Palo Alto Networks Panorama 管理者ガイド バージョン 7.0 連絡先情報 本社 : Palo Alto Networks 4401 Great America Parkway カリフォルニア州 サンタクララ 95054 www.paloaltonetworks.com/company/contact-us このガイドについて このガイドでは、Panorama を中央管理用に設定して使用する方法を説明します。このガイドは、Palo Alto Networks ファイアウォールの中央管理用に Panorama バーチャルアプライアンスや M-Series アプラ イアンスをすばやく設定するための基本フレームワークを必要とする管理者を対象としています。 M-Series アプライアンスがある場合は、M-Series アプライアンスのラックマウントを完了した後、この ガイドの説明を参照してください。 詳細は、以下の資料を参照してください。 ファイアウォールの機能の設定手順は、PAN-OS 管理者ガイドを参照してください。このガイドに記 載されていない、ファイアウォールと共通する Panorama の設定項目については、 『Palo Alto Networks 管理者ガイド』も併せて参照してください。 テクニカルドキュメントセット一式 (https://paloaltonetworks.com/documentation) ナレッジベース、ディスカッションフォーラム、および動画 (https://live.paloaltonetworks.com) サポート窓口、サポートプログラムの詳細、アカウントまたはデバイスの管理 (https://support.paloaltonetworks.com) 最新のリリースノート(https://support.paloaltonetworks.com/Updates/SoftwareUpdates のソフ トウェアのダウンロードページ) ドキュメントのフィードバックは、以下の宛先までご送付ください。[email protected] Palo Alto Networks, Inc. www.paloaltonetworks.com © 2013-2015 Palo Alto Networks, Inc。パロアルトネットワークスは、パロアルトネットワークスの登録商標です。商標のリ ストについては、http://www.paloaltonetworks.com/company/trademarks.html をご覧ください。本書に記述されているその他 の商標はすべて、各社の商標である場合があります。 改定日 : 2016 年 11 月 1 日 2 • Panorama 7.0 管理者ガイド Palo Alto Networks 目次 目次 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3 Panorama の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9 Panorama について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 Panorama プラットフォーム . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 設定および導入の中央管理について. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 ファイアウォールと Panorama 間のコンテキスト切り替え . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 テンプレートおよびテンプレートスタック . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 デバイスグループ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 ログとレポートの中央管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 ログオプション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 管理対象コレクタおよびコレクタグループ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 複数のログコレクタを含むコレクタグループに関する注意事項 . . . . . . . . . . . . . . . . . . . . . . 21 一元的なレポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Panorama のコミット操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 ロールベースのアクセス制御 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 管理ロール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 認証プロファイルと認証シーケンス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 アクセスドメイン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 管理認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 推奨される Panorama の導入 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 中央管理およびレポートのための Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 分散ログ収集デプロイ環境における Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 導入計画 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 Panorama の導入 : タスクの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 Panorama のセットアップ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 Panorama のログ保持要件を決定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 Panorama バーチャルアプライアンスのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 Panorama バーチャルアプライアンスのセットアップ前提条件 . . . . . . . . . . . . . . . . . . . . . . . . 38 Panorama バーチャルアプライアンスのインストール. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 Panorama バーチャルアプライアンスの初期設定の実行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 Panorama バーチャルアプライアンスでのログストレージ容量の拡張. . . . . . . . . . . . . . . . . . 44 Panorama バーチャルアプライアンスのセットアップの完了 . . . . . . . . . . . . . . . . . . . . . . . . . . 47 M-Series アプライアンスのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 M-Series アプライアンスの初期設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 Panorama モードからログコレクタモードへの切り替え . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 M-Series アプライアンスのストレージの拡張 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 Panorama の登録とライセンスのインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 Panorama の登録. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 Panorama サポートライセンスのアクティベーション. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 Palo Alto Networks Panorama 7.0 管理者ガイド • 3 目次 Panorama バーチャルアプライアンスでのデバイス管理ライセンスのアクティベー ション / 取得 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 M-Series アプライアンスにおけるデバイス管理ライセンスのアクティベーション / 取得 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 Panorama のコンテンツ更新とソフトウェア更新のインストール . . . . . . . . . . . . . . . . . . . . . . . . . Panorama、ログコレクタ、およびファイアウォールのバージョン互換性. . . . . . . . . . . . . . HA 構成の Panorama にアップデートをインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Panorama からインターネットに接続できる場合の更新のインストール . . . . . . . . . . . . . . . Panorama からインターネットに接続できない場合の更新のインストール . . . . . . . . . . . . . 60 60 60 61 63 別の Panorama プラットフォームに移行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 Panorama バーチャルアプライアンスから M-Series アプライアンスへの移行 . . . . . . . . . . . 67 M-100 アプライアンスから M-500 アプライアンスに移行. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 Panorama 管理インターフェイスへのアクセスおよびナビゲート . . . . . . . . . . . . . . . . . . . . . . . . . Panorama Web インターフェイスへのログイン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Panorama Web インターフェイスへのナビゲート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Panorama CLI へのログイン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 73 73 74 Panorama への管理アクセスのセットアップ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 管理者ロールプロファイルの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . アクセスドメインの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 管理アカウントと認証の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 管理アカウントの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kerberos SSO、外部あるいはローカル認証を伴う管理者を設定 . . . . . . . . . . . . . . . . . . . . . . . 証明書ベースで Web インターフェイスへの認証を行う管理者を設定 . . . . . . . . . . . . . . . . . SSH キーベースで CLI への認証を行う管理者を設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 管理者認証での RADIUS ベンダー固有属性の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 76 77 77 78 79 80 81 82 ファイアウォールの管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 管理対象デバイスとしてのファイアウォールの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 デバイスグループの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . デバイスグループの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . デバイスグループの階層を作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 共有またはデバイスグループポリシーで使用するオブジェクトの作成 . . . . . . . . . . . . . . . 継承したオブジェクトの値を復元. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 未使用の共有オブジェクトの管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 継承したオブジェクトの優先度を管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ポリシールールあるいはオブジェクトを別のデバイスグループに移動 / コピー . . . . . . . Panorama で URL フィルタリングベンダーを選択. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ファイアウォールのサブセットにポリシールールをプッシュ . . . . . . . . . . . . . . . . . . . . . . . . ルール階層の管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 85 86 88 90 91 91 92 93 94 96 テンプレートおよびテンプレートスタックの管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 テンプレートの機能および例外 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 テンプレートの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 テンプレートスタックの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 テンプレート設定のオーバーライド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 テンプレート設定の無効化 / 削除. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 ファイアウォールを Panorama 管理に移行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 Panorama 管理への変更を計画. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 ファイアウォールを Panorama 管理に移行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 4 • Panorama 7.0 管理者ガイド Palo Alto Networks 目次 ファイアウォールの設定の一部を Panorama に読み込む . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 ユースケース : Panorama を使用してファイアウォールを構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 デバイスグループ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 テンプレート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 中央管理設定とポリシーのセットアップ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 ログ収集の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 管理対象コレクタの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122 コレクタグループの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 コレクタグループの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 ログコレクタを別のコレクタグループに移動 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 コレクタグループからのファイアウォールの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 Panorama へのログ転送の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132 Panorama へのログ転送の確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 ログ転送とバッファのデフォルトの変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 Panorama から外部の宛先へのログ転送を設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 ログ収集のデプロイメント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140 ログ収集デプロイ環境の計画 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140 専用のログコレクタを使用する Panorama のデプロイ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142 デフォルトのログコレクタを使用する Panorama のデプロイ. . . . . . . . . . . . . . . . . . . . . . . . . 147 ローカルログ収集を使用する Panorama バーチャルアプライアンスのデプロイ. . . . . . . . 153 ライセンスの管理と更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155 Panorama を使用したファイアウォールのライセンス管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156 Panorama を使用してファイアウォールおよびログコレクタにアップデートをデプロイ . . . 158 サポートされている更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158 Panorama を使用してコンテンツ更新のスケジュールを設定 . . . . . . . . . . . . . . . . . . . . . . . . . 159 Panorama がインターネットに接続されている状態で更新をログコレクタに デプロイ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159 Panorama がインターネットに接続されていない状態で更新をログコレクタに デプロイ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161 Panorama がインターネットに接続されている状態で更新をファイアウォールに デプロイ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 Panorama がインターネットに接続されていない状態で更新をファイアウォールに デプロイ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 ネットワークアクティビティのモニター. . . . . . . . . . . . . . . . . . . . . . . . . . .167 Panorama を使用した可視化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 ACC およびアプリケーションスコープを使用したネットワークのモニタリング . . . . . . 168 ログデータの分析 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170 レポートの生成、スケジュール設定、および電子メール送信 . . . . . . . . . . . . . . . . . . . . . . . 171 ユースケース : Panorama を使用したアプリケーションのモニタリング . . . . . . . . . . . . . . . . . . . 174 ユースケース : Panorama を使用してインシデントに対処 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 インシデントの通知 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 ACC でウィジットを確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179 脅威ログの確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180 Palo Alto Networks Panorama 7.0 管理者ガイド • 5 目次 WildFire ログの確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 データフィルタリングログの確認. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182 セキュリティルールの更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183 Panorama の高可用性. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 Panorama HA の前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186 HA 設定の Panorama での優先度とフェイルオーバー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187 フェイルオーバーのトリガー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189 HA ハートビートポーリングおよび Hello メッセージ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189 HA パスモニタリング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189 Panorama HA でのロギングに関する考慮事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191 Panorama バーチャルアプライアンスでのロギングのフェイルオーバー . . . . . . . . . . . . . . 191 M-Series アプライアンスのログのフェイルオーバー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192 Panorama HA ピア間の同期 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193 Panorama HA ペアの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Panorama での HA のセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Panorama HA フェイルオーバーのテスト. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Panorama のフェイルオーバーにより NFS ロギングが再開された後の優先度の 切り替え . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . プライマリ Panorama のアクティブ状態への復元 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194 194 196 197 198 Panorama の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199 設定バックアップファイルの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 設定ファイルのエクスポートのスケジュール設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Panorama およびファイアウォールの設定のバックアップを管理. . . . . . . . . . . . . . . . . . . . . Panorama に保存される設定バックアップファイルの数の設定. . . . . . . . . . . . . . . . . . . . . . . 管理対象ファイアウォールでの設定バックアップファイルのロード. . . . . . . . . . . . . . . . . 200 201 202 203 203 Panorama の設定変更の比較. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204 Panorama 設定の検証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 設定の変更へのアクセス制限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 設定ロックのタイプ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ロックを設定する場所 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ロックの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ロック所有者の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . コミットロックの自動実施の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ロックの解除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206 206 207 207 207 208 208 Panorama にカスタムロゴを追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209 Panorama のタスク完了履歴の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210 ログおよびレポートのストレージ割り当ておよび有効期間を管理. . . . . . . . . . . . . . . . . . . . . . . ログおよびレポートの保存 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ログおよびレポートの有効期間 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ログおよびレポートのストレージ割り当ておよび有効期間を構成 . . . . . . . . . . . . . . . . . . . 211 211 211 212 Panorama のモニタリング. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214 Panorama のシステムログと設定ログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214 SNMP を使用して Panorama およびログコレクタの統計を監視 . . . . . . . . . . . . . . . . . . . . . . 215 Panorama の再起動またはシャットダウン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218 Panorama のパスワードプロファイルおよび複雑性の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219 6 • Panorama 7.0 管理者ガイド Palo Alto Networks 目次 トラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221 Panorama システムの問題のトラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222 Panorama の診断ファイルの生成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222 Panorama がサスペンド状態になっている場合の診断. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222 ファイルシステム整合性チェックモニター . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222 ソフトウェア更新とコンテンツ更新が格納される Panorama ストレージの管理. . . . . . . . 223 Panorama HA デプロイ環境でのスプリットブレインからの回復. . . . . . . . . . . . . . . . . . . . . . 224 ログストレージと接続に関する問題のトラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . 225 Panorama ポートの使用状況の確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225 コレクタグループのログ保存エリアがゼロと表示される問題を解決する. . . . . . . . . . . . . 226 故障した M-Series アプライアンスのディスク交換 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226 Panorama ESXi サーバーの仮想ディスクを交換 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227 ログコレクタモードでログを新しい M-Series アプライアンスに移行 . . . . . . . . . . . . . . . . . 228 Panorama モードでログを新しい M-Series アプライアンスに移行 . . . . . . . . . . . . . . . . . . . . . 232 非 HA デプロイ環境の Panorama で障害 /RMA が発生した後にログを回復する . . . . . . . 237 M-Series アプライアンスの RAID ペアのメタデータを再生成 . . . . . . . . . . . . . . . . . . . . . . . . 240 RMA ファイアウォールの交換 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242 ファイアウォールの部分的なデバイス状態の生成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242 RMA ファイアウォール交換の前準備 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242 交換後のファイアウォール設定の復元. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244 コミット エラーのトラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247 登録あるいはシリアル番号のエラーのトラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . 248 レポートエラーのトラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249 タスクの成否の確認. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250 Palo Alto Networks Panorama 7.0 管理者ガイド • 7 目次 8 • Panorama 7.0 管理者ガイド Palo Alto Networks Panorama の概要 Panorama では、複数の Palo Alto Networks 次世代ファイアウォールを一元的に監視して、管理す ることが可能です。1 つの画面からすべてのアプリケーション、ユーザー、ネットワークを通過 するコンテンツを管理し、ここから得られる情報を使用してネットワーク全体を保護および制御 するアプリケーション有効化ポリシーを作成することができます。Panorama を使用してポリ シーとデバイスを中央管理すると、ファイアウォールの分散ネットワークを効率的に管理および 維持できます。 Panorama について Panorama プラットフォーム 設定および導入の中央管理について ログとレポートの中央管理 Panorama のコミット操作 ロールベースのアクセス制御 推奨される Panorama の導入 導入計画 Panorama の導入 : タスクの概要 Palo Alto Networks Panorama 7.0 管理者ガイド • 9 Panorama について Panorama の概要 Panorama について Panorama では、Palo Alto Networks 次世代ファイアウォールの中央管理を行うことができます(以 下の図を参照)。 Panorama を使用すれば、中央管理と必要に応じたローカル制御により、Palo Alto Networks ファイ アウォールを効果的に設定、管理、およびモニターできます。以下の 3 つの重要なエリアで Panorama の付加価値を得られます。 一元的な設定および導入 — ネットワーク上のファイアウォールの中央管理と迅速な導入を 簡略化するには、Panorama を使用して、導入のためにファイアウォールを事前に設定します。 次に、ファイアウォールをグループにまとめて、ネットワークおよびデバイスの基本設定を 適用する各種テンプレートを作成し、デバイスグループを使用して共有ポリシーとローカル ポリシールールをグローバルに管理できます。 「設定および導入の中央管理について」を参照 してください。 Aggregated logging with central oversight for analysis and reporting [ 分析およびレポートの中央 管理による集約ロギング ] — ネットワーク上のすべての管理対象ファイアウォールのアク ティビティに関する情報を収集して一元的に分析し、データの調査とレポートを行います。 このようにネットワークトラフィック、ユーザーアクティビティおよび関連タスクの包括的 なビューを提供することで、ネットワーク上のアプリケーションを安全に有効化できる豊富 なポリシー セットを使用して、潜在的な脅威に対応できるようになります。「ログとレポー トの中央管理」を参照してください。 分散管理 — グローバル / ローカルのファイアウォール設定およびポリシーへのアクセスを委 任または制限できます。分散管理での適切なアクセスレベルの委任の詳細は、ロールベース のアクセス制御を参照してください。 Panorama は、2 つのプラットフォーム(バーチャルアプライアンスと専用ハードウェアアプライ アンス)で使用できます。詳細は、「Panorama プラットフォーム」を参照してください。 10 • Panorama 7.0 管理者ガイド Palo Alto Networks Panorama の概要 Panorama プラットフォーム Panorama プラットフォーム Panorama は以下のプラットフォームで使用できます。どちらのプラットフォームでも、最大 25 台、100 台、または 1,000 台のファイアウォールを管理できる各ファイアウォール管理ライセン スをサポートしています。 Panorama virtual appliance [Panorama バーチャルアプライアンス ] — Panorama バーチャルアプラ イアンスは VMware ESXi サーバーあるいは VMware vCloud Air にインストールできます。この バーチャルアプライアンスでは、シンプルなインストールが可能で、バーチャル管理アプライ アンスを必要とするサイトのサーバー統合を容易に行うことができます。また、Network File Share(NFS)システムと統合してストレージを増やすことができ、2 TB を超えるログ保持機能 を達成できます。Panorama バーチャルアプライアンスは、ロギング率が最大 10,000 ログ / 秒の 環境に最適です。ファイアウォールログを Panorama バーチャルアプライアンス(ローカルログ 収集を使用する Panorama バーチャルアプライアンスのデプロイを参照)に直接転送するか、 Panorama バーチャルアプライアンスを使用して M-Series アプライアンスである専用ログコレク タを管理することができます(専用のログコレクタを使用する Panorama のデプロイを参照)。 M-Series appliance [M-Series アプライアンス ] — M-100 アプライアンスおよび M-500 アプライア ンスは、大規模なデプロイ環境向けの専用ハードウェアプラットフォームです。 (10,000 ログ / 秒を超える)ロギング率とログ保持要件の高い環境の場合、このアプリケーションを使用 することで、ログ収集インフラストラクチャのスケーリングが可能になります。どちらのア プライアンスも RAID を使用してファイアウォールログを保存し、またディスクエラーがあっ ても良いように RAID 1 ミラーリングをサポートしています。どちらのアプライアンスも、 Panorama およびログコレクタが生成するログの保存に SSD を使用します。冗長なホット ス ワップが可能な電源、および前面から背面へのエアフローがあるのは M-500 アプライアンス のみです。また、M-500 アプライアンスは高速なプロセッサと大きなメモリを備えているた め、パフォーマンスに優れています(例:高速なコミット)。こういった性質があるため、 M-100 アプライアンスよりも M-500 アプライアンスの方がデータセンターでの使用に向いて います。ログの保存容量および最大ログ収集速度はアプライアンスごとに異なります。 アプライアンス SSD ストレージ デフォルトの RAID ストレージ 最大 RAID ストレージ 最大ロギング率 M-100 アプライ 120GB アンス 2x ドライブ(合計 1TB) 8x ドライブ(合計 4TB) 30,000 ログ / 秒 M-500 アプライ 240GB アンス 8x ドライブ(合計 4TB) 16x ドライブ(合計 8TB)60,000 ログ / 秒 M-Series アプライアンスは次のモードでデプロイすれば、一元管理機能とログ収集機能を分離 することができます。 – Panorama モード : アプライアンスは、中央管理とログ収集の両方を実行します。これが デフォルトのモードです。設定の詳細についてはデフォルトのログコレクタを使用する Panorama のデプロイを参照してください。 – ログコレクタモード : アプライアンスは、専用ログコレクタとして機能します。複数の ファイアウォールが大量のログデータを転送する場合は、ログコレクタモードの M-Series アプライアンスにより、規模を拡大し、パフォーマンスを向上させることができます。こ のモードの場合、管理者アクセスを行うための Web インターフェイスがアプライアンス に無く、コマンドラインインターフェイス(CLI)のみを使用できます。ただし、アプラ イアンスの管理には Panorama 管理サーバーの Web インターフェイス(Panorama モードの M-Series アプライアンスまたは Panorama バーチャルアプライアンス)を使用できます。ロ グコレクタモードの M-Series アプライアンスに CLI でアクセスする必要があるのは、初 期セットアップ時およびデバッグ時のみです。設定の詳細については専用のログコレク タを使用する Panorama のデプロイを参照してください。 Palo Alto Networks Panorama 7.0 管理者ガイド • 11 Panorama プラットフォーム Panorama の概要 詳細情報と仕様については M-100 および M-500 のハードウェアリファレンスガイドをご覧く ださい。 プラットフォームは、バーチャルアプライアンスおよびログ収集の要件に合わせて選択します。 ログ収集レート プラットフォーム 最大 10,000 ログ / 秒 Panorama バーチャルアプライアンス 最大 30,000 ログ / 秒 M-100 アプライアンス 最大 60,000 ログ / 秒 M-500 アプライアンス 12 • Panorama 7.0 管理者ガイド Palo Alto Networks Panorama の概要 設定および導入の中央管理について 設定および導入の中央管理について Panorama では、デバイスグループとテンプレートを使用して、類似した設定を必要とする論理セッ トにファイアウォールをグループ化します。デバイスグループおよびテンプレートを使用し、す べての管理対象のファイアウォールのすべての設定要素、ポリシー、オブジェクトを一元管理で きます。また、Panorama ではライセンス、ソフトウェア(PAN-OS ソフトウェア、SSL-VPN クライ アントソフトウェア、GlobalProtect エージェント / アプリソフトウェア) 、およびコンテンツ更新 (アプリケーション、脅威、WildFire、およびアンチウイルス)を一元管理することもできます。 ファイアウォールと Panorama 間のコンテキスト切り替え テンプレートおよびテンプレートスタック デバイスグループ ファイアウォールと Panorama 間のコンテキスト切り替え Panorama Web インターフェイスでは、各タブの左上にある Context [ コンテキスト ] ドロップダウ ンメニューを使用して Panorama 中心のビューとファイアウォール中心のビューを切り替えるこ とができます。Context [ コンテキスト ] を Panorama に設定してファイアウォールを一元管理する か、コンテキストを特定のファイアウォールの Web インターフェイスに切り替えてローカルで 設定することができます。Panorama およびファイアウォールの Web インターフェイスは似てい るため、ファイアウォールを管理・監視するために両方を行き来しても違和感がありません。 Context [ コンテキスト ] ドロップダウンリストには Panorama に接続されているファイアウォール のみが表示されます。デバイスグループおよびテンプレート管理者の場合、その管理者に割り当 てられているアクセスドメイン内にある接続済みのファイアウォールのみがこのドロップダウ ンリストに表示されます。大きなリストを検索する際はドロップダウンリストからフィルターを 使用することができます。 高可用性(HA)構成のファイアウォールの場合、背景に色がついて HA 状態であることが分かりま す(次の通り) 。ファイアウォールのコンテキストを選択する際に HA の状態が分かっていると便 利です。例えば通常、アクティブファイアウォールでファイアウォール固有の設定変更を行います。 緑 — アクティブ。 黄色 — パッシブ、 またはファイアウォールが開始中 ( 起動後、 開始中状態が最大 60 秒継続します )。 赤 — ファイアウォールが非稼働状態 (エラー状態)、 サスペンド状態 (管理者がファイアウォー ルを無効にした )、または仮の状態 ( アクティブ / アクティブ HA 設定におけるリンクまたは パスのモニタリングイベント用 ) である。 テンプレートおよびテンプレートスタック テンプレートは、ネットワーク上でファイアウォールが動作するのに必要な設定を行うために使 用します。テンプレートを使用すれば、Panorama の [Network] および [Device] タブで共通の基本 設定を定義できます。たとえば、インターフェイスやゾーンの設定、ログおよび syslog アクセス 用のサーバープロファイル、ゾーンや IKE ゲートウェイへのアクセスを制御するネットワーク プロファイルなどをテンプレートを使用して管理できます。テンプレートを定義する際、ハード ウェアモデルが同じであり、類似するネットワークリソース(ゲートウェイや Syslog サーバーな ど)へのアクセスを必要とするファイアウォールを割り当てることを検討してください。 Palo Alto Networks Panorama 7.0 管理者ガイド • 13 設定および導入の中央管理について Panorama の概要 グループ固有の設定および各グループで共通の設定を共に持っているファイアウォールのグループ がネットワークに存在する場合、各グループについてファイアウォールをテンプレートスタックに 割り当てることで管理が簡単になります。テンプレートスタックはテンプレートの組み合わせです。 割り当てられたファイアウォールはスタック内のすべてのテンプレートから設定を継承します。こ れにより、各のテンプレートに同じ設定を何度も追加する必要がなくなります。次の図は、グロー バル設定を持つテンプレートが一つ、APAC 固有の設定をテンプレートが一つ、データセンター固有 の設定を持つテンプレートが一つあるスタックにアジア太平洋(APAC)地域にあるデータセンター ファイアウォールを割り当てる例を示しています。支店固有の設定を持つテンプレートを含む別の スタックにグローバルおよび APAC 固有のテンプレートを追加することで、それらを再度使用して APAC の支店でファイアーウォールを管理することができます。スタック内のテンプレートには設定 の優先順位があるため、重複した設定がある場合に Panorama が値を一つだけプッシュできるように なります。Panorama はスタック設定にリストアップされたテンプレートを上から順に(優先度が高 い順に)評価していきます。次の図は、データセンターテンプレートの優先度がグローバルテンプ レートよりも高いデータセンタースタックを示しています。Panorama はデータセンターテンプレー トからアイドルタイムアウトの値をプッシュし、グローバルテンプレートからの値を無視します。 図 : テンプレートスタック テンプレート(単体あるいはスタック)を使用して一部の共通の基本設定をすべてのファイア ウォールにプッシュし、個々のファイアウォールでデバイス固有の設定を行うことで、固有の設 定を持つファイアウォールを使用できるようになります。あるいは、より具体性の低い共通の基 本設定をプッシュし、プッシュされた特定の設定を個々のファイアウォールでデバイス固有の値 でオーバーライドすることもできます。設定をオーバーライドする際、ファイアウォールがその 設定をローカル設定に保存し、Panorama はその設定を管理しなくなります。オーバーライド後 にテンプレートの値を復元する場合、Panorama を使用してファイアウォールに対してテンプレー トの設定を強制することができます。例えば、テンプレートに共通の NTP サーバーを定義し、 ファイアウォールの NTP サーバーの設定をオーバーライドしてローカルのタイムゾーンに合わ せた後でも、テンプレートで定義された NTP サーバーに復元することができます。 14 • Panorama 7.0 管理者ガイド Palo Alto Networks Panorama の概要 設定および導入の中央管理について 仮想プライベートネットワーク(VPN)モード、複数仮想システムモード(マルチ vsys モード) 、お よび操作モード(ノーマル、連邦情報処理標準(FIPS)モード、あるいは情報セキュリティ国際評 価基準 [CC])といったファイアウォールのモードをテンプレートを使用して設定することはできま せん。詳細は、テンプレートの機能および例外を参照してください。しかし、非マッチングモー ドを持つファイアウォールを同じテンプレートあるいはスタックに割り当てることはできます。そ の場合、Panorama は、モード固有の設定を、そのモードをサポートするファイアウォールにのみ プッシュします。例外として、未設定あるいは仮想システムをサポートしていないファイアウォー ルにテンプレート内のデフォルトの vsys 設定をプッシュするよう、Panorama を設定することができ ます。 関連作業についてはテンプレートおよびテンプレートスタックの管理をご覧ください。 デバイスグループ Panorama を効果的に使用するには、ネットワーク内のファイアウォールをデバイスグループと 呼ばれる論理ユニットにグループ化する必要があります。デバイスグループを使用すれば、ネッ トワークのセグメント化、地理的なロケーション、組織の役割、あるいは類似のポリシー設定を 必要とする各ファイアウォールに共通するその他の要素に基づいてグループ化を行うことがで きます。デバイスグループを使用し、ポリシールールやそれらが参照するオブジェクトを設定す ることができます。共有ルールおよびオブジェクトを最上層に、デバイスグループ固有のルール およびオブジェクトをその配下に置くことで、デバイスグループを階層化することができます。 これにより、ファイアウォールがトラフィックを扱う方法を規定する各ルールを階層化すること ができます。例えば、一連の共有ルールを企業の利用規定として定義することができます。次 に、BitTorrent などのピアツーピアトラフィックへのアクセスを支社にのみ許可するために、 Panorama がその支社だけにプッシュするデバイスグループのルールを定義することができます (あるいは共有セキュリティルールを定義し、その支社のみを対象にします)。関連作業について はデバイスグループの管理をご覧ください。デバイスグループのコンセプトやコンポーネントの 詳細な説明は、以下のトピックでご確認いただけます。 デバイスグループの階層 デバイスグループポリシー デバイスグループオブジェクト デバイスグループの階層 デバイスグループの階層を作成を行えば、デバイスグループを最大 4 層から成るツリー構造に階 層化し、下位のグループに上位のグループの設定(ポリシールールおよびオブジェクト)を継承 させることができます。一番下のレベルのデバイスグループは、親、その親、またその親のデバ イスグループ(先祖)を持つことができます。一番上のレベルのデバイスグループは、子、孫、 曾孫のデバイスグループ(子孫)を持つことができます。すべてのデバイスグループは共有領域 (すべてのデバイスグループで共通する設定を格納する最上位層)から設定を継承します。 デバイスグループを階層化することで、冗長な設定作業を行うこと無く、共通するポリシー要件に 基づいて各デバイスを組織化することができます。例えば、最上層にすべてのファイアウォールに 共通するグローバルな設定を作成したり、役割固有の設定を持つデバイスグループを設定したり、 その配下にロケーション固有の設定を持つデバイスグループを設定したりすることができます。階 層構造を利用しなければ、Shared [ 共有 ] 以下の単一の層にあるすべてのデバイスグループに対して 役割固有の設定とロケーション固有の設定をどちらも行わなければならなくなります。 Palo Alto Networks Panorama 7.0 管理者ガイド • 15 設定および導入の中央管理について Panorama の概要 図 : デバイスグループ階層 デバイスグループの階層構造においてファイアウォールがポリシールールを評価する順序につ いてはデバイスグループポリシーをご覧ください。デバイスグループが先祖デバイスグループか ら継承したオブジェクトの値をオーバーライドする方法についてはデバイスグループオブジェ クトをご覧ください。 デバイスグループポリシー デバイスグループを使用すると、管理対象ファイアウォールのネットワーク全体のポリシーを管理 する階層的な手段を実装できます。ファイアウォールは、層(共有、デバイスグループ、および ローカル)ごとに、種類(プレルール、ポストルール、およびデフォルトルール)ごとに次の順序 で上から順番にポリシールールを評価します。ファイアウォールはトラフィックを受け取ると、そ のトラフィックにマッチする最初に評価したルールで定義されているアクションを実行し、それ以 降のルールはすべて無視します。特定の層、タイプ、ルールベース(例:共有セキュリティプレ ルール)であるルールの評価順序を変える場合はルール階層の管理をご覧ください。 評価順序 ルール範囲と説明 管理プラットフォーム 共有プレルール Panorama はすべてのデバイスグループ これらのルールはファイアウォール上 に表示されますが、管理は Panorama で の全ファイアウォールに共有プレルー デバイスグループの しか行えません。 ルをプッシュします。 Panorama は特定の プレルール デバイスグループおよびその子孫デバ イスグループのすべてのファイア ウォールにデバイスグループ固有のプ レルールをプッシュします。 ファイアウォールがデバイスグループ の階層構造において複数の層にあるデ バイスグループからルールを継承する 場合、上位から下位へとプレルールを評 価します。そのため、ファイアウォール はまず共有ルールを評価し、子孫を持た ないデバイスグループのルールを最後 に評価することになります。 プレルールを使用すれば、組織の利用規 約に対する遵守を徹底させることがで きます。例えば、プレルールによって特 定の URL カテゴリへのアクセスをブ ロックしたり、すべてのユーザーの DNS (Domain Name System)トラフィックを許 可したりする場合があり得ます。 16 • Panorama 7.0 管理者ガイド Palo Alto Networks Panorama の概要 評価順序 設定および導入の中央管理について ルール範囲と説明 管理プラットフォーム ロ ー カ ル フ ァ イ ア ロ ー カ ル ル ー ル は、単 体 の フ ァ イ ア ローカルのファイアウォール管理者ま ウォールのルール ウォールあるいは仮想システム(vsys) たはローカルファイアウォールコンテ に固有のものです。 キストに切り替えた Panorama 管理者 が、ローカルファイアウォールルールを 編集できます。 デバイスグループの Panorama はすべてのデバイスグループ これらのルールはファイアウォール上 ポストルール の 全 フ ァ イ ア ウ ォ ー ル に 共 有 ポ ス ト に表示されますが、管理は Panorama で ルールをプッシュします。Panorama は特 しか行えません。 共有ポストルール 定のデバイスグループおよびその子孫 デバイスグループのすべてのファイア ウォールにデバイスグループ固有のポ ストルールをプッシュします。 ファイアウォールがデバイスグループ の階層構造において複数の層にあるデ バイスグループからルールを継承する 場合、下位から上位へとポストルールを 評価します。そのため、ファイアウォー ルはまず子孫を持たないデバイスグ ループのルールを評価し、共有ルールを 最後に評価することになります。 通 常、ポ ス ト ル ー ル に は、App-ID、 User-ID、またはサービスに基づいてトラ フィックへのアクセスを拒否するルー ルが含まれます。 イ ン ト ラ ゾ ー ン デ デフォルトルールはセキュリティルー デフォルトルールは事前定義済みの設 フォルト ルベースにのみ適用され、Panorama(共 定の一部であるか、Panorama によって ファイアウォールにプッシュされた 有レベル)およびファイアウォール(各 インターゾーンデ ルールであるため、最初は読み取り専用 vsys において)で事前に定義されていま フォルト す。これらのルールは、他のあらゆる になっています。ただし、タグ、アク ルールにマッチしないトラフィックを ション、ログ記録、およびセキュリティ プロファイルのルール設定はオーバー PAN-OS が扱う方法を規定します。 イントラゾーンデフォルトルールはあ ライドできます。ルールをオーバーライ るゾーンにおけるすべてのトラフィッ ドできるレベルは、デバイスコンテキス クを許可します。インターゾーンデフォ トによって決まります。 ルトルールはゾーン間におけるすべて • Panorama — 事前に定義された設定の 一部であるデフォルトルールを共有 のトラフィックを拒否します。 あるいはデバイスグループレベルで デフォルトルールをオーバーライドす オーバーライドできます。 ると、その優先順序が下位から上位の順 になります。すなわち、ファイアウォー • Firewall — ファイアウォールあるいは ルレベルでオーバーライドされた設定 vsys で事前に定義された設定の一部で は、デバイスグループレベルの設定より あ る デ フ ォ ル ト ル ー ル、あ る い は も優先されることになり、共有レベルの Panorama が共有領域あるいはデバイス 設定よりも優先度が高くなります。 グループからプッシュしたデフォルト ルールをオーバーライドできます。 ルールをファイアウォールあるいは Panorama のどちらで表示するかに関わらず、ルールは評価 順で Web インターフェイスに表示されます。すべての共有ルール、デバイスグループルール、お よびファイアウォールが Panorama から継承するデフォルトのルールは緑色で表示され、ローカ ルのファイアウォールのルールはプレルールとポストルールの間に青色で表示されます。 Palo Alto Networks Panorama 7.0 管理者ガイド • 17 設定および導入の中央管理について Panorama の概要 図 : ルールの階層構造 デバイスグループオブジェクト オブジェクトは、ポリシールールが参照する設定要素です。例えば、IP アドレス、URL カテゴ リ、セキュリティプロファイル、ユーザー、サービス、アプリケーションなどです。あらゆるタ イプのルール(プレルール、ポストルール、デフォルトルール、ファイアウォールのローカルで 定義されたルール)およびあらゆるルールベース(セキュリティ、NAT、QoS、ポリシーベース の転送、復号化、アプリケーションオーバーライド、キャプティブポータル、および DoS 保護) がオブジェクトを参照できます。デバイスグループの階層のオブジェクトと同じ範囲を持つルー ルであれば、いくらでもオブジェクトを再利用できます。例えばオブジェクトを共有領域に追加 する場合、あらゆるデバイスグループは共有領域からオブジェクトを継承するため、階層構造中 のすべてのルールがその共有オブジェクトを参照することができます。オブジェクトを特定のデ バイスグループに追加する場合、そのデバイスグループおよびその子孫デバイスグループのルー ルだけがデバイスグループオブジェクトを参照できます。デバイスグループのオブジェクトの値 を、先祖デバイスグループから継承された値以外のものにしなければならない場合は継承したオ ブジェクトの値をオーバーライドします。を行います。また、いつでも継承したオブジェクトの 値を復元を行うことができます。共有またはデバイスグループポリシーで使用するオブジェクト の作成を一度行って何度も使用すれば、管理面のオーバーヘッドを軽減し、各ファイアウォール ポリシーの一貫性を保つことができます。 システム全体で Panorama が共有オブジェクトを処理する方法を設定できます。 Pushing unused objects [ 未使用のオブジェクトをプッシュ] — 共有あるいはデバイスグループ のポリシールールがそのオブジェクトを参照しているかどうかに関わらず、Panorama はデ フォルトですべての共有オブジェクトをファイアウォールにプッシュします。任意で、参照 されているオブジェクトのみを Panorama がプッシュするように設定することもできます。詳 細は、未使用の共有オブジェクトの管理を参照してください。 Precedence of ancestor and descendant objects [ 先祖および子孫オブジェクトの優先度 ] — デバ イスグループデフォルト設定では、階層構造における複数の階層にあるデバイスグループが 同じ名前のオブジェクトを持っていながら値が異なっている(例えばオーバーライドにより) 場合、子孫デバイスグループのポリシールールは先祖デバイスグループあるいは共有から継 承したオブジェクトの値ではなく、その子孫のオブジェクトの値を使用します。また、任意 でこの優先度を逆にして、オブジェクトを含有する共有あるいはトップレベルの先祖の値を すべての子孫デバイスグループにプッシュすることもできます。詳細は、継承したオブジェ クトの優先度を管理を参照してください。 18 • Panorama 7.0 管理者ガイド Palo Alto Networks Panorama の概要 ログとレポートの中央管理 ログとレポートの中央管理 Panorama では、すべての管理対象ファイアウォールからデータを集約し、ネットワーク上のす べてのトラフィックを可視化できます。また、管理対象ファイアウォールに対して行われたすべ てのポリシーおよび設定の変更に関する監査証跡も実行できます。Panorama では、ログを集約 するだけでなく、SNMP (Simple Network Management Protocol) トラップ、電子メール通知、および Syslog メッセージを集約して、外部の宛先に転送することができます。 Panorama のアプリケーションコマンドセンター (ACC) とアプリケーションスコープアプリケー ションの単一のペインを使用して、すべてのファイアウォールに対する一元的なレポートを生成 できます。これにより、一元的にネットワークアクティビティのモニターを行い、トラフィック やセキュリティインシデントを分析、調査、報告できるようになります。Panorama では、ログを 表示したり、Panorama または管理対象ログコレクタ(設定されている場合)に転送されるログか らレポートを生成したり、管理対象ファイアウォールに直接クエリを発行したりできます。たと えば、Panorama(および管理対象コレクタ)に保存されているログに基づいて、または管理対象 ファイアウォールにローカルに保存されているログにアクセスして、管理対象ネットワーク内の トラフィック、脅威、および / またはユーザーアクティビティに関するレポートを生成できます。 Panorama へのログ転送の設定を行わない場合、管理対象ファイアウォールごとにレポートの実 行スケジュールを設定して、結果を Panorama に転送することで、ユーザーアクティビティおよ びネットワークトラフィックの統合ビューを得られます。このビューでは、特定のデータおよび アクティビティへの詳細なドリルダウンを実行することはできませんが、統一されたレポートの アプローチは提供されます。 ログオプション 管理対象コレクタおよびコレクタグループ 複数のログコレクタを含むコレクタグループに関する注意事項 一元的なレポート ログオプション Panorama バーチャルアプライアンスと M-Series アプライアンスのどちらも、管理対象ファイア ウォールから転送されたログを収集できます。その後、Panorama から外部の宛先へのログ転送 を設定(Syslog サーバー、電子メールサーバー、または SNMP(Simple Network Management Protocol) トラップサーバー)を行うことができます。ログオプションは、Panorama プラットフォームご とに異なります。 PA-7000 シリーズファイアウォールは、ログを Panorama に転送できず、外部サービスにのみ 直接転送できます。ただし、PA-7000 シリーズファイアウォールを含むデバイスグループのロ グをモニターしたり、レポートを生成したりする場合、Panorama はリアルタイムにファイア ウォールをクエリしてそのログデータを表示します。 Panorama プラットフォーム ログオプション バーチャルアプライアンス 次の 3 つのログオプションが用意されています。 • バーチャルアプライアンスのインストール直後から、ログ用に割り当てら れた 10.89GB の内部ストレージ領域を使用する。 • 最大で 2 TB のストレージをサポートする仮想ディスクを追加する。 • Network File System(NFS)データストアをマウントして、ログ用のスト レージ容量を設定する。 Palo Alto Networks Panorama 7.0 管理者ガイド • 19 ログとレポートの中央管理 Panorama の概要 Panorama プラットフォーム ログオプション M-Series アプライアンス 初期状態で M-100 アプライアンスには合計 1TB のストレージ容量がある 2 つ のディスクが含まれています。M-500 アプライアンスの場合、4TB のスト レージ容量がある 8 つのディスクが初期状態で含まれています。どちらのア プライアンスも RAID 1 を使用してディスクエラーによるリスクを回避しま す。M-100 アプライアンスは 4TB まで、M-500 アプライアンスは 8TB まで、 M-Series アプライアンスのストレージの拡張を行うことができます。M-Series アプライアンスが Panorama モードの場合、RAID ディスクを有効にし、これ らのディスクをデフォルトのログコレクタとして使用できます。M-Series ア プライアンスがログコレクタモードの場合(専用のログコレクタ)、Panorama を使用して、この専用のログコレクタにファイアウォールを割り当てること ができます。複数の専用ログコレクタアプライアンスを使用するデプロイ環 境では、Panorama はすべての管理対象ログコレクタにクエリを発行して、ト ラフィックの集約ビューおよび統一レポートを生成します。単一の Panorama から始めて、ニーズの拡大に合わせて専用のログコレクタを段階的に追加す ることで、簡単にスケーリングできます。 管理対象コレクタおよびコレクタグループ ログコレクタは、ローカルで Panorama モードの M-Series アプライアンス(デフォルトのログコ レクタ)を使用するか、ログコレクタモードの M-Series アプライアンス(専用のログコレクタ) のどちらかを設定することができます。ログコレクタは Panorama を使用して設定および管理す るため、ログコレクタのことを管理対象コレクタと呼ぶこともあります。専用のログコレクタ は、Panorama モードの M-Series アプライアンスまたは Panorama バーチャルアプライアンスで管 理できます。Panorama Web インターフェイスを使用して専用のログコレクタを管理するには、専 用のログコレクタを管理対象コレクタに追加する必要があります。そうしない場合、専用ログコ レクタへの管理アクセスは、デフォルトの管理ユーザー(admin)アカウントを使用した CLI 経 由のアクセスでのみ行うことができます。専用ログコレクタでは、管理ユーザーアカウントを追 加できません。 コレクタグループは、単一の論理ログ収集ユニットとして動作する 1 つ以上の管理対象コレクタ です。コレクタグループに専用のログコレクタが含まれていると、各ログコレクタのすべての ディスク間およびコレクタグループ内のすべてのメンバー間でログが均一に分散されます。これ により、使用可能なストレージ領域を最大限に活用できます。ログコレクタを管理するには、ロ グコレクタをコレクタグループに追加する必要があります。複数のログコレクタを単体のコレク タグループに割り当てる場合は複数のログコレクタを含むコレクタグループに関する注意事項 をご覧ください。 コレクタグループ設定で、グループ内のログコレクタにログを送信できる管理対象ファイア ウォールを指定します。ログコレクタを設定し、ファイアウォールでログの転送を有効にする と、各ファイアウォールは割り当てられたログコレクタにログを送信します。 管理対象コレクタとコレクタグループは、Panorama の分散ログ収集のデプロイ環境に不可欠で す。分散ログ収集デプロイ環境は、スケーラビリティが高く、ログのニーズの拡大に合わせて専 用のログコレクタを段階的に追加できます。Panorama モードの M-Series アプライアンスでは、ま ずデフォルトのコレクタグループにログを記録し、その後、専用のログコレクタを含む 1 つ以上 のコレクタグループを備えた専用の分散ログ収集デプロイ環境に拡張できます。 ログコレクタおよびコレクタグループを設定する方法についてはコレクタグループの管理をご 覧ください。 20 • Panorama 7.0 管理者ガイド Palo Alto Networks Panorama の概要 ログとレポートの中央管理 複数のログコレクタを含むコレクタグループに関する注意事項 複数のログコレクタを持つコレクタグループの管理を行い、ログの冗長性を確保する、あるいは 単一のログコレクタのキャパシティを超えるロギング率を達成することができます(Panorama プラットフォームを参照) 。たとえば、ある 1 つの管理対象ファイアウォールで 16 TB のログを 生成する場合、そのログを受信するコレクタグループには少なくとも、M-100 アプライアンスで ある 4 つのログコレクタ、あるいは M-500 アプライアンスである 2 つのログコレクタが必要にな ります。 複数のログコレクタが含まれているコレクタグループは使用可能なストレージスペースを単一 の論理ユニットとして使用し、ログコレクタ全体にかけてログを均等に分散します。ログの分散 は、ログコレクタのディスク容量(ディスクペア数および M-Series のプラットフォームに応じて 1 TB ~ 8TB)と、ログを所有してディスクに書き込むログコレクタを動的に決定するハッシュ アルゴリズムに基づいて行われます。Panorama では、設定リストを使用して、管理対象ファイ アウォールにログを転送できる各ログコレクタの優先順位を設定しますが、ログは必ずしも設定 リストで最初に指定されたログコレクタに書き込まれるわけではありません。たとえば、以下の 設定リストを考えます。 管理対象ファイアウォール コレクタグループで定義されているログ転送の設定リスト FW1 L1、L2、L3 FW2 L4、L5、L6 このリストを使用すると、 FW1 はプライマリログコレクタである L1 にログを送信しますが、 ハッ シュ アルゴリズムによって、ログが L2 に書き込まれることが決定される場合があります。L2 が アクセスできなくなった場合や、シャーシに障害が発生した場合でも、FW1 はプライマリログ コレクタである L1 に接続できるため、その障害は FW1 に通知されません。 コレクタグループに 1 つのログコレクタのみが設定されている場合、そのログコレクタに障害が 発生すると、ファイアウォールはログを自身の HDD/SSD(使用可能なストレージスペースは ハードウェアモデルによって異なる)に保存し、接続が復元されたらすぐに、障害が発生してロ グの転送が停止した時点からログコレクタへのログの転送を再開します。 コレクタグループに複数のログコレクタがある場合、プライマリログコレクタに接続できれば、 ファイアウォールはログを自身のローカルストレージにバッファしません。そのため、FW1 は L1 にログを送信し続けます。L2 は使用できないため、プライマリログコレクタ L1 は、ログを 自身の HDD(10 GB のログスペース)にバッファします。L2 が使用できない状態が続き、L2 の ために保留になっているログが 10 GB を超えると、L1 はログを続行するために古いログエント リを上書きします。このような場合、ログの損失が発生する可能性があります。 Palo Alto Networks Panorama 7.0 管理者ガイド • 21 ログとレポートの中央管理 Panorama の概要 コレクタグループ内で複数のログコレクタを使用する場合は、以下のリスク軽減策をお勧めしま す。 コレクタグループの管理を行う際、ログ冗長性を有効化します。これにより、コレクタグルー プのいずれかのログコレクタが利用できなくなった際にログが失われなくなります。各ログ のコピーが 2 つ作成され、それぞれ異なるログコレクタに保存されます。 冗長性を有効にすると、作成されるログが多くなるため、この設定には、より大きなス トレージ容量が必要です。コレクタグループの容量が不足すると、古いログが削除され ます。 冗長性を有効にすると、コレクタグループ内のログ処理トラフィックが 2 倍になり、最 大ロギング率が半分になります。各ログコレクタが、受信する各ログのコピーを配信す る必要があるためです。 ログコレクタの障害が発生した場合に迅速な置換を可能するため、オンサイト スペア(OSS) を取得します。 ログを Panorama に転送するだけでなく、バックアップ ストレージとして外部サービスへの転 送を設定します。外部サービスとして、Syslog サーバー、電子メールサーバー、または SNMP (Simple Network Management Protocol)トラップサーバーがあります。 一元的なレポート Panorama は、すべての管理対象ファイアウォールからログを集約し、その集約データをレポー トできます。これにより、ネットワークインフラストラクチャ全体のアプリケーションの使用、 ユーザーアクティビティ、およびトラフィック パターンのグローバル ビューを得られます。ファ イアウォールが Panorama に追加されるとすぐに、ネットワークを通過するすべてのトラフィッ クを ACC に表示できます。ログが有効になっている場合、ACC のログエントリをクリックする と、アプリケーションに関する詳細に直接アクセスできます。 Panorama では、レポートを生成する際に、ローカル Panorama データベースと管理対象リモート ファイアウォールの 2 つのソースを使用します。Panorama データベースは、サマリーログとい くつかの詳細ログを保存するために割り当てられた Panorama 上のローカルストレージを参照し ます。分散ログ収集デプロイ環境では、Panorama データベースに、Panorama およびすべての管 理対象ログコレクタのローカルストレージが含まれます。Panorama では、すべての管理対象ファ イアウォールから 15 分間隔で収集された情報(トラフィック、アプリケーション、脅威)が要 約されます。ローカル Panorama データベースを使用すると応答時間が短縮されますが、ログを Panorama に転送しない場合でも、Panorama はリモートファイアウォールに直接アクセスして、管 理対象ファイアウォールにローカルに保存されているデータのレポートを実行できます。 22 • Panorama 7.0 管理者ガイド Palo Alto Networks Panorama の概要 ログとレポートの中央管理 Panorama には、そのまま使用できる 40 以上の事前定義済みレポートが用意されています。また、 これらのレポートを他のレポートの要素と組み合わせてカスタマイズし、保存可能なカスタム レポートおよびレポートグループを生成できます。レポートは、要求時や定期的なスケジュール で生成できます。また、電子メール配信用にスケジュール設定することもできます。これらのレ ポートには、ユーザーやコンテキストの情報が含まれているため、イベントを相関させたり、パ ターン、傾向、および関心のある潜在的なエリアを識別したりできます。ログおよびレポートへ の統合的なアプローチにより、ACC は同じイベントに関連する複数のログエントリを相関させ ることができます。 詳細は、「ネットワークアクティビティのモニター」を参照してください。 Palo Alto Networks Panorama 7.0 管理者ガイド • 23 Panorama のコミット操作 Panorama の概要 Panorama のコミット操作 Panorama で設定を編集するとき、実際には、候補設定ファイルを変更します。候補設定は、現 在アクティブな設定のコピー、および前回のコミット後に加えた変更から成ります。Panorama Web インターフェイスには、すべての設定変更が即座に表示されます。ただし、変更がコミット されるまで、変更は行われません。コミット プロセスは、候補設定ファイル内の変更を検証し、 Panorama に実行中の設定として保存します。 何らかのシステムイベントあるいは管理者のアクションによって Panorama が再起動すると、 前回のコミット後に加えた変更がすべて失われます。コミットせずに変更を保持するには、Web インターフェイスの右上にあるSave [保存]を定期的にクリックして候補設定のスナップショッ トを保存しておきます。そうすれば再起動が行われてもスナップショットに切り替えることが できます。現在実行中の設定および候補設定をバックアップして復元する方法については Panorama およびファイアウォールの設定のバックアップを管理をご覧ください。 Panorama でコミットを行う際、次のタイプのいずれかを選択します。 コミット オプション 内容 Panorama 現在の候補設定への変更を、Panorama で実行中の設定にコミットします。設定更新(テ ンプレートまたはデバイスグループ)を管理対象ファイアウォールまたはコレクタグ ループにコミットする前に、まず、Panorama で変更をコミットする必要があります。 テンプレート 選択したファイアウォールに Panorama テンプレートあるいはテンプレートスタッ クのネットワークおよびデバイス設定をコミットします。 デバイスグループ Panorama で設定したポリシーとオブジェクトを、選択したファイアウォール / 仮想 システムにコミットします。 コレクタグループ Panorama が管理する指定したコレクタグループに変更をコミットします。 コミットすると、Panorama により、設定全体が管理対象ファイアウォールあるいはログコレク タにプッシュされます。コミットが完了すると結果が表示されます。Commit succeeded [ コミット 成功 ] あるいは Commit succeeded with warnings [ コミット成功(警告あり)]。 ファイアウォール上でローカルコミットを実行中の場合、Panorama はファイアウォールへの デバイスグループあるいはテンプレートのコミットを実行できません。ローカルコミットは手 動(Commit [ コミット ] をクリック ) あるいは自動で行えます。コンテンツバージョン(例: WildFire のバージョン)をダウングレードした際、あるいはアドレスオブジェクト、FQDN、ま たはダイナミック ブロック リストを更新した際は PAN-OS が自動コミットを行います。 他にも、以下のオプションをコミット時に選択できます。 Preview Changes [ 変更をプレビュー ] — このオプションは Commit Type [ コミットタイプ ] Panorama の場合に使用できます。これにより、Panorama > Config Audit [Panorama > 設定監査 ] が の 機能と同じように候補設定と現在アクティブな設定を比較することができます(Panorama の 設定変更の比較を参照)。Preview Changes [ 変更をプレビュー ] をクリックした後、コンテキス トに含める行数を選択して OK をクリックします。 Validate Changes [ 変更を検証 ] — このオプションは Commit Type [ コミットタイプ ] が Panorama、 Template [ テンプレート ]、あるいは Device Group [ デバイスグループ ] の場合に使用できます。 これにより、コミット前に Panorama 設定の検証を行うことができます。 — このオプションは、Panorama からデバイスグ ループをコミットするときに使用できます。デバイスグループとテンプレートあるいはテン プレートスタックの両方の変更を、1 回のコミット操作で選択したファイアウォールにコミッ トできます。デフォルトで、このチェックボックスはオンになっています。別個の操作とし て変更をコミットする場合は、このチェックボックスをオフにしてください。 デバイスおよびネットワークテンプレートを含める 24 • Panorama 7.0 管理者ガイド Palo Alto Networks Panorama の概要 Panorama のコミット操作 Force Template Values [テンプレートの値を適用] —テンプレートあるいはデバイスグループのコ ミットを実行する場合、Force Template Values [ テンプレートの値を適用 ] オプションを選択す ると、すべてのローカル設定がオーバーライドされ、選択したファイアウォールまたは仮想 システム上のオブジェクトのうち、テンプレートあるいはテンプレートスタックに存在しな いか、ローカル設定でオーバーライドされたオブジェクトが削除されます。このオーバーラ イドにより、管理対象ファイアウォール上の既存の設定すべてが元に戻り、ファイアウォー ルはテンプレートあるいはテンプレートスタックで定義されている設定のみを継承するよう になります。 [ 候補設定とのマージ ] — このオプションを有効にすると、Panorama の設定変更を、ターゲット ファイアウォール上にローカルに実行された保留中の設定変更と マージしてコミットできます。このオプションが無効な場合、ファイアウォール上の候補設 定はコミット操作から除外されます。ファイアウォール管理者にファイアウォール上で直接、 設定を変更することを許可していて、Panorama から変更をコミットするときにそれらの変更 を含めない場合は、 ベスト プラクティスとしてこのオプションを無効のままにしておきます。 もう 1 つのベスト プラクティスとして、Panorama の設定監査機能を使用して、ローカルに定 義された設定変更をレビューしてから、Panorama でコミットを発行する方法があります (「Panorama の設定変更の比較」を参照)。 Merge with Candidate Config Palo Alto Networks Panorama 7.0 管理者ガイド • 25 ロールベースのアクセス制御 Panorama の概要 ロールベースのアクセス制御 ロールベースのアクセス制御(RBAC)では、管理ユーザー(管理者)の権限および役割を定義 できます。各管理者はロールおよび認証方法を指定するユーザーアカウントを持っていなけれ ばなりません。管理ロールは Panorama やファイアウォールが関わる特定の設定、ログ、および レポートへのアクセスを定義します。デバイスグループおよびテンプレート管理者の場合、アク セスドメインにロールをマッピングし、特定のデバイスグループ、テンプレート、およびファイ アウォールへのアクセスを定義できます(コンテキスト切り替えによる)。各アクセスドメイン を一つのロールに統合することで、組織の各部門・担当地域ごとに利用できる情報を厳密に区別 することができます。例えば、データセンターのファイアウォールについてはアクティビティを 監視でき、テスト ラボのファイアウォールについてはポリシーを設定できるなど、管理者に制 限を与えることができます。デフォルト設定では、すべての機能領域、デバイスグループ、テン プレートおよびファイアーウォールに対する読込・書込の全権限(スーパーユーザーアクセス) を与える定義済みの管理者アカウント(admin)がすべての Panorama アプライアンス(バーチャ ルアプライアンスあるいは M-Series アプライアンス)に備わっています。各管理者に対し、パス ワード複雑性設定、パスワードプロファイル、および Panorama がユーザーの認証情報を検証す る方法を規定する認証プロファイルを定義することができます。 デフォルトのアカウントをすべての管理者に対して使用するのではなく、Panorama の管理機 能またはレポート機能に対するアクセス権を必要とするユーザーごとに別個の管理アカウント を作成するようお勧めします。これにより、無権限での設定変更から保護する能力を高め、 Panorama が各管理者のアクションを特定し、ログに記録できるようになります。 管理ロール 認証プロファイルと認証シーケンス アクセスドメイン 管理認証 管理ロール 組織内でのセキュリティ要件、組織に統合できる既存の認証サービス、および必要な管理ロール に応じて管理者アカウントを設定します。ロールにより、管理者が利用できるシステムへのアク セス権のタイプを定義します。組織のセキュリティ要件に応じて、アクセスを柔軟に定義および 制限できます。たとえば、データセンター管理者にはすべてのデバイスおよびネットワーク設定 へのアクセスを許可し、セキュリティ管理者にはセキュリティポリシー定義の制御のみを許可 し、他の主要なユーザーには CLI または XML API アクセスを制限することができます。以下の ロールタイプがあります。 ダイナミック ロール — Panorama および管理対象デバイスへのアクセス権を付与する組み込 みのロール。新しい機能が追加されると、Panorama によってダイナミック ロールの定義が自 動的に更新されます。ユーザーが手動で更新する必要はありません。次の表に、ダイナミッ ク ロールに関連付けられたアクセス権限の一覧を示します。 ダイナミック ロール 権限 スーパーユーザー Panorama に対する読み取り / 書き込みのフルアクセス権 スーパーユーザー (読み取り専用) Panorama に対する読み取り専用アクセス権 26 • Panorama 7.0 管理者ガイド Palo Alto Networks Panorama の概要 ロールベースのアクセス制御 ダイナミック ロール 権限 Panorama 管理者 Panorama に対するフルアクセス権。ただし、以下のアクションを除きます。 • Panorama またはデバイスの管理者およびロールを作成、変更、削除する。 • [Device] > [ セットアップ ] > [ 操作 ] ページから設定をエクスポート、検証、保 存、ロード、インポートする、または設定を元に戻す操作を実行する。 • [Panorama] タブで、[ スケジュール設定された設定のエクスポート ] 機能を設定 する。 管理ロールプロファイル — Web インターフェイス、CLI、または XML API のさまざまな機能 エリアへのアクセスをよりきめ細かく制御するには、カスタムロールを作成します。新しい 機能が製品に追加されたら、それぞれのアクセス権限を持つロールを更新する必要がありま す。Panorama が自動的に新しい機能をカスタムロール定義に追加することはありません。管 理者ロールプロファイルの設定を行う際、次のプロファイルタイプのいずれかを選択します。 管理者ロールプロファイル 内容 Panorama このロールでは、スーパーユーザーダイナミック ロールで使用可能なすべての Panorama 機能(ただし、Panorama 管理者および Panorama ロールの管理を除く) に対して、読み書きアクセス権または読み取り専用アクセス権を付与できま す。また、これらの機能に対するアクセス権を一切与えない(アクセス権なし) ようにすることもできます。Panorama 管理者および Panorama ロールの管理機 能については、読み取り専用アクセス権を付与するか、アクセス権なしにする ことはできますが、読み書きアクセス権を付与することはできません。 Panorama ロールは、たとえば、Panorama のセキュリティポリシー定義、ログ、 レポートにアクセスする必要があるセキュリティ管理者に割り当てます。 デバイスグループと テンプレート そのようなロールについては、デバイスグループ、テンプレート、およびファ イアウォールに関わる特定の機能領域への読込・書込権限あるいは読込のみの 権限を付与したり、アクセス権を一切与えないようにしたりすることも可能で す。これらのロールをアクセスドメインと統合することで、組織の各部門・担 当地域ごとに利用できる情報を厳密に区別することができます。デバイスグ ループおよびテンプレートには次のような制限があります。 • CLI または XML API に対するアクセス権は付与されない • 設定またはシステムログに対するアクセス権は付与されない • VM 情報ソースに対するアクセス権は付与されない • Panorama タブでは、次の項目へのアクセスが制限されます。 • デバイス デプロイ機能(読込・書込、読込のみ、あるいは権限なし) • 管理者アカウントで指定されたデバイスグループ(読込・書込、読込の み、あるいは権限なし) • 管理者アカウントで指定されたテンプレートおよび管理対象のデバイ ス(読込のみ、あるいは権限なし) このロールは、たとえば、特定のデバイスグループおよび(または)テンプ レート用の Web インターフェイスのデバイスおよびネットワーク設定エリア にアクセスする必要のある操作担当の管理者に割り当てます。 Palo Alto Networks Panorama 7.0 管理者ガイド • 27 ロールベースのアクセス制御 Panorama の概要 認証プロファイルと認証シーケンス 認証プロファイルは、ログイン時に管理者の認証情報を検証する認証サービスを指定し、 Panorama がサービスにアクセスする方法を定義します。Panorama にローカル管理者アカウント を作成する場合、ローカルデータベースに対して管理者を認証できるほか、外部サービス (RADIUS、TACACS+、LDAP、Kerberos サーバー)あるいは Kerberos シングル サインオン(SSO) を使用することもできます。外部サービスを利用する場合は、管理者ロールプロファイルの設定 を行う前にサーバープロファイルを設定する必要があります。アカウント管理(ローカルアカウ ントを作成する代わりに)および認証の両方で外部サービスを使用する場合、管理者認証での RADIUS ベンダー固有属性の設定を行う必要があります。 一部の環境では、異なるユーザーおよびユーザーグループを対象とした複数のデータベースが存 在します。複数の認証ソース(ローカルデータベースと LDAP など)に認証を行う場合は、認証 シーケンスを設定します。認証シーケンスとは、ログイン時に管理者を照合する認証プロファイ ルの順序のことです。Panorama は、管理者が正常に認証されるまで、最初にローカルデータベー ス、次に各プロファイルを順番にチェックしていきます。管理者は、認証シーケンスに定義され たすべてのプロファイルで認証が失敗した場合にのみ、Panorama へのアクセスが拒否されます。 