13. 방화벽 부트스트랩

예상 소요 시간: 60분

작동 가능한 구성요소 소유자: FW

기술 프로필: 배포 엔지니어

이 페이지에서는 Palo Alto Networks (PANW) 방화벽을 설치하고 구성하는 방법을 설명합니다. Google Distributed Cloud (GDC) 에어갭은 침입 감지 및 방지 시스템 (IDPS) 방화벽과 경계 방화벽이라는 두 개의 PANW 방화벽을 제공합니다.

13.1. 방화벽 액세스

13.1.1. 콘솔 액세스

  1. 컴퓨터의 직렬 케이블을 콘솔 포트에 연결하고 터미널 에뮬레이션 소프트웨어 (9600-8-N-1)를 사용하여 방화벽에 연결합니다.

  2. 부팅 시퀀스가 완료될 때까지 10~15분 정도 기다립니다. 방화벽이 준비되면 프롬프트가 방화벽 이름으로 변경됩니다. 예를 들어 IDPS 방화벽의 경우 PA-5260 login, 경계 방화벽의 경우 PA-850 login입니다.

  3. 기본 사용자 이름 및 비밀번호 사용자 인증 정보는 admin/admin 또는 FIPS 모드에서는 admin/paloalto입니다.

13.1.2. GUI/CLI

  1. 컴퓨터에서 방화벽의 관리 포트로 RJ-45 이더넷 케이블을 연결합니다.

  2. 컴퓨터의 IP 주소를 192.168.1.2/24로 설정합니다.

  3. 방화벽의 관리 인터페이스에 액세스하려면 https://192.168.1.1로 이동합니다.

  4. 기본 사용자 이름 및 비밀번호 사용자 인증 정보는 admin/admin 또는 FIPS 모드에서는 admin/paloalto입니다.

13.2. 하드웨어 확인

  1. 수령한 부품이 유형 및 상품 수에서 구매한 부품과 일치하는지 확인합니다.

  2. 불일치가 있는 경우 SUP-P0007에 따라 지원 케이스를 제출하세요.

  3. 연결된 광섬유가 올바른지 확인하려면 Palo Alto Network 방화벽 설정의 안내를 따르세요.

  4. 각 구성요소에 대해 AlarmOff 또는 False로 설정되어 있는지 확인합니다.

    show system state | match "alarm': On"
show system state | match "alarm': T"

    프로세스에서 빈 출력을 반환합니다.

    show system environmentals

    모든 알람은 False으로 설정해야 합니다.

  5. 방화벽의 표시등을 확인합니다.

    1. 전면 패널: 다음 LED가 녹색이어야 합니다.
      1. PWR (전원)
      2. STS (상태)
      3. TMP (온도)
      4. ALM (알람), THN의 알람 LED가 꺼져 있습니다.
      5. FANS (팬)
      6. PWR1 및 PWR2 (전원)

  6. 방화벽의 일련번호를 확인합니다.

    PA-850 및 PA-5260 방화벽의 경우 다음 show 명령어를 사용하여 시스템 정보에서 일련번호를 확인합니다.

    show system info | match serial

    다음과 비슷한 출력이 표시됩니다.

    serial: 0123456789

    다음은 방화벽의 YAML 파일 출력 예시입니다.

    hardware:
    model: Palo Alto 5260
    serialNumber: "0123456789"
    vendor: Palo Alto

13.3. 초기화

  1. 콘솔에서 유지보수 모드로 전환합니다.

    debug system maintenance-mode

    출력은 다음과 비슷합니다.

    Executing this command will disconnect the current session and reboot the system into maintenance mode. Do you want to continue? (y or n)

Broadcast message from root (Tue Mar 15 11:07:31 2022):

The system is going down for reboot NOW!

  2. 계속하려면 y을 입력하세요.

    유지보수 복구 도구

  3. 초기화로 이동하여 선택합니다.

    유지관리 복구 도구 초기화

  4. 다시 초기화로 이동하여 선택합니다.

    유지보수 복구 도구 초기화 반복

  5. 재부팅을 선택합니다.

    유지보수 복구 도구 재부팅

13.4. FIPS 모드 사용 설정

FIPS 모드를 사용 설정해야 하는 경우 다음 단계를 수행해야 합니다. 방화벽 액세스 섹션에 설명된 대로 처음 로그인할 때 새 관리자 비밀번호를 입력해야 합니다. FIPS 설정 중에 이 비밀번호를 사용해야 합니다. 프로세스가 완료되면 방화벽의 비밀번호가 기본 FIPS 비밀번호로 재설정됩니다.

