Palo Alto Networks Guide de L'administrateur Panorama Panorama 6.0

Palo Alto Networks®
Guide de l'administrateur Panorama
Panorama 6.0
Coordonnées de contact
Siège social :
Palo Alto Networks
4401 Great America Parkway
Santa Clara, CA 95054
http://www.paloaltonetworks.com/contact/contact/
À propos de ce guide
Ce guide explique comment installer et utiliser Panorama pour la gestion
centralisée ; il est destiné aux administrateurs qui souhaitent bénéficier d'une
trame de base pour installer rapidement l'appareil Panorama virtuel ou l'appareil
M-100 pour l'administration centralisée des pare-feux Palo Alto Networks.
Si vous êtes équipé d'un appareil M-100, ce guide vous concerne une fois que
vous avez procédé au montage en baie de votre appareil M-100.m
Pour plus d'informations, reportez-vous aux sources qui suivent :
 Guide de l'administrateur de Palo Alto Network : donne des instructions
sur la configuration des fonctions sur le pare-feu. Le guide de
l'administrateur de Palo Alto vous assistera avec éléments de Panorama
similaires à ceux des pare-feux et qui ne sont pas abordés dans ce guide.
 https://live.paloaltonetworks.com : permet d'accéder à la base de
connaissances, à un ensemble de documentation complets à des forums de
discussion et à des vidéos.
 https://support.paloaltonetworks.com : permet de contacter le support
technique pour avoir des informations sur les programmes d'assistance ou
pour gérer votre compte ou vos périphériques.
Pour nous communiquer vos remarques sur la documentation, écrivez-nous à
l'adresse : documentation@paloaltonetworks.com.
Palo Alto Networks, Inc.

www.paloaltonetworks.com
© 2014 Palo Alto Networks. Tous droits réservés.
Palo Alto Networks, PAN-OS et Panorama sont des marques commerciales de
Palo Alto Networks, Inc. Toutes les autres marques commerciales sont la
propriété de leurs détenteurs respectifs.
Réf. 810-000207-00A
ii
Table des matières
Table des matières
Présentation de Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
À propos de Panorama. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Plates-formes Panorama. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
À propos de la configuration et de la gestion de déploiement centralisée. . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Changement de contexte : périphérique ou Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Modèles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Groupes de périphériques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
À propos de la journalisation et de la création de rapports centralisées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Options de journalisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Collecteurs gérés et groupes de collecteurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Utilisation de collecteurs de journaux dans un groupe de collecteurs . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Création centralisée de rapports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
À propos du contrôle d'accès basé sur les rôles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Rôles administrateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Profils et séquences d'authentification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Domaines d'accès . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Authentification des administrateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Déploiement Panorama recommandé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Panorama pour la gestion et la création centralisées de rapports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Panorama dans une architecture de collecte de journaux distribuée . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Planifier le déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Déployer Panorama : Liste de contrôle des tâches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Configurer Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Configurer l'appareil virtuel Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Configuration requise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Installer Panorama sur le serveur ESX(i). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Effectuer la configuration initiale. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Augmenter la capacité de stockage de journaux sur l'appareil virtuel Panorama. . . . . . . . . . . . . . . . . . 26
Configurer l'appareil virtuel M-100 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Effectuer la configuration initiale. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Configurer l'appareil M-100 en mode Collecteur de journaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Accroître la capacité de stockage de l'appareil M-100 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Migrer d'un appareil virtuel Panorama vers un appareil M-100 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Configuration requise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Éléments à prendre en compte pour la planification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Effectuer la migration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Reprendre la gestion des périphériques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Installer les licences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Enregistrer Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Activer/Récupérer les licences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Guide de l'administrateur Panorama iii

Table des matières
Installer les mises à jour de contenu et le logiciel Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

Naviguer dans l'interface utilisateur Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Naviguer dans l'interface Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Se connecter à l'interface Web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
Se connecter à l'interface de ligne de commande . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Configurer un accès administratif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Créer un compte administrateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Définir des domaines d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Créer un profil d'authentification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Définir une séquence d'authentification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Configurer l'authentification administrative . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Gérer les pare-feux et la collecte de journaux. . . . . . . . . . . . . . . . . . . . . . . . . 61

Gérer les pare-feux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Ajouter des périphériques gérés. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Créer des groupes de périphériques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
Créer des modèles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Configurer les pare-feux pour transmettre les journaux à Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . 76
Valider les modifications sur Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
Modifier les paramètres de transfert des journaux et de mise en mémoire tampon par défaut . . . . . . 83
Utiliser Panorama pour configurer les périphériques gérés : Un exemple. . . . . . . . . . . . . . . . . . . . . . . 84
Activer la journalisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Activer le transfert des journaux vers des destinations externes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
Déployer les mises à jour logicielles et gérer les licences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
Compatibilité des versions de Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
Transition d'un périphérique vers une gestion centralisée . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
Surveiller l'activité réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115

Utiliser Panorama pour la visibilité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
Surveiller le réseau avec ACC et Portée d'application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
Analyser les données de journaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
Générer des rapports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
Cas pratique : Surveiller des applications en utilisant Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
Cas pratique : Utiliser Panorama pour remédier à un incident . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
Haute disponibilité Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131

Présentation de la haute disponibilité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
Déclencheurs de basculement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
Remarques sur la journalisation en HD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
Priorité et basculement. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
Quels sont les paramètres qui ne sont pas synchronisés entre les homologues HD ? . . . . . . . . . . . . 136
Configurer une paire haute disponibilité Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
Définir la haute disponibilité sur Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
Contrôler le basculement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
Commuter la priorité pour reprendre la journalisation NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
Mettre à niveau Panorama en haute disponibilité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
iv Guide de l'administrateur Panorama

Table des matières
Gérer Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145

Gérer les sauvegardes de configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
Planifier l'exportation des fichiers de configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
Gérer les sauvegardes de configuration de Panorama. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
Configurer le nombre de sauvegardes stockées sur Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
Charger une sauvegarde de configuration sur un périphérique géré . . . . . . . . . . . . . . . . . . . . . . . . . . 149
Comparer les modifications de configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
Restreindre l'accès aux modifications de configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
Types de verrous . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
Emplacements où poser un verrou . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
Poser un verrou. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
Afficher les détenteurs de verrous actuels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
Activer l'acquisition automatique du verrou de validation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
Supprimer un verrou. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
Ajouter des logos personnalisés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
Afficher l'historique des tâches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
Réaffecter le quota de stockage de journaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
Surveiller Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
Configurer les alertes par courrier électronique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
Configurer un accès SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
Redémarrer ou arrêter Panorama. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
Générer des fichiers de diagnostic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
Configurer les profils et la complexité de mot de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
Remplacer un disque défectueux sur un appareil M-100 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
Remplacer le disque virtuel sur un appareil virtuel Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
Dépannage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
Pourquoi la validation de modèle échoue-t-elle ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
Pourquoi Panorama exécute-t-il un contrôle d'intégrité de système de fichiers ? . . . . . . . . . . . . . . . . 172
Existe t-il une connexion distincte pour la transmission des journaux vers Panorama ? . . . . . . . . . . 172
Pourquoi la capacité de stockage de journaux pour le groupe de collecteurs
indique-t-elle 0 Mo ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
Pourquoi Panorama est-il à l'état suspendu ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
Où puis-je voir l'état de la progression de la tâche ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
Quels ports sont utilisés par Panorama ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
Comment puis-je modifier le nombre maximum d'images pouvant être téléchargées ? . . . . . . . . . . . 175
Comment rétablir le système suite à un split-brain lorsque Panorama est configuré en HD ?. . . . . . 176
Comment remplacer Panorama ou un périphérique géré en cas de défaillance
matérielle/d'autorisation de retour d'article ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
Quand et pourquoi les métadonnées doivent être régénérées pour une paire RAID ?. . . . . . . . . . . . 192
Guide de l'administrateur Panorama v

Table des matières
vi Guide de l'administrateur Panorama

Présentation de Panorama
Panorama offre la gestion centralisée et une visibilité complète de plusieurs pare-feu de nouvelle génération Palo
Alto Networks. Il vous permet de superviser toutes les applications, les utilisateurs et le contenu présents sur le
réseau depuis un emplacement unique, puis utilise les informations obtenues pour créer des politiques de mise
en œuvre d'applications permettant de protéger et de contrôler l'ensemble du réseau. L'utilisation de Panorama
pour la gestion centralisée des politiques et des périphériques accroît l'efficacité opérationnelle de la gestion et
de l'entretien d'un réseau distribué de pare-feu.
Les sections qui suivent décrivent Panorama et fournissent des instructions permettant de planifier le
déploiement de Panorama :
 À propos de Panorama
 Plates-formes Panorama
 À propos de la configuration et de la gestion de déploiement centralisée
 À propos de la journalisation et de la création de rapports centralisées
 À propos du contrôle d'accès basé sur les rôles
 Déploiement Panorama recommandé
 Planifier le déploiement
 Déployer Panorama : Liste de contrôle des tâches
Guide de l'administrateur Panorama 1

À propos de Panorama Présentation de Panorama
À propos de Panorama
Panorama permet la gestion centralisée des pare-feux Palo Alto Networks de nouvelle génération, comme le
montre l'illustration suivante :
Interface Web
Serveur de
gestion Panorama
Panorama vous permet de configurer, gérer et surveiller efficacement vos pare-feux Palo Alto Networks, grâce
à une surveillance centralisée avec contrôle local, comme indiqué. Les trois domaines dans lesquels Panorama
représente un progrès sont les suivants :
 Configuration et déploiement centralisés : pour simplifier la gestion centralisée et le déploiement rapide
des pare-feux sur votre réseau, utilisez Panorama pour préparer les pare-feux au déploiement. Vous pouvez
regrouper les périphériques en groupes, créer des modèles permettant d'appliquer une configuration de
réseau et de périphérique de base, puis utiliser ces groupes de périphériques pour administrer des politiques
globales partagées et locales. Reportez-vous à la section À propos de la configuration et de la gestion de
déploiement centralisée.
 Journalisation agrégée avec surveillance centrale de l'analyse et des rapports : collecte des
informations sur les activités de l'ensemble des pare-feux gérés sur le réseau et analyse, enquête et rapport
centralisés sur les données. Cette vue complète du trafic réseau, de l'activité utilisateur et des risques associés
vous permet de répondre à des menaces potentielles grâce à un ensemble étendu de politiques permettant
de mettre en œuvre en toute sécurité les applications sur votre réseau. Reportez-vous à la section À propos
de la journalisation et de la création de rapports centralisées.
 Administration distribuée : vous permet de déléguer ou de restreindre l'accès aux configurations et

politiques de périphériques globales et locales. Reportez-vous à la section À propos du contrôle d'accès basé
sur les rôles pour déléguer les niveaux d'accès appropriés dans le cadre d'une administration distribuée.
Panorama est disponible sur deux plates-formes : en tant qu'appareil virtuel et en tant qu'appareil matériel dédié.
Pour plus d'informations, consultez la section Plates-formes Panorama.
2 Guide de l'administrateur Panorama

Présentation de Panorama Plates-formes Panorama
Plates-formes Panorama
Panorama est disponible sur deux plates-formes qui prennent en charge chacune des licences de gestion de
périphériques permettant de gérer jusqu'à 25 périphériques, jusqu'à 100 périphériques ou 1 000 périphériques.
 Appareil virtuel Panorama : l'appareil virtuel Panorama est installé sur un serveur VMware. Il est simple à
installer et facilite la consolidation de serveur sur des sites ayant besoin d'un appareil de gestion virtuel. Il
prend également en charge l'intégration à NFS (Système de fichiers réseau) pour accroître les fonctionnalités
de stockage et de conservation des journaux (> 2 To).
L'appareil virtuel Panorama est mieux adapté aux environnements réunissant moins de 10 pare-feu, avec des
vitesses de journalisation inférieures à 10 000 journaux/secondes.
 Appareil M-100 : appareil matériel dédié destiné à des déploiements à grande échelle. Dans les
environnements avec des exigences élevées en matière de taux de journalisation et de conservation des
journaux, cette plate-forme permet de faire évoluer votre infrastructure de collecte des journaux. L'appareil
prend en charge la mise en copie miroir de RAID 1 pour la protection contre les défaillances de disque, et
la configuration par défaut est fournie avec deux lecteurs de 1 To, des paires RAID supplémentaires.
L'appareil M-100 peut prendre en charge jusqu'à 4 To de stockage de journaux.
L'appareil M-100 permet la séparation de la fonction de gestion centralisée de celle de la collecte des
journaux, en prenant en charge les modes de déploiement suivants :
– Mode Panorama : l'appareil exécute les fonctions de gestion centralisée et de collecte de journaux. Il
s'agit du mode par défaut.
– Mode collecteur de journaux : l'appareil fonctionne comme un collecteur de journaux dédié pouvant
être géré soit par un appareil M-100 en mode Panorama, soit par un appareil virtuel Panorama.
Lorsqu'il est déployé en mode Collecteur de journaux, l'appareil n'est pas équipé d'une interface Web.
L'accès administratif se fait par l'interface de ligne de commande uniquement.
Le choix de la plate-forme est fonction de vos besoins en matière d'appareil virtuel, du nombre de pare-feu Palo
Alto Networks que vous prévoyez de gérer et vos exigences de collecte des journaux comme indiqué dans le
tableau suivant :
Considérations VMware M-100
Appareil virtuel Mode Panorama Architecture de journaux

Panorama distribuée avec collecteurs
de journaux dédiés
Nombre de périphériques 10 pare-feux ou Jusqu'à 100 pare-feux Jusqu'à 1 000 pare-feux

gérés moins
Taux de collecte de <10 000 <10 000 journaux/seconde >10 000 journaux/seconde
journaux journaux/seconde (Maximum de 50 000 journaux/
seconde par collecteur)

À propos de la configuration et de la gestion de déploiement centralisée Présentation de Panorama
À propos de la configuration et de la gestion de déploiement

centralisée
Panorama utilise les groupes de périphériques et les modèles pour rassembler les périphériques nécessitent une
configuration similaire en ensembles plus petits et plus logiques. Tous les éléments de configuration, politiques
et objets présents sur les pare-feux peuvent être gérés de façon centralisée sur Panorama à l'aide de groupes de
périphériques et de modèles. En plus de gérer la configuration et les politiques, Panorama vous permet de gérer
des licences, les logiciels et les mises à jour de contenu associées de manière centralisée : clients SSL-VPN, agents
GlobalProtect, mises à jour de contenus dynamiques (applications, menaces, WildFire et antivirus).
Changement de contexte : périphérique ou Panorama
L'interface Web Panorama vous permet de passer d'une vue centrée sur Panorama à une vue centrée sur un
périphérique en utilisant un changement de contexte. Vous pouvez choisir de gérer le périphérique de façon
centralisée avec Panorama, puis passer au contexte d'un périphérique géré spécifique en utilisant l'interface
utilisateur de ce dernier. La similitude existant entre l'interface utilisateur des pare-feux gérés et celle de
Panorama vous permet de passer facilement d'une interface à l'autre pour administrer et surveiller des
périphériques en fonction des besoins.
Si vous avez configuré des domaines d'accès pour restreindre l'accès administratif à des périphériques gérés
spécifiques, l'interface utilisateur n'affiche que les périphériques/fonctions pour lesquels l'administrateur
connecté possède des autorisations.
Modèles
Les modèles sont utilisés pour configurer les paramètres dont les pare-feux gérés ont besoin pour fonctionner
sur le réseau. Ils vous permettent de définir une base de configuration commune en utilisant les onglets Réseau
et Périphérique sur Panorama. Par exemple, la configuration d'interface et de zone, les profils de serveur pour
l'accès à la journalisation et à SNMP, les profils utilisateur pour contrôler l'accès aux zones et les passerelles IKE
peuvent tous être gérés à l'aide de modèles. Lorsque vous regroupez des périphériques pour définir des
paramètres de modèle, pensez à regrouper les périphériques du même modèle matériel, et demandant un accès
à des ressources réseau similaires telles que les passerelles et les serveurs Syslog.
Avec les modèles, vous pouvez soit appliquer une configuration de base commune pour un groupe de
périphériques, puis configurer le reste des paramètres manuellement sur le périphérique, soit appliquer une
configuration de base commune plus large, et écraser les paramètres de modèle sur le périphérique pour les
adapter aux modifications spécifiques au périphérique. Lorsque vous écrasez un paramètre sur le périphérique,
il est enregistré dans la configuration locale du périphérique et n'est plus géré par le modèle Panorama. Vous
pouvez cependant utiliser Panorama pour forcer la configuration de modèle sur le périphérique ou restaurer les
paramètres de modèle sur le périphérique. Par exemple, vous pouvez définir un serveur NTP commun sur le
modèle, mais écraser la configuration de serveur NTP sur le périphérique pour l'adapter au fuseau horaire local
du périphérique. Si vous décidez de restaurer les paramètres du modèle, vous pouvez facilement annuler ou
revenir aux modifications locales mises en œuvre sur le périphérique.

Présentation de Panorama À propos de la configuration et de la gestion de déploiement centralisée
Les modèles ne peuvent pas être utilisés pour la définition d'une modification d'état opérationnel telle que le
mode FIPS ou pour activer le mode multi-vsys sur les pare-feux. Pour plus d'informations, reportez-vous à la
section Dans quels cas ne peut-on pas utiliser les modèles ?.
Groupes de périphériques
Pour utiliser Panorama efficacement, vous devez regrouper les pare-feux sur votre réseau en unités logiques
nommées groupes de périphériques. Un groupe de périphériques permet un regroupement en fonction de la
segmentation réseau, de l'emplacement géographique, ou des besoins pour mettre en œuvre des configurations
de politique similaires. Un groupe de périphériques peut inclure des pare-feux physiques, des pare-feux virtuels
et/ou un système virtuel. Par défaut, tous les périphériques gérés appartiennent au groupe de périphériques gérés
sur Panorama.
Les groupes de périphériques permettent la gestion centralisée des politiques et des objets par le biais des onglets
Politiques et Objets de Panorama. Les objets sont des éléments de configuration référencés dans les politiques.
Parmi les objets que les politiques de pare-feu utilisent, il y a : les adresses IP, les catégories URL, les profils de
sécurité, les utilisateurs, les services et les applications.
Avec des groupes de périphériques, vous pouvez créer des objets partagés ou des objets spécifiques au groupe,
puis utiliser ces objets pour créer une hiérarchie de règles (et des bases de règle) pour contrôler la façon dont les
trafics entrants et sortants sont gérés par les pare-feux gérés. Par exemple, une politique d'utilisation acceptable
d'entreprise pourrait être définie en tant qu'ensemble de politiques partagées. Ensuite, pour permettre aux seuls
bureaux régionaux d'accéder au trafic poste-à-poste, vous pouvez créer une règle de sécurité en tant que
politique partagée et la cibler sur les bureaux régionaux, ou en faire une règle de groupe de périphériques
appliquée aux bureaux régionaux. Reportez-vous à la section Utiliser Panorama pour configurer les
périphériques gérés : Un exemple.
À propos des politiques
Les groupes de périphériques permettent de mettre en œuvre une approche en couche pour gérer les politiques
au sein d'un réseau de pare-feu gérés. L'approche en couche permet le déploiement centralisé de politiques
d'entreprise, sous forme de politiques partagées, conjointement avec des politiques spécifiques de groupe de périphériques
et des politiques gérées en local sur le périphérique.
Les politiques partagées et les politiques spécifiques de groupe vous permettent de créer des règles avant et des
règles après afin de gérer toutes les bases de règles depuis un emplacement central : sécurité, NAT, qualité de
service (QoS), transfert basé sur une politique (PBF), décryptage, contrôle prioritaire sur l'application, portail
captif, déni de service et politiques de protection DoS.
 Règles avant : règles ajoutées au début de la liste des règles et évaluées en premier. Vous pouvez utiliser
des règles avant pour mettre en œuvre la politique d'utilisation acceptable au niveau de l'organisation, par
exemple, pour bloquer l'accès à des catégories d'URL particulières ou autoriser le trafic DNS à tous les
utilisateurs. Les règles avant peuvent être de deux types : Les règles avant partagées, partagées entre tous les
périphériques gérés et groupes de périphériques, et les règles avant de groupe de périphériques, spécifiques
à un groupe de périphériques.

À propos de la configuration et de la gestion de déploiement centralisée Présentation de Panorama
 Règles après : règles ajoutées en fin de liste des règles et évaluées après les règles avant et les règles définies
localement sur le périphérique. Les règles après incluent en général des règles servant à refuser l'accès au
trafic en fonction des App-ID, des User-ID ou du Service. À l'instar des règles avant, les règles après sont de
deux types : Les règles après partagées, qui sont partagées entre tous les périphériques gérés et groupes de
périphériques, et les règles après de groupe de périphériques ne s'appliquant qu'à un groupe de périphériques.
L'ordre d'évaluation des règles est le suivant :
Règles avant partagées
évaluées de haut en bas

Règles avant de groupe de périphériques
Règles de pare-feu local
Règles après de groupe de périphériques
Règles après partagées
Lorsque le trafic correspond à une règle de politique, l'action définie est déclenchée, et toutes les politiques
suivantes sont ignorées.
Cette capacité à disposer les politiques en couches crée une hiérarchie de règles. Les politiques locales sont
placées entre les règles avant et les règles après, et peuvent être modifiées par le passage au contexte de pare-feu,
ou l'accès au périphérique en localement. Cette cascade de règles est marquée visuellement pour chaque groupe
de périphériques (et périphérique géré), et offre la possibilité d'analyser un grand nombre de règles.
Règles
avant
Règles
locales
sur le
périphé-
rique
Règles
après
Les règles avant et les règles après appliquées à partir de Panorama peuvent être affichées sur les pare-feux gérés,
mais elles ne peuvent être modifiées que sur Panorama. Les règles de périphérique local peuvent être modifiées
soit par l'administrateur local, soit par l'administrateur Panorama ayant basculé sur un contexte de pare-feu local.

Présentation de Panorama À propos de la configuration et de la gestion de déploiement centralisée
À propos des objets
Les objets sont des éléments de configuration référencés dans les politiques. Parmi les objets que les politiques
de pare-feu utilisent, il y a : les adresses IP, les catégories URL, les profils de sécurité, les utilisateurs, les services
et les applications. Comme les objets peuvent être réutilisés d'une politique à l'autre, la création d'objets partagés
ou d' d'objets de groupe de périphériques réduit la duplication de ces éléments de configuration. Par exemple, la
création d'objets adresse partagés et de groupes d'adresses ou d'objets de service partagés et de groupes de
services vous permet de créer une instance de l'objet et de le référencer dans une base de règles afin de gérer les
pare-feux sur plusieurs groupes de périphériques. Comme les objets partagés sont définis une seule fois, mais
utilisés à plusieurs reprises, ils réduisent les frais administratifs nécessaires, garantissent cohérence et précision
partout où l'objet partagé est utilisé.
Les objets partagés et les objets de groupe de périphériques peuvent être utilisés dans les règles avant, les règles
après et les règles localement définies sur un périphérique. Lorsque vous créez un objet sur Panorama, vous
pouvez configurer son comportement des façons suivantes :
 l'objet de groupe de périphériques a la priorité sur un objet partagé lorsque deux objets portent le même
nom. Par défaut, l'objet partagé est prioritaire. Ce comportement garantit qu'un objet partagé a toujours la
priorité sur un objet de groupe de périphériques portant le même nom.
Cependant, si un périphérique est doté d'un objet local portant le même nom qu'un objet de groupe de
périphériques transmis depuis Panorama, un échec de validation se produira.
 Tous les objets partagés et groupes d'objets définis sur Panorama sont appliqués aux périphériques gérés. Par
défaut, tous les objets (ceux qui sont référencés ou non référencés dans les politiques) sont appliqués aux
périphériques gérés.

À propos de la journalisation et de la création de rapports centralisées Présentation de Panorama
À propos de la journalisation et de la création de rapports

centralisées
Panorama agrège les données de tous les pare-feux gérés, offrant ainsi la visibilité sur tout le trafic du réseau. Il
fournit également une piste d'audit pour toutes les modifications de politique et de configuration apportées aux
périphériques gérés. Outre l'agrégation des journaux, Panorama peut agréger et transférer les pièges SNMP, les
notifications par courrier électronique et les messages Syslog vers une destination externe.
Le Centre de commande de l'application (ACC) sur Panorama présente un volet unique pour des rapports
unifiés sur tous les pare-feux. Il vous permet d'analyser, d'enquêter et de faire des rapports sur le trafic réseau
et les incidents de sécurité de façon centralisée. Sur Panorama, vous pouvez afficher des journaux et générer des
rapports à partir de journaux transmis à Panorama ou aux collecteurs de journaux gérés s'ils sont configurés, ou
vous pouvez interroger directement les périphériques gérés. Par exemple, vous pouvez générer des rapports sur
le trafic, la menace et/ou l'activité utilisateur dans le réseau géré en fonction des journaux stockés sur Panorama
(dans les collecteurs de journaux gérés) ou en accédant aux journaux stockés en local sur les périphériques gérés.
Si vous choisissez de ne pas configurer les pare-feux gérés pour transmettre des journaux à Panorama, vous
pouvez planifier des rapports à exécuter sur chaque pare-feu et transmettre les résultats à Panorama pour obtenir
une vue combinée de l'activité utilisateur et du trafic réseau. Bien que cette vue ne fournisse pas un examen
approfondi granulaire des données et des activités spécifiques, elle offre une approche de rapport unifiée.
Options de journalisation
L'appareil virtuel Panorama et l'appareil M-100 peuvent tous les deux effectuer la collecte de journaux transmis
à partir des périphériques gérés. Vous pouvez ensuite configurer Panorama pour transférer ces journaux agrégés
à un serveur Syslog externe. Les options de journalisation varient sur chaque plate-forme.
 Appareil virtuel Panorama : offre trois options de journalisation : utiliser l'espace de stockage interne de
10 Go alloué à la journalisation aussitôt que vous aurez installé l'appareil virtuel, ajouter un disque virtuel
pouvant prendre en charge jusqu'à 2 To de stockage, ou monter un magasin de données de système de fichier
réseau (NFS) où vous pouvez déterminer la capacité de stockage affectée à la journalisation.
 Appareil M-100 : la configuration de distribution par défaut inclut des disques d'1 To dans une paire RAID,
qui peuvent évoluer une capacité de stockage RAID de 4 To. Lorsque l'appareil M-100 est en mode
Panorama, vous pouvez activer les disques RAID et les utiliser en tant que collecteur de journaux par défaut.
Lorsque l'appareil M-100 est en mode Collecteur de journaux, vous devez utiliser Panorama pour affecter
les périphériques à (aux) appareil(s) collecteurs de journaux. Dans un déploiement comprenant plusieurs
appareils collecteurs de journaux, Panorama interroge tous les collecteurs de journaux gérés pour générer
une vue agrégée de rapports de trafic et de cohésion.
Pour faciliter l'évolution, commencez par un seul Panorama et ajoutez progressivement des collecteurs de
journaux dédiés au fur et à mesure que vos besoins augmentent.

Présentation de Panorama À propos de la journalisation et de la création de rapports centralisées
Collecteurs gérés et groupes de collecteurs
Un collecteur de journaux est un appareil M-100 configuré pour fonctionner en mode Journal et en mode de
collecteurs. Il s'agit d'un appareil collecteur de journaux dédié configuré et géré par Panorama, et donc appelé
Collecteur géré. Il peut être géré soit par un appareil M-100 en mode Panorama, soit par un appareil virtuel
Panorama. Lorsqu'il est ajouté en tant que collecteur géré et connecté à Panorama, le collecteur de journaux
peut être administré par le biais de l'interface Web Panorama. Autrement, l'accès administratif au collecteur
de journaux est disponible uniquement via l'interface de ligne de commande utilisant le compte utilisateur
administrateur par défaut (admin). Les comptes utilisateur administrateur supplémentaires ne sont pas pris
en charge.
Un groupe de collecteurs se compose d'un ou de plusieurs appareils M-100 qui fonctionnent comme une
unité logique de collecte de journaux unique, et les journaux sont uniformément répartis entre l'ensemble des
disques d'un collecteur de journaux et tous les membres du groupe de collecteurs. En déployant les journaux
uniformément sur les disques et les collecteurs de journaux, l'utilisation de l'espace de stockage disponible est
optimisée. Pour gérer un collecteur de journaux, vous devez l'ajouter à un groupe de collecteurs. Chaque système
Panorama peut gérer jusqu'à 64 collecteurs de journaux dans un groupe de collecteurs. Bien que le groupe de
collecteurs puisse contenir plusieurs collecteurs de journaux, Palo Alto Networks conseille de ne placer qu'un
collecteur de journaux dans un groupe de collecteurs, à moins que ce dernier ne nécessite plus de 4 To de
stockage.
La configuration de groupe de collecteurs indique les pare-feux gérés qui peuvent envoyer des journaux aux
collecteurs de journaux du groupe. Une fois les collecteurs de journaux configurés et les pare-feux en mesure
de transférer les journaux, chaque périphérique transmet ses journaux au collecteur de journaux affectés.
Si vous utilisez Panorama pour gérer des pare-feux exécutant à la fois PAN-OS version 5.0 et une
version PAN-OS antérieure à 5.0 :
• Seuls les périphériques exécutant PAN-OS v5.0 peuvent envoyer des journaux à un collecteur de
journaux dédié (un appareil M-100 configuré en mode Collecteur de journaux).
• Les périphériques exécutant des versions PAN-OS antérieures à 5.0a ne peuvent envoyer des
journaux qu'à un appareil virtuel Panorama ou à un appareil M-100 en mode Panorama.
Les collecteurs gérés ou les groupes de collecteurs sont intégrés à l'architecture de collecte de journaux
distribuée sur Panorama. L'architecture de collecte de données distribuée offre l'évolutivité et l'ajout progressif
de collecteurs de données dédiés au fur et à mesure que vos besoins augmentent. L'appareil M-100 en mode
Panorama peut se connecter à son propre groupe de collecteurs par défaut et peut être étendu à une architecture
de collecte de journaux distribuée qui inclut des appareils M-100 en mode collecteur de journaux.
Utilisation de collecteurs de journaux dans un groupe de collecteurs
Bien que Palo Alto Networks recommande de ne mettre qu'un collecteur de journaux dans un groupe de
collecteurs, si vous avez besoin d'une capacité de plus de 4 To d'espace de stockage dans un groupe de
collecteurs, il se peut que vous deviez ajouter plusieurs collecteurs de journaux au groupe de collecteurs.
Dans les cas qui suivent, un groupe de collecteurs peut avoir besoin de plusieurs collecteurs de journaux :
 Un seul pare-feu génère plus de 4 To de journaux. Par exemple, si un pare-feu géré génère 12 To de journaux,
vous aurez besoin d'au moins trois collecteurs de journaux dans le groupe de collecteurs.

À propos de la journalisation et de la création de rapports centralisées Présentation de Panorama
 Un groupe de pare-feu qui transmet des journaux vers un groupe de collecteurs et les exigences de capacité
dépassent 4 To de stockage.
Si un groupe de collecteurs contient plusieurs collecteurs de journaux, l'espace de stockage disponible est utilisé
en tant qu'unité logique, et les journaux sont uniformément distribués entre tous les collecteurs de journaux
dans le groupe de collecteurs. La distribution de journaux est basée sur la capacité des collecteurs de journaux
(comprise entre 1 To à 4 To, en fonction du nombre de paires de disques) et un algorithme de hachage qui
détermine de façon dynamique le collecteur de journaux propriétaire des journaux et écrit sur le disque. Bien
que Panorama utilise une liste de préférences pour établir les priorités de la liste des collecteurs de journaux
auxquels un pare-feu géré peut transférer les journaux, ces derniers peuvent ne pas être écrits sur le premier
collecteur de journaux spécifié dans la liste des préférences.
Par exemple, regardez la liste de préférences qui suit :
Pare-feu géré Liste de préférences de transfert de journaux définie sur un groupe

de collecteurs
FW1 L1, L2, L3
FW2 L4, L5, L6
En utilisant cette liste, Pare-feu1 transmet les journaux vers L1, son collecteur de journaux principal, mais
l'algorithme de hachage peut décider que les journaux seront écrits sur L2. Si L2 devient inaccessible, ou en cas
de panne de châssis, Pare-feu1 ne sera pas affecté, car il sera toujours en mesure de se connecter à L1, son
connecteur de journaux principal.
Groupe de collecteurs
L1 Journaux
Panorama
Algorithme de hachage
FW1 ---> Propriétaire
des journaux L2 L2
Journaux
Liste des préférences
FW1 ---> L1, L2, L3 L3
FW1
Si un seul un collecteur de journaux est configuré dans un groupe de collecteurs et tombe en panne, le pare-feu
stocke les journaux sur son disque dur SSD (l'espace de stockage disponible varie en fonction du modèle de
matériel) et reprend le transfert des journaux vers le collecteur de journaux là où il s'est arrêté au moment de la
panne dès que la connectivité est restaurée.
Avec plusieurs collecteurs de journaux dans un groupe de collecteurs, le pare-feu ne met pas les journaux en
mémoire tampon sur un espace de stockage local lorsqu'il est en mesure de se connecter à son collecteur de
journaux principal. Donc, le pare-feu1 continue d'envoyer des journaux à L1. Comme L2 n'est pas disponible,
le collecteur de journaux L1 met en mémoire tampon les journaux sur son disque dur, qui dispose d'un espace
de journalisation de 10 Go. Si L2 reste indisponible et si les journaux en attente de L2 ont un volume supérieur
à 10 Go, L1 écrase les entrées de journal les plus anciennes pour pouvoir poursuivre la journalisation. Dans
ce cas, vous risquez de perdre les journaux. Toutefois, si vous utilisez plusieurs collecteurs de journaux,
assurez-vous d'avoir une OSS (On-Site-Spare - unité de remplacement sur site) ou une unité de veille à
froid permettant un remplacement rapide en cas de panne de collecteur de journaux.

Présentation de Panorama À propos de la journalisation et de la création de rapports centralisées
10GB Groupe de collecteurs

L1 Journaux
Panorama
Algorithme de hachage
FW1 ---> Propriétaire
des journaux L2 L2
Journaux
Liste des préférences
FW1 ---> L1, L2, L3 L3
FW1
Création centralisée de rapports
Panorama agrège les journaux de tous les périphériques gérés et permet de créer des rapports sur les données
obtenues et d'avoir un aperçu de l'utilisation de l'application, de l'activité utilisateur et des schémas de trafic dans
l'ensemble de l'infrastructure réseau. Aussitôt que les pare-feux sont ajoutés à Panorama, l'ACC peut afficher
l'ensemble du trafic circulant dans votre réseau. Lorsque la journalisation est activée, un clic sur une entrée de
journal dans l'ACC offre un accès direct à des détails granulaires sur l'application.
Pour générer des rapports, Panorama utilise deux sources : la base de données Panorama locale et les
périphériques distants qu'il gère. La base de données Panorama fait référence au stockage local sur Panorama
affecté au stockage des journaux récapitulatifs et certains journaux détaillés. Si vous disposez d'une architecture
de collecte de données distribuée, la base de données Panorama inclut le stockage local sur Panorama et tous les
collecteurs de journaux gérés. Panorama récapitule les informations (trafic, application, menaces) collectées
auprès de tous les périphériques gérés à des intervalles de 15 minutes. L'utilisation de la base de données
Panorama locale permet des temps de réponse plus courts, cependant, si vous préférez ne pas transmettre les
journaux à Panorama, ce dernier peut directement accéder au périphérique distant et exécuter des rapports sur
les données stockées localement sur les périphériques gérés.
Panorama offre plus de 40 rapports prédéfinis qui peuvent être utilisés tels quels en combinant les éléments
d'autres rapports pour générer des rapports personnalisés et des groupes de rapports pouvant être sauvegardés.
Les rapports peuvent être générés sur demande, selon un schéma récurrent, et peuvent être planifiés pour être
distribués par message électronique. Ces rapports fournissent des informations sur l'utilisateur et le contexte
afin que vous mettiez en relation les événements et les modèles d'identification, les tendances et les domaines
d'intérêt éventuels. Avec l'approche intégrée de la journalisation et de la création de rapports, l'ACC permet
d'établir une corrélation des entrées issues de plusieurs journaux relatives au même événement.

À propos du contrôle d'accès basé sur les rôles Présentation de Panorama
À propos du contrôle d'accès basé sur les rôles

Le contrôle d'accès basé sur les rôles vous permet de spécifier les privilèges et les responsabilités accordés à
chaque utilisateur administrateur. Sur Panorama, vous pouvez définir des comptes administrateur avec des rôles,
des profils ou des domaines d'accès spécifiques pour réguler l'accès à des fonctions spéciales de Panorama et aux
périphériques gérés. Ces options vous permettent de limiter l'accès administratif aux seuls périphériques et
zones de gestion de l'interface dont chaque administrateur a besoin pour faire son travail. Par défaut, chaque
serveur Panorama est livré configuré avec un compte administrateur par défaut (admin) qui offre un accès en
lecture et en écriture (également connu sous le nom d'accès de super utilisateur). Dans le cadre des meilleures
pratiques, créez un compte administrateur pour chaque personne ayant besoin d'un accès aux fonctions
d'administration et de création de rapport sur Panorama. Vous êtes ainsi mieux protégé contre les configurations
(ou les modifications) non autorisées et propose la journalisation des opérations de chaque administrateur
individuel.
Pour chaque utilisateur administrateur, vous pouvez également définir un profil d'authentification déterminant
la façon dont les informations d'identification sont vérifiées. Pour appliquer un accès administratif plus
granulaire, utilisez des domaines d'accès afin de restreindre l'accès administratif à un périphérique, un groupe
de périphériques ou un modèle particulier.
Rôles administrateur
Le mode que vous utilisez pour configurer les comptes administrateur dépend des exigences de sécurité au sein
de votre organisation, en fonction des services d'authentification existants ou du nombre de rôles administratifs
requis. Un rôle définit le type d'accès au système dont dispose l'administrateur associé. Il existe deux types de
rôles :
 Rôles dynamiques : rôles intégrés qui offrent l'accès à Panorama et aux périphériques gérés : Super
utilisateur (accès complet), super utilisateur (lecture seule) et administrateur Panorama.
L'administrateur Panorama ne peut pas effectuer les opérations suivantes :
– Créer, modifier ou supprimer des administrateurs
– Créer, modifier ou supprimer des rôles admin ou des domaines d'accès
– Exporter, valider, rétablir, sauvegarder, charger ou importer la configuration depuis l'onglet
Périphérique > Configurer
– Configurer la fonctionnalité Exportation programmée des configurations dans l'onglet Panorama.

Grâce aux rôles dynamiques, il n'y a pas besoin de mettre à jour les définitions de rôle, car de nouvelles
fonctions sont ajoutées suite à la mise à jour automatique des rôles.
 Profils de rôle admin : créez vos propres définitions de rôle afin de fournir un contrôle d'accès plus
granulaire aux différentes zones fonctionnelles de l'interface Web, d'interface de ligne de commande et/ou
d'API XML. Les deux profils de rôle administrateur disponibles sont : Panorama, et groupe de périphériques
et modèle. Vous pouvez créer pour votre personnel un profil de rôle admin offrant l'accès à des groupes de
périphériques et/ou à des modèles, afin qu'il ait accès au périphérique et aux zones de configuration réseau
de l'interface Web et un profil distinct pour vos administrateurs de la sécurité qui permet l'accès à la définition
de la politique de sécurité, aux journaux et aux rapports sur Panorama. Gardez à l'esprit qu'avec un profil de

Présentation de Panorama À propos du contrôle d'accès basé sur les rôles
rôle admin, vous devez mettre à jour les profils pour affecter de façon explicite les privilèges correspondant
à de nouveaux composants/fonctions ajoutés au produit. Par défaut, l'accès à tous les nouveaux composants
et fonctions est désactivé.
Consultez la section Configurer un accès administratif pour créer des rôles d'administrateur.
Profils et séquences d'authentification
Parmi ses autres utilisations, un profil d'authentification définit la façon dont un utilisateur administrateur est
authentifié auprès de Panorama après la connexion. Si vous créez un compte utilisateur local sur Panorama, vous
pouvez authentifier l'utilisateur auprès de la base de données locale, ou utiliser un serveur RADIUS, LDAP ou
Kerberos pour l'authentification. Si vous ne souhaitez pas créer de compte utilisateur local, et voulez gérer à la
fois l'administration et l'authentification de compte à l'aide d'un mécanisme d'authentification externe, vous
devez utiliser RADIUS. Pour une présentation détaillée du processus, reportez-vous à la section Utilisation des
attributs VSA (Vendor-Specific Attributes) RADIUS.
Pour vous authentifier auprès de sources d'authentification multiples (local, RADIUS, LDAP et/ou Kerberos)
définissez une séquence d'authentification. Une séquence d'authentification est une liste classée de profils
d'authentification à laquelle l'utilisateur administrateur est comparé. Panorama effectue un contrôle par rapport
à la base de données locale dans un premier temps, puis par rapport à chaque profil en la suite, jusqu'à ce que
l'utilisateur ait été authentifié avec succès. L'utilisateur se voit refuser l'accès par Panorama seulement une fois
que l'authentification de tous les profils définis dans la séquence d'authentification a échoué.
Pour créer des profils et des séquences d'authentification, reportez-vous aux sections Créer un profil
d'authentification et Définir une séquence d'authentification.
Domaines d'accès
Un domaine d'accès définit les fonctions et les autorisations octroyées à un utilisateur administrateur,
permettant le contrôle granulaire de la possibilité de l'utilisateur administrateur de changer de contexte et
d'accéder aux fonctions de l'interface utilisateur du pare-feu géré. Les domaines d'accès peuvent également
limiter l'accès à un sous ensemble de groupes de périphériques et/ou modèles créés sur Panorama et donc,
restreindre la capacité de l'utilisateur à configurer et gérer les périphériques.
Le domaine d'accès est lié aux attributs spécifiques au fournisseur (VSA) RADIUS et n'est pris en charge que si
un serveur RADIUS est utilisé pour l'authentification de l'administrateur. Si vous n'utilisez pas RADIUS, les
paramètres de domaine d'accès sont ignorés. Pour plus d'informations sur la définition d'un domaine d'accès,
reportez-vous à la section Définir des domaines d'accès.

À propos du contrôle d'accès basé sur les rôles Présentation de Panorama
Authentification des administrateurs
Il existe quatre façons d'authentifier les utilisateurs administrateurs :
 Compte administrateur local avec authentification locale : les informations d'identification du compte
administrateur et les méthodes d'authentification se trouvent en local sur le pare-feu. Pour sécuriser
davantage le compte administrateur local, créez un profil de mot de passe définissant une période de validité
pour les mots de passe et/ou des paramètres de complexité de mot de passe au niveau du périphérique. Pour
plus d'informations, consultez la section Créer un compte administrateur.
 Comptes administrateur locaux avec certificat ou authentification basée sur une clé SSH : avec cette
option, les comptes administratifs sont en local sur le pare-feu, mais l'authentification est basée sur des clés
SSH (pour l'accès à l'interface de ligne de commande) ou des certificats client/cartes d'accès communs (pour
l'interface Web). Pour plus de détails sur la manière de configurer ce type d'accès administratif, consultez les
sections Activer l'authentification basée sur certificat pour l'interface Webet Activer l'authentification basée
sur clé SSH pour l'interface de ligne de commande.
 Compte administrateur local avec authentification externe : les comptes administrateur sont gérés sur
le pare-feu local, mais les fonctions d'authentification sont prises en charge par un service LDAP, Kerberos
ou RADIUS. Pour configurer ce type de compte, vous devez d'abord créer un profil d'authentification
définissant l'accès au service d'authentification externe, puis créer un compte pour chaque administrateur qui
fait référence au profil. Pour plus d'informations, reportez-vous à la section Paramétrage des profils
d'authentification du chapitre 3 du Guide de l'administrateur Palo Alto Networks.
 Compte administrateur et authentification externes : l'administration et l'authentification de comptes

sont gérées par un serveur RADIUS externe. Pour utiliser cette option, vous devez définir sur votre serveur
RADIUS des attributs VSA correspondant au rôle admin. Pour une présentation détaillée du processus,
reportez-vous à la section Utilisation des attributs VSA (Vendor-Specific Attributes) RADIUS. Pour plus de
détails sur la façon de configurer ce type d'accès administratif, reportez-vous à l'article Attributs spécifiques
au fournisseur (VSA) RADIUS.

Présentation de Panorama Déploiement Panorama recommandé
Déploiement Panorama recommandé

Un déploiement Panorama est composé du serveur de gestion Panorama équipé d'une interface basée sur
explorateur, (facultatif) de collecteurs de journaux et des pare-feux Palo Alto Networks à gérer. Les
déploiements Panorama sont :
 Panorama pour la gestion et la création centralisées de rapports
 Panorama dans une architecture de collecte de journaux distribuée
Panorama pour la gestion et la création centralisées de rapports
Le schéma qui suit montre comment l'appareil virtuel Panorama ou l'appareil M-100 peut être déployé dans une
configuration redondante pour offrir les avantages suivants :
 Gestion centralisée : gestion de politiques et de périphériques centralisée qui permet un déploiement rapide
et la gestion de jusqu'à 1 000 pare-feux.
 Visibilité : journalisation et création de rapports centralisées pour analyser et élaborer des rapports sur le
trafic et les menaces potentielles générés par utilisateur.
 Contrôle d'accès basé sur les rôles : niveaux de contrôle administratif adaptés au niveau du périphérique
ou globaux pour l'administration et la gestion.
Modèles de configuration
Rapports Journaux
Machine virtuelle OU M-100 en Politique de groupe de périphériques
Panorama mode Panorama
Modèles de configuration Journaux Rapports

Politique de groupe de périphériques
Panorama dans une architecture de collecte de journaux distribuée
Le système Panorama basé sur le matériel (l'appareil M-100) peut être déployé soit en tant que serveur de gestion
Panorama exécutant les fonctions de gestion et de collecte des données, soit en tant que collecteur de journaux
dédié fournissant une solution de collecte de journaux complète pour les pare-feux de votre réseau. L'utilisation

Déploiement Panorama recommandé Présentation de Panorama
de l'appareil M-100 en tant que collecteur de journaux autorise davantage qu'un environnement solide, où le
processus de collecte de journaux est chargé sur un appareil dédié. L'utilisation d'un appareil dédié dans une
architecture de collecte de données distribuée (DLC) fournit la redondance, une évolutivité améliorée et une
capacité de stockage de journaux à plus long terme.
L'architecture DLC, le serveur de gestion Panorama (appareil virtuel Panorama ou M-100 en mode Panorama)
gèrent les pare-feux et les collecteurs de journaux. Lorsque vous utilisez Panorama, les pare-feux sont configurés
pour envoyer des journaux à un ou plusieurs collecteurs de données. Panorama peut ensuite être utilisé pour
interroger les collecteurs de journaux et fournit une vue agrégée du trafic réseau. Dans une configuration DLC,
les journaux stockés sur les collecteurs de journaux sont accessibles pour les homologues Panorama principal
et secondaire dans une paire haute disponibilité (HD).
Dans la topologie qui suit, les homologues Panorama en mode haute disponibilité gèrent le déploiement et la
configuration des pare-feux exécutant PAN-OS 4.x RY 5.x. Cette solution offre les avantages suivants :
 Elle permet de meilleures performances des fonctions de gestion sur Panorama
 Elle fournit volume de stockage de journaux très élevé sur un appareil matériel dédié.
 Elle offre une visibilité horizontale et la redondance avec un stockage RAID 1
Rapports Journaux Périphériques gérés sur PAN-OS 4.x
Journaux
Collecteur de Périphériques gérés sur PAN-OS 5.x

Rapports journaux
Panorama
Collecteur de
journaux
Journaux
Périphériques gérés sur PAN-OS 5.x

Présentation de Panorama Planifier le déploiement
Planifier le déploiement
 Vérifiez les versions PAN-OS des pare-feux à gérer. Pour gérer les pare-feux, Panorama doit exécuter la
même version majeure ou une version ultérieure que les pare-feux qu'il doit gérer. Par exemple, l'appareil
Panorama 4.0 ne peut pas exécuter des appareils exécutant PAN-OS 5.0.
 Prévoyez d'utiliser la base de données de filtrage des URL (BrightCloud ou PAN-DB) sur tous les
pare-feux gérés. Si certains pare-feu utilisent la base de données BrightCloud, et d'autres, PAN-DB,
Panorama ne peut gérer que des politiques de sécurité d'une base de données de filtrage des URL. Les
règles de filtrage d'URL pour l'autre base de données doivent être gérées en local sur les pare-feux qui
utilisent cette base de données.
 Prévoyez d'utiliser Panorama dans une configuration haute disponibilité. Configurez-le en tant que paire
haute disponibilité actif/passif. Reportez-vous à la section Haute disponibilité Panorama.
 Estimez la capacité de stockage de journaux de votre réseau. Pour adapter la capacité de stockage de
journaux à vos besoins de sécurité et de conformité, vous devez prendre en compte un certain nombre
de facteurs tels que la topologie du réseau, le nombre de pare-feu envoyant des journaux, le type de trafic
réseau par exemple, les URL et les journaux de menaces par rapport aux journaux du trafic, la vitesse à
laquelle les journaux sont générés et le nombre de jours pendant lesquels il faut les conserver sur
Panorama. Pour plus de détails, consultez l'article : Suggestions de journalisation Panorama.
 Pour obtenir des rapports significatifs sur l'activité réseau, planifiez une solution de journalisation :
– Avez-vous besoin de transmettre des journaux vers un serveur Syslog, en plus de Panorama ?
– Si vous avez besoin d'une solution de stockage à long terme, disposez-vous d'une solution SIEM
(Gestion des informations et des événements de sécurité), comme Splunk ou ArcSight, pour
transmettre les journaux ?
– Avez-vous besoin de redondance en matière de journalisation ? Avec des appareils virtuels Panorama
en HD, chaque homologue peut se connecter à son disque virtuel. Les périphériques gérés peuvent
envoyer les journaux aux deux homologues de la paire HD. Cette option fournit la redondance de
journalisation et est mieux adaptée à la prise en charge de jusqu'à 2 To de capacité de stockage
des journaux.
– Vous connectez-vous à un NFS ? La prise en charge de NFS est fournie uniquement sur l'appareil
virtuel Panorama. Envisagez d'utiliser NFS si vous avez besoin de plus de 2 To de capacité de stockage.
Si vous utilisez NFS, notez que les périphériques gérés ne peuvent envoyer des journaux qu'à
l'homologue principal de la paire HD et seul le principal actif Panorama est monté sur le NFS et
peut écrire dessus.
 Déterminez l'approche de gestion. Prévoyez-vous d'utiliser Panorama pour configurer et gérer les
politiques de façon centralisée, pour administrer le logiciel, le contenu et les mises à jour de licence de
façon centralisée, et/ou centraliser la journalisation et la création du rapport dans les périphériques
gérés sur le réseau.
Si vous avez déjà déployé et configuré les pare-feux Palo Alto Networks sur votre réseau, déterminez si
vous devez assurer la transition des périphériques pour une gestion centralisée. Ce processus requiert une
migration de toutes les configurations et politiques depuis vos pare-feux sur Panorama, reportez-vous à la
section Transition d'un périphérique vers une gestion centralisée.

