13. Bootstrap firewall

Estimasi waktu penyelesaian: 60 menit

Pemilik komponen yang dapat dioperasikan: FW

Profil keterampilan: engineer deployment

Halaman ini memberikan petunjuk untuk menginstal dan mengonfigurasi firewall Palo Alto Networks (PANW). Google Distributed Cloud (GDC) dengan air gap menawarkan dua firewall PANW: firewall Intrusion Detection and Prevention System (IDPS) dan firewall perimeter.

13.1. Mengakses firewall

13.1.1. Mengakses konsol

  1. Hubungkan kabel serial dari komputer ke port konsol dan hubungkan ke firewall menggunakan software emulasi terminal (9600-8-N-1).

  2. Tunggu selama 10-15 menit hingga urutan booting selesai. Setelah firewall siap, perintah akan berubah menjadi nama firewall, seperti PA-5260 login untuk firewall IDPS dan PA-850 login untuk firewall perimeter.

  3. Kredensial nama pengguna dan sandi default adalah admin/admin, atau admin/paloalto dalam mode FIPS.

13.1.2. GUI/CLI

  1. Hubungkan kabel Ethernet RJ-45 dari komputer Anda ke port pengelolaan di firewall.

  2. Setel alamat IP komputer Anda ke 192.168.1.2/24.

  3. Untuk mengakses antarmuka pengelolaan firewall, buka https://192.168.1.1.

  4. Kredensial nama pengguna dan sandi default adalah admin/admin, atau admin/paloalto dalam mode FIPS.

13.2. Verifikasi hardware

  1. Periksa apakah suku cadang yang diterima sesuai dengan yang dibeli dalam jenis dan jumlah item.

  2. Jika ada perbedaan, ajukan kasus dukungan dengan mengikuti SUP-P0007.

  3. Untuk memverifikasi bahwa optik yang terhubung sudah benar, ikuti petunjuk di Menyiapkan Firewall Palo Alto Networks.

  4. Pastikan Alarm disetel ke Off atau False untuk setiap komponen:

    show system state | match "alarm': On"
show system state | match "alarm': T"

    Proses ini menampilkan output kosong.

    show system environmentals

    Semua alarm harus disetel ke False.

  5. Periksa lampu di firewall:

    1. Panel Depan: LED berikut harus berwarna hijau:
      1. PWR (daya)
      2. STS (status)
      3. TMP (suhu)
      4. ALM (alarm), LED Alarm di THN mati.
      5. PENGGEMAR (fans)
      6. PWR1 dan PWR2 (daya)

  6. Melihat nomor seri firewall.

    Untuk firewall PA-850 dan PA-5260, gunakan perintah show berikut untuk melihat nomor seri dari informasi sistem:

    show system info | match serial

    Anda akan melihat output yang mirip dengan berikut ini:

    serial: 0123456789

    Berikut adalah contoh output file YAML firewall.

    hardware:
    model: Palo Alto 5260
    serialNumber: "0123456789"
    vendor: Palo Alto

13.3. Mereset ke setelan pabrik

  1. Masuk ke mode pemeliharaan dari konsol:

    debug system maintenance-mode

    Outputnya mirip dengan hal berikut ini:

    Executing this command will disconnect the current session and reboot the system into maintenance mode. Do you want to continue? (y or n)

Broadcast message from root (Tue Mar 15 11:07:31 2022):

The system is going down for reboot NOW!

  2. Masukkan y untuk melanjutkan.

    Alat Pemulihan Pemeliharaan

  3. Buka dan pilih Reset ke Setelan Pabrik:

    Reset ke Setelan Pabrik dengan Alat Pemulihan Pemeliharaan

  4. Buka dan pilih Reset ke Setelan Pabrik lagi:

    Mengulangi reset ke setelan pabrik Alat Pemulihan Pemeliharaan

  5. Pilih Mulai ulang:

    Boot ulang Alat Pemulihan Pemeliharaan

13.4. Mengaktifkan mode FIPS

Jika Anda memerlukan mode FIPS diaktifkan, Anda harus melakukan langkah-langkah berikut. Seperti yang disebutkan di bagian Akses firewall, saat pertama kali login, Anda harus memasukkan sandi administrator baru. Anda harus menggunakan sandi ini selama penyiapan FIPS. Setelah proses berhasil diselesaikan, sandi firewall akan direset ke sandi FIPS default.