  1. 콘솔을 사용하여 방화벽에 연결하고 최종 PA-5260 login: 프롬프트를 기다립니다.

  2. 기본 사용자 이름과 비밀번호(admin/admin)를 사용합니다.

  3. 화면에 표시된 메시지에 따라 네트워크 기기 비밀번호 스프레드시트에서 새 관리자 비밀번호를 입력합니다.

  4. 다음 명령어를 사용하여 유지보수 모드를 사용 설정합니다.

    admin@PA-5260> debug system maintenance-mode

    출력은 다음과 비슷합니다.

    Executing this command will disconnect the current session and reboot the system into maintenance mode. Do you want to continue? (y or n)

Tue Mar 15 11:29:31 PDT 2022: Stopping PAN Software

  5. FIPS-CC 모드 설정을 선택합니다.

    FIPS-CC 모드 설정

  6. FIPS-CC 모드 사용 설정으로 이동하여 선택합니다.

    FIPS-CC 모드 사용 설정

  7. 프로세스가 성공적으로 완료되었는지 확인합니다.

    FIPS-CC 모드 프로세스

  8. 재부팅으로 이동하여 선택합니다.

    초기화 재부팅

  9. FIPS-CC 모드로 전환하면 FIPS-CC mode enabled successfully 상태가 표시됩니다.

    FIPS-CC 모드가 사용 설정됨

현재 적용되는 변경사항은 다음과 같습니다.

  • FIPS-CC는 웹 인터페이스의 바닥글에 있는 상태 표시줄에 항상 표시됩니다.

  • 이제 기본 관리자 로그인 사용자 인증 정보는 admin/paloalto입니다.

시스템이 FIPS 자체 테스트를 실행하고 FIPS가 설정된 후에는 직렬 콘솔을 통해 사용할 수 있는 연결이 없으므로 시스템 디버그 유지보수 모드를 종료할 방법이 없습니다. 운영자는 직렬 콘솔 케이블을 제거하거나 방화벽의 직렬 콘솔에서 연결을 해제해야 합니다.

13.5. 기본 관리 네트워크 구성으로 PANW 방화벽 부트스트랩

이 단계에서는 관리 네트워크에 연결할 수 있는 필수 네트워크 설정을 적용하여 PANW 방화벽을 초기화합니다.

13.5.1. 구성 확인

GDC 하드웨어 운영팀과 IDPS팀은 cellcfg 디렉터리의 파일을 완료하여 배포의 설정 정보를 지정해야 합니다.

이 섹션에서는 기본 관리 네트워크 및 액세스를 위해 PANW 방화벽을 부트스트랩하는 방법을 설명합니다.

13.5.2. 기본 관리 네트워크 설정

  1. 부트스트랩 서버에서 다음을 실행합니다.

    gdcloud system firewall mgmt-setup --config PATH_TO_CELLCFG_DIRECTORY --firewall-type=FIREWALL_TYPE

    PATH_TO_CELLCFG_DIRECTORY을 cellcfg가 저장된 디렉터리 경로로 바꿉니다.

    FIREWALL_TYPE를 다음 중 하나로 바꿉니다.

    • idps: IDPS 방화벽
    • perimeter: 경계 방화벽입니다.

    이 명령어는 다음 작업을 수행합니다.

    • 기기 관련 구성을 설정합니다.
    • 호스트 이름을 설정합니다.
    • 관리 IP 주소를 설정합니다.
    • 관리 IP 주소 연결을 확인합니다.

    이 명령어는 실행하는 데 약 15분이 소요됩니다. IDPS 및 경계 방화벽에 대해 gdcloud system firewall mgmt-setup 명령어를 개별적으로 실행해야 하며 명령어를 동시에 실행하면 안 됩니다.

  2. 방화벽 유형을 idps로 한 번, 방화벽 유형을 perimeter로 다시 한 번 명령어를 두 번 실행합니다.

13.6. PAN-OS 업그레이드

  1. 부트스트랩 서버에서 다음 gdcloud 명령어를 실행합니다.

    gdcloud system firewall bootstrap-upgrade --config PATH_TO_CELLCFG_DIRECTORY --firewall-type=FIREWALL_TYPE

    PATH_TO_CELLCFG_DIRECTORYcellcfg이 저장된 디렉터리 경로로 바꿉니다.

    FIREWALL_TYPE를 IDPS 방화벽의 경우 idps로, 경계 방화벽의 경우 perimeter로 바꿉니다.

