Cuando importa una configuración de cortafuegos, Panorama crea automáticamente una plantilla para incluir la configuración del dispositivo y red importada. Para incluir los objetos y políticas importados, Panorama crea automáticamente un grupo de dispositivos para cada cortafuegos o un grupo de dispositivos para cada sistema virtual (virtual system, vsys) en un cortafuegos de vsys múltiple.
Cuando lleva a cabo los siguientes pasos, Panorama importa la configuración completa del cortafuegos. De manera alternativa, puede cargar una configuración de cortafuegos parcial en Panorama.
Panorama puede importar configuraciones de los cortafuegos que ejecutan PAN-OS 5.0 o versiones posteriores e ingresar configuraciones en estos cortafuegos. La excepción es que Panorama 6.1 y versiones posteriores no pueden ingresar configuraciones en cortafuegos que ejecuten de PAN-OS 6.0.0 a 6.0.3.
Panorama puede importar configuraciones de los cortafuegos que ya sean dispositivos gestionados pero solo si estos no están ya asignados a grupos de dispositivos o plantillas.
STEP 1 |Planifique la migración.
Consulte la lista de verificación en Planificación de la transición a la gestión de Panorama. STEP 2 |Añada un cortafuegos como dispositivo gestionado
Añada un cortafuegos como un dispositivo gestionado:
1. Inicie sesión en Panorama, seleccione Panorama > Managed Devices (Dispositivos gestionados) y haga clic en Add (Añadir).
2. Introduzca el número de serie del cortafuegos y haga clic en OK (Aceptar).
Si importará múltiples configuraciones de cortafuegos, introduzca el número de serie de cada uno en una línea separada. De manera opcional, puede copiar y pegar los números de serie desde una hoja de datos de Microsoft Excel.
3. Haga clic en Commit (Compilar) y en Commit Type (Tipo de compilación), seleccione Panorama, y haga clic en Commit (Compilar) de nuevo.
STEP 3 |Configure una conexión entre el cortafuegos y Panorama.
1. Inicie sesión en el cortafuegos, seleccione Device (Dispositivo) > Setup (Configuración) y edite la configuración de Panorama.
2. En los campos Panorama Servers (Servidores de Panorama), introduzca las direcciones IP del servidor de gestión de Panorama.
3. Haga clic en OK (Aceptar) y Commit (Compilar).
STEP 4 |Importe una configuración de cortafuegos en Panorama.
Si más tarde decide volver a importar una configuración de cortafuegos, primero elimine el cortafuegos o sus sistemas virtuales de los grupos de dispositivos y plantillas donde originalmente los importó. (Los cortafuegos no pierden logs cuando los elimina de los grupos de dispositivos o plantillas). Debido a que las políticas y objetos importados permanecen en los grupos de dispositivos, debe moverlos, editarlos o eliminarlos manualmente cuando sea necesario. Cuando vuelva a realizar la importación, use los campos Device Group Name Prefix (Prefijo del nombre de grupo de dispositivos) para definir los nombres del grupo de dispositivos que difieren de los que Panorama creó en la importación original.
1. Desde Panorama, seleccione Panorama > Setup (Configuración) > Operations (Operaciones), haga clic en Import device configuration to Panorama (Importar configuración de dispositivo a Panorama) y seleccione Device (Dispositivo).
Panorama no puede importar una configuración de un cortafuegos que esté asignado a un grupo de dispositivos o plantilla existente.
2. Introduzca un Template Name (Nombre de plantilla). Si este es un cortafuegos con vsys múltiple, el campo estará vacío. De lo contrario, el valor predeterminado es el nombre del cortafuegos. No puede usar el nombre de una plantilla existente.
3. Para un cortafuegos con vsys múltiple, añada opcionalmente una cadena de caracteres como un Device Group Name Prefix (Prefijo del nombre de grupo de dispositivos) para todos los grupos de dispositivos.
4. (Opcional) Edite los nombres de Device Group (Grupo de dispositivos). Si este es un cortafuegos vsys múltiple, cada grupo de dispositivo tiene un nombre vsys de manera predeterminada. De lo contrario, el valor predeterminado es el nombre del cortafuegos. No puede usar los nombres de grupos de dispositivos existentes.
La casilla de verificación Import devices' shared objects into Panorama's shared
context (Importar objetos compartidos de dispositivos al contexto compartido de Panorama) está seleccionada de manera predeterminada, lo que significa
que Panorama importa objetos de Compartidos en el cortafuegos a Compartidos en Panorama. Si anula la selección de la casilla de verificación, Panorama copia los objetos del cortafuegos compartidos en grupos de dispositivos en lugar de en Compartidos. Esto podría crear objetos duplicados, de modo que seleccionar la casilla de verificación es la acción recomendada en la mayoría de los casos. Para comprender las consecuencias de importar objetos compartidos o duplicados en Panorama, consulte Planificación sobre cómo gestionar la configuración compartida.
5. Seleccione una Rule Import Location (Ubicación de importación de regla) para las reglas de
políticas importadas: Pre Rulebase (Base de regla previa) o Post Rulebase (Base de regla posterior). Independientemente de su selección, Panorama importa reglas de seguridad predeterminadas (predeterminada intrazona y predeterminada entre zonas) en la base de reglas posterior.
