Palo Alto Networks Web インターフェイス リファレンス ガイド バージョン 7.1 連絡先情報 本社: Palo Alto Networks. 4401 Great America Parkway Santa Clara, CA 95054 www.paloaltonetworks.com/company/contact-us このガイドについて このガイドでは、Palo Alto Networks の次世代ファイアウォールおよび Panorama™ の Web インターフェ イスについて説明します。Web インターフェイスを使用する方法と、インターフェイス内のフィールド に値を入力する方法に関するリファレンス情報が記載されています。 追加の機能およびファイアウォールの機能の設定方法の詳細 (https://www.paloaltonetworks.com/documentation) ナレッジ ベース、ドキュメント セット一式、ディスカッション フォーラム、および動画 (https://live.paloaltonetworks.com) サポート窓口、サポートプログラムの詳細、アカウントまたはデバイスの管理、またはサポートケー スを開く(https://www.paloaltonetworks.com/support/tabs/overview.html) PAN-OS および Panorama 7.1 の最新のリリースノート (https://www.paloaltonetworks.com/documentation/71/pan-os/pan-os-release-notes.html) ドキュメントのフィードバックは、以下の宛先までご送付ください。[email protected] Palo Alto Networks, Inc. www.paloaltonetworks.com © 2007-2016 Palo Alto Networks, Inc. Palo Alto Networks は、Palo Alto Networks の登録商標です。当社の商標のリストは、 http://www.paloaltonetworks.com/company/trademarks.html に記載されています。本書に記述されているその他の商標はすべ て、各社の商標である場合があります。 改定日:2016 年 4 月 15 日 2 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. 5 4 , 2016 - Palo Alto Networks COMPANY CONFIDENTIAL 目次 第1章 はじめに . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 ファイアウォールの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 機能と利点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 管理インターフェイス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 第2章 デバイス管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 前回のログイン時間およびログイン試行回数 . . . . . . . . . . . . . . . . . . . 本日のメッセージ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . タスクマネージャ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 言語 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . アラーム . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 変更のコミット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 変更内容のロック . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 候補設定の保存 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . システム設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 管理設定の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 操作設定の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . SNMP モニタリングの有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ハードウェアセキュリティモジュールの定義 . . . . . . . . . . . . . . . . . . . . . . . サービス設定の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 宛先サービス ルート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DNS サーバープロファイルの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Content-ID 設定の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . WildFire の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . セッション設定の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . セッション設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . セッション タイムアウト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . TCP 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 復号化設定:証明書取り消しチェック . . . . . . . . . . . . . . . . . . . . . . . . . . 復号化設定:フォワード プロキシ サーバーの証明書設定 . . . . . . . . VPN セッション設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 設定ファイルの比較 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VM 情報の送信元の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ソフトウェア更新の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . © Palo Alto Networks, Inc. 17 18 18 19 19 20 20 22 23 23 24 41 46 48 50 53 54 55 59 61 61 64 65 67 68 69 70 70 74 Web インターフェイス リファレンス ガイド、バージョン 7.1 • 3 目次 コンテンツ更新の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 ライセンスの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 ライセンス失効時の動作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 管理者アクセスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 管理者ロールの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 パスワードプロファイルの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 ユーザー名とパスワードの要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 管理アカウントの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 管理者用アクセスドメインの指定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 認証の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 認証プロファイルのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 ローカルユーザーデータベースの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 ローカルユーザーグループの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 RADIUS サーバーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 TACACS+ サーバーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 LDAP サーバーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 Kerberos サーバーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 認証シーケンスのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 ログ記録の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 ログのエクスポートのスケジューリング . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 ログ設定の変更とログの消去 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 ログの転送先の設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 アラーム設定の定義. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 ログのクリア. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 SNMP トラップの宛先の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 Syslog サーバーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 電子メール通知設定の指定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 Netflow 設定の編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 証明書の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 ファイアウォールおよび Panorama 証明書の管理 . . . . . . . . . . . . . . . . . . . 109 信頼できる既定証明機関の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 証明書プロファイルの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 OCSP レスポンダの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 SSL/TLS サービスプロファイルの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 SCEP 設定プロファイルの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 ファイアウォールにおける秘密鍵とパスワードの暗号化 . . . . . . . . . . . . 120 ファイアウォールの HA の有効化. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 HA ライト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122 HA 設定時の重要事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122 HA 設定の編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 仮想システムの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 共有ゲートウェイの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 カスタム応答ページの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 サポート情報の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136 第3章 ネットワーク設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 バーチャル ワイヤーの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 ファイアウォールインターフェイスの設定 . . . . . . . . . . . . . . . . . . . . 138 ファイアウォール インターフェイスの概要 . . . . . . . . . . . . . . . . . . . . . . . . 139 4 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. 目次 ファイアウォールインターフェイスの共通の構成要素 . . . . . . . . . . . . . . 140 PA-7000 シリーズのファイアウォール インターフェイスの共通の構成要素 141 レイヤー 2 インターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142 レイヤー 2 サブインターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . 143 レイヤー 3 インターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 レイヤ 3 サブインターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153 バーチャル ワイヤー インターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . 160 バーチャル ワイヤー サブインターフェイスの設定 . . . . . . . . . . . . . . . . . 161 タップ インターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162 ログ カード インターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 ログ カード サブインターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . 164 復号化ミラー インターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 Aggregate Ethernet(AE)インターフェイスグループの設定 . . . . . . . . . . 166 Aggregate Ethernet(AE)インターフェイスの設定 . . . . . . . . . . . . . . . . . . 168 HA インターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169 VLAN インターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170 ループバック インターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 176 トンネル インターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 仮想ルーターの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180 仮想ルーターの基本設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180 スタティックルートの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 ルート再配信の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182 RIP の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183 Interfaces [ インターフェイス ] タブの設定 . . . . . . . . . . . . . . . . . . . . . . 184 Timers [ タイマー ] タブの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 Auth Profiles [ 認証プロファイル ] タブの設定. . . . . . . . . . . . . . . . . . . . 185 Export Rules [ ルールのエクスポート ] タブの設定 . . . . . . . . . . . . . . . . 185 OSPF の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186 Areas [ エリア ] タブの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187 Auth Profiles [ 認証プロファイル ] タブの設定. . . . . . . . . . . . . . . . . . . . 189 .Export Rules [ ルールのエクスポート ] タブの設定 . . . . . . . . . . . . . . . 190 Advanced [ 詳細 ] タブの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190 OSPFv3 の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191 Areas [ エリア ] タブの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192 Auth Profiles [ 認証プロファイル ] タブの設定. . . . . . . . . . . . . . . . . . . . 194 Export Rules [ ルールのエクスポート ] タブの設定 . . . . . . . . . . . . . . . . 195 Advanced [ 詳細 ] タブの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196 BGP の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197 General [ 全般 ] タブの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198 Advanced [ 詳細 ] タブの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198 Peer Group [ ピア グループ ] タブの設定. . . . . . . . . . . . . . . . . . . . . . . . 199 Import [ インポート ] および Export [ エクスポート ] タブの設定 . . . 201 Conditional Adv [ 条件付き通知 ] タブの設定 . . . . . . . . . . . . . . . . . . . . . 203 Aggregate [ 集約 ] タブの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204 Redist Rules [ ルールの再配信 ] タブの設定 . . . . . . . . . . . . . . . . . . . . . . 205 IP マルチキャストの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 Rendezvous Point [ ランデブー ポイント ] タブの設定 . . . . . . . . . . . . . 206 Interfaces [ インターフェイス ] タブの設定 . . . . . . . . . . . . . . . . . . . . . . 206 SPT Threshold [SPT しきい値 ] タブの設定 . . . . . . . . . . . . . . . . . . . . . . . . 208 Source Specific Address [ 送信元固有のアドレス スペース ] タブの設定 . . 208 Advanced [ 詳細 ] タブの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209 ECMP の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 5 目次 ECMP の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ECMP の構成要素 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 仮想ルーターの詳細ランタイム状態 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Routing [ ルーティング ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . RIP タブ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . BGP タブ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Multicast [ マルチキャスト ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . セキュリティ ゾーンの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . セキュリティゾーンの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . セキュリティゾーンの構成要素 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VLAN サポートの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DHCP の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DHCP の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DHCP アドレス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DHCP サーバーの構成要素 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DHCP リレーの構成要素 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DHCP クライアントの構成要素 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DNS プロキシの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DNS プロキシの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DNS プロキシの構成要素 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . その他の DNS プロキシ アクション . . . . . . . . . . . . . . . . . . . . . . . . . . . . LLDP の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . LLDP の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . LLDP の構成要素 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . インターフェイス管理プロファイルの定義 . . . . . . . . . . . . . . . . . . . . モニター プロファイルの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ゾーン プロテクション プロファイルの定義 . . . . . . . . . . . . . . . . . . . フラッド防御の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 偵察行為防御の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . パケット ベースの攻撃保護の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IP Drop [IP ドロップ ] タブの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . TCP Drop [TCP ドロップ ] タブの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . ICMP Drop [ICMP ドロップ ] タブの設定 . . . . . . . . . . . . . . . . . . . . . . . . . IPv6 Drop [IPv6 ドロップ ] タブの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . ICMPv6 Drop [ICMPv6 ドロップ ] タブの設定 . . . . . . . . . . . . . . . . . . . . . LLDP プロファイルの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . LLDP プロファイルの構成要素 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . BFD プロファイルの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . BFD の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . BFD プロファイルの構成要素 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . BFD のサマリーと詳細を表示する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209 210 211 211 212 213 215 216 217 217 220 220 221 222 223 226 226 227 227 228 230 230 231 231 233 234 235 236 238 239 239 240 241 242 243 243 244 246 246 247 248 第4章 オブジェクト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249 オブジェクトの移動、コピー、オーバーライド、取り消し . . . . . . 249 オブジェクトの移動または複製 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250 オブジェクトをオーバーライドする / 元に戻す . . . . . . . . . . . . . . . . . . . . 250 アドレス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251 アドレスグループ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253 6 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. 目次 地域 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255 アプリケーション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255 アプリケーションの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256 アプリケーションでサポートされる操作 . . . . . . . . . . . . . . . . . . . . . . . . . . 260 アプリケーションの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262 アプリケーショングループ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265 アプリケーション フィルタ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266 サービス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266 サービス グループ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267 タグ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268 タグの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268 タグ ブラウザの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270 タグの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271 外部動的リスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272 カスタムオブジェクト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274 カスタムデータパターン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274 データパターンの構文 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275 データ パターンの例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276 カスタムのスパイウェアシグネチャと脆弱性シグネチャ . . . . . . . . . . . . 276 カスタム URL カテゴリ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280 セキュリティプロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281 セキュリティ プロファイルのアクション . . . . . . . . . . . . . . . . . . . . . . . . . 282 アンチウイルス プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284 アンチスパイウェアプロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285 脆弱性防御プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289 URL フィルタリング プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292 ファイル ブロッキング プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297 WildFire 分析プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299 データ フィルタリング プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300 DoS 防御プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302 セキュリティプロファイルグループ . . . . . . . . . . . . . . . . . . . . . . . . . . 304 ログの転送 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305 復号化プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306 復号化プロファイルの SSL 復号化設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308 復号化プロファイルの復号化なし設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310 復号化プロファイルの SSH プロキシ設定 . . . . . . . . . . . . . . . . . . . . . . . . . 310 スケジュール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311 第5章 ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ポリシーのタイプ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Panorama でのポリシーの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ポリシールールの移動またはコピー . . . . . . . . . . . . . . . . . . . . . . . . . . セキュリティポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . セキュリティポリシーの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . セキュリティポリシーの構成要素 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ポリシーの作成と管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . セキュリティルールのオーバーライドまたは取り消し . . . . . . . . . . . . . . ネットワークアドレス変換(NAT)ポリシー . . . . . . . . . . . . . . . . . . © Palo Alto Networks, Inc. 313 313 314 315 316 316 317 323 325 327 Web インターフェイス リファレンス ガイド、バージョン 7.1 • 7 目次 General [ 全般 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Original Packet [ 元のパケット ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Translated Packet [ 変換済みパケット ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . Active/Active HA Binding [ アクティブ / アクティブ HA バインド ] タブ . NAT64 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NAT64 の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327 328 329 331 332 333 ポリシーベースの転送ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336 General [ 全般 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336 Source [ 送信元 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337 Destination/Application/Service [ 宛先 / アプリケーション / サービス ] タブ . 338 Forwarding [ 転送 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339 復号化ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340 General [ 全般 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341 Source [ 送信元 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341 Destination [ 宛先 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342 Service/URL Category [ サービス /URL カテゴリ ] タブ . . . . . . . . . . . . . . . . 343 Options [ オプション ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343 アプリケーション オーバーライド ポリシー . . . . . . . . . . . . . . . . . . . 344 General [ 全般 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345 Source [ 送信元 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345 Destination [ 宛先 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346 Protocol/Application [ プロトコル / アプリケーション ] タブ . . . . . . . . . . . 346 キャプティブ ポータル ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347 General [ 全般 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347 Source [ 送信元 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348 Destination [ 宛先 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348 Service/URL Category [ サービス /URL カテゴリ ] タブ . . . . . . . . . . . . . . . . 349 Action [ アクション ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349 DoS 保護ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350 General [ 全般 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350 Source [ 送信元 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351 Destination [ 宛先 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352 Options/Protection [ オプション / 保護 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . 353 第6章 モニタリング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355 ダッシュボードの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356 アプリケーション コマンド センターの使用 . . . . . . . . . . . . . . . . . . . 357 表示. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359 ウィジット. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360 アクション. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361 アプリケーション スコープの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . 364 サマリー レポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365 変化モニター レポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366 脅威モニター レポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367 脅威マップ レポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368 ネットワーク モニター レポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369 トラフィック マップ レポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370 ログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371 8 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. 目次 ログタイプ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ログアクション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 統合ログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 脅威データに対し AutoFocus を行い分析結果ログを探す . . . . . . . . . . . . . セッション情報の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . パケットキャプチャの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . カスタム パケットキャプチャの構成要素 . . . . . . . . . . . . . . . . . . . . . . . . . 脅威パケットキャプチャの有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371 374 375 376 377 377 378 379 380 380 381 382 383 384 385 386 386 387 388 389 389 392 第7章 ユーザー ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393 自動相関エンジンの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 相関オブジェクトの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 相関されたイベントの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ボットネットレポートの処理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ボットネットレポートの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ボットネットレポートの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . PDF サマリーレポートの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ユーザー / グループ アクティビティ レポートの管理. . . . . . . . . . . SaaS アプリケーション使用状況レポートの生成 . . . . . . . . . . . . . . . レポートグループの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 電子メールで配信するレポートのスケジュール設定 . . . . . . . . . . . . レポートの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . カスタムレポートの生成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . パケットキャプチャの実行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . PAN-OS 統合 User-ID エージェントの管理 . . . . . . . . . . . . . . . . . . . . . . 394 PAN-OS 統合 User-ID エージェントの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . 395 NTLM 認証の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395 クライアントによるプローブの有効化. . . . . . . . . . . . . . . . . . . . . . . . . 396 サーバーモニタリングの有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397 ユーザーマッピングエントリのキャッシュタイムアウトを設定する . . 398 NTLM 認証を有効化する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398 ファイアウォール間のユーザーマッピングの再配信を有効化する 399 Syslog メッセージフィルタの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400 ユーザー除外リストの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401 サーバーの監視 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402 監視対象サーバーに対するアクセスの管理. . . . . . . . . . . . . . . . . . . . . 402 監視対象サーバーに対するアクセスの設定. . . . . . . . . . . . . . . . . . . . . 403 ユーザーマッピングに許可 / 除外するサブネットワークの定義 . . . . . . 404 User-ID エージェントにアクセスする. . . . . . . . . . . . . . . . . . . . . . . . . . 405 User-ID エージェントへのアクセスを管理する . . . . . . . . . . . . . . . . . . . . . 405 User-ID エージェントへのアクセスを設定する . . . . . . . . . . . . . . . . . . . . . 406 ターミナルサービスエージェントにアクセスする . . . . . . . . . . . . . . 407 グループマッピング用に LDAP 検索を管理する. . . . . . . . . . . . . . . . . 407 キャプティブポータルのユーザー認証を管理する . . . . . . . . . . . . . . 410 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 9 目次 第8章 IPSec トンネルの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413 IKE ゲートウェイの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413 IKE ゲートウェイの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IKE ゲートウェイの General [ 全般 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . IKE ゲートウェイの Advanced Options [ 詳細オプション ] タブ . . . . . . . . . IKE ゲートウェイの再起動または更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IPSec トンネルのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IPSec VPN トンネルの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IPSec トンネルの General [ 全般 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IPSec Tunnel Proxy IDs [IPSec トンネルの プロキシ ID] タブ . . . . . . . . . . . . . ファイアウォールの IPSec トンネル状態の表示 . . . . . . . . . . . . . . . . . . . . . IPSec トンネルの再起動または更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IKE 暗号化プロファイルの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IPSec 暗号化プロファイルの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . GlobalProtect の IPSec 暗号化プロファイルの定義 . . . . . . . . . . . . . . . 413 414 417 418 419 419 419 421 422 422 423 424 425 第9章 GlobalProtect の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427 GlobalProtect ポータルのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . 427 General [ 全般 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Authentication Configuration [ 認証設定 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . Agent Configuration [ エージェント設定 ] タブ . . . . . . . . . . . . . . . . . . . . . . . Authentication [ 認証 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . User/User Group [ ユーザー / ユーザーグループ ] タブ . . . . . . . . . . . . Gateways [ ゲートウェイ ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . App [ アプリ ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Data Collection [ データ収集 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Satellite Configuration [ サテライト設定 ] タブ . . . . . . . . . . . . . . . . . . . . . . . GlobalProtect ゲートウェイのセットアップ . . . . . . . . . . . . . . . . . . . . General [ 全般 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Authentication [ 認証 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Agent [ エージェント ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Tunnel Settings [ トンネル設定 ] タブ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . Timeout Settings [ タイムアウト設定 ] タブ . . . . . . . . . . . . . . . . . . . . . . . Client Settings [ クライアント設定 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . Network Services [ ネットワークサービス ] タブ . . . . . . . . . . . . . . . . . . HIP Notification [HIP 通知 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Satellite Configuration [ サテライト設定 ] タブ . . . . . . . . . . . . . . . . . . . . . . . Mobile Security Manager へのゲートウェイ アクセスを設定する . . GlobalProtect MDM 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . デバイスブロックリストの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . HIP オブジェクトおよびプロファイルのセットアップ. . . . . . . . . . . HIP オブジェクトの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . General [ 全般 ] タブ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Mobile Device [ モバイル デバイス ] タブ . . . . . . . . . . . . . . . . . . . . . . . . Patch Management [ パッチ管理 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . Firewall [ ファイアウォール ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 • Web インターフェイス リファレンス ガイド、バージョン 7.1 428 429 430 431 432 433 435 439 440 442 442 443 443 444 445 445 447 448 448 450 451 451 452 452 453 454 455 456 © Palo Alto Networks, Inc. 目次 Antivirus [ アンチウイルス ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Anti-Spyware [ アンチスパイウェア ] タブ. . . . . . . . . . . . . . . . . . . . . . . Disk Backup [ ディスク バックアップ ] タブ . . . . . . . . . . . . . . . . . . . . . Disk Encryption [ ディスク暗号化 ] タブ. . . . . . . . . . . . . . . . . . . . . . . . . . Data Loss Prevention [ データ損失防止 ] タブ . . . . . . . . . . . . . . . . . . . . . Custom Checks [ カスタム チェック ] タブ . . . . . . . . . . . . . . . . . . . . . . . HIP プロファイルのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456 457 457 458 458 459 460 GlobalProtect エージェントのセットアップとアクティベーション 462 GlobalProtect エージェントソフトウェアの管理 . . . . . . . . . . . . . . . . . . . . 462 GlobalProtect エージェントのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . 463 GlobalProtect エージェントの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464 第 10 章 サービス品質 (QoS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465 QoS の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . QoS プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . QoS ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . QoS インターフェイス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465 466 468 471 インターフェイスにおける QoS の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . 471 QoS インターフェイスのモニタリング . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473 第 11 章 Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475 Panorama Web インターフェイスを使用する . . . . . . . . . . . . . . . . . . 変更内容を Panorama にコミットする. . . . . . . . . . . . . . . . . . . . . . . . . Panorama の高可用性(HA)を管理する . . . . . . . . . . . . . . . . . . . . . . . Panorama ソフトウェアの更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 476 478 481 483 Panorama ソフトウェア更新の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 483 Panorama ソフトウェア更新情報の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . 484 Panorama 管理者ロールの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485 Panorama アクセスドメインの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 486 Panorama 管理アカウントの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 487 ファイアウォールの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 489 管理対象ファイアウォールの情報を表示する . . . . . . . . . . . . . . . . . . . . . . 490 ファイアウォールのソフトウェアあるいはコンテンツ更新のインストール 492 ファイアウォールのバックアップの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . 493 Panorama およびファイアウォールの設定のエクスポートをスケ ジューリングする 494 デバイス グループの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495 テンプレートおよびテンプレートスタックの管理 . . . . . . . . . . . . . . 496 テンプレートの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 497 テンプレートスタックの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 498 VM-Series NSX エディションファイアウォールのプロビジョニング . . 499 NSX Manager へのアクセスを設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . . 499 サービス定義を作成する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 11 目次 Panorama におけるログとレポート . . . . . . . . . . . . . . . . . . . . . . . . . . . 502 ログコレクタの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503 ログコレクタの情報を表示する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 504 ログコレクタの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 504 ログコレクタの一般設定を定義する . . . . . . . . . . . . . . . . . . . . . . . . . . . 505 ログコレクタの CLI 認証設定を定義する . . . . . . . . . . . . . . . . . . . . . . . . 506 ログコレクタの管理用、Eth1、Eth2 インターフェイスの設定を定義す る 507 ログコレクタの RAID ディスク設定を定義する . . . . . . . . . . . . . . . . . . 508 ログコレクタへのソフトウェアの更新のインストール . . . . . . . . . . . . . . 508 コレクタグループの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 509 コレクタ グループの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 510 コレクタグループの情報を表示する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 513 ログ転送の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 513 Panorama バーチャルアプライアンスのログストレージパーティショ ンを設定する 516 ファイアウォール及びログコレクタの更新やライセンスの管理. . 517 ソフトウェアおよびコンテンツ更新の管理 . . . . . . . . . . . . . . . . . . . . . . . . ソフトウェアおよびコンテンツ更新情報の表示 . . . . . . . . . . . . . . . . . . . . コンテンツ用動的更新のスケジュール設定 . . . . . . . . . . . . . . . . . . . . . . . . ファイアウォールのライセンス管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ファイアウォールのライセンス情報を表示する . . . . . . . . . . . . . . . . . . . . 518 520 521 522 522 索引 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 523 12 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. 第1章 はじめに このセクションでは、ファイアウォールの概要について説明します。 • 「ファイアウォールの概要」 • 「機能と利点」 • 「管理インターフェイス」 ファイアウォールの概要 Palo Alto Networks® は、エンタープライズ リモート オフィス向けの PA-200 ファイアウォー ルから、高速データセンター向けのモジュラー シャーシを採用した PA-7000 シリーズ ファイ アウォールにいたるまで、幅広い次世代セキュリティ アプライアンスを提供します。このファ イアウォールでは、ネットワークを通過する各アプリケーションの正確な識別に基づいてセ キュリティポリシーを指定できます。プロトコルとポート番号のみでアプリケーションを識 別する従来型のファイアウォールとは異なり、Palo Alto Networks の次世代ファイアウォー ルはパケット検査とアプリケーション シグネチャのライブラリを使用することで、使用する プロトコルとポート番号が同じアプリケーションを区別し、危害を及ぼす可能性がある、標 準以外のポート番号を使用するアプリケーションを識別できます。 アプリケーションの安全な利用を可能にし、完全な可視性と制御を維持し、最新のサイバー 脅威から組織を保護するために、特定のアプリケーションまたはアプリケーション グループ を対象とするセキュリティポリシーを定義できます。すべてのポート 80 接続に対して 1 つの ポリシーを使用するのではありません。識別した各アプリケーションに対しては、送信元お よび宛先のゾーンとアドレス (Pv4 と IPv6) に基づき、トラフィックをブロックするセキュリ ティポリシー、または許可するセキュリティポリシーを指定できます。各セキュリティーポ リシーは、ウィルス、スパイウェアや他の脅威から守るために、セキュリティプロファイル を指定することもできます。 機能と利点 Palo Alto Networks の次世代ファイアウォールでは、ネットワークへのアクセスを許可され たトラフィックを詳細に制御できます。主な機能と利点は、以下のとおりです。 • アプリケーションベースでのポリシーの適用 (App-ID) — アプリケーション タイプに 従ってアクセスを制御すると、プロトコルとポート番号以外の情報にも基づいてアプリ ケーションが識別されるため、アクセス制御の効果が大幅に向上します。App-ID™ サー ビスはリスクの高いアプリケーションをブロックできるだけでなく、ファイル共有など、 リスクの高い動作もブロックできます。また、Secure Socket Layer (SSL) プロトコルで暗 号化されたトラフィックの暗号を解読して検査できます。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 13 機能と利点 はじめに • ユーザー ID (User-ID) — ユーザー ID 機能により管理者は、ネットワーク ゾーンとアド レスの代わりに ( またはこれらに加えて )、ユーザーとユーザーグループに基づいてファ イアウォール ポリシーを設定および適用できます。ファイアウォールは、Microsoft Active Directory、eDirectory、SunOne、OpenLDAP、および他のほとんどの LDAP ベー スのディレクトリ サーバーなど、多くのディレクトリ サーバーと通信して、ユーザーと グループの情報をファイアウォールに提供できます。この情報を使用して、アプリケー ションの安全な運用をユーザーまたはグループ単位で定義できます。たとえば管理者は、 ある Web ベース アプリケーションの使用を会社内の 1 つの組織に許可し、それ以外の組 織に許可しないことができます。また、ユーザーおよびグループに基づいてアプリケー ションの特定のコンポーネントをよりきめ細かく制御するように設定することもできま す (「ユーザー ID」を参照 )。 • 脅威防御 — ウイルス、ワーム、スパイウェア、およびその他の悪意のあるトラフィック からネットワークを保護する脅威防御サービスを、アプリケーションとトラフィックの 送信元ごとに変えることができます (「セキュリティプロファイル」を参照 )。 • URL フィルタリング — アウトバウント接続をフィルタリングして、不適切な Web サイ トへのアクセスを防止できます (「URL フィルタリング プロファイル」を参照 )。 • トラフィックの可視性 — 幅広いレポート、ログ、および通知メカニズムにより、ネット ワーク アプリケーション トラフィックとセキュリティ イベントを詳細に観察できます。 Web インターフェイスの Application Command Center (ACC) を使用して、トラフィッ ク量が最大のアプリケーションや、セキュリティ リスクが最も高いアプリケーションを 特定します (「モニタリング」を参照 )。 • 多機能なネットワーキングと速度 — Palo Alto Networks のファイアウォールは、既存の ファイアウォールを補完したり、置き換えたりできます。また、どのネットワークにも 透過的にインストールでき、スイッチまたはルーティング環境をサポートするように設 定できます。マルチギガビットの速度と単一パス アーキテクチャの実現により、ネット ワーク遅延にほとんどまたはまったく影響することなく、これらのサービスが提供され ます。 • GlobalProtect — GlobalProtect™ ソフトウェアは、世界中のどこからでも簡単かつ安全 にログインできるようにすることで、現場で使用されるノートパソコンなどのクライア ント システムでセキュリティを確保します。 • フェールセーフ機能 — 高可用性 (HA) のサポートにより、ハードウェアやソフトウェア に障害が発生した場合に自動的にフェイルオーバーが実行されます (「ファイアウォール の HA の有効化」を参照 )。 • マルウェアの分析とレポート — WildFire™ セキュリティ サービスは、ファイアウォール を通過するマルウェアの詳細な分析とレポートを提供します。 • VM-Series ファイアウォール — VM-Series ファイアウォールは、仮想化データ センター 環境で使用するように位置付けられた PAN-OS® の仮想インスタンスを提供するもので あり、プライベート、パブリック、およびハイブリッドのクラウド コンピューティング 環境に適しています。 • 管理および Panorama — 各ファイアウォールを直観的な Web インターフェイスまたは コマンドライン インターフェイス (CLI) によって管理できます。また、Palo Alto Networks ファイアウォールの Web インターフェイスと非常によく似た Web インター フェイスを備えた Panorama™ 中央管理システムで、すべてのファイアウォールを一元的 に管理することもできます。 14 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. はじめに 管理インターフェイス 管理インターフェイス Palo Alto Networks の次世代ファイアウォールでは、以下の管理インターフェイスがサポー トされます。 • Web インターフェイス — Web ブラウザから HTTP または HTTPS 経由で設定とモニタ リングを行います。ファイアウォールの設定と管理の詳細な手順については PAN-OS 管 理者ガイドを参照してください。 • CLI — Telnet、セキュア シェル (SSH)、またはコンソール ポート経由でテキストベース の設定とモニタリングを行います。コマンドの探し方やコマンド構文に関するヘルプを 含め、CLI の使用方法については CLI クイックスタートを参照してください。 • Panorama — 複数のファイアウォールを Web ベースで管理し、レポートし、ログを記録 する Palo Alto Networks 製品です。Panorama ウェブインターフェイスは、ファイア ウォールの Web インターフェイスに似ています。ただし、いくつかの管理機能が追加さ れています (Panorama の使用方法の詳細は、 「Panorama Web インターフェイスを使用す る」あるいは Panorama 管理者ガイドを参照 )。 • XML API — ファイアウォールからファイアウォールの設定、動作ステータス、レポート、 およびパケットキャプチャにアクセスするための Representational State Transfer (REST) ベースのインターフェイスを提供します。ファイアウォールで使用可能な API ブラウザ があります (https://<firewall>/api)。ここで、<firewall> は、ファイアウォールのホスト名ま たは IP アドレスです。このリンクは、API コールのそれぞれのタイプで必要とされるパ ラメータのヘルプを提供します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 15 管理インターフェイス 16 • Web インターフェイス リファレンス ガイド、バージョン 7.1 はじめに © Palo Alto Networks, Inc. 第2章 デバイス管理 ファイアウォールの基本的なシステム設定と管理タスクのフィールド リファレンスは、以下 のセクションを参照してください。 • 「前回のログイン時間およびログイン試行回数」 • 「本日のメッセージ」 • 「タスクマネージャ」 • 「言語」 • 「アラーム」 • 「変更のコミット」 • 「変更内容のロック」 • 「候補設定の保存」 • 「システム設定」 • 「設定ファイルの比較」 • 「VM 情報の送信元の定義」 • 「ソフトウェア更新の管理」 • 「コンテンツ更新の管理」 • 「ライセンスの管理」 • 「管理者アクセスの設定」 • 「認証の設定」 • 「ログ記録の管理」 • 「証明書の管理」 • 「ファイアウォールの HA の有効化」 • 「仮想システムの定義」 • 「共有ゲートウェイの設定」 • 「カスタム応答ページの定義」 • 「サポート情報の表示」 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 17 前回のログイン時間およびログイン試行回数 デバイス管理 前回のログイン時間およびログイン試行回数 Palo Alto Networks のファイアウォールや Panorama の管理者アカウントなど権限付きのア カウントの不正使用を検知して悪用を予防する為、Web インターフェイスと CLI(コマンド ラインインターフェイス)には、前回のログイン時間、およびお客様のユーザーネームで行 われたログイン試行回数がログイン時に表示されます。これにより、誰かがあなたの管理者 認証情報を使用して攻撃しようとしている場合はすぐにそれを知ることができます。 Web インターフェイスへログインすると、前回のログイン日時がウィンドウの左下に表示さ れます。前回のログイン以降、1 回以上ログインに失敗している場合は前回のログイン日時の 右側に警告アイコンが表示されます。ログインの試行回数を確認する場合は、警告アイコン にカーソルを合わせるか、Failed Login Attempts Summary [ ログイン試行回数のサマリー ] ウィン ドウを開きます(ここには管理者アカウント名、送信元 IP アドレス、ログイン失敗の理由が 表示されます)。 自分が行っていないログイン試行が複数回あった場合、ネットワーク管理者の協力のもと、総 当たり攻撃を行っているシステムを特定し、ユーザーとホストコンピューターの検証を行い、 悪意のある活動を特定して排除します。前回のログイン表示によりアカウントに対する不正 アクセスが確認された場合は、直ちにパスワードの変更と設定の検証を行い、設定内容に不 審な変更点が無いか確認してください。自分のアカウントを使用してログが削除された、あ るいは不正に変更されたかどうか判別が難しい場合は、元の正しい設定に戻してください。 本日のメッセージ 管理者が「本日のメッセージ」を設定した場合や、Palo Alto Networks のソフトウェアやコ ンテンツリリースに組み込まれている場合、Web インターフェイスにログインすると「本日 のメッセージ」ダイアログが自動的に表示されます。システムの再起動が迫っている場合な ど、お客様のタスクに影響を与え得る情報が必ず目に入るよう、重要な情報を表示します。 1 つのページにつき 1 つのメッセージが表示されます。ダイアログに Do not show again [ 今後 は表示しない ] というオプションが含まれている場合、以降のログイン時に表示したくない メッセージを非表示にすることができます。 Message of the Day [ 本日のメッセージ ] に少しでも変更が加えられると、前 回のログイン時に Do not show again [ 今後は表示しない ] を選択した場合で も、次回のセッションでも当該のメッセージが表示されます。変更された メッセージを以降のセッションで表示したくない場合は、再度このオプ ションを選択する必要があります。 ダイアログページ内を移動する場合、ダイアログの側面に表示されている右向き( )と左向 き( )の矢印をクリックするか、ダイアログ下部に表示されているページセレクター( ) をクリックします。ダイアログの Close [ 閉じる ] を選択した場合は、Web インターフェイス の下部に表示されたメッセージ( )をクリックすることで再び開くことができます。 本日のメッセージの設定を行う場合は、Device > Setup > Management [ デバイス > 設定 > 管理 ] を開き、「バナーおよびメッセージ」の設定を編集します。 18 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 タスクマネージャ タスクマネージャ 自分や他の管理者が行った操作や、前回ファイアウォールを再起動してから PAN-OS が開始 した操作(例えば、手動コミットや、自動 FQDN 更新など)を表示する場合は Web インター フェイス下部の Tasks [ タスク ] をクリックします。それぞれのタスクについて、タスクマネー ジャでは下記の情報を表示し、操作を行うことができます。 表 1. タスク マネージャ フィールド / ボタン 内容 タイプ 操作のタイプ(ログ要求、ライセンス更新、またはコミットなど)。 特定のタイプをクリックし、警告メッセージなど、その操作に関す る詳細を表示することができます。 ステータス 開始時間 メッセージ その操作が、保留中(キューに追加されたコミットなど)、進行中 (アクティブな状態のログ要求など)、完了、または失敗したかどう かを示します。進行中のコミットの場合、このステータスには進行 状況がパーセントで表示されます。 その操作が開始された日時を示します。コミット操作の場合、開始 時間はコミットがコミットキューに追加された日時を示します。 その操作について詳細を表示します。エントリに表示されるメッ セージが多すぎる場合、操作のタイプをクリックし、メッセージを 表示することができます。 コミット操作の場合、PAN-OS がコミットを開始した時間として、 コミットがキューから外された時間がこのメッセージに表示され ます。コミットに対し管理者が入力した説明文を表示する場合は Commit Description [ コミットの詳細 ] をクリックします。詳細は、 「変更のコミット」を参照してください。 動作 保留中のコミットをキャンセルする場合は x をクリックします。 表示 All [ すべて ] のタスク(デフォルト)、または Running [ 実行中 ] の タスクのみを表示し、任意でタスクタイプによるリストの絞り込み を行います(Jobs [ ジョブ ]、Reports [ レポート ]、または Log Requests [ ログ要求 ])。 コミットキューのクリア 保留中のコミットをすべてキャンセルします(事前に設定された管 理者ロールにおいてのみ可能な操作です)。 言語 デフォルトでは、ファイアウォールへのログインに使用したコンピューターの言語設定(ス ペイン語など)に合わせ、Web インターフェイスの表示言語が変更されます。Language [ 言 語 ] を変更する場合は、Web インターフェイスの下部にあるドロップダウンリストから Language [ 言語 ] を選択し、OK をクリックします。Web インターフェイスはここで選択した 言語に合わせて表示内容を更新します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 19 アラーム デバイス管理 アラーム アラームとはファイアウォールが生成する、特定のイベントタイプ(暗号化や復号化の失敗 など)の発生回数が、そのイベントタイプに設定されたしきい値を超えたことを示すメッセー ジです(「アラーム設定の定義」を参照)。アラームを生成する際、ファイアウォールはアラー ムログを作成し、システムアラームダイアログを開き、アラームを表示します。ダイアログ を閉じた場合は、Web インターフェイスの下部に表示された Alarms [ アラーム ] ( )をク リックすることで再び開くことができます。ファイアウォールが特定のアラームのダイアロ グを自動的に開かないようにする場合は、Unacknowledged Alarms [ 未承認のアラーム ] を 選択し、Acknowledge [ 承認 ] をクリックし、アラームを Acknowledged Alarms [ 承認済みア ラーム ] 一覧に移動します。 変更のコミット コミット、検証、またはファイアウォールの設定変更をプレビューする場合は、Web インター フェイスの右上にある Commit [ コミット ] をクリックします。コミットすることで、候補設 定が現在の設定に適用され、前回のコミットから加えられた設定変更がすべて有効になりま す。設定の保存、取り消し、インポート、エクスポート、ロードについては「操作設定の定 義」を参照してください。 ファイアウォールはコミット作業をキューで処理するので、前回のコミットの進行中に新し いコミットを追加することができます。ファイアウォールは追加された順番でコミットを実 行しますが、FQDN 更新など、ファイアウォールが自動的に追加したコミットを優先的に行 います。管理者が開始したコミットが既にキューの上限まで追加されている場合(プラット フォームにより異なります)、新しいコミットを行う前に、ファイアウォールが保留中のコ ミットを完了するまで待つ必要があります。コミットをキャンセルする場合や、保留中、実 行中、完了済み、あるいは失敗したコミットの詳細を表示する場合は「タスクマネージャ」を 使用します。 以下のオプションを表示する場合は、コミットのダイアログで Advanced [ 詳細 ] をクリックし ます。 表 2. 設定のコミット フィールド / ボタン 内容 デバイスとネットワー ク設定を含める Device [ デバイス ] および Network [ ネットワーク ] のタブの設定変更を コミットする場合はこのオプションを選択します(デフォルトでは有 効)。 共有オブジェクト設定 を含める 変更内容を共有オブジェクトへコミットする場合はこのオプションを選 択します(デフォルトでは有効) 。このオプションは複数の仮想システム をもつファイアウォールにおいてのみ使用可能です。 ポリシーとオブジェク ト設定を含める Policy [ ポリシー] および Objects [ オブジェクト ] のタブの設定変更をコ ミットする場合はこのオプションを選択します(デフォルトでは有効)。 このオプションは複数の仮想システム機能が無効化されたファイア ウォールのみにおいて使用可能です。 仮想システム設定を含 める ポリシーやオブジェクトの変更内容を仮想システムにコミットする場合 はこのオプションを選択します。対象とする仮想システムは、All virtual systems [ すべての仮想システム ](デフォルト)、または一覧から Select one or more virtual systems [1 つ以上の仮想システムを選択 ] すること ができます。このオプションは複数の仮想システムをもつファイア ウォールにおいてのみ使用可能です。 20 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 変更のコミット 表 2. 設定のコミット(続) フィールド / ボタン 内容 内容 コミットの説明を記入します(最大 512 文字)。設定の変更点を大まかに 書いておくことで、他の管理者は設定監査(比較)を行うことなく変更 内容を知ることができます。 注㸸説明文が 512 文字を超過している場合、コミットイベントのシステ ムログにより超過分は削除されます。 プレビューの変更 設定候補と適用中の設定を比較する場合は Preview Changes [ 変更のプ レビュー] をクリックします。比較対象の設定ファイル中でそれぞれハイ ライトされた、差異のある個所の前後に表示したい行数を指定する場合 は Lines of Context [ コンテクストの行数 ] のドロップダウンリストを使 用します。All [ 全て ] を選択した場合、結果には設定ファイル全体が含 まれます。変更点は設定内容に応じて色分けされています(追加は緑、変 更は黄色、削除は赤)。Device > Config Audit [ デバイス > 設定監査 ] でも 同じ処理が行われます (「設定ファイルの比較」を参照 )。 注㸸プレビュー結果は新しいウィンドウで表示されるので、ブラウザー でポップアップを許可しておく必要があります。プレビューウィンドウ が開かない場合はブラウザ設定を参照し、ポップアップブロックの解除 を行ってください。 変更の検証 変更内容をコミットする前に Panorama あるいはファイアウォール設定 の構文の検証 ( 設定構文が正しいかどうかの確認 ) と意味の検証 ( 設定が 完了しており意味をなすかどうかの確認 ) を実行する場合はこのオプ ションを選択します。検証結果には、フル コミットまたは仮想システム のコミットの実行時に発生するエラーと警告 ( ル ール シャドウイングやアプリケーションの依存関係など ) がすべて表示 されます。ただし、実行中の設定は変更されません。変更の検証を実行 することで、実際に変更をコミットする前に変更が正しくコミットされ るかどうかが分かるため、コミット時のエラーが大幅に減少します。設 定内容の検証を行える管理者を制限する場合は、管理者ロールプロファ イルの Validate [ 検証 ] オプションを有効化あるいは無効化します。 コミット コミットを開始する場合や、他のコミットが保留中の場合にコミットを キューに追加したい場合はこのオプションを選択します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 21 変更内容のロック デバイス管理 変更内容のロック 1 人の管理者に候補の設定、あるいは実行中の設定をロックする権限を与え、そのロックが解 除されるまで他の管理者が設定を変更できないようにすることで、Web インターフェイスで は複数の管理者セッションを同時に開くことが可能になっています。 1 つ以上のロックが設定されている場合は Web インターフェイスの右上に閉じた南京錠( ) が表示され(括弧内にロックの数が表示されます) 、開いた南京錠( )が表示されている場 合はロックされていないことを示します。どちらの場合も、南京錠をクリックすることでロッ クのダイアログが表示し、以下のオプションやフィールドを編集することができます。 管理者が候補設定を変更した際に、コミットを自動的にロックするようファ イアウォールを設定する場合は、Device > Setup > Management [ デバイス > 設 定 > 管理 ] を開いて一般設定を編集し、Automatically Acquire Commit Lock [ コミットロックの自動実施 ] を有効化し、OK をクリックして Commit [ コ ミット ] します。 表 3. ロック設定 フィールド / ボタン 内容 管理者 ロックを設定した管理者のユーザー名が表示されます。 場所 1 つ以上の仮想システム(vsys)をもつファイアウォールの場合、ロック の範囲は特定の vsys あるいは共有の場所に設定することができます。 タイプ ロックのタイプには以下のものがあります。 • Config Lock [ 設定ロック ] — 他の管理者が候補設定を変更できないよ うにブロックします。スーパーユーザーまたはロックをセットした管理 者のみ解除することができます。 • Commit Lock [コミットロック] — 他の管理者が実行中の設定を変更で きないようにブロックします。すべてのロックが解除されるまで、コ ミットキューは新規のコミットを受け付けません。このロックは、複数 の管理者が同時ログインセッションにおいて変更を加え、ある管理者が セッションを完了する前に他の管理者が設定を終えてコミットを実行 したような場合に発生する、設定の競合を防ぐためのものです。ロック を設定した管理者が実行したコミットが完了すると、ファイアウォール は自動的にロックを解除します。スーパーユーザーまたはロックをセッ トした管理者は、手動でそれを解除することもできます。 コメント 最大 256 文字のコメントを入力できます。他の管理者にロックの理由を 知らせる場合に便利です。 作成日時 管理者がロックを設定した日時です。 ログイン状態 ロックを設定した管理者が現在ログイン中かどうかが表示されます。 ロックの設定 ロックを設定する場合は、Take a Lock [ ロック設定 ] を開き、Type [ タイ プ ] を選択し、Location [ 場所 ] を指定し(複数の仮想システムをもつファ イアウォールのみ)、任意の Comments [ コメント ] を入力し、OK をク リックしてから Close [ 閉じる ] をクリックします。 ロックの解除 ロックを解除する場合はロックを選択し、Remove Lock [ ロックを解除 ] 、 次に OK をクリックし、最後に Close [ 閉じる ] をクリックします。 22 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 候補設定の保存 候補設定の保存 候補設定のスナップショットファイル(.snapshot.xml)を作成する場合、または既存のスナッ プショットを最新の変更内容で上書きする場合は、Web インターフェイス右上の Save [ 保存 ] をクリックします。変更内容をコミットする前にファイアウォールが再起動された場合は、候 補設定を現在のスナップショットに戻し、前回のコミットと最新のスナップショットの間に加 えた変更点を元に戻すことができます。設定内容をスナップショットに戻す場合は Device > Setup > Operations [ デバイス > 設定 > 操作 ] を開き、 Revert to last saved configuration [ 前回保存 した設定内容に戻す ] をクリックします。再起動後に設定内容をスナップショットに戻さない 場合、候補設定は前回コミットした設定内容(実行中の設定)のまま維持されます。 変更内容を設定候補に保存しても、それらの変更内容が実行されるわけで はありません。これらを有効化する場合は「変更のコミット」する必要が あります。 デフォルトのスナップショットファイル(.snapshot.xml)を上書きせずに設 定変更を保存したい場合は、 Device > Setup > Operations [ デバイス > 設定 > 操 Save named configuration snapshot [名前付き設定スナップショッ 作] を開き、 トの保存 ] をクリックし、スナップショットファイルに別の Name [ 名前 ] を設定します。 システム設定 以下のセクションで、管理アクセス用のネットワーク設定の定義方法、サービスルートとサー ビスの定義、およびグローバルセッションタイムアウト、コンテンツ ID、WildFire™ マルウェ アの分析とレポートなどの設定オプションの管理方法について説明します。 • 「管理設定の定義」 • 「操作設定の定義」 • 「ハードウェアセキュリティモジュールの定義」 • 「SNMP モニタリングの有効化」 • 「サービス設定の定義」 • 「DNS サーバープロファイルの定義」 • 「Content-ID 設定の定義」 • 「WildFire の設定」 • 「セッション設定の定義」 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 23 システム設定 デバイス管理 管理設定の定義 Device > Setup > Management [ ࢹࣂࢫ > ࢭࢵࢺࢵࣉ > ⟶⌮ ] Panorama > Setup > Management [Panorama > ࢭࢵࢺࢵࣉ > ⟶⌮ ] 管理設定を編集する場合は、ファイアウォールから Device > Setup > Management [ デバイス > 設定 > 管理 ] を開きます。 Panorama™ テンプレートを使用して管理するファイアウォールを設定する場合は、Panorama から Device > Setup > Management [ デバイス > 設定 > 管理 ] を開きます。Panorama の設定を行 う場合は、Panorama > Setup > Management [Panorama > 設定 > 管理 ] を開きます。 以下の管理設定は、明記されていない限り、ファイアウォールと Panorama の両方に適用さ れます。 • 「一般設定」 • 「認証設定」 • 「Panorama 設定:Device > Setup > Management [ デバイス > セットアップ > 管理 ]」 (Panorama に接続するためにファイアウォールで指定する設定 ) • 「Panorama 設定:Panorama > Setup > Management [Panorama > セットアップ > 管理 ]」 (ファイアウォールに接続するために Panorama で指定する設定) • 「管理インターフェイス設定」 • 「Ethernet 1 インターフェイス設定」(Panorama のみ) • 「Ethernet 2 インターフェイス設定」(Panorama のみ) • 「ロギングおよびレポート設定」 • 「バナーおよびメッセージ」 • 「パスワード複雑性設定」 表 4. 管理設定 項目 内容 一般設定 ホスト名 ホスト名 ( 最大 31 文字 ) を入力します。名前の大文字と小文字は区別さ れます。また、一意の名前にする必要があります。文字、数字、スペー ス、ハイフン、およびアンダースコアのみを使用してください。 値を入力しない場合、PAN-OS はプラットフォームモデル(PA-5050_2 など)をデフォルトとして使用します。 また、任意で DHCP サーバーが提供するホスト名を使用するようファイ アウォールを設定することもできます(「DHCP サーバーが提供するホス ト名を使用する(ファイアウォールのみ)」を参照)。 ドメイン ファイアウォールの完全修飾ドメイン名 (FQDN) を入力します ( 最大 31 文字 )。 値を入力しない場合、PAN-OS はプラットフォームモデル(PA-5050_2 など)をデフォルトとして使用します。 また、任意で DHCP サーバーが提供するドメインを使用するようファイ アウォールを設定することもできます(「DHCP サーバーが提供するドメ インを使用する(ファイアウォールのみ)」を参照)。 24 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 システム設定 表 4. 管理設定 (続) 項目 内容 DHCP サーバーが提供す (管理インターフェイスの IP タイプが DHCP Client [DHCP クライアント ] る ホ ス ト 名 を 使 用 す る の場合のみ適用されます。)管理インターフェイスに DHCP サーバーか (ファイアウォールのみ) ら受信したホスト名を許可させる場合はこのオプションを選択します。 このオプションが有効化されている場合、 「ホスト名」に設定されている 値はサーバーから受信するホスト名に上書きされます。 DHCP サーバーが提供す (管理インターフェイスの IP タイプが DHCP Client [DHCP クライアン る ド メ イ ン を 使 用 す る ト ] の場合のみ適用されます。 )管理インターフェイスに DHCP サーバー (ファイアウォールのみ) から受信したドメイン(DNS サフィックス)を使用させる場合はこのオ プションを選択します。 「ドメイン」に設定されている値はサーバーから 受信するドメイン情報に上書きされます。 ログイン バナー Web インターフェイスのログインページの Name [ ユーザー名 ] および Password [ パスワード ] のフィールドの下に表示するテキスト(最大 3,200 文字)を入力します。 管理者にログインバナー の承認を強制する ログインページのログインバナーの上に I Accept and Acknowledge the Statement Below [ 以下の内容を受諾し同意します ] という一文を表示 し、管理者に選択させるようにする場合はこのオプションを選択してく ださい(管理者はこのメッセージに同意しない限り Login [ ログイン ] で きません)。 SSL/TLS サ ー ビ ス プ ロ ファイル 既存の SSL/TLS サービスプロファイルを割り当てるか、新しいプロファ イルを作成し、管理インターフェイスのインバウンド トラフィックを保 護するための証明書および許可されたプロトコルを指定します。詳細は、 「SSL/TLS サービスプロファイルの管理」を参照してください。none [ な し ] を選択した場合、デバイスは事前設定されている自己署名証明書を 使用します。 推奨設定:デフォルトの証明書は使用しないことをお勧めします。セキュ リティ向上のために、信頼された認証局(CA)によって署名された証明 書に関連付けられている SSL/TLS サービスプロファイルを割り当てるこ とをお勧めします。 タイム ゾーン ファイアウォールのタイム ゾーンを選択します。 表示言語 ドロップダウンリストから、PDF レポートの言語を選択します。 「PDF サ マリーレポートの管理」を参照してください。 Web インターフェイスに特定の言語設定が設定されている場合でも、 PDF レポートにはこの Locale [ 表示言語 ] の設定で指定した言語が使用 されます。 日時 ファイアウォールの日時を設定します。 • 現在の日付(YYYY/MM/DD 形式)を入力するか、ドロップダウンリ ストから日付を選択します。 • 現在の時刻を 24 時間形式 (HH:MM:SS) で入力します。 注㸸Device > Setup > Services [ デバイス > セットアップ > サービス ] か ら NTP サーバーを定義することもできます。 シリアル番号(Panorama 仮想マシンのみ ) Panorama のシリアル番号を入力します。シリアル番号は、Palo Alto Networks から送信された受注処理電子メールに記載されています。 デバイス稼働場所 ファイアウォールの緯度 (-90.0 ∼ 90.0) と経度 (-180.0 ∼ 180.0) を入力し ます。 コミットロックの自動実 施 候補設定を変更するときにコミットロックが自動的に適用されるように するには、このオプションを選択します。詳細は、「変更内容のロック」 を参照してください。 証明書有効期限チェック © Palo Alto Networks, Inc. デバイス内の証明書が有効期限に近くなったときに警告メッセージを作 成するようにファイアウォールに指示します。 Web インターフェイス リファレンス ガイド、バージョン 7.1 • 25 システム設定 デバイス管理 表 4. 管理設定 (続) 項目 内容 マルチ仮想システム機能 この機能をサポートしているファイアウォールで複数の仮想システムが 使用できるようになります(「仮想システムの定義」を参照) 。 注意 ! PA-5060 ファイアウォールまたは PA-7000 Series ファイアウォール でマルチ仮想システムを有効化する場合、ファイアウォールポリシーで 640 より多くの個別ユーザーグループを参照させることはできません。必 要に応じて、参照するユーザーグループの数を減らしてください。この 後にマルチ仮想システムの有効化と追加を行うと、ポリシーは追加され たマルチ仮想システムごとに 640 個のユーザーグループを参照すること ができます。 URL フィルタリング データベース (Panorama のみ ) Panorama で使用する URL フィルタリングベンダーを選択します。 brightcloud または paloaltonetworks(PAN-DB)から選択してください。 ハイパーバイザによって 割り当てられた MAC ア ドレスの使用 (VM-Series ファイアウォールのみ ) PAN-OS® カスタムスキーマを使用して MAC アドレスを生成するのでは なく、ハイパーバイザによって割り当てられた MAC アドレスを VMSeries ファイアウォールで使用する場合は、このオプションを選択しま す。 このオプションを有効にして、インターフェイスに IPv6 アドレスを使用 する場合、インターフェイス ID に EUI-64 形式を使用しないでください。 EUI-64 形式では IPv6 アドレスがインターフェイスの MAC アドレスか ら導出されます。高可用性 (HA) アクティブ / パッシブ設定で EUI-64 形 式が使用されると、コミット エラーが発生します。 認証設定 認証プロファイル 外部アカウント(ファイアウォールで定義されていないアカウント)を 持つ認証管理者が使用する認証プロファイル(または認証シーケンス)を 選択します。この設定では、RADIUS タイプに設定されている認証プロ ファイルおよび RADIUS サーバープロファイルを参照する認証プロファ イルのみを使用できます。外部管理者がログインすると、デバイスは RADIUS サーバーから認証情報(管理者ロールを含む)を要求します。 外 部 管 理 者の認証を有効にするには、さらに Palo Alto Networks® RADIUS ディクショナリファイルを RADIUS サーバーにインストールす る必要があります。このファイルは、ファイアウォールと RADIUS サー バー間の通信に必要な認証属性を定義します。ファイルをインストール する場所は、RADIUS サーバーのソフトウェア ドキュメントを参照して ください。 None [ なし ] を選択した場合、外部管理者はファイアウォールで認証さ れず、ログインできません。 詳細は、 「認証プロファイルのセットアップ」および「RADIUS サーバー の設定」を参照してください。 注㸸ローカル管理者の場合、ファイアウォールは管理者アカウントに関 連付けられている認証プロファイルを使用して認証を行います(「管理ア カウントの作成」を参照)。 証明書プロファイル ファイアウォールへの管理者アクセスに使用する証明書プロファイルを 選択します。証明書プロファイルの設定手順の詳細は、 「証明書プロファ イルの作成」を参照してください。 アイドル タイムアウト タイムアウト間隔を分単位で入力します(範囲は 0 ∼ 1440、デフォルト は 0)。値を 0 にすると、管理インターフェイス、Web インターフェイス、 または CLI のセッションがタイムアウトしなくなります。 26 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 システム設定 表 4. 管理設定 (続) 項目 内容 最大試行回数 ファイアウォールが許容する、Web インターフェイスと CLI の最大ログ イン試行回数(範囲は 0 ∼ 10)入力します。この回数を超えるとユーザー アカウントがロックアウトされます。値を 0 ( デフォルト ) にすると、無 制限になります。 注意 ! Failed Attempts [ 最大試行回数 ] を 0 以外の値に設定しても、 Lockout Time [ロックアウト時間] を 0 のままにしておくと、 Failed Attempts [最大 試行回数 ] は無視され、ユーザーはロックアウトされません。 ロックアウト時間 Failed Attempts [ 最大試行回数 ] の制限に達したときに、PAN-OS がユー ザーをロックアウトする時間(0 ∼ 60 分)を入力します。値を 0 ( デフォ ルト ) にすると、管理者が手動でユーザー アカウントのロックを解除す るまでロックアウトが適用されます。 注意! Lockout Time [ロックアウト時間] を 0 以外の値に設定しても、 Failed Attempts [ 最大試行回数 ] を 0 のままにしておくと、Lockout Time [ ロッ クアウト時間 ] は無視され、ユーザーはロックアウトされません。 Panorama 設定:Device > Setup > Management [ デバイス > セットアップ > 管理 ] ファイアウォール、または Panorama のテンプレートに以下の設定を定義します。これらの設定に よって、ファイアウォールから Panorama への接続が確立されます。 Panorama の接続とオブジェクト共有設定も定義する必要があります。 「Panorama 設定:Panorama > Setup > Management [Panorama > セットアップ > 管理 ]」を参照してください。 注:ファイアウォールは Panorama と認証を行う際、AES-256 により暗号化された SSL 接続を使用し ます。Panorama とファイアウォールはを 2,048 ビット証明書を使用して互いに認証をおこない、SSL 接続を使用して設定の管理とログ回収を行います。 Panorama サーバー Panorama サーバーの IP アドレスまたは FQDN を入力してください。 Panoramaが高可用性(HA)設定に含まれている場合、2 番目の Panorama Servers [Panorama サーバー ] フィールドにセカンダリ Panorama サー バーの IP アドレスまたは FQDN を入力します。 Panorama からデータを 受信する際のタイムアウ ト Panorama から TCP メッセージを受信するときのタイムアウトを秒単位 で入力します(範囲は 1 ∼ 240、デフォルトは 240)。 Panorama へデータを送 信する際のタイムアウト Panorama に TCP メッセージを送信する際のタイムアウトを秒単位で入 力します(範囲は 1 ∼ 240、デフォルトは 240)。 Panorama に SSL 送信を 行う際の再試行カウント Panorama に Secure Socket Layer(SSL)メッセージを送信する際の許容 再試行回数(範囲は 1 ∼ 64、デフォルトは 25)を入力します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 27 システム設定 デバイス管理 表 4. 管理設定 (続) 項目 内容 Panorama ポリシーとオ ブジェクトを無効 / 有効 にする このオプションはファイアウォールの Panorama Settings [Panorama 設 定 ] を編集するときに表示されます(Panorama のテンプレートにはあり ません)。 Disable Panorama Policy and Objects [Panorama ポリシーとオブジェク トを無効にする ] を選択すると、ファイアウォールに対するデバイスグ ループのポリシーとオブジェクトの適用が無効になります。デフォルト では、この操作により、ファイアウォールから伝播されたポリシーとオ ブジェクトも削除されます。デバイスグループのポリシーとオブジェク トのローカルコピーをファイアウォールで保管する場合は、このオプ ションをクリックしたときに開くダイアログボックスの Import Panorama Policy and Objects before disabling [ 無効にする前に Panorama ポリシー とオブジェクトをインポート ] を選択します。コミットを実行すると、ポ リシーとオブジェクトはファイアウォール設定の一部となり、Panorama による管理の対象外となります。 通常の操作状況下では、Panorama 管理を無効にすることは不要であるう えに、ファイアウォールのメンテナンスと設定が複雑になりかねません。 このオプションは通常、ファイアウォールでデバイス グループの定義と は異なるルールとオブジェクト値が必要な場合に適用されます。たとえ ば、テストのためにファイアウォールを本番環境からラボ環境に移動す る場合などです。 ファイアウォールのポリシーおよびオブジェクト管理を Panorama に戻 すには、Enable Panorama Policy and Objects [Panorama ポリシーとオ ブジェクトを有効にする ] をクリックします。 デバイスとネットワーク テンプレートを無効 / 有 効にする このオプションはファイアウォールの Panorama Settings [Panorama 設 定 ] を編集する場合にのみ表示されます(Panorama のテンプレートには ありません)。 ファイアウォールに対するテンプレート情報(デバイスとネットワーク 設定)の適用が無効化する場合は、Disable Device and Network Template [ デバイスとネットワークテンプレートを無効にする ] を選択します。デ フォルトでは、この操作により、ファイアウォールからテンプレート情 報も削除されます。テンプレート情報のローカルコピーをファイア ウォールで保管する場合は、ボタンをクリックしたときに開いたダイア ログボックスの Import Device and Network Templates before disabling [無効にする前にデバイスとネットワーク テンプレートをインポート] の オプションを選択します。コミットを実行すると、テンプレート情報は ファイアウォール設定の一部となり、Panorama ではその情報が管理の対 象外となります。 通常の操作状況下では、Panorama 管理を無効にすることは不要であるう えに、ファイアウォールのメンテナンスと設定が複雑になりかねません。 このオプションは通常、ファイアウォールでテンプレートの定義とは異 なるデバイスとネットワーク設定値が必要な場合に適用されます。たと えば、テストのためにファイアウォールを本番環境からラボ環境に移動 する場合などです。 テンプレートを再度受け入れるようにファイアウォールを設定するに は、Enable Device and Network Templates [ デバイスとネットワーク テ ンプレートを有効にする ] をクリックします。 28 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 システム設定 表 4. 