Comment importer de Palo Alto Networks Configurations de pare-feu en Panorama
Resolution
Vue d’ensemble
Ce document décrit comment importer manuellement les stratégies d'un pare-feu de Palo Alto Networks existant dans Panorama. Les adresses, les groupes d'adresses, les services et les stratégies seront importés afin que les mêmes stratégies puissent être appliquées à d'autres pare-feu gérés par panorama.
Hypothèses
- Vous avez un pare-feu PAN qui a une configuration sur elle.
- Une instance de Panorama est en marche avec la même version de PAN-OS (ou plus).
- Vous avez le Web et CLI administrateur d’accès à la fois le pare-feu et le Panorama.
Étapes
- Vous aurez besoin d'un groupe de périphériques sur panorama. Les stratégies seront importées dans ce groupe de périphériques. Si vous ne possédez pas déjà un groupe de périphériques créé à cet effet, utilisez l'INTERFACE graphique panoramique pour en créer un. Il n'est pas nécessaire d'affecter des périphériques à ce groupe pour le moment. Voici un exemple de groupe:
Si vous avez créé un nouveau groupe, validez la modification dans Panorama.
- SSH au pare-feu dont la configuration doit être importée. Une fois dans le pare-feu, configurez l'interface CLI pour présenter sa sortie en format set en émettant la commande:
jeu de format de sortie-config-cli
Puis allez dans le mode de configuration. Voici un exemple :
- Lors de la conversion d'une configuration de pare-feu existante via les commandes set dans Panorama, vous allez avoir besoin d'aborder différentes parties de la configuration dans l'ordre. Les éléments suivants sont convertis un à la fois. À partir de PAN-OS 3.1.7, l'ordre suit le flux indiqué ci-dessous.
Élément Commande CLI Adresse afficher l'adresse Groupes d'Adresses afficher le groupe d'adresses Services afficher le service Groupes de service Show service-groupe Paramètres du journal afficher les paramètres du journal partagé Profil du serveur afficher le profil du serveur partagé Application afficher l'application Filtres d'Application afficher l'application-filtre Groupes d'Application afficher application-groupe Remplacement d’application Show rulebase application-override Profils de sécurité afficher les profils Règles de sécurité afficher les règles de sécurité rulebase L'importation
d'objets d'adresse affiche, convertit et importe des objets d'adresse depuis le pare-feu dans Panorama. - Sur le pare-feu, émettez la commande: Afficher l'adresse
pour afficher tous les objets d'adresse. Votre sortie devrait ressembler à ceci:
- Copiez toutes les commandes Set d'adresses dans un fichier texte.
- Une fois que vos adresses sont dans un fichier texte, nous allons effectuer une recherche et modifier l'adresse de définir pour définir l'adresse partagée.
Une fois que vous avez remplacé toutes les instances de ceci, vos objets de jeu du pare-feu doivent ressembler à:
- SSH au serveur de panorama cible. Pour pouvoir entrer plusieurs commandes en même temps, vous devrez activer le mode script dans Panorama. Définissez le CLI en mode script, puis entrez le mode config:
régler au script cli-mode
configurer
- Copiez les commandes de l'ensemble modifié à partir du fichier texte et collez-les à l'invite de commande Panorama:
Assurez-vous de ne pas voir les erreurs "syntaxe non valide". Si vous ne pouvez pas coller plusieurs lignes à la fois, vous devrez peut-être expérimenter avec différents programmes ssh/différents systèmes d'exploitation.
Remarque: en mode script, la fonction auto-complete n'est pas activée. Ainsi, si vous devez vérifier la syntaxe d'une commande, vous devrez désactiver le mode de script, tester la commande, puis réactiver le mode de script.
- Dans l'interface graphique Panorama, accédez à l'onglet objets > adresses, et confirmez que vous pouvez voir les adresses importées là-bas. Assurez-vous que tous vos objets d'adresse ont été importés.
Importation de groupes d'Adresses, de services, etc.
- La conversion d'autres composants est effectuée de la même manière. Examinez la deuxième colonne ci-dessous. Exécutez chaque commande sur le pare-feu, copiez la sortie dans votre fichier texte, éditez votre fichier texte, puis copiez ces nouvelles commandes dans Panorama.
