WildFire_AdminGuide_61-Chinese_Traditional

®
Palo Alto Networks
WildFire 管理者指南
版本 6.1
聯絡資訊
企業總部：
Palo Alto Networks
4401 Great America Parkway
Santa Clara, CA 95054
http://www.paloaltonetworks.com/contact/contact/
關於本指南
本指南說明使用和維護 Palo Alto Networks WildFire 功能所需的管理作業。涵蓋的主題包括授權資訊、設定

防火牆轉送檔案以供檢驗、檢視報告，以及如何設定和管理 WF-500 WildFire 設備。
如需詳細資訊，請參閱以下來源：
 如需其他功能資訊，以及在防火牆上設定功能的指示，請參閱
https://www.paloaltonetworks.com/documentation。
 如需存取知識庫、完整說明文件集、討論區和視訊的詳細資訊，請參閱
https://live.paloaltonetworks.com。
 如需聯絡支援人員、取得支援計畫資訊，或管理您的帳號或設備的詳細資訊，請參閱
https://support.paloaltonetworks.com。
 如需最新的版本資訊，請前往軟體下載網頁，網址為
https://support.paloaltonetworks.com/Updates/SoftwareUpdates。
 若要提供文件的回饋，請以下列方式寄給我們：documentation@paloaltonetworks.com。
Palo Alto Networks

www.paloaltonetworks.com
© 2014 Palo Alto Networks. 保留所有權利。
Palo Alto Networks 與 PAN-OS 是 Palo Alto Networks, Inc. 的註冊商標。
修訂日期：2015 年 5 月 22 日
ii
目錄
WildFire 概要介紹. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
關於 WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
WildFire 概念 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
檔案 / 電子郵件連結轉送 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
支援的檔案類型 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
WildFire 虛擬沙箱. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
WildFire 特徵碼 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
WildFire 電子郵件連結分析 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
WildFire 警示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
WildFire 日誌記錄與報告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
惡意軟體測試樣本 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
WildFire 部署 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
WildFire 使用授權需求 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
讓特徵碼保持最新狀態的最佳作法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
參考：依平台的防火牆檔案轉送容量. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
WF-500 設備檔案分析 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
關於 WF-500 設備 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
設定 WF-500 設備 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
設定 WF-500 設備的先決條件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
將 WF-500 設備整合於網路 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
驗證 WF-500 設備設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
在 WF-500 設備上設定虛擬電腦介面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
虛擬電腦介面概要介紹. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
在 WF-500 設備上設定虛擬電腦介面. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
設定防火牆控制 WF-500 虛擬電腦介面的流量 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
在 WF-500 設備上管理內容更新. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
直接從更新伺服器安裝內容更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
從啟用 SCP 的伺服器安裝內容更新. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
將檔案轉送至 WF-500 設備 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
設定防火牆將樣本轉送至 WF-500 設備 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
驗證轉送至 WF-500 設備 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
在 WF-500 設備上產生特徵碼 / URL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
允許在 WF-500 設備上產生特徵碼 / URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
設定防火牆從 WF-500 設備擷取更新. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
更新 WF-500 設備並啟用 Windows 7 64 位元支援. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
GlobalProtect 管理者指南 iii

WildFire Cloud 檔案分析 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
將樣本轉送至 WildFire Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
驗證轉送至 WildFire Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
使用 WildFire Cloud 入口網站上載檔案 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
WildFire 報告. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
WildFire 日誌 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
在 WildFire 日誌中啟用電子郵件標頭資訊 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
使用 WildFire 入口網站監控提交 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
自訂 WildFire 入口網站設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
新增 WildFire 入口網站使用者帳戶 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
檢視 WildFire 報告. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
WildFire 報告內容 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
設定對於偵測到的惡意軟體所發出的警示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
WildFire 的運作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
WildFire API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
關於 WildFire 使用授權及 API 金鑰. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
使用 WildFire API. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
WildFire API 檔案提交方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
使用提交檔案方法將檔案提交到 WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
使用提交 URL 方法將檔案提交至 WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
查詢 WildFire PDF 或 XML 報告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
使用 API 擷取樣本惡意軟體測試檔案 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
使用 API 擷取樣本檔案或 PCAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
在 WF-500 設備上使用 WildFire API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
在 WildFire 設備上產生 API 金鑰 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
在 WildFire 設備上管理 API 金鑰 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
在 WildFire 設備上使用 WildFire API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
WildFire 設備軟體 CLI 參考. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93

WildFire 設備軟體 CLI 概念. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
WildFire 設備軟體 CLI 結構. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
WildFire 設備軟體 CLI 命令慣例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
WildFire 設備 CLI 命令訊息. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
命令選項符號 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
權限等級 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
WildFire CLI 命令模式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
設定模式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
操作模式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
iv WildFire 管理者指南
存取 CLI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
建立直接主控台連線 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
建立 SSH 連線. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
使用 CLI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
存取操作與設定模式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
顯示 WildFire 設備軟體 CLI 命令選項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
限制命令輸出 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
為設定命令設定輸出格式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
設定模式命令參考 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
set deviceconfig setting wildfire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
set deviceconfig system update-schedule. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
set deviceconfig system vm-interface. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
操作模式命令參考 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
create wildfire api-key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
delete wildfire api-key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
delete wildfire-metadata . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
edit wildfire api-key. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
load wildfire api-key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
request system raid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
request system wildfire-vm-image . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
request wf-content . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
save wildfire api-key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
set wildfire portal-admin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
show system raid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
show wildfire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
測試 wildfire 登錄 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
WildFire 管理者指南 v
vi WildFire 管理者指南
WildFire 概要介紹
WildFire 使用惡意軟體沙箱、特徵碼型偵測和封鎖惡意軟體的組合，偵測和防範零時差惡意軟體。
WildFire 擴展 Palo Alto Networks 新一代防火牆的功能，可識別並封鎖已鎖定及未知的惡意軟體。
下列主題說明 WildFire 及如何將它整合至您的環境：
 關於 WildFire
 WildFire 概念
 WildFire 部署
 WildFire 使用授權需求
 讓特徵碼保持最新狀態的最佳作法
 參考：依平台的防火牆檔案轉送容量
WildFire 管理者指南 1
關於 WildFire WildFire 概要介紹
關於 WildFire
現今的惡意軟體主導目前最複雜的網路攻擊，而且愈來愈能夠規避傳統的安全性解決方案。Palo
Alto Networks 開發出整合式方法，因應整個惡意軟體生命週期，其中包括避免感染、識別零時差
惡意軟體（未發現的惡意軟體）或指向性惡意軟體（鎖定特定產業或企業的惡意軟體），以及突
顯和破壞進行中感染。
Palo Alto Networks WildFire 引擎透過 WildFire 系統內的虛擬環境中進行的直接監測，讓零時差和指向
性惡意軟體無所遁形。WildFire 功能特別採用 Palo Alto Networks App-ID 技術，不僅監控電子郵件附
件或瀏覽器的檔案下載，而且能夠識別應用程式內的檔案傳輸。
如需 Palo Alto Networks WildFire 隱私權政策的相關資訊，請參閱
https://live.paloaltonetworks.com/docs/DOC-2880 。
圖：高階 WildFire 決策工作流程說明基本 WildFire 工作流程，圖：詳細的 WildFire 決策流程說明整個
WildFire 生命週期，這段時間從使用者下載惡意檔案到 WildFire 產生特徵碼，以供 Palo Alto Networks
防火牆用來防範日後暴露於惡意軟體。
高階 WildFire 決策工作流程說明檔案下載的工作流程。電子郵件包含的 HTTP/HTTPS 連結分析相

當類似，但稍有不同。如需電子郵件連結分析的詳細資訊，請參閱 WildFire 電子郵件連結分析。
2 WildFire 管理員指南
WildFire 概要介紹關於 WildFire
圖：高階 WildFire 決策工作流程
關於 WildFire WildFire 概要介紹
圖：詳細的 WildFire 決策流程
WildFire 概要介紹 WildFire 概念
WildFire 概念
 檔案 / 電子郵件連結轉送
 支援的檔案類型
 WildFire 虛擬沙箱
 WildFire 特徵碼
 WildFire 電子郵件連結分析
 WildFire 警示
 WildFire 日誌記錄與報告
 惡意軟體測試樣本
檔案 / 電子郵件連結轉送
透過 WildFire 和 Palo Alto Networks 的整合解決方案，您即可利用檔案封鎖設定檔來設定防火牆，並

將它附加於指示防火牆自動轉送樣本至 WildFire 系統以分析的安全性政策。樣本可以是特定的檔案
類型，或 SMTP 或 POP3 訊息包含的 HTTP/HTTPS 連結。若使用者透過符合安全性規則的工作階段
下載檔案樣本，防火牆便會利用 WildFire 執行檔案雜湊檢查以判斷 WildFire 先前是否分析過檔案。
如果檔案是新的，即使檔案是包含在 ZIP 檔中或透過壓縮的 HTTP 傳輸，也會自動轉送以進行分
析。在電子郵件連結的情況下，防火牆將從符合轉送政策的 SMTP 和 POP3 電子郵件訊息中擷取
HTTP/HTTPS 連結，並轉送連結至 WildFire（請參閱 WildFire 電子郵件連結分析。若 SSL 解密已啟
用，您也可將防火牆設定為轉送加密 SSL 工作階段內的檔案。
如需設定轉送的資訊，請參閱將檔案轉送至 WF-500 設備或將樣本轉送至 WildFire Cloud。
支援的檔案類型
WildFire 可分析下列檔案類型：
 Email-link — SMTP 和 POP3 電子郵件訊息包含的 HTTP/HTTPS 電子郵件連結。請注意，防火牆

只會從周遊防火牆的電子郵件訊息中擷取連結和相關的工作階段資訊（寄件者、收件者和主
旨），它不會接收、儲存、轉送或檢視電子郵件訊息。WF-500 設備不支援電子郵件連結分析。
 Flash — 網頁中內嵌的 Adobe Flash applet 和 Flash 內容。
 APK — Android 應用程式套件。WF-500 設備不支援。
 PDF — 可攜式文件格式。
 JAR — Java Applet（JAR/Class 檔案類型）。WF-500 設備將分析 Java 內容，但不會產生惡意樣本

的特徵碼。您必須從 WildFire 提交日誌下載樣本，並上載至 WildFire Cloud 以產生特徵碼。
WildFire 概念 WildFire 概要介紹
 PE — 可攜式執行檔，包括執行檔、物件碼、DLL、FON（字型）及其他內容。
 MS-Office — 包括文件 (doc、docx、rtf)、活頁簿 (xls、xlsx) 及 PowerPoint (ppt、pptx)。從內容更

新 450 起，WildFire 可針對其判斷為惡意的 Office Open XML (OOXML) 2007+ 文件產生防毒特徵
碼，並透過 WildFire 及防毒更新傳送特徵碼，讓防火牆警示或封鎖這類檔案中的惡意內容。
防火牆不需 WildFire 使用授權即可轉送 PE 檔案類型至 WildFire 以進行分析，但需要 WildFire 使用

授權才可分析其他所有支援的檔案類型。
WildFire 虛擬沙箱
WildFire 會在虛擬環境中執行可疑的檔案，並觀察惡意活動的徵兆，例如會變更瀏覽器安全性設
定、將程式碼插入其他程序、修改 Windows 系統資料夾的檔案，或修改樣本嘗試存取的網域。
WildFire 引擎完成分析時，會產生詳細的取證報告，摘要說明觀察到的行為，並指派惡意軟體或良
性的裁定。同樣地，WildFire 將擷取 SMTP 和 POP3 電子郵件訊息中的 HTTP/HTTPS，並造訪連結
來判斷對應的網頁是否主導任何人侵行為。若 WildFire 偵測到惡意行為，它將產生報告並提交 URL
至 PAN-DB，並將 URL 分類為惡意軟體。請注意，WildFire 不會為良性電子郵件連結產生日誌。
WildFire 針對下列作業系統環境提供沙箱支援：
 Microsoft Windows XP 32 位元
 Microsoft Windows 7 32 位元
 Microsoft Windows 7 64 位元
WildFire 特徵碼
Palo Alto Networks WildFire 功能的主要優點在於能夠發覺網路流量 (HTTP/HTTPS)、電子郵件通訊協

定（SMTP、IMAP 和 POP）以及 FTP 流量中的零時差惡意軟體，而且能夠快速產生特徵碼，以針
對所有偵測到的惡意軟體防範後續感染。WildFire 將根據樣本的惡意軟體裝載自動產生特徵碼，並
測試特徵碼的準確性與安全性。由於惡意軟體變化的速度相當快，因此 WildFire 產生的特徵碼將因
應惡意軟體的眾多變體。WildFire 偵測到新的惡意軟體時，會在 15 到 30 分鐘內產生新的特徵碼。
具備 WildFire 使用授權的防火牆可以每 15 分鐘接收新的特徵碼一次。如果您沒有 WildFire 使用授
權，24 到 48 小時內將針對擁有威脅防範使用授權的防火牆提供做為防毒更新一部分的特徵碼。
在防火牆下載並安裝新的特徵碼後，防火牆將自動捨棄任何包含該惡意軟體（或其變體）的檔案。
WildFire 在分析惡意軟體時收集的資訊也將用來強化其他威脅防範功能，例如將惡意軟體 URL 新增
至 PAN-DB 、產生 DNS 特徵碼、防毒和反間碟軟體特徵碼。Palo Alto Networks 也開發命令和控制流
量的特徵碼，能夠立即中斷任何惡意軟體在網路內進行的通訊。如需特徵碼及具備 WildFire 使用授
權的效益相關的詳細資訊，請參閱 WildFire 使用授權需求。
WildFire 電子郵件連結分析
防火牆不僅會轉送檔案至 WildFire 進行分析，也可擷取 SMTP 和 POP3 電子郵件訊息中包含的

HTTP/HTTPS 連結，並轉送連結至 WildFire Cloud 以進行分析。WF-500 設備不支援此功能。您可
將防火牆設定為轉送 email-link 檔案類型來啟用此功能。請注意，防火牆只會從周遊防火牆的電子
郵件訊息中擷取連結和相關的工作階段資訊（寄件者、收件者和主旨），它不會接收、儲存、轉
送或檢視電子郵件訊息。
從防火牆接收電子郵件連結後，WildFire 會造訪連結來判斷是否有對應的網頁主導任何人侵行為。
如果 WildFire 判定網頁本身是「良性」，則不會產生日誌。不過，若它在網頁上偵測到惡意行為，
將會傳回惡意裁定並且：
 產生詳細的分析報告並記錄至轉送連結防火牆上的 WildFire 提交日誌。此日誌現在包含電子郵件

標頭資訊 — 電子郵件寄件者、收件者及主旨 — 以便您識別訊息並將它從郵件伺服器上刪除，和 /
或追蹤收件者，以及在已傳送電子郵件和 / 或開啟的情況下移轉威脅。
 將 URL 新增至 PAN-DB 並將 URL 分類為惡意。

請注意，若連結對應檔案下載，WildFire 將不會分析檔案。不過，若已針對轉送啟用對應檔案類型，
當使用者按一下連結以下載對應檔案時，防火牆將轉送對應的檔案至 WildFire 以進行分析。
防火牆會以每批 100 個電子郵件連結轉送或每 2 分鐘轉送電子郵件連結一次，取決於先發生的順
序。WildFire 的每批上載視為特定防火牆平台每分鐘上載容量中的一次上載（參考：依平台的防
火牆檔案轉送容量）。若要判斷防火牆至否轉送電子郵件連結，請從設定為轉送至 WildFire 的防
火牆執行下列命令：
admin@PA-200> show wildfire statistics
檢視檔案轉送計數器下的檔案類型：email-link 計數器區段。
當電子郵件轉送時，下列計數器將增加：
– FWD_CNT_APPENDED_BATCH — 表示等候上載至 WildFire 的批次所新增的電子郵件連
結數量。
– FWD_CNT_LOCAL_FILE — 表示上載至 WildFire 的電子郵件連結總數。
若要確保您獲得此功能的完整優點，請在將轉送樣本至 WildFire 的防火牆上確認下列內容。
 已安裝有效的 WildFire 使用授權。
 WildFire 內容更新已設定為頻繁下載並安裝（最少每 15 分鐘）。
 PAN-DB 是使用中的 URL 過濾廠商。
WildFire 警示
防火牆能夠在偵測到網路出現惡意軟體時，傳送電子郵件警示、系統日誌或 SNMP 陷阱，提供立

即通知。這能夠讓您快速識別下載惡意軟體的使用者，並且在造成大規模損壞或傳播到其他使用
者前予以清除。此外，WildFire 產生的各個特徵碼會自動傳播到以威脅防範及 / 或 WildFire 使用授
權保護的各個 Palo Alto Networks 防火牆，因此可針對在全球網路上找到的惡意軟體提供自動保護。
WildFire 概念 WildFire 概要介紹
WildFire 日誌記錄與報告
對於 WildFire 分析的各個樣本，WildFire 都會在樣本提交後幾分鐘內產生詳細的行為報告。這些報告

位在防火牆的「WildFire 提交」日誌中，可從 WildFire 入口網站或透過 WildFire API 查詢取得。這些
報告顯示樣本的詳細行為資訊、目標使用者、傳遞檔案的應用程式，以及用於檔案傳遞或回撥活動
的所有 URL 相關的資訊。如需如何存取連接埠的詳細資訊和報告欄位的描述，請參閱檢視 WildFire
報告。
下列螢幕擷取畫面顯示檔案分析的部分樣本報告，接著是電子郵件連結分析報告的螢幕擷取畫面。
惡意軟體測試樣本
Palo Alto Networks 提供樣本惡意軟體系統，可讓您用來測試 WildFire 設定。在您下載檔案並測試設

定前，請確定您根據將檔案轉送至 WF-500 設備或將樣本轉送至 WildFire Cloud 中所述的程序設定防
火牆。
以下列出與測試檔案相關的資訊：
 您每次存取 URL 時，伺服器都會產生名為 wildfire-test-pe-file.exe 的唯一檔案並開始下載。每個測

試檔案也包含唯一 SHA-256 雜湊值。
 該檔案的裁定必為惡意。
 雖然 WildFire 會為測試檔案產生特徵碼，但特徵碼會停用且將不會散佈至 Palo Alto Networks 更新

伺服器。若在 WF-500 上啟用特徵碼產生，它將不會為測試檔案產生特徵碼。
若要存取惡意軟體測試檔案，請反白下列連結，複製並貼上瀏覽器：
http://wildfire.paloaltonetworks.com/publicapi/test/pe 。
如果您已啟用防火牆的解密功能，則可以用 HTTPS 取代 HTTP，以存取該網站的加密版本。
下載該檔案後，請檢查防火牆的資料過濾日誌，瞭解檔案是否已轉送，約 5 分鐘後，請在 WildFire
提交日誌中尋找結果。如需驗證 WildFire 設定的詳細資訊，請參閱驗證轉送至 WF-500 設備和驗證
轉送至 WildFire Cloud。
如需 WildFire API 測試的詳細資訊，請參閱使用 API 擷取樣本惡意軟體測試檔案。
WildFire 部署 WildFire 概要介紹
WildFire 部署
Palo Alto Networks 新一代的防火牆支援下列 WildFire 部署：
 WildFire Cloud — 在此部署中，Palo Alto Networks 防火牆會將檔案轉送到由 Palo Alto Networks 擁

有並維護的主控 WildFire 環境。WildFire 偵測到新的惡意軟體時，會在 15 到 30 分鐘內產生新的
特徵碼。具備 WildFire 使用授權的防火牆可在 15 分鐘內收到新的特徵碼；僅具備威脅防範使用
授權的防火牆將在 24 至 48 小時內進行下一次特徵碼更新時收到新的特徵碼。
若為托管於美國的 WildFire Cloud 伺服器，可用的 WildFire Cloud 伺服器為 wildfire-public-cloud，
若為托管於日本的 WildFire Cloud，則為 wildfire.paloaltonetworks.jp。如果您不想將良性檔案轉送到
美國的雲端伺服器，您也可以讓您的防火牆使用日本伺服器。若檔案傳送至日本雲端且 WildFire
判斷它為惡意，則日本雲端會將它轉送至美國雲端伺服器，WildFire 會在該處再次分析以確認它
是否為惡意。如果您的防火牆位於日本地區，您可更快獲得樣本提交和報告產生的回應。
 WildFire 設備 — 在此部署中，您在企業網路安裝 WF-500 WildFire 設備，並設定 Palo Alto Networks

防火牆將檔案轉送到設備，而非轉送到 Palo Alto Networks WildFire Cloud（預設）。如此的部署
可避免防火牆將任何檔案送出網路之外進行分析。依照預設，設備將不會將任何檔案傳送出您
的網路，除非您明確啟用雲端智慧提交樣本功能。此功能可讓設備轉送偵測到的惡意軟體至
Palo Alto Networks WildFire Cloud，檔案將在該處進行分析，並產生惡意樣本的特徵碼。更新伺服
器接著會提供特徵碼給所有具備威脅防範和 / 或 WildFire 使用授權的 Palo Alto Networks 防火牆。
設備也可設定為根據從您連線的防火牆所傳送至設備的樣本，或者透過使用 WildFire XML API 提
交樣本，在本機上產生特徵碼。如需詳細資訊，請參閱在 WF-500 設備上產生特徵碼 / URL。一
個 WildFire 設備可以接收多達 100 個 Palo Alto Networks 防火牆的檔案進行分析。
下面列出 WildFire Cloud 和 WildFire 設備部署的主要差異：
 WildFire 設備能夠啟用惡意軟體的本機沙箱，以免良性的檔案無法傳出客戶網路。依照預設，
WildFire 設備不會篹改任何檔案至 WildFire Cloud，但您可以設定設備上的雲端智慧選項以轉送
惡意樣本或惡意樣本的報告至 Palo Alto Networks。若您不希望設備傳送惡意軟體至 Palo Alto
Networks，建議您至少將設備設定為傳送惡意軟體報告。報告可協助 Palo Alto Networks 收集惡
意軟體的統計資訊以進一步了解惡意軟體的普遍程度，並洞悉惡意軟體傳播。
 WF-500 設備不具備 WildFire 入口網站，但您可在設備上設定雲端智慧以自動提交檔案至 WildFire

Cloud。您也可以從 WildFire 報告下載樣本，接著上載至入口網站，或使用 WildFire XML API 來
提交檔案至雲端。在手動上載至入口網站後，樣本將在入口網站上顯示為手動上載（請參閱使
用 WildFire Cloud 入口網站上載檔案）。針對由 Palo Alto Networks 防火牆轉送至 WF-500 設備或
WildFire Cloud 的樣本，防火牆的 WildFire 提交日誌一律會提供報告。
 在 WildFire Cloud 上有多個虛擬電腦執行，以代表在執行樣本檔案時所使用的各種作業系統與應

用程式。WF-500 設備上有多個虛擬電腦，但只能使用一個進行檔案分析。在您選取要使用的
虛擬電腦前，請檢閱可用虛擬電腦的屬性並選取最適合環境的虛擬電腦。雖然您將 WF-500 設
備設定為使用一個虛擬電腦影像檔設定，但設備會使用影像檔的多個執行個體來執行檔案分
析，以提升效能。如需檢視與選取虛擬電腦的資訊，請參閱將 WF-500 設備整合於網路。
WildFire 概要介紹 WildFire 使用授權需求
WildFire 使用授權需求
WildFire 使用惡意軟體沙箱以及惡意軟體的特徵碼型偵測和封鎖兩者的組合，偵測和防範零時差
惡意軟體。不需要使用授權，即可使用 WildFire 將檔案從 Palo Alto Networks 防火牆傳送到 WildFire
Cloud 進行沙箱作業。
為讓防火牆執行偵測並封鎖 WildFire 發現的已知惡意軟體，防火牆需要威脅防範和 / 或 WildFire 使
用授權。威脅防範使用授權能夠使防火牆接收每日防毒特徵碼更新，涵蓋 WildFire 在全球發現的
所有惡意軟體樣本。威脅防範使用授權也提供每週內容更新，其中包括新的弱點防護和反間諜軟
體特徵碼。
若要讓 WF-500 設備進行本機分析，您僅需安裝一個支援授權。這將讓設備與 Palo Alto Networks 更
新伺服器通訊以下載作業系統影像檔及每日內容更新。這些內容更新支援在本機 WF-500 設備上產
生特徵碼的能力，且會為設備配備最新的威脅資訊，以精確偵測惡意軟體並提升設備區分惡意及
良性軟體的能力。
若要享有 WildFire 服務的完整權益，各個防火牆必須具備 WildFire 使用授權，此授權提供下列：
 WildFire 動態更新 — 提供每小時內的新惡意軟體特徵碼，這可透過 Device（設備）> Dynamic

Updates（動態更新）進行設定。在偵測到惡意樣本的 15 到 30 分鐘內，WildFire 將產生新的惡
意軟體特徵碼，並透過 WildFire 動態更新進行散佈，防火牆能夠每 15、30 或 60 分鐘輪詢一
次。您可將防火牆設定為根據與防毒設定檔中的一般防毒特徵碼不同的惡意軟體特徵碼而採取
特定動作。動態更新所交付的 WildFire 特徵碼，會將所有 Palo Alto Networks WildFire 客戶提交
到 WildFire 的檔案中所偵測到的惡意軟體所產生的特徵碼包括在內，而不僅止於防火牆傳送到
WildFire 的檔案樣本。
發現惡意軟體後，WildFire 約需要 15 到 30 分鐘產生特徵碼，並提供給 WildFire 訂閱者使用。具

備 WildFire 使用授權的防火牆可以每 15、30 或 60 分鐘輪詢新的惡意軟體特徵碼一次。例如，如
果設定防火牆每 30 分鐘輪詢 WildFire 特徵碼一次，可能不會收到所上載檔案的特徵碼，而必須
等到發現惡意軟體後的第二次輪詢才會收到，這是因為產生特徵碼需要時間。如果防火牆只有威
脅防範使用授權，在 WildFire 特徵碼寫入每 24 到 48 小時進行的防毒更新後，將收到 WildFire 所
產生的特徵碼。
若您的防火牆會轉送檔案至已啟用本機特徵碼產生的 WF-500 設備，則設備可在約 5 分鐘內產生
特徵碼，而您可將防火牆設定為每 5 分鐘接收特徵碼一次。
 WildFire 進階檔案類型支援 — 除了可攜式執行檔 (PE) 檔案外，使用授權允許防火牆也會轉送下

列進階檔案類型：APK（僅限 WildFire Cloud）、Flash、PDF、Microsoft Office 和 JAR (Java
Applet)。除了這些檔案類型以外，您也可以將防火牆設定為透過轉送 email-link 檔案類型來擷
取並轉送 SMTP 和 POP3 電子郵件訊息中包含的電子郵件連結。請注意，防火牆只會從周遊防
火牆的電子郵件訊息中擷取連結和相關的工作階段資訊（寄件者、收件者和主旨），它不會接
收、儲存、轉送或檢視電子郵件訊息。
 WildFire API — WildFire 使用授權可供存取 WildFire API，可直接以程式設計方式存取 Palo Alto

