13. Inicialização do firewall

Esta página fornece instruções para instalar e configurar os firewalls da Palo Alto Networks (PANW). O Google Distributed Cloud (GDC) isolado por ar oferece dois firewalls da PANW: o firewall do sistema de detecção e prevenção de intrusões (IDPS) e o firewall de perímetro.

13.1. Acessar os firewalls

13.1.1. Acessar o console

1. Conecte um cabo serial do computador à porta do console e conecte-se ao firewall usando o software de emulação de terminal (9600-8-N-1).

2. Aguarde de 10 a 15 minutos para que a sequência de inicialização seja concluída. Quando o firewall estiver pronto, o comando vai mudar para o nome dele, como PA-5260 login para o firewall do IDPS e PA-850 login para o firewall de perímetro.

3. As credenciais padrão de nome de usuário e senha são admin/admin ou admin/paloalto no modo FIPS.

13.1.2. GUI/CLI

1. Conecte um cabo Ethernet RJ-45 do computador à porta de gerenciamento no firewall.

2. Defina o endereço IP do computador como 192.168.1.2/24.

3. Para acessar a interface de gerenciamento do firewall, acesse https://192.168.1.1.

4. As credenciais padrão de nome de usuário e senha são admin/admin ou admin/paloalto no modo FIPS.

13.2. Verificar hardware

1. Verifique se as peças recebidas correspondem ao que foi comprado em tipo e número de itens.

2. Em caso de discrepância, abra um caso de suporte seguindo SUP-P0007.

3. Para verificar se as ópticas conectadas estão corretas, siga as instruções em Configurar o firewall da Palo Alto Networks.

4. Verifique se Alarm está definido como Off ou False para cada componente:

   show system state | match "alarm': On"
   show system state | match "alarm': T"
   

   O processo retorna uma saída vazia.

   show system environmentals
   

   Todos os alarmes precisam ser definidos como False.

5. Verifique as luzes no firewall:

   1. Painel frontal: os seguintes LEDs precisam estar verdes:
      1. PWR (energia)
      2. STS (status)
      3. TMP (temperatura)
      4. ALM (alarme), o LED de alarme no THN está apagado.
      5. FÃS (fãs)
      6. PWR1 e PWR2 (energia)

6. Confira o número de série do firewall.

   Para firewalls PA-850 e PA-5260, use o seguinte comando show para conferir o número de série nas informações do sistema:

   show system info | match serial
   

   Você verá uma saída semelhante a esta:

   serial: 0123456789
   

   Confira a seguir um exemplo de saída do arquivo YAML do firewall.

   hardware:
       model: Palo Alto 5260
       serialNumber: "0123456789"
       vendor: Palo Alto
   

13.3. Redefinir para a configuração original

1. Acesse o modo de manutenção no console:

   debug system maintenance-mode
   

   O resultado será assim:

   Executing this command will disconnect the current session and reboot the system into maintenance mode. Do you want to continue? (y or n)
   
   Broadcast message from root (Tue Mar 15 11:07:31 2022):
   
   The system is going down for reboot NOW!
   

2. Digite y para continuar.

   

3. Navegue até Redefinir para a configuração original e selecione essa opção:

   

4. Navegue até Redefinir para a configuração original e selecione essa opção novamente:

   

5. Selecione Reiniciar:

   

13.4. Ativar o modo FIPS

Se você precisar ativar o modo FIPS, siga estas etapas. Conforme mencionado na seção Acessar os firewalls, no primeiro login, você precisa inserir uma nova senha de administrador. Você precisa usar essa senha durante a configuração do FIPS. Quando o processo for concluído, a senha do firewall será redefinida para a senha padrão do FIPS.

1. Conecte-se ao firewall usando o console e aguarde o comando final PA-5260 login:.

2. Use o nome de usuário e a senha padrão: admin/admin.

3. Siga a solicitação na tela para inserir uma nova senha de administrador na planilha de senhas do dispositivo de rede.

4. Ative o modo de manutenção com o seguinte comando:

   admin@PA-5260> debug system maintenance-mode
   

   O resultado será assim:

   Executing this command will disconnect the current session and reboot the system into maintenance mode. Do you want to continue? (y or n)
   
   Tue Mar 15 11:29:31 PDT 2022: Stopping PAN Software
   

5. Selecione Definir modo FIPS-CC:

   

6. Acesse e selecione Ativar o modo FIPS-CC:

   

7. Confirme se o processo foi concluído:

   

8. Navegue até Reiniciar e selecione essa opção:

   

9. Depois de mudar para o modo FIPS-CC, você vai ver o seguinte status: FIPS-CC mode enabled successfully.

   

As seguintes mudanças já estão em vigor:

• O FIPS-CC aparece o tempo todo na barra de status no rodapé da interface da Web.

