Importieren von Palo Alto Networks Firewall-Konfigurationen in Panorama
Resolution
Übersicht
Dieses Dokument beschreibt, wie man die Richtlinien einer bestehenden Palo Alto Networks-Firewall manuell in Panorama importiert. Adressen, Adressgruppen, Dienstleistungen und Richtlinien werden importiert, so dass die gleichen Richtlinien auch auf andere Firewalls angewendet werden können, die von Panorama verwaltet werden.
Annahmen
- Sie haben eine PAN-Firewall, die eine Konfiguration darauf hat.
- Eine Instanz des Panoramas ist und läuft mit der gleichen Version von PAN-OS (oder höher).
- Sie haben Web- und CLI-Administrator Zugriff auf die Firewall und das Panorama.
Schritte
- Sie werden eine Gerätegruppe auf Panorama benötigen. Die Policen werden in diese Gerätegruppe importiert. Wenn Sie nicht bereits eine Gerätegruppe für diesen Zweck erstellt haben, verwenden Sie die Panorama-GUI, um eine zu erstellen. Es besteht keine Notwendigkeit, dieser Gruppe im Moment irgendwelche Geräte zuzuweisen. Hier eine Beispiel Gruppe:
Wenn Sie eine neue Gruppe erstellt haben, begehen Sie die Änderung im Panorama.
- SSH an die Firewall, deren Konfiguration importiert werden soll. Sobald Sie in der Firewall sind, konfigurieren Sie das CLI, um seine Ausgabe im Set-Format zu präsentieren, indem Sie den Befehl ausgeben:
Cli-Config-Ausgabeformat Set
Dann gehen Sie in den Konfigurations Modus. Hier ist ein Beispiel:
- Wenn Sie eine bestehende Firewall-Konfiguration über die SET-Befehle in Panorama umwandeln, müssen Sie verschiedene Teile der Konfiguration in der Reihenfolge ansprechen. Die folgenden werden einzeln konvertiert. Ab PAN-OS 3.1.7 folgt die Reihenfolge dem unten gezeigten Fluss.
Artikel CLI Command Adresse Show Adresse AdressGruppen Show Address-Gruppe Dienstleistungen Show Service Servicegruppen Show Service-Gruppe Log-Einstellungen gemeinsame Log-Einstellungen anzeigen Server Profil Shared Server-Profile anzeigen Anwendung Show Application Anwendungs Filter Anwendung anzeigen-Filter Bewerbungs Gruppen Anwendung "" anzeigen Anwendung überschreiben rulebase-Anwendung anzeigen-überfahren Sicherheitsprofile Show profile SicherheitsRegeln rulebase-Sicherheitsregeln anzeigen Der Import von Adress Objekten
zeigt, konvertiert und importiert Adress Objekte von der Firewall in das Panorama. - Auf der Firewall, geben Sie den Befehl: Show -Adresse
um alle Adress Objekte anzuzeigen. Ihre Ausgabe sollte ähnlich aussehen:
- Kopieren Sie alle von den Adressen gesetzten Befehle in eine Textdatei.
- Sobald sich Ihre Adressen in einer Textdatei befinden, werden wir eine Such-und änderset-Adresse ausführen, um die geteilte Adresse zu setzen.
Sobald Sie alle Instanzen davon ersetzt haben, sollten ihre gesetzten Objekte aus der Firewall aussehen:
- SSH zum Ziel-Panorama-Server. Um mehrere Befehle gleichzeitig eingeben zu können, müssen Sie im Panorama den Scripting-Modus einschalten. Setzen Sie das CLI auf Scripting-Modus und geben Sie den Konfigurations Modus ein:
Cli-scripting-Modus aktivieren
Konfigurieren
- Kopieren Sie die modifizierten Set-Befehle aus der Textdatei und fügen Sie Sie in die Panorama-Befehlsaufforderung ein:
Vergewissern Sie sich, dass Sie keine "ungültigen Syntax"-Fehler sehen. Wenn Sie mehrere Zeilen nicht gleichzeitig einfügen können, müssen Sie möglicherweise mit verschiedenen ssh-Programmen/verschiedenen Betriebssystemen experimentieren.
Hinweis: im Scripting-Modus ist Auto-Complete nicht aktiviert. Wenn Sie also die Syntax eines Befehls überprüfen müssen, müssen Sie den Scripting-Modus deaktivieren, den Befehl testen und dann den Scripting-Modus wieder aktivieren.
- In der Panorama-GUI, gehen Sie zu den Objekten Tab > Adressen Bildschirm, und bestätigen Sie, dass Sie die importierten Adressen dort sehen können. Vergewissern Sie sich, dass alle Ihre Adress Objekte importiert wurden.
Import von AdressGruppen, DienstLeistungen, etc.
- Die Konvertierung anderer Komponenten erfolgt auf die gleiche Weise. UnterSuchen Sie die zweite Spalte unten. Führen Sie jeden Befehl auf der Firewall aus, kopieren Sie die Ausgabe in Ihre Textdatei, bearbeiten Sie Ihre Textdatei und kopieren Sie diese neuen Befehle in Panorama.