  1. Hubungkan ke firewall menggunakan konsol dan tunggu perintah PA-5260 login: terakhir.

  2. Gunakan nama pengguna dan sandi default: admin/admin.

  3. Ikuti perintah di layar untuk memasukkan sandi administrator baru dari spreadsheet sandi perangkat jaringan.

  4. Aktifkan mode pemeliharaan dengan perintah berikut:

    admin@PA-5260> debug system maintenance-mode

    Outputnya mirip dengan hal berikut ini:

    Executing this command will disconnect the current session and reboot the system into maintenance mode. Do you want to continue? (y or n)

Tue Mar 15 11:29:31 PDT 2022: Stopping PAN Software

  5. Pilih Setel Mode FIPS-CC:

    Menetapkan mode FIPS-CC

  6. Buka dan pilih Aktifkan Mode FIPS-CC:

    Mengaktifkan mode FIPS-CC

  7. Pastikan proses selesai dengan berhasil:

    Proses mode FIPS-CC

  8. Buka dan pilih Mulai ulang:

    Mulai Ulang Reset ke Setelan Pabrik

  9. Setelah beralih ke mode FIPS-CC, Anda akan melihat status berikut: FIPS-CC mode enabled successfully.

    Mode FIPS-CC berhasil diaktifkan

Perubahan berikut kini berlaku:

  • FIPS-CC selalu ditampilkan di status bar di footer antarmuka web.

  • Kredensial login administrator default sekarang adalah admin/paloalto.

Setelah sistem melakukan uji mandiri FIPS dan FIPS disetel, tidak ada cara untuk keluar dari mode pemeliharaan debug sistem karena tidak ada koneksi yang tersedia melalui konsol serial. Sebagai operator, Anda harus mencabut kabel konsol serial atau memutuskan koneksi dari konsol serial firewall.

13.5. Bootstrapping firewall PANW dengan konfigurasi jaringan pengelolaan dasar

Langkah ini melibatkan inisialisasi firewall PANW dengan menerapkan setelan jaringan penting yang memungkinkan konektivitas ke jaringan pengelolaan.

13.5.1. Periksa konfigurasi

Tim Operasi Hardware GDC dan tim IDPS harus menyelesaikan file di direktori cellcfg untuk menentukan informasi penyiapan untuk deployment.

Bagian ini membahas bootstrapping firewall PANW untuk jaringan dan akses pengelolaan dasar.

13.5.2. Menyiapkan jaringan pengelolaan dasar

  1. Di server bootstrap, jalankan:

    gdcloud system firewall mgmt-setup --config PATH_TO_CELLCFG_DIRECTORY --firewall-type=FIREWALL_TYPE

    Ganti PATH_TO_CELLCFG_DIRECTORY dengan jalur direktori tempat cellcfg disimpan.

    Ganti FIREWALL_TYPE dengan salah satu dari berikut ini:

    • idps: firewall IDPS.
    • perimeter: firewall perimeter.

    Perintah ini melakukan tindakan berikut:

    • Menetapkan konfigurasi terkait perangkat.
    • Menetapkan nama host.
    • Menetapkan alamat IP pengelolaan.
    • Memverifikasi konektivitas alamat IP pengelolaan.

    Perintah ini memerlukan waktu sekitar 15 menit untuk dijalankan. Anda harus menjalankan perintah gdcloud system firewall mgmt-setup untuk IDPS dan firewall perimeter secara terpisah dan Anda tidak boleh menjalankan perintah secara bersamaan.

  2. Jalankan perintah dua kali—sekali untuk jenis firewall sebagai idps dan sekali lagi untuk jenis firewall sebagai perimeter.

13.6. Mengupgrade PAN-OS

  1. Di server bootstrap, jalankan perintah gdcloud berikut:

    gdcloud system firewall bootstrap-upgrade --config PATH_TO_CELLCFG_DIRECTORY --firewall-type=FIREWALL_TYPE

    Ganti PATH_TO_CELLCFG_DIRECTORY dengan jalur direktori tempat cellcfg disimpan.

    Ganti FIREWALL_TYPE dengan idps untuk firewall IDPS atau perimeter untuk firewall perimeter.

