Criação de um firewall em cluster da série VM da Palo Alto Networks
Se você usa o aplicativo Panorama para gerenciar seus dispositivos, precisará inserir o Endereço IP do Panorama e a Chave de Autenticação durante a criação do dispositivo. O suporte ao Panorama está disponível apenas para as versões 10.1.12 e superiores.
O firewall VM-Series da Palo Alto Networks possui três opções de implantação: Única, Redundante e em Cluster. As opções de configuração descritas abaixo se aplicam às configurações em Cluster. As opções de configuração Única e Redundante estão em Criando um Firewall VM-Series.
Opções de conectividade
A forma como o Network Edge provisiona dispositivos de cluster varia de acordo com as opções de conectividade. Leia esta seção com atenção para entender as etapas necessárias para configurar dispositivos primários e secundários como nós de cluster.
Ambas as opções de conectividade (com ou sem endereço IP público da Equinix) vêm com links entre o nó primário e o secundário após o provisionamento inicial do dispositivo. Esses links são usados para comunicação heartbeat e são necessários para a implantação do cluster.
A tabela a seguir resume os detalhes da configuração com base no tipo de conectividade.
| Connectivity Type | With Equinix Public IP Address | Without Equinix Public IP Address |
|---|---|---|
| Casos de uso | Esta opção inclui endereços IP públicos da Equinix e não requer uma conexão virtual adicional para gerenciar o dispositivo virtual. | Esta opção remove a atribuição de endereços IP públicos fornecidos pela Equinix e isolará a VNF da Internet após a criação do dispositivo. Se o dispositivo precisar ser gerenciado por um software executado no data center da Equinix ou por meio de uma conexão virtual privada, esta opção é recomendada. |
| Conectividade com a Internet | Endereços IP públicos da Equinix são atribuídos às seguintes interfaces e acessíveis pela Internet: Gerenciamento (MGMT), Ethernet 1/1 (WAN). | Nenhum endereço IP público da Equinix incluído. Esta opção requer uma conexão virtual separada do seu Provedor de Serviços de Rede (NSP) ou Provedor de Serviços de Internet (ISP). Consulte Traga sua própria conexão - Porta de malha remota para obter mais informações. |
| Lista de Controle de Acesso | Crie uma Lista de Controle de Acesso (ACL) para limitar o tráfego para a interface de Gerenciamento de VNF (MGMT) ou WAN. | A opção ACL não está disponível. Controles compensatórios adicionais podem ser implementados para o tráfego de qualquer conexão virtual privada. |
| Acesso SSH | Use a interface Ethernet 1/1 (WAN) para acesso SSH. É necessário gerar uma chave pública RSA para acesso SSH e configurá-la no fluxo de trabalho de criação do dispositivo (obrigatório). | Sem acesso SSH por padrão. Você precisa criar um nome de usuário para acesso ao dispositivo. Uma opção é gerar uma chave pública RSA para acesso SSH e configurá-la. Estabeleça a conectividade com a Internet por meio do seu provedor de serviços de rede (NSP) ou provedor de serviços de Internet (ISP). |
| Gerenciamento de Dispositivos | Para dispositivos em cluster, o acesso ao Panorama pode ser mapeado apenas para a interface de Gerenciamento (MGMT). | Uma conexão virtual (via opção BYOC) precisa ser atribuída primeiro à interface de Gerenciamento (MGMT) para que o Panorama seja acessível em uma implantação de cluster. |
| Registro de Licença | Forneça o código de autenticação (AuthCode) durante o fluxo de trabalho de criação do dispositivo. O AuthCode será registrado automaticamente quando o dispositivo virtual se conectar ao servidor de registro de licenças da Palo Alto Networks. | Nenhum AuthCode é necessário durante o fluxo de trabalho de criação do dispositivo. O usuário é responsável por registrar a licença usando o acesso à Internet por meio de uma conexão virtual privada (Registro de Licença Online) ou Licença no Modo Offline. |
| Configuração de Cluster | A configuração do cluster é automatizada durante o fluxo de trabalho de criação de dispositivos. | Os usuários precisam configurar os dispositivos do cluster manualmente. |
