如何导入帕洛阿尔托网络防火墙配置成全景图

概述

本文档介绍如何将现有帕洛阿尔托网络防火墙的策略手动导入全景图。  将导入地址、地址组、服务和策略, 以便可以将相同的策略应用于由全景管理的其他防火墙。

假设

• 您有一个泛型防火墙, 它有一个配置。
• 全景图的一个实例是启动和运行相同版本的泛操作系统 （或更高）。
• 您的 Web 和 CLI 管理员访问的防火墙和全景。

步骤

1. 您将需要一个全景上的设备组。这些策略将导入到此设备组中。如果尚未为此目的创建设备组, 请使用全景 GUI 创建一个。  目前没有必要将任何设备分配给此组。下面是一个示例组:

   

   如果创建了一个新组, 请在全景图中提交更改。

2. SSH 到要导入其配置的防火墙。在防火墙中, 通过发出命令, 将 CLI 配置为以 set 格式显示其输出:

   cli 配置输出格式集

   然后转到配置模式。  下面是一个示例：

   

3. 将现有防火墙配置通过 set 命令转换为全景图时, 需要按顺序处理配置的不同部分。  以下转换一次。  由于泛 OS 3.1.7, 订单遵循下面显示的流程。

   项目	CLI 命令
   地址	显示地址
   地址组	显示地址组
   服务	展会服务
   服务组	显示服务-组
   日志设置	显示共享日志设置
   服务器配置文件	显示共享服务器配置文件
   应用程序	显示应用程序
   应用程序筛选器	显示应用程序筛选器
   应用程序组	显示应用程序组
   应用程序重写	显示规则库应用程序-覆盖
   安全配置文件	显示配置文件
   安全规则	显示规则库安全规则

   
   

   导入地址对象会将
   地址对象从防火墙显示、转换和导入到全景图中。
   
   

4. 在防火墙上, 发出命令:显示地址

   显示所有地址对象。  您的输出应该类似于以下内容:

   

5. 将所有地址集命令复制到文本文件中。
6. 一旦您的地址在文本文件中, 我们将执行搜索和更改设置地址来设置共享地址。

   

   替换了此类的所有实例后, 防火墙中的 set 对象应如下所列:

   

7. SSH 到目标全景服务器。  为了能够一次输入多个命令, 您需要在全景中打开脚本模式。将 CLI 设置为脚本模式, 然后输入配置模式:

   在上设置 cli 脚本模式

   配置

   

8. 从文本文件复制修改后的 set 命令, 并在全景命令提示符下粘贴它们:

   

   请确保没有看到 "无效语法" 错误。  如果一次不能粘贴多行, 则可能需要尝试使用不同的 ssh 程序/不同的操作系统。

   
   

   注意:在脚本模式中, 未启用自动完成. 因此, 如果需要检查命令的语法, 则需要禁用脚本模式, 测试命令, 然后重新启用脚本模式。

9. 在全景 GUI 中, 转到 "对象" 选项卡 "地址" 屏幕, 并确认您可以在那里看到导入的地址。  请确保导入了所有地址对象。

   
   

   导入地址组、服务等。
   
   

10. 其他组件的转换以相同的方式执行。  检查下面的第二列。执行防火墙上的每个命令, 将输出复制到文本文件, 编辑文本文件, 然后将这些新命令复制到全景图中。

    
    

    注意: 在执行此操作时, 请确保正在剪切和粘贴的任何编辑器不会错误地剪切在控制台中包装的命令行.  如果收到无效的语法警告, 请检查您的输入, 看看是否有任何 set 命令在复制过程中被切碎。

    策略组件	显示命令	搜索文本	替换文本
    	显示命令	搜索文本	替换文本
    地址	显示地址	设置地址	设置共享地址
    地址组	显示地址组	设置地址组	设置共享地址组
    服务	展会服务	设置服务	设置共享服务
    服务组	显示服务-组	设置服务组	设置共享服务组
    日志设置	显示共享日志设置	N/A	N/A
    服务器配置文件	显示共享服务器配置文件	N/A	N/A
    应用程序	显示应用程序	设置应用程序	设置共享应用程序
    应用程序筛选器	显示应用程序筛选器	设置应用程序筛选器	设置共享应用程序筛选器
    应用程序组	显示应用程序组	设置应用程序组	设置共享应用程序组
    应用程序重写	显示规则库应用程序-覆盖	设置规则库应用程序-重写	设置设备组<device group="">预规则库应用程序-覆盖</device>

    
    

    一旦你把安全规则库复制到全景图中就停止了。

    导入安全规则库

    
    

11. 在导入安全策略之前, 您需要禁用日志记录到全景图。在防火墙上, 修改日志转发配置文件以删除全景图, 或编辑每个安全策略并将日志转发配置文件设置为 none:

    

12. 如果只是修改了防火墙配置, 请提交更改。
13. 在防火墙上, 发出命令:

    显示规则库安全规则

    将所有安全规则复制并粘贴到文本文档中。  检查命令以确保没有错误的回车-这些将导致您导入无效数据, 并可能创建错误的规则。

14. 在文本文件中, 进行搜索并替换, 确保在步骤1中使用您的设备组名称:
    • 搜索: 设置规则库安全规则
    • 替换: 设置设备组<device group="" name="">预规则库安全规则
      注意:上面的替换字符串假定您希望将策略导入到安全预规则库中. </device>
15. 将这些规则剪切并粘贴到全景 CLI 中。最初, 剪切并粘贴第一个命令, 然后剪切并粘贴与第一条规则关联的所有命令。这样, 您就可以监视错误。一旦成功输入了几个命令, 就可以批量输入命令。成功输入所有命令后, 您应该能够在特定设备组的预规则库中查看策略。
16. 泛 os 5.x:在 pan os 5.0 中引入了网络和设备模板, 用于全景图. 为了将防火墙配置导入到全景图中, 请确保模板是预先配置的, 并将其配置 (多 vsys、操作模式、vpn 禁用模式) 添加到每个模板中的相应设备。
    例如, 要导入接口配置, 请运行命令:显示网络接口. 搜索集网络并将其替换为 set 模板 (模板名称) 配置。下面显示了一些主要组件的转换:
    

    组件	显示命令	搜索文本	替换文本
    网络	#show 网络接口	#set 网络	#set 模板 (模板名称) 配置网络
    设备配置	#show deviceconfig	#set deviceconfig	#set 模板 (模板名称) 配置 deviceconfig

17. 关闭脚本模式:
    设置 cli 脚本-关闭模式
18. 在全景图中提交此配置。

此时, 已导入防火墙策略, 并且可以将其他防火墙添加到此设备组中。此外, 这些预置规则可应用于新添加的防火墙。

所有者: gmaxwell