見出し画像

PaloaltoPA220のファームアップとかダウンとか

くらいん

Paloaltoに関する記事をいくつか書いていますが、Link先で幾つか書いていますので、ご参考になればと思います。


はじめに

 よく書いている内容ですが、「はじめに」は書くようにしています。正気なところ「Upgrade an HA Firewall Pair」を書けたことが良かったことかなと考えています。
 よく考えていることは、こういう記事があるといつか読みたくなるなという内容を書いたり、この記事とこの記事がつなげると幅が出ると考えてようにしています。

直近のネタ

■PaloaltoPA220とかPAN-VMの基本操作

■PANOSをeve-ng/GNS3にdeployしてみた

■【Google経営陣によるセキュリティ企業】PaloAltoNetworksのミッションや企業について!

■SCPでPANOSをダウンロードを試みる

 結論を先に述べますが、SCPのアドレスを設定した際に、「is invalid profile-name.Current target-vsys is none」というメッセージが表示され、vsysを設定しようとしても、vsys対応のPAシリーズ機器が有りませんでした。
Device→Software  以下、画面イメージ


対象OSを選択して「ダウンロード」をクリックする。以下、画面イメージ


必要なダウンロード、ソフトウェアを次のSCPにダウンロードしますか?と聞かれます。

今回のラボ環境では、「192.168.11.4」にSSHサーバを立てたため対象のIPアドレスを入力します。

「is invalid profile-name.Current target-vsys is none」のテキストボックス表示有り


■Configure Virtual Systems

■Vsysを作成するために必要なこと

1.スーパーユーザの管理ロール(A superuser administrative role.)
2.インターフェイスの設定
3.プ ラ ッ ト フ ォームでサポー ト さ れ る 仮想シ ス テ ムの基本数を超え る数の仮想シ ス テ ム を作成す る 場合は、 仮想シ ス テ ム ラ イ セ ン ス。プラットフォームのサポートと仮想システムのライセンス」を参照してください。

■Creating a virtual system requires that you have the following:

Vsysのプラットフォームについて確認しましたが以下になります。
Platform Support and Licensing for Virtual Systems.

日本語訳
 仮想システムは、PA-3200 シリーズ、PA-5200 シリーズ、および PA-7000 シリーズのファイアウォールでサポートされています。各ファイアウォール シリーズは、基本数の仮想システムをサポートします。PA-3200シリーズファイアウォールで複数の仮想システムをサポートし、プラットフォームでサポートされる仮想システムの基本数以上の仮想システムを作成するには、Virtual Systemsライセンスが必要です。ライセンスについては、サブスクリプションを参照してください。サポートされる仮想システムの基本数および最大数については、Compare Firewalls ツールを参照してください。
PA-220、PA-800 シリーズ、VM-Series ファイアウォールでは、複数の仮想システムはサポートされていません。

原文
 Virtual systems are supported on PA-3200 Series, PA-5200 Series, and PA-7000 Series firewalls. Each firewall series supports a base number of virtual systems; the number varies by platform. A Virtual Systems license is required to support multiple virtual systems on PA-3200 Series firewalls, and to create more than the base number of virtual systems supported on a platform.

 For license information, see Subscriptions. For the base and maximum number of virtual systems supported, see Compare Firewalls tool.

 Multiple virtual systems are not supported on the PA-220, PA-800 Series, or VM-Series firewalls.

■SCPでconfigをダウンロードできるか?

 結果:configのダウンロードはできました。「 scp export」コマンドで何ができるかの確認のために行いました。「hogehoge」と「<password入力>」以外はLab環境のアドレス体系そのままで行っています。

admin@PA-220> scp export configuration from running-config.xml to masahiro@192.168.11.4:c:/
The authenticity of host '192.168.11.4 (192.168.11.4)' can't be established.
ECDSA key fingerprint is SHA256:Bft2x66K0KQJ3KAADSFX7GOJuCnmjfZxa3Wy9ITMrOo.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '192.168.11.4' (ECDSA) to the list of known hosts.
hogehoge@192.168.11.4's password:<password入力>
running-config.xml  100%  15KB  743.0KB/s    00:00
admin@PA-220>
※「The authenticity of host '192.168.11.4 (192.168.11.4)' can't be established.」が表示されるのはSSHで1回目の接続の時のみ

scpでexportできる内容は以下の内容でした。
admin@PA-220> scp export

  • application-block-page __Use scp to export application block comfort page

  • application-pcap__ Use scp to export application packet capture

  • captive-portal-text__ Use scp to export captive portal text

  • certificate__ Use scp to export X.509 certificate

  • configuration__ Use scp to export configuration

  • core-file__ Use scp to export core-file

  • crl__ Use scp to export crl.tgz

  • debug-pcap__ Use scp to export packet capture generated for purpose of debuggingdaemons

  • device-state__ Use scp to export device-state

  • device-telemetry__ Use scp to export device-telemetry collect-now

  • dnsproxy__ Use tftp to export dnsproxy file

  • file-block-continue-page__ Use scp to export file block comfort page

  • file-block-page__ Use scp to export file block comfort page

  • filter-pcap__ Use scp to export filter packet capture

  • global-protect-portal-custom-help-page __ Use scp to export global protect help page

