PA Firewallデバイス自身に関わる、マネージメントインタフェースの設定やOSのアップグレードなど、最初実施しておくべき作業です。
想定ネットワーク構成はこちらを参照ください。
マネージメントIPの設定
マネージメントインターフェイスのデフォルトIPアドレスは、「192.168.1.1/24」(ハードウェアの場合)です。
(仮想マシンの場合は、DHCPがデフォルトです。)
そのまま利用することもできますが、本ガイドでは、以下のステップでネットワーク構成通りに変更します。
コンソール接続
コンソールポートに、PCのCOMポート・シリアルケーブルを接続します。
COMポートの設定:
Bits per sec: 9600
Data bits: 8
Parity: none
Stop bits: 1
Flow control: none
例) PA-3050
CLI
マネージメントインターフェイスのIPアドレスを10.0.0.208/24、デフォルトゲートウェイを10.0.0.1に設定します。
コンソール接続したPCのターミナル画面で、以下の赤文字部分を設定してください。
login: admin
Password: admin
admin@PA-VM> configure
Entering configuration mode
[edit]
admin@PA-VM# set deviceconfig system type static
admin@PA-VM#
admin@PA-VM# set deviceconfig system ip-address 10.0.0.208 netmask 255.255.255.0 default-gateway 10.0.0.1
admin@PA-VM# commit
Commit job 9 is in progress. Use Ctrl+C to return to command prompt
…75%98%……100%
Configuration committed successfully
[edit]
admin@PA-VM#
WebUIへのアクセス
マネージメントインターフェイスが接続されたネットワーク上のコンソール用PCから、ブラウザでhttps://10.0.0.208へアクセスします。
証明書の警告がでますが、そのままアクセスしてください。
認証画面が出ますので、「ユーザ名:admin、パスワード:admin」を入力し、「Log In」ボタンを押します。
Adminアカウントのパスワードをデフォルトのまま利用していることに関する警告がでます。「OK」を押します。
Welcome画面が出ます。「Close」をクリックします。
テレメトリーの設定画面が出ます。一旦、「Remind Me Later」をクリックします。
ダッシュボード画面が表示されます。
以降、日本語のスクリーンショットを使っているので、日本語へ切り替えます。
右下にある、「Language」をクリックします。
表示された画面のプルダウンメニューから、日本語を選択して、「OK」ボタンを押します。
メッセージ画面が出ます。「今後は表示しない」にチェックを入れて、「閉じる」をクリックします。
「有効化」をクリックすることで、以降はメッセージが出ません。
テレメトリーを使うにはデバイス証明書をインストールする必要があることを示すメッセージが出ますが、必須ではありません。
DNSとNTPの設定
PA Firewallが参照するDNSサーバーとNTPサーバーの設定を行います。
a) 「Device」 → b) 「セットアップ」 → c) 「サービス」 → d) アイコンをクリックします。
a)「プライマリ/セカンダリDNSサーバー」に、利用するDNSサーバーのIPアドレスを入力しまします。
本ガイドでは、プライマリDNSに8.8.8.8、セカンダリDNSに4.2.2.2を指定しています。
次に、b)「NTP」タブをクリックします。
a)「NTPサーバー アドレス」に、利用するNTPサーバー(例:ntp.nict.jp)を入力します。
b)「OK」をクリックします。
タイムゾーンを日本に変更します。
a)「Device」 → b)「セットアップ」 → c)「管理」 → 「一般設定」のd)アイコンをクリックします。
a)タイムゾーンで、「Asia/Tokyo」を選択し、b)表示言語で「Japanese」を選択し、c)「OK」をクリックします。
設定のコミット
実施した設定を反映するためには、コミットが必要です。
画面右上の「コミット」をクリックします。
「Commitすべての変更」にチェックが入っていることを確認して、「コミット」をクリックします。
ライセンス投入
ハードウェアと仮想版でそれぞれ異なりますので、下記Linkをご参照ください。
(どちらも英語ですが、Tipsの方法で日本語化できます。)
ハードウェアの場合:
HOW TO REGISTER AND ACTIVATE AN EVAL HARDWARE SERIAL NUMBER
仮想版の場合:
HOW TO AUTHORIZE AND INSTALL VM-SERIES AUTH-CODES
Tips:
Chromeであれば、マウスの右クリック→「日本語に翻訳」を選択することで、ページが日本語化されます。
コマンドラインなども日本語化されてしまい、見づらくなる場合もありますが、理解の助けにはなると思います。
シグネチャのダウンロードとインストール
アプリケーション識別やアンチウイルス等の各種セキュリティ機能が利用するシグネチャのダウンロードを行います。
更に、それらのダウンロードとインストールが自動的に行われるように設定します。
ダイナミック更新
アプリケーション/脆弱性防御/スパイウェア/アンチウイルスのシグネチャのダウンロードとインストールを行います。
a) 「Device」 → b) 「ダイナミック更新」 → c) 「今すぐチェック」をクリックします。
以下画面のように、ダウンロードできるシグネチャの一覧が表示されます。
最新の「アプリケーションおよび脅威」シグネチャの、アクション列の「ダウンロード」をクリックします。
ダウンロードが開始されます。完了するまで待ちます。
アクション列の「インストール」をクリックします。
「インストールの続行」をクリックします。
インストールが完了すると、a)現在インストール済み列にチェックが入った状態になります。
もう一度、b)「今すぐチェック」をクリックします。
「アンチウイルス」シグネチャのダウンロードが可能になります。
最新のシグネチャの、アクション列の「ダウンロード」をクリックします。
アクション列の「インストール」をクリックします。
インストールが完了すると、 「現在インストール済み」列にチェックが入った状態になります。
シグネチャの自動インストールの設定を行います。「スケジュール: None」をクリックします。
表示された画面で、アンチウイルスシグネチャの更新スケジュールを以下のように設定します。
同様の方法で、アプリケーションと脅威シグネチャの更新スケジュールも以下のように設定します。
同様の方法で、Wildfireシグネチャの更新スケジュールも以下のように設定します。
コミットを実行します。
OSアップグレード
PAN-OS10.1.4へのアップグレードを行います。
インターネット経由で必要なOSをダウンロードしてインストールします。
a) 「Device」 → b) 「ソフトウェア」 をクリックします。
※初回だけ「操作失敗」のエラーが出ますが、「閉じる」をクリックします。
c)「今すぐチェック」をクリックします。
現在リリースされているOSの一覧が表示されます。
a) 「現在アクティベーション済み」フィールドにチェックが入っているものが、現在のOSバージョン(本例では10.0.8-h8)です。
本ガイドでは、10.1.4へのバージョンアップを行います。
まず、ベースイメージである10.1.0が必要です。10.1.0の行のb) 「ダウンロード」をクリックします。
ソフトウェアのダウンロードが開始されます。完了するまで待ちます。
次に10.1.4のイメージをダウンロードします。
ダウンロードが完了したら、10.1.4の「インストール」をクリックします。
以下のような警告が出ます。
ここまでの設定では、バックアップを要するほどの設定はしていませんので、「OK」をクリックします。
インストールが開始されます。完了するまで待ちます。
再起動を促す画面が表示されますので、「はい」をクリックします。
再起動が行われます。(再起動するまでに5分程度かかります。)
再起動後、PA FirewallのWebUIに再ログインします。
ログイン後に表示される「DASHBOARD」 → 「一般的な情報」内の「ソフトウェアバージョン」で、現在のPAN-OSバージョンを確認できます。
コメント欄 質問や感想、追加してほしい記事のリクエストをお待ちしてます!