Networks WildFire Cloud 或 WildFire 設備中的 WildFire 服務。您可以使用 WildFire API 提交檔案並擷取
所提交檔案的相關報告。WildFire API 支援每天最多 1,000 次檔案提交和每天最多 10,000 次查詢。
 WildFire WF-500 設備 — 只有具備有效 WildFire 使用授權的防火牆才能將檔案轉送到 WF-500 設備

進行分析。只安裝威脅防護使用授權的防火牆可以將檔案轉送到 WildFire Cloud，但無法轉送到
WF-500 設備。
讓特徵碼保持最新狀態的最佳作法 WildFire 概要介紹
讓特徵碼保持最新狀態的最佳作法
本節說明利用最新防護，將威脅防範和 WildFire 使用授權維持為最新狀態的最佳作法。為了簡化
工作流程，請使用 Panorama 透過 Panorama 範本將動態更新排程推送到受管理的防火牆。這可確保
所有防火牆相互一致，並簡化更新排程的管理。
這些方針提供兩個排程選項：最低限度的建議排程和更積極的排程。選擇更積極的做法將使得設備
更頻繁執行下載 / 安裝，其中某些更新可能相當大（超過 100MB 的防毒更新）。另外，在罕見的情
況下，特徵碼更新可能會發生錯誤。因此，請考慮數小時後再安裝新的更新。使用閾值（小時）欄
位，指定執行內容更新前須等候的發行後時間長度。
 防毒 — Palo Alto Networks 每天都會發行新的防毒內容更新。若要取得最新內容，請將這些更新
排定在每天最低限度的時間間隔。若要更積極的排程，請排定每小時更新。
 應用程式及威脅 — Palo Alto Networks 每週都會發行新的 App-ID、弱點防護和反間諜軟體特徵碼
內容更新（通常在星期二）。若要收到最新內容，請將這些更新排定在每週最低限度的時間
間隔。若要更積極的排程，請確保防火牆在最新的內容發行後立即收到這些內容（包括不定
期的排程外緊急內容發行），並將防火牆排程為每天下載 / 安裝。
 WildFire — 新的 WildFire 防毒特徵碼每 15 分鐘發行。端視 WildFire 在發行週期內何時發現新的
惡意軟體而定，WildFire 發現後，將在 15 到 30 分鐘內提供 WildFire 特徵碼。若要取得最新的
WildFire 特徵碼，請將這些更新排定在每小時或每半小時執行。若要更積極的排程，可將防火
牆設定為每 15 分鐘檢查更新。
 WF-Private — 若已在 WF-500 上特定特徵碼 / URL 產生（PAN-DB 的防毒特徵碼、DNS 特徵碼
及 URL 項目），您可將防毒軟體設定為使用 WF-Private 動態更新來下載 / 安裝更新。在設備接
收惡意樣本後，通常會在 5 分鐘內產生特徵碼。將防火牆設定為接收更新時，設定排程以每
小時或每半小時下載及安裝。若要更積極的排程（建議），可將防火牆設定為每 15 分鐘檢查
下載及安裝更新。若您將防火牆設定為接收 WF-Private 更新，強烈建議防火牆也從 Palo Alto
Networks 下載內容更新（防毒、應用程式 / 威脅和 WildFire）以確保防火牆具備最新防護。這
十分重要，因為當 WF-Private 更新的本機儲存在設備上已滿時，新的特徵碼 / URL 分類將覆
寫現有的內容，從最舊的開始。如需本機特徵碼產生的詳細資訊，請參閱在 WF-500 設備上產
生特徵碼 / URL。
WildFire 概要介紹參考：依平台的防火牆檔案轉送容量
參考：依平台的防火牆檔案轉送容量
本節說明各個 Palo Alto Network 防火牆平台可提交檔案至 WildFire Cloud 或 WF-500 設備已進行分析
的每分鐘速率上限。如果到達每分鐘限制，防火牆便會將樣本排入佇列。
下表的保留磁碟空間欄列出針對佇列檔案保留的防火牆磁碟空間。如果達到限制，防火牆將取消
轉送新檔案至 WildFire，直到佇列中有更多空間時。
防火牆可轉送檔案至 WildFire 的速度也取決於到 WildFire 系統的上載連結頻寬。
平台每分鐘檔案數上限保留磁碟空間
VM-100 5 100MB
VM-200 10 200MB
VM-300 20 200MB
PA-200 5 100MB
PA-500 10 200MB
PA-2000 系列 20 200MB
PA-3020 50 200MB
PA-3050 50 500MB
PA-3060 50 500MB
PA-4020 20 200MB
PA-4050/4060 50 500MB
PA-5020/5050 50 500MB
PA-5060 100 500MB
PA-7050 100 1GB
參考：依平台的防火牆檔案轉送容量 WildFire 概要介紹
WF-500 設備檔案分析
本主題說明 WF-500 設備，以及如何設定和管理設備準備接收檔案進行分析。此外，本主題說明將
Palo Alto Networks 防火牆設定為轉送檔案至 WildFire 設備以進行檔案分析的步驟，也說明如何將設備
設定為產生本機特徵碼，讓您無須傳送樣本至 WildFire Cloud。您也可以使用 WildFire API 從 WF-500
設備提交及擷取內容。
 關於 WF-500 設備
 設定 WF-500 設備
 在 WF-500 設備上設定虛擬電腦介面
 在 WF-500 設備上管理內容更新
 將檔案轉送至 WF-500 設備
 在 WF-500 設備上產生特徵碼 / URL
 設定防火牆從 WF-500 設備擷取更新
 更新 WF-500 設備並啟用 Windows 7 64 位元支援
關於 WF-500 設備 WF-500 設備檔案分析
關於 WF-500 設備
WF-500 設備提供內部部署的 WildFire 私人雲端，能夠讓您在沙箱環境中分析可疑的檔案，完全不
需要讓防火牆將檔案傳送到網路之外。若要使用 WF-500 設備取代 WildFire 雲端，請在防火牆設定
WildFire 伺服器設定以指向 WF-500 設備，而非指向 WildFire 公共雲端伺服器。WF-500 設備會在本
機進行所有檔案的沙箱作業，並使用 WildFire 雲端系統所用的同一個引擎分析檔案是否有惡意行
為。在幾分鐘內，設備會以「WildFire 提交」日誌將分析結果傳回防火牆。
依預設，WF-500 設備不會將任何檔案傳送到 Palo Alto Networks WildFire Cloud 以產生特徵碼。不過，
您可以將設備設定為在本機上產生特徵碼，連線的防火牆即可直接從設備擷取更新。如需設定本
機特徵碼產生的相關資訊及瞭解設備可提供的內容更新類型，請參閱在 WF-500 設備上產生特徵碼 /
URL。
WF-500 設備有自動提交功能，只會將確認的惡意軟體傳送到公共雲端進行特徵碼產生。您也可以
將此功能（雲端智慧）設定為只傳送惡意軟體報告，這可協助 Palo Alto Networks 收集惡意軟體的
統計資料。建議您將設備設定為傳送惡意軟體樣本至 WildFire Cloud，以產生特徵碼並提供給所有
客戶。若您不想自動傳送所有偵測到的惡意軟體至 WildFire Cloud，您可手動從 WildFire 分析報告
頁籤下載惡意軟體，並手動上載至 WildFire 入口網站。
您可以設定高達 100 個 Palo Alto Networks 防火牆轉送至單一 WildFire 設備。防火牆必須具備有效的
WildFire 使用授權，才能將檔案轉送到 WildFire 設備。
WildFire 設備有兩個介面：
 MGT — 接收所有從防火牆轉送的檔案，並且將載明結果的日誌傳回防火牆。請參閱將 WF-500 設

備整合於網路。
 虛擬電腦介面（VM 介面）— 可供網路存取 WildFire 沙箱系統，使樣本檔案能夠與網際網路通訊，

這讓 WildFire 能夠更進一步分析樣本的行為。設定 VM 介面之後，WildFire 即可觀察惡意軟體通
常不會在無法存取網路時執行的惡意行為，例如回撥活動。不過，為了避免惡意軟體從沙箱進
入網路，請在有網際網路連線的隔離網路上設定此介面。您也可以啟用 Tor 選項來向樣本所存
取的惡意網站隱藏由司使用的公共 IP 位址。如需 VM 介面的詳細資訊，請參閱在 WF-500 設備
上設定虛擬電腦介面。
WF-500 設備檔案分析設定 WF-500 設備
設定 WF-500 設備
下列主題說明如何將 WildFire 設備整合至網路：
 設定 WF-500 設備的先決條件
 將 WF-500 設備整合於網路
 驗證 WF-500 設備設定
設定 WF-500 設備的先決條件
 將 WF-500 設備安裝在機架並進行佈線。請參閱《WF-500 WildFire 設備硬體參考指南》。

 取得由網路管理員對 MGT 連接埠及虛擬電腦介面設定網路連線所需的資訊（IP 位址、子網路遮
罩、閘道、主機名稱、DNS 伺服器）。防火牆與設備之間所有的通訊都透過 MGT 連接埠進
行，包括檔案提交、WildFire 日誌傳遞和設備管理。因此，請確定防火牆可連線到設備的
MGT 連接埠。此外，設備必須能夠連線到 updates.paloaltonetworks.com 網站，擷取本身的作
業系統軟體更新。
 備妥電腦透過主控台纜線或以太網路纜線連線到設備取得初始設定。
將 WF-500 設備整合於網路
本節說明在網路安裝 WF-500 設備和執行基本設定所需的步驟。

將 WF-500 設備整合於網路
步驟 1 使用 MGT 或主控台連接埠將管理電腦 1. 連接到主控台連接埠或 MGT 連接埠。這兩者均位在設備

連接到設備，然後開啟設備的電源。的背面。
• 主控台連接埠 — 這是 9 針腳公序列接頭。對於主控台
應用程式，使用下列設定：9600-8-N-1。將提供的纜線
連接到管理電腦的序列連接埠或 USB 轉序列轉換頭。
• MGT 連接埠 — 這是 Ethernet RJ-45 連接埠。依預設，
MGT 連接埠 IP 位址是 192.168.1.1。管理電腦的介面必
須位在 MGT 連接埠所在的同一個子網路。例如，將
管理電腦的 IP 位址設定為 192.168.1.5。
2. 開啟設備的電源。
設備將在您連接電源至首個電源供應器時啟動，並
發出警告嗶聲，直到您連接第二個電源供應器為
止。如果設備的插頭已經插上，而且設備處於關閉
狀態，請使用設備正面的電源按鈕開啟電源。
設定 WF-500 設備 WF-500 設備檔案分析
將 WF-500 設備整合於網路（續）
步驟 2 註冊 WildFire 應用程式。 1. 從設備的 S/N 標籤取得序號，或執行下列命令並參閱

serial（序號）欄位：
admin@WF-500> show system info
2. 從瀏覽器登入 Palo Alto Networks 支援網站。
3. 註冊設備，如下所示：
如果這是第一台註冊的 Palo Alto Networks 設備且您尚未
登入，請在頁面右側按一下 Register（註冊）。若要註
冊，請提供電子郵件地址和設備的序號。出現提示時，
請設定用來存取 Palo Alto Networks 支援社群的使用者名
稱與密碼。
對於現有帳戶，請登入，然後按一下 My Devices（我的
設備）。向下捲動至畫面下方的 Register Device（註冊
設備）部分，然後輸入設備的序號、您的城市及郵遞區
號，然後按一下 Register Device（註冊設備）。
步驟 3 重設管理密碼。 1. 使用 SSH 用戶端或主控台連接埠登入設備。輸入

admin/admin 的使用者名稱 / 密碼。
2. 執行命令以設定新密碼：
admin@WF-500# set password
3. 輸入舊密碼，按下輸入，然後輸入並確認新密碼。不需
要交付設定，因為這是操作命令。
4. 輸入 exit 登出，然後再次登入，確認已設定新密碼。
步驟 4 設定 MGT 介面的 IP 資訊和設備的主 1. 使用 SSH 用戶端或主控台連接埠登入設備，並進入設定

機名稱。將檔案傳送到 WF-500 設備模式：
的所有防火牆將使用 MGT 連接埠， admin@WF-500> configure
因此請確定從這些防火牆可存取這個 2. 設定 IP 資訊：
連接埠。 admin@WF-500# set deviceconfig system ip-address
10.10.0.5 netmask 255.255.252.0 default-gateway
這個範例使用下列的值：
10.10.0.1 dns-setting servers primary 10.0.0.246
• IPv4 位址 — 10.10.0.5/22 將以上命令的 primary 改為 secondary，並排除其他
• 子網路遮罩 — 255.255.252.0 IP 參數，設定次要 DNS 伺服器。例如：
• 預設閘道 — 10.10.0.1 admin@WF-500# set deviceconfig system
• 主機名稱 — wildfire-corp1 dns-setting servers secondary 10.0.0.247
• DNS 伺服器 — 10.0.0.246 3. 設定主機名稱（此範例為 wildfire-corp1）：

admin@WF-500# set deviceconfig system hostname
wildfire-corp1
4. 交付設定以啟動新的管理 (MGT) 連接埠設定：
admin@WF-500# commit
5. 將 MGT 介面連接埠連接到網路交換器。
6. 在公司網路上，或者在存取管理網路上的設備時，所需
要的任何網路上，重新放置管理 PC。
7. 從管理電腦使用 SSH 用戶端連線至新 IP 位址，或指派給
設備 MGT 連接埠的主機名稱。在此範例中，IP 位址是
10.10.0.5。
步驟 5 （選用）設定管理 WildFire 設備的其在此範例中，您將建立使用者 bsimpson 的超級讀取者帳戶：

他使用者帳戶。您可指派兩個角色類 1. 進入設定模式：
型：超級使用者和超級讀取者。超級 admin@WF-500> configure
使用者相當於管理員帳戶，超級讀取 2. 建立使用者帳戶：
者僅擁有讀取權。 admin@WF-500# set mgt-config users bsimpson
<password>
3. 輸入並確認新密碼。
4. 指派超級讀取者角色：
admin@WF-500# set mgt-config users bsimpson
permissions role-based superreader yes
步驟 6 （選用）設定 RADIUS 驗證供管理者 1. 使用下列選項建立 RADIUS 設定檔：

存取。下列步驟摘要如何在設備上設 admin@WF-500# set shared server-profile radius
定 RADIUS。 <profile-name>
（設定 RADIUS 伺服器與其他屬性）。
2. 建立驗證設定檔：
admin@WF-500# set shared authentication-profile
<profile-name> method radius server-profile
<server-profile-name>
3. 為本機管理員帳戶指派設定檔：
admin@WF-500# set mgt-config users username
authentication-profile authentication-profile-name>
步驟 7 使用 Palo Alto Networks 發給的 WildFire 1. 變更為操作模式：

授權碼啟動設備。 admin@WF-500# exit
WF-500 設備將在缺少授權碼 2. 擷取並安裝 WildFire 授權：

的情況下運作，但如果欠缺有 admin@WF-500> request license fetch auth-code
<auth-code>
效的授權碼，則無法擷取軟體
更新。 3. 確認授權：
admin@WF-500> request support check
顯示支援網站及支援合約日期的相關資訊。確認所顯示
的日期有效。
步驟 8 設定當天日期 / 時間和時區。 1. 設定日期和時間：

admin@WF-500> set clock date <YY/MM/DD> time
<hh:mm:ss>
2. 進入設定模式：
admin@WF-500> configure
3. 設定當地時區：
admin@WF-500# set deviceconfig system timezone
<timezone>
將在 WildFire 詳細報告出現的時間戳記將使用在
設備設定的時區。如果多個地區的管理員會檢視
報告，請考慮將時區設為 UTC。
步驟 9 （選用）設定雲端智慧，使 WildFire 設 1. 若要啟用雲端智慧，請執行下列命令：

備將包含惡意軟體的檔案轉送到 Palo admin@WF-500# set deviceconfig setting wildfire
Alto Networks WildFire Cloud。若樣本 cloud-intelligence submit-sample yes
為惡意軟體，WildFire Cloud 系統將重 2. 若要僅提交 WildFire 惡意軟體報告：
新分析樣本並產生特徵碼，並將特徵 admin@WF-500# set deviceconfig setting wildfire
碼新增至 WildFire 特徵碼更新。您也 cloud-intelligence submit-report yes
可以選擇僅提交 WildFire 惡意軟體報若已啟用 submit-sample，則無須啟用 submit-report，
告。在此情況下，Palo Alto Networks 因為 WildFire Cloud 會重新分析樣本並產生新報
會將報告用於統計用途。告。若樣本為惡意，雲端將產生特徵碼。
雲端智慧預設為停用。 3. 執行下列命令並參閱 Submit sample（提交樣本）和
Submit report（提交報告）欄位來確認設定：
admin@WF-500> show wildfire status
步驟 10 （選用）允許在防火牆上記錄良性檔 1. 選取 Device > 設定 > WildFire，然後編輯一般設定。

案。這是既不會下載到惡意軟體，又 2. 選取報告良性檔案核取方塊以啟用，然後按一下確定
能確認防火牆是否已正轉送檔案到儲存。
WildFire 的好方法。在此狀況下，「資
您可執行下列 CLI 命令以啟用良性記錄：
料過濾」日誌將包含 WildFire 分析，
admin@WF-500# set deviceconfig setting wildfire
即使裁定為良性。若樣下載樣本惡 report-benign-file yes
意軟體以測試，請參閱惡意軟體測
試樣本。
此選項預設為停用。
步驟 11 設定入口網站管理員帳戶的密碼。從 1. 若要變更 WildFire 入口網站管理員帳戶密碼：

防火牆存取 WildFire 報告時，將使用 admin@WF-500> set wildfire portal-admin password
此帳戶。預設的使用者名稱和密碼是 2. 按下輸入，並輸入和確認新密碼。
admin/admin。
入口網站管理員帳戶是唯一能
夠用來檢視日誌報告的帳戶。
只能變更此帳戶的密碼，無法
建立其他帳戶來檢視日誌報
告。這是用來管理設備所用的
同一個管理員帳戶。您也可使
用 WildFire API 擷取日誌，但
在該情況下您使用在 WF-500
設備上產生的 API 金鑰。請參
閱在 WF-500 設備上使用 WildFire
API。
步驟 12 選擇設備將用於分析檔案的虛擬電腦若要檢視可用虛擬電腦清單，以判定最能代表您環境的虛擬
影像檔。影像檔應以最能代表使用者電腦：
電腦所安裝軟體的屬性為基礎。每個 admin@WF-500> show wildfire vm-images
虛擬影像皆包含不同版本的作業系統
請執行下列命令檢視目前的虛擬電腦影像，並參閱選取的
與軟體，例如 Windows XP、Windows 7
VM 欄位：
32 位元或 64 位元、特定版本的 Adobe
Reader 及 Flash。雖然您將設備設定
為使用一個虛擬電腦影像檔設定，但選取設備將用於分析檔案的影像：
設備會使用影像檔的多個執行個體以 admin@WF-500# set deviceconfig setting wildfire
active-vm <vm-image-number>
提升效能。
例如，若要使用 vm-1：
active-vm vm-1
後續動作：
• 驗證 WF-500 設備設定
• 將檔案轉送至 WF-500 設備
• 更新 WF-500 設備並啟用 Windows 7 64 位元支援
• 在 WF-500 設備上設定虛擬電腦介面
驗證 WF-500 設備設定
本主題說明如何在 WildFire 設備上驗證設定，以確定它已準備接收從 Palo Alto Networks 防火牆發

出的檔案。如需此工作流程所用 CLI 命令的詳細資料，請參閱 WildFire 設備軟體 CLI 參考。
驗證 WF-500 設備設定
步驟 1 確認設備已註冊，而且授權已啟動。 1. 啟動 SSH 工作階段並連線至設備的 MGT 連接埠。

2. 檢視目前的支援資訊。
admin@WF-500> request support check
這將顯示支援網站及合約的相關資訊。確認合約日期
有效。
3. 執行下列命令來檢查設備和 WildFire Cloud 之間的連線（轉
送檔案至雲端所需）。
admin@WF-500> test wildfire registration
下列輸入指示已經向其中一個 Palo Alto Networks WildFire
Cloud 伺服器註冊設備。
Test wildfire
wildfire registration: successful
download server list: successful
select the best server:
cs-s1.wildfire.paloaltonetworks.com
驗證 WF-500 設備設定（續）
步驟 2 在設備上檢查 WildFire 伺服器狀態。 1. 顯示 WildFire 狀態：

Connection info:
Wildfire cloud:
wildfire.paloaltonetworks.com
Status: Idle
Submit sample: enabled
Submit report: disabled
Selected VM: vm-5
VM internet connection: disabled
VM network using Tor: disabled
Best server:
s1.wildfire.paloaltonetworks.com
Device registered: yes
Service route IP address: 10.3.4.99
Signature verification: enable
Server selection: enable
Through a proxy: no
在範例輸出中，狀態 Idle 表示設備準備接收檔案。提
交樣本已啟用，代表設備將轉送偵測到的惡意軟體檔案
至 WildFire Cloud。Device registered（已註冊的裝
置）欄位顯示 yes（是），這表示設備已向 WildFire
Cloud 系統註冊。設備也設定為使用 vm-5 沙箱進行樣本
分析。
即使您不轉送樣本至雲端伺服器，您也必須定義
WildFire Cloud 伺服器。若不定義雲端伺服器，
Status（狀態）欄位將顯示 Disabled by cloud
server（由雲端伺服器停用）。
2. 如將檔案轉送至 WF-500 設備所述，設定防火牆將檔案轉
送至設備後，您可以從該設備驗證防火牆的連線狀態。
若要驗證設備是否正接收來自防火牆的檔案，並驗證其
是否正傳送檔案到 WildFire Cloud 以產生特徵碼（如果已
啟用雲端智慧），請輸入：
admin@WF-500> show wildfire statistics days 7
Last one hour statistics:
Total sessions submitted : 0
Samples submitted : 0
analyzed : 0
pending : 0
malicious : 0
benign : 0
error : 0
Uploaded : 0
Last 7 days statistics:

analyzed : 34
pending : 0
malicious : 2
benign : 32
error : 0
Uploaded : 0
3. （選用）檢視其他詳細統計資料：
admin@WF-500> show wildfire latest [analysis
|samples | sessions | uploads]
例如，若要顯示最近分析結果的詳細資訊，請輸入：
admin@WF-500> show wildfire latest analysis
驗證 WF-500 設備設定（續）
步驟 3 確認設定為轉送檔案至設備的防火牆 1. 顯示已將向設備註冊的防火牆清單：
已經向 WildFire 設備成功註冊。 admin@WF-500> show wildfire
last-device-registration all
對於已向設備註冊的防火牆，輸出將包括下列資訊：防
火牆序號、註冊日期、IP 位址、軟體版本、硬體機型和
狀態。如果未列出任何防火牆，防火牆與設備之間可能
有網路連線問題。檢查網路，確認防火牆與 WildFire 設
備能夠通訊。
對於閘道位址或設定為轉送檔案到設備的防火牆之一，
您可從設備使用 ping 測試。例如，如果防火牆的 IP 位址
是 10.0.5.254，從設備執行下列 CLI 命令時您將看到回覆：
admin@WF-500> ping host 10.0.5.254
若要針對正轉送至設備的防火牆驗證其 WildFire 設定，請
參閱驗證轉送至 WF-500 設備。
WF-500 設備檔案分析在 WF-500 設備上設定虛擬電腦介面
在 WF-500 設備上設定虛擬電腦介面
虛擬電腦介面 (vm-interface) 可讓您從 WF-500 設備中的沙箱虛擬電腦連線至外部網路，以便觀察惡
意行為，其中分析的檔案會尋找網路存取。下列各節說明虛擬電腦介面及設定此介面所需的步
驟。您可以選擇性地透過虛擬電腦介面啟用 Tor 功能，如有任何源自 WF-500 設備，且經虛擬電腦
介面傳送而來的惡意流量，此功能將予以遮罩，使得惡意網站即便收到該流量，亦無法偵測您的
公開 IP 位址。
此節也說明將虛擬電腦介面連接到 Palo Alto Networks 防火牆專用連接埠以啟用網際網路連線所需
的步驟。
 虛擬電腦介面概要介紹
 在 WF-500 設備上設定虛擬電腦介面
 設定防火牆控制 WF-500 虛擬電腦介面的流量
虛擬電腦介面概要介紹
WildFire 使用虛擬電腦介面（在設備背面標示為 1）來提升惡意軟體偵測功能。此介面允許

WildFire 虛擬電腦上執行的檔案樣本與網際網路進行通訊，並且讓 WildFire 更有效分析樣本檔案的
行為，判斷檔案是否顯現惡意軟體的特徵。
雖然建議您啟用虛擬電腦介面，不過請勿將介面連接到允許存取任何伺服器 / 主機的網路，因為
WildFire 虛擬電腦中執行的惡意軟體可能使用此介面自行傳播。
此連線可以是專用的 DSL 線路，也可以是僅允許虛擬電腦介面直接存取網際網路並限制內部伺
服器 / 用戶端主機進行任何存取的網路連線。
在 WF-500 設備上設定虛擬電腦介面 WF-500 設備檔案分析
下圖顯示將虛擬電腦介面連接到網路的兩個選項。
虛擬電腦介面範例
網際網路
選項 2
虛擬電腦介面 Ethernet 不信任區域
連接埠 1 與公用 IP 位址
直接連接到網際網路，而公司防火牆
且是與所有內部並且將 WildFire 區域信任區域
惡意軟體轉送到
選項 1
虛擬電腦介面 Ethernet 連接
埠 1 10.16.0.20/22 此介面連接 MGT 介面連接埠
至您防火牆上際網路及政策， 10.10.0.5/22
如果雲端智慧已啟用，系統便會接收
卻不具有任如果啟用自動提從公司防火牆轉送的檔案，並將惡意
交，並且將惡意軟體轉送到軟體轉送到 WildFire 雲端。
WildFire 設備
 選項 -1（建議）— 將虛擬電腦介面連接到政策僅允許網際網路連線的防火牆上專屬區域之中的
介面。這相當重要，因為 WildFire 虛擬電腦中執行的惡意軟體可能用此介面自行傳播。這是建
議的選項，因為防火牆日誌可用來掌握虛擬電腦介面產生的任何流量。
 選項 -2 — 使用 DSL 之類的專用網際網路供應商連線，將虛擬電腦介面連接到網際網路。確定此
連線未存取內部伺服器 / 主機。雖然這是簡單的解決方案，不過不會記錄虛擬電腦介面之外惡
意軟體產生的流量，除非您在 WildFire 設備與 DSL 連線之間設有防火牆或流量監控工具。
在 WF-500 設備上設定虛擬電腦介面
本節說明使用先前在虛擬電腦介面範例中所述的選項 1 設定，在 WildFire 設備上設定虛擬電腦介面

