🤞🏽 👩🏽‍⚕️ 🧓🏼 パロアルトネットワークスのパノラマ。セットアップと管理の基本 🙍🏼 🕰️ 🙍🏻

読者の皆さん、こんにちは！今日は、Palo Alto NetworksのPanoramaなどの製品について簡単に説明します。なんらかの理由で、ロシア語には設定と仕事の基本原則に関する十分な情報がありません。さて、それらのギャップを埋めましょう。

パノラマはパロアルトネットワークスの次世代集中型ファイアウォール監視および管理（NGFW）システムであり、最近ますます人気が高まっています。特に、Angara Professional Assistanceでは、この製品を頻繁に使用しています。 2019年、アナリスト機関であるガートナーは、マジッククアドラントのリーダーとして8回認められました。 Panoramaを使用すると、すべてのファイアウォールからのログの集約と保存、レポートの作成、設定の管理（柔軟なアクセス制御を使用）、ライセンス、更新、さらにはハードウェアの状態の監視を行うことができます。

しかし、順番に始めましょう。

パノラマはPAKまたは仮想アプライアンスとして提供されます。仮想アプレットにはPAKと同じ機能があります。仮想アプレットは、VMware ESXi、Google Cloud Platform、Amazon Web Services、Microsoft Azureにデプロイできます。ライセンスはすべてのプラットフォームで同じです。パノラマはクラスター作業をサポートします。

パノラマは3つのモードで動作します（実際には4つですが、後者は非常に古く、新しいインストールにはお勧めしません）。

パノラマモードはデフォルトの動作モードです。このモードでは、デバイスは他のファイアウォールを制御し、それらからログを収集できます。
ログコレクターモード-このモードでは、Panoramaは対応するファイアウォールからのみログを収集します。
管理専用モード-自明です。パノラマはデバイスのみを管理します。

したがって、Panoramaをネットワークに統合するための一般的なアーキテクチャソリューションがいくつかあります。

最も人気のあるアーキテクチャとパノラマモードを見てみましょう。このモードはデフォルトで使用されるため、アクティブにするために追加の手順は必要ありません。

サポートポータルでデバイスを登録したら、IP 192.168.1.252、admin / adminのMGTインターフェイスを介してPanoramaに接続します。仮想アプレットを使用する場合は、コマンドラインで初期設定を行う必要があります。

# set deviceconfig system ip-address <Panorama-IP> netmask <netmask> default-gateway <gateway-IP> dns-setting servers primary <DNS-IP>

最初のインターフェースは、ファイアウォールで見られるものと非常に似ています。

完全なインターフェイスは、テンプレートとデバイスグループのセクションを構成した後で使用できますが、後で詳しく説明します。

ライセンシング

仮想デバイスを使用する場合は、パロアルトネットワークのカスタマーサポートポータルで仮想デバイスのシリアル番号を生成し、セクションに入力する必要がありますPanorama > Setup > Management > General Settings。次に、セクションでライセンスをアップロードする必要がありますPanorama > Licenses > License Management。

トレーニング

パノラマでは、ファイアウォールにインストールされているバージョン以上のPAN-OSおよび動的更新をインストールすることをお勧めします。これはセクションPanorama > Softwareとで行うことができますPanorama > Dynamic Updates。同じセクションで、自動署名更新を構成することが望ましいです。一般に、Panoramaバージョンは、メインリリースのフレームワーク内でファイアウォールと5〜6バージョン上まで異なることが許可されています。たとえば、Panoramaバージョン9.0.6およびファイアウォールバージョン9.0.2。

デバイスの初期構成は、ファイアウォールで実行するものとそれほど変わりません。セクションでPanorama > Setup > Management Services、DNSサーバーとNTPサーバーを登録します（CLIで最初に登録しなかった場合）。

設定は同じ方法で適用されます-ここでは3つの部分に分けられている[コミット]メニューを使用します：パノラマにコミット、デバイスにプッシュ、コミットとプッシュ。

パノラマにコミット-設定をパノラマデバイスにのみ適用します。
デバイスにプッシュ-適用された（実行中の構成）パノラマをファイアウォールに送信します。ちなみに、この操作を実行すると表示されるウィンドウで、ファイアウォールデータのリストやその他の設定を選択できます。
コミットしてプッシュ-設定をパノラマに適用し、それをスレーブデバイスに送信します。

ファイアウォールをファイアウォールに追加する

それでは、このソリューションが作成された機能に移りましょう。つまり、その後の管理のためにファイアウォールを追加します。

これは3つのステップで行われます。

ファイアウォールでのパノラマサーバーアドレスの構成。
ファイアウォールのシリアル番号をパノラマに追加します。
コミットを介してすべての設定を保存します。

ファイアウォールで、セクションに移動しDevice > Setup > Managementます。その後、[パノラマ設定]セクションで、パノラマサーバーのIPアドレスを指定します。

