팔로알토 네트웍스 방화벽 | 설치 매뉴얼

설치 매뉴얼

수집 설정

Palo Alto Networks NGFW (Syslog) 수집 모델을 선택하고 원격 IP 주소를 입력한 후 추가 버튼을 클릭하여 수집기를 추가하고 활성화합니다. 기본 설치되는 대시보드 및 데이터셋은 이름이 FW_PALOALTO로 시작하는 테이블을 참조합니다.

개요

본 섹션은 로그프레소 소나와 Palo Alto Networks NGFW 간 연동 방법에 대해 설명합니다. Palo Alto Networks NGFW 앱은 PAN-OS 방화벽의 트래픽, 위협, 시스템, 설정 변경 로그를 Syslog 또는 PAN-OS XML API를 통해 수집합니다. DAG(Dynamic Address Group) 기반 IP 차단연동을 지원하여 로그프레소 소나에서 탐지한 위협 IP를 방화벽에 자동으로 등록·해제할 수 있습니다.

적용 범위

Note

소나 4.0.2502.0 이상, PAN-OS 10.x 이상에서 동작합니다. 본 기능은 PA-820 10.2.2 버전에서 개발 및 테스트되었습니다.
주소 그룹에 최대 등록 가능한 IP 건수는 모델별 상이합니다. 자세한 스펙은 팔로알토 제품 비교 페이지를 참고해주세요.

요구 사항

항목	요구사항	비고
외부 장비 권한	Syslog 전송 설정 변경 권한, API 키 발급 권한	권한 부족 시 설정 불가
네트워크 허용	HTTPS/443 (소나 → NGFW, Outbound)	API 수집 또는 차단연동 사용 시 필요
로그프레소 앱	Palo Alto Networks NGFW 앱 설치

Palo Alto Networks NGFW 설정

Note

Palo Alto Networks NGFW 콘솔에서 방화벽 관련 확장명령어 및 차단연동에 필요한 사전 설정을 수행합니다.

단계 1: API 키 발급

차단연동 및 API 수집에 필요한 API 키를 발급합니다. 방화벽의 관리 IP로 curl 명령을 실행합니다.

curl -k -X GET 'https://<firewall>/api/?type=keygen&user=<username>&password=<password>'

성공 시 XML 응답의 <key> 요소에 API 키가 포함됩니다.

<response status="success">
  <result>
    <key>xxx...</key>
  </result>
</response>

Caution

API 키를 재생성하면 기존 키로 연결된 모든 세션이 종료됩니다. 운영 중인 접속 프로파일이 있다면 키 변경 후 반드시 업데이트하세요.

단계 2: DAG(Dynamic Address Group) 생성

차단연동이 등록한 IP가 방화벽 정책에 반영되려면 Dynamic Address Group이 필요합니다.

Objects > Address Groups에서 Add 버튼을 클릭하고 아래 값을 입력합니다.

항목	설정
Name	그룹 이름 (예: `block_logpresso`)
Type	`Dynamic` 선택
Match	매칭 태그 조건 입력 (예: `'blocked'`)

Match 값은 반드시 작은따옴표로 감쌉니다.
여러 태그 조합: 'blocked' or 'malicious'
AND 조건: 'blocked' and 'high-risk'

Tip

태그는 미리 만들어두지 않아도 됩니다. API로 IP 등록 시 태그가 자동 생성됩니다.

단계 3: Tag 객체 생성 (선택, 권장)

Objects > Tags에서 Add를 클릭하고 아래 값을 입력합니다.

항목	설정
Name	태그 이름 (예: `blocked`). DAG Match 조건과 동일
Color	시각적 구분용 색상 지정
Comments	용도 설명 (예: `ip blocked by logpresso`)

태그를 미리 생성해두면 모니터링 시 색상으로 구분할 수 있습니다.

단계 4: Security Policy 생성 (차단 규칙)

DAG에 등록된 IP를 실제로 차단하기 위한 보안 정책을 추가합니다.

Policies > Security에서 Add를 클릭하고 각 탭을 설정합니다.

