このページは Cloud Translation API によって翻訳されました。

13. ファイアウォールブートストラップ

推定所要時間: 60 分

操作可能なコンポーネントのオーナー: FW

スキルプロファイル: デプロイエンジニア

このページでは、Palo Alto Networks（PANW）ファイアウォールのインストールと構成の手順について説明します。Google Distributed Cloud（GDC）エアギャップには、侵入検知 / 防御システム（IDPS）ファイアウォールと境界ファイアウォールの 2 つの PANW ファイアウォールが用意されています。

13.1. ファイアウォールにアクセスする

13.1.1. コンソールにアクセスする

パソコンからコンソールポートにシリアルケーブルを接続し、ターミナルエミュレーションソフトウェア（9600-8-N-1）を使用してファイアウォールに接続します。
起動シーケンスが完了するまで 10 ～ 15 分待ちます。ファイアウォールの準備が整うと、プロンプトがファイアウォールの名前に変わります。たとえば、IDPS ファイアウォールの場合は PA-5260 login、境界ファイアウォールの場合は PA-850 login になります。
デフォルトのユーザー名とパスワードの認証情報は admin/admin です。FIPS モードの場合は admin/paloalto です。

13.1.2. GUI/CLI

RJ-45 イーサネットケーブルをパソコンからファイアウォールの管理ポートに接続します。
パソコンの IP アドレスを 192.168.1.2/24 に設定します。
ファイアウォールの管理インターフェースにアクセスするには、https://192.168.1.1 に移動します。
デフォルトのユーザー名とパスワードの認証情報は admin/admin です。FIPS モードの場合は admin/paloalto です。

13.2. ハードウェアを確認する

受け取った部品が、購入した部品の種類と数と一致していることを確認します。
不一致がある場合は、SUP-P0007 に沿ってサポートケースを作成します。
接続されている光ファイバーが正しいことを確認するには、Palo Alto Network Firewall を設定するの手順に沿って操作します。
各コンポーネントの Alarm が Off または False に設定されていることを確認します。
```
show system state | match "alarm': On"
show system state | match "alarm': T"
```
プロセスは空の出力を返します。
```
show system environmentals
```
すべてのアラームを False に設定する必要があります。
ファイアウォールのライトを確認します。
1. フロントパネル: 次の LED が緑色で点灯している必要があります。
  1. PWR（電源）
  2. STS（ステータス）
  3. TMP（温度）
  4. ALM（アラーム）、THN のアラーム LED が消灯している。
  5. FANS（ファン）
  6. PWR1 と PWR2（電源）
ファイアウォールのシリアル番号を表示します。

PA-850 および PA-5260 ファイアウォールの場合、次の show コマンドを使用して、システム情報からシリアル番号を表示します。
```
show system info | match serial
```
次のような出力が表示されます。
```
serial: 0123456789
```
ファイアウォールの YAML ファイルの出力例を次に示します。

重要: serialNumber フィールドの値は、Serial Number 列の前回の出力の値と一致している必要があります。値には、一致する先頭のゼロが必要です。
```
hardware:
    model: Palo Alto 5260
    serialNumber: "0123456789"
    vendor: Palo Alto
```

13.3. 初期状態へのリセット

コンソールからメンテナンスモードに移行します。

debug system maintenance-mode

出力は次のようになります。

Executing this command will disconnect the current session and reboot the system into maintenance mode. Do you want to continue? (y or n)

Broadcast message from root (Tue Mar 15 11:07:31 2022):

The system is going down for reboot NOW!

続行するには「y」と入力してください。
[初期状態にリセット] に移動して選択します。
もう一度 [初期状態にリセット] に移動して選択します。
[再起動] を選択します。

13.4. FIPS モードを有効にする

FIPS モードを有効にする必要がある場合は、次の手順を行う必要があります。ファイアウォールにアクセスするセクションで説明したように、初回ログイン時に新しい管理者パスワードを入力する必要があります。このパスワードは、FIPS の設定時に使用する必要があります。プロセスが正常に完了すると、ファイアウォールのパスワードがデフォルトの FIPS パスワードにリセットされます。

