請參閱第 4 頁的「WildFire 使用授權享有哪些權益？」。

• WildFire 設備：在此部署中，您在企業網路安裝 WF-500 WildFire 設備，並設定防火牆將檔案轉

送到該設備，而非轉送到 Palo Alto Networks WildFire Cloud（預設）。如此的部署可避免防火牆
將任何檔案送出網路之外進行分析。依預設，除非您明確啟用自動提交功能，自動將任何偵測
到的惡意軟體轉送到 Palo Alto Networks WildFire Cloud 進行檔案分析，以便產生防毒特徵碼，否
則不會將任何檔案傳送到網路之外。防毒特徵碼接著便會散佈到具備威脅防護及 / 或 WildFire 使
用授權的所有 Palo Alto Networks 防火牆。一個 WildFire 設備可以接收多達 100 個 Palo Alto Networks
防火牆的檔案進行分析。
Palo Alto Networks WildFire Cloud 與 WildFire 設備主要的差別如下：
– WildFire 設備能夠內部部署惡意軟體的沙箱，以免無害的檔案傳出客戶網路。依預設，WildFire
設備不會將任何檔案轉送到 WildFire Cloud，因此不會對於設備所偵測的惡意軟體產生特徵
碼。如果對於網路上偵測到的惡意軟體需要 WildFire 特徵碼，您可以啟用設備的自動提交
功能。啟用此選項時，設備會將任何偵測到的惡意軟體傳送到 WildFire Cloud 以產生其特
徵碼。
– 具備 WildFire 使用授權的 WildFire API 可供所有 WildFire 訂閱者使用，並且可用於公共雲端，
但是無法用於 WF-500 設備。
– 透過 Web 入口網站（wildfire.paloaltonetworks.com）可在公共雲端手動提交樣本，但是 WF-500
設備沒有近端的 Web 入口網站。

WildFire 使用授權享有哪些權益？

WildFire 使用惡意軟體沙箱以及惡意軟體的特徵碼型偵測和封鎖兩者的組合，偵測和防範零時差
惡意軟體。若要使用 WildFire 掌握零時差惡意軟體，只需要設定檔案封鎖設定檔，啟用防火牆將
樣本轉送到 WildFire 進行分析。不需要使用授權，即可使用 WildFire 將檔案從 Palo Alto Networks 防
火牆傳送到 WildFire Cloud 進行沙箱作業。
為了在 WildFire 偵測到惡意軟體後偵測並封鎖已知的惡意軟體，需要威脅防範及 / 或 WildFire 使用授
權。威脅防範使用授權能夠使防火牆接收每日防毒特徵碼更新，涵蓋全球的 WildFire 對於具備威
脅防範使用授權的所有客戶所偵測到的所有惡意軟體樣本。威脅防範使用授權也提供每週內容更
新，其中包括新的弱點防護和反間諜軟體特徵碼。

4 WildFire 管理員指南
WildFire 概要介紹 關於 WildFire

若要享有 WildFire 服務的完整權益，各個防火牆必須具備 WildFire 使用授權，此授權提供下列權益：

• WildFire 動態更新 — 提供每小時內的新惡意軟體特徵碼，這可透過 Device（設備）> Dynamic

Updates（動態更新）進行設定。在偵測到新惡意軟體的一小時內，WildFire 將建立新的惡意軟
體特徵碼，並透過 WildFire 動態更新進行散佈，防火牆能夠每 15、30 或 60 分鐘輪詢一次。防火
牆可設定為根據與防毒設定檔中的一般防毒特徵碼不同的惡意軟體特徵碼而採取特定動作。動
態更新所交付的 WildFire 特徵碼，會將所有 Palo Alto Networks WildFire 客戶提交到 WildFire 的檔
案中所偵測到的惡意軟體所產生的特徵碼包括在內，而不僅止於防火牆傳送到 WildFire 的檔案
樣本。
發現惡意軟體後，大約需要 30 到 60 分鐘產生 WildFire 特徵碼，即可將特徵碼提供給
WildFire 訂閱者使用。具備 WildFire 使用授權的防火牆可以每 15、30 或 60 分鐘輪詢新的
惡意軟體特徵碼一次。例如，如果設定防火牆每 30 分鐘輪詢 WildFire 特徵碼一次，可能
不會收到您提交的其中一個檔案相對應的特徵碼，而必須等到發現後的第二次輪詢才會
收到，這是因為產生特徵碼需要時間。如果防火牆只有威脅防範使用授權，在 WildFire
特徵碼寫入每 24 到 48 小時進行的威脅更新後，仍然將收到 WildFire 所產生的特徵碼。

對於由 WF-500 WildFire 設備 分析的檔案，如果您明確啟用自動提交功能，則可對於網路

上偵測到的惡意軟體產生特徵碼 （除非其他客戶發現相同的惡意軟體，並且將相同的樣
本提交到 WildFire 公共雲端）。啟用自動提交時，設備會將所有發現的惡意軟體轉送到
Palo Alto Networks WildFire Cloud，這些惡意軟體將用來產生偵測和封鎖未來惡意軟體的防
毒特徵碼。

• 整合式 WildFire 日誌 — WildFire 分析檔案完畢時，會將 WildFire 日誌送回提交檔案的防火牆。從

Monitor（監控）> Logs （日誌）> WildFire 即可檢視這些日誌，這些日誌可供直接存取
WildFire 系統完整的分析報告，只要按一下 View WildFire Report（檢視 WildFire 報告）按鈕
即可檢視報告。將 WildFire 日誌資料放在防火牆能夠使威脅日誌得以執行，更能讓您設定
SNMP、系統日誌、電子郵件警示和轉送到 Panorama。如果沒有 WildFire 使用授權，則只能使
用位於 wildfire.paloaltonetworks.com 的 WildFire Web 入口網站存取 WildFire 日誌。

• WildFire API — WildFire 使用授權可供存取 WildFire API，以便以程式設計方式存取 Palo Alto Networks

WildFire Cloud 中的 WildFire 服務。您可以使用 WildFire API 將檔案提交到 WildFire Cloud，並擷
取所提交的檔案相關的報告。WildFire API 支援每天最多 100 次檔案提交和每天最多 1000 次查
詢。請注意，您無法使用 WildFire API 將檔案提交到 WildFire 設備。

• WildFire 設備 — 只有具備有效 WildFire 使用授權的防火牆才能將檔案轉送到 WildFire 設備進行

分析。只安裝威脅防護使用授權的防火牆可以將檔案轉送到 WildFire Cloud，但無法轉送到
WildFire 設備。

WildFire 管理員指南 5
關於 WildFire WildFire 概要介紹

6 WildFire 管理員指南
 2 使用 WF-500 WildFire 設備分析檔案
本章說明 WF-500 WildFire 設備，以及如何設定和管理設備準備接收檔案進行分析。此外，本章提
供設定 Palo Alto Networks 防火牆轉送檔案到 WildFire 設備進行檔案分析的步驟。
S 關於 WF-500 WildFire 設備
S 設定 WF-500 WildFire 設備
S 將檔案轉送至 WF-500 WildFire 設備

WildFire 管理員指南 7
關於 WF-500 WildFire 設備 使用 WF-500 WildFire 設備分析檔案

關於 WF-500 WildFire 設備
WF-500 WildFire 設備提供內部部署的 WildFire 私人雲端，能夠讓您在沙箱環境中分析可疑的檔案，
完全不需要將檔案傳送到網路之外。若要使用 WF-500 設備取代 WildFire 公共雲端，請在防火牆設
定 WildFire Cloud 設定指向 WF-500 設備，而非指向 default-cloud 設定。WF-500 設備會在本機進
行所有檔案的沙箱作業，並使用 WildFire 公共雲端系統所用的同一個引擎分析檔案是否有惡意行
為。在幾分鐘內，設備會以 WildFire 日誌將分析結果傳回防火牆。
依預設，WF-500 設備不會將任何檔案傳送到 Palo Alto Networks WildFire Cloud。不過，惡意軟體必
須傳送到 WildFire 公共雲端，才能收到設備發現的惡意軟體相關的防毒特徵碼。WF-500 設備有自
動提交功能，只會將確認的惡意軟體傳送到公共雲端進行特徵碼產生。特徵碼接著會散佈到收到
Palo Alto Networks 發出的 WildFire 及防毒特徵碼更新所有的客戶。您最多可以設定 100 個 Palo Alto
Networks 防火牆轉送到一個 WildFire 設備；各個防火牆都必須具備有效的 WildFire 使用授權，才能
將檔案轉送到 WildFire 設備。
WildFire 設備有兩個介面：

• MGT — 接收所有從防火牆轉送的檔案，並且將載明結果的日誌傳回防火牆。
• Virtual Machine Interface（虛擬電腦介面）（vm-interface）— 提供分析沙箱的網路存取，讓
WildFire 能夠更有效分析檔案在沙箱中執行所產生的行為，因為這能夠觀測到沒有網路存取便
不會顯現的一些惡意行為，例如回撥活動。不過，為了避免惡意軟體從沙箱進入網路，務必
在有網際網路連線的隔離網路設定此介面，以便虛擬電腦上執行的惡意軟體能夠與網際網路
進行通訊。如需 vm-interface 的詳細資訊，請參閱第 15 頁的「設定虛擬電腦介面」。

您必須先設定此介面，才能交付設備的任何變更。

8 WildFire 管理員指南
使用 WF-500 WildFire 設備分析檔案 設定 WF-500 WildFire 設備

設定 WF-500 WildFire 設備
本節說明在網路上設定 WildFire 設備所需的步驟，以及如何設定 Palo Alto Networks 防火牆將檔案
轉送到設備進行分析。
本節包括以下主題：
S 開始之前
S 執行初始設定
S 驗證 WF-500 WildFire 設備設定
S 設定虛擬電腦介面
S 更新 WF-500 WildFire Appliance Software

開始之前

• 將 WF-500 WildFire 設備安裝在機架並進行佈線。請參閱《WF-500 WildFire 設備硬體參考指南》。

• 取得由網路管理員對 MGT 連接埠及虛擬電腦介面設定網路連線所需的資訊（IP 位址、子網路
遮罩、閘道、主機名稱、DNS 伺服器）。防火牆與設備之間所有的通訊都透過 MGT 連接埠進
行，包括檔案提交、WildFire 日誌傳遞和設備管理。因此，請確定防火牆可連線到設備的 MGT
連接埠。此外，設備必須能夠連線到 updates.paloaltonetworks.com 網站，擷取本身的作業系統軟
體更新。

• 備妥電腦透過主控台纜線或以太網路纜線連線到設備取得初始設定。

WildFire 管理員指南 9
設定 WF-500 WildFire 設備 使用 WF-500 WildFire 設備分析檔案

執行初始設定

本節說明在網路安裝 WF-500 WildFire 設備和執行基本設定所需的步驟。

將 WILDFIRE 設備整合於網路

步驟 1 執行第 9 頁的「開始之前」部分中 • 設備是以機架安裝

的工作。 • 具備 IP 資訊（MGT 介面和 vm-interface IP 位址、子網路遮
罩、閘道、主機名稱、DNS 伺服器）
• 管理電腦連線到設備的 MGT 連接埠或主控台連接埠

步驟 2 註冊 WildFire 應用程式。 1. 從設備的 S/N 標籤取得序號，或執行下列 CLI 命令：

admin@WF-500> show system info
2. 從瀏覽器導覽至 https://support.paloaltonetworks.com。
3. 註冊設備，如下所示：
• 如果這是第一台註冊的 Palo Alto Networks 設備且您尚
未登入，請在頁面右側按一下 Register（註冊）。若
要註冊，請提供電子郵件地址和設備的序號。出現提
示時，請設定存取 Palo Alto Networks 支援社群的使用
者名稱與密碼。
• 對於現有帳戶，請登入，然後按一下 My Devices（我
的設備）。向下捲動至畫面下方的 Register Device（註
冊設備）部分，然後輸入設備的序號、您的城市及郵
遞區號，然後按一下 Register Device（註冊設備）。

步驟 3 使用 MGT 或主控台連接埠將管理 1. 連接到主控台連接埠或 MGT 連接埠。這兩者均位在設

電腦連接到設備，然後開啟設備的 備的背面。
電源。 • 主控台連接埠 — 這是 9 針腳公序列接頭。對於主控台應
用程式，使用下列設定：9600-8-N-1。將提供的纜線
連接到管理電腦的序列連接埠或 USB 轉序列轉換頭。
• MGT 連接埠 — 這是乙太網路 RJ-45 連接埠。依預設，
MGT 連接埠 IP 位址是 192.168.1.1。管理電腦的介面必
須位在 MGT 連接埠所在的同一個子網路。例如，將
管理電腦的 IP 位址設定為 192.168.1.5。
2. 開啟設備的電源。
注意 一旦第一個電源供應器通電，設備將啟動。警告嗶
聲將響起，直到兩個電源供應器連接為止。如果設
備的插頭已經插上，而且設備處於關閉狀態，請使
用設備正面的電源按鈕開啟電源。

步驟 4 重設管理密碼。 1. 使用 SSH 用戶端或主控台連接埠登入設備。輸入 admin/

admin 的使用者名稱 / 密碼。
2. 執行命令以設定新密碼：
admin@WF-500# set password
輸入舊密碼，按下輸入，然後輸入並確認新密碼。不需
要交付設定，因為這是操作命令。
3. 輸入 exit 登出，然後再次登入，確認已設定新密碼。

10 WildFire 管理員指南
使用 WF-500 WildFire 設備分析檔案 設定 WF-500 WildFire 設備

將 WILDFIRE 設備整合於網路（續）

步驟 5 設定 MGT 介面的 IP 資訊和設備的 1. 使用 SSH 用戶端或主控台連接埠登入設備，並進入設定

主 機 名 稱。將 檔 案 傳 送 到 WF-500 模式：
設備的所有防火牆將使用 MGT 連 admin@WF-500> configure
接埠，因此請確定從這些防火牆可 2. 設定 IP 資訊：
存取這個連接埠。 admin@WF-500# set deviceconfig system
這個範例使用下列的值： ip-address 10.10.0.5 netmask
255.255.252.0 default-gateway 10.10.0.1
• IPv4 位址 — 10.10.0.5/22
dns-setting servers primary 10.0.0.246
• 子網路遮罩 — 255.255.252.0
• 預設閘道 — 10.10.0.1 注意 將以上命令的 primary 改為 secondary，並排除其他 IP
• 主機名稱 — wildfire-corp1 參數，即可設定次要 DNS 伺服器。例如：
admin@WF-500# set deviceconfig system
• DNS 伺服器 — 10.0.0.246
dns-setting servers secondary
10.0.0.247
3. 設定主機名稱（此範例為 wildfire-corp1）：
admin@WF-500# set deviceconfig system
hostname wildfire-corp1
4. 交付設定以啟動新的管理 (MGT) 連接埠設定：
admin@WF-500# commit
5. 將 MGT 介面連接埠連接到網路交換器。
6. 在公司網路上，或者在存取管理網路上的設備時，所需
要的任何網路上，重新放置管理 PC。
7. 從管理電腦，使用 SSH 用戶端來連接到設備的 MGT 連
接埠的新 IP 位址或主機名稱。在此範例中，新 IP 位址
是 10.10.0.5。

步驟 6 （選用）設定管理 WildFire 設備的 在此範例中，我們將建立使用者 bsimpson 的超級讀取者

其 他 使 用 者 帳 戶。可 指 定 兩 個 角 帳戶：
色：超級使用者和超級讀取者。超 1. 執行下列命令，進入設定模式：
級使用者相當於管理員帳戶，超級 admin@WF-500> configure
讀取者僅擁有唯讀存取權。
2. 若要建立使用者帳戶，請輸入下列命令：
admin@WF-500# set mgt-config users
bsimpson password
3. 輸入並確認新密碼。
4. 若要指定超級讀取者角色，請輸入下列命令，然後按下
輸入：
admin@WF-500# set mgt-config users
bsimpson permissions role-based
superreader yes

WildFire 管理員指南 11
設定 WF-500 WildFire 設備 使用 WF-500 WildFire 設備分析檔案

將 WILDFIRE 設備整合於網路（續）

步驟 7 使用 Palo Alto Networks 發給的 1. 進入操作模式執行下列命令：

WildFire 授權碼啟動設備。 admin@WF-500> exit
注意 WF-500 設備將在缺少授權碼的情況 2. 擷取並安裝 WildFire 授權：
下 運 作，但 如 果 欠 缺 有 效 的 授 權 admin@WF-500> request license fetch
碼，則無法安裝新的軟體更新。 auth-code auth-code
3. 按下輸入擷取並安裝授權。
4. 確認授權：
admin@WF-500> request license info
隨即應顯示日期比當天日期晚的使用中授權。

步驟 8 設定當天日期 / 時間和時區。 1. 設定日期和時間：

admin@WF-500> set clock date YY/MM/DD
time hh:mm:ss
2. 進入設定模式：
admin@WF-500> configure
3. 設定當地時區：
admin@WF-500# set deviceconfig system
timezone timezone
注意 將在 WildFire 詳細報告出現的時間戳記將使用在設備
設定的時區。如果會有許多人檢視這些報告，您可
能需要將時區設定為 UTC。

步驟 9 （選用）設定自動提交，使 WildFire 1. 若要啟用自動提交，請執行下列命令：

設備將包含惡意軟體的檔案轉送到 admin@WF-500# set deviceconfig setting
Palo Alto Networks WildFire Cloud。 wildfire auto-submit yes
WildFire Cloud 系統接著將產生特徵 2. 若要確認設定，請從操作模式執行下列命令：
碼，並透過 WildFire 和防毒特徵碼 admin@WF-500> show wildfire status
更新散佈這些特徵碼。
注意 此選項預設為停用。

步驟 10 設定入口網站管理員帳戶的密碼。 若要變更 WildFire 入口網站管理員帳戶密碼：

從防火牆存取 WildFire 報告時，將 1. admin@WF-500# set wildfire portal-admin
使用此帳戶。預設的使用者名稱和 password
密碼是 admin/admin。
2. 按下輸入，並輸入和確認新密碼。
注意 入口網站管理員帳戶是唯一能夠用
來檢視日誌報告的帳戶。只能變更
此 帳 戶 的 密 碼，無 法 建 立 其 他 帳
戶。這是用來管理設備所用的同一
個管理員帳戶。

後續動作：
• 若要驗證 WF-500 設備設定，請參閱第 13 頁的「驗證 WF-500 WildFire 設備設定」。
• 若要開始從防火牆轉送檔案，請參閱第 22 頁的「將檔案轉送至 WF-500 WildFire 設備」。
• 若要更新 WildFire 設備軟體，請參閱第 19 頁的「更新 WF-500 WildFire Appliance Software」。
• 若要設定設備進行惡意軟體分析所用的 vm-interface，請參閱第 15 頁的「設定虛擬電腦介面」。

12 WildFire 管理員指南
使用 WF-500 WildFire 設備分析檔案 設定 WF-500 WildFire 設備

驗證 WF-500 WildFire 設備設定

本節說明驗證 WildFire 設備設定所需的步驟，以便確定準備接收從 Palo Alto Networks 防火牆發出

的檔案。如需此工作流程所用 CLI 命令的詳細資訊，請參閱第 59 頁的「WildFire 設備軟體 CLI 參
考」。
驗證 WILDFIRE 設備設定

步驟 1 驗證已註冊設備，而且已啟動使用 1. 啟動設備 MGT 介面的 SSH 工作階段。

授權。 2. 在 CLI 中，輸入下列命令：
admin@WF-500> request license info

驗證授權有效，而且 Expired: 欄位的值顯示 no。

例如：
Feature:Premium
Description:24x7 phone support; advanced replacement
hardware service
Serial:009707000000
Issued:February 11, 2013
Expires:February 11, 2016
Expired?: no