• As credenciais de login do administrador padrão agora são admin/paloalto.

Depois que o sistema realiza um autoteste FIPS e o FIPS é definido, não há como sair do modo de manutenção de depuração do sistema porque não há uma conexão disponível pelo console serial. Como operador, você precisa remover o cabo do console serial ou se desconectar do console serial do firewall.

13.5. Fazer bootstrap dos firewalls da PANW com configuração básica de rede de gerenciamento

Esta etapa envolve a inicialização dos firewalls da PANW aplicando configurações de rede essenciais que permitem a conectividade com a rede de gerenciamento.

13.5.1. Verificar as configurações

As equipes de operações de hardware do GDC e de IDPS precisam finalizar os arquivos no diretório cellcfg para especificar as informações de configuração da implantação.

Esta seção aborda a inicialização dos firewalls da PANW para gerenciamento básico de rede e acesso.

13.5.2. Configurar a rede de gerenciamento básico

1. No servidor de inicialização, execute:

   gdcloud system firewall mgmt-setup --config PATH_TO_CELLCFG_DIRECTORY --firewall-type=FIREWALL_TYPE
   

   Substitua PATH_TO_CELLCFG_DIRECTORY pelo caminho do diretório em que cellcfg está armazenado.

   Substitua FIREWALL_TYPE por uma das seguintes opções:

   • idps: o firewall do IDPS.
   • perimeter: o firewall de perímetro.

   Esse comando realiza as ações a seguir:

   • Define configurações relacionadas ao dispositivo.
   • Define o nome do host.
   • Define o endereço IP de gerenciamento.
   • Verifica a conectividade do endereço IP de gerenciamento.

   Esse comando leva aproximadamente 15 minutos para ser executado. É necessário executar os comandos gdcloud system firewall mgmt-setup para IDPS e firewalls de perímetro individualmente, e não simultaneamente.

2. Execute o comando duas vezes: uma para o tipo de firewall como idps e outra para o tipo de firewall como perimeter.

13.6. Fazer upgrade do PAN-OS

1. No servidor de bootstrap, execute o seguinte comando gdcloud:

   gdcloud system firewall bootstrap-upgrade --config PATH_TO_CELLCFG_DIRECTORY --firewall-type=FIREWALL_TYPE
   

   Substitua PATH_TO_CELLCFG_DIRECTORY pelo caminho do diretório em que cellcfg está armazenado.

   Substitua FIREWALL_TYPE por idps para o firewall do IDPS ou perimeter para o firewall de perímetro.

   Esse comando realiza as ações a seguir:

   • Verifique se a versão atual do PAN OS corresponde à versão de destino. Se forem iguais, não será necessário fazer upgrade. Caso contrário, faça upgrade da imagem do PAN OS.
   • Se você precisar fazer upgrade da imagem do PAN OS, verifique a versão atual da atualização de conteúdo em relação à versão de destino. Faça upgrade da atualização de conteúdo se a versão atual for mais antiga que a de destino.

2. Execute o comando gdcloud system firewall bootstrap-upgrade duas vezes: uma para o tipo de firewall como idps e outra para o tipo de firewall como perimeter. O comando leva aproximadamente 30 minutos para os firewalls IDPS e 1 hora para os firewalls de perímetro serem concluídos. É possível executar os comandos simultaneamente.

3. Verifique a versão atual do PAN-OS. Na versão 1.14.3 ou mais recente do GDC, a versão do PAN-OS precisa ser 10.2.13.

   show system info | match sw-version
   

13.7. Concluir a inicialização

1. No servidor de inicialização, execute:

   gdcloud system firewall install --config PATH_TO_CELLCFG_DIRECTORY --firewall-type=FIREWALL_TYPE
   

   Substitua PATH_TO_CELLCFG_DIRECTORY pelo caminho do diretório em que cellcfg está armazenado.

   Substitua FIREWALL_TYPE por idps para o firewall do IDPS ou perimeter para o firewall de perímetro.

   Esse comando realiza as ações a seguir:

   • Instala a licença.
   • Atualiza a assinatura de conteúdo.
   • Troca de chaves de alta disponibilidade (HA) e ativação do multi-vsys.
   • Cria o secret da chave raiz.
   • Inicialize a configuração do firewall.

2. Execute o comando duas vezes: uma para o tipo de firewall como idps e outra para o tipo de firewall como perimeter. O comando leva aproximadamente 20 a 25 minutos para ser concluído. É possível executar os comandos gdcloud system firewall install simultaneamente.