所需的步驟。使用此選項設定虛擬電腦介面後，也必須在 Palo Alto Networks 防火牆設定介面，虛擬
電腦介面的流量將透過此介面進行傳輸，如設定防火牆控制 WF-500 虛擬電腦介面的流量所述。
虛擬電腦介面預設包含下列設定：
 IP 位址：192.168.2.1
 網路遮罩：255.255.255.0
 預設閘道：192.168.2.254
 DNS：192.168.2.254
如果計劃啟用此介面，請使用網路適當的設定來設定此介面。如果不計劃使用此介面，請保留預
設設定。請注意，此介面必須設定網路值，否則將發生交付失敗。
設定虛擬電腦介面
步驟 1 在 WildFire 設備上設定虛擬電腦介面 1. 進入設定模式：

的 IP 資訊。 admin@WF-500> configure
本範例使用下列設定： 2. 設定虛擬電腦介面的 IP 資訊：
• IPv4 位址 — 10.16.0.20/22 admin@WF-500# set deviceconfig system vm-interface
• 子網路遮罩 — 255.255.252.0 ip-address 10.16.0.20 netmask 255.255.252.0
default-gateway 10.16.0.1 dns-server 10.0.0.246
• 預設閘道 — 10.16.0.1
您僅可在虛擬電腦介面上設定一個 DNS 伺服器。
• DNS 伺服器 — 10.0.0.246
最好使用 ISP 的 DNS 伺服器或開放 DNS 服務。
虛擬電腦介面不可與管理介面
(MGT) 位於同一個網路。
步驟 2 啟用虛擬電腦介面。 1. 啟用虛擬電腦介面：
vm-network-enable yes
2. 交付設定：
步驟 3 測試虛擬電腦介面的連線能力。偵測系統並指定虛擬電腦介面作為來源。例如，若虛擬電腦
介面 IP 位址為 10.16.0.20，請執行下列命令，其中 ip-or-hostname
為啟用偵測伺服器 / 網路的 IP 或主機名稱：
admin@WF-500> ping source 10.16.0.20 host
ip-or-hostname
例如：
admin@WF-500> ping source 10.16.0.20 host 10.16.0.1
步驟 4 （選用）啟用 Tor 網路。此選項啟用啟用 Tor 網路：

時，惡意軟體產生的任何惡意流量將 1. admin@WF-500# set deviceconfig setting wildfire
會傳送至 Tor 網路。Tor 網路會將您 vm-network-use-tor
的公開 IP 位址加上遮罩，讓惡意網 2. 交付設定：

站的擁有人無法判定流量來源。 admin@WF-500# commit
步驟 5 繼續進行下一節，設定將用來連接設請參閱設定防火牆控制 WF-500 虛擬電腦介面的流量。

備虛擬電腦介面的防火牆介面。
在 WF-500 設備上設定虛擬電腦介面 WF-500 設備檔案分析
設定防火牆控制 WF-500 虛擬電腦介面的流量
下列範例工作流程說明如何將虛擬電腦介面連線到 Palo Alto Networks 防火牆的連接埠。將虛擬電

腦介面連接到防火牆之前，防火牆必須已經有連接到網際網路的不信任區域。在此範例中，您將
設定名稱為 wf-vm-zone 的新區域，它會包含用來將設備的虛擬電腦介面連線至防火牆的介面。與
wf-vm-zone 相關聯的政策將只允許虛擬電腦介面對不信任區域進行通訊。
設定防火牆控制 WF-500 虛擬電腦介面的流量
步驟 1 設定虛擬電腦介面將連線的防火牆介 1. 從防火牆的 Web 介面，選取 Network（網路）> Interfaces

面，並設定虛擬路由器。（介面），然後選取介面，例如 Ethernet1/3。
wf-vm-zone 應僅包含用來將設 2. 在介面類型下拉式清單中選取 Layer3。
備虛擬電腦介面連線至防火牆 3. 在 Config（設定）頁籤的 Security Zone（安全性地區）
的介面（在此範例中為下拉式方塊中，選取 New Zone（新增區域）。
ethernet1/3）。這是為了避免 4. 在區域對話方塊 Name（名稱）欄位中，輸入 wf-vm-zone，
惡意軟體產生的任何流量散播然後按一下 OK（確定）。
至其他網路。
5. 在 Virtual Router（虛擬路由器）下拉式方塊中，選取
default（預設）。
6. 若要將 IP 位址指定至介面，請選取 IPv4 頁籤，在 [IP] 部
分中按一下新增，然後輸入 IP 位址及網路遮罩以指定至
介面，例如 10.16.0.0/22。
7. 若要儲存介面設定，請按一下確定。
步驟 2 在防火牆上建立安全性政策，允許虛 1. 選取 Policies（政策）> Security（安全性），並且按一

擬電腦介面存取網際網路，並封鎖所下 Add（新增）。
有連入的流量。在此範例中，政策名 2. 在一般頁籤上，輸入閘道的名稱。
稱為 WildFire 虛擬電腦介面。由於您
3. 在來源頁籤中，設定來源地區為 wf-vm-zone。
將不會建立從不信任區域到
wf-vm-interface 區域的安全性政策， 4. 在目的地頁籤中，設定目的地區域為不信任。
因此預設將封鎖所有連入流量。 5. 在 Application（應用程式）及 Service/URL Category
（服務 / URL 類別）頁籤中，保留預設的 Any（任何）。
6. 在 Actions（動作）頁籤中，設定 Action Setting（動作
設定）為 Allow（允許）。
7. 在 Log Setting（日誌設定）下，選取 Log at Session End
（同時連線結束時的日誌）核取方塊。
如果擔心有人可能不慎將其他介面新增到
wf-vm-zone，請複製 WildFire VM 介面安全性政策，
然後在複製的規則相應的 Action（動作）頁籤中，
選取 Deny（拒絕）。確定這個新的安全性政策列
在 WildFire VM 介面政策下。這將覆寫允許同一個
區域中的介面之間進行通訊的隱含內部區域允許
規則，而拒絕 / 封鎖所有內部區域通訊。
設定防火牆控制 WF-500 虛擬電腦介面的流量（續）
步驟 3 連接纜線。使用直通式 RJ-45 纜線，將 WildFire 設備的虛擬電腦介面直

接連接到在防火牆上設定的連接埠（在此範例中為 Ethernet
1/3）。虛擬電腦介面在設備背面標示為 1。
步驟 4 驗證虛擬電腦介面正在傳輸和接收 1. 檢視虛擬電腦介面設定：
流量。 admin@WF-500> show interface vm-interface
2. 驗證接收 / 傳輸計數器確實增加。您可執行下列命令來產
生虛擬電腦介面到外部裝置的偵測流量：
admin@WF-500> ping source vm-interface-ip host
<gateway-ip>
例如：
admin@WF-500> ping source 10.16.0.20 host 10.16.0.1
在 WF-500 設備上管理內容更新 WF-500 設備檔案分析
在 WF-500 設備上管理內容更新
WF-500 設備的每日內容更新會為設備配備最新的威脅資訊，以精確偵測惡意軟體並提升設備區分
惡意及良性軟體的能力。更新也可確保設備在啟用特徵碼 / URL 產生時，擁有產生特徵碼所需的
最新資訊。如需啟用特徵碼產生的相關資訊，請參閱在 WF-500 設備上產生特徵碼 / URL。
 直接從更新伺服器安裝內容更新
 從啟用 SCP 的伺服器安裝內容更新
直接從更新伺服器安裝內容更新
直接從更新伺服器安裝內容更新
步驟 1 驗證設備到更新伺服器之間的連線， 1. 登入 WildFire 設備並執行下列命令以顯示目前的內容版本：

並找出要安裝的內容更新。 admin@wf-500> show system info | match
wf-content-version
2. 確認設備可與 Palo Alto Networks 更新伺服器通訊，並檢
視可用更新：
admin@wf-500> request wf-content upgrade check
命令會查詢 Palo Alto Networks 更新伺服器並提供可用更
新的相關資訊，並識別設備目前安裝的版本。
Version Size Released on Downloaded Installed
---------------------------------------------------------
2-253 57MB 2014/09/20 20:00:08 PDT no no
2-39 44MB 2014/02/12 14:04:27 PST yes current
若設備無法連線至更新伺服器，您將必須允許設備連線
至 Palo Alto Networks 更新伺服器，或如從啟用 SCP 的伺
服器安裝內容更新所述使用 SCP 來下載並安裝更新。
步驟 2 下載並安裝最新的內容更新。 1. 下載最新的內容更新：
admin@wf-500> request wf-content upgrade download
latest
2. 檢視下載狀態：
admin@wf-500> show jobs all
您可執行 show jobs pending（顯示擱置中的工作）
來檢視擱置中的工作。下列輸出顯示下載 (job id 5) 已完
成下載（狀態為 FIN）：
Enqueued ID Type Status Result Completed
---------------------------------------------------------
2014/04/22 03:42:20 5 Downld FIN OK 03:42:23
3. 下載完成後，安裝更新：
admin@wf-500> request wf-content upgrade install
version latest
再次執行 show jobs all（顯示所有工作）命令以監
控安裝狀態。
WF-500 設備檔案分析在 WF-500 設備上管理內容更新
直接從更新伺服器安裝內容更新（續）
步驟 3 驗證內容更新。執行下列命令並參閱 wf-content-version 欄位：

admin@wf-500> show system info
以下顯示安裝 2-253 版本內容更新的範例輸出：

admin@wf-500> show system info
hostname: wf-500
ip-address: 10.5.164.245
netmask: 255.255.255.0
default-gateway: 10.5.164.1
mac-address: 00:25:90:c3:ed:56
vm-interface-ip-address: 192.168.2.2
vm-interface-netmask: 255.255.255.0
vm-interface-default-gateway: 192.168.2.1
vm-interface-dns-server: 192.168.2.1
time: Mon Apr 21 上午 09:59:07 2014
uptime: 17 days, 下午 11:19:16
family: m
model: WF-500
serial: abcd3333
sw-version: 6.1.0
wf-content-version: 2-253
wfm-release-date: 2014/08/20 20:00:08
logdb-version: 6.1.2
platform-family: m
步驟 4 （選用）將內容更新排程為在防火牆 1. 將設備排程為下載並安裝內容更新：
上以設定間隔安裝最新更新。 admin@WF-500# set deviceconfig system
update-schedule wf-content recurring [daily |
您可以將設備設定為每天或每週安裝 weekly] action [download-and-install |
更新，和僅下載或下載並安裝更新。 download-only]
例如，每天早上 8:00 下載並安裝更新：
admin@WF-500# set deviceconfig system
update-schedule wf-content recurring daily action
download-and-install at 08:00
2. 交付設定：
在 WF-500 設備上管理內容更新 WF-500 設備檔案分析
從啟用 SCP 的伺服器安裝內容更新
下列程序說明如何在無法直接連線至 Palo Alto Networks 更新伺服器的 WildFire 設備上安裝內容更

新。您將需要可暫存內容更新的已啟用安全複製 (SCP) 伺服器。
從啟用 SCP 的伺服器安裝內容更新
步驟 1 從更新伺服器擷取內容更新檔案。 1. 登入 Palo Alto Networks 支援網站，並按一下 [動態更新]。

2. 在 [WildFire 設備 ] 區段中，找到並下載最新的 WF-500 設
備內容更新。
3. 將內容更新檔案複製到已啟用 SCP 的伺服器，並記下檔
案名稱和目錄路徑。
步驟 2 在 WildFire 設備上安裝內容更新。 1. 登入 WF-500 設備並從 SCP 伺服器下載內容更新檔案：

admin@WF-500> scp import wf-content from
username@host:path
例如：
admin@WF-500> scp import wf-content from
bart@10.10.10.5:c:/updates/panup-all-wfmeta-2-253.
tgz
若您的 SCP 伺服器以非標準連接埠執行，或若您
需要指定來源 IP。您也可以在 scp import 命令中
定義這些選項。
2. 安裝更新：
admin@WF-500> request wf-content upgrade install
file panup-all-wfmeta-2-253.tgz
檢視安裝狀態：
admin@WF-500> show jobs all
步驟 3 驗證內容更新。驗證內容版本：
admin@wf-500> show system info | match
wf-content-version
下列輸出現在顯示版本 2-253：
wf-content-version: 2-253
WF-500 設備檔案分析將檔案轉送至 WF-500 設備
將檔案轉送至 WF-500 設備
下列主題說明如何將防火牆設定為轉送檔案至 WF-500 設備以進行分析，以及如何驗證設定。若您
將 WF-500 設備設定為產生特徵碼及 URL 更新，您也可將防火牆設定為從裝置擷取內容更新。請
參閱在 WF-500 設備上產生特徵碼 / URL。
如果您使用 Panorama 來管理防火牆，則可簡化 WildFire 軟體，方法是使用 Panorama 範本將 WildFire
伺服器資訊、允許的檔案大小及工作階段資訊設定推送到防火牆。使用 Panorama 設備群組，設定
並推送檔案封鎖設定檔和安全性政策規則。從 PAN-OS 6.0 開始，WildFire 日誌會顯示每個防火牆用
於檔案分析的 WildFire 系統（WildFire Cloud、WF-500 設備和 / 或 WildFire Japan Cloud）。在 Panorama
上設定 WildFire 伺服器時（Panorama > 設定 > WildFire），請輸入防火牆使用的 WildFire 伺服器。
例如，若您的防火牆會轉送樣本到 WildFire Cloud，Panorama 的設定應指向名稱為 wildfire-public-cloud
的雲端伺服器。若您的防火牆會轉送到 WF-500 設備，Panorama 的設定應指向設備的 IP 位址或
FQDN。
 設定防火牆將樣本轉送至 WF-500 設備
 驗證轉送至 WF-500 設備
設定防火牆將樣本轉送至 WF-500 設備
對於將樣本轉送到 WildFire 設備的各個防火牆執行下列步驟：
如果將檔案轉送到 WildFire 的防火牆與 WildFire Cloud 或 WildFire 設倍之間有防火牆，請確定介

於中間的防火牆已允許必要的連接埠。
• WildFire Cloud：使用連接埠 443 進行登錄和檔案提交。
• WildFire 設備：使用連接埠 443 進行登錄，並使用連接埠 10443 進行檔案提交。
設定防火牆將樣本轉送至 WF-500 設備
步驟 1 驗證防火牆具備 WildFire 使用授權， 1. 選取 Deviece（設備）> Licenses（授權），並確定防火

而且動態更新已排程完畢且是最新牆已安裝有效的 WildFire 及威脅防護使用授權。
狀態。 2. 選取 Device（設備）> Dynamic Updates（動態更新），
如需建議的設定，請參閱讓特徵碼保並按一下 Check Now（立即檢查），確定防火牆有最新的
持最新狀態的最佳作法。防毒、應用程式和威脅以及 WildFire 更新。若您使用允許
產生特徵碼 / URL 的 WildFire 設備，也請檢查這些更新。
3. 確認並依您需求更新動態更新。錯開更新排程，因為防
火牆一次只能執行一個更新。
步驟 2 定義防火牆將轉送檔案進行分析的 1. 選取設備 > 設定 > WildFire。

WildFire 伺服器。 2. 按一下 General Settings（一般設定）編輯圖示。
3. 在 WildFire Server（WildFire 伺服器）欄位中，輸入
WF-500 設備的 IP 位址或 FQDN。
將檔案轉送至 WF-500 設備 WF-500 設備檔案分析
設定防火牆將樣本轉送至 WF-500 設備（續）
步驟 3 設定檔案封鎖設定檔定義將觸發轉送 1. 選取 Objects（物件）> Security Profiles（安全性設定

到 WildFire 的應用程式及檔案類型。檔）> File Blocking（檔案封鎖）。
如果您在物件設定檔 File Types 2. 按一下 Add（新增）新增設定檔，並輸入 Name（名稱）
（檔案類型）欄中選擇 PE 選取與 Description（描述）。
檔案類型的類別，請勿新增屬 3. 按一下 File Blocking Profile（檔案封鎖設定檔）視窗中
於該類別的個別檔案類型，否的 Add（新增），然後再次按一下 Add（新增）。按一
則資料篩選日誌將出現重複的下 Names（名稱）欄位，並輸入規則名稱。
項目。例如，如果您選取 PE， 4. 選取將符合此設定檔的 Applications（應用程式）。例如，
請勿選取 exe，因為這屬於 PE 選取 web-browsing（網頁瀏覽）的應用程式將使得應
類別。這也適用於 zip 檔案類用程式比對任何屬於網頁瀏覽的應用程式流量。
型，因為支援的壓縮檔案類型
5. 在 File Type（檔案類型）欄位中，選取將觸發轉送動作的
將自動傳送到 WildFire。如果您
檔案類型。選擇 Any（任一）轉送 WildFire 支援的所有
想要確定所有支援的 Microsoft
檔案類型。
Office 檔案類型均會轉送，建
議您選擇類別 msoffice。 6. 在 Direction（方向）欄位中，選取 upload（上載）、
download（下載）或 Both（兩者）。選取 Both（兩者）
選擇類別而不選擇個別的檔案將在使用者嘗試上載或下載檔案時觸發轉送。
類型，也將確保新的檔案類型
7. 如下所示定義 Action（動作）（在此範例中選擇
新增至指定的類別，因此自動
Forward（轉送））：
成為檔案封鎖設定檔的一部
分。如果您選取 Any（任何）， • Forward（轉送）— 防火牆除了將任何符合此設定檔的
所有支援的檔案類型將轉送到檔案寄送給使用者之外，也會將檔案轉送至 WildFire
WildFire。進行分析。
• Continue-and-forward（繼續並轉送）— 使用者將看見
提示，而且必須按一下 Continue（繼續）才能下載，
檔案將隨即轉送至 WildFire。由於此動作需要使用者
操作 Web 瀏覽器，因此只有網頁瀏覽應用程式才支援
此動作。
8. 按一下確定儲存。
步驟 4 （選用）如果為所有的檔案類型設定 1. 選取網路 > 網路設定檔 > 介面管理，然後新增新的設

continue-and-forward（繼續並轉送）定檔或編輯現有的設定檔。
動作，您必須啟用輸入介面（第一個
2. 選取回應頁面核取方塊。
收到您使用者流量的介面）上的回應
頁面選項。 3. 按一下確定來儲存設定檔。
4. 選取網路 > 介面，然後編輯成為您輸入介面的 Layer 3 介
面或 VLAN 介面。
5. 按一下進階頁籤，並選取 [ 介面管理 ] 設定檔，其中的回
應頁面選項已啟用，然後從下拉式功能表中選取選項。
步驟 5 啟用轉送解密的內容。 1. 選取設備 > 設定 > Content-ID（內容 ID）。

若要將 SSL 加密檔案轉送到 WildFire， 2. 按一下 URL Filtering（URL 過濾）選項的編輯圖示，並啟
防火牆必須具備解密原則，並啟用轉用 Allow Forwarding of Decrypted Content（允許轉寄解
送解密的內容。密的內容）。
3. 按一下確定儲存變更。
只有超級使用者能夠啟用此
選項。如果您在防火牆上設定多個虛擬系統，您必須按照
VSYS 啟用此選項。選取 Device（設備）> Virtual
Systems（虛擬系統），按一下您要修改的虛擬系
統，並選取 Allow Forwarding of Decrypted Content
（允許轉寄解密的內容）核取方塊。
步驟 6 將檔案封鎖設定檔附加於安全性 1. 選取政策 > 安全性。

政策。 2. 按一下 Add（新增）為套用 WildFire 轉送的區域建立新政
策，或選取現有的安全性政策。
3. 在 Actions（動作）頁籤上，從下拉式清單中選取 File
Blocking（檔案封鎖）。
如果此安全性規則沒有任何附加的設定檔，請從
Profile Type（設定檔類型）下拉式清單中選取
Profiles（設定檔），選取檔案封鎖設定檔。
步驟 7 （選用）修改防火牆可上載到 WildFire 1. 選取設備 > 設定 > WildFire。

的檔案大小上限。 2. 按一下 General Settings（一般設定）編輯圖示。
3. 設定每個檔案類型的大小上限。例如，若您將 PDF 設為
5MB，任何大於 5MB 的 PDF 檔案將不會轉送。
步驟 8 （僅限 PA-7050）如果您正在設定 1. 選取網路 > 介面並尋找 NPC 上的可用連接埠。

PA-7050 防火牆的日誌轉送，您必須 2. 選取連接埠，並將介面類型變更為記錄卡。
設定介面類型為記錄卡的其中一張
3. 在記錄卡轉送中頁籤中輸入 IP 資訊（IPv4 和 / 或 IPv6），
NPC 的資料連接埠。這是為了避免
它可讓防火牆與您的系統日誌伺服器以及電子郵件伺服
MGT 連接埠不致因 PA-7050 的流量 /
器通訊，以讓防火牆到日誌和電子郵件的警示。連接埠
記錄功能而無法負荷。
也必須連接 WildFire Cloud 或 WildFire 設備，才可啟用檔
此記錄卡 (LPC) 將直接使用此連接案轉送。
埠，而連接埠將作為系統日誌、電子 4. 將最近設定的連接埠連接到交換器或路由器。不需要進
郵件及 SNMP 的日誌轉送連接埠。行其他設定。PA-7050 防火牆會在此連接埠啟動時立即
防火牆將透過下列連接埠轉送下列日使用該連接埠。
誌類型：流量、HIP 比對、威脅以及
WildFire 日誌。防火牆也會使用此連
接埠來轉送檔案 / 電子郵件連結至
WildFire 以進行分析。
如果未設定連接埠，則會顯示交付錯
誤。請注意，您僅能將一個資料連接
埠設為記錄卡類型。MGT 連接埠無法
用來轉送樣本至 WildFire，即使您已設
定服務路由。
PA-7050 不會將日誌轉送至
Panorama。Panorama 只會向
PA-7050 記錄卡查詢日誌資訊。
步驟 9 （選用）修改工作階段選項，定義哪 1. 按一下 Session Information Settings（工作階段資訊設

在 WildFire 分析報告記錄哪些工作階定）編輯圖示。
段資訊。 2. 依預設，報告將顯示所有工作階段資訊。清除與將它們
從 WildFire 分析報告移除的任何欄位相對應的核取方塊。
步驟 10 交付設定。按一下 Commit（提交）套用設定。

在安全性原則評估期間，所有與檔案封鎖政策中定義的條件
相符的檔案將由防火牆轉送到 WildFire。如需檢視分析報告
的相關資訊，請參閱 WildFire 報告。
如需驗證設定的相關資訊，請參閱驗證轉送至 WF-500 設備。
驗證轉送至 WF-500 設備
本主題說明驗證防火牆已正確設定為轉送樣本至 WF-500 設備所需的步驟。如需您可用來驗證流程

的測試檔案資訊，請參閱惡意軟體測試樣本。
驗證轉送至 WF-500 設備
步驟 1 檢查 WildFire 及威脅防範使用授權及 1. 選取 Device（設備）> Licenses（授權），並確認以安裝

WildFire 登錄。有效的 WildFire 及威脅防範使用授權。如果未安裝有效
的授權，請移至 License Management（授權管理）部
防火牆必須有 WildFire 使用授
分，按下 Retrieve（從授權伺服器擷取）license keys
權，才能將檔案轉送到 WildFire
from the license server（授權金鑰）。
設備。請參閱 WildFire 使用授
權需求。 2. 確定防火牆可與 WildFire 伺服器通訊以進行轉送：
admin@PA-200> test wildfire registration
在下列輸出中，防火牆指向 WildFire 設備。如果防火牆指
向 WildFire Cloud，將顯示 WildFire Cloud 其中一個 WildFire
系統的主機名稱。
Test wildfire
select the best server: s1.wildfire.paloaltonetworks.com
如果授權持續發生問題，請聯絡零售商或 Palo Alto Networks

系統工程師確認各個授權，並且在必要時取得新的授權碼。
步驟 2 確認防火牆將檔案傳送到正確的 1. 若要判斷防火牆將檔案轉送到何處（WildFire Cloud 或

WildFire 伺服器。 WildFire 設備），請選取 Device（設備）> Setup（設定）>
WildFire。
2. 按一下 General Settings（一般設定）編輯圖示。
位於美國的 WildFire 伺服器為 wildfire-public-cloud，位於
日本的 WildFire 伺服器則為 wildfire-paloaltonetworks.jp。
如果您將防火牆設定為轉送到 WF-500 設備，將顯示
WildFire 的 IP 位址或 FQDN。
若您忘了 WildFire 公共雲端的名稱，請清除
WildFire 伺服器欄位接著按一下確定，欄位將自
動填入預設的 WildFire Cloud 值。
步驟 3 檢查日誌以確認檔案已轉送至 1. 選取監控 > 日誌 > 資料過濾。

WildFire。 2. 檢視動作欄以決定轉送結果：
• Forward — 代表樣本已成功透過檔案封鎖設定檔和安全
性政策，從資料平面轉送到防火牆上的管理平面。此時
防火牆尚未轉送樣本至 WildFire Cloud 或 WildFire 設備。
• Wildfire-upload-success — 表示防火牆已轉送檔案至
WildFire。這表示受信任的簽署者未簽署該檔案，而
且 WildFire 先前未分析該檔案。
• Wildfire-upload-skip — 表示允許將檔案傳送給 WildFire，
但不需要分析該檔案，因為 WildFire 先前已分析過。
• 選取 Monitor（監控）> Logs（日誌）> WildFire
Submissions（WildFire 提交）以檢視 WildFire 日誌。
如果有列出 WildFire 日誌，表示防火牆將檔案成功轉
送到 WildFire，而且 WildFire 傳回分析報告。
驗證轉送至 WF-500 設備（續）
步驟 4 驗證檔案封鎖設定檔中的動作設定。 1. 選取 Objects（物件）> Security Profiles（安全性設定檔）>

File Blocking（檔案封鎖），並按一下檔案封鎖設定檔
進行修改。
2. 確認動作是設定為 forward（轉送）或
continue-and-forward（繼續並轉送）。如果設定為
continue-and-forward（繼續並轉送），防火牆將只轉
送 http/https 流量，因為這是唯一能夠允許防火牆提供
使用者回應頁面的流量。
步驟 5 查看安全性政策。 1. 選取 Policies（政策）> Security（安全性），並按一下

觸發檔案轉送到 WildFire 的安全性政策。
2. 按一下 Actions（動作）頁籤，確定在 File Blocking（檔
案封鎖）下拉式清單中選取檔案封鎖設定檔。
步驟 6 在防火牆上檢查 WildFire 狀態並確認 View WildFire status:

狀態欄位為 Idle，且 Device registered admin@PA-200> show wildfire status
（已註冊的裝置）和 Valid wildfire license 下列輸出顯示 WF-500 設備的 IP 位址，且狀態為 Idle，代表
（有效的 Wildfire 授權）為 yes（是）。設備已準備接收檔案。
輸出也顯示防火牆將轉送的每個檔案 Connection info:
Wildfire cloud: 10.3.4.99
類型所允許的檔案大小。 status: Idle
Best server: 10.3.4.99:10443
Valid wildfire license: yes
Through a proxy: no
File size limit info:

pe 10 MB
apk 10 MB
pdf 1000 KB
ms-office 10000 KB
jar 10 MB
flash 5 MB
Forwarding info:
file idle time out (second): 90
total file forwarded: 13
file forwarded in last minute: 0
concurrent files: 0
驗證轉送至 WF-500 設備（續）
步驟 7 檢查 WildFire 統計資料以確認計數器下列命令顯示執行中防火牆的輸出，並顯示防火牆轉送至

