13. 防火牆啟動程序

預計完成時間:60 分鐘

可操作元件擁有者:FW

技能設定檔:部署工程師

本頁面提供安裝及設定 Palo Alto Networks (PANW) 防火牆的操作說明。Google Distributed Cloud (GDC) 實體隔離方案提供兩種 PANW 防火牆:入侵偵測與預防系統 (IDPS) 防火牆和周邊防火牆。

13.1. 存取防火牆

13.1.1. 存取控制台

  1. 將電腦的序列埠線連接至主控台通訊埠,然後使用終端機模擬軟體 (9600-8-N-1) 連線至防火牆。

  2. 請等待 10 到 15 分鐘,讓開機程序完成。防火牆準備就緒後,提示會變更為防火牆名稱,例如 IDPS 防火牆的 PA-5260 login 和周邊防火牆的 PA-850 login

  3. 預設使用者名稱和密碼憑證為 admin/admin,或 FIPS 模式下的 admin/paloalto

13.1.2. GUI/CLI

  1. 將電腦的 RJ-45 乙太網路線連到防火牆的管理連接埠。

  2. 將電腦的 IP 位址設為 192.168.1.2/24

  3. 如要存取防火牆的管理介面,請前往 https://192.168.1.1

  4. 預設使用者名稱和密碼憑證為 admin/admin,或 FIPS 模式下的 admin/paloalto

13.2. 驗證硬體

  1. 確認收到的零件與購買的零件類型和數量相符。

  2. 如有任何差異,請按照 SUP-P0007 提出客服案件。

  3. 如要確認連線的光纖是否正確,請按照「設定 Palo Alto Network 防火牆」中的操作說明進行。

  4. 請確認每個元件的 Alarm 都設為 OffFalse

    show system state | match "alarm': On"
show system state | match "alarm': T"

    該程序會傳回空白輸出內容。

    show system environmentals

    所有鬧鐘都應設為 False

  5. 檢查防火牆上的燈號:

    1. 前面板:下列 LED 燈應為綠色:
      1. PWR (電源)
      2. STS (狀態)
      3. TMP (溫度)
      4. ALM (警報),THN 中的警報 LED 燈已關閉。
      5. 粉絲 (fans)
      6. PWR1 和 PWR2 (電源)

  6. 查看防火牆的序號。

    如果是 PA-850 和 PA-5260 防火牆,請使用下列 show 指令,從系統資訊中查看序號:

    show system info | match serial

    畫面會顯示類似以下內容的輸出:

    serial: 0123456789

    以下是防火牆 YAML 檔案的輸出範例。

    hardware:
    model: Palo Alto 5260
    serialNumber: "0123456789"
    vendor: Palo Alto

13.3. 恢復原廠設定

  1. 從控制台進入維護模式:

    debug system maintenance-mode

    輸出結果會與下列內容相似:

    Executing this command will disconnect the current session and reboot the system into maintenance mode. Do you want to continue? (y or n)

Broadcast message from root (Tue Mar 15 11:07:31 2022):

The system is going down for reboot NOW!

  2. 如要繼續,請輸入「y」。

    維護復原工具

  3. 選取「恢復原廠設定」

    維護復原工具恢復原廠設定

  4. 再次前往並選取「恢復原廠設定」

    重複使用維護復原工具恢復原廠設定

  5. 選取「重新啟動」

    重新啟動維護復原工具

13.4. 啟用 FIPS 模式

如需啟用 FIPS 模式,請務必執行下列步驟。如「存取防火牆」一節所述,您必須在首次登入時輸入新的管理員密碼。您必須在 FIPS 設定期間使用這個密碼。程序成功完成後,防火牆密碼會重設為預設的 FIPS 密碼。

  1. 使用控制台連線至防火牆,並等待最終的 PA-5260 login: 提示。

  2. 使用預設的使用者名稱和密碼:admin/admin

  3. 按照畫面上的提示,從網路裝置密碼試算表輸入新的管理員密碼。

  4. 使用下列指令啟用維護模式:

    admin@PA-5260> debug system maintenance-mode

    輸出結果會與下列內容相似:

    Executing this command will disconnect the current session and reboot the system into maintenance mode. Do you want to continue? (y or n)

Tue Mar 15 11:29:31 PDT 2022: Stopping PAN Software

  5. 選取「設定 FIPS-CC 模式」

    設定 FIPS-CC 模式

  6. 找到並選取「Enable FIPS-CC Mode」(啟用 FIPS-CC 模式)