管理設定 (続) 項目 内容 Panorama 設定:Panorama > Setup > Management [Panorama > セットアップ > 管理 ] Panorama を使用してファイアウォールを管理する場合、Panorama で以下の設定を行います。これ らの設定により、Panorama から管理対象ファイアウォールへの接続に関するタイムアウトおよび SSL メッセージ試行回数と、オブジェクト共有パラメータが決まります。 ファイアウォール、または Panorama のテンプレートにも Panorama 接続設定を定義する必要があり ます。 「Panorama 設定:Device > Setup > Management [ デバイス > セットアップ > 管理 ]」を参照し てください。 注㸸ファイアウォールは Panorama と認証を行う際、AES-256 により暗号化された SSL 接続を使用し ます。Panorama とファイアウォールはを 2,048 ビット証明書を使用して互いに認証をおこない、SSL 接続を使用して設定の管理とログ回収を行います。 デバイスへのデータ受信 のタイムアウト すべての管理対象ファイアウォールから TCP メッセージを受信するとき のタイムアウトを秒単位で入力します(範囲は 1 ∼ 240、デフォルトは 240)。 デバイスへのデータ送信 のタイムアウト すべての管理対象ファイアウォールに TCP メッセージを送信するときの タイムアウトを秒単位で入力します(範囲は 1 ∼ 240、デフォルトは 240)。 デバイスに送信される SSL のカウントの再試行 管理対象ファイアウォールに Secure Socket Layer(SSL)メッセージを送 信するときの許容再試行回数(範囲は 1 ∼ 64、デフォルトは 25)を入力 します。 未使用のアドレスとサー ビス オブジェクトをデ バイスと共有 すべての Panorama 共有オブジェクトおよびデバイスグループ固有のオ ブジェクトを管理対象ファイアウォールで共有するには、このオプショ ンを選択します。この設定はデフォルトで有効になっています。 このオプションをオフにすると、PAN-OS によって Panorama ポリシー 内のアドレス、アドレスグループ、サービス、およびサービスグループ オブジェクトへの参照がチェックされ、参照されないオブジェクトは共 有されません。このオプションにより、PAN-OS から管理対象ファイア ウォールに必要なオブジェクトのみが送信されるようになり、オブジェ クトの総数が削減されます。 上位で定義されたオブ ジェクトが優先されます 階層内の異なるレベルのデバイスグループに、タイプと名前が同じで値 が異なるオブジェクトがある場合、先祖グループのオブジェクト値が子 孫グループのオブジェクト値よりも優先されるように指定するには、こ のオプションを選択します。つまり、デバイス グループのコミットを実 行すると、すべての値が先祖の値でオーバーライドされます。 デフォルトでは、このシステム全体の設定は無効になっており、子孫グ ループのオーバーライドしたオブジェクトは、先祖グループから継承さ れたオブジェクトよりも優先されます。 管理インターフェイス設定 このインターフェイスは、ファイアウォール、Panorama M-Series アプライアンス、および Panorama バーチャルアプライアンスに適用されます。 M-Series アプライアンスでは、デフォルトで、設定、ログ収集、およびコレクタ グループ通信に管 理(MGT)インターフェイスが使用されます。ただし、ログ収集やコレクタ グループの通信に Eth1 または Eth2 を設定する場合は、Eth1 や Eth2 よりも秘密性が高い MGT インターフェイスのサブネッ トを別途定義することをお勧めします。Netmask [ ネットマスク ] サブネット(IPv4)または IPv6 Address/Prefix Length [IPv6 アドレス / プレフィックス長 ](IPv6)サブネットを指定してください。 Panorama バーチャル アプライアンスでは、別個のインターフェイスはサポートされません。 MGT インターフェイスの設定を完了するには、IP アドレス、ネットマスク(IPv4 の場合)、プレ フィックス長(IPv6 の場合)のいずれかと、デフォルトゲートウェイを指定する必要があります。不 完全な設定をコミットした場合(デフォルトゲートウェイを省略した場合など)、追って設定を変更 する場合はコンソールポート経由でファイアウォールまたは Panorama に接続する必要があります。 常に完全な設定をコミットすることをお勧めします。 ヒント㸸ファイアウォールの管理には、管理インターフェイスを使用する代わりに「ループバック イ ンターフェイスの設定」することができます。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 29 システム設定 デバイス管理 表 4. 管理設定 (続) 項目 内容 タイプ(ファイアウォー ルのみ) 以下のうち 1 つを選択します。 • Static [ 静的 ] — IP Address [IP アドレス ](IPv4)、Netmask [ ネット マスク ](IPv4)、Default Gateway [ デフォルトゲートウェイ ] を手動 で入力する必要があります。 • DHCP Client [DHCP クライアント ] — ファイアウォールが DHCP サー バーを見つけるために DHCP Discover または DHCP Request メッセー ジを送信できるよう、MGT インターフェイスを DHCP クライアント として設定します。これに対する応答として、サーバーは MGT イン ターフェイス用の IP アドレス(IPv4)、ネットマスク(IPv4)、そして デフォルトゲートウェイを提供します。VM-Series ファイアウォールで は、MGT インターフェイスの DHCP はデフォルトで無効になってい ます(AWS および Azure の VM-Series ファイアウォールを除く)。DHCP Client [DHCP クライアント ] を選択した場合、任意で以下のいずれか または両方のクライアントオプションを選択することができます。 – Send Hostname [ ホスト名を送信 ] — 管理インターフェイスの「ホ スト名」を、DHCP Option 12 の一部として DHCP サーバーへ送信 させます。 – Send Client ID [ クライアント ID を送信 ] — 管理インターフェイス のクライアント識別子を、DHCP Option 61 の一部として送信させ ます。 DHCP Client [DHCP クライアント ] を選択した場合、任意で Show DHCP Client Runtime Info [DHCP クライアントランタイム情報を表示 ] をク リックすると動的 IP インターフェイスの状態を参照することができま す。 • インターフェイス — 管理(MGT)インターフェイスを示します。 • IP アドレス — インターフェイスの IP アドレスです。 • ネットマスク — どの部分がネットワークまたはサブネットワークで、ど の部分がホストであるかを示す、IP アドレス用のサブネットマスクを 示します。 • ゲートウェイ — MGT インターフェイスから出て行くトラフィック用 のデフォルトゲートウェイ。 • プライマリ/セカンダリNTP — MGTインターフェイスが使用するNTP サーバーの IP アドレスを 2 つまで表示します。DHCP サーバーが NTP サーバーアドレスを返した場合、ファイアウォールは NTP サーバーア ドレスを手動で設定していなかった場合のみそれらを認識します。 NTP サーバーアドレスを手動で設定している場合、ファイアウォール が DHCP サーバーから送られてきたアドレスで上書きすることはあり ません。 • リースタイム — その DHCP IP アドレスが割り当てられている時間(日 / 時間 / 分 / 秒)を表示します。 • 失効時間 — DHCP リースが無効となる年月日、時間 / 分 / 秒およびそ のタイムゾーンを表示します。 • DHCP サーバー — 管理インターフェイスの DHCP クライアントに応 答する DHCP サーバーの IP アドレスを表示します。 • ドメイン — MGT インターフェイスが属するドメイン名を表示します。 • DNS サーバー — MGT インターフェイスが使用する DNS サーバーの IP アドレスを 2 つまで表示します。DHCP サーバーが DNS サーバー アドレスを返した場合、ファイアウォールは DNS サーバーアドレスを 手動で設定していなかった場合のみそれらを認識します。DNS サー バーアドレスを手動で設定している場合、ファイアウォールが DHCP サーバーから送られてきたアドレスで上書きすることはありません。 また、必要に応じて MGT インターフェイスに割り当てられた IP アド レスの DHCP リースを Renew [ 更新 ] することもできます。完了したら、 ウィンドウを Close [ 閉じ ] ます。 30 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 システム設定 表 4. 管理設定 (続) 項目 内容 IP アドレス (IPv4) ネットワークで IPv4 を使用する場合、IPv4 アドレスを管理インターフェ イスに割り当てます。または、ループバックインターフェイスの IP アド レスを割り当ててファイアウォールを管理することもできます。デフォ ルトでは、入力する IP アドレスはログ転送の送信元アドレスです。 ネットマスク (IPv4) IPv4 アドレスを管理インターフェイスに割り当てた場合は、ネットワー ク マスク ( 例:255.255.255.0) を入力する必要もあります。 デフォルトゲートウェイ IPv4 アドレスを管理インターフェイスに割り当てた場合は、デフォルト ゲートウェイに IPv4 アドレスを割り当てる必要もあります ( 管理イン ターフェイスと同じサブネットにする必要があります )。 IPv6 アドレス / プレフ ィックス長 ネットワークで IPv6 を使用する場合、IPv6 アドレスを管理インターフェ イスに割り当てます。ネットマスクを示すには、IPv6 プレフィックス長 を入力します ( 例:2001:400:f00::1/64)。 デフォルト IPv6 ゲート ウェイ IPv6 アドレスを管理インターフェイスに割り当てた場合は、デフォルト ゲートウェイに IPv6 アドレスを割り当てる必要もあります ( 管理イン ターフェイスと同じサブネットにする必要があります )。 速度 管理インターフェイスのデータ速度とデュプレックス オプションを設定 します。フル デュプレックスまたはハーフ デュプレックスで、10Mbps、 100Mbps、1Gbps のいずれかを選択できます。ファイアウォールまたは Panorama にインターフェイス速度を決定させる場合は、デフォルトの オートネゴシエート設定を使用します。 注意 ! この設定は、隣接するネットワーク機器のポート設定と一致する 必要があります。 MTU このインターフェイスで送信されるパケットの最大転送単位 (MTU) を バイト数で入力します ( 範囲は 576 ∼ 1500、デフォルトは 1500)。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 31 システム設定 デバイス管理 表 4. 管理設定 (続) 項目 内容 サービス 管理インターフェイスで有効にするサービスを選択します。 • Ping — 外部サービスとの接続をテストする場合に使用します。例えば、 MGT インターフェイスに対して ping を行い、Palo Alto Networks アッ プデートサーバーから PAN-OS ソフトウェアやコンテンツのアップ デートが受信可能な状態かどうか確認することができます。高可用性 (HA)配置の場合、HA ピアは ping を使用してハートビートのバック アップ情報を交換します。 • Telnet — ファイアウォール CLI にアクセスする際に使用します。Telnet はプレーンテキストを使用しますが、SSH よりは機密性が劣ります。こ のため、インターフェイス上の管理トラフィック用には、Telnet の代 わりに SSH を有効化することを推奨します。 • SSH — ファイアウォールCLIに安全にアクセスする場合に使用します。 • HTTP — ファイアウォールウェブインターフェイスにアクセスする際に 使用します。HTTP はプレーンテキストを使用しますが、HTTPS より は機密性が劣ります。このため、インターフェイス上の管理トラフィッ ク用には、HTTPS の代わりに HTTP を有効化することを推奨します。 • HTTP OCSP — ファイアウォールをオンライン証明書状態プロトコル (OCSP)のレスポンダとして設定する場合に使用します。詳細は、 「OCSP レスポンダの追加」を参照してください。 • HTTPS — ファイアウォールウェブインターフェイスに安全にアクセス する場合に使用します。 • SNMP — SNMP マネージャーからのファイアウォール状態クエリを処 理する場合に使用します。詳細は、 「SNMP モニタリングの有効化」を 参照してください。 • Response Pages [ 応答ページ ] — 以下の応答ページを有効化する場合 に使用します。 – キャプティブポータル — キャプティブポータル応答ページにサービ スを提供するために使用されるポートがレイヤー 3 インターフェイ ス上で開いたままになります。NTLM の場合はポート 6080、透過 モードのキャプティブポータルの場合は 6081、リダイレクトモード のキャプティブポータルの場合は 6082 が開いたままになります。詳 細は、 「キャプティブポータルのユーザー認証を管理する」を参照し てください。 – URL 管理者のオーバーライド — 詳細は「Content-ID 設定の定義」 を参照してください。 • User-ID —「ファイアウォール間のユーザーマッピングの再配信を有効 化する」する場合に使用します。 • User-ID Syslog Listener-SSL [User-ID Syslog リスナー -SSL] — PANOS 統合 User-ID™ エージェントによる SSL 経由の syslog メッセージの 回収を有効化する場合に使用します。詳細は、 「監視対象サーバーに対 するアクセスの設定」を参照してください。 • User-ID Syslog Listener-UDP [User-ID Syslog リスナー -SSL] — PANOS 統合 User-ID エージェントによる UDP 経由の syslog メッセージの 回収を有効化する場合に使用します。詳細は、 「監視対象サーバーに対 するアクセスの設定」を参照してください。 アクセス許可IPアドレス ファイアウォール管理が許可される IP アドレスのリストを入力します。 Panorama M-Series アプライアンスでこのオプションを使用している場 合、ファイアウォールが Panorama に接続してログを送信したり、設定 の更新を受信したりできるよう、すべての管理対象ファイアウォールの IP アドレスを追加します。 32 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 システム設定 表 4. 管理設定 (続) 項目 内容 Ethernet 1 インターフェイス設定 このインターフェイスは、Panorama M-Series アプライアンスにのみ適用されます。M-Series アプラ イアンスでは、デフォルトで、設定、ログ収集、およびコレクタ グループ通信に管理インターフェ イスが使用されます。ただし、Eth1 を有効にすると、管理対象コレクタを定義するときに (Panorama > Managed Collectors [Panorama > 管理対象コレクタ ])、ログ収集やコレクタ グループ通信で Eth1 を 使用するように設定できます。 注㸸IP アドレス、ネットマスク (IPv4 の場合 )、プレフィックス長 (IPv6 の場合 ) のいずれかと、デ フォルトゲートウェイを指定しない場合は、Eth1 設定をコミットできません。 Eth1 Eth1 インターフェイスを有効化する場合は、このオプションを選択しま す。 IP アドレス (IPv4) ネットワークで IPv4 を使用する場合、IPv4 アドレスを Eth1 インター フェイスに割り当てます。 ネットマスク (IPv4) IPv4 アドレスをインターフェイスに割り当てた場合は、ネットワーク マ スク ( 例:255.255.255.0) を入力する必要もあります。 デフォルトゲートウェイ IPv4 アドレスをインターフェイスに割り当てた場合は、デフォルトゲー トウェイに IPv4 アドレスを割り当てる必要もあります ( ゲートウェイは Eth1 インターフェイスと同じサブネット上にある必要があります )。 IPv6 アドレス / プレ フィックス長 ネットワークで IPv6 を使用する場合、IPv6 アドレスを Eth1 インター フェイスに割り当てる必要もあります。ネットマスクを示すには、IPv6 プレフィックス長を入力します ( 例:2001:400:f00::1/64)。 デフォルト IPv6 ゲート ウェイ IPv6 アドレスをインターフェイスに割り当てた場合は、デフォルトゲー トウェイに IPv6 アドレスを割り当てる必要もあります ( ゲートウェイは Eth1 インターフェイスと同じサブネット上にある必要があります )。 速度 Eth1 インターフェイスのデータ速度とデュプレックス オプションを設 定 します。フル デュプレックスまたはハーフ デュプレックスで、 10Mbps、100Mbps、1Gbps のいずれかを選択できます。Panorama にイ ンターフェイス速度を決定させるには、デフォルトのオート ネゴシエー ト設定を使用します。 注意 ! この設定は、隣接するネットワーク機器のポート設定と一致する 必要があります。 MTU このインターフェイスで送信されるパケットの最大転送単位 (MTU) を バイト数で入力します ( 範囲は 576 ∼ 1500、デフォルトは 1500)。 サービス Eth1 インターフェイスで Ping サービスを有効にするには、Ping を選択 します。 アクセス許可IPアドレス Eth1 管理が許可される IP アドレスのリストを入力します。 Ethernet 2 インターフェイス設定 このインターフェイスは、Panorama M-Series アプライアンスにのみ適用されます。M-Series アプラ イアンスでは、デフォルトで、設定、ログ収集、およびコレクタ グループ通信に管理インターフェ イスが使用されます。ただし、 Eth2 を有効にすると、管理対象コレクタを定義するときに (Panorama > Managed Collectors [Panorama > 管理対象コレクタ ])、ログ収集やコレクタ グループ通信で Eth1 を 使用するように設定できます。 注:IP アドレス、ネットマスク (IPv4 の場合 )、プレフィックス長 (IPv6 の場合 ) のいずれかと、デ フォルトゲートウェイを指定しない場合は、Eth2 設定をコミットできません。 Eth2 Eth2 インターフェイスを有効化する場合は、このオプションを選択しま す。 IP アドレス (IPv4) ネットワークで IPv4 を使用する場合、IPv4 アドレスを Eth2 インター フェイスに割り当てます。 ネットマスク (IPv4) IPv4 アドレスをインターフェイスに割り当てた場合は、ネットワーク マ スク ( 例:255.255.255.0) を入力する必要もあります。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 33 システム設定 デバイス管理 表 4. 管理設定 (続) 項目 内容 デフォルトゲートウェイ IPv4 アドレスをインターフェイスに割り当てた場合は、デフォルトゲー トウェイに IPv4 アドレスを割り当てる必要もあります ( ゲートウェイは Eth2 ポートと同じサブネット上にある必要があります )。 IPv6 アドレス/プレフィッ クス長 ネットワークで IPv6 を使用する場合、IPv6 アドレスを Eth2 インター フェイスに割り当てます。ネットマスクを示すには、IPv6 プレフィック ス長を入力します ( 例:2001:400:f00::1/64)。 デフォルト IPv6 ゲート ウェイ IPv6 アドレスをインターフェイスに指定した場合は、デフォルトゲート ウェイに IPv6 アドレスを割り当てる必要もあります ( ゲートウェイは Eth2 インターフェイスと同じサブネット上にある必要があります )。 速度 Eth2 インターフェイスのデータ速度とデュプレックス オプションを設 定 し ま す。フル デュプレックスまたはハーフ デュプレックスで、 10Mbps、100Mbps、1Gbps のいずれかを選択できます。Panorama にイ ンターフェイス速度を決定させるには、デフォルトのオート ネゴシエー ト設定を使用します。 注意 ! この設定は、隣接するネットワーク機器のポート設定と一致する 必要があります。 MTU このインターフェイスで送信されるパケットの最大転送単位 (MTU) を バイト数で入力します ( 範囲は 576 ∼ 1500、デフォルトは 1500)。 サービス Eth2 インターフェイスで Ping サービスを有効にするには、Ping を選択 します。 アクセス許可IPアドレス Eth2 管理が許可される IP アドレスのリストを入力します。 34 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 システム設定 表 4. 管理設定 (続) 項目 内容 ロギングおよびレポート設定 以下を変更するには、このセクションを使用します。 • 以下のログおよびレポートの有効期間およびストレージの割り当て設定は、高可用性ペア間で同期 されます。 – ファイアウォールが生成するログ、(Device > Setup > Management [ デバイス > セットアップ > 管理 ])。設定は、ファイアウォールのすべての仮想システムに適用されます。 – Panorama 管理サーバーおよびその管理対象コレクタが生成するログ (Panorama > Setup > Management [Panorama > セットアップ > 管理 ])。管理対象コレクタがファイアウォールから受 信するログの設定を指定する方法については、 「コレクタグループの管理」を参照してください。 • ユーザー アクティビティ レポートの計算およびエクスポートの属性 • ファイアウォール /Panorama で作成された事前定義済みレポート Log Storage [ログ保存エ リア ] タブ (Log Card Storage [ ログ カード ストレージ ] タブ と Management Card Storage [ 管理カード ス トレージ ] タブは、 PA-7000 Series ファイア ウォールにのみ適用され ます ) ログ タイプおよびログ サマリー タイプごとに、以下を指定します。 • ログを保存するためのハード ディスクに割り当てられる Quota [ 割り 当て ] ( パーセント )。Quota [ 割り当て ] の値を変更すると、関連付け られたディスクの割り当てが自動的に変更されます。すべての値の合 計が 100% を超える場合、ページ上にメッセージが赤で表示され、設定 を保存しようとするときにエラー メッセージが表示されます。これが 発生する場合、合計が 100% の上限を超えないようにパーセンテージを 調整します。 • ログの有効期間である Max Days [ 最大日数 ] ( 範囲は 1 ∼ 2,000)。ファ イアウォールまたは Panorama は、指定した期間を超えるログを自動 的に削除します。デフォルトでは有効期間が設定されていません。つ まりログの有効期限がありません。 ファイアウォールまたは Panorama は、ログの作成時にログを検証し、有 効期間または割り当てサイズを超えているログを削除します。 注意 ! 週次サマリーログは、ファイアウォールまたは Panorama がログを 削除する各タイミングの間に有効期限のしきい値に達すると、次の削除 の前にしきい値を超える可能性があります。ログ割り当てが最大サイズ に達した場合、新しいログエントリは最も古いログエントリを上書きし て作成されます。ログ割り当てサイズを小さくする場合、ファイアウォー ルまたはPanoramaはその変更をコミットした際に最も古いログを削除し ます。高可用性 (HA) アクティブ / パッシブ設定の場合、パッシブ ピアは ログを受信しないため、フェイルオーバーが発生してアクティブになる までログを削除しません。 デフォルト値に戻すには、Restore Defaults [デフォルトの復元] をクリッ クします。 OK をクリックして、変更を保存します。 PA-7000 シリーズ ファイアウォールでは、ログは LPC (Log Processing Card) と SMC (Switch Management Card) に保存されるため、ログの割 り当てはこれら 2 つのエリアに分割されます。Log Storage [ ログ保存エ リア ] タブには、LPC に保存されたデータタイプトラフィックの割り当 て設定が表示されます(トラフィックログ、脅威ログなど)。Management Card Storage [ 管理カード ストレージ ] タブには、SMC に保存された管 理タイプ トラフィックの割り当て設定が表示されます ( 設定ログ、シス テム ログ、アラーム ログなど )。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 35 システム設定 デバイス管理 表 4. 管理設定 (続) 項目 内容 Log Export and Reporting [ ログのエクスポートと レポート ] タブ Number of Versions for Config Audit [ 設定監査のバージョン数 ] — 保存 可能な設定監査のバージョン数を入力します ( デフォルトは 100)。この 数を超えると最も古いバージョンが廃棄されます。保存されたバージョ ンを使用して、設定の変更の監査と比較を行うことができます。 Number of Versions for Config Backups [設定バックアップのバージョン 数 ] — (Panorama のみ)保存可能な設定バックアップ数を入力します ( デフォルトは 100)。この数を超えると最も古い設定バックアップが廃棄 されます。 Max Rows in CSV Export [CSVエクスポートの最大行数] — トラフィック ログビューの Export to CSV [CSV にエクスポート ] アイコンで生成され る CSV レポートに表示される最大行数(範囲は 1 ∼ 1048576、デフォル トは 65535)を入力します。 Max Rows in User Activity Report [ ユーザーアクティビティレポートの 最大行数 ] — 詳細なユーザーアクティビティレポートでサポートされる 最大行数(範囲は 1 ∼ 1048576、デフォルトは 5000)を入力します。 Average Browse Time (sec) [ 平均ブラウズ時間(秒)] — 「ユーザーア クティビティレポート」のブラウズ時間(秒単位)の計算方法を調整す る場合は、この変数を設定します(範囲は 0 ∼ 300、デフォルトは 60)。 計算対象としては、Web 広告やコンテンツ配信ネットワークとして分類 されたサイトは無視されます。ブラウズ時間の計算は、URL フィルタリ ング ログに記録されたコンテナ ページに基づきます。計算に含めるべき ではない外部サイトからコンテンツをロードするサイトが多くあるた め、コンテナ ページがこの計算の基準として使用されます。コンテナ ページの詳細は、 「コンテナ ページ」を参照してください。 平均ブラウズ時間の設定は、管理者が想定するユーザーが Web ページを 閲覧する平均時間です。平均ブラウズ時間が経過した後に行われたリク エストは、新しいブラウズ アクティビティと見なされます。計算対象か らは、最初のリクエスト時間 ( 開始時間 ) から平均ブラウズ時間までの間 にロードされる新しい Web ページは無視されます。この動作は、任意の Web ページ内にロードされる外部サイトを除外するために設計されてい ます。 例:平均ブラウズ時間が 2 分に設定されている場合は、ユーザーが Web ページを開き、そのページを 5 分間閲覧しても、そのページのブラウズ 時間は 2 分になります。ユーザーがあるページを閲覧する時間を判断す る方法がないため、このような動作が設定されています。 Page Load Threshold (sec) [ ページロードしきい値(秒)] — このオプ ションを使用すると、ページ要素がページにロードされるまでの推定時 間を秒単位で調整できます(範囲は 0 ∼ 60、デフォルトは 20)。最初の ページのロードからページ ロードしきい値までの間に発生するリクエス トは、ページの要素と見なされます。ページ ロードしきい値の範囲外で 発生するリクエストは、ページ内のリンクをユーザーがクリックしたも のと見なされます。ページロードしきい値は、 「ユーザーアクティビティ レポート」の計算にも使用されます。 Syslog HOSTNAME Format [Syslog のホスト名フォーマット ] — Syslog メッセージ ヘッダーに FQDN、ホスト名、IP アドレス (v4 または V6) を 使用するかどうかを選択します。このヘッダーは、メッセージの送信元 ファイアウォール /Panorama を識別します。 Stop Traffic when LogDb full [LogDb 容量超過時トラフィック転送を停 止 ] — (ファイアウォールのみ)ログデータベースに空きがない場合に ファイアウォール経由のトラフィックを停止する場合は、このオプショ ンを選択します ( デフォルトはオフ )。 Report Expiration Period [ レポートの有効期間 ] — レポートの有効期間 を日単位で設定します ( 範囲は 1 ∼ 2,000)。デフォルトでは有効期間が設 定されていません。つまり、レポートの有効期限がありません。ファイ アウォールまたは Panorama は、システム時間に基づき、有効期限を過 ぎたレポートを毎晩午前 2 時に削除します。 36 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 システム設定 表 4. 管理設定 (続) 項目 内容 Enable Log on High DP Load [DP 高負荷時にログを有効にする ] —(ファ イアウォールのみ)ファイアウォールのパケット処理の負荷により CPU 使用率が 100% に達した場合にシステムログエントリを生成するには、こ のオプションを選択します。 高い CPU 負荷により、CPU がすべてのパケットを処理するのに十分な サイクルを確保できないため、動作が遅くなる可能性があります。シス テム ログでこの問題のアラートが通知 ( ログ エントリが毎分生成 ) され るため、問題の原因を調査できます。 デフォルトで無効になっています。 (Panorama のみ ) Buffered Log Forwarding from Device [ デバイスから転送するログの バッファ ] — Panorama への接続が失われた場合に、ファイアウォール でそのハード ディスク ( ローカル ストレージ ) へのログ エントリのバッ ファを許可します。Panorama との接続が復元したときに、ログ エント リが Panorama に転送されます。バッファに使用できるディスク領域は、 そのプラットフォームのログ ストレージの割り当て、およびロール オー バーが保留中のログの量によって異なります。使用可能な領域がなくな ると、新しいイベントをロギングできるように最も古いエントリが削除 されます。 デフォルトで有効になっています。 Get Only New Logs on Convert to Primary [ プライマリへの変換時に新規 ログのみを取得 ] — このオプションは、Panorama がネットワーク ファ イル共有 (NFS) にログを書き込む場合にのみ適用されます。NFS ロギン グでは、プライマリ Panorama が NFS にマウントされます。そのため、 ファイアウォールはアクティブなプライマリ Panorama のみにログを送 信します。 このオプションでは、HA フェイルオーバーが発生してセカンダリ Panorama が ( プライマリに昇格した後に ) NFS へのロギングを再開した 場合、新しく生成されたログのみを管理対象ファイアウォールから Panorama に送信するように管理者が設定できます。 この動作を有効にするのは、通常、Panorama への接続が復元されるまで 長時間かかったときに、ファイアウォールが大量のバッファ済みログを 送信しないようにするためです。 Only Active Primary Logs to Local Disk [ ローカル ディスクへのアクティ ブ プライマリ ログのみ ] — アクティブなプライマリ Panorama のみが ローカル ディスクにログを保存するように設定できます。 このオプションは、仮想ディスクのある Panorama 仮想マシン、および Panorama モードの M-Series アプライアンスで使用可能です。 Pre-Defined Reports [ 事前定義済みレポート ] — アプリケーション、ト ラフィック、脅威、URL フィルタリングの事前定義済みレポートは、ファ イアウォールと Panorama で使用できます。デフォルトでは、これらの 事前定義済みレポートは有効になっています。 ファイアウォールは 1 時間おきの結果の生成(および表示用にその結果 が集約およびコンパイルされる Panorama への送信)にメモリリソース を使用するため、メモリ使用量が減るように、重要ではないレポートを 無効にできます。レポートを無効にする場合は、そのレポートのオプショ ンをオフにします。 事前定義済みレポートの生成を完全に有効または無効にする場合は、 Select All [ すべて選択 ] または Deselect All [ すべての選択を解除 ] をク リックしてください。 注:レポートを無効にする場合は、それがグループレポートや PDF レ ポートに使用されていないことを確認してください。レポートセットに 割り当てられている事前定義済みレポートを無効にした場合、そのレ ポートセット全体でデータが表示されなくなります。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 37 システム設定 デバイス管理 表 4. 管理設定 (続) 項目 内容 バナーおよびメッセージ 「本日のメッセージ」ダイアログのすべてのメッセージを表示する場合は「本日のメッセージ」を参 照してください。 ヒント:本日のメッセージを設定して OK をクリックすると、その後ログインする管理者や、画面の 更新を行ったアクティブな管理者に対し、新しいメッセージやアップデートされたメッセージが即座 に表示されるようになります(コミットする必要はありません)。これにより他の管理者に対し、間 もなく実行予定のコミットを実行前に通知することができます。 本日のメッセージ (チェックボックス) 本日のメッセージ (テキスト入力欄) ウェブインターフェイスへのログイン時に「本日のメッセージ」ダイア ログを表示させる場合はこのオプションを選択してください。 「本日のメッセージ」ダイアログ用のテキスト(最大 3,200 文字)を入力 してください。 今後は表示しないオプ ションの有効化 「本日のメッセージ」ダイアログに Do not show again [ 今後は表示しな い ] オプションを含める場合はこちらを選択してください(デフォルト では無効)。管理者は以降、ログイン中にそのメッセージを表示しないよ うにすることができます。 注:Message of the Day [ 本日のメッセージ ] のテキストを編集した場合、 Do not show again [ 今後は表示しない ] を選択した管理者にもそのメッ セージが表示されます。変更されたメッセージを以降のセッションで表 示したくない場合、管理者は再度このオプションを選択する必要があり ます。 タイトル 「本日のメッセージ」のヘッダーを入力します(デフォルトは Message of the Day です) 。 背景の色 「本日のメッセージ」ダイアログ用の背景色を選択してください。デフォ ルト(None [ なし ])は薄いグレーの背景です。 アイコン 「本日のメッセージ」のテキストの上に表示する、事前設定済のアイコン を選択します。 • なし(デフォルト) • エラー • ヘルプ • 情報 • 警告 ヘッダーバナー ヘッダーバナーに表示するテキストを入力してください(最大 3,200 文 字)。 ヘッダーの色 ヘッダーの背景色を選択します。デフォルト(None [ なし ])は透明な背 景です。 ヘッダーの文字色 ヘッダーテキストの文字色を選択します。デフォルト(None [ なし ] )は 黒です。 ヘッダーとフッターに同 じバナーを使用する フッターバナーにヘッダーバナーと同じテキストと配色を割り当てたい 場合はこのオプションを選択してください(デフォルトでは有効)。この オプションを有効化すると、フッターバナー用のテキスト入力欄と色の フィールドはグレー表示になります。 フッターバナー フッターバナーに表示するテキストを入力してください(最大 3,200 文 字)。 フッターの色 フッターの背景色を選択します。デフォルト(None [ なし ])は透明な背 景です。 フッターの文字色 フッターテキストの文字色を選択します。デフォルト(None [ なし ] )は 黒です。 38 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 システム設定 表 4. 管理設定 (続) 項目 内容 パスワード複雑性設定 有効 ローカル アカウントのパスワードの最小要件を有効にします。この機能 を使用すると、定義されたパスワード要件が、ファイアウォールのロー カル管理者アカウントで確実に順守されます。 これらのオプションのサブセットを使用したパスワード プロファイルを 作成し、設定をオーバーライドしたり、特定のアカウントに適用したり することもできます。詳細は、 「パスワードプロファイルの定義」を参照 してください。アカウントで使用できる有効な文字の詳細は、 「管理者 ロールの定義」を参照してください。 注:パスワードの最大文字数は 31 文字です。PAN-OS が許容していない 要件を設定しないようにしてください。たとえば、大文字 10 個、小文字 10 個、数字 10 個、特殊文字 10 個の要件は、最大文字数の 31 を超えるた め、設定しないでください。 注:高可用性 (HA) を設定してある場合は、パスワード複雑性のオプショ ンを設定するときに必ずプライマリピアを使用し、変更を加えた後にす ぐにコミットしてください。 最少文字数 最少で 1 ∼ 15 文字が必要です。 最少大文字数 最少で 0 ∼ 15 文字の大文字が必要です。 最少小文字数 最少で 0 ∼ 15 文字の小文字が必要です。 最少数字数 最少で 0 ∼ 15 文字の数字が必要です。 最少特殊文字数 最少で 0 ∼ 15 文字の特殊文字 ( 英数字以外 ) が必要です。 繰り返し文字のブロック パスワードで許容される連続重複文字数を指定します(範囲は 2 ∼ 15 文 字)。 値を 2 に設定すると、パスワードに 2 回連続する同じ文字を含めること はできますが、同じ文字が連続して 3 回以上使用されるパスワードは許 可されません。 たとえば、値を「2」に設定する場合、 「test11」や「11test11」というパ スワードは受け入れられますが、 「test111」は数値の「1」が 3 回連続し ているため受け入れられません。 ユーザー名を含むパス ワードを禁止 ( 逆順を含 む) アカウントユーザー名(またはそれを逆読みにしたもの)をパスワード に使用できないようにする場合は、このオプションを選択します。 文字が異なる新規パス ワード 管理者が自分のパスワードを変更するときに、文字は指定した値によっ て異なる必要があります。 初回ログイン時にパス ワードの変更を要求 管理者がファイアウォールに初めてログインする際にパスワードの変更 を求めるプロンプトを表示するには、このオプションを選択します。 パスワードの再使用禁止 制限 指定した数に基づいて、以前のパスワードを再使用しないように要求し ます。たとえば、値を「4」に設定すると、直近の 4 つのパスワードを再 使用することができなくなります(範囲は 0 ∼ 50)。 パスワード変更期間のブ 指定した日数が経過するまで、ユーザーはパスワードを変更できません (範囲は 0 ∼ 365 日)。 ロック(日) パスワード有効期限(日 数) © Palo Alto Networks, Inc. 設定された日数 (0 ∼ 365 日 ) で指定されたとおりに、管理者は定期的に パスワードを変更する必要があります。たとえば、値を「90」に設定す ると、管理者に 90 日ごとにパスワードの変更を求めるプロンプトが表示 されます。 失効の警告を 0 ∼ 30 日の範囲で設定して猶予期間を指定することもで きます。 Web インターフェイス リファレンス ガイド、バージョン 7.1 • 39 システム設定 デバイス管理 表 4. 管理設定 (続) 項目 内容 失効の警告期間 ( 日数 ) パスワード有効期限を設定した場合は、この設定により、強制パスワー ド変更日が近づくとユーザーがログインするたびにパスワードの変更を 求めるプロンプトを表示することができます(範囲は 0 ∼ 30 日)。 許可された管理者失効ロ グイン ( 数 ) アカウントが失効した後に、管理者は指定した回数ログインできます。た とえば、値を「3」に設定した場合、アカウントの失効後においても、管 理者はアカウントがロックアウトされるまで 3 回ログインすることがで きます(範囲は 0 ∼ 3 回)。 失効後の猶予期間 (日数) アカウントが失効した後に、管理者は指定した日数ログインできます(範 囲は 0 ∼ 30 日)。 AutoFocus 有効 AutoFocus URL クエリタイムアウト (秒数) ファイアウォールと AutoFocus ポータルの接続を有効化することで、脅 威インテリジェンスデータの取得や、ファイアウォールと AutoFocus を 統合的に検索することが可能になります。 AutoFocus に接続されると、ファイアウォールにはトラフィック、脅威、 URL フィルタリング、WildFire への送信、およびデータフィルタリング のログエントリに関する AutoFocus データが表示されるようになります (Monitor > Logs [ 監視 > ログ ])。これらのタイプのログエントリ(IP ア ドレスや URL など)から分析結果をクリックし、 それに対する AutoFocus 調査結果と統計のサマリーを表示することができます。さらにその分析 結果に対し、ファイアウォールから直接、拡張 AutoFocus 検索を行うこ とができます。 ヒント:Device > Licenses [ デバイス > ライセンス ] を選択し、ファイア ウォールで AutoFocus ライセンスが有効かどうか確認してください。 AutoFocus ライセンスが表示されない場合、License Management [ ライ センス管理 ] にあるいずれかのオプションを使用してライセンスをアク ティベートしてください。 AutoFocus URL を入力します。autofocus.paloaltonetworks.com ファイアウォールが AutoFocus に対し脅威インテリジェンスデータのク エリを行う際の試行継続時間を設定します。AutoFocus ポータルが指定 した時間内に応答しない場合、ファイアウォールは接続を切断します。 40 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 システム設定 操作設定の定義 Device > Setup > Operations [ ࢹࣂࢫ > ࢭࢵࢺࢵࣉ > ᧯స ] Panorama > Setup > Operations [Panorama > ࢭࢵࢺࢵࣉ > ᧯స ] ௨ୗࡢࢱࢫࢡࢆ⾜࠺ࡇ࡛ࠊ3DQRUDPD ࠾ࡼࡧࣇ࢛࣮࡛࢘ࣝᐇ⾜୰ࡢタᐃೃ⿵タᐃࢆ ⟶⌮ࡍࡿࡇࡀ࡛ࡁࡲࡍࠋ 候補設定に加えた変更を有効化する場合はそれを「変更のコミット」する必要が あり、コミットを行うことで変更内容が実行中の設定に加えられます。定期的に 「候補設定の保存」することをお勧めします。 設定ファイル、ログ、レポート、およびその他のファイルを SCP サーバーにエク スポートし、これらのファイルを他のファイアウォールや Panorama にインポート する場合は CLI の Secure Copy (SCP)コマンドを使用することができます。ただ し、以下のプラットフォームにおいてはログデータベースはエクスポートやイン ポートを行うには大きすぎるので、ログデータベース全体のエクスポートやイン ポートはサポートされていません。PA-7000 Series ファイアウォール(すべての PAN-OS リリース)、Panorama 6.0 以降を実行している Panorama 仮想アプライア ンス、および Panorama M-Series アプライアンス(すべての Panorama リリース)。 表 5. 設定管理機能 機能 内容 設定の管理 最後に保存した設定に戻 す 候補設定のデフォルトのスナップショット(.snapshot.xml)を復元しま す(Web インターフェイスの右上にある Save [ 保存 ] をクリックして作 成あるいは上書きするスナップショット)。 実行中の設定に戻す 現在の実行中の設定が復元されます。前回のコミット以降に候補設定に 対して加えた変更を全て解除します。 名前付き設定スナップ ショットの保存 デフォルトのスナップショット(.snapshot.xml)に上書きせずに候補設 定のスナップショットを作成します。スナップショット用の Name [ ファ イル名 ] を入力するか、上書きする既存のファイルを選択します。 候補設定の保存 候補設定のデフォルトスナップショット(.snapshot.xml)を作成または 上書きします。これは Web インターフェイスの右上にある Save [ 保存 ] をクリックした場合と同じ動作を行います。 名前付き設定スナップ ショットのロード 以下のいずれかを復元します。 • 名前を付けた候補設定のスナップショット(デフォルトのスナップ ショットではなく)。 • インポートして名前を付けた実行中の設定。 • 現在実行中の設定。 ロードした設定はファイアウォールに保存する必要があります。この操 作により現在の候補設定が上書きされます。 設定バージョンのロード ファイアウォールに保存されている、実行していた設定の以前のバー ジョンを復元します。この操作により現在の候補設定が上書きされます。 名前付き設定スナップ ショットのエクスポート 現在実行中の設定、候補設定のスナップショット、または前回インポー トした設定(候補または実行中の設定)をエクスポートします。ファイ アウォールは、設定済みの名前が付与された XML ファイルとして設定を エクスポートします。スナップショットはネットワーク上の任意の場所 に保存することができます。 設定バージョンのエクス ポート 実行中のVersion [ バージョン ] の設定をXML ファイルとしてエクスポー トします。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 41 システム設定 デバイス管理 表 5. 設定管理機能(続) 機能 内容 Panorama およびデバイ スの設定バンドルのエク スポート Panorama とそれぞれの管理対象ファイアウォールの、実行中の設定の バックアップの最新バージョンを生成し、エクスポートを行います。設 定バンドルを毎日作成して SCP または FTP サーバーにエクスポートす るプロセスを自動化する方法は、「Panorama およびファイアウォールの 設定のエクスポートをスケジューリングする」を参照してください。 (Panorama のみ ) デバイスの設定バンドル のエクスポートまたは プッシュ (Panorama のみ ) ファイアウォールを選択し、Panorama に保存されているファイアウォー ル設定に対して以下のいずれかの操作を実行するように求められます。 • ファイアウォールに設定を Push & Commit [ プッシュ & コミット ] す る。この操作により、ファイアウォールがクリーニング ( ファイア ウォールからローカル設定が削除 ) され、Panorama に保存されている ファイアウォール設定がプッシュされます。ファイアウォール設定を インポートしたら、Panorama で管理できるように、このオプションを 使用してそのファイアウォールをクリーンアップします。詳細は、 「Panorama にデバイス設定をインポート」を参照してください。 • 設定をロードせずにファイアウォールに Export [ エクスポート ] する。 設定をロードするには、ファイアウォール CLI にアクセスし、設定モー ド コマンド load device-state を実行する必要があります。このコマン ドを使用すると、Push & Commit [ プッシュ & コミット ] オプションと 同じようにファイアウォールがクリーンアップされます。 注意 ! これらのオプションは PAN-OS 6.0.4 以降のリリースを実行中の ファイアウォールのみにおいて使用可能です。 デバイス状態のエクス ポート ( ファイアウォールのみ ) ファイアウォールの状態の情報をバンドルとしてエクスポートします。 実行中の設定に加え、状態の情報には Panorama からプッシュされたデ バイスグループ設定やテンプレート設定が含まれます。ファイアウォー ルが GlobalProtect™ ポータルの場合、バンドルには証明書情報、ポータ ルが管理するサテライトの一覧、およびサテライト認証情報が含まれて います。ファイアウォールまたはポータルを交換した場合、代替のもの に状態のバンドルをインポートすることで、エクスポートしておいた情 報を復元することができます。 重要:ファイアウォールの状態のエクスポートを手動で実行するか、ス ケジュール設定された XML API スクリプトを作成し、リモートサーバー にファイルをエクスポートする必要があります。サテライト証明書は頻 繁に変更される可能性があるので、この操作を定期的に行う必要があり ます。 CLI を使用してファイアウォール状態ファイルを作成する場合は、設定モー ドで save device state を実行します。ファイルには、device_state_cfg.tgz という名前が付けられ、/opt/pancfg/mgmt/device-state に保存されます。 ファイアウォール状態ファイルをエクスポートする操作コマンドは、 scp export device-state です (tftp export device-state を 使用することもできます )。 XML API の詳細な使用方法は、PAN-OS および Panorama XML API 利 用ガイドを参照してください。 名前付き設定スナップ ショットのインポート ネットワーク上から実行中の設定あるいは候補設定をインポートしま す。Browse [ 参照 ] をクリックして、インポートする設定ファイルを選 択します。 デバイス状態のインポー ト ( ファイアウォールのみ ) Export device state [ デバイス状態のエクスポート ] オプションを使用し て、ファイアウォールからエクスポートしておいた状態情報のバンドル をインポートします。実行中の設定に加え、状態の情報には Panorama からプッシュされたデバイスグループ設定やテンプレート設定が含まれ ます。ファイアウォールが GlobalProtect ポータルの場合、バンドルに は、証明書情報、サテライトの一覧、およびサテライト認証情報が含ま れています。ファイアウォールまたはポータルを交換した場合、代替の ものに状態のバンドルをインポートすることで情報を復元することがで きます。 42 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 システム設定 表 5. 設定管理機能(続) 機能 内容 Panorama にデバイス設 定をインポート (Panorama のみ ) ファイアウォール設定を Panorama にインポートします。ネットワーク およびデバイス設定を格納するテンプレートが Panorama によって自動 的に作成されます。ファイアウォールの仮想システム (vsys) ごとに、ポ リ シーおよびオブジェクト設定を格納するデバイス グループが Panorama によって自動的に作成されます。デバイス グループは、階層 内の共有の場所の 1 つ下のレベルになりますが、インポートの完了後に 別の親デバイス グループに再割り当てすることもできます (「デバイス グループの管理」を参照 )。 注意 ! Panorama のコンテンツ ( アプリケーションおよび脅威データベー スなど ) のバージョンは、設定のインポート元となるファイアウォール 上のバージョンと同じかそれ以上である必要があります。 以下のインポート オプションを設定します。 • Device [デバイス] — Panorama が設定をインポートするファイアウォー ルを選択します。ドロップダウンリストには、Panorama に接続されて いて、かつどのデバイスグループやテンプレートにも割り当てられてい ないファイアウォールのみが表示されます。個々の vsys ではなく、ファ イアウォール全体のみを選択できます。 • Template Name [ テンプレート名 ] — インポートしたデバイスおよび ネットワーク設定を格納するテンプレートの名前を入力します。マル チ vsys ファイアウォールの場合、このフィールドは空白になります。 他のファイアウォールの場合、デフォルト値はファイアウォール名に なります。既存のテンプレートの名前を使用することはできません。 • Device Group Name Prefix [ デバイス グループ名の接頭辞 ] ( マルチ vsys ファイアウォールのみ ) — 必要に応じて、各デバイス グループ名 のプレフィックスとして文字列を追加します。 • Device Group Name [ デバイス グループ名 ] — マルチ vsys ファイア ウォールの場合、デフォルトで各デバイス グループに vsys 名が設定さ れます。他のファイアウォールの場合、デフォルト値はファイアウォー ル名になります。デフォルト名は編集できますが、既存のデバイス グ ループ名を使用することはできません。 • Import devices' shared objects into Panorama's shared context [ デバ イスの共有オブジェクトを Panorama の共有コンテクストにインポー ト ] — このオプションはデフォルトで選択されており、Panorama は、 ファイアウォールの Shared [ 共有 ] に属するオブジェクトを Panorama の Shared [共有] にインポートします。このオプションをオフにすると、 Panorama は、Shared [ 共有 ] ではなくデバイスグループに共有ファイ アウォールオブジェクトをコピーします。この設定には、以下の例外 があります。 – 共有ファイアウォールオブジェクトの名前と値が既存の共有 Panorama オブジェクトと同じである場合、インポートではそのファ イアウォール オブジェクトは除外されます。 – 共有ファイアウォールオブジェクトの名前または値が共有 Panorama オブジェクトと異なる場合、Panorama はそのファイア ウォール オブジェクトを各デバイス グループにインポートします。 – テンプレートにインポートされる設定で共有ファイアウォール オブ ジェクトを参照している場合、このオプションを選択したかどうか に関係なく、Panorama はそのオブジェクトを Shared [ 共有 ] にイン ポートします。 – 共有ファイアウォールオブジェクトで、テンプレートにインポート される設定を参照している場合、このオプションを選択したかどう かに関係なく、Panorama はそのオブジェクトをデバイスグループに インポートします。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 43 システム設定 デバイス管理 表 5. 設定管理機能(続) 機能 内容 デバイスの操作 • Rule Import Location [ ルールのインポート場所 ] — Panorama がポリ シーをプレ ルールとしてインポートするのか、ポスト ルールとしてイ ンポートするのかを選択します。選択内容に関係なく、Panorama はデ フォルトのセキュリティルール (intrazone-default および interzonedefault) をポスト ルールベースにインポートします。 注意 ! Panorama に、インポートするファイアウォール ルールと同じ名前 のルールがある場合、Panorama には両方のルールが表示されます。ただ し、ルール名は一意である必要があるため、Panorama でコミットを実行 する前にいずれかのルールを削除しないと、コミットに失敗します。 再起動 ファイアウォールまたは Panorama を再起動するには、Reboot Device [ デバイスの再起動 ] をクリックします。デバイスからログアウトされ、 ソフトウェア(PAN-OS または Panorama)およびアクティブな設定が 再度ロードされます。次に既存のセッションが終了してログが記録され、 シャットダウンを実行した管理者の名前のもとでシステムログエントリ が作成されます。保存またはコミットされていない設定の変更は失われ ます (「操作設定の定義」を参照 )。 ヒント:Web インターフェイスを使用できない場合は、CLI 操作コマン ド、request restart system を使用します。 シャットダウン ファイアウォールや Panorama のグレースフルシャットダウンを実行す る 場 合 は、Shutdown Device [ デバイスのシャットダウン ] または Shutdown Panorama [Panorama のシャットダウン ] をクリックし、確認 のプロンプトで Yes [ はい ] をクリックします。保存またはコミットされ ていない設定の変更は失われます。すべての管理者がログオフされ、以 下のプロセスが発生します。 • すべてのログイン セッションがログオフされます。 • インターフェイスが無効になります。 • すべてのシステム プロセスが停止します。 • 既存のセッションが終了し、ログに記録されます。 • シャットダウンを開始した管理者名を示すシステム ログが作成されま す。このログ エントリを書き込めない場合は、警告が表示され、シス テムはシャットダウンしません。 • ディスクドライブが正常にアンマウントされ、ファイアウォールまた は Panorama の電源がオフになります。 ファイアウォールまたは Panorama の電源を入れるには、電源のプラグ を抜いてから差し込み直す必要があります。 注:Web インターフェイスを使用できない場合は、CLI コマンド request shutdown system を使用します。 データプレーンの再起動 リブートせずにファイアウォールのデータ機能をリスタートするには、 Restart Dataplane [ データプレーンの再起動 ] をクリックします。この オプションは PA-200 ファイアウォールおよび Panorama では使用でき ません。 ヒント:Web インターフェイスを使用できない場合は、CLI コマンド request restart dataplane を使用します。 44 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 システム設定 表 5. 設定管理機能(続) 機能 内容 その他 カスタム ロゴ このオプションを使用して、以下をカスタマイズします。 • ログイン画面の背景イメージ • メイン UI ( ユーザー インターフェイス ) ヘッダーのイメージ • PDF レポートのタイトル ページのイメージ。「PDF サマリーレポート の管理」を参照してください。 • PDF レポート フッターのイメージ をクリックしてイメージ ファイルをアップロードし、 をクリッ クしてプレビューし、 をクリックして以前にアップロードしたイ メージを削除します。 以下の内容に注意してください。 • サポートされているファイル タイプは、png、gif、および jpg です。 アルファ チャネルを含むイメージ ファイルはサポートされてい ません。PDF レポートで使用されている場合、そのレポートは正 常に生成されません。そのイメージの作成者に連絡してイメージ のアルファ チャネルの削除を依頼するか、使用するグラフィック ス ソフトウェアでアルファ チャネル機能を含めずにファイルを 保存してください。 • デフォルトのロゴに戻るには、エントリを削除してコミットします。 • 任意のロゴ イメージの最大イメージ サイズは、128 KB です。 • ログイン画面と主要なユーザー インターフェイスのオプションでは、 をクリックすると、これから表示されるイメージが表示されます。 必要な場合、イメージを切り取って収められます。PDF レポートの場 合、イメージは切り取られずに自動的にサイズ変更されて、収まりま す。すべてのケースにおいて、プレビューは推奨されるイメージのサ イズを表示します。 PDF レポートの生成の詳細は、 「PDF サマリーレポートの管理」を参照 してください。 SNMP のセットアップ 統計サービスのセット アップ 「SNMP モニタリングの有効化」。 Statistics Service [ 統計サービス ] 機能では、アプリケーション、脅威、 およびクラッシュに関する匿名情報をファイアウォールから Palo Alto Networks 調査チームに送信できます。この情報を収集することで、調査 チームは実際の情報に基づいて Palo Alto Networks 製品の有効性を継続 的に改善することができます。このサービスはデフォルトでは無効に なっています。有効にすると、情報は 4 時間おきにアップロードされま す。 ファイアウォールで以下のタイプの情報を送信することを許可できま す。 • アプリケーションおよび脅威レポート • 不明なアプリケーション レポート • URL レポート • クラッシュのデバイス トレース 送信される統計レポートの内容のサンプルを表示する場合は、レポート をクリックします。Report Sample [ レポート サンプル ] タブが開き、レ ポート コードが表示されます。レポートを表示する場合は、任意のレポー トを選択し、Report Sample [ レポートサンプル ] をクリックします。 ストレージパーティショ 「Panorama バーチャルアプライアンスのログストレージパーティション 。 ンの設定(Panorama の を設定する」 み) © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 45 システム設定 デバイス管理 SNMP モニタリングの有効化 Device > Setup > Operations [ ࢹࣂࢫ > ࢭࢵࢺࢵࣉ > ᧯స ] SNMP (Simple Network Management Protocol) は、ネットワーク上のデバイスをモニターす る標準プロトコルです。SNMPマネージャでサポートされているSNMPバージョン(SNMPv2c または SNMPv3)を使用するようにファイアウォールを設定する場合は、Operations [ 操作 ] ページを使用します。ファイアウォールから収集される統計情報を解釈できるように SNMP マネージャにロードする必要のある MIB のリストは、『サポートされる MIB』を参照してく ださい。 ネットワーク上の SNMP トラップの宛先と通信するファイアウォールを有効にするサーバー プロファイルを設定するには、 「SNMP トラップの宛先の設定」を参照してください。SNMP MIB は、ファイアウォールが生成するすべての SNMP トラップを定義します。SNMP トラッ プは一意のオブジェクト ID (OID) を識別し、個々のフィールドは変数バインド (varbind) リ ストとして定義されます。 SNMP Setup [SNMP のセットアップ ] をクリックし、 以下の設定を指定して SNMP マネージャ からの SNMP GET 要求を許可します。 表 6. SNMP のセットアップ フィールド 内容 場所 ファイアウォールの物理的な場所を指定します。ログまたはトラップが生成され た場合、この情報により、通知を生成したファイアウォールを SNMP マネージャ で識別することができます。 連絡先 ファイアウォールの管理者の名前や電子メール アドレスを入力します。この設定 は、標準システム情報の MIB でレポートされます。 イベント固有のトラッ プ定義を使用 このオプションはデフォルトで選択されており、ファイアウォールは、それぞれ の SNMP トラップのイベントタイプに基づいた一意の OID を使用します。この オプションをオフにすると、すべてのトラップの OID が同じになります。 バージョン SNMP バージョンを選択します。V2c(デフォルト)または V3。この選択内容に より、ダイアログに表示される残りのフィールドが決まります。 SNMP V2c の場合 SNMP コミュニティ名 コミュニティ文字列を入力します。コミュニティ文字列は、SNMP マネージャお よびモニター対象デバイスの SNMP コミュニティを識別し、SNMP GET ( 統計情 報要求 ) やトラップ メッセージを交換するときにコミュニティ メンバーを相互認 証するためのパスワードとして機能します。コミュニティ文字列には最大 127 文 字を含めることができます。また、すべての文字を使用でき、大文字と小文字が 区別されます。デフォルトのコミュニティ文字列 public を使用しないことをお勧 めします。SNMP メッセージにはクリア テキストのコミュニティ文字列が含まれ ているため、コミュニティ メンバーシップ ( 管理者アクセス ) を定義するときに ネットワークのセキュリティ要件を考慮してください。 46 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 システム設定 表 6. SNMP のセットアップ(続) フィールド 内容 SNMP V3 の場合 名前 / 表示 1 つ以上のビューのグループを SNMP マネージャのユーザーに割り当てて、ユー ザーがファイアウォールから取得できる MIB オブジェクト(統計情報)を制御で きます。各ビューは、ペアになっている OID とビット単位のマスクです。OID で MIB を指定し、マスク (16 進数形式 ) で、その MIB 内 ( 一致部分を含む ) または MIB 外 ( 一致部分を含まない ) でアクセスできるオブジェクトを指定します。 たとえば、OID が 1.3.6.1、照合の Option [ オプション ] が include [ 包含 ]、Mask [ マスク ] が 0xf0 の場合、ユーザーが要求するオブジェクトの OID の最初の 4 つ のノード (f = 1111) が 1.3.6.1 に一致している必要があります。オブジェクトの残 りのノードは一致している必要はありません。この例の場合、1.3.6.1.2 はマスク に一致しますが、1.4.6.1.2 は一致しません。 ビューのグループごとに Add [ 追加 ] をクリックし、グループの Name [ 名前 ] を 入力します。次に、グループに Add [ 追加 ] するビューごとに以下を設定します。 • View [ 表示 ] — ビューの名前を指定します。名前には、最大 31 文字(英数字、 ピリオド、アンダースコア、またはハイフン)を含めることができます。 • OID — MIB の OID を指定します。 • Option [ オプション ] — MIB に適用する照合ロジックを選択します。 • Mask [ マスク ] — 16 進数形式のマスクを指定します。 ヒント:すべての管理情報にアクセスできるようにするには、最上位 OID 1.3.6.1 を使用し、Mask [ マスク ] を 0xf0 に設定して、照合の Option [ オプション ] を include [ 包含 ] に指定します。 ユーザー SNMP ユーザーアカウントにより、ファイアウォールがトラップを転送するとき や SNMP マネージャがファイアウォールの統計情報を取得する際に、認証、プラ イバシー、およびアクセス制御を行うことができます。ユーザーごとに、Add [ 追 加 ] をクリックして以下の設定を指定します。 • Users [ ユーザー ] — SNMP ユーザー アカウントを識別するユーザー名を指定 します。ファイアウォールで設定するユーザー名は、SNMP マネージャで設定 したユーザー名と一致する必要があります。ユーザー名には最大 31 文字を使用 できます。 • View [ 表示 ] — ユーザーにビューのグループを割り当てます。 • Auth Password [ 認証パスワード ] — ユーザーの認証パスワードを指定します。 ファイアウォールは、トラップの転送時や統計情報要求に応答する際に、この パスワードを使用して SNMP マネージャの認証を受けます。ファイアウォール は、Secure Hash Algorithm(SHA-1 160)を使用してパスワードを暗号化しま す。パスワードには、8 ∼ 256 文字のあらゆる文字を使用できます。 • Priv Password [ 専用パスワード ] — ユーザーの専用パスワードを指定します。 ファイアウォールは、このパスワードと Advanced Encryption Standard(AES128)を使用して、SNMP トラップおよび統計情報要求に対する応答を暗号化し ます。パスワードには、8 ∼ 256 文字のあらゆる文字を使用できます。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 47 システム設定 デバイス管理 ハードウェアセキュリティモジュールの定義 Device > Setup > HSM [ ࢹࣂࢫ > ࢭࢵࢺࢵࣉ > HSM] ハードウェアセキュリティモジュール(HSM)の状態の表示と設定を行う場合は、Device > Setup > HSM [ デバイス > 設定 > HSM] を開きます。 以下の状態設定がHardware Security Module Provider [ハードウェア セキュリティ モジュー ル プロバイダ ] セクションに表示されます。 表 7. HSM モジュール プロバイダの状態設定 フィールド 内容 設定プロバイダ 以下のいずれかを指定します。 • None [ なし ] – ファイアウォールに HSM は設定されません。 • SafeNet Luna SA – ファイアウォールに SafeNet Luna SA HSM が設定さ れます。 • Thales Nshield Connect – ファイアウォールに Thales Nshield Connect HSM が設定されます。 高可用性 オンにすると HSM 高可用性が設定されます。SafeNet Luna SA のみ。 高可用性グループ名 ファイアウォールに設定される HSM 高可用性のグループ名。SafeNet Luna SA のみ。 ファイアウォール送信 元アドレス HSM サービスに使用されるポートのアドレス。デフォルトでは、このア ド レ ス には管理ポート アドレスが設定されます。Device > Setup > Services [ デバイス > セットアップ > サービス ] の Services Route Configuration [ サービスルートの設定 ] を使用して、別のポートを指定で きます。 HSM によるマスター キーの保護 オンにした場合、HSM でマスター キーが保護されます。 ステータス 必要に応じて、 「SafeNet Luna SA のハードウェアセキュリティモジュール 状態の設定」または「Thales Nshield Connect のハードウェアセキュリティ モジュール状態の設定」を参照してください。 ファイアウォールにハードウェアセキュリティモジュール(HSM)を設定する場合は、ハー ドウェアセキュリティモジュールプロバイダの設定を編集します。 表 8. HSM の設定 フィールド 内容 設定プロバイダ 以下のいずれかを指定します。 • None [ なし ] – ファイアウォールに HSM は設定されません。その他の設 定は不要です。 • SafeNet Luna SA – ファイアウォールに SafeNet Luna SA HSM が設定さ れます。 • Thales Nshield Connect – ファイアウォールに Thales Nshield Connect HSM が設定されます。 モジュール名 HSM のモジュール名を指定します。31 文字以下の任意の ASCII 文字列を 指定できます。高可用性 HSM 設定を行う場合は、複数のモジュール名を 作成します。 サーバーアドレス 設定するすべての HSM の IPv4 アドレスを指定します。 高可用性 SafeNet Luna SA のみ 高可用性設定で HSM モジュールを設定する場合はこのオプションを選択 します。各 HSM モジュールのモジュール名とサーバー アドレスを設定す る必要があります。 48 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 システム設定 表 8. HSM の設定 (続) フィールド 内容 自動回復の再試行 SafeNet Luna SA のみ ファイアウォールが HSM への接続の回復を試行する回数を指定します(範 囲は 0 ∼ 500)。この試行回数に達すると、HSM 高可用性設定内の別の HSM にフェイルオーバーします。 高可用性グループ名 SafeNet Luna SA のみ HSM 高可用性グループで使用されるグループ名を指定します。この名前 はファイアウォールの内部で使用されます。31 文字以下の任意の ASCII 文 字列を指定できます。 リモート ファイルシス テムのアドレス Thales Nshield Connect のみ Thales Nshield Connect HSM 設定で使用されるリモート ファイルシステ ムの IPv4 アドレスを設定します。 Setup Hardware Security Module [ ハードウェア セキュリティ モジュールのセットアップ ] を選択し、以下の設定で HSM に対するファイアウォールの認証を指定します。 表 9. ハードウェア セキュリティ モジュールのセットアップの設定 フィールド 内容 サーバー名 ドロップダウンリストから HSM サーバー名を選択します。 管理者パスワード HSM に対するファイアウォールの認証を行う HSM の管理者パスワード を入力します。 Hardware Security Module [ ハードウェア セキュリティ モジュール状態 ] セクションに は、認証に成功した HSM に関する以下の情報が表示されます。表示は設定された HSM プロバイダによって異なります。 表 10. SafeNet Luna SA のハードウェアセキュリティモジュール状態の設定 フィールド 内容 シリアル番号 HSM パーティションが正常に認証された場合、その HSM パーティション のシリアル番号が表示されます。 パーティション ファイアウォールで割り当てられた HSM のパーティション名。 モジュール状態 HSM の現在の動作状態。HSM がこの表に表示されている場合、この設定 の値は Authenticated [ 認証済み ] です。 表 11. Thales Nshield Connect のハードウェアセキュリティモジュール状態の設定 フィールド 内容 名前 HSM のサーバー名。 IP アドレス ファイアウォールで割り当てられた HSM の IP アドレス。 モジュール状態 HSM の現在の動作状態。 • Authenticated [ 認証済み ] • Not Authenticated [ 未認証 ] © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 49 システム設定 デバイス管理 サービス設定の定義 Device > Setup > Services [ ࢹࣂࢫ > ࢭࢵࢺࢵࣉ > ࢧ࣮ࣅࢫ ] マルチ仮想システムが有効になっているファイアウォールにおいて、効率的な動作のために ファイアウォールまたはその仮想システムが使用するサービスを設定する際に、それぞれ Global [ グローバル ] タブと Virtual Systems [ 仮想システム ] タブを表示する場合は、 Services [ サービス ] を選択します。( ファイアウォールが 1 つの仮想システムの場合、またはマルチ 仮想システムが無効になっている場合、2 つのタブは表示されず、Services [サービス] メニュー のみが表示されます )。 ファイアウォール全体のサービスを設定する場合は、Global [ グローバル ] タブを使用します。 これらの設定は、サービスの設定がカスタマイズされていない仮想システムのデフォルト値 としても使用されます。 • DNS サーバー、更新サーバー、そしてプロキシサーバーのそれぞれの宛先 IP アドレスを 定義する場合は Services [ サービス ] を編集します。専用の NTP タブを使用して、Network Time Protocol 設定を編集します。[ サービス ] で使用可能なオプションのフィールドに関 する説明については、表 12 を参照してください。 • DNS、電子メール、LDAP、RADIUS、Syslog などのサービスを提供する際の、ファイア ウォールと他のサーバー/ デバイス間の通信方法を指定する場合は、Service Features [ サー ビス機能 ] から、Service Route Configuration [ サービスルートの設定 ] をクリックします。 グローバル サービス ルートを設定するには、以下の 2 つの方法があります。 – Use Management Interface for all [ すべてに管理インターフェイスを使用 ] オプションで は、外部サーバーとのファイアウォールサービス通信はすべて強制的に管理インター フェイス(MGT)を使用して行われます。このオプションを選択する場合、ファイア ウォールとサービスを提供するサーバーまたはデバイスとの間の通信を許可するよう に MGT インターフェイスを設定する必要があります。MGT インターフェイスを設定 する場合は、Device > Setup > Management [ デバイス > セットアップ > 管理 ] を開き、 「管理インターフェイス設定」を編集します。 – Customize [ カスタマイズ ] オプションでは、サービスが応答時に宛先インターフェイス および宛先 IP アドレスとして使用する、特定の送信元インターフェイスおよび送信元 IP アドレスを設定することで、サービス通信を詳細に制御できます。( たとえば、ファ イアウォールと電子メール サーバー間のすべての電子メール通信に使用する特定の送 信元 IP/ インターフェイスを設定し、Palo Alto 更新には別の送信元 IP/ インターフェイ スを使用できます )。同じ設定にカスタマイズする 1 つ以上のサービスを選択し、Set Selected Service Routes [ 選択されたサービス ルートの設定 ] をクリックします。サービ スは、表 13 に記載されています。この表では、サービスが Global [ グローバル ] ファイ アウォールまたは Virtual Systems [ 仮想システム ] 用に設定できるかどうか、 およびサー ビスで IPv4/IPv6 の送信元アドレスがサポートされているかどうかがわかります。 Destination [ 宛先 ] タブは、カスタマイズ可能な別のグローバル サービス ルート機能です。こ れは、[ サービスルートの設定 ] ウィンドウに表示されます。「宛先サービス ルート」を参照 してください。 1 つの仮想システムのサービス ルートを指定するには、Virtual Systems [ 仮想システム ] タブ を使用します。場所 ( 仮想システム ) を選択し、Service Route Configuration [ サービス ルート の設定 ] をクリックします。Inherit Global Service Route Configuration [ グローバル サービス ルー ト設定の継承 ] を選択するか、仮想システムのサービス ルートを Customize [ カスタマイズ ] します。設定をカスタマイズする場合、IPv4 または IPv6 を選択します。同じ設定にカスタマ イズする 1 つ以上のサービスを選択し、Set Selected Service Routes [ 選択されたサービス ルー トの設定 ] をクリックします。カスタマイズ可能なサービスは、表 13 を参照してください。 共有仮想マシンと特定の仮想システム間の DNS クエリを制御およびリダイレクトするため に、DNS プロキシおよび DNS サーバー プロファイルを使用できます。 表 12 では、グローバル サービスについて説明します。 50 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 システム設定 表 12. サービス設定 機能 内容 サービス DNS DNS サービスのタイプを選択します。Server [ サーバー ] または DNS Proxy Object [DNS プロキシオブジェクト ] この設定は、FQDN アドレスオブジェクト、ログ、およびファイ アウォール管理のサポートのためにファイアウォールが発するすべての DNS クエリに適用 されます。オプションには、次の内容が含まれます。 • ドメイン名を解決するプライマリおよびセカンダリ DNS サーバー。 • ファイアウォールに設定された DNS プロキシ (DNS サーバーを設定する代わりの手段 )。 プライマリDNSサー バー プライマリ DNS サーバーの IP アドレスを入力します。このサーバーは、更新サーバーの 検出、ログの DNS エントリの解決、FDQN ベースのアドレス オブジェクトなどのために ファイアウォールから DNS クエリを行う場合に使用されます。 セカンダリ DNS サー バー プライマリ サーバーを使用できない場合、使用するセカンダリ DNS サーバーの IP アドレ スを入力します。( 任意 ) 更新サーバー この設定は、Palo Alto Networks から更新ファイルをダウンロードするのに使用されるサー バーの IP アドレスまたはホスト名を表します。現在値は、updates.paloaltonetworks.com です。テクニカル サポートから指示がない限り、このサーバー名は変更しないでください。 更新サーバー ID の 確認 このオプションが有効になっている場合、信頼された機関によって署名された SSL 証明書 がソフトウェアまたはコンテンツ パッケージのダウンロード元のサーバーにあるかどう かをファイアウォールまたは Panorama が確認します。このオプションは、ファイア ウォール / Panorama サーバーと更新サーバー間の通信に新たなレベルのセキュリティを 追加します。 プロキシ サーバーセクション サーバー ファイアウォールがプロキシサーバーを使用して Palo Alto Networks 更新サービスにアク セスする必要がある場合は、サーバーの IP アドレスまたはホスト名を入力します。 ポート プロキシ サーバーのポートを入力します。 ユーザー サーバーへのアクセスに使用するユーザー名を入力します。 パスワード / パス ワード再入力 プロキシ サーバーにアクセスするユーザーのパスワードを入力して確認します。 NTP NTP サーバー アド レス ファイアウォールのクロックを同期するために使用する NTP サーバーの IP アドレスまたは ホスト名を入力します。プライマリサーバーが使用不能になった場合、ファイアウォールの クロック同期に使用するセカンダリ NTP サーバーの IP アドレスまたはホスト名を入力しま す。 認証タイプ NTP サーバーからの日時更新をファイアウォールが認証できるように指定できます。NTP サーバーごとに、ファイアウォールで使用する認証のタイプを選択します。 • None [ なし ] —(デフォルト)NTP 認証を無効にする場合はこのオプションを選択します。 • Symmetric Key [ 対称キー ] — ファイアウォールで対称キー交換(共有秘密)を使用して NTP サーバーの日時更新を認証する場合は、このオプションを選択します。[ 対称キー ] を選択した場合、続けて次のフィールドに入力します。 – Key ID [ キー ID] — キー ID(1 ∼ 65534)を入力します。 – Algorithm [ アルゴリズム ] — NTP 認証に使用するアルゴリズムを選択します(MD5 または SHA1)。 – Authentication Key/Confirm Authentication Key [ 認証キー / 再入力 認証キー ] — 認証 アルゴリズムの認証キーを入力し、確認します。 • Autokey [ 自動キー ] — ファイアウォールで自動キー(公開鍵暗号化)を使用して NTP サーバーの日時更新を認証するには、このオプションを選択します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 51 システム設定 デバイス管理 表 13. サービス ルートの設定 グロー バル IPv4 サービス IPv6 CRL Status — 証明書失効リスト (CRL) サーバー。 仮想シ ステム IPv4 — DNS — Domain Name System サーバー。* 仮想システムの 場合、DNS は DNS サーバー プロファイルで実行されます。 * IPv6 — * 電子メール — 電子メール サーバー。 HSM — ハードウェア セキュリティ モジュール サーバー。 — Kerberos — Kerberos 認証サーバー。 — — — — LDAP — Lightweight Directory Access Protocol サーバー。 MDM — モバイル デバイス管理サーバー。 — — — — — — Panorama — Palo Alto Networks Panorama サーバー。 — — プロキシ — ファイアウォールへのプロキシとして機能する サーバー。 — — — — Netflow — ネットワーク トラフィック統計情報を収集する ための Netflow サーバー。 NTP — Network Time Protocol サーバー。 Palo Alto Updates — Palo Alto Networks からの更新。 — RADIUS — Remote Authentication Dial-in User Service サー バー。 SCEP — クライアント証明書の要求および配信用 Simple Certificate Enrollment Protocol。 SNMP ト ラ ッ プ — Simple Network Management Protocol トラップ サーバー。 — — Syslog — システム メッセージ ログ用のサーバー。 Tacplus — 認証、認可、課金(AAA)サービスを行う Terminal Access Controller Access-Control System Plus(TACACS+) サーバー。 UID Agent — User-ID エージェント サーバー。 URL Updates — Uniform Resource Locator (URL) 更新サー バー。 — — VM モニター — 仮想マシン モニター サーバー。 Wildfire Private — プライベート Palo Alto Networks WildFire サーバー。 — — — Wildfire Public — パブリック Palo Alto Networks WildFire サーバー。 — — — IPv4 タブまたは IPv6 タブのいずれかで Global [ グローバル ] サービスルートをカスタマイズす る場合、使用可能なサービスのリストから選択して Set Selected Service Routes [ 選択したサービ スルートの設定 ] をクリックし、ドロップダウンリストから Source Interface [ 送信元インター フェイス ] および Source Address [ 送信元アドレス ] を選択します。Any [ いずれか ] に設定され た送信元インターフェイスの場合、使用可能なインターフェイスの中から任意の送信元アドレ スを選択できます。Source Address [ 送信元アドレス ] には、選択したインターフェイスに割 り当てられている IPv4 または IPv6 アドレスが表示されます。選択した IP アドレスは、サー ビス トラフィックの送信元になります。宛先は各サービスを設定するときに設定されるため、 宛先アドレスを定義する必要はありません。たとえば、Device > Setup > Services [ デバイス > 設 定 > サービス ] で DNS サーバーを定義すると、DNS クエリの宛先が設定されます。 52 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 システム設定 Virtual System [ 仮想システム ] のサービス ルートを設定している場合、Inherit Global Service Route Configuration [ グローバルサービスルート設定の継承 ] オプションを指定すると、 仮想シ ステムのすべてのサービスがグローバルサービスルート設定を継承します。または、Customize [ カスタマイズ ] を選択し、IPv4 または IPv6、およびサービスを選択して、Set Selected Service Routes [ 選択されたサービス ルートの設定 ] をクリックすることもできます。Source Interface [ 送信元インターフェイス ] には、以下の 3 つの選択肢があります。 • Inherit Global Setting [ グローバル設定の継承 ] — 選択したサービスがこれらのサービスの グローバル設定を継承します。 • Any [ いずれか ] — 使用可能な任意のインターフェイス ( 特定の仮想システムのインター フェイス ) から送信元アドレスを選択できます。 • ドロップダウンリストのインターフェイス — サービスが設定されている場合、サーバー の応答が、選択したインターフェイス(送信元インターフェイス)に送信されます。 Source Address [ 送信元アドレス ] の場合、ドロップダウンリストからアドレスを選択します。 サービスが選択されている場合、サーバーの応答がこの送信元アドレスに送信されます。 宛先サービス ルート Device > Setup > Services > Global [ ࢹࣂࢫ > ࢭࢵࢺࢵࣉ > ࢧ࣮ࣅࢫ > ࢢ࣮ࣟࣂࣝ ] Global [ グローバル ] タブに戻り、Service Route Configuration [ サービス ルートの設定 ]、 Customize [ カスタマイズ ] の順にクリックすると、Destination [ 宛先 ] タブが表示されます。宛 先サービス ルートは、(Virtual Systems [ 仮想システム ] タブではなく ) Global [ グローバル ] タ ブでしか使用できないため、個々の仮想システムのサービス ルートは、その仮想システムに 関連付けられていないルート テーブル エントリをオーバーライドできません。 宛先サービス ルートを使用して、サービスの Customize [ カスタマイズ ] リスト ( 表 13) でサ ポートされていない、カスタマイズされたサービスのリダイレクトを追加できます。宛先サー ビス ルートは、転送情報ベース (FIB) ルート テーブルをオーバーライドするようにルーティ ングをセットアップする方法です。宛先サービス ルートの設定は、ルート テーブル エントリ をオーバーライドします。これらは、サービスに関連している場合もあれば、関連していな い場合もあります。 以下のような場合に Destination [ 宛先 ] タブを使用します。 • サービスにアプリケーション サービス ルートがない場合。 • 1 つの仮想システム内で、複数の仮想ルーター、または仮想ルーターと管理ポートの組み 合わせを使用する場合。 表 14 では、Destination [ 宛先 ] のサービス ルートのフィールドが定義されています。 表 14. 宛先サービス ルートの設定 フィールド 内容 宛先 Destination [ 宛先 ] の IP アドレスを入力します。 送信元インター フェイス 宛先から返されるパケットに使用する Source Interface [ 送信元 インターフェイス ] を選択します。 送信元アドレス 宛先から返されるパケットに使用する Source Address [ 送信元 アドレス ] を選択します。宛先アドレスのサブネットは入力する 必要がありません。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 53 システム設定 デバイス管理 DNS サーバープロファイルの定義 Device > Server Profiles > DNS [ ࢹࣂࢫ > ࢧ࣮ࣂ࣮ ࣉࣟࣇࣝ > DNS] 仮想システムの設定を簡略化するために、DNS サーバープロファイルでは、設定されている 仮想システム、DNS サーバーの継承ソースまたはプライマリ / セカンダリ DNS アドレス、お よび DNS サーバーに送信されるパケットで使用する送信元インターフェイスと送信元アドレ ス(サービスルート)を指定できます。送信元インターフェイスと送信元アドレスは、DNS サーバーからの応答の宛先インターフェイスと宛先アドレスとして使用されます。 DNS サーバー プロファイルは仮想システム専用で、グローバルな共有の場所では使用できま せん。 表 15 では、DNS サーバー プロファイル設定について説明します。 表 15. DNS サーバー プロファイル設定 フィールド 内容 名前 DNS サーバー プロファイルの名前を付けます。 場所 プロファイルを適用する仮想システムを選択します。 継承ソース DNS サーバーのアドレスを継承しない場合、None [ なし ] を選択します。継 承する場合は、プロファイルが設定を継承する DNS サーバーを指定します。 継承ソース状態の チェック 継承ソースの情報を確認する場合にクリックします。 プライマリ DNS プライマリ DNS サーバーの IP アドレスを指定します。 セカンダリ DNS セカンダリ DNS サーバーの IP アドレスを指定します。 サービスルート IPv4 DNS サーバーに送信されるパケットの送信元が IPv4 になるように指定する場 合、このオプションを選択します。 送信元インター フェイス DNS サーバーに送信されるパケットで使用する送信元インターフェイスを指 定します。 送信元アドレス DNS サーバーに送信されるパケットの IPv4 送信元アドレスを指定します。 サービスルート IPv6 DNS サーバーに送信されるパケットの送信元が IPv6 になるように指定する場 合、このオプションを選択します。 送信元インター フェイス DNS サーバーに送信されるパケットで使用する送信元インターフェイスを指 定します。 送信元アドレス DNS サーバーに送信されるパケットの IPv6 送信元アドレスを指定します。 54 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 システム設定 Content-ID 設定の定義 Device > Setup > Content-ID [ ࢹࣂࢫ > ࢭࢵࢺࢵࣉ > Content-ID] Content-ID タブを使用して、URL フィルタリング、データ保護、およびコンテナ ページの設 定を定義します。 表 16. Content-ID 設定 機能 URL フィルタリング 内容 動的 URL キャッシュの タイムアウト Edit [ 編集 ] をクリックし、タイムアウト値 ( 時間単位 ) を入力します。こ の値はダイナミック URL フィルタリングで使用され、この値により、エ ントリが URL フィルタリング サービスから返された後にキャッシュに保 持される期間が決定します。このオプションは、BrightCloud データベー スのみを使用する URL フィルタリングに適用されます。URL フィルタリ ングの詳細は、 「URL フィルタリング プロファイル」を参照してください。 URL コンティニュー タ イムアウト ユーザーの「continue」アクションのタイムアウト時間を分単位で指定し ます(範囲は 1 ∼ 86400、デフォルトは 15) 。この時間が経過する前に同じ カテゴリの URL について「continue」をもう一度押す必要があります。 URL 管理オーバーライ ド タイムアウト ユーザーが管理オーバーライドパスワードを入力してからタイムアウト するまでの時間を分単位で指定します(範囲は 1 ∼ 86400、デフォルトは 900)。この時間に達する前に同じカテゴリの URL に対して管理オーバー ライドパスワードを再入力する必要があります。 URL 管理ロックアウト タイムアウト URL 管理オーバーライドパスワードの試行が 3 回失敗したときに、ユー ザーが試行からロックアウトされる時間を分単位で指定します(範囲は 1 ∼ 86400、デフォルトは 1800)。 PAN-DB サーバー ( プライベート PAN-DB サーバーに接続する場合 に必須 ) ネットワーク上のプライベート PAN-DB サーバーの IPv4 アドレス、IPv6 アドレス、または FQDN を指定します。最大 20 エントリを入力できます。 デフォルトでは、ファイアウォールはパブリック PAN-DB クラウドに接 続します。プライベート PAN-DB ソリューションはエンタープライズ向 けで、ファイアウォールはパブリック クラウドの PAN-DB サーバーに直 接アクセスできません。ファイアウォールは、URL データベース、URL 更新、URL 検索で Web ページを分類できるように、この PAN-DB サー バーのリストに含まれるサーバーにアクセスします。 URL 管理オーバーライド URL管理オーバーライド の設定 URL 管理オーバーライドを設定する仮想システムごとに、Add [ 追加 ] を クリックし、URL フィルタリング プロファイルでページがブロックさ れ、Override [ オーバーライド ] アクションが指定されている場合に適用 される設定を指定します ( 詳細は、「URL フィルタリング プロファイル」 を参照してください )。 • Location [ 場所 ] — ドロップダウンリストから仮想システムを選択しま す(マルチ vsys ファイアウォールのみ)。 • Password/Confirm Password [ パスワード / パスワード再入力 ] — ブ ロックページをオーバーライドするためにユーザーが入力する必要が あるパスワードを入力します。 • SSL/TLS Service Profile [SSL/TLS サービス プロファイル ] — 指定した サーバーを介してリダイレクトするときに通信を保護するための証明 書および許可された TLS プロトコル バージョンを指定するには、SSL/ TLS サービス プロファイルを選択します。詳細は、 「SSL/TLS サービス プロファイルの管理」を参照してください。 • Mode [ モード ] — ブロック ページが透過的に配信されるか ( ブロック された Web サイトから発信したように見える )、指定したサーバーに ユーザーをリダイレクトするかを決定します。 Redirect [ リダイレクト ] を選択した場合、リダイレクトするための IP アドレスを入力します。 エントリを削除する場合は delete [ 削除 ] をクリックします。 Content-ID 設定 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 55 システム設定 デバイス管理 表 16. Content-ID 設定(続) 機能 内容 復号化されたコンテンツ の転送を許可 ファイアウォールで外部のサービスに復号化されたコンテンツの転送を 許可するには、このオプションを選択します。これを選択した場合、ファ イアウォールは、ポート ミラーリング時または分析用の WildFire ファイ ルの送信時に復号化されたコンテンツを転送できます。 マルチ仮想システム機能が有効化されているファイアウォールの場合、 このオプションはそれぞれの仮想システムで有効になります。各仮想シ ステムでこの設定を有効にするには、Device > Virtual Systems [ デバイ ス > 仮想システム ] を開いてください。 拡張パケットキャプチャ 長 アンチスパイウェアおよび脆弱性防御プロファイルで拡張キャプチャ オ プションが有効になっている場合にキャプチャするパケット数を設定し ます(範囲は 1 ∼ 50、デフォルトは 5)。 UDP コンテンツ検査キ ューを超過するデータ グラムを転送 UDP データグラムの転送を有効化し、UDP コンテンツ検査キューに空き がない場合にコンテンツ検査を省略する場合はこのオプションを選択し てください。ファイアウォールはコンテンツエンジンからの応答を待つ 間、64 個のデータグラムをキューに追加することができます。ファイア ウォールがデータグラムを転送した際に、UDP コンテンツ検査キューの超 過によりコンテンツ検査が省略された場合、 ctd_exceed_queue_limit の グローバルカウンターの値が増加します。 ファイアウォールがデータグラムを転送しつつも、UDP コンテンツ検査 キューに空きが無いためコンテンツ検査が省略されるということを防ぎ たい場合はこのオプションを選択してください。このオプションが無効 化された場合、ファイアウォールはキュー制限を超過したデータグラム を破棄し、 ctd_exceed_queue_limit_drop のグローバルカウンターの 値を増加させます。 これらのグローバルカウンターは TCP および UDP の両方のパケットに 適用されます。 重要:このオプションはデフォルトでは有効になっています。最大限の セキュリティを確保するため、Palo Alto Networks ではこのオプション を無効化することをお勧めしています。このオプションを有効化すると パフォーマンスが低下するという訳ではありません。ただし、アプリケー ションによっては大量のトラフィックが発生した場合に機能が低下する 可能性があります。 TCP App-ID 検査キュー を超過するセグメントを 転送 セグメントの転送を行い、App-ID キューの 64 セグメントの制限を超過した 際にアプリケーションを「unknown-tcp」に分類する場合はこのオプションを 選択します。このオプションが有効であるか無効であるかに関らず、キュー を超過したセグメント数を確認する場合は 「 appid_exceed_queue_limit」 のグローバルカウンターを参照してください。 ファイアウォールが TCP セグメントを転送しつつも、App-ID 検査キュー に空きが無いため App-ID 検査が省略されるということを防ぎたい場合 はこのオプションを選択してください。 重要:このオプションはデフォルトでは有効になっています。最大限の セキュリティを確保するため、Palo Alto Networks ではこのオプション を無効化することをお勧めしています。このオプションを無効にすると、 App-ID の処理のために 64 セグメント以上がキューに追加された場合の 待機時間が増加する可能性があります。 56 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 システム設定 表 16. Content-ID 設定(続) 機能 内容 TCP コンテンツ検査キ ューを超過するセグメン トを転送 TCP セグメントの転送を有効化し、TCP コンテンツ検査キューに空きが ない場合にコンテンツ検査を省略する場合はこのオプションを選択して ください。ファイアウォールはコンテンツエンジンからの応答を待つ間、 64 個のセグメントをキューに追加することができます。ファイアウォー ルがセグメントを転送した際に、コンテンツ検査キューに空きがないた めにコンテンツ検査が省略された場合、 ctd_exceed_queue_limit のグ ローバルカウンターの値が増加します。 ファイアウォールが TCP セグメントを転送しつつも、コンテンツ検査 キューに空きが無いためコンテンツ検査が省略されるということを防ぎた い場合はこのオプションを選択してください。このオプションが無効化さ れた場合、 ファイアウォールはキュー制限を超過したセグメントを破棄し、 ctd_exceed_queue_limit_drop のグローバルカウンターの値を増加させ ます。 これらのグローバルカウンターは TCP および UDP の両方のパケットに 適用されます。 重要:このオプションはデフォルトでは有効になっています。最大限の セキュリティを確保するため、Palo Alto Networks ではこのオプション を無効化することをお勧めしています。このオプションを無効にすると、 コンテンツの処理のために 64 セグメント以上がキューに追加された場合 の待機時間が増加する可能性があります。 HTTP ヘッダーレンジオ プションを許可 HTTP レンジオプションを有効化する場合は、このオプションを選択し ます。HTTP レンジオプションにより、クライアントはファイルの一部 のみを取得することができるようになります。転送の途中経路にある次 世代ファイアウォールが悪意のあるファイルの検知と破棄を行った場 合、RST パケットにて TCP セッションを強制終了します。ブラウザに HTTP レンジオプションを実装すると、ファイルの残りの部分を取得す るために新しいセッションを開始できるようになります。これにより、最 初のセッションに対するコンテクストの欠損を理由にファイアウォール が同じシグネチャをトリガーしてしまうことを防ぐと同時に、ウェブブ ラウザでファイルを再構築し、悪意のあるファイルを転送することがで きます。この動作を行いたくない場合は、必ずこのオプションを無効化 してください。 ファイアウォールのデフォルト設定では、HTTP レンジオプションが有 効化されています。HTTP レンジオプションをブロックするため、Palo Alto Networks ではこのオプションを無効化することをお勧めしていま す。このオプションを無効化してもデバイスのパフォーマンスに影響を 与えるものではありませんが、HTTP ファイル転送中断後の復帰機能が 阻害される可能性があります。 X-Forwarded-For ヘッダ User-ID で X-ForwardedFor ヘッダを使用 © Palo Alto Networks, Inc. 通常であればユーザーの IP アドレスを隠すプロキシサーバーとインター ネット間にファイアウォールがデプロイされている場合に、 User-ID サー ビスが Web サービスのクライアント要求の X-Forwarded-For(XFF)ヘッ ダーから IP アドレスを読み取るように指定するには、このオプションを 選択します。User-ID サービスは、ポリシーで参照されるユーザー名を 使用して、読み取る IP アドレスを照合します。そのため、これらのポリ シーを使用して、関連付けられているユーザーやグループのアクセスを 制御してログに記録できます。 ヘッダーに無効な IP アドレスが含まれている場合、User-ID サービスは その IP アドレスをポリシーのグループ マッピング参照のユーザー名と して使用します。ヘッダーに複数の IP アドレスが含まれている場合、 User-ID サービスは一番左側のエントリを使用します。 URL ログには、Source User [ 送信元ユーザー ] フィールドの一致した ユーザー名が表示されます。User-ID サービスが照合を実行できない場 合や、IP アドレスに関連付けられているゾーンで User-ID サービスが有 効になっていない場合、Source User [ 送信元ユーザー ] フィールドには、 x-fwd-for というプレフィックスが付いた XFF IP アドレスが表示されま す。 Web インターフェイス リファレンス ガイド、バージョン 7.1 • 57 システム設定 デバイス管理 表 16. Content-ID 設定(続) 機能 内容 Strip-X-Forwarded-For ヘッダ ファイアウォールがインターネットとプロキシ サーバー間にデプロイさ れている場合、Web サービスを要求しているクライアントの IP アドレス が含まれる X-Forwarded-For(XFF)ヘッダーを削除するには、このオ プションを選択します。ファイアウォールによって要求を転送する前に ヘッダーの値がゼロに設定されるため、転送されるパケットには内部送 信元 IP 情報が含まれなくなります。 注:このオプションを選択した場合も、ポリシーのユーザー属性では XFF ヘッダーの使用は無効になりません (「User-ID で X-Forwarded- For ヘッ ダを使用」を参照 )。ファイアウォールは、ユーザー属性に使用した後で のみ XFF 値をゼロに設定します。 コンテンツ ID 機能 データ保護の管理 クレジットカード番号や社会保障番号など重要な情報を含むログへのア クセスに対し拡張防御を追加します。 Manage Data Protection [ データ保護の管理 ] をクリックし、以下を設定 します。 • 新しいパスワードを設定するには ( まだ設定していない場合 )、Set Password [ パスワードの設定 ] をクリックします。パスワードを入力 し、確認のために再入力します。 • パスワードを変更するには、Change Password [ パスワードの変更 ] を クリックします。現在のパスワードを入力し、新しいパスワードを入 力し、確認のために新しいパスワードを再入力します。 • パスワードと保護されていたデータを削除するには、Delete Password [ パスワードの削除 ] をクリックします。 コンテナ ページ コンテンツ タイプ ( たとえば、application/pdf、application/soap+xml、 application/xhtml+、text/html、text/plain、text/xml) に基づいてファイ アウォールで追跡または記録する URL のタイプを指定するには、これら の設定を使用します。Location [ 場所 ] のドロップダウンリストから選択 した仮想システムごとにコンテナページが設定されます。仮想システム に明示的なコンテナ ページが定義されていない場合、デフォルトのコン テンツ タイプが使用されます。 Add [ 追加 ] をクリックし、コンテンツ タイプを入力または選択します。 仮想システムの新しいコンテンツ タイプを追加すると、コンテンツ タイ プのデフォルトのリストがオーバーライドされます。仮想システムに関 連付けられているコンテンツ タイプがない場合、コンテンツ タイプのデ フォルトのリストが使用されます。 58 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 システム設定 WildFire の設定 Device > Setup > WildFire [ ࢹࣂࢫ > ࢭࢵࢺࢵࣉ > WildFire] ファイアウォールのWildFire設定を編集する場合は Device > Setup > WildFire [デバイス > 設定 > WildFire] を選択してください。WildFire クラウドと WildFire アプライアンスの両方を使用 して、ファイル分析を実行できます。レポートされるファイル サイズ制限とセッション情報 を設定することもできます。WildFire 設定を入力したら、WildFire Analysis [WildFire 分析 ] プ ロファイル (Objects > Security Profiles > WildFire Analysis [オブジェクト > セキュリティ プロファ イル > WildFire 分析 ]) を作成して、WildFire クラウドまたは WildFire アプライアンスに転 送するファイルを指定できます。 復号化されたコンテンツを WildFire へ転送する場合は、Device > Setup > Content-ID > URL Filtering [ デバイス > 設定 > Content-ID > URL フィルタリン グ ] にある [ 復号化されたコンテンツの転送を許可 ] を選択する必要があり ます。 表 17. ファイアウォール上の WildFire 設定 フィールド 内容 一般設定 WildFire パブリック ク ラウド 米国でホストされている WildFire クラウドを使用してファイルを分析す る場合は、「wildfire.paloaltonetworks.com」と入力します。 日 本 で ホ ス ト さ れ て い る WildFire ク ラ ウ ド を 使 用 す る 場 合 は 、 「wildfire.paloaltonetworks.jp」と入力します。安全なファイルを米国の クラウド サーバーに転送したくない場合は、日本のサーバーを使用する こともできます。日本のクラウドに送信したファイルが有害と見なされ た場合、そのファイルは日本のクラウドシステムから米国のサーバーに 転送され、再度分析されてシグネチャが生成されます。所在地が日本の 場合、サンプル送信とレポート生成の応答時間が速くなる可能性があり ます。 WildFire プライベート クラウド ファイルの分析に使用する WildFire アプライアンスの IP アドレスまた は FQDN を指定します。 最大ファイルサイズ (MB) WildFire サーバーに転送される最大ファイル サイズを指定します。指定 可能な範囲は以下のとおりです。 • flash (Adobe Flash) — 範囲は 1 ∼ 10MB、デフォルトは 5MB です。 • apk (Android アプリケーション ) — 範囲は 1 ∼ 50MB、デフォルトは 10MB です。 • pdf ( ポータブルドキュメントフォーマット ) — 範囲は 100KB ∼ 1000KB、 デフォルトは 200KB です。 • jar ( パッケージ化された Java クラスファイル ) — 範囲は 1 ∼ 10MB、デ フォルトは 1MB です。 • pe (Portable Executable) — 範囲は 1 ∼ 10MB、デフォルトは 2MB です。 • ms-office (Microsoft Office) — 範囲は 200KB ∼ 10000KB、デフォルト は 500KB です。 注:実行中の PAN-OS のバージョンやコンテンツリリースにより、直前 の値が変化する可能性があります。有効範囲を表示する場合は、Size Limit [ サイズ制限 ] フィールドをクリックすると、使用可能な範囲とデ フォルト値がポップアップで表示されます。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 59 システム設定 デバイス管理 表 17. ファイアウォール上の WildFire 設定(続) フィールド 内容 安全なファイルのレポー ト このオプションを有効にすると ( デフォルトでは無効 )、WildFire で分析 され、安全と判定されたファイルが、Monitor > WildFire Submissions [ 監視 > WildFire への送信 ] ログに表示されます。 ファイアウォールでこのオプションが有効な場合でも、WildFire で安全 と見なされた電子メール リンクは、処理されるリンクの量が多くなる可 能性があるため、ログに記録されません。 レポートのグレイウェア ファイル このオプションを有効にすると ( デフォルトでは無効 )、WildFire で分析さ れ、グレイウェアと判定されたファイルが、Monitor > WildFire Submissions [ 監視 > WildFire への送信 ] ログに表示されます。 注:ファイアウォールでこのオプションが有効な場合でも、WildFire で グレイウェアと判定された電子メール リンクは、処理されるリンクの量 が多くなる可能性があるため、ログに記録されません。 セッション情報設定 設定 WildFire サーバーに転送する情報を指定します。デフォルトでは、すべ てが選択されています。 • Source IP [ 送信元 IP] — 疑わしいファイルを送信した送信元 IP アドレ ス。 • Source Port [ 送信元ポート ] — 疑わしいファイルを送信した送信元ポー ト。 • Destination IP [ 宛先 IP] — 疑わしいファイルの宛先 IP アドレス。 • Destination Port [ 宛先ポート ] — 疑わしいファイルの宛先ポート。 • Vsys [仮想システム] — 見込まれるマルウェアを識別したファイアウォー ル 仮想システム。 • Application [ アプリケーション ] — ファイルの送信に使用されたユー ザー アプリケーション。 • User [ ユーザー ] — ターゲット対象のユーザー名。 • URL — 疑わしいファイルに関連付けられた URL。 • Filename [ ファイル名 ] — 送信されたファイルの名前。 • Email sender [ 電子メール送信者 ] — SMTP および POP3 トラフィック で悪意のある電子メールリンクが検出されると、WildFire ログと WildFire の詳細レポートに送信者名が表示されます。 • Email recipient [ 電子メール受信者 ] — SMTP および POP3 トラフィッ クで悪意のある電子メールリンクが検出されると、WildFire ログと WildFire の詳細レポートに受信者名が表示されます。 • Email subject [ 電子メール件名 ] — SMTP および POP3 トラフィックで 悪 意 のある電子メールリンクが検出されると、WildFire ログと WildFire の詳細レポートに電子メールの件名が表示されます。 60 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 システム設定 セッション設定の定義 Device > Setup > Session [ ࢹࣂࢫ > ࢭࢵࢺࢵࣉ > ࢭࢵࢩࣙࣥ ] Device > Setup > Session [ デバイス > 設定 > セッション ] を開き、セッションのエイジアウト時 間、復号化証明書設定、およびグローバルなセッション関連の設定(IPv6 トラフィックのファ イアウォール設定、ポリシー変更時の既存のセッションへのセキュリティポリシーの再マッ チングなど)を設定します。このタブには、以下のセクションがあります。 • 「セッション設定」 • 「セッション タイムアウト」 • 「TCP 設定」 • 「復号化設定:証明書取り消しチェック」 • 「復号化設定:フォワード プロキシ サーバーの証明書設定」 • 「VPN セッション設定」 セッション設定 表 18. セッション設定 フィールド 内容 セッションの再マッチ ング ファイアウォールで、新しく設定されたセキュリティポリシーをすでに進 行中のセッションに適用するには、Edit [ 編集 ] をクリックし、Rematch Sessions [ セッションの再マッチング ] を選択します。この機能はデフォ ルトで有効になっています。この設定が無効な場合、ポリシー変更は、ポ リシー変更がコミットされた後に開始されたセッションにのみ適用されま す。 たとえば、Telnet を許可する関連ポリシーが設定されているときに Telnet セッションを開始し、その後、Telnet を拒否するポリシー変更をコミット した場合、ファイアウォールは変更されたポリシーを現在のセッションに 適用してブロックします。 ICMPv6 トークンバケ ット サイズ ICMPv6 エラー メッセージの帯域制限に対応するバケット サイズを入力 します。トークンバケットサイズは、ICMPv6 エラーパケットのバースト をどの程度許容するかを制御するトークンバケットアルゴリズムのパラ メータです(範囲は 10 ∼ 65535 パケット、デフォルトは 100)。 ICMPv6 エラー パケッ ト速度 ファイアウォール全体として 1 秒間に許容される ICMPv6 エラーパケット の平均数を入力します(範囲は 10 ∼ 65535 パケット / 秒、デフォルトは 100 パケット / 秒)。この値はすべてのインターフェイスに適用されます。 ファイアウォールが ICMPv6 エラー パケット速度に達した場合、ICMPv6 トークン バケットを使用して、ICMPv6 エラー メッセージのスロットリン グが有効になります。 IPv6 ファイアウォール の有効化 IPv6 のファイアウォール機能を有効化する場合は、IPv6 Firewalling [IPv6 ファイアウォール設定 ] の Edit [ 編集 ] をクリックします。 IPv6 が有効になっていないと、IPv6 ベースの設定はすべて無視されます。 インターフェイスで IPv6 が有効化されている場合も、IPv6 が機能するた めには IPv6 Firewalling [IPv6 ファイアウォール設定 ] 設定も有効にする必 要があります。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 61 システム設定 デバイス管理 表 18. セッション設定(続) フィールド 内容 Jumbo Frame を有効に する グローバル MTU Ethernet インターフェイスでジャンボ フレームのサポートを有効にする 場合に選択します。ジャンボ フレームの最大伝送単位(MTU)は 9192 バ イトで、特定のプラットフォームで使用できます。 • Enable Jumbo Frame [Jumbo Frame を有効にする ] をオフにすると、 Global MTU [ グローバル MTU] がデフォルトの 1500 バイトに設定されま す(範囲は 576 ∼ 1,500)。 • Enable Jumbo Frame [Jumbo Frame を有効にする ] をオンにすると、 Global MTU [ グローバル MTU] がデフォルトの 9192 バイトに設定されま す(範囲は 9,192 ∼ 9,216 バイト)。 ジャンボ フレームが有効で、インターフェイスに具体的な MTU が設定さ れていない場合、それらのインターフェイスでは自動的にジャンボ フレー ムのサイズが継承されます。そのため、ジャンボ フレームを有効にする前 に、ジャンボ フレームを使用しないインターフェイスがある場合、その MTU を 1500 バイトか別の値に設定する必要があります。インターフェイ スの MTU (Network > Interfaces > Ethernet [ ネットワーク > インター フェイス > イーサネット ]) を設定する方法については、 「レイヤー 3 イン ターフェイスの設定」を参照してください。 NAT64 IPv6 最小 MTU IPv6 変換済みトラフィックのグローバル MTU を入力します。デフォルト の 1280 バイトは、IPv6 トラフィックの標準の最小 MTU に基づきます。 NAT オーバーサブス クリプション率 DIPP NAT オーバーサブスクリプション率を選択します。これは、同じ変 換済み IP アドレスとポートのペアを同時に使用できる回数です。オーバー サブスクリプション率を小さくすると、送信元デバイス変換数が少なくな りますが、提供される NAT ルールのキャパシティは大きくなります。 • Platform Default [ プラットフォームのデフォルト ] — オーバーサブスク リプション率の明示的な設定はオフになり、プラットフォームのデフォ ルトのオーバーサブスクリプション率が適用されます。プラットフォー ムのデフォルトの率については、https://www.paloaltonetworks.com/ products/product-selection.html を参照してください。 • 1x — 1 回。オーバーサブスクリプションは行われず、変換後の IP アド レスとポートのペアは、それぞれ一時点に 1 回のみ使用できます。 • 2x — 2 回。 • 4x — 4 回。 • 8x — 8 回。 ICMP 到達不能パケッ ト率 / 秒 ファイアウォールが 1 秒間に送信できる ICMP 到達不能応答の最大数を定 義します。この制限は、IPv4 パケットと IPv6 パケットで共有されます。 デフォルト値は 200 メッセージ / 秒です(範囲は 1 ∼ 65535)。 セッション保持時間自 動短縮 アイドル状態のセッションの保持時間短縮を有効にします。 セッション保持時間短縮を有効にして、しきい値(%)と倍率を設定する 場合はこのオプションを選択します。 セッション テーブルが Accelerated Aging Threshold [セッション保持時間 短縮の開始しきい値 ] (% フル ) に達すると、PAN-OS により Accelerated Aging Scaling Factor [ セッション保持時間短縮倍率 ] がすべてのセッショ ンのエージング計算に適用されます。デフォルトの短縮倍率は 2 で、保持 時間短縮が設定されているアイドル時間の 2 倍の速さで行われます。設定 されているアイドル時間を 2 で除算すると、タイムアウト時間が 1/2 に短 縮されます。セッションの保持時間短縮を計算する際、PAN-OS は(その セッションタイプに)設定されているアイドル時間を短縮倍率で除算して、 短縮されたタイムアウトを決定します。 たとえば、短縮倍率が 10 の場合、通常は 3600 秒後にタイムアウトするセッ ションが、10 倍速い 360 秒(1/10 の時間)でタイムアウトします。 62 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 システム設定 表 18. セッション設定(続) フィールド 内容 マルチキャストルート の設定バッファ マルチキャストルートの設定バッファを有効化する場合はこのオプション を選択してください。この機能は、対応するマルチキャストグループにマ ルチキャストルートまたは転送情報ベース(FIB)エントリが存在しない場 合、マルチキャストセッションにおいてファイアウォールが最初のパケッ トを保存できるようにするものです。デフォルト設定において、ファイア ウォールは新しいセッションの最初のマルチキャストパケットのバッファ を行わず、代わりに、最初のパケットを使用してマルチキャストルートを 確立します。これがマルチキャストトラフィックにおける通常の動作です。 コンテンツサーバーがファイアウォールに直接接続され、使用しているカ スタムアプリケーションがセッションの最初のパケットが破棄されている ケースに対応できない場合にのみ、マルチキャストルートの設定バッファ を有効化する必要があります。このオプションはデフォルトでは無効に なっています。 マルチキャストルート の設定バッファサイズ マルチキャストルートの設定バッファを有効化した場合は、バッファサイ ズを調整し、フローごとのバッファサイズを指定することが可能です(範 囲は 1 ∼ 2000、デフォルトは 1000)。ファイアウォールは最大で 5,000 パ ケットをバッファすることができます。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 63 システム設定 デバイス管理 セッション タイムアウト セッション タイムアウトには、ファイアウォール上でセッションが非アクティブになってか ら PAN-OS がそのセッションを保持する期間を定義します。デフォルトでは、プロトコルの セッション タイムアウト期間が切れると、PAN-OS がセッションを閉じます。 ファイアウォールでは、特に TCP、UDP、および ICMP セッションに対して複数のタイムア ウトを定義できます。他のすべてのタイプのセッションには、デフォルトのタイムアウトが 適用されます。これらのタイムアウトはすべてグローバルです。つまり、ファイアウォール 上にあるそのタイプのすべてのセッションに適用されます。 グローバル設定に加え、Objects > Applications [ オブジェクト > アプリケーション ] タブでは 個々のアプリケーションのタイムアウトを柔軟に定義できます。そのアプリケーションで使 用可能なタイムアウトは、Options [ オプション ] ウィンドウに表示されます。ファイアウォー ルは、アプリケーションのタイムアウトを確立済み状態のアプリケーションに適用します。ア プリケーションのタイムアウトが設定されると、グローバルな TCP または UDP セッション タイムアウトがオーバーライドされます。 このセクションのオプションを使用して、TCP、UDP、および ICMP 固有のグローバル セッ ション タイムアウト設定と、その他すべてのタイプのセッションのグローバル セッション タ イムアウト設定を定義します。 デフォルトは、最適値です。ただし、ネットワークのニーズに合わせてこれらの値を変更で きます。低すぎる値を設定すると、わずかなネットワーク遅延に反応してファイアウォール との接続の確立に失敗する可能性があります。高すぎる値を設定すると、エラーの検出が遅 れる可能性があります。 表 19. セッション タイムアウト フィールド 内容 デフォルト 非 TCP/UDP、または非 ICMP のセッションが応答なしで開いた状態を維 持できる最大秒数です(範囲は 1 ∼ 1,599,999、デフォルトは 30)。 タイムアウトの破棄 タイムアウトの破棄は、PAN-OS によって、ファイアウォールに設定され たセキュリティポリシーに基づいてセッションが拒否されるときに適用さ れます。 – デフォルトの破棄 非 TCP/UDP トラフィックにのみ適用されます(範囲は 1 ∼ 1,599,999、デ フォルトは 60)。 – TCP の破棄 TCP トラフィックに適用されます (範囲は 1 ∼ 1,599,999、デフォルトは 90)。 – UDP の破棄 UDPトラフィックに適用されます(範囲は1∼1,599,999、デフォルトは60)。 ICMP ICMP セッションが ICMP 応答なしで開いた状態を維持できる最大時間(範 囲は 1 ∼ 1,599,999、デフォルトは 6)。 スキャン 任意のセッションが非アクティブと見なされてから開いた状態を維持する 最大秒数。PAN-OS において、アプリケーションに設定されたトリクルし きい値を超えると、そのアプリケーションは非アクティブ状態と見なされ ます(範囲は 5 ∼ 30、デフォルトは 10)。 TCP TCP セッションが確立済み状態になってから(ハンドシェークが完了し、 必要に応じてデータ伝送が開始してから)応答なしで開いた状態を維持す る最大時間(範囲は 1 ∼ 1,599,999、デフォルトは 3,600)。 TCP ハンドシェーク SYN-ACKを受信してからそれに続くACKを送信してセッションを完全に 確立するまでの最大秒数(範囲は 1 ∼ 60、デフォルトは 10)。 TCP 初期設定 SYN を受信してから SYN-ACK を送信して TCP ハンドシェークタイマー を開始するまでの最大秒数(範囲は 1 ∼ 60、デフォルトは 5)。 TCP ハーフクローズド 1 つ目の FIN を受信してから 2 つ目の FIN または RST を受信するまでの最 大秒数(範囲は 1 ∼ 604,800、デフォルトは 120)。 TCP 待ち時間 2 つ目の FIN または RST を受信してからの最大秒数(範囲は 1 ∼ 600、デ フォルトは 15)。 64 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 システム設定 表 19. セッション タイムアウト(続) フィールド 内容 未検証の RST 検証できない RST(RST が TCP ウィンドウ内にあるが予期しないシーケン ス番号が付けられているか、RST が非対称パスから送信されている)を受 信してからの最大秒数(範囲は 1 ∼ 600、デフォルトは 30)。 UDP UDP セッションが UDP 応答なしで開いた状態を維持する最大秒数(範囲 は 1 ∼ 1599999、デフォルトは 30)。 キャプティブ ポータル キャプティブポータルWebフォームの認証セッションのタイムアウト秒数 (デフォルトは 30、範囲は 1 ∼ 1,599,999)。要求されたコンテンツにユー ザーがアクセスするには、このフォームに認証資格情報を入力して正常に 認証される必要があります。 アイドル タイマー、ユーザーの再認証が必要になるまでの有効期限などの その他のキャプティブ ポータル タイムアウトを定義するには、Device > User Identification > Captive Portal Settings [ デバイス > ユーザー ID > キャプティブ ポータルの設定 ] タブを使用します。 「キャプティブポータ ルのユーザー認証を管理する」を参照してください。 TCP 設定 表 20. TCP 設定 フィールド 内容 緊急データフラグ TCP ヘッダーに含まれる緊急ポインター(URG ビットフラグ)をファイ アウォールに許容させる場合はこのオプションを使用してください。TCP ヘッダー内の緊急ポインターは、パケットを即時に処理させる場合に使用 され、パケットが緊急ポインターを持つ場合、ファイアウォールはパケッ トを処理キューから外し、ホストの TCP/IP スタックで迅速に処理を行い ます。この処理はアウトオブバンド処理と呼ばれます。 緊急ポインターの実装はホストによって異なるため、処理の不画一性をなく したい場合は Clear [ クリア ] を選択し、アウトオブバンド処理を禁止して ください。ペイロード内のアウトオブバンドバイトはペイロードの一部とな るため、パケットの緊急処理は行われません。また、このオプションを Clear [ クリア ] に設定することで、プロトコルスタック内のストリームをパケッ トの宛先ホストとして、ファイアウォールに確実かつ正確に認識させること ができます。 このオプションが Clear [ クリア ] に設定されているためにファ イアウォールが URG フラグを削除したセグメント数を参照する場合は、 CLI で show counter global tcp_clear_urg コマンドを実行します。 デフォルトでは、このフラグは Do Not Modify [ 編集不可 ] に設定されてい るため、ファイアウォールは TCP ヘッダー内に URG ビットフラグを持つ パケットを許容し、アウトオブバンド処理が有効化されます。しかし、よ り安全なデプロイを実現するため、Palo Alto Networks ではこのオプショ ンを Clear [ クリア ] に設定することをお勧めしています。このオプション を Clear [ クリア ] に設定した場合もパフォーマンスが直ちに低下するわけ ではありませんが、ごく稀に、telnet などのアプリケーションが緊急デー タ機能を使用しているような場合は TCP に影響が出る場合があります。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 65 システム設定 デバイス管理 表 20. TCP 設定(続) フィールド 内容 タイムスタンプオプ ションを持たないセグ メントを破棄 TCP タイムスタンプにはセグメントの送信日時が記録されているので、ファ イアウォールはそのタイムスタンプがセッションに対して有効であるかどう か確認できるので、TCP シーケンス番号のラッピングを防止することができ ます。 TCP タイムスタンプはラウンドトリップ時間の算出にも使用されます。 ファイアウォールにタイムスタンプが空白のパケットを破棄させたい場合は このオプションを選択してください。このオプションが有効化されたことで ファイアウォールが破棄したセグメント数を参照する場合は、CLI で show counter global tcp_invalid_ts_option コマンドを実行します。 このオプションはデフォルトでは無効になっています。しかし、より安全な デプロイを実現するため、Palo Alto Networks ではこのオプションを有効化 することをお勧めしています。このオプションを有効化するとパフォーマン スが低下するという訳ではありません。しかし、TCP タイムスタンプオプ ションが空白のセグメントをネットワークスタックが誤って生成している場 合、このオプションを設定すると接続に問題が発生する可能性があります。 フラグを持たないセグ メントを破棄 フラグを持たない不正な TCP セグメントはコンテンツ検査の回避に使用さ れる場合があります。TCP ヘッダー内にフラグを持たないパケットをファイ アウォールに破棄させる場合はこのオプションを有効化してください。この オプションが有効化されたためにファイアウォールが破棄したセグメント 数を参照する場合は、CLI で show counter global tcp_flag_zero の コマンドを実行します。 このオプションはデフォルトでは無効になっています。しかし、より安全 なデプロイを実現するため、Palo Alto Networks ではこのオプションを有 効化することをお勧めしています。このオプションを有効化するとパ フォーマンスが低下するという訳ではありません。しかし、TCP フラグを 持たないセグメントをネットワークスタックが誤って生成している場合、 このオプションを設定すると接続に問題が発生する可能性があります。 TCP 順序外キューを超 過するセグメントを転 送 ファイアウォールが TCP 順序外キュー上限 (1 つのセッションあたり 64 個) を超えるセグメントを転送するように設定したい場合はこのオプションを 選択してください。このオプションを無効化すると、ファイアウォールは 順序外キュー上限を超えるセグメントを破棄します。このオプションが有 効化されたためにファイアウォールが破棄したセグメント数を参照する場 合は、CLI で show counter global tcp_exceed_flow_seg_limit のコマンドを実行します。 このオプションはデフォルトでは有効になっています。しかし、より安全 なデプロイを実現するため、Palo Alto Networks ではこのオプションを無 効化することをお勧めしています。このオプションを無効化すると、順序 外セグメントを64個以上を受信する特定のストリームで遅延が発生する可 能性があります。欠損セグメントについては TCP スタックが再送信を行う ので、接続性が損なわれることはありません。 66 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 システム設定 復号化設定:証明書取り消しチェック Session [ セッション ] タブの Decryption Settings [ 復号化設定 ] から Certificate Revocation Checking [ 証明書失効チェック ] を選択し、以下の表に記載されているパラメータを設定します。 表 21. セッション機能:証明書取り消しチェック フィールド 内容 有効化:CRL 証明書無効リスト(CRL)方式を使用して証明書の失効状態を検証する場 合は、このオプションを選択します。 オンライン証明書状態プロトコル (OCSP) も有効にしている場合、ファイ アウォールは最初に OCSP を試行し、OCSP サーバーが使用できない場合 は CRL 方式を試行します。 復号化証明書についての詳細は、 「復号化プロファイル」を参照してください。 受信のタイムアウト: CRL 証明書失効状態の検証用に CRL 方式を有効にしている場合、ファイア ウォールが CRL サービスからの応答を待つ秒数(1 ∼ 60、デフォルトは 5) を指定します。 有効化:OCSP OCSP を使用して証明書の失効状態を検証する場合は、このオプションを 選択します。 受信のタイムアウト: OCSP 証明書失効状態の検証用に OCSP 方式を有効にしている場合、ファイア ウォールが OCSP レスポンダからの応答を待つ秒数(1 ∼ 60、デフォルト は 5) を指定します。 証明書の状態が不明な セッションをブロック します OCSP または CRL サービスから証明書の失効状態が不明と返された際に、 SSL/TLS セッションをブロックする場合は、このオプションを選択してく ださい。その他の場合は、ファイアウォールはセッションを続行します。 証明書の状態のチェッ クがタイムアウトした セッションをブロック します ファイアウォールが CRL または OCSP 要求のタイムアウトを登録した際 に、SSL/TLS セッションをブロックする場合はこのオプションを選択しま す。その他の場合は、ファイアウォールはセッションを続行します。 証明書の有効期限 © Palo Alto Networks, Inc. ファイアウォールが任意の証明書状態サービスからの応答を待機する秒数 (1 ∼ 60、デフォルトは 5)を指定します。この期間が終了すると、定義済 み の セ ッ シ ョ ン ブ ロ ッ ク ロ ジ ッ ク が 必 要 に 応 じ て 適 用 さ れ ま す。 Certificate Status Timeout [ 証明書の有効期限 ] は、以下のように OCSP/ CRL の Receive Timeout [ 受信の有効期限 ] に関連付けられます。 • OCSP および CRL の両方を有効化する場合 — ファイアウォールは、 Certificate Status Timeout [ 証明書の有効期限 ] の値または 2 つの Receive Timeout [ 受信の有効期限 ] の値の合計のいずれか小さい方の期 間の経過後に、要求のタイムアウトを登録します。 • OCSP のみを有効化する場合 — ファイアウォールは、Certificate Status Timeout [ 証明書の有効期限 ] の値または OCSP の Receive Timeout [ 受信 の有効期限 ] の値のいずれか小さい方の期間の経過後に、要求のタイム アウトを登録します。 • CRL のみを有効化する場合 — ファイアウォールは、Certificate Status Timeout [ 証明書の有効期限 ] 値または CRL の Receive Timeout [ 受信の 有効期限 ] 値のいずれか小さい方の期間の経過後に、要求のタイムアウ トを登録します。 Web インターフェイス リファレンス ガイド、バージョン 7.1 • 67 システム設定 デバイス管理 復号化設定:フォワード プロキシ サーバーの証明書設定 Session [ セッション ] タブの Decryption Settings [ 復号化設定 ] セクションで、Forward Proxy Server Certificate Settings [ フォワード プロキシ サーバーの証明書設定 ] を選択して、ファイ アウォールが SSL/TLS フォワード プロキシ復号化のためのセッションを確立するときにク ライアントに提示する証明書の Key Size [ 鍵のサイズ ] とハッシュ アルゴリズムを設定しま す。以下の表で、パラメータについて説明します。 表 22. セッション機能:フォワードプロキシサーバーの証明書設定 フィールド 内容 宛先ホストにより定義 宛先サーバーが使用する鍵に基づいて PAN-OS で証明書を生成する場合 は、このオプションを選択します。 • 宛先サーバーが RSA 1024 ビット鍵を使用する場合、PAN-OS はその鍵 のサイズと SHA-1 ハッシュ アルゴリズムを使用して証明書を生成しま す。 • 宛先サーバーが 1024 ビットよりも大きい鍵サイズを使用する場合 (2048 ビットや 4096 ビットなど )、PAN-OS は 2048 ビット鍵と SHA-256 アル ゴリズムを使用する証明書を生成します。 これがデフォルトの設定です。 1024 ビット RSA 宛先サーバーが使用する鍵のサイズに関係なく、PAN-OS で RSA 1024 ビット鍵と SHA-1 アルゴリズムを使用する証明書を生成する場合は、この オプションを選択します。2013 年 12 月 31 日以降、公開認証局(CA)と 一般的なブラウザでは、2048 ビット未満のキーを使用する X.509 証明書の サポートが制限されています。将来的には、このような鍵を提示すると、 セキュリティ設定に応じてブラウザがユーザーに警告を表示したり、SSL/ TLS セッション全体をブロックしたりする可能性があります。 2048 ビット RSA 宛先サーバーが使用する鍵のサイズに関係なく、PAN-OS で RSA 2048 ビット鍵と SHA-256 アルゴリズムを使用する証明書を生成する場合は、こ のオプションを選択します。公開 CA と一般的なブラウザでは、1024 ビッ ト鍵よりも強固なセキュリティを提供する 2048 ビット鍵がサポートされ ています。 68 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 システム設定 VPN セッション設定 Session [ セッション ] を開き、VPN Session Settings [VPN セッション設定 ] から、VPN セッ ションを確立するファイアウォールに関連するグローバル設定を指定します。以下の表では、 この設定について説明します。 表 23 VPN セッション設定 フィールド 内容 Cookie アクティベ ーションのしきい値 ファイアウォールごとの IKEv2 ハーフオープン IKE SA の最大許容数を指定 します。これを超えると、Cookie の検証がトリガーされます。ハーフオープ ン IKE SA の数が Cookie アクティベーションのしきい値を超えると、レスポ ンダが Cookie を要求し、イニシエータは Cookie が含まれる IKE_SA_INIT で 応答する必要があります。Cookie の検証に成功すると、別の SA セッション を開始できます。 値を 0 にすると、Cookie の検証が常にオンになります。 Cookie Activation Threshold [Cookie アクティベーションのしきい値 ] は、グ ローバル ファイアウォール設定で、Maximum Half Opened SA [ ハーフ オー プン SA の最大数 ] 設定 ( これもグローバル ) を超えないようにする必要があ ります。 範囲:0 ∼ 65535 デフォルト:500 ハーフ オープン SA の最大数 応答を取得せずにイニシエータがファイアウォールに送信できる IKEv2 ハー フオープン IKE SA の最大数を指定します。最大数に達すると、ファイア ウォールは新しい IKE_SA_INIT パケットに応答しなくなります。 範囲:1 ∼ 65535 デフォルト:65535 キャッシュされた 証明書の最大数 ファイアウォールがキャッシュできる、HTTP 経由で取得したピア認証局 (CA) 証明書の最大数を指定します。この値は、IKEv2 ハッシュおよび URL 機 能でのみ使用されます。範囲:1 ∼ 4000 デフォルト:500 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 69 設定ファイルの比較 デバイス管理 設定ファイルの比較 Device > Config Audit [ ࢹࣂࢫ > タᐃ┘ᰝ ] 設定ファイル同士の差異を確認する場合は Device > Config Audit [ デバイス > 設定監査 ] を開き ます。このページでは設定内容が別々のペインに並べて表示され、内容の差異が行ごとに色 づけして表示されます(追加は緑色、変更は黄色、削除は赤色) 。 表 24. 検証設定の編集 フィールド / ボタン 内容 設定名のドロップダウンリス ト(ラベルなし) 比較する 2 つの設定内容を設定名のドロップダウンリスト(ラベル なし)から選択します(デフォルトは Running config [ 実行中の設 定 ] および Candidate config [ 候補設定 ] )。 ヒント:任意の設定内容に関わるコミット処理の Description [ 詳細 ] 欄にある文字列を入力することで、ドロップダウンリストのフィル タリングを行うことができます( 「変更のコミット」を参照)。 コンテクストドロップダウン ハイライト表示されたファイル同士の差異の前後に表示する行数 を指定する場合は Context [ コンテクスト ] のドロップダウンリス トを使用します。表示する行数を増やすことで、検証結果を Web イ ンターフェイスの設定内容に反映させやすくなります。Context [ コ ンテクスト ] を All [ 全て ] に設定した場合、結果には設定ファイル 全体が含まれます。 実行 検証を開始する場合は Go [ 実行 ] をクリックします。 前へ( 次へ( )および ) 連続したバージョンの設定が設定名のドロップダウンリストから 選択されるとこれらの矢印が使用可能になります。ドロップダウン リストの 1 つ前のペアを比較する場合は を、次の設定ペアを比 較する場合は をクリックしてください。 VM 情報の送信元の定義 Device > VM Information Sources [ ࢹࣂࢫ > VM ሗࡢ㏦ಙඖ ] ここに挙げる送信元(VMware ESXi サーバー、VMware vCenter サーバー、Amazon Web Services Virtual Private Cloud (AWS-VPC))にデプロイされた仮想マシン(VM)に対する変 更内容をプロアクティブに追跡する場合はこのタブを使用します。 VM-Series NSX エディション製品の一部となっている ESXi ホストをモニ ターしており、仮想環境内の変更点を調べる場合は、VM 情報ソースの代 わりに動的アドレスグループを使用してください。M-Series NSX エディ ション製品の場合、NSX マネージャは IP アドレスの所属する NSX セキュ リティグループの情報を Panorama に提供します。NSX マネージャーはサー ビスプロファイル ID を使用して識別を行うので、NSX マネージャからの 情報には動的アドレスグループにおける一致条件を定義するために必要な 情報がすべて含まれています。このため、複数の NSX セキュリティグルー プにまたがって IP アドレスが重複している場合にも適切なポリシーを適用 することができます。 1 つの IP アドレスに対し、 (vCenter サーバーおよび NSX サーバーから)最 大 32 個のタグを付与することができます。 70 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 VM 情報の送信元の定義 VM 情報ソースをモニターするには、以下の 2 つの方法があります。 • ファイアウォールは VMware ESXi サーバー、VMware vCenter サーバー、および AWSVPC 環境をモニターし、モニター対象ソースにゲストがプロビジョニングまたは変更さ れた場合は変更内容を取得できます。ファイアウォールごと、またはファイアウォール 機能を持つ複数の仮想システム上の仮想システムごとに、最大 10 個のソースを設定でき ます。 高可用性設定でファイアウォールが設定されている場合、以下が適用されます。 – アクティブ / パッシブ セットアップでは、アクティブ ファイアウォールのみが VM 情 報ソースをモニターします。 – アクティブ / アクティブセットアップでは、優先度の値が「プライマリ」のファイア ウォールのみが VM 情報ソースをモニターします。 VM 情報ソースとダイナミック アドレス グループによる同期動作と、仮想環境の変更を モニターする機能についての詳細は、 『VM-Series デプロイメント ガイド』を参照してく ださい。 • IP アドレス - ユーザーのマッピングについては、Windows User ID エージェントまたは ファイアウォールに VM 情報ソースを設定して、VMware ESXi サーバーと vCenter サー バーをモニターし、サーバーに設定されたゲストがプロビジョニングまたは変更された 場合は変更内容を取得できます。Windows User ID エージェントでは最大 100 個のソー スがサポートされます。User ID エージェントでは AWS のサポートは利用できません。 モニター対象の ESXi サーバーまたは vCenter サーバーの各 VM に VMware Tools がインストールされていて実行中である必要があります。VMware Tools を使用して、各 VM に割り当てられた IP アドレスとその他の値を収 集できます。 モニター対象 VM に割り当てられた値を収集するには、ファイアウォールで以下の属性をモ ニターする必要があります。 VMware ソースでモニターされる属性 AWS-VPC でモニターされる属性 • UUID • アーキテクチャ • 名前 • ゲスト OS • ゲスト OS • イメージ ID • VM の状態 — 電源状態は「poweredOff」、 • インスタンス ID 「poweredOn」、「standBy」、「unknown」 のいずれかです。 • インスタンスの状態 • 注釈 • インスタンス タイプ • バージョン • キー名 • ネットワーク — 仮想スイッチ名、ポート • 配置 — テナンシー、グループ名、可用性ゾーン グループ名、VLAN ID • プライベート DNS 名 • コンテナ名 —vCenter 名、データ セン ター オブジェクト名、リソース プール 名、クラスタ名、ホスト、ホスト IP アド レス。 • パブリック DNS 名 • サブネット ID • タグ(キー、値)(インスタンスごとに最大 5 個の タグをサポート) • VPC ID © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 71 VM 情報の送信元の定義 デバイス管理 Add [ 追加 ] — VM モニタリングの新しいソースを追加するには、Add [ 追加 ] をクリックし、モ ニターするソースに応じて詳細を入力します。 • VMware ESXi サーバーまたは vCenter サーバーについては、「VMware ESXi サーバーま たは vCenter サーバーの VM 情報ソースの有効化」を参照してください。 • AWS-VPC については、「AWS VPC の VM 情報ソースの有効化」を参照してください。 Refresh Connected [ 接続対象の更新 ] — 接続状態を更新する場合にクリックします。オンスク リーン表示が更新されます。このオプションでは、ファイアウォールとモニター対象送信元 の間の通信は更新されません。 Delete [ 削除 ] — 設定済みの VM 情報の送信元を選択してからクリックすることで、設定済み の送信元が削除されます。 表 25. VMware ESXi サーバーまたは vCenter サーバーの VM 情報ソースの有効化 フィールド 内容 名前 モニター対象送信元の識別に使用する名前を入力します ( 最大 31 文字 )。 名前の大文字と小文字は区別されます。また、一意の名前にする必要が あります。文字、数字、スペース、ハイフン、およびアンダースコアの みを使用してください。 タイプ モニター対象のホスト / ソースが ESXi server [ESXi サーバー] か、vCenter server [vCenter サーバー ] かを選択します。 内容 ( 任意 ) 送信元の場所または機能を識別するラベルを追加します。 ポート ホスト / ソースのリスニング ポートを指定します。( デフォルトポートは 443)。 有効 デフォルトでは、ファイアウォールと設定されたソース間の通信は有効 になっています。 モニター対象ソースとファイアウォール間の接続状態は、インターフェ イスに以下のように表示されます。 – 接続済み – 切断 保留。モニター対象送信元が無効になっている場合は、通信状 態も黄色で表示されます。 ホストとファイアウォール間の通信を無効にするには、Enabled [ 有効 ] のオプションをオフにします。 – タイムアウト ホストが応答しない場合、モニター対象送信元への接続を切断するまで の間隔を入力します(範囲は 2 ∼ 10 時間、デフォルトは 2 時間)。 (任意)デフォルト値を変更する場合は、Enable timeout when the source is disconnected [ 送信元切断時のタイムアウトを有効にする ] オプション を選択して値を指定します。指定された制限に達した場合、またはホス トがアクセス不能か応答しない場合、ファイアウォールによってソース への接続が閉じられます。 送信元 モニターするホスト / ソースの FQDN または IP アドレスを入力します。 ユーザー名 送信元に対する認証に必要なユーザー名を指定します。 パスワード パスワードを入力し、確認のために再入力します。 更新間隔 ファイアウォールが送信元から情報を取得する間隔(秒数)を指定しま す(範囲は 5 ∼ 600、デフォルトは 5)。 72 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 VM 情報の送信元の定義 表 26. AWS VPC の VM 情報ソースの有効化 フィールド 内容 名前 モニター対象ソースの識別に使用する名前を入力します ( 最大 31 文字 )。名 前の大文字と小文字は区別されます。また、一意の名前にする必要がありま す。文字、数字、スペース、ハイフン、およびアンダースコアのみを使用し てください。 タイプ AWS VPC を選択します。 内容 ( 任意 ) 送信元の場所または機能を識別するラベルを追加します。 有効 デフォルトでは、ファイアウォールと設定されたソース間の通信は有効に なっています。 モニター対象ソースとファイアウォール間の接続状態は、インターフェイス に以下のように表示されます。 – 接続済み – 切断 保留。モニター対象送信元が無効になっている場合は、通信状態も 黄色で表示されます。 ホストとファイアウォール間の通信を無効にするには、Enabled [ 有効 ] の オプションをオフにします。 – 送信元 Virtual Private Cloud が存在する URI を追加します。たとえば、「ec2.uswest-1.amazonaws.com」などです。 構文:ec2.<your_AWS_region>.amazonaws.com アクセス キー ID AWS アカウントを所有するか、アクセスを許可されているユーザーを一意 に識別する英数字のテキスト文字列を入力します。 この情報は、AWS セキュリティ認証情報の一部です。ファイアウォールで は、AWS サービスに対する API コールにデジタル署名するための認証情報 ( アクセス キー ID と秘密アクセス キー ) が要求されます。 秘密アクセス キー パスワードを入力し、確認のために再入力します。 更新間隔 ファイアウォールが送信元から情報を取得する間隔(秒数)を指定します (範囲は 60 ∼ 1,200、デフォルトは 60)。 タイムアウト ホストが応答しない場合、モニター対象ソースへの接続を閉じるまでの時間 (デフォルトは 2 時間) ( 任意 ) Enable timeout when the source is disconnected [ 送信元切断時のタ イムアウトを有効化 ] する場合はこのオプションを選択します。指定された 制限に達した場合、またはソースがアクセス不能か応答しない場合、ファイ アウォールによってソースへの接続が閉じられます。 VPC ID © Palo Alto Networks, Inc. モニターする AWS-VPC の ID を入力します ( 例:vpc-1a2b3c4d)。この VPC 内にデプロイされている EC2 インスタンスのみがモニターされます。 アカウントがデフォルトの VPC を使用するように設定されている場合、デ フォルトの VPC ID が AWS アカウント属性の下にリストされます。 Web インターフェイス リファレンス ガイド、バージョン 7.1 • 73 ソフトウェア更新の管理 デバイス管理 ソフトウェア更新の管理 Device > Software [ ࢹࣂࢫ > ࢯࣇࢺ࢙࢘ ] 使用可能なソフトウェアリリースの表示、リリースのダウンロードまたはアップロード、リ リースのインストール(サポートライセンスが必要) 、デバイスからのソフトウェアイメージ の削除、またはリリースノートの表示を行う場合は Device > Software [ デバイス > ソフトウェ ア ] を開きます。ソフトウェア バージョンをアップグレードまたはダウングレードする前に、 以下の推奨事項を確認してください。 • Release Notes [ リリースノート ] を参照し、 バージョンの変更内容の説明およびソフトウェ アをインストールするための移行パスを確認します。 • 機能リリースでは、新機能に対応するために特定の設定が移行される場合があるので、現在 の設定のバックアップを保存します (Device > Setup > Operation [ デバイス > 設定 > 操作 ] タブ をクリックして Export named configuration snapshot [ 名前付き設定スナップショットのエ クスポート ] を選択し、running-config.xml を選択して OK をクリックすることで、設定 ファイルがコンピュータに保存されます )。 • ダウングレードする場合、ソフトウェア バージョンに一致する設定にダウングレードす ることをお勧めします。 • 高可用性 (HA) ペアを新しい機能リリースにアップグレードするときには (PAN-OS バー ジョンの先頭または 2 番目の数字が変更される。5.0 から 6.0、6.0 から 6.1 など )、新機能 に対応するために設定が移行される場合があります。セッション同期が有効になってい る場合、クラスタ内に異なる PAN-OS 機能リリースを実行しているファイアウォールが 1 つでもあると、セッションは同期されません。 • ファイアウォールを PAN-OS メンテナンス リリースにアップグレードする必要がある場 合で、そのメンテナンス リリースのベース リリースが現在インストールされているソフ トウェアのベース リリースよりも新しい場合は、まず、ファイアウォールにそのベース リリースをダウンロード ( インストールではない ) してから、メンテナンス リリースのダ ウンロードとインストールを実行します。たとえば、PAN-OS 5.0.12 から PAN-OS 6.0.3 にファイアウォールをアップグレードする場合は、まず、PAN-OS 6.0.0 をファイアウォー ルにダウンロード ( インストールではない ) してから、PAN-OS 6.0.3 のダウンロードとイ ンストールを実行します。 • ファイアウォールの日時設定には現在の日時を使用する必要があります。PAN-OS ソフ トウェアはデジタル署名されており、ファイアウォールは新バージョンをインストール する前に署名を確認します。ファイアウォールに現在以外の日付が設定されていると、 ファイアウォールはソフトウェア署名の日付が誤って将来になっていると認識し、以下 のメッセージを表示する可能性があります。 Decrypt failed: GnuPG edit non-zero, with code 171072 Failed to load into PAN software manager. 以下の表に、Software [ ソフトウェア ] ページの使用方法を示します。 表 27. ソフトウェア オプション フィールド 内容 バージョン Palo Alto Networks 更新サーバーで現在入手可能なソフトウェア バー ジョンが一覧表示されます。Palo Alto Networks から新しいソフトウェ ア リリースを入手可能かどうかをチェックするには、Check Now [ 今す ぐチェック ] をクリックします。ファイアウォールがサービス ルートを 使用して更新サーバーに接続し、新しいバージョンをチェックします。適 用可能な更新がある場合は、その更新がリストの最上部に表示されます。 サイズ ソフトウェア イメージのサイズを示します。 74 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 ソフトウェア更新の管理 表 27. ソフトウェア オプション(続) フィールド 内容 リリース日 Palo Alto Networks がリリースを公開した日時を示します。 使用可能 対応するバージョンのソフトウェア イメージがファイアウォールにアッ プロードまたはダウンロードされていることを示します。 現在インストール済み 対応するバージョンのソフトウェア イメージがアクティベーションされ ていて、ファイアウォールで現在実行されているかどうかを示します。 操作 対応するソフトウェア イメージで現在実行可能な以下のようなアクショ ンを示します。 • Download [ ダウンロード ] — 対応するソフトウェアバージョンが Palo Alto Networks 更新サーバーから入手可能です。入手可能なソフトウェ アバージョンを Download [ ダウンロード ] する場合はクリックします。 • Install [ インストール ] — 対応するソフトウェア バージョンがファイ アウォールにダウンロード済みまたはアップロード済みです。ソフト ウェアを Install [ インストール ] する場合はクリックします。アップグ レード プロセスの完了時に再起動が必要です。 • Reinstall [ 再インストール ] — 対応するソフトウェアバージョンが以 前インストールされていました。このバージョンを Reinstall [ 再イン ストール ] する場合はクリックします。 リリースノート 対応するソフトウェア更新のリリースノートへのリンクが提供されます。 このリンクは、Palo Alto Networks 更新サーバーからダウンロードする更 新の場合にのみ使用でき、アップロードされた更新では使用できません。 以前にダウンロードまたはアップロードしたソフトウェア イメージを ファイアウォールから削除します。アップグレードの必要がない古いリ リースの基本イメージのみを削除してください。たとえば、7.0 を実行し ている場合、ダウングレードする必要がなければ、6.1 の基本イメージを 削除できます。 今すぐチェック Palo Alto Networks から新しいソフトウェア更新を入手可能かどうかを チェックします。 アップロード ファイアウォールがアクセスできるコンピュータからソフトウェア更新 イメージをインポートします。通常、この操作はファイアウォールがイ ンターネットにアクセスできない場合に実行します。Palo Alto Networks 更新サーバーから更新をダウンロードするには、インターネットにアク セスできる必要があります。アップロードを行う場合、インターネット に接続されたコンピューターから Palo Alto Networks のウェブサイトに アクセスし、サポートサイト(ソフトウェアアップデート)からソフト ウェアイメージをダウンロードし、アップデート内容をコンピュータに ダウンロードし、ファイアウォールの Device > Software [ デバイス > ソ フトウェア ] を開いてイメージの Upload [ アップロード ] を行います。高 可用性 (HA) 設定の場合、Sync To Peer [ ピアと同期 ] のオプションを選 択し、インポートしたソフトウェアイメージを HA ピアにプッシュしま す。アップロードが完了すると、Software [ ソフトウェア ] ページに、 アップロードおよびダウンロードしたソフトウェアと同一の情報(バー ジョンやサイズなど)と、Install [ インストール ] /Reinstall [ 再インス トール ] のオプションが表示されます。アップロードしたソフトウェア の場合、Release Notes [ リリースノート ] のオプションは無効化されて います。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 75 コンテンツ更新の管理 デバイス管理 コンテンツ更新の管理 Device > Dynamic Updates [ ࢹࣂࢫ > ືⓗ᭦᪂ ] Panorama > Dynamic Updates [Panorama > ືⓗ᭦᪂ ] Palo Alto Networks では、以下のように動的更新を通じて、アプリケーション検出、脅威防 御、および GlobalProtect データ ファイルに関する更新ファイルを定期的に公開しています。 • Antivirus [ アンチウイルス ] — WildFire によって発見されたシグネチャなどの新規および 更新されたアンチウイルス シグネチャを含みます。更新データを取得するには、脅威防御 サブスクリプションが必要です。新しいアンチウィルスシグネチャは毎日公開されます。 • Applications [ アプリケーション ] — 新規および更新されたアプリケーションシグネチャ を含みます。この更新に追加のサブスクリプションは不要ですが、有効なメンテナンス / サポートの連絡先が必要です。新しいアプリケーション更新は週単位で公開されます。 • Applications and Threats [ アプリケーションおよび脅威 ] — 新規および更新されたアプ リケーションシグネチャと脅威シグネチャを含みます。この更新は、脅威防御サブスク リプションを購入している場合に入手できます ( このケースではアプリケーション更新 の代わりに取得します )。新しいアプリケーションおよび脅威の更新は、週単位で公開さ れます。コンテンツ リリース バージョンの新しい脅威シグネチャのみをインストールす るように選択することもできます。コンテンツ リリースをインストールするときと、コ ンテンツ リリース バージョンを自動的にインストールするようにスケジュールを設定す るときにこのオプションが表示されます。このオプションでは、新しい脅威シグネチャ の利点をすぐに得られます。その後、新しいアプリケーション シグネチャによるポリシー への影響を確認し、有効にする前に必要なポリシーの更新を行うことができます。 • GlobalProtect Data File — GlobalProtect エージェントによって返されるホスト情報プロ ファイル (HIP) データを定義および評価するためのベンダー固有情報を含みます。更新を 受信するには、GlobalProtect ゲートウェイ サブスクリプションが必要です。また、 GlobalProtect が機能を開始する前に、それらの更新のスケジュールを作成する必要があ ります。 • BrightCloud URL Filtering [BrightCloud URL フィルタリング ] — BrightCloud URL フィ ルタリングデータベースにのみ更新を提供します。更新を取得するには、BrightCloud サ ブスクリプションが必要です。新しい BrightCloud URL データベース更新は毎日公開さ れます。PAN-DB ライセンスを持っている場合はファイアウォールがサーバーと自動的 に同期されるため、更新のスケジュール設定は不要です。 • WildFire — WildFire パブリッククラウドで分析を実行し、その結果として作成したマル ウェアおよびアンチウイルスシグネチャをほぼリアルタイムに提供します。WildFire の シグネチャは 5 分おきに更新されています。リリースされた最新の WildFire シグネチャ をファイアウォールが 1 分以内に必ず入手できるよう、更新を最短で毎分確認するよう に設定することもできます。WildFire へのサブスクリプションがない場合、WildFire シ グネチャがアプリケーションおよび脅威の更新に取り込まれるまで 24 ∼ 48 時間待つ必 要があります。WildFire Public Cloud [WildFire パブリッククラウド ] 分析を有効化する場 合は Device > Setup > WildFire [ デバイス > 設定 > WildFire] を選択してください。 76 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 コンテンツ更新の管理 • WF-Private [WF プライベート ] — WF-500 アプライアンスで分析を実行し、その結果と して作成したマルウェアおよびアンチウイルスシグネチャをほぼリアルタイムに提供し ます。WF-500 アプライアンスからコンテンツ更新を受信する場合は、ファイアウォール とアプライアンスの両方で PAN-OS 6.1 以降のリリースを実行し、さらにファイアウォー ルがファイルや電子メールリンクを WildFire プライベートクラウドに転送するよう設定 されている必要があります。WildFire Private Cloud [WildFire プライベートクラウド ] 分析 を有効化する場合は Device > Setup > WildFire [ デバイス > 設定 > WildFire] を選択してくだ さい。 最新の更新ファイルを表示し、各更新ファイルのリリースノートを読み、ダウンロードおよ びインストールする更新ファイルを選択できます。以前にインストールした更新のバージョ ンに戻すこともできます。 Panorama を使用してファイアウォールを管理していて、1 つ以上のファイアウォールの動的 更新をスケジューリングする場合は、 「コンテンツ用動的更新のスケジュール設定」を参照し てください。 以下の表に、このページの使用方法を示します。 表 28. 動的更新オプション フィールド 内容 バージョン Palo Alto Networks 更新サーバーで現在入手可能なバージョンが一覧表 示されます。Palo Alto Networks から新しいソフトウェア リリースを入手 可能かどうかをチェックするには、 Check Now [ 今すぐチェック ] をクリッ クします。ファイアウォールがサービス ルートを使用して更新サーバーに 接続し、新しいコンテンツ リリース バージョンをチェックします。適用 可能な更新がある場合は、その更新がリストの最上部に表示されます。 最終チェック ファイアウォールが最後に更新サーバーに接続して更新があるかどうか をチェックした日時が表示されます。 スケジュール 更新を取得する頻度をスケジューリングできます。 動的コンテンツアップデートの頻度およびタイミング(Recurrence [ 繰 返し ] と時間)を設定し、またファイアウォールでスケジュール設定され たアップデートの Download Only [ ダウンロードのみ ] 行うか、Download and Install [ ダウンロードとインストール ] を行うかを設定することが可 能です。 コンテンツ更新の定期的なダウンロードおよびインストールをスケ ジューリングする場合、Disable new apps in content update [ コンテンツ 更新での新しいアプリケーションの無効化 ] を選択することもできます。 このオプションにより、最新の脅威に対する保護を有効にしながら、更 新後に新しく識別されて、異なる処理が行われる可能性のあるアプリ ケーションに必要なポリシーの更新を準備した後でアプリケーションを 柔軟に有効にできます(定期的なコンテンツ更新の際に自動的に無効にさ れるアプリケーションを後で有効にする場合は、[ 動的更新 ] ページの Apps, Threats [ アプリケーションおよび脅威 ] を選択するか、Objects > Applications [ オブジェクト > アプリケーション ] の順に選択します )。 アップデートスケジュールを設定する場合、リリース後一定時間が経過 するまで更新のインストールを遅らせることができます。Threshold (Hours) [ しきい値(時間)] を指定することで、リリースされてからコン テンツ更新を実行するまでの待機時間を設定することができます。 ファイル名 ファイル名が一覧表示されます。ファイル名にはコンテンツのバージョ ン情報が含まれます。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 77 コンテンツ更新の管理 デバイス管理 表 28. 動的更新オプション(続) フィールド 内容 機能 コンテンツ バージョンに含めることができるシグネチャのタイプが一覧 表示されます。 アプリケーションおよび脅威コンテンツリリースバージョンの場合、こ のフィールドには、Apps, Threats [ アプリケーションおよび脅威 ] を確認 するためのオプションが表示されることがあります。このオプションを クリックすると、ファイアウォールにインストールされた最後のコンテ ンツ リリース バージョンから使用できるようになった新しいアプリ ケーション シグネチャが表示されます。New Applications [ 新しいアプリ ケーション ] ダイアログを使用して、新しいアプリケーションを Enable/ Disable [ 有効化 ] / [ 無効化 ] することもできます。一意に識別されるア プリケーションがポリシーに影響を及ぼさないようにするため、コンテ ンツ リリースに含まれる新しいアプリケーションを無効にする場合があ ります ( 未知だったアプリケーションが識別され、以前とは異なって分類 されると、コンテンツのインストール前後でアプリケーションの処理が 変わる可能性があります )。 タイプ ダウンロードにフル データベース更新が含まれているか、増分更新が含 まれているかを示します。 サイズ コンテンツ更新パッケージのサイズが表示されます。 リリース日 Palo Alto Networks がコンテンツ リリースを公開した日時。 ダウンロード済み この列のチェック マークは、対応するコンテンツ リリース バージョンが ファイアウォールにダウンロード済みであることを示します。 現在インストール済み この列のチェック マークは、対応するコンテンツ リリース バージョンが ファイアウォールで現在実行されていることを示します。 78 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 コンテンツ更新の管理 表 28. 動的更新オプション(続) フィールド 内容 動作 対応するソフトウェア イメージで現在実行可能な以下のようなアクショ ンを示します。 • Download [ ダウンロード ] — 対応するコンテンツリリースバージョン を Palo Alto Networks 更新サーバーから入手可能です。入手可能なコ ンテンツリリースバージョンを Download [ ダウンロード ] する場合は クリックします。ファイアウォールがインターネットに接続できない場 合は、インターネットに接続できるコンピュータから動的更新サイトに アクセスし、そのコンテンツ リリース バージョンを探して [Download] をクリックし、ローカル コンピュータにダウンロードします。次にファ イアウォールへソフトウェアイメージを手動で Upload [ アップロード ] します。また、アプリケーションおよび脅威コンテンツリリース バー ジョンをダウンロードすると、リリースに含まれる新しいアプリケー ションシグネチャの影響を受ける Review Policies [ ポリシーを確認 ] す るためのオプションが有効になります。 • Review Policies [ ポリシーのレビュー ] ( アプリケーションおよび脅威 コンテンツのみ ) — コンテンツ リリース バージョンに含まれる新しい アプリケーションによるポリシーへの影響を確認します。コンテンツ 更新のインストール前後のアプリケーションの処理を評価するには、こ のオプションを使用します。Policy Review [ ポリシーのレビュー ] ダイ アログを使用して、既存のセキュリティポリシーの保留中のアプリケー ション ( コンテンツ リリース バージョンでダウンロードされているが、 ファイアウォールにインストールされていないアプリケーション ) を追 加または削除することもできます。保留中のアプリケーションのポリ シーを変更しても、対応するコンテンツ リリース バージョンがインス トールされるまで有効になりません。 • Install [ インストール ] — 対応するコンテンツリリースバージョンが ファイアウォールにダウンロード済みです。アップデートを Install [ イ ンストール ] する場合にクリックします。新しいアプリケーションおよ び脅威コンテンツ リリース バージョンをインストールすると、Disable new apps in content update [ コンテンツ更新での新しいアプリケー ションの無効化 ] オプションが表示されます。このオプションにより、 最新の脅威に対する保護を有効にしながら、新しいアプリケーションシ グネチャの影響に起因するポリシーの更新を準備した後でアプリケー ションを柔軟に有効にできます(以前に無効にしたアプリケーションを 有効にするには、動的更新ページの Apps, Threats [ アプリケーション および脅威 ] リンクを選択するか、Objects > Applications [ オブジェク ト > アプリケーション ] の順に選択します )。 • Revert [ 戻す ] — 対応するコンテンツリリースバージョンが以前にダウ ンロードされていて、同じバージョンを再インストールする場合は Revert [ 戻す ] をクリックします。 ドキュメント 対応するバージョンのリリースノートへのリンクが提供されます。 以前にダウンロードしたコンテンツ リリース バージョンをファイア ウォールから削除します。 アップロード ファイアウォールがPalo Alto Networksアップデートサーバーにアクセス できない場合、Palo Alto Networks サポートサイトの動的更新のセクショ ンから動的更新を手動でアップロードすることができます。コンピュータ にアップデートをダウンロードしたのちに、更新内容をファイアウォール へ Upload [ アップロード ] します。次に Install From File [ ファイルから インストール ] から、ダウンロードしたファイルを選択します。 ファイルからインストー ル 更新ファイルをファイアウォールへ手動でアップロードしたのちに、こ のオプションを使用してファイルをインストールします。Package Type [ パッケージタイプ ] のドロップダウンリストからインストールする更新 のタイプを選択し(Application and Threats [ アプリケーションおよび脅 威 ] 、Antivirus [ アンチウイルス ] 、または WildFire)、OK をクリック、 インストールしたいファイルを選択し、再度 OK をクリックしインストー ルを開始します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 79 ライセンスの管理 デバイス管理 ライセンスの管理 Device > Licenses [ ࢹࣂࢫ > ࣛࢭࣥࢫ ] すべてのファイアウォールプラットフォームでライセンスをアクティベートする場合は、Device > Licenses [ デバイス > ライセンス ] を開きます。Palo Alto Network からサブスクリプションを 購入すると、1 つ以上のライセンス キーを有効にするために認証コードが送信されます。 VM-Series ファイアウォールの場合、このページで仮想マシン (VM) を非アクティブにするこ ともできます。 以下のアクションは、Licenses [ ライセンス ] ページで実行できます。 • Retrieve license keys from license server [ ライセンスサーバーからライセンスキーを取得 ]:サ ポートポータルでアクティベート済みで、かつ認証コードを必要とする購入済みのサブ スクリプションを有効化する場合に選択します。 • Activate feature using authorization code [ 認証コードを使用した機能のアクティベーショ ン ]:サポートポータルでアクティベートされておらず、かつ認証コードを必要とする購 入済みのサブスクリプションを有効化する場合に選択します。次に認証コードを入力し、 OK をクリックします。 • Manually upload license key [ ライセンスキーの手動アップロード ]:ファイアウォールがラ イセンス サーバーに接続されておらず、ライセンス キーを手動でアップロードする場合 は、以下の手順を実行します。 D https://support.paloaltonetworks.com からライセンス キー ファイルをダウンロード し、ローカルに保存します。 E Manually upload license key [ ライセンスキーを手動でアップロード ] をクリックし、 Browse [ 参照 ] をクリックしてファイルを選択し、OK をクリックします。 URL フィルタリングのライセンスを有効化する場合は、ライセンスをインストー ルし、データベースをダウンロードし、Activate [ アクティベート ] をクリックす る必要があります。URL フィルタリングに PAN-DB を使用している場合、初期 シードデータベースを Download [ ダウンロード ] してから Activate [ アクティベー ト ] をクリックする必要があります。 または、 CLIコマンドrequest url-filtering download paloaltonetworks region <region name> を実行することもできます。 • Deactivate VM [VM のディアクティベート ]:このオプションは、永久ライセンスおよび期 間ベースのライセンスをサポートする Bring Your Own License モデルの VM-Series ファ イアウォールで使用できます。オンデマンドライセンスモデルでは、この機能はサポー トされていません。 Deactivate VM [VMのディ VM-Seriesファイアウォールのインスタンスが必要なくなった場合、 アクティベート ] をクリックします。このオプションを使用すると、すべてのアクティブな ライセンス ( サブスクリプション ライセンス、VM キャパシティ ライセンス、およびサポー ト資格 ) を解放できます。ライセンスのクレジットはアカウントに戻るため、必要に応じて VM-Series ファイアウォールの新しいインスタンスにライセンスを適用できます。 ライセンスがディアクティベートされると、VM-Series ファイアウォールの機能が無効化 され、ファイアウォールはライセンスのない状態になります。しかし、設定はそのまま 保存されます。 80 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 ライセンスの管理 – VM-Series ファイアウォールからインターネットに直接アクセスできない場合、 Continue Manually [ 手動で続行 ] をクリックします。ファイアウォールは、トークン ファイルを 生成します。Export license token [ ライセンストークンのエクスポート ] をクリックし、 トークンファイルをローカルコンピュータに保存して、ファイアウォールを再起動しま す。Palo Alto Networks Support ポータルにログインし、Assets > Devices [ アセット > デ バイス ] を選択し、Deactivate VM [VM をディアクティベート ] をクリックし、このトー クンファイルを使用してディアクティベートのプロセスを完了します。 – Continue [ 続行 ] をクリックして、VM-Series ファイアウォールのライセンスをディア クティベートします。ライセンスの非アクティブ化プロセスを完了するには、Reboot Now [ 今すぐ再起動 ] をクリックします。 – ディアクティベートを中止して Deactivate VM [VM のディアクティベート ] ウィンド ウを閉じる場合は Cancel [ キャンセル ] をクリックします。 ライセンス失効時の動作 ライセンス / サブスクリプションの更新に関する詳細は、Palo Alto Networks のオペレーショ ン チームまたはセールスまでお問い合わせください。 • ファイアウォールの脅威防御サブスクリプションが期限切れになると、次の状況が発生 します。 – サブスクリプションの期限が切れたことを示すシステムログエントリが生成されます。 – すべての脅威防御機能は、ライセンスの期限が切れた時点でインストールされたシグ ネチャを使用して、引き続き機能します。 – 有効なライセンスがインストールされるまで新しいシグネチャはインストールできま せん。また、ライセンスが期限切れの場合、前のバージョンのシグネチャにロールバッ クする機能はサポートされません。 – カスタム App-ID™ シグネチャは引き続き機能しますが、変更できません。 • サポート ライセンスが期限切れの場合、脅威防御と脅威防御の更新は引き続き正常に機 能します。 • サポート資格が期限切れの場合、ソフトウェア更新は使用できなくなります。ソフトウェ ア更新へのアクセスや、テクニカル サポート グループへの問い合わせを継続する場合は、 ライセンスを更新する必要があります。 • 期間ベースの VM キャパシティ ライセンスの期限が切れている場合、ライセンスを更新 するまでファイアウォールでソフトウェア更新またはコンテンツ更新を取得できませ ん。有効なサブスクリプション ( 脅威防御や WildFire など ) とサポート ライセンスがあっ たとしても、最新のソフトウェア更新またはコンテンツ更新を取得するには、有効なキャ パシティ ライセンスが必要です。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 81 管理者アクセスの設定 デバイス管理 管理者アクセスの設定 管理アカウントを作成する場合、以下のいずれかのオプションを指定して、ログインする管 理ユーザーをファイアウォールで認証する方法を決定します。 • Local database [ ローカル データベース ] — ユーザーのログインおよびパスワード情報が ファイアウォール データベースに直接入力されます。 • Client Certificate [ クライアント証明書 ] — 既存のクライアント証明書でユーザーを認証します。 • Authentication profile [ 認証プロファイル ] — ユーザーを認証する既存の外部サーバーを以 下のいずれかのタイプから選択します。 – RADIUS(Remote Authentication Dial-in User Service) – TACACS+(Terminal Access Controller Access-Control System Plus) – LDAP(Lightweight Directory Access Protocol) – Kerberos 管理者アカウントに割り当てるロールによって、管理者がログイン後にファイアウォールで 実行可能な機能が決定されます。事前定義済みのロール、または詳細な権限を指定するカス タム ロール プロファイルを割り当てることができます。 詳細は、以下を参照してください。 • • • • • • 「管理者ロールの定義」 「パスワードプロファイルの定義」 「管理アカウントの作成」 「管理者用アクセスドメインの指定」— 管理者用の仮想システムドメインの定義手順 「認証の設定」 「証明書プロファイルの作成」— 管理者の証明書プロファイルの定義手順 管理者ロールの定義 Device > Admin Roles [ ࢹࣂࢫ > ⟶⌮⪅࣮ࣟࣝ ] 管理者ユーザーのアクセス権限や役割を定義する、カスタマイズ可能な管理者ロールプロファ イルを定義する場合は Device > Admin Roles [ デバイス > 管理者ロール ] を選択します。管理者 ロールプロファイルや動的ロールは「管理アカウントの作成」する際に割り当てを行います。 Panorama 管理者用の管理者ロールプロファイルを定義する場合は、 「Panorama 管理者ロールの設定」を参照してください ファイアウォールには一般的な用途で使用可能な 3 つのロールが事前定義されています。ま ずスーパーユーザーロールを使用して、ファイアウォールの初期設定および、セキュリティ 管理者、監査管理者、および暗号管理者の管理者アカウントを作成します。アカウントを作 成し、適切な共通基準管理者ロールを適用したら、それらのアカウントを使用してログイン します。連邦情報処理標準(FIPS)または情報セキュリティ国際評価基準(CC)モードのデ フ ォ ル ト の ス ー パ ー ユ ー ザ ー ア カ ウ ン ト は「admin」で、デ フ ォ ル ト の パ ス ワ ー ド は 「paloalto」に設定されています。標準操作モードでは、 「admin」のデフォルトのパスワー ドは「admin」です。事前定義の管理者ロールは、すべてのロールに監査証跡への読み取り専 用のアクセス権があるという点を除き、機能が重複しないように作成されています ( 読み取り と削除のフル アクセス権がある監査管理者は除く )。これらの管理者ロールは変更できず、以 下のように定義されています。 • auditadmin — 監査管理者は、ファイアウォールの監査データの定期的な確認を担当する 責任者です。 82 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 管理者アクセスの設定 • cryptoadmin — 暗号管理者は、ファイアウォールの安全な接続確立に関連する暗号要素 の設定と保守を担当する責任者です。 • securityadmin — セキュリティ管理者は、他の 2 つの管理ロールの受け持ちから外れる、 その他すべての管理タスク(ファイアウォールのセキュリティポリシーの作成など)を 担当する責任者です。 管理者ロールプロファイルを追加する場合は、Add [ 追加 ] をクリックし、以下の情報を指定 します。 表 29. 管理者ロール設定 フィールド 内容 名前 管理者ロールの識別に使用する名前を入力します ( 最大 31 文字 )。名前 の大文字と小文字は区別されます。また、一意の名前にする必要があり ます。文字、数字、スペース、ハイフン、およびアンダースコアのみを 使用してください。 内容 (任意)ロールの説明文を入力します(最大 255 文字)。 ロール 管理責任の範囲を選択します。 • Device [ デバイス ] — 1 つ以上の仮想システム(vsys)を持つかどうか に関らず、このロールはファイアウォール全体に適用されます。 • Virtual System [ 仮想システム ] — このロールはファイアウォール上の 特定の仮想システムに適用されます。仮想システムは「管理アカウン トの作成」する際に選択します。 Web UI アクセス権限を設定する場合は特定の Web インターフェイス機能のアイ コンをクリックします。 • Enable [ 有効化 ] — 選択した機能に読み書きアクセスができます。 • Read Only [ 読み取り専用 ] — 選択した機能に読み取り専用でアクセス できます。 • Disable [ 無効化 ] — 選択した機能にアクセスできません。 XML API 任意のXML API機能にアクセス権限を設定する場合はそれぞれのアイコ ン(Enable [ 有効化 ]、Read Only [ 読み取り専用 ]、または Disable [ 無 効化 ])をクリックします。 コマンド行 CLI アクセスのロールのタイプを選択します。デフォルトでは None [ な し ] に設定され、CLI へのアクセスは許可されていません。設定の選択肢 は Role [ ロール ] の範囲によって異なります。 • デバイス – superuser [ スーパーユーザー ] — ファイアウォールに対するフルア クセス権を持ち、新しい管理者アカウントや仮想システムを設定する ことができます。スーパーユーザー権限を持っていなければ、その他 のスーパーユーザー権限を持つ管理者を作成することができません。 – superreader [ スーパーリーダー] — ファイアウォールに読み取り専 用でアクセスできます。 – deviceadmin [ デバイス管理者 ] — 新しいアカウントまたは仮想シス テムの定義を除き、選択したファイアウォールに対するフルアクセ ス権が与えられます。 – devicereader [ デバイスリーダー] — パスワードプロファイル(アク セス不可)および管理者アカウント(ログイン中のアカウントのみ 表示可能)を除き、ファイアウォール設定の全項目に対し読み取り アクセスが許可されます。 • 仮想システム – vsysadmin [ 仮想システム管理者 ] — ファイアウォール上の特定の仮 想システムに対するフルアクセス権が付与されます。 – vsysadmin [ 仮想システムリーダー] — ファイアウォール上の特定の 仮想システムに対する読み取りアクセス権が付与されます。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 83 管理者アクセスの設定 デバイス管理 パスワードプロファイルの定義 Device > Password Profiles [ ࢹࣂࢫ > ࣃࢫ࣮࣡ࢻ ࣉࣟࣇࣝ ] ࠾ࡼࡧ Panorama > Password Profiles [Panorama > ࣃࢫ࣮࣡ࢻ ࣉࣟࣇࣝ ] Device > Password Profiles [ デバイス > パスワードプロファイル ] または Panorama > Password Profiles [Panorama > パスワードプロファイル ] から、個別のローカルアカウントに対して基 本的なパスワード要件を設定します。パスワードプロファイルは、すべてのローカルアカウ ントに対して設定済みのあらゆる「パスワード複雑性設定」要件に優先されます。 アカウントにパスワードプロファイルを適用する場合は、Device > Administrators [ デバイス > 管理者 ](ファイアウォールの場合)または Panorama > Administrators [Panorama > 管理者 ] (Panorama の場合)に移動し、アカウントを選択して、Password Profile [ パスワードプロファ イル ] ドロップダウンリストからプロファイルを選択します。 パスワード プロファイルを作成するには、Add [ 追加 ] をクリックし、以下の情報を指定しま す。 表 30. パスワード プロファイル設定 フィールド 内容 名前 パスワード プロファイルの識別に使用する名前を入力します (最大 31 文字)。 名前の大文字と小文字は区別されます。また、一意の名前にする必要があり ます。文字、数字、スペース、ハイフン、およびアンダースコアのみを使用 してください。 パスワード有効期限 (日数) 失効の警告期間 ( 日数 ) 設定された日数 (0 ∼ 365 日 ) で指定されたとおりに、管理者は定期的にパス ワードを変更する必要があります。たとえば、値を「90」に設定すると、管 理者に 90 日ごとにパスワードの変更を求めるプロンプトが表示されます。 失効の警告を 0 ∼ 30 日の範囲で設定して猶予期間を指定することもできま す。 パスワード有効期限を設定した場合は、この設定により、強制パスワード変 更日が近づくとユーザーがログインするたびにパスワードの変更を求めるプ ロンプトを表示することができます(範囲は 0 ∼ 30 日)。 失効後の管理者ログ イン回数 アカウントが失効した後に、管理者はここで指定した回数だけログインでき ます。たとえば、値を「3」に設定した場合、アカウントが失効しても、管理 者はアカウントがロックアウトされるまで 3 回ログインすることができます (範囲は 0 ∼ 3 回)。 失効後の猶予期間 ( 日数 ) アカウントが失効した後に、管理者はここで指定した日数だけログインでき ます(範囲は 0 ∼ 30 日)。 84 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 管理者アクセスの設定 ユーザー名とパスワードの要件 PAN-OS および Panorama アカウントのユーザー名とパスワードに使用できる有効な文字を 以下の表に示します。 表 31. ユーザー名とパスワードの有効な文字 アカウントの種類 制限 パスワード文字セット パスワード フィールドの文字セットには制限がありません。 リモート管理者、SSL-VPN、 ユーザー名には以下の文字を使用できません。 キャプティブ ポータル • バックティック (`) • 山かっこ (< と >) • アンパサンド (&) • アスタリスク (*) • アット記号 (@) • 疑問符 (?) • パイプ (|) • 一重引用符 (‘) • セミコロン (;) • 二重引用符 (") • ドル記号 ($) • かっこ ( '(' と ')' ) • コロン (':') ローカル管理者アカウント © Palo Alto Networks, Inc. ローカル ユーザー名には以下の文字を使用できます。 • 小文字 (a ∼ z) • 大文字 (A ∼ Z) • 数字 (0 ∼ 9) • アンダースコア (_) • ピリオド (.) • ハイフン (-) 注意 ! ログイン名をハイフン (-) で開始することはできません。 Web インターフェイス リファレンス ガイド、バージョン 7.1 • 85 管理者アクセスの設定 デバイス管理 管理アカウントの作成 Device > Administrators [ ࢹࣂࢫ > ⟶⌮⪅ ] ファイアウォールや Panorama へのアクセス権は管理者アカウントにより制御されます。ファ イアウォール管理者には、1 台のファイアウォールか、1 台のファイアウォール上の仮想シス テムへのフル アクセス権または読み取り専用アクセス権を付与できます。ファイアウォール には、フル アクセス権を持つ admin アカウントが事前に定義されています Panorama 管理者を定義する方法については「Panorama 管理アカウントの 作成」を参照してください。 以下の認証オプションがサポートされています。 • パスワード認証 — 管理者がユーザー名とパスワードを入力してログインします。認証に 証明書は不要です。認証プロファイルと併用することや、ローカル データベースの認証 に使用することができます。 • クライアント証明書認証(Web)— この認証方法ではユーザー名とパスワードが不要にな り、ファイアウォールへのアクセス認証は証明書のみで行えるようになります。 • 公開鍵認証(SSH)— 管理者がファイアウォールへのアクセスが必要なマシン上で公開 / 秘密鍵のペアを生成し、ファイアウォールに公開鍵をアップロードするので、管理者が ユーザー名とパスワードを入力しなくても、安全にアクセスできるようになります。 管理者を追加するには、Add [ 追加 ] をクリックして以下の情報を入力します。 表 32. 管理者アカウント設定 フィールド 内容 名前 管理者のログイン名 ( 最大 31 文字 ) を入力します。名前の大文字と 小文字は区別されます。また、一意の名前にする必要があります。 英字、数字、ハイフン、ピリオド、およびアンダースコアのみを使 用してください。ログイン名をハイフン (-) で開始することはでき ません。 認証プロファイル 管理 者 の認 証 の 認 証 プ ロ フ ァ イ ル を 選 択 し ま す。こ の 設 定 は、 RADIUS、TACACS+、LDAP、Kerberos、またはローカル データ ベース認証に使用できます。詳細は、 「認証プロファイルのセット アップ」を参照してください。 クライアント証明書認証のみ を使用(Web) Web アクセスのクライアント証明書認証を使用する場合は、このオ プションを選択します。このオプションを選択すると、ユーザー名 とパスワードは不要になり、ファイアウォールへのアクセス認証は 証明書のみで行えるようになります。 新しいパスワード 再入力 新しいパスワード 管理者のパスワード ( 最大 31 文字 ) を入力し、確認のためにパス ワードを再入力します。このパスワードは大文字と小文字を区別し ます。Setup > Management [ 設定 > 管理 ] から [ パスワード複雑性 設定 ] を適用することもできます。 注:ファイアウォール管理インターフェイスの安全性を維持するた め、管理パスワードを定期的に変更することをお勧めします。管理 パスワードには、小文字、大文字、および数字を混在させてくださ い。すべての管理者用の「パスワード複雑性設定」設定もファイア ウォール上から編集することができます。 86 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 管理者アクセスの設定 表 32. 管理者アカウント設定 (続) フィールド 内容 公開キーの認証 (SSH) の使用 SSH 公開キーの認証を使用する場合は、このオプションを選択しま す。Import Key [ キーのインポート ] をクリックし、公開キー ファ イルを参照して選択します。アップロードした鍵は、読み取り専用 テキスト エリアに表示されます。 サポート対象の鍵ファイルのフォーマットは、IETF SECSH と OpenSSH です。サポート対象の鍵アルゴリズムは、DSA (1024 ビッ ト ) と RSA (768 ∼ 4096 ビット ) です。 注:公開キー認証に失敗した場合、ファイアウォールは管理者に対 しユーザーネームとパスワードを入力するようメッセージを表示 します。 ロール この管理者にロールを割り当てます。このロールによって、管理者 が表示および変更できる内容が決まります。 Role Based [ ロールベース ] を選択した場合、ドロップダウンリス トからカスタムロールプロファイルを選択します。詳細は、 「管理 者ロールの定義」を参照してください。 Dynamic [ 動的 ] を選択した場合、以下の事前設定されたロールの いずれかを選択できます。 • Superuser [ スーパーユーザー ] — ファイアウォールに対するフ ルアクセス権を持ち、新しい管理者アカウントや仮想システムを 設定することができます。スーパーユーザー権限を持っていなけ れば、その他のスーパーユーザー権限を持つ管理者を作成するこ とができません。 • Superuser [ 読み取り専用スーパーユーザー ] — ファイアウォー ルに読み取り専用でアクセスできます。 • Device administrator [ デバイス管理者 ] — 新しいアカウントまた は仮想システムの定義を除き、選択したファイアウォールに対す るフルアクセス権が与えられます。 • Device administrator (read-only) [ 読み取り専用デバイス管理者 ] — パスワードプロファイル(アクセス不可)および管理者アカウン ト(ログイン中のアカウントのみ表示可能)を除き、ファイア ウォール設定の全項目に対し読み取りアクセスが許可されます。 • Virtual system administrator [ 仮想システム管理者 ] — ファイア ウォール上の特定の仮想システムに対するフルアクセス権を持ち ます(複数の仮想システムが有効化されている場合)。 • Virtual system administrator (read-only) [ 読み取り専用仮想シス テム管理者 ] — ファイアウォール上の特定の仮想システムに対す る読み取りアクセスが許可されます(複数の仮想システムが有効 化されている場合)。 仮想システム (仮想システム管理者ロール のみ) パスワードプロファイル © Palo Alto Networks, Inc. Add [ 追加 ] をクリックして、管理者が管理できる仮想システムを 選択します。 パスワード プロファイルを選択します ( 該当する場合 )。新しいパ スワード プロファイルを追加する方法については、 「パスワードプ ロファイルの定義」を参照してください。 Web インターフェイス リファレンス ガイド、バージョン 7.1 • 87 認証の設定 デバイス管理 管理者用アクセスドメインの指定 Device > Access Domain [ ࢹࣂࢫ > ࢡࢭࢫ ࢻ࣓ࣥ ] Panorama > Access Domain [Panorama > ࢡࢭࢫ ࢻ࣓ࣥ ] ファイアウォールまたは Panorama への管理者アクセスのドメインを指定する場合は、Device > Access Domain [ デバイス > アクセスドメイン ] または Panorama > Access Domain [Panorama > ア クセスドメイン ] を開きます。ファイアウォールでは、アクセス ドメインは RADIUS ベンダー 固有属性 (VSA) にリンクされており、管理者の認証に RADIUS サーバーが使用されている場 合にのみ、使用することができます (「RADIUS サーバーの設定」を参照 )。Panorama では、 アクセス ドメインをローカルまたは RADIUS VSA を使用して管理できます (「Panorama アク セスドメインの設定」を参照 )。 管理者がファイアウォールにログインしようとすると、ファイアウォールはRADIUSサーバー に管理者のアクセスドメインを問い合わせます。関連付けられているドメインがRADIUSサー バーに存在する場合はその情報が返され、管理者はファイアウォールまたは Panorama 上の 当該アクセスドメインで定義された仮想システムだけに管理が制限されます。RADIUS が使 用されていない場合、このページのアクセス ドメイン設定は無視されます。 表 33. アクセス ドメイン設定 フィールド 内容 名前 アクセス ドメインの名前 ( 最大 31 文字 ) を入力します。名前の大 文字と小文字は区別されます。また、一意の名前にする必要があり ます。文字、数字、ハイフン、アンダースコア、およびピリオドの みを使用してください。 仮想システム Available [ 使用可能 ] 列で仮想システムを選択し、Add [ 追加 ] を クリックして選択します。 アクセスドメインは、仮想システムをサポートするファイア ウォールのみにおいてサポートされます。 認証の設定 Web インターフェイスへの管理者アクセスや、キャプティブポータル、GlobalProtect ポータ ル、および GlobalProtect ゲートウェイへのエンドユーザーアクセスを含め、Palo Alto Networks のファイアウォールおよび Panorama において提供されるサービスの多くで認証が 必要となります。 • 「認証プロファイルのセットアップ」 • 「ローカルユーザーデータベースの作成」 • 「ローカルユーザーグループの追加」 • 「RADIUS サーバーの設定」 • 「TACACS+ サーバーの設定」 • 「LDAP サーバーの設定」 • 「Kerberos サーバーの設定」 • 「認証シーケンスのセットアップ」 88 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 認証の設定 認証プロファイルのセットアップ Device > Authentication Profile [ ࢹࣂࢫ > ㄆドࣉࣟࣇࣝ ] Panorama > Authentication Profile [Panorama > ㄆドࣉࣟࣇࣝ ] 管理者アカウント、SSL-VPN アクセス、およびキャプティブ ポータルに適用できる認証設定 を指定する場合は、Device > Authentication Profile [ デバイス > 認証プロファイル ] または Panorama > Authentication Profile [Panorama > 認証プロファイル ] ページを使用します。 ファイ アウォールおよび Panorama では、ローカル、RADIUS、TACACS+、LDAP、および Kerberos 認証サービスがサポートされています。 ヒント:認証プロファイルを設定したら、CLI コマンド「test authentication」を使用 して、ファイアウォールまたは Panorama 管理サーバーがバックエンド認証サーバーと通信 できるかどうか、および認証要求が成功しているかどうかを調べます。候補設定で認証テス トを実行できるため、コミットする前に設定が正しいかどうかを確認できます。 「test authentication」コマンドの使い方について、詳細は PAN-OS 7.1 管理者ガイドを参照し てください。 表 34. 認証プロファイル設定 フィールド 内容 名前 プロファイルの識別に使用する名前を入力します。名前の大文字と小文字は区別され、 文字、数字、スペース、ハイフン、アンダースコア、およびピリオドのみを含む最大 31 文字を指定できます。名前は、他の認証プロファイルや認証シーケンスに対して、現在 の Location [ 場所 ] ( ファイアウォールまたは仮想システム ) で一意である必要がありま す。 注意 ! マルチ仮想システムモード (マルチ vsys モード)のファイアウォールで、認証プ ロファイルの Location [ 場所 ] が vsys になっている場合、共有の場所の認証シーケンス と同じ名前を入力しないでください。同様に、プロファイルの Location [ 場所 ] が Shared [ 共有 ] になっている場合、vsys のシーケンスと同じ名前を入力しないでください。こ のようなケースでは、同じ名前の認証プロファイルおよびシーケンスをコミットするこ とはできますが、参照エラーが発生する可能性があります。 場所 プロファイルを使用できる範囲を選択します。複数の仮想システム (vsys) があるファイ アウォールの場合、vsys を選択するか、Shared [ 共有 ] ( すべての仮想システム ) を選 択します。その他の場合、Location [ 場所 ] を選択することはできません。この値は共 有(ファイアウォールの場合)または Panorama として事前に定義されています。プロ ファイルを保存すると、その Location [ 場所 ] を変更できなくなります。 Authentication [ 認証 ] タブ タイプ 認証タイプを選択します。 • None [ なし ] — ファイアウォールで認証を使用しません。 • Local Database [ ローカルデータベース ] — ファイアウォールの認証データベースを 使用します。 • RADIUS — 認証に RADIUS サーバーを使用します。 • TACACS+ — 認証に TACACS+ サーバーを使用します。 • LDAP — 認証に LDAP を使用します。 • Kerberos — 認証に Kerberos を使用します。 サーバー プロファイル 認証の Type [ タイプ ] が RADIUS、TACACS+、LDAP、または Kerberos の場合、ドロッ プダウンリストから認証サーバー プロファイルを選択します。「RADIUS サーバーの設 定」、「TACACS+ サーバーの設定」、「LDAP サーバーの設定」、および「Kerberos サー バーの設定」を参照してください。 ユーザーグループの取 得 認証の Type [ タイプ ] が RADIUS の場合にファイアウォールへのアクセス権を持つグ ループを定義する場合は、RADIUS Vendor-Specific Attributes (VSAs) [RADIUS ベン ダー固有属性(VSA)] を選択します。 ログイン属性 認証の Type [ タイプ ] が LDAP の場合、ユーザーを一意に識別し、そのユーザーのログ イン ID として機能する LDAP ディレクトリ属性を入力します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 89 認証の設定 デバイス管理 表 34. 認証プロファイル設定 (続) フィールド 内容 パスワード失効の警告 認証の Type [ タイプ ] が LDAP で、認証プロファイルが GlobalProtect ユーザー用であ る場合、パスワードの有効期限が切れる何日前に通知メッセージをユーザーに表示して パスワードの期限が x 日後に切れることを警告するのか、日数を入力します。デフォル トでは、通知メッセージはパスワードの有効期限の 7 日前から表示されます ( 範囲は 1 ∼ 255 日 )。パスワードの期限が切れたユーザーは、VPN にアクセスできなくなります。 推奨設定:pre-logon 接続方式を使用するようにエージェントを設定することも検討して みてください。これにより、パスワードの期限が切れた後でも、ユーザーはドメインに 接続してパスワードを変更できます。 推奨設定:ユーザーがパスワードを期限切れにしてしまった場合、管理者は仮の LDAP パスワードを割り当て、ユーザーが VPN にログインできるようにすることもできます。 このワークフローでは、ポータル設定の Cookie authentication for config refresh [ 設定 更新のための Cookie 認証 ] を Authentication Modifier [ 認証修飾子 ] に設定することを お勧めしています(このように設定しない場合、仮のパスワードを使用してポータルへ の認証を行うことができますが、ゲートウェイログインが失敗してしまい、VPN へのア クセスが行えません)。 Cookie 認証と pre-logon の詳細は、「GlobalProtect の設定」を参照してください。 ユーザー ドメイン および ユーザー名修飾子 ファイアウォールは、User Domain [ ユーザードメイン ] と Username Modifier [ ユー ザー名修飾子 ] の値を結合して、ユーザーがログイン時に入力するドメイン / ユーザー 名の文字列を変更します。ファイアウォールは、認証に変更した文字列を使用し、UserID グループマッピングに User Domain [ ユーザードメイン ] の値を使用します。以下の オプションから選択します。 • 未変更のユーザー入力のみを送信するには、User Domain [ ユーザー ドメイン ] を空 白 ( デフォルト ) のままにして、Username Modifier [ ユーザー名修飾子 ] を変数 %USERINPUT% ( デフォルト ) に設定します。 • ユーザー入力の前にドメインを追加するには、User Domain [ ユーザー ドメイン ] を入 力して、Username Modifier [ ユーザー名修飾子 ] を %USERDOMAIN%\%USERINPUT% に設定します。 • ユーザー入力の後にドメインを追加するには、User Domain [ ユーザー ドメイン ] を入 力して、Username Modifier [ ユーザー名修飾子 ] を %USERINPUT%@%USERDOMAIN% に設定します。 注:Username Modifier [ ユーザー名修飾子 ] に %USERDOMAIN% 変数が含まれている 場合、ユーザーが入力したドメイン文字列は User Domain [ ユーザー ドメイン ] の値に 置き換わります。%USERDOMAIN% 変数を指定して User Domain [ ユーザードメイン ] を空白のままにすると、ファイアウォールはユーザーが入力したドメイン文字列を削除 します。ファイアウォールは、ドメイン名を User-ID グループマッピングに適した NetBIOS 名に解決します。これは親ドメインと子ドメインの両方に適応されます。User Domain [ ユーザー ドメイン ] の修飾子は、自動的に導出される NetBIOS 名よりも優先 されます。 Kerberos レルム ネットワークで Kerberos シングル サインオン (SSO) がサポートされている場合、 Kerberos Realm [Kerberos レルム ] ( 最大 127 文字 ) を入力します。これは、ユーザー ログイン名のホスト名部分です。例:ユーザー アカウント名が [email protected] の場合、レルムは EXAMPLE.LOCAL になります。 90 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 認証の設定 表 34. 認証プロファイル設定 (続) フィールド 内容 Kerberos キータブ ネットワークで Kerberos シングルサインオン(SSO)がサポートされている場合、Import [ インポート ] リンクをクリックして Browse [ 参照 ] をクリックし、キータブ ファイル を見つけて OK をクリックします。キータブには、SSO 認証に必要となる、ファイア ウォールの Kerberos アカウント情報(プリンシパル名およびハッシュされたパスワー ド)が含まれています。各認証プロファイルに、1 つのキータブを含めることができま す。ファイアウォールは、認証中にまずキータブを使用して SSO を確立しようとしま す。これに成功した場合、アクセスを試行しているユーザーが「許可リスト」に含まれ ていれば、認証は即座に成功します。含まれていない場合、認証プロセスは、指定した Type [ タイプ ] の手動(ユーザー名 / パスワード)認証にフォールバックします。タイ プには Kerberos 以外のタイプを指定することの可能です。キータブ作成の詳細につい ては PAN-OS 7.0 管理者ガイドを参照してください。 注意 ! ファイアウォールが FIPS/CC モードの場合、アルゴリズムは aes128-cts-hmac-sha196 または aes256-cts-hmac-sha1-96 に設定されている必要があります。それ以外の場合、 des3-cbc-sha1 または arcfour-hmac も使用できます。SSO を有効にするには、キータブの アルゴリズムと、チケット発行サービスからクライアントに発行されるサービス チケッ トのアルゴリズムが一致している必要があります。一致していないと、SSO プロセスは 失敗します。サービス チケットで使用されるアルゴリズムは、Kerberos 管理者が決定し ます。 Advanced [ 詳細 ] タブ 許可リスト Add [ 追加 ] をクリックして all [ すべて ] を選択するか、このプロファイルでの認証を 許可する特定のユーザーおよびグループを選択します。ここでエントリを追加しない場 合、ユーザーは認証を行うことができません。 注:User Domain [ ユーザードメイン ] の値を入力した場合、Allow List [ 許可リスト ] でドメインを指定する必要はありません。たとえば、User Domain [ ユーザー ドメイン ] が businessinc で、ユーザー admin1 を Allow List [ 許可リスト ] に追加する場合、 「admin1」 と入力すれば、 「businessinc\admin1」と入力したことになります。ディレクトリサービ スにすでに存在するグループを指定するか、LDAP フィルタに基づいてカスタムグルー プを指定できます。 エントリを削除する場合は、エントリを選択して Delete [ 削除 ] をクリックします。 最大試行回数 フィアアウォールで許容されるログイン試行回数(1 ∼ 10)を入力します。この回数を 超えるとユーザーアカウントはロックアウトされます。値を 0 ( デフォルト ) にすると、 無制限になります。 注意 ! Failed Attempts [ 最大試行回数 ] を 0 以外の値に設定しても、Lockout Time [ ロッ クアウト時間 ] を 0 のままにしておくと、Failed Attempts [ 最大試行回数 ] は無視され、 ユーザーはロックアウトされません。 ロックアウト時間 ユーザーが Failed Attempts [ 最大試行回数 ] の数値に達した後にファイアウォールが ユーザーアカウントをロックアウトする時間(0 ∼ 60 分)を入力します。値を 0 ( デフォ ルト ) にすると、管理者が手動でユーザー アカウントのロックを解除するまでロックア ウトが適用されます。 注意 ! Lockout Time [ ロックアウト時間 ] を 0 以外の値に設定しても、Failed Attempts [ 最大試行回数 ] を 0 のままにしておくと、Lockout Time [ ロックアウト時間 ] は無視さ れ、ユーザーはロックアウトされません。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 91 認証の設定 デバイス管理 ローカルユーザーデータベースの作成 Device > Local User Database > Users [ࢹࣂࢫ > ࣮ࣟ࢝ࣝ ࣮ࣘࢨ࣮ ࢹ࣮ࢱ࣮࣋ࢫ > ࣮ࣘ ࢨ࣮ ] リモートアクセスユーザー、ファイアウォール管理者、およびキャプティブポータルユーザー の認証情報を格納するためのローカルデータベースをファイアウォール上に設定できます。 この設定において外部の認証サーバーは必要なく、アカウント管理はすべてファイアウォー ル上から行われます。 表 35. ローカル ユーザー設定 フィールド 内容 名前 ユーザーを識別する名前を入力します ( 最大 31 文字 )。名前の大文字と小 文字は区別されます。また、一意の名前にする必要があります。文字、数 字、スペース、ハイフン、およびアンダースコアのみを使用してください。 場所 ユーザー アカウントを使用できる範囲を選択します。複数の仮想システム (vsys) があるファイアウォールの場合、vsys を選択するか、Shared [ 共有 ] ( すべての仮想システム ) を選択します。その他の場合、Location [ 場所 ] を 選択することはできません。この値は共有(ファイアウォールの場合)ま たは Panorama として事前に定義されています。ユーザーアカウントを保 存すると、その Location [ 場所 ] を変更できなくなります。 モード 以下のいずれかの認証オプションを指定します。 • Password [パスワード] — ユーザーのパスワードを入力および確認します。 • Password Hash [ パスワード ハッシュ ] — ハッシュされたパスワード文 字列を入力します。 有効化 ユーザーアカウントをアクティベートする場合は、このオプションを選択 します。 ユーザー情報をローカルデータベースに追加する場合は、Device > Local User Database > Users [ デバイス > ローカルユーザーデータベース ] を開きます。キャプティブ ポータルを設定する ときには、最初にローカル アカウントを作成し、このアカウントをユーザーグループに追加 し、この新しいグループを使用して認証プロファイルを作成します。次に、Device > User Authentication > Captive Portal [ デバイス > ユーザー認証 > キャプティブ ポータル ] からキャプ ティブ ポータルを有効にし、認証プロファイルを選択します。この設定を行ったら、Policies > Captive Portal [ ポリシー > キャプティブ ポータル ] からポリシーを作成できます。詳細は、 「PAN-OS 統合 User-ID エージェントの管理」を参照してください。 92 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 認証の設定 ローカルユーザーグループの追加 Device > Local User Database > User Groups [ ࢹࣂࢫ > ࣮ࣟ࢝ࣝ ࣮ࣘࢨ࣮ ࢹ࣮ࢱ࣮࣋ ࢫ > ࣮ࣘࢨ࣮ࢢ࣮ࣝࣉ ] ユーザーグループ情報をローカルデータベースに追加する場合は、Device > Local User Database > User Groups [ デバイス > ローカルユーザーデータベース > ユーザーグループ ] ページを使用し ます。 表 36. ローカル ユーザーグループ設定 フィールド 内容 名前 グループの識別に使用する名前 ( 最大 31 文字 ) を入力します。名前の大文 字と小文字は区別されます。また、一意の名前にする必要があります。文 字、数字、スペース、ハイフン、およびアンダースコアのみを使用してく ださい。 場所 ユーザーグループを使用できる範囲を選択します。複数の仮想システム (vsys) があるファイアウォールの場合、vsys を選択するか、Shared [ 共有 ] ( すべての仮想システム ) を選択します。その他の場合、Location [ 場所 ] を 選択することはできません。この値は共有(ファイアウォールの場合)また は Panorama として事前に定義されています。ユーザーグループを保存する と、その Location [ 場所 ] を変更できなくなります。 すべてのローカル ユー ザー Add [ 追加 ] をクリックし、グループに追加するユーザーを選択します。 RADIUS サーバーの設定 Device > Server Profiles > RADIUS [ ࢹࣂࢫ > ࢧ࣮ࣂ࣮ ࣉࣟࣇࣝ > RADIUS] Panorama > Server Profiles > RADIUS [Panorama > ࢧ࣮ࣂ࣮ ࣉࣟࣇࣝ > RADIUS] RADIUS サーバーが参照する認証プロファイルの設定を変更する場合は、Device > Server Profiles > RADIUS [ デバイス > サーバープロファイル > RADIUS] または Panorama > Server Profiles > RADIUS [Panorama > サーバープロファイル > RADIUS] のページを開きます( 「認証 プロファイルのセットアップ」を参照)。 表 37. RADIUS サーバー設定 フィールド 内容 プロファイル名 サーバー プロファイルの識別に使用する名前を入力します ( 最大 31 文字 )。 名前の大文字と小文字は区別されます。また、一意の名前にする必要があり ます。