Skip to main content

Création d'un pare-feu VM-Series de Palo Alto Networks

Si vous utilisez l'application Panorama pour gérer vos appareils, vous devrez saisir l'adresse IP Panorama et la clé d'authentification **** lors de la création de l'appareil. La prise en charge de Panorama n'est offerte que pour les versions 10.1.12 et supérieures.

Le pare-feu VM-Series de Palo Alto Networks offre trois options de déploiement : Simple, Redondant et Cluster. Les options de configuration décrites ci-dessous s'appliquent aux configurations simples et redondantes. Les options de configuration en cluster se trouvent sur Creating a Clustered VM-Series Firewall

Options de connectivité

La fonctionnalité Connectivity Type est disponible pour le pare-feu Palo Alto Networks VM-Series. Elle permet d'inclure une interface virtuelle avec ou sans adresse IP publique d'Equinix. L'option permettant à un VNF d'apparaître sans adresse IP publique répond au cas d'utilisation où le dispositif virtuel doit être isolé de l'Internet. Les utilisateurs peuvent alors gérer les dispositifs à partir de leur réseau privé ou de leur connexion virtuelle.

Le tableau suivant résume les options de type de connectivité et la différence entre les deux options.

Connectivity TypeWith Equinix Public IP AddressWithout Equinix Public IP Address
Use CasesThis option comes with Public IP Addresses from Equinix and does not require an additional Virtual Connection to manage the virtual device.This option removes Equinix-sourced Public IP Address assignment and will segregate the VNF from the Internet after the device creation. If the device needs to be managed by software running in the Colo cage or through a private virtual connection, this option is recommended.
Internet ConnectivityPublic IP addresses from Equinix are assigned to the following interfaces and accessible from the Internet: Management (MGMT), Ethernet 1/1 (WAN).No public IP Address from Equinix included. This option requires a separate virtual connection from your Network Service Provider (NSP) or Internet Service Provider (ISP). See Bring Your Own Connection - Remote Fabric Port for more information.
Access Control ListCreate an Access Control List (ACL) to limit traffic to the VNF Management (MGMT) or WAN interface.The ACL option is not available. Additional compensating controls can be implemented for traffic from any private virtual connection.
SSH AccessUse Ethernet 1/1 (WAN) interface for SSH Access. You are required to generate an RSA public key for SSH access and configure it in the device creation workflow (mandatory).No SSH access by default. You need to create a user name for device access. One option is to generate an RSA public key for SSH access and configure it. Establish the Internet Connectivity through your NSP or ISP.
Device ManageabilityFor Single/Redundant devices, Management (MGMT) is mapped to Panorama access by default. Use the Service Route feature to re-map to the different interface.A virtual connection (via the BYOC option) needs to be first assigned to the Management (MGMT) interface for Panorama accessibility for Single and Redundant deployments.
License RegistrationProvide the AuthCode during the device creation workflow. The AuthCode will be registered automatically when the virtual device reaches out to the Palo Alto Network license registration server.No AuthCode is required during device creation workflow. User is responsible for registering license using Internet access through private virtual connection (Online License Registration), or Offline Mode License.

Configuration de votre appareil sans adresse IP publique Equinix

Si vous créez votre dispositif Sans adresse IP publique Equinix, la VNF est provisionnée sans adresse IP publique sur le WAN ou l'interface de gestion. Vous êtes responsable de la configuration de l'enregistrement de la licence, de la configuration du réseau superposé et de la mise en grappe (facultative). Pour plus d'informations, consultez la documentation du pare-feu VM-Series.

Configuration de l'interface de gestion

Vous trouverez ci-dessous un exemple de configuration de référence pour la mise en place de l'interface de gestion.

Commandes :

set deviceconfig system type static
set deviceconfig system ip-address x.x.x.x
set deviceconfig system netmask y.y.y.y
set deviceconfig system default-gateway z.z.z.z

Enregistrement de la licence

Vous êtes responsable de l'ajout manuel de la licence sur l'appareil. Vous devriez déjà avoir accès au portail d'assistance clientèle de Palo Alto Networks (portail des licences), où vous pouvez enregistrer votre appareil à l'aide des informations UUID et CPU-ID. Veuillez utiliser la clé de licence fournie sur le portail pour ajouter la licence sur l'appareil. La documentation relative à l'activation de la licence est disponible dans la documentation Palo Alto Networks.

Scénarios de déploiement

Scénario 1 : Gestion du pare-feu depuis la colocation (enregistrement de licence hors ligne) où l'interface de gestion n'est accessible que depuis le réseau connecté à l'espace de colocation Enregistrement de licence hors ligne.

