■ログイン
(1)接続方法
MGT(管理)ポートに接続後、https://192.168.1.1/にアクセス。
デフォルトでは192.168.1.1/24のIPアドレスが割り振られている。DHCPでは割り当ててくれなかったので、設定用PCには固定IPを設定して接続する。
ブラウザにて、証明書のエラーが出るが、継続して接続。

(2)ログイン画面
ユーザID:admin
password:admin

でログイン

全般的に、以下のサイトにもいろいろ書いてある。
https://www.my-technote.com/palo-loginout/

■CLIからの設定
(1)2つの設定モード
CiscoなどのNW機器と同様に、モードがある
①>
・operational mode(オペレーショナルモード)
・状態を見たりする
 
②#
・設定モード(コンフィグレーションモード)
・設定変更をする
・以下のコマンドでコンフィグレーションモードに

> configure 
#

(2)CLIでのコマンド
以下の本家サイトも、意外に(と言っては失礼だが)わかりやすい
https://docs.paloaltonetworks.com/pan-os/7-1/pan-os-cli-quick-start/get-started-with-the-cli/change-cli-modes

・set や show などを使う
・たとえば、show deviceconfig system でMGTポートのIPアドレスなどの状態を確認できる。
・pingを実行するには
> ping host 8.8.8.8

送信元を指定する(たとえば、送信元を10.1.1.1)には、
> ping source 10.1.1.1 host 8.8.8.8

※MGTポートからは、デフォルトでは外部への通信などができないような設定になっている 
→設定変更の方法は後半に記載

・IPアドレスの設定
# set deviceconfig system ip-address 10.1.1.21 netm…

https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClN7CAK

※設定を確定するにはcommitが必要。これをしないと設定が反映されない。

■初期化
(1)PWがわかる場合
初期化コマンド
request system private-data-reset

admin@PA-xxx>request system private-data-reset
ここで、以下が問われるのでyを押すと初期化される
Are you sure you want to continue? (y/n) (y or n)

→ランセンスも消えてしまうが、ライセンスはインターネットに接続して取得できる。
 ※機器情報とリンクしているので、何かを入力する必要はない。

(2)PWがわからない場合
コンソールから接続し、途中でmaintと入力できる場面がある。
そこで、FactoryResetを選択する。

■ライセンスの取得
初期化すると、ライセンスが消えてしまう。
Device>ライセンス
「ライセンスサーバからライセンスキーを取得」をクリックして、ライセンスを取得
→そのままだとエラーになる可能性がある。
それは、MGTポートからはインターネットにアクセスできないから。設定を変更する(後述)

+ソフトの最新化をしましょう。
ダイナミック更新から実行する

■初期設定
・デフォルトだと、ethernet1、2はVirtual wireに設定されている。(スイッチのポートの役割)
 不要な場合はこれを消しましょう。NETWORK>バーチャルワイヤーから、デフォルトのvireをチェックして「削除」 
 ※もちろん、COMMITが必要
・言語の設定は、画面右下の欄外にある
・一般設定
上メニュの「Device」>左メニューの「セットアップ」>管理>一般設定
 -タイムゾーンをAsia/Tokyoにする。
・管理ポートの設定
 Device>セットアップ>インターフェースにて、「インターフェース名」が「Mangaement」で設定。
 MGTポートのIPアドレスなどの設定ができる
 管理ポートにアクセスできる送信元IPアドレスは制限しておいたほうがセキュリティ面でいいだろう。
・Device>セットアップ>サービスから、NTPやDNSの設定を行う
・管理者(admin)のパスワード設定
 Device>管理者 から設定する。
 
■設定の保存
commitをする必要がある。忘れずにね。
以下が画面つきで説明がわかりやすい。
https://www.my-technote.com/palo-config-mgt/

■設定ファイルのバックアップ(エクスポート)とインポート
デバイス>セットアップ>操作から
・外部へ保存(エクスポート)
 もちろんcommitした上で
 エクスポート:名前付き設定のエクスポート
 「running-config.xml」を選択して「OK」
 
・逆にインポートは
 インポート:名前付き設定スナップショットのインポート
 ※running-config.xmlの名前だと、うまくいかない気がした。名前を変えれば成功する?(→いちおう、成功した)

■Panoramaの設定
(1)概要
こちら
https://www.paloaltonetworks.jp/products/management/panorama

(2)PaloAlto側の設定
・Device>セットアップ>管理
「Panoramaの設定」からPanoramaサーバのIPアドレスを入れる。
・Object>ログ転送 でログ転送のプロファイルを作成する。
ログタイプを「traffic」「脅威」「URL」などを選んで、転送方式で、「Panolama」をチェックする。
※全てのログを転送することはできず、個別に設定する。
・作成したプロファイルをポリシーに適用する。
「アクション」で「ログ転送」でプロファイルを入れる

(3)Palolama側の設定
・Paloと同じ。ブラウザにてhttps://IPアドレス/を指定し、ユーザ名とPWを入れてログインする。デフォルトは同じくadmin/admin
・画面もPaloとほぼ同じ。
・Panoramaタブから管理対象デバイス>サマリー。下の欄外にある「追加」で対象デバイスを追加する。
 ここで、PaloAltoとの接続状態も確認できる。

■NW設定
Networkタブから設定する。 例を紹介します。
①ゾーンの設定
・名前:LAN、タイプ:レイヤ3、インターフェース:e4
・名前:WAN、タイプ:レイヤ3、インターフェース:e3
※ゾーンのIFはIFの設定で自動で入る。
②IFの設定
・e4 タイプ:レイヤ3、仮想ルータ:default、セキュリティゾーン:LAN IPv4:10.1.1.254/24 ※その先の設定は入れない
・e3 タイプ:レイヤ3、仮想ルータ:default、セキュリティゾーン:WAN IPv4:PPPoE

③仮想ルータ default に設定したIFを入れる。e1、e2
・仮想ルータで、スタティックルート
  0.0.0.0/0をWANのIFに向ける。ネクストホップのルータのIPアドレスも入れた。(入れる必要あり?)

