13. Arranque da firewall

Tempo estimado até à conclusão: 60 minutos

Proprietário do componente operacional: FW

Perfil de competências: engenheiro de implementação

Esta página contém instruções para instalar e configurar as firewalls da Palo Alto Networks (PANW). O Google Distributed Cloud (GDC) com isolamento de ar oferece duas firewalls da PANW: a firewall do sistema de deteção e prevenção de intrusos (IDPS) e a firewall de perímetro.

13.1. Aceda às firewalls

13.1.1. Aceda à consola

  1. Ligue um cabo série do computador à porta da consola e ligue-se à firewall através do software de emulação de terminal (9600-8-N-1).

  2. Aguarde 10 a 15 minutos para permitir que a sequência de arranque seja concluída. Quando a firewall estiver pronta, o comando muda para o nome da firewall, como PA-5260 login para a firewall IDPS e PA-850 login para a firewall de perímetro.

  3. As credenciais predefinidas de nome de utilizador e palavra-passe são admin/admin ou admin/paloalto no modo FIPS.

13.1.2. GUI/CLI

  1. Ligue um cabo Ethernet RJ-45 do computador à porta de gestão na firewall.

  2. Defina o endereço IP do seu computador para 192.168.1.2/24.

  3. Para aceder à interface de gestão da firewall, aceda a https://192.168.1.1.

  4. As credenciais predefinidas de nome de utilizador e palavra-passe são admin/admin ou admin/paloalto no modo FIPS.

13.2. Valide o hardware

  1. Verifique se as peças recebidas correspondem ao que foi comprado em termos de tipo e número de artigos.

  2. Em caso de discrepância, apresente um registo de apoio ao cliente seguindo o procedimento SUP-P0007.

  3. Para verificar se as óticas ligadas estão corretas, siga as instruções em Configurar a firewall da Palo Alto Networks.

  4. Certifique-se de que Alarm está definido como Off ou False para cada componente:

    show system state | match "alarm': On"
show system state | match "alarm': T"

    O processo devolve um resultado vazio.

    show system environmentals

    Todos os alarmes devem estar definidos para False.

  5. Verifique as luzes na firewall:

    1. Painel frontal: os seguintes LEDs devem estar a verde:
      1. PWR (potência)
      2. STS (estado)
      3. TMP (temperatura)
      4. ALM (alarme), o LED de alarme no THN está desligado.
      5. FANS (fãs)
      6. PWR1 e PWR2 (alimentação)

  6. Ver o número de série da firewall.

    Para firewalls PA-850 e PA-5260, use o seguinte comando show para ver o número de série nas informações do sistema:

    show system info | match serial

    Vê um resultado semelhante ao seguinte:

    serial: 0123456789

    Segue-se um exemplo de saída do ficheiro YAML da firewall.

    hardware:
    model: Palo Alto 5260
    serialNumber: "0123456789"
    vendor: Palo Alto

13.3. Reposição de fábrica

  1. Aceda ao modo de manutenção a partir da consola:

    debug system maintenance-mode

    O resultado é semelhante ao seguinte:

    Executing this command will disconnect the current session and reboot the system into maintenance mode. Do you want to continue? (y or n)

Broadcast message from root (Tue Mar 15 11:07:31 2022):

The system is going down for reboot NOW!

  2. Introduza y para continuar.

    Ferramenta de recuperação de manutenção

  3. Navegue para Reposição de fábrica e selecione esta opção:

    Reposição de fábrica da ferramenta de recuperação de manutenção

  4. Navegue novamente até Reposição de fábrica e selecione esta opção:

    Repita a reposição de fábrica da ferramenta de recuperação de manutenção

  5. Selecione Reiniciar:

    Reinício da ferramenta de recuperação de manutenção

13.4. Ative o modo FIPS

Se precisar do modo FIPS ativado, tem de realizar os seguintes passos. Conforme mencionado na secção Aceda às firewalls, no primeiro início de sessão, tem de introduzir uma nova palavra-passe de administrador. Tem de usar esta palavra-passe durante a configuração da norma FIPS. Quando o processo for concluído com êxito, a palavra-passe da firewall é reposta para a palavra-passe FIPS predefinida.

