SKYLINE Knowledge Base
Home Knowledge base Firewalls & Network Security تهيئة سياسة الأمن و NAT في PAN-OS عبر سطر الأوامر KNOWLEDGE BASE

تهيئة سياسة الأمن و NAT في PAN-OS عبر سطر الأوامر

شرح عملي أمرًا بأمر لتهيئة جدار Palo Alto NGFW من سطر أوامر PAN-OS: قواعد الأمن و NAT والـ commit وتشخيص الجلسات الحيّة.

SKYLINE Engineering @skyline
Published
May 31, 2026
Last updated
May 31, 2026
Reading time
2 min

مقال قاعدة المعرفة هذا من سكايلاين مرجع عملي لتهيئة وتشخيص جدار Palo Alto Networks NGFW من سطر أوامر PAN-OS. سطر الأوامر هو أسرع وسيلة لإجراء تغييرات دقيقة وكتابة سكربتات للعمل المتكرّر وتشخيص حركة المرور الحيّة. تعكس جميع الأوامر أدناه صياغة PAN-OS القياسية (إصدارات 10.x/11.x). اختبر دائمًا في معمل أو نافذة صيانة أولًا، واحتفظ بتهيئة محفوظة يمكنك الرجوع إليها.

١. أوضاع سطر الأوامر والتموضع

لدى PAN-OS وضعان رئيسيان. تسجّل الدخول إلى الوضع التشغيلي الذي يظهر بالمحث >، وتدخل وضع التهيئة بالأمر configure الذي يظهر بالمحث #.

admin@PA-440> configure
Entering configuration mode
admin@PA-440#

أوامر تنقّل مفيدة داخل وضع التهيئة:

# show          # عرض التهيئة المرشّحة (candidate)
# exit          # الخروج من وضع التهيئة إلى الوضع التشغيلي
run show clock   # تنفيذ أمر تشغيلي من داخل وضع التهيئة

٢. إعدادات الإدارة الأولية

من وضع التهيئة، اضبط واجهة الإدارة والبوابة الافتراضية و DNS:

# set deviceconfig system ip-address 192.168.1.10 netmask 255.255.255.0 default-gateway 192.168.1.1 dns-setting servers primary 8.8.8.8 secondary 8.8.4.4
# set deviceconfig system ntp-servers primary-ntp-server ntp-server-address pool.ntp.org

٣. إنشاء قاعدة سياسة أمن

سياسة Palo Alto مدركة للتطبيقات. تضبط الصيغة المعيارية لقاعدة الأمن منطقتي المصدر والوجهة والعناوين والتطبيق (App-ID) والخدمة والإجراء:

# set rulebase security rules Allow-Web from trust to untrust source any destination any application [ ssl web-browsing ] service application-default action allow

أرفق التسجيل ومجموعة ملفات تعريف أمنية لتفحص القاعدة المرور فعليًا:

# set rulebase security rules Allow-Web log-end yes
# set rulebase security rules Allow-Web profile-setting group Strict-Profiles

ووضع قاعدة منع صريحة مع التسجيل في أسفل قاعدة القواعد ممارسة جيدة:

# set rulebase security rules Deny-All from any to any source any destination any application any service any action deny log-end yes

٤. إنشاء قاعدة NAT (مصدر ووجهة)

ترجمة المصدر بنمط dynamic IP and port (DIPP) للخروج إلى الإنترنت، مع الترجمة إلى عنوان واجهة الخروج:

# set rulebase nat rules Outbound-NAT from trust to untrust source any destination any service any source-translation dynamic-ip-and-port interface-address interface ethernet1/1

ترجمة الوجهة لنشر خادم ويب داخلي (يترجم الجدار العنوان العام إلى المضيف الخاص، ثم تشير قاعدة الأمن إلى الوجهة العامة الأصلية):

# set rulebase nat rules Web-DNAT from untrust to untrust source any destination 203.0.113.10 service service-https destination-translation translated-address 10.10.10.20 translated-port 443

٥. تنفيذ الـ Commit

يستخدم PAN-OS نموذج candidate/running: تبقى تعديلاتك في التهيئة المرشّحة حتى تنفّذ commit. من الوضع التشغيلي أو وضع التهيئة:

# commit

صيغ أخرى مفيدة:

> commit                              # تنفيذ التهيئة المرشّحة إلى التهيئة الجارية
> commit description "<رقم التذكرة / رسالة>"        # تنفيذ مع ملاحظة تدقيق
run commit                            # تنفيذ commit من داخل وضع التهيئة

تابع المهمة:

> show jobs all
> show jobs id 5

٦. التحقق من التهيئة الجارية

> show running security-policy
> show running nat-policy

٧. التشخيص عبر مطابقة السياسة والجلسات الحيّة

تأكّد من القاعدة الأمنية التي سيصطدم بها التدفّق دون إرسال مرور حقيقي. أرقام البروتوكول: TCP=6 و UDP=17 و ICMP=1:

> test security-policy-match from trust to untrust source 10.10.10.5 destination 203.0.113.10 destination-port 443 protocol 6
> test nat-policy-match from trust to untrust source 10.10.10.5 destination 203.0.113.10 destination-port 443 protocol 6

افحص الجلسات النشطة في مستوى البيانات (dataplane):

> show session info
> show session all
> show session all filter destination 203.0.113.10
> show session id 12345

امسح جلسة عالقة أو قديمة عند الحاجة إلى فرض إعادة التقييم:

> clear session id 12345

٨. الحفظ وإعادة التشغيل بأمان

# save config to pre-change-backup.xml      # حفظ التهيئة المرشّحة في ملف باسم
> request restart system                  # إعادة تشغيل كاملة للنظام (بحذر)

الخلاصة العملية

تدفّق التغيير النموذجي هو: configure ← التعديل بـ set ← المراجعة بـ showcommit ← التحقق بـ show running ... و test ...-policy-match ← التأكيد الحيّ بـ show session. تُبقي هذه الحلقة التغييرات مدروسة وقابلة للتدقيق.

إن فشل الـ commit، أو لم يُنشأ نفق GlobalProtect، أو تسبّب ترتيب NAT/الأمن في إسقاط المرور، فبإمكان سكايلاين المساعدة. نحن نركّب ونهيّئ وندعم ونصلح جدران Palo Alto في جميع أنحاء السعودية. تصفّح فئة جدران الحماية وأمن الشبكات والسوق الأوسع، واقرأ دليل أفضل ممارسات النشر في السعودية، أو تواصل مع مهندس عبر صفحة التواصل أو على ٩٣٣٤ ٩٩٣ ٥٠ ٩٦٦+.

SKYLINE Engineering

@skyline

The engineering team at SKYLINE Industrial Solutions. We publish field-tested guides drawn from real KSA and GCC deployments.

See author profile

Related tutorials

All Firewalls & Network Security guides →
Firewalls & Network Security

Configure Palo Alto PAN-OS Security Policy & NAT via CLI

A practical, command-by-command walkthrough for configuring a Palo Alto NGFW from the PAN-OS CLI: security rul...

SKYLINE Engineering · 3 min read
Firewalls & Network Security

Configure a FortiGate Firewall Policy and NAT from the CLI

A hands-on FortiOS CLI walkthrough: address objects, a least-privilege firewall policy, source NAT, a Virtual...

SKYLINE Engineering · 5 min read
Firewalls & Network Security

تهيئة سياسة جدار الحماية وترجمة العناوين في فورتي جيت عبر سطر الأوامر

شرح عملي بأوامر FortiOS عبر سطر الأوامر: كائنات العناوين، وسياسة جدار حماية بأقل الصلاحيات، وترجمة عنوان المصد...

SKYLINE Engineering · 5 min read
SKYLINE engineering services

Need this implemented for you?

Reading is free — building it right takes a team. SKYLINE engineers ship Firewalls & Network Security for Aramco vendors, banks, hospitals and government agencies across Saudi Arabia. Talk to us before you start.

Cybersecurity & Data Centre SACS-210, NCA ECC, SOC, 24/7 ops IT AMC Annual maintenance, 24/7 SLA, Bronze→Platinum
Talk to a SKYLINE engineer Call +966 50 993 9334
Aramco Approved Contractor ISO 9001 · ISO 27001 SAMA CSF aligned NCA ECC ready 247+ KSA clients

Comments

0 total · 0 threads
Be the first to leave a comment.