    Perintah ini melakukan tindakan berikut:

    • Periksa apakah versi PAN OS saat ini cocok dengan versi target; jika sama, upgrade tidak diperlukan. Jika tidak, lanjutkan untuk mengupgrade image PAN OS.
    • Jika Anda perlu mengupgrade image PAN OS, verifikasi versi update konten saat ini dengan versi target. Upgrade update konten jika versi saat ini lebih lama daripada versi target.

  2. Jalankan perintah gdcloud system firewall bootstrap-upgrade dua kali—sekali untuk jenis firewall sebagai idps dan sekali lagi untuk jenis firewall sebagai perimeter. Perintah ini memerlukan waktu sekitar 30 menit untuk menyelesaikan firewall IDPS dan 1 jam untuk menyelesaikan firewall perimeter. Anda dapat menjalankan perintah secara bersamaan.

  3. Verifikasi versi PAN-OS saat ini. Di GDC versi 1.14.3+, versi PAN-OS harus 10.2.13.

    show system info | match sw-version

13.7. Menyelesaikan bootstrap

  1. Di server bootstrap, jalankan:

    gdcloud system firewall install --config PATH_TO_CELLCFG_DIRECTORY --firewall-type=FIREWALL_TYPE

    Ganti PATH_TO_CELLCFG_DIRECTORY dengan jalur direktori tempat cellcfg disimpan.

    Ganti FIREWALL_TYPE dengan idps untuk firewall IDPS atau perimeter untuk firewall perimeter.

    Perintah ini melakukan tindakan berikut:

    • Menginstal lisensi.
    • Memperbarui tanda tangan konten.
    • Pertukaran kunci Ketersediaan Tinggi (HA) dan aktifkan multi-vsys.
    • Membuat rahasia kunci root.
    • Lakukan inisialisasi konfigurasi firewall.

  2. Jalankan perintah dua kali—sekali untuk jenis firewall sebagai idps dan sekali lagi untuk jenis firewall sebagai perimeter. Perintah ini memerlukan waktu sekitar 20 hingga 25 menit untuk diselesaikan. Anda dapat menjalankan perintah gdcloud system firewall install secara bersamaan.

13.8. Memverifikasi penyiapan

Untuk memverifikasi bahwa Anda telah melakukan bootstrapping firewall PANW, ikuti langkah-langkah berikut:

  1. Buka URL https://MANAGEMENT_IP_ADDRESS. Ganti MANAGEMENT_IP_ADDRESS dengan pengelolaan perangkat firewall Anda.
  2. Login ke portal web dengan memasukkan nama pengguna dan sandi yang ditentukan dalam file cell.yaml Anda.

  3. Klik Dasbor di menu navigasi. Pilih Widget -> Sistem -> Antarmuka dan Ketersediaan Tinggi

    Dasbor HA firewall PANW

  4. Periksa item berikut untuk memverifikasi keberhasilan proses bootstrap:

    • Untuk firewall IDPS (PA-5260) yang berada dalam mode aktif-aktif, firewall primer dan sekunder akan memiliki status yang sama:

      • Periksa apakah angka berikut di bagian Interfaces berwarna hijau:

        • 5, 6, 7, 8, 21, 22, 23, 24

      • Periksa apakah semua poin dalam bagian Ketersediaan Tinggi berwarna hijau. Perhatikan bahwa Anda dapat melihat bagian Running Config berwarna merah atau kuning, dan bertuliskan not synchronized.

      Antarmuka HA firewall PANW IDPS

    • Untuk firewall Perimeter (PA-850) yang berada dalam mode aktif-pasif, firewall aktif dan pasif akan memiliki status yang berbeda:

      • Untuk firewall yang aktif:

        • Periksa bagian Ketersediaan Tinggi:

          • Periksa apakah Local menampilkan Active dan berwarna hijau, sedangkan Peer menampilkan Passive dan berwarna kuning.
          • Anda dapat melihat bagian Running Config berwarna merah atau kuning, dan bertuliskan not synchronized.
          • Periksa apakah semua poin lainnya dalam bagian Ketersediaan Tinggi berwarna hijau.