Note: en faisant ceci Assurez-vous que n'importe quel éditeur que vous coupez et coller dans n'a pas par tort coupé les lignes de commande où ils ont été enveloppés dans la console. Si vous obtenez des avertissements de syntaxe non valides, vérifiez votre entrée pour voir S'il y avait des commandes Set qui ont été hachées pendant le processus de copie.
Composante de la politique Afficher la commande Texte de recherche Remplacer le texte Afficher la commande Texte de recherche Remplacer le texte Adresse afficher l'adresse définir l'adresse définir l'adresse partagée Groupes d'Adresses afficher le groupe d'adresses définir l'adresse-groupe définir le groupe d'adresses partagées Services afficher le service définir le service définir le service partagé Groupes de service Show service-groupe set service-groupe définir le groupe de services partagés Paramètres du journal afficher les paramètres du journal partagé N/A N/A Profil du serveur afficher le profil du serveur partagé N/A N/A Application afficher l'application définir l'application définir une application partagée Filtres d'Application afficher l'application-filtre définir l'application-Filter définir le filtre d'application partagée Groupes d'Application afficher application-groupe définir l'application-groupe définir un groupe d'applications partagées Remplacement d’application Show rulebase application-override Set rulebase application-override Set Device-groupe <device group="">pre-rulebase application-override</device> Arrêtez une fois que vous obtenez à la copie de la sécurité rulebase dans Panorama.
Importation de la sécurité Rulebase
- Avant d'importer les stratégies de sécurité, vous devez désactiver la connexion à Panorama. Sur le pare-feu, modifiez votre profil de transfert de journal pour supprimer panorama ou modifiez chaque stratégie de sécurité et définissez le profil d'expédition du journal sur None:
- Si vous venez de modifier votre configuration de pare-feu, validez vos modifications.
- Sur le pare-feu, émettez la commande:
afficher les règles de sécurité rulebase
Copiez et collez toutes les règles de sécurité dans un document texte. Examinez les commandes pour vous assurer qu'il n'y a pas de retours chariot incorrect--ceux-ci vous feront importer des données non valides et éventuellement créer des règles erronées.
- Dans le fichier texte, faites une recherche et remplacez, en vous assurant d'utiliser le nom de votre groupe de périphériques à l'étape 1:
- Recherche: Set rulebase Security Rules
- Replace: Set Device-Group <device group="" name="">règles de sécurité pré-rulebase
Remarque: la chaîne de remplacement ci-dessus suppose que vous souhaitez importer les stratégies dans votre pré-rulebase de sécurité. </device>
- Coupez et collez ces règles dans la CLI panorama. Initialement, coupez et collez la toute première commande, puis coupez et collez toutes les commandes associées à la première règle. De cette façon, vous pouvez surveiller les erreurs. Une fois que quelques commandes sont entrées avec succès, entrez les commandes en vrac. Une fois que vous avez entré toutes les commandes avec succès, vous devriez être en mesure de voir vos stratégies dans le pré-rulebase pour votre groupe de périphérique particulier.
- Pan-OS 5. x: les modèles de réseau et de périphériques ont été introduits pour panorama dans Pan-OS 5,0. Afin d'importer le pare-feu config dans Panorama, S'il vous plaît assurez-vous que les modèles sont configurés à l'avance avec les périphériques respectifs ajoutés dans chaque modèle avec leurs configurations (multi-VSys, opérationnel-mode, VPN-Disable-mode) en place.
Par exemple, pour importer une configuration d'interface, exécutez la commande: Afficher l'interface réseau. Recherchez set Network et remplacez-le par set Template (nom du modèle) config. La conversion de certains des composants principaux est indiquée ci-dessous:Composant Afficher la commande Texte de recherche Remplacer le texte Réseau #show interface réseau réseau #set #set modèle (nom de modèle) réseau de configuration Configuration du périphérique #show deviceconfig #set deviceconfig #set Template (nom de modèle) config deviceconfig - Pour désactiver le mode de script:
Set CLI Scripting-mode OFF - Valider cette config dans Panorama.
À ce stade, les stratégies de pare-feu ont été importées et des pare-feu supplémentaires peuvent être ajoutés à ce groupe de périphériques. En outre, ces pré-règles peuvent être appliqués aux pare-feu nouvellement ajoutés.
propriétaire: gmaxwell