  1. Créez un VNF de pare-feu VM-Series Sans adresse IP publique Equinix dans le portail Network Edge.
  2. Connectez-vous aux consoles VNF primaire et secondaire avec votre nom d'utilisateur et votre mot de passe.
  3. Créez une connexion virtuelle entre le VNF et la colocation sur la première interface (interface de gestion).
  4. Attribuez une adresse IP à l'interface de gestion sur les deux VNF.
  5. Confirmer la possibilité d'accéder à l'IP à partir des dispositifs situés dans l'espace de colocation.
  6. Accédez à la VNF à l'aide de SSH à partir d'un appareil situé dans l'espace de colocation.
  7. Identifier l'ID CPU et l'UUID pour le VNF.
  8. Accédez au portail d'assistance à la clientèle de Palo Alto Networks (portail de licences) et générez deux licences identiques pour les VNF.
  9. Appliquez la licence de mode hors ligne **** aux deux VNF.
  10. Vous pouvez gérer la VNF à partir du logiciel de gestion Panorama configuré dans l'espace de colocation.
  11. Créez les connexions virtuelles vers les fournisseurs de services en nuage (CSP) à partir des interfaces restantes.
  12. Continuer à utiliser la gestion des appareils hors ligne pour les mises à jour logicielles.

Scénario 2 : Gestion du pare-feu à partir d'un réseau NSP (enregistrement de licence en ligne) où l'interface de gestion est accessible à partir de la connexion virtuelle NSP ou de l'interface connectée BYOC. Enregistrement de la licence en ligne sur.

  1. Créez un VNF de pare-feu VM-Series Sans adresse IP publique Equinix dans le portail Network Edge.
  2. Connectez-vous aux consoles VNF primaire et secondaire avec votre nom d'utilisateur et votre mot de passe.
  3. Créer une connexion virtuelle entre le VNF et le NSP sur la première interface (interface de gestion).
  4. Attribuez une adresse IP à l'interface de gestion sur les deux VNF.
  5. Confirmer la joignabilité IP des appareils du réseau du PSN.
  6. Accéder à la VNF en utilisant SSH à partir d'un appareil dans le réseau NSP.
  7. Accédez au portail de support client de Palo Alto Networks (portail de licence) et générez une licence et un code d'authentification pour ce VNF.
  8. Appliquez le même code d'authentification aux deux VNF.
  9. Vous pouvez gérer la VNF à partir du logiciel de gestion Panorama configuré dans le réseau NSP.
  10. Créer des connexions virtuelles vers les CSP à partir des interfaces restantes.

Activation du mode FIPS

Par défaut, le mode FIPS n'est pas activé sur les dispositifs de pare-feu virtuels Palo Alto Networks.

Prérequis :

  • Accès GUI et SSH à l'interface de gestion du pare-feu via une adresse IP publique ou Colo.
  • Accès à la console du périphérique virtuel.
  • VM Palo Alto sans licence ; une fois FIPS activé, vous devez charger la licence manuellement.
  • Sauvegarde de la configuration de l'appareil.
  • Une solide compréhension du fonctionnement du pare-feu Palo Alto.
  • Le mot de passe administrateur doit être crypté en SHA256.
  • SSH doit être accessible à l'appareil sur l'interface de gestion.
  • L'OTP sera obligatoire pour le mode FIPS.

  1. Connectez-vous à l'appareil via la console.

  2. Enter the Maintenance Recovery Tool (MRT). The device will take few minutes to boot to MRT.

  3. Dans le MRT, sélectionnez [Set FIPS--CC mode] (https://docs.paloaltonetworks.com/pan-os/11-0/pan-os-admin/certifications/enable-fips-and-common-criteria-support/change-the-operational-mode-to-fips-cc-mode). Laissez les valeurs par défaut et sélectionnez "Activer le mode FIPS-CC" et appuyez sur Enter. L'épuration n'est pas recommandée pour le moment.

  4. Redémarrer l'appareil.

  5. Connectez-vous en SSH à l'appareil et supprimez la configuration par défaut suivante.

    Pour CLI, le message suivant s'affichera lors de la connexion.

    **** FIPS-CC MODE ENABLED ****

    delete network ike crypto-profiles ike-crypto-profiles default encryption aes-128-cbc
    delete network ike crypto-profiles ike-crypto-profiles default encryption
    set network ike crypto-profiles ike-crypto-profiles default encryption aes-256-cbc
    delete network ike crypto-profiles ike-crypto-profiles default dh-group
    set network ike crypto-profiles ike-crypto-profiles default dh-group group19

    delete network ike crypto-profiles ipsec-crypto-profiles default esp encryption set network ike crypto-profiles ipsec-crypto-profiles default esp encryption aes-256-cbc delete network ike crypto-profiles ipsec-crypto-profiles default dh-group

    force d'engagement ````

  6. Se connecter à l'interface graphique de l'appareil. Le mode FIPS-CC doit être affiché sur la page de connexion initiale et à tout moment dans la barre d'état située en bas de l'interface web.

  7. Charger la licence.

    request license fetch auth-code <auth-code>
Cette page vous a-t-elle été utile ?