문제점 RMA 교체 방화벽을 구성하는 방법 환경 Panorama에서 관리하는 Palo Alto 방화벽 PAN-OS 해결책 개요 방화벽을 교체하거나 복구하려면 인증된 지원 공급자에게 RMA 교체 요청을 case 하나 오픈해서 진행해야 합니다. 해당 문서는 운영 환경에 맞게 교체 준비하는 방법에 대해 설명합니다. 단계 1. 새 방화벽 등록 및 라이센스 이전: 수령 시 새 장치를 등록하고 이전 장치에서 라이센스를 이전합니다. Palo Alto Networks가 고장난 장치를 받은 후 이전 라이선스는 제거되므로 라이선스를 즉시 이전하는 것이 중요합니다. 2. 관리 인터페이스를 구성합니다. 2.1 기본 관리 인터페이스 IP는 192.168.1.1이고 기본 로그인/비밀번호는 admin/admin입니다. 2.2 NTP(Device > Setup > Services) 또는 날짜 및 시간(Device > Setup > Management > General Settings) 구성 2.3 인터넷에 액세스할 수 있도록 관리 인터페이스를 구성하고 Device > Setup > Services(디바이스 설정 서비스)에서 DNS 서버를 구성합니다. 이 인터페이스는 updates.paloaltonetworks.com 와 통신할 수 있어야 합니다. 2.4 또는 관리를 위해 인터넷 액세스를 통해 Layer 3 인터페이스를 활성화하도록 서비스 경로를 구성합니다. 장비에서 적절한 인터페이스, 라우팅 및 정책을 구성해야 합니다. Device > Setup(디바이스 설정) > Service Route Configuration(서비스 경로 컨피그레이션)으로 이동하여 paloalto-updates 및 dns에 적합한 인터페이스 IP 주소를 선택합니다. 예를 들면 다음과 같습니다. 2.5 이전에 장치로 전송된 라이선스를 검색합니다. Device > Licenses(디바이스 라이선스) > Retrieve license keys from license server(라이선스 서버에서 라이선스 키 검색)로 이동합니다. 각 기능에 대한 라이센스가 동일한 페이지에 표시됩니다. URL 필터링 라이센스가 있어야 하고, URL 필터링이 활성화되어 있으며, 데이터베이스가 성공적으로 다운로드되었는지 확인합니다. "지금 다운로드" 링크가 표시되면 데이터베이스가 다운로드되지 않은 것입니다. 성공적으로 활성화되고 다운로드된 PAN-DB URL 필터링 데이터베이스는 다음과 같습니다.   2.5.1 이제 필요한 경우 장치를 업그레이드할 준비가 되었습니다. 지금 확인> 장치 > 동적 업데이트 > 응용 프로그램 및 위협에서 사용 가능한 앱 또는 앱+위협 패키지를 다운로드하여 설치합니다. 장치에 다운로드하여 설치할 수 있는 패키지가 나열됩니다. 2.5.2 PAN-OS를 업데이트하려면 장치 > 소프트웨어 > 새로 고침으로 이동합니다. 2.5.3 해당하는 경우 이전 방화벽과 동일한 다중 vsys 또는 점보 프레임을 사용하도록 설정합니다. > set system setting multi-vsys on > set system setting jumbo-frame on 교체 디바이스에서 이전에 백업한 구성을 로드하려면 아래 사용 사례를 따르십시오. 참고: 구성을 복원하기 전에 마스터 키가 변경된 경우 변경된 마스터 키를 방화벽에 추가합니다. 그렇지 않으면 구성을 방화벽에 커밋할 수 없습니다.   2.5.4 사례 1: 이전 디바이스가 여전히 네트워크에 연결되어 있고 방화벽이 파노라마에서 관리되지 않았습니다. 2.5.4.1 새 방화벽의 관리 네트워크만 연결되었다고 가정합니다. 2.5.4.2 이전 장치에서 Device > Setup(디바이스 설정)을 저장하고 Save Named Configuration Snapshot(명명된 컨피그레이션 스냅샷 저장)> Device > Setup(명명된 컨피그레이션 스냅샷 내보내기)> Export Named Configuration Snapshot(명명된 컨피그레이션 스냅샷 내보내기)을 도출합니다. 2.5.4.3 새 디바이스에서 Device > Setup(디바이스 설정)> Import Named Configuration Snapshot(명명된 컨피그레이션 스냅샷 가져오기)으로 이동하여 백업된 컨피그레이션을 디바이스로 가져옵니다. 