正在增加。 WildFire 各檔案類型的計數器。若所有計數器欄位都顯示 0，
則防火牆並未轉送，您必須檢查防火牆和 WF-500 之間的連
線能力。也請確認防火牆上的檔案封鎖設定檔已正確設定，
且設定檔已附加至允許檔案傳輸的安全性規則。
Packet based counters:
Total msg rcvd: 4548
Total bytes rcvd: 4337198
Total msg read: 4545
Total bytes read: 4227894
Total msg lost by read: 3
Total DROP_NO_MATCH_FILE 3
Total files received from DP: 86
Counters for file cancellation:
CANCEL_BY_DP 1
CANCEL_FILE_DUP 3
Counters for file forwarding:
file type: apk
file type: pdf
file type: email-link
file type: ms-office
file type: pe
FWD_CNT_LOCAL_FILE 2
FWD_CNT_REMOTE_FILE 2
file type: flash
FWD_CNT_LOCAL_DUP 3
FWD_CNT_REMOTE_DUP_CLEAN 22
FWD_CNT_REMOTE_DUP_MAL 15
file type: jar
file type: unknown
file type: pdns
Error counters:
FWD_ERR_CONN_FAIL 24
Reset counters:
DP receiver reset cnt: 2
File cache reset cnt: 2
Service connection reset cnt: 1
Log cache reset cnt: 2
Report cache reset cnt: 2
Resource meters:
data_buf_meter 0%
msg_buf_meter 0%
ctrl_msg_buf_meter 0%
File forwarding queues:

priority: 1, size: 0
步驟 8 檢查動態更新狀態與排程，以確定防 1. 選取設備 > 動態更新。

火牆會自動接收 WildFire 特徵碼。 2. 確定防毒、應用程式和威脅以及 WildFire 有最新的更新，
請參閱讓特徵碼保持最新狀態的最佳而且對於各個項目設定排程。錯開更新排程，因為防火
作法。牆一次只能執行一個更新。
3. 按一下視窗底端的 Check Now（立即檢查），查看是否有
任何新的更新，這也將確認防火牆能夠與
updates.paloaltonetworks.com 進行通訊。
如果防火牆無法連線到更新伺服器，請直接從 Palo Alto Networks
下載更新。登入 Palo Alto Networks 支援網站，並選取 [ 動態
更新 ]。
步驟 9 檢查轉送至 WildFire 設備的防火牆其請參閱驗證 WF-500 設備設定。

註冊狀態及統計資料。
在 WF-500 設備上產生特徵碼 / URL WF-500 設備檔案分析
在 WF-500 設備上產生特徵碼 / URL

WF-500 設備可在本機上產生特徵碼，排除傳送資料至公共雲端以封鎖惡意內容的需求。設備可分
析從 Palo Alto Networks 防火牆或 WildFire API 轉送至設備的檔案，並產生下列類型的特徵碼，它們
可封鎖惡意檔案及相關命令和控制流量：
 防毒特徵碼 — 偵測並封鎖惡意檔案。WildFire 會將這些特徵碼新增至 WildFire 和防毒內容更新。
 DNS 特徵碼 — 偵測並封鎖命令的回撥網域並控制與惡意軟體相關聯的流量。WildFire 會將這些

特徵碼新增至 WildFire 和防毒內容更新。
 URL 分類 — 將回撥網域分類為惡意軟體，並更新 PAN-DB 中的 URL 類別。

防火牆必須執行 PAN-OS 6.1 或更新版本以允許從 WF-500 設備進行動態更新。此外，您必須將防
火牆設定為從 WF-500 設備擷取內容更新，可以頻繁到每 5 分鐘進行一次。您可選擇性地傳送惡意
軟體樣本檔案（或僅傳送 XML 報告）至 WildFire Cloud 來允許產生特徵碼，以透過 Palo Alto
Networks 內容發行散佈。
當設備上的本機儲存已滿時，新的特徵碼 / URL 分類將覆寫現有的內容，從最舊的開始。
下列主題說明如何允許在 WF-500 設備上產生特徵碼 / URL，以及如何將防火牆設定為從設備擷取
內容更新：
 允許在 WF-500 設備上產生特徵碼 / URL
 設定防火牆從 WF-500 設備擷取更新
允許在 WF-500 設備上產生特徵碼 / URL
此工作流程說明如何讓 WildFire 設備根據從連線防火牆及 WildFire XML API 接收的樣本，產生防

毒特徵碼、DNS 特徵碼以及 URL 分類特徵碼更新（僅限 PAN-DB）。
允許在 WildFire 設備上產生特徵碼 / URL
步驟 1 在設定此功能之前，請確認 WF-500 設請依照在 WF-500 設備上管理內容更新中的程序執行操作。

備已設定為從 Palo Alto Networks 接
收最新內容更新。內容更新會為設備
配備最新的威脅資訊，以精確偵測惡
意軟體及產生特徵碼。
步驟 2 允許產生特徵碼 / URL。 1. 登入設備並輸入 configure 以進入設定模式。

2. 啟用所有威脅防範選項：
signature-generation av yes dns yes url yes
3. 交付設定：
若要將連線的防火牆設定為從設備擷取更新，請參閱設
定防火牆從 WF-500 設備擷取更新。
WF-500 設備檔案分析在 WF-500 設備上產生特徵碼 / URL
允許在 WildFire 設備上產生特徵碼 / URL（續）
步驟 3 （選用）將 WF-500 設備設定為轉送分 1. 若要自動提交分析報告：

析報告或惡意樣本至 Palo Alto Networks admin@WF-500# set deviceconfig setting wildfire
WildFire Cloud。若封包擷取 (PCAPS) cloud-intelligence submit-report yes
已啟用，PCAP 也將與樣本檔案一同若如下列步驟所述啟用 submit-sample，則無須啟用
轉送。 submit-report，因為 WildFire Cloud 會重新分析樣本
並產生新報告，也會產生惡意樣本的特徵碼。
2. 若要自動提交檔案樣本：
cloud-intelligence submit-sample yes
3. 交付設定：
設定防火牆從 WF-500 設備擷取更新
若您允許在 WF-500 設備上產生特徵碼 / URL，您可以將防火牆設定為從設備擷取定期內容更新。

這可確保您的網路不受 WildFire 在本機環境中偵測到的威脅影響。最佳作法是將防火牆設定為從
Palo Alto Networks 更新伺服器及 WildFire Cloud 擷取內容更新。這可確保您的防火牆接收根據全球
偵測到的威脅產生的特徵碼，而不僅是由本機 WF-500 設備產生的特徵碼。
下列工作流程說明如何將 Palo Alto Networks 防火牆設定為從 WildFire 設備擷取內容更新。
設定防火牆從 WF-500 設備擷取更新
步驟 1 啟動防火牆 Web 介面並前往動態更新選取設備 > 動態更新。

頁面。
步驟 2 檢查是否有最新的更新。 1. 按一下立即檢查（位於視窗的左下角）以檢查最新更
新。動作欄中的連結表示更新是否可用：
• 下載 — 表示可使用新的更新檔案。按一下連結以開始
將檔案直接下載到防火牆。成功下載後，動作欄中的
連結會從下載變更為安裝。
下列螢幕擷取畫面顯示 [ 動態更新 ] 中的新 WF-Private 區
段。您可在這裡從 WF-500 設備下載更新。
若要檢查動作的狀態，請按一下工作（位於視窗的右
下角）。
• 還原 — 表示防火牆先前已下載對應的更新。按一下還
原以安裝先前的更新版本。
在 WF-500 設備上產生特徵碼 / URL WF-500 設備檔案分析
設定防火牆從 WF-500 設備擷取更新（續）
步驟 3 安裝更新。按一下動作欄中的安裝連結。完成安裝後，目前已安裝欄會
顯示核取標記。
步驟 4 排程更新。 1. 若未設定排程，請按一下 Schedule（排程）右方的 None

（無）。若排程存在且您想修改排程，請按一下已定義
若要以最短間隔排程更新，請
排程。
將防火牆設定為每 5 分鐘檢查下
載 / 安裝更新。請參閱讓特徵 2. 從週期性下拉式清單選取值，以指定更新的頻率。WF-500
碼保持最新狀態的最佳作法。設備會每 5 分鐘（最佳作法）、每 15 分鐘、每 30 分鐘
或每小時提供更新。
3. 指定防火牆是否會下載及安裝更新（最佳作法）或僅
下載。
4. 在閾值（小時）欄位中指定內容發行後，在執行內容更新
前要等候的時間。這可在內容更新發生錯誤的情況下提
供額外防範。
5. 按一下確定來儲存排程設定。
6. 按一下提交，將設定儲存至執行中的設定。
WF-500 設備檔案分析更新 WF-500 設備並啟用 Windows 7 64 位元支援
更新 WF-500 設備並啟用 Windows 7 64 位元支援

本主題說明如何升級 WF-500 設備作業系統，以及如何安裝並啟用 Windows 7 64 位元虛擬電腦
(VM) 沙箱環境。請注意，升級為 6.1 版時，您必須在升級 WF-500 設備作業系統之前先下載並安裝
Windows 7 64 位元影像檔。VM 影像大小可達 4GB，因此您必須從 Palo Alto Networks 更新伺服器下
載影像檔，接著託管於您提供的已啟用 SCP 伺服器。在升級設備之前，您將使用設備上的 SCP 用
戶端來從已啟用 SCP 的伺服器下載影像檔。
設備一次僅可使用一個環境來分析樣本，因此在更新設備之後，請檢閱可用 VM 影像檔清單，接
著選擇最適合您環境的影像檔。在 Windows 7 的情況下，若您的環境混合 Windows 7 32 位元及
Windows 7 64 位元系統，建議您選擇 Windows 7 64 位元影像檔，讓 WildFire 可分析 32 位元及 64 位元的
PE 檔案。雖然您將設備設定為使用一個虛擬電腦影像檔設定，但設備會使用影像檔的多個執行個體
以執行檔案分析以改善。
在升級設定為轉送樣本至 WF-500 設備的防火牆之前，先升級 WF-500 設備。

若您要升級為 6.1 維護版本，您無須安裝 Windows 7 64 位元影像檔。您僅需下載並安裝最新的
影像檔更新。
下列工作流程說明如何升級 WF-500 設備並啟用 Windows 7 64 位元環境。
WF-500 設備升級
步驟 1 決定升級路徑並下載基礎影像檔（如 1. 登入 WF-500 設備並檢視系統資訊：

需要）。 admin@WF-500> show system info
您無法直接從 WildFire 設備作 2. 查看 sw-version：欄位以判斷所安裝的版本並繼續進行

業系統 5.1 版升級為 6.1 版。雖如下：
然您無須安裝 6.0.0 版（功能版 • 若已安裝 6.0.0 版或更新的版本，請繼續步驟步驟 2。
本），但您必須先下載影像
• 若已安裝 6.0.0 之前的版本，請繼續本節中的步驟。
檔，接著下載並安裝 6.1.0 版。
所有版本都要求下載基礎影像 3. 下載 6.0.0 基礎影像檔：
檔以跳過功能版本。 admin@WF-500> request system software download
version 6.0.0
4. 查看下載狀態：
5. 完成下載後，繼續前往步驟 2。
更新 WF-500 設備並啟用 Windows 7 64 位元支援 WF-500 設備檔案分析
WF-500 設備升級（續）
步驟 2 下載準備升級為 6.1.0 所需的 WildFire 1. 查看更新伺服器以取得 WildFire 作業系統軟體版本：

檔案。 admin@WF-500> request system software check
在此情況下，您將需要 WildFire 作業在此情況下，請尋找 6.1.0。已下載欄位會表示影像檔是

系統 6.1.0 影像檔、Windows 7 64 位元否已下載至設備。若影像檔已下載，您即可繼續。若影
基礎影像檔，以及 Windows 7 64 位元像檔尚未下載，請執行下列命令：
附加元件影像檔。 admin@WF-500> request system software download
version 6.1.0
2. 若要下載 Windows 7 64 位元影像，請前往 Palo Alto Networks
支援網站，按一下 [ 軟體更新 ]，在 WF-500 訪客 VM 影
像檔區段中找到並下載最新的 Windows 7 64 位元基礎影
像檔以及 Windows 7 64 位元附加元件影像檔。
VM 檔案大小可達 4GB，因此請確保已啟用安全
複製 (SCP) 的伺服器軟體支援傳輸超過 4GB 的檔
案，並確定有足夠空間可暫存檔案。
檔案名稱類似下列：
• 基礎影像檔 — WFWin7_64Base_m-1.0.0_64base
• 附加元件影像檔 — WFWin7_64Addon1_m-1.0.0_64addon
3. 將檔案移至已啟用 SCP 的伺服器，記下檔案名稱和目錄
路徑。
步驟 3 將 VM 影像檔下載至 WF-500 設備。 1. 從已啟用 SCP 的伺服器下載基礎影像檔：

admin@WF-500> scp import wildfire-vm-image from
username@host:path
例如：
bart@10.43.15.41:c:/scp/WFWin7_64Base_m-1.0.0_64ba
se
IP 或主機名稱後的 SCP 路徑會因您使用的 SCP 軟

體而有所不同。針對 Windows，路徑為
c:/folder/filename 或 //folder/filename；針對 Unix/Mac
系統，路徑為 /folder/filename 或 //folder/filename。
2. 下載附加元件影像檔：
username@host:path
例如：
bart@10.43.15.41:c:/scp/WFWin7_64Base_m-1.0.0_64ad
don1
步驟 4 安裝 Windows 7 64 位元 VM 影像檔。 1. 安裝 Windows 7 64 位元基礎影像檔：

admin@WF-500> request system wildfire-vm-image
upgrade install WFWin7_64Base_m-1.0.0_64base
2. 安裝 Windows 7 64 位元附加元件影像檔：
admin@WF-500> request system wildfire-vm-image
upgrade install WFWin7_64Base_m-1.0.0_64addon1
WF-500 設備檔案分析更新 WF-500 設備並啟用 Windows 7 64 位元支援
WF-500 設備升級（續）
步驟 5 安裝 6.1 作業系統影像檔案。安裝您先前下載的 WF-500 設備作業系統影像檔案：

admin@WF-500> request system software install version
6.1.0
步驟 6 重新啟動設備並確認安裝成功。 1. 執行下列命令並尋找 Install 工作類型及 FIN 狀態，確

認升級已完成：
Enqueued ID Type Status

Result Completed
----------------------------------------------------------
2014/07/30 10:38:48 2 Downld FIN
OK 10:39:08
2. 升級完成後，重新啟動設備：
admin@WF-500> request restart system
3. 確認 sw-version 欄位顯示 6.1：
admin@WF-500> show system info | match sw-version
步驟 7 （選用）啟用 Windows 7 64 位元沙箱 1. 請執行下列命令檢視使用中的虛擬電腦影像，並參閱選

環境。取的 VM 欄位：
2. 檢視可用的虛擬電腦影像檔清單：
admin@WF-500> show wildfire vm-images
下列輸出顯示 vm-5 為 Windows 7 64 位元影像檔：
vm-5
Windows 7 64 位元、Adobe Reader 11、Flash 11、Office
2010 Support PE, PDF, Office 2010 and earlier
3. 選取要用於分析的影像檔：
active-vm <vm-image-number>
例如，若要使用 vm-5，請執行下列命令：
active-vm vm-5
4. 交付設定：
更新 WF-500 設備並啟用 Windows 7 64 位元支援 WF-500 設備檔案分析
WildFire Cloud 檔案分析
下列主題說明如何設定 Palo Alto Networks 防火牆，使其將檔案轉送至 WildFire Cloud 進行分析，也
說明如何使用 WildFire 入口網站手動上傳檔案。您也可以使用 WildFire API 將樣本提交到 WildFire
Cloud。
 將樣本轉送至 WildFire Cloud
 驗證轉送至 WildFire Cloud
 使用 WildFire Cloud 入口網站上載檔案
將樣本轉送至 WildFire Cloud WildFire Cloud 檔案分析
將樣本轉送至 WildFire Cloud

若要將 Palo Alto Networks 防火牆設定為自動將樣本提交到 WildFire Cloud 以尋找惡意軟體，您必須
設定「轉送」或「繼續並轉送」動作（轉送僅適用於電子郵件連結）的檔案封鎖設定檔，然後將
設定檔附加到將觸發零時差惡意軟體檢查所用的安全性規則。樣本可以是特定的檔案類型，或
SMTP 或 POP3 訊息包含的 HTTP/HTTPS 連結。例如，您可以設定檔案封鎖設定檔的政策，令其觸
發防火牆轉以送特定的檔案類型（例如 PDF）至 WildFire，或轉送使用者瀏覽網頁時嘗試下載的所
有支援檔案類型。如果您已設定 SSL 解密，並啟用轉送加密檔案的選項，防火牆即可轉送加密的檔
案。若要啟用 WildFire 電子郵件連結分析，將防火牆設定為轉送檔案類型電子郵件連結即可。
如果您使用 Panorama 來管理防火牆，只要透過 Panorama 範本將 WildFire 伺服器資訊、允許的檔案大
小及工作階段資訊設定推送到防火牆，就能簡化 WildFire 軟體。使用 Panorama 設備群組，設定並推
送檔案封鎖設定檔和安全性政策規則。從 PAN-OS 6.0 開始，WildFire 日誌會顯示每個防火牆用於檔
案分析的 WildFire 系統（WildFire Cloud、WF-500 設備和 / 或 WildFire Japan Cloud）。在 Panorama 上設
定 WildFire 伺服器時（Panorama > 設定 > WildFire），請輸入防火牆使用的 WildFire 伺服器。例
如，若您的防火牆會轉送樣本到 WildFire Cloud，Panorama 的設定應指向名稱為 wildfire-public-cloud 的
雲端伺服器。若您的防火牆會轉送到 WF-500 設備，Panorama 的設定應指向設備的 IP 位址或
FQDN。
如果將檔案轉送到 WildFire 的防火牆與 WildFire Cloud 或 WildFire 設倍之間有防火牆，請確定介

於中間的防火牆已允許必要的連接埠。
• WildFire Cloud：使用連接埠 443 進行登錄和檔案提交。
• WildFire 設備：使用連接埠 443 進行登錄，並使用連接埠 10443 進行檔案提交。
對於將檔案轉送到 WildFire 的各個防火牆執行下列步驟：
設定檔案封鎖設定檔並新增到安全性設定檔
步驟 1 驗證防火牆具備有效的威脅防範及 1. 選取 Deviece（設備）> Licenses（授權），並確認防火牆

WildFire 使用授權，而且動態更新已具備有效的 WildFire 及威脅防護使用授權。
排程完畢且是最新狀態。如需建議的 2. 選取 Device（設備）> Dynamic Updates（動態更新），
設定，請參閱讓特徵碼保持最新狀態並按一下 Check Now（立即檢查），確定防火牆有最新
的最佳作法。的防毒、應用程式和威脅以及 WildFire 更新。
擁有 WildFire 使用授權有許多 3. 如果未排定更新，請立即排定。錯開更新排程，因為防
優點，例如可轉送進階檔案類火牆一次只能執行一個更新。
型，以及在 15 分鐘內收到
WildFire 特徵碼。如需詳細資
訊，請參閱 WildFire 使用授權
需求。
WildFire Cloud 檔案分析將樣本轉送至 WildFire Cloud
設定檔案封鎖設定檔並新增到安全性設定檔（續）
步驟 2 設定檔案封鎖設定檔定義將觸發轉送 1. 選取 Objects（物件）> Security Profiles（安全性設定

到 WildFire 的應用程式及檔案類型。檔）> File Blocking（檔案封鎖）。
如果您在物件設定檔 File Types 2. 按一下 Add（新增）新增設定檔，並輸入 Name（名稱）
（檔案類型）欄中選擇 PE 選取與 Description（描述）。
檔案類型的類別，請勿新增屬 3. 按一下 File Blocking Profile（檔案封鎖設定檔）視窗中
於該類別的個別檔案類型，否的 Add（新增），然後再次按一下 Add（新增）。按一下
則資料篩選日誌將出現重複的 Names（名稱）欄位，並輸入規則名稱。
項目。例如，如果您選取 PE， 4. 選取將符合此設定檔的 Applications（應用程式）。例
請勿選取 exe，因為這屬於 PE 如，選取 web-browsing（網頁瀏覽）將比對任何屬於
類別。這也適用於 zip 檔案類網頁瀏覽的應用程式流量。
型，因為防火牆會自動轉送已
5. 在 File Type（檔案類型）欄位中，選取將觸發轉送動作
壓縮的支援檔案類型。如果您
的檔案類型。選擇 Any（任何）轉送 WildFire 支援的所
想要確定所有支援的 Microsoft
有檔案類型，或選取 PE 僅轉送可攜式執行檔檔案。
Office 檔案類型均會轉送，建議
您選擇類別 msoffice。 6. 在方向欄位中，選取上載、下載或兩者。Both（兩者）
選項將在使用者嘗試上載或下載檔案時觸發轉送。
選擇類別而不選擇個別的檔案
7. 定義 Action（動作），如下所示：
類型，也將確保新的檔案類型
新增至指定的類別，因此自動 • Forward（轉送）— 防火牆除了將任何符合此設定檔的
成為檔案封鎖設定檔的一部檔案寄送給使用者之外，也會將檔案轉送至 WildFire 進
分。如果您選取 Any（任何），行分析。
所有支援的檔案類型將轉送到 • Continue-and-forward（繼續並轉送）— 使用者將看見
WildFire。提示，而且必須按一下 [continue（繼續）] 才能下載，
檔案將隨即轉送至 WildFire。由於此動作需要使用者
操作 Web 瀏覽器，因此只有網頁瀏覽應用程式才支援
此動作。
步驟 3 （選用）啟用回應頁面以讓使用者決 1. 選取網路 > 網路設定檔 > 介面管理，然後新增新的設

定是否要轉送檔案。定檔或編輯現有的設定檔。
如果為所有的檔案類型設定 2. 按一下回應頁面核取方塊以啟用。
continue-and-forward（繼續 3. 按一下確定來儲存設定檔。
並轉送）動作，您必須啟用輸
4. 選取 Network > 介面，然後編輯為 Ingress 介面的 Layer 3
入介面（第一個收到您使用者
介面或 VLAN 介面。
流量的介面）上的回應頁面
選項。 5. 按一下進階頁籤，並選取 [ 介面管理 ] 設定檔，其中的回
應頁面選項已啟用。
將樣本轉送至 WildFire Cloud WildFire Cloud 檔案分析
步驟 4 啟用轉送解密的內容。 1. 選取設備 > 設定 > Content-ID（內容 ID）。

若要將 SSL 加密檔案轉送到 WildFire， 2. 按一下 URL Filtering（URL 過濾）選項的編輯圖示，並
防火牆必須具備解密原則，並啟用轉啟用 Allow Forwarding of Decrypted Content（允許轉
送解密的內容。寄解密的內容）。
只有超級使用者能夠啟用此
選項。如果防火牆有多個虛擬系統，您必須按照 VSYS 啟
用此選項。在此情況下，請選取 Device（設備）>
Virtual Systems（虛擬系統），按一下要修改的虛
擬系統，並選取 Allow Forwarding of Decrypted
Content（允許轉寄解密的內容）核取方塊。
步驟 5 將檔案封鎖設定檔附加於安全性 1. 選取政策 > 安全性。

政策。 2. 按一下 Add（新增）為套用 WildFire 轉送的區域建立新政
策，或選取現有的安全性政策。
3. 在 Actions（動作）頁籤上，從下拉式清單中選取 File
Blocking（檔案封鎖）。
如果此安全性規則沒有任何附加的設定檔，請從
Profile Type（設定檔類型）下拉式清單中選取
Profiles（設定檔），選取檔案封鎖設定檔。
步驟 6 （選用）修改允許上載到 WildFire 的 1. 選取設備 > 設定 > WildFire。

檔案大小上限。 2. 按一下 General Settings（一般設定）編輯圖示。
3. 設定每個檔案類型的大小上限。例如，若您將 PDF 設為
5MB，任何大於 5MB 的 PDF 檔案將不會轉送。
步驟 7 （選用）修改工作階段選項，定義哪 1. 按一下 Session Information Settings（工作階段資訊設

在 WildFire 分析報告記錄哪些工作階定）編輯圖示。
段資訊。 2. 依預設，報告將顯示所有工作階段資訊。清除與將從
WildFire 分析報告移除的任何欄位相對應的核取方塊。
WildFire Cloud 檔案分析將樣本轉送至 WildFire Cloud

埠設為記錄卡類型。MGT 連接埠無
法用來轉送樣本至 WildFire，即使您
已設定服務路由。
Panorama。Panorama 會向
步驟 9 交付設定。按一下 Commit（提交）套用設定。

在安全性原則評估期間，所有與檔案封鎖政策中定義的條件
相符的檔案將由防火牆轉送到 WildFire。如需檢視 WildFire
報告的相關資訊，請參閱 WildFire 報告。
如需驗證設定的相關資訊，請參閱驗證轉送至 WildFire Cloud。
驗證轉送至 WildFire Cloud WildFire Cloud 檔案分析
驗證轉送至 WildFire Cloud

本主題說明將驗證防火牆已正確設定以轉送樣本至 WildFire Cloud 所需的步驟。如需您可用來驗證流
程的測試檔案資訊，請參閱惡意軟體測試樣本。
驗證轉送至 WildFire Cloud
步驟 1 檢查 WildFire 及威脅防範使用授權及 1. 選取 Device（設備）> Licenses（授權），並確認以安

WildFire 登錄。裝有效的 WildFire 及威脅防範使用授權。如果未安裝有
效的授權，請移至 License Management（授權管理）
部分，按下 Retrieve（從授權伺服器擷取）license keys
from the license server（授權金鑰）。
2. 確定防火牆可與 WildFire 伺服器通訊以進行轉送：
admin@PA-200> test wildfire registration
在下列輸出中，防火牆指向 WildFire Cloud。如果防火牆
指向 WildFire 設備，將顯示設備的 FQDN 或 IP 位址。
Test wildfire
select the best server:
s1.wildfire.paloaltonetworks.com
3. 如果授權持續發生問題，請聯絡零售商或 Palo Alto Networks

系統工程師確認各個授權，並且在必要時取得新的授
權碼。
步驟 2 確認防火牆將檔案傳送到正確的 1. 若要判斷防火牆將檔案轉送到何處（到 Palo Alto Networks

WildFire 系統。 WildFire Cloud 或 WildFire 設備），請選取 Device（設
備）> Setup（設定）> WildFire。
2. 按一下 General Settings（一般設定）編輯圖示。
位於美國的 WildFire 伺服器為 wildfire-public-cloud，位於
日本的 WildFire 伺服器則為 wildfire-paloaltonetworks.jp。
如果防火牆設定為轉送到 WF-500 設備，將顯示 WildFire
的 IP 位址或 FQDN。
若您忘了 WildFire 公共雲端的名稱，請清除 WildFire
伺服器欄位接著按一下確定，欄位將自動填入預
設的 WildFire Cloud 值。
WildFire Cloud 檔案分析驗證轉送至 WildFire Cloud
驗證轉送至 WildFire Cloud（續）
步驟 3 檢查日誌以確認轉送正常執行。 1. 選取監控 > 日誌 > 資料過濾。

