パロ ・ アルトをインポートする方法ネットワーク パノラマにはファイアウォールの設定
Resolution
概要
このドキュメントでは、既存のパロアルトネットワークファイアウォールのポリシーを手動でパノラマにインポートする方法について説明します。 アドレス、アドレスグループ、サービス、およびポリシーがインポートされるため、同じポリシーをパノラマで管理されている他のファイアウォールに適用できます。
前提条件
- あなたはその上に構成されているパンのファイアウォールを持っている。
- パノラマのインスタンスは起動してパン OS (またはより高い) 同じバージョンです。
- Web が、CLI 管理者はファイアウォールとパノラマの両方にアクセスします。
手順
- パノラマにはデバイスグループが必要です。ポリシーはこのデバイスグループにインポートされます。この目的でデバイスグループが作成されていない場合は、パノラマ GUI を使用して作成します。 現時点では、このグループにデバイスを割り当てる必要はありません。グループの例を次に示します。
新しいグループを作成した場合は、その変更をパノラマでコミットします。
- 設定をインポートするファイアウォールへの SSH。ファイアウォールに入ったら、コマンドを発行して、その出力を set 形式で表示するように CLI を設定します。
cli 設定出力フォーマットをセットします。
次に、設定モードに進みます。 以下に例を示します。
- set コマンドを使用して既存のファイアウォール構成をパノラマに変換する場合は、構成のさまざまな部分に順番に対処する必要があります。 次のものは一度に1つずつ変換されます。 PAN-OS 3.1.7 のように、順序は次に示す流れに続く。
項目 CLI コマンド アドレス 住所を表示 アドレスグループ アドレスグループの表示 サービス サービスの表示 サービス グループ サービスグループの表示 ログの設定 共有ログの設定を表示する サーバープロファイル 共有サーバーの表示-プロファイル アプリケーション アプリケーションの表示 アプリケーションフィルタ アプリケーションフィルタの表示 アプリケーショングループ アプリケーション グループを表示します。 アプリケーションのオーバーライド アプリケーションのオーバーライドを表示 rulebase セキュリティ プロファイル プロファイルの表示 セキュリティルール rulebase セキュリティルールの表示 アドレスオブジェクトをインポート
すると、ファイアウォールからのアドレスオブジェクトの表示、変換、およびインポートがパノラマになります。 - ファイアウォールで、[アドレスの表示] コマンドを発行します。
すべてのアドレスオブジェクトを表示します。 出力は次のようになります。
- すべてのアドレスセットコマンドをテキストファイルにコピーします。
- アドレスがテキストファイルに入ったら、我々は、共有アドレスを設定するには、検索と変更セットのアドレスを実行します。
このすべてのインスタンスを置き換えたら、ファイアウォールからの set オブジェクトは次のようになります。
- ターゲットパノラマサーバーへの SSH。 一度に複数のコマンドを入力できるようにするには、パノラマでスクリプトモードをオンにする必要があります。CLI をスクリプトモードに設定し、設定モードに入ります。
cli スクリプト モードに設定します。
設定します。
- 変更された set コマンドをテキストファイルからコピーし、パノラマコマンドプロンプトで貼り付けます。
"無効な構文" エラーが表示されないことを確認してください。 一度に複数の行を貼り付けることができない場合は、別の ssh プログラム/別のオペレーティングシステムを試す必要があります。
注:スクリプトモードでは、オートコンプリートは有効になっていません。したがって、コマンドの構文をチェックする必要がある場合は、スクリプトモードを無効にし、コマンドをテストしてから、スクリプトモードを再度有効にする必要があります。
- パノラマ GUI で、[オブジェクト] タブ > [アドレス] 画面に移動し、インポートしたアドレスが表示されていることを確認します。 すべてのアドレスオブジェクトがインポートされたことを確認します。
アドレスグループ、サービスなどのインポート
- 他のコンポーネントの変換も同じ方法で実行されます。 次の2番目の列を調べます。ファイアウォール上の各コマンドを実行し、テキストファイルに出力をコピーし、テキストファイルを編集してから、それらの新しいコマンドをパノラマにコピーします。
注:これを行うときには、カットと貼り付けているすべてのエディタが誤ってコンソールに包まれたコマンドラインをカットしていないことを確認してください。 無効な構文警告が表示された場合は、入力をチェックして、コピー処理中にみじん切りにした set コマンドがあるかどうかを確認します。
