Comment importer de Palo Alto Networks Configurations de pare-feu en Panorama

Vue d’ensemble

Ce document décrit comment importer manuellement les stratégies d'un pare-feu de Palo Alto Networks existant dans Panorama.  Les adresses, les groupes d'adresses, les services et les stratégies seront importés afin que les mêmes stratégies puissent être appliquées à d'autres pare-feu gérés par panorama.

Hypothèses

• Vous avez un pare-feu PAN qui a une configuration sur elle.
• Une instance de Panorama est en marche avec la même version de PAN-OS (ou plus).
• Vous avez le Web et CLI administrateur d’accès à la fois le pare-feu et le Panorama.

Étapes

1. Vous aurez besoin d'un groupe de périphériques sur panorama. Les stratégies seront importées dans ce groupe de périphériques. Si vous ne possédez pas déjà un groupe de périphériques créé à cet effet, utilisez l'INTERFACE graphique panoramique pour en créer un.  Il n'est pas nécessaire d'affecter des périphériques à ce groupe pour le moment. Voici un exemple de groupe:

   

   Si vous avez créé un nouveau groupe, validez la modification dans Panorama.

2. SSH au pare-feu dont la configuration doit être importée. Une fois dans le pare-feu, configurez l'interface CLI pour présenter sa sortie en format set en émettant la commande:

   jeu de format de sortie-config-cli

   Puis allez dans le mode de configuration.  Voici un exemple :

   

3. Lors de la conversion d'une configuration de pare-feu existante via les commandes set dans Panorama, vous allez avoir besoin d'aborder différentes parties de la configuration dans l'ordre.  Les éléments suivants sont convertis un à la fois.  À partir de PAN-OS 3.1.7, l'ordre suit le flux indiqué ci-dessous.

   Élément	Commande CLI
   Adresse	afficher l'adresse
   Groupes d'Adresses	afficher le groupe d'adresses
   Services	afficher le service
   Groupes de service	Show service-groupe
   Paramètres du journal	afficher les paramètres du journal partagé
   Profil du serveur	afficher le profil du serveur partagé
   Application	afficher l'application
   Filtres d'Application	afficher l'application-filtre
   Groupes d'Application	afficher application-groupe
   Remplacement d’application	Show rulebase application-override
   Profils de sécurité	afficher les profils
   Règles de sécurité	afficher les règles de sécurité rulebase

   
   

   L'importation
   d'objets d'adresse affiche, convertit et importe des objets d'adresse depuis le pare-feu dans Panorama.
   
   

4. Sur le pare-feu, émettez la commande: Afficher l'adresse

   pour afficher tous les objets d'adresse.  Votre sortie devrait ressembler à ceci:

   

5. Copiez toutes les commandes Set d'adresses dans un fichier texte.
6. Une fois que vos adresses sont dans un fichier texte, nous allons effectuer une recherche et modifier l'adresse de définir pour définir l'adresse partagée.

   

   Une fois que vous avez remplacé toutes les instances de ceci, vos objets de jeu du pare-feu doivent ressembler à:

   

7. SSH au serveur de panorama cible.  Pour pouvoir entrer plusieurs commandes en même temps, vous devrez activer le mode script dans Panorama. Définissez le CLI en mode script, puis entrez le mode config:

   régler au script cli-mode

   configurer

   

8. Copiez les commandes de l'ensemble modifié à partir du fichier texte et collez-les à l'invite de commande Panorama:

   

   Assurez-vous de ne pas voir les erreurs "syntaxe non valide".  Si vous ne pouvez pas coller plusieurs lignes à la fois, vous devrez peut-être expérimenter avec différents programmes ssh/différents systèmes d'exploitation.

   
   

   Remarque: en mode script, la fonction auto-complete n'est pas activée. Ainsi, si vous devez vérifier la syntaxe d'une commande, vous devrez désactiver le mode de script, tester la commande, puis réactiver le mode de script.

9. Dans l'interface graphique Panorama, accédez à l'onglet objets > adresses, et confirmez que vous pouvez voir les adresses importées là-bas.  Assurez-vous que tous vos objets d'adresse ont été importés.

   
   

   Importation de groupes d'Adresses, de services, etc.
   
   

10. La conversion d'autres composants est effectuée de la même manière.  Examinez la deuxième colonne ci-dessous. Exécutez chaque commande sur le pare-feu, copiez la sortie dans votre fichier texte, éditez votre fichier texte, puis copiez ces nouvelles commandes dans Panorama.

