创建Palo Alto Networks VM 系列防火墙

如果您使用 Panorama 应用程序管理您的设备，则需要在创建设备时输入 Panorama IP 地址 和 身份验证密钥。Panorama 仅支持 10.1.12 及更高版本。

Palo Alto Networks VM 系列防火墙提供三种部署选项：单机部署、冗余部署和集群部署。以下配置选项适用于单机部署和冗余部署。集群部署配置选项请参阅创建集群式 VM 系列防火墙。

连接选项

Palo Alto Networks VM 系列防火墙提供“连接类型”功能。此功能允许用户选择是否包含来自 Equinix 的公网 IP 地址的虚拟接口。如果虚拟网络功能 (VNF) 需要与互联网隔离，则无需分配公网 IP 地址。用户可以通过其私有网络或虚拟连接管理这些设备。

下表总结了连接类型选项和两个选项之间的区别。

Connectivity Type	With Equinix Public IP Address	Without Equinix Public IP Address
Use Cases	This option comes with Public IP Addresses from Equinix and does not require an additional Virtual Connection to manage the virtual device.	This option removes Equinix-sourced Public IP Address assignment and will segregate the VNF from the Internet after the device creation. If the device needs to be managed by software running in the Colo cage or through a private virtual connection, this option is recommended.
Internet Connectivity	Public IP addresses from Equinix are assigned to the following interfaces and accessible from the Internet: Management (MGMT), Ethernet 1/1 (WAN).	No public IP Address from Equinix included. This option requires a separate virtual connection from your Network Service Provider (NSP) or Internet Service Provider (ISP). See Bring Your Own Connection - Remote Fabric Port for more information.
Access Control List	Create an Access Control List (ACL) to limit traffic to the VNF Management (MGMT) or WAN interface.	The ACL option is not available. Additional compensating controls can be implemented for traffic from any private virtual connection.
SSH Access	Use Ethernet 1/1 (WAN) interface for SSH Access. You are required to generate an RSA public key for SSH access and configure it in the device creation workflow (mandatory).	No SSH access by default. You need to create a user name for device access. One option is to generate an RSA public key for SSH access and configure it. Establish the Internet Connectivity through your NSP or ISP.
Device Manageability	For Single/Redundant devices, Management (MGMT) is mapped to Panorama access by default. Use the Service Route feature to re-map to the different interface.	A virtual connection (via the BYOC option) needs to be first assigned to the Management (MGMT) interface for Panorama accessibility for Single and Redundant deployments.
License Registration	Provide the AuthCode during the device creation workflow. The AuthCode will be registered automatically when the virtual device reaches out to the Palo Alto Network license registration server.	No AuthCode is required during device creation workflow. User is responsible for registering license using Internet access through private virtual connection (Online License Registration), or Offline Mode License.

在没有Equinix公有 IP 地址的情况下配置您的设备

如果您创建设备时未分配 Equinix 公网 IP 地址，则 VNF 将在 WAN 或管理接口上配置为无公网 IP 地址。您需要自行配置许可证注册、叠加网络配置和集群（可选）。更多信息，请参阅 VM 系列防火墙文档。

管理界面配置

以下是管理接口设置的示例配置，仅供参考。

命令：

set deviceconfig system type static
set deviceconfig system ip-address x.x.x.x
set deviceconfig system netmask y.y.y.y
set deviceconfig system default-gateway z.z.z.z

许可证注册

您负责手动将许可证添加到设备。您应该已经拥有Palo Alto Networks 客户支持门户（许可证门户）的访问权限，您可以在其中使用 UUID 和 CPU-ID 信息注册您的设备。使用门户中的许可证密钥在设备上添加许可证。许可证激活文档可从Palo Alto Networks 文档中找到。