コンソールを使用してファイアウォールに接続し、最後の PA-5260 login: プロンプトが表示されるまで待ちます。
デフォルトのユーザー名とパスワード（admin/admin）を使用します。
画面の指示に沿って、ネットワークデバイスのパスワードスプレッドシートから新しい管理者パスワードを入力します。

次のコマンドを使用してメンテナンスモードを有効にします。

admin@PA-5260> debug system maintenance-mode

出力は次のようになります。

Executing this command will disconnect the current session and reboot the system into maintenance mode. Do you want to continue? (y or n)

Tue Mar 15 11:29:31 PDT 2022: Stopping PAN Software

[Set FIPS-CC Mode] を選択します。
[Enable FIPS-CC Mode] に移動して選択します。
プロセスが正常に完了することを確認します。
[再起動] に移動して選択します。
FIPS-CC モードに切り替えると、ステータス FIPS-CC mode enabled successfully が表示されます。

以下の変更が有効になりました。

FIPS-CC は、ウェブインターフェースのフッターにあるステータスバーに常に表示されます。
デフォルトの管理者ログイン認証情報が admin/paloalto になりました。

重要: ファイアウォールを FIPS モードにした後、ファイアウォールにログインしてデフォルトの管理者認証情報を変更しないでください。次のブートストラップは、これを自動的に処理します。

システムが FIPS セルフテストを実行して FIPS が設定されると、シリアルコンソール経由で接続できなくなるため、システムデバッグメンテナンスモードを終了できなくなります。オペレーターは、シリアルコンソールケーブルを取り外すか、ファイアウォールのシリアルコンソールから接続を解除する必要があります。

13.5. 基本的な管理ネットワーク構成で PANW ファイアウォールをブートストラップする

この手順では、管理ネットワークへの接続を可能にする基本的なネットワーク設定を適用して、PANW ファイアウォールを初期化します。

13.5.1. 構成をチェックする

GDC ハードウェアオペレーションチームと IDPS チームは、cellcfg ディレクトリ内のファイルを確定して、デプロイのセットアップ情報を指定する必要があります。

このセクションでは、基本的な管理ネットワークとアクセス用に PANW ファイアウォールをブートストラップする方法について説明します。

警告: 1. 次のファイアウォール認証情報に TO-BE-FILLED セクションがないことを複数回確認します。

CELL_ID/CELL_ID-secret.yaml
CELL_ID-ab-rack/CELL_ID-secret.yaml
CELL_ID-ac-rack/CELL_ID-secret.yaml

1. すべてのファイアウォール管理者アカウントのユーザー名が `admin` であることを確認します。 1. 構成ファイル内のすべてのパスワードが次の条件を満たしていることを確認します。 * 15 文字以上 * 特殊文字を 1 つ以上含む * 数字を 1 つ以上含む * 大文字を 1 つ以上含む * 小文字を 1 つ以上含むファイアウォールの認証情報を確認することは、ファイアウォールのブートストラップ時にエラーが発生しないようにするために重要です。

13.5.2. 基本管理ネットワークを設定する

ブートストラップサーバーで次のコマンドを実行します。

注: ファイアウォールのリセットと再起動の完了後、自動デバイス設定プロセスが完了するまで 15 分以上待機してください。そうしないと、管理設定が失敗します。
```
gdcloud system firewall mgmt-setup --config PATH_TO_CELLCFG_DIRECTORY --firewall-type=FIREWALL_TYPE
```
PATH_TO_CELLCFG_DIRECTORY は、cellcfg が保存されているディレクトリパスに置き換えます。

FIREWALL_TYPE は、次のいずれかに置き換えます。
- idps: IDPS ファイアウォール。
- perimeter: 境界ファイアウォール。
このコマンドによって、次のアクションが実行されます。
- デバイス関連の構成を設定します。
- ホスト名を設定します。
- 管理 IP アドレスを設定します。
- 管理 IP アドレスの接続を確認します。
このコマンドの実行には約 15 分かかります。IDPS と境界ファイアウォールの gdcloud system firewall mgmt-setup コマンドは個別に実行する必要があります。同時に実行することはできません。
このコマンドを 2 回実行します。1 回目はファイアウォールタイプを idps として、2 回目はファイアウォールタイプを perimeter として実行します。

