Cómo reconstruir PA-VM Firewall en Azure

35984

Created On 02/13/20 16:24 PM - Last Modified 01/31/23 00:14 AM

Objective

Las redes de Palo Alto Firewall hospedadas en Azure han dejado de funcionar y no se pueden recuperar.
A nueva instancia de Palo Alto Networks VM ( ) se puede implementar en el mismo grupo de PA-VM recursos.
Las mismas interfaces de red se pueden reutilizar para que IP las direcciones no cambien.
Las rutas definidas por el usuario ( UDR ) y los grupos de seguridad ( ) se pueden dejar tal SG cual.

Environment

Serie Palo Alto Networks VM- Firewall
Implementado en Microsoft Azure

Procedure

En Azure Portal, vaya a la instancia y recopile la siguiente información:

Descripción general > Essentials:

Grupo de recursos:PA-VM-boot2
Ubicación: Central US
Suscripción (cambio): Azure-Subscription-Name
Suscripción ID:00000000-11aa-22b2-33cc-d4dd444d444
Nombre del equipo:(Nombre de host de )Tamaño:Standard D4 v2 (4 vCPU, 14 GiB de Firewallmemoria)

Información general > Propiedades:

Oferta: Configuración de vmseries-flex

> redes:

Recopilar nombres de todas las interfaces de red conectadas

Realice una copia de seguridad de la configuración antes de continuar. Consulte Copia de seguridad y restauración de configuraciones
Apague, cree y conecte maniquí NIC y desasocia las NIC.

a) Apague el VM (si aún no lo ha hecho)
b) Cree una interfaz de red y adjunte a downed firewall . El VM debe tener una o más nics unidas en todo momento; esta nic ficticia permitirá el desprendimiento de otros nics.
c) Separar todas las demás interfaces de red (dejando el nuevo nic ficticio)

Lanzar nueva PA-VM instancia utilizando la misma configuración

Cree comandos de Azure CLI que creen una nueva instancia:

Plantilla:

az vm create -- subscription <subscription-id> --resource-group <resource group name> --name <FW-Hostname> --location <REGION FW is in (eastus,centrualus, etc)> --nics <mgmtnic eth1nic eth2nic > --size Standard_D3_V2 --image paloaltonetworks:vmseries1:byol:9.0.1 --plan-name byol --plan-product vmseries1 --plan-publisher paloaltonetworks --authentication-type password --admin-username demouser --admin-password yourpassword

Ejemplo:

az vm create --subscription 81000000-11aa-22b2-33cc-d4dd444d444 --resource-group PA-VM-boot2 --name FW-Hostname --location centrualus  --nics mgmtnic eth1-untrust-nic eth2-trust-nic --size Standard_D4_V2 --image paloaltonetworks:vmseries-flex:byol:10.1.5 --plan-name byol --plan-product vmseries-flex --plan-publisher paloaltonetworks --authentication-type password --admin-username pavmadmin --admin-password adminpassword --zone 1

Información adicional sobre CLI Azure:

a) Acceda a Azure a través del CLI explorador web con el shell en la nube: https://docs.microsoft.com/en-us/azure/cloud-shell/overview

b) "--image" Use Azure CLI para localizar todas las imágenes disponibles de Palo Alto Networks.

PS Azure:\> az vm image list --publisher paloaltonetworks --all

Ejemplo de salida.

{
    "offer": "vmseries-flex",
    "publisher": "paloaltonetworks",
    "sku": "byol",
    "urn": "paloaltonetworks:vmseries-flex:byol:10.1.5",
    "version": "10.1.5"
  },

Observe que " URN paloaltonetworks:vmseries-flex:byol:10.1.5" se utiliza para el indicador ""-- image"

c) "--nics" El orden de los nics sí importa
d) "--name" Para reutilizar el mismo nombre de equipo (FW-Hostname) el antiguo debe eliminarse el puño.
e) "--zone" se refiere a la zona de disponibilidad.
f) "--offer" para PA-VM firewalls hay "vmseries1" o el más reciente "vmseries-flex"
g) Puede encontrar más información sobre los comandos de Azure CLI aquí: https://docs.microsoft.com/en-us/cli/azure/vm?view=azure-cli-latest

Licencia nueva PA-VM

a) Si BYOL : Recoger el número de serie antiguo, el nuevo y CPUID UUID . Palo Alto Networks TAC puede actualizar el número de serie con el nuevo y CPUID UUID . Una vez completadas las licencias de instalación, comenzando con PA-VM la licencia de capacidad.

b) Si PAYG : Registrar nuevo en el portal de soporte PA-VM (https://docs.paloaltonetworks.com/ vm-series /9-1/ vm-series -deployment/license-the- vm-series - firewall /register-the- vm-series - firewall /register-the-usage-based-model-of-the- vm-series - firewall -in-aws-and-azure-no-auth-code.html#idc6bc4ba9-2f6c-4ed1-957c-fb61fece86cb)

Instale el contenido (actualizaciones dinámicas) y la versión de mantenimiento preferida PAN-OS.

a) Descargue e instale la versión de PAN-OS mantenimiento preferida.
b) Descargar e instalar las actualizaciones dinámicas necesarias (Aplicaciones y Amenazas, URL Filtrado, etc.).
c) Descargar e instalar el último VM- plugin de la serie ( PAN-OS 9.0 y superior)

Configuración de copia de seguridad de carga:

a) Importar copia de seguridad de configuración desde la antigua firewall .

A "estado del dispositivo" es preferible, ya que es la copia de seguridad más completa.
A "running-config.xml" funcionará si no hay un estado completo del dispositivo disponible.
Si toda la configuración se Panorama agregó, agréguelo Panorama IP PA-VM y confirme. Una vez que el dispositivo se conecte Panorama a , presione a policy firewall .

b) Revise y verifique la configuración antes de confirmar desde una copia de seguridad.

Confirmar y verificar el tráfico

Una vez completada la confirmación, firewall debe ser tráfico operativo y pasajero.

Porque reutilizamos todos los Azure NIC:

No se deben realizar ajustes en Azure (UDR, SG, etc.).
IP direcciones deben seguir siendo las mismas. Suponiendo que se ha habilitado la opción de conservarlos.

Additional Information

Hay dos ofertas "vmseries1" y "vmseries-flex".

vmseries1: PAYG los firewalls se iniciarán con VM-300 licencia. No importa el tipo de instancia.
vmseries-flex: PAYG los firewalls se inician con diferentes tamaños de licencia, dependiendo del tipo de instancia.

WARNING:
si PA-VM firewall se implementó a través de Terraform: Dado que estos cambios se realizan fuera de Terraform, esto interrumpirá la información de estado mantenida por Terraform y dará lugar a scripts rotos.Esto se puede limpiar más tarde.