        • Periksa apakah angka berikut di bagian Interfaces berwarna hijau:

          • 9, 10

        HA firewall perimeter PANW aktif

      • Untuk firewall pasif:

        • Periksa bagian Ketersediaan Tinggi:

          • Periksa apakah Lokal menampilkan Pasif dan berwarna kuning, sementara Peer menampilkan Aktif dan berwarna hijau.
          • Anda dapat melihat bagian Running Config berwarna merah atau kuning, dan bertuliskan not synchronized.
          • Periksa apakah semua poin lainnya dalam bagian Ketersediaan Tinggi berwarna hijau.

        • Periksa apakah angka berikut di bagian Interfaces berwarna merah:

          • 9, 10

        PANW Perimeter firewall HA pasif

  5. Di tab Network, buka Zones.

    Konfirmasi bahwa awalan nama zona keamanan di kolom Nama cocok dengan ID untuk sistem virtual di kolom Lokasi.

    Misalnya, gambar berikut menunjukkan bahwa vsys1-gpc di kolom Nama cocok dengan root (vsys1) di kolom Lokasi:

    Nama virtual yang konsisten dan awalan zona keamanan antarmuka pengguna firewall PANW

13.9. Potensi masalah

13.9.1. Rahasia firewall tidak disediakan

Saat melakukan bootstrapping firewall di bagian berikut, Anda dapat menerima log yang serupa dengan berikut:

I0727 20:45:46.460753 3011336 common.go:129] Bootstrapper IP: 10.248.0.70
            E0727 20:45:46.460800 3011336 reset.go:42] failed to initialize the firewall configuration: found one or more firewalls with duplicate usernames, missing firewall account types (readonly, admin, breakglass) or invalid passwords (may not be TO-BE-FILLED): (Firewall: zo-aa-fw01, Duplicate user names: [admin], Missing account types: [], Accounts with invalid passwords: [], Missing user with name `admin`: false)

Jika Anda menerima log ini, berarti Anda belum menyetel rahasia firewall dengan benar. Anda harus memperbarui secret untuk memastikan bahwa, untuk setiap firewall yang tercantum, Anda mengikuti panduan:

  • Tidak ada nama pengguna duplikat.
  • Anda harus memiliki akun untuk setiap jenis: readonly, admin, dan breakglass.
  • Tidak ada akun yang dapat menggunakan nilai default TO-BE-FILLED.
  • Satu akun berjenis admin harus memiliki nama pengguna admin.

Mitigasi:

Untuk memperbarui konfigurasi, isi kredensial dalam file rahasia seperti yang dijelaskan dalam 14.6.1 Periksa konfigurasi.

Jika firewall sudah dapat dijangkau, menjalankan langkah-langkah di 14.6.2 Menyiapkan jaringan pengelolaan dasar tidak akan mengupdate secret di cluster KIND. Anda harus memperbarui secret secara manual dengan sandi yang benar menggunakan CLI kubectl.

13.9.2. Error validasi nomor seri firewall

Jika ada ketidakcocokan antara nomor seri firewall dalam file cellcfg dan perangkat firewall, Anda mungkin melihat error seperti berikut:

043213 bootstrap.go:149] found one of more firewall serial number validation errors: found one or more perimeter firewall serial number validation errors: serial number check error for FirewallNode zp-ab-ocfw01: serial number mismatch. Expected serial number: 011901063228, but firewall device has: 012501009845 Error: found one or more perimeter firewall serial number validation errors: serial number check error for FirewallNode zp-ab-ocfw01: serial number mismatch. Expected serial number: 011901063228, but firewall device has: 012501009845

Jika Anda menerima log ini, Anda harus memperbarui nomor seri firewall dalam file cellcfg.

Mitigasi:

Ikuti petunjuk di 14.2. Verifikasi hardware untuk mengonfirmasi nomor seri firewall dan perbarui file YAML.

13.9.3. Firewall tidak dapat melakukan booting atau tidak ada image yang ditemukan dari menu reset ke setelan pabrik (Mode pemulihan)

Jika perangkat Firewall Palo Alto Networks Anda tidak dapat melakukan booting, atau tidak memiliki image yang tersedia dari menu reset ke setelan pabrik yang dapat diakses dari Mode pemeliharaan>Reset ke setelan pabrik, ikuti petunjuk berikut.