13.6. PAN-OS をアップグレードする

ブートストラップサーバーで、次の gdcloud コマンドを実行します。
```
gdcloud system firewall bootstrap-upgrade --config PATH_TO_CELLCFG_DIRECTORY --firewall-type=FIREWALL_TYPE
```
PATH_TO_CELLCFG_DIRECTORY は、cellcfg が保存されているディレクトリパスに置き換えます。

FIREWALL_TYPE は、IDPS ファイアウォールの場合は idps、境界ファイアウォールの場合は perimeter に置き換えます。

このコマンドによって、次のアクションが実行されます。
- 現在の PAN OS バージョンがターゲットバージョンと一致しているかどうかを確認します。一致している場合は、アップグレードは必要ありません。それ以外の場合は、PAN OS イメージのアップグレードに進みます。
- PAN OS イメージをアップグレードする必要がある場合は、現在のコンテンツアップデートバージョンと対象バージョンを比較します。現在のバージョンが対象バージョンより古い場合は、コンテンツ更新をアップグレードします。
gdcloud system firewall bootstrap-upgrade コマンドを 2 回実行します。1 回目はファイアウォールタイプを idps として、2 回目はファイアウォールタイプを perimeter として実行します。このコマンドが完了するまでに、IDPS ファイアウォールでは約 30 分、境界ファイアウォールでは約 1 時間かかります。コマンドは同時に実行できます。
現在の PAN-OS バージョンを確認します。GDC バージョン 1.14.3 以降では、PAN-OS バージョンは 10.2.13 である必要があります。
```
show system info | match sw-version
```

13.7. ブートストラップを完了する

ブートストラップサーバーで次のコマンドを実行します。
```
gdcloud system firewall install --config PATH_TO_CELLCFG_DIRECTORY --firewall-type=FIREWALL_TYPE
```
PATH_TO_CELLCFG_DIRECTORY は、cellcfg が保存されているディレクトリパスに置き換えます。

FIREWALL_TYPE は、IDPS ファイアウォールの場合は idps、境界ファイアウォールの場合は perimeter に置き換えます。

このコマンドによって、次のアクションが実行されます。
- ライセンスをインストールします。
- コンテンツのシグネチャを更新します。
- 高可用性（HA）の鍵交換を行い、multi-vsys を有効にします。
- ルートキーシークレットを作成します。
- ファイアウォール構成を初期化します。
このコマンドを 2 回実行します。1 回目はファイアウォールタイプを idps として、2 回目はファイアウォールタイプを perimeter として実行します。このコマンドが完了するまでに約 20 ～ 25 分かかります。gdcloud system firewall install コマンドは同時に実行できます。

13.8. 設定を確認する

PANW ファイアウォールをブートストラップしたことを確認する手順は次のとおりです。

URL https://MANAGEMENT_IP_ADDRESS に移動します。MANAGEMENT_IP_ADDRESS は、ファイアウォールデバイスの管理に置き換えます。
cell.yaml ファイルで定義したユーザー名とパスワードを入力して、ウェブポータルにログインします。
ナビゲーションメニューの [ダッシュボード] をクリックします。[Widgets] -> [System] -> [Interfaces] と [High Availability] を選択します。
次の項目を調べて、ブートストラッププロセスが正常に完了したことを確認します。
- アクティブ / アクティブ モードの IDPS ファイアウォール（PA-5260）の場合、プライマリファイアウォールとセカンダリファイアウォールの両方が同じステータスになることが想定されます。
  - [Interfaces] セクションの次の数値が緑色で表示されているかどうかを確認します。
    - 5、6、7、8、21、22、23、24
  - [高可用性] セクションのすべての箇条書きが緑色で表示されていることを確認します。[Running Config] セクションが赤または黄色で表示され、「not synchronized」と表示されることがあります。
- アクティブ / パッシブ モードの境界ファイアウォール（PA-850）では、アクティブファイアウォールとパッシブファイアウォールのステータスが異なることが想定されます。
  - アクティブなファイアウォールの場合:
    - [高可用性] セクションを確認します。
      - [Local] が [Active] で緑色、[Peer] が [Passive] で黄色になっていることを確認します。
      - [実行中の構成] セクションに赤色または黄色が表示され、「同期されていません」と表示されます。
      - [高可用性] セクション内の他のすべての箇条書きが緑色で表示されていることを確認します。
    - [Interfaces] セクションの次の数値が緑色で表示されているかどうかを確認します。
      - 9、10
  - パッシブ ファイアウォールの場合:
    - [高可用性] セクションを確認します。
      - [Local] が [Passive] で黄色、[Peer] が [Active] で緑色になっていることを確認します。
      - [実行中の構成] セクションに赤色または黄色が表示され、「同期されていません」と表示されます。
      - [高可用性] セクション内の他のすべての箇条書きが緑色で表示されていることを確認します。
    - [Interfaces] セクションの次の数値が赤色で表示されているかどうかを確認します。
      - 9、10
[ネットワーク] タブで、[ゾーン] に移動します。