    啟用 FIPS-CC 模式

  7. 確認程序順利完成:

    FIPS-CC 模式程序

  8. 依序選取「重新啟動」

    恢復原廠設定後重新啟動

  9. 切換至 FIPS-CC 模式後,您會看到以下狀態:FIPS-CC mode enabled successfully

    已成功啟用 FIPS-CC 模式

以下變更現已生效:

  • FIPS-CC 會一直顯示在網頁介面頁尾的狀態列中。

  • 預設管理員登入憑證現在為 admin/paloalto

系統執行 FIPS 自我測試並設定 FIPS 後,就無法退出系統偵錯維護模式,因為無法透過序列埠連線。身為操作人員,您必須移除序列埠線,或中斷與防火牆序列埠的連線。

13.5. 使用基本管理網路設定啟動 PANW 防火牆

這個步驟包括套用基本網路設定,以啟用與管理網路的連線,藉此初始化 PANW 防火牆。

13.5.1. 檢查設定

GDC 硬體作業團隊和 IDPS 團隊必須在 cellcfg 目錄中完成檔案,指定部署的設定資訊。

本節說明如何啟動 PANW 防火牆,以進行基本管理網路和存取作業。

13.5.2. 設定基本管理網路

  1. 在啟動伺服器上執行下列指令:

    gdcloud system firewall mgmt-setup --config PATH_TO_CELLCFG_DIRECTORY --firewall-type=FIREWALL_TYPE

    請將 PATH_TO_CELLCFG_DIRECTORY 替換為儲存 cellcfg 的目錄路徑。

    請使用下列任一項目取代 FIREWALL_TYPE

    • idps:IDPS 防火牆。
    • perimeter:周邊防火牆。

    這個指令會執行下列動作:

    • 設定裝置相關設定。
    • 設定主機名稱。
    • 設定管理 IP 位址。
    • 驗證管理 IP 位址連線。

    執行過程大約需要 15 分鐘。您必須分別為 IDPS 和周邊防火牆執行 gdcloud system firewall mgmt-setup 指令,且不得同時執行這些指令。

  2. 執行兩次指令,一次將防火牆類型設為 idps,另一次則設為 perimeter

13.6. 升級 PAN-OS

  1. 在啟動伺服器上執行下列 gdcloud 指令:

    gdcloud system firewall bootstrap-upgrade --config PATH_TO_CELLCFG_DIRECTORY --firewall-type=FIREWALL_TYPE

    PATH_TO_CELLCFG_DIRECTORY 替換為 cellcfg 的儲存目錄路徑。

    FIREWALL_TYPE 替換為 IDPS 防火牆的 idps 或周邊防火牆的 perimeter

    這個指令會執行下列動作:

    • 檢查目前的 PAN OS 版本是否與目標版本相符,如果相同,則不需要升級。否則,請繼續升級 PAN OS 映像檔。
    • 如要升級 PAN OS 映像檔,請根據目標版本驗證目前的內容更新版本。如果目前版本比目標版本舊,請升級內容更新。

  2. 執行 gdcloud system firewall bootstrap-upgrade 指令兩次,一次是將防火牆類型設為 idps,另一次則是設為 perimeter。IDPS 防火牆大約需要 30 分鐘才能完成指令,周邊防火牆則需要 1 小時。您可以同時執行這些指令。

  3. 確認目前的 PAN-OS 版本。在 GDC 1.14.3 以上版本中,PAN-OS 版本必須為 10.2.13

    show system info | match sw-version

13.7. 完成啟動程序

  1. 在啟動伺服器上執行下列指令:

    gdcloud system firewall install --config PATH_TO_CELLCFG_DIRECTORY --firewall-type=FIREWALL_TYPE

    請將 PATH_TO_CELLCFG_DIRECTORY 替換為儲存 cellcfg 的目錄路徑。

    FIREWALL_TYPE 替換為 IDPS 防火牆的 idps 或周邊防火牆的 perimeter

    這個指令會執行下列動作:

    • 安裝授權。
    • 更新內容簽章。
    • 高可用性 (HA) 金鑰交換並啟用 multi-vsys
    • 建立根金鑰密鑰。
    • 初始化防火牆設定。

  2. 執行兩次指令,一次將防火牆類型設為 idps,另一次則設為 perimeter。這項指令大約需要 20 到 25 分鐘才能完成。您可以同時執行 gdcloud system firewall install 指令。