如需在日誌中啟用電子郵件標頭詳細 2. 檢視動作欄以決定轉送結果：
資料的相關資訊，請參閱在 WildFire • Forward — 代表樣本已成功透過檔案封鎖設定檔和安全
日誌中啟用電子郵件標頭資訊。性政策，從資料平面轉送到防火牆上的管理平面。此時
防火牆尚未轉送樣本至 WildFire Cloud 或 WildFire 設備。
• Wildfire-upload-success — 表示防火牆已轉送檔案至
WildFire。這表示受信任的簽署者未簽署該檔案，而
且 WildFire 先前未分析該檔案。
• Wildfire-upload-skip — 表示允許將檔案傳送給 WildFire，
但不需要分析該檔案，因為 WildFire 先前已分析過。
3. 選取監控 > 日誌 > WildFire 提交，檢視 WildFire 日誌。
如果有列出 WildFire 日誌，表示防火牆將檔案成功轉送
到 WildFire，而且 WildFire 傳回檔案分析結果。
如需 WildFire 相關日誌的詳細資訊，請參閱 WildFire
日誌。
步驟 4 驗證檔案封鎖設定檔中的動作設定。 1. 選取 Objects（物件）> Security Profiles（安全性設定

檔）> File Blocking（檔案封鎖），並按一下檔案封鎖
設定檔。
2. 確認動作是設定為 forward（轉送）或
continue-and-forward（繼續並轉送）。如果設定為
continue-and-forward（繼續並轉送），防火牆將只轉
送 http/https 流量，因為這是唯一能夠允許防火牆提供
使用者回應頁面的流量。
步驟 5 確認檔案封鎖設定檔位於正確的安全 1. 選取 Policies（政策）> Security（安全性），並按一下

性政策中。觸發檔案轉送到 WildFire 的安全性政策。
2. 按一下 Actions（動作）頁籤，確定在 File Blocking（檔
案封鎖）下拉式清單中選取檔案封鎖設定檔。
步驟 6 在設備上檢查 WildFire 伺服器狀態。 admin@PA-200> show wildfire status

將檔案轉送到 WildFire Cloud 時，輸出應該如下所示：
Connection info:
Wildfire cloud: public cloud
status: Idle
Best server: s1.wildfire.paloaltonetworks.com
Valid wildfire license: yes
Through a proxy: no
Forwarding info:
file size limit for pe (MB): 10
file size limit for jar (MB): 1
file size limit for apk (MB): 2
file size limit for pdf (KB): 500
file size limit for ms-office (KB): 10000
file idle time out (second): 90
total file forwarded: 1
file forwarded in last minute: 0
concurrent files: 0
驗證轉送至 WildFire Cloud WildFire Cloud 檔案分析
步驟 7 檢查 WildFire 統計資料以確認計數器下列命令顯示執行中防火牆的輸出，並顯示防火牆轉送至

正在增加。 WildFire 各檔案類型的計數器。若所有計數器欄位都顯示 0，
則防火牆並未轉送，您必須檢查防火牆和 WF-500 之間的連
線能力。也請確認防火牆上的檔案封鎖設定檔已正確設定，
且設定檔已附加至允許檔案傳輸的安全性規則。
Packet based counters:
Total msg rcvd: 12011
Total bytes rcvd: 10975328
Total msg read: 11963
Total bytes read: 10647634
Total msg lost by read: 48
Total DROP_NO_MATCH_FILE 48
Total files received from DP: 196
Counters for file cancellation:

CANCEL_FILE_DUP 11
CANCEL_CONCURRENT_LIMIT 7
Counters for file forwarding:
file type: apk
file type: pdf
file type: email-link
file type: ms-office
file type: pe
file type: flash

FWD_CNT_LOCAL_DUP 11
FWD_CNT_REMOTE_DUP_CLEAN 56
FWD_CNT_REMOTE_DUP_TBD 8
FWD_CNT_REMOTE_DUP_MAL 3
file type: jar
file type: unknown
file type: pdns
Error counters:
LOG_ERR_REPORT_CACHE_NOMATCH 880
Reset counters:
DP receiver reset cnt: 2
File cache reset cnt: 2
Service connection reset cnt: 1
Log cache reset cnt: 2
Report cache reset cnt: 2
Resource meters:
data_buf_meter 0%
msg_buf_meter 0%
ctrl_msg_buf_meter 0%
File forwarding queues:

WildFire Cloud 檔案分析驗證轉送至 WildFire Cloud
步驟 8 檢查動態更新狀態與排程，以確定防 1. 選取設備 > 動態更新。

火牆會自動接收 WildFire 產生的特徵 2. 確定防毒、應用程式和威脅以及 WildFire 有最新的更新，
碼。請參閱讓特徵碼保持最新狀態的而且對於各個項目設定排程。
最佳作法。
3. 按一下視窗底端的 Check Now（立即檢查），查看是否有
任何新的更新，這也將確認防火牆能夠與
updates.paloaltonetworks.com 進行通訊。
如果防火牆無法連線到更新伺服器，請直接從 Palo Alto Networks
下載更新。登入 Palo Alto Networks 支援網站，並選取 [ 動態
更新 ]。
使用 WildFire Cloud 入口網站上載檔案 WildFire Cloud 檔案分析
使用 WildFire Cloud 入口網站上載檔案

所有具備支援帳戶的 Palo Alto Networks 客戶都能夠手動上載檔案到 Palo Alto Networks WildFire 入口
網站進行分析。WildFire 入口網站支援手動上載所有支援的檔案類型。
手動上載至 WildFire
步驟 1 手動上載檔案至 WildFire 以進行分析。 1. 登入 WildFire 入口網站。

如果防火牆轉送到日本的 WildFire 入口網站，請使用
https://wildfire.paloaltonetworks.jp 。
2. 按一下 Upload Sample（上載樣本）按鈕，然後按一下
Add files（新增檔案）。
3. 導覽至檔案，並反白顯示檔案，然後按一下 Open（開
啟）。檔案名稱將出現在 Add files（新增檔案）圖示
下方。
4. 請按一下檔案右方的 Start（開始）圖示，或者若有多個
檔案正在等候上載，請按一下 Start upload（開始上載）
按鈕。若檔案上載成功，每個檔案名稱旁將出現 Success
（成功）。
5. 關閉 Uploaded File Information（已上載檔案資訊）快顯

視窗。
步驟 2 檢視分析結果。大約需要五分鐘， 1. 重新整理瀏覽器顯示的入口網站頁面。
WildFire 才能完成檔案分析。 2. 按一下來源欄下的 Manual（手動）以檢視手動樣本上載
由於手動上載並未與特定防火結果。
牆產生關聯，因此手動上載將 3. 報告頁面也將顯示已上載到您帳戶的所有檔案清單。找出
與註冊的防火牆分開顯示，且已上載的檔案，並按一下日期欄位左邊的詳細資料圖示。
不會在報告中顯示工作階段入口網站會顯示檔案分析的完整報告，詳述所觀察到的
資訊。檔案行為。如果 WildFire 識別檔案是惡意軟體，將產生
特徵碼，並散佈到利用 WildFire 或威脅防範使用授權設
定的所有 Palo Alto Networks 防火牆。
WildFire 報告
偵測到網路有惡意軟體時，必須迅速採取動作，避免傳播到網路上的其他系統。為了確保網路上
偵測到惡意軟體時能夠立即警示，請將防火牆設定為在 WildFire 針對樣本傳回惡意軟體裁定時，
傳送電子郵件通知、SNMP 陷阱及 / 或系統日誌。這能夠讓您迅速檢視 WildFire 分析報告，並識別下
載惡意軟體的使用者、判斷使用者是否執行遭感染的檔案或存取惡意電子郵件連結，並評估惡意
軟體是否自行散佈到其他的主機。如果您判斷使用者已存取惡意內容，您可以迅速中斷電腦的網
路連線，避免惡意軟體散佈，並按照必要的事件回應和補救程序。
下列主題說明 WildFire 報告及日誌記錄系統，並說明如何此使用此功能追蹤威脅，並識別遭惡意軟
體鎖定的使用者。
 WildFire 日誌
 在 WildFire 日誌中啟用電子郵件標頭資訊
 使用 WildFire 入口網站監控提交
 自訂 WildFire 入口網站設定
 新增 WildFire 入口網站使用者帳戶
 檢視 WildFire 報告
 WildFire 報告內容
 設定對於偵測到的惡意軟體所發出的警示
 WildFire 的運作
WildFire 日誌 WildFire 報告
WildFire 日誌
您設定為將樣本轉送至 WildFire 的各個防火牆，均會在資料過濾日誌中記錄轉送動作。樣本經 WildFire
分析後，如裁定結果為惡意軟體，WildFire 會將結果傳回到防火牆上的 WildFire 提交日誌。您也可以
針對透過電子郵件或包含在 SMTP 及 POP3 訊息中的 HTTP/HTTPS 連結所傳送的檔案，將防火牆設
定為記錄其電子郵件標頭資訊。如需詳細資訊，請參閱在 WildFire 日誌中啟用電子郵件標頭資訊。
由 WildFire 為各檔案或各電子郵件連結所分析的詳細分析報告，即位於 WildFire 提交日誌的詳細檢
視中。您也可以在 WildFire 入口網站上檢視分析報告。
若您將防火牆設定為轉送樣本至 WF-500 設備，您僅能在轉送檔案置設備的防火牆上檢視結果，

或者透過使用 WildFire XML API 從設備擷取報告來檢視結果。
 轉送動作日誌 — 位於 Monitor（監控）> Logs（日誌）> Data Filtering（資料過濾）中的資料過

濾日誌將顯示按照封鎖設定檔封鎖 / 轉送的檔案。若要判斷哪些檔案轉送到 WildFire，請在日
誌的 Action（動作）欄找出下列的值：
動作說明
wildfire-upload-success 防火牆已轉送樣本至 WildFire Cloud 或 WF-500 設備。這表示受信任

的簽署者未簽署該檔案，而且 WildFire 先前未分析該檔案。
wildfire-upload-skip 針對檔案封鎖設定檔 / 安全性政策允許傳送給 WildFire，但 WildFire
不需要分析（因為先前已分析）的所有檔案顯示。在此情況下，會
在 Data Filtering（資料過濾）中顯示 forward（轉送）動作（因為
它是有效的轉送動作），但不會傳送給 WildFire 及進行分析，因為
該檔案已從其他工作階段傳送至 WildFire Cloud 或 WildFire 設備，可
能是從其他防火牆。
電子郵件連結轉送將不會發生此動作。
wildfire-upload-fail 樣本無法上載至 WildFire。這通常是防火牆和 WildFire Cloud 之間的網
路通訊問題所導致。驗證連線能力並檢查 DNS。
WildFire 報告 WildFire 日誌
 WildFire 日誌 — WildFire 掃描的樣本分析結果將在分析完成後傳回防火牆日誌。這些日誌將寫入

在 Monitor（監控）> Logs（日誌）> WildFire Submissions（WildFire 提交）中轉送樣本的防火
牆。如果日誌從防火牆轉送到 Panorama，日誌將寫入 Monitor（監控）> Logs（日誌）> WildFire
Submissions（WildFire 提交）中的 Panorama 伺服器。WildFire 日誌的 Category（類別）欄顯示
benign（良性）（良性電子郵件不會記錄），表示檔案安全無虞，顯示 malicious（惡意）表示
WildFire 判斷樣本包含惡意程式碼。如果判斷樣本為惡意檔案，WildFire 特徵碼產生器將產生特徵
碼。如果防火牆已設定為將檔案轉送到 WF-500 設備，則您可以設定設備，使其將將樣本轉送至
WildFire Cloud 以產生特徵碼，您也可以允許在 WF-500 設備上產生特徵碼 / URL。
依預設，若樣本視為惡意軟體，則具備 WildFire 使用授權的設備將僅從 WildFire Cloud 或 WF-500 設備
擷取分析結果。若要產生良性檔案的日誌，請選取 Device（裝置）> Setup（設定）> WildFire 並編
輯 General Settings（一般設定），接著按一下 Report Benign Files（報告良性檔案）核取方塊。
您也可以執行下列 CLI 命令：admin@PA-200# set deviceconfig setting wildfirereport-benign-file。
裁定為良性的電子郵件連結將不會記錄。
若要檢視 WildFire 分析的檔案詳細的報告，請找出 Monitor（監控）> WildFire Submissions

（WildFire 提交）中的日誌項目，並按一下日誌項目左邊的圖示以顯示日誌詳細資料，然後按
一下 WildFire Analysis Report（WildFire 分析報告）頁籤。隨即出現存取報告的登入提示，
再輸入正確的認證後，將從 WildFire 系統擷取報告，並且在瀏覽器中顯示。如需存取 WildFire
Cloud 的入口網站帳戶相關的資訊，請參閱新增 WildFire 入口網站使用者帳戶。如需從 WildFire
設備擷取報告所用的管理帳戶相關的資訊，請參閱將 WF-500 設備整合於網路並參考說明入口
網站管理帳戶的步驟。
在 WildFire 日誌中啟用電子郵件標頭資訊 WildFire 報告
在 WildFire 日誌中啟用電子郵件標頭資訊
防火牆可擷取電子郵件標頭資訊 — 電子郵件寄件者、收件者和主旨 — 並將這些資訊以及對應的電
子郵件附件和轉送的電子郵件連結傳送至 WildFire。若 WildFire 判斷電子郵件附件或連結為惡意，
它將在傳回防火牆的 WildFire 提交日誌中包括電子郵件標頭資訊。此資訊可協助您快速追蹤並修復
在您使用者所接收電子郵件中偵測到的威脅。請注意，防火牆或 WildFire 都不會接收、儲存或檢視
實際的電子郵件內容。
下列工作流程說明如何啟用電子郵件標頭選項、如何設定 User-ID 屬性，以及如何記錄資訊，以
協助您找出下載惡意附件或接收包含惡意連結電子郵件的收件者。
設定 WildFire 日誌的電子郵件標頭選項
步驟 1 在將轉送樣本至 WildFire 的防火牆上 1. 選取設備 > 設定 > WildFire。

啟用電子郵件標頭選項。 2. 編輯 Session Information Settings（工作階段資訊設定）
區段並啟用一或多個選項（Email sender（電子郵件寄
件者）、Email recipient（電子郵件收件者）和 Email
subject（電子郵件主旨））。
步驟 2 （選用）設定 User-ID 選項以讓防火 1. 選取 Device（裝置）> User Identification（使用者識別）>

牆比對 User-ID 資訊以及電子郵件連 Group Mapping Settings（群組對應設定）。
結和轉送至 WildFire 的電子郵件附件 2. 選取所需的群組對應設定檔以進行修改。
中所識別的電子郵件標頭資訊。
3. 在 Mail Domains（郵件網域）區段的 Server Profile（伺
符合時，WildFire 日誌電子郵件標頭服器設定檔）頁籤中，填入 Domain List（網域清單）
區段中的使用者名稱將包含一個連欄位：
結，按一下該連結時會開啟依使用者 • 郵件屬性 — 會在您完成 Domain List（網域清單）欄位
或使用者群組過濾的 ACC。並按一下 OK（確定）之後自動填入此欄位。屬性會以
LDAP 伺服器類型為基礎（Sun/RFC、Active Directory 和
Novell）。
• 網域清單 — 使用以逗號分隔的清單（最多 256 個字
元），輸入您組織中電子郵件網域清單。
WildFire 報告在 WildFire 日誌中啟用電子郵件標頭資訊
設定 WildFire 日誌的電子郵件標頭選項（續）
步驟 3 確認 WildFire 報告中顯示電子郵件標 1. 從防火牆選取 Monitor（監控）> Logs（日誌）> Data

頭資訊。 Filtering（資料過濾）並利用 Action（動作）
wildfire-upload-success 找出日誌。日期 / 時間應晚於您啟
WildFire 會在轉送檔案或連結之後約
用此選項的日期 / 時間。
15 分鐘內產生日誌。
2. 選取 Monitor（監控）> Logs（日誌）> WildFire
良性電子郵件連結將不會 Submissions（WildFire 提交）並找出連結或檔案附件
記錄。所對應的日誌，來檢視日誌及分析報告。
3. 按一下第一欄中的日誌詳細資料。在日誌資訊頁籤中，
您將在 [ 電子郵件標頭 ] 區段中看到新的電子郵件資訊。
若已在防火牆上設定 User-ID，User-ID 所收集的網

域和使用者名稱會顯示在收件者 User-ID 欄位中。
若電子郵件已開啟，請使用電子郵件標頭和 User-ID 資訊來
追蹤郵件伺服器上的訊息以刪除，或使用資訊來尋找收件者
以移除威脅。
使用 WildFire 入口網站監控提交 WildFire 報告
使用 WildFire 入口網站監控提交
瀏覽到 Palo Alto Networks WildFire 入口網站，使用您的 Palo Alto Networks 支援認證或 WildFire 帳戶
登入。入口網站會開啟並顯示儀表板，列出所有防火牆的摘要報告資訊，這些防火牆與特定
WildFire 使用授權或支援帳戶相關。入口網站將針對每個列出的設備顯示偵測到的惡意軟體檔案
數、已分析的良性樣本數和等待分析的擱置檔案數這三項統計資料。
若您的防火牆設定為轉送樣本至 WF-500 設備，您僅能在轉送檔案置設備的防火牆上檢視日誌結

果，或者透過使用 WildFire XML API 來檢視日誌結果。
如需設定可用來檢視報告資訊的其他 WildFire 帳戶相關的資訊，請參閱新增 WildFire 入口網站使用者

帳戶。
WildFire 報告自訂 WildFire 入口網站設定
自訂 WildFire 入口網站設定
本節說明可對於入口網站帳戶自訂的設定，例如各個防火牆的時區及電子郵件通知。您也可以針
對將樣本轉送到 WildFire Cloud 的每個防火牆刪除儲存在入口網站上的日誌。
自訂 WildFire 入口網站設定
步驟 1 設定入口網站帳戶的時區。 1. 使用您的 Palo Alto Networks 支援登入認證或 WildFire 使用

者帳戶登入 WildFire 入口網站。
2. 按一下入口網站視窗右上角的 Settings（設定）連結。
3. 從下拉式清單中選取時區，然後按一下 Update Time Zone
（更新時區）儲存變更。
將在 WildFire 詳細報告出現的時間戳記將以在入
口網站帳戶中設定的時區為基礎。
步驟 2 刪除特定防火牆的 WildFire 日誌。這將 1. 在 Delete WildFire Logs（刪除 WildFire 日誌）下拉式清

刪除所選防火牆所有的日誌和通知。單中，選取防火牆（按照序號）。
2. 按一下 Delete Logs（刪除日誌）按鈕。
3. 按一下 OK（確定）繼續刪除。
步驟 3 設定入口網站將根據提交到 WildFire 1. 入口網站設定頁面中會顯示包含欄標題 Device（設備）、

的檔案結果所產生的電子郵件通知。 Malware（惡意軟體）和 Benign（良性）的表格。針對
電子郵件通知會傳送至支援帳戶中所每個您想要擷取通知的防火牆勾選 Malware（惡意軟
註冊的電子郵件帳戶。體）和 / 或 Benign（良性）。按一下 Update Notification
（更新通知）以啟用所選防火牆的通知功能。
2. 第一列項目將顯示 Manual（手動）。選取 Malware（惡
意軟體）和 / 或 Benign（良性），以接收手動上載到
WildFire Cloud 的檔案或使用 WildFire API 所提交檔案的相
關通知，並按一下 Update Notification（更新通知）。
選取欄標題 Malware（惡意軟體）和 Benign（良
性）正下方的核取方塊，選取列出的設備所有的
核取方塊。
新增 WildFire 入口網站使用者帳戶 WildFire 報告
新增 WildFire 入口網站使用者帳戶
WildFire 入口網站帳戶是由超級使用者（或 Palo Alto Networks 設備的註冊擁有者）所建立，能夠讓
使用者登錄 WildFire Web 入口網站，並檢視超級使用者或註冊擁有者特別授予的設備相關的
WildFire 資料。超級使用者是註冊 Palo Alto Networks 防火牆且擁有設備主要支援帳戶的人員。
WildFire 使用者可以是屬於任何帳戶（包括子帳戶、上層帳戶或系統中的其他任何帳戶）的現有
支援網站使用者，另一方面，如果使用者完全沒有 Palo Alto Networks 支援帳戶，也可取得僅存取
WildFire 入口網站和特定防火牆的權限。
若您的防火牆會轉送檔案至 WF-500 設備，您無法在 WildFire 入口網站上檢視這些樣本的報告，

即使您已在設備上啟用雲端智慧以提交檔案至雲端。從設備傳送樣本至 WildFire Cloud 的目的在
於讓雲端產生已偵測惡意軟體的特徵碼。Palo Alto Networks 接著便會將這些特徵碼散佈到具備
威脅防護或 WildFire 使用授權的客戶防火牆。
新增 WildFire 使用者帳戶
步驟 1 存取支援網站上的 [manage users and 1. 登入 Palo Alto Networks Support 網站。

accounts（管理使用者和帳戶）] 部 2. 在 Manage Account（管理帳戶）下，按一下 Users and
分，並選取帳戶。 Accounts（使用者和帳戶）。
3. 選取現有的帳戶或子帳戶。
步驟 2 新增 WildFire 使用者。 1. 按一下 Add WildFire User（新增 WildFire 使用者）按鈕。

2. 輸入要新增的使用者收件人所用的電子郵件地址。
使用者可以是屬於任何帳戶（包括子帳戶、上層
帳戶、Palo Alto Networks 或系統中的其他任何帳
戶）的現有支援網站使用者，以及完全沒有支援
帳戶的任何電子郵件地址。唯一的限制是不可使
用免費的 Web 式電子郵件帳戶（Gmail、Hotmail、
Yahoo 等）做為電子郵件地址。如果對於不支援的
網域輸入電子郵件地址，將出現快顯警告。
步驟 3 將防火牆指派給新的使用者帳戶，並 1. 按照序號選取要授予存取權的防火牆，並填寫選擇性的
存取 WildFire 入口網站。帳戶詳細資料。
接著將寄送電子郵件給該使用者。擁有現有支援帳戶的
使用者將收到列出防火牆清單的電子郵件，這些防火牆
可供 WildFire 報告檢視之用。如果使用者沒有支援帳
戶，入口網站將傳送說明如何存取入口網站和如何設定
新密碼的電子郵件。
2. 新使用者此時即可登入 WildFire 入口網站檢視已取得存取
權的防火牆相關的 WildFire 報告。使用者也可以設定這
些設備的自訂電子郵件警示，以便收到所分析的檔案相關
的警示。使用者可選擇接收惡意及 / 或良性檔案的報告。
WildFire 報告檢視 WildFire 報告
檢視 WildFire 報告
檢視傳送到 WildFire Cloud 或 WildFire 設備的 WildFire 報告主要的方法是，存取將檔案轉送到 WildFire
的防火牆，然後選取 Monitor（監控）> Logs（日誌）> WildFire Submissions（WildFire 提交），
再選取 WildFire Analysis Report（WildFire 分析報告）頁籤。您可以從該處直接檢視報告，或按
一下位於報告右上角的下載 PDF 圖示來下載報告。如果防火牆正在將日誌轉送到 Panorama，也可
從 Panorama 日誌存取日誌。您也可以使用 WildFire XML API 從 WildFire 入口網站或 WF-500 設備擷
取報告。如需詳細資訊，請參閱查詢 WildFire PDF 或 XML 報告。
將檔案提交到 WildFire Cloud（透過防火牆轉送、手動上載或 WildFire API）時，您可從防火牆及 WildFire
入口網站存取報告。若要從入口網站存取報告，請登入 WildFire 入口網站，並且按一下 WildFire 入
口網站頁面頂端的 Reports（報告）按鈕。入口網站隨即顯示一份清單，顯示接收檔案的日期、
轉送檔案的防火牆序號、檔案名稱或 URL，以及裁定（惡意軟體或良性）。頁面頂端也有搜尋功
能可供使用，您可以依檔案名稱或雜湊值搜尋。
若要從入口網站檢視個別的報告，請按一下報告名稱左側的 Reports（報告）圖示。若要儲存詳細的
報告，請按一下頁面右上角的 Download as PDF（下載為 PDF）按鈕。以下顯示防火牆所提交的樣本
檔案清單：
WildFire 報告內容 WildFire 報告
WildFire 報告內容
WildFire 報告顯示 WildFire 系統分析的檔案詳細的行為資訊，以及目標使用者、電子郵寄標頭資訊
（若啟用）、傳遞檔案的應用程式和用於檔案傳遞或回撥活動的所有 URL 相關的資訊。取決於分
析樣本的 WildFire 系統（WildFire Cloud 或 WF-500 設備），報告的組成部分可能有所不同。取決於
在轉送檔案的防火牆上設定的工作階段資訊，以及所觀測到的行為，報告將包含下列表格所述的
部分或全部資訊。
檢視手動或使用 WildFire API 上載到 WildFire 入口網站的檔案的 WildFire 報告時，報告將不會顯示

工作階段資訊，因為流量不會周遊防火牆。例如，報告不會顯示攻擊者 / 來源和受害者 / 目的地。
報告標題說明
下載 PDF • 按一下下載 PDF 圖示（位於右上角）以讓防火牆產生 PDF 版本的 WildFire