[名前] 列のセキュリティゾーン名の接頭辞が、[場所] 列の仮想システムの ID と一致していることを確認します。

たとえば、次の画像は、[名前] 列の vsys1-gpc が [ロケーション] 列の root (vsys1) と正しく一致していることを示しています。

13.9. 発生しうる問題

13.9.1. ファイアウォールシークレットがプロビジョニングされていない

次のセクションでファイアウォールをブートストラップすると、次のようなログが表示されることがあります。

I0727 20:45:46.460753 3011336 common.go:129] Bootstrapper IP: 10.248.0.70
            E0727 20:45:46.460800 3011336 reset.go:42] failed to initialize the firewall configuration: found one or more firewalls with duplicate usernames, missing firewall account types (readonly, admin, breakglass) or invalid passwords (may not be TO-BE-FILLED): (Firewall: zo-aa-fw01, Duplicate user names: [admin], Missing account types: [], Accounts with invalid passwords: [], Missing user with name `admin`: false)

これらのログが表示された場合は、ファイアウォールのシークレットが正しく設定されていません。シークレットを更新して、リストされている各ファイアウォールで次のガイドラインが適用されるようにする必要があります。

重複するユーザー名がない。
readonly、admin、breakglass の各タイプのアカウントが必要です。
デフォルト値 TO-BE-FILLED を使用できるアカウントはありません。
タイプ admin のアカウントの 1 つは、ユーザー名 admin を持っている必要があります。

対策:

構成を更新するには、14.6.1 構成を確認するの説明に沿って、シークレットファイルに認証情報を入力します。

ファイアウォールにすでにアクセスできる場合、14.6.2 基本管理ネットワークを設定するの手順を実行しても、KIND クラスタのシークレットは更新されません。kubectl CLI を使用して、正しいパスワードで Secret を手動で更新する必要があります。

13.9.2. ファイアウォールのシリアル番号の検証エラー

cellcfg ファイルのファイアウォールシリアル番号とファイアウォールデバイスが一致しない場合、次のようなエラーが表示されることがあります。

043213 bootstrap.go:149] found one of more firewall serial number validation errors: found one or more perimeter firewall serial number validation errors: serial number check error for FirewallNode zp-ab-ocfw01: serial number mismatch. Expected serial number: 011901063228, but firewall device has: 012501009845 Error: found one or more perimeter firewall serial number validation errors: serial number check error for FirewallNode zp-ab-ocfw01: serial number mismatch. Expected serial number: 011901063228, but firewall device has: 012501009845

これらのログを受け取った場合は、cellcfg ファイルでファイアウォールのシリアル番号を更新する必要があります。

対策:

14.2 の手順に沿って操作します。ハードウェアを検証して、ファイアウォールのシリアル番号を確認し、YAML ファイルを更新します。

13.9.3. ファイアウォールが起動しない、または出荷時の設定へのリセットメニュー（リカバリモード）からイメージが見つからない

Palo Alto Networks ファイアウォールアプライアンスを起動できない場合、またはメンテナンスモード>出荷時設定にリセットからアクセスできる出荷時設定メニューに利用可能なイメージがない場合は、次の手順に沿って操作します。

パーティションが空白かどうかを確認するには:

電源からケーブルだけを外して、ファイアウォールを再起動します。電源を抜かないでください。
- 電源ユニットを取り外した場合は、電源ケーブルを接続せずに再度取り付けます。次に、電源ケーブルをもう一度差し込みます。
リカバリモードに移行します。
[ディスクイメージ] を選択します。
[詳細オプション] を選択し、パスワード MA1NT を入力します。
[sysroot1]（X）を選択します。
[ステータス] で Enter キーを押します。
sysroot1 の State が EMPTY であるかどうかを確認します。

出力例:

sysroot1 の状態が空であることを示す PuTTy ターミナルウィンドウ

sysroot1 パーティションの状態が EMPTY の場合は、完全な解決手順に沿って操作します。

対策

アプライアンスを復元するには、コンソールを使用してメンテナンスモードに入ります。高度なディスクイメージ メンテナンスモードに入るには、パスワード MA1NT を知っておく必要があります。

トラブルシューティング

アプライアンスの復元に問題がある場合は、次の手順をお試しください。

メンテナンスモードに入るためのパスワードが正しいことを確認します。
別のコンソールポートを使用してみます。
詳しくは、Palo Alto Networks サポートにお問い合わせください。

13.9.4. ファイアウォールインターフェースがダウンしている

設定を確認するで、アップ状態であるはずのインターフェースがダウン状態になっている場合は、ファイアウォールデバイスとスイッチ間のケーブル接続が間違っているか、互換性のない光ファイバーが原因である可能性があります。

トラブルシューティング

物理ケーブル接続が cell.yaml の想定される connections と同じかどうかを確認するには、ブートストラップマシンから検証 CLI コマンドを実行します。
- 注: <path_to_cellcfg> は、すべての Yaml ファイルを保持するディレクトリ、または単一の cell.yaml ファイルを保持するディレクトリにできます。<artifacts_folder> は、すべての検証ログを保持する指定されたディレクトリです。
```
sudo <release dir>/gdcloud system check-config --config <path_to_cellcfg> --artifacts-directory <artifacts_folder> --scenario Firewall
```
- 接続検証の検証ログを確認し、ログの軽減策の提案に従います。
  - 既知の問題: ManagementAggSwitch リソースからファイアウォールアプライアンスへの接続が一致しないというチェックが失敗します。出力は次のようになります。
```
connections from switch xx-aa-mgmtaggsw01 to firewall does not match cell config with unexpected diff (-switch +cell config):
+ xx-aa-mgmtaggsw01:Eth1/47<>xx-aa-ocfw01:Eth1/11
```
  - 回避策: 境界ファイアウォールポート 11 と 12 のエラーを無視します。これらのポートは、ルート管理クラスタのインストールが完了するまでダウンしています。
- 検証 CLI コマンドの詳細については、ハードウェアチェック後の処理をご覧ください。
互換性のない光ファイバーが使用されているかどうかを確認するには、Palo Alto Network Firewall を設定するの手順に沿って操作します。

13.9.5. HA 鍵交換中に権限が拒否された

ファイアウォールブートストラップステップ 14.7 で、ブートストラッパーでの HA キーの保存で権限が拒否され、クラスタ設定が失敗することがあります。コマンドが Error: failed to config-replace with err: firewall:ak-aa-ocfw01, hasn't completed its config-replace for hairpin information yet と High-availability ha1 encryption requires an import of the high-availability-key(Module: ha_agent) client ha_agent phase 1 failure で停止することがあります。

トラブルシューティング:

FW-R1002 の例 8 を参照してください。

ホスト（ブートストラッパーまたはジャンプホスト）の ubuntu ディレクトリが root によって所有されているかどうかを確認します。

```bash
$ ls -al
total 36
drwxr-xr-x  3 root root 4096 Mar 21 03:33 ./
drwxr-xr-x 22 root root 4096 Mar 23 01:12 ../
...
drwxr-xr-x 11 root root 4096 Apr 30 21:05 ubuntu/
```

解決策は、/home/ubuntu の所有権を修正することです。

```bash
$ chown -R ubuntu: /home/ubuntu/
```

その後、コマンドを再実行します。