2.5.4.4 구성을 가져오면 가져온 구성을 로드하고 Device > Setup(디바이스 설정)으로 이동하여 Load Named Configuration Snapshot(명명된 컨피그레이션 스냅샷 로드)> 이동합니다. 2.5.4.5 동일한 관리 네트워크에 연결된 경우 기존 디바이스와 충돌하지 않도록 관리 IP 및 호스트 이름을 변경합니다. 나중에 필요한 경우 다시 변경할 수 있습니다. 2.5.4.6 커밋 오류를 해결하고 구성을 커밋합니다. 2.5.4.7 이전 장치를 제거하고 네트워크 케이블을 새 장치로 옮깁니다.   2.5.5 사례 2: 이전 디바이스가 여전히 네트워크에 연결되어 있고 방화벽이 파노라마에서 관리됩니다. 2.5.5.1 새 장치의 관리만 연결되어 있다고 가정하고 이전 장치로 이동하여 장치 상태를 내보냅니다(장치 > 설정 > 장치 상태 내보내기). 2.5.5.2 새 장치: 장치 > 설정 > 장치 상태 가져오기로 이동하여 백업된 장치 상태를 장치로 가져옵니다. 이렇게 하면 방화벽은 이전 장치와 정확히 동일한 설정을 갖게 됩니다(동일한 IP 및 호스트 이름도 포함). 구성을 로드할 필요가 없습니다. 2.5.5.3 이 시점에서 이전 방화벽을 제거할 수 있습니다. 2.5.5.4 Panorama CLI에서 이전 일련 번호를 새 일련 번호로 교체합니다.디바이스 이전 <이전 SN#> 새 <새 SN#> 및 로컬 커밋을 커밋하고 방화벽에 커밋을 푸시하여 동기화합니다. 2.5.6 사례 3: 이전 디바이스는 더 이상 백업을 수행할 수 없으며 방화벽이 Panorama에서 관리되지 않았습니다. 2.5.6.1 더 이상 컴퓨터에 액세스할 수 없으면 생각할 수 있는 모든 위치에서 구성을 찾아야 합니다. 여기에는 이전 지원 사례 또는 사용자 환경의 어딘가에 백업되어 저장될 수 있는 기술 지원 파일을 찾는 것이 포함됩니다. 항상 구성을 백업하는 것을 잊지 마십시오. 2.5.6.2 오래된 방화벽에서 오래된 기술 지원을 찾으십시오. /opt/pancfg/mgmt/saved-config/running- config.xml 에서 컨피그레이션을 가져올 수 있습니다 2.5.6.3 이전 기술 지원을 사용할 수 없는 경우 방화벽에서 유지 관리 모드를 사용하여 이전 구성을 백업할 수 있습니다. 유지 관리  2.5.6.4 기술 지원 파일이 발견되면 running-config.xml 파일을 가져와서 새 방화벽으로 가져옵니다. Device > Setup(장치 설정)> Import Named Configuration Snapshot(명명된 구성 스냅샷 가져오기)을 선택합니다. 커밋하고 디바이스가 실행 중인지 확인합니다.   2.5.7 사례 4: 이전 디바이스는 더 이상 백업을 수행할 수 없으며 방화벽은 Panorama에서 관리됩니다.. 2.5.7.1 Panorama CLI로 이동하여 SCP(Secure Copy) 또는 TFTP를 사용하여 이전 방화벽에서 컴퓨터로 디바이스 상태 번들을 내보냅니다. export 명령은 디바이스 상태 번들을 tar 압축 파일로 생성하고 지정된 위치로 내보냅니다. 이 디바이스 상태에는 LSVPN 동적 구성(위성 정보 및 인증서 세부 정보) 이 포함되지 않습니다. > scp export device-state device <old serial#> to <login>@<serverIP>:<path> or > tftp export device-state device <old serial#> to <serverIP> 2.5.7.2 이전 방화벽의 일련 번호를 Panorama에 있는 새 교체 방화벽의 일련 번호로 교체합니다. Panorama에서 일련 번호를 교체하면 방화벽에서 컨피그레이션을 복원한 후 새 방화벽이 Panorama에 연결할 수 있습니다. > replace device old <old SN#> new <new SN#> > configure # commit 2.5.7.3 방화벽 웹 인터페이스에 로그인합니다. 장치 > 설정 > 작업을 선택하고 장치 상태 가져오기를 클릭합니다. 2.5.7.4 (PAN-OS 10.1+만 해당): 장치 > 설정 > 관리를 선택하고 파노라마 설정을 편집합니다. Panorama에서 생성된 인증 키(Panorama > Device Registration Auth Key)를 입력합니다. 