Palo Alto Firewall Panorama Configuration
Merhaba ,
Kuruluma geçmeden önce Panorama`dan biraz bahsetmek istiyorum.
Birden fazla Palo alto güvenlik duvarını merkezi yönetim sistemi ile tek noktadan yönetilebilmesi için Palo Alto tarafından geliştirilen uygulamadır. Panorama sayesinde farklı lokasyonlardaki cihazlarımızın konfigürasyonunu yönetebildiğimiz gibi daha uzun süre log kaydı tutulmasıda mümkündür.
Panorama ile ilgili daha detaylı bilgi için Panorama Datasheet dosyasını inceleyebilirsiniz.
İndirmiş olduğumuz Panorama VM sürümünü import ederek işlemimize başlıyoruz..
Import işleminden sonra Panorama sistem özelliklerinize göre uygun kaynakları kendine ayırarak gerekli konfigürasyonu otomatik olarak gerçekleştiriyor. Kurulum işlemlerini lab ortamında yaptığım için yeni interface oluşturma firewall üzerinden nat ve security policy yazmak yerine Panoramayı da güvenlik duvarı ile aynı ip blogunda çalıştırarak devam ediyorum ama siz isterseniz yeni bir interface oluşturarak panoramayı farklı ip blogunda koşturabilirsiniz.
Sanal makinamızı başlattığımızda bizi aşağıdaki ekran karşılıyor ve import ettiğimiz makina için gerekli doğrulamaları yapıyor.
Panorama varsayılan kullanıcı adı şifresi admin=admin olarak gelmektedir. İlk girişte bizden şifremizi değiştirmemizi isteyen ekran kaşılayacak ve şifreyi değiştirmeden işlemlere devam ettirmeyecektir. CMS Login ekranı geldiğinde login olmak bir süre beklemeniz gerekmektedir. Her ne kadar cihaz ayağa kalkmış olsa bile arka planda database ve network işlemlerini yapmaya devam ediyor.
show system info : Komutu ile cihazın varsayılan ip yapılandırmasını ve diğer özelliklerini inceleyebilirsiniz.
configure
set deviceconfig system type static
set deviceconfig system ip-address 10.10.20.11 netmask 255.255.255.0 default-gateway 10.10.20.1
commit
Yukarıdaki komutları kullanarak Panorama için gerekli ip yapılandırmalarını tamamlıyoruz.
CLI üzerindeki ip yapılandırma işlemlerinden sonra yine bir kaç dakika bekleyerek cihazın yeni ip adresini db ye yazmasını bekliyoruz.
Tüm yapılandırma ayarlarından sonra tarayıcımıza https://ipadresi ile erişim sağlıyoruz.
CLI ekranı ilk girişte tanımladığımız kullanıcı adı şifre ile giriş yaparak kurulumu tamamlamış oluyoruz.
Başarılı girişin ardından bizi Panorama ile ilgili bilgilendirmelerin yer aldığı hoşgeldiniz ekranı karşılıyor.
Yukarıdaki tüm adımları başarılı bir şekilde geçerek ilk kurulumu tamamladık.Hoşgeldiniz ekranından sonra Panorama lisansı ile ilgili bilgiler gelecektir. Bu adımlarda ilgili işlemleride yaparak devam edebilirsiniz.
Bazı durumlarda Panorama system-mode değiştirmemiz gerekebilir.
Cihazı kurduktan sonra ;
show system info
yada
show system info | match system-mode
Sistem bilgilerini inceleyebilir ve aşağıdaki komutla sistem modunu değiştirebilirsiniz.
request system system-mode panorama
system-mode panorama yapmak istediğinizde sizden sanal makinanızın kaynaklarında bir takım değişikler yapılması istenebilir. Gerekli değişiklikleri yaptıktan sonra yeniden system-mode panorama komutunu kullanabilirsiniz.
Giriş işleminden sonra yapacağımız ilk işlem cihaz dns ayarlarını yapılandırmak olacak.
Bundan sonraki adımlarda Panorama ile Palo Alto cihazımızı haberleştirmek kaldı.
Panorama > Managed Devices > Summary sekmelerine ilerleyerek cihaz serial bilgilerini ekliyoruz.