3. 對於已啟用自動提交的設備，請輸入下列命令，驗證
WildFire 設備是否能夠與 Palo Alto Networks WildFire Cloud
進行通訊：
admin@WF-500> test wildfire registration

下列輸入指示已經向其中一個 Palo Alto Networks WildFire

Cloud 伺服器註冊設備。如果啟用自動提交，會將惡意軟
體感染的檔案傳送到伺服器。
Test wildfire
wildfire registration: successful
download server list:successful
select the best server:
cs-s1.wildfire.paloaltonetworks.com

注意 如果啟用自動提交，設備只會將檔案轉送到 WildFire
Cloud。如需啟用自動提交的詳細資訊，請參閱第
10 頁的「執行初始設定」中的步驟。

WildFire 管理員指南 13
設定 WF-500 WildFire 設備 使用 WF-500 WildFire 設備分析檔案

驗證 WILDFIRE 設備設定（續）

步驟 2 在設備上檢查 WildFire 伺服器狀態。 1. 下列命令顯示 WildFire 的狀態：

admin@WF-500> show wildfire status
以下顯示範例輸出：
Connection info:
Wildfire cloud: wildfire-public-cloud
Status: Idle
Auto-Submit: enabled
VM internet connection: disabled
Best server:
Device registered: yes
Service route IP address: 192.168.2.20
Signature verification: enable
Server selection: enable
Through a proxy: no

在此範例中，已啟用自動提交，這表示經識別為惡意軟
體的檔案將轉送到 Palo Alto Networks WildFire Cloud。接
著即可產生特徵碼，防範惡意軟體日後暴露。狀態 Idle
表示設備準備接收檔案。Device registered 顯示
yes，這表示設備已向 WildFire Cloud 系統註冊。
2. 若要驗證設備是否正接收來自防火牆的檔案，並驗證其
是否正傳送檔案到 WildFire Cloud 以產生特徵碼（如果
已啟用自動提交），請輸入下列命令：

admin@WF-500> show wildfire statistics

days 7
Last one hour statistics:
Total sessions submitted : 0
Samples submitted : 0
Samples analyzed : 0
Samples pending : 0
Samples (malicious) : 0
Samples (benign) : 0
Samples (error) : 0
Malware sent to cloud : 0
Last 7 days statistics:
Total sessions submitted : 66
Samples submitted : 34
Samples analyzed : 34
Samples pending : 0
Samples (malicious) : 2
Samples (benign) : 32
Samples (error) : 0
Malware sent to cloud : 0

3. 若要檢視更細部的統計資料，請輸入下列命令：
admin@WF-500> show wildfire latest
[analysis |samples | sessions | uploads]

例如，若要顯示最後 30 個分析結果的詳細資訊，請輸
入下列命令：
admin@WF-500> show wildfire latest
analysis

14 WildFire 管理員指南
使用 WF-500 WildFire 設備分析檔案 設定 WF-500 WildFire 設備

驗證 WILDFIRE 設備設定（續）

步驟 3 驗證已經向 WildFire 設備成功註冊設 1. 輸入下列命令，顯示已將向設備註冊的防火牆清單：

定為轉送檔案的防火牆。 admin@WF-500> show wildfire
last-device-registration all

對於傳送檔案到設備的各個已註冊防火牆，輸出應該顯
示下列資訊：防火牆序號、註冊日期、IP 位址、軟體版
本、硬體機型和狀態。如果未列出任何防火牆，防火牆
與設備之間可能有網路連線問題。檢查網路，確認防火
牆與 WildFire 設備能夠通訊。

對於閘道位址或其他一個設定為轉送到設備的防火牆，
請從設備使用 ping 測試。例如，如果其中一個防火牆的
IP 位址是 10.0.5.254，從設備執行下列 CLI 命令時將顯示
回覆：
admin@WF-500> ping host 10.0.5.254

設定虛擬電腦介面

虛擬電腦介面提供 WF-500 設備沙箱虛擬電腦的外部網路連線。下列各節說明虛擬電腦介面

（vm-interface）及設定此介面所需的步驟。其中也說明將介面連接到 Palo Alto Networks 防火牆專
用連接埠啟用網際網路連線所需的步驟。
S 什麼是虛擬電腦介面？
S 設定虛擬電腦介面
S 設定防火牆控制虛擬電腦介面的流量

什麼是虛擬電腦介面？

設定並啟用 vm-interface（在設備背面標示為 1）後，即可提升惡意軟體偵測功能。此介面允許 WildFire

虛擬電腦上執行的檔案樣本與網際網路進行通訊，並且讓 WildFire 更有效分析樣本檔案的行為，判斷
檔案是否顯現惡意軟體的特徵。
雖然建議啟用 vm-interface，不過介面不可連接到允許存取任何伺服器 / 主機的網路，因為
WildFire 虛擬電腦中執行的惡意軟體可能使用此介面自行傳播。

小心 此連線可以是專用的 DSL 線路，也可以是僅允許 vm-interface 直接存取網際網路並限制內部

伺服器 / 用戶端主機進行任何存取的網路連線。

WildFire 管理員指南 15
設定 WF-500 WildFire 設備 使用 WF-500 WildFire 設備分析檔案

下圖顯示將 vm-interface 連接到網路的兩個選項。

網際網路

選項 2
vm-interface 乙太網路連接埠 1 不信任區域
與公用 IP 位址直接連接到網
際網路，而且是與所有內部伺 公司防火牆
服器 / 主機相隔離。 WildFire 區域 信任區域

選項 1
vm-interface 乙太網路連接埠 1
10.16.0.20/22 MGT 介面連接埠
此介面連接至您防火牆上際網路 10.10.0.5/22
及政策，卻不具有任如果啟用自動 的 WildFire 區域，其具備網何內部的
提交，並且將惡意軟體轉送到伺服 存取權。接收從公司防火牆轉送的檔
器 / 主機。 案，WildFire Cloud。

WildFire 設備

• 選項 1（建議）：vm-interface 連接到政策僅允許網際網路連線的防火牆上專屬區域之中的介面。
這相當重要，因為 WildFire 虛擬電腦中執行的惡意軟體可能用此介面自行傳播。這是建議的選
項，因為防火牆日誌可用來掌握 vm-interface 產生的任何流量。

• 選項 2：使用 DSL 連線之類專用的網際網路供應商連線，將 vm-interface 連接到網際網路。確

定此連線未存取內部伺服器/主機。雖然這是簡單的解決方案，不過不會記錄 vm-interface 產生
的流量，除非 WildFire 設備與 DSL 連線之間有防火牆或流量監控工具。

16 WildFire 管理員指南
使用 WF-500 WildFire 設備分析檔案 設定 WF-500 WildFire 設備

設定虛擬電腦介面

本節說明使用先前在工作流程中所述的選項 1 設定，在 WildFire 設備上設定 vm-interface 所需的步

驟。使用此選項設定 vm-interface 後，也必須在 Palo Alto Networks 防火牆設定介面，vm-interface 的
流量將透過此介面進行傳輸，如第 18 頁的「設定防火牆控制虛擬電腦介面的流量」所述。
預設使用下列設定來設定 vm-interface：
IP 位址：192.168.2.1
網路遮罩：255.255.255.0
預設閘道：192.168.2.254
DNS：192.168.2.254
如果計劃啟用此介面，請使用網路適當的設定來設定此介面。如果不計劃使用此介面，請保留預
設設定。移除此設定將導致交付失敗。

設定虛擬電腦介面

步驟 1 在 WildFire 設備上設定 vm-interface 1. 輸入 CLI 命令，進入設定模式：

的 IP 資訊。
下列將用於此範例：
•IPv4 位址 — 10.16.0.20/22
•子網路遮罩 — 255.255.252.0
•預設閘道 — 10.16.0.1
•DNS 伺服器 — 10.0.0.246
注意 vm-interface 不可位在管理介面
（MGT）所在的同一個網路。
admin@WF-500> configure
2. 設定 vm-interface 的 IP 資訊：
admin@WF-500# set deviceconfig system
vm-interface ip-address 10.16.0.20
netmask 255.255.252.0 default-gateway
10.16.0.1 dns-server 10.0.0.246
注意 只能將一個 DNS 伺服器指定給 vm-interface。最好使
用 ISP 的 DNS 伺服器或開放 DNS 服務。

步驟 2 啟用 vm-interface。 1. 若要啟用 vm-interface：

admin@WF-500# set deviceconfig setting
wildfire vm-network-enable yes
2. 交付設定：
admin@WF-500# commit

步驟 3 繼續進行下一節，設定 vm-interface 請參閱第 18 頁的「設定防火牆控制虛擬電腦介面的流量」。

將連接的防火牆介面。

WildFire 管理員指南 17
設定 WF-500 WildFire 設備
設定防火牆控制虛擬電腦介面的流量
下列範例工作流程說明如何將 vm-interface 連線到 Palo Alto Networks 防火牆的連接埠。將 vm-interface
連接到防火牆之前，防火牆必須已經有連接到網際網路的不信任區域。在此範例中，已設定名稱
為 wf-vm-zone 的新區域將設備的 vm-interface 連線到防火牆。與 wf-vm-zone 相關聯的政策將只允許
vm-interface 對不信任區域進行通訊。
設定虛擬電腦網路的防火牆介面
步驟 1 設定 vm-interface 將連線的防火牆介
面，並設定虛擬路由器。
注意 此步驟設定的 wf-vm-zone 應該只用
來從設備將 vm-interface 連線到防火
牆。請勿將其他任何介面新增到
wf-vm-zone，因為預設啟用內部區
域流量，這將使得 vm-interface 的流
量存取網際網路以外的網路。
步驟 2 在防火牆上建立安全性政策，允許
vm-interface 存取網際網路，並封鎖
所有連入的流量。在此範例中，政
策名稱為 WildFire VM Interface。
由於將不建立從不信任區域到
wf-vm-interface 區域的安全性政策，
因此預設將封鎖所有連入流量。
18
使用 WF-500 WildFire 設備分析檔案
1. 從防火牆的 Web 介面，選取 Network（網路）> Interfaces
（介面），然後選取介面，例如 Ethernet1/3。
2. 選取 Interface Type Layer3（介面類型 Layer3）。
3. 在 Config（設定）頁籤的 Security Zone（安全性地區）
下拉式方塊中，選取 New Zone（新增區域）。
4. 在區域對話方塊 Name（名稱）欄位中，輸入 wf-vm-zone，
然後按一下 OK（確定）。
5. 在 Virtual Router（虛擬路由器）下拉式方塊中，選取
default（預設）。
6. 若要將 IP 位址指定至介面，請選取 IPv4 部分，在 [IP]
部分中按一下 Add（新增），然後輸入 IP 位址及網路
遮罩以指定至介面，例如 10.16.0.0/22。
7. 若要儲存介面設定，請按一下 OK（確定）。
1. 選取 Policies（政策）> Security（安全性），並且按一
下 Add（新增）。
2. 在 General（一般）頁籤的 Name（名稱）欄位中，輸入
WildFire VM Interface。
3. 在 Source（來源）頁籤中，設定 Source Zone（來源地
區）為 wf-vm-interface。
4. 在 Destination （目的地）頁籤中，設定 Destination Zone
（目的地區域）為 [Untrust（不信任）]。
5. 在 Application（應用程式）及 Service/ URL Category
（服務 /URL 類別）頁籤中，保留預設的 Any（任何）。
6. 在 Actions（動作）頁籤中，設定 Action Setting（動作
設定）為 Allow（允許）。
7. 在 Log Setting（日誌設定）下，選取 Log at Session End
（同時連線結束時的日誌）核取方塊。
注意 如果擔心有人可能不慎將其他介面新增到 wf-vm-zone，
請複製 WildFire VM 介面安全性政策，然後在複製
的規則相應的 Action（動作）頁籤中，選取 Deny
（拒絕）。確定這個新的安全性政策列在 WildFire
VM 介面政策下。這將導致允許同一個區域中的介
面之間進行通訊的隱含內部區域允許規則遭到覆
寫，而拒絕 / 封鎖所有內部區域通訊。
WildFire 管理員指南
使用 WF-500 WildFire 設備分析檔案 設定 WF-500 WildFire 設備

設定虛擬電腦網路的防火牆介面（續）

步驟 3 連接纜線。 使用直通式 RJ-45 纜線，將 WildFire 設備的 vm-interface 直接

連接到在防火牆上設定的連接埠（在此範例中為 Ethernet
1/3）。vm-interface 在設備背面是標示為 1。

步驟 4 驗證 vm-interface 正在傳輸和接收 1. 從 WildFire 設備 CLI 操作模式中，執行下列命令：

流量。 admin@WF-500> show interface vm-interface
2. 所有介面計數器都將顯示。驗證接收 / 傳輸計數器確實
增加。執行下列命令產生 ping 流量：
admin@WF-500> ping source vm-interface-ip
host gateway-ip

例如：
admin@WF-500> ping source 10.16.0.20 host
10.16.0.1

更新 WF-500 WildFire Appliance Software

本節說明在 WF-500 WildFire 設備更新 WildFire Appliance Software 所需的步驟。軟體更新包含軟體

最新功能及錯誤修正程式。使用 Palo Alto Networks 更新伺服器，或手動下載安裝更新，即可將應
用程式升級（請參閱第 21 頁的「手動軟體更新」）。如需特定軟體版本的詳細資訊，請參閱相對
應的發行註記。
更新 WF-500 WILDFIRE APPLIANCE SOFTWARE

步驟 1 檢視設備上目前的 WildFire 1. 輸入下列命令，並檢查 sw-version 欄位 :

Appliance Software 版本，查看是否 admin@WF-500> show system info
有新版本可供使用。 2. 輸入下列命令，檢視最新的發行版本：
admin@WF-500> request system software
check
注意 如果設備無法聯繫 Palo Alto Networks 更新伺服器，
請確定設備獲得授權，而且 DNS 能夠確實解析。您
也可以從設備進行測試，方法是 ping Palo Alto Networks
更新伺服器，確定該伺服器可連線。執行下列 CLI
命令：
admin@WF-500> ping host
updates.paloaltonetworks.com

WildFire 管理員指南 19
設定 WF-500 WildFire 設備
更新 WF-500 WILDFIRE APPLIANCE SOFTWARE（續）
步驟 2 下載安裝新版 WildFire Appliance
Software。
步驟 3 安裝新版後，重新啟動設備。
20
使用 WF-500 WildFire 設備分析檔案
1. 若要安裝新版軟體，請使用下列命令：
admin@WF-500> request system software
download file filename
例如：
admin@WF-500> request system software
download file WildFire_m-5.1.0
2. 使用下列命令，驗證檔案已完成下載：
admin@WF-500> show jobs pending
或者
admin@WF-500> show jobs all
3. 下載檔案後，使用下列命令安裝檔案：
admin@WF-500> request system software
install file filename
例如：
admin@WF-500> request system software
install file WildFire_m-5.1.0
1. 使用下列命令，監控升級狀態：
admin@WF-500> show jobs pending
2. 升級完成後，使用下列命令重新啟動設備：
admin@WF-500> request restart system
3. 重新啟動後，執行下列 CLI 命令，然後檢查 sw-version
欄位，驗證已安裝新版。
admin@WF-500> show system info
WildFire 管理員指南
使用 WF-500 WildFire 設備分析檔案 設定 WF-500 WildFire 設備

更新 WF-500 WILDFIRE APPLIANCE SOFTWARE（續）

手動軟體更新
如果 WildFire 設備沒有網路連線可連線到 1. 導覽至 https://support.paloaltonetworks.com/，並且在 Manage
Palo Alto Networks 更新伺服器，您可以手 Devices（管理設備）部分中，按一下 Software Updates
動升級軟體。 （軟體更新）。
2. 將要安裝的 WildFire 設備軟體影像檔案下載到執行 SCP
伺服器軟體的電腦。
3. 從 SCP 伺服器匯入軟體影像：
scp import software from
username@ip_address/foldername imagefile

例如：
admin@WF-500> scp import software from
user1@10.0.3.4:/tmp/WildFire_m-5.1.0
4. 安裝影像檔案：
admin@WF-500> request system software
install file imagefilename
5. 升級完成後，重新啟動設備：
admin@WF-500> request restart system
6. 重新啟動後，輸入下列 CLI 命令，然後檢查 sw-version
欄位，驗證已安裝新版。
admin@WF-500> show system info

WildFire 管理員指南 21
將檔案轉送至 WF-500 WildFire 設備 使用 WF-500 WildFire 設備分析檔案

將檔案轉送至 WF-500 WildFire 設備

本節說明設定 Palo Alto Networks 防火牆開始將檔案轉送到 WF-500 WildFire 設備所需的步驟，並說
明如何驗證設備的設定。
雖然防火牆能夠轉送到 WildFire 設備（需要 WildFire 使用授權）或轉送到 WildFire Cloud，為了達
到更好的掌控效果，請務必設定所有防火牆指向同一個 WildFire 系統。對於 Panorama 管理的防火
牆，可簡化 WildFire 軟體，方法是使用 Panorama 範本將 WildFire 伺服器資訊、允許的檔案大小及
工作階段資訊設定推送到防火牆。使用 Panorama 設備群組，設定並推送檔案封鎖設定檔和安全性
政策規則。Panorama 只能指向一個 WildFire 系統（WildFire 設備或 WildFire Cloud）。
如果將檔案轉送到 WildFire 的防火牆與 WildFire Cloud 或 WildFire 設倍之間有防火牆，請
確定介於中間的防火牆已允許必要的連接埠。

• WildFire Cloud：使用連接埠 443 進行登錄和檔案提交。

• WildFire 設備：使用連接埠 443 進行登錄，並使用連接埠 10443 進行檔案
提交。

對於將檔案轉送到 WildFire 設備的各個防火牆執行下列步驟：

設定轉送到 WF-500 WILDFIRE 設備

步驟 1 驗證防火牆具備 WildFire 使用授權， 1. 導覽至 Deviece（設備）> Licenses（授權），並確定

而且動態更新已排程完畢且是最新 防火牆已安裝有效的 WildFire 及威脅防護使用授權。
狀態。 2. 導覽至 Device（設備）> Dynamic Updates（動態更
新），並按一下 Check Now（立即檢查），確定防火牆
有最新的防毒、應用程式和威脅以及 WildFire 更新。
3. 如果未排定更新，請立即排定。務必錯開更新排程，因
為一次只能進行一個更新。如需建議的設定，請參閱第
26 頁的「動態更新最佳作法」。

22 WildFire 管理員指南
使用 WF-500 WildFire 設備分析檔案 將檔案轉送至 WF-500 WildFire 設備

設定轉送到 WF-500 WILDFIRE 設備（續）

步驟 2 定義防火牆將轉送檔案進行分析的 1. 導覽至 Device（設備）> Setup（設定）> WildFire。

WildFire 伺服器。 2. 按一下 General Settings（一般設定）編輯圖示。
3. 在 WildFire Server（WildFire 伺服器）欄位中，輸入
WF-500 WildFire 設備的 IP 位址或 FQDN。
注意 若要將 WildFire Server（WildFire 伺服器）欄位重
設為預設值，最好的方法是清除欄位，並按一下
[OK（確定）]。這將確保新增正確的值。
此外，使用 WildFire 設備時，確定未啟用
disable-server-select，否則防火牆將無法把檔案傳送至
設備。執行下列命令，並確認未將 disable-server-select
設定為 yes：
admin@PA-200# show deviceconfig
setting wildfire

預設會停用此選項，因此除非將選項設為 no 或 yes，
否則不會在設定中顯示該選項。您也可以執行命令
來檢查正在執行的設定：
admin@PA-200# show config running |
match wildfire
隨後將顯示所有 WildFire 設定。

