Creación de un firewall VM-Series en clúster de Palo Alto Networks
Si utiliza la aplicación Panorama para gestionar su(s) dispositivo(s), deberá introducir la dirección IP de Panorama **** y la clave de autenticación **** durante la creación del dispositivo. La compatibilidad con Panorama sólo se ofrece para las versiones 10.1.12 y superiores.
El cortafuegos de la serie VM de Palo Alto Networks tiene tres opciones de implementación: Individual, Redundante y En clúster. Las opciones de configuración que se describen a continuación se aplican a las configuraciones en clúster. Las opciones de configuración Simple y Redundante se encuentran en Creación de un cortafuegos VM-Series
Opciones de conectividad
La forma en que Network Edge aprovisiona los dispositivos del clúster varía en función de las opciones de conectividad. Lea atentamente esta sección para comprender los pasos necesarios para configurar los dispositivos primario y secundario como nodos del clúster.
Ambas opciones de conectividad (con o sin dirección IP pública de Equinix) incluyen enlaces entre el nodo primario y el secundario tras el aprovisionamiento inicial del dispositivo. Estos enlaces se utilizan para la comunicación heartbeat y son necesarios para el despliegue del clúster.
La siguiente tabla resume los detalles de configuración en función del tipo de conectividad.
| Connectivity Type | With Equinix Public IP Address | Without Equinix Public IP Address |
|---|---|---|
| Casos de uso | Esta opción viene con direcciones IP públicas de Equinix y no requiere una conexión virtual adicional para gestionar el dispositivo virtual. | Esta opción elimina la asignación de Direcciones IP Públicas de Equinix y segregará el VNF de Internet tras la creación del dispositivo. Si el dispositivo necesita ser gestionado por un software que se ejecuta en la jaula de Colo o a través de una conexión virtual privada, se recomienda esta opción. |
Configuración del dispositivo sin dirección IP pública de Equinix
Si elige crear su dispositivo Sin una dirección IP pública de Equinix, el VNF se aprovisiona sin ninguna dirección IP pública en la interfaz WAN o de gestión. Usted es responsable de configurar el registro de licencias, la configuración de la red superpuesta y la agrupación en clústeres.
Configuración de la interfaz de gestión
A continuación se muestra una configuración de ejemplo, sólo de referencia, para la configuración de la interfaz de gestión. Comandos
set deviceconfig system type static
set deviceconfig system ip-address x.x.x.x
set deviceconfig system netmask y.y.y.y
set deviceconfig system default-gateway z.z.z.z
Registro de licencias
Usted es responsable de añadir manualmente la licencia al dispositivo. Ya debería tener acceso al portal de asistencia al cliente de Palo Alto Networks (portal de licencias), donde puede registrar su dispositivo utilizando la información UUID y CPU-ID. Utilice la clave de licencia del portal para añadir la licencia en el dispositivo. La documentación de activación de licencia está disponible en la documentación de Palo Alto Networks.
Escenarios de implantación
Escenario 1: Gestionar el cortafuegos desde Colocation (Registro de licencia sin conexión) donde la interfaz de gestión sólo es accesible desde la red conectada al espacio de colocation Registro de licencia sin conexión.
- Cree una VNF de cortafuegos VM-Series sin dirección IP pública de Equinix en el portal Network Edge.
- Inicie sesión en las consolas VNF primaria y secundaria con su nombre de usuario y contraseña.
- Cree una conexión virtual desde la VNF a la colocation en la primera interfaz (interfaz de gestión).
- Asigne una dirección IP a la interfaz de gestión en ambas VNF.
- Confirme la accesibilidad IP desde dispositivos en el espacio de Colocation.
- Acceda a la VNF mediante SSH desde el dispositivo en el espacio de Colocation.
- Identifica el ID y UUID de la CPU para la VNF.
- Acceda al portal de asistencia al cliente de Palo Alto Networks (portal de licencias) y genere dos licencias idénticas para las VNF.
- Aplique la licencia de modo sin conexión **** a ambas VNF.
- (Opcional)_ Puede gestionar la VNF desde el software de gestión de Panorama configurado en el espacio de Colocation.
