Panoramaのインストールと設定 - Live

How to Install and Configure Panorama
Panoramaのインストールと設定
Panorama は Palo Alto Networks のサポートサイトからダウンロード可能な VMware イ
メージです。
本書は Panorama のインストールと、Panorama でのデバイス管理に関する手順を示しま
す。
確認事項

VMware/panorama をインストールするサーバがありますか？最低スペックとして
2GB RAM、2GHz CPU が必要です。

サーバのベース OS は何ですか？

どのバージョンの VMware を使いますか？
○
VMware player は無料ですが、Panorama にアロケートする RAM や追
加ディスクなどコンフィグの調整ができません。
○
VMware server も無料ですが、1 テラバイトまでディスクスペースをサ
ポートします。
○
VMware ESX は無料ではありませんが、2 テラバイトまでディスクスペ
ースをサポートします。VMware ESX はベース OS が不要で、ESX を直接ハ
ードウェアにインストールできます。

Panorama サーバの IP アドレスは何ですか？
次に進む前に、Panorama を使用するサーバに VMware がインストールされていることを
確認してください。
ブートPanoramaイメージのダウンロード
1.
https://support.paloaltonetworks.com にて Panorama のシリアル番号を登録しま
す。シリアル番号を入力すると、Panorama にソフトウェアダウンロードページが現
れます。最新の Panorama イメージ zip ファイルをインストールさせるサーバへダウ
ンロードします。
2.
Panorama イメージ zip ファイルを解凍します。
3.
VMware を起動します。VMware にて File > Open を選択し Panorama のディレク
トリに移動します。
4.
panorama.vmdk ファイルを開きます。
5.
VMware のスタートボタンをクリックし Panorama ソフトウェアを開始します。
6.
Panorama がブートするのを待ちます。コンソールのログインプロンプトが現れます。
ネットワークインタフェースの設定
7.
ログイン名とパスワードとして “admin” を使ってコンソールにログインします。
8.
“configure” と入力し CLI のコンフィグレーションモードへ移行します。
9.
ネットワークを設定するには以下を 1 行で入力します。
set deviceconfig system ip-address <Panorama IP> netmask <netmask>
default-gateway <gateway IP> dns-primary <dns-IP>
commit を入力し変更を反映します。exit を入力しコンフィグレーションモードから退出
します。
ping host <target-IP> コマンドを使ってデフォルトゲートウェイまたはその他サーバ
へのネットワーク接続性を試験します。ping は成功するはずです。以下にこれらコマンド
の例を示します。
ping が成功するまで次の手順に移らないでください。
初期GUIログイン
10. サーバかネットワーク上の PC にてブラウザを開き、 https://<Panorama の IP> へ
接続します。証明書のエラーが現れますが、これは期待された動作です。
11. ユーザ名とパスワードを “admin” として Panorama の Web インタフェースへログ
インします。
12. Panorama の GUI にて Panorama タブへ移動します。左側の列で Administrators
を選択します。
13. “admin” という名前をクリックします。New Password と Confirm New Password
フィールドに新しいパスワードを入力し OK をクリックします。
OSのアップデート
14. GUI にて、Panorama タブ > Setup へ移動します。スクリーンの左下隅で Set
Serial Number をクリックします。
与えられたシリアル番号を入力します。
15. 同じスクリーンで Set Time をクリックし、正しい時刻に変更します。
16. 同じスクリーンの最上位にある Edit...をクリックします。
Primary NTP server に NTP サーバのアドレスを入力します。
17. Panorama に変更を保存するため Commit をクリックします。
18. Panorama タブ > Software へ移動し、Refresh をクリックします。スクリーンが
更新され、インストール可能な Panorama のバージョンが表示されます。エラーが表
示された場合、入力したシリアル番号が正しいか確認してください。
19. download をクリックし Panorama の最新バージョンをダウンロードします。ダウン
ロードが失敗する場合、以下を確認してください。

Panorama に有効な DNS サーバが設定されていること (Panorama タブ >
Setup スクリーン)