WildFire 管理員指南 23
將檔案轉送至 WF-500 WildFire 設備 使用 WF-500 WildFire 設備分析檔案

設定轉送到 WF-500 WILDFIRE 設備（續）

步驟 3 設定檔案封鎖設定檔定義將觸發轉送 1. 導覽至 Objects（目標）> Security Profiles（安全性設

到 WildFire 的應用程式及檔案類型。 定檔）> File Blocking（檔案封鎖）。
注意 如果您在物件設定檔 [File Types（檔 2. 按一下 Add（新增）新增設定檔，並輸入 Name（名稱）
案類型）] 欄中選擇 PE 選取檔案類 與 Description（描述）。
型的類別，請勿新增屬於該類別的 3. 按一下 File Blocking Profile（檔案封鎖設定檔）視窗中
個別檔案類型，否則資料篩選日誌 的 Add（新增），然後再次按一下 Add（新增）。按一
將出現重複的項目。例如，如果您 下 Names（名稱）欄位，並輸入規則名稱。
選取 PE，也請勿選取 exe，因為這 4. 選取將符合此設定檔的 Applications（應用程式）。例如，
屬於 PE 類別。這也適用於 zip 檔案 選取 web-browsing（網頁瀏覽）的應用程式將使得應
類型，因為支援的壓縮檔案類型將
用程式比對任何屬於網頁瀏覽的應用程式流量。
自動傳送到 WildFire。
5. 在 File Type（檔案類型）欄位中，選取將觸發轉送動作
選擇類別而不選擇個別的檔案類 的檔案類型。選擇 Any（任何）轉送 WildFire 支援的所
有檔案類型，或選取 PE 僅轉送可攜式執行檔檔案。
型，也將確保新的檔案類型新增至
指定的類別，因此自動成為檔案封 6. 在 Direction（方向）欄位中，選取 upload（上載）、
鎖設定檔的一部分。如果您選取 Any download（下載）或 Both（兩者）。選取 Both（兩者）
（任何），所有支援的檔案類型將 將在使用者嘗試上載或下載檔案時觸發轉送。
轉送到 WildFire。 7. 如下所示定義 Action（動作）（在此範例中選擇 Forward
（轉送））：
• Forward（轉送）— 防火牆除了將任何符合此設定檔
的檔案寄送給使用者之外，也會將檔案轉送至 WildFire
進行分析。
• Continue-and-forward（繼續並轉送）— 使用者將看
見提示，而且必須按一下 Continue（繼續）才能下
載，檔案將隨即轉送至 WildFire。由於此動作需要使
用者操作 Web 瀏覽器，因此只有網頁瀏覽應用程式才
支援此動作。
注意 使用 Continue-and-forward（繼續並轉送）時，請
確定上行介面（先為使用者接收流量的介面）已附
加允許回應頁面的管理設定檔。若要設定管理設定
檔，請選取 Network（網路）> Network Profiles
（網路設定檔）> Interface Mgmt（介面管理），
並選取 Response Pages（回應頁面）核取方塊。
在上行介面設定的 Advanced（進階）頁籤附加管
理設定檔。
8. 按一下 OK（確定）儲存變更。

24 WildFire 管理員指南
使用 WF-500 WildFire 設備分析檔案
設定轉送到 WF-500 WILDFIRE 設備（續）
步驟 4 若要使用 SSL 加密從網站將檔案轉
送到 WildFire，請啟用解密內容的轉
送。如需設定解密的詳細資訊，請參
閱《 Palo Alto Networks 入門指南》。
注意 只有超級使用者能夠啟用此選項。
步驟 5 將檔案封鎖設定檔附加於安全性
政策。
步驟 6 （選用）修改防火牆可上載到
WildFire 的檔案大小上限。
步驟 7 （選用）修改工作階段選項，定義
哪在 WildFire 分析報告記錄哪些工
作階段資訊。
步驟 8 交付設定。
WildFire 管理員指南
將檔案轉送至 WF-500 WildFire 設備
1. 導覽至 Device （設備）> Setup（設定）> Content-ID
（內容 ID）。
2. 按一下 URL Filtering（URL 過濾）選項的編輯圖示，並
啟用 Allow Forwarding of Decrypted Content（允許轉
寄解密的內容）。
3. 按一下 OK（確定）儲存變更。
注意 如果防火牆有多個虛擬系統，您必須按照 VSYS 啟用
此選項。在此情況下，請導覽至 Device（設備）>
Virtual Systems（虛擬系統），按一下要修改的虛
擬 系 統，並 選 取 Allow Forwarding of Decrypted
Content（允許轉寄解密的內容）核取方塊。
1. 導覽至 Policies（政策）> Security（安全性）。
2. 按一下 Add（新增）為套用 WildFire 轉送的區域建立新
政策，或選取現有的安全性政策。
3. 在 Actions（動作）頁籤上，從下拉式清單中選取 File
Blocking（檔案封鎖）。
注意 如果此安全性規則沒有任何附加的設定檔，請從
Profile Type（設定檔類型）下拉式清單中選取
Profiles（設定檔），選取檔案封鎖設定檔。
1. 導覽至 Device（設備）> Setup（設定）> WildFire。
2. 按一下 General Settings（一般設定）編輯圖示。
3. 在 Maximum File Size（MB）（最大檔案大小（MB））
欄位中，輸入傳送到 WildFire 進行分析的檔案最大大小
（範圍 1 至 10 MB；預設 2MB）。
1. 按一下 Session Information Settings（工作階段資訊設
定）編輯圖示。
2. 依預設，報告將顯示所有工作階段資訊。清除與將從
WildFire 分析報告移除的任何欄位相對應的核取方塊。
3. 按一下 OK（確定）儲存變更。
按一下 Commit（交付）套用設定。
在安全性原則評估期間，所有與檔案封鎖政策中定義的條件
相符的檔案將轉送到 WildFire 進行分析。如需檢視已分析的
檔案相關的資訊，請參閱第 45 頁的「監控、追蹤和避免網
路上的惡意軟體」。
如需驗證設定的相關資訊，請參閱第 27 頁的「驗證防火牆
上的 WildFire 設定」。
25
將檔案轉送至 WF-500 WildFire 設備 使用 WF-500 WildFire 設備分析檔案

動態更新最佳作法

下列項目列出使用 WildFire 且具備 WildFire 及威脅防範使用授權的一般防火牆本身的動態更新最佳

做法。為了簡化工作流程，請使用 Panorama 透過 Panorama 範本將動態更新排程推送到受管理的防
火牆。這可確保所有防火牆相互一致，並簡化更新排程的管理。
這些方針提供兩個排程選項：最低限度的建議排程和更積極的排程。選擇更積極的做法將使得設
備更頻繁執行更新，其中某些更新可能相當大（超過 100MB 的防毒更新）。另外，在罕見的情況下，
可能會發生錯誤。因此，請考慮將新的更新安裝延遲到發行後數小時。使用 Threshold（Hours）
（小時經過的分鐘數）欄位，指定執行內容更新前須等候的發行後時間長度。

• 防毒 — 新的房讀內容更新每天發行。若要取得最新內容，請將這些更新排定在每天最低限度
的時間間隔。若要更積極的排程，請排定每小時更新。

• 應用程式及威脅 — 新的 App-ID、弱點防護和反間諜軟體特徵碼都會每週更新內容（通常在星
期二）。若要收到最新內容，請將這些更新排定在每週最低限度的時間間隔。若要更積極的
排程，確保防火牆在最新的內容發行後立即收到這些內容（包括不定期的排程外緊急內容發
行），並排程每天進行。

• WildFire — 新的 WildFire 防毒特徵碼每 30 分鐘發行。端視在發行週期內何時發現新的惡意軟

體而定，WildFire 第一次發現時，將在 30 到 60 分鐘內提供 WildFire 特徵碼。若要取得最新的
WildFire 特徵碼，請將這些更新排定在每小時或每半小時執行。若要更積極的排程，可排定防
火牆每 15 分鐘檢查更新。
儘管 WildFire 更新可能與防毒與威脅特徵碼發生衝突，應仍能成功更新，因為它比典型的防毒 / 應
用程式和威脅特徵碼要小得多。各個 WildFire 更新一般包含過去七天產生的特徵碼，這些特徵碼
均寫入每 24 到 48 小時進行的防毒特徵碼更新。

26 WildFire 管理員指南
使用 WF-500 WildFire 設備分析檔案 將檔案轉送至 WF-500 WildFire 設備

驗證防火牆上的 WildFire 設定

本節說明驗證防火牆上的 WildFire 設定所需的步驟。

驗證防火牆上的 WILDFIRE 設定

步驟 1 檢查 WildFire 及威脅防範使用授權 1. 導覽至 Device（設備）> Licenses（授權），並確認以

及 WildFire 登錄。 安裝有效的 WildFire 及威脅防範使用授權。如果未安裝有
注意 防火牆必須有 WildFire 使用授權， 效的授權，請移至 License Management（授權管理）部
才能將檔案轉送到 WildFire 設備。 分，按下 Retrieve（從授權伺服器擷取）license keys
from the license server（授權金鑰）。
2. 若要檢查防火牆能否與 WildFire 系統進行通訊，以便將
檔案轉送到系統進行分析，請執行下列 CLI 命令：
admin@PA-200> test wildfire registration

在下列輸出中，防火牆指向 WildFire 設備。如果防火牆指

向 WildFire Cloud，將顯示 WildFire Cloud 其中一個 WildFire
系統的主機名稱。
Test wildfire
wildfire registration: successful
download server list: successful
select the best server: 192.168.2.20:10443

3. 如果授權持續發生問題，請聯絡零售商或 Palo Alto Networks

系統工程師確認各個授權，並且在必要時取得新的授
權碼。

步驟 2 確認防火牆將檔案傳送到正確的 1. 若要判斷防火牆將檔案轉送到何處（到 Palo Alto Networks

WildFire 系統。 WildFire Cloud 或 WildFire 設備），請導覽至 Device（設
備）> Setup（設定）> WildFire。
2. 按一下 General Settings（一般設定）編輯圖示。
3. 如果防火牆將檔案轉送到 WildFire Cloud，此欄位應該顯
示 default-cloud。如果檔案轉送到 WildFire 設備，將顯
示 WildFire 的 IP 位址或 FQDN。在 Panorama，預設的雲
端名稱是 wildfire-public-cloud。
注意 如果修改此欄位中的值，但是想要回復 default-cloud
設定，請清除 WildFire Server（WildFire 伺服器）
欄位，並按一下 OK（確定）。這會將欄位重設為
預設值。

使用 WildFire 設備時，確定未啟用 disable-server-select，

否則設備將無法收到從防火牆傳送的檔案。檢查下
列設定，確定設定為 no：
admin@PA-200# set deviceconfig setting
wildfire disable-server-select

WildFire 管理員指南 27
將檔案轉送至 WF-500 WildFire 設備 使用 WF-500 WildFire 設備分析檔案

驗證防火牆上的 WILDFIRE 設定（續）

步驟 3 檢視日誌。 1. 導覽至 Monitor（監控）> Logs（日誌）> Data Filtering

（資料篩選）。
2. 檢視 Actions（動作）欄，確認檔案轉送到 WildFire：
• Forward（轉送）— 如果檔案封鎖設定檔及安全性政
策成功轉送檔案則顯示。
• Wildfire-upload-success — 如果檔案傳送到 WildFire
則顯示。這表示受信任的檔案簽署者未簽署該檔案，
而且 WildFire 先前未分析該檔案。
• Wildfire-upload-skip — 針對檔案封鎖設定檔 / 安全性
政策允許傳送給 WildFire，但 WildFire 不需要分析（因
為先前已分析）的所有檔案顯示。在此情況下，會在
Data Filtering（資 料 過 濾）中 顯 示 forward（轉 送）動
作（因 為 它 是 有 效 的 轉 送 動 作），但 不 會 傳 送 給
WildFire 及進行分析，因為該檔案已從其他工作階段
傳送至 WildFire Cloud，可能是從其他防火牆。
3. 選取 Monitor（監控）> Logs（日誌）> WildFire，檢
視 WildFire 日 誌（需 要 使 用 授 權）如 果 有 WildFire 日
誌，表示防火牆將檔案成功轉送到 WildFire，而且 WildFire
傳迴檔案分析結果。
注意 如需 WildFire 相關日誌的詳細資訊，請參閱第 46 頁
的「關於 WildFire 日誌」。

步驟 4 查看檔案封鎖政策。 1. 導覽至 Objects（物件）> Security Profiles（安全性

設定檔）> File Blocking（檔案封鎖），並按一下檔案
封鎖設定檔進行修改。
2. 確認動作是設定為 forward（轉送）或 continue-and-
forward（繼續並轉送）。如果設定為 continue-and-
forward（繼續並轉送），將只轉送 http/https 流量，因
為這是唯一能夠提示使用者按一下繼續的流量。

步驟 5 查看安全性政策。 1. 導覽至 Policies（原則）> Security（安全性），並按

一下觸發檔案轉送到 WildFire 的安全性政策。
2. 按一下 Actions（動作）頁籤，確定在 File Blocking（檔
案封鎖）下拉式清單中選取檔案封鎖政策。

28 WildFire 管理員指南
使用 WF-500 WildFire 設備分析檔案 將檔案轉送至 WF-500 WildFire 設備

驗證防火牆上的 WILDFIRE 設定（續）

步驟 6 查看 WildFire 狀態。 執行下列 CLI 命令，查看 WildFire 的狀態，並確認統計資料

持續增加：
• 檢查 WildFire 的狀態：
admin@PA-200> show wildfire status
將檔案轉送到 WildFire Cloud 時，輸入應該如下所示：
Connection info:
Wildfire cloud: default cloud
Status: Idle
Best server: ca-s1.wildfire.paloaltonetworks.com
Device registered: yes
Valid wildfire license: yes
Service route IP address: 192.168.2.1
Signature verification: enable
Server selection: enable
Through a proxy: no

Forwarding info:
file size limit (MB): 2
file idle time out (second): 90
total file forwarded: 0
forwarding rate (per minute): 0
concurrent files: 0

注意 如果防火牆將檔案轉送到 WildFire 設備，Wildfire

cloud: 欄位將顯示設備的 IP 位址或主機名稱，而
Best server: 將不顯示值：
• 使用下列命令查看統計資料，判斷值是否增加：
admin@PA-200> show wildfire statistics
以下顯示運作防火牆的輸出。如果未顯示值，表示防火牆並
未轉送檔案。
Total msg rcvd: 8819
Total bytes rcvd: 7064822
Total msg read: 8684
Total bytes read: 6756221
Total msg lost by read: 135
DP receiver reset count: 2
Total file count: 42
CANCEL_FILE_DUP 31
CANCEL_FILESIZE_LIMIT 2
DROP_NO_MATCH_FILE 135
FWD_CNT_LOCAL_FILE 9
FWD_CNT_LOCAL_DUP 30
FWD_CNT_REMOTE_FILE 9
FWD_CNT_REMOTE_DUP_CLEAN 24
FWD_CNT_REMOTE_DUP_TBD 3
FWD_CNT_CACHE_SYNC 1
FWD_ERR_CONN_FAIL 16776
LOG_ERR_REPORT_CACHE_NOMATCH 47
Service connection reset cnt: 1
data_buf_meter 0%
msg_buf_meter 0%
ctrl_msg_buf_meter 0%
fbf_buf_meter 0%

WildFire 管理員指南 29
將檔案轉送至 WF-500 WildFire 設備 使用 WF-500 WildFire 設備分析檔案

驗證防火牆上的 WILDFIRE 設定（續）

步驟 7 檢查動態更新狀態及排程。若要確 1. 導覽至 Device（設備）> Dynamic Updates（動態更

定防火牆自動接收 WildFire 產生的 新）。
特徵碼。 2. 確定防毒、應用程式和威脅以及 WildFire 有最新的更新，
而且對於各個項目設定排程。請錯開更新排程，因為一
次只能進行一個更新。
3. 按一下視窗底端的 Check Now（立即檢查），查看是否
有任何新的更新，這也將確認防火牆能夠與
updates.paloaltonetworks.com 進行通訊。
如果防火牆無法連線到更新伺服器，請直接從 Palo Alto
Networks 下載更新。登入 https://support.paloaltonetworks.com，
並且在 [Manage Devices（管理設備頁籤）] 部分中，按一
下 [Dynamic Updates（動態更新）] 查看可用的更新。
如需動態更新的詳細資訊，請參閱《 Palo Alto Networks 入門
指南》的「管理內容更新」部分。

30 WildFire 管理員指南
 3 使用 WildFire Cloud 分析檔案
本章說明開始直接從防火牆、手動從入口網站或以程式設計方式透過 WildFire API 將檔案上載到
Palo Alto Networks WildFire Cloud 進行檔案分析所需的步驟。本章包含以下幾節：
S 將檔案轉送至 WildFire Cloud
S 將檔案上載至 WildFire Cloud 入口網站
S 使用 WildFire API 上載檔案

WildFire 管理員指南 31
將檔案轉送至 WildFire Cloud 使用 WildFire Cloud 分析檔案

將檔案轉送至 WildFire Cloud

若要設定防火牆自動將不明檔案提交到 WildFire，請設定「轉送」或「繼續並轉送」動作的檔案
封鎖設定檔，然後附加到要檢查零時差惡意軟體所用的安全性規則。例如，您可以設定檔案封鎖
設定檔的原則，觸發防火牆轉送使用者瀏覽網頁時嘗試下載的任何 exe 檔。如果在防火牆設定 SSL
加密檔案，並啟用轉送加密檔案的選項，則也可支援轉送 SSL 加密檔案。
如果將檔案轉送到 WildFire 的防火牆與 WildFire Cloud 或 WildFire 設備之間有防火牆，請
確定介於中間的防火牆已允許必要的連接埠。

• WildFire Cloud：使用連接埠 443 進行登錄和檔案提交。

• WildFire 設備：使用連接埠 443 進行登錄，並使用連接埠 10443 進行檔案提交。

對於將檔案轉送到 WildFire 的各個防火牆執行下列步驟：

設定檔案封鎖設定檔並新增到安全性設定檔

步驟 1. 驗證防火牆具備有效的威脅防範及 1. 導覽至 Device（設備）> Licenses（授權），並確定防

WildFire 使用授權，而且動態更新 火牆具備有效的 WildFire 及威脅防護使用授權。
已排程完畢且是最新狀態。 2. 導覽至 Device（設備）> Dynamic Updates（動態更
注意 雖然防火牆不需要 WildFire 使用授 新），並按一下 Check Now（立即檢查），確定防火牆
權就能夠將檔案轉送到 WildFire， 有最新的防毒、應用程式和威脅以及 WildFire 更新。
不過防火牆不提供 WildFire 日誌， 3. 如果未排定更新，請立即排定。務必錯開更新排程，因
而且防火牆不會收到每小時內的 為一次只能進行一個更新。如需建議的設定，請參閱第
WildFire 惡意軟體特徵碼更新。如 35 頁的「動態更新最佳作法」。
需使用授權的詳細資訊，請參閱第
4 頁的「WildFire 使用授權享有哪些
權益？」。