Planifier le déploiement Présentation de Panorama
 Déterminez quels privilèges administratifs, rôles et autorisations sont requis pour permettre l'accès aux
pare-feux gérés et à Panorama. Reportez-vous à la section Configurer un accès administratif.
 Planifiez les groupes de périphériques requis. Pour ce faire, déterminez comment grouper les
périphériques en fonction de l'utilisation du périphérique, de la politique de sécurité, de la localisation
géographique ou de la segmentation réseau. Par exemple, regroupez les périphériques par fonction : ceux
qui prennent en charge les besoins organisationnels des partenaires ou des groupes fonctionnels de R&D,
ou regroupez des périphériques qui exécutent la même fonction, comme les périphériques de passerelle,
les périphériques de succursale ou les services de centre de données. Reportez-vous à la section Groupes
de périphériques.
 Planifiez une stratégie en couches pour administrer les politiques. Réfléchissez à la façon dont les
politiques doivent être héritées et évaluées, et à la façon de mettre en œuvre au mieux les règles partagées,
les règles de groupe de périphériques, et les règles spécifiques pour répondre à vos besoins réseau.
– Pour la gestion de la visibilité et de la politique de gestion, envisagez d'utiliser Panorama pour
administrer les politiques, même si vous souhaitez créer des exceptions spécifiques du périphérique
pour les politiques partagées/de groupe de périphériques. Pour appliquer une règle à un sous-ensemble
de périphériques dans un groupe de périphériques, vous pouvez cibler la ou les règle(s) sur des
périphériques spécifiques. Reportez-vous à la section Politiques ciblées sur un sous-ensemble de
périphériques.
– Choisissez de créer des groupes de périphériques plus petits en fonction de leurs similitudes ou de créer
des groupes de périphériques plus importants pour une évolution plus facile. Reportez-vous à la section
Utiliser Panorama pour configurer les périphériques gérés : Un exemple.
 Planifiez l'organisation de vos périphériques pour déterminer la façon dont les paramètres de
configuration (avec des modèles) sont hérités et appliqués. Par exemple, réfléchissez à la façon d'affecter
des périphériques en fonction de leurs plates-formes matérielles, de leur proximité géographique et des
besoins en configuration similaires pour les fuseaux horaires, le serveur DNS et les paramètres d'interface.
Reportez-vous à la section Utiliser Panorama pour configurer les périphériques gérés : Un exemple.

Présentation de Panorama Déployer Panorama : Liste de contrôle des tâches
Déployer Panorama : Liste de contrôle des tâches

La liste de tâches qui suit récapitule les étapes à exécuter pour démarrer avec Panorama :
Déployer Panorama
 Étape 1 (Appareil M-100 uniquement) Monter l'appareil dans une baie. Reportez-vous au Guide
de référence du matériel M-100.
 Étape 2 Effectuer la configuration initiale pour activer l'accès réseau à Panorama. Consultez les
sections Configurer l'appareil virtuel Panorama ou Configurer l'appareil virtuel M-100.
 Étape 3 Installer les licences.
 Étape 4 Installer les mises à jour de contenu et le logiciel Panorama.
 Étape 5 Ajouter des périphériques gérés.
 Étape 6 Créer des groupes de périphériques et Créer des modèles.
 Étape 7 (Facultatif) Activer la collecte de journaux vers un collecteur de journaux dédié.

Reportez-vous à la section Activer la journalisation.
 Étape 8 Surveiller l'activité réseau en utilisant les outils d'affichage et de création de rapports sur
Panorama. Consultez les sections Surveiller le réseau avec ACC et Portée d'application et
Générer des rapports.
 Étape 9 Installer Panorama avec une configuration haute disponibilité. Reportez-vous à la section
Haute disponibilité Panorama.
Pour avoir un exemple de cas pratique, savoir comment commencer à utiliser Panorama pour une gestion
centralisée, consultez le flux de travail dans Utiliser Panorama pour configurer les périphériques gérés : Un exemple.

Déployer Panorama : Liste de contrôle des tâches Présentation de Panorama

Configurer Panorama
Pour la création de rapports et une gestion de politique cohésive sur tous les pare-feux de votre réseau,
Panorama peut être déployé en tant qu'appareil virtuel ou qu'appareil matériel (l'appareil M-100).
Les rubriques qui suivent décrivent comment configurer Panorama sur votre réseau :
 Configurer l'appareil virtuel Panorama
 Configurer l'appareil virtuel M-100
 Migrer d'un appareil virtuel Panorama vers un appareil M-100
 Naviguer dans l'interface utilisateur Panorama
 Configurer un accès administratif

Configurer l'appareil virtuel Panorama Configurer Panorama
Configurer l'appareil virtuel Panorama

L'appareil virtuel Panorama réunit les fonctions de gestion et de journalisation de Panorama en un seul appareil
virtuel. Cette solution utilise une infrastructure VMware existante pour déployer facilement et administrer et de
façon centralisée les pare-feux Palo Alto Networks sur votre réseau, comme indiqué dans les sections suivantes :
 Configuration requise
 Installer Panorama sur le serveur ESX(i)
 Effectuer la configuration initiale
 Augmenter la capacité de stockage de journaux sur l'appareil virtuel Panorama
L'appareil virtuel Panorama ne peut pas être utilisé comme collecteur de journaux dédié. Seul un
appareil M-100 en mode Collecteur de journaux offre des fonctionnalités de collecte de journaux
dédiés. Vous pouvez cependant gérer un collecteur de journaux en utilisant l'appareil virtuel Panorama.
Reportez-vous à la section Configurer l'appareil virtuel M-100 pour plus de détails.
Configuration requise
Pour configurer efficacement un appareil virtuel Panorama, vérifiez que votre serveur répond aux exigences
suivantes avant de commencer :
 Configuration système minimale requise

Pour Panorama version 5.1 ou ultérieure, utilisez Pour Panorama version 5.0 ou antérieure, utilisez une
une machine virtuelle libre KVM 64 bits machine virtuelle libre KVM 32 bits
• VMware ESX(i) 4.1 ou version ultérieure • VMware ESX(i) 3.5 ou version ultérieure
• Processeur à 8 cœurs (2 GHz) ; utilisez 3 GHz • Processeur de 2 GHz ; utilisez un processeur quatre-cœurs
si vous disposez de 10 pare-feux ou plus. pour obtenir des performances optimales et des taux de
journalisation élevés
• RAM de 4 Go, 16 Go recommandés si vous
disposez de 10 pare-feu ou plus. • 2 Go de RAM 4 Go recommandés si vous disposez de
20 pare-feux ou plus
• Espace disque de 40 Go
• 40 Go d'espace disque
L'ajout d'espace disque supplémentaire
n'augmente pas la capacité de stockage des L'ajout d'espace disque supplémentaire n'augmente pas
journaux disponible sur Panorama. Pour la capacité de stockage des journaux disponible sur
augmenter cette capacité, vous devez ajouter Panorama. Pour augmenter cette capacité, vous devez
un disque virtuel ou configurer l'accès à un ajouter un disque virtuel ou configurer l'accès à un magasin
magasin de données NFS. Reportez-vous à la de données NFS. Reportez-vous à la section Augmenter la
section Augmenter la capacité de stockage de capacité de stockage de journaux sur l'appareil virtuel
journaux sur l'appareil virtuel Panorama. Panorama.
• Un ordinateur client avec l'un des éléments • Un ordinateur client avec l'un des éléments suivants :
suivants : Client VMware vSphere ou client Client VMware vSphere ou client VMware Infrastructure
VMware Infrastructure compatible avec votre compatible avec votre serveur ESX(i)
serveur ESX(i)

Configurer Panorama Configurer l'appareil virtuel Panorama
Les concepts et la terminologie VMware ne sont pas abordés dans le présent document. Ce guide
suppose que vous êtes familiarisé avec la suite de produits VMware requise pour créer un appareil
virtuel.
 Enregistrez le numéro de série Panorama sur le site de support à l'adresse https://support.paloaltonetworks.com :

le numéro de série vous a été envoyé par courrier électronique. Une fois le numéro de série enregistré sur le site
de support, vous obtenez l'accès sur la page de téléchargement de logiciel Panorama.
Installer Panorama sur le serveur ESX(i)
Utilisez ces instructions pour installer un nouvel appareil virtuel Panorama. Si vous mettez à niveau votre appareil
virtuel Panorama existant, passez à la section Installer les mises à jour de contenu et le logiciel Panorama.
Créer le Panorama virtuel

Étape 1 Téléchargez et extrayez le 1. Accédez à https://support.paloaltonetworks.com/ et téléchargez le fichier
fichier image de base zip Fichier image de base.
Panorama sur le serveur sur 2. Décompressez le fichier zip d'image de base Panorama et extrayez le fichier
lequel vous souhaitez installer panorama-esx.ovf.
Panorama.
Ce fichier modèle .ovf est requis pour l'installation de Panorama.
L'installation de l'appareil
virtuel utilise le fichier modèle
Open Virtual Machine
Format (OVF) inclus dans
l'image de base.
Étape 2 Accédez au serveur ESX(i). Lancez le client VMware vSphere et connectez-le au serveur VMware.
Étape 3 Installez Panorama. 1. Sélectionnez Fichier > Déployer le modèle OVF.
Avec Panorama 5.1, l'appareil 2. Parcourez l'arborescence pour sélectionner le fichier panorama-esx.ovf à partir
virtuel Panorama est installé de l'image de base Panorama que vous venez de dézipper, puis cliquez sur
en tant que machine virtuelle Suivant.
64 bits. 3. Vérifiez que le nom et la description du produit correspondent bien à la version
téléchargée, puis cliquez sur Suivant.
4. Saisissez un nom descriptif pour l'appareil virtuel Panorama, puis cliquez sur
Suivant.
5. Sélectionnez un emplacement de magasin de données sur lequel installer
l'image du Panorama, puis cliquez sur Suivant.
L'ajout d'espace disque supplémentaire n'augmente pas la capacité de stockage des
journaux disponible sur Panorama. Pour augmenter cette capacité, vous devez
ajouter un disque virtuel ou configurer l'accès à un magasin de données NFS.
Reportez-vous à la section Augmenter la capacité de stockage de
journaux sur l'appareil virtuel Panorama.
6. Sélectionnez Thick Provision Lazy Zeroed comme format de disque, puis cliquez
sur Suivant.
7. Spécifiez les réseaux de la liste qui seront utilisés par l'appareil virtuel Panorama.
8. Confirmez les options sélectionnées, puis cliquez sur Terminer pour entamer le
processus d'installation.

Créer le Panorama virtuel (suite)

9. Lorsque l'installation se termine, sélectionnez l'appareil virtuel Panorama, puis
cliquez sur Modifier les paramètres... pour définir les paramètres suivants :
a. Vérifiez que vous avez alloué la quantité de mémoire appropriée.
– Panorama 5.1 : au moins 4 Go
– Panorama 5.0 ou version ultérieure : 2 à 4 Go
b. Sélectionnez le système d'exploitation invité approprié.
– Panorama 5.1 : Linux en tant que Système d'exploitation invité et Autre
Linux (64 bits) en regard de Version.
– Panorama 5.0 ou version ultérieure : Linux en tant que Système
d'exploitation invité et Autre Linux (32 bits) en regard de Version.
c. Choisissez le contrôleur SCSI.
– Panorama 5.1 : LSI Logic Parallel en regard de Contrôleur SCSI.
– Panorama 5.0 ou version ultérieure : Bus Logic Parallel en regard de
Contrôleur SCSI.
Étape 4 Mettez l'appareil virtuel Cliquez sur le bouton Démarrer.
Panorama sous tension. Lorsque l'appareil virtuel Panorama démarre, la procédure d'installation est terminée.
Poursuivez avec la section Effectuer la configuration initiale.
Effectuer la configuration initiale
Utilisez la console d'appareil virtuel Panorama sur le serveur ESX(i) pour configurer l'accès réseau Panorama.
Pour compléter la configuration initiale, vous devez d'abord configurer l'interface de gestion, accéder à
l'interface Web Panorama et ajouter le numéro de série de l'appareil virtuel, puis définir un fuseau horaire pour
l'appareil virtuel Panorama. Pour la création de rapports unifiés, envisagez d'utiliser GMT ou UTC comme
fuseau horaire pour tous les services gérés et Panorama.
.
Configurer l'interface de gestion
Étape 1 Contactez votre administrateur réseau • Adresse IP du port MGT

pour obtenir les informations requises.
• Masque réseau
• Passerelle par défaut
• Adresse IP de serveur DNS
Étape 2 Accédez à la console de l'appareil virtuel 1. Sélectionnez l'onglet Console sur le serveur ESX(i) pour le
Panorama. Panorama virtuel. Appuyez sur Entrée pour accéder à l'écran de
connexion.
2. Saisissez le nom d'utilisateur/mot de passe (admin/admin) par
défaut pour vous connecter.
3. Saisissez configure pour passer en mode configuration.

Configurer l'interface de gestion (suite)
Étape 3 Configurez les paramètres d'accès réseau Saisissez la commande suivante :

pour l'interface de gestion. set deviceconfig system panorama-server
ip-address <IP Panorama> netmask <masque
L'interface de gestion est utilisée pour la réseau> default-gateway <IP de passerelle>
gestion du trafic, la synchronisation de dns-setting servers primary <IP DNS>
connectivité HD, la collecte de journaux
où <IP Panorama> est l'adresse IP que vous voulez affecter à
et pour la communication avec les
l'interface de gestion de Panorama, <masque réseau> est le masque de
appareils collecteurs de journaux.
sous-réseau, <IP de passerelle> est l'adresse IP de la passerelle réseau
et <IP DNS> est l'adresse IP du serveur DNS.
Étape 4 Validez vos modifications et quittez le Saisissez commit.

mode Configuration. Saisissez exit.
Étape 5 Vérifiez l'accès réseau aux services Pour vérifier que Panorama a un accès réseau externe, utilisez
externes nécessaire à la gestion de l'utilitaire ping. Vérifiez la connectivité à la passerelle par défaut, au
pare-feu, notamment au serveur de mise serveur DNS et au serveur de mise à jour Palo Alto Networks,
à jour Palo Alto Networks. comme indiqué dans l'exemple qui suit :
admin@Panorama-Corp> ping host updates.paloaltonetworks.com
PING updates.paloaltonetworks.com (67.192.236.252) 56(84)
bytes of data.
64 bytes from 67.192.236.252: icmp_seq=1 ttl=243 time=40.5 ms
Remarque Une fois la connectivité vérifiée, appuyez sur les
touches Ctrl+C pour mettre fin aux commandes ping.
Ajouter un numéro de série et un fuseau horaire
Étape 1 Connectez-vous à l'interface Web Grâce à une connexion sécurisée fournie par un navigateur Internet
Panorama. (https), connectez-vous en utilisant l'adresse IP et le mot de passe que
vous avez affectés à l'interface de gestion (https://<Adresse IP>).
Étape 2 (Facultatif) Modifiez les paramètres 1. Sélectionnez Panorama > Configuration > Gestion, puis cliquez
d'interface de gestion. sur l'icône Modifier dans la section Paramètres d'interface de
gestion à l'écran.
2. Sélectionnez les services de gestion à autoriser sur l'interface.
Par exemple, pour activer l'accès SSH, sélectionnez SSH. Dans
le cadre des meilleures pratiques, assurez-vous que Telnet et
HTTP ne sont pas sélectionnés, car ces services utilisent du
texte brut et ne sont pas aussi sécurisés que les autres services.
3. Cliquez sur OK. Cliquez sur Valider, sélectionnez Panorama en
tant que Type et cliquez sur OK.
Étape 3 Ajoutez le numéro de série Panorama. 1. Sélectionnez Panorama > Configuration > Gestion, puis cliquez
sur l'icône Modifier dans la section Paramètres généraux de
Le numéro de série vous est envoyé avec
l'écran.
le message électronique d'exécution de la
commande. 2. Saisissez le Numéro de série.

Ajouter un numéro de série et un fuseau horaire (suite)
Étape 4 Configurez le fuseau horaire, puis les 1. Sélectionnez Panorama > Configuration > Gestion, puis cliquez
paramètres généraux de pare-feu. sur l'icône Modifier dans la section Paramètres généraux de
l'écran.
2. Réglez l'horloge sur Panorama et les pare-feux gérés pour
utiliser même fuseau horaire, par exemple, GMT ou UTC.
Les horodatages sont enregistrés à la réception des journaux sur
Panorama, et lors de leur génération sur les pare-feux. Le réglage
des fuseaux horaires sur Panorama et des périphériques gérés
garantit que les horodatages sont synchronisés, et la procédure
d'interrogation de journaux et de génération de rapport sur
Panorama est harmonisée.
3. Saisissez un Nom d'hôte pour le serveur et entrez le nom de
Domaine du réseau. Le nom de domaine est un simple intitulé;
il ne sera pas utilisé pour y accéder.
4. Saisissez la Latitude et la Longitude pour définir un
emplacement convenable du serveur sur la carte du Monde.
5. Cliquez sur OK.
Étape 5 Changez le mot de passe administrateur 1. Cliquez sur le lien admin dans le coin inférieur gauche de la
par défaut. console de gestion. Une boîte de dialogue permettant de
Remarque Pour garantir la sécurité de l'interface changer de mot de passe s'affiche.
de gestion, mettez en œuvre une 2. Saisissez l'ancien mot de passe et le nouveau mot de passe dans
option de Complexité minimale les champs appropriés, et conservez le nouveau mot de passe
des mots de passe et définissez dans un endroit sûr.
un intervalle obligeant les 3. Cliquez sur OK.
administrateurs à modifier leur
mot de passe.
Étape 6 Enregistrez les modifications de Cliquez sur Valider, sélectionnez Panorama en tant que Type et
configuration. cliquez sur OK.
Augmenter la capacité de stockage de journaux sur l'appareil virtuel

Panorama
Par défaut, l'appareil virtuel Panorama est configuré avec une partition de disque unique pour toutes les données
et ~10 GB de cet espace sont affectés au stockage de journaux Consultez l'article Suggestions en matière de
journalisation de Panorama pour estimer la capacité de stockage de journaux correspondant à vos exigences,
puis utilisez l'une des options qui suivent pour accroître la capacité de stockage de journaux sur l'appareil virtuel
Panorama :
 Ajoutez un disque virtuel sur votre serveur ESX(i) pour étendre le stockage jusqu'à un maximum de 2 To.
 Configurez l'accès à un magasin de données NFS (NFS). Utilisez cette option si vous avez besoin de plus de
2 To de capacité de stockage.

Ajouter un disque virtuel
L'appareil virtuel Panorama par défaut installe un disque virtuel d'une taille de 34 Go, dont 10,89 Go sont
utilisés pour la journalisation. Pour permettre plus de ~10 Go de stockage, utilisez les procédures suivantes pour
créer un disque virtuel capable de prendre en charge jusqu'à 2 To de capacité de stockage.
L'appareil virtuel Panorama peut utiliser un seul disque virtuel. Lorsqu'il est configuré pour utiliser un
disque virtuel, l'appareil virtuel n'utilise pas la capacité de stockage interne de 10 Go pour la
journalisation. Il perd donc la connectivité au disque virtuel et des journaux peuvent se perdre pendant
la panne.
Pour permettre la redondance, utilisez le disque virtuel dans une configuration RAID. RAID10 offre
les meilleures performances d'écriture pour des applications avec des besoins de journalisation
importants.
Ajouter un disque virtuel
Étape 1 Mettez l'appareil virtuel Panorama hors

tension.
Étape 2 Sur le serveur ESX(i), ajoutez le disque 1. Sélectionnez l'appareil virtuel Panorama sur le serveur ESX(i).
virtuel à l'appareil virtuel Panorama. 2. Cliquez sur Modifier les paramètres.
3. Cliquez sur Ajouter pour lancer l'assistant Ajout de matériel et
sélectionnez les options suivantes lorsque vous y êtes invité :
a. Sélectionnez Disque dur comme type de matériel.
b. Sélectionnez Créer un disque virtuel.
c. Sélectionnez SCSI en tant que type de disque virtuel.
d. Sélectionnez le format de disque « Thick provisioning ».
e. Dans le champ d'emplacement, sélectionnez Enregistrer
avec l'option de machine virtuelle.
Remarque Le magasin de données n'a pas à résider sur le serveur
ESX(i).
f. Vérifiez que la configuration est correcte, puis cliquez sur
Terminer pour quitter l'assistant. Le nouveau disque est
ajouté à la liste des périphériques de l'appareil virtuel.
Étape 3 Mettez l'appareil virtuel Panorama sous Lorsqu'il est mis sous tension, le disque virtuel est initialisé pour la
tension. première utilisation. La durée du processus d'initialisation varie en
fonction de la taille du nouveau disque virtuel.
Lorsque le disque virtuel est initialisé et prêt, tous les journaux
existants dans le stockage interne sont déplacés vers le nouveau
disque virtuel. Toutes les nouvelles entrées seront maintenant écrites
sur le disque virtuel.

Ajouter un disque virtuel (suite)
Étape 4 Vérifiez la taille du disque virtuel. 1. Sélectionnez Panorama > Configuration > Gestion.
2. Dans la section Paramètres de journalisation et création de
rapport, vérifiez que la capacité de capacité de Stockage de
journal affiche correctement la nouvelle capacité de disque.
Configurer l'accès à un magasin de données NFS
Le montage de l'appareil virtuel Panorama sur un magasin de données NFS offre la possibilité d'écrire dans les
journaux d'un emplacement centralisé, et offre la souplesse nécessaire à l'extension de la capacité de stockage
de journaux au-delà de 2 To. Avant de configurer un magasin de données NFS dans une configuration HD
Panorama, reportez-vous à la section Remarques sur la journalisation en HD.
Monter un magasin de données NFS
Étape 1 Configurer l'accès au 1. Sélectionnez Panorama > Configuration > Opérations.

magasin de données 2. Cliquez sur le lien Paramétrage de la partition de stockage dans la section
Divers.
3. Sélectionnez NFS V3.
4. Saisissez l'adresse IP du Serveur NFS.
5. Saisissez l'emplacement/chemin pour stocker les fichiers journaux dans le
champ Répertoire des journaux. Par exemple, export/panorama.
6. Sélectionnez le protocole (TCP ou UDP), puis saisissez le Port pour accéder
au serveur NFS.
Remarque Pour utiliser NFS sur TCP, le serveur NFS doit le prendre en charge.
Les ports NFS communs portent le nom de UDP/TCP 111 pour
RPC et UDP/TCP 2049 pour NFS.
7. Pour une performance NFS optimale, dans les champs Read Size et Write
Size, spécifiez la taille maximale des blocs de données que le client et le
serveur échangent entre eux. La définition d'un volume de lecture/écriture,
optimise le volume de données et la vitesse de transfert de données entre
Panorama et le magasin de données NFS.
8. Sélectionnez Partition de journalisation test pour vérifier que Panorama est
en mesure d'accéder à l'adresse IP du serveur NFS et l'emplacement de
répertoire spécifié ci-dessus.
9. (Facultatif) Sélectionnez l'option Copier lors de la configuration. Ce
paramètre copie les journaux existants stockés sur Panorama dans le volume
NFS. Si vous disposez de nombreux journaux existants, l'activation de la
copie lors de la configuration peut lancer le transfert d'un important volume
de données.
10. Cliquez sur Valider, puis sélectionnez Panorama en tant que Type de
validation pour enregistrer les modifications.

Monter un magasin de données NFS
Étape 2 Redémarrez l'appareil virtuel Pour commencer à écrire les journaux dans le magasin de données NFS,
Panorama. redémarrez le Panorama virtuel.
1. Sélectionnez Panorama > Configuration > Opérations.
Jusqu'au redémarrage, les
journaux seront inscrits dans 2. Dans la section Opérations périphérique, sélectionnez Redémarrer
le disque de stockage local Panorama.
sur l'appareil virtuel
Panorama.
Déterminer le taux de journalisation sur le pare-feu Palo Alto Networks
Utilisez ces instructions à des moments différents de la journée afin d'être au plus près du taux de génération
de journal normal et de pointe sur chaque pare-feu. Pour estimer de manière précise le volume de stockage
nécessaire pour les journaux sur votre réseau, en plus du taux de journalisation sur le pare-feu, vous devez
prendre en compte plusieurs autres facteurs. Pour plus de détails, consultez l'article : Suggestions de
journalisation Panorama.
Afficher le taux de génération de journal
Étape 1 Accédez à l'interface de ligne de commande Reportez-vous à la section Se connecter à l'interface de ligne de
sur chaque pare-feu Palo Alto Networks. commande.La procédure d'accès à l'interface par ligne de
commande sur le pare-feu est la même que celle de Panorama.
Étape 2 Afficher le taux de génération de journal Saisissez la commande d'interface de ligne de commande pour
actuel évaluer le taux de journalisation sur le pare-feu :
debug log-receiver statistics
Logging statistics
------------------------------ --------
Log incoming rate: 246/sec
Log written rate: 246/sec
Où aller ensuite ?
Maintenant que la configuration initiale est terminée, continuez avec les sections suivantes pour d'autres
instructions de configuration :
 Installer les licences
 Installer les mises à jour de contenu et le logiciel Panorama
 Naviguer dans l'interface utilisateur Panorama
 Configurer un accès administratif
 Gérer les pare-feux

Configurer l'appareil virtuel M-100 Configurer Panorama
Configurer l'appareil virtuel M-100

L'appareil de gestion M-100 est une plate-forme haute matérielle haute performance qui peut être déployée en
deux modes :
 Mode Panorama : l'appareil exécute les fonctions de gestion centralisée et de collecte de journaux. Il s'agit
du mode par défaut.
 Mode Collecteur de journaux : l'appareil fonctionne comme un collecteur de journaux dédié pouvant être
géré soit par un appareil M-100 en mode Panorama, soit par un appareil virtuel Panorama. Si les volumes de
données de journaux transmis depuis plusieurs pare-feu sont importants, l'appareil M-100 en mode
Collecteurs de journaux offre une évolutivité et des performances supérieures. Lorsqu'il est déployé en mode
Collecteur de journaux, l'appareil n'est pas équipé d'une interface Web. L'accès administratif se fait par
l'interface de ligne de commande uniquement.
Utilisez le flux de travail qui suit pour configurer l'appareil M-100 :
Appareil M-100 en mode Panorama Appareil M-100 en mode Collecteur de journaux
Étape 1 Monter l'appareil M-100 dans une baie. Pour Étape 1 Monter l'appareil M-100 dans une baie. Pour
consulter les instructions, reportez-vous au consulter les instructions, reportez-vous au manuel
manuel Guide de référence du matériel M-100. Guide de référence du matériel M-100.
Étape 2 Effectuer la configuration initiale Étape 2 Effectuer la configuration initiale
Étape 3 Activer/Récupérer les licences Étape 3 Activer/Récupérer les licences
Étape 4 Installer les mises à jour de contenu et le logiciel Étape 4 Installer les mises à jour de contenu et le logiciel
Panorama Panorama
Étape 5 (Facultatif) Accroître la capacité de stockage de Étape 5 (Facultatif) Accroître la capacité de stockage de
l'appareil M-100 l'appareil M-100
Étape 6 Configurer un accès administratif Étape 6 Configurer l'appareil M-100 en mode Collecteur de
journaux
Étape 7 Gérer les pare-feux
Étape 7 Activer la journalisation
Étape 8 Activer la journalisation
Effectuer la configuration initiale
Par défaut, Panorama a pour adresse IP 192.168.1.1 et pour nom d'utilisateur/mot de passe admin/admin. Pour
des raisons de sécurité, vous devez modifier ces paramètres avant de passer aux autres tâches de configuration.
Vous devez effectuer les tâches de configuration initiales soit à partir de l'interface MGT, soit en utilisant la
connexion de port série directe sur le port de console sur l'appareil M-100.
Configurer l'interface de gestion

Étape 1 Contactez votre administrateur réseau • Adresse IP du port MGT
pour obtenir les informations requises. • Masque réseau
• Passerelle par défaut
• Adresse du serveur DNS

Configurer Panorama Configurer l'appareil virtuel M-100

Étape 2 Connectez votre ordinateur à l'appareil Vous pouvez procéder d'une des façons suivantes :
M-100. • Rattachez un câble série à l'ordinateur et au port de console de
l'appareil M-100, puis connectez-vous en utilisant un logiciel
d'émulation (9600-8-N-1).
• Connectez un câble RJ-45 d'un ordinateur sur le port de console
MGT de l'appareil M-100. Depuis un navigateur, accédez à
https://192.168.1.1. Notez que cette opération peut exiger le
remplacement de l'adresse IP de l'ordinateur par une adresse
réseau 192.168.1.0 comme 192.168.1.2, afin d'accéder à cette
URL.
Étape 3 Lorsque vous y êtes invité, Connectez-vous en utilisant le nom d'utilisateur et le mot de passe
connectez-vous à l'appareil. par défaut (admin/admin). L'appareil commence son initialisation.
Étape 4 Configurez les paramètres d'accès réseau 1. Sélectionnez Panorama > Configuration, puis cliquez sur
pour l'interface MGT. l'icône Modifier dans la section Paramètres d'Interface de
L'interface de gestion est utilisée pour
gérer le trafic, la synchronisation de 2. Saisissez l'adresse IP, le masque réseau et la passerelle par
connectivité HD, la collecte de journaux défaut.
et la communication avec les appareils 3. (Facultatif) Sélectionnez les services de gestion pour être
collecteurs de journaux. autorisé à accéder à l'interface. Par exemple, activez SSH. Dans
le cadre des meilleures pratiques, assurez-vous que Telnet et
HTTP ne sont pas sélectionnés, car ces services utilisent du
texte brut et ne sont pas aussi sécurisés que les autres services.
4. Cliquez sur OK. Cliquez sur Valider, sélectionnez Panorama en
tant que Type de validation, puis cliquez sur OK.


Étape 5 Configurez le nom d'hôte, le fuseau 1. Sélectionnez Panorama > Configuration > Gestion, puis cliquez
horaire et les paramètres généraux. sur l'icône Modifier dans la section Paramètres généraux de l'écran.
2. Réglez l'horloge sur Panorama et les pare-feux gérés pour qu'ils
utilisent le même Fuseau horaire, par exemple, GMT et UTC.
La définition du même fuseau horaire sur le Panorama et les

périphériques gérés garantit que l'horodatage des journaux est
synchronisé. Les horodatages sont enregistrés à la réception des
journaux sur Panorama, et lors de leur génération sur les
pare-feux. Le réglage des fuseaux horaires sur Panorama et des
périphériques gérés garantit que les horodatages sont
synchronisés, et la procédure d'interrogation de journaux et de
génération de rapport sur Panorama est harmonisée.
3. Saisissez un Nom d'hôte pour le serveur Ce nom d'hôte sera
utilisé comme nom/étiquette à l'affichage pour l'appareil. Par
exemple, il s'agit du nom qui s'affiche à l'invite d'interface de
ligne de commande, et le nom affiché dans le champ Nom de
collecteur lorsque vous ajoutez l'appareil en tant que collecteur
géré dans l'onglet Panorama > Collecteurs gérés.
4. Saisissez le nom de Domaine de votre réseau. Le nom de domaine
est un simple intitulé; il ne sera pas utilisé pour y accéder.
5. (Facultatif) Saisissez la Latitude et la Longitude pour activer un
emplacement convenable du serveur sur la carte du Monde. Les
valeurs de latitude et de longitude seront utilisées dans la Portée
application > Cartes de trafic et Portée application > Cartes
de menaces.
6. Cliquez sur OK.
Étape 6 Changez le mot de passe administrateur 1. Cliquez sur le lien admin dans le coin inférieur gauche de la
par défaut. console de gestion. Une boîte de dialogue permettant de
Remarque Pour garantir la sécurité de l'interface changer de mot de passe s'affiche.
de gestion, mettez en œuvre l'option 2. Saisissez l'ancien mot de passe et le nouveau mot de passe dans
Complexité minimale des mots de les champs appropriés, et conservez le nouveau mot de passe
passe et définissez l'intervalle après dans un endroit sûr. Cliquez sur OK.
lequel les administrateurs devront 3. Cliquez sur Valider, puis sélectionnez Panorama en tant que
modifier leur mot de passe. Type de validation.
Étape 7 Vérifiez l'accès réseau aux services Pour vérifier que Panorama a un accès réseau externe, utilisez
externes requis pour la gestion de l'utilitaire ping. Vérifiez la connectivité à la passerelle par défaut, au
pare-feu, par exemple, le serveur de mise serveur DNS et au serveur de mise à jour Palo Alto Networks,
à jour Palo Alto Networks. comme indiqué dans l'exemple qui suit :
admin@Panorama-Corp> ping host updates.paloaltonetworks.com
PING updates.paloaltonetworks.com (67.192.236.252) 56(84)
bytes of data.
Remarque Une fois la connectivité vérifiée, appuyez sur les
touches Ctrl+C pour mettre fin aux commandes ping.
Continuez avec Installer les licences etInstaller les mises à jour de contenu et le logiciel Panorama, que vous
prévoyiez d'utiliser l'appareil M-100 en mode Panorama ou en mode Collecteur de journaux.

Configurer l'appareil M-100 en mode Collecteur de journaux
Lorsqu'on utilise l'appareil M-100 comme Collecteur de journaux, la tâche de traitement des journaux est
exécutée sur un appareil dédié. Utilisez les instructions de cette section pour faire passer l'appareil M-100 du
mode Panorama au mode Collecteur de journaux pour le déployer en tant que collecteur de journaux dédié.
Assurez-vous que l'appareil Panorama qui gèrera les pare-feux et le collecteur de journaux sont déjà configurés.
En mode Collecteur de journaux, l'appareil M-100 ne prend pas en charge l'interface Web pour les
tâches de configuration ; seul l'accès SSH est pris en charge. Donc, avant de changer le mode sur
l'appareil M-100, effectuez la configuration initiale et utilisez l'interface Web en mode Panorama pour
activer/récupérer les licences.
Pour envoyer les journaux à un appareil M-100 en mode collecteur de journaux, les pare-feux Palo Alto
Networks doivent exécuter PAN-OS v5.0 ou versions ultérieures. les pare-feux Palo Alto Networks
exécutant des versions de PAN-OS antérieures à la version 5.0 ne peuvent pas envoyer de journaux à
un appareil M-100 en mode Panorama ou vers un appareil virtuel Panorama.
Passer du mode Panorama au mode Collecteur de journaux
Étape 1 Accédez à l'interface de ligne de Connectez-vous à l'appareil M-100 d'une des façons suivantes :
commande (CLI) sur l'appareil M-100. • Connectez le câble série de l'ordinateur sur le port de console de
l'appareil M-100. Connectez-vous ensuite en utilisant un logiciel
d'émulation de terminal (9600-8-N-1).
• Utilisez un logiciel d'émulation de terminal tel que PuTTY pour
ouvrir une session SSH à l'adresse IP affectée à l'appareil M-100
pendant la configuration initiale.
Étape 2 Lorsque vous y êtes invité, Utilisez le compte admin par défaut et le mot de passe affecté pendant
connectez-vous à l'appareil. la configuration nationale.
Étape 3 Passez du mode Panorama au mode 1. Pour passer en mode collecteur de journaux, saisissez la
Collecteur de journaux. commande qui suit :
requerrait system logger-mode logger
2. Saisissez Yes pour confirmer la modification en mode de
collecteur de journaux. L'appareil redémarre.
Étape 4 Vérifiez que l'appareil est en mode 1. Reconnectez-vous à l'interface de ligne de commande sur
Collecteur de journaux. l'appareil M-100.
2. Saisissez la commande suivante :
show system info | match logger_mode
La réponse imprimée à l'écran se présente comme suit :
logger_mode: True
Si la valeur False s'affiche, l'appareil M-100 est toujours en
mode Panorama.
Étape 5 Spécifiez l'adresse IP de l'appareil Saisissez les commandes suivantes dans l'interface de ligne de
Panorama qui gère le collecteur de commande (CLI) :
journaux. configure
set deviceconfig system panorama-server
<adresse IP>
commit

Maintenant que vous avez réussi à configurer votre appareil M-100, pour obtenir d'autres instructions sur
l'affectation d'un collecteur de journaux à un pare-feu, la définition des groupes de collecteur et la gestion de
collecteur de journaux en utilisant Panorama, reportez-vous à la section Activer la journalisation.
Accroître la capacité de stockage de l'appareil M-100
L'appareil M-100 est livré avec deux disques dans une configuration RAID1. Chaque appareil M-100 permet
l'ajout de jusqu'à trois paires de disques supplémentaires en RAID1, chacun d'une capacité d'1 To, pour atteindre
une capacité maximale de 4 To de stockage RAID.
Si l'on ajoute des paires de disques à un appareil M-100 déjà déployé, il n'y a pas à mettre le système
hors ligne pour accroître leur capacité de stockage. Lorsque la ou les paires de disques supplémentaires
deviennent disponibles, l'appareil M-100 redistribue les journaux entre les paires de disques disponibles.
Le processus de redistribution de journaux s'exécute en arrière-plan et n'a pas d'influence sur la
disponibilité ou la durée active de l'appareil M-100.
Configurer les disques dans une paire RAID
Étape 1 Installez les nouveaux disques dans les Assurez-vous d'ajouter les lecteurs de façon séquentielle dans la baie
baies de lecteur appropriées. de disque ouverte suivante. Par exemple, ajoutez B1/B2 avant
C1/C2.
Pour plus d'informations sur l'ajout de lecteurs physiques,
reportez-vous au Guide de référence du matériel M-100.
Étape 2 Accédez à l'interface de ligne de Vous pouvez procéder d'une des façons suivantes :
commande (CLI) sur l'appareil M-100. • Attachez un câble série de l'ordinateur au port de console et
connectez l'appareil M-100 à l'aide d'un logiciel d'émulation
(9600-8-N-1).
• Utilisez un logiciel d'émulation de terminal tel que PuTTY pour
ouvrir une session SSH à l'adresse IP de l'appareil M-100.
Étape 3 Lorsque vous y êtes invité, Utilisez le compte admin et le mot de passe affecté par défaut.
connectez-vous à l'appareil.

Configurer les disques dans une paire RAID (suite)
Étape 4 Configurez chaque paire de disques Cet exemple utilise les lecteurs des baies de lecteurs B1 et B2.
supplémentaire dans une configuration 1. Saisissez les commandes suivantes et confirmez la demande à
RAID. l'invite :
Remarque Le temps nécessaire à faire une copie request system raid add B1
miroir des données du lecteur peut request system raid add B2
varier de plusieurs minutes à quelques 2. Pour surveiller la progression de la configuration RAID,
heures, en fonction de la quantité de saisissez la commande suivante :
données présentes sur le lecteur. show system raid detail
Une fois le RAID défini, la réponse suivante s'affiche :
Disk Pair A Available
Status clean
Disk id A1 Present
model : ST91000640NS
size : 953869 MB
status : active sync
Disk id A2 Present
size : 953869 MB
Disk Pair B Available
Status clean
Disk id B1 Present
size : 953869 MB
Disk id B2 Present
size : 953869 MB
Étape 5 Rendez la paire de disques disponible à la 1. Accédez au serveur de gestion Panorama qui gère ce collecteur
journalisation. de journaux (s'il s'agit d'un autre appareil).
Pour activer les paires de disques pour la 2. Dans l'onglet Panorama > Collecteurs gérés, sélectionnez le
journalisation, cet appareil doit avoir été collecteur de journaux et suivez les instructions de l'étape 6 de
ajouté en tant que collecteur géré sur la section dans Ajouter un collecteur de journaux à Panorama.
Panorama. Si c'est déjà fait, reportez-vous
à la section Ajouter un collecteur de
journaux à Panorama.
Étape 6 Enregistrez les modifications de Cliquez sur Valider Sélectionnez Panorama en tant que Type de
configuration. validation, puis cliquez sur OK.
Pour plus d'instructions sur l'ajout d'un collecteur de journaux en tant que collecteur géré sur Panorama, la
définition de groupes de collecteurs, l'affectation d'un collecteur de journaux à un pare-feu, reportez-vous à la
section Activer la journalisation.

Migrer d'un appareil virtuel Panorama vers un appareil M-100 Configurer Panorama
Migrer d'un appareil virtuel Panorama vers un

appareil M-100
Sur un appareil virtuel Panorama qui gère 10 périphériques ou plus, et dont le taux de journalisation est de plus
de 10 000 journaux par seconde, la migration vers l'appareil M-100 offre un temps de réponse amélioré sur
l'interface Web et une exécution plus rapide des rapports. L'appareil M-100 fournit également jusqu'à 4 To de
stockage RAID; Utilisez les instructions présentes dans cette section pour migrer la configuration de l'appareil
virtuel Panorama vers un appareil M-100.
 Configuration requise
 Éléments à prendre en compte pour la planification
 Effectuer la migration
 Reprendre la gestion des périphériques
Configuration requise
Pour poursuivre la migration de votre abonnement en cours, vous devez :
 avoir acheté un appareil M-100
 avoir obtenu une mise à niveau de migration et acheté un nouvel abonnement incluant le logiciel et la prise
en charge du matériel.
Pour traiter la mise à niveau de migration, vous devez contacter votre représentant commercial avec les
informations suivantes :
– le numéro de série du Panorama virtuel que vous projetez de supprimer.
– les termes de support de l'appareil M-100 et le code d'autorisation que vous avez reçu lorsque vous avez
acheté l'appareil.
– la date d'effet de la migration
Palo Alto Networks appliquera automatiquement les codes d'autorisation associés au numéro de série
de votre appareil de contrôle, arrêtera progressivement la prise en charge du Panorama virtuel, et
déclenchera la prise en charge pour votre appareil M-100 à la date d'effet choisie.
À partir de la date d'effet, vous aurez un délai limité pour compléter la procédure de migration. À la fin
de la période, la prise en charge de l'appareil virtuel Panorama sera terminée, et vous ne serez plus en
mesure de recevoir des mises à jour de logiciel ou de menaces. Reportez-vous à cet article pour
connaître les détails du processus de migration de licence.

Configurer Panorama Migrer d'un appareil virtuel Panorama vers un appareil M-100
Éléments à prendre en compte pour la planification
 Prévoyez de procéder à la migration pendant une fenêtre de maintenance. Bien que les pare-feux puissent
garder les journaux dans la mémoire tampon et les transmettre à Panorama une fois la connexion est rétablie,
le fait d'effectuer la migration pendant une fenêtre de maintenance limite les risques de perte de données
pendant le délai de transition, entre le moment où l'appareil virtuel Panorama s'arrête et celui où l'appareil
M-100 prend le relais.
 Déterminez si vous devez garder l'accès à l'appareil virtuel Panorama une fois la migration terminée. Le
format de journal de l'appareil virtuel Panorama étant incompatible avec celui de l'appareil M-100, les
données de journaux existantes sont dans l'impossibilité de migrer vers l'appareil M-100. Alors, si vous
souhaitez accéder aux anciens journaux, l'appareil virtuel Panorama doit rester accessible.
 Vous devez décider si vous gardez la même adresse IP sur l'appareil M-100 ou si vous en affectez une
nouvelle. Palo Alto Networks conseille d'utiliser la même adresse IP de gestion afin de ne pas avoir à
reconfigurer chaque appareil géré pour qu'il référence une nouvelle adresse IP.
Si vous avez des exigences en matière de conformité des journaux, prévoyez de reconfigurer une
nouvelle adresse IP sur l'appareil virtuel Panorama afin de conserver l'accès aux anciens journaux, pour
pouvoir générer des rapports.
 Gardez une nouvelle adresse IP à portée de main pour pouvoir l'utiliser lors de la configuration de connectivité
vers l'appareil M-100 pendant la configuration initiale. Si vous avez décidé de transférer l'adresse IP affectée
à l'appareil virtuel Panorama, cette nouvelle adresse IP sera utilisée de façon provisoire. Lorsque vous
restaurerez le fichier de configuration depuis l'appareil virtuel Panorama sur l'appareil M-100, cette nouvelle
adresse IP sera remplacée.
Effectuer la migration
Pour migrer la configuration depuis VPA vers l'appareil M-100, exécutez les tâches suivantes :
Effectuer une migration depuis l'appareil virtuel Panorama
Étape 1 Exécutez ces tâches sur l'appareil virtuel Panorama.
1. Effectuer la mise à niveau vers la Reportez-vous à la section Installer les mises à jour de contenu et le
dernière version de Panorama. logiciel Panorama.
2. Exportez la configuration en cours sur 1. Dans l'onglet Panorama > Configuration > Opérations, à la
l'appareil Panorama virtuel. section Gestion de configuration, sélectionnez Exporter
l'instantané de la configuration.
2. Sélectionnez la configuration active (running-config.xml), puis
cliquez sur OK. Le fichier est téléchargé et enregistré sur la
machine locale.
3. Renommez le fichier.

Effectuer une migration depuis l'appareil virtuel Panorama (suite)
4. Éteignez la machine virtuelle ou Si vous prévoyez de réutiliser l'adresse IP d'interface MGT

modifiez l'adresse IP. configurée sur l'appareil virtuel Panorama sur l'appareil M-100, vous
avez le choix entre éteindre l'appareil virtuel ou affecter une nouvelle
adresse IP au port MGT de l'appareil virtuel.
Pour modifier l'adresse IP, dans l'onglet Panorama > Configuration,
modifiez la section Paramètres de l'interface de gestion, puis
saisissez la nouvelle adresse IP.
Étape 2 Exécutez ces tâches sur l'appareil M-100.
1. Configurez un accès réseau. Reportez-vous à la section Effectuer la configuration initiale pour les
instructions
Prévoyez d'affecter une nouvelle adresse IP provisoire pendant la
configuration initiale de l'appareil M-100, et de réutiliser l'adresse IP
jusque là affectée à l'appareil virtuel Panorama. L'adresse IP
provisoire sera remplacée lorsque vous importerez la configuration,
plus tard dans le processus.
2. Installez la même version de Panorama Installez la version de Panorama que vous avez sélectionnée
que celle qui est exécutée sur l'appareil précédemment à l'étape 1. Pour plus d'instructions sur l'exécution de
virtuel Panorama. la mise à niveau, reportez-vous à la section Installer les mises à jour
de contenu et le logiciel Panorama.
3. Enregistrez Panorama et récupérez la Reportez-vous à la section Installer les licences.

licence.
4. Importez et chargez le fichier de 1. Dans l'onglet Panorama > Configuration > Opérations, à la
configuration. section Gestion de configuration, sélectionnez Importer
l'instantané de la configuration Panorama.
2. Accédez au fichier running-config.xml (ou au fichier renommé),
puis cliquez sur OK.
3. Sélectionnez le lien Charger l'instantané de la configuration
pour charger le fichier de configuration que vous venez
d'importer.
Toute erreur survenant lors du chargement du fichier de
configuration s'affiche à l'écran.
4. Si des erreurs surviennent, enregistrez-les sur le fichier en local.
Examinez et résolvez chaque erreur afin d'être certain que tous
les composants de la configuration ont bien migré.

Configurer Panorama Migrer d'un appareil virtuel Panorama vers un appareil M-100
Effectuer une migration depuis l'appareil virtuel Panorama (suite)
5. Revoyez la configuration sur Panorama 1. Si vous ne prévoyez pas de réutiliser les mêmes paramètres
et modifiez-la. d'accès réseau pour l'interface MGT, modifiez les valeurs
suivantes :
a. Sélectionnez Panorama > Configuration, puis cliquez sur
l'icône Modifier dans la section de Paramètres d'Interface de
b. Saisissez l'adresse IP, le masque réseau et la passerelle par
défaut..
c. Confirmez que la liste d'adresses IP figurant sur la liste des
adresses IP autorisées est exacte.
2. Pour modifier le nom d'hôte, modifiez la section Paramètres
généraux fr l'onglet Panorama > Configurer..
3. Confirmez que les paramètres d'accès administratifs
(administrateurs, rôles et domaines d'accès) configurés
sur l'appareil sont exacts, dans l'onglet Panorama >
Administrateurs, Panorama > Rôles admin et l'onglet
Panorama > Domaines d'accès.
4. Ajoutez le collecteur de journaux par Lors de l'importation de la configuration depuis l'appareil virtuel
défaut à l'appareil M-100. Panorama, le collecteur de journaux par défaut est supprimé de
l'appareil M-100. Pour ajouter le collecteur de journaux sur l'appareil
M-100, utilisez les instructions de la section Ajouter un collecteur de
journaux à Panorama.
5. Enregistrez toutes vos modifications Après avoir révisé les modifications de configuration, cliquez sur
sur Panorama. Valider. Sélectionnez Panorama en tant que Type de validation, puis
cliquez sur OK.
Reprendre la gestion des périphériques
Pour reprendre la gestion centralisée, vous devez restaurer la connectivité des périphériques gérés. Effectuez
cette tâche pendant une fenêtre de maintenance afin de réduire au maximum l'arrêt du réseau.
Vérifiez l'état des périphériques gérés
Étape 1 Connectez-vous à Panorama. Avec une connexion sécurisée fournie par un navigateur Internet
(https), connectez-vous en utilisant l'adresse IP et le mot de passe
affectés à l'interface de gestion lors de la configuration initiale
(https://<Adresse IP>).

Vérifiez l'état des périphériques gérés (suite)
Étape 2 Synchronisez la configuration de 1. Sélectionnez Panorama > Périphériques gérés, et vérifiez que
Panorama avec celle du périphérique géré. l'état Connecté de chaque périphérique s'affiche avec .
L'état des modèles et des groupes de périphériques s'affiche
comme .
2. Pour synchroniser les groupes de périphériques :
a. Cliquez sur Valider et sélectionnez Groupe de
périphériques en tant que Type de validation.
b. Sélectionnez chaque groupe de périphériques et cliquez
sur OK.
3. Pour synchroniser les modèles :
a. Cliquez sur Valider, puis sélectionnez Panorama comme
Type de validation.
b. Cliquez sur Valider, puis sélectionnez Modèle comme Type
de validation.
Étape 3 Vérifiez que l'état des périphériques, des modèles et de la politique partagée est sur Connecté(e) et
Synchronisé(e).

Configurer Panorama Installer les licences
Installer les licences

Avant de commencer à utiliser Panorama pour la gestion centralisée, la journalisation et la création de rapport,
vous devez enregistrer Panorama et récupérer les licences.
Chaque instance de Panorama requiert des licences valides qui vous autorisent à gérer les périphériques et à
obtenir un support. La licence de gestion de périphérique met en œuvre le nombre maximal de périphériques
pouvant être gérés par Panorama. La licence d'assistance permet les mises à jour de logiciel Panorama et les
mises à jour de contenu dynamique pour les dernières applications et signatures de menaces, parmi d'autres
mises à jour publiées par Palo Alto Networks.
Pour acheter les licences, contactez les ingénieurs ou le revendeur Palo Alto Networks Systems. Après
l'obtention de la licence, accédez à Panorama > Licences (uniquement sur l'appareil M-100) pour effectuer les
tâches suivantes en fonction de la façon dont vous recevez vos licences :
 Récupérer les clés de licence depuis le serveur de licences : Utilisez cette option si la licence a été
activée sur le portail d'assistance.
 Activer la fonction à l'aide du code d'autorisation : Utilisez le code d'autorisation pour activer une
licence qui n'a pas été activée sur le portail de support au préalable.
 Télécharger manuellement la clé de licence : Utilisez cette option si Panorama n'a pas de connectivité
avec le serveur de mise à jour de Palo Alto Networks. Dans ce cas, commencez par télécharger le fichier de
clé de licence depuis le site de support vers un ordinateur connecté à Internet, puis téléchargez-le sur
Panorama.
Enregistrer Panorama
Pour gérer les éléments que vous achetez à Palo Alto Networks, vous devez créer un compte et enregistrer les
numéros de série avec le compte.
S'enregistrer auprès de Palo Alto networks
Étape 1 Connectez-vous à l'interface Web Avec une connexion sécurisée fournie par un navigateur Internet
(https), connectez-vous en utilisant l'adresse IP et le mot de passe que
Étape 2 Localisez votre numéro de série et • Le numéro de série de l'appareil M-100 s'affiche sur le tableau de
copiez-le dans le Presse-papiers. bord ; localisez le Numéro de série dans la section Informations
générales de l'écran.
• Pour l'appareil virtuel Panorama, le numéro de série est inclus dans
le message électronique d'exécution de la commande.
Étape 3 Rendez-vous sur le site de support de Palo Dans un nouvel onglet ou une nouvelle fenêtre de navigateur,
Alto Networks. accédez à l'adresse https://support.paloaltonetworks.com.