    이 명령어는 다음 작업을 수행합니다.

    • 현재 PAN OS 버전이 대상 버전과 일치하는지 확인합니다. 동일한 경우 업그레이드가 필요하지 않습니다. 그렇지 않으면 PAN OS 이미지를 업그레이드합니다.
    • PAN OS 이미지를 업그레이드해야 하는 경우 현재 콘텐츠 업데이트 버전을 대상 버전과 비교하여 확인합니다. 현재 버전이 타겟 버전보다 오래된 경우 콘텐츠 업데이트를 업그레이드합니다.

  2. gdcloud system firewall bootstrap-upgrade 명령어를 두 번 실행합니다. 한 번은 방화벽 유형을 idps으로, 다른 한 번은 방화벽 유형을 perimeter로 실행합니다. 명령어가 완료되는 데 IDPS 방화벽은 약 30분, 경계 방화벽은 1시간이 걸립니다. 명령어를 동시에 실행할 수 있습니다.

  3. 현재 PAN-OS 버전을 확인합니다. GDC 버전 1.14.3 이상에서는 PAN-OS 버전이 10.2.13이어야 합니다.

    show system info | match sw-version

13.7. 부트스트랩 완료

  1. 부트스트랩 서버에서 다음을 실행합니다.

    gdcloud system firewall install --config PATH_TO_CELLCFG_DIRECTORY --firewall-type=FIREWALL_TYPE

    PATH_TO_CELLCFG_DIRECTORY을 cellcfg가 저장된 디렉터리 경로로 바꿉니다.

    FIREWALL_TYPE를 IDPS 방화벽의 경우 idps로, 경계 방화벽의 경우 perimeter로 바꿉니다.

    이 명령어는 다음 작업을 수행합니다.

    • 라이선스를 설치합니다.
    • 콘텐츠 서명을 업데이트합니다.
    • 고가용성 (HA) 키 교환 및 multi-vsys 사용 설정
    • 루트 키 보안 비밀을 만듭니다.
    • 방화벽 구성을 초기화합니다.

  2. 방화벽 유형을 idps로 한 번, 방화벽 유형을 perimeter로 다시 한 번 명령어를 두 번 실행합니다. 명령어가 완료되는 데 약 20~25분이 소요됩니다. gdcloud system firewall install 명령어를 동시에 실행할 수 있습니다.

13.8. 설정 확인

PANW 방화벽을 부트스트랩했는지 확인하려면 다음 단계를 따르세요.

  1. URL https://MANAGEMENT_IP_ADDRESS로 이동합니다. MANAGEMENT_IP_ADDRESS을 방화벽 기기 관리로 바꿉니다.
  2. cell.yaml 파일에 정의된 사용자 이름과 비밀번호를 입력하여 웹 포털에 로그인합니다.

  3. 탐색 메뉴에서 대시보드를 클릭합니다. 위젯 -> 시스템 -> 인터페이스고가용성을 선택합니다.

    PANW 방화벽 HA 대시보드

  4. 다음 항목을 검사하여 부트스트랩 프로세스가 성공했는지 확인합니다.

    • 활성-활성 모드에 있는 IDPS 방화벽 (PA-5260)의 경우 기본 방화벽과 보조 방화벽의 상태가 동일해야 합니다.

      • 인터페이스 섹션의 다음 숫자가 녹색으로 표시되는지 확인합니다.

        • 5, 6, 7, 8, 21, 22, 23, 24

      • 고가용성 섹션의 모든 글머리 기호가 녹색으로 표시되는지 확인합니다. 실행 중인 구성 섹션이 빨간색 또는 노란색으로 표시되고 동기화되지 않음이라고 표시될 수 있습니다.

      PANW IDPS 방화벽 HA 인터페이스

    • 활성-수동 모드에 있는 경계 방화벽 (PA-850)의 경우 활성 및 수동 방화벽의 상태가 다를 것으로 예상됩니다.

      • 활성 방화벽의 경우:

        • 고가용성 섹션을 확인합니다.

          • 로컬활성으로 표시되고 녹색인 반면 피어수동으로 표시되고 노란색인지 확인합니다.
          • 실행 중인 구성 섹션이 빨간색 또는 노란색으로 표시되고 동기화되지 않음이라고 표시될 수 있습니다.
          • 고가용성 섹션의 다른 모든 글머리 기호가 녹색으로 표시되는지 확인합니다.