アクセスドメイン アクセスドメインは、指定されたデバイス(ポリシーおよびオブジェクトを管理するため)およ びテンプレート(ネットワークおよびデバイス設定を管理するため)への管理アクセスを制御 し、またコンテキストを管理対象ファイアウォールの Web インターフェイスに切り替える機能 も制御します。アクセスドメインは、デバイスグループおよびテンプレートロールを持つ管理者 にのみ適用されます。アクセスドメインを管理ロールと統合することで、組織の各部門・担当地 域ごとに利用できる情報を厳密に区別することができます。 アクセスドメインはローカルで、あるいは RADIUS ベンダー固有属性(VSA)を使用して管理で きます。RADIUS VSA を使用するためにはネットワーク内に既存の RADIUS サーバーが必要で あり、また RADIUS サーバープロファイルの設定を行って Panorama がサーバーにアクセスする 方法を定義しなければなりません。RADIUS サーバー上で VSA 属性番号および各管理者用の値 を定義します。定義された値は、Panorama で設定したアクセスドメインと一致する必要があり ます。管理者が Panorama にログインしようとすると、管理者のアクセスドメインと属性番号が RADIUS サーバーに対してクエリされます。RADIUS サーバーからの応答に基づいて、管理者に アクセス権が認証され、アクセスドメインに割り当てられたファイアウォール / 仮想システム、 デバイスグループ、テンプレートに制限されます。 関連作業についてはこちら: アクセスドメインの設定。 管理者認証での RADIUS ベンダー固有属性の設定。 管理認証 Panorama 管理者の認証は次の方法で行います。 28 • Panorama 7.0 管理者ガイド Palo Alto Networks Panorama の概要 ロールベースのアクセス制御 Local administrator account with local authentication [ ローカル認証によるローカル管理者アカ ウント ] — 管理者アカウント認証情報と認証方式の両方が Panorama に対してローカルで行わ れます。ローカル管理者アカウントの安全性を高めるには、パスワードの有効期間を定義す るパスワードプロファイルを作成したり、Panorama 全体でのパスワードの複雑性設定を行っ たりします。このタイプの管理アクセスを設定する方法の詳細は、Kerberos SSO、外部あるい はローカル認証を伴う管理者を設定を参照してください。 Local administrator account with certificate- or key-based authentication [ 証明書またはキーに基 づいた認証によるローカル管理者アカウント ] — このオプションでは、管理者アカウントは Panorama に対してローカルで行われますが、認証は SSH(Secure Shell)キー(CLI アクセスの 場合)またはクライアント証明書 / 共通アクセスカード(Web インターフェイスの場合)に 基づいて処理されます。このタイプの管理アクセスを設定する方法の詳細は、証明書ベース で Web インターフェイスへの認証を行う管理者を設定および SSH キーベースで CLI への認証 を行う管理者を設定を参照してください。 Local administrator account with external authentication [外部認証によるローカル管理者アカウ ント ] — 管理者アカウントは Panorama で管理しますが、既存の外部認証サービス(LDAP、 Kerberos、TACACS+、または RADIUS)が認証機能を担います。ネットワークで Kerberos シ ングル サインオン(SSO)がサポートされている場合、SSO が失敗したときの代わりとして 外部認証を設定できます。このタイプの管理アクセスを設定する方法の詳細は、Kerberos SSO、 外部あるいはローカル認証を伴う管理者を設定を参照してください。 External administrator account and authentication [ 外部管理者アカウントと認証 ] — 外部 RADIUS サーバーがアカウント管理と認証を行います。このオプションを使用するには、管 理者ロールおよびアクセスドメインにマッピングする RADIUS サーバーでベンダー固有属性 (VSA)を定義する必要があります。プロセスの概要は、管理者認証での RADIUS ベンダー固 有属性の設定を参照してください。このタイプの管理アクセスを設定する方法の詳細は、 RADIUS ベンダー固有属性(VSA)を参照してください。 Palo Alto Networks Panorama 7.0 管理者ガイド • 29 推奨される Panorama の導入 Panorama の概要 推奨される Panorama の導入 Panorama のデプロイ環境は、ブラウザベースのインターフェイスを備えた Panorama 管理サー バー、ログコレクタ(任意)、および管理対象 Palo Alto Networks ファイアウォールで構成されま す。推奨されるデプロイ環境は以下のとおりです。 中央管理およびレポートのための Panorama 分散ログ収集デプロイ環境における Panorama 最も典型的なログ収集デプロイ環境の設定手順については、 「ログ収集のデプロイメント」を参 照してください。 中央管理およびレポートのための Panorama 以下の図に、Panorama バーチャルアプライアンスあるいは M-Series アプライアンスを冗長構成で デプロイする方法を示します。この構成には、以下の利点があります。 中央管理 — 最大 1000 台のファイアウォールを迅速に導入および管理できるポリシーとデバ イスの中央管理。 可視化 — ユーザーが生成したトラフィックおよび潜在的な脅威を分析してレポートできる一 元的なログとレポート。 ロールベースのアクセス制御 — 適切なレベル(ファイアウォールレベルまたはグローバルレ ベル)の管理制御。 30 • Panorama 7.0 管理者ガイド Palo Alto Networks Panorama の概要 推奨される Panorama の導入 分散ログ収集デプロイ環境における Panorama ハードウェアベースの Panorama(M-Series アプライアンス)は、管理機能とログ収集機能を実行 する Panorama 管理サーバー、またはネットワーク上のファイアウォールの包括的なログ収集ソ リューションを提供する専用のログコレクタとしてデプロイできます。ログコレクタとして M-Series アプライアンスを使用すると、ログ収集プロセスの負荷が専用アプライアンスに割り振 られる堅牢な環境が実現します。分散ログ収集(DLC)デプロイ環境で専用アプライアンスを使 用することで、冗長性、高いスケーラビリティ、ログを長期保管できる容量を得られます。 DLC デプロイ環境では、Panorama 管理サーバー(Panorama バーチャルアプライアンスまたは Panorama モードの M-Series アプライアンス)がファイアウォールおよびログコレクタを管理しま す。Panorama を使用し、ファイアウォールが単体あるいは複数のログコレクタにログを送信す るように設定を行います。こうすることで Panorama を使用してログコレクタに対するクエリを 行い、ネットワークトラフィックについての統合的なビューを利用できるようになります。DLC 設定の場合、高可用性(HA)ペアのプライマリおよびセカンダリ Panorama ピアから、ログコレ クタに保存されたログにアクセスできます。 以下のトポロジでは、HA 構成の Panorama ピアで、ファイアウォールのデプロイおよび設定を 管理します。このソリューションには、以下の利点があります。 Panorama の管理機能のパフォーマンスが向上する 専用ハードウェアアプライアンスで大量のログストレージを確保できる RAID 1 ストレージで水平スケーラビリティと冗長性を得られる Palo Alto Networks Panorama 7.0 管理者ガイド • 31 導入計画 Panorama の概要 導入計画 管理アプローチを決定します。Panorama を使用して、ポリシーを一元的に設定および管理し たり、ソフトウェア、コンテンツ、ライセンス更新を一元管理したり、ネットワーク上の管 理対象デバイスのログおよびレポートを一元的に行ったりしますか ? ネットワーク上にすでに Palo Alto Networks ファイアウォールを導入および設定している場 合、デバイスを中央管理に移行するかどうかを決定します。このプロセスでは、すべての設 定およびポリシーをファイアウォールから Panorama に移行する必要があります。詳細は、 ファイアウォールを Panorama 管理に移行を参照してください。 Panorama のリリースとバージョンが、管理対象ファイアウォールと同じかそれ以降であるこ とを確認します。たとえば、Panorama 6.0 は、PAN-OS 7.0 を実行しているファイアウォール を管理できません。同じリリース内のバージョンの場合、Panorama は自分のバージョン以降 の PAN-OS を実行しているファイアウォールを管理できますが、Panorama では、ファイア ウォールと同じかそれ以降のバージョンを実行することをお勧めします。たとえば、Panorama で 6.0.3 を実行している場合は、すべての管理対象ファイアウォールで、PAN-OS 6.0.3 以前の バージョンを実行することをお勧めします。 すべての管理対象ファイアウォールで同じ URL フィルタリングデータベース(BrightCloud ま たは PAN-DB)を使用するように計画します。BrightCloud データベースを使用しているファ イアウォールと、PAN-DB を使用しているファイアウォールがある場合、Panorama では、い ずれかの URL フィルタリングデータベースのセキュリティルールのみを管理できます。他の データベースの URL フィルタリングルールは、そのデータベースを使用しているファイア ウォールでローカルに管理する必要があります。 Panorama を高可用性設定で使用するように計画します。アクティブ / パッシブ高可用性ペア として設定します。 「Panorama の高可用性」を参照してください。 セキュリティおよびコンプライアンス要件を満たすためにネットワークに必要なログスト レージ容量を見積もります。ネットワークトポロジ、ログを送信するファイアウォール数、 ログトラフィックのタイプ(たとえば、URL フィルタリング、脅威ログかトラフィックログ かなど)、ログの生成レート、Panorama にログを保存する日数などの要因を考慮する必要が あります。詳細は、Panorama バーチャルアプライアンスのセットアップを参照してください。 ネットワークアクティビティに関する有益なレポートを得られるように、ログソリューショ ンを計画します。 – Panorama の他に Syslog サーバーにもログを転送する必要がありますか ? – 長期保管ソリューションが必要な場合、ログを転送する必要のある Splunk や ArcSight な どのセキュリティ情報およびイベント管理(SIEM)ソリューションがありますか ? – ログに冗長性が必要ですか ? HA の Panorama バーチャルアプライアンスを使用すれば、各 ピアでその仮想ディスクにログを記録できます。管理対象デバイスから HA ペアの両方 のピアにログを送信できます。このオプションでは、ログの冗長性を確保でき、2 TB の ログストレージ容量に対応するのに最適です。専用ログコレクタ(ログコレクタモード の M-Series アプライアンス)を使用する場合、コレクタグループのいずれかのログコレ クタが利用できなくなった際にログが失われないよう、冗長性を有効にすることができ ます。各ログのコピーが 2 つ作成され、それぞれ異なるログコレクタに保存されます。 – ネットワークファイルシステム(NFS)にログを記録しますか ?NFS をサポートしている のは Panorama バーチャルアプライアンスだけです。Panorama に 2TB 以上のログの保存容 量が必要であり、しかし Panorama が専用ログコレクタを管理しない場合は、NFS の使用 32 • Panorama 7.0 管理者ガイド Palo Alto Networks Panorama の概要 導入計画 を検討してください。NFS を使用する場合、管理対象デバイスは HA ペアのプライマリ ピアにのみログを送信できます。また、NFS にマウントして NFS に書き込むことができ るのは、アクティブ - プライマリ Panorama だけです。 – ロギング ソリューションに M-Series アプライアンスが含まれている場合、デフォルトで、 設定、ログ収集、およびコレクタグループ通信に管理(MGT)インターフェイスが使用 されます。ただし、ログ収集とコレクタグループ通信には Ethernet 1 または Ethernet 2 イ ンターフェイスを使用して、セキュリティ、トラフィック優先度制御、パフォーマンス、 スケーラビリティを高めるのがベスト プラクティスです。これらの機能に異なるイン ターフェイスを使用することに利点があるかどうかを判断してください。詳細は、 M-Series アプライアンスのセットアップを参照してください。 管理者が、管理対象ファイアウォールおよび Panorama にアクセスするために必要な権限、 ロール、許可情報を決定します。「Panorama への管理アクセスのセットアップ」を参照して ください。 必要なデバイスグループを計画します。ファイアウォールをグループ化するときの基準とし て、機能、セキュリティポリシー、地理的な場所、ネットワークセグメンテーションのどれ を使用するのかを検討します。たとえば、機能ベースのデバイスグループの例として、研究 開発チームが使用するすべてのファイアウォールを含むグループが考えられます。共通点に 基づいて小さなデバイスグループを作成するのか、スケーリングしやすいように大きなデバ イスグループを作成するのか、あるいは管理用の各層の複雑さを軽減するためにデバイスグ ループの階層を作成するのかを検討してください。 ポリシー管理の階層化方法を計画します。デバイスグループの階層においてファイアウォー ルがポリシールールを継承・評価する方法、およびネットワークのニーズに合った共有ルー ルやデバイスグループルール、ファイアウォール固有のルールの最適な実装方法をよく考え ます。ポリシーの可視化および中央管理を実現するために、共有あるいはデバイスグループ ルールに対するファイアウォール固有の例外を作成しなければならない場合でも、Panorama を使用してルールを管理することを検討してください。必要に応じてデバイスグループ中の ファイアウォールのサブセットにポリシールールをプッシュを行うことができます。 テンプレートおよびテンプレートスタックからネットワーク設定を継承する方法に基づき、 ファイアウォールの編成を計画します。たとえば、ハードウェアプラットフォーム、地理的 な近接性、およびタイム ゾーンに関するネットワーク要件、DNS サーバー、インターフェ イス設定に基づいてファイアウォールをテンプレートに割り当てる方法を検討します。 Palo Alto Networks Panorama 7.0 管理者ガイド • 33 Panorama の導入 : タスクの概要 Panorama の概要 Panorama の導入 : タスクの概要 以下のタスク リストに、Panorama を導入する手順の概要を示します。Panorama による一元管理 の例については、「ユースケース : Panorama を使用してファイアウォールを構成」を参照してく ださい。 Panorama のデプロイ:タスクの概要 ステップ 1 (M-Series アプライアンスのみ)アプライアンスをラックマウントします。 ステップ 2 初期設定を実行して、Panorama へのネットワークアクセスを有効にします。Panorama バーチャ ルアプライアンスのセットアップまたは M-Series アプライアンスのセットアップを参照してくだ さい。 ステップ 3 Panorama の登録とライセンスのインストール。 ステップ 4 Panorama のコンテンツ更新とソフトウェア更新のインストール。 ステップ 5 (任意 / 推奨)高可用性設定で Panorama をセットアップします。「Panorama の高可用性」を参照 してください。 ステップ 6 管理対象デバイスとしてのファイアウォールの追加。 ステップ 7 デバイスグループの追加 あるいはデバイスグループの階層を作成、テンプレートの追加、およ び(該当する場合は)テンプレートスタックの設定。 ステップ 8 (任意)Panorama および(または)外部サービスへのログの転送を設定します。「ログ収集の管 理」を参照してください。 ステップ 9 Panorama の可視化およびレポートツールを使用して、ネットワークアクティビティのモニター を行います。 34 • Panorama 7.0 管理者ガイド Palo Alto Networks Panorama のセットアップ ネットワーク上のすべてのファイアウォールでレポートの中央管理や包括的なポリシー管理を 行うため、Panorama をバーチャルアプライアンスまたはハードウェアアプライアンス(M-Series アプライアンス)として導入できます。 以下のトピックでは、ネットワークでの Panorama のセットアップ方法について説明します。 Panorama のログ保持要件を決定 Panorama バーチャルアプライアンスのセットアップ M-Series アプライアンスのセットアップ Panorama の登録とライセンスのインストール Panorama のコンテンツ更新とソフトウェア更新のインストール 別の Panorama プラットフォームに移行 Panorama 管理インターフェイスへのアクセスおよびナビゲート Panorama への管理アクセスのセットアップ Palo Alto Networks Panorama 7.0 管理者ガイド • 35 Panorama のログ保持要件を決定 Panorama のセットアップ Panorama のログ保持要件を決定 導入計画を行う際、 デプロイするPanorama プラットフォームを決定する際に必要になるPanorama のログの保存容量、デフォルトの容量以上にストレージを拡大するかどうか、専用ログコレクタ をデプロイするかどうか、Panorama から外部の宛先へのログ転送を設定を行うかどうかを予め検 討します。Panorama が最大容量に達すると、自動的に古いログを削除して新しいログ用のスペース を作ります。そのため、ログの保持要件を満たすためにストレージを追加する必要がある場合は、 Panorama のセットアップ段階で実施します。セットアップ中あるいはセットアップ後にログの保存 容量を拡大する方法については Panorama バーチャルアプライアンスでのログストレージ容量の 拡張あるいは M-Series アプライアンスのストレージの拡張をご覧ください。 Panorama のログ保持要件を決定 ステップ 1 組織のログ保持要件を決定します。 お客様の組織で一定の期間後にログを削除する必要 がある場合は、各ログタイプに対して有効期間を設 定することができます。また、ログのタイプごとに 優先度を付ける必要がある場合は、各ログタイプの ストレージ割り当てを合計空き容量のうちのパーセ ント値で設定することもできます。詳細は、ログお よびレポートのストレージ割り当ておよび有効期間 を管理を参照してください。 ステップ 2 1. 日次の平均ロギング率を決定します。 ピーク時およびピーク時以外の日 に複数回検討を行い、平均値を予測 します。より多くサンプルを採る方 が予測の精度が上がります。 現在のログ生成率をログ / 秒の形で表示します。 • Panorama がまだログを収集していない場合は、各ファ イアウォールの CLI にアクセスし、次のコマンドを 実行してすべてのファイアウォールの合計率を算出 します。これは直近 1 秒の間に受信したログの数を 表示するコマンドです。 > debug log-receiver statistics • Panorama がすでにログを収集している場合は、ログ を受信する各プラットフォームの CLI で次のコマン ドを実行し(Panorama 管理サーバーあるいは専用ロ グコレクタ)、合計率を算出します。これは直近 5 分 間の平均ロギング率を表示するコマンドです。 > debug log-collector log-collection-stats show incoming-logs また、SNMP マネージャを使用し、panLcLogRate オブジェクト(OID 1.3.6.1.4.1.25461.2.3.30.1.1) を監視することで M-Series アプライアンスの ロギング率を決定することもできます。 2. 3. 36 • Panorama 7.0 管理者ガイド サンプルとして採った率の平均値を算出します。 平均ログ / 秒に 86,400 を掛け、日次のロギング率を算 出します。 Palo Alto Networks Panorama のセットアップ Panorama のログ保持要件を決定 Panorama のログ保持要件を決定(続) ステップ 3 次の計算式を使用します。 必要なストレージ容量を見積もり < 必要な保持期間 > x < ログの平均サイズ > x < 平均ロ ます。 ギング率 > / < 圧縮要素 > この計算式で得られるのは概 ログの平均サイズおよびログの圧縮要素はログタイプに 算値に過ぎません。必要なスト よって大幅に異なります。しかし、おおよそのログの平均 レージ容量は、厳密に言えば計 サイズとして 600 バイトを、一般的な圧縮要素として 3 を 算式の結果とは異なります。 使用できます。 例えば、Panorama がログを 30 日間保存する必要があり、す べてのファイアウォールの平均ロギング率の合計が 21,254,400 ログ / 日であるとすると、必要なログの保存容量 は:30 x 600 x 21,254,400 / 3 = 127,526,400,000 bytes(およそ 128GB)になります。 Palo Alto Networks Panorama 7.0 管理者ガイド • 37 Panorama バーチャルアプライアンスのセットアップ Panorama のセットアップ Panorama バーチャルアプライアンスのセットアップ Panorama バーチャルアプライアンスでは、Panorama の管理やロギング機能が 1 つの仮想マシン に統合されます。既存の VMware バーチャル インフラを有効にして Palo Alto Networks のファイ アウォールを一元管理・監視するには、Panorama を ESXi サーバーあるいは vCloud Air にインス トールします。 Panorama バーチャルアプライアンスのセットアップ前提条件 Panorama バーチャルアプライアンスのインストール Panorama バーチャルアプライアンスの初期設定の実行 Panorama バーチャルアプライアンスでのログストレージ容量の拡張 Panorama バーチャルアプライアンスのセットアップの完了 Panorama バーチャルアプライアンスを専用ログコレクタとして使用することはできません。 専用ログコレクタの機能を使用する場合、ログコレクタモードの M-Series アプライアンスの セットアップを行う必要があります。ただし、Panorama バーチャルアプライアンスを使用し て専用ログコレクタを管理することができます。 これらのトピックでは、バーチャルアプライアンスを作成するために必要な VMware 製品を十分理 解していることを前提として話を進めていくため、VMware のコンセプトや用語には触れません。 Panorama バーチャルアプライアンスのセットアップ前提条件 Panorama バーチャルアプライアンスをセットアップする前に、以下のタスクを実行します。 ブラウザを使用して Palo Alto Networks サポートサイトにアクセスし、Panorama の登録を行い ます。その際、送信済みの注文処理メールに記載されている Panorama のシリアル番号が必要 になります。Panorama の登録後、Panorama ソフトウェアダウンロード ページにアクセスで きるようになります。 Panorama を VMware ESXi サーバーにインストールする場合、 サーバーが次の最低システム要件を満 たしていることを確認してください。以下の要件は、Panorama 5.1 以降のリリースに適用されます。 VMware ESXi サーバーにおける Panorama の最低システム要件 • 64 ビット カーネルベースの VMware ESXi 5.1、5.5 あるいは 6.0。ESXi サーバー上の仮想ハードウェア ファミリータイプ(VMware 仮想ハードウェアバージョンとも呼ばれています)でサポートされている 最小バージョンは vmx-09 です。 • ESXi サーバーと互換性のある VMware vSphere クライアント ESXi サーバーと互換性がある VMware イン フラストラクチャ クライアントあるいは VMware vSphere クライアント。 • 以下のガイドラインに従って、CPU とメモリを割り当てます。 • 管理対象のファイアウォールが 10 未満の場合:4 コア、4GB。 • 管理対象のファイアウォールが 10 ~ 50 の場合:8 コア、8GB。 • 管理対象のファイアウォールが 50 を超える場合:8 コア、16GB。 • 40GB のディスク領域。 • この容量のうち、Panorama はログの保存に 10.89GB を使用します。仮想ディスクの空き容量を増やし ても Panorama 上のログの保存容量は増えません。Panorama バーチャルアプライアンスでのログスト レージ容量の拡張を行うには、別の仮想ディスクを追加するか、NFS(Network File Share)データスト アへのアクセスをセットアップする必要があります。 38 • Panorama 7.0 管理者ガイド Palo Alto Networks Panorama のセットアップ Panorama バーチャルアプライアンスのセットアップ Panorama バーチャルアプライアンスのインストール ESXi サーバーに Panorama をインストール vCloud Air に Panorama をインストール ESXi サーバーに Panorama をインストール VMware ESXi サーバーに新しい Panorama バーチャルアプライアンスをインストールするには、以 下の手順を使用します。既存の Panorama バーチャルアプライアンスからアップグレードしてい る場合は、 「Panorama のコンテンツ更新とソフトウェア更新のインストール」に進んでください。 ESXi サーバーに Panorama をインストール ステップ 1 1. Panorama の ベ ー ス イ メ ー ジ OVA (Open Virtual Appliance)ファイルを 2. ダウンロードします。 ステップ 2 Panorama をインストールします。 1. 2. 3. 4. 5. 6. 7. 8. 9. Palo Alto Networks ブラウザを使用して Palo Alto Networks ソフトウェアダ ウンロード サイトにアクセスします。 Panorama Base Images [Panorama ベースイメージ ] セク ションのDownload [ダウンロード ]列で目的のバージョ ンのリンクをクリックして OVA ファイルをダウンロー ドします。 VMware vSphere クライアントを起動し、VMware サー バーに接続します。 File > Deploy OVF Template [ ファイル > OVF テンプレー トのデプロイ ] の順に選択します。 Panorama OVA ファイルを Browse [ 参照 ] して選択し、 Next [ 次へ ] をクリックします。 製品の名前と説明がダウンロードしたバージョンと一 致していることを確認し、Next [次へ]をクリックします。 Panorama バーチャルアプライアンスの分かりやすい名 前を入力し、Next [ 次へ ] をクリックします。 Panorama イメージをインストールする Datastore Location [ データストアの場所 ] を選択し、 Next [ 次へ ] をクリッ クします。 Panorama はログ用に 10.89GB の仮想ディスク保存領域を使 用します。仮想ディスクの空き容量を増やしても Panorama 上のログの保存容量は増えません。Panorama バーチャル アプライアンスでのログストレージ容量の拡張を行う には、別の仮想ディスクを追加するか、NFS データスト アへのアクセスをセットアップする必要があります。 ディスクフォーマットに Thick Provision Lazy Zeroed [ シッ クプロビジョニング(Lazy Zeroed)] を選択し、Next [ 次 へ ] をクリックします。 Panorama バーチャルアプライアンスに使用するネット ワークをインベントリで指定します。 選択したオプションを確認し、Finish [ 終了 ] をクリッ クして、インストールを開始します。 Panorama 7.0 管理者ガイド • 39 Panorama バーチャルアプライアンスのセットアップ Panorama のセットアップ ESXi サーバーに Panorama をインストール(続) 10. インストールが完了したら、Panorama バーチャルアプ ライアンスを右クリックし、Edit Settings [ 設定の編集 ] を選択して以下の設定を定義します。詳細については vSphereクライアントにおける仮想マシンの設定を参照 してください。 a. Hardware [ ハードウェア ] タブを選択し、Panorama が 管理するファイアウォールの数に応じて Memory [ メ モリ ] を割り当てます。 – ファイアウォールが 10 未満の場合 — 4GB – ファイアウォールが 10 ~ 50 の場合 — 8GB – ファイアウォールが 50 を超える場合 — 16GB b. SCSI Controller [SCSIコントローラ]を LSI Logic Parallel [LSI ロジック パラレル ] に設定します。 c. Options [ オプション ] タブを選択し、さらに General Options [ 一般オプション ] を選択し、Guest Operating System [ ゲスト オペレーティングシステム ] を Linux に設定し、Version [ バージョン ] を Other Linux (64-bit) [ 他の Linux(64-bit)] に設定します。 d. [OK] をクリックして、変更内容を保存します。 ステップ 3 vSphere クライアントで Panorama バーチャルアプライアン Panorama バーチャルアプライアン スを右クリックし、Power > Power On [ 電源 > 電源オン ] を 選択します。 スをパワーオンします。 Panorama バーチャルアプライアンスが起動し、インストー ルが完了します。これで Panorama バーチャルアプライアン スの初期設定の実行を行う準備ができました。 vCloud Air に Panorama をインストール VMware vCloud Air に新しい Panorama バーチャルアプライアンスをインストールするには、以下 の手順を使用します。vCloud Air にデプロイされた Panorama バーチャルアプライアンスをアップ グレードしようとしている場合は Panorama のコンテンツ更新とソフトウェア更新のインストー ルまでスキップしてください。 vCloud Air に Panorama をインストール ステップ 1 1. Panorama の ベ ー ス イ メ ー ジ OVA (Open Virtual Appliance)ファイルを 2. ダウンロードします。 40 • Panorama 7.0 管理者ガイド Palo Alto Networks ソフトウェアダウンロード サイトに 移動します。 Panorama Base Images [Panorama ベースイメージ ] セクション の Download [ ダウンロード ] 列で目的のバージョンのリン クをクリックして OVA ファイルをダウンロードします。 Palo Alto Networks Panorama のセットアップ Panorama バーチャルアプライアンスのセットアップ vCloud Air に Panorama をインストール(続) ステップ 2 このステップの詳細については、OVF ツールのユーザーガ Panorama イメージを vCloud Air カタ イドを参照してください。 ログにインポートしします。 1. OVF ツールをクライアントシステムにインストールし ます。 2. クライアントシステムの CLI にアクセスします。 3. OVF ツールを使用して OVA ファイルを OVF パッケー ジに変換します。 ovftool <OVA file pathname> <OVF file pathname> 4. OVFツールを使用してOVFパッケージをインポートし ます。 ovftool <source_locator> <target_locator> <source_locator> は OVF パッケージへのパスです。 <target_locator> は vCloud ディレクターのロケータへ のパスです。 ステップ 3 Panorama をインストールします。 1. vCloud Air の Web コンソールにアクセスし、ご自身の Virtual Private Cloud OnDemand [ 仮想プライベート クラ 2. ウド オンデマンド ] 領域を選択します。 Panorama 仮想マシンを作成します。このステップにつ いては、 vCloud Air ドキュメント センターのテンプレー トから仮想マシンを追加を参照してください。CPU、 Memory [ メモリ ] および Storage [ ストレージ ] を次の ようにして設定します。 • Panorama が管理するファイアウォールの数に応じて CPU、Memory [ メモリ ] を設定します。 – ファイアウォールが 10 未満の場合 — 4x CPU およ び 4GB メモリ – ファイアウォールが 10 ~ 50 の場合 — 8x CPU およ び 8GB メモリ – ファイアウォールが 50 を超える場合 — 8x CPU お よび 16GB メモリ • Storage [ ストレージ ] を 40GB に設定します。ログお よびレポート設定のパフォーマンスを高めるには、 SSD-Accelerated オプションを選択します。 Panorama はログ用に 10.89GB の保存領域を使用しま す。こ の 仮 想 デ ィ ス ク の 空 き 容 量 を 増 や し て も Panorama 上のログの保存容量は増えません。さらに 保存領域が必要な場合は vCloud Air の Panorama に仮 想ディスクを追加を行います。 ステップ 4 ゲ ー ト ウ ェ イ 上 で vCloud Air NAT ルールを作成し、Panorama バーチャ ルアプライアンスのインバウンドお よびアウトバウンド トラフィック を許可します。 Palo Alto Networks 詳細な流れについては vCloud Air ドキュメント センターの NAT ルールの追加をご覧ください。 1. Panorama がファイアウォールからトラフィックを受け 取り、管理者アクセスが Panorama にアクセスできるよ うにする NAT ルールを追加します。 2. Panorama が Palo Alto Networks の更新サーバーからアッ プデートを取得し、ファイアウォールにアクセスでき るようにする NAT ルールを追加します。 Panorama 7.0 管理者ガイド • 41 Panorama バーチャルアプライアンスのセットアップ Panorama のセットアップ vCloud Air に Panorama をインストール(続) ステップ 5 詳細な流れについては vCloud Air ドキュメント センターの vCloud Air ファイアウォールルール ファイアウォールルールの追加をご覧ください。 を作成し、Panorama バーチャルアプ ライアンス上のインバウンドトラ フィックを許可します。 アウトバウンド トラフィックはデ フォルトで許可されています。 ステップ 6 Panorama バーチャルアプライアン スの電源が入っていない場合は電源 を入れます。 vCloud Air の Web コンソールで Virtual Machines [ 仮想マシ ン ] タブを選択し、さらに Panorama 仮想マシンを選択して Power On [ 電源オン ] をクリックします。 これで Panorama バーチャルアプライアンスの初期設定の 実行を行う準備ができました。 Panorama バーチャルアプライアンスの初期設定の実行 プラットフォームに応じて VMware vSphere クライアントあるいは vCloud Air の Web コンソールを使用 して Panorama バーチャルアプライアンスへのネットワークアクセスをセットアップします。統合され たレポート作成を行うには、すべての管理対象デバイスと Panorama でタイム ゾーンに同じ GMT (Greenwich Mean Time)または UTC(Coordinated Universal Time)を使用することを考慮してください。 。 Panorama バーチャルアプライアンスの初期設定の実行 ステップ 1 ネットワーク管理者から必要な情報 を入手します。 ステップ 2 1. Panorama バーチャルアプライアン スのコンソールにアクセスします。 管理(MGT)インターフェイスの IP アドレス ネットマスク デフォルトゲートウェイ DNS サーバーの IP アドレス コンソールにアクセスします。 ESXi サーバー上: a. VMware vSphere クライアントを立ち上げます。 b. Panorama バーチャルアプライアンスの Console [ コン ソール ] タブを選択し、Enter を押してログイン画面 を表示します。 vCloud Air 上: a. vCloud Air の Web コンソールにアクセスし、ご自身 の Virtual Private Cloud OnDemand [ 仮想プライベート クラウド オンデマンド ] 領域を選択します。 b. Virtual Machines [仮想マシン]タブを選択し、Panorama 仮想マシンを右クリックして Open In Console [ コン ソールで開く ] を選択します。 2. 3. 42 • Panorama 7.0 管理者ガイド ログイン用のユーザー名およびパスワードを入力しま す(デフォルトはどちらも admin)。 configure と入力して設定モードに切り替えます。 Palo Alto Networks Panorama のセットアップ Panorama バーチャルアプライアンスのセットアップ Panorama バーチャルアプライアンスの初期設定の実行(続) ステップ 3 1. MGT イ ン タ ー フ ェ イ ス の ネ ッ ト ワークアクセス設定を行います。 次のコマンド(<Panorama-IP> は Panorama 管理インター フェイスに割り当てる IP アドレス、<netmask> はサブ ネット マスク、<gateway-IP> はネットワークゲート ウェイの IP アドレス、<DNS-IP> は DNS サーバーの IP アドレス)を入力します。 Panorama は、管理トラフィック、高 可用性の同期、ログ収集、コレクタ set deviceconfig system ip-address <Panorama-IP> グループ内での通信のために MGT netmask <netmask> default-gateway <gateway-IP> インターフェイスを使用します。 dns-setting servers primary <DNS-IP> 2. 3. 4. [ コミット ] と入力して変更内容を適用します。 exit と入力して設定モードを終了します。 ping ユーティリティを使用し、次の例のようにファイ アウォールの管理に必要な外部サービス(デフォルト ゲートウェイ、DNS サーバー、Palo Alto Networks の更 新サーバーなど)へのネットワークアクセスを検証し ます。 commit admin@Panorama-Corp> ping host updates.paloaltonetworks.com PING updates.paloaltonetworks.com (67.192.236.252) 56(84) bytes of data. 64 bytes from 67.192.236.252: icmp_seq=1 ttl=243 time=40.5 ms 64 bytes from 67.192.236.252: icmp_seq=1 ttl=243 time=53.6 ms 64 bytes from 67.192.236.252: icmp_seq=1 ttl=243 time=79.5 ms 接続を確認したら、Ctrl+C キーを押して ping を 停止します。 ステップ 4 一般設定の設定を行います。 1. 2. 3. 4. 5. 6. 7. Palo Alto Networks Web ブラウザから安全な接続(HTTPS)を使用し、管 理インターフェイスに割り当てられた IP アドレスと パスワードを使用して Panorama Web インターフェイス にログインします(https://<IP address>)。 [Panorama ] > [ セットアップ ] > [ 管理 ] の順に選択し、[ 一 般設定 ] を編集します。 サーバーの Hostname [ ホスト名 ] を入力し、ネットワー クの Domain [ ドメイン ] 名を入力します。ドメイン名 は単なるラベルであり、ドメインに参加するために Panorama で使用されることはありません。 Panorama と管理対象ファイアウォールのクロックを、同 じタイム ゾーン(GMT または UTC など)を使用するよ うに合わせます。 Panorama がログを受信し、管理対象のファイアウォー ルがログを作成する際、タイムスタンプが記録されま す。Panorama とファイアウォールの両方でタイム ゾー ンを合わせることにより、タイムスタンプが確実に同 期され、Panorama でのログのクエリとレポートの生成 プロセスで調和が保たれるようにします。 Latitude [ 経度 ] と Longitude [ 緯度 ] を入力し、 Panorama 管理サーバーが世界地図上の正確な場所に配置される ようにします。 注文処理メールで受け取った Serial Number [ シリアル 番号 ] を入力します。 [OK] をクリックして、変更内容を保存します。 Panorama 7.0 管理者ガイド • 43 Panorama バーチャルアプライアンスのセットアップ Panorama のセットアップ Panorama バーチャルアプライアンスの初期設定の実行(続) ステップ 5 1. デフォルトの管理者用パスワードを 変更します。 2. 管理インターフェイスを確実 に保護するために、パスワード 複 雑 性 設 定 を 設 定 し ま す 3. (Panorama > Setup > Management [Panorama > セットアップ > 管 理 ]) 。 ステップ 6 1. (任意)管理インターフェイス設定を 変更します。 2. 3. ステップ 7 設定の変更を保存します。 Web インターフェイスのフッター領域の左側にある admin リンクをクリックします。 Old Password [ 現在のパスワード ] と New Password [ 新 しいパスワード ] を適切なフィールドに入力し、新し いパスワードを安全な場所に記録します。 [OK] をクリックします。 [Panorama] > [ セットアップ ] > [ 管理 ] の順に選択し、 [ 管理インターフェイス設定 ] を編集します。 インターフェイス上で許可する管理サービスを選択し ます(例:SSH(Secure Shell)アクセス )。 Telnet あるいは HTTP は選択しないことが推奨さ れます。これらのサービスはプレーンテキスト を使用するため、他のサービスに比べて安全性 に劣ります。 [OK] をクリックします。 Commit [ コミット ] をクリックし、Commit Type [ コミット タイプ ] で Panorama を選択して、さらに Commit [ コミッ ト ] をクリックします。 必要に応じて Panorama バーチャルアプライアンスでのロ グストレージ容量の拡張を行います。その必要がなけれ ば、これで Panorama バーチャルアプライアンスのセット アップの完了を行う準備ができました。 Panorama バーチャルアプライアンスでのログストレージ容量の拡張 デフォルトの Panorama バーチャルアプライアンスには、すべてのデータ用に 1 つのディスク パーティションがあります。このパーティションには、10.89 GB のログストレージが割り当てら れます。40GB ~ 2TB のディスク領域が追加で必要な場合、VMware ESXi サーバーあるいは VMware vCloud Air にインストールされている Panorama に仮想ディスクを追加することができます。2TB を超える容量が必要な場合は Panorama を NFS データストアにマウントできますが、これは ESXi サーバー上でのみ可能です。 Panorama バーチャルアプライアンスがサポートしているものより多くログストレージが必要 な場合は、ファイアウォールログを専用ログコレクタに転送するか(コレクタグループの管理 を参照)、Panorama から外部の宛先へのログ転送を設定を行うことができます。 ログの保存領域を拡張する前に、Panorama のログ保持要件を決定を行ってください。 ESXi サーバー上の Panorama に仮想ディスクを追加 vCloud Air の Panorama に仮想ディスクを追加 NFS データストアに Panorama ESXi サーバーをマウント 44 • Panorama 7.0 管理者ガイド Palo Alto Networks Panorama のセットアップ Panorama バーチャルアプライアンスのセットアップ ESXi サーバー上の Panorama に仮想ディスクを追加 デフォルト設定では、ESXi サーバー上の Panorama バーチャルアプライアンスは 10.89GB の仮想 ディスクを使用してロギングを行います。ログストレージの容量を増やすには、40 GB ~ 2 TB のストレージ容量をサポートすることができる新しい仮想ディスクを追加します。 ESXi サーバー上の Panorama バーチャルアプライアンスは、仮想ディスクを 1 つだけ使用して ロギングを行います。ここで追加した仮想ディスクを使用するよう設定を行う際、バーチャル アプライアンスはロギング用に元のディスクのデフォルトの 10.89GB の内部ストレージを使用 しなくなります。このため、バーチャルアプライアンスが新しい仮想ディスクへの接続を失う と、障害期間中のログが損失する可能性があります。 冗長性を許可するには、RAID 設定の仮想ディスクを使用します。RAID10 では、ロギングを大 量に行うアプリケーションで最適な書き込みパフォーマンスが得られます。 必要に応じて Panorama ESXi サーバーの仮想ディスクを交換を行います。 ESXi サーバー上の Panorama に仮想ディスクを追加 ステップ 1 VMware vSphere クライアントにアクセスして Virtual Machines [ 仮想マシン ] タブを選択します。 ステップ 2 Panorama バーチャルアプライアンスを右クリックし、Power > Power Off [ 電源 > 電源オフ ] を選 択します。 ステップ 3 Panorama バーチャルアプライアンスを右クリックし、Edit Settings [ 設定変更 ] を選択します。 ステップ 4 Hardware [ ハードウェア ] タブで Add [ 追加 ] をクリックして、Add Hardware [ ハードウェア追加 ] ウィザードを開きます。 ステップ 5 ハードウェアタイプとして Hard Disk [ ハードディスク ] を選択して、Next [ 次へ ] をクリックし ます。 ステップ 6 Create a new virtual disk [ 新しい仮想ディスクを作成 ] を選択して、 Next [ 次へ ] をクリックします。 ステップ 7Disk Size [ ディスクサイズ ] を 8TB に設定します。 ステップ 8 Thick Provision Lazy Zeroed [ シックプロビジョニング(Lazy Zeroed)] ディスクフォーマットを選 択します。 ステップ 9 Store with the virtual machine [ 仮想マシンで保存(データストアは ] ESXi サーバー上でなくても構 いません)する Location [ ロケーション ] を選択し、Next [ 次へ ] をクリックします。 ステップ 10 Virtual Device Node [ 仮想デバイスのノード ] を選択して Next [ 次へ ] をクリックします。 ステップ 11 設定が正しいことを確認し、Finish [ 完了 ] をクリックしてウィザードを終了します。新しく追加 したディスクが、バーチャルアプライアンスのデバイス一覧に表示されます。 ステップ 12 Panorama バーチャルアプライアンスを右クリックし、Power > Power On [ 電源 > 電源オン ] を選 択します。仮想ディスクが初回の使用を開始した後、Panorama が内部ストレージにある既存の ログをすべて新しいディスクに移動させ、新規のエントリーはすべて新しいディスクに書き込む ようになります。 ステップ 13 Panorama にログインし、Panorama > Setup > Management [Panorama > セットアップ > 管理 ] を選 択し、Logging and Reporting Settings [ ロギングおよびレポート設定 ] セクションで、新しいディス ク容量が Log Storage [ ログストレージ ] に正しく表示されていることを確認します。 Palo Alto Networks Panorama 7.0 管理者ガイド • 45 Panorama バーチャルアプライアンスのセットアップ Panorama のセットアップ vCloud Air の Panorama に仮想ディスクを追加 デフォルト設定では、vCloud Air の Panorama バーチャルアプライアンスは 10.89GB の仮想ディス クを使用してロギングを行います。ログストレージの容量を増やすには、最大 2 TB のストレー ジ容量をサポートすることができる新しい仮想ディスクを追加します。 vCloud Air の Panorama バーチャルアプライアンスは、仮想ディスクを 1 つだけ使用してロギ ングを行います。ここで追加した仮想ディスクを使用するよう設定を行う際、バーチャルアプ ライアンスはロギング用に元のディスクのデフォルトの 10.89GB の内部ストレージを使用しな くなります。このため、バーチャルアプライアンスが新しい仮想ディスクへの接続を失うと、障 害期間中のログが損失する可能性があります。 ESXi サーバー上の Panorama に仮想ディスクを追加 ステップ 1 vCloud Air の Web コンソールにアクセスし、ご自身の Virtual Private Cloud OnDemand [ 仮想プライ ベート クラウド オンデマンド ] 領域を選択します。 ステップ 2 Virtual Machines [ 仮想マシン ] タブで Panorama バーチャルアプライアンスを選択します。 ステップ 3 Actions > Edit Resources [ アクション > リソース編集 ] および Add another disk [ ディスクを追加 ] を選択します。 ステップ 4 Storage [ ストレージ ] を 8TB に設定し、ストレージ層を指定します(Standard [ 標準 ] あるいは SSD-Accelerated) 。 ステップ 5変更を Save [ 保存 ] します。 ステップ 6 Panorama にログインし、Panorama > Setup > Management [Panorama > セットアップ > 管理 ] を選 択し、Logging and Reporting Settings [ ロギングおよびレポート設定 ] セクションで、新しいディス ク容量が Log Storage [ ログストレージ ] に正しく表示されていることを確認します。 NFS データストアに Panorama ESXi サーバーをマウント Panorama バーチャルアプライアンスが ESXi サーバー上で実行されている際、NFS(Network File Share)データストアにマウントすることで、中央管理された場所にログを書き込むことができ、ロ グストレージ容量を 2 TB 以上に柔軟に拡張できます。Panorama 高可用性設定で NFS データストア をセットアップする前に、Panorama HA でのロギングに関する考慮事項を参照してください。 NFS データストアに Panorama ESXi サーバーをマウント ステップ 1 Device > Setup > Operations [Panorama > セットアップ > 操作 ] の順に選択し、Miscellaneous [ その他 ] セクションで、Storage Partition Setup [ ストレージパーティションの設定 ] をクリックします。 ステップ 2 Storage Partition [ ストレージパーティション ] のタイプを NFS V3 に設定します。 ステップ 3 [ サーバー ] に NFS サーバーの IP アドレスを入力します。 ステップ 4 ログファイルを保存する Log Directory [ ログのディレクトリ ] パスを入力します。たとえば、 「export/panorama」のように入力します。 46 • Panorama 7.0 管理者ガイド Palo Alto Networks Panorama のセットアップ Panorama バーチャルアプライアンスのセットアップ NFS データストアに Panorama ESXi サーバーをマウント(続) ステップ 5 Protocol [ プロトコル ] については TCP あるいは UDP を選択し、NFS サーバーのアクセスに使用す る Port [ ポート ] を入力します。 NFS over TCP を使用するには、NFS サーバーでサポートされている必要があります。一般 的な NFS ポートは、UDP/TCP 111(RPC の場合)および UDP/TCP 2049(NFS の場合)です。 ステップ 6 NFS パフォーマンスを最適にするには、Read Size [ 読み取りサイズ ] および Write Size [ 書き込み サイズ ] フィールドで、クライアントとサーバー間でやり取りするデータ チャンクの最大サイズ を指定します。読み取り / 書き込みサイズを定義すると、Panorama と NFS データストア間でや り取りするデータ ボリュームおよび転送速度が最適化されます。 ステップ 7 (任意)Copy On Setup [ セットアップ時にコピー ] を選択し、Panorama に保存された既存のログを NFS ボリュームにコピーします。Panorama にログが大量に存在する場合は、このオプションに よって大量のデータ転送が開始される場合があります。 ステップ 8 Test Logging Partition [ ロギング パーティションのテスト ] をクリックし、Panorama が NFS Server [ サーバー ] および Log Directory [ ログディレクトリ ] にアクセスできることを確認します。 ステップ 9 OK をクリックして Commit [ コミット ] をクリックし、 Commit Type [ コミットタイプ ] を Panorama に設定してさらに Commit [ コミット ] をクリックします。再起動を行うまでの間、Panorama バー チャルアプライアンスはログをローカルストレージディスクに書き込みます。 ステップ 10 Panorama > Setup > Operations [Panorama > セットアップ > 操作 ] の順に選択し、Device Operations [ デバイスの操作 ] セクションの Reboot Panorama [Panorama を再起動 ] を選択します。再起動後、 Panorama はログを NFS データストアに書き込むようになります。 Panorama バーチャルアプライアンスのセットアップの完了 これで初期設定が完了したので、以下のセクションに進んで他の設定手順を実行します。 Panorama サポートライセンスのアクティベーション Panorama バーチャルアプライアンスでのデバイス管理ライセンスのアクティベーション / 取得 Panorama のコンテンツ更新とソフトウェア更新のインストール Panorama 管理インターフェイスへのアクセスおよびナビゲート Panorama への管理アクセスのセットアップ ファイアウォールの管理 Palo Alto Networks Panorama 7.0 管理者ガイド • 47 M-Series アプライアンスのセットアップ Panorama のセットアップ M-Series アプライアンスのセットアップ M-Series アプライアンスは、Panorama モードあるいはログコレクタモードでデプロイできるパ フォマンスに優れたハードウェアプラットフォームです。M-Series アプライアンスの初期設定を 行う際、次の各インターフェイスを構成できます。これらのインターフェイスのケーブル取り付 け箇所については M-100 および M-500 アプライアンス ハードウェアのリファレンスガイドに記 載があります。 M-Series アプライアンスは、これらのインターフェイスを集約できる LACP(Link Aggregation Control Protocol)をサポートしていません。 Eth1 および Eth2 インターフェイスは、M-Series アプライアンスが Panorama 6.1 以降のバー ジョンを、管理対象のファイアウォールが PAN-OS 6.0 以降のバージョン実行している場合に のみ利用できます。 インターフェイス 内容 管理(MGT) これはファイアウォール、ログコレクタ、および Panorama を管理・設定するた めのトラフィックを唯一サポートしているインターフェイスです。デフォルト 設定の Panorama は、ログ収集およびコレクタグループとの通信に MGT を使用 しますが、これらの機能は Eth1 および Eth2 インターフェイスに割り当てるこ ともできます。 Eth1 M-Series アプライアンスが Eth1 あるいは Eth2 を使用してログ収集およびコレク タグループ通信を行うように設定することができます。各インターフェイスは これらの機能のいずれか、あるいは両方をサポートできます(例えば、Eth1 を ログ収集およびコレクタグループ通信の両方のために設定できます)。しかし、 単一の機能を複数のインターフェイスに割り当てることはできません(例え ば、3 つのインターフェイス(Eth1、Eth2、MGT)をすべてログ収集用に設定 することはできません)。 Eth2 Eth1 かつ / または Eth2 をログ収集およびコレクタグループ通信用に使用 し、MGT トラフィックのセキュリティを高めつつ MGT のトラフィック 負荷を軽減することが推奨されます。 Eth3 今後のために予約されています。 M-Series アプライアンスのセットアップでは、以下のワークフローに従います。 Panorama モードの M-Series アプライアンス ログコレクタモードの M-Series アプライアンス ステップ 1 M-Series アプライアンスをラックマウント します。手順は、M-100 あるいは M-500 ア プライアンスのハードウェアリファレンス ガイドを参照してください。 ステップ 2 M-Series アプライアンスの初期設定 ステップ 3 Panorama の登録とライセンスのインストー ル ステップ 4 Panorama のコンテンツ更新とソフトウェア 更新のインストール ステップ 5 (任意)M-Series アプライアンスのストレー ジの拡張 ステップ 1 M-Series アプライアンスをラックマウント します。手順は、M-100 あるいは M-500 ア プライアンスのハードウェアリファレンス ガイドを参照してください。 ステップ 2 M-Series アプライアンスの初期設定 ステップ 3 Panorama の登録とライセンスのインストー ル ステップ 4 Panorama のコンテンツ更新とソフトウェア 更新のインストール ステップ 5 (任意)M-Series アプライアンスのストレー ジの拡張 48 • Panorama 7.0 管理者ガイド Palo Alto Networks Panorama のセットアップ M-Series アプライアンスのセットアップ Panorama モードの M-Series アプライアンス ログコレクタモードの M-Series アプライアンス ステップ 6 ステップ 6 Panorama への管理アクセスのセットアップ Panorama モードからログコレクタモードへ の切り替え ステップ 7 ステップ 7 ファイアウォールの管理 ログ収集の管理 ステップ 8 ログ収集の管理 M-Series アプライアンスの初期設定 Panorama のデフォルトの IP アドレスは 192.168.1.1、ユーザー名 / パスワードは admin/admin で す。セキュリティの理由により、他の設定タスクを続行する前に、これらの設定を変更する必要 があります。これらの初期設定タスクは、管理(MGT)インターフェイスから実行するか、 M-Series アプライアンスのコンソールポートに直接接続して実行する必要があります。 M-Series アプライアンスの初期設定 ステップ 1 設定、ログ収集、およびコレクタグループの通信で Panorama が使用する各インターフェイス(MGT、Eth1 ネットワーク管理者から、インター または Eth2)について、IP アドレス、ネットマスク フェイスとサーバーに関する必要な (IPv4 の場合)またはプレフィックス(IPv6 の場合)の 情報を入手します。 長さ、およびデフォルトのゲートウェイの情報を収集 MGT インターフェイスは、(ファイ します。必須は、MGT インターフェイスのみです。 アウォール、ログコレクタ、および Panorama 自体の)設定用、およびピ ア間の高可用性(HA)同期用のトラ フィックをサポートしています。 ログ収集またはコレクタグ ループの通信では、Eth1 およ びEth2インターフェイスを使 用するのがベスト プラク ティスです。M-Series アプラ イアンスは、デフォルトで、 そ れ ら の 機 能 で MGT イ ン ターフェイスを使用します。 ステップ 2 1. コンピュータから M-Series アプライ アンスにアクセスします。 Panorama が複数のインターフェイスを使用する 場合、ログ収集およびコレクタグループ通信に 使用するサブネット(Eth1 および Eth2 サブネッ ト)よりもさらにプライベートな MGT 用のサブ ネットを別に定義することで、管理トラフィッ クのセキュリティを高めることができます。 DNS サーバーの IP アドレスを収集します。 以下のいずれかの方法で M-Series アプライアンスに接 続します。 • コンピュータから M-Series アプライアンスのコン ソールポートにシリアルケーブルを接続し、ターミ ナル エミュレーションソフトウェア(9600-8-N-1)を 使用して接続します。 • コンピュータから M-Series アプライアンスの MGT ポートに RJ-45 Ethernet ケーブルを接続します。ブラ ウザで、https://192.168.1.1 に移動します。この URL にアクセスできるようにするには、コンピュータの IP アドレスを、192.168.1.0 ネットワークでのアドレ ス(192.168.1.2 など)に変更しなければならない場 合があります。 2. Palo Alto Networks 指示された場合、デフォルトのユーザー名とパスワー ド(admin/admin)を使用してアプライアンスにログイ ンする必要があります。アプライアンスが初期化を開 始します。 Panorama 7.0 管理者ガイド • 49 M-Series アプライアンスのセットアップ Panorama のセットアップ M-Series アプライアンスの初期設定(続) ステップ 3 1. 設定、ログ収集、およびコレクタグ 2. ループ通信で Panorama が使用する インターフェイスごとに、ネット ワークのアクセス設定を行います。 [Panorama] > [セットアップ] > [管理] の順に選択します。 Panorama が使用するインターフェイスごとに、インター フェイス設定を編集します。Management [ 管理 ]、Eth1、 かつ / または Eth2。管理インターフェイスのみが必須 です。 a. ネットワークの IP プロトコルに合わせて、以下のい ずれか、あるいは両方のフィールドを入力します。 – IPv4 — [IP アドレス ]、[ ネットマスク ]、および [ デ フォルト ゲートウェイ ] – IPv6 — [IPv6 アドレス /プレフィックス長 ] および [ デフォ ルト IPv6 ゲートウェイ ] b.(任意)インターフェイスで許可する管理サービスの チェックボックスをオンにします。Ping は、Eth1 お よび Eth2 での唯一のオプションです。ベスト プラ クティスとして、管理インターフェイスの [Telnet] と [HTTP] のチェックボックスをオフにします。これら のサービスでは平文が使用されるため、他のサービ スより安全性が低くなります。 c. [OK] をクリックして、変更内容を保存します。 ステップ 4 1. ホスト名、タイム ゾーン、および一 般設定を設定します。 2. 3. 4. 5. 6. 50 • Panorama 7.0 管理者ガイド [Panorama ] > [ セットアップ ] > [ 管理 ] の順に選択し、 [ 一般設定 ] を編集します。 Panorama と管理対象ファイアウォールのクロックを、同 じタイム ゾーン(GMT または UTC など)を使用するよ うに合わせます。 PAN-OS は、ファイアウォールがログを生成する場合 と、Panorama がログを受信する場合に、タイムスタン プを記録します。タイム ゾーンを合わせることにより、 タイムスタンプが確実に同期され、Panorama でのログ のクエリとレポートの生成プロセスで調和が保たれる ようにします。 [ ホスト名 ] に、サーバーのホスト名を入力します。 Panorama では、これをアプライアンスの表示名 / ラベ ルとして使用します。たとえば、CLI プロンプトにこ の 名 前 が 表 示 さ れ ま す。ま た、Panorama > Managed Collectors [Panorama > 管理対象コレクタ ] ページでアプ ライアンスを管理対象コレクタとして追加する場合 に、Collector Name [ コレクタ名 ] フィールドに表示さ れます。 [ ドメイン ] に、ネットワークのドメイン名を入力しま す。ドメイン名は単なるラベルであり、ドメインに参 加するために Panorama で使用されることはありませ ん。 (任意)Latitude [ 経度 ] と Longitude [ 緯度 ] を入力し、 そのサーバーが世界地図上の正確な場所に配置される ようにします。これらの値は、[ アプリケーションスコー プ ] > [ トラフィックマップ ] および [ アプリケーションス コープ ] > [ 脅威マップ ] で使用れます。 [OK] をクリックします。 Palo Alto Networks Panorama のセットアップ M-Series アプライアンスのセットアップ M-Series アプライアンスの初期設定(続) ステップ 5 1. DNS サーバーと更新サーバーを設 定します。 2. 3. [Panorama ] > [ セットアップ ] > [ サービス ] の順に選択 し、設定を編集します。 [ プライマリ DNS サーバー ] および(任意で)[ セカンダ リ DNS サーバー ] の IP アドレスを入力します。 4. デフォルトの [ 更新サーバー ] は、updates.paloaltonetworks.com です。特定の更新リソースを指定する必要がある場合 は、ダイナミック更新のためのコンテンツ配信ネット ワークインフラストラクチャで、URL および固定アド レスの一覧を参照してください。 Panorama がソフトウェアまたはコンテンツ パッ ケージをダウンロードするサーバーに信頼でき る認証局によって署名された SSL 証明書がある ことを、Panorama によって検証する場合は、[ 更 新サーバー ID の確認 ] チェックボックスをオンに し ま す。こ の オ プ シ ョ ン を 有 効 に す る と、 Panorama 管理サーバーと更新サーバーの間の通 信におけるセキュリティレベルが向上します。 [OK] をクリックして、入力項目を保存します。 ステップ 6 1. デフォルトの管理パスワードを変更 します。 2. 管理インターフェイスの安全 性を維持するには、[ パスワー ド複雑性設定 ] を適用し、管理 3. 者がパスワードを変更する必 要がある間隔を指定します。 管理コンソールの左下にある [ 管理者 ] リンクをクリッ クします。 現在の管理者パスワードと新しいパスワードを適切な フィールドに入力し、新しいパスワードを安全な場所 に保管します。 OK をクリックして Commit [ コミット ] をクリックし、 Commit Type [ コミットタイプ ] で Panorama を選択し て、さらに Commit [ コミット ] をクリックします。 ステップ 7 Palo Alto Networks 更 新 サ ー バ ー な ど、ファイアウォール管理に必要な 外部サービスへのネットワークアク セスを確認します。 Panorama から外部ネットワークアクセスが可能であることを 確認するには、ping ユーティリティを使用します。以下の例 に示すように、デフォルトゲートウェイ、DNS サーバー、お よび Palo Alto Networks 更新サーバーへの接続を確認します。 admin@Panorama-Corp> ping host updates.paloaltonetworks.com PING updates.paloaltonetworks.com (67.192.236.252) 56(84) bytes of data. 64 bytes from 67.192.236.252: icmp_seq=1 ttl=243 time=40.5 ms 64 bytes from 67.192.236.252: icmp_seq=1 ttl=243 time=53.6 ms 64 bytes from 67.192.236.252: icmp_seq=1 ttl=243 time=79.5 ms 接続を確認したら、Ctrl+C キーを押して ping を停止 します。 M-Series アプライアンスを Panorama モードまたはログコレクタモードのどちらで使用するかに 関係なく、Panorama の登録とライセンスのインストールおよび Panorama のコンテンツ更新とソ フトウェア更新のインストールに進みます。 Panorama モードからログコレクタモードへの切り替え M-Series アプライアンスをログコレクタとして使用すると、Panorama 管理サーバーから専用アプライ アンスに、ログを処理するタスクがオフロードされます。以下の手順を実行して、M-Series アプライ アンスを Panorma モードからログコレクタモードに変換します。開始する前に、ファイアウォールお よびログコレクタを管理する Panorama 管理サーバー(バーチャルアプライアンスまたは Panorama モードの M-Series アプライアンス)がすでにセットアップされていることを確認します。 Palo Alto Networks Panorama 7.0 管理者ガイド • 51 M-Series アプライアンスのセットアップ Panorama のセットアップ モードを変更するとアプライアンスが再起動し、管理アクセス設定を除くすべての設定と既存 のログデータが削除されます。 ログコレクタモードの M-Series アプライアンスでは、設定タスク用の Web インターフェイス はサポートされず、SSH(Secure Shell)アクセスのみがサポートされます。このため、M-Series アプライアンスでモードを変更する前に、「M-Series アプライアンスの初期設定」を行い、 Panorama モードの Web インターフェイスを使用して「M-Series アプライアンスにおけるデバ イス管理ライセンスのアクティベーション / 取得」を行います。 Panorama モードからログコレクタモードへの切り替え ステップ 1 以下のいずれかの方法で M-Series アプライアンスに接続し M-Series アプライアンスでコマンド ます。 ラインインターフェイス(CLI)に • コンピュータから M-Series アプライアンスのコンソール アクセスします。 ポートにシリアルケーブルを接続します。次に、端末エ ミュレーションソフトウェア(9600-8-N-1)を使用して 接続します。 • 初期設定時に M-Series アプライアンスに割り当てられた IP アドレスに対して SSH(Secure Shell)セッションを開 くには、PuTTY などの端末エミュレーションソフトウェ アを使用します。 ステップ 2 初期設定時に割り当てられたデフォルトの admin アカウン プロンプトが表示されたら、アプラ トとパスワードを使用します。 イアンスにログインします。 ステップ 3 1. ログコレクタモードに切り替えるには、次のコマンド Panorama モードからログコレクタ を入力します。 モードに切り替えます。 request system system-mode logger 2. 「Yes」と入力して、ログコレクタモードへの切り替え を確認します。アプライアンスが再起動します。[CMS Login] プロンプトが表示された場合は、ユーザー名や パスワードを入力せずに Enter を押します。Panorama のログインプロンプトが表示されたら、初期設定時に 割り当てられたデフォルトの admin アカウントとパス ワードを入力します。 ステップ 4 1. M-Series アプライアンスで CLI に再度ログインします。 アプライアンスがログコレクタモー 2. 以下のコマンドを入力します。 ドであることを確認します。 show system info | match system-mode 画面に以下のように表示されます。 system-mode: logger False と表示される場合は、M-Series アプライアンス がまだ Panorama モードであることを示します。 ステップ 5 ログコレクタを管理している Panorama アプライアンスの IP アドレスを指定 します。 CLI で以下のコマンドを入力します。 configure set deviceconfig system panorama-server <ip_address> commit これで、M-Series アプライアンスが正常にセットアップされました。ファイアウォールへのログ コレクタの割り当て、コレクタグループの定義、および Panorama を使用したログコレクタの管 理の手順は、ログ収集の管理を参照してください。 52 • Panorama 7.0 管理者ガイド Palo Alto Networks Panorama のセットアップ M-Series アプライアンスのセットアップ M-Series アプライアンスのストレージの拡張 M-100 アプライアンスにはディスクが 2 つ搭載(ストレージ容量 1TB)されており、最大 3 ペア のディスク(3TB)を追加して合計 4TB までストレージを拡張できます。M-500 アプライアンス にはディスクが 8 つ搭載(ストレージ容量 4TB)されており、最大 4 ペアのディスク(4TB)を 追加して合計 8TB までストレージを拡張できます。どちらのアプライアンスのディスクも RAID 1 構成になっています。 ログの保存領域を拡張する前に、Panorama のログ保持要件を決定を行ってください。 単体の M-Series アプライアンスがサポートしているものより多くログストレージが必要な場合 は、ログコレクタモードの M-Series アプライアンスを追加するか(管理対象コレクタの設定を 参照)、Panorama から外部の宛先へのログ転送を設定を行うことができます。 導入済みの M-Series アプライアンスにディスクペアを追加する場合、ストレージを拡張するた めにアプライアンスをオフラインにする必要はありません。追加のディスクペアが使用可能に なると、M-Series アプライアンスは、それらのディスクペアにログを再配信します。このログ の再配信処理はバックグラウンドで行われるため、M-Series アプライアンスのアップタイムお よび可用性には影響しません。しかし、このプロセスは最大ロギング率を低下させます。 Panorama > Collector Groups [Panorama > コレクタグループ ] ページの Redistribution State [ 再配信状態 ] 列に再配信プロセスの状態が表示されます。 M-Series アプライアンスのストレージの拡張 ステップ 1 ディスクペア用に次に開いているディスクベイに、ドライ 新しいディスクを適切なドライブ ブを順番に追加します。たとえば、C1/C2 の前に B1/B2 を 追加します。 ベイにインストールします。 物理ドライブの追加についての詳細は、M-100 あるいは M-500 ハードウェアリファレンスガイドを参照してくだ さい。 ステップ 2 M-Series アプライアンスには、以下のいずれかの方法で接 M-Series アプライアンスでコマンド 続できます。 ラインインターフェイス(CLI)に • コンピュータからコンソールポートにシリアルケーブ アクセスします。 ルを接続し、ターミナル エミュレーションソフトウェア (9600-8-N-1)を使用して M-Series アプライアンスに接続 します。 • M-Series アプライアンスの IP アドレスに対して SSH (Secure Shell)セッションを開くには、PuTTY などの端末 エミュレーションソフトウェアを使用します。 ステップ 3 割り当て済みのデフォルトの admin アカウントとパスワー プロンプトが表示されたら、アプラ ドを使用します。 イアンスにログインします。 Palo Alto Networks Panorama 7.0 管理者ガイド • 53 M-Series アプライアンスのセットアップ Panorama のセットアップ M-Series アプライアンスのストレージの拡張(続) ステップ 4 この例では、ディスクベイ B1 と B2 のドライブを使用して 各ディスクペアを RAID 設定でセッ います。 トアップします。 1. 以下のコマンドを入力し、プロンプトが表示されたら 要求を確認します。 ドライブ上のデータのミラー request system raid add B1 リングには、ドライブのデー request system raid add B2 タ量に応じて数分から数時間 2. RAID 設定の進行状況をモニターするには、以下のコマ かかります。 ンドを使用します。 show system raid detail RAID のセットアップが完了すると、以下の応答が表示 されます。 Disk Pair A Status Disk id A1 model size status Disk id A2 model size status Disk Pair B Status Disk id B1 model size status Disk id B2 model size status ステップ 5 1. ディスクペアをロギング用に使用可 能にします。 ディスクペアをロギング用に有効化 2. するには、このアプライアンスが Panorama で管理対象コレクタとし て追加済みである必要があります。 3. まだ追加していない場合は、 「コレク タグループの管理」を参照してくだ さい。 54 • Panorama 7.0 管理者ガイド Available clean Present :ST91000640NS :953869 MB : active sync Present :ST91000640NS :953869 MB : active sync Available clean Present :ST91000640NS :953869 MB : active sync Present :ST91000640NS :953869 MB : active sync このログコレクタを管理している Panorama 管理サー バーにアクセスします(異なるアプライアンスの場 合)。 [Panorama] > [ 管理対象コレクタ ] タブで、ログコレクタ を選択し、 「コレクタグループの管理」のステップ 8 の 手順に従います。 Commit [ コミット ] をクリックし、 Commit Type [ コミッ トタイプ ] で Panorama を選択して、さらに Commit [ コ ミット ] をクリックします。 Palo Alto Networks Panorama のセットアップ Panorama の登録とライセンスのインストール Panorama の登録とライセンスのインストール 中央管理、ロギング、およびレポート作成で Panorama を使用できるようにするには、まず、 Panorama のライセンスを、登録、アクティベーション、および取得する必要があります。Panorama のすべてのインスタンスには、ファイアウォールを管理し、サポートを受ける資格を与える有効 なライセンスが必要です。デバイス管理ライセンスにより、Panorama で管理できるファイア ウォールの最大数が決まります。このライセンスはファイアウォール上の仮想システムの数では なくファイアウォールのシリアル番号が基準になっています。サポートライセンスにより、 (例 えば最新のアプリケーションおよび脅威シグネチャを入手するための)Panorama のソフトウェ ア更新およびダイナミック コンテンツ更新が有効になります。ライセンスを購入するには、Palo Alto Networks のシステムエンジニアまたはリセラーにお問い合わせください。 Panorama の登録 Panorama サポートライセンスのアクティベーション Panorama バーチャルアプライアンスでのデバイス管理ライセンスのアクティベーション / 取得 M-Series アプライアンスにおけるデバイス管理ライセンスのアクティベーション / 取得 Panorama バーチャルアプライアンスでのデバイス管理の評価版ライセンスを実行してお り、購入した Panorama ライセンスを適用する場合は、Panorama の登録と Panorama バー チャルアプライアンスでのデバイス管理ライセンスのアクティベーション / 取得のタスクを実 行します。 Panorama の登録 Panorama の登録 ステップ 1 Panorama のシリアル番号または認 証コードを記録し、販売注文番号ま たはカスタマー ID を記録します。 認 証 コ ー ド、販 売 受 注 番 号、ま た は カ ス タ マ ー ID は、 Panorama の注文時に Palo Alto Networks カスタマー サポー トから送信されてきた受注完了電子メールに記載されて います。 シリアル番号を確認できる場所は、プラットフォームに よって異なります。 • M-Series アプライアンス — Panorama Web インターフェイ スにログインし、Dashboard [ ダッシュボード ] タブ、 General Information [ 一般情報 ] セクションの Serial # [ シ リアル番号 ] 欄の値を記録します。 • Panorama バーチャルアプライアンス — 受注完了電子メー ルを参照してください。 Palo Alto Networks Panorama 7.0 管理者ガイド • 55 Panorama の登録とライセンスのインストール Panorama のセットアップ Panorama の登録(続) ステップ 2 • 初めて登録する Palo Alto Networks アプライアンスである Panorama を登録します。手順は、サ 場合は、まだログイン情報は登録されていません。 ポートサイトにすでにログイン情報 a. Palo Alto Networks サポートサイトに移動します。 が登録されているかどうかに応じて b. ページの右側で [Register] をクリックし、[Your Email 異なります。 Address] に電子メールアドレスを入力し、ページに 表示されるコードを入力して、[Submit] をクリック します。 c. [Create Contact Details] セクションのフィールドに情 報を入力します。 d. [Display Name]、 [Confirm Email Address]、および [Password/Confirm Password] を入力します。 e. Panorama の [Device Serial Number] または [Auth Code] を入力します。 f. [Sales Order Number] または [Customer ID] を入力しま す。 g. [Submit] をクリックします。 • すでにサポートアカウントを持っている場合は、以下の 手順に従います。 a. Palo Alto Networks サポートサイトにログインします。 b. Assets [ アセット ] タブをクリックし、さらに Register New Device [ 新規デバイスを登録 ] をクリックします。 c. Panorama の [Device Serial Number] を入力します。 d. [City]、[Postal Code]、および [Country] を入力します。 e. [Submit] をクリックします。 Panorama サポートライセンスのアクティベーション Panorama M-Series アプライアンスまたは Panorama バーチャルアプライアンスで Panorama のサ ポートライセンスをアクティベーションする前に、Panorama の登録を実行する必要があります。 サポートライセンスの有効期限が切れても Panorama はまだファイアウォールおよびログコレ ク タ を 管 理 で き ま す が、ソ フ ト ウ ェ ア お よ び コ ン テ ン ツ 更 新 を 利 用 で き な く な り ま す。 Panorama のソフトウェアおよびコンテンツバージョンは、 管理対象のファイアウォールのバー ジョンと同じかそれより新しいものでなければなりません。そうでなければエラーが発生しま す。詳細は、Panorama、ログコレクタ、およびファイアウォールのバージョン互換性を参照し てください。 Panorama サポートライセンスのアクティベーション ステップ 1 [Panorama] > [ サポート ] の順に選択し、[ 認証コードを使用した機能のアクティベーション ] をオンに します。 ステップ 2 [ 認証コード ] を入力し、[OK] をクリックします。 56 • Panorama 7.0 管理者ガイド Palo Alto Networks Panorama のセットアップ Panorama の登録とライセンスのインストール Panorama サポートライセンスのアクティベーション ステップ 3 サブスクリプションがアクティベーションされていることを確認します。 Panorama バーチャルアプライアンスでのデバイス管理ライセンスのアク ティベーション / 取得 Panorama バーチャルアプライアンスでデバイス管理ライセンスのアクティベーションおよび取得 を実行する前に、 「Panorama の登録」を行う必要があります。評価版ライセンスを実行しており、 購入したライセンスを適用する場合は、購入したライセンスを登録し、アクティベーション / 取 得する必要があります。 Panorama バーチャルアプライアンスでのデバイス管理ライセンスのアクティベーション / 取得 ステップ 1 [Panorama ] > [ セットアップ ] > [ 管理 ] の順に選択し、[ 一般設定 ] を編集します。 ステップ 2 Panorama の [ シリアル番号 ](受注完了電子メールに記載)を入力し、[OK] をクリックします。 ステップ 3 Commit [ コミット ] をクリックし、Commit Type [ コミットタイプ ] で Panorama を選択して、さ らに Commit [ コミット ] をクリックします。 ライセンスによって許可される Panorama バーチャルアプライアンスで管理可能なライセン スの数を確認するには、Palo Alto サポート Web サイト(https://support.paloaltonetworks.com) にログインし、[Assets] タブを選択し、Panorama デバイスを見つけ、モデル名を表示しま す。たとえば、PAN-PRA-25 モデルでは、25 のデバイスを管理できます。このページには、 有効期限日と他のライセンス情報も表示されます。 M-Series アプライアンスにおけるデバイス管理ライセンスのアクティベー ション / 取得 M-Series アプライアンスで Panorama デバイス管理ライセンスのアクティベーションおよび取得 を行う前に: Panorama の登録。 購入した製品 / サブスクリプションの認証コードを準備します。注文時に、Palo Alto Networks カスタマー サービスから、購入に関連する認証コードを記載した電子メールが送信されま す。この電子メールが見つからない場合は、カスタマー サポートに連絡して認証コードを入 手し、それから次に進んでください。 ライセンスをアクティベーションして取得すると、[Panorama] > [ ライセンス ] ページに、関連する発行 日、有効期限日、およびそのライセンスにより Panorama で管理できるデバイスの数が表示されます。 Palo Alto Networks Panorama 7.0 管理者ガイド • 57 Panorama の登録とライセンスのインストール Panorama のセットアップ 以下の方法でライセンスをアクティベーションして取得できます。 M-Series アプライアンスにおけるデバイス管理ライセンスのアクティベーション / 取得 • Web インターフェイスを使用して、ライ 1. センスをアクティベーションおよび取得 します。 2. この方法は、Panorama で Palo Alto Networks の更新サーバーに接続する準備ができて いるが(「M-Series アプライアンスの初期 設定」タスクが完了している)、Palo Alto Networks サポート Web サイトでライセン スをアクティベーションしていない場合 に選択します。 • ライセンスサーバーからライセンス キー 1. を取得します。 Panorama で更新サーバーに接続する準備 ができていない場合(たとえば、M-Series アプライアンスの初期設定を完了してい ない場合)は、サポート Web サイトでラ イ セ ン ス を ア ク テ ィ ベ ー シ ョ ン し て、 Panorama での接続準備ができてから、Web インターフェイスを使用してアクティ ベーションされたライセンスを取得でき ます。アクティベーションされたライセ ンスを取得するプロセスは、取得とアク ティベーションの両方のプロセスよりも 2. 短い時間で処理されます。 3. 58 • Panorama 7.0 管理者ガイド [Panorama] > [ ライセンス ] の順に選択し、[ 認証コードを 使用した機能のアクティベーション ] をオンにします。 [ 認証コード ] を入力し、[OK] をクリックします。Panorama がライセンスを取得してアクティベーションします。 