Installer les licences Configurer Panorama
S'enregistrer auprès de Palo Alto networks (suite)
Étape 4 Enregistrez Panorama. La façon dont • S'il s'agit du premier appareil Palo Alto Networks que vous
vous vous enregistrez dépend du fait que enregistrez et si vous n'avez pas encore de connexion, cliquez sur
vous ayez déjà ou non une connexion au Enregistrer sur le côté droit de la page. Pour procéder à
site de support. l'enregistrement, fournissez votre adresse de messagerie et le
numéro de série du Panorama (que vous pouvez copier-coller
depuis votre presse-papiers). Lorsque vous y êtes invité, configurez
un nom d'utilisateur et un mot de passe pour accéder à la
communauté de support de Palo Alto Networks.
• Si vous disposez déjà d'un compte de support, connectez-vous,
puis cliquez sur Mes périphériques. Faites défiler la section
Enregistrer le périphérique en bas de l'écran, et saisissez le numéro
de série de Panorama (que vous pouvez coller depuis le
presse-papiers), votre ville et votre code postal, puis cliquez sur
Enregistrer le périphérique.
Remarque Sur l'appareil virtuel Panorama, une fois que vous avez enregistrez Panorama, effectuez les étapes suivantes
pour activer la fonctionnalité de gestion de périphérique sur Panorama.
1. Sélectionnez Panorama > Configuration > Gestion, et cliquez sur l'icône Modifier dans la section Paramètres
généraux.
2. Saisissez le Numéro de série de l'appareil virtuel Panorama et cliquez sur Valider pour valider vos modifications dans
Panorama. La licence est automatiquement appliquée à Panorama.
Pour activer l'abonnement au support et terminer le processus d'obtention de licence sur l'appareil M-100, passez à la
section Activer/Récupérer les licences.
Activer/Récupérer les licences
Chaque appareil Panorama (qu'il s'agisse d'un appareil virtuel ou matériel) nécessite une licence valide.
Si vous vous servez d'une licence d'évaluation sur votre appareil virtuel Panorama et si vous souhaitez
utiliser une licence Panorama que vous avez achetée.
1. Enregistrez le numéro de série Panorama sur le site de support Palo Alto Networks. Reportez-vous
à l'étape 4 de la section Enregistrer Panorama.
2. Sélectionnez Panorama > Configuration > Gestion et cliquez sur l'icône Modifier dans la section
Paramètres généraux.
3. Saisissez le Numéro de série de l'appareil virtuel Panorama et cliquez sur Valider pour valider vos
modifications dans Panorama. La licence est automatiquement appliquée à Panorama.
Activer la licence
Étape 1 Localisez les codes d'autorisation du Lorsque vous avez passé votre commande, vous avez reçu un
produit/de l'abonnement que vous avez message électronique de la part du service client de Palo Alto
acheté. Networks qui répertorie les codes d'autorisation associés à l'achat. Si
vous ne trouvez pas ce message électronique, contactez le service
clientèle pour obtenir vos codes avant de continuer.

Configurer Panorama Installer les licences
Activer la licence (suite)
Étape 2 Activez la licence. 1. Pour activer votre abonnement d'assistance, sélectionnez

Panorama > Support.
L'appareil M-100 nécessite à la fois un
abonnement au support et la licence de 2. Sélectionnez Activer la fonction à l'aide du code
gestion de périphérique. d'autorisation. Saisissez le code d'autorisation, puis cliquez sur
OK.
L'appareil virtuel Panorama ne nécessite
3. Vérifiez que la configuration de périphérique a été activée avec
qu'un abonnement de support. La
succès.
fonctionnalité de gestion de périphérique
a été activée au moment où vous avez
ajouté le numéro de série.
Remarque Si le port de gestion de Panorama n'est
pas équipé d'un accès Internet,
téléchargez manuellement les fichiers
de licence depuis le site d'assistance, et 4. (Requis uniquement pour l'appareil M-100) Dans l'onglet
téléchargez-le dans Panorama en Panorama > Licences, sélectionnez Activer la fonction à l'aide
utilisant l'option Clé de licence du code d'autorisation.
téléchargée manuellement. 5. Lorsque vous y êtes invité, saisissez le code d'autorisation
d'utilisation de Panorama, puis cliquez sur OK.
6. Vérifiez que la licence a bien été activée et qu'elle affiche le
support du nombre de périphériques approprié. Par exemple :
Remarque Pour l'appareil virtuel Panorama, vous pouvez afficher

la licence de gestion de périphérique uniquement sur le
portail Support.
Étape 3 (Non requis si vous avez effectué Utilisez l'option Récupérer les clés de licence auprès du serveur
l'étape 2) Récupérez les clés de licence sur de licences si vous avez activé les clés de licence sur le portail
le serveur de licence. Support.
• Sélectionnez Panorama > Support puis Récupérer les clés de
licence auprès du serveur de licences.

Installer les mises à jour de contenu et le logiciel Panorama Configurer Panorama
Installer les mises à jour de contenu et le logiciel Panorama

Un abonnement d'assistance active l'image logicielle et les notes de version de Panorama. Pour bénéficier des
dernières corrections et des améliorations de sécurité, il est judicieux de mettre à niveau vers la dernière mise à
jour logicielle ou la version mise à jour recommandée par votre revendeur ou un ingénieur Palo Alto Networks
Systems.
Important : Panorama version 5.1 n'est disponible que pour les systèmes d'exploitation 64 bits. Avant
la mise à niveau d'un appareil virtuel Panorama vers la v5.1, assurez-vous que l'hôte ESX(i) prend en
charge un système d'exploitation 64 bits et qu'il répond aux exigences système minimales du système
d'exploitation 64 bits. Pour plus d'informations, reportez-vous à la section Configuration requise.
Si vous gérez les périphériques avec des abonnements supplémentaires, par exemple, Prévention des menaces
ou WildFire, Panorama exige les mises à jour de contenu pour les applications et les bases de données de
menaces. Votre abonnement vous permet d'obtenir ces mises à jour. Les applications et les bases de données de
menace sont référencées dans les configurations de politique et sont utilisées lors de la génération de rapports.
Ces bases de données sont utilisées pour faire correspondre les identifiants enregistrés dans les journaux avec
la menace, l'URL ou les noms d'application correspondants. Donc, pour éviter une non-correspondance, Palo
Alto Networks vous recommande d'installer les mêmes versions d'applications et de bases de données de
menaces sur Panorama, et sur le périphérique géré.
Exécuter les mises à jour de version de contenu et de Panorama
Étape 1 Lancez l'interface Web Panorama et 1. Avec une connexion sécurisée fournie par un navigateur
accédez aux pages de mises à jour Internet (https), connectez-vous en utilisant l'adresse IP et le
dynamiques. mot de passe que vous avez affectés à l'interface de gestion
(https://<Adresse IP>).
Avant de mettre à jour le logiciel, installez
les dernières mises à jour de contenu 2. Sélectionnez Panorama > Mises à jour dynamiques.
prises en charge dans la version.
Étape 2 Vérifiez, téléchargez et installez les 1. Cliquez sur Vérifier maintenant pour rechercher les dernières
dernières mises à jour de base de données mises à jour. Si la valeur figurant dans la colonne Action est
de contenus. Télécharger, une mise à jour est disponible.
Installez les mises à jour d'application et 2. Cliquez sur Télécharger pour obtenir la version souhaitée.
de menaces avant d'installer la mise à jour 3. Cliquez sur le lien Installer dans la colonne Action. Lorsque
d'antivirus. l'installation est terminée, une coche s'affiche dans la colonne
Actuellement installé.
Étape 3 Recherchez les mises à jour logicielles. 1. Sélectionnez Panorama > Logiciel.
2. Cliquez sur Vérifier maintenant pour rechercher les dernières
mises à jour. Si la valeur se trouvant dans la colonne Action est
Télécharger, une mise à jour est disponible.

Configurer Panorama Installer les mises à jour de contenu et le logiciel Panorama
Exécuter les mises à jour de version de contenu et de Panorama (suite)
Étape 4 Téléchargez la mise à jour. Localisez la version vers laquelle vous souhaitez effectuer la mise à
Remarque Si Panorama ne dispose pas d'un accès niveau, puis cliquez sur Téléchargez. Une fois le téléchargement
Internet depuis le port de gestion, terminé, la valeur se trouvant dans la colonne Action passe à
vous pouvez télécharger la mise à jour Installer.
logicielle de mise à jour logicielle à
partir du site de support de Palo Alto
Networks. Vous pouvez ensuite la
télécharger dans Panorama.
Étape 5 Installez la mise à jour. 1. Cliquez sur Installer.

2. Redémarrez Panorama :
• Si vous êtes invité à redémarrer, cliquez sur Oui.
• Si vous n'êtes pas invité à redémarrer, sélectionnez

Panorama > Configuration > Opérations et cliquez sur
Redémarrer Panorama dans la section Opérations
périphérique de l'écran.
Étape 6 (Uniquement requis pour la mise à niveau Après le redémarrage de Panorama, exécutez les tâches suivantes :
des appareils Panorama virtuels vers 1. Mettez l'appareil virtuel hors tension.
Panorama version 5.1). Modifiez les 2. Cliquez avec le bouton droit de la souris et sélectionnez
paramètres d'appareils virtuels Panorama. Modifier les paramètres... pour modifier ces paramètres :
Important : avant de mettre en marche a. Dans l'onglet Options, modifiez le système d'exploitation
un appareil virtuel Panorama sous v5.1, invité à partir de Other Linux (32-bit) à Other Linux (64-bit).
assurez-vous que l'hôte ESX(i) prend en
b. Dans l'onglet Matériel, modifiez le contrôleur SCSI de
charge un système d'exploitation 64 bits
BusLogic Parallel vers LSI Logic Parallel.
et qu'il répond aux exigences système
minimales du système d'exploitation c. Dans l'onglet Matériel, modifiez l'affectation de mémoire
64 bits. Reportez-vous à la section à 4 Go minimum, 16 Go pour la gestion de 10 pare-feu
Configuration requise pour plus ou plus.
d'informations. 3. Mettez l'appareil virtuel Panorama sous tension.
Pour poursuivre la gestion des pare-feux et activer la collecte de journaux, reportez-vous à Gérer les pare-feux
et la collecte de journaux.

Naviguer dans l'interface utilisateur Panorama Configurer Panorama
Naviguer dans l'interface utilisateur Panorama

Panorama fournit trois interfaces utilisateur : une interface Web, une interface de ligne de commande (CLI) et
l'API de gestion REST.
 Interface Web : l'interface Web Panorama est conçue spécialement avec un aspect similaire à celui du
pare-feu. Si vous êtes déjà familiarisé avec le pare-feu, vous serez en mesure de naviguer et de compléter les
tâches administratives et de génération de rapports à partir de l'interface Web Panorama avec une relative
facilité. Cette interface graphique vous permet d'accéder à Panorama à l'aide de HTTPS et c'est le meilleur
moyen d'effectuer des tâches administratives. Vous pouvez activer l'accès HTTP Panorama, si la section
Paramètres d'interface de gestion de l'onglet Panorama >Configuration > Gestion l'exige. Consultez les sections
Naviguer dans l'interface Web et Se connecter à l'interface Web.
 Interface de ligne de commande : l'interface de ligne de commande est une interface simple, qui vous
permet de saisir les commandes rapidement pour compléter une suite de tâches. L'interface de ligne de
commandes prend en charge deux modes de commande (opérationnel et configuration) et chaque mode a
sa propre hiérarchie de commande et de déclarations. Lorsque vous vous familiarisez avec la structure
d'imbrication et la syntaxe de commandes, l'interface de ligne de commande permet des heures de réponse
et offre une efficacité administrative. Reportez-vous à la section Se connecter à l'interface de ligne de
commande.
 API de gestion REST : l'API REST XML est fournie en tant que service Web mis en œuvre à l'aide de
demandes et de réponses HTTP/HTTPS. Elle vous permet de simplifier vos opérations et d'intégrer des
applications existantes et des référentiels développés en interne. Pour plus d'informations sur la façon
d'utiliser l'interface API Panorama, reportez-vous au document intitulé PAN-OS and Panorama XML-Based
REST API. Pour accéder à la communauté en ligne pour le développement de scripts, visitez :
https://live.paloaltonetworks.com/community/devcenter
Naviguer dans l'interface Web
Utilisez l'interface Web Panorama pour configurer Panorama, gérer et surveiller les périphériques gérés et
les collecteurs de journaux, et accéder à l'interface Web de chaque périphérique grâce au contexte du
périphérique. Reportez-vous à l'aide en ligne de Panorama pour plus de détails sur les options de chaque
onglet dans l'interface Web.
L'interface Web Panorama inclut les onglets suivants :
Onglet Sous-onglet Description
Tableau de bord Affiche des informations générales sur les paramètres et le modèle d'accès réseau
Panorama. Cela inclut des widgets qui affichent des informations sur les applications,
les journaux et les ressources et les paramètres système.
ACC Affiche les risques d'ensemble et le niveau de menace sur le réseau, en fonction des
informations rassemblées à partir des périphériques gérés.
Surveillance Fournit l'accès aux journaux et aux rapports.

Configurer Panorama Naviguer dans l'interface utilisateur Panorama
Onglet Sous-onglet Description (suite)
Panorama Configure Panorama, gère les licences, définit la haute disponibilité, accède aux mises
à jour logicielles et aux alertes de sécurité, gère les accès administratifs, les pare-feux et
les collecteurs de journaux déployés.
Groupes de Politiques Crée des politiques centralisées et applique la configuration à plusieurs
périphériques périphériques/groupes de périphériques.
(Vous devez
Objets Définit les objets de politiques qui peuvent être référencés dans la politique partagée
créer des
dans tous les périphériques/groupes de périphériques.
groupes de
périphériques
pour que
l'onglet
s'affiche.)
Modèles Réseau Configure les paramètres réseau, tels que les profils réseau, qui peuvent être appliqués
(Vous devez aux périphériques gérés.
ajouter un Périphérique Configure les périphériques, tels que les profils de serveur et rôles admin, qui peuvent
nouveau
appliqués aux périphériques gérés.
modèle pour
que l'onglet
s'affiche.)
Se connecter à l'interface Web
Se connecter à l'interface Web
Étape 1 Connectez-vous à l'interface Web Avec une connexion sécurisée fournie par un navigateur Internet
Panorama (https), connectez-vous en utilisant l'adresse IP et le mot de passe que
Étape 2 (Facultatif) Active l'accès HTTP et SSH. 1. Sélectionnez Panorama > Configuration > Gestion, puis cliquez
sur l'icône Modifier dans la section Paramètres d'interface de
2. Sélectionnez les services de gestion à autoriser sur l'interface.
Par exemple, sélectionnez HTTP et SSH.
3. Cliquez sur OK.

Naviguer dans l'interface utilisateur Panorama Configurer Panorama
Se connecter à l'interface de ligne de commande
Vous pouvez vous connecter à l'interface de ligne de commande en utilisant une connexion de port série, ou via
un accès à distance par le biais d'un client SSH.
Se connecter à l'interface de ligne de commande
• Utilisez SSH pour vous connecter à l'interface 1. Assurez-vous que vous avez ce qui suit à disposition :
de ligne de commande • Un ordinateur avec un accès au réseau Panorama
Remarque Les mêmes instructions s'appliquent • Une adresse IP Panorama
à l'appareil M-100 en mode collecteur
de journaux. • SSH est activé sur l'interface de gestion. Pour activer l'accès
à SSH, consultez la section (Facultatif) Active l'accès HTTP
et SSH.
2. Pour accéder à l'interface de ligne de commande en utilisant
SSH :
a. Saisissez l'adresse IP Panorama dans le client SSH.
b. Utilisez le port 22.
c. Saisissez vos informations d'accès administratif à l'invite. Une
fois connecté, l'écran d'interface de ligne de commande
s'affiche en mode opérationnel Par exemple :
admin@ABC_Sydney>
Pour activer l'authentification basée sur une clé,
reportez-vous à la section Activer l'authentification basée sur
clé SSH pour l'interface de ligne de commande.
• Passez en mode de configuration. Accédez au mode configuration et saisissez la commande qui suit à
l'invite :
admin@ABC_Sydney> configure
L'invite se change en admin@ABC_Sydney#
• Utilisez un port série pour vous connecter à 1. Assurez-vous que vous avez ce qui suit à disposition :
l'interface de ligne de commande Panorama. • Un câble série pour modem relie Panorama à un ordinateur
avec un port série DB-9.
• Un programme d'émulation de terminal s'exécutant sur
l'ordinateur
2. Utilisez les paramètres suivants dans le logiciel d'émulation de
terminal pour vous connecter. 9600 bauds, 8 bits de données,
1 bit d'arrêt, sans parité, sans contrôle de flux matériel.
3. Saisissez vos informations d'accès administratif à l'invite.

Configurer Panorama Configurer un accès administratif
Configurer un accès administratif

Par défaut, Panorama inclut un compte administratif par défaut (admin), avec un accès en lecture/écriture à
toutes les fonctionnalités de Panorama. Dans le cadre des meilleures pratiques, créez un compte administratif
séparé pour chaque personne qui a besoin d'accéder aux fonctions administratives ou de rapport de Panorama.
Cela évite les configurations ou les modifications non autorisées et permet la journalisation des actions de
chaque administrateur individuel.
Panorama vous permet de définir et de restreindre l'accès aussi largement ou de façon aussi détaillée que
nécessaire, en fonction des exigences de sécurité au sein de votre organisation. Par exemple, vous pouvez décider
qu'un administrateur de centre de données peut avoir accès à toutes les configurations de périphérique et de
réseau, alors qu'un administrateur de sécurité aura le contrôle sur la définition de politique de sécurité, la
visionneuse du journal, et d'autres individus clés auront un accès limité à l'interface de ligne de commande, à
XML et aux API.
Vous ne pouvez pas ajouter un compte administratif à un appareil M-100 en mode collecteur de
journaux. Seul le compte utilisateur administrateur avec le nom d'utilisateur par défaut admin est
disponible.
Les sections qui suivent décrivent les méthodes prises en charge pour configurer les comptes administratifs et
les procédures de configuration d'accès administrateur de base.
 Créer un compte administrateur
 Définir des domaines d'accès
 Définir une séquence d'authentification
 Définir des domaines d'accès
 Configurer l'authentification administrative
Pour plus d'informations sur les différentes options disponibles pour authentifier les utilisateurs administrateurs,
consultez la section Authentification des administrateurs.
Créer un compte administrateur
Un utilisateur administrateur doit avoir un compte et se voir affecter à un rôle. Le rôle définit le type d'accès a
Panorama que détient l'administrateur associé. Vous pouvez affecter l'utilisateur administratif à un rôle
dynamique intégré ou à un rôle personnalisé (Profil de rôle admin) que vous avez défini. Si vous prévoyez
d'utiliser les profils de rôles administratifs plutôt que des rôles dynamiques, créez des profils qui définissent le
type d'accès à accorder aux différentes sections de l'interface Web, XML ou d'API pour chaque administrateur
affecté au rôle le cas échéant, Pour plus d'informations sur les rôles, reportez-vous à la section Rôles
administrateur.
Pour chaque utilisateur administrateur, vous pouvez également définir la complexité minimale de mot de passe,
un profil de mot de passe et utiliser le profil d'authentification avec un service d'authentification externe pour
valider les informations d'identification de l'administrateur.

Configurer un accès administratif Configurer Panorama
Si vous définissez un accès administratif basé sur les rôles sur Panorama, l'accès en lecture seule aux nœuds
Groupes de périphériques ou Modèles doit être fourni pour que les administrateurs puissent valider leurs
modifications sur Panorama. Si vous effectuez une mise à niveau depuis une version antérieure de Panorama, le
processus de mise à niveau fournit l'accès en lecture seule aux nœuds Groupes de périphériques ou Modèles.
L'exemple suivant indique comment créer un compte administrateur local avec une authentification locale :
Créer un compte administrateur local
Étape 1 Créez un profil de rôle administrateur. Exécutez les opérations ci-dessous pour chaque rôle que vous
souhaitez créer :
Cette étape n'est requise que si l'on utilise
1. Sélectionnez Panorama > Rôles admin, puis cliquez sur
les rôles personnalisés et non les rôles
Ajouter.
dynamiques intégrés disponibles sur
Panorama. 2. Sélectionnez Panorama ou Groupe de périphériques et
Modèle pour définir la portée des privilèges administratifs à
affecter. Les privilèges d'accès définis pour Panorama sont mis
en œuvre lorsque l'administrateur se connecte à Panorama ; le
rôle Groupe de périphériques et modèle active l'accès en lecture
seule aux périphériques gérés, aux modèles et aux nœuds de
groupes de périphériques dans l'onglet Panorama. L'accès à
tous les autres onglets peut être modifié en fonction des besoins.
Remarque L'accès au(x) nœud(s) Groupes de périphériques et/ou
Modèles doit être fourni pour qu'un administrateur
basé sur les rôles puisse valider les modifications
apportées aux groupes de périphériques et aux modèles
sur les périphériques gérés.
3. Pour l'Interface Web et/ou l'API XML, définissez les niveaux
d'accès (Activer , Lecture seule , Désactiver ) pour chaque
zone fonctionnelle de l'interface en cliquant sur l'icône pour
basculer sur le paramètre souhaité :
• Pour l'accès à Panorama, définissez l'accès à l'UI Web,
l'API XML et à la ligne de commande.
L'onglet Ligne de commande n'autorise pas l'accès
granulaire. Vous devez faire une sélection parmi les
options prédéfinies : Super utilisateur, super lecteur,
Admin panorama ou Aucun.
• Pour accéder aux pare-feux (groupe de périphérique et
modèle), seul un onglet est disponible. UI Web Depuis
Panorama, vous ne pouvez pas activer l'accès à l'interface
de ligne de commande ou XML API, sur un
périphérique parce qu'il n'existe pas de rôle prédéfini
restreignant l'accès. Donc, pour éviter l'escalade des
niveaux de privilège, la capacité à gérer l'accès à
l'interface de ligne de commande et XML API n'est pas
disponible depuis Panorama.
4. Saisissez un Nom pour le profil, puis cliquez sur OK pour
l'enregistrer.

Créer un compte administrateur local (suite)
Étape 2 (Facultatif) Définit les critères de mots de • Créer des profils de mot de passe : cette option définit la
passe définis par l'utilisateur local. fréquence à laquelle les administrateurs doivent changer leurs mots
de passe. Créez plusieurs profils de mot de passe et appliquez-les
aux comptes administrateurs en fonction des besoins pour mettre
en œuvre la sécurité. Pour créer un profil de mot de passe,
sélectionnez Panorama > Profils de mot de passe, puis cliquez
sur Ajouter.
• Configurer les paramètres de complexité minimale des mots
de passe : cette option définit les règles qui gouvernent la
complexité de mot de passe, qui forcent les administrateurs à créer
des mots de passe difficiles à deviner, à décrypter ou à
compromettre. Contrairement aux profils de mot de passe qui
peuvent être appliqués aux comptes individuels, ces règles sont
définies au niveau du périphérique et s'appliquent à tous les mots de
passe. Pour configurer les paramètres, sélectionnez Panorama >
Configuration, puis cliquez sur l'icône de modification dans la
section Complexité minimale des mots de passe.
Étape 3 Créez un compte pour chaque 1. Sélectionnez Panorama > Administrateurs, puis cliquez sur
administrateur. Ajouter.
2. Saisissez un nom d'utilisateur et un mot de passe pour
l'administrateur.
3. Sélectionnez le rôle à affecter à cet administrateur. Sélectionnez
un rôle dynamique prédéfini ou un profil basé sur un rôle
personnalisé, comme indiqué à l'étape 1.
4. (Facultatif) Sélectionnez le profil d'authentification à utiliser
pour la validation les informations de connexion d'utilisateur
administratif sur un serveur d'authentification externe.
Reportez-vous à la section Créer un profil d'authentification.
5. (Facultatif) Sélectionnez un profil de mot de passe.
Reportez-vous à l'étape 2.
6. Cliquez sur OK pour enregistrer le compte.
Étape 4 Enregistrez les modifications de Cliquez sur Valider, puis sélectionnez Panorama dans l'option Type
configuration. de validation.
Définir des domaines d'accès
Un domaine d'accès fournit une façon de limiter l'accès administratif à des groupes de périphériques spécifiés (pour
gérer les politiques et les objets) et des modèles (pour gérer le réseau et les paramètres de périphérique), et une
fonctionnalité permettant de changer de contexte dans l'interface Web des périphériques gérés. Les paramètres
de domaine d'accès sont pertinents uniquement si :
 Un profil de rôle admin personnalisé avec un rôle Groupe de périphériques et modèle de périphérique est
défini.

 Un serveur RADIUS est utilisé pour l'authentification administrateur. Le domaine d'accès est lié aux attributs
VSA RADIUS. Sur le serveur RADIUS, un numéro et une valeur d'attribut VSA sont définis pour chaque
utilisateur administrateur. La valeur définie doit correspondre au domaine d'accès configuré sur Panorama.
Lorsqu'un administrateur tente de se connecter à Panorama, Panorama interroge le serveur au sujet du
domaine d'accès et du numéro d'attribut des administrateurs. En fonction de la réponse du serveur RADIUS,
l'accès administrateur est autorisé, mais il est restreint pour ce qui concerne les périphériques/systèmes
virtuels, les groupes de périphériques et les modèles spécifiés dans le domaine d'accès. Pour plus de détails
sur les VSA RADIUS, reportez-vous à la section Utilisation des attributs VSA (Vendor-Specific Attributes)
RADIUS.
Définir un domaine d'accès
Étape 1 Créez un domaine d'accès. 1. Sélectionnez Panorama > Domaine d'accès, puis cliquez sur
Ajouter.
2. Saisissez un nom d'utilisateur pour identifier le domaine.
Étape 2 Spécifiez les groupes de périphérique, les Dans les onglets Groupes de périphériques, Modèles et Contexte
modèles et les contextes de périphérique de périphérique, cliquez sur Ajouter et effectuez une sélection dans
que l'utilisateur peut administrer. la liste filtrée ou le menu déroulant qui s'affiche.
Créer un profil d'authentification
Un profil d'authentification spécifie le service d'authentification qui valide les informations d'identification de
l'administrateur et détermine comment accéder au service d'authentification. Panorama peut être configuré pour
accéder à la base de données locale, un serveur RADIUS, un serveur Kerberos ou un serveur LDAP.
Si vous utilisez un serveur d'authentification externe, créez un profil de serveur (Panorama > Profils de serveur)
avant de créer un profil d'authentification. Panorama requiert le profil de serveur pour accéder au service
d'authentification.
Créer un profil d'authentification
Étape 1 Créez un profil d'authentification 1. Sélectionnez Panorama >Profil d'authentification, puis cliquez
sur Ajouter.
2. Saisissez un nom pour identifier le profil d'authentification.
Étape 2 Définissez les conditions de verrouillage 1. Saisissez le délai de verrouillage. Il s'agit du nombre de
d'utilisateur administrateur. minutes pendant lequel l'utilisateur est bloqué lorsqu'il atteint le
nombre maximal de tentatives échouées (0 à 60 minutes ; 0 par
défaut). 0 signifie que le verrouillage s'applique jusqu'à ce qu'il
soit déverrouillé manuellement.
2. Saisissez le nombre de tentatives échouées. Il s'agit du nombre
d'échecs de tentatives de connexion autorisés avant que le
compte soit verrouillé (1 à 10, 0 par défaut). Par défaut, le
nombre de tentatives échouées est de 0 et l'utilisateur n'est pas
verrouillé malgré les échecs d'authentification répétés.

Créer un profil d'authentification (suite)
Étape 3 Précisez les utilisateurs et les groupes Pour obtenir la liste d'autorisation, choisissez un des éléments
explicitement autorisés à s'authentifier. suivants :
En ajoutant une liste d'autorisation à un • Sélectionnez la case à cocher Tous pour donner une
profil d'authentification, vous pouvez autorisation à tous les utilisateurs.
limiter l'accès à des utilisateurs spécifiques • Cliquez sur Ajouter et saisissez les premiers caractères d'un
d'un groupe d'utilisateurs/répertoire. nom dans le champ, afin d'afficher tous les utilisateurs et
groupes dont le nom commence par ces caractères. Répétez
l'opération pour ajouter autant d'utilisateurs/groupes
d'utilisateurs que nécessaire.
Étape 4 Sélectionnez le service d'authentification 1. Dans le menu déroulant Authentification sélectionnez le type
et attachez le profil de serveur. d'authentification que vous utiliserez.
2. Sélectionnez le profil de serveur approprié dans le menu
déroulant Serveur de profil.
Étape 5 Validez vos modifications. Cliquez sur Valider, puis sélectionnez Panorama dans l'option Type
de validation.
Définir une séquence d'authentification
Une séquence d'authentification est une liste ordonnée de profils d'authentification qui autorise l'utilisation de
plusieurs services d'authentification. Les séquences d'authentification offrent une flexibilité dans des
environnements dans lesquels plusieurs bases de données existent pour différents utilisateurs et groupes
d'utilisateurs. Lorsque vous définissez une séquence d'authentification, Panorama tente d'authentifier
l'administrateur en utilisant chacun des profils de serveur configurés à la suite. Par exemple, une séquence
d'authentification peut demander à Panorama de vérifier d'abord LDAP, RADIUS par la suite et pour finir; la
base de données locale, jusqu'à ce qu'une authentification réussie ait lieu ; si elle échoue, l'administrateur se voit
refuser l'accès.
Définir une séquence d'authentification
Étape 1. Créez une séquence d'authentification. 1. Sélectionnez Panorama > Séquence d'authentification, puis
cliquez sur Ajouter.
2. Saisissez un nom d'utilisateur pour identifier le profil
d'authentification.
3. Cliquez sur Ajouter pour sélectionner la séquence
chronologique de profils d'authentification auxquelles les
informations d'identification doivent être comparées.

Définir une séquence d'authentification (suite)
Étape 2 (Facultatif) Définissez les conditions de 1. Saisissez le délai de verrouillage. Il s'agit du nombre de
verrouillage d'utilisateur administrateur. minutes pendant lequel l'utilisateur est bloqué lorsqu'il atteint le
nombre maximal de tentatives échouées (0 à 60 minutes ; 0 par
défaut). 0 signifie que le verrouillage s'applique jusqu'à ce qu'il
soit déverrouillé manuellement.
2. Saisissez le nombre de tentatives échouées. Il s'agit du nombre
d'échecs de tentatives de connexion autorisés avant que le
compte soit verrouillé (1 à 10, 0 par défaut). Par défaut, le
nombre de tentatives échouées est de 0 et l'utilisateur n'est pas
verrouillé malgré les échecs d'authentification répétés.
Configurer l'authentification administrative
Les administrateurs peuvent s'authentifier localement sur Panorama en utilisant des mots de passe et des
certificats, ou peuvent s'authentifier sur un serveur d'authentification externe.
Il existe trois options pour configurer l'authentification administrative sur Panorama.
 Créez un compte utilisateur local et authentifiez-vous localement en utilisant l'authentification par mot de
passe, basée sur certificat ou sur clé. Reportez-vous aux sections Créer un compte administrateur, Activer
l'authentification basée sur certificat pour l'interface Web et Activer l'authentification basée sur clé SSH pour
l'interface de ligne de commande.
 Créez un compte utilisateur local mais authentifiez-vous sur un serveur RADIUS/LDAP/Kerberos en

utilisant des profils d'authentification :
– Créez un profil serveur dans l'onglet Panorama > Profil de serveur. Un profil de serveur est requis pour
chaque service externe avec lequel Panorama doit interagir. Les détails de serveur nécessaires à
l'établissement de la connexion avec Panorama varient en fonction du service d'authentification que
vous prévoyez d'utiliser.
– Créez un profil d'authentification Reportez-vous à la section Créer un profil d'authentification.
– (Accès basé sur rôle uniquement) Définissez un profil de rôle admin qui indique si l'utilisateur a ou non
accès à Panorama ou aux groupes et modèles de périphérique, reportez-vous à la section Créer un profil
de rôle administrateur Pour les rôles dynamiques, le profil de rôle admin n'est pas nécessaire.
 Utilisez les attributs spécifiques au fournisseur (VSA) RADIUS pour gérer l'accès administratif à Panorama.
Utilisez cette option si vous ne voulez pas créer de compte local pour utilisateur administrateur sur
Panorama, et si vous souhaitez utiliser votre infrastructure actuelle pour gérer l'authentification et les mots
de passe sur un serveur RADIUS. Pour une présentation détaillée du processus, reportez-vous à la section
Utilisation des attributs VSA (Vendor-Specific Attributes) RADIUS.

Activer l'authentification basée sur certificat pour l'interface Web
Pour obtenir une alternative sécurisée à l'utilisation d'un mot de passe pour authentifier un utilisateur, activez
l'authentification basée sur certificat pour sécuriser l'accès à Panorama. Avec l'authentification basée sur
certificat, une signature numérique est échangée et vérifiée, à la place d’ un mot de passe.
Pour activer l'authentification basée sur certificat, vous devez configurer Panorama pour utiliser un
profil de certificat client (reportez-vous à l'étape 4 et à l'étape 5). Lorsque vous activez un profil de
certificat client, chaque administrateur doit utiliser un certificat client pour accéder à Panorama.
Utilisez les instructions suivantes pour activer l'authentification basée sur certificat. Dans cet exemple, on utilise
un certificat AC généré sur Panorama.
Activer l'authentification basée sur certificat
Étape 1 Générez un certificat AC sur Panorama. Pour générer un certificat AC sur Panorama :
Remarque Pour utiliser un AC de tiers ou 1. Connectez-vous à l'interface Web Panorama
d'entreprise, vous devez importer un 2. Sélectionnez Panorama > Gestions de certificat > Certificats
certificat AC dans Panorama. et cliquez sur Générer.
3. Saisisse un Nom de certificat. Ajoutez l'adresse IP ou nom de
domaine complet (FQDN) de Panorama pour le répertorier
dans le champ Nom commun du certificat. Vous pouvez
également modifier les paramètres cryptographiques et définir
les options de certificat telles que le pays, l'organisation ou l'état.
4. Assurez-vous de laisser l'option Signé par en blanc et
sélectionnez l'option Autorité de certification.
5. Cliquez sur Générer pour créer le certificat en utilisant les
détails spécifiés ci-dessus.

Activer l'authentification basée sur certificat (suite)
Étape 2 Créez et exportez le certificat client qui 1. Utilisez le certificat AC pour générer un certificat client pour
sera utilisé pour authentifier un l'utilisateur administrateur spécifié.
administrateur. a. Sélectionnez Panorama > Gestion des certificats >
Certificats, puis cliquez sur Générer.
b. Dans le champ Nom commun, saisissez le nom de
l'administrateur pour lequel vous générez le certificat.
La syntaxe du nom doit correspondre au format utilisé par
le mécanisme d'authentification local ou externe.
c. Dans le champ Signé par, sélectionnez le même certificat AC
que celui que vous avez créé à l'étape 1.
d. Cliquez sur Générer pour créer le certificat.
2. Exportez le certificat client que vous venez de générer.
a. Sélectionnez le certificat que vous venez de générer et cliquez
sur Exporter.
b. Pour coder la clé privée, sélectionnez PKCS12 en tant que
Format de fichier.
c. Saisissez une phase secrète pour crypter la clé privée et
confirmez la saisie.
d. Cliquez sur OK pour exporter le certificat.
Étape 3 Créez ou modifiez un compte 1. Sélectionnez Panorama > Administrateurs, puis cliquez sur
administrateur pour activer Ajouter.
l'authentification du certificat client 2. Saisissez un nom de connexion pour l'administrateur. Le nom
sur le compte. est sensible à la casse.
3. Sélectionnez Utiliser uniquement l'authentification du
certificat client (Web) pour activer l'utilisation du certificat
d'authentification.
4. Sélectionnez le rôle à affecter à cet administrateur. Vous pouvez
soit sélectionner un des rôles dynamiques prédéfinis, soit
sélectionner un rôle personnalisé et lui associer un profil
d'authentification qui spécifie les privilèges d'accès de cet
administrateur.
5. (Facultatif) Pour les rôles personnalisés, sélectionnez les
groupes de périphérique, les modèles et le contexte de
périphérique que l'utilisateur administrateur peut modifier.
6. Cliquez sur OK pour enregistrer les paramètres de compte.

Activer l'authentification basée sur certificat (suite)
Étape 4 Créez le profil de certificat client qui sera 1. Sélectionnez Panorama > Gestion de certificat > Profil de
utilisé pour sécuriser 'accès à l'interface Web. certificat et cliquez sur Ajouter.
2. Saisissez un nom de profil de certificat et, dans le champ nom
d'utilisateur, sélectionnez Sujet.
3. Sélectionnez Ajouter dans la section Certificats AC et, dans le
menu déroulant Certificat AC, Sélectionnez le certificat AC que
vous avez créé à l'étape 1.
Étape 5 Configurez Panorama pour utiliser le 1. Dans l'onglet Panorama > Configuration, cliquez sur l'icône
profil de certificat client pour Modifier dans la section de Paramètres d'authentification à
authentification. l'écran.
2. Dans le champ Profil de certificat, sélectionnez le profil de
certificat client créé à l'étape 4.
3. Cliquez sur OK pour enregistrer vos modifications.
Étape 6 Enregistrez les modifications de Cliquez sur Valider, puis sélectionnez Panorama comme Type de
configuration. validation.
Vous serez déconnecté du périphérique
Étape 7 Importez dans le navigateur Web du Par exemple, dans Firefox :

système client le certificat client 1. Sélectionnez Outils > Options > Avancés.
d'administrateur que ce dernier utilisera 2. Cliquez sur Afficher les certificats.
pour accéder à l'interface Web Panorama.
3. Sélectionnez l'onglet Vos Certificats et cliquez sur Importer.
Accédez à l'emplacement où vous avez enregistré le certificat
client.
4. Lorsque vous y êtes invité, saisissez une phrase secrète pour
décrypter la clé privée.
Étape 8 Vérifiez que l'authentification basée sur 1. Depuis un système client sur lequel le certificat client est chargé,
certificat est configurée. accédez à l'adresse IP ou au nom d'hôte Panorama.
2. Lorsque vous y êtes invité, sélectionnez le certificat client que
vous avez importé à l'étape 7. Un avertissement de certificat
s'affiche.
3. Ajoutez le certificat à la liste d'exceptions et connectez-vous à
l'interface Web Panorama.

Activer l'authentification basée sur clé SSH pour l'interface de ligne de commande
Pour activer l'authentification basée sur la clé SSH, complétez le flux de travail suivant pour chaque utilisateur
administrateur :
Activer l'authentification SSH (basée sur clé publique)
Étape 1 Utilisez l'outil de génération de clé SSH Pour en savoir plus sur les commandes requises pour générer les
pour créer une paire de clés asymétrique paires de clés, reportez-vous à la documentation produit de votre
sur la machine client. client SSH;
Les formats de clé pris en charge sont : La clé publique et la clé privée sont deux fichiers séparés. Enregistrez
IETF SECSH et Open SSH. Les les deux dans un emplacement accessible à Panorama. Pour
algorithmes pris en charge sont : DSA davantage de sécurité, saisissez une phrase secrète pour coder la clé
(1024 bits) et RSA (768-4096 bits). privée. L'administrateur sera invité à répondre à cette phrase secrète
au moment de se connecter à Panorama.
Étape 2 Créez un compte pour l'administrateur et 1. Sélectionnez Panorama > Administrateurs, puis cliquez sur
activez l'authentification basée sur Ajouter.
certificat. 2. Saisissez un nom d'utilisateur et un mot de passe pour
l'administrateur.
Assurez-vous de saisir un mot de passe fiable/complexe et
enregistrez-le dans un endroit sûr ; Panorama demandera ce mot
de passe en cas de corruption des certificats ou de panne
système.
3. (Facultatif) Sélectionnez un profil d'authentification.
4. Activez Utiliser l'authentification à clef publique (SSH).
5. Cliquez sur Importer la clé et naviguez pour importer la clé
publique créée à l'étape 1.
6. Sélectionnez le rôle à affecter à cet administrateur. Vous pouvez
soit sélectionner les rôles dynamiques prédéfinis, soit un profil
basé sur rôle personnalisé. Pour plus détails, reportez-vous à la
section Créer un profil de rôle administrateur
7. Cliquez sur OK pour enregistrer le compte.
Étape 3 Enregistrez les modifications de 8. Cliquez sur Valider, puis sélectionnez Panorama en tant
configuration. qu'option Type de validation.
Étape 4 Vérifiez que le client SSH utilise une clé 1. Configurez le client SSH pour qu'il utilise la clé privée pour
privée pour authentifier la clé publique authentifier Panorama.
présentée par Panorama. 2. Connectez-vous à l'interface de ligne de commande sur
Panorama.
3. À l'invite, saisissez la phrase secrète que vous avez définie au

moment de la création des clés à l'étape 1.

Utilisation des attributs VSA (Vendor-Specific Attributes) RADIUS
Pour utiliser les VSA RADIUS, vous devez exécuter les tâches suivantes :
 Sur Panorama :
– Configurez un profil de serveur RADIUS (Panorama > Profils serveur > RADIUS).
– Créez un profil d'authentification qui spécifie RADIUS comme protocole d'authentification et associez
le serveur de profil RADIUS (Panorama > Profils d'authentification).
– Créez un profil de rôle administratif personnalisé avec un groupe de périphériques et le rôle de modèle
(Panorama > Rôles admin).
– Configurez Panorama afin qu'il utilise le profil d'authentification (Configuration > Gestion >
Paramètres d'authentification > Profil d'authentification).
– (Requis uniquement en cas d'utilisation du VSA : PaloAlto-Panorama-Admin-Accès-Domaine) Si vous
souhaitez restreindre l'accès administratif à des périphériques gérés, des modèles et/ou des groupes de
périphériques spécifiques, définissez un domaine d'accès (Panorama > Domaines d'accès).
 Sur le serveur RADIUS :

– Ajoutez l'adresse IP ou le nom d'hôte du client RADIUS;
– Définissez les VSA pris en charge par Panorama. Pour définir un attribut, utilisez le code fournisseur
(25461), le nom d'attribut (assurez-vous qu'il correspond au nom de profil de rôle/domaine d'accès
admin défini sur Panorama, il est sensible à la casse), le numéro, le format (la chaîne).
— PaloAlto-Panorama-Admin-Role, attribute #3
— PaloAlto-Panorama-Admin-Access-Domain, attribute #4
Pour obtenir des instructions détaillées de la configuration d'authentification à l'aide des VSA RADIUS,
reportez-vous aux documents suivants.
 Sous Windows 2003 Server et Cisco ACS 4.0: https://live.paloaltonetworks.com/docs/DOC-1765
 Sous Cisco ACS 5.2 : https://live.paloaltonetworks.com/docs/DOC-1979


Gérer les pare-feux et la collecte
de journaux
Panorama fournit deux fonctions principales : il centralise le processus d'administration des pare-feu Palo Alto
Networks, et offre la visibilité du trafic réseau par le biais de rapports agrégés. Pour administrer les périphériques
et générer des rapports sur le trafic réseau, vous devez ajouter les pare-feux à Panorama en tant que
périphériques gérés, puis les configurer pour qu'ils transmettent les journaux à Panorama ou au Collecteur de
journaux. Cette section inclut les rubriques suivantes :
 Gérer les pare-feux
 Activer la journalisation
 Déployer les mises à jour logicielles et gérer les licences
 Transition d'un périphérique vers une gestion centralisée

Gérer les pare-feux Gérer les pare-feux et la collecte de journaux
Gérer les pare-feux

Panorama est conçu pour être le point central de l'administration de pare-feu. Le flux de travail de ce document
est parfaitement adapté au premier déploiement de pare-feu. Consultez Planifier le déploiement, puis continuez
avec les sections suivantes :
 Ajouter des périphériques gérés
 Créer des groupes de périphériques
 Créer des modèles
 Configurer les pare-feux pour transmettre les journaux à Panorama
 Valider les modifications sur Panorama
 Modifier les paramètres de transfert des journaux et de mise en mémoire tampon par défaut
 Utiliser Panorama pour configurer les périphériques gérés : Un exemple
Pour afficher les onglets Objets, Politiques de l'interface Web de Panorama, vous devez d'abord créer
au moins un groupe de périphériques, et au moins un modèle pour que les onglets Réseau et
Périphériques s'affichent. Ces onglets incluent les options de configuration nécessaires pour
configurer et gérer les pare-feux sur votre réseau.
Si vous avez d'ores et déjà configuré ou déployé des pare-feu sur votre réseau, le processus de migration de la
configuration, des politiques et des objets locaux des pare-feu vers une gestion centralisée nécessite une bonne
connaissance de l'écriture et de l'utilisation de l'API REST sur les pare-feux. Pour rendre cette transition efficace,
Palo Alto Networks recommande de travailler avec des partenaires formés et certifiés, familiarisés avec les
phases de planification, de mise en œuvre et de vérification du processus de migration. Contactez votre
revendeur ou votre partenaire agréé pour plus d'informations sur les offres de support qui vous sont proposées.
Pour obtenir un bref aperçu du processus, consultez la section Transition d'un périphérique vers une gestion
centralisée et pour plus d'informations, reportez-vous à l'article : Note technique sur la migration de données
Panorama.
Ajouter des périphériques gérés
L'ajout de pare-feux à Panorama est la première opération à effectuer pour pouvoir assurer une gestion
centralisée à l'aide de Panorama. Avant de commencer, notez les numéros de série de l'ensemble des
périphériques que vous souhaitez gérer avec Panorama.
Pour gérer un pare-feu à l'aide de Panorama, préparez chaque pare-feu comme suit :
 Effectuez la configuration initiale sur le pare-feu, afin que le périphérique soit accessible et puisse
communiquer avec Panorama via le réseau.
 Ajoutez la ou les adresses IP (un serveur ou deux, si Panorama est configuré dans une paire haute
disponibilité) dans la section Paramètres de Panorama de l'onglet Périphérique > Configuration> Gestionet
validez les modifications.
 Installez les interfaces de données. Pour chaque interface que vous prévoyez d'utiliser, sélectionnez un type
d'interface et associez-le à une zone de sécurité, de façon à pouvoir diffuser la configuration et la stratégie
de Panorama.

Gérer les pare-feux et la collecte de journaux Gérer les pare-feux
Vous pouvez ensuite ajouter les pare-feux en tant que périphériques sur Panorama en procédant comme suit :
Ajouter les périphériques à gérer
Étape 1 Ajoutez un ou plusieurs périphériques à 1. Sélectionnez Panorama > Périphériques gérés.

Panorama 2. Cliquez sur Ajouter et saisissez le numéro de série de chacun des
périphériques que vous voulez gérer de façon centralisée à l'aide
de Panorama. Ajoutez uniquement une entrée par ligne.
3. Cliquez sur OK. Les derniers périphériques ajoutés s'affichent
dans le volet Périphériques gérés.
4. (Optionnel) Ajoutez une balise. Les balises facilitent la
détection d'un périphérique dans une longue liste, et elles vous
permettent de filtrer et de limiter la liste des pare-feu qui
s'affichent de façon dynamique. Par exemple, si vous ajoutez une
balise libellée Succursale, vous pouvez définir un filtre pour tous
les périphériques de filiales de votre réseau.
a. Sélectionnez la case à cocher correspondant au périphérique
géré.
b. Cliquez sur Étiquette . Cliquez sur Ajouter et saisissez
une chaîne comprenant jusqu'à 31 caractères sans espace
c. Cliquez sur OK.
5. Cliquez sur Valider, puis sélectionnez Panorama en tant que
Type de validation.
Étape 2 Vérifiez que le périphérique est bien Si le pare-feu est accessible sur le réseau et si l'adresse IP de
connecté à Panorama. Panorama est configurée sur le périphérique, Panorama doit
être en mesure de se connecter au périphérique.
.
Créer des groupes de périphériques
Une fois les périphériques ajoutés, vous pouvez les regrouper dans groupes de périphériques. Un groupe de
périphériques peut inclure un ou plusieurs pare-feu ou systèmes virtuels qui utilisent des politiques et des objets
et peuvent donc être efficacement gérés en tant qu'unité logique.
Lorsque vous gérez des pare-feu configurés en configuration haute disponibilité en mode actif-passif,
assurez-vous de placer les deux périphériques dans le même groupe de périphériques dans Panorama. Il est
essentiel de s'assurer que les mêmes politiques et objets sont appliqués aux deux périphériques de la paire HD.
Les politiques transférées de Panorama ne sont pas configurées entre les homologues HD de pare-feu.

Créer des groupes de périphériques
Étape 1 Créer un ou des groupes de 1. Sélectionnez Panorama > Groupes de périphériques, puis
périphériques cliquez sur Ajouter.
Remarque Un périphérique ne peut appartenir 2. Saisissez un Nom unique et une Description afin d'identifier le
qu'à un groupe de périphériques. Si le groupe de périphériques.
périphérique contient plusieurs 3. Utilisez les filtres pour sélectionner les périphériques que vous
systèmes virtuels, chacun d'entre eux souhaitez ajouter au groupe.
peut appartenir à un groupe de
4. (Facultatif) Cochez la case Regrouper les homologues HD pour
périphériques différent.
les pare-feux qui sont configurés en tant qu'homologues HD.
L'ajout de deux périphériques ou systèmes virtuels au même
groupe de périphériques vous permet d'appliquer les polices et
les objets partagés simultanément sur les deux homologues.
Remarque Pour regrouper les homologues HD, les périphériques
doivent exécuter PAN-OS 5.0 ou version ultérieure.
5. (Facultatif) Si vous prévoyez de recourir à des utilisateurs ou à
des groupes de politique, vous devez affecter un périphérique
Principal au groupe de périphériques. Le périphérique principal
est le pare-feu à partir duquel Panorama rassemble les noms
d'utilisateurs et les données de groupe d'utilisateurs pour les
utiliser dans le cadre des politiques.
6. Cliquez sur OK.
Type de validation. Enregistrez les modifications de la
configuration s'exécutant sur Panorama.
8. Cliquez sur Valider, puis sélectionnez Groupe de
périphériques en tant que Type de validation. Appliquez les
modifications de périphériques au groupe de périphériques.
Étape 2 Commencez à administrer les politiques • Créer des objets à utiliser dans les politiques partagées ou de
de façon centralisée sur les périphériques groupe de périphériques
des groupes de périphériques.
• Gérer les objets partagés
• Activer un fournisseur de filtrage des URL sur Panorama
• Politiques ciblées sur un sous-ensemble de périphériques
• Afficher la hiérarchie de règle et détecter les règles non utilisées
Par exemple, reportez-vous à la section Utiliser Panorama pour
configurer les périphériques gérés : Un exemple
Créer des objets à utiliser dans les politiques partagées ou de groupe de périphériques
Un Objet est un conteneur regroupant des identités discrètes comme des adresses IP, des URL, des applications
ou des utilisateurs à utiliser pour la mise en œuvre des politiques. Vous pouvez utiliser Panorama pour créer et
cloner tous les objets de l'onglet Objets tels que l'Adresse/Groupe d'adresses, Région ou Utilisateur/Groupe
d'utilisateurs. Ces objets de politiques peuvent être partagés entre tous les périphériques gérés ou s'appliquer
spécifiquement à un groupe de périphériques.

 Un objet partagé est un composant réutilisable créé sur Panorama. Il est partagé entre tous les groupes de
périphériques et peut être référencé dans des politiques partagées ou des politiques de groupe de
périphériques. Il permet de réduire les frais administratifs et garantit la cohérence de configuration des
pare-feu.
 Un objet groupe de périphériques est spécifique au groupe de périphériques sur lequel il est défini. Il peut être
utilisé uniquement dans le groupe de périphériques dans lequel il a été créé et ne pas apparaître lors de la
configuration d'autres groupes de périphériques ou de règles et objets partagés. Par exemple, un objet de
groupe de périphériques défini par un ensemble d'adresses IP de serveur Internet créé dans le groupe de
périphériques des centres de données n'est pas disponible pour les autres groupes de périphériques ou les
politiques partagées.
Créer des objets
• Créer un objet partagé. 1. Sélectionnez l'onglet Objets > Profils de sécurité > Filtrage
des URL, puis cliquez sur Ajouter.
Dans cet exemple, nous allons utiliser un
objet partagé pour URL, des catégories de
filtrage pour lesquelles nous voulons Si l'onglet Objets ne s'affiche pas, reportez-vous à la section
déclencher une alerte. Ajouter des périphériques gérés pour ajouter un groupe de
périphériques. L'interface Web de Panorama affiche l'onglet
Objets uniquement si vous avez créé un groupe de
périphériques.
2. Saisissez un Nom et une Description.
3. Cochez la case Partagé. Si vous ne sélectionnez pas l'option,
l'objet fera partie du groupe de périphériques actuellement
affiché dans le menu déroulant Groupe de périphériques.
4. Cochez la case correspondant aux Catégories URL pour
lesquelles vous voulez être notifié et sélectionnez Alerte dans
la colonne Action, puis cliquez sur OK.
Type de validation.

