Importieren von Palo Alto Networks Firewall-Konfigurationen in Panorama

Übersicht

Dieses Dokument beschreibt, wie man die Richtlinien einer bestehenden Palo Alto Networks-Firewall manuell in Panorama importiert.  Adressen, Adressgruppen, Dienstleistungen und Richtlinien werden importiert, so dass die gleichen Richtlinien auch auf andere Firewalls angewendet werden können, die von Panorama verwaltet werden.

Annahmen

• Sie haben eine PAN-Firewall, die eine Konfiguration darauf hat.
• Eine Instanz des Panoramas ist und läuft mit der gleichen Version von PAN-OS (oder höher).
• Sie haben Web- und CLI-Administrator Zugriff auf die Firewall und das Panorama.

Schritte

1. Sie werden eine Gerätegruppe auf Panorama benötigen. Die Policen werden in diese Gerätegruppe importiert. Wenn Sie nicht bereits eine Gerätegruppe für diesen Zweck erstellt haben, verwenden Sie die Panorama-GUI, um eine zu erstellen.  Es besteht keine Notwendigkeit, dieser Gruppe im Moment irgendwelche Geräte zuzuweisen. Hier eine Beispiel Gruppe:

   

   Wenn Sie eine neue Gruppe erstellt haben, begehen Sie die Änderung im Panorama.

2. SSH an die Firewall, deren Konfiguration importiert werden soll. Sobald Sie in der Firewall sind, konfigurieren Sie das CLI, um seine Ausgabe im Set-Format zu präsentieren, indem Sie den Befehl ausgeben:

   Cli-Config-Ausgabeformat Set

   Dann gehen Sie in den Konfigurations Modus.  Hier ist ein Beispiel:

   

3. Wenn Sie eine bestehende Firewall-Konfiguration über die SET-Befehle in Panorama umwandeln, müssen Sie verschiedene Teile der Konfiguration in der Reihenfolge ansprechen.  Die folgenden werden einzeln konvertiert.  Ab PAN-OS 3.1.7 folgt die Reihenfolge dem unten gezeigten Fluss.

   Artikel	CLI Command
   Adresse	Show Adresse
   AdressGruppen	Show Address-Gruppe
   Dienstleistungen	Show Service
   Servicegruppen	Show Service-Gruppe
   Log-Einstellungen	gemeinsame Log-Einstellungen anzeigen
   Server Profil	Shared Server-Profile anzeigen
   Anwendung	Show Application
   Anwendungs Filter	Anwendung anzeigen-Filter
   Bewerbungs Gruppen	Anwendung "" anzeigen
   Anwendung überschreiben	rulebase-Anwendung anzeigen-überfahren
   Sicherheitsprofile	Show profile
   SicherheitsRegeln	rulebase-Sicherheitsregeln anzeigen

   
   

   Der Import von Adress Objekten
   zeigt, konvertiert und importiert Adress Objekte von der Firewall in das Panorama.
   
   

4. Auf der Firewall, geben Sie den Befehl: Show -Adresse

   um alle Adress Objekte anzuzeigen.  Ihre Ausgabe sollte ähnlich aussehen:

   

5. Kopieren Sie alle von den Adressen gesetzten Befehle in eine Textdatei.
6. Sobald sich Ihre Adressen in einer Textdatei befinden, werden wir eine Such-und änderset-Adresse ausführen, um die geteilte Adresse zu setzen.

   

   Sobald Sie alle Instanzen davon ersetzt haben, sollten ihre gesetzten Objekte aus der Firewall aussehen:

   

7. SSH zum Ziel-Panorama-Server.  Um mehrere Befehle gleichzeitig eingeben zu können, müssen Sie im Panorama den Scripting-Modus einschalten. Setzen Sie das CLI auf Scripting-Modus und geben Sie den Konfigurations Modus ein:

   Cli-scripting-Modus aktivieren

   Konfigurieren

   

8. Kopieren Sie die modifizierten Set-Befehle aus der Textdatei und fügen Sie Sie in die Panorama-Befehlsaufforderung ein:

   

   Vergewissern Sie sich, dass Sie keine "ungültigen Syntax"-Fehler sehen.  Wenn Sie mehrere Zeilen nicht gleichzeitig einfügen können, müssen Sie möglicherweise mit verschiedenen ssh-Programmen/verschiedenen Betriebssystemen experimentieren.

   
   

   Hinweis: im Scripting-Modus ist Auto-Complete nicht aktiviert. Wenn Sie also die Syntax eines Befehls überprüfen müssen, müssen Sie den Scripting-Modus deaktivieren, den Befehl testen und dann den Scripting-Modus wieder aktivieren.

9. In der Panorama-GUI, gehen Sie zu den Objekten Tab > Adressen Bildschirm, und bestätigen Sie, dass Sie die importierten Adressen dort sehen können.  Vergewissern Sie sich, dass alle Ihre Adress Objekte importiert wurden.

   
   

   Import von AdressGruppen, DienstLeistungen, etc.
   
   

10. Die Konvertierung anderer Komponenten erfolgt auf die gleiche Weise.  UnterSuchen Sie die zweite Spalte unten. Führen Sie jeden Befehl auf der Firewall aus, kopieren Sie die Ausgabe in Ihre Textdatei, bearbeiten Sie Ihre Textdatei und kopieren Sie diese neuen Befehle in Panorama.