Hinweis: Wenn Sie dies tun, stellen Sie sicher, dass jeder Editor, in den Sie schneiden und einfügen, die Befehlszeilen nicht irrtümlich abschneidet, wo Sie in die Konsole eingewickelt wurden. Wenn Sie ungültige Syntax-Warnungen erhalten, überprüfen Sie Ihre Eingabe, um zu sehen, ob es irgendwelche Set-Befehle gab, die während des Kopiervorgangs gehackt wurden.
Politische Komponente Show Command Suchtext Text ersetzen Show Command Suchtext Text ersetzen Adresse Show Adresse Set-Adresse geteilte Adresse AdressGruppen Show Address-Gruppe Set-Adresse-Gruppe geteilte Adress Gruppe Dienstleistungen Show Service Set Service Shared Service Servicegruppen Show Service-Gruppe Set Service-Gruppe Set Shared Service-Gruppe Log-Einstellungen gemeinsame Log-Einstellungen anzeigen N/V N/V Server Profil Shared Server-Profile anzeigen N/V N/V Anwendung Show Application Set-Anwendung geteilte Anwendung Anwendungs Filter Anwendung anzeigen-Filter Anwendung einstellen-Filter geteilte Anwendung-Filter Bewerbungs Gruppen Anwendung "" anzeigen Set-Applikations Gruppe Set geteilte Bewerbungs Gruppe Anwendung überschreiben rulebase-Anwendung anzeigen-überfahren setzen Sie rulebase-Anwendung-override Set-Gerät-Gruppe <device group="">Pre-rulebase-Anwendung-override</device> HÖREN Sie auf, sobald Sie das Kopieren der Sicherheits-rulebase in das Panorama erhalten.
Import der Sicherheits-Rulebase
- Bevor Sie die Sicherheitsrichtlinien importieren, müssen Sie die Protokollierung auf Panorama deaktivieren. Auf der Firewall ändern Sie entweder Ihr Log-Forwarding-Profil, um Panorama zu entfernen, oder bearbeiten Sie jede Sicherheitsrichtlinie und setzen Sie das Log-Forwarding-Profil auf keines:
- Wenn Sie nur Ihre Firewall-Konfiguration modifiziert haben, übertragen Sie Ihre Änderungen.
- Auf der Firewall, geben Sie den Befehl:
rulebase-Sicherheitsregeln anzeigen
Kopieren und einfügen Sie alle Sicherheitsregeln in ein Textdokument. ÜberPrüfen Sie die Befehle, um sicherzustellen, dass es keine falschen Beförderungs Renditen gibt-diese werden dazu führen, dass Sie ungültige Daten importieren und möglicherweise fehlerhafte Regeln erstellen.
- Machen Sie in der Textdatei eine Suche und ersetzen Sie, indem Sie Ihren Gerätegruppen Namen aus Schritt 1 verwenden:
- Suche: rulebase-Sicherheitsregeln festlegen
- ERSETZEN: setzen Sie Geräte-Gruppe <device group="" name="">Pre-rulebase sicherheitsRegeln
Hinweis: der obige Replace String geht davon aus, dass Sie die Richtlinien in Ihre Sicherheits-Pre-rulebase importieren wollen. </device>
- Schneiden und fügen Sie diese Regeln in das Panorama CLI. Zunächst schneiden und einfügen Sie den allerersten Befehl, dann schneiden und fügen Sie alle Befehle mit der ersten Regel verbunden. So können Sie Fehler überwachen. Sobald Sie ein paar Befehle erfolgreich eingegeben haben, geben Sie die Befehle in Bulk ein. Sobald Sie alle Befehle erfolgreich eingegeben haben, sollten Sie in der Lage sein, Ihre Richtlinien in der Pre-rulebase für ihre jeweilige Gerätegruppe zu sehen.
- PAN-OS 5. x: Netzwerk-und Geräte Vorlagen wurden für Panorama in Pan-OS 5,0 eingeführt. Um die Firewall-Konfiguration in das Panorama zu importieren, stellen Sie bitte sicher, dass die Vorlagen im Voraus mit den entsprechenden Geräten konfiguriert werden, die in jeder Vorlage mit ihren Konfigurationen (Multi-Vsys, Operational-Mode, VPN-deaktivieren-Modus) hinzugefügt werden. Zum
Beispiel, um eine Interface-Konfiguration zu importieren, starten Sie den Befehl: Netzwerk-Schnittstelle anzeigen. Suchen Sie nach einem Set-Netzwerk und ersetzen Sie es durch Set-Template (Name der Vorlage) config. Die Konvertierung für einige der wichtigsten Komponenten ist unten abgebildet:Komponente Show Command Suchtext Text ersetzen Netzwerk #show Netzwerkschnittstelle #set Netzwerk #set Vorlage (Template Name) config Network Device config #show DeviceConfig #set DeviceConfig #set Vorlage (Template Name) config DeviceConfig - Um den Scripting-Modus auszuschalten:
setzen Sie CLI Scripting- Modus aus - Diese Konfiguration im Panorama zu überTragen.
An dieser Stelle wurden die Firewall-Richtlinien importiert und zusätzliche Firewalls können zu dieser Gerätegruppe hinzugefügt werden. Auch können diese vorregeln auf die neu hinzugefügten Firewalls angewendet werden.
Besitzer: GMaxwell