本文へスキップ

Palo Alto Networks VM シリーズファイアウォールの作成

デバイスの管理に Panorama アプリケーションを使用する場合、デバイスの作成時にPanorama IP アドレス認証キー を入力する必要があります。Panorama サポートはバージョン 10.1.12 以降でのみ提供されます。

Palo Alto Networks VM-Series Firewall には、3 つの導入オプションがあります:シングル、冗長、クラスタ。以下に説明する構成オプションは、シングル構成と冗長構成に適用されます。クラスター構成オプションは、Creating a Clustered VM-Series Firewall に記載されています。

接続オプション

接続タイプ 機能は、Palo Alto Networks VM-Series Firewall で使用できます。この機能では、エクイニクスのパブリックIPアドレスの有無にかかわらず、仮想インターフェースを含めるオプションを提供します。パブリックIPアドレスなしでVNFを起動するオプションは、仮想デバイスをインターネットから隔離する必要がある場合に使用します。ユーザーはプライベートネットワークまたは仮想接続からデバイスを管理できます。

接続タイプのオプションとその違いを以下の表にまとめました。

Connectivity TypeWith Equinix Public IP AddressWithout Equinix Public IP Address
Use CasesThis option comes with Public IP Addresses from Equinix and does not require an additional Virtual Connection to manage the virtual device.This option removes Equinix-sourced Public IP Address assignment and will segregate the VNF from the Internet after the device creation. If the device needs to be managed by software running in the Colo cage or through a private virtual connection, this option is recommended.
Internet ConnectivityPublic IP addresses from Equinix are assigned to the following interfaces and accessible from the Internet: Management (MGMT), Ethernet 1/1 (WAN).No public IP Address from Equinix included. This option requires a separate virtual connection from your Network Service Provider (NSP) or Internet Service Provider (ISP). See Bring Your Own Connection - Remote Fabric Port for more information.
Access Control ListCreate an Access Control List (ACL) to limit traffic to the VNF Management (MGMT) or WAN interface.The ACL option is not available. Additional compensating controls can be implemented for traffic from any private virtual connection.
SSH AccessUse Ethernet 1/1 (WAN) interface for SSH Access. You are required to generate an RSA public key for SSH access and configure it in the device creation workflow (mandatory).No SSH access by default. You need to create a user name for device access. One option is to generate an RSA public key for SSH access and configure it. Establish the Internet Connectivity through your NSP or ISP.
Device ManageabilityFor Single/Redundant devices, Management (MGMT) is mapped to Panorama access by default. Use the Service Route feature to re-map to the different interface.A virtual connection (via the BYOC option) needs to be first assigned to the Management (MGMT) interface for Panorama accessibility for Single and Redundant deployments.
License RegistrationProvide the AuthCode during the device creation workflow. The AuthCode will be registered automatically when the virtual device reaches out to the Palo Alto Network license registration server.No AuthCode is required during device creation workflow. User is responsible for registering license using Internet access through private virtual connection (Online License Registration), or Offline Mode License.

Equinix 公共 IP アドレスを使用せずにデバイスを設定する

EquinixパブリックIPアドレスなし でデバイスを作成した場合、VNFはWANまたは管理インターフェースにパブリックIPアドレスなしでプロビジョニングされます。ライセンス登録、オーバーレイネットワーク設定、およびクラスタリング(オプション)の設定はお客様の責任で行ってください。詳細については、VM-Series Firewall のドキュメントを参照してください。

マネジメントインターフェイスの構成

以下は、管理インターフェイスのセットアップのためのサンプルで、参考のみの構成です。

コマンド

set deviceconfig system type static
set deviceconfig system ip-address x.x.x.x
set deviceconfig system netmask y.y.y.y
set deviceconfig system default-gateway z.z.z.z

ライセンス登録

デバイスへのライセンスの手動追加は、お客様の責任で行ってください。UUID および CPU-ID 情報を使用してデバイスを登録できる Palo Alto Networks カスタマーサポートポータル(ライセンスポータル)へのアクセス権は、すでに取得済みである必要があります。ポータルから取得したライセンスキーを使用して、デバイスにライセンスを追加してください。ライセンスのアクティベーションに関するドキュメントは、Palo Alto Networks のドキュメントから入手できます。

展開シナリオ

シナリオ 1:コロケーションからファイアウォールを管理する(オフラインライセンス登録)管理インターフェイスは、コロケーションスペースに接続されたネットワークからのみアクセス可能ですオフライン ライセンス登録。