Si Panorama tiene una regla que se llama igual que una regla de cortafuegos que está importando, Panorama muestra ambas reglas. Elimine una de las reglas antes de realizar la compilación de Panorama para evitar un error de compilación.
6. Haga clic en OK (Aceptar). Panorama muestra el estado de la importación, el resultado, los detalles de sus selecciones, los detalles de lo que se importó y las advertencias. Haga clic en Close (Cerrar). STEP 5 |Ajuste la configuración importada.
1. En Panorama, seleccione Panorama > Config Audit (Auditoría de configuraciones), seleccione Running config (Configuración en ejecución) y Candidate config (Configuración candidata) para la comparación, haga clic en Go (Ir), y revise los resultados.
2. Actualice las configuraciones del grupo de dispositivos y plantillas según sea necesario sobre la base de la auditoría de configuración y las advertencias que Panorama mostró después de la importación. Por ejemplo:
• Elimine las reglas de política y los objetos redundantes.
• Mueva o duplique una regla de política u objeto a un grupo de dispositivos diferente. • Mueva los cortafuegos a grupos de dispositivos o plantillas diferentes.
• Mueva el grupo de dispositivos que Panorama creó durante la importación a un grupo de dispositivos primario diferente: Seleccione Panorama > Device Groups (Grupos de dispositivos), seleccione el grupo de dispositivos que desea mover y un nuevo Parent Device Group (Grupo de dispositivos primario), y haga clic en OK (Aceptar).
STEP 6 |Ingrese el lote de configuración del cortafuegos al cortafuegos para eliminar todas las reglas de políticas y objetos de su configuración local.
Este paso es necesario para evitar nombres de objetos o reglas duplicados, lo cual provocaría errores de compilación cuando ingresa la configuración del grupo de dispositivos desde Panorama al cortafuegos en el siguiente paso.
1. Haga clic en Commit (Compilar) y en Commit Type (Tipo de compilación), seleccione Panorama, y haga clic en Commit (Compilar) de nuevo. Panorama crea un lote de configuración de cortafuegos denominado <nombre_de_archivo>_import.tgz, en el que todas las políticas y objetos estén eliminados.
2. En Panorama, seleccione Panorama > Setup (Configuración) > Operations (Operaciones) y haga clic en Export or push device config bundle (Exportar o enviar lote de configuración del dispositivo). 3. Seleccione el Device (Dispositivo) desde el cual importó la configuración, haga clic en OK (Aceptar) y
luego en Push & Commit (Enviar y compilar). Panorama ingresa el lote e inicia una compilación en el cortafuegos.
STEP 7 |Ingrese la configuración del grupo de dispositivos y plantilla en el cortafuegos para completar la transición a la gestión centralizada.
Si migra varios cortafuegos, lleve a cabo todos los pasos anteriores (incluido este) en cada cortafuegos antes de continuar.
1. En Panorama, haga clic en Commit (Compilar) y para Commit Type (Tipo de compilación) seleccione Device Group (Grupo de dispositivos).
2. Seleccione las casillas de verificación Merge with Device Candidate Config (Integrar con
configuración candidata del dispositivo), Include Device and Network Templates (Incluir plantillas de dispositivo y red) y Force Template Values (Forzar valores de plantilla).
3. Seleccione los grupos de dispositivos que contienen la configuración importada del cortafuegos y haga clic en Commit (Compilar).
STEP 8 |Consolide toda la configuración importada del cortafuegos.
Esto es obligatorio si migra varios cortafuegos. La configuración podría estar duplicada entre los cortafuegos. Por ejemplo, si importó un objeto con el mismo nombre desde dos cortafuegos, debe eliminar un objeto en Panorama antes de llevar a cabo la compilación en Panorama.
1. Después de importar toda la configuración del cortafuegos, actualice los grupos de dispositivos y plantillas según sea necesario para eliminar la redundancia y mejorar la gestión de configuración. Consulte Ajuste de la configuración importada. (No es necesario volver a ingresar los lotes de configuración del cortafuegos).
2. Configure los ajustes específicos del cortafuegos.
Si los cortafuegos van a tener zonas locales, debe crearlos antes de realizar una compilación del grupo de dispositivos y plantillas. Panorama no puede sondear los cortafuegos por nombre de zona o configuración de zona. Si utiliza las reglas del cortafuegos local, asegúrese de que sus nombres sean únicos (no estén duplicados en Panorama). Si es necesario, puede cancelar un ajuste de plantilla con un valor específico del cortafuegos.
3. En Panorama, haga clic en Commit (Compilar), en Commit Type (Tipo de compilación) seleccione Device Group (Grupo de dispositivos), seleccione el grupo de dispositivos y la casilla de verificación Include Device and Network Templates (Incluir plantillas de dispositivo y red) y haga clic en Commit (Compilar).
STEP 9 |Lleve a cabo un plan de prueba posterior a la migración.
Lleve a cabo las tareas de verificación que concibió durante la planificación de la migración para confirmar que los cortafuegos funcionan de manera tan eficiente con la configuración ingresada en Panorama como lo hacen con su configuración local original. Consulte Creación de un plan de prueba posterior a la migración.