Créer des objets
• Créez un objet de groupe de périphériques. 1. Sélectionnez le groupe de périphériques pour lequel vous
prévoyez d'utiliser l'objet dans le menu déroulant Groupe de
Dans cet exemple, nous allons ajouter un objet
périphériques.
de groupe de périphériques pour des serveurs
Web spécifiques à votre réseau. 2. Sélectionnez l'onglet Objets > Adresses.
3. Sélectionnez Adresse, puis cliquez sur Ajouter.
4. Vérifiez que la case à cocher Partagé n'est pas sélectionnée.
5. Saisissez un Nom, une Description, et sélectionnez le Type de
l'objet d'adresse dans le menu déroulant. Par exemple,
sélectionnez Plages d'adresses IP et incluez la plage d'adresses
IP des serveurs Web pour lesquels vous souhaitez créer un objet
adresse.
6. Cliquez sur OK.
7. Validez vos modifications.
a. Cliquez sur Valider, puis sélectionnez Panorama en tant que
Type de validation. Cette opération permet d'enregistrer les
modifications de la configuration en cours de fonctionnement
sur Panorama.
b. Cliquez sur Valider, puis sélectionnez Groupe de
périphériques en tant que Type de validation. Cette
opération permet d'appliquer les modifications de
périphériques au groupe de périphériques.
• Afficher les objets partagés et les objets de La colonne Emplacement de l'onglet Objets mentionne si un objet
groupe de périphériques dans Panorama. est partagé ou s'il est spécifique à un groupe de périphériques.
Pour montrer la différence entre un objet 1. Sélectionnez le groupe de périphériques pour lequel vous venez
partagé et un objet de groupe de périphérique, de créer un objet de groupe de périphériques dans le menu
l'écran qui suit inclut un objet d'adresse déroulant Groupe de périphériques.
partagée créée sur Panorama. 2. Sélectionnez l'onglet Objets > Adresses et vérifiez que l'objet
groupe de périphériques s'affiche. Notez que le nom de groupe
de périphériques de la colonne Emplacement correspond à la
sélection effectuée dans le menu déroulant Groupe de
périphériques.
Remarque Si un autre groupe de périphériques est sélectionné dans
le menu déroulant Groupe de périphériques, seuls
les objets de groupe de périphériques (et les objets
partagés) créés pour le groupe de périphériques
sélectionné s'affichent.
Gérer les objets partagés
Vous pouvez configurer le mode de gestion des objets partagés de Panorama. Posez-vous les questions
suivantes :
 Souhaitez-vous configurer Panorama uniquement pour appliquer des objets partagés référencés dans les
politiques partagées, ou bien dans les politiques de groupe de périphériques auquel le périphérique
appartient. Par exemple, disons que tous les objets de votre déploiement sont définis en tant qu'objets

partagés, mais que vous ne vouliez transmettre que les objets pertinents de chaque groupe de périphériques.
La case à cocher Partager les objets d'adresse et de service non utilisés avec les périphériques vous permet de
limiter les objets sont transmis aux périphériques gérés.
Par défaut, Panorama transmet tous les objets partagés (utilisés ou non utilisés) aux périphériques gérés. Sur
les plates-formes de bas de gamme, comme le PA-200, envisagez de transmettre uniquement les objets
partagés concernés aux périphériques gérés, et ce, parce que le nombre d'objets qui peut être stocké sur les
plates-formes de bas de gamme est considérablement plus bas que celui des plates-formes de milieu ou de
haut de gamme. Et si vous disposez de nombreux objets adresse et service inutilisés, le fait de désélectionner
la case à cocher Partager les objets d'adresse et de service non utilisés avec les périphériques réduit de façon
significative les délais de validation sur les périphériques, car la configuration transmise à chaque
périphérique est moins volumineuse.
La désactivation de cette option peut cependant augmenter le temps de validation sur Panorama, et ce, parce
que Panorama doit vérifier de façon dynamique si un objet particulier est référencé dans la politique.
Gérer les objets partagés non utilisés
• Désactivez le partage des objets d'adresse et de 1. Sélectionnez Panorama > Configuration > Gestion et modifiez
service non utilisés avec les périphériques. la section Paramètres Panorama.
2. Décochez la case Partager les objets d'adresse et de service
non utilisés avec les périphériques.
 Vous voulez peut-être vous assurer que l'objet partagé a la priorité sur un objet qui a le même nom que l'objet
du groupe de périphériques.
Par défaut, les objets partagés n'écrasent aucun objet de groupe de périphériques portant le même nom qu'un
objet partagé.
Si vous voulez éviter de remplacer les objets définis comme objets partagés sur Panorama, vous pouvez
activer l'option Priorité des objets partagés. Lorsqu'ils sont activés, tous les objets d'un groupe de
périphériques portant le même nom sont éliminés et les paramètres d'objet partagés sont transmis aux
Gérer la priorité des objets partagés
• Assurez-vous que les objets partagés ont 1. Sélectionnez Panorama > Configuration > Gestion, et cliquez
toujours la priorité sur les objets de groupe de sur le bouton Modifier dans la section Paramètres de Panorama.
périphériques. 2. Cochez la case Priorité des objets partagés.
Activer un fournisseur de filtrage des URL sur Panorama
Pour créer des politiques de sécurité, QoS, de portail captif et de cryptage qui font référence aux catégories
et/ou aux profils d'URL, vous devez activer un fournisseur de filtrage des URL sur Panorama. L'activation d'un
fournisseur de filtrage des IRL sur Panorama permet à Panorama d'obtenir les fichiers de contenu qui font
référence aux catégories d'URL prises en charge par le fournisseur ; la base de données n'est pas téléchargée sur

Panorama. Lorsque vous sélectionnez un seul fournisseur de filtrage des URL (BrightCloud ou PAN-DB), vous
pouvez utiliser les mêmes politiques pour gérer les périphériques (exécutant PAN-6.0) activés pour ce
fournisseur.
Si vous avez géré des périphériques exécutant des versions de PAN-OS antérieures à 6.0, activez le
même fournisseur de filtrage des URL sur ces périphériques gérés et sur Panorama. Pour les
périphériques gérés exécutant PAN-OS 6.0 ou une version ultérieure, lorsqu'une non correspondance
est détectée entre le fournisseur activé sur le périphérique géré et celui activé sur Panorama, les
pare-feux peuvent automatiquement migrer les catégories et/ou les profils d'URL vers une ou plusieurs
catégories alignées avec celles que le fournisseur a activées dessus.
Activer un fournisseur de filtrage des URL
• Sélectionnez le fournisseur de filtrage des URL 1. Sélectionnez Panorama > Configuration > Gestion et cliquez
à activer sur Panorama. sur le bouton Modifier dans la section Paramètres Généraux.
2. Sélectionnez le fournisseur dans la liste déroulante Base de
données de filtrage des URL.
• Vérifiez que les catégories sont disponibles 1. Sélectionnez Objets > Profils de sécurité > Filtrage des URL.
pour le référencement dans les politiques. 2. Cliquez sur Ajouter, puis vérifiez que les catégories s'affichent
Comme la base de données des URL n'est pas dans le volet de droite de la fenêtre Profil de filtrage des URL.
téléchargée sur Panorama, contrairement aux
pare-feux (Périphérique > Licences), vous ne
pouvez pas afficher l'état du téléchargement de
la base de données.
Politiques ciblées sur un sous-ensemble de périphériques
Une politique cible vous permet de spécifier les périphériques d'un groupe de périphériques auxquels appliquer
la politique. Il vous permet d'exclure un ou plusieurs périphériques ou systèmes virtuels, ou de n'appliquer la
règle qu'aux périphériques ou systèmes virtuels spécifiques d'un groupe de périphériques.
La possibilité de cibler une politique vous permet de garder les politiques centralisées sur Panorama. Il est ainsi
possible d'avoir une bonne visibilité et d'obtenir une certaine efficacité dans la gestion des règles. Au lieu de créer
des règles locales sur un périphérique ou un système virtuel, les règles de politique ciblées vous permettent de
définir des règles (comme des règles avant ou après partagées ou de groupes de périphériques) sur Panorama.

Cibler une politique
Étape 1 Créez une politique. 1. Sélectionnez le Groupe de périphériques pour lequel vous voulez
définir la politique.
2. Sélectionnez l'onglet Politiques et sélectionnez la base de règle pour
laquelle vous voulez créer une politique. Par exemple, définissez une
règle avant dans la base de règle de politique de sécurité qui permet aux
utilisateurs du réseau interne d'accéder aux serveurs du DMZ.
a. Cliquez sur Ajouter dans Politiques > Sécurité > Règles avant.
b. Donnez à la règle un nom descriptif dans l'onglet Général.
c. Dans l'onglet Source, définissez Zone source sur De confiance.
d. Dans l'onglet Destination, définissez Zone de destination sur
DMZ.
e. Dans l'onglet Catégorie de service/d'URL, définissez Service sur
Par défaut de l'application.
f. Dans l'onglet Actions, définissez Paramètres d'action sur
Autoriser.
g. Laissez toutes les autres valeurs à leurs valeurs par défaut.
Étape 2 Ciblez la politique pour inclure ou Pour appliquer la politique à un ensemble de périphériques sélectionné.
exclure un sous-ensemble de 1. Sélectionnez l'onglet Cible dans la fenêtre des règles de politique.
périphériques. 2. Sélectionnez les périphériques auxquels vous voulez que la règle
s'applique.
Si vous ne sélectionnez aucun périphérique à cibler, la politique est
ajoutée à tous les périphériques (non sélectionnés) du groupe de
périphériques.
Remarque Par défaut, même si la case à cocher des systèmes virtuels du
groupe de périphériques n'est pas sélectionnée, tous les
systèmes virtuels hériteront la règle à la validation.
Sélectionnez la case à cocher d'un ou de plusieurs systèmes
virtuels auxquels vous voulez que la règle s'applique.
3. (Optionnel) Pour exclure un sous-ensemble de périphériques de
l'héritage de la règle de politique, cochez la case Installer sur tous les
périphériques sauf sur ceux indiqués.
Remarque Si vous sélectionnez Installer sur tous les périphériques
sauf sur ceux indiqués et que vous ne sélectionnez aucun
périphérique, la politique n'est ajoutée à aucun des
périphériques du groupe de périphériques.
4. Cliquez sur OK.
5. Enregistrez les modifications de configuration.
a. Cliquez sur Valider, puis sélectionnez Panorama en tant que Type
de validation pour enregistrer les modifications de la configuration
en cours sur Panorama.
b. Cliquez sur Valider, puis sélectionnez Groupe de périphériques en
tant que Type de validation pour appliquer les modifications aux
périphériques sélectionnés dans Groupe de périphériques.

Afficher la hiérarchie de règle et détecter les règles non utilisées
L'ordre des règles est essentiel pour sécuriser votre réseau. Les règles de politique sont évaluées de haut en bas.
Une correspondance est établie entre un paquet et la première règle répondant aux critères définis. après avoir
déclenché une correspondance, les règles suivantes ne sont pas évaluées. Par conséquent, les règles les plus
spécifiques doivent précéder les plus génériques afin d'appliquer les meilleurs critères de correspondance.
Utilisez la procédure suivante pour vérifier l'ordre des règles et effectuer les modifications appropriées :
Prévisualiser les règles et afficher les règles non utilisées
Étape 1 Affichez la hiérarchie de chaque base de règle.

1. Sélectionnez l'onglet Politiques, puis cliquez sur Prévisualiser les règles.
2. Utilisez les filtres qui suivent pour afficher les règles :
• Base de règle: Sélectionnez une base de règle et affichez les règles définies pour cette dernière (Sécurité,
NAT, qualité de service (QoS), PBS (Policy Based Forwarding - transmission basée sur les règles),
Décryptage, Portail captif, Contrôle prioritaire sur l'application ou Protection DoS.
• Groupe de périphériques: Pour la base de règle sélectionnée, vous pouvez afficher toutes les politiques
partagées ou sélectionner un Groupe de périphériques spécifique dont vous souhaitez voir la liste
combinée de politiques héritées de Panorama, et de celles définies localement.
• Périphérique: Pour la base de règle sélectionnée et le groupe de périphériques, vous pouvez afficher la liste
des politiques qui seront évaluées sur un périphérique spécifique du groupe de périphériques.
Toutes les règles partagées et les groupes de périphériques héritées de Panorama s'affichent en vert. Les
règles locales du périphérique sont affichées en bleu. Les règles locales sont comprises entre les règles avant
et les règles après.
3. Fermez la fenêtre des règles associées pour quitter le mode de prévisualisation.
Étape 2 Trouvez les règles non utilisées, et supprimez ou désactivez les règles si nécessaire. Chaque périphérique garde
un indicateur pour les règles ayant une correspondance. Panorama surveille chaque périphérique, atteint et
agrège la liste de règles qui n'a pas de correspondance. Comme l'indicateur est réinitialisé à l'occasion de la
réinitialisation du panneau de données au moment d'un redémarrage, dans le cadre des meilleures pratiques,
contrôlez cette liste régulièrement pour déterminer si la règle a eu une correspondance depuis le dernier contrôle
avant de la supprimer ou de la désactiver.
1. Sélectionnez l'onglet Politiques, puis cliquez sur Surligner les règles inutilisées.
Les règles non utilisées actuellement s'affichent avec un arrière-plan pointillé jaune.
2. (Optionnel) Pour supprimer une règle inutilisée, sélectionnez-la, puis cliquez sur Supprimer.
3. (Facultatif) Pour désactiver une règle, sélectionnez-la, puis cliquez sur Désactiver. La règle désactivée s'affiche
en italique.

Prévisualiser les règles et afficher les règles non utilisées (suite)
Étape 3 Réorganisez les règles dans une base de règles avant ou après sélectionnée, si nécessaire.
1. Dans une base de règles, sélectionnez la règle que vous souhaitez déplacer.
2. Cliquez sur les options Déplacer en haut, Déplacer en bas, Déplacer vers le haut ou Déplacer vers le bas
pour redéfinir l'emplacement de la règle.
Remarque Pour ordonner les règles locales sur le périphérique, placez-vous dans le contexte du périphérique
local.
Étape 4 Si vous avez modifié les règles, enregistrez les modifications.

1. Cliquez sur Valider, puis sélectionnez Panorama en tant que Type de validation pour enregistrer les
modifications de la configuration en cours sur Panorama.
2. Cliquez sur Valider, puis sélectionnez Groupe de périphériques en tant que Type de validation pour
appliquer les modifications aux périphériques sélectionnés dans Groupe de périphériques.
Créer des modèles
Les modèles Panorama vous permettent de gérer les options de configuration sur les onglets Périphérique et
Réseau des pare-feu gérés. Grâce aux modèles, vous pouvez définir une configuration de base centraliser les
nouveaux pare-feux, puis intégrer des exceptions spécifiques aux périphériques dans la configuration, si
nécessaire. Vous pouvez, par exemple, utiliser des modèles pour définir un accès administratif au périphérique,
définir un ID utilisateur, gérer les certificats, définir les pare-feux dans une paire haute disponibilité, définir des
paramètres de journaux et des profils de serveur sur les pare-feux.
Lorsque vous créez des modèles, assurez-vous d'affecter les périphériques similaires à un modèle. Par exemple,
regroupez les périphériques avec un système virtuel unique dans un modèle, et les périphériques compatibles
avec des systèmes virtuels multiples dans un autre, ou regroupez les périphériques nécessitant une interface
réseau et la configuration de zone très similaires dans un modèle.
Reportez-vous aux sections suivantes pour plus d'informations sur le travail avec les modèles :
 Dans quels cas ne peut-on pas utiliser les modèles ?
 Ajouter un nouveau modèle
 Écraser les paramètres de modèle
 Désactiver les paramètres de modèle
Dans quels cas ne peut-on pas utiliser les modèles ?
Pour les pare-feux exécutant PAN-OS 4x, l'utilisation des modèles Panorama se limite à ce qui suit :
 Création de pages de réponse
 Définition de profils et séquences d'authentification
 Création de certificats auto-signés sur Panorama ou importation de certificats

 Création de certificats d'authentification client (désignés par profils de certificats dans Panorama 5.0 et
ultérieur)
 Création de profils serveur : Pièges SNMP, Syslog, messagerie, NetFlow, RADIUS, LDAP et Kerberos
Pour les pare-feux exécutant PAN-OS 5x et versions ultérieures, les modèles vous permettent de configurer une
large gamme de paramètres avec les exceptions suivantes :
 Les modes opérationnels tels que le mode multi-vsys, le mode FIPS ou le mode CC utilisant les modèles
ne peuvent pas être activés. Ces paramètres opérationnels doivent être configurés en local sur chaque
périphérique.
 Il est impossible de configurer les détails d'adresse IP pour les paires HD du pare-feu.
L'adresse IP de l'homologue HA1, l'adresse IP de l'homologue de sauvegarde HA1, l'adresse IP de
l'homologue HA2, l'adresse IP de l'homologue de sauvegarde HA2 doivent être configurées localement
sur chaque périphérique géré.
 Il est impossible de configurer une clé principale et des diagnostics.
Ajouter un nouveau modèle
Les onglets Périphérique et Réseau nécessaires à la définition des éléments d'installation du réseau et les
éléments de configuration de périphérique sur le pare-feu ne s'afficheront pas avant que vous ayez ajouté
un modèle à Panorama. Utilisez les instructions qui suivent pour ajouter un nouveau modèle.

Ajouter un modèle
Étape 1 Ajoutez un nouveau modèle. 1. Sélectionnez Panorama > Modèles.

2. Cliquez sur Ajouter et saisissez un nom unique et une
description pour identifier le modèle.
3. (Facultatif) Cochez la case Systèmes virtuels si le modèle doit
être utilisé sur des périphériques compatibles multi-vsys équipés
de la fonctionnalité multi-vsys.
Remarque Un échec de validation se produira si un modèle équipé
pour les périphériques avec la fonctionnalité multi-vsys
est transmis à des périphériques non équipés de
multi-vsys et non équipés pour la fonctionnalité
multi-vsys.
4. Spécifiez le Mode opérationnel des périphériques auxquels
le modèle s'appliquera. La valeur par défaut est Normal ;
choisissez CC ou FIPS, si nécessaire. La validation de modèle
échouera s'il existe une non-correspondance entre le mode
opérationnel spécifié sur le modèle et celui qui est activé sur
les périphériques inclus dans le modèle.
5. (Optionnel) Sélectionnez Mode VPN désactivé lors de la création
de modèles pour les matériels comportant l'indicateur -NV
dans leur nom. Ces modèles sont codés en dur pour interdire
la configuration VPN dans les pays qui n'autorisent pas la
connectivité VPN.
6. Sélectionnez les Périphériques pour lesquels vous prévoyez
d'utiliser le modèle. Pour appliquer un modèle à un
périphérique, vous devez sélectionner les périphériques
individuellement.
Remarque Si un nouveau périphérique géré est ajouté à Panorama,
vous devez l'ajouter au modèle approprié. Lorsque vous
validez vos modifications dans le modèle, la
configuration est diffusée à tous les périphériques
affectés au modèle.
7. (Facultatif) Cochez la case Regrouper les homologues HD pour
les pare-feux qui sont configurés en tant qu'homologues HD.
Ajout des deux périphériques ou systèmes virtuels à la même
configuration sur les deux homologues.
8. Cliquez sur OK.
Type de validation pour enregistrer les modifications de la
configuration en cours sur Panorama.
10. Cliquez sur Valider, puis sélectionnez Modèle en tant que Type
de validation pour diffuser les modifications aux périphériques
inclus dans le modèle..

Ajouter un modèle (suite)
Étape 2 Vérifiez que le modèle est disponible. Une fois le premier modèle ajouté, les onglets Périphérique et
Réseau s'afficheront sur Panorama.
Dans les onglets Réseau et Périphérique, un menu déroulant
Modèle s'affiche. Vérifiez que le modèle récemment ajouté apparaît
bien dans le menu déroulant.
Étape 3 Appliquez une modification de Spécifiez une configuration de base définissant un Serveur DNS
configuration en utilisant le modèle. principal pour les périphériques dans le modèle.
1. Dans le menu déroulant Modèle, sélectionnez le modèle que
vous souhaitez configurer.
2. Sélectionnez Périphérique > Configuration > Services et
modifiez la section Services.
3. Saisissez une adresse IP pour le serveur DNS principal.
inclus dans le modèle sélectionné.
Étape 4 Vérifiez que le périphérique est configuré 1. Passez au contexte de périphérique d'un pare-feu que vous avez
avec les paramètres de modèle que vous transmis au paramètre à l'aide du modèle.
avez transmis depuis Panorama. 2. Accédez à Périphérique > Configuration > Services. L'adresse
IP que vous avez transmise à l'aide du modèle s'affiche. L'icône
de modèle s'affiche elle aussi.
Remarque Pour supprimer/retirer un modèle, vous devez désactiver ce modèle sur le périphérique géré localement.
Vous devez détenir les privilèges de super utilisateur sur le périphérique pour désactiver le modèle.
Écraser les paramètres de modèle
Lorsque les modèles vous permettent de créer une configuration de base pouvant être appliquée à plusieurs
périphériques, vous pouvez configurer les paramètres spécifiques de périphériques qui ne sont pas applicables
à tous les périphériques d'un modèle. La priorité du modèle autorise les exceptions ou les modifications pour
répondre à vos besoins en déploiement. Si par exemple, un modèle a été utilisé pour créer une configuration de
base, mais que quelques périphériques d'un environnement de laboratoire de test ont besoin d'autres paramètres
d'adresse IP du serveur DNS ou du serveur NTP, vous écraserez les paramètres définis dans le modèle.
Écraser les paramètres de modèle
Étape 1 Accédez à l'interface Web du Vous pouvez soit lancer directement l'adresse IP du pare-feu, soit
périphérique géré. passer au contexte de périphérique sur Panorama.

Écraser les paramètres de modèle (suite)
Étape 2 Naviguez vers la configuration du 1. Accédez à Périphérique > Configuration > Services et
périphérique que vous voulez modifier. modifiez la section Services.
Dans cet exemple, nous allons écraser 2. Pour écraser le modèle, cliquez sur l'icône pour remplacer la
l'adresse IP de serveur DNS que vous valeur définie dans l'adresse IP du serveur DNS principal.
avez affectée à l'aide d'un modèle dans la
3. Saisissez une nouvelle valeur pour le serveur DNS principal.
section Ajouter un nouveau modèle.
Notez que l'icône d'écrasement du modèle s'affiche pour
indiquer que la valeur transmise à l'aide du modèle a été modifiée
sur le périphérique.
4. Cliquez sur OK.

5. Cliquez sur Valider pour enregistrer vos modifications sur le
périphérique.
Désactiver les paramètres de modèle
Si vous souhaitez arrêter d'utiliser des modèles pour gérer la configuration sur un périphérique géré, vous
pouvez désactiver le modèle. Lorsque vous désactivez un modèle, vous pouvez choisir de copier les paramètres
de modèle sur la configuration de périphérique local ou de supprimer les valeurs autrefois écrasées par le modèle.

Désactiver les paramètres de modèle
1. Accédez à l'interface Web du périphérique géré. Vous pouvez soit lancer directement l'adresse IP du pare-feu, soit
passer au contexte de périphérique sur Panorama.
Remarque Les privilèges de super utilisateur sont requis pour désactiver les modèles.
2. Sélectionnez Périphérique > Configuration > Gestion, et cliquez sur le bouton Modifier dans la section Paramètres
de Panorama.
3. Sélectionnez Désactiver le modèle de réseau et de périphérique.
4. (Optionnel) Sélectionnez Importer le modèle de réseau et de périphérique avant la désactivation, pour

enregistrer les paramètres de configuration en local sur le périphérique. Si cette option n'est pas sélectionnée, tous les
paramètres forcés de Panorama seront supprimés du périphérique.
5. Cliquez sur OK.
6. Cliquez sur Valider pour enregistrer les modifications.
Configurer les pare-feux pour transmettre les journaux à Panorama
Par défaut, tous les fichiers journaux sont générés et stockés localement sur le pare-feu. Pour pouvoir agréger
les journaux sur Panorama, vous devez configurer chaque pare-feu pour qu'il transmette les journaux à
Panorama.
Si vous avez des politiques de conformité qui nécessitent l'archivage des données, vous pouvez configurer le
pare-feu pour transmettre directement les journaux à un service externe pour l'archivage, la notification et/ou
l'analyse. Vous pouvez également configurer Panorama pour agréger les journaux reçus des pare-feux et les
envoyer à un serveur externe. Pour activer le transfert des journaux après leur agrégation sur Panorama,
reportez-vous à la section Activer le transfert des journaux vers des destinations externes.
Pour configurer la transmission, exécutez les tâches suivantes :
 Créez un Profil de serveur pour chaque service externe auquel vous souhaitez que les pare-feux transmettent
leurs journaux (Syslog, messagerie électronique, SNMP, pièges). Un profil de serveur définit comment
accéder au serveur distant et authentifier le service si nécessaire. Vous n'avez pas besoin de profil serveur si
vous prévoyez de transmettre les journaux uniquement à Panorama ou à un collecteur de journaux.
 Configurez chaque type de journal pour le transfert. Pour chaque type de journal, vous pouvez préciser si
vous le transmettez vers un Syslog, une messagerie électronique et/ou un récepteur de piège SNMP, en plus
de Panorama. Si vous disposez d'une architecture de collecte de journaux distribuée, lorsque la transmission
de Panorama est activée, la liste de préférences de transmission de journal est utilisée pour transmettre les
journaux aux collecteurs de journaux configurés. Comme vous pouvez effectuer ces tâches manuellement
sur chaque pare-feu, il est possible d'utiliser des groupes de périphériques et des modèles sur Panorama pour
rationaliser le flux de travail.

Type de journal Description Flux de travail utilisant

Panorama
Journaux du trafic Pour transmettre les journaux du trafic, vous devez Utilisez les Groupes de
configurer un profil de transfert des journaux et l'ajouter auxpériphériques pour créer un profil
politiques de sécurité à transmettre. Seul le trafic de transfert des journaux et
correspondant à une règle spécifique est consigné et transmettre les journaux du trafic et
transmis. des menaces (Objets > Transfert
des journaux) à Panorama et à un
Journaux des Pour transmettre les journaux des menaces, vous devez créer service externe/serveur Syslog si
menaces un profil de transfert des journaux qui spécifie les niveaux de nécessaire.
(incluent les journaux gravité que vous souhaitez transférer et les ajoute aux Si vous transférez les journaux vers
de filtrage des URL et politiques de sécurité que vous souhaitez transmettre. Vous un service externe/serveur Syslog,
les journaux de devez rattacher un profil de sécurité (antivirus, anti logiciel
vous devez créer un profil de
filtrage des données) espion, protection contre les vulnérabilités, filtrage d'URL, serveur Syslog(Périphérique >
blocage des fichiers, filtrage des données et protection DoS)
à la politique de sécurité. Une entrée de journal des menaces Profils de serveur > Syslog).
ne sera créée (et donc, transférée) que si le trafic associé Le profil de transfert des journaux
correspond à un profil de sécurité. utilise le profil de serveur Syslog
que vous configurez avec Modèles
Remarque Les résultats des fichiers analysés par WildFire pour accéder au serveur.
sont inclus avec des journaux des menaces.
Les entrées de journaux WildFire avec un Tous les journaux du trafic, des
verdict bénin sont enregistrées en tant menaces et des envois WildFire
qu'Informations, tandis que celles portant un transmis à Panorama sont visibles
verdict de logiciel malveillant sont consignées dans l'onglet correspondant de
en tant que Moyenne. Reportez-vous aux l'onglet Surveillance > Journaux.
journaux WildFire.
Journaux WildFire Pour transférer les journaux WildFire, c'est-à-dire les fichiers
envoyés à WildFire pour analyse, indiquez si les résultats
doivent être envoyés avec un verdict bénin ou malveillant.

Type de journal Description Flux de travail utilisant

Panorama
Journaux système Les journaux système affichent chaque événement système, Pour les journaux système, de
par exemple les échecs HD, les modifications d'état de lien configuration et de correspondance
et les accès administratifs au périphérique. Pour chaque HIP, vous devez configurer un
niveau de gravité dont vous voulez transférer les journaux, modèle et cocher l'option Panorama
vous devez sélectionner le transfert vers Panorama, pour permettre le transfert vers
messagerie électronique, pièges SNMP et un serveur Syslog Panorama dans l'onglet
le cas échéant. correspondant de l'onglet
Périphérique > Paramètres des
Journaux de Les journaux de configuration enregistrent les modifications journaux.
configuration apportées à la configuration. Pour permettre le transfert des
journaux de configuration, vous devez sélectionner le
transfert vers Panorama, la messagerie électronique, les Pour transférer des journaux
pièges SNMP et un serveur Syslog le cas échéant. système à un service externe pour
archivage sur des serveurs Syslog
Journaux de Pour permettre le transfert des journaux de correspondance traditionnels ou des serveurs SIEM
correspondance HIP HIP, vous devez sélectionner le transfert vers Panorama, la (par exemple, Splunk, Arcsight,
messagerie électronique, les pièges SNMP et le serveur Qradar), vous devez également
Syslog le cas échéant. configurer un profil de serveur à
Les journaux de correspondance HIP (Profil d'informations l'aide d'un modèle(Périphérique >
hôte) sont utilisés pour compiler les informations sur les Profils de serveur > Syslog).
clients GlobalProtect. Un journal de correspondance HIP
est généré lorsqu'un périphérique envoie un rapport HIP et
un profil HIP est configuré avec des objets HIP par
exemple, une version de système d'exploitation, le niveau de
correctif, le cryptage de disque, la version d'antivirus, entre
autres, qui correspondent sur le périphérique.
Reportez-vous au Guide de prise en main de PAN-OS pour avoir des détails sur la façon d'effectuer ces tâches
directement sur le pare-feu.
Pour plus d'informations sur le transfert des journaux générés en local par Panorama, reportez-vous à la section
Gérer Panorama. Pour plus d'informations sur le transfert des journaux agrégés de Panorama à un serveur
externe, reportez-vous à la section Activer le transfert des journaux vers des destinations externes.

Configurer le transfert des journaux
Étape 1 (Facultatif) Créer un profil de serveur 1. Sélectionnez un modèle ou créez un nouveau modèle.
contenant les informations de connexion Reportez-vous à l'étape 1 de la section Ajouter un nouveau
au service externe/serveurs Syslog. modèle.
2. Vérifiez que vous avez sélectionné un modèle dans le menu
déroulant Modèle.
3. Sélectionnez Périphérique > Profils de serveur > Syslog.
4. Cliquez sur Ajouter et saisissez un Nom pour le profil.
5. Cliquez sur Ajouter pour ajouter une nouvelle entrée de serveur
Syslog et saisissez les informations requises pour se connecter
au serveur Syslog (vous pouvez ajouter jusqu'à quatre serveurs
Syslog pour le même profil) :
• Nom : nom unique du profil de serveur.
• Serveur : adresse IP ou nom de domaine complet (FQDN)
du serveur Syslog.
• Transport : sélectionnez UDP, TCP ou SSL comme mode de
transport.
• Port : numéro du port sur lequel envoyer les messages Syslog
(par défaut, il s'agit du 514) ; vous devez spécifier le même
numéro de port sur Panorama et le serveur Syslog.
• Site : sélectionnez l'une des valeurs standard Syslog utilisée
pour calculer le champ PRI (priorité) dans l'implémentation
de votre serveur Syslog. Vous devez sélectionner la valeur qui
correspond à votre utilisation du champ PRI pour gérer vos
messages Syslog.
6. (Facultatif) Pour personnaliser le format des messages Syslog
que le pare-feu envoie, sélectionnez l'onglet Format de journal
personnalisé. Pour plus d'informations sur la création de
formats personnalisés pour les divers types de journaux,
reportez-vous au Guide de configuration des formats
d'événements courants.
7. Cliquez sur OK pour enregistrer le profil de serveur.

Configurer le transfert des journaux (suite)
Étape 2 Définissez un profil de transfert des 1. Créez un nouveau groupe de périphériques ou sélectionnez-en
journaux pour les journaux du trafic et un. Pour créer un nouveau groupe de périphérique,
des menaces. reportez-vous à la section Créer des groupes de périphériques.
Remarque Les journaux des menaces incluent le 2. Sélectionnez Objets > Transfert des journaux.
filtrage d'URL, le filtrage de données 3. Cliquez sur Ajouter et saisissez un Nom pour le profil de
et les journaux WildFire. Ces journaux transfert de fichier.
sont transmis en fonction des niveaux
4. (Facultatif) Sélectionnez la case à cocher Partagée pour
de gravité pour lesquels vous avez
appliquer ces paramètres à tous les périphériques gérés.
activé la notification.
5. Sélectionnez la case à cocher Panorama correspondant aux
niveaux de gravité pour lesquels vous souhaitez activer le
transfert des journaux.
6. (Facultatif) Sélectionnez le profil de serveur pour le transfert
d'un serveur Syslog.
Remarque Assurez-vous que le périphérique (ou système virtuel)
est inclus dans le groupe de périphériques et que le
modèle défini dans l'étape 1 est appliqué au
périphérique (ou système virtuel).
7. Cliquez sur OK.
Étape 3 Activez le transfert des journaux système, de Avec le modèle sélectionné, vous pouvez également sélectionner les
configuration et de correspondance HIP. types de journaux que vous souhaitez transférer.
• Pour les journaux système, sélectionnez Périphérique >
Paramètres des journaux > Système, sélectionnez le lien
correspondant à chaque niveau de Gravité et activez le transfert
vers Panorama et le profil de serveur à utiliser pour le transfert
vers le serveur Syslog.
• Pour les journaux de configuration, sélectionnez Périphérique >
Paramètres des journaux > Configet sélectionnez la section
Paramètres des journaux - Config pour activer le transfert vers
Panorama et le profil de serveur à utiliser pour le transfert vers le
serveur Syslog.
• Pour les journaux de correspondance HIP, sélectionnez
Périphérique > Paramètres des journaux > Correspondance
HIP et modifiez la section Paramètres des journaux -
Correspondance HIP pour activer le transfert vers Panorama et
le profil de serveur sélectionné pour le transfert vers le serveur
Syslog.

Configurer le transfert des journaux (suite)
Étape 4 (Facultatif) Planifiez l'exportation de Pour les journaux du trafic, des menaces, de filtrage des URL, de
journal vers un serveur SCP ou FTP. filtrage des données et de correspondance HIP, vous pouvez
Remarque Si vous prévoyez d'utiliser le SCP, planifier une exportation en utilisant les modèles Panorama.
vous devez vous connecter à chaque 1. Sélectionnez l'onglet Périphérique > Exportation
périphérique géré et cliquer sur le programmée des journaux.
bouton Tester la connexion au 2. Sélectionnez le modèle dans le menu déroulant Modèle.
serveur SCPune fois le modèle 3. Cliquez sur Ajouter et saisissez un Nom pour le profil de
diffusé. La connexion n'est pas établie transfert de fichier.
jusqu'à ce que le pare-feu accepte la
4. Sélectionnez la case à cocher Activer pour activer l'exportation
clé hôte pour le serveur SCP.
de journal.
5. Sélectionnez le type de journal que vous souhaitez exporter.
Pour planifier l'exportation de plusieurs types de journaux, vous
devez créer un profil d'exportation pour chaque type de journal.
6. Saisissez l'heure (hh:mm) à laquelle le démarrage de
l'exportation doit débuter en utilisant le format d'horloge
24 heures (00:00 - 23:59).
7. Sélectionnez le protocole que vous voulez utiliser pour exporter
les journaux depuis le pare-feu vers un hôte distant. Vous
pouvez utiliser SCP (sécurisé) ou FTP. Pour activer le FTP passif,
cochez la case Activer le mode passif FTP.
8. Définissez les détails requis pour vous connecter au serveur.
a. Saisissez le nom d'hôte ou l'adresse IP du serveur.
b. Si votre serveur l'impose, saisissez le numéro de port (par
défaut, FTP utilise le port 21 et SCP utilise le port 22), le
chemin ou le répertoire dans lequel enregistrer les journaux
exportés, l'accès aux informations de connexion (nom
d'utilisateur et mot de passe).
9. Cliquez sur OK.
Étape 5 Enregistrez toutes les modifications de 1. Cliquez sur Valider, puis sélectionnez Panorama en tant que
configuration. Type de validation pour enregistrer les modifications de la
inclus dans le modèle sélectionné.
3. Cliquez sur Valider, puis sélectionnez Groupes de
périphériques en tant que Type de validation pour transmettre
les modifications apportées aux périphériques inclus dans le
groupe de périphériques sélectionné.

Valider les modifications sur Panorama
Lorsque vous modifiez la configuration sur Panorama, vous apportez des modifications au fichier de
configuration candidate. La configuration candidate est une copie de la configuration en cours avec les
modifications que vous avez enregistrées à l'aide de l'option Sauvegarder. L'interface Web de Panorama affiche
toutes les modifications immédiatement. Cependant les modifications ne sont pas mises en œuvre avant que
vous ayez validé les modifications. Le processus de validation valide les modifications du fichier de configuration
candidate et les enregistre en tant que configuration en cours sur Panorama.
Options sur Panorama Description
Panorama Valide les modifications sur la configuration candidate en cours sur la configuration
actuelle de Panorama. Vous devez valider vos modifications sur Panorama avant de
valider une mise à jour de configuration quelconque (groupes de modèles ou de
périphériques) des périphériques gérés ou des groupes de collecteur.
Modèle Valide les configurations réseau et de périphérique à partir d'un modèle Panorama sur
les périphériques sélectionnés.
Groupe de périphériques Validez les politiques et les objets configurés à partir de Panorama pour le
périphérique/le(s) système(s) virtuel(s) sélectionné(s).
Groupe de collecteurs Valide les modifications apportés aux groupes de collecteurs spécifiés gérés par
Panorama.
Lors de la validation, Panorama publie l'ensemble de la configuration sur les périphériques gérés. Le résultat
s'affiche, une fois la validation terminée. Si la validation réussit, le message Validation réussies'affiche. En cas
d'avertissement, le message signalant un succès de la validation avec avertissements s'affiche.</TrU>
Voici certaines des autres options disponibles au moment de valider vos modifications :
 Inclure les modèles de périphérique et réseau : cette option est disponible lors de la validation d'un groupe
de périphériques Panorama. Elle vous permet de valider à la fois les modifications du groupe de
périphériques et de modèles, et périphériques pertinents au cours de la même opération de validation.
Si vous préférez valider vos modifications en plusieurs opérations distinctes, ne cochez pas cette case.
 Forcer les valeurs du modèle : lorsque vous effectuez une validation de modèle, l'option Forcer les valeurs du
modèle remplace n'importe quelle configuration locale et supprime les objets sur les périphériques
sélectionnés ou les systèmes virtuels qui n'existent pas dans le modèle ou qui ont été écrasés par la
configuration locale. Il s'agit d'un écrasement qui restaure toute configuration existante sur le périphérique
géré, et garantit que tous les périphériques héritent les paramètres définis sur le modèle uniquement.
 Fusionner avec la configuration du candidat : une fois activée, cette option permet de fusionner et de valider
les modifications de configuration en prenant en compte les modifications en attente mises en œuvre en local
sur le périphérique cible. Si cette option n'est pas activée, la configuration candidate sur le périphérique n'est
pas incluse dans l'opération de validation. Dans le cadre des meilleures pratiques, laissez cette option
désactivée si vous permettez aux administrateurs de périphériques de modifier directement un périphérique
ou si vous ne voulez pas inclure leurs modifications lors de la validation de modifications dans Panorama.
Une autre bonne pratique consiste à utiliser la fonctionnalité d'audit de configuration sur Panorama pour
revoir toutes les modifications de configuration avant de lancer la validation pour Panorama, reportez-vous
à la section Comparer les modifications de configuration.

Modifier les paramètres de transfert des journaux et de mise en mémoire

tampon par défaut
Vous pouvez définir le mode de transfert des journaux que les pare-feux utilisent pour envoyer les journaux à
Panorama et en cas de configuration haute disponibilité, spécifiez l'homologue Panorama qui peut recevoir les
journaux. Ces options sont disponibles dans la section Journalisation et génération de rapports de l'onglet
Panorama > Configuration > Gestion.
 Définissez le mode de transfert des journaux sur le périphérique : Les pare-feux peuvent transférer des
journaux vers Panorama (cela concerne l'appareil M-100 et l'appareil virtuel Panorama) en mode Transfert des
journaux en mémoire tampon ou Transfert des journaux en mode direct.
Options de journalisation Description
Transfert des journaux en mémoire Permet à chaque périphérique géré de mettre les journaux en mémoire tampon
tampon depuis le périphérique et envoie les journaux à des intervalles de 30 secondes vers Panorama (non
Par défaut : Activé configurable par l'utilisateur).
Le transfert des journaux en mémoire tampon est appréciable lorsque le
périphérique perd sa connectivité à Panorama. Le périphérique met les entrées
de journal en mémoire tampon sur son disque dur local et conserve un pointeur
pour enregistrer l'entrée de journal qui a été envoyée à Panorama. Lorsque la
connectivité est rétablie, le périphérique reprend le transfert des journaux là où
il s'est arrêté.
L'espace disque disponible pour la mise en mémoire tampon dépend du quota
d'espace de stockage de journal pour la plate-forme et le volume des journaux
en attente se renouvelle. Dans le cas où un périphérique a été déconnecté
longtemps et où le dernier journal transmis a été renouvelé, tous les journaux
du disque dur local sont transmis à Panorama dès le rétablissement de la
connexion. Si l'espace disque disponible sur le disque dur local du périphérique
est utilisé, les entrées les plus anciennes sont supprimées pour permettre la
journalisation des nouveaux événements.
Transfert des journaux en mode En mode direct, le périphérique géré envoie chaque transaction de journal vers
direct depuis le périphérique Panorama au moment de l'enregistrement sur le périphérique.
Cette option est activée lorsque la case
à cocher Transfert des journaux en
mémoire tampon depuis le
périphérique n'est pas sélectionnée.
 Définissez les préférences de transfert des journaux sur un appareil virtuel Panorama en configuration haute
disponibilité :
– (lorsque vous vous connectez à un disque virtuel) permet la journalisation vers le disque local sur
l'homologue Panorama Principal.-actif Par défaut, les deux homologues de Panorama dans la
configuration HD reçoivent les journaux.
– (Lorsque vous vous connectez en NFS) permet aux périphériques de n'envoyer que les journaux
récemment générés vers un homologue secondaire Panorama, qui est alors promu en principal après
un basculement.

Options de journalisation Appartient à Description
Seuls les journaux principaux actifs Appareil virtuel Panorama se Vous permet de configurer uniquement
peuvent être envoyés sur le disque connectant à un disque virtuel et l'homologue Panorama Principal-Actif
local défini en configuration haute pour enregistrer les journaux sur le disque
Par défaut : Désactivé disponibilité (HD). local.
Obtenir uniquement les nouveaux Appareil virtuel Panorama monté Avec la journalisation NFS, lorsque vous
journaux lors de la conversion vers sur un magasin de données de disposez d'une paire de serveurs Panorama
le périph. principal système de fichiers réseau (NFS) configurée en haute disponibilité, seul
Par défaut : Désactivé et installé en configuration haute l'homologue Panorama principal est monté
disponibilité (HD). sur le magasin de données NFS. Les
périphériques ne peuvent donc envoyer les
journaux qu'à l'homologue Panorama
principal, qui peut écrire dans le magasin
de données NFS.
Lorsqu'un basculement HD se produit,
l'option Obtenir uniquement les
nouveaux journaux lors de la conversion
vers le périph. principal permet à
l'administrateur de configurer les
périphériques gérés pour n'envoyer que les
journaux récemment générés à Panorama.
Cet événement est déclenché lorsque la
priorité du Panorama passe de secondaire
actif à principale, et lorsqu'il peut
commencer la journalisation à se connecter
au NFS. Ce comportement est en général
activé pour éviter aux périphériques
d'envoyer de gros volumes de journaux
placés en mémoire tampon une fois la
connectivité vers Panorama restaurée après
une période significative.
Utiliser Panorama pour configurer les périphériques gérés : Un exemple
Disons que vous voulez utiliser Panorama en configuration haute disponibilité pour gérer une douzaine de
pare-feu sur votre réseau : vous avez 6 pare-feu déployés dans 6 succursales, une paire de pare-feu en haute
disponibilité sur chacun des deux centres de données et un pare-feu dans chacun des sièges régionaux.

Bureau
régional A
Filiale
Filiale
Filiale
Centre de données
Serveurs Panorama
au siège social
Centre de données
Filiale
Bureau
régional B
Filiale Filiale
Regrouper des périphériques en groupes de périphériques et modèles
La première étape de la création de stratégie de gestion centralisée consiste à déterminer comment regrouper
les périphériques en groupes de périphériques et modèles, pour transmettre les configurations efficacement.
Vous pouvez regrouper les périphériques de différentes façons, en fonction de l'activité du périphérique, de sa
situation géographique ou de son domaine administratif. Dans cet exemple, nous créons deux groupes de
périphériques et trois modèles pour administrer les périphériques à l'aide de Panorama.
Groupes de périphériques
Dans cet exemple, nous décidons de définir deux groupes de périphériques en fonction des opérations que les
pare-feux exécutent :
 DG_BranchAndRegional pour regrouper les périphériques servant de portails de sécurité sur les succursales et
les sièges régionaux. Nous avons placé les pare-feux de la succursale et ceux du siège régional dans le même
groupe de périphériques parce que les périphériques ayant des fonctions similaires nécessiteront des bases
de règles de politique similaires.
 DG_DataCenter pour regrouper les périphériques qui assurent la sécurité des serveurs dans les centres de
données.

Nous pouvons ensuite administrer les politiques partagées sur les deux groupes de périphériques et administrer
des politiques de groupe de périphériques distinctes pour les groupes de siège régional et de succursales. Puis,
pour plus de flexibilité, l'administrateur local d'un siège régional ou d'une succursale peut créer des règles locales
qui correspondent à des sources, des destinations et des flux de services spécifiques pour accéder à des
applications et des services nécessaires à ce bureau. Dans cet exemple, nous créons la hiérarchie pour les
politiques de sécurité. Vous pouvez utiliser une approche similaire pour chacune des bases de règles suivantes :
Groupes de DG_BranchAndRegional DG_DataCenter

périphériques
Règles Régional Succursale Centre de données
Règle avant partagée Autoriser les services DNS et SNMP.
Politique d'utilisation acceptable qui empêche l'accès à des catégories URL

spécifiées et le trafic poste-à-poste au niveau de risque 3, 4 et 5.
Règle avant de groupe Permettre l'accès à Facebook à tous les utilisateurs du Permet l'accès à
de périphériques groupe marketing dans les bureaux régionaux l'application Cloud
uniquement. Amazon pour les
hôtes/serveurs définis
dans le centre de données
Règles locales d'un Aucun

périphérique
Règle après de groupe Aucun

de périphériques
Règle après partagée Permet la journalisation de l'ensemble du trafic Internet sur votre réseau, crée une
règle qui autorise ou empêche tout trafic depuis la zone de confiance vers la zone
non approuvée.
Modèles
Lors du regroupement des périphériques de modèles, nous devons prendre en compte les différences de
configuration réseau. Par exemple, si la configuration d'interface n'est pas la même (les interfaces sont de types
différents ou ne sont pas équivalentes dans le schéma de numérotation et la capacité de liaison, ou les
correspondances de zone d'interface sont différentes) les périphériques doivent se trouver dans des modèles
séparés. En outre, le mode de configuration des périphériques pour l'accès aux ressources réseau peut différer
parce que les périphériques sont dispersés du point de vue géographique, par exemple, le serveur DNS, les
serveurs Syslog et les passerelles auxquels il accède peuvent être différents. Alors, pour permettre une
configuration de base optimale, vous devez placer les périphériques dans des modèles séparés comme suit :
 T_Branch pour les périphériques de succursale
 T_Regional pour les périphériques des sièges régionaux
 T_DataCenter pour les périphériques de centre de données

Périphériques de ﬁliale Périphériques de bureau régional

Groupe de périphériques: DG_BranchAndRegional
Modèle: T_Branch Modèle: T_Regional
Périphériques de centre de données

Groupe de périphériques: DG_DataCenter
Modèle: T_DataCenter
Si vous prévoyez de déployer vos pare-feux dans une configuration HD Actif/Actif, affectez chaque
pare-feu de la paire HD à un modèle différent. Cette opération vous offre la souplesse nécessaire à
l'installation des configurations réseau sur chaque homologue. Par exemple, vous pouvez gérer la
configuration réseau dans un modèle séparé pour chaque homologue, de sorte que chacun peut se
connecter à des routeurs en amont ou en aval, et ils peuvent présenter des configurations d'homologues
OSPF ou BGP différentes.
Planifier la configuration et les politiques centralisées
Utilisons l'exemple avec lequel nous avons commencé plus haut et effectuons les tâches suivantes pour déployer
et gérer les périphériques gérés de façon centrale :
 Étape 1 : ajoutez des périphériques gérés et déployez les mises à jour de contenu et les mises à jour logicielles
PAN-OS des périphériques gérés.
 Étape 2 : utilisez les modèles pour gérer une configuration de base.
 Étape 3 : utilisez les groupes de périphériques pour gérer les politiques de vos pare-feux.
 Étape 4 : prévisualisez vos règles, puis validez vos modifications dans Panorama, Groupes de périphériques
et Modèles.

Déployer les mises à jour de contenu et les mises à jour logicielles PAN-OS sur les périphériques gérés
Étape 1 Ajouter des périphériques gérés et déployer les mises à jour de contenu et les mises à jour logicielles PAN-OS
sur les périphériques gérés.
Commencez pour installer la base de données Applications ou Applications et menaces, puis l'antivirus et
enfin, mettez à jour la version de logiciel.
Si vous avez acheté un abonnement de prévention de menaces, vous avez accès aux bases de données de contenu
et d'antivirus.
1. Sélectionnez Panorama > Déploiement du périphérique > Mises à jour dynamiques.

a. Cliquez sur Vérifier maintenant pour rechercher les dernières mises à jour. Si la valeur figurant dans la colonne
Action est Télécharger, une mise à jour est disponible.
b. Cliquez sur Télécharger. Une fois le téléchargement terminé, la valeur se trouvant dans la colonne Action passe
à Installer.
c. Cliquez sur le lien Installer dans la colonne Action. Utilisez des filtres ou les balises définies par l'utilisateur pour
sélectionner les périphériques gérés sur lesquels vous souhaitez installer la mise à jour. Cliquez sur OK.
d. Surveillez l'état, la progression et le résultat de la mise à jour de contenu pour chaque périphérique. La réussite ou
l'échec de l'installation s'affiche à l'écran dans la colonne Résultats.
Remarque Pour consulter l'état ou la progression de toutes les tâches effectuées sur Panorama, reportez-vous à la section
Afficher l'historique des tâches.
2. Sélectionnez Panorama > Déploiement du périphérique > Logiciel pour déployer les mises à jour logicielles.
a. Cliquez sur Vérifier maintenant pour rechercher les dernières mises à jour. Si la valeur figurant dans la colonne
Action est Télécharger, une mise à jour est disponible.
b. Localisez la version dont vous avez besoin pour chaque modèle de matériel, puis cliquez sur Télécharger. Une fois
le téléchargement terminé, la valeur se trouvant dans la colonne Action passe à Installer.
c. Cliquez sur le lien Installer dans la colonne Action. Utilisez des filtres ou des balises définies par l'utilisateur pour
sélectionner les périphériques gérés sur lesquels vous souhaitez installer cette version.
d. Activez la case à cocher de Charger sur le périphérique seulement (ne pas installer) ou Redémarrer le
périphérique après l'installation, puis cliquez sur OK. La réussite ou l'échec de l'installation s'affiche à l'écran
dans la colonne Résultats.