Panorama tarafında cihaz ekleme işlemini yaptıktan sonra Commit yapmadan Palo Alto tarafına geçerek haberleşme için gerekli Panorama ayarlarını aşağıdaki gibi yapıyoruz.
Tüm işlemlerin sonunda önce Palo Alto tarafında sonrada Panorama tarafında Commit ile değişiklikleri kaydederek işlemleri sonlandırıyoruz ve güvenlik duvarımız ile Panorama haberleşmeye başlamış oluyor.
Artık panorama üzerinden yönetilmesi için eklenen kaç cihazımız varsa tek noktadan yönetebiliriz. Eklediğimiz cihazları listelemek ve geçiş yapmak için aşağıdaki resimlerdeki adımları takip edebilirsiniz.
PA-VM cihazını seçerek ilerlediğimizde cihazı Panorama üzerinde açarak yönetmemizi sağlayacak.
Firewall ve Panorama arasında geçiş yapmak için yine aynı işlemler uygulanır.
Yukarıdaki ayarlar Panorama temel kurulum ve yapılandırma ayarlarıdır. Daha detaylı ayarları (Templates,Devices Groups ) istediğiniz gibi yaparak yönetim kolaylığı sağlayabilirsiniz.
Ayrıca aşağıdaki CLI komutları ile de Panorama CLI ekranında işlemler yapabilirsiniz.
| Description | Command |
| Display the current operational mode. | > show system info | match system-mode |
| Switch from Panorama mode to Log Collector mode. | > request system system-mode logger |
| Switch from Panorama mode to PAN-DB private cloud mode (M-500 appliance only). | > request system system-mode panurldb |
| Switch from Log Collector mode or PAN-DB private cloud mode (M-500 appliance only) to Panorama mode. | > request system system-mode panorama |
| Panorama Management Server | |
| Change the output for show commands to a format that you can run as CLI commands. | > set cli config-output-mode setThe following is an example of the output for the show device-group command after setting the output format:# show device-group branch-officesset device-group branch-offices devicesset device-group branch-offices pre-rulebase… |
| Enable or disable the connection between a firewall and Panorama. You must enter this command from the firewall CLI. | > set panorama [off | on] |
| Synchronize the configuration of M-Series appliance high availability (HA) peers. | > request high-availability sync-to-remote [running-config | candidate-config] |
| Reboot multiple firewalls or Dedicated Log Collectors. | > request batch reboot [devices | log-collectors] <serial-number> |
| Device Groups and Templates | |
| Show the history of device group commits, status of the connection to Panorama, and other information for the firewalls assigned to a device group. | > show devicegroups name <device-group-name> |
| Show the history of template commits, status of the connection to Panorama, and other information for the firewalls assigned to a template. | > show templates name <template-name> |
| Show all the policy rules and objects pushed from Panorama to a firewall. You must enter this command from the firewall CLI. | > show config pushed-shared-policy |
| Show all the network and device settings pushed from Panorama to a firewall. You must enter this command from the firewall CLI. | > show config pushed-template |
| Log Collection | |
| Show the current rate at which the Panorama management server or a Dedicated Log Collector receives firewall logs. | > debug log-collector log-collection-stats show incoming-logs |
| Show status information for log forwarding to the Panorama management server or a Dedicated Log Collector from a particular firewall (for example, the last received and generated log of each type).When you run this command at the firewall CLI (skip the device <firewall-serial-number> argument), the output also shows how many logs the firewall has forwarded. | > show logging-status device <firewall-serial-number> |
| Clear logs by type.Running this command on the Panorama management server clears logs that Panorama and Dedicated Log Collectors generated, as well as any firewall logs that the Panorama management server collected. Running this command on a Dedicated Log Collector clears the logs that it collected from firewalls. | > clear log [acc | alarm | config | hipmatch | system | threat | traffic] |
Panorama ilk kurulumda biraz yordu ama öğrenince yorulduğuma değdi diye düşünüyorum 🙂
Faydalı olması dileğiyle.
Palo Alto Firewall Panorama Configuration - Yorumlar
Yapılan Yorumlar
BENZER İÇERİKLERİlginizi çekebilecek diğer içerikler
Palo Alto Firewall CLI Commands 03 Nisan 2020
Palo Alto Firewall Port Forwarding 13 Mart 2020