        • 인터페이스 섹션의 다음 숫자가 녹색으로 표시되는지 확인합니다.

          • 9, 10

        PANW 경계 방화벽 HA 활성

      • 수동 방화벽의 경우:

        • 고가용성 섹션을 확인합니다.

          • 로컬수동으로 표시되고 노란색인 반면 피어활성으로 표시되고 녹색인지 확인합니다.
          • 실행 중인 구성 섹션이 빨간색 또는 노란색으로 표시되고 동기화되지 않음이라고 표시될 수 있습니다.
          • 고가용성 섹션의 다른 모든 항목이 녹색으로 표시되는지 확인합니다.

        • 인터페이스 섹션의 다음 숫자가 빨간색으로 표시되는지 확인합니다.

          • 9, 10

        PANW 경계 방화벽 HA 수동

  5. 네트워크 탭에서 영역으로 이동합니다.

    이름 열에 있는 보안 영역 이름의 접두사가 위치 열에 있는 가상 시스템의 식별자와 일치하는지 확인합니다.

    예를 들어 다음 이미지는 이름 열의 vsys1-gpc위치 열의 root (vsys1)과 올바르게 일치함을 보여줍니다.

    PANW 방화벽 사용자 인터페이스의 일관된 가상 이름 및 보안 영역 접두사

13.9. 잠재적 문제

13.9.1. 방화벽 보안 비밀이 프로비저닝되지 않음

다음 섹션에서 방화벽을 부트스트랩할 때 다음과 유사한 로그가 표시될 수 있습니다.

I0727 20:45:46.460753 3011336 common.go:129] Bootstrapper IP: 10.248.0.70
            E0727 20:45:46.460800 3011336 reset.go:42] failed to initialize the firewall configuration: found one or more firewalls with duplicate usernames, missing firewall account types (readonly, admin, breakglass) or invalid passwords (may not be TO-BE-FILLED): (Firewall: zo-aa-fw01, Duplicate user names: [admin], Missing account types: [], Accounts with invalid passwords: [], Missing user with name `admin`: false)

이러한 로그가 표시되면 방화벽 비밀번호를 올바르게 설정하지 않은 것입니다. 나열된 각 방화벽에 대해 다음 가이드라인을 준수하도록 보안 비밀을 업데이트해야 합니다.

  • 중복된 사용자 이름이 없습니다.
  • readonly, admin, breakglass 유형별로 계정이 있어야 합니다.
  • 어떤 계정도 기본값 TO-BE-FILLED을 사용할 수 없습니다.
  • admin 유형의 계정 하나에 사용자 이름 admin이 있어야 합니다.

완화 방법:

업데이트된 구성을 사용하려면 14.6.1 구성 확인에 설명된 대로 보안 비밀 파일에 사용자 인증 정보를 입력합니다.

방화벽에 이미 연결할 수 있는 경우 14.6.2 기본 관리 네트워크 설정의 단계를 실행해도 KIND 클러스터의 보안 비밀이 업데이트되지 않습니다. kubectl CLI를 사용하여 올바른 비밀번호로 보안 비밀을 수동으로 업데이트해야 합니다.

13.9.2. 방화벽 일련번호 유효성 검사 오류

cellcfg 파일의 방화벽 일련번호와 방화벽 기기가 일치하지 않으면 다음과 같은 오류가 표시될 수 있습니다.

043213 bootstrap.go:149] found one of more firewall serial number validation errors: found one or more perimeter firewall serial number validation errors: serial number check error for FirewallNode zp-ab-ocfw01: serial number mismatch. Expected serial number: 011901063228, but firewall device has: 012501009845 Error: found one or more perimeter firewall serial number validation errors: serial number check error for FirewallNode zp-ab-ocfw01: serial number mismatch. Expected serial number: 011901063228, but firewall device has: 012501009845

이러한 로그가 표시되면 cellcfg 파일에서 방화벽 일련번호를 업데이트해야 합니다.

완화 방법:

14.2. 하드웨어를 확인하여 방화벽 일련번호를 확인하고 YAML 파일을 업데이트합니다.

13.9.3. 방화벽을 부팅할 수 없거나 초기화 메뉴 (복구 모드)에서 이미지를 찾을 수 없음

Palo Alto Networks 방화벽 어플라이언스를 부팅할 수 없거나 유지관리 모드>초기화에서 액세스할 수 있는 초기화 메뉴에 사용 가능한 이미지가 없는 경우 다음 안내를 따르세요.

파티션이 비어 있는지 확인하려면 다음 단계를 따르세요.