13.8. Verifique a configuração

Para verificar se você inicializou os firewalls da PANW, siga estas etapas:

1. Acesse o URL https://MANAGEMENT_IP_ADDRESS. Substitua MANAGEMENT_IP_ADDRESS pelo gerenciamento do dispositivo de firewall.
2. Faça login no portal da Web inserindo o nome de usuário e a senha definidos no arquivo cell.yaml.

3. Clique em Painel no menu de navegação. Selecione Widgets -> System -> Interfaces e High Availability.

   

4. Examine os seguintes itens para verificar se o processo de inicialização foi concluído:

   • Para os firewalls IDPS (PA-5260) no modo ativo-ativo, espere que os firewalls primário e secundário tenham o mesmo status:

     • Verifique se os seguintes números na seção Interfaces estão verdes:

       • 5, 6, 7, 8, 21, 22, 23, 24

     • Verifique se todos os itens na seção Alta disponibilidade estão em verde. A seção Configuração em execução vai aparecer em vermelho ou amarelo e mostrar não sincronizada.

     

   • Para os firewalls de perímetro (PA-850) no modo ativo-passivo, espere que os firewalls ativos e passivos tenham status diferentes:

     • Para o firewall ativo:

       • Confira a seção Alta disponibilidade:

         • Verifique se o Local mostra Ativo e verde, enquanto o Peer está Passivo e amarelo.
         • A seção Configuração em execução vai aparecer em vermelho ou amarelo e mostrar não sincronizada.
         • Verifique se todos os outros marcadores na seção Alta disponibilidade estão verdes.

       • Verifique se os seguintes números na seção Interfaces estão verdes:

         • 9, 10

       

     • Para o firewall passivo:

       • Confira a seção Alta disponibilidade:

         • Verifique se o Local mostra Passivo e amarelo enquanto o Peer está Ativo e verde.
         • A seção Configuração em execução vai aparecer em vermelho ou amarelo e mostrar não sincronizada.
         • Verifique se todos os outros itens na seção Alta disponibilidade estão verdes.

       • Verifique se os seguintes números na seção Interfaces estão vermelhos:

         • 9, 10

       

5. Na guia Rede, acesse Zonas.

   Confirme se o prefixo do nome da zona de segurança na coluna Nome corresponde ao identificador do sistema virtual na coluna Local.

   Por exemplo, a imagem a seguir mostra que vsys1-gpc na coluna Nome corresponde corretamente a root (vsys1) na coluna Local:

   

13.9. Possíveis problemas

13.9.1. Secrets do firewall não provisionados

Ao inicializar o firewall nas seções a seguir, você pode receber registros semelhantes a estes:

I0727 20:45:46.460753 3011336 common.go:129] Bootstrapper IP: 10.248.0.70
            E0727 20:45:46.460800 3011336 reset.go:42] failed to initialize the firewall configuration: found one or more firewalls with duplicate usernames, missing firewall account types (readonly, admin, breakglass) or invalid passwords (may not be TO-BE-FILLED): (Firewall: zo-aa-fw01, Duplicate user names: [admin], Missing account types: [], Accounts with invalid passwords: [], Missing user with name `admin`: false)

Se você receber esses registros, significa que não definiu os segredos do firewall corretamente. Atualize os secrets para garantir que, para cada firewall listado, você siga as diretrizes:

• Não há nomes de usuário duplicados.
• Você precisa ter uma conta para cada tipo: readonly, admin e breakglass.
• Nenhuma conta pode usar o valor padrão TO-BE-FILLED.
• Uma conta do tipo admin precisa ter o nome de usuário admin.

Mitigação:

Para ter configurações atualizadas, preencha as credenciais nos arquivos de secrets conforme descrito em 14.6.1 Verificar configurações.

Se os firewalls já estiverem acessíveis, executar as etapas em 14.6.2 Configurar a rede de gerenciamento básico não vai atualizar os secrets no cluster KIND. Atualize os secrets manualmente com as senhas corretas usando a CLI kubectl.

13.9.2. Erros de validação do número de série do firewall

Se houver uma incompatibilidade entre o número de série do firewall nos arquivos cellcfg e o dispositivo de firewall, você poderá receber erros como este:

043213 bootstrap.go:149] found one of more firewall serial number validation errors: found one or more perimeter firewall serial number validation errors: serial number check error for FirewallNode zp-ab-ocfw01: serial number mismatch. Expected serial number: 011901063228, but firewall device has: 012501009845 Error: found one or more perimeter firewall serial number validation errors: serial number check error for FirewallNode zp-ab-ocfw01: serial number mismatch. Expected serial number: 011901063228, but firewall device has: 012501009845

Se você receber esses registros, atualize os números de série do firewall no arquivo cellcfg.