部署方案

场景 1：从托管机房管理防火墙（离线许可证注册），其中管理界面只能从连接到托管机房的网络访问离线许可证注册。

1. 在网络边缘门户中创建 VM 系列防火墙 VNF 不带 Equinix 公共 IP 地址。
2. 用你的用户名和密码登录到主要和次要的VNF控制台。
3. 在第一个接口（管理接口）上创建从 VNF 到共置的虚拟连接。
4. 为两个VNF的管理接口分配一个IP地址。
5. 确认主机托管空间内设备的IP可达性。
6. 使用SSH从主机托管空间的设备访问VNF。
7. 确定VNF的CPU ID和UUID。
8. 访问Palo Alto Networks客户支持门户（License portal），为VNFs生成两个相同的许可证。
9. 将离线模式许可证应用于两个VNF。
10. （可选）您可以通过在托管空间中配置的 Panorama 管理软件来管理 VNF。
11. 从剩余的接口创建到云服务提供商（CSP）的虚拟连接。
12. 继续使用离线设备管理进行软件更新。

场景 2：从 NSP 网络管理防火墙（在线许可证注册），管理界面可通过 NSP 虚拟连接或 BYOC 连接的接口访问。在线许可证注册。

1. 在网络边缘门户中创建 VM 系列防火墙 VNF 不带 Equinix 公共 IP 地址。
2. 用你的用户名和密码登录到主要和次要的VNF控制台。
3. 在第一个接口（管理接口）上创建一个从VNF到NSP的虚拟连接。
4. 为两个VNF的管理接口分配一个IP地址。
5. 确认NSP网络中设备的IP可达性。
6. 使用SSH从NSP网络中的设备访问VNF。
7. 访问Palo Alto Networks客户支持门户（License portal），为该VNF生成许可证和授权码。
8. 将相同的授权代码应用于两个VNF。
9. （可选）您可以通过在 NSP 网络中配置的 Panorama 管理软件来管理 VNF。
10. 从剩余的接口创建与CSP的虚拟连接。

启用 FIPS 模式

默认情况下，Palo Alto Networks 虚拟防火墙设备上未启用 FIPS 模式，因此您需要启用它。

先决条件：

• 通过公共 IP 或Colo通过 GUI 和 SSH 访问防火墙的管理界面。
• 控制台访问虚拟设备。
• 未经许可的Palo Alto VM；启用 FIPS 后，您需要手动加载许可证。
• 设备配置的备份。
• 深入了解Palo Alto防火墙操作。
• 管理员密码需要采用 SHA256 加密。
• 设备在管理接口上必须可以使用 SSH。
• 对于 FIPS 模式，OTP 是强制性的。

1. 通过控制台登录设备。

2. Enter the Maintenance Recovery Tool (MRT). The device will take few minutes to boot to MRT.

3. 在 MRT 中，选择设置 FIPS--CC 模式。保留默认值，选择“启用 FIPS-CC 模式”，然后按Enter键。目前不建议进行数据清理。

4. 重新启动设备。

5. 通过 SSH 连接到设备并删除以下默认配置。

   对于CLI ，登录时将显示以下消息。

   **** FIPS-CC 模式已启用 ****

   delete network ike crypto-profiles ike-crypto-profiles default encryption aes-128-cbc
   delete network ike crypto-profiles ike-crypto-profiles default encryption
   set network ike crypto-profiles ike-crypto-profiles default encryption aes-256-cbc
   delete network ike crypto-profiles ike-crypto-profiles default dh-group
   set network ike crypto-profiles ike-crypto-profiles default dh-group group19
   
   删除网络 ike 加密配置文件 ipsec 加密配置文件默认 esp 加密

设置网络 IKE 加密配置文件 ipsec-crypto-profiles 默认 esp 加密 aes-256-cbc 删除网络 ike 加密配置文件 ipsec 加密配置文件默认 dh 组

强制

1. 登录设备 GUI。FIPS-CC 模式应显示在初始登录页面上，并始终显示在 Web 界面底部的状态栏中。

1. 加载许可证。

    ```sh
    request license fetch auth-code <auth-code>
    ```