Ir para o conteúdo principal

Criação de um firewall da série VM da Palo Alto Networks

Se você usa o aplicativo Panorama para gerenciar seus dispositivos, precisará inserir o Endereço IP do Panorama e a Chave de Autenticação durante a criação do dispositivo. O suporte ao Panorama está disponível apenas para as versões 10.1.12 e superiores.

O firewall VM-Series da Palo Alto Networks possui três opções de implantação: Simples, Redundante e em Cluster. As opções de configuração descritas abaixo se aplicam às configurações Simples e Redundante. As opções de configuração em cluster estão em Criando um Firewall VM-Series em Cluster.

Opções de conectividade

O recurso Tipo de Conectividade está disponível para o firewall da série VM da Palo Alto Networks. Esse recurso oferece opções para incluir uma interface virtual com ou sem um endereço IP público da Equinix. A opção de ter uma VNF (Função de Rede Virtual) sem um endereço IP público atende ao caso de uso em que o dispositivo virtual precisa ser isolado da Internet. Os usuários podem então gerenciar os dispositivos a partir de sua rede privada ou conexão virtual.

A tabela a seguir resume as opções de tipo de conectividade e a diferença entre as duas opções.

Connectivity TypeWith Equinix Public IP AddressWithout Equinix Public IP Address
Use CasesThis option comes with Public IP Addresses from Equinix and does not require an additional Virtual Connection to manage the virtual device.This option removes Equinix-sourced Public IP Address assignment and will segregate the VNF from the Internet after the device creation. If the device needs to be managed by software running in the Colo cage or through a private virtual connection, this option is recommended.
Internet ConnectivityPublic IP addresses from Equinix are assigned to the following interfaces and accessible from the Internet: Management (MGMT), Ethernet 1/1 (WAN).No public IP Address from Equinix included. This option requires a separate virtual connection from your Network Service Provider (NSP) or Internet Service Provider (ISP). See Bring Your Own Connection - Remote Fabric Port for more information.
Access Control ListCreate an Access Control List (ACL) to limit traffic to the VNF Management (MGMT) or WAN interface.The ACL option is not available. Additional compensating controls can be implemented for traffic from any private virtual connection.
SSH AccessUse Ethernet 1/1 (WAN) interface for SSH Access. You are required to generate an RSA public key for SSH access and configure it in the device creation workflow (mandatory).No SSH access by default. You need to create a user name for device access. One option is to generate an RSA public key for SSH access and configure it. Establish the Internet Connectivity through your NSP or ISP.
Device ManageabilityFor Single/Redundant devices, Management (MGMT) is mapped to Panorama access by default. Use the Service Route feature to re-map to the different interface.A virtual connection (via the BYOC option) needs to be first assigned to the Management (MGMT) interface for Panorama accessibility for Single and Redundant deployments.
License RegistrationProvide the AuthCode during the device creation workflow. The AuthCode will be registered automatically when the virtual device reaches out to the Palo Alto Network license registration server.No AuthCode is required during device creation workflow. User is responsible for registering license using Internet access through private virtual connection (Online License Registration), or Offline Mode License.

Configurando seu dispositivo sem endereço IP público Equinix

Se você criar seu dispositivo Sem um endereço IP público da Equinix, a VNF será provisionada sem nenhum endereço IP público na interface WAN ou de gerenciamento. Você será responsável por configurar o registro da licença, a configuração da rede overlay e o cluster (opcional). Para obter mais informações, consulte a documentação do firewall VM-Series.

Configuração da interface de gerenciamento

A seguir, apresentamos um exemplo de configuração, apenas para referência, para a configuração da interface de gerenciamento.

Comandos:

set deviceconfig system type static
set deviceconfig system ip-address x.x.x.x
set deviceconfig system netmask y.y.y.y
set deviceconfig system default-gateway z.z.z.z

Registro de licença

Você é responsável por adicionar manualmente a licença ao dispositivo. Você já deve ter acesso ao Portal de Suporte ao Cliente da Palo Alto Networks (Portal de Licenças), onde você registrar seu dispositivo usando informações de UUID e CPU-ID. Use a chave de licença do portal para adicionar a licença ao dispositivo. A documentação de ativação da licença está disponível na documentação da Palo Alto Networks.

Cenários de implementação

Cenário 1: Gerenciar o firewall a partir da colocation (registro de licença offline), onde a interface de gerenciamento é acessível somente a partir da rede conectada ao espaço de colocation. Registro de licença offline.