文字、数字、スペース、ハイフン、およびアンダースコアのみを使用 してください。 場所 プロファイルを使用できる範囲を選択します。複数の仮想システム (vsys) があるファイアウォールの場合、vsys を選択するか、Shared [ 共有 ] ( す べての仮想システム ) を選択します。その他の場合、Location [ 場所 ] を選 択することはできません。この値は共有(ファイアウォールの場合)また は Panorama として事前に定義されています。プロファイルを保存すると、 その Location [ 場所 ] を変更できなくなります。 管理者使用のみ 管理者アカウントでのみ認証にプロファイルを使用できるように指定する には、このオプションを選択します。複数の仮想システムを持つファイア ウォールでは、Location [ 場所 ] が Shared [ 共有 ] になっている場合にの みこのオプションが表示されます。 タイムアウト 認証要求がタイムアウトするまでの時間を秒単位で入力します(範囲は 1 ∼ 30、デフォルトは 3)。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 93 認証の設定 デバイス管理 表 37. RADIUS サーバー設定 (続) フィールド 内容 再試行 タイムアウト後に行われる自動再試行回数を入力します(範囲は 1 ∼ 5、デ フォルトは 3)。自動試行がこの回数に達すると、要求は失敗します。 サーバー 適切な順序で各サーバーの情報を設定します。 • Name [ 名前 ] — サーバーの識別に使用する名前を入力します。 • RADIUS Server [RADIUS サーバー ] — サーバーの IP アドレスまたは FQDN を入力します。 • Secret/Confirm Secret [ シークレット / 再入力 シークレット ] — ファイ アウォールと RADIUS サーバー間の接続の検証と暗号化に使用する鍵 を入力し、確認します。 • Port [ ポート ] — 認証要求に使用するサーバーのポート ( デフォルトは 1812) を入力します。 TACACS+ サーバーの設定 Device > Server Profiles > TACACS+ [ ࢹࣂࢫ > ࢧ࣮ࣂ࣮ ࣉࣟࣇࣝ > TACACS+] Panorama > Server Profiles > TACACS+ [Panorama > ࢧ࣮ࣂ࣮ ࣉࣟࣇࣝ > TACACS+] 認証プロファイルで参照される Terminal Access Controller Access-Control System Plus (TACACS+)サーバーを設定する場合は、Device > Server Profiles > TACACS+ [ デバイス > サー バープロファイル > TACACS+] または Panorama > Server Profiles > TACACS+ [Panorama > サー バープロファイル > TACACS+] のページを使用します(「認証プロファイルのセットアップ」 を参照)。 表 38. TACACS+ サーバー設定 フィールド 内容 プロファイル名 サーバー プロファイルの識別に使用する名前を入力します ( 最大 31 文字 )。 名前の大文字と小文字は区別されます。また、一意の名前にする必要があ ります。文字、数字、スペース、ハイフン、およびアンダースコアのみを 使用してください。 場所 プロファイルを使用できる範囲を選択します。複数の仮想システム (vsys) があるファイアウォールの場合、vsys を選択するか、Shared [ 共有 ] ( す べての仮想システム ) を選択します。その他の場合、Location [ 場所 ] を選 択することはできません。この値は共有(ファイアウォールの場合)また は Panorama として事前に定義されています。プロファイルを保存すると、 その Location [ 場所 ] を変更できなくなります。 管理者使用のみ 管理者アカウントでのみ認証にプロファイルを使用できるように指定する には、このオプションを選択します。マルチ vsys ファイアウォールでは、 Location [ 場所 ] が Shared [ 共有 ] になっている場合にのみこのオプショ ンが表示されます。 タイムアウト 認証要求がタイムアウトするまでの時間を秒単位で入力します(範囲は 1 ∼ 20、デフォルトは 3)。 すべての認証に単一接 続を使用 すべての認証で同じ TCP セッションを使用する場合は、このオプションを 選択します。このオプションでは、認証イベントごとに個別の TCP セッ ションを開始および破棄するために必要な処理を回避できるため、パ フォーマンスが向上します。 94 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 認証の設定 表 38. TACACS+ サーバー設定 (続) フィールド 内容 サーバー Add [ 追加 ] をクリックして、TACACS+ サーバーごとに以下の設定を指定 します。 • Name [ 名前 ] — サーバーの識別に使用する名前を入力します。 • TACACS+ Server [TACACS+ サーバー ] — TACACS+ サーバーの IP アド レスまたは FQDN を入力します。 • Secret/Confirm Secret [ シークレット / 再入力 シークレット ] — ファイ アウォールと TACACS+ サーバー間の接続の検証と暗号化に使用する鍵 を入力し、確認します。 • Port [ ポート ] — 認証要求に使用するサーバーのポート ( デフォルトは 49) を入力します。 LDAP サーバーの設定 Device > Server Profiles > LDAP [ ࢹࣂࢫ > ࢧ࣮ࣂ࣮ ࣉࣟࣇࣝ > LDAP] Panorama > Server Profiles > LDAP [Panorama > ࢧ࣮ࣂ࣮ ࣉࣟࣇࣝ > LDAP] LDAP サーバーが参照する認証プロファイルの設定を変更する場合は、Device > Server Profiles > LDAP [ デバイス > サーバープロファイル > LDAP] または Panorama > Server Profiles > LDAP [Panorama > サーバープロファイル > LDAP] のページを開きます(「認証プロファイルのセッ トアップ」を参照)。 表 39. LDAP サーバー設定 フィールド 内容 プロファイル名 プロファイルの識別に使用する名前を入力します ( 最大 31 文字 )。名前の 大文字と小文字は区別されます。また、一意の名前にする必要があります。 文字、数字、スペース、ハイフン、およびアンダースコアのみを使用して ください。 場所 プロファイルを使用できる範囲を選択します。複数の仮想システム (vsys) があるファイアウォールの場合、vsys を選択するか、Shared [ 共有 ] ( す べての仮想システム ) を選択します。その他の場合、Location [ 場所 ] を選 択することはできません。この値は共有(ファイアウォールの場合)また は Panorama として事前に定義されています。プロファイルを保存すると、 その Location [ 場所 ] を変更できなくなります。 管理者使用のみ 管理者アカウントでのみ認証にプロファイルを使用できるように指定する には、このオプションを選択します。複数の仮想システムを持つファイア ウォールでは、Location [ 場所 ] が Shared [ 共有 ] になっている場合にの みこのオプションが表示されます。 サーバー LDAP サーバーごとに、Add [ 追加 ] をクリックしてホストの Name [ 名前 ]、 IP アドレスまたは FQDN (LDAP Server [LDAP サーバー ])、および Port [ ポート ] ( デフォルトは 389) を入力します。 タイプ ドロップダウンリストからサーバータイプを選択します。 ベース DN ユーザーまたはグループ情報の検索を絞り込むための、ディレクトリ サー バーのルート コンテクストを指定します。 バインド DN ディレクトリ サーバーのログイン名 ( 識別名 ) を指定します。 パスワード/パスワード 再入力 バインド アカウントのパスワードを指定します。エージェントは暗号化し たパスワードを設定ファイルに保存します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 95 認証の設定 デバイス管理 表 39. LDAP サーバー設定 (続) フィールド 内容 バインドのタイムアウ ト ディレクトリ サーバーに接続するときの時間制限を指定します(1 ∼ 30 秒、デフォルトは 30 秒)。 検索のタイムアウト ディレクトリ検索を実行するときの時間制限を指定します(1 ∼ 30 秒、デ フォルトは 30 秒)。 再試行間隔 システムが LDAP サーバーへの接続試行に失敗してから次に接続を試みる までの間隔を秒単位で指定します(範囲は 1 ∼ 3600、デフォルトは 60)。 SSL/TLS で保護された 接続を要求 ファイアウォールで SSL または TLS を使用してディレクトリサーバーと通 信する場合は、このオプションを選択します。プロトコルは、サーバー ポートによって異なります。 • 389(デフォルト)— TLS(デバイスは具体的に、StartTLS 操作を使用し て、最初のプレーンテキスト接続を TLS にアップグレードします) • 636 — SSL • その他の任意のポート — ファイアウォールはまず TLS の使用しようと 試みます。ディレクトリサーバーで TLS がサポートされていない場合、 ファイアウォールは SSL にフォールバックします。 このオプションはデフォルトで選択されています。 SSL セッションのサー バー証明書の確認 SSL/TLS 接続のためにディレクトリサーバーから提供される証明書をファ イアウォールで検証する場合は、このオプションを選択します(デフォル トではオフ)。証明書のについて、ファイアウォールは以下の 2 点を検証し ます。 • 証明書が信頼されていて有効であること。ファイアウォールで証明書を 信頼する場合は、そのルート認証局(CA)とすべての中間証明書が Device > Certificate Management > Certificates > Device Certificates [ デバイス > 証明書の管理 > 証明書 > デバイス証明書] の証明書ストアに含まれてい る必要があります。 • 証明書名は LDAP サーバーのホストの Name [ 名前 ] と一致していなけ ればなりません。ファイアウォールは、まず証明書の「サブジェクト代 替名」属性が一致しているかどうかをチェックし、次に「サブジェクト DN」属性を試行します。証明書でディレクトリ サーバーの FQDN が使 用されている場合、LDAP Server [LDAP サーバー ] フィールドに FQDN を使用しないと、名前の照合に失敗します。 検 証 に 失 敗 す る と、接 続 で き ま せ ん。こ の 検 証 を 有 効 に す る 場 合 は、 Require SSL/TLS secured connection [SSL/TLS で保護された接続を要求 ] を選択する必要があります。 96 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 認証の設定 Kerberos サーバーの設定 Device > Server Profiles > Kerberos [ ࢹࣂࢫ > ࢧ࣮ࣂ࣮ ࣉࣟࣇࣝ > Kerberos] Panorama > Server Profiles > Kerberos [Panorama > ࢧ࣮ࣂ࣮ ࣉࣟࣇࣝ > Kerberos] ユーザーがネイティブに Active Directory ドメインコントローラまたは Kerberos V5 準拠の認 証サーバーの認証を受けられるようにするためにサーバープロファイルを設定する場合は、 Device > Server Profiles > Kerberos [ デバイス > サーバープロファイル > Kerberos] または Panorama > Server Profiles > Kerberos [Panorama > サーバープロファイル > Kerberos] のページ を使用します。Kerberos サーバー プロファイルを設定したら、認証プロファイルに割り当て ることができます (「認証プロファイルのセットアップ」を参照 )。 Kerberos 認証を使用するには、IPv4 アドレスでバックエンド Kerberos サー バーにアクセスできる必要があります。IPv6 アドレスはサポートされませ ん。 表 40. Kerberos サーバー設定 フィールド 内容 プロファイル名 サーバーを識別する名前を入力します ( 最大 31 文字 )。名前の大文字と小 文字は区別されます。また、一意の名前にする必要があります。文字、数 字、スペース、ハイフン、およびアンダースコアのみを使用してください。 場所 プロファイルを使用できる範囲を選択します。複数の仮想システム (vsys) があるファイアウォールの場合、vsys を選択するか、Shared [ 共有 ] ( す べての仮想システム ) を選択します。その他の場合、Location [ 場所 ] を選 択することはできません。この値は共有(ファイアウォールの場合)また は Panorama として事前に定義されています。プロファイルを保存すると、 その Location [ 場所 ] を変更できなくなります。 管理者使用のみ 管理者アカウントでのみ認証にプロファイルを使用できるように指定する には、このオプションを選択します。複数の仮想システムを持つファイア ウォールでは、Location [ 場所 ] が Shared [ 共有 ] になっている場合にの みこのオプションが表示されます。 サーバー Kerberos サーバーごとに、Add [ 追加 ] をクリックして以下の設定を指定 します。 • Name [ 名前 ] — サーバーの名前を入力します。 • Kerberos Server [Kerberos サーバー ] — サーバーの IPv4 アドレスまた は FQDN を入力します。 • Port [ ポート ] — サーバーと通信するためのポート ( デフォルトは 88) を 入力します ( 任意 )。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 97 認証の設定 デバイス管理 認証シーケンスのセットアップ Device > Authentication Sequence [ ࢹࣂࢫ > ㄆドࢩ࣮ࢣࣥࢫ ] Panorama > Authentication Sequence [ ࢹࣂࢫ > ㄆドࢩ࣮ࢣࣥࢫ ] 一部の環境では、ユーザー アカウントが複数のディレクトリ内に存在します ( たとえば、ロー カル データベース、LDAP、RADIUS)。認証シーケンスとはログインの際にファイアウォー ルが使用する一連の認証プロファイルを指します。ファイアウォールは 1 つのプロファイル で正常にユーザーが認証されるまで、リストの上から下へ順番に、認証、Kerberos シングル サインオン、許可リスト、アカウントロックアウト値を含めたプロファイルをすべて試行し、 各ユーザーに適用します。シーケンスのすべてのプロファイルで認証できなかった場合にの み、ファイアウォールはアクセスを拒否します。認証プロファイルの詳細は、 「認証プロファ イルのセットアップ」を参照してください。 表 41. 認証シーケンス設定 フィールド 内容 名前 シーケンスの識別に使用する名前を入力します。名前の大文字と小文字は 区別され、文字、数字、スペース、ハイフン、アンダースコア、およびピ リオドのみを含む最大 31 文字を指定できます。名前は、他の認証シーケン スや認証プロファイルに対して、現在の Location [ 場所 ] ( ファイアウォー ルまたは仮想システム ) で一意である必要があります。 注意 ! 複数の仮想システムがあるファイアウォールで、認証シーケンスの Location [ 場所 ] が仮想システム(vsys)になっている場合、共有の場所の 認証プロファイルと同じ名前を入力しないでください。同様に、シーケン スの Location [ 場所 ] が Shared [ 共有 ] になっている場合、vsys のプロファ イルと同じ名前を入力しないでください。このようなケースでは、同じ名 前の認証シーケンスおよびプロファイルをコミットすることはできます が、参照エラーが発生する可能性があります。 場所 シーケンスを使用できる範囲を選択します。複数の仮想システム (vsys) が あるファイアウォールの場合、vsys を選択するか、Shared [ 共有 ] ( すべ ての仮想システム ) を選択します。その他の場合、Location [ 場所 ] を選択 することはできません。この値は共有(ファイアウォールの場合)または Panorama として事前に定義されています。シーケンスを保存すると、そ の Location [ 場所 ] を変更できなくなります。 ドメインを使用して認 証プロファイルを決定 します ファイアウォールで、シーケンスに関連付けられている認証プロファイル の User Domain [ ユーザードメイン ] または Kerberos Realm [Kerberos レ ルム ] を使用して、ユーザーがログイン中に入力するドメイン名を照合し、 そのプロファイルを使用してユーザーを認証する場合は、このオプション を選択(デフォルト)します。ファイアウォールが照合に使用するユーザー 入力は、ユーザー名の前のテキスト(区切り文字は円記号)またはユーザー 名の後のテキスト(区切り文字は @)になります。一致が見つからない場 合、ファイアウォールはシーケンスの認証プロファイルを上から下へ順に 試行します。 認証プロファイル Add [ 追加 ] をクリックし、シーケンスに追加する各認証プロファイルのド ロップダウンリストから選択します。リストの順番を変更するには、プロ ファイルを選択して Move Up [ 上へ ] または Move Down [ 下へ ] をクリッ クします。プロファイルを削除するには、プロファイルを選択して Delete [ 削除 ] をクリックします。 98 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 ログ記録の管理 ログ記録の管理 ファイアウォールのログは FTP または SCP サーバーへエクスポートするか、Panorama へ転 送することでバックアップをとることができます。また、ファイアウォールおよび Panorama のログを外部デバイスに転送し、重要なイベントに関する通知を受信したり、モニターされ た情報を専用の長期ストレージをもつシステムでアーカイブ化したり、サードパーティ製の セキュリティ監視ツールと情報を統合することもできます。ファイアウォールおよび Panorama は外部サービスへログを転送する前に、それらを必要なフォーマット(syslog メッ セージ、SNMP トラップ、または電子メール通知など)へ自動的に変換します。ログは必要 に応じてタイプ別に削除することができます。 • 「ログのエクスポートのスケジューリング」 • 「ログ設定の変更とログの消去」 • 「SNMP トラップの宛先の設定」 • 「Syslog サーバーの設定」 • 「電子メール通知設定の指定」 • 「Netflow 設定の編集」 ログのエクスポートのスケジューリング Device > Scheduled Log Export [ ࢹࣂࢫ > ࢫࢣࢪ࣮ࣗࣝタᐃࡉࢀࡓࣟࢢࡢ࢚ࢡࢫ࣏࣮ࢺ ] ログのエクスポートをスケジューリングして File Transfer Protocol(FTP)サーバーに CSV 形 式で保存するか、Secure Copy(SCP)を使用してファイアウォールとリモートホスト間で データを安全に転送できます。ログのプロファイルには、スケジュールと FTP サーバーの情 報が含まれています。たとえば、プロファイルを使用して、毎日 3:00AM に前日のログを収 集して特定の FTP サーバーに保存するように指定できます。 Add [ 追加 ] をクリックし、以下の詳細を入力します。 表 42. スケジュール設定されたログのエクスポート設定 フィールド 内容 名前 プロファイルの識別に使用する名前を入力します ( 最大 31 文字 )。名前の 大文字と小文字は区別されます。また、一意の名前にする必要があります。 文字、数字、スペース、ハイフン、およびアンダースコアのみを使用して ください。 プロファイルを作成した後でこの名前を変更することはできません。 内容 説明 ( 最大 255 文字 ) を入力します ( 任意 )。 有効 ログのエクスポートのスケジューリングを有効にする場合は、このオプ ションを選択します。 ログ タイプ ログのタイプ (traffic、threat、url、data、または hipmatch) を選択します。 デフォルトは traffic です。 エクスポートの開始予 定時刻 ( 毎日 ) エクスポートを開始する時間 (hh:mm) を 24 時間形式 (00:00 ∼ 23:59) で入 力します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 99 ログ記録の管理 デバイス管理 表 42. スケジュール設定されたログのエクスポート設定(続) フィールド 内容 プロトコル ファイアウォールからリモート ホストへのログのエクスポートに使用す るプロトコルを選択します。SCP を使用すると、ログを安全にエクスポー トできますが、安全なプロトコルではない FTP も使用できます。 SCP を使用している場合は、Test SCP server connection [SCP サーバー接 続のテスト ] をクリックして、ファイアウォールと SCP サーバー間の接続 テストを行い、SCP サーバーのホストキーを検証して受け入れる必要があ ります。 ホスト名 エクスポートに使用する FTP サーバーのホスト名または IP アドレスを入 力します。 ポート FTP サーバーで使用するポート番号を入力します。デフォルトは 21 です。 パス エクスポートした情報の保存に使用する FTP サーバー上のパスを指定し ます。 FTP パッシブモードの 有効化 エクスポートにパッシブモードを使用する場合は、このオプションを選択 します。デフォルトでは、このオプションはオンになっています。 ユーザー名 FTP サーバーへのアクセスに使用するユーザー名を入力します。デフォル トは anonymous です。 パスワード FTP サーバーへのアクセスに使用するパスワードを入力します。ユーザー が「anonymous」の場合、パスワードは必要ありません。 ログ設定の変更とログの消去 Device > Log Settings [ ࢹࣂࢫ > ࣟࢢタᐃ ] アラームの設定、ログのクリア、または Panorama や外部デバイスに向けたログの転送を有 効化する場合は Device > Log Settings [ デバイス > ログ設定 ] を開きます。 • ログの転送先の設定 • アラーム設定の定義 • ログのクリア ログの転送先の設定 ログを以下の宛先に転送する場合はこのページを使用してください。 • Panorama — Panorama 管理サーバーのアドレスを指定する方法については、 「Panorama 設定:Device > Setup > Management [ デバイス > セットアップ > 管理 ]」を参照してくだ さい。 • SNMP トラップサーバー — SNMP トラップサーバーを指定する場合は、「SNMP トラッ プの宛先の設定」を参照してください。 • Syslog サーバー — Syslog サーバーを指定する場合は、「Syslog サーバーの設定」を参照 してください。 • 電子メールサーバー — 電子メールの受信者とサーバーを指定する方法については、「電 子メール通知設定の指定」を参照してください。 以下のログタイプを転送することができます。 トラフィック、脅威、および WildFire ログの宛先を設定する方法について は、「ログの転送」を参照してください。 100 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 ログ記録の管理 表 43. ログタイプ ログ タイプ 内容 設定ログ ファイアウォールまたは Panorama に設定の変更を記録します。各エン トリには、日時、管理者のユーザー名、変更を行ったユーザーの IP アド レス、クライアントのタイプ(XML、Web または CLI)、実行されたコ マンドのタイプ、コマンドが成功したか失敗したか、設定パス、および 変更前後の値が含まれています。 システム ログ システムイベント(HA の障害、リンク状態の変更、および管理者のファ イアウォールへのログイン / ファイアウォールからのログアウトなど) を 表示します。 ログの重要度に応じて個別の宛先を設定することができます。 • Critical [ 重要 ] — HA フェイルオーバーなどのハードウェア障害やリ ンク障害です。 • High [ 高 ] — 外部デバイス (Syslog サーバーや RADIUS サーバーなど ) との接続の切断など、深刻な問題です。 • Medium [ 中 ] — アンチウイルス パッケージのアップグレードなど、中 レベルの通知です。 • Low [ 低 ] — ユーザー パスワードの変更など、それほど重要ではない 通知です。 • Informational [ 通知 ] — ログイン / ログオフ、管理者名やパスワードの 変更、設定の変更、および重大度レベルに含まれない他のすべてのイ ベントです。 相関ログ フィアアウォールおよび Panorama は、相関オブジェクトに定義したパ ターンやしきい値がアプリケーション統計、トラフィック、脅威、デー タフィルタリング、および URL フィルタリングログのネットワークトラ フィックパターンに一致した場合、相関イベントのログを記録します。相 関イベントでは、ネットワーク上のユーザーまたはホストの疑わしい動 作や異常な動作の証拠が収集されます。詳細は、 「自動相関エンジンの使 用」を参照してください。 注:相関ログをファイアウォールから Panorama へ転送することはで きません。Panorama は受信したファイアウォールのログに応じて相 関ログを生成します。 ログの重要度に応じて個別の宛先を設定することができます。 • Critical [ 重要 ] — 拡散パターンを示す相関イベントに基づいて、ホス トが侵入されたことが確認されました。たとえば、WildFire によって 有害と判定されたファイルをホストが受信し、WildFire サンドボック スでその有害ファイルのコマンドアンドコントロール活動として確認 されたものと同じ活動がホストで示された場合、重要イベントがログ に記録されます。 • High [ 高 ] — 複数の脅威イベント間の相関に基づいて、ホストが侵入 された可能性が高いことを示します。たとえば、ネットワーク上の任 意の場所で検出されたマルウェアが、特定のホストから生成されてい るコマンドアンドコントロール活動と一致する場合です。 • Medium [ 中 ] — 1 つまたは複数の疑わしいイベントの検出に基づいて、 ホストが侵入された可能性があることを示します。たとえば、スクリ プト化されたコマンドアンドコントロール活動を示している既知の有 害な URL への頻繁なアクセスがある場合です。 • Low [ 低 ] — 1 つまたは複数の疑わしいイベントの検出に基づいて、ホ ストが侵入されたと考えられることを示します。たとえば、有害な URL やダイナミック DNS ドメインへのアクセスがあった場合です。 • Informational [ 通知 ] — 疑わしい活動を識別するための集約で役立つ 可能性があるイベントを検出します。各イベントはそれ自体が必ずし も重要ではありません。 HIP マッチログ © Palo Alto Networks, Inc. HIP オブジェクトまたは HIP プロファイルに適合するトラフィックフ ローを表示します。詳細は、 「HIP オブジェクトの作成」または「HIP プ ロファイルのセットアップ」を参照してください。 Web インターフェイス リファレンス ガイド、バージョン 7.1 • 101 ログ記録の管理 デバイス管理 アラーム設定の定義 CLI および Web インターフェイス用の「アラーム」を設定する場合は、アラーム設定を使用 します。以下のイベントに関する通知を設定することができます。 • 指定したしきい値および指定した時間間隔内でセキュリティルール ( またはルールのグ ループ ) が一致する。 • 暗号化 / 復号化エラーのしきい値に達する。 • 各ログ タイプのログ データベースの上限に近い。デフォルトでは、空きディスク領域の 90% が使用された場合に通知されるように割り当てが設定されています。アラームを設 定すると、ディスクがいっぱいになってログが消去される前に対処できます。 アラームを設定した場合、Web インターフェイス下部の Alarms [ アラーム ] ( )をクリッ クして現在のリストを表示することができます(詳細は「アラーム」を参照)。 アラームを追加する場合はアラーム設定を編集します。 表 44. アラーム ログの設定 フィールド 内容 アラームの有効化 このページに表示されたイベントに基づいてアラームを有効にします。 Enable Alarms [ アラームを有効化 ] した場合のみ Alarms [ アラーム ] が 表示されます。 CLI アラーム通知の有効 化 アラームが発生するたびに CLI アラーム通知を有効にします。 Web アラーム通知の有 効化 ウィンドウを開いてユーザー セッションに関するアラーム ( ユーザー セッションの発生や承認のタイミングなど ) を表示します。 警告アラームの有効化 未承認のアラームが存在する場合、管理者が Web インターフェイスにロ グインすると管理者のコンピューター上で警告アラーム音が 15 秒ごとに 再生されます。管理者がすべてのアラームを承認するまで、警告音が再 生されます。 アラームの表示と承認を行う場合は Alarms [ アラーム ] をクリックして ください。 この機能はファイアウォールが FIPS-CC モードに設定されている場合に のみ使用できます。 暗号化 / 復号化エラー し きい値 アラームが生成されるまでの暗号化 / 復号化の失敗回数を指定します。 ログ DB アラームしきい 値 ( パーセント フル) ログのデータベースが指定した最大サイズのパーセンテージに達した場 合にアラームを生成します。 セキュリティポリシーの 制限 Security Violations Threshold [ セキュリティ違反時間 ] 設定で指定した 期間(秒数)内に特定の IP アドレスまたはポートが Security Violations Time Period [ セキュリティ違反のしきい値 ] 設定で指定した回数分、拒 絶ルールにヒットした場合、アラームが生成されます。 セキュリティポリシー グループ制限 Violations Time Period [違反の期間] フィールドで指定した期間に一連の ルールが Violations Threshold [ 違反のしきい値 ] フィールドで指定した ルール制限違反数に達した場合、アラームが生成されます。セッション が明示的な拒否ポリシーに一致するときに、違反が数えられます。 Security Policy Tags [ セキュリティポリシー タグ ] を使用して、ルールの 制限しきい値でアラームが生成されるタグを指定します。これらのタグ は、セキュリティポリシーを定義するときに指定できるようになります。 102 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 ログ記録の管理 表 44. アラーム ログの設定(続) フィールド 内容 選択的監査 選択的監査のオプションはファイアウォールが FIPS-CC モードに設定さ れている場合のみ使用できます。 以下の設定を指定します。 • FIPS-CC Specific Logging [FIPS-CC 固有のログ ] — 情報セキュリティ国 際評価基準 (CC) に準拠するために必要な詳細なログ記録が有効になり ます。 • Packet Drop Logging [ パケット破棄のログ ] — ファイアウォールが破 棄したパケットを記録します。 • Suppress Login Success Logging [ ログイン成功ログの抑制 ] — ファイ アウォールへの管理者ログイン成功のログ記録が停止されます。 • Suppress Login Failure Logging [ ログイン失敗ログの抑制 ] — ファイ アウォールへの管理者ログイン失敗のログ記録が停止されます。 • TLS Session Logging [TLS セッションのログ ] — TLS セッション確立の ログを記録します。 • CA (OCSP/CRL) Session Establishment Logging [CA(OCSP/CRL)セッ ション確立ログ ] — ファイアウォールがオンライン証明書状態プロト コルまたは証明書無効リストのサーバーリクエストを使用して証明書 失効状態を確認するよう要求した場合に、ファイアウォールと認証局と の間のセッション確立のログを記録します。 (デフォルトで無効化され ています。) • IKE Session Establishment Logging [IKE セッション確立ログ ] — ファ イアウォール上のVPNゲートウェイがピアと認証を行った場合にIPSec IKE セッションの確立ログを記録します。この場合のピアとは、Palo Alto Networks ファイアウォール、あるいは VPN 接続の開始と終了に 使用される他のセキュリティデバイスが該当します。IKE ゲートウェイ に固定されたインターフェイスの名前がログに記載されます。IKE ゲー トウェイ名が設定されている場合はこれも表示されます。このオプショ ンを無効化すると IKE のログイベントの記録がすべて停止されます。 (デフォルトで有効化されています。 ) • Suppressed Administrators [ 抑制された管理者 ] — リストに記載され た管理者による、ファイアウォールの設定変更に関するログ記録を停止 します。 ログのクリア ログ設定のページでログの管理をする際にファイアウォール上のログを削除することができ ます。削除したいログタイプ(トラフィック、URL フィルタリングおよびデータフィルタリ ングを含む脅威、設定、システム、HIP 一致、またはアラーム)をクリックし、Yes [ はい ] を クリックして操作を承認します。 ログおよびレポートを自動的に削除したい場合は、有効期限を設定するこ とができます。詳細は、 「ロギングおよびレポート設定」を参照してくださ い。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 103 ログ記録の管理 デバイス管理 SNMP トラップの宛先の設定 Device > Server Profiles > SNMP Trap [ࢹࣂࢫ > ࢧ࣮ࣂ࣮ ࣉࣟࣇࣝ > SNMP ࢺࣛࢵ ࣉ] Panorama > Server Profiles > SNMP Trap [Panorama > ࢧ࣮ࣂ࣮ ࣉࣟࣇࣝ > SNMP ࢺࣛࢵࣉ ] SNMP (Simple Network Management Protocol) は、ネットワーク上のデバイスをモニターす る標準プロトコルです。システム イベントやネットワーク上の脅威に関するアラートを通知 するために、モニター対象デバイスから SNMP マネージャ ( トラップ サーバー ) に SNMP ト ラップが送信されます。ファイアウォールまたは Panorama から SNMP マネージャにトラッ プを送信できるようにするサーバープロファイルを設定する場合は、Device > Server Profiles > SNMP Trap [ デバイス > サーバープロファイル > SNMP トラップ ] または Panorama > Server Profiles > SNMP Trap [Panorama > サーバープロファイル > SNMP トラップ ] のページを使用し ます。SNMP GET メッセージ(SNMP マネージャからの統計情報要求)を有効にする方法に ついては、「SNMP モニタリングの有効化」を参照してください。 サーバー プロファイルを作成したら、ファイアウォールをトリガーして SNMP トラップを送 信するログ タイプを指定する必要があります (「ログ設定の変更とログの消去」を参照 )。ト ラップ解釈のために SNMP マネージャにロードする必要のある MIB のリストは、『サポート される MIB』を参照してください。 システムログの設定またはログのプロファイルで使用されるサーバープロ ファイルは削除しないでください。 表 45. SNMP トラップ サーバー プロファイルの設定 フィールド 内容 名前 SNMP プロファイルの名前を入力します ( 最大 31 文字 )。名前の大文字と 小文字は区別されます。また、一意の名前にする必要があります。文字、数 字、スペース、ハイフン、およびアンダースコアのみを使用してください。 場所 プロファイルを使用できる範囲を選択します。複数の仮想システム (vsys) があるファイアウォールの場合、vsys を選択するか、Shared [ 共 有 ] ( すべての仮想システム ) を選択します。その他の場合、Location [ 場所 ] を選択することはできません。この値は共有(ファイアウォール の場合)または Panorama として事前に定義されています。プロファイ ルを保存すると、その Location [ 場所 ] を変更できなくなります。 バージョン SNMP バージョンを選択します。V2c(デフォルト)または V3。この選 択内容により、ダイアログに表示される残りのフィールドが決まります。 どちらのバージョンでも、最大 4 つの SNMP マネージャを追加できます。 SNMP V2c の場合 名前 SNMP マネージャの名前を指定します。名前には、最大 31 文字(英数字、 ピリオド、アンダースコア、またはハイフン)を含めることができます。 SNMP マネージャ SNMP マネージャの FQDN または IP アドレスを指定します。 コミュニティ SNMP マネージャおよびモニター対象デバイスの SNMP コミュニティ を識別し、トラップの転送時にコミュニティ メンバーを相互認証するた めのパスワードとして機能するコミュニティ文字列を入力します。コ ミュニティ文字列には最大 127 文字を含めることができます。また、す べての文字を使用でき、大文字と小文字が区別されます。デフォルトの コミュニティ文字列 public を使用しないことをお勧めします。SNMP メッセージにはクリア テキストのコミュニティ文字列が含まれているた め、コミュニティ メンバーシップ ( 管理者アクセス ) を定義するときに ネットワークのセキュリティ要件を考慮してください。 104 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 ログ記録の管理 表 45. SNMP トラップ サーバー プロファイルの設定(続) フィールド 内容 SNMP V3 の場合 名前 SNMP マネージャの名前を指定します。名前には、最大 31 文字(英数字、 ピリオド、アンダースコア、またはハイフン)を含めることができます。 SNMP マネージャ SNMP マネージャの FQDN または IP アドレスを指定します。 ユーザー SNMP ユーザー アカウントの識別に使用する名前を指定します(最大 31 文字)。ファイアウォールで設定するユーザー名は、SNMP マネージャで 設定したユーザー名と一致する必要があります。 エンジン ID ファイアウォールのエンジン ID を指定します。SNMP マネージャとファ イアウォールが相互の認証を行う場合、トラップメッセージはこの値を 使用して一意にファイアウォールを識別します。このフィールドを空白 のままにすると、メッセージではファイアウォールシリアル番号が EngineID [ エンジン ID] として使用されます。値は、16 進数形式 (0x の プレフィックスと、5 ∼ 64 バイトの数値を表す 10 ∼ 128 文字 ( バイトあ たり 2 文字 )) で入力する必要があります。高可用性(HA)設定のファ イアウォールの場合、トラップを送信した HA ピアを SNMP マネージャ が識別できるようにこのフィールドを空白のままにします。空白にしな いと、値が同期され、両方のピアで同じ EngineID [ エンジン ID] が使用 されます。 認証パスワード SNMP ユーザーの認証パスワードを指定します。ファイアウォールはこ のパスワードを使用して SNMP マネージャの認証を受けます。ファイア ウォールは、Secure Hash Algorithm(SHA-1 160)を使用してパスワー ドを暗号化します。パスワードには、8 ∼ 256 文字のあらゆる文字を使用 できます。 専用パスワード SNMP ユーザーの専用パスワードを指定します。ファイアウォールは、 このパスワードと Advanced Encryption Standard (AES-128) を使用し て、トラップを暗号化します。パスワードには、8 ∼ 256 文字のあらゆる 文字を使用できます。 Syslog サーバーの設定 Device > Server Profiles > Syslog [ ࢹࣂࢫ > ࢧ࣮ࣂ࣮ ࣉࣟࣇࣝ > Syslog] Panorama > Server Profiles > Syslog [Panorama > ࢧ࣮ࣂ࣮ ࣉࣟࣇࣝ > Syslog] システム、設定、トラフィック、脅威、HIP 一致、または相関ログを Syslog メッセージとし て転送する場合は、Add [ 追加 ] をクリックし、新規 Syslog サーバーのフィールドを指定する ことで、1 つ以上の Syslog サーバープロファイルを設定します。 システム、設定、HIP 一致、および相関ログ用の Syslog サーバープロファ イルを選択する場合は、 「ログ設定の変更とログの消去」を参照してくださ い。 トラフィック、脅威、および WildFire ログ用の Syslog サーバープロファイ ルを設定する方法については、「ログの転送」を参照してください。 ファイアウォールの、システムまたは設定ログの設定や、ログ転送プロファ イルにおいて使用されているサーバープロファイルは削除できません。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 105 ログ記録の管理 デバイス管理 表 46. 新しい Syslog サーバー フィールド 内容 名前 Syslog プロファイルの名前 ( 最大 31 文字 ) を入力します。名前の大文字 と小文字は区別されます。また、一意の名前にする必要があります。文 字、数字、スペース、ハイフン、およびアンダースコアのみを使用して ください。 場所 プロファイルを使用できる範囲を選択します。複数の仮想システム (vsys) があるファイアウォールの場合、vsys を選択するか、Shared [ 共有 ] ( す べての仮想システム ) を選択します。その他の場合、Location [ 場所 ] を 選択することはできません。この値は共有(ファイアウォールの場合)ま たは Panorama として事前に定義されています。プロファイルを保存する と、その Location [ 場所 ] を変更できなくなります。 Servers [ サーバー ] タブ 名前 Add [ 追加 ] をクリックし、Syslog サーバーの名前 ( 最大 31 文字 ) を入力 します。名前の大文字と小文字は区別されます。また、一意の名前にす る必要があります。文字、数字、スペース、ハイフン、およびアンダー スコアのみを使用してください。 サーバー Syslog サーバーの IP アドレスを入力します。 転送 Syslog メッセージの転送方法を UDP、TCP、SSL から選択します。 ポート Syslog サーバーのポート番号を入力します。UDP の標準ポートは 514、 SSL の標準ポートは 6514 で、TCP の場合はポート番号を指定する必要が あります。 フォーマット 使用する Syslog 形式を指定します。BSD(デフォルト)または IETF。 ファシリティ Syslog の標準値のいずれかを選択します。Syslog サーバーが facility [ ファシリティ ] フィールドを使用してメッセージを管理する方法に対応 する値を選択します。facility [ ファシリティ ] フィールドの詳細は、RFC 3164 (BSD フォーマット ) または RFC 5424 (IETF フォーマット ) を参照 してください。 Custom Log Format Tab [ カスタム ログ フォーマット ] タブ ログ タイプ ログ タイプをクリックして、カスタム ログ形式を指定するためのダイア ログ ボックスを開きます。ダイアログ ボックスで、フィールドをクリッ クして Log Format [ ログ形式 ] エリアに追加します。その他のテキスト 文字列は、Log Format [ ログ形式 ] エリアで直接編集できます。OK をク リックして設定を保存します。カスタム ログで使用できる各フィールド の説明を確認してください。 カスタム ログで使用できるフィールドの詳細は、 「電子メール通知設定の 指定」を参照してください。 エスケープ エスケープ シーケンスを指定します。Escaped characters [ エスケープ する文字 ] はスペースなしでエスケープする文字の一覧です。 106 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 ログ記録の管理 電子メール通知設定の指定 Device > Server Profiles > Email [ ࢹࣂࢫ > ࢧ࣮ࣂ࣮ ࣉࣟࣇࣝ > 㟁Ꮚ࣓࣮ࣝ ] Panorama > Server Profiles > Email [Panorama > ࢧ࣮ࣂ࣮ ࣉࣟࣇࣝ > 㟁Ꮚ࣓࣮ࣝ ] ログを電子メール通知として転送する場合は、Add [ 追加 ] をクリックして電子メール通知の 設定を指定し、電子メールサーバープロファイルを定義します。 システム、設定、HIP 一致、および相関ログ用の電子メールサーバープロ ファイルを選択する場合は、 「ログ設定の変更とログの消去」を参照してく ださい。 トラフィック、脅威、および WildFire ログ用の電子メールサーバープロファ イルを設定する方法については、「ログの転送」を参照してください。 また、 「電子メールで配信するレポートのスケジュール設定」を行うことも できます。 ファイアウォールの、システムまたは設定ログの設定や、ログ転送プロファ イルにおいて使用されているサーバープロファイルは削除できません。 表 47. 電子メール通知設定 フィールド 内容 名前 サーバー プロファイルの名前を入力します ( 最大 31 文字 )。名前の大文字 と小文字は区別されます。また、一意の名前にする必要があります。文字、 数字、スペース、ハイフン、およびアンダースコアのみを使用してください。 場所 プロファイルを使用できる範囲を選択します。複数の仮想システム (vsys) があるファイアウォールの場合、vsys を選択するか、Shared [ 共有 ] ( す べての仮想システム ) を選択します。その他の場合、Location [ 場所 ] を 選択することはできません。この値は共有(ファイアウォールの場合)ま たは Panorama として事前に定義されています。プロファイルを保存する と、その Location [ 場所 ] を変更できなくなります。 Servers [ サーバー ] タブ サーバー サーバーの識別に使用する名前を入力します (1 ∼ 31 文字 )。このフィー ルドは単なるラベルであり、既存の SMTP サーバーのホスト名である必 要はありません。 表示名 電子メールの From [ 送信者 ] フィールドに表示される名前を入力します。 送信者 送信元の電子メールアドレス(「[email protected]」など)を 入力します。 受信者 受信者の電子メール アドレスを入力します。 追加の受信者 別の受信者の電子メール アドレスを入力します ( 任意 )。追加できるのは 1 名の受信者のみです。複数の受信者を追加するには、配布リストの電子 メール アドレスを追加します。 ゲートウェイ 電子メールの送信に使用される Simple Mail Transport Protocol (SMTP) サーバーの IP アドレスまたはホスト名を入力します。 Custom Log Format Tab [ カスタム ログ フォーマット ] タブ ログ タイプ ログ タイプをクリックして、カスタム ログ形式を指定するためのダイア ログ ボックスを開きます。ダイアログ ボックスで、フィールドをクリッ クして Log Format [ ログ形式 ] エリアに追加します。OK をクリックして 設定を保存します。 エスケープ エスケープされた文字を組み込み、エスケープ文字を指定します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 107 ログ記録の管理 デバイス管理 Netflow 設定の編集 Device > Server Profiles > Netflow [ ࢹࣂࢫ > ࢧ࣮ࣂ࣮ ࣉࣟࣇࣝ > Netflow] PA-4000 シリーズと PA-7000 シリーズのファイアウォールを除くすべてのファイアウォール で、NetFlow バージョン 9 をサポートしています。このファイアウォールでは、双方向では なく、一方向の NetFlow のみをサポートします。NetFlow のエクスポートは、HA、ログ カー ド、または復号化ミラーを除いて、すべてのインターフェイス タイプで有効にすることがで きます。ファイアウォールでは、標準およびエンタープライズ(PAN-OS 固有)の NetFlow テンプレートをサポートしています。NetFlow コレクタには、エクスポートされたフィール ドを解読するためのテンプレートが必要です。ファイアウォールはエクスポートするデータ のタイプに応じてテンプレートを選択します:IPv4 または IPv6 トラフィック、NAT を使用 するかどうか、フィールドは標準のものかエンタープライズ固有のものか。 Netflow データ エクスポートを設定するには、Netflow サーバー プロファイルを定義します。 これは、データを受け取る Netflow サーバーと、エクスポート パラメータを指定します。イ ンターフェイスにプロファイルを割り当てると (「ファイアウォールインターフェイスの設 定」を参照 )、ファイアウォールは、そのインターフェイスを通過するすべてのトラフィック の NetFlow データを指定のサーバーにエクスポートします。 表 48. Netflow 設定 フィールド 内容 名前 Netflow サーバー プロファイルの名前を入力します ( 最大 31 文字 )。名 前の大文字と小文字は区別されます。また、一意の名前にする必要があ ります。文字、数字、スペース、ハイフン、およびアンダースコアのみ を使用してください。 テンプレート更新レート ファイアウォールが NetFlow テンプレートを更新して、そのフィールド への変更または選択したテンプレートへの変更を適用するまでの間隔を Minutes [ 分 ](範囲は 1 ∼ 3600、デフォルトは 30)または Packets [ パ ケット ](範囲は 1 ∼ 600、デフォルトは 20)の数で指定します。必要な 更新頻度は、NetFlow コレクタに応じて異なります。サーバー プロファ イルに複数の NetFlow コレクタを追加する場合、更新レートが最も速い コレクタの値を使用します。 アクティブ タイムアウ ト ファイアウォールが各セッションのデータ レコードをエクスポートする 頻度(分単位)を指定します(範囲は 1 ∼ 60 分、デフォルトは 5 分)。 NetFlow コレクタがトラフィック統計を更新する頻度に基づいて、頻度 を設定します。 PAN-OS フ ィ ー ル ド タ イプ Netflow レコードの App-ID および User-ID サービスの PAN-OS 特定 フィールドをエクスポートします。 サーバー 名前 サーバーを識別する名前を指定します ( 最大 31 文字 )。名前の大文字と小 文字は区別されます。また、一意の名前にする必要があります。文字、数 字、スペース、ハイフン、およびアンダースコアのみを使用してください。 サーバー サーバーのホスト名または IP アドレスを指定します。プロファイルごと に最大 2 つのサーバーを追加できます。 ポート サーバー アクセスのポート番号を指定します ( デフォルトは 2055)。 108 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 証明書の管理 証明書の管理 Device > Certificate Management > Certificates [ ࢹࣂࢫ > ド᫂᭩ࡢ⟶⌮ > ド᫂᭩ ] ネットワーク間の通信を安全に行うために、使用する証明書の管理(生成、インポート、更 新、削除、および取り消し)を行う場合は、Device > Certificate Management > Certificates > Device Certificates [ デバイス > 証明書の管理 > 証明書 > デバイス証明書 ] のページを使用します。 ネッ トワークの HA ピア間の通信を保護する高可用性(HA)キーをエクスポートおよびインポー トすることもできます。ファイアウォールが信頼する認証局(CA)を表示、有効化、無効化 する場合は Device > Certificate Management > Certificates > Default Trusted Certificate Authorities [ デバイス > 証明書の管理 > 証明書 > 信頼される既定認証局 ] のページを使用します。 ファイアウォールおよびPanoramaにおける証明書の使用方法の詳細は証明 書の管理を参照してください。 • 「ファイアウォールおよび Panorama 証明書の管理」 • 「信頼できる既定証明機関の管理」 • 「証明書プロファイルの作成」 • 「OCSP レスポンダの追加」 • 「SSL/TLS サービスプロファイルの管理」 • 「SCEP 設定プロファイルの定義」 • 「ファイアウォールにおける秘密鍵とパスワードの暗号化」 ファイアウォールおよび Panorama 証明書の管理 Device > Certificate Management > Certificates > Device Certificates [ ࢹࣂࢫ > ド᫂᭩ ࡢ⟶⌮ > ド᫂᭩ > ࢹࣂࢫド᫂᭩ ] Panorama > Certificate Management > Certificates [Panorama > ド᫂᭩ࡢ⟶⌮ > ド᫂᭩ ] ファイアウォールまたは Panorama が Web インターフェイスへのアクセスの保護、SSL 復号、ま たは LSVPN などのタスクに使用する証明書を表示する場合は、Device > Certificate Management > Certificates > Device Certificates [ デバイス > 証明書の管理 > デバイス証明書 ] または Panorama > Certificate Management > Certificates > Device Certificates [Panorama > 証明書の管理 > デバイ ス証明書 ] のページを開きます。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 109 証明書の管理 デバイス管理 各証明書の用途の例は以下のとおりです。生成後に証明書の使用方法の定義します。 • Forward Trust [ 信頼できる転送 ] — ファイアウォールは、サーバー証明書に署名を行った 認証局(CA)がファイアウォールの CA リストに存在する場合、SSL フォワードプロキ シ復号化時にクライアントへ提示するサーバー証明書のコピーに署名する際にこの証明 書を使用します。 • Forward Untrust [ 信頼できない転送 ] — ファイアウォールは、サーバー証明書に署名を 行った CA がファイアウォールの CA リストに存在しない場合、SSL フォワードプロキシ 復号化時にクライアントへ提示するサーバー証明書のコピーに署名する際にこの証明書 を使用します。 • Trusted Root CA [ 信頼できるルート CA] — ファイアウォールは SSL フォワードプロキシ 復号化、GlobalProtect、URL 管理オーバーライド、およびキャプティブポータル用にこ の証明書を信頼できる CA として使用します。ファイアウォールには、既存の信頼され た認証局が数多く登録されたリストが設定されています。ここでの信頼されたルート認 証局証明書とは、お客様の組織が追加した信頼された認証局であり、予めインストール されている信頼された認証局リストに含まれるものではありません。 • SSL Exclude [SSL 除外 ] — 復号化の例外の設定を行って SSL/TLS の復号化から特定のサー バーを除外した場合、ファイアウォールはこの証明書を使用します。 • Certificate for Secure Syslog [ 安全な Syslog のための証明書 ] — Syslog サーバーに向けた Syslog メッセージでのログ配信を保護する際、ファイアウォールはこの証明書を使用し ます。 証明書を生成するには、Generate [ 生成 ] をクリックし、以下のフィールドを入力します。 表 49. 証明書を生成するための設定 フィールド 内容 証明書名 (必須)証明書を識別する名前(最大 31 文字)を入力します。名前の大 文字と小文字は区別されます。また、一意の名前にする必要があります。 文字、数字、スペース、ハイフン、およびアンダースコアのみを使用し てください。 共通名(CN) (必須)証明書に表示される IP アドレスまたは FQDN を入力します。 共有 複数の仮想システム(vsys)が存在するファイアウォールで、証明書を すべての vsys で使用できるようにする場合は、Shared [ 共有 ] を選択し ます。 署名者 証明書は、ファイアウォールにインポートされた認証局 (CA) 証明書で署 名するか、ファイアウォールが CA の場合は自己署名できます。Panorama を使用している場合、Panorama の自己署名証明書の生成に関するオプ ションがあります。 CA 証明書をインポートしている場合、またはファイアウォールで CA 証 明書を発行(自己署名)している場合、作成される証明書に署名できる CA がドロップダウンリストに表示されます。 証明書署名要求 (CSR) を生成するには、External Authority (CSR) [ 外部 認証局 (CSR)] を選択します。ファイアウォールで証明書とキーのペアが 生成され、CSR をエクスポートできるようになります。 認証局 ファイアウォールで証明書を発行する場合、このオプションを選択しま す。 証明書を認証局としてマークすることで、ファイアウォールでの他の証 明書の署名にこの証明書を使用できます。 OCSP レスポンダ ドロップダウンリストから OSCP レスポンダ プロファイルを選択しま す (「OCSP レスポンダの追加」を参照 )。対応するホスト名が証明書に 表示されます。 110 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 証明書の管理 表 49. 証明書を生成するための設定(続) フィールド 内容 アルゴリズム 証明書のキー発行アルゴリズムを選択します。RSA または Elliptic Curve DSA(ECDSA)。 推奨設定:ECDSA で使用される鍵のサイズは RSA アルゴリズムよりも 小さいため、SSL/TLS 接続を処理するときのパフォーマンスが向上しま す。また、ECDSA では、RSA 以上のセキュリティが確保されています。 クライアント ブラウザおよびそれをサポートするオペレーティング シ ステムでは、ECDSA をお勧めします。それ以外の場合、従来のブラウザ およびオペレーティング システムとの互換性を確保するには RSA を選 択します。 注意 ! PAN-OS 7.0 より前のリリースを実行しているファイアウォールの 場合、Panorama からプッシュした ECDSA 証明書が削除されます。また、 そのようなファイアウォールでは、ECDSA 認証局 (CA) によって署名さ れた RSA 証明書が無効になります。 ビット数 証明書の鍵長を選択します。 ファイアウォールが FIPS-CC モードで、鍵生成の Algorithm [ アルゴリ ズム ] が RSA の場合、生成される RSA キーは 2048 ビット以上である必 要があります。Algorithm [ アルゴリズム ] が Elliptic Curve DSA の場合、 両方の鍵長オプション (256 と 384) が機能します。 ダイジェスト 証明書の Digest [ ダイジェスト ] アルゴリズムを選択します。使用可能 なオプションは、鍵生成の Algorithm [ アルゴリズム ] によって異なりま す。 • RSA — MD5、SHA1、SHA256、SHA384、または SHA512 • Elliptic Curve DSA — SHA256 または SHA384 ファイアウォールが FIPS-CC モードに設定され、キー生成の Algorithm [ アルゴリズム ] が RSA の場合、Digest [ ダイジェスト ] アルゴリズムと して SHA256、SHA384、または SHA512 を選択する必要があります。 Algorithm [ アルゴリズム ] が Elliptic Curve DSA の場合、両方の Digest [ ダイジェスト ] アルゴリズム (SHA256 と SHA384) が機能します。 有効期限 ( 日 ) 証明書が有効な日数を指定します。デフォルトは 365 日です。 注意 ! GlobalProtect サテライト設定で Validity Period [ 有効期間 ] を指定 すると、このフィールドに入力した値はその値でオーバーライドされま す。 証明書の属性 必要に応じて、Add [ 追加 ] をクリックし、証明書の発行先となるエン ティティの識別に使用する追加の Certificate Attributes [ 証明書の属性 ] を指定します。また、次のような属性を付加することができます。Country [ 国 ]、State [ 州 ]、Locality [ 地域 ]、Organization [ 組織 ]、Department [ 部門 ]、および Email [ 電子メール ]。更に、以下のうち一つの Subject Alternative [サブジェクトの代替名] フィールドを指定することができま す。Host Name [ ホスト名 ](サブジェクト代替名:DNS)、IP(サブジェ クト代替名:IP)、および Alt Email [ 代替電子メールアドレス ( ] サブジェ クト代替名:email)。 注:証明書の属性として国を追加するには、Type [タイプ] 列から Country [ 国 ] を選択し、Value [ 値 ] 列をクリックして ISO 6366 国コードを参照 します。 ハードウェア セキュリティ モジュール (HSM) を設定している場合、秘密 鍵はファイアウォールではなく外部 HSM ストレージに保存されます。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 111 証明書の管理 デバイス管理 証明書を生成すると、ページにその詳細が表示されます。 表 50. その他のサポートされているアクション アクション 内容 削除 証明書を選択して Delete [ 削除 ] をクリックします。 注:ファイアウォールに復号化ポリシーが設定されている場合、用途が Forward Trust Certificate [ 信頼できる証明書を転送 ] または Forward Untrust Certificate [ 信頼できない証明書を転送 ] に設定されている証明 書を削除することができません。証明書の用途を変更する方法について は、証明書の使用方法の定義を参照してください。 無効化 無効にする証明書を選択し、Revoke [ 無効化 ] をクリックします。証明 書はただちに「無効化」状態に設定されます。コミットは必要ありません。 更新 証明書が期限切れになった場合、または間もなく期限切れになる場合、対 応する証明書を選択して Renew [ 更新 ] をクリックします。証明書の有 効期間 ( 日数 ) を設定して OK をクリックします。 ファイアウォールが証明書を発行した CA である場合、ファイアウォー ルはその証明書を、古い証明書と属性が同じでシリアル番号が異なる新 しい証明書に置き換えます。 外 部 認 証局 (CA) が証明書に署名し、ファイアウォールが Open Certificate Status Protocol (OCSP) を使用して証明書の失効状態を検証し ている場合、ファイアウォールは OCSP レスポンダ情報を使用して証明 書の状態を更新します。 インポート 証明書をインポートする場合は、Import [ インポート ] をクリックし、以 下のようにフィールドを入力します。 • 証明書を識別する Certificate Name [ 証明書名 ] を入力します。 • 証明書ファイルを Browse [ 参照 ] します。PKCS12 証明書およびプライ ベートキーをインポートすると、1 つのファイルが両方を含んでいま す。PEM 証明書をインポートした場合、ファイルには証明書のみが含 まれています。 • 証明書ファイルの File Format [ ファイル形式 ] を選択します。 • この証明書の秘密キーの保存に HSM を使用している場合、Private key resides on Hardware Security Module [秘密鍵はハードウェアセキュリ ティモジュール上にあります ] を選択します。HSM の詳細は、 「ハード ウェアセキュリティモジュールの定義」を参照してください。 • さらに秘密鍵をインポートしたい場合は、Import private key [ 秘密鍵を インポート ] を選択してください。証明書の File Format [ ファイル形式 ] として PKCS12 を選択した場合、選択した Certificate File [ 証明書ファ イル ] にキーが含まれています。PEM 形式を選択した場合、秘密鍵の ファイルを Browse [ 参照 ] します(ファイル名は一般的に ***.key と なっています) 。両方のフォーマットについて、 Passphrase [ パスフレー ズ] およびConfirm Passphrase [パスフレーズ再入力] 欄を入力します。 エクスポート エクスポートしたい証明書を選択して Export [ エクスポート ] をクリッ クし、File Format [ ファイル形式 ] を選択します。 • Encrypted Private Key and Certificate (PKCS12) [暗号化された秘密鍵と 証明書 (PKCS12)] — エクスポートしたファイルには証明書とキーの両 方が含まれます。 • Base64 Encoded Certificate (PEM) [Base64 エンコード済み証明書 (PEM)] — 秘密鍵も必要となる場合は、さらに Export Private Key [ 秘密鍵のエク スポート ] を選択し、Passphrase [ パスフレーズ ] および Confirm Passphrase [ パスフレーズの再入力 ] を入力します。 • Binary Encoded Certificate (DER) [ バイナリエンコード済み証明書 (DER)] — キーはエクスポートできず、証明書のみがエクスポート可 能です。Export Private Key [ 秘密鍵のエクスポート ] およびパスフレー ズのフィールドは使用しないでください。 112 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 証明書の管理 表 50. その他のサポートされているアクション アクション 内容 HA キーのインポート HA キーは、両方のファイアウォール ピア間で入れ替える必要がありま す。つまり、ファイアウォール 1 のキーをエクスポートしてファイア ウォール 2 でインポートし、その逆も実行します。 HA キーのエクスポート 高可用性(HA)の鍵をインポートする場合は、Import HA Key [HA キー のインポート ] をクリックし、Browse [ 参照 ] からインポートする鍵ファ イルを指定します。 HA の鍵をエクスポートするには、Export HA Key [HA キーのエクスポー ト ] をクリックして、ファイルを保存する場所を指定します。 証明書の使用方法の定義 名前列で証明書を選択し、証明書の用途に合ったオプションを選択しま す。 信頼できる既定証明機関の管理 Device > Certificate Management > Certificates > Default Trusted Certificate Authorities [ ࢹࣂࢫ > ド᫂᭩ࡢ⟶⌮ > ド᫂᭩ > ࢹࣇ࢛ࣝࢺࡢಙ㢗࡛ࡁࡿド᫂ᶵ㛵 ] ファイアウォールで信頼する事前に含まれた認証局 (CA) を表示、無効化、またはエクスポー トするには、このページを使用します。各 CA に対して、名前、サブジェクト、発行者、有 効期限、有効性の状態が表示されます。 このリストには、ファイアウォールで生成された CA 証明書は含まれません。 表 51 信頼できる証明機関設定 フィールド 内容 有効化 CA を無効に設定していて、再度有効化したい場合は Enable [ 有 効化 ] をクリックします。 無効化 無効化したい CA を選択し、Disable [ 無効化 ] をクリックします。 特定の CA のみを信頼する場合、あるいはすべての CA を削除し てローカル CA のみを信頼したい場合に使用することがありま す。 エクスポート CA 証明書を選択し、Export [ エクスポート ] します。この操作 は、別のシステムにインポートする場合や、証明書をオフライン で表示する場合に実行します。 証明書プロファイルの作成 Device > Certificate Management > Certificate Profile [ ࢹࣂࢫ > ド᫂᭩ࡢ⟶⌮ > ド᫂᭩ ࣉࣟࣇࣝ ] Panorama > Certificate Management > Certificate Profiles [Panorama > ド᫂᭩ࡢ⟶⌮ > ド᫂᭩ࣉࣟࣇࣝ ] 証明書プロファイルでは、キャプティブポータル、GlobalProtect、サイト間の IPSec VPN、 Web インターフェイスによるファイアウォールおよび Panorama へのアクセスの際の、ユー ザーおよびファイアウォール認証を定義します。プロファイルでは、使用する証明書、証明 書の失効状態の検証方法、および状態によりアクセスを制限する方法を指定します。アプリ ケーションごとに証明書プロファイルを設定します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 113 証明書の管理 デバイス管理 表 52. 証明書プロファイル設定 ページ タイプ 名前 内容 (必須)プロファイルの識別に使用する名前を入力します(最大 31 文字)。名前の大文字と小文字は区別されます。また、一意の名前 にする必要があります。文字、数字、スペース、ハイフン、および アンダースコアのみを使用してください。 場所 プロファイルを使用できる範囲を選択します。複数の仮想システム (vsys) があるファイアウォールの場合、vsys を選択するか、Shared [ 共有 ] ( すべての仮想システム ) を選択します。その他の場合、 Location [ 場所 ] を選択することはできません。この値は共有(ファ イアウォールの場合)または Panorama として事前に定義されてい ます。プロファイルを保存すると、その Location [ 場所 ] を変更で きなくなります。 ユーザー名フィールド GlobalProtectはポータル/ゲートウェイ認証の証明書のみを使用し、 PAN-OS は Username Field [ ユーザー名フィールド ] ドロップダウ ンリストでユーザー名として選択された証明書フィールドを使用 して、User-ID サービスの IP アドレスと照合する場合、以下のよう になります。 • Subject [ サブジェクト ]:PAN-OS は共通名を使用します。 • Subject Alt [ サブジェクト代替名 ]:PAN-OS で [ 電子メール ] ま たは [ プリンシパル名 ] のどちらを使用するかを選択します。 • None [ なし ]:これは通常、GlobalProtect デバイスまたは prelogin 認証に使用されます。 ドメイン PAN-OS が User ID を介してユーザーをマッピングできるように、 NetBIOS ドメインを入力します。 CA 証明書 (必須)Add [ 追加 ] をクリックし、CA Certificate [CA 証明書 ] を選 択してプロファイルに割り当てます。 必要に応じて、 ファイアウォールで Open Certificate Status Protocol (OCSP) を使用して証明書の失効状態を検証する場合は、以下の フィールドを設定して、デフォルトの動作をオーバーライドしま す。ほとんどのデプロイメントでは、これらのフィールドは適用さ れません。 • デフォルトでは、ファイアウォールが手順「OCSP レスポンダの 追加」で設定した OCSP レスポンダの URL を使用します。その 設定をオーバーライドするには、Default OCSP URL [ デフォルト OCSP URL] に URL (http:// または https:// で開始 ) を入力します。 • デフォルトでは、ファイアウォールは CA Certificate [CA 証明 書 ] フィールドで選択した証明書を使用して、OCSP 応答を検 証します。検証に異なる証明書を使用するには、OCSP Verify CA Certificate [OCSP 検証 CA 証明書 ] フィールドでその証明書 を選択します。 CRL の使用 証明書無効リスト(CRL)を使用して証明書の失効状態を検証する 場合は、このオプションを選択します。 OCSP の使用 OCSP を使用して証明書の失効状態を検証する場合は、このオプ ションを選択します。 注:OCSP と CRL の両方を選択している場合、ファイアウォールは まず OCSP を試行します。OCSP レスポンダを使用できない場合に 限り、CRL 方式にフォールバックします。 CRL 受信の有効期限 ファイアウォールが CRL サービスからの応答を待機する期間 (1 ∼ 60 秒 ) を指定します。 OCSP 受信の有効期限 ファイアウォールが OCSP レスポンダからの応答を待機する期間 (1 ∼ 60 秒 ) を指定します。 114 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 証明書の管理 表 52. 証明書プロファイル設定(続) ページ タイプ 内容 証明書の有効期限 ファイアウォールが任意の証明書状態サービスからの応答を待機 する期間 (1 ∼ 60 秒 ) を指定します。この期間が終了すると、定義 したセッション ブロック ロジックが適用されます。 証明書状態が不明な場合に セッションをブロック OCSP または CRL サービスから証明書の失効状態が unknown [ 不明 ] と返された際にファイアウォールでそのセッションをブロックす る場合は、このオプションを選択します。その他の場合は、ファイ アウォールはセッションを続行します。 タイムアウト時間内に証明書 状態を取得できない場合に セッションをブロック ファイアウォールで OCSP または CRL 要求のタイムアウトを登録 した後にセッションをブロックする場合は、このオプションを選択 します。その他の場合は、ファイアウォールはセッションを続行し ます。 OCSP レスポンダの追加 Device > Certificate Management > OCSP Responder [ ࢹࣂࢫ > ド᫂᭩ࡢ⟶⌮ > OCSP ࣞࢫ࣏ࣥࢲ ] 証明書の失効状態を検証するための Online Certificate Status Protocol(OCSP)レスポンダ (サーバー)を定義する場合は、Device > Certificate Management > OCSP Responder [ デバイス > 証明書の管理 > OCSP レスポンダ ] のページを開きます。 OCSP を有効にするには、OCSP レスポンダを追加するだけでなく、以下のタスクを実行する 必要があります。 • ファイアウォールと OCSP サーバー間の通信を有効にする:Device > Setup > Management [ デバイス > 設定 > 管理 ] を選択し、[ 管理インターフェイス設定 ] セクションから HTTP OCSP サービスを選び、OK をクリックします。 • ファイアウォールで送信 SSL/TLS トラフィックを復号化する場合に、必要に応じて宛 先サーバー証明書の失効状態を検証させる方法: Device > Setup > Sessions [ デバイス > 設 定 > セッション ] を選択し、Decryption Certificate Revocation Settings [ 復号化証明書失効 の設定 ] をクリックし、OCSP セクションで Enable [ 有効化 ] を選択し、Receive Timeout [ 受信の有効期限 ](ファイアウォールが OCSP 応答を待機する期間)を入力して OK を クリックします。 • 必要に応じて、OCSP レスポンダとしてファイアウォールを設定するために、OCSP サー ビスで使用するインターフェイスにインターフェイス管理プロファイルを追加します。 最初に、Network > Network Profiles > Interface Mgmt [ ネットワーク > ネットワーク プロ ファイル > インターフェイス管理 ] を選択し、[ 追加 ] をクリックして、HTTP OCSP を選択 し、OK をクリックします。次に、Network > Interfaces [ ネットワーク > インターフェイス ] を選択し、ファイアウォールが OCSP サービスに使用するインターフェイスの名前をク リックし、Advanced > Other info [ 詳細 > その他の情報 ] を選択し、設定したインターフェ イス管理プロファイルを選択して、OK、Commit [ コミット ] の順にクリックします。 表 53 OCSP レスポンダ設定 フィールド 内容 名前 レスポンダの識別に使用する名前 ( 最大 31 文字 ) を入力します。 名前では大文字と小文字を区別します。英字、数字、スペース、 ハイフン、およびアンダースコアのみを使用し、一意である必要 があります。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 115 証明書の管理 デバイス管理 表 53 OCSP レスポンダ設定 フィールド 内容 場所 レスポンダを使用できる範囲を選択します。複数の仮想システム (vsys) があるファイアウォールの場合、vsys を選択するか、 Shared [ 共有 ] ( すべての仮想システム ) を選択します。その他の 場合、Location [ 場所 ] を選択することはできません。この値は [ 共有 ] として事前に定義されています。レスポンダを保存する と、その Location [ 場所 ] を変更できなくなります。 ホスト名 OCSP レスポンダのホスト名 ( 推奨 ) または IP アドレスを入力し ます。PAN-OS はこの値から URL を自動的に導出し、検証する 証明書にその URL を追加します。ファイアウォールを OCSP レ スポンダとして設定する場合、ホスト名は、ファイアウォールが OCSP サービスに使用するインターフェイスの IP アドレスに解 決される必要があります。 SSL/TLS サービスプロファイルの管理 Device > Certificate Management > SSL/TLS Service Profile [ ࢹࣂࢫ > ド᫂᭩ࡢ⟶⌮ > SSL/TLS ࢧ࣮ࣅࢫ ࣉࣟࣇࣝ ] Panorama > Certificate Management > SSL/TLS Service Profile [Panorama > ド᫂᭩ࡢ⟶ ⌮ > SSL/TLS ࢧ࣮ࣅࢫ ࣉࣟࣇࣝ ] SSL/TLS サービスプロファイルでは、SSL/TLS を使用するファイアウォールサービスの証明 書およびプロトコルバージョンまたはバージョンの範囲を指定します。プロトコル バージョ ンを定義することで、サービスを要求するクライアントとの通信の保護に使用できる暗号ス イートをプロファイルで制限できます。 プロファイルを追加するには、Add [ 追加 ] をクリックし、以下の表のフィールドを入力して、 OK をクリックします。 プロファイルをコピーするには、プロファイルを選択して Clone [ コピー ] をクリックし、OK をクリックします。 プロファイルを削除するには、プロファイルを選択して Delete [ 削除 ] をクリックします。 表 54 SSL/TLS サービス プロファイルの設定 フィールド 内容 名前 プロファイルの識別に使用する名前を入力します ( 最大 31 文字 )。 名前では大文字と小文字を区別します。英字、数字、スペース、 ハイフン、およびアンダースコアのみを使用し、一意である必要 があります。 共有 ファイアウォールに複数の仮想システム(vsys)がある場合、プ ロファイルをすべての仮想システムで使用できるようにするに は、このオプションを選択します。デフォルトでは、このチェッ クボックスはオフになっており、プロファイルは、Device [ デバ イス ] タブの Location [ 場所 ] ドロップダウンリストで選択した vsys のみにおいて使用できます。 証明書 プロファイルに関連付ける証明書の選択、インポート、または生 成を行います。「ファイアウォールおよび Panorama 証明書の管 理」を参照してください。 注意 ! SSL/TLS サービスには認証局 (CA) 証明書は使用せずに、署 名付き証明書のみを使用しでください。 最小バージョン このプロファイルの割り当て先のサービスで使用できる最も古 い TLS バージョンを選択します。TLSv1.0、TLSv1.1、または TLSv1.2。 116 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 証明書の管理 表 54 SSL/TLS サービス プロファイルの設定 フィールド 内容 最大バージョン このプロファイルの割り当て先のサービスで使用できる最も新 しい TLS バージョンを選択します。TLSv1.0、TLSv1.1、TLSv1.2、 または Max [ 最大 ] (入手可能な最新バージョン)。 SCEP 設定プロファイルの定義 Device > Certificate Management > SCEP [ ࢹࣂࢫ > ド᫂᭩ࡢ⟶⌮ > SCEP] SCEP(Simple Certificate Enrollment Protocol)は、多数のエンドポイントに対し、それぞれ 個別の証明書を発行するメカニズムを備えています。SCEP 設定を作成する場合は Device > Certificate Management > SCEP [ デバイス > 証明書の管理 > SCEP] を選択します。 SCEP のフィルタを追加する場合は、Add [ 追加 ] をクリックし、以下のフィールドに入力しま す。 表 55. SCEP 設定 フィールド 内容 名前 この SCEP 設定に、SCEP_Example など、分かりやすい名前を指定しま す。この名前により、それぞれの SCEP プロファイルと設定プロファイ ル中に含まれるその他のインスタンスが区別されます。 場所 マルチ仮想システムのあるシステムの場合はプロファイルの場所を選 択します。ここで設定する場所は SCEP 設定が入手できる場所を示しま す。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 117 証明書の管理 デバイス管理 表 55. SCEP 設定(続) フィールド 内容 ワン タイム パス ワード ( チャレンジ ) SCEP チャレンジ (任意)SCEP ベースの証明書発行をより安全に行いたい場合は、各回の 証明書要求について公開鍵基盤(PKI)およびポータルとの間に SCEP チャレンジレスポンス機能を設定することができます。 注:この機能の設定後はバックグラウンドで動作するため、追加の入力 が必要になることはありません。 SCEP Challenge [SCEP チャレンジ ] の Fixed [ 固定 ] および Dynamic [ 動的 ] のチャレンジにはワンタイムパスワード(OTP)が必要となりま す。しかし、クライアント側のインターフェイス(デバイスタブ)にお いて、固定および動的 OTP のパスワードの送信元は完全に異なります。 Fixed [ 固定 ] を選択した場合、OTP とは PKI の SCEP サーバーからコピー し、Fixed [ 固定 ] に設定した場合に表示されるポータルの Password [ パス ワード ] ダイアログに入力する文字列です。パスワードは「The enrollment challenge password is」[登録チャレンジパスワード] と記載されたフィー ルドに記入されており、例えば、Windows サーバー 2012 の場合は以下 のようになります。http://<hostname or IP>/CertSrv/ mscep_admin/。ポータルによる証明書要求について、各回でパスワー ドが変わることはありません。 「動的を」選択した場合、ユーザー名とパスワードの認証情報を指定し ます。これらの認証情報は SCEP サーバーのドメインから送られてくる 場合があります(PKI 管理者用の認証情報など)。SCEP Challenge Dynamic [SCEP チャレンジ - 動的 ] を選択した際に表示されるダイアロ グに認証情報を入力します。各回の証明書要求に対し SCEP サーバーが 透過的に OTP パスワードを生成する場合、ユーザー名およびパスワー ドが変更されることはありません。 (各回の証明書要求に際し「The enrollment challenge password is」[ 登録チャレンジパスワード ] の フィールドに表示された OTP は画面更新時に変更されます。)PKI はそ れぞれの新しいパスワードをポータルへ透過的に受け渡し、また、証明 書要求に対してそれらのパスワードを使用します。 注:米国連邦情報処理標準(FIPS)を順守するため、Dynamic [ 動的 ] を 選択し、HTTPS を使用する Server URL [ サーバー URL] を指定し、SSL を有効化します。(FIPS-CC の実施についてはファイアウォールのログイ ンページおよびファイアウォールのステータスバーに表示されます。 ) SCEP チャレンジオプションには以下のものがあります。 • None [ なし ] —(デフォルト)SCEP サーバーは証明書の発行前にポー タルとのチャレンジを行いません。 • Fixed [ 固定 ] — PKI インフラストラクチャ内の SCEP サーバーからパス ワードを入手します。 「The enrollment challenge password is」[ 登録チャ レンジパスワード ] のフィールドが表示されるページにアクセスする場 合は、適切な認証情報(例えば、PKI ログイン認証情報など)を使用し てください。一般的な OTP の入手先サーバーの URL は次のようなもの です。http://<hostname or IP>/CertSrv/mscep_admin/. パスワードダイアログにパスワードを入力またはコピー&ペーストし てください。 • Dynamic [ 動的 ] — 任意のユーザー名および OTP(多くの場合は PKI 管理者の認証情報となります)と、ポータルのクライアントがこれら の認証情報を送信する SCEP Server URL [ サーバー URL] を指定しま す。(一般的なサーバー URL の例には次のようなものがあります: http://<hostname or IP>/CertSrv/mscep_admin/.) SSL を有効にする場合は、SCEP サーバーのルート CA Certificate [CA 証明書 ] を選択します。また、必要に応じて Client Certificate [ クラ イアント証明書 ] を選択し、SCEP サーバーと GlobalProtect ポータル の間の相互 SSL 認証を有効にすることも可能です。 118 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 証明書の管理 表 55. SCEP 設定(続) フィールド 内容 設定 サーバー URL ポータルがリクエストを行い、SCEP サーバーからクライアント証明書 を入手する URL を入力します。例: http://<hostname or IP>/certsrv/mscep/ CA-IDENT 名 SCEP サーバーの識別に使用する文字列を入力します。最大で 255 文字 です。 サブジェクト SCEP サーバーが生成する証明書に使用するサブジェクト名を入力しま す。サブジェクトは、<attribute>=<value> の形式で識別される名前にし て、コモンネーム(CN)キーを含める必要があります。たとえば、 O=acme,CN=acmescep です。 CN を指定するには、以下の 2 つの方法があります。 •(推奨)Token-based CN [ トークンベース CN] — サブジェクト名の CN 部分の代わりに、サポートされているいずれかのトー クン ($USERNAME または $UDID)を入力します。GlobalProtect がエン ドポイントに SCEP 設定をプッシュすると、サブジェクト名の CN の 部分は、証明書の所有者の実際のユーザー名またはエンドポイントの UDID に置き換えられます。この方法により、SCEP サーバーが生成 する各証明書は、特定のユーザーまたはエンドポイントに対して必ず 一意になります。たとえば、O=acme,CN=$USERNAME. です。 • Static CN [ 静的 CN] — 指定する CN は、SCEP サーバーで発行される す べ て の 証 明 書 の サ ブ ジ ェ ク ト と し て 使 用 さ れ ま す。た と え ば、 O=acmej,CN=acmescep です。 サブジェクトの代替名タ イプ None [ なし ] 以外のタイプを選択した場合は、それぞれの値を入力する ためのダイアログが表示されます。 • RFC 822 Name [RFC822 名 ] — 証明書のサブジェクトあるいはサブ ジェクト代替名拡張子に電子メールアドレス名を入力します。 • DNS Name [DNS名] — 証明書の検証に使用するDNS名を入力します。 • Uniform Resource Identifier (URI) [ユニフォームリソース識別子(URI)] — クライアントが証明書を取得する URI リソース名を入力します。 暗号設定 • Number of Bits [ ビット数 ] — 証明書のキー用に Number of Bits [ ビット数 ] を選択します。ファイアウォールが FIPS-CC モードの 場合、生成されるキーは最低でも 2048 ビット以上である必要 があります。(FIPS-CC の実施についてはファイアウォールの ログインページおよびファイアウォールのステータスバーに 表示されます。) • Expiration (days) [ 有効期限(日)] — 証明書が有効である日数を入力 します。デフォルトは 365 日です。 注意 ! GlobalProtect サテライトにおいて Validity Period [ 有効期限 ] を設 定した場合は、この Expiration [ 有効期限 ] フィールドに入力した値が上 書きされます。 • Digest [ ダイジェスト ] — 証明書の Digest [ ダイジェスト ] アルゴリズ ムを選択します。SHA1、SHA256、SHA384、または SHA512。ファイ アウォールが FIPS-CC モードに設定されている場合、Digest [ ダイジェ スト ] アルゴリズムとして SHA256、SHA384、または SHA512 を選択 する必要があります。 デジタル証明書として使 用 デジタル署名の検証を行う際に、証明書に含まれる秘密鍵を使用するよ うにエンドポイントを設定する場合はこのオプションを選択してくだ さい。 キーの暗号化に使用 SCEP サーバーが発行する証明書を通して確立された HTTPS 接続を経 由して交換されたデータをクライアントのエンドポイントで暗号化す る際に、証明書に含まれる秘密鍵を使用するよう設定する場合はこのオ プションを選択します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 119 証明書の管理 デバイス管理 表 55. SCEP 設定(続) フィールド 内容 CA 証明書フィンガープ (任意)ポータルが正しい SCEP サーバーに確実に接続されるよう にするために、CA Certificate Fingerprint [CA 証明書フィンガープリン リント ト ] を入力します。SCEP サーバーインターフェイスの 「Thumbprint」[ 指紋 ] のフィールドからフィンガープリントを入 手してください。 SCEP サーバーの管理ユーザーインターフェイスにログインします (「http://<hostname or IP>/CertSrv/mscep_admin/」など)。 Thumbprint [ 指紋 ] をコピーし、CA Certificate Fingerprint [CA 証明書 フィンガープリント ] に入力します。 ファイアウォールにおける秘密鍵とパスワードの暗号化 Device > Master Key and Diagnostics [ ࢹࣂࢫ > ࣐ࢫࢱ࣮ ࣮࢟࠾ࡼࡧデ᩿ ] Panorama > Master Key and Diagnostics [Panorama > ࣐ࢫࢱ࣮ ࣮࢟࠾ࡼࡧデ᩿ ] ファイアウォールで秘密鍵を暗号化するためにマスター キーを指定する場合は、Device > Master Key and Diagnostics [ デバイス > マスターキーおよび診断 ] または Panorama > Master Key and Diagnostics [Panorama > マスターキーおよび診断 ] を開きます。マスター キーは、CLI へ のアクセスの認証に使用される RSA キーなどの秘密鍵の暗号化に使用され、秘密鍵は、ファ イアウォールにロードされるその他のキーと同様、ファイアウォールの Web インターフェイ スへのアクセスの認証に使用されます。マスター キーはその他すべてのキーの暗号化に使用 されるため、必ず安全な場所に保存してください。 新しいマスター キーが指定されていない場合でも、秘密鍵はデフォルトで暗号化形式を使用 してファイアウォールに保存されます。このマスター キー オプションによって、セキュリ ティのレイヤーが追加されます。 ファイアウォールが高可用性(HA)設定の場合、秘密鍵と証明書が同じキーで暗号化される ように、両方のファイアウォールで必ず同じマスターキーを使用してください。マスター キー が異なると、HA 設定の同期は適切に動作しません。 マスターキーを追加する場合は [ マスターキー ] の設定を編集し、以下の表を使用して適切な 値を入力します。 表 56. Master Key and Diagnostics [ マスター キーおよび診断 ] の設定項目 フィールド 内容 現在のマスター キー ファイアウォールでのすべての秘密鍵とパスワードの暗号化で現在使用 されている鍵を指定します。 新規マスター キー 再入力新規マスター キー マスター キーを変更するには、16 文字の文字列を入力して新しい鍵を確 認します。 ライフ タイム リマインダーの時間 マスターキーが期限切れになるまでの期間を日数と時間数で指定します (範囲は 1 ∼ 730 日)。 有効期限が切れる前にマスター キーを更新する必要があります。マス ター キーの更新の詳細は、 「ファイアウォールの HA の有効化」を参照し てください。 有効期限が迫っていることをユーザーに通知する時期を、期限切れまで の日数と時間数で指定します(範囲は 1 ∼ 365 日)。 120 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 ファイアウォールの HA の有効化 表 56. Master Key and Diagnostics [ マスター キーおよび診断 ] の設定項目(続) フィールド 内容 HSM に保管 マスター キーがハードウェア セキュリティ モジュール (HSM) で暗号化 される場合はこのチェック ボックスをオンにします。DHCP クライアン トや PPPoE などのダイナミック インターフェイスで HSM を使用するこ とはできません。 HSM 設定は、高可用性モードのピアファイアウォール間では同期されま せん。したがって、HA ペアの各ピアは異なる HSM ソースに接続できま す。Panorama を使用していて両方のピアの設定の同期を保つには、 Panorama テンプレートを使用して管理対象ファイアウォールで HSM ソースを設定します。 HSM は、PA-200、PA-500、および PA-2000 シリーズではサポートされ ていません。 共通基準 共通基準モードでは、別のオプションを使用して、暗号化アルゴリズム 自己テストとソフトウェア整合性自己テストを実行できます。また、こ の 2 つの自己テストを実行する時刻を指定するためのスケジューラも用 意されています。 ファイアウォールの HA の有効化 Device > High Availability [ ࢹࣂࢫ > 㧗ྍ⏝ᛶ ] 冗長性を確保するため、Palo Alto Networks 次世代ファイアウォールを高可用性設定でデプ ロイします。HA のデプロイには 2 つの種類があります。 • active/passive [ アクティブ / パッシブ ] — このデプロイ環境において、アクティブなピア は 2 つの専用インターフェイスを通じ、設定内容とセッション情報をパッシブピアへ継続 的に同期させます。アクティブなファイアウォールのハードウェアまたはソフトウェアに おいて障害が発生した場合、サービスを停止させることなく、パッシブなファイアウォー ルが自動的にアクティブに切り替わります。 アクティブ / パッシブの HA 導入環境は、 バー チャルワイヤー、レイヤー 2、またはレイヤー 3 のすべてのインターフェイスモードでサ ポートされています。 • active/active [ アクティブ / アクティブ ] — このデプロイ環境では、両方の HA ピアがア クティブに設定されトラフィックの処理を行います。このような導入環境は非対称的な ルーティングを行っている場合や、動的ルーティングプロトコル(OSPF、BGP)に両方 のピアをアクティブに保たせたい場合に適しています。アクティブ / アクティブ HA は、 バーチャルワイヤーモードとレイヤー3 モードのみにおいてサポートされます。アクティ ブ / アクティブの導入環境では、HA1 リンクと HA2 リンクに加え、専用の HA3 リンク が必要です。HA3 リンクは、セッションセットアップと非対称トラフィック処理用のパ ケット転送リンクとして使用されます。 HA ペアでは、両方のピアが同じモデルで同じバージョンの PAN-OS およびコンテ ンツリリースを実行し、同じセットのライセンスを使用している必要があります。 また、VM-Series ファイアウォールの場合、両方のピアが同じハイパーバイザに存 在していて、各ピアに同じ数の CPU コアが割り当てられている必要があります。 • 「HA ライト」 • 「HA 設定時の重要事項」 • 「HA 設定の編集」 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 121 ファイアウォールの HA の有効化 デバイス管理 HA ライト PA-200 ファイアウォールは、セッション同期化を含まないアクティブ / パッシブ HA の「ラ イト」バージョンをサポートしています。HA ライトは、設定の同期と一部の実行時の項目の 同期を提供します。またレイヤー 3 モードが設定されているときに、IPSec トンネルのフェイ ルオーバー(セッションは再確立される必要があります)、DHCP サーバーリース情報、DHCP クライアントリース情報、PPPoE リース情報、およびファイアウォールの転送テーブルをサ ポートします。 HA 設定時の重要事項 • ローカル IP とピア IP に使用するサブネットは、仮想ルーターの他の場所で使用しないで ください。 • それぞれのファイアウォールのOSとコンテンツリリースのバージョンは一致している必 要があります。一致していない場合はファイアウォールの同期が阻害される恐れがあり ます。 • HA ポートの LED は、アクティブ ファイアウォールが緑、パッシブ ファイアウォールが 黄色になります。 • ローカル ファイアウォールとピア ファイアウォールの設定を比較するには、Device [ デバ イス ] タブの Config Audit [ 設定監査 ] ツールを使用し、左の選択ボックスで対象のローカ ル設定を、右の選択ボックスでピア設定を選択します。 • Web インターフェイスからファイアウォールを同期する場合は、Dashboard [ ダッシュ ボード ] の HA ウィジェットにある Push Configuration [ 設定をプッシュ] をクリックしま す。プッシュを行うファイアウォールの設定内容が、ピアファイアウォールの設定内容 に上書きされます。アクティブファイアウォールの CLI からファイアウォールを同期す る場合は、コマンド「request high-availability sync-to-remote running-config」 を使用します。 10 ギガビットの SFP+ ポートを使用するファイアウォールの高可用性(HA)アクティブ / パッ シブ設定では、フェイルオーバーが発生してアクティブファイアウォールがパッシブ状態にな る際に、10 ギガビット Ethernet ポートを一度ダウンさせてから再度開通させることでポートが 更新されますが、ファイアウォールが再度アクティブになるまで送信機能は有効になりませ ん。隣接するデバイスでソフトウェアをモニターしている場合、ポートがダウンしてから再度 開かれているため、ポートのフラッピングが発生していると見なされます。これは、1 ギガビッ ト Ethernet ポートなどの他のポートとは異なる動作です。他のポートでは無効になった場合で も送信は許可されるため、隣接するデバイスでフラッピングは検出されません。 122 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 ファイアウォールの HA の有効化 HA 設定の編集 HA 設定を編集する場合は Device > High Availability [ デバイス > 高可用性 ] を開き、それぞれ の設定グループごとに、以下の表に記載されている情報を指定していきます。 表 57. 高可用性の設定 フィールド 内容 General [ 全般 ] タブ セットアップ 以下の設定を指定します。 • Enable HA [HA の有効化 ] — 機能をアクティベーションします。 • Group ID [ グループ ID] — HA ペアの識別に使用する数値(1 ∼ 63)を入 力します。このフィールドは複数の HA ペアが同じブロードキャストドメ インに存在する場合に設定が必須(かつ一意である必要があります)とな ります。 • Description [ 内容 ] — HA ペアの説明を入力します ( 任意 )。 • Mode [ モード ] — HA 導入環境のタイプを設定します。Active Passive [ ア クティブ / パッシブ ] または Active Active [ アクティブ / アクティブ ] • Device ID [ デバイス ID] — アクティブ / アクティブの設定の場合、デバイ ス ID を設定し、アクティブ - プライマリのピア(Device ID [ デバイス ID] を 0 に設定)とアクティブ - セカンダリのピア(Device ID [ デバイス ID] を 1 に設定)を設定します。 • Enable Config Sync [ 設定の同期を有効化 ] — 設定内容をピア間で同期さ せる場合はこのオプションを選択します。設定の同期は常に有効化するこ とを推奨します。 • Peer HA1 IP Address [ ピア HA1 の IP アドレス ] — ピアファイアウォール の HA1 インターフェイスの IP アドレスを入力します。 • Backup Peer HA1 IP Address [ バックアップ側ピア HA の IP アドレス ] — ピアのバックアップ制御リンクの IP アドレスを入力します。 アクティブ / パッシブ 設定 • Passive Link State [ パッシブリンクの状態 ] — 以下のうち 1 つを選択し、 パッシブなファイアウォールのデータリンクの接続状態を保つかどうか を指定します。このオプションは AWS の VM-Series ファイアウォールで は使用できません。 – auto [ 自動 ] — 物理的な接続を持つリンクは、物理的には接続しつつも 無効化された状態が保たれ、ARP 学習やパケット転送には参加しませ ん。接続が再開されるまでの時間が短縮されるので、フェイルオーバー 中の収束時に役立ちます。ネットワークループを防ぐため、ファイア ウォールにレイヤー2 インターフェイスが設定されている場合はこのオ プションを選択しないでください。 – shutdown [ シャットダウン ] — 強制的にインターフェイス リンクをダ ウン状態にします。これはデフォルトのオプションです。このオプショ ンでは、ネットワークにループが起きません。 Monitor Fail Hold Down Time (min) [ モニター障害時ホールド ダウン タイム ( 分 )] — この値 (1 ∼ 60 分 ) により、ファイアウォールがパッシブになる前 に Non-functional 状態で待機する間隔が決まります。このタイマは、リン クまたはパス モニタリングの障害が原因でハートビートおよび hello メッ セージが届かない場合に使用します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 123 ファイアウォールの HA の有効化 デバイス管理 表 57. 高可用性の設定(続) フィールド 内容 選択設定 以下の設定を指定または有効化します。 • Device Priority [ デバイス優先度 ] — アクティブ ファイアウォールの識別に 使用する優先度の値を入力します。ペアの両方のファイアウォールでプリエ ンプティブ機能が有効になっている場合、値が低い(優先順位が高い)ファ イアウォールがアクティブファイアウォール(範囲は 0 ∼ 255)になります。 • Heartbeat Backup [ ハートビートバックアップ ] — HA ファイアウォール で管理ポートを使用して、ハートビートおよび hello メッセージのバック アップパスを提供します。管理ポートの IP アドレスは、HA ピアと HA1 制御リンク経由で共有されます。追加の設定は必要ありません。 • Preemptive [ プリエンプティブ ] — 優先順位の高いファイアウォールが障 害から回復した後にアクティブ(アクティブ / パッシブ)あるいはアクティ ブ - プライマリ(アクティブ / アクティブ)な動作を再開できるようにしま す。優先度値の高いファイアウォールが障害から回復したときにアクティ ブまたはアクティブ - プライマリのファイアウォールとしての動作を再開 できるようにするには、両方のファイアウォールでプリエンプティブオプ ションを有効にする必要があります。この設定がオフの場合、優先度の高 いファイアウォールが障害から回復した後も、優先度が低いファイア ウォールがアクティブあるいはアクティブ - プライマリのまま動作します。 • HA Timer Settings [HA タイマー設定 ] — 以下のいずれかの事前設定プロ ファイルを選択します。 – Recommended [ 推奨 ]:一般的なフェイルオーバータイマー設定で使用 します。 – Aggressive [ アグレッシブ ]:高速のフェイルオーバータイマー設定で 使用します。 ヒント:プロファイルに含まれる個々のタイマーの事前設定値を表示するに は、Advanced [ 詳細 ] を選択して Load Recommended [ 推奨をロード ] また は Load Aggressive [ アグレッシブをロード ] をクリックします。お使いの ハードウェアモデルの事前設定値が画面に表示されます。 – Advanced [ 詳細 ] — 以下の各タイマーに対して、ネットワーク要件に合 わせて値をカスタマイズできます。 – Promotion Hold Time [ プロモーションホールドタイム ] — パッシブピ ア(アクティブ / パッシブモードの場合)またはアクティブ - セカンダ リピア(アクティブ / アクティブモードの場合)が、HA ピアとの通信 が失われた後でアクティブピアまたはアクティブ - プライマリピアの役 割を引き継ぐまでに待機する時間を入力します。このホールド タイム は、ピアの障害宣言が行われた後に開始されます。 – Hello Interval [Hello 間隔 ] — もう一方のファイアウォールの HA プロ グラムが動作していることを確認するための hello パケットの送信間隔 をミリ秒単位で入力します(範囲は 8,000 ∼ 60,000、デフォルトは 8,000)。 – Heartbeat Interval [ ハートビート間隔 ] — HA ピアが ICMP ping の形 式でハートビートメッセージを交換する頻度を指定します(範囲は1,000 ∼ 60,000 ミリ秒、デフォルトは 1000 ミリ秒)。例えば、PA-2000 以下の モデルにおける推奨値は 2,000 ミリ秒です。 – Maximum No. of Flaps [ 最大フラップ数 ] — フラップは、 ファイアウォー ルが前回の非アクティブ状態発生から 15 分以内に再び非アクティブ状 態になるとカウントされます。許容する最大フラップ数を指定できます (範囲は 0 ∼ 16、デフォルトは 3) 。フラップ数がこの最大数に達すると ファイアウォールがサスペンドしたと判断されてパッシブファイア ウォールが引き継ぎます。値 0 を指定すると最大数は設定されません ( 何回フラップが発生してもパッシブ ファイアウォールは引き継がない)。 124 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 ファイアウォールの HA の有効化 表 57. 高可用性の設定(続) フィールド 内容 – Preemption Hold Time [ プリエンプションホールドタイム ] — パッシブ ピアまたはアクティブ - セカンダリピアがアクティブピアまたはアク ティブ - プライマリピアとしての役割を引き継ぐまでに待機する時間を 分単位で入力します(範囲は 1 ∼ 60、デフォルトは 1)。 – Monitor Fail Hold Up Time (ms) [ モニター障害時ホールド アップ タイ ム ( ミリ秒 )] — パス モニターまたはリンク モニターに障害が発生した 後にファイアウォールがアクティブのままでいる時間を指定します。隣 接するデバイスの偶発的なフラッピングによるHAのフェイルオーバー を回避するためには、この設定をお勧めします(範囲は 0 ∼ 60000 ミリ 秒、デフォルトは 0 ミリ秒 )。 – Additional Master Hold Up Time (min) [ 追加のマスターホールドアップタ イム(分)] — この時間間隔は、Monitor Fail Hold Up Time [ モニター障 害時ホールドアップタイム ] と同じイベントに適用されます(範囲は 0 ∼ 60000 ミリ秒、デフォルトは 500 ミリ秒 )。追加の時間間隔は、アクティ ブ / パッシブモードのアクティブピアとアクティブ / アクティブモードの アクティブなプライマリピアにのみ適用されます。両方のピアで同じリ ンク/パスモニターの障害が同時に発生した場合にフェイルオーバーを回 避するためには、このタイマを設定することをお勧めします。 コントロール リンク (HA1)/C コントロー ル リンク (HA1 バッ クアップ ) HA 制御リンク接続の推奨設定は、2 つのファイアウォール間で専用の HA1 リンクを使用し、制御リンク(HA バックアップ)インターフェイスとして 管理ポートを使用することです。この場合、Elections Settings [ 選択設定 ] ページの Heartbeat Backup [ ハートビート バックアップ ] オプションを有効 にする必要はありません。制御リンク HA リンクに物理 HA1 ポートを使用 し、制御リンク (HA バックアップ ) にデータ ポートを使用している場合は、 Heartbeat Backup [ ハートビート バックアップ ] オプションを有効にするこ とをお勧めします。 PA-200 ファイアウォールなど専用の HA ポートがないファイアウォールの 場合は、制御リンク HA 接続に管理ポートを設定し、制御リンク HA1 バッ クアップ接続にタイプをHAに設定したデータポートインターフェイスを設 定する必要があります。この場合、管理ポートが使用されているため、 Elections Settings [ 選択設定 ] ページで Heartbeat Backup [ ハートビートバッ クアップ ] オプションを有効にする必要はありません。ハートビートバック アップは管理インターフェイス接続を使用して行われるためです。 AWS の VM-Series ファイアウォールでは、管理ポートが HA1 リンクとして 使用されます。 推奨設定:HA 制御リンクにデータポートを使用する場合、制御メッ セージはデータプレーンから管理プレーンに通信する必要があるた め、データプレーンで障害が発生すると、ピア間で HA 制御リンク 情報を通信することができず、フェイルオーバーが発生します。最 善策は専用の HA ポートを使用することですが、専用の HA ポート がないファイアウォールでは管理ポートを使用します。 