  1. Ligue-se à firewall através da consola e aguarde pelo comando PA-5260 login: final.

  2. Use o nome de utilizador e a palavra-passe predefinidos: admin/admin.

  3. Siga as instruções no ecrã para introduzir uma nova palavra-passe de administrador a partir da folha de cálculo de palavras-passe do dispositivo de rede.

  4. Ative o modo de manutenção com o seguinte comando:

    admin@PA-5260> debug system maintenance-mode

    O resultado é semelhante ao seguinte:

    Executing this command will disconnect the current session and reboot the system into maintenance mode. Do you want to continue? (y or n)

Tue Mar 15 11:29:31 PDT 2022: Stopping PAN Software

  5. Selecione Definir modo FIPS-CC:

    Defina o modo FIPS-CC

  6. Navegue até Ativar modo FIPS-CC e selecione esta opção:

    Ative o modo FIPS-CC

  7. Certifique-se de que o processo é concluído com êxito:

    Processo do modo FIPS-CC

  8. Navegue até Reiniciar e selecione esta opção:

    Reinício de reposição de fábrica

  9. Depois de mudar para o modo FIPS-CC, vê o seguinte estado: FIPS-CC mode enabled successfully.

    O modo FIPS-CC foi ativado com êxito

As seguintes alterações já estão em vigor:

  • O FIPS-CC é apresentado em todos os momentos na barra de estado no rodapé da interface Web.

  • As credenciais de início de sessão de administrador predefinidas são agora admin/paloalto.

Depois de o sistema executar um autoteste FIPS e o FIPS estar definido, não existe forma de sair do modo de manutenção de depuração do sistema porque não existe uma ligação disponível através da consola série. Enquanto operador, tem de remover o cabo da consola série ou desligar-se da consola série da firewall.

13.5. Inicialize os firewalls PANW com a configuração básica da rede de gestão

Este passo envolve a inicialização das firewalls PANW através da aplicação de definições de rede essenciais que permitem a conetividade à rede de gestão.

13.5.1. Verifique as configurações

A equipa de operações de hardware do GDC e a equipa do IDPS têm de finalizar os ficheiros no diretório cellcfg para especificar as informações de configuração da implementação.

Esta secção aborda o arranque dos firewalls da PANW para a gestão básica da rede e do acesso.

13.5.2. Configure a rede de gestão básica

  1. No servidor de arranque, execute:

    gdcloud system firewall mgmt-setup --config PATH_TO_CELLCFG_DIRECTORY --firewall-type=FIREWALL_TYPE

    Substitua PATH_TO_CELLCFG_DIRECTORY pelo caminho do diretório onde cellcfg está armazenado.

    Substitua FIREWALL_TYPE por qualquer uma das seguintes opções:

    • idps: o firewall IDPS.
    • perimeter: a firewall de perímetro.

    Este comando realiza as seguintes ações:

    • Define as configurações relacionadas com o dispositivo.
    • Define o nome do anfitrião.
    • Define o endereço IP de gestão.
    • Valida a conetividade do endereço IP de gestão.

    Este comando demora aproximadamente 15 minutos a ser executado. Tem de executar os comandos gdcloud system firewall mgmt-setup para IDPS e firewalls de perímetro individualmente e não pode executá-los em simultâneo.

  2. Execute o comando duas vezes: uma para o tipo de firewall como idps e outra para o tipo de firewall como perimeter.

13.6. Atualize o PAN-OS

  1. No servidor de arranque, execute o seguinte comando:gdcloud

    gdcloud system firewall bootstrap-upgrade --config PATH_TO_CELLCFG_DIRECTORY --firewall-type=FIREWALL_TYPE

    Substitua PATH_TO_CELLCFG_DIRECTORY pelo caminho do diretório onde cellcfg está armazenado.

