本页介绍了如何安装和配置 Palo Alto Networks (PANW) 防火墙。Google Distributed Cloud (GDC) 网闸隔离配置提供两种 PANW 防火墙:入侵检测和防御系统 (IDPS) 防火墙和边界防火墙。
13.1. 访问防火墙
13.1.1. 访问控制台
将串行线缆从计算机连接到控制台端口,然后使用终端仿真软件 (9600-8-N-1) 连接到防火墙。
等待 10-15 分钟,让启动序列完成。防火墙准备就绪后,提示会更改为防火墙的名称,例如 IDPS 防火墙的
PA-5260 login和边界防火墙的PA-850 login。默认的用户名和密码凭据为
admin/admin,或者在 FIPS 模式下为admin/paloalto。
13.1.2. GUI/CLI
将 RJ-45 以太网网线从计算机连接到防火墙上的管理端口。
将计算机的 IP 地址设置为
192.168.1.2/24。如需访问防火墙的管理界面,请前往 https://192.168.1.1。
默认的用户名和密码凭据为
admin/admin,或者在 FIPS 模式下为admin/paloalto。
13.2. 验证硬件
检查收到的部件是否与购买的部件在类型和数量上一致。
如有任何差异,请按照 SUP-P0007 提交支持请求。
如需验证所连接的光模块是否正确,请按照设置 Palo Alto Network 防火墙中的说明操作。
确保每个组件的
Alarm都设置为Off或False:show system state | match "alarm': On" show system state | match "alarm': T"该进程返回一个空输出。
show system environmentals所有闹钟都应设置为
False。检查防火墙上的指示灯:
- 前面板:以下 LED 应亮起绿灯:
- PWR(功率)
- STS(状态)
- TMP(温度)
- ALM(报警),THN 中的报警 LED 熄灭。
- 粉丝(粉丝)
- PWR1 和 PWR2(电源)
- 前面板:以下 LED 应亮起绿灯:
查看防火墙的序列号。
对于 PA-850 和 PA-5260 防火墙,请使用以下
show命令从系统信息中查看序列号:show system info | match serial您将看到类似如下所示的输出:
serial: 0123456789以下是防火墙 YAML 文件的输出示例。
hardware: model: Palo Alto 5260 serialNumber: "0123456789" vendor: Palo Alto
13.3. 恢复出厂设置
从控制台进入维护模式:
debug system maintenance-mode输出类似于以下内容:
Executing this command will disconnect the current session and reboot the system into maintenance mode. Do you want to continue? (y or n) Broadcast message from root (Tue Mar 15 11:07:31 2022): The system is going down for reboot NOW!输入
y以继续。
找到并选择恢复出厂设置:
再次找到并选择恢复出厂设置:
选择重新启动:
13.4. 启用 FIPS 模式
如果您需要启用 FIPS 模式,则必须执行以下步骤。如访问防火墙部分所述,首次登录时,您必须输入新的管理员密码。您必须在 FIPS 设置期间使用此密码。该流程成功完成后,防火墙的密码将重置为默认的 FIPS 密码。
使用控制台连接到防火墙,并等待最终的
PA-5260 login:提示。使用默认用户名和密码:
admin/admin。按照屏幕上的提示,从网络设备密码电子表格中输入新的管理员密码。
使用以下命令启用维护模式:
admin@PA-5260> debug system maintenance-mode输出类似于以下内容:
Executing this command will disconnect the current session and reboot the system into maintenance mode. Do you want to continue? (y or n) Tue Mar 15 11:29:31 PDT 2022: Stopping PAN Software选择 Set FIPS-CC Mode:
找到并选择启用 FIPS-CC 模式:
确保该流程成功完成:
找到并选择重新启动:
切换到 FIPS-CC 模式后,您会看到以下状态:
FIPS-CC mode enabled successfully。
以下变更现已生效:
- FIPS-CC 始终显示在 Web 界面页脚的状态栏中。
默认管理员登录凭据现在为
admin/paloalto。
在系统执行 FIPS 自检并设置 FIPS 后,无法退出系统调试维护模式,因为无法通过串行控制台建立连接。作为操作员,您必须移除串行控制台电缆或断开与防火墙串行控制台的连接。
13.5. 使用基本管理网络配置引导 PANW 防火墙
此步骤涉及通过应用可实现与管理网络连接的基本网络设置来初始化 PANW 防火墙。
13.5.1. 检查配置
GDC 硬件运营团队和 IDPS 团队必须最终确定 cellcfg 目录中的文件,以指定部署的设置信息。
本部分介绍如何引导启动 PANW 防火墙以实现基本的管理网络和访问。
13.5.2. 设置基本管理网络
在引导服务器上,运行以下命令:
gdcloud system firewall mgmt-setup --config PATH_TO_CELLCFG_DIRECTORY --firewall-type=FIREWALL_TYPE将 PATH_TO_CELLCFG_DIRECTORY 替换为存储 cellcfg 的目录路径。
将 FIREWALL_TYPE 替换为以下任一值:
idps:IDPS 防火墙。perimeter:边界防火墙。
此命令将执行以下操作:
- 设置设备相关配置。
- 设置主机名。
- 设置管理 IP 地址。