プライマリおよびバックアップ HA 制御リンクの以下の設定を指定します。 • Port [ ポート ] — プライマリおよびバックアップの HA1 インターフェイ スの HA ポートを選択します。バックアップの設定は任意です。 • IPv4/IPv6 Address [IPv4/IPv6 アドレス ] — プライマリおよびバックアッ プの HA1 インターフェイスとなる HA1 インターフェイスの IPv4 または IPv6 アドレスを入力します。バックアップの設定は任意です。 • Netmask [ ネットマスク ] — プライマリおよびバックアップの HA1 イン ターフェイスの IP アドレスのネットワークマスク(「255.255.255.0」など) を入力します。バックアップの設定は任意です。 • Gateway [ ゲートウェイ ] — プライマリおよびバックアップの HA1 イン ターフェイスのデフォルトゲートウェイの IP アドレスを入力します。バッ クアップの設定は任意です。 • Link Speed [ リンク速度 ] — (専用 HA ポートをもつモデルのみ)専用の HA1 ポートにおけるファイアウォール間の制御リンクの速度を選択しま す。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 125 ファイアウォールの HA の有効化 デバイス管理 表 57. 高可用性の設定(続) フィールド 内容 • Link Duplex [ リンクデュプレックス ] —(専用 HA ポートをもつモデルの み) — 専用のHA1ポートにおけるファイアウォール間の制御リンクのデュ プレックスオプションを選択します。 • Encryption Enabled [ 暗号化を有効化 ] — HA キーを HA ピアからエクス ポートしてこのファイアウォールにインポートした後で、暗号化を有効に します。さらに、このファイアウォールの HA キーは、一度エクスポート を行い HA ピアにインポートする必要があります。プライマリ HA1 イン ターフェイスについてこの設定を行います。キーのインポート/エクスポー トは Certificates [ 証明書 ] ページで実行します ( 証明書プロファイルの作 成を参照 )。 • Monitor Hold Time (ms) [ ホールドタイムのモニター(ミリ秒)] — 制御リ ンク障害によるピア障害を宣言するまでにファイアウォールが待機する 時間(ミリ秒)を入力します(範囲は 1,000 ∼ 60,000 ミリ秒、デフォルト は 3000 ミリ秒)。このオプションは HA1 ポートの物理リンクの状態をモ ニターします。 データ リンク (HA2) プライマリおよびバックアップ データ リンクの以下の設定を指定します。 • Port [ ポート ] — HA ポートを選択します。プライマリおよびバックアッ プの HA2 インターフェイスについてこの設定を行います。バックアップ の設定は任意です。 • IP Address [IP アドレス ] — プライマリおよびバックアップの HA2 イン ターフェイスとなる HA インターフェイスの IPv4 または IPv6 アドレスを 指定します。バックアップの設定は任意です。 • Netmask [ ネットマスク ] — プライマリおよびバックアップの HA2 イン ターフェイスとなる HA インターフェイスのネットワーク マスクを指定 します。バックアップの設定は任意です。 • Gateway [ ゲートウェイ ] — プライマリおよびバックアップの HA2 イン ターフェイスとなる HA インターフェイスのデフォルトゲートウェイを 指定します。バックアップの設定は任意です。ファイアウォールの HA2 IP アドレスが同じサブネット上にある場合、[ ゲートウェイ ] フィールドは空 白のままにしておく必要があります。 • Enable Session Synchronization [ セッション同期を有効にする ] — セッ ション情報をパッシブ ファイアウォールと同期できるようにし、転送オプ ションを選択します。 • Transport [ 転送 ] — 以下のいずれかの転送オプションを選択します。 – Ethernet [ イーサネット ] — ファイアウォールが逆並列で接続されている かスイッチを介して接続されている場合に使用します (Ethertype 0x7261)。 – IP—レイヤー 3 転送が必要な場合に使用します (IP プロトコル番号 99)。 – UDP—IP オプションでの場合と同じように、チェックサムがヘッダーの みではなくパケット全体に基づいて計算されることを利用するために使 用します (UDP ポート 29281)。UDP モードの利点は UDP チェックサム にあり、セッション同期メッセージの整合性を検証することができます。 • Link Speed [ リンク速度 ] —(専用 HA ポートをもつモデルのみ)専用の HA2 ポートにおけるピア間の制御リンクの速度を選択します。 • Link Duplex [ リンクデュプレックス ] —(専用 HA ポートをもつモデルの み ) — 専用の HA2 ポートにおけるピア間の制御リンクのデュプレックス オプションを選択します。 126 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 ファイアウォールの HA の有効化 表 57. 高可用性の設定(続) フィールド 内容 • HA2 keep-alive [HA2 キープアライブ ] — HA ピア間の HA2 データリンク の健康状態のモニタリングを有効にするには、このオプションを選択しま す。このオプションはデフォルトで無効化されていますが、片方、あるい は両方のピアで有効化することができます。有効化した場合、ピアはキー プアライブメッセージを使用して HA2 接続をモニターし、設定した Threshold [ しきい値 ] に従って障害を検知します(デフォルトは 10000 ミ リ秒)。HA2 キープアライブを有効化した場合、HA2 キープアライブ復旧 アクションが行われます。Action [ アクション ] を選択します。 – Log Only [ ログのみ ] — HA2 インターフェイスの障害を、重要イベント としてシステムログに記録します。アクティブ / パッシブのデプロイ環 境の場合、トラフィックを転送するファイアウォールはアクティブなピ アのみなので、このオプションを選択してください。パッシブなピアは バックアップ状態にあり、トラフィックを転送していないため、スプ リットデータパスは不要です。HA2 バックアップリンクを設定してい ない場合、状態の同期は無効になっています。HA2 パスが回復すると、 情報ログが生成されます。 • Split Datapath [ スプリットデータパス ] — アクティブ / アクティブの HA デプロイ環境の場合はこのオプションを選択し、それぞれのピアに対し、 HA2 インターフェイスの障害を検知した際はそれぞれのローカルステー トとセッションテーブルの所有権を取るよう指示します。HA2 の接続が無 い場合、状態の同期とセッションの同期は行われません。同期とは、セッ ションテーブルを個別に管理し、各 HA ピアからのトラフィックの転送を 正常に行えるようにするためのものです。この状態を防ぐために、HA2 バックアップリンクを設定してください。 – Threshold (ms) [ しきい値(ミリ秒)] — 上記のいずれかのアクション がトリガーされる前にキープアライブ メッセージが失敗した期間です (範囲は 5,000 ∼ 60,000 ミリ秒、デフォルトは 10000 ミリ秒) 。 注:HA2 バックアップ リンクが設定されていると、物理リンク障害がある 場合は HA2 バックアップ リンクのファイルオーバーが発生します。[HA2 キープアライブ ] オプションが有効にされている場合、定義されたしきい値 に基づいて HA キープアライブ メッセージが失敗すると、ファイルオーバー が発生します。 リンクおよびパスのモニタリングタブ(AWS の VM-Series ファイアウォールでは 使用できません) パス モニタリング © Palo Alto Networks, Inc. 以下を指定します。 • Enabled [ 有効 ] — パスのモニタリングを有効にします。パスのモニタリ ングをオンにすると、ファイアウォールは指定した宛先 IP アドレスをモニ ターするために ICMP ping メッセージを送信し、レスポンスがあることを 確認します。フェイルオーバー用に他のネットワーク デバイスのモニタリ ングが必要であったり、リンクのモニタリングのみでは不十分である場合 に、バーチャル ワイヤー、レイヤー 2、またはレイヤー 3 設定でパスのモ ニタリングを使用します。 • Failure Condition [ 失敗条件 ] — モニターしているパス グループの一部ま たはすべてで応答できない場合にフェイルオーバーを発生させるかどう かを選択します。 Web インターフェイス リファレンス ガイド、バージョン 7.1 • 127 ファイアウォールの HA の有効化 デバイス管理 表 57. 高可用性の設定(続) フィールド 内容 パス グループ 特定の宛先アドレスをモニターする 1 つ以上のパス グループを定義します。 パス グループを追加するには、インターフェイス タイプ (Virtual Wire [ バー チャル ワイヤー ]、VLAN、または Virtual Router [ 仮想ルーター ]) に対し て Add [ 追加 ] をクリックして、以下を指定します。 • Name [ 名前 ] — バーチャルワイヤー、VLAN、または仮想ルーターをド ロップダウンリストから選択します ( ドロップダウンリストには、バー チャルワイヤー、VLAN、または仮想ルーターのどのパスを追加したかに 応じて、データが入力されます )。 • Enabled [ 有効 ] — パス グループを有効にします。 • Failure Condition [ 失敗条件 ] — 指定した宛先アドレスの一部またはすべ てが応答できない場合に、エラーを発生させるかどうかを選択します。 • Failure Condition [ 送信元 IP] — バーチャル ワイヤーおよび VLAN のイン ターフェイスの場合、ネクストホップ ルータ ( 宛先 IP アドレス ) に送信さ れるプローブ パケットで使用する送信元 IP アドレスを入力します。ロー カル ルータでアドレスをファイアウォールにルーティングできる必要が あります。仮想ルーターに関連付けられたパス グループの送信元 IP アド レスは、指定された宛先 IP アドレスの出力インターフェイスとしてルート テーブルに示されているインターネット IP アドレスとして自動的に設定 されます。 • Destination IPs [ 宛先 IP] — モニター対象となる 1 つ以上の ( コンマ区切 りの ) 宛先アドレスを入力します。 • Ping 間隔 — 宛先アドレスに送信される ping 間の間隔を指定します(範囲 は 200 ∼ 60000 ミリ秒、デフォルトは 200 ミリ秒)。 • Ping 数 — 障害を宣言するまでに試行する Ping 数を指定します(範囲は 3 ∼ 10 回、デフォルトは 10 回) 。 リンク モニタリング 以下を指定します。 • Enabled [ 有効 ] — リンクのモニタリングを有効にします。リンクのモニ タリングによって、物理リンクまたは物理リンクのグループに障害が発生 した場合にフェイルオーバーのトリガーになります。 • Failure Condition [ 失敗条件 ] — モニターしているリンク グループの一部 またはすべてに障害が発生した場合にフェイルオーバーが発生するかど うかを選択します。 リンクグループ 特定の Ethernet リンクをモニターする 1 つ以上のリンク グループを定義し ます。リンク グループを追加するには、以下を指定して Add [ 追加 ] をク リックします。 • Name [ 名前 ] — リンク グループ名を入力します。 • Enabled [ 有効 ] — リンク グループを有効にします。 • Failure Condition [ 失敗条件 ] — 選択したリンクの一部またはすべてに障 害が発生した場合にエラーを発生させるかどうかを選択します。 • Interfaces [ インターフェイス ] — モニターする 1 つ以上の Ethernet イン ターフェイスを選択します。 Active/Active Config [ アクティブ / アクティブ設定 ] パケット転送 ピアによる、セッション設定用およびレイヤー 7 の検査用(App-ID、コン テンツ ID、および脅威検査)の、HA3 リンクを経由したパケットの転送を Enable [ 有効化 ] します。 128 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 ファイアウォールの HA の有効化 表 57. 高可用性の設定(続) フィールド 内容 HA3 インターフェイ ス アクティブ / アクティブの HA ピア間のパケットの転送に使用しようとして いるデータインターフェイスを選択します。ここで使用するインターフェイ スはタイプを HA に設定した専用のレイヤー 2 インターフェイスである必要 があります。 推奨設定:HA3 リンクに障害が発生した場合、アクティブ - セカンダリピア は機能停止状態に移行します。この状態に移行しないようにするためには、 HA3リンクとして2つ以上の物理インターフェイスをもつリンク集約グルー プ(LAG)インターフェイスを設定します。HA3 バックアップリンクはファ イアウォールでサポートされていません。複数のインターフェイスをもつ集 約グループにより、追加の容量とリンクの冗長性を確保し、HA ピア間のパ ケット転送を補助することができます。 注:HA3 インターフェイスを使用している場合、ファイアウォールとすべ ての中継ネットワーク デバイスで Jumbo Frame を有効にする必要があり ます。ジャンボフレームを有効にする場合は、Device > Setup > Session [ デバイス > 設定 > セッション ] を選択し、Enable Jumbo Frame [ ジャ ンボフレームの有効化 ] オプションを選択します。 VR 同期 HA ピアに設定されたすべての仮想ルーターの同期を強制します。 仮想ルーターが動的ルーティングプロトコル用に設定されていない場合は このオプションを使用します。両方のピアが交換網を介して同じネクスト ホップルーターに接続されている必要があり、スタティックルーティングの みを使用している必要があります。 QoS 同期 すべての物理インターフェイスの QoS プロファイル選択を同期します。両 方のピアのリンク速度が同様で、すべての物理インターフェイスで同じ QoS プロファイルが必要な場合には、このオプションを選択します。この設定は、 Network [ ネットワーク ] タブの QoS 設定の同期に影響します。QoS ポリ シーは、この設定に関係なく同期されます。 仮の保留時間 ( 秒 ) HA がアクティブ / アクティブに設定されたファイアウォールで障害が発生 すると、一時的な状態に入ります。暫定的な状態からアクティブ - セカンダ リの状態に移行することにより、Tentative Hold Time [ 暫定的な状態の保留 時間 ] がトリガーされ、ファイアウォールはパケットの処理を開始する前に、 この時間中に隣接デバイスへのルーティングを試行してルートテーブルを 埋めようとします。このタイマーを使用しない場合、ファイアウォールの回 復時にただちにアクティブ - セカンダリ状態になり、必要なルートがないた めパケットがブラックホール状態になります ( デフォルトは 60 秒 )。 セッション オーナー セッションオーナーには、そのセッション内のすべてのレイヤー 7 検査 (App-ID、およびコンテンツ ID)、およびそのセッション内のすべてのトラ の選択 フィックログを生成する役割があります。以下のオプションのうち 1 つを選 択し、パケットに対するセッションオーナーの決定方法を指定します。 • First packet [ 最初のパケット ] — そのセッションの最初のパケットを受信 するファイアウォールをセッションオーナーとして指定する場合はこの オプションを選択します。HA3 を経由するトラフィックを最小化し、デー タプレーン負荷をピアに分散したい場合におすすめの設定です。 • Primary Device [ プライマリデバイス ] — アクティブ - プライマリのファ イアウォールをすべてのセッションオーナーとして設定したい場合はこ のオプションを選択します。この場合、アクティブ - セカンダリのファイ アウォールが最初のパケットを受信すると、レイヤー 7 検査を必要とする すべてのパケットを HA3 リンクを経由してアクティブ - プライマリのファ イアウォールへ転送します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 129 ファイアウォールの HA の有効化 デバイス管理 表 57. 高可用性の設定(続) フィールド 内容 セッションセット アップ セッションセットアップを行うファイアウォールはレイヤー 4 の処理(アド レスの変換を含む)を通じてレイヤー 2 を実行し、セッションテーブルエン トリを作成します。セッションセットアップは管理プレーンのリソースを消 費するため、以下のうち 1 つのオプションを選択して負荷を分散することが できます。 • Primary Device [ プライマリデバイス ] — アクティブ - プライマリのデバ イスがすべてのセッションを確立します。 • IP Modulo [IP モジュロ ] — 送信元 IP アドレスのパリティに基づいて、セッ ションセットアップを分散させます。 • IP Hash [IP ハッシュ ] — よりランダムに分散する必要がある場合は、送信 元 IP アドレスまたは送信元と宛先の IP アドレス、およびハッシュシード 値を使用してセッションセットアップを分散させます。 • First Packet [最初のパケット] — ピアがセッションオーナーである場合を 含め、最初のパケットを受信したファイアウォールがセッションセット アップを行います。このオプションでは HA3 リンクを経由するトラフィッ クが最小限にとどめられ、管理プレーンに負荷がかかるセッションセット アップが、最初のパケットを受信するファイアウォールで必ず行われるよ うになります。 仮想アドレス Add [ 追加 ] をクリックし、IPv4 または IPv6 のタブを選択し、再度 Add [ 追 加 ] をクリックしてオプションを入力し、使用する HA 仮想アドレスのタイ プを指定します。フローティングまたは ARP ロードシェアリングペア内で は複数の仮想アドレスのタイプを混在させることもできます。例えば、LAN インターフェイスで ARP ロードシェアリングを使用し、WAN インターフェ イスではフローティング IP を使用することができます。 • Floating [ フローティング ] — リンクまたはシステム障害が発生した場合 に、HA ピア間で移動する IP アドレスを入力します。それぞれのファイア ウォールが 1 つを所有できるよう、2 つのフローティング IP アドレスを設 定し、優先順位を設定します。どちらかのファイアウォールに障害が発生 した場合、フローティング IP アドレスが HA ピアに移行されます。 – Device 0 Priority [ デバイス 0 優先順位 ] — デバイス ID が 0 のファイア ウォールにフローティング IP アドレスの優先所有権をもたせます。最 も低い値をもつファイアウォールの優先順位が最も高くなります。 – Device 1 Priority [ デバイス 1 優先順位 ] — デバイス ID が 0 のファイア ウォールにフローティング IP アドレスの優先所有権をもたせます。最 も低い値をもつファイアウォールの優先順位が最も高くなります。 – Failover address if link state is down [ リンク状態がダウンの場合アド レスをフェイルオーバー ] — インターフェイスのリンク状態がダウン の場合に、ファイルオーバーアドレスを使用します。 Floating IP bound to the Active-Primary HA device [ フローティング IP をア クティブ - プライマリ HA デバイスに固定 ] — フローティング IP をアクティ ブ - プライマリピアに固定する場合はこのオプションを選択します。片方の ピアに障害が発生し、障害が発生したファイアウォールが復旧して役割がア クティブ - セカンダリのピアに切り替わった後も、トラフィックは継続的に 元のアクティブ - プライマリピアに送信されます。 • ARP Load Sharing [ARP ロードシェアリング ] — HA ペアで共有し、ホス トのゲートウェイサービスを提供する IP アドレスを入力します。ファイア ウォールがホストと同じブロードキャストドメインにある場合にのみ、こ のオプションを選択する必要があります。Device Selection Algorithm [ デ バイス選択アルゴリズム ] を選択します。 – IP Modulo [ IP モジュロ ] — ARP リクエスト元 IP アドレスのパリティに 基づいて、 ARP リクエストに応答するファイアウォールが選択されます。 – IP Hash [ IP ハッシュ ] — ARP リクエスト元 IP アドレスのハッシュに 基づいて、ARP リクエストに応答するファイアウォールが選択されま す。 130 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 仮想システムの定義 表 57. 高可用性の設定(続) フィールド 操作コマンド ローカルデバイスを サスペンド (またはローカルデバ イスを稼動状態にす る) 内容 HA ピアをサスペンド状態にし、ファイアウォールの HA 機能を一時的に無 効にします。現在アクティブなファイアウォールをサスペンドすると、他の ピアが引き継ぎます。 サスペンドされたファイアウォールを動作状態に戻す場合は次のCLI操作コ マンドを実行します。 request high-availability state functional フェイルオーバーをテストする場合は、アクティブ(またはアクティブ - プ ライマリ)ファイアウォールのケーブルを外すか、このリンクをクリックし てアクティブファイアウォールをサスペンドします。 仮想システムの定義 Device > Virtual Systems [ ࢹࣂࢫ > ௬ࢩࢫࢸ࣒ ] 仮想システム(vsys)は、物理ファイアウォール内で個別に管理できる、独立した(仮想) ファイアウォールインスタンスです。各 vsys は、独自のセキュリティポリシー、インター フェイス、および管理者による、独立したファイアウォールにすることができます。vsys で は、ファイアウォールで提供されるすべてのポリシー、レポート、および可視化機能の管理 をセグメント化できます。たとえば、財務部門に関連付けられているトラフィックのセキュ リティ機能をカスタマイズする場合、財務 vsys を定義して、その部門のみに適用するセキュ リティポリシーを定義できます。ポリシーの管理を最適化するため、個々の vsys へのアクセ スを許可する vsys 管理者アカウントを作成し、ファイアウォール全体とネットワーク機能で 個別の管理者アカウントを使用できます。こうすることで、財務部門の vsys 管理者が、財務 部門のみのセキュリティポリシーを管理できます。 スタティックルーティングとダイナミックルーティングを含むネットワーク機能は、ファイ アウォール全体およびそのすべての vsys に適用されます。vsys はファイアウォールおよび ネットワークレベルの機能の制御は行いません。各 vsys で、一連の物理および論理ファイア ウォール インターフェイス (VLAN、バーチャル ワイヤーなど ) とセキュリティ ゾーンを指 定できます。各 vsys でルーティングのセグメント化が必要な場合、追加仮想ルーターの作成 / 割り当てを行い、必要に応じてインターフェイス、VLAN、バーチャル ワイヤーを割り当て る必要があります。 Panorama テンプレートを使用して vsys を定義する場合、1 つの vsys をデフォルトとして設 定できます。デフォルトの vsys とマルチ仮想システム モードにより、テンプレートのコミッ ト時にファイアウォールが vsys 固有の設定を受け入れるかどうかが決まります。 • マルチ仮想システムモードになっているファイアウォールは、テンプレートで定義され ているすべての vsys の vsys 固有の設定を受け入れます。 • マルチ仮想システムモードになっていないファイアウォールは、デフォルトの vsys の vsys 固有の設定のみを受け入れます。vsys をデフォルトとして設定していない場合、これら のファイアウォールは vsys 固有の設定を受け入れません。 PA-4000、PA-5000、および PA-7000 シリーズのファイアウォールでは、マルチ仮想システム がサポートされています。PA-2000 および PA-3000 シリーズのファイアウォールでは、適切な ライセンスがインストールされていれば仮想システムをサポートできます。PA-500 および PA200 ファイアウォールでは、マルチ仮想システムがサポートされていません。 マルチ vsys を有効にする前に、以下の点に注意してください。 • vsys 管理者は、ポリシーに必要なすべての項目の作成および管理を行います。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 131 仮想システムの定義 デバイス管理 • ゾーンは、vsys 内のオブジェクトです。ポリシーまたはポリシー オブジェクトを定義す る前に、Policies [ ポリシー ] または Objects [ オブジェクト ] タブのドロップダウンリスト から Virtual System [ 仮想システム ] を選択します。 • リモートログの宛先(SNMP、Syslog、および電子メール)、アプリケーション、サービ ス、およびプロファイルをすべての vsys(共有)または 1 つの vsys で使用できるように 設定できます。 • グローバル ( ファイアウォールのすべての vsys) または vsys 固有のサービス ルートを設 定できます (「サービス設定の定義」を参照 )。 vsys を定義する前に、まずファイアウォールのマルチ vsys 機能を有効にする必要がありま す。Device > Setup > Management [ デバイス > 設定 > 管理 ] の順に選択し、General Settings [ 一 般設定 ] を編集して Multi Virtual System Capability [ マルチ仮想システム機能 ] を選択し、OK を クリックします。これにより、Device > Virtual Systems [ デバイス > 仮想システム ] ページが追 加されます。そのページを選択して Add [ 追加 ] をクリックし、以下の情報を指定します。 表 58. 仮想システム設定 フィールド 内容 ID vsys の識別子を整数で入力します。サポートされる vsys の数についての 詳細は、ファイアウォール モデルのデータシートを参照してください。 注:Panorama テンプレートを使用して vsys を設定する場合、このフィー ルドは表示されません。 名前 vsys の識別に使用する名前 ( 最大 31 文字 ) を入力します。名前の大文字 と小文字は区別されます。また、一意の名前にする必要があります。文 字、数字、スペース、ハイフン、およびアンダースコアのみを使用して ください。 注意 ! Panorama テンプレートを使用して vsys 設定をプッシュする場合、 テンプレートの vsys 名はファイアウォールの vsys 名と一致している必 要があります。 復号化されたコンテンツ の転送を許可 ポート ミラーリング時または分析用の WildFire ファイルの送信時に復 号化されたコンテンツを仮想システムから外部のサービスに転送できる ようにするには、このオプションを選択します。復号ポート ミラーリン グの詳細は、「復号ポート ミラーリング」を参照してください。 General [ 全般 ] タブ この vsys に DNS プロキシルールを適用する場合は、DNS Proxy [DNS プ ロキシ ] オブジェクトを選択します。 「DNS プロキシの設定」を参照して ください。 特定の種類のオブジェクトを含める場合は、その種類(インターフェイ ス、VLAN、バーチャル ワイヤー、仮想ルーター、または識別可能な仮 想システム)を選択して Add [ 追加 ] をクリックし、ドロップダウンリス トからオブジェクトを選択します。1 つ以上のオブジェクトの種類を追加 できます。オブジェクトを削除するには、オブジェクトを選択して Delete [ 削除 ] をクリックします。 132 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 共有ゲートウェイの設定 表 58. 仮想システム設定(続) フィールド 内容 [ リソース ] タブ この vsys に許可されるリソース制限を指定します。 • Sessions Limit [ セッション制限 ] — セッションの最大数。 • Security Rules [ セキュリティルール ] — セキュリティルールの最大数。 • NAT Rules [NAT ルール ] — NAT ルールの最大数。 • Decryption Rules [ 復号化ルール ] — 復号化ルールの最大数。 • QoS Rules [QoS ルール ] — QoS ルールの最大数。 • Application Override Rules [ アプリケーションオーバーライドルー ル ] — アプリケーションオーバーライドルールの最大数。 • Policy Based Forwarding Rules [ ポリシーベースフォワーディング ルール ] — ポリシー ベース フォワーディング (PBF) ルールの最大数。 • Captive Portal Rules [ キャプティブポータルのルール ] — キャプティ ブポータル(CP)のルールの最大数。 • DoS Protection Rules [DoS プロテクションルール ] — サービス拒否 (DoS)ルールの最大数。 • Site to Site VPN Tunnels [ サイト間 VPN トンネル ] — サイト間 VPN ト ンネルの最大数。 • Concurrent GlobalProtect Tunnels [ 同時 GlobalProtect トンネル ] — 同 時リモート GlobalProtect ユーザーの最大数。 共有ゲートウェイの設定 Device > Shared Gateways [ ࢹࣂࢫ > ඹ᭷ࢤ࣮ࢺ࢙࢘ ] 共有ゲートウェイでは、マルチ仮想システムで(通常は内部サービスプロバイダなどの共通 アップストリームネットワークに接続される)外部通信に 1 つのインターフェイスを共有で きます。すべての仮想システムは、1 つの IP アドレスを使用する物理インターフェイスを介 して外部と通信します。すべての仮想システムのトラフィックは、共有ゲートウェイを介し、 1 つの仮想ルーターを使用してルーティングされます。 共有ゲートウェイではレイヤー 3 インターフェイスを使用するため、レイヤー 3 インター フェイスが少なくとも 1 つ共有ゲートウェイとして設定されている必要があります。仮想シ ステムから共有ゲートウェイを介してファイアウォールを通過する通信には、2 つの仮想シス テム間の通信と同様のポリシーが必要です。External vsys ゾーンで仮想システムのセキュリ ティルールを定義できます。 表 59. 共有ゲートウェイ フィールド 内容 ID ゲートウェイの識別子 ( ファイアウォールでは使用しない )。 名前 共有ゲートウェイの名前 ( 最大 31 文字 ) を入力します。名前の大文字と 小文字は区別されます。また、一意の名前にする必要があります。文字、 数字、スペース、ハイフン、およびアンダースコアのみを使用してくだ さい。名前のみが必須です。 DNS プロキシ インターフェイス © Palo Alto Networks, Inc. (任意)DNS プロキシが設定されている場合、ドメイン名のクエリに使用 する DNS サーバーを選択します。 共有ゲートウェイが使用するインターフェイスを選択します。 Web インターフェイス リファレンス ガイド、バージョン 7.1 • 133 カスタム応答ページの定義 デバイス管理 カスタム応答ページの定義 Device > Response Pages [ ࢹࣂࢫ > ᛂ⟅࣮࣌ࢪ ] カスタム応答ページは、ユーザーが URL にアクセスしようとするときに表示される Web ページです。リクエストされた Web ページまたはファイルの代わりにダウンロードおよび表 示されるカスタム HTML メッセージを入力できます。 仮想システムごとに固有のカスタム応答ページを使用できます。以下の表に、ユーザーメッ セージをサポートするカスタム応答ページのタイプを示します。 表 60. カスタム応答ページのタイプ ページ タイプ アンチウイルス ページ 内容 ブロック ウイルス感染が原因でアクセスがブロックされたことを示します。 アプリケーション ブロック ページ アプリケーションがセキュリティポリシーでブロックされたため にアクセスがブロックされたことを示します。 キャプティブ ポータル確認 ページ ドメインのメンバでないマシンのユーザー名とパスワードをユー ザーが確認するためのページです。 ファイル ブロッキング続行 ページ ダウンロードの続行が必要なことを確認するユーザーのための ページです。このオプションは、続行の機能がセキュリティ プロ ファイルで有効になっている場合に限り利用できます。 「ファイル ブロッキング プロファイル」を参照してください。 ファイル ブロッキング ブ ロック ページ ファイルへのアクセスがブロックされているためアクセスがブ ロックされたことを示します。 GlobalProtect ポータルのヘル プ ページ GlobalProtect ユーザー用のカスタム ヘルプ ページです ( ポータル からアクセス可能 )。 GlobalProtect ポータルのログ イン ページ GlobalProtect ポータルにアクセスしようとしているユーザー用の ページです。 GlobalProtect ウェルカム ペー ジ GlobalProtect ポータルにログインしようとしているユーザー用の ウェルカム ページです。 SSL 証明書エラー通知ページ SSL 証明書が無効になっていることを示す通知です。 SSL 復号オプトアウト ページ ファイアウォールが検査のため SSL セッションを復号することを表 示するユーザー警告ページ URL フィルタリングおよびカ テゴリ一致ブロック ページ URL フィルタリング プロファイルが原因で、または URL カテゴリ がセキュリティポリシーにブロックされているため、アクセスがブ ロックされたことを示します。 URL フィルタリングの続行と オーバーライド ページ ユーザーがブロックをバイパスできるよう一旦ブロックさせてお くページです。たとえば、ページが不適切にブロックされていると 思われる場合は、Continue [ 続行 ] をクリックして該当のページに 進めます。 オーバーライド ページで、この URL をブロックするポリシーを オーバーライドするには、ユーザーにパスワードの入力が求められ ます。オーバーライドパスワードの設定手順の詳細は、表 4 の URL Admin Override 「URL 管理オーバーライド」のセクションを参照 してください。 134 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス管理 カスタム応答ページの定義 表 60. カスタム応答ページのタイプ(続) ページ タイプ 内容 URL フィルタリング セーフ サーチの適用ブロック ページ Safe Search Enforcement [セーフ サーチを適用] オプションが有効 になっている URL フィルタリング プロファイルを使用したセキュ リティポリシーによって、アクセスがブロックされたことを示しま す。 Bing、Google、Yahoo、Yandex、または YouTube を使用して検索 が実行され、ブラウザまたは検索エンジン アカウント設定でセーフ サーチが厳密 ( 高い ) に設定されていない場合、このページが表示 されます。このブロック ページで、セーフ サーチ設定を厳密に設 定するように指示されます。 必要に応じて、Response Pages [ 応答ページ ] の下で以下の機能を実行できます。 • カスタム HTML 応答ページをインポートするには、変更するページ タイプのリンクをク リックし、import/export [ インポート/エクスポート ] をクリックします。ページを参照し て指定します。インポートが成功したかどうかを示すメッセージが表示されます。イン ポートを成功させるには、ファイルは必ず HTML 形式にしてください。 • カスタム HTML 応答ページをエクスポートするには、該当のページタイプの Export [ エ クスポート ] をクリックします。ファイルを開くか、ディスクに保存するかを選択し、常 に同じオプションを使用する場合は Always use the same option [ 常に同じオプションを使 用 ] を選択します。 • Application Block [ アプリケーションブロック ] ページや SSL Decryption Opt-out [ SSL 復号 化オプトアウト ] ページを有効化または無効化する場合は、該当のページタイプの Enable [ 有効化 ] をクリックします。必要に応じて Enable [ 有効化 ] を選択、または選択を解除 してください。 • 以前にアップロードしたカスタム ページの代わりにデフォルトの応答ページを使用する には、カスタム ブロック ページを削除してコミットします。これで、デフォルトのブ ロック ページが新しいアクティブ ページに設定されます。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 135 サポート情報の表示 デバイス管理 サポート情報の表示 Device > Support [ ࢹࣂࢫ > ࢧ࣏࣮ࢺ ] Panorama > Support [Panorama > ࢧ࣏࣮ࢺ ] サポート関連のオプションを表示する場合は Device > Support [ デバイス > サポート ] または Panorama > Support [ Panorama > サポート ] を選択します。Palo Alto Networks の連絡先、サ ポートの有効期限、ファイアウォールのシリアル番号に基づいた Palo Alto Networks からの 製品およびセキュリティ アラートを表示できます。 必要に応じて、このページで以下の機能を実行します。 • Support [ サポート ] — Palo Alto Networks サポートの連絡先の表示、ファイアウォール のサポート状態の表示、または認証コードを使用した契約のアクティベーションを行う 場合はこのセクションを使用します。 • Production Alerts/Application and Threat Alerts [ 実働アラート / アプリケーションおよ び脅威アラート ] — これらのアラートは、このページにアクセスしたとき、またはページ を更新したときに Palo Alto Networks 更新サーバーから取得されます。実働アラートの 詳細、またはアプリケーションおよび脅威アラートの詳細を表示する場合はそのアラー ト名をクックします。実働アラートは、大規模なリコールが発生した場合またはそのリ リースに関する緊急の問題が発生した場合に通知されます。アプリケーションおよび脅 威アラートは、重大な脅威が検出されたときに通知されます。 • Links [ リンク ] — このセクションには、ケースを管理できるサポートホームページへの リンク、およびサポートログインを使用したファイアウォールの登録へのリンクがあり ます。 • Tech Support File [ テクニカルサポートファイル ] — Generate Tech Support File [ テクニカ ルサポートファイルを生成 ] をクリックして、ファイアウォールで発生している可能性の ある問題のトラブルシューティングに関して、サポートチームが使用できるシステム ファイルを生成します。ファイルを生成したら、Download Tech Support File [ テクニカル サポートファイルのダウンロード ] をクリックしてファイルを取得し、そのファイルを Palo Alto Networks サポート部門に送信します。 ブラウザがダウンロード後に自動的にファイルを開くよう設定している場 合はその機能を無効化し、ブラウザでサポートファイルをダウンロードし ても開封・抽出を行わないようにする必要があります。 • Stats Dump ファイル — Generate Stats Dump File [ Stats Dump ファイルを生成 ] をクリッ クして、過去 7 日間のネットワークトラフィックを要約する一連の XML レポートを生成 します。レポートが生成されたら、Download Stats Dump File [ Stats Dump ファイルをダウ ンロード ] することができます。Palo Alto Networks または認定パートナーのシステム エ ンジニアが、このレポートを使用して AVR レポート (Application Visibility and Risk レ ポート ) を生成します。AVR は、検出されたネットワークとその関連ビジネスやセキュ リティ上の潜在的リスクを明らかにし、通常は評価プロセスの一部として使用されます。 AVR レポートの詳細は、Palo Alto Networks または認定パートナーのシステム エンジニ アにお問い合わせください。 136 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. 第3章 ネットワーク設定 • 「バーチャル ワイヤーの定義」 • 「ファイアウォールインターフェイスの設定」 • 「仮想ルーターの設定」 • 「セキュリティ ゾーンの定義」 • 「VLAN サポートの設定」 • 「DHCP の設定」 • 「DNS プロキシの設定」 • 「LLDP の設定」 • 「インターフェイス管理プロファイルの定義」 • 「モニター プロファイルの定義」 • 「ゾーン プロテクション プロファイルの定義」 • 「LLDP プロファイルの定義」 • 「BFD プロファイルの定義」 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 137 バーチャル ワイヤーの定義 ネットワーク設定 バーチャル ワイヤーの定義 Network > Virtual Wires [ ࢿࢵࢺ࣮࣡ࢡ > ࣂ࣮ࢳࣕࣝ ࣮࣡ࣖ ] バーチャル ワイヤーを定義するには、ファイアウォールに 2 つのバーチャル ワイヤー イン ターフェイスを指定した後に Network > Virtual Wires [ ネットワーク > バーチャルワイヤー] の ページを使用します。 表 61. バーチャル ワイヤー設定 フィールド 内容 バーチャル ワイヤー名 バーチャル ワイヤー名 ( 最大 31 文字 ) を入力します。この名前は、イン ターフェイスを設定するときにバーチャル ワイヤーのリストに表示され ます。名前の大文字と小文字は区別されます。また、一意の名前にする 必要があります。文字、数字、スペース、ハイフン、およびアンダース コアのみを使用してください。 インターフェイス 表示されたリストから、バーチャル ワイヤー設定用の イーサネットイン ターフェイスを 2 つ選択します。リストには、バーチャル ワイヤー イン ターフェイス タイプで、他のバーチャル ワイヤーに割り当てられていな いインターフェイスのみが表示されます。 バーチャルワイヤーインターフェイスの詳細は、「バーチャル ワイヤー インターフェイスの設定」を参照してください。 タグを許可 バーチャルワイヤーで許可されるトラフィックのタグ番号 (0 ∼ 4094) またはタグ番号の範囲(タグ 1 ∼タグ 2)を入力します。タグ値が 0 の場 合、タグのないトラフィックを示します ( デフォルト )。複数のタグまた はタグ範囲はコンマで区切ります。除外されたタグ値を持つトラフィッ クは廃棄されます。受信パケットまたは送信パケット上でタグ値が変更 されることはありません。 バ ー チ ャル ワイヤー サブインターフェイスを使用する場合に Tag Allowed [ タグを許可 ] リストを指定すると、リスト内のタグを持つすべ てのトラフィックが親バーチャル ワイヤーに分類されます。バーチャル ワイヤー サブインターフェイスでは、親の Tag Allowed [ タグを許可 ] リ ストに存在しないタグを使用する必要があります。 マルチキャスト ファイ アウォール設定 セキュリティルールをマルチキャスト トラフィックに適用できるように する場合は、このオプションを選択します。この設定が有効になってい ないと、マルチキャスト トラフィックがバーチャル ワイヤー全体に転送 されます。 リンク状態パス スルー リンクのダウン状態が検出された場合にバーチャルワイヤーのもう一方 のポートをダウンさせる場合は、このオプションを選択します。このオ プションを無効化した場合あるいは選択しない場合、接続状況はバー チャルワイヤーを通じて反映されません。 ファイアウォールインターフェイスの設定 ファイアウォール インターフェイス ( ポート ) により、ファイアウォールは、ファイアウォー ル内の他のインターフェイスや、他のネットワーク デバイスに接続することが可能です。以 下のトピックでは、各種インターフェイス タイプとそれらの設定方法について説明します。 探している情報 以下を参照 ファイアウォール インターフェ イスとは何ですか? ࠕࣇ࢛࣮࢘ࣝ ࣥࢱ࣮ࣇ࢙ࢫࡢᴫせࠖ ファイアウォール インターフェ イスの知識がありません。ファイ アウォール インターフェイスの 構成要素は何ですか? ࠕࣇ࢛࣮࢘ࣝࣥࢱ࣮ࣇ࢙ࢫࡢඹ㏻ࡢᵓᡂせ⣲ࠖ ࠕPA-7000 ࢩ࣮ࣜࢬࡢࣇ࢛࣮࢘ࣝ ࣥࢱ࣮ࣇ࢙ ࢫࡢඹ㏻ࡢᵓᡂせ⣲ࠖ 138 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 ファイアウォールインターフェイスの設定 探している情報 以下を参照 ファイアウォール インターフェ イスはすでに理解しています。特 定のインターフェース タイプの 設定情報はどうすれば確認でき ますか? 物理インターフェイス (Ethernet) ࠕ࣮ࣞࣖ 2 ࣥࢱ࣮ࣇ࢙ࢫࡢタᐃࠖ ࠕ࣮ࣞࣖ 2 ࢧࣈࣥࢱ࣮ࣇ࢙ࢫࡢタᐃࠖ ࠕ࣮ࣞࣖ 3 ࣥࢱ࣮ࣇ࢙ࢫࡢタᐃࠖ ࠕࣞࣖ 3 ࢧࣈࣥࢱ࣮ࣇ࢙ࢫࡢタᐃࠖ ࠕࣂ࣮ࢳࣕࣝ ࣮࣡ࣖ ࣥࢱ࣮ࣇ࢙ࢫࡢタᐃࠖ ࠕࣂ࣮ࢳࣕࣝ ࣮࣡ࣖ ࢧࣈࣥࢱ࣮ࣇ࢙ࢫࡢタᐃࠖ ࠕࢱࢵࣉ ࣥࢱ࣮ࣇ࢙ࢫࡢタᐃࠖ ࠕࣟࢢ ࣮࢝ࢻ ࣥࢱ࣮ࣇ࢙ࢫࡢタᐃࠖ ࠕࣟࢢ ࣮࢝ࢻ ࢧࣈࣥࢱ࣮ࣇ࢙ࢫࡢタᐃࠖ ࠕྕ࣑࣮ࣛ ࣥࢱ࣮ࣇ࢙ࢫࡢタᐃࠖ ࠕAggregate Ethernet㸦AE㸧ࣥࢱ࣮ࣇ࢙ࢫࢢ࣮ࣝࣉ ࡢタᐃࠖ ࠕAggregate Ethernet㸦AE㸧ࣥࢱ࣮ࣇ࢙ࢫࡢタᐃࠖ ࠕHA ࣥࢱ࣮ࣇ࢙ࢫࡢタᐃࠖ 論理インターフェイス ࠕVLAN ࣥࢱ࣮ࣇ࢙ࢫࡢタᐃࠖ ࠕ࣮ࣝࣉࣂࢵࢡ ࣥࢱ࣮ࣇ࢙ࢫࡢタᐃࠖ ࠕࢺࣥࢿࣝ ࣥࢱ࣮ࣇ࢙ࢫࡢタᐃࠖ その他の情報をお探しで すか? ネットワーク ファイアウォール インターフェイスの概要 ファイアウォール データ ポートのインターフェイス設定により、トラフィックがファイア ウォールを出入りできるようになります。Palo Alto Networks ファイアウォールは、複数の デプロイメントで同時に作動できます。これは、さまざまなデプロイメントをサポートする ようにインターフェイスを設定できるからです。たとえば、バーチャル ワイヤー、レイヤー 2、レイヤー 3、およびタップモードデプロイメントに対応するようにファイアウォールの Ethernet インターフェイスを設定できます。ファイアウォールでサポートされるインターフェ イスを以下に示します。 • Physical Interfaces [ 物理インターフェイス ] — ファイアウォールには、同軸銅線および 光ファイバーという 2 種類の イーサネットインターフェイスがあり、それぞれ異なる伝 送速度でトラフィックを送受信できます。イーサネットインターフェイスは、さまざま なタイプとして設定できます。具体的には、タップ、高可用性 (HA)、ログ カード ( イン ターフェイスおよびサブインターフェイス )、復号化ミラー、バーチャル ワイヤー ( イン ターフェイスおよびサブインターフェイス )、レイヤー 2 ( インターフェイスおよびサブ インターフェイス )、レイヤー 3 ( インターフェイスおよびサブインターフェイス )、およ び Aggregate Ethernet として設定できます。使用可能なインターフェイス タイプおよび 伝送速度は、ハードウェア モデルごとに異なります。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 139 ファイアウォールインターフェイスの設定 ネットワーク設定 • Logical Interfaces [ 論理インターフェイス ] — これには、仮想ローカル エリア ネット ワーク (VLAN) インターフェイス、ループバック インターフェイス、およびトンネル イ ンターフェイスが含まれます。VLAN またはトンネル インターフェイスを定義する前に、 物理インターフェイスをセットアップする必要があります。 ファイアウォールインターフェイスの共通の構成要素 多くのインターフェイスタイプに共通する構成要素を表示し、その設定を行う場合は Network > Interfaces [ ネットワーク > インターフェイス ] を選択します。 PA-7000 シリーズのファイアウォール インターフェイスを設定する場合、 または Panorama™ を使用して任意のファイアウォール インターフェイス を設定する場合に固有のまたは個別の構成要素の説明については、「PA7000 シリーズのファイアウォール インターフェイスの共通の構成要素」を 参照してください。 表 62. ファイアウォール インターフェイスの共通の構成要素 フィールド 内容 インターフェイ ス ( インターフェ イス名 ) インターフェイス名は事前に定義されており、変更することはできません。しか し、サブインターフェイス、集約インターフェイス、VLAN インターフェイス、 ループバック インターフェイス、およびトンネル インターフェイスには、数値 のサフィックスを付加することができます。 インターフェイ スタイプ イーサネットインターフェイス (Network > Interfaces > Ethernet [ ネットワーク > インターフェイス > イーサネット ]) では、以下のインターフェイス タイプを選択 できます。 • TAP • HA • 復号化ミラー(PA-7000 シリーズ、PA-5000 シリーズ、および PA-3000 シリー ズのファイアウォールのみ ) • バーチャルワイヤー • レイヤー 2 • レイヤー 3 • ログカード(PA-7000 シリーズのファイアウォールのみ ) • アグリゲートイーサネット 管理プロファイ ル Management Profile (Network > Interfaces > <if-config> Advanced > Other Info)[ 管理プ ロファイル(ネットワーク > インターフェイス > [if-config] > 詳細設定 > その他の情 報)] を開き、このインターフェイスを介したファイアウォールの管理に使用できる プロトコル (SSH、Telnet、HTTP など ) を定義するプロファイルを選択します。 リンク状態 Ethernet インターフェイスの場合、リンク状態は、インターフェイスが現在アク セス可能で、かつネットワークを経由してトラフィックを受信できるかどうかを 示します。 • 緑色 — 設定済み、かつ接続中です • 赤色 — 設定済みですが、接続が停止しているか無効です • 灰色 — 設定されていません リンク状態のアイコンの上にポインタを置くと、インターフェイスのリンク速度 とデュプレックス設定を示すツール情報が表示されます。 IP アドレス (任意)Ethernet、VLAN、ループバック、またはトンネルの IPv4 アドレスまた は IPv6 アドレスを設定します。IPv4 アドレスの場合は、更にインターフェイス のアドレスモード Type [ タイプ ] を選択できます。Static [ スタティック ]、DHCP Client [DHCP クライアント ]、または PPPoE を選択できます。 仮想ルーター インターフェイスに仮想ルーターを割り当てるか、Virtual Router [ 仮想ルーター ] をクリックして新しい仮想ルーターを定義します( 「仮想ルーターの設定」を参照) 。 None [ なし ] を選択すると、現在インターフェイスに割り当てられているルーター が解除されます。 140 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 ファイアウォールインターフェイスの設定 表 62. ファイアウォール インターフェイスの共通の構成要素 フィールド 内容 タ グ(サ ブ イ ン ターフェイスの み) VLAN サブインターフェイスの VLAN タグ (1 ∼ 4094) を入力します。 Network > Interfaces > VLAN [ ネットワーク > インターフェイス > VLAN] を開 き、既存の VLAN を編集するか、新しく Add [ 追加 ] します(「VLAN サポートの 設定」を参照)。None [ なし ] を選択すると、現在インターフェイスに割り当て られている VLAN が解除されます。レイヤー 2 インターフェイス間の切り替え を有効にする、または VLAN インターフェイス経由のルーティングを有効にす るには、VLAN オブジェクトを設定する必要があります。 仮想システム ファイアウォールが複数の仮想システムをサポートし、その機能が有効の場合 は、インターフェイスの仮想システム (vsys) を選択するか、Virtual System [ 仮 想システム ] リンクをクリックして新しい vsys を定義します。 セキュリティ ゾーン Network > Interfaces > <if-config> Config [ ネットワーク > インターフェイス > [if-config] > 設定 ] からインターフェイス用の Security Zone [ セキュリティゾー ン ] を選択するか、Zone [ ゾーン ] から新しく定義します。None [ なし ] を選択 すると、現在インターフェイスに割り当てられているゾーンが解除されます。 機能 イーサネットインターフェイスの場合、この列は、以下の機能が有効かどうかを 示します。 GlobalProtect ゲートウェイ リンク集約制御プロトコル (LACP) サービス品質 (QoS) プロファイル リンク レイヤー検出プロトコル (LLDP) Netflow プロファイル DHCP (Dynamic Host Configuration Protocol) クライアント — イン ター フェイスは DHCP クライアントとして機能し、動的に割り当てられた IP アドレ スを受信します。 コメント インターフェイスの機能または目的の説明。 PA-7000 シリーズのファイアウォール インターフェイス の共通の構成要素 以下の表は、Network > Interfaces > Ethernet [ ネットワーク > インターフェイス > イーサネット ] ページの構成要素のうち、PA-7000 シリーズのファイアウォール インターフェイスを設定す る場合、または Panorama を使用して任意のファイアウォール インターフェイスを設定する 場合に固有のまたは個別の構成要素を示しています。インターフェイスを新しく作成する場 合は Add Interface [ インターフェイスの追加 ] ボタンをクリックし、既存のインターフェイス を編集する場合はその名前 ( [Ethernet1/1] など ) をクリックします。 PA-7000 シリーズのファイアウォールの場合は、1 つのデータ ポートに対 して「ログ カード インターフェイスの設定」を行う必要があります。 表 63. PA-7000 シリーズのファイアウォール インターフェイスの共通の構成要素 フィールド 内容 スロット インターフェイスのスロット番号 (1 ∼ 12) を選択します。スロットが複数あるの は、PA-7000 シリーズのファイアウォールのみです。Panorama を使用して他の ファイアウォール プラットフォームのインターフェイスを設定する場合は、Slot 1 [ スロット 1] を選択します。 インターフェイ ス ( インターフェ イス名 ) 選択した Slot [ スロット ] に関連付けられているインターフェイスの名前を選択 します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 141 ファイアウォールインターフェイスの設定 ネットワーク設定 レイヤー 2 インターフェイスの設定 Network > Interfaces > Ethernet [ ࢿࢵࢺ࣮࣡ࢡ > ࣥࢱ࣮ࣇ࢙ࢫ > ࣮ࢧࢿࢵࢺ ] レイヤー 2 インターフェイスを設定する場合は、Network > Interfaces > Ethernet [ ネットワーク > インターフェイス > イーサネット ] を開き、設定されていないインターフェイスの名前 ( [Ethernet1/1] など ) をクリックし、以下の情報を指定します。 表 64. レイヤー 2 インターフェイス設定 フィールド 設定場所 内容 インターフェ イス名 イーサネットイン ターフェイス インターフェイス名は事前に定義されており、変更することはできません。 コメント イーサネットイン ターフェイス インターフェイスの説明 ( 省略可 ) を入力します。 インターフェ イスタイプ イーサネットイン ターフェイス Layer2 [ レイヤー 3] を選択します。 Netflow プロ ファイル イーサネットイン ターフェイス 入力インターフェイスを通過する単向性の IP トラフィックを NetFlow サーバーにエクスポートする場合は、サーバー プロファイルを選択するか、 Netflow Profile [Netflow プロファイル ] をクリックして新しいプロファイ ルを定義します (「Netflow 設定の編集」を参照 )。None [ なし ] を選択す ると、現在インターフェイスに割り当てられている NetFlow サーバーが解 除されます。 注:この機能は PA-4000 Series と PA-7000 Series のファイアウォールでサ ポートされていません。 VLAN Ethernet Interface > Config [ イーサ ネットインター フェイス > 設定 ] レイヤー 2 インターフェイス間の切り替えを有効にする場合、または VLAN インターフェイス経由のルーティングを有効にする場合は、既存の VLAN を選択するか、VLAN をクリックして新しい VLAN を定義します (「VLAN サポートの設定」を参照 )。None [ なし ] を選択すると、現在インターフェ イスに割り当てられている VLAN が解除されます。 仮想システム Ethernet Interface > Config [ イーサ ネットインター フェイス > 設定 ] Ethernet Interface > Config [ イーサ ネットインター フェイス > 設定 ] Ethernet Interface > Advanced [ イー サネットインター フェイス > 詳細 ] Ethernet Interface > Advanced [ イー サネットインター フェイス > 詳細 ] Ethernet Interface > Advanced [ イー サネットインター フェイス > 詳細 ] Ethernet Interface > Advanced > LLDP [ イーサネッ トインターフェイ ス > 詳細 > LLDP] ファイアウォールが複数の仮想システムをサポートし、その機能が有効の場 合は、インターフェイスの仮想システムを選択するか、Virtual System [ 仮 想システム ] リンクをクリックして新しい vsys を定義します。 セキュリティ ゾーン リンク速度 リンクデュプ レックス リンク状態 LLDP の有効 化 インターフェイス用の Security Zone [ セキュリティゾーン ] を選択するか、 Zone [ ゾーン ] をクリックして新しいゾーンを定義します。None [ なし ] を 選択すると、現在インターフェイスに割り当てられているゾーンが解除され ます。 インターフェイスの速度 (10、100、または 1000 Mbps) を選択するか、auto [ 自動 ] を選択してファイアウォールに自動的に速度を決定させます。 インターフェイスの伝送モードを、フル デュプレックス (full)、ハーフ デュ プレックス (half)、オート ネゴシエーション (auto) から選択します。 インターフェイスの状態を、有効 (up)、無効 (down)、自動決定 (auto) から 選択します。 インターフェイスでリンク レイヤー検出プロトコル (LLDP) を有効にする には、このオプションを選択します。LLDP は、リンク レイヤーで機能し、 隣接するデバイスとその機能を検出します。 142 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 ファイアウォールインターフェイスの設定 表 64. レイヤー 2 インターフェイス設定 (続) フィールド 設定場所 内容 プロファイル Ethernet Interface > Advanced > LLDP [ イーサネッ トインターフェイ ス > 詳細 > LLDP] Ethernet Interface > Advanced > LLDP [ イーサネッ トインターフェイ ス > 詳細 > LLDP] LLDP が有効の場合は、インターフェイスに割り当てる LLDP プロファイル を選択するか、LLDP Profile [LLDP プロファイル ] をクリックして新しいプ ロファイルを作成します (「LLDP プロファイルの定義」を参照 )。ファイア ウォールでグローバルなデフォルト設定を使用するように設定する場合は None [ なし ] を選択します。 HA パッシブ ステートを有 効にする LLDP が有効化されている場合はこのオプションを選択することで、パッシ ブなファイアウォールがアクティブに切り替わる前に、もう一方のピアと LLDP の取り決めを行うようになります。 レイヤー 2 サブインターフェイスの設定 Network > Interfaces > Ethernet [ ࢿࢵࢺ࣮࣡ࢡ > ࣥࢱ࣮ࣇ࢙ࢫ > ࣮ࢧࢿࢵࢺ ] 物理レイヤー 2 インターフェイスとして設定された各 Ethernet ポートについては、ポートで 受信するトラフィックに割り当てられる VLAN タグごとに追加の論理レイヤー 2 インター フェイス ( サブインターフェイス ) を定義できます。レイヤー 2 サブインターフェイス間の切 り替えを有効にするには、それらのサブインターフェイスに同じ VLAN オブジェクトを割り 当てます。 レイヤー 2 サブインターフェイスを設定するには、 「レイヤー 2 インターフェイスの設定」を 行い、その物理インターフェイスの行を選択した後、Add Subinterface [ サブインターフェイス の追加 ] をクリックし、以下の情報を指定します。 表 65. レイヤー 2 サブインターフェイス設定 フィールド 内容 インターフェイ ス名 読み取り専用のインターフェイス名の欄には、選択した物理インターフェイスの名前が表示さ れます。サブインターフェイスを識別する数値サフィックス (1 ∼ 9999) を隣のフィールドに入 力します。 コメント サブインターフェイスの説明 ( 省略可 ) を入力します。 タグ サブインターフェイスの VLAN タグ (1 ∼ 4094) を入力します。 Netflow プロフ ァイル 入力サブインターフェイスを通過する単向性の IP トラフィックを NetFlow サーバーにエクス ポートする場合は、サーバープロファイルを選択するか、Netflow Profile [Netflow プロファイ ル ] をクリックして新しいプロファイルを定義します (「Netflow 設定の編集」を参照 )。現在 サブインターフェイスに割り当てられている NetFlow サーバーを解除する場合は、None [ なし ] を選択します。 注:この機能は PA-4000 Series と PA-7000 Series のファイアウォールでサポートされていません。 VLAN レイヤー 2 インターフェイス間の切り替えを有効にする場合、または VLAN インターフェイス 経由のルーティングを有効にする場合は、既存の VLAN を選択するか、VLAN リンクをクリッ クして新しい VLAN を定義します (「VLAN サポートの設定」を参照 )。現在サブインターフェ イスに割り当てられている VLAN を解除する場合は None [ なし ] を選択します。 仮想システム ファイアウォールが複数の仮想システムをサポートし、その機能が有効な場合は、サブインター フェイスの仮想システム (vsys) を選択するか、Virtual System [ 仮想システム ] リンクをクリッ クして新しい vsys を定義します。 セキュリティ ゾーン サブインターフェイス用のセキュリティゾーンを選択するか、Zone [ ゾーン ] をクリックして 新しいゾーンを定義します。現在サブインターフェイスに割り当てられているゾーンを解除す る場合は None [ なし ] を選択します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 143 ファイアウォールインターフェイスの設定 ネットワーク設定 レイヤー 3 インターフェイスの設定 Network > Interfaces > Ethernet [ ࢿࢵࢺ࣮࣡ࢡ > ࣥࢱ࣮ࣇ࢙ࢫ > ࣮ࢧࢿࢵࢺ ] レイヤー 3 インターフェイスを設定するには、設定されていないインターフェイスの名前 ( [Ethernet1/1] など ) をクリックし、以下の情報を指定します。 表 66. レイヤー 3 インターフェイス設定 フィールド 設定場所 内容 インターフェイス名 イーサネットイ ンターフェイス インターフェイス名は事前に定義されており、変更することはできま せん。 コメント イーサネットイ ンターフェイス インターフェイスの説明 ( 省略可 ) を入力します。 インターフェイスタ イプ イーサネットイ ンターフェイス Layer3 [ レイヤー 3] を選択します。 Netflow プロファイル イーサネットイ ンターフェイス 入力インターフェイスを通過する単向性の IP トラフィックを NetFlow サーバーにエクスポートする場合は、サーバー プロファイルを選択す るか、Netflow Profile [Netflow プロファイル ] をクリックして新しい プロファイルを定義します (「Netflow 設定の編集」を参照 )。None [ な し ] を選択すると、現在インターフェイスに割り当てられている NetFlow サーバーが解除されます。 注:この機能は PA-4000 Series と PA-7000 Series のファイアウォールで サポートされていません。 仮想ルーター Ethernet Interface > Config [ イーサ ネットインター フェイス > 設定] Ethernet Interface > Config [ イーサ ネットインター フェイス > 設定] Ethernet Interface > Config [ イーサ ネットインター フェイス > 設定] Ethernet Interface > Advanced [ イーサネット インターフェイ ス > 詳細 ] Ethernet Interface > Advanced [ イーサネット インターフェイ ス > 詳細 ] Ethernet Interface > Advanced [ イーサネット インターフェイ ス > 詳細 ] 仮想ルーターを選択するか、Virtual Router [ 仮想ルーター ] をクリッ クして新しい仮想ルーターを定義します (「仮想ルーターの設定」を参 照 )。None [ なし ] を選択すると、現在インターフェイスに割り当てら れているルーターが解除されます。 仮想システム セキュリティゾーン リンク速度 リンクデュプレック ス リンク状態 ファイアウォールが複数の仮想システムをサポートし、その機能が有 効の場合は、インターフェイスの仮想システム (vsys) を選択するか、 Virtual System [ 仮想システム ] リンクをクリックして新しい vsys を 定義します。 インターフェイス用のセキュリティゾーンを選択するか、Zone [ ゾー ン ] をクリックして新しいゾーンを定義します。None [ なし ] を選択 すると、現在インターフェイスに割り当てられているゾーンが解除さ れます。 インターフェイス速度を 10、100、1000Mbps のいずれかから選択す るか、auto [ 自動 ] を選択します。 インターフェイスの伝送モードを、フル デュプレックス (full)、ハー フ デュプレックス (half)、オート ネゴシエーション (auto) から選択し ます。 インターフェイスの状態を、有効 (up)、無効 (down)、自動決定 (auto) から選択します。 144 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 ファイアウォールインターフェイスの設定 表 66. レイヤー 3 インターフェイス設定 (続) フィールド 設定場所 内容 管理プロファイル Ethernet Interface > Advanced > Other Info [ イーサネット インターフェイ ス > 詳細 > その 他の情報 ] Ethernet Interface > Advanced > Other Info [ イーサネット インターフェイ ス > 詳細 > その 他の情報 ] Ethernet Interface > Advanced > Other Info [ イーサネット インターフェイ ス > 詳細 > その 他の情報 ] このインターフェイスを介したファイアウォールの管理に使用できる プロトコル (SSH、Telnet、HTTP など ) を定義するプロファイルを選 択します。None [ なし ] を選択すると、現在インターフェイスに割り 当てられているプロファイルが解除されます。 MTU TCP MSS の調整 このインターフェイスで送信されるパケットの最大転送単位(MTU) をバイト数で入力します(576 ∼ 9192、デフォルトは 1500)。ファイ アウォールの両側のマシンが Path MTU Discovery (PMTUD) を実行 し、インターフェイスが MTU を超えるパケットを受信すると、ファ イアウォールが送信元にパケットが大きすぎることを示す ICMP フラ グメント要求メッセージを返します。 ヘッダーのバイト数に対応できるよう、インターフェイスの MTU バ イトサイズ以内の値に最大セグメントサイズ(MSS)を調整する場合 はこのオプションを選択します。MTU バイトサイズと MSS 調整サイ ズは MSS バイトサイズと等しい値になり、これは IP によって異なり ます。 • IPv4 MSS Adjustment Size [IPv4 MSS 調整サイズ ] — 範囲は 40 ∼ 300、デフォルトは 40 です。 • IPv6 MSS Adjustment Size [IPv6 MSS 調整サイズ ] — 範囲は 60 ∼ 300、デフォルトは 60 です。 ネットワークを通る tunnel [ トンネル ] の MSS を小さくする必要があ る場合はこれらの設定を行ってください。フラグメント化を行わない パケットのバイト数が MSS よりも大きい場合、この設定を行うことで サイズが調整されるようになります。 カプセル化によりヘッダーが延長されるので、MSS調整サイズはMPLS ヘッダーや VLAN タグを持つトンネルトラフィックよりも大きく設定 しておくことをお勧めします。 タグのないサブイン ターフェイス Ethernet Interface > Advanced > Other Info [ イーサネット インターフェイ ス > 詳細 > その 他の情報 ] このレイヤー 3 インターフェイスに属するすべてのサブインターフェ イスにタグを付けないように指定します。PAN-OS® は、パケットの宛 先に基づいて、タグのないサブインターフェイスを入力インターフェ イスとして選択します。宛先がタグのないサブインターフェイスの IP アドレスの場合は、サブインターフェイスにマッピングされます。こ れは、反対方向のパケットで、送信元アドレスをタグのないサブイン ターフェイスの IP アドレスに変換する必要があることも示します。こ の分類メカニズムにより、すべてのマルチキャスト パケットとブロー ドキャスト パケットが、サブインターフェイスではなく基本インター フェイスに割り当てられます。OSPF (Open Shortest Path First) ではマ ルチキャストを使用するため、ファイアウォールはタグのないサブイ ンターフェイスで OSPF をサポートしていません。 IP アドレス MAC アドレス Ethernet Interface > Advanced > ARP Entries [ イーサネット インターフェイ ス > 詳細 > ARP エントリ ] 1 つ以上のスタティック ARP (Address Resolution Protocol) エントリ を追加するには、Add [ 追加 ] をクリックし、IP アドレスとそれに関連 付けられたハードウェア ( メディア アクセス制御、略称 MAC) のアド レスを入力します。エントリを削除するには、エントリを選択して Delete [ 削除 ] をクリックします。静的 ARP エントリによって、指定 したアドレスの ARP 処理が減り、中間者攻撃が防止されます。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 145 ファイアウォールインターフェイスの設定 ネットワーク設定 表 66. レイヤー 3 インターフェイス設定 (続) フィールド 設定場所 内容 IPv6 アドレス MAC アドレス Ethernet Interface > Advanced > ND Entries [ イーサ ネットインター フェイス > 詳細 > ND エントリ ] Ethernet Interface > Advanced > NDP Proxy [ イーサネット インターフェイ ス > 詳細 > NDP プロキシ ] NDP (Neighbor Discovery Protocol) のネイバー情報を指定するには、 Add [ 追加 ] をクリックし、ネイバーの IP アドレスと MAC アドレス を入力します。 NDP プロキシの有効 化 このオプションを選択すると、インターフェイスで NDP (Neighbor Discovery Protocol)プロキシが有効になります。ファイアウォールは、 このリストの IPv6 アドレスの MAC アドレスを要求する ND パケッ トに応答します。ファイアウォールは ND 応答において、これらのア ドレスに宛てられたパケットに応答するプロキシとして機能すること を伝えるために、そのインターフェイスの MAC アドレスを送信しま す。 NPTv6 (Network Prefix Translation IPv6) を使用する場合は、Enable NDP Proxy [NDP プロキシの有効化 ] を選択することをお勧めします。 Enable NDP Proxy [NDP プロキシの有効化 ] が選択されている場合、 検査文字列を入力し、フィルタの適用( )をクリックすることで、 膨大なアドレスエントリの絞込を行うことができます。 アドレス Ethernet Interface > Advanced > NDP Proxy [ イーサネット インターフェイ ス > 詳細 > NDP プロキシ ] Add [ 追加 ] をクリックし、1 つ以上の IPv6 アドレス、IP 範囲、IPv6 サブネット、またはファイアウォールが NDP プロキシとして機能する アドレス オブジェクトを入力します。これらのアドレスの 1 つは、 NPTv6 の送信元変換のアドレスと同じであることが理想的です。アド レスの順序は問題になりません。 アドレスがサブネットワークの場合、ファイアウォールは、サブネッ トのすべてのアドレスに対して ND 応答を送信します。したがって、 ファイアウォールの IPv6 ネイバーも追加し、Negate [ 除外 ] を選択し、 これらの IP アドレスに応答しないようにファイアウォールに指示する ことをお勧めします。 上記以外 Ethernet Interface > Advanced > NDP Proxy [ イーサネット インターフェイ ス > 詳細 > NDP プロキシ ] Ethernet Interface > Advanced > LLDP [ イーサ ネットインター フェイス > 詳細 > LLDP] あるアドレスに対して Negate [ 除外 ] チェック ボックスをオンにする と、NDP プロキシは、そのアドレスを拒否するようになります。Negate は、指定した IP アドレス範囲または IP サブネットの一部に対して実 行できます。 Ethernet Interface > Advanced > LLDP [ イーサ ネットインター フェイス > 詳細 > LLDP] LLDP が有効の場合は、インターフェイスに割り当てる LLDP プロファ イルを選択するか、LLDP Profile [LLDP プロファイル ] をクリックし て新しいプロファイルを作成します (「LLDP プロファイルの定義」を 参照 )。ファイアウォールでグローバルなデフォルト設定を使用するよ うに設定する場合は None [ なし ] を選択します。 LLDP の有効化 LLDP プロファイル 選択すると、インターフェイスでリンク レイヤー検出プロトコル (LLDP) が有効になります。LLDP は、リンク レイヤーで機能し、隣接 するデバイスとその機能を検出します。 146 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 ファイアウォールインターフェイスの設定 表 66. レイヤー 3 インターフェイス設定 (続) フィールド 設定場所 内容 HA パッシブステー トを有効にする Ethernet Interface > Advanced > LLDP [ イーサ ネットインター フェイス > 詳細 > LLDP] LLDP が有効化されている場合はこのオプションを選択することで、 パッシブなファイアウォールがアクティブに切り替わる前に、もう一 方のピアと LLDP 取り決めを行うことを許可することができます。 IPv4 アドレスの場合 タイプ Ethernet Interface > IPv4 [ イーサネット インターフェイ ス > IPv4] IPv4 アドレス タイプをインターフェイスに割り当てる方法を選択し ます。 • Static [ 静的 ] — IP アドレスを手動で指定する必要があります。 • PPPoE — ファイアウォールが PPPoE (Point-to-Point Protocol over Ethernet)用のインターフェイスを使用します。 • DHCP Client [DHCP クライアント ] — インターフェイスが DHCP (Dynamic Host Configuration Protocol) クライアントとして機能し、 ダイナミックに割り当てられた IP アドレスを受信できます。 注:アクティブ / アクティブ高可用性 (HA) モードのファイアウォール は、PPPoE または DHCP クライアントをサポートしません。 選択した IP アドレス方式に応じて、タブに表示されるオプションは異 なります。 • IPv4 アドレス Type [ タイプ ] = 静的 IP Ethernet Interface > IPv4 [ イーサネット インターフェイ ス > IPv4] • IPv4 アドレス Type [ タイプ ] = PPPoE Ethernet Interface > IPv4 > PPPoE > General [ イーサネット インターフェイ ス > IPv4 > PPPoE > 全般 ] Ethernet ユーザー名 Interface > IPv4 > PPPoE > General [ イーサネット インターフェイ ス > IPv4 > PPPoE > 全般 ] 有効化 © Palo Alto Networks, Inc. Add [ 追加 ] をクリックし、以下のいずれかの手順を実行して、イン ターフェイスのスタティック IP アドレスとネットワーク マスクを指 定します。 • CIDR(Classless Inter-Domain Routing)表記法でエントリを入力し ます。ip_address/mask ( 例えば IPv4 の場合は 192.168.2.0/24、IPv6 の場合は 2001:db8::/32 など )。 • タイプが IP netmask [IP ネットマスク ] の既存のアドレス オブジェ クトを選択します。 • Adress [ アドレス ] をクリックし、タイプが IP netmask [IP ネット マスク ] のアドレスオブジェクトを作成します。 インターフェイスに対して複数の IP アドレスを入力できます。IP アド レスの最大数は、ファイアウォールが使用する転送情報ベース (FIB) に よって決まります。 IP アドレスを削除するには、アドレスを選択して Delete [ 削除 ] をク リックします。 PPPoE 終端点用のインターフェイスを有効化する場合はこのオプショ ンを選択します。 ポイントツーポイント接続のユーザー名を入力します。 Web インターフェイス リファレンス ガイド、バージョン 7.1 • 147 ファイアウォールインターフェイスの設定 ネットワーク設定 表 66. レイヤー 3 インターフェイス設定 (続) フィールド 設定場所 パスワード / パス ワード再入力 Ethernet ユーザー名のパスワードを入力し、確認します。 Interface > IPv4 > PPPoE > General [ イーサネット インターフェイ ス > IPv4 > PPPoE > 全般 ] Ethernet (任意)接続を確立するためにファイアウォールがインターネットサー Interface > IPv4 ビスプロバイダ(ISP)とネゴシエートしたパラメータを表示するダイ > PPPoE > アログを開きます。表示される具体的な情報は、ISP ごとに異なります。 General [ イーサネット インターフェイ ス > IPv4 > PPPoE > 全般 ] Ethernet PPPoE 通信用の認証プロトコルを選択します。CHAP (ChallengeInterface > IPv4 Handshake Authentication Protocol)、PAP (Password Authentication > PPPoE > Protocol)、またはデフォルトの Auto(ファイアウォールがプロトコル Advanced を決定)のいずれかから選択します。None [ なし ] を選択すると、現 [ イーサネット 在インターフェイスに割り当てられているプロトコルが解除されま インターフェイ す。 ス > IPv4 > PPPoE > 詳細 ] Ethernet 以下のいずれかの手順を実行して、インターネット サービス プロバイ Interface > IPv4 ダが割り当てた IP アドレスを指定します ( デフォルト値なし )。 > PPPoE > • CIDR(Classless Inter-Domain Routing)表記法でエントリを入力し Advanced ます。ip_address/mask ( 例えば IPv4 の場合は 192.168.2.0/24、IPv6 [ イーサネット の場合は 2001:db8::/32 など )。 インターフェイ • タイプが IP netmask [IP ネットマスク ] の既存のアドレス オブジェ ス > IPv4 > クトを選択します。 PPPoE > 詳細 ] • Adress [ アドレス ] をクリックし、タイプが IP netmask [IP ネット マスク ] のアドレスオブジェクトを作成します。 • None [ なし ] を選択すると、インターフェイスから現在のアドレス 割り当てが削除されます。 Ethernet 接続時に自動的に PPPoE ピアを指し示すデフォルトルートを自動的に Interface > IPv4 作成する場合は、このオプションを選択します。 > PPPoE > Advanced [ イーサネット インターフェイ ス > IPv4 > PPPoE > 詳細 ] Ethernet (任意)ファイアウォールとインターネットサービス プロバイダ間の Interface > IPv4 ルートについて、デフォルトルートへの関連付けと、パス選択の際に > PPPoE > 使用するルートメトリック(優先度)を入力します(範囲は 1 ∼ 65535)。 Advanced 数値が小さいほど優先度が高くなります。 [ イーサネット インターフェイ ス > IPv4 > PPPoE > 詳細 ] PPPoE クライアント ランタイム情報の表 示 認証 スタティックアドレ ス ピアを指すデフォル トルートを自動的に 作成 デフォルトルート メ トリック 内容 148 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 ファイアウォールインターフェイスの設定 表 66. レイヤー 3 インターフェイス設定 (続) フィールド 設定場所 アクセス コンセント レータ Ethernet (任意)ファイアウォールが接続するインターネットサービスプロバイ Interface > IPv4 ダ側のアクセスコンセントレータの名前を入力します(デフォルトな > PPPoE > し)。 Advanced [ イーサネット インターフェイ ス > IPv4 > PPPoE > 詳細 ] Ethernet (任意)サービス文字列を入力します(デフォルトなし)。 Interface > IPv4 > PPPoE > Advanced [ イーサネット インターフェイ ス > IPv4 > PPPoE > 詳細 ] Ethernet パッシブモードを使用する場合は、このオプションを選択します。パッ Interface > IPv4 シブ モードでは、PPPoE エンド ポイントはアクセス コンセントレー > PPPoE > タが最初のフレームを送信するまで待機します。 Advanced [ イーサネット インターフェイ ス > IPv4 > PPPoE > 詳細 ] サービス パッシブ 内容 • IPv4 アドレス Type [ タイプ ] = DHCP Ethernet Interface > IPv4 [ イーサネット インターフェイ ス > IPv4] Ethernet サーバー提供のデ Interface > IPv4 フォルトゲートウェ [ イーサネット イを指すデフォルト インターフェイ ルートを自動的に作 ス > IPv4] 成 有効化 デフォルトルートメ トリック DHCP クライアント ランタイム情報の表 示 Ethernet Interface > IPv4 [ イーサネット インターフェイ ス > IPv4] Ethernet Interface > IPv4 [ イーサネット インターフェイ ス > IPv4] インターフェイスの DHCP クライアントを有効化する場合はこのオプ ションを選択します。 DHCP サーバーによって提供されるデフォルトゲートウェイを指し示 すデフォルトルートを自動的に作成する場合はこのオプションを選択 します。 ファイアウォールと DHCP サーバー間のルートについて、デフォルト ルートに関連付け、パス選択に使用するルートメトリック ( 優先度 ) を 入力します ( 任意、範囲は 1 ∼ 65535、デフォルトなし )。数値が小さ いほど優先度が高くなります。 このオプションを選択すると、DHCP のリース状態、ダイナミック IP アドレス割り当て、サブネットマスク、ゲートウェイ、サーバー設定 (DNS、NTP、ドメイン、WINS、NIS、POP3、および SMTP) など、 DHCP サーバーから受信したすべての設定が表示されます。 IPv6 アドレスの場合 インターフェースで の IPv6 の有効化 © Palo Alto Networks, Inc. Ethernet Interface > IPv6 [ イーサネット インターフェイ ス > IPv6] このインターフェイスの IPv6 アドレスを有効にするには、このオプ ションをオンにします。 Web インターフェイス リファレンス ガイド、バージョン 7.1 • 149 ファイアウォールインターフェイスの設定 ネットワーク設定 表 66. レイヤー 3 インターフェイス設定 (続) フィールド 設定場所 内容 インターフェイス ID Ethernet Interface > IPv6 [ イーサネット インターフェイ ス > IPv6] 64 ビット拡張一意識別子 (EUI-64) を 16 進数形式で入力します ( 例: 00:26:08:FF:FE:DE:4E:29)。このフィールドを空白のままにすると、ファ イアウォールが、物理インターフェイスの MAC アドレスから生成さ れた EUI-64 を使用します。アドレスの追加時に Use interface ID as host portion [ ホスト部分にインターフェイス ID を使用 ] オプション を選択すると、ファイアウォールがそのアドレスのホスト部分にイン ターフェイス ID を使用します。 アドレス Ethernet Interface > IPv6 [ イーサネット インターフェイ ス > IPv6] Add [ 追加 ] をクリックして、IPv6 アドレスごとに以下のパラメータを 設定します。 • Address [アドレス] — IPv6 アドレスとプレフィックス長を入力しま す ( 例:2001:400:f00::1/64)。既存の IPv6 アドレスオブジェクトを選 択することや、Address [アドレス] をクリックしてアドレスオブジェ クトを作成することもできます。 • Enable address on interface [ インターフェイス上のアドレスを有効 にする ] — インターフェイスの IPv6 アドレスを有効化する場合は、 このオプションを選択します。 • Use interface ID as host portion [ ホスト部分にインターフェイス ID を使用 ] — IPv6 アドレスのホスト部分に Interface ID [ インターフェ イス ID] を使用する場合は、このオプションを選択します。 • Anycast [ エニーキャスト ] — 最も近いノードを経由するルーティン グを含める場合は、このオプションを選択します。 • Send Router Advertisement [ ルーター通知を送信 ] — この IP アドレス のルーター通知(RA)を有効にする場合は、このオプションを選択し ます ( インターフェイスのグローバルの Enable Router Advertisement [ ルーター通知を有効化する ] オプションも有効化しておく必要があ ります )。RA の詳細は、この表の「ルーター通知を有効にする」を 参照してください。 残りのフィールドは、RA を有効にした場合にのみ適用されます。 – Valid Lifetime [ 有効なライフタイム ] — ファイアウォールがアド レスを有効とみなす時間 ( 秒 ) です。有効なライフタイムは、 Preferred Lifetime [ 優先ライフタイム ] 以上でなければなりませ ん。デフォルトは 2592000 です。 – Preferred Lifetime [ 優先ライフタイム ] — 有効なアドレスが優先 される時間 ( 秒 ) です。この時間内は、ファイアウォールがこのア ドレスを使用してトラフィックを送受信できます。優先ライフタ イムの期限後は、ファイアウォールがこのアドレスを使用して新 しい接続を確立することはできませんが、既存の接続は Valid Lifetime [ 有効なライフタイム ] の期限まで有効です。デフォルト は 604800 です。 – On-link [ オンリンク ] — プレフィックス内にアドレスを持つシス テムにルーターなしで到達可能な場合は、このオプションを選択 します。 – Autonomous [ 自律型 ] — システムが、通知されたプレフィックス とインターフェイス ID を組み合わせて IP アドレスを独自に作成 できる場合は、このオプションを選択します。 重複アドレス検出を 有効にする Ethernet Interface > IPv6 [ イーサネット インターフェイ ス > IPv6] 重複アドレス検出 (DAD) を有効にする場合はこのオプションを選択 し、セクション内の他のフィールドの設定を行います。 150 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 ファイアウォールインターフェイスの設定 表 66. レイヤー 3 インターフェイス設定 (続) フィールド 設定場所 DAD 試行回数 Ethernet ネイバー要請間隔 (NS Interval [NS 間隔 ]) の内に DAD を試行する回 Interface > IPv6 数を指定します(範囲は 1 ∼ 10、デフォルトは 1)。この回数を超える [ イーサネット とネイバーに障害があるとみなされます。 インターフェイ ス > IPv6] Ethernet クエリと応答が正常に行われた後引き続きネイバーに到達可能な時間 Interface > IPv6 (秒)を指定します(範囲は 10 ∼ 36000、デフォルトは 30)。 [ イーサネット インターフェイ ス > IPv6] Ethernet DAD の試行秒数を指定します ( 範囲は 1 ∼ 10、デフォルトは 1)。こ Interface > IPv6 の秒数を超えると障害があるとみなされます。 [ イーサネット インターフェイ ス > IPv6] Ethernet IPv6 インターフェイスでステートレスアドレス自動設定(SLAAC)を Interface > IPv6 行う場合は、このオプションを選択してこのセクション内の他の [ イーサネット フィールドを設定します。ルーター通知 (RA) メッセージを受信するク インターフェイ ライアントは、この情報を使用します。 ス > IPv6] RA により、ファイアウォールが、スタティックに設定されていない IPv6 ホストのデフォルトゲートウェイとして機能し、ホストにアドレ ス設定の IPv6 プレフィックスを提供できます。別の DHCPv6 サー バーをこの機能と併用すると、DNS および他の設定をクライアントに 提供できます。 このオプションはインターフェイスのグローバル設定です。IP アドレ スごとに RA オプションを設定する場合は、IP アドレス テーブルの Add [ 追加 ] をクリックしてアドレスを設定します ( 詳細は、この表の 「アドレス」を参照 )。IP アドレスに RA オプションを設定する場合は、 インターフェイスの Enable Router Advertisement [ルーター通知を有 効にする ] オプションを選択する必要があります。 Ethernet ファイアウォールが送信する RA 間の最小間隔(秒)を指定します(範 Interface > IPv6 囲は 3 ∼ 1350、デフォルトは 200)。ファイアウォールは、設定した最 [ イーサネット 小値と最大値の間のランダムな間隔で RA を送信します。 インターフェイ ス > IPv6] Ethernet ファイアウォールが送信する RA 間の最大間隔(秒)を指定します(範 Interface > IPv6 囲は 4 ∼ 1800、デフォルトは 600)。ファイアウォールは、設定した最 [ イーサネット 小値と最大値の間のランダムな間隔で RA を送信します。 インターフェイ ス > IPv6] Ethernet クライアントに適用する、送信パケットのホップ制限を指定します(範 Interface > IPv6 囲は 1 ∼ 255、デフォルトは 64)。ホップ制限を指定しない場合は 0 を [ イーサネット 入力します。 インターフェイ ス > IPv6] Ethernet クライアントに適用するリンクの最大転送単位 (MTU) を指定します。 Interface > IPv6 リンク MTU を指定しない場合は unspecified [ 指定しない ] を選択し [ イーサネット ます ( 範囲は 1280 ∼ 9192、デフォルトは unspecified)。 インターフェイ ス > IPv6] Ethernet 到達可能確認メッセージを受信後ネイバーに到達可能であると想定す Interface > IPv6 るためにクライアントが使用する到達可能時間 ( ミリ秒 ) を指定しま [ イーサネット す。到達可能時間を指定しない場合は unspecified [ 指定しない ] を選 インターフェイ 択します ( 範囲は 0 ∼ 3600000、デフォルトは unspecified)。 ス > IPv6] 到達可能時間 NS 間隔 ( ネイバー要 請間隔 ) ルーター通知を有効 にする 最小間隔 ( 秒 ) 最大間隔 ( 秒 ) ホップ制限 リンク MTU 到達可能時間 ( ミリ秒 ) © Palo Alto Networks, Inc. 内容 Web インターフェイス リファレンス ガイド、バージョン 7.1 • 151 ファイアウォールインターフェイスの設定 ネットワーク設定 表 66. レイヤー 3 インターフェイス設定 (続) フィールド 設定場所 内容 リトランスミッショ ン時間 ( ミリ秒 ) Ethernet Interface > IPv6 [ イーサネット インターフェイ ス > IPv6] Ethernet Interface > IPv6 [ イーサネット インターフェイ ス > IPv6] ネイバー要請メッセージを再送信するまでにクライアントが待機する 時間を決定するリトランスミッション タイマーを指定します。リトラ ンスミッション時間を指定しない場合は unspecified [ 指定しない ] を 選択します ( 範囲は 0 ∼ 4294967295、デフォルトは unspecified)。 ルーターの有効期間 (秒) クライアントがファイアウォールをデフォルトゲートウェイとして使 用する時間 ( 秒 ) を指定します ( 範囲は 0 ∼ 9000、デフォルトは 1800)。 0 は、ファイアウォールがデフォルトゲートウェイではないことを示 します。有効期間が過ぎると、クライアントがそのデフォルト ルー ター リストからファイアウォール エントリを削除して、別のルーター をデフォルトゲートウェイとして使用します。 ルーター設定 Ethernet Interface > IPv6 [ イーサネット インターフェイ ス > IPv6] ネットワーク セグメントに複数の IPv6 ルーターがある場合は、クラ イアントがこのフィールドを使用して優先ルーターを選択します。セ グメントの他のルーターとの比較において、RA が通知するファイア ウォール ルーターの優先度を High、Medium ( デフォルト )、Low の 中から選択します。 管理された設定 Ethernet Interface > IPv6 [ イーサネット インターフェイ ス > IPv6] Ethernet Interface > IPv6 [ イーサネット インターフェイ ス > IPv6] Ethernet Interface > IPv6 [ イーサネット インターフェイ ス > IPv6] アドレスを DHCPv6 経由で使用できることをクライアントに示す場合 は、このオプションを選択します。 その他の設定 整合性チェック 他のアドレス情報(DNS 関連の設定など)を DHCPv6 経由で使用で きることをクライアントに示す場合は、このオプションを選択します。 他のルーターから送信された RA がリンク上で一貫した情報を通知し ていることをファイアウォールで確認する場合は、このオプションを 選択します。一貫していない場合はファイアウォールがログに記録し ます。 152 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 ファイアウォールインターフェイスの設定 レイヤ 3 サブインターフェイスの設定 Network > Interfaces > Ethernet [ ࢿࢵࢺ࣮࣡ࢡ > ࣥࢱ࣮ࣇ࢙ࢫ > ࣮ࢧࢿࢵࢺ ] 物理レイヤー 3 インターフェイスとして設定された各 Ethernet ポートについては、追加の論 理レイヤー 3 インターフェイス ( サブインターフェイス ) を定義できます。 レイヤー 3 サブインターフェイスを設定するには、 「レイヤー 3 インターフェイスの設定」を 行い、その物理インターフェイスの行を選択した後、Add Subinterface [ サブインターフェイス の追加 ] をクリックし、以下の情報を指定します。 表 67. レイヤー 3 サブインターフェイス設定 フィールド 設定場所 内容 インターフェイス名 レイヤー 3 サブ インターフェイ ス 読み取り専用の Interface Name [ インターフェイス名 ] フィールドに は、選択した物理インターフェイスの名前が表示されます。サブイン ターフェイスを識別する数値サフィックス (1 ∼ 9999) を隣のフィール ドに入力します。 コメント レイヤー 3 サブ インターフェイ ス サブインターフェイスの説明 ( 省略可 ) を入力します。 タグ レイヤー 3 サブ インターフェイ ス サブインターフェイスの VLAN タグ (1 ∼ 4094) を入力します。 Netflow プロファイル レイヤー 3 サブ インターフェイ ス 入力サブインターフェイスを通過する単向性の IP トラフィックを NetFlow サーバーにエクスポートする場合は、サーバープロファイル を選択するか、Netflow Profile [Netflow プロファイル ] をクリックし て新しいプロファイルを定義します (「Netflow 設定の編集」を参照 )。 現在サブインターフェイスに割り当てられている NetFlow サーバーを 解除する場合は、None [ なし ] を選択します。 注:この機能は PA-4000 Series と PA-7000 Series のファイアウォールで サポートされていません。 仮想ルーター Layer3 Subinterface > Config [ レイヤー 3 サ ブインターフェ イス > 設定 ] Layer3 Subinterface > Config [ レイヤー 3 サ ブインターフェ イス > 設定 ] Layer3 Subinterface > Config [ レイヤー 3 サ ブインターフェ イス > 設定 ] Layer3 Subinterface > Advanced > Other Info [ レイヤー 3 サ ブインターフェ イス > 詳細 > そ の他の情報 ] インターフェイスに仮想ルーターを割り当てるか、Virtual Router [ 仮 想ルーター ] をクリックして新しい仮想ルーターを定義します(「仮想 ルーターの設定」を参照)。None [ なし ] を選択すると、現在インター フェイスに割り当てられているルーターが解除されます。 仮想システム セキュリティゾーン 管理プロファイル © Palo Alto Networks, Inc. ファイアウォールが複数の仮想システムをサポートし、その機能が有 効な場合は、サブインターフェイスの仮想システム (vsys) を選択する か、Virtual System [ 仮想システム ] リンクをクリックして新しい vsys を定義します。 サブインターフェイス用のセキュリティゾーンを選択するか、Zone [ ゾーン ] をクリックして新しいゾーンを定義します。現在サブイン ターフェイスに割り当てられているゾーンを解除する場合は None [ な し ] を選択します。 Management Profile [ 管理プロファイル ] — このインターフェイスを 介したファイアウォールの管理に使用できるプロトコル (SSH、Telnet、 HTTP など ) を定義するプロファイルを選択します。None [ なし ] を 選択すると、現在インターフェイスに割り当てられているプロファイ ルが解除されます。 Web インターフェイス リファレンス ガイド、バージョン 7.1 • 153 ファイアウォールインターフェイスの設定 ネットワーク設定 表 67. レイヤー 3 サブインターフェイス設定(続) フィールド 設定場所 内容 MTU Layer3 Subinterface > Advanced > Other Info [ レイヤー 3 サ ブインターフェ イス > 詳細 > そ の他の情報 ] Layer3 Subinterface > Advanced > Other Info [ レイヤー 3 サ ブインターフェ イス > 詳細 > そ の他の情報 ] このインターフェイスで送信されるパケットの最大転送単位(MTU) をバイト数で入力します(576 ∼ 9192、デフォルトは 1500)。ファイ アウォールの両側のマシンが Path MTU Discovery (PMTUD) を実行 し、インターフェイスが MTU を超えるパケットを受信すると、ファ イアウォールが送信元にパケットが大きすぎることを示す ICMP フラ グメント要求メッセージを返します。 TCP MSS の調整 ヘッダーのバイト数に対応できるよう、インターフェイスの MTU バ イトサイズ以内の値に最大セグメントサイズ(MSS)を調整する場合 はこのオプションを選択します。MTU バイトサイズと MSS 調整サイ ズは MSS バイトサイズと等しい値になり、これは IP によって異なり ます。 • IPv4 MSS Adjustment Size [IPv4 MSS 調整サイズ ] — 範囲は 40 ∼ 300、デフォルトは 40 です。 • IPv6 MSS Adjustment Size [IPv6 MSS 調整サイズ ] — 範囲は 60 ∼ 300、デフォルトは 60 です。 ネットワークを通る tunnel [ トンネル ] の MSS を小さくする必要があ る場合はこれらの設定を行ってください。フラグメント化を行わない パケットのバイト数が MSS よりも大きい場合、この設定を行うことで サイズが調整されるようになります。 カプセル化によりヘッダーが延長されるので、MSS調整サイズはMPLS ヘッダーや VLAN タグを持つトンネルトラフィックよりも大きく設定 しておくと便利です。 IP アドレス MAC アドレス IPv6 アドレス MAC アドレス NDP プロキシの有効 化 Layer3 1 つ以上のスタティック ARP(Address Resolution Protocol)エントリ Subinterface > を追加する場合は、IP アドレスとそれに関連付けられたハードウェア Advanced > (メディアアクセス制御、略称 MAC)のアドレスを Add [ 追加 ] しま ARP Entries す。エントリを削除するには、エントリを選択して Delete [ 削除 ] を クリックします。静的 ARP エントリによって、指定したアドレスの [ レイヤー 3 サ ブインターフェ ARP 処理が減り、中間者攻撃が防止されます。 イス > 詳細 > ARP エントリ ] Layer3 NDP(Neighbor Discovery Protocol)のネイバー情報を指定する場合 Subinterface > は、ネイバーの IP アドレスと MAC アドレスを Add [ 追加 ] します。 Advanced > ND Entries [ レイヤー 3 サ ブインターフェ イス > 詳細 > ND エントリ ] Layer3 ク リ ックすると、インターフェイスで NDP (Neighbor Discovery Subinterface > Protocol) が有効になります。ファイアウォールは、このリストの IPv6 Advanced > アドレスの MAC アドレスを要求する ND パケットに応答します。ND NDP Proxy に対する応答として、ファイアウォールは、そのインターフェイス独 自の MAC アドレスを送信します。これにより、ファイアウォールは、 [ レイヤー 3 サ ブインターフェ リスト内のアドレス宛のパケットを受信するようになります。 イス > 詳細 > NPTv6 (Network Prefix Translation IPv6) を使用する場合は、NDP プ NDP プロキシ ] ロキシを有効にすることをお勧めします。 Enable NDP Proxy [NDP プロキシの有効化 ] を選択した場合、膨大な Address [ アドレス ] のエントリを絞り込む場合は、フィルタ条件を入 力しフィルタの適用アイコン ( 灰色の矢印 ) をクリックします。 154 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 ファイアウォールインターフェイスの設定 表 67. レイヤー 3 サブインターフェイス設定(続) フィールド 設定場所 内容 アドレス Layer3 Subinterface > Advanced > NDP Proxy [ レイヤー 3 サ ブインターフェ イス > 詳細 > NDP プロキシ ] Add [ 追加 ] をクリックし、1 つ以上の IPv6 アドレス、IP 範囲、IPv6 サブネット、またはファイアウォールが NDP プロキシとして機能する アドレス オブジェクトを入力します。これらのアドレスの 1 つは、 NPTv6 の送信元変換のアドレスと同じであることが理想的です。アド レスの順序は問題になりません。 アドレスがサブネットワークの場合、ファイアウォールは、サブネッ トのすべてのアドレスに対して ND 応答を送信します。したがって、 ファイアウォールの IPv6 ネイバーも追加し、Negate [ 除外 ] をクリッ クし、これらの IP アドレスに応答しないようにファイアウォールに指 示することをお勧めします。 上記以外 Layer3 Subinterface > Advanced > NDP Proxy [ レイヤー 3 サ ブインターフェ イス > 詳細 > NDP プロキシ ] あるアドレスに対して Negate [ 除外 ] チェック ボックスをオンにする と、NDP プロキシは、そのアドレスを拒否するようになります。Negate は、指定した IP アドレス範囲または IP サブネットの一部に対して実 行できます。 IPv4 アドレスの場合 タイプ Layer3 Subinterface > IPv4 [ レイヤー 3 サブインター フェイス > IPv4] IPv4 アドレス タイプをサブインターフェイスに割り当てる方法を選 択します。 • Static [ 静的 ] — IP アドレスを手動で指定する必要があります。 • DHCP Client [DHCP クライアント ] — サブインターフェイスが DHCP (Dynamic Host Configuration Protocol) クライアントとして 機能し、ダイナミックに割り当てられた IP アドレスを受信できます。 注:アクティブ / アクティブ高可用性 (HA) モードのファイアウォール は、DHCP クライアントをサポートしません。 選択した IP アドレス方式に応じて、タブに表示されるオプションは異 なります。 • IPv4 アドレス Type [ タイプ ] = 静的 IP Layer3 Subinterface > IPv4 [ レイヤー 3 サブインター フェイス > IPv4] • IPv4 アドレス Type [ タイプ ] = DHCP Layer3 有効化 Subinterface > IPv4 [ レイヤー 3 サブインター フェイス > IPv4] © Palo Alto Networks, Inc. Add [ 追加 ] をクリックし、以下のいずれかの手順を実行して、イン ターフェイスのスタティック IP アドレスとネットワーク マスクを指 定します。 • CIDR(Classless Inter-Domain Routing)表記法でエントリを入力し ます。ip_address/mask ( 例えば IPv4 の場合は 192.168.2.0/24、IPv6 の場合は 2001:db8::/32 など )。 • タイプが IP netmask [IP ネットマスク ] の既存のアドレス オブジェ クトを選択します。 • Adress [ アドレス ] をクリックし、タイプが IP netmask [IP ネット マスク ] のアドレスオブジェクトを作成します。 インターフェイスに対して複数の IP アドレスを入力できます。IP アド レスの最大数は、システムが使用する転送情報ベース (FIB) によって決 まります。 IP アドレスを削除するには、アドレスを選択して Delete [ 削除 ] をク リックします。 インターフェイスの DHCP クライアントを有効化する場合はこのオプ ションを選択します。 Web インターフェイス リファレンス ガイド、バージョン 7.1 • 155 ファイアウォールインターフェイスの設定 ネットワーク設定 表 67. レイヤー 3 サブインターフェイス設定(続) フィールド 設定場所 サーバー提供のデ フォルトゲートウェ イを指すデフォルト ルートを自動的に作 成 Layer3 DHCP サーバーによって提供されるデフォルトゲートウェイを指し示 Subinterface > すデフォルトルートを自動的に作成する場合はこのオプションを選択 します。 IPv4 [ レイヤー 3 サブインター フェイス > IPv4] Layer3 (任意)ファイアウォールと DHCP サーバー間のルートについて、デ Subinterface > フォルトルートへの関連付けと、パス選択の際に使用するルートメト リック(優先度)を入力します ( 範囲は 1 ∼ 65535、デフォルトなし )。 IPv4 [ レイヤー 数値が小さいほど優先度が高くなります。 