32 WildFire 管理員指南
使用 WildFire Cloud 分析檔案 將檔案轉送至 WildFire Cloud

設定檔案封鎖設定檔並新增到安全性設定檔（續）

步驟 2 設定檔案封鎖設定檔定義將觸發轉送 1. 導覽至 Objects（目標）> Security Profiles（安全性設

到 WildFire 的應用程式及檔案類型。 定檔）> File Blocking（檔案封鎖）。
注意 如果您在物件設定檔 [File Types（檔 2. 按一下 Add（新增）新增設定檔，並輸入 Name（名稱）
案類型）] 欄中選擇 PE 選取檔案類 與 Description（描述）。
型的類別，請勿新增屬於該類別的 3. 按一下 File Blocking Profile（檔案封鎖設定檔）視窗中
個別檔案類型，否則資料篩選日誌 的 Add（新增），然後再次按一下 Add（新增）。按一
將出現重複的項目。例如，如果您 下 Names（名稱）欄位，並輸入規則名稱。
選取 PE，請勿選取 exe，因為這屬 4. 選取將符合此設定檔的 Applications（應用程式）。例
於 PE 類別。這也適用於 zip 檔案類 如，選取 web-browsing（網頁瀏覽）的應用程式將使
型，因為支援的壓縮檔案類型將自
得應用程式比對任何屬於網頁瀏覽的應用程式流量。
動傳送到 WildFire。
5. 在 File Type（檔案類型）欄位中，選取將觸發轉送動作
選擇類別而不選擇個別的檔案類 的檔案類型。選擇 Any（任何）轉送 WildFire 支援的所
有檔案類型，或選取 PE 僅轉送可攜式執行檔檔案。
型，也將確保新的檔案類型新增至
指定的類別，因此自動成為檔案封 6. 在 Direction（方向）欄位中，選取 upload（上載）、
鎖設定檔的一部分。如果您選取 Any download（下載）或 Both（兩者）。Both（兩者）選項
（任何），所有支援的檔案類型將 將在使用者嘗試上載或下載檔案時觸發轉送。
轉送到 WildFire。 7. 定義 Action（動作），如下所示：
• Forward（轉送）— 防火牆除了將任何符合此設定檔
的檔案寄送給使用者之外，也會將檔案轉送至 WildFire
進行分析。
• Continue-and-forward（繼續並轉送）— 使用者將看
見提示，而且必須按一下 [continue（繼續）] 才能下
載，檔案將隨即轉送至 WildFire。由於此動作需要使
用者操作 Web 瀏覽器，因此只有網頁瀏覽應用程式才
支援此動作。
注意 使用 Continue-and-forward（繼續並轉送）時，請
確定上行介面（先為使用者接收流量的介面）已附
加允許回應頁面的管理設定檔。若要設定管理設定
檔，請選取 Network（網路）> Network Profiles
（網路設定檔）> Interface Mgmt（介面管理），
並選取 Response Pages（回應頁面）核取方塊。
在上行介面設定的 Advanced（進階）頁籤附加管理
設定檔。
8. 按一下 OK（確定）儲存變更。

WildFire 管理員指南 33
將檔案轉送至 WildFire Cloud 使用 WildFire Cloud 分析檔案

設定檔案封鎖設定檔並新增到安全性設定檔（續）

步驟 3 若要使用 SSL 加密從網站將檔案轉送 1. 導覽至 Device （設備）> Setup（設定）> Content-ID

到 WildFire，請 啟 用 解 密 內 容 的 轉 （內容 ID）。
送。如需設定解密的詳細資訊，請參 2. 按一下 URL Filtering（URL 過濾）選項的編輯圖示，並
閱《 Palo Alto Networks 入門指南》。 啟用 Allow Forwarding of Decrypted Content（允許轉
注意 只有超級使用者能夠啟用此選項。 寄解密的內容）。
3. 按一下 OK（確定）儲存變更。
注意 如果防火牆有多個虛擬系統，您必須按照 VSYS 啟
用此選項。在此情況下，請導覽至 Device（設備）>
Virtual Systems（虛擬系統），按一下要修改的虛擬
系統，並選取 Allow Forwarding of Decrypted Content
（允許轉寄解密的內容）核取方塊。

步驟 4 將檔案封鎖設定檔附加於安全性 1. 導覽至 Policies（政策）> Security（安全性）。

政策。 2. 按一下 Add（新增）為套用 WildFire 轉送的區域建立新
政策，或選取現有的安全性政策。
3. 在 Actions（動作）頁籤上，從下拉式清單中選取 File
Blocking（檔案封鎖）。
注意 如果此安全性規則沒有任何附加的設定檔，請從
Profile Type（設定檔類型）下拉式清單中選取 Profiles
（設定檔），選取檔案封鎖設定檔。

步驟 5 （選用）修改允許上載到 WildFire 的 1. 導覽至 Device（設備）> Setup（設定）> WildFire。

檔案大小上限。 2. 按一下 General Settings（一般設定）編輯圖示。
3. 在 Maximum File Size（MB）（最大檔案大小（MB））
欄位中，輸入將傳送到 WildFire 進行分析的檔案最大大
小（範圍 1 至 10 MB；預設 2MB）。

步驟 6 （選用）修改工作階段選項，定義 1. 按一下 Session Information Settings（工作階段資訊設

哪在 WildFire 分析報告記錄哪些工 定）編輯圖示。
作階段資訊。 2. 依預設，報告將顯示所有工作階段資訊。清除與將從
WildFire 分析報告移除的任何欄位相對應的核取方塊。
3. 按一下 OK（確定）儲存變更。

步驟 7 交付設定。 按一下 Commit（交付）套用設定。

在安全性原則評估期間，所有與檔案封鎖政策中定義的條件
相符的檔案將轉送到 WildFire 進行分析。如需檢視已分析的
檔案相關的資訊，請參閱第 45 頁的「監控、追蹤和避免網
路上的惡意軟體」。
如需驗證設定的相關資訊，請參閱第 36 頁的「驗證防火牆
上的 WildFire 設定」。

34 WildFire 管理員指南
使用 WildFire Cloud 分析檔案 將檔案轉送至 WildFire Cloud

動態更新最佳作法

下列項目列出使用 WildFire 且具備 WildFire 及威脅防範使用授權的一般防火牆本身的動態更新最佳

做法。為了簡化工作流程，請使用 Panorama 透過 Panorama 範本將動態更新排程推送到受管理的防
火牆。這可確保所有防火牆相互一致，並簡化更新排程的管理。
這些方針提供兩個排程選項：最低限度的建議排程和更積極的排程。選擇更積極的做法將使得設
備更頻繁執行更新，其中某些更新可能相當大（超過 100MB 的防毒更新）。另外，在罕見的情況
下，可能會發生錯誤。因此，請考慮將新的更新延遲到發行後數小時再行安裝。使用 Threshold
（Hours）（小時經過的分鐘數）欄位，指定執行內容更新前須等候的發行後時間長度。

• 防毒 — 新的防毒內容更新每天發行。若要取得最新內容，請將這些更新排定在每天最低限度
的時間間隔。若要更積極的排程，請排定每小時更新。

• 應用程式及威脅 — 新的 App-ID、弱點防護和反間諜軟體特徵碼都會每週更新內容（通常在星
期二）。若要收到最新內容，請將這些更新排定在每週最低限度的時間間隔。若要更積極的
排程，確保防火牆在最新的內容發行後立即收到這些內容（包括不定期的排程外緊急內容發
行），並排程每天進行。

• WildFire — 新的 WildFire 防毒特徵碼每 30 分鐘發行。端視在發行週期內何時發現新的惡意軟

體而定，WildFire 第一次發現時，將在 30 到 60 分鐘內提供 WildFire 特徵碼。若要取得最新的
WildFire 特徵碼，請將這些更新排定在每小時或每半小時執行。若要更積極的排程，可排定防
火牆每 15 分鐘檢查更新。

WildFire 管理員指南 35
將檔案轉送至 WildFire Cloud 使用 WildFire Cloud 分析檔案

驗證防火牆上的 WildFire 設定

本節說明驗證防火牆上的 WildFire 設定所需的步驟。

驗證防火牆上的 WILDFIRE 設定

步驟 1. 檢查 WildFire 及威脅防範使用授權 1. 導覽至 Device（設備）> Licenses（授權），並確認以

及 WildFire 登錄。 安裝有效的 WildFire 及威脅防範使用授權。如果未安裝有
效的授權，請移至 License Management（授權管理）部
分，按 下 Retrieve（從 授 權 伺 服 器 擷 取）license keys
from the license server（授權金鑰）。
2. 若要檢查防火牆能否與 WildFire 系統進行通訊，以便將
檔案轉送到系統進行分析，請執行下列 CLI 命令：
admin@PA-200> test wildfire registration

在下列輸出中，防火牆指向 WildFire Cloud。如果防火牆

指向 WildFire 設備，將顯示設備的主機名稱或 IP 位址。
Test wildfire
wildfire registration: successful
download server list: successful
select the best server: ca-s1.wildfire

3. 如果授權持續發生問題，請聯絡零售商或 Palo Alto Networks

系統工程師確認各個授權，並且在必要時取得新的授權碼。

步驟 2 確認防火牆將檔案傳送到正確的 1. 若要判斷防火牆將檔案轉送到何處（到 Palo Alto Networks

WildFire 系統。 WildFire Cloud 或 WildFire 設備），請導覽至 Device（設
備）> Setup（設定）> WildFire。
2. 按一下 General Settings（一般設定）編輯圖示。
3. 如果防火牆將檔案轉送到 WildFire Cloud，此欄位應該顯
示 default-cloud。如果檔案轉送到 WildFire 設備，將顯
示 WildFire 的 IP 位址或 FQDN。在 Panorama，預設的雲
端名稱是 wildfire-public-cloud。
注意 如果修改此欄位中的值，但是想要回復 default-cloud
設定，請清除 WildFire Server（WildFire 伺服器）
欄位，並按一下 OK（確定）。這會將欄位重設為預
設值。

如果此欄位不允許編輯，請檢查下列設定，並確定
設定為「否」：

admin@PA-200# set deviceconfig setting

wildfire disable-server-select

36 WildFire 管理員指南
使用 WildFire Cloud 分析檔案 將檔案轉送至 WildFire Cloud

驗證防火牆上的 WILDFIRE 設定（續）

步驟 3 檢視日誌。 1. 導覽至 Monitor（監控）> Logs（日誌）> Data Filtering

（資料篩選）。
2. 檢視 Actions（動作）欄，確認檔案轉送到 WildFire：
• Forward（轉送）— 如果檔案封鎖設定檔及安全性政策
成功轉送檔案則顯示。
• Wildfire-upload-success — 如果檔案傳送到 WildFire
則顯示。這表示受信任的檔案簽署者未簽署該檔案，
而且 WildFire 先前未分析該檔案。
• Wildfire-upload-skip — 針對檔案封鎖設定檔 / 安全性
政策允許傳送給 WildFire，但 WildFire 不需要分析（因
為先前已分析）的所有檔案顯示。在此情況下，會在
Data Filtering（資料過濾）中顯示 forward（轉送）
動 作（因 為 它 是 有 效 的 轉 送 動 作），但 不 會 傳 送 給
WildFire 及進行分析，因為該檔案已從其他工作階段傳
送至 WildFire Cloud，可能是從其他防火牆。
3. 選取 Monitor（監控）> Logs（日誌）> WildFire，檢視
WildFire 日誌（需要使用授權）如果有 WildFire 日誌，表
示防火牆將檔案成功轉送到 WildFire，而且 WildFire 傳回
檔案分析結果。
注意 如需 WildFire 相關日誌的詳細資訊，請參閱第 46 頁
的「關於 WildFire 日誌」。

步驟 4 查看檔案封鎖政策。 1. 導覽至 Objects（物件）> Security Profiles（安全性設

定檔）> File Blocking（檔案封鎖），並按一下檔案封
鎖設定檔進行修改。
2. 確認動作是設定為 forward（轉送）或 continue-and-
forward（繼續並轉送）。如果設定為 continue-and-
forward（繼續並轉送），將只轉送 http/https 流量，因
為這是唯一能夠提示使用者按一下繼續的流量。

步驟 5 查看安全性政策。 1. 導覽至 Policies（原則）> Security（安全性），並按一

下觸發檔案轉送到 WildFire 的安全性政策。
2. 按一下 Actions（動作）頁籤，確定在 File Blocking（檔
案封鎖）下拉式清單中選取檔案封鎖政策。

WildFire 管理員指南 37
將檔案轉送至 WildFire Cloud 使用 WildFire Cloud 分析檔案

驗證防火牆上的 WILDFIRE 設定（續）

步驟 6 查看 WildFire 狀態。 執行下列 CLI 指令，查看 WildFire 的狀態，並確認統計資料

持續增加：
• 檢查 WildFire 的狀態：
admin@PA-200> show wildfire status
將檔案轉送到 WildFire Cloud 時，輸出應該如下所示：
Connection info:
Wildfire cloud: default cloud
Status: Idle
Best server: ca-s1.wildfire.paloaltonetworks.com
Device registered: yes
Valid wildfire license: yes
Service route IP address: 192.168.2.1
Signature verification: enable
Server selection: enable
Through a proxy: no

Forwarding info:
file size limit (MB): 2
file idle time out (second): 90
total file forwarded: 0
forwarding rate (per minute): 0
concurrent files: 0

注意 如果防火牆將檔案轉送到 WildFire 設備，Wildfire

cloud: 欄位將顯示設備的 IP 位址或主機名稱，而
Best server: 將不顯示值：
• 使用下列指令查看統計資料，判斷值是否增加：
admin@PA-200> show wildfire statistics
以下顯示運作防火牆的輸出。如果未顯示值，表示防火牆並
未轉送檔案。
Total msg rcvd: 8819
Total bytes rcvd: 7064822
Total msg read: 8684
Total bytes read: 6756221
Total msg lost by read: 135
DP receiver reset count: 2
Total file count: 42
CANCEL_FILE_DUP 31
CANCEL_FILESIZE_LIMIT 2
DROP_NO_MATCH_FILE 135
FWD_CNT_LOCAL_FILE 9
FWD_CNT_LOCAL_DUP 30
FWD_CNT_REMOTE_FILE 9
FWD_CNT_REMOTE_DUP_CLEAN 24
FWD_CNT_REMOTE_DUP_TBD 3
FWD_CNT_CACHE_SYNC 1
FWD_ERR_CONN_FAIL 16776
LOG_ERR_REPORT_CACHE_NOMATCH 47
Service connection reset cnt: 1
data_buf_meter 0%
msg_buf_meter 0%
ctrl_msg_buf_meter 0%
fbf_buf_meter 0%

38 WildFire 管理員指南
使用 WildFire Cloud 分析檔案 將檔案轉送至 WildFire Cloud

驗證防火牆上的 WILDFIRE 設定（續）

步驟 7 檢查動態更新狀態及排程。若要確 1. 導覽至 Device（設備）> Dynamic Updates（動態更新）。

定防火牆自動接收 WildFire 產生的 2. 確定防毒、應用程式和威脅以及 WildFire 有最新的更新，
特徵碼。 而且對於各個項目設定排程。請錯開更新排程，因為一
次只能進行一個更新。
3. 按一下視窗底端的 Check Now（立即檢查），查看是否有
任何新的更新，這也將確認防火牆能夠與
updates.paloaltonetworks.com 進行通訊。
如果防火牆無法連線到更新伺服器，請直接從 Palo Alto Networks
下載更新。登入 https://support.paloaltonetworks.com，並且在
[Manage Devices（管理設備）] 部分中，按一下 [Dynamic
Updates（動態更新）] 查看可用的更新。
如需動態更新的詳細資訊，請參閱《Palo Alto Networks 入門
指南》的「管理內容更新」部分。

WildFire 管理員指南 39
將檔案上載至 WildFire Cloud 入口網站 使用 WildFire Cloud 分析檔案

將檔案上載至 WildFire Cloud 入口網站

所有具備支援帳戶的 Palo Alto Networks 客戶都能夠手動上載檔案到 Palo Alto Networks WildFire 入口
網站進行分析。WildFire 入口網站支援最多 10MB 的 Win32 PE 檔案手動上載。
下列程序說明手動上載檔案的步驟：
手動上載至 WILDFIRE

步驟 1. 上載將由 WildFire 分析的檔案。 1. 導覽至 https://wildfire.paloaltonetworks.com/ 並登入。

2. 按一下頁面右上方的 Upload File（上載檔案）按鈕，
並按一下 Choose File（選擇檔案）。
3. 導覽至檔案，並反白顯示檔案，然後按一下 Open（開
啟）。檔案名稱將出現在 Choose File（選擇檔案）
旁邊。
4. 按一下 Upload（上載）按鈕，將檔案上載到 WildFire。
如果成功上載檔案，將顯示如下的 Uploaded File
Information（已上載檔案資訊）快顯視窗：

5. 關閉 Uploaded File Information（已上載檔案資訊）快

顯視窗。

步驟 2 檢視分析結果。大約需要五分鐘， 1. 重新整理瀏覽器顯示的入口網站頁面。
WildFire 才能完成檔案分析。 2. 入口網站頁面的 Device（設備）清單將顯示 Manual（手
注意 由於手動上載並未與特定防火牆產 動）行項目，並且將顯示分析結果 Malware（惡意軟體）
生關聯，因此手動上載將與註冊的 或 Benign（良性）。按一下 Manual（手動）這個字。
防火牆分開顯示。 3. 報告頁面也將顯示已上載到您帳戶的所有檔案清單。找
出上載的檔案，並按一下資料欄位左邊的詳細資料圖示。
入口網站將顯示檔案分析的完整報告，詳細列出觀測道
的檔案行為，包括被鎖定成為目標的使用者、傳遞惡意
軟體的應用程式，以及與樣本的傳遞或回撥活動相關聯
的所有 URL。

如果 WildFire 識別檔案是惡意軟體，將產生特徵碼散佈
到設定進行威脅防範的所有 Palo Alto Networks 防火牆。
具備 WildFire 使用授權的防火牆可在每小時內下載這些
特徵碼。

40 WildFire 管理員指南
使用 WildFire Cloud 分析檔案 使用 WildFire API 上載檔案

使用 WildFire API 上載檔案

使用 WildFire API 能夠以程式設計方式，透過簡單的 RESTful API 介面，將檔案分析工作傳送到
WildFire Cloud，並查詢系統的報告資料。
本節包括以下主題：
S 關於 WildFire 使用授權及 API 金鑰
S 如何使用 WildFire API？
S WildFire API 提交方法
S WildFire XML 報告的查詢
S 提交及查詢的程式碼範例

關於 WildFire 使用授權及 API 金鑰

如果至少一個 Palo Alto Networks 防火牆向您組織中的帳戶擁有者註冊使用中 WildFire 使用授權，則

能夠存取 WildFire API 金鑰。您必須在組織內部共用同一個 API 金鑰。API 金鑰將在 WildFire Web 入
口網站的 My Account（我的帳戶）部分中顯示，並顯示統計資料，例如使用金鑰執行上載和查詢
的次數。金鑰應該視同密碼，不可從授權通道外流。

如何使用 WildFire API？

WildFire API 是 RESTful API，使用標準 HTTP 要求來傳送和接收資料。直接從 cURL 之類的命令行

公用程式，或使用支援 RESTful 服務的任何指令碼或應用程式架構，即可進行 API 呼叫。
API 方法位在 https://wildfire.paloaltonetworks.com/，而且需要 HTTPS 通訊協定（而非 HTTP），以
便保護 API 金鑰以及與服務交換的其他任何資料。
WildFire API 允許每天最多 100 次樣本上載和每天最多 1000 次報告查詢。

WildFire API 提交方法

使用下列方法可將檔案提交到 WildFire：
S 使用提交檔案方法將檔案提交到 WildFire
S 使用 submit-url 方法將檔案提交至 WildFire

