Skip to main content

Création d'un pare-feu Palo Alto Networks série VM

Si vous utilisez l'application Panorama pour gérer vos appareils, vous devrez saisir l'adresse IP Panorama et la clé d'authentification lors de la création de l'appareil. La prise en charge de Panorama est uniquement disponible pour les versions 10.1.12 et supérieures.

Le pare-feu VM-Series de Palo Alto Networks offre trois options de déploiement: simple, redondant et en cluster. Les options de configuration décrites ci-dessous s’appliquent aux configurations simple et redondante. Les options de configuration en grappe sont décrites dans le document Création d’un pare-feu VM-Series en grappe.

Options de connectivité

La fonctionnalité Type de connectivité est disponible pour le pare-feu VM-Series de Palo Alto Networks. Elle permet d'inclure une interface virtuelle avec ou sans adresse IP publique Equinix. L'option permettant de démarrer une VNF sans adresse IP publique répond au cas d'utilisation où l'appareil virtuel doit être isolé d'Internet. Les utilisateurs peuvent alors gérer les appareils à partir de leur réseau privé ou de leur connexion virtuelle.

Le tableau suivant résume les options de type de connectivité et la différence entre les deux options.

Connectivity TypeWith Equinix Public IP AddressWithout Equinix Public IP Address
Use CasesThis option comes with Public IP Addresses from Equinix and does not require an additional Virtual Connection to manage the virtual device.This option removes Equinix-sourced Public IP Address assignment and will segregate the VNF from the Internet after the device creation. If the device needs to be managed by software running in the Colo cage or through a private virtual connection, this option is recommended.
Internet ConnectivityPublic IP addresses from Equinix are assigned to the following interfaces and accessible from the Internet: Management (MGMT), Ethernet 1/1 (WAN).No public IP Address from Equinix included. This option requires a separate virtual connection from your Network Service Provider (NSP) or Internet Service Provider (ISP). See Bring Your Own Connection - Remote Fabric Port for more information.
Access Control ListCreate an Access Control List (ACL) to limit traffic to the VNF Management (MGMT) or WAN interface.The ACL option is not available. Additional compensating controls can be implemented for traffic from any private virtual connection.
SSH AccessUse Ethernet 1/1 (WAN) interface for SSH Access. You are required to generate an RSA public key for SSH access and configure it in the device creation workflow (mandatory).No SSH access by default. You need to create a user name for device access. One option is to generate an RSA public key for SSH access and configure it. Establish the Internet Connectivity through your NSP or ISP.
Device ManageabilityFor Single/Redundant devices, Management (MGMT) is mapped to Panorama access by default. Use the Service Route feature to re-map to the different interface.A virtual connection (via the BYOC option) needs to be first assigned to the Management (MGMT) interface for Panorama accessibility for Single and Redundant deployments.
License RegistrationProvide the AuthCode during the device creation workflow. The AuthCode will be registered automatically when the virtual device reaches out to the Palo Alto Network license registration server.No AuthCode is required during device creation workflow. User is responsible for registering license using Internet access through private virtual connection (Online License Registration), or Offline Mode License.

Configuration de votre appareil sans adresse IP publique Equinix

Si vous créez votre appareil sans adresse IP publique Equinix, la VNF est provisionnée sans adresse IP publique sur l'interface WAN ni sur l'interface de gestion. Il vous incombe de configurer l'enregistrement de la licence, la configuration du réseau superposé et le regroupement (optionnel). Pour plus d'informations, consultez la documentation du pare-feu VM-Series.

Configuration de l'interface de gestion

Voici un exemple de configuration, à titre de référence seulement, pour la configuration de l'interface de gestion.

Commandes:

set deviceconfig system type static
set deviceconfig system ip-address x.x.x.x
set deviceconfig system netmask y.y.y.y
set deviceconfig system default-gateway z.z.z.z

Enregistrement de la licence

Il vous incombe d'ajouter manuellement la licence à l'appareil. Vous devriez déjà avoir accès au portail d'assistance client de Palo Alto Networks (portail des licences), où vous pouvez enregistrer votre appareil à l'aide des informations UUID et CPU-ID. Utilisez la clé de licence du portail pour ajouter la licence à l'appareil. La documentation d'activation de la licence est disponible dans la documentation de Palo Alto Networks.

Scénarios de déploiement

Scénario 1: Gestion du pare-feu depuis la colocation (enregistrement de licence hors ligne) où l'interface de gestion est accessible uniquement depuis le réseau connecté à l'espace de colocation enregistrement de licence hors ligne.