3 サブインター フェイス > IPv4] Layer3 DHCP のリース状態、ダイナミック IP アドレス割り当て、サブネット Subinterface > マスク、ゲートウェイ、サーバー設定 (DNS、NTP、ドメイン、WINS、 NIS、POP3、および SMTP) など、DHCP サーバーから受信したすべ IPv4 [ レイヤー ての設定を表示する場合は Show DHCP Client Runtime Info [DHCP ク 3 サブインター フェイス > IPv4] ライアントのランタイム情報を表示 ] を選択します。 デフォルトルートメ トリック DHCP クライアント ランタイム情報の表 示 内容 IPv6 アドレスの場合 インターフェースで の IPv6 の有効化 インターフェイス ID Layer3 Subinterface > IPv6 [ レイヤー 3 サブインター フェイス > IPv6] Layer3 Subinterface > IPv6 [ レイヤー 3 サブインター フェイス > IPv6] このインターフェイスの IPv6 アドレスを有効にするには、このオプ ションをオンにします。 64 ビット拡張一意識別子 (EUI-64) を 16 進数形式で入力します ( 例: 00:26:08:FF:FE:DE:4E:29)。このフィールドを空白のままにすると、ファ イアウォールが、物理インターフェイスの MAC アドレスから生成さ れた EUI-64 を使用します。アドレスの追加時に Use interface ID as host portion [ ホスト部分にインターフェイス ID を使用 ] オプション を選択すると、ファイアウォールがそのアドレスのホスト部分にイン ターフェイス ID を使用します。 156 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 ファイアウォールインターフェイスの設定 表 67. レイヤー 3 サブインターフェイス設定(続) フィールド 設定場所 内容 アドレス Layer3 Subinterface > IPv6 [ レイヤー 3 サブインター フェイス > IPv6] Add [ 追加 ] をクリックして、IPv6 アドレスごとに以下のパラメータを 設定します。 • Address [アドレス] — IPv6 アドレスとプレフィックス長を入力しま す ( 例:2001:400:f00::1/64)。既存の IPv6 アドレスオブジェクトを選 択することや、Address [アドレス] をクリックしてアドレスオブジェ クトを作成することもできます。 • Enable address on interface [ インターフェイス上のアドレスを有効 にする ] — クリックすると、インターフェイスで IPv6 アドレスが有 効になります。 • Use interface ID as host portion [ ホスト部分にインターフェイス ID を使用 ] — クリックすると、IPv6 アドレスのホスト部分に Interface ID [ インターフェイス ID] が使用されます。 • Anycast [ エニーキャスト ] — クリックすると、最も近いノードを経 由するルーティングが含められます。 • Send Router Advertisement [ ルーター通知を送信 ] — クリックする と、この IP アドレスのルーター通知 (RA) が有効になります。( イン ターフェイスのグローバルの Enable Router Advertisement [ ルー ター通知を有効にする ] オプションも有効にする必要があります )。 RA の詳細は、この表の「ルーター通知を有効にする」を参照してく ださい。残りのフィールドは、RA を有効にした場合にのみ適用され ます。 – Valid Lifetime [ 有効なライフタイム ] — ファイアウォールがアド レスを有効とみなす時間 ( 秒 ) です。有効なライフタイムは、 Preferred Lifetime [ 優先ライフタイム ] 以上でなければなりませ ん。デフォルトは 2592000 です。 – Preferred Lifetime [ 優先ライフタイム ] — 有効なアドレスが優先 される時間 ( 秒 ) です。この時間内は、ファイアウォールがこのア ドレスを使用してトラフィックを送受信できます。優先ライフタ イムの期限後は、ファイアウォールがこのアドレスを使用して新 しい接続を確立することはできませんが、既存の接続は Valid Lifetime [ 有効なライフタイム ] の期限まで有効です。デフォルト は 604800 です。 – On-link [ オンリンク ] — クリックすると、プレフィックス内にア ドレスがあるシステムにルーターなしで到達可能になります。 – Autonomous [ 自律型 ] — クリックすると、通知されたプレフィッ クスとインターフェイス ID を組み合わせて、システムが IP アド レスを独自に作成できるようになります。 重複アドレス検出を 有効にする DAD 試行回数 到達可能時間 © Palo Alto Networks, Inc. Layer3 重複アドレス検出 (DAD) を有効にする場合はこのオプションを選択 Subinterface > し、セクション内の他のフィールドの設定を行います。 IPv6 [ レイヤー 3 サブインター フェイス > IPv6] Layer3 ネイバー要請間隔 (NS Interval [NS 間隔 ]) の内に DAD を試行する回 Subinterface > 数を指定します(範囲は 1 ∼ 10、デフォルトは 1)。この回数を超える とネイバーに障害があるとみなされます。 IPv6 [ レイヤー 3 サブインター フェイス > IPv6] Layer3 クエリと応答が正常に行われた後引き続きネイバーに到達可能な時間 Subinterface > (秒)を指定します(範囲は 1 ∼ 36000、デフォルトは 30)。 IPv6 [ レイヤー 3 サブインター フェイス > IPv6] Web インターフェイス リファレンス ガイド、バージョン 7.1 • 157 ファイアウォールインターフェイスの設定 ネットワーク設定 表 67. レイヤー 3 サブインターフェイス設定(続) フィールド 設定場所 内容 NS 間隔 ( ネイバー要 請間隔 ) Layer3 Subinterface > IPv6 [ レイヤー 3 サブインター フェイス > IPv6] Layer3 Subinterface > IPv6 [ レイヤー 3 サブインター フェイス > IPv6] DAD の試行秒数を指定します ( 範囲は 1 ∼ 10、デフォルトは 1)。こ の秒数を超えると障害があるとみなされます。 ルーター通知を有効 にする 最小間隔 ( 秒 ) 最大間隔 ( 秒 ) ホップ制限 リンク MTU 到達可能時間 (ミリ秒) リトランスミッショ ン時間 ( ミリ秒 ) Layer3 Subinterface > IPv6 [ レイヤー 3 サブインター フェイス > IPv6] Layer3 Subinterface > IPv6 [ レイヤー 3 サブインター フェイス > IPv6] Layer3 Subinterface > IPv6 [ レイヤー 3 サブインター フェイス > IPv6] Layer3 Subinterface > IPv6 [ レイヤー 3 サブインター フェイス > IPv6] Layer3 Subinterface > IPv6 [ レイヤー 3 サブインター フェイス > IPv6] Layer3 Subinterface > IPv6 [ レイヤー 3 サブインター フェイス > IPv6] IPv6 インターフェイスでステートレスアドレス自動設定(SLAAC)を 行う場合は、このオプションを選択してこのセクション内の他の フィールドを設定します。ルーター通知 (RA) メッセージを受信するク ライアントは、この情報を使用します。 RA により、ファイアウォールが、スタティックに設定されていない IPv6 ホストのデフォルトゲートウェイとして機能し、ホストにアドレ ス設定の IPv6 プレフィックスを提供できます。別の DHCPv6 サー バーをこの機能と併用すると、DNS および他の設定をクライアントに 提供できます。 このオプションはインターフェイスのグローバル設定です。IP アドレ スごとに RA オプションを設定する場合は、IP アドレス テーブルの Add [ 追加 ] をクリックしてアドレスを設定します ( 詳細は、この表の 「アドレス」を参照 )。IP アドレスに RA オプションを設定する場合は、 インターフェイスの Enable Router Advertisement [ルーター通知を有 効にする ] オプションを選択する必要があります。 ファイアウォールが送信する RA 間の最小間隔(秒)を指定します(範 囲は 3 ∼ 1350、デフォルトは 200)。ファイアウォールは、設定した最 小値と最大値の間のランダムな間隔で RA を送信します。 ファイアウォールが送信する RA 間の最大間隔(秒)を指定します(範 囲は 4 ∼ 1800、デフォルトは 600)。ファイアウォールは、設定した最 小値と最大値の間のランダムな間隔で RA を送信します。 クライアントに適用する、送信パケットのホップ制限を指定します(範 囲は 1 ∼ 255、デフォルトは 64)。ホップ制限を指定しない場合は 0 を 入力します。 クライアントに適用するリンクの最大転送単位 (MTU) を指定します。 リンク MTU を指定しない場合は unspecified [ 指定しない ] を選択し ます ( 範囲は 1280 ∼ 9192、デフォルトは unspecified)。 到達可能確認メッセージを受信後ネイバーに到達可能であると想定す るためにクライアントが使用する到達可能時間 ( ミリ秒 ) を指定しま す。到達可能時間を指定しない場合は unspecified [ 指定しない ] を選 択します ( 範囲は 0 ∼ 3600000、デフォルトは unspecified)。 ネイバー要請メッセージを再送信するまでにクライアントが待機する 時間を決定するリトランスミッション タイマーを指定します。リトラ ンスミッション時間を指定しない場合は unspecified [ 指定しない ] を 選択します ( 範囲は 0 ∼ 4294967295、デフォルトは unspecified)。 158 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 ファイアウォールインターフェイスの設定 表 67. レイヤー 3 サブインターフェイス設定(続) フィールド 設定場所 内容 ルーターの有効期間 (秒) Layer3 Subinterface > IPv6 [ レイヤー 3 サブインター フェイス > IPv6] クライアントがファイアウォールをデフォルトゲートウェイとして使 用する時間 ( 秒 ) を指定します ( 範囲は 0 ∼ 9000、デフォルトは 1800)。 0 は、ファイアウォールがデフォルトゲートウェイではないことを示 します。有効期間が過ぎると、クライアントがそのデフォルト ルー ター リストからファイアウォール エントリを削除して、別のルーター をデフォルトゲートウェイとして使用します。 ルーター設定 Layer3 Subinterface > IPv6 [ レイヤー 3 サブインター フェイス > IPv6] Layer3 Subinterface > IPv6 [ レイヤー 3 サブインター フェイス > IPv6] Layer3 Subinterface > IPv6 [ レイヤー 3 サブインター フェイス > IPv6] Layer3 Subinterface > IPv6 [ レイヤー 3 サブインター フェイス > IPv6] ネットワーク セグメントに複数の IPv6 ルーターがある場合は、クラ イアントがこのフィールドを使用して優先ルーターを選択します。セ グメントの他のルーターとの比較において、RA が通知するファイア ウォール ルーターの優先度を High、Medium ( デフォルト )、Low の 中から選択します。 管理された設定 その他の設定 整合性チェック © Palo Alto Networks, Inc. アドレスを DHCPv6 経由で使用できることをクライアントに示す場合 は、このオプションを選択します。 他のアドレス情報(DNS 関連の設定など)を DHCPv6 経由で使用で きることをクライアントに示す場合は、このオプションを選択します。 他のルーターから送信された RA がリンク上で一貫した情報を通知し ていることをファイアウォールで確認する場合は、このオプションを 選択します。一貫していない場合はファイアウォールがログに記録し ます。 Web インターフェイス リファレンス ガイド、バージョン 7.1 • 159 ファイアウォールインターフェイスの設定 ネットワーク設定 バーチャル ワイヤー インターフェイスの設定 Network > Interfaces > Ethernet [ ࢿࢵࢺ࣮࣡ࢡ > ࣥࢱ࣮ࣇ࢙ࢫ > ࣮ࢧࢿࢵࢺ ] バーチャル ワイヤー インターフェイスは 2 つの Ethernet ポートを結合し、すべてのトラ フィック、または選択した VLAN タグを持つトラフィックのみをポート間で渡すことができ ます ( 他の切り替えまたはルーティング サービスは使用できません )。また、バーチャル ワ イヤー サブインターフェイスを作成し、IP アドレス、IP 範囲、またはサブネットに基づいて トラフィックを分類することもできます。バーチャル ワイヤーでは、隣接ネットワーク デバ イスへの変更は必要ありません。 ファイアウォールを介してバーチャル ワイヤーをセットアップするには、以下の手順で説明 するように、最初にバーチャル ワイヤー インターフェイスを定義し、次に作成したインター フェイスを使用してバーチャル ワイヤーを作成します。 1. Ethernet [ イーサネット ] タブでバーチャル ワイヤーに使用するインターフェイスを確認 し、現在のセキュリティ ゾーンに含まれていればゾーンから削除します。 2. インターフェイス名をクリックし、以下の情報を指定します。 表 68. バーチャル ワイヤー インターフェイス設定 フィールド 設定場所 内容 インターフェイ ス名 イーサネットイ ンターフェイス インターフェイス名は事前に定義されており、変更することはできません。 コメント イーサネットイ ンターフェイス インターフェイスの説明 ( 省略可 ) を入力します。 インターフェイ スタイプ イーサネットイ ンターフェイス Ethernet Interface > Config [ イーサ ネットインター フェイス > 設定 ] Ethernet Interface > Config [ イーサ ネットインター フェイス > 設定 ] Ethernet Interface > Config [ イーサ ネットインター フェイス > 設定 ] Ethernet Interface > Advanced [ イーサネット インターフェイ ス > 詳細 ] Ethernet Interface > Advanced [ イーサネット インターフェイ ス > 詳細 ] [ バーチャル ワイヤー ] を選択します。 バーチャルワイ ヤー 仮想システム セキュリティ ゾーン リンク速度 リンクデュプ レックス バーチャルワイヤーを選択するか、Virtual Wire [ バーチャルワイヤー ] を クリックして新しいバーチャルワイヤーを定義します (「バーチャル ワイ ヤーの定義」を参照 )。None [ なし ] を選択すると、現在インターフェイス に割り当てられているバーチャルワイヤーが解除されます。 ファイアウォールが複数の仮想システムをサポートし、その機能が有効の 場合は、インターフェイスの仮想システムを選択するか、Virtual System [ 仮想システム ] リンクをクリックして新しい vsys を定義します。 インターフェイス用のセキュリティゾーンを選択するか、Zone [ ゾーン ] を クリックして新しいゾーンを定義します。None [ なし ] を選択すると、現 在インターフェイスに割り当てられているゾーンが解除されます。 インターフェイスの速度 (10、100、または 1000 Mbps) を選択するか、auto を選択してファイアウォールに自動的に速度を決定させます。 インターフェイスの伝送モードを、フル デュプレックス (full)、ハーフ デュ プレックス (half)、オート ネゴシエーション (auto) から選択します。 160 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 ファイアウォールインターフェイスの設定 表 68. バーチャル ワイヤー インターフェイス設定(続) フィールド 設定場所 内容 リンク状態 Ethernet Interface > Advanced [ イーサネット インターフェイ ス > 詳細 ] Ethernet Interface > Advanced > LLDP [ イーサ ネットインター フェイス > 詳細 > LLDP] インターフェイスの状態を、有効 (up)、無効 (down)、自動決定 (auto) から 選択します。 プロファイル Ethernet Interface > Advanced > LLDP [ イーサ ネットインター フェイス > 詳細 > LLDP] LLDP が有効の場合は、インターフェイスに割り当てる LLDP プロファイル を選択するか、LLDP Profile [LLDP プロファイル ] をクリックして新しいプ ロファイルを作成します (「LLDP プロファイルの定義」を参照 )。ファイ アウォールでグローバルなデフォルト設定を使用するように設定する場合 は None [ なし ] を選択します。 HA パッシブス テートを有効に する Ethernet Interface > Advanced > LLDP [ イーサ ネットインター フェイス > 詳細 > LLDP] LLDP が有効化されていて、HA のパッシブなファイアウォールがアクティ ブに切り替わる前に、もう一方のピアと LLDP の取り決めを行うよう設定 する場合はこのオプションを選択します。 LLDP が有効化されておらず、HA のパッシブなファイアウォールに LLDP パケットをそのままファイアウォールを通過させるよう設定する場合はこ のオプションを選択します。 LLDP の有効化 インターフェイスでリンク レイヤー検出プロトコル (LLDP) を有効にする には、このオプションを選択します。LLDP は、リンク レイヤーで機能し、 隣接するデバイスとその機能を検出します。 バーチャル ワイヤー サブインターフェイスの設定 Network > Interfaces > Ethernet [ ࢿࢵࢺ࣮࣡ࢡ > ࣥࢱ࣮ࣇ࢙ࢫ > ࣮ࢧࢿࢵࢺ ] バーチャル ワイヤー (vwire) サブインターフェイスでは、VLAN タグまたは VLAN タグと IP 分類子の組み合わせによってトラフィックを分離し、タグの付いたトラフィックを異なる ゾーンと仮想システムに割り当ててから、定義された条件に一致するトラフィックのセキュ リティポリシーを適用できます。 vwire サブインターフェイスを追加するには、 「バーチャル ワイヤー インターフェイスの設 定」を行い、そのインターフェイスの行を選択した後、Add Subinterface [ サブインターフェイ スの追加 ] をクリックし、以下の情報を指定します。 表 69. バーチャル ワイヤー サブインターフェイス設定 フィールド 内容 インターフェイ ス名 読み取り専用の Interface Name [ インターフェイス名 ] フィールドには、 選択した vwire インター フェイスの名前が表示されます。サブインターフェイスを識別する数値サフィックス (1 ∼ 9999) を隣のフィールドに入力します。 コメント サブインターフェイスの説明 ( 省略可 ) を入力します。 タグ サブインターフェイスの VLAN タグ (0 ∼ 4094) を入力します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 161 ファイアウォールインターフェイスの設定 ネットワーク設定 表 69. バーチャル ワイヤー サブインターフェイス設定(続) フィールド 内容 Netflow プロフ ァイル 入力サブインターフェイスを通過する単向性の IP トラフィックを NetFlow サーバーにエクス ポートする場合は、サーバープロファイルを選択するか、Netflow Profile [Netflow プロファイ ル ] をクリックして新しいプロファイルを定義します (「Netflow 設定の編集」を参照 )。None [ なし ] を選択すると、サブインターフェイスから現在の NetFlow サーバー割り当てが削除さ れます。 注:この機能は PA-4000 Series と PA-7000 Series のファイアウォールでサポートされていません。 IP 分類子 Add [ 追加 ] をクリックし、IP アドレス、IP 範囲、またはサブネットを入力すると、この vwire サブインターフェイスのトラフィックを分類できます。 バーチャルワイ ヤー バーチャルワイヤーを選択するか、Virtual Wire [ バーチャルワイヤー ] をクリックして新しい バーチャルワイヤーを定義します (「バーチャル ワイヤーの定義」を参照 )。None [ なし ] を選 択すると、現在サブインターフェイスに割り当てられているバーチャルワイヤーが解除されま す。 仮想システム ファイアウォールが複数の仮想システムをサポートし、その機能が有効な場合は、サブインター フェイスの仮想システム (vsys) を選択するか、Virtual System [ 仮想システム ] リンクをクリッ クして新しい vsys を定義します。 セキュリティ ゾーン サブインターフェイス用のセキュリティゾーンを選択するか、Zone [ ゾーン ] をクリックして 新しいゾーンを定義します。現在サブインターフェイスに割り当てられているゾーンを解除す る場合は None [ なし ] を選択します。 タップ インターフェイスの設定 Network > Interfaces > Ethernet [ ࢿࢵࢺ࣮࣡ࢡ > ࣥࢱ࣮ࣇ࢙ࢫ > ࣮ࢧࢿࢵࢺ ] タップ インターフェイスを使用して、ポートのトラフィックをモニターできます。 タップ インターフェイスを設定するには、設定されていないインターフェイスの名前 ( [Ethernet1/1] など ) をクリックし、以下の情報を指定します。 表 70. タップ インターフェイス設定 フィールド 設定場所 内容 インターフェイ ス名 イーサネットイ ンターフェイス インターフェイス名は事前に定義されており、変更することはできません。 コメント イーサネットイ ンターフェイス インターフェイスの説明 ( 省略可 ) を入力します。 インターフェイ スタイプ イーサネットイ ンターフェイス Tap [ タップ ] を選択します。 Netflow プロフ ァイル イーサネットイ ンターフェイス 入力インターフェイスを通過する単向性の IP トラフィックを NetFlow サーバーにエクスポートする場合は、サーバー プロファイルを選択するか、 Netflow Profile [Netflow プロファイル ] をクリックして新しいプロファイ ルを定義します (「Netflow 設定の編集」を参照 )。None [ なし ] を選択す ると、現在インターフェイスに割り当てられている NetFlow サーバーが解 除されます。 注:この機能は PA-4000 Series と PA-7000 Series のファイアウォールでサ ポートされていません。 仮想システム Ethernet Interface > Config [ イーサ ネットインター フェイス > 設定 ] ファイアウォールが複数の仮想システムをサポートし、その機能が有効の 場合は、インターフェイスの仮想システムを選択するか、Virtual System [ 仮想システム ] リンクをクリックして新しい vsys を定義します。 162 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 ファイアウォールインターフェイスの設定 表 70. タップ インターフェイス設定(続) フィールド 設定場所 内容 セキュリティ ゾーン Ethernet Interface > Config [ イーサ ネットインター フェイス > 設定 ] Ethernet Interface > Advanced [ イーサネット インターフェイ ス > 詳細 ] Ethernet Interface > Advanced [ イーサネット インターフェイ ス > 詳細 ] Ethernet Interface > Advanced [ イーサネット インターフェイ ス > 詳細 ] インターフェイス用のセキュリティゾーンを選択するか、Zone [ ゾーン ] を クリックして新しいゾーンを定義します。None [ なし ] を選択すると、現 在インターフェイスに割り当てられているゾーンが解除されます。 リンク速度 リンクデュプ レックス リンク状態 インターフェイスの速度 (10、100、または 1000 Mbps) を選択するか、auto を選択してファイアウォールに自動的に速度を決定させます。 インターフェイスの伝送モードを、フル デュプレックス (full)、ハーフ デュ プレックス (half)、オート ネゴシエーション (auto) から選択します。 インターフェイスの状態を、有効 (up)、無効 (down)、自動決定 (auto) から 選択します。 ログ カード インターフェイスの設定 Network > Interfaces > Ethernet [ ࢿࢵࢺ࣮࣡ࢡ > ࣥࢱ࣮ࣇ࢙ࢫ > ࣮ࢧࢿࢵࢺ ] PA-7000 シリーズのファイアウォールでは、1 つのデータ ポートに Log Card [ ログ カード ] タ イプのインターフェイスが必要です。これは、このプラットフォームのトラフィックおよび ロギング機能が管理ポートの機能を超えるためです。ログカードのデータポートは、Syslog、 電子メール、SNMP(Simple Network Management Protocol)、WildFire™ ファイル転送のロ グ転送を実行します。ログ カード インターフェイスにできるのは、ファイアウォールのポー トの 1 つのみです。ログ転送を有効にしながら、インターフェイスに Log Card [ ログカード ] タイプを設定していない場合は、コミットエラーが発生します。 ログ カード インターフェイスを設定するには、設定されていないインターフェイスの名前 ( [Ethernet1/16] など ) をクリックし、以下の情報を指定します。 表 71. ログ カード インターフェイス設定 フィールド 設定場所 内容 スロット Ethernet Interface [ イー サネットイン ターフェイス ] インターフェイスのスロット番号 (1 ∼ 12) を選択します。 インターフェイ ス名 イーサネットイ ンターフェイス インターフェイス名は事前に定義されており、変更することはできません。 コメント イーサネットイ ンターフェイス インターフェイスの説明 ( 省略可 ) を入力します。 インターフェイ スタイプ イーサネットイ ンターフェイス Log Card [ ログ カード ] を選択します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 163 ファイアウォールインターフェイスの設定 ネットワーク設定 表 71. ログ カード インターフェイス設定(続) フィールド 設定場所 IPv4 Ethernet ネットワークで IPv4 が使用されている場合は、以下を定義します。 Interface > Log • IP address [IP アドレス ] — ポートの IPv4 アドレス。 Card Forwarding • Netmask [ ネットマスク ] — ポートの IPv4 アドレスのネットワーク マス [ イーサネット ク。 インターフェイ ス > ログ カード • Default Gateway [ デフォルトゲートウェイ ] — ポートのデフォルトゲー トウェイの IPv4 アドレス。 転送 ] Ethernet ネットワークで IPv6 が使用されている場合は、以下を定義します。 Interface > Log • IP address [IP アドレス ] — ポートの IPv6 アドレス。 Card Forwarding • Default Gateway [ デフォルトゲートウェイ ] — ポートのデフォルトゲー [ イーサネット トウェイの IPv6 アドレス。 インターフェイ ス > ログ カード 転送 ] Ethernet インターフェイスの速度 (10、100、または 1000 Mbps) を選択するか、auto Interface > (デフォルト設定)を選択して、接続ごとにファイアウォールに自動的に速 Advanced 度を決定させます。スピード設定が不可のインターフェイスについては auto のみ設定可能です。 [ イーサネット インターフェイ 推奨設定:接続速度は最低 1000 Mbps 以上に設定することをおすすめしま ス > 詳細 ] す。 Ethernet 接続の種類に応じて、インターフェイスの伝送モードをフルデュプレック Interface > ス (full)、ハーフデュプレックス (half)、自動ネゴシエート (auto) から選択 Advanced します。デフォルト設定は auto です。 [ イーサネット インターフェイ ス > 詳細 ] Ethernet 接続に応じて、インターフェイスの状態を、有効 (up)、無効 (down)、自動 Interface > 決定 (auto) から選択します。デフォルト設定は auto です。 Advanced [ イーサネット インターフェイ ス > 詳細 ] IPv6 リンク速度 リンクデュプ レックス リンク状態 内容 ログ カード サブインターフェイスの設定 Network > Interfaces > Ethernet [ ࢿࢵࢺ࣮࣡ࢡ > ࣥࢱ࣮ࣇ࢙ࢫ > ࣮ࢧࢿࢵࢺ ] ログカードサブインターフェイスを追加する場合は、 「ログ カード インターフェイスの設定」 を行い、そのインターフェイスの行を選択した後、Add Subinterface [ サブインターフェイスの 追加 ] をクリックし、以下の情報を指定します。 表 72. ログ カード サブインターフェイス設定 フィールド 設定場所 内容 インターフェイ ス名 LPC サブイン ターフェイス 読み取り専用の Interface Name [ インターフェイス名 ] フィールドには、選 択したログカードインターフェイスの名前が表示されます。サブインター フェイスを識別する数値サフィックス (1 ∼ 9999) を隣のフィールドに入力 します。 コメント LPC サブイン ターフェイス インターフェイスの説明 ( 省略可 ) を入力します。 タグ LPC サブイン ターフェイス サブインターフェイス用の VLAN Tag [ タグ ] (0 ∼ 4094) を入力します。使 いやすさのため、タグはサブインターフェイス番号と同じにすることをお 勧めします。 164 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 ファイアウォールインターフェイスの設定 表 72. ログ カード サブインターフェイス設定(続) フィールド 設定場所 内容 仮想システム LPC Subinterface > Config [LPC サ ブインターフェ イス > 設定 ] LPC (Log Processing Card) サブインターフェイスの割り当て先の仮想シス テム (vsys) を選択します。Virtual Systems [ 仮想システム ] リンクをクリッ クして新しい vsys を追加することもできます。LPC サブインターフェイス を vsys に割り当てると、そのインターフェイスは、ログ カードからログ (Syslog、電子メール、SNMP) を転送するすべてのサービスの送信元イン ターフェイスとして使用されます。 IPv4 Ethernet Interface > Log Card Forwarding [ イーサネット インターフェイ ス > ログ カード 転送 ] Ethernet Interface > Log Card Forwarding [ イーサネット インターフェイ ス > ログ カード 転送 ] ネットワークで IPv4 が使用されている場合は、以下を定義します。 • IP address [IP アドレス ] — ポートの IPv4 アドレス。 • Netmask [ ネットマスク ] — ポートの IPv4 アドレスのネットワーク マス ク。 • Default Gateway [ デフォルトゲートウェイ ] — ポートのデフォルトゲー トウェイの IPv4 アドレス。 IPv6 ネットワークで IPv6 が使用されている場合は、以下を定義します。 • IP address [IP アドレス ] — ポートの IPv6 アドレス。 • Default Gateway [ デフォルトゲートウェイ ] — ポートのデフォルトゲー トウェイの IPv6 アドレス。 復号化ミラー インターフェイスの設定 Network > Interfaces > Ethernet [ ࢿࢵࢺ࣮࣡ࢡ > ࣥࢱ࣮ࣇ࢙ࢫ > ࣮ࢧࢿࢵࢺ ] 復号化ポート ミラー機能を使用するには、Decrypt Mirror [ 復号化ミラー] インターフェイス タイプを選択する必要があります。この機能では、ファイアウォールからの復号化されたト ラフィックのコピーを作成して、トラフィック収集ツールに送信できます。このツールは、 NetWitness や Solera などの生パケットキャプチャを受信してアーカイブや分析を行うこと ができます。フォレンジックや履歴調査の目的で、または DLP ( 情報漏洩対策 ) 機能に包括 的なデータ キャプチャを必要とする組織では、この機能が不可欠です。復号化ポート ミラー リングは、PA-7000 シリーズ、PA-5000 シリーズ、および PA-3000 シリーズのファイアウォー ルでのみ使用できます。この機能を有効にするには、フリー ライセンスを取得してインストー ルする必要があります。 復号化ミラー インターフェイスを設定するには、設定されていないインターフェイスの名前 ( [Ethernet1/1] など ) をクリックし、以下の情報を指定します。 表 73. ミラーの復号化インターフェイスの設定 フィールド 内容 インターフェイ ス名 インターフェイス名は事前に定義されており、変更することはできません。 コメント インターフェイスの説明 ( 省略可 ) を入力します。 インターフェイ スタイプ Decrypt Mirror [ 復号化ミラー ] を選択します。 リンク速度 インターフェイスの速度 (10、100、または 1000 Mbps) を選択するか、auto を選 択してファイアウォールに自動的に速度を決定させます。 リンクデュプ レックス インターフェイスの伝送モードを、フル デュプレックス (full)、ハーフ デュプレッ クス (half)、オート ネゴシエーション (auto) から選択します。 リンク状態 インターフェイスの状態を、有効 (up)、無効 (down)、自動決定 (auto) から選択し ます。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 165 ファイアウォールインターフェイスの設定 ネットワーク設定 Aggregate Ethernet(AE)インターフェイスグループの設定 Network > Interfaces > Ethernet [ ࢿࢵࢺ࣮࣡ࢡ > ࣥࢱ࣮ࣇ࢙ࢫ > ࣮ࢧࢿࢵࢺ ] AE インターフェイスグループは IEEE 802.1AX リンク集約をもちい、複数の Ethernet イン ターフェイスを、そのファイアウォールと他のネットワークデバイスまたはファイアウォー ルへ接続する、一つの仮想インターフェイスにまとめます。AE インターフェイスグループは、 組み合わされたインターフェイスの間のロードバランスを行うことでピア同士の帯域幅を増 加させます。また、1 つのインターフェイスが障害を起こした場合も残りのインターフェイス がトラフィックをサポートするため、冗長性の確保にも役立ちます。 AE インターフェイスグループの設定を行う前に、それが使用するインターフェイスの設定を 行う必要があります。集約グループ内にあるインターフェイスは、同じ帯域幅(1Gbps また は 10Gbps)とインターフェイスタイプ(HA3、バーチャルワイヤー、レイヤー 2、た はレイヤー 3)を設定する必要があります。各ファイアウォールにつき最大 8 個の AE イン ターフェイスグループを追加することができ、また各グループは最大 8 個のインターフェイ スを持つことができます。 • PA-200 および VM-Series プラットフォームを除く、Palo Alto Networks のすべ てのファイアウォールは AE インターフェイスグループをサポートしています。 • PA-500、PA-3000 Series、PA-4000 Series、および PA-5000 Series ファイアウォー ルに限り、アクティブ / アクティブの高可用性(HA)環境におかれた HA3(パ ケット転送)インターフェイスを集約することができます。 AE インターフェイスグループを設定する場合は、「Aggregate Ethernet(AE)インターフェ イスの設定」に記載のとおり、Add Aggregate Group [ 集約グループを追加 ] し、以下の表の項 目を設定してから、インターフェイスをグループに割り当てます。 表 74. 集約インターフェイス グループの設定 フィールド 設定場所 内容 インターフェイ ス名 Ethernet の集約 インターフェイ ス 読み取り専用の Interface Name [ インターフェイス名 ] フィールドには ae が設定されています。AE インターフェイスグループを識別する数値サ フィックス(1 ∼ 8)を隣のフィールドに入力します。 コメント Ethernet の集約 インターフェイ ス インターフェイスの説明 ( 省略可 ) を入力します。 インターフェイ スタイプ Ethernet の集約 インターフェイ ス インターフェイス タイプを選択します。このタイプによって、残りの設定 要件やオプションが制御されます。 • HA — インターフェイスがアクティブ / アクティブ デプロイメントの 2 つ のファイアウォール間の HA3 リンクである場合にのみ、このオプション を選択します。必要に応じて、Netflow Profile [Netflow プロファイル ] を 選択し、LACP タブの設定を行います(「LACP を有効化」を参照)。 • Virtual Wire [ バーチャル ワイヤー ] — 必要に応じて、Netflow Profile [Netflow プロファイル ] を選択し、表 68 の説明に従って Config [ 設定 ] タブと Advanced [ 詳細 ] タブを設定します。 • Layer 2 [ レイヤー 2] — 必要に応じて、Netflow Profile [Netflow プロファ イル ] を選択し、表 64 の説明に従って Config [ 設定 ] タブと Advanced [ 詳細 ] タブを設定します。また、必要に応じて LACP タブを設定します (「LACP を有効化」を参照)。 • Layer 3 [ レイヤー 3] — 必要に応じて、Netflow Profile [Netflow プロファ イル ] を選択し、表 66 の説明に従って Config [ 設定 ]、IPv4 または IPv6 のタブ、および Advanced [ 詳細 ] タブを設定します。また、必要に応じ て、LACP タブを設定します(「LACP を有効化」を参照)。 166 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 ファイアウォールインターフェイスの設定 表 74. 集約インターフェイス グループの設定(続) フィールド 設定場所 内容 Netflow プロフ ァイル Ethernet の集約 インターフェイ ス 入力インターフェイスを通過する単向性の IP トラフィックを NetFlow サーバーにエクスポートする場合は、サーバー プロファイルを選択するか、 Netflow Profile [Netflow プロファイル ] をクリックして新しいプロファイ ルを定義します (「Netflow 設定の編集」を参照 )。None [ なし ] を選択す ると、現在 AE インターフェイスグループに割り当てられている NetFlow サーバーが解除されます。 注:この機能は PA-4000 Series と PA-7000 Series のファイアウォールでサ ポートされていません。 LACP を有効化 Aggregate Ethernet Interface > LACP [Ethernet の集約インター フェイス > LACP] AE インターフェイスグループのリンク集約制御プロトコル (LACP) を有効 にする場合は、このオプションを選択します。LACP はデフォルトで無効に なっています。 LACP を有効化した場合、ファイアウォールとその LACP ピアが直接接続 されているかどうかに関わらず、物理リンクレイヤーおよびデータリンク レイヤーにおいてインターフェイス障害が自動的に検知されます。(LACP を使用しない場合、直接接続されたピア間の物理レイヤーのみにおいてイ ンターフェイス障害が自動的に検出されます。)ホットスペアを設定した場 合、LACP により待機中のインターフェイスへ自動フェイルオーバーを行う ことが可能になります(「最大ポート」)。 モード Aggregate Ethernet Interface > LACP [Ethernet の集約インター フェイス > LACP] ファイアウォールの LACP モードを選択します。2 つの LACP ピアにおい ては、一方をアクティブ、もう一方をパッシブにすることをお勧めします。 両方ともパッシブの場合は LACP が機能しません。 • Active [アクティブ] — ファイアウォールがピア デバイスの LACP の状態 ( 使用可能または無応答 ) をアクティブにクエリします。 • Passive [ パッシブ ] ( デフォルト ) — ファイアウォールがピア デバイスか らの LACP 状態のクエリにパッシブに応答します。 トランスミッ ション率 Aggregate Ethernet Interface > LACP [Ethernet の集約インター フェイス > LACP] Aggregate Ethernet Interface > LACP [Ethernet の集約インター フェイス > LACP] Aggregate Ethernet Interface > LACP [Ethernet の集約インター フェイス > LACP] Aggregate Ethernet Interface > LACP [Ethernet の集約インター フェイス > LACP] ファイアウォールがピア デバイスとクエリおよび応答をやりとりする間隔 を選択します。 • Fast [ 高速 ] — 毎秒 • Slow [ 低速 ] — 30 秒ごと ( デフォルトの設定 ) 高速フェール オーバー システム優先度 最大ポート © Palo Alto Networks, Inc. インターフェイスがダウンしたときに、1 秒以内にファイアウォールを動作 中のインターフェイスにフェールオーバーさせたい場合は、このオプショ ンを選択します。それ以外の場合は、標準の IEEE 802.1AX 定義の速度 (3 秒 以上 ) でフェールオーバーが生じます。 ファイアウォールまたはそのピアが、ポート優先度に応じてもう一方を オーバーライドするかどうかを判断する数字 ( 以下の Max Ports [ 最大ポー ト ] フィールドの説明を参照 )。番号が小さいほど優先度が高くなります(範 囲は 1 ∼ 65535、デフォルトは 32768)。 任意の時点で LACP 集約グループでアクティブにできるインターフェイス の数 (1 ∼ 8)。この値を、グループに割り当てるインターフェイスの数より 大きくすることはできません。割り当てられたインターフェイスの数がア クティブなインターフェイスの数を上回ると、ファイアウォールがイン ターフェースの LACP ポート優先度に従って、どのインターフェイスがス タンバイモードかを判断します。LACP ポートの優先度は、グループの個々 のインターフェイスを設定する際に設定します(「Aggregate Ethernet(AE) インターフェイスの設定」を参照)。 Web インターフェイス リファレンス ガイド、バージョン 7.1 • 167 ファイアウォールインターフェイスの設定 ネットワーク設定 表 74. 集約インターフェイス グループの設定(続) フィールド 設定場所 内容 HA パッシブス テートを有効に する Aggregate Ethernet Interface > LACP [Ethernet の集約インター フェイス > LACP] Aggregate Ethernet Interface > LACP [Ethernet の集約インター フェイス > LACP] アクティブ / パッシブの高可用性(HA)環境にデプロイされたファイア ウォールにおいて、フェイルオーバーの実行前にパッシブなピアからアク ティブなピアへ LACP を事前にネゴシエートするよう設定する場合はこの オプションを選択します。事前にネゴシエートを実行することで、パッシ ブなファイアウォールがアクティブに切り替わる際に LACP のネゴシエー トを行う必要がなくなるので、フェイルオーバーの作業が高速化されます。 アクティブ / パッシブ HA に 同じシステム MAC アドレス を使用する このオプションはアクティブ / パッシブの高可用性(HA)環境にデプロイ されたファイアウォールにのみ適用されます。アクティブ / アクティブ設定 のファイアウォールは一意の MAC アドレスを必要とします。 HA ファイアウォールのピアは同じシステム優先度を設定されています。た だし、アクティブ / パッシブ デプロイメントでは、同一の MAC アドレス を割り当てるかどうかにより、それぞれのシステム ID が同じこともあれ ば、異なることもあります。 推奨設定:HA モードの LACP ピアが仮想化されている場合は(ネットワー クに 1 つのデバイスとして表示される)、ファイアウォールに同一のシステ ム MAC アドレスを使用すると、フェイルオーバー時の待機時間が最小限に 抑えられます。LACP ピアが仮想化されていない場合は、ファイアウォール ごとに一意の MAC アドレスすると、フェイルオーバーの待機時間が最小限 に抑えられます。 LACP は、MAC アドレスを使用して、各 LACP ピアのシステム ID を取得 します。ファイアウォール ペアおよびピア ペアに同一のシステム優先度の 値が設定されている場合は、LACP がシステム ID の値を使用して、ポート 優先度に応じてどちらがもう一方をオーバーライドするかを判断します。 両方のファイアウォールの MAC アドレスが同じ場合は、両者のシステム ID も同じで、LACP ピアのシステム ID よりも大きいか小さくなります。HA ファイアウォールに一意の MAC アドレスが設定されている場合は、一方の システム ID は LACP ピアよりも大きく、もう一方は小さいことがありま す。後者の場合は、ファイアウォールでフェイルオーバーが発生したとき に、LACP ピアとアクティブになるファイアウォール間のポート優先度が切 り替わります。 MAC アドレス Aggregate Ethernet Interface > LACP [Ethernet の集約インター フェイス > LACP] Use Same System MAC Address [ システムと同一の MAC アドレスを使用 ] を有効化した場合は、アクティブ / パッシブの高可用性(HA)ペアのファ イアウォールの両方について、システム生成の MAC アドレスを選択する か、独自のアドレスを入力します。アドレスがグローバルに一意であるこ とを確認します。 Aggregate Ethernet(AE)インターフェイスの設定 Network > Interfaces > Ethernet [ ࢿࢵࢺ࣮࣡ࢡ > ࣥࢱ࣮ࣇ࢙ࢫ > ࣮ࢧࢿࢵࢺ ] Ethernet の集約(AE)インターフェイスを設定する場合は、「Aggregate Ethernet(AE)イ ンターフェイスグループの設定」を行い、そのグループに割り当てるインターフェイスの名 前をクリックします。選択するインターフェイスのタイプは、AE インターフェイスグループ 168 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 ファイアウォールインターフェイスの設定 に対して定義されたタイプと同じでなければなりません (「レイヤー 3」など )。ただし、イ ンターフェイスの設定時にタイプを Aggregate Ethernet [Ethernet の集約 ] に変更します。イン ターフェイスの以下の情報を指定します。 AE インターフェイスグループに対するリンク集約制御プロトコル(LACP) を有効化にした場合は、そのグループのすべてのインターフェイスに対し て同じ Link Speed [ リンク速度 ] と Link Duplex [ リンクデュプレックス ] を 選択することをお勧めします。値が一致していない場合は、コミット操作 時に警告が表示され、PAN-OS がデフォルトのより高い速度およびフル デュプレックスを設定します。 表 75. Aggregate イーサネットインターフェイス設定 フィールド 内容 インターフェイ ス名 インターフェイス名は事前に定義されており、変更することはできません。 コメント インターフェイスの説明 ( 省略可 ) を入力します。 インターフェイ スタイプ Aggregate Ethernet [Ethernet の集約 ] を選択します。 集約グループ インターフェイスを集約グループに割り当てます。 リンク速度 インターフェイスの速度 (10、100、または 1000 Mbps) を選択するか、auto を選 択してファイアウォールに自動的に速度を決定させます。 リンクデュプ レックス インターフェイスの伝送モードを、フル デュプレックス (full)、ハーフ デュプレッ クス (half)、オート ネゴシエーション (auto) から選択します。 リンク状態 インターフェイスの状態を、有効 (up)、無効 (down)、自動決定 (auto) から選択し ます。 LACP ポート優 先順位 ファイアウォールがこのフィールドを使用するのは、集約グループのリンク集約 制御プロトコル (LACP) が有効になっている場合のみです。割り当てられたイン ターフェイスの数がアクティブなインターフェイスの数(「最大ポート」のフィー ルド)を上回ると、ファイアウォールがインターフェースの LACP ポート優先度 に従って、どのインターフェイスがスタンバイモードかを判断します。数値が小 さいほど優先度は高くなります(範囲は 1 ∼ 65535、デフォルトは 32768)。 HA インターフェイスの設定 Network > Interfaces > Ethernet [ ࢿࢵࢺ࣮࣡ࢡ > ࣥࢱ࣮ࣇ࢙ࢫ > ࣮ࢧࢿࢵࢺ ] HA ( 高可用性 ) インターフェイスにはそれぞれ固有の機能があります。一方のインターフェ イスは設定の同期とハートビート機能を持ち、もう一方のインターフェイスは状態の同期機 能を持っています。アクティブ / アクティブの高可用性が有効になっている場合、ファイア ウォールは、3 つ目の HA インターフェイスを使用してパケットを転送できます。 一部の Palo Alto Networks ファイアウォールには、HA 専用の物理ポートがあ ります ( 制御リンク用とデータ リンク用 )。専用ポートのないファイアウォー ルの場合、HA に使用するデータ ポートを指定する必要があります。HA の詳 細は、「ファイアウォールの HA の有効化」を参照してください。 H A イ ン タ ー フ ェ イ ス を 設 定 す る に は 、設 定 さ れ て い な い イ ン タ ー フ ェ イ ス の 名 前 ( [Ethernet1/1] など ) をクリックし、以下の情報を指定します。 表 76. HA インターフェイス設定 フィールド 内容 インターフェイ ス名 インターフェイス名は事前に定義されており、変更することはできません。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 169 ファイアウォールインターフェイスの設定 ネットワーク設定 表 76. HA インターフェイス設定(続) フィールド 内容 コメント インターフェイスの説明 ( 省略可 ) を入力します。 インターフェイ スタイプ HA を選択します。 リンク速度 インターフェイスの速度 (10、100、または 1000 Mbps) を選択するか、auto を選 択してファイアウォールに自動的に速度を決定させます。 リンクデュプ レックス インターフェイスの伝送モードを、フル デュプレックス (full)、ハーフ デュプレッ クス (half)、オート ネゴシエーション (auto) から選択します。 リンク状態 インターフェイスの状態を、有効 (up)、無効 (down)、自動決定 (auto) から選択し ます。 VLAN インターフェイスの設定 Network > Interfaces > VLAN [ ࢿࢵࢺ࣮࣡ࢡ > ࣥࢱ࣮ࣇ࢙ࢫ > VLAN] VLAN インターフェイスは、ルーティング情報をレイヤー 3 ネットワーク (IPv4 および IPv6) に提供できます。VLAN インターフェイスには、1 つ以上のレイヤー 2 Ethernet ポート (「レ イヤー 2 インターフェイスの設定」を参照 ) を追加できます。 表 77. VLAN インターフェイス設定 フィールド 設定場所 内容 インターフェイ ス名 VLAN イ ン タ ー フェイス 読み取り専用の Interface Name [ インターフェイス名 ] フィールドには vlan が設定されています。インターフェイスを識別する数値サフィックス (1 ∼ 9999) を隣のフィールドに入力します。 コメント VLAN イ ン タ ー フェイス インターフェイスの説明 ( 省略可 ) を入力します。 VLAN イ ン タ ー フェイス 入力インターフェイスを通過する単向性の IP トラフィックを NetFlow サーバーにエクスポートする場合は、サーバー プロファイルを選択するか、 Netflow Profile [Netflow プロファイル ] をクリックして新しいプロファイ ルを定義します (「Netflow 設定の編集」を参照 )。None [ なし ] を選択す ると、現在インターフェイスに割り当てられている NetFlow サーバーが解 除されます。 注:この機能は PA-4000 Series と PA-7000 Series のファイアウォールでサ ポートされていません。 VLAN Interface > Config [VLAN インター フェイス > 設定 ] VLAN Interface > Config [VLAN インター フェイス > 設定 ] VLAN Interface > Config [VLAN インター フェイス > 設定 ] VLAN Interface > Config [VLAN インターフェイ ス > 設定 ] VLAN を選択するか、VLAN をクリックして新しい VLAN を定義します (「VLAN サポートの設定」を参照 )。None [ なし ] を選択すると、現在イ ンターフェイスに割り当てられている VLAN が解除されます。 Netflow ファイル プロ VLAN 仮想ルーター 仮想システム セキュリティ ゾーン インターフェイスに仮想ルーターを割り当てるか、Virtual Router [仮想ルー ター ] をクリックして新しい仮想ルーターを定義します(「仮想ルーターの 設定」を参照)。None [ なし ] を選択すると、現在インターフェイスに割り 当てられているルーターが解除されます。 ファイアウォールが複数の仮想システムをサポートし、その機能が有効の 場合は、インターフェイスの仮想システム (vsys) を選択するか、Virtual System [ 仮想システム ] リンクをクリックして新しい vsys を定義します。 インターフェイス用のセキュリティゾーンを選択するか、Zone [ ゾーン ] を クリックして新しいゾーンを定義します。None [ なし ] を選択すると、現 在インターフェイスに割り当てられているゾーンが解除されます。 170 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 ファイアウォールインターフェイスの設定 表 77. VLAN インターフェイス設定 (続) フィールド 設定場所 内容 管理プロファイ ル VLAN Interface > Advanced > Other Info [VLAN インター フェイス > 詳細 > その他の情報 ] VLAN Interface > Advanced > Other Info [VLAN インター フェイス > 詳細 > その他の情報 ] VLAN Interface > Advanced > Other Info [VLAN インター フェイス > 詳細 > その他の情報 ] Management Profile [ 管理プロファイル ] — このインターフェイスを介し たファイアウォールの管理に使用できるプロトコル (SSH、Telnet、HTTP など ) を定義するプロファイルを選択します。None [ なし ] を選択すると、 現在インターフェイスに割り当てられているプロファイルが解除されま す。 MTU TCP MSS の調 整 このインターフェイスで送信されるパケットの最大転送単位(MTU)をバ イト数で入力します(576 ∼ 9192、デフォルトは 1500)。ファイアウォール の両側のマシンが Path MTU Discovery (PMTUD) を実行し、インターフェ イスが MTU を超えるパケットを受信すると、ファイアウォールが送信元に パケットが大きすぎることを示す ICMP フラグメント要求メッセージを返 します。 ヘッダーのバイト数に対応できるよう、インターフェイスの MTU バイトサ イズ以内の値に最大セグメントサイズ(MSS)を調整する場合はこのオプ ションを選択します。MTU バイトサイズと MSS 調整サイズは MSS バイト サイズと等しい値になり、これは IP によって異なります。 • IPv4 MSS Adjustment Size [IPv4 MSS 調整サイズ ] — 範囲は 40 ∼ • 300、デフォルトは 40 です。 IPv6 MSS Adjustment Size [IPv6 MSS 調整サイズ ] — 範囲は 60 ∼ 300、デフォルトは 60 です。 ネットワークを通る tunnel [ トンネル ] の MSS を小さくする必要がある場 合はこれらの設定を行ってください。フラグメント化を行わないパケット のバイト数が MSS よりも大きい場合、この設定を行うことでサイズが調整 されるようになります。 カプセル化によりヘッダーが延長されるので、MSS調整サイズはMPLS ヘッ ダーや VLAN タグを持つトンネルトラフィックよりも大きく設定しておく と便利です。 IP アドレス MAC アドレス インターフェイ ス VLAN Interface > Advanced > ARP Entries [VLAN インター フェイス > 詳細 > ARP エントリ ] IPv6 アドレス MAC アドレス VLAN Interface NDP (Neighbor Discovery Protocol) のネイバー情報を指定するには、Add [ > Advanced > 追加 ] をクリックし、ネイバーの IPv6 アドレスと MAC アドレスを入力し ND Entries ます。 [VLAN インター フェイス > 詳細 > ND エントリ ] VLAN Interface こ の オプションを選択すると、インターフェイスで NDP(Neighbor > Advanced > Discovery Protocol)プロキシが有効になります。ファイアウォールは、こ NDP Proxy のリストの IPv6 アドレスの MAC アドレスを要求する ND パケットに応答 [VLAN インター します。ND 応答においてファイアウォールは、そのインターフェイス独自 の MAC アドレスを送信し、これらのアドレス宛のパケットを要求します。 フェイス > 詳細 > NDP プロキシ ] (推奨)NPTv6 (Network Prefix Translation IPv6) を使用する場合は、NDP プロキシを有効化します。 Enable NDP Proxy [NDP プロキシの有効化 ] を選択した場合、フィルタ条 件を入力しフィルタを適用(緑色の矢印をクリック)することで、膨大な Address [ アドレス ] のエントリから絞り込みを行うことができます。 NDP プロキシ の有効化 © Palo Alto Networks, Inc. 1 つ以上のスタティック アドレス解決プロトコル (ARP) エントリを追加す るには、Add [ 追加 ] をクリックし、IP アドレスとそれに関連付けられた ハードウェア ( メディア アクセス制御、略称 MAC) のアドレスを入力して、 ハードウェア アドレスにアクセスできるレイヤー 3 インターフェイスを選 択します。エントリを削除するには、エントリを選択して Delete [ 削除 ] を クリックします。静的 ARP エントリによって、指定したアドレスの ARP 処 理が減り、中間者攻撃が防止されます。 Web インターフェイス リファレンス ガイド、バージョン 7.1 • 171 ファイアウォールインターフェイスの設定 ネットワーク設定 表 77. VLAN インターフェイス設定 (続) フィールド 設定場所 内容 アドレス VLAN Interface > Advanced > NDP Proxy [VLAN インター フェイス > 詳細 > NDP プロキシ ] 1 つ以上の IPv6 アドレス、IP 範囲、IPv6 サブネット、またはファイアウォー ルが NDP プロキシとして機能するアドレスオブジェクトを入力する場合は Add [ 追加 ] をクリックします。これらのアドレスの 1 つは、NPTv6 の送信 元変換のアドレスと同じであることが理想的です。アドレスの順序は問題 になりません。 アドレスがサブネットワークの場合、ファイアウォールはサブネットのす べてのアドレスに対して ND 応答を送信します。したがって、ファイア ウォールの IPv6 ネイバーも追加し、Negate [ 除外 ] をクリックし、これら の IP アドレスに応答しないようにファイアウォールに指示することをお勧 めします。 上記以外 VLAN Interface > Advanced > NDP Proxy [VLAN インター フェイス > 詳細 > NDP プロキシ ] あるアドレスに対して Negate [ 除外 ] チェック ボックスをオンにすると、 NDP プロキシは、そのアドレスを拒否するようになります。Negate は、指 定した IP アドレス範囲または IP サブネットの一部に対して実行できます。 IPv4 アドレスの場合 タイプ VLAN Interface > IPv4 [VLAN イ ンターフェイス > IPv4] IPv4 アドレス タイプをインターフェイスに割り当てる方法を選択します。 • Static [ 静的 ] — IP アドレスを手動で指定する必要があります。 • DHCP Client [DHCP クライアント ] — インターフェイスが DHCP (Dynamic Host Configuration Protocol) クライアントとして機能し、ダイ ナミックに割り当てられた IP アドレスを受信できます。 注:アクティブ / アクティブ高可用性 (HA) モードのファイアウォールは、 DHCP クライアントをサポートしません。 選択した IP アドレス方式に応じて、タブに表示されるオプションは異なり ます。 • IPv4 アドレス Type [ タイプ ] = 静的 IP VLAN Interface Add [ 追加 ] をクリックし、以下のいずれかの手順を実行して、インターフェ > IPv4 [VLAN イ イスのスタティック IP アドレスとネットワーク マスクを指定します。 ンターフェイス • CIDR(Classless Inter-Domain Routing)表記法でエントリを入力します。 > IPv4] ip_address/mask ( 例えば IPv4 の場合は 192.168.2.0/24、IPv6 の場合は 2001:db8::/32 など )。 • タイプが IP netmask [IP ネットマスク ] の既存のアドレス オブジェクト を選択します。 • Adress [ アドレス ] をクリックし、タイプが IP netmask [IP ネットマスク ] のアドレスオブジェクトを作成します。 インターフェイスに対して複数の IP アドレスを入力できます。IP アドレスの 最大数は、システムが使用する転送情報ベース (FIB) によって決まります。 IP アドレスを削除するには、アドレスを選択して Delete [ 削除 ] をクリッ クします。 • IPv4 アドレス Type [ タイプ ] = DHCP VLAN Interface インターフェイスの DHCP クライアントを有効化する場合はこのオプショ > IPv4 [VLAN イ ンを選択します。 ンターフェイス > IPv4] 有効化 サーバー提供の デフォルトゲー トウェイを指す デフォルトルー トを自動的に作 成 VLAN Interface > IPv4 [VLAN イ ンターフェイス > IPv4] DHCP サーバーによって提供されるデフォルトゲートウェイを指し示すデ フォルトルートを自動的に作成する場合はこのオプションを選択します。 172 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 ファイアウォールインターフェイスの設定 表 77. VLAN インターフェイス設定 (続) フィールド 設定場所 内容 デフォルトルー ト メトリック VLAN Interface > IPv4 [VLAN イ ンターフェイス > IPv4] ファイアウォールと DHCP サーバー間のルートについて、デフォルトルー トに関連付け、パス選択に使用するルートメトリック ( 優先度 ) を入力しま す ( 任意、範囲は 1 ∼ 65535、デフォルトなし )。数値が小さいほど優先度 が高くなります。 DHCP クライア ント ランタイム 情報の表示 VLAN Interface > IPv4 [VLAN イ ンターフェイス > IPv4] このオプションを選択すると、DHCP のリース状態、ダイナミック IP アド レス割り当て、サブネットマスク、ゲートウェイ、サーバー設定 (DNS、 NTP、ドメイン、WINS、NIS、POP3、および SMTP) など、DHCP サー バーから受信したすべての設定が表示されます。 IPv6 アドレスの場合 インターフェー ス で の IPv6 の 有効化 VLAN Interface > IPv6 [VLAN イ ンターフェイス > IPv6] このインターフェイスの IPv6 アドレスを有効にするには、このオプション をオンにします。 インターフェイ ス ID VLAN Interface > IPv6 [VLAN イ ンターフェイス > IPv6] 64 ビ ット拡張一意識別子 (EUI-64) を 16 進数形式で入力します ( 例: 00:26:08:FF:FE:DE:4E:29)。このフィールドを空白のままにすると、ファイア ウォールが、物理インターフェイスの MAC アドレスから生成された EUI64 を使用します。アドレスの追加時に Use interface ID as host portion [ ホ スト部分にインターフェイス ID を使用 ] オプションを選択すると、ファイ アウォールがそのアドレスのホスト部分にインターフェイス ID を使用し ます。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 173 ファイアウォールインターフェイスの設定 ネットワーク設定 表 77. VLAN インターフェイス設定 (続) フィールド 設定場所 内容 アドレス VLAN Interface > IPv6 [VLAN イ ンターフェイス > IPv6] Add [ 追加 ] をクリックして、IPv6 アドレスごとに以下のパラメータを設定 します。 • Address [ アドレス ] — IPv6 アドレスとプレフィックス長を入力します ( 例:2001:400:f00::1/64)。既存の IPv6 アドレスオブジェクトを選択するこ とや、Address [ アドレス ] をクリックしてアドレスオブジェクトを作成 することもできます。 • Enable address on interface [ インターフェイス上のアドレスを有効にす る ] — インターフェイスの IPv6 アドレスを有効化する場合は、このオプ ションを選択します。 • Use interface ID as host portion [ ホスト部分にインターフェイス ID を使 用 ] — IPv6 アドレスのホスト部分に Interface ID [ インターフェイス ID] を使用する場合は、このオプションを選択します。 • Anycast [ エニーキャスト ] — 最も近いノードを経由するルーティングを 含める場合は、このオプションを選択します。 • Send RA [RA の送信 ] — この IP アドレスのルーター通知(RA)を有効に する場合は、このオプションを選択します ( インターフェイスのグローバ ルの Enable Router Advertisement [ ルーター通知を有効化する ] オプ ションも有効化しておく必要があります )。RA の詳細は、この表の「ルー ター通知を有効にする」を参照してください。残りのフィールドは、RA を有効にした場合にのみ適用されます。 – Valid Lifetime [ 有効なライフタイム ] — ファイアウォールがアドレス を有効とみなす時間 ( 秒 ) です。有効なライフタイムは、Preferred Lifetime [ 優先ライフタイム ] 以上でなければなりません。デフォルト は 2592000 です。 – Preferred Lifetime [ 優先ライフタイム ] — 有効なアドレスが優先され る時間 ( 秒 ) です。この時間内は、ファイアウォールがこのアドレスを 使用してトラフィックを送受信できます。優先ライフタイムの期限後 は、ファイアウォールがこのアドレスを使用して新しい接続を確立す ることはできませんが、既存の接続は Valid Lifetime [ 有効なライフタ イム ] の期限まで有効です。デフォルトは 604800 です。 – On-link [ オンリンク ] — プレフィックス内にアドレスを持つシステム にルーターなしで到達可能な場合は、このオプションを選択します。 – Autonomous [ 自律型 ] — システムが、通知されたプレフィックスとイ ンターフェイス ID を組み合わせて IP アドレスを独自に作成できる場 合は、このオプションを選択します。 重複アドレス検 出を有効にする VLAN Interface > IPv6 [VLAN イ ンターフェイス > IPv6] 重複アドレス検出 (DAD) を有効にする場合はこのオプションを選択し、セ クション内の他のフィールドの設定を行います。 DAD 試行回数 VLAN Interface > IPv6 [VLAN イ ンターフェイス > IPv6] ネイバー要請間隔 (NS Interval [NS 間隔 ]) の内に DAD を試行する回数を指 定します(範囲は 1 ∼ 10、デフォルトは 1)。この回数を超えるとネイバー に障害があるとみなされます。 到達可能時間 VLAN Interface > IPv6 [VLAN イ ンターフェイス > IPv6] クエリと応答が正常に行われた後引き続きネイバーに到達可能な時間(秒) を指定します(範囲は 1 ∼ 36000、デフォルトは 30)。 NS 間隔 ( ネイ バー要請間隔 ) VLAN Interface > IPv6 [VLAN イ ンターフェイス > IPv6] DAD の試行秒数を指定します ( 範囲は 1 ∼ 10、デフォルトは 1)。この秒数 を超えると障害があるとみなされます。 174 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 ファイアウォールインターフェイスの設定 表 77. VLAN インターフェイス設定 (続) フィールド 設定場所 内容 ルーター通知を 有効にする VLAN Interface > IPv6 [VLAN イ ンターフェイス > IPv6] IPv6 インターフェイスでステートレスアドレス自動設定(SLAAC)を行う 場合は、このオプションを選択してこのセクション内の他のフィールドを 設定します。ルーター通知 (RA) メッセージを受信するクライアントは、こ の情報を使用します。 RA により、ファイアウォールが、スタティックに設定されていない IPv6 ホストのデフォルトゲートウェイとして機能し、ホストにアドレス設定の IPv6 プレフィックスを提供できます。別の DHCPv6 サーバーをこの機能と 併用すると、DNS および他の設定をクライアントに提供できます。 このオプションはインターフェイスのグローバル設定です。IP アドレスご とに RA オプションを設定する場合は、IP アドレス テーブルの Add [ 追加 ] をクリックしてアドレスを設定します ( 詳細は、この表の「アドレス」を参 照 )。IP アドレスに RA オプションを設定する場合は、インターフェイスの Enable Router Advertisement [ ルーター通知を有効にする ] オプションを 選択する必要があります。 最小間隔 ( 秒 ) VLAN Interface > IPv6 [VLAN イ ンターフェイス > IPv6] ファイアウォールが送信する RA 間の最小間隔(秒)を指定します(範囲は 3 ∼ 1350、デフォルトは 200)。ファイアウォールは、設定した最小値と最 大値の間のランダムな間隔で RA を送信します。 最大間隔 ( 秒 ) VLAN Interface > IPv6 [VLAN イ ンターフェイス > IPv6] ファイアウォールが送信する RA 間の最大間隔(秒)を指定します(範囲は 4 ∼ 1800、デフォルトは 600)。ファイアウォールは、設定した最小値と最 大値の間のランダムな間隔で RA を送信します。 ホップ制限 VLAN Interface > IPv6 [VLAN イ ンターフェイス > IPv6] クライアントに適用する、送信パケットのホップ制限を指定します(範囲 は 1 ∼ 255、デフォルトは 64)。ホップ制限を指定しない場合は 0 を入力し ます。 リンク MTU VLAN Interface > IPv6 [VLAN イ ンターフェイス > IPv6] クライアントに適用するリンクの最大転送単位 (MTU) を指定します。リン ク MTU を指定しない場合は unspecified [ 指定しない ] を選択します ( 範囲 は 1280 ∼ 9192、デフォルトは unspecified)。 到達可能時間 ( ミリ秒 ) VLAN Interface > IPv6 [VLAN イ ンターフェイス > IPv6] 到達可能確認メッセージを受信後ネイバーに到達可能であると想定するた めにクライアントが使用する到達可能時間 ( ミリ秒 ) を指定します。到達可 能時間を指定しない場合は unspecified [ 指定しない ] を選択します ( 範囲は 0 ∼ 3600000、デフォルトは unspecified)。 リトランスミッ ション時間 ( ミリ秒 ) VLAN Interface > IPv6 [VLAN イ ンターフェイス > IPv6] ネイバー要請メッセージを再送信するまでにクライアントが待機する時間 を決定するリトランスミッション タイマーを指定します。リトランスミッ ション時間を指定しない場合は unspecified [ 指定しない ] を選択します ( 範 囲は 0 ∼ 4294967295、デフォルトは unspecified)。 ルーターの有効 期間 ( 秒 ) VLAN Interface > IPv6 [VLAN イ ンターフェイス > IPv6] クライアントがファイアウォールをデフォルトゲートウェイとして使用す る時間 ( 秒 ) を指定します ( 範囲は 0 ∼ 9000、デフォルトは 1800)。0 は、 ファイアウォールがデフォルトゲートウェイではないことを示します。有 効期間が過ぎると、クライアントがそのデフォルト ルーター リストから ファイアウォール エントリを削除して、別のルーターをデフォルトゲート ウェイとして使用します。 ルーター設定 VLAN Interface > IPv6 [VLAN イ ンターフェイス > IPv6] ネットワーク セグメントに複数の IPv6 ルーターがある場合は、クライアン トがこのフィールドを使用して優先ルーターを選択します。セグメントの 他のルーターとの比較において、RA が通知するファイアウォール ルーター の優先度を High、Medium ( デフォルト )、Low の中から選択します。 管理された設定 VLAN Interface > IPv6 [VLAN イ ンターフェイス > IPv6] アドレスを DHCPv6 経由で使用できることをクライアントに示す場合は、 このオプションを選択します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 175 ファイアウォールインターフェイスの設定 ネットワーク設定 表 77. VLAN インターフェイス設定 (続) フィールド 設定場所 内容 その他の設定 VLAN Interface > IPv6 [VLAN イ ンターフェイス > IPv6] 他のアドレス情報(DNS 関連の設定など)を DHCPv6 経由で使用できるこ とをクライアントに示す場合は、このオプションを選択します。 整合性チェック VLAN Interface > IPv6 [VLAN イ ンターフェイス > IPv6] 他のルーターから送信されたRAがリンク上で一貫した情報を通知している ことをファイアウォールで確認する場合は、このオプションを選択します。 一貫していない場合はファイアウォールがログに記録します。 ループバック インターフェイスの設定 Network > Interfaces > Loopback [ ࢿࢵࢺ࣮࣡ࢡ > ࣥࢱ࣮ࣇ࢙ࢫ > ࣮ࣝࣉࣂࢵࢡ ] 表 78. ループバック インターフェイス設定 フィールド 設定場所 内容 インターフェイ ス名 ループバック イ ンターフェイス 読み取り専用の Interface Name [ インターフェイス名 ] フィールドには loopback が設定されています。インターフェイスを識別する数値サフィッ クス (1 ∼ 9999) を隣のフィールドに入力します。 コメント ループバック イ ンターフェイス インターフェイスの説明 ( 省略可 ) を入力します。 ループバック イ ンターフェイス 入力インターフェイスを通過する単向性の IP トラフィックを NetFlow サーバーにエクスポートする場合は、サーバー プロファイルを選択するか、 Netflow Profile [Netflow プロファイル ] をクリックして新しいプロファイ ルを定義します (「Netflow 設定の編集」を参照 )。None [ なし ] を選択す ると、現在インターフェイスに割り当てられている NetFlow サーバーが解 除されます。 注:この機能は PA-4000 Series と PA-7000 Series のファイアウォールでサ ポートされていません。 Loopback Interface > Config [ ループ バック インター フェイス > 設定 ] Loopback Interface > Config [ ループ バック インター フェイス > 設定 ] Loopback Interface > Config [ ループ バック インター フェイス > 設定 ] Tunnel Interface > Advanced > Other Info [ トン ネル インター フェイス > 詳細 > その他の情報 ] インターフェイスに仮想ルーターを割り当てるか、Virtual Router [仮想ルー ター ] をクリックして新しい仮想ルーターを定義します(「仮想ルーターの 設定」を参照)。None [ なし ] を選択すると、現在インターフェイスに割り 当てられているルーターが解除されます。 Netflow ファイル プロ 仮想ルーター 仮想システム セキュリティ ゾーン 管理プロファイ ル ファイアウォールが複数の仮想システムをサポートし、その機能が有効の 場合は、インターフェイスの仮想システム (vsys) を選択するか、Virtual System [ 仮想システム ] リンクをクリックして新しい vsys を定義します。 インターフェイス用のセキュリティゾーンを選択するか、Zone [ ゾーン ] を クリックして新しいゾーンを定義します。None [ なし ] を選択すると、現 在インターフェイスに割り当てられているゾーンが解除されます。 Management Profile [ 管理プロファイル ] — このインターフェイスを介し たファイアウォールの管理に使用できるプロトコル (SSH、Telnet、HTTP など ) を定義するプロファイルを選択します。None [ なし ] を選択すると、 現在インターフェイスに割り当てられているプロファイルが解除されま す。 176 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 ファイアウォールインターフェイスの設定 表 78. ループバック インターフェイス設定 (続) フィールド 設定場所 内容 MTU Tunnel Interface > Advanced > Other Info [ トン ネル インター フェイス > 詳細 > その他の情報 ] Tunnel Interface > Advanced > Other Info [ トン ネル インター フェイス > 詳細 > その他の情報 ] このインターフェイスで送信されるパケットの最大転送単位(MTU)をバ イト数で入力します(576 ∼ 9192、デフォルトは 1500)。ファイアウォール の両側のマシンが Path MTU Discovery (PMTUD) を実行し、インターフェ イスが MTU を超えるパケットを受信すると、ファイアウォールが送信元に パケットが大きすぎることを示す ICMP フラグメント要求メッセージを返 します。 TCP MSS の調整 ヘッダーのバイト数に対応できるよう、インターフェイスの MTU バイトサ イズ以内の値に最大セグメントサイズ(MSS)を調整する場合はこのオプ ションを選択します。MTU バイトサイズと MSS 調整サイズは MSS バイト サイズと等しい値になり、これは IP によって異なります。 • IPv4 MSS Adjustment Size [IPv4 MSS 調整サイズ ] — 範囲は 40 ∼ • 300、デフォルトは 40 です。 IPv6 MSS Adjustment Size [IPv6 MSS 調整サイズ ] — 範囲は 60 ∼ 300、デフォルトは 60 です。 ネットワークを通る tunnel [ トンネル ] の MSS を小さくする必要がある場 合はこれらの設定を行ってください。フラグメント化を行わないパケット のバイト数が MSS よりも大きい場合、この設定を行うことでサイズが調整 されるようになります。 カプセル化によりヘッダーが延長されるので、MSS調整サイズはMPLS ヘッ ダーや VLAN タグを持つトンネルトラフィックよりも大きく設定しておく と便利です。 IPv4 アドレスの場合 IP Loopback Interface > IPv4 [ ループバック インターフェイ ス > IPv4] Add [ 追加 ] をクリックし、以下のいずれかの手順を実行して、インターフェ イスのスタティック IP アドレスとネットワーク マスクを指定します。 • CIDR(Classless Inter-Domain Routing)表記法でエントリを入力します。 ip_address/mask ( 例えば IPv4 の場合は 192.168.2.0/24、IPv6 の場合は 2001:db8::/32 など )。 • タイプが IP netmask [IP ネットマスク ] の既存のアドレス オブジェクト を選択します。 • Adress [ アドレス ] をクリックし、タイプが IP netmask [IP ネットマスク ] のアドレスオブジェクトを作成します。 インターフェイスに対して複数の IP アドレスを入力できます。IP アドレス の最大数は、システムが使用する転送情報ベース (FIB) によって決まりま す。 IP アドレスを削除するには、アドレスを選択して Delete [ 削除 ] をクリッ クします。 IPv6 アドレスの場合 インターフェー ス で の IPv6 の 有効化 インターフェイ ス ID Loopback Interface > IPv6 [ ループバック インターフェイ ス > IPv6] Loopback Interface > IPv6 [ ループバック インターフェイ ス > IPv6] © Palo Alto Networks, Inc. このインターフェイスの IPv6 アドレスを有効にするには、このオプション をオンにします。 64 ビ ッ ト拡張一意識別子 (EUI-64) を 16 進数形式で入力します ( 例: 00:26:08:FF:FE:DE:4E:29)。このフィールドを空白のままにすると、ファイア ウォールが、物理インターフェイスの MAC アドレスから生成された EUI64 を使用します。アドレスの追加時に Use interface ID as host portion [ ホ スト部分にインターフェイス ID を使用 ] オプションを選択すると、ファイ アウォールがそのアドレスのホスト部分にインターフェイス ID を使用し ます。 Web インターフェイス リファレンス ガイド、バージョン 7.1 • 177 ファイアウォールインターフェイスの設定 ネットワーク設定 表 78. ループバック インターフェイス設定 (続) フィールド 設定場所 内容 アドレス Loopback Interface > IPv6 [ ループバック インターフェイ ス > IPv6] Add [ 追加 ] をクリックして、IPv6 アドレスごとに以下のパラメータを設定 します。 • Address [ アドレス ] — IPv6 アドレスとプレフィックス長を入力します ( 例:2001:400:f00::1/64)。既存の IPv6 アドレスオブジェクトを選択するこ とや、Address [ アドレス ] をクリックしてアドレスオブジェクトを作成 することもできます。 • Enable address on interface [ インターフェイス上のアドレスを有効にす る ] — インターフェイスの IPv6 アドレスを有効化する場合は、このオプ ションを選択します。 • Use interface ID as host portion [ ホスト部分にインターフェイス ID を使 用 ] — IPv6 アドレスのホスト部分に Interface ID [ インターフェイス ID] を使用する場合は、このオプションを選択します。 • Anycast [ エニーキャスト ] — 最も近いノードを経由するルーティングを 含める場合は、このオプションを選択します。 トンネル インターフェイスの設定 Network > Interfaces > Tunnel [ ࢿࢵࢺ࣮࣡ࢡ > ࣥࢱ࣮ࣇ࢙ࢫ > ࢺࣥࢿࣝ ] 表 79. トンネル インターフェイス設定 フィールド 設定場所 内容 インターフェイ ス名 トンネルイン ターフェイス 読み取り専用の Interface Name [ インターフェイス名 ] フィールドには tunnel が設定されています。インターフェイスを識別する数値サフィック ス (1 ∼ 9999) を隣のフィールドに入力します。 コメント トンネルイン ターフェイス インターフェイスの説明 ( 省略可 ) を入力します。 トンネルイン ターフェイス 入力インターフェイスを通過する単向性の IP トラフィックを NetFlow サーバーにエクスポートする場合は、サーバー プロファイルを選択するか、 Netflow Profile [Netflow プロファイル ] をクリックして新しいプロファイ ルを定義します (「Netflow 設定の編集」を参照 )。None [ なし ] を選択す ると、現在インターフェイスに割り当てられている NetFlow サーバーが解 除されます。 注:この機能は PA-4000 Series と PA-7000 Series のファイアウォールでサ ポートされていません。 Tunnel Interface > Config [ トンネ ル インターフェ イス > 設定 ] Tunnel Interface > Config [ トンネ ル インターフェ イス > 設定 ] Tunnel Interface > Config [ トンネ ル インターフェ イス > 設定 ] インターフェイスに仮想ルーターを割り当てるか、Virtual Router [仮想ルー ター ] をクリックして新しい仮想ルーターを定義します(「仮想ルーターの 設定」を参照)。None [ なし ] を選択すると、現在インターフェイスに割り 当てられているルーターが解除されます。 Netflow ファイル プロ 仮想ルーター 仮想システム セキュリティ ゾーン ファイアウォールが複数の仮想システムをサポートし、その機能が有効の 場合は、インターフェイスの仮想システム (vsys) を選択するか、Virtual System [ 仮想システム ] リンクをクリックして新しい vsys を定義します。 インターフェイス用のセキュリティゾーンを選択するか、Zone [ ゾーン ] を クリックして新しいゾーンを定義します。None [ なし ] を選択すると、現 在インターフェイスに割り当てられているゾーンが解除されます。 178 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 ファイアウォールインターフェイスの設定 表 79. トンネル インターフェイス設定(続) フィールド 設定場所 内容 管理プロファイ ル Tunnel Interface > Advanced > Other Info [ ト ンネル インター フェイス > 詳細 > その他の情報 ] Tunnel Interface > Advanced > Other Info [ ト ンネル インター フェイス > 詳細 > その他の情報 ] Management Profile [ 管理プロファイル ] — このインターフェイスを介し たファイアウォールの管理に使用できるプロトコル (SSH、Telnet、HTTP など ) を定義するプロファイルを選択します。None [ なし ] を選択すると、 現在インターフェイスに割り当てられているプロファイルが解除されま す。 MTU このインターフェイスで送信されるパケットの最大転送単位(MTU)をバ イト数で入力します(576 ∼ 9192、デフォルトは 1500)。ファイアウォール の両側のマシンが Path MTU Discovery (PMTUD) を実行し、インターフェ イスが MTU を超えるパケットを受信すると、ファイアウォールが送信元に パケットが大きすぎることを示す ICMP フラグメント要求メッセージを返 します。 IPv4 アドレスの場合 IP Tunnel Interface > IPv4 [ トンネル イン ターフェイス > IPv4] Add [ 追加 ] をクリックし、以下のいずれかの手順を実行して、インターフェ イスのスタティック IP アドレスとネットワーク マスクを指定します。 • CIDR(Classless Inter-Domain Routing)表記法でエントリを入力します。 ip_address/mask ( 例えば IPv4 の場合は 192.168.2.0/24、IPv6 の場合は 2001:db8::/32 など )。 • タイプが IP netmask [IP ネットマスク ] の既存のアドレス オブジェクト を選択します。 • Adress [ アドレス ] をクリックし、タイプが IP netmask [IP ネットマスク ] のアドレスオブジェクトを作成します。 インターフェイスに対して複数の IP アドレスを入力できます。IP アドレスの 最大数は、システムが使用する転送情報ベース (FIB) によって決まります。 IP アドレスを削除するには、アドレスを選択して Delete [ 削除 ] をクリッ クします。 IPv6 アドレスの場合 インターフェー ス で の IPv6 の 有効化 Tunnel Interface > IPv6 [ トンネル イン ターフェイス > IPv6] このインターフェイスの IPv6 アドレスを有効にするには、このオプション をオンにします。 インターフェイ ス ID Tunnel Interface > IPv6 [ トンネル イン ターフェイス > IPv6] 64 ビット拡張一意識別子 (EUI-64) を 16 進数形式で入力します ( 例: 00:26:08:FF:FE:DE:4E:29)。このフィールドを空白のままにすると、ファイア ウォールが、物理インターフェイスの MAC アドレスから生成された EUI-64 を使用します。アドレスの追加時に Use interface ID as host portion [ ホスト 部分にインターフェイス ID を使用 ] オプションを選択すると、ファイア ウォールがそのアドレスのホスト部分にインターフェイス ID を使用します。 アドレス Tunnel Interface > IPv6 [ トンネル イン ターフェイス > IPv6] Add [ 追加 ] をクリックして、IPv6 アドレスごとに以下のパラメータを設定 します。 • Address [ アドレス ] — IPv6 アドレスとプレフィックス長を入力します ( 例:2001:400:f00::1/64)。既存の IPv6 アドレスオブジェクトを選択するこ とや、Address [ アドレス ] をクリックしてアドレスオブジェクトを作成 することもできます。 • Enable address on interface [ インターフェイス上のアドレスを有効にす る ] — インターフェイスの IPv6 アドレスを有効化する場合は、このオプ ションを選択します。 • Use interface ID as host portion [ ホスト部分にインターフェイス ID を使 用 ] — IPv6 アドレスのホスト部分に Interface ID [ インターフェイス ID] を使用する場合は、このオプションを選択します。 • Anycast [ エニーキャスト ] — 最も近いノードを経由するルーティングを 含める場合は、このオプションを選択します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 179 仮想ルーターの設定 ネットワーク設定 仮想ルーターの設定 Network > Virtual Routers [ ࢿࢵࢺ࣮࣡ࢡ > ௬࣮ࣝࢱ࣮ ] 手動で定義したスタティックルートを使用するか、あるいはレイヤー 3 のルーティングプロ トコルに参加することで他のサブネットへのルートを取得する場合は、ファイアウォールに 仮想ルーターを設定しておく必要があります。ファイアウォールに定義されたレイヤー 3 イ ンターフェイス、ループバック インターフェイス、および VLAN インターフェイスはそれぞ れ、仮想ルーターに関連付けられている必要があります。各インターフェイスは、1 つの仮想 ルーターにのみ属することができます。 仮想ルーターを定義する場合は、その一般設定を行うことと、さらにネットワーク環境に応 じた任意のスタティックルートの組み合わせ、またはダイナミックルーティングプロトコル が必要になります。また、ルート再配信や ECMP など、その他の機能を設定することも可能 です。 探している情報 以下を参照 仮想ルーターに必要な要素 ࠕ௬࣮ࣝࢱ࣮ࡢᇶᮏタᐃࠖ スタティックルートの設定方法 ࠕࢫࢱࢸࢵࢡ࣮ࣝࢺࡢタᐃࠖ ルート再配信の設定方法 ࠕ࣮ࣝࢺ㓄ಙࡢタᐃࠖ RIP の設定方法 ࠕRIP ࡢタᐃࠖ OSPF の設定方法 ࠕOSPF ࡢタᐃࠖ OSPFv3 の設定方法 ࠕOSPFv3 ࡢタᐃࠖ BGP の設定方法 ࠕBGP ࡢタᐃࠖ IP マルチキャストの設定方法 ࠕIP ࣐ࣝࢳ࢟ࣕࢫࢺࡢタᐃࠖ ECMP の設定方法 ࠕECMP ࡢタᐃࠖ 仮想ルーターに関する情報の参 照の仕方 ࠕ௬࣮ࣝࢱ࣮ࡢヲ⣽ࣛࣥࢱ࣒≧ែࠖ その他の情報をお探しで すか? ネットワーク 仮想ルーターの基本設定 Network > Virtual Routers > Router Settings > General [ ࢿࢵࢺ࣮࣡ࢡ > ௬࣮ࣝࢱ࣮ > ࣮ࣝࢱ࣮タᐃ > ⯡ ] すべての仮想ルーターでは、以下の表に従ってレイヤー 3 インターフェイスと管理上の距離 のメトリックを割り当てる必要があります。 表 80. 仮想ルーター設定 - 全般 フィールド 内容 名前 仮想ルータを表す名前を指定します ( 最大 31 文字 )。名前の大文字と小文 字は区別されます。また、一意の名前にする必要があります。文字、数 字、スペース、ハイフン、およびアンダースコアのみを使用してください。 180 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 仮想ルーターの設定 表 80. 仮想ルーター設定 - 全般 フィールド 内容 インターフェイス 仮想ルーターに含めるインターフェイスを選択します。このことから、仮 想ルーターのルーティングテーブルにおける出力インターフェイスとし て使用することもできます。 インターフェイス タイプを指定する方法については、 「ファイアウォール インターフェイスの設定」を参照してください。 インターフェイスを追加すると、その接続済みルートが自動的に 追加されます。 管理上の距離 以下の管理距離を指定します。 • Static routes [ スタティックルート ] — 範囲は 10 ∼ 240、デフォルトは 10 です。 • OSPF Int [OSPF 内部 ] — 範囲は 10 ∼ 240、デフォルトは 30 です。 • OSPF Ext [OSPF 外部 ] — 範囲は 10 ∼ 240、デフォルトは 110 です。 • IBGP — 範囲は 10 ∼ 240、デフォルトは 200 です。 • EBGP — 範囲は 10 ∼ 240、デフォルトは 20 です。 • RIP — 範囲は 10 ∼ 240、デフォルトは 120 です。 スタティックルートの設定 Network > Virtual Routers > Static Routes [ ࢿࢵࢺ࣮࣡ࢡ > ௬࣮ࣝࢱ࣮ > ࢫࢱࢸࢵࢡ ࣮ࣝࢺ ] 任意で 1 つ以上のスタティックルートを入力します。Pv4 または IPv6 アドレスを使用して ルートを指定する場合は、IP または IPv6 タブをクリックします。通常、ここでデフォルトルー ト (0.0.0.0/0) を設定するために必要になります。デフォルトルートは、バーチャルルータの ルーティングテーブルに含まれていない宛先に適用されます。 表 81. 仮想ルーター Settings [ 設定 ] - Static Routes [ スタティック ルート ] タブ フィールド 内容 名前 スタティック ルートの識別に使用する名前を入力します ( 最大 31 文字 )。 名前の大文字と小文字は区別されます。また、一意の名前にする必要が あります。文字、数字、スペース、ハイフン、およびアンダースコアの みを使用してください。 宛先 CIDR(Classless Inter-Domain Routing)表記法で IP アドレスとネット ワークマスクを入力します。ip_address/mask ( 例えば IPv4 の場合は 192.168.2.0/24、IPv6 の場合は 2001:db8::/32 など )。 インターフェイス パケットを宛先に転送するインターフェイスを選択するか、ネクスト ホップ設定を指定するか、その両方を行います。 ネクストホップ 以下のいずれかを選択します。 • IP Address [IP アドレス ] — ネクストホップ ルータの IP アドレスを指 定します。 • Next VR [ 次の VR] — ファイアウォールの仮想ルータをネクストホップ として選択します。このオプションでは、1 つのファイアウォール内の 仮想ルーター間で内部的にルーティングできます。 • Discard [ 破棄 ] — この宛先のトラフィックを廃棄する場合に選択しま す。 • None [ なし ] — ルートのネクストホップが存在しない場合に指定しま す。 管理距離 スタティックルートの管理距離を指定します(10 ∼ 240、デフォルトは 10)。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 181 仮想ルーターの設定 ネットワーク設定 表 81. 仮想ルーター Settings [ 設定 ] - Static Routes [ スタティック ルート ] タブ(続) フィールド 内容 メトリック スタティック ルートの有効なメトリックを指定します (1 ∼ 65535)。 インストールなし 転送テーブルにルートをインストールしない場合はオンにします。ルー トは後で参照できるように設定に保持されます。 BFD プロファイル PA-3000 Series、PA-5000 Series、PA-7000 Series、または VM-Series ファ イアウォールのスタティックルートで双方向フォワーディングの検出 (BFD)を有効化する場合は以下のうちから一つを選択します。 • default(デフォルトの BFD 設定) • ファイアウォール上で作成した BFD プロファイルです。 • 新しい BFD プロファイルを作成する場合は New BFD Profile [ 新 しい BFD プロファイル ] スタティックルートで BFD を無効化する場合は None (Disable BFD) [ な し(BFD 無効)] を選択します。 スタティックルートで BFD を使用する場合: • スタティックルートの両端にあるファイアウォールとピアの両 • • 方で BFD セッションがサポートされている必要があります。 スタティックルートの Next Hop [ ネクストホップ ] のタイプは IP Address [IP アドレス ] に設定し、有効な IP アドレスを入力す る必要があります。 Interface [ インターフェイス ] の設定を None [ なし ] にするこ とはできません。DHCP アドレスを使用している場合でも、イ ンターフェイスを選択する必要があります。 ルート再配信の設定 Network > Virtual Router > Redistribution Profiles [ ࢿࢵࢺ࣮࣡ࢡ > ௬࣮ࣝࢱ࣮ > 㓄 ಙࣉࣟࣇࣝ ] 再配信プロファイルは、フィルタリングするファイアウォールの指示、優先順位の設定、目 的のネットワーク動作に基づいたアクションを実行します。ルート再配信を使用すると、ス タティック ルートと他のプロトコルで取得されたルートを、指定したルーティング プロトコ ル経由で通知できます。 再配信プロファイルを有効にするには、ルーティング プロトコルに適用する必要があります。 再配信ルールがないと、各プロトコルば別個に実行され、それぞれの範囲外では通信しませ ん。再配信プロファイルは、すべてのルーティング プロトコルが設定され、その結果のネッ トワーク トポロジが確立した後に追加または変更できます。 再配信プロファイルを RIP および OSPF プロトコルに適用するには、エクスポート ルールを 定義します。Redistribution Rules [ ルールの再配信 ] タブで再配信プロファイルを BGP に適用 します。以下の表を参照してください。 表 82. 仮想ルーター設定 - Redistribution Profiles [ 再配信プロファイル ] タブ フィールド 内容 名前 Add [ 追加 ] をクリックして Redistribution Profile [ 再配信プロファイ ル ] ページを表示し、プロファイル名を入力します。 優先順位 このプロファイルの優先度 ( 範囲は 1 ∼ 255) を入力します。プロファイ ルは順番に照合されます ( 優先度の昇順 )。 182 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 仮想ルーターの設定 表 82. 仮想ルーター設定 - Redistribution Profiles [ 再配信プロファイル ] タブ (続) フィールド 内容 再配信 このウィンドウの設定に基づいてルート再配信を実行するかどうかを選 択します。 • Redist [ 再配信あり ] — 一致した候補ルートを再配信するには、オンに します。このオプションをオンにした場合、新しいメトリック値を入力 します。メトリック値が小さいほど適切なルートになります。 • No Redist [ 再配信なし ] — 一致した候補ルートを再配信しない場合、オ ンにします。 General Filter [ 一般的なフィルタ ] タブ タイプ 候補ルートのルートタイプを指定します。 インターフェイス 候補ルートの転送インターフェイスを指定するためのインターフェイス を選択します。 宛先 候補ルートの宛先を指定するには、宛先 IP アドレスまたはサブネット ( 形式は x.x.x.x または x.x.x.x/n) を入力して Add [ 追加 ] をクリックしま す。エントリを削除する場合は、削除( )をクリックします。 ネクストホップ 候補ルートのゲートウェイを指定するには、ネクストホップを示す IP ア ドレスまたはサブネット ( 形式は x.x.x.x または x.x.x.x/n) を入力して Add [ 追加 ] をクリックします。エントリを削除する場合は、削除( )をク リックします。 OSPF Filter [OSPF フィルタ ] タブ パス タイプ 候補 OSPF ルートのルートタイプを指定します。 エリア 候補 OSPF ルートのエリア識別子を指定します。OSPF area ID [OSPF エ リア ID](形式は x.x.x.x)を入力し、Add [ 追加 ] をクリックします。 エントリを削除する場合は、削除( )をクリックします。 タグ OSPF タグ値を指定します。数値でタグ値 (1 ∼ 255) を入力し、Add [ 追 加 ] をクリックします。 エントリを削除する場合は、削除( )をクリックします。 BGP Filter [BGP フィ ルタ ] タブ コミュニティ BGP ルーティング ポリシーのコミュニティを指定します。 拡張コミュニティ BGP ルーティング ポリシーの拡張コミュニティを指定します。 RIP の設定 Network > Virtual Routers > RIP [ ࢿࢵࢺ࣮࣡ࢡ > ௬࣮ࣝࢱ࣮ > RIP] RIP(ルーティング情報プロトコル)の設定には、以下の一般設定が含まれます。 表 83. 仮想ルーター設定 - RIP タブ フィールド 内容 有効化 RIP を有効化する場合は、このボックスを選択します。 デフォルトルートの拒否 (推奨)RIP 経由でデフォルトルートを学習しない場合は、このチェック ボックスをオンにします。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 183 仮想ルーターの設定 ネットワーク設定 表 83. 仮想ルーター設定 - RIP タブ(続) フィールド 内容 PA-3000 Series、PA-5000 Series、PA-7000 Series、または VM-Series ファ イアウォールの仮想ルーターで RIP 用に双方向フォワーディングの検出 (BFD)をグローバルに有効化する場合は以下のうちから一つを選択しま す。 • default(デフォルトの BFD 設定が含まれるプロファイルです) • ファイアウォール上で作成した BFD プロファイルです。 • 新しい BFD プロファイルを作成する場合は New BFD Profile [ 新しい BFD プロファイル ] すべての RIP インターフェイスで BFD を無効化する場合は None (Disable BFD) [ なし(BFD 無効)] を選択します。シングル RIP のインターフェ イスでは、BFD を無効化することができません。 BFD さらに、以下のタブの RIP 設定を指定する必要があります。 • Interfaces [ インターフェイス ]: 「Interfaces [ インターフェイス ] タブの設定」を参照し てください。 • Timers [ タイマー ]: 「Timers [ タイマー ] タブの設定」を参照してください。 • Auth Profiles [ 認証プロファイル ]: 「Auth Profiles [ 認証プロファイル ] タブの設定」を 参照してください。 • Export Rules [ ルールのエクスポート ]: 「Export Rules [ ルールのエクスポート ] タブの設 定」を参照してください。 Interfaces [ インターフェイス ] タブの設定 Network > Virtual Routers > RIP > Interfaces [ ࢿࢵࢺ࣮࣡ࢡ > ௬࣮ࣝࢱ࣮ > RIP > ࣥ ࢱ࣮ࣇ࢙ࢫ ] 以下の表に、Interfaces [ インターフェイス ] タブの設定を示します。 表 84. RIP 設定 – Interfaces [ インターフェイス ] タブ フィールド 内容 インターフェイス RIP プロトコルを実行するインターフェイスを選択します。 有効化 これらの設定を有効にするには、オンにします。 通知 デフォルトルートを、指定したメトリック値で RIP ピアに通知する場合 は、これをオンにします。 メトリック ルータ通知のメトリック値を指定します。Advertise [ 通知 ] を可能にし た場合のみ、このフィールドが表示されます。 認証プロファイル プロファイルを選択します。 モード normal [ ノーマル ]、passive [ パッシブ ]、または send-only [ 送信のみ ] を選択します。 BFD RIP インターフェイスで BFD を有効化する場合は(仮想ルーターのレベ ルで RIP 用の BFD が無効化されていない限り、RIP 用の BFD 設定をオー バーライドすることになります)、以下のうち一つを選択します。 • default(デフォルトの BFD 設定が含まれるプロファイルです) • ファイアウォール上で作成した BFD プロファイルです。 • 新しい BFD プロファイルを作成する場合は New BFD Profile [ 新しい BFD プロファイル ] RIP インターフェイスで BFD を無効化する場合は None (Disable BFD) [ なし(BFD 無効)] を選択します。 184 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 仮想ルーターの設定 Timers [ タイマー ] タブの設定 Network > Virtual Router > RIP > Timers [ࢿࢵࢺ࣮࣡ࢡ > ௬࣮ࣝࢱ࣮ > RIP > ࢱ࣐࣮] 以下の表は RIP のルート更新や失効をコントロールするタイマーを表しています。 表 85. RIP 設定 – Timers [ タイマー ] タブ フィールド RIP タイミング 内容 間隔 ( 秒 ) タイマ間隔を秒単位で指定します。この時間は、他の [RIP Timing] の フィールドで使用されます ( 範囲は 1 ∼ 60)。 更新間隔 ルート更新通知間の間隔数を入力します ( 範囲は 1 ∼ 3600)。 失効の間隔 ルートが最後に更新されてから有効期限が切れるまでの間隔数を入力し ます ( 範囲は 1 ∼ 3600)。 削除間隔 ルートの有効期限が切れてから削除されるまでの間隔数を入力します ( 範囲は 1 ∼ 3600)。 Auth Profiles [ 認証プロファイル ] タブの設定 Network > Virtual Router > RIP > Auth Profiles [ ࢿࢵࢺ࣮࣡ࢡ > ௬࣮ࣝࢱ࣮ > RIP > ㄆ ドࣉࣟࣇࣝ ] デフォルト設定では、ファイアウォールはネイバー間の RIP メッセージを認証しません。ネ イバー間の RIP メッセージを認証する場合は認証プロファイルを作成し、仮想ルーター上で RIP を実行中のインターフェイスにそれを適用します。以下の表に、Auth Profiles [ 認証プロ ファイル ] タブの設定を示します。 表 86. RIP 設定 – Auth Profiles [ 認証プロファイル ] タブ フィールド 内容 プロファイル名 RIP メッセージを認証するための認証プロファイル名を入力します。 パスワード タイプ パスワードのタイプを選択します (Simple [ 簡易パスワード ] または MD5)。 • Simple [ 簡易パスワード ] を選択した場合、簡易パスワードを入力して 確認します。 • MD5 を選択した場合は、Key-ID [ キー ID] (0 ∼ 255)、Key [ キー ]、お よび任意の Preferred [ 優先 ] 状態など、1 つ以上のパスワード エント リを入力します。エントリごとに Add [ 追加 ] をクリックしてから、OK をクリックします。送信メッセージの認証に使用する鍵を指定するに は、Preferred [ 優先 ] オプションを選択します。 Export Rules [ ルールのエクスポート ] タブの設定 Network > Virtual Router > RIP > Export Rules [ ࢿࢵࢺ࣮࣡ࢡ > ௬࣮ࣝࢱ࣮ > RIP > ࣮ࣝࣝࡢ࢚ࢡࢫ࣏࣮ࢺ ] RIP エクスポートのルールを設定することで、仮想ルーターがピアに送信可能なルートをコン トロールすることができます。 表 87. RIP 設定 – Export Rules [ ルールのエクスポート ] タブ フィールド 内容 デフォルトルートの再配 信を許可 ファイアウォールから BGP ピアにデフォルトルートを再配信することを 許可するには、このオプションを選択します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 185 仮想ルーターの設定 ネットワーク設定 表 87. RIP 設定 – Export Rules [ ルールのエクスポート ] タブ(続) フィールド 内容 再配信プロファイル Add [ 追加 ] をクリックし、目的のネットワーク動作に基づいて、ルート 再配信、フィルタ、優先度、アクションを変更できる再配信プロファイ ルを選択または追加します。 