パノラマで、セクションに移動しPanorama > Managed Devices > Summaryます。

[追加]ボタンをクリックして、ファイアウォールのシリアル番号を追加します。

ファイアウォールとパノラマのすべての設定を適用します。

その後、同じメニューPanorama > Managed Devices > Summaryで、デバイスのステータスが「接続済み」になり、シリアル番号、IPアドレス、モデル、署名ベースのバージョンなどの情報が表示されます。

たとえば、長期間使用されているファイアウォールを追加して、既存のすべてのポリシーと設定をパノラマの制御下で転送する必要がある場合は、微妙な違いがあります。または、何百ものファイアウォールを移行してプロセスを自動化する必要がある場合。この段階ではすべてのニュアンスに触れることはせず、プロセスはまったく難しいとは言えません。

テンプレート

テンプレートとデバイスグループは、Panoramaを使用している人にとって最初は理解するのが最も難しい2つの主要な設定です。

テンプレートは、Panoramaで作成されたオブジェクトで、ファイアウォールのネットワークセクションとデバイスセクションに関連するデータを保存します。

テンプレートはセクションで作成されPanorama > Templatesます。このセクションは最初は空です。追加ボタンをクリックして、最初のテンプレートを追加する必要があります。その直後に、2つの新しいセクション（ネットワークとデバイス）がパノラマWebインターフェースに表示されます。

複数のテンプレートが存在する可能性があるため、Panoramaの[ネットワーク]および[デバイス]セクションに変更を加える場合は、適切なテンプレートを選択する必要があります。

テンプレート選択メニュー

テンプレートスタックは、8つのテンプレートから形成できるセットです。階層的には8層のように見えます。上位層の設定は下位層に伝達され、優先順位が高くなります。通常のテンプレートと同じセクションに作成されます。

テンプレート変数

Panoramaによって管理され、10.0.1.1 / 24から10.0.100.1/24までの内部IPアドレスを持つ多くのファイアウォールがあるとします。それぞれに対して100の異なるテンプレートを作成しないようにするために、変数値機能を使用できます。

上記の状況の例を使用して、これを行う方法を見てみましょう。

メニューにPanorama > Templates移動して、ファイアウォールインターフェースのIPアドレスを処理するテンプレートを作成します。それを「ファイアウォールインターフェース」と呼びましょう。メニューにNetwork > Interfaces移動して、作成したテンプレートが上から選択されていることを確認した後、必要なインターフェイスの設定に移動します（例：ethernet1 / 1）。 IPv4セクションに移動し、[追加]ボタンをクリックしてIPアドレス値を追加してから、[新規X ]をクリックします。変数。ここで新しい変数を作成できます。名前と意味を付けましょう。パノラマに接続されているすべてのファイアウォールが表示され

ているメニューPanorama > Managed Devices > Summaryに移動しましょう。アイデアに従って、アドレス10.0.2.1/24を持つファイアウォールを選択し、[変数]列の[作成]ボタンをクリックすると、[デバイス変数定義の作成]ウィンドウが開きます。

[いいえ]を選択して[OK]をクリックします。 Device $ nameのテンプレート変数ウィンドウが開きます。

次に、作成した$ Inside_IP変数を選択して、[上書き]ボタンをクリックします。必要なIPアドレス10.0.2.1/24を入力します。

必要なすべてのファイアウォールに対してこれらの手順を繰り返してから、構成を適用しますCommit > Commit and Push。

これらのアクションにより、Panoramaを使用して、1つのテンプレート内の複数のファイアウォールに異なる値を入力できました。また、ファイアウォールで直接上書き機能を使用することにより、あまり便利ではない方法をとることもできます。管理者がパノラマからの値の上書きを許可している場合、ファイアウォールでこの機能をローカルに使用して、パノラマから送信された値（この場合はIPアドレス）を上書きできます。

最後に、PanoramaのインターフェイスのIPアドレスをまったく定義しない場合がありますが、各ITUでローカルに定義します。

変数（テンプレート変数）をファイルにエクスポートし、編集してインポートできます。これはセクションで行うことができますPanorama > Templates。これを行うには、必要なテンプレートを選択し、それを開かずに、X Variable CSV > Export... このファイルを開いたら、使用する各ファイアウォールの値を変更し、同じ方法でこのファイルをインポートする必要があります。この方法は間違いなく高速で、多数のファイアウォールを管理している場合は時間を節約できます。