Untuk memverifikasi apakah partisi kosong:

  1. Mulai ulang firewall dengan mencabut kabel dari catu daya. Jangan mencabut catu daya.
    • Jika Anda mencabut catu daya, masukkan kembali tanpa kabel daya. Kemudian, colokkan kembali kabel daya.
  2. Masuk ke mode pemulihan.
  3. Pilih Disk Image.
  4. Pilih Opsi Lanjutan, lalu masukkan sandi: MA1NT.
  5. Pilih sysroot1 (X).
  6. Tekan enter pada Status.

  7. Periksa apakah State sysroot1 adalah EMPTY.

    Contoh output:

Jendela terminal PuTTy yang menampilkan status sysroot1 sebagai kosong

Jika status partisi sysroot1 adalah EMPTY, ikuti: Langkah-langkah penyelesaian lengkap

Mitigasi

Untuk memulihkan perangkat, gunakan konsol untuk memasuki mode pemeliharaan. Anda harus mengetahui sandi MA1NT untuk masuk ke mode pemeliharaan Disk Image lanjutan.

Pemecahan masalah

Jika Anda mengalami masalah saat memulihkan perangkat, Anda dapat mencoba langkah-langkah berikut:

  • Pastikan Anda menggunakan sandi yang benar untuk masuk ke mode pemeliharaan.
  • Coba gunakan port konsol lain.
  • Hubungi dukungan Palo Alto Networks untuk mendapatkan bantuan.

13.9.4. Antarmuka firewall tidak berfungsi

Jika ada antarmuka dari Verifikasi penyiapan yang seharusnya aktif tetapi sebenarnya tidak aktif, hal ini dapat disebabkan oleh koneksi kabel yang salah antara perangkat firewall dan switch atau optik yang tidak kompatibel.

Pemecahan masalah

  • Untuk memverifikasi apakah koneksi kabel fisik sama dengan connections yang diharapkan dari cell.yaml, jalankan perintah CLI validasi dari mesin bootstrapper:

    • sudo <release dir>/gdcloud system check-config --config <path_to_cellcfg> --artifacts-directory <artifacts_folder> --scenario Firewall

    • Periksa log validasi untuk verifikasi koneksi dan ikuti saran mitigasi dari log.

      • Masalah Umum: Pemeriksaan gagal yang menyatakan bahwa koneksi ke perangkat firewall dari resource ManagementAggSwitch tidak cocok. Outputnya terlihat mirip dengan yang berikut ini:

        connections from switch xx-aa-mgmtaggsw01 to firewall does not match cell config with unexpected diff (-switch +cell config):
+ xx-aa-mgmtaggsw01:Eth1/47<>xx-aa-ocfw01:Eth1/11

      • Solusi: Abaikan error untuk port firewall perimeter 11 dan 12. Port ini tidak berfungsi hingga penginstalan cluster admin root.

    • Untuk mengetahui detail selengkapnya tentang perintah CLI validasi, lihat: Pemeriksaan setelah hardware.

  • Untuk memverifikasi apakah optik yang tidak kompatibel digunakan, ikuti petunjuk dari: Menyiapkan Firewall Palo Alto Networks.

13.9.5. Izin Ditolak selama pertukaran kunci HA

Selama langkah bootstrap Firewall 14.7, penyiapan cluster dapat gagal karena izin ditolak saat menyimpan kunci HA di bootstrapper. Terkadang Anda mungkin melihat perintah macet di Error: failed to config-replace with err: firewall:ak-aa-ocfw01, hasn't completed its config-replace for hairpin information yet dan High-availability ha1 encryption requires an import of the high-availability-key(Module: ha_agent) client ha_agent phase 1 failure

Pemecahan masalah:

  • Lihat FW-R1002 Contoh Kasus 8.

Periksa apakah direktori ubuntu di host (bootstrapper atau jumphost) dimiliki oleh root:

```bash
$ ls -al
total 36
drwxr-xr-x  3 root root 4096 Mar 21 03:33 ./
drwxr-xr-x 22 root root 4096 Mar 23 01:12 ../
...
drwxr-xr-x 11 root root 4096 Apr 30 21:05 ubuntu/
```

Solusinya adalah memperbaiki kepemilikan /home/ubuntu:

```bash
$ chown -R ubuntu: /home/ubuntu/
```

Setelah itu, jalankan kembali perintah.