WildFire 管理員指南 41
使用 WildFire API 上載檔案 使用 WildFire Cloud 分析檔案

使用提交檔案方法將檔案提交到 WildFire

WildFire API 支援 Win32 可執行檔。透過提交的方式讓 WildFire 在沙箱環境中開啟檔案，並且分析

檔案是否出現潛在惡意行為時，需要檔案和 API 金鑰。提交檔案方法的傳回碼指示成功或錯誤情
況。如果傳回 200 OK 代碼，表示成功提交，而且一般可在五分鐘內查詢結果。

URL https://wildfire.paloaltonetworks.com/submit-file

方法 POST

參數 檔案 將分析的樣本檔案
apikey 您的 WildFire API 金鑰

傳回 200 OK 成功；WildFire 將處理提交

401 Unauthorized API 金鑰無效
402 Payment Required API 金鑰過期
403 Forbidden API 金鑰遭撤銷
405 Method Not Allowed 已使用 POST 以外的方法
406 Not Acceptable API 金鑰錯誤
413 Request Entity Too Large 樣本檔案大小超過 10MB 的上限
418 Unsupported File Type 不支援樣本檔案類型
419 Max Request Reached 超過每天上載次數上限

使用 submit-url 方法將檔案提交至 WildFire

使用 submit-url 方法可透過 URL 提交檔案進行分析。這個方法與 submit-file 方法的介面和功能均相

同，不過檔案參數由 URL 參數所取代。URL 參數必須指向可存取且受支援的檔案類型（Win32 可
執行檔）。如果傳回 200 OK 代碼，表示成功提交，而且通常可在五分鐘內查詢結果。

URL https://wildfire.paloaltonetworks.com/submit-url

方法 POST

參數 url 將分析檔案的 URL

apikey 您的 WildFire API 金鑰

42 WildFire 管理員指南
使用 WildFire Cloud 分析檔案 使用 WildFire API 上載檔案

傳回 200 OK 成功；WildFire 將處理提交

401 Unauthorized API 金鑰無效
402 Payment Required API 金鑰過期
403 Forbidden API 金鑰遭撤銷
405 Method Not Allowed 已使用 POST 以外的方法
406 Not Acceptable API 金鑰錯誤
413 Request Entity Too Large 樣本檔案大小超過 10MB 的上限
418 Unsupported File Type 不支援樣本檔案類型
419 Max Request Reached 超過每天上載次數上限

WildFire XML 報告的查詢

使用 get-report-xml 方法可查詢特定樣本分析結果的 XML 報告。使用樣本檔案的 MD5 或 SHA-256

雜湊做為搜尋雜詢。

URL https://wildfire.paloaltonetworks.com/get-report-xml

方法 POST

參數 md5 下一列顯示的所要求報告 MD5 雜湊或 sha256 雜湊。

sha256 所要求報告的 SHA-256 雜湊
apikey 您的 WildFire API 金鑰

傳回 200 OK 成功；WildFire 將處理提交

401 Unauthorized API 金鑰無效
404 Not Found 找不到報告
405 Method Not Allowed 已使用 POST 以外的方法

從 WildFire Cloud 按照轉送檔案的防火牆序號（device_ID）和報告 ID（tid）也可擷取報告。tid 值

可位在威脅日誌的 CSV、系統日誌或 API 威脅中。

URL https://wildfire.paloaltonetworks.com/publicapi/report

方法 POST

參數 device_id 將檔案轉送到 WildFire 的防火牆序號。

report_id 報告 ID（tid）位在威脅日誌的 CSV、系統日誌或 API
威脅中。

格式 XML

WildFire 管理員指南 43
使用 WildFire API 上載檔案 使用 WildFire Cloud 分析檔案

傳回 200 OK 成功；WildFire 將處理提交

401 Unauthorized API 金鑰無效
404 Not Found 找不到報告
405 Method Not Allowed 已使用 POST 以外的方法

提交及查詢的程式碼範例

下列殼層程式碼範例顯示將檔案提交到 WildFire API 進行分析的簡單指令碼。提供的 API 金鑰是第

一個參數，檔案的路徑是第二個參數：
# 使用 APIKEY 手動將樣本上載到 WildFire
# 參數 1：APIKEY
# 參數 2：檔案的位置

key=$1
file=$2

/usr/bin/curl -i -k -F apikey=$key -F file=@$file

https://wildfire.paloaltonetworks.com/submit-file

下列 cURL 指令顯示使用所需樣本的 MD5 雜湊進行的 XML 報告查詢：

curl -i -k -F md5=[MD5 HASH] -F apikey=[API KEY] -F
https://wildfire.paloaltonetworks.com/get-report-xml

下列 cURL 指令顯示使用所需樣本的 device_ID 和 report_ID 進行的 XML 報告查詢：

curl -i -k -F device_id=[SERIAL NUMBER] -F report_id=[TID FROM LOG] -F format=xml

https://wildfire.paloaltonetworks.com/publicapi/report

44 WildFire 管理員指南
 4 監控、追蹤和避免網路上的惡意軟體
本章說明 WildFire 報告及日誌記錄系統，並且將顯示管理員如何此使用此功能追蹤威脅，並識別
遭惡意軟體鎖定的使用者。
S 關於 WildFire 日誌
S 使用 WildFire Cloud 監控提交
S 自訂 WildFire 入口網站設定
S WildFire 入口網站使用者帳戶
S 檢視 WildFire 報告
S 設定對於偵測到的惡意軟體所發出的警示
S WildFire 的運作

WildFire 管理員指南 45
關於 WildFire 日誌 監控、追蹤和避免網路上的惡意軟體

關於 WildFire 日誌
設定為將檔案轉送到 WildFire 的各個防火牆將在資料過濾日誌中記錄轉送動作，在 WildFire 分析檔
案後，結果將送回防火牆，並且將在 WildFire 日誌中顯示（需要 WildFire 使用授權）。按一下
View WildFire Report（檢視 WildFire 報告）按鈕，即可在詳細的 WildFire 日誌中顯示各個檔案的
詳細分析報告。接著將從 WildFire 設備或 WildFire Cloud 擷取報告。如果並未安裝 WildFire 使用授
權，而且防火牆正在將檔案轉送到 WildFire Cloud，則可從位於 https://wildfire.paloaltonetworks.com
的 WildFire 入口網站檢視分析報告。

如果防火牆正在將檔案轉送到 WildFire 設備進行分析，則只能從防火牆檢視日誌結果；

Web 入口網站無法直接存取設備。

• 轉送動作日誌 — 位於 Monitor（監控）> Logs（日誌）> Data Filtering（資料過濾）中的資

料過濾日誌將顯示按照封鎖設定檔封鎖 / 轉送的檔案。若要判斷哪些檔案轉送到 WildFire，請
在日誌的 Action（動作）欄找出下列的值：
日誌 說明
wildfire-upload-success 已將檔案傳送至雲端。這表示受信任的檔案簽署者未簽署該檔
案，而且 WildFire 先前未分析該檔案。
wildfire-upload-skip 針對檔案封鎖設定檔 / 安全性政策允許傳送給 WildFire，但 WildFire
不需要分析（因為先前已分析）的所有檔案顯示。在此情況下，
會在 Data Filtering（資料過濾）中顯示 forward（轉送）動作（因
為它是有效的轉送動作），但不會傳送給 WildFire 及進行分析，
因為該檔案已從其他工作階段傳送至 WildFire Cloud，可能是從其
他防火牆。
如果啟用良性檔案日誌，也將對於先前出現的良性檔案顯示
wildfire-upload-skip，檔案不需要傳送到雲端進行分析。執行 set
deviceconfig setting wildfire report-benign-file，從 CLI 開始啟用檔案
日誌記錄。

• WildFire 日誌 — WildFire 掃描的分析結果將在分析完成後傳回防火牆日誌（需要 WildFire 使用

授權）。這些日誌將寫入在 Monitor（監控）> Logs（日誌）> WildFire 中轉送檔案的防火牆。
如果日誌從防火牆轉送到 Panorama，日誌將寫入 Monitor（監控）> Logs（日誌）> WildFire
Submissions（WildFire 提交）中的 Panorama 伺服器。WildFire 日誌的 Category（類別）欄顯
示 benign（良性），表示檔案安全無虞，顯示 malicious（惡意）表示 WildFire 判斷檔案包含
惡意程式碼。如果判斷檔案為惡意檔案，WildFire 特徵碼產生器將產生特徵碼。如果您使用
WildFire 設備，必須在設備啟用自動提交，以便將惡意軟體感染的檔案傳送到 WildFire Cloud 產
生簽章。
若要檢視 WildFire 分析的檔案詳細的報告，請找出 WildFire 日誌中的日誌向幕，並按一下日誌
項目左邊的圖示，然後按一下 View WildFire Report（檢視 WildFire 報告）按鈕。隨即出現存
取報告的登入提示，再輸入正確的認證後，將從 WildFire 系統擷取報告，並且在瀏覽器中顯
示。如需存取 WildFire Cloud 的入口網站帳戶相關的資訊，請參閱第 49 頁的「WildFire 入口網
站使用者帳戶」。如需從 WildFire 設備擷取報告所用的管理帳戶相關的資訊，請參閱第 10 頁
的「執行初始設定」以及說明入口網站管理帳戶的步驟。

46 WildFire 管理員指南
監控、追蹤和避免網路上的惡意軟體 使用 WildFire Cloud 監控提交

使用 WildFire Cloud 監控提交

瀏覽到位於 https://wildfire.paloaltonetworks.com 的 Palo Alto Networks WildFire Cloud，使用您的 Palo
Alto Networks 支援認證或 WildFire 帳戶登入。入口網站會開啟並顯示儀表板，列出所有防火牆的
摘要報表資訊（以及任何手動上載的檔案），這些防火牆與特定 WildFire 使用授權或支援帳戶有
相關。對於各個設備，將顯示偵測到的惡意軟體檔案數、已分析的良性檔案數和等待分析的擱置
檔案 數這 三項統 計資料。另 外也將 顯示 第一次 向入 口網站 註冊 的防火 牆開始 將檔 案轉送 到
WildFire 的日期和時間。
如需設定可用來檢視報告資訊的其他 WildFire 帳戶相關的資訊，請參閱第 49 頁的「WildFire 入口
網站使用者帳戶」。

WildFire 管理員指南 47
使用 WildFire Cloud 監控提交 監控、追蹤和避免網路上的惡意軟體

自訂 WildFire 入口網站設定

本節說明可對於入口網站帳戶自訂的設定，例如各個防火牆的時區及電子郵件通知。您也可以刪
除將檔案轉送到 WildFire Cloud 的各個防火牆本身的日誌。

WILDFIRE 入口網站設定

步驟 1. 設定入口網站帳戶的時區。 1. 瀏覽到位於 https://wildfire.paloaltonetworks.com 的入口網

站，使用您的 Palo Alto Networks 支援認證或 WildFire 帳
戶登入。
2. 按一下入口網站視窗右上角的 Settings（設定）連結。
3. 從下拉式清單中選取時區，然後按一下 Update Time Zone
（更新時區）儲存變更。
注意 將在 WildFire 詳細報告出現的時間戳記將使用在入口
網站帳戶設定的時區。
4. 再次按一下 Settings（設定）連結，返回設定頁面。

步驟 2 刪除特定防火牆的 WildFire 日誌。 1. 在 Delete WildFire Logs（刪除 WildFire 日誌）下拉式

這將刪除所選防火牆所有的日誌和 清單中，選取防火牆（按照序號）。
通知。 2. 按一下 Delete Logs（刪除日誌）按鈕。
3. 按一下 OK（確定）繼續刪除。

步驟 3 設定將按照提交到 WildFire 的檔案 1. 從入口網站設定頁面中，找出 Email Notifications（電子

結果產生的電子郵件通知。 郵件通知）部分。隨即出現包含欄標題 Device（設備）、
Malware（惡意軟體）和 Benign（良性）的表格。
2. 第一列項目將顯示 Manual（手動）。選取 Malware（惡
意軟體）和/或 Benign（良性），接收手動上載到 WildFire
Cloud 的檔案或使用 WildFire API 提交的檔案相關的通
知。若要接收轉送到 WildFire Cloud 的防火牆相關的通
知，請勾選各個防火牆旁邊的 Malware（惡意軟體）和 /
或 Benign（良性）核取方塊。
注意 選取欄標題 Malware（惡意軟體）和 Benign（良性）
正下方的核取方塊，選取列出的設備所有的核取
方塊。

48 WildFire 管理員指南
監控、追蹤和避免網路上的惡意軟體 WildFire 入口網站使用者帳戶

WildFire 入口網站使用者帳戶
WildFire 入口網站帳戶是由超級使用者（或 Palo Alto Networks 設備的註冊擁有者）所建立，能夠讓
使用者登錄 WildFire Web 入口網站，並檢視超級使用者或註冊擁有者特別授予的設備相關的
WildFire 資料。超級使用者是註冊 Palo Alto Networks 防火牆且擁有設備主要支援帳戶的人員。
WildFire 使用者可以是屬於任何帳戶（包括子帳戶、上層帳戶或系統中的其他任何帳戶）的現有
支援網站使用者，另一方面，如果使用者完全沒有 Palo Alto Networks 支援帳戶，也可取得僅存取
WildFire 入口網站和特定防火牆的權限。

新增 WildFire 使用者帳戶

本節說明將其他 WildFire 帳戶新增到 WildFire Cloud 所需的步驟。

新增 WILDFIRE 使用者帳戶

步驟 1. 存取支援網站上的 [manage users and 1. 登入 https://support.paloaltonetworks.com/。

accounts（管理使用者和帳戶）] 部 2. 在 Manage Account（管理帳戶）下，按一下 Users and
分，並選取帳戶。 Accounts（使用者和帳戶）。
3. 選取現有的帳戶或子帳戶。

步驟 2 新增 WildFire 使用者。 1. 按一下 Add WildFire User（新增 WildFire 使用者）按鈕。

2. 輸入要新增的使用者收件人所用的電子郵件地址。
注意 使用者可以是屬於任何帳戶（包括子帳戶、上層帳
戶、Palo Alto Networks 或系統中的其他任何帳戶）
的現有支援網站使用者，以及完全沒有支援帳戶的
任何電子郵件地址。唯一的限制是不可使用免費的
Web 式電子郵件帳戶（Gmail、Hotmail、Yahoo 等）
做為電子郵件地址。如果對於不支援的網域輸入電
子郵件地址，將顯示快顯警告。

步驟 3 將防火牆指派給新的使用者帳戶，
並存取 WildFire 入口網站。
1. 按照序號選取要授予存取權的防火牆，並填寫選擇性的
帳戶詳細資料。
2. 接著將寄送電子郵件給該使用者。擁有現有支援帳戶的
使用者將收到列出防火牆清單的電子郵件，這些防火牆
可供 WildFire 報告檢視之用。如果使用者沒有支援帳
戶，將傳送說明如何存取入口網站和如何設定新密碼的
電子郵件。
3. 使用者此時即可登入 https://wildfire.paloaltonetworks.com
檢視已取得存取權的防火牆相關的 WildFire 報告。使用
者也可以設定這些設備的自訂電子郵件警示，以便收到
所分析的檔案相關的警示。使用者可選擇接收惡意及 /或
良性檔案的報告。

WildFire 管理員指南 49
檢視 WildFire 報告 監控、追蹤和避免網路上的惡意軟體

檢視 WildFire 報告
檢視傳送到 WildFire Cloud 或 WildFire 設備的 WildFire 報告主要的方法是，存取將檔案轉送到
WildFire 的防火牆，然後從 [monitor（監控）] 頁籤檢視 WildFire 日誌。按一下 WildFire 日誌項目左
邊的日誌詳細資料圖示，檢視工作階段的詳細資料，然後按一下 View WildFire Reports（檢視
WildFire 報告）圖示，檢視詳細的 WildFire 分析報告。如果防火牆正在將日誌轉送到 Panorama，
即可在同一個區域中從 Panorama 檢視日誌。
將檔案提交到 WildFire 入口網站（透過防火牆轉送、手動上載或 WildFire API）時，即可從防火牆及
WildFire 入口網站存取報告。若要從入口網站存取報告，請登入 https://wildfire.paloaltonetworks.com，
並且按一下 WildFire 入口網站頁面頂端的 Reports（報告）按鈕。隨即出現一份清單，顯示接收
檔案的日期、轉送檔案的防火牆序號（如果手動上載檔案或使用 WildFire API 則為手動），以及檔
案名稱或 URL。頁面頂端也有搜尋選項，內含有分頁控制功能。
若要從入口網站檢視個別的報告，請按一下報告名稱左側的 Reports（報告）圖示。若要列印詳
細的報告，請使用瀏覽器列印選項。下列為範例報告：

WildFire 報告包含那些內容？

這些報告顯示 WildFire 系統中執行的檔案詳細的行為資訊，以及目標使用者、傳遞檔案的應用程

式和用於檔案傳遞或回撥活動的所有 URL 相關的資訊。下表說明一般 WildFire 分析報告將顯示的
各個部分。端視 WildFire 設備上安裝的 WildFire 設備軟體版本，或者如果從 WildFire Cloud 檢視報
告，報告的組成部分可能而有所不同。取決於在轉送檔案的防火牆上定義的工作階段資訊，以及
所觀測到的行為，報告將包含下列部分或全部的資訊。

50 WildFire 管理員指南
監控、追蹤和避免網路上的惡意軟體 檢視 WildFire 報告

檢視手動或使用 WildFire API 上載到 WildFire 入口網站的檔案本身的 WildFire 報告時，報

告將不會顯示工作階段資訊，因為檔案並非由防火牆所轉送。例如，報告不會顯示攻擊
者 / 來源和受害者 / 目的地。

報告標題 說明

檔案資訊 • SHA-256 — 顯示檔案的 SHA 資訊。SHA 資訊相當於識別檔案的指紋，

能夠確保檔案未經或任何形式的修改。如果 SHA 資訊與原始來源檔案
比對後出現差異，表示檔案經過某些修改。
• 防毒涵蓋範圍 — 按一下此連結可查看先前是否曾經是別該檔案。這將
開啟 https://www.virustotal.com/en/ 網站，其中包含許多防毒軟體廠商
的資訊，並顯示這些廠商是否已涵蓋遭感染的檔案。如果任何列出的
廠商先前不曾發現該檔案，將顯示找不到檔案。
• 裁定 — 顯示分析裁定：
• 良性 — 檔案安全無虞，並未出現任何惡意軟體行為。
• 惡意軟體 — WildFire 識別該檔案為惡意軟體，將產生特徵碼以防範
日後暴露。如果 WildFire 設備已分析檔案，但是自動提交停用，則
不會將檔案轉送到 WildFire Cloud，因此將不會產生特徵檔。

工作階段資訊 顯示 WildFire 報告中出現的工作階段資訊。這些選項的設定是在將樣本

檔案傳送到 WildFire 的防火牆上所定義，並且是在 Session Information
Settings（工作階段資訊設定）部分的 Device（設備）> Settings（設
定）> WildFire 頁籤中進行設定。
以下列出可用的選項：
• 來源 IP
• 來源連接埠
• 目的地 IP
• 目的地連接埠
• 虛擬系統（如果在防火牆上設定 multi-vsys）
• 應用程式
• 使用者（如果在防火牆上設定 User-ID）
• URL
• 檔案名稱
行為摘要 說明檔案執行的各種行為。其中包括是否建立或修改檔案、開始程序、
進行新程序、修改登錄或安裝瀏覽器協助程式物件。