Palo Alto Networks サポート Web サイトでライセンスを アクティベーションします。 a. インターネットにアクセス可能なホストのブラウ ザで、Palo Alto サポート Web サイト (https://support.paloaltonetworks.com)にアクセスして ログインします。 b. Assets [ アセット ] タブの Action [ アクション ] 列で M-Series アプライアンスを探し、編集アイコンをク リックします。 c. [Authorization Code] を入力し、[Add] をクリックして ライセンスをアクティベーションします。 更新サーバーに接続するように Panorama を設定しま す。 「M-Series アプライアンスの初期設定」を参照して ください。 [Panorama] > [ ライセンス ] の順に選択し、[ ライセンス サーバーからライセンス キーを取得 ] を 選 択 し ま す。 Panorama がアクティベーションされたライセンスを取 得します。 Palo Alto Networks Panorama のセットアップ Panorama の登録とライセンスのインストール M-Series アプライアンスにおけるデバイス管理ライセンスのアクティベーション / 取得(続) • ホストから Panorama にライセンスを手動 1. でアップロードします。Panorama がそのホ ストにアクセスできる必要があります。 Panorama が セ ッ ト ア ッ プ さ れ て い て も (「M-Series アプライアンスの初期設定」タ スクを完了している)、更新サーバーと接 続されていない場合は、サポート Web サ イトでライセンスをアクティベーション し、更新サーバーに接続することができ るホストにそのライセンスをダウンロー ドして、ライセンスを Panorama にアップ ロードします。 b. Assets [ アセット ] タブの Action [ アクション ] 列で M-Series アプライアンスを探し、編集アイコンをク リックします。 c. [Authorization Code] を入力し、[Add] をクリックして ライセンスをアクティベーションします。 d. [ アクション ] 列で、ダウンロード アイコンをクリック し、ライセンス キーファイルをホストに保存します。 2. 3. 4. Palo Alto Networks Palo Alto Networks サポート Web サイトでライセンスを アクティベーションしてダウンロードします。 a. インターネットにアクセス可能なホストのブラウザ で、Palo Alto サポート Web サイト (https://support.paloaltonetworks.com)にアクセスして ログインします。 Panorama Web インターフェイスで、[Panorama] > [ ライ センス ] の順に選択し、[ ライセンス キーの手動アップロー ド ] をクリックして、[ 参照 ] をクリックします。 ホストにダウンロードしたキーファイルを選択し、[ 開 く ] をクリックします。 [OK] をクリックして、アクティベーションされたライ センス キーをアップロードします。 Panorama 7.0 管理者ガイド • 59 Panorama のコンテンツ更新とソフトウェア更新のインストール Panorama のセットアップ Panorama のコンテンツ更新とソフトウェア更新のインス トール 有効なサポートサブスクリプションにより、Panorama のソフトウェアイメージとリリース ノー トにアクセスすることができます。最新の修正およびセキュリティ強化を利用するため、最新の ソフトウェア更新にアップグレードするか、リセラーまたは Palo Alto Networks のシステムエン ジニアが推奨する更新バージョンにアップグレードすることをお勧めします。ソフトウェア更新 とコンテンツ更新をインストールする手順は、Panorama からインターネットに直接接続できる かどうか、および高可用性(HA)構成かどうかによって異なります。 Panorama、ログコレクタ、およびファイアウォールのバージョン互換性 HA 構成の Panorama にアップデートをインストール Panorama からインターネットに接続できる場合の更新のインストール Panorama からインターネットに接続できない場合の更新のインストール Panorama、ログコレクタ、およびファイアウォールのバージョン互換性 Panorama 管理サーバーと専用ログコレクタでは共に、同じバージョンの Panorama ソフトウェア を実行することを強く推奨します。 Panorama 管理サーバー上の Panorama ソフトウェアバージョンが、管理対象のファイアウォール 上の PAN-OS バージョンと同じかそれより新しいものでなければなりません。 Panorama 6.1 以降では、PAN-OS 6.0.0 ~ 6.0.3 を実行しているファイアウォールに設定をプッ シュできません。 Panorama 管理サーバー上のコンテンツバージョンが、専用ログコレクタおよび管理対象のファ イアウォール上のコンテンツバージョンと同じかそれより新しいものでなければなりません。 Panorama と専用ログコレクタおよびファイアウォールに同じバージョンのアプリケーションお よび脅威データベースをインストールすることをお勧めします。Panorama は、アプリケーショ ンおよび脅威データベースを使用して、Panorama または管理対象デバイスから開始されるレ ポートを処理するためのメタデータを取得します。専用ログコレクタにこのデータベースがイン ストールされていない場合、レポートに必要な完全なデータセットが使用できず、不完全または 不正確な情報が表示される可能性があります。ファイアウォールでは、データベースを使用し て、ログに記録されている ID を対応する脅威、URL、またはアプリケーション名と照合します。 Panorama でインストールしていなければならない最低バージョンについてはリリースノートを ご覧ください。 HA 構成の Panorama にアップデートをインストール シームレスなフェイルオーバーを確実に行うには、HA ペアのアクティブおよびパッシブの Panorama ピアが同じ Panorama バージョンであり、アプリケーションおよび脅威データベースが 同じバージョンである必要があります。以下の例では、Primary_A という名前の アクティブピア と、Secondary_B という名前の パッシブピアで構成される HA ペアのアップグレード方法を示し ます。 60 • Panorama 7.0 管理者ガイド Palo Alto Networks Panorama のセットアップ Panorama のコンテンツ更新とソフトウェア更新のインストール HA 構成の Panorama にアップデートをインストール ステップ 1 以下のいずれかの作業を行います。 パ ッ シ ブ ピ ア で あ る Secondar y_B • Panorama からインターネットに接続できる場合の更新のイ で、Panorama ソフトウェアバージョ ンストール ンをアップグレードします。 • Panorama からインターネットに接続できない場合の更新の インストール この Panorama をアップグレードすると、OS バージョンが ピアと一致しなくなるため、非稼働状態に変わります。 ステップ 2 Primary_A 上で: Primary_A をサスペンドして、フェイ 1. [Panorama] > [ 高可用性 ] の順に選択します。 ルオーバーをトリガーします。 2. Operational Commands [ 操作コマンド ] セクションで、 Suspend local Panorama [ ローカル Panorama をサスペン ド ] をクリックして、このピアをサスペンドします。 3. サスペンド済みという状態が表示されることを確認し ます。状態は、Web インターフェイスの右下隅に表示 されます。 Primary_A をサスペンド モードにするとフェイルオー バーがトリガーされ、Secondary_B がアクティブ状態に 変わります。 ステップ 3 以下のいずれかの作業を行います。 Primary_A で Panorama ソフトウェア • Panorama からインターネットに接続できる場合の更新のイ バージョンをアップグレードします。 ンストール • Panorama からインターネットに接続できない場合の更新の インストール 再起動すると、Primary_A はまずパッシブ状態になります。 デフォルトによりプリエンプションが有効になっている た め、Primary_A は 自 動 的 に ア ク テ ィ ブ 状 態 に 変 わ り、 Secondary_B はパッシブ状態に戻ります。 プリエンプションを無効にした場合はプライマリ Panorama のアクティブ状態への復元を参照してください。 ステップ 4 Panorama ソフトウェアバージョン および他のコンテンツデータベース バージョンが、両方のピアで同じで あることを確認します。 各 Panoramaピアの Dashboard [ダッシュボード] で、Panorama ソフトウェアバージョン、アプリケーションバージョンが 一致し、実行中の設定がピアと同期されていることを確認 します。 Panorama からインターネットに接続できる場合の更新のインストール Panorama からインターネットに直接接続できる場合は、次の作業を行ってコンテンツおよびソ フトウェア更新をインストールします。Panorama が高可用性(HA)構成でデプロイされている 場合、HA 構成の Panorama にアップデートをインストールに記載の順序で各ピアをアップグレー ドする必要があります。 一部のバージョンにログコレクタおよびファイアウォールをアップグレードする場合、まずは Panorama をそのバージョンにアップグレードしなければならない場合があります。 Palo Alto Networks Panorama 7.0 管理者ガイド • 61 Panorama のコンテンツ更新とソフトウェア更新のインストール Panorama のセットアップ Panorama からインターネットに接続できる場合の更新のインストール ステップ 1 ご自身のPanoramaデプロイ環境に適 切な更新をインストールしようとし ているかどうか確認します。 更新バージョンの互換性に関する極めて重要な詳細情 報については Panorama、ログコレクタ、およびファイ アウォールのバージョン互換性を、ある Panorama ソフ トウェアバージョンでインストールしなければならな い最低コンテンツバージョンについてはリリースノー トをご覧ください。 ESXi サーバー上で実行される Panorama バーチャルアプ ライアンスの場合、必ず Panorama バーチャルアプライ アンスのセットアップ前提条件にリストアップされて いる各要件を満たすサーバーを使用するようにしてく ださい。 ステップ 2 1. 現在のPanorama設定ファイルのバッ クアップを保存します。 2. アップグレードで問題が発生した場 合は、このバックアップを使用して 設定を復元することができます。 Panorama は自動的に設定の 3. バックアップを作成しますが、 アップグレード前にバック アップを作成して外部に保存 しておくことが推奨されます。 ステップ 3 1. 最新のコンテンツ更新をインストー ルします。 最初に、コンテンツ更新をイ ン ス ト ー ル し て か ら ソ フ ト 2. ウェア更新をインストールし ます。また、最初に、アプリ ケーションおよび脅威更新を インストールしてから、アン チウイルスおよび WildFire 更 新をインストールしてくださ い。URL フィルタリング更新 については、インストール順 に制約はありません。 Panorama にログインし、Panorama > Setup > Operations [Panorama > セットアップ > 操作 ] の順に選択します。 Save named Panorama configuration snapshot [名前を付け て Panorama 設定スナップショットを保存 ] をクリック し、設定の Name [ 名前 ] を入力して OK をクリックし ます。 Export named Panorama configuration snapshot [ 名前を付 けて Panorama 設定スナップショットを保存 ] をクリッ クし、先ほど保存した設定の Name [ 名前 ] を選択して OK をクリックし、エクスポートされたファイルを Panorama の外部に保存します。 Panorama > Dynamic Updates [Panorama > 動的更新 ] を選 択し、Check Now [ 今すぐチェック ] をクリックして最 新の更新を確認します。[ アクション ] 列の値が [ ダウン ロード ] の場合は、入手可能な更新があります。 コンテンツタイプごとに以下の手順を実行します。 a. Action [ アクション ] 列にある Download [ ダウンロー ド ] をクリックし、目的のバージョンを取得します。 b. Action [ アクション ] 列の Install [ インストール ] をク リックします。インストールが完了すると、[ 現在イン ストール済み ] 列にチェックマークが表示されます。 ステップ 4 Panorama > Software [Panorama > ソフトウェア ] を選択し、 ソフトウェア更新パスを決定します。 Currently Installed [ インストール済み ] 列でどのバージョン にチェックが入っているのか確認します。現在のバージョ ンと目標のバージョンの間に Panorama のメジャーアップ デートがある場合は、これをスキップすることはできませ ん。例えば、Panorama 5.0.13 から Panorama 7.0.2 にアップグ レードする場合、次の作業が必須になります。 1. Panorama 5.1.0 をダウンロード、 インストールして再起動。 2. Panorama 6.0.0 をダウンロード、 インストールして再起動。 3. Panorama 6.1.0 をダウンロード、 インストールして再起動。 4. インストールや再起動はせずに Panorama 7.0.1 をダウン ロード(7.0 代のバージョンでは 7.0.0 ではなく 7.0.1 が 推奨されます)。 5. Panorama 7.0.2 をダウンロード、 インストールして再起動。 62 • Panorama 7.0 管理者ガイド Palo Alto Networks Panorama のセットアップ Panorama のコンテンツ更新とソフトウェア更新のインストール Panorama からインターネットに接続できる場合の更新のインストール(続) ステップ 5 1. ソフトウェア更新をインストールし ます。 更新パスに従い、インストールが必 要な更新ごとにこのステップを繰り 2. 返します。 3. 4. Panorama > Software [Panorama > ソフトウェア ] を選択 し、Check Now [ 今すぐチェック ] をクリックして最新 の更新を確認します。更新が入手可能な場合は、[ アク ション ] 列に [ ダウンロード ] リンクが表示されます。 更新を Download [ ダウンロード ] します。プロセスが 終了すると、Action [ アクション ] の値が Install [ イン ストール ] に変わります。 更新を Install [ インストール ] します。 インストール中の更新で再起動が必要な場合は、実行 します(ステップ 4 を参照)。 • 再起動のプロンプトが表示されたら、 [ はい ] をク リックします。[CMS Login] プロンプトが表示された 場合は、ユーザー名やパスワードを入力せずに Enter を押します。Panorama のログインプロンプトが表示 されたら、初期設定時に設定したユーザー名 / パス ワードを入力します。 • 再 起 動 の プ ロ ン プ ト が 表 示 さ れ な い 場 合 は、 Panorama > Setup > Operations [Panorama > セットアッ プ > 操作 ] の順に選択し、Device Operations [ デバイ スの操作 ] セクションで Reboot Panorama [Panorama の再起動 ] をクリックします。 ステップ 6 Panorama を再起動したら、以下のタスクを実行します。 VMware ESXi サーバー上で Panorama 1. VMware vSphere クライアントにアクセスして Virtual バーチャルアプライアンスの設定を Machines [ 仮想マシン ] タブを選択します。 行います。 2. Panorama バーチャルアプライアンスを右クリックし、 Power > Power Off [ 電源 > 電源オフ ] を選択します。 ESXi サーバー上で実行されている Panorama 5.1 より前のバージョンか 3. Panorama バーチャルアプライアンスを右クリックし、 ら Panorama 5.1 以降のバージョンに Edit Settings [ 設定変更 ] を選択し、Memory [ メモリ ]、 アップグレードする際はこれが必須 Guest Operating System [ ゲスト オペレーティングシス です。 テム ]、および SCSI Controller [SCSI コントローラ ] の値 を Panorama をインストールします。の作業にリスト アップされている値に設定し、完了したら OK をクリッ クします。 4. Panorama バーチャルアプライアンスを右クリックし、 Power > Power On [ 電源 > 電源オン ] を選択します。 Panorama からインターネットに接続できない場合の更新のインストール Panorama からインターネットに直接接続できない場合は、次の作業を行ってコンテンツおよび ソフトウェア更新をインストールします。Panorama が高可用性(HA)構成でデプロイされてい る場合、HA 構成の Panorama にアップデートをインストールに記載の順序で各ピアをアップグ レードする必要があります。 一部のバージョンにログコレクタおよびファイアウォールをアップグレードする場合、まずは Panorama をそのバージョンにアップグレードしなければならない場合があります。 Palo Alto Networks Panorama 7.0 管理者ガイド • 63 Panorama のコンテンツ更新とソフトウェア更新のインストール Panorama のセットアップ Panorama からインターネットに接続できない場合の更新のインストール ステップ 1 ご自身のPanoramaデプロイ環境に適 切な更新をインストールしようとし ているかどうか確認します。 更新バージョンの互換性に関する極めて重要な詳細情 報については Panorama、ログコレクタ、およびファイ アウォールのバージョン互換性を、ある Panorama ソフ トウェアバージョンでインストールしなければならな い最低コンテンツバージョンについてはリリースノー トをご覧ください。 アプリケーションスタックおよび脅威サブスクリプ ションを持っている場合、Panorama がインターネット に接続されていなければアプリケーション更新のみを インストールできます。脅威アップデートについては、 Panorama からインターネットに接続できる場合の更新 のインストールを行う必要があります。 ESXi サーバー上で実行される Panorama バーチャルアプ ライアンスの場合、必ず Panorama バーチャルアプライ アンスのセットアップ前提条件にリストアップされて いる各要件を満たすサーバーを使用するようにしてく ださい。 ステップ 2 1. Panorama にログインし、Panorama > Setup > Operations 現在のPanorama設定ファイルのバッ [Panorama > セットアップ > 操作 ] の順に選択します。 クアップを保存します。 2. Save named Panorama configuration snapshot [名前を付け て Panorama 設定スナップショットを保存 ] をクリック アップグレードで問題が発生した場 し、設定の Name [ 名前 ] を入力して OK をクリックし 合は、このバックアップを使用して ます。 設定を復元することができます。 3. Export named Panorama configuration snapshot [ 名前を付 Panoramaは自動的に設定のバッ けて Panorama 設定スナップショットを保存 ] をクリッ クアップを作成しますが、アッ クし、先ほど保存した設定の Name [ 名前 ] を選択して プグレード前にバックアップ OK をクリックし、エクスポートされたファイルを を作成して外部に保存してお Panorama の外部に保存します。 くことが推奨されます。 ステップ 3 Panorama > Software [Panorama > ソフトウェア ] を選択し、 ソフトウェア更新パスを決定します。 Currently Installed [ インストール済み ] 列でどのバージョン にチェックが入っているのか確認します。現在のバージョ ンと目標のバージョンの間に Panorama のメジャーアップ デートがある場合は、これをスキップすることはできませ ん。例えば、Panorama 5.0.13 から Panorama 7.0.2 にアップグ レードする場合、次の作業が必須になります。 1. Panorama 5.1.0 をアップロード、 インストールして再起動。 2. Panorama 6.0.0 をアップロード、 インストールして再起動。 3. Panorama 6.1.0 をアップロード、 インストールして再起動。 4. インストールや再起動はせずに Panorama 7.0.1 をアップ ロード(7.0 代のバージョンでは 7.0.0 ではなく 7.0.1 が 推奨されます)。 5. Panorama 7.0.2 をアップロード、 インストールして再起動。 64 • Panorama 7.0 管理者ガイド Palo Alto Networks Panorama のセットアップ Panorama のコンテンツ更新とソフトウェア更新のインストール Panorama からインターネットに接続できない場合の更新のインストール(続) ステップ 4 1. インターネットにアクセスできるホ 2. ストに、コンテンツ更新とソフト ウェア更新にダウンロードします。 3. Panorama がそのホストにアクセス できる必要があります。 4. 5. 6. ステップ 5 1. コンテンツ更新をインストールしま す。 2. 最初に、コンテンツ更新をイ ンストールしてからソフト ウェア更新をインストールし ます。また、アンチウィルス 更新と WildFire 更新の前に、 アプリケーション更新をイン ストールする必要がありま す。URL フィルタリング更新 については、インストール順 に制約はありません。 Palo Alto Networks Palo Alto サポートウェブサイトにログインします。 Resources [ リソース ] セクションで Dynamic Updates [ 動 的更新 ] をクリックします。 目的のコンテンツ更新が含まれているセクションで Download [ ダウンロード ] をクリックし、ファイルをホ ストに保存します。アップデートするコンテンツタイ プごとにこのステップを繰り返します。 Palo Alto サポート Web サイトのメインページに戻り、 Resources [ リソース ] セクションの Software Updates [ ソ フトウェア更新 ] をクリックします。 [ ダウンロード ] 列の表示を確認し、インストールす るバージョンを決定します。次のように、更新パッ ケージのファイル名はプラットフォームを示してい ます。Panorama バーチャルアプライアンスの場合は Panorama-ESX-< バージョン >、Panorama M-Series ア プライアンスの場合は Panorama-m-< バージョン >。 ファイル名をクリックして、そのファイルをホストに 保存します。 Panorama で Panorama > Dynamic Updates [Panorama > 動 的更新 ] の順に選択します。 コンテンツタイプごとに以下の手順を実行します。 a. Upload [ アップロード ] をクリックし、コンテンツの Type [ タイプ ] を選択し、更新を Browse [ 参照 ] して OK をクリックします。 b. Install From File [ ファイルからインストール ] をク リックし、Package Type [ パッケージタイプ ] を選択 して OK をクリックします。 Package Type [ パッケージタイプ ] を Applications and Threats [ アプリケーションおよび脅威 ] に 設定する場合、Panorama はアプリケーション 更新はインストールしますが、脅威アップ デートはインストールしません。インター ネット接続が無い場合、Panorama は脅威アッ プデートを行えません。 Panorama 7.0 管理者ガイド • 65 別の Panorama プラットフォームに移行 Panorama のセットアップ Panorama からインターネットに接続できない場合の更新のインストール(続) ステップ 6 1. ソフトウェア更新をインストールし ます。 2. 3. 4. [Panorama] > [ ソフトウェア ] ページで、[ アップロード ] をクリックします。 更新を Browse [ 参照 ] し、Panorama が HA 構成の場合 は Sync To Peer [ ピアと同期 ] のチェックボックスをオ ンにして(ソフトウェアイメージをセカンダリピアに プッシュするため)OK をクリックします。 Action [ アクション ] 列の Install [ インストール ] をク リックします。 インストール中の更新で再起動が必要な場合は、実行 します(ステップ 3 を参照)。 • 再起動のプロンプトが表示されたら、 [ はい ] をク リックします。[CMS Login] プロンプトが表示された 場合は、ユーザー名やパスワードを入力せずに Enter を押します。Panorama のログインプロンプトが表示 されたら、初期設定時に設定したユーザー名および パスワードを入力します。 • 再 起 動 の プ ロ ン プ ト が 表 示 さ れ な い 場 合 は、 Panorama > Setup > Operations [Panorama > セットアッ プ > 操作 ] の順に選択し、Device Operations [ デバイ スの操作 ] セクションで Reboot Panorama [Panorama の再起動 ] をクリックします。 ステップ 7 Panorama を再起動したら、以下のタスクを実行します。 VMware ESXi サーバー上で Panorama 1. VMware vSphere クライアントにアクセスして Virtual バーチャルアプライアンスの設定を Machines [ 仮想マシン ] タブを選択します。 行います。 2. Panorama バーチャルアプライアンスを右クリックし、 Power > Power Off [ 電源 > 電源オフ ] を選択します。 ESXi サーバー上で実行されている Panorama 5.1 より前のバージョンか 3. Panorama バーチャルアプライアンスを右クリックし、 ら Panorama 5.1 以降のバージョンに Edit Settings [ 設定変更 ] を選択し、Memory [ メモリ ]、 アップグレードする際はこれが必須 Guest Operating System [ ゲスト オペレーティングシス です。 テム ]、および SCSI Controller [SCSI コントローラ ] の値 を Panorama をインストールします。の作業にリスト アップされている値に設定し、完了したら OK をクリッ クします。 4. Panorama バーチャルアプライアンスを右クリックし、 Power > Power On [ 電源 > 電源オン ] を選択します。 別の Panorama プラットフォームに移行 ネットワークの要件が変わった(例えばロギング率が増加)際は、この要件に対応できる Panorama プラットフォームにPanorama管理サーバーおよび専用ログコレクタを移行することができます。 Panorama バーチャルアプライアンスから M-Series アプライアンスへの移行 M-100 アプライアンスから M-500 アプライアンスに移行 66 • Panorama 7.0 管理者ガイド Palo Alto Networks Panorama のセットアップ 別の Panorama プラットフォームに移行 Panorama バーチャルアプライアンスから M-Series アプライアンスへの移行 Panorama 設定は Panorama バーチャルアプライアンスから M-Series アプライアンスに移行できま す。しかし、Panorama バーチャルアプライアンスと M-Series アプライアンスではログフォーマッ トに互換性がないため、ログを移行することはできません。そのため、Panorama バーチャルア プライアンスに保存されている以前のログを使用し続けたい場合は、移行後も Panorama バー チャルアプライアンスを実行しておく必要があります。移行後、M-Series アプライアンスはファ イアウォールが転送した新しいログを収集します。移行前のログの有効期限が切れた、あるいは 時間が経ったために使い道がなくなれば、Panorama バーチャルアプライアンスをシャットダウ ンすることができます。 Panorama バーチャルアプライアンスから M-Series アプライアンスへの移行 ステップ 1 移行計画を立てます。 M-Series アプライアンスで現在のソフトウェアの新しい バージョンが必要な場合(M-500 アプライアンスには Panorama 7.0 以降のバージョンが必要)は、移行前に Panorama バーチャルアプライアンスのソフトウェアを アップグレードします。ソフトウェアバージョンについ ての重要な情報は Panorama、ログコレクタ、およびファ イアウォールのバージョン互換性を参照してください。 移行用に保守期間をスケジュール設定します。Panorama バーチャルアプライアンスがオフラインになっても、 M-Series アプライアンスがオンラインになった後で ファイアウォールはログをバッファリングして転送す ることができますが、移行を保守期間中に完了させる ことで、Panorama プラットフォームを切り替える際に ログがバッファ容量を超過して失われるリスクを最低 限に抑えられます。 移行後も既存のログを利用するために Panorama バー チャルアプライアンスへのアクセスを保持するかどう かを検討します。最も効率の良いアプローチは、新し い IP アドレスを Panorama バーチャルアプライアンス に割り当て、以前の IP アドレスは M-Series アプライア ンス用に再利用することです。これにより、ファイア ウォールごとに Panorama の IP アドレスを再設定する ことなく、Panorama バーチャルアプライアンスへのア クセスを維持し、ファイアウォールが M-Series アプラ イアンスに向かうことができます。 ステップ 2 1. サブスクリプションを新しいプ ラットフォームに移行します。 2. 新しいサポートライセンスおよび移行ライセンスを購入 します。 失効させる Panorama バーチャルアプライアンス、新し い M-Series アプライアンスを購入したときに受け取っ た認証コード、および移行の発効日を販売代理店に伝 え ま す。発 効 日、Palo Alto Networks は 認 証 コ ー ド を M-Series アプライアンスのシリアル番号に自動的に適 用し、Panorama バーチャルアプライアンスのサポート 契約を失効させ、M-Series アプライアンスのサポートを 開始します。発行後から移行を完了させなければなら ない期間については、販売担当者にお尋ねください。こ の 期 間 の 終 わ り に は、Palo Alto Networks に よ っ て Panorama バーチャルアプライアンスに対するサポート 資格が取り消されるため、その後はソフトウェア更新 やコンテンツ更新を受信できなくなります。 Palo Alto Networks Panorama 7.0 管理者ガイド • 67 別の Panorama プラットフォームに移行 Panorama のセットアップ Panorama バーチャルアプライアンスから M-Series アプライアンスへの移行(続) ステップ 3 1. Panorama バーチャルアプライアン スからPanorama設定をエクスポート します。 2. 3. ステップ 4 移行後に Panorama バーチャルアプ ライアンスにアクセスする必要が 無い場合は電源を切ります。あるい は移行後もアクセスする必要があ る場合は新しいIPアドレスをその管 理(MGT)インターフェイスに割り 当てます。 Panorama バーチャルアプライアンスの電源を切る方法につ いては VMware プラットフォームのドキュメントを参照し てください。 Panorama バーチャルアプライアンスのIPアドレスを変更する には: 1. Panorama > Setup > Management [Panorama > セットアッ プ > 管理 ] の順に選択し、Management Interface Settings [ 管理インターフェイス設定 ] を編集します。 2. 新しい IP Address [IP アドレス ] を入力して OK をクリッ クします。 3. Commit [ コミット ] をクリックし、Commit Type [ コミッ トタイプ ] で Panorama を選択して、さらに Commit [ コ ミット ] をクリックします。 ステップ 5 1. M-Series アプライアンスの初期セット アップを実行します。 2. 3. 4. 5. 6. ステップ 6 1. Panorama バーチャルアプライアン スからエクスポートしたPanorama設 2. 定スナップショットを M-Series アプ ライアンスに読み込みます。 68 • Panorama 7.0 管理者ガイド Panorama バーチャルアプライアンスにログインし、 Panorama > Setup > Operations [Panorama > セットアッ プ > 操作 ] の順に選択します。 Save named Panorama configuration snapshot [ 名前を付け て Panorama 設定スナップショットを保存 ] をクリック し、設定を識別できる Name [ 名前 ] を入力して OK を クリックします。 Export named Panorama configuration snapshot [ 名前を付け て Panorama 設定スナップショットを保存 ] をクリック し、先ほど保存した設定の Name [ 名前 ] を選択して OK をクリックします。Panorama が XML ファイルの形式で 設定をクライアントシステムにエクスポートします。 M-Series アプライアンスをラックマウントします。手順 は、 M-100 あるいは M-500 アプライアンスのハードウェ アリファレンスガイドを参照してください。 M-Series アプライアンスの初期設定を行い、アクティブ なライセンスおよび更新のインストールに必要なネッ トワーク接続を定義します。 Panorama の登録。 Panorama サポートライセンスのアクティベーション。 M-Series アプライアンスにおけるデバイス管理ライセン スのアクティベーション / 取得。移行ライセンスの認証 コードを使用します。 Panorama のコンテンツ更新とソフトウェア更新のイン ストール。Panorama バーチャルアプライアンスのもの と同じバージョンをインストールします。 M-Series アプライアンスで、Panorama > Setup > Operations [Panorama > セットアップ > 操作 ] の順に選択します。 Import named Panorama configuration snapshot [ 名前を付 けて保存した Panorama 設定スナップショットをイン ポート ] をクリックし、Panorama バーチャルアプライ アンスからエクスポートした Panorama の設定ファイル を Browse [ 参照 ] し、OK をクリックします。 Palo Alto Networks Panorama のセットアップ 別の Panorama プラットフォームに移行 Panorama バーチャルアプライアンスから M-Series アプライアンスへの移行(続) 3. Load named Panorama configuration snapshot [ 名前を付け て保存した Panorama 設定スナップショットを読み込み ] をクリックし、先ほどインポートした設定の Name [ 名 前 ] を選択し、さらに Decryption Key [ 復号化キー ] (Panorama のマスターキー)を選択して OK をクリック します。読み込んだ設定で Panorama が現在の候補構成 を上書きします。設定ファイルのロード時にエラーが発 生すると Panorama が表示を行います。 4. エラーが発生した場合は、それらのエラーをローカル ファイルに保存します。必ず各エラーを解決し、正常 に設定が移行されるようにします。 ステップ 7 1. M-Series アプライアンスで設定を変 2. 更します。 M-Series アプライアンスが Panorama 3. バーチャルアプライアンスの値以外 のものを使用する場合はこれが必須 です。 ログを利用するために Panorama バーチャルアプライアンスへのアク セスを維持する場合は、M-Series アプ ライアンスに対して別のホスト名お よび IP アドレスを使用します。 ステップ 8 1. M-Series アプライアンスにデフォル トの管理対象コレクタおよびコレ 2. クタグループを追加し直します。 Panorama バーチャルアプライアン 3. スから設定を読み込む(ステップ 6) ことで、各 M-Series アプライアンス で事前定義されているデフォルト の管理対象コレクタおよびコレク タグループが削除されます。 ステップ 9 1. M-Series アプライアンスをファイア ウォールと同期してファイア ウォールの管理を再開します。 このステップは保守期間中に 完了させ、ネットワークの中 断を最小限に抑えます。 2. 3. Palo Alto Networks [Panorama] > [ セットアップ ] > [ 管理 ] の順に選択します。 General Settings [ 一般設定 ] を編集し、Hostname [ ホスト 名 ] を変更して OK をクリックします。 Management Interface Settings [ 管理インターフェイス設 定 ] を編集し、必要に応じて値を変更して OK をクリッ クします。 M-Series アプライアンスのローカルの管理対象コレクタ の設定を行います。 デフォルトの管理対象コレクタのコレクタグループの 管理を行います。 Commit [ コミット ] をクリックし、 Commit Type [ コミッ トタイプ ] で Panorama を選択して、さらに Commit [ コ ミット ] をクリックします。 M-Series アプライアンス上で Panorama > Managed Devices [Panorama > 管理対象のデバイス ] を選択し、Device State [ デバイス状態 ] 列にファイアウォールが Connected [ 接 続済み ] と表示されることを確認します。 この段階では、Shared Policy [ 共有ポリシー ](デバイス グループ)および Template [ テンプレート ] 列にファイ アウォールが Out of sync [ 非同期 ] であると表示されま す。 Commit [ コミット ] をクリックして、Commit Type [ コ ミットタイプ ] として Device Group [ デバイスグループ ] を選択し、さらにすべてのデバイスグループを選択し、 Include Device and Network Templates [ デバイスおよび ネットワークテンプレートを含める ] チェックボック スをオンにして再び Commit [ コミット ] をクリックし ます。 Panorama > Managed Devices [Panorama > 管理対象のデ バイス ] ページにて、Shared Policy [ 共有ポリシー ] およ び Template [ テンプレート ] 列にファイアウォールが In sync [ 同期中 ] と表示されることを確認します。 Panorama 7.0 管理者ガイド • 69 別の Panorama プラットフォームに移行 Panorama のセットアップ M-100 アプライアンスから M-500 アプライアンスに移行 Panorama 設定およびファイアウォールログは M-100 アプライアンスから Panorama モードの M-500 アプライアンスに移行することができます(Panorama 管理サーバー)。また、ファイアウォール ログを M-100 アプライアンスからログコレクタモードの M-500 アプライアンスに移行すること もできます(専用ログコレクタ)。コレクタグループのログコレクタはすべて同じハードウェア モデルでなければならないため、コレクタグループ内の M-100 アプライアンスを移行する場合 はすべて移行する必要があります。 Panorama 管理サーバーをアクティブ / パッシブ高可用性(HA)構成でデプロイし、構成ファイ ルおよびログをどちらも移行し、M-100 アプライアンスから得た IP アドレスを M-500 アプライ アンスで再利用する流れは次のようになります。 ログのみを移行して Panorama 設定は移行しない場合は、ログコレクタモードでログを新しい M-Series アプライアンスに移行あるいは Panorama モードでログを新しい M-Series アプライ アンスに移行以下のステップを実行します。 M-100 アプライアンスから M-500 アプライアンスに移行 ステップ 1 移行計画を立てます。 M-100 アプライアンスの現在のソフトウェアが 7.0 より 前のバージョンである場合はソフトウェアをアップグ レードします。M-500 アプライアンスでは Panorama 7.0 以降のバージョンが必要です。ソフトウェアバージョン についての重要な情報は Panorama、ログコレクタ、お よびファイアウォールのバージョン互換性を参照して ください。 システムおよび設定ログを保持したい場合は、移行前に Panorama およびログコレクタが生成するシステムおよ び設定ログを外部の宛先に転送します。Panorama モー ドのM-Seriesアプライアンスがこれらのログタイプを保 存する SSD は、プラットフォーム間で移動させること ができません。移動できるのはファイアウォールログを 保存する RAID ドライブのみです。 移行用に保守期間をスケジュール設定します。M-100 ア プライアンスがオフラインになっても、M-500 アプライ アンスがオンラインになった後でファイアウォールは ログをバッファリングして転送することができますが、 移行を保守期間中に完了させることで、Panorama プラッ トフォームを切り替える際にログがバッファ容量を超 過して失われるリスクを最低限に抑えられます。 ステップ 2 1. サブスクリプションを新しいプ ラットフォームに移行します。 2. 70 • Panorama 7.0 管理者ガイド 新しいサポートライセンスおよび移行ライセンスを購 入します。 失効させる M-100 アプライアンス、M-500 アプライア ンスを購入したときに受け取った認証コード、および 移行の発効日を販売代理店に伝えます。発効日、Palo Alto Networks は認証コードを M-500 アプライアンスの シリアル番号に自動的に適用し、M-100 アプライアン スのサポート契約を失効させ、M-500 アプライアンス のサポートを開始します。発行後から移行を完了させ なければならない期間については、販売担当者にお尋 ねください。この期間の終わりには、Palo Alto Networks によって M-100 アプライアンスに対するサポート資格 が取り消され、その後はソフトウェア更新やコンテン ツ更新を受信できなくなります。 Palo Alto Networks Panorama のセットアップ 別の Panorama プラットフォームに移行 M-100 アプライアンスから M-500 アプライアンスに移行(続) ステップ 3 各 M-100 アプライアンス HA ピアに対してこの作業を実行 Panorama モードの各 M-100 アプライ します。 アンスから Panorama 設定をエクス 1. M-100 アプライアンスにログインし、Panorama > Setup > ポートします。 Operations [Panorama > セットアップ > 操作 ] の順に選 択します。 2. Save named Panorama configuration snapshot [ 名前を付け て Panorama 設定スナップショットを保存 ] をクリック し、設定を識別できる Name [ 名前 ] を入力して OK を クリックします。 3. Export named Panorama configuration snapshot [ 名前を付け て Panorama 設定スナップショットを保存 ] をクリック し、先ほど保存した設定の Name [ 名前 ] を選択して OK をクリックします。Panorama が XML ファイルの形式で 設定をクライアントシステムにエクスポートします。 ステップ 4 1. 電源を切る M-100 アプライアンス HA ピアにログイン します。 Panorama モードの M-100 アプライア ンスの電源をオフにします。 2. Device > Setup > Operations [ デバイス > 設定 > 操作 ] を 開き、Shutdown Panorama [Panorama のシャットダウン ] をクリックします。 ステップ 5 1. M-500 アプライアンスをラックマウントします。方法 各 M-500 アプライアンスの初期セッ については、M-500 アプライアンスのハードウェアリ トアップを実行します。 ファレンスガイドを参照してください。 2. M-Series アプライアンスの初期設定を行い、アクティブ なライセンスおよび更新のインストールに必要なネッ トワーク接続を定義します。 3. Panorama の登録。 4. Panorama サポートライセンスのアクティベーション。 5. デバイス管理ライセンスのアクティベーションを行い ます。移行ライセンスの認証コードを使用します。 6. Panorama のコンテンツ更新とソフトウェア更新のイン ストール。M-100 アプライアンスのものと同じバージョ ンをインストールします。 7. (専用のログコレクタのみ)Panorama モードからログコ レクタモードへの切り替えを行います。 ステップ 6 M-500 アプライアンス HA ピアに対してこの作業を実行し 各 M-100 アプライアンスからエクス ます。 ポートした Panorama 設定スナップ 1. M-500 アプライアンスにログインし、Panorama > Setup > シ ョ ッ ト を Panorama モ ー ド の 各 Operations [Panorama > セットアップ > 操作 ] の順に選 M-500 アプライアンス(両方の HA 択します。 ピア)に読み込みます。 2. Import named Panorama configuration snapshot [ 名前を付け て保存した Panorama 設定スナップショットをインポー ト ] をクリックし、M-500 アプライアンスに付与するの と同じ HA 優先度(プライマリあるいはセカンダリ)を 持つ M-100 アプライアンスからエクスポートした構成 ファイルを Browse [ 参照 ] し、OK をクリックします。 Palo Alto Networks Panorama 7.0 管理者ガイド • 71 別の Panorama プラットフォームに移行 Panorama のセットアップ M-100 アプライアンスから M-500 アプライアンスに移行(続) 3. Load named Panorama configuration snapshot [名前を付け て保存した Panorama 設定スナップショットを読み込み ] をクリックし、先ほどインポートした設定の Name [ 名前 ] を選択し、さらに Decryption Key [ 復号化キー ] (Panorama のマスターキー)を選択して OK をクリック します。読み込んだ設定で Panorama が現在の候補構成 を上書きします。設定ファイルのロード時にエラーが 発生すると Panorama が表示を行います。エラーが発生 した場合は、それらのエラーをローカルファイルに保 存します。必ず各エラーを解決し、正常に設定が移行 されるようにします。 4. Commit [ コミット ] および Validate Changes [ 変更を検 証 ] をクリックします。次に進む前にすべてのエラー を解決します。 5. Commit [ コミット ] をクリックし、Commit Type [ コミッ トタイプ ] で Panorama を選択して、さらに Commit [ コ ミット ] をクリックします。 ステップ 7 1. Panorama モードの M-500 アプライア ンスHAピア間で設定を同期します。 2. アクティブ M-500 アプライアンス上で Dashboard [ ダッ シュボード ] タブを選択し、High Availability [ 高可用性 ] ウィジェットで Sync to peer [ ピアと同期 ] をクリック します。 High Availability [ 高可用性 ] ウィジェットにて、Local [ ローカル ](プライマリ M-500 アプライアンス)が active [ アクティブ ] であり、Peer [ ピア ] がパッシブで あり、Running Config [ 実行中の設定 ] が synchronized [ 同期済み ] であることを確認します。 ステップ 8 次の作業では、M-500 アプライアンスに対してすでに行っ RAID ドライブを各 M-100 アプライ たステップはすべて飛ばしてください。 アンスから交換先の M-500 アプライ • Panorama モードでログを新しい M-Series アプライアンス アンスに移動させ、ファイアウォー に移行。M-100 アプライアンスがデフォルトの管理対象 ルから収集したログを移行します。 コレクタを使用してログ収集を行う場合のみ、M-100 ア プライアンスからログを移行してください。 • ログコレクタモードでログを新しい M-Series アプライア ンスに移行。 ステップ 9 1. Panorama モードのアクティブ M-500 アプライアンスをファイアウォー ルと同期してファイアウォールの 管理を再開します。 このステップは保守期間中に 完了させ、ネットワークの中 断を最小限に抑えます。 2. 3. 72 • Panorama 7.0 管理者ガイド アクティブM-500アプライアンスでPanorama > Managed Devices [Panorama > 管理対象のデバイス ] を選択し、 Device State [ デバイス状態 ] 列にファイアウォールが Connected [ 接続済み ] と表示されることを確認します。 この段階では、Shared Policy [ 共有ポリシー ](デバイス グループ)および Template [ テンプレート ] 列にファイ アウォールが Out of sync [非同期]であると表示されます。 Commit [ コミット ] をクリックして、 Commit Type [ コミッ トタイプ ] として Device Group [ デバイスグループ ] を選 択 し、さら にす べて のデ バイ ス グル ープ を選 択し、 Include Device and Network Templates [デバイスおよびネッ トワークテンプレートを含める ] チェックボックスをオ ンにして再び Commit [ コミット ] をクリックします。 Panorama > Managed Devices [Panorama > 管理対象の デバイス ] ページにて、Shared Policy [ 共有ポリシー ] および Template [ テンプレート ] 列にファイアウォー ルが In sync [ 同期中 ] と表示されることを確認します。 Palo Alto Networks Panorama のセットアップ Panorama 管理インターフェイスへのアクセスおよびナビゲート Panorama 管理インターフェイスへのアクセスおよびナビ ゲート Panorama には以下の 3 つの管理インターフェイスがあります。 Web interface [Web インターフェイス ] — Panorama Web インターフェイスは、 ファイアウォール の Web インターフェイスに似た外観と操作感を備えるよう意図的に設計されています。ファ イアウォールを使い慣れていれば、Panorama Web インターフェイスでのナビゲートや管理タ スクの実行、レポートの生成を比較的簡単に行うことができます。このグラフィカルインター フェイスでは、HTTPS を使用して Panorama にアクセスできます。これは、管理タスクを実行 するための最適な方法です。Panorama WebインターフェイスへのログインおよびPanorama Web インターフェイスへのナビゲートを参照してください。Panorama への HTTP アクセスを有効 にする必要がある場合は、[Panorama] > [ セットアップ ] > [ 管理 ] タブで [ 管理インターフェイス設 定 ] を編集します。 Command line interface (CLI) [ コマンドラインインターフェイス(CLI)] — CLI は、コマンド を間断なく入力して一連のタスクを完了できる実質的なインターフェイスです。CLI では、2 つのコマンドモード(操作および設定)がサポートされており、各モードにはコマンドとス テートメントの独自の階層があります。コマンドのネスト構造と構文に慣れると、CLI の応 答時間を短縮し、効率的な管理が可能になります。 「Panorama CLI へのログイン」を参照して ください。 XML API — XML ベースの API は、HTTP/HTTPS の要求と応答を使用して実装される Web サービスとして提供されます。内部的に開発された既存のアプリケーションやリポジトリの 操作および統合を合理化できます。API インターフェイスの使用方法についての情報は PAN-OS XML API 使用ガイドを参照してください。 Panorama Web インターフェイスへのログイン Panorama Web インターフェイスへのログイン ステップ 1 Panorama Web インターフェイスにロ グインします。 ステップ 2 (任 意)HTTP お よ び SSH(Secure Shell)アクセスを有効にします。 Web ブラウザからの安全な接続(https)を使用し、初期設 定時に割り当てた IP アドレスとパスワードを入力してロ グインします(https://<IP address>) 。 1. 2. 3. [Panorama] > [ セットアップ ] > [ 管理 ] の順に選択し、 [ 管理インターフェイス設定 ] を編集します。 インターフェイスで許可する管理サービスを選択しま す。例えば、HTTP および SSH を選択します。 [OK] をクリックします。 Panorama Web インターフェイスへのナビゲート Panorama の設定、管理対象ファイアウォールおよびログコレクタの管理とモニター、デバイス コンテキストを使用した各管理対象ファイアウォールの Web インターフェイスへのアクセスを 行うには、Panorama Web インターフェイスを使用します。Web インターフェイスの各タブのオ プションの詳細は、Panorama のオンライン ヘルプを参照してください。 Panorama Web インターフェイスには、以下のタブがあります。 Palo Alto Networks Panorama 7.0 管理者ガイド • 73 Panorama 管理インターフェイスへのアクセスおよびナビゲート Panorama のセットアップ タブ 説明 ダッシュボード Panorama モデルとネットワークアクセスの設定に関する一般情報を 表示します。このタブには、アプリケーション、ログ、システムリ ソース、およびシステム設定に関する情報を表示するウィジットが 含まれています。 ACC Panorama が管理対象ファイアウォールから収集した情報に基づい て、ネットワークの全体的なリスクと脅威レベルを表示します。 モニター ログおよびレポートを表示および管理します。 Panorama Panorama の設定、ライセンス管理、高可用性のセットアップ、ソフ トウェア更新およびセキュリティ アラートへのアクセス、管理アク セスの管理、導入済みファイアウォールとログコレクタの管理を行 います。 [ デバイスグループ ] > [ ポリシー ] 中央管理するポリシーを作成し、複数のファイアウォール / デバイ スグループに設定を適用します。 このタブを表示するには、 「デバイスグループの追加」を行う必要が あります。 [デバイスグループ] > [オブジェクト] ポリシールールが参照できるポリシーオブジェクト、および管理対 象のファイアウォール / デバイスグループが共有できるポリシーオ ブジェクトを定義します。 このタブを表示するには、 「デバイスグループの追加」を行う必要が あります。 [ テンプレート ] > [ ネットワーク ] ネットワークプロファイルなど、管理対象ファイアウォールに適用 することができるネットワーク設定を行います。 このタブを表示するには、 「テンプレートの追加」を行う必要があり ます。 [ テンプレート ] > [ デバイス ] サ ー バ ー プ ロ フ ァ イ ル や 管 理 者 ロ ー ル な ど、管 理 対 象 フ ァ イ ア ウォールに適用できるデバイス設定を行います。 このタブを表示するには、 「テンプレートの追加」を行う必要があり ます。 Panorama CLI へのログイン Panorama CLI にログインするには、シリアルポート接続を使用するか、SSH(Secure Shell)クラ イアントを使用してリモートアクセスします。 74 • Panorama 7.0 管理者ガイド Palo Alto Networks Panorama のセットアップ Panorama 管理インターフェイスへのアクセスおよびナビゲート Panorama CLI へのログイン • SSH を使用して、Panorama CLI にログイ 1. ンします。 ログコレクタモードのM-Series アプ ライアンスでも、同じ手順を使用し ます。 以下のものがあることを確認します。 • Panorama にネットワークアクセスできるコンピュータ。 • Panorama IP アドレス。 • 管理インターフェイスで有効化された SSH(任意) HTTP および SSH(Secure Shell)アクセスを有効にし ます。を参照してください。 2. SSH を使用して CLI にアクセスするには、以下の手順 を実行します。 a. SSH クライアントで Panorama IP アドレスを入力し、 ポート 22 を使用します。 b. プロンプトが表示されたら、管理アクセス認証情報 を入力します。正常にログインできると、CLI プロ ンプトが操作モードで表示されます。例 : admin@ABC_Sydney> 「SSH キーベースで CLI への認証を行う管理者を設 定」を参照してください。 • 設定モードに変更します。 設定モードに切り替えるには、プロンプトで以下のコマン ドを入力します。 admin@ABC_Sydney> configure プロンプトが admin@ABC_Sydney# に変わります。 • シリアルポート接続を使用して、Panorama 1. CLI にログインします。 以下のものがあることを確認します。 • DB-9 シリアルポートを使用して Panorama をコン ピュータに接続するヌル モデム シリアルケーブル。 • コンピュータで実行中の端末エミュレーションプロ グラム。 2. 3. Palo Alto Networks ターミナル エミュレーションソフトウェアで次の設定 を使用して接続を行います。9600 ボー、8 データ ビッ ト、1 ストップ ビット、パリティなし、ハードウェア フロー制御なし。 プロンプトが表示されたら、管理アクセス認証情報を 入力します。 Panorama 7.0 管理者ガイド • 75 Panorama への管理アクセスのセットアップ Panorama のセットアップ Panorama への管理アクセスのセットアップ Panorama はロールベースのアクセス制御(RBAC)を実装しているため、管理者の権限および役 割を指定することができます。以下のトピックでは、Panorama Web インターフェイスおよび CLI (コマンドラインインターフェイス)にアクセスするための管理者ロール、アクセスドメイン、 アカウントを作成する方法を示します。 管理者ロールプロファイルの設定 アクセスドメインの設定 管理アカウントと認証の設定 管理者ロールプロファイルの設定 管理者ロールプロファイルとは、管理アクセス権限を詳細に定義し、会社の機密情報とエンド ユーザーのプライバシーを保護できるカスタム管理ロールです。作業を行う必要がある管理イン ターフェイスの領域のみへのアクセスを管理者に許可する管理者ロールプロファイルを作成す ることが推奨されます。 管理者ロールプロファイルの設定 ステップ 1 Panorama > Admin Roles [Panorama > 管理者ロール ] の順に選択して Add [ 追加 ] をクリックします。 ステップ 2 プロファイルの Name [ 名前 ] を入力し、認証の Role [ ロール ] タイプを選択します。Panorama ま たは Device Group and Template [ デバイスグループとテンプレート ] ステップ 3 目的の設定のアイコンを次の中から切り替えることで、Panorama(Web UI)およびファイアウォー ル(Context Switch UI [ コンテキスト切り替え UI])の機能領域ごとにアクセスレベルを設定しま す。Enable(読込・書込)、Read Only [ 読込のみ ]、Disable [ 無効 ]。 カスタムロールを持つ管理者がデバイスグループあるいはテンプレートの変更を管理対 象 のフ ァ イ アウ ォ ール に コ ミッ ト する 場 合、そ の ロー ル に Panorama > Device Groups [Panorama > デバイスグループ ] および Panorama > Templates [Panorama > テンプレート ] へ の読込・書込権限を与える必要があります。以前のバージョンの Panorama からアップグ レードする場合、アップグレード プロセスでそれらのノードへの読み取り専用アクセス が提供されます。 Panorama ロールのコンテキスト切り替え権限によってファイアウォールの CLI あるいは XML API へのアクセスを管理することはできません。 ステップ 4 Role [ ロール ] タイプが Panorama の場合、各機能領域の Enabled/Disabled [ 有効 / 無効 ] のアイコ ンを切り替えて XML API へのアクセスを設定します。 ステップ 5 Role [ ロール ] タイプが Panorama の場合、Command Line [ コマンドライン ] インターフェイスへ のアクセスレベルを次の中から選択します。None [ なし ](デフォルト)、superuser [ スーパー ユーザー ]、superreader [ スーパーリーダー ]、あるいは panorama-admin。 ステップ 6 [OK] をクリックしてプロファイルを保存します。 76 • Panorama 7.0 管理者ガイド Palo Alto Networks Panorama のセットアップ Panorama への管理アクセスのセットアップ アクセスドメインの設定 アクセスドメインを使用すれば、特定のデバイスグループおよびテンプレートに対する「デバイ スグループおよびテンプレート管理者」を定義したり、その管理者がコンテキストを管理対象 ファイアウォールの Web インターフェイスに切り替える権限を制御したりすることができます。 Panorama では、最大 4,000 件のアクセスドメインがサポートされます。 アクセスドメインの設定 ステップ 1 Panorama > Access Domain [Panorama > アクセスドメイン ] の順に選択し、Add [ 追加 ] をクリック します。 ステップ 2 アクセスドメインの識別に使用する Name [ 名前 ] を入力します。 ステップ 3 Shared Objects [ 共有オブジェクト ] に対するアクセス権限を選択します。 • write [ 書き込み ] — 管理者は共有オブジェクトに対してすべての操作を実行できます。これが デフォルトの値です。 • read [ 読み取り ] — 管理者は共有オブジェクトの表示とコピーができますが、その他の操作を 実行することはできません。非共有オブジェクトの追加または共有オブジェクトのコピーを行 う場合、宛先を、共有領域ではなく、アクセスドメイン内のデバイスグループにする必要があ ります。 • shared-only [ 共有のみ ] — 管理者はオブジェクトを共有領域にのみ追加できます。管理者は、 共有オブジェクトの表示、編集、および削除ができますが、共有オブジェクトの移動とコピー はできません。 このオプションを選択すると、管理者は、非共有オブジェクトに対して表示以外のどの 操作も実行できなくなります。例えば、すべてのオブジェクトをグローバルな単一のレ ポジトリに入れる必要がある組織などでこのオプションを選択します。 ステップ 4 Device Groups [ デバイスグループ ] タブのアイコンを切り替えて、アクセスドメイン内のデバイ スグループの読込・書込あるいは読込のみの権限を有効にします。 Shared Objects [ 共有オブジェクト ] に対するアクセス権限を shared-only [ 共有のみ ] に設 定した場合、読み書きアクセス権を指定したすべてのデバイスグループのオブジェクトに 読み取り専用アクセス権が割り当てられます。 ステップ 5 Templates [ テンプレート ] タブを選択し、アクセスドメインに割り当てる各テンプレートを Add [ 追加 ] します。 ステップ 6 Device Context [ デバイス コンテキスト ] タブを選択し、アクセスドメインに割り当てるファイア ウォールを選択して OK をクリックします。管理者は、Panorama の Context [ コンテキスト ] ド ロップダウンメニューを使用してこれらのファイアウォールの Web インターフェイスにアクセ スできます。 管理アカウントと認証の設定 管理ロール、外部認証サービス(該当する場合)、およびアクセスドメイン(デバイスグループ およびテンプレート管理者用)をすでに設定している場合、管理アカウントの設定を行うことが できます。そうでない場合、次にリストアップされている他のいずれかの作業を行い、特定の種 類の認証のために管理者アカウントを設定します。 Palo Alto Networks Panorama 7.0 管理者ガイド • 77 Panorama への管理アクセスのセットアップ 管理アカウントの設定 Kerberos SSO、外部あるいはローカル認証を伴う管理者を設定 証明書ベースで Web インターフェイスへの認証を行う管理者を設定 SSH キーベースで CLI への認証を行う管理者を設定 管理者認証での RADIUS ベンダー固有属性の設定 Panorama のセットアップ 管理アカウントの設定 管理者アカウントは、Panorama 管理者の管理ロール、管理認証の方法、およびアクセスドメイ ンを指定します。 管理者アカウントを専用ログコレクタ(ログコレクタモードの M-Series アプライアンス)に追 加することはできません。専用ログコレクタでは、デフォルトのユーザー名(admin)を持つ事 前定義済みの管理者アカウントのみを利用できます。 管理アカウントの設定 ステップ 1 Panorama > Administrators [Panorama > 管理者 ] の順に選択し、Add [ 追加 ] をクリックします。 ステップ 2 [ 名前 ] に管理者のユーザー名を入力します。 ステップ 3 Panorama が認証に Kerberos SSO あるいは外部サービスを使用する場合は Authentication Profile [ 認 証プロファイル ] を選択します。Panorama がローカル認証を使用する場合は Authentication Profile [ 認証プロファイル ] を None [ なし ] に設定し、Password [ パスワード ] および Confirm Password [ 確認用パスワード ] を入力します。 ステップ 4 Administrator Type [ 管理者タイプ ] については、ロールタイプを選択します。 • Dynamic [ 動的 ] — 事前定義済みの管理者ロールを選択します。 • Custom Panorama Admin [ カスタム Panorama 管理者 ] — この管理者のために作成した管理者 ロール Profile [ プロファイル ] を選択します。 • Device Group and Template Admin [ デバイスグループおよびテンプレート管理者 ] — Access Domain to Administrator Role [ アクセスドメインから管理者ロール ] セクションでアクセスドメ インを追加し、それぞれを管理者ロールプロファイルにマッピングします。 1. [Add] をクリックします。 2. ドロップダウンリストから Access Domain [ アクセスドメイン ] 選択します。 3. 隣接する Admin Role [ 管理者ロール ] のセルをクリックします。 4. Admin Role [ 管理者ロール ] プロファイルを選択します。 ステップ 5 (任意) ローカル認証を使用する場合は Password Profile [ パスワードプロファイル ] を選択します。 ステップ 6 OK と Commit [ コミット ] をクリックし、Commit Type [ コミットタイプ ] として Panorama を選択 し、さらに Commit [ コミット ] をクリックします。 78 • Panorama 7.0 管理者ガイド Palo Alto Networks Panorama のセットアップ Panorama への管理アクセスのセットアップ Kerberos SSO、外部あるいはローカル認証を伴う管理者を設定 管理者アカウント用の管理認証を設定する際、Kerberos シングル サインオン(SSO)認証と外部 認証サービスあるいはローカル認証を組み合わせることができます。また、管理者がそれらの認 証方法のいずれかのみを使用するように設定することもできます。 Kerberos SSO、外部あるいはローカル認証を伴う管理者を設定 ステップ 1 Kerberos キータブを作成します。 Kerberos SSO 認証の場合は必須。 ステップ 2 アクセスドメインを設定します。 Kerberos キータブを作成します。キータブは、Panorama の Kerberos アカウント情報(プリンシパル名およびハッシュ されたパスワード)が含まれるファイルです。 アクセスドメインの設定。 デバイスグループおよびテンプレー ト管理者の場合はこれが必須です。 ステップ 3 管理者ロールプロファイルの設定。 管理者ロールプロファイルを設定 します。 管理者にカスタムロールを割り当 てる場合は必須。 ステップ 4 外部認証サービスを使用する場合 はそのサービスへのアクセス設定 を行います。 Panorama > Server Profiles [Panorama > サーバープロファイ ル ] を選択し、さらに認証サービス(RADIUS、TACACS+、 LDAP、あるいは Kerberos)を選択し、サーバープロファイ ルを設定します。 • RADIUS サーバープロファイルを設定します。 • TACACS+ サーバープロファイルを設定します。 • LDAP サーバープロファイルを設定します。 • Kerberos サーバープロファイルを設定します。 ステップ 5 認証プロファイルを設定します。 認証プロファイルおよびシーケンスを設定します。 Kerberos SSO あるいは外部認証を行 う場合は必須です。 管理者が複数の Kerberos レル ムに属する場合、各レルムの 認証プロファイルを作成し、 すべてのプロファイルを認証 シーケンスに割り当てられま す。その後、同じ認証シーケ ンスをすべての管理者に割り 当てることができます。 詳細は、認証プロファイルと 認証シーケンスを参照してく ださい。 ステップ 6 管理者を設定します。 Palo Alto Networks 管理アカウントの設定。 Panorama 7.0 管理者ガイド • 79 Panorama への管理アクセスのセットアップ Panorama のセットアップ 証明書ベースで Web インターフェイスへの認証を行う管理者を設定 Panorama Web インターフェイスに対するパスワード ベース認証のより安全な方法として、 Panorama に対してローカルな管理者アカウントの証明書ベースの認証を設定できます。証明書 ベースの認証では、パスワードの代わりにデジタル署名の交換と検証が行われます。 いずれかの管理者の証明書ベースの認証を設定すると、Panorama およびすべての管理者のユー ザー名 / パスワードログインが無効になり、その後管理者がログインするには証明書が必要に なります。 証明書ベースで Web インターフェイスへの認証を行う管理者を設定 ステップ 1 自己署名ルート CA 証明書を作成します。 Panorama の認証局(CA)証明書を生 または、エンタープライズ CA から証明書をイン 成します。 ポートすることもできます。 この CA 証明書を使用して、各管理者 のクライアント証明書に署名します。 ステップ 2 1. Panorama > Certificate Management > Certificate Profile Web インターフェイスへのアクセス [Panorama > 証明書の管理 > 証明書プロファイル ] の順 をセキュリティ保護するための証明 に選択し、Add [ 追加 ] をクリックします。 書プロファイルを設定します。 2. 証明書プロファイルの Name [名前]を入力し、Username Field [ ユーザー名フィールド ] で Subject [ サブジェクト ] を選択します。 3. CA Certificates [CA 証明書 ] セクションで Add [ 追加 ] を選 択し、作成した CA Certificate [CA 証明書 ] を選択します。 4. [OK] をクリックしてプロファイルを保存します。 ステップ 3 1. Panorama > Setup > Management [Panorama > セットアッ プ > 管理 ] の順に選択し、Authentication Settings [ 認証 管理者の認証に証明書プロファイル 設定 ] を編集します。 を使用するようにPanoramaを設定し ます。 2. 先ほど作成した Certificate Profile [ 証明書プロファイル ] を選択し、OK をクリックします。 ステップ 4 Panorama Web インターフェイスにアクセスする各管理者に クライアント証明書の認証を使用す 対して、管理アカウントの設定を行います。Use only client るように管理者アカウントを設定し certificate authentication (Web) [ クライアント証明書認証の みを使用(Web)] チェックボックスをオンにします。 ます。 エンタープライズ CA が生成したクライアント証明書をす でにデプロイしている場合は、ステップ 8 に進みます。そ うでない場合はそのままステップ 5 に進みます。 ステップ 5 各管理者のクライアント証明書を生 成します。 ステップ 6 クライアント証明書をエクスポート します。 Panorama で証明書を生成します。 Signed By [ 署名者 ] ドロッ プダウンリストで、作成した CA 証明書を選択します。 1. 2. 証明書をエクスポートします。 変更を Commit [ コミット ] します。Panorama が再起動し、 ログインセッションが終了します。その後、管理者は生 成されたクライアント証明書のあるクライアントシステ ムからのみ Web インターフェイスにアクセスできます。 ステップ 7 このステップを完了させる際、必要に応じてウェブブラウ Web インターフェイスにアクセスす ザのドキュメントを参照してください。 る各管理者のクライアントシステム にクライアント証明書をインポート します。 80 • Panorama 7.0 管理者ガイド Palo Alto Networks Panorama のセットアップ Panorama への管理アクセスのセットアップ 証明書ベースで Web インターフェイスへの認証を行う管理者を設定(続) ステップ 8 1. 管理者が Webインターフェイスにア クセスできることを確認します。 2. 3. 4. クライアント証明書があるコンピュータのブラウザで Panorama の IP アドレスを開きます。 プロンプトが表示されたら、インポートした証明書を 選択して OK をクリックします。ブラウザに証明書警告 が表示されます。 ブラウザの例外リストに証明書を追加します。 [ ログイン ] をクリックします。ユーザー名やパスワー ドのプロンプトは表示されずに Web インターフェイス が表示されます。 SSH キーベースで CLI への認証を行う管理者を設定 Panorama CLI へのアクセスにセキュア シェル(SSH)を使用する管理者の場合、SSH キーによっ てパスワードよりも安全な認証方式が提供されます。SSH キーでは、ブルート フォース攻撃の リスクがほぼなくなり、2 要素認証(秘密鍵とパスフレーズ)のオプションが提供され、ネット ワーク上でパスワードが送信されることはありません。さらに、CLI にアクセスするための自動 スクリプトも有効になります。 SSH キーベースで CLI への認証を行う管理者を設定 ステップ 1 SSH キー生成ツールを使用して、管 理者のクライアントシステムで非対 称のキーペアを作成します。 キーペアを生成するコマンドは、SSH クライアントのド キュメントを参照してください。 公開鍵と秘密鍵は個別のファイルです。Panorama がアクセ スできる場所に両方のファイルを保存します。セキュリ サポートされているキーフォーマッ ティ強化のため、パスフレーズを入力して、秘密鍵を暗号 ト は、IETF SECSH と Open SSH で 化します。ログイン中に、Panorama によってこのパスフ す。サポートされているアルゴリズ レーズのプロンプトが管理者に表示されます。 ム は、DSA (1024 ビ ッ ト)と RSA (768 ~ 4096 ビット)です。 ステップ 2 1. 管理アカウントの設定。 公開鍵の認証を使用するように管理 • SSH キー認証が失敗した場合にフォールバックとし 者アカウントを設定します。 て使用する認証方式の 2 つのうち、いずれかを設定 します。 – 管理者に対して設定済みの場合は Authentication Profile [ 認証プロファイル ] を選択します。 – None [ なし ] を選択し、Password [ パスワード ] と Confirm Password [ パスワードの確認 ] を入力する 必要があります。 • Use Public Key Authentication(SSH)[ 公開鍵認証(SSH) の使用 ] チェックボックスをオンにし、Import Key [ キーのインポート ] をクリックし、生成した公開鍵 を Browse [ 参照 ] して OK をクリックします。 2. OK と Commit [ コミット ] をクリックし、 Commit Type [ コミットタイプ ] として Panorama を選択し、さらに Commit [ コミット ] をクリックします。 ステップ 3 管理者のクライアントシステムでこのタスクを実行しま Panorama に対する認証に秘密鍵を す。このステップを完了させる際、必要に応じて SSH クラ 使用するよう SSH クライアントを イアントのドキュメントを参照してください。 設定します。 Palo Alto Networks Panorama 7.0 管理者ガイド • 81 Panorama への管理アクセスのセットアップ Panorama のセットアップ SSH キーベースで CLI への認証を行う管理者を設定(続) ステップ 4 1. 管理者が SSH キー認証を使用して Panorama CLI にアクセスできること 2. を確認します。 管理者のクライアントシステムのブラウザを使用し て、Panorama の IP アドレスに移動します。 管理者としてPanorama CLIにログインします。ユーザー 名を入力すると、以下の出力が表示されます(キー値 は例です)。 Authenticating with public key “dsa-key-20130415” 3. プロンプトが表示されたら、キーの作成時に定義した パスフレーズを入力します。 管理者認証での RADIUS ベンダー固有属性の設定 以下の手順は、Panorama への管理者認証で RADIUS ベンダー固有属性(VSA)を設定するため に必要なタスクの概要です。詳細な手順は、以下のナレッジ ベース(KB)の記事を参照してく ださい。 Windows 2003 Server、Windows 2008 (以降)、および Cisco ACS 4.0 の場合 — RADIUS ベンダー 固有属性(VSA)。 Cisco ACS 5.2 の場合 — Palo Alto VSA で使用する Cisco ACS 5.2 の設定。 この作業を開始する前に、次の 2 つのタスクを必ず完了させてください。 ネットワークで使用するディレクトリ サービス(Active Directory など)の管理アカウントを 作成します。 そのディレクトリ サービスと通信できる RADIUS サーバーをセットアップします。 アカウント認証での RADIUS ベンダー固有属性の使用 ステップ 1 Panorama を設定します。 1. 2. 3. 4. 5. 6. ステップ 2 RADIUS サーバーを設定します。 82 • Panorama 7.0 管理者ガイド 管理者がカスタムロールを使用する場合は、管理者 ロールプロファイルの設定を行います。 管理者がデバイスグループおよびテンプレートを使用 する場合は、アクセスドメインの設定を行います。 RADIUS サーバープロファイルを設定します。 認証プロファイルを設定します。認証の Type [ タイプ ] を RADIUS に設定し、RADIUS に Server Profile [ サー バープロファイル ] を割り当てます。 管理者のアクセスに認証プロファイルを使用するよう に Panorama を 設 定 し ま す。Panorama > Setup > Management [Panorama > セットアップ > 管理 ] の順に 選択して Authentication Settings [ 認証設定 ] を編集し、 Authentication Profile [認証プロファイル]を選択します。 OK と Commit [ コミット ] をクリックし、 Commit Type [ コミットタイプ ] として Panorama を選択し、さらに Commit [ コミット ] をクリックします。 1. Panorama の IP アドレスまたはホスト名を RADIUS ク ライアントとして追加します。 2. 管理者認証の VSA を定義します。ベンダーコード (Panorama の場合は 25461)と VSA 名、数、値を指定す る必要があります。 Palo Alto Networks ファイアウォールの管理 Palo Alto Networks のファイアウォールの管理に Panorama を使用するには、ファイアウォールを 管理対象デバイスとして追加し、それらをデバイスグループとテンプレートあるいはテンプレー トスタックに割り当てる必要があります。以下のタスクは、ファイアウォールを初めてデプロイ する場合に最適です。作業に入る前に、「導入計画」の内容を確認してデプロイのオプションに ついて理解してください。 管理対象デバイスとしてのファイアウォールの追加 デバイスグループの管理 テンプレートおよびテンプレートスタックの管理 ファイアウォールを Panorama 管理に移行 ユースケース : Panorama を使用してファイアウォールを構成 Panorama Web インターフェイスに Objects [ オブジェクト ] および Policies [ ポリシー] タブ を 表 示す る には、ま ず少 な くと も 1 つの デ バイ ス グル ー プを 作 成す る 必要 が あり ま す。 Network [ ネットワーク ] および Device [ デバイス ] タブを表示するには、少なくともテンプ レートを 1 つ作成する必要があります。これらのタブには、ネットワーク上のファイアウォー ルを設定して管理する際に使用するオプションが含まれています。 Palo Alto Networks Panorama 7.0 管理者ガイド • 83 管理対象デバイスとしてのファイアウォールの追加 ファイアウォールの管理 管理対象デバイスとしてのファイアウォールの追加 Panorama を使用してファイアウォールの中央管理を行うには、まず、それらのファイアウォー ルを管理対象デバイスとして追加します。作業を開始する前に、ファイアウォールのシリアル番 号を収集し、各ファイアウォールを以下のように準備します。 ファイアウォールで初期設定を行い、ネットワーク経由でアクセスし、Panorama と通信でき るようにします。 [Device] > [ セットアップ ] > [ 管理 ] タブの順に移動し、[Panorama 設定 ] セクションに Panorama の IP アド レス(サーバー 1 台、または Panorama が高可用性ペアに設定されている場合は 2 台) を追加し、変 更をコミットします。 データインターフェイスをセットアップします。使用する予定のインターフェイスごとに、 インターフェイスタイプを選択してセキュリティ ゾーンに適用し、Panorama から設定とポリ シーをプッシュできるようにします。 その後、以下のようにして、Panorama でファイアウォールを管理対象デバイスとして追加でき ます。 管理対象デバイスとしてのファイアウォールの追加 ステップ 1 1. ファイアウォールをPanoramaに追加 します。 2. Panorama > Managed Devices [Panorama > 管理対象デバ イス ] の順に選択し、Add [ 追加 ] をクリックします。 Panorama を使用して一元的に管理するファイアウォー ルごとにシリアル番号を入力(各行につき 1 件)し、 OK をクリックします。Managed Devices [ 管理対象デバ イス ] ページに新規デバイスが表示されます。 3. (任意)[ タグ ] を追加します。タグを付けると、長いリ ス ト か ら デ バ イ ス を 見 つ け や す く な り、フ ァ イ ア ウォールのリストを動的にフィルタリングして表示を 絞り込むことができます。たとえば、 「branch office」と いうタグを追加すると、ネットワーク全体から支店の デバイスすべてを検索できます。 a. 管理対象デバイスの隣にあるチェックボックスをオ ンにして、[ タグ ] をクリックします。 b. Add [ 追加 ] をクリックし、最大 31 文字の文字列(空 白なし)を入力し、[OK] をクリックします。 4. Commit [ コミット ] をクリックし、Commit Type [ コミッ トタイプ ] で Panorama を選択して、さらに Commit [ コ ミット ] をクリックします。 ステップ 2 Panorama > Managed Devices [Panorama > 管理対象デバイス ] ファイアウォールが Panorama に接 ページの Device State [ デバイス状態 ] 列に、ファイアウォー ルが Panorama に接続されているかどうかが表示されます。 続されていることを確認します。 84 • Panorama 7.0 管理者ガイド Palo Alto Networks ファイアウォールの管理 デバイスグループの管理 デバイスグループの管理 デバイスグループの追加 デバイスグループの階層を作成 共有またはデバイスグループポリシーで使用するオブジェクトの作成 継承したオブジェクトの値を復元 未使用の共有オブジェクトの管理 継承したオブジェクトの優先度を管理 ポリシールールあるいはオブジェクトを別のデバイスグループに移動 / コピー Panorama で URL フィルタリングベンダーを選択 ファイアウォールのサブセットにポリシールールをプッシュ ルール階層の管理 デバイスグループの追加 追加したファイアーウォール(管理対象デバイスとしてのファイアウォールの追加を参照)は、 次のようにしてデバイスグループ(256 件まで)にグループ化することができます。必ずアク ティブ - パッシブの高可用性(HA)構成のファイアウォールを両方とも同じデバイスグループ に割り当て、 Panorama が同じポリシールールおよびオブジェクトをそのファイアウォールにプッ シュするようにしてください。PAN-OS はプッシュされたルールを HA ピア間で同期することは ありません。組織内の別の管理レベルでルールやオブジェクトを管理する方法についてはデバイ スグループの階層を作成をご覧ください。 デバイスグループの追加 ステップ 1 [Panorama] > [ デバイスグループ ] の順に選択し、Add [ 追加 ] をクリックします。 ステップ 2 デバイスグループを識別するために、一意の Name [ 名前 ] と Description [ 内容 ] を入力します。 ステップ 3 Devices [ デバイス ] セクションでチェックボックスを選択し、ファイアウォールをグループに割 り当てます。ファイアウォールのリストが大きい場合は、検索時にフィルターを使用します。 ファイアウォールは一つのデバイスグループにのみ割り当てることができます。ファイア ウォール上の各仮想システムは異なるデバイスグループに割り当てられます。 ステップ 4 (任意)HA ピアであるファイアウォールの Group HA Peers [HA ピアのグループ化 ] チェックボッ クスをオンにします。 パッシブあるいはアクティブのセカンダリピアのファイアウォール名は括弧付きで表示 されます。 ステップ 5 デバイスグループの階層構造で現在作成しようとしているデバイスグループの直接の親にあた る Parent Device Group [ 親デバイスグループ ](デフォルトは Shared [ 共有 ])を選択します。 Palo Alto Networks Panorama 7.0 管理者ガイド • 85 デバイスグループの管理 ファイアウォールの管理 デバイスグループの追加 ステップ 6 ポリシールールがユーザーおよびグループを参照する場合は Master [ マスター ] ファイアウォー ルを割り当てます。これはそのデバイスグループのうち、Panorama がユーザー名やユーザーグ ループの情報を取得する唯一のファイアウォールになります。 ステップ 7 OK をクリックして Commit [ コミット ] をクリックし、 Commit Type [ コミットタイプ ] で Panorama を選択して、さらに Commit [ コミット ] をクリックします。 