  1. Créez un pare-feu VNF VM-Series sans adresse IP publique Equinix dans le portail Network Edge.
  2. Connectez-vous aux consoles VNF primaire et secondaire avec votre nom d'utilisateur et votre mot de passe.
  3. Créez une connexion virtuelle du VNF vers la colocation sur la première interface (interface de gestion).
  4. Attribuez une adresse IP à l'interface de gestion sur les deux VNF.
  5. Confirmer la possibilité d'accéder à l'IP à partir des dispositifs situés dans l'espace de colocation.
  6. Accédez à la VNF à l'aide de SSH à partir d'un appareil situé dans l'espace de colocation.
  7. Identifier l'ID CPU et l'UUID pour le VNF.
  8. Accédez au portail d'assistance à la clientèle de Palo Alto Networks (portail de licences) et générez deux licences identiques pour les VNF.
  9. Appliquez la licence hors ligne aux deux VNF.
  10. (Optionnel) Vous pouvez gérer le VNF à partir du logiciel de gestion Panorama configuré dans l'espace de colocation.
  11. Créez les connexions virtuelles vers les fournisseurs de services en nuage (CSP) à partir des interfaces restantes.
  12. Continuer à utiliser la gestion des appareils hors ligne pour les mises à jour logicielles.

Scénario 2: Gestion du pare-feu depuis un réseau NSP (enregistrement de licence en ligne) où l’interface de gestion est accessible depuis la connexion virtuelle NSP ou l’interface BYOC. Enregistrement de licence en ligne.

  1. Créez un pare-feu VNF VM-Series sans adresse IP publique Equinix dans le portail Network Edge.
  2. Connectez-vous aux consoles VNF primaire et secondaire avec votre nom d'utilisateur et votre mot de passe.
  3. Créer une connexion virtuelle entre le VNF et le NSP sur la première interface (interface de gestion).
  4. Attribuez une adresse IP à l'interface de gestion sur les deux VNF.
  5. Confirmer la joignabilité IP des appareils du réseau du PSN.
  6. Accéder à la VNF en utilisant SSH à partir d'un appareil dans le réseau NSP.
  7. Accédez au portail de support client de Palo Alto Networks (portail de licence) et générez une licence et un code d'authentification pour cette VNF.
  8. Appliquez le même code d'authentification aux deux VNF.
  9. (Optionnel) Vous pouvez gérer le VNF à partir du logiciel de gestion Panorama configuré dans le réseau NSP.
  10. Créer des connexions virtuelles vers les CSP à partir des interfaces restantes.

Activation du mode FIPS

Par défaut, le mode FIPS n'est pas activé sur les périphériques de pare-feu virtuel Palo Alto Networks, vous devrez donc l'activer.

Prérequis:

  • Accès GUI et SSH à l'interface de gestion du pare-feu via IP publique ou Colo.
  • Accès console au périphérique virtuel.
  • Machine virtuelle Palo Alto sans licence ; une fois FIPS activé, vous devez charger la licence manuellement.
  • Sauvegarde de la configuration de l'appareil.
  • Une solide compréhension des opérations du pare-feu Palo Alto .
  • Le mot de passe administrateur doit être crypté SHA256.
  • SSH doit être disponible pour l'appareil sur l'interface de gestion.
  • L'OTP sera obligatoire pour le mode FIPS.

  1. Connectez-vous à l'appareil via la console.

  2. Enter the Maintenance Recovery Tool (MRT). The device will take few minutes to boot to MRT.

  3. Dans l'interface MRT, sélectionnez Définir le mode FIPS-CC. Laissez les valeurs par défaut, sélectionnez « Activer le mode FIPS-CC » et appuyez sur Entrée. Le nettoyage des données n'est pas recommandé pour le moment.

  4. Redémarrez l'appareil.

  5. Connectez-vous en SSH à l'appareil et supprimez la configuration par défaut suivante.

    Pour la CLI, le message suivant s'affichera lors de la connexion.

    **** MODE FIPS-CC ACTIVÉ ****

    delete network ike crypto-profiles ike-crypto-profiles default encryption aes-128-cbc
    delete network ike crypto-profiles ike-crypto-profiles default encryption
    set network ike crypto-profiles ike-crypto-profiles default encryption aes-256-cbc
    delete network ike crypto-profiles ike-crypto-profiles default dh-group
    set network ike crypto-profiles ike-crypto-profiles default dh-group group19

    supprimer les profils de chiffrement IKE réseau et les profils de chiffrement IPsec par défaut ESP

Configurer le réseau IKE avec les profils de chiffrement IPsec par défaut et le chiffrement ESP AES-256-CBC supprimer les profils de chiffrement IKE réseau, les profils de chiffrement IPsec et le groupe DH par défaut

force engagée

1. Connectez-vous à l'interface graphique de l'appareil. Le mode FIPS-CC doit être affiché sur la page de connexion initiale et en permanence dans la barre d'état en bas de l'interface Web.

1. Charger la licence.

    ```sh
    request license fetch auth-code <auth-code>
    ```



Cette page vous a-t-elle été utile ?