⑤LAN側にDHCPで割り当て
NETWORK>DHCP DHCPサーバーを欄外下の「追加」ボタンで追加
インターフェースを選択(LAN側)、モードはauto、
リースにIPプールとして、払い出すIPのセグメントを記載する
172.16.1.0/24
オプションとして、継承ソースを選ぶWANがPPPoEの場合は、DNSなどを持ってくるはず(★取れてなかった気が)。→DNSはinheritedを入れたら取得できた。
・デフォルトゲートウェイのIPアドレスとサブネットは設定する必要がある

⑥LANからMGTさせるには?
・NETWORK>ネットワークプロファイル>インターフェース管理
 追加で、利用させたいサービスを選ぶ。
・NETWORK>インターフェース>該当のIFを選択
「詳細」の管理プロファイルで、作成したプロファイルを選択する。

⑦ポリシーの設定
Policies>セキュリティ で追加
LANのゾーンからWANのゾーンを許可する
サービスはanyにしておこう

⑧NATの設定
Policies>NAT 追加
・全般で名前をつける
・「元のパケット」 送信元ゾーンを指定(LAN)
宛先ゾーンも指定(WAN)、宛先IF(を指定すると思う)。サービスはANY
「変換済みパケット」変換タイプが「ダイナミックIPおよびポート」
アドレスタイプが「インターフェースアドレス」
インターフェースをインターネットに出るIF(WAN)

■MGTポートの設定
このままだと、インターネットに出れず、ライセンスUPdateやソフトウェアのUpdateも失敗する可能性がある。
→①デバイス>SETUP>サービス タグ
DNSを設定する。
②サービス機能のサービスルートの設定
「カスタマイズ」を選択して
「DNS」と「PaloAltoNetworkサービス」を
外部に出られるIFにする(PPPoEのWANは選べない)

■ソフトウェア(OS)のアップデート
DEVICE>ソフトウェア
ダウンロードしてから、インストール

■その他
・複数のポートを同一LANのポートにするには?
→VLANをまずは作成する。同一LANのポートにしたいIFをL2モードに設定し、VLANに入れる。このとき、VLAN用の専用のセキュリティゾーンを作成する必要ある。

・Commitは1つずつできないのか?
→一つずつCommitすればいいが、設定をあちこち変更して、Commitすると、一つでもエラーになると途中終了する。

・複数の設定をしてCommitしたが、何がエラーかわからない。
→Device>セットアップ>操作
「戻す」>「実行中の 設定に戻します」を実行すれば、元に戻せる。

・ライセンスの自動更新
→MGTポートからはインターネットに出られない。設定を調整する必要がある。

・DHCPサーバを設定したとき、継承のIFからDNSなどは持ってこないの?
→inheritedは継承するという意味で、PPPoEから取得したものを継承する。

・IFはPingが応答しない?
→設定にて、管理サービスを有効にするかを決める。インターフェース管理プロファイルを作成する。

■URLフィルタ
・Objects>セキュリティプロフィアル>URLフィルタリング
「追加」から設定を行う。
・基本はカテゴリで制御をする。
→Malware、phishing、C&C(Command & Control)のカテゴリはブロックしましょう。
・オーバーライドで、ホワイトリスト、ブラックリストの設定が可能。
・URLフィルタリング
ログの容量が多すぎるので、「コンテナページにのみロギング」がデフォルトになっている。
・URLフィルタリングのヘッダのロギングで、必要なものを取得するようにしましょう。チェックできるのは、ユーザーエージェント、Referer、X-Forwarded-For
・また、ポリシーに適用しないと、有効にならない。
 やり方は、Policies>セキュリティ>
 各ルールの「アクション」「プロファイル設定」
 で割り当てる。

■SSLインスペクション
①証明書を作成
DEVICE>証明書の管理>証明書

■AV
オブジェクトで作成して、それをプロファイルに割り当てる

■HA
「Device」>「高可用性」から設定する。
HAといっても、すべてが同期されるわけではない。もちろん通信セッションは同期される、管理系の設定は個別に入れる必要あり。
HAのリンクが2つ必要(物理ポートが2つ)
①HA1:Control Link、HeatBeatの交換 →IPアドレスを割り当てる。相手のPeerを登録する。
②HA2:Data Link、セッション情報の交換 →直結していればIPアドレスの割り当て不要。HA1経由でやってくれるのかも。
※HA1やHA2のポートがダウンしたときように、通常のポートをバックアップとして設定することも可能

ダイナミック更新は、SSL復号をしているとエラーになる可能性がある。→復号を除外すべき。