Palo Alto - Firewall - Configuração de gerenciamento do sistema

Este post auxilia na definição das configurações básicas para manutenção e gerenciamento dos firewalls de nova geração da Palo Alto. Relacionei abaixo os comandos necessários para colocar o appliance em operação. São definidos parâmetros básicos de rede como endereço da interface de gerência, hostname, default-gateway e outras configurações relacionadas aos serviços que serão utilizados pelo firewall. Todas as configurações reportadas estão relacionadas ao comando set deviceconfig system.

Definição do hostname e informação de domínio do appliance

 # set deviceconfig system hostname <name>

 # set deviceconfig system domain <value>

O nome é case-sensitive. Podem ser utilizados hiféns e underlines junto a letras e números. Para as definições de domínio deve ser informado o FQDN (Fully Qualified Domain Name) do firewall.


Definição de parâmetros relacionados à interface de gerência (MGT)

 # set deviceconfig system ip-address <ip_address> netmask <value>

 # set deviceconfig system default-gateway <gateway_ip_address>

 # set deviceconfig system speed-duplex (100Mbps-full-duplex | 1Gbps-full-duplex | auto-negotiate)

Definição de restrição de acesso ao appliance

 # set deviceconfig system permitted-ip <ip/netmask>

O comando permitted-ip restringe o acesso ao gerenciamento do firewall para os endereços IP definidos.


Definição de uma mensagem de boas vindas

 # set deviceconfig system login-banner <value>

O login-banner é uma mensagem de texto apresentada ao usuário na tela de login do firewall. É uma mensagem informativa que server de aviso para usuários ou de alerta para os desavisados que por ventura se deparem com a tela de autenticação do appliance.


Definição do time-zone

 # set deviceconfig system timezone <value>

Definição da localização geográfica

 # set deviceconfig system geo-location

Opções:
+ latitude    latitude coordinate
+ longitude   longitude coordinate


Definição de parâmetros do SNMP

 # set deviceconfig system snmp-setting snmp-system contact <value>

 # set deviceconfig system snmp-setting snmp-system location <value>

 # set deviceconfig system snmp-setting access-setting version (v2c | v3)

São definidos parâmetros de syslocation, contact e versão do SNMP. Na versão 2 é necessário apenas a definição da community-string, já na versão 3 informações de autenticação precisam ser definidas.

 # set deviceconfig system snmp-setting access-setting version v2c snmp-community-string <value>

ou

 # set deviceconfig system snmp-setting access-setting version v3 users <value>

Opções version v3:
+ authpwd   Authentication Protocol Password
+ privpwd   Privacy Protocol Password
+ view      Snmp View Name



Definindo configurações de Serviços
As definições abaixo estão relacionadas aos serviços que o firewall precisará utilizar na sua rede. Servidores de DNS (Domain Name System), NTP (Network Time Protocol) e Proxy. Para cada um destes serviços é possível indicar uma interface a qual o firewall utilizará para alcançá-los. Por default, a interface de gerenciamento (MGT) é utilizada em todas as comunicações.


Definição dos servidores DNS primário e secundário

 # set deviceconfig system dns-setting servers primary <ip_dns_server1>

 # set deviceconfig system dns-setting servers secondary <ip_dns_server2>

Definição dos servidores de NTP

 # set deviceconfig system ntp-server-1 <ip_ntp_server1>

 # set deviceconfig system ntp-server-2 <ip_ntp_server2>

Definição de proxy

 # set deviceconfig system secure-proxy-server <value>

 # set deviceconfig system secure-proxy-port <port_number>

 # set deviceconfig system secure-proxy-user <username>

 # set deviceconfig system secure-proxy-password <password>

Caso o firewall precise utilizar um proxy para a comunicação com a Internet você deverá definir o IP/Hostname do proxy assim como as informação da porta de serviço utilizada, username e password.


Definição de rota para os serviços
Como informado anteriormente, aqui você define como o firewall irá se comunicar com outros servidores/serviços em sua rede. Você pode definir a interface que o appliance utilizará para alcançar cada um destes. Caso você precise que o firewall se comunique com um tipo de serviço não relacionado entre as opções do comando set deviceconfig system route service, você pode especificar através do comando set deviceconfig system route destination o ip de qualquer outro servidor.

 # set deviceconfig system route service <service> source-address <interface_ip_address>

Opções:
  crl-status         CRL servers
  dns                DNS server(s)
  email              SMTP gateway(s)
  netflow            Netflow server(s)
  ntp                NTP server(s)
  paloalto-updates   Palo Alto update server
  panorama           Panorama server
  proxy              Proxy server
  radius             RADIUS server
  snmp               SNMP server(s)
  syslog             Syslog server(s)
  uid-agent          UID agent(s)
  url-updates        URL update server
  wildfire           WildFire service

ou

 # set deviceconfig system route destination <ip-address> source-address <interface_ip_address>

________________________________________________

As informações contidas acima foram baseadas em documentos publicados pela Palo Alto Networks referentes a versão PAN-OS 5.0. Mais Informações: Palo Alto Networks