Mitigação:

Siga as instruções em 14.2. Verifique o hardware para confirmar o número de série do firewall e atualize o arquivo YAML.

13.9.3. O firewall não consegue inicializar ou nenhuma imagem é encontrada no menu de redefinição de fábrica (modo de recuperação)

Se o dispositivo de firewall da Palo Alto Networks não puder ser inicializado ou não tiver uma imagem disponível no menu de redefinição de fábrica acessível em Modo de manutenção>Redefinição de fábrica, siga estas instruções.

Para verificar se a partição está em branco:

1. Reinicie o firewall desconectando apenas os cabos da fonte de alimentação. Não puxe a fonte de alimentação.
   • Se você tiver removido a fonte de alimentação, insira-a novamente sem o cabo de alimentação. Em seguida, conecte o cabo de alimentação novamente.
2. Entre no modo de recuperação.
3. Selecione Imagem do disco.
4. Selecione Opções avançadas e insira a senha: MA1NT.
5. Selecione sysroot1 (X).
6. Pressione Enter em Status.

7. Verifique se o Estado de sysroot1 é EMPTY.

   Exemplo de saída:

Se o estado da partição sysroot1 for EMPTY, siga estas etapas: Etapas de resolução completa

Mitigação

Para recuperar o dispositivo, use o console e entre no modo de manutenção. Você precisa saber a senha MA1NT para entrar no modo de manutenção avançado de Imagem de disco.

Solução de problemas

Se você estiver com problemas para recuperar o eletrodoméstico, tente o seguinte:

• Verifique se você está usando a senha correta para entrar no modo de manutenção.
• Tente usar uma porta de console diferente.
• Entre em contato com o suporte da Palo Alto Networks para receber ajuda.

13.9.4. As interfaces de firewall estão inativas

Se alguma interface da Verificação da configuração estiver inativa, mas deveria estar ativa, o problema pode ser conexões de cabo incorretas entre o dispositivo de firewall e os switches ou ópticas incompatíveis.

Solução de problemas

• Para verificar se as conexões de cabo físico são as mesmas que o connections esperado do cell.yaml, execute o comando da CLI de validação na máquina de bootstrap:

  • sudo <release dir>/gdcloud system check-config --config <path_to_cellcfg> --artifacts-directory <artifacts_folder> --scenario Firewall
    

  • Verifique o registro de validação para a verificação de conexão e siga as sugestões de mitigação do registro.

    • Problema conhecido: uma verificação falha ao afirmar que a conexão com o dispositivo de firewall do recurso ManagementAggSwitch não corresponde. A saída será assim:

      connections from switch xx-aa-mgmtaggsw01 to firewall does not match cell config with unexpected diff (-switch +cell config):
      + xx-aa-mgmtaggsw01:Eth1/47<>xx-aa-ocfw01:Eth1/11
      

    • Solução alternativa: ignore os erros das portas 11 e 12 do firewall de perímetro. Essas portas ficam inativas até a instalação do cluster de administrador raiz.

  • Para mais detalhes sobre o comando da CLI de validação, consulte: Verificações pós-hardware.

• Para verificar se há uso de óptica incompatível, siga as instruções em: Configurar o firewall da Palo Alto Networks.

13.9.5. Permissão negada durante a troca de chaves de alta disponibilidade

Durante a etapa 14.7 da inicialização do firewall, a configuração do cluster pode falhar devido a uma permissão negada ao salvar a chave de alta disponibilidade no bootstrapper. Às vezes, o comando fica preso em Error: failed to config-replace with err: firewall:ak-aa-ocfw01, hasn't completed its config-replace for hairpin information yet e High-availability ha1 encryption requires an import of the high-availability-key(Module: ha_agent) client ha_agent phase 1 failure

Solução de problemas:

• Consulte o FW-R1002 Exemplo de caso 8.

Verifique se o diretório do Ubuntu no host (bootstrap ou jumphost) é de propriedade do root:

```bash
$ ls -al
total 36
drwxr-xr-x  3 root root 4096 Mar 21 03:33 ./
drwxr-xr-x 22 root root 4096 Mar 23 01:12 ../
...
drwxr-xr-x 11 root root 4096 Apr 30 21:05 ubuntu/
```

A solução é corrigir a propriedade de /home/ubuntu:

```bash
$ chown -R ubuntu: /home/ubuntu/
```

Depois disso, execute o comando novamente.