443 番ポートを使って Panorama がインターネットへ接続できること
20. Install をクリックして Panorama の最新バージョンをインストールします。インス
トールを完了するには Panorama をリブートします。
管理コネクション暗号化用SSL証明書の生成
21. Panorama の GUI へログインします。
22. Panorama タブ > Certificate スクリーンへ移動し、Generate a self signed
certificate をクリックします。
ダイアログ内で生成する証明書の詳細を入力します。どのフィールドのエントリにも
スペースを使用しないでください。OK をクリックします。
管理デバイスの追加
23. ここでは PAN ファイアウォールの管理インタフェースが既にネットワークに接続され
ており、Panorama サーバから疎通可能であると仮定します。これを確認するには、
VMware または SSH 経由で Panorama の CLI へ移動し、ファイアウォールの管理 IP
アドレス宛に ping を行います。
24. 管理されるファイアウォールの GUI を表示し、管理者としてデバイスにログインしま
す。Dashboard タブで General Information ウィジットを閲覧します。このウィ
ジット内でファイアウォールのシリアル番号を確認します。コンピュータのクリップ
ボードにシリアル番号をコピーします。
25. Panorama GUI にて Panorama タブ > Managed Devices スクリーンへ移動しま
す。
26. ページ下部にある Add/Remove Device ボタンをクリックします。管理されるデバ
イスのシリアル番号を入力し Add をクリックします。必要に応じて別のファイアウォ
ールを追加します。
27. OK をクリックします。Panorama の変更を保存するため Commit をクリックします。
28. ファイアウォールの GUI にて Device タブ > Setup スクリーンへ移動します。最上
部の Edit...をクリックします。
29. Panorama フィールドに Panorama の IP アドレスを入力し、OK をクリックします。
30. ファイアウォールにて変更を反映するため Commit をクリックします。
31. ファイアウォールの GUI にて Monitor タブ > Logs > System へ移動し system ロ
グを閲覧します。1 分後に以下のようなメッセージが確認できます。
32. Panorama GUI にて Monitor タブ > Logs > System へ移動します。以下のような
メッセージが確認できます。
33. Panorama GUI にて Panorama タブ > Managed Device スクリーンへ移動します。
Connected 列 に チ ェ ッ ク マ ー ク が 表 示 さ れ て い て フ ァ イ ア ウ ォ ー ル が 正 し く
Panorama に接続されていることを確認します。
34. デバイスグループにより、Panorama でポリシーを適用する際、複数のデバイスを１
つのユニットとして扱うよう定義することができます。Panorama タブ > Device
Groups スクリーンへ移動し、新規デバイスグループを生成します。グループ名にス
ペースを使わないでください。グループにデバイスを追加します。グループに２つ以
上のデバイスを追加する場合は、ユーザ情報を取得するためのマスタデバイスを選択
します。
35. Panorama にて commit をクリックし変更を反映します。
36. ここで、管理デバイスは以下のように表示されます。
37. シェアードポリシーは複数デバイスへ送信可能な Panorama に存在するポリシーです。
シェアードポリシーは Panorama の Policies タブで設定します。初期状態では
Panorama にシェアードポリシー (pre-rules と post-rules と呼ばれる) は存在しま
せん。
38. Panorama タブ > Managed Devices スクリーンにて、初期状態では Shared Policy
Status に Out of Sync と表示されます。
各デバイスの隣にある “commit all” アイコンをクリックすることでこのエラーを修
復できます。このときデバイスには何も送出されないので心配不要です。
commit all 実施中にファイアウォールの CLI へログインすると、以下のようなジョブ
状態を確認できます。
commit all 完了後、Shared Policy Status は In Sync となります。
Panoramaの利用
ここからは、Panorama を使って各管理ファイアウォールの設定変更を行うことができま
す。これを行うには、スクリーンの左上部にあるプルダウンメニューにて Panorama のコ
ンテキストを変更します。
system, config, traffic ログを Panorama へ転送するようファイアウォールデバイスを設
定することもできます。詳細は PANOS Administrators Guide の Chapter 10 および 11
を参照してください。