報告。
檔案資訊 • 檔案類型 — Flash、PE、PDF、APK、JAR/Class 或 MS Office。此欄位
針對 HTTP/HTTPS 電子郵件連結報告命名為 URL，且會顯示所分析的
URL 名稱。
• 檔案簽署者 — 為了驗證而簽署檔案的實體。
• 雜湊值 — 檔案雜湊相當於識別檔案的指紋，能夠確保檔案未經過任何形
式的修改。以下列出 WildFire 針對每個已分析檔案產生的雜湊版本：
• SHA-1 — 顯示檔案的 SHA-1 值。
• SHA-256 — 顯示檔案的 SHA-256 值。
• MD5 — 顯示檔案的 MD5 資訊。
• 檔案大小 — WildFire 所分析檔案的大小（位元組）。
• 首次檢視時間戳記 — 如果 WildFire 系統先前已分析過該檔案，則這是第
一次觀察該檔案的日期 / 時間。
• 裁定 — 顯示分析裁定：
• 良性 — 檔案安全無虞，並未出現任何惡意行為。
• 惡意軟體 — WildFire 識別該檔案為惡意軟體，將產生特徵碼以防範
日後暴露。
• 樣本檔案 — 按一下 Download File（下載檔案）連結將樣本檔案下載至
您的本機系統。請注意，您僅可下載具惡意軟體裁定而非良性裁定的
檔案。
WildFire 報告 WildFire 報告內容
報告標題說明
涵蓋狀態按一下總病毒數連結檢視其他廠商已識別樣本的端點防毒涵蓋資訊。如
果任何列出的廠商先前不曾發現該檔案，將顯示找不到檔案。
此外，當報告在防火牆上呈現時，特徵碼的最新資訊以及 Palo Alto
Networks 目前為防護威脅所提供的 URL 過濾涵蓋情況也會一併在此區段
中顯示。由於資訊以動態方式擷取，因此將不會顯示在 PDF 報告中。
下列螢幕擷取畫面顯示在防火牆上呈現報告之後顯示的涵蓋範圍：
下列涵蓋資訊針對使用中的特徵碼所提供：
• 涵蓋類型 — Palo Alto Networks 提供的防護類型（病毒、DNS、WildFire
或惡意軟體 URL）。
• 特徵碼 ID — 指派給 Palo Alto Networks 提供的每個特徵碼的唯一 ID。
• 詳細資料 — 病毒的已知名稱。
• 發行日期 — Palo Alto Networks 發行涵蓋範圍以防護惡意軟體的日期。
• 內容版本 — 提供惡意軟體防護所發行內容的版本號碼。
如果防火牆設定為將檔案轉送到 WildFire 設備，防火牆將查詢
設備和 WildFire Cloud 以判斷涵蓋範圍資訊是否可用。若兩個系
統（Cloud / 設備）均可使用涵蓋狀態，每個系統都會顯示獨立
表格。
工作階段資訊在流量周遊轉送樣本的防火牆時，包含以流量為基礎的工作階段資訊。
若要定義 WildFire 將在報告中包含的工作階段資訊，請選取 Device（裝
置）> Setup（設定）> WildFire> Session Information Settings（工作
階段資訊設定）。
以下為可用選項：
• 來源 IP
• 來源連接埠
• 目的地 IP
• 目的地連接埠
• 虛擬系統（如果在防火牆上設定 multi-vsys）
• 應用程式
• 使用者（如果在防火牆上設定 User-ID）
• URL
• 檔案名稱
• 電子郵件寄件者
• 電子郵件收件者
• 電子郵件主旨
WildFire 報告內容 WildFire 報告
報告標題說明
動態分析如果檔案的風險較低，且能夠經 WildFire 輕鬆判定為安全檔案，則僅執

行靜態分析，而非動態分析。
執行動態分析時，本部分會包含在 WildFire Cloud 中分析樣本時，執行樣
本所在的每個虛擬環境其頁籤。例如，[Virtual Machine 1（虛擬電腦 1）]
頁籤可能會有 Windows XP、Adobe Reader 9.3.3 及 Office 2003，[Virtual
Machine 2（虛擬電腦 2）] 可能會有類似的屬性，但包含的是 Office
2007。檔案經過完整的動態分析後，便會在每個虛擬電腦上執行該檔
案，按一下任何 [Virtual Machine（虛擬電腦）] 頁籤即可檢視每個環境的
結果。
在 WF-500 設備上，僅會使用一部虛擬電腦來進行分析，該虛擬電
腦根據最適合本機環境的虛擬環境屬性所選取。例如，如果大多
數的使用者使用的是 Windows 7 32 位元，則會選取該類虛擬電腦。
行為摘要每個 [Virtual Machine（虛擬電腦）] 頁籤會摘要顯示樣本檔案在特定環境
中的行為。例如是否建立或修改樣本、開始程序、產生大量新程序、修
改登錄或安裝瀏覽器協助程式物件。
嚴重性欄表示每個行為的嚴重性。嚴重性量表會顯示一列來表示低嚴重
性，嚴重性等級提高則會顯示額外的列。此資訊也會新增至動態及靜態
分析區段。
以下說明各種分析行為：
• 網路活動 — 顯示樣本所執行的網路活動，例如存取網路上的其他主機、
DNS 查詢，以及回撥活動。在此會提供可下載封包擷取的連結。
• 主機活動（依照流程）— 列出在主機上執行的活動，例如設定、修改或
刪除的登錄機碼。
• 程序活動 — 列出開始上層程序的檔案、程序名稱和程序執行的動作。
• 檔案 — 列出開始子程序的檔案、程序名稱和程序執行的動作。
• Mutex — 如果樣本檔案產生其他程式執行緒，則將在此欄位中記錄
mutexname 與上層程序。
• 活動時間軸 — 逐一列出該樣本所有已記錄的活動。這有助於瞭解分析
期間所發生事件的順序。
活動時間軸僅以 PDF 版的 WildFire 匯出報告形式提供。
WildFire 報告 WildFire 報告內容
報告標題說明
提交惡意軟體使用此選項來手動提交樣本至 Palo Alto Networks。若 WildFire Cloud 判斷樣

本為惡意檔案，將重新分析樣本並產生特徵碼。在缺少產生特徵碼或未
啟用雲端智慧的 WF-500 設備上，這相當實用；雲端智慧的用途為從設備
將惡意軟體轉送至 WildFire Cloud。
回報不正確裁定如果您認為裁定為誤判或漏報，可按一下此連結將樣本提交至 Palo Alto
Networks 威脅團隊。威脅團隊會對該樣本執行進一步分析，判定樣本是
否應重新分類。如果將惡意軟體樣本判定為安全，則在近期的防毒特徵
碼更新中將停用該檔案的特徵碼，如果將良性檔案判定為惡意，則會產
生新的特徵碼。調查完成後，您將收到說明已採取動作的電子郵件。
設定對於偵測到的惡意軟體所發出的警示 WildFire 報告
設定對於偵測到的惡意軟體所發出的警示
本節說明設定 Palo Alto Networks 防火牆在每次 WildFire 識別惡意檔案或電子郵件連結後傳送警示所
需的步驟。您也可以針對良性檔案設定警示，但無法針對良性電子郵件連結設定。此外，亦可從
WildFire 入口網站設定警示，請參閱使用 WildFire 入口網站監控提交。此範例說明如何設定電子郵
件警示；不過，您也可以將日誌轉送設為透過系統日誌、SNMP 陷阱和 / 或 Panorama 接收警示。
設定對於惡意軟體所發出的電子郵件警示
步驟 1 如果尚未設定電子郵件伺服器設定 1. 選取設定 > 伺服器設定檔 > 電子郵件。

檔，請先設定。 2. 按一下新增，然後輸入設定檔的名稱。例如，
WildFire-Email-Profile。
3. （選用）從位置下拉式清單選取套用此設定檔的虛擬
系統。
4. 按一下 Add（新增）新增電子郵件伺服器項目，並輸入連
接簡易郵件傳輸通訊協定（SMTP）伺服器的必要資
訊，然後傳送電子郵件（最多可在設定檔中新增四個電
子郵件伺服器）：
• 伺服器 — 用來識別郵件伺服器的名稱（1-31 個字元）。
此欄位只是標籤，無須成為現有 SMTP 伺服器的主機
名稱。
• 顯示名稱 — 顯示在電子郵件 [ 寄件者 ] 欄位的名稱。
• 寄件者 — 傳送通知電子郵件的電子郵件地址。
• 收件者 — 傳送通知電子郵件的目標電子郵件地址。
• Additional Recipient(s) （其他收件人）— 輸入將通知
傳送給第二位收件人的電子郵件地址。
• 閘道 — 用來傳送電子郵件的 SMTP 閘道 IP 位址或主
機名稱。
5. 按一下確定來儲存伺服器設定檔。
6. 按一下提交，將變更儲存至執行中的設定。
步驟 2 測試電子郵件伺服器設定檔。 1. 選取監視 > PDF 報告 > 電子郵件排程器。

2. 按一下 Add（新增），並且從 Email Profile（電子郵件設
定檔）下拉式清單中選取新的電子郵件設定檔。
3. 按一下 Send test（傳送測試）電子郵件按鈕，應該會有
測試電子郵件傳送到電子郵件設定檔中定義的收件人。
WildFire 報告設定對於偵測到的惡意軟體所發出的警示
設定對於惡意軟體所發出的電子郵件警示（續）
步驟 3 設定日誌轉送設定檔以轉送 WildFire 1. 選取物件 > 日誌轉送。

日誌至 Panorama、電子郵件帳戶、 2. 按一下 Add（新增），並且將設定檔命名。例如，
SNMP 和 / 或系統日誌伺服器。在本 WildFire-Log-Forwarding。
範例中，您將在 WildFire 裁定為惡意
3. 在 WildFire Settings（WildFire 設定）區段的 Email（電
時轉送 WildFire 日誌至電子郵件帳
子郵件）欄中針對 Malicious（惡意）選擇電子郵件設
戶。您也可啟用良性，這會在您測試
定檔，如螢幕擷取畫面所示。
時產生更多活動。
若要轉送日誌到 Panorama，請針對 Benign（良性）和 /

或 Malicious（惡意）選取 [Panorama] 欄下的核取方
塊。針對 SNMP 和系統日誌，請選取下拉式選單並選
擇適當的設定檔，或按一下 New（新增）設定新的設
定檔。
步驟 4 將日誌轉送設定檔套用於包含檔案封 1. 選取 Policies（政策）> Security（安全性），並按一下用

鎖設定檔的安全性設定檔。於 WildFire 轉送的政策。
2. 在 Actions（動作）頁籤 Log Setting（日誌設定）部分
中，按一下 Log Forwarding（日誌轉送）下拉式清單，
並選取新的日誌轉送設定檔。在此範例中，設定檔名稱
為 WildFire-Log-Forwarding。
3. 按一下 OK（確定）儲存變更，然後 Commit（交付）設
定。現在 WildFire 日誌將能轉送至電子郵件設定檔中所
定義的電子郵件地址。
設定對於偵測到的惡意軟體所發出的警示 WildFire 報告
設定對於惡意軟體所發出的電子郵件警示（續）

5. 提交設定。
埠設為記錄卡類型。MGT 連接埠無
法用來轉送樣本至 WildFire，即使您
已設定服務路由。
Panorama。Panorama 只會向
WildFire 報告 WildFire 的運作
WildFire 的運作
下列範例案例說明整個 WildFire 生命週期。在此範例中，Palo Alto Networks 的銷售代表下載由銷售
合作夥伴上載到 Dropbox 的新軟體銷售工具。銷售合作夥伴在不知情的情況下上載受感染的銷售
工具安裝檔案，然後銷售代表下載這個受感染的檔案。
這個範例將說明 Palo Alto Networks 防火牆搭配 WildFire 如何在即使流量經過 SSL 加密的情況下，找
出使用者下載的零時差惡意軟體。在 WildFire 識別惡意軟體後，日誌將傳送至防火牆，而防火牆會
警示管理員，讓管理員連絡使用者以清除惡意軟體。WildFire 接著將產生惡意軟體的新特徵碼，而
具備威脅防護或 WildFire 使用授權的防火牆會自動下載特徵碼以防範日後暴露。雖然某些檔案共享
網站有防毒功能可在上載檔案時檢查檔案，不過充其量只能防範「已知」的惡意軟體。
如需設定 WildFire 的詳細資訊，請參閱將樣本轉送至 WildFire Cloud 或將檔案轉送至 WF-500 設
備。
此範例以使用 SSL 加密的網站為例，因此防火牆必須具備解密，並且必須啟用 Allow forwarding

of decrypted content（允許轉寄解密的內容）如需啟用解密內容轉送的詳細資訊，請參閱將
樣本轉送至 WildFire Cloud 或將檔案轉送至 WF-500 設備。
\
Wildfire 範例案例
步驟 1 來自合作夥伴公司的銷售人員將名稱為 sales-tool.exe 的銷售工具檔案上載到自己的 Dropbox 帳戶，

然後將有該檔案連結的電子郵件傳送給 Palo Alto Networks 銷售人員。
步驟 2 Palo Alto 銷售人員收到銷售合作夥伴寄送的電子郵件後，按一下下載連結前往 Dropbox 網站，接著

按一下 Download（下載），將檔案儲存到桌面。
WildFire 的運作 WildFire 報告
Wildfire 範例案例（續）
步驟 3 保護 Palo Alto Networks 銷售代表的防火牆有一個附加在安全性政策的檔案封鎖設定檔，能夠搜尋任

何可用來下載或上載任何支援檔案類型（Flash、PE、PDF、APK、JAR/Class 或 MS Office）的應用
程式。請注意，防火牆也可設定為轉送電子郵件連結類型檔案，這可讓防火牆擷取 SMTP 和 POP3
電子郵件訊息所包含的 HTTP/HTTPS 連結。一旦銷售代表按一下下載，防火牆政策便會將
sales-toole.exe 檔案轉送到 WildFire，在此會分析該檔案是否有零時差惡意軟體。雖然銷售代表使用
SSL 加密的 Dropbox，不過防火牆仍設定為將流量解密，因此所有流量都會受到檢查。下列螢幕擷取
畫面顯示檔案封鎖設定檔、以檔案封鎖設定檔設定的安全性政策，以及允許解密內容轉送的選項。
步驟 4 此時，WildFire 已收到檔案，並且正在分析比對 200 多種不同的惡意行為。若要查看是否成功轉送

檔案，請檢視防火牆的 Monitor（監控）> Logs（日誌）> Data Filtering（資料過濾）。
步驟 5 在大約五分鐘內，WildFire 已完成檔案分析，然後將載明分析結果的 WildFire 日誌送回防火牆。在此

範例中，WildFire 日誌顯示檔案是惡意檔案。
步驟 6 防火牆已透過會在發現惡意軟體時傳送 WildFire 警示給安全性管理員的轉送日誌設定檔加以設定。
步驟 7 安全性管理員可透過名稱識別使用者（若已設定 User-ID），也可透過 IP 位址識別未設定使用者

ID 的使用者。此時，管理員可關閉銷售代表使用的網路或 VPN 連線，接著將連絡桌面支援群組
協助使用者檢查並清理系統。
使用 WildFire 詳細分析報告後，桌面支援人員即可檢查 WildFire 分析報告中詳述的檔案、程序和登
錄資訊，來判斷使用者系統是否感染到惡意軟體。如果使用者執行惡意軟體，支援人員可嘗試手
動清理系統，也可重新製作系統映像。
如需 WildFire 報告欄位的詳細資訊，請參閱 WildFire 報告內容。
圖：PDF 版 WildFire 分析報告的部份檢視
步驟 8 目前管理員已發現惡意軟體，而且正在檢查使用者的系統時，如何防範日後暴露？答案：在此範
例中，管理員排定在防火牆每隔 15 分鐘下載安裝 WildFire 特徵碼一次，並且每天下載安裝防毒更
新一次。在銷售代表下載受感染的檔案後不到一個半小時內，WildFire 辨識出零時差惡意軟體，並
產生特徵碼，然後將特徵碼新增到 Palo Alto Networks 提供的 WildFire 更新特徵碼資料庫，防火牆
隨後下載並安裝新的特徵碼。設定為下載 WildFire 與防毒特徵碼的這個防火牆和任何其他的 Palo
Alto Networks 防火牆現在即受到保護，不受這個新發現惡意軟體的侵害。下列螢幕擷取畫面顯示
WildFire 更新排程：
這些都是在大多數防毒軟體廠商察覺這個零時差惡意軟體前完成的。在此範例中，在極短的時間
內，惡意軟體不再屬於零時差惡意軟體，因為 Palo Alto Networks 已發現惡意軟體，而且已經為客戶
提供防護以防範日後暴露。
WildFire API
WildFire API 讓您能夠以程式設計方式，透過簡單的 XML API 介面，將檔案分析工作傳送到
WildFire 並查詢報告資料，且受 WildFire Cloud 和 WF-500 設備支援。WF-500 設備也支援 WildFire
Cloud 所支援的所有 API 功能，但在使用設備的情況下，您所產生的 API 存取金鑰，將用於存取設
備上的 WildFire，而非 Palo Alto Networks 支援網站。用來存取 WildFire Cloud 與 WildFire 設備的
URL 也有所不同。本節中的範例以 WildFire Cloud 為基礎。如需在 WF-500 設備上使用 API 的範
例，請參閱在 WF-500 設備上使用 WildFire API。
 關於 WildFire 使用授權及 API 金鑰
 使用 WildFire API
 WildFire API 檔案提交方法
 查詢 WildFire PDF 或 XML 報告
 使用 API 擷取樣本惡意軟體測試檔案
 使用 API 擷取樣本檔案或 PCAP
 在 WF-500 設備上使用 WildFire API
關於 WildFire 使用授權及 API 金鑰 WildFire API
關於 WildFire 使用授權及 API 金鑰

如果至少一個 Palo Alto Networks 防火牆向您組織中的帳戶擁有者註冊使用中 WildFire 使用授權，
則能夠存取 WildFire API 金鑰。您必須在組織內部共用同一個 API 金鑰。API 金鑰將在 WildFire
Web 入口網站的 My Account（我的帳戶）部分中顯示，並顯示統計資料，例如使用金鑰執行上載
和查詢的次數。金鑰應該視同密碼，不可從授權通道外流。
在 WF-500 設備上使用 API 時，API 金鑰會直接在設備上產生，因此無須從支援網站產生 API 金
鑰。如需詳細資訊，請參閱在 WF-500 設備上使用 WildFire API。
80 WildFire 管理者指南
WildFire API 使用 WildFire API
使用 WildFire API
WildFire API 使用標準 HTTP 要求來傳送和接收資料。直接從 cURL 之類的命令列公用程式，或使
用支援 REST 服務的任何指令碼及應用程式架構，即可進行 API 呼叫。
API 方法位在 WildFire 入口網站，而且需要 HTTPS 通訊協定（而非 HTTP），以便保護 API 金鑰
以及與服務交換的任何其他資料。
WildFire API 允許每天最多 1000 次樣本上載和每天最多 10,000 次報告查詢。
若要在 WF-500 設備上使用 WildFire API，您會直接從設備產生 API 金鑰，並在用來尋找設備的 URL
中使用 IP 位址或 FQDN。所有其他功能就和您在 WildFire Cloud 上使用 API 時一樣。例如，用來從
WildFire Cloud 擷取報告的 URL 為 https://wildfire.paloaltonetworks.com/publicapi/get/report 。用來從 IP
位址為 10.3.4.50 的 WF-500 設備擷取報告的 URL 將顯示如下：https://10.3.4.50/publicapi/get/report。
如需範例，請參閱在 WF-500 設備上使用 WildFire API。
WildFire API 檔案提交方法 WildFire API
WildFire API 檔案提交方法

使用下列方法可將檔案提交到 WildFire：
 使用提交檔案方法將檔案提交到 WildFire
 使用提交 URL 方法將檔案提交至 WildFire
使用提交檔案方法將檔案提交到 WildFire
WildFire API 可用來提交所有的支援的檔案類型。提交至 WildFire 以進行分析時需要檔案以及您的 API

金鑰。提交檔案方法的傳回碼指示成功或錯誤情況。如果傳回 200 OK 代碼，表示成功提交，而且
通常可在五分鐘內查詢結果。
下表說明使用提交檔案方法將檔案提交至 WildFire Cloud 所需的 API 屬性：
URL https://wildfire.paloaltonetworks.com/publicapi/submit/file
方法 POST
參數 apikey 您的 WildFire API 金鑰
檔案將分析的樣本檔案
傳回 200 OK 表示成功並將傳回報告
401 Unauthorized API 金鑰無效
405 Method Not Allowed 已使用 POST 以外的方法
413 Request Entity Too Large 樣本檔案大小超過上限
418 Unsupported File Type 不支援樣本檔案類型
419 Max Request Reached 超過每天上載次數上限
500 內部錯誤
513 檔案上載失敗
使用提交 URL 方法將檔案提交至 WildFire
使用 submit-url 方法可透過 URL 提交檔案進行分析。這個方法與 submit-file 方法的介面和功能均相同，

不過檔案參數由 URL 參數所取代。URL 參數必須指向可存取且受支援的檔案類型。如果傳回 200 OK
代碼，表示成功提交，而且通常可在五分鐘內查詢結果。
WildFire API WildFire API 檔案提交方法
下表說明使用 URL 將檔案提交至 WildFire Cloud 所需的 API 屬性：
URL https://wildfire.paloaltonetworks.com/publicapi/submit/url
方法 POST
參數 apikey 您的 WildFire API 金鑰

url 將分析檔案的 URL。URL 必須包含檔案名稱，例
如 http://paloaltonetworks.com/folder1/my-file.pdf 。
413 Request Entity Too Large 樣本檔案大小超過上限
418 Unsupported File Type 不支援樣本檔案類型
419 Max Request Reached 超過每天上載次數上限
422 URL 下載錯誤
500 內部錯誤
檔案提交的程式碼範例
下列 cURL 命令示範如何使用提交方法將檔案提交到 WildFire：

curl –k -F apikey=yourAPIkey -F file=@local-file-path
https://wildfire.paloaltonetworks.com/publicapi/submit/file
下列殼層程式碼範例顯示將檔案提交到 WildFire API 進行分析的簡單指令碼。提供的 API 金鑰是第一

個參數，檔案的路徑是第二個參數：
#manual upload sample to WildFire with APIKEY
#Parameter 1: APIKEY
#Parameter 2: location of the file
key=$1
file=$2
/usr/bin/curl -i -k -F apikey=$key -F file=@$file

https://wildfire.paloaltonetworks.com/submit/file
下列 cURL 命令示範如何使用提交 URL 方法將檔案提交到 WildFire：

curl –k -F apikey=yourAPIkey -F url=URL
https://wildfire.paloaltonetworks.com/publicapi/submit/url
查詢 WildFire PDF 或 XML 報告 WildFire API
查詢 WildFire PDF 或 XML 報告

使用取得報告方法可查詢特定樣本分析結果的 XML 或 PDF 報告。使用樣本檔案的 MD5、SHA-1
或 SHA-256 雜湊做為搜尋雜詢。
下表說明查詢報告所需的 API 屬性：
URL https://wildfire.paloaltonetworks.com/publicapi/get/report
方法 POST
參數 hash 樣本的 MD5、SHA-1 或 SHA-256 雜湊值

apikey 您的 WildFire API 金鑰
format 報告格式：PDF 或 XML
404 Not Found 找不到報告
419 已超過要求報告配額
420 引數不足
421 引數無效
500 內部錯誤
PDF 或 XML 報告的範例 API 查詢
下列 cURL 命令使用樣本檔案的 MD5 雜湊示範查詢 XML 報告：

curl –k -F hash=1234556 -F format=pdf -F apikey=yourAPIkey
https://wildfire.paloaltonetworks.com/publicapi/get/report
若要擷取 XML 版的報告，只要以 format=xml 取代 format=pdf 即可。例如：

curl -k -F hash=1234556 -F format=xml -F apikey=yourAPIkey
https://wildfire.paloaltonetworks.com/publicapi/get/report
WildFire API 使用 API 擷取樣本惡意軟體測試檔案
使用 API 擷取樣本惡意軟體測試檔案
以下說明可擷取樣本惡意軟體檔案的 API 語法，可用於測試端對端 WildFire 樣本處理。
如需樣本檔案的詳細資訊，請參閱惡意軟體測試樣本。
若要使用 API 擷取檔案：
API : GET https://wildfire.paloaltonetworks.com/publicapi/test/pe
這將傳回測試檔案，每一個 API 呼叫都會傳回類似的檔案，但其 SHA256 值不同。
如果擷取檔案時發生問題，將傳回「500 內部伺服器」錯誤。
若要使用 cURL 擷取測試檔案：
curl –k https://wildfire.paloaltonetworks.com/publicapi/test/pe
使用 API 擷取樣本檔案或 PCAP
 使用 API 擷取樣本檔案
 使用 API 擷取封包擷取 (PCAP)
使用 API 擷取樣本檔案
使用 get-sample 方法來擷取特定樣本。您可以使用樣本檔案的 MD5、SHA-1 或 SHA-256 雜湊做為

搜尋雜詢。
URL https://wildfire.paloaltonetworks.com/publicapi/get/sample
方法 POST

傳回 200 OK 表示成功並將傳回樣本
403 Forbidden 使用權限被拒
404 Not Found 找不到樣本
419 已超過要求樣本配額
420 引數不足
421 引數無效
500 內部錯誤
使用 API 擷取樣本惡意軟體測試檔案 WildFire API
Get-Sample 的範例 API 查詢
下列 cURL 命令使用樣本檔案的 MD5 雜湊示範查詢樣本：

curl -k -F hash=md5hash -F apikey=yourAPIkey
https://wildfire.paloaltonetworks.com/publicapi/get/sample
使用 API 擷取封包擷取 (PCAP)
使用 get-pcap 方法可查詢特定樣本在分析期間所記錄的 PCAP。使用樣本檔案的 MD5、SHA-1 或

SHA-256 雜湊做為搜尋雜詢。或者您也可定義所需的 PCAP 平台來指定應傳回的 PCAP。若未指定
任何平台，此方法將從裁定惡意軟體的工作階段傳回 PCAP。
2014 年 8 月之前上傳的 PCAP 不保證會在未提供平台參數的情況下傳回 PCAP。
下表說明可用的平台參數：
平台 ID 說明
1 Windows XP、Adobe Reader 9.3.3、Office 2003
2 Windows XP、Adobe Reader 9.4.0、Flash 10、Office 2007
3 Windows XP、Adobe Reader 11、Flash 11、Office 2010
4 Windows 7 32 位元、Adobe Reader 11、Flash 11、Office 2010
5 Windows 7 64 位元、Adobe Reader 11、Flash 11、Office 2010
201 Android 2.3、API 10、avd2.3.1
下表說明查詢 PCAP 所需的 API 屬性：

URL https://wildfire.paloaltonetworks.com/publicapi/get/pcap
方法 POST

平台 * 目標分析環境
傳回 200 OK 表示成功並將傳回 PCAP
WildFire API 使用 API 擷取樣本惡意軟體測試檔案

403 Forbidden 使用權限被拒
404 Not Found 找不到 PCAP
419 已超過要求樣本配額
420 引數不足
421 引數無效
500 內部錯誤
* 選用參數
Get-PCAP 的範例 API 查詢
下列 cURL 命令使用樣本檔案的 MD5 雜湊示範查詢 PCAP：

curl -k -F hash=md5hash -F apikey=yourAPIkey -F platform=targetPlatform
https://wildfire.paloaltonetworks.com/publicapi/get/pcap
在 WF-500 設備上使用 WildFire API WildFire API
在 WF-500 設備上使用 WildFire API

若要在 WF-500 設備上使用 WildFire XML API，您必須先在設備上產生 API 金鑰，接著從執行 API
功能的主機電腦使用 API 金鑰。用來尋找設備的 URL 以設備的 FQDN 或 IP 位址為基礎。在您產
生金鑰並擁有用來尋找設備的 URL 之後，接著您即可執行 WildFire Cloud 所支援的所有相同的 API
功能。
下列主題說明如何在設備上管理 API 金鑰，並提供使用 WildFire API 來提交檔案樣本至設備的範例。
 在 WildFire 設備上產生 API 金鑰
 在 WildFire 設備上管理 API 金鑰
 在 WildFire 設備上使用 WildFire API
在 WildFire 設備上產生 API 金鑰
產生 API 金鑰
步驟 1 在 WildFire 設備上產生新的 API 金鑰。 1. 登入 WildFire 設備 CLI

