Ir al contenido principal

Creación de un firewall VM-Series de Palo Alto Networks

Si utiliza la aplicación Panorama para gestionar su(s) dispositivo(s), deberá introducir la dirección IP de Panorama **** y la clave de autenticación **** durante la creación del dispositivo. La compatibilidad con Panorama sólo se ofrece para las versiones 10.1.12 y superiores.

El cortafuegos de la serie VM de Palo Alto Networks tiene tres opciones de implementación: Única, Redundante y En clúster. Las opciones de configuración que se describen a continuación se aplican a las configuraciones Única y Redundante. Las opciones de configuración en clúster se encuentran en Creación de un cortafuegos VM-Series en clúster

Opciones de conectividad

La función Tipo de conectividad está disponible para el cortafuegos de la serie VM de Palo Alto Networks. Esta función ofrece opciones para incluir una interfaz virtual con o sin una dirección IP pública de Equinix. La opción para que un VNF aparezca sin una dirección IP pública aborda el caso de uso en el que el dispositivo virtual puede necesitar estar aislado de Internet. Los usuarios pueden entonces gestionar los dispositivos desde su red privada o conexión virtual.

La siguiente tabla resume las opciones de tipo de conectividad y la diferencia entre ambas opciones.

Connectivity TypeWith Equinix Public IP AddressWithout Equinix Public IP Address
Use CasesThis option comes with Public IP Addresses from Equinix and does not require an additional Virtual Connection to manage the virtual device.This option removes Equinix-sourced Public IP Address assignment and will segregate the VNF from the Internet after the device creation. If the device needs to be managed by software running in the Colo cage or through a private virtual connection, this option is recommended.
Internet ConnectivityPublic IP addresses from Equinix are assigned to the following interfaces and accessible from the Internet: Management (MGMT), Ethernet 1/1 (WAN).No public IP Address from Equinix included. This option requires a separate virtual connection from your Network Service Provider (NSP) or Internet Service Provider (ISP). See Bring Your Own Connection - Remote Fabric Port for more information.
Access Control ListCreate an Access Control List (ACL) to limit traffic to the VNF Management (MGMT) or WAN interface.The ACL option is not available. Additional compensating controls can be implemented for traffic from any private virtual connection.
SSH AccessUse Ethernet 1/1 (WAN) interface for SSH Access. You are required to generate an RSA public key for SSH access and configure it in the device creation workflow (mandatory).No SSH access by default. You need to create a user name for device access. One option is to generate an RSA public key for SSH access and configure it. Establish the Internet Connectivity through your NSP or ISP.
Device ManageabilityFor Single/Redundant devices, Management (MGMT) is mapped to Panorama access by default. Use the Service Route feature to re-map to the different interface.A virtual connection (via the BYOC option) needs to be first assigned to the Management (MGMT) interface for Panorama accessibility for Single and Redundant deployments.
License RegistrationProvide the AuthCode during the device creation workflow. The AuthCode will be registered automatically when the virtual device reaches out to the Palo Alto Network license registration server.No AuthCode is required during device creation workflow. User is responsible for registering license using Internet access through private virtual connection (Online License Registration), or Offline Mode License.

Configuración del dispositivo sin dirección IP pública de Equinix

Si crea su dispositivo Sin una dirección IP pública de Equinix, el VNF se aprovisiona sin ninguna dirección IP pública en la interfaz WAN o de gestión. Usted es responsable de configurar el registro de licencias, la configuración de la red superpuesta y la agrupación en clústeres (opcional). Para más información, consulte la documentación del cortafuegos de la serie VM.

Configuración de la interfaz de gestión

A continuación se muestra una configuración de ejemplo, sólo de referencia, para la configuración de la interfaz de gestión.

Comandos:

set deviceconfig system type static
set deviceconfig system ip-address x.x.x.x
set deviceconfig system netmask y.y.y.y
set deviceconfig system default-gateway z.z.z.z

Registro de licencias

Usted es responsable de añadir manualmente la licencia al dispositivo. Ya debería tener acceso al portal de atención al cliente de Palo Alto Networks (portal de licencias), donde puede registrar su dispositivo utilizando la información UUID y CPU-ID. Utilice la clave de licencia del portal para añadir la licencia al dispositivo. La documentación sobre la activación de la licencia está disponible en la documentación de Palo Alto Networks.

Escenarios de implantación

Escenario 1: Gestionar el cortafuegos desde Colocation (Registro de licencia sin conexión) donde la interfaz de gestión sólo es accesible desde la red conectada al espacio de colocation Registro de licencia sin conexión.