  • global-protect-portal-custom-home-page__ Use scp to export GlobalProtect portal custom home page

  • global-protect-portal-custom-login-page__ Use scp to export global protect login page

  • global-protect-portal-custom-welcome-page__ Use scp to export global protect welcome page

  • high-availability-key__ Use scp to export high-availability peer encryption key

  • ike-config-file__ Use scp to export IKE configuration file

  • inbound-proxy-key__ Use scp to export inbound proxy key

  • license-token-file__ Use scp to export deactivate license token file

  • log__ Use scp to export log in csv format

  • log-file__ Use scp to export log-file

  • logdb__ Use scp to export logdb

  • mfa-login-page__ Use scp to export MFA login page

  • mgmt-pcap__ Use scp to export packet capture from management interface

  • pan-url-db__ Use scp to export pan url database

  • pdf-reports__ Use scp to export PDF reports

  • pprof-file__ Use scp to export pprof-file

  • ssl-cert-status-page__ Use scp to export SSL cert status page

  • ssl-optout-text__ Use scp to export ssl optout text

  • stats-dump__ Use scp to export AVR report data (default is last 7 days)

  • tech-support__ Use scp to export tech support info

  • telemetry-data__ Use scp to export sent telemetry data

  • threat-pcap__ Use scp to export threat packet capture

  • ui-translation-mapping__ Use scp to export UI translation mapping

  • url-block-page__ Use scp to export url block comfort page

  • url-coach-text Use scp to export url coach text

  • virus-block-page__ Use scp to export virus block comfort page

  • web-interface-certificate__ Use scp to export web-interface-certificate

admin@PA-220> scp export

■PAN-OS 10.2の問題と解決済み内容のURL

 下記URLに10.2系OSの「Known and Addressed Issues」について記載されています。
https://docs.paloaltonetworks.com/pan-os/10-2/pan-os-release-notes/pan-os-10-2-0-known-and-addressed-issues

「Known and Addressed Issues」ですが、日本語では「既知の問題と対処された問題」という意味です。

■PAN-OS 10.2へのバージョンアップ

下記URLサイトを調べる必要あり
PAN-OS Upgrade Guide(PANOS 10.2 の場合)

■Downgrade a Firewall to a Previous Feature Release(英語)

https://docs.paloaltonetworks.com/pan-os/11-0/pan-os-upgrade/upgrade-pan-os/downgrade-pan-os/downgrade-a-firewall-to-a-previous-feature-release

より

PAN-OSダウンレードガイド

・ファイアウォールを以前の機能リリースにダウングレードする
次のワークフローを使用して、異なる機能リリースにアップグレードする前に実行されていた設定を復元します。アップグレード後の変更はすべて失われます。したがって、新しい機能リリースに戻ったときにそれらの変更を復元できるように、現在の構成をバックアップしておくことが重要です。ファイアウォールを以前の機能リリースにダウングレードする前に、「アップグレード/ダウングレードの考慮事項」を確認する必要が有ります。

Use the following workflow to restore the configuration that was running before you upgraded to a different feature release. Any changes made since the upgrade are lost. Therefore, it is important to back up your current configuration so you can restore those changes when you return to the newer feature release. Review the Upgrade/Downgrade Considerations before you downgrade a firewall to a previous feature release.

PAN-OS 11.0から以前のPAN-OSリリースにダウングレードするには、PAN-OS 10.1.3またはそれ以降のPAN-OS 11.0リリースをダウンロードしてインストールしてから、目的のPAN-OSリリースにダウングレードする必要があります。PAN-OS 10.1.2またはそれ以前のPAN-OS 11.0リリースにダウングレードしようとすると、PAN-OS 11.0からのダウングレードは失敗します。

To downgrade from PAN-OS 11.0 to an earlier PAN-OS release, you must download and install PAN-OS 10.1.3 or later PAN-OS 11.0 release before you can continue on your downgrade path to your target PAN-OS release. Downgrade from PAN-OS 11.0 fails if you attempt to downgrade to PAN-OS 10.1.2 or earlier PAN-OS 11.0 release.

■PANOSの EoLについて
下記URLより

以下の記事記載は、2023年1月3日
Version Release DateEnd-of-Life Date
11.1   November 3, 2023   May 3, 2027
11.0   November 17, 2022  November 17, 2024
10.2+  February 27, 2022   August 27, 2025
10.1+  May 31, 2021     December 1, 2024
10.0+  July 16, 2020     July 16, 2022
9.1+  December 13, 2019   March 31, 2024

再確認後変わっていました。2024年1月14日 Version11.1ノEoLガ5か月くらい前倒しになっていました。
Version Release Date                End-of-Life Date
11.1   November 3, 2023  November 3, 2026
11.0   November 17, 2022  November 17, 2024
10.2+  February 27, 2022   August 27, 2025
10.1+  May 31, 2021     December 1, 2024
10.0+  July 16, 2020      July 16, 2022
9.1+  December 13, 2019    March 31, 2024

■PANOS アップグレードガイドライン


PAN-OS Upgrade Guideより


ここから先は

15,162字 / 1画像

¥ 100

この記事が気に入ったらサポートをしてみませんか?