デバイスグループ

次に、同様の概念であるデバイスグループについて説明します。

デバイスグループは、ファイアウォールで作成されたポリシーおよびオブジェクトセクションに関連するデータを格納する、Panoramaで作成されたオブジェクトです。

デバイスグループはセクションで作成されPanorama > Device Groupsます。このセクションは最初は空です。追加ボタンをクリックして、最初のグループを追加する必要があります。その直後に、2つの新しいセクション（ポリシーとオブジェクト）がパノラマWebインターフェースに表示されます。

テンプレートと同様に、デバイスグループは特定のファイアウォールに割り当てられます。ファイアウォールは、グループ階層に属することもできます。原理はテンプレートとは少し異なります。

グループ階層の例

最初のグループを作成すると、Sharedという共通のグループが作成され、その設定が他のすべてのグループに適用されることに注意してください。

デバイスグループにデバイスを割り当てたが、テンプレートを割り当てなかった場合はどうなりますか？

たとえば、新しいセキュリティポリシーを作成するときに問題が発生する可能性があります。ゾーンを選択するセクションでは、[Any]以外は使用できません。これは、これらのゾーンが指定されるデバイスに割り当てられたテンプレートが1つもないためです。この問題を解決する1つの方法は、参照テンプレートを使用することです。デバイスグループを作成してデバイスを追加するときに、テンプレートへのリンクを提供することもできます。

参照テンプレート

ゾーンを指定するテンプレートを作成し、メニューからそのテンプレートにリンクして、デバイスグループを作成または編集できます。

ポリシー

すでに知っているように、デバイスグループは、Panoramaからファイアウォールに送信されるポリシーも管理します。通常のポリシーエディターとは異なり、ここには新しいセクションがあります。事前ルール、事後ルール、デフォルトルールです。

階層的な観点から見ると、すべてが次のように機能します（通常のデバイスグループに加えて、共有の共有グループもあることを忘れないでください）。

一見すると、これは少し怖いように見えるかもしれませんが、実際には、すべてがはるかに単純です。ポリシーの階層は、最初のいくつかのルールが作成された後に明確になります。さらに、結果のルールがエンドデバイスでどのように表示されるかを常に確認できます。これを行うには、ポリシー編集セクションの[ ルールのプレビュー ]ボタンを使用できます。

ルールを作成するときに、特定のデバイスにポリシーを割り当てるターゲットを選択することもできます。実際には、記事の作成者は、この機能が最も便利ではないと考えています。これは、デバイスが通常1つのウィンドウに表示されている場合、さまざまなデバイスのポリシーと混同される可能性があるためです。しかし、それはすべて人に依存します。おそらくそれは一部にとって便利だと思われるでしょう。

ポリシーの対象となるデバイスの選択

注文を愛する人のための非常に興味深い機能もあります。パノラマ設定では、ルールの作成時に入力する必要がある必須フィールドを設定できます。そうしないと、「コミット失敗」が発生します。これは便利で、たとえば、管理者が作成したルールに常に説明を追加したり、タグを追加したりするように指示します。説明によって、このルールまたはそのルールのアイデアを理解できます。タグによって、ルールをグループ化し、不要なルールを除外できます。

グローバルに、これはメニューで設定されますPanorama > Setup > Management > Policy Rulebase Settings。

テンプレートレベルでは、これはメニューで設定されますDevices > Setup > Management > Policy Rulebase Settings。

ロギング

次に、ログを調べてみましょう。

パノラマは、ローカルとリモートの2つのソースからログに関する情報を受け取ります。

ローカルソース-ファイアウォール自体によってパノラマに送信されたログ。PanoramaがログコレクターおよびCortexデータレイクから要求および受信したログ（この記事ではそれらについては触れません）。

リモートソース-ファイアウォールから要求されたログ。

ログには、サマリーデータベースと詳細ログの2種類もあります。

サマリーデータベース-ファイアウォールは、ログ転送ルールが設定されていなくても、15分ごとにログを集約し、それらを組み立て（一部のフィールドと情報はログから削除されます）、Panoramaに送信します。これらのログには、アプリケーション統計、脅威、トラフィック、トンネル検査、およびURLフィルタリングに関する情報が含まれています。
詳細なログ-これらのログには、完全な情報とすべてのフィールドが含まれています。パノラマは、ファイアウォール自体にこれらのログを要求します。また、ファイアウォールに存在するために、転送ログの設定を構成する必要があります。

ログ自体を表示するためのインターフェースは、ファイアウォールで表示されるものとほぼ同じです。ACC、通常のダッシュボード、およびモニターセクションがあります。また、レポートを生成するためのセクションも同じです。