網路活動 顯示樣本所產生的網路活動，例如存取網路上其他的主機和回撥活動。

主機活動 列出設定、修改或刪除的任何登錄機碼。

程序 列出開始上層程序的檔案、程序名稱和程序執行的動作。

檔案 列出開始子程序的檔案、程序名稱和程序執行的動作。

WildFire 管理員指南 51
設定對於偵測到的惡意軟體所發出的警示 監控、追蹤和避免網路上的惡意軟體

設定對於偵測到的惡意軟體所發出的警示
本節說明設定 Palo Alto Networks 防火牆在每次 WildFire 將威脅日誌傳送到防火牆指出偵測到惡意
軟體所需的步驟。此範例說明如何設定電子郵件警示。若要設定系統日誌記錄、SNMP 陷阱及 / 或
將日誌轉送到 Panorama，請確定是以 SNMP 伺服器資訊設定防火牆，而且防火牆由 Panorama 管
理。接著，可以連同電子郵件選取 Panorama、系統日誌或 SNMP，如下列步驟所述：
如需警示及日誌轉送的詳細資訊，請參閱《Palo Alto Networks 入門指南》的「設定電子郵件警示」、
「定義系統日誌伺服器」及「設定 SNMP 設陷目的地」部分。
設定對於惡意軟體所發出的警示

步驟 1. 如果尚未設定電子郵件伺服器設定 1. 導覽至 Device（設備）> Server Profiles（伺服器設定

檔，請先設定。 檔）> Email（電子郵件）。
2. 按一下 Add（新增），然後輸入設定檔的 Name（名稱）。
例如，WildFire-Email-Profile。
3. （選用）從 Location（位置）下拉式清單選取套用此設
定檔的虛擬系統。
4. 按一下 Add（新增）新增電子郵件伺服器項目，並輸入
連接簡易郵件傳輸通訊協定（SMTP）伺服器的必要資
訊，然後傳送電子郵件（最多可在設定檔中新增四個電
子郵件伺服器）：
• Server（伺服器）— 用來識別郵件伺服器的名稱（1-31
個字元）。此欄位只是標籤，無須成為現有 SMTP 伺
服器的主機名稱。
• Display Name（顯示名稱）— 顯示在電子郵件 [From
（寄件者）] 欄位的名稱。
• From（寄件者）—傳送通知電子郵件的電子郵件地址。
• To（收件者）— 傳送通知電子郵件的目標電子郵件地址。
• Additional Recipient(s)（其他收件人）— 輸入將通知
傳送給第二位收件人的電子郵件地址。
• Gateway（閘道）— 用來傳送電子郵件的 SMTP 閘道
IP 位址或主機名稱。
5. 按一下 OK（確定）來儲存伺服器設定檔。
6. 按一下 commit（交付），將變更儲存至執行中的設定。

步驟 2 測試電子郵件伺服器設定檔。 1. 導覽至 Monitor（監控）> PDF Reports（PDF 報告）>

Email Scheduler（電子郵件排程器）。
2. 按一下 Add（新增），並且從 Email Profile（電子郵件
設定檔）下拉式清單中選取新的電子郵件設定檔。
3. 按一下 Send test（傳送測試）電子郵件按鈕，應該會有
測試電子郵件傳送到電子郵件設定檔中定義的收件人。

52 WildFire 管理員指南
監控、追蹤和避免網路上的惡意軟體 設定對於偵測到的惡意軟體所發出的警示

設定對於惡意軟體所發出的警示 （續）
步驟 3 設定日誌轉送設定檔。日誌轉送設 1. 導覽至 Objects（物件）> Log Forwarding（日誌轉送）。
定檔將決定受監控的流量及觸發警 2. 按一下 Add（新增），並且將設定檔命名。例如，
示通知的嚴重性。 WildFire-Log-Forwarding。
3. 在 Threat Settings（威脅設定）部分中，選擇 Email（電
子郵件）欄的電子郵件設定檔做為 Medium（中）嚴重
性。這裡使用 [ 中 ] 的原因是因為 WildFire 惡意軟體日誌
出現 Medium（中）嚴重性。若要對於 WildFire 良性日
誌發出警示，請選取嚴重性 Informational（資訊）。
4. 按一下 OK（確定）儲存變更。

注意 如果防火牆是由 Panorama 管理，請按一下 Medium

（中）嚴重性右邊的 Panorama 核取方塊，啟用將
日誌轉送到 Panorama 的動作。如果已設定 SNMP 伺
服器，請在 Medium（中）嚴重性右邊的 SNMP Trap
（SNMP 陷阱）下拉式清單中選取伺服器，將陷阱
轉送到 SNMP 伺服器。

步驟 4 將日誌轉送設定檔套用於包含檔案 1. 導覽至 Policies（政策）> Security（安全性），並按一

封鎖設定檔的安全性設定檔。 下用於 WildFire 轉送的政策。
2. 在 Actions（動作）頁籤 Log Setting（日誌設定）部分
中，按一下 Log Forwarding（日誌轉送）下拉式清單，
並選取新的日誌轉送設定檔。在此範例中，設定檔名稱
為 WildFire-Log-Forwarding。
3. 按一下 OK（確定）儲存變更，然後 commit（交付）設
定。此時應該收到中嚴重性的威脅和 Wildfire 日誌有關
的警示。

WildFire 管理員指南 53
WildFire 的運作 監控、追蹤和避免網路上的惡意軟體

WildFire 的運作
下列範例案例說明整個 WildFire 生命週期。在此範例中，Palo Alto Networks 的銷售代表下載由銷售
合作夥伴上載到 Dropbox 的新軟體銷售工具。銷售合作夥伴在不知情的情況下上載受感染的銷售
工具安裝檔案，然後銷售代表下載這個受感染的檔案。
這個範例將說明 Palo Alto Networks 防火牆搭配 WildFire 如何在即使流量經過 SSL 加密的情況下，
找出使用者下載的零時差惡意軟體。辨識出惡意軟體時，管理員將收到通知，下載該檔案的使用
者將獲得聯繫，而且防火牆將自動下載新特徵碼以防範惡意軟體日後暴露。雖然某些檔案共享網
站有防毒功能可在上載檔案時檢查檔案，不過充其量只能防範「已知」的惡意軟體。
如需設定 WildFire 的詳細資訊，請參閱第 32 頁的「將檔案轉送至 WildFire Cloud」或第 22 頁的「將
檔案轉送至 WF-500 WildFire 設備」。
此範例以使用 SSL 加密的網站為例，因此必須在防火牆設定解密，並且必須啟用 Allow
forwarding of decrypted content （允許轉寄解密的內容）。如需設定解密的詳細資訊，
請參閱《Palo Alto Networks 入門指南》。如需啟動解密資料轉送的詳細資訊，請參閱第 32 頁
的 「將檔案轉送至 WildFire Cloud」或第 22 頁的 「將檔案轉送至 WF-500 WildFire 設備」。

WILDFIRE 範例案例

步驟 1. 來自合作夥伴公司的銷售代表將名稱為 sales-tool.exe 的銷售工具檔案上載到自己的 Dropbox 帳戶，

然後將有該檔案連結的電子郵件傳送給 Palo Alto Networks 銷售代表。

步驟 2 Palo Alto 銷售代表收到銷售合作夥伴寄送的電子郵件後，按一下下載連結前往 Dropbox 網站，接

著按一下 Download（下載），將檔案儲存到桌面。

54 WildFire 管理員指南
監控、追蹤和避免網路上的惡意軟體 WildFire 的運作

WILDFIRE 範例案例 （續）

步驟 3 保護 Palo Alto 銷售代表的防火牆有一個附加在安全性政策的檔案封鎖設定檔，能夠搜尋任何用來
下載或上載任何可攜式執行檔（PE）檔案類型的應用程式中存在的檔案。一旦銷售代表按一下下
載，防火牆政策也會將 sales-toole.exe 檔案轉送到 WildFire 進行分析。雖然銷售代表使用 SSL 加密的
Dropbox，不過防火牆仍然是設定為解密，因此所有流量都會受到檢查，而且檔案可轉送到 WildFire。
下列螢幕擷取畫面顯示檔案封鎖設定檔、以檔案封鎖設定檔設定的安全性政策，以及允許解密內
容轉送的選項。

WildFire 管理員指南 55
WildFire 的運作 監控、追蹤和避免網路上的惡意軟體

WILDFIRE 範例案例 （續）

步驟 4 此時，WildFire 已收到檔案，並且正在分析比對 100 多種不同的惡意行為。若要查看是否成功轉送
檔案，請檢視防火牆的 Monitor（監控）> Logs（日誌）> Data Filtering（資料過濾）。

步驟 5 在大約五分鐘內，WildFire 已完成檔案分析，然後將載明分析結果的 WildFire 日誌送回防火牆。在

此範例中，WildFire 日誌顯示檔案是惡意檔案。

步驟 6 由於已設定電子郵件中威脅警示的日誌轉送設定檔，因此安全性管理員立即收到說明銷售代表下
載惡意軟體的電子郵件。

56 WildFire 管理員指南
監控、追蹤和避免網路上的惡意軟體 WildFire 的運作

WILDFIRE 範例案例 （續）

步驟 7 安全性管理員可透過名稱看出已設定使用者 ID 的使用者，也可透過 IP 位址看出未設定使用者 ID
的使用者。此時，管理員可關閉銷售代表使用的網路或 VPN 連線，然後將聯絡桌面支援群組協助
使用者檢查並清理系統。

使用 WildFire 詳細分析報告後，桌面支援人員即可檢查分析報告中指出的檔案、程序和登錄資訊，
驗證惡意軟體是否在系統上執行。如果已執行惡意軟體，支援人員可嘗試手動清理系統，也可重
新製作系統映像。

如需 WildFire 報告欄位的詳細資訊，請參閱第 50 頁的「WildFire 報告包含那些內容？」。

WildFire 分析報告的部份檢視

WildFire 管理員指南 57
WildFire 的運作 監控、追蹤和避免網路上的惡意軟體

WILDFIRE 範例案例 （續）

步驟 8 發現惡意軟體，而且正在檢查使用者的系統時，如何防範日後暴露？
答案：在此範例中，管理員排定在防火牆每隔 15 分鐘下載安裝 WildFire 特徵碼一次，並且每天下
載安裝防毒更新。在銷售代表下載受感染的檔案後不到一個半小時內，WildFire 辨識出零時差惡意
軟體，並產生特徵碼，然後將特徵碼新增到 Palo Alto Networks 提供的 WildFire 更新特徵碼資料庫，
防火牆隨後下載新的特徵碼。設定為下載 WildFire 特徵碼的這個防火牆和其他任何 Palo Alto Networks
防火牆現在即可保護使用者不受這個新發現的惡意軟體所侵害。

所有這些都是在大多數防毒軟體廠商察覺這個零時差惡意軟體前完成的。在此範例中，惡意軟體不再
屬於零時差惡意軟體，因為 Palo Alto Networks 已掌握惡意軟體，而且已經為客戶提供防護。

58 WildFire 管理員指南
 5 WildFire 設備軟體 CLI 參考
本章說明 WF-500 WildFire 設備軟體特有的 CLI 命令。所有其他的命令（例如設定介面、交付設定
及設定系統資訊等）與 PAN-OS 相同，也以階層方式顯示。如需 PAN-OS 命令的相關資訊，請參
閱《Palo Alto 網路 PAN-OS 命令行介面參考指南》。
S 關於 WildFire 設備軟體
S 設定模式命令
S 操作模式命令

WildFire 管理員指南 59
關於 WildFire 設備軟體 WildFire 設備軟體 CLI 參考

關於 WildFire 設備軟體
本節介紹與說明如何使用 WildFire 設備軟體命令列介面 (CLI)：
S 關於 WildFire 設備軟體 CLI 結構
S 存取 CLI
S 使用 WildFire 設備軟體 CLI 命令

關於 WildFire 設備軟體 CLI 結構

WildFire 設備軟體 CLI 用於管理設備。CLI 是設備的唯一介面，可用來檢視狀態與設定資訊，以及修

改設備設定。透過 SSH 或直接使用主控台連接埠存取主控台，即可存取 WildFire 設備軟體 CLI。

WildFire 設備軟體 CLI 以兩種模式運作：

• 操作模式 — 檢視系統狀態、導覽至 WildFire 設備軟體 CLI，及進入設定模式。

• 設定模式 — 檢視與修改設定階層。

如需這些模式的詳細資訊，請參閱第 68 頁的「CLI 命令模式」。

60 WildFire 管理員指南
WildFire 設備軟體 CLI 參考 存取 CLI

存取 CLI
本節說明如何存取及開始使用 WildFire 設備軟體 CLI：
S 建立直接主控台連線
S 建立 SSH 連線

建立直接主控台連線

請參閱《WF-500 WildFire Appliance Hardware Reference Guide》瞭解硬體安裝資訊，並參閱

《快速入門》瞭解初始設備設定資訊。

如需直接連線主控台，請使用下列設定：
• 資料範圍：9600

• 資料位元：8

• 同位檢查：無

• 停止位元：1

• 流量控制：無

建立 SSH 連線

若要存取 WildFire 設備軟體 CLI：

1. 開啟主控台連線。
2. 輸入管理使用者名稱。預設值為 admin。
3. 輸入管理密碼。預設值為 admin。
4. WildFire 設備軟體 CLI 以操作模式開啟，並顯示 CLI 提示：
username@hostname>

WildFire 管理員指南 61
存取 CLI WildFire 設備軟體 CLI 參考

使用 WildFire 設備軟體 CLI 命令

S WildFire 設備軟體 CLI 命令慣例

S CLI 命令訊息
S 存取操作與設定模式
S 顯示 WildFire 設備軟體 CLI 命令選項
S 命令選項符號
S 權限等級
S CLI 命令模式

WildFire 設備軟體 CLI 命令慣例

基本的命令提示併入設備的使用者名稱與主機：
username@hostname>

例如：
msimpson@wf-corp1>

進入設定模式後，提示會從 > 變更為 #：

username@hostname> （操作模式）
username@hostname> configure
Entering configuration mode
[edit]
username@hostname# （設定模式）
在設定模式中，目前的階層內容會顯示在命令發出時以方括號所顯示的 [edit...] 橫幅旁。

CLI 命令訊息

訊息會在命令發出時顯示。訊息會提供內容資訊，並協助更正無效的命令。在下列範例中，訊息
以粗體顯示。

例如：未知命令
username@hostname# application-group
Unknown command: application-group
[edit network]
username@hostname#

例如：變更模式
username@hostname# exit
Exiting configuration mode

username@hostname>

62 WildFire 管理員指南
WildFire 設備軟體 CLI 參考 存取 CLI

例如：無效的語法
username@hostname> debug 17
Unrecognized command
Invalid syntax.
username@hostname>

CLI 會檢查每個命令的語法。如果語法正確，它會執行命令，候選階層的變更則會記錄下來。如
果語法不正確，便會顯示無效的語法訊息，如以下範例所示：
username@hostname# set zone application 1.1.2.2
Unrecognized command
Invalid syntax.
[edit]
username@hostname#

存取操作與設定模式

登入時，WildFire 設備軟體 CLI 會以操作模式開啟。您可以隨時在操作模式與設定模式之間導覽。

• 若要從操作模式進入設定模式，請使用 configure 命令：
username@hostname> configure
Entering configuration mode

[edit]
username@hostname#

• 若要離開設定模式並返回操作模式，請使用 quit 或 exit 命令：

username@hostname# quit
Exiting configuration mode

username@hostname>

若要在設定模式進行時進入操作模式，請使用 run 命令。例如，若要顯示設定模式的系統資源，

請使用 run show system resources。

WildFire 管理員指南 63
存取 CLI WildFire 設備軟體 CLI 參考

顯示 WildFire 設備軟體 CLI 命令選項

使用 ?（或 Meta-H）以根據內容顯示命令選項清單：
• 若要顯示操作命令清單，請在命令提示中輸入 ?。
username@hostname> ?
clear Clear runtime parameters
configure Manipulate software configuration information
debug Debug and diagnose
exit Exit this session
grep Searches file for lines containing a pattern match
less Examine debug file content
ping Ping hosts and networks
quit Exit this session
request Make system-level requests
scp Use ssh to copy file to another host
set Set operational parameters
show Show operational parameters
ssh Start a secure shell to another host
tail Print the last 10 lines of debug file content
username@hostname>

• 若要顯示所指定命令的可用選項，請在該命令後加上 ?。

例如：
username@hostname> ping ?
+ bypass-routing Bypass routing table, use specified interface
+ count Number of requests to send (1..2000000000 packets)
+ do-not-fragment Don't fragment echo request packets (IPv4)
+ inet Force to IPv4 destination
+ interface Source interface (multicast, all-ones, unrouted packets)
+ interval Delay between requests (seconds)
+ no-resolve Don't attempt to print addresses symbolically
+ pattern Hexadecimal fill pattern
+ record-route Record and report packet's path (IPv4)
+ size Size of request packets (0..65468 bytes)
+ source Source address of echo request
+ tos IP type-of-service value (0..255)
+ ttl IP time-to-live value (IPv6 hop-limit value) (0..255 hops)
+ verbose Display detailed output
+ wait Delay after sending last packet (seconds)
<host> Hostname or IP address of remote host

64 WildFire 管理員指南
WildFire 設備軟體 CLI 參考 存取 CLI

命令選項符號

選項前面的符號可提供有關命令語法的額外資訊。
符號 說明
* 此選項為必要。
> 此命令有額外的巢狀選項。
+ 此命令在此層級有額外的命令選項。
| 有選項可指定以「例外值」或「符合值」限制命令。

““ 雖然雙引號不是命令選項符號，但在 CLI 命令中輸入多字詞時仍

必須使用。例如，若要建立名為 Test Group 的位址群組，並將名
稱為 user1 的使用者新增至此群組，您必須在群組名稱前後加上
雙引號，如下所示：
set address-group “Test Group” user1.

如果您沒有在群組名稱前後加上雙引號，則 CLI 會將 Test 這個字

解譯為群組名稱，將 Group 解譯為使用者名稱，並會顯示如下的
錯誤：“test is not a valid name”.