「ルート再配信の設定」を参照してください。 OSPF の設定 Network > Virtual Router > OSPF [ ࢿࢵࢺ࣮࣡ࢡ > ௬࣮ࣝࢱ࣮ > OSPF] OSPF (Open Shortest Path First) プロトコルを設定するには、以下の一般設定を指定する必要 があります。 表 88. 仮想ルーター設定 - OSPF タブ フィールド 内容 有効化 OSPF プロトコルを有効化する場合は、このオプションを選択します。 デフォルトルートの拒否 (推奨)OSPF 経由でデフォルトルートを学習しない場合は、このチェッ クボックスをオンにします。 ルーター ID この仮想ルーターの OSPF インスタンスに関連付けられているルータ ID を指定します。OSPF プロトコルでは、このルータ ID を使用して OSPF インスタンスを一意に識別します。 BFD PA-3000 Series、PA-5000 Series、PA-7000 Series、または VM-Series ファ イアウォールの仮想ルーターで OSPF 用に双方向フォワーディングの検 出(BFD)をグローバルに有効化する場合は以下のうちから一つを選択し ます。 • default(デフォルトの BFD 設定) • ファイアウォール上で作成した BFD プロファイルです。 • 新しい BFD プロファイルを作成する場合は New BFD Profile [ 新 しい BFD プロファイル ] すべての OSPF インターフェイスで BFD を無効化する場合は None (Disable BFD) [ なし(BFD 無効)] を選択します。シングル OSPF のイン ターフェイスでは、BFD を無効化することができません。 さらに、以下のタブの OSPF 設定を指定する必要があります。 • Areas [ エリア ]: 「Areas [ エリア ] タブの設定」を参照してください。 • Auth Profiles [ 認証プロファイル ]: 「Auth Profiles [ 認証プロファイル ] タブの設定」を 参照してください。 • Export Rules [ ルールのエクスポート ]: 「.Export Rules [ ルールのエクスポート ] タブの 設定」を参照してください。 • Advanced [ 詳細 ]: 「Advanced [ 詳細 ] タブの設定」を参照してください。 186 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 仮想ルーターの設定 Areas [ エリア ] タブの設定 Network > Virtual Router > OSPF > Areas [ ࢿࢵࢺ࣮࣡ࢡ > ௬࣮ࣝࢱ࣮ > OSPF > ࢚ࣜ ] 以下の表に、Areas [ エリア ] タブの設定を示します。 表 89. OSPF 設定 – Areas [ エリア ] タブ フィールド エリア 内容 エリア ID OSPF パラメータを適用可能なエリアを設定します。 エリアの識別子を x.x.x.x の形式で入力します。この識別子を受け入れた ネイバーのみが同じエリアに属します。 タイプ 以下のいずれかのオプションを選択します。 • Normal [ 通常 ] — 制限はありません。エリアではすべてのタイプのルー トを使用できます。 • Stub [ スタブ ] — エリアからの出口はありません。エリア外にある宛先 に到達するには、別のエリアに接続されている境界を通過する必要があ ります。このオプションを選択した場合、他のエリアからこのタイプの LSA (Link State Advertisement) を受け入れるには Accept Summary [ サマリーの受け入れ ] を選択します。さらに、スタブエリアへの通知 にデフォルトルート LSA とそれに関連付けられたメトリック値 (1 ∼ 255) を含めるかどうかを指定します。 スタブエリアのエリア ボーダー ルーター (ABR) インターフェイスの Accept Summary [ サマリーの受け入れ ] オプションが無効になってい ると、OSPF エリアは Totally Stubby Area (TSA) として動作し、ABR は サマリー LSA を伝搬しません。 • NSSA (Not-So-Stubby Area) — エリアから直接外部に出ることができ ますが、OSPF ルート以外のルートを使用する必要があります。このオ プションを選択した場合、このタイプの LSA を受け入れるには Accept Summary [ サマリーの受け入れ ] を選択します。Advertise Default Route [ デフォルトルートの通知 ] を選択して、スタブエリアへの通知 にデフォルトルート LSA とそれに関連付けられたメトリック値 (1 ∼ 255) を含めるかどうかを指定します。さらに、デフォルト LSA の通知 に使用するルート タイプを選択します。NSSA 経由で学習した外部ルー トの他のエリアへの通知を有効にするか、停止する場合は、External Ranges [ 外部範囲 ] セクションの Add [ 追加 ] をクリックし、範囲を入 力します。 範囲 Add [ 追加 ] をクリックし、エリア内の LSA 宛先アドレスをサブネットに 集約します。サブネットと一致する LSA の通知を有効にするか、停止し て、OK をクリックします。別の範囲を追加する場合は、この操作を繰り 返します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 187 仮想ルーターの設定 ネットワーク設定 表 89. OSPF 設定 – Areas [ エリア ] タブ(続) フィールド 内容 インターフェイス Add [ 追加 ] をクリックし、エリアに含めるインターフェイスごとに以下 の情報を入力して、OK をクリックします。 • Interface [ インターフェイス ] — インターフェイスを選択します。 • Enable [ 有効化 ] — OSPF インターフェイス設定を有効にします。 • Passive [ パッシブ ] — OSPF インターフェイスで OSPF パケットを送受 信しない場合は、このオプションを選択します。このオプションをオン にすると OSPF パケットは送受信されませんが、インターフェイスは LSA データベースに追加されます。 • Link type [リンクタイプ] — このインターフェイスを経由してアクセス 可能なすべてのネイバーを、OSPF hello メッセージのマルチキャスト によって自動的に検出させる場合は、Broadcast [ ブロードキャスト ] を 選択します(Ethernet インターフェイスなど)。自動的にネイバーを検 出する場合は、P2p ( ポイントツーポイント ) を選択します。ネイバー を手動で定義する必要がある場合は、P2mp ( ポイントツーマルチポイ ント ) を選択します。ネイバーを手動で定義できるのは、p2mp モード の場合のみです。 • Metric [ メトリック ] — このインターフェイスの OSPF メトリックを入 力します (0 ∼ 65535)。 • Priority [ 優先順位 ] — このインターフェイスの OSPF 優先度を入力し ます (0 ∼ 255)。OSPF プロトコルでは、この優先度に基づいて、ルータ が指名ルータ (DR) または バックアップ DR (BDR) として選択されま す。値が 0 の場合、ルータが DR または BDR として選択されることは ありません。 • Auth Profile [ 認証プロファイル ] — 以前に定義した認証プロファイル を選択します。 • BFD— OSPF ピアのインターフェイスで双方向フォワーディングの検知 (BFD)を有効化する場合は(仮想ルーターのレベルで OSPF 用の BFD が無効化されていない限り、OSPF 用の BFD 設定をオーバーライドする ことになります)、以下のうち一つを選択します。 – default(デフォルトの BFD 設定) – ファイアウォール上で作成した BFD プロファイルです。 – 新しい BFD プロファイルを作成する場合は New BFD Profile [ 新し い BFD プロファイル ] OSPF ピアのインターフェイスで BFD を無効化する場合は None (Disable BFD) [ なし(BFD 無効)] を選択します。 • Hello Interval (sec) [Hello 間隔(秒)] — OSPF プロセスが直接接続さ れているネイバーに Hello パケットを送信する間隔(秒数)です(範囲 は 0 ∼ 3600、デフォルトは 10)。 • Dead Counts [ 失敗許容回数 ] — Hello 間隔の試行回数で、この回数を 超えても OSPF がネイバーから Hello パケットを受信しない場合、 OSPF はネイバーがダウンしているものとみなします。Hello Interval [Hello 間隔 ] に Dead Counts [ 失敗許容回数 ] を乗じた数が、失敗タイ マーの値です(範囲は 3 ∼ 20、デフォルトは 4)。 • Retransmit Interval (sec) [ 再送信間隔 ( 秒 )] — OSPF がネイバーからリ ンク状態通知 (LSA) を待機する秒数で、この時間を過ぎると OSPF が LSA を再送信します(範囲は 0 ∼ 3600、デフォルトは 10)。 • Transit Delay (sec) [トランジット遅延 (秒)] — インターフェイスがLSA の送信を待機させる秒数です(範囲は 0 ∼ 3600、デフォルトは 1)。 188 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 仮想ルーターの設定 表 89. OSPF 設定 – Areas [ エリア ] タブ(続) フィールド 内容 インターフェイス(続き) • Graceful Restart Hello Delay (sec) [ グレースフル リスタート Hello パ ケット遅延 ( 秒 )] — アクティブ / パッシブ高可用性が設定されている場 合に、OSPF インターフェイスに適用されます。Graceful Restart Hello Delay [ グレースフル リスタート Hello パケット遅延 ] は、ファイア ウォールが 1 秒間隔でグレース LSA パケットを送信する期間です。こ の期間は、リスタート中のファイアウォールから Hello パケットが送信 されません。リスタート中は、失敗タイマー(Hello Interval [Hello 間隔 ] に Dead Counts [ 失敗許容回数 ] を乗じた数)もカウントダウンされま す。失敗タイマーの時間が短かすぎる場合は、Hello パケットが遅延し たときに、グレースフル リスタート中に隣接がダウンします。そのた め、失敗タイマーを Graceful Restart Hello Delay [ グレースフル リス タート Hello パケット遅延 ] の値の 4 倍以上にすることをお勧めしま す。たとえば、Hello Interval [Hello 間隔 ] が 10 秒で、Dead Counts [ 失 敗許容回数 ] が 4 回の場合、失敗タイマーは 40 秒になります。Graceful Restart Hello Delay [ グレースフル リスタート Hello パケット遅延 ] が 10 秒に設定されていれば、10 秒遅延しても失敗タイマーの 40 秒以内に 十分に収まるため、グレースフル リスタート中に隣接がタイムアウト になることがありません(範囲は 1 ∼ 10、デフォルトは 10)。 仮想リンク バックボーンエリアの接続を維持または拡張するには、仮想リンク設定 を指定します。この設定は、エリア境界ルータに対して、バックボーン エリア内 (0.0.0.0) で定義する必要があります。Add [ 追加 ] をクリックし、 バックボーンエリアに含める仮想リンクごとに以下の情報を入力して、 OK をクリックします。 • Name [ 名前 ] — 仮想リンクの名前を入力します。 • Neighbor ID [ ネイバー ID] — 仮想リンクの反対側のルータ ( ネイバー) のルータ ID を入力します。 • Transit Area [ トランジット エリア ] — 仮想リンクが物理的に含まれる 中継エリアのエリア ID を入力します。 • Enable [ 有効化 ] — 仮想リンクを有効にするには、オンにします。 • Timing [タイミング] — デフォルトのタイミング設定のまま使用するこ とをお勧めします。 • Auth Profile [ 認証プロファイル ] — 以前に定義した認証プロファイル を選択します。 Auth Profiles [ 認証プロファイル ] タブの設定 Network > Virtual Router > OSPF > Auth Profiles [ࢿࢵࢺ࣮࣡ࢡ > ௬࣮ࣝࢱ࣮ > OSPF > ㄆドࣉࣟࣇࣝ ] 以下の表に、Auth Profiles [ 認証プロファイル ] タブの設定を示します。 表 90. OSPF 設定 – Auth Profiles [ 認証プロファイル ] タブ フィールド 内容 プロファイル名 認証プロファイルの名前を入力します。OSPF メッセージを認証するに は、最初に認証プロファイルを定義し、次に OSPF タブでそのプロファイ ルをインターフェイスに適用します。 パスワード タイプ パスワードのタイプを選択します (Simple [ 簡易パスワード ] または MD5)。 • Simple [ 簡易パスワード ] を選択した場合は、パスワードを入力します。 • MD5 を選択した場合は、Key-ID [ キー ID] (0 ∼ 255)、Key [ キー ]、お よび任意の Preferred [ 優先 ] 状態など、1 つ以上のパスワード エント リを入力します。エントリごとに Add [ 追加 ] をクリックしてから、OK をクリックします。送信メッセージの認証に使用する鍵を指定するに は、Preferred [ 優先 ] オプションを選択します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 189 仮想ルーターの設定 .Export ネットワーク設定 Rules [ ルールのエクスポート ] タブの設定 Network > Virtual Router > OSPF > Export Rules [ ࢿࢵࢺ࣮࣡ࢡ > ௬࣮ࣝࢱ࣮ > OSPF > ࣮ࣝࣝࡢ࢚ࢡࢫ࣏࣮ࢺ ] 以下の表に、Export Rules [ ルールのエクスポート ] タブの設定を示します。 表 91. OSPF 設定 - Export Rules [ エクスポート規則 ] のタブ フィールド 内容 デフォルトルートの再配 信を許可 OSPF 経由でデフォルトルートの再配信を許可するには、このオプション を選択します。 名前 再配信プロファイルの名前を選択します。値には IP サブネットまたは有 効な再配信プロファイル名を指定する必要があります。 新規パス タイプ 適用するメトリック タイプを選択します。 新規タグ メトリック 一致したルート用に 32 ビット値のタグを指定します。 (任意)エクスポートされたルートに関連付けられてパス選択に使用され るルート メトリックを指定します ( 範囲は 1 ∼ 65535)。 Advanced [ 詳細 ] タブの設定 Network > Virtual Router > OSPF > Advanced [ ࢿࢵࢺ࣮࣡ࢡ > ௬࣮ࣝࢱ࣮ > OSPF > ヲ ⣽] 以下の表に、Advanced [ 詳細 ] タブの設定を示します。 表 92. OSPF 設定 – Advanced [ 詳細 ] タブ フィールド 内容 RFC 1583 の互換性 RFC1583 との互換性を維持するには、このオプションを選択します。 タイマー • SPF Calculation Delay (sec) [SPF 計算遅延(秒)] — このタイマーによ り、新しいトポロジ情報の受信から、SPF 計算を実行するまでの遅延時 間を調整することができます。低い値を指定すると、OSPF の再収束が 速くなります。ファイアウォールとピアリングしているルーターは、収 束時間の最適化と同様の方法で調整する必要があります。 • LSA Interval (sec) [LSA 間隔(秒)] — このオプションは、同一 LSA (同一ルーター、同一タイプ、同一 LSA ID)の 2 つのインスタンスの伝 送間の最小時間を指定します。RFC 2328 の MinLSInterval と同等です。 低い値を指定すると、トポロジが変更された場合の再収束時間が短縮さ れます。 190 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 仮想ルーターの設定 表 92. OSPF 設定 – Advanced [ 詳細 ] タブ(続) フィールド 内容 グレースフル リスター ト • Enable Graceful Restart [ グレースフル リスタートを有効にする ] – デ フォルトで有効になっています。この機能が有効なファイアウォール は、ファイアウォールが一時的にダウンして移行が実行されている間 も、ファイアウォールを経由するルートを引き続き使用するようにネイ バー ルーターに指示します。 • Enable Helper Mode [ ヘルパー モードを有効にする ] – デフォルトで有 効になっています。このモードが有効なファイアウォールは、隣接デバ イスの再起動中もそのデバイスへの転送を継続します。 • Enable Strict LSA Checking [ 厳密な LSA チェックを有効化にする ] – デ フォルトで有効になっています。トポロジが変更された場合、この機能 によって、OSPF ヘルパー モードが有効なファイアウォールのヘルパー モードが終了します。 • Grace Period (sec) [ 猶予時間(秒)] — 隣接デバイスの再確立中または ルーターの再起動中にピアデバイスがこのファイアウォールに向けた 転送を継続する秒数です(範囲は 5 ∼ 1800、デフォルトは 120)。 • Max Neighbor Restart Time [ ネイバー再起動の最大時間 ] — ファイ アウォールをヘルパーモードルーターとして使用できる最長猶予時間 (秒)です。ピアデバイスのグレース LSA で提供される猶予時間の方 が長い場合、ファイアウォールはヘルパーモードになりません(範囲 は 5 ∼ 1800、デフォルトは 140)。 OSPFv3 の設定 Network > Virtual Router > OSPFv3 [ ࢿࢵࢺ࣮࣡ࢡ > ௬࣮ࣝࢱ࣮ > OSPFv3] OSPFv3 (Open Shortest Path First v3) プロトコルを設定するには、以下の一般設定を指定する 必要があります。 表 93. 仮想ルーター設定 - OSPF タブ フィールド 内容 有効化 OSPF プロトコルを有効化する場合は、このオプションを選択します。 デフォルトルートの拒否 OSPF 経由でデフォルトルートを学習させたくない場合は、このオプショ ンを選択します。 ルーター ID この仮想ルーターの OSPF インスタンスに関連付けられているルータ ID を指定します。OSPF プロトコルでは、このルータ ID を使用して OSPF インスタンスを一意に識別します。 BFD PA-3000 Series、PA-5000 Series、PA-7000 Series、または VM-Series ファ イアウォールの仮想ルーターで OSPFv3 用に双方向フォワーディングの 検出(BFD)をグローバルに有効化する場合は以下のうちから一つを選択 します。 • default(デフォルトの BFD 設定) • ファイアウォール上で作成した BFD プロファイルです。 • 新しい BFD プロファイルを作成する場合は New BFD Profile [ 新しい BFD プロファイル ] •(すべての OSPFv3 インターフェイスで BFD を無効化する場合は None (Disable BFD) [ なし(BFD 無効)] を選択します。シングル OSPFv3 の インターフェイスでは、BFD を無効化することができません。) さらに、以下のタブで OSPFv3 の設定を行う必要があります。 • Areas [ エリア ]: 「Areas [ エリア ] タブの設定」を参照してください。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 191 仮想ルーターの設定 ネットワーク設定 • Auth Profiles [ 認証プロファイル ]: 「Auth Profiles [ 認証プロファイル ] タブの設定」を 参照してください。 • Export Rules [ ルールのエクスポート ]: 「Export Rules [ ルールのエクスポート ] タブの設 定」を参照してください。 • Advanced [ 詳細 ]: 「Advanced [ 詳細 ] タブの設定」を参照してください。 Areas [ エリア ] タブの設定 Network > Virtual Router > OSPFv3 > Areas [ ࢿࢵࢺ࣮࣡ࢡ > ௬࣮ࣝࢱ࣮ > OSPFv3 > ࢚ ࣜ ] 以下の表に、Areas [ エリア ] タブの設定を示します。 表 94. 仮想ルーター設定 - Areas [ エリア ] タブ フィールド 内容 認証 この OSPF エリアに指定する認証プロファイルの名前を選択します。 タイプ 以下のいずれかのオプションを選択します。 • Normal [ 通常 ] — 制限はありません。エリアではすべてのタイプのルー トを使用できます。 • Stub [ スタブ ] — エリアからの出口はありません。エリア外にある宛先 に到達するには、別のエリアに接続されている境界を通過する必要があ ります。このオプションを選択した場合、他のエリアからこのタイプの LSA (Link State Advertisement) を受け入れるには Accept Summary [ サマリーの受け入れ ] を選択します。さらに、スタブエリアへの通知 にデフォルトルート LSA とそれに関連付けられたメトリック値 (1 ∼ 255) を含めるかどうかを指定します。スタブエリアのエリア ボーダー ルーター (ABR) インターフェイスの Accept Summary [サマリーの受け 入れ ] オプションが無効になっていると、OSPF エリアは Totally Stubby Area (TSA) として動作し、ABR はサマリー LSA を伝搬しません。 • NSSA (Not-So-Stubby Area) — エリアから直接外部に出ることができ ますが、OSPF ルート以外のルートを使用する必要があります。このオ プションを選択した場合、このタイプの LSA を受け入れるには Accept Summary [ サマリーの受け入れ ] を選択します。スタブエリアへの通知 にデフォルトルート LSA とそれに関連付けられたメトリック値 (1 ∼ 255) を含めるかどうかを指定します。さらに、デフォルト LSA の通知 に使用するルート タイプを選択します。NSSA 経由で学習した外部ルー トの他のエリアへの通知を有効にするか、停止する場合は、External Ranges [ 外部範囲 ] セクションの Add [ 追加 ] をクリックし、範囲を入 力します。 範囲 Add [ 追加 ] をクリックし、エリア内の LSA 宛先 IPv6 アドレスをサブネッ トに集約します。サブネットと一致する LSA の通知を有効にするか、停 止して、OK をクリックします。別の範囲を追加する場合は、この操作を 繰り返します。 192 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 仮想ルーターの設定 表 94. 仮想ルーター設定 - Areas [ エリア ] タブ(続) フィールド 内容 インターフェイス Add [ 追加 ] をクリックし、エリアに含めるインターフェイスごとに以下 の情報を入力して、OK をクリックします。 • Interface [ インターフェイス ] — インターフェイスを選択します。 • Enable [ 有効化 ] — OSPF インターフェイス設定を有効にします。 • インスタンス ID — OSPFv3 インスタンス ID 番号を入力します。 • Passive [ パッシブ ] — OSPF インターフェイスで OSPF パケットを送受 信しない場合は、このオプションを選択します。このオプションをオン にすると OSPF パケットは送受信されませんが、インターフェイスは LSA データベースに追加されます。 • Link type [リンクタイプ] — このインターフェイスを経由してアクセス 可能なすべてのネイバーを、OSPF hello メッセージのマルチキャスト によって自動的に検出させる場合は、Broadcast [ ブロードキャスト ] を 選択します(Ethernet インターフェイスなど) 。自動的にネイバーを検 出する場合は、P2p ( ポイントツーポイント ) を選択します。ネイバー を手動で定義する必要がある場合は、P2mp ( ポイントツーマルチポイ ント ) を選択します。ネイバーを手動で定義できるのは、p2mp モード の場合のみです。 • Metric [ メトリック ] — このインターフェイスの OSPF メトリックを入 力します (0 ∼ 65535)。 • Priority [ 優先順位 ] — このインターフェイスの OSPF 優先度を入力し ます (0 ∼ 255)。OSPF プロトコルでは、この優先度に基づいて、ルータ が指名ルータ (DR) または バックアップ DR (BDR) として選択されま す。値が 0 の場合、ルータが DR または BDR として選択されることは ありません。 • Auth Profile [ 認証プロファイル ] — 以前に定義した認証プロファイル を選択します。 • BFD — OSPFv3 ピアのインターフェイスで双方向フォワーディングの 検知(BFD)を有効化する場合は(仮想ルーターのレベルで OSPFv3 用 の BFD が無効化されていない限り、OSPFv3 用の BFD 設定をオーバー ライドすることになります)、以下のうち一つを選択します。 – default(デフォルトの BFD 設定) – ファイアウォール上で作成した BFD プロファイルです。 – 新しい BFD プロファイルを作成する場合は New BFD Profile [ 新し い BFD プロファイル ] OSPFv3 ピアのインターフェイスで BFD を無効化する場合は None (Disable BFD) [ なし(BFD 無効)] を選択します。 • Hello Interval (sec) [Hello 間隔(秒)] — OSPF プロセスが直接接続さ れているネイバーに Hello パケットを送信する間隔(秒数)です(範囲 は 0 ∼ 3600、デフォルトは 10)。 • Dead Counts [ 失敗許容回数 ] — Hello 間隔の試行回数で、この回数を 超えても OSPF がネイバーから Hello パケットを受信しない場合、 OSPF はネイバーがダウンしているものとみなします。Hello Interval [Hello 間隔 ] に Dead Counts [ 失敗許容回数 ] を乗じた数が、失敗タイ マーの値です(範囲は 3 ∼ 20、デフォルトは 4)。 • Retransmit Interval (sec) [ 再送信間隔 ( 秒 )] — OSPF がネイバーからリ ンク状態通知 (LSA) を待機する秒数で、この時間を過ぎると OSPF が LSA を再送信します(範囲は 0 ∼ 3600、デフォルトは 10)。 • Transit Delay (sec) [トランジット遅延 (秒)] — インターフェイスがLSA の送信を待機させる秒数です(範囲は 0 ∼ 3600、デフォルトは 1)。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 193 仮想ルーターの設定 ネットワーク設定 表 94. 仮想ルーター設定 - Areas [ エリア ] タブ(続) フィールド 内容 インターフェイス(続き) • Graceful Restart Hello Delay (sec) [ グレースフル リスタート Hello パ ケット遅延 ( 秒 )] — アクティブ / パッシブ高可用性が設定されている場 合に、OSPF インターフェイスに適用されます。Graceful Restart Hello Delay [ グレースフル リスタート Hello パケット遅延 ] は、ファイア ウォールが 1 秒間隔でグレース LSA パケットを送信する期間です。こ の期間は、リスタート中のファイアウォールから Hello パケットが送信 されません。リスタート中は、失敗タイマー(Hello Interval [Hello 間隔 ] に Dead Counts [ 失敗許容回数 ] を乗じた数)もカウントダウンされま す。失敗タイマーの時間が短かすぎる場合は、Hello パケットが遅延し たときに、グレースフル リスタート中に隣接がダウンします。そのた め、失敗タイマーを Graceful Restart Hello Delay [ グレースフル リス タート Hello パケット遅延 ] の値の 4 倍以上にすることをお勧めしま す。たとえば、Hello Interval [Hello 間隔 ] が 10 秒で、Dead Counts [ 失 敗許容回数 ] が 4 回の場合、失敗タイマーは 40 秒になります。Graceful Restart Hello Delay [ グレースフル リスタート Hello パケット遅延 ] が 10 秒に設定されていれば、10 秒遅延しても失敗タイマーの 40 秒以内に 十分に収まるため、グレースフル リスタート中に隣接がタイムアウト になることがありません(範囲は 1 ∼ 10、デフォルトは 10)。 • Neighbors [ ネイバー ] — p2pmp インターフェイスの場合、このイン ターフェイスを介して到達可能なすべてのネイバーに対するネイバー IP アドレスを入力します。 仮想リンク バックボーンエリアの接続を維持または拡張するには、仮想リンク設定 を指定します。この設定は、エリア境界ルータに対して、バックボーン エリア内 (0.0.0.0) で定義する必要があります。Add [ 追加 ] をクリックし、 バックボーンエリアに含める仮想リンクごとに以下の情報を入力して、 OK をクリックします。 • Name [ 名前 ] — 仮想リンクの名前を入力します。 • Instance ID [ インスタンス ID] — OSPFv3 インスタンス ID 番号を入力 します。 • Neighbor ID [ ネイバー ID] — 仮想リンクの反対側のルータ ( ネイバー) のルータ ID を入力します。 • Transit Area [ トランジット エリア ] — 仮想リンクが物理的に含まれる 中継エリアのエリア ID を入力します。 • Enable [ 有効化 ] — 仮想リンクを有効にするには、オンにします。 • Timing [タイミング] — デフォルトのタイミング設定のまま使用するこ とをお勧めします。 • Auth Profile [ 認証プロファイル ] — 以前に定義した認証プロファイル を選択します。 Auth Profiles [ 認証プロファイル ] タブの設定 Network > Virtual Router > OSPFv3 > Auth Profiles [ ࢿࢵࢺ࣮࣡ࢡ > ௬࣮ࣝࢱ࣮ > OSPFv3 > ㄆドࣉࣟࣇࣝ ] 以下の表に、Auth Profiles [ 認証プロファイル ] タブの設定を示します。 表 95. OSPFv3 設定 – Auth Profiles [ 認証プロファイル ] タブ フィールド 内容 プロファイル名 認証プロファイルの名前を入力します。OSPF メッセージを認証するに は、最初に認証プロファイルを定義し、次に OSPF タブでそのプロファ イルをインターフェイスに適用します。 SPI リモート ファイアウォールからピアへのパケット トラバーサルのセ キュリティ パラメータ インデックス (SPI) を指定します。 194 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 仮想ルーターの設定 表 95. OSPFv3 設定 – Auth Profiles [ 認証プロファイル ] タブ(続) フィールド 内容 プロトコル 以下のいずれかのプロトコルを指定します。 • ESP — Encapsulating Security Payload プロトコル。 • AH — Authentication Header プロトコル。 暗号化アルゴリズム 以下のいずれかを指定します。 • None [ なし ] — 暗号化アルゴリズムは使用されません。 • SHA1 — Secure Hash Algorithm 1。 • SHA256 — Secure Hash Algorithm 2。256 ビット ダイジェストの 4 つ のハッシュ関数のセット。 • SHA384 — Secure Hash Algorithm 2。384 ビット ダイジェストの 4 つ のハッシュ関数のセット。 • SHA512 — Secure Hash Algorithm 2。512 ビット ダイジェストの 4 つ のハッシュ関数のセット。 • MD5 — MD5 メッセージ ダイジェスト アルゴリズム。 キー / 再入力キー 認証鍵を入力して確認します。 暗号化 以下のいずれかを指定します。 • aes-128-cbc — 128 ビットの暗号化鍵を使用して AES (Advanced Encryption Standard) を適用します。 • aes-192-cbc — 192 ビットの暗号化鍵を使用して AES (Advanced Encryption Standard) を適用します。 • aes-256-cbc — 256 ビットの暗号化鍵を使用して AES (Advanced Encryption Standard) を適用します。 • null — 暗号化は使用されません。 AH プロトコルが選択されている場合は使用できません。 キー / 再入力キー 暗号化鍵を入力して確認します。 Export Rules [ ルールのエクスポート ] タブの設定 Network > Virtual Router > OSPF > Export Rules [ ࢿࢵࢺ࣮࣡ࢡ > ௬࣮ࣝࢱ࣮ > OSPF > ࣮ࣝࣝࡢ࢚ࢡࢫ࣏࣮ࢺ ] 以下の表に、Export Rules [ ルールのエクスポート ] タブの設定を示します。 表 96. OSPF 設定 - Export Rules [ エクスポート規則 ] のタブ フィールド 内容 デフォルトルートの再配 信を許可 OSPF 経由でデフォルトルートの再配信を許可するには、このオプション を選択します。 名前 再配信プロファイルの名前を選択します。値には IP サブネットまたは有 効な再配信プロファイル名を指定する必要があります。 新規パス タイプ 適用するメトリック タイプを選択します。 新規タグ メトリック © Palo Alto Networks, Inc. 一致したルート用に 32 ビット値のタグを指定します。 (任意)エクスポートされたルートに関連付けられてパス選択に使用され るルート メトリックを指定します ( 範囲は 1 ∼ 65535)。 Web インターフェイス リファレンス ガイド、バージョン 7.1 • 195 仮想ルーターの設定 ネットワーク設定 Advanced [ 詳細 ] タブの設定 Network > Virtual Router > OSPF > Advanced [ ࢿࢵࢺ࣮࣡ࢡ > ௬࣮ࣝࢱ࣮ > OSPF > ヲ ⣽] 以下の表に、Advanced [ 詳細 ] タブの設定を示します。 表 97. OSPF 設定 – Advanced [ 詳細 ] タブ フィールド 内容 SPF 計算用トランジット ルーティングを無効にす る このファイアウォールから送信されるルーター LSA に R ビットを設定し て、ファイアウォールがアクティブでないことを示したい場合は、この オプションを選択します。この状態のファイアウォールは OSPFv3 に参 加しますが、その他のルーターはトランジットトラフィックを送信しま せん。この状態でも、ローカルトラフィックは引き続きファイアウォー ルに転送されます。トラフィックをデバイス周辺に再ルーティングしな がらそのファイアウォールにも到達できるため、これはデュアルホーム ネットワークで保守を行う場合に役立ちます。 タイマー • SPF Calculation Delay (sec) [SPF 計算遅延 ( 秒 )] — このオプションは、 新しいトポロジ情報の受信と SPF 計算の情報間で遅延時間を調整でき る遅延タイマーです。低い値を指定すると、OSPF の再収束が速くなり ます。ファイアウォールとピアリングしているルーターは、収束時間の 最適化と同様の方法で調整する必要があります。 • LSA Interval (sec) [LSA 間隔 ( 秒 )] — このオプションは、同一 LSA ( 同一 ルーター、同一タイプ、同一 LSA ID) の 2 つのインスタンスの伝送間の 最小時間を指定します。RFC 2328 の MinLSInterval と同等です。低い値 を指定すると、トポロジが変更された場合の再収束時間が短縮されます。 グレースフル リスター ト • Enable Graceful Restart [ グレースフルリスタートを有効化 ] — この機 能が有効なファイアウォールは、ファイアウォールが一時的にダウンし て移行が実行されている間も、ファイアウォールを経由するルートを引 き続き使用するように近隣のルーターに指示します(デフォルトで有 効)。 • Enable Helper Mode [ヘルパーモードを有効化] — このモードが有効な ファイアウォールは、隣接デバイスの再起動中もそのデバイスへの転送 を継続します(デフォルトで有効)。 • Enable Strict LSA Checking [ 厳密な LSA チェックを有効化 ] — トポロ ジが変更された場合、この機能により、OSPF ヘルパーモードが有効な ファイアウォールのヘルパーモードが終了します(デフォルトで有効)。 • Grace Period (sec) [ 猶予時間(秒)] — 隣接デバイスの再確立中または ルーターの再起動中にピアデバイスがこのファイアウォールに向けた 転送を継続する秒数です(範囲は 5 ∼ 1800、デフォルトは 120)。 • Max Neighbor Restart Time [ ネイバー再起動の最大時間 ] — ファイア ウォールをヘルパーモードルーターとして使用できる最大猶予時間 (秒)です。ピアデバイスのグレース LSA で提供される猶予時間の方が 長い場合、ファイアウォールはヘルパーモードになりません(範囲は 5 ∼ 800、デフォルトは 140)。 196 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 仮想ルーターの設定 BGP の設定 Network > Virtual Router > BGP [ ࢿࢵࢺ࣮࣡ࢡ > ௬࣮ࣝࢱ࣮ > BGP] Border Gateway Protocol (BGP) プロトコルを設定するには、以下の設定を指定する必要があ ります。 表 98. 仮想ルーター設定 - BGP タブ フィールド 内容 有効化 BGP を有効化する場合は、このボックスを選択します。 ルーター ID 仮想ルーターに割り当てる IP アドレスを入力します。 AS 番号 ルータ ID に基づいて、仮想ルーターが属する AS の番号を入力します ( 範囲は 1 ∼ 4294967295)。 BFD PA-3000 Series、PA-5000 Series、PA-7000 Series、または VM-Series ファイア ウォールの仮想ルーターで BGP 用に双方向フォワーディングの検出(BFD) をグローバルに有効化する場合は以下のうちから一つを選択します。 • default(デフォルトの BFD 設定) • ファイアウォール上で作成した BFD プロファイルです。 • 新しい BFD プロファイルを作成する場合は New BFD Profile [ 新 しい BFD プロファイル ] すべてのBGPインターフェイスでBFDを無効化する場合はNone (Disable BFD) [ なし(BFD 無効)] を選択します。シングル BGP のインターフェ イスでは、BFD を無効化することができません。 注意 ! グローバルに BFD を有効化あるいは無効化する場合、BGP を実行 中のすべてのインターフェイスが停止され、BFD の機能で再起動されま す。これにより、すべての BGP トラフィックが中断される可能性があり ます。よって、BGP インターフェイスで BFD を有効化する場合は、この ような再収斂が実働トラフィックに影響を与えないようなオフピーク時 におこなうようにしてください。 さらに、以下のタブの BGP 設定を指定する必要があります。 • General [ 一般 ]: 「General [ 全般 ] タブの設定」を参照してください。 • Advanced [ 詳細 ]: 「Advanced [ 詳細 ] タブの設定」を参照してください。 • Peer Group [ ピアグループ ]: 「Peer Group [ ピア グループ ] タブの設定」を参照してくだ さい。 • Import [ インポート ]: 「Import [ インポート ] および Export [ エクスポート ] タブの設定」 を参照してください。 • Export [ エクスポート ]: 「Import [ インポート ] および Export [ エクスポート ] タブの設 定」を参照してください。 • Conditional Adv [ 条件付き通知 ]: 「Conditional Adv [ 条件付き通知 ] タブの設定」を参照 してください。 • Aggregate [ 集約 ]: 「Conditional Adv [ 条件付き通知 ] タブの設定」を参照してください。 • Redist Rules [ ルールの再配信 ]: 「Redist Rules [ ルールの再配信 ] タブの設定」を参照し てください。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 197 仮想ルーターの設定 ネットワーク設定 General [ 全般 ] タブの設定 Network > Virtual Router > BGP > General [ ࢿࢵࢺ࣮࣡ࢡ > ௬࣮ࣝࢱ࣮ > BGP > ⯡ ] 以下の表に、General [ 全般 ] タブの設定を示します。 表 99. BGP 設定 – General [ 全般 ] タブ フィールド 内容 デフォルトルートの拒否 BGP ピアから通知されるデフォルトルートを無視するには、このオプ ションを選択します。 ルートのインストール グローバルルーティングテーブルに BGP ルートをインストールする場合 は、このオプションを選択します。 MED の集約 ルートの MED (Multi-Exit Discriminator) 値が異なる場合でもルート集 約を有効にするには、オンにします。 デフォルトのローカル設 定 異なるパスで設定を決定するために使用できる値を指定します。 AS フォーマット 2-byte [2 バイト ] ( デフォルト ) または 4-byte [4 バイト ] 形式を選択しま す。これは、相互運用性のために設定します。 常に MED を比較 別の AS 内のネイバーから受け取ったパスの MED 比較を有効にします。 決定論的 MED 比較 IBGP ピア ( 同じ AS 内の BGP ピア ) から通知されたルートの中からルー トを選択するための MED 比較を有効にします。 認証プロファイル Add [ 追加 ] をクリックして新しい認証プロファイルを追加し、以下の設 定を指定します。 • Profile Name [ プロファイル名 ] — プロファイルの識別に使用する名前 を入力します。 • Secret/Confirm Secret [ シークレット / 再入力 シークレット ] — BGP ピア通信に使用するパスフレーズを入力し、確認します。 プロファイルを削除する場合は、削除( )をクリックします。 Advanced [ 詳細 ] タブの設定 Network > Virtual Router > BGP > Advanced [ࢿࢵࢺ࣮࣡ࢡ > ௬࣮ࣝࢱ࣮ > BGP > ヲ⣽] 以下の表に、Advanced [ 詳細 ] タブの設定を示します。 表 100. BGP 設定 – Advanced [ 詳細 ] タブ フィールド 内容 グレースフル リスター ト グレースフル リスタート オプションをアクティベーションします。 • Stale Route Time [ ルート停滞時間 ] — ルートが膠着状態を持続できる 時間を指定します(範囲は 1 ∼ 3600 秒、デフォルトは 120 秒)。 • Local Restart Time [ ローカル再起動時間 ] — ファイアウォールの再起 動にかかる秒数を指定します。この値はピアに通知されます(範囲は 1 ∼ 3600、デフォルトは 120)。 • Max Peer Restart Time [ 最大ピア再起動時間 ] — ファイアウォールが ピアデバイス再起動時の猶予時間として許容する最大秒数を指定しま す(範囲は 1 ∼ 3600 秒、デフォルトは 120 秒 )。 リフレクタ クラスタ ID リフレクタ クラスタを示す IPv4 識別子を指定します。 コンフェデレーション メンバー AS AS コンフェデレーションを 1 つの AS として外部 BGP ピアに示すため の使用する識別子を指定します。 198 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 仮想ルーターの設定 表 100. BGP 設定 – Advanced [ 詳細 ] タブ(続) フィールド 内容 プロファイルのダンペニ ング 以下の設定があります。 • Profile Name [ プロファイル名 ] — プロファイルの識別に使用する名前 を入力します。 • Enable [ 有効化 ] — プロファイルをアクティベーションします。 • Cutoff [ カットオフ ] — ルート停止のしきい値を指定し、この値を超え るとルート通知が停止されるようにします ( 範囲は 0.0 ∼ 1000.0、デフォ ルトは 1.25)。 • Reuse [ 再利用 ] — ルート停止のしきい値を指定します ( 範囲は 0.0 ∼ 1000.0、デフォルトは 5)。この値を下回るとルートは再度使用されます。 • Max. Hold Time [ 最大ホールドタイム ] — ルートの不安定度に関係な く、ルートを停止できる時間の最大長を指定します ( 範囲は 0 ∼ 3600 秒、デフォルトは 900 秒 )。 • Decay Half Life Reachable [ 到達可能のライフ半減 ] — ルートが到達可 能とみなされてから、ルートの安定性メトリックを 1/2 にするまでの時 間を指定します(範囲は 0 ∼ 3600、デフォルトは 300)。 • Decay Half Life Reachable [ 到達不能のライフ半減 ] — ルートが到達可 能不能とみなされてから、ルートの安定性メトリックを 1/2 にするまで 。 の時間を指定します(範囲は 0 ∼ 3600、デフォルトは 300) プロファイルを削除する場合は、削除( )をクリックします。 Peer Group [ ピア グループ ] タブの設定 Network > Virtual Router > BGP > Peer Group [ ࢿࢵࢺ࣮࣡ࢡ > ௬࣮ࣝࢱ࣮ > BGP > ࣆ ࢢ࣮ࣝࣉ ] 以下の表に、Peer Group [ ピア グループ ] タブの設定を示します。 表 101. BGP 設定 – Peer Group [ ピア グループ ] タブ フィールド 内容 名前 ピアの識別に使用する名前を入力します。 有効化 ピアをアクティベーションするには、オンにします。 集約済みコンフェデレー ション AS パス 設定した集約済みコンフェデレーション AS へのパスを含めるには、この オプションを選択します。 保存した情報を使用した ソフトリセット ピア設定の更新後にファイアウォールのソフト リセットを実行するに は、このオプションを選択します。 タイプ ピアまたはグループのタイプを指定し、関連設定を指定します ( この表に 後述されている Import Next Hop [ ネクストホップのインポート ] および Export Next Hop [ ネクストホップのエクスポート ] の説明を参照 ) 。 • IBGP — 以下を指定します。 – ネクストホップのエクスポート • EBGP Confed [EBGP コンフェデレーション ] — 以下を指定します。 – ネクストホップのエクスポート • IBGP Confed [IBGP コンフェデレーション ] — 以下を指定します。 – ネクストホップのエクスポート • EBGP — 以下を指定します。 – ネクストホップのインポート – ネクストホップのエクスポート – Remove Private AS [ プライベート AS の削除 ](BGP でプライベー ト AS 番号を強制的に削除する場合に選択します)。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 199 仮想ルーターの設定 ネットワーク設定 表 101. BGP 設定 – Peer Group [ ピア グループ ] タブ(続) フィールド 内容 ネクストホップのイン ポート ネクストホップのインポートのオプションを選択します。 • original [ オリジナル ] — 元のルート通知で提供されたネクストホップ のアドレスを使用します。 • use-peer [ ピアの使用 ] — ピアの IP アドレスをネクストホップのアド レスとして使用します。 ネクストホップのエクス ポート ネクストホップのエクスポートのオプションを選択します。 • resolve [ 解決 ] — ローカル転送テーブルを使用してネクストホップの アドレスを解決します。 • use-self [ 自己の使用 ] — ネクストホップのアドレスをこのルータの IP アドレスで置き換えて転送パスに含まれるようにします。 ピア 新しいピアを追加するには、New [ 新規 ] をクリックし、以下の設定を指 定します。 • Name [ 名前 ] — ピアの識別に使用する名前を入力します。 • Enable [有効化] — ピアをアクティベーションするには、オンにします。 • Peer AS [ ピア AS] — ピアの AS を指定します。 • Local Address [ ローカル アドレス ] — ファイアウォール インターフェ イスとローカル IP アドレスを選択します。 • Connection Options [ 接続オプション ] — 以下のオプションを指定します。 – Auth Profile [ 認証プロファイル ] — プロファイルを選択します。 – Keep Alive Interval [ キープアライブ間隔 ] — ピアから受け取った ルートがホールドタイム設定に従って停止されるまでの時間を指定 します(範囲は 0 ∼ 1200 秒、デフォルトは 30 秒 )。 – Multi Hop [ マルチホップ ] — IP ヘッダーの TTL(time-to-live)値を 指定します(範囲は 1 ∼ 255、デフォルトは 0)。デフォルト値の 0 を 指定すると、eBGP の場合は 2、iBGP の場合は 255 が使用されます。 – Open Delay Time [ オープン遅延時間 ] — ピア TCP 接続を開いてから 最初の BGP Open メッセージを送信するまでの遅延時間を指定しま す ( 範囲は 0 ∼ 240 秒、デフォルトは 0 秒 )。 – Hold Time [ ホールド タイム ] — ピアからの連続する KEEPALIVE または UPDATE メッセージ間の想定経過時間を指定します。この時間が過ぎる とピア接続が閉じられます ( 範囲は 3 ∼ 3600 秒、デフォルトは 90 秒 )。 – Idle Hold Time [ 待機継続時間 ] — アイドル状態で待機する時間を指 定します。この時間が経過すると、ピアへの接続が再試行されます ( 範囲は 1 ∼ 3600 秒、デフォルトは 15 秒 )。 • Peer Address [ ピア アドレス ] — ピアの IP アドレスとポートを指定します。 • Advanced Options [ 詳細 ] — 以下の設定を指定します。 – Reflector Client [ リフレクタ クライアント ] — リフレクタ クライア ントのタイプを指定します (Non-Client [ 非クライアント ]、Client [ クライアント ]、Meshed Client [ メッシュ クライアント ] のいずれ か )。リフレクタ クライアントから受信したルートは、すべての内部 および外部 BGP ピアで共有されます。 – Peering Type [ ピアリング タイプ ] — 双方向ピアを指定するか、未 指定のままにします。 – Max. Prefixes [最大プレフィックス] — サポートされるIPプレフィッ クスの最大数を指定します (1 ∼ 100000 または unlimited [ 無制限 ])。 200 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 仮想ルーターの設定 表 101. BGP 設定 – Peer Group [ ピア グループ ] タブ(続) フィールド 内容 – BFD — BGP ピアで双方向フォワーディング検知(BFD)を使用する 際は(仮想ルーターのレベルで BGP 用の BFD が無効化されていない 限り、BGP 用の BFD 設定をオーバーライドすることになります)、 BGP のグローバル BFD プロファイルを引き継ぐ場合は既存の BFD プロファイルであるデフォルトプロファイル(デフォルトの BFD 設 定)Inherit-vr-global-setting を選択し、新しい BFD プロファイル を作成する場合は New BFD Profile [ 新規 BFD プロファイル ] を選択 します。None (Disable BFD) [ なし(BFD 無効)] を選択すると、BGP ピアの BFD が無効化されます。 注意ʽグローバルに BFD を有効化あるいは無効化する場合、BGP を実行 中のすべてのインターフェイスが停止され、BFD の機能で再起動されま す。これにより、すべての BGP トラフィックが中断される可能性があり ます。インターフェイス上で BFD を有効化すると、ファイアウォールが ピアとの BGP 接続を停止し、インターフェイス上で BFD のプログラミン グを行います。BGP 接続が停止されたことをピアデバイスが検知すると、 実働トラフィックに影響を与える再収斂を行う可能性があります。 推奨設定:よって、BGP インターフェイスで BFD を有効化する場 合は、このような再収斂が実働トラフィックに影響を与えないよ うなオフピーク時におこなうようにしてください。 • Incoming Connections/Outgoing Connections [ 受信接続 / 送信接続 ] — 送受信ポートの番号を指定し、Allow [ 許可 ] を選択してこれらのポー トの送受信トラフィックを許可します。 Import [ インポート ] および Export [ エクスポート ] タブの設定 Network > Virtual Router > BGP > Import [ ࢿࢵࢺ࣮࣡ࢡ > ௬࣮ࣝࢱ࣮ > BGP > ࣥ ࣏࣮ࢺ ] Network > Virtual Router > BGP > Export [ ࢿࢵࢺ࣮࣡ࢡ > ௬࣮ࣝࢱ࣮ > BGP > ࢚ࢡࢫ ࣏࣮ࢺ ] 以下の表に、Import [ インポート ] および Export [ エクスポート ] タブの設定を示します。 表 102. BGP 設定 – Import [ インポート ] および Export [ エクスポート ] タブ フィールド 内容 ルールのインポート / ルールのエクスポート BGP の Import Rules [ ルールのインポート ] または Export Rules [ ルー ルのエクスポート ] サブタブをクリックします。新しいルールを追加する には、Add [ 追加 ] をクリックし、以下の設定を指定します。 • General [ 一般 ]: – Name [ 名前 ] — ルールの識別に使用する名前を指定します。 – Enable [ 有効化 ] — ルールをアクティベーションするには、オンに します。 – Used by [ 使用 ] — このルールを使用するピア グループを選択しま す。 • Match [ 一致 ]: – AS-Path Regular Expression [AS パスの正規表現 ] — AS パスをフィ ルタリングするための正規表現を指定します。 – Community Regular Expression [ コミュニティの正規表現 ] — コミュ ニティ文字列をフィルタリングするための正規表現を指定します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 201 仮想ルーターの設定 ネットワーク設定 表 102. BGP 設定 – Import [ インポート ] および Export [ エクスポート ] タブ(続) フィールド 内容 – Extended Community Regular Expression [ 拡張コミュニティの正規 表現 ] — 拡張コミュニティ文字列をフィルタリングするための正規 表現を指定します。 – Address Prefix [ アドレス プレフィックス ] — ルート フィルタリン グを行うための IP アドレスまたはプレフィックスを指定します。 – MED — ルートをフィルタリングするための MED 値を指定します。 – Next Hop [ ネクストホップ ] — ルートをフィルタリングするための ネクストホップのルータまたはサブネットを指定します。 – From Peer [ 送信元ピア ] — ルートをフィルタリングするためのピア ルータを指定します。 • Action [ アクション ]: – Action [ アクション ] — 照合条件を満たしたときに実行するアクショ ン (Allow [ 許可 ] または Deny [ 拒否 ]) を指定します。 – Local Preference [ ローカル優先度 ] — アクションが Allow [ 許可 ] の場合のみ、ローカル優先メトリックを指定します。 – MED — アクションが Allow [ 許可 ] の場合のみ、MED 値を指定しま す (0 ∼ 65535)。 – Weight [ 重みづけ ] — アクションが Allow [ 許可 ] の場合のみ、重み 値を指定します (0 ∼ 65535)。 – Next Hop [ ネクストホップ ] — アクションが Allow [ 許可 ] の場合の み、ネクストホップのルータを指定します。 – Origin [元] — 基となるルートのパスタイプを指定します。IGP、EGP、 また動作設定が Allow [ 許可 ] となっている場合のみ、incomplete [ 不完全 ] から選択します。 – [AS パス制限 ] — アクションが Allow [ 許可 ] の場合のみ、AS パス 制限を指定します。 – AS Path [AS パス ] — AS パスを指定します。動作設定が Allow [ 許可 ] となっている場合のみ、AS パスに None [ なし ]、Remove [ 削除 ]、 Prepend [ プリペンド ]、Remove and Prepend [ 削除およびプリペン ド ] のいずれかを指定します。 – Community [ コミュニティ ] — コミュニティオプションを指定しま す。動作設定が Allow [ 許可 ] の場合のみ、コミュニティオプション に None [ なし ]、Remove All [ すべて削除 ]、Remove Regex [ 正規 表現の削除 ]、Append [ 付加 ]、Overwrite [ 上書き ] のいずれかを指 定します。 – Extended Community [ 拡張コミュニティ] — コミュニティオプショ ンを指定します。動作設定が Allow [ 許可 ] の場合のみ、コミュニ ティオプションに None [ なし ]、Remove All [ すべて削除 ]、Remove Regex [ 正規表現の削除 ]、Append [ 付加 ]、Overwrite [ 上書き ] の いずれかを指定します。 – Dampening [ ダンプニング ] — アクションが Allow [ 許可 ] の場合の み、ダンプニング パラメータを指定します。 グループを削除する場合は、削除( )をクリックします。選択したグ ループと同じ設定を持つ新しいグループを追加するには、Clone [ コピー ] をクリックします。コピー元のグループと区別するために、新しいグ ループ名にはサフィックスが追加されます。 202 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 仮想ルーターの設定 Conditional Adv [ 条件付き通知 ] タブの設定 Network > Virtual Router > BGP > Conditional Adv [ ࢿࢵࢺ࣮࣡ࢡ > ௬࣮ࣝࢱ࣮ > BGP > ᮲௳ࡁ㏻▱ ] 以下の表に、Conditional Adv [ 条件付き通知 ] タブの設定を示します。 表 103. BGP 設定 – Conditional Adv [ 条件付き通知 ] タブ フィールド 内容 Conditional Adv [ 条件付き通知 ] タブ BGP 条件付き通知機能では、ピアリングまたは到達の失敗を含め、ロー カル BGP ルーティング テーブル (LocRIB) で異なるルートを使用できな い場合に通知するルートを制御できます。これは、1 つの AS を別の AS より優先してルートを強制する場合に便利です。たとえば、インターネッ トに対して複数の ISP を経由するリンクがあり、優先プロバイダへの接 続が失われない限り、他のプロバイダではなく優先プロバイダにトラ フィックをルーティングする場合に効果的です。条件付き通知を使用す ると、優先ルートのプレフィックスと一致する非存在フィルタを設定で きます。非存在フィルタと一致するルートがローカル BGP ルーティング テーブルで見つからない場合にのみ、ファイアウォールは通知フィルタ で指定された代替ルート ( 他の非優先プロバイダへのルート ) の通知を許 可します。条件付き通知を設定するには、Conditional Adv [ 条件付き通知 ] タブを選択して Add [ 追加 ] をクリックします。以下の方法で、フィール ドに値を設定します。 Policy [ ポリシー ] この条件付き通知ルールのポリシー名を指定します。 Enable [ 有効化 ] BGP の条件付き通知を有効化する場合は、このボックスを選択します。 Used By [ 使用者 ] Add [ 追加 ] をクリックし、この条件付き通知ポリシーを使用するピアグ ループを選択します。 Non Exist Filters [ 非存在フィルタ ] 優先ルートのプレフィックスを指定するには、このタブを使用します。こ のタブは、ローカル BGP ルーティング テーブルで使用可能な場合に通知 するルートを指定します。プレフィックスが通知され非存在フィルタと 一致すると、通知が停止します。 Add [ 追加 ] をクリックして、非存在フィルタを作成します。 • Non Exist Filters [ 非存在フィルタ ] — このフィルタの識別に使用する 名前を指定します。 • Enable [ 有効化 ] — フィルタをアクティベーションするには、オンにし ます。 • AS-Path Regular Expression [AS パスの正規表現 ] — AS パスをフィル タリングするための正規表現を指定します。 • Community Regular Expression [ コミュニティの正規表現 ] — コミュ ニティ文字列をフィルタリングするための正規表現を指定します。 • Extended Community Regular Expression [ 拡張コミュニティの正規表 現 ] — 拡張コミュニティ文字列をフィルタリングするための正規表現 を指定します。 • MED — ルートをフィルタリングするための MED 値を指定します。 • Address Prefix [ アドレス プレフィックス ] — Add [ 追加 ] をクリック して、優先ルートの正確な NLRI プレフィックスを指定します。 • Next Hop [ネクストホップ] — ルートをフィルタリングするためのネク ストホップのルータまたはサブネットを指定します。 • From Peer [ 送信元ピア ] — ルートをフィルタリングするためのピア ルータを指定します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 203 仮想ルーターの設定 ネットワーク設定 表 103. BGP 設定 – Conditional Adv [ 条件付き通知 ] タブ(続) フィールド 内容 フィルタの通知 非存在フィルタのルートがローカル ルーティング テーブルで使用でき ない場合に通知する、ローカル RIB ルーティング テーブルのルートのプ レフィックスを指定するには、このタブを使用します。 プレフィックスが通知され非存在フィルタと一致しないと、通知が行わ れます。 Add [ 追加 ] をクリックして、通知フィルタを作成します。 • Advertise Filters [ フィルタの通知 ] — このフィルタの識別に使用する 名前を指定します。 • Enable [有効化] — フィルタをアクティベーションするには、 オンにします。 • AS-Path Regular Expression [AS パスの正規表現 ] — AS パスをフィル タリングするための正規表現を指定します。 • Community Regular Expression [ コミュニティの正規表現 ] — コミュ ニティ文字列をフィルタリングするための正規表現を指定します。 • Extended Community Regular Expression [ 拡張コミュニティの正規表 現 ] — 拡張コミュニティ文字列をフィルタリングするための正規表現 を指定します。 • MED — ルートをフィルタリングするための MED 値を指定します。 • Address Prefix [ アドレス プレフィックス ] — Add [ 追加 ] をクリック して、優先ルートを使用できない場合に通知するルートの正確な NLRI プレフィックスを指定します。 • Next Hop [ネクストホップ] — ルートをフィルタリングするためのネク ストホップのルータまたはサブネットを指定します。 • From Peer [ 送信元ピア ] — ルートをフィルタリングするためのピア ルータを指定します。 Aggregate [ 集約 ] タブの設定 Network > Virtual Router > BGP > Aggregate [ ࢿࢵࢺ࣮࣡ࢡ > ௬࣮ࣝࢱ࣮ > BGP > 㞟⣙ ] 以下の表に、Aggregate [ 集約 ] タブの設定を示します。 表 104. BGP 設定 – Aggregate [ 集約 ] タブ フィールド 内容 名前 集約設定の名前を入力します。 フィルタの抑制 一致したルートを停止する属性を定義します。 フィルタの通知 定義したフィルタに一致するルートをピアに通知する通知フィルタの属 性を定義します。 ルート属性の集約 集約されるルートを一致させるために使用する属性を定義します。 204 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 仮想ルーターの設定 Redist Rules [ ルールの再配信 ] タブの設定 Network > Virtual Router > BGP > Redist Rules [ ࢿࢵࢺ࣮࣡ࢡ > ௬࣮ࣝࢱ࣮ > BGP > ࣮ࣝࣝࡢ㓄ಙ ] 以下の表に、Redist Rules [ ルールの再配信 ] タブの設定を示します。 表 105. BGP 設定 – Redist Rules [ ルールの再配信 ] タブ フィールド 内容 名前 再配信プロファイルの名前を選択します。 デフォルトルートの再配 信を許可 ファイアウォールから BGP ピアに対するデフォルトルートの再配信を許 可する場合は、このオプションを選択します。 ルールの再配信 新しいルールを追加するには、Add [ 追加 ] をクリックし、設定を指定し て、OK をクリックします。各パラメータについては、この表の Import Rules [ ルールのインポート ]/Export Rules [ ルールのエクスポート ] タブ ( 上記 ) で説明しています。 ルールを削除する場合は、削除( )をクリックします。 IP マルチキャストの設定 Network > Virtual Router > Multicast [ ࢿࢵࢺ࣮࣡ࢡ > ௬࣮ࣝࢱ࣮ > ࣐ࣝࢳ࢟ࣕࢫࢺ ] マルチキャストプロトコルを設定する場合は、以下の標準設定を指定する必要があります。 表 106. 仮想ルーター設定 - Multicast [ マルチキャスト ] タブ フィールド 内容 有効化 マルチキャストルーティングを有効化する場合は、このオプションを選 択します。 さらに、以下のタブの設定を指定する必要があります。 • Rendezvous Point [ ランデブーポイント ]: 「Rendezvous Point [ ランデブー ポイント ] タ ブの設定」を参照してください。 • Interfaces [ インターフェイス ]: 「Interfaces [ インターフェイス ] タブの設定」を参照し てください。 • SPT Threshold [SPT しきい値 ]: 「SPT Threshold [SPT しきい値 ] タブの設定」を参照して ください。 • Source Specific Address Space [ 送信元固有のアドレススペース ]: 「Source Specific Address [ 送信元固有のアドレス スペース ] タブの設定」を参照してください。 • Advanced [ 詳細 ]: 「Advanced [ 詳細 ] タブの設定」を参照してください。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 205 仮想ルーターの設定 ネットワーク設定 Rendezvous Point [ ランデブー ポイント ] タブの設定 Network > Virtual Router > Multicast > Rendezvous Point [ ࢿࢵࢺ࣮࣡ࢡ > ௬࣮ࣝࢱ࣮ > ࣛࣥࢹࣈ࣮ ࣏ࣥࢺ ] 以下の表に、Rendezvous Point [ ランデブー ポイント ] タブの設定を示します。 表 107. マルチキャスト設定 – Rendezvous Point [ ランデブー ポイント ] タブ フィールド 内容 RP タイプ この仮想ルーターで実行するランデブー ポイント (RP) のタイプを選択 します。静的 RP は、他の PIM ルータで明示的に設定する必要がありま すが、候補 RP は自動的に選択されます。 • None [ なし ] — この仮想ルーターで実行中の RP がない場合に選択します。 • Static [ 静的 ] — RP 用のスタティック IP アドレスを指定し、ドロップ ダウンリストから RP Interface [RP インターフェイス ] および RP Address [RP アドレス ] のタイプを選択します。このグループ用に選択 した RP ではなく指定した RP を使用する場合は、Override learned RP for the same group [ 取得した同じグループの RP のオーバーライド ] を 選択します。 • Candidate [ 候補 ] — この仮想ルーターで実行中の RP 候補に以下の情 報を指定します。 – RP Interface [RP インターフェイス ] — RP のインターフェイスを選 択します。有効なインターフェイスタイプとしてループバック、L3、 VLAN、Aggregate Ethernet、およびトンネルなどが挙げられます。 – RP Address [RP アドレス ] — RP の IP アドレスを選択します。 – Priority [ 優先順位 ] — 候補 RP メッセージの優先度を指定します ( デ フォルトは 192)。 – Advertisement interval [ 通知間隔 ] — 候補 RP メッセージの通知間 隔を指定します。 • Group list [ グループ リスト ] — Static [ 静的 ] または Candidate [ 候補 ] を 選択した場合、Add [ 追加 ] をクリックし、RP の候補となるグループの リストを指定します。 リモート ランデブー ポ イント Add [ 追加 ] をクリックし、以下を指定します。 • IP address [IP アドレス ] — RP の IP アドレスを指定します。 • Override learned RP for the same group [ 取得した同じグループの RP のオーバーライド ] — このグループ用に選択した RP ではなく指定した RP を使用する場合は、このオプションを選択します。 • Group [ グループ ] — 指定したアドレスが RP として機能するグループ のリストを指定します。 Interfaces [ インターフェイス ] タブの設定 Network > Virtual Router > Multicast > Interfaces [ ࢿࢵࢺ࣮࣡ࢡ > ௬࣮ࣝࢱ࣮ > ࣐ࣝࢳ ࢟ࣕࢫࢺ > ࣥࢱ࣮ࣇ࢙ࢫ ] 以下の表に、Interfaces [ インターフェイス ] タブの設定を示します。 表 108. マルチキャスト設定 – Interfaces [ インターフェイス ] タブ フィールド 内容 名前 インターフェイス グループの識別に使用する名前を入力します。 内容 任意の説明を入力します。 インターフェイス Add [ 追加 ] をクリックして、1 つ以上のファイアウォール インターフェ イスを指定します。 206 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 仮想ルーターの設定 表 108. マルチキャスト設定 – Interfaces [ インターフェイス ] タブ(続) フィールド 内容 グループ許可 マルチキャスト トラフィックの一般ルールを指定します。 • Any Source [ すべてのソース ] — Add [ 追加 ] をクリックし、PIM-SM トラ フィックを許可するマルチキャストグループのリストを指定します。 • Source-Specific [ 送信元固有 ] — Add [ 追加 ] をクリックし、PIM-SSM トラフィックを許可するマルチキャスト グループとマルチキャスト送 信元のペアのリストを指定します。 IGMP IGMP トラフィックのルールを指定します。ホストの対向インターフェイ ス (IGMP ルータ ) または IGMP プロキシ ホストのインターフェイスで IGMP を有効にする必要があります。 • Enable [ 有効化 ] — IGMP 設定を有効にするには、このオプションを選 択にします。 • IGMP Version [IGMP バージョン ] — インターフェイスで実行するバー ジョン (1、2、または 3) を選択します。 • Enforce Router-Alert IP Option [ ルーターアラート IP オプションの適 用 ] — IGMPv2 または IGMPv3 の場合にルータアラート IP オプション を要求させる場合は、このオプションを選択します。IGMPv1 との互換 性を確保するには、このオプションを無効にする必要があります。 • Robustness [ 頑強性 ] — ネットワーク上のパケット損失を考慮するた めの整数値を選択します ( 範囲は 1 ∼ 7、デフォルトは 2) です。パケッ ト損失が頻繁に発生する場合は高い値を選択します。 • Max Sources [ 最大ソース ] — このインターフェイスで許可する送信元 特定メンバシップの最大数を指定します (0 = 無制限 )。 • Max Groups [最大グループ] — このインターフェイスで許可するグルー プの最大数を指定します。 • Query Configuration [ クエリ設定 ] — 以下を指定します。 – Query interval [ クエリ間隔 ] — 一般的なクエリをすべてのホストに 送信する間隔を指定します。 – Max Query Response Time [最大照会応答時間] — 一般的なクエリと ホストからの応答間の最大時間を指定します。 – Last Member Query Interval [ 最終メンバー照会間隔 ] — グループまた は送信元特定クエリ メッセージ ( グループからの脱退を示すメッセー ジに応答して送信されたメッセージも含む ) 間の間隔を指定します。 – Immediate Leave [すぐに終了] — 脱退メッセージを受信したときにす ぐにグループから脱退させる場合は、このオプションを選択します。 PIM © Palo Alto Networks, Inc. 以下の Protocol Independent Multicast (PIM) 設定を指定します。 • Enable [ 有効化 ] — このインターフェイスにおける PIM メッセージの 受信や転送を許可する場合は、このオプションを選択にします。 • Assert Interval [ アサート間隔 ] — PIM アサート メッセージ間の間隔を 指定します。 • Hello Interval [Hello 間隔 ] — PIM hello メッセージ間の間隔を指定し ます。 • Join Prune Interval [Join Prune 間隔 ] — PIM join および prune メッ セージ間の間隔を指定します ( 秒 )。デフォルトは 60 です。 • DR Priority [DR 優先順位 ] — このインターフェイスの指名ルータの優 先度を指定します。 • BSR Border [BSR ボーダー] — インターフェイスをブートストラップ境 界として使用する場合は、このオプションを選択します。 • PIM Neighbors [PIM ネイバー ] — Add [ 追加 ] をクリックし、PIM を使 用して通信するネイバーのリストを指定します。 Web インターフェイス リファレンス ガイド、バージョン 7.1 • 207 仮想ルーターの設定 ネットワーク設定 SPT Threshold [SPT しきい値 ] タブの設定 Network > Virtual Router > Multicast > SPT Threshold [ ࢿࢵࢺ࣮࣡ࢡ > ௬࣮ࣝࢱ࣮ > SPT ࡋࡁ࠸್ ] 以下の表に、SPT Threshold [SPT しきい値 ] タブの設定を示します。 表 109. マルチキャスト設定 – SPT Threshold [SPT しきい値 ] タブ フィールド 内容 名前 最短パス ツリー (SPT) のしきい値では、マルチキャスト ルーティングで 共有ツリー配信 (ランデブー ポイントが送信元) から送信元ツリー配信に 切り替えるスループット速度 (kbps) を定義します。 Add [ 追加 ] をクリックし、以下の SPT 設定を指定します。 • Multicast Group Prefix [ マルチキャスト グループ / プレフィックス ] — スループットが該当のしきい値 (kbps) に達したときに SPT が送信元ツ リー配信に切り替わるマルチキャスト IP アドレス / プレフィックスを 指定します。 • Threshold [ しきい値 ] — 共有ツリー配信から送信元ツリー配信に切り 替わるスループットを指定します。 Source Specific Address [ 送信元固有のアドレス スペース ] タブの設定 Network > Virtual Router > Multicast > Source Specific Address Space [ ࢿࢵࢺ࣮࣡ࢡ > ௬ ࣮ࣝࢱ࣮ > ࣐ࣝࢳ࢟ࣕࢫࢺ > ㏦ಙඖᅛ᭷ࡢࢻࣞࢫ ࢫ࣮࣌ࢫ ] 以下の表に、Source Specific Address Space [ 送信元固有のアドレス スペース ] タブの設定を示 します。 表 110. マルチキャスト設定 – Source Specific Address Space [ 送信元固有のアドレス スペース ] タブ フィールド 内容 名前 ファイアウォールで送信元特定マルチキャスト (SSM) サービスを提供す るマルチキャスト グループを定義します。 Add [ 追加 ] をクリックし、送信元特定アドレスの以下の設定を指定しま す。 • Name [ 名前 ] — この設定のグループの識別に使用する名前を入力しま す。 • Group [ グループ ] — SSM アドレス空間のグループを指定します。 • Included [ 含める ] — 特定のグループを SSM アドレス空間に含める場 合は、このオプションを選択します。 208 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 仮想ルーターの設定 Advanced [ 詳細 ] タブの設定 Network > Virtual Router > Multicast > Advanced [ ࢿࢵࢺ࣮࣡ࢡ > ௬࣮ࣝࢱ࣮ > ࣐ࣝࢳ ࢟ࣕࢫࢺ > ヲ⣽ ] 以下の表に、Advanced [ 詳細 ] タブの設定を示します。 表 111. マルチキャスト設定 - Advanced [ 詳細 ] タブ フィールド 内容 ルートのエイジアウト秒 数 セッション終了後にマルチキャストルートがルーティングテーブルに残 る秒数を設定することができます(範囲は 210 ∼ 7200、デフォルトは 210)。 ECMP の設定 Network > Virtual Routers > Router Settings > ECMP [ ࢿࢵࢺ࣮࣡ࢡ > ௬࣮ࣝࢱ࣮ > ࣮ࣝࢱ࣮タᐃ > ECMP] 探している情報 以下を参照 ECMP とは? ࠕECMP ࡢᴫせࠖ ECMP を設定する際に設定可能 なフィールドは? ࠕECMP ࡢᵓᡂせ⣲ࠖ その他の情報をお探しで すか? ECMP ECMP の概要 ECMP (Equal Cost Multiple Path) 処理はネットワーキング機能の一つで、これを使用すると ファイアウォールは、同じ宛先に対する等コストのルートを最大 4 つ使用できます。この機 能を使用しないときに、同じ宛先に対する等コストのルートが複数ある場合、仮想ルーター は、それらのルートのいずれかをルーティング テーブルから選択し、その転送テーブルに追 加します。選択したルートが使用不能でない限り、他のルートは使用しません。仮想ルーター で ECMP 機能を有効にすると、ファイアウォールは、宛先に対する等コストのパスをその転 送テーブル内に最大 4 つ持つことができ、以下のことが可能になります。 • 同じ宛先に対するフロー ( セッション ) を複数の等コストのリンクで負荷分散する。 • 一部のリンクを未使用のままにせず、同じ宛先に対する複数のリンクで使用可能な帯域 幅を利用する。 • リンクに障害が発生した場合、ルーティング プロトコルまたは RIB テーブルが代替パスを 選択するのを待たずに、トラフィックを別の ECMP メンバー経由で同じ宛先に動的に移動 する。これは、リンクに障害が発生したときにダウン タイムを削減するのに役立ちます。 ECMP 負荷分散は、パケット レベルではなく、セッション レベルで実行されます。つまり、 ファイアウォールは、パケットを受信するたびではなく、新規セッションの開始時に等コス トのパスを選択します。 既存の仮想ルーターで ECMP を有効化、無効化、または変更する場合、ルー ターはシステムに対し仮想ルーターを再起動させるため、既存のセッショ ンが強制終了される恐れがあります。 仮想ルーターの ECMP を設定する場合は、仮想ルーターを選択し、Router Settings [ ルーター 設定 ] で ECMP タブを選択した後、以下を設定します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 209 仮想ルーターの設定 ネットワーク設定 ECMP の構成要素 Network > Virtual Routers > Router Settings > ECMP [ ࢿࢵࢺ࣮࣡ࢡ > ௬࣮ࣝࢱ࣮ > ࣮ࣝࢱ࣮タᐃ > ECMP] 表 112. ECMP の設定 フィールド 設定場所 内容 有効化 ECMP Enable [ 有効化 ] をクリックすると、ECMP が有効になります。 注:ECMP を有効、無効にしたり、変更したりするには、ファイアウォー ルを再起動する必要があります。これにより、セッションが終了する場合 があります。 対称リターン ECMP (任意)Symmetric Return [ 対称リターン ] を選択すると、関連付けられた 入力パケットが到着した際と同じインターフェイスから戻りパケットが出 力されます。つまり、ファイアウォールは、ECMP インターフェイスでは なく、戻りパケットを送信する入力インターフェイスを使用します。その ため、負荷分散は、Symmetric Return [ 対称リターン ] の設定でオーバー ライドされます。この動作は、トラフィック フローがサーバーからクライ アントに移動する場合にのみ実行されます。 最大パス ECMP RIB から FIB にコピーできる、宛先ネットワークに対する等コストのパスの 最大数 (2、3、または 4) を選択します。デフォルトは 2 です。 メソッド ECMP 仮想ルーターで使用する ECMP 負荷分散アルゴリズムを以下から 1 つ選択 します。ECMP 負荷分散は、パケット レベルではなく、セッション レベル で実行されます。つまり、ファイアウォール (ECMP) は、パケットを受信 するたびではなく、新規セッションの開始時に等コストのパスを選択しま す。 • IP モジュロ — デフォルトでは、仮想ルーターは、このオプションを使用 してセッションを負荷分散します。このオプションでは、パケット ヘッ ダーの送信元および宛先 IP アドレスのハッシュを使用して、使用する ECMP ルートを決定します。 • IP Hash [IP ハッシュ ] — 送信元および宛先 IP アドレスに加えて、ポート をハッシュ計算に含めるには、Use Source/Destination Ports [ 送信元 / 宛 先ポートの使用 ] をクリックします ( 任意 )。負荷分散をさらにランダム 化するために、Hash Seed [ ハッシュ シード ] 値 ( 整数 ) を入力すること もできます。 • Weighted Round Robin [ 重み付きラウンド ロビン ] — このアルゴリズム を使用すると、さまざまなリンクの容量や速度を考慮できます。このアル ゴリズムを選択すると、Interface [ インターフェイス ] ウィンドウが開き ます。Add [ 追加 ] をクリックし、重み付きラウンド ロビン グループに含 める Interface [ インターフェイス ] を選択します。インターフェイスごと に、使用する Weight [ 重み ] を入力します。Weight [ 重み ] は、デフォル トで 100 に設定されています。重みの範囲は 1 ∼ 255 です。特定の等コス トのパスの重みが大きくなるほど、その等コストのパスが新規セッション で選択される頻度が高くなります。高速のリンクには、低速のリンクより も大きな重みを与える必要があります。これにより、一層多くの ECMP トラフィックが高速のリンクを通過するようになります。別のインター フェイスと重みを追加するには、Add [ 追加 ] を再びクリックします。 • Balanced Round Robin [ 均等ラウンド ロビン ] — 受信 ECMP セッション をリンク全体に均等に分散します。 210 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 仮想ルーターの設定 仮想ルーターの詳細ランタイム状態 仮想ルーターの一部を設定すると、Network > Virtual Routers [ ネットワーク > 仮想ルーター ] ページの最後の列にある ヲ⣽ࣛࣥࢱ࣒≧ែ をクリックすることで、特定の仮想ルーターの 情報を参照できます。このウィンドウには、以下のタブが表示されます。 • Routing [ ルーティング ]:「Routing [ ルーティング ] タブ」を参照してください。 • RIP: 「RIP タブ」を参照してください。 • BGP: 「BGP タブ」を参照してください。 • Multicast [ マルチキャスト ]: 「Multicast [ マルチキャスト ] タブ」を参照してください。 Routing [ ルーティング ] タブ 以下の表は、仮想ルーターのルーティングのランタイム状態を示しています。 表 113. ルーティングのランタイム状態 フィールド 内容 宛先 仮想ルータが到達できるネットワークの IPv4 アドレスおよびネットマスクま たは IPv6 アドレスおよびプレフィックス長。 ネクストホップ 宛先ネットワーク方向のネクストホップにあるデバイスの IP アドレス。ネク ストホップが 0.0.0.0 の場合は、デフォルトルートを表します。 メトリック ルートのメトリック。 フラグ • A?B — アクティブかつ、RIP 経由で学習したもの。 • A C — アクティブかつ、接続済み内部インターフェイス ) の結果 — 宛 先 = ネットワーク。 • A H — アクティブかつ、内部インターフェイス ( 接続済み ) の結果 — • • • • • • • 宛先 = ホストのみ。 A R — アクティブかつ、RIP 経由で学習したもの。 A S — アクティブかつ、スタティック。 S — 非アクティブ(このルートがより高いメトリックを持っているた め)かつ、スタティック。 O1 — OSPF 外部タイプ -1。 O2 — OSPF 外部タイプ -2。 Oi — OSPF エリア内。 Oo — OSPF エリア間。 エイジ ルーティング テーブルのルート エントリのエイジ。スタティック ルートに は、エイジはありません。 インターフェイス ネクストホップに到達するために使用される仮想ルーターの出力インター フェイス。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 211 仮想ルーターの設定 ネットワーク設定 RIP タブ 以下の表は、仮想ルーターの RIP のランタイム状態を示しています。 表 114. RIP のランタイム状態 フィールド 内容 Summary [ サマリー ] タブ 間隔(秒) 間隔の秒数。この値は、更新、失効、および削除の間隔に影響を与えます。 更新間隔 仮想ルーターがピアに送信する RIP ルート通知更新間の間隔数。 失効の間隔 仮想ルーターがピアから受信した最後の更新以降の間隔数で、この間隔数を過 ぎると、仮想ルーターは、ピアからのルートを使用不可としてマークします。 削除間隔 ルートが使用不可としてマークされた後の間隔数で、この間隔数までに更新を 受信しない場合は、そのルートがルーティング テーブルから削除されます。 Interface [ インターフェイス ] タブ アドレス RIP が有効な仮想ルーターのインターフェイスの IP アドレス。 認証タイプ 認証のタイプ。simple password [ 簡易パスワード ]、MD5、または none [ な し ] があります。 送信許可 チェック マークが付いている場合、このインターフェイスは、RIP パケット の送信が許可されています。 受信許可 チェック マークが付いている場合、このインターフェイスは、RIP パケット の受信が許可されています。 デフォルトルート の通知 チェックマークが付いている場合、RIP は、デフォルトルートをピアに通知し ます。 デフォルトルート メトリック デフォルトルートに割り当てられたメトリック ( ホップ数 )。メトリック値が 低いほど、ルーティング テーブルでの優先度が高くなり、優先パスとして選 択されやすくなります。 キー ID ピアに対して使用される認証キー。 優先 認証の優先キー。 Peer [ ピア ] タブ ピア アドレス 仮想ルーターの RIP インターフェイスに対するピアの IP アドレス。 最終更新 このピアから最終更新を受信した日時。 RIP バージョン ピアが実行している RIP バージョン。 無効なパケット このピアから受信した無効なパケット数。ファイアウォールが RIP パケット を解析できない理由として、ルート境界を x バイト超えた、パケット内のルー ト数が多すぎる、サブネットが不適切、アドレスが無効、認証が失敗した、メ モリが不十分などが考えられます。 無効なルーター このピアから受信した無効なルート数。原因として、ルートが無効、インポー トが失敗した、メモリが不十分などが考えられます。 212 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 仮想ルーターの設定 BGP タブ 以下の表は、仮想ルーターの BGP のランタイム状態を示しています。 表 115. BGP のランタイム状態 フィールド 内容 Summary [ サマリー ] タブ ルーター ID BGP インスタンスに割り当てられたルーター ID。 デフォルトルート の拒否 Reject Default Route [ デフォルトルートの拒否 ] オプションが設定されている かどうかを示します。このオプションを設定すると、仮想ルーターは、BGP ピアが通知したデフォルトルートをすべて無視します。 デフォルトルート の再配信 Allow Redistribute Default Route [ デフォルトルートの再配信を許可 ] オプ ションが設定されているかどうかを示します。 ルートのインス トール Install Route [ ルートのインストール ] オプションが設定されているかどうか を示します。このオプションを設定すると、仮想ルーターは、グローバル ルー ティング テーブルに BGP ルートをインストールします。 グレースフル リス タート Graceful Restart [ グレースフル リスタート ] が有効かどうかを示します ( サ ポート )。 AS サイズ 選択されている AS フォーマット サイズが 2 バイトと 4 バイトのいずれであ るのかを示します。 ローカル AS 仮想ルーターが属する AS の番号。 ローカルメンバー AS ローカルメンバー AS の番号 ( 仮想ルーターがコンフェデレーションに含まれ ている場合にのみ有効 )。仮想ルーターがコンフェデレーションに含まれてい ない場合、このフィールドは 0 です。 クラスタ ID 設定済みの リフレクタ クラスタ ID が表示されます。 デフォルトのロー カル設定 仮想ルーターに設定されたデフォルト ローカル設定が表示されます。 常に MED を比較 Always Compare MED [ 常に MED を比較 ] オプションが設定されているかど うかを示します。このオプションを設定すると、比較が有効になり、別の AS 内のネイバーから受け取ったルートの中からルートを選択できます。 MED に関係なく集 約 Aggregate MED [MED の集約 ] オプションが設定されているかどうかを示し ます。このオプションを設定すると、ルートの MED 値が異なる場合でも、 ルート集約が有効になります。 決 定 論 的 MED 処 理 Deterministic MED [ 決定論的 MED 比較 ] オプションが設定されているかど うかを示します。このオプションを設定すると、比較が有効になり、IBGP ピ ア ( 同じ AS 内の BGP ピア ) から通知されたルートの中からルートを選択でき ます。 現 在 の RIB 出 力 エ ントリ RIB 出力テーブルのエントリ数。 ピ ー ク RIB 出 力 エ ントリ 任意の一時点で割り当てられた 隣接 RIB 出力ルートのピーク数。 Peer [ ピア ] タブ 名前 ピアの名前。 グループ このピアが属するピア グループの名前。 ローカル IP 仮想ルーターの BGP インターフェイスの IP アドレス。 ピア IP ピアの IP アドレス。 ピア AS ピアが属している AS。 パスワード セット 認証が設定されているかどうかが [ はい ] または [ いいえ ] で示されます。 ステータス Active [ アクティブ ]、Connect [ 接続 ]、Established [ 確立済み ]、Idle [ 待機 中 ]、OpenConfirm、OpenSent など、ピアの状態を示します。 状態の期間 ( 秒 ) ピアの状態の持続時間。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 213 仮想ルーターの設定 ネットワーク設定 表 115. BGP のランタイム状態(続) フィールド 内容 Peer Group [ ピアグループ ] タブ グループ名 ピア グループの名前。 タイプ 設定されたピア グループのタイプ (EBGP や IBGP など )。 コンフェデレー ションの集約 AS Aggregate Confederation AS [ コンフェデレーション AS の集約 ] オプション が設定されているかどうかが [ はい ] または [ いいえ ] で示されます。 ソフト リセット サ ポート ピア グループでソフト リセットがサポートされているかどうかが [ はい ] ま たは [ いいえ ] で示されます。BGP ピアに対するルーティング ポリシーが変 更されると、ルーティング テーブルの更新に影響が及ぶ場合があります。BGP セッションに対しては、ハード リセットよりもソフト リセットが優先されま す。これは、ソフト リセットでは、BGP セッションをクリアせずにルーティ ング テーブルを更新できるからです。 ネクストホップセ ルフ このオプションが設定されているかどうかが [ はい ] または [ いいえ ] で示さ れます。 次のホップ サード パーティ このオプションが設定されているかどうかが [ はい ] または [ いいえ ] で示さ れます。 プライベート AS の 削除 更新が送信される前に、プライベート AS 番号が AS_PATH 属性から削除され るかどうかを示します。 Local RIB [ ローカル RIB] タブ プレフィックス ローカル RIB (Routing Information Base) のネットワーク プレフィックスお よびサブネット マスク。 フラグ * は、ルートが最良の BGP ルートとして選択されたことを示します。 ネクストホップ プレフィックス方向のネクストホップの IP アドレス。 ピア ピアの名前。 重み プレフィックスに割り当てられた重み属性。ファイアウォールが同じプレ フィックスへのルートを複数持っている場合は、重みが最も大きいルートが IP ルーティング テーブルにインストールされます。 ローカル設定 . ルートのローカル設定属性。これは、出口が複数ある場合、プレフィックス方 向の出口を選択するために使用されます。低いローカル設定よりも高いローカ ル設定が優先されます。 AS パス プレフィックス ネットワークへのパス内の AS のリスト。このリストは、BGP 更新で通知されます。 元 MED プレフィックスの元属性。BGP はどのようにルートについて学習したか。 フラップ数 ルートの MED (Multi-Exit Discriminator) 属性。MED は、ルートのメトリッ ク属性です。これは、ルートを通知する AS によって、外部 AS に提案されま す。高い MED よりも低い MED が優先されます。 ルートのフラップの数。 RIB Out [RIB アウト ] タブ プレフィックス RIB (Routing Information Base) のネットワーク ルーティング エントリ。 ネクストホップ プレフィックス方向のネクストホップの IP アドレス。 ピア 仮想ルーターがこのルートを通知するピア。 ローカル設定 . プレフィックスにアクセスためのローカル設定属性。これは、出口が複数ある 場合、プレフィックス方向の出口を選択するために使用されます。低いローカ ル設定よりも高いローカル設定が優先されます。 AS パス プレフィックス ネットワークへのパス内の AS のリスト。 元 MED プレフィックスの元属性。BGP はどのようにルートについて学習したか。 プレフィックスに対する MED (Multi-Exit Discriminator) 属性。MED は、ルー トのメトリック属性です。これは、ルートを通知する AS によって、外部 AS に提案されます。高い MED よりも低い MED が優先されます。 高度なステータス ルートの通知状態。 集約ステータス このルートが他のルートと集約されるかどうかを示します。 214 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 仮想ルーターの設定 Multicast [ マルチキャスト ] タブ 以下の表は、仮想ルーターの IP マルチキャストのランタイム状態を示しています。 表 116. マルチキャストのランタイム状態 フィールド FIB タブ 内容 グループ 仮想ルーターが転送するマルチキャスト グループ アドレス。 送信元 マルチキャスト送信元アドレス。 受信インターフェ イス マルチキャスト トラフィックを受信する仮想ルーターのインターフェイスを 示します。 IGMP Interface [IGMP インターフェイス ] タブ インターフェイス IGMP が有効になっているインターフェイス。 バージョン IGMP (Internet Group Management Protocol) のバージョン 1、2、または 3。 クエリ実行者 そのインターフェイスに対する IGMP クエリ実行者の IP アドレス。 クエリ実行者の アップ タイム IGMP クエリ実行者がアップしている時間の長さ。 クエリ実行者の失 効時間 現在の他のクエリ実行者の現行タイマーが期限切れになるまでの残り時間。 頑強性 IGMP インターフェイスの頑強性 グループ制限 インターフェイスで許可されたマルチキャスト グループの数。 送信元制限 インターフェイスで許可されたマルチキャスト送信元の数。 すぐに終了 Immediate Leave [ すぐに終了 ] が設定されているかどうかが [ はい ] または [ いいえ ] で示されます。Immediate Leave [ すぐに終了 ] を設定すると、イン ターフェイスに IGMP グループ固有のクエリを送信せずに、仮想ルーターが 転送テーブルからインターフェイスを削除します。 IGMP Membership [IGMP メンバーシップ ] タブ インターフェイス メンバーシップが属するインターフェイスの名前。 グループ IP マルチキャスト グループ アドレス。 送信元 マルチキャスト トラフィックの送信元アドレス。 アップ タイム メンバーシップがアップしている時間の長さ。 失効時間 メンバーシップが失効するまでの残り時間の長さ。 フィルタ モード 送信元を許可するか除外します。仮想ルーターを設定し、すべてのトラフィッ クを許可する、この送信元 ( 許可 ) からのトラフィックのみを許可する、また はこの送信元 ( 除外 ) を除くすべての送信元からのトラフィックを含めるよう にします。 有効期限の除外 インターフェイスの除外状態が期限切れになるまでの残り時間。 V1 ホスト タイマー インターフェイスに接続された IP サブネットに IGMP バージョン 1 メンバー が存在しないとローカル ルーターが想定するまでの残り時間。 V2 ホスト タイマー インターフェイスに接続された IP サブネットに IGMP バージョン 2 メンバー が存在しないとローカル ルーターが想定するまでの残り時間。 PIM Group Mapping [PIM グループマッピング ] タブ グループ RP ランデブー ポイントにマップされたグループの IP アドレス。 グループのランデブー ポイントの IP アドレス。 元 どこで仮想ルーターが RP について学習したかを示します。 PIM モード [ASM] または [SSM]。 非アクティブ グループから RP へのマッピングが非アクティブであることを示します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 215 セキュリティ ゾーンの定義 ネットワーク設定 表 116. マルチキャストのランタイム状態(続) フィールド 内容 PIM Interface [PIM インターフェイス ] タブ インターフェイス PIM に参加しているインターフェイスの名前。 アドレス DR インターフェイスの IP アドレス。 Hello 間隔 設定されている Hello 間隔 ( 秒 ) 結合 / プルーニング 間隔 設定されている結合 / プルーニング間隔 ( 秒 ) アサート間隔 設定されているアサート間隔 ( 秒 ) DR 優先順位 指定ルーターに設定されている優先順位。 BSR ボーダー Yes [ はい ] または no [ いいえ ]。 インターフェイスの指定ルーターの IP アドレス。 PIM Neighbor [PIM ネイバー ] タブ インターフェイス 仮想ルーターのインターフェイスの名前。 アドレス ネイバーの IP アドレス。 セカンダリ アドレ ス ネイバーのセカンダリ IP アドレス。 アップ タイム ネイバーがアップしている時間の長さ。 失効時間 仮想ルーターがネイバーから hello パケットを受信していないためにそのネ イバーが期限切れになるまでの残り時間の長さ。 生成 ID 仮想ルーターがこのインターフェイスでネイバーから受信した最後の PIM hello メッセージの値。 DR 優先順位 このネイバーからの最後の PIM hello メッセージで仮想ルーターが受信した 指定ルーターの優先順位。 セキュリティ ゾーンの定義 Network > Zones 㹙ࢿࢵࢺ࣮࣡ࢡ > ࢰ࣮ࣥ㹛 探している情報 以下を参照 セキュリティーゾーンの目的と は? ࠕࢭ࢟ࣗࣜࢸࢰ࣮ࣥࡢᴫせࠖ セキュリティゾーンの作成時に 使用可能なフィールドは? ࠕࢭ࢟ࣗࣜࢸࢰ࣮ࣥࡢᵓᡂせ⣲ࠖ その他の情報をお探しで すか? インターフェイスやゾーンを用いたネットワークの セグメント化 216 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 セキュリティ ゾーンの定義 セキュリティゾーンの概要 ファイアウォールの物理インターフェイスと仮想インターフェイスをグループ化し、これら のインターフェイスを通じてネットワークを通過するトラフィックをコントロールし、ログ の記録を行う場合、セキュリティーゾーンはとても合理的な手段となります。ファイアウォー ルのインターフェースでトラフィックの処理を行う場合は、インターフェースをいずれかの セキュリティゾーンに割り当てる必要があります。ゾーンには同じタイプの複数のインター フェイスを割り当てることができますが(タップ、レイヤー 2、またはレイヤー 3 インター フェイスなど)、各インターフェイスは 1 つのゾーンにのみ属することができます。 ファイアウォールのポリシールールは、セキュリティーゾーンを使用してトラフィックの送 信元と宛先を識別します。トラフィックはゾーン内を自由に移動することができますが、異 なるゾーン間の移動については、それを許可するセキュリティポリシールールが定義されな い限り移動できません。ゾーン間のトラフィックを許可または拒否する場合、セキュリティ ポリシールールはそれぞれのインターフェイスではなく送信元ゾーンと宛先ゾーンを参照す る必要があります。ゾーンは同じタイプのものである必要があり、すなわちセキュリティポ リシールールはあるレイヤー 2 ゾーンから別のレイヤー 2 ゾーンへの許可または拒否のみを 行うことができます。 セキュリティゾーンの構成要素 セキュリティゾーンを定義するには、Add [ 追加 ] をクリックし、以下の情報を指定します。 表 117. セキュリティ ゾーン設定 フィールド 設定場所 内容 名前 Network > Zones [ ネット ワーク > ゾーン ] ゾーン名(最大 31 文字)を入力します。この名前は、セキュリティポリ シーの定義時とインターフェイスの設定時にゾーンのリストに表示されま す。名前の大文字と小文字は区別されます。また、仮想ルーター内で一意 の名前にする必要があります。文字、数字、スペース、ハイフン、ピリオ ド、およびアンダースコアのみを使用してください。 場所 Network > Zones [ ネット ワーク > ゾーン ] Network > Zones [ ネット ワーク > ゾーン ] このフィールドは、ファイアウォールが複数の仮想システム (vsys) をサ ポートし、その機能が有効な場合にのみ表示されます。このゾーンが適用 されている vsys を選択してください。 タイプ © Palo Alto Networks, Inc. ゾーンタイプ (Virtual Wire [ バーチャルワイヤー ]、Layer2 [ レイヤー 2]、 Layer3 [ レイヤー 3]、または External [ 外部 ] のいずれか ) を選択し、その タイプの内まだゾーンに割り当てられていない Interfaces [ インターフェイ ス ] をすべて表示します。Layer 2 [ レイヤー 2] および Layer 3 [ レイヤー 3] ゾーン タイプでは、該当タイプの イーサネットインターフェイスとサブイ ンターフェイスがすべて表示されます。ゾーンに割り当てたいインター フェイスを Add [ 追加 ] します。 1 つのファイアウォール上の、複数の仮想システム間のトラフィックをコン トロールする場合に外部ゾーンを使用します。複数の仮想システムをサ ポートするファイアウォールで、Multi Virtual System Capability [ マルチ仮 想システム機能 ] が有効化されている場合のみ表示されます。外部ゾーンに 関する詳細については、ファイアウォール内に残る VSYS 間トラフィックを 参照してください。 インターフェイスは、1 つの仮想システムの 1 つのゾーンにのみ属すること ができます。 Web インターフェイス リファレンス ガイド、バージョン 7.1 • 217 セキュリティ ゾーンの定義 ネットワーク設定 表 117. セキュリティ ゾーン設定 (続) フィールド 設定場所 NSX 用のサービ スプロファイル ゾーン Network > (VM-Series NSX エディションファイアウォールのみ)VM-Series NSX エ ディションファイアウォールのデプロイにしようされているテンプレート Zones [ ネット ワーク > ゾーン ] 内に、1 つ以上のゾーンを作成する場合、Panorama でこのオプションを選 択します。 このオプションを選択すると、Panorama は、バーチャルワイヤー内に設定 された 1 対のサブインターフェイスを自動的に生成し、テンプレートに含 まれる VM-Series ファイアウォールに対しこのペアをプッシュします。 Panorama コミットにおいて、このゾーンは NSX Manager のサービスプロ ファイルとして使用可能になります。NSX Manager ユーザーインタフェイ スのサービスプロファイルを使用し、トラフィックをこのゾーンに設定さ れている VM-Series ファイアウォールへリダイレクトさせることができま す。 Service Profile Zone for NSX [NSX 用のサービスプロファイルゾーン ] を選 択する際は、テンプレートのドロップダウンリストから正しいテンプレー トを選択するよう注意してください。テンプレート名は VMware サービス 定義で指定したものと一致させる必要があります(Panorama > VMware Service Manager [Panorama > VMware サービスマネージャー ])。 注:自動的に作成されたバーチャルワイヤーのサブインターフェイスは、 VM-Series ファイアウォールや Panorama の Network >Interfaces [ ネット ワーク > インターフェイス ] の一覧には表示されません。 内容 Service Profile Zone for NSX [NSX 用のサービスプロファイルゾーン ] のイ ンターフェイスを手動で選択したり、手動で割り当てを行うことはできま せん。Panorama は、バーチャルワイヤー内に設定された 1 対のサブインター フェイスを生成し、そのペアをゾーンに割り当てます。 ポリシーを適用する場合は、Panorama のセキュリティポリシーのプレルー ルに定められた送信元ゾーンおよび宛先ゾーンと同じゾーン名を使用する 必要があります。詳細については、VM-Series NSX エディションのファイ アウォールの設定を参照してください。 インターフェイ ス ゾーンプロテク ションプロファ イル ログ設定 Network > Zones [ ネット ワーク > ゾーン ] Network > Zones [ ネット ワーク > ゾーン ] このゾーンに 1 つ以上のインターフェイスを追加します。 Network > Zones [ ネット ワーク > ゾーン ] ゾーン プロテクション ログを外部システムに転送するためのログ転送プロ ファイルを選択します。 デフォルトと指定されたログ転送プロファイルがある場合は、新しいセ キュリティ ゾーンを定義するときに、このフィールドにこのプロファイル が自動的に選択されます。続けて新しいセキュリティ ゾーンを定義すると きに別のログ転送プロファイルを選択すれば、このデフォルト設定をいつ でもオーバーライドできます。新しいログ転送プロファイルを定義または 追加する ( およびプロファイルをデフォルトに指定してこのフィールドに 自動入力されるようにする ) には、New [ 新規 ] をクリックします (「ログ の転送」を参照 )。 セキュリティ ゲートウェイがこのゾーンからの攻撃に対応する方法を指定 したプロファイルを選択します。( 新しいプロファイルを定義する方法につ いては、 「ゾーン プロテクション プロファイルの定義」を参照してくださ い )。 