  1. ネットワークEdgeポータルでVM-SeriesファイアウォールVNFWithout Equinix Public IP Address を作成します。
  2. プライマリおよびセカンダリのVNFコンソールに、ユーザー名とパスワードでログインします。
  3. VNF からコロケーションへの仮想接続を最初のインターフェース(管理インターフェース)に作成します。
  4. 両方のVNFの管理インターフェイスにIPアドレスを割り当てる。
  5. コロケーションスペースにある機器からIP到達性を確認する。
  6. コロケーション空間内の機器からSSHでVNFにアクセスします。
  7. VNFのCPU IDとUUIDを特定する。
  8. Palo Alto Networksカスタマーサポートポータル(ライセンスポータル)にアクセスし、VNF用の同一のライセンスを2つ生成します。
  9. オフラインモードライセンス を両方の VNF に適用します。
  10. コロケーションスペースに設定された Panorama 管理ソフトウェアから VNF を管理できます。
  11. 残りのインターフェイスから、クラウドサービスプロバイダ(CSP)への仮想接続を作成します。
  12. ソフトウェアのアップデートには、引き続きオフラインのデバイス管理を使用します。

シナリオ2:NSPネットワークからのファイアウォール管理(オンライン・ライセンス登録)NSP仮想接続またはBYOC接続インターフェースからアクセス可能な管理インターフェース。オンライン ライセンス登録。

  1. ネットワークEdgeポータルでVM-SeriesファイアウォールVNFWithout Equinix Public IP Address を作成します。
  2. プライマリおよびセカンダリのVNFコンソールに、ユーザー名とパスワードでログインします。
  3. 最初のインタフェース(管理インタフェース)で、VNFからNSPへの仮想接続を作成する。
  4. 両方のVNFの管理インターフェイスにIPアドレスを割り当てる。
  5. NSPネットワーク内の機器からIP到達性を確認する。
  6. NSPネットワーク内の機器からSSHでVNFにアクセスします。
  7. Palo Alto Networks Customer Support Portal (License portal) にアクセスし、この VNF のライセンスと認証コードを生成します。
  8. 両方のVNFに同一のAuth Codeを適用します。
  9. NSP ネットワークに設定された Panorama 管理ソフトウェアから VNF を管理できます。
  10. 残りのインターフェイスからCSPへの仮想接続を作成します。

FIPS モードを有効にする

デフォルトでは、FIPS モードは Palo Alto Networks の仮想ファイアウォール デバイスでは有効になっていないため、有効にする必要があります。

前提条件

  • パブリック IP または Colo 経由でファイアウォールの管理インターフェースに GUI および SSH アクセス。
  • 仮想デバイスへのコンソールアクセス。
  • ライセンスのない Palo Alto VM。FIPS を有効にした後、ライセンスを手動でロードする必要があります。
  • デバイスの設定のバックアップ。
  • Palo Alto ファイアウォールの動作について深い理解があること。
  • 管理者パスワードは SHA256 暗号化する必要があります。
  • 管理インターフェースでデバイスに SSH を使用できる必要があります。
  • FIPS モードでは OTP が必須となります。

  1. コンソールからデバイスにログインする。

  2. Enter the Maintenance Recovery Tool (MRT). The device will take few minutes to boot to MRT.

  3. MRTでSet FIPS--CC modeを選択します。値はデフォルトのままにしておき、[Enable FIPS-CC Mode`]を選択し、Enter を押します。スクラブは現在推奨されていません。

  4. デバイスを再起動する。

  5. デバイスにSSH接続して、以下のデフォルト・コンフィグレーションを削除する。

    CLI では、ログインすると次のメッセージが表示されます。

    **** fips-cc mode enabled****`.

    delete network ike crypto-profiles ike-crypto-profiles default encryption aes-128-cbc
    delete network ike crypto-profiles ike-crypto-profiles default encryption
    set network ike crypto-profiles ike-crypto-profiles default encryption aes-256-cbc
    delete network ike crypto-profiles ike-crypto-profiles default dh-group
    set network ike crypto-profiles ike-crypto-profiles default dh-group group19

    ネットワーク ike crypto-profiles ipsec-crypto-profiles default esp encryption set network ike crypto-profiles ipsec-crypto-profiles default esp encryption aes-256-cbc delete network ike crypto-profiles ipsec-crypto-profiles default dh-group

    コミットフォース ```

  6. デバイスの GUI にログインする。FIPS-CC モードは、最初のログイン・ページおよびウェブ・インターフェースの下部にあるステー タス・バーに常に表示されなければならない。

  7. ライセンスをロードする。

    request license fetch auth-code <auth-code>
このページは役に立ちましたか?