注意：單引號在此範例中也為無效。

下列範例顯示如何使用這些符號。
例如：在下列命令中，from 為必要關鍵字：
username@hostname> scp import configuration ?
+ remote-port SSH port number on remote host
* from Source (username@host:path)
username@hostname> scp import configuration

例如：此命令輸出會顯示以 + 與 > 指定的選項。

username@hostname# set rulebase security rules rule1 ?
+ action action
+ application application
+ destination destination
+ disabled disabled
+ from from
+ log-end log-end
+ log-setting log-setting
+ log-start log-start
+ negate-destination negate-destination
+ negate-source negate-source
+ schedule schedule
+ service service
+ source source
+ to to
> profiles profiles
<Enter> Finish input

WildFire 管理員指南 65
存取 CLI WildFire 設備軟體 CLI 參考

[edit]
username@hostname# set rulebase security rules rule1

每個有 + 的選項皆可新增至此命令。

設定檔關鍵字（有 >）有額外的選項：
username@hostname# set rulebase security rules rule1 profiles ?
+ virus Help string for virus
+ spyware Help string for spyware
+ vulnerability Help string for vulnerability
+ group Help string for group
<Enter> Finish input
[edit]
username@hostname# set rulebase security rules rule1 profiles

限制命令輸出

某些操作命令包含可限制顯示輸出的選項。若要限制輸出，請輸入直立線符號，後面加上 except
或 match 及要排除或包含的值：

例如：
以下為 show system info 命令輸出範例：
username@hostname> show system info
hostname: wf-corp1
ip-address: 192.168.2.20
netmask: 255.255.255.0
default-gateway: 192.168.2.1
mac-address: 00:25:90:95:84:76
vm-interface-ip-address: 10.16.0.20
vm-interface-netmask: 255.255.252.0
vm-interface-default-gateway: 10.16.0.1
vm-interface-dns-server: 10.0.0.247
time: Mon Apr 15 13:31:39 2013
uptime: 0 days, 0:02:35
family: m
model: WF-500
serial: 009707000118
sw-version: 5.1.0
logdb-version: 5.0.2
platform-family: m

username@hostname>

下列範例僅顯示系統型號資訊：
username@hostname> show system info | match model
model: WF-500

username@hostname>

66 WildFire 管理員指南
WildFire 設備軟體 CLI 參考 存取 CLI

權限等級

權限等級將決定使用者所能排除的命令以及所能檢視的資訊。
層級 說明

超級讀取者 具備設備的完整唯讀存取權。

超級使用者 具備設備的完整讀寫存取權。

WildFire 管理員指南 67
CLI 命令模式 WildFire 設備軟體 CLI 參考

CLI 命令模式
本章說明用於與 WildFire 設備軟體 CLI 互動的模式：
S 關於設定模式
S 關於操作模式

關於設定模式

在設定模式中輸入命令以修改候選設定。修改後的候選設定會儲存於設備記憶體，並在設備執行
時予以維護。
每個設定命令皆與動作有關，並也包含關鍵字、選項與值。
本節說明設定模式與設定階層：
S 設定模式命令用法
S 關於設定階層
S 導覽階層

設定模式命令用法

使用下列命令可儲存與套用設定變更：
• save 命令 — 將候選設定儲存在設備的非揮發性儲存體。所儲存的設定會予以保留，直到遭到
後續的 save 命令覆寫為止。請注意，此命令不會讓設定生效。

• commit 命令 — 將候選設定套用至設備。交付的設定會變成設備的使用中設定。

• set 命令 — 變更候選設定中的值。

• load 命令 — 將最後儲存的設定或指定的設定指定為候選設定。

若現有設定模式尚未發出 save 或 commit 命令，設備卻在此時遭遇斷電，將可能失

去所變更的設定。

68 WildFire 管理員指南
WildFire 設備軟體 CLI 參考 CLI 命令模式

Active 應徵者 已儲存

組態 組態 組態

交付 儲存

載入
設定

與傳統的 CLI 架構相比，維護候選設定並將儲存步驟與交付步驟分開，可提供數項重要的優點：

• 區分儲存與交付概念可同時進行多項變更，並減少系統弱點。

• 可針對類似的功能調整命令。

例如，設定兩個乙太網路介面時，每個介面的 IP 位址不同，您可以先編輯第一個介面的設
定、複製命令、僅修改介面與 IP 位址，然後將變更套用到第二個介面。
• 命令結構始終一致。

由於候選設定始終是唯一的設定，因此對候選設定的所有授權變更將互相一致。

WildFire 管理員指南 69
CLI 命令模式 WildFire 設備軟體 CLI 參考

關於設定階層

設備的設定是以階層式結構加以組織。若要顯示目前層級的區段，請使用 show 命令。輸入 show 可

顯示完整的階層，輸入 show 與關鍵字則可顯示階層的區段。例如，從設定模式的最上層執行 show
命令時，會顯示完整的設定。執行 edit mgt-config 命令並輸入 show，或者僅執行 show mgt-config，
均只會顯示階層的 mgt-config 部分。

階層路徑
輸入命令時，會透過階層追蹤路徑，如下所示：

deviceconfig

setting system

...

management wildfire

...

auto-submit cloud-server vm-network-enable

... ...

no yes

例如，下列命令會為設備指定主要 DNS 伺服器 10.0.0.246：

[edit]
username@hostname# set deviceconfig system dns-setting servers primary 10.0.0.246

此命令會在階層中及下列 show 命令中產生新的元素：

[edit]
username@hostname# show deviceconfig system dns-settings
dns-setting {
servers {
primary 10.0.0.246
}
}
[edit]
username@hostname#

70 WildFire 管理員指南
WildFire 設備軟體 CLI 參考 CLI 命令模式

deviceconfig

setting system

...

default-gateway ... ... dns-setting ...

servers

primary secondary

10.0.0.246

導覽階層

設定模式命令提示列下方顯示的 [edit...] 橫幅會顯示目前的階層內容。例如，banner

[edit]

表示相關內容為階層的最上層，而
[edit deviceconfig]

表示相關內容在 deviceconfig 層級。

使用所列的命令在整個設定階層內導覽。
層級 說明
edit 設定命令階層內的設定內容。
up 將內容變更為階層中的上一層。
top 將內容變更為階層中的最高層。

使用 up 命令與 top 命令後所發出的 set 命令會從新的內容開始。

WildFire 管理員指南 71
CLI 命令模式 WildFire 設備軟體 CLI 參考

關於操作模式

首次登入裝置時，WildFire 設備軟體 CLI 會以操作模式開啟。操作模式命令與立即執行的動作有

關，不涉及變更設定，也不需要儲存或交付。
操作模式命令有數種類型：

• 網路存取 — 對另一個主機開啟視窗。支援 SSH。

• 監視與疑難排解 — 執行診斷與分析。包含 debug 與 ping 命令。
• 顯示命令 — 顯示或清除目前資訊。包含 clear 與 show 命令。
• WildFire 設備軟體 CLI 導覽命令 — 進入設定模式或離開 WildFire 設備軟體 CLI。包含 configure、
exit 及 quit 命令。

• 系統命令 — 提出系統層級要求或重新啟動。包含 set 與 request 命令。

為設定命令設定輸出格式

變更設定命令的輸出格式，做法是在操作模式中使用 set cli config-output-format 命令。選項包括

預設格式 json (JavaScript Object Notation)、集格式及 XML 格式。預設格式是階層格式，設定區段在
此格式中會縮排，並以大括號括住。

72 WildFire 管理員指南
WildFire 設備軟體 CLI 參考 設定模式命令

設定模式命令
本節包含下列 WildFire 設備軟體所特有設定模式命令參考資訊。為 WildFire 設備軟體一部分的所有
其他命令則與 PAN-OS 相同，請參閱《Palo Alto 網路 PAN-OS 命令行介面參考指南》以取得這些
命令的資訊。

所有 WildFire 特有的命令在下列階層輸出中皆以藍色字體顯示，並有描述的超連結。

deviceconfig {
system {
login-banner <value>;
hostname <value>;
domain <value>;
speed-duplex
auto-negotiate|10Mbps-half-duplex|10Mbps-full-duplex|100Mbps-half-duplex|100Mbps-full-
duplex|
1Gbps-full-duplex;
ip-address <ip/netmask>;
netmask <value>;
default-gateway <ip/netmask>;
vm-interface{
ip-address <ip/netmask>;
netmask <value>;
default-gateway <ip/netmask>;
mtu 576-1500;
speed-duplex
auto-negotiate|10Mbps-half-duplex|10Mbps-full-duplex|100Mbps-half-duplex|100Mbps
-full-duplex|
1Gbps-full-duplex;
link-state up|down;
dns-server <ip/netmask>;
}
geo-location {
latitude <float>;
longitude <float>;
}
timezone
dns-setting {
servers {
primary <ip/netmask>;
secondary <ip/netmask>;
}
}
ntp-server-1 <value>;
ntp-server-2 <value>;
update-server <value>;
secure-proxy-server <value>;
secure-proxy-port 1-65535;
secure-proxy-user <value>;

WildFire 管理員指南 73
設定模式命令 WildFire 設備軟體 CLI 參考

secure-proxy-password <value>;
service {
disable-ssh yes|no;
disable-icmp yes|no;
}
}
setting {
wildfire {
cloud-server <value>;
auto-submit yes|no;
vm-network-enable yes|no;
}
management {
admin-lockout {
failed-attempts 0-10;
lockout-time 0-60;
}
idle-timeout 1-1440;
}
}
}

mgt-config {
users {
REPEAT...
<name> {
phash <value>;
permissions {
role-based {
superreader yes;
OR...
superuser yes;
}
}
}
}
}

predefined;

shared {
log-settings {
system {
informational {
send-syslog {
using-syslog-setting <value>;
}
}
low {
send-syslog {
using-syslog-setting <value>;
}

74 WildFire 管理員指南
WildFire 設備軟體 CLI 參考 設定模式命令

}
medium {
send-syslog {
using-syslog-setting <value>;
}
}
high {
send-syslog {
using-syslog-setting <value>;
}
}
critical {
send-syslog {
using-syslog-setting <value>;
}
}
}
config {
any {
send-syslog {
using-syslog-setting <value>;
}
}
}
syslog {
REPEAT...
<name> {
server {
REPEAT...
<name> {
server <value>;
port 1-65535;
facility
LOG_USER|LOG_LOCAL0|LOG_LOCAL1|LOG_LOCAL2|LOG_LOCAL3|LOG_LOCAL4|LOG_LOCAL5|LOG_LOCAL6|
LOG_LOCAL7;
}
}
}
}
}
}

WildFire 管理員指南 75
設定模式命令 WildFire 設備軟體 CLI 參考

vm-interface

說明

針對在 WildFire 虛擬機器上所執行的惡意軟體，vm-interface 能用允許其存取網際網路，以進行更

完整的檔案分析。建議啟動此連接埠，這可在惡意軟體存取網際網路以從事回撥或其他活動時，
幫助 WildFire 進一步識別惡意活動。更重要的是，這能使該介面所在的網路得以與網際網路保持
隔離。如需 vm-interface 的詳細資訊，請參閱第 15 頁的「設定虛擬電腦介面」。
設定 vm-interface 後，可透過執行下列命令予以啟用：
set deviceconfig setting wildfire vm-network-enable yes

階層位置

set deviceconfig system

語法

set vm-interface {
ip-address <ip_address>;
netmask <ip_address>;
default-gateway <ip_address>;
dns-server <ip_address>;

選項

admin@wf-corp1# set vm-interface

+ default-gateway Default gateway
+ dns-server dns server
+ ip-address IP address for wildfire vm download interface
+ link-state Link state up or down
+ mtu Maximum Transmission Unit for the management interface
+ netmask IP netmask for wildfire vm download interface
+ speed-duplex Speed and duplex for wildfire vm download interface

76 WildFire 管理員指南
WildFire 設備軟體 CLI 參考 設定模式命令

範例輸出

下列為設定的 vm-interface。
vm-interface {
ip-address 10.16.0.20;
netmask 255.255.252.0;
default-gateway 10.16.0.1;
dns-server 10.0.0.246;
}

需要權限層級

superuser、superreader

WildFire 管理員指南 77
設定模式命令 WildFire 設備軟體 CLI 參考

wildfire

說明

將 Wildfire 設定設為將惡意軟體自動提交 (auto-submit) 至 Palo Alto Networks WildFire Cloud，以產生簽

章、定義將收到遭惡意軟體感染檔案的雲端伺服器，以及啟用或停用 vm-interface。啟用 vm-interface
前請先閱讀相關描述。

階層位置

set deviceconfig settings

語法

wildfire {
cloud-server <value>;
auto-submit yes|no;
vm-network-enable yes|no;
}

選項

admin@wf-corp1# set wildfire

+ auto-submit automatically submit all malwares/incorrect verdict to public cloud
+ cloud-server Hostname for cloud server. Default is wildfire-public-cloud
+ vm-network-enable enable/disable

範例輸出

下列輸出顯示 WildFire 設備未啟用 auto-submit，因此惡意軟體所感染的檔案將不會傳送到 WildFire

Cloud。如果 auto-submit 已啟用，因為已定義 cloud-server wildfire-public-cloud，則會將檔案傳送到
WildFire Cloud。它也會顯示 vm-interface 已啟用，這會允許在 WildFire 虛擬機器上執行的惡意軟體
存取網際網路。
wildfire {
auto-submit no;
vm-network-enable yes;
cloud-server wildfire-public-cloud;
}

78 WildFire 管理員指南
WildFire 設備軟體 CLI 參考 設定模式命令

需要權限層級

超級使用者、超級讀取者

WildFire 管理員指南 79
操作模式命令 WildFire 設備軟體 CLI 參考

操作模式命令
本節包含下列 WildFire 設備軟體所特有操作模式命令的命令參考資訊。為 WildFire 設備軟體一部分
的所有其他命令則與 PAN-OS 相同，請參閱《Palo Alto 網路 PAN-OS 命令行介面參考指南》以取
得這些命令的資訊。

所有 WildFire 特有的命令在下列階層輸出中皆以藍色字體顯示，並有描述的超連結。

test {
wildfire {
registration;
}
}
set {
wildfire {
portal-admin {
password <value>;
}
}
OR...
management-server {
unlock {
admin <value>;
}
OR...
logging on|off|import-start|import-end;
}
OR...
password;
OR...
ssh-authentication {
public-key <value>;
}
OR...
cli {
config-output-format default|xml|set|json;
OR...
pager on|off;
OR...
confirmation-prompt on|off;
OR...
scripting-mode on|off;
OR...
timeout {
idle 1-1440;
}
OR...
hide-ip;

80 WildFire 管理員指南
WildFire 設備軟體 CLI 參考 操作模式命令

OR...
hide-user;
}
OR...
clock {
date <value>;
time <value>;
}
}

request {
system {
software {
info;
OR...
check;
OR...
download {
version <value>;
OR...
file <value>;
}
OR...
install {
version <value>;
OR...
file <value>;
load-config <value>;
}
}
OR...
raid {
remove <value>;
OR...
copy {
from <value>;
to <value>;
}
OR...
add {
REPEAT...
<name> {
force {
no-format;
}
}
}
}
}
OR...
password-hash {
password <value>;

WildFire 管理員指南 81
操作模式命令 WildFire 設備軟體 CLI 參考

username <value>;
}
OR...
commit-lock {
add {
comment <value>;
}
OR...
remove {
admin <value>;
}
}
OR...
config-lock {
add {
comment <value>;
}
OR...
remove;
}
OR...
tech-support {
dump;
}
OR...
stats {
dump;
}
OR...
shutdown {
system;
}
OR...
system {
software {
info;
OR...
check;
OR...
download {
version <value>;
OR...
file <value>;
}
OR...
install {
version <value>;
OR...
file <value>;
load-config <value>;
}
}

82 WildFire 管理員指南
WildFire 設備軟體 CLI 參考 操作模式命令

}
OR...
license {
info;
OR...
fetch {
auth-code <value>;
}
OR...
install <value>;
}
OR...
restart {
system;
OR...
software;
}
OR...
support {
info;
OR...
check;
}
}

check {
pending-changes;
OR...
data-access-passwd {
system;
}
}

save {
config {
to <value>;
}
}

load {
config {
key <value>;
last-saved;
OR...
from <value>;
OR...
version <value>1-1048576;
OR...
partial {
from <value>;
from-xpath <value>;
to-xpath <value>;

WildFire 管理員指南 83
操作模式命令 WildFire 設備軟體 CLI 參考

mode merge|replace|append;
}
}
OR...
device-state;
}

load {
config {
key <value>;
last-saved;
OR...
from <value>;
OR...
version <value>;
OR...
partial {
from <value>;
from-xpath <value>;
to-xpath <value>;
mode merge|replace|append;
}
OR...
repo {
device <value>;
file <value>;
OR...
version <value>;
}
}
}

delete {
config {
saved <value>;
OR...
repo {
device <value>;
file <value>;
OR...
running-config;
}
}
OR...
software {
image <value>;
OR...
version <value>;
}
}

clear {

84 WildFire 管理員指南
WildFire 設備軟體 CLI 參考 操作模式命令

job {
id 0-4294967295;
}
OR...
log {
config;
OR...
system;
}
OR...
counter {
device;
}
}

show {
arp management|ethernet1/1|ethernet1/2|all;
OR...
neighbor management|ethernet1/1|ethernet1/2|all;
OR...
web-server {
log-level;
}
OR...
config {
diff;
OR...
running {
xpath <value>;
}
OR...
candidate;
}
OR...
interface management|ethernet1/1;
OR...
management-clients;
OR...
counter {
management-server;
OR...
interface management|ethernet1/1;
OR...
device;
}
OR...
ntp;
OR...
clock;
OR...
wildfire {
sample-status {

WildFire 管理員指南 85
操作模式命令 WildFire 設備軟體 CLI 參考

sha256 {
equal <value>;
}
}
OR...
status;
OR...
statistics;
OR...
latest {
analysis {
filter malicious|benign;
sort-by SHA256|Submit Time|Start Time|Finish Time|Malicious|Status;
sort-direction asc|desc;
limit 1-20000;
days 1-7;
}
OR...
sessions {
filter malicious|benign;
sort-by SHA256|Create Time|Src IP|Src Port|Dst Ip|Dst Port|File|Device
ID|App|Malicious|Status;
sort-direction asc|desc;
limit 1-20000;
days 1-7;
}
OR...
samples {
filter malicious|benign;
sort-by SHA256|Create Time|File Name|File Type|File Size|Malicious|Status;
sort-direction asc|desc;
limit 1-20000;
days 1-7;
}
OR...
uploads {
sort-by SHA256|Create Time|Finish Time|Status;
sort-direction asc|desc;
limit 1-20000;
days 1-7;
}
}
OR...
last-device-registration {
all;
}
}
OR...

cli {
info;
OR...