ステップ 8 Commit [ コミット ] をクリックし、Commit Type [ コミットタイプ ] で Device Group [ デバイスグ ループ ] を選択し、さらに先ほど作成したデバイスグループを選択して再び Commit [ コミット ] をクリックします。 デバイスグループの階層を作成 デバイスグループの階層を作成 ステップ 1 1. デバイスグループの階層の計画を 立てます。 2. 3. ステップ 2 1. トップレベルにある各デバイスグ ループに対してデバイスグループ の追加します。 2. 3. 86 • Panorama 7.0 管理者ガイド デバイスグループのレベル、さらに各デバイスグルー プおよび共有領域に割り当てるファイアウォールや仮 想システムを決定します。単体のファイアウォールあ るいは仮想システム(vsys)は一つのデバイスグループ にのみ割り当てることができます。デバイスグループ が低い階層のデバイスグループを含有するためのコン テナに過ぎない場合、デバイスを割り当てる必要はあ りません。 計画中の階層構造で不要になる場合は、既存のデバイ スグループに対するファイアウォールあるいは vsys の 割り当てを解除します。 a. Panorama > Device Groups [Panorama > デバイスグルー プ ] の順に選択し、デバイスグループを選択します。 b. 削 除 し た い フ ァ イ ア ウ ォ ー ル や 仮 想 シ ス テ ム の チェックを Devices [ デバイス ] セクションで解除し、 OK をクリックします。 必要に応じて、デバイスグループに割り当てるファイ アウォールを追加します(管理対象デバイスとしての ファイアウォールの追加を参照) 。 Panorama > Device Groups [Panorama > デバイスグループ ] ページで Add [ 追加 ] をクリックし、Name [ 名前 ] にデ バイスグループを識別するための名前を入力します。 Devices [ デバイス ] セクションでチェックボックスを選 択し、デバイスおよび仮想システムをデバイスグルー プに割り当てます。 Parent Device Group [ 親デバイスグループ ] オプション は Shared [ 共有 ](デフォルト)のままにして OK をク リックします。 Palo Alto Networks ファイアウォールの管理 デバイスグループの管理 デバイスグループの階層を作成(続) ステップ 3 • 下層にある新しいデバイスグループに対してステップ 2 下層にある各デバイスグループに を繰り返しますが、Parent Device Group [ 親デバイスグルー 対してデバイスグループの追加し プ ] は一層上のデバイスグループに設定します。 ます。 • 既存の各デバイスグループについて、Device Groups ページ でデバイスグループを選択して編集し、Parent Device Group [ 親デバイスグループ ] を選択して OK をクリックします。 デバイスグループを別の親の下に移動させると、そ のデバイスグループあるいは子孫デバイスグループ に関連するすべてのデバイス、ポリシールール、オ ブジェクトとともにその子孫デバイスグループも移 動します。新しい親が別のアクセスドメインにある 場合、移動したデバイスグループは元のアクセスド メインのメンバーではなくなります。新しいアクセ スドメインに親デバイスグループの読込・書込権限 がある場合、移動したデバイスグループの読込・書 込権限も付与されます。新しいアクセスドメインに 親デバイスグループの読込のみの権限がある場合、 移動したデバイスグループに対するアクセス権限は 一切付与されません。デバイスグループのアクセス 権限を再設定する方法については、アクセスドメイ ンの設定を参照してください。 ステップ 4 • 共有またはデバイスグループポリシーで使用するオブジェ 必要に応じてオブジェクトおよび クトの作成を行うか、既存のオブジェクトを編集します。 ポ リ シー ル ール を 設定、移動、コ オブジェクトはオブジェクトのロケーション(オブジェ ピーし、デバイスグループの階層構 クトが割り当てられているデバイスグループ)でのみ編 造における継承関係を構成します。 集できます。子孫デバイスグループはそのロケーション からオブジェクトの読込のみのインスタンスを継承しま す。ただし、任意で継承したオブジェクトの値をオーバー ライドします。を行うこともできます。 • ポリシーを作成あるいは編集します。 • ポリシールールあるいはオブジェクトを別のデバイスグ ループに移動 / コピー。 ステップ 5 1. 継承したオブジェクトの値をオー バーライドします。 特 定 の デ バ イ ス グ ル ー プ の オ ブ 2. ジェクトの値を、先祖デバイスグ ループから継承した値以外に設定 3. する場合のみ。 オブジェクトをオーバーライドした 4. 後、子孫デバイスグループでさらに オーバーライドすることができま 5. す。ただし、共有または事前設定の (デフォルト)オブジェクトをオー バーライドすることはできません。 Objects [ オブジェクト ] タブの Name [ 名前 ] 列では継承したオブジェクト に緑色のアイコンが付き、Location [ ロケーション ] 列に先祖デバイスグ ループが表示されます。 Palo Alto Networks Objects [ オブジェクト ] タブでオブジェクトタイプを選 択します(例:Objects > Addresses [ オブジェクト > ア ドレス ]) 。 オーバーライド インスタンスを持たせる Device Group [ デバイスグループ ] を選択します。 オブジェクトを選択して Override [ オーバーライド ] を クリックします。 値を変更します。Name [ 名前 ] や Shared [ 共有 ] 設定は 変更できません。 [OK] をクリックします。 Name [ 名前 ] 列では、オーバー ライドされたオブジェクトに黄色い線のある緑色のア イコンが表示されます。 必要に応じて後で継承したオブジェクトの値を 復元を行います。 Panorama 7.0 管理者ガイド • 87 デバイスグループの管理 ファイアウォールの管理 デバイスグループの階層を作成(続) ステップ 6 変更を保存・コミットします。 1. 階層構造に変更を加えた後は Panoramaおよびデバイスグルー 2. プのコミットを実行します。 テンプレートがデバイスグ ループ内のオブジェクトを参 照している場合(例:アドレス を参照するインターフェイス) 変更した結果、そのテンプレー トに割り当てられているファ イアウォールが属するデバイ スグループが変わった場合は、 テンプレートのコミットも行 う必要があります。 Commit [ コミット ] をクリックし、 Commit Type [ コミッ トタイプ ] で Panorama を選択して、さらに Commit [ コ ミット ] をクリックします。 Commit [ コミット ] をクリックし、 Commit Type [ コミッ トタイプ ] で Device Group [ デバイスグループ ] を選択 し、追加あるいは変更したデバイスグループを選択し て再び Commit [ コミット ] をクリックします。 共有またはデバイスグループポリシーで使用するオブジェクトの作成 共有領域、そのオブジェクトと同じデバイスグループ、あるいはそのデバイスグループの子孫に 含まれるあらゆるポリシールールでそのオブジェクトを使用できます(詳細はデバイスグループ オブジェクトを参照)。 共有またはデバイスグループポリシーで使用するオブジェクトの作成 • 共有オブジェクトを作成します。 1. この例では、アラートを発生させたい URL フィルタリング カテゴリの共有オブジェ クトを追加します。 2. 3. 4. 5. 6. 7. 88 • Panorama 7.0 管理者ガイド [Objects] > [ セキュリティ プロファイル ] > [URL フィルタ リング ] タブの順に移動し、[ 追加 ] をクリックします。 Objects [ オブジェクト ] タブはデバイスグループの追加 (少なくとも 1 回)を行った後でしか表示されません。 Name [ 名前 ] と Description [ 内容 ] を入力します。 [ 共有 ] チェックボックスを選択します。 Disable Override [ オーバーライドを無効化 ] のチェック ボックスはデフォルトで選択解除されているため、す べてのデバイスグループで継承されたオブジェクトの インスタンスをオーバーライドすることができます。 オブジェクトのオーバーライドを無効にするには、 チェックボックスをオンにします。 Categories [ カテゴリー ] タブで、通知を受けたいすべ てのカテゴリーのチェックボックスをオンにします。 Action [アクション] 列で Alert [アラート] を選択します。 OK をクリックして Commit [ コミット ] をクリックし、 Commit Type [ コミットタイプ ] で Panorama を選択し て、さらに Commit [ コミット ] をクリックします。 Palo Alto Networks ファイアウォールの管理 デバイスグループの管理 共有またはデバイスグループポリシーで使用するオブジェクトの作成(続) • デバイスグループオブジェクトを作成し 1. ます。 Objects > Addresses [ オブジェクト > アドレス ] を選択 し、オブジェクトを使用する Device Group [ デバイスグ ループ ] を選択します。 この例では、ネットワーク上の特定の Web サーバーについてアドレスオブジェクト 2. Add [ 追加 ] をクリックして、オブジェクトを識別する Name [ 名前 ] を入力します。 を追加します。 3. Shared [ 共有 ] チェックボックスがオフになっているこ とを確認してください。 4. Disable Override [ オーバーライドを無効化 ] のチェック ボックスはデフォルトで選択解除されているため、選 択した Device Group [ デバイスグループ ] の子孫である デバイスグループで継承されたオブジェクトのインス タンスをオーバーライドすることができます。オブ ジェクトのオーバーライドを無効にするには、チェッ クボックスをオンにします。 5. アドレスオブジェクトの Type [ タイプ ] および関連する 値を選択します。例えば、IP Range [IP 範囲 ] を選択し、 その WEB サーバーの IP アドレスの範囲を入力します。 6. OK をクリックして Commit [ コミット ] をクリックし、 Commit Type [ コミットタイプ ] で Panorama を選択し て、さらに Commit [ コミット ] をクリックします。 7. Commit [ コミット ] をクリックし、Commit Type [ コミッ トタイプ ] で Device Group [ デバイスグループ ] を選択 し、さらにオブジェクトを追加したデバイスグループ を選択して再び Commit [ コミット ] をクリックします。 • Panorama 内の共有オブジェクトとデバイ Objects [ オブジェクト ] タブの Location [ ロケーション ] 列 スグループオブジェクトを表示します。 に、オブジェクトが共有されているか、デバイスグループ に固有かが表示されます。 共有オブジェクトとデバイスグループオ ブジェクト間の違いを示すために、以下の 1. Objects [ オブジェクト ] タブでオブジェクトタイプを選 択します(この例では Objects > Addresses [ オブジェク スクリーンショットには、Panorama で作成 ト > アドレス ]) 。 された共有アドレスオブジェクトが含ま 2. オブジェクトを追加した Device Group [ デバイスグルー れています。 プ ] を選択します。 選択した Device Group [ デバイスグループ ] にあ るオブジェクト、あるいは先祖デバイスグルー プあるいは共有領域から継承したオブジェクト のみが Objects [ オブジェクト ] タブに表示されます。 3. デバイスグループのオブジェクトが表示されているこ とを確認します。Location [ ロケーション ] 列にあるデ バイスグループ名が、Device Group [ デバイスグループ ] のドロップダウンリストの選択項目と一致しているこ とに注意してください。 継承したオブジェクトの値を復元 デバイスグループのオブジェクトが先祖デバイスグループから継承した値をオーバーライドし た後で、いつでもオブジェクトをその子孫の値に戻すことができます。Objects [ オブジェクト ] タブの Name [ 名前 ] 列では、オーバーライドされたオブジェクトに黄色い線のある緑色のアイ コン が付きます。 Palo Alto Networks Panorama 7.0 管理者ガイド • 89 デバイスグループの管理 ファイアウォールの管理 特定のオブジェクトをもとに戻すのではなく、オーバーライドされたすべてのオブジェクトに 先祖の値をプッシュする場合は継承したオブジェクトの優先度を管理をご覧ください。 値をオーバーライドする流れについては継承したオブジェクトの値をオーバーライドします。 をご覧ください。 オブジェクトの継承およびオーバーライドの詳細についてはデバイスグループオブジェクトを ご覧ください。 オーバーライドされたオブジェクトを元に戻す ステップ 1 Objects [ オブジェクト ] タブでオブジェクトタイプ(この例では Objects > Addresses [ オブジェク ト > アドレス ])を選択し、オーバーライドされたオブジェクトのインスタンスを持つ Device Group [ デバイスグループ ] を選択します。 ステップ 2 オブジェクトを選択して Revert [ 元に戻す ] をクリックし、さらに Yes [ はい ] をクリックします。 Name [ 名前 ] 列にあるオブジェクトに緑色のアイコンが付き、現在このオブジェクトが先祖デバ イスグループのすべての値を継承していることが分かります。 ステップ 3 Commit [ コミット ] をクリックし、Commit Type [ コミットタイプ ] で Panorama を選択して、さ らに Commit [ コミット ] をクリックします。 ステップ 4 Commit [ コミット ] をクリックし、Commit Type [ コミットタイプ ] で Device Group [ デバイスグ ループ ] を選択し、オブジェクトを元に戻したデバイスグループを選択して再び Commit [ コミッ ト ] をクリックします。 未使用の共有オブジェクトの管理 デバイスグループをコミットする際、共有あるいはデバイスグループのポリシールールがそのオ ブジェクトを参照しているかどうかに関わらず、Panorama はデフォルトですべての共有オブジェ クトをファイアウォールにプッシュします。しかし、コミットしたデバイスグループを参照する ルールを持つ共有オブジェクトのみを Panorama にプッシュさせるように設定することもできま す。Share Unused Address and Service Objects with Devices [ 未使用のアドレスとサービスオブジェクト をデバイスと共有 ] チェックボックスにより、Panorama が管理対象のファイアウォールにプッ シュするオブジェクトを制限することができます。 PA-200 などのローエンドのプラットフォームでは、関連する共有オブジェクトのみを管理対象 デバイスにプッシュすることを検討してください。これは、ローエンドのプラットフォームに保 存できるオブジェクトの数が、ミドルレンジからハイエンドのプラットフォームに比べ、大幅に 少ないためです。また、未使用のアドレスおよびサービスオブジェクトの数が多い場合、Share Unused Address and Service Objects with Devices [未使用のアドレスとサービスオブジェクトをデバイス と共有] チェックボックスをオフにすると、各デバイスにプッシュされる設定が小さくなるため、 デバイスでのコミット時間が大幅に削減されます。ただし、このオプションを無効にすると、 Panorama でのコミット時間は増加します。これは、ポリシールールが特定のオブジェクトを参 照しているかどうかを Panorama が動的にチェックする必要があるためです。 未使用の共有オブジェクトの管理 ステップ 1 [Panorama ] > [ セットアップ ] > [ 管理 ] の順に選択し、[Panorama 設定 ] を編集します。 90 • Panorama 7.0 管理者ガイド Palo Alto Networks ファイアウォールの管理 デバイスグループの管理 未使用の共有オブジェクトの管理 ステップ 2 Share Unused Address and Service Objects with Devices [ 未使用のアドレスとサービスオブジェクト をデバイスと共有 ] チェックボックスをオフにし、そのルールが参照している共有オブジェクト のみをプッシュするか、チェックボックスをオンにしてすべての共有オブジェクトのプッシュを 再び有効にします。 ステップ 3 OK をクリックして Commit [ コミット ] をクリックし、 Commit Type [ コミットタイプ ] で Panorama を選択して、さらに Commit [ コミット ] をクリックします。 継承したオブジェクトの優先度を管理 デフォルト設定では、デバイスグループの階層内の異なる階層にあるデバイスグループが同じ名 前のオブジェクトを持っていながら値が異なっている(例えばオーバーライドにより)場合、子 孫デバイスグループのポリシールールは先祖デバイスグループから継承したオブジェクトの値 ではなく、その子孫のオブジェクトの値を使用します。また、任意でこの優先度を逆にして、オ ブジェクトを含有するトップレベルの先祖の値をすべての子孫デバイスグループにプッシュす ることもできます。このオプションを有効にした後に行われるデバイスグループのコミットによ り、子孫デバイスグループのオーバーライドされたオブジェクトがすべて継承したオブジェクト に置き換えられます。 Panorama がプッシュする共有オブジェクトまたはデバイスグループオブジェクトと同じ名前 のオブジェクトがデバイスのローカルにあると、コミットは失敗します。 先祖の値をすべてのオーバーライドされたオブジェクトにプッシュするのではなく、オーバー ライドされた特定のオブジェクトを元に戻す場合は継承したオブジェクトの値を復元をご覧く ださい。 継承したオブジェクトの優先度を管理 ステップ 1 [Panorama ] > [ セットアップ ] > [ 管理 ] の順に選択し、[Panorama 設定 ] を編集します。 ステップ 2 デフォルトの優先度を逆順にしたい場合は Objects defined in ancestors will take higher precedence [ 上位で定義されたオブジェクトを優先 ] するチェックボックスをオンにします。そうするとダイ アローグに Find Overridden Objects [ オーバーライドされたオブジェクトを探す ] リンクが表示さ れ、この変更をコミットした後で先祖の値を持つオーバーライドされた(シャドーイング)オブ ジェクトの数を確認することもできます。数値のテキストにカーソルを合わせるとオブジェクト 名が表示されます。 デフォルトの優先順位に戻す場合、チェックボックスをオフにします。 ステップ 3 OK をクリックして Commit [ コミット ] をクリックし、 Commit Type [ コミットタイプ ] で Panorama を選択して、さらに Commit [ コミット ] をクリックします。 ステップ 4 (任意)Objects defined in ancestors will take higher precedence [ 上位で定義されたオブジェクトを 優先 ] するチェックボックスをオンにした場合、デバイスグループのコミットを実行(Commit [ コミット ] をクリックし、Commit Type [ コミットタイプ ] で Device Group [ デバイスグループ ] を選択し、任意のデバイスグループを選択して再び Commit [ コミット ] をクリック)するまでの 間、Panorama は先祖オブジェクトをプッシュ Commit, for the Commit Type select Device Group, select the desired device groups, and click Commit again。 Palo Alto Networks Panorama 7.0 管理者ガイド • 91 デバイスグループの管理 ファイアウォールの管理 ポリシールールあるいはオブジェクトを別のデバイスグループに移動 / コピー Panorama では、デバイスグループから移動あるいはコピーするポリシールールやオブジェクト が、変更先のデバイスグループ(Destination [ 宛先 ])では利用できないオブジェクトを参照して いる場合、参照されているオブジェクトおよび参照ルールあるいは同様の働きを持つオブジェク トを移動またはコピーする必要があります。デバイスグループの階層では、参照されているオブ ジェクトが継承関係を通して利用できる場合があることに注意してください。例えば、共有オブ ジェクトはすべてのデバイスグループで利用できます。グローバル検索を実行して参照を確認で きます。オーバーライドされたオブジェクトを移動あるいはコピーする場合、Destination [ 宛先 ] の親デバイスグループでそのオブジェクトに対するオーバーライドを必ず有効にするようにし てください(共有またはデバイスグループポリシーで使用するオブジェクトの作成を参照)。 ポリシールールあるいはオブジェクトをデバイスグループに移動 / コピー ステップ 1 Panorama にログインし、ルールベース(例:Policy > Security > Pre Rules [ ポリシー > セキュリ ティ > プレルール ])あるいはオブジェクトタイプ(例:Objects > Addresses [ オブジェクト > ア ドレス ])を選択します。 ステップ 2 Device Group [ デバイスグループ ] を選択し、 1 つ以上のルールまたはオブジェクトを選択します。 ステップ 3 以下のいずれかの手順を実行します。 • (ルールのみ)Move > Move to other device group [ 移動 > 他のデバイスグループに移動 ] • (オブジェクトのみ)Move [ 移動 ] • (ルールまたはオブジェクト)Clone [ コピー ] ステップ 4 Destination [ 宛先 ] ドロップダウン リストで、 新しいデバイスグループまたは Shared [ 共有 ] を選 択します。デフォルトはステップ 2 で選択された Device Group [ デバイスグループ ] です。 ステップ 5 (ルールのみ)Rule order (ルール順序)を選択します。 • Move top [ 最上部へ ] — (デフォルト)他のすべてのルールの前の位置を選択します。 • Move bottom [ 最下部へ ] — 他のすべてのルールの後の位置を選択します。 • Before rule [ 事前ルール ] — 隣接するドロップダウン リストで、選択されたルールの直後の ルールを選択します。 • After rule [ 事後ルール ] — 隣接するドロップダウン リストで、選択されたルールの直前のルー ルを選択します。 ステップ 6 Error out on first detected error in validation [ 検証で最初に検出されたエラーを報告 ] のチェック ボックスはデフォルトでオンになっているため、Panorama は最初に発見したエラーを表示し、他 のエラーのチェックを停止します。たとえば、移動するルールで参照されているオブジェクトが Destination [ 宛先 ] デバイスグループに存在しないと、エラーが発生します。同時に大量の項目 を移動またはコピーするときにこのチェックボックスをオンにしていると、単純にトラブル シューティングを行えます。このチェックボックスをオフにすると、Panorama はすべてのエラー を検出してから表示します。この設定に関わらず、選択されたすべての項目についてエラーが解 決されるまでの間、Panorama は移動あるいはコピーを行いません。 ステップ 7 OK をクリックしてエラーの検証を開始します。Panorama がエラーを発見した場合は、エラーを 修正してから移動またはコピー操作を再試行します。Panorama がエラーを発見しなかった場合、 操作を実行します。 ステップ 8 Commit [ コミット ] をクリックし、Commit Type [ コミットタイプ ] で Panorama を選択して、さ らに Commit [ コミット ] をクリックします。 92 • Panorama 7.0 管理者ガイド Palo Alto Networks ファイアウォールの管理 デバイスグループの管理 ポリシールールあるいはオブジェクトをデバイスグループに移動 / コピー(続) ステップ 9 Commit [ コミット ] をクリックし、Commit Type [ コミットタイプ ] で Device Group [ デバイスグ ループ ] を選択し、さらに元のデバイスグループと宛先デバイスグループを選択して再び Commit [ コミット ] をクリックします。 Panorama で URL フィルタリングベンダーを選択 URL フィルタリングにより、ユーザーの Web アクセスをモニターおよび制御するようにファイ アウォールを設定することができます。Web アクセスルールを実行するポリシー(セキュリティ、 QoS、キャプティブ ポータル、および復号化)は URL カテゴリを参照します。Panorama で選択 する URL フィルタリングベンダーにより、デバイスグループに追加してファイアウォールに プッシュするルールで参照される URL カテゴリが決まります。 1 つのデバイス(Panorama またはファイアウォール)でアクティブにできる URL フィルタリン グベンダーは 1 つのみです。PAN-DB あるいは BrightCloud。ニーズに最適なベンダーを決定する には、Palo Alto Networks のカスタマー サポートにお問い合わせください。Panorama 用のベンダー を選択する場合は、管理対象ファイアウォールのベンダーと PAN-OS バージョンを考慮する必要 があります。 PAN-OS 5.0.x 以前のバージョン — Panorama およびファイアウォールで、URL フィルタリング ベンダーが一致している必要があります。 PAN-OS 6.0 以降のバージョン — Panorama およびファイアウォールで、URL フィルタリング ベンダーが一致している必要はありません。ベンダーの不一致が検出されると、ファイア ウォールは、Panorama から受信した URL フィルタリングのプロファイルおよびルールに含ま れる URL カテゴリを、ファイアウォールで有効にされているベンダーのカテゴリと一致する カテゴリにマップします。詳細は、記事「BrightCloud to PAN-DB Category Mapping」 (英語)を 参照してください。 したがって、一部のファイアウォールで PAN-OS 6.0 以降が実行され、別の一部のファイアウォー ルで以前のバージョンの PAN-OS が実行されているデプロイ環境の場合、Panorama では、以前 のバージョンの PAN-OS が実行されているファイアウォールと同じ URL フィルタリングベン ダーを使用する必要があります。たとえば、PAN-OS 5.0 が実行されているファイアウォールで BrightCloud を使用し、PAN-OS 7.0 が実 行されているファイアウォールで PAN-DB(または BrightCloud)を使用する場合、Panorama では、BrightCloud を使用する必要があります。 ファイアウォールには、BrightCloud と PAN-DB 両方の有効なライセンスを取り込むことができま すが、アクティブにすることができるライセンスは 1 つのみです。管理対象ファイアウォール上 の有効な URL フィルタリングのライセンスを表示するには、[Panorama] > [ デバイスのデプ ロイ ] > [ ライセンス ] の順に選択し、対応するファイアウォールの [URL] 列に一覧表示された ベンダーを確認します。アクティブなライセンス(選択されている URL フィルタリングベンダー) を判別するには、 ファイアウォールにログインし、[Device] > [ ライセンス ] の順に選択します。 ファイアウォールのアクティブな URL フィルタリングベンダーは変更できます。 Panorama での URL フィルタリングベンダーの選択 ステップ 1 1. Panorama の URL フィルタリングベ ンダーを選択します。 2. Palo Alto Networks [Panorama ] > [ セットアップ ] > [ 管理 ] の順に選択し、 [ 一般設定 ] を編集します。 URL Filtering Database [URL フィルタリングデータベー ス ] ドロップダウンリストでベンダーを選択します。 brightcloud または paloaltonetworks(PAN-DB)から選 択してください。 Panorama 7.0 管理者ガイド • 93 デバイスグループの管理 ファイアウォールの管理 Panorama での URL フィルタリングベンダーの選択(続) ステップ 2 1. (任意)ポリシーでカテゴリが参照で きるようになっていることを確認し 2. ます。 ファイアウォールとは異な り、Panorama は URL データ ベースをダウンロードしない ため、データベースのダウン ロード状態を表示することは できません。 [Objects] > [ セキュリティ プロファイル ] > [URL フィルタ リング ] の順に選択します。 Add [ 追加 ] をクリックし、[URL フィルタリング プロ ファイル ] ダイアログの Categories [ カテゴリ ] タブに カテゴリが表示されることを確認します。 ファイアウォールのサブセットにポリシールールをプッシュ ポリシー ターゲットを使用すると、ポリシーのプッシュ先になるデバイスグループ内のファイア ウォールを指定できます。1 つ以上のファイアウォールまたは仮想システムを除外したり、デバイ スグループ内の特定のファイアウォールまたは仮想システムにのみルールを適用したりできます。 ルールのターゲットを指定する機能によって、Panorama によるポリシーの中央管理を維持し、ルー ルの管理を可視化および効率化できます。仮想システム上にローカルルールを作成するのではな く、ルールのターゲットを指定することで、Panorama にルール(共有またはデバイスグループの プレルールまたはポストルール)を定義できます(詳細はデバイスグループポリシーを参照)。 ファイアウォールのサブセットにポリシールールをプッシュ ステップ 1 ルールを作成します。 1. Policies [ ポリシー ] タブを選択し、ルールを定義する Device Group [ デバイスグループ ] を選択します。 この例では、 セキュリティルールベー 2. スで、 内部ネットワークのユーザーに DMZ のサーバーへのアクセスを許可 するプレルールを定義します。 3. ルールベースを選択します。この例では、Policies > Security > Pre-Rules [ ポリシー > セキュリティ > プレ 4. 5. 6. 7. 8. 94 • Panorama 7.0 管理者ガイド ルール ] を選択します。 Add [ 追加 ] をくちっくし、General [ 全般 ] タブで分か りやすいルールの Name [ 名前 ] を入力します。 [ 送信元 ] タブで [ 送信元ゾーン ] を [Trust] に設定します。 [ 宛先 ] タブで [ 宛先ゾーン ] を [DMZ] に設定します。 Service/ URL Category [ サービス /URL カテゴリ ] タブで、 Service [ サービス ] を application-default に設定します。 [ アクション ] タブで、[ アクション ] を [ 許可 ] に設定します。 それ以外のオプションは、すべてデフォルト値にして おきます。 Palo Alto Networks ファイアウォールの管理 デバイスグループの管理 ファイアウォールのサブセットにポリシールールをプッシュ(続) ステップ 2 選択したファイアウォールのセットにルールを適用する ル ー ル の タ ー ゲ ッ ト を 指 定 し て、 には、以下の手順を実行します。 ファイアウォールのサブセットを含 1. [ ポリシールール ] ウィンドウで [ ターゲット ] タブを選 めるか、除外します。 択します。 2. ルールを適用するファイアウォールを選択します。 ターゲットとなるファイアウォールを選択しない場 合、ルールはデバイスグループの(オフになっている) すべてのファイアウォールに追加されます。 デフォルトでは、デバイスグループの仮想システ ムのチェックボックスがオフになっていても、コ ミット時にすべての仮想システムがルールを継 承します。ルールを適用する 1 つ以上の仮想シス テムのチェックボックスをオンにします。 3. (任意)ファイアウォールのサブセットをルールの継承 から除外するには、Install on all but specified devices [ 指 定したデバイスを除くすべてにインストール ] チェッ クボックスをオンにします。 Install on all but specified devices [ 指定したデバイスを 除くすべてにインストール ] をオンにして、デバイ スを選択しない場合、ルールはデバイスグループ のどのファイアウォールにも追加されません。 4. OK をクリックしてルールを追加します。 5. 設定の変更を保存します。 a. Commit [ コミット ] をクリックし、Commit Type [ コ ミ ットタ イプ ] で Panorama を選択 して、さら に Commit [ コミット ] をクリックします。 b. Commit [ コミット ] をクリックし、 Commit Type [ コミッ トタイプ ] で Device Group [ デバイスグループ ] を選択 し、さらに先ほどルールを追加したデバイスグループ を選択して再び Commit [ コミット ] をクリックします。 ルール階層の管理 ネットワークのセキュリティを維持する上で、ポリシールールの順序は極めて重要です。あらゆ るポリシー層(共有、デバイスグループ、あるいはローカルで定義されたルール)およびルール ベース(例えば共有セキュリティ プレルール)について、ファイアウォールは Policies [ ポリシー ] タブに表示される順序でルールを上から順に評価します。ファイアウォールは、定義済みの基準 を満たす最初のルールに対してパケットを照合し、それ以降のルールは無視します。そのため、 より具体的なルールを一般的なルールよりも上位に移動させ、最も具体的に一致するルールが適 用されるようにします。 デバイスグループの階層全体にかけてファイアウォールがルールをレイヤーごと、タイプごと (プレルール、ポストルール、デフォルトルール)に評価する順序の詳細はデバイスグループポ リシーをご覧ください。 Palo Alto Networks Panorama 7.0 管理者ガイド • 95 デバイスグループの管理 ファイアウォールの管理 ルール階層の管理 ステップ 1 1. 各ルールベースのルール階層を表 示します。 2. 3. 4. 5. 6. Policies [ ポリシー ] タブを選択し、Preview Rules [ ルー ルのプレビュー ] をクリックします。 プレビューを Rulebase [ ルールベース ](例:Security [セキュリティ]あるいは QoS)でフィルタリングします。 プレビューをフィルタリングし、特定の Device Group [ デバイスグループ ] のルール、および共有領域や先祖 デバイスグループから継承されたルールを表示しま す。ファイアウォールが割り当てられたデバイスグ ループを選択する必要があります。 プレビューを Device [ デバイス ] でフィルタリングし、 ローカルで定義されたルールを表示します。 緑色の矢印アイコンをクリックし、選択したフィル ターをプレビューに適用します(図 : ルールの階層構造 を参照) 。 ルールのプレビューが終わったら Combined Rules Preview [ 結合ルール プレビュー ] のダイアローグを閉じます。 ステップ 2 1. 削除あるいは無効にするルールを含むルールベース (例えば Policies > Security > Pre Rules [ ポリシー > セキュ 必要に応じてルールを削除あるい は無効化します。 リティ > プレルール ])を選択します。 現在ファイアウォールが使用 2. そのルールを含む Device Group [ デバイスグループ ] を 選択します。 していないルールを確認する には、Panorama の Context [ コ 3. ルールを選択して Delete [ 削除 ] あるいは Disable [ 無効 ンテキスト ] ドロップダウン 化 ] を適宜クリックします。無効にされたルールは斜体 リストでそのファイアウォー 文字で表示されます。 ルを選択し、ルールベース(例 えば Policies > Security [ ポリ シー > セキュリティ ])を選 択して Highlight Unused Rules [ 未使用のルールをハイライ ト表示 ] のチェックボックス をオンにします。背景がオレ ンジ色で網掛けされている場 合、そ の ル ー ル は フ ァ イ ア ウォールで使用されていない ことを示します。 96 • Panorama 7.0 管理者ガイド Palo Alto Networks ファイアウォールの管理 テンプレートおよびテンプレートスタックの管理 ルール階層の管理(続) ステップ 3 1. 必要に応じてルールベース内で ルールの位置を再度調整します。 ファイアウォールのローカル 2. ルールを再配置するには、こ のステップを実行する前に 3. Context [コンテキスト]ドロッ プダウンリストでそのファイ アウォールを選択し、Web イ ンターフェイスにアクセスし ます。 移動するルールを含むルールベース(例えば Policies > Security > Pre Rules [ ポリシー > セキュリティ > プレ ルール ])を選択します。 そのルールを含む Device Group [ デバイスグループ ] を 選択します。 ルール、次に Move [ 移動 ] を選択し、さらに次のいず れかを選択します。 • Move Top [ 最上部に移動 ]— デバイスグループの他の すべてのルールより上にルールを移動させます(た だし、共有あるいは先祖デバイスグループから継承 されたルールよりも下になります)。 • Move Top [ 上に移動 ]— 先行するルールの上に移動さ せます(ただし、共有あるいは先祖デバイスグルー プから継承されたルールよりも下になります)。 • Move Down [ 下に移動 ]— 後のルールの下に移動させ ます。 • Move Bottom [ 最下部に移動 ]— 他のすべてのルール より下にルールを移動させます。 • Move to other device group [ 他のデバイスグループに 移動 ]— ポリシールールあるいはオブジェクトを別 のデバイスグループに移動 / コピーをご覧ください。 ステップ 4 1. ルールを変更した場合は、変更を保 存します。 2. Commit [ コミット ] をクリックし、 Commit Type [ コミッ トタイプ ] で Panorama を選択して、さらに Commit [ コ ミット ] をクリックします。 Commit [ コミット ] をクリックし、Commit Type [ コミッ トタイプ ] で Device Group [ デバイスグループ ] を選択し、 変更あるいは削除したルールを含むデバイスグループ を選択して再び Commit [ コミット ] をクリックします。 テンプレートおよびテンプレートスタックの管理 テンプレートおよびテンプレートスタックを使用し、ネットワーク内でファイアウォールが運転 できるようにする共通の基本設定を定義します。どのファイアウォールをどのテンプレートに追 加するのかを決定する際、スタック内のテンプレートの順序を変えて共通およびファイアウォー ルグループに固有の設定のレイヤーを管理する際、ファイアウォールに固有の値でテンプレート の設定をオーバーライドする際の問題については、テンプレートおよびテンプレートスタックに まとめられています。 テンプレートを削除するには、まずファイアウォールのローカルでテンプレート設定の無効 化 / 削除を行う必要があります。スーパーユーザーのロールを持った管理者だけがテンプ レートを削除できます。 テンプレートの機能および例外 テンプレートの追加 テンプレートスタックの設定 テンプレート設定のオーバーライド テンプレート設定の無効化 / 削除 Palo Alto Networks Panorama 7.0 管理者ガイド • 97 テンプレートおよびテンプレートスタックの管理 ファイアウォールの管理 テンプレートの機能および例外 テンプレートおよびテンプレートスタックを使用してさまざまな設定を定義することができま すが、以下のタスクは管理対象の各ファイアウォールのローカルでしか実行できません。 仮想システム(vsys)を設定する。 共通ゲートウェイを設定する。 ログをクリアする。 マルチ vsys モード、連邦情報処理標準(FIPS)モード、あるいは情報セキュリティ国際評価基 準(CC)モードといった操作モードを有効にする。 ファイアウォール HA ペアの IP アドレスを設定する。 マスター キーおよび診断を設定する。 設定ファイルを比較する(設定監査)。 ファイアウォールのライセンスの管理と更新(ソフトウェアあるいはコンテンツ)を行う場合、 テンプレートではなく Panorama タブのオプションを使用します。 テンプレートの追加 ファイアウォールのネットワークのセットアップやデバイス設定要素を定義するために必要な Device [ デバイス ] タブと Network [ ネットワーク ] タブを Panorama が表示する前に、 1 つ以上のテ ンプレートを追加しておく必要があります。 テンプレートスタックにまとめることで、複数のテンプレートで重複する大量の設定を行う必 要がなくなります(テンプレートおよびテンプレートスタックおよびテンプレートスタックの 設定を参照)。 テンプレートの追加 ステップ 1 テンプレートを追加します。 1. 2. 3. 4. 98 • Panorama 7.0 管理者ガイド [Panorama] > [ テンプレート ] の順に選択します。 Add [ 追加 ] をクリックして、テンプレートを識別する 一意の Name [ 名前 ] を入力します。 仮想システムを持たないファイアウォールに Panorama によってプッシュさせたい設定(例えばインターフェ イス)をも伴う仮想システム(vsys)がテンプレートに ある場合、Default VSYS [ デフォルト VSYS] ドロップダ ウンリストでそれを選択します。 Devices [ デバイス ] セクションでチェックボックスを選択 し、ファイアウォールをテンプレートに割り当てます。 新しい管理対象ファイアウォールを Panorama に 追加するたびに、そのファイアウォールを適切な テ ン プ レ ー ト に 割 り 当 て る 必 要 が あ り ま す。 Panorama によって新しいファイアウォールが自 動的に割り当てられることはありません。テンプ レートのコミットを実行すると、Panorama は、テ ンプレートに割り当てられているすべてのファ イアウォールにその設定をプッシュします。 Palo Alto Networks ファイアウォールの管理 テンプレートおよびテンプレートスタックの管理 テンプレートの追加(続) 5. (任意)Group HA Peers [ グループ HA ピア ] を選択し、 高可用性(HA)構成の複数のファイアウォールに対し て一つのチェックボックスを表示します。アイコンは HA の状態を表します(緑色はアクティブ、黄色はパッ シブ)。セカンダリピアのファイアウォール名は括弧付 きで表示されます。 アクティブ / パッシブ HA の場合は、両方のピアを 同じテンプレートに追加し、両方が設定を受信する ようにします。 アクティブ / アクティブ HA の場合、 両方のピアを同じテンプレートに追加するかどう かは、各ピアで同じ設定が必要かどうかによりま す。PAN-OS が HA ピア間で同時する設定の一覧に ついては、高可用性の同期を参照してください。 6. OK をクリックして Commit [ コミット ] をクリックし、 Commit Type [ コミットタイプ ] で Panorama を選択し て、さらに Commit [ コミット ] をクリックします。 7. Commit [ コミット ] をクリックし、Commit Type [ コミッ トタイプ ] で Template [ テンプレート ] を選択し、先ほ ど追加したテンプレートに割り当てられているファイ アウォールを選択して再び Commit [コミット]をクリッ クします。 ステップ 2 最初のテンプレートを追加すると、Device [ デバイス ] タブ テンプレートが使用できることを確 と Network [ ネットワーク ] タブが Panorama に表示されます。 認します。 これらのタブに Template [ テンプレート ] ドロップダウンリ ストが表示されます。先ほど追加したテンプレートがドロッ プダウンリストに表示されていることを確認します。 ステップ 3 テンプレートにあるファイアウォールのプライマリ DNS テンプレートを使用し、設定変更を (Domain Name System)サーバーを定義しましょう。 ファイアウォールにプッシュします。 1. Device [デバイス] タブで、ドロップダウンから Template [ テンプレート ] を選択します。 2. Device > Setup > Services > Global [ デバイス > セットアッ プ > サービス > グローバル ] の順に選択し、[ サービス ] セクションを編集します。 3. [ プライマリ DNS サーバー] の IP アドレスを入力します。 4. OK をクリックして Commit [ コミット ] をクリックし、 Commit Type [ コミットタイプ ] で Panorama を選択し て、さらに Commit [ コミット ] をクリックします。 5. Commit [ コミット ] をクリックし、Commit Type [ コミッ トタイプ ] で Template [ テンプレート ] を選択し、テン プレートに割り当てられているファイアウォールを選 択して再び Commit [ コミット ] をクリックします。 ステップ 4 1. テンプレート設定をプッシュしたファイアウォールの ファイアウォールが、Panorama から いずれかを Context [ コンテキスト ] ドロップダウンリ プッシュしたテンプレート設定を使 ストで選択します。 用して設定されていることを確認し 2. Device > Setup > Services > Global [ デバイス > セットアッ ます。 プ > サービス > グローバル ] の順に選択します。テン プレートからプッシュされた IP アドレスが表示され ます。Services [ サービス ] セクションのヘッダーにテ ンプレートのアイコン(緑色の歯車)が表示され、そ のセクションの設定がテンプレートからプッシュされ た値になっていることが分かります。 Palo Alto Networks Panorama 7.0 管理者ガイド • 99 テンプレートおよびテンプレートスタックの管理 ファイアウォールの管理 テンプレートスタックの設定 テンプレートスタックとはテンプレートを組み合わせたものです。Panorama は、スタックに割 り当てたファイアウォールにすべてのテンプレートの設定をプッシュします。詳細や計画につい てはテンプレートおよびテンプレートスタックをご覧ください。 テンプレートスタックの設定 ステップ 1 スタックに割り当てる各テンプレートに対してテンプレー テンプレート、およびスタック内の トの追加を行います。 順序を計画します。 スタック内のテンプレートの優先順位を計画する際 (オーバーラップする設定用) 、Panorama は無効な関係 の順序をチェックしないことに注意してください。例 えば、Template_A の Ethernet1/1 インターフェイスの 種類がレイヤー 3 、Template_B の VLAN ではそれがレ イヤー 2 であるとします。Template_A の優先順位が高 い場合、Panorama は Ethernet1/1 を、VLAN に割り当 てられたレイヤー 3 タイプとしてプッシュします。 また、2 つのテンプレートが同じスタック内にある 場合でも、1 つのテンプレートの設定が別のテンプ レートの設定を参照することができないということ にも注意してください。例えば、Template_A のゾー ン構成は、Template_B のゾーン保護プロファイルを 参照できません。 ステップ 2 1. テンプレートスタックを作成しま す。 2. 3. 4. 100 • Panorama 7.0 管理者ガイド Panorama > Templates [Panorama > テンプレート ] の順に 選択し、Add Stack [ スタックを追加 ] をクリックします。 スタックの識別に使用する一意の Name [ 名前 ] を入力 します。 スタックに統合するテンプレート ( 最大 16 個 ) ごとに、 Add [ 追加 ] をクリックし、テンプレートを選択します。 追加したテンプレートが重複した設定の優先度順にダ イアローグにリストアップされます。このリストでは、 高位にあるテンプレートの値が下位のものをオーバー ライドします。この順番を変更するには、テンプレー トを選択して [ 上へ ] または [ 下へ ] をクリックします。 Devices [ デバイス ] セクションでチェックボックスを選 択し、ファイアウォールを割り当てます。個々の仮想 システムではなく、ファイアウォール全体を割り当て ることしかできません。ファイアウォールはそれぞれ 一つのテンプレートまたはテンプレートスタックに割 り当てることができます。選択が終わったら OK をク リックします。 Palo Alto Networks ファイアウォールの管理 テンプレートおよびテンプレートスタックの管理 テンプレートスタックの設定(続) ステップ 3 1. 必要に応じて Network [ ネットワー ク ] および Device [ デバイス ] 設定を 変更します。 Panorama がモード固有の設定 をそのモードをサポートして 2. いるファイアウォールのみに プッシュする際、この選択的 なプッシュによってモード固 有の値が調整されることはあ りません。例えば、テンプレー トに連邦情報処理標準(FIPS) モードのファイアウォール、 および非 FIPS アルゴリズムを 使用する IKE 暗号化プロファ イルがある場合、このテンプ 3. レートのコミットは失敗しま す。このようなエラーを防ぐ ため、Network [ ネットワーク ] および Device [ デバイス ] タブ の Mode [ モード ] ドロップダウ ンリストを使用してモード固 有の機能および値のオプショ ンをフィルタリングします。 個々のファイアウォールにつ い て は、テ ン プ レ ー ト か ら プ ッ シュ さ れ た設 定 を オ ー バーライドする時と同じ方法 で、Panorama がスタックから プッシュした設定をオーバー ライドできます(テンプレー ト設定のオーバーライド)。 設定する内容に応じて Network [ ネットワーク ] あるい は Device [ デバイス ] タブを選択し、次に Template [ テ ンプレート ] ドロップダウンリストでスタックを選択 します。スタックを選択する際、タブの設定は読込の みになっています。 タブをフィルタリングし、変更したいモード固有の設 定のみを表示します。 • Mode [ モード ] ドロップダウンリストで Multi VSYS [ マルチ VSYS]、Operational Mode [ 操作モード ]、お よび VPN Mode [VPN モード ] のフィルターオプショ ンを選択、あるいは選択解除します。 • 特定のファイアウォールのモード設定が反映される ように、すべての Mode [ モード ] オプションを Device [ デバイス ] ドロップダウンリストで選択します。 設定はスタックレベルではなくテンプレートレベルで のみ変更できます。編集したい設定を含むテンプレー トを特定し、アクセスするには: • ページに表が表示されている場合、いずれかの列の 見出しにあるドロップダウンリストで Columns > Template [ 列 > テンプレート ] を選択します。各設定 のソーステンプレートが Template [ テンプレート ] 列 に表示されます。複数のテンプレートに同じ設定があ る場合、Template [ テンプレート ] 列には優先度の高い テンプレートが表示されます。列内のテンプレート名 をクリックします。そうすると Template [ テンプレー ト ] ドロップダウンリストがそのテンプレートのもの に変わり、設定を編集できるようになります。 • ページにテンプレートが表示されていない場合、設 定のテンプレートアイコン(緑色の歯車)にカーソ ルを合わせると、ツールチップにソーステンプレー トが表示されます。複数のテンプレートに同じ設定 がある場合、ツールチップには優先度の高いテンプ レートが表示されます。ツールチップに表示された テンプレートを Template [ テンプレート ] ドロップダ ウンリストで選択し、設定を編集します。 4. 5. 6. 必要に応じて設定を編集します。 Commit [ コミット ] をクリックし、 Commit Type [ コミッ トタイプ ] で Panorama を選択して、さらに Commit [ コ ミット ] をクリックします。 Commit [ コミット ] をクリックし、 Commit Type [ コミット タイプ ] で Template [ テンプレート ] を選択し、テンプ レートスタックに割り当てられているファイアウォー ルを選択して再び Commit [ コミット ] をクリックします。 ステップ 4 テンプレートの追加する際に行ったのと同じ流れで検証を テンプレートスタックが適切に動 行いますが、Template [ テンプレート ] ドロップダウンリス トからテンプレートスタックを選択します。 作することを検証します。 1. テンプレートを使用し、設定変更をファイアウォール にプッシュします。 2. ファイアウォールが、Panorama からプッシュしたテン プレート設定を使用して設定されていることを確認し ます。 Palo Alto Networks Panorama 7.0 管理者ガイド • 101 テンプレートおよびテンプレートスタックの管理 ファイアウォールの管理 テンプレート設定のオーバーライド テンプレートおよびテンプレートスタックを使用すると、複数のファイアウォールに基本設定を 適用できますが、テンプレートあるいはテンプレートスタック内のすべてのファイアウォールに 適用しないファイアウォール固有の設定が必要な場合もあります。オーバーライドを使用する と、導入ニーズに合わせた例外や変更が可能です。たとえば、テンプレートを使用して基本設定 を作成したが、テスト ラボ環境の数台のファイアウォールは、DNS(Domain Name System)サー バーの IP アドレスまたは NTP(Network Time Protocol)サーバーに異なる設定が必要な場合、テ ンプレートの設定をオーバーライドできます。 個々の設定をオーバーライドするのではなく、ファイアウォール上のすべてのテンプレートあ るいはスタックの設定を無効化 / 削除したい場合は、テンプレート設定の無効化 / 削除をご覧く ださい。 テンプレート設定のオーバーライド ステップ 1 ブラウザの URL フィールドに IP アドレスを入力して直接 ファイアウォールの Web インター ファイアウォールにアクセスするか、Panorama の Context [ コンテキスト ] ドロップダウンリストを使用してファイア フェイスにアクセスします。 ウォールの設定に切り替えるます。 ステップ 2 1. Device > Setup > Services > Global [ デバイス > セットアッ オーバーライドする設定に移動しま プ > サービス > グローバル ] の順に選択し、Services す。この例では、テンプレートの追 [ サービス ] セクションを編集します。 加でテンプレートを使用して割り当 2. Primary DNS Server [ プライマリ DNS サーバー] のテン てた DNS サーバーの IP アドレスを プレートアイコン(緑色の歯車)をクリックし、その オーバーライドします。 項目のオーバーライドを有効にします。 3. Primary DNS Server [ プライマリ DNS サーバー] の新し い IP アドレスを入力します。値がオーバーライドされ ていることを示すテンプレートオーバーライド アイコ ン(緑色の歯車の上にオレンジが重なったアイコン) がダイアローグに表示されたことを確認します。 4. OK、Commit [ コミット ] の順にクリックします。 テンプレート設定の無効化 / 削除 管理対象のファイアウォール上の設定の管理にテンプレートあるいはテンプレートスタックを 使用することを停止する場合は、テンプレートあるいはテンプレートスタックを無効にできま す。無効化する際、テンプレート / スタックの値をファイアウォールのローカル設定にコピーす るか、値を削除することができます。 すべてのテンプレートあるいはスタックの設定を無効化あるいは削除するのではなく、単一の 設定をオーバーライドしたい場合はテンプレート設定のオーバーライドをご覧ください。 ファイアウォールを管理する際にこれらを使用することについてはテンプレートおよびテンプ レートスタックを参照してください。 テンプレート設定の無効化 / 削除 ステップ 1 スーパーユーザーのロールを持つ管理者として管理対象のファイアウォールのWebインターフェイ スにアクセスします。ブラウザの URL フィールドに IP アドレスを入力して直接にアクセスするか、 Context [ コンテキスト ] ドロップダウンリストでファイアウォールを選択することができます。 102 • Panorama 7.0 管理者ガイド Palo Alto Networks ファイアウォールの管理 ファイアウォールを Panorama 管理に移行 テンプレート設定の無効化 / 削除(続) ステップ 2 [Device] > [ セットアップ ] > [ 管理 ] の順に選択し、[Panorama 設定 ] を編集します。 ステップ 3 Disable Device and Network Template [ デバイスとネットワークテンプレートを無効にする ] をク リックします。 ステップ 4 (任意)ファイアウォールに設定をローカルに保存するには、[ 無効にする前にデバイスとネットワー クテンプレートをインポート ] を選択します。このオプションを選択しない場合、PAN-OS は、 Panorama がプッシュした設定すべてをデバイスから削除します。 ステップ 5 [OK] を 2 回クリックし、[ コミット ] をクリックして変更を保存します。 ファイアウォールを Panorama 管理に移行 これまで Palo Alto Networks ファイアウォールを導入し、ローカルに設定していて、新たに Panorama を使用した一元管理を行う場合、移行前の計画を行う必要があります。この移行作業 には、ファイアウォールの設定を Panorama にインポートし、移動後にファイアウォールが適切 に機能していることを確認する作業が含まれます。個々のファイアウォールに固有の設定がある 場合、継続してそのファイアウォールにアクセスして固有の設定を管理することができます。 Panorama から値をプッシュする、あるいはファイアウォールのローカルで設定を行うことによっ てあらゆるファイアウォールの設定を管理できますが、Panorama およびファイアウォールの両 方を通して設定を管理することはできません。特定のファイアウォールの設定を Panorama 管理 から除外する場合は次のいずれかが可能です。 ファイアウォールの設定全体を移行してから、ファイアウォールのローカルで管理したい設 定を Panorama で削除します。また、Panorama の設定を削除する代わりに、Panorama がファイ アウォールにプッシュするテンプレート設定のオーバーライドを行うこともできます。 Panorama を使用して管理する設定だけを含んだファイアウォールの一部の設定を読み込みます。 Panorama 管理に移行する際、ファイアウォールのログは無くなりません。 Panorama 管理への変更を計画 ファイアウォールを Panorama 管理に移行 ファイアウォールの設定の一部を Panorama に読み込む Panorama 管理への変更を計画 次のタスクは、ファイアウォールを Panorama 管理に移行する際に必要な計画を高レベルにまと めたものです。 移行するファイアウォールを決定します。 Panorama およびファイアウォールのソフトウェア、コンテンツバージョン、ライセンスの管 理と更新を行う方法を決定します。重要な詳細事項については Panorama、ログコレクタ、お よびファイアウォールのバージョン互換性を参照してください。 Palo Alto Networks Panorama 7.0 管理者ガイド • 103 ファイアウォールを Panorama 管理に移行 ファイアウォールの管理 URL フィルタリングデータベース(BrightCloud あるいは PAN-DB)、ログ収集、管理ロールに ついて、Panorama の導入計画を行います。 共通設定を管理する方法を計画します。 冗長性を抑え、すべてのファイアウォールあるいは一連のファイアウォールで共有する設定 を合理的に管理できるようなデバイスグループの階層、テンプレートおよびテンプレートス タックを計画します。移行の際、次の例外を除き、ファイアウォールの共有領域からオブジェ クトを Panorama の Shared [ 共有 ] にインポートするかどうかを選択できます。 – 共有ファイアウォールオブジェクトの名前と値が既存の共有 Panorama オブジェクトと同 じである場合、インポートではそのファイアウォールオブジェクトは除外されます。 – 共有ファイアウォールオブジェクトの名前または値が既存の共有 Panorama オブジェクト と異なる場合、Panorama はインポート用に新しく作成された各デバイスグループにその ファイアウォールオブジェクトをインポートします。 – テンプレートにインポートされた設定が共有ファイアウォールオブジェクトを参照する、あ るいはテンプレートにインポートされた設定を共有ファイアウォールオブジェクトが参照す る場合、Import devices' shared objects into Panorama's shared context [ デバイスの共有オブジェクトを Panoramaの共有コンテクストにインポート]するチェックボックスを選択するかどうかに関わ らず、Panorama はすべてのオブジェクトを共有オブジェクトとしてインポートします。 Panorama に同様の要素がすでに含まれている、あるいはその要素がファイアウォール固有(例え ばタイムゾーンの設定)であり Panorama を使用して管理を行わないためにインポートしたくない 設定要素(ポリシー、オブジェクト、およびその他の設定)がファイアウォールにあるかどうか 判断します。グローバル検索を実行し、Panorama に類似の要素があるかどうか確認できます。 デバイスグループごとに共通のゾーンを決定します。これには、各デバイスグループ内の ファイアウォールと仮想システムに共通のゾーン名を命名する方法が含まれます。たとえ ば、支店 LAN と WAN というゾーンがある場合、Panorama は、ポート / メディアタイプ、プ ラットフォーム、論理アドレス スキーマの違いを意識せずに、それらのゾーンを参照するポ リシールールをプッシュできます。 移行後のテスト計画を作成します。 テスト計画を使用し、移行後もファイアウォールが効率よく稼働することを検証します。こ の計画には次のようなタスクが含まれる場合があります。 – 移行後、少なくとも 24 時間ファイアウォールを監視する。 – Panorama およびファイアウォールのログで異常の有無を監視する。 – Panorama への管理者ログインをチェックする。 – 複数のソースからの様々な種類のトラフィックをテストする。例えば、帯域幅のグラフ、 セッションカウント、拒否ルールのトラフィックログの項目をチェックします(Panorama を使用した可視化を参照) 。このテストは、代表的なポリシー設定のサンプルに対して行 う必要があります。 – ユーザーが報告した問題があるかどうか、ネットワークオペレーションセンター(NOC) およびセキュリティ オペレーションセンター(SOC)とともに確認します。 – ファイアウォールの機能を検証する上で役立つその他のテスト指標をすべて盛り込みます。 104 • Panorama 7.0 管理者ガイド Palo Alto Networks ファイアウォールの管理 ファイアウォールを Panorama 管理に移行 ファイアウォールを Panorama 管理に移行 ファイアウォールの設定をインポートする際、Panorama は自動的にテンプレートを作成し、イ ンポートしたネットワークおよびデバイスの設定を盛り込みます。インポートしたポリシーおよ びオブジェクトを含めるために、 Panorama は各ファイアウォールに対して単一のデバイスグルー プを、あるいはマルチ vsys ファイアウォールの各仮想システム(vsys)に対して単一のデバイス グループを自動的に作成します。 次の作業を行う際、Panorama がファイアウォールの設定全体をインポートします。あるいは、 ファイアウォールの設定の一部を Panorama に読み込むを行うこともできます。 PAN-OS 5.0 以降のリリースを実行するファイアウォールから設定をインポートできます。ただ し、Panorama 6.1 以降では、PAN-OS 6.0.0 ~ 6.0.3 を実行しているファイアウォールに設定 をプッシュできません。 すでに管理対象のデバイスであるファイアウォールから設定をインポートできますが、これは まだデバイスグループあるいはテンプレートに割り当てられていない場合にのみ可能です。 ファイアウォールを Panorama 管理に移行 ステップ 1 移行計画を立てます。 ステップ 2 管理対象デバイスとしてファイア ウォールを追加します。 Panorama 管理への変更を計画 のチェックリストを参照して ください。 管理対象デバイスとしてのファイアウォールの追加を実行 します。 1. Panorama にログインし、Panorama > Managed Devices [Panorama > 管理対象デバイス ] の順に選択し、Add [ 追 加 ] をクリックします。 2. ファイアウォールのシリアル番号を入力して OK をク リックします。 複数のファイアウォールの設定をインポートす る場合、各シリアル番号を行を分けて入力しま す。任意で、Microsoft Excel のワークシートから シリアル番号をコピー&ペーストすることもで きます。 3. Commit [ コミット ] をクリックし、Commit Type [ コミッ トタイプ ] で Panorama を選択して、さらに Commit [ コ ミット ] をクリックします。 ステップ 3 1. ファイアウォールから Panorama へ の接続を確立させます。 2. 3. Palo Alto Networks ファイアウォールにログインし、Device > Setup [ デバイ ス > セットアップ ] を選択して Panorama 設定を編集し ます。 Panorama Servers [Panorama サーバー ] フィールドに Panorama 管理サーバーの IP アドレスを入力します。 OK、Commit [ コミット ] の順にクリックします。 Panorama 7.0 管理者ガイド • 105 ファイアウォールを Panorama 管理に移行 ファイアウォールの管理 ファイアウォールを Panorama 管理に移行(続) ステップ 4 1. ファイアウォール設定をPanoramaに インポートします。 Panorama で Panorama > Setup > Operations [Panorama > セットアップ > 操作 ] を選択し、 Import device configuration to Panorama [Panorama にデバイス設定をインポート ] を 選択してさらに Device [ デバイス ] を選択します。 後でファイアウォールの設定 Panorama は、既存のデバイスグループあるいはテ を再度インポートすることを ンプレートに割り当てられているファイアウォー 決めた場合、まずは最初にイ ルから設定をインポートすることはできません。 ンポートしたデバイスグルー プ お よ び テ ン プ レ ー ト か ら 2. Template Name [ テンプレート名 ] を入力します。これ ファイアウォールあるいはそ がマルチ vsys ファイアウォールの場合、このフィール の仮想システムを削除しま ドは空白になります。そうでない場合、デフォルト値 す。 (デバイスグループあるい はファイアウォール名になります。既存のテンプレー はテンプレートからファイア ト名を使用することはできません。 ウォールを削除する際、ファ 3. マルチ vsys ファイアウォールの場合、すべてのデバイ イアウォールのログは無くな スグループに対して任意で Device Group Name Prefix [ デ りません)インポートしたポ バイスグループ名の接頭辞 ] の文字列を追加します。 リシーおよびオブジェクトデ バイスグループに残るため、 4. (任意)Device Group [ デバイスグループ ] の名前を変更 します。これがマルチ vsys ファイアウォールの場合、 必要に応じて移動、編集、あ デフォルトで各デバイスグループに vsys 名が設定され るいは削除する必要がありま ます。 そうでない場合、 デフォルト値はファイアウォー す。再インポートの再、Device ル名になります。既存のデバイスグループ名を使用す Group Name Prefix [ デバイスグ ることはできません。 ループ名の接頭辞]フィールド mport devices' shared objects into Panorama's shared を使用し、初回のインポート context [ デバイスの共有オブジェクトを Panorama 時に Panorama が作成したもの の共有コンテキストにインポート ] チェックボッ とは別のデバイスグループ名 クスはデフォルトでオンになっています。つまり、 を定義します。 Panorama は、ファイアウォールの Shared [ 共有 ] 領 域に属するオブジェクトを Panorama の Shared [共有 ] にインポートします。このチェックボックスをオ フにすると、Panorama は、[ 共有 ] ではなくデバイ スグループに共有ファイアウォールオブジェクト をコピーします。これにより重複するオブジェク トが生成される可能性があるため、大抵の場合は チェックボックスをオンにしておくことが推奨さ れ ま す。共 有 あ る い は 重 複 オ ブ ジ ェ ク ト を Panorama にインポートするとどうなるのかという ことについては共通設定を管理する方法を計画 します。をご覧ください。 5. インポートされたポリシールールの Rule Import Location [ ルールのインポート先 ] を次の中から選択します。Pre Rulebase [ プレルールベース ] あるいは Post Rulebase [ ポ ストルールベース ]。選択内容に関係なく、Panorama は デフォルトのセキュリティルール (intrazone-default お よ び interzone-default) を ポ ス ト ル ー ル ベ ー ス に イ ン ポートします。 Panorama に、インポートするファイアウォール ルールと同じ名前のルールがある場合、Panorama には両方のルールが表示されます。Panorama で コミットを実行する前にいずれかのルールを削 除し、コミットが失敗しないようにします。 6. [OK] をクリックします。インポートのステータス、結果、 選択内容の詳細、インポートされた項目の詳細、警告が Panorama に表示されます。[ 閉じる ] をクリックします。 106 • Panorama 7.0 管理者ガイド Palo Alto Networks ファイアウォールの管理 ファイアウォールを Panorama 管理に移行 ファイアウォールを Panorama 管理に移行(続) ステップ 5 1. インポートされた設定の微調整を 行います。 2. Panorama で Panorama > Config Audit [Panorama > 設定監 査 ] を選択し、Running config [ 実行中の設定 ] および比 較対象の Candidate config [ 候補設定 ] を選択し、Go [ 実 行 ] をクリックして結果を確認します。 設定監査、およびインポート後に Panorama が表示した 警告に従って必要に応じてデバイスグループおよびテ ンプレートの設定を更新します。例 : • 冗長なオブジェクトおよびポリシールールを削除し ます。 • ポリシールールあるいはオブジェクトを別のデバイ スグループに移動 / コピー . • ファイアウォールを別のデバイスグループあるいは テンプレートに移動させます。 • インポート時に Panorama が作成したデバイスグルー プ を 別 の 親 デ バ イ ス グ ル ー プ に 移 動 さ せ ま す。 Panorama > Device Groups [Panorama > デバイスグルー プ ] を選択し、移動させるデバイスグループを選択 し、さらに新しい Parent Device Group [ 親デバイスグ ループ ] を選択して OK をクリックします。 ステップ 6 1. デバイスの設定バンドルをファイア ウォールにプッシュし、ローカルの 設定からすべてのポリシールールお よびオブジェクトを削除します。 ルールあるいはオブジェクト名が 重複することにより、次のステップ 2. でPanoramaからファイアウォールに デバイスグループの設定をプッ シュする際にコミット エラーが発 生 す る の を 避 け る た め に こ の ス 3. テップが必要になります。 ステップ 7 1. デバイスグループおよびテンプ レートの設定をファイアウォール にプッシュし、一元管理への移行を 2. 完了させます。 複数のファイアウォールを移行さ せている場合、次に進む前に各ファ イアウォールに対して上記の全ス テップ(このステップを含む)を実 3. 施します。 Palo Alto Networks Commit [ コミット ] をクリックし、 Commit Type [ コミッ トタイプ ] で Panorama を選択して、さらに Commit [ コ ミット ] をクリックします。Panorama は、すべてのポ リシーおよびオブジェクトが削除されたデバイス設定 バンドルを <firewall_name>_import.tgz という名前で作 成します。 Panorama で Panorama > Setup > Operations [Panorama > セットアップ > 操作 ] の順に選択し、Export or push device config bundle [ デバイス設定バンドルをエクス ポートあるいはプッシュ ] をクリックします。 設定のインポート元である Device [デバイス]を選択し、 OK、次に Push & Commit [ プッシュしてコミット ] をク リックします。Panorama がバンドルをプッシュし、ファ イアウォール上でのコミットを開始します。 Panorama で Commit [ コミット ] をクリックし、Commit Type [ コミットタイプ ] で Device Group [ デバイスグルー プ ] を選択します。 Merge with Device Candidate Config [ デバイス候補設定に マージ ]、Include Device and Network Templates [ デバイ スおよびネットワークテンプレートを含める ]、および Force Template Values [ テンプレートの値を適用 ] の チェックボックスをオンにします。 インポートされたファイアウォールの設定を含むデバ イスグループを選択し、Commit [ コミット ] をクリック します。 Panorama 7.0 管理者ガイド • 107 ファイアウォールを Panorama 管理に移行 ファイアウォールの管理 ファイアウォールを Panorama 管理に移行(続) ステップ 8 1. インポートされたすべてのファイ アウォールの設定を統合します。 ファイアウォールの設定をすべてインポートした後、 必要に応じてデバイスグループおよびテンプレートを 更新して冗長性を無くし、設定の管理を合理化します (インポートされた設定の微調整を行います。を参照) 複数のファイアウォールを移行して いる場合はこれが必須になります。 (デバイス設定バンドルを再度プッシュする必要はあ りません)。 各ファイアウォールで設定が重複す 2. ファイアウォール固有の設定を構成します。 る場合があります。例えば、2 つの ファイアウォールから同じ名前のオ ファイアウォールにローカルゾーンをもたせる場合はデ ブジェクトをインポートした場合、 バイスグループあるいはテンプレートをコミットする前 Panorama でコミットを実行する前に に作成しておく必要があります。Panorama はファイア Panorama のどちらかのオブジェクト ウォールに対してゾーン名あるいはゾーン設定をポーリ を削除する必要があります。 ングすることはできません。後にローカルのファイア ウォールルールを使用する場合、それらの名前が一意に なっていることを確認します(Panorama で重複なし) 。必 要に応じて、ファイアウォール固有の値でテンプレート 設定のオーバーライドを行うことができます。 3. Panorama で Commit [ コミット ] をクリックして、Commit Type [ コミットタイプ ] として Device Group [ デバイスグ ループ ] を選択し、さらにデバイスグループを選択し、 Include Device and Network Templates [デバイスおよびネッ トワークテンプレートを含める ] チェックボックスをオ ンにして、Commit [ コミット ] をクリックします。 ステップ 9 移行計画を立てる際に決定した検証作業を行い、Panorama 移行後のテスト計画を実行します。 がプッシュした設定を使用しても元のローカル構成の時と 同じように効率よくファイアウォールが稼働することを確 認します(移行後のテスト計画を作成します。を参照)。 ファイアウォールの設定の一部を Panorama に読み込む 他のファイアウォールと共通の設定がある場合、その設定を Panorama に読み込んだ後、他のす べてのファイアウォールあるいは特定のデバイスグループおよびテンプレートのファイア ウォールにプッシュすることができます。 ファイアウォールの設定の一部を Panorama に読み込む ステップ 1 Panorama への移行計画を立てます。 ステップ 2 Panorama における名前とファイア ウォールでの名前が同じである重 複した設定を管理する方法を決定 します。 Panorama 管理への変更を計画 のチェックリストを参照し てください。 Panorama でグローバル検索を実行し、重複した設定が あるかどうか確認します。 2. Panorama で設定を管理する場合は重複した設定をファ イアウォールから削除あるいは名称変更します。ファ イアウォールで設定を管理する場合は重複した設定を Panorama から削除あるいは名称変更します。デバイス 部分的なファイアウォールの設定を あるいはネットワーク設定をファイアウォールで管理 読み込む前の時点で、Panorama とその する場合、重複した設定を Panorama で削除あるいは名 ファイアウォールがすでに重複した 称変更する代わりに、Panorama から設定をプッシュし 設定を持っている可能性があります。 (ステップ 6)、ファイアウォール上でファイアウォール ファイアウォールの設定を読み込む 固有の値でテンプレート設定のオーバーライドを行う と、他の管理対象のファイアウォール こともできます。 の設定と重複している設定もPanorama に追加される可能性があります。 108 • Panorama 7.0 管理者ガイド 1. Palo Alto Networks ファイアウォールの管理 ファイアウォールを Panorama 管理に移行 ファイアウォールの設定の一部を Panorama に読み込む(続) Panoramaにファイアウォールの ものと同じ名前のポリシー ルールあるいはオブジェクト がある場合、ファイアウォール にデバイスグループ設定を プッシュしようとした際にコ ミット エラーが発生します。 Panoramaにファイアウォールの ものと同じ名前のテンプレー ト設定がある場合、テンプレー トをプッシュする際にファイ アウォールの値がテンプレー トの値で上書きされます。 ステップ 3 1. ファイアウォールの設定全体を ローカルのコンピューターにエク 2. スポートします。 3. ステップ 4 1. ファイアウォール設定スナップ ショットをPanoramaにインポートし 2. ます。 ファイアウォールで、Device > Setup > Operations [ デバ イス > セットアップ > 操作 ] の順に選択します。 Save named configuration snapshot [ 名前を付けて設定ス ナップショットを保存 ] をクリックし、設定を識別で きる Name [ 名前 ] を入力して OK をクリックします。 Export named configuration snapshot [ 名前を付けて設定 スナップショットを保存 ] をクリックし、先ほど保存 した設定の Name [ 名前 ] を選択して OK をクリックし ます。ファイアウォールは設定を XML ファイルとして エクスポートします。 Panorama で Panorama > Setup > Operations [Panorama > セットアップ > 操作 ] の順に選択します。 Import named Panorama configuration snapshot [ 名前を付 けて保存した Panorama 設定スナップショットをイン ポート ] をクリックし、コンピューターにエクスポー トしたファイアウォールの設定ファイルを Browse [ 参 照 ] し、OK をクリックします。 このオプションを使用してファイアウォールの 設定ファイルをインポートした後は、Panorama の Web インターフェイスを使用してそれを読み 込むことができなくなります。次のステップで 説明するように、XML、API、あるいは CLI を使 用する必要があります。 ステップ 5 XML、API、あるいは CLI を使用して設定の一部を指定・ ファイアウォールの設定の任意の 読込: 部分を Panorama に読み込みます。 1. ファイアウォールの XML、API、あるいは CLI を使用 してソース xpath を指定します。 設 定 の一 部(例:すべ て のア プ リ 例えば、ファイアウォールの vsys1 のアプリケーション ケーションオブジェクト)を指定す オブジェクトの xpath は: る際、次の項目を提示する必要があ ります。 /config/devices/entry [@name='localhost.localdomain']/ vsys/entry [@name='vsys1']/application • ソース xpath — 読み込み元である ファイアウォールの設定ファイ 2. Panorama の XML、API、あるいは CLI を使用して宛先 xpath を指定します。 ルの XML ノード。 例えば、US-West という名前のデバイスグループにアプ • 宛先 xpath — 読み込み先である リケーションオブジェクトを読み込む場合、xpath は: Panorama 設定のノード。 /config/devices/entry [@name='localhost.localdomain']/ device-group/entry [@name='US-West']/application Palo Alto Networks Panorama 7.0 管理者ガイド • 109 ファイアウォールを Panorama 管理に移行 ファイアウォールの管理 ファイアウォールの設定の一部を Panorama に読み込む(続) 3. Panorama CLI を使用して設定を読み込み、変更をコミッ トします。 # load config partial from <filename> from-xpath <source-xpath> to-xpath <destination-xpath> mode [append|merge|replace] 例 え ば、次 の よ う に 入 力 し、イ ン ポ ー ト し た fw1-config.xml という名前のファイアウォールの設定の vsys1 から、Panorama の US-West という名前のデバイス グループにアプリケーションオブジェクトを読み込み ます。 # load config partial from fw1-config.xml from-xpath devices/entry[@name='localhost.localdomain']/vsys/ entry[@name='vsys1']/application to-xpath /config/ devices/entry[@name='localhost.localdomain']/devic e-group/entry[@name='US-West']/application mode merge # commit ステップ 6 1. 設定の一部をPanoramaからファイア ウォールにプッシュし、一元管理へ の移行を完了させます。 2. 3. 4. 5. 6. Panorama のものと同じ名前のルールあるいはオブジェ ク ト を す べ て フ ァ イ ア ウ ォ ー ル か ら 削 除 し ま す。 Panorama のものと重複しているルールあるいはオブ ジェクトがそのファイアウォール用のデバイスグルー プに存在する場合、それらのファイアウォール上でこ のステップも実行します。詳細は、ステップ 2 を参照 してください。 Panorama で Commit [ コミット ] をクリックし、Commit Type [ コミットタイプ ] で Panorama を選択して、さら に Commit [ コミット ] をクリックします。 Panorama で Commit [ コミット ] をクリックし、Commit Type [ コミットタイプ ] で Device Group [ デバイスグルー プ ] を選択します。 Merge with Device Candidate Config [ デバイス候補設定に マージ ]、Include Device and Network Templates [ デバイ スおよびネットワークテンプレートを含める ]、および Force Template Values [ テンプレートの値を適用 ] の チェックボックスをオンにします。 インポートされたファイアウォールの設定を含むデバ イスグループを選択し、Commit [ コミット ] をクリック します。 Panorama で管理しないデバイスあるいはネットワーク 設定がファイアウォールにある場合、ファイアウォー ルでテンプレート設定のオーバーライドを行います。 ステップ 7 移行計画を立てる際に決定した検証作業を行い、Panorama 移行後のテスト計画を実行します。 がプッシュした設定を使用しても元のローカル構成の時と 同じように効率よくファイアウォールが稼働することを確 認します(移行後のテスト計画を作成します。を参照)。 110 • Panorama 7.0 管理者ガイド Palo Alto Networks ファイアウォールの管理 ユースケース : Panorama を使用してファイアウォールを構成 ユースケース : Panorama を使用してファイアウォールを構成 Panorama を 高可用性設定で使用して、ネットワーク上の 12 台のファイアウォールを管理すると します。6 つの支店にファイアウォール 6 台、2 つのデータセンターそれぞれに高可用性設定の ファイアウォールを 2 台ずつ、2 つの地域本部にファイアウォール 1 台ずつが導入されています。 中央管理戦略を作成するための最初のステップでは、ファイアウォールをデバイスグループとテ ンプレートにグループ化して Panorama から設定を効率よくプッシュする方法を決定します。グ ループ化の基準は、ファイアウォールの業務上の機能、地理的な場所、または管理ドメインにす ることができます。この例では、2 つのデバイスグループと 3 つのテンプレートを作成し、 Panorama を使用してデバイスを管理します。 デバイスグループ テンプレート 中央管理設定とポリシーのセットアップ デバイスグループ この例では、ファイアウォールが実行する機能に基づいて、以下の 2 つのデバイスグループを定 義することにします。 DG_BranchAndRegional には、支店と地域本部でセキュリティ ゲートウェイとして機能するデ バイスをグループ化します。類似の機能を持つデバイスには類似のポリシールールベースが 必要であるため、支店のファイアウォールと地域本部のファイアウォールは同じデバイスグ ループに入れます。 DG_DataCenter には、データセンターのサーバーを保護するデバイスをグループ化します。 これで、両方のデバイスグループ間の共有ポリシールールと、地域本部グループと支店グループ の個別のデバイスグループルールを管理できます。柔軟性を高めるために、地域本部または支店 のローカル管理者は、特定の送信元、宛先、およびサービス フローに一致するローカルルール Palo Alto Networks Panorama 7.0 管理者ガイド • 111 ユースケース : Panorama を使用してファイアウォールを構成 ファイアウォールの管理 を作成して、そのオフィスで必要なアプリケーションとサービスにアクセスすることができま す。この例では、以下のセキュリティルールの階層を作成します。他のルールベースにも類似の 方法を使用できます。 テンプレート ファイアウォールをテンプレートにグループ化する場合は、ネットワーキング設定の違いを考慮 に入れる必要があります。たとえば、インターフェイス設定が異なる場合、つまり、インター フェイスのタイプ、使用するインターフェイスの採番体系やリンク機能、ゾーンインターフェイ ス間のマッピングが異なる場合、ファイアウォールは別のテンプレートに分ける必要がありま す。さらに、ファイアウォールは地理的に広範囲にわたって設置されているため、ネットワーク リソースへのアクセス設定も異なる場合があります。たとえば、ファイアウォールがアクセスす る DNS サーバー、Syslog サーバー、ゲートウェイが異なる可能性があります。そのため、最適 な基本設定を可能にするには、ファイアウォールを以下のように別個のテンプレートに分ける必 要があります。 