    
    

    Note: en faisant ceci Assurez-vous que n'importe quel éditeur que vous coupez et coller dans n'a pas par tort coupé les lignes de commande où ils ont été enveloppés dans la console.  Si vous obtenez des avertissements de syntaxe non valides, vérifiez votre entrée pour voir S'il y avait des commandes Set qui ont été hachées pendant le processus de copie.

    Composante de la politique	Afficher la commande	Texte de recherche	Remplacer le texte
    	Afficher la commande	Texte de recherche	Remplacer le texte
    Adresse	afficher l'adresse	définir l'adresse	définir l'adresse partagée
    Groupes d'Adresses	afficher le groupe d'adresses	définir l'adresse-groupe	définir le groupe d'adresses partagées
    Services	afficher le service	définir le service	définir le service partagé
    Groupes de service	Show service-groupe	set service-groupe	définir le groupe de services partagés
    Paramètres du journal	afficher les paramètres du journal partagé	N/A	N/A
    Profil du serveur	afficher le profil du serveur partagé	N/A	N/A
    Application	afficher l'application	définir l'application	définir une application partagée
    Filtres d'Application	afficher l'application-filtre	définir l'application-Filter	définir le filtre d'application partagée
    Groupes d'Application	afficher application-groupe	définir l'application-groupe	définir un groupe d'applications partagées
    Remplacement d’application	Show rulebase application-override	Set rulebase application-override	Set Device-groupe <device group="">pre-rulebase application-override</device>

    
    

    Arrêtez une fois que vous obtenez à la copie de la sécurité rulebase dans Panorama.

    Importation de la sécurité Rulebase

    
    

11. Avant d'importer les stratégies de sécurité, vous devez désactiver la connexion à Panorama. Sur le pare-feu, modifiez votre profil de transfert de journal pour supprimer panorama ou modifiez chaque stratégie de sécurité et définissez le profil d'expédition du journal sur None:

    

12. Si vous venez de modifier votre configuration de pare-feu, validez vos modifications.
13. Sur le pare-feu, émettez la commande:

    afficher les règles de sécurité rulebase

    Copiez et collez toutes les règles de sécurité dans un document texte.  Examinez les commandes pour vous assurer qu'il n'y a pas de retours chariot incorrect--ceux-ci vous feront importer des données non valides et éventuellement créer des règles erronées.

14. Dans le fichier texte, faites une recherche et remplacez, en vous assurant d'utiliser le nom de votre groupe de périphériques à l'étape 1:
    • Recherche: Set rulebase Security Rules
    • Replace: Set Device-Group <device group="" name="">règles de sécurité pré-rulebase
      Remarque: la chaîne de remplacement ci-dessus suppose que vous souhaitez importer les stratégies dans votre pré-rulebase de sécurité. </device>
15. Coupez et collez ces règles dans la CLI panorama. Initialement, coupez et collez la toute première commande, puis coupez et collez toutes les commandes associées à la première règle. De cette façon, vous pouvez surveiller les erreurs. Une fois que quelques commandes sont entrées avec succès, entrez les commandes en vrac. Une fois que vous avez entré toutes les commandes avec succès, vous devriez être en mesure de voir vos stratégies dans le pré-rulebase pour votre groupe de périphérique particulier.
16. Pan-OS 5. x: les modèles de réseau et de périphériques ont été introduits pour panorama dans Pan-OS 5,0. Afin d'importer le pare-feu config dans Panorama, S'il vous plaît assurez-vous que les modèles sont configurés à l'avance avec les périphériques respectifs ajoutés dans chaque modèle avec leurs configurations (multi-VSys, opérationnel-mode, VPN-Disable-mode) en place.
    Par exemple, pour importer une configuration d'interface, exécutez la commande: Afficher l'interface réseau. Recherchez set Network et remplacez-le par set Template (nom du modèle) config. La conversion de certains des composants principaux est indiquée ci-dessous:
    

    Composant	Afficher la commande	Texte de recherche	Remplacer le texte
    Réseau	#show interface réseau	réseau #set	#set modèle (nom de modèle) réseau de configuration
    Configuration du périphérique	#show deviceconfig	#set deviceconfig	#set Template (nom de modèle) config deviceconfig

17. Pour désactiver le mode de script:
    Set CLI Scripting-mode OFF
18. Valider cette config dans Panorama.

À ce stade, les stratégies de pare-feu ont été importées et des pare-feu supplémentaires peuvent être ajoutés à ce groupe de périphériques. En outre, ces pré-règles peuvent être appliqués aux pare-feu nouvellement ajoutés.

propriétaire: gmaxwell