86 WildFire 管理員指南
WildFire 設備軟體 CLI 參考 操作模式命令

idle-timeout;
OR...
hide-ip;
OR...
hide-user;
OR...
permissions;
}
OR...
jobs {
all;
OR...
pending;
OR...
processed;
OR...
id 1-4294967296;
}
OR...
location {
ip <ip/netmask>;
}
OR...
system {
software {
status;
}
OR...
masterkey-properties;
OR...
info;
OR...
resources {
follow;
}
OR...
raid {
detail;
}
OR...
disk-space;
OR...
disk-partition;
OR...
files;
OR...
state {
filter <value>;
OR...
filter-pretty <value>;
OR...
browser;

WildFire 管理員指南 87
操作模式命令 WildFire 設備軟體 CLI 參考

}
OR...
environmentals {
fans;
OR...
thermal;
OR...
power;
}
OR...
setting {
multi-vsys;
}
}
OR...
high-availability {
all;
OR...
state;
OR...
control-link {
statistics;
}
OR...
transitions;
OR...
path-monitoring;
OR...
local-state;
}
OR...
log {
config {
direction {
equal forward|backward;
}
csv-output {
equal yes|no;
}
query {
equal <value>;
}
receive_time {
in
last-60-seconds|last-15-minutes|last-hour|last-6-hrs|last-12-hrs|last-24-hrs|last-cale
ndar-day|last-7-days|last-30-days|last-calendar-month;
}
start-time {
equal <value>;
}
end-time {
equal <value>;

88 WildFire 管理員指南
WildFire 設備軟體 CLI 參考 操作模式命令

}
serial {
equal <value>;
OR...
not-equal <value>;
}
client {
equal web|cli;
OR...
not-equal web|cli;
}
cmd {
equal
add|clone|commit|create|delete|edit|get|load-from-disk|move|rename|save-to-disk|set;
OR...
not-equal
add|clone|commit|create|delete|edit|get|load-from-disk|move|rename|save-to-disk|set;
}
result {
equal succeeded|failed|unauthorized;
OR...
not-equal succeeded|failed|unauthorized;
}
}
OR...
system {
direction {
equal forward|backward;
}
csv-output {
equal yes|no;
}
query {
equal <value>;
}
receive_time {
in
last-60-seconds|last-15-minutes|last-hour|last-6-hrs|last-12-hrs|last-24-hrs|last-cale
ndar-day|last-7-days|last-30-days|last-calendar-month;
}
start-time {
equal <value>;
}
end-time {
equal <value>;
}
serial {
equal <value>;
OR...
not-equal <value>;
}
opaque {
contains <value>;

WildFire 管理員指南 89
操作模式命令 WildFire 設備軟體 CLI 參考

}
severity {
equal critical|high|medium|low|informational;
OR...
not-equal critical|high|medium|low|informational;
OR...
greater-than-or-equal critical|high|medium|low|informational;
OR...
less-than-or-equal critical|high|medium|low|informational;
}
subtype {
equal <value>;
OR...
not-equal <value>;
}
object {
equal <value>;
OR...
not-equal <value>;
}
eventid {
equal <value>;
OR...
not-equal <value>;
}
id {
equal <value>;
OR...
not-equal <value>;
}
}
}
}

debug {
web-server {
reset-cache;
OR...
log-level {
info;
OR...
warn;
OR...
crit;
OR...
debug;
}
}
OR...
delete {
sample {
sha256 {

90 WildFire 管理員指南
WildFire 設備軟體 CLI 參考 操作模式命令

equal <value>;
}
}
}
OR...
swm {
list;
OR...
log;
OR...
history;
OR...
status;
OR...
unlock;
OR...
revert;
}
OR...
tac-login {
permanently-disable;
OR...
challenge;
OR...
response;
}
OR...
software {
restart {
management-server;
OR...
web-server;
OR...
ntp;
}
OR...
core {
management-server;
OR...
web-server;
}
OR...
trace {
management-server;
OR...
web-server;
}
}
OR...
cli on|off|detail|show;
OR...
system {

WildFire 管理員指南 91
操作模式命令 WildFire 設備軟體 CLI 參考

maintenance-mode;
OR...
disk-sync;
OR...
ssh-key-reset {
management;
OR...
all;
}
}
OR...
device {
set queue|all;
OR...
unset queue|all;
OR...
on error|warning|info|debug|dump;
OR...
off;
OR...
show;
OR...
clear;
OR...
dump {
queues;
OR...
queue-stats;
OR...
queue <value>;
}
OR...
flush {
queue <value>;
}
OR...
set-watermark {
queue <value>;
type high|low;
value 0-4000;
}
}
OR...
vardata-receiver {
set {
third-party libcurl|all;
OR...
all;
}
OR...
unset {
third-party libcurl|all;

92 WildFire 管理員指南
WildFire 設備軟體 CLI 參考 操作模式命令

OR...
all;
}
OR...
on normal|debug|dump;
OR...
off;
OR...
show;
OR...
statistics;
}
OR...
wildfire {
reset {
forwarding;
}
}
OR...
management-server {
client {
disable authd|useridd|ha_agent;
OR...
enable authd|useridd|ha_agent;
}
OR...
conn;
OR...
on error|warn|info|debug|dump;
OR...
off;
OR...
clear;
OR...
show;
OR...
set {
all;
OR...
comm basic|detail|all;
OR...
panorama basic|detail|all;
OR...
proxy basic|detail|all;
OR...
server basic|detail|all;
}
OR...
unset {
all;
OR...
comm basic|detail|all;

WildFire 管理員指南 93
操作模式命令 WildFire 設備軟體 CLI 參考

OR...
panorama basic|detail|all;
OR...
proxy basic|detail|all;
OR...
server basic|detail|all;
}
}
}

upload {
generic_chunks {
todir <value>;
tofile <value>;
offset 0-419430600;
endoffile yes|no;
content <value>;
}
OR...
generic {
name <value>;
path <value>;
content <value>;
todir <value>;
tofile <value>;
}
OR...
config {
name <value>;
path <value>;
content <value>;
}
OR...
software {
name <value>;
path <value>;
content <value>;
}
OR...
license {
name <value>;
path <value>;
content <value>;
}
OR...
certificate {
name <value>;
passphrase <value>;
path <value>;
content <value>;
certificate-name <value>;
format pkcs12|pem;

94 WildFire 管理員指南
WildFire 設備軟體 CLI 參考 操作模式命令

}
OR...
private-key {
name <value>;
passphrase <value>;
path <value>;
content <value>;
certificate-name <value>;
format pkcs12|pem;
}
OR...
keypair {
name <value>;
passphrase <value>;
path <value>;
content <value>;
certificate-name <value>;
format pkcs12|pem;
}
OR...
ssl-optout-text {
name <value>;
path <value>;
content <value>;
}
OR...
ssl-cert-status-page {
name <value>;
path <value>;
content <value>;
}
OR...
logo {
name <value>;
path <value>;
content <value>;
}
OR...
custom-logo {
login-screen {
name <value>;
path <value>;
}
OR...
main-ui {
name <value>;
path <value>;
}
OR...
pdf-report-header {
name <value>;
path <value>;

WildFire 管理員指南 95
操作模式命令 WildFire 設備軟體 CLI 參考

}
OR...
pdf-report-footer {
name <value>;
path <value>;
}
}
}

download {
certificate {
certificate-name <value>;
include-key yes|no;
format pem|pkcs12;
passphrase <value>;
}
OR...
csv;
OR...
techsupport;
OR...
statsdump;
OR...
generic {
file <value>;
}
}

scp {
import {
configuration {
from <value>;
remote-port 1-65535;
source-ip <ip/netmask>;
}
OR...
license {
from <value>;
remote-port 1-65535;
source-ip <ip/netmask>;
}
OR...
software {
from <value>;
remote-port 1-65535;
source-ip <ip/netmask>;
}
}
OR...
export {
mgmt-pcap {
from <value>;

96 WildFire 管理員指南
WildFire 設備軟體 CLI 參考 操作模式命令

to <value>;
remote-port 1-65535;
source-ip <ip/netmask>;
}
OR...
configuration {
from <value>;
to <value>;
remote-port 1-65535;
source-ip <ip/netmask>;
}
OR...
tech-support {
to <value>;
remote-port 1-65535;
source-ip <ip/netmask>;
}
}
}

tftp {
import {
configuration {
from <value>;
file <value>;
remote-port 1-65535;
source-ip <ip/netmask>;
}
OR...
certificate {
from <value>;
file <value>;
remote-port 1-65535;
source-ip <ip/netmask>;
certificate-name <value>;
passphrase <value>;
format pkcs12|pem;
}
OR...
private-key {
from <value>;
file <value>;
remote-port 1-65535;
source-ip <ip/netmask>;
passphrase <value>;
certificate-name <value>;
format pkcs12|pem;
}
OR...
keypair {
from <value>;
file <value>;

WildFire 管理員指南 97
操作模式命令 WildFire 設備軟體 CLI 參考

remote-port 1-65535;
source-ip <ip/netmask>;
passphrase <value>;
certificate-name <value>;
format pkcs12|pem;
}
OR...
license {
from <value>;
file <value>;
remote-port 1-65535;
source-ip <ip/netmask>;
}
OR...
software {
from <value>;
file <value>;
remote-port 1-65535;
source-ip <ip/netmask>;
}
}
OR...
export {
config-bundle {
to <value>;
remote-port 1-65535;
source-ip <ip/netmask>;
}
OR...
core-file {
control-plane {
from <value>;
to <value>;
remote-port 1-65535;
source-ip <ip/netmask>;
}
}
OR...
device-state {
to <value>;
remote-port 1-65535;
source-ip <ip/netmask>;
}
OR...
mgmt-pcap {
from <value>;
to <value>;
remote-port 1-65535;
source-ip <ip/netmask>;
}
OR...
configuration {

98 WildFire 管理員指南
WildFire 設備軟體 CLI 參考 操作模式命令

from <value>;
to <value>;
remote-port 1-65535;
source-ip <ip/netmask>;
}
OR...
tech-support {
to <value>;
remote-port 1-65535;
source-ip <ip/netmask>;
}
OR...
log-file {
management-plane {
to <value>;
remote-port 1-65535;
source-ip <ip/netmask>;
}
}
}
}

load {
config {
key <value>;
last-saved;
OR...
from <value>;
OR...
version <value>1-1048576;
OR...
partial {
from <value>;
from-xpath <value>;
to-xpath <value>;
mode merge|replace|append;
}
}
OR...
device-state;
}

less {
mp-log <value>;
OR...
mp-backtrace <value>;
}

grep {
invert-match yes|no;
line-number yes|no;
ignore-case yes|no;

WildFire 管理員指南 99
操作模式命令 WildFire 設備軟體 CLI 參考

no-filename yes|no;
count yes|no;
max-count 1-65535;
context 1-65535;
before-context 1-65535;
after-context 1-65535;
pattern <value>;
mp-log <value>;
OR...
dp-log <value>;
}

tail {
follow yes|no;
lines 1-65535;
mp-log <value>;
}

ssh {
inet yes|no;
port 0-65535;
source <value>;
v1 yes|no;
v2 yes|no;
host <value>;
}

telnet {
8bit yes|no;
port 0-65535;
host <value>;
}

traceroute {
ipv4 yes|no;
first-ttl 1-255;
max-ttl 1-255;
port 1-65535;
tos 1-255;
wait 1-99999;
pause 1-2000000000;
do-not-fragment yes|no;
debug-socket yes|no;
gateway <ip/netmask>;
no-resolve yes|no;
bypass-routing yes|no;
source <value>;
host <value>;
}

netstat {
route yes|no;

100 WildFire 管理員指南

WildFire 設備軟體 CLI 參考 操作模式命令

interfaces yes|no;
groups yes|no;
statistics yes|no;
verbose yes|no;
numeric yes|no;
numeric-hosts yes|no;
numeric-ports yes|no;
numeric-users yes|no;
symbolic yes|no;
extend yes|no;
programs yes|no;
continuous yes|no;
listening yes|no;
all yes|no;
timers yes|no;
fib yes|no;
cache yes|no;
}

ping {
bypass-routing yes|no;
count 1-2000000000;
do-not-fragment yes|no;
interval 1-2000000000;
source <value>;
no-resolve yes|no;
pattern <value>;
size 0-65468;
tos 1-255;
ttl 1-255;
verbose yes|no;
host <value>;
}

WildFire 管理員指南 101

操作模式命令 WildFire 設備軟體 CLI 參考

test wildfire registration

說明

執行測試以確認 WildFire 設備或防火牆是否適當地向 WildFire 伺服器登錄。如果測試成功，則會顯

示 WildFire 伺服器的 IP 位址或伺服器名稱，這表示設備 / 防火牆能夠將檔案傳送至 WildFire 伺服
器進行分析。

階層位置

操作模式的最上層。

語法

test {
wildfire {
registration;
}
}

選項

無額外的選項。

範例輸出

以下顯示在能夠與 WildFire 設備通訊的防火牆上的成功輸出。如果這是指向 Palo Alto Networks

WildFire Cloud 的 WildFire 設備，則會在 select the best server: 欄位中顯示其中一個雲端伺
服器的名稱。
Test wildfire
wildfire registration: successful
download server list: successful
select the best server: ca-s1.wildfire.paloaltonetworks.com

需要權限層級

超級使用者、超級讀取者

102 WildFire 管理員指南

WildFire 設備軟體 CLI 參考 操作模式命令

set wildfire portal-admin

說明

設定入口網站管理帳戶密碼，此密碼將用於從防火牆檢視 WildFire 報告。預設的使用者名稱和密

碼是 admin/admin。輸入命令後，請按下 Enter，提示會顯示以變更密碼。
當檢視防火牆或 Panorama 上的 WildFire 日誌詳細資訊並按一下 View WildFire Report 時，便會使
用此帳戶。驗證後，便會擷取 WildFire 詳細的分析報告，並顯示在您的瀏覽器中。

入口網站管理帳戶是唯一可從日誌中檢視報告的帳戶；密碼可以變更，但帳戶名稱無
法變更，且無法建立其他的帳戶。

階層位置

操作模式的最上層。

語法

set {
wildfire {
portal-admin {
password <value>;
}
}

選項

無額外的選項。

範例輸出

以下為此命令的輸出。
admin@wf-corp1> set wildfire portal-admin password
Enter password :
Confirm password :

WildFire 管理員指南 103

操作模式命令 WildFire 設備軟體 CLI 參考

需要權限層級

超級使用者、超級讀取者

104 WildFire 管理員指南

WildFire 設備軟體 CLI 參考 操作模式命令

raid

說明

使用此選項可管理安裝在 WildFire 設備中的 RAID 配對。WF-500 WildFire 設備在前四個磁碟機擴充

插槽 (A1、A2、B1、B2) 中隨附四個磁碟機。磁碟機 A1 與 A2 是 RAID 1 配對，磁碟機 B1 與 B2 是
第二個 RAID 1 配對。

階層位置

request system

語法

raid {
remove <value>;
OR...
copy {
from <value>;
to <value>;
}
OR...
add {

選項

> add Add a drive into the corresponding RAID Disk Pair
> copy Copy and migrate from one drive to other drive in the bay
> remove drive to remove from RAID Disk Pair

範例輸出

以下輸出為 RAID 設定正確的 WildFire WF-500 設備。

admin@wf-corp1> show system raid

Disk Pair A Available

Disk id A1 Present
Disk id A2 Present
Disk Pair B Available
Disk id B1 Present
Disk id B2 Present

WildFire 管理員指南 105

操作模式命令 WildFire 設備軟體 CLI 參考

需要權限層級

超級使用者、超級讀取者

106 WildFire 管理員指南

WildFire 設備軟體 CLI 參考 操作模式命令

show wildfire

說明

顯示 WildFire 設備登錄資訊、活動、已分析的最近樣本，以及虛擬機器資訊。

階層位置

show wildfire

語法

sample-status {
sha256 {
equal <value>;
}
}
OR...
status;
OR...
statistics;
OR...
latest {
analysis {
filter malicious|benign;
sort-by SHA256|Submit Time|Start Time|Finish Time|Malicious|Status;
sort-direction asc|desc;
limit 1-20000;
days 1-7;
}
OR...
sessions {
filter malicious|benign;
sort-by SHA256|Create Time|Src IP|Src Port|Dst Ip|Dst Port|File|Device
ID|App|Malicious|Status;
sort-direction asc|desc;
limit 1-20000;
days 1-7;
}
OR...
samples {
filter malicious|benign;
sort-by SHA256|Create Time|File Name|File Type|File Size|Malicious|Status;
sort-direction asc|desc;
limit 1-20000;

WildFire 管理員指南 107

操作模式命令 WildFire 設備軟體 CLI 參考

days 1-7;
}
OR...
uploads {
sort-by SHA256|Create Time|Finish Time|Status;
sort-direction asc|desc;
limit 1-20000;
days 1-7;
}
OR...
last-device-registration {
all;
}
}

選項

admin@wf-corp1> show wildfire

> last-device-registration Show list of latest registration activities
> latest Show latest 30 activities, which include the last
30 analysis activities, the last 30 files that
were analyzed, network session information on
files that were analyzed and files that were
uploaded to the public cloud server.
> sample-status Show wildfire sample status
> statistics Show basic wildfire statistics
> status status

範例輸出

以下為此命令的輸出。
admin@wf-corp1> show wildfire last-device-registration all

+--------------+---------------------+-------------+------------+----------+--
--
----+
| Device ID | Last Registered | Device IP | SW Version | HW Model | Sta
tus |
+--------------+---------------------+-------------+------------+----------+--
--
----+
| 001606000114 | 2013-03-12 08:34:09 | 192.168.2.1 | 5.0.2 | PA-200 | OK
|
+--------------+---------------------+-------------+------------+----------+--
--

admin@wf-corp1> show wildfire latest

> analysis Show latest 30 analysis
> samples Show latest 30 samples
> sessions Show latest 30 sessions
> uploads Show latest 30 uploads

108 WildFire 管理員指南

WildFire 設備軟體 CLI 參考 操作模式命令

show wildfire sample-status sha256 equal

c08ec3f922e26b92dac959f672ed7df2734ad7840cd40dd72db72d9c9827b6e8

Sample information:
+---------------------+-------------------+-----------+-----------+-----------+-------
------------+
| Create Time | File Name | File Type | File Size | Malicious | Status
|
+---------------------+-------------------+-----------+-----------+-----------+-------
------------+
| 2013-03-07 10:22:00 | 5138e1fa13a66.exe | PE | 261420 | No | analysis
complete |
| 2013-03-07 10:22:00 | 5138e1fa13a66.exe | PE | 261420 | No | analysis
complete |
+---------------------+-------------------+-----------+-----------+-----------+-------
------------+

Session information:
+---------------------+----------------+----------+--------------+----------+---------
----------+--------------+--------------+-----------+-----------+
| Create Time | Src IP | Src Port | Dst IP | Dst Port | File
| Device ID | App | Malicious | Status |
+---------------------+----------------+----------+--------------+----------+---------
----------+--------------+--------------+-----------+-----------+
| 2013-03-07 10:22:42 | 46.165.211.184 | 80 | 192.168.2.10 | 53620 |
5138e223a1069.exe | 001606000114 | web-browsing | No | completed |
| 2013-03-07 10:22:02 | 46.165.211.184 | 80 | 192.168.2.10 | 53618 |
5138e1fb3e5fb.exe | 001606000114 | web-browsing | No | completed |
| 2013-03-07 10:22:00 | 46.165.211.184 | 80 | 192.168.2.10 | 53617 |
5138e1fa13a66.exe | 001606000114 | web-browsing | No | completed |
+---------------------+----------------+----------+--------------+----------+---------
----------+--------------+--------------+-----------+-----------+

Analysis information:
+---------------------+---------------------+---------------------+-----------+-------
----+
| Submit Time | Start Time | Finish Time | Malicious | Status
|
+---------------------+---------------------+---------------------+-----------+-------
----+
| 2013-03-07 10:22:01 | 2013-03-07 10:22:01 | 2013-03-07 10:27:02 | No |
completed |
+---------------------+---------------------+---------------------+-----------+-------
----+

admin@wf-corp1> show wildfire statistics days 7

Last one hour statistics:

Total sessions submitted : 0
Samples submitted : 0
Samples analyzed : 0
Samples pending : 0
Samples (malicious) : 0
Samples (benign) : 0

WildFire 管理員指南 109

操作模式命令 WildFire 設備軟體 CLI 參考

Samples (error) : 0
Malware sent to cloud : 0

Last 7 days statistics:

Total sessions submitted : 23
Samples submitted : 3
Samples analyzed : 3
Samples pending : 0
Samples (malicious) : 0
Samples (benign) : 3
Samples (error) : 0
Malware sent to cloud : 0

admin@wf-corp1> show wildfire status

Connection info:
Wildfire cloud: wildfire-public-cloud
Status: Idle
Auto-Submit: disabled
VM internet connection: disabled
Best server:
Device registered: no
Service route IP address: 192.168.2.20
Signature verification: enable
Server selection: enable
Through a proxy: no

需要權限層級

超級使用者、超級讀取者

110 WildFire 管理員指南

WildFire 設備軟體 CLI 參考 操作模式命令

show system raid

說明

顯示設備的 RAID 設定。WF-500 WildFire 設備在前四個磁碟機擴充插槽（A1、A2、B1、B2）中隨

附四個磁碟機。磁碟機 A1 與 A2 是 RAID 1 配對，磁碟機 B1 與 B2 是第二個 RAID 1 配對。

階層位置

show system

語法

raid{
detail;

選項

無額外的選項。

範例輸出

以下顯示運作中 WildFire WF-500 設備的 RAID 設定。

admin@wf-corp1> show system raid detail

Disk Pair A Available

Status clean
Disk id A1 Present
model : ST91000640NS
size : 953869 MB
partition_1 : active sync
partition_2 : active sync
Disk id A2 Present
model : ST91000640NS
size : 953869 MB
partition_1 : active sync
partition_2 : active sync
Disk Pair B Available
Status clean
Disk id B1 Present
model : ST91000640NS
size : 953869 MB
partition_1 : active sync
partition_2 : active sync

WildFire 管理員指南 111

操作模式命令 WildFire 設備軟體 CLI 參考

Disk id B2 Present
model : ST91000640NS
size : 953869 MB
partition_1 : active sync
partition_2 : active sync

需要權限層級

超級使用者、超級讀取者

112 WildFire 管理員指南