Cómo importar Palo Alto Networks Firewall configuraciones en Panorama

Resumen

Este documento describe cómo importar manualmente las directivas de un firewall de Palo Alto Networks existente en panorama.  Las direcciones, los grupos de dirección, los servicios y las directivas se importarán de manera que se puedan aplicar las mismas directivas a otros cortafuegos administrados por panorama.

Supuestos

• Tiene un cortafuegos de pan que tiene una configuración en él.
• Una instancia de Panorama está funcionando con la misma versión de cacerola-OS (o superior).
• Con Web y administrador CLI accede al firewall y Panorama.

Pasos

1. Necesitará un grupo de dispositivos en panorama. Las directivas se importarán en este grupo de dispositivos. Si aún no tiene un grupo de dispositivos creado para este propósito, utilice la GUI de panorama para crear uno.  No hay necesidad de asignar ningún dispositivo a este grupo en este momento. He aquí un ejemplo de Grupo:

   

   Si ha creado un nuevo grupo, confirmará el cambio en panorama.

2. SSH al firewall cuya configuración se va a importar. Una vez en el firewall, configure la CLI para presentar su salida en formato Set emitiendo el comando:

   conjunto de formato de salida de configuración cli

   A continuación, vaya al modo de configuración.  Éste es un ejemplo:

   

3. Al convertir una configuración de firewall existente a través de los comandos SET en panorama, necesitará hacer frente a diferentes partes de la configuración en orden.  Los siguientes se convierten uno a la vez.  A partir de PAN-OS 3.1.7, el orden sigue el flujo que se muestra a continuación.

   Artículo	Comando CLI
   Dirección	Mostrar dirección
   Grupos de direcciones	Mostrar dirección-grupo
   Servicios	Mostrar servicio
   Grupos de servicios	Mostrar grupo de servicios
   Configuración de registro	Mostrar configuración de registro compartida
   Perfil de servidor	Mostrar Perfil de servidor compartido
   Aplicación	Mostrar aplicación
   Filtros de aplicación	Mostrar filtro de aplicaciones
   Grupos de aplicaciones	Mostrar grupo de aplicaciones
   Anulación de la aplicación	Mostrar reglas aplicación-override
   Perfiles de seguridad	Mostrar perfiles
   Reglas de seguridad	Mostrar reglas de seguridad de reglas

   
   

   
   La importación de objetos de dirección muestra, convierte e importa objetos de dirección desde el cortafuegos a panorama.
   
   

4. En el cortafuegos, emita el comando: Mostrar dirección

   para mostrar todos los objetos de dirección.  Su salida debe ser similar a la siguiente:

   

5. Copie todos los comandos SET de direcciones en un archivo de texto.
6. Una vez que sus direcciones están en un archivo de texto, vamos a realizar una búsqueda y cambiar la dirección de conjunto para establecer la dirección compartida.

   

   Una vez que haya sustituido todas las instancias de este, los objetos de configuración del cortafuegos deben tener la apariencia siguiente:

   

7. SSH al servidor panorámico de destino.  Para poder introducir varios comandos al mismo tiempo, tendrá que activar el modo de secuencias de comandos en panorama. Configure el CLI en el modo de scripting y escriba el modo config:

   Seleccione modo de secuencias de comandos de cli en

   configurar

   

8. Copie los comandos de conjunto modificados del archivo de texto y péguelo en el símbolo del sistema de panorama:

   

   Asegúrese de no ver errores de "sintaxis no válida".  Si no puede pegar varias líneas a la vez, es posible que necesite experimentar con diferentes programas ssh/diferentes sistemas operativos.

   
   

   Nota: en el modo de secuencias de comandos, el autocompletado no está habilitado. Por tanto, si necesita comprobar la sintaxis de un comando, deberá desactivar el modo de secuencias de comandos, probar el comando y, a continuación, volver a habilitar el modo de secuencias de comandos.

9. En la GUI de panorama, vaya a la pantalla de objetos Tab > direcciones, y confirme que puede ver las direcciones importadas allí.  Asegúrese de importar todos los objetos de la dirección.

   
   

   Importar grupos de direcciones, servicios, etc.
   
   

10. La conversión de otros componentes se realiza de la misma manera.  Examine la segunda columna de abajo. Ejecute cada comando en el cortafuegos, copie el resultado en el archivo de texto, edite el archivo de texto y, a continuación, copie esos nuevos comandos en panorama.