- 验证管理 IP 地址连接。
运行此命令大约需要 15 分钟。您必须单独运行 IDPS 和边界防火墙的
gdcloud system firewall mgmt-setup命令,并且不得同时运行这些命令。运行该命令两次,一次将防火墙类型指定为
idps,另一次指定为perimeter。
13.6. 升级 PAN-OS
在引导服务器上,运行以下
gdcloud命令:gdcloud system firewall bootstrap-upgrade --config PATH_TO_CELLCFG_DIRECTORY --firewall-type=FIREWALL_TYPE将
PATH_TO_CELLCFG_DIRECTORY替换为存储cellcfg的目录路径。将
FIREWALL_TYPE替换为idps(对于 IDPS 防火墙)或perimeter(对于外围防火墙)。此命令将执行以下操作:
- 检查当前 PAN OS 版本是否与目标版本一致;如果一致,则无需升级。否则,请继续升级 PAN OS 映像。
- 如果您需要升级 PAN OS 映像,请对照目标版本验证当前的内容更新版本。如果当前版本低于目标版本,则升级内容更新。
运行
gdcloud system firewall bootstrap-upgrade命令两次,一次将防火墙类型设为idps,另一次将防火墙类型设为perimeter。该命令大约需要 30 分钟才能完成 IDPS 防火墙的配置,需要 1 小时才能完成外围防火墙的配置。 您可以同时运行这些命令。验证当前的 PAN-OS 版本。在 GDC 版本 1.14.3 及更高版本中,PAN-OS 版本必须为
10.2.13。show system info | match sw-version
13.7. 完成自举
在引导服务器上,运行以下命令:
gdcloud system firewall install --config PATH_TO_CELLCFG_DIRECTORY --firewall-type=FIREWALL_TYPE将 PATH_TO_CELLCFG_DIRECTORY 替换为存储 cellcfg 的目录路径。
将 FIREWALL_TYPE 替换为
idps(对于 IDPS 防火墙)或perimeter(对于外围防火墙)。此命令将执行以下操作:
- 安装许可。
- 更新内容签名。
- 高可用性 (HA) 密钥交换并启用
multi-vsys。 - 创建根密钥 Secret。
- 初始化防火墙配置。
运行该命令两次,一次将防火墙类型指定为
idps,另一次指定为perimeter。该命令大约需要 20 到 25 分钟才能完成。您可以同时运行gdcloud system firewall install命令。
13.8. 验证设置
如需验证您是否已启动 PANW 防火墙,请按以下步骤操作:
- 前往网址
https://MANAGEMENT_IP_ADDRESS。将 MANAGEMENT_IP_ADDRESS 替换为您的防火墙设备管理。 - 通过输入
cell.yaml文件中定义的用户名和密码登录 Web 门户。 点击导航菜单中的信息中心。依次选择微件 -> 系统 -> 接口和高可用性
检查以下各项,验证引导过程是否成功:
对于处于主动-主动模式的 IDPS 防火墙 (PA-5260),主防火墙和辅助防火墙应具有相同的状态:
检查接口部分中的以下数字是否显示为绿色:
- 5、6、7、8、21、22、23、24
检查高可用性部分中的所有项目是否都显示为绿色。请注意,运行配置部分可能会显示红色或黄色,并显示未同步。
对于处于活跃-被动模式的周边防火墙 (PA-850),活跃防火墙和被动防火墙的状态应不同:
对于有效的防火墙:
查看高可用性部分:
- 检查本地是否显示为有效(绿色),而对等是否显示为被动(黄色)。
- 您会看到运行配置部分显示为红色或黄色,并显示未同步。
- 检查高可用性部分中的所有其他项目符号是否都显示为绿色。
检查接口部分中的以下数字是否显示为绿色:
- 9、10
对于被动防火墙:
查看高可用性部分:
- 检查本地是否显示为被动(黄色),而对等是否显示为主动(绿色)。
- 您会看到运行配置部分显示为红色或黄色,并显示未同步。
- 检查高可用性部分中的所有其他项目是否都显示为绿色。
检查接口部分中的以下数字是否显示为红色:
- 9、10
在网络标签页中,前往区域。
确认名称列中安全区域名称的前缀与位置列中虚拟系统的标识符一致。
例如,下图显示了名称列中的
vsys1-gpc与位置列中的root (vsys1)正确匹配:
13.9. 潜在问题
13.9.1. 防火墙 Secret 未配置
在以下部分中引导防火墙时,您可能会收到与以下内容类似的日志:
I0727 20:45:46.460753 3011336 common.go:129] Bootstrapper IP: 10.248.0.70
E0727 20:45:46.460800 3011336 reset.go:42] failed to initialize the firewall configuration: found one or more firewalls with duplicate usernames, missing firewall account types (readonly, admin, breakglass) or invalid passwords (may not be TO-BE-FILLED): (Firewall: zo-aa-fw01, Duplicate user names: [admin], Missing account types: [], Accounts with invalid passwords: [], Missing user with name `admin`: false)
如果您收到这些日志,则表明您未正确设置防火墙密钥。 您必须更新 Secret,以确保对于列出的每个防火墙,您都遵循以下准则:
- 用户名不得重复。
- 您必须拥有每种类型的账号:
readonly、admin和breakglass。 - 任何账号都不能使用默认值
TO-BE-FILLED。 - 一个
admin类型的账号必须具有用户名admin。
缓解措施:
如需更新配置,请按照14.6.1 检查配置中的说明在 Secret 文件中填写凭据。
如果防火墙已可访问,则运行 14.6.2 设置基本管理网络中的步骤不会更新 KIND 集群中的 Secret。您必须使用 kubectl CLI 手动更新包含正确密码的 Secret。
13.9.2. 防火墙序列号验证错误
如果 cellcfg 文件中的防火墙序列号与防火墙设备不匹配,您可能会看到以下错误:
043213 bootstrap.go:149] found one of more firewall serial number validation errors: found one or more perimeter firewall serial number validation errors: serial number check error for FirewallNode zp-ab-ocfw01: serial number mismatch. Expected serial number: 011901063228, but firewall device has: 012501009845 Error: found one or more perimeter firewall serial number validation errors: serial number check error for FirewallNode zp-ab-ocfw01: serial number mismatch. Expected serial number: 011901063228, but firewall device has: 012501009845
如果您收到这些日志,则需要在 cellcfg 文件中更新防火墙序列号。
缓解措施:
请按照 14.2. 验证硬件以确认防火墙序列号,并更新 YAML 文件。
13.9.3. 防火墙无法启动或在恢复出厂设置菜单(恢复模式)中找不到映像
如果您的 Palo Alto Networks 防火墙设备无法启动,或者无法从维护模式>恢复出厂设置中访问恢复出厂设置菜单,请按照以下说明操作。
验证分区是否为空:
- 仅从电源上拔下线缆,以重新启动防火墙。请勿拔出电源。
- 如果您拔出了电源,请重新插入电源,但不要连接电源线。然后,重新插入电源线。
- 进入恢复模式。
- 选择磁盘映像。
- 选择高级选项,然后输入密码:
MA1NT。 - 选择 sysroot1 (X)。
- 按 Status 上的 Enter 键。
检查 sysroot1 的状态是否为 EMPTY。
输出示例:
如果 sysroot1 分区状态为 EMPTY,请按照完整问题解决步骤 操作
应对措施
如需恢复设备,请使用控制台进入维护模式。您需要知道密码 MA1NT 才能进入高级磁盘映像维护模式。
问题排查
如果您在恢复设备时遇到问题,可以尝试以下方法:
- 检查您是否使用了正确的密码来进入维护模式。
- 尝试使用其他控制台端口。
- 请与 Palo Alto Networks 支持团队联系以获取帮助。
13.9.4. 防火墙接口已关闭
如果验证设置中的任何接口本应处于开启状态,但实际上处于关闭状态,则可能是由于防火墙设备与交换机之间的电缆连接错误或光模块不兼容所致。
问题排查
如需验证物理电缆连接是否与
cell.yaml中的预期connections相同,请从引导加载程序机器运行验证 CLI 命令:sudo <release dir>/gdcloud system check-config --config <path_to_cellcfg> --artifacts-directory <artifacts_folder> --scenario Firewall检查验证日志以验证连接,并按照日志中的缓解建议操作。
已知问题:一项检查失败,该检查表明从
ManagementAggSwitch资源到防火墙设备的连接不匹配。输出类似于以下内容:connections from switch xx-aa-mgmtaggsw01 to firewall does not match cell config with unexpected diff (-switch +cell config): + xx-aa-mgmtaggsw01:Eth1/47<>xx-aa-ocfw01:Eth1/11权宜解决方法:忽略外围防火墙端口 11 和 12 的错误。在安装根管理员集群之前,这些端口处于关闭状态。
如需详细了解验证 CLI 命令,请参阅:硬件检查后。
如需验证是否使用了不兼容的光学器件,请按照设置 Palo Alto Network 防火墙中的说明操作。
13.9.5. 在 HA 密钥交换期间权限遭拒
在防火墙引导步骤 14.7 中,由于在引导加载程序上保存 HA 密钥时出现权限被拒问题,集群设置可能会失败。有时,您可能会看到命令卡在 Error: failed to config-replace with err: firewall:ak-aa-ocfw01,
hasn't completed its config-replace for hairpin information yet 和 High-availability ha1 encryption requires an import of the
high-availability-key(Module: ha_agent) client ha_agent phase 1 failure
问题排查:
- 请参阅 FW-R1002 示例情形 8。
检查主机(引导加载程序或跳转主机)上的 ubuntu 目录是否归 root 所有:
```bash
$ ls -al
total 36
drwxr-xr-x 3 root root 4096 Mar 21 03:33 ./
drwxr-xr-x 22 root root 4096 Mar 23 01:12 ../
...
drwxr-xr-x 11 root root 4096 Apr 30 21:05 ubuntu/
```
解决方案是修复 /home/ubuntu 的所有权:
```bash
$ chown -R ubuntu: /home/ubuntu/
```
之后,重新运行该命令。