General 탭:

항목	설정
Name	규칙 이름 (예: `deny_block_src_logpresso`)
Rule Type	`universal`

Source 탭:

차단 방향에 따라 Source 또는 Destination에 DAG를 지정합니다.

항목	설정
Source Zone	대상 존 (예: `Any`)
Source Address	앞서 생성한 DAG 선택 (예: `block_logpresso`)

Actions 탭:

항목	설정
Action	`Deny` (또는 `Drop`, `Reset-both`)

Tip

인바운드 차단(외부 → 내부)이면 Source Address에, 아웃바운드 차단(내부 → 외부)이면 Destination Address에 DAG를 지정합니다. 양방향 모두 필요하면 규칙 2개를 생성하거나 양쪽 모두에 DAG를 지정합니다.

단계 5: 규칙 순서 확인

차단 규칙은 허용 규칙보다 위에 위치해야 합니다. Security Policy 목록에서 드래그하거나 Move 버튼으로 상단으로 이동합니다. 기존 Allow 규칙이 먼저 매칭되면 차단이 동작하지 않습니다.

단계 6: Commit

우측 상단 Commit 버튼을 클릭하여 설정을 반영합니다.

Note

DAG와 Security Policy의 최초 설정 시에만 Commit이 필요합니다. 이후 API를 통한 IP 등록·해제는 Commit 없이 즉시 반영됩니다.

확장 기능 설정

접속 프로파일 추가

차단연동·확장 명령어가 NGFW API를 호출할 때 사용할 자격증명을 등록합니다.

시스템 > 접속 프로파일에서 추가를 클릭하고 아래 값을 입력합니다.

구분	항목	설정
필수	이름	접속 프로파일을 식별할 고유한 이름
필수	식별자	로그프레소 쿼리 등에서 사용할 고유 식별자 (예: `paloalto_ngfw`)
필수	유형	`Palo Alto Networks NGFW` 선택
필수	호스트명	방화벽 도메인 또는 IP 주소 (예: `192.0.2.1`)
필수	API 키	NGFW 설정 단계 2에서 발급한 API 키
선택	HTTP 프록시	`IP:PORT` 형식. 프록시를 통해 접속해야 하는 경우 설정

차단연동 추가

시스템 > 차단 연동에서 추가를 클릭하고 아래 값을 입력합니다.

구분	항목	설정
필수	이름	차단연동을 식별할 고유한 이름
필수	차단 연동 모델	`Palo Alto Networks NGFW` 선택
필수	접속 프로파일	위 단계에서 등록한 프로파일 선택
필수	주소 그룹	차단 대상 IP를 관리할 주소 그룹 선택 또는 새로 생성
필수	DAG 태그 이름	동적 주소 그룹 차단에 사용할 태그 이름 (예: `blocked`)

Note

DAG 태그 이름은 NGFW 설정 단계 2에서 DAG의 Match 조건에 사용한 태그와 동일해야 합니다.

설치 후 검증

방화벽 차단 동작을 검증하려면 아래 명령어로 테스트 IP를 등록한 뒤 NGFW에서 확인합니다.

paloalto-ngfw-add-dynamic-address profile=paloalto_ngfw tag=blocked ip=192.0.2.1

paloalto-ngfw-dynamic-addresses profile=paloalto_ngfw tag=blocked

등록된 IP는 NGFW 콘솔에서 Objects > Address Groups > 해당 DAG 선택 > more... 링크를 클릭하거나, CLI에서 아래 명령으로 확인할 수 있습니다.

show object registered-ip tag "blocked"

검증이 끝나면 테스트 IP를 해제합니다.

paloalto-ngfw-remove-dynamic-address profile=paloalto_ngfw tag=blocked ip=192.0.2.1

수집 설정

개요

적용 범위

요구 사항

Palo Alto Networks NGFW 설정

단계 1: API 키 발급

단계 2: DAG(Dynamic Address Group) 생성

단계 3: Tag 객체 생성 (선택, 권장)

단계 4: Security Policy 생성 (차단 규칙)

단계 5: 규칙 순서 확인

단계 6: Commit

확장 기능 설정

접속 프로파일 추가

차단연동 추가

설치 후 검증

참고 자료