- Cree las conexiones virtuales con los proveedores de servicios en nube (CSP) a partir de las interfaces restantes.
- Siga utilizando la gestión de dispositivos sin conexión para las actualizaciones de software.
Escenario 2: Gestionar el cortafuegos desde una red NSP (Registro de licencia en línea) donde la interfaz de gestión es accesible desde la conexión virtual NSP o la interfaz conectada BYOC. Registro de licencia en línea.
- Cree una VNF de cortafuegos VM-Series sin dirección IP pública de Equinix en el portal Network Edge.
- Inicie sesión en las consolas VNF primaria y secundaria con su nombre de usuario y contraseña.
- Crear una conexión virtual desde la VNF al NSP en la primera interfaz (interfaz de gestión).
- Asigne una dirección IP a la interfaz de gestión en ambas VNF.
- Confirme la accesibilidad IP desde los dispositivos de la red NSP.
- Acceda a la VNF mediante SSH desde un dispositivo de la red NSP.
- Acceda al portal de asistencia al cliente de Palo Alto Networks (portal de licencias) y genere una licencia y un código de autenticación para este VNF.
- Aplique el mismo Auth Code a ambas VNF.
- (Opcional)_ Puede gestionar la VNF desde el software de gestión de Panorama configurado en la red NSP.
- Cree conexiones virtuales a los CSP desde las interfaces restantes.
Configuración de clúster sin dirección IP pública de Equinix
Si selecciona la opción de conectividad Sin dirección IP pública de Equinix, será responsable de configurar dos interfaces en cada nodo para formar un clúster entre los nodos primario y secundario. A continuación se muestra un ejemplo de configuración mediante la interfaz de línea de comandos (CLI).
Configuración de ejemplo para el nodo primario:
set deviceconfig high-availability interface ha1 port ethernet1/<HA1_Interface>
set deviceconfig high-availability interface ha1 ip-address <Primary_HA1_IP>
set deviceconfig high-availability interface ha1 netmask <NETMASK>
set deviceconfig high-availability interface ha1-backup
set deviceconfig high-availability interface ha2 port ethernet1/<HA1_Interface>
set deviceconfig high-availability interface ha2 ip-address <Primary_HA2_IP>
set deviceconfig high-availability interface ha2 netmask <NETMASK>
set deviceconfig high-availability group group-id <Group_ID>
set deviceconfig high-availability group peer-ip <Secondary_IP>
set deviceconfig high-availability group election-option device-priority <Priority>
set deviceconfig high-availability group election-option timers recommended
set deviceconfig high-availability enabled yes
set network interface ethernet ethernet1/<HA1_Interface> ha
set network interface ethernet ethernet1/<HA2_Interface> ha
Configuración de ejemplo para el nodo secundario:
set deviceconfig high-availability interface ha1 port ethernet1/<HA1_Interface>
set deviceconfig high-availability interface ha1 ip-address <Secondary_HA1_IP>
set deviceconfig high-availability interface ha1 netmask <NETMASK>
set deviceconfig high-availability interface ha1-backup
set deviceconfig high-availability interface ha2 port ethernet1/<HA1_Interface>
set deviceconfig high-availability interface ha2 ip-address <Secondary_HA2_IP>
set deviceconfig high-availability interface ha2 netmask <NETMASK>
set deviceconfig high-availability group group-id <Group_ID>
set deviceconfig high-availability group peer-ip <Primary_IP>
set deviceconfig high-availability group election-option device-priority <Priority>
set deviceconfig high-availability enabled yes
set network interface ethernet ethernet1/<HA1_Interface> ha
set network interface ethernet ethernet1/<HA2_Interface> ha
Para ver un ejemplo de configuración utilizando una interfaz gráfica de usuario (GUI) desde el software de gestión, consulte Configure HA Cluster en la documentación de Palo Alto.
Habilitar el modo FIPS
De forma predeterminada, el modo FIPS no está habilitado en los dispositivos de cortafuegos virtuales de Palo Alto Networks, por lo que deberá habilitarlo.
Requisitos previos:
- Acceso GUI y SSH a la interfaz de gestión del firewall, ya sea a través de IP pública o Colo.
- Acceso de la consola al dispositivo virtual.