設備支援多達 100 個 API。 2. 使用以下其中一個方法產生 API 金鑰：
最佳做法是不選擇此步驟中的 • 自動產生金鑰：
金鑰值選項，防火牆將自動產 admin@WF-500> create wildfire api-key name
生金鑰。若您手動輸入金鑰， key-name
金鑰值必須為您隨機選擇的 64
例如，若要建立名稱為 my-api-key 的金鑰：
個字母字元 (a-z) 或數字 (0-9)。
admin@WF-500> create wildfire api-key name
my-api-key
• 若要手動建立金鑰（其中 key-value 為 64 位元金鑰）：

my-api-key key key-value
例如：
my-api-key key
0377785F3F1A3D2DC6BCF2342730700747FBF4A23BD69F45
5F142494BC43D4A1
步驟 2 檢視您產生的 API 金鑰。檢視所有 API 金鑰：

admin@WF-500> show wildfire api-key all
此命令也會顯示金鑰產生的日期以及上一次使用金鑰的日期。
在此範例中，設備建立了名稱為 my-api-key 的下列金鑰：
0377785F3F1A3D2DC6BCF2342730700747FBF4A23BD69F455F1424
94BC43D4A1
WildFire API 在 WF-500 設備上使用 WildFire API
在 WildFire 設備上管理 API 金鑰
本節說明一些您在設備上管理 WildFire API 金鑰時可使用的實用命令，並說明如何匯出及匯入金

鑰。例如，您可能需要匯出所有金鑰以作為備份，或者讓您更輕鬆地從使用 API 執行多種設備功
能的系統存取金鑰。
管理 API 金鑰
• 使用下列命令來暫時停用 API 金鑰、啟用 • 停用或啟用 API 金鑰：

金鑰或刪除不再使用的金鑰。 admin@WF-500> edit wildfire api-key status [disable |
enable] key api-key
例如，若要停用此範例中使用的金鑰：
admin@WF-500> edit wildfire api-key status disable key
494BC43D4A1
在上方命令中，您可以輸入金鑰的前幾個唯一數
字，接著按下 Tab 鍵以填入剩餘的數字。
• 刪除 API 金鑰：
admin@WF-500> delete wildfire api-key key api-key
例如：
admin@WF-500> delete wildfire api-key key
94BC43D4A1
管理 API 金鑰（續）
• 使用下列命令來使用安全複製 (SCP) 功能將 • 將所有 API 金鑰儲存至檔案以準備匯出金鑰：

API 金鑰從設備匯入或匯出。 admin@WF-500# save wildfire api-key to filename
例如：
admin@WF-500> save wildfire api-key to my-api-keys
使用安全複製功能將 API 金鑰安全複製到已啟用此功能的
伺服器：
admin@WF-500> scp export wildfire-api-keys to
username@host:path
例如：
admin@WF-500> scp export wildfire-api-keys to
bart@10.10.10.5:c:/scp/
您也可以將 API 金鑰匯入已啟用安全複製功能的伺服器：
admin@WF-500> scp import wildfire-api-keys from
bart@10.10.10.5:c:/scp/my-api-keys
• 在匯入 API 金鑰之後，您必須載入金鑰：

admin@WF-500# load wildfire api-key mode [merge |
replace] from my-api-keys
若您不選擇模式選項，預設行為將合併新的金鑰。若要在
設備上取代所有 API 金鑰，請使用取代選項。例如，若要
取代所有 API 金鑰，請輸入命令：
admin@WF-500# load wildfire api-key mode replace from
my-api-keys
• 確認金鑰已載入：
admin@WF-500> show wildfire api-keys all
在 WildFire 設備上使用 WildFire API
下列工作流程說明如何使用 WildFire API 將樣本檔案提交到 WF-500 設備以進行分析。了解此工作

流程說明的基礎概念後，您即可使用 WildFire Cloud 上的任何 API 功能。請參閱 WildFire API 以取
得其他以 WildFire Cloud 為基礎的 WildFire API 範例連結。這些功能相同，但在使用 WF-500 設備的
情況下，您將使用設備所產生的 API 金鑰以及設備的 URL。
此工作流程需要安裝 cURL 命令列工具的主機電腦。您將使用 URL 語法，從主機電腦傳送檔案

至 WildFire 設備。
WildFire API 在 WF-500 設備上使用 WildFire API
使用 WildFire API 提交檔案樣本
步驟 1 針對將在 WildFire 設備上執行 API 功能的主機電腦產生 WildFire API 金鑰。如需詳細資訊，請參閱

在 WildFire 設備上產生 API 金鑰。
1. 在 WildFire 設備上存取 CLI，然後產生 API 金鑰：
admin@WF-500> create wildfire api-key name my-api-key
2. 檢視 API 金鑰：
admin@WF-500> show wildfire api-key all
3. 請確定金鑰狀態為「已啟用」，然後反白並複製金鑰。下列螢幕擷取畫面顯示名為 my-api-key 的
範例 API 金鑰。
步驟 2 使用您產生的 API 金鑰將樣本檔案提交到 WildFire 設備。

1. 將樣本檔案放進可從已安裝 cURL 命令列工具之主機電腦存取的資料夾，並記下樣本檔案的路徑。
2. 使用 cURL 提交檔案：
curl -k -F apikey=your-API-key -F file=@local-file-path --remote-name
https://WF-appliance-IP/publicapi/submit/file
語法會因您使用的主機而有所不同。下列範例說明使用 Linux 主機及 Windows 主機的語法。
從 Linux 主機：
curl -k -F apikey=87C142CB01CA5BEBE06E226A25C0A473B34050B617073E21E8F1A6BCB8C5C387 -F
file=@test-wf-api.docx --remote-name https://10.3.4.99/publicapi/submit/file
從 Windows 主機（唯一的差別為 @ 符號後的檔案路徑）：
curl -k -F apikey=87C142CB01CA5BEBE06E226A25C0A473B34050B617073E21E8F1A6BCB8C5C387 -F
file=@c://scp/test-wf-api.docx --remote-name https://10.3.4.99/publicapi/submit/file
3. 確定 API 已成功將檔案提交到 WildFire 設備。若要檢視最近提交至設備的樣本清單：
admin@WF-500> show wildfire latest samples
下列螢幕擷取畫面顯示 test-wf-api.docx 樣本檔案已成功提交至設備：
若設備未顯示樣本檔案，請確認主機電腦和設備間是否具有連線能力，接著確認資料夾 / 檔案路徑是否正
確。您也可以執行 show wildfire status （狀態應顯示為 Idle）和 show wildfire statistics 來確認設備
已準備好分析檔案。如需疑難排解的詳細資訊，請參閱 Palo Alto Networks WildFire 管理者指南。
WildFire 設備軟體 CLI 參考
本節說明 WF-500 設備軟體特有的 CLI 命令。所有其他的命令（例如設定介面、交付設定及設定系
統資訊等）與 PAN-OS 相同，也以階層方式顯示。如需 PAN-OS 命令的相關資訊，請參閱《Palo
Alto Networks PAN-OS 命令行參考指南》。
 WildFire 設備軟體 CLI 概念
 WildFire CLI 命令模式
 存取 CLI
 使用 CLI
 設定模式命令參考
 操作模式命令參考
WildFire 設備軟體 CLI 概念 WildFire 設備軟體 CLI 參考
WildFire 設備軟體 CLI 概念

本節介紹與說明如何使用 WildFire 設備軟體命令列介面 (CLI)：
 WildFire 設備軟體 CLI 結構
 WildFire 設備軟體 CLI 命令慣例
 WildFire 設備 CLI 命令訊息
 命令選項符號
 權限等級
WildFire 設備軟體 CLI 結構
WildFire 設備軟體 CLI 用於管理設備。CLI 是設備的唯一介面，可用來檢視狀態與設定資訊，以及

修改設備設定。透過 SSH 或直接使用主控台連接埠存取主控台，即可存取 WildFire 設備軟體
CLI。
WildFire 設備軟體 CLI 以兩種模式運作：
 操作模式 — 檢視系統狀態、導覽至 WildFire 設備軟體 CLI，及進入設定模式。
 設定模式 — 檢視與修改設定階層。
WildFire 設備軟體 CLI 命令慣例
基本的命令提示併入設備的使用者名稱與主機：
username@hostname>
例如：
admin@WF-500>
進入設定模式後，提示會從 > 變更為 #：

username@hostname>（操作模式）
username@hostname> configure
Entering configuration mode
[edit]
username@hostname# （設定模式）
在設定模式中，目前的階層內容會顯示在命令發出時以方括號所顯示的 [edit...] 橫幅旁。
WildFire 設備軟體 CLI 參考 WildFire 設備軟體 CLI 概念
WildFire 設備 CLI 命令訊息
訊息會在命令發出時顯示。訊息會提供內容資訊，並協助更正無效的命令。在下列範例中，訊息
以粗體顯示。
例如：未知命令
username@hostname# application-group
Unknown command: application-group
[edit network]
username@hostname#
例如：變更模式
username@hostname# exit
Exiting configuration mode
username@hostname>
例如：無效的語法
username@hostname> debug 17
Unrecognized command
Invalid syntax.
username@hostname>
CLI 會檢查每個命令的語法。如果語法正確，它會執行命令，候選階層的變更則會記錄下來。如
果語法不正確，便會顯示無效的語法訊息，如以下範例所示：
username@hostname# set deviceconfig setting wildfire cloud-intelligence
submit-sample yes
Unrecognized command
Invalid syntax.
[edit]
username@hostname#
命令選項符號
選項前面的符號可提供有關命令語法的額外資訊。
符號說明
* 此選項為必要。
> 此命令有額外的巢狀選項。
+ 此命令在此層級有額外的命令選項。
| 有選項可指定以「例外值」或「符合值」限制命令。
WildFire 設備軟體 CLI 概念 WildFire 設備軟體 CLI 參考
符號說明
““ 雖然雙引號不是命令選項符號，但在 CLI 命令中輸入多字詞時仍

必須使用。例如，若要建立名為 Test Group 的位址群組，並將名
稱為 user1 的使用者新增至此群組，您必須在群組名稱前後加上
雙引號，如下所示：
set address-group “Test Group” user1.
如果您沒有在群組名稱前後加上雙引號，則 CLI 會將 Test 這個字

解譯為群組名稱，將 Group 解譯為使用者名稱，並會顯示如下的
錯誤：“test is not a valid name”.
單引號在此範例中也為無效。
下列範例顯示如何使用這些符號。
例如：在下列命令中，from 為必要關鍵字：
username@hostname> scp import configuration ?
+ remote-port SSH port number on remote host
* from Source (username@host:path)
username@hostname> scp import configuration
例如：This command output shows options designated with + and >.
username@hostname# set rulebase security rules rule1 ?
+ action action
+ application application
+ destination destination
+ disabled disabled
+ from from
+ log-end log-end
+ log-setting log-setting
+ log-start log-start
+ negate-destination negate-destination
+ negate-source negate-source
+ schedule schedule
+ service service
+ source source
+ to to
> profiles profiles
<Enter> Finish input
[edit]
username@hostname# set rulebase security rules rule1
每個有 + 的選項皆可新增至此命令。
WildFire 設備軟體 CLI 參考 WildFire 設備軟體 CLI 概念
設定檔關鍵字（有 >）有額外的選項：
username@hostname# set rulebase security rules rule1 profiles ?
+ virus Help string for virus
+ spyware Help string for spyware
+ vulnerability Help string for vulnerability
+ group Help string for group
<Enter> Finish input
[edit]
username@hostname# set rulebase security rules rule1 profiles
權限等級
權限等級將決定使用者所能排除的命令以及所能檢視的資訊。
層級說明
superreader 具備設備的完整唯讀存取權。
superuser 具備設備的完整讀寫存取權。
WildFire CLI 命令模式 WildFire 設備軟體 CLI 參考
WildFire CLI 命令模式

本節說明用於與 WildFire 設備軟體 CLI 互動的模式：
 設定模式
 操作模式
設定模式
在設定模式中輸入命令以修改候選設定。修改後的候選設定會儲存於設備記憶體，並在設備執行
時予以維護。
每個設定命令皆與動作有關，並也包含關鍵字、選項與值。
本節說明設定模式與設定階層：
 設定模式命令用法
 設定階層
 導覽階層
設定模式命令用法
使用下列命令可儲存與套用設定變更：
 save — 將候選設定儲存在設備上的非揮發性儲存體。所儲存的設定會予以保留，直到遭到後
續的 save 命令覆寫為止。請注意，此命令不會讓設定生效。
 commit — 將候選設定套用至設備。交付的設定會變成設備的使用中設定。
 set — 變更候選設定中的值。
 load — 將最後儲存的設定或指定的設定指定為候選設定。
若現有設定模式尚未發出 save 或 commit 命令，設備斷電時可能失去所變更的設定。
WildFire 設備軟體 CLI 參考 WildFire CLI 命令模式
與傳統的 CLI 架構相比，維護候選設定並將儲存步驟與交付步驟分開，可提供數項重要的優點：
 區分儲存與提交概念可同時進行多項變更，並減少系統弱點。
 可針對類似的功能調整命令。例如，設定兩個 Ethernet 介面時，每個介面的 IP 位址不同，您可以

先編輯第一個介面的設定、複製命令、僅修改介面與 IP 位址，然後將變更套用到第二個介面。
 命令結構始終一致。
由於候選設定始終是唯一的設定，因此對候選設定的所有授權變更將與彼此一致。
設定階層
設備的設定是以階層式結構加以組織。若要顯示目前層級的區段，請使用 show 命令。輸入 show

可顯示完整的階層，輸入 show 與關鍵字則可顯示階層的區段。例如，從設定模式的最上層執行
show 命令時，會顯示完整的設定。執行 edit mgt-config 命令並輸入 show，或者僅執行 show
mgt-config，均只會顯示階層的 mgt-config 部分。
階層路徑
輸入命令時，會透過階層追蹤路徑，如下所示：
例如，下列命令會為設備指定主要 DNS 伺服器 10.0.0.246：

[edit]
username@hostname# set deviceconfig system dns-setting servers primary
10.0.0.246
此命令會在階層中及下列 show 命令的輸出中產生新的元素：
[edit]
username@hostname# show deviceconfig system dns-settings
dns-setting {
servers {
primary 10.0.0.246
}
}
[edit]
username@hostname#

WildFire 設備軟體 CLI 參考 WildFire CLI 命令模式
導覽階層
設定模式命令提示列下方顯示的 [edit...] 橫幅會顯示目前的階層內容。

[edit]
表示相關內容為階層的最上層，而
[edit deviceconfig]
表示相關內容在 deviceconfig 層級。

使用所列的命令在整個設定階層內導覽。
層級說明
edit 設定命令階層內的設定內容。
上將內容變更為階層中的上一層。
top 將內容變更為階層中的最高層。
使用 up 命令與 top 命令後所發出的 set 命令會從新的內容開始。

操作模式
首次登入裝置時，WildFire 設備軟體 CLI 會以操作模式開啟。操作模式命令與立即執行的動作有

關，不涉及變更設定，也不需要儲存或交付。
操作模式命令有數種類型：
 網路存取 — 對另一個主機開啟視窗。支援 SSH。
 監視與疑難排解 — 執行診斷與分析。包含 debug 與 ping 命令。
 顯示命令 — 顯示或清除目前資訊。包含 clear 與 show 命令。
 WildFire 設備軟體 CLI 導覽命令 — 進入設定模式或離開 WildFire 設備軟體 CLI。包含 configure、

exit 及 quit 命令。
 系統命令 — 提出系統層級要求或重新啟動。包含 set 與 request 命令。

WildFire 設備軟體 CLI 參考存取 CLI
存取 CLI
本節說明如何存取及開始使用 WildFire 設備軟體 CLI：
 建立直接主控台連線
 建立 SSH 連線
建立直接主控台連線
如需直接連線主控台，請使用下列設定：
 資料範圍：9600
 資料位元：8
 同位檢查：無
 停止位元：1
 流量控制：None
建立 SSH 連線
若要存取 WildFire 設備軟體 CLI：
啟動 WildFire CLI
1. 使用終端機模擬軟體建立與 WF-500 設備的 SSH 主控台連線。
2. 輸入管理使用者名稱。預設值為 admin。
3. 輸入管理密碼。預設值為 admin。
WildFire 設備軟體 CLI 以操作模式開啟，並顯示 CLI 提示：
username@hostname>

使用 CLI WildFire 設備軟體 CLI 參考
使用 CLI
 存取操作與設定模式
 顯示 WildFire 設備軟體 CLI 命令選項
 限制命令輸出
 為設定命令設定輸出格式
存取操作與設定模式
登入時，WildFire 設備軟體 CLI 會以操作模式開啟。您可以隨時在操作模式與設定模式之間導覽。
 若要從操作模式進入設定模式，請使用 configure 命令：

username@hostname> configure
Entering configuration mode
[edit]
username@hostname#
 若要離開設定模式並返回操作模式，請使用 quit 或 exit 命令：

username@hostname# quit
Exiting configuration mode
username@hostname>
若要在設定模式進行時進入操作模式，請使用 run 命令。例如，若要顯示設定模式的系統資源，
請使用 run show system resources。
顯示 WildFire 設備軟體 CLI 命令選項
使用 ?（或 Meta-H）以根據內容顯示命令選項清單：
 若要顯示操作命令清單，請在命令提示中輸入 ?。
username@hostname> ?
clear Clear runtime parameters
configure Manipulate software configuration information
debug Debug and diagnose
exit Exit this session
grep Searches file for lines containing a pattern match
less Examine debug file content
ping Ping hosts and networks
quit Exit this session
request Make system-level requests
scp Use ssh to copy file to another host
set Set operational parameters
show Show operational parameters
ssh Start a secure shell to another host
tail Print the last 10 lines of debug file content
username@hostname>

WildFire 設備軟體 CLI 參考使用 CLI
 若要顯示所指定命令的可用選項，請在該命令後加上 ?。
例如：
username@hostname> ping ?
+ bypass-routing Bypass routing table, use specified interface
+ count Number of requests to send (1..2000000000 packets)
+ do-not-fragment Don't fragment echo request packets (IPv4)
+ inet Force to IPv4 destination
+ interface Source interface (multicast, all-ones, unrouted packets)
+ interval Delay between requests (seconds)
+ no-resolve Don't attempt to print addresses symbolically
+ pattern Hexadecimal fill pattern
+ record-route Record and report packet's path (IPv4)
+ size Size of request packets (0..65468 bytes)
+ source Source address of echo request
+ tos IP type-of-service value (0..255)
+ ttl IP time-to-live value (IPv6 hop-limit value) (0..255 hops)
+ verbose Display detailed output
+ wait Delay after sending last packet (seconds)
<host> Hostname or IP address of remote host
限制命令輸出
某些操作命令包含可限制顯示輸出的選項。若要限制輸出，請輸入直立線符號，後面加上

except 或 match 及要排除或包含的值：
例如：
以下為 show system info 命令輸出範例：
username@hostname> show system info
hostname: WF-500
ip-address: 192.168.2.20
netmask: 255.255.255.0
default-gateway: 192.168.2.1
mac-address: 00:25:90:95:84:76
vm-interface-ip-address: 10.16.0.20
vm-interface-netmask: 255.255.252.0
vm-interface-default-gateway: 10.16.0.1
vm-interface-dns-server: 10.0.0.247
time: Mon Apr 15 13:31:39 2013
uptime: 0 days, 0:02:35
family: m
model: WF-500
serial: 009707000118
sw-version: 5.1.0
logdb-version: 5.0.2
platform-family: m
username@hostname>

使用 CLI WildFire 設備軟體 CLI 參考
下列範例僅顯示系統型號資訊：
username@hostname> show system info | match model

model: WF-500
username@hostname>
為設定命令設定輸出格式
在操作模式中使用 set cli config-output-format 命令變更設定命令的輸出格式。選項包括預設格式

json (JavaScript Object Notation)、集格式及 XML 格式。預設格式是階層格式，設定區段在此格式中
會縮排，並以大括號括住。

WildFire 設備軟體 CLI 參考設定模式命令參考
設定模式命令參考
本節包含下列 WF-500 設備軟體所特有設定模式命令參考資訊。為 WildFire 設備軟體一部分的所有
其他命令則與 PAN-OS 相同，如《Palo Alto Networks PAN-OS 命令行參考指南》中所述。
 set deviceconfig setting wildfire
 set deviceconfig system update-schedule
 set deviceconfig system vm-interface
set deviceconfig setting wildfire
說明
在 WF-500 設備上進行 WildFire 設定。您可以設定轉送惡意軟體檔案、定義接收遭惡意軟體感染檔

案的雲端伺服器，以及啟用或停用 vm-interface。
階層位置
set deviceconfig settings
語法
wildfire {
active-vm;
cloud-server <value>;
vm-network-enable {no | yes};
vm-network-use-tor {enable | disable};
cloud-intelligence {
submit-report {no | yes};
submit-sample {no | yes};
signature-generation {
av {no | yes};
dns {no | yes};
url {no | yes};
{
{
{

設定模式命令參考 WildFire 設備軟體 CLI 參考
選項
+ active-vm — 選取 WildFire 將用於分析樣本的虛擬電腦環境。每個 vm 具備不同設定，例如

Windows XP、特定版本的 Flash、Adobe reader 等。若要檢視所選取的 VM，請執行下列命令：
admin@WF-500> show wildfire status 並檢視 [ 選取的 VM] 欄位。若要檢視 VM 環境資訊，請
執行下列命令：admin@WF-500> show wildfire vm-images。
+ cloud-server — 設備將轉送惡意樣本 / 報告到該處以重新分析的雲端伺服器主機名稱。預設的雲端
伺服器是 wildfire-public-cloud。若要設定轉送，請使用下列命令：set deviceconfig
setting wildfire cloud-intelligence。
+ vm-network-enable — 啟用或停用 vm-network。啟用之後，在虛擬電腦沙箱中執行的樣本檔案即
可存取網際網路。這可協助 WildFire 進一步分析惡意軟體的行為以尋找秘密回報活動之類的情況。
+ vm-network-use-tor — 啟用或停用 vm-interface 的 Tor 網路。此選項啟用時，任何來自
WF-500 沙箱系統的惡意流量會在樣本分析期間透過 Tor 網路傳送。Tor 網路會將您的公開 IP 位址加
上遮罩，讓惡意網站的擁有人無法判定流量來源。
+ cloud-intelligence — 設定設備，使其將 WildFire 報告或樣本提交至 Palo Alto Networks
WildFire Cloud。提交報告選項將會傳送惡意樣本的報告到雲端以進行統計收集。提交樣本選項將會傳
送惡意樣本到雲端。若已啟用 submit-sample，則無須啟用 submit-report，因為樣本會在雲端重新
分析，且會在樣本為惡意的情況下收集新報告和特徵碼。
+ signature-generation — 讓設備在本機產生特徵碼，不需再將資料傳送至公共雲端，也能封鎖惡
意內容。WF-500 設備將針對由 Palo Alto Networks 防火牆或 WildFire API 轉送而來的檔案進
行分析，並產生能夠封鎖惡意檔案、相關命令和控制流量的防毒特徵碼及 DNS 特徵碼。當設備偵測到惡
意 URL 時，它會傳送 URL 至 PAN-DB，而 PAN-DB 會將其指派至惡意軟體類別。
範例輸出
以下為 WildFire 設定的輸出範例。

admin@WF-500# show deviceconfig setting wildfire
wildfire {
active-vm vm-5;
cloud-intelligence {
submit-sample yes;
submit-report no;
}
cloud-server wildfire-public-cloud;
signature-generation {
av yes;
dns yes;
url yes;
}
}

需要權限層級
 superuser, deviceadmin
set deviceconfig system update-schedule
說明
在 WF-500 設備上排程內容更新。這些內容更新會為設備配備最新的威脅資訊，以精確偵測惡意軟
體並提升設備區分惡意及良性軟體的能力。
階層位置
set deviceconfig system update-schedule
語法
wf-content recurring {
daily at <value> action {download-and-install | download-only};
weekly {
action {download-and-install | download-only};
at <value>;
day-of-week {friday | monday | saturday | sunday | thursday | tuesday | wednesday};
}
}
選項
> wf-content — WF-500 內容更新

> daily — 每天排程更新
+ action — 指定要採取的動作。您可以為設備排定下載並安裝更新，或者下載後手動安裝
+ at — 時間規格 hh:mm（例如 20:10）
> hourly — 每小時排程更新
+ at — 小時之後的分鐘數
> weekly — 每週排程更新
+ at — 時間規格 hh:mm（例如 20:10）
+ day-of-week — 每週的某日（星期五、星期一、星期六、星期日、星期四、星期二、星期三）

設定模式命令參考 WildFire 設備軟體 CLI 參考
範例輸出
admin@WF-500# show
update-schedule {
wf-content {
recurring {
weekly {
at 19:00;
action download-and-install;
day-of-week friday;
}
}
}
}
需要權限層級
superuser, deviceadmin
set deviceconfig system vm-interface
說明
在 WF-500 設備虛擬電腦沙箱上執行的惡意軟體使用 vm-interface 來存取網際網路。建議啟動此連

接埠，這可在惡意軟體存取網際網路以從事回撥或其他活動時，幫助 WildFire 進一步識別惡意活
動。此介面具備網際網路的隔離連線是相當重要的。如需詳細資訊，請參閱在 WF-500 設備上設定
虛擬電腦介面。
設定 vm-interface 後，可透過執行下列命令予以啟用：
set deviceconfig setting wildfire vm-network-enable yes
階層位置
set deviceconfig system

語法
set vm-interface {
default-gateway <ip_address>;
dns-server <ip_address>;
ip-address <ip_address>;
link-state;
mtu;
netmask <ip_address>;
speed-duplex;
{
選項
admin@WF-500# set vm-interface

+ default-gateway — VM 介面的預設閘道
+ dns-server — VM 介面的 DNS 伺服器
+ ip-address — VM 介面的 IP 位址
+ link-state — 將連結狀態設定為正常或失效
+ mtu — VM 介面的最大傳輸單位
+ netmask — VM 介面的 IP 網路遮罩
+ speed-duplex — VM 介面的速度和雙工
範例輸出
下列為設定的 vm-interface。
vm-interface {
ip-address 10.16.0.20;
netmask 255.255.252.0;
default-gateway 10.16.0.1;
dns-server 10.0.0.246;
}
需要權限層級

操作模式命令參考 WildFire 設備軟體 CLI 參考
操作模式命令參考
本節包含下列 WF-500 設備軟體所特有操作模式命令的參考資訊。為 WildFire 設備軟體一部分的所
有其他命令則與 PAN-OS 相同，請參閱《Palo Alto Networks PAN-OS 命令行參考指南》以取得這些
命令的資訊。
 create wildfire api-key
 delete wildfire api-key
 delete wildfire-metadata
 edit wildfire api-key
 load wildfire api-key
 request system raid
 request system wildfire-vm-image
 request wf-content
 save wildfire api-key
 set wildfire portal-admin
 show system raid
 show wildfire
 測試 wildfire 登錄
create wildfire api-key
說明
在您將在外部系統上使用的 WF-500 設備上建立 API 金鑰，以提交樣本至設備、查詢報告，或從設