    
    

    Hinweis: Wenn Sie dies tun, stellen Sie sicher, dass jeder Editor, in den Sie schneiden und einfügen, die Befehlszeilen nicht irrtümlich abschneidet, wo Sie in die Konsole eingewickelt wurden.  Wenn Sie ungültige Syntax-Warnungen erhalten, überprüfen Sie Ihre Eingabe, um zu sehen, ob es irgendwelche Set-Befehle gab, die während des Kopiervorgangs gehackt wurden.

    Politische Komponente	Show Command	Suchtext	Text ersetzen
    	Show Command	Suchtext	Text ersetzen
    Adresse	Show Adresse	Set-Adresse	geteilte Adresse
    AdressGruppen	Show Address-Gruppe	Set-Adresse-Gruppe	geteilte Adress Gruppe
    Dienstleistungen	Show Service	Set Service	Shared Service
    Servicegruppen	Show Service-Gruppe	Set Service-Gruppe	Set Shared Service-Gruppe
    Log-Einstellungen	gemeinsame Log-Einstellungen anzeigen	N/V	N/V
    Server Profil	Shared Server-Profile anzeigen	N/V	N/V
    Anwendung	Show Application	Set-Anwendung	geteilte Anwendung
    Anwendungs Filter	Anwendung anzeigen-Filter	Anwendung einstellen-Filter	geteilte Anwendung-Filter
    Bewerbungs Gruppen	Anwendung "" anzeigen	Set-Applikations Gruppe	Set geteilte Bewerbungs Gruppe
    Anwendung überschreiben	rulebase-Anwendung anzeigen-überfahren	setzen Sie rulebase-Anwendung-override	Set-Gerät-Gruppe <device group="">Pre-rulebase-Anwendung-override</device>

    
    

    HÖREN Sie auf, sobald Sie das Kopieren der Sicherheits-rulebase in das Panorama erhalten.

    Import der Sicherheits-Rulebase

    
    

11. Bevor Sie die Sicherheitsrichtlinien importieren, müssen Sie die Protokollierung auf Panorama deaktivieren. Auf der Firewall ändern Sie entweder Ihr Log-Forwarding-Profil, um Panorama zu entfernen, oder bearbeiten Sie jede Sicherheitsrichtlinie und setzen Sie das Log-Forwarding-Profil auf keines:

    

12. Wenn Sie nur Ihre Firewall-Konfiguration modifiziert haben, übertragen Sie Ihre Änderungen.
13. Auf der Firewall, geben Sie den Befehl:

    rulebase-Sicherheitsregeln anzeigen

    Kopieren und einfügen Sie alle Sicherheitsregeln in ein Textdokument.  ÜberPrüfen Sie die Befehle, um sicherzustellen, dass es keine falschen Beförderungs Renditen gibt-diese werden dazu führen, dass Sie ungültige Daten importieren und möglicherweise fehlerhafte Regeln erstellen.

14. Machen Sie in der Textdatei eine Suche und ersetzen Sie, indem Sie Ihren Gerätegruppen Namen aus Schritt 1 verwenden:
    • Suche: rulebase-Sicherheitsregeln festlegen
    • ERSETZEN: setzen Sie Geräte-Gruppe <device group="" name="">Pre-rulebase sicherheitsRegeln
      Hinweis: der obige Replace String geht davon aus, dass Sie die Richtlinien in Ihre Sicherheits-Pre-rulebase importieren wollen. </device>
15. Schneiden und fügen Sie diese Regeln in das Panorama CLI. Zunächst schneiden und einfügen Sie den allerersten Befehl, dann schneiden und fügen Sie alle Befehle mit der ersten Regel verbunden. So können Sie Fehler überwachen. Sobald Sie ein paar Befehle erfolgreich eingegeben haben, geben Sie die Befehle in Bulk ein. Sobald Sie alle Befehle erfolgreich eingegeben haben, sollten Sie in der Lage sein, Ihre Richtlinien in der Pre-rulebase für ihre jeweilige Gerätegruppe zu sehen.
16. PAN-OS 5. x: Netzwerk-und Geräte Vorlagen wurden für Panorama in Pan-OS 5,0 eingeführt. Um die Firewall-Konfiguration in das Panorama zu importieren, stellen Sie bitte sicher, dass die Vorlagen im Voraus mit den entsprechenden Geräten konfiguriert werden, die in jeder Vorlage mit ihren Konfigurationen (Multi-Vsys, Operational-Mode, VPN-deaktivieren-Modus) hinzugefügt werden. Zum
    Beispiel, um eine Interface-Konfiguration zu importieren, starten Sie den Befehl: Netzwerk-Schnittstelle anzeigen. Suchen Sie nach einem Set-Netzwerk und ersetzen Sie es durch Set-Template (Name der Vorlage) config. Die Konvertierung für einige der wichtigsten Komponenten ist unten abgebildet:
    

    Komponente	Show Command	Suchtext	Text ersetzen
    Netzwerk	#show Netzwerkschnittstelle	#set Netzwerk	#set Vorlage (Template Name) config Network
    Device config	#show DeviceConfig	#set DeviceConfig	#set Vorlage (Template Name) config DeviceConfig

17. Um den Scripting-Modus auszuschalten:
    setzen Sie CLI Scripting- Modus aus
18. Diese Konfiguration im Panorama zu überTragen.

An dieser Stelle wurden die Firewall-Richtlinien importiert und zusätzliche Firewalls können zu dieser Gerätegruppe hinzugefügt werden. Auch können diese vorregeln auf die neu hinzugefügten Firewalls angewendet werden.

Besitzer: GMaxwell