    Substitua FIREWALL_TYPE por idps para a firewall IDPS ou perimeter para a firewall de perímetro.

    Este comando realiza as seguintes ações:

    • Verifique se a versão atual do PAN OS corresponde à versão de destino. Se forem iguais, não é necessária nenhuma atualização. Caso contrário, avance para a atualização da imagem do PAN OS.
    • Se precisar de atualizar a imagem do PAN OS, verifique a versão atual da atualização de conteúdo em comparação com a versão de destino. Atualize a atualização de conteúdo se a versão atual for mais antiga do que a versão de destino.

  2. Execute o comando gdcloud system firewall bootstrap-upgrade duas vezes: uma para o tipo de firewall como idps e outra para o tipo de firewall como perimeter. O comando demora aproximadamente 30 minutos para os firewalls IDPS e 1 hora para os firewalls de perímetro. Pode executar os comandos em simultâneo.

  3. Valide a versão atual do PAN-OS. Na versão 1.14.3 ou superior do GDC, a versão do PAN-OS tem de ser 10.2.13.

    show system info | match sw-version

13.7. Conclua o arranque

  1. No servidor de arranque, execute:

    gdcloud system firewall install --config PATH_TO_CELLCFG_DIRECTORY --firewall-type=FIREWALL_TYPE

    Substitua PATH_TO_CELLCFG_DIRECTORY pelo caminho do diretório onde cellcfg está armazenado.

    Substitua FIREWALL_TYPE por idps para a firewall IDPS ou perimeter para a firewall de perímetro.

    Este comando realiza as seguintes ações:

    • Instala a licença.
    • Atualiza a assinatura de conteúdo.
    • Troca de chaves de alta disponibilidade (HA) e ativação de multi-vsys.
    • Cria o segredo da chave raiz.
    • Inicialize a configuração da firewall.

  2. Execute o comando duas vezes: uma para o tipo de firewall como idps e outra para o tipo de firewall como perimeter. O comando demora aproximadamente 20 a 25 minutos a concluir. Pode executar os comandos gdcloud system firewall install em simultâneo.

13.8. Valide a configuração

Para verificar se iniciou os firewalls PANW, siga estes passos:

  1. Navegue para o URL https://MANAGEMENT_IP_ADDRESS. Substitua MANAGEMENT_IP_ADDRESS pela gestão de dispositivos da firewall.
  2. Inicie sessão no portal Web introduzindo o nome de utilizador e a palavra-passe definidos no ficheiro cell.yaml.

  3. Clique em Painel de controlo no menu de navegação. Selecione Widgets -> Sistema -> Interfaces e Alta disponibilidade

    Painel de controlo de HA da firewall PANW

  4. Examine os seguintes itens para verificar se o processo de arranque foi bem-sucedido:

    • Para as firewalls IDPS (PA-5260) que estão no modo ativo-ativo, espere que as firewalls principal e secundária tenham o mesmo estado:

      • Verifique se os seguintes números na secção Interfaces são apresentados a verde:

        • 5, 6, 7, 8, 21, 22, 23, 24

      • Verifique se todos os pontos na secção Alta disponibilidade são apresentados a verde. Tenha em atenção que pode esperar que a secção Configuração em execução seja apresentada a vermelho ou amarelo e indique não sincronizada.

      PANW IDPS firewall HA Interfaces

    • Para as firewalls de perímetro (PA-850) que estão no modo ativo-passivo, espere que as firewalls ativas e passivas tenham um estado diferente:

      • Para a firewall ativa:

        • Verifique a secção Alta disponibilidade:

          • Verifique se o Local mostra Ativo e verde, enquanto o Par está Passivo e amarelo.
          • Pode esperar que a secção Running Config seja apresentada a vermelho ou amarelo e indique não sincronizado.
          • Verifique se todos os outros pontos na secção Elevada disponibilidade são apresentados a verde.