支店のファイアウォールは T_Branch 地域本部のファイアウォールは T_Regional データセンターのファイアウォールは T_DataCenter 112 • Panorama 7.0 管理者ガイド Palo Alto Networks ファイアウォールの管理 ユースケース : Panorama を使用してファイアウォールを構成 ファイアウォールをアクティブ / アクティブの HA 設定で導入する計画の場合は、HA ペアの各ファイアウォー ルを別個のテンプレートに割り当てます。これにより、ピアごとに別個のネットワーク設定を柔軟にセットアッ プできます。たとえば、ピアごとにテンプレートを分けてネットワーク設定を管理し、それぞれが北方向ルー ターと南方向ルーターに別個に接続したり、異なる OSPF または BGP ピア設定を使用したりできます。 中央管理設定とポリシーのセットアップ 上のトピック(「ユースケース : Panorama を使用してファイアウォールを構成」以降)で説明さ れている例を使用し、以下のタスクを実行してファイアウォールを一元的にデプロイして管理し ます。 タスク 1 — 管理対象デバイスとしてファイアウォールを追加し、コンテンツ更新と PAN-OS ソフトウェア更新をそれらのファイアウォールにデプロイします。 タスク 2 — テンプレートを使用して基本設定を管理します。 タスク 3 — デバイスグループを使用してファイアウォールポリシーを管理します。 タスク 4 — ルールをプレビューし、Panorama、デバイスグループ、およびテンプレートに変 更をコミットします。 管理対象のファイアウォールを追加して更新をデプロイ タスク 1 管理対象デバイスとしてファイアウォールを追加し、コンテンツ更新と PAN-OS ソフトウェア更新をそ れらのファイアウォールにデプロイします。 ステップ 1 この例ではファイアウォールを 12 個追加します。 Panorama で管理するファイアウォー ルごとに管理対象デバイスとしての ファイアウォールの追加を行います。 Palo Alto Networks Panorama 7.0 管理者ガイド • 113 ユースケース : Panorama を使用してファイアウォールを構成 ファイアウォールの管理 管理対象のファイアウォールを追加して更新をデプロイ(続) 1. ステップ 2 コンテンツ更新をファイアウォール にデプロイします。脅威防御サブス クリプションを購入している場合 2. は、コンテンツデータベースとアン チウイルスデータベースを使用でき ます。最初に、Applications [ アプリ 3. ケーション ] または Applications and Threats [ アプリケーションおよび脅 威 ] データベースをインストールし、 4. 次に Antivirus [ アンチウイルス ] をイ ンストールします。 Panorama で実行されるすべて のタスクの状態または進捗を 5. レビューする方法については、 「Panorama のタスク完了履歴の 表示」を参照してください。 ステップ 3 1. ソフトウェア更新をファイアウォー ルにデプロイします。 2. 3. 4. 5. Panorama > Device Deployment > Dynamic Updates [Panorama > デバイスのデプロイ > 動的アップデート ] の順に選択し ます。 [ 今すぐチェック ] をクリックして最新の更新があるか どうか確認します。[ アクション ] 列の値が [ ダウンロー ド ] の場合は、入手可能な更新があることを示します。 [ ダウンロード ] をクリックします。ダウンロードが完了 すると、[アクション] 列の値が [インストール] になります。 [ アクション ] 列で [ インストール ] をクリックします。 この更新をインストールする管理対象ファイアウォー ルを選択するには、フィルタまたはユーザー定義タグ を使用します。 [OK] をクリックし、各ファイアウォールのコンテンツ 更新の状態、進捗、および結果をモニターします。Result [ 結果 ] 列には、インストールの成功または失敗が表示 されます。 Panorama > Device Deployment > Software [Panorama > デ バイスのデプロイ > ソフトウェア ] の順に選択します。 [ 今すぐチェック ] をクリックして最新の更新があるか どうか確認します。[ アクション ] 列の値が [ ダウンロー ド ] の場合は、入手可能な更新があることを示します。 各ハードウェアモデルに必要なバージョンを見つけ、 [ ダウンロード ] をクリックします。ダウンロードが完 了すると、[ アクション ] 列の値が [ インストール ] にな ります。 [ アクション ] 列で [ インストール ] リンクをクリックし ます。このバージョンをインストールする管理対象 ファイアウォールを選択するには、フィルタまたは ユーザー定義タグを使用します。 [ インストール後にデバイスを再起動 ] または [ デバイスへ のアップロードのみ ( インストールしない )] チェックボッ クスをオンにして、[OK] をクリックします。[ 結果 ] 列 には、インストールの成功または失敗が表示されます。 テンプレートを使用した基本設定の管理 タスク 2 テンプレートを使用して基本設定を管理します。 ステップ 1 この例では、T_Branch、T_Regional、および T_DataCenter と 使用するテンプレートごとにテンプ いう名前のテンプレートを作成します。 レートの追加を行い、適切なファイ アウォールを各テンプレートに割り 当てます。 114 • Panorama 7.0 管理者ガイド Palo Alto Networks ファイアウォールの管理 ユースケース : Panorama を使用してファイアウォールを構成 テンプレートを使用した基本設定の管理(続) ステップ 2 1. DNS サーバー、NTP サーバー、Syslog サーバー、およびログインバナーを 2. 定義します。各テンプレートでこの 手順を繰り返します。 3. 4. ステップ 3 1. 管理対象ファイアウォールの管理イ ンターフェイスへの HTTPS、SSH、 2. および SNMP アクセスを有効にしま す。各テンプレートでこの手順を繰 り返します。 3. Device [ デバイス ] タブで、 ドロップダウンから Template [ テンプレート ] を選択します。 DNS サーバーと NTP サーバーを定義します。 a. Device > Setup > Services > Global [ デバイス > セット アップ > サービス > グローバル ] の順に選択し、 Services [ サービス ] を編集します。 b. Services [ サービス ] タブで Primary DNS Server [ プラ イマリ DNS サーバー ] の IP アドレスを入力します。 仮想システム(vsys)が一つ以上あるすべての ファイアウォールについて、各 vsys で DNS サーバープロファイルをテンプレートに追加 します(Device > Server Profiles > DNS [ デバイス > サーバープロファイル > DNS])。 c. NTP タブで Primary DNS Server [ プライマリ NTP サー バー ] の IP アドレスを入力します。 d. [OK] をクリックして、変更内容を保存します。 ログインバナーを追加し、 Device > Setup > Management [ デ バイス > セットアップ > 管理 ] の順に選択し、General Settings [ 一般設定 ] を編集します。このセクションで、 Login Banner [ ログインバナー ] のテキストを入力し、 OK をクリックします。 Syslog サーバープロファイルを設定します( Device > Server Profiles > Syslog [ デバイス > サーバープロファ イル > Syslog])。 Device [デバイス] タブで、 ドロップダウンから Template [ テンプレート ] を選択します。 Setup > Management [ セットアップ > 管理 ] の順に選択 し、Management Interface Settings [ 管理インターフェイ ス設定 ] を編集します。 Services [ サービス ] 以下で、HTTPS、SSH、および SNMP のチェックボックスをオンにして、OK をクリックしま す。 ステップ 4 1. データセンターテンプレート (T_DataCenter)に含まれるファイア 2. ウォールのゾーンプロテクションプ ロファイルを作成します。 3. [Network] タブを選択し、[ テンプレート ] ドロップダウ ンで [T_DataCenter] を選択します。 [ ネットワークプロファイル ] > [ ゾーンプロテクション ] の 順に選択し、[ 追加 ] をクリックします。 この例では、SYN フラッドに対する保護を有効にしま す。有効にするには、[ フラッド プロテクション ] タブで [SYN] チェックボックスをオンにし、[ アクション ] を [SYN Cookie] に、[ アラート ] パケット / 秒を [100] に、 [ アクティベーション ] パケット / 秒を [1000] に、およ び [ 最大 ] パケット / 秒を [10000] に設定します。 4. この例では、アラートを有効にします。有効にするには、 [ 偵察行為防御 ] タブで、[TCP ポートスキャン ]、[ ホスト ス イープ ]、および [UDP ポートスキャン ] の [ 有効化 ] チェッ クボックスをオンにします。[ アクション ] の値が [Alert] (デフォルト値)に設定されていることを確認します。 5. OK をクリックしてゾーンプロテクションプロファイ ルを保存します。 Palo Alto Networks Panorama 7.0 管理者ガイド • 115 ユースケース : Panorama を使用してファイアウォールを構成 ファイアウォールの管理 テンプレートを使用した基本設定の管理(続) ステップ 5 1. データセンターテンプレート (T_DataCenter)でインターフェイス 2. とゾーンの設定を行い、作成した ゾーンプロテクションプロファイル 3. を添付します。 この手順を実行する前に、ま 4. ずファイアウォール上でイン ターフェイスをローカルに設 定しておく必要があります。 少なくとも、各インターフェ イスに対してインターフェイ 5. スタイプを定義し、必要に応 じてそのタイプを仮想ルー タ ー に 割 り 当 て、セ キ ュ リ ティ ゾーンを適用しておく 6. 必要があります。 7. 8. ステップ 6 1. テンプレートの変更をコミットし ます。 2. [Network] タブを選択し、[ テンプレート ] ドロップダウ ンで [T_DataCenter] を選択します。 [Network] > [ インターフェイス ] の順に選択し、[ インター フェイス ] 列でインターフェイス名をクリックします。 ドロップダウンから [ インターフェイスタイプ ] を選択し ます。 [仮想ルーター] ドロップダウン リストで、[ 新規仮想ルー ター ] を選択します。ルーターを定義するときには、 [ 名前 ] がファイアウォールで定義されている名前と確 実に一致するようにします。 [ セキュリティ ゾーン ] ドロップダウンで、[ 新規ゾーン ] をクリックします。ゾーンを定義するときには、[ 名前 ] がファイアウォールで定義されている名前と確実に一 致するようにします。 [OK] をクリックして、インターフェイスに対する変更 を保存します。 [Network] > [ ゾーン ] の順に選択し、作成したゾーンを 選択します。ゾーンに正しいインターフェイスが適用 されていることを確認します。 Zone Protection Profile [ ゾーンプロテクションプロファ イル ] ドロップダウンで、作成したプロファイルを選 択し、OK をクリックします。 Commit [ コミット ] をクリックし、 Commit Type [ コミッ トタイプ ] で Panorama を選択して、さらに Commit [ コ ミット ] をクリックします。 Commit [ コミット ] をクリックし、 Commit Type [ コミッ トタイプ ] で Template [ テンプレート ] を選択し、先変 更を加えたテンプレートに割り当てられているファイ アウォールを選択して再び Commit [コミット]をクリッ クします。 デバイスグループを使用したポリシールールのプッシュ タスク 3 デバイスグループを使用してファイアウォールのポリシールールを管理します。 ステップ 1 この例では、DG_BranchAndRegional および DG_DataCenter デバイスグループを作成し、適切な という名前のデバイスグループを作成します。 ファイアウォールを各デバイスグ DG_BranchAndRegional デバイスグループを設定する際、 ループに割り当てます(デバイスグ Master [ マスター] ファイアウォールを割り当てる必要があ ループの追加を参照)。 ります。これはデバイスグループ内でポリシー評価のため にユーザーおよびグループマッピング情報を収集する唯 一のファイアウォールです。 116 • Panorama 7.0 管理者ガイド Palo Alto Networks ファイアウォールの管理 ユースケース : Panorama を使用してファイアウォールを構成 デバイスグループを使用したポリシールールのプッシュ(続) ステップ 2 1. DNS および SNMP サービスを許可 するための共有プレルールを作成し ます。 DNS および SNMP サービスの共有アプリケーション グループを作成します。 a. Objects > Application Group [ オブジェクト > アプリ ケーショングループ ] の順に選択し、Add [ 追加 ] を クリックします。 b. 共有アプリケーショングループオブジェクトを作成 するには、Name [ 名前 ] を入力し、Shared [ 共有 ] チェックボックスをオンにします。 c. 2. Palo Alto Networks d. [ 追加 ] をクリックし、「DNS」と入力し、リストから [dns] を選択します。SNMP についても繰り返し、 snmp、snmp-trap を選択します。 e. OK をクリックしてアプリケーショングループを作成 します。 共有ルールを作成します。 a. [Policies] タブを選択し、[ デバイスグループ ] ドロッ プダウンで [ 共有 ] を選択します。 b. Security > Pre-Rules [セキュリティ > プレルール]ルー ルベースの順に選択します。 c. Add [ 追加 ] をクリックし、セキュリティルールの Name [ 名前 ] にポリシー名を入力します。 d. ルールの Source [ 送信元 ] タブと Destination [ 宛先 ] タブで、Add [ 追加 ] をクリックし、トラフィックの Source Zone [ 送信元ゾーン ] と Destination Zone [ 宛先 ゾーン ] を入力します。 e. [ アプリケーション ] タブで、[ 追加 ] をクリックし、作成 したアプリケーショングループオブジェクトの名前を 入力し、ドロップダウンからその名前を選択します。 f. Actions [ アクション ] タブで、Action [ アクション ] を Allow [ 許可 ] に設定して、OK をクリックします。 Panorama 7.0 管理者ガイド • 117 ユースケース : Panorama を使用してファイアウォールを構成 ファイアウォールの管理 デバイスグループを使用したポリシールールのプッシュ(続) ステップ 3 1. すべてのオフィスに適用される会社 の有効な使用ポリシーを定義しま 2. す。この例では、一部の URL カテゴ リへのアクセスを制限し、リスクレ 3. ベルが 3、4、5 のピアツーピアトラ フィックへのアクセスを拒否する、 4. 共有ルールを作成します。 5. 6. 7. 8. ステップ 4 1. 地域本部でのみ、マーケティンググ ループの全ユーザーに Facebook を 2. 許可します。 ユーザーおよびグループに基づいて 3. セキュリティルールを有効にする場 合、次のような前提条件があります。 4. • ファイアウォールで User-ID を設 定します。 5. • 識別したいユーザーを含む各 6. ゾーンの User-IDを有効にします。 • DG_BranchAndRegional デバイ スグループ用のマスターファイ 7. ア ウ ォ ー ル を 定 義 し ま す(ス テップ 1) 。 8. 9. 118 • Panorama 7.0 管理者ガイド [Policies] タブを選択し、[ デバイスグループ ] ドロップダ ウンで [ 共有 ] を選択します。 Security > Pre-Rules [ セキュリティ > プレルール ] の順 に選択し、Add [ 追加 ] をクリックします。 General [ 全般 ] タブで、セキュリティルールの Name [ 名前 ] を入力します。 [ 送信元 ] タブと [ 宛先 ] タブで、[ 追加 ] をクリックし、 トラフィックの [ 送信元ゾーン ] と [ 宛先ゾーン ] として [ いずれか ] を選択します。 Application [ アプリケーション ] タブでアプリケーショ ンフィルターを定義します。 a. Add [ 追加 ] をクリックし、ドロップダウンリストの フッター領域にある New Application Filter [ 新規アプ リケーションフィルター ] をクリックします。 b. [ 名前 ] を入力し、[ 共有 ] チェックボックスをオンに します。 c. [ リスク ] 列で、レベル 3、4、および 5 を選択します。 d. [ テクノロジ ] 列で、[ ピアツーピア ] を選択します。 e. [OK] をクリックして新しいフィルタを保存します。 [ サービス /URL カテゴリ ] タブの [URL カテゴリ ] セク ションで、[ 追加 ] をクリックし、ブロックするカテゴ リ(streaming-media、dating、online-personal-storage な ど)を選択します。 デフォルトの URL フィルタリング プロファイルを適用 することもできます。 Actions [ アクション ] タブの [ プロ ファイル設定 ] セクションで、Profile Type [ プロファイ ルタイプ ] のオプションとして Profiles [ プロファイル ] を選択し、URL Filtering [URL フィルタリング ] のオプ ションとして default [ デフォルト ] を選択します。 [OK] をクリックしてセキュリティ プレルールを保存 します。 [Policies] タブを選択し、[ デバイスグループ ] ドロップダ ウンで [DG_BranchAndRegional] を選択します。 Security > Pre-Rules [ セキュリティ > プレルール ] ルー ルベースの順に選択します。 Add [ 追加 ] をクリックし、 セキュリティルールの Name [ 名前 ] にポリシー名を入力します。 Source [ 送信元 ] タブでマーケティンググループユー ザーを含む送信元ゾーンを Add [ 追加 ] します。 Destination [宛先] タブで宛先ゾーンを Add [追加] します。 User [ ユーザー] タブでマーケティングユーザーグルー プをソースユーザーのリストに Add [ 追加 ] します。 [ アプリケーション ] タブで、[ 追加 ] をクリックし、 「Facebook」と入力して、ドロップダウンから [Facebook] を選択します。 [ アクション ] タブで、[ アクション ] を [ 許可 ] に設定し ます。 [ ターゲット ] タブで、地域本部のファイアウォールを 選択し、[OK] をクリックします。 Palo Alto Networks ファイアウォールの管理 ユースケース : Panorama を使用してファイアウォールを構成 デバイスグループを使用したポリシールールのプッシュ(続) ステップ 5 1. データセンターの指定されたホスト / サーバーに Amazon クラウド アプ リケーションのへのアクセスを許可 します。 2. ステップ 6 1. ネットワーク上のインターネット方 向へのトラフィックすべてのロギン 2. グを有効にするには、Trust ゾーンか ら Untrust ゾーンに一致するルール 3. を作成します。 4. 5. Palo Alto Networks Amazon クラウド アプリケーションへのアクセスが必 要なデータセンターのサーバー / ホストのアドレスオ ブジェクトを作成します。 a. Objects > Addresses [ オブジェクト > アドレス ] を選 択し、Device Group [ デバイスグループ ] ドロップダ ウンで DG_DataCenter を選択します。 b. Add [ 追加 ] をクリックし、アドレスオブジェクトの Name [ 名前 ] を入力します。 c. Type [ タイプ ] を選択し、IP アドレスおよびネット マスク(IP Netmask [IP ネットマスク ])、IP アドレス の範囲(IP Range [IP 範囲 ])、あるいは FQDN を指定 します。 d. OK をクリックしてオブジェクトを保存します。 Amazon クラウド アプリケーションへのアクセスを許 可するセキュリティルールを作成します。 a. Policies > Security > Pre-Rules [ ポリシー > プレルール ] を選択し、Device Group [ デバイスグループ ] ドロッ プダウンで DG_DataCenter を選択します。 b. Add [ 追加 ] をクリックし、セキュリティルールの Name [ 名前 ] にポリシー名を入力します。 c. Source [ 送信元 ] タブを選択し、データセンターの送 信元ゾーンを Add [ 追加 ] し、先ほど定義したアドレ スオブジェクト(ソース アドレス)を Add [ 追加 ] し ます。 d. Destination [ 宛先 ] タブを選択し、宛先ゾーンを Add [ 追加 ] します。 e. Application [ アプリケーション ] タブを選択し、Add [ 追加 ] をクリックし、 「amazon」と入力して、一覧か ら Amazon アプリケーションを選択します。 f. Action [ アクション ] タブを選択し、Action [ アクショ ン ] を Allow [ 許可 ] に設定します。 g. [OK] をクリックしてルールを保存します。 [Policies] タブを選択し、[ デバイスグループ ] ドロップダ ウンで [ 共有 ] を選択します。 Security > Pre-Rules [ セキュリティ > プレルール ] ルー ルベースの順に選択します。 Add [ 追加 ] をクリックし、 セキュリティルールの Name [ 名前 ] にポリシー名を入力します。 ルールの Source [ 送信元 ] タブと Destination [ 宛先 ] タ ブで、送信元ゾーンとして trust_zone を、宛先ゾーン として untrust_zone を Add [ 追加 ] します。 [ アクション ] タブで、[ アクション ] を [ 拒否 ] に設定し、 [ログ設定] を [セッション終了時にログ] に設定して、[OK] をクリックします。 Panorama 7.0 管理者ガイド • 119 ユースケース : Panorama を使用してファイアウォールを構成 ファイアウォールの管理 ルールのプレビューと変更のコミット タスク 4 ルールをプレビューし、Panorama、デバイスグループ、およびテンプレートに変更をコミットします。 ステップ 1 Policies [ ポリシー ] タブで Preview Rules [ ルールをプレビュー ] をクリックし、Rulebase [ ルール ベース ]、Device Group [ デバイスグループ ]、および Device [ デバイス ] を選択します。このプレ ビューでは、特定のルールベースについて、ルールがどのようにレイヤー化されているかを視覚 的に評価できます。完了したらプレビューダイアローグを閉じます。 ステップ 2 Commit [ コミット ] をクリックし、Commit Type [ コミットタイプ ] で Panorama を選択して、さ らに Commit [ コミット ] をクリックします。 ステップ 3 Commit [ コミット ] をクリックして、Commit Type [ コミットタイプ ] として Device Group [ デバイ スグループ ] を選択し、さらに追加したデバイスグループを選択し、Include Device and Network Templates [ デバイスおよびネットワークテンプレートを含める ] チェックボックスをオンにして 再び Commit [ コミット ] をクリックします。 ステップ 4 Context [ コンテキスト ] ドロップダウンリストで、Web インターフェイスにアクセスするファ イアウォールを選択し、Panorama でテンプレートとポリシーの設定が適用されたことを確認し ます。 120 • Panorama 7.0 管理者ガイド Palo Alto Networks ログ収集の管理 Palo Alto Networks のすべての次世代ファイアウォールでは、ファイアウォール アクティビティ の監査証跡となるログを生成できます。ログとレポートの中央管理については、ファイアウォー ルで生成されたログを Panorama に転送する必要があります。次に、ログを集約してリモートロ グの宛先に転送するように Panorama を設定できます。Panorama バーチャルアプライアンスにロ グを転送する場合、ロギングを有効にするために追加のタスクを実行する必要はありません。 Panorama モードあるいはログコレクタモードの M-Series アプライアンスにログを転送する場合、 ログコレクタを管理対象コレクタとして追加し、Panorama を使用してログコレクタにアクセス したり、管理・更新を行えるようログコレクタをコレクタグループに割り当てる必要がありま す。ニーズに最も適したデプロイ環境を判断する方法については、 「ログ収集デプロイ環境の計 画」を参照してください。 Panorama でローカルに生成されるシステムログおよび設定ログを管理する方法については、 「Panorama のモニタリング」を参照してください。 管理対象コレクタの設定 コレクタグループの管理 Panorama へのログ転送の設定 Panorama へのログ転送の確認 ログ転送とバッファのデフォルトの変更。 Panorama から外部の宛先へのログ転送を設定 ログ収集のデプロイメント Palo Alto Networks Panorama 7.0 管理者ガイド • 121 管理対象コレクタの設定 ログ収集の管理 管理対象コレクタの設定 Panorama 管理サーバー(Panorama バーチャルアプライアンスまたは Panorama モードの M-Series アプライアンス)を有効にしてログコレクタを管理するには、それを管理対象コレクタとして追 加する必要があります。Panorama モードの M-Series アプライアンスには、事前定義済みのログコ レクタがローカルにあります。しかし、Panorama モードからログコレクタモードへの切り替え を行うことによりローカルログコレクタが削除され、そのアプライアンスを専用ログコレクタと して再設定する必要が生じる場合があります(ログコレクタモードの M-Series アプライアンス) 。 Panorama 管理サーバーが高可用性(HA)構成を持つ場合、各 HA ピアでローカルログコレク タを設定することができます。専用ログコレクタは HA をサポートしていません。 Panorama と管理対象コレクタおよびファイアウォールに同じバージョンのアプリケーション および脅威アップデートをインストールすることをお勧めします。詳細は、Panorama、ログコ レクタ、およびファイアウォールのバージョン互換性を参照してください。 管理対象コレクタの設定 ステップ 1 1. まだ行っていない場合はログコレク タモードのM-Seriesアプライアンスの 初回のセットアップを実施します。 2. このステップが必要なのは専用ログ コレクタのみです。 3. 4. 5. 6. 122 • Panorama 7.0 管理者ガイド M-Series アプライアンスをラックマウントします。手順 は、M-100 あるいは M-500 ハードウェアリファレンス ガイドを参照してください。 M-Series アプライアンスの初期設定。 ログコレクタがログ収集およびコレクタグループ通信 で Eth1 および Eth2 インターフェイスを使用する場合、 初回の構成の際にこれらのインターフェイスを定義す る必要があります。ログコレクタはデフォルトで、それ らの機能に対して管理インターフェイスを使用します。 Panorama の登録とライセンスのインストール。 Panorama のコンテンツ更新とソフトウェア更新のイン ストール。 Panorama モードからログコレクタモードへの切り替え。 M-Series アプライアンスのモードを変更すると、 管理アクセス設定を除くすべての設定と既存の ログデータが削除されます。モードを切り替え ると、M-Series アプライアンスは CLI にはアクセ スできますが、Web インターフェイスにアクセ スできなくなります。 (任意)M-Series アプライアンスのストレージの拡張。 Palo Alto Networks ログ収集の管理 管理対象コレクタの設定 管理対象コレクタの設定(続) ステップ 2 これらのステップはログコレクタのタイプによって異なりま M-Series アプライアンス間の接続を す。 HAデプロイメントの場合、 <IPaddress1>および<IPaddress2> 有効にします。 はそれぞれプライマリおよびセカンダリ Panorama 管理サー バーの管理インターフェイス用です。HA デプロイメントで はない場合、<IPaddress1> のみを指定します。 • 専用ログコレクタ — 各ログコレクタの CLI で次のコマ ンドを実行します。 > Configure # set deviceconfig system panorama-server <IPaddress1> # set deviceconfig system panorama-server-2 <IPaddress2> # commit • ローカルログコレクタ — これらのステップは HA デプ ロイメントでのみ必要です。 a. プライマリ Panorama の CLI にログインし、次のよう に入力します。 > Configure # set deviceconfig system panorama-server <IPaddress2> # commit b. セカンダリ Panorama の CLI にログインし、次のよう に入力します。 > Configure # set deviceconfig system panorama-server <IPaddress1> # commit ステップ 3 シリアル番号を表示する手順は、ログコレクタタイプに ログコレクタのシリアル番号を記録 よって異なります。 します。 • ローカル — Panorama Web インターフェイスにアクセスし、 Dashboard [ ダッシュボード ] タブ、 General Information [ 一般 これは、ログコレクタを管理対象コ 情報 ] セクション、Serial # [ シリアル番号 ] 欄の値を記録 レクタとして追加するときに必要に なります。 します。HA デプロイメントで、ログコレクタを設定する 各 Panorama ピアの Serial # [ シリアル番号 ] を記録します。 • 専有 — ログコレクタの CLI にアクセスし、show system info コマンドを実行してシリアル番号を記録します。 ステップ 4 プライマリ Panorama 管理サーバーの Web インターフェイ ログコレクタの一般的な設定を行い スを使用して、以下の手順を実行します。 ます。 1. Panorama > Managed Collectors [Panorama > 管理対象コ レクタ ] を選択し、新しいログコレクタを Add [ 追加 ] するか、定義済みのローカルログコレクタ(名前は default)を編集します。 セカンダリ Panorama HA ピアには定義済みのローカル ログコレクタがありますが、これは手動でプライマリ Panorama に追加する必要があります。 2. Palo Alto Networks [ 全般 ] タブの [ コレクタ シリアル番号 ] フィールドに、 記録したログコレクタのシリアル番号を入力します。 Panorama 7.0 管理者ガイド • 123 管理対象コレクタの設定 ログ収集の管理 管理対象コレクタの設定(続) ステップ 5 1. ログコレクタのネットワークアクセ スを設定します。 Panorama Server IP [Panorama サーバー IP] フィールド に、単独(非 HA)あるいはプライマリ(HA)Panorama の IP アドレスまたは FQDN を入力します。HA デプロ イメントの場合、Panorama Server IP 2 [Panorama サー このステップは、セカンダリ Panorama バー IP 2] フィールドに、セカンダリ Panorama ピアの HA ピアのローカルログコレクタある IP アドレスあるいは FQDN を入力します。これらの項 いは専用ログコレクタでのみ実施し 目は必須です。 ます。 2. [ プライマリ DNS サーバー ] および [ セカンダリ DNS サー Panorama 管理サーバーの初回 バー ] の IP アドレスを設定します。 の構成の際に類似のパラメー ターを定義しましたが、 このパ 3. (任意)Panorama がログエントリの記録に使用する [ タ イム ゾーン ] を設定します。 ラメーターをログコレクタ用 に定義し直す必要があります。 ステップ 6 1. Authentication [ 認証 ] タブを選択し、 パスワードの Mode [ モード ] を選択し、Password [ パスワード ](デフォル ログコレクタ CLI への管理アクセス トは admin)を入力します。 を設定します。 このステップが必要なのは専用ログ 2. Panorama によってロックアウトされるまでに管理者が 実行できるログイン回数を Failed Attempts [ 許容ログイ コレクタのみです。デフォルトの ン回数 ] に入力し、Lockout Time [ ロックアウト時間 ] を CLI 管理者は admin です。このユー 分単位で入力します。 ザー名を変更したり、CLI 管理者を 追加したりすることはできません。 ステップ 7 1. ログコレクタが使用するインターフェイスに紐付けら れている各タブで次の項目の両方あるいはどちらかを ログコレクタインターフェイスを設 設定(ネットワークの IP プロトコルに応じて)します。 定します。 Management [管理]、Eth1、かつ/または Eth2。Management このステップは、セカンダリ Panorama [ 管理 ] インターフェイスは必須です。 HAピアのローカルログコレクタある • IPv4 — [IP アドレス ]、[ ネットマスク ]、および [ デフォ いは専用ログコレクタでのみ実施し ルト ゲートウェイ ] ます。 Eth1 あるいは Eth2 インターフェイス • IPv6 — [IPv6 アドレス / プレフィックス長 ] および [ デ フォルト IPv6 ゲートウェイ ] は、Panorama 管理サーバーの初回の 構成の際に定義している場合にのみ 2. (任意)ログコレクタの監視に SNMP を使用する場合は 利用できます。 Management [管理]タブで SNMP サービスを選択します。 SNMP を使用する場合、ログコレクタを設定する以外 に追加のステップが必要になってきます。詳細は、 SNMP を使用して Panorama およびログコレクタの統計 を監視を参照してください。 3. [ 全般 ] タブに戻り、ログコレクタが [ デバイスログ収集 ] および [コレクタグループ通信] に使用するインターフェ イスを選択します。デフォルトは管理(mgmt)イン ターフェイスです。 ステップ 8 追加したい各ディスクペアを Disks [ ディスク ] タブで Add (任意)ロギング用の追加の RAID [ 追加 ] します。追加のディスクペアを有効にするには、 M-Series アプライアンスのストレージの拡張 作業を実行し ディスクペアを有効にします。 ている必要があります。 124 • Panorama 7.0 管理者ガイド Palo Alto Networks ログ収集の管理 管理対象コレクタの設定 管理対象コレクタの設定(続) ステップ 9 変更をコミットし、確認します。 1. OK をクリックして Commit [ コミット ] をクリックし、 Commit Type [ コミットタイプ ] で Panorama を選択し て、さらに Commit [ コミット ] をクリックします。 2. Panorama > Managed Collectors [Panorama > 管理対象コ レクタ ] ページで、追加したログコレクタが表示され ていることを確認します。[ 接続済み ] 列には、ログコ レクタが Panorama に接続されていることを示すチェッ クマーク アイコンが表示されます。 追加のディスクペアを有効にした場合、最後の列の Statistics [ 統計 ] リンクをクリックしてステータスを確 認します。 3. ログコレクタがファイアウォールのログを受信できるよ うにするには、予め Panorama へのログ転送の設定およびコ レクタグループの設定を行っておく必要があります。定義 済みのローカルログコレクタは定義済みのコレクタグ ループに割り当てられます。 Palo Alto Networks Panorama 7.0 管理者ガイド • 125 コレクタグループの管理 ログ収集の管理 コレクタグループの管理 管理対象コレクタの設定を行った後、それをコレクタグループに割り当て、さらに管理対象のファ イアウォールを管理対象コレクタに割り当てる必要があります。これにより、Panorama は管理対象 コレクタにアクセスし、管理対象コレクタの管理および更新を行うことができるようになります。 Panorama モードの M-Series アプライアンスには、定義済みのローカル管理対象コレクタを含む定 義済み(デフォルト)のコレクタグループがあります。しかし、Panorama モードからログコレ クタモードへの切り替えを行うことによりローカル管理対象コレクタおよびコレクタグループ が削除される場合があります。そのアプライアンスを専用ログコレクタとして再設定(ログコレ クタモードの M-Series アプライアンス)し、手動で管理対象コレクタおよびコレクタグループを 追加する必要が生じる場合があります。 複数の管理対象コレクタを持つコレクタグループを定義し、ログの冗長性を確保する、あるいは 単一の管理対象コレクタのキャパシティを超えるロギング率を達成することができます (Panorama プラットフォームを参照)。リスクと推奨されるリスク軽減の詳細は、 「複数のログコ レクタを含むコレクタグループに関する注意事項」を参照してください。 コレクタグループを削除すると、ログが失われます。 コレクタグループの設定 ログコレクタを別のコレクタグループに移動 コレクタグループからのファイアウォールの削除 コレクタグループの設定 コレクタグループの設定 ステップ 1 この作業では、コレクタグループを変更する、あるいは変 コレクタグループを定義する前に次 更をコミットするステップはすべて飛ばしてください。こ の作業を行います。 れらのステップは作業の後半で行います。 1. コレクタグループに割り当てる各ファイアウォールに 対して管理対象デバイスとしてのファイアウォールの 追加を行います。 2. (任意)Panorama から外部の宛先へのログ転送を設定 3. コレクタグループに割り当てる各ログコレクタに対し て管理対象コレクタの設定を行います。 各専用ログコレクタ(ログコレクタモードの M-Series アプライアンス)は手動で追加する必要があります。 Panorama モードの M-Series アプライアンスには、自分 で追加する必要がない事前定義済みのログコレクタが ローカルにあります。 モニタリングに SNMP を使用する場合、ログコレ クタの Management [ 管理 ] インターフェイスを設 定するときに、SNMP サービスを選択します。 SNMP を使用する場合、コレクタグループを設定 する以外に追加のステップが必要になってきま す。詳細は、SNMP を使用して Panorama および ログコレクタの統計を監視を参照してください。 126 • Panorama 7.0 管理者ガイド Palo Alto Networks ログ収集の管理 コレクタグループの管理 コレクタグループの設定(続) ステップ 2 コレクタグループを追加します。 1. Panorama Web インターフェイスにアクセスし、Panorama > Collector Groups [Panorama > コレクタグループ ] を選択 してコレクタグループを Add [ 追加 ] するか、既存のも のを編集します。 Panorama モードの M-Series アプライアンスには、 事前設定された default という名前のコレクタグ ループがあります。 2. コレクタグループを追加する場合、General [ 全般 ] タ ブでその Name [ 名前 ] を入力します。既存のコレクタ グループの名前は変更できません。 3. コレクタグループがファイアウォールログを保持する Minimum Retention Period [ 最小保持期間 ] の日数(1 ~ 2,000)を入力します。 4. (任意)Enable log redundancy across collectors [ コレクタ 間のログ冗長性を有効化 ] するチェックボックスを選択 し、いずれかのログコレクタが利用不可になってもログ が失われないようにします。各ログのコピーが 2 つ作成 され、それぞれ異なるログコレクタに保存されます。 複数のログコレクタを一つのコレクタグループ に追加する場合、冗長性を有効にすることが推 奨されます。 冗長性を有効にすると作成されるログが多くな るため、この設定にはより大きなストレージ容 量が必要になります。コレクタグループの容量 が不足すると、古いログが削除されます。 冗長性を有効にすると、コレクタグループ内の ログ処理トラフィックが 2 倍になり、最大ロギ ング率が半分になります。各ログコレクタが、受 信する各ログのコピーを配信する必要があるた めです。 ステップ 3 1. (任意)SNMP モニタリングを設定し ます。 Monitoring [ 監視 ] タブで SNMP の Version [ バージョン ] を選択し、詳細情報を入力します。 • V2c— SNMP マネージャおよびモニター対象デバイ ス ( この場合はログコレクタ ) の SNMP コミュニティ を識別し、コミュニティメンバーを相互認証するた め の パ ス ワ ー ド と し て 機 能 す る SNMP Community String [SNMP コミュニティ名 ] を入力します。 デフォルトのコミュニティ名 public は、広く 公開されていて安全ではないので使用しない でください。 • V3 — 少なくとも 1 つの SNMP 表示グループと 1 つの ユーザーを作成します。ユーザーアカウントと表示 により、ログコレクタがトラップを転送するときや SNMP マネージャがログコレクタ統計を取得すると きに、認証、プライバシー、およびアクセス制御を 実現できます。 Palo Alto Networks Panorama 7.0 管理者ガイド • 127 コレクタグループの管理 ログ収集の管理 コレクタグループの設定(続) – 表示 — 各表示は、ペアになっている OID とビット 単位のマスクです。OID で MIB を指定し、マスク (16 進数形式)で、その MIB 内(一致部分を含む) または MIB 外(一致部分を含まない)でアクセスで きるオブジェクトを指定します。最初のリストで Add [ 追加 ] をクリックし、表示グループの Name [ 名 前 ] を入力します。グループの各表示について、Add [ 追加 ] をクリックし、表示の Name [ 名前 ]、OID、一 致の Option [オプション] (include [含む]または exclude [ 除外 ]) 、および Mask [ マスク ] を設定します。 – Users [ ユーザー ]— 2 つ目のリストで Add [ 追加 ] を クリックし、Users [ ユーザー ] 列にユーザー名を入 力し、ドロップダウンから View [ 表示 ] グループを 選択し、SNMP マネージャへの認証に使用する認証 パスワード (Auth Password [ 認証パスワード ]) 、 SNMP マネージャへの SNMP メッセージの暗号化に使用す る専用パスワード(Priv Password [ 専用パスワード ]) を入力します。 ステップ 4 1. コレクタグループにログコレクタ およびファイアウォールを割り当 2. てます。 3. 4. 5. 6. ステップ 5 1. 各ログタイプのストレージ容量(ロ グ割り当て)および有効期間を定義 します。 2. 3. 128 • Panorama 7.0 管理者ガイド Device Log Forwarding [ デバイスログ転送 ] タブを選択 します。 Collector Group Members [ コレクタグループメンバー ] セクションでログコレクタを Add [ 追加 ] します。 Log Forwarding Preferences [ ログ転送設定 ] セクションで Add [ 追加 ] をクリックします。 Devices [ デバイス ] セクションで Modify [ 変更 ] をクリック し、ファイアウォールを選択して OK をクリックします。 Collectors [ コレクタ ] セクションで、ファイアウォール がログを転送するログコレクタを Add [ 追加 ] します。 複数のログコレクタを割り当てる場合、最初のログコ レクタがプライマリになります。プライマリが使用で きなくなった場合にのみ、ファイアウォールはリスト 内の次のログコレクタにログを送信します。ログコレ クタの優先順位を変更するには、ログコレクタを選択 して、[ 上へ ](優先順位を上げる)または [ 下へ ](優 先順位を下げる)をクリックします。 [OK] をクリックします。 [ 全般 ] タブに戻り、[ ログ保存エリア ] の値をクリック します。 フィールドに「0MB」が表示される場合は、ロ ギング用のディスクペアを有効にし、変更をコ ミットしたことを確認します(管理対象コレク タの設定、Disks [ ディスク ] タブ参照)。 ログタイプごとにログストレージ Quota(%) [ 割り当て (%)] を入力します。 各ログタイプの Max Days [ 最大日数 ](有効期間)を入 力します(範囲は 1 ~ 2,000)。デフォルトでは、すべ てのログタイプについてこのフィールドは空白(ログ は無期限)になっています。 Palo Alto Networks ログ収集の管理 コレクタグループの管理 コレクタグループの設定(続) ステップ 6 1. (任意)コレクタグループから外部 2. サービスへのログ転送を設定します。 このステップを行うには、Panorama から外部の宛先へのログ転送を設定 の作業で外部サービス用のサーバー 3. プロファイルを追加している必要が あります。 高可用性(HA)デプロイメン トでは、別の外部サービスにロ 4. グを転送するように Panorama HA ピアを構成できます。詳細 は、デフォルトのログコレク 5. タを使用する Panorama のデ プロイを参照してください。 ステップ 7 1. 変更をコミットし、 コレクタグループ に割り当てたログコレクタが Panorama に接続されていて、Panorama 2. と同期していることを任意で確認し ます。 3. [ コレクタログ転送 ] タブを選択します。 System [ システム ]、Threat [ 脅威 ]、Correlation [ 相関 ] タブのログの各重大度について、SNMP トラップ、メー ルプロファイル、あるいは Syslog プロファイル列のセ ルをクリックし、サーバープロファイルを選択します。 Config [ 設定 ]、HIP Match [HIP マッチ ]、Traffic [ トラ フィック ] タブで SNMP Trap [SNMP トラップ ]、Email [ メール ]、あるいは Syslog サーバープロファイルを選 択します。 WildFire タブの各判定について、SNMP トラップ、メー ルプロファイル、あるいは Syslog プロファイル列のセ ルをクリックし、サーバープロファイルを選択します。 OK をクリックしてコレクタグループを保存します。 Commit [ コミット ] をクリックし、 Commit Type [ コミッ トタイプ ] で Panorama を選択して、さらに Commit [ コ ミット ] をクリックします。 Commit [ コミット ] をクリックし、 Commit Type [ コミッ トタイプ ] で Collector Group [ コレクタグループ ] を選 択し、さらに追加したコレクタグループを選択して OK をクリックします。 Panorama > Managed Collect [Panorama > 管理対象コレク タ ] の順に選択します。[ 接続済み ] 列には、ログコレ クタが Panorama に接続されていることを示すチェッ クマーク アイコンが表示されます。Configuration Status [ 設定状態 ] 列は、Panorama およびログコレクタにコ ミットした設定がお互いに同期している(緑のアイコ ン)か、同期していない(赤のアイコン)かを示します。 Panorama へのログ転送の設定を行うまでの間、コレクタグ ループはファイアウォールログを受信しません。 ログコレクタを別のコレクタグループに移動 ログ収集デプロイ環境の計画を行う際、コレクタグループのロギング率およびログ保持要件に基 づいてログコレクタをコレクタグループに割り当てます。コレクタグループでその率や必要なス トレージ容量が増加した場合、ログコレクタを追加して M-Series アプライアンスのストレージの 拡張あるいはコレクタグループの設定を行うことが推奨されます。しかし一部の導入環境では、 コレクタグループ間でログコレクタを移動させる方が合理的な場合があります。 ログコレクタのログデータをコレクタグループから削除すると、利用できなくなります。また、ロ グコレクタを別のコレクタグループに追加する前に、ログコレクタを工場出荷時の状態にリセット する必要があります。工場出荷時の状態にリセットするとすべての設定およびログが失われます。 ログコレクタが Panorama モードの M-Series アプライアンスのローカルにある場合、 M-Series ア プライアンスが高可用性(HA)構成のパッシブピアである場合のみ移動させます。HA 同期によ り、工場出荷時の状態にリセットしたことで削除された設定が復元されます。アクティブ HA ピ アの M-Series アプライアンスのローカルにあるログコレクタは決して移動させないでください。 Palo Alto Networks Panorama 7.0 管理者ガイド • 129 コレクタグループの管理 ログ収集の管理 ログコレクタを別のコレクタグループに移動 ステップ 1 1. Panorama 管理からログコレクタを削 除します。 2. 3. 4. 5. ステップ 2 1. ログコレクタを工場出荷時設定にリ 2. セットします。 工場出荷時の状態にリセット するプロセスや再起動プロセ スを中断しないようにしてく 3. ださい。中断した場合、M-Series アプライアンスを使用できな 4. くなるおそれがあります。 5. ステップ 3 ログコレクタを設定し直します。 1. 2. 3. 4. 5. 130 • Panorama 7.0 管理者ガイド Panorama > Collector Groups [Panorama > コレクタグルー プ ] を選択し、移動させるログコレクタを含むコレク タグループを選択します。 Device Log Forwarding [ デバイスログ転送 ] タブを選択 し、ログ転送設定リストにて、移動させるログコレク タに割り当てられている各ファイアウォールのセット に対して次の作業を行います。 a. ログコレクタに割り当てられているファイアウォー ルのリンクをDevices [デバイス]列でクリックします。 b. Collectors [ コレクタ ] 列でログコレクタを選択し、 Delete [ 削除 ] をクリックします。 ファイアウォールを割り当てるには、ログの 転送先となるログコレクタを新規に Add [ 追加 ] します。 c. OK を 2 回クリックして変更内容を保存します。 Panorama > Managed Collectors [Panorama > 管理対象コ レクタ ] を選択し、移動させるログコレクタを選択し て Delete [ 削除 ] をクリックします。 Commit [ コミット ] をクリックし、 Commit Type [ コミッ トタイプ ] で Panorama を選択して、さらに Commit [ コ ミット ] をクリックします。 Commit [ コミット ] をクリックし、 Commit Type [ コミッ トタイプ ] で Collector Group [ コレクタグループ ] を選 択し、ログコレクタを削除したコレクタグループを選 択して再び Commit [ コミット ] をクリックします。 ログコレクタの CLI にログインします。 以下の CLI 操作コマンドを入力します。 > debug system maintenance-mode 約 6 分でログコレクタがメンテナンス モードで再起動 します。 ログコレクタが再起動したら、Enter を押してメンテナ ンス モードのメニューにアクセスします。 Factory Reset [ 工場出荷時の設定にリセット ] を選択 し、Enter を押します。 Factory Reset [ 工場出荷時の設定にリセット ] を選択 し、Enter をもう一度押します。 工場出荷時の状態にリセットしてから再起動するのに 合計で約 8 分かかり、その後ログコレクタの設定やロ グデータはすべて失われます。ログコレクタにログイ ンするためのデフォルトのユーザー名/パスワードは、 admin/admin です。 M-Series アプライアンスの初期設定。 Panorama の登録とライセンスのインストール。 Panorama のコンテンツ更新とソフトウェア更新のイン ストール。 Panorama モードからログコレクタモードへの切り替え。 管理対象コレクタの設定。 Palo Alto Networks ログ収集の管理 コレクタグループの管理 ログコレクタを別のコレクタグループに移動(続) ステップ 4 コレクタグループの設定。 ログコレクタを新しいコレクタグループに追加し、ファイ アウォールをログコレクタに割り当てます。 コレクタグループの設定をコミットする際、Panorama がログコレクタ全体に再びログを配布し始めます。こ のプロセスは、1 テラバイトのログの場合は数時間か かることがあります。再配信プロセス中は、最大ロギ ング率が低くなります。[Panorama] > [ コレクタグルー プ ] ページの [ 再配信状態 ] 列はプロセスの状態を示 します。 コレクタグループからのファイアウォールの削除 専用のログコレクタがある分散ログ収集の導入では、デバイスからコレクタグループではなく Panorama にログを送信する必要がある場合、コレクタグループからそのデバイスを削除する必 要があります。 コレクタグループからデバイスを削除して変更をコミットすると、デバイスは、自動的にログコ レクタではなく Panorama にログを送信します。 デバイス上にある [ 転送の優先順位のログ ] リストを一時的に削除するには、デバイスで CLI を 使用して削除できます。ただし、Panorama のコレクタグループ設定内の割り当てられたファ イアウォールを削除する必要があります。削除しないと、次回コレクタグループに変更をコミッ トしたとき、デバイスは割り当てられたログコレクタにログを送信するように再設定されます。 コレクタグループからのファイアウォールの削除 ステップ 1 Panorama > Collector Groups [Panorama > コレクタグループ ] タブを選択します。 ステップ 2 目的のコレクタグループのリンクをクリックし、[ ログ転送 ] タブを選択します。 ステップ 3 [ 転送の優先順位のログ ] セクションで、リストから削除するデバイスを選択し、[ 削除 ] をクリッ クして [OK] をクリックします。 ステップ 4 Commit [ コミット ] をクリックし、Commit Type [ コミットタイプ ] で Panorama を選択して、さ らに Commit [ コミット ] をクリックします。 ステップ 5 Commit [ コミット ] をクリックし、Commit Type [ コミットタイプ ] で Collector Group [ コレクタグ ループ ] を選択し、ファイアウォールを削除したコレクタグループを選択して再び Commit [ コ ミット ] をクリックします。 Palo Alto Networks Panorama 7.0 管理者ガイド • 131 Panorama へのログ転送の設定 ログ収集の管理 Panorama へのログ転送の設定 デフォルト設定では、ファイアウォールはすべてのログファイルをローカルに保存します。ログ を Panorama に集約するには、ログを Panorama に転送するようにファイアウォールを設定する必 要があります。この作業を行う前に、ログを転送するファイアウォール用のデバイスグループの 追加およびテンプレートの追加を行っておく必要があります。 ファイアウォールログを外部サービス(例:Syslog サーバー)および Panorama に直接転送す る方法についてはログ転送の設定をご覧ください。 Panorama がサポートしているすべてのログ収集デプロイメントの詳細についてはログ転送オ プションをご覧ください。 PA-7000 シリーズ ファイアウォールは、ログを Panorama に転送できず、外部サービスにのみ 転送できます。ただし、PA-7000 シリーズ ファイアウォールを含むデバイスグループのログを モニターしたり、レポートを生成したりする場合、Panorama はリアルタイムにファイアウォー ルをクエリしてそのログデータを表示します。 Panorama が PAN-OS 7.0 以前のソフトウェアバージョンで動作するファイヤーウォールを管理す る場合、ファイアウォールが送信する WildFire サンプルに対する分析情報を Panorama が収集する のに使用する WildFire サーバーを指定します。Panorama はこの情報を利用し、PAN-OS 7.0 で導 入されたフィールドの値が欠けている WildFire 送信ログを完成させます。それより古いバージョン のファイアウォールはこのフィールドを自動で埋めることはありません。サーバーを指定するに は、 Panorama > Setup > WildFire [Panorama > セットアップ > WildFire] を選択し、General Settings [ 一般設定 ] を編集して WildFire Server [WildFire サーバー] の名前を入力します。デフォ ルトの値は、米国でホストされている WildFire クラウドである wildfire-public-cloud です。 Panorama へのログ転送の設定 ステップ 1 1. ログ転送プロファイルを作成します。 プロファイルでは、トラフィックロ グ、脅威ログ、および WildFire ログの 2. 転送先を定義します。 (脅威ログには、 URL フィルタリングログとデータ 3. フィルタリングログが含まれます) 。 Objects > Log Forwarding [ オブジェクト > ログ転送 ] を 選択し、ログを転送するファイアウォールの Device Group [ デバイスグループ ] を選択します。 Add [ 追加 ] をクリックして、プロファイルを識別する Name [ 名前 ] を入力します。 ログタイプ、重大度レベル、または WildFire 判定ごと に、Panorama のチェックボックスをオンにします。 [OK] をクリックしてプロファイルを保存します。 4. ステップ 2 ログ転送をトリガーするルールごとに、以下の手順を実行 ログ転送プロファイルをセキュリ します。 ティルールに割り当てます。 1. ログ転送を開始させるルールのルールベースを選択 (例:Policies > Security > Pre Rules [ ポリシー > セキュ ログの生成と転送をトリガーするに リティ > プレルール ])し、ログを転送するファイア は、ルールに、ログタイプに応じた ウォールの Device Group [ デバイスグループ ] を選択し、 特定のセキュリティ プロファイル さらにそのルールを選択します。 が必要になります。 • トラフィックログ— セキュリティ 2. Actions [ アクション ] タブを選択し、作成した Log Forwarding [ ログ転送 ] プロファイルを選択します。 プロファイルは不要です。トラ フィックに必要なのは、特定のセ 3. Profile Type [ プロファイルタイプ ] ドロップダウンで、 キュリティルールと一致すること Profiles [ プロファイル ] または Group [ グループ ] を選 だけです。 択してから、ログの生成と転送をトリガーするために 必要なセキュリティ プロファイルまたは Group Profile • 脅威ログ— トラフィックは、 セキュ [ グループプロファイル ] を選択します。 リティルールに割り当てられたい ずれかのセキュリティ プロファイ 4. トラフィックログの場合、 Log At Session Start [ セッショ ルと一致する必要があります。 ン開始時にログ ] および Log At Session End [ セッション 終了時にログ ] チェックボックスのいずれかまたは両 • WildFire ログ — トラフィックは、 方をオンにし、OK をクリックします。 セキュリティルールに割り当て られた WildFire 分析プロファイル と一致する必要があります。 132 • Panorama 7.0 管理者ガイド Palo Alto Networks ログ収集の管理 Panorama へのログ転送の設定 Panorama へのログ転送の設定(続) ステップ 3 1. システムログ、設定ログ、HIP マッ チログの転送先を設定します。 相関ログ(相関イベント)を 2. ファイアウォールからPanorama へ転送することはできません。 管理対象のファイアウォール 3. から転送されたログに対して、 Panoramaは相関オブジェクトで 指定された条件との照合を行 い、マッチした場合は相関イベ ントを自動的に生成します。必 要な場合はこの相関イベント (相関ログ)を Panorama から外 部の Syslog サーバーに転送する こともできます。 ステップ 4 1. (M-Seriesアプライアンスのみ) Panorama がログを受信するように設定します。 2. Device > Log Settings [ デバイス > ログ設定 ] を選択し、 ログを転送するファイアウォールの Template [ テンプ レート ] を選択します。 システムログの場合、各重大度レベルをクリックし、 Panorama のチェックボックスを選択し、OK をクリッ クします。 設定ログと HIP マッチログの場合は、編集アイコンを クリックし、Panorama のチェックボックスを選択し、 OK をクリックします。 ステップ 5 設定の変更をコミットします。 Commit [ コミット ] をクリックし、 Commit Type [ コミッ トタイプ ] で Panorama を選択して、さらに Commit [ コ 1. 2. 3. 4. ログを受信する各ログコレクタに対して管理対象コレ クタの設定を行います。 ログ転送のためにファイアウォールを特定のログコ レクタに割り当てたコレクタグループの設定を行い ます。 ミット ] をクリックします。 Commit [ コミット ] をクリックして、Commit Type [ コ ミットタイプ ] として Device Group [ デバイスグループ ] を選択し、さらにログを転送するファイアウォールの デバイスグループを選択し、Include Device and Network Templates [ デバイスおよびネットワークテンプレート を含める ] チェックボックスをオンにして再び Commit [ コミット ] をクリックします。 Commit [ コミット ] をクリックし、 Commit Type [ コミッ トタイプ ] で Collector Group [ コレクタグループ ] を選 択し、先ほどログを受信するように設定したコレクタ グループを選択して再び Commit [ コミット ] をクリッ クします。 Panorama へのログ転送の確認を行い、設定が正しく完 了したことを確認します。 Panorama にログを送信する際にファイアウォールが 使用するログ転送モードを変更する、あるいはログ を受信できる Panorama HA ピアを指定するために、 ログ転送とバッファのデフォルトの変更を行うこと ができます。また、ログおよびレポートのストレー ジ割り当ておよび有効期間を管理を行うこともでき ます。 Palo Alto Networks Panorama 7.0 管理者ガイド • 133 Panorama へのログ転送の確認 ログ収集の管理 Panorama へのログ転送の確認 Panorama へのログ転送の設定を行った後、テストによって設定が正しいことを確認します。 Panorama へのログ転送の確認 ステップ 1 ファイアウォール CLI にアクセスします。 ステップ 2 ログコレクタを設定したら、各ファイアウォールにログ転送設定リストがあることを検証しま す。 > show log-collector preference-list コレクタグループにログコレクタが一つだけある場合、出力は次のようになります。 Log collector Preference List Serial Number:003001000024 IP Address:10.2.133.48 ステップ 3 各ファイアウォールがログを転送していることを確認します。 > show logging status 転送が正常な場合、ログ転送エージェントがアクティブであるという内容が出力されます。 Panorama バーチャルアプライアンスの場合、エージェントは Panorama です。M-Series アプライ アンスの場合、エージェントはログコレクタです。 ステップ 4 平均ロギング率を表示します。直近 5 分間の平均ログ数 / 秒という形式で率が表示されます。 • ログコレクタがログを受信する場合、Panorama Web インターフェイスにアクセスし、Panorama > Managed Collectors [Panorama > 管理対象コレクタ ] を選択し、かなり右の方にある列の Statistics [ 統計情報 ] リンクをクリックします。 • Panorama バーチャルアプライアンスがログを受信する場合、Panorama CLI にアクセスして次 のコマンドを実行します。 debug log-collector log-collection-stats show incoming-logs このコマンドは M-Series アプライアンスでも有効です。 134 • Panorama 7.0 管理者ガイド Palo Alto Networks ログ収集の管理 ログ転送とバッファのデフォルトの変更 ログ転送とバッファのデフォルトの変更 ファイアウォールが Panorama へのログ送信に使用するログ転送モードを定義できます。高可用 性(HA)設定に設定する場合は、どの Panorama ピアがログを受信するかを指定します。これら のオプションにアクセスするには、[Panorama] > [ セットアップ ] > [ 管理 ] の順に選択し、[ ロギング およびレポート設定 ] を編集して、[ ログのエクスポートとレポート ] タブを選択します。 ファイアウォールのログ転送モードを定義します。ファイアウォールは、バッファ済みログ 転送モードか、ライブ モードログ転送モードのどちらかで、Panorama(M-Series アプライア ンスと Panorama バーチャルアプライアンスの両方に関連)にログを転送できます。 ログオプション 内容 デバイスから転送するバッファ済み 各管理対象ファイアウォールにログのバッファリングを許可し、30 秒 ログ 間隔でログを Panorama に送信します(ユーザー設定不可)。 デフォルト:有効 バッファ済みログ転送は、ファイアウォールから Panorama への接続 が失われたときに、非常に役に立ちます。ファイアウォールは、ログ [ デバイスから転送するバッ ファ済みログ ] オプション エントリをローカルハード ディスクにバッファして、Panorama に最 を選択することをお勧め 後に送信されたログエントリを記録するためのポインタを保持しま す。接続が復元されると、ファイアウォールは、残りの先頭からログ します。 の転送を再開します。 バッファに使用できるディスク領域は、プラットフォームへのログスト レージの割り当てと、まだ循環利用されていないログの量によって異な ります。ファイアウォールが長時間切断され、最後に転送されたログが 循環利用のために削除された場合は、再接続時にローカルハード ディス クからすべてのログが Panorama に転送されます。ファイアウォールの ローカルハード ディスク上に使用可能な領域がなくなると、新しいイベ ントをロギングできるように最も古いエントリが削除されます。 デバイスからのライブ モードログ転 ライブ モードでは、管理対象ファイアウォールがすべてのログトラン 送 ザクションをファイアウォール上に記録するのと同時に Panorama に このオプションは、[ デバイスから 送信します。 転送するバッファ済みログ ] チェッ クボックスがオフの場合に有効 になります。 高可用性(HA)設定の Panorama バーチャルアプライアンス上にログ転送設定を定義します。 – 仮想ディスクにロギングする場合、アクティブ - プライマリ Panorama ピアのローカルディ スクへのロギングのみを有効にします。デフォルトでは、HA 設定の Panorama ピアは両 方ともログを受信します。 – NFS にロギングする場合、ファイアウォールが、フェイルオーバー後にプライマリに昇格 したセカンダリ Panorama ピアに、新しく生成されたログのみを送信できるようにします。 ログオプション 関連 内容 ローカルディスクへのアクティブ 仮想ディスクにロギングしてい アクティブ - プライマリ Panorama ピア プライマリログのみ て、高可用性(HA)設定にセッ のみがローカルディスクにログを保 デフォルト:無効 Palo Alto Networks ト ア ッ プ さ れ て い る Panorama 存するように設定できます。 バーチャルアプライアンス。 Panorama 7.0 管理者ガイド • 135 ログ転送とバッファのデフォルトの変更 ログオプション 関連 ログ収集の管理 内容 プライマリへの変換時に新規ログ ネットワークファイルシステム NFS ロギングを使用すると、Panorama のみを取得 (NFS)データストアにマウント サーバーのペアを高可用性設定にし デフォルト:無効 されていて、高可用性(HA)設 定に セット アップ され ている Panorama バーチャルアプライア ンス。 ている場合、プライマリ Panorama ピア のみが NFS データストアをマウント します。そのため、NFS データストア に書き込めるプライマリPanoramaピア にのみ、ファイアウォールからログを 送信できます。 [ プライマリへの変換時に新規ログのみを 取得 ] オプションをオンにすると、管 理者は、HA フェイルオーバーが発生 したときに、管理対象ファイアウォー ルが新しく生成されたログのみを Panorama に送信するように設定でき ます。このイベントは、アクティブ セカンダリ Panorama がプライマリに 昇格して、NFS へのロギングを開始で きるようになると、トリガーされま す。この動作を有効にするのは、通常、 Panorama への接続が復元されるまで 長 時 間 か か っ た と き に、フ ァ イ ア ウォールが大量のバッファ済みログ を送信しないようにするためです。 136 • Panorama 7.0 管理者ガイド Palo Alto Networks ログ収集の管理 Panorama から外部の宛先へのログ転送を設定 Panorama から外部の宛先へのログ転送を設定 Panorama は Syslog、メール、および SNMP トラップサーバーなどの外部サーバーにログを転送す ることができます。Panorama からファイアウォールログを転送すると、ファイアウォールの負 荷が軽減され、信頼性の高い合理化されたアプローチでログをリモートの宛先に転送できます。 また、Panorama およびその管理対象コレクタが生成したログを転送することもできます。 ファイアウォールログを外部サービスおよび Panorama に直接転送する方法についてはログ転 送の設定をご覧ください。 Panorama がサポートしているすべてのログ収集デプロイメントの詳細についてはログ転送オ プションをご覧ください。 Panorama 5.1以前のバージョンを実行しているPanorama バーチャルアプライアンス上で、 CLI から Secure Copy (SCP)コマンドを使用して、ログデータベース全体を SCP サーバーにエ クスポートし、さらに別のファイアウォールにインポートできます。ログデータベースのサイ ズが実際にエクスポートまたはインポートするには大きすぎるため、Panorama 6.0 以降のバー ジョンを実行している Panorama バーチャルアプライアンス、およびあらゆるバージョンの M-Series アプライアンスはこれらのオプションをサポートしていません。 Panorama から外部の宛先へのログ転送を設定 ステップ 1 Panorama へのログ転送の設定。 ファイアウォールがPanoramaにログ を転送するよう設定します。 ステップ 2 1. Panorama > Server Profiles [Panorama > サーバープロ ファイル ] を選択し、ログデータを受信するサーバー ログデータを受信する外部サービス のタイプを選択します。SNMP Trap [SNMP トラップ ]、 ごとにサーバープロファイルを設定 Syslog、あるいは Email です。 します。 2. サーバープロファイルを設定します。必要に応じて、 ログタイプ、重大度レベル、あるいは WildFire 判定ご とに別のプロファイルを設定できます。 • SNMP トラップサーバープロファイルを設定します。 SNMP(Simple Network Management Protocol)がどの ように Panorama およびログコレクタと連携するの か、詳細については Palo Alto Networks のデバイスに おける SNMP をご覧ください。 • Syslog サーバープロファイルを設定します。Syslog サー バーでクライアント認証が必要な場合、Panorama > Certificate Management > Certificates [Panorama > 証明書 管理 > 証明書 ] ページを使用し、SSL を介してセキュ アな syslog 通信を行うための証明書を作成します。 • 電子メールサーバーのプロファイルを設定します。 Palo Alto Networks Panorama 7.0 管理者ガイド • 137 Panorama から外部の宛先へのログ転送を設定 ログ収集の管理 Panorama から外部の宛先へのログ転送を設定(続) ステップ 3 1. 次の項目の宛先を設定します。 • Panorama バーチャルアプライア 2. ンスが収集するファイアウォー ルログ。 • Panorama(バーチャルアプライア ンスあるいは M-Series アプライア 3. ンス)および管理対象コレクタが 生成するログ。 4. ステップ 4 1. (M-Series ア プ ラ イ ア ン ス の み) Panorama あるいはログコレクタモー ドの M-Series アプライアンスが収集 2. するファイアウォールログの宛先を 設定します。 3. 各コレクタグループはログを 異なる宛先に転送することが で き ま す。ロ グ コ レ ク タ が Panorama モードの M-Series ア プライアンスの高可用性 4. (HA)ペアのローカルにある 場合、各 HA ピアにログイン し、そのコレクタグループの ログ転送を設定する必要があ 5. ります。 6. Panorama > Log Settings [Panorama > ログ設定 ] の順に選 択します。 システムログ、相関ログ、脅威ログの場合、各重大度を クリックし、SNMP Trap [SNMP トラップ ]、Email [ メー ル ]、あるいは先ほど作成した Syslog サーバープロファ イルを選択して OK をクリックします。 WildFire ログの場合、各判定をクリックし、SNMP Trap [SNMP トラップ ]、Email [ メール ]、あるいは先ほど作 成した Syslog サーバープロファイルを選択して OK を クリックします。 設定ログ、HIP マッチログ、トラフィックログの場合、編 集アイコンをクリックし、SNMP Trap [SNMP トラップ ]、 Email [ メール ]、 あるいは先ほど作成した Syslog サーバー プロファイルを選択して OK をクリックします。 Panorama > Collector Groups [Panorama > コレクタグルー プ ] を選択し、ファイアウォールログを受信するコレ クタグループを選択します。 Collector Log Forwarding [ コレクタログ転送 ] タブを選 択します。 System [ システム ]、Threat [ 脅威 ]、Correlation [ 相関 ] タブのログの各重大度について、SNMP トラップ、メー ルプロファイル、あるいは Syslog プロファイル列のセ ルをクリックし、先ほど作成したサーバープロファイ ルを選択します。 Config [ 設定 ]、HIP Match [HIP マッチ ]、Traffic [ トラ フィック ] タブで SNMP Trap [SNMP トラップ ]、Email [ メール ]、あるいは先ほど作成した Syslog サーバープ ロファイルを選択します。 WildFire タブの各判定について、SNMP トラップ、メー ルプロファイル、あるいは Syslog プロファイル列のセ ルをクリックし、先ほど作成したサーバープロファイ ルを選択します。 OK をクリックして、コレクタグループに対する変更を 保存します。 ステップ 5 Palo Alto Networks デバイスのサポートされている MIB を (SNMP トラップ転送のみ)SNMP マ ロードし、必要に応じてコンパイルします。具体的な手順 ネージャを有効化して Traps を解釈 は、SNMP マネージャのドキュメントを参照してください。 します。 ステップ 6 ログコレクタモードの各 M-Series アプライアンスに対して (Syslog 転送のみ)Syslog サーバーで 次の作業を実行します。 ク ラ イ ア ン ト 認 証 が 必 要 で あ り、 1. Panorama > Managed Collectors [Panorama > 管理対象コ ファイアウォールがログコレクタ レクタ ] の順に選択し、ログコレクタを選択します。 モードの M-Series アプライアンスに 2. General [ 全般 ] タブで Certificate for Secure Syslog [Syslog ログを転送する場合、SSL を介して を保護する証明書 ] を選択し、OK をクリックします。 セキュアな syslog 通信を行うために 使用する証明書を割り当てます。 138 • Panorama 7.0 管理者ガイド Palo Alto Networks ログ収集の管理 Panorama から外部の宛先へのログ転送を設定 Panorama から外部の宛先へのログ転送を設定(続) ステップ 7 設定の変更をコミットします。 1. Commit [ コミット ] をクリックし、 Commit Type [ コミッ トタイプ ] で Panorama を選択して、さらに Commit [ コ ミット ] をクリックします。 2. Commit [ コミット ] をクリックして、Commit Type [ コ ミットタイプ ] として Device Group [ デバイスグループ ] を選択し、さらに Panorama がログを収集するファイア ウォールのデバイスグループをすべて選択し、Include Device and Network Templates [ デバイスおよびネット ワークテンプレートを含める ] チェックボックスをオ ンにして再び Commit [ コミット ] をクリックします。 3. (M-Series アプライアンスのみ)Commit [ コミット ] を クリックし、 Commit Type [ コミットタイプ ] で Collector Group [ コレクタグループ ] を選択し、先ほどログを転 送するように設定したコレクタグループを選択して再 び Commit [ コミット ] をクリックします。 ステップ 8 • 電子メールサーバー — 指定した受信者がログを電子メー (任意)外部サービスが Panorama か ル通知として受信していることを確認します。 らログを受信していることを確認し • Syslog サーバー — Syslog サーバーが Syslog メッセージと ます。 してログを受信していることを確認するには、Syslog サー バーのドキュメントを参照してください。 • SNMP マネージャ — SNMP マネージャを使用して MIB お よびオブジェクトを探索し、SNMP トラップとしてログを 受信していることを確認します。 Palo Alto Networks Panorama 7.0 管理者ガイド • 139 ログ収集のデプロイメント ログ収集の管理 ログ収集のデプロイメント 以下のトピックでは、最も一般的なデプロイ環境でログ収集を設定する方法について説明しま す。 以下のトピックのデプロイ環境は、すべて高可用性(HA)設定の Panorama を表しています。 HA では設定バックアップの一部として保存されていないコンポーネントを自動で復元できる (サーバーの障害時など)ため、Palo Alto Networks は HA を推奨しています。HA デプロイ環境 の場合、Panorama 管理サーバーでは、アクティブ / パッシブ設定のみがサポートされます。 ログ収集デプロイ環境の計画 専用のログコレクタを使用する Panorama のデプロイ デフォルトのログコレクタを使用する Panorama のデプロイ ローカルログ収集を使用する Panorama バーチャルアプライアンスのデプロイ ログ収集デプロイ環境の計画 Panorama とログコレクタのプラットフォーム 1 つまたは複数のログコレクタが含まれるコレクタグループ ログ転送オプション Panorama とログコレクタのプラットフォーム 管理対象のファイアウォールの地理的な分布状況およびロギング率に基づき、Panorama 管理サー バーおよびログコレクタでどの Panorama プラットフォームを使用するのか決定します。 最初にデフォルトのログコレクタを使用してログ収集を実装したが、後でこれらでサポートさ れているよりも多くのストレージまたは高いロギング率が必要になった場合、専用のログコレ クタ(ログコレクタモードの M-Series アプライアンス)を備えたデプロイ環境に切り替えるこ とができます。また、デフォルトのログコレクタと専用のログコレクタの両方が含まれるハイ ブリッド デプロイ環境を実装することもできます。ただし、最初に専用のログコレクタを使用 してログ収集を実装した場合、後でデフォルトのログコレクタのみが含まれるデプロイ環境に 切り替えると、ストレージ容量が減少するため、ログが失われます。 ファイアウォールをリモートにデプロイする場合、必要なロギング率を Panorama にサポートさ せるかどうかという点に加え、ファイアウォールおよび Panorama 間の接続に求められる帯域幅 を考慮してください。専用ログコレクタをファイアウォールのそばにデプロイすると、ログ転送 に使用する帯域幅が増加する可能性があります。 以下の表は、ファイアウォールログを受信する率に基づいてログコレクタを選択する方法の概要 を示しています。 ロギング率 ログコレクタ 最大 10,000 ログ / 秒 Panorama 管理サーバーによって異なります。 • バーチャルアプライアンス — Panorama は、ログコレクタを使用せずにログを収 集します。 • M-Series アプライアンス — デフォルトのローカルログコレクタ。 140 • Panorama 7.0 管理者ガイド Palo Alto Networks ログ収集の管理 ログ収集のデプロイメント ロギング率 ログコレクタ 最大 30,000 ログ / 秒 ログコレクタモードの M-100 アプライアンス。各 M-100 アプライアンスは、最大 30,000 ログ / 秒を処理し、最大 4TB のログデータを保存できます。 最大 60,000 ログ / 秒 ログコレクタモードの M-500 アプライアンス。M-500 アプライアンスは、最大 60,000 ログ / 秒を処理し、最大 8TB のログデータを保存できます。 1 つまたは複数のログコレクタが含まれるコレクタグループ 複数のログコレクタを持つコレクタグループを定義し、ログの冗長性を確保する、あるいは単一 のログコレクタのキャパシティを超えるロギング率を達成することができます(Panorama プ ラットフォームを参照)。リスクと推奨されるリスク軽減の詳細は、 「複数のログコレクタを含む コレクタグループに関する注意事項」を参照してください。 ログ転送オプション デフォルト設定では、各ファイアウォールはすべてのログファイルをローカルに保存します。 Panorama を使用してログのモニタリングおよびレポートの生成を一元的に行うには、Panorama へのログ転送の設定を行う必要があります。アーカイブ、通知、分析のために Panorama から外 部の宛先へのログ転送を設定を行うこともできます。Panorama から転送を行う際、Panorama お よびそのログコレクタが生成したシステムおよび設定ログを含めることができます。外部サービ スには、Syslog サーバー、電子メールサーバー、または SNMP トラップサーバーが含まれます。 ログを外部サービスに転送するファイアウォール、Panorama バーチャルアプライアンス、M-Series アプライアンスは、ログを適切なフォーマット(Syslog メッセージ、電子メール通知、SNMP ト ラップ)に変換します。 Palo Alto Networks のデバイスは次のログ転送のオプションをサポートしています。 ファイアウォールから Panorama、Panorama から外部サービスにログを転送する — この設定 は、特にリモートと接続する場合など、ファイアウォールと外部サービス間の接続にロギン グ率を維持できる十分な帯域幅がないデプロイ環境に最適です。この設定では、一部の処理 が Panorama にオフロードされるため、ファイアウォールのパフォーマンスが向上します。 各コレクタグループはログを異なる宛先に転送するように設定することができます。 図 : Panorama、外部サービスの順にログを転送 Palo Alto Networks Panorama 7.0 管理者ガイド • 141 ログ収集のデプロイメント ログ収集の管理 ファイアウォールから Panorama と外部サービスに同時にログを転送する — この設定では、 Panorama と外部サービスの両方が個別のログ転送フローのエンドポイントになります。ファ イアウォールは、Panorama を使用せずにログを外部サービスに転送します。この設定は、特 にローカルと接続する場合など、ファイアウォールと外部サービス間の接続にロギング率を 維持できる十分な帯域幅があるデプロイ環境に最適です。 図 : 外部サービスと Panorama に同時にログを転送 ログをファイアウォールから直接外部サービスに、また Panorama から外部サービスに転送 — 前述の 2 つを組み合わせたこの設定は、syslog メッセージをそれぞれ独自のメッセージフォー マット(例:Splunk および ArcSight)で複数のセキュリティ情報およびイベント管理(SIEM: Security Information and Event Management)ソリューションに送信することが求められるデプロ イ環境に最適です。この重複した転送は、SNMP トラップまたは電子メール通知には適用さ れません。 専用のログコレクタを使用する Panorama のデプロイ 以下の図は、分散ログ収集デプロイ環境における Panorama を示しています。これらの例では、 Panorama 管理サーバーは、アクティブ / パッシブ高可用性(HA)構成でデプロイされた 2 つの Panorama モードの M-Series アプライアンスで構成されています。あるいは、Panorama バーチャ ルアプライアンスの HA ペアを使用することもできます。ファイアウォールは専用のログコレク タ(ログコレクタモードの M-Series アプライアンス)にログを送信します。これは、ファイア ウォールが 10,000 ログ / 秒を超えるログを生成する場合に推奨される設定です(デプロイ環境 のオプションの詳細は、 「ログ収集デプロイ環境の計画」を参照してください)。コレクタグルー プに複数のログコレクタを割り当てる場合は、複数のログコレクタを含むコレクタグループに関 する注意事項を参考にしてリスクや推奨される移行方法を理解してください。 142 • Panorama 7.0 管理者ガイド Palo Alto Networks ログ収集の管理 ログ収集のデプロイメント 図 : コレクタグループごとに 1 つの専用のログコレクタ 図 : コレクタグループごとに複数の専用のログコレクタ 専用のログコレクタを使用する Panorama をデプロイするには、以下の手順を実行します。すで に実行した手順(初期セットアップなど)は省略します。 Palo Alto Networks Panorama 7.0 管理者ガイド • 143 ログ収集のデプロイメント ログ収集の管理 専用のログコレクタを使用する Panorama のデプロイ ステップ 1 各 M-Series アプライアンスについて: Panorama 管理サーバー(バーチャル 1. M-Series アプライアンスをラックマウントします。手順 アプライアンスあるいは M-Series ア は、M-100 あるいは M-500 ハードウェアリファレンス プライアンス)および専用のログコ ガイドを参照してください。 レクタの初期セットアップを実行し 2. M-Series アプライアンスの初期設定。ログコレクタがロ ます。 グ収集およびコレクタグループ通信で Eth1 および Eth2 インターフェイスを使用する場合、初回の構成の際にこ れらのインターフェイスを定義する必要があります。 3. Panorama の登録とライセンスのインストール。 4. Panorama のコンテンツ更新とソフトウェア更新のイン ストール。 5. 専用のログコレクタとして機能する各 M-Series アプラ イアンスで、Panorama モードからログコレクタモード への切り替えを行います。 M-Series アプライアンスのモードを変更すると、 管理アクセス設定を除くすべての設定と既存の ログデータが削除されます。モードを切り替え ると、M-Series アプライアンスは CLI にはアクセ スできますが、Web インターフェイスにアクセ スできなくなります。 