변경 내용을 방화벽에 커밋합니다. 방화벽이 Panorama에 다시 연결되지 않으면 매니지드 디바이스 연결을 Panorama로 복구해야 할 수 있습니다   2.5.8 사례 5: 이전 디바이스는 더 이상 백업을 수행할 수 없으며 방화벽은 Panorama를 사용하여 관리되지만, 방화벽은 방화벽이 통신할 수 있고 통신할 수 있는 완전한 컨피그레이션을 가져야 하는 데이터 플레인 포트를 사용하여 Panorama와 통신합니다. 2.5.8.1 전체 구성에는 Panorama가 관리하는 중앙 집중식 구성과 방화벽의 로컬 구성이 포함됩니다. 2.5.8.2 이러한 방화벽의 장치 상태는 관리 파노라마에서 생성하고 내보낼 수 있습니다. 2.5.8.3 Panorama는 마지막으로 커밋된 로컬 구성과 Panorama 구성을 기반으로 디바이스 상태를 생성할 수 있습니다. 2.5.8.4 일련 번호를 바꾸고 방화벽 상태를 가져오면 Panorama를 사용하여 방화벽 관리를 재개할 수 있습니다. 2.5.8.5 Panorama CLI에서 tftp export device-state device<일련 번호> to <server-ip> 또는 scp export device-state device<serial number> to pantac@<scp-server-ip>:/home/ 명령을 사용합니다. 2.5.8.6 그런 다음 장치 상태를 사용하여 새 장치로 가져오고 Panorama와의 통신을 복원합니다. 2.5.8.7 Panorama에서 이전 S/N을 새 S/N으로 교체: 장치 이전 <이전 SN#> 새 >새 SN#> 교체하고 로컬로 커밋합니다. 2.5.8.8 이제 Panorama가 새 장치에 대해 "연결됨"으로 표시되어야 합니다. Panorama > 매니지드 디바이스 > 요약 2.5.8.9 Panorama에서 이제 DG 및 템플릿 커밋을 새 방화벽으로 푸시합니다. 이 커밋은 후보를 병합하고 Panorama에서 구성을 푸시해야 합니다. 2.5.8.10 커밋 오류가 없으면 디바이스가 실행 중이어야 합니다.   2.5.9 NAT 인터페이스와 동일한 서브넷에 있는 소스 및 대상 NAT에 NAT IP를 사용하는 경우(인터페이스 자체의 IP 제외) 방화벽에서 수동 무상 ARP를 수행하여 피어의 ARP 테이블을 업데이트해야 합니다. 예를 들어 인터페이스 IP가 198.51.100.1/24이고 NAT에 198.51.100.2을 사용하는 경우 198.51.100.2에 대해 GARP를 전송해야 합니다.   > test arp gratuitous ip <ip> interface <interface>   2.5.10 결함이 있는 장치를 반환하십시오. 반환하기 전에 공장 기본값을 복원하려면 Palo Alto Networks 디바이스를 공장 초기화하는 방법을 참조하거나 PAN-OS 6.0 이상을 실행하는 경우 유지 관리 모드에 대한 SSH가 가능하므로 유지 관리 모드로 SSH하는 방법을 검토하십시오. 장애가 발생한 방화벽의 사전 교체가 포함된 지원 구독이 있는 고객은 교체품을 받은 후 결함이 있는 장치를 Palo Alto Networks에 반환해야 합니다. 미국 고객 - 반품 배송 라벨은 교체품과 함께 상자에 들어 있습니다. 라벨을 상자에 부착하여 결함이 있는 장치를 반품하십시오. 해외 고객 - 교체 배송 상자에 있는 반품 지침 및 문서를 참조하십시오.    

해결책 내 방화벽(firewall)은 더 많은 것을 할 수 있을까요? 사용자 정의 애플리케이션과 앱 오버라이드입니다!   환경에 따라 사용자 정의로 생성된 독자적인 애플리케이션이나 트래픽이 있을 수 있습니다. 사용자 정의 이름으로 식별하고자 할 수도 있습니다. 예를 들어, 웹 서비스를 운영 중인데 Palo Alto Networks 방화벽에서는 해당 서비스를 웹 브라우징으로 식별하는 경우가 있습니다. 이는 보고서 작성을 어렵게 만들 수 있습니다. 또는 특정 앱 식별자를 사용하는 일련의 연결에 대해 QoS를 적용하고자 할 수도 있습니다.   이러한 문제를 해결하기 위해 트래픽에서 특정 시그니처와 일치하는 사용자 정의 App-ID를 생성하거나, 애플리케이션 오버라이드를 사용하여 특정 세션을 구성한 애플리케이션으로 강제로 식별할 수 있습니다.   