218 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 セキュリティ ゾーンの定義 表 117. セキュリティ ゾーン設定 (続) フィールド 設定場所 内容 User-ID の有効 化 Network > Zones [ ネット ワーク > ゾーン ] IP アドレスからユーザー名へのマッピング(検出)を行うように User-ID™ を設定した場合は、このオプションを選択して、マッピング情報をこのゾー ンのトラフィックに適用します。このオプションを無効にした場合、ゾー ン内のトラフィックのユーザーマッピング情報がファイアウォール ログ、 レポート、およびポリシーから除外されます。 デフォルト設定では、このオプションを選択した場合、ファイアウォール は、ゾーンのすべてのサブネットワークのトラフィックにユーザーマッピ ング情報を適用します。情報の適用先をゾーン内の特定のサブネットワー クに制限するには、Include List [ 許可リスト ] と Exclude List [ 除外リスト ] を使用します。 注:User-ID がゾーンに対して検出を実行するのは、User-ID がモニターす るネットワーク範囲内にゾーンが含まれる場合に限られます。ゾーンがこ の範囲に含まれていない場合、たとえ Enable User Identification [ ユーザー ID の有効化 ] を選択しても、ファイアウォールはユーザーマッピング情報 をゾーンのトラフィックに適用しません。詳細は、 「ユーザーマッピングに 許可 / 除外するサブネットワークの定義」を参照してください。 ユーザー ID ACL 許可リスト Network > Zones [ ネット ワーク > ゾーン ] デフォルトでは、このリストでサブネットワークを指定しない場合、ファ イアウォールは、ログ、レポート、およびポリシーで使用するために、検 出したユーザー マッピング情報をゾーンのすべてのトラフィックに適用し ます。 ユーザー マッピング情報の適用先をゾーン内の特定のサブネットワークに 制限するには、サブネットワークごとに Add [ 追加 ] をクリックし、アドレ ス ( またはアドレス グループ ) オブジェクトを選択するか、IP アドレス範 囲 (10.1.1.1/24 など ) を入力します。他のすべてのサブネットワークの除外 は暗黙的に行われます。Exclude List [ 除外リスト ] に追加する必要はあり ません。 Exclude List [ 除外リスト ] にエントリを追加するのは、Include List [ 許可リ スト ] の一部のサブネットワークのユーザー マッピング情報を除外する場合 のみです。 たとえば、 Include List [ 許可リスト ] に 10.0.0.0/8 を追加し、 Exclude List [ 除外リスト ] に 10.2.50.0/22 を追加した場合、ファイアウォールは、 10.2.50.0/22 を除く、10.0.0.0/8 のずべてのゾーン サブネットワークのユーザー マッピング情報を許可し、10.0.0.0/8 の外部のすべてのゾーン サブネットワー クの情報を除外します。 User-ID がモニターするネットワーク範囲に含まれる サブネットワークのみを許可できます。詳細は、 「ユーザーマッピングに許可 / 除外するサブネットワークの定義」を参照してください。 ユーザー ID ACL 除外リスト Network > Zones [ ネット ワーク > ゾーン ] Include List [ 許可リスト ] の一部のサブネットワークのユーザー マッピン グ情報を除外するには、除外するサブネットワークごとに Add [ 追加 ] をク リックし、アドレス ( またはアドレス グループ ) オブジェクトを選択する か、IP アドレス範囲を入力します。 注:Exclude List [ 除外リスト ] にエントリを追加したが、Include List [ 許 可リスト ] にはエントリを追加しない場合、ファイアウォールは、追加した サブネットワークだけではなく、ゾーン内のすべてのサブネットワークの ユーザー マッピング情報を除外します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 219 VLAN サポートの設定 ネットワーク設定 VLAN サポートの設定 Network > VLANs [ ࢿࢵࢺ࣮࣡ࢡ > VLAN] このファイアウォールでは、IEEE 802.1Q 標準に準拠する VLAN がサポートされています。 ファイアウォールに定義されたレイヤー 2 インターフェイスはそれぞれ VLAN に関連付ける 必要があります。同じ VLAN を複数のレイヤー 2 インターフェイスに割り当てることができ ますが、各インターフェイスは 1 つの VLAN にのみ属することができます。 表 118. VLAN 設定 フィールド 内容 名前 VLAN 名 ( 最大 31 文字 ) を入力します。この名前は、インターフェイス を設定するときに VLAN のリストに表示されます。名前の大文字と小文 字は区別されます。また、一意の名前にする必要があります。文字、数 字、スペース、ハイフン、およびアンダースコアのみを使用してください。 VLAN インターフェイ ス トラフィックを VLAN の外部にルーティングできるようにするには、 VLAN インターフェイスを選択します。VLAN インターフェイスを定義す る方法については、 「VLAN インターフェイスの設定」を参照してください。 インターフェイス VLAN のファイアウォール インターフェイスを指定します。 スタティック MAC 設定 MAC アドレスが到達するために経由する必要のあるインターフェイス を指定します。これは、学習したインターフェイス対 MAC のマッピング よりも優先されます。 DHCP の設定 DHCP (Dynamic Host Configuration Protocol) は、TCP/IP およびリンク レイヤーの設定パラ メータを提供し、また TCP/IP ネットワーク上で動的に設定されたホストにネットワーク ア ドレスを提供する標準プロトコルです。Palo Alto Networks ファイアウォールのインター フェイスは、DHCP サーバー、クライアント、またはリレー エージェントとして機能できま す。これらの役割を別々のインターフェイスに割り当てることで、ファイアウォールは複数 の役割を果たすことができます。 探している情報 以下を参照 DHCP について。 ࠕDHCP ࡢᴫせࠖ DHCP サーバーがアドレスを割り当てる 方法。 ࠕDHCP ࢻࣞࢫࠖ DHCP サーバーの設定方法。 ࠕDHCP ࢧ࣮ࣂ࣮ࡢᵓᡂせ⣲ࠖ DHCP リレー エージェントの設定方法。 ࠕDHCP ࣮ࣜࣞࡢᵓᡂせ⣲ࠖ DHCP クライアントの設定方法。 ࠕDHCP ࢡࣛࣥࢺࡢᵓᡂせ⣲ࠖ その他の情報をお探しですか? DHCP 220 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 DHCP の設定 DHCP の概要 Network > DHCP [ ࢿࢵࢺ࣮࣡ࢡ > DHCP] DHCP では、通信のクライアント - サーバー モデルが使用されます。このモデルにはファイ アウォールが担うことのできる、次の 3 つの役割が含まれています。DHCP クライアント、 DHCP サーバー、および DHCP リレーエージェント。 • DHCP クライアント(ホスト)として機能するファイアウォールは、DHCP サーバーに IP アドレスやその他の設定を要求できます。クライアントファイアウォールのユーザー は、設定の時間と手間を省くことができます。また、DHCP サーバーから継承されるネッ トワークのアドレス計画やその他のネットワーク リソースおよびオプションを把握する 必要もありません。 • DHCP サーバーとして機能するファイアウォールは、クライアントにサービスを提供で きます。DHCP のアドレス メカニズムのいずれかを使用することで、管理者は設定時間 を節約でき、クライアントでネットワーク接続が不要になったときに、限られた数の IP アドレスを再利用できます。サーバーは、IP アドレスと DHCP オプションを多数のクラ イアントに配信することもできます。 • DHCP リレーエージェントとして機能するファイアウォールは、ブロードキャストおよ びユニキャスト DHCP メッセージをリッスンし、それらを DHCP クライアントおよび サーバー間でリレーします。 DHCP は、トランスポートプロトコルとして、User Datagram Protocol(UDP)、RFC 768 を 使用します。クライアントからサーバーに送信される DHCP メッセージは、ウェルノウン ポート 67(UDP — ブートストラップ プロトコルおよび DHCP)に送信されます。サーバー からクライアントに送信される DHCP メッセージは、ポート 68 に送信されます。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 221 DHCP の設定 ネットワーク設定 DHCP アドレス DHCP サーバーからクライアントへの IP アドレスの割り当てまたは送信を行う方法は 3 つ あります。 • Automatic allocation [ 自動割り当て ] — DHCP サーバーは、その IP Pools [IP プール ] か ら永久的な IP アドレスをクライアントに割り当てます。ファイアウォールで Lease [ リー ス ] が Unlimited [ 無制限 ] として指定されている場合、永久的な割り当てになります。 • Dynamic allocation [ 動的な割り当て ] — DHCP サーバーは、リースと呼ばれる最大期 間で、アドレスの IP Pools [IP プール ] の再利用可能な IP アドレスをクライアントに割り 当てます。このアドレス割り当て方法は、顧客の IP アドレス数が限られている場合に便 利です。この方法では、ネットワークへの一時的なアクセスのみが必要なクライアント に IP アドレスを割り当てることができます。 • Static allocation [ 静的な割り当て ] — ネットワーク管理者はクライアントに割り当てる IP アドレスを選択し、DHCP サーバーはその IP アドレスをクライアントに送信します。 静的な DHCP の割り当ては恒久的なものです。これを行う場合は、DHCP サーバーを設 定し、クライアントファイアウォールの MAC Address [MAC アドレス ] に対応するように Reserved Address [ 予約済みアドレス ] を選択します。クライアントが切断 ( ログオフ、再 起動、停電など ) しても、DHCP の割り当てはそのまま保持されます。 たとえば、LAN 上にプリンタがあり、DNS で LAN のプリンタの名前と IP アドレスが 関連付けられているために、その IP アドレスが頻繁に変わらないようにする場合、IP ア ドレスの静的な割り当てが役立ちます。また、クライアントファイアウォールが何か重 要な用途で使用されていて、ファイアウォールがオフになったり、プラグが抜かれたり、 再起動したり、停電が発生したりしても、同じ IP アドレスを保持する必要がある場合に も便利です。 Reserved Address [ 予約済みアドレス ] を設定するときは、以下の点に注意してください。 – これは、 IP Pools [IP プール] のアドレスです。 複数の予約済みアドレスを設定できます。 – Reserved Address [ 予約済みアドレス ] を設定していない場合、サーバーのクライアン トは、リースの有効期限が切れたり、再起動したりすると、プールから新しい DHCP の割り当てを受信します(Lease [ リース ] を Unlimited [ 無制限 ] に設定している場合 は除く)。 – IP Pools [IP プール ] のすべてのアドレスを Reserved Address [ 予約済みアドレス ] とし て割り当てると、アドレスを要求する次の DHCP クライアントに自由に割り当てるこ とができる動的なアドレスがなくなります。 – Reserved Address [MAC アドレス ] を設定せずに MAC Address [ 予約済みアドレス ] を 設定できます。この場合、DHCP サーバーは、どのファイアウォールにも Reserved Address [ 予約済みアドレス ] を割り当てません。プールのいくつかのアドレスを予約 し、DHCP を使用せずに FAX やプリンタなどに静的に割り当てることができます。 関連トピックへのリンクを以下に示します。 • 「DHCP サーバーの構成要素」 • 「DHCP リレーの構成要素」 • 「DHCP クライアントの構成要素」 222 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 DHCP の設定 DHCP サーバーの構成要素 Network > DHCP > DHCP Server [ ࢿࢵࢺ࣮࣡ࢡ > DHCP > DHCP ࢧ࣮ࣂ࣮ ] 以下のセクションでは、DHCP サーバーの各構成要素について説明します。DHCP サーバー を設定する前に、仮想ルーターおよびゾーンに割り当てられるレイヤー 3 Ethernet またはレ イヤー 3 VLAN インターフェイスを設定しておく必要があります。また、DHCP サーバーか らクライアントに割り当てるように指定できる、ネットワーク計画の有効な IP アドレス プー ルを把握している必要もあります。 DHCP サーバーを追加するときは、以下の表に示す設定を行います。 表 119. DHCP サーバー設定 フィールド 設定場所 内容 インターフェイ ス DHCP サーバー DHCP サーバーとして機能するインターフェイスの名前。 モード DHCP サーバー enabled [ 有効 ] モードまたは auto [ 自動 ] モードを選択し ます。Auto [ 自動 ] モードでは、サーバーが有効になりま すが、ネットワークで別の DHCP サーバーが検出された場 合は無効になります。disabled [ 無効 ] 設定を指定すると、 サーバーが無効になります。 新しい IP を割り 当てるときに IP に Ping する リース Ping IP when allocating new IP [ 新しい IP を割り当てると きに IP に Ping する ] をクリックすると、サーバーは、IP アドレスに ping してから、そのアドレスをクライアントに 割り当てます。ping が応答を受信した場合、そのアドレス はすでに別のファイアウォールに使用されているため、割 り当てできないということを意味します。サーバーがプー ルから次のアドレスを割り当てます。このオプションを選 択した場合は、表示されている [ プローブ IP] 列にチェック マークが付けられます。 リース リース リースのタイプを指定します。 • Unlimited [ 無制限 ] を指定すると、サーバーは IP Pools [IP プール ] から動的に IP アドレスを選択し、クライアン トに永久的に割り当てます。 • Timeout [ タイムアウト ] により、リースの継続時間が決 まります。Days [ 日 ] および Hours [ 時間 ] の数値を入力 し、必要に応じて Minutes [ 分 ] の数値を入力します。 IP プール リース DHCP サーバーがアドレスを選択する IP アドレスのステート フル プールを指定し、DHCP クライアントに割り当てます。 単一のアドレス、アドレス/<マスクの長さ> (例:192.168.1.0/ 24)、またはアドレスの範囲 ( 例:192.168.1.10 ∼ 192.168.1.20) を入力できます。 予約済みアドレ ス リース 必要な場合は、DHCP サーバーで動的に割り当てない IP プール内の IP アドレス (x.x.x.x 形式 ) を指定します。 MAC Address [MAC アドレス ] (xx:xx:xx:xx:xx:xx 形式 ) も 一緒に指定した場合は、その MAC アドレスに関連付けら れたファイアウォールが DHCP を通じて IP アドレスを要 求した際に、Reserved Address [ 予約済みアドレス ] がそ のフィアアウォールに割り当てられます。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 223 DHCP の設定 ネットワーク設定 表 119. DHCP サーバー設定 フィールド 設定場所 内容 継承ソース オプション None [ なし ] ( デフォルト ) を選択するか、各種サーバーの 設定を DHCP サーバーに配信するソース DHCP クライア ント インターフェイスまたは PPPoE クライアント イン ターフェイスを選択します。Inheritance Source [ 継承ソー ス ] を指定する場合は、このソースから inherited [ 継承 ] する以下のオプションを 1 つ以上選択します。 継承ソースを指定する利点の 1 つは、ソース DHCP クライ アントのアップストリームであるサーバーから DHCP オ プションがすばやく転送されることです。また、継承ソー スのオプションが変更された場合も、クライアントのオプ ションが常に最新の状態に維持される点も挙げられます。 たとえば、継承ソースファイアウォールで NTP サーバー (Primary NTP [ プライマリ NTP] サーバーとして識別され ているサーバー)を置き換えると、クライアントは自動的 に Primary NTP [ プライマリ NTP] サーバーとして新しい アドレスを継承します。 継承ソース状態 のチェック オプション Inheritance Source [ 継承ソース ] を選択した場合、Check inheritance source status [ 継承ソース状態のチェック ] を クリックすると、Dynamic IP Interface Status [ 動的 IP イ ンターフェイス状態 ] ウィンドウが開き、DHCP クライア ントから継承されたオプションが表示されます。 ゲートウェイ オプション この DHCP サーバーと同じ LAN 上にはないデバイスに到 達するために使用するネットワーク ゲートウェイ ( ファイ アウォールのインターフェイス ) の IP アドレスを指定しま す。 サブネット マス ク オプション IP Pools [IP プール ] のアドレスに適用するネットワーク マ スクを指定します。 224 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 DHCP の設定 表 119. DHCP サーバー設定 フィールド 設定場所 内容 オプション オプション 以下のフィールドでドロップダウンリストをクリックし、 None [ なし ] または inherited [ 継承済み ] を選択するか、 そのサービスにアクセスするために DHCP サーバーがク ライアントに送信するリモート サーバーの IP アドレスを 入力します。inherited [ 継承済み ] を選択すると、DHCP サーバーはソース DHCP クライアントから、Inheritance Source [ 継承ソース ] として指定された値を継承します。 DHCP サーバーはこれらの設定をクライアントに送信します。 • Primary DNS [ プライマリ DNS]、Secondary DNS [ セカ ンダリ DNS] — 優先および代替 DNS (Domain Name System) サーバーの IP アドレス。 • Primary WINS [ プライマリ WINS]、Secondary WINS [ セカンダリ WINS] — 優先および代替 WINS (Windows Internet Naming Service) サーバーの IP アドレス。 • Primary NIS [ プライマリ NIS]、Secondary NIS [ セカン ダリ NIS] — 優先および代替 NIS (Network Information Service) サーバーの IP アドレス。 • Primary NTP [ プライマリ NTP]、Secondary NTP [ セカ ンダリ NTP] — 使用可能な NTP (Network Time Protocol) サーバーの IP アドレス。 • POP3 Server [POP3 サーバー ] — POP3 (Post Office Protocol version 3) サーバーの IP アドレス。 • SMTP Server [SMTP サーバー ] — Simple Mail Transfer Protocol(SMTP)サーバーの IP アドレス。 • DNS Suffix [DNS サフィックス ] — 解決できない非修飾 ホスト名が入力されたときにクライアントがローカルで 使用するサフィックス。 カ ス タ ム DHCP オプション オプション Add [ 追加 ] をクリックし、DHCP サーバーからクライアン トに送信するカスタム オプションの Name [ 名前 ] を入力 します。 Option Code [ オプションコード ](範囲は 1 ∼ 254)を入 力します。 Option Code 43 [ オプション コード 43] を入力すると、 Vendor Class Identifier (VCI) [ ベンダー クラス ID (VCI) ] フィールドが表示されます。 クライアントのオプション 60 か ら受信した VCI と比較する一致基準を入力します。ファイア ウォールは、 クライアントのオプション 60 から受信した VCI を検査し、専用の DHCP サーバーテーブルで一致する VCI を検索し、それに対応する値をオプション 43 のクライアン トに返します。VCI 一致基準は、文字列または 16 進値です。 16 進値のプレフィックスは「0x」にする必要があります。 Inherited from DCHP server inheritance source [ DHCP サーバーの継承元から継承 ] をクリックすると、サーバー は、そのオプション コードの値を継承元から継承します。 ユーザーが Option Value [ オプション値 ] を入力する必要 はありません。 このオプションの代わりに、以下の方法を使用することも できます。 Option Type [ オプションタイプ ]:IP Address [ IP アドレ ス ]、ASCII、または Hexadecimal [ 16 進数 ] を選択し、 Option Value [ オプション値 ] に使用するデータのタイプを 指定します。 Option Value [ オプション値 ] で Add [ 追加 ] をクリック し、カスタム オプションの値を入力します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 225 DHCP の設定 ネットワーク設定 DHCP リレーの構成要素 Network > DHCP > DHCP Relay [ ࢿࢵࢺ࣮࣡ࢡ > DHCP > DHCP ࣮ࣜࣞ ] DHCP リレー エージェントとしてファイアウォール インターフェイスを設定する前に、レイ ヤー 3 Ethernet またはレイヤー 3 VLAN インターフェイスが設定されていることと、インター フェイスが仮想ルーターおよびゾーンに割り当てられていることを確認します。そのインター フェイスでクライアントとサーバー間の DHCP メッセージを渡すことができるようにします。 それぞれのインターフェイスは、最大で 8 つの外部 IPv4 DHCP サーバーと 8 つの外部 IPv6 DHCP サーバーへメッセージを転送することができます。クライアントの DHCPDISCOVER メッセージは、設定されたすべてのサーバーに送信され、ファイアウォールは、要求を行った クライアントに最初に応答したサーバーの DHCPOFFER メッセージをリレーします。 表 120. DHCP リレー設定 フィールド 設定場所 内容 インターフェイ ス DHCP リレー DHCP リレー エージェントになるインターフェイスの名 前。 IPv4 / IPv6 DHCP リレー 指定する DHCP サーバーと IP アドレスのタイプを選択し ます。 DHCP サーバー IP アドレス DHCP リレー DHCP メッセージのリレー先およびリレー元の DHCP サーバーの IP アドレスを入力します。 インターフェイ ス DHCP リレー DHCP サーバーの IP アドレス プロトコルとして IPv6 を選 択し、マルチキャスト アドレスを指定した場合は、出力イ ンターフェイスも指定する必要があります。 DHCP クライアントの構成要素 Network > Interfaces > Ethernet > IPv4 [ ࢿࢵࢺ࣮࣡ࢡ > ࣥࢱ࣮ࣇ࢙ࢫ > ࣮ࢧࢿࢵࢺ > IPv4] Network > Interfaces > VLAN > IPv4 [ ࢿࢵࢺ࣮࣡ࢡ > ࣥࢱ࣮ࣇ࢙ࢫ > VLAN > IPv4] DHCP クライアントとしてファイアウォール インターフェイスを設定する前に、レイヤー 3 Ethernet またはレイヤー 3 VLAN インターフェイスが設定されていることと、インターフェ イスが仮想ルーターおよびゾーンに割り当てられていることを確認します。このタスクは、 DHCP を使用してファイアウォールのインターフェイスの IPv4 アドレスを要求する必要が ある場合に実行します。 表 121. DHCP クライアント設定 フィールド 設定場所 内容 タイプ IPv4 インターフェイスを DHCP クライアントとして設定する 場合は、DHCP Client [DHCP クライアント ] を選択し、次 に Enable [ 有効化 ] を選びます。 サーバー提供のデ フォルトゲート ウェイを指すデ フォルトルートを 自動的に作成 IPv4 ファイアウォールがデフォルトゲートウェイへのスタ ティック ルートを作成します。これは、ファイアウォール のルーティング テーブルにルートを保持する必要がないた め、クライアントが多数の宛先にアクセスする場合に便利 です。 226 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 DNS プロキシの設定 表 121. DHCP クライアント設定 フィールド 設定場所 内容 デフォルトルート メトリック IPv4 必要に応じて、ファイアウォールと DHCP サーバー間の ルートの Default Route Metric [デフォルトルート メトリッ ク ] ( 優先順位レベル ) を入力します。数値の低いルートほ ど、ルート選択時の優先順位が高くなります。たとえば、メ トリックが 10 のルートは、メトリックが 100 のルートより も前に使用されます(範囲は 1 ∼ 65535、デフォルトはなし)。 DHCP クライアン ト ランタイム情報 の表示 IPv4 DHCP のリース状態、ダイナミック IP 割り当て、サブネッ ト マスク、ゲートウェイ、サーバー設定 (DNS、NTP、ド メイン、WINS、NIS、POP3、および SMTP) など、DHCP サーバーから受信したすべての設定が表示されます。 DNS プロキシの設定 DNS サーバーは、ドメイン名から IP アドレス、および IP アドレスからドメイン名を解決す るサービスを実行します。ファイアウォールを DNS プロキシとして設定すると、ファイア ウォールは、クライアントとサーバーの仲介として機能し、DNS キャッシュからクエリを解 決することで DNS サーバーとしても機能します。このページは、ファイアウォールがどのよ うな方法で DNS プロキシとして機能するかを設定する場合に使用します。 知りたい内容 以下を参照 ファイアウォール プロキシ DNS の要求方法。 ࠕDNS ࣉࣟ࢟ࢩࡢᴫせࠖ DNS キャッシュの設定方法。 ࠕDNS ࣉࣟ࢟ࢩࡢᵓᡂせ⣲ࠖ スタティック FQDN から IP ア ドレスへのマッピングの設定方 法。 ࠕDNS ࣉࣟ࢟ࢩࡢᵓᡂせ⣲ࠖ DNS プロキシを管理するために ࠕࡑࡢࡢ DNS ࣉࣟ࢟ࢩ ࢡࢩࣙࣥࠖ 実行できるその他のアクション。 DNS プロキシの概要 Network > DNS Proxy [ ࢿࢵࢺ࣮࣡ࢡ > DNS ࣉࣟ࢟ࢩ ] ドメイン名に基づいて DNS クエリを別の DNS サーバーに送信するには、ファイアウォール を DNS プロキシとして設定し、使用する DNS サーバーを指定します。複数の DNS サーバー を指定すると、DNS クエリを確実にローカライズし、効率を向上させることができます。た とえば、企業の DNS クエリはすべて企業の DNS サーバーに転送し、他のクエリはすべて ISP DNS サーバーに転送できます。 内部ネットワーク設定に関する詳細を保護するために、セキュア トンネルを通じて DNS クエ リを送信することもできます。この場合、認証や暗号化などのセキュリティ機能を使用でき ます。 ファイアウォールでは、インターフェイスの IP アドレスに送信されるすべての DNS クエリ を対象に、ドメイン名のすべてまたは一部に基づいて異なる DNS サーバーへクエリを選択的 に送信できます。TCP または UDP の DNS クエリは、設定したインターフェイスを経由して 送信されます。DNS クエリの回答が 1 つの UDP パケットに対して長すぎる場合、UDP クエ リは TCP に切り替えられます。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 227 DNS プロキシの設定 ネットワーク設定 インターフェイスには、DNS プロキシを定義するために以下のタブが含まれています。 • DNS Proxy Rules [DNS プロキシ ルール ] — 名前、ドメイン名、およびプライマリ / セカ ンダリ DNS サーバー設定を設定できます。 • スタティック エントリ — ホストによる DNS クエリに応答して提供されるスタティック FQDN から IP アドレスへのマッピングを設定できます。 • Advanced [詳細] — キャッシュ、TCP クエリ、および UDP クエリ再試行を定義できます。 ドメイン名が DNS プロキシ キャッシュで見つからない場合、ファイアウォールは、(DNS ク エリが到達するインターフェイス上の) 特定 DNS プロキシ オブジェクトのエントリの設定に 基づいて一致を検索し、一致結果に基づくネーム サーバーに転送します。一致するドメイン 名が見つからない場合、デフォルトのネーム サーバーが使用されます。静的エントリおよび キャッシュもサポートされています。 ࠕDNS ࣉࣟ࢟ࢩࡢᵓᡂせ⣲ࠖ ࠕ࢜ࣈࢪ࢙ࢡࢺࡢ⛣ືࡲࡓࡣ」〇ࠖ DNS プロキシの構成要素 Network > DNS Proxy [ ࢿࢵࢺ࣮࣡ࢡ > DNS ࣉࣟ࢟ࢩ ] 以下のセクションでは、ファイアウォールを DNS プロキシとしてセットアップするために設 定する各構成要素について説明します。 表 122. DNS プロキシ設定 フィールド 設定場所 内容 有効化 DNS プロキシ DNS プロキシを有効化する場合は、このオプションを選択します。 名前 DNS プロキシ DNS プロキシ オブジェクトの識別に使用する名前を指定します ( 最大 31 文字 )。名前の大文字と小文字は区別されます。また、一 意の名前にする必要があります。文字、数字、スペース、ハイフ ン、およびアンダースコアのみを使用してください。 場所 DNS プロキシ DNS プロキシ オブジェクトの適用先の仮想システムを指定しま す。Shared [ 共有 ] を選択した場合、Server Profile [ サーバー プ ロファイル ] フィールドは使用できません。Primary [ プライマリ ] および Secondary [ セカンダリ ] の DNS サーバー IP アドレスま たはアドレス オブジェクトを入力します。仮想システムで DNS プロキシを使用するには、最初に DNS プロキシを設定する必要 があります。Device > Virtual Systems [ デバイス > 仮想システム ] に移動し、仮想システムを選択してから、DNS Proxy [DNS プロ キシ ] を選択します。 継承ソース DNS プロキシ デフォルトの DNS サーバー設定を継承する送信元を選択しま す。これは一般的に、ファイアウォールの WAN インターフェイ スが DHCP または PPPoE でアドレス指定される支社の導入で使 用されます。 継承ソース状態のチェッ ク DNS プロキシ DHCP クライアントインターフェイスおよび PPPoE クライアント インターフェイスに現在割り当てられているサーバー設定を確認 する場合は、このオプションを選択します。これには、DNS、WINS、 NTP、POP3、SMTP、または DNS サフィックスなどが含まれます。 サーバー プロファイル DNS プロキシ 新規 DNS サーバー プロファイルを選択または作成します。仮想 システムの場所を [ 共有 ] として指定した場合は、このフィール ドは表示されません。 228 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 DNS プロキシの設定 表 122. DNS プロキシ設定(続) フィールド 設定場所 内容 プライマリ セカンダリ DNS プロキシ デフォルトのプライマリおよびセカンダリ DNS サーバーの IP ア ドレスを指定します。プライマリ DNS サーバーが見つからない と、セカンダリ DNS サーバーが使用されます。 インターフェイス DNS プロキシ DNS プロキシルールをサポートするファイアウォールインター フェイスを指定する場合は、Interface [ インターフェイス ] を選 択にします。ドロップダウンリストからインターフェイスを選択 し、Add [ 追加 ] をクリックします。複数のインターフェイスを追 加できます。インターフェイスを削除するには、インターフェイ スを選択して Delete [ 削除 ] をクリックします。 DNS プロキシをサービス ルート機能専用で使用している場合 は、インターフェイスは不要です。宛先サービス ルートで送信元 IP アドレスを設定する場合、宛先サービス ルートは、インター フェイスを持たない DNS プロキシとともに使用する必要があり ます。そうしない場合、DNS プロキシは、送信元として使用する インターフェイス IP アドレスを選択します (DNS サービス ルー トが設定されていない場合 )。 名前 DNS Proxy > DNS Proxy Rules [DNS プロキシ > DNS プロキシ ルール ] DNS Proxy > DNS Proxy Rules [DNS プロキシ > DNS プロキシ ルール ] DNS Proxy > DNS Proxy Rules [DNS プロキシ > DNS プロキシ ルール ] CLI 経由でエントリを参照および変更できるようにするには、名 前が必要です。 このマッピングによって 解決されるドメインの キャッシングをオンにす る ドメイン名 Primary/Secondary 名前 FQDN アドレス © Palo Alto Networks, Inc. DNS Proxy > DNS Proxy Rules [DNS プロキシ > DNS プロキシ ルール ] DNS Proxy > Static Entries [DNS プロキシ > スタティック エ ントリ ] DNS Proxy > Static Entries [DNS プロキシ > スタティック エ ントリ ] DNS Proxy > Static Entries [DNS プロキシ > スタティック エ ントリ ] このマッピングで解決されるドメインのキャッシュを有効にする 場合は、このオプションを選択します。 Add [ 追加 ] をクリックし、プロキシ サーバーのドメイン名を入力 します。名前を追加する場合は、この操作を繰り返します。名前を 削除するには、名前を選択して Delete [ 削除 ] をクリックします。 DNS プロキシ ルールでは、ワイルドカード文字列のトークンの数 とリクエストしたドメインのトークンの数が一致している必要が あります。たとえば、 「*.engineering.local」と「engineering.local」 は、 「engineering.local」と一致しません。両方を指定する必要があ ります。 プライマリおよびセカンダリ DNS サーバーのホスト名または IP アドレスを入力します。 スタティック エントリの名前を入力します。 [ アドレス ] フィールドで定義されたスタティック IP アドレスに マッピングされる完全修飾ドメイン名 (FQDN) を入力します。 Add [ 追加 ] をクリックし、このドメインにマッピングする IP ア ドレスを入力します。アドレスを追加する場合は、この操作を繰 り返します。アドレスを削除するには、アドレスを選択して Delete [ 削除 ] をクリックします。 Web インターフェイス リファレンス ガイド、バージョン 7.1 • 229 LLDP の設定 ネットワーク設定 表 122. DNS プロキシ設定(続) フィールド 設定場所 内容 Cache DNS Proxy > Advanced [DNS プロキシ > 詳細 ] DNS キャッシュを有効にするには、このオプションを選択して以 下の情報を指定します。 • Size [ サイズ ] — キャッシュで保持するエントリの数を指定し ます ( 範囲は 1024 ∼ 10240、デフォルトは 1024)。 • Timeout [タイムアウト] — キャッシュされたすべてのエントリ が削除されるまでの期間を時間単位で指定します。DNS の time-to-live 値は、保存されている期間が設定したタイムアウト 期間よりも短いキャッシュ エントリを削除するために使用され ます。タイムアウトに続き、再度新しいクエリの解決とキャッ シュを行う必要があります(範囲は 4 ∼ 24、デフォルトは 4)。 TCP クエリ DNS Proxy > Advanced [DNS プロキシ > 詳細 ] TCP を使用する DNS クエリを有効にする場合は、このオプショ ンを選択します。ファイアウォールでサポートされる同時未解決 TCP DNS 要求数の上限(Max Pending Requests [ リクエスト最 大保留数 ])を指定します(範囲は 64 ∼ 256、デフォルトは 64) 。 UDP クエリの再試行 DNS Proxy > Advanced [DNS プロキシ > 詳細 ] UDP クエリの再試行の設定を指定します。 • Interval [ 間隔 ] — 応答を受信しなかった場合に別の要求が送信 されるまでの時間(秒)を指定します ( 範囲は 1 ∼ 30 秒、デ フォルトは 2 秒 )。 • Attempts [ 試行回数 ] — 次の DNS サーバーが試行するまでの最 大試行回数(最初の試行は除く)を指定します(範囲は 1 ∼ 30、 デフォルトは 5)。 その他の DNS プロキシ アクション ファイアウォールを DNS プロキシとして設定した後、Network > DNS Proxy [ ネットワーク > DNS プロキシ ] ページで以下のアクションを実行し、DNS プロキシ設定を管理できます。 • Modify [ 変更 ] — DNS プロキシを変更するには、DNS プロキシ設定の名前をクリックし ます。 • Delete [ 削除 ] — DNS プロキシエントリを選択し、 Delete [ 削除 ] をクリックすると、 DNS プロキシ設定が削除されます。 • Disable [ 無効化 ] — DNS プロキシを無効にするには、DNS プロキシエントリの名前をク リックし、Enable [ 有効化 ] を選択解除します。無効になっている DNS プロキシを有効 にするには、DNS プロキシ エントリの名前をクリックし、Enable [ 有効化 ] を選択します。 LLDP の設定 リンク レイヤー検出プロトコル (LLDP) では、リンク レイヤーの隣接するデバイスとその機 能を自動的に検出できます。 探している情報 以下を参照 LLDP について。 ࠕLLDP ࡢᴫせࠖ LLDP の設定方法。 ࠕLLDP ࡢᵓᡂせ⣲ࠖ LLDP プロファイルの設定方法。 ࠕLLDP ࣉࣟࣇࣝࡢᐃ⩏ࠖ その他の情報をお探しですか? LLDP 230 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 LLDP の設定 LLDP の概要 Network > LLDP [ ࢿࢵࢺ࣮࣡ࢡ > LLDP] LLDP を使用すると、ファイアウォールは、LLDP データ ユニット (LLDPDU) を含む Ethernet フレームをネイバーとの間で送受信できます。受信デバイスは、情報を MIB に保存します。 MIB にアクセスするには、SNMP (Simple Network Management Protocol) を使用します。 LLDP により、ネットワーク デバイスは、ネットワーク トポロジをマッピングし、接続され ているデバイスの機能を知ることができます。これにより、トラブルシューティングが一層 容易になります。特に、ネットワーク トポロジでファイアウォールが通常検出されないバー チャル ワイヤー デプロイメントにおいて、トラブルシューティングがより簡単に行えるよう になります。 LLDP の構成要素 Network > LLDP [ ࢿࢵࢺ࣮࣡ࢡ > LLDP] ファイアウォールで LLDP を有効にする場合は、Edit [ 編集 ] をクリックして Enable [ 有効化 ] をクリックします。デフォルト設定が環境に適していない場合は、以下の表に示す 4 つの設 定を必要に応じて行います。表の残りのエントリは、状態とピアの統計を示しています。 フィールド 設定場所また は表示場所 内容 送信間隔 ( 秒 ) LLDP LLDPDU が送信される間隔(秒数)を指定します(範 囲は 1 ∼ 3600、デフォルトは 30)。 LLDP TLV(Type-Length-Value)要素が変更された後に送信 される LLDP 発信の遅延間隔秒数を指定します。多数の ネットワーク変更により LLDP 変更の数が急増した場 合、またはインターフェイスがフラップした場合は、こ の遅延により、セグメントが LLDPDU であふれること が防止されます。Transmit Delay [ 送信遅延 ] の値は、 Transmit Interval [ 送信間隔 ] よりも小さくする必要が あります(範囲は 1 ∼ 600、デフォルトは 2)。 LLDP TTL ホールドタイムの合計を求めるために Transmit Interval [ 送信間隔 ] で乗算される値を指定します(範囲 は 1 ∼ 100、デフォルトは 4)。 TTL ホールド タイムは、ファイアウォールがピアから の情報を有効であるとして保持する時間の長さです。 TTL ホールド タイムの最大値は、乗数値にかかわらず 65535 秒です。 LLDP MIB が変更されたときに Syslog および SNMP トラップ通 知が送信される間隔(秒数)を指定します(範囲は 1 ∼ 3600、デフォルトは 5)。 ステータス 必要に応じて、フィルタ行にデータ値を入力し、灰色の 矢印をクリックします。これにより、そのデータ値を含 む行のみが表示されます。フィルタをクリアするには、 赤色の X をクリックします。 ステータス LLDP プロファイルが割り当てられているインターフェ イスの名前。 ステータス LLDP の状態で、enabled [ 有効 ] または disabled [ 無効 ] のいずれかです。 送信遅延 ( 秒 ) ホールド タイムの間 隔数 通知間隔 スパイグラスフィル タ インターフェイス LLDP © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 231 LLDP の設定 ネットワーク設定 設定場所また は表示場所 内容 ステータス インターフェイスの LLDP モード:Tx/Rx、Tx のみ、ま たは Rx のみです。 ステータス インターフェイスに割り当てられたプロファイルの名 前。 ステータス インターフェイスから送信された LLDPDU の数。 ステータス エラーが原因でインターフェイスから送信されなかった LLDPDU の数。エラーの例としては、送信する LLDPDU をシステムが作成中に発生した長さのエラーなどがあり ます。 受信合計 ステータス インターフェイスで受信した LLDP フレームの数。 ドロップされた TLV ステータス 受信時に破棄された LLDP フレームの数。 ステータス インターフェイスで受信した TLV (Time-Length-Value) 要素のうち、エラーが含まれていたものの数。TLV エ ラーのタイプとしては、1 つ以上の必須 TLV が欠落して いる、順序が適切でない、範囲外の情報が含まれている、 長さのエラーなどがあります。 ステータス インターフェイスで受信した TLV のうち、LLDP ローカ ル エージェントで認識されないものの数。TLV が認識 されない原因としては、たとえば、TLV のタイプが予約 済みの TLV の範囲内にあることなどが挙げられます。 ステータス 適切な TTL が期限切れになったために受信 MIB から削 除された項目の数。 ステータス LLDP 統計をすべてクリアする場合はこのオプションを 選択します。 ピア 必要に応じて、フィルタ行にデータ値を入力し、灰色の 矢印をクリックします。これにより、そのデータ値を含 む行のみが表示されます。フィルタをクリアするには、 赤色の X をクリックします。 ローカルインター フェイス ピア 隣接するデバイスを検出したファイアウォール上のイ ンターフェイス。 Remote Chassis ID ピア ピアのシャーシ ID。MAC アドレスが使用されます。 ポート ID ピア ピアのポート ID。 名前 ピア ピアの名前。 詳細情報 ピア More Info [ 詳細情報 ] をクリックすると、必須および任 意の TLV に基づくリモートピアの詳細が表示されます。 シャーシのタイプ ピア シャーシのタイプは MAC アドレスです。 MAC アドレス ピア ピアの MAC アドレス。 システム名 ピア ピアの名前。 システムの説明 ピア ピアの説明。 ポートの説明 ピア ピアのポートの説明。 ポートのタイプ ピア インターフェイス名。 ポート ID ピア ファイアウォールは、インターフェイスの ifname を使 用します。 フィールド モード プロファイル 送信合計 ドロップされた送信 エラー 認識不可 エージアウト済み LLDP 統計のクリア スパイグラスフィル タ 232 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 フィールド インターフェイス管理プロファイルの定義 設定場所また は表示場所 内容 ピア システムの機能。O はその他、P はリピーター、B はブ リッジ、W はワイヤレス LAN、R はルーター、T は電 話を表します。 システムの機能 有効になっている機 能 ピア 管理アドレス ピア ピアで有効になっている機能。 ピアの管理アドレス。 インターフェイス管理プロファイルの定義 Network > Network Profiles > Interface Mgmt [ ࢿࢵࢺ࣮࣡ࢡ > ࢿࢵࢺ࣮࣡ࢡ ࣉࣟࣇ ࣝ > ࣥࢱ࣮ࣇ࢙ࢫ⟶⌮ ] インターフェイス管理プロファイルは、ファイアウォールインターフェイスがアクセスを許 容するサービスや IP アドレスを定義することで、ファイアウォールを不正なアクセスから保 護します。インターフェイス管理プロファイルは、サブインターフェイスを含めたレイヤー 3 イーサネットインターフェイス、および理論インターフェイス(集約グループ、VLAN、ルー プバック、およびトンネルインターフェイス)に割り当てることができます。インターフェ イス管理プロファイルの割り当てについては「ファイアウォールインターフェイスの設定」を 参照してください。 表 123. インターフェイス管理プロファイル設定 フィールド 内容 名前 プロファイル名 ( 最大 31 文字 ) を入力します。この名前は、インターフェ イスを設定するときにインターフェイス管理プロファイルのリストに表 示されます。名前の大文字と小文字は区別されます。また、一意の名前 にする必要があります。文字、数字、スペース、ハイフン、およびアン ダースコアのみを使用してください。 Permitted Services • Ping — 外部サービスとの接続をテストする場合に使用します。例えば、 インターフェイスに対して ping を行い、Palo Alto Networks アップデー トサーバーから PAN-OS ソフトウェアやコンテンツのアップデートが受 信可能な状態かどうか確認することができます。 • Telnet — ファイアウォール CLI にアクセスする際に使用します。Telnet はプレーンテキストを使用しますが、SSH よりは機密性が劣ります。こ のため、インターフェイス上の管理トラフィック用には、Telnet の代 わりに SSH を有効化することを推奨します。 • SSH — ファイアウォールCLIに安全にアクセスする場合に使用します。 • HTTP — ファイアウォールウェブインターフェイスにアクセスする際に 使用します。HTTP はプレーンテキストを使用しますが、HTTPS よりは 機密性が劣ります。このため、インターフェイス上の管理トラフィック 用には、HTTPS の代わりに HTTP を有効化することを推奨します。 • HTTP OCSP — ファイアウォールをオンライン証明書状態プロトコル (OCSP)のレスポンダとして設定する場合に使用します。詳細は、 「OCSP レスポンダの追加」を参照してください。 • HTTPS — ファイアウォールウェブインターフェイスに安全にアクセス する場合に使用します。 • SNMP — SNMP マネージャーからのファイアウォール状態クエリを処 理する場合に使用します。詳細は、 「SNMP モニタリングの有効化」を 参照してください。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 233 モニター プロファイルの定義 ネットワーク設定 表 123. インターフェイス管理プロファイル設定 (続) フィールド 内容 • Response Pages [ 応答ページ ] — 以下の応答ページを有効化する場合 に使用します。 – Captive Portal [ キャプティブポータル ] — キャプティブポータル応 答ページにサービスを提供するために使用されるポートがレイヤー 3 インターフェイス上で開いたままになります。NTLM の場合はポー ト 6080、透過モードのキャプティブポータルの場合は 6081、リダイ レクトモードのキャプティブポータルの場合は 6082 が開いたまま になります。詳細は、 「キャプティブポータルのユーザー認証を管理 する」を参照してください。 – URL Admin Override [URL 管理者のオーバーライド ] — 詳細は 「Content-ID 設定の定義」を参照してください。 • User-ID —「ファイアウォール間のユーザーマッピングの再配信を有効 化する」する場合に使用します。 • User-ID Syslog Listener-SSL [User-ID Syslog リスナー -SSL] — PANOS 統合 User-ID エージェントによる SSL 経由の syslog メッセージの 回収を許可する場合に使用します。詳細は、 「監視対象サーバーに対す るアクセスの設定」を参照してください。 • User-ID Syslog Listener-UDP [User-ID Syslog リスナー -SSL] — PANOS 統合 User-ID エージェントによる UDP 経由の syslog メッセージの 回収を許可する場合に使用します。詳細は、を参照してください。 アクセス許可IPアドレス インターフェイスがアクセスを許可する IPv4 または IPv6 アドレスのリ ストを入力します。 モニター プロファイルの定義 Network > Network Profiles > Monitor [ ࢿࢵࢺ࣮࣡ࢡ > ࢿࢵࢺ࣮࣡ࢡ ࣉࣟࣇࣝ > ┘ど ] モニター プロファイルは、IPSec トンネルをモニターする場合や、ポリシーベースの転送 (PBF) ルールのネクストホップ デバイスをモニターする場合に使用されます。どちらの場合 も、モニター プロファイルは、リソース (IPSec トンネルまたはネクストホップ デバイス ) が 使用できなくなった場合に実行するアクションを指定するために使用されます。モニター プ ロファイルは任意ですが、サイト間の接続を持続し、PBF ルールを確実に維持するのに非常 に効果的です。モニター プロファイルの設定には以下の設定が使用されます。 234 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 ゾーン プロテクション プロファイルの定義 表 124. モニター設定 フィールド 内容 名前 モニター プロファイルの識別に使用する名前を入力します ( 最大 31 文字 )。 名前の大文字と小文字は区別されます。また、一意の名前にする必要が あります。文字、数字、スペース、ハイフン、およびアンダースコアの みを使用してください。 動作 トンネルを使用できないときに実行するアクションを指定します。ハー トビート喪失の許容発生回数がしきい値に達すると、指定したアクショ ンがファイアウォールによって実行されます。 • wait-recover — トンネルが回復するまで待機します。他のアクションは実 行しません。パケットは、PBF ルールに従って引き続き送信されます。 • fail-over — トラフィックをバックアップ パスにフェイルオーバーしま す ( 使用可能な場合 )。ファイアウォールはルーティング テーブル検索 を使用してこのセッション中のルーティングを判別します。 どちらの場合も、復旧を早めるため、ファイアウォールは新しい IPsec キーのネゴシエートを行います。 間隔 ハートビート間隔(範囲は 2 ∼ 10、デフォルトは 3)を指定します。 しきい値 ハートビート喪失の発生回数(範囲は 2 ∼ 100、デフォルトは 5)を指定 します。この回数に超えると指定したアクションがファイアウォールに よって実行されます。 ゾーン プロテクション プロファイルの定義 Network > Network Profiles > Zone Protection [ ࢿࢵࢺ࣮࣡ࢡ > ࢿࢵࢺ࣮࣡ࢡࣉࣟࣇ ࣝ > ࢰ࣮ࣥࣉࣟࢸࢡࢩࣙࣥ ] ゾーン プロテクション プロファイルは、ごく一般的なフラッド、偵察行為攻撃、その他のパ ケット ベースの攻撃から保護します。このプロファイルは、入力ゾーン(トラフィックがファ イアウォールに進入するゾーン)における幅広い保護を目的とするもので、特定のエンドホ ストや特定の宛先ゾーンに進入するトラフィックを阻止するものではありません。 ファイアウォールのゾーン プロテクション機能を補完したい場合は、特定のゾーン、インター フェイス、IP アドレス、ユーザーなどを対象とした DoS 保護ルールベースを使用します。 ゾーンプロテクションは、パケットに一致するセッションがない場合にの み適用されます。パケットが既存のセッションに一致する場合は、ゾーン プロテクション設定をバイパスします。 ゾーンプロテクションプロファイルを作成する場合は、Add [ 追加 ] をクリックして、まず 2 項目を設定します。 表 125. ゾーン プロテクション プロファイル設定 フィールド 内容 名前 プロファイル名 ( 最大 31 文字 ) を入力します。この名前は、ゾーンを設定する ときにゾーン プロテクション プロファイルのリストに表示されます。名前の大 文字と小文字は区別されます。また、一意の名前にする必要があります。文字、 数字、スペース、およびアンダースコアのみを使用してください。 内容 (任意)ゾーンプロテクションプロファイルの説明を入力します。 ゾーンで必要な保護のタイプに合わせて設定を組み合わせ、ゾーンプロテクションプロファ イルを追加してください。 • Flood Protection [ フラッド対策 ]: 「フラッド防御の設定」を参照してください。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 235 ゾーン プロテクション プロファイルの定義 • ネットワーク設定 Reconnaissance Profile [ 偵察行為プロファイル ]: 「偵察行為防御の設定」を参照してくだ さい。 • Packet Based Attack Protection [ パケットベース攻撃に対する保護 ]: 「パケット ベースの 攻撃保護の設定」を参照してください。 複数の仮想システムがある環境で、以下を有効にしている場合は、 • 仮想システム間の通信が可能な外部ゾーン • 仮想システムが外部通信に共通インターフェイスおよび 1 つの IP アドレスを共 有できる共有ゲートウェイ 以下のゾーンおよび DoS 保護メカニズムが、外部ゾーンで無効になります。 • SYN Cookie • IP フラグメント • ICMPv6 IP フラグメントと ICMPv6 防御を有効にするには、共有ゲートウェイ用のゾーン プロテクション プロファイルを作成する必要があります。 共有ゲートウェイで SYN フラッドから保護するには、ランダム早期ドロップまたは SYN Cookie のいずれかを設定した SYN フラッド防御プロファイルを適用できます。 外部ゾーンでは、SYN フラッド防御にランダム早期ドロップのみを使用できます。 フラッド防御の設定 [ ࢿࢵࢺ࣮࣡ࢡ > ࢿࢵࢺ࣮࣡ࢡ ࣉࣟࣇࣝ > ࢰ࣮ࣥ ࣉࣟࢸࢡࢩࣙࣥ > ࣇࣛࢵࢻ㜵ᚚ ] 表 126. フラッド防御設定 フィールド 内容 フラッド防御のしきい値 - SYN フラッド 動作 SYN フラッド攻撃に対して実行するアクションを選択します。 • Random Early Drop [ ランダム早期ドロップ ] — フラッド攻撃を軽減す るために SYN パケットを廃棄します。 – フローが Alert [ アラート ] 率のしきい値を上回ると、アラームが生 成されます。 – フローが Activate [ アクティベート ] 率のしきい値を上回ると、フロー を制限するために個々の SYN パケットをランダムに廃棄します。 – フローが Maximal [ 最大 ] 率のしきい値を上回ると、すべてのパケッ トを廃棄します。 • SYN Cookie — 未確立のコネクションをメモリに保存する必要のない SYN-ACK パケットのシーケンス番号を計算します。この方法をお勧め します。 アラート ( パケット / 秒 ) 攻撃アラームをトリガーしたゾーンで 1 秒間に受信される SYN パケット の数を入力します。アラームは、ダッシュボード (「ダッシュボードの使 用」を参照 ) と脅威ログ (「パケットキャプチャの実行」を参照 ) で確認 できます。 アクティベーション ( パケット / 秒 ) 指定したアクションをトリガーしたゾーンで 1 秒間に受信される SYN パ ケットの数を入力します。 最大 ( パケット / 秒 ) ゾーンが 1 秒間に受信することができる SYN パケットの最大数を入力し ます。1 秒間に最大数を超過した分のパケットはすべて廃棄されます。 236 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 ゾーン プロテクション プロファイルの定義 表 126. フラッド防御設定(続) フィールド 内容 フラッド防御のしきい値 - ICMP フラッド アラート ( パケット / 秒 ) そのゾーンで攻撃アラームがトリガーされる、1 秒あたりの ICMP エコー 要求(ping)の受信数を入力します。 アクティベーション ( パケット / 秒 ) 後続の ICMP パケットを廃棄するゾーンで 1 秒間に受信される ICMP パ ケットの数を入力します。 最大 ( パケット / 秒 ) ゾーンが 1 秒間に受信することができる ICMP パケットの最大数を入力 します。1 秒間に最大数を超過した分のパケットはすべて廃棄されます。 フラッド防御のしきい値 - ICMPv6 アラート ( パケット / 秒 ) そのゾーンで攻撃アラームがトリガーされる、1 秒あたりの ICMPv6 エ コー要求(ping)の受信数を入力します。 アクティベーション ( パケット / 秒 ) そのゾーンで後続 ICMPv6 パケットの廃棄がトリガーされる、1 秒あたり の ICMPv6 受信数を入力します。ICMPv6 パケット数がしきい値を下回 ると、計測が停止されます。 最大 ( パケット / 秒 ) ゾーンが 1 秒間に受信することができる ICMPv6 パケットの最大数を入 力します。1 秒間に最大数を超過した分のパケットはすべて廃棄されま す。 フラッド防御のしきい値 - UDP アラート ( パケット / 秒 ) 攻撃アラームをトリガーしたゾーンで 1 秒間に受信される UDP パケッ トの数を入力します。 アクティベーション ( パケット / 秒 ) UDP パケットのランダムな廃棄をトリガーしたゾーンで 1 秒間に受信さ れる UDP パケットの数を入力します。UDP パケット数がしきい値を下 回ると、レスポンスは無効になります。 最大 ( パケット / 秒 ) ゾーンが 1 秒間に受信することができる UDP パケットの最大数を入力し ます。1 秒間に最大数を超過した分のパケットはすべて廃棄されます。 フラッド防御のしきい値 - その他の IP アラート ( パケット / 秒 ) 攻撃アラームをトリガーしたゾーンで 1 秒間に受信される IP パケットの 数を入力します。 アクティベーション ( パケット / 秒 ) IP パケットのランダムな廃棄をトリガーしたゾーンで 1 秒間に受信され る IP パケットの数を入力します。IP パケット数がしきい値を下回ると、 レスポンスは無効になります。最大数を超過した分のパケットは廃棄さ れます。 最大 ( パケット / 秒 ) ゾーンが 1 秒間に受信することができる IP パケットの最大数を入力しま す。1 秒間に最大数を超過した分のパケットはすべて廃棄されます。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 237 ゾーン プロテクション プロファイルの定義 ネットワーク設定 偵察行為防御の設定 Network > Network Profiles > Zone Protection > Reconnaissance Protection [ ࢿࢵࢺ࣮࣡ ࢡ > ࢿࢵࢺ࣮࣡ࢡ ࣉࣟࣇࣝ > ࢰ࣮ࣥ ࣉࣟࢸࢡࢩࣙࣥ > ഄᐹ⾜Ⅽ㜵ᚚ ] 以下の表に、Reconnaissance Protection [ 偵察行為の防御 ] タブの設定内容を示しています。 表 127. 偵察行為を防御するゾーンプロテクションプロファイルの設定項目 フィールド 内容 TCP ポートス キャン Enable [ 有効化 ] では TCP ポートスキャンに対する保護を有効化するプロファ イルを設定します。 UDP ポートス キャン Enable [ 有効化 ] では UDP ポートスキャンに対する保護を有効化するプロファ イルを設定します。 ホストスイープ Enable [ 有効化 ] ではホストスイープに対する保護を有効化するプロファイルを 設定します。 動作 以下の偵察行為に対してシステムが実行するアクションを指定します。 • Allow [ 許可 ] — ホストスイープ偵察行為またはポートスキャンを許可します。 • Alert [ アラート ] — 指定した時間間隔内でポートスキャンまたはホストスイー プがしきい値に達するたびにアラートを生成します(デフォルトのアクション に設定されています)。 • Block [ ブロック ] — 指定した時間間隔が終わるまで、送信元から宛先へ向け た後続のパケットをすべて廃棄します。 • Block IP [ ブロック IP] — 指定した Duration [ 持続時間 ] にわたり、後続のパ ケットをすべて廃棄します(範囲は 1 ∼ 3600、単位は秒数)。Track By [ 追跡 区分 ] により、送信元をブロックするか、あるいは送信元 - 宛先間トラフィッ クをブロックするかを選択できます。すなわち、指定した時間間隔あたり単一 の送信元から行われた制限回数以上の試みをブロックするか(制限の厳しい設 定です)、または、特定の送信元と宛先のペアをもつ試みをブロックします(制 限が比較的緩やかな設定です)。 間隔 ( 秒 ) TCP または UDP ポートスキャンの探知を行う時間間隔(秒)です(範囲は 2 ∼ 65535、デフォルトは 2)。 ホストスイープの探知を行う時間間隔(秒)です(範囲は 2 ∼ 65535、デフォル トは 10)。 しきい値 ( イベント ) アクションをトリガーさせる、指定した時間間隔の間に行われるポートスキャン またはホストスイープの回数です(範囲は 2 ∼ 65535、デフォルトは 100)。 238 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 ゾーン プロテクション プロファイルの定義 パケット ベースの攻撃保護の設定 Network > Network Profiles > Zone Protection > Packet Based Attack Protection [ ࢿࢵࢺ ࣮࣡ࢡ > ࢿࢵࢺ࣮࣡ࢡ ࣉࣟࣇࣝ > ࢰ࣮ࣥ ࣉࣟࢸࢡࢩࣙࣥ > ࣃࢣࢵࢺ ࣮࣋ࢫࡢᨷᧁಖ ㆤ] 特定の特徴を持つパケットを破棄することで、パケットベース攻撃に対する保護を行うこと ができます。 • IP Drop [IP ドロップ ]: 「IP Drop [IP ドロップ ] タブの設定」を参照してください。 • TCP Drop [TCP ドロップ ]: 「TCP Drop [TCP ドロップ ] タブの設定」を参照してください。 • ICMP Drop [ICMP ドロップ ]: 「ICMP Drop [ICMP ドロップ ] タブの設定」を参照してく ださい。 • IPv6 Drop [IPv6 ドロップ ]: 「IPv6 Drop [IPv6 ドロップ ] タブの設定」 を参照してください。 • ICMPv6 Drop [IPv6 ドロップ ]: 「ICMPv6 Drop [ICMPv6 ドロップ ] タブの設定」を参照し てください。 IP Drop [IP ドロップ ] タブの設定 ゾーンで受信した特定の IP パケットに対して、対応方法をファイアウォールに指示する場合 は、以下の設定を行います。 表 128. Packet Based Attack Protection [ パケット ベースの攻撃保護 ] タブ設定 フィールド 内容 IP Drop [IP ドロップ ] タブ スプーフされた IP アド レス なりすまし IP アドレスが設定されたパケットを廃棄します。 厳密な IP アドレス チェッ ク 不正な形式の送信元 IP アドレスまたは宛先 IP アドレスが設定されたパ ケットを破棄します。例えば、送信元または宛先の IP アドレスがネット ワークインターフェイスのアドレスや、ブロードキャストアドレス、ルー プバックアドレス、リンクローカルアドレス、不明なアドレス、または 予約済みアドレスと同じである場合、パケットを破棄します。 共通基準(CC)モードに設定されたファイアウォールについては、破棄 されたパケットのログを記録することができます。ファイアウォール Web インターフェイスで、Device > Log Settings [ デバイス > ログ設定 ] を開きます。ログの管理のセクションで、Selective Audit [ 選択的監査 ] を選択し、Packet Drop Logging [ パケット破棄のログ ] を有効化します。 フラグメントされたトラ フィック フラグメント化された IP パケットの廃棄 IP オプションのドロップ ストリクトソース ルー ティング Strict Source Routing [ ストリクトソース ルーティング ] IP オプションが 設定されたパケットを廃棄します。 ルーズソースルーティン グ Loose Source Routing [ ルーズソースルーティング ] IP オプションが設定 されたパケットを廃棄します。 タイムスタンプ Timestamp [タイムスタンプ] IP オプションが設定されたパケットを廃棄 します。 レコードルート Record Route [レコードルート] IP オプションが設定されたパケットを廃 棄します。 セキュリティ セキュリティ オプションが定義されている場合、パケットを廃棄します。 ストリーム ID ストリーム ID が定義されている場合、パケットを廃棄します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 239 ゾーン プロテクション プロファイルの定義 ネットワーク設定 表 128. Packet Based Attack Protection [ パケット ベースの攻撃保護 ] タブ設定(続) フィールド 内容 不明 クラスと番号が不明な場合、パケットを廃棄します。 異常な形式 RFC 791、1108、1393、2113 に基づいてクラス、番号、長さの組み合わせ に誤りがある場合、パケットを廃棄します。 重複する TCP セグメン トの不一致 重複の不一致をレポートし、セグメントデータが以下のシナリオに一致 しない場合はパケットを廃棄します。 • セグメントが別のセグメント内にある。 • セグメントが別のセグメントの一部と重複する。 • セグメントが別のセグメントを完全に含んでいる。 この保護メカニズムは、シーケンス番号を使用して、TCP データ ストリー ム内のどこにパケットが存在するかを判別します。 TCP タ イ ム ス タ ン プ の 削除 パケットのヘッダーに TCP タイムスタンプがあるかどうかを判断し、あ る場合はヘッダーから除去します。 非 SYN TCP の拒否 TCP セッションセットアップの最初のパケットが SYN パケットではない 場合にパケットを拒否するかどうかを決定します。 • Global [ グローバル ] — CLI で割り当てたシステム全体の設定を使用し ます。 • Yes — 非 SYN TCP を拒否します。 • No — 非 SYN TCP を受け入れます。非 SYN TCP トラフィックを受け入 れると、ブロックの発生後にクライアント接続やサーバー接続が設定さ れていない場合にファイル ブロッキング ポリシーが正常に動作しない 可能性があります。 非対称パス 同期していない ACK またはウィンドウ外のシーケンス番号を含むパケッ トを破棄するかバイパスするかを決定します。 • global [ グローバル ] — CLI で割り当てたシステム全体の設定を使用し ます。 • drop [ ドロップ ] — 非対称パスを含むパケットをドロップします。 • bypass [バイパス] — 非対称パスを含むパケットでスキャンをバイパス します。 TCP Drop [TCP ドロップ ] タブの設定 ゾーンで受信した特定の TCP パケットに対して、対応方法をファイアウォールに指示する場 合は、以下の設定を行います。 表 129. TCP Drop [TCP ドロップ ] タブ設定 フィールド 内容 重複する TCP セグ メントの不一致 重複の不一致をレポートし、セグメントデータが以下のシナリオに一致しない 場合はパケットを廃棄します。 • セグメントが別のセグメント内にある。 • セグメントが別のセグメントの一部と重複する。 • セグメントが別のセグメントを完全に含んでいる。 この保護メカニズムは、シーケンス番号を使用して、TCP データ ストリーム 内のどこにパケットが存在するかを判別します。 240 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 ゾーン プロテクション プロファイルの定義 表 129. TCP Drop [TCP ドロップ ] タブ設定(続) フィールド 内容 スプリット ハンド シェイク セッション確立手順で、よく知られている 3 ウェイハンドシェークが使用され ない場合、TCP セッションが確立されないようにします。許可されないバリ エーションの例として、4 ウェイまたは 5 ウェイのスプリット ハンドシェイク 確立手順や同時オープン セッション確立手順などがあります。 Palo Alto Networks の次世代ファイアウォールは、Split Handshake [スプリッ ト ハンドシェイク ] を設定しなくても、セッションおよびすべてのレイヤー 7 プロセスを適切に処理して、スプリット ハンドシェイクと同時オープン セッ ションを確立します。このオプションをゾーン プロテクション プロファイル に対して設定し、プロファイルをゾーンに適用するときは、標準的な 3 ウェイ ハンドシェークを使用して、そのゾーンのインターフェイスの TCP セッショ ンを確立する必要があります。バリエーションは許可されません。 非 SYN TCP の拒否 TCP セッションセットアップの最初のパケットが SYN パケットではない場合 にパケットを拒否するかどうかを決定します。 • global [ グローバル ] — CLI で割り当てたシステム全体の設定を使用します。 • yes — 非 SYN TCP を拒否します。 • no — 非 SYN TCP を受け入れます。非 SYN TCP トラフィックを受け入れる と、ブロックの発生後にクライアント接続やサーバー接続が設定されていな い場合にファイル ブロッキング ポリシーが正常に動作しない可能性があり ます。 非対称パス 同期していない ACK またはウィンドウ外のシーケンス番号を含むパケットを 破棄するかバイパスするかを決定します。 • global [グローバル] — CLI で割り当てたシステム全体の設定を使用します。 • drop [ ドロップ ] — 非対称パスを含むパケットをドロップします。 • bypass [ バイパス ] — 非対称パスを含むパケットでスキャンをバイパスしま す。 TCP タイムスタン プの削除 パケットのヘッダーに TCP タイムスタンプがあるかどうかを判断し、ある場 合はヘッダーから除去します。 ICMP Drop [ICMP ドロップ ] タブの設定 ゾーンで受信した特定の ICMP パケットに対して、対応方法をファイアウォールに指示する 場合は、以下の設定を行います。 表 130. ICMP Drop [ICMP ドロップ ] タブ設定 フィールド 内容 ICMP Drop [ICMP ドロップ ] タブ ICMP ping ID 0 ICMP ping パケットの識別子の値が 0 の場合、パケットを廃棄します。 ICMP フラグメント ICMP フラグメントで構成されるパケットを廃棄します。 ICMP 大型パケット (>1024) 1024 バイトを超える ICMP パケットを廃棄します。 エラー メッセージとと もに組み込まれている ICMP を破棄 エラーメッセージが組み込まれている ICMP パケットを廃棄します。 ICMP TTL 失効エラーを 抑制 ICMP TTL の有効期限切れメッセージの送信を停止します。 ICMP フラグメント要求 メッセージを抑制 インターフェイスの MTU を超えたパケットに対する ICMP フラグメン ト要求メッセージの送信を停止し、フラグメントなし (DF) ビットを設定 します。この設定により、ファイアウォールの背後のホストで PMTUD プロセスが実行されなくなります。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 241 ゾーン プロテクション プロファイルの定義 ネットワーク設定 IPv6 Drop [IPv6 ドロップ ] タブの設定 ゾーンで受信した特定の IPv6 パケットに対して、対応方法をファイアウォールに指示する場 合は、以下の設定を行います。 表 131. IPv6 Drop [IPv6 ドロップ ] タブ設定 フィールド 内容 IPv6 Drop [IPv6 ドロップ ] タブ タイプ 0 のルーティング ヘッダー タイプ 0 のルーティングヘッダーを含む IPv6 パケットを廃棄します。タ イプ 0 のルーティング ヘッダーについては、 『RFC 5095』を参照してくだ さい。 IPv4 互換アドレス RFC 4291 IPv4 互換用 IPv6 アドレスとして定義された IPv6 パケットを破 棄します。 エニーキャスト送信元ア ドレス エニーキャスト送信元アドレスを含む IPv6 パケットを廃棄します。 不要なフラグメントヘッ ダー 最終フラグメントフラグ(M=0)を含み、オフセットがゼロの IPv6 パケッ トを破棄します。 ICMP(パケットが大き すぎる)の MTU が 1280 バイト未満 最大転送単位(MTU)が 1280 バイト未満の場合は、パケットが大きすぎ るという ICMPv6 メッセージを含む IPv6 パケットを破棄します。 ホップバイホップ拡張 ホップバイホップオプション拡張ヘッダーを含む IPv6 パケットを廃棄し ます。 ルーティング拡張 ルーティング拡張ヘッダーを含む IPv6 パケットを破棄します。ルーティ ング拡張ヘッダーを含むパケットは、宛先に向かう際に 1 つ以上の中間 ノードを経由します。 宛先の拡張 宛先オプション拡張を含む IPv6 パケットを破棄します。宛先オプション 拡張には、パケットの宛先のみを対象としたオプションが含まれていま す。 拡張子ヘッダー内の無効 な IPv6 オプション 無効な IPv6 オプションが拡張ヘッダーに含まれている IPv6 パケットを 破棄します。 ゼロ以外の予約フィール ド ヘッダーの予約フィールドがゼロに設定されていない IPv6 パケットを破 棄します。 242 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 LLDP プロファイルの定義 ICMPv6 Drop [ICMPv6 ドロップ ] タブの設定 ゾーンで受信した特定の ICMPv6 パケットに対して、対応方法をファイアウォールに指示す る場合は、以下の設定を行います。 表 132. ICMPv6 Drop [IPv6 ドロップ ] タブ設定 フィールド 内容 ICMPv6 sub [ICMPv6 サブ ] タブ ICMPv6 宛先に到達不能 - 明 示的なセキュリティルールの 一致が必要です メッセージが既存のセッションと関連付けられている場合でも、 ICMPv6 宛先到達不能メッセージがセキュリティルールと明確に一 致している必要があります。 ICMPv6 パケットが大きすぎ ます - 明示的なセキュリティ ルールの一致が必要です メッセージが既存のセッションと関連付けられている場合でも、 ICMPv6 パケット超過メッセージがセキュリティルールと明確に一 致している必要があります。 ICMPv6 時間超過 - 明示的な セキュリティルールの一致が 必要です メッセージが既存のセッションと関連付けられている場合でも、 ICMPv6 の時間超過メッセージがセキュリティルールと明確に一致 している必要があります。 ICMPv6 パラメータの問題 明示的なセキュリティルー ルの一致が必要です メッセージが既存のセッションと関連付けられている場合でも、 ICMPv6 のパラメータエラーメッセージがセキュリティルールと明 確に一致している必要があります。 ICMPv6 リダイレクト - 明示 的なセキュリティルールの一 致が必要です メッセージが既存のセッションと関連付けられている場合でも、 ICMPv6 のリダイレクトメッセージがセキュリティルールと明確に 一致している必要があります。 LLDP プロファイルの定義 Network > Network Profiles > LLDP Profileࠉ [ ࢿࢵࢺ࣮࣡ࢡ > ࢿࢵࢺ࣮࣡ࢡ ࣉࣟࣇ ࣝ > LLDP ࣉࣟࣇࣝ ] 探している情報 以下を参照 LLDP について。 ࠕLLDP ࡢᴫせࠖ LLDP の設定方法。 ࠕLLDP ࡢᵓᡂせ⣲ࠖ LLDP プロファイルの設定方法。 ࠕLLDP ࣉࣟࣇࣝࡢᵓᡂせ⣲ࠖ その他の情報をお探しですか? LLDP © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 243 LLDP プロファイルの定義 ネットワーク設定 LLDP プロファイルの構成要素 Network > Network Profiles > LLDP Profileࠉ [ ࢿࢵࢺ࣮࣡ࢡ > ࢿࢵࢺ࣮࣡ࢡ ࣉࣟࣇ ࣝ > LLDP ࣉࣟࣇࣝ ] リンク レイヤー検出プロトコル (LLDP) プロファイルでは、ファイアウォールの LLDP モー ドの設定、Syslog および SNMP 通知の有効化、および LLDP ピアに送信するオプションの TLV (Type-Length-Values) の設定を行えます。LLDP プロファイルを設定した後、そのプロ ファイルを 1 つ以上のインターフェイスに割り当てます。 表 133. LLDP プロファイル設定 フィールド 設定場所 内容 名前 LLDPプロファイル LLDP プロファイルの名前を指定します。 モード LLDPプロファイル LLDP の動作モードを選択してください。transmit-receive [ 送受信 ]、 transmit-only [ 送信のみ ]、または receive-only [ 受信のみ ]。 SNMP Syslog 通知 LLDPプロファイル SNMP トラップと Syslog 通知を有効にします。これは、グローバル Notification Interval [ 通知間隔 ] で実行されます。有効にした場合、ファ イアウォールは、Device > Log Settings > System > SNMP Trap Profile [ デ バイス > ログ設定 > システム > SNMP トラップ プロファイル ] および Syslog Profile [Syslog プロファイル ] の設定に従って、SNMP トラップと Syslog イベントの両方を送信します。 ポートの説明 LLDPプロファイル ファイアウォールの ifAlias オブジェクトを Port Description [ ポートの説 明 ] の TLV で送信できるようにします。 システム名 LLDPプロファイル ファイアウォールの sysName オブジェクトを System Name [ システム名 ] の TLV で送信できるようにします。 システムの説明 LLDPプロファイル ファイアウォールの sysDescr オブジェクトを System Description [ システ ムの説明 ] の TLV で送信できるようにします。 システムの機能 LLDPプロファイル インターフェイスのデプロイメント モード (L3、L2、またはバーチャル ワ イヤー) を以下のマッピングにより System Capabilities [ システムの機能 ] の TLV で送信できるようにします。 • L3 の場合、ファイアウォールは、ルーター ( ビット 6) の機能と他のビッ ト ( ビット 1) を通知します。 • L2 の場合、ファイアウォールは、MAC ブリッジ ( ビット 3) の機能と他 のビット ( ビット 1) を通知します。 • バーチャル ワイヤーの場合、ファイアウォールは、リピーター ( ビット 2) の機能と他のビット ( ビット 1) を通知します。 SNMP MIB により、インターフェイスで設定された複数の機能が単一エン トリに結合されます。 管理アドレス LLDPプロファイル Management Address [ 管理アドレス ] を [ 管理アドレス ] の TLV で送信 できるようにします。管理アドレスは 4 つまで入力でき、指定した順に送 信されます。順序を変更する場合は、Move Up [ 上へ ] または Move Down [ 下へ ] をクリックします。 名前 LLDPプロファイル 管理アドレスの名前を指定します。 インターフェイ ス LLDPプロファイル IP アドレスが管理アドレスになるインターフェイスを選択します。None [ なし ] を指定した場合は、IPv4 または IPv6 を選択する場所の隣のフィー ルドに IP アドレスを入力できます。 IP の選択肢 LLDPプロファイル IPv4 または IPv6 を選択した後、管理アドレスとして送信する IP アドレス を隣のフィールドで選択または入力します。Management Address [ 管理 アドレス ] の TLV が有効の場合は、1 つ以上の管理アドレスが必要です。 管理 IP アドレスを設定しない場合は、送信する管理アドレスとして送信イ ンターフェイスの MAC アドレスが使用されます。 244 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 BFD プロファイルの定義 BFD プロファイルの定義 Network > Network Profiles > BFD Profile [ ࢿࢵࢺ࣮࣡ࢡ > ࢿࢵࢺ࣮࣡ࢡࣉࣟࣇࣝ > BFD ࣉࣟࣇࣝ ] 双方向フォワーディング検知(BFD)は、リンク障害の極めて素早い検知を可能にし、さら に別ルートへのフェイルオーバーを早めます。 探している情報 以下を参照 BFD について ࠕBFD ࡢᴫせࠖ BFD プロファイルの作成時に入力できるフィー ルドについて ࠕBFD ࣉࣟࣇࣝࡢᵓᡂせ⣲ࠖ BFD プロファイルをスタティックルートに適用 する方法 ࠕࢫࢱࢸࢵࢡ࣮ࣝࢺࡢタᐃࠖ BFD プロファイルを BGP に適用する方法 ࠕBGP ࡢタᐃࠖ BFD プロファイルを OSPF に適用する方法 ࠕOSPF ࡢタᐃࠖ BFD プロファイルを OSPFv3 に適用する方法 ࠕOSPFv3 ࡢタᐃࠖ BFD プロファイルを RIP に適用する方法 ࠕRIP ࡢタᐃࠖ 仮想ルーターの BFD ステータスを参照する方法 ࠕBFD ࡢࢧ࣐࣮ࣜヲ⣽ࢆ⾲♧ࡍࡿࠖ その他の情報をお探しですか? BFD BFD の概要 BFD とは、インターフェイス、データリンク、または実際の転送エンジンを含む、2 つの転送 エンジンの間の双方向パスにおいて発生した障害を検出するプロトコルです。PAN-OS 導入環 境下では、以下のうち 1 つのエンジンがファイアウォールのインターフェイスとなり、他方が 隣接して設定された BFD ピアとなります。2 つのエンジンの間の BFD 障害検知は極めて速い ため、Hello パケットやハートビートを用いてリンクモニタリングや、頻繁にダイナミックルー ティングのヘルスチェックを行った場合よりも素早いフェイルオーバーが可能になります。 BFD が障害を検出した場合、ルーティングプロトコルに対し、ピアに向かうパスを代わりの ものに切り替えるよう通知します。BFD がスタティックルート用に設定されている場合、ファ イアウォールは RIB および FIB のテーブルから障害の発生したルートを除外します。 BFD をサポートしているインターフェイスタイプには、物理イーサネット、AE、VLAN、ト ンネル(サイト間 VPN および LSVPN)、およびレイヤー 3 インターフェイスのサブインター フェイスがあります。それぞれのスタティックルートあるいはダイナミックルーティングプ ロトコルについて、BFD の有効化または無効化し、デフォルト BFD プロファイルを選択する か、あるいは BFD プロファイルを設定することができます。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 245 BFD プロファイルの定義 ネットワーク設定 BFD プロファイルの構成要素 Network > Network Profiles > BFD Profile [ ࢿࢵࢺ࣮࣡ࢡ > ࢿࢵࢺ࣮࣡ࢡࣉࣟࣇࣝ > BFD ࣉࣟࣇࣝ ] デフォルトの BFD プロファイルあるいは作成した BFD プロファイルを適用することで、スタ ティックルートやダイナミックルーティングプロトコルで BFD を有効化することができます。 デフォルトプロファイルではデフォルトの BFD 設定を使用しており、これを変更することはで きません。BFD プロファイルを新しく Add [ 追加 ] し、以下の項目を指定することも可能です。 表 134. BFD プロファイル設定 フィールド 内容 名前 BFD プロファイルの名前を入力します ( 最大 31 文字 )。名前の大文字と小文字 は区別されます。また、ファイアウォール上で重複していない名前にする必要が あります。文字、数字、スペース、ハイフン、およびアンダースコアのみを使用 してください。 モード BFD の動作モード: • Active [ アクティブ ] — BFD がコントロールパケットの送信を開始し • ます(デフォルト)。最低でも 1 つの BFD ピアがアクティブに設定さ れている必要があります。両方がアクティブでも構いません。 Passive [ パッシブ ] — BFD はピアからコントロールパケットが送られ てくるまで待機し、要求に応じて応答を行います。 希望する最低 Tx BFD プロトコルに BFD コントロールパケットを送信させたい間隔の最低値です 間隔(ミリ秒) (ミリ秒単位)。PA-7000/PA-5000 Series の最低値は 50、PA-3000 Series は 100、 VM-Series は 200 です(最大値は 2000、デフォルトは 1000)。 推奨設定:1 つのインターフェイスにおいて複数のプロトコルで異なる BFD プ ロファイルを使用している場合、BFD プロファイルにはすべて同じ Desired Minimum Tx Interval [ 希望する最低 Tx 間隔 ] を設定してください。 最低 Rx 間隔要件 (ミリ秒) BFD が BFD コントロールパケットを受信できる間隔の最低値です(ミリ秒単 位)。PA-7000/PA-5000 Series の最低値は 50、PA-3000 Series は 100、VM-Series は 200 です(最大値は 2000、デフォルトは 1000)。 検知時間乗数値 検知時間は、Desired Minimum Tx Interval [ 希望する最低 Tx 間隔 ] からネゴシ エートされた送信間隔に Detection Time Multiplier [ 検知時間乗数値 ] を乗じた 値に等しくなります。検知時間が過ぎるまでに BFD がピアからの BFD コント ロールパケットを受信しない場合、障害が発生していることを意味します(範囲 は 2 ∼ 50、デフォルトは 3)。 ホールドタイム (ミリ秒単位) リンクが確立されてからファイアウォールが BFD コントロールパケットを送信 するまでに待機する時間です(ミリ秒単位) 。Hold Time [ 待機時間 ] は BFD アク ティブモードのみに適用されます。 ファイアウォールが Hold Time [ 待機時間 ] 内 に BFD コントロールパケットを受信した場合、それを無視します(範囲は 0 ∼ 120000、デフォルトは 0) 。デフォルトで設定されている 0 とは、送信 Hold Time [ 待機時間 ] を使用しないということです。リンクが確立すると、ファイアウォー ルは直ちに BFD コントロールパケットの送受信を行います。 マルチホップの 有効化 マルチホップで BFD を有効化します。BGP 導入環境にのみ適用されます。 最低 Rx TTL 値 マルチホップ BFD がサポートされている場合に、BFD が受信する最低 Time-toLive 値(ホップ数)です。BGP 導入環境にのみ適用されます(範囲は 1 ∼ 254、 デフォルトなし)。 246 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ネットワーク設定 BFD プロファイルの定義 BFD のサマリーと詳細を表示する Network > Virtual Routers [ ࢿࢵࢺ࣮࣡ࢡ > ௬࣮ࣝࢱ࣮ ] BFD 情報の表示 BFD サマリーの表示 Network > Virtual Routers [ ネットワーク > 仮想ルー ター ] を開き、詳細を確認したい仮想ルーターの行で More Runtime Stats [ ランタイム状態の詳細 ] をクリッ クします。BFD Summary Information [BFD サマリー 情報 ] のタブを選択します。 BFD の詳細の表示 BFD の詳細を表示したいインターフェイスの行で details [ 詳細 ] を選択します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 247 BFD プロファイルの定義 248 • Web インターフェイス リファレンス ガイド、バージョン 7.1 ネットワーク設定 © Palo Alto Networks, Inc. 第4章 オブジェクト オブジェクトによりポリシールールの作成、実行スケジュールの設定、そして検索が可能に なり、セキュリティプロファイルによりポリシールールで脅威防御を行うことができるよう になります。 このセクションではセキュリティプロファイルの設定方法と、 「ポリシー」と使用できるオブ ジェクトについて説明します。 • 「オブジェクトの移動、コピー、オーバーライド、取り消し」 • 「アドレス」 • 「アドレスグループ」 • 「地域」 • 「アプリケーション」 • 「アプリケーショングループ」 • 「アプリケーション フィルタ」 • 「サービス」 • 「タグ」 • 「外部動的リスト」 • 「カスタムオブジェクト」 • 「セキュリティプロファイル」 • 「セキュリティプロファイルグループ」 • 「ログの転送」 • 「復号化プロファイル」 • 「スケジュール」 オブジェクトの移動、コピー、オーバーライド、取 り消し 既存のオブジェクトを編集する方法については以下のトピックを参照してください。 • 「オブジェクトの移動または複製」 • 「オブジェクトをオーバーライドする / 元に戻す」 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 249 オブジェクトの移動、コピー、オーバーライド、取り消し オブジェクト オブジェクトの移動または複製 オブジェクトを移動またはコピーする場合は、共有の場所を含め、自分がアクセス許可を与 えられている Destination [ 宛先 ](ファイアウォール上の仮想システム、または Panorama 上 のデバイスグループ)を割り当てることができます。 オブジェクトルールを移動する場合は、 Objects [ オブジェクト ] タブでオブジェクトを選択し、 Move [ 移動 ] をクリックして、Move to other vsys [ 他の vsys に移動 ](ファイアウォールのみ) または Move to other device group [ 他のデバイスグループに移動 ](Panorama のみ)を選択し、 以下の表の各フィールドを入力して OK をクリックします。 オブジェクトをコピーする場合は、Objects [ オブジェクト ] タブで Clone [ コピー] をクリック して、以下の表の各フィールドを入力して OK をクリックします。 表 135 設定の移動 / コピー フィールド 内容 選択したオブジェクト 操作対象として選択したポリシーまたはオブジェクトの名前と現 在の場所 (仮想システムまたはデバイス グループ) が表示されます。 宛先 ポリシーまたはオブジェクトの新しい場所として、仮想システム、 デバイス グループ、または共有を選択します。デフォルト値は、 Policies [ ポリシー ] または Objects [ オブジェクト ] タブで選択し た Virtual System [ 仮想システム ] または Device Group [ デバイス グループ ] です。 検証で最初に検出されたエ ラーに起因するエラーが発生 しました このオプションをオンにすると(デフォルトはオン)、ファイア ウォールまたは Panorama が、最初に検出したエラーを表示し、そ れ以上エラーをチェックしません。たとえば、移動するポリシー ルールで参照されているオブジェクトが Destination [ 宛先 ] に存在 しない場合はエラーが発生します。このオプションをオフにした場 合、ファイアウォールまたは Panorama は、先に全てのエラーを検 出してからそれらを表示します。 オブジェクトをオーバーライドする / 元に戻す Panorama では、ツリー階層の中でデバイス グループを 4 段階までネストさせることができ ます。一番下のレベルのデバイスグループは、連続する上位レベルとして親、祖父母、曽祖 父母のデバイス グループを持つことができます。これらをまとめて先祖と呼び、一番下のレ ベルのデバイスグループはこれらからポリシーとオブジェクトを継承します。一番上のレベ ルのデバイス グループは、子、孫、曾孫のデバイス グループを持つことができます。これら をまとめて子孫と呼びます。子孫のオブジェクトをオーバーライドして、先祖のオブジェク トとは異なる値を持たせることもできます。このオーバーライド機能はデフォルトで有効に なっています。ただし、共有オブジェクトまたはデフォルト ( 事前設定 ) オブジェクトをオー バーライドすることはできません。Web インターフェイスでは、値を継承しているオブジェ クトには アイコンが、値がオーバーライドされている継承オブジェクトには アイコ ンが表示されます。 • Override an object [ オブジェクトのオーバーライド ] — Objects [ オブジェクト ] タブを 選択し、オーバーライドされたオブジェクトの所属先となる子孫 Device Group [ デバイス グループ ] を選択してから、Override [ オーバーライド ] をクリックして設定を編集しま す。オブジェクトの Name [ 名前 ] または Shared [ 共有 ] 設定をオーバーライドすること はできません。 • Revert an overridden object to its inherited values [ オーバーライドしたオブジェクト の設定値を継承した値に戻す ] — Objects [ オブジェクト ] タブを選択し、オーバーライ ドされたオブジェクトが所属する子孫 Device Group [ デバイスグループ ] を選択して から、当該オブジェクトを選択し、Revert [ 元に戻す ] をクリックした後、Yes [ はい ] をクリックして操作を確定します。 250 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. オブジェクト アドレス • Disable overrides for an object [ オブジェクトのオーバーライドを無効化 ] — Objects [ オ ブジェクト ] タブを選択し、当該オブジェクトが存在する Device Group [ デバイスグルー プ ] を選択してから、そのオブジェクトの名前をクリックし、Disable override [ オーバー ライドの無効化 ] チェックボックスをオンにして、OK をクリックします。これにより、そ のオブジェクトのオーバーライドが、選択した Device Group [ デバイス グループ ] のすべ ての子孫で無効になります。 • Replace all object overrides across Panorama with the values inherited from the Shared location or ancestor device groups [Panorama 全体のすべてのオブジェクトオーバーラ イドを共有場所または先祖デバイスグループから継承した値で置換する ] — Panorama > Setup > Management [Panorama > 設定 > 管理 ] タブを選択し、Panorama 設定で Ancestor Objects Take Precedence [ 上位オブジェクトを優先 ] を選択して、OK をクリックします。こ の後、Panorama およびオーバーライドが含まれるデバイス グループに対してコミットを 実行して、継承値をプッシュする必要があります。 アドレス Objects > Addresses [ ࢜ࣈࢪ࢙ࢡࢺ > ࢻࣞࢫ ] アドレス オブジェクトには、IPv4 または IPv6 アドレス ( 単一 IP、範囲、サブネット )、FQDN などが含まれる場合があります。アドレス オブジェクトを使用することで、同じオブジェク トを毎回手動で追加することなく、すべてのポリシー ルールベースで送信元アドレスまたは 宛先アドレスとして再利用できます。アドレス オブジェクトは、Web インターフェイスまた は CLI を使用して設定され、設定に追加するにはコミット操作が必要です。 アドレス オブジェクトを追加するには、Add [ 追加 ] をクリックし、以下のフィールドを入力 します。 表 136. 新しいアドレス設定 フィールド 内容 名前 定義するアドレスを表す名前 ( 最大 63 文字 ) を入力します。この名前は、 セキュリティポリシーを定義するときにアドレスのリストに表示されま す。名前の大文字と小文字は区別されます。また、一意の名前にする必要 があります。文字、数字、スペース、ハイフン、およびアンダースコアの みを使用してください。 共有 以下に対してアドレス オブジェクトを公開する場合は、このオプションを 選択します。 • multi-vsys ファイアウォールの各仮想システム (vsys)。この選択を解除す ると、Objects [ オブジェクト ] タブで選択した Virtual System [ 仮想シス テム ] のみに対してアドレスオブジェクトが公開されます。 • Panorama 上の各デバイス グループ。この選択を解除すると、Objects [ オブジェクト ] タブで選択した Device Group [ デバイスグループ ] のみ に対してアドレスオブジェクトが公開されます。 オーバーライドの無効 化 (Panorama のみ ) 管理者が、継承した値を子孫デバイスグループでオーバーライドによりア ドレスのローカルコピーを作成することを禁止する場合は、このオプショ ンを選択します。デフォルトでは、この項目の選択は解除(オーバーライ ドが有効)されています。 内容 オブジェクトの説明を入力します ( 最大 255 文字 )。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 251 アドレス オブジェクト 表 136. 新しいアドレス設定 (続) フィールド タイプ 内容 IPv4 アドレス、IPv6 アドレス、アドレス範囲、または FQDN を指定します。 IP ネットマスク: 以下の形式で IPv4 アドレス、IPv6 アドレスまたは IP アドレス範囲を入力 します。 ip_address/mask または ip_address ここで、mask は重要な意味を持つ 2 進数で、アドレスのネットワーク部を 表すために使用されます。 例: 「192.168.80.150/32」は 1 つのアドレスを表し、 「192.168.80.0/24」は 192.168.80.0 ∼ 192.168.80.255 のすべてのアドレスを表します。 例: 「2001:db8:123:1::1」または「2001:db8:123:1::/64」 IP Range [IP 範囲 ]: アドレス範囲を指定するには、IP Range [IP 範囲 ] を選択してアドレス範囲 を入力します。形式は以下のとおりです。 ip_address–ip_address ここで、各アドレスは IPv4 または IPv6 になります。 例: 「2001:db8:123:1::1 - 2001:db8:123:1::22」 タイプ ( 続き ) FQDN: FQDN を使用してアドレスを指定するには、FQDN を選択してドメイン名 を入力します。 FQDN はコミット時に最初に解決されます。エントリはその後、ファイア ウォールが 30 分間隔でチェックを行うと更新され、エントリの IP アドレ ス内の変更はすべてその更新サイクルで収集されます。 FQDN は、システムの DNS サーバーまたは DNS プロキシオブジェクト ( プロキシが設定されている場合 ) によって解決されます。DNS プロキシの 詳細は、「DNS プロキシの設定」を参照してください。 タグ このアドレス オブジェクトに適用するタグを選択または入力します。 ここでタグを定義することも、Objects > Tags [ オブジェクト > タグ ] タブ を使用して新しいタグを作成することもできます。タグの詳細は、「タグ」 を参照してください。 252 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. オブジェクト アドレスグループ アドレスグループ Objects > Address Groups [ ࢜ࣈࢪ࢙ࢡࢺ > ࢻࣞࢫ ࢢ࣮ࣝࣉ ] セキュリティポリシーの作成を簡略化するには、同じセキュリティ設定が必要なアドレ スをアドレス グループにまとめます。アドレス グループは、静的または動的にすること ができます。 • 動的アドレスグループ:動的アドレスグループには、タグの検索とタグベースのフィル タを使用してメンバーがダイナミックに入力されます。動的アドレス グループは、広範 囲に及ぶ仮想インフラストラクチャがあり、仮想マシンの場所 /IP アドレスが頻繁に変更 される場合に非常に便利です。たとえば、高度なフェイルオーバーで仮想マシンが頻繁 にセットアップまたはプロビジョニングされていて、ファイアウォールの設定 / ルールを 変更せずに新しいマシンとの間で送受信されるトラフィックにポリシーを適用する場合 などです。 ホストのネットワーク アドレスを指定する静的アドレス グループと異なり、ダイナミッ ク アドレス グループのメンバーは、定義した一致条件を使用して入力されます。一致条 件では、and または or 論理演算子が使用されます。動的アドレス グループに追加する各 ホストには、一致条件で定義されたタグまたは属性が含まれている必要があります。タ グは、ファイアウォールまたは Panorama に直接定義することも、XML API を使用して 動的に定義し、ファイアウォールに登録することもできます。IP アドレスと対応するタ グ (1 つ以上 ) が定義されている場合、各動的グループは、タグを評価し、そのグループ 内のメンバーのリストを更新します。 新しい IP アドレスとタグ、または現在の IP アドレスとタグへの変更を登録する場合、 ファイアウォールの XML API をコールするスクリプトを使用する必要があります。 VMware を使用する仮想環境がある場合は、XML API をコールするスクリプトではなく、 VM 情報ソース機能(Device > VM Information Sources [ デバイス > VM 情報ソース ])を使 用して、ファイアウォールが ESX(i) ホストまたは vCenter Server をモニターし、これら の仮想マシンにデプロイされた新しいサーバー / ゲストの情報(ネットワークアドレスと 対応するタグ)を取得するように設定できます。 ポリシーで動的アドレス グループを使用するには、以下のタスクを実行する必要があり ます。 – 動的アドレス グループを定義し、ポリシー ルール内で参照します。 – ファイアウォールに IP アドレスと対応するタグを通知して、動的アドレス グループ のメンバーを構成できるようにします。これを行う場合は、ファイアウォール上で XML API を使用する外部スクリプトを使用するか、VMware ベースの環境の場合は Device > VM Information Sources [ デバイス > VM 情報の送信元 ] からファイアウォール の設定を編集します。 動的アドレス グループには、静的に定義したアドレス オブジェクトも含めることができま す。アドレス オブジェクトを作成し、動的アドレス グループに割り当てたものと同じタグを 適用すると、その動的アドレス グループには、そのタグに一致するすべての静的オブジェク トと動的オブジェクトが含まれます。そのため、タグを使用して動的オブジェクトと静的オ ブジェクトの両方を同じ アドレス グループにまとめることができます。 • 動的アドレスオブジェクト:静的アドレスグループには、静的なアドレスオブジェクト、 動的アドレスグループ、またはアドレスオブジェクトと動的アドレスグループの両方の 組み合わせを含めることができます。 アドレス オブジェクトを作成するには、Add [ 追加 ] をクリックし、以下のフィールドを 入力します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 253 アドレスグループ オブジェクト 表 137. アドレス グループ フィールド 内容 名前 アドレス グループを表す名前 ( 最大 63 文字 ) を入力します。この名前は、セキュ リティポリシーを定義するときにアドレスのリストに表示されます。名前の大文 字と小文字は区別されます。また、一意の名前にする必要があります。文字、数 字、スペース、ハイフン、およびアンダースコアのみを使用してください。 共有 以下に対してアドレスグループを公開する場合は、このオプションを選択します。 • multi-vsys ファイアウォールの各仮想システム (vsys)。この選択を解除すると、 Objects [ オブジェクト ] タブで選択した Virtual System [ 仮想システム ] のみに 対してアドレスグループが公開されます。 • Panorama 上の各デバイス グループ。この選択を解除すると、Objects [ オブジェ クト ] タブで選択した Device Group [ デバイスグループ ] に対してのみアドレス グループが公開されます。 オーバーライドの無効化 (Panorama のみ ) 管理者が、継承した値をオーバーライドすることで、アドレスグループのローカ ルコピーを子孫デバイスグループに作成することを禁止したい場合はこのオプ ションを選択してください。デフォルトでは、この項目の選択は解除(オーバー ライドが有効)されています。 内容 オブジェクトの説明を入力します ( 最大 255 文字 )。 タイプ Static [ 静的 ] または Dynamic [ 動的 ] を選択します。 動的 アドレス グループを作成するには、一致条件を使用してグループに含めるメ ンバーをまとめます。AND または OR 演算子を使用して、Match [ 一致 ] 条件を定 義します。 注:一致条件に使用する属性のリストを表示するには、送信元 / ホストにアクセ スして属性を取得できるようにファイアウォールを設定しておく必要がありま す。設定した情報送信元の各仮想マシンをファイアウォールに登録します。ファ イアウォールは、マシンをポーリングして、ファイアウォールの変更なしに IP ア ドレスまたは設定の変更を取得できます。 静的 アドレス グループの場合、Add [ 追加 ] をクリックし、1 つ以上の Addresses [ アドレス ] を選択します。Add [ 追加 ] をクリックし、オブジェクトまたはアド レス グループをアドレス グループに追加します。グループには、アドレス オブ ジェクト、静的と動的の両方のアドレス グループを含めることができます。 タグ このアドレス グループに適用するタグを選択または入力します。タグの詳細は、 「タグ」を参照してください。 254 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. オブジェクト 地域 地域 Objects > Regions [ ࢜ࣈࢪ࢙ࢡࢺ > ᆅᇦ ] ファイアウォールでは、特定の国や他の地域に適用されるポリシー ルールを作成できます。 地域は、セキュリティポリシー、復号化ポリシー、DoS ポリシーの送信元および宛先を指定 するときにオプションとして利用できます。セキュリティポリシールールのオプションとし て地域を含めるには、国の標準リストから選択するか、このセクションで説明されている地 域設定を使用してカスタム地域を定義します。 以下の表では、地域設定について説明します。 表 138. 新規領域の設定 フィールド 内容 名前 地域を表す名前 ( 最大 31 文字 ) を入力します。この名前は、セキュリティ ポリシーを定義するときにアドレスのリストに表示されます。名前の大 文字と小文字は区別されます。また、一意の名前にする必要があります。 文字、数字、スペース、ハイフン、およびアンダースコアのみを使用し てください。 デバイス稼働場所 緯度と経度を指定する場合は、このオプションを選択して値(xxx.xxxxxx 形式)を指定します。この情報は、App-Scope のトラフィック マップお よび脅威マップに使用されます。 「アプリケーション スコープの使用」を 参照してください。 アドレス 以下のいずれかの形式を使用して IP アドレス、IP アドレス範囲、または 地域を識別するサブネットを指定します。 x.x.x.x x.x.x.x-y.y.y.y x.x.x.x/n アプリケーション Objects > Applications 探している情報 以下を参照 Applications [アプリケーション] ペー ジに表示されるアプリケーションの設 定と属性を理解する ࠕࣉࣜࢣ࣮ࢩࣙࣥࡢᴫせࠖ ࠕࣉࣜࢣ࣮ࢩ࡛ࣙࣥࢧ࣏࣮ࢺࡉࢀࡿ᧯సࠖ 新規アプリケーションを追加するか、 ࠕࣉࣜࢣ࣮ࢩࣙࣥࡢᐃ⩏ࠖ 既存のアプリケーションを変更する © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 255 アプリケーション オブジェクト アプリケーションの概要 Applications [ アプリケーション ] ページには、アプリケーションの相対セキュリティリスク (1 ∼ 5)など、各アプリケーション定義のさまざまな属性が表示されます。リスク値は、ア プリケーションでファイルを共有できるか、誤用が起こりやすいか、ファイアウォールの回 避を試行するか、などの基準に基づいています。値が大きいほどリスクが大きくなります。 ページ上部のアプリケーション ブラウザエリアには、以下のように、表示内容のフィルタに 使用できる属性が表示されます。各エントリの左側にある数字は、その属性があるアプリケー ションの合計数を表しています。 週次のコンテンツ リリースには、新しいデコーダとシグネチャを開発する ためのコンテクストが定期的に含まれています。 以下の表では、アプリケーション設定について説明します。 表 139. アプリケーションの詳細情報 項目 内容 名前 アプリケーションの名前です。 内容 アプリケーションの説明 ( 最大 255 文字 )。 追加情報 アプリケーションに関する追加情報が掲載されている Web ソース (Wikipedia、Google、および Yahoo!) にリンクします。 標準ポート アプリケーションがネットワークとの通信に使用するポートです。 依存 このアプリケーションの実行に必要な他のアプリケーションのリ ストです。選択したアプリケーションを許可するポリシー ルールを 作成する場合は、そのアプリケーションが依存する他のすべてのア プリケーションも許可することを確認する必要があります。 暗黙的に使用 選択したアプリケーションが依存しているものの、暗黙にサポート されているため、選択したアプリケーションを許可するためにセ キュリティポリシールールに追加する必要のないその他のアプリ ケーション。 以前の識別 新規の App-ID、または変更された App-ID について、そのアプリ ケーションの以前の ID を表します。これにより、アプリケーショ ンの変化に応じてポリシーを変更する必要があるかどうかを査定 できます。App-ID を無効にすると、そのアプリケーションに関連 付けられたセッションは、そのアプリケーションの以前の ID でポ リシーと照合されます。同様