各バーチャルアプライアンス(存在する場合): 1. Panorama バーチャルアプライアンスのインストール。 2. Panorama バーチャルアプライアンスの初期設定の実行。 3. Panorama の登録とライセンスのインストール。 4. Panorama のコンテンツ更新とソフトウェア更新のイン ストール。 Panorama 管理サーバー(バーチャルアプライアンスあるい は M-Series アプライアンス)の場合、Panorama での HA の セットアップも行う必要があります。 144 • Panorama 7.0 管理者ガイド Palo Alto Networks ログ収集の管理 ログ収集のデプロイメント 専用のログコレクタを使用する Panorama のデプロイ(続) ステップ 2 1. 次の作業を行ってPanoramaのログ収 集を準備します。 各ログコレクタの CLI にアクセスして次のコマンドを 入力し、分散ログ収集のための接続を有効にします。 <IP address1> および <IP address2> は、それぞれプライ マリおよびセカンダリ Panorama HA ピアの管理イン ターフェイスです。 > configure # set deviceconfig system panorama-server <IPaddress1> # set deviceconfig system panorama-server-2 <IPaddress2> 2. 3. 4. Palo Alto Networks # commit 次の CLI コマンドを使用して各ログコレクタのシリア ル番号を表示し、それを記録します。このシリアル番 号は、ログコレクタを管理対象コレクタとして追加す るときに必要になります。 > show system info ログを Panorama に転送するものそれぞれに対して管理 対象デバイスとしてのファイアウォールの追加を行い ます。 ログ転送を設定します。ログコレクタあるいはコレク タグループを変更する、または変更をコミットするス テップはすべて飛ばしてください。これらのステップ は作業の後半で行います。 a. Panorama へのログ転送の設定。 b.(任意)Panorama から外部の宛先へのログ転送を設定。 Panorama 7.0 管理者ガイド • 145 ログ収集のデプロイメント ログ収集の管理 専用のログコレクタを使用する Panorama のデプロイ(続) ステップ 3 プライマリPanorama 管理サーバーピアの Webインターフェ 各ログコレクタを管理対象コレクタ イスを使用して、管理対象コレクタの設定を行います。 として追加します。 1. Panorama > Managed Collectors [Panorama > 管理対象コ レクタ ] を選択し、Add [ 追加 ] をクリックし、そのロ グコレクタ用に記録したシリアル番号を General [ 全般 ] タブの Collector S/N [ コレクタ S/N] 欄に入力します。 2. プライマリおよびセカンダリ Panorama HA ピアの IP ア ドレスおよび FQDN を Panorama Server IP [Panorama サーバー IP] 欄および Panorama Server IP 2 [Panorama Server IP 2] 欄にそれぞれ入力します。これらの項目は 必須です。 3. Management [ 管理 ] タブを選択し、ネットワークの IP プロトコルに応じて管理インターフェイス用に次の フィールドのセットのうちいずれかあるいは両方を完 成させます。 • IPv4 — [IP アドレス ]、[ ネットマスク ]、および [ デフォ ルト ゲートウェイ ] • IPv6 — [IPv6 アドレス / プレフィックス長 ] および [ デ フォルト IPv6 ゲートウェイ ] 4. (任意)ログコレクタの監視に SNMP を使用する場合は SNMP チェックボックスをオンにします。 SNMP を使用する場合、ログコレクタを設定する以外 に追加のステップが必要になってきます。詳細は、 SNMP を使用して Panorama およびログコレクタの統計 を監視を参照してください。 5. ログコレクタがログ収集およびコレクタグループ通信 で Eth1 や Eth2 を使用する場合は Eth1 かつ / または Eth2 インターフェイスを設定します。ログコレクタは デフォルトで、それらの機能に対して管理(mgmt)イ ンターフェイスを使用します。 a. Eth1 かつ / または Eth2 タブで設定を行います。 b. General [ 全般 ] タブを選択し、Device Log Collection [ デ バイスログ収集 ] および Collector Group Communication [ コレクタグループ通信 ] に使用するインターフェイ スを選択します。 6. OK をクリックして Commit [ コミット ] をクリックし、 Commit Type [ コミットタイプ ] で Panorama を選択し て、さらに Commit [ コミット ] をクリックします。 146 • Panorama 7.0 管理者ガイド Palo Alto Networks ログ収集の管理 ログ収集のデプロイメント 専用のログコレクタを使用する Panorama のデプロイ(続) ステップ 4 コレクタグループを設定します。 各コレクタグループに 1 つのログコ レクタを持たせる場合、コレクタグ ループごとにこのステップを繰り返 してから次に進みます。 すべてのログコレクタを一つのコレ クタグループに割り当てる場合は、 こ のステップを一度だけ実施します。 プライマリ Panorama 管理サーバーの Web インターフェイ スを使用して、コレクタグループの設定を行います。 1. [Panorama] > [ コレクタグループ ] の順に選択し、[ 追加 ] をクリックして、コレクタグループの [ 名前 ] を入力し ます。 複数のログコレクタを一つのコレクタグループに 追加する場合、Enable log redundancy across collectors [ コレクタ間のログ冗長性を有効化 ] チェックボッ クスをオンにすることが推奨されます。 2. (任意)ログコレクタの監視に SNMP を使用する場合は Monitoring [ 監視 ] タブを選択して設定を行います。 3. Device Log Forwarding [ デバイスログ転送 ] タブを選択し、 Collector Group Members [ コレクタグループメンバー ] セ クションで、1 つ以上のログコレクタを割り当てます。 4. Log Forwarding Preferences [ ログ転送設定 ] セクション で、このコレクタグループのログコレクタ数に基づい てファイアウォールを割り当てます。 • 単一 — 図 : コレクタグループごとに 1 つの専用のロ グコレクタのように、そのログコレクタにログを転 送するファイアウォールを割り当てます。 • 複数 — 各ファイアウォールを両方のログコレクタ に割り当てて冗長性を確保します。この設定を行う 場合、 「図 : コレクタグループごとに複数の専用のロ グコレクタ」のように、半分のファイアウォールで ログコレクタ 1 を最優先にし、その他の半分のファ イアウォールでログコレクタ 2 を最優先にします。 5. (任意)Collector Log Forwarding [ コレクタログ転送 ] タブ を選択し、各ログタイプについてサーバープロファイル を割り当て、Panorama から外部の宛先にファイアウォー ルログを転送します。ログを転送するには、Panorama か ら外部の宛先へのログ転送を設定の作業でサーバープ ロファイルを設定している必要があります。 6. [OK] をクリックして、変更内容を保存します。 ステップ 5 変更をコミットします。 1. 2. Commit [ コミット ] をクリックし、 Commit Type [ コミッ トタイプ ] で Panorama を選択して、さらに Commit [ コ ミット ] をクリックします。 Commit [ コミット ] をクリックし、 Commit Type [ コミッ トタイプ ] で Collector Group [ コレクタグループ ] を選 択し、さらに追加したコレクタグループを選択して Commit [ コミット ] をクリックします。 デフォルトのログコレクタを使用する Panorama のデプロイ 以下の図は、一元的なログ収集デプロイ環境の Panorama を示しています。これらの例では、 Panorama 管理サーバーは、アクティブ / パッシブ高可用性(HA)構成でデプロイされた 2 つの PanoramaモードのM-Seriesアプライアンスで構成されています。 ファイアウォールは、各 Panorama M-Series アプライアンスの事前設定された(デフォルト)ローカルログコレクタにログを送信し Palo Alto Networks Panorama 7.0 管理者ガイド • 147 ログ収集のデプロイメント ログ収集の管理 ます。これは、ファイアウォールが最大 10,000 ログ / 秒でログを生成する場合に推奨されるデ プロイ方法です(デプロイ環境のオプションの詳細は、「ログ収集デプロイ環境の計画」を参照 してください)。コレクタグループに複数のログコレクタを割り当てる場合は、複数のログコレ クタを含むコレクタグループに関する注意事項を参考にしてリスクや推奨される移行方法を理 解してください。 このデプロイ環境を実装した後で、ロギング率が増加して 10,000 ログ / 秒を超えるようになっ た場合、 「専用のログコレクタを使用する Panorama のデプロイ」で説明されているように、専 用のログコレクタ(ログコレクタモードの M-Series アプライアンス)を追加することをお勧め します。このような拡張を行う場合、必要に応じてデフォルトのログコレクタから専用のログ コレクタにファイアウォールを再割り当てします。 図 : コレクタグループごとに 1 つのデフォルトのログコレクタ 図 : コレクタグループごとに複数のデフォルトのログコレクタ デフォルトのログコレクタを使用する Panorama をデプロイするには、以下の手順を実行します。 すでに実行した手順(初期セットアップなど)は省略します。 148 • Panorama 7.0 管理者ガイド Palo Alto Networks ログ収集の管理 ログ収集のデプロイメント デフォルトのログコレクタを使用する Panorama のデプロイ ステップ 1 1. M-Series アプライアンスの初期セッ トアップを実行します。 2. 3. 4. 5. ステップ 2 1. 次の作業を行ってPanoramaのログ収 集を準備します。 M-Series アプライアンスをラックマウントします。手順 は、M-100 あるいは M-500 ハードウェアリファレンス ガイドを参照してください。 M-Series アプライアンスの初期設定。ログコレクタがロ グ収集およびコレクタグループ通信で Eth1 および Eth2 インターフェイスを使用する場合、初回の構成の際にこ れらのインターフェイスを定義する必要があります。 Panorama の登録とライセンスのインストール。 Panorama のコンテンツ更新とソフトウェア更新のイン ストール。 Panorama での HA のセットアップ。 M-Series アプライアンス間の接続を有効にします。 a. プライマリ Panorama の CLI で、以下のコマンドを入 力します。<IP address2> は、セカンダリ Panorama の 管理インターフェイスを表します。 > configure # set deviceconfig system panorama-server <IPaddress2> # commit b. セカンダリ Panorama の CLI で、以下のコマンドを入 力します。<IP address1> は、プライマリ Panorama の 管理インターフェイスを表します。 > configure # set deviceconfig system panorama-server <IPaddress1> 2. 3. 4. Palo Alto Networks # commit セカンダリ PanoramaのWebインターフェイスにログイン し、 Dashboard [ ダッシュボード ] タブの General Information [ 一般情報 ] セクションにある Serial # [ シリアル番号 ] 欄 の値を記録します。これは、ログコレクタを管理対象コ レクタとして追加するときに必要になります。 ログを Panorama に転送するものそれぞれに対して管理 対象デバイスとしてのファイアウォールの追加を行い ます。 ログ転送を設定します。ログコレクタあるいはコレク タグループを変更する、または変更をコミットするス テップはすべて飛ばしてください。これらのステップ は作業の後半で行います。 a. Panorama へのログ転送の設定。 b.(任意)Panorama から外部の宛先へのログ転送を設定 ログタイプ、重大度レベル、あるいは WildFire 判定ごとに別の外部サーバーのプロファイル を設定できます。また、コレクタグループを設 定する際に異なるプロファイルを各 Panorama HA ピアに割り当てることもできます。例えば、 HA ピアごとに異なる syslog サーバーへログを 転送させたいことがあるかもしれません。 Panorama 7.0 管理者ガイド • 149 ログ収集のデプロイメント ログ収集の管理 デフォルトのログコレクタを使用する Panorama のデプロイ(続) ステップ 3 プライマリ Panorama の Web インターフェイスを使用して、 プライマリPanoramaのローカルのロ 管理対象コレクタの設定を行います。 グコレクタを編集します。 1. [Panorama] > [ 管理対象コレクタ ] の順に選択し、default ログコレクタを選択します。 2. Device Log Collection [ デバイスログ収集 ] および Collector Group Communication [ コレクタグループ通信 ] に使用す るインターフェイスを選択します。Panorama はデフォル トで、それらの機能に対して管理(mgmt)インターフェ イスを使用します。 3. [OK] をクリックして、変更内容を保存します。 ステップ 4 プライマリ Panorama の Web インターフェイスを使用して、 セカンダリ Panorama 用のローカル 管理対象コレクタの設定を行います。 ログコレクタを設定します。 1. Panorama > Managed Collectors [Panorama > 管理対象コ レクタ ] を選択し、Add [ 追加 ] をクリックし、セカン このログコレクタはプライマ ダリ Panorama でそのデフォルトのログコレクタ用に記 リ Panorama のロージカルには 録したシリアル番号を General [ 全般 ] タブの Collector ないため、Panorama はこれを S/N [ コレクタ S/N] 欄に入力します。 リモートとして扱います。そ の た め、こ れ は プ ラ イ マ リ 2. プライマリおよびセカンダリ Panorama HA ピアの IP ア Panorama に手動で追加する必 ドレスおよび FQDN を Panorama Server IP [Panorama 要があります。 サーバー IP] 欄および Panorama Server IP 2 [Panorama Server IP 2] 欄にそれぞれ入力します。これらの項目は 必須です。 3. Management [ 管理 ] タブを選択し、セカンダリ Panorama の管理インターフェイスの値を使用して、 (ネットワー クの IP プロトコルに応じて)以下のいずれかあるいは 両方のフィールド セットを入力します。 • IPv4 — [IP アドレス ]、[ ネットマスク ]、および [ デフォ ルト ゲートウェイ ] • IPv6 — [IPv6 アドレス / プレフィックス長 ] および [ デ フォルト IPv6 ゲートウェイ ] 4. (任意)ログコレクタの監視に SNMP を使用する場合は SNMP チェックボックスをオンにします。 SNMP を使用する場合、ログコレクタを設定する以外 に追加のステップが必要になってきます。詳細は、 SNMP を使用して Panorama およびログコレクタの統計 を監視を参照してください。 5. ログコレクタがログ収集およびコレクタグループ通信 で Eth1 や Eth2 を使用する場合は Eth1 かつ / または Eth2 インターフェイスを設定します。ログコレクタは デフォルトで、それらの機能に対して管理(mgmt)イ ンターフェイスを使用します。 a. Eth1 かつ / または Eth2 タブで設定を行います。 b. General [ 全般 ] タブを選択し、Device Log Collection [ デ バイスログ収集 ] および Collector Group Communication [ コレクタグループ通信 ] に使用するインターフェイ スを選択します。 6. OK をクリックして Commit [ コミット ] をクリックし、 Commit Type [ コミットタイプ ] で Panorama を選択し て、さらに Commit [ コミット ] をクリックします。HA 同期が完了するまで待ってから次に進みます。 150 • Panorama 7.0 管理者ガイド Palo Alto Networks ログ収集の管理 ログ収集のデプロイメント デフォルトのログコレクタを使用する Panorama のデプロイ(続) ステップ 5 プライマリ Panorama の Web インターフェイスを使用して、 プライマリPanoramaで定義済みのデ コレクタグループの設定を行います。 フォルトのコレクタグループを編集 1. Panorama > Collector Groups [Panorama > コレクタグルー します。 プ ] の順に選択し、default [ デフォルト ] のコレクタグ ループを選択します。 複数のログコレクタを一つのコレクタグループ に 追 加 す る 場 合、Enable log redundancy across collectors [ コレクタ間のログ冗長性を有効化 ] チェックボックスをオンにすることが推奨され ます。 2. (任意)ログコレクタの監視に SNMP を使用する場合は Monitoring [ 監視 ] タブを選択して設定を行います。 3. Device Log Forwarding [ デバイスログ転送 ] タブを選択 します。デフォルトのコレクタグループにプライマリ Panorama のローカルログコレクタが事前に割り当てら れているため、 Collector Group Members [コレクタグルー プメンバー ] セクションにこのコレクタが表示されま す。このコレクタグループに複数のログコレクタを含 める場合は、セカンダリ Panorama のローカルログコレ クタを割り当てます。 4. Log Forwarding Preferences [ ログ転送設定 ] セクション で、このコレクタグループのログコレクタ数に基づい てファイアウォールを割り当てます。 • 単一 — 図 : コレクタグループごとに 1 つのデフォル トのログコレクタのように、プライマリ Panorama の デフォルトのログコレクタにログを転送するファイ アウォールを割り当てます。 • 複数 — 各ファイアウォールを両方のログコレクタに 割り当てて冗長性を確保します。この設定を行う場 合、 「図 : コレクタグループごとに複数のデフォルト のログコレクタ」のように、半分のファイアウォール でログコレクタ 1 を最優先にし、その他の半分のファ イアウォールでログコレクタ 2 を最優先にします。 5. (任意)Collector Log Forwarding [ コレクタログ転送 ] タ ブを選択し、各ログタイプについてサーバープロファ イルを割り当て、Panorama から外部の宛先にファイア ウォールログを転送します。ログを転送するには、 Panorama から外部の宛先へのログ転送を設定の作業で サーバープロファイルを設定している必要がありま す。各コレクタグループで同じプロファイルを使用す ることも、異なるプロファイルを使用することもでき ます。 6. [OK] をクリックして、変更内容を保存します。 Palo Alto Networks Panorama 7.0 管理者ガイド • 151 ログ収集のデプロイメント ログ収集の管理 デフォルトのログコレクタを使用する Panorama のデプロイ(続) ステップ 6 プライマリ Panorama の Web インターフェイスを使用して、 セカンダリ Panorama のログコレク コレクタグループの設定を行います。 タを含むコレクタグループを設定し 1. [Panorama] > [ コレクタグループ ] の順に選択し、[ 追加 ] ます。 をクリックして、コレクタグループの [ 名前 ] を入力し ます。 これは各コレクタグループにログコ レクタが一つしかない場合に必須に 2. (任意)ログコレクタの監視に SNMP を使用する場合は なります。 Monitoring [ 監視 ] タブを選択して設定を行います。 3. Device Log Forwarding [ デバイスログ転送 ] タブを選択 し、Collector Group Members [ コレクタグループメンバー ] セクションでセカンダリ Panorama のデフォルトのロ グコレクタを割り当てます。 4. Log Forwarding Preferences [ ログ転送設定 ] セクションで 図:コレクタグループごとに 1 つのデフォルトのログコ レクタのように、セカンダリ Panorama のデフォルトの ログコレクタにログを転送するファイアウォールを割 り当てます。 5. [OK] をクリックして、変更内容を保存します。 Panorama HA ピアごとに異なる外部サービス(例:別 の syslog サーバー)へファイアウォールログを転送さ せる場合、セカンダリピアの Web インターフェイス に研ぐ因子、 Panorama > Collector Groups [Panorama > コ レクタグループ ] を選択し、先ほど追加したコレクタ グループを選択し、 さらに Collector Log Forwarding [ コ レクタログ転送 ] タブを選択してサーバープロファイ ルを割り当て、OK をクリックします。 ステップ 7 変更をコミットします。 プライマリ Panorama の Web インターフェイスを使用して、 以下の手順を実行します。 1. Commit [ コミット ] をクリックし、Commit Type [ コミッ トタイプ ] で Panorama を選択して、さらに Commit [ コ ミット ] をクリックします。 2. Commit [ コミット ] をクリックし、Commit Type [ コミッ トタイプ ] で Collector Group [ コレクタグループ ] を選 択し、さらに追加したコレクタグループを選択して Commit [ コミット ] をクリックします。 ステップ 8 セカンダリ Panorama がアクティブ になるように手動でフェイル オー バーします。 プライマリ Panorama の Web インターフェイスを使用して、 以下の手順を実行します。 1. [Panorama] > [ 高可用性 ] の順に選択します。 2. Operational Commands [ 操作コマンド ] セクションで Suspend local Panorama [ ローカルの Panorama をサスペ ンド ] をクリックします。 152 • Panorama 7.0 管理者ガイド Palo Alto Networks ログ収集の管理 ログ収集のデプロイメント デフォルトのログコレクタを使用する Panorama のデプロイ(続) ステップ 9 セカンダリ Panorama の Web インターフェイスを使用して、 セカンダリ Panorama で、プライマリ 以下の手順を実行します。 Panorama のローカルログコレクタ 1. Panorama Web インターフェイスで、[Panorama] > [ 管理 のネットワークを設定します。 対象コレクタ ] の順に選択し、プライマリ Panorama の ローカルログコレクタを選択します。 2. Panorama Server IP [Panorama サーバー IP] フィールド に、セカンダリ Panorama の IP アドレスあるいは FQDN を入力します。Panorama Server IP 2 [Panorama サーバー IP 2] フィールドに、プライマリ Panorama の IP アドレ スあるいは FQDN を入力します。これらの項目は必須 です。 3. Management [ 管理 ] タブを選択し、プライマリ Panorama の管理インターフェイスの値を使用して、 (ネットワー クの IP プロトコルに応じて)以下のいずれかあるいは 両方のフィールド セットを入力します。 • IPv4 — [IP アドレス ]、[ ネットマスク ]、および [ デフォ ルト ゲートウェイ ] • IPv6 — [IPv6 アドレス / プレフィックス長 ] および [ デ フォルト IPv6 ゲートウェイ ] 4. OK をクリックして Commit [ コミット ] をクリックし、 Commit Type [ コミットタイプ ] で Panorama を選択し て、さらに Commit [ コミット ] をクリックします。HA 5. Commit [ コミット ] をクリックし、 Commit Type [ コミッ トタイプ ] で Collector Group [ コレクタグループ ] を選 同期が完了するまで待ってから次に進みます。 択し、さらに追加したコレクタグループを選択して Commit [ コミット ] をクリックします。 ステップ 10 プライマリ Panorama がアクティブ になるように手動でフェイルバック します。 セカンダリ Panorama の Web インターフェイスを使用して、 以下の手順を実行します。 1. [Panorama] > [ 高可用性 ] の順に選択します。 2. Operational Commands [ 操作コマンド ] セクションで Suspend local Panorama [ ローカルの Panorama をサスペ ンド ] をクリックします。 ローカルログ収集を使用する Panorama バーチャルアプライアンスのデプロイ 以下の図は、一元的なログ収集デプロイ環境の Panorama を示しています。この例では、Panorama 管理サーバーは、アクティブ / パッシブ高可用性(HA)構成でデプロイされた 2 つの Panorama バーチャルアプライアンスで構成されています。この設定は、Panorama が最大で 10,000 ログ / 秒を処理する VMware 仮想インフラストラクチャ内のファイアウォール管理に適しています。 (デプロイ環境のオプションの詳細は、 「ログ収集デプロイ環境の計画」を参照してください)。 ファイアウォールは、Panorama 管理サーバー(その仮想ディスクまたは NFS(Network File System) データストア)にログを送信します。デフォルト設定ではアクティブおよびパッシブピアの両方 がログを受信しますが、ログ転送とバッファのデフォルトの変更を行ってアクティブピアのみが 受信するようにすることもできます。デフォルト設定では、Panorama バーチャルアプライアン スは内部ディスクの 10.89GB のパーティションを使用してログを保存しますが、必要な場合は Panorama バーチャルアプライアンスでのログストレージ容量の拡張を行うこともできます。 Palo Alto Networks Panorama 7.0 管理者ガイド • 153 ログ収集のデプロイメント ログ収集の管理 ロギング率が増加して 10,000 ログ / 秒を超えるようになった場合、専用のログコレクタ(ログ コレクタモードの M-Series アプライアンス)を追加することをお勧めします。専用のログコレ クタを使用する Panorama のデプロイには、Panorama バーチャルアプライアンスまたは Panorama モードの M-Series アプライアンスによって管理される専用のログコレクタがあるデ プロイ環境が記載されています。 図 : ローカルログ収集を使用する Panorama バーチャルアプライアンス ローカルログ収集を使用する Panorama バーチャルアプライアンスをデプロイするには、以下の 手順を実行します。すでに実行した手順(初期セットアップなど)は省略します。 ローカルログ収集を使用する Panorama バーチャルアプライアンスのデプロイ ステップ 1 1. 各 Panorama バーチャルアプライアン 2. スの初期セットアップを実行します。 3. 4. Panorama バーチャルアプライアンスのインストール。 Panorama バーチャルアプライアンスの初期設定の実行。 Panorama の登録とライセンスのインストール。 Panorama のコンテンツ更新とソフトウェア更新のイン ストール。 Panorama での HA のセットアップ。 5. ステップ 2 1. ログを Panorama に転送するものそれぞれに対して管理 対象デバイスとしてのファイアウォールの追加を行い 次の作業を行ってPanoramaのログ収 ます。 集を準備します。 2. Panorama へのログ転送の設定。 3. (任意)Panorama から外部の宛先へのログ転送を設定。 ステップ 3 Commit [ コミット ] をクリックし、Commit Type [ コミット 変更をコミットします。 タイプ ] で Panorama を選択して、さらに Commit [ コミッ ト ] をクリックします。 154 • Panorama 7.0 管理者ガイド Palo Alto Networks ライセンスの管理と更新 Panorama を使用してファイアウォールおよび専用ログコレクタ(ログコレクタモードの M-Series アプライアンス)のライセンス、ソフトウェア更新、コンテンツ更新を行うことができます。ラ イセンスや更新のデプロイ時に、Panorama は Palo Alto Networks ライセンスサーバーまたは更新 サーバーに接続し、要求の正当性を確認してから、ライセンス / 更新の取得およびインストール を許可します。この機能によって、ファイアウォールや専用ログコレクタごとに繰り返し同じタ スクを実行する必要がなくなるため、デプロイが容易になります。特に、インターネットに直接 アクセスできない管理対象ファイアウォールや、(Web インターフェイスがない)専用ログコレ クタを管理する場合に便利です。 アップデートをデプロイする前に Panorama、ログコレクタ、およびファイアウォールのバー ジョン互換性を読み、Palo Alto Networks のデバイスの各バージョン間の互換性についての重要 な情報を確認してください。 サポートサブスクリプションは各ファイアウォールで直接アクティベーションする必要があり ます。Panorama を使用してサポートサブスクリプションをデプロイすることはできません。 Panorama 管理サーバーでのライセンスのアクティベーションや更新のインストールについて は、Panorama の登録とライセンスのインストールおよび Panorama のコンテンツ更新とソフ トウェア更新のインストールを参照してください。 Panorama を使用したファイアウォールのライセンス管理 Panorama を使用してファイアウォールおよびログコレクタにアップデートをデプロイ Palo Alto Networks Panorama 7.0 管理者ガイド • 155 Panorama を使用したファイアウォールのライセンス管理 ライセンスの管理と更新 Panorama を使用したファイアウォールのライセンス管理 以下の手順では、認証コードを使用して新しいライセンスを取得し、ライセンス キーを管理対 象ファイアウォールにプッシュする方法を説明します。また、インターネットに直接アクセスで きないファイアウォールのライセンス ステータスを手動で更新(リフレッシュ)する方法につ いても説明します。ファイアウォールがインターネットに直接接続されている場合、Panorama は ライセンスサーバーに毎日自動的にチェックインを行い、ライセンスの延長や更新を取得し、そ れらをファイアウォールにプッシュします。チェックインは午前 1 時から 2 時の間に行われるよ うハードコードされており、この時間を変更することはできません。 Panorama を使用して、ファイアウォールのサポートライセンスをアクティベーションするこ とはできません。これらのサポートライセンスをアクティベーションするには、個々のファイ アウォールにアクセスする必要があります。 Panorama 自体のライセンスをアクティベーションする方法については、 「Panorama の登録と ライセンスのインストール」を参照してください。 Panorama を使用したファイアウォールのライセンス管理 • 新規ライセンスをアクティベーションし 1. ます。 2. 3. 156 • Panorama 7.0 管理者ガイド [Panorama] > [ デバイスのデプロイ ] > [ ライセンス ] の順 に選択して、[ アクティベーション ] をクリックします。 このオプションを使用すると、新しく購入したサブス クリプション(脅威サブスクリプションなど)をアク ティベーションできます。 管理対象ファイアウォールを検索するか、フィルタで 絞り込んで、[ 認証コード ] 列に Palo Alto Networks から 提供されたデバイスの認証コードを入力します。 Activate [ アクティベーション ] をクリックします。 Palo Alto Networks ライセンスの管理と更新 Panorama を使用したファイアウォールのライセンス管理 Panorama を使用したファイアウォールのライセンス管理(続) • ファイアウォールのライセンス状態を更 1. 新します。 [Panorama] > [ デバイスのデプロイ ] > [ ライセンス ] の順 に選択します。 タブの各エントリは、ライセンスがアクティブか非ア クティブかを示します。また、アクティブなライセン スの有効期限も表示されます。 2. 以前にファイアウォール上で直接、サポートサブスク リプションの認証コードをアクティベーションした場 合は、Refresh [ 更新 ] をクリックして、リストから 1 つ 以上のファイアウォールを選択します。Panorama がラ イセンスを取得し、管理対象ファイアウォールにデプ ロイして、Panorama Web インターフェイスのライセン ス状態を更新します。 Palo Alto Networks Panorama 7.0 管理者ガイド • 157 Panorama を使用してファイアウォールおよびログコレクタにアップデートをデプロイ ライセンスの管理と更新 Panorama を使用してファイアウォールおよびログコレク タにアップデートをデプロイ Panorama を使用すると、ソフトウェアとコンテンツの更新を一部のファイアウォールまたはロ グコレクタに限定してデプロイしてから、他のものに更新をインストールできます。Panorama で、コンテンツの定期的な更新をスケジュール設定する場合は、インターネットに直接接続する 必要があります。ソフトウェアまたはコンテンツの更新をオンデマンドで(スケジュール設定な しで)デプロイする場合の手順は、Panorama がインターネットに接続しているかどうかによっ て異なります。 デフォルトでは、各タイプにつき最大 2 つのソフトウェア更新またはコンテンツ更新を Panorama にダウンロードできます。この上限値を超えてダウンロードを実行すると、選択し たタイプの最も古い更新が削除されます。上限値を変更する方法については、 「ソフトウェア更 新とコンテンツ更新が格納される Panorama ストレージの管理」を参照してください。 スケジュール設定されている更新プロセスが開始した、あるいは 5 分以内に開始する場合に手 動でコンテンツ更新をデプロイすると、警告が表示されます。 サポートされている更新 Panorama を使用してコンテンツ更新のスケジュールを設定 Panorama がインターネットに接続されている状態で更新をログコレクタにデプロイ Panorama がインターネットに接続されていない状態で更新をログコレクタにデプロイ Panorama がインターネットに接続されている状態で更新をファイアウォールにデプロイ Panorama がインターネットに接続されていない状態で更新をファイアウォールにデプロイ サポートされている更新 インストール可能なソフトウェアとコンテンツの更新は、各ファイアウォールあるいはログコレ クタでアクティブになっているサブスクリプションによって異なります。 プラットフォームの種類 ソフトウェア更新 コンテンツ更新 ログコレクタ Panorama アプリケーションシグネチャ アプリケーションおよび脅威シグネチャ アンチウイルス シグネチャ BrightCloud URL フィルタリング WildFire ファイアウォール PAN-OS アプリケーションシグネチャ GlobalProtect エージェント / アプリ アプリケーションおよび脅威シグネチャ アンチウイルス シグネチャ BrightCloud URL フィルタリング WildFire GlobalProtect データファイル 158 • Panorama 7.0 管理者ガイド Palo Alto Networks ライセンスの管理と更新 Panorama を使用してファイアウォールおよびログコレクタにアップデートをデプロイ Panorama を使用してコンテンツ更新のスケジュールを設定 Panorama でファイアウォールおよびログコレクタの更新をスケジュール設定するには、イン ターネットに直接接続する必要があります。インターネットに直接接続できない場合は、オンデ マンドの更新のみを行うことができます。スケジュール設定できるコンテンツ更新のリストはサ ポートされている更新に記載されています。 (ログコレクタ用にアンチウイルス、WildFire、 BrightCloud URL の更新のスケジュール設定を行うには、Panorama 7.0.3 以降のバージョンを実行 していなければなりません)更新を受信する各ファイアウォールあるいはログコレクタは、イン ストールに成功した(設定ログ)か失敗した(システムログ)かを示すログを生成します。 Panorama 管理サーバーのコンテンツ更新をスケジュール設定することはできません。オンデマ ンドによる更新のインストールについては Panorama のコンテンツ更新とソフトウェア更新のイ ンストールをご覧ください。 アップデートをデプロイする前に Panorama、ログコレクタ、およびファイアウォールのバー ジョン互換性を読み、各バージョン間の互換性についての重要な情報を確認してください。 Panorama でインストールしていなければならない最低バージョンについてはリリースノート をご覧ください。 Panorama は一度に一つだけ更新をダウンロードできます。エラーが生じないよう、アップデー トの時期をずらすようにしてください。複数の更新を同じ期間にダウンロードするようにスケ ジュールすると、最初のダウンロードだけが成功します。 スケジュール設定する更新タイプごとに、以下の手順を実行します。 Panorama を使用してコンテンツ更新のスケジュールを設定 ステップ 1 [Panorama] > [ デバイスのデプロイ ] > [ ダイナミック更新 ] の順に選択して、[ スケジュール ]、[ 追加 ] の順にクリックします。 ステップ 2 スケジュール設定を識別できる Name [名前] を付け、更新の Type [タイプ] および頻度(Recurrence [ 繰り返し ])を指定します。指定可能な頻度は、更新の Type [ タイプ ] によって異なります。 PAN-OS は、スケジュールの更新に Panorama の時間帯を使用します。 WildFire プライベート(WF-Private [WF プライベート ])タイプは、WildFire Server [WildFire サーバー ] フィールド(Panorama > Setup > WildFire [Panorama > セットアップ > WildFire])を (WildFire クラウドではなく)WF-500 アプライアンスに設定している場合のみ使用可能です。 ステップ 3 スケジュール設定する [ アクション ] を指定します。 • Download And Install [ ダウンロードおよびインストール ](推奨)— Devices [ デバイス ](ファ イアウォール)あるいは Log Collectors [ ログコレクタ ] を選択し、次にファイアウォールある いはログコレクタを選択します。 • Download Only [ ダウンロードのみ ] — 更新をダウンロードしますが、インストールは行いません。 ステップ 4 OK をクリックして Commit [ コミット ] をクリックし、 Commit Type [ コミットタイプ ] で Panorama を選択して、さらに Commit [ コミット ] をクリックします。 Panorama がインターネットに接続されている状態で更新をログコレクタ にデプロイ ログコレクタにインストールできるソフトウェア更新およびコンテンツ更新のリストがサポー トされている更新に記載されています。 Palo Alto Networks Panorama 7.0 管理者ガイド • 159 Panorama を使用してファイアウォールおよびログコレクタにアップデートをデプロイ ライセンスの管理と更新 Panorama がインターネットに接続されている状態で更新をログコレクタにデプロイ ステップ 1 ログコレクタにインストールする バージョンと同じあるいはそれより 新しいソフトウェア更新およびコン テンツバージョンに Panorama 管理 サーバーをアップグレードします。 ステップ 2 コンテンツ更新をインストールし ます。 最初に、コンテンツ更新をイ ン ス トー ル し てか ら ソ フ ト ウェア更新をインストールし ます。また、最初に、アプリ ケーションおよび脅威更新を インストールしてから、アン チウイルスおよび WildFire 更 新をインストールしてくださ い。URL フィルタリング更新 については、インストール順 に制約はありません。 Panorama でインストールして いなければならない最低バー ジ ョ ンに つ い ては リ リ ー ス ノートをご覧ください。 Panorama のコンテンツ更新とソフトウェア更新のインス トール。 フ ァ イ ア ウ ォー ル を ア ッ プ グレ ー ド す る 前 に、ま ず は Panorama、次にログコレクタをアップグレードしておく必 要があります。 1. 2. 3. 4. 5. Panorama > Device Deployment > Dynamic Updates [Panorama > デバイスのデプロイ > 動的アップデート ] の順に選択 します。 Check Now [ 今すぐチェック ] をクリックして最新の更新 を表示します。更新が入手可能な場合は、Action [ アク ション ] 列に Download [ ダウンロード ] が表示されます。 Version [ バージョン ] 列および File Name [ ファイル名 ] 列を確認して、デプロイする更新を決定します。 希望する更新の Action [ アクション ] 列にある Download [ ダウンロード ] をクリックします。ダウンロードが成 功すると、Action [ アクション ] の値が Install [ インス トール ] に変わります。 Install [ インストール ] をクリックし、ログコレクタを 選択して OK をクリックします。 ステップ 3 Panorama > Managed Collectors [Panorama > 管理対象コレク ログコレクタ用にソフトウェア更 タ ] を選択し、アップグレードするログコレクタの現在の ソフトウェアバージョンをひかえておきます。 新パスを決定します。 Panoramaソフトウェア更新では必須 現在のバージョンと目標のバージョンの間にPanoramaのメ ジャーアップデートがある場合は、これをスキップするこ です。 とはできません。例えば、ログコレクタを Panorama 5.0.13 から Panorama 7.0.3 にアップグレードする場合、次の作業が 必須になります。 1. Panorama 5.1.0 をダウンロード、インストールして再起動。 2. Panorama 6.0.0 をダウンロード、インストールして再起動。 3. Panorama 6.1.0 をダウンロード、インストールして再起動。 4. Panorama 7.0.1 をダウンロードし、インストールや再起 動はせずにログコレクタにアップロード(7.0 代のバー ジョンでは 7.0.0 ではなく 7.0.1 が推奨されます)。 5. Panorama 7.0.3 をダウンロード、インストールして再起動。 160 • Panorama 7.0 管理者ガイド Palo Alto Networks ライセンスの管理と更新 Panorama を使用してファイアウォールおよびログコレクタにアップデートをデプロイ Panorama がインターネットに接続されている状態で更新をログコレクタにデプロイ(続) ステップ 4 1. ソフトウェア更新をインストール します。 2. 3. 4. 5. 6. Panorama > Device Deployment > Software [Panorama > デ バイスのデプロイ > ソフトウェア ] の順に選択します。 Check Now [ 今すぐチェック ] をクリックして最新の更新 を表示します。更新が入手可能な場合は、Action [ アク ション ] 列に Download [ ダウンロード ] が表示されます。 Version [ バージョン ]、File Name [ ファイル名 ]、Platform [ プラットフォーム ] 列を確認し、デプロイする更新を 決定します。Panorama ソフトウェアの場合、Platform [ プラットフォーム ] 列に「m」と表示されます。 希望する更新の Action [ アクション ] 列にある Download [ ダウンロード ] をクリックします。ダウンロードが成 功すると、Action [ アクション ] の値が Install [ インス トール ] に変わります。 Install [ インストール ] をクリックし、ログコレクタを 選択します。 更新パス中にある、インストールしようとしている更 新バージョンに応じて、次のいずれかのチェックボッ クスをオンにします(ステップ 3) 。 • デバイスにのみアップロード ( インストールは行わない ) • インストールの後にデバイスを再起動 7. [OK] をクリックしてインストールまたはアップロード を開始します。 ステップ 5 ログコレクタの CLI にログインし、操作コマンド show ログコレクタにインストールされ system info を入力します。出力は以下のようになります。 sw-version:7.0/3 ているソフトウェアかつ / またはコ app-version:497-1738 ンテンツ更新のバージョンを確認 app-release-date:2015/10/29 15:46:03 av-version:1168-1550 します。 av-release-date:2015/10/21 14:31:27 threat-version:497-1738 threat-release-date:2015/10/29 15:46:03 Panorama がインターネットに接続されていない状態で更新をログコレク タにデプロイ ログコレクタにインストールできるソフトウェア更新およびコンテンツ更新のリストがサポー トされている更新に記載されています。 Panorama がインターネットに接続されていない状態で更新をログコレクタにデプロイ ステップ 1 ログコレクタにインストールする バージョンと同じあるいはそれより 新しいソフトウェア更新およびコン テンツバージョンに Panorama 管理 サーバーをアップグレードします。 Palo Alto Networks Panorama のコンテンツ更新とソフトウェア更新のインス トール。 フ ァイ アウ ォー ルを アッ プグ レー ドす る前に、まず は Panorama、次にログコレクタをアップグレードしておく必 要があります。 Panorama 7.0 管理者ガイド • 161 Panorama を使用してファイアウォールおよびログコレクタにアップデートをデプロイ ライセンスの管理と更新 Panorama がインターネットに接続されていない状態で更新をログコレクタにデプロイ(続) ステップ 2 Panorama に ロ グ イ ン し、Panorama > Managed Collectors ソフトウェア更新パスを決定します。 [Panorama > 管理対象コレクタ ] を選択し、アップグレード Panorama ソフトウェア更新では必須 するログコレクタの現在のソフトウェアバージョンをひ かえておきます。 です。 現在のバージョンと目標のバージョンの間にPanoramaのメ ジャーアップデートがある場合は、これをスキップするこ とはできません。例えば、ログコレクタを Panorama 5.0.13 から Panorama 7.0.3 にアップグレードする場合、次の作業が 必須になります。 1. Panorama 5.1.0 をアップロード、 インストールして再起動。 2. Panorama 6.0.0 をアップロード、 インストールして再起動。 3. Panorama 6.1.0 をアップロード、 インストールして再起動。 4. イ ン ス ト ー ル や 再 起 動 は せ ず に ロ グ コ レ ク タ に Panorama 7.0.1 をアップロード(7.0 代のバージョンでは 7.0.0 ではなく 7.0.1 が推奨されます)。 5. Panorama 7.0.3 をアップロード、 インストールして再起動。 ステップ 3 1. インターネットにアクセスできるホ ストに更新をダウンロードします。 Panorama がそのホストにアクセス 2. できる必要があります。 3. ステップ 4 1. コンテンツ更新をインストールし ます。 最初に、コンテンツ更新をイ 2. ンストールしてからソフト ウェア更新をインストールし ます。また、最初に、アプリ 3. ケーションおよび脅威更新を インストールしてから、アン 4. チウイルスおよび WildFire 更 新をインストールしてくださ い。URL フィルタリング更新 5. については、インストール順 6. に制約はありません。 インターネットにアクセスできるホストを使用して Palo Alto Networks サポートウェブサイトにログインし ます。 Resources [ リソース ] セクションで、Dynamic Updates [ 動的更新(コンテンツの場合) ] または Software Updates [ ソフトウェア更新 ] をクリックします。 Download [ ダウンロード ] 列で目的の更新の Download [ ダウンロード ] リンクをクリックして、ファイルをホ ストに保存します。 Panorama で Panorama > Device Deployment > Dynamic Updates [Panorama > デバイスのデプロイ > ダイナミッ ク更新 ] の順に選択します。 Upload [ アップロード ] をクリックし、更新の Type [ タ イプ ] を選択し、ホスト上の更新ファイルを Browse [ 参照 ] して OK をクリックします。 Install From File [ ファイルからインストール ] ボタンを クリックします。 更新の Type [ タイプ ]、先ほどアップロードした更新の File Name [ ファイル名 ] を選択します。 ログコレクタを選択します。 OK をクリックしてインストールを開始します。 Panorama でインストールして いなければならない最低バー ジョンについてはリリース ノートをご覧ください。 162 • Panorama 7.0 管理者ガイド Palo Alto Networks ライセンスの管理と更新 Panorama を使用してファイアウォールおよびログコレクタにアップデートをデプロイ Panorama がインターネットに接続されていない状態で更新をログコレクタにデプロイ(続) ステップ 5 1. ソフトウェア更新をインストールし ます。 2. 3. 4. 5. Panorama > Device Deployment > Software [Panorama > デ バイスのデプロイ > ソフトウェア ] の順に選択します。 Upload [ アップロード ] をクリックし、ホスト上の更新 ファイルを Browse [ 参照 ] して OK をクリックします。 Action [ アクション ] 列の Install [ インストール ] をク リックします。 更新をインストールするログコレクタを選択します。 更新パス中にある、インストールしようとしている更 新バージョンに応じて、次のいずれかのチェックボッ クスをオンにします(ステップ 2)。 • デバイスにのみアップロード ( インストールは行わない ) • インストールの後にデバイスを再起動 6. OK をクリックしてインストールを開始します。 ステップ 6 ログコレクタの CLI にログインし、操作コマンド show 各ログコレクタにインストールされ system info を入力します。出力は以下のようになります。 sw-version:7.0/3 ているソフトウェアかつ/またはコン app-version:497-1738 テンツのバージョンを確認します。 app-release-date:2015/10/29 15:46:03 av-version:1168-1550 av-release-date:2015/10/21 14:31:27 threat-version:497-1738 threat-release-date:2015/10/29 15:46:03 Panorama がインターネットに接続されている状態で更新をファイア ウォールにデプロイ ファイアウォールにデプロイする前に、 Panorama をアップグレードしてからログコレクタをアッ プグレードしておく必要があります。ファイアウォールにインストールできるソフトウェア更新 およびコンテンツ更新のリストがサポートされている更新に記載されています。 GlobalProtect のデータファイル更新をオンデマンドでデプロイすることはできません。ファイ アウォールの Web インターフェイスあるいは Panorama テンプレートを使用してのみ更新をス ケジュール設定できます。 Panorama がインターネットに接続されていない状態で更新をファイア ウォールにデプロイ ファイアウォールにインストールできるソフトウェア更新およびコンテンツ更新のリストがサ ポートされている更新に記載されています。 Panorama がインターネットに接続されていない状態で更新をファイアウォールにデプロイ ステップ 1 ファイアウォールにインストールす るバージョンと同じあるいはそれよ り新しいソフトウェア更新およびコ ンテンツバージョンにPanorama管理 サーバーおよびログコレクタをアッ プグレードします。 Palo Alto Networks フ ァイ アウ ォー ルを アッ プグ レー ドす る前に、まず は Panorama、次にログコレクタをアップグレードしておく必 要があります。 1. Panorama のコンテンツ更新とソフトウェア更新のイン ストール。 2. Panorama がインターネットに接続されていない状態で 更新をログコレクタにデプロイ。 Panorama 7.0 管理者ガイド • 163 Panorama を使用してファイアウォールおよびログコレクタにアップデートをデプロイ ライセンスの管理と更新 Panorama がインターネットに接続されていない状態で更新をファイアウォールにデプロイ(続) ステップ 2 1. ソフトウェアをアップグレードす るファイアウォールごとに現在の 2. 設定ファイルのバックアップを保 存します。 アップグレードで問題が発生した場 合は、このバックアップを使用して 3. 設定を復元することができます。 ファイアウォールは自動的に 設定のバックアップを作成し ますが、アップグレード前に バックアップを作成して外部 に保存しておくことが推奨さ れます。 Panorama にログインし、Panorama > Setup > Operations [Panorama > セットアップ > 操作 ] の順に選択します。 Save named Panorama configuration snapshot [名前を付け て Panorama 設定スナップショットを保存 ] をクリック し、設定の Name [ 名前 ] を入力して OK をクリックし ます。 Export named Panorama configuration snapshot [ 名前を付 けて Panorama 設定スナップショットを保存 ] をクリッ クし、先ほど保存した設定の Name [ 名前 ] を選択して OK をクリックし、エクスポートされたファイルを保存 します。 ステップ 3 Panorama > Managed Devices [Panorama > 管理対象のデバイ ソフトウェア更新パスを決定します。 ス ] を選択し、アップグレードするファイアウォールの現 PAN-OS ソフトウェア更新では必須 在のソフトウェアバージョンをひかえておきます。 です。 現在のバージョンと目標のバージョンの間に PAN-OS のメ ジャーアップデートがある場合は、これをスキップするこ とはできません。例えば、ファイアウォールを PAN-OS 5.0.13 から PAN-OS 7.0.2 にアップグレードする場合、次の 作業が必須になります。 1. PAN-OS 6.0.0 をアップロード、インストールして再起動。 2. PAN-OS 6.1.0 をアップロード、インストールして再起動。 3. インストールや再起動はせずに PAN-OS 7.0.1 をアップ ロード(7.0 代のバージョンでは 7.0.0 ではなく 7.0.1 が 推奨されます)。 4. PAN-OS 7.0.2 をアップロード、インストールして再起動。 ステップ 4 1. インターネットにアクセスできるホ ストに更新をダウンロードします。 2. Panorama がそのホストにアクセス できる必要があります。 3. 164 • Panorama 7.0 管理者ガイド インターネットにアクセスできるホストを使用してPalo Alto Networks サポートウェブサイトにログインします。 Resources [ リソース ] セクションで、Dynamic Updates [ 動的更新(コンテンツの場合) ] または Software Updates [ ソフトウェア更新 ] をクリックします。 Download [ ダウンロード ] 列で目的の更新の Download [ ダウンロード ] リンクをクリックして、ファイルをホ ストに保存します。 Palo Alto Networks ライセンスの管理と更新 Panorama を使用してファイアウォールおよびログコレクタにアップデートをデプロイ Panorama がインターネットに接続されていない状態で更新をファイアウォールにデプロイ(続) 1. ステップ 5 コンテンツ更新をインストールし ます。 最初に、コンテンツ更新をイ 2. ンストールしてからソフト ウェア更新をインストールし ます。また、最初に、アプリ 3. ケーションおよび脅威更新を インストールしてから、アン 4. チウイルスおよび WildFire 更 新をインストールしてくださ い。URL フィルタリング更新 5. については、インストール順 6. に制約はありません。 Panorama > Device Deployment > Dynamic Updates [Panorama > デバイスのデプロイ > 動的アップデート ] の順に選択 します。 Upload [ アップロード ] をクリックし、更新の Type [ タ イプ ] を選択し、更新ファイルを Browse [ 参照 ] して OK をクリックします。 Install From File [ ファイルからインストール ] ボタンを クリックします。 更新の Type [ タイプ ]、先ほどアップロードしたコンテ ンツ更新の File Name [ ファイル名 ] を選択します。 更新をインストールするファイアウォールを選択し ます。 OK をクリックしてインストールを開始します。 Panoramaでインストールしてい なければならない最低コンテ ンツバージョンについてはリ リースノートをご覧ください。 1. ステップ 6 フ ァ イ ア ウ ォ ー ル の GlobalProtect エージェント / アプリのソフトウェ ア更新を有効化します。 2. ユーザーが自分のクライアン トシステムにダウンロードで 3. きるよう、ファイアウォール で更新を有効化します。 4. 5. 6. ステップ 7 1. PAN-OS ソフトウェア更新をアップ ロードします。 2. Panorama > Device Deployment > GlobalProtect Client [Panorama > デバイスのデプロイ > GlobalProtect クライアント ] の 順に選択します。 Upload [ アップロード ] をクリックし、更新ファイルを Browse [ 参照 ] して OK をクリックします。 Activate From File [ ファイルからアクティベーション ] ボ タンをクリックします。 先ほどアップロードした GlobalProtect エージェント / アプリの更新の File Name [ ファイル名 ] を選択します。 更新をインストールするファイアウォールを選択しま す。 OK をクリックしてインストールを開始します。 Panorama > Device Deployment > Software [Panorama > デ バイスのデプロイ > ソフトウェア ] の順に選択します。 Upload [ アップロード ] をクリックし、更新ファイルを Browse [ 参照 ] して OK をクリックします。 ステップ 8 お客様のファイアウォールのデプロイ環境に該当するス PAN-OS ソフトウェア更新をインス テップを実施してください。更新パス中の一部の更新バー トールします。 ジョンでのみ再起動が必要になるということにご注意く ださい(ステップ 3)。 • Non-HA firewalls [ 非 HA ファイアウォール ] — Action [ アクション ] 列の Install [ インストール ] をクリックし、 アップグレードするファイアウォールをすべて選択し、 Reboot device after install [ インストール後にデバイスを 再起動 ] を選択して OK をクリックします。 • アクティブ / アクティブ HA ファイアウォール: a. Install [ インストール ] をクリックし、Group HA Peers [ グループ HA ピア ] のチェックボックスをオフに し、いずれかの HA ピアを選択し、さらに Reboot device after install [ インストール後にデバイスを再 起動 ] を選択して OK をクリックします。次に進む 前にファイアウォールが再起動するのを待ちます。 Palo Alto Networks Panorama 7.0 管理者ガイド • 165 Panorama を使用してファイアウォールおよびログコレクタにアップデートをデプロイ ライセンスの管理と更新 Panorama がインターネットに接続されていない状態で更新をファイアウォールにデプロイ(続) b. Install [ インストール ] をクリックし、Group HA Peers [ グループ HA ピア ] のチェックボックスをオフに し、 まだアップデートしていない HA ピアを選択し、 さらに Reboot device after install [ インストール後に デバイスを再起動 ] を選択して OK をクリックしま す。 アクティブ / アクティブ ファ • Active/passive HA firewalls [ アクティブ / パッシブ HA ファイアウォール ] — この例では、アクティブ ファイ イアウォールの場合、どちら のピアからアップデートして アウォールの名前が fw1、パッシブ ファイアウォールの も構いません。 名前が fw2 です。 高 可 用性(HA)のフ ァ イ ア ウォールのソフトウェア更新 時にダウンタイムが発生しな いようにするために、一度に 一つだけ HA ピアをアップ デートします。 アクティブ / パッシブ ファイ ア ウ ォ ー ル の 場 合、最 初 に パッシブピアをアップデート し、アクティブピアはサスペ ンド(フェイルオーバー)し、 アクティブピアをアップデー トし、次にアクティブピアを 稼 動 状 態 に 戻 す(フ ェ イ ル バック)必要があります。 ステップ 9 1. 管理対象の各ファイアウォールにイ ンストールされているソフトウェア 2. かつ / またはコンテンツのバージョ ンを確認します。 166 • Panorama 7.0 管理者ガイド a. Install [ インストール ] をクリックし、Group HA Peers [ グループ HA ピア ] のチェックボックスをオフに し、fw2 を選択し、さらに Reboot device after install [ インストール後にデバイスを再起動 ] を選択して OK をクリックします。次に進む前に fw2 が再起動 するのを待ちます。 b. fw1 にアクセスし、Device > High Availability > Operational Commands [ デバイス > 高可用性 > 操作コマンド ] の順に選択して、Suspend local device [ ローカルデバ イスをサスペンド ] をクリックします。 c. fw2 にアクセスし、Dashboard [ ダッシュボード ] の High Availability [ 高可用性 ] ウィジットで、Local [ ローカル ] ファイアウォール状態が active [ アクティ ブ ] で、Peer [ ピア ] ファイアウォールが suspended [ サスペンド ] になっていることを確認します。 d. Panorama にアクセスし、Panorama > Device Deployment > Software [Panorama > デバイスのデプロイ > ソフト ウェア ] を選択し、Install [ インストール ] をクリッ クし、Group HA Peers [ グループ HA ピア ] のチェッ クボックスをオフにし、fw1 を選択し、Reboot device after install [インストール後にデバイスを再起動]を 選択して OK をクリックします。次に進む前に fw1 が再起動するのを待ちます。 e. fw1 にアクセスし、Device > High Availability > Operational Commands [ デバイス > 高可用性 > 操作コマンド ] の順に選択して、Make local device functional [ ローカ ルデバイスを稼働 ] をクリックします。先に進む前 に 2 分間待ちます。 f. fw1 上で Dashboard [ ダッシュボード ] タブを選択し、 High Availability [ 高可用性 ] ウィジットで、Local [ ローカル ] ファイアウォール状態が active [ アク ティブ ] であり、Peer [ ピア ] ファイアウォールが passive [パッシブ] になっていることを確認します。 Panorama > Managed Devices [Panorama > 管理対象デバ イス ] の順に選択します。 ファイアウォールを探し、Software Version [ ソフトウェ アバージョン ]、Apps and Threat [ アプリケーションお よび脅威 ]、Antivirus [ アンチウイルス ]、URL Filtering [URL フィルタリング ]、および GlobalProtect Client [GlobalProtect クライアント ] の各列の値を確認します。 Palo Alto Networks ネットワークアクティビティのモニター Panorama では、ネットワークトラフィックを包括的にグラフィックで表示できます。Panorama の可視化ツール(アプリケーションコマンドセンター(ACC)、ログ、レポート生成機能)を使 用すると、すべてのネットワークアクティビティを一元的に分析、調査およびレポートして、潜 在的なセキュリティへの影響があるエリアを識別し、安全なアプリケーション有効化ポリシーに 変換できます。 このセクションでは、以下のトピックについて説明します。 Panorama を使用した可視化 ユースケース : Panorama を使用したアプリケーションのモニタリング ユースケース : Panorama を使用してインシデントに対処 Palo Alto Networks Panorama 7.0 管理者ガイド • 167 Panorama を使用した可視化 ネットワークアクティビティのモニター Panorama を使用した可視化 一元的なデプロイおよびファイアウォール設定機能に加えて、Panorama では、ネットワークを 通過するすべてのトラフィックをモニターしてレポートできます。レポート機能は、Panorama と ファイアウォールでほとんど変わりませんが、Panorama には、すべての管理対象ファイアウォー ルの集約情報を一括管理画面で表示できるという利点があります。この集約ビューにより、ネッ トワーク全体のユーザーアクティビティ、トラフィック パターン、および潜在的な脅威の傾向 に関する実用的な情報を得られます。 Panorama のアプリケーションコマンドセンター(ACC) 、アプリケーションスコープ、ログビュー アー、標準およびカスタマイズ可能なレポートオプションを使用して、ネットワークを通過する トラフィックの詳細をすばやく把握できます。この情報を表示できることで、現在のポリシーで 十分な箇所と不十分な箇所を評価できます。次に、このデータを使用して、ネットワークセキュ リティ戦略を強化できます。たとえば、セキュリティルールを改善して、ネットワークのすべて のユーザーのコンプライアンスとアカウンタビリティを向上させることができます。また、ネッ トワーク容量を管理して資産のリスクを最小限に抑えながら、ネットワーク内のユーザーから求 められるリッチ アプリケーションのニーズを満たすこともできます。 以下のトピックでは、Panorama のレポート機能の概要について説明します。また、いくつかの ユースケースを使用して、各自のネットワークインフラストラクチャ内でこれらの機能をどのよ うに使用するのかについても説明します。使用可能なレポートおよびチャートの一覧と、それぞ れの説明は、オンライン ヘルプを参照してください。 ACC およびアプリケーションスコープを使用したネットワークのモニタリング ログデータの分析 レポートの生成、スケジュール設定、および電子メール送信 ACC およびアプリケーションスコープを使用したネットワークのモニタリング ACC とアプリケーションスコープのどちらも、ネットワークを通過するトラフィックから記録 されたデータをモニターおよびレポートできます。 Panorama の ACC には、ネットワークトラフィックのサマリーが表示されます。Panorama では、ネット ワーク上のすべての管理対象ファイアウォールから動的にデータをクエリして、ACC にそのデータを 表示できます。これにより、Palo Alto Networks 次世代ファイアウォールのネットワーク全体で、アプ リケーション、ユーザー、およびコンテンツ アクティビティ(URL カテゴリ、脅威、およびデータや ファイルを効率よくブロックするセキュリティポリシー)ごとにトラフィックをモニターできます。 アプリケーションスコープでは、ネットワーク上の予期しない動作または異常な動作を一目で識 別できます。これには、多数のチャートおよびレポート(サマリー レポート、変化モニター、脅 威モニター、脅威マップ、ネットワークモニター、トラフィックマップ)が含まれており、脅威 やアプリケーション、またはフローの送信元や宛先によってトラフィック フローを分析できま す。また、セッション数、またはバイト数でソートすることもできます。 ACC およびアプリケーションスコープを使用することで、以下のような内容を把握できます。 ACC ネットワーク上で使用されている上位のア プリケーションは ? 高リスク アプリケー ションの数は ? ネットワーク上の高リスク アプリケーションの上位のユーザーは ? 168 • Panorama 7.0 管理者ガイド [Monitor] > [ アプリケーションスコープ ] アプリケーション使用率の傾向は? 使用量が増 加した上位 5 つのアプリケーションは ? 使用量 が減少した上位 5 つのアプリケーションは ? Palo Alto Networks ネットワークアクティビティのモニター ACC Panorama を使用した可視化 [Monitor] > [ アプリケーションスコープ ] 過去 1 時間で閲覧された上位の URL カテ ゴリは ? 先週または先月と比較して、今週はどのよう にユーザーアクティビティが変化したのか ? 帯域幅を消費している上位のアプリケー ションは ? 最も帯域幅を使用しているユー ザー / ホストは ? ネットワーク帯域幅の大部分を占有してい るユーザーやアプリケーションは?過去 30 日 でこの消費量がどのように変化したのか ? どのようなコンテンツまたはファイルがブ ロックされているのか ? このファイルブ ロッキング / データフィルタリングルール をトリガーしている特定のユーザーはいる のか ? 2 つの固有の IP アドレス間で交換されたト ラフィック量は ? 特定のユーザーによって生 成されたトラフィック量は ? 宛先サーバーま たはクライアントの地理的な場所は ? ネットワーク上の脅威は ? これらの受信トラ フィックおよび送信トラフィックの脅威は 地理的にどのように分布しているのか ? 次に、この情報を使用して、ネットワーク上のトラフィック パターンを維持したり、変更を適 用したりできます。Panorama の可視化ツールがネットワークの利用規定の形成方法に与える影 響についての概要は、ユースケース : Panorama を使用したアプリケーションのモニタリングを参 照してください。 以下に、ACC 内の移動に役立つヒントをいくつか示します。 Palo Alto Networks Panorama 7.0 管理者ガイド • 169 Panorama を使用した可視化 ネットワークアクティビティのモニター Switch from a Panorama view to a Device view [Panorama ビューからデバイス ビューに切り替え ] — Context [ コンテキスト ] ドロップダウンメニューを使用し、任意の管理対象ファイアウォール の Web インターフェイスにアクセスします。詳細は、ファイアウォールと Panorama 間のコン テキスト切り替えを参照してください。 Change Device Group and Data Source [ デバイスグループおよびデータソースを変更 ] — ACC のチャートに統計情報を表示するのに使用するデフォルトの Data Source [ データソース ] は Panorama ローカルデータであり、Device Group [ デバイスグループ ] 設定はデフォルトで All [ す べて ] になっています。Panorama のローカルデータを使用することで、チャートのロード時 間を短縮できます。しかし、管理対象のデバイスがすべて PAN-OS 7.0 で動いていればデータ ソースを Remote Device Data [ リモートデバイスデータ ] に変えることができます。管理対象の ファイアウォールに PAN-OS 7.0 とそれ以前のバージョンが混在している場合、Panorama デー タのみを表示できます。リモートデバイスデータを使用するように設定すると、Panorama は すべての管理対象ファイアウォールをポーリングし、データの集約ビューを表示します。画 面には、ポーリング対象のファイアウォールの合計数や、クエリに応答したファイアウォー ル数が表示されます。 Select the Tabs and Widgets to View [ 表示するタブおよびウィジェットを選択 ] — ACC には 3 つ のタブと各種のウィジェットが含まれており、必要な情報を探しやすくなっています。アプ リケーションウィジェットとホスト情報ウィジェットを除き、その他のすべてのウィジェッ トは、対応する機能のライセンスがファイアウォールに供与されており、ログが有効になっ ている場合にのみデータを表示します。 Tweak Time Frame and Refine Data [ 期間およびデータの微調整 ] — ACC のレポート期間は、 過去 15 分、過去の時間、日、週、月、またはカスタム定義された時間になります。デフォルト設定 では、各ウィジェットには上位 10 項目が表示され、その他の項目はすべて others [ その他 ] にま とめられます。様々な属性(例:セッション、バイト数、脅威、コンテンツ、URL)を使用し て各ウィジェットのデータをソートできます。また、ローカルフィルターを設定し、ウィジェッ ト内のタブやグラフの表示をフィルタリングし、さらにそのウィジェット フィルターをグロー バルフィルターにして ACC 内のすべてのウィジェットに適用することもできます。 ログデータの分析 Panorama の [Monitor] タブでは、ログデータにアクセスできます。これらのログは、管理対象ファイ アウォールによって処理されて Panorama に転送されたセッションのアーカイブ済みリストです。 ログデータは、大まかに 2 つのタイプに分類できます。1 つはネットワーク上のトラフィック フ ローに関する詳細情報(アプリケーション、脅威、ホスト情報プロファイル、URL カテゴリ、コ ンテンツ / ファイルタイプなど)を含むログデータで、もう 1 つはシステムイベント、設定の変 更およびアラームを記録するログデータです。 管理対象ファイアウォールのログ転送設定に基づいて、[Monitor] > [ ログ ] タブに、トラフィック フロー、脅威、URL フィルタリング、データフィルタリング、ホスト情報プロファイル(HIP) マッチ、および WildFire 送信のログを含めることができます。ログを見直すことによって、特定 のセッションまたはトランザクションの豊富な情報を確認できます。この情報には、たとえば、 セッションを開始したユーザー、ファイアウォールがセッションで実行したアクション(許可ま たは拒否)、送信元および宛先のポート、ゾーン、アドレスなどの情報が含まれています。シス テムログおよび設定ログを見れば、設定の変更や、設定済みのしきい値を超えたときにファイア ウォールによってトリガーされたアラームが分かります。 170 • Panorama 7.0 管理者ガイド Palo Alto Networks ネットワークアクティビティのモニター Panorama を使用した可視化 Panorama が PAN-OS 7.0 以前のソフトウェアバージョンで動作するファイヤーウォールを管 理する場合、ファイアウォールが送信する WildFire サンプルに対する分析情報を Panorama が 収集するのに使用するWildFireサーバーを指定します。Panoramaはこの情報を利用し、PAN-OS 7.0 で導入されたフィールドの値が欠けている WildFire 送信ログを完成させます。それより古 いバージョンのファイアウォールはこのフィールドを自動で埋めることはありません。サー バーを指定するには、 Panorama > Setup > WildFire [Panorama > セットアップ > WildFire] を選択し、General Settings [ 一般設定 ] を編集して WildFire Server [WildFire サーバー ] の名 前を入力します。デフォルトの値は、米国でホストされている WildFire クラウドである wildfire-public-cloud です。 レポートの生成、スケジュール設定、および電子メール送信 Panorama では、必要に応じて手動でレポートを生成することも、特定の間隔でレポートの実行 をスケジュール設定することもできます。レポートを保存またはエクスポートしたり、特定の受 信者にレポートを電子メールで送信するように Panorama を設定したりできます。電子メールを 使用してレポートを共有できる機能は、Panorama へのアクセス権のない管理者とレポート情報 を共有する場合に特に便利です。 Panorama とレポート生成対象のファイアウォールには、同じリリースのソフトウェアをイン ストールしておくことをお勧めします。たとえば、Panorama 管理サーバーが Panorama 6.1 を 稼働している場合は、その管理対象ファイアウォールに PAN-OS 6.1 をインストールしてから レポートを生成するようにします。このようにすることで、Panorama ソフトウェアのリリー スではサポートされているが、ファイアウォールのそれより古いリリースの PAN-OS ではサ ポートされていないフィールドを含むレポートを作成したときに発生する可能性のある問題を 回避できます。 以下のタイプのレポートを作成できます。 レポートタイプ 内容 事前定義済み 4 つのカテゴリが用意されている Monitor > Reports [ 監視 > レポート ] タブの事 前定義済みレポートのセット。アプリケーション、脅威、URL フィルタリング、 トラフィック。 ユーザーアクティビティ ユーザーアクティビティ レポートは、オンデマンドでレポートを作成するため に使用される事前定義済みレポートで、計算された推定ブラウズ時間と共に、 特定のユーザーの URL カテゴリごとに分類されたアプリケーションの使用お よび URL アクティビティを文書化します。このレポートは、[Monitor] > [PDF レ ポート ] > [ ユーザーアクティビティ レポート ] タブにあります。 カスタム 条件と含める列に基づいてフィルタリングすることで必要な情報のみを表示 するカスタム レポートを作成およびスケジュール設定します。Panorama やリ モートデバイス(管理対象ファイアウォール)のサマリーデータベースから データをクエリするレポートを生成できます。また、Panorama やリモートデバ イスの詳細レポートを使用することもできます。これらのレポートの生成に使 用できるデータベースを確認するには、[Monitor] > [ カスタム レポートの管理 ] タ ブを表示します。また、レポートグループ( [Monitor] > [PDF レポート ] > [ レポー トグループ ] タブ)を作成して、事前定義済みレポートやカスタム レポートを 1 つの PDF にまとめることもできます。 PDF サマリー 最大 18 個の事前定義済みレポート、グラフ、カスタム レポートを 1 つの PDF ドキュメントに集約できます。 Palo Alto Networks Panorama 7.0 管理者ガイド • 171 Panorama を使用した可視化 ネットワークアクティビティのモニター レポートの生成、スケジュール設定、および電子メール送信 ステップ 1 レポートを生成します。 タイプに基づいてレポートを生成する手順は以下のとお りです。 • カスタム レポートを作成します。 a. [Monitor] > [ カスタム レポートの管理 ] の順に選択し ます。 b. Add [ 追加 ] をクリックし、Name [ 名前 ] にレポート の名前を入力します。 c. レポート用の Database [ データベース ] を選択しま す。Panorama や管理対象ファイアウォールのサマ リーデータベースまたは詳細ログを使用できます。 d. [スケジュール設定] チェックボックスをオンにします。 e. フィルタリング基準を定義します。Time Frame [ 期 間 ]、Sort By [ ソート基準 ] の順序、Group By [ グルー プ化基準 ] の設定を選択し、レポートに表示する列 を選択します。 f. (任意)選択基準をさらに絞り込む場合は、Query Builder [ クエリ ビルダー ] 属性を選択します。 g. レポート設定をテストするには、[ 今すぐ実行 ] を選 択します。必要に応じて設定を変え、レポートに表 示される情報を変更します。 h. [OK] をクリックしてカスタム レポートを保存しま す。 • [PDF サマリー レポート ] を実行します。 a. [Monitor] > [PDF レポート ] > [PDF サマリーの管理 ] の 順に選択します。 b. Add [ 追加 ] をクリックし、Name [ 名前 ] にレポート の名前を入力します。 c. 各レポートグループのドロップダウンを使用し、1 つ以上の要素を選択して、PDF サマリー レポートを 設計します。最大 18 のエレメントを含められます。 d. [OK] をクリックして設定を保存します。 ステップ 2 1. Report Group [ レポートグループ ] を 設定します。 2. レポートグループには、事前定義済 みレポート、PDF サマリー レポー 3. ト、およびカスタム レポートを含め ることができます。Panorama は、含 まれているすべてのレポートを 1 つ 4. の PDF に結合します。 5. 6. 172 • Panorama 7.0 管理者ガイド Monitor > PDF Reports > Report Groups [ 監視 > PDF レ ポート > レポートグループ ] の順に選択します。 Add [ 追加 ] をクリックし、レポートグループの Name [ 名前 ] を入力します。 (任意)Title Page [ タイトル ページ ] のチェックボック スを選択して、PDF 出力の Title [ タイトル ] を追加し ます。 定義済みのレポート、PDF サマリーレポート、および カスタム レポートのリストから選択を行います。 Add [ 追加 ] をクリックし、選択したレポートをレポー トグループに含めます。 [OK] をクリックして設定を保存します。 Palo Alto Networks ネットワークアクティビティのモニター Panorama を使用した可視化 レポートの生成、スケジュール設定、および電子メール送信(続) ステップ 3 1. 電子メールサーバーのプロファイル を設定します。 2. 3. [Panorama] > [ サーバープロファイル ] > [ 電子メール ] の 順に選択します。 Add [ 追加 ] をクリックし、プロファイルの Name [ 名前 ] を入力します。 各 SMTP(Simple Mail Transport Protocol)サーバー(4 件 まで)について、Add [ 追加 ] をクリックし、サーバー に接続してメールを送信するために必要な情報を入力 します。 • Name [ 名前 ] — SMTP サーバーを識別する名前(1 ~ 31 文字)。このフィールドは単なるラベルであり、既 存のサーバーのホスト名である必要はありません。 • 電子メール表示名 — 電子メールの [ 送信者 IP] フィー ルドに表示される名前。 • 送信者 — 電子メール通知の送信元の電子メールアド レス。 • 宛先 — 電子メール通知の送信先の電子メールアド レス。 • その他の受信者 — 通知を 2 番目のアカウントに送信 するには、ここに追加のアドレスを入力します。 • Email Gateway [電子メールゲートウェイ] — 電子メー ルの送信に使用する SMTP ゲートウェイの IP アド レスまたはホスト名。 4. ステップ 4 1. レポートの電子メール配信をスケ ジュール設定します。 2. 3. 4. 5. Palo Alto Networks [OK] をクリックしてプロファイルを保存します。 Monitor > PDF Reports > Email Scheduler [ 監視 > PDF レ ポート > 電子メールスケジューラ ] を選択します。 Add [ 追加 ] をクリックし、電子メールスケジューラ プ ロファイルの Name [ 名前 ] を入力します。 レポートの Report Group [ レポートグループ ]、先ほど 作成したメールサーバープロファイル( Email Profile [ 電子メールプロファイル ])、および Recurrence [ 繰り 返し ] を選択します。 電子メール設定が正しいことを確認するには、Send test email [ テスト電子メールの送信 ] をクリックします。 OK をクリックして Commit [ コミット ] をクリックし、 Commit Type [ コミットタイプ ] で Panorama を選択し て、さらに Commit [ コミット ] をクリックします。 Panorama 7.0 管理者ガイド • 173 ユースケース : Panorama を使用したアプリケーションのモニタリング ネットワークアクティビティのモニター ユースケース : Panorama を使用したアプリケーションの モニタリング この例のプロセスでは、現在のポリシーの効率性を評価し、ネットワークの利用規定を強化する ためにポリシーを調整する必要のある箇所を決定します。 Panorama にログインすれば、Dashboard [ ダッシュボード ] の Top Applications [ 上位アプリケーショ ン ] ウィジットで、過去 1 時間で最も使用されたアプリケーションのプレビューを表示できます。 上位アプリケーションのリストにざっと目を通し、各アプリケーションブロックの上にマウスを 置いて詳細を確認できます。または、[ACC] タブに移動して、順番に並んでいるリストで同じ情 報を確認することもできます。以下の画像は、[Dashboard] の [ 上位アプリケーション ] ウィジットの ビューです。 このビューのデータ ソースは、アプリケーション統計データベースです。これには、トラフィッ クログは使用されず、セキュリティルールでログを有効にしているかどうかに関係なく生成され ます。このビューには、ネットワークで許可され、定義したポリシールールでブロックされずに 通過するすべてのトラフィックが表示されます。 Data Source [ データ ソース ] を選択して、Panorama のローカルデータベースに切り替えることも、管 理対象ファイアウォールに問い合わせて(Remote Device Data [ リモートデバイスデータ ])データを 取得することもできます。この情報は、Panorama によって自動的に集約されて表示されます。リ モートデバイスからデータをロードする時間は、表示するデータの期間やネットワーク上で生成 されるトラフィック量によって異なるため、フローを迅速化できるようにデータ ソースとして Panorama を使用する(Panorama へのログ転送を有効にする)ことを検討してください。管理対象 のファイアウォールに PAN-OS 7.0 とそれ以前のバージョンが混在している場合、リモートデバイ スデータは利用できません。 上位アプリケーションのリストに戻ると、bittorrent がよく使用されていることがわかります。こ こで bittorrent アプリケーションのリンクをクリックすると、bittorrent がグローバルフィルター として適用され、ACC の表示が回転してアプリケーション情報、アプリケーションにアクセスし たユーザー、リスク レベルについての詳細情報、アプリケーションの特性が表示されます。 174 • Panorama 7.0 管理者ガイド Palo Alto Networks ネットワークアクティビティのモニター ユースケース : Panorama を使用したアプリケーションのモニタリング User Activity [ ユーザーアクティビティ ] ウィジェットには、BitTorrent を使用しているユーザー数 や生成されるトラフィック量も表示されます。User-ID を有効にしている場合、このトラフィッ クを生成しているユーザーの名前を表示でき、すべてのセッション、コンテンツ、あるいは各 ユーザーに関連する脅威を詳しく確認することができます。