    
    

    Nota: al hacer esto Asegúrese de que cualquier editor que está cortando y pegando en no cortar erróneamente líneas de comandos donde se envolvieron en la consola.  Si obtiene advertencias de sintaxis no válidas, Compruebe la entrada para ver si hay algún comando de conjunto que se haya cortado durante el proceso de copiado.

    Componente de Directiva	Mostrar comando	Texto de búsqueda	Reemplazar texto
    	Mostrar comando	Texto de búsqueda	Reemplazar texto
    Dirección	Mostrar dirección	establecer dirección	establecer dirección compartida
    Grupos de direcciones	Mostrar dirección-grupo	establecer dirección-grupo	establecer un grupo de direcciones compartidas
    Servicios	Mostrar servicio	establecer servicio	establecer servicio compartido
    Grupos de servicios	Mostrar grupo de servicios	establecer grupo de servicios	establecer grupo de servicios compartidos
    Configuración de registro	Mostrar configuración de registro compartida	N/A	N/A
    Perfil de servidor	Mostrar Perfil de servidor compartido	N/A	N/A
    Aplicación	Mostrar aplicación	establecer aplicación	establecer la aplicación compartida
    Filtros de aplicación	Mostrar filtro de aplicaciones	establecer filtro de aplicación	establecer filtro de aplicación compartida
    Grupos de aplicaciones	Mostrar grupo de aplicaciones	establecer grupo de aplicaciones	establecer grupo de aplicaciones compartidas
    Anulación de la aplicación	Mostrar reglas aplicación-override	Set reglas aplicación-override	establecer dispositivo-grupo de <device group="">pre-reglas aplicación-override</device>

    
    

    PARE una vez que usted consiga a la copia del reglas de la seguridad en panorama.

    Importación de la reglas de seguridad

    
    

11. Antes de importar las directivas de seguridad, debe deshabilitar el registro en panorama. En el cortafuegos, modifique el perfil de reenvío de registros para quitar panorama o modifique cada directiva de seguridad y establezca el perfil de reenvío de registro en none:

    

12. Si acaba de modificar la configuración del cortafuegos, confirmará los cambios.
13. En el cortafuegos, emita el comando:

    Mostrar reglas de seguridad de reglas

    Copie y pegue todas las reglas de seguridad en un documento de texto.  Revise los comandos para asegurarse de que no haya retornos de carro incorrectos--los que le harán importar datos no válidos y posiblemente crear reglas erróneas.

14. En el archivo de texto, realice una búsqueda y reemplace, asegurándose de utilizar el nombre del grupo de dispositivos del paso 1:
    • BUSCAR: establecer reglas de seguridad reglas
    • REEMPLAZAR: establecer <device group="" name="">reglas de seguridad pre-reglas grupo de dispositivos
      Nota: la cadena de reemplazo anterior asume que desea importar las directivas en su reglas de seguridad. </device>
15. Corte y pegue estas reglas en la CLI de panorama. Inicialmente, corte y pegue el primer comando, luego corte y pegue todos los comandos asociados con la primera regla. De esta manera usted puede monitorear por errores. Una vez que haya introducido correctamente algunos comandos, introduzca los comandos a granel. Una vez que haya ingresado todos los comandos correctamente, debería poder ver sus directivas en el pre-reglas para su grupo de dispositivos en particular.
16. PAN-OS 5. x: se introdujeron plantillas de red y dispositivos para panorama en pan-os 5,0. Para importar el Firewall config en panorama, asegúrese de que las plantillas están configuradas por adelantado con los respectivos dispositivos agregados en cada plantilla con sus configuraciones (multi-vsys, modo operacional, VPN-Deshabilitar-modo) en su lugar.
    Por ejemplo, para importar una interfaz config ejecute el comando: Mostrar interfaz de red. Busque la configuración de la red y sustitúyala por la configuración de la plantilla establecida (nombre de la plantilla). La conversión para algunos de los componentes principales se demuestra abajo:
    

    Componente	Mostrar comando	Texto de búsqueda	Reemplazar texto
    Red	#show interfaz de red	red de #set	#set plantilla (nombre de plantilla) config Network
    Configuración del dispositivo	#show deviceconfig	#set deviceconfig	plantilla de #set (nombre de la plantilla) config deviceconfig

17. Para desactivar el modo de secuencias de comandos: configure el
    modo de secuencias de comandos CLI
18. Confirma esta configuración en panorama.

En este punto, las directivas de cortafuegos se han importado y se pueden agregar firewalls adicionales a este grupo de dispositivos. Además, estas reglas previas se pueden aplicar a los cortafuegos recién agregados.

Propietario: Gmaxwell