        • Verifique se os seguintes números na secção Interfaces são apresentados a verde:

          • 9, 10

        PANW Perimeter firewall HA active

      • Para a firewall passiva:

        • Verifique a secção Alta disponibilidade:

          • Verifique se o Local mostra Passivo e amarelo, enquanto o Peer está Ativo e verde.
          • Pode esperar que a secção Running Config seja apresentada a vermelho ou amarelo e indique não sincronizado.
          • Verifique se todos os outros pontos na secção Alta disponibilidade são apresentados a verde.

        • Verifique se os seguintes números na secção Interfaces são apresentados a vermelho:

          • 9, 10

        PANW Perimeter firewall HA passive

  5. No separador Rede, navegue para Zonas.

    Confirme se o prefixo do nome da zona de segurança na coluna Nome corresponde ao identificador do sistema virtual na coluna Localização.

    Por exemplo, a imagem seguinte mostra que vsys1-gpc na coluna Nome corresponde corretamente a root (vsys1) na coluna Localização:

    Interface do utilizador da firewall PANW com nome virtual consistente e prefixo da zona de segurança

13.9. Potenciais problemas

13.9.1. Secrets da firewall não aprovisionados

Quando inicializar a firewall nas secções seguintes, pode receber registos semelhantes aos seguintes:

I0727 20:45:46.460753 3011336 common.go:129] Bootstrapper IP: 10.248.0.70
            E0727 20:45:46.460800 3011336 reset.go:42] failed to initialize the firewall configuration: found one or more firewalls with duplicate usernames, missing firewall account types (readonly, admin, breakglass) or invalid passwords (may not be TO-BE-FILLED): (Firewall: zo-aa-fw01, Duplicate user names: [admin], Missing account types: [], Accounts with invalid passwords: [], Missing user with name `admin`: false)

Se receber estes registos, significa que não definiu os segredos da firewall corretamente. Tem de atualizar os segredos para garantir que, para cada firewall listada, segue as diretrizes:

  • Não existem nomes de utilizador duplicados.
  • Tem de ter uma conta para cada tipo: readonly, admin e breakglass.
  • Nenhuma conta pode usar o valor predefinido TO-BE-FILLED.
  • Uma conta do tipo admin tem de ter o nome de utilizador admin.

Mitigação:

Para ter configurações atualizadas, preencha as credenciais nos ficheiros de segredos, conforme descrito em 14.6.1 Verifique as configurações.

Se os firewalls já estiverem acessíveis, a execução dos passos em 14.6.2 Configure a rede de gestão básica não atualiza os segredos no cluster KIND. Tem de atualizar os segredos manualmente com as palavras-passe corretas através da CLI kubectl.

13.9.2. Erros de validação do número de série da firewall

Se existir uma incompatibilidade entre o número de série da firewall nos ficheiros cellcfg e o dispositivo de firewall, pode ver erros como os seguintes:

043213 bootstrap.go:149] found one of more firewall serial number validation errors: found one or more perimeter firewall serial number validation errors: serial number check error for FirewallNode zp-ab-ocfw01: serial number mismatch. Expected serial number: 011901063228, but firewall device has: 012501009845 Error: found one or more perimeter firewall serial number validation errors: serial number check error for FirewallNode zp-ab-ocfw01: serial number mismatch. Expected serial number: 011901063228, but firewall device has: 012501009845

Se receber estes registos, tem de atualizar os números de série da firewall no ficheiro cellcfg.

Mitigação:

Siga as instruções em 14.2. Valide o hardware para confirmar o número de série da firewall e atualize o ficheiro YAML.

13.9.3. A firewall não consegue arrancar ou não é encontrada nenhuma imagem no menu de reposição de fábrica (modo de recuperação)

Se o dispositivo de firewall da Palo Alto Networks não conseguir arrancar ou não tiver uma imagem disponível no menu de reposição de fábrica acessível a partir de Modo de manutenção>Reposição de fábrica, siga estas instruções.