問題を検索

次に、最上位の問題のデバッグを見てみましょう。

[デバイスの概要]セクションを頻繁に確認する価値があります。そこには、Panoramaに接続されているデバイスのステータスに関する情報があります。たとえば、次の状況を確認できます

。この場合、「コミット失敗」エラーが原因でファイアウォール構成がパノラマと同期していないことがわかります。このエラーの原因に関する情報は、赤いコミット失敗のリンクをクリックすると表示できます。

メニュー上Panorama > Managed Devices > Healthデバイスの状態に関する情報を取得できます。スループット、1秒あたりの新しいセッションの数、セッションの総数、データプレーンと管理プレーンのプロセッサ負荷、メモリ使用量、1秒あたりのログの数、ファンと電源の状態です。また、これらすべての情報はグラフの形で表示できます。

リソースとデバッグについて言及したので、この記事のフレームワーク内では、Pan（w）achromeと呼ばれるChromeブラウザー用の素晴らしいプラグインについて言及します。...ファイアウォールのWebインターフェースで資格情報を入力するとオンになります。プラグインでは、デバイスの状態に関する一般情報を表示し、パノラマで表示されるよりも詳細なリソースの読み込みに関する情報を取得できるだけでなく、特定のカウンターの統計を表示することもできます（完全なリストはスクリーンショットに収まりませんでした）：

もちろん、この情報は、より詳細な形式で、カウンタの説明とともにデバイスのCLIで確認できますが、これはデバッグに関する別の記事のトピックです。このプラグインを使用すると、特定のデバイスで何が起こっているかをグラフィック形式で視覚的に評価できます。また、新たに発生する問題の70％では、これで十分です。

さて、「地球の」問題に戻りましょう。ファイアウォールへのパノラマ接続に関連する最も一般的な問題の1つ。これを行うには、次のポートの可用性を確認する必要があります。

3978-ファイアウォールおよびログコレクターとのパノラマ通信。
28443-パノラマからスレーブデバイスへのソフトウェアの更新。
28-パノラマHAノード間の通信（暗号化）;
28260、28769-パノラマHAノード間の通信（暗号化されていない）。

また、エラーはファイアウォールの[モニター]セクション> Logs > Systemで確認でき、フィルターでフィルターできます（「説明にはパノラマが含まれています」）。

デバイスの交換

最後に、Panoramaに接続されているファイアウォールの交換など、あまり一般的ではない状況に触れましょう。古いデバイスから新しいデバイスにライセンスを転送する際のニュアンスを省き（「ライセンスをスペアデバイスに転送する方法」のリクエストに関する公式マニュアルで確認できます）、直接セットアップシーケンスに進みます。

新しいファイアウォールの基本設定を行います。mgmtインターフェースを介してアクセスを構成し、PAN-OSバージョンが一致していることを確認する必要があります。動的更新セクションで署名バージョンを確認することも価値があります。
パノラマを介して、古いデバイスの「デバイスの状態」をエクスポートします。コマンドラインに移動して、次のコマンドのいずれかを実行します（サーバーでサポートされているプロトコルに応じて、構成をエクスポートします）。
```
> scp export device-state device <old-serial#> to <login>@<serverIP>:<path>
```
または：
```
> tftp export device-state device <old-serial#> to <login>@<serverIP>:<path>
```
, :
```
> replace device old <old-serial#> new <new-serial#>
```
«device state» . Device > Setup > Operations > Import device state .
Commit.

もちろん、私たちはパノラマ設定の一番上を通過しただけで、多くのニュアンスには触れませんでした。ただし、上部を理解することで、ファイアウォールをPanoramaに接続し、その基本的な機能を理解し、より細かいカスタマイズを自分で開始できます。

このトピックがあなたにとって興味深いものであることが判明した場合は、次の記事で、通常はテクニカルサポートまたはASC（Authorized Support Center）に解決策を提供するデバッグ（トラブルシューティング）の問題をより詳細にカバーするように努めます。

次のようなトピックについて触れます。

CLI。ニュアンスとライフハック。
トラブルシューティングのためのテクニカルサポートファイルの使用。
フローロジック。
パケットをキャプチャします。
パケット診断。
着信トラフィックのトラブルシューティング。VPN、Ike、IPsec。
通過トラフィックのトラブルシューティング。
システムサービス（DAEMONS）。
証明書とSSLインスペクションのトラブルシューティング。
User-IDのトラブルシューティング。
GlobalProtectトラブルシューティング。

このトピックに興味がある場合はコメントを残してください。

パロアルトネットワークスのパノラマ。セットアップと管理の基本