Hướng dẫn giả lập Firewall Palo Alto trên PnetLab

Trong bài viết này, mình sẽ hướng dẫn các bạn download PAN-OS và giả lập Firewall Palo Alto trên Pnetlab.

Đăng ký tài khoản và Download PAN-OS

Hiện tại thì phiên bản mới nhất là PAN-OS hỗ trợ trên PnetLab là bản 10.1, các bạn truy cập vào đường dẫn đường dẫn này để download nhé: VM-Series Firewall Hypervisor Support.

Dưới đây là các phiên bản đang được hỗ trợ. Để download thì các bạn vào link ở phía trên.

Tuy nhiên các bạn cần có tài khoản thì mới download được nhé. Bạn nào đã có tài khoản Palo Alto thì cứ đăng nhập vào và chọn download file .qcow2 như trong bảng này. Còn nếu các bạn có thiết bị vẫn đang còn license support thì các bạn có thể lấy serial này để đăng ký 1 tài khoản. Truy cập vào Palo Alto Portal. Chọn Create my account.

Nhập email và tích vào CAPTCHA.

Sau đó chọn loại thông tin mà các bạn có, nếu có Serial thì các bạn chọn dòng Register device using Serial Number or Authorization Code và nhấn Submit.

Sau đó nhập các thông tin cá nhân vào, 2 phần quan trọng nhất là Device Serial Number và Sales Order Number. Serial thì các bạn có thể lấy trên thiết bị, còn order number thì các bạn có thể hỏi bên cung cấp thiết bị. Sau đó các bạn hoàn tất phần còn lại để đăng ký tài khoản.

Còn nếu đang sử dụng các phiên bản VM như trên Azure hoặc AWS thì các bạn chọn dòng Register usage-based VM-Series models (hourly/annual) purchased from public cloud Marketplace or Cloud Security Service Provider (CSSP), sau đó chọn loại cloud đang sử dụng.

Các thông tin cần nhập thì cũng tương tự như với Serial, các bạn nhập Serial # of VM-Series và CPU ID vào, các thông tin này thì đều có trên potal của Azure hoặc AWS.

Sau khi tạo xong tài khoản thì các bạn download phiên bản mình cần về.

Upload PAN-OS vào PnetLab

Sau khi đã download OS về, các bạn tạo 1 thư mục với phần đầu tiên là paloalto-, còn phần sau thì các bạn đặt thế nào cũng được, mình thì hay đặt theo version cho dễ phân biệt. Ví dụ paloalto-9.0.4. Sau đó copy file vừa download về vào trong thư mục vừa tạo và đổi tên file này thành hda.qcow2.

Các bạn có thể add nhiều phiên bản khác nhau cũng được nhé. Như ở đây mình đang có 3 phiên bản 7.x, 8.x, 9.x, mỗi phiên bản các bạn sẽ cần tạo 1 thư mục với phần đầu giống nhau là paloalto-, phần sau thì khác nhau, còn tên OS phía trong các bạn đặt giống nhau, đều là hda.qcow2.

Sau khi tạo xong thư mục, các bạn sử dụng filezilla để upload các file này vào Pnetlab. Trên filezilla tạo 1 session vào Pnetlab.

• Protocol chọn SFTP
• Host nhập IP trên PnetLab.
• Nhập username và password vào và nhấn connect vào Pnetlab.

Sau đó truy cập vào thư mục /opt/unetlab/addons/qemu và upload các thư mục vừa tạo lên.

Thiết lập các thông số cho Palo Alto

Giờ các bạn sử dụng trình duyệt web đăng nhập vào pnetlab, vào menu System > System setting, sau đó bấm fix permission là xong.

Sau đó các bạn add 1 firewall Palo Alto vào Pnetlab.

• Ở ô Image, các bạn chọn phiên bản muốn add.
• Primary Console: Các bạn lưu ý với Palo Alto thì Console các bạn chọn là VNC nhé.
• Mục Ethernet, chọn số cổng mà các bạn muốn sử dụng để kết nối, mặc định sẽ là 4 cổng.
• Còn các thông số khác các bạn để mặc định.

Bật thiết bị lên và console vào. Một lưu ý nữa là khi Firewall hiển thị màn hình login thì các bạn cần phải chờ thêm 1 lúc nữa thì mới đăng nhập được nhé, thông thường mình phải chờ đến khoảng 90 giây, các bạn có thể đăng nhập thử trong khoảng thời gian này. Ban đầu các bạn đăng nhập thì Firewall sẽ báo login incorrect.

Tài khoản mặc định sẽ là admin/admin.

Sau đó các bạn nối cổng mgmt của firewall ra cloud để đăng nhập bằng trình duyệt web.

Mình sẽ add 1 network cloud0 vào. Cloud0 này tương ứng với card Network Adapter NAT trên VMWare của mình, các bạn nối với card nào thì đặt IP tương ứng với card đó là được. Chọn cổng kết nối trên Palo Alto là mgmt.

Giờ quay trở lại console, các bạn truy cập vào mode cấu hình bằng lệnh configure.

Chuyển IP mode sang static, mặc định firewall sẽ nhận DHCP. Các bạn nên đặt IP tĩnh để dễ trong việc cấu hình và quản trị.

Sau đó đặt IP cho cổng mgmt, IP này các bạn đặt cùng dải với Cloud mà các bạn kết nối với cổng MGMT.

Với palo alto thì các bạn cần gõ commit để thực thi cấu hình nhé.

Để kiểm tra IP đang được đặt trên cổng MGMT, các bạn có thể sử dụng lệnh show interface management tại mode User.

Ok bây giờ các bạn có thể sử dụng giao diện web thông qua địa chỉ IP vừa cấu hình rồi nhé. Phần hướng dẫn cấu hình Palo Alto thì CNTTShop cũng đã có bài viết hướng dẫn rồi, các bạn có thể tham khảo theo link: Hướng dẫn cấu hình cơ bản Firewall Palo Alto.

Giả lập Palo Alto bằng VMWare file

Nếu các bạn đang có sẵn file PAN-OS cho VMWare như file PA-VM-ESX-10.0.0.ova hay PA-VM-ESX-10.1.0.ova thì các bạn có thể sử dụng để add vào PnetLab. 

Truy cập vào Pnetlab bằng phần mềm Console như Putty, SecureCRT, MobaXterm... Tạo 1 thư mục tạm thời tên abc, sau đó sử dụng các phần mềm FTP như Filezilla để upload file OVA lên thư mục abc này.

Sau khi giải nén file .ova bằng lệnh tar, các bạn sử dụng lện ls -l, chúng ta sẽ nhận được 1 file là PA-VM-ESX-10.1.0-disk1.vmdk. Các bạn convert file này thành file .qcow2 của Pnetlab.

Sau đó tạo 1 thư mục với cấu trúc tương tự như hướng dẫn phía trên, với phần đầu sẽ là paloalto-.

Di chuyển file hda.qcow2 mà chúng ta vừa convert sang thư mục mới này.

Cuối cùng các bạn xóa thư mục abc đi và fix permission.

Các bước còn lại các bạn làm tương tự như hướng dẫn phía trên với file .qcow2 nhé.

Ok Như vậy là mình đã hướng dẫn các bạn download và giả lập firewall Palo Alto trên PnetLab. Nếu các bạn gặp khó khăn gì có thể comment bên dưới bài viết để mọi người cùng khắc phục nhé.

Chúc các bạn thành công.