Utiliser les modèles pour gérer une configuration de base
Étape 2 Utilisez les modèles pour gérer une configuration de base.
1. Créez des modèles et affectez les périphériques appropriés au modèle. Reportez-vous à la section Ajoutez un nouveau
modèle.
2. Définissez un serveur DNS, un serveur NT, un serveur Syslog et une bannière de connexion.
a. Sélectionnez le modèle dans le menu déroulant Modèle.
b. Sélectionnez Périphérique > Configuration > Services et modifiez la section Services.
1. Saisissez une adresse IP pour le serveur DNS principal.
2. Saisissez une adresse IP pour le Serveur NTP principal.
c. Pour ajouter un serveur Syslog, sélectionnez Périphérique > Profils serveur > Syslog.
1. Saisissez un Nom pour le profil.
2. Cliquez sur Ajouter, puis de nouveau sur Ajouter pour ajouter une nouvelle entrée de serveur Syslog et saisir
les informations requises pour vous connecter au serveur Syslog (vous pouvez ajouter jusqu'à quatre serveurs
Syslog au même profil) :
• Serveur : adresse IP ou nom de domaine complet (FQDN) du serveur Syslog.
• Port : numéro de port sur lequel envoyer les messages Syslog (514 par défaut). Vous devez utiliser le même
numéro de port sur Panorama et sur le serveur Syslog.
• Site : sélectionnez l'une des valeurs standard Syslog, qui est utilisée pour calculer le champ PRI (priorité)
dans l'implémentation de votre serveur Syslog. Vous devez sélectionner la valeur qui correspond à votre
utilisation du champ PRI pour gérer vos messages Syslog.
d. Pour ajouter une bannière de connexion, sélectionnez Périphérique > Configuration > Gestion et modifiez la
section Paramètres généraux.
1. Ajoutez le texte de la Bannière de connexion.
2. Cliquez sur OK.
e. Répétez les tâches 2a à 2d pour chaque modèle.
3. Activez l'accès à HTTPS, SSH et SNMP pour gérer l'interface de gestion des périphériques gérés.
b. Sélectionnez Périphérique > Configuration > Gestion et modifiez la section Paramètres de l'interface de gestion.
c. Cochez la case correspondant à HTTPS, SSH et SNMP sous Services.
d. Cliquez sur OK.
e. Répétez les tâches 3a à 3d pour chaque modèle.

Utiliser les modèles pour gérer une configuration de base (suite)
4. Créez et associez un profil de protection de zone à la zone non approuvée pour les périphériques du modèle de centre
de données (T_DataCenter).
b. Sélectionnez Réseau > Profils réseau > Protection de zone.
c. Cliquez sur Ajouter pour ajouter un nouveau profil et saisir les informations requises pour définir le profil. Dans
cet exemple, nous allons activer la protection contre une attaque par saturation SYN et une alerte de balayage
d'hôte de port TCP et le balayage de port UDP.
d. Pour associer le profil à la zone non approuvée, vous devez dans un premier temps configurer l'interface et les
paramètres de zone sur le modèle.
Remarque Les interfaces doivent être configurées sur le périphérique. Vous devez au moins avoir défini le type
d'interface, l'avoir affecté au routeur virtuel si nécessaire et associé à une zone de sécurité en local sur le
périphérique.
– Sélectionnez Réseau > Interface.
– Sélectionnez l'interface appropriée dans le tableau. Cliquez sur le lien pour configurer l'interface.
– Sélectionnez le Type d'interface dans le menu déroulant.
– Cliquez sur le lien Routeur virtuel dans le menu déroulant Nouveau Routeur virtuel pour créer un nouveau
routeur virtuel. Assurez-vous que le nom de routeur virtuel correspond à la définition présente sur le
périphérique.
– Cliquez sur le lien Nouvelle zone dans le menu déroulant Zone de sécurité pour créer une zone de sécurité.
Assurez-vous que le nom de zone correspond à la définition présente sur le périphérique.
– Cliquez sur OK.
– Sélectionnez Réseau > Zones, puis la zone que vous venez de créer. Vérifiez que l'interface correcte est associée
à la zone.
– Dans le menu déroulant Profils de protection de zone, sélectionnez le profil que vous avez créé plus haut.
– Cliquez sur OK.

Utiliser les modèles pour gérer une configuration de base (suite)
5. Validez vos modifications de modèle.

a. Cliquez sur Valider, puis sélectionnez Panorama en tant que Type de validation pour enregistrer les modifications
de la configuration en cours sur Panorama. Cliquez sur OK.
b. Cliquez sur Valider, puis sélectionnez Modèle en tant que Type de validation pour transmettre les modifications
aux périphériques inclus dans le modèle sélectionné. Cliquez sur OK.
Utiliser les groupes de périphériques pour appliquer les politiques
Étape 3 Utilisez les groupes de périphériques pour gérer les politiques de vos pare-feux.
1. Créez des groupes de périphériques et affectez-leur les périphériques appropriés. Reportez-vous à la section Créer un
ou des groupes de périphériques
2. Créez une règle avant partagée, pour activer les services DNS et SNMP.
a. Créez un groupe d'applications partagé pour les services DNS et SNMP.
– Objets > Groupe d'applications, puis cliquez sur Ajouter.
– Saisissez un nom et cochez la case Partagée pour créer un objet de Groupe d'applications partagé.
– Cliquez sur Ajouter, puis saisissez DNS et sélectionnez dns dans la liste. Répétez l'opération pour SNMP, puis
sélectionnez snmp, snmp-trap.
– Cliquez sur OK. Le groupe d'applications dns, snmp et snmp-trap est créé.
b. Créez la politique partagée.
– Sélectionnez le groupe de périphériques Partagé dans le menu déroulant Groupe de périphériques.
– Sélectionnez l'onglet Politiques, puis Règles avant dans la base de règle de politique de Sécurité.
– Cliquez sur Ajouter et saisissez un Nom pour la règle de politique de sécurité.
– Dans les onglets Source et Destination de la règle, cliquez sur Ajouter, puis saisissez une Zone source et une
Zone de destination du trafic.
– Dans l'onglet Applications, cliquez sur Ajouter, saisissez le nom d'objet de groupe d'applications que vous avez
défini au préalable, puis sélectionnez-le dans le menu déroulant.
– Dans l'onglet Actions, vérifiez que le paramètre Action a pour valeur Autoriser, puis cliquez sur OK.

Utiliser les groupes de périphériques pour appliquer les politiques (suite)
3. Définissez la politique d'utilisation de l'entreprise pour tous les bureaux.

Dans cet exemple, nous allons créer une politique partagée qui restreint l'accès à certaines catégories d'URL et refuse
l'accès au trafic poste-à-poste de niveau 3, 4, 5.
a. Sélectionnez le groupe de périphériques Partagé dans le menu déroulant Groupe de périphériques.
b. Sélectionnez l'onglet Politiques, puis Règles avant dans la base de règle de politique de Sécurité.
c. Cliquez sur Ajouter et saisissez un Nom pour la règle de politique de sécurité.
d. Dans les onglets Source et Destination de la règle, cliquez sur Ajouter et sélectionnez n'importe lequel comme
Zone source et Zone de destination pour le trafic.
e. Pour définir le filtre d'application, dans l'onglet Application :
– Cliquez sur Ajouter et cliquez sur Nouveau Filtre d'application.
– Saisissez un Nom, puis sélectionnez la case correspondant à Partagé. Dans la section Risque, sélectionnez les
niveaux 3, 4 et 5, et dans la section Ethnologie, sélectionnez poste-à-poste.
– Cliquez sur OK.
f. Dans l'onglet Catégorie de service/URL, cliquez sur Ajouter et sélectionnez les catégories d'URL que vous
souhaitez bloquer, par exemple, les supports de diffusion, les rencontres et le stockage personnel en ligne.
g. Vous pouvez également associer un profil de filtrage par défaut, dans la section Configuration de profil de l'onglet
Actions.
h. Cliquez sur OK.

4. Permettre l'accès à Facebook à tous les utilisateurs du groupe marketing dans les bureaux régionaux uniquement.
Pour activer une politique de sécurité basée sur l'utilisateur et/ou le groupe, vous devez activer l'ID utilisateur de
chaque zone contenant les utilisateurs à identifier. L'identification utilisateur du pare-feu doit être définie
(reportez-vous au Guide de prise en main de PAN-OS) ainsi que le périphérique principal pour le groupe de
périphériques. Le périphérique principal est le seul périphérique du groupe de périphériques qui regroupe les
informations de l'utilisateur et de mappage de groupe pour l'évaluation de la politique.
a. Sélectionnez le groupe de périphériques DG_BranchAndRegional dans le menu déroulant Groupe de périphériques.
d. Dans l'onglet Utilisateur, sélectionnez Sélectionner, cliquez sur Ajouter et sélectionnez le groupe utilisateur
marketing dans la section Utilisateur source.
e. Dans l'onglet Application, cliquez sur Ajouter, saisissez Facebook, puis sélectionnez cette option dans le menu
déroulant.
f. Dans l'onglet Action, vérifiez que l'action est définie sur Autoriser.
g. Dans l'onglet Cible, sélectionnez les périphériques du bureau régional, et cliquez sur OK.
5. Permet l'accès à l'application Cloud Amazon pour les hôtes/serveurs spécifiés dans le centre de données.
a. Créez un objet groupe d'adresses pour les serveurs/hôtes du centre de données qui ont besoin d'un accès à
l'application de cloud Amazon.
– Sélectionnez Objets > Groupes d'adresses.
– Sélectionnez le groupe de périphériques DG_DataCenter dans le menu déroulant Groupe de périphériques.
– Cliquez sur Ajouter et saisissez un Nom pour l'objet groupe d'adresses.
– Cliquez sur Ajouter et sélectionnez Nouvelle adresse.
– Pour définir l'objet d'adresse, saisissez un Nom, sélectionnez Type et spécifiez une adresse IP d'hôte, un masque
réseau IP, une plage d'adresses IP ou FQDN. Cliquez sur OK.
b. Sélectionnez le groupe de périphériques DG_DataCenter dans le menu déroulant Groupe de périphériques.
– Sélectionnez l'onglet Politiques, puis Règles avant dans la base de règle de politique de Sécurité.
– Cliquez sur Ajouter et saisissez un Nom pour la règle de politique de sécurité.
– Dans la section Adresse source de l'onglet Source, cliquez sur Ajouter pour sélectionner le groupe d'adresses
que vous avez défini.
– Dans l'onglet Application, cliquez sur Ajouter, saisissez amazon et sélectionnez les applications Amazon dans la
liste qui s'affiche.
– Dans l'onglet Action, vérifiez que l'action est définie sur Autoriser.
– Cliquez sur OK.

6. Pour activer la connexion pour la journalisation du trafic Internet de votre réseau, créez une règle qui fait
correspondre la zone de confiance à une zone non approuvée.
a. Sélectionnez le groupe de périphériques Partagé dans le menu déroulant Groupe de périphériques.
d. Dans les onglets Source et Destination de la règle, cliquez sur Ajouter et sélectionnez trust_zone en tant que zone
source et untrust_zone en tant que zone de destination.
e. Dans l'onglet Action, vérifiez que la valeur de l'action est Refuser et que les paramètres de journaux ont pour
valeur Se connecter en fin de session.
f. Cliquez sur OK.
Étape 4 Prévisualisez vos règles, puis validez vos modifications dans Panorama, Groupes de périphériques et Modèles.
1. Sélectionnez l'onglet Politiques, puis cliquez sur Prévisualiser les règles. Cette prévisualisation vous permet
d'évaluer en un seul coup d'œil la façon dont vos règles sont organisées dans une base de règles particulière.
2. Cliquez sur Valider et sélectionnez le type de validation Panorama. Cliquez sur OK.
3. Cliquez sur Valider et sélectionnez le type de validation Groupes de périphériques. Vérifiez que l'option Inclure les
modèles de réseaux et de périphériques est activée. Cliquez sur OK.
4. Changez de contexte de périphériques pour lancer l'interface Web d'un périphérique géré et confirmez que le modèle
et les configurations de politiques ont été appliqués.

Gérer les pare-feux et la collecte de journaux Activer la journalisation
Activer la journalisation
Tous les pare-feux de la prochaine génération de Palo Alto Networks peuvent générer des journaux qui
fournissent une piste d'audit des activités et des événements du pare-feu. Pour surveiller les journaux de façon
centrale et pour générer des rapports, vous devez transmettre les journaux générés sur les pare-feux gérés vers
Panorama. Vous pouvez ensuite configurer Panorama pour agréger les journaux et les transférer vers une
destination de journalisation à distance. Si vous déployez un appareil virtuel Panorama avec un disque virtuel et
sont consignés sur un NFS, vous n'avez pas à effectuer de tâche supplémentaire pour activer la journalisation.
Si vous vous connectez à un appareil M-100 (soit localement sur un M-100 en mode Panorama, ou à un
collecteur de journaux dédié géré par l'appareil Panorama virtuel, ou un appareil M-100 en mode Panorama)
vous devez effectuer des tâches supplémentaires pour activer la collecte de journaux.
Vous devez ajouter chaque collecteur de journaux en tant que collecteur géré et créer des groupes de collecteurs
afin d'accéder à, gérer et mettre à jour le collecteur de journaux en utilisant Panorama. Une fois les collecteurs
de journaux ajoutés et configurés sur Panorama, Panorama transmet la configuration nécessaire aux
périphériques gérés. Vous n'avez pas à configurer de façon explicite les périphériques gérés pour transmettre les
journaux à un collecteur de journaux.
Exécutez les tâches suivantes pour permettre la connexion :
 Ajouter un collecteur de journaux à Panorama
 Configurer les groupes de collecteur
 Vérifier que le transfert des journaux est activé
 (Facultatif) Modifier les paramètres de transfert des journaux et de mise en mémoire tampon
par défaut
 Activer le transfert des journaux vers des destinations externes
Ajouter un collecteur de journaux à Panorama
Pour que Panorama (appareil virtuel Panorama ou appareil ou appareil M-100 en mode Panorama) puisse gérer
un collecteur de journaux, vous devez ajouter le Collecteur de journaux en tant que collecteur géré. Si l'appareil
M-100 n'est pas encore configuré en mode collecteur de journaux, reportez-vous à la section Configurer
l'appareil M-100 en mode Collecteur de journaux.
Si vous utilisez un appareil M-100 en mode Panorama, le collecteur de journaux par défaut en local sur Panorama
est ajouté pendant le processus de fabrication. Cependant, si vous avez chargé/migré la configuration depuis un
appareil virtuel Panorama vers l'appareil M-100, le collecteur de journaux par défaut ne s'affiche pas, utilisez les
instructions de cette section pour ajouter le collecteur journaux, puis configurez les groupes de collecteur.
Ajouter un collecteur géré
Étape 1 Ajoutez un collecteur géré. 1. Sélectionnez Panorama > Collecteurs gérés.

2. Sélectionnez Ajouter.

Activer la journalisation Gérer les pare-feux et la collecte de journaux
Ajouter un collecteur géré (suite)
Étape 2 Ajouter le numéro de série du collecteur 1. Dans l'onglet Général, Saisissez le numéro de série pour le
de journaux dans Panorama. collecteur de journaux dans le champ N° de série du collecteur.
• Si le collecteur de journaux est installé en local sur Panorama,
saisissez le numéro de série qui s'affiche sur le tableau de
bord.
• Si vous ajoutez un collecteur de journaux dédié, saisissez le
numéro de série de l'appareil M-100.
Étape 3 Exécutez ces tâches uniquement si vous 1. Configurez les paramètres d'accès réseau.
ajoutez un collecteur de journaux dédié. Bien que vous ayez déjà spécifié ces détails pendant la
Comme le collecteur de journaux par configuration initiale du collecteur de journaux, vous devez
défaut est placé sur le même appareil saisir de nouveau les informations dans l'onglet Panorama >
physique que le logiciel Panorama qui le Collecteurs gérés.
gère, vous n'avez pas besoin de configurer a. Dans l'onglet Général, ajoutez l'adresse IP des serveurs
l'accès de gestion ou les préférences Panorama qui géreront le collecteur de journaux. Si vous avez
d'authentification pour lui. déployé Panorama en HD, ajoutez l'adresse IP pour les
homologues principal et secondaire.
b. Configurez les adresses IP de serveur DNS.
c. (Facultatif) Définissez le fuseau horaire qui sera utilisé pour
enregistrer les entrées de journal.
2. Avec Panorama, configurez l'accès administratif au collecteur de

journaux.
Remarque Un appareil M-100 en mode a. Dans l'onglet Authentification, l'utilisateur par défaut est
Collecteur de journaux possède un admin. Vous ne pouvez ni modifier ce nom d'utilisateur, ni
accès à l'interface de ligne de ajouter les utilisateurs administratifs sur le collecteur de
commande (CLI). Il n'existe pas journaux.
d'interface Web pour gérer un
b. Spécifiez le nombre de Tentatives échouées de connexion,
collecteur de journaux.
après laquelle l'accès au collecteur de journaux est verrouillé
et le délai pendant lequel l'accès est verrouillé Durée de
verrouillage.
c. Spécifiez un mot de passe. Pour générer un mot de passe
haché, exécutez les tâches suivantes :
– Saisissez la commande suivante dans l'interface de ligne de
commande (CLI) :
request password-hash password <votre
mot de passe>
La CLI affiche la sortie hachée du mot de passe que vous avez
saisi.
– Copiez la valeur hachée et collez là dans le champ Hachage
du mot de passe.
Lorsque vous validez les modifications du groupe de
collecteurs, le nouveau mot de passe haché sera transmis au

3. Spécifiez les paramètres de port de gestion (MGT) que vous

avez définis sur le collecteur de journaux pendant la
configuration initiale.
a. Dans l'onglet Gestion, saisissez l'adresse IP, Masque réseau
et l'adresse IP de la Passerelle par défaut définie sur le
b. (Facultatif) Activez l'accès SNMP pour la surveillance du
collecteur de journaux. Par défaut, vous SSH et ping sont
activés par défaut sur le port de gestion.
c. (Facultatif) Pour restreindre l'accès au collecteur de journaux,
cliquez sur Ajouter et saisissez une ou plusieurs adresses IP
dans la liste Adresses IP autorisées.
Remarque Comme seules les adresses IP spécifiées peuvent
accéder au collecteur de journaux, assurez-vous
d'ajouter l'adresse IP pour les périphériques ayant
besoin de se connecter ou de transmettre les journaux
au collecteur de journaux.
d. Cliquez sur OK.
Étape 4 Enregistrez les modifications. Cliquez sur Valider et, dans le type de validation, sélectionnez
Panorama. Cliquez sur OK.
Étape 5 Vérifiez que le collecteur de journaux a Sélectionnez Panorama > Collecteurs gérés et vérifiez que le
été ajouté et est connecté à Panorama. collecteur géré que vous avez ajouté s'affiche.
Étape 6 Activez les paires de disques pour la Par défaut, la paire de disques A est compatible RAID, et ajoutée au
journalisation. collecteur de journaux. Si vous avez jouté des paires RAID
supplémentaires pour une capacité de stockage accrue.
Pour configurer les disques dans une paire
1. Cliquez sur Ajouter dans l'onglet Disques.
RAID, reportez-vous à la section
Accroître la capacité de stockage de 2. Sélectionnez chaque paire de disques supplémentaire dans le
l'appareil M-100. menu déroulant.
3. Cliquez sur OK pour rendre la paire de disques disponible à la
connexion.
4. Cliquez sur Valider et, dans le type de validation, sélectionnez

Étape 7 Vérifiez si les disques sont activés, Sélectionnez Panorama > Collecteurs gérés, puis cliquez sur le lien
disponibles et présents. Statistiques. La fenêtre Statistiques du collecteur affichera l'état des
paires de disques que vous avez ajoutées.
Configurer les groupes de collecteur
Une fois le collecteur de journaux ajouté en tant que collecteur géré, vous devez l'affecter à un groupe de
collecteurs de façon à pouvoir le gérer et le configurer à l'aide de Panorama. Un groupe de collecteurs vous
permet d'affecter les pare-feux gérés au(x) collecteur(s) de journaux dans le groupe de collecteurs.
Un groupe de collecteurs peut compter un ou plusieurs collecteurs de journaux, mais Palo Alto Networks
conseille de ne placer qu'un collecteur de journaux dans un groupe de collecteur. Cependant, si vous avez besoin
de plus de 4 To de capacité de stockage pour les journaux, vous aurez besoin d'ajouter plusieurs collecteurs de
journaux dans un groupe de collecteurs. Pour comprendre comment la journalisation fonctionne sur plusieurs
collecteurs de journaux, reportez-vous à la section Utilisation de collecteurs de journaux dans un groupe de
collecteurs.
Si vous utilisez un appareil M-100 en mode Panorama, un groupe de collecteurs par défaut contenant le
collecteur de journaux par défaut est configuré pour vous. Utilisez les instructions présentes dans cette section
pour configurer le groupe de collecteurs par défaut. Si vous utilisez un collecteur de journaux dédié, vous devez
d'abord ajouter un collecteur de journaux à Panorama et utiliser les instructions de cette section pour créer un
groupe de collecteurs.

Étape 1 Ajoutez un groupe de collecteurs. 1. Sélectionnez Panorama > Groupes de collecteurs.
Il existe un groupe de collecteurs par défaut pour l'appareil
M-100 en mode Panorama.
2. Sélectionnez le lien correspondant au groupe de collecteurs par
défaut pour le modifier, ou cliquez sur Ajouter pour définir un
nouveau groupe de collecteurs.
Étape 2 Définissez les membres du groupe de 1. Sélectionnez l'onglet Transfert des journaux dans la fenêtre
collecteurs. groupe de collecteurs.
2. Cliquez sur Ajouter dans la section Membres du groupe de
collecteurs, puis sélectionnez les collecteurs de journaux dans le
Seul les collecteurs de journaux que vous avez ajoutés en tant
que collecteurs gérés s'affichent dans la liste de sélection.


Étape 3 Sélectionnez les périphériques en mesure 1. Si l'onglet Transfert des journaux de la fenêtre Groupe de
de transmettre les journaux à ce groupe de collecteurs, cliquez sur Ajouter dans la section des préférences
collecteurs. de transfert des journaux.
Remarque Si votre réseau est doté de pare-feu 2. Cliquez sur Modifier, puis sélectionnez le périphérique géré à
fonctionnant sous PAN-OS partir des options d'affichage filtrées et cliquez sur OK. Cliquez
version 4.x et 5.x, vous pouvez ensuite sur Ajouter dans la section Collecteur de journaux, puis
affecter les pare-feux exécutant sélectionnez le collecteur de journaux. Les périphériques
PAN-OS v5.x pour transmettre les sélectionnés peuvent envoyer des collecteurs de journaux
journaux à un collecteur de journaux affectés dans le groupe de collecteurs.
dédié. Les pare-feux exécutant
PAN-OS v4.x ne peuvent être affectés
à un collecteur de journaux. Ils
doivent envoyer les journaux à un
appareil virtuel Panorama ou à un
appareil M-100 en mode Panorama.
Remarque S'il existe plusieurs collecteurs de journaux dans le
groupe de collecteurs, cliquez de nouveau sur Ajouter
et sélectionnez un autre collecteur de journaux pour
définir une liste classée. Le premier collecteur de
journaux de la liste est le collecteur de journaux
principal affecté au pare-feu.
3. Cliquez sur OK.
Étape 4 Affectez le pourcentage de capacité de 1. Sélectionnez l'onglet Général dans la fenêtre Groupe de
stockage pour chaque type de journal. collecteurs.
Si la capacité de stockage de journaux 2. Cliquez sur le lien qui s'affiche dans la capacité Stockage du
0 Mo s'affiche, il se peut que vous n'ayez journal pour le groupe de collecteurs.
pas ajouté les collecteurs de journaux au
groupe de collecteur. Exécutez l'étape 2,
puis revenez à la présente tâche (étape 4).
Si le résultat est toujours 0 Mo, vérifiez
que vous avez activé les paires de disque
pour la journalisation et validé les
modifications apportées au groupe de
collecteur. Reportez-vous à l'étape 6 dans 3. Modifiez le Quota affecté à chaque type de journal.
la section Ajouter un collecteur de Lorsque vous modifiez la valeur, l'écran est actualisé pour
journaux à Panorama. afficher la valeur correspondante (Go/Mo) pour le pourcentage
alloué, en fonction de la capacité totale de votre groupe de
collecteur.
4. (Facultatif) Cliquez sur Rétablir les valeurs par défaut, si vous
devez annuler les modifications et réinitialiser les quotas de
configuration par défaut d'usine.


Étape 5 Définissez le temps de conservation de 1. Sélectionnez l'onglet Général dans la fenêtre Groupe de
journal minimum pour le groupe de collecteurs.
collecteurs. 2. Saisissez une valeur comprise entre 1 et 2 000 jours comme
Le délai de conservation minimum Période de conservation minimale. Cette valeur indique
informe Panorama du moment où il faut combien de temps vous souhaitez conserver les journaux. Un
générer une alerte si la capacité de journal système est généré sur Panorama lorsque la date actuelle,
stockage est proche de la capacité moins la date de journal la plus ancienne est inférieure à la
maximale. période de conservation minimale.
Étape 6 (Facultatif) Configurez la surveillance 1. Sélectionnez l'onglet Surveillance dans la fenêtre Groupe de
SNMP pour le groupe de collecteurs. collecteurs.
Vous pouvez utiliser SNMP pour 2. Saisissez une chaîne de texte pour spécifier l'emplacement
recueillir les informations suivantes sur le physique du groupe de collecteurs de journaux.
groupe de collecteurs : état de la 3. Ajoutez l'adresse de messagerie d'un Contact administratif.
connexion, statistiques du lecteur de 4. Sélectionnez la Version SNMP, puis saisissez les détails de
disque, version logicielle, utilisation configuration comme suit (en fonction de la version de SNMP
moyenne du processeur, moyenne de que vous utilisez), puis cliquez sur OK :
journal/seconde et durée de stockage par
• V2c—Saisissez la chaîne de communauté SNMP qui
type de journal.
permettra au gestionnaire SNMP d'accéder à l'agent SNMP
Remarque Pour activer le gestionnaire SNMP situé sur le groupe de collecteurs. La valeur par défaut est
afin d'interpréter les informations, public. Cependant, comme il s'agit d'une communauté bien
vous devez télécharger les fichiers connue, une bonne pratique consiste à utiliser une valeur qui
PAN-OS MIB dans votre logiciel de n'est pas encore utilisée.
gestion SNMP et, le cas échéant, les
compiler. Vous devez ensuite • V3 : vous devez créer au moins une vue et un utilisateur afin
configurer le logiciel de gestion d'utiliser SNMPv3. La vue mentionne les informations de
SNMP afin de gérer les identifiants gestion auxquelles le gestionnaire a accès. Si vous voulez
d'objets qui vous intéressent. permettre l'accès à toutes les informations de gestion, il
suffit de saisir l'identifiant d'objet de.1.3.6.1 et de définir
l'Option sur inclure (vous pouvez également créer des vues
excluant certains objets). Utilisez 0xf0 en tant que Masque.
Ensuite, au moment de créer un utilisateur, sélectionnez
la vue que vous venez de créer et spécifiez le Mot de
passe d'authentification et le Mot de passe privé.
Les paramètres d'authentification (la chaîne de caractères
de communauté pour V2c ou le nom d'utilisateur et les
mots de passe pour V3) configurés sur le groupe de
collecteurs doivent correspondre à la valeur configurée
sur le gestionnaire SNMP.
5. Cliquez sur OK pour enregistrer les paramètres.
Étape 7 Enregistrez les modifications. 1. Cliquez sur Valider et, dans le type de validation, sélectionnez
Groupe de collecteurs. Cliquez sur OK.
Étape 8 Vérifiez que le collecteur de journal est 1. Sélectionnez Panorama > Collecteurs gérés et vérifiez l'état de
connecté et synchronisé avec Panorama. la connexion et l'état de configuration du collecteur de journaux.

Supprimer un périphérique d'un groupe de collecteurs
Dans un déploiement de collecte de journaux distribué, et si vous avez des collecteurs de journaux dédiés, si
vous souhaitez qu'un périphérique envoie des journaux à Panorama plutôt qu'au groupe de collecteurs, vous
devez supprimer le périphérique du groupe de collecteurs.
Lorsque vous retirez le périphérique du groupe de collecteurs et validez la modification, le périphérique envoie
automatiquement des journaux à Panorama au lieu de l'envoyer à un collecteur de journaux.
Supprimer un périphérique d'un groupe de collecteurs
1. Sélectionnez l'onglet Panorama > Groupes de collecteurs.

2. Cliquez sur le lien du groupe de collecteurs souhaité, puis sélectionnez l'onglet Transfert des journaux.
3. Dans la section Préférences de transfert des journaux, sélectionnez le périphérique que vous souhaitez supprimer de
la liste, puis cliquez sur Supprimer.
4. Cliquez sur OK.
5. Cliquez sur Valider et, dans le type de validation, sélectionnez Panorama. Cliquez sur OK.
6. Cliquez sur Valider et, dans le type de validation, sélectionnez Groupe de collecteurs. Cliquez sur OK.
Pour retirer provisoirement la liste de préférence de transfert des journaux du périphérique, vous
pouvez le supprimer en utilisant l'interface de ligne de commande (CLI) sur le périphérique. Vous devez
cependant retirer les pare-feux affectés dans la configuration du groupe de collecteurs sur Panorama.
Autrement, la prochaine fois que vous validerez les modifications apportées au groupe de collecteur, le
périphérique sera reconfiguré pour envoyer des journaux au collecteur de journaux affecté.
Vérifier que le transfert des journaux est activé
Maintenant que vous avez ajouté les collecteurs de journaux en tant que collecteurs partagés, créé et configuré
le groupe de collecteurs et affecté les périphériques gérés au transfert de fichiers au groupe de collecteurs
spécifié, vous pouvez vérifier que votre configuration a réussi.

Vérifier le transfert des journaux
Étape 1 Sur le périphérique géré, vérifiez que le 1. Accédez au CLI sur le périphérique.
périphérique dispose de la liste de 2. Saisissez les commandes suivantes :
préférences de transfert des journaux et
• show log-collector preference-list
qu'il transmet les journaux de transfert au
collecteur de données configuré. Si vous avez affecté uniquement un Collecteur de journaux au
groupe de collecteurs, le résultat à l'écran ressemblera à ce qui
Vous ne pouvez pas afficher cette
suit :
information à partir de l'interface Web
sur le périphérique. Log collector Preference List
Serial Number: 003,001,000,024
IP Address:10.2.133.48
• show logging-status
Le résultat à l'écran ressemblera à ce qui suit :
Étape 2 Sur Panorama, vérifiez la fréquence de Cliquez sur le lien Statistiques dans l'onglet Panorama >
collecte de journaux. Collecteurs gérés pour afficher la moyenne de journal/seconde
reçue par Panorama.
Activer le transfert des journaux vers des destinations externes
Panorama vous permet de transférer les journaux agrégés, les notifications par courrier électronique et les
pièges SNMP à des serveurs externes. Le transfert des journaux à partir de Panorama réduit la charge sur les
pare-feux et offre une approche simplifiée de la combinaison et du transfert des
messages Syslog/pièges SNMP/notifications par courrier électronique vers des destinations distantes.
Ce tableau vous permet de configurer le transfert des journaux à partir de Panorama.

Plateforme/Déploiement Configurer le transfert des journaux vers une destination externe
Journaux Panorama Journaux des périphériques
Appareil virtuel Panorama Pour transférer les Pour transférer les journaux des
journaux Panorama : périphériques :
Panorama > Paramètres des Panorama > Paramètres des
journaux > Système journaux
Panorama > Paramètres des Sélectionnez le sous-onglet pour
journaux > Config. chaque type de journal :
Système, Config., Trafic,
Menaces, Correspondance HIP
et WildFire
Architecture de collecte de journauxPour transférer les journaux Panorama Pour transférer les journaux des
distribuée avec : locaux et les journaux des collecteurs périphériques collectés sur le
• Panorama M-100 avec un collecteur gérés : groupe de collecteurs de
par défaut et/ou des collecteurs Panorama > Paramètres des journaux :
gérés journaux > Système Panorama > Groupes de
ou Panorama > Paramètres des collecteurs > Transfert des
journaux > Config. journaux
• Appareil virtuel Panorama avec des
collecteurs gérés Sélectionnez le sous-onglet pour
chaque type de journal :
Système, Config., Trafic,
Menaces, Correspondance HIP
et WildFire
Pour pouvoir transférer les journaux,vous devez avoir effectué les tâches suivantes : Configurer les
pare-feux pour transmettre les journaux à Panorama.

Activer le transfert des journaux vers des destinations externes
Étape 1 Configurer des profils de serveur pour 1. Configurez un ou plusieurs des profils de serveur suivants :
chaque destination externe vers laquelle a. SNMP : Panorama > Profils de serveur > Piège SNMP
vous souhaitez transférer les journaux.
b. Syslog : Panorama > Profils de serveur > Syslog
Pour transférer les journaux vers un serveur Syslog, vous
pouvez configurer le mode de transport pour utiliser UDP,
TCP ou SSL.
Par défaut, le format d'en-tête de chaque entrée Syslog utilise
le nom de domaine complet (FQDN), c'est-à-dire le nom
d'hôte et le nom de domaine (s'ils ont été configurés) de
l'appareil qui transfère les journaux (Panorama ou un
collecteur géré) ; l'identificateur unique du pare-feu qui a
généré l'entrée de journal est inclus dans les données. Le
choix du format d'en-tête offre plus de flexibilité en matière
de filtrage et de création de rapports sur les données de
journal pour certains serveurs SIEM.
Pour modifier les données qui s'affichent dans
l'en-tête Syslog :
– Sélectionnez Panorama > Configuration > Gestion et
modifiez la section Journalisation et création de rapports.
– Sélectionnez Exportation des journaux et création de
rapports, puis le nom de domaine complet, le nom d'hôte,
l'adresse IPv4 ou IPv6 dans la liste déroulante Envoyer
HOSTNAME in Syslog.
Remarque Il s'agit d'un paramètre général qui s'applique à tous les
profils de serveur Syslog configurés sur l'appareil.
c. Messagerie : Panorama > Profils de serveur > Messagerie

Activer le transfert des journaux vers des destinations externes (suite)
Étape 2 (Uniquement pour le transport Syslog 1. Sélectionnez Périphérique > Profils de serveur > Syslog.
sécurisé) 2. Sur Panorama, sélectionnez le modèle auquel ces paramètres
SSLv3 et TLSv1 sont pris en charge. doivent s'appliquer.
3. Cliquez sur Ajouter et saisissez un Nom pour le profil.
4. (Facultatif) Sélectionnez le système virtuel auquel ce profil
s'applique dans la liste déroulante Emplacement.
Syslog et saisissez les informations requises pour se connecter
au serveur Syslog (vous pouvez ajouter jusqu'à quatre serveurs
Syslog pour le même profil) :
• Serveur Syslog : adresse IP ou nom de domaine
complet (FQDN) du serveur Syslog.
• Transport : UDP, TCP ou SSL comme mode de
transport ; SSLv3 et TLSv1 sont pris en charge.
• Port : numéro de port sur lequel envoyer des
messages Syslog (par défaut, 514 pour UDP et 6514
pour SSL) ; vous devez utiliser le même numéro de port
sur le pare-feu et le serveur Syslog.
• Format : pour séparer chaque message Syslog dans un
flux TCP, les formats de séparation disponibles sont LF-
Line Feed (format BSD par défaut) et Message Length
(format IETF).
• Site : sélectionnez l'une des valeurs standard Syslog, qui
est utilisée pour calculer le champ PRI (priorité) dans
l'implémentation de votre serveur Syslog. Vous devez
sélectionner la valeur correspondant à l'utilisation du
champ PRI pour gérer vos messages Syslog. Les sites
disponibles sont : user, local0, local1, local2, local3,
local4, local5, local6 et local7.

Étape 3 Si le serveur Syslog nécessite Pour vérifier que le périphérique expéditeur (pare-feu ou Panorama)
l'authentification du client, générez le est autorisé à communiquer avec le serveur Syslog, vous devez
certificat pour la communication effectuer les tâches suivantes :
sécurisée. • Le serveur et le périphérique expéditeur doivent disposer de
certificats signés par la même autorité de certification (AC). Vous
pouvez également générer un certificat auto-signé sur Panorama
ou le pare-feu, l'exporter à partir du pare-feu/de Panorama et
l'importer sur le serveur Syslog.
• Utilisez l'autorité de certification de confiance ou le certificat
auto-signé pour générer un certificat avec l'adresse IP (comme
nom commun) du périphérique expéditeur, pouvant être utilisé
dans la communication Syslog sécurisée. Le serveur Syslog utilise
ce certificat pour vérifier que le pare-feu ou Panorama est autorisé
à communiquer avec le serveur Syslog.
Suivez les étapes ci-dessous pour générer le certificat sur le
pare-feu ou Panorama :
1. Sélectionnez Panorama > Gestion des certificats > Certificats
> Certificats de périphérique.
2. Cliquez sur Générer pour créer un nouveau certificat qui sera
signé par une autorité de certification de confiance ou l'autorité
de certification auto-signée.
3. Donnez un nom au certificat.
4. Dans Nom commun, saisissez l'adresse IP du périphérique qui
envoie les journaux au serveur Syslog.
5. Sélectionnez Partagé si vous souhaitez que le certificat soit
partagé sur Panorama ou par tous les systèmes virtuels dans un
pare-feu à plusieurs systèmes virtuels.
6. Dans Signé par, sélectionnez l'autorité de certification de
confiance ou l'autorité de certification auto-signée approuvée
par le serveur Syslog et le périphérique expéditeur.
7. Clique sur Générer. Le certificat et la paire de clés sont alors
générés.
8. Cliquez sur le lien portant le nom du certificat et activez l'option
pour l'accès sécurisé au serveur Syslog.
9. Vérifiez les détails du certificat et qu'il est marqué pour
l'utilisation comme Certificat pour la communication Syslog
sécurisée.

Étape 4 (Uniquement pour les collecteurs gérés) 1. Sélectionnez Panorama > Collecteurs gérés.
Sur Panorama, sélectionnez le certificat à 2. Cliquez sur Ajouter pour ajouter un nouveau collecteur géré ou
utiliser pour la communication Syslog sur le lien pour modifier la configuration d'un collecteur géré.
sécurisée.
3. Sélectionnez Général, puis choisissez le certificat dans la liste
Vous devez avoir importé ou généré le déroulante Certificat pour la communication Syslog
certificat de l'autorité de certification de sécurisée.
confiance sur Panorama. Le certificat doit Remarque Vous pouvez en sélectionner un uniquement parmi les
être activé pour l'utilisation comme certificats disponibles dans Panorama > Gestion des
Certificat pour la communication certificats > Certificats.
Syslog sécurisée.
Étape 5 Configurez Panorama pour transférer les Pour transférer les journaux pour votre plateforme/déploiement,
journaux. reportez-vous au tableau ci-dessus.

Déployer les mises à jour logicielles et gérer les licences Gérer les pare-feux et la collecte de journaux
Déployer les mises à jour logicielles et gérer les licences

En tant qu'administrateur, vous pouvez utiliser Panorama pour suivre et gérer les licences, gérer les mises à jour
logicielles et les mises à jour de contenu dynamique sur les périphériques et les collecteurs gérés de façon
centralisée. Panorama fonctionne avec le serveur de licences ou le service de mise à jour de Palo Alto Networks,
vérifie la validité de la demande et permet la récupération et l'installation de la version de licence/logiciel sur le
périphérique géré ou le collecteur de journaux. Cette capacité facilite le déploiement parce que vous n'avez pas
besoin d'effectuer les tâches sur chaque périphérique/collecteur de journaux. Elle est particulièrement utile pour
les périphériques gérés qui ne disposent pas d'un accès Internet direct ou pour gérer les mises à jour de l'appareil
M-100 configuré en mode Collecteur de journaux, qui ne prend pas en charge une interface Web.
Utilisez cette fonctionnalité de déploiement centralisée pour qualifier de nouvelles mises à jour de contenu ou
de logiciel sur des périphériques sélectionnés avant d'effectuer la mise à jour de tous les périphériques gérés. Ou
récupérez les nouvelles licences en utilisant un code d'autorisation et transmettez les clés de licence au
périphérique géré. Selon les abonnements actifs sur chaque périphérique, les mises à jour de contenu peut
inclure les dernières mises à jour d'application/de signatures de menace,s de signatures antivirus, mises à jour
WildFire et mises à jour de fichier de données GlobalProtect. Les mises à jour logicielles que vous pouvez gérer
à partir de Panorama incluent : PAN-OS, SSL client VPN et client GlobalProtect.
Vous devez activer l'abonnement de prise en charge directement depuis chaque pare-feu ; Panorama ne
peut pas être utilisé pour déployer l'abonnement à l'assistance.
Compatibilité des versions de Panorama
Panorama doit exécuter la même version majeure de PAN-OS ou une version ultérieure à celle se trouvant sur
les périphériques gérés. Les périphériques gérés qui exécutent une version antérieure de PAN-OS mais encore
prise en charge peuvent être également gérés par Panorama.
Palo Alto Networks recommande l'exécution de la même version majeure de PAN-OS sur Panorama et ses
collecteurs gérés. Les collecteurs gérés qui exécutent une version majeure antérieure à celle se trouvant sur
Panorama peuvent être gérés par Panorama.

Gérer les pare-feux et la collecte de journaux Déployer les mises à jour logicielles et gérer les licences
Déployer et gérer les licences sur les périphériques gérés
• Déployez les licences. 1. Sélectionnez Panorama > Déploiement du périphérique >

Licences.
Chaque entrée de l'onglet Panorama >
Déploiement du périphérique > Licences
indique si la licence est active ou non.
Elle affiche également la date d'expiration
des licences actives.
Remarque Vous ne pouvez pas utiliser
Panorama pour activer la licence
de prise en charge des périphériques
gérés.
2. Si vous avez activé le code d'autorisation au préalable pour la

prise en charge d'abonnement directement sur le pare-feu,
cliquez sur Rafraîchir et sélectionnez un ou plusieurs
périphériques dans la liste. Panorama récupère la (les) licence(s),
la (les) déploie sur le périphérique géré et met à jour l'état des
licences sur l'interface Web.
Remarque Cette capacité à récupérer et à déployer les licences à
l'aide de Panorama est particulièrement utile en cas de
renouvellement de licence pour les périphériques
n'ayant pas d'accès direct à Internet.
3. Pour activer de nouvelles licences :
a. Cliquez sur Activer. Cette option vous permet d'activer un
abonnement que vous venez d'acheter, par exemple, un
abonnement contre les menaces.
b. Trouvez ou filtrez les périphériques gérés et saisissez les
codes d'authentification fournis par Palo Alto Networks dans
le périphérique des menaces Code d'authentification.
c. Cliquez sur Activer.

Déployer les mises à jour de contenu et les mises à jour logicielles PAN-OS sur les périphériques gérés
• Planifiez chaque mise à jour dynamique. 1. Sélectionnez Panorama > Déploiement du périphérique >
Mises à jour dynamiques.
Répétez cette étape pour chaque mise à jour
que vous souhaitez planifier. 2. Cliquez sur Planifications > Ajouter pour définir la
En fonction des abonnements que vous avez planification de chaque type de mise à jour.
acquis, il se peut que vous deviez installer les
mises à jour antivirus, d'applications ou
d'applications et de menaces et des mises
à jour WildFire, du fichier de données
GlobalProtect et les mises à jour de base de
données de filtrage des URL BrightCloud.
Seules les mises à jour d'applications et de
menaces peuvent être installées sur les
collecteurs de journaux. Les périphériques
prennent en charge les mises à jour 3. Ajoutez un nom pour décrire la planification.
d'applications, de menaces, antivirus, WildFire 4. Sélectionnez le type de mise à jour et indiquez la fréquence des
et de filtrage des URL BrightCloud. Si la mise mises à jour en choisissant une valeur de récurrence. Les
à jour planifiée échoue, un journal système est valeurs disponibles peuvent varier selon le type de contenu (les
généré ; si la mise à jour planifiée réussit, un mises à jour WildFire sont disponibles toutes les 15 minutes,
journal de configuration est généré. toutes les 30 minutes ou toutes les heures, tandis que tous les
Remarque Il est recommandé d'échelonner les autres types de contenu peuvent être planifiés pour la mise à jour
mises à jour planifiées car Panorama quotidienne ou hebdomadaire).
ne peut télécharger qu'une mise à 5. Indiquez l'heure et (ou, les minutes après l'heure dans le cas de
jour à la fois. Si vous planifiez le WildFire), le cas échéant, selon la valeur de
téléchargement des mises à jour lors récurrencesélectionnée, le jour de la semaine de
du même intervalle de temps, seul le téléchargement des mises à jour. Le fuseau horaire de Panorama
premier téléchargement réussira. est utilisé pour le téléchargement/l'installation.
6. Indiquez si vous souhaitez que le système télécharge et installe
la mise à jour (recommandé) et sélectionnez les
périphériques/collecteurs de journaux sur lesquels la mise à
jour sera installée, ou choisissez Télécharger uniquement pour
que le contenu soit téléchargé sur Panorama.
7. Cliquez sur OK pour enregistrer les paramètres de la
planification.
8. Cliquez sur Valider pour enregistrer les paramètres de la
configuration active.

Gérer les pare-feux et la collecte de journaux Déployer les mises à jour logicielles et gérer les licences
Déployer les mises à jour de contenu et les mises à jour logicielles PAN-OS sur les périphériques gérés (suite)
• (Uniquement si vous ne planifiez pas des mises 1. Sélectionnez Panorama > Déploiement du périphérique >
à jour dynamiques) Déployez les mises à jour Mises à jour dynamiques.
dynamiques à la demande. 2. Recherchez les dernières mises à jour. Cliquez sur Vérifier
Remarque Un avertissement s'affiche, si vous maintenant (situé dans le coin inférieur gauche de la fenêtre)
demandez une mise à jour manuelle pour vérifier les dernières mises à jour. Le lien dans la colonne
lorsqu'une planification existante a Action indique si une mise à jour est disponible. Si une nouvelle
commencé ou commence dans version est disponible, le lien Télécharger s'affiche. Pour la base
5 minutes. de données Filtrage des URL, le lien s'affiche en marquant
Mettre à niveau.
3. Cliquez sur Télécharger pour télécharger la version

sélectionnée. Une fois le téléchargement réussi, le lien de la
colonne Action passe de Télécharger à Installer.
4. Cliquez sur Installer et sélectionnez les périphériques sur
lesquels vous voulez installer la mise à jour. Une fois
l'installation terminée, une coche s'affiche dans la colonne
Actuellement installé.
• Déployez les mises à jour logicielles. 1. Sélectionnez Panorama > Déploiement du périphérique >
Logiciel.
Pour un collecteur géré, utilisez l'image qui
correspond au nom de plate-forme m ; pour 2. Recherchez les dernières mises à jour. Cliquez sur Vérifier
un périphérique géré, trouvez l'image qui maintenant (situé dans le coin inférieur gauche de la fenêtre)
correspond au modèle de matériel, par pour vérifier les dernières mises à jour. Le lien dans la colonne
exemple, 5000. Action indique si une mise à jour est disponible.
Cet exemple vous indique comment installer 3. Consultez le Nom de fichier et cliquez sur Télécharger.
une mise à jour logicielle PAN-OS. Le client Vérifiez que les versions de logiciel que vous téléchargez
VPN SSL (Panorama > Déploiement du correspondent à celles des modèles de pare-feu déployés sur
périphérique> Client VPN SSL) et le client votre réseau. Une fois le téléchargement réussi, le lien de la
GlobalProtect (Panorama > Déploiement du colonne Action passe de Télécharger à Installer.
périphérique > Client GlobalProtect) utilisent 4. Cliquez sur Installer et sélectionnez les périphériques sur
le même mécanisme. Cependant, vous lesquels vous voulez installer la version de logiciel. Le résultat de
n'installez pas le logiciel sur le pare-feu, mais la tentative d'installation s'affiche à l'écran.
vous l'activez sur le pare-feu, de sorte qu'il peut Si vous disposez de périphériques configurés en HD, décochez
être téléchargé sur les systèmes client. la case Regrouper les homologues HD et mettez à
niveau un homologue HD à la fois.
Remarque Vous pouvez télécharger un maximum de cinq versions
de logiciel par catégorie vers Panorama. Après cinq
versions, lorsqu'un nouveau téléchargement est initié,
l'image la plus ancienne est automatiquement
supprimée. Pour configurer le nombre maximum
d'images, reportez-vous à la section Comment puis-je
modifier le nombre maximum d'images pouvant être
téléchargées ?.

Déployer les mises à jour de contenu et les mises à jour logicielles PAN-OS sur les périphériques gérés (suite)
• Vérifiez la version du logiciel et la version de 1. Sélectionnez Panorama > Périphériques gérés.

mise à jour de contenu s'exécutant sur chaque 2. Localisez le(s) périphérique(s) et examinez les versions de
périphérique géré. contenu et de logiciel sur le tableau.
• Vérifiez la version de logiciel et de mise à jour 1. Pour vérifier la version sur le collecteur géré, vous devez accéder
de contenu s'exécutant sur chaque collecteur à l'interface de ligne de commande (CLI) du collecteur géré.
géré. Reportez-vous à la section Se connecter à l'interface de ligne de
commande.
2. Saisissez la commande show system info
Les détails qui suivent affichent :
sw-version: 5.1.0-b10
app-version: 366-1738
app-release-date: 2013/03/29 15:46:03
av-version: 1168-1550
av-release-date: 2013/04/21 14:31:27
threat-version: 366-1738
threat-release-date: 2013/03/29 15:46:03

Gérer les pare-feux et la collecte de journaux Transition d'un périphérique vers une gestion centralisée
Transition d'un périphérique vers une gestion centralisée

Si vous avez déjà déployé et configuré les pare-feux Palo Alto Networks en local, et voulez commencer à utiliser
Panorama pour les gérer de façon centralisée, vous devez exécuter des tâches de planification avant migration,
de mise en œuvre et de vérification post migration. La présentation de haut niveau ne concerne pas toutes les
tâches critiques nécessaires à planifier, mettre en œuvre et valider la transition vers une administration
centralisée. Voici la planification et les activités de configuration de haut niveau.
 Sur Panorama, ajoutez les périphériques et créez des groupes de périphériques pour assembler logiquement
des pare-feu ou des systèmes virtuels qui jouent un rôle ou une fonction similaire, ou qui ont des
caractéristiques semblables.
 Créez des zones communes pour chaque groupe de périphérique. Décidez de la stratégie d'attribution de
nom de zone pour tous les périphériques et les systèmes virtuels d'un groupe de périphériques. Par exemple,
si vous avez deux zones appelées LAN et WAN, Panorama peut transmettre les politiques de façon
centralisée sans connaître les variations de type de port/média, de plate-forme ou de schéma d'adressage
logique. Vous devez créer des zones sur chaque périphérique géré avant de pouvoir valider les modifications
du groupe de périphériques ou du modèle. Panorama ne peut interroger les périphériques pour obtenir le
nom de zone ou de configuration.
 Configurez chaque périphérique pour communiquer avec Panorama. Vous devez définir les adresses IP de
Panorama (Panorama principal et secondaire) sur chaque périphérique.
 Utilisez les groupes de périphériques pour créer des politiques communes pour les périphériques, avec des
fonctionnalités différentes et utiliser les modèles pour définir une configuration de base commune pour le
périphérique géré.
 Déterminez la façon dont vous allez gérer les règles et les exceptions spécifiques au périphériques aux
politiques communes et les paramètres de configuration. Si vous prévoyez d'utiliser des règles configurées
localement sur les périphériques, assurez-vous que les noms de règles sont uniques. Un bon moyen de s'en
assurer est d'ajouter un suffixe ou un préfixe à toutes les règles existantes.
 Pensez à supprimer tout les « règles de refus » de la politique de sécurité locale, et utilisez les règles après sur
Panorama. Cette approche vous permet de désactiver provisoirement les règles locales et de tester les règles
après partagées transmises par Panorama. Vous pouvez maintenant tester les règles après, effectuer les
réglages si c'est nécessaire et éliminez l'administration locale du périphérique.
 Vérifiez que les pare-feux fonctionnent efficacement avec la configuration transmise par Panorama comme
ils l'ont fait avec la configuration locale.
Pour des informations détaillées sur l'utilisation de l'API REST basée sur XML pour achever la transition,
reportez-vous au document. Migration de périphérique de Panorama. Comme le support technique de
Palo Alto Networks n'aide pas à résoudre les problèmes lors de l'utilisation de l'API XML, si vous n'avez pas
d'expérience en matière d'écriture de scripts/d'utilisation de l'API XML, contactez Palo Alto Networks
Professional Services pour en savoir plus sur le processus de migration de périphérique.