- VM sin licencia de Palo Alto; después de habilitar FIPS, debe cargar la licencia manualmente.
- Copia de seguridad de la configuración del dispositivo.
- Sólidos conocimientos sobre el funcionamiento del cortafuegos Palo Alto.
- La contraseña de administrador debe estar cifrada con SHA256.
- SSH debe estar disponible para el dispositivo en la interfaz de administración.
- El OTP será obligatorio para el modo FIPS.
-
Haz una copia de seguridad de la configuración de HA de VM1 usando ssh.
> set cli config-output-format set> configureEntering configuration mode[edit]# show | match high-availability -
Desactive HA en VM1 antes de activar FIPS y confirme la configuración.
-
Inicie sesión en el dispositivo a través de la consola.
-
Enter the Maintenance Recovery Tool (MRT). The device will take few minutes to boot to MRT.
-
En el MRT, seleccione Establecer modo FIPS--CC. Deje los valores por defecto y seleccione
Habilitar modo FIPS-CCy pulse Entrar. Por el momento no se recomienda la depuración. -
Reinicia el dispositivo.
-
Conéctese mediante SSH al dispositivo y elimine la siguiente configuración predeterminada.
Para CLI, se mostrará el siguiente mensaje al iniciar sesión.
**** MODO FIPS-CC ACTIVADO ****delete network ike crypto-profiles ike-crypto-profiles default encryption aes-128-cbcdelete network ike crypto-profiles ike-crypto-profiles default encryptionset network ike crypto-profiles ike-crypto-profiles default encryption aes-256-cbcdelete network ike crypto-profiles ike-crypto-profiles default dh-groupset network ike crypto-profiles ike-crypto-profiles default dh-group group19delete network ike crypto-profiles ipsec-crypto-profiles default esp encryption set network ike crypto-profiles ipsec-crypto-profiles default esp encryption aes-256-cbc delete network ike crypto-profiles ipsec-crypto-profiles default dh-groupcomprometer fuerza ```
Repita los pasos anteriores para VM2. Inicie sesión en la GUI de ambas máquinas virtuales. El modo FIPS-CC debería aparecer en la página de inicio de sesión y en todo momento en la barra de estado situada en la parte inferior de la interfaz web.
Cada cortafuegos de Palo Alto Networks tiene su propia clave de alta disponibilidad que puede utilizarse para cifrar el tráfico HA1. Es necesario exportar la clave desde la VM1 e importarla a la VM2. También es necesario exportar la clave de VM2 e importarla a VM1.
-
Inicie sesión en la GUI de VM2. Vaya a DISPOSITIVO > Gestión de certificados > Certificados > Certificados de dispositivo > Exportar clave HA.
notaAsegúrese de que el nombre del archivo clave no contenga caracteres especiales.
-
Inicie sesión en la GUI de VM1: Cargue la clave HA desde VM2 a VM1. Vaya a DISPOSITIVO > Administración de certificados > Certificados > Certificados de dispositivo > Importar clave HA.
-
Inicie sesión en la GUI de VM1: Descargue la clave HA desde VM1. Vaya a DISPOSITIVO > Gestión de certificados > Certificados > Certificados de dispositivo > Exportar clave HA.
-
Inicie sesión en la GUI de VM2: Cargue la clave HA desde VM1 a VM2. Vaya a DISPOSITIVO > Administración de certificados > Certificados > Certificados de dispositivo > Importar clave HA.
-
Añada las siguientes líneas a la copia de seguridad de la configuración de HA tomada en el paso 1 de VM1 y VM2.
set deviceconfig setting auto-mac-detect yesset deviceconfig high-availability interface ha1 encryption enabled yes -
Añada la configuración a VM1 y VM2 desde sus respectivas copias de seguridad y confirme la configuración a través de ssh.
> configureEntering configuration mode[edit]# <Load config># commit -
Cargue la licencia en ambos dispositivos.
request license fetch auth-code <auth-code>ImportanteEl dispositivo se reiniciará automáticamente después de que la licencia se haya aplicado correctamente.
-
Si es necesario, inicia sesión en el dispositivo principal y sincroniza la configuración entre ambos dispositivos.
request high-availability sync-to-remote running-config