Como Exportar a Configuração de um Firewall Palo Alto Networks (PAN-OS) via CLI
Realizar backups periódicos da configuração de um firewall Palo Alto Networks é uma prática essencial para garantir segurança operacional, auditoria e rápida recuperação em cenários de falha ou mudança indevida. Embora a interface gráfica seja bastante completa, o uso da CLI oferece métodos rápidos, automatizáveis e ideais para integração com rotinas de backup.
Neste artigo, apresento os principais métodos para exportar a configuração (config) de um firewall PAN-OS utilizando linha de comando.
1. Exportar usando SCP (Método recomendado para Backup e Automação)
O uso de SCP permite copiar diretamente o arquivo de configuração em formato XML para um servidor remoto. Esse método é o mais indicado para scripts automatizados e rotinas recorrentes de backup.
Comando básico
scp export configuration from running-config.xml to <usuario>@<ip-do-servidor>:<caminho/do/arquivo.xml>
Exemplo prático
scp export configuration from running-config.xml to admin@192.168.1.10:/home/admin/backup/fw-config.xml
Esse comando envia a configuração atual (running-config.xml) para o servidor remoto especificado.
Boas práticas:
- Utilize um servidor Linux/Unix como destino sempre que possível.
- Valide conectividade, rota e permissões antes da exportação.
- Considere automatizar via scripts para manter histórico de versões.
2. Exportar Configuração em Formato SET (Legível e Ideal para Migração)
Em alguns cenários, pode ser mais útil visualizar a configuração em formato de comandos set, especialmente para leitura humana, revisão de mudanças ou migração entre ambientes.
Como o firewall não gera diretamente um arquivo .txt, o procedimento consiste em capturar a saída via SSH.
Passo a passo
Desativar paginação para evitar pausas na saída:
set cli pager off
Definir o formato da saída:
set cli config-output-format set
Entrar no modo de configuração:
configure
Exibir a configuração:
show
Antes de executar o comando show, habilite o logging no seu cliente SSH (como PuTTY) para salvar toda a saída em um arquivo local.
Quando usar esse método:
- Auditorias técnicas
- Revisões rápidas de regras
- Migração parcial entre firewalls
3. Criar um Snapshot Nomeado Antes da Exportação
Salvar uma versão específica da configuração antes de exportar é uma prática recomendada, pois cria um ponto de restauração confiável.
Criando o snapshot
configure
save config to backup-hoje.xml
exit
Após salvar, exporte normalmente via SCP:
scp export configuration from backup-hoje.xml to <destino>
Isso evita exportar alterações incompletas ou estados temporários da configuração.
Comandos Úteis Relacionados
Listar commits realizados:
show configuration commit list
Exportar logs diretamente via SCP:
scp export log <tipo-de-log> to <destino>
Exemplos de tipos de log:
- traffic
- threat
- system
Considerações Importantes
- Verifique se o firewall possui rota e DNS válidos para alcançar o servidor SCP.
- Certifique-se de que o usuário remoto possui permissão de escrita no diretório de destino.
- Para ambientes críticos, mantenha retenção histórica dos backups e utilize nomenclatura padronizada.
Conclusão
Exportar a configuração de um firewall Palo Alto via CLI é um processo simples e extremamente eficiente quando integrado a boas práticas operacionais. O uso de SCP garante automação e segurança para backups, enquanto a exportação em formato set facilita auditorias e análises técnicas.
Implementar rotinas periódicas de exportação não apenas reduz riscos operacionais, como também acelera processos de troubleshooting e recuperação em incidentes.
Comments are closed