  1. Cree una VNF de cortafuegos VM-Series sin dirección IP pública de Equinix en el portal Network Edge.
  2. Inicie sesión en las consolas VNF primaria y secundaria con su nombre de usuario y contraseña.
  3. Cree una conexión virtual desde la VNF a la colocation en la primera interfaz (interfaz de gestión).
  4. Asigne una dirección IP a la interfaz de gestión en ambas VNF.
  5. Confirme la accesibilidad IP desde dispositivos en el espacio de Colocation.
  6. Acceda a la VNF mediante SSH desde el dispositivo en el espacio de Colocation.
  7. Identifica el ID y UUID de la CPU para la VNF.
  8. Acceda al portal de asistencia al cliente de Palo Alto Networks (portal de licencias) y genere dos licencias idénticas para las VNF.
  9. Aplique la licencia de modo sin conexión **** a ambas VNF.
  10. (Opcional)_ Puede gestionar la VNF desde el software de gestión de Panorama configurado en el espacio de Colocation.
  11. Cree las conexiones virtuales con los proveedores de servicios en nube (CSP) a partir de las interfaces restantes.
  12. Siga utilizando la gestión de dispositivos sin conexión para las actualizaciones de software.

Escenario 2: Gestionar el cortafuegos desde una red NSP (Registro de licencia en línea) donde la interfaz de gestión es accesible desde la conexión virtual NSP o la interfaz conectada BYOC. Registro de licencia en línea.

  1. Cree una VNF de cortafuegos VM-Series sin dirección IP pública de Equinix en el portal Network Edge.
  2. Inicie sesión en las consolas VNF primaria y secundaria con su nombre de usuario y contraseña.
  3. Crear una conexión virtual desde la VNF al NSP en la primera interfaz (interfaz de gestión).
  4. Asigne una dirección IP a la interfaz de gestión en ambas VNF.
  5. Confirme la accesibilidad IP desde los dispositivos de la red NSP.
  6. Acceda a la VNF mediante SSH desde un dispositivo de la red NSP.
  7. Acceda al portal de asistencia al cliente de Palo Alto Networks (portal de licencias) y genere una licencia y un código de autenticación para este VNF.
  8. Aplique el mismo Auth Code a ambas VNF.
  9. (Opcional)_ Puede gestionar la VNF desde el software de gestión de Panorama configurado en la red NSP.
  10. Cree conexiones virtuales a los CSP desde las interfaces restantes.

Habilitar el modo FIPS

De forma predeterminada, el modo FIPS no está habilitado en los dispositivos de cortafuegos virtuales de Palo Alto Networks, por lo que deberá habilitarlo.

Requisitos previos:

  • Acceso GUI y SSH a la interfaz de gestión del firewall, ya sea a través de IP pública o Colo.
  • Acceso de la consola al dispositivo virtual.
  • VM sin licencia de Palo Alto; después de habilitar FIPS, debe cargar la licencia manualmente.
  • Copia de seguridad de la configuración del dispositivo.
  • Sólidos conocimientos sobre el funcionamiento del cortafuegos Palo Alto.
  • La contraseña de administrador debe estar cifrada con SHA256.
  • SSH debe estar disponible para el dispositivo en la interfaz de administración.
  • El OTP será obligatorio para el modo FIPS.

  1. Inicie sesión en el dispositivo a través de la consola.

  2. Enter the Maintenance Recovery Tool (MRT). The device will take few minutes to boot to MRT.

  3. En el MRT, seleccione Establecer modo FIPS--CC. Deje los valores por defecto y seleccione Habilitar modo FIPS-CC y pulse Entrar. Por el momento no se recomienda la depuración.

  4. Reinicia el dispositivo.

  5. Conéctese mediante SSH al dispositivo y elimine la siguiente configuración predeterminada.

    Para CLI, se mostrará el siguiente mensaje al iniciar sesión.

    **** MODO FIPS-CC ACTIVADO ****

    delete network ike crypto-profiles ike-crypto-profiles default encryption aes-128-cbc
    delete network ike crypto-profiles ike-crypto-profiles default encryption
    set network ike crypto-profiles ike-crypto-profiles default encryption aes-256-cbc
    delete network ike crypto-profiles ike-crypto-profiles default dh-group
    set network ike crypto-profiles ike-crypto-profiles default dh-group group19

    delete network ike crypto-profiles ipsec-crypto-profiles default esp encryption set network ike crypto-profiles ipsec-crypto-profiles default esp encryption aes-256-cbc delete network ike crypto-profiles ipsec-crypto-profiles default dh-group

    comprometer fuerza ```

  6. Inicie sesión en la interfaz gráfica de usuario del dispositivo. El modo FIPS-CC debe aparecer en la página de inicio de sesión y en todo momento en la barra de estado de la parte inferior de la interfaz web.

  7. Cargue la licencia.

    request license fetch auth-code <auth-code>
¿Fue útil esta página?