| Conexão HA interna | Por padrão, as interfaces GigabitEthernet 8 e 9 são configuradas automaticamente para conexão HA. Não é possível alterar essa configuração. Não é necessário conectar os dispositivos primário e secundário usando o link de dispositivo. | Selecione duas interfaces quaisquer para comunicação de heartbeat. O número da interface deve ser o mesmo nos dispositivos primário e secundário. Por exemplo, se a interface GigabitEthernet 5 estiver configurada no nó primário, a interface GigabitEthernet 5 também precisa ser configurada no nó secundário para a primeira conexão HA. É necessário alocar duas interfaces por nó para conexão HA. |
| Configuração de Alta Disponibilidade Interna | Por padrão, todas as configurações necessárias para formar um cluster entre dois dispositivos são provisionadas durante a fase de provisionamento do dispositivo. Não é necessário emitir nenhuma configuração adicional para o cluster. | É necessário configurar as definições de cluster nas duas interfaces (links) descritas acima. Exemplos de configuração podem ser encontrados em Configuração de Cluster sem Endereço IP Público da Equinix. |
| Código de Autenticação | Os códigos de autenticação para os nós primário e secundário precisam ser gerados antes da criação do dispositivo em cluster. Esses códigos são usados automaticamente no provisionamento do dispositivo e você não precisa aplicar licenças manualmente. Um código de autenticação ausente ou inválido resulta em falha no provisionamento. | Um código de autenticação idêntico para os nós primário e secundário é gerado após o fluxo de criação do dispositivo. Você precisará identificar o ID da CPU e o UUID para cada VNF para gerar o código de autenticação. Você precisa aplicar a licença manualmente após o provisionamento dos dispositivos. |
Configurando seu dispositivo sem endereço IP público Equinix
Se optar por criar o seu dispositivo Sem um endereço IP público da Equinix, a VNF será provisionada sem qualquer endereço IP público na interface WAN ou de gestão. A responsabilidade pela configuração do registo da licença, da rede de sobreposição e do clustering é sua.
Configuração da interface de gerenciamento
A seguir, apresentamos um exemplo de configuração, apenas para referência, para a configuração da interface de gerenciamento. Comandos
set deviceconfig system type static
set deviceconfig system ip-address x.x.x.x
set deviceconfig system netmask y.y.y.y
set deviceconfig system default-gateway z.z.z.z
Registro de licença
Você é responsável por adicionar manualmente a licença ao dispositivo. Você já deve ter acesso ao Portal de Suporte ao Cliente da Palo Alto Networks (Portal de Licenças), onde pode registrar seu dispositivo usando as informações de UUID e CPU-ID. Use a chave de licença do portal para adicionar a licença ao dispositivo. A documentação de ativação da licença está disponível na documentação da Palo Alto Networks.
Cenários de implementação
Cenário 1: Gerenciar o firewall a partir da colocation (registro de licença offline), onde a interface de gerenciamento é acessível somente a partir da rede conectada ao espaço de colocation. Registro de licença offline.
- Crie uma VNF de firewall VM-Series sem endereço IP público da Equinix no portal Network Edge.
- Faça login nos consoles VNF primário e secundário com seu nome de usuário e senha.
- Crie uma conexão virtual do VNF para a colocation na primeira interface (interface de gerenciamento).
- Atribua um endereço IP à interface de gerenciamento em ambos os VNFs.
- Confirme a acessibilidade do IP dos dispositivos no espaço de colocation.
- Acesse o VNF usando SSH do dispositivo no espaço de colocation.
- Identifique a ID da CPU e o UUID do VNF.
- Acesse o Portal de suporte ao cliente da Palo Alto Networks (Portal de licenças) e gere duas licenças idênticas para os VNFs.
- Aplique a licença de modo offline a ambas as VNFs.
- (Opcional) Você pode gerenciar a VNF a partir do software de gerenciamento Panorama configurado no espaço de colocation.
- Crie as conexões virtuais com os provedores de serviços de nuvem (CSPs) a partir das interfaces restantes.
- Continue a usar o gerenciamento de dispositivos off-line para atualizações de software.