Para verificar se a partição está em branco:

  1. Reinicie a firewall desligando apenas os cabos da fonte de alimentação. Não retire a fonte de alimentação.
    • Se retirou a fonte de alimentação, volte a inseri-la sem o cabo de alimentação. Em seguida, volte a ligar o cabo de alimentação.
  2. Entre no Modo de recuperação (Recovery mode).
  3. Selecione Imagem de disco.
  4. Selecione Opções avançadas e introduza a palavra-passe: MA1NT.
  5. Selecione sysroot1 (X).
  6. Prima Enter em Estado.

  7. Verifique se o Estado de sysroot1 é EMPTY.

    Exemplo de resultado:

Janela do terminal PuTTy a mostrar o estado sysroot1 como vazio

Se o estado da partição sysroot1 for EMPTY, siga os passos de resolução completos

Mitigação

Para recuperar o seu dispositivo, use a consola para entrar no modo de manutenção. Tem de saber a palavra-passe MA1NT para entrar no modo de manutenção avançado da imagem de disco.

Resolução de problemas

Se tiver problemas com a recuperação do seu aparelho, pode experimentar o seguinte:

  • Verifique se está a usar a palavra-passe correta para entrar no modo de manutenção.
  • Experimente usar uma porta da consola diferente.
  • Contacte o apoio técnico da Palo Alto Networks para receber ajuda.

13.9.4. As interfaces da firewall estão em baixo

Se alguma interface da Verifique a configuração que se espera que esteja ativa, mas que está inativa, pode ser causada por ligações de cabos incorretas entre o dispositivo de firewall e os comutadores ou óticas incompatíveis.

Resolução de problemas

  • Para verificar se as ligações de cabos físicas são as mesmas que as esperadas connections do cell.yaml, execute o comando CLI de validação a partir da máquina de arranque:

    • sudo <release dir>/gdcloud system check-config --config <path_to_cellcfg> --artifacts-directory <artifacts_folder> --scenario Firewall

    • Verifique o registo de validação para a validação da associação e siga as sugestões de mitigação do registo.

      • Problema conhecido: uma verificação falha e indica que a ligação ao dispositivo de firewall do recurso ManagementAggSwitch não corresponde. O resultado tem um aspeto semelhante ao seguinte:

        connections from switch xx-aa-mgmtaggsw01 to firewall does not match cell config with unexpected diff (-switch +cell config):
+ xx-aa-mgmtaggsw01:Eth1/47<>xx-aa-ocfw01:Eth1/11

      • Solução alternativa: ignore os erros para a porta 11 e 12 da firewall de perímetro. Estas portas estão inativas até à instalação do cluster de administrador raiz.

    • Para mais detalhes sobre o comando CLI de validação, consulte: Verificações pós-hardware.

  • Para verificar se estão a ser usadas óticas incompatíveis, siga as instruções em: Configure a firewall da Palo Alto Networks.

13.9.5. Autorização recusada durante a troca de chaves de HA

Durante o passo 14.7 do arranque do firewall, a configuração do cluster pode falhar devido à autorização negada ao guardar a chave de HA no programa de arranque. Por vezes, pode ver o comando bloqueado em Error: failed to config-replace with err: firewall:ak-aa-ocfw01, hasn't completed its config-replace for hairpin information yet e High-availability ha1 encryption requires an import of the high-availability-key(Module: ha_agent) client ha_agent phase 1 failure

Resolução de problemas:

  • Consulte o FW-R1002 Exemplo de caso 8.

Verifique se o diretório do Ubuntu no anfitrião (bootstrapper ou jumphost) é propriedade do root:

```bash
$ ls -al
total 36
drwxr-xr-x  3 root root 4096 Mar 21 03:33 ./
drwxr-xr-x 22 root root 4096 Mar 23 01:12 ../
...
drwxr-xr-x 11 root root 4096 Apr 30 21:05 ubuntu/
```

A solução é corrigir a propriedade de /home/ubuntu:

```bash
$ chown -R ubuntu: /home/ubuntu/
```

Depois disso, execute novamente o comando.