Threat Activity [ 脅威アクティビティ ] タブの Compromised Hosts [ 侵入されたホスト ] ウィジェットでどの相関オブジェクトにマッチし たかを表示し、ユーザーおよびアプリケーションに関連する一致の根拠を確認します。また、 Threat Activity [ 脅威アクティビティ ] ウィジェットでは脅威名、カテゴリー、および ID を表示す ることもできます。 BitTorrent セットをグローバルフィルターとして Destination IP Activity [ 宛先 IP のアクティビティ ] および Destination Regions [ 宛先領域 ] ウィジェットとともに使用し、トラフィックの宛先を確認 します。また、この接続を完了させるセキュリティルールおよび進入・退出ゾーンを確認するこ ともできます。 Palo Alto Networks Panorama 7.0 管理者ガイド • 175 ユースケース : Panorama を使用したアプリケーションのモニタリング ネットワークアクティビティのモニター 詳細は、フィルタリングしたビューのトラフィックログ を表示し、使用されたポート、送信 済みパケット、送信済みバイト、信済みバイトを各ログエントリで確認してください。必要に応 じて詳細または概要が表示されるように列を調整します。 [Monitor] > [ アプリケーションスコープ ] > [ トラフィックマップ ] タブにはトラフィック フローの地理マッ プが表示され、受信トラフィックと送信トラフィックを対比したビューが得られます。また、 [Monitor] > [ アプリケーションスコープ ] > [ 変化モニター ] タブを使用して、トラフィック パターンの変 化を表示することもできます。たとえば、この時間に使用された上位のアプリケーションを先週 または先月と比較して、パターンや傾向があるかどうかを判断できます。 明らかになったすべての情報を使用して、ポリシー設定に行う変更を評価できます。以下に、考 慮すべき推奨事項を示します。 Panorama で制限的なプレルールを作成してすべての BitTorrent トラフィックをブロックしま す。次に、Panorama デバイスグループを使用し、このポリシールールを作成して 1 つ以上の ファイアウォールにプッシュします。 帯域幅使用制限を適用して、非ビジネス トラフィックの優先順位を下げる QoS プロファイル およびポリシールールを作成します。Panorama デバイスグループおよびテンプレートを使用 して QoS を設定し、ルールをファイアウォール(複数可)にプッシュします。 ネットワーク資産のリスクを軽減し、リスク ファクタ 4 または 5 のピアツーピアテクノロジ であるファイル共有アプリケーションをすべてブロックするアプリケーションフィルタを作 成します。bittorrent アプリケーションがブロックされるようにアプリケーションフィルタに 含まれていることを確認します。 特定のユーザーのアクティビティやネットワーク上で使用された上位のアプリケーションの アクティビティをまとめるカスタム レポートグループをスケジュール設定し、アクションを 実行する前にもう 1 週間またはもう 2 週間そのパターンを観察します。 特定のアプリケーションをチェックする以外に、上位アプリケーションのリストに不明なアプリ ケーションが入っていないかどうかもチェックします。これらは、定義された App-ID シグネ チャに一致しなかったアプリケーションで、unknown-udp および unknown-tcp として表示されま す。これらの不明なアプリケーションを詳しく調べるには、名前をクリックして未分類トラ フィックの詳細にドリルダウンします。 176 • Panorama 7.0 管理者ガイド Palo Alto Networks ネットワークアクティビティのモニター ユースケース : Panorama を使用したアプリケーションのモニタリング 同じプロセスを使用して、不明なトラフィックを開始したホストの送信元 IP アドレスの上位リ ストと、セッションの確立先だった宛先ホストの IP アドレスを調査します。デフォルトでは、 不明なアプリケーションが検出されると、トラフィックログが記録され、デフォルトでパケット キャプチャ(pcap)が行われます。左側の列の緑の矢印は、アプリケーションデータのパケット キャプチャ の目印です。緑の矢印をクリックすると、ブラウザに pcap が表示されます。 サーバーの IP アドレス(宛先 IP) 、宛先ポート、およびパケット キャプチャが分かっていると、 アプリケーションの識別や、ネットワーク上のアクションの実行方法の決定がしやすくなりま す。たとえば、カスタム アプリケーションを作成して、不明な TCP または UDP トラフィック としてラベルを付ける代わりにこのトラフィックを識別することができます。不明なアプリケー ションの識別の詳細は、「不明なアプリケーション」の記事を参照してください。また、アプリ ケーションを識別するカスタム シグネチャの作成の詳細は、 「カスタム アプリケーションシグネ チャ」の記事を参照してください。 Palo Alto Networks Panorama 7.0 管理者ガイド • 177 ユースケース : Panorama を使用してインシデントに対処 ネットワークアクティビティのモニター ユースケース : Panorama を使用してインシデントに対処 ネットワークの脅威は、ドライブ バイ ダウンロードによるマルウェアやスパイウェアの感染、 フィッシング攻撃、パッチを当てていないサーバー、ランダムまたは標的を定めたサービス拒否 (DoS)攻撃など、さまざまな経路から生じます。ネットワークの攻撃や感染に対応するには、攻 撃について管理者にアラートを通知し、必要な調査の証拠を提供するプロセスやシステムが求め られます。この証拠を活用して、攻撃を開始するために使用された送信元やメソッドを追跡でき ます。 Panorama の利点は、ネットワーク全体の管理対象ファイアウォールから収集されたパターンや ログを一元的な統合ビューに表示できることにあります。自動相関エンジンからの情報は、単独 で使用することも、セキュリティ情報イベント管理(SIEM)から生成されたレポートやログと 併用することもできます。これにより、攻撃のトリガー方法や、今後の攻撃およびネットワーク の損傷による損失を防ぐ方法を調査できます。 このユースケースにより、以下のことを確認できます。 インシデントの通知方法は ? インシデントが誤検知でないことを裏付ける方法は ? 即座に実行するアクションは ? トリガーイベントの前または後のイベントシーケンスを再構築するために利用可能な情報を どのように使用するのか ? ネットワークを保護するために考慮する必要のある変更は ? このユースケースでは、特定のインシデントを追跡し、Panorama の可視化ツールを使用してレ ポートに答える方法を示します。 インシデントの通知 ACC でウィジットを確認 脅威ログの確認 WildFire ログの確認 データフィルタリングログの確認 セキュリティルールの更新 インシデントの通知 インシデントについてアラートを受け取る方法はいくつかありますが、Palo Alto Networks ファイ アウォールの設定方法や、詳細な分析のために使用できるサードパーティ ツールによって異な ります。Panorama または Syslog サーバーに記録されるログエントリによってトリガーされた電 子メール通知を受信したり、SIEM ソリューションで生成される特殊なレポートで通知を受けた り、サードパーティの有料サービスまたはエージェントで通知を付けたりできます。この例で は、Panorama から電子メール通知を受信します。この電子メールにより、Zero Access gent.Gen Command And Control Traffic がスパイウェアシグネチャとマッチしたことを示すアラートによって トリガーされたイベントが通知されます。また、この電子メールには、セッションの送信元およ び宛先 IP アドレス、脅威 ID、イベントがログに記録されたときのタイムスタンプも含まれます。 178 • Panorama 7.0 管理者ガイド Palo Alto Networks ネットワークアクティビティのモニター ユースケース : Panorama を使用してインシデントに対処 ACC でウィジットを確認 ACC> Threat Activity [ACC > 脅威アクティビティ] タブの Compromised Hosts [ 侵入されたホスト ] ウィ ジェットおよび Threat Activity [ 脅威アクティビティ ] をチェックし、重大度が致命的あるいは高 の脅威があるかどうか確認します。 マッチオブジェクトを調べ、マッチ数のリンクをクリックしてそのインシデントの一致の根拠を 確認します。 Palo Alto Networks Panorama 7.0 管理者ガイド • 179 ユースケース : Panorama を使用してインシデントに対処 ネットワークアクティビティのモニター 脅威ログの確認 アラートの調査を開始するには、脅威 ID を使用して、Panorama で脅威ログを検索します( [Monitor] > [ ログ ] > [ 脅威 ]) 。脅威ログから被害者の IP アドレスを検索して、パケット キャプチャ (PCAP、ログエントリの緑の矢印アイコン)をエクスポートし、WireShark などのネットワーク アナライザ ツールを使用して、パケットの詳細を確認できます。HTTP の場合、インシデント を検証するために、プロトコル、疑わしいホスト、URL 文字列、ユーザーエージェント、IP ア ドレスおよびポートの異常な形式または偽の HTTP リファラを検索します。これらの pcap の データは、類似するデータ パターンの検索、カスタム シグネチャの作成、またはセキュリティ ポリシーの変更を行って、今後の脅威への対応を改善する場合にも役立ちます。 この手動レビューの結果、シグネチャが信頼できるという確信がある場合、シグネチャをアラー ト アクションからブロック アクションに移行して、より積極的なアプローチを行うことを検討 してください。攻撃者の IP を IP ブロック リストに追加して、その IP アドレスからのトラフィッ クが今後内部ネットワークに到達しないようにすることを選択する場合もあります。 DNS ベースのスパイウェアシグネチャがある場合、ローカル DNS サーバーの IP アドレスが [ 被 害者 IP] アドレスとして表示される可能性があります。一般的にこの原因は、ファイアウォール がローカル DNS サーバーの外部にあり、DNS クエリで、要求元のクライアントの IP アドレスが 表示される代わりに、ローカル DNS サーバーが送信元 IP として表示されるためです。 この問題が発生した場合、ネットワーク上の感染したホストを識別するために、セキュリティ ルールのアンチスパイウェアプロファイルの DNS シンクホール アクションを有効にします。 DNS シンクホールでは、有害ドメインへのアウトバウンド接続を制御し、DNS クエリを未使用 の内部 IP アドレス(応答を外に出さないシンクホール)にリダイレクトできます。侵入された ホストが有害ドメインへの接続を開始すると、接続要求は、ファイアウォールによって、ユー ザーが定義した IP アドレスにリダイレクトされ、インターネットに送出されるのではなく、シ ンクホールに封じ込められます。これで、シンクホールに接続されたすべてのホストのトラ フィックログを確認して、侵入されたすべてのホストを特定し、是正措置を講じて拡散を防止 できます。 インシデントの調査を続行するには、攻撃者と被害者の IP アドレスに関する情報を使用して、 以下のような詳細情報を確認します。 攻撃者の地理的な場所は ?IP アドレスは個別の IP アドレスと NAT された IP アドレスのどち らか ? イベントの発生原因(Web サイトに誘導されたユーザー、ダウンロード、電子メールで送信 された添付ファイル)は ? マルウェアは伝搬されるのか?ネットワーク上に他に侵入されたホスト/エンドポイントは存 在するのか ? ゼロデイの脆弱性か ? 180 • Panorama 7.0 管理者ガイド Palo Alto Networks ネットワークアクティビティのモニター ユースケース : Panorama を使用してインシデントに対処 各ログエントリの [ ログ詳細 ] には、イベントの [ 関連ログ ] が表示されます。この情報には、 トラフィック、脅威、URL フィルタリングまたはその他のログが示されます。この情報を確認 して、インシデントの原因となったイベントと相関させることができます。たとえば、送信元 IP および宛先 IP として IP アドレスを使用して、トラフィックログ( [Monitor] > [ ログ ] > [ トラフィッ ク ])をフィルタリングし、この被害者の IP アドレスで接続を確立するのに使用したすべての外 部および内部ホスト / クライアントの全体像を把握できます。 WildFire ログの確認 脅威ログの他に被害者の IP アドレスを使用して、WildFire Submissions [WildFire の送信 ] ログを フィルタリングします。[WildFire の送信 ] のログには、分析のために Wildfire サービスにアップ ロードされたファイルに関する情報が含まれています。通常、スパイウェアは密かに組み込まれ るため、被害者が疑わしいファイルを最近ダウンロードしたかどうかを WildFire 送信ログで確認 します。WildFire の調査レポートには、ファイルまたは .exe の取得元 URL やコンテンツの動作に 関する情報が表示されます。これにより、ファイルが有害かどうか、レジストリ キーを変更し たかどうか、ファイルの読み取り / 書き込みを行ったかどうか、新しいファイルを作成したかど うか、ネットワーク接続チャネルを開いたのかどうか、アプリケーションのクラッシュを引き起 こしたかどうか、プロセスを生成したかどうか、ファイルをダウンロードしたかどうか、他の有 害な動作が示されているかどうかがわかります。この情報を使用して、感染を引き起こしたアプ リケーション(web-browsing、SMTP、FTP)をブロックするかどうかを判断し、より厳格な URL フィルタリングポリシーを作成して、一部のアプリケーション / アクション(ファイルのダウン ロードなど)を特定のユーザーグループに限定します。 Panorama から WildFire ログにアクセスするには、WildFire サブスクリプション、セキュリティ ポリシーに添付されたファイルブロッキング プロファイル、および Panorama に転送される脅 威ログが必要です。 Panorama が PAN-OS 7.0 以前のソフトウェアバージョンで動作するファイヤーウォールを管理す る場合、ファイアウォールが送信する WildFire サンプルに対する分析情報を Panorama が収集する のに使用する WildFire サーバーを指定します。Panorama はこの情報を利用し、PAN-OS 7.0 で導 入されたフィールドの値が欠けている WildFire 送信ログを完成させます。それより古いバージョン のファイアウォールはこのフィールドを自動で埋めることはありません。サーバーを指定するに は、 Panorama > Setup > WildFire [Panorama > セットアップ > WildFire] を選択し、General Settings [ 一般設定 ] を編集して WildFire Server [WildFire サーバー] の名前を入力します。デフォ ルトの値は、米国でホストされている WildFire クラウドである wildfire-public-cloud です。 Palo Alto Networks Panorama 7.0 管理者ガイド • 181 ユースケース : Panorama を使用してインシデントに対処 ネットワークアクティビティのモニター WildFire でファイルが有害であると判断された場合、新しいアンチウイルス シグネチャが 24 ~ 48 時間以内に作成され、使用できるようになります。WildFire サブスクリプションがある場合、 次の WildFire シグネチャの更新の一部としてシグネチャが 30 ~ 60 分以内に使用できるようにな ります。マルウェアをブロックするように設定されていれば、Palo Alto Networks 次世代ファイア ウォールでシグネチャを受信するとすぐに、ファイルがブロックされて、ブロックされたファイ ルに関する情報が脅威ログに表示されます。この脅威から保護して、ネットワーク上にマルウェ アが拡散することを防止するために、このプロセスは緊密に統合されています。 データフィルタリングログの確認 データフィルタリングログ(Monitor > Logs > Data Filtering [ 監視 > ログ > データフィルタリング ]) も有害なネットワークアクティビティを調査するための重要なソースです。アラートが通知され るすべてのファイルのログを定期的に確認できますが、ログを使用して、被害者の IP アドレス またはユーザーからの(への)ファイルやデータの転送を追跡したり、トラフィックの方向やフ ロー(サーバーからクライアントまたはクライアントからサーバー)を確認したりすることもで きます。イベントの前または後のイベントを再作成するには、宛先となる被害者の IP アドレス のログをフィルタリングし、ネットワークアクティビティのログを確認します。 Panorama では、すべての管理対象ファイアウォールから情報が集約されるため、ネットワーク 内のすべてのアクティビティの有益な概要を得られます。ネットワーク上のトラフィックを調査 するために使用できるその他の可視化ツールには、Threat Map [ 脅威マップ ]、Traffic Map [ トラ フィックマップ ]、および Threat Monitor [ 脅威モニター] などがあります。脅威マップやトラフィッ クマップ(Monitor > AppScope > Threat Map [ 監視 > アプリケーションスコープ > 脅威マップ ] または Traffic Map [ トラフィックマップ ])では、受信トラフィックおよび送信トラフィックの地理的な 地域を可視化できます。これは、外部からの潜在的な攻撃(DDoS 攻撃など)を示す可能性のあ る異常なアクティビティを表示する場合に特に役立ちます。たとえば、東ヨーロッパのビジネス トランザクションは多くないのに、マップでその地域へのトラフィックが異常なレベルを示して いる場合、マップの対応するエリアをクリックして、上位アプリケーション、セッション数に関 するトラフィックの詳細、送受信バイト数、上位の送信元および宛先、ユーザーまたは IP アド 182 • Panorama 7.0 管理者ガイド Palo Alto Networks ネットワークアクティビティのモニター ユースケース : Panorama を使用してインシデントに対処 レス、検出された脅威(存在する場合)の重大度に関する ACC 情報を起動して表示します。脅 威モニター( [Monitor] > [ アプリケーションスコープ ] > [ 脅威モニター ])には、ネットワーク上の上位 10 個の脅威やネットワーク上の上位の攻撃者または上位の被害者のリストが表示されます。 セキュリティルールの更新 明らかになったすべての情報を使用して、ネットワークに対する脅威の影響(攻撃の規模、送信 元、侵入されたホスト、リスク ファクタ)を把握し、実施する変更(存在する場合)を評価で きます。以下に、考慮すべき推奨事項を示します。 DoS 保護プロファイルを強化して、ランダム早期ドロップを設定したり、TCP フラッドの SYN Cookie を破棄したりして、DDoS 攻撃を未然に防ぎます。ICMP および UDP トラフィックを 制限することを検討してください。ログで発見した傾向およびパターンに基づいて、使用で きるオプションを評価し、Panorama テンプレートを使用して変更を実装します。 ダイナミック ブロック リスト(Objects > Dynamic Block Lists [ オブジェクト > ダイナミック ブ ロック リスト ])を作成して、複数の情報源(独自の脅威ログの分析、特定の IP アドレスか らの DDoS 攻撃、またはサードパーティの IP ブロック リスト)で明らかになった特定の IP アドレスをブロックします。 リストは、テキストファイルで、Web サーバー上に置かれている必要があります。Panorama のデバイスグループを使用して、オブジェクトを管理対象ファイアウォールにプッシュし、 ファイアウォールが Web サーバーにアクセスして、定義した頻度でリストをインポートでき るようにします。ダイナミック ブロック リストを作成したら、送信元および宛先フィールド のアドレスオブジェクトを使用して、定義した IP アドレス、範囲、またはサブネットからの (への)トラフィックをブロックするセキュリティルールを定義します。このアプローチで は、問題を解決してポリシーのより大きな変更を行ってネットワークを保護するまで侵入者 をブロックできます。 共有ポリシールールまたはデバイスグループルールを作成して、感染を引き起こした特定の アプリケーション(web-browsing、SMTP、FTP)をブロックするかどうかを判断し、より厳格 な URL フィルタリングポリシーを作成して、一部のアプリケーション / アクション(ファイ ルのダウンロードなど)を特定のユーザーグループに限定します。 Panorama では、デバイス コンテキストに切り替えて、ネットワーク上でボットネットに感染 している可能性のあるホストを特定する Botnet レポートを得られるよう、ファイアウォール を設定する事ができます。 Palo Alto Networks Panorama 7.0 管理者ガイド • 183 ユースケース : Panorama を使用してインシデントに対処 184 • Panorama 7.0 管理者ガイド ネットワークアクティビティのモニター Palo Alto Networks Panorama の高可用性 Panorama の高可用性(HA)は、システム障害またはネットワーク障害が発生した場合に、グ ループ(2 つのデバイス クラスタ)に配置された 2 つの Panorama サーバーで冗長性を提供する 設定です。HA の Panorama では、ファイアウォールを中央管理しモニターするタスクが続行し、 ネットワークのセキュリティが確保されます。 Panorama HA の前提条件 HA 設定の Panorama での優先度とフェイルオーバー フェイルオーバーのトリガー Panorama HA でのロギングに関する考慮事項 Panorama HA ピア間の同期 Panorama HA ペアの管理 Palo Alto Networks Panorama 7.0 管理者ガイド • 185 Panorama HA の前提条件 Panorama の高可用性 Panorama HA の前提条件 HA の Panorama を設定するには、以下の要件を満たす同一の Panorama サーバーのペアが必要です。 The same form factor [ 同じフォーム ファクタ ] — 両方がハードウェアベース アプライアンス (M-Series アプライアンス)またはバーチャルアプライアンスである必要があります。各 M-Series アプライアンスは同じモデルでなければなりません(両方とも M-100 アプライアンス あるいは両方とも M-500 アプライアンス)。HA では、M-Series アプライアンスは Panorama モー ドである必要があります。ログコレクタモードの M-Series アプライアンスでは、HA はサポー トされません。 The same Panorama OS version [ 同じ Panorama OS バージョン ] — 設定情報を同期し、等価 性を保持してシームレスなフェイルオーバーを行うには、同じバージョンの Panorama を実 行する必要があります。 The same set of licenses [ 同じライセンス セット ] — 同じデバイス管理容量のライセンスを 持っている必要があります。 (Panorama virtual appliance only) Unique serial number [(Panorama バーチャルアプライアンス のみ)一意のシリアル番号 ] — 一意のシリアル番号が必要です。両方の Panorama インスタン スのシリアル番号が同じの場合、問題が解決されるまでインスタンスがサスペンド モードに なります。 HA 設定の Panorama サーバーはピアであり、一部の例外を除き、デバイスの中央管理にどちら のピア(アクティブまたはパッシブ)も使用できます(「Panorama HA ピア間の同期」を参照) 。 HA ピアでは、管理対象デバイスにプッシュされる設定要素を同期し、状態に関する情報を管理 するために、管理ポートが使用されます。通常、Panorama HA ピアは、地理的に異なるサイトに 配置されているため、各ピアに割り当てられる管理ポートの IP アドレスがネットワークを経由 できることを確認する必要があります。HA 接続では、暗号化が有効になっている状態で TCP ポート 28 が使用されます。暗号化が有効になっていない場合、HA 接続および HA ピア間の設 定の同期にポート 28769 および 28260 が使用されます。ピア間の最大遅延は 50 ミリ秒です。遅 延を確認するには、通常トラフィックの期間中に Ping を使用します。 186 • Panorama 7.0 管理者ガイド Palo Alto Networks Panorama の高可用性 HA 設定の Panorama での優先度とフェイルオーバー HA 設定の Panorama での優先度とフェイルオーバー HA ペアの各 Panorama ピアには、優先度の値が割り当てられます。優先度の値がプライマリま たはセカンダリのどちらであるかによって、管理およびログ管理のメインポイントとなる Panorama ピアが決まります。プライマリとして設定されたピアはアクティブ状態となり、セカ ンダリピアはパッシブになります。アクティブピアは、設定のすべての変更を処理して管理対象 ファイアウォールにプッシュします。パッシブピアは、設定を変更できず、管理対象ファイア ウォールに設定をプッシュすることもできません。ただし、レポートまたはログクエリの実行に は、どちらのピアも使用できます。 アクティブ デバイスのパス、リンク、システム、またはネットワークで障害が発生した場合は、 パッシブピアが同期され、いつでもアクティブ状態に移行できるよう維持されます。 フェイルオーバーが発生すると、デバイスの状態(アクティブまたはパッシブ)のみが変更し、 優先度(プライマリまたはセカンダリ)は変更しません。たとえば、プライマリピアで障害が発 生すると、状態が active-primary から passive- primary に変わります。 以下の 2 つの例外を除き、すべての機能は active-secondary 状態のピアで実行できます。 ライセンスの更新や管理対象ファイアウォールでのソフトウェアのアップグレードなど、デ バイスの導入機能は管理できません。 優先度を手動でプライマリに変更するまでは、NFS にロギングできません(Panorama バーチャ ルアプライアンスのみ)。 以下の表に、状態と優先度設定に基づく Panorama の機能の一覧を示します。 Palo Alto Networks Panorama 7.0 管理者ガイド • 187 HA 設定の Panorama での優先度とフェイルオーバー Panorama の高可用性 詳細は、 「Panorama HA の前提条件」および「Panorama での HA のセットアップ」を参照してく ださい。 188 • Panorama 7.0 管理者ガイド Palo Alto Networks Panorama の高可用性 フェイルオーバーのトリガー フェイルオーバーのトリガー アクティブ デバイスで障害が発生すると、パッシブ デバイスがファイアウォールの管理タスク を引き継ぎますが、このイベントをフェイルオーバーと呼びます。アクティブ デバイスのモニ ター対象メトリックに障害が発生すると、フェイルオーバーがトリガーされます。この障害によ り、プライマリPanorama の状態が active-primary から passive-primary に変わり、セカンダリ Panorama が active-secondary になります。 フェイルオーバーが引き起こされる条件は、以下のとおりです。 Panorama ピア間で通信できず、アクティブピアがヘルス ポーリングおよび状態ポーリングに 応答しない。使用されるメトリックは HA ハートビートポーリングおよび Hello メッセージ。 Panorama ピア間で通信できない場合は、フェイルオーバーがトリガーされる前に、デバイス がアクティブピアにまだ接続されているかどうかがモニターされます。このチェックは、フェ イルオーバーを回避して両方の Panorama ピアがアクティブ状態になるスプリットブレイン現 象を防止するのに役立ちます。 アクティブピアで指定された 1 つ以上の宛先(IP アドレス)に到達できない。使用されるメ トリックは HA パスモニタリング。 上記のフェイルオーバーのトリガー条件に加えて、管理者がデバイスをサスペンド状態にした場 合、またはプリエンプションが発生した場合も、フェイルオーバーがトリガーされます。プリエ ンプションは、障害(またはユーザーが開始したサスペンド)から回復した後でアクティブな動 作を再開するための、プライマリ Panorama の設定です。デフォルトではプリエンプションが有 効になっており、プライマリ Panorama が障害から回復して使用可能になると、セカンダリ Panorama は制御を放棄し、パッシブ状態に戻ります。プリエンプションが発生すると、そのイ ベントがシステムログに記録されます。 NFS データストアにロギングしている場合は、 (NFS にマウントされた)プライマリピアでアク ティブ ロールが再開し、NFS データストアへの書き込みが許可されるため、プリエンプション を無効にしないでください。他のすべての導入では、特定のデバイスを確実に優先アクティブ デバイスにする場合のみ、プリエンプションが必要です。 HA ハートビートポーリングおよび Hello メッセージ HA ピアでは、Hello メッセージおよびハートビートを使用して、ピアの応答状態と動作状態を 確認します。設定した「Hello 間隔」で Hello メッセージがピアの一方から他方へ送信され、他方 の状態を確認します。ハートビートは HA ピアに対する ICMP ping で、ピアがこの ping に応答す ることによって、デバイスの接続および応答状態が確立します。デフォルトのハートビート間隔 は 1000 ミリ秒、Hello メッセージ間隔は 8000 ミリ秒です。 HA パスモニタリング パスモニタリングは、ある IP アドレスあるいは IP アドレスのグループ(パスグループ)のネッ トワーク接続およびリンクの状態をチェックします。アクティブピアでは、ICMP ping を使用し て、1 つ以上の宛先 IP アドレスに到達できることが確認されます。たとえば、ルーターまたは スイッチなどの相互接続されたネットワークデバイスの可用性、サーバーへの接続状態、または トラフィック フロー中に存在する他のいくつかの主要デバイスへの接続状態をモニタリングで Palo Alto Networks Panorama 7.0 管理者ガイド • 189 フェイルオーバーのトリガー Panorama の高可用性 きます。モニタリング中のノード / デバイスが応答していない可能性がある場合、特に負荷があ る場合は、パスモニタリング障害の原因となり、フェイルオーバーがトリガーされるため、この ような状態でないことを確認します。 デフォルトの ping 間隔は 5000 ミリ秒です。3 回 ( デフォルト値 ) 連続して ping に失敗すると、そ の IP アドレスに到達不可能とみなされ、モニターする IP アドレスの一部またはすべてに到達不 可能となった場合は、デバイス障害がトリガーされます。デフォルトでは、いずれかの IP アド レスが到達不可能になると、HA 状態が non-functional に変わります。 190 • Panorama 7.0 管理者ガイド Palo Alto Networks Panorama の高可用性 Panorama HA でのロギングに関する考慮事項 Panorama HA でのロギングに関する考慮事項 HA 設定での Panorama のセットアップでは、ログ収集の冗長性が提供されます。管理対象デバ イスは SSL 経由で両方の Panorama ピアに接続されるため、状態が変化すると、各 Panorama から 管理対象デバイスにメッセージが送信されます。Panorama HA 状態がデバイスに通知され、ログ を適宜転送できます。 デフォルトでは、管理対象デバイスが Panorama(M-Series アプライアンスおよび Panorama バーチャルアプライアンス)に接続できない場合にログがバッファされ、接続が復元されると、 最後に残された場所から送信が再開されます。 ロギング オプションは、ハードウェアベースの Panorama と Panorama バーチャルアプライアンス とで異なります。 Panorama バーチャルアプライアンスでのロギングのフェイルオーバー M-Series アプライアンスのログのフェイルオーバー Panorama バーチャルアプライアンスでのロギングのフェイルオーバー Panorama バーチャルアプライアンスには、以下のログフェイルオーバー オプションがあります。 ログ保存エリアタイプ 内容 仮想ディスク デフォルトでは、管理対象デバイスから各 Panorama HA ピアに独立したログスト リームとしてログが送信されます。ピアが使用不可能になると、デフォルトによ り、管理対象デバイスでログがバッファされ、ピアが再接続された時点で、中断 した時点からログ送信が再開されます(再開時点はディスクストレージ容量およ び切断期間に左右されます)。 仮想ディスクへのロギングによって、ログの冗長性を実現できます。ただし、ロ グ保存エリアの最大容量は 2 TB です。 アクティブピアにのみログを転送するオプションも設定可能です(「ログ 転送とバッファのデフォルトの変更」を参照) 。ただし、Panorama では HA ペアにまたがったログの集約はサポートされていません。このため、モニ タリングまたはレポート作成用に仮想ディスクまたはローカルディスク にロギングしている場合は、管理対象デバイスからログを収集している Panorama ピアに対してクエリを実行する必要があります。 ネットワークファイル共有 NFS を使用するように設定した場合は、active-primary デバイスのみが NFS ベース (NFS) のログパーティションにマウントされ、ログを受信できます。フェイルオーバー 時には、プライマリデバイスが passive-primary 状態になります。この場合、プリ エンプションが行われるまで、active-secondary の Panorama でデバイスが管理され ますが、ログは受信せず、NFS に書き込むこともできません。active-secondary ピ アから NFS へのログを許可するには、そのピアを手動でプライマリに切り替え、 NFS パーティションにマウントできるようにする必要があります。手順は、 「Panorama のフェイルオーバーにより NFS ロギングが再開された後の優先度の切 り替え」を参照してください。 Palo Alto Networks Panorama 7.0 管理者ガイド • 191 Panorama HA でのロギングに関する考慮事項 Panorama の高可用性 M-Series アプライアンスのログのフェイルオーバー M-Series アプライアンスのペア(Panorama モードであることが必要)を使用している場合、アク ティブまたはパッシブに関係なく、管理対象デバイスからログを送信できるのは HA ペアの 1 つ のピアのみです。仮想 Panorama 導入と異なり、両方のピアにログを送信するようにデバイスを 設定することはできません。ただし、M-Series アプライアンスのディスクで RAID を有効にする と、ディスク障害およびログの損失に対する保護になります。 管理対象デバイスから専用ログコレクタにログを送信する分散ログ収集を設定した場合、HA の Panorama ピアは、すべての管理対象ログコレクタに対してクエリを発行し、ログ情報を収集し ます。 詳細は、 「Panorama HA の前提条件」および「Panorama での HA のセットアップ」を参照してく ださい。 192 • Panorama 7.0 管理者ガイド Palo Alto Networks Panorama の高可用性 Panorama HA ピア間の同期 Panorama HA ピア間の同期 Panorama HA ピアでは、アクティブな Panorama ピアの変更をコミットするたびに、実行中の設 定が同期されます。候補設定は、アクティブピアで設定を保存するたび、またはフェイルオー バーが発生する直前にピア間で同期されます。 共有オブジェクトおよびポリシールール、デバイスグループのオブジェクトおよびルール、テン プレート設定、管理アクセス設定など、ペア全体に共通する設定は、Panorama HA ピア間で同期 されます。 以下のような各ピアに固有の設定は、同期されません。 Panorama HA 設定 — 優先度の設定、ピア IP アドレス、パスモニタリングのグループおよび IP アドレス Panorama 設定 — 管理ポートの IP アドレス、FQDN 設定、ログインバナー、NTP サーバー、 タイム ゾーン、地理的な位置、DNS サーバー、Panorama にアクセスするためのアクセス許可 IP アドレス、SNMP(Simple Network Management Protocol)システム設定 スケジュール設定された設定のエクスポート ロギング用の NFS パーティション設定およびすべてのディスク割り当て Panorama ローカルストレージ(SSD)でのタイプが異なるログおよびデータベースのディス ク割り当て Panorama で秘密鍵と証明書の暗号化にマスター キーを使用する場合は、両方の HA ピアで、 同じマスター キーを使用する必要があります。マスター キーが異なると、HA ピア間の同期が 行われません。 詳細は、「Panorama HA の前提条件」および「Panorama での HA のセットアップ」を参照してく ださい。 Palo Alto Networks Panorama 7.0 管理者ガイド • 193 Panorama HA ペアの管理 Panorama の高可用性 Panorama HA ペアの管理 Panorama での HA のセットアップ Panorama HA フェイルオーバーのテスト Panorama のフェイルオーバーにより NFS ロギングが再開された後の優先度の切り替え プライマリ Panorama のアクティブ状態への復元 ソフトウェアまたはコンテンツアップデートをインストールする方法については HA 構成の Panorama にアップデートをインストールをご覧ください。 Panorama での HA のセットアップ Panorama HA の前提条件を確認してから、以下の手順を実行します。 Panorama での HA のセットアップ ステップ 1 Panorama ピア間の通信には、MGT ポートが使用されます。 HA ピアで MGT ポート間の接続を HA ペアの Panorama サーバーの MGT ポートに割り当てる IP アドレスがルーティング可能であり、Panorama ピア間の セットアップします。 通信をネットワーク経由で行えることを確認します。MGT ポートを設定するには、Panorama バーチャルアプライアン スの初期設定の実行あるいは M-Series アプライアンスの初 期設定を参照してください。 ペアのうちどちらかのデバイスを選択して、以下のタスク を完了します。 ステップ 2 1. HA を有効化し、必要に応じて HA 接 続の暗号化を有効にします。 2. 3. 4. 5. 194 • Panorama 7.0 管理者ガイド [Panorama] > [ 高可用性 ] を選択し、[ セットアップ ] セク ションを編集します。 [HA の有効化 ] を選択します。 [ ピア HA IP アドレス ] フィールドに、ピアデバイスに 割り当てられた IP アドレスを入力します。 [ ホールド タイムのモニター ] フィールドに、制御リンク 障害に反応するまでにシステムが待機する時間 ( ミリ 秒 ) を入力します ( 有効範囲は 1000 ~ 60000、デフォル トは 3000)。 暗号化を行わない場合は、[ 暗号化を有効 ] チェックボッ クスをオフにして、[OK] をクリックします。それ以上 の操作は不要です。暗号化を行う場合は、[ 暗号化を有 効 ] チェックボックスをオンにして、[OK] をクリック し、以下のタスクを実行します。 a. [Panorama] > [ 証明書の管理 ] > [ 証明書 ] の順に選択し ます。 b. [HA キーのエクスポート ] を選択します。ピアデバイ スがアクセスできるネットワーク上の場所に、HA キーを保存します。 c. ピアデバイスで [Panorama] > [ 証明書の管理 ] > [ 証明 書 ] に移動し、[HA キーのインポート ] を選択してキー を保存した場所を検索し、そのキーをインポートし ます。 Palo Alto Networks Panorama の高可用性 Panorama HA ペアの管理 Panorama での HA のセットアップ(続) ステップ 3 HA 優先度を設定します。 1. Panorama > High Availability [Panorama > 高可用性 ] の Election Settings [ 選択設定 ] セクションを編集します。 2. Device Priority [ デバイス優先度 ] を Primary [ プライマ リ ] または Secondary [ セカンダリ ] として定義します。 1 つのピアをプライマリとして設定し、もう 1 つをセカ ンダリとして設定してください。 両方のピアを同じ優先度に設定すると、シリ アル番号が高いピアがサスペンド状態になり ます。 プリエンプティブ動作を定義します。デフォルトでは、 プリエンプションが有効になっています。プリエンプ ションの選択(有効または無効)は、両方のピアで同 じにする必要があります。 ロギングに NFS を使用しており、プリエンプ ションを無効にした場合に、NFS へのロギング を再開するには、Panorama のフェイルオーバー により NFS ロギングが再開された後の優先度の 切り替えを参照してください。 3. ステップ 4 モニターするノードを含む各パスグループについて、以下 パスモニタリングを設定するには、 の手順を実行します。 1 つ以上のパスグループを定義し 1. Panorama > High Availability [Panorama > 高可用性 ] を選 ます。 択し、Path Group [ パスグループ ] セクションで、Add [ 追加 ] をクリックします。 パスグループには、ネットワーク接 続 を 確 認 す る た め に Panorama で 2. [ 名前 ] に、パスグループの名前を入力します。 ping する必要のある宛先 IP アドレ 3. このグループの [ 失敗条件 ] を選択します。 ス(ノード)が表示されます。 • [ いずれか ] を指定すると、いずれかの IP アドレス に到達できなくなった場合に、リンク モニタリング 障害がトリガーされます。 • [ すべて ] を指定すると、どの IP アドレスにも到達 できない場合にのみ、リンク モニタリング障害がト リガーされます。 4. 5. 監視する各宛先 IP アドレスを Add [ 追加 ] します。 [OK] をクリックします。[ パスグループ ] セクションに 新しいグループが表示されます。 ステップ 5 1. (任意)Panorama でパスモニタリン グ用の失敗条件を選択します。 2. Panorama > High Availability [Panorama > 高可用性 ] を選 択し、Path Monitoring [ パスモニタリング ] セクション を編集します。 Failure Condition [ エラー条件 ] を選択します。 • [ すべて ] を指定すると、すべてのモニター対象パス グループが失敗した場合にのみ、フェイルオーバー がトリガーされます。 • [ いずれか ] を指定すると、いずれかのモニター対象 パスグループが失敗した場合に、フェイルオーバー がトリガーされます。 3. ステップ 6 設定の変更を保存します。 Palo Alto Networks [OK] をクリックします。 Commit [ コミット ] をクリックし、Commit Type [ コミット タイプ ] で Panorama を選択して、さらに Commit [ コミッ ト ] をクリックします。 Panorama 7.0 管理者ガイド • 195 Panorama HA ペアの管理 Panorama の高可用性 Panorama での HA のセットアップ(続) ステップ 7 他の Panorama ピアを設定します。 ステップ 8 Panorama サーバーが HA でペアに なっていることを確認します。 HA ペアのもう一方のピアでステップ 2 ~ステップ 6 を実 行します。 HA の両方の Panorama サーバーの設定が完了したら、以下 の手順を実行します。 1. 各 Panorama で Dashboard [ ダッシュボード ] にアクセス し、High Availability [ 高可用性 ] ウィジェットを表示し ます。 2. Panorama サーバーがペアになっており、なおかつ同期 されていることを確認します。 • アクティブ Panorama — [ ローカル ] ピアの状態は [ ア クティブ ]、[ 実行コンフィグ ] は [ 同期済み ] になって いる必要があります。 • パッシブ Panorama — [ ローカル ] ピアの状態は [ パッ シブ ]、[ 実行コンフィグ ] は [ 同期済み ] になっている 必要があります。 Panorama HA フェイルオーバーのテスト HA 設定が正しく動作することをテストするには、手動でフェイルオーバーをトリガーして、ピ アの状態が正しく移行することを確認します。 Panorama HA フェイルオーバーのテスト ステップ 1 アクティブな Panorama ピアにログ インします。 ステップ 2 アクティブな Panorama ピアをサス ペンド状態にします。 ステップ 3 パ ッ シ ブ な Panorama ピ ア が ア ク ティブとして引き継がれていること を確認します。 ステップ 4 サスペンドされたピアを稼働状態に 戻します。プリエンプティブを有効 にしている場合は、しばらく待って からプリエンプションが発生してい ることを確認します。 196 • Panorama 7.0 管理者ガイド Panorama サーバーの状態は、Web インターフェイスの右下 隅で確認できます。 [Panorama > 高可用性 ] の順に選択し、Operational Commands [ 操作コマンド ] セクションの Suspend local Panorama [ ロー カル Panorama をサスペンド ] リンクをクリックします。 Panorama の [Dashboard] の [ 高可用性 ] ウィジェットで、 [ ローカル ] パッシブサーバーの状態が [ アクティブ ] に、[ ピ ア ] の状態が [ サスペンド ] になっていることを確認します。 Panorama で、以下のように以前にサスペンドしています。 1. [Panorama > 高可用性 ] を選択し、Operational Commands [ 操作コマンド ] セクションで、Make local Panorama functional [ ローカル Panorama を稼働状態にする ] をク リックします。 2. Dashboard [ ダッシュボード ] の High Availability [ 高可用 性 ] ウィジェットで、この(ローカルの)Panorama が アクティブピアとして引き継がれ、他のピアがパッシ ブ状態に変わっていることを確認します。 Palo Alto Networks Panorama の高可用性 Panorama HA ペアの管理 Panorama のフェイルオーバーにより NFS ロギングが再開された後の優先 度の切り替え ネットワークファイル共有(NFS)に基づいたロギング方式は、Panorama バーチャルアプラ イアンスでのみサポートされています。 ネットワークファイル共有(NFS)に基づいたロギング方式を使用するように Panorama HA ペア を設定すると、プライマリ Panorama ピアのみが NFS ベースのパーティションにマウントされ、 NFS に書き込むことができます。フェイルオーバーが発生すると、パッシブ Panorama がアクティ ブになり、active-secondary 状態になります。セカンダリ Panorama ピアでは、デバイスをアクティ ブに管理することはできますが、NFS パーティションを所有していないため、ログの受信や NFS への書き込みはできません。管理対象デバイスからプライマリ Panorama ピアにログを転送でき ないと、各デバイスのローカルディスクにログが書き込まれます。デバイスでは、passive-primary Panorama が再び使用可能になったときログの転送を再開できるように、Panorama に転送された 最後のログエントリ セットを指すポインタが保持されています。 NFS パーティションへのロギングを開始できるように active-secondary Panorama ピアで優先度を 手動で切り替えるには、このセクションの手順を使用します。通常、以下の場合に、この変更を トリガーする必要があります。 プリエンプションが無効になっている。デフォルトでは、Panorama でプリエンプションが有 効になっており、再び使用可能になるとプライマリピアがアクティブに戻ります。プリエン プションが無効になっている場合は、セカンダリピアで優先度をプライマリに切り替えて、 NFS パーティションのマウント、管理対象デバイスからのログの受信、NFS パーティション への書き込みを行えるようにする必要があります。 アクティブ Panorama が失敗し、短期間で障害から回復できない。優先度を切り替えないと、ファ イアウォールでログストレージの最大容量に達した場合に、 ローカルディスクへのロギングを続 行するために最も古いログが上書きされます。このため、ログが失われる可能性があります。 Panorama のフェイルオーバーにより NFS ロギングが再開された後の優先度の切り替え ステップ 1 現在の passive-primary Panorama にログインして、[Panorama ] > [ セットアップ ] > [ 操作 ] の順に選択 し、[ デバイスの操作 ] セクションで [Panorama のシャットダウン ] をクリックします。 ステップ 2 active-secondary Panorama にログインして、[Device] > [ 高可用性 ] の順に選択して、[ 選択設定 ] の編 集で [ 優先順位 ] を [ プライマリ ] に設定します。 ステップ 3 OK をクリックして Commit [ コミット ] をクリックし、 Commit Type [ コミットタイプ ] で Panorama を選択して、さらに Commit [ コミット ] をクリックします。プロンプトが表示されても再起動し ないでください。 ステップ 4 Panorama CLI へのログインを行い、以下のコマンドを入力して、NFS パーティションの所有者を このピアに変更します。request high-availability convert-to-primary ステップ 5 [Panorama ] > [ セットアップ ] > [ 操作 ] の順に選択し、[ デバイスの操作 ] セクションで [Panorama の再起動 ] をクリックします。 ステップ 6 ステップ 1 でパワーオフした Panorama ピアをパワーオンします。これで、このピアが passive-secondary 状態になります。 Palo Alto Networks Panorama 7.0 管理者ガイド • 197 Panorama HA ペアの管理 Panorama の高可用性 プライマリ Panorama のアクティブ状態への復元 デフォルトでは、Panorama のプリエンプティブ機能により、プライマリ Panorama が使用可能に なった時点で、アクティブピアとして機能を再開できます。ただし、プリエンプションが無効な 場合に、障害、非稼働、またはサスペンド状態から回復した後でプライマリ Panorama を強制的 にアクティブにするには、セカンダリ Panorama ピアをサスペンドする必要があります。 active-secondary Panorama は、自身がサスペンド状態になる前に、候補設定をパッシブ デバイスに 転送して、コミットされていないすべての設定変更を保存し、他のピアからアクセスできるよう にします。 セカンダリ Panorama のサスペンド ステップ 1 Panorama をサスペンドします。 1. 2. ステップ 2 ユーザーの要求によりデバイスがサ スペンドされた状態であることが表 示されていることを確認します。 サスペンド状態にする Panorama ピアにログインしま す。 Panorama > High Availability [Panorama > 高可用性 ] の順 に選択し、Operational Commands [ 操作コマンド ] セク ションの Suspend local Panorama [ ローカル Panorama を サスペンド ] リンクをクリックします。 [Dashboard] の [ 高可用性 ] ウィジットで、[ ローカル ] 状態が [ サスペンド ] になっていることを確認します。 ピアをサスペンドするとフェイルオーバーがトリガーされ、 他の Panorama がアクティブピアとして引き継がれます。 プライマリ Panorama の稼働状態への復元 ステップ 3 1. サスペンドされた Panorama を稼働 状態に戻します。 2. 198 • Panorama 7.0 管理者ガイド [Panorama] > [ 高可用性 ] タブの [ 操作コマンド ] セク ションで、[ ローカル Panorama を稼働状態にする ] リンク をクリックします。 [Dashboard] の [ 高可用性 ] ウィジットで、デバイスが アクティブ状態またはパッシブ状態に変わったことを 確認します。 Palo Alto Networks Panorama の管理 このセクションでは、Panorama を管理および維持する方法について説明します。このセクショ ンは、以下のトピックで構成されています。 設定バックアップファイルの管理 Panorama の設定変更の比較 Panorama 設定の検証 設定の変更へのアクセス制限 Panorama にカスタムロゴを追加 Panorama のタスク完了履歴の表示 ログおよびレポートのストレージ割り当ておよび有効期間を管理 Panorama のモニタリング Panorama の再起動またはシャットダウン Panorama のパスワードプロファイルおよび複雑性の設定 初期セットアップ(ネットワークアクセス設定の定義、ライセンス、Panorama ソフトウェア バージョンのアップグレード、Panorama への管理アクセスのセットアップなど)を実行する 手順の詳細は、「Panorama のセットアップ」を参照してください。 Palo Alto Networks Panorama 7.0 管理者ガイド • 199 設定バックアップファイルの管理 Panorama の管理 設定バックアップファイルの管理 設定バックアップファイルは、システム設定のスナップショットです。システム障害や設定ミス があった場合、設定バックアップファイルを使用することで、Panorama を以前保存したバージョ ンの設定に復元できます。Panorama では、管理対象ファイアウォールや Panorama の設定バック アップファイルを管理できます。 管理対象デバイスの設定バックアップファイルの管理 — Panorama では、PAN-OS バージョン 5.0 以降を実行している管理対象ファイアウォールにコミットされるすべての設定の変更が 自動的に保存されます。デフォルトでは、ファイアウォールごとに最大 100 個のバージョン が Panorama に保存されます。この値は設定可能です。 Panorama の設定バックアップファイルの管理 — 必要に応じて、Panorama の実行中の設定を 手動でエクスポートできます。 設定ファイルパッケージのエクスポート — Panorama では、Panorama の実行中の設定に加え て、すべての管理対象ファイアウォールの実行中の設定のバックアップが保存されます。要 求時または [ スケジュール設定された設定のエクスポート ] 機能を使用してエクスポートをスケ ジュール設定することで、Panorama および管理対象ファイアウォールの最新バージョンの設 定バックアップの gzip パッケージを生成できます。パッケージは、FTP または Secure Copy (SCP)サーバーに毎日送信されるようにスケジュール設定できます。パッケージ内のファイ ルは XML フォーマットで、各ファイルの名前には、識別しやすいようにファイアウォールの シリアル番号が含まれています。 以下のタスクを実行して、設定バックアップを管理できます。 設定ファイルのエクスポートのスケジュール設定 Panorama およびファイアウォールの設定のバックアップを管理 Panorama に保存される設定バックアップファイルの数の設定 管理対象ファイアウォールでの設定バックアップファイルのロード 200 • Panorama 7.0 管理者ガイド Palo Alto Networks Panorama の管理 設定バックアップファイルの管理 設定ファイルのエクスポートのスケジュール設定 Panorama は管理対象のすべてのファイアウォールのアクティブな設定と併せて、自身の現在ア クティブな設定のバックアップも保存します。このバックアップは、 (Panorama あるいはファイ アウォール)のシリアル番号に基づいて決定されたファイル名が付いた XML フォーマットで保 存されます。バックアップをリモートホストに定期的にエクスポートする方法は次の通りです。 Panorama はバックアップを単一の gzip ファイルとしてエクスポートします。エクスポートのス ケジューリングを行うにはスーパーユーザー権限が必要です。 Panorama で高可用性(HA)が設定されている場合は、各ピアで以下の手順を実行して、フェ イルオーバー後もスケジュール設定されたエクスポートが継続して実行されるようにする必要 があります。Panorama は、スケジュール設定されたエクスポートを HA ピア間で同期しません。 設定ファイルのエクスポートのスケジュール設定 ステップ 1 Panorama > Scheduled Log Export [Panorama > スケジューリングされた設定のエクスポート ] の順 に選択し、Add [ 追加 ] をクリックします。 ステップ 2 スケジュール設定するエクスポートファイルの Name [ 名前 ] および Description [ 説明 ] を入力し、 Enable [ 有効化 ] します。 ステップ 3 日時のエクスポートの予定開始時間を 24 時間形式で入力するか、ドロップダウンリストから選択 を行います。 ステップ 4 エクスポート Protocol [ プロトコル ] を Secure Copy(SCP)あるいはファイル転送プロトコル(FTP) に設定します。 ステップ 5 サーバーにアクセスするための詳細情報を入力します。ファイルのアップロードに使用する Hostname [ ホスト名 ] あるいは IP アドレス、Port [ ポート ]、Path [ パス ]、および Username [ ユー ザー名 ] と Password [ パスワード ] などです。 ステップ 6 (SCP のみ)Test SCP server connection [SCP サーバー接続のテスト ] をクリックします。データの 安全な転送を有効にするには、SCP サーバーのホスト キーを確認して受け入れる必要がありま す。ホスト キーを承認するまでの間、Panorama は接続を確立シません。Panorama で HA が設定 されている場合は、各ピアで以下の手順を実行し、それぞれが SCP サーバーのホスト キーを承 認するようにします。Panorama から SCP サーバーに正常に接続できた場合、ssh-export-test.txt という名前のテストファイルが作成されてアップロードされます。 ステップ 7 OK をクリックして Commit [ コミット ] をクリックし、 Commit Type [ コミットタイプ ] で Panorama を選択して、さらに Commit [ コミット ] をクリックします。 Palo Alto Networks Panorama 7.0 管理者ガイド • 201 設定バックアップファイルの管理 Panorama の管理 Panorama およびファイアウォールの設定のバックアップを管理 Panorama およびファイアウォールの設定のバックアップを管理 ステップ 1 [Panorama] > [ セットアップ ] > [ 操作 ] の順に選択します。 ステップ 2 [ 設定の管理 ] セクションで、以下のオプションから選択します。 • 最後に保存した Panorama 設定に戻します — 現在の候補設定を上書きして、最後に保存した候補 設定をディスクから復元します。 • 実行中の Panorama 設定に戻します — 候補設定に保存されたすべての変更をも元に戻します。こ れにより、最後のコミット操作以降に行われたすべての設定の変更を効率的に取り消すことが できます。 • 名前付き Panorama 設定スナップショットの保存 — 候補設定をファイルに保存します。ファイル 名を入力するか、上書きする既存のファイルを選択します。現在のアクティブ コンフィグファ イル(running-config.xml)はオーバーライドできません。 • Save candidate Panorama configuration [Panorama 候補設定の保存 ] — 候補設定をディスクに保存 します。これは、ページ上部にある Save [ 保存 ] リンクを使用して、変更を候補設定ファイル に保存する場合と同じです。 • Panorama 設定バージョンのロード — 以前にコミットしたバージョンのリストから設定ファイルを ロードします。 • 名前付き Panorama 設定スナップショットのロード — 選択した候補設定をロードします。以前に インポートまたは保存した設定を選択できます。現在の候補設定は上書きされます。 • 名前付き Panorama 設定スナップショットのエクスポート — アクティブな設定(running-config.xml) や、以前に保存またはインポートした設定をエクスポートします。エクスポートする設定ファ イルを選択します。このファイルは、開いたり、ネットワーク上に保存したりすることができ ます。 • Panorama 設定バージョンのエクスポート — 以前にコミットした設定ファイルのバージョンをエ クスポートします。エクスポートするバージョンを選択します。 • Panorama およびデバイスの設定バンドルのエクスポート — このオプションは、Panorama および管 理対象ファイアウォールの設定バックアップの最新バージョンを手動で生成およびエクス ポートする場合に使用します。設定バンドルを毎日作成して Secure Copy(SCP)または FTP サーバーにエクスポートするプロセスを自動化する方法は、設定ファイルのエクスポートのス ケジュール設定を参照してください。 • Export or push device config bundle [ デバイス設定バンドルをエクスポート / プッシュ ]— ファ イアウォールの設定を Panorama にインポートした後、Panorama は、すべてのローカルポリシー およびオブジェクトが削除されたファイアウォール設定バンドルを <firewall_name>_import.tgz という名前で作成します。次に、Export or push device config bundle [ デバイス設定バンドルを エクスポート / プッシュ ] をクリックして次のいずれかを行います。 ファイアウォールに設定バンドルを Push & Commit [ プッシュ & コミット ] する。この操作に より、ファイアウォールがクリーニング(ファイアウォールからローカル設定が削除)され、 Panorama からファイアーウォールを管理できるようになります。 設定をロードせずにファイアウォールに [ エクスポート ] する。設定を読み込む準備ができた ら、ファイアウォールの CLI にログインし、設定モードコマンド load device-state を実行す る必要があります。このコマンドを使用すると、[ プッシュ & コミット ] オプションと同じよう にファイアウォールがクリーンアップされます。 • Import device configuration into Panorama [ デバイス設定を Panorama にインポート ] — ファイア ウォールを Panorama 管理に移行ができるようになります。 • 名前付き Panorama 設定スナップショットのインポート — 以前にエクスポートした設定ファイル をインポートします。Browse [ 参照 ] をクリックして、保存したファイルを探し、OK をクリッ クしてインポートします。 202 • Panorama 7.0 管理者ガイド Palo Alto Networks Panorama の管理 設定バックアップファイルの管理 Panorama に保存される設定バックアップファイルの数の設定 Panorama に保存される設定バックアップファイルの数の設定 ステップ 1 [Panorama] > [セットアップ] > [管理] の順に選択し、[ロギングおよびレポート設定] を編集します。 ステップ 2 1 ~ 1048576 の数値を入力します。デフォルトは 100 です。 [ 設定バックアップのバージョン数 ] には、 ステップ 3 OK をクリックして Commit [ コミット ] をクリックし、 Commit Type [ コミットタイプ ] で Panorama を選択して、さらに Commit [ コミット ] をクリックします。 管理対象ファイアウォールでの設定バックアップファイルのロード Panorama を使用して、管理対象ファイアウォールに設定バックアップファイルをロードします。 ファイアウォールで以前に保存またはコミットした設定に戻すことができます。Panorama によ り、選択したバージョンが管理対象ファイアウォールにプッシュされ、ファイアウォールの現在 の候補設定が上書きされます。 管理対象ファイアウォールでの設定バックアップファイルのロード ステップ 1 Panorama > Managed Devices [Panorama > 管理対象デバイス ] の順に選択します。 ステップ 2 Backups [ バックアップ ] 列の Manage... [ 管理 ...] リンクを選択します。 ステップ 3 Saved Configurations [ 保存された設定 ] または Committed Configurations [ コミットされた設定 ] か ら選択します。 • [ バージョン ] 列のリンクをクリックし、選択したバージョンのコンテンツを表示します。 • [ ロード ] をクリックし、選択した設定バージョンをロードします。 ステップ 4 Commit [ コミット ] をクリックし、Commit Type [ コミットタイプ ] で Panorama を選択して、さ らに Commit [ コミット ] をクリックします。 Palo Alto Networks Panorama 7.0 管理者ガイド • 203 Panorama の設定変更の比較 Panorama の管理 Panorama の設定変更の比較 Panorama の設定の変更を比較するには、設定ファイル(候補設定、実行中の設定、Panorama に 以前に保存されたまたはコミットされた他の設定バージョン)の 2 つのセットを選択します。並 列比較により、以下が可能になります。 Panorama にコミットする前に設定の変更をプレビューする。たとえば、候補設定と実行中の 設定の変更をプレビューできます。変更の比較と識別が容易になるように、左ペインに古い バージョン、右ペインに新しいバージョンを選択することをお勧めします。 設定監査を実行し、設定ファイルの 2 つのセットの変更を確認および比較する。 Panorama の設定変更の比較 ステップ 1 [Panorama] > [ 設定監査 ] の順に選択します。 ステップ 2 各ドロップダウンで、比較する設定を選択します。 ステップ 3 Context [ コンテキスト ] に含める行数を選択して、Go [ 実行 ] をクリックします。 バージョンを簡単に比較できるように、変更箇所がハイライト表示されます。 設定監査のために Panorama が保存するバージョンの数の設定 ステップ 1 [Panorama] > [セットアップ] > [管理] の順に選択し、[ロギングおよびレポート設定] を編集します。 ステップ 2 [ 設定監査のバージョン数 ] には、1 ~ 1048576 の数値を入力します。デフォルトは 100 です。 ステップ 3 OK をクリックして Commit [ コミット ] をクリックし、 Commit Type [ コミットタイプ ] で Panorama を選択して、さらに Commit [ コミット ] をクリックします。 コミット前の Panorama 設定ファイルの表示および比較 Commit [ コミット ] をクリックし、Preview Changes を選択し、表示するコンテキストの行数を選択し て OK をクリックします。 204 • Panorama 7.0 管理者ガイド Palo Alto Networks Panorama の管理 Panorama 設定の検証 Panorama 設定の検証 変更内容をコミットする前にファイアウォールまたは Panorama 候補設定の構文の検証(設定構 文が正しいかどうかの確認)と意味の検証(設定が完了し意味をなすかどうかの確認)を実行で きます。結果にはコミットに関するすべてのエラーと警告が表示されます。これにはルール シャ ドウイングやアプリケーション依存関係の警告も含まれます。例えば、無効なルートの宛先や、 サーバーに対するクエリで必要になるアカウントとパスワードの欠落などが検証によって示さ れることがあります。これにより、コミット前にエラーを解決できる機会が得られます。 Panorama、デバイスグループ、テンプレートの設定は個々に検証できます。 Panorama 設定の検証 • Panorama 候補構成の検証 1. 2. 3. Panorama 設定を変更したら、Commit [ コミット ] をク リックします。 Commit Type [コミットタイプ]は Panorama を選択します。 Validate Changes [ 変更を検証 ] をクリックします。 検証が成功したら Result [ 結果 ] 欄に OK が表示されま す。エラーや警告がある場合は Details [ 詳細 ] 欄に表示 されます。 • デバイスグループあるいはテンプレート 1. の候補構成を検証します。 Commit [ コミット ] をクリックし、 Commit Type [ コミッ トタイプ ] で Template [ テンプレート ] あるいは Device Group [ デバイスグループ ] を選んでテンプレートある いはデバイスグループを選択します。 2. (任意)Merge with Device Candidate Config [ デバイス候 補構成 ] チェックボックスを選択します。 3. (任意 ― デバイスグループのみ)Include Device and Network Templates [ デバイスおよびネットワークテ ンプレート ] チェックボックスを選択します。 4. Validate Changes [ 変更を検証 ] をクリックします。 エラーや警告がある場合は Status [ ステータス ] 列に表 示され、そのテキストをクリックすれば詳細情報が表 示されます。 Palo Alto Networks Panorama 7.0 管理者ガイド • 205 設定の変更へのアクセス制限 Panorama の管理 設定の変更へのアクセス制限 ロックを使用すれば、複数の管理ユーザーが Panorama や共有ポリシールールの設定を変更した り、選択したテンプレートおよび / またはデバイスグループに変更をコミットしたりしないよう にできます。 設定ロックのタイプ ロックを設定する場所 ロックの設定 ロック所有者の表示 コミットロックの自動実施の有効化 ロックの解除 設定ロックのタイプ 使用可能なロックのタイプは以下のとおりです。 コンフィグロック — 他の管理者が設定を変更できないようにブロックします。このタイプの ロックは、グローバルに設定することも、1 つの仮想システムに設定することもできます。こ のロックを解除できるのは、ロックを設定した管理者またはスーパーユーザーだけです。設 定のロックは、自動的に解除されません。 コミットロック — すべてのロックが解除されるまで他の管理者が変更をコミットできないよ うにブロックします。コミットロックでは、2 名の管理者が同時に変更を行い、2 番目の管理 者が完了する前に最初の管理者が変更を完了させてコミットした場合に、部分的な設定の変 更が誤ってファイアウォールまたは Panorama にコミットされないようにします。ロックを適 用した管理者が変更をコミットすると、ロックは自動的に解除されます。ロックを実行した 管理者またはスーパーユーザーが手動でロックを解除することもできます。 ファイアウォールでコミットロックが適用されている場合は、管理者が、そのファイアウォー ルが含まれるテンプレートまたはデバイスグループに設定の変更や共有ポリシールールをコ ミットすると、そのコミットに失敗し、ファイアウォールに未処理のロックがあることを示 すエラー メッセージが表示されます。 ファイアウォールまたは Panorama の設定を変更できない読み取り専用管理者は、どちらの ロックも実行できません。 変更をコミットできないロールベース管理者は、コンフィグロックを設定して候補設定に変更 を保存できます。ただし、変更をコミットすることはできません。変更をコミットできないた め、コミットでロックが自動的に解除されることはありません。管理者は、必要な変更を行っ たら、手動でコンフィグロックを解除する必要があります。 206 • Panorama 7.0 管理者ガイド Palo Alto Networks Panorama の管理 設定の変更へのアクセス制限 ロックを設定する場所 管理者は、以下のいずれかのロックを設定できます。 [ デバイスグループ ] — 選択したデバイスグループに対する変更を制限しますが、 その子孫のデバイスグループについては対象外です。 Device group テンプレート — 選択したテンプレートに含まれるファイアウォールに対する変更を制限します。 (テンプレートスタックの個々のテンプレートはロックできますが、スタックごとロックする ことはできません) [ 共有 ] — すべてのデバイスグループ間で共有される中央管理ルール(プレルールとポ ストルール)に対する変更を制限します。共有ルールの詳細は、 「デバイスグループポリシー」 を参照してください。 Panorama Shared — Panorama での変更へのアクセスを制限します。 ロックの設定 ロックの設定 ステップ 1 Web インターフェイスの右上隅にあるロック アイコンをクリックします。 ステップ 2 [ ロック設定 ] を選択します。 ステップ 3 [ タイプ ] では、ロール / 許可の設定に基づいて、[ コミット ] または [ 設定 ] を選択します。 ステップ 4 ロックを設定する理由を示す [ コメント ] を追加することをお勧めします。 ステップ 5 OK、Close [ 閉じる ] の順にクリックします。 ロック所有者の表示 特定の設定エリアを変更する前に、別の管理者がそのエリアのロックを設定しているかどうかを 確認します。 。 ロック所有者の表示 Web インターフェイスの右上隅にあるロック アイコンをクリックし、詳細を確認します。 ロック アイコンには、設定されている合計ロック数が表示されます。また、ロック所有者のユーザー名、 ロックのタイプ、ロックが適用されているカテゴリ、ロックが設定されたタイミング、管理者の最後の アクティビティ、管理者がまだログインしているかどうかに関する情報も表示されます。 Palo Alto Networks Panorama 7.0 管理者ガイド • 207 設定の変更へのアクセス制限 Panorama の管理 コミットロックの自動実施の有効化 デフォルトでは、Panorama で変更を開始する前にロックを手動で設定する必要があります。コ ミットロックの自動実施を有効にするには、以下の手順を実行します。 。 コミットロックの自動実施の有効化 ステップ 1 [Panorama] > [ セットアップ ] > [ 管理 ] の順に選択し、[ 一般設定 ] を編集します。 ステップ 2 [ コミットロックの自動実施 ] チェックボックスをオンにします。 ステップ 3 OK をクリックして Commit [ コミット ] をクリックし、 Commit Type [ コミットタイプ ] で Panorama を選択して、さらに Commit [ コミット ] をクリックします。 ロックの解除 ロックの解除 ステップ 1 Web インターフェイスの右上隅にあるロック アイコンをクリックします。 ステップ 2 解除するロックを選択し、Remove Lock [ ロックの削除 ]、さらに OK をクリックします。 スーパーユーザーではない場合は、自分で設定したロックのみを削除できます。 208 • Panorama 7.0 管理者ガイド Palo Alto Networks Panorama の管理 Panorama にカスタムロゴを追加 Panorama にカスタムロゴを追加 イメージファイルをアップロードして、Panorama の以下のエリアをカスタマイズできます。 ログイン画面の背景イメージ Web インターフェイスの左上隅にあるヘッダー。Panorama のデフォルトの背景を非表示にす ることもできます。 PDF レポートのタイトル ページおよびフッターのイメージ .jpg、.gif、および .png などのイメージタイプがサポートされています。PDF レポートで使用する イメージファイルには、アルファ チャネルを含めることはできません。イメージのサイズは、 128 キロバイト(131,072 バイト)未満にする必要があります。推奨サイズが画面に表示されま す。サイズが推奨サイズよりも大きい場合、イメージが自動的に切り取られます。 Panorama にカスタムロゴを追加 ステップ 1 [Panorama] > [ セットアップ ] > [ 操作 ] の順に選択します。 ステップ 2 [ その他 ] セクションで、[ カスタムロゴ ] を選択します。 ステップ 3 ロゴのアップロード アイコンをクリックし、ログイン画面、主要なユーザーインターフェイス の左隅、PDF レポートのタイトル ページ、および PDF レポートフッターのいずれかのイメージ を選択します。 ステップ 4 [ 開く ] をクリックしてイメージを追加します。イメージをプレビューするには、ロゴのプレ ビュー アイコンをクリックします。 ステップ 5 (任意)Panorama Web インターフェイスの緑の背景をクリアするには、[Panorama バックグラウン ド ヘッダーの非表示 ] チェックボックスをオンにします。 ステップ 6 [ 閉じる ] をクリックして、変更内容を保存します。 ステップ 7 Commit [ コミット ] をクリックし、Commit Type [ コミットタイプ ] で Panorama を選択して、さ らに Commit [ コミット ] をクリックします。 Palo Alto Networks Panorama 7.0 管理者ガイド • 209 Panorama のタスク完了履歴の表示 Panorama の管理 Panorama のタスク完了履歴の表示 タスク マネージャを使用して、現在実行中のタスク、履歴タスクデータ、イベントの成功また は失敗の情報、および関連するエラーを表示します。 Panorama のタスク完了履歴の表示 ステップ 1 Web インターフェイスの右下隅にあるタスク アイコンをクリックします。 ステップ 2 表示するタスクのリストを選択します。デフォルトでは、[ すべてのタスク ] が表示されます。 ステップ 3 [ すべて ] または [ 実行中 ] のタスクを基準にフィルタリングし、[ ジョブ ]、[ レポート ]、または [ ロ グ要求 ] を選択することができます。 • ジョブ — Panorama 上で実行された、または Panorama から管理対象ファイアウォールに一元的 にプッシュされたソフトウェアおよびダイナミック更新のコミット、自動コミット、ダウン ロード、インストールが表示されます。各ジョブはリンクになっています。[ タイプ ] 列のリ ンクをクリックして、ファイアウォールの詳細、状態、存在する場合にはエラーを表示します。 • レポート — スケジュール設定されたレポートの状態や開始時間が表示されます。 • ログ要求 — [Monitor] > [ ログビューアー ] タブまたは [Dashboard] からトリガーされたログクエ リが表示されます。たとえば、[Dashboard] の [URL フィルタリング ] ウィジットまたは [ デー タフィルタリング ] ウィジットにログを表示するには、Panorama でログ要求を生成します。 210 • Panorama 7.0 管理者ガイド Palo Alto Networks Panorama の管理 ログおよびレポートのストレージ割り当ておよび有効期間を管理 ログおよびレポートのストレージ割り当ておよび有効期間 を管理 ログおよびレポートの保存 ログおよびレポートの有効期間 ログおよびレポートのストレージ割り当ておよび有効期間を構成 ログおよびレポートの保存 各ログタイプのデフォルトのストレージ割り当ては変更できますが、レポートのものは変更でき ません。ログ割り当てが最大サイズに達すると、Panorama は最も古いエントリから順に新しい ログエントリで上書きします。Panorama バーチャルアプライアンスおよび M-Series アプライアン スがログを保存する場所、および事前定義されたレポートの保存容量は異なっています。 Panorama virtual appliance [Panorama バーチャルアプライアンス ] — Panorama は、割り当てられ た以下のいずれかの保存領域にすべてのログを書き込みます。 – デフォルト設定では、 Panorama をインストールする際に作成された仮想ディスクに 10.89GB のストレージ容量が割り当てられています。 – 追加の仮想ディスクについてはログおよびレポートのストレージ割り当ておよび有効期間を 構成あるいは vCloud Air の Panorama に仮想ディスクを追加をご覧ください。 – NFS パーティションについては NFS データストアに Panorama ESXi サーバーをマウント をご覧ください。 レポートの保存容量は 200MB です。 M-Series appliance [M-Series アプライアンス ] — Panorama は内部の SSD および RAID が有効な ディスクにログを保存します。M-Series アプライアンスは、Panorama およびそのログコレク タが生成する設定ログやシステムログの保存、さらにすべての管理対象ファイアウォールか ら Panorama に 15 分間隔で自動的に送信されるアプリケーション統計(App Stats)ログの保存 を行うのに内部の SSD を使用します。Panorama はその他のすべてのログタイプを RAID が有 効なディスクに保存します。RAID ディスクは、Panorama モードの M-Series アプライアンスの ローカルのものか、専用のログコレクタ内にあります(ログコレクタモードの M-Series アプ ライアンス) 。RAID ディスク内のログのストレージ割り当てを変更するには、コレクタグルー プの設定を変更する必要があります。レポートの保存容量は、Panorama 6.1 以降では 500MB、 それより古いバージョンでは 200 MB です。 ログおよびレポートの有効期間 Panorama 管理サーバーおよびログコレクタがファイアウォールから収集するログの時間、およ び Panorama とログコレクタがローカルに生成するログおよびレポートの時間に基づいて自動検 知を設定することができます。これは、モニタリングされた情報を定期的に削除したい、あるい は削除しなければならないような環境で役立ちます。例えば、法的な理由からお客様の組織では 一定の期間後にユーザー情報を削除する必要があるかもしれません。次の項目に対して個別の有 効期間を設定することができます。 Palo Alto Networks Panorama 7.0 管理者ガイド • 211 ログおよびレポートのストレージ割り当ておよび有効期間を管理 Panorama の管理 レポート — Panorama は毎晩、定期レポートを作成する午前 2:00 にレポートを削除します。 各ログタイプ — Panorama はログを受信するとそれに対して評価を行い、設定済みの有効期間 が過ぎたログは消去します。 各サマリーログタイプ — Panorama は様々なサマリー期間(時間毎、日次、週次)後にログを 評価し、設定済みの有効期間が過ぎたログは消去します。 ログの削除が行われた時点で有効期間のしきい値に達していない週次サマリーログは、次回のログ の削除の前にしきい値に達する可能性があります。例えば、トラフィック サマリーログの有効期間 を 20 日に設定しており、デバイスが有効期限の過ぎたログを削除する際に週次トラフィック サマ リーログが生成されてから 19 日経っていた場合、デバイスはそのログを削除しません。削除する週 次ログのチェックを次にデバイスが行う際(7 日後) 、そのログは生成されてから 26 日経っています。 Panorama は高可用性(HA)ペア間で有効期間を同期します。アクティブ HA ピアのみがログ を生成するため、パッシブピアでは、フェイルオーバーが発生してログの生成を開始しない限 り、削除するログあるいはレポートはありません。 有効期間を設定していない場合でも、ログ割り当てが最大サイズに達すると、Panorama は最 も古いエントリから順に新しいログエントリで上書きします。 ログおよびレポートのストレージ割り当ておよび有効期間を構成 ログおよびレポートのストレージ割り当ておよび有効期間を構成 ステップ 1 1. 次の項目に対してストレージ割り当 ておよび有効期間を設定します。 2. • Panoramaバーチャルアプライアン スがファイアウォールから受信 するすべてのタイプのログ。 • Panorama(バーチャルアプライア ンスあるいは M-Series アプライア ンス)がファイアウォールから受 3. 信する App Stats ログ。 • Panorama(バーチャルアプライア ンスあるいは M-Series アプライア ンス)およびそのログコレクタが ローカルに生成するシステムお よび設定ログ。 [Panorama] > [ セットアップ ] > [ 管理 ] の順に選択し、 [ ロギングおよびレポート設定 ] を編集します。 Log Storage [ ログストレージ ] タブを選択し、各ログタ イプのストレージ Quota (%) [ 割り当て ] を入力します。 パ ー セ ン ト 値 を 変 更 す る と ペ ー ジ が 更 新 さ れ て、 Panorama に割り当てられた合計ストレージに基づい て、対応する絶対値(割り当ての [GB]/ [MB] 列)が表 示されます。 各ログタイプの Max Days [ 最大日数 ](有効期間)を入 力します(範囲は 1 ~ 2,000)。デフォルトではこの フィールドは空白(ログは無期限)です。 割り当ておよび有効期間を工場出荷時の状態に リセットするには、ダイアローグの右下にある Restore Quota Defaults [ デフォルトの割り当てを 復元 ] をクリックします。 Panorama 管理サーバーがこれらのロ グを保存します。 ストレージ割り当てを現在の ログ容量を下回る値に設定す ると、変更をコミットした後に Panoramaは新しい割り当てに合 わせて古いログを削除します。 ステップ 2 1. Panorama(バーチャルアプライアン スあるいはM-Seriesアプライアンス) 2. が生成するレポートの有効期間を設 定します。 3. 212 • Panorama 7.0 管理者ガイド Log Export and Reporting [ ログのエクスポートとレポー ト ] タブを選択します。 Report Expiration Period (レポートの有効期間)を日数 で入力します(範囲は 1 ~ 2000) 。デフォルトではこの フィールドは空白(レポートは無期限)です。 [OK] をクリックして、変更内容を保存します。 Palo Alto Networks Panorama の管理 ログおよびレポートのストレージ割り当ておよび有効期間を管理 ログおよびレポートのストレージ割り当ておよび有効期間を構成(続) ステップ 3 1. Panorama M-Series アプライアンスが ファイアウォールから受信するすべ 2. てのタイプ(App Stats ログを除く)の ログのストレージ割り当ておよび有 効期間を設定します。 ログコレクタがこれらのログを保存 します。 このストレージ割り当ては、 個々のログコレクタではなく コレクタグループのレベルで 設定します。 3. 4. 5. ステップ 4 変更をコミットします。 1. Panorama > Collector Groups [Panorama > コレクタグルー プ ] の順に選択し、コレクタグループを選択します。 General [ 全般 ] タブで Log Storage [ ログストレージ ] の 値をクリックします。 ログコレクタをコレクタグループに割り当てて いなければ、このフィールドに値は表示されませ ん。ログコレクタを割り当てた後でフィールドに 「0MB」と表示される場合は、ログコレクタを設 定する際にディスクペアを有効にして変更をコ ミットしていることを確認します(Panorama > Managed Collectors > Disks [Panorama > 管理対象の コレクタ > ディスク ]) 。 ログタイプごとにストレージ Quota(%) [ 割り当て (%)] を入力します。パーセント値を変更するとページが更 新されて、コレクタグループに割り当てられた合計ス トレージに基づいて、対応する絶対値(割り当ての [GB]/ [MB] 列)が表示されます。 各ログタイプの Max Days [ 最大日数 ](有効期間)を入 力します(範囲は 1 ~ 2,000)。デフォルトではこの フィールドは空白(ログは無期限)です。 割り当ておよび有効期間を工場出荷時の状態に リセットするには、ダイアローグの右下にある Restore Quota Defaults [ デフォルトの割り当てを 復元 ] をクリックします。 [OK] をクリックして、変更内容を保存します。 Commit [ コミット ] をクリックし、 Commit Type [ コミッ トタイプ ] で Panorama を選択して、さらに Commit [ コ ミット ] をクリックします。 2. (M-Series アプライアンスのみ)Commit [ コミット ] を クリックし、 Commit Type [ コミットタイプ ] で Collector Group [ コレクタグループ ] を選択し、さらに変更した コレクタグループを選択して OK をクリックします。 ステップ 5 1. Panorama > Setup > Management [Panorama > セットアッ プ > 管理 ] を選択し、Logging and Reporting Settings [ ロ Panorama によってストレージ割り当 グおよびレポート設定 ] にて Panorama 管理サーバーが ての変更が適用されたことを確認し 保存するログに対して Log Storage [ ログストレージ ] の ます。 