  1. Crie uma VNF de firewall VM-Series sem endereço IP público da Equinix no portal Network Edge.
  2. Faça login nos consoles VNF primário e secundário com seu nome de usuário e senha.
  3. Crie uma conexão virtual do VNF para a colocation na primeira interface (interface de gerenciamento).
  4. Atribua um endereço IP à interface de gerenciamento em ambos os VNFs.
  5. Confirme a acessibilidade do IP dos dispositivos no espaço de colocation.
  6. Acesse o VNF usando SSH do dispositivo no espaço de colocation.
  7. Identifique a ID da CPU e o UUID do VNF.
  8. Acesse o Portal de suporte ao cliente da Palo Alto Networks (Portal de licenças) e gere duas licenças idênticas para os VNFs.
  9. Aplique a licença de modo offline a ambas as VNFs.
  10. (Opcional) Você pode gerenciar a VNF a partir do software de gerenciamento Panorama configurado no espaço de colocation.
  11. Crie as conexões virtuais com os provedores de serviços de nuvem (CSPs) a partir das interfaces restantes.
  12. Continue a usar o gerenciamento de dispositivos off-line para atualizações de software.

Cenário 2: Gerenciar o firewall a partir de uma rede NSP (registro de licença online), onde a interface de gerenciamento é acessível pela conexão virtual NSP ou pela interface conectada via BYOC. Registro de licença online.

  1. Crie uma VNF de firewall VM-Series sem endereço IP público da Equinix no portal Network Edge.
  2. Faça login nos consoles VNF primário e secundário com seu nome de usuário e senha.
  3. Crie uma conexão virtual do VNF com o NSP na primeira interface (interface de gerenciamento).
  4. Atribua um endereço IP à interface de gerenciamento em ambos os VNFs.
  5. Confirme a capacidade de alcance do IP dos dispositivos na rede NSP.
  6. Acesse o VNF usando SSH a partir do dispositivo na rede NSP.
  7. Acesse o Portal de suporte ao cliente da Palo Alto Networks (Portal de licenças) e gere uma licença e um código de autenticação para esse VNF.
  8. Aplique o código de autenticação idêntico a ambos os VNFs.
  9. (Opcional) Você pode gerenciar a VNF a partir do software de gerenciamento Panorama configurado na rede NSP.
  10. Crie conexões virtuais com os CSPs a partir das interfaces restantes.

Habilitando o modo FIPS

Por padrão, o modo FIPS não está habilitado em dispositivos de firewall virtual da Palo Alto Networks, então você precisará habilitá-lo.

Pré-requisitos:

  • acesso GUI e SSH à interface de gerenciamento do firewall via IP público ou Colo.
  • acesso do console ao dispositivo virtual.
  • VM Palo Alto sem licença; após o FIPS ser habilitado, você precisa carregar a licença manualmente.
  • Backup da configuração do dispositivo .
  • Um forte conhecimento das operações do Firewall Palo Alto .
  • A senha do administrador precisa ser criptografada com SHA256.
  • O SSH deve estar disponível para o dispositivo na interface de gerenciamento.
  • OTP será obrigatório para o modo FIPS.

  1. Efetue login no dispositivo via console.

  2. Enter the Maintenance Recovery Tool (MRT). The device will take few minutes to boot to MRT.

  3. No MRT, selecione Definir modo FIPS-CC. Deixe os valores padrão e selecione Ativar modo FIPS-CC e pressione Enter. A verificação de integridade (scrubbing) não é recomendada no momento.

  4. Reinicie o dispositivo.

  5. Conecte-se via SSH ao dispositivo e remova a seguinte configuração padrão.

    Para CLI, a seguinte mensagem será exibida quando estiver logado.

    **** MODO FIPS-CC ATIVADO ****

    delete network ike crypto-profiles ike-crypto-profiles default encryption aes-128-cbc
    delete network ike crypto-profiles ike-crypto-profiles default encryption
    set network ike crypto-profiles ike-crypto-profiles default encryption aes-256-cbc
    delete network ike crypto-profiles ike-crypto-profiles default dh-group
    set network ike crypto-profiles ike-crypto-profiles default dh-group group19

    excluir perfis criptográficos ike de rede, perfis criptográficos ipsec, criptografia esp padrão

definir rede ike crypto-profiles ipsec-crypto-profiles default esp encryption aes-256-cbc excluir rede ike crypto-profiles ipsec-crypto-profiles default dh-group

comprometer força

1. Efetue login na interface gráfica do dispositivo. O Modo FIPS-CC deve ser exibido na página de login inicial e o tempo todo na barra de status na parte inferior da interface web.

1. Carregue a licença.

    ```sh
    request license fetch auth-code <auth-code>
    ```



Esta página foi útil?