Transition d'un périphérique vers une gestion centralisée Gérer les pare-feux et la collecte de journaux

Surveiller l'activité réseau
Panorama offre une vue graphique complète du trafic réseau. Avec les outils de visibilité de Panorama
(fonctionnalités de centre de commande de l'application (ACC), de journaux et de création de rapports)
vous pouvez analyser, enquêter et générer des rapports sur toutes les activités du réseau, identifier les
zones susceptibles d'avoir un impact sur la sécurité et les transposer dans des politiques de mise en œuvre
d'application sécurisées.
Cette section contient les rubriques suivantes :
 Utiliser Panorama pour la visibilité
 Cas pratique : Surveiller des applications en utilisant Panorama
 Cas pratique : Utiliser Panorama pour remédier à un incident

Utiliser Panorama pour la visibilité Surveiller l'activité réseau
Utiliser Panorama pour la visibilité

En plus du déploiement central et des fonctions de configuration de périphériques, Panorama vous permet de
surveiller et de créer des rapports concernant l'ensemble du trafic qui circule dans votre réseau. Les
fonctionnalités de rapport de Panorama et celles du pare-feu sont très semblables, l'avantage qu'offre Panorama
est une présentation sur un volet unique d'informations agrégées sur tous les pare-feux gérés. Cette vue agrégée
fournit des informations exploitables sur les tendances de l'activité utilisateur, les modèles de trafic et les
menaces potentielles sur l'ensemble du réseau.
Grâce au centre de commande d'applications (ACC), Portée d'application, la visionneuse du journal et les
options de rapport standard et personnalisables de Panorama, vous pouvez rapidement en apprendre davantage
sur le trafic du réseau. La possibilité de voir ces informations vous permet d'évaluer l'adéquation où
l'insuffisance des politiques actuelles en fonction des endroits. Vous pouvez alors utiliser ces données pour
perfectionner la stratégie de sécurité de votre réseau. Vous pouvez par exemple améliorer la sécurité réseau pour
accroître la conformité et la fiabilité pour tous les utilisateurs présents sur le réseau, ou gérer la capacité réseau
et réduire les risques pour les actifs tout en satisfaisant les besoins en applications des utilisateurs sur votre
réseau.
La section fournit un aperçu de haut niveau sur les possibilités de création de rapport sur Panorama, notamment
quelques cas pratiques pour illustrer la façon dont ces fonctionnalités peuvent vous aider au sein de votre
infrastructure réseau. Pour une liste complète des rapports et schémas disponibles et leur description,
reportez-vous à l'aide en ligne.
 Surveiller le réseau avec ACC et Portée d'application
 Analyser les données de journaux
 Générer des rapports
Surveiller le réseau avec ACC et Portée d'application
ACC et Portée d'application permettent tous les deux de surveiller et de créer des rapports sur les données
enregistrées qui circulent sur le réseau.
L'ACC sur Panorama montre un récapitulatif du trafic réseau. Panorama peut demander de façon dynamique
des données à tous les périphériques gérés sur le réseau et l'afficher sur l'ACC. L'affichage vous permet de
surveiller le trafic par applications, utilisateurs et activité de contenu (catégories d'URL, de menaces, de filtrage
de données, blocage de fichier, correspondances HIP pour GlobalProtect) dans l'ensemble du réseau de
pare-feu de prochaine génération de Palo Alto Networks.
La portée d'application permet de détecter des comportements inattendus ou anormaux sur le réseau en un seul
coup d'œil. Il inclut un ensemble de cartes et de rapports (rapports récapitulatifs, surveillance des modifications,
surveillance des menaces, carte des menaces, surveillance de réseau, carte du trafic) qui permettent d'analyser
les flux de trafic par menaces ou applications, ou par la source ou la destination des flux. Vous pouvez également
effectuer un tri par session ou par nombre d'octets.

Surveiller l'activité réseau Utiliser Panorama pour la visibilité
Utilisez ACC et Portée d'application pour répondre à des questions telles que :
ACC Surveillance > Portée d'application
 Quelles sont les principales applications utilisées  Quelles sont les tendances d'utilisation
sur le réseau, et combien d'entre elles sont des d'application ? Quelles sont les cinq principales
applications à haut risque ? Qui sont les applications pour lesquelles les taux d'utilisation
principaux utilisateurs d'applications à haut risque ont augmenté, et les cinq dont l'utilisation a
sur le réseau ? diminué ?
 Quelles sont les principales catégories d'URL  En quoi l'activité utilisateur a-t-elle changé
affichées pendant la dernière heure ? pendant la semaine en cours par rapport à la
semaine ou au mois dernier ?
 Quelles sont les applications qui utilisent le plus  Quels sont les utilisateurs et les applications qui
de bande passante ? Quels sont les monopolisent la majeure partie de la bande
utilisateurs/hôtes qui consomment le plus de passante de réseau ? Et comment cette
bande passante ? consommation a-t-elle évolué au cours des
30 derniers jours ?
 Quels sont les contenus et les fichiers bloqués et
existe-t-il des utilisateurs spécifiques qui
déclenchent la politique de blocage/de filtrage des
données ?
 Quelle est la quantité de trafic échangée entre les
deux adresses IP spécifiques ou générée par un
utilisateur particulier ? D'un point de vue
géographique, où se trouve le serveur de
destination ou le client ?
 Quelles sont les menaces présentes sur le réseau,
et comment ces menaces de trafic entrant et
sortant sont-elles distribuées d'un point de vue
géographique ?
Vous pouvez alors utiliser les informations pour conserver ou appliquer les modifications aux modèles de trafic
de votre réseau. Reportez-vous à la section Cas pratique : Surveiller des applications en utilisant Panorama pour
avoir un aperçu de la façon dont les outils de visibilité sur Panorama peuvent influencer la façon dont vous
pouvez définir des politiques d'utilisation acceptables de votre réseau.

Voici quelques conseils pour vous aider à naviguer dans l'ACC :
Le commutateur de contexte vous Changez de source de données

permet d'accéder à pour :
l'interface Web de - accéder aux journaux stockés
n'importe quel sur Panorama (par défaut).
périphérique géré - accéder aux données des
à partir de pare-feux gérés.
Panorama.
Panorama interrogera les
périphériques pour obtenir
les données.
Accédez directement aux

journaux.
Les détails des journaux qui
s'affichent correspondent
aux informations que vous
voyez sur cette page.
 Passer d'une vue Panorama à une vue Périphérique : Panorama permet d'accéder à l'interface Web de
n'importe quel périphérique géré à l'aide du menu Contexte. Le bouton de contexte est un commutateur qui
fournit un accès direct au pare-feu. Il offre la possibilité de gérer des paramètres spécifiques au périphérique,
par exemple la politique spécifique de périphérique, et/ou d'écraser les configurations de réseau transmises
depuis un modèle ou un périphérique spécifique.
 Changer de source de données : la source par défaut utilisée pour afficher les statistiques sur les tableaux
dans l'ACC correspond aux données locales Panorama. Excepté les données qui s'affichent dans le tableau
Application, tous les autres schémas nécessitent que vous activiez le transfert des journaux vers Panorama.
L'utilisation des données locales de Panorama permet de charger rapidement les tableaux. Vous pouvez
cependant changer la source des données pour Données du périphérique distant. Lorsqu'il est configuré pour
utiliser les données de périphérique à distance et non les données Panorama locales, Panorama interroge tous
les périphériques gérés et présente une vue agrégée des données. L'affichage à l'écran montre le nombre total
de périphériques sondés et le nombre de périphériques qui ont répondu à la demande d'informations.
 Sélectionner les graphiques à afficher : l'ACC inclut un ensemble de cartes dans les domaines d'application,
le filtrage des URL, la prévention des menaces, le filtrage des données et la correspondance HIP. Hormis les
cartes d'application et les correspondances HIP, toutes les autres cartes ne s'affichent que si la fonction
correspondante a reçu une licence sur le périphérique et si vous avez activé la journalisation.
 Modifier le délai et trier les données : la période de rapport de l'ACC va des 15 dernières minutes à l'heure,
le jour, la semaine, le mois précédent, ou une durée personnalisée. Vous pouvez trier les données par sessions,
les octets, les menaces et le filtre pour afficher jusqu'à 5 500 articles.
Analyser les données de journaux
L'onglet Surveillance sur Panorama offre un accès aux données de journalisation. Ces journaux se présentent
sous forme de liste de sessions archivées traitée par les pare-feux gérés et transmise à Panorama.

Les données de journaux peuvent être en général regroupées selon deux types : celles qui fournissent des
informations détaillées sur les flux de trafic sur votre réseau, comme les applications, les menaces, les profils
d'informations hôtes, les catégories d'URL, les types de contenu/de fichiers et celles qui enregistrent les
événements système, les modifications de configuration et les alarmes.
En fonction de la configuration de la transmission de journaux sur les périphériques gérés, l'onglet Surveillance
> Journaux peut inclure les journaux des flux de trafic, des menaces, le filtrage des URL, le filtrage des données,
la correspondance de profil d'informations hôte (HIP) et les envois WildFire. Vous pouvez consulter les
journaux pour vérifier toutes sortes d'informations sur une session ou une transaction donnée, par exemple, les
ports source et de destination, les zones et les adresses, l'utilisateur qui a initié la session, et l'action (autoriser,
refuser) exécutée par le pare-feu sur cette session. Les journaux système et de configuration peuvent vous
informer sur les changements de configuration ou une alarme déclenchée au moment du dépassement du seuil
configuré.
Générer des rapports
Panorama vous permet de générer des rapports manuellement selon les besoins, ou de planifier des rapports à
exécuter à intervalles spécifiques. Vous pouvez enregistrer et exporter des rapports, ou vous pouvez configurer
Panorama pour transmettre les rapports par courrier électronique à des destinataires spécifiques. La possibilité
de partager des rapports par le biais de la messagerie électronique s'avère particulièrement utile si vous souhaitez
partager les informations de rapport avec des administrateurs qui n'ont pas accès à Panorama.
Vous pouvez créer les types de rapports suivants :
 Rapports prédéfinis : une suite de rapports prédéfinis est disponible en quatre catégories (applications,
menaces, filtrage des URL et trafic) dans l'onglet Surveillance > Rapports.
 Rapports d'activité des utilisateurs : le rapport d'activité de l'utilisateur est un rapport prédéfini utilisé pour
créer des rapports sur demande afin de documenter l'utilisation d'applications et l'activité URL répartie par
catégories URL pour un utilisateur spécifique, avec calculs du délai de recherche estimé. Ce rapport est
disponible dans l'onglet Surveillance > Rapports PDF > Rapports d'activité des utilisateurs.
 Rapports personnalisés : créez et planifiez des rapports personnalisés qui indiquent avec précision les
informations que vous souhaitez voir en appliquant un filtre sur les conditions et les colonnes à inclure. Vous
pouvez générer des rapports pour rechercher des données à partir d'une base de données récapitulative sur
Panorama ou sur les appareils distants (en d'autres termes les pare-feux gérés), ou utiliser les rapports
détaillés sur Panorama ou sur les périphériques distants. Pour afficher les bases de données disponibles pour
la génération de ces rapports, reportez-vous à l'onglet Surveillance > Gérer des rapports personnalisés. Vous
pouvez également créer des groupes de rapports (onglet Surveillance > Rapports PDF > Groupes de rapports)
pour compiler des rapports prédéfinis et personnalisés sous forme de PDF unique.
 Rapports de récapitulation au format PDF : agrégez jusqu'à 18 rapports, graphiques et rapports

personnalisés prédéfinis, dans un seul document PDF.

Le tableau suivant fournit des instructions étape par étape pour la création et la planification de rapports :
Générer, planifier et envoyer des rapports par courrier électronique
Étape 1 Générez des rapports. • Créez un rapport personnalisé.

Remarque Vous devez configurer un groupe de a. Sélectionnez Surveillance > Gérer des rapports personnalisés.
rapports pour envoyer les rapports par
b. Cliquez sur Ajouter, puis saisissez un Nom pour le rapport.
courrier électronique.
c. Sélectionnez la base de données Panorama ou de Données du
périphérique distant que vous souhaitez utiliser pour le rapport.
Vous pouvez utiliser la base de données récapitulative ou des
journaux détaillés sur Panorama ou les périphériques gérés.
d. Cochez la case Planifié.
e. Définissez vos critères de filtrage. Sélectionnez le Délai, la
commande Trier par, la préférence Regrouper par, et
sélectionnez les colonnes devant figurer dans le rapport.
f. (Facultatif) Sélectionnez les attributs Générateur de requêtes, si
vous voulez encore affiner les critères de sélection.
g. Pour tester les paramètres de rapport, sélectionnez Lancer
l'exécution. Modifiez les paramètres si nécessaire pour modifier
les informations qui figurent dans le rapport.
h. Cliquez sur OK pour enregistrer le rapport personnalisé.
• Exécutez un rapport de récapitulation au format PDF.
a. Sélectionnez Surveillance > Rapports PDF > Gérer le
récapitulatif PDF.
b. Cliquez sur Ajouter, puis saisissez un Nom pour le rapport.
c. Utilisez la liste déroulante pour chaque groupe de rapports et
sélectionnez un ou plusieurs éléments pour concevoir le rapport
récapitulatif au format PDF. Vous pouvez y inclure un maximum
de 18 éléments de rapport.
d. Cliquez sur OK pour enregistrer les paramètres.
• Définissez le Groupe de rapports. Il peut inclure des rapports
prédéfinis, des rapports récapitulatifs au format PDF, et des rapports
personnalisés. Panorama compile tous les rapports inclus dans un
PDF unique.
a. Sélectionnez Surveillance > Groupe de rapports.
b. Cliquez sur Ajouter, puis saisissez un Nom pour le groupe de
rapport.
c. (Facultatif) Sélectionnez Titre de la page et ajoutez un Titre pour
la sortie PDF.
d. Effectuez une sélection dans les listes Rapport prédéfini, Rapport
de récapitulation PDF et rapport personnalisé. Cliquez sur
Ajouter pour inclure le ou les rapports sélectionnés dans le
groupe de rapports.
e. Cliquez sur OK pour enregistrer les paramètres.

Générer, planifier et envoyer des rapports par courrier électronique (suite)
Étape 2 Configurez Panorama pour envoyer les 1. Sélectionnez Panorama > Profils de serveur > Messagerie.
rapports par courrier électronique. 2. Cliquez sur Ajouter, puis saisissez un Nom pour le profil.
3. Cliquez sur Ajouter pour ajouter une nouvelle entrée de serveur de
messagerie, puis saisissez les informations requises pour vous
connecter au serveur SMTP (Simple Mail Transport Protocol) et
envoyer un message électronique (vous pouvez ajouter jusqu'à
quatre serveurs de messagerie au profil) :
• Serveur : nom identifiant le serveur de messagerie (1 à
31 caractères). Ce champ est un simple intitulé et ne doit pas
comporter le nom d'hôte d'un serveur SMTP existant.
• Nom complet d'e-mail : nom apparaissant dans le champ De du
courrier électronique.
• De : adresse de messagerie depuis laquelle les messages
électroniques de notification seront envoyés.
• À : adresse de messagerie vers laquelle les messages électroniques
de notification seront envoyés.
• Destinataire supplémentaire : pour envoyer des notifications à
un second compte, saisissez l'adresse supplémentaire ici.
• Passerelle de messagerie : adresse IP ou nom d'hôte de la
passerelle SMTP à utiliser pour envoyer les courriers
électroniques.
5. Cliquez sur Valider, puis sélectionnez Panorama en tant que Type
de validation pour enregistrer les modifications de la configuration
en cours.
Étape 3 Planifiez le rapport pour la distribution par 1. Sélectionnez Surveillance > Rapports PDF > Planificateur de
messagerie électronique. courrier électronique.
2. Cliquez sur Ajouter et saisissez un Nompour le profil de
planificateur de courrier électronique.
3. Sélectionnez le Groupe de rapports, le Profil de messagerie et la
Récurrence du rapport.
4. Pour vérifier que les paramètres de messagerie sont exacts,
sélectionnez Envoyer le courrier électronique de test.
5. Cliquez sur OK pour sauvegarder vos paramètres.
Étape 4 Enregistrez les modifications de Cliquez sur Valider, puis sélectionnez Panorama en tant que Type de
configuration. validation pour enregistrer les modifications de la configuration en
cours.

Cas pratique : Surveiller des applications en utilisant Panorama Surveiller l'activité réseau
Cas pratique : Surveiller des applications en utilisant

Panorama
Cet exemple vous explique le processus d'évaluation d'efficacité de vos politiques actuelles et vous aide à
détecter les endroits où vous devez affiner les réglages pour renforcer les politiques d'utilisation acceptables
pour votre réseau.
Lorsque vous vous connectez à Panorama, le widget Principales applications du tableau de bord donne une
prévisualisation des applications les plus utilisées au cours de la dernière heure. Vous pouvez soit jeter un coup
d'œil sur la liste des principales applications et promener votre souris sur chaque blocage d'application dont vous
souhaitez voir le détail, ou vous pouvez accéder à l'onglet ACC pour afficher les mêmes informations qu'une liste
ordonnée. L'image suivante est un aperçu du widget Applications principales sur le Tableau de bord.
La source des données de cet écran est une base de données sur les statistiques d'application. Elle n'utilise pas
les journaux de trafic et est générée que vous ayez ou non activé la journalisation des règles de sécurité. Cette
vue sur le trafic de votre réseau décrit tout ce qui est autorisé sur votre réseau et qui circule parce qu'il n'est pas
bloqué par les règles que vous avez définies.
Vous pouvez effectuer une sélection et changer la Source de données pour qu'elle soit locale sur Panorama, ou
vous pouvez interroger les pare-feux gérés (Données du périphérique distant) pour obtenir les données.
Panorama agrège et affiche automatiquement les informations. Pour un flux plus rapide, envisagez d'utiliser
Panorama comme source de données (avec le transfert des journaux vers Panorama activé) car le délai nécessaire
au chargement de données depuis des périphériques distants varie en fonction de la période pour laquelle vous
choisissez d'afficher les données et du volume de trafic généré sur votre réseau.
Lorsque nous revenons à la liste des principales applications, nous pouvons voir que Bittorrent est très
populaire. Si vous cliquez sur le lien correspondant à l'application bittorrent, la vue ACC filtre l'affichage pour
afficher les informations sur l'application, son comportement, le niveau de risque et les détails de catégorisation
d'URL associés.

Surveiller l'activité réseau Cas pratique : Surveiller des applications en utilisant Panorama
Dans le tableau Sources principales, vous pouvez voir combien d'utilisateurs utilisent bittorrent et le volume de
trafic généré. Si vous avez activé l'ID utilisateur, vous serez en mesure d'afficher les noms des utilisateurs qui
génèrent ce trafic. Vous pouvez maintenant cliquer sur un utilisateur source pour consulter toute son activité.
En utilisant la vue ACC pour filtrer le trafic bittorrent généré par l'adresse source ou l'utilisateur spécifique, nous
pouvons vérifier le pays source et le pays de destination du trafic généré, le périphérique qui traite ce trafic, les
zones d'entrée et de sortie et la règle de sécurité qui laisse la connexion fonctionner.
Pour des informations plus détaillées, examinez les journaux de trafic pour obtenir une vue filtrée et revoir
chaque entrée du journal et connaître les ports utilisés, les paquets envoyés et reçus. Ajustez les colonnes pour
voir plus ou moins d'informations, en fonction de vos besoins.

Cas pratique : Surveiller des applications en utilisant Panorama Surveiller l'activité réseau
Journaux du trafic
L'onglet Surveillance > Portée d'application > Carte de trafic affiche une carte géographique du flux de trafic
et fournit une vue du trafic entrant par rapport au trafic sortant. Vous pouvez également utiliser l'onglet
Surveillance > Portée d'application > Surveillance pour afficher les modifications des modèles de trafic. Par
exemple, comparez les applications principales utilisées pendant cette heure par rapport à la semaine ou le
mois précédent pour déterminer s'il existe un modèle ou une tendance.
Avec toutes les informations que vous avez découvertes, vous pouvez évaluer les modifications à apporter à vos
configurations de police. Voici quelques suggestions à prendre en compte :
 Soyez restrictif et décidez de créer une valeur avant sur Panorama pour bloquer tout trafic bittorrent. Utilisez
ensuite les groupes de périphériques Panorama pour créer et transférer la règle de politique vers un ou
plusieurs périphériques.
 Mettez en place des limites d'utilisation de la bande passante et créez un profil et une politique QoS supprimant
la priorité pour le trafic ne concernant pas l'entreprise. Utilisez ensuite les modèles Panorama pour transférer
cette politique vers un ou plusieurs périphériques. Reportez-vous à l'article Modèles Panorama pour définir
une politique QoS à l'aide de modèles.
 Réduisez les risques pour votre réseau et créez un filtre d'application bloquant toutes les opérations de partage
de fichier faisant appel à une technologie poste-à-poste présentant un facteur de risque 4 ou 5. Assurez-vous
que l'application Bittorrent est incluse dans ce filtre d'application, et qu'elle sera donc bloquée.
 Planifiez un groupe de rapports personnalisés réunissant l'activité spécifique à l'utilisateur et celle des
principales applications utilisées sur votre réseau pour observer ce modèle pendant une semaine
supplémentaire ou deux avant de passer à l'action.

Surveiller l'activité réseau Cas pratique : Surveiller des applications en utilisant Panorama
En plus de contrôler une application spécifique, vous pouvez vérifier les applications inconnues dans la liste des
applications principales. Ce sont des applications qui ne correspondent pas à une signature App-ID et qui
s'affichent sous le nom de unknown-udp et unknown-tcp. Pour examiner de près ces applications inconnues, cliquez
sur le nom pour afficher les détails du trafic non classifié.
Utilisez la même procédure pour examiner les adresses IP source principales des hôtes ayant initié le trafic
inconnu, avec l'adresse IP de l'hôte de destination vers lequel la session a été établie. Concernant le trafic inconnu,
par défaut, les journaux de trafic exécutent une capture de paquet (pcap) lorsqu'une application inconnue est
détectée. La flèche verte de la colonne de gauche représente les bribes de capture de paquet des données
d'applications. Un clic sur la flèche verte affiche le pcap dans le navigateur.
Maintenant, avec la combinaison des adresses IP des serveurs (IP de destination dans les journaux), le port de
destination et les captures de paquet, vous êtes mieux placé pour identifier l'application et prendre une décision
quant à l'action à prendre sur le réseau. Par exemple, vous pouvez créer une application personnalisée qui
identifie le trafic au lieu de l'étiqueter comme TCP inconnu ou trafic UDP. Reportez-vous à l'article Applications
inconnues pour plus d'informations sur l'identification d'une application inconnue et la signature d'application
personnalisée pour des informations sur le développement des signatures personnalisées permettant de
reconnaître l'application.

Cas pratique : Utiliser Panorama pour remédier à un incident Surveiller l'activité réseau
Cas pratique : Utiliser Panorama pour remédier à un

incident
Les menaces réseau peuvent avoir plusieurs origines, notamment des infections par logiciel malveillant et espion
dues suite à des téléchargements, des attaques de hameçonnage, sous des serveurs sécurisés sans correctif, ou
des refus de service (Dos) aléatoires ou ciblés, pour n'en citer que quelques-unes. Pour pouvoir réagir aux
attaques ou aux infections réseau, il faut disposer de processus et de systèmes qui alertent l'administrateur de
l'attaque et fournissent les données nécessaires à la détection de la source de l'attaque et des méthodes utilisées.
L'avantage de Panorama est une vue centralisée et consolidée des schémas et des journaux collectés auprès des
pare-feux gérés sur votre réseau. Utilisé seul ou avec les rapports et les journaux générés par SIEM (Gestion des
événements d'informations de sécurité) les informations sur les attaques relatives peuvent être utilisées pour
étudier comment une attaque a été déclenchée, et comment éviter les attaques futures et les pertes et les
dommages à votre réseau.
Les questions que nous allons examiner dans cette section sont :
 Comment êtes-vous averti d'un incident ?
 Comment vérifiez-vous que l'incident n'est pas un faux positif ?
 Quelle est votre ligne de conduite immédiate ?
 Comment utiliser les informations disponibles pour recréer la séquence des événements qui ont précédé ou
suivi l'événement déclenché ?
 Quels sont les changements que vous devez envisager pour sécuriser votre réseau ?
Dans ce cas pratique, nous allons reprendre un incident spécifique et vous montrer comment les outils de
visibilité de Panorama vous aideront à répondre au rapport.
Il existe plusieurs façons de vous alerter d'un incident en fonction de la configuration des périphériques Palo
Alto Networks et des outils de tiers qui sont disponibles pour une analyse approfondie. Vous pouvez recevoir
une notification par message électronique déclenchée par une entrée de journal enregistrée dans Panorama ou
sur votre serveur Syslog, vous pouvez être informé via un rapport spécialisé généré par votre solution SIEM,
ou un service ou une solution tiers payant peuvent vous avertir. Pour cet exemple, disons que vous recevez une
notification par message électronique de la part de Panorama. Ce message vous informe d'un événement a été
déclenché par une alerte pour Zero Access gent. Gen. Command et Control Traffic, et correspond à une signature
de logiciel espion. Le message électronique mentionne également l'adresse IP de la source et de la destination
de la session, un ID de menace et l'horodatage du moment où l'événement a été consigné.
Pour commencer l'examen de l'alerte, utilisez l'ID de menace pour effectuer des recherches dans les journaux
de menaces sur Panorama (Surveillance > Journaux > Menace). Depuis les journaux de menaces, vous pouvez
trouver l'adresse IP de la victime, exporter la capture de paquet (pcap, qui correspond à une icône représentant
une flèche verte) et utiliser un outil d'analyse réseau tel que WireShark pour voir les détails du paquet. Dans le
cas de HTTP, recherchez le REFERER HTTP mal formé ou défectueux dans le protocole, l'hôte suspect, les
chaînes d'URL, l'agent utilisateur, l'adresse IP et le port afin de valider l'incident. Les données de ces pcap sont
également utiles en cas de recherche des modèles de données similaires et de création de signatures
personnalisées, ou pour modifier la politique de sécurité pour mieux affronter la menace dans l'avenir.

Surveiller l'activité réseau Cas pratique : Utiliser Panorama pour remédier à un incident
Grâce à ce manuel, si vous vous fiez à la signature, envisagez de passer la signature d'une action d'alerte à une
action d'interdiction, pour une approche plus agressive. Dans certains cas, vous pouvez choisir d'ajouter l'IP du
pirate à une liste d'interdiction pour éviter qu'un trafic quelconque émanant de cette adresse IP n'atteigne le
réseau interne.
Si vous détectez une signature de logiciel espion basée sur DNS, l'adresse IP de votre serveur DNS local
peut s'afficher comme adresse IP Victime. Souvent, c'est parce que le pare-feu se trouve en amont du
serveur local DNS, et donc, les demandes DNS désignent le serveur DNS local comme IP source, et
ne montrent pas l'adresse IP du client à l'origine de la demande.
Si vous rencontrez ce problème, activez l'action Mise en entonnoir DNS dans le profil antispyware de
la politique de sécurité afin d'identifier les hôtes infectés sur votre réseau. La mise en entonnoir DNS
vous permet de contrôler les connexions sortantes vers des domaines malveillants et de rediriger les
requêtes DNS vers une adresse IP interne inutilisée (l'entonnoir qui ne renvoie pas de réponse).
Lorsqu'un hôte compromis initie une connexion à un domaine malveillant, au lieu de l'envoyer sur
Internet, le pare-feu redirige la requête vers l'adresse IP que vous avez définie où elle est mise en
entonnoir. La consultation des journaux du trafic pour tous les hôtes qui se sont connectés à l'entonnoir
vous permet désormais de localiser tous les hôtes compromis et de prendre des mesures correctives
pour éviter la propagation des logiciels malveillants.
Pour poursuivre les investigations sur l'incident, utilisez les informations sur l'adresse IP du pirate et de la
victime pour découvrir d'autres informations, notamment :
 Où se trouve le pirate, d'un point de vue géographique ? S'agit-il d'une adresse IP individuelle ou d'une
adresse IP NATée ?
 L'événement a-t-il été causé par un utilisateur piégé suite à la consultation d'un site, un téléchargement ou
a-t-il été envoyé par le biais d'une pièce jointe à un courrier électronique ?
 Le logiciel s'est-il propagé ? Y a-t-il d'autres hôtes/points d'extrémité du réseau compromis ?

 S'agit-il d'une vulnérabilité au jour zéro ?
Les détails du journal de chaque entrée de journal affiche les Journaux associés à l'événement. Ces
informations désignent le trafic, la menace, le filtrage des URL ou d'autres journaux que vous pouvez consulter
et font des associations entre les événements ayant mené à l'incident. Par exemple, filtrez le journal du trafic
(Surveillance > Journaux > Trafic) en utilisant l'adresse IP à la fois comme source et destination IP pour avoir une
image complète des hôtes/clients internes avec lesquels l'adresse IP de la victime a établi une connexion.

Outre les journaux des menaces, utilisez l'adresse IP de la victime pour assurer le filtrage par le biais des journaux
Envois WildFire. Les journaux Envois WildFire contiennent des informations sur les fichiers téléchargés vers le
service WildFire pour analyse. Comme les logiciels espions se cachent, la consultation des journaux WildFire
vous permet de savoir si la victime a récemment téléchargé un fichier suspect. Le rapport de recherche WildFire
affiche des informations sur l'URL sur laquelle le fichier ou l'exe a été obtenu, et le comportement de son
contenu. Il vous dit si le fichier est malveillant, s'il a modifié des clés de recherche, s'il a lu/écrit dans les fichiers,
s'il a ouvert des canaux de communication, s'il a causé des pannes d'applications, s'il s'est intégré a des processus,
s'il a téléchargé des fichiers ou présenté d'autres comportements malveillants. Utilisez cette information pour
déterminer si vous devez bloquer l'application à l'origine de l'infection (navigation sur le Web, SMTP, FTP),
élaborer des politiques de filtrage d'URL plus strictes, restreindre des applications/actions telles que des
téléchargements de fichier pour des groupes d'utilisateurs spécifiques.
L'accès aux journaux WildFire de Panorama nécessite la configuration minimale suivante : un

abonnement à WildFire, un profil d'interdiction des fichiers associés à une politique de sécurité, et un
journal des menaces transféré vers Panorama.
Si WildFire détermine que le fichier est malveillant, une nouvelle signature antivirus est créée dans un délai de
24 à 48 heures et est mise à votre disposition. Si vous disposez d'un abonnement WildFire, la signature est
disponible dans un délai de 30 à 60 minutes, et est intégrée à la mise à jour des signatures suivantes de WildFire.
Aussitôt que le pare-feu de prochaine génération Palo Alto Networks a reçu la signature obtenue, votre
configuration est adaptée pour bloquer le fichier malveillant, le fichier est bloqué et les informations sur le fichier
bloqué apparaissent sur votre journal de menaces. Cette procédure est étroitement intégrée,pour vous protéger
de cette menace, et évite la propagation de logiciels malveillants sur votre réseau.
Le journal de filtrage des données (Surveillance > Journaux > Filtrage des données) est lui aussi une source
précieuse pour enquêter sur les activités malveillantes sur votre réseau. Vous pouvez régulièrement consulter les
journaux de tous les fichiers pour lesquels vous avez été alerté, et vous pouvez également utiliser les journaux
pour suivre les transferts de fichier et de données depuis ou vers l'adresse IP de la victime ou de l'utilisateur, et

Surveiller l'activité réseau Cas pratique : Utiliser Panorama pour remédier à un incident
vérifier la direction et le flux du trafic serveur vers client ou client vers serveur. Pour recréer les événements qui
ont précédé et suivi un événement, filtrez les journaux de l'adresse IP de la victime comme destination, et
consultez les journaux d'activité réseau.
Comme Panorama agrège les informations de tous les périphériques gérés, il présente un bon aperçu de toute
activité de votre réseau. Parmi les autres outils visuels que vous pouvez utiliser pour surveiller le trafic de votre
réseau on trouve : Carte de menaces, Carte de trafic et le surveillance des menaces. La carte de menaces et la carte
de trafic (Surveillance > Portée d'application > Carte de menaces ou Carte de trafic) vous permettent de visualiser
les zones géographiques du trafic entrant ou sortant. Elle peut s'avérer particulièrement utile pour afficher
l'activité inhabituelle qui pourrait indiquer une attaque possible de l'extérieur, par exemple, une attaque DDoS.
Si par exemple, vous n'avez pas beaucoup de transactions avec l'Europe de l'est et que la carte révèle un niveau
anormal de trafic dans cette région, cliquez dans la zone correspondante de la carte pour lancer et afficher les
informations ACC des principales applications, les détails du trafic des chiffres de session, les octets recrus et
envoyés, les sources et les destinations principales, les utilisateurs ou les adresses IP, et la gravité des menaces
détectées, le cas échéant. L'écran de menaces (Surveillance > Portée d'application > Surveillance des menaces)
affiche les dix principales menaces présentes sur votre réseau, ou la liste des principaux pirates ou des principales
victimes sur le réseau.
Avec toutes les informations que vous avez découvertes, vous pouvez maintenant voir l'impact des menaces sur
le réseau (le niveau de l'attaque, sa source, les hôtes compromis, le facteur de risque) et évaluer les modifications
et, le cas échéant, le suivi. Voici quelques suggestions à prendre en compte :
 Prévenir les attaques DDoS en améliorant votre profil DOS pour configurer l'abandon précoce ou l'abandon
SYN des cookies de flood TCP. Envisagez de limiter le trafic ICMP ou UDP. Évaluez les options que vous
avez en fonction des tendances et des modèles que vous avez remarqués dans vos journaux, et mettez en
œuvre les modifications à l'aide des modèles Panorama.

Créez une liste d'interdiction dynamique (Objets > Listes d'interdiction dynamique), pour bloquer des adresses
IP que vous avez découvertes à partir de plusieurs sources d'intelligence : analyse de vos propres journaux
de menaces, attaques DDOS de la part d'adresses IP spécifiques, ou liste d'interdiction d'adresses IP de tiers
spécifiques.
La liste doit se présenter sous forme de fichier texte localisé sur un serveur Web. En utilisant des groupes de
périphériques sur Panorama, transmettez l'objet à des pare-feux gérés pour qu'ils puissent accéder des
serveurs Web et importez la liste à une fréquence définie. Après avoir créé un objet de liste d'interdiction
dynamique, définissez la politique de sécurité qui utilise l'objet d'adresse dans les champs source et de
destination pour bloquer le trafic à partir ou vers l'adresse IP, la plage ou le sous-réseau défini. Cette approche
vous permet de bloquer les intrus jusqu'à ce que vous résolviez le problème ou apportiez des changements
de politique à un niveau plus large pour sécuriser votre réseau.
 Déterminez si vous devez créer des politiques partagées ou créer des politiques de groupe de périphériques
pour bloquer les spécifications particulières pour les applications ayant causé l'infection (navigation sur le
Web, SMTP, FTP), élaborer des politiques de filtrage d'URL plus strictes, restreindre des
applications/actions telles que des téléchargements de fichier à des groupes d'utilisateurs spécifiques.
 Sur Panorama, vous pouvez également changer de contexte de périphérique et configurer le pare-feu pour
les rapports de botnet qui identifient des hôtes infectés par des robots sur le réseau.

Haute disponibilité Panorama
La haute disponibilité Panorama (HD) est une configuration dans laquelle deux serveurs Panorama sont réunis
dans un groupe (cluster de deux périphériques) pour fournir une redondance en cas de défaillance système ou
réseau. Panorama en HD assure la continuité des tâches d'administration et de surveillance centralisées des
pare-feux pour protéger votre réseau. Cette section contient les rubriques suivantes :
 Présentation de la haute disponibilité
 Configurer une paire haute disponibilité Panorama
 Mettre à niveau Panorama en haute disponibilité

Présentation de la haute disponibilité Haute disponibilité Panorama
Présentation de la haute disponibilité

Panorama offre un volet central unique pour configurer, surveiller et créer des rapports sur les pare-feux Palo
Alto Networks. Panorama en HD propose la redondance des fonctions de gestion centralisée et de création de
rapports au sein de votre déploiement.
Rapports
Panorama en haute disponibilité
Principal actif
Secondaire passif Collecteur de journaux
Politique de groupe de périphériques Journaux
Pour configurer Panorama en HD, vous avez besoin d'une paire de serveurs Panorama identiques présentant
tous les deux la configuration minimale requise :
 le même format : tous les deux doivent être des appareils basés sur matériel (appareils M-100), ou des
appareils virtuels. Pour la HD, les appareils M-100 doivent être en mode Panorama. La haute disponibilité
n'est pas prise en charge sur une paire d'appareils M-100 configurés en tant que collecteurs de journaux.
 La même version de système d'exploitation Panorama : les deux doivent exécuter la même version de
Panorama afin de synchroniser les informations de configuration et de maintenir la parité pour un
basculement transparent.
 Le même ensemble de licences : doivent acheter et installer les mêmes licences de capacité de gestion de
périphérique pour chaque Panorama.
 (Appareil virtuel Panorama uniquement) Numéro de série unique : chaque appareil virtuel Panorama
doit avoir un numéro de série unique. Si le numéro de série est dupliqué, les deux instances de Panorama
seront placées en mode suspendu jusqu'à ce que vous résolviez le problème.
Les serveurs Panorama dans la configuration HD sont des homologues et chaque homologue doit être utilisé
pour gérer de façon centralisée les périphériques avec quelques exceptions. Les homologues HD utilisent le port
de gestion pour synchroniser les éléments de configuration transférés avec les périphériques gérés et conserver
les informations d'état. En général, les homologues HD sont situés sur des sites différents d'un point de vue
géographique, et vous devez donc vous assurer que l'adresse IP du port de gestion affectée à chaque homologue
peut être routée via votre réseau. La connectivité HD utilise le port TCP 28 sur lequel est activé le cryptage. Si
le cryptage n'est pas activé, les ports 28769 et 28260 sont utilisés pour la connectivité HD et pour synchroniser
la configuration entres les homologues HD.
Chaque périphérique de la paire HD se voit affecter une valeur de priorité. La valeur de priorité de l'appareil
principal ou secondaire détermine l'homologue Panorama qui sera utilisé comme point d'administration principal
et de gestion de journal. L'homologue défini en tant que principal implique l'état actif, et le secondaire devient passif.

Haute disponibilité Panorama Présentation de la haute disponibilité
Le périphérique actif gère tous les changements de configuration et les transmet aux pare-feux gérés. Le
périphérique passif ne peut pas exécuter de changement de configuration ou transmettre la configuration des
périphériques gérés. Cependant, l'un ou l'autre des homologues peut être utilisé pour exécuter des rapports ou
lancer des requêtes sur les journaux.
L'homologue passif est synchronisé et prêt à entamer la transition vers l'état actif au cas ou une défaillance
surviendrait sur un chemin d'accès, un lien, un système ou un réseau du périphérique actif.
Déclencheurs de basculement
Lorsqu'une panne survient sur le périphérique actif et si le périphérique passif assume la tâche consistant à gérer
les pare-feux, l'événement est appelé basculement. Un basculement est déclenché lorsqu'une des mesures
surveillées du périphérique actif échoue. Cette défaillance fait passer l'état du Panorama principal de Principal actif
à Principal passif et l'appareil Panorama secondaire devient Secondaire actif.
Les conditions déclenchant un basculement sont :
 Les homologues Panorama ne peuvent pas communiquer entre eux et l'homologue actif ne répond pas aux
sondages d'état et de statut ; La mesure utilisée est Sondage de pulsation et messages Hello.
Lorsque les homologues Panorama ne peuvent pas communiquer entre eux, l'homologue actif surveille si les
périphériques sont toujours connectés avant de déclencher un basculement. Ce contrôle permet d'éviter un
basculement et cause un scénario de division, où les deux homologues Panorama se trouvent à l'état actif.
 Une ou plusieurs destinations (adresses IP) spécifiées sur l'homologue actif n'ont pas pu être jointes. La
mesure utilisée est Surveillance des chemins.
Outre les déclenchements de basculement répertoriés ci-dessus, un basculement se produit également lorsque
l'administrateur met le périphérique à l'état suspendu ou en cas de préemption. La préemption précise qu'à une
reprise après défaillance (ou une suspension initiée par l'utilisateur), l'appareil Panorama principal doit être
privilégié pour reprendre le rôle actif. Par défaut, la préemption est activée et lorsque l'appareil Panorama
principal reprend après une défaillance et devient disponible. L'appareil Panorama secondaire perd le contrôle
et revient à l'état passif. En cas de préemption, l'événement est consigné dans le journal système.
Si vous vous connectez à un magasin de données NFS, ne désactivez pas la préemption, car elle permet à
l'homologue principal (monté sur le NFS) de reprendre le rôle actif et d'écrire sur le magasin de données NFS.
Pour tous les autres déploiements, la préemption n'est requise que si vous voulez vous assurer qu'un
périphérique spécifique est le périphérique actif privilégié.
Sondage de pulsation et messages Hello
Les homologues HD utilisent les messages hello et les pulsations pour vérifier que l'homologue est réactif et
opérationnel. Les messages Hello sont envoyés d'un homologue vers un autre pendant l'Intervalle Hello pour
vérifier l'état de l'autre. La pulsation est une requête ping ICMP envoyée à l'homologue, qui répond au ping pour
vérifier que les périphériques sont connectés et répondent. Par défaut, l'intervalle de pulsation est de
1 000 millisecondes et 8 000 ms pour les messages hello.

Surveillance des chemins
La surveillance de chemin contrôle la connectivité de réseau et l'état des liaisons d'une adresse IP spécifiée.
L'homologue actif utilise des requêtes ping ICMP pour vérifier qu'une ou plusieurs adresses IP de destination
peuvent être jointes. Vous pouvez par exemple surveiller la disponibilité de périphériques réseau tels qu'un
routeur ou un commutateur, la connectivité au serveur ou d'un autre périphérique vital qui fait partie du flux du
trafic. Assurez-vous que le nœud/périphérique que vous surveillez n'a pas tendance à être non réactif, surtout
lors de son chargement, car ceci pourrait entraîner un échec de surveillance du chemin et déclencher un
basculement.
L'intervalle ping par défaut est de 5 000 ms. L'adresse IP est considérée comme inaccessible lorsque trois
requêtes ping à la suite (à la valeur par défaut) échouent, et qu'un échec de périphérique est déclenché lorsqu'une
ou toutes les adresses IP surveillées deviennent inaccessibles. Par défaut, si l'une des adresses IP devient
inaccessible, l'état HD passe à non fonctionnel.
Remarques sur la journalisation en HD
La configuration de Panorama dans une configuration HD fournit la redondance pour la collecte de journaux.
Comme les services gérés sont connectés aux deux homologues Panorama sur SSL, lorsqu'un changement d'état
survient, chaque Panorama envoie un message aux périphériques connectés. Les périphériques sont informés
de l'état HD de Panorama et peuvent transmettre les journaux en conséquence.
Les options de journalisation du matériel Panorama et de l'appareil virtuel Panorama diffèrent.
Par défaut, lorsque les services gérés ne parviennent pas se connecter à Panorama (l'appareil M-100 et
l'appareil virtuel Panorama), ils mettent les journaux en mémoire tampon ; lorsque la connexion est
rétablie, ils reprennent l'envoi des journaux là où ils se sont arrêtés.
Basculement de journalisation sur l'appareil virtuel Panorama
Sur l'appareil virtuel Panorama, vous disposez des options suivantes :
 Journalisation vers un disque virtuel : par défaut, les périphériques gérés envoient les journaux aux deux
homologues de la paire HD. Les journaux sont envoyés sous forme de flux de journaux distincts à chacun
des homologues HD Panorama. Lorsqu'un homologue devient inaccessible, par défaut, les périphériques
gérés mettent les journaux en mémoire tampon et lorsque l'homologue se reconnecte, ils reprennent l'envoi
des journaux là où ils se sont arrêtés (en fonction de la capacité de stockage disque et de la durée de la
déconnexion).
La journalisation vers un disque virtuel fournit une redondance de journalisation. Cependant, la capacité de
stockage de journaux est limitée à un maximum de 2 To.

L'option de transfert des journaux vers l'homologue actif est configurable (pour modifier cette option,
reportez-vous à la section Modifier les paramètres de transfert des journaux et de mise en mémoire
tampon par défaut). Cependant, l'agrégation de journaux n'est pas prise en charge sur la paire HD.
Alors, si vous vous connectez à un disque virtuel ou à un disque local, pour la surveillance et les
rapports, vous devez interroger l'homologue Panorama qui collecte les journaux auprès des
 Journalisation vers un partage de fichiers réseau (NFS) : lorsqu'il est configuré pour utiliser un NFS,
seul le périphérique principal actif est monté sur la partition de journaux basée sur NFS et peut recevoir les
journaux. Au basculement, le périphérique principal passe à l'état Principal passif. Dans ce scénario, avant la
préemption, l'appareil Panorama secondaire actif gère les périphériques, mais il ne reçoit pas les journaux et
ne peut pas les écrire sur le NFS. Pour permettre à l'homologue actif de se connecter au NFS, vous devez le
faire passer en principal manuellement pour qu'il puisse être monté sur la partition NFS. Pour obtenir des
instructions, reportez-vous à la section Commuter la priorité pour reprendre la journalisation NFS.
Basculement de journalisation sur un appareil M-100
Si vous utilisez une paire d'appareils M-100 (en mode Panorama), les périphériques gérés peuvent envoyer des
journaux un seul homologue de la paire HD, que ce soit l'homologue actif ou l'homologue passif. Contrairement
au déploiement Panorama virtuel, vous pouvez configurer les périphériques de manière à envoyer les journaux
aux deux homologues ; les disques RAID sur l'appareil M-100 vous protègent contre toute défaillance du disque
et perte de journaux.
Si vous avez configuré la collecte de journaux distribuée là où les périphériques gérés envoient des journaux à
un collecteur de journaux dédié, les homologues Panorama en HD interrogent les collecteurs de journaux gérés
pour obtenir des informations de journaux agrégés.
Priorité et basculement
Lorsqu'un basculement se produit, seul l'état actif ou passif des modifications de périphérique change. La
priorité (principal et secondaire) ne change pas. Par exemple, lorsque l'homologue principal échoue, son état
passe de principal actif à principal passif.
Un homologue à l'état secondaire actif peut exécuter toutes les fonctions, à deux exceptions près :
 il ne peut pas gérer les fonctions de déploiement de périphérique telles que les mises à jour de licence ou les
mises à jour logicielles sur les pare-feux gérés.
 il ne peut pas se connecter à un NFS jusqu'à ce que vous ayez manuellement fait passer sa priorité sur
principal. (Appareil virtuel Panorama uniquement)

Le tableau qui suit répertorie les fonctionnalités de Panorama en fonction de son état et des paramètres de
priorité :
Fonctionnalité Principal actif Principal passif Secondaire actif
Secondaire passif
Changer de contexte de
périphérique
Exécuter des rapports distribués
Gérer la politique partagée
Se connecter au disque local
(Facultatif uniquement (Facultatif uniquement

sur l'appareil virtuel sur l'appareil virtuel
Panorama) Panorama)
Se connecter à une partition NFS

(Appareil virtuel Panorama
uniquement)
Déployer des logiciels et des

licences
Exporter la configuration de
Panorama
Quels sont les paramètres qui ne sont pas synchronisés entre les
homologues HD ?
Les homologues HD Panorama synchronisent la configuration en cours à chaque fois que vous validez les
modifications sur l'homologue Panorama actif. La configuration candidate est synchronisée entre les
homologues à chaque fois que vous enregistrez la configuration sur l'homologue actif ou juste avant que le
basculement n'ait lieu.
Les paramètres communs sur la paire, tels que les objets et les politiques partagés, les objets et les politiques de
groupe de périphériques, la configuration de modèle et la configuration d'accès administratif, sont synchronisés
d'un homologue Panorama HD à l'autre.

Les paramètres qui ne sont pas synchronisés sont ceux qui sont uniques pour chaque homologue, par exemple :
 La configuration Panorama HD : paramètre de priorité, adresse IP d'homologue, groupes de surveillance de

chemin et adresses IP.
 La configuration Panorama : adresse IP de port de gestion, paramètres FQDN, bannière de connexion,

serveur NTP, fuseau horaire, emplacement géographique, serveur DNS, adresses IP autorisées pour l'accès
à Panorama.
 La configuration de partition NFS et toutes les affectations de quota de disque pour la journalisation.
 Affectation de quota de disque pour les différents types de journaux et bases de données sur l'espace de
stockage local de Panorama (SSD).
Si vous utilisez une clé principale pour crypter les clés privées utilisées sur Panorama, la même clé
principale doit être utilisée pour crypter les clés privées et les certificats sur les deux homologues de la
paire HD. Si les clés principales sont différentes, la configuration HD entre les deux homologues ne
sera pas synchronisée.

Configurer une paire haute disponibilité Panorama Haute disponibilité Panorama
Configurer une paire haute disponibilité Panorama

Assurez-vous de bien regarder la configuration requise dans la section Présentation de la haute disponibilité
avant de configurer une paire HD Panorama :
 Définir la haute disponibilité sur Panorama
 Contrôler le basculement
 (Appareil virtuel Panorama uniquement) Commuter la priorité pour reprendre la journalisation NFS
Définir la haute disponibilité sur Panorama
Connecter et configurer les périphériques
Étape 1 Définissez la connectivité entre les ports Les homologues Panorama communiquent entre eux par le biais du
MGT et les homologues HD. port MGT. Assurez-vous que les adresses IP que vous affectez au
port MGT sur les serveurs de Panorama dans la paire HD peuvent
être acheminées et que les homologues peuvent communiquer entre
eux via votre réseau. Pour configurer le port MGT, reportez-vous à
la section Configurer Panorama.
Sélectionnez un périphérique dans la paire et procédez comme suit :
Étape 2 Activez HD et le cryptage de la connexion 1. Sélectionnez l'onglet Panorama > Haute disponibilité.
HD. Modifiez la section Configuration.
2. Sélectionnez Activer la HD.
3. Saisissez l'adresse IP affectée au périphérique homologue dans
Adresse IP des HD homologues.
4. (Facultatif) Pour activer le cryptage, sélectionnez Cryptage
activé et exécutez les tâches suivantes :
a. Sélectionnez Panorama > Gestion des certificats >
Certificats.
b. Sélectionnez Exporter la clé HD. Enregistrez la clé HD sur
un emplacement réseau auquel le périphérique homologue
peut accéder.
c. Sur le périphérique homologue, accédez à Panorama >
Gestion des certificats > Certificats, et sélectionnez
Importer la clé HD pour accéder à l'emplacement auquel
vous avez enregistré la clé, puis importez-la.

Haute disponibilité Panorama Configurer une paire haute disponibilité Panorama
Connecter et configurer les périphériques (suite)
Étape 3 Définissez la priorité. 1. Dans Panorama > Haute disponible, modifiez la section
Paramètres de sélection.
2. Définissez la Priorité du périphérique en tant que Principal ou
Secondaire. Assurez-vous de définir un homologue comme
principal, et l'autre comme secondaire.
Remarque Si les deux homologues ont le même paramètre de
priorité, l'homologue portant le numéro de série le plus
élevé sera placé à l'état suspendu.
3. Définissez le comportement préemptif. Par défaut, la
préemption est activée. La sélection de préemption (activée ou
désactivée) doit être la même sur les deux homologues.
Remarque Si vous utilisez un NFS pour la journalisation et si vous
avez désactivé la préemption, pour reprendre la
journalisation sur le NFS, reportez vous à la section
Commuter la priorité pour reprendre la journalisation
NFS.
Étape 4 Pour configurer la surveillance de chemin, 1. Sélectionnez l'onglet Panorama > Haute disponibilité, puis
définissez un ou plusieurs groupes de cliquez sur Ajouter dans la section Groupe de chemins.
chemins. 2. Saisissez un Nom pour le groupe de chemins.
Le groupe de chemins répertorie les 3. Cliquez sur Ajouter et saisissez les adresses IP de destination
adresses IP (nœuds) sur lesquelles que vous souhaitez surveiller.
Panorama doit envoyer une requête ping 4. Sélectionnez une Condition d'échec (toutes ou indifférent) de
afin de vérifier la connectivité réseau. ce groupe.
• La condition d'échec indifférent déclenche un échec de
surveillance de lien si l'une des adresses IP devient
inaccessible
• toutes déclenche un échec de surveillance de lien
uniquement si aucune des adresses ¨IP n'est accessible.
Le groupe de chemins est ajouté au groupe de chemins.
5. Répétez les étapes 1 à 4 ci-dessus pour ajouter d'autres groupes

de chemins incluant les nœuds que vous souhaitez surveiller.