値が正しく設定されていることを確認します。 2. Panorama > Collector Groups [Panorama > コレクタグルー プ ] を選択し、さらに変更したコレクタグループを選 択し、ログコレクタが保存するログに対して General [ 全般 ] タブの Log Storage [ ログストレージ ] の値が正 しく設定されていることを確認します。 また、ログコレクタの CLI にログインして操作 コマンド show log-diskquota-pct を入力するこ とでも、コレクタグループのストレージ割り当 てを確認することができます。 Palo Alto Networks Panorama 7.0 管理者ガイド • 213 Panorama のモニタリング Panorama の管理 Panorama のモニタリング システムおよび設定ログ(ログデータをデバイスでフィルタリング)を定期的に確認するか、 SNMP(Simple Network Management Protocol)マネージャーが Panorama の統計情報を定期的に収 集(GET)するように設定するか、あるいは SNMP トラップやメールアラートを設定し、監視 している指標の状態が変更された、あるいはしきい値に達した際に通知を受け取るよう Panorama で設定を行い、Panorama およびその管理対象のコレクタを監視します。電子メールアラートお よび SNMP トラップは、注意を必要とする重大なシステムイベントを即座に通知する場合に便 利です。メールアラートあるいは SNMP トラップの設定については Panorama から外部の宛先へ のログ転送を設定をご覧ください。 Panorama のシステムログと設定ログ SNMP を使用して Panorama およびログコレクタの統計を監視 Panorama のシステムログと設定ログ システムイベントあるいは設定変更が発生した際に通知を送信するように Panorama を設定でき ます。Panorama では、デフォルトですべての設定変更が設定ログに記録されます。システムロ グでは各イベントの重大度が示されるため、緊急度や影響度を判断しやすくなっています。 Panorama から外部の宛先へのログ転送を設定を行う際、すべてのシステムイベントあるいは特 定の重大度のイベントだけを転送できます。以下の表に重大度レベルを要約して示します。 重大度 内容 重要 高可用性(HA)フェイルオーバーやリンク エラーのようなハードウェア障害など、 迅速な対応が求められる障害。 High [ 高 ] システムの動作に悪影響を与える深刻な問題(ログコレクタの切断やコミット エ ラー)。 Medium [ 中 ] アンチウイルス パッケージのアップグレードやコレクタグループのコミットなど の中レベルの通知。 Low [ 低 ] ユーザーパスワードの変更などそれほど重要ではない通知。 Informational [ 通知 ] ログイン / ログアウト、設定の変更、認証の成功および失敗の通知、コミットの成 功、および他の重大度レベルでカバーされないその他のすべてのイベントなどの通 知イベント。 M-Series アプライアンスでは、設定およびシステムログが自身の SSD に保存されます。Panorama バーチャルアプライアンスでは、割り当てられたストレージボリュームにログが保存されます (Panorama バーチャルアプライアンスのセットアップを参照)。監査のためにログを長期保管す る必要がある場合は、Panorama から外部の宛先へのログ転送を設定を行うこともできます。 Panorama を使用してファイアウォールを監視する方法についてはネットワークアクティビ ティのモニターをご覧ください。 214 • Panorama 7.0 管理者ガイド Palo Alto Networks Panorama の管理 Panorama のモニタリング SNMP を使用して Panorama およびログコレクタの統計を監視 SNMP マネージャが Panorama 管理サーバーに統計情報をリクエストし、Panorama が応答するよ う設定できます。例えば、SNMP マネージャは高可用性(HA)モード、Panorama の状態、Panorama のバージョンをリクエストできます。Panorama 管理サーバーが Panorama モード(バーチャルア プライアンスではなく)の M-Series アプライアンスの場合、ロギングの統計情報(秒毎の平均ロ グ数、各ログタイプの保存期間、ログのディスク使用状況)も取得できます。Panorama は HA ピ ア間で SNMP 構成を同期しないため、SNMP リクエストおよび各ピアの応答を有効にする必要が あります。 また、各ログタイプについて接続状態、ディスクドライブの使用状況、ソフトウェアバージョ ン、平均 CPU、秒毎の平均ログ数、ログ保存期間といった統計情報を求めるリクエストに返答 するように専用ログコレクタ(ログコレクタモードの M-Series アプライアンス)を設定すること もできます。ログの保存容量を大きくする必要があるか検討する際にこの情報が役立ちます。 SNMP マネージャが(SET メッセージを使用した)Panorama あるいはログコレクタを制御す るように設定することはできません。SNMP マネージャは統計収集のみを収集できます(GET メッセージを使用)。 Palo Alto Networks デバイスでの SNMP の実装方法の詳細は、Palo Alto Networks のデバイス における SNMP を参照してください。 SNMP を使用して Panorama およびログコレクタの統計を監視 ステップ 1 Panoramaおよびログコレクタから統 計情報を取得するように SNMP マ ネージャを設定 Palo Alto Networks 以下の手順では、SNMP マネージャで実行するタスクの概 要を説明します。具体的な手順は、SNMP マネージャのド キュメントを参照してください。 1. SNMP マネージャを有効にしてデバイス統計を解釈す るには、Palo Alto Networks デバイスでサポートされた MIB をロードし、必要に応じてコンパイルします。 2. SNMP マネージャがモニターする Panorama M-Series あ るいはバーチャルアプライアンスごとに、デバイスの 接 続 設 定(IP ア ド レ ス と ポ ー ト)お よ び 認 証 設 定 (SNMPv2c コミュニティ文字列または SNMPv3 ユー ザー名およびパスワード)を定義します。すべての Palo Alto Networks デバイスがポート 161 を使用します。 SNMP マネージャでは、複数のデバイスに対して使用 する接続設定と認証設定は同じでも違っていてもかま いません。これらの設定は、デバイスに SNMP を設定 したときに定義した設定と一致する必要があります (ステップ 4 を参照) 。たとえば、SNMPv2c を使用する 場合、デバイス設定時に定義するコミュニティ文字列 が、SNMP マネージャでそのデバイスに対して定義す るコミュニティ文字列と一致する必要があります。 3. モニターする統計のオブジェクト識別子(OID)を判 別します。例えばロギング率を監視するために、この 統計情報が PAN-PRODUCT-MIB.my の OID 1.3.6.1.4.1.25461.2.3.30.1.1 に対応するということが MIB ブラウザに表示されます。詳細については SNMP マ ネージャを使用して MIB およびオブジェクトを探索を ご覧ください。 4. SNMP マネージャを、目的の OID をモニターするよう に設定します。 Panorama 7.0 管理者ガイド • 215 Panorama のモニタリング Panorama の管理 SNMP を使用して Panorama およびログコレクタの統計を監視(続) ステップ 2 1. Panorama 管理サーバーの管理(MGT) イ ン タ ー フ ェ イ ス で SNMP ト ラ 2. フィックを有効化します。 [Panorama] > [ セットアップ ] > [ 管理 ] の順に選択し、 [ 管理インターフェイス設定 ] を編集します。 Services [ サービス ] セクションで SNMP チェックボック スをオンにして OK をクリックします。 ステップ 3 1. ログコレクタモードのいずれかの M-Seriesアプライアンスの管理 (MGT) 2. インターフェイスで SNMP トラフィッ クを有効化します。 ステップ 4 1. SNMP マネージャからの統計要求に 応答するように Panorama 管理サー バーを設定します。 2. Panorama > Managed Collectors [Panorama > 管理対象コ レクタ ] の順に選択し、ログコレクタを選択します。 Management [ 管理 ] タブを選択し、SNMP チェックボッ クスを選択して OK をクリックします。 Device > Setup > Operations [Panorama > セットアップ > 操作 ] の順に選択し、Miscellaneous [ その他 ] セクション で、SNMP Setup [SNMP のセットアップ ] をクリックし ます。 SNMP の Version [ バージョン ] を選択し、認証値を以 下のように設定します。バージョンの詳細については Palo Alto Networks のデバイスにおける SNMP をご覧く ださい。 • V2c — SNMP マネージャおよびモニター対象デバイ ス ( この場合は Panorama) の SNMP コミュニティを識 別し、コミュニティメンバーを相互認証するための パスワードとして機能する SNMP Community String [SNMP コミュニティ名 ] を入力します。 デフォルトのコミュニティ名 public は、広く 公開されていて安全ではないので使用しない でください。 • V3 — 少なくとも 1 つの SNMP 表示グループと 1 つの ユーザーを作成します。ユーザーアカウントと表示 により、SNMP マネージャがデバイス統計を取得す るときに、認証、プライバシー、およびアクセス制 御を実現できます。 – Views [ 表示 ] — 各表示は、ペアになっている OID とビット単位のマスクです。OID で MIB を指定し、 マスク(16 進数形式)で、その MIB 内(一致部分 を含む)または MIB 外(一致部分を含まない)で アクセスできるオブジェクトを指定します。最初 のリストで Add [ 追加 ] をクリックし、表示グルー プの Name [ 名前 ] を入力します。グループの各表 示について、Add [ 追加 ] をクリックし、表示の Name [ 名前 ]、OID、一致の Option [ オプション ](include [ 含む ] または exclude [ 除外 ])、および Mask [ マス ク ] を設定します。 – Users ユーザー : 2 つ目のリストで Add [ 追加 ] をク リックし、Users [ ユーザー] 列にユーザー名を入力 し、ドロップダウンから View [ 表示 ] グループを選 択し、SNMP マネージャへの認証に使用する認証パ スワード(Auth Password [ 認証パスワード ])、SNMP マネージャへの SNMP メッセージの暗号化に使用 する専用パスワード(Priv Password [ 専用パスワー ド ])を入力します。 3. 216 • Panorama 7.0 管理者ガイド [OK] をクリックして設定を保存します。 Palo Alto Networks Panorama の管理 Panorama のモニタリング SNMP を使用して Panorama およびログコレクタの統計を監視(続) ステップ 5 各コレクタグループについて: 専用ログコレクタ(存在する場合) 1. Panorama > Collector Groups [Panorama > コレクタグルー が SNMP リクエストに応答するよう プ ] の順に選択し、コレクタグループを選択します。 に設定します。 2. Monitoring [ 監視 ] タブを選択し、ステップ 4 と同じ設 定を行って OK をクリックします。 ステップ 6 1. Commit [ コミット ] をクリックし、Commit Type [ コミッ トタイプ ] で Panorama を選択して、さらに Commit [ コ 変更をコミットします。 ミット ] をクリックします。 2. Commit [ コミット ] をクリックし、Commit Type [ コミッ トタイプ ] で Collector Group [ コレクタグループ ] を選 択し、さらに変更したコレクタグループを選択して Commit [ コミット ] をクリックします。 ステップ 7 SNMP マネージャのドキュメントを参照してください。 SNMP マネージャ内の Panorama およ びログコレクタの統計情報を監視 します。 Palo Alto Networks Panorama 7.0 管理者ガイド • 217 Panorama の再起動またはシャットダウン Panorama の管理 Panorama の再起動またはシャットダウン 再起動オプションでは、Panorama のグレースフル リスタートが開始されます。シャットダウン では、システムが停止して電源がオフになります。Panorama を再起動するには、シャットダウ ンした後で、システムの電源コードを手動で取り外してから再度取り付けます。 Panorama の再起動またはシャットダウン ステップ 1 [Panorama] > [ セットアップ ] > [ 操作 ] の順に選択します。 ステップ 2 [ デバイスの操作 ] セクションで、[Panorama の再起動 ] または [Panorama のシャットダウン ] を選 択します。 218 • Panorama 7.0 管理者ガイド Palo Alto Networks Panorama の管理 Panorama のパスワードプロファイルおよび複雑性の設定 Panorama のパスワードプロファイルおよび複雑性の設定 ローカル管理者アカウントを保護するために、管理者がパスワードを変更したり、新規作成した りするときに適用されるパスワードの複雑性の要件を定義できます。個々のアカウントに適用可 能なパスワードプロファイルとは異なり、パスワードの複雑性ルールはファイアウォール全体に 影響し、すべてのパスワードに適用されます。 定期的なパスワードの更新を適用するには、パスワードの有効期間を定義するパスワードプロ ファイルを作成します。 Panorama のパスワードプロファイルおよび複雑性の設定 ステップ 1 1. パスワード複雑性設定を設定します。 2. 3. 4. 5. Palo Alto Networks [Panorama ] > [ セットアップ ] > [ 管理 ] の順に選択し、 [ パスワード複雑性設定 ] セクションを編集します。 [ 有効 ] を選択します。 [ パスワードフォーマットの要件 ] を定義します。パス ワードに含める必要のある大文字、小文字、数字、特 殊文字の要件を適用できます。 アカウントユーザー名がパスワードで使用されないよ うにするには(またはその逆)、[ ユーザー名を含むパス ワードを禁止(逆順を含む)] を選択します。 パスワードの [ 機能要件 ] を定義します。 管理者のパスワードプロファイルを設定している場 合、パスワードプロファイルで定義された値は、この セクションで定義された値よりも優先されます。 Panorama 7.0 管理者ガイド • 219 Panorama のパスワードプロファイルおよび複雑性の設定 Panorama の管理 Panorama のパスワードプロファイルおよび複雑性の設定(続) ステップ 2 1. パスワードプロファイルを作成し ます。 複数のパスワードプロファイルを作 2. 成し、必要に応じて管理者アカウン トに適用してセキュリティを確保で きます。 220 • Panorama 7.0 管理者ガイド Panorama > Password Profiles [Panorama > パスワードプ ロファイル ] の順に選択し、Add [ 追加 ] をクリックし ます。 パスワードプロファイルの [ 名前 ] を入力し、以下を定 義します。 a. パスワード有効期限日数 : パスワードを変更する必要 のある頻度(日数)。 b. 失効の警告期間 : 管理者がパスワードのリマインダー を受け取るまでの有効期限日数。 c. 失効後の猶予期間 : パスワードの失効後に管理者がシ ステムにログインできる日数。 d. 失効後の管理者ログイン回数 :パスワードの失効後に管 理者がシステムにログインできる回数。 Palo Alto Networks トラブルシューティング 以下の各トピックで、Panorama の既存の問題について説明します。 Panorama システムの問題のトラブルシューティング ログストレージと接続に関する問題のトラブルシューティング RMA ファイアウォールの交換 コミット エラーのトラブルシューティング 登録あるいはシリアル番号のエラーのトラブルシューティング レポートエラーのトラブルシューティング タスクの成否の確認 Palo Alto Networks Panorama 7.0 管理者ガイド • 221 Panorama システムの問題のトラブルシューティング トラブルシューティング Panorama システムの問題のトラブルシューティング Panorama の診断ファイルの生成 Panorama がサスペンド状態になっている場合の診断 ファイルシステム整合性チェックモニター ソフトウェア更新とコンテンツ更新が格納される Panorama ストレージの管理 Panorama HA デプロイ環境でのスプリットブレインからの回復 Panorama の診断ファイルの生成 診断ファイルは、システムアクティビティのモニタリングや、Panorama の問題の潜在的な原因 を識別するのに役立ちます。Palo Alto Networks テクニカルサポートによる問題のトラブルシュー ティングを支援するために、サポート担当者からテクニカルサポートファイルを求められる場合 があります。以下の手順では、テクニカルサポートファイルをダウンロードし、サポートケース にアップロードする方法について説明します。 Panorama の診断ファイルの生成 ステップ 1 Panorama > Support [Panorama > サポート ] を選択し、 Generate Tech Support File [ テクニカルサポー トファイルの生成 ] をクリックします。 ステップ 2 ファイルをダウンロードしてコンピューターに保存します。 ステップ 3 ファイルを Palo Alto Networks のサポートポータルの事案にアップロードします。 Panorama がサスペンド状態になっている場合の診断 Panorama がサスペンド状態になっている場合は、以下の状態を確認します。 各 Panorama バーチャルアプライアンスのシリアル番号が一意であることを確認します。同じ シリアル番号を使用して Panorama の複数のインスタンスを作成すると、同じシリアル番号を 使用するすべてのインスタンスがサスペンド状態になります。 1 つのピアの HA 優先度がプライマリとして設定され、他がセカンダリとして設定されている ことを確認します。両方のピアで同じ優先度が設定されていると、シリアル番号が高い Panorama ピアがサスペンド状態になります。 両方の Panorama HA ピアが同じ Panorama バージョン(メジャーおよびマイナーのバージョン 番号)で実行されていることを確認します。 ファイルシステム整合性チェックモニター Panorama システムファイルの破損を回避するため、Panorama では定期的にファイルシステムの 整合性チェック (FSCK) が実行されます。このチェックは、再起動を 8 回行った後、または最後 の FSCK が実行されてから 90 日経過した後の再起動で実行されます。Panorama で FSCK が実行 222 • Panorama 7.0 管理者ガイド Palo Alto Networks トラブルシューティング Panorama システムの問題のトラブルシューティング されていると、FSCK が進行中であることを示す警告が Web インターフェイスおよび SSH(Secure Shell)ログイン画面に表示されます。この処理が完了するまで、ログインできません。この処理 が完了する時間は、ストレージシステムのサイズによって異なり、Panorama にログインできる ようになるまで数時間かかることもあります。 FSCK の進捗状況を表示するには、Panorama へのコンソールアクセスをセットアップします。 ソフトウェア更新とコンテンツ更新が格納される Panorama ストレージの 管理 Panorama のコンテンツ更新とソフトウェア更新のインストールおよび Panorama を使用してファ イアウォールおよびログコレクタにアップデートをデプロイを行うことができます。更新を保存 する Panorama の空き容量を設定することはできません。割り当て済みの領域の使用容量が 90% に 達すると、新しいダウンロードあるいはアップロードを格納するための空き領域を確保する(格納 されている更新を削除する)ように指示する警告が表示されます。更新の最大数は、Panorama に格 納されるすべての更新に適用されるグローバル設定です。この値は、CLI でのみ設定可能です。デ フォルトの値は、各タイプにつき更新 2 件です。 ソフトウェア更新とコンテンツ更新が格納される Panorama ストレージの管理 • 各タイプの更新の最大数を変更します。 Panorama CLI にアクセスし、次のコマンド(<number> は 2 ~ 64 が可能)を入力します。 > set max-num-images count <number> • Panorama が現在保存している更新の数を 入力コマンド: > show max-num-images 確認します。 • Web インターフェイスを使用して更新 1. を削除し、Panorama の空き容量を増や します。 削除したい更新のタイプを選択します。 • ファイアウォールあるいはログコレクタの更新: – PAN-OS/Panorama ソフトウェアイメージ — Panorama > Device Deployment > Software [Panorama > デバイスのデプ ロイ > ソフトウェア ] を選択します。 – GlobalProtect エージェント / アプリ ソフトウェア更 新 — Panorama > Device Deployment > GlobalProtect Client [Panorama > デバイスのデプロイ > GlobalProtect クライアント ] を選択します。 – コンテンツ更新 — Panorama > Device Deployment > Dynamic Updates [Panorama > デバイスのデプロイ > 動的更新 ] を選択します。 • Panorama ソフトウェアイメージ — Panorama > Software [Panorama > ソフトウェア ] を選択します。 • Panoramaコンテンツ更新— Panorama > Dynamic Updates [Panorama > 動的更新 ] を選択します。 2. かなり右の方にある列で、目的のイメージあるいは更新 の X アイコンをクリックします。 • CLI を使用して更新を削除し、Panorama バージョンに基づいてソフトウェアイメージを削除する場合: > delete software version <version_number> の空き容量を増やします。 コンテンツ更新を削除する場合: > delete content update <filename> Palo Alto Networks Panorama 7.0 管理者ガイド • 223 Panorama システムの問題のトラブルシューティング トラブルシューティング Panorama HA デプロイ環境でのスプリットブレインからの回復 Panorama が高可用性(HA)セットアップで設定されている場合、管理対象ファイアウォールはア クティブとパッシブの両方の Panorama HA ピアに接続されます。 アクティブとパッシブの Panorama ピア間の接続に障害が発生すると、パッシブ Panorama は、アクティブピアを引き継ぐ前に、アク ティブピアとパッシブピアの両方に接続されているファイアウォールが存在しないかチェックし ます。両方のピアに接続されているファイアウォールが 1 台でも存在すると、フェイルオーバー はトリガーされません。 あまり発生することはありませんが、アクティブピアに接続されているファイアウォールのセット と、パッシブピアに接続されているファイアウォールのセットがあり、両方のピアに接続されてい るファイアウォールはない場合にフェイルオーバーがトリガーされることがあります。これはスプ リットブレインと呼ばれる現象です。スプリットブレインが発生すると、以下の状態になります。 どちらの Panorama ピアも、相手ピアの状態または HA ロールを認識しない。 両方の Panorama ピアがアクティブになり、それぞれ異なるファイアウォールのセットを管理 している。 スプリットブレインを解決するには、ネットワークの問題をデバッグして、Panorama HA ピア間 の接続を復元します。 ただし、ピア間の接続を復元せずにファイアウォールの設定を変更する必要がある場合、いくつ かの方法があります。 両方の Panorama ピアに同じ設定変更を手動で追加します。これにより、リンクが再確立され たときに設定が同期されます。 1 つの Panorama の場所でのみ設定を追加 / 変更する必要がある場合、Panorama ピア間のリンク が再確立されたときに設定を変更して同期します(変更を行ったピアから同期を開始してく ださい) 。 各場所の接続されたファイアウォールでのみ設定を追加 / 変更する必要がある場合、各 Panorama ピアで別々に設定を変更できます。ピアは切断されているため、複製は行われず、各ピアは、 それぞれ別個の(同期していない)設定ファイルを持つことになります。したがって、接続 の復元時に各ピアの設定の変更が失われないようにするために、設定が自動的に再同期され ないようにします。この問題を解決するには、各 Panorama ピアから設定をエクスポートして、 外部の比較 / マージ ツールを使用して、手動で変更をマージします。変更が統合されたら、統 合された設定ファイルをプライマリ Panorama にインポートし、インポートされた設定ファイ ルをピアと同期できます。 224 • Panorama 7.0 管理者ガイド Palo Alto Networks トラブルシューティング ログストレージと接続に関する問題のトラブルシューティング ログストレージと接続に関する問題のトラブルシューティ ング Panorama ポートの使用状況の確認 コレクタグループのログ保存エリアがゼロと表示される問題を解決する 故障した M-Series アプライアンスのディスク交換 Panorama ESXi サーバーの仮想ディスクを交換 ログコレクタモードでログを新しい M-Series アプライアンスに移行 Panorama モードでログを新しい M-Series アプライアンスに移行 非 HA デプロイ環境の Panorama で障害 /RMA が発生した後にログを回復する M-Series アプライアンスの RAID ペアのメタデータを再生成 Panorama ポートの使用状況の確認 Panorama が管理対象ファイアウォール、管理対象ログコレクタ、および高可用性(HA)ピアと 通信できるようにするには、以下の表を使用して、ネットワークで開く必要のあるポートを確認 します。 Panorama 6.1 以降のリリースを実行している M-Series アプライアンスでは、ログ収集および コレクタグループ通信機能を、デフォルトの MGT インターフェイスではなく、Ethernet 1 また は Ethernet 2 インターフェイスに割り当てることも可能です。以下の表に示したポートは、機 能とその割り当て先インターフェイスに関係なく適用されます。たとえば、ログ収集機能を MGT に、コレクタグループ通信を Ethernet 2 に割り当てると、MGT は 3978 番ポートを、 Ethernet 2 は 28270 番ポートを使用します(Panorama バーチャルアプライアンスでは、以下 のすべての機能について、MGT インターフェイスのみを使用できます)。 デバイスとの通信と通信方向の確立 Panorama 5.x Panorama 6.x 内容 で使用する 以降で使用する ポート ポート Panorama 間(HA) 28 28 方向 : 各ピアから他のピアに接続が開 始される Panorama 間(HA) 28769 および 28260 および 28769 28260(5.1) 方向 : 各ピアから他のピアに接続が開 始される 28769 および 49160(5.0) 3978 Panorama と管理対象ファイアウォール 3978 方向:ファイアウォールから開始される Palo Alto Networks HA 接続および同期(暗号化が有効 になっている場合) HA 接続および同期(暗号化が有効 になっていない場合) 双 方 向 接 続 で、ロ グ は フ ァ イ ア ウ ォ ー ル か ら Panorama に 転 送 さ れ、設定の変更は Panorama から管 理対象ファイアウォールにプッ シュされます。コンテキストの切り 替えコマンドは、同じ接続を使用し て送信されます。 Panorama 7.0 管理者ガイド • 225 ログストレージと接続に関する問題のトラブルシューティング トラブルシューティング デバイスとの通信と通信方向の確立 Panorama 5.x Panorama 6.x 内容 で使用する 以降で使用する ポート ポート Panorama とログコレクタ 3978 3978 Panorama モードの Panorama のデフォ ルトのログコレクタ間の通信、およ び分散ログ収集のデプロイ環境であ るログコレクタとの通信に使用され ます。 方向 : ログコレクタから開始される ログコレクタ間 管理およびログ収集 / レポート。 49190 方向 : 各ログコレクタからコレクタグ ループ内の他のログコレクタに対し て接続が開始される 28270 ログコレクタ間でのブロックおよ びすべてのバイナリデータの配信。 コレクタグループのログ保存エリアがゼロと表示される問題を解決する ディスクペアがロギング用に有効になっていない場合、コレクタグループのログストレージ容量 が 0MB と表示されることがあります。ログコレクタを選択し、[Panorama ] > [ 管理対象コレクタ ] タ ブでディスクペアをロギング用に有効にする必要があります。手順は、トピック「コレクタグ ループの管理」のステップ 8 を参照してください。 ディスクペアが有効であり、ログストレージに使用できることを確認するには、Panorama > Managed Collectors [Panorama > 管理対象コレクタ ] タブを選択し、ログコレクタが Connected [ 接続 済み ] と表示され、[ 設定状態 ] が In sync [ 同期中 ] になっていることを確認します。 故障した M-Series アプライアンスのディスク交換 M-Series アプライアンスのディスクに障害が発生した場合、そのディスクを置き換えて、RAID ペアで再設定する必要があります。これにより、RAID ペアのディスク間でデータのミラーリン グと同期ができるようになります。 障害ディスクの置き換え ステップ 1 新しいディスクを適切なドライブ ベイに設置します。 ステップ 2 RAID ペアのディスクをセットアッ プします。 障 害 デ ィ ス ク を 新 し い デ ィ ス ク に 置 き 換 え る 手 順 は、 M-100 あるいは M-500 のハードウェアリファレンスガイド を参照してください。 この例では、ディスクベイ B1 のドライブを使用していま す。 1. ディスクを RAID ペアに追加する以下のコマンドを入 力し、プロンプトが表示されたら要求を確認します。 ドライブ上のデータのミラーリング request system raid add B1 には、ドライブのデータ量に応じて 2. RAID 設定の進行状況をモニターし、そのディスクの 数分から数時間かかります。 RAID が有効になっていることを確認するには、以下の コマンドを入力します。 show system raid detail 226 • Panorama 7.0 管理者ガイド Palo Alto Networks トラブルシューティング ログストレージと接続に関する問題のトラブルシューティング Panorama ESXi サーバーの仮想ディスクを交換 仮想ディスクを ESXi サーバー上の Panorama バーチャルアプライアンスに追加した後で、その仮 想ディスクのサイズを変更することはできません。Panorama バーチャルアプライアンスで許可 されているログストレージの場所は 1 か所しかないため、ログ用のディスクスペースを追加また は削減する必要がある場合は、ESXi サーバーの仮想ディスクを置き換えてログストレージ容量 を調整する必要があります。 Panorama ESXi サーバーの仮想ディスクを交換 ステップ 1 Panorama から外部の宛先へのログ転送を設定。 ログを保存したい場合は、外部の宛 先に転送します。 ディスクを取り外すと、ディスクの ログにアクセスできなくなります。 ステップ 2 1. 仮想ディスクを置き換えます。 2. 3. ステップ 3 1. 変更したログの保存容量が正しいこ とを確認します。 2. 3. Palo Alto Networks Panorama バーチャルアプライアンスをパワーオフし ます。 Panorama バーチャルアプライアンスの設定を編集し、 必要な容量を備えた新しい仮想ディスクを追加しま す。仮想ディスクタイプは IDE にする必要がありま す。最大容量は 2TB です。 置き換える仮想ディスクを削除します。 Panorama バーチャルアプライアンスをパワーオンしま 「cache す。再起動プロセスは数分かかる場合があり、 data unavailable」というメッセージが画面に表示され ます。 Panorama バーチャルアプライアンスにログインします。 [Panorama] > [ セットアップ ] > [ 管理 ] の順に選択し、 [ ロギングおよびレポート設定 ] セクションに変更した ログストレージ容量が正確に表示されることを確認し ます。 Panorama 7.0 管理者ガイド • 227 ログストレージと接続に関する問題のトラブルシューティング トラブルシューティング ログコレクタモードでログを新しい M-Series アプライアンスに移行 ログコレクタモードの M-Series アプライアンス(専用ログコレクタ)を交換する必要がある場 合、RAID ディスクを新しい M-Series アプライアンスに移すことで、ファイアウォールから収集 したログを移行させることができます。これにより、M-Series アプライアンスのシステムエラー が発生した後でログを復元したり、ハードウェア更新の一環としてログを(M-100 アプライアン スから M-500 アプライアンスへ)移行したりすることができます。この手順は、専用ログコレ クタを管理している Panorama 管理サーバーが、Panorama バーチャルアプライアンスまたは Panorama モードの M-Series アプライアンスのどちらであっても適用されます。 ログコレクタモードでログを新しい M-Series アプライアンスに移行 ステップ 1 1. 新しいログコレクタモードのM-Series アプライアンスの初回のセットアッ プを実施します。 2. 3. 4. 5. 6. 7. 8. 228 • Panorama 7.0 管理者ガイド M-Series アプライアンスをラックマウントします。手順 は、 M-100 あるいは M-500 アプライアンスのハードウェ アリファレンスガイドを参照してください。 M-Series アプライアンスの初期設定。 M-Series アプライアンスがログ収集およびコレクタ グループ通信で Eth1 および Eth2 インターフェイス を使用していた場合、新しい M-Series アプライアン スの初回の構成の際にこれらのインターフェイス を定義する必要があります(Panorama > Setup > Management [Panorama > セットアップ > 管理 ]) 。 Panorama の登録。 新しい M-Series アプライアンスが以前の M-Series アプ ライアンスと同じハードウェアモデルである場合の み、以下のようにしてライセンスを移行させます。そ うでない場合、新しいライセンスを購入する必要があ ります。 a. カスタマーサポートポータルにログインします。 b. Assets [ アセット ] タブを選択し、Spares [ スペア ] リ ンクをクリックします。 c. 新しい M-Series アプライアンスの Serial Number [ シリ アル番号 ] をクリックします。 d. Transfer Licenses [ ライセンスを移行 ] をクリックし ます。 e. 以前の M-Series アプライアンスを Select [ 選択 ] し、 Submit [ 送信 ] をクリックします。 Panorama サポートライセンスのアクティベーション。 デバイス管理ライセンスのアクティベーションを行い ます。M-100 アプライアンスから M-500 アプライアン スへ移行を行っている場合、移行ライセンスの認証 コードを入力します。 Panorama のコンテンツ更新とソフトウェア更新のイン ストール。 M-500 アプライアンスの場合、Panorama 7.0 以降 のバージョンでなければなりません。ソフトウェ アバージョンについての重要な情報は Panorama、 ログコレクタ、およびファイアウォールのバー ジョン互換性を参照してください。 Panorama モードからログコレクタモードへの切り替え。 Palo Alto Networks トラブルシューティング ログストレージと接続に関する問題のトラブルシューティング ログコレクタモードでログを新しい M-Series アプライアンスに移行(続) ステップ 2 1. Panorama 管理サーバー上で新しいロ グコレクタを管理対象コレクタとし て追加します。 デバイスのシリアル番号が必 要になるコマンドを使用する ステップでは、必ずシリアル 番号全体を入力してくださ い。Tab キーを押してもシリア ル番号の一部が補完されるこ とはありません。 2. Panorama Web インターフェイスを使用して、あるいは 次の CLI コマンドを使用してログコレクタを管理対象 コレクタとして設定します。 configure set log-collector <LC_serial_number> deviceconfig system hostname <LC_hostname> exit 以前のログコレクタがログ収集およびコレクタ グループ通信で Eth1 および Eth2 インターフェイ スを使用していた場合、新しいログコレクタを管 理対象コレクタとして設定する際にそのイン ターフェイスを定義する必要があります (Panorama > Managed Collectors > Eth1 [Panorama > 管理対象コレクタ > Eth1] および Eth2)。 ログコレクタが Panorama に接続されており、そのディ スクペアのステータスが present/available であることを 確認します。 show log-collector serial-number <log-collector_SN> 復元プロセスのこの段階では、ディスクペアが無 効として表示されます。 3. 変更を Panorama にコミットします。まだ変更をコレク タグループにコミットしないでください。 configure commit exit ステップ 3 1. 以前のログコレクタから RAID ディ スクを取り外します。 2. Palo Alto Networks システムがシャットダウンするまで Power [ 電源 ] ボタ ンを押し続け、以前のログコレクタの電源を切ります。 ディスクペアを取り除きます。詳細については M-100 あるいは M-500 アプライアンスのハードウェアリファ レンスガイドに記載されたディスクの交換方法を参照 してください。 Panorama 7.0 管理者ガイド • 229 ログストレージと接続に関する問題のトラブルシューティング トラブルシューティング ログコレクタモードでログを新しい M-Series アプライアンスに移行(続) ステップ 4 移行用のディスクを準備します。 1. 各ディスクペアのメタデータ を生成すると、インデックス が再構築されます。そのため、 データ サイズによっては、プ ロセスの完了に長時間を要す る場合があります。複数の CLI セ ッ シ ョ ン を 立 ち 上 げ、各 セッションでメタデータを再 生成するコマンドを実行して 各ペアのプロセスを同時に完 了させれば、プロセスが迅速 に進みます。詳細は、 「M-Series アプライアンスの RAID ペア のメタデータを再生成」を参 照してください。 2. 新しいログコレクタにディスクを挿入します。詳細に ついては M-100 あるいは M-500 アプライアンスのハー ドウェアリファレンスガイドに記載されたディスクの 交換方法を参照してください。 M-100 アプライアンスのディスクキャリアは M-500 アプライアンスのものとは互換性があり ません。そのため、これらのハードウェアモデル 間で移行を行う際は、以前のキャリアのネジを外 して各ディスクを取り出し、ディスクを新しいア プライアンスに格納する前に新しいキャリアに 挿入しておく必要があります。 ディスクのペアの関係を崩さないようにしてく ださい。以前のアプライアンスのスロット A1/A2 から新しいアプライアンスのスロット B1/B2 に ディスクペアを移動させることはできますが、 ディスクのペアを一緒にして同じスロットに入 れ る よ う に し て く だ さ い。そ う し な け れ ば Panorama が正常にデータを復元できなくなるお それがあります。 各ペアに対して次の CLI コマンドを実行し、ディスク ペアを有効にします。 request system raid add <slot> force no-format 例: request system raid add A1 force no-format request system raid add A2 force no-format 3. 引数 force および no-format は必須です。 引数 force は、 ディスクペアを新しいログコレクタに関連付けます。引 数 no-format はドライブが再フォーマットされるのを回 避し、ディスクに保存されたログを維持させます。 各ディスクペアのメタデータを生成します。 request metadata-regenerate slot <slot_number> 例: request metadata-regenerate slot 1 ステップ 5 ログを移行します。 1. このステップでは、Web イン ターフェイスではなく Panorama CLI を使用する必要 があります。 新しいログコレクタは、以前 2. のログコレクタを含むコレク タグループに割り当てる必要 があります。 新しいログコレクタをコレクタグループに割り当て、 Panorama に加えた変更をコミットします。 configure set log-collector-group <collector_group_name> logfwd-setting collectors <new_LC_serial_number> commit exit 各ディスクペアについて、ログを以前のログコレクタ から新しいログコレクタに移行し、ディスクペアを新 しいログコレクタに取り付けます。 request log-migration from <old_LC_serial_number> old-disk-pair <log_disk_pair> to <new_LC_serial_number> new-disk-pair <log_disk_pair> 例: request log-migration from 003001000010 old-disk-pair A to 00300100038 new-disk-pair A 230 • Panorama 7.0 管理者ガイド Palo Alto Networks トラブルシューティング ログストレージと接続に関する問題のトラブルシューティング ログコレクタモードでログを新しい M-Series アプライアンスに移行(続) ステップ 6 1. コレクタグループを再設定します。 Web インターフェイスを使用し、ログを転送するファイ アウォールに新しいログコレクタを割り当てます (Panorama > Collector Groups > Device Log Forwarding [Panorama > コレクタグループ > デバイスログ転送 ])。 ファイアウォール優先度リストにて、以前のログコレク タと同じ優先度を新しいログコレクタに付与します。 CLI コマンドはファイアウォール優先度リスト の優先度を変更できないため、このステップでは Web インターフェイスを使用します。 2. コレクタグループから以前のログコレクタを削除しま す。 configure delete log-collector-group <group_name> logfwd-setting collectors <old_LC_serial_number> 例: delete log-collector-group DC-Collector-Group logfwd-setting collectors 003001000010 3. 以前のログコレクタを Panorama 設定から削除し、変更 を Panorama にコミットします。 delete log-collector <old_LC_serial_number> commit exit 4. コレクタグループの変更をコミットして、管理対象 ファイアウォールがログを新しいログコレクタに送信 できるようにします。 commit-all log-collector-config log-collector-group <collector_group_name> 例: commit-all log-collector-config log-collector-group DC-Collector-Group Panorama モードでログを新しい M-Series アプライアンスに移行 Panorama モードの M-Series アプライアンス(Panorama 管理サーバー)を交換する必要がある場 合、RAID ディスクを新しい M-Series アプライアンスに移すことで、ファイアウォールから収集 したログを移行させることができますが、これは Panorama が高可用性(HA)構成でデプロイさ れている場合のみ可能です。ディスクを移動させることにより、M-Series アプライアンスのシス テムエラーが発生した後でログを復元したり、ハードウェア更新の一環としてログを(M-100 ア プライアンスから M-500 アプライアンスへ)移行したりすることができます。 ここで説明する移行作業は次の各状況を想定しています。 単体の Panorama HA ピアのコレクタグループにデフォルトの管理対象コレクタ(ログコレク タ)がある。 Palo Alto Networks Panorama 7.0 管理者ガイド • 231 ログストレージと接続に関する問題のトラブルシューティング トラブルシューティング 単一のコレクタグループに所属する管理対象コレクタがどちらの Panorama HA ピアにもある。 詳細は、図 : コレクタグループごとに複数のデフォルトのログコレクタを参照してください。 どちらの Panorama HA ピアにも単一の管理対象コレクタがあり、それぞれ別のコレクタグルー プに割り当てられている。詳細は、図 : コレクタグループごとに 1 つのデフォルトのログコレ クタを参照してください。 Panorama モードでログを新しい M-Series アプライアンスに移行 ステップ 1 Panorama から外部の宛先へのログ転送を設定。 ロ グ を 維 持 し た い 場 合、以 前 の M-Series アプライアンスの SSD に 入っているログをすべて外部の宛先 に転送します。 SSD は、Panorama およびログコレク タが生成するシステムおよび設定ロ グのみを保存します。M-Series アプ ライアンス間で SSD を移動させるこ とはできません。 ステップ 2 1. 以前の M-Series アプライアンスから RAID ディスクを取り外します。 2. 232 • Panorama 7.0 管理者ガイド システムがシャットダウンするまで Power [ 電源 ] ボタ ンを押し続け、以前の M-Series アプライアンスの電源 を切ります。 ディスクペアを取り除きます。詳細については M-100 あるいは M-500 アプライアンスのハードウェアリファ レンスガイドに記載されたディスクの交換方法を参照 してください。 Palo Alto Networks トラブルシューティング ログストレージと接続に関する問題のトラブルシューティング Panorama モードでログを新しい M-Series アプライアンスに移行(続) ステップ 3 1. 新しい M-Series アプライアンスの初 期セットアップを実行します。 2. 3. 4. 5. 6. 7. 8. Palo Alto Networks M-Series アプライアンスをラックマウントします。手順 は、M-100 あるいは M-500 アプライアンスのハードウェ アリファレンスガイドを参照してください。 M-Series アプライアンスの初期設定。 M-Series アプライアンスがログ収集およびコレク タグループ通信で Eth1 および Eth2 インターフェ イスを使用していた場合、新しい M-Series アプラ イアンスの初回の構成の際にこれらのインター フェイスを定義する必要があります(Panorama > Setup > Management [Panorama > セットアップ > 管理 ]) 。 Panorama の登録。 新しい M-Series アプライアンスが以前の M-Series アプ ライアンスと同じハードウェアモデルである場合の み、以下のようにしてライセンスを移行させます。そ うでない場合、新しいライセンスを購入する必要があ ります。 a. カスタマーサポートポータルにログインします。 b. Assets [ アセット ] タブを選択し、Spares [ スペア ] リ ンクをクリックします。 c. 新しい M-Series アプライアンスの Serial Number [ シリ アル番号 ] をクリックします。 d. Transfer Licenses [ ライセンスを移行 ] をクリックし ます。 e. 以前の M-Series アプライアンスを Select [ 選択 ] し、 Submit [ 送信 ] をクリックします。 Panorama サポートライセンスのアクティベーション。 デバイス管理ライセンスのアクティベーションを行い ます。M-100 アプライアンスから M-500 アプライアン スへ移行を行っている場合、移行ライセンスの認証 コードを入力します。 Panorama のコンテンツ更新とソフトウェア更新のイン ストール。 M-500 アプライアンスの場合、Panorama 7.0 以降 のバージョンでなければなりません。ソフトウェ アバージョンについての重要な情報は Panorama、 ログコレクタ、およびファイアウォールのバー ジョン互換性を参照してください。 HA 優先度を設定します。新しい M-Series アプライアン スの優先度は、交換中の HA ピアと同じでなければな りません。 Panorama 7.0 管理者ガイド • 233 ログストレージと接続に関する問題のトラブルシューティング トラブルシューティング Panorama モードでログを新しい M-Series アプライアンスに移行(続) ステップ 4 移行用のディスクを準備します。 1. 各ディスクペアのメタデータ を生成すると、インデックス が再構築されます。そのため、 データ サイズによっては、プ ロセスの完了に長時間を要す る場合があります。複数の CLI セ ッ シ ョ ン を 立 ち 上 げ、各 セッションでメタデータを再 生成するコマンドを実行して 各ペアのプロセスを同時に完 了させれば、プロセスが迅速 に進みます。詳細は、 「M-Series アプライアンスの RAID ペア のメタデータを再生成」を参 照してください。 2. 新しい M-Series アプライアンスにディスクを挿入しま す。詳細については M-100 あるいは M-500 アプライア ンスのハードウェアリファレンスガイドに記載された ディスクの交換方法を参照してください。 M-100 アプライアンスのディスクキャリアは M-500 アプライアンスのものとは互換性がありません。 そのため、これらのハードウェアモデル間で移行 を行う際は、以前のキャリアのネジを外して各 ディスクを取り出し、ディスクを新しいアプライ アンスに格納する前に新しいキャリアに挿入して おく必要があります。 ディスクのペアの関係を崩さないようにしてくだ さい。以前のアプライアンスのスロット A1/A2 か ら新しいアプライアンスのスロット B1/B2 にディ スクペアを移動させることはできますが、ディス クのペアを一緒にして同じスロットに入れるよう にしてください。そうしなければ Panorama が正常 にデータを復元できなくなるおそれがあります。 各ペアに対して次の CLI コマンドを実行し、ディスク ペアを有効にします。 request system raid add <slot> force no-format 例: request system raid add A1 force no-format request system raid add A2 force no-format 3. 引数 force および no-format は必須です。引数 force は、ディスクペアを新しいアプライアンスに関連付け ます。引数 no-format はドライブが再フォーマットさ れるのを回避し、ディスクに保存されたログを維持さ せます。 各ディスクペアのメタデータを生成します。 request metadata-regenerate slot <slot_number> 例: request metadata-regenerate slot 1 4. M-Series アプライアンス HA ピアの設定を同期します。 request high-availability sync-to-remote running-config 234 • Panorama 7.0 管理者ガイド Palo Alto Networks トラブルシューティング ログストレージと接続に関する問題のトラブルシューティング Panorama モードでログを新しい M-Series アプライアンスに移行(続) ステップ 5 1. 新しい M-Series アプライアンス用の ローカルログコレクタを設定します。 デバイスのシリアル番号が必 要になるコマンドを使用する ステップでは、必ずシリアル 番号全体を入力してくださ い。Tab キーを押してもシリア 2. ル番号の一部が補完されるこ とはありません。 configure set log-collector <log-collector_SN> deviceconfig system hostname <log-collector-hostname> exit ローカルログコレクタが Panorama に接続されており、 そのディスクペアのステータスが present/available であ ることを確認します。 show log-collector serial-number <log-collector_SN> この段階ではまだ新しい M-Series アプライアンスのディ スクを有効化しないでくださ い。ログの移行が正常に完了し たら、Panorama が自動的にディ スクを有効化します。 ステップ 6ログを移行します。 Panorama Web インターフェイスを使用して、あるいは 次の CLI コマンドを使用してローカルログコレクタを 管理対象コレクタとして設定します。 復元プロセスのこの段階では、ディスクペアが無 効として表示されます。 3.変更を Panorama にコミットします。まだ変更 をコレクタグループにコミットしないでください。 configure commit 1. このステップでは、Web イン ターフェイスではなく Panorama CLI を使用する必要 があります。 新しい M-Series アプライアン スのローカルログコレクタ は、以前の M-Series アプライ アンスのローカルログコレク 2. タを含むコレクタグループに割り当 てる必要があります。 新しいローカルログコレクタをコレクタグループのメ ンバーとして追加し、Panorama に加えた変更をコミッ トします。 set log-collector-group <collector_group_name> logfwd-setting collectors <SN_managed_collector> commit 古いローカルログコレクタは、まだ設定から削除して いないため、メンバーのリストに表示されています。 ディスクペアごとにログを新しいアプライアンスに移 行します。 request log-migration from <old_LC_serial_number> old-disk-pair <log_disk_pair> to <new_LC_serial_number> new-disk-pair <log_disk_pair> 例: request log-migration from 003001000010 old-disk-pair A to 00300100038 new-disk-pair A 3. 変更を Panorama にコミットします。 commit Palo Alto Networks Panorama 7.0 管理者ガイド • 235 ログストレージと接続に関する問題のトラブルシューティング トラブルシューティング Panorama モードでログを新しい M-Series アプライアンスに移行(続) ステップ 7 1. コレクタグループを再設定します。 Web インターフェイスを使用し、ログを転送するファイ アウォールに新しいログコレクタを割り当てます (Panorama > Collector Groups > Device Log Forwarding [Panorama > コレクタグループ > デバイスログ転送 ])。 ファイアウォール優先度リストにて、以前のログコレク タと同じ優先度を新しいログコレクタに付与します。 CLI コマンドはファイアウォール優先度リスト の優先度を変更できないため、このステップでは Web インターフェイスを使用します。 2. コレクタグループから以前のログコレクタを削除し ます。 delete log-collector-group <group_name> logfwd-setting collectors <old_LC_serial_number> 例: delete log-collector-group DC-Collector-Group logfwd-setting collectors 003001000010 3. 以前のログコレクタを Panorama 設定から削除し、変更 を Panorama にコミットします。 delete log-collector <old_LC_serial_number> commit exit 4. コレクタグループの変更をコミットして、管理対象 ファイアウォールがログを新しいログコレクタに送信 できるようにします。 commit-all log-collector-config log-collector-group <collector_group_name> 例: commit-all log-collector-config log-collector-group DC-Collector-Group 非 HA デプロイ環境の Panorama で障害 /RMA が発生した後にログを回復する 高可用性(HA)構成でデプロイされていない Panorama 管理サーバーでシステム障害が発生し、 Panorama サーバーが HA 設定で導入されていない場合、この手順を使用して、代替 Panorama の 設定を復元し、専用ログコレクタが管理するログへ再びアクセスできるようにします。 Panorama は、 専用ログコレクタがログの保存に使用するセグメントおよびパーティションをマッ ピングするリングファイルを保持します。Panorama モードの M-Series アプライアンスがリング ファイルを内部の SSD に保存する一方、Panorama バーチャルアプライアンスはリングファイル を内部ディスクに保存します。システム障害が発生した場合、非 HA の Panorama はリングファ イルを自動的に復元できません。そのため、Panorama を交換する際にリングファイルを復元し、 専用ログコレクタのログにアクセスできるようにしなくてはなりません。 Palo Alto Networks は HA 設定で Panorama をデプロイすることをお勧めします。アクティブ Panorama ピアは HA 構成のパッシブピアとリングファイルを同期するため、専用ログコレクタ にアクセスできる状態が維持されます。 236 • Panorama 7.0 管理者ガイド Palo Alto Networks トラブルシューティング ログストレージと接続に関する問題のトラブルシューティング 非 HA デプロイ環境の Panorama で障害 /RMA が発生した後にログを回復する ステップ 1 1. 新しいPanoramaプラットフォームの 初期セットアップを実行します。 2. 3. 4. 5. 6. 7. Palo Alto Networks 新しいプラットフォームの場合は M-Series アプライア ンスをラックマウントします。手順は、M-100 あるい は M-500 アプライアンスのハードウェアリファレンス ガイドを参照してください。 M-Series アプライアンスの初期設定 あるいは Panorama バーチャルアプライアンスの初期設定の実行を行いま す。 M-Series アプライアンスがログ収集およびコレク タグループ通信で Eth1 および Eth2 インターフェ イスを使用していた場合、新しい M-Series アプラ イアンスの初回の構成の際にこれらのインター フェイスを定義する必要があります(Panorama > Setup > Management [Panorama > セットアップ > 管 理 ]) 。Panorama バーチャルアプライアンスは Eth1 あるいは Eth2 を使用しません。 Panorama の登録。 ライセンスの移行: a. カスタマーサポートポータルにログインします。 b. Assets [ アセット ] タブを選択し、Spares [ スペア ] リ ンクをクリックします。 c. 新しい M-Series アプライアンスの Serial Number [ シリ アル番号 ] をクリックします。 d. Transfer Licenses [ ライセンスを移行 ] をクリックし ます。 e. 以前のプラットフォームを Select [ 選択 ] し、Submit [ 送信 ] をクリックします。 Panorama サポートライセンスのアクティベーション。 デバイス管理ライセンスのアクティベーションを行い ます。 Panorama のコンテンツ更新とソフトウェア更新のイン ストール。 M-500 アプライアンスの場合、Panorama 7.0 以降 のバージョンでなければなりません。ソフトウェ アバージョンについての重要な情報は Panorama、 ログコレクタ、およびファイアウォールのバー ジョン互換性を参照してください。 Panorama 7.0 管理者ガイド • 237 ログストレージと接続に関する問題のトラブルシューティング トラブルシューティング 非 HA デプロイ環境の Panorama で障害 /RMA が発生した後にログを回復する(続) ステップ 2 1. 古い Panorama から交換 Panorama に 設定を復元します。 このタスクでは、 推奨事項に従ってシ 2. ステム障害が発生する前に Panorama 設定をバックアップおよびエクス ポートしていることを前提としてい ます。 3. 4. 5. ステップ 3 1. リングファイルを取得して、専用ロ 2. グコレクタに保存されているログへ のアクセスを復元します。 新しい Panorama にログインし、Panorama > Setup > Operations [Panorama > セットアップ > 操作 ] の順に選 択します。 Import named Panorama configuration snapshot [ 名前を付 けて保存した Panorama 設定スナップショットのイン ポート ] をクリックし、保存済みのファイルを Browse [ 参照 ] して OK をクリックします。 Load named Panorama configuration snapshot [ 名前を付 けて保存した Panorama 設定スナップショットの読み 込み ] を選択し、先ほどインポートしたファイルを選 択します。 Commit [ コミット ] をクリックし、 Commit Type [ コミッ トタイプ ] で Panorama を選択して、さらに Commit [ コ ミット ] をクリックします。 Panorama > Managed Collectors [Panorama > 管理対象コ レクタ ] を選択し、Connected [ 接続済み ] 列の専用ログ コレクタにチェックマークが付いていることを確認し ます。 専用ログコレクタが表示されない場合、ステップ 4 に 従って専用ログコレクタおよびそのコレクタグループ を設定し直す必要があります。 新しい Panorama の CLI にアクセスします。 リングファイルを取得します。 > request fetch ring from log-collector <serial-number> 例: > request fetch ring from log-collector 009201000343 3. 専用ログコレクタのシリアル番号が分からない 場合は、CLI にログインして操作コマンド show system info を入力します。 変更をコレクタグループにコミットします。 > commit-all log-collector-config log-collector-group <collector-group-name> 238 • Panorama 7.0 管理者ガイド Palo Alto Networks トラブルシューティング ログストレージと接続に関する問題のトラブルシューティング 非 HA デプロイ環境の Panorama で障害 /RMA が発生した後にログを回復する(続) ステップ 4 1. Panorama で専用ログコレクタおよび コレクタグループが表示されない場 合はそれらを設定し直します。 専用ログコレクタの CLI にアクセスして以下のコマン ドを実行し、コレクタグループの名前を表示します。 a. 次のコマンドを入力します。 > request fetch ring from log-collector <serial_number> 以下のエラーが表示されます。 Server error: Failed to fetch ring info from <serial_number> b. 次のコマンドを入力します。 > less mp-log ms.log 以下のエラーが表示されます。 Dec04 11:07:08 Error: pan_cms_convert_resp_ring_to_file(pan_ops_cms.c: 3719):Current configuration does not contain group CA-Collector-Group この例のエラー メッセージは、CA-Collector-Group と いう名前のコレクタグループが欠落していることを 示します。 2. コレクタグループを設定し、専用ログコレクタをその グループに割り当てます。 > configure # set log-collector-group <collector-group-name> # set log-collector-group <collector-group-name> logfwd-setting collector <serial-number> 3. 変更を Panorama にコミットしますが、コレクタグルー プにはコミットしません。 # commit # exit 4. 専用ログコレクタからリングファイルを取得します。 > request fetch ring from log-collector <serial_number> 5. 変更をコレクタグループにコミットします。 > commit-all log-collector-config log-collector-group <collector-group-name> M-Series アプライアンスの RAID ペアのメタデータを再生成 M-Series でシステム障害が発生した場合、アプライアンス間で物理的にディスクを移動させ、必 要に応じてメタデータを再生成する必要があります。メタデータは、ディスクのログを特定する ために必要になります。ユーザーがログクエリを発行した場合、クエリはこのメタデータを参照 して、要求されたログデータにアクセスします。 M-Series アプライアンスの設定済みの RAID ディスクペアごとに、アプライアンスの CLI にアク セスして次のコマンドを実行し、メタデータを再び生成する必要があります。 Palo Alto Networks Panorama 7.0 管理者ガイド • 239 ログストレージと接続に関する問題のトラブルシューティング トラブルシューティング request metadata-regenerate slot <slot_number> 例: request metadata-regenerate slot 1 メタデータの再生成にかかる時間は RAID ディスクのサイズによります。100GB ごとに平均で 1 時間かかります。コマンドを実行する場合、コマンドが完全に実行されるまでの間、CLI セッ ションがロックされます。複数の CLI セッションを使用して処理を速めることもできます。例 えば、合計 4TB のログデータを持つ 4 つの RAID ペアを交換する際、4 つの CLI セッションを立 ち上げて各セッションに対してコマンドを実行し、すべてのペア / スロットでメタデータを同時 に再生成する場合は約 10 時間かかります。 メタデータの再生成中は、これらの RAID ディスクが属するコレクタグループは使用できず、 ディスクペアはロギングやレポート操作(書き込み / クエリ)に使用できません。ただし、他の タスク(新しいファイアウォール接続の処理や管理対象ファイアウォールの設定変更の管理な ど)は実行できます。Panorama が管理する、この RMA プロセスの一部ではない他のすべてのコ レクタグループは、割り当てられたロギングおよびレポート機能を通常どおり実行できます。 240 • Panorama 7.0 管理者ガイド Palo Alto Networks トラブルシューティング RMA ファイアウォールの交換 RMA ファイアウォールの交換 商品返品保証(RMA)付きの管理対象ファイアウォールの設定復元に必要な作業を最小限にす るために、Panorama で古いファイアウォールのシリアル番号を新規 / 交換ファイアウォールの シリアル番号と置き換えることができます。その後、交換ファイアウォールで設定を復元するに は、以前に生成してファイアウォールからエクスポートしたファイアウォール状態をインポート するか、Panorama を使用して PAN-OS v5.0 以降のバージョンを実行する管理対象ファイアウォー ルの部分的なデバイス状態を生成します。シリアル番号を置き換えてデバイス状態をインポート することで、Panorama を使用したファイアウォールの管理を再開できます。 ファイアウォールの部分的なデバイス状態の生成 RMA ファイアウォール交換の前準備 交換後のファイアウォール設定の復元 ファイアウォールの部分的なデバイス状態の生成 Panorama では、部分的なデバイス状態を作成する際、Large Scale VPN(LSVPN)のセットアップ の若干の例外を除き、管理対象ファイアウォールの設定を複製します。部分的なデバイス状態 は、管理対象ファイアウォールの設定の 2 つの側面を組み合わせて作成します。 Panorama が中央管理する設定 — Panorama は、共有ポリシールールとテンプレートのスナップ ショットを保持しており、これをファイアウォールにプッシュします。 ファイアウォール側のローカル設定 — 設定変更がコミットされると、各ファイアウォールは ローカル設定ファイルのコピーを Panorama に送信します。このファイルは Panorama に保存 され、部分的なデバイス状態のバンドルをまとめるときに使用されます。 LSVPN セットアップでは、Panorama で生成する部分的なデバイス状態のバンドルは、ファイ アウォールからのエクスポート( [Device] > [ セットアップ ] > [ 操作 ] の順に選択し、[ デ バイス状態のエクスポート ] をクリック)によって生成されるバージョンとは異なります。 手動でデバイス状態のエクスポートを実行したか、XML API スクリプトでファイルをリモート サーバーにエクスポートするようにスケジュール設定した場合、エクスポートされたデバイス 状態をファイアウォール交換ワークフローで使用できます。 デバイス状態をエクスポートしていない場合、ワークフローで生成するデバイス状態には、証 明書の詳細や登録済みファイアウォールなど、ダイナミック設定情報は含まれません。この設 定情報は、LSVPN ポータルとして機能するファイアウォールの完全な設定を復元する場合に必 要になります。詳細は「RMA ファイアウォール交換の前準備」を参照してください。 デバイス状態は Panorama に保存されず、 「交換後のファイアウォール設定の復元」に挙げた CLI コマンドを使用して要求されると生成されます。 RMA ファイアウォール交換の前準備 管理対象ファイアウォール(交換後)の PAN-OS バージョンは 5.0.4 以降である必要がありま す。Panorama は、これより古い PAN-OS バージョンを実行するファイアウォールのデバイス 状態を生成できません。 古いファイアウォールについて、以下の詳細事項を記録します。 Palo Alto Networks Panorama 7.0 管理者ガイド • 241 RMA ファイアウォールの交換 – トラブルシューティング シリアル番号 — ライセンスを古いファイアウォールから交換ファイアウォールに転送す るには、サポートポータルにシリアル番号を入力する必要があります。古いシリアル番 号へのすべての参照を、交換ファイアウォールのシリアル番号に置き換えるために、こ の情報を Panorama にも入力する必要があります。 – (推奨)PAN-OS バージョンとコンテンツデータベースバージョン — 同じバージョンのソ フトウェアおよびコンテンツデータベース(URL データベース ベンダーを含む)をインス トールすると、交換ファイアウォールに同じ状態を作成できます。コンテンツデータベー スの最新バージョンをインストールする場合は、データベースへの更新と追加による差異 がある可能性があります。ファイアウォールにインストールされているバージョンを確認 するには、Panorama に保存されたファイアウォールシステムログにアクセスします。 交換ファイアウォールのデプロイを準備します。デバイス状態を一括インポートして設定を 復元する間に、以下の手順を実行する必要があります。 – 交換ファイアウォールが同じモデルで、操作機能も同じであることを確認します。マル チ仮想システムの有効化、ジャンボ フレームのサポート、CC または FIPS モード操作へ の対応が必要かどうか、操作機能を検討します。 – ネットワークアクセスを設定し、ライセンスを転送して、適切な PAN-OS バージョンと コンテンツデータベースバージョンをインストールします。 このファイアウォール交換プロセスを完了するには、Panorama CLI を使用する必要がありま す。この CLI ベースのワークフローを使用できるのは、スーパーユーザーと Panorama 管理 ユーザーロールです。 LSVPN 設定があり、サテライトデバイスまたは LSVPN ポータルとして導入されている Palo Alto Networks ファイアウォールを置き換える場合、LSVPN 接続の復元に必要なダイナミック 設定情報は、Panorama で生成された部分的なデバイス状態を復元するときには使用できませ ん。推奨事項に従って LSVPN 設定のファイアウォールのデバイス状態を頻繁に生成してエク スポートしている場合は、Panorama でデバイス状態を生成するのではなく、ファイアウォー ル自体から以前にエクスポートしたデバイス状態を使用します。 ファイアウォールから手動でデバイス状態をエクスポートしたことがなく、Panorama で部分 的なデバイス状態を生成する必要がある場合、ダイナミック設定が欠落しているとファイア ウォール交換プロセスに以下のような影響があります。 – 交換するファイアウォールがポータル デバイスで、サテライトデバイスのシリアル番号 が明示的に設定されている場合( [Network] > [GlobalProtect] > [ ポータル ] > [ サテライト設定 ]) 、 ファイアウォール設定を復元するときに、ダイナミック設定が欠落していても、ポータ ル ファイアウォールはサテライトデバイスを正常に認証できます。認証が成功するとダ イナミック設定情報が入力され、LSVPN 接続が回復します。 – サテライトファイアウォールを交換する場合、サテライトファイアウォールがポータル に接続して認証を受けることはできません。この接続の失敗は、シリアル番号がファイ アウォールに明示的に設定されていないか( [Network] > [GlobalProtect] > [ ポータル ] > [ サテラ 、シリアル番号が明示的に設定されていても、交換ファイアウォールのシリア イト設定 ]) ル番号が古いファイアウォールのシリアル番号と一致しないために発生します。接続を 復元するには、デバイス状態を一括インポートした後に、サテライト管理者がファイア ウォールにログインし、認証情報(ユーザー名とパスワード)を入力してポータルの認 証を受ける必要があります。この認証が行われると、LSVPN 接続に必要なダイナミック 設定がポータルに生成されます。 ただし、ファイアウォールが高可用性設定で構成されていた場合、設定を復元した後、ファ イアウォールは実行中の設定をピアと自動的に同期して、シームレスに機能するために必要 な最新のダイナミック設定を取得します。 242 • Panorama 7.0 管理者ガイド Palo Alto Networks トラブルシューティング RMA ファイアウォールの交換 交換後のファイアウォール設定の復元 交換後のファイアウォール設定の復元 新しいファイアウォールでのタスク : より合理化されたワークフローを実行するには、CLI を使 用します。 ステップ 1 シリアルポート接続か SSH(Secure Shell)接続を使用して、 初期設定を実行し、ネットワーク接 IP アドレスと DNS サーバーの IP アドレスを追加し、ファ 続を確認します。 イアウォールが Palo Alto Networks 更新サーバーにアクセス できることを確認します。 ステップ 2 1. 以下の CLI コマンドを入力して、ファイアウォールの メンテナンス モードにアクセスします。 (任意)操作モードを古いファイア ウォールの操作モードと同じになる > debug system maintenance-mode ように設定します。このタスクには、 2. メインメニューで操作モードを Set FIPS Mode [FIPS モー シリアルポート接続が必要です。 ドを設定 ] または Set CCEAL 4 Mode [CCEAL 4 モードを設 定 ] に設定します。 ステップ 3 ライセンスを取得するには、以下のコマンドを入力します。 > request license fetch ライセンスを取得します。 ステップ 4 ファイアウォール設定に関連するコマンドを入力します。 > set system setting multi-vsys on (任意)新しいファイアウォールの 操作状態を古いデバイスの操作状 > set system setting jumbo-frame on 態と同じになるように設定します。 たとえば、古いファイアウォールで マルチ仮想システム(マルチ -vsys) 機能が有効だった場合は、マルチ -vsys 機能を有効にします。 ステップ 5 以下のコマンドを入力します。 ファイアウォールの PAN-OS バー 1. コンテンツデータベースバージョンをアップグレード ジョンをアップグレードします。 する: > request content upgrade download <xxx-xxxx> 古いファイアウォールにインス トールされていたものと同じバー 2. ダウンロードしたコンテンツデータベースバージョン ジョンの OS およびコンテンツデー をインストールする: タベースにアップグレードする必 > request content upgrade install version <xxx-xxxx> 要があります。 3. PAN-OS ソフトウェアバージョンをアップグレードする: > request system software download version 5.x.x 4. ダウンロードした PAN-OS ソフトウェアバージョンを インストールする: > request system software install version 5.x.x Palo Alto Networks Panorama 7.0 管理者ガイド • 243 RMA ファイアウォールの交換 トラブルシューティング 交換後のファイアウォール設定の復元(続) Panorama CLI でのタスク : これらのタスクは、Panorama Web インターフェイスでは実 行できません。 (ファイアウォールから手動でデバイス状態 以下のいずれかのコマンドを入力します。 > scp export device-state device <old serial#> to をエクスポートした場合は、このステップを <login> @ <serverIP>: <path> 省略してください)。 ステップ 6 または Secure Copy(SCP)または TFTP を使 > tftp export device-state device <old serial#> to 用して、デバイス状態をコンピュー <login> @ <serverIP>: <path> タに一括エクスポートします。 エクスポートコマンドは、デバイス 状態バンドルを tar 圧縮ファイルと して生成し、指定された場所にエク スポートします。このデバイス状態 には、LSVPN ダイナミック設定(サ テライト情報と証明書の詳細)は含 まれません。 ステップ 7 1. Panorama で、古いファイアウォール のシリアル番号を新しい交換ファ 2. イアウォールのシリアル番号で置 き換えます。 Panorama でシリアル番号を置き換 3. えることで、新しいファイアウォー ル上に設定を復元した後、そのファ イアウォールから Panorama に接続 できます。 新しいファイアウォールでのタスク : > replace device old <old SN#> new <new SN#> 設定モードに切り替え、変更をコミットします。 > configure # commit 設定モードを終了します。 # exit 以下のタスクは、ファイアウォール Web インターフェイス を使用して実行できます。 ステップ 8 1. デバイス状態をインポートして、変 更をファイアウォールにコミット 2. します。 3. 4. 5. 244 • Panorama 7.0 管理者ガイド 操作モードで以下のコマンドを入力します。 ファイアウォールの Web インターフェイスにアクセス します。 Device > Setup > Operations [ デバイス > セットアップ > 操作 ] の順に選択し、Configuration Management [ 設定の 管理 ] セクションの Import Device State [ デバイス状態 のインポート ] リンクをクリックします。 ファイルを参照して見つけ、OK をクリックします。 [ コミット ] をクリックして、ファイアウォールの実行 中の設定に変更を保存します。 復元されたデバイス状態に Panorama がプッシュしたポ リシーとオブジェクトへの参照が含まれていることを 確認するには、デバイス名の横に緑の小さいアイコン が表示されているかどうかチェックします。 Palo Alto Networks トラブルシューティング RMA ファイアウォールの交換 交換後のファイアウォール設定の復元(続) Panorama でのタスク : これで、Panorama Web インターフェイスを使用して、交換 ファイアウォールにアクセスして管理できるようになりま した。 ステップ 9 1. ファイアウォールの設定を正常に 復元できたことを確認します。 2. Panorama Web インターフェイスにアクセスして、 [Panorama] > [ 管理対象デバイス ] の順に選択します。 新しいファイアウォールの Connected [ 接続済み ] 列に チェックマークが表示されていることを確認します。 ステップ 10 1. ファイアウォールをPanoramaと同期 します。 Commit [ コミット ] をクリックし、 Commit Type [ コミッ トタイプ ] を Device Group [ デバイスグループ ] に設定 し、そのファイアウォールを服務デバイスグループを 選択し、Include Device and Network Template [ デバイス およびネットワークテンプレートを含める ] チェック ボックスをオンにして再び Commit [コミット] をクリッ クします。 2. (M-Series のみ)管理対象のファイアウォールがログを ログコレクタに転送する場合のみ、このステップを実 施します。Commit [ コミット ] をクリックし、Commit Type [ コミットタイプ ] を Collector Group [ コレクタグ ループ ] に設定し、そのファイアウォールを含むコレク タグループを選択してさらに Commit [ コミット ] をク リックします。 新しいファイアウォールをインストールした後で以 前のファイアウォールがまだ機能している期間につ い て の レ ポ ー ト を 生 成 す る 必 要 が あ る 場 合 は、 Panorama のシリアル番号を置き換えてもログの情報 は上書きされないため、それぞれのファイアウォー ルのシリアル番号について別個にクエリを生成する 必要があります。 ファイアウォールを交換した後、古いファイアウォールが機能していたときから、交換ファイ アウォールのインストール後までの期間についてレポートを生成する必要がある場合、それぞ れのファイアウォールのシリアル番号について別個のクエリを生成する必要があります。これ は、Panorama のシリアル番号を置き換えても、ログの情報は上書きされないためです。 Palo Alto Networks Panorama 7.0 管理者ガイド • 245 コミット エラーのトラブルシューティング トラブルシューティング コミット エラーのトラブルシューティング Panorama でコミット エラーが発生した場合、次の条件をチェックしてください。 症状 条件 解決策 テンプレートあるいは Panorama からテンプレートおよびデバ デバイスグループのコ イスグループ設定の変更を受信する機 ミット エラー 能がファイアウォールで無効になって います。 ファイアウォールの Web インターフェ イスにアクセスし、Device > Setup [ デバ イス > セットアップ ] の順に選択して、 Panorama Settings [Panorama 設定 ] を編集 し、Enable Device and Network Template [ デバイスとネットワークテンプレート を有効にする ] および Enable Panorama Policy and Objects [Panorama ポリシーと オブジェクトを有効にする ] をクリッ クします。 Panorama、テンプレー Panorama 管理サーバーのソフトウェア ト、デバイスグループ、 バージョンが、管理対象の専用ログコ あ る い は コ レ ク タ グ レクタあるいはファイアウォールのも ル ー プ の コ ミ ッ ト エ のよりも古くなっています。 ラー Panorama 管理サーバーのソフトウェア バージョンを管理対象デバイスのもの と同じかそれ以降のものに更新してく ださい。詳細は、Panorama、ログコレク タ、お よ び フ ァ イ ア ウ ォ ー ル の バ ー ジョン互換性を参照してください。 246 • Panorama 7.0 管理者ガイド Palo Alto Networks トラブルシューティング 登録あるいはシリアル番号のエラーのトラブルシューティング 登録あるいはシリアル番号のエラーのトラブルシューティ ング Panorama の登録を行った後でも M-Series アプライアンスの Panorama > Support [Panorama > サポー ト ] ページにサポートライセンスの詳細が表示されない、あるいは Panorama > Setup > Management [Panorama > セットアップ > 管理 ] ページで Serial Number [ シリアル番号 ] が「Unknown」と表示 される場合は、次の作業を行ってください。 登録あるいはシリアル番号のエラーを解決 ステップ 1 Palo Alto Networks から送信されてきた注文処理メールに記載されている Panorama のシリアル番 号をひかえます。 ステップ 2 [Panorama ] > [ セットアップ ] > [ 管理 ] の順に選択し、[ 一般設定 ] を編集します。 ステップ 3 Serial Number [ シリアル番号 ] を入力し、OK をクリックします。 ステップ 4 Commit [ コミット ] をクリックし、Commit Type [ コミットタイプ ] で Panorama を選択して、さ らに Commit [ コミット ] をクリックします。 Palo Alto Networks Panorama 7.0 管理者ガイド • 247 レポートエラーのトラブルシューティング トラブルシューティング レポートエラーのトラブルシューティング Panorama がレポートの生成に失敗した、あるいはレポートにあるはずのデータが欠けている場 合は、そのコンテンツバージョン(例:アプリケーションおよび脅威データベース)が管理対象 コレクタおよびファイアウォールのものと異なっている可能性があります。Panorama のコンテ ンツバージョンは、管理対象コレクタおよびファイアウォールのコンテンツバージョンと同じか それより新しいものでなければなりません。詳細は、Panorama、ログコレクタ、およびファイア ウォールのバージョン互換性を参照してください。 248 • Panorama 7.0 管理者ガイド Palo Alto Networks トラブルシューティング タスクの成否の確認 タスクの成否の確認 Panorama Web インターフェイスの右下隅にある [ タスク マネージャ ] アイコン で、タス クの成否を確認できます。また、問題のデバッグに役立つ詳細メッセージも表示されます。詳細 は、Panorama のタスク完了履歴の表示を参照してください。 Palo Alto Networks Panorama 7.0 管理者ガイド • 249 タスクの成否の確認 250 • Panorama 7.0 管理者ガイド トラブルシューティング Palo Alto Networks
© Copyright 2024 Paperzz