Cenário 2: Gerenciar o firewall a partir de uma rede NSP (registro de licença online), onde a interface de gerenciamento é acessível pela conexão virtual NSP ou pela interface conectada via BYOC. Registro de licença online.
- Crie uma VNF de firewall VM-Series sem endereço IP público da Equinix no portal Network Edge.
- Faça login nos consoles VNF primário e secundário com seu nome de usuário e senha.
- Crie uma conexão virtual do VNF com o NSP na primeira interface (interface de gerenciamento).
- Atribua um endereço IP à interface de gerenciamento em ambos os VNFs.
- Confirme a capacidade de alcance do IP dos dispositivos na rede NSP.
- Acesse o VNF usando SSH a partir do dispositivo na rede NSP.
- Acesse o Portal de suporte ao cliente da Palo Alto Networks (Portal de licenças) e gere uma licença e um código de autenticação para esse VNF.
- Aplique o código de autenticação idêntico a ambos os VNFs.
- (Opcional) Você pode gerenciar a VNF a partir do software de gerenciamento Panorama configurado na rede NSP.
- Crie conexões virtuais com os CSPs a partir das interfaces restantes.
Configuração de cluster sem endereço IP público Equinix
Se você selecionar a opção de conectividade Sem endereço IP público da Equinix, será responsável por configurar duas interfaces em cada nó para formar um cluster entre os nós primário e secundário. A seguir, um exemplo de configuração usando a Interface de Linha de Comando (CLI).
configuração de exemplo para o nó primário:
set deviceconfig high-availability interface ha1 port ethernet1/<HA1_Interface>
set deviceconfig high-availability interface ha1 ip-address <Primary_HA1_IP>
set deviceconfig high-availability interface ha1 netmask <NETMASK>
set deviceconfig high-availability interface ha1-backup
set deviceconfig high-availability interface ha2 port ethernet1/<HA1_Interface>
set deviceconfig high-availability interface ha2 ip-address <Primary_HA2_IP>
set deviceconfig high-availability interface ha2 netmask <NETMASK>
set deviceconfig high-availability group group-id <Group_ID>
set deviceconfig high-availability group peer-ip <Secondary_IP>
set deviceconfig high-availability group election-option device-priority <Priority>
set deviceconfig high-availability group election-option timers recommended
set deviceconfig high-availability enabled yes
set network interface ethernet ethernet1/<HA1_Interface> ha
set network interface ethernet ethernet1/<HA2_Interface> ha
configuração de exemplo para nó secundário:
set deviceconfig high-availability interface ha1 port ethernet1/<HA1_Interface>
set deviceconfig high-availability interface ha1 ip-address <Secondary_HA1_IP>
set deviceconfig high-availability interface ha1 netmask <NETMASK>
set deviceconfig high-availability interface ha1-backup
set deviceconfig high-availability interface ha2 port ethernet1/<HA1_Interface>
set deviceconfig high-availability interface ha2 ip-address <Secondary_HA2_IP>
set deviceconfig high-availability interface ha2 netmask <NETMASK>
set deviceconfig high-availability group group-id <Group_ID>
set deviceconfig high-availability group peer-ip <Primary_IP>
set deviceconfig high-availability group election-option device-priority <Priority>
set deviceconfig high-availability enabled yes
set network interface ethernet ethernet1/<HA1_Interface> ha
set network interface ethernet ethernet1/<HA2_Interface> ha
Para um exemplo de configuração usando uma Interface Gráfica do Usuário (GUI) do software de gerenciamento, consulte Configurar Cluster HA na documentação da Palo Alto.
Habilitando o modo FIPS
Por padrão, o modo FIPS não está habilitado em dispositivos de firewall virtual da Palo Alto Networks, então você precisará habilitá-lo.
Pré-requisitos:
- acesso GUI e SSH à interface de gerenciamento do firewall via IP público ou Colo.
- acesso do console ao dispositivo virtual.
- VM Palo Alto sem licença; após o FIPS ser habilitado, você precisa carregar a licença manualmente.
- Backup da configuração do dispositivo .
- Um forte conhecimento das operações do Firewall Palo Alto .
