Content Update และ Upgrade PAN-OS บน Palo Alto Networks

โดยปกติการบริหารจัดการ Palo Alto Networks NGFW ไม่ว่าจะเป็นการตั้งค่าหรือดาวน์โหลดซอฟต์แวร์ต่าง ๆ ก็จะใช้งานผ่าน Management Interface เท่านั้น โดยถ้าตัวอุปกรณ์สามารถเชื่อมต่อสู่อินเทอร์เน็ตได้ ก็จะสามารถดาวน์โหลด software หรือ content ต่าง ๆ มาได้อย่างไม่ยาก อีกทั้งยังสามารถตั้งค่าให้ update content ต่าง ๆ ได้โดยอัตโนมัติอีกด้วย

Content Update
ในการที่จะต้องเผชิญกับภัยคุกคามและแอปพลิเคชั่นในรูปแบบใหม่ ๆ ที่เกิดขึ้นทุกวัน อุปกรณ์ Palo Alto Networks NGFW จะมีความสามารถในการรองรับการทำงานที่เรียกว่า dynamic content update ซึ่งจะทำการ update content ต่าง ๆ ไม่ว่าจะเป็น Antivirus, Applications, Applications and Threats, GlobalProtect Data File, BrightCloud URL Filtering หรือ WildFire ขึ้นอยู่กับ license ที่ซื้อมาให้อย่างอัตโนมัติ (ถ้าอุปกรณ์สามารถเชื่อมต่ออินเทอร์เน็ตได้) โดยเราสามารถกำหนดเงื่อนไขในการดาวน์โหลดและติดตั้ง content ใหม่ ๆ ได้ โดยมีขั้นตอนดังนี้

1. ไปที่ Device > Dynamic Updates

2. สามารถตรวจสอบ content เวอร์ชั่นล่าสุดได้โดยคลิ๊กที่ check now

3. เลือก content ที่ต้องการดาวน์โหลด จากนั้นคลิ้กที่ Download

4. เมื่อทำการดาวน์โหลดเสร็จแล้ว จะต้องทำการติดตั้งก่อนจึงจะสามารถใช้งาน content ที่ดาวน์โหลดมาได้ โดยการคลิ๊กที่ Install

5. นอกจากนี้ ยังสามารถตั้งค่าให้ทำการดาวน์โหลด content ต่าง ๆ มาติดตั้งได้โดยอัตโนมัติ ซึ่งจะทำให้อุปกรณ์มี content ล่าสุดอยู่เสมอ ซึ่งจะช่วยให้สามารถป้องกันการโจมตีรูปแบบใหม่ ๆ ที่เกิดขึ้นมาได้ โดยคลิ๊กที่ schedule และทำการกำหนดช่วงเวลาที่จะให้ทำการดาวน์โหลดและติดตั้ง

 

Upgrade PAN-OS
            ในการ Upgrade PAN-OS ไปใช้งานในเวอร์ชั่นล่าสุด นอกจากจะช่วยในเรื่องของการ fixed bug ต่าง ๆ แล้ว ยังจะมีการเพิ่มคุณสมบัติต่าง ๆ ขึ้นมาเพื่อช่วยเพิ่มระดับในการรักษาความปลอดภัยให้กับระบบเครือข่ายอีกด้วย

ข้อแนะนำก่อนจะทำการ upgrade PAN-OS

  • การ Upgrade PAN-OS ข้าม Major Version เช่นจาก 5.x.x ไปยัง 6.x.x ควรจะติดตั้ง version ล่าสุดของ 5.x.x ก่อน และจะต้องมี image ตัว Base Version ของ 6.x.x เช่น 6.0.0 อยู่บนอุปกรณ์โดยที่ไม่ต้องติดตั้งด้วย เช่น เมื่อต้องการ Upgrade PAN-OS จาก 5.0.8 ไปยัง 6.0.4 จะมีขั้นตอนดังนี้
    1. ดาวน์โหลดและติดตั้งเวอร์ชั่นล่าสุดของ PAN-OS 5.0.x เช่น 5.0.12
    2. ดาวน์โหลด PAN-OS 6.0.0 มาไว้บนอุปกรณ์โดยที่ไม่ต้องติดตั้ง
    3. ดาวน์โหลดและติดตั้ง PAN-OS 6.0.4
  • ควรสำรองค่า Configuration ที่ใช้งานในปัจจุบันเก็บไว้ก่อน เผื่อในกรณีฉุกเฉิน โดยไปที่ Device > Setup > Operations และเลือก Export named configuration snapshot และเลือก running-config.xml จากนั้นคลิ้กที่ OK เพื่อ save ค่า configuration ไปยัง computer
  • ควรทำการอัปเดต content ต่าง ๆ ให้เป็นเวอร์ชั่นล่าสุดก่อนที่จะทำการ Upgrade PAN-OS
  • ควรตรวจสอบวันและเวลาให้ตรงกับปัจจุบัน เนื่องจากจะมีการตรวจสอบ Signature ก่อนที่จะติดตั้ง PAN-OS ในเวอร์ชั่นใหม่ และอาจจะมีปัญหาได้ถ้าวันและเวลาไม่ตรงกับปัจจุบัน
ขั้นตอนการ Upgrade PAN-OS

1. ไปที่ Device > Software

2. สามารถตรวจสอบ software เวอร์ชั่นล่าสุดได้โดยคลิ๊กที่ check now

3. เลือก software version ที่้ต้องการดาวน์โหลดและคลิ๊กที่ Download

4. หลังจากติดตั้งเสร็จแล้วจะต้องมีการ reboot อุปกรณ์หนึ่งครั้ง โดยถ้าต้องการ reboot อุปกรณ์ทันที  ก็ให้คลิ๊กที่ Yes หรือถ้าหากต้องการ reboot อุปกรณ์ด้วยตัวเองในภายหลังก็ให้คลิ๊กที่ No

5. จากนั้นก็รอจนกว่าอุปกรณ์จะ reboot เสร็จ ก็จะเสร็จสิ้นการ upgrade PAN-OS software เป็นที่เรียบร้อย
จะเห็นว่าการ update content หรือ upgrade PAN-OS software บนอุปกรณ์ Palo Alto Networks NGFW นั้นเป็นเรื่องที่ง่ายมาก ถ้า firewall เชื่อมต่ออินเทอร์เน็ตได้จะสามารถดาวน์โหลดและติดตั้งจากตัวอุปกรณ์ได้โดยตรง ไม่ต้องทำการ copy ข้ามไปข้ามมาระหว่างคอมพิวเตอร์กับตัว firewall และมีขั้นตอนที่ยุ่งยากเหมือนกับอีกหลาย ๆ ยี่ห้อนะครับ

 

Cr: http://running-config.blogspot.com/2014/09/content-update-upgrade-pan-os-palo-alto.html

About admin