備擷取樣本及封包擷取 (PCAPS)。
語法
create {
wildfire {
api-key {
key <value>;
name <value>;
{
{
{

WildFire 設備軟體 CLI 參考操作模式命令參考
選項
+ key — 手動輸入金鑰值來建立 API 金鑰。金鑰值必須為 64 個字母字元 (a-z) 或數字 (0-9)。

如果您未指定金鑰選項，則設備會自動產生金鑰。
+ name — 選擇性輸入 API 金鑰的名稱。API 金鑰名稱僅會用來標示金鑰，以便輕鬆找到針對特定用途
指派的金鑰，且不會影響金鑰的功能。
範例輸出
下列輸入顯示設備擁有三個 API 金鑰，而其中一個金鑰名為 my-api-key。

+------------------------------------------------------------------+------------
----+---------+---------------------+---------------------+
| Apikey | Name
| Status | Create Time | Last Used Time |
+------------------------------------------------------------------+------------
----+---------+---------------------+---------------------+
| C625DE87CBFB6EF0B1A8183A74AB5B61287F7F63B6E14E2FFC704AABF5640D62 | my-api-key
| Enabled | 2014-06-24 16:38:50 | |
| D414CC910E93E9E05942A5E6F94DA36777B444543E71761CF5E9ACFA547F7D6F |
| Enabled | 2014-06-25 09:05:30 | 2014-06-26 14:49:35 |
| 73585ACAFEC0109CB65EB944B8DFC0B341B9B73A6FA7F43AA9862CAD47D0884C |
| Enabled | 2014/8/4 下午 05:00:42 | |
+------------------------------------------------------------------+------------
----+---------+---------------------+---------------------+
需要權限層級
delete wildfire api-key
說明
將 API 金鑰從 WildFire 設備刪除。當您刪除金鑰之後，設定為使用 API 在設備上執行 API 功能的

系統將無法再存取設備。
語法
delete {
wildfire {
api-key {
key <value>;
{
{
{

選項
+ key <value> — 您想刪除之金鑰的金鑰值。若要檢視 API 金鑰清單，請執行下列命令：

範例輸出
admin@WF-500> delete wildfire api-key key

A0418F8EADABA4C78CD3106D71147321462C5AA085B2979136447B1EC334655A
APIKey A0418F8EADABA4C78CD3106D71147321462C5AA085B2979136447B1EC334655A
deleted
需要權限層級
delete wildfire-metadata
說明
在 WF-500 設備上刪除內容更新。如需內容更新及如何安裝的詳細資訊，請參閱 request wf-content。
語法
delete {
wildfire-metadata update <value>;
{
選項
+ update <value> — 定義您想刪除的內容更新。

範例輸出
接下來的輸出顯示刪除名為 panup-all-wfmeta-2-181.candidate.tgz 的更新。

admin@WF-500> delete wildfire-metadata update panup-all-wfmeta-2-181.candidate.tgz
successfully removed panup-all-wfmeta-2-181.candidate.tgz
需要權限層級
edit wildfire api-key
說明
在 WF-500 設備上修改 API 金鑰名稱或金鑰狀態（已啟用 / 已停用）。
語法
edit {
wildfire {
api-key [name | status] key <value>;
{
{
選項
+ name — 變更 API 金鑰名稱

+ status — 啟用或停用 API 金鑰
* key — 指定要修改的金鑰

範例輸出
此命令中的金鑰值為必要。例如，若要將名為 stu 的金鑰名稱變更為 stu-key1，請輸入下列命令：
在下列命令中，您無須輸入舊的金鑰名稱；輸入新的金鑰名稱即可。
admin@WF-500> edit wildfire api-key name stu-key1 key

B870210A6BDF2615D5A40B2DE515A6F5E66186BE28E4FFAC4405F22E83329288
若要將 stu-key1 的狀態變更為停用，請輸入下列命令：

admin@WF-500> edit wildfire api-key status disable key
B870210A6BDF2615D5A40B2DE515A6F5E66186BE28E4FFAC4405F22E83329288
顯示 stu-key1 已停用的範例輸出：
+------------------------------------------------------------------+----------+----------+---------------------
+---------------------+
| Apikey | Name | Status | Create Time |
Last Used Time |
+------------------------------------------------------------------+----------+----------+---------------------
+---------------------+
|
| B870210A6BDF2615D5A40B2DE515A6F5E66186BE28E4FFAC4405F22E83329288 | stu-key1 | Disabled | 2014-08-21 07:23:34 |
|
+------------------------------------------------------------------+----------+----------+---------------------
+---------------------+
需要權限層級
load wildfire api-key
說明
將 API 金鑰匯入 WF-500 設備之後，您必須使用載入命令讓此金鑰可供使用。使用此命令來取代所

有現有的 API 金鑰，或者您可將匯入檔案中的金鑰與現有的金鑰資料庫合併。
語法
load {
wildfire {
from <value> mode [merge | replace];
{
{

選項
* from — 指定您想匯入的 API 金鑰檔案名稱。金鑰檔案使用 .keys 副檔名。例如，

my-api-keys.keys。若要檢視可匯入的金鑰清單，請輸入下列命令：
admin@WF-500> load wildfire api-key from ?
+ mode — 選擇性輸入匯入模式（合併 / 取代）。例如，若要以新金鑰檔案的內容取代設備上的金鑰資料
庫，請輸入下列命令：
admin@WF-500> load wildfire api-key mode replace from my-api-keys.keys
若您不指定 mode 選項，預設動作將合併金鑰。
需要權限層級
request system raid
說明
使用此選項可管理安裝在 WildFire 設備中的 RAID 配對。WF-500 設備在前四個磁碟機擴充插槽

(A1、A2、B1、B2) 中隨附四個磁碟機。磁碟機 A1 與 A2 是 RAID 1 配對，磁碟機 B1 與 B2 是第二
個 RAID 1 配對。
階層位置
request system
語法
raid {
remove <value>;
OR...
copy {
from <value>;
to <value>;
}
OR...
add {

選項
> add Add a drive into the corresponding RAID Disk Pair
> copy Copy and migrate from one drive to other drive in the bay
> remove drive to remove from RAID Disk Pair
範例輸出
以下輸出為 RAID 設定正確的 WildFire WF-500 設備。

admin@WF-500> show system raid
Disk Pair A Available

Disk id A1 Present
Disk id A2 Present
Disk Pair B Available
Disk id B1 Present
Disk id B2 Present
需要權限層級
request system wildfire-vm-image
在用來分析檔案的 WF-500 設備虛擬電腦 (VM) 沙箱影像檔上執行升級。若要從 Palo Alto Networks

更新伺服器擷取新的 VM 影像檔，您必須先手動下載影像檔，將它放在啟用 SCP 的伺服器上，接
著使用 SCP 用戶端從設備擷取影像檔。將影像檔下載到設備之後，您可以使用此命令來安裝。
階層位置
request system

語法
request {
system {
wildfire-vm-image {
upgrade install file <value>;
}
}
}
選項
> wildfire-vm-image — 安裝虛擬電腦 (VM) 影像檔。

+ upgrade install file — 執行 VM 影像檔升級。在檔案選項後輸入 ? 來檢視可用的 VM 影像檔清單。
例如，執行下列命令以列出可用的影像檔：admin@WF-500> request system wildfire-vm-image
upgrade install file ?
範例輸出
若要列出可用的 VM 影像檔，請執行下列命令：
admin@WF-500> request system wildfire-vm-image upgrade install file ?
若要安裝 VM 影像檔（在本範例中為 Windows 7 64 位元），請執行下列命令：

admin@WF-500> request system wildfire-vm-image upgrade install
WFWin7_64Base_m-1.0.0_64base
需要權限層級
request wf-content
在 WF-500 設備上執行內容更新。這些內容更新會為設備配備最新的威脅資訊，以精確偵測惡意軟
體並提升設備區分惡意及良性軟體的能力。若要排程內容更新以自動安裝，請參閱 set deviceconfig
system update-schedule，若要在 WF-500 上刪除內容更新，請參閱 delete wildfire-metadata。
階層位置
request

語法
request wf-content
{
downgrade install {previous | <value>};
升級
{
check
download latest
info
install {
file <filename>
version latest;
}
}
}
選項
> downgrade — 安裝先前的內容版本。使用先前的選項來安裝之前安裝的內容套件，或輸入值以降級為

特定內容套件號碼。
> upgrade — 執行內容升級功能
> check — 從 Palo Alto Networks 更新伺服器上取得可用內容套件的資訊
> download — 下載內容套件
> info — 顯示可用內容套件的相關資訊
> install — 安裝內容套件
> file — 指定包含內容套件的檔案名稱
> version — 根據內容套件的版本號碼下載或升級
範例輸出
若要列出可用的內容更新，請執行下列命令：
admin@WF-500> request wf-content upgrade check
Version Size Released on Downloaded Installed

-------------------------------------------------------------------------
2-217 58MB 2014/07/29 13:04:55 PDT yes current
2-188 58MB 2014/07/01 13:04:48 PDT yes previous
2-221 59MB 2014/08/02 13:04:55 PDT no no
需要權限層級

save wildfire api-key
說明
使用儲存命令將 WF-500 設備上的所有 API 金鑰儲存至檔案。您接著可以匯出金鑰檔案以進行備

份，或大量修改金鑰。如需在 WF-500 設備上使用 WildFire API 的詳細資料，請參閱關於 WildFire
使用授權及 API 金鑰。
階層位置
save
語法
save {
wildfire {
api-key to <value>;
{
{
選項
* to — 輸入金鑰匯出的檔案名稱。例如，若要將 WF-500 上的所有 API 金鑰匯出到名為 my-wf-keys

的檔案，請輸入下列命令：
admin@WF-500> save wildfire api-key to my-wf-keys
需要權限層級
set wildfire portal-admin
說明
設定入口網站管理帳戶密碼，管理員將使用此密碼來檢視由 WF-500 設備產生的 WildFire 分析報

告。在防火牆上檢視報告或從 Panorama 監控 > WildFire 提交 > 檢視 WildFire 報告中檢視報告時需
要帳戶名稱（管理員）及密碼。預設的使用者名稱和密碼是 admin/admin。
入口網站管理員帳戶是您在設備上設定以從防火牆或 Panorama 檢視報告的唯一一個帳戶。您無

法建立新帳戶或變更帳戶名稱。這是用來管理設備所用的同一個管理員帳戶。

階層位置
set wildfire
語法
set {
wildfire {
portal-admin {
password <value>;
}
}
範例輸出
以下為此命令的輸出。
admin@WF-500> set wildfire portal-admin password
Enter password:
Confirm password:
需要權限層級
show system raid
說明
顯示設備的 RAID 設定。WF-500 設備在前四個磁碟機擴充插槽 (A1、A2、B1、B2) 中隨附四個磁

碟機。磁碟機 A1 與 A2 是 RAID 1 配對，磁碟機 B1 與 B2 是第二個 RAID 1 配對。
階層位置
show system

語法
raid {
detail;
{
選項
無額外的選項。
範例輸出
以下顯示運作中 WF-500 設備的 RAID 設定。

admin@WF-500> show system raid detail
Disk Pair A Available

Status clean
Disk id A1 Present
model : ST91000640NS
size : 953869 MB
partition_1 : active sync
Disk id A2 Present
size : 953869 MB
Disk Pair B Available
Status clean
Disk id B1 Present
size : 953869 MB
Disk id B2 Present
size : 953869 MB
需要權限層級
superuser, superreader

show wildfire
說明
顯示 WildFire 設備的多種資訊，例如可用的 API 金鑰、註冊資訊、活動、最近設備分析的樣本，

以及選取執行分析的虛擬電腦。
階層位置
show wildfire
語法
api-keys
all {
details;
}
key <value>;
}
last-device-registration all |
latest {
analysis {
filter malicious|benign;
sort-by SHA256|Submit Time|Start Time|Finish Time|Malicious|Status;
sort-direction asc|desc;
limit 1-20000;
days 1-7;
}
OR...
samples {
sort-by SHA256|Create Time|File Name|File Type|File Size|Malicious|Status;
limit 1-20000;
days 1-7;
}
OR...
sessions {
sort-by SHA256|Create Time|Src IP|Src Port|Dst Ip|Dst Port|File|Device
ID|App|Malicious|Status;
limit 1-20000;
days 1-7;
}
OR...
uploads {

sort-by SHA256|Create Time|Finish Time|Status;

limit 1-20000;
days 1-7;
}
sample-status {
sha256 {
equal <value>;
}
}
statistics days <1-31>;
status |
vm-images |
}
選項
admin@WF-500> show wildfire

> api-keys — 顯示在 WF-500 設備上產生的 API 金鑰詳細資料。您可以檢視上次使用金鑰的時間、
金鑰名稱、狀態（啟用或停用），以及產生金鑰的日期 / 時間。
> last-device-registration — 顯示最新的註冊活動。
> latest — 顯示最新的 30 個活動，包括最新的 30 個分析活動、最近分析的 30 個檔案、已分析檔
案和已上載至公共雲端伺服器檔案的網路工作階段資訊。
> sample-status — 顯示 wildfire 樣本狀態。輸入檔案的 SHA 或 MD5 值來檢視目前的分析狀態。
> statistics — 顯示基本 wildfire 統計資料。
> status — 顯示設備狀態以及設定資訊，例如用於分析樣本的虛擬電腦 (VM)、樣本 / 報告是否傳送至
雲端、VM 網路以及註冊資訊。
> vm-images — 顯示用來分析樣本的可用虛擬電腦影像檔的屬性。若要檢視目前使用中的影像檔，請執
行下列命令：admin@WF-500> show wildfire status 並檢視 [ 選取的 VM] 欄位。

範例輸出
以下為此命令的輸出。
+------------------------------------------------------------------+----------------+-
--------+---------------------+---------------------+
| Apikey | Name |
Status | Create Time | Last Used Time |
+------------------------------------------------------------------+----------------+-
--------+---------------------+---------------------+
| C625DE87CBFB6EF0B1A8183A74AB5B61287F7F63B6E14E2FFC704AABF5640D62 | my-api-key-stu |
Enabled | 2014-06-24 16:38:50 | |
| D414CC910E93E9E05942A5E6F94DA36777B444543E71761CF5E9ACFA547F7D6F | |
Enabled | 2014-06-25 09:05:30 | 2014-06-26 14:49:35 |
+------------------------------------------------------------------+----------------+-
--------+---------------------+---------------------+
admin@WF-500> show wildfire last-device-registration all

+--------------+---------------------+-------------+------------+----------+--------+
| Device ID | Last Registered | Device IP | SW Version | HW Model | Status |
+--------------+---------------------+-------------+------------+----------+--------+
| 001606000114 | 2014-07-31 12:35:53 | 10.43.14.24 | 6.1.0-b14 | PA-200 | OK |
+--------------+---------------------+-------------+------------+----------+--------+
admin@WF-500> show wildfire latest

> analysis Show latest 30 analysis
> samples Show latest 30 samples
> sessions Show latest 30 sessions
> uploads Show latest 30 uploads
admin@WF-500> show wildfire sample-status sha256 equal

809bad2d3fbdf1c18ef47ba9c5a0feca691103f094bc8d7e0cbed480870fd78c
Sample information:
+---------------------+---------------------------------------------------------------
+------------------+-----------+-----------+-------------------+
| Create Time | File Name |
File Type | File Size | Malicious | Status |
+---------------------+---------------------------------------------------------------
+------------------+-----------+-----------+-------------------+
| 2014-08-04 11:49:41 | 25047801_20130919175646000_970x66_Adobe_Marketing_RM_AUTO.swf |
Adobe Flash File | 64502 | No | analysis complete |
+---------------------+---------------------------------------------------------------
+------------------+-----------+-----------+-------------------+

Session information:
+---------------------+---------------+----------+--------------+----------+----------
-----------------------------------------------------+--------------+-------+
-----------+-----------+
| Create Time | Src IP | Src Port | Dst IP | Dst Port | File
| Device ID | App |
Malicious | Status |
+---------------------+---------------+----------+--------------+----------+----------
-----------------------------------------------------+--------------+-------+
-----------+-----------+
| 2014-08-04 11:49:41 | 10.10.10.50 | 80 | 192.168.2.10 | 64108 |
25047801_20130919175646000_970x66_Adobe_Marketing_RM_AUTO.swf | 001606000114 | flash |
No | completed |
+---------------------+---------------+----------+--------------+----------+----------
-----------------------------------------------------+--------------+-------+
-----------+-----------+
Analysis information:
+---------------------+---------------------+---------------------+-----------+-------
----------------------------------------------------+-----------+
| Submit Time | Start Time | Finish Time | Malicious | VM Image
| Status |
+---------------------+---------------------+---------------------+-----------+-------
----------------------------------------------------+-----------+
| 2014-08-04 11:49:41 | 2014-08-04 11:49:41 | 2014-08-04 11:56:52 | No | Windows
7 x64 SP1, Adobe Reader 11, Flash 11, Office 2010 | completed |
+---------------------+---------------------+---------------------+-----------+-------
----------------------------------------------------+-----------+
admin@WF-500> show wildfire statistics
Last one hour statistics :

analyzed : 0
pending : 0
malicious : 0
benign : 0
error : 0
uploaded : 0
Last 24 hours statistics :

analyzed : 13
pending : 0
malicious : 0
benign : 13
error : 0
uploaded : 0

Connection info:
Wildfire cloud: s1.wildfire.paloaltonetworks.com
Status: Idle
Submit sample: disabled
Submit report: disabled
Selected VM: vm-5
VM internet connection: disabled
VM network using Tor: disabled
Best server: s1.wildfire.paloaltonetworks.com
Through a proxy: no
需要權限層級
測試 wildfire 登錄
說明
執行測試以確認 WildFire 設備或 Palo Alto Networks 防火牆向 WildFire 伺服器的登錄狀態。如果測試

成功，將顯示 WildFire 伺服器的 IP 位址或伺服器名稱。WildFire 裝置或防火牆需要成功登錄才可
轉送檔案至 WildFire 伺服器。
語法
test {
wildfire {
registration;
}
}
選項
無額外的選項。

範例輸出
以下顯示在能夠與 WildFire 設備通訊的防火牆上的成功輸出。如果這是指向 Palo Alto Networks

WildFire Cloud 的 WildFire 設備，則會在 select the best server: 欄位中顯示其中一個雲端伺
服器的名稱。
Test wildfire
select the best server: ca-s1.wildfire.paloaltonetworks.com
需要權限層級


WildFire_AdminGuide_61-Chinese_Traditional

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

WildFire_AdminGuide_61-Chinese_Traditional

Uploaded by

Copyright:

Available Formats

®

Palo Alto Networks

本指南說明使用和維護 Palo Alto Networks WildFire 功能所需的管理作業。涵蓋的主題包括授權資訊、設定

Palo Alto Networks

GlobalProtect 管理者指南 iii

WildFire 設備軟體 CLI 參考. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93

高階 WildFire 決策工作流程說明檔案下載的工作流程。電子郵件包含的 HTTP/HTTPS 連結分析相

圖：高階 WildFire 決策工作流程

圖：詳細的 WildFire 決策流程

透過 WildFire 和 Palo Alto Networks 的整合解決方案，您即可利用檔案封鎖設定檔來設定防火牆，並

 Email-link — SMTP 和 POP3 電子郵件訊息包含的 HTTP/HTTPS 電子郵件連結。請注意，防火牆

 Flash — 網頁中內嵌的 Adobe Flash applet 和 Flash 內容。

 APK — Android 應用程式套件。WF-500 設備不支援。

 JAR — Java Applet（JAR/Class 檔案類型）。WF-500 設備將分析 Java 內容，但不會產生惡意樣本

 MS-Office — 包括文件 (doc、docx、rtf)、活頁簿 (xls、xlsx) 及 PowerPoint (ppt、pptx)。從內容更

防火牆不需 WildFire 使用授權即可轉送 PE 檔案類型至 WildFire 以進行分析，但需要 WildFire 使用

Palo Alto Networks WildFire 功能的主要優點在於能夠發覺網路流量 (HTTP/HTTPS)、電子郵件通訊協

防火牆不僅會轉送檔案至 WildFire 進行分析，也可擷取 SMTP 和 POP3 電子郵件訊息中包含的

 產生詳細的分析報告並記錄至轉送連結防火牆上的 WildFire 提交日誌。此日誌現在包含電子郵件

 將 URL 新增至 PAN-DB 並將 URL 分類為惡意。

防火牆能夠在偵測到網路出現惡意軟體時，傳送電子郵件警示、系統日誌或 SNMP 陷阱，提供立

對於 WildFire 分析的各個樣本，WildFire 都會在樣本提交後幾分鐘內產生詳細的行為報告。這些報告

Palo Alto Networks 提供樣本惡意軟體系統，可讓您用來測試 WildFire 設定。在您下載檔案並測試設

 您每次存取 URL 時，伺服器都會產生名為 wildfire-test-pe-file.exe 的唯一檔案並開始下載。每個測

 雖然 WildFire 會為測試檔案產生特徵碼，但特徵碼會停用且將不會散佈至 Palo Alto Networks 更新

 WildFire Cloud — 在此部署中，Palo Alto Networks 防火牆會將檔案轉送到由 Palo Alto Networks 擁

 WildFire 設備 — 在此部署中，您在企業網路安裝 WF-500 WildFire 設備，並設定 Palo Alto Networks

 WF-500 設備不具備 WildFire 入口網站，但您可在設備上設定雲端智慧以自動提交檔案至 WildFire

 在 WildFire Cloud 上有多個虛擬電腦執行，以代表在執行樣本檔案時所使用的各種作業系統與應

 WildFire 動態更新 — 提供每小時內的新惡意軟體特徵碼，這可透過 Device（設備）> Dynamic

發現惡意軟體後，WildFire 約需要 15 到 30 分鐘產生特徵碼，並提供給 WildFire 訂閱者使用。具

 WildFire 進階檔案類型支援 — 除了可攜式執行檔 (PE) 檔案外，使用授權允許防火牆也會轉送下

 WildFire API — WildFire 使用授權可供存取 WildFire API，可直接以程式設計方式存取 Palo Alto

 WildFire WF-500 設備 — 只有具備有效 WildFire 使用授權的防火牆才能將檔案轉送到 WF-500 設備

防火牆可轉送檔案至 WildFire 的速度也取決於到 WildFire 系統的上載連結頻寬。

PA-5060 100 500MB

PA-7050 100 1GB

 MGT — 接收所有從防火牆轉送的檔案，並且將載明結果的日誌傳回防火牆。請參閱將 WF-500 設

 虛擬電腦介面（VM 介面）— 可供網路存取 WildFire 沙箱系統，使樣本檔案能夠與網際網路通訊，

 將 WF-500 設備安裝在機架並進行佈線。請參閱《WF-500 WildFire 設備硬體參考指南》。

本節說明在網路安裝 WF-500 設備和執行基本設定所需的步驟。

步驟 1 使用 MGT 或主控台連接埠將管理電腦 1. 連接到主控台連接埠或 MGT 連接埠。這兩者均位在設備

步驟 2 註冊 WildFire 應用程式。 1. 從設備的 S/N 標籤取得序號，或執行下列命令並參閱

步驟 3 重設管理密碼。 1. 使用 SSH 用戶端或主控台連接埠登入設備。輸入

步驟 4 設定 MGT 介面的 IP 資訊和設備的主 1. 使用 SSH 用戶端或主控台連接埠登入設備，並進入設定

• DNS 伺服器 — 10.0.0.246 3. 設定主機名稱（此範例為 wildfire-corp1）：

步驟 5 （選用）設定管理 WildFire 設備的其 在此範例中，您將建立使用者 bsimpson 的超級讀取者帳戶：

步驟 6 （選用）設定 RADIUS 驗證供管理者 1. 使用下列選項建立 RADIUS 設定檔：

步驟 7 使用 Palo Alto Networks 發給的 WildFire 1. 變更為操作模式：

WF-500 設備將在缺少授權碼 2. 擷取並安裝 WildFire 授權：

步驟 8 設定當天日期 / 時間和時區。 1. 設定日期和時間：

步驟 9 （選用）設定雲端智慧，使 WildFire 設 1. 若要啟用雲端智慧，請執行下列命令：

步驟 10 （選用）允許在防火牆上記錄良性檔 1. 選取 Device > 設定 > WildFire，然後編輯一般設定。

步驟 11 設定入口網站管理員帳戶的密碼。從 1. 若要變更 WildFire 入口網站管理員帳戶密碼：

本主題說明如何在 WildFire 設備上驗證設定，以確定它已準備接收從 Palo Alto Networks 防火牆發

步驟 1 確認設備已註冊，而且授權已啟動。 1. 啟動 SSH 工作階段並連線至設備的 MGT 連接埠。

步驟 2 在設備上檢查 WildFire 伺服器狀態。 1. 顯示 WildFire 狀態：

Last 7 days statistics:

WildFire 使 用 虛擬 電 腦介 面（在設 備 背面 標 示為 1）來提 升 惡意 軟 體 偵測 功 能。此 介 面允 許

本節說明使用先前在虛擬電腦介面範例中所述的選項 1 設定，在 WildFire 設備上設定虛擬電腦介面

步驟 1 在 WildFire 設備上設定虛擬電腦介面 1. 進入設定模式：

步驟 4 （選用）啟用 Tor 網路。此選項啟用 啟用 Tor 網路：

的公開 IP 位址加上遮罩，讓惡意網 2. 交付設定：

步驟 5 繼續進行下一節，設定將用來連接設 請參閱設定防火牆控制 WF-500 虛擬電腦介面的流量。

步驟 5 （選用）設定管理 WildFire 設備的其在此範例中，您將建立使用者 bsimpson 的超級讀取者帳戶：

WildFire 使用虛擬電腦介面（在設備背面標示為 1）來提升惡意軟體偵測功能。此介面允許

步驟 4 （選用）啟用 Tor 網路。此選項啟用啟用 Tor 網路：

步驟 5 繼續進行下一節，設定將用來連接設請參閱設定防火牆控制 WF-500 虛擬電腦介面的流量。

步驟 3 連接纜線。使用直通式 RJ-45 纜線，將 WildFire 設備的虛擬電腦介面直

步驟 3 驗證內容更新。執行下列命令並參閱 wf-content-version 欄位：

步驟 10 交付設定。按一下 Commit（提交）套用設定。

步驟 7 檢查 WildFire 統計資料以確認計數器下列命令顯示執行中防火牆的輸出，並顯示防火牆轉送至

步驟 9 檢查轉送至 WildFire 設備的防火牆其請參閱驗證 WF-500 設備設定。

步驟 1 在設定此功能之前，請確認 WF-500 設請依照在 WF-500 設備上管理內容更新中的程序執行操作。

步驟 1 啟動防火牆 Web 介面並前往動態更新選取設備 > 動態更新。

在此情況下，您將需要 WildFire 作業在此情況下，請尋找 6.1.0。已下載欄位會表示影像檔是