Connecter et configurer les périphériques (suite)
Étape 5 (Facultatif) Sélectionnez la condition Sélectionnez Panorama > Haute disponibilité et sélectionnez une
d'échec pour la surveillance de chemin sur Condition d'échec de la section Surveillance des chemins.
Panorama. • La condition d'échec toutes déclenche un basculement
uniquement lorsque tous les groupes de chemins surveillés
échouent.
• Le paramètre par défaut est indifférent. Un basculement est
déclenché lorsqu'un des groupes de chemins surveillés
échoue.
Étape 6 Sauvegardez les modifications apportées Cliquez sur Valider, sélectionnez Panorama dans l'option Type de
à la configuration. validation, puis cliquez sur OK.
Étape 7 Configurez l'autre homologue Panorama. Répétez l'étape 2 à l'étape 6 sur l'autre homologue de la paire HD.
Étape 8 Vérifiez que les serveurs Panorama sont Une fois que vous avez terminé de configurer les deux serveurs
appariés en HD. Panorama pour HD :
1. Accédez au Tableau de bord de chaque appareil Panorama, et
afficher le widget Haute disponibilité.
2. Confirmez que les serveurs Panorama sont appariés et
synchronisés, comme indiqué ci-dessous :
Sur le Panorama passif : L'état de Sur le Panorama actif : L'état de l'homologue local doit afficher
l'homologue local doit afficher passif et la actif et la configuration doit être synchronisée.
configuration doit être synchronisée.
Contrôler le basculement
Pour vérifier que votre configuration HD fonctionne correctement, déclenchez un basculement manuel et
vérifiez que l'homologue passe d'un état à l'autre facilement.
Vérification d'un basculement
Étape 1 Connectez-vous à l'homologue Vous pouvez vérifier l'état du serveur Panorama dans l'angle inférieur
Panorama actif. droit de l'interface Web.

Haute disponibilité Panorama Configurer une paire haute disponibilité Panorama
Vérification d'un basculement
Étape 2 Suspendez l'homologue Panorama actif. Sélectionnez Panorama > Haute disponibilité, puis cliquez sur le
lien Suspendre le Panorama local dans la section Commandes
opérationnelles.
Étape 3 Vérifiez que l'homologue Panorama Sur le Tableau de bord Panorama, vérifiez que l'état du serveur
passif est passé à l'état actif. passif passe à actif dans le widget Haute disponibilité. Vérifiez
également que l'état de l'homologue est passé à Suspendu.
Étape 4 Restaurez l'homologue suspendu à l'état Sur l'appareil Panorama que vous avez suspendu au préalable :
fonctionnel. Patientez quelques minutes, 1. Dans la section Commandes opérationnelles de l'onglet
puis vérifiez que la préemption s'est Périphérique > Haute disponibilité, cliquez sur le lien Rendre
produite, si le mode préemptif a été activé. le Panorama local fonctionnell.
2. Dans le widget Haute disponibilité sur le Tableau de bord,
confirmez que le Panorama (Local) est devenu l'homologue actif
et que l'autre homologue est maintenant à l'état passif.
Commuter la priorité pour reprendre la journalisation NFS
La prise en charge du mécanisme de journalisation basé sur NFS (Network File Share) n'est disponible
que sur l'appareil virtuel Panorama.
Lorsqu'une paire HD Panorama est configurée pour utiliser un mécanisme de journalisation basé sur NFS
(Network File Share), seul l'homologue Panorama principal est monté sur la partition de journaux basée sur NFS
et peuvent écrire sur le NFS. Lorsqu'un basculement se produit, et lorsque le Panorama passif devient actif, son
état est secondaire actif. Bien que l'homologue Panorama secondaire puisse activement gérer les périphériques, il
ne peut pas recevoir des journaux ou écrire sur le NFS, car il ne possède pas de partition NFS. Lorsque le
périphérique géré ne peut pas transférer les journaux vers l'homologue principal Panorama, les journaux sont
écrits sur le disque local de chaque périphérique. Les périphériques gardent un pointeur sur le dernier ensemble
d'entrées de journaux transféré vers Panorama, de sorte que lorsque principal actif redevient disponible, ils
peuvent reprendre le transfert des journaux vers ce dernier.

Utilisez les instructions de cette section pour passer à la priorité manuellement sur l'homologue Panorama
secondaire actif pour qu'il puisse commencer la journalisation vers la partition NFS. Voici quelques scénarios types
pour lesquels vous pourriez avoir besoin de déclencher ce changement :
 La préemption est désactivée. Par défaut, la préemption est activée sur Panorama et l'homologue principal
reprend en tant qu'actif lorsqu'il redevient disponible. Lorsque la préemption est désactivée, vous devez faire
passer la priorité de l'homologue secondaire sur principal pour qu'il puisse monter la partition NFS, recevoir
des journaux sur les périphériques gérés, et écrire sur la partition NFS.
 Le Panorama actif échoue et ne peut pas récupérer de son échec à court terme.
Si vous ne modifiez pas la priorité, lorsque la capacité de stockage maximale du pare-feu est atteinte, les
journaux les plus anciens sont écrasés pour lui permettre de poursuivre la journalisation sur son disque local.
Cette situation peut entraîner la perte de journaux.
Changer la priorité sur Panorama
Étape 1 Mettez le Panorama principal passif Sélectionnez Panorama > Configuration > Opérations, puis cliquez
actuel hors tension. sur Arrêter Panorama dans la section Opérations périphérique.
Étape 2 Changez la priorité sur le Panorama 1. Sélectionnez Panorama > Haute disponibilité.
secondaire actif. 2. Modifiez la section Paramètres de sélection pour changer la
Priorité en Principal
À la validation, vous pourrez être invité à redémarrer. Ne redémarrez
pas encore.
Étape 4 Se connecter à l'interface de ligne de Dans l'interface de ligne de commande, saisissez la commande
commande et modifiez la propriété de la suivante :
partition NFS sur cet homologue. request high-availability
convert-to-primary
Étape 5 Redémarrez Panorama. Sélectionnez Panorama > Configuration > Opérations, puis cliquez
sur Redémarrer Panorama dans la section Opérations
périphérique.
Lorsque Panorama redémarre, il est monté de façon dynamique sur
le NFS. En tant qu'homologue principal actif, ce Panorama peut
maintenant écrire dans NFS.
Étape 6 Mettez l'homologue Panorama que vous

avez arrêté à l'étape 1 sous tension.
Cet homologue devrait maintenant être à
l'état secondaire passif.

Haute disponibilité Panorama Mettre à niveau Panorama en haute disponibilité
Mettre à niveau Panorama en haute disponibilité

Pour garantir un basculement transparent, les homologues principal et secondaire d'une paire HD doivent être
dotés de la même version de Panorama et des mêmes versions d'applications et de base de données de menaces.
L'exemple qui suit montre comment mettre à niveau une paire HD avec un homologue principal actif nommé
Principal_A et un homologue secondaire passif nommé Secondaire_B.
Mettre à niveau Panorama
Étape 1 Mettez à niveau la version logicielle de Pour les instructions de mise à niveau, reportez-vous à la section
Panorama sur Secondaire_B, Installer les mises à jour de contenu et le logiciel Panorama.
l'homologue secondaire passif. À la mise à jour, ce Panorama passera à l'état non fonctionnel parce
que la version du système d'exploitation ne correspond pas à celle de
son homologue.
Étape 2 Suspendre Principal_A pour déclencher Dans l'onglet Panorama > Haute disponibilité sur Principal_A :
un échec. 1. Cliquez sur le lien Suspendre le Panorama local dans la section
Commandes opérationnelles pour suspendre cet homologue.
2. Vérifiez que l'état est suspendu. L'état s'affiche dans l'angle

inférieur droit de l'interface Web.
Le fait de placer Principal_A en mode suspendu déclenche un
basculement et Secondaire_B passe à l'état secondaire actif.
Étape 3 Mettez à niveau la version logicielle de Pour les instructions de mise à niveau, reportez-vous à la section
Panorama sur Principal_A. Installer les mises à jour de contenu et le logiciel Panorama.
Au redémarrage, Principal_A passe d'abord à l'état principal passif.
Ensuite, comme la préemption est activée par défaut, Principal_A
passe directement à l'état principal actif et Secondaire_B revient à
l'état secondaire passif.
Si vous avez désactivé la préemption, consultez la section Restaurer
le serveur principal à l'état actif pour restaurer Principal_A à l'état
actif.
Étape 4 Vérifiez que la version logicielle Sur le tableau de bord de chaque homologue Panorama, vérifiez que
Panorama et les autres versions de base de la version de logiciel Panorama, la version des menaces et les versions
données de contenu sont les mêmes sur d'application correspondent et que la configuration en cours est
les deux homologues. synchronisée avec l'homologue.
Restaurer le serveur principal à l'état actif
Par défaut, la fonctionnalité de préemption sur Panorama permet au Panorama principal de reprendre son
fonctionnement d'homologue actif aussitôt qu'il devient disponible. Cependant, si la préemption est désactivée,
le seul moyen de forcer l'appareil Panorama principal à devenir actif à la reprise après un échec, un état non
fonctionnel ou suspendu, consiste à suspendre l'homologue Panorama secondaire.

Mettre à niveau Panorama en haute disponibilité Haute disponibilité Panorama
Avant que le Panorama secondaire actif passe à l'état suspendu, il transfère la configuration candidate au
périphérique passif, de sorte que les modifications de configuration non validées sont enregistrées et accessibles
sur l'autre homologue.
Suspendre Panorama
Étape 1 Suspendez Panorama. 1. Connectez-vous à l'homologue Panorama que vous souhaitez

mettre en mode suspendu.
2. Sélectionnez Panorama > Haute disponibilité, puis cliquez sur
le lien Suspendre le Panorama local dans la section
Commandes opérationnelles.
Étape 2 Vérifiez que l'état s'affiche et que le Sur le widget Haute disponibilité sur le tableau de bord, vérifiez que
périphérique a été suspendu à la demande l'état s'affiche en tant que suspendu.
de l'utilisateur.
Un basculement est déclenché lorsque vous suspendez un

homologue et que l'autre Panorama endosse le rôle d'homologue
actif.
Restaurer Panorama à l'état fonctionnel
Pour restaurer l'appareil Panorama suspendu à l'état 1. Cliquez sur le lien Rendre le Panorama local fonctionnel dans
fonctionnel. la section Commandes opérationnelles de l'onglet Panorama >
Haute disponibilité.
2. Dans le widget Haute disponibilité sur le tableau de bord,
confirmez que le périphérique est passé à l'état actif ou passif.

Gérer Panorama
Cette section explique comment administrer et gérer Panorama. Elle inclut les rubriques suivantes :
 Gérer les sauvegardes de configuration
 Comparer les modifications de configuration
 Restreindre l'accès aux modifications de configuration
 Ajouter des logos personnalisés
 Afficher l'historique des tâches
 Réaffecter le quota de stockage de journaux
 Surveiller Panorama
 Redémarrer ou arrêter Panorama
 Générer des fichiers de diagnostic
 Configurer les profils et la complexité de mot de passe
 Remplacer un disque défectueux sur un appareil M-100
 Remplacer le disque virtuel sur un appareil virtuel Panorama
Pour avoir des instructions sur la configuration initiale, notamment des paramètres d'accès réseau, les
licences, la mise à niveau de la version de logiciel Panorama et la définition d'un accès administratif à
Panorama, consultez la section Configurer Panorama.

Gérer les sauvegardes de configuration Gérer Panorama
Gérer les sauvegardes de configuration

Une sauvegarde de configuration est un cliché de la configuration système. En cas de panne système ou de
configuration défaillante, une sauvegarde de configuration vous permet de restaurer Panorama vers une version
de la configuration enregistrée au préalable. Sur Panorama, vous pouvez gérer les sauvegardes de configuration
des pare-feux gérés, et celle de Panorama :
 Gérer les sauvegardes de configuration des périphériques gérés : Panorama enregistre

automatiquement chaque modification de configuration validée sur un pare-feu géré exécutant PAN-OS
version 5.0 ou ultérieure. Par défaut, Panorama enregistre jusqu'à 100 versions pour chaque périphérique.
Cette valeur est configurable.
 Gérer les sauvegardes de configuration de Panorama : vous pouvez exporter manuellement la

configuration en cours de Panorama, en fonction des besoins.
 Exporter un ensemble de fichiers de configuration : outre sa propre configuration, Panorama enregistre

une sauvegarde de la configuration de tous les périphériques gérés en cours d'exécution. Il est possible de
générer un module gzip de la dernière version de sauvegarde de configuration de Panorama, puis celui de
chaque périphérique géré sur demande, puis de planifier une exportation à l'aide de la fonctionnalité
Exportation programmée des configurations. Il est possible de planifier une livraison quotidienne vers un
serveur FTP ou un serveur SCP (Secure Copy). Les fichiers de l'ensemble sont au format XML, et chaque
nom de fichier fait référence au numéro de série du périphérique, pour faciliter son identification.
Vous pouvez exécuter les tâches suivantes pour gérer les sauvegardes de configuration :
 Planifier l'exportation des fichiers de configuration
 Gérer les sauvegardes de configuration de Panorama
 Configurer le nombre de sauvegardes stockées sur Panorama
 Charger une sauvegarde de configuration sur un périphérique géré
Planifier l'exportation des fichiers de configuration
Utilisez ces instructions pour planifier 'exportation de l'ensemble de fichiers de configuration contenant la
sauvegarde des configurations de Panorama et les périphériques gérés en cours d'exécution, à une heure précise,
chaque jour. Les privilèges de super utilisateur sont requis pour configurer l'exportation.

Gérer Panorama Gérer les sauvegardes de configuration
Planifier l'exportation des fichiers de configuration à une heure donnée chaque jour
1. Sélectionnez Panorama > Planifier l'exportation de la configuration.

2. Cliquez sur Ajouter, puis saisissez un Nom et une Description de la procédure d'exportation de fichiers.
3. Sélectionnez Activer pour autoriser l'exportation du fichier de configuration.
4. Saisissez ou sélectionnez une heure dans le menu déroulant pour l'exportation quotidienne des fichiers de
configuration. Un format sur 24 heures est utilisé.
5. Sélectionnez le protocole.
6. Saisissez les informations d'accès au serveur. Fournissez le nom d'hôte ou l'adresse IP, le port, le chemin d'accès au
fichier et les informations d'identification.
7. (SCP uniquement) Cliquez sur Tester la connexion au serveur SCP. Pour permettre le transfert sécurisé des
données, vous devez vérifier et accepter la clé d'hôte du serveur SCP. La connexion n'est pas établie tant que la clé
d'hôte n'est pas acceptée.
Si Panorama peut réussir sa connexion au serveur SCP, il crée et télécharge le fichier de test nommé
ssh-export-test.txt.
8. Enregistrez les modifications. Cliquez sur Valider, sélectionnez Panorama en tant que Type de validation, puis
cliquez sur OK.
Gérer les sauvegardes de configuration de Panorama
Utilisez ces instructions pour valider, rétablir, enregistrer, charger, exporter ou importer une version de
configuration Panorama.

Gérer les sauvegardes de configuration Gérer Panorama
Gérer les sauvegardes : Valider, rétablir, enregistrer, charger, exporter ou importer

2. Dans la section Gestion de configuration, effectuez une sélection parmi les options suivantes :
• Valider la configuration candidate Panorama : vérifie que la configuration candidate ne comporte pas d'erreur.
La validation du fichier de configuration vous permet de résoudre les erreurs avant de valider les changements.
• Rétablir la dernière configuration de Panorama sauvegardée : remplace la configuration candidate et restaure
la dernière configuration candidate enregistrée à partir d'un disque.
• Revenir à la configuration Panorama en cours d'exécution : rétablit toutes les modifications enregistrées dans
la configuration candidate. Cette opération permet d'annuler les modifications de configuration effectuées depuis
la dernière opération de validation.
• Sauvegarder le cliché de la configuration Panorama nommée : enregistre la configuration candidate dans un
fichier. Saisissez un nom de fichier, ou sélectionnez un fichier existant pour le remplacer. Notez que le fichier de
la configuration active en cours (running-config.xml) ne peut pas être remplacé.
• Sauvegarde de la configuration Panorama candidate : enregistre la configuration candidate sur le disque. Il s'agit
de la même opération que lorsqu'on utilise le lien Enregistrer en haut de la page pour enregistrer les modifications
au fichier de configuration candidate.
• Charger la version de la configuration Panorama : charge un fichier de configuration à partir d'une liste de
versions validées précédemment.
• Charger l'instantané de la configuration Panorama : charge une configuration candidate sélectionnée. Vous
pouvez sélectionner une configuration importée ou enregistrée au préalable. La configuration candidate en cours
est remplacée.
• Exporter l'instantané de la configuration Panorama : exporte la configuration active (running-config.xml) ou
une configuration exportée ou importée au préalable. Sélectionnez le fichier de configuration à exporter. Vous
pouvez ouvrir le fichier et/ou le sauvegarder dans un emplacement réseau.
• Exporter l'instantané de la configuration Panorama : exporte une version validée au préalable du fichier de
configuration. Sélectionnez la version à exporter.
• Exporter la solution de configuration des périphériques et de Panorama : cette option est utilisée pour générer
et exporter manuellement la dernière version de la sauvegarde de configuration de Panorama et celle de chaque
périphérique géré. Pour automatiser le processus de création et exporter l'ensemble de configuration quotidienne
vers un serveur SCP ou FTP, reportez-vous à la section Planifier l'exportation des fichiers de configuration.
• Importer l'instantané de la configuration Panorama : importe un fichier de configuration exporté au préalable.
Cliquez sur Parcourir pour localiser le fichier enregistré et cliquez sur OK pour importer.

Gérer Panorama Gérer les sauvegardes de configuration
Configurer le nombre de sauvegardes stockées sur Panorama
Spécifiez le nombre de sauvegardes Panorama stockées.
Configurer le nombre de sauvegardes stockées sur Panorama
1. Sélectionnez Panorama > Configuration > Gestion, et cliquez sur le bouton Modifier dans la section Paramètres de
journalisation et de génération de rapports.
2. Saisissez une valeur comprise entre 1 et 1048576. La valeur par défaut est de 100.
3. Enregistrez les modifications. Cliquez sur Valider, sélectionnez Panorama en tant que Type de validation, puis
cliquez sur OK.
Charger une sauvegarde de configuration sur un périphérique géré
Utilisez Panorama pour charger une sauvegarde de configuration sur un périphérique géré. Vous pouvez choisir
de revenir à une configuration enregistrée ou validée au préalable sur le périphérique. Panorama transmet la
version sélectionnée au périphérique géré et la configuration candidate actuelle sur le périphérique est écrasée.
Charger une sauvegarde de configuration sur un périphérique géré
1. Sélectionnez Panorama > Périphériques gérés.

2. Sélectionnez le lien Gérer... dans la colonne Sauvegardes.
3. Faites un choix entre Configurations sauvegardées et Configurations validées.
• Cliquez sur le lien dans la colonne Version pour afficher le contenu de la version sélectionnée.
• Cliquez sur Charger pour charger une version de configuration sélectionnée.
4. Enregistrez les modifications. Cliquez sur Valider, puis sélectionnez Panorama en tant que Type de validation.

Comparer les modifications de configuration Gérer Panorama
Comparer les modifications de configuration

Pour comparer les modifications de configuration sur Panorama, vous pouvez sélectionner n'importe lequel des
deux ensembles de fichiers de configuration : la configuration candidate, la configuration en cours ou toute autre
version de configuration précédemment enregistrée ou validée sur Panorama. La comparaison côte à côte vous
permet de :
 Prévisualiser les modifications de configuration avant de les valider dans Panorama. Vous pouvez, par
exemple, prévisualiser les modifications intervenues entre la configuration candidate et la configuration en
cours. Dans le cadre des meilleures pratiques, sélectionnez la version plus ancienne dans le volet de gauche,
et la version plus récente dans le volet de droite, pour comparer et identifier facilement les modifications.
 Effectuer un audit de configuration pour consulter et comparer les modifications intervenues entre deux
ensembles de fichiers de configuration.
Comparer les modifications de configuration
• Affichez et comparez les fichiers de 1. Sélectionnez Panorama > Audit de configuration.

configuration. 2. Pour chaque menu déroulant, sélectionnez une configuration
Pour faciliter la comparaison des versions, les pour la comparaison.
modifications sont mises en évidence : 3. Sélectionnez le nombre de lignes que vous souhaitez inclure
comme Contexte, puis cliquez sur Aller à.
• Configurez le nombre de versions stockées sur 1. Sélectionnez Panorama > Configuration > Gestion, et cliquez
Panorama pour un audit de configuration. sur l'icône Modifier dans la section Paramètres de journalisation
et de génération de rapports.
2. Saisissez une valeur comprise entre 1 et 1048576 dans Nombre
de versions pour l'audit de configuration. La valeur par défaut
est de 100.
3. Enregistrez les modifications. Cliquez sur Valider, puis
sélectionnez Panorama en tant que Type de validation.
Prévisualiser les modifications de la configuration
• Affichez et comparez les fichiers de 1. Sélectionnez Valider.

configuration avant de valider les modifications. 2. Sélectionnez Prévisualiser les modifications et choisissez le
nombre de lignes de contexte que vous souhaitez voir.
3. Cliquez sur OK.

Gérer Panorama Restreindre l'accès aux modifications de configuration
Restreindre l'accès aux modifications de configuration

Utilisez des verrous pour éviter que plusieurs utilisateurs administrateurs n'effectuent ou ne valident des
modifications de Panorama, de politiques partagées ou de modèles et/ou groupes de périphériques sélectionnés
sous Panorama.
 Types de verrous
 Emplacements où poser un verrou
 Poser un verrou
 Afficher les détenteurs de verrous actuels
 Activer l'acquisition automatique du verrou de validation
 Supprimer un verrou
Types de verrous
Les deux types de verrous disponibles sont :
 Verrou de configuration : empêche les autres administrateurs d'effectuer des modifications sur la
configuration. Ce type de verrou peut être défini globalement, ou au niveau du système virtuel. Il peut être
retiré uniquement par l'administrateur qui l'a défini ou par un super utilisateur. Le verrou de configuration
n'est pas automatiquement supprimé.
 Verrou de validation : empêche d'autres administrateurs de valider des modifications jusqu'à la suppression
de l'ensemble des verrous. Le verrou de validation garantit que les modifications de configuration partielles
ne sont pas validées par inadvertance sur le périphérique ou sur Panorama si deux administrateurs effectuent
des modifications en même temps et que le premier administrateur achève et valide les modifications avant
que le second administrateur ait terminé. Le verrou est supprimé automatiquement lorsque l'administrateur
qui l'a mis en place valide les modifications ; le verrou peut être retiré manuellement par l'administrateur qui
l'a placé ou par le super utilisateur.
Si un verrou de validation est placé sur un périphérique, et si un administrateur valide des modifications de
configuration ou des politiques partagées pour un modèle ou un groupe de périphériques qui inclut ce
périphérique, la validation échoue, et un message d'erreur indiquant qu'un verrou exceptionnel est placé sur
le périphérique est diffusé.
Les administrateurs en lecture seule qui ne peuvent pas apporter de modifications au périphérique ou à
Panorama ne seront pas en mesure de placer l'un ou l'autre des verrous.
Les administrateurs basés sur un rôle qui ne peuvent pas valider les modifications peuvent placer un verrou
de configuration et enregistrer les changements dans la configuration candidate. Ils ne peuvent cependant
pas valider les modifications eux-mêmes. Comme ils sont dans l'impossibilité de valider les modifications,
le verrou n'est pas supprimé à la validation. L'administrateur doit manuellement retirer le verrou de
configuration après avoir effectué les modifications requises.

Restreindre l'accès aux modifications de configuration Gérer Panorama
Emplacements où poser un verrou
L'administrateur peut poser un verrou pour une des catégories ou un des emplacements suivants :
 Groupe de périphériques : limite les modifications au groupe de périphériques sélectionné
 Modèle : limite les modifications aux périphériques inclus dans le modèle sélectionné
 Partagé : limite les modifications aux politiques partagées
 Panorama : limite l'accès aux modifications dans Panorama
Poser un verrou
Poser un verrou
Étape 1 Sélectionnez l'icône de verrou dans le coin supérieur droit de l'interface Web.
Étape 2 Sélectionnez Poser un verrou.
Étape 3 En fonction de votre rôle/de vos autorisations, sélectionnez Valider ou Config en tant que Type.
Étape 4 Sélectionnez la catégorie sur laquelle vous souhaitez placer un verrou.
Étape 5 Dans le cadres des meilleures pratiques, ajoutez un Commentaire pour donner les raisons du verrouillage.
Étape 6 Cliquez sur OK.
Afficher les détenteurs de verrous actuels
Avant de modifier une zone particulière de la configuration, vérifiez si un autre administrateur a placé un verrou
sur la zone.
.
Afficher les détenteurs de verrous
• Sélectionnez l'icône de verrou dans le coin supérieur droit de l'interface Web.

L'icône de verrou affiche le nombre total de verrous posés. Elle inclut également les informations sur le nom d'utilisateur
du détenteur du verrou, le type de verrou, la catégorie sur laquelle le verrou est posé, la date à laquelle il a été posé, la
dernière activité de l'administrateur et si l'administrateur est ou non connecté.

Gérer Panorama Restreindre l'accès aux modifications de configuration
Activer l'acquisition automatique du verrou de validation
Par défaut, vous devez manuellement poser un verrou avant de commencer les modifications sur Panorama. Si
vous souhaitez activer l'acquisition automatique du verrou de validation, utilisez la procédure qui suit :
.
Appliquer un verrou de validation automatique sur Panorama
Étape 1 Sélectionnez l'onglet Panorama > Configuration > Gestion, et cliquez sur l'icône Modifier dans la section
Paramètres généraux.
Étape 2 Cochez la case correspondante Appliquer auto verrou de validation.
Étape 4 Pour enregistrer les modifications, Cliquez sur Valider, puis sélectionnez Panorama en tant que Type de
validation.
Supprimer un verrou
Supprimer un verrou
Étape 1 Sélectionnez l'icône de verrou dans le coin supérieur droit de l'interface Web.
Étape 2 Sélectionnez le verrou que vous souhaitez retirer et cliquez sur Supprimer le verrouillage.
Remarque À moins que vous soyez un super utilisateur, vous ne pouvez supprimer que le verrou que vous avez placé
au préalable.

Ajouter des logos personnalisés Gérer Panorama
Ajouter des logos personnalisés

Vous pouvez télécharger des fichiers d'image pour personnaliser les zones suivantes sur Panorama :
 Image d'arrière-plan de l'écran de connexion
 En-tête dans le coin supérieur gauche de l'interface Web ; vous pouvez également masquer l'arrière-plan de
Panorama par défaut.
 Image de page de titre et de pied de page dans les rapports PDF.

Les types d'image pris en charge sont : .jpg, .gif, et .png. Les fichiers image à utiliser dans les rapports PDF ne
peuvent pas contenir de canal alpha. La taille de l'image doit être inférieure à 128 Kilooctets (131 072 octets) ;
les dimensions conseillées s'affichent à l'écran. Si ses dimensions sont supérieures à la taille recommandée,
l'image est automatiquement rognée.
Ajouter des logos personnalisés

2. Cliquez sur Logos personnalisés dans la section Divers.
3. Cliquez sur l'icône de téléchargement , puis sélectionnez une image pour l'une des options qui suivent : écran de
connexion, coin inférieur gauche de l'interface utilisateur principale, la page de titre de rapport PDF et le pied de page
de rapport PDF.
4. Cliquez sur Ouvrir pour ajouter l'image. Pour prévisualiser l'image, cliquez sur l'icône de prévisualisation du logo .
5. (Facultatif) Pour effacer l'en-tête d'arrière-plan vert sur l'interface Web Panorama, cochez la case correspondant à
Supprimer l'en-tête dans l'arrière-plan de Panorama.
6. Cliquez sur Fermer pour enregistrer vos modifications.
7. Cliquez sur Valider, puis sélectionnez Panorama en tant que Type de validation.

Gérer Panorama Afficher l'historique des tâches
Afficher l'historique des tâches

Les données d'historique sur toutes les tâches ou uniquement sur les tâches en cours d'exécution peuvent être
affichées à l'aide du lien Tâches dans l'interface Web de Panorama. Celui-ci affiche des informations sur la
réussite ou l'échec de l'événement et répertorie les erreurs, le cas échéant.
Afficher l'historique des tâches
1. Cliquez sur Tâches . Le lien s'affiche dans le coin inférieur droit de l'interface Web.
2. Sélectionnez la liste des tâches à vérifier. Par défaut, Toutes les tâches sont affichées. Vous pouvez assurer un filtrage
de type Tout ou Exécution en cours et sélectionnez Travaux, Rapports ou Requêtes de journal.
• Travaux : cette option répertorie les validations, les validations automatiques, les téléchargements et installations
de logiciels et de mises à jour dynamiques effectuées en local sur Panorama, ou appliquées de façon centralisée sur
les périphériques gérés à partir de Panorama. Chaque travail correspond à un lien. Cliquez sur le lien dans la
colonne Type et contrôlez les éventuelles erreurs le cas échéant.
• Rapports : cette option affiche l'état et l'heure de début des rapports planifiés.
• Requêtes de journal : cette option répertorie les requêtes de journal déclenchées depuis l'onglet Surveillance >
Visionneuse du journal ou le Tableau de bord. Par exemple, pour afficher les journaux dans l'URL, le widget de
filtrage ou de filtrage de données sur le tableau de bord, les requêtes de journaux sont générées sur Panorama.

Réaffecter le quota de stockage de journaux Gérer Panorama
Réaffecter le quota de stockage de journaux

Pour redistribuer la capacité de stockage disponible sur Panorama, vous pouvez augmenter ou réduire le quota
de stockage de journaux pour chaque type de journal. Le processus de réaffectation de quota est différent sur
l'appareil virtuel de Panorama sur l'appareil M-100, comme suit :
 Sur l'appareil virtuel Panorama : tous les journaux sont inscrits dans un espace de stockage affecté au
serveur : disque par défaut de 10 Go créé lors de l'installation ou disque virtuel ajouté au serveur, ou encore
la partition NFS montée sur Panorama.
 Sur l'appareil M-100 : les journaux sont enregistrés en deux endroits : le SSD interne et les disques
compatibles RAID. Le SSD interne de l'appareil M-100 est utilisé pour stocker les journaux de configuration,
les journaux système et les statistiques d'applications que Panorama reçoit automatiquement à des intervalles
de 15 minutes depuis tous les périphériques gérés. Tous les autres journaux sont stockés sur des disques
compatibles RAID. Pour réaffecter la capacité de stockage des journaux stockés sur les disques RAID, vous
devez modifier la configuration du groupe de collecteurs.
Utilisez les instructions suivantes pour :
 Réaffecter le quota de stockage de journaux sur l'appareil virtuel Panorama
 Réaffecter la capacité de stockage destinée aux journaux système, journaux de configuration et les statistiques
d'application (App Stats) sur l'appareil M-100.
 Réaffecter la capacité de stockage des journaux stockés sur les disques compatibles RAID.
Réaffecter le quota de stockage sur l'appareil virtuel Panorama et l'appareil M-100
Étape 1 Répartissez la capacité de stockage du 1. Sélectionnez Panorama > Configuration > Gestion.
journal entre les différents types de 2. Sélectionnez l'icône Modifier dans la section Paramètres de
journaux. journalisation et de création de rapports de l'onglet Gestion.
3. Modifiez le Quota (%) pour les types de journaux pour lesquels
vous souhaitez ajouter ou diminuer l'espace de stockage.
Lorsque vous modifiez les valeurs, l'écran est actualisé pour
afficher le nombre correspondant (Go/Mo) au pourcentage
alloué, en fonction de la capacité totale du disque
virtuel/NFS/disque dur, comme indiqué.
Remarque Sur l'appareil M-100, vous pouvez affecter la capacité
disponible parmi les journaux Config, Système et
Statistiques de l'application ; tous les autres journaux
sont inscrits dans les disques compatibles RAID, et non
stockés sur le disque dur.

Gérer Panorama Réaffecter le quota de stockage de journaux
Réaffecter le quota de stockage de journal pour les disques compatibles RAID
Étape 1 Affectez le pourcentage de capacité de 1. Sélectionnez Panorama > Groupes de collecteurs, puis cliquez
stockage pour chaque type de journal sur sur le lien correspondant au groupe de collecteurs.
l'appareil M-100. 2. Cliquez sur le lien correspondant à la capacité de Stockage des
Si la capacité de stockage de journaux journaux du groupe de collecteurs.
affiche 0 Mo, il se peut que vous n'ayez
pas ajouté le collecteur de journaux au
groupe de collecteurs. Exécutez l'étape 2,
puis revenez à la présente tâche.
Si le résultat est toujours à 0 Mo, vérifiez
que vous avez activé les paires de disques
pour la journalisation et validé les
modifications apportées au groupe de 3. Modifiez le Quota affecté à chaque type de journal.
collecteurs. Reportez-vous à l'étape 6 Lorsque vous modifiez la valeur, l'écran est actualisé pour
dans la section Ajouter un collecteur de afficher le nombre correspondant (Go/Mo) au pourcentage
journaux à Panorama. alloué, en fonction de la capacité totale de votre groupe de
collecteurs.
4. (Facultatif) Cliquez sur Rétablir les valeurs par défaut pour
annuler les modifications et réinitialiser les quotas de la
configuration d'usine par défaut.

Surveiller Panorama Gérer Panorama
Surveiller Panorama
Vous pouvez configurer Panorama pour envoyer des notifications en cas d'événement système ou à chaque fois
qu'une modification de configuration est effectuée. Par défaut, chaque changement de configuration est
consigné dans le journal de configuration. Sur un journal système; à chaque événement est associé un niveau de
gravité. Le niveau indique l'urgence et l'impact de l'événement, et vous pouvez choisir de tout enregistrer ou
d'enregistrer seulement des événements système sélectionnés en fonction des niveaux de gravité que vous
souhaitez surveiller.
La section couvre uniquement les journaux Panorama. Pour plus d'informations sur le transfert des
journaux depuis les périphériques gérés, reportez-vous à la section Configurer les pare-feux pour
transmettre les journaux à Panorama.
 Journaux de configuration : permet la transmission des journaux de configuration par la spécification d'un
profil de serveur dans la configuration des paramètres du journal (Panorama > Paramètres des journaux >
Journaux de configuration).
 Journaux de configuration : permet le transfert des journaux système par la spécification d'un profil de
serveur dans la configuration des paramètres de journal (Panorama > Paramètres des journaux > Journaux
système). Sélectionnez un profil de serveur pour chaque niveau de gravité que vous voulez transmettre. Le
tableau suivant récapitule les niveaux de gravité des journaux système :
Niveau de gravité Description
Critique Indique un échec et signale la nécessité d'une intervention immédiate, en cas de panne
matérielle, notamment de basculement en HD et d'échec de lien.
Élevé Problèmes sérieux qui vont empêcher le fonctionnement du système, notamment en cas
de déconnexion d'un collecteur de journaux ou d'échec de validation.
Moyen Notifications de niveau moyen concernant par exemple les mises à niveau d'ensembles
antivirus, ou la validation d'un groupe de collecteurs.
Faible Notifications de gravité mineure telles que les changements de mot de passe utilisateur.
Informations Événements de notification tels que les connexions/déconnexions, la réussite de

l'authentification et les notifications d'échec, la réussite de validation, et autres événements
non couverts par les autres niveaux de gravité.
Les journaux de configuration et système sont stockés sur le disque dur de l'appareil M-100 ; sur l'appareil virtuel
Panorama, ils sont stockés sur le volume de stockage affecté. Si vous avez besoin de stocker les journaux à plus
long terme, pour un audit, vous pouvez également configurer Panorama pour transmettre les journaux à un
serveur Syslog.
Pour surveiller Panorama, vous pouvez soit afficher périodiquement les journaux sur Panorama, soit configurer
des pièges SNMP et/ou des alertes de messagerie vous avertissant d'un état des modifications de mesures
surveillées ou de l'atteinte d'un seuil sur Panorama. Les alertes de messagerie et les pièges SNMP sont utiles pour
des notifications immédiates à propos d'événements système critiques qui nécessitent votre attention.

Gérer Panorama Surveiller Panorama
Panorama ne transmet que ses propres journaux système et de configuration générés localement. Vous
ne pouvez pas utiliser Panorama pour transmettre les journaux envoyés depuis les périphériques gérés
à un autre SIEM externe ou à un serveur Syslog. Vous ne pouvez pas, par exemple, utiliser Panorama
pour transmettre les journaux du trafic ou des menaces vers un serveur de stockage externe.
Pour configurer des alertes de messagerie et un accès SNMP, consultez les tâches suivantes :
 Configurer les alertes par courrier électronique
 Configurer un accès SNMP
Configurer les alertes par courrier électronique
Configurer les alertes par courrier électronique
Étape 1 Créer un profil de serveur pour votre 1. Sélectionnez Panorama > Profils de serveur > Messagerie.
serveur de messagerie. 2. Cliquez sur Ajouter, puis saisissez un Nom pour le profil.
de messagerie, puis saisissez les informations requises pour vous
connecter au serveur SMTP (Simple Mail Transport Protocol) et
envoyer un message électronique (vous pouvez ajouter jusqu'à
quatre serveurs de messagerie au profil) :
• Serveur : nom identifiant le serveur de messagerie (1 à
31 caractères). Ce champ est un simple intitulé et ne doit pas
comporter le nom d'hôte d'un serveur SMTP existant.
• Nom complet : nom à afficher dans le champ De du courrier
électronique.
• De : adresse de messagerie à partir de laquelle les messages de
notification seront envoyés.
• À : adresse de messagerie vers laquelle les messages
électroniques de notification seront envoyés.
• Destinataire(s) supplémentaire(s) : pour envoyer des
notifications à un second compte, saisissez l'adresse
supplémentaire ici.
• Passerelle: adresse IP ou nom d'hôte de la passerelle SMTP
à utiliser pour envoyer les messages électroniques.
Étape 2 (Facultatif) Personnalisez le format des Sélectionnez l'onglet Format de journal personnalisé. Pour plus
journaux que Panorama envoie. d'informations sur la création de formats personnalisés pour les
divers types de journaux, reportez-vous au Guide de configuration
des formats d'événements courants.
Étape 3 Enregistrez le profil de serveur et validez 1. Cliquez sur OK pour enregistrer le profil.
vos modifications. 2. Cliquez sur Valider, puis sélectionnez Panorama comme Type
de validation.

Configurer les alertes par courrier électronique (suite)
Étape 4 Activez la notification par courrier 1. Activez la notification par courrier électronique.
électronique pour des événements • Pour les événements système :
spécifiques des journaux système et de
configuration. a. Sélectionnez Panorama > Paramètres des journaux >
Système.
b. Cliquez sur le lien correspondant à chaque niveau de gravité
pour lequel activer une notification, puis sélectionnez le profil
de serveur que vous avez créé dans l'étape 1 dans le menu
déroulant Messagerie.
• Pour modifier les configurations :
a. Sélectionnez Panorama > Paramètres des journaux >
Config.
b. Cliquez l'icône Modifier dans la section Paramètres des
journaux - Config, puis sélectionnez le profil de serveur de
messagerie créé dans l'étape 1 depuis le menu déroulant
Piège SNMP.
Type de validation.
Configurer un accès SNMP
Le protocole SNMP autorise l'accès à des identifiants d'objet (OID) ou à des plages d'OID contenues dans les
MIB de Palo Alto Networks depuis une station de gestion SNMP. Il peut être utilisé pour interroger l'état de
Panorama (GET SNMP) et déclenche une alerte (Pièges SNMP) lorsqu'un événement se produit. Panorama
prend en charge SNMP v2c et v3. Pour une liste complète, consultez la section MIB Palo Alto Networks.
Les pièges SNMP avertissent d'un changement ou d'un échec, par exemple, d'une panne de ventilateur système,
de l'ajout de lecteurs de disques, ou de basculements HD. Les pièges sont initiés par Panorama et envoyés au
gestionnaire SNMP. Ils ne sont pas envoyés régulièrement.
Les Get SNMP permettent une surveillance proactive. Vous pouvez par exemple, sonder Panorama pour avoir
des graphiques des tendances permettant d'identifier d'éventuels problèmes avant qu'une panne ne survienne
pour les problèmes suivants :
 Surveillez le taux de journalisation entrant sur un appareil M-100 ou la capacité des disques de journalisation
de l'appareil pour déterminer si un collecteur de journaux est proche de la capacité maximale. Ces
informations vous aideront à déterminer si vous devez accroître la capacité de stockage de journaux ou
ajouter des collecteurs de journaux supplémentaires.
 Surveillez les informations telles que le mode haute disponibilité et l'état de Panorama, les versions de mise
à jour de contenu actuellement installées (version d'antivirus, versions d'application et de base de données
de menaces et/ou la version de Panorama).

Configurer SNMP
Étape 1 Configurez l'interface de gestion pour 1. Sélectionnez Panorama > Configuration > Gestion.
écouter le service SNMP. 2. Dans la section Paramètres d'interface de gestion, vérifiez que le
protocole SNMP est activé dans Services. Si SNMP n'est pas
activé, cliquez sur l'icône Modifier dans la section Paramètres
d'interface de gestion, puis cochez la case correspondant au
service SNMP, puis cliquez sur OK
Étape 2 Configurez Panorama pour la surveillance 1. Sélectionnez Panorama > Configuration > Opérations.
SNMP. 2. Dans la section Divers, sélectionnez Configuration SNMP.
Cette capture d'écran correspond à 3. Saisissez une chaîne de caractères pour spécifier l'emplacement
SNMP v3. physique de Panorama.
4. Ajoutez l'adresse de messagerie d'un ou de plusieurs Contacts
administratifs.
5. Sélectionnez la Version SNMP, puis saisissez les détails de
configuration comme suit (en fonction de la version de SNMP
que vous utilisez), puis cliquez sur OK :
• V2c : saisissez la chaîne de communauté SNMP qui permettra
au gestionnaire SNMP d'accéder à l'agent SNMP sur
Panorama. La valeur par défaut est public, cependant,
comme il s'agit d'une chaîne de communauté bien connue,
une bonne pratique consiste à utiliser une valeur qui n'est pas
facile à découvrir.
• V3 : Vous devez créer au moins une vue et un utilisateur afin
d'utiliser SNMPv3. La vue mentionne les informations de
gestion auxquelles le gestionnaire a accès. Si vous voulez
permettre l'accès à toutes les informations de gestion, il suffit
de saisir l'identifiant d'objet de.1.3.6.1 et de définir l'Option
sur inclure (vous pouvez également créer des vues excluant
certains objets). Utilisez 0xf0 en tant que Masque. Ensuite,
lorsque vous créez un utilisateur, sélectionnez l'affichage que
vous venez de créer et spécifiez le Mot de passe
d'authentification et le Mot de passe privé.
Les paramètres d'authentification (la chaîne de caractères de
communauté de V2c ou le nom d'utilisateur et le mot de
passe de V3) configurés sur Panorama doivent correspondre
aux valeurs configurées sur le gestionnaire SNMP.
6. Cliquez sur OK pour enregistrer les paramètres.
configuration en cours.

Configurer SNMP (suite)
Étape 3 Créez un profil de serveur contenant les informations permettant de se connecter et de s'authentifier auprès des
gestionnaires SNMP.
1. Sélectionnez Panorama > Profils de serveur > Piège SNMP.
2. Cliquez sur Ajouter, puis saisissez un Nom pour le profil.
3. Sélectionnez la version de SNMP que vous utilisez (V2c ou V3).
4. Cliquez sur Ajouter pour ajouter une nouvelle entrée récepteur de pièges SNMP (vous pouvez ajouter
jusqu'à quatre receveurs de piège par profil de serveur). Les valeurs requises dépendent de l'utilisation de
SNMP, V2c ou V3, comme suit :
Sur SNMP V2c
• Serveur : nom identifiant le gestionnaire SNMP (1 à 31 caractères). Ce champ n'est qu'une étiquette et ne
doit pas forcément être le nom d'hôte d'un serveur SNMP existant.
• Gestionnaire : adresse IP du gestionnaire SNMP pour lequel envoyer des pièges.
• Communauté : chaîne de communauté requise pour s'authentifier auprès du gestionnaire SNMP.
Sur SNMP V3
• Serveur : nom identifiant le gestionnaire SNMP (1 à 31 caractères). Ce champ n'est qu'une étiquette et ne
doit pas forcément être le nom d'hôte d'un serveur SNMP existant.
• Gestionnaire : adresse IP du gestionnaire SNMP auquel envoyer des pièges.
• Utilisateur : nom d'utilisateur requis pour s'authentifier auprès du gestionnaire SNMP.
• ID de moteur : ID de moteur de Panorama. Il s'agit d'une valeur hexadécimale de 5 à 64 octets avec un
préfixe de 0x. Chaque Panorama à un ID de moteur unique. Pour découvrir l'ID de moteur, configurez le
serveur pour SNMP v3 et envoyez un message GET depuis le gestionnaire SNMP ou l'explorateur MIB
vers Panorama.
• Mot de passe d'authentification : mot de passe utilisé pour les messages de niveau authNoPriv
(authentification sans aucune confidentialité) sur le gestionnaire SNMP. Ce mot de passe sera haché à l'aide
de l'algorithme SHA-1 (Secure Hash Algorithm), mais ne sera pas crypté.
• Mot de passe privé : le mot de passe utilisé pour les messages de niveau authPriv (authentification avec
confidentialité) sur le gestionnaire SNMP. Ce mot de passe sera haché à l'aide de l'algorithme SHA1 et
crypté grâce à la norme AES128 (Advanced Encryption Standard).
Étape 4 Activez les pièges SNMP pour configurer • Pour les événements système :
le journal et les événements Syslog. a. Sélectionnez Panorama > Paramètres des journaux >
Système.
b. Cliquez sur le lien correspondant à chaque niveau de gravité
pour lequel activer une notification, puis sélectionnez le profil
de serveur que vous avez créé dans l'étape 3 depuis le menu
déroulant Piège SNMP.
• Pour modifier la configuration :
a. Sélectionnez Panorama > Paramètres des journaux >
Config.
b. Cliquez sur l'icône Modifier dans la section Paramètres des
journaux - Config, puis sélectionnez le profil de serveur créé
dans l'étape 3 depuis le menu déroulant Piège SNMP.
Étape 5 Sauvegardez vos modifications. Cliquez sur Valider, puis sélectionnez Panorama en tant que Type
de validation.

Configurer SNMP (suite)
Étape 6 Activez le paramètre SNMP pour Pour interpréter un piège envoyé par Panorama, vous devez charger
interpréter un piège SNMP. les fichiers PAN-OS MIB dans votre logiciel de gestion SNMP et, le
cas échéant, les compiler. Les MIB compilés permettent au
Gestionnaire SNMP de faire correspondre l'identifiant d'objet (OID)
à la définition d'événement que le piège définit.
Pour obtenir des instructions spécifiques, reportez-vous à la
documentation de votre gestionnaire SNMP.
Étape 7 Identifiez les statistiques à surveiller. À l'aide d'un navigateur MIB, parcourez les fichiers MIB PAN-OS
pour déterminer les identifiants d'objets (OID) qui correspondent
aux statistiques que vous souhaitez surveiller. Par exemple,
supposons que vous souhaitez surveiller le taux de collecte de
journaux sur l'appareil M-100. Avec l'explorateur MIB, vous verrez
que cette statistique correspond à l'OID
1.3.6.1.4.1.25461.2.3.16.1.1.0 sur le PAN-LC-MIB.
Étape 8 Configurez le logiciel de gestion SNMP Pour obtenir des instructions spécifiques, reportez-vous à la
pour surveiller les identifiants d'objet qui documentation de votre gestionnaire SNMP.
vous intéressent.

Redémarrer ou arrêter Panorama Gérer Panorama
Redémarrer ou arrêter Panorama

L'option de redémarrage initie un redémarrage en douceur de Panorama. Un arrêt stoppe le système et le met
hors tension. Pour redémarrer Panorama après un arrêt, déconnectez manuellement le cordon d'alimentation
puis rebranchez-le sur le système.
Redémarrer/Arrêter
Étape 1 Sélectionnez Panorama > Configuration > Opérations.

Étape 2 Dans la section Opérations périphérique, sélectionnez l'une des options suivantes :
• Pour redémarrer : Sélectionnez Redémarrer Panorama.
• Pour arrêter : Sélectionnez Arrêter Panorama.

Gérer Panorama Générer des fichiers de diagnostic
Générer des fichiers de diagnostic

Les fichiers de diagnostic aident à la surveillance de l'activité système et à détecter les causes potentielles des
problèmes Panorama. Pour aider le support technique Palo Alto Networks dans la résolution d'un problème, le
représentant du support technique peut demander des fichiers de diagnostic (fichier de support technique ou
fichier de vidage des statistiques). La procédure qui suit explique comment obtenir un fichier de diagnostic et le
télécharger dans votre trousse d'assistance.
Générer des fichiers de diagnostic
1. Sélectionnez Panorama > Support.

• Cliquez sur Générer le fichier de support technique.
• Cliquez sur Générer le fichier de vidage des statistiques.
2. Téléchargez et enregistrez le(s) fichier(s) sur le portail de support.
3. Téléchargez le(s) fichier(s) dans votre dossier sur le portail de support.

Configurer les profils et la complexité de mot de passe Gérer Panorama
Configurer les profils et la complexité de mot de passe

Pour sécuriser le compte administrateur local, vous pouvez définir des exigences en matière de complexité de
mot de passe, à appliquer au moment où les administrateurs modifient ou créent de nouveaux mots de passe.
Contrairement aux profils de mot de passe, qui peuvent être appliqués aux comptes individuels, les règles de
complexité de mot de passe sont de niveau de périphérique et s'appliquent à tous les mots de passe.
Pour mettre en place les mises à jour de mot de passe périodiques, créez un profil de mot de passe qui définit le
délai de validité de ces derniers.
Profils de mot de passe et paramètres de complexité
Étape 1 Configurez les paramètres de complexité 1. Sélectionnez Panorama > Configuration > Gestion, et cliquez
de mot de passe minimum. sur l'icône Modifier dans la section Complexité minimale des
mots de passe.
2. Sélectionnez Activé.
3. Définissez les Critères de format pour le mot de passe. Vous
pouvez mettre en place des critères de majuscules, minuscules,
numériques et les caractères spéciaux qu'un mot de passe doit
contenir.
4. Pour éviter que le nom d'utilisateur de compte (ou la version
inversée du nom) soit utilisée dans le mot de passe, sélectionnez
Bloquer l'intégration du nom d'utilisateur (inversé inclus).
5. Définissez les Exigences relatives aux fonctionnalités.

Si vous avez configuré un profil de mot de passe pour un
administrateur, les valeurs définies dans le profil de mot de passe
remplaceront celles que vous avez définies dans la section.

Gérer Panorama Configurer les profils et la complexité de mot de passe
Profils de mot de passe et paramètres de complexité (suite)
Étape 2 Créez des profils de mot de passe. 1. Sélectionnez Panorama >Profils de mot de passe, puis cliquez
sur Ajouter.
Vous pouvez créer plusieurs profils de
mot de passe et les appliquer aux comptes 2. Saisissez le Nom du profil de mot de passe, et définissez ce qui
administrateurs selon les besoins pour suit :
mettre en œuvre la sécurité. a. Période de modification du mot de passe : Fréquence, en
jours, à laquelle les mots de passe doivent être modifiés.
b. Avertissement avant la date d'expiration : Nombre de
jours avant expiration auquel l'administrateur recevra un
rappel de mot de passe :
c. Période de grâce après expiration : Nombre de jours
pendant lesquels l'administrateur peut toujours se connecter
au système après expiration du mot de passe.
d. Nombre d'ouvertures de session Administrateur après
expiration : Nombre de fois où l'administrateur peut se
connecter au système après expiration du mot de passe.

