Palo Alto 機器設定のための基礎知識

ファイアウォール(UTM)
2021.05.10

作業環境

  • 型番: PA-200
  • バージョン: 8.1.19

機器の起動

機器を起動させるためには機器に電源ケーブルを接続します。

Palo Alto は起動完了までに 10 分程度かかるため気長に待ちます。
STATUS LED がグリーンになったら起動完了です。

図: PA-200 外観

初期ログイン用情報

初期ログインユーザ

  • ユーザ名: admin
  • パスワード: admin

MGT ポートの初期 IP アドレス

  • 初期管理アドレス: 192.168.1.1/24

GUI へアクセスする流れ

 1. 作業用端末の IP アドレスを Palo Alto の管理 IP アドレスと同じセグメントに設定
 2. [https://<管理 IP アドレス>] にアクセス

 3. ログイン画面が表示されるためユーザ情報を入力しログイン
 4. 管理画面が表示される

CLI での操作の流れ

  • オペレーショナルモード: ログイン直後のモードです
    • プロンプト: [ユーザ名@ホスト名>]
  • コンフィグレーションモード: 設定変更を行うモードです
    • プロンプト: [ユーザ名@ホスト名#]

CLI 操作時の注意点

  • コンソール接続の場合は文字の表示がおかしいので、可能な限り SSH での接続を推奨します

設定変更とコンフィグについて

Palo Alto では以下の 2 種類のコンフィグがあります。

  • running config
    • 現在稼働中のコンフィグ
    • 機器起動時に読み込まれるコンフィグ
  • candidate config
    • 設定変更時にメモリに保存される、設定変更中のコンフィグ
    • 機器動作へは影響しない

他メーカ機器によくある startup config は Palo Alto には無く、代わりに running config が起動時に読み込まれます。

図: 設定変更操作の流れ

設定変更の確定(commit)

candidate config は設定変更の確定 (commit 処理) を行うことで running config に上書きされ、機器動作に反映されます。

commit の実施方法は、GUI であれば画面右上の [コミット] から行えます。

CLI であればコンフィグレーションモードで commit コマンドを実行します。

admin@PA-200# commit



Commit job 3 is in progress. Use Ctrl+C to return to command prompt
..................................55%.......75%.....98%......................100%
Configuration committed successfully

[edit]
admin@PA-200#

commit 処理時間は長く、PA-200 の場合は 2 分程度要します。

各種コンフィグと変更差分の確認

オペレーショナルモードにて以下コマンドでコンフィグを確認できます。

  • show config running
    • running config を表示
  • show config candidate
    • candidate config を表示
  • show config diff
    • running config と candidate config の差分を表示
    • 削除設定は「-」、追加設定は「+」と表記されます
admin@PA-200>admin@PA-200> show config diff
                 virtual-wire ethernet1/1;
               }
             }
-            dmz {
+            internal {
               network {
                 tap;

設定コマンド形式でのコンフィグ表示

デフォルトでは階層形式でのコンフィグ表示となっています。設定コマンド形式で表示させたい場合は以下手順を踏みます。

  1. > set cli config-output-format set
  2. > configure
  3. # show
admin@Palo01> set cli config-output-format set
admin@Palo01> configure
Entering configuration mode
[edit]
admin@Palo01# show
set deviceconfig system ip-address 192.168.1.1
set deviceconfig system netmask 255.255.255.0
set deviceconfig system update-server updates.paloaltonetworks.com
set deviceconfig system update-schedule threats recurring weekly day-of-week wednesday
set deviceconfig system update-schedule threats recurring weekly at 01:02
set deviceconfig system update-schedule threats recurring weekly action download-only
#後略

階層形式での表示に戻すためには以下コマンドを実行します。

  • > set cli config-output-format default

ターミナルログをまとめて表示

Cisco でいうところの ter len 0 的なコマンド。

  • > set cli pager off

設定変更の取り消し

未確定の設定変更をすべて取り消すには、コンフィグレーションモードで revert config を実行します。

admin@PA-200# revert config

All changes were reverted from configuration
[edit]
admin@PA-200#

GUI で行う場合は、[Device > セットアップ > 操作] 画面の [最後に保存した設定に戻します] から実行できます。

保存 (save) について

commit とは別に save という操作がありますが、これはコンフィグの世代管理などのためにコンフィグファイルを保存する操作であり、動作内容は commit とは異なります。

機器の再起動とシャットダウン

CLI であれば以下のコマンドになります。

  • request restart system
    • 再起動
  • request shutdown system
    • シャットダウン

これらの操作は通常はコンソール接続して実行するかと思います。

admin@PA-200> request shutdown system
Warning: executing this command will leave the system in a shutdown state. Power must be removed and reapplied for the system to restart.  Do you want to continue? (y or n)

cp: cannot stat `/opt/pancfg/mgmt/wf_ramdisk/wildfire-images/*': No such file or directory
cp: cannot stat `/opt/pancfg/mgmt/wf_ramdisk/updates/oldwildfire/*': No such file or directory

Shutting down NFS mountd: [  OK  ]
Shutting down NFS daemon: nfsd: last server has exited, flushing export cache
[  OK  ]
Shutting down NFS services:  [  OK  ]
Stopping xinetd: [  OK  ]
Stopping NFS statd: [  OK  ]
Stopping portmap: [  OK  ]
Shutting down kernel logger: [  OK  ]
Shutting down system logger: [  OK  ]
Stopping Networking: SIOCGIFFLAGS: No such device
[  OK  ]
Starting killall:  Stopping crond: [  OK  ]
Shutting down ntpd: [  OK  ]
Stopping syslog-ng: [  OK  ]
[  OK  ]
Sending all processes the TERM signal...
Sending all processes the KILL signal...
Saving random seed:
Syncing hardware clock to system time
Turning off swap:
Unmounting pipe file systems:
Unmounting file systems:
Halting system...
sd 0:0:0:0: [sda] Synchronizing SCSI cache
sd 0:0:0:0: [sda] Stopping disk
reboot: System halted

System halted が表示されたら電源ケーブルを抜いて OK です。

GUI で行う場合は [Device > セットアップ > 操作] 画面の [デバイスの操作] 欄から再起動とシャットダウン操作が行えます。

コンフィグの初期化

コンフィグの初期化は以下コマンドで行います。

  • request system private-data-reset

このコマンドですべてのログの削除も行われます。

admin@PA-200> request system private-data-reset
Executing this command will remove all logs and configuration will revert back to factory defaults. The system will restart and then reset the data. Are you sure you want to continue? (y/n) (y or n)

工場出荷状態に戻すためには機器をメンテナンスモードで起動し、ファクトリーリセットを実行する必要があります。詳細な方法についてはここでは省略します。

―――――――――――――

Palo Alto 機器設定用情報まとめ
基礎知識PaloAlto機器設定のための基礎知識セキュリティポリシー【PaloAlto】セキュリティポリシー設定を完全理解する【PaloAlto】ポリシーコンフィグ作成をVBAマクロで自動化するその他情報:PaloAlto専門ブログその他情...
nwengblog.com
2021.05.10

スポンサーリンク
タイトルとURLをコピーしました