ポリシー コンポーネント コマンドを表示 検索テキスト テキストの置換 コマンドを表示 検索テキスト テキストの置換 アドレス 住所を表示 アドレスの設定 共有アドレスの設定 アドレスグループ アドレスグループの表示 アドレスグループの設定 共有アドレスグループの設定 サービス サービスの表示 サービスの設定 共有サービスの設定 サービス グループ サービスグループの表示 サービスグループの設定 共有サービスグループの設定 ログの設定 共有ログの設定を表示する N/A N/A サーバープロファイル 共有サーバーの表示-プロファイル N/A N/A アプリケーション アプリケーションの表示 アプリケーションの設定 共有アプリケーションの設定 アプリケーションフィルタ アプリケーションフィルタの表示 アプリケーションフィルタの設定 共有アプリケーションフィルタの設定 アプリケーショングループ アプリケーション グループを表示します。 アプリケーショングループの設定 共有アプリケーショングループの設定 アプリケーションのオーバーライド アプリケーションのオーバーライドを表示 rulebase rulebase アプリケーションのオーバーライドの設定 デバイスグループの<device group="">rulebase アプリケーションの上書き</device>を設定する あなたがパノラマにセキュリティ rulebase のコピーを取得したら停止します。
セキュリティ Rulebase のインポート
- セキュリティポリシーをインポートする前に、パノラマへのログ記録を無効にする必要があります。ファイアウォールで、ログ転送プロファイルを変更してパノラマを削除するか、各セキュリティポリシーを編集して、ログ転送プロファイルを [なし] に設定します。
- ファイアウォールの構成を変更しただけであれば、変更をコミットしてください。
- ファイアウォールで、次のコマンドを発行します。
rulebase セキュリティルールの表示
すべてのセキュリティルールをコピーして、テキストドキュメントに貼り付けます。 コマンドを確認して、正しくないキャリッジリターンがないことを確認します (無効なデータをインポートし、誤ったルールを作成する可能性があります)。
- テキストファイルで、検索と置換を行い、手順1からデバイスグループ名を使用するようにします。
- 検索: rulebase セキュリティルールの設定
- 置換: デバイスグループの<device group="" name="">rulebase セキュリティ規則を設定する
注:上記の置換文字列は、ポリシーをセキュリティのプレ rulebase にインポートすることを前提としています。</device>
- これらのルールを切り取り、パノラマ CLI に貼り付けます。最初のコマンドを切り取り、貼り付け、最初のルールに関連付けられたすべてのコマンドを切り取り、貼り付けます。この方法では、エラーを監視することができます。いくつかのコマンドが正常に入力されたら、コマンドを一括で入力します。すべてのコマンドを正常に入力すると、特定のデバイス・グループの rulebase にポリシーが表示されるようになります。
- pan-os 4.x:ネットワークとデバイスのテンプレートは、汎 os 5.0 のパノラマのために導入されました。ファイアウォール設定をパノラマにインポートするには、テンプレートが各テンプレートに追加された各デバイスをあらかじめ構成 (マルチ vsys、オペレーションモード、vpn 無効化モード) に設定していることを確認してください。
たとえば、インターフェイスの構成をインポートするには、コマンドを実行します: ネットワークインターフェイスを表示します。セットネットワークを検索し、set テンプレート (テンプレートの名前) に置き換えます。いくつかの主要なコンポーネントの変換は以下のとおりです。コンポーネント コマンドを表示 検索テキスト テキストの置換 ネットワーク #show ネットワークインターフェイス #set ネットワーク #set テンプレート (テンプレート名) 設定ネットワーク デバイスの設定 #show deviceconfig #set deviceconfig #set テンプレート (テンプレート名) 設定 deviceconfig - スクリプトモードをオフにするには:
cli スクリプトの設定-モードをオフにする - この設定をパノラマでコミットします。
この時点で、ファイアウォールポリシーがインポートされ、このデバイスグループに追加のファイアウォールを追加できます。また、これらの事前ルールは、新しく追加されたファイアウォールに適用することができます。
所有者: gmaxwell