- A senha do administrador precisa ser criptografada com SHA256.
- O SSH deve estar disponível para o dispositivo na interface de gerenciamento.
- OTP será obrigatório para o modo FIPS.
-
Faça um backup da configuração de HA da VM1 usando ssh.
> set cli config-output-format set> configureEntering configuration mode[edit]# show | match high-availability -
Desabilite o HA na VM1 antes de habilitar o FIPS e confirme a configuração.
-
Efetue login no dispositivo via console.
-
Enter the Maintenance Recovery Tool (MRT). The device will take few minutes to boot to MRT.
-
No MRT, selecione Definir modo FIPS-CC. Deixe os valores padrão e selecione
Ativar modo FIPS-CCe pressione Enter. A verificação de integridade (scrubbing) não é recomendada no momento. -
Reinicie o dispositivo.
-
Conecte-se via SSH ao dispositivo e remova a seguinte configuração padrão.
Para CLI, a seguinte mensagem será exibida quando estiver logado.
**** MODO FIPS-CC ATIVADO ****delete network ike crypto-profiles ike-crypto-profiles default encryption aes-128-cbcdelete network ike crypto-profiles ike-crypto-profiles default encryptionset network ike crypto-profiles ike-crypto-profiles default encryption aes-256-cbcdelete network ike crypto-profiles ike-crypto-profiles default dh-groupset network ike crypto-profiles ike-crypto-profiles default dh-group group19excluir perfis criptográficos ike de rede, perfis criptográficos ipsec, criptografia esp padrão
definir rede ike crypto-profiles ipsec-crypto-profiles default esp encryption aes-256-cbc excluir rede ike crypto-profiles ipsec-crypto-profiles default dh-group
comprometer força
Repita os passos acima para a VM2. Efetue login na interface gráfica de usuário (GUI) de ambas as VMs. O Modo FIPS-CC deve ser exibido na página de login inicial e o tempo todo na barra de status na parte inferior da interface web .
Cada firewall da Palo Alto Networks [possui sua própria chave de alta disponibilidade que pode ser usada para criptografar o tráfego HA1](https://docs.paloaltonetworks.com/pan-os/11-0/pan-os-admin/high-availability/refresh-ha1-ssh-keys-and-configure-key-options#idf58348b2-b027-4864-8173-6a3ce3a98f8d). A chave precisa ser exportada da VM1 e importada para a VM2. A chave da VM2 também precisa ser exportada e importada para a VM1.
1. Faça login na interface gráfica do VM2. Acesse DISPOSITIVO > Gestão de Certificados > Certificados > Certificados de dispositivos > Exportar chave HA
:::note
Certifique-se de que o nome do arquivo de chave não tenha caracteres especiais.
:::
1. Faça login na interface gráfica da VM1: carregue a chave HA da VM2 para a VM1. Acesse DEVICE. > Gestão de Certificados > Certificados > Certificados de Dispositivos > Importar chave HA
1. Faça login na interface gráfica do VM1: Baixe a chave HA do VM1. Acesse DEVICE. > Gestão de Certificados > Certificados > Certificados de dispositivos > Exportar chave HA
1. Faça login na interface gráfica da VM2: carregue a chave HA da VM1 para a VM2. Acesse DEVICE. > Gestão de Certificados > Certificados > Certificados de Dispositivos > Importar chave HA
1. Anexe as seguintes linhas à configuração de HA de backup obtida na Etapa 1 da VM1 e VM2.
```sh
set deviceconfig setting auto-mac-detect yes
set deviceconfig high-availability interface ha1 encryption enabled yes
```
1. Adicione a configuração às VM1 e VM2 a partir de seus respectivos backups e confirme a configuração via ssh.
```
> configure
Entering configuration mode
[edit]
# <Load config>
# commit
```
1. Carregue a licença em ambos os dispositivos.
```sh
request license fetch auth-code <auth-code>
```
:::info[Importante]
O dispositivo será reinicializado automaticamente após a licença ser aplicada com sucesso.
:::
1. Se necessário, faça login no dispositivo principal e sincronize a configuração entre os dois dispositivos.
```sh
request high-availability sync-to-remote running-config
```