13.8. 驗證設定

如要確認您已啟動 PANW 防火牆,請按照下列步驟操作:

  1. 前往網址 https://MANAGEMENT_IP_ADDRESS。請將 MANAGEMENT_IP_ADDRESS 替換為防火牆裝置管理。
  2. 輸入 cell.yaml 檔案中定義的使用者名稱和密碼,登入網路入口。

  3. 按一下導覽選單中的「資訊主頁」。依序選取「Widgets」->「System」->「Interfaces」和「High Availability」

    PANW 防火牆高可用性資訊主頁

  4. 檢查下列項目,確認啟動程序是否成功:

    • 對於處於雙主動模式的 IDPS 防火牆 (PA-5260),主要和次要防火牆的狀態應相同

      • 檢查「介面」部分中的下列數字是否顯示綠色:

        • 567821222324

      • 檢查「高可用性」部分的所有項目是否都顯示綠色。請注意,「Running Config」(執行設定) 區段可能會顯示紅色或黃色,並指出「not synchronized」(未同步)

      PANW IDPS 防火牆高可用性介面

    • 對於處於主動/被動模式的 Perimeter 防火牆 (PA-850),主動和被動防火牆的狀態應不同

      • 有效防火牆:

        • 查看「高可用性」部分:

          • 檢查「本機」是否顯示「有效」和綠色,「同層」是否顯示「被動」和黃色。
          • 「執行中的設定」部分會顯示紅色或黃色,並指出「未同步」
          • 檢查「高可用性」部分中的所有其他項目是否都顯示綠色。

        • 檢查「介面」部分中的下列數字是否顯示綠色

          • 910

        PANW 邊界防火牆 HA 已啟用

      • 若為被動防火牆:

        • 查看「高可用性」部分:

          • 檢查「本機」是否顯示「被動」和黃色,而「同層」是否顯示「有效」和綠色。
          • 「執行中的設定」部分會顯示紅色或黃色,並指出「未同步」
          • 檢查「高可用性」部分的其他項目是否都顯示綠色。

        • 檢查「Interfaces」(介面) 部分中的下列數字是否顯示為紅色

          • 910

        PANW Perimeter firewall HA passive

  5. 在「網路」分頁中,前往「區域」

    確認「名稱」欄中安全區域名稱的前置字元,與「位置」欄中虛擬系統的 ID 相符。

    舉例來說,下圖顯示「名稱」欄中的 vsys1-gpc 與「位置」欄中的 root (vsys1) 正確相符:

    PANW 防火牆使用者介面一致的虛擬名稱和安全區域前置字元

13.9. 潛在問題

13.9.1. 未佈建防火牆密鑰

在下列章節中啟動防火牆時,您可能會收到類似下列的記錄:

I0727 20:45:46.460753 3011336 common.go:129] Bootstrapper IP: 10.248.0.70
            E0727 20:45:46.460800 3011336 reset.go:42] failed to initialize the firewall configuration: found one or more firewalls with duplicate usernames, missing firewall account types (readonly, admin, breakglass) or invalid passwords (may not be TO-BE-FILLED): (Firewall: zo-aa-fw01, Duplicate user names: [admin], Missing account types: [], Accounts with invalid passwords: [], Missing user with name `admin`: false)

如果收到這些記錄,表示您未正確設定防火牆密碼。 您必須更新密鑰,確保針對列出的每個防火牆,您都遵循下列準則:

  • 使用者名稱不得重複。
  • 你必須為每種帳戶類型 (readonlyadminbreakglass) 各建立一個帳戶。
  • 帳戶無法使用預設值 TO-BE-FILLED
  • 其中一個 admin 類型的帳戶必須使用 admin 做為使用者名稱。

解決方法

如要更新設定,請按照「14.6.1 檢查設定」一節的說明,在密鑰檔案中填入憑證。

如果防火牆已可連線,執行「14.6.2 設定基本管理網路」中的步驟不會更新 KIND 叢集中的密鑰。您必須使用 kubectl CLI 手動更新密碼,

13.9.2. 防火牆序號驗證錯誤

如果 cellcfg 檔案中的防火牆序號與防火牆裝置不符,您可能會看到下列錯誤:

043213 bootstrap.go:149] found one of more firewall serial number validation errors: found one or more perimeter firewall serial number validation errors: serial number check error for FirewallNode zp-ab-ocfw01: serial number mismatch. Expected serial number: 011901063228, but firewall device has: 012501009845 Error: found one or more perimeter firewall serial number validation errors: serial number check error for FirewallNode zp-ab-ocfw01: serial number mismatch. Expected serial number: 011901063228, but firewall device has: 012501009845

如果收到這些記錄,請更新 cellcfg 檔案中的防火牆序號。

解決方法

請按照 14.2 節的指示操作。驗證硬體,確認防火牆序號並更新 YAML 檔案。

13.9.3. 防火牆無法啟動,或在恢復原廠設定選單 (復原模式) 中找不到映像檔

如果 Palo Alto Networks 防火牆設備無法啟動,或從「維護模式」>「恢復原廠設定」選單中找不到可用映像檔,請按照下列操作說明進行。

如要確認分區是否空白,請按照下列步驟操作:

  1. 拔除電源供應器上的纜線,重新啟動防火牆。請勿拔除電源供應器。
    • 如果已拔除電源供應器,請重新插入,但不要接上電源線。然後插回電源線。
  2. 進入復原模式。
  3. 選取「磁碟映像檔」
  4. 選取「進階選項」,然後輸入密碼:MA1NT
  5. 選取 sysroot1 (X)。
  6. 按下 Enter 鍵,選取「狀態」

  7. 檢查 sysroot1 的「State」是否為「EMPTY」

    輸出範例:

PuTTy 終端機視窗,顯示 sysroot1 狀態為空白

如果 sysroot1 分區狀態為「EMPTY」,請按照完整解決步驟 操作

減輕影響

如要復原設備,請使用控制台進入維護模式。您必須知道密碼 MA1NT,才能進入進階「磁碟映像檔」維護模式。

疑難排解

如果無法復原裝置,請嘗試下列做法:

  • 請確認你輸入的密碼正確無誤,才能進入維護模式。
  • 改用其他控制台連接埠。
  • 如需協助,請與 Palo Alto Networks 支援團隊聯絡。

13.9.4. 防火牆介面未運作

如果驗證設定中任何應處於連線狀態的介面實際處於離線狀態,可能是因為防火牆裝置和交換器之間的傳輸線連接錯誤,或是光纖不相容所致。

疑難排解

  • 如要驗證實體纜線連線是否與預期的 connections 相同,請從啟動程序機器執行驗證 CLI 指令:cell.yaml

    • sudo <release dir>/gdcloud system check-config --config <path_to_cellcfg> --artifacts-directory <artifacts_folder> --scenario Firewall

    • 查看驗證記錄,確認連線是否通過驗證,並按照記錄中的建議採取補救措施。

      • 已知問題:檢查失敗,指出從 ManagementAggSwitch 資源到防火牆設備的連線不符。輸出看起來類似以下內容:

        connections from switch xx-aa-mgmtaggsw01 to firewall does not match cell config with unexpected diff (-switch +cell config):
+ xx-aa-mgmtaggsw01:Eth1/47<>xx-aa-ocfw01:Eth1/11

      • 解決方法:忽略周邊防火牆連接埠 11 和 12 的錯誤。在安裝根管理員叢集之前,這些連接埠都會關閉。

    • 如要進一步瞭解驗證 CLI 指令,請參閱「硬體檢查後續步驟」。

  • 如要確認是否使用不相容的光纖,請按照「設定 Palo Alto Network 防火牆」一文中的操作說明進行。

13.9.5. HA 金鑰交換期間權限遭拒

在防火牆啟動步驟 14.7 中,叢集設定可能會因啟動程式儲存 HA 金鑰時遭拒絕權限而失敗。有時您可能會看到指令停滯在 Error: failed to config-replace with err: firewall:ak-aa-ocfw01, hasn't completed its config-replace for hairpin information yetHigh-availability ha1 encryption requires an import of the high-availability-key(Module: ha_agent) client ha_agent phase 1 failure

疑難排解

  • 請參閱 FW-R1002 範例案例 8。

檢查主機 (bootstrap 或 jumphost) 上的 ubuntu 目錄是否由根目錄擁有:

```bash
$ ls -al
total 36
drwxr-xr-x  3 root root 4096 Mar 21 03:33 ./
drwxr-xr-x 22 root root 4096 Mar 23 01:12 ../
...
drwxr-xr-x 11 root root 4096 Apr 30 21:05 ubuntu/
```

解決方法是修正 /home/ubuntu 的擁有權:

```bash
$ chown -R ubuntu: /home/ubuntu/
```

完成後,請重新執行指令。