시그니처 기반의 사용자 정의 앱은 방화벽을 통과하는 패킷에서 시그니처를 명확히 식별하기 위해 App-ID 엔진을 활용합니다. 예측 가능하거나 쉽게 식별 가능한 시그니처를 사용하는 독점적인 애플리케이션을 식별하려는 경우, 정규식을 사용하여 시그니처를 식별하는 데 도움이 되는 사용자 정의 애플리케이션을 생성할 수 있습니다.   예시: 내부에서 URL인 www.example.com에서 실행 중인 웹 서비스가 있습니다. 이는 일반적인 웹사이트이므로 방화벽은 'web-browsing' App-ID로 식별합니다.   시그니처 기반 사용자 정의 App-ID   패킷 캡처를 통해 서버로 향하는 트래픽을 자세히 살펴보면, 식별 가능한 시그니처로는 호스트명이 될 수 있습니다.   사용자 정의 앱을 만들려면 애플리케이션으로 이동하여 새 애플리케이션을 생성하십시오. 애플리케이션 속성을 설정하고 필요한 경우 부모 앱(Parent App)을 설정합니다. 부모 앱은 트래픽이 이미 애플리케이션으로 식별되는 경우 사용되며, 이를 통해 App-ID가 사용자 정의 앱을 올바르게 보고할 수 있습니다. App-ID에 의해 현재 식별되지 않는 독점적인 애플리케이션의 경우 부모 앱은 "없음"으로 설정할 수 있습니다. 고려해야 할 몇 가지 주의 사항이 있습니다. 고급 탭 (advanced tab)에서는 이 애플리케이션이 사용할 포트나 프로토콜을 설정할 수 있으며, 또한 이 애플리케이션에 대한 위협 스캔 여부를 지정할 수도 있습니다. 그러나 몇 가지 주의할 점이 있습니다: 사용자 정의 애플리케이션에 스캔 옵션이 선택되지 않은 경우, 사용자 정의 애플리케이션이 식별되면 위협 엔진은 트래픽 검사를 중단합니다. 사용자 정의 앱에 일반 App-ID로 식별 가능한 부모 앱이 없거나 앱 오버라이드에 사용되지 않은 경우, 위협 스캔이 불가능합니다.   시그니처 탭에서는 애플리케이션을 식별하는 데 필요한 모든 시그니처를 추가할 수 있습니다. App-ID 엔진은 단일 트랜잭션(클라이언트에서 서버 또는 서버에서 클라이언트로의 단일 패킷)이나 전체 세션(하나 이상의 패킷에 걸쳐 시그니처가 분산될 수 있는 세션)에서 잠재적인 시그니처를 탐색하도록 지시할 수 있습니다. 시그니처를 찾을 위치와 컨텍스트에 대해 다양한 옵션이 있습니다. 여러 시그니처 세트를 'AND' 또는 'OR' 조건으로 추가할 수도 있습니다. 만약 이 모든 것이 약간 혼란스러워 보인다면 걱정하지 마세요. 사용자 정의 시그니처로 어떤 것을 달성할 수 있는지에 대해 보다 자세히 설명하는 여러 도움말 문서를 제공했습니다. 현재로서는 간단하게 유지하고, HTTP 요청 호스트 헤더에서 시그니처를 찾을 것입니다. 제 시그니처는 간단히 정규식 형식의 호스트 이름입니다. 이는 점이 와일드카드가 아닌 문자임을 나타내기 위해 점 앞에 역슬래시가 있어야 합니다. 또한, 시그니처가 GET 요청에서 찾을 수 있다는 것을 나타내기 위해 한정자를 http-method GET으로 설정하겠습니다.   이 사용자 정의 애플리케이션이 적용된 후에는 방화벽이 웹 서버로의 모든 연결을 새 애플리케이션으로 식별하게 됩니다. 우리는 이제 사용자 정의 애플리케이션을 기반으로 보고서를 생성하고, 특정한 트래픽이 사이트에 접근하는지를 모니터링할 수 있게 되었습니다.   위의 단계는 애플리케이션을 쉽게 식별할 수 있는 경우에 완벽하게 작동하지만, 때로는 데이터 스트림을 자세히 살펴보고 특정 시그니처를 식별하는 것이 필요하지 않거나 심지어 불가능할 수도 있습니다.   애플리케이션 오버라이드   애플리케이션 오버라이드(Application Override)는 AppID 프로세스를 강제로 우회하고 수동으로 구성된 애플리케이션 이름과 일치하는 세션을 설정합니다. 이와 같이 처리되는 세션은 병렬 처리로 스캔되지 않으며, 패스트패스로 오프로드됩니다. 대부분의 사용 사례에서는 앱 오버라이드를 우회하거나 시그니처 감지를 우회하는 것이므로 가능한 한 속성이 적은 간단한 사용자 정의 애플리케이션을 생성하는 것을 권장합니다. 이는 세션을 사용자 정의 애플리케이션으로만 식별하고 추가 조치를 취하지 않습니다. 이는 내부 애플리케이션을 식별하고 세션이 하드웨어로 즉시 오프로드되어 처리량을 향상시킬 수 있는 매우 간단하면서도 강력한 도구가 될 수 있습니다. 그러나 보안 문제를 고려해야 합니다.