  1. 전원 공급 장치에서 케이블만 분리하여 방화벽을 재부팅합니다. 전원 공급 장치를 뽑지 마세요.
    • 전원 공급 장치를 뽑은 경우 전원 케이블 없이 다시 삽입합니다. 그런 다음 전원 케이블을 다시 연결합니다.
  2. 복구 모드로 전환합니다.
  3. 디스크 이미지를 선택합니다.
  4. 고급 옵션을 선택하고 비밀번호 MA1NT를 입력합니다.
  5. sysroot1 (X)을 선택합니다.
  6. 상태에서 Enter 키를 누릅니다.

  7. sysroot1 StateEMPTY인지 확인합니다.

    출력 예시:

sysroot1 상태가 비어 있는 것으로 표시된 PuTTy 터미널 창

sysroot1 파티션 상태가 EMPTY인 경우 전체 해결 단계 를 따릅니다.

해결 방법

어플라이언스를 복구하려면 콘솔을 사용하여 유지보수 모드를 입력하세요. 고급 디스크 이미지 유지보수 모드로 전환하려면 비밀번호MA1NT를 알아야 합니다.

문제 해결

가전제품을 복구하는 데 문제가 있는 경우 다음 단계를 시도해 보세요.

  • 올바른 비밀번호를 사용하여 유지관리 모드로 전환하고 있는지 확인합니다.
  • 다른 콘솔 포트를 사용해 보세요.
  • 도움이 필요한 경우 Palo Alto Networks 지원팀에 문의하세요.

13.9.4. 방화벽 인터페이스가 다운됨

설정 확인에서 작동해야 하지만 실제로 작동하지 않는 인터페이스가 있는 경우 방화벽 기기와 스위치 간의 잘못된 케이블 연결 또는 호환되지 않는 광학 장치로 인해 발생할 수 있습니다.

문제 해결

  • 물리적 케이블 연결이 cell.yaml의 예상 connections와 동일한지 확인하려면 부트스트래퍼 머신에서 검증 CLI 명령어를 실행합니다.

    • sudo <release dir>/gdcloud system check-config --config <path_to_cellcfg> --artifacts-directory <artifacts_folder> --scenario Firewall

    • 연결 확인을 위한 유효성 검사 로그를 확인하고 로그의 완화 제안을 따릅니다.

      • 알려진 문제: ManagementAggSwitch 리소스에서 방화벽 어플라이언스로의 연결이 일치하지 않는다는 확인이 실패합니다. 결과는 다음과 유사합니다.

        connections from switch xx-aa-mgmtaggsw01 to firewall does not match cell config with unexpected diff (-switch +cell config):
+ xx-aa-mgmtaggsw01:Eth1/47<>xx-aa-ocfw01:Eth1/11

      • 해결 방법: 경계 방화벽 포트 11 및 12의 오류를 무시합니다. 이러한 포트는 루트 관리자 클러스터가 설치될 때까지 다운됩니다.

    • 검증 CLI 명령어에 대한 자세한 내용은 하드웨어 후 검사를 참고하세요.

  • 호환되지 않는 광섬유가 사용되었는지 확인하려면 Palo Alto Network 방화벽 설정의 안내를 따르세요.

13.9.5. HA 키 교환 중에 권한이 거부됨

방화벽 부트스트랩 단계 14.7에서 부트스트래퍼에 HA 키를 저장할 때 권한이 거부되어 클러스터 설정이 실패할 수 있습니다. 명령어가 Error: failed to config-replace with err: firewall:ak-aa-ocfw01, hasn't completed its config-replace for hairpin information yetHigh-availability ha1 encryption requires an import of the high-availability-key(Module: ha_agent) client ha_agent phase 1 failure에서 멈추는 경우가 있습니다.

문제해결:

  • FW-R1002 예시 사례 8을 참고하세요.

호스트 (부트스트래퍼 또는 점프 호스트)의 ubuntu 디렉터리가 루트에 의해 소유되는지 확인합니다.

```bash
$ ls -al
total 36
drwxr-xr-x  3 root root 4096 Mar 21 03:33 ./
drwxr-xr-x 22 root root 4096 Mar 23 01:12 ../
...
drwxr-xr-x 11 root root 4096 Apr 30 21:05 ubuntu/
```

이 문제를 해결하려면 /home/ubuntu의 소유권을 수정해야 합니다.

```bash
$ chown -R ubuntu: /home/ubuntu/
```

그런 다음 명령어를 다시 실행합니다.