Remplacer un disque défectueux sur un appareil M-100 Gérer Panorama
Remplacer un disque défectueux sur un appareil M-100

Si un disque est défectueux sur l'appareil M-100, vous devez le remplacer et le reconfigurer dans une
paire RAID. Cela permet la mise en miroir et la synchronisation des données entres les disques de la paire RAID.
Remplacer un disque défectueux
Étape 1 Installez le nouveau disque dans la baie Pour obtenir des instructions sur le remplacement d'un disque
de lecteur appropriée. défectueux, reportez-vous au Guide de référence du matériel M-100.
Étape 2 Configurer le disque dans une Cet exemple utilise les lecteurs des baies de disque B1.
paire RAID. 1. Pour ajouter le disque à la paire RAID, saisissez les commandes
suivantes et confirmez la demande lorsque vous y êtes invité :
Le temps nécessaire à faire une copie
miroir des données du lecteur peut varier request system raid add B1
de plusieurs minutes à quelques heures, en 2. Pour surveiller la progression de la configuration RAID et
fonction de la quantité de données vérifier que le disque est compatible RAID, saisissez la
présentes sur le lecteur. commande suivante :
show system raid detail

Gérer Panorama Remplacer le disque virtuel sur un appareil virtuel Panorama
Remplacer le disque virtuel sur un appareil virtuel

Panorama
Un disque virtuel ne peut pas être redimensionné une fois qu'il a été ajouté à l'appareil virtuel Panorama. Comme
l'appareil virtuel Panorama ne permet qu'un emplacement de stockage de journaux, si vous devez ajouter de
l'espace disque pour la journalisation (ou en enlever, si vous affectez davantage d'espace) vous devez remplacer
le disque virtuel sur le serveur ESX(i) pour régler la capacité de stockage.
Effectuez les tâches suivantes sur le serveur ESX(i) pour remplacer le disque virtuel affecté au Panorama :
Remplacer le disque virtuel affecté à l'appareil virtuel Panorama
Étape 1 Exportez les journaux avant de détacher le disque virtuel à partir de l'appareil virtuel Panorama. Les
journaux sur le disque ne seront plus accessibles une fois le disque détaché.
1. Accédez à l'interface de ligne de commande sur l'appareil virtuel Panorama et vérifiez l'utilisation actuelle
du disque :
admin@Panorama> show system logdb-quota
2. Pour exporter les journaux, saisissez la commande :

admin@Panorama> scp export logdb to <compte utilisateur>@<IP du
serveur SCP> : <chemin d'accès de répertoire avec nom de fichier de
destination>
Par exemple :
admin@Panorama> scp export logdb to
sabel@10.236.10.30:/Panorama/log_file_exportMay2013
Remarque Vous devez spécifier un nom de fichier. Un fichier .tar est enregistré sur le serveur SCP. Comme
les fichiers sont compressés pendant les procédures d'exportation, la taille du fichier exporté
est inférieure à celle du disque.
Étape 2 Mettez l'appareil virtuel Panorama hors tension.
Étape 3 Modifiez les paramètres sur l'appareil virtuel Panorama pour ajouter un nouveau disque virtuel.
Étape 4 Créez un nouveau disque virtuel doté de la capacité souhaitée. Le disque virtuel doit être de type IDE et la
capacité maximale est de 2 To.
Étape 5 Supprimez le disque virtuel que vous souhaitez remplacer.
Étape 6 Mettez l'appareil virtuel Panorama sous tension. La procédure de redémarrage peut prendre plusieurs minutes
et un message cache data unavailable (Données de mémoire cache non disponibles) s'affichera à
l'écran.

Remplacer le disque virtuel sur un appareil virtuel Panorama Gérer Panorama
Remplacer le disque virtuel affecté à l'appareil virtuel Panorama (suite)
Étape 7 Connectez-vous à l'appareil virtuel Panorama.

Sélectionnez Panorama > Configuration > Gestion, vérifiez que la capacité de stockage de journaux modifiée
est affichée avec exactitude dans la section Paramètres de journalisation et de génération de rapports.
Étape 8 Importez les journaux vers un nouveau disque virtuel sur Panorama. Pour importer les fichiers vers le
nouveau disque virtuel, saisissez la commande qui suit dans l'interface de ligne de commande :
admin@Panorama> scp import logdb from <compte utilisateur>@<IP du
serveur SCP> : <chemin d'accès de répertoire avec nom du fichier de
destination>

Dépannage
Cette section répond aux problèmes Panorama suivants :
 Pourquoi la validation de modèle échoue-t-elle ?
 Pourquoi Panorama exécute-t-il un contrôle d'intégrité de système de fichiers ?
 Existe t-il une connexion distincte pour la transmission des journaux vers Panorama ?
 Pourquoi la capacité de stockage de journaux pour le groupe de collecteurs indique-t-elle 0 Mo ?
 Pourquoi Panorama est-il à l'état suspendu ?
 Où puis-je voir l'état de la progression de la tâche ?
 Quels ports sont utilisés par Panorama ?
 Comment puis-je modifier le nombre maximum d'images pouvant être téléchargées ?
 Comment rétablir le système suite à un split-brain lorsque Panorama est configuré en HD ?
 Comment remplacer Panorama ou un périphérique géré en cas de défaillance matérielle/d'autorisation
de retour d'article ?
 Quand et pourquoi les métadonnées doivent être régénérées pour une paire RAID ?
Pourquoi la validation de modèle échoue-t-elle ?
Une validation de modèle peut échouer pour les raisons suivantes :

 Non-correspondance des capacités : lors de la configuration d'un modèle, les options suivantes sont
disponibles : fonctionnalité de systèmes virtuels multiples, le mode VPN et le mode opérationnel.
– Si la case à cocher correspondant à la fonctionnalité système virtuel multiple est sélectionnée, la
validation d'un modèle échoue lorsque vous transmettez le modèle aux périphériques qui n'ont pas
la capacité ou ne sont pas configurés pour prendre en charge une fonctionnalité de systèmes virtuels
multiples.
Pour résoudre l'erreur, modifiez le modèle dans l'onglet Panorama > Modèles, et désélectionnez la case
à cocher pour les Systèmes virtuels.
– Si les opérations de configuration relatives à VPN sont transmises vers des périphériques codés pour
ne pas autoriser la configuration VPN.
Pour résoudre l'erreur, modifiez le modèle dans l'onglet Panorama > Modèles, et sélectionnez la case à
cocher correspondant à Mode VPN désactivé.
– Si le mode opérationnel activé sur le périphérique et celui du modèle sont différents. Par exemple, si le
périphérique géré est activé au mode FIPS et le modèle est défini en mode normal.
Pour résoudre l'erreur, modifiez le modèle dans l'onglet Panorama > Modèles et vérifiez que la sélection
du Mode opérationnel. est correcte.

Dépannage
 Le périphérique n'est pas configuré pour recevoir les modifications de modèle et de groupe de périphériques
depuis Panorama. Cela se produit lorsque la fonctionnalité de réception de modifications de configuration
de modèle ou de groupes de périphériques a été désactivée sur le pare-feu.
Pour résoudre l'erreur, accédez à l'interface Web du périphérique et sélectionnez Périphérique >
Configuration. Modifiez la section des Paramètres Panorama et sélectionnez la case à cocher correspondant
à et .
Pourquoi Panorama exécute-t-il un contrôle d'intégrité de système de

fichiers ?
Panorama contrôle régulièrement l'intégrité du système de fichiers (FSCK) afin d'éviter une corruption des
fichiers du système Panorama. Ce contrôle se produit après huit redémarrages ou lors d'un démarrage survenant
90 jours après que le dernier FSCK a été exécuté. Si Panorama exécute un contrôle d'intégrité du système de
fichiers, les écrans d'accueil de l'interface Web et SSH affichent un avertissement indiquant qu'un FSCK est en
cours. Vous ne pouvez pas vous connecter avant la fin de ce processus. Le temps nécessaire à l'accomplissement
de cette procédure varie en fonction de la taille, du système de stockage. Selon la taille, l'opération peut prendre
plusieurs heures avant que vous puissiez vous reconnecter à Panorama.
Pour afficher la progression du FSCK, configurez l'accès de console à Panorama et affichez l'état.
Existe t-il une connexion distincte pour la transmission des journaux vers
Panorama ?
Non, Panorama utilise le port TCP 3978 pour la connexion des pare-feux.
Pour PAN-OS 4.x, la connexion SSL du pare-feu de Panorama se connecte via le port 3978 TCP. Il s'agit d'une
connexion bidirectionnelle, où les journaux sont transmis du pare-feu vers Panorama ; et les modifications de
configuration sont transmises de Panorama vers les périphériques gérés. Les commandes de commutation de
contexte sont envoyées via la même connexion.
Pour la version PAN-OS 5.0 et ultérieures, et seulement dans une architecture de collecte de journaux distribués
avec des collecteurs de journaux dédiés, les pare-feux gèrent deux connexions SSL. Une connexion sert à la
gestion Panorama, et l'autre connexion est destinée au collecteur de journaux. les deux connexions utilisent le
même port : le port TCP 3978.

Dépannage
Pourquoi la capacité de stockage de journaux pour le groupe de collecteurs

indique-t-elle 0 Mo ?
La capacité de stockage de journaux du groupe de collecteurs peut afficher 0 Mo si les paires de disques ne sont
pas activées pour la journalisation. Vous devez sélectionner le collecteur de journaux et activer les paires de
disques pour la journalisation dans l'onglet Panorama > Collecteurs gérés. Pour obtenir des instructions,
consultez l'étape 6 dans la section Ajouter un collecteur de journaux à Panorama.
Pour vérifier que les disques sont bien activés et disponibles pour le stockage de journaux, sélectionnez l'onglet
Panorama > Collecteurs gérés, puis vérifiez que le collecteur de journaux s'affiche comme Connecté et que l'état
de configuration affiche Synchronisé(e).
Pourquoi Panorama est-il à l'état suspendu ?
Si Panorama est à l'état suspendu, contrôlez les points suivants :
 Vérifiez que le numéro de série de chaque appareil virtuel Panorama est unique. Si le même numéro de série
est utilisé pour créer deux, voire plusieurs instances de Panorama, toutes les instances utilisant le même
numéro de série sont suspendues.
 Vérifiez que vous avez défini le paramètre de priorité HD sur un homologue Principal et un homologue
Secondaire. Si le paramètre de priorité est identique sur les deux homologues, l'homologue Panorama ayant la
valeur numérique de numéro de série la plus élevée passe en mode suspendu.
 Vérifiez que les deux homologues HD Panorama exécutent la même version de Panorama (numéro de
version majeure et mineure).
Où puis-je voir l'état de la progression de la tâche ?
Utilisez le lien Gestionnaire de tâche dans le coin inférieur droit de l'interface Web Panorama pour afficher la
réussite ou l'échec d'une tâche. Il inclut un message détaillé destiné à aider à résoudre un problème. Pour plus
détails, reportez-vous à la section Afficher l'historique des tâches.

Dépannage
Quels ports sont utilisés par Panorama ?
Afin de vous assurer que Panorama peut communiquer avec le(s) périphérique(s) géré(s), le(s) collecteur(s)de
journaux géré(s) et son homologue dans une configuration HD, utilisez le tableau suivant pour vérifier les ports
que vous devez ouvrir sur votre réseau :
Périphériques communiquant et Ports utilisés Ports utilisés Description

(5.0 et 5.1) (6.0)
Sens d'établissement de la
connexion
Panorama et Panorama (HD) 28 28 Pour la connectivité HD et la

synchronisation si le cryptage est
activé.
Sens : chaque homologue initie sa propre
connexion à l'autre 28769 et 28260 (5.1) 28260 et Pour la connectivité HD et la
28769 et 49160 (5.0) 28769 synchronisation si le cryptage n'est
pas activé.
Panorama et pare-feux gérés 3978 3978 Une connexion bidirectionnelle, où

les journaux sont transmis du
pare-feu vers Panorama ; et les
Sens : connexion initiée par le pare-feu modifications de configuration sont
transmises de Panorama vers les
périphériques gérés. Les
commandes de commutation de
contexte sont envoyées via la même
connexion.
Panorama et collecteur de journaux 3978 3978 Pour la gestion et la collecte des

journaux/création de rapports.
Sens : connexion initiée par le collecteur Utilisé pour la communication avec

de journaux le collecteur de journaux par défaut
sur un homologue Panorama en
mode Panorama et pour la
communication avec les collecteurs
de journaux dans une architecture
de collecte de données distribuée
(DLC).
Collecteur de journaux et collecteur de 49190 49190 et Pour la distribution de blocs et

journaux 28270 toutes les données binaires entre les
collecteurs de journaux.
Sens : chaque collecteur de journaux

initie une connexion aux autres
collecteurs de journaux dans le groupe
de collecteurs

Dépannage
Comment puis-je modifier le nombre maximum d'images pouvant être

téléchargées ?
Sur Panorama, vous pouvez télécharger (ou manuellement charger) les images logicielles et les mises à jour de
contenu pour la gestion centralisée des mises à jour sur les périphériques gérés et l'utilisation locale sur
Panorama.
 Les images/mises à jour requises pour l'utilisation locale sur Panorama sont des images PAN-OS et des
mises à jour de contenu pour l'antivirus, les applications ou les applications et les menaces, et WildFire.
 Les images/mises à jour requises pour les périphériques gérés sont des images PAN-OS, des mises à jour de
contenu pour l'antivirus, les applications ou les applications et les menaces, WildFire et GlobalProtect, ou
des mises à pour la base de données des URL (BrightCloud ou PAN-DB).
L'espace disponible pour stocker ces images n'est pas configurable par l'utilisateur. Lorsque 90 % de l'espace de
stockage alloué sur Panorama est atteint, vous êtes invité à libérer de l'espace (supprimer des images stockées)
pour les nouveaux téléchargements/chargements.
Le nombre maximum d'images est un paramètre général qui s'applique à toutes les images et le contenu stockés
sur Panorama ; il ne peut être configuré qu'à l'aide de la CLI. La valeur par défaut est de 5 images par type ; vous
ne pouvez pas définir un nombre par image/type de contenu.
Gestion de l'espace de stockage alloué pour les images sur Panorama
• Modifiez le nombre maximum d'images Accédez à la CLI sur Panorama et saisissez la commande
stockées sur Panorama. suivante :
set max-num-images count x, où x peut être un
nombre entre 2 et 64.
• Affichez le nombre maximum d'images Saisissez la commande de la CLI suivante :
stockées sur Panorama.
show max-num_images
• Supprimez des images pour libérer de l'espace Utilisez les commandes suivantes :
sur Panorama. • Pour supprimer les images logicielles par nom de fichier ou
Vous pouvez effectuer cette tâche à l'aide de version :
l'interface Web ou de la CLI. delete software image <nom de fichier>
delete software version <numéro de version>
• Pour supprimer les mises à jour de contenu :
delete content update <nom de fichier>

Dépannage
Comment rétablir le système suite à un split-brain lorsque Panorama est

configuré en HD ?
Lorsque Panorama est configuré en HD, les périphériques gérés sont connectés aux homologues HD Panorama
actif et passif. Lorsque la connexion entre les homologues Panorama actif et passif échoue, avant que
l'homologue Panorama passif prenne le rôle de l'homologue passif, il vérifie si un périphérique est connecté aux
homologues actif et passif. Lorsqu'au moins un périphérique est connecté aux deux homologues, le basculement
n'est pas déclenché.
Dans les rares cas où un basculement est déclenché lorsqu'un ensemble de pare-feux est connecté à l'homologue
actif et un autre à l'homologue passif, mais qu'aucun des pare-feux n'est connecté aux deux homologues, il s'agit
d'un split-brain. Lorsqu'un split-brain survient, les situations suivantes se produisent :
 Aucun homologue Panorama n'a connaissance de l'état ou du rôle HD de l'autre homologue.
 Les deux homologues Panorama deviennent actifs et gèrent un ensemble unique de pare-feux.
Pour corriger un split-brain, résolvez vos problèmes réseau et rétablissez la connectivité entre les
homologues HD Panorama.
Cependant, si vous devez effectuer des modifications de configuration sur vos pare-feux sans rétablir la
connexion entre les homologues, voici quelques options :
 Ajoutez manuellement les mêmes modifications de configuration aux deux homologues Panorama. Cela
permet de garantir la synchronisation de la configuration lorsque le lien est rétabli.
 Si vous devez ajouter/modifier la configuration à un seul

emplacement de Panorama, effectuez les modifications et
synchronisez la configuration (assurez-vous d'initier la
synchronisation à partir de l'homologue sur lequel vous avez
effectué les modifications), lorsque le lien entre les
homologues Panorama est rétabli.
 Si vous devez ajouter/modifier la configuration uniquement

pour les périphériques connectés à cet emplacement, vous
pouvez effectuer les modifications de configuration
indépendamment sur chaque homologue Panorama. Comme
les homologues sont déconnectés, aucune réplication ne se produit et chaque homologue dispose désormais
d'un fichier de configuration complètement différent (ils sont désynchronisés). Par conséquent, afin de
s'assurer que les modifications de configuration sur chaque homologue ne sont pas perdues lorsque la
connexion est rétablie, vous ne pouvez pas autoriser la resynchronisation de la configuration. Pour résoudre
ce problème, exportez la configuration de chaque homologue Panorama et fusionnez manuellement les
modifications à l'aide d'un outil de comparaison et de fusion externe. Une fois les modifications intégrées, vous
pouvez importer le fichier de configuration unifié sur l'homologue Panorama principal puis le synchroniser
avec l'homologue.

Dépannage
Comment remplacer Panorama ou un périphérique géré en cas de

défaillance matérielle/d'autorisation de retour d'article ?
 Comment récupérer les journaux d'un appareil M-100 en mode Collecteur de journaux ?
 Comment récupérer les journaux d'un appareil M-100 en mode Panorama ?
 Comment récupérer les journaux de Panorama (machine virtuelle ou appareil M-100) qui ne sont pas
déployés en HD ?
 Comment remplacer un périphérique géré (autorisation de retour d'article du pare-feu) ?
Comment récupérer les journaux d'un appareil M-100 en mode Collecteur de journaux ?
Si une défaillance système se produit sur un appareil M-100 en mode Collecteur de journaux géré par un appareil
virtuel Panorama ou un appareil M-100 en mode Panorama, utilisez la procédure suivante pour récupérer les
journaux sur l'appareil M-100 de remplacement.
Panorama Étape 6 HD Panorama

Étape 1,
4 et 5 Nouveau collecteur de
journaux Étape 3
Collecteur de
journaux Étape 2
D1
D2
Restaurer les journaux d'un appareil M-100 en mode Collecteur de journaux sur un appareil M-100 de
remplacement
Sur l'appareil M-100 nouveau/de remplacement. Vous devez avoir déjà enregistré le nouvel appareil, Configurer l'appareil
virtuel M-100 en mode Collecteur de journaux et transféré les licences si nécessaire.

Dépannage
remplacement
Étape 1 Sur le serveur Panorama qui gère 1. Reportez-vous à la section Ajouter un collecteur de journaux à
l'appareil M-100 en mode Collecteur de Panorama ou utilisez les commandes de la CLI suivantes :
journaux, ajoutez le nouveau collecteur de configure
journaux comme collecteur géré. set log-collector <numéro de série du
collecteur de journaux> deviceconfig system
hostname <nom d'hôte du collecteur de journaux>
exit
2. Vérifiez que le collecteur de journaux a été ajouté et est connecté
à Panorama.
show log-collector serial-number <numéro
de série du collecteur de journaux>
Remarque Les paires de disques s'affichent comme étant
désactivées à ce stade du processus de restauration.
Vérifiez que l'état est présent/disponible.
3. Validez vos modifications sur Panorama. Ne validez pas encore
les modifications sur le groupe de collecteurs.
configure
commit
exit
Étape 2 Retirez les disques RAID de 1. Mettez l'appareil M-100 hors tension.
l'appareil M-100 défectueux. 2. Assurez-vous de conserver l'association de la paire de disques
lorsque vous les retirez de l'appareil.
Bien qu'un disque se trouvant dans l'emplacement A puisse être
placé dans l'emplacement B sur le périphérique de
remplacement, la paire doit être conservée dans le même
emplacement ; si la paire est séparée, il se peut que les données
ne soient pas restaurées avec succès.

Dépannage
remplacement
Étape 3 Préparez les disques pour la migration. 1. Insérez les disques dans le nouvel appareil M-100 en mode
Collecteur de journaux.
2. Pour chaque paire de disques à migrer, émettez la commande
suivante pour activer la/les paire(s) de disques sur le nouveau
Remarque La génération des métadonnées de request system raid add <emplacement> force
chaque paire de disques recrée les no-format
index. Par conséquent, selon le Par exemple :
volume de données, ce processus peut request system raid add A1 force no-format
prendre beaucoup de temps. Si vous request system raid add A2 force no-format
remplacez 4 paires RAID, vous Les options force et no-format sont requises dans cette
pouvez lancer 4 sessions de CLI commande. L'option force associe la paire de disques à cet
et émettre la commande appareil de remplacement ; l'option no-format empêche le
indépendamment dans chaque session reformatage des lecteurs et conserve les journaux stockés sur les
afin de terminer le processus de disques.
régénération des métadonnées
simultanément pour toutes les 3. Générez les métadonnées de chaque paire de disques.
paires. Pour plus d'informations, request metadata-regenerate slot <numéro
reportez-vous à la section Quand et d'emplacement>
pourquoi les métadonnées doivent Par exemple :
être régénérées pour une request metadata-regenerate slot 1
paire RAID ?
Étape 4 Migrez les journaux. Pour chaque paire de disques, effectuez la migration des journaux à
partir de l'ancien collecteur de journaux vers le nouveau. La
commande suivante affecte la paire de disques au nouvel appareil.
request log-migration from <numéro de série
de l'ancien collecteur de journaux>
old-disk-pair <log_disk_pair> to <numéro de
série du nouveau collecteur de journaux>
new-disk-pair <paire de disque des journaux>
Par exemple :
request log-migration from 003001000010
old-disk-pair A to 00300100038 new-disk-pair A

Dépannage
remplacement
Étape 5 Reconfigurez le groupe de collecteurs. 1. Ajoutez le nouveau collecteur de journaux comme membre du
configure
set log-collector-group <nom du groupe de
collecteurs> logfwd-setting collectors <numéro
de série du collecteur géré>
2. Redéfinissez la liste de préférences utilisée par les périphériques
gérés. Répétez la commande pour chaque périphérique géré.
set log collector-group <nom du groupe>
logfwd-setting devices <numéro de série du
périphérique>
Par exemple :
set log collector-group
DC-Collector-Group logfwd-setting devices
0030010110010
3. Supprimez le collecteur de journaux défectueux de la
configuration Panorama et validez vos modifications sur
Panorama.
delete log-collector <ancien numéro de
série>
commit
Par exemple :
delete log-collector 003001000010
commit
exit
4. Validez les modifications apportées au groupe de collecteurs
pour que les périphériques gérés puissent envoyer les journaux
au nouveau collecteur de journaux.
commit-all log-collector-config
log-collector-group <nom du groupe de
collecteurs>
Par exemple :
log-collector-group DC-Collector-Group
Étape 6 Synchronisez la configuration entre les Pour synchroniser la configuration en cours d'exécution avec
homologues HD Panorama. l'homologue HD Panorama, cliquez sur le lien Synchronisation
avec l'homologue dans le widget Haute disponibilité sur le tableau
de bord, ou utilisez la commande de la CLI suivante :
request high-availability sync-to-remote
running-config

Dépannage
Comment récupérer les journaux d'un appareil M-100 en mode Panorama ?
Vous pouvez récupérer les journaux d'un disque RAID sur un appareil M-100 en mode Panorama uniquement
si l'homologue Panorama est configuré dans une paire haute disponibilité (HD). En cas de défaillance système
de l'appareil M-100, vous pouvez transférer les disques RAID vers un appareil M-100 de remplacement et
récupérer les journaux stockés sur les disques de l'appareil défectueux. La migration des disques vers un autre
appareil vous permet d'accéder de nouveau aux données de journal, de reprendre les requêtes de journal et de
générer des rapports.
Ce flux de travail traite des situations suivantes où les appareils M-100 sont déployés en mode Panorama et
configurés en HD :
 Un homologue Panorama dans une paire est configuré comme collecteur de journaux géré et reçoit les
journaux des pare-feux gérés.
Panorama Panorama
HD
Groupe de collecteurs
D1 D2
 Les deux homologues Panorama sont des collecteurs de journaux gérés appartenant à un groupe de
collecteurs (notez qu'il ne s'agit pas d'un déploiement recommandé).
 Chaque Panorama est configuré comme collecteur de journaux géré et affecté à un groupe de collecteurs
distinct.
Panorama Panorama
HD
Groupe de collecteurs Groupe de collecteurs
Journaux
Journaux
D1 D2
Restaurer les journaux d'un appareil M-100 en mode Panorama (dans une configuration HD)
Étape 1 Retirez les disques RAID de 1. Mettez l'appareil M-100 hors tension.
l'appareil M-100 défectueux. 2. Assurez-vous de marquer la paire de disques lorsque vous les
retirez de l'appareil.
Bien qu'un disque se trouvant dans l'emplacement A puisse être
placé dans l'emplacement B sur le périphérique de
remplacement, la paire doit être conservée dans le même
emplacement ; si la paire est séparée, il se peut que les données
ne soient pas restaurées avec succès.
Sur l'appareil M-100 nouveau/de remplacement, vous devez avoir déjà enregistré le nouvel appareil Configurer l'appareil
virtuel M-100 en mode Panorama et transféré les licences si nécessaire.

Dépannage
Étape 2 Sur le nouvel appareil, définissez la 1. Définissez la valeur de priorité HD de sorte qu'elle corresponde
configuration HD de manière à ce qu'elle à celle de l'homologue que vous remplacez. Pour plus
corresponde avec celle de d'informations, reportez-vous à la section Configurer une paire
l'appareil M-100 qu'elle remplace. haute disponibilité Panorama.
2. Vérifiez que la HD est fonctionnelle
Étape 3 Préparez les disques pour la migration. 1. Insérez les disques dans le nouvel appareil M-100.
2. Pour chaque paire de disques à migrer, émettez la commande
suivante pour activer la/les paire(s) de disques sur le nouveau
request system raid add <emplacement> force
Remarque La génération des métadonnées de no-format
chaque paire de disques recrée les Par exemple :
index. Par conséquent, selon le request system raid add A1 force no-format
volume de données, ce processus request system raid add A2 force no-format
peut prendre beaucoup de temps. Les options force et no-format sont requises dans cette
Si vous remplacez 4 paires RAID, commande. L'option force associe la paire de disques à cet
vous pouvez lancer 4 sessions de appareil de remplacement ; l'option no-format empêche le
CLI et émettre la commande reformatage des lecteurs et conserve les journaux stockés sur les
indépendamment dans chaque session disques.
afin de terminer le processus de
régénération des métadonnées 3. Générez les métadonnées de chaque paire de disques.
simultanément pour toutes les request metadata-regenerate slot <numéro
paires. Pour plus d'informations, d'emplacement>
reportez-vous à la section Quand et Par exemple :
pourquoi les métadonnées doivent request metadata-regenerate slot 1
être régénérées pour une
paire RAID ?
Étape 4 Synchronisez la configuration de l'autre Pour synchroniser la configuration en cours d'exécution avec
homologue Panorama avec cet l'homologue HD Panorama, cliquez sur le lien Synchronisation
homologue Panorama de remplacement. avec l'homologue dans le widget Haute disponibilité sur le tableau
de bord, ou utilisez la commande de la CLI suivante :
request high-availability sync-to-remote
running-config

Dépannage
Étape 5 Ajoutez le nouveau collecteur de journaux 1. Reportez-vous à la section Ajouter un collecteur de journaux à
comme collecteur géré. Panorama ou utilisez les commandes de la CLI suivantes :
N'activez pas encore les disques sur le configure
collecteur géré. Ces disques seront set log-collector <numéro de série du
automatiquement activés lorsque les collecteur de journaux> deviceconfig system
journaux seront migrés avec succès. hostname <nom d'hôte du collecteur de journaux>
exit
2. Vérifiez que le collecteur de journaux a été ajouté et est connecté
à Panorama.
show log-collector serial-number <numéro
de série du collecteur de journaux>
Remarque Les paires de disques s'affichent comme étant
désactivées à ce stade du processus de restauration.
Remarque La génération des métadonnées de Vérifiez que l'état est présent/disponible.
chaque paire de disques recrée les
index. Par conséquent, selon le 3. Validez vos modifications sur Panorama. Ne validez pas encore
volume de données, ce processus peut les modifications sur le groupe de collecteurs.
prendre beaucoup de temps. configure
Reportez-vous à la section Quand et commit
pourquoi les métadonnées doivent exit
être régénérées pour une
paire RAID ?
Étape 6 Migrez les journaux. 1. Pour chaque paire de disques, émettez la commande suivante
pour effectuer la migration des journaux sur le nouvel appareil.
request log-migration from <numéro de série
de l'ancien collecteur de journaux>
old-disk-pair <log_disk_pair> to <numéro de
série du nouveau collecteur de journaux>
new-disk-pair <paire de disque des journaux>
Par exemple :
request log-migration from 003001000010
old-disk-pair A to 00300100038 new-disk-pair A
2. Validez les modifications sur Panorama.
configure
commit
exit

Dépannage
Étape 7 Reconfigurez le groupe de collecteurs. 3. Reconfigurez le groupe de collecteurs comme suit :

a. Ajoutez le collecteur géré comme membre du groupe de
collecteurs.
set log-collector-group <nom du groupe
de collecteurs> logfwd-setting collectors
<numéro de série du collecteur géré>
L'ancien collecteur de journaux devrait encore s'afficher dans
la liste des membres, car vous ne l'avez pas encore supprimé
de la configuration.
b. Redéfinissez la liste de préférences que les périphériques
gérés utilisent pour le transfert des journaux.
set log collector-group <nom du groupe>
logfwd-setting devices <numéro de série du
périphérique>
c. Supprimez le collecteur de journaux défectueux du groupe de
collecteurs.
delete log collector-group <nom du
groupe> logfwd-setting collectors <ancien
numéro de série>
Par exemple :
delete log collector-group
DC-Collector-Group logfwd-setting collectors
003001000010
d. Validez les modifications sur Panorama.
e. Validez les modifications apportées au groupe de collecteurs
pour que les périphériques gérés puissent envoyer les
journaux au nouveau collecteur de journaux.
collecteurs>
Par exemple :
log-collector-group DC-Collector-Group

Dépannage
Étape 8 Synchronisez la configuration en cours 1. Afin de vous assurer que la configuration en cours d'exécution
d'exécution entre les homologues HD est synchronisée avec l'homologue HD Panorama, cliquez sur le
Panorama. lien Synchronisation avec l'homologue dans le widget Haute
disponibilité sur le tableau de bord pour initier une
synchronisation manuelle.
2. Sur l'homologue Panorama principal actif, confirmez que la
configuration est synchronisée.
Comment récupérer les journaux de Panorama (machine virtuelle ou appareil M-100) qui
ne sont pas déployés en HD ?
Si une défaillance système se produit sur un serveur Panorama qui gère un ou plusieurs collecteurs de journaux
dédiés et n'est pas déployé dans une configuration HD, utilisez cette procédure pour restaurer la configuration
sur l'homologue Panorama de remplacement et accéder de nouveau aux journaux sur les collecteurs de journaux
gérés.
Pour gérer les données, Panorama conserver un fichier classeur qui mappe les segments et les partitions utilisés
pour stocker les journaux sur le collecteur de journaux. Ce fichier classeur est stocké sur le SSD interne d'un
appareil M-100 ou sur le disque interne de l'appareil virtuel Panorama qui gère le(s) collecteur(s) de journaux.
Lorsque Panorama n'est pas configuré en HD et qu'une défaillance système se produit, le fichier classeur est
automatiquement récupéré. Par conséquent, lorsque vous remplacez Panorama, vous devez restaurer le fichier
classeur pour pouvoir accéder aux journaux sur les collecteurs gérés.
Palo Alto Networks recommande le déploiement de Panorama dans une configuration HD. Lorsqu'il
est déployé en HD, l'homologue principal qui gère le(s) collecteur(s) de journaux stocke le fichier
classeur sur son espace de stockage interne (SSD d'un appareil M-100 ou disque interne de l'appareil
virtuel Panorama). Ce fichier classeur est ensuite automatiquement synchronisé avec
l'homologue Panorama secondaire passif et l'accès aux journaux sur le(s) collecteur(s) de journaux
géré(s) est automatiquement maintenu.
Utilisez le flux de travail suivant après avoir enregistré le nouvel appareil et transféré les licences sur le portail
de support si nécessaire, effectué la configuration initiale et récupéré la licence sur l'homologue Panorama de
remplacement.

Dépannage
Restaurer la configuration et les journaux de Panorama
Étape 1 Restaurez la configuration de l'ancien Restaurez la configuration de l'ancien serveur Panorama sur le
homologue Panorama sur nouveau serveur.
l'homologue Panorama de remplacement. 1. Sélectionnez Panorama > Configuration > Opérations.
Vous devez avoir sauvegardé et exporté 2. Sélectionnez Importer l'instantané de la
votre configuration Panorama afin de configuration Panorama, puis Parcourir pour rechercher le
pouvoir rétablir le système après une fichier et cliquez sur OK pour l'importer.
défaillance système. 3. Sélectionnez Charger l'instantané de la
configuration Panorama puis choisissez la version que vous
venez d'importer.
Étape 2 Vérifiez que la connexion au(x) Sélectionnez Panorama > Collecteurs gérés et vérifiez que le(s)
collecteur(s) géré(s) est restaurée. collecteur(s) géré(s) est/sont connecté(s).
Si le collecteur géré ne s'affiche pas, vous ne disposez pas de la
configuration Panorama la plus récente. Votre instantané de
configuration a été pris avant l'implémentation de la configuration du
groupe de collecteurs/collecteur de journaux géré sur Panorama.
Pour redéfinir la configuration du groupe de collecteurs/collecteur
de journaux géré, reportez-vous à l'étape 4.
Étape 3 Récupérez le fichier classeur pour 1. Accédez à la CLI sur Panorama.

restaurer l'accès aux journaux stockés 2. Saisissez la commande suivante pour récupérer le fichier
sur le collecteur géré. classeur :
request fetch ring from log-collector
<numéro de série>
Par exemple :
009201000343
3. Validez vos modifications sur le groupe de collecteurs

Dépannage
Restaurer la configuration et les journaux de Panorama
Étape 4 (Uniquement requis si la configuration du 1. Accédez à la CLI sur le collecteur géré et saisissez les
collecteur géré manque sur Panorama.) commandes suivantes pour afficher les dernières entrées du
journal. Cette commande vous permet de vérifier le nom du
collecteur géré que vous devez définir sur Panorama.
a. request fetch ring from log-collector <numéro de
série>
L'erreur suivante s'affiche :
Server error: Failed to fetch ring
info from <numéro de série>
b. less mp-log ms.log
L'erreur suivante s'affiche :
Dec04 11:07:08 Error:
pan_cms_convert_resp_ring_to_file(pan_ops_cms.c:
3719): Current configuration does not contain
group CA-Collector-Group
Ce message d'erreur indique sur le groupe de collecteurs
manquant porte le nom de CA-Collector-Group.
2. Créez le groupe de collecteurs sur Panorama et ajoutez le
collecteur géré comme membre de ce groupe de collecteurs.
set log-collector-group
CA-Collector-Group
set log-collector-group
CA-Collector-Group logfwd-setting collector
009201000343
3. Validez les modifications sur Panorama. Ne validez pas le
groupe de collecteurs à ce stade.
4. Récupérez le fichier classeur à partir du collecteur de journaux à
l'aide de la commande :
<numéro de série>
5. Validez les modifications sur le groupe de collecteurs
collecteurs de journaux>
Comment remplacer un périphérique géré (autorisation de retour d'article du pare-feu) ?
(Utilisez cette procédure pour remplacer un périphérique RMA (Return Merchandise Authorization - autorisation de retour
d'article).)
Pour réduire les efforts nécessaires à la restauration de la configuration sur un périphérique géré sur une RMA
(Return Merchandise Authorization), vous pouvez remplacer le numéro de série de l'ancien périphérique par
celui du nouveau périphérique ou du périphérique de remplacement sur Panorama. Pour restaurer ensuite la
configuration sur le périphérique de remplacement, vous pouvez soit importer l'état de périphérique que vous
avez généré et exporté depuis le périphérique au préalable, soit utiliser Panorama pour générer un état de

Dépannage
périphérique partiel pour les périphériques gérés exécutant PAN-OS v5.0 ou ultérieures. L'état de périphérique
partiel que vous créez duplique la configuration des périphériques gérés avec quelques exceptions pour les
configurations VPN (LSVPN) à grande échelle. Il est créé par le biais de la combinaison de deux facettes de la
configuration sur un périphérique géré :
 Configuration centralisée gérée par Panorama : Panorama garde un cliché des politiques partagées et des
modèles transmis depuis Panorama.
 Configuration locale sur le périphérique : Lorsqu'un changement de configuration est validé, chaque
périphérique envoie une copie du fichier de configuration locale à Panorama. Ce fichier est stocké sur
Panorama et est utilisé pour compiler l'ensemble d'état de périphérique partiel
Dans une configuration LSVPN, l'ensemble d'état de périphérique partiel que vous générez sur
Panorama n'est pas le même que sur la version que vous pouvez exporter en utilisant l'opération
Exporter l'état du périphérique à partir de l'onglet Périphérique > Configuration > Opérations sur
le pare-feu. Si vous avez exécuté manuellement l'exportation d'état de périphérique ou si vous avez
programmé un script d'API XML pour exporter un fichier vers un serveur distant, vous pouvez utiliser
l'état de périphérique exporté dans le flux de travail de remplacement de périphérique ci-dessous.
Si vous n'avez pas exporté l'état du périphérique, l'état de périphérique que vous générez dans ce flux
de travail n'inclura pas les informations de configuration dynamique telles que les détails de certificat et
les périphériques enregistrés, qui est requis pour restaurer la configuration complète d'un périphérique
fonctionnant en tant que portail LSVPN. Reportez-vous à la section Avant de commencer pour plus
d'informations.
L'état de périphérique n'est pas stocké sur Panorama. Il est généré sur demande à l'aide des commandes
d'interface de ligne de commande répertoriées dans la section Restaurer la configuration sur le nouveau
périphérique. En remplaçant le numéro de série et en important l'état de périphérique, vous pouvez reprendre
la gestion de périphérique à l'aide de Panorama.
Avant de commencer
 Le périphérique géré (qui a été remplacé) doit être installé sur PAN-OS v5.0.4 ou une version ultérieure.
Panorama ne peut pas générer l'état de périphérique pour des périphériques exécutant les versions PAN-OS plus
anciennes. Si vous devez restaurer la configuration d'un périphérique exécutant une version de PAN-OS
antérieure à 5.0.4, reportez-vous à cet article : Restauration de configuration avec Panorama.
 Notez les détails qui suivent sur l'ancien périphérique :

– Numéro de série : Vous devez saisir le numéro de série sur le portail d'assistance pour transférer les
licences à partir de l'ancien périphérique vers votre périphérique de remplacement. Vous saisirez
également cette information sur Panorama, pour remplacer toutes les références à l'ancien numéro de
série par le numéro de série du périphérique de remplacement.
– (Recommandé) Version de PAN-OS et version de base de données de contenu : L'installation des
mêmes versions de logiciel et de base de données de contenu, notamment le fournisseur de base de
données d'URL vous permet de créer le même état sur le périphérique de remplacement. Si vous
décidez d'installer la dernière version de la base de données de contenu, il se peut que vous remarquiez
les différences en raison des mises à jour et des ajouts de base de données. Pour vérifier les versions
installées sur le périphérique, accédez aux journaux système de périphériques stockés sur Panorama.

Dépannage
 Préparez le périphérique de remplacement pour le déploiement. Avant d'importer l'ensemble d'état de

périphérique et de restaurer la configuration, vous devez :
– vérifier que le périphérique de remplacement est du même modèle et est activé pour des fonctionnalités
opérationnelles semblables. prenez en compte les fonctions opérationnelles suivantes : doit-il être
configuré pour des systèmes virtuels multiples, prendre en charge le mode Jumbo frame, ou activé pour
fonctionner en mode CC ou FIPS ?
– Configurez un accès réseau, transférez les licences et installez la version PAN-OS appropriée et la
version de base de données de contenu appropriée.
 Pour ce faire, vous devez utiliser l'interface de ligne de commande Panorama. Ce flux de travail basé sur
interface de ligne de commande est disponible pour les rôles utilisateur super utilisateur et panorama-admin.
 Si vous disposez d'une configuration LSVPN et remplacez un pare-feu Palo Alto Networks déployé en tant
que périphérique satellite ou en tant que portail LSVPN, les informations de configuration dynamique
requises pour restaurer la connectivité LSVPN ne seront pas disponibles lorsque vous restaurerez l'état de
périphérique partiel généré sur Panorama. Si vous avez suivi la recommandation selon laquelle il faut
fréquemment générer et exporter l'état des périphériques dans une configuration LSVPN, utilisez l'état de
périphérique que vous avez déjà exporté depuis le périphérique lui-même au lieu d'en générer un sur
Panorama.
Si vous n'avez pas exporté manuellement l'état de périphérique, et si vous avez besoin de générer un état de
périphérique partiel sur Panorama, la configuration dynamique manquante a un impact sur le processus de
remplacement de périphérique comme suit :
– Si le périphérique que vous remplacez est un périphérique de portail explicitement configuré avec
des numéros de série des périphériques satellites (Réseau > GlobalProtect > Portails >
Configuration satellite), lors de la restauration de la configuration de périphérique, même si la
configuration est perdue, le périphérique de portail sera en mesure d'authentifier les périphériques de
portail avec succès). Une authentification réussie renseignera les informations de configuration
dynamique et la connectivité LSVPN sera rétablie.
– Si vous remplacez un périphérique satellite, le périphérique satellite ne sera pas en mesure de se
connecter et de s'authentifier auprès du portail. Cet échec de connexion se produit parce que le numéro
de série n'a pas été explicitement configuré sur le périphérique (Réseau > GlobalProtect > Portails
> Configuration satellite) ou parce que, bien que le numéro de série ait été configuré de façon
explicite, le numéro de série du périphérique remplacé ne correspond pas à celui de l'ancien
périphérique. Pour restaurer la connectivité, après avoir importé l'ensemble d'état du périphérique,
l'administrateur satellite doit se connecter au périphérique et saisir les informations d'authentification
(nom d'utilisateur et mot de passe) pour authentifier le portail. Lorsque l'authentification a lieu, la
configuration dynamique requise pour la connectivité LSVPN est générée sur le portail.
Cependant, si le périphérique a été configuré en haute disponibilité, après la restauration de la configuration,
le périphérique synchronise automatiquement la configuration en cours avec son homologue et obtient la
configuration dynamique requise pour fonctionner sans problème.

Dépannage
Restaurer la configuration sur le nouveau périphérique
Utilisez le flux de travail qui suit pour restaurer la configuration du périphérique.
Restaurer la configuration du périphérique
Tâches sur le nouveau périphérique.

Utilisez CLI pour un flux de travail simplifié.
Étape 1 Effectuez la configuration initiale, et Utilisez une connexion de port série ou une connexion SSH pour
vérifiez la connectivité réseau. ajouter une adresse IP, une adresse IP de serveur DNS, et vérifiez que
le périphérique peut accéder au serveur de mise à jour Palo Alto
Networks.
Pour les instructions, reportez-vous au Guide de prise en main Palo Alto
Networks (Guide de démarrage avec Palo Alto Networks).
Étape 2 (Facultatif) Définissez le mode 1. Saisissez la commande d'interface de ligne de commande pour
opérationnel pour qu'il corresponde à accéder au mode de maintenance sur le périphérique :
celui de l'ancien périphérique. debug system maintenance-mode
Une connexion de port série est 2. Pour démarrer dans la partition de maintenance, saisissez
nécessaire pour cette tâche. maint pendant la séquence de démarrage.
3. Sélectionnez le mode opérationnel Définir le mode
FIPS ou Définir le mode CCEAL 4 dans le menu
principal.
Étape 3 Récupérez la (les) licence(s). Saisissez la commande suivante pour extraire vos licences :
request license fetch
Étape 4 (Facultatif) Faites correspondre l'état Saisissez les commandes qui appartiennent à vos paramètres de
opérationnel du nouveau périphérique à périphérique.
celui de l'ancien périphérique. Par set system setting multi-vsys on
exemple, activez la fonction de systèmes set system setting multi-vsys on
virtuels multiples (multi-vsys) pour le
périphérique compatible avec la fonction
de systèmes virtuels multiples.
Étape 5 Mettez à jour la version de PAN-OS sur le Saisissez les commandes suivantes :
périphérique. 1. Pour mettre à niveau la version de base de données de contenu :
Vous devez procéder à une mise à niveau request content upgrade download
vers le même système d'exploitation et la <xxx-xxxx>
même version de base de données de 2. Pour installer la version de base de données que vous avez
contenu que celle qui installée sur l'ancien téléchargée :
périphérique. request content upgrade install version
<xxx-xxxx>
3. Pour mettre à niveau la version de logiciel PAN-OS :
request system software download
version 5.x.x
4. Pour installer la version de base de données que vous avez
téléchargée :
request system software install version
5.x.x

Dépannage
Restaurer la configuration du périphérique (suite)
Tâches sur l'interface de ligne de commande Panorama

Vous ne pouvez pas effectuer ces tâches sur l'interface Web de Panorama.
Étape 6 Remplacez le numéro de série de l'ancien 1. Saisissez la commande suivante en mode opérationnel :
périphérique par celui du nouveau replace device old <ancien numéro de
périphérique de remplacement sur série> new <nouveau numéro de série>
Panorama. 2. Passez en mode Configuration et validez vos modifications.
En remplaçant le numéro de série sur configure
Panorama, vous permettez au nouveau commit
périphérique de se connecter à Panorama 3. Quittez le mode configuration
une fois que vous avez restauré la exit
configuration de périphérique.
(Sautez cette étape si vous avez exporté Saisissez une des commandes suivantes :
manuellement l'état du périphérique depuis votre scp export device-state device <nouveau
pare-feu, et accédez à l'étape 8 ci-dessous) N° série> to <connexion> @ <Serveur IP>:
<chemin d'accès>
Étape 7 Exportez l'ensemble d'état du
périphérique à un ordinateur à l'aide de ou,
SCP ou de TFTP. tftp device-state device <nouveau N°
série> to <connexion> @ <serveur IP>:
La commande d'exportation génère un <chemin d'accès>
ensemble d'état de périphérique en tant
que fichier compressé tar et l'exporte vers
l'emplacement spécifié. Cet état de
périphérique n'inclut pas la configuration
dynamique LSVPN (information satellite
et détails de certificat).
Tâches sur le nouveau périphérique.
Étape 8 Importer l'état de l'appareil et valider les 1. Accédez à l'interface Web du périphérique.
changements sur le périphérique. 2. Sélectionnez Périphérique > Configuration > Opérations et
cliquez sur le lien Importer l'état du périphérique dans la
section Gestion de configuration.
3. Naviguez pour localiser le fichier, puis cliquez sur OK.
4. Cliquez sur Valider pour enregistrer vos modifications dans la
configuration en cours sur le périphérique.
5. Pour confirmer que l'état du périphérique restauré contient les
références aux politiques et aux objets transmises à Panorama,
recherchez la petite icône verte .

Dépannage
Restaurer la configuration du périphérique (suite)
Tâches sur Panorama

Vous pouvez maintenant utiliser l'interface Web Panorama pour accéder et gérer le périphérique remplacé.
Étape 9 Vérifiez que la configuration de 1. Accédez à l'interface Web de Panorama.

périphérique a été restaurée avec succès. 2. Vérifiez que le nouveau périphérique est connecté à Panorama.
3. Effectuez une validation de modèle et de groupes de modèles

pour garder le périphérique synchronisé avec Panorama.
Une fois le périphérique remplacé, si vous avez besoin de générer des rapports sur une période qui englobe
le temps où l'ancien périphérique était fonctionnel, et après l'installation du périphérique de remplacement,
vous devez générer une demande distincte pour chaque numéro de série du périphérique parce que le
remplacement du numéro de série sur Panorama n'écrase pas les informations présentes dans les journaux.
Quand et pourquoi les métadonnées doivent être régénérées pour une

paire RAID ?
Lorsqu'une défaillance système survient sur l'appareil M-100 et que vous devez transférer les disques d'un
appareil à un autre, la régénération des métadonnées est nécessaire. Les métadonnées sont requises pour
localiser les journaux sur le disque ; lorsqu'un utilisateur émet une requête de journal, la requête consulte ces
métadonnées pour accéder aux données de journal demandées.
Vous devez émettre cette commande pour chaque paire de disque RAID configurée dans votre appareil M-100.
La durée requise pour régénérer les métadonnées dépend de la taille des disques RAID ; en moyenne, une heure
est nécessaire pour régénérer les métadonnées d'un disque de 100 Go. Lorsque vous exécutez la commande, la
session de CLI en cours est verrouillée jusqu'à ce l'exécution de la commande soit terminée. Par conséquent, si
vous remplacez 4 paires RAID, vous pouvez lancer 4 sessions de CLI et émettre la commande indépendamment
dans chaque session afin de terminer le processus de régénération des métadonnées simultanément pour
tou(te)s les paires/emplacements en 10 heures environ pour 4 To de données de journal.
Lorsque les métadonnées sont régénérées, le groupe de collecteurs auquel ces disques appartiennent et paie de
disques ne sont pas encore disponibles pour les opérations de journalisation et de création de rapports
(écritures/requêtes). Toutefois, vous pouvez effectuer d'autres tâches, telles que la gestion des nouvelles
connexions de périphérique ou des modifications de configuration sur les périphériques gérés. Tous autres les
groupes de collecteurs gérés par cet homologue Panorama, qui ne font pas partie de ce processus RMA, peuvent
effectuer les tâches de journalisation et de création de rapports normalement.

Palo Alto Networks Guide de L'administrateur Panorama Panorama 6.0

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Palo Alto Networks Guide de L'administrateur Panorama Panorama 6.0

Transféré par

Droits d'auteur :

Formats disponibles

Palo Alto Networks®

Guide de l'administrateur Panorama

Palo Alto Networks, Inc.

Table des matières

Guide de l'administrateur Panorama iii

Installer les mises à jour de contenu et le logiciel Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

Gérer les pare-feux et la collecte de journaux. . . . . . . . . . . . . . . . . . . . . . . . . 61

Surveiller l'activité réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115

Haute disponibilité Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131

iv Guide de l'administrateur Panorama

Gérer Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145

Guide de l'administrateur Panorama v

vi Guide de l'administrateur Panorama

Guide de l'administrateur Panorama 1

 Administration distribuée : vous permet de déléguer ou de restreindre l'accès aux configurations et

2 Guide de l'administrateur Panorama

Considérations VMware M-100

Appareil virtuel Mode Panorama Architecture de journaux

Nombre de périphériques 10 pare-feux ou Jusqu'à 100 pare-feux Jusqu'à 1 000 pare-feux

Guide de l'administrateur Panorama 3

À propos de la configuration et de la gestion de déploiement

Changement de contexte : périphérique ou Panorama

4 Guide de l'administrateur Panorama

À propos des politiques

Guide de l'administrateur Panorama 5

Règles avant partagées

évaluées de haut en bas

Règles de pare-feu local

Règles après de groupe de périphériques

Règles après partagées

6 Guide de l'administrateur Panorama

À propos des objets

Guide de l'administrateur Panorama 7

À propos de la journalisation et de la création de rapports

8 Guide de l'administrateur Panorama

Collecteurs gérés et groupes de collecteurs

Utilisation de collecteurs de journaux dans un groupe de collecteurs

Guide de l'administrateur Panorama 9

Pare-feu géré Liste de préférences de transfert de journaux définie sur un groupe

FW1 L1, L2, L3

FW2 L4, L5, L6

10 Guide de l'administrateur Panorama

10GB Groupe de collecteurs

Création centralisée de rapports

Guide de l'administrateur Panorama 11

À propos du contrôle d'accès basé sur les rôles

– Configurer la fonctionnalité Exportation programmée des configurations dans l'onglet Panorama.

12 Guide de l'administrateur Panorama

Profils et séquences d'authentification

Guide de l'administrateur Panorama 13

Authentification des administrateurs

Il existe quatre façons d'authentifier les utilisateurs administrateurs :

 Compte administrateur et authentification externes : l'administration et l'authentification de comptes

14 Guide de l'administrateur Panorama

Déploiement Panorama recommandé

Panorama pour la gestion et la création centralisées de rapports

Modèles de configuration Journaux Rapports

Panorama dans une architecture de collecte de journaux distribuée

Guide de l'administrateur Panorama 15

 Elle permet de meilleures performances des fonctions de gestion sur Panorama

Rapports Journaux Périphériques gérés sur PAN-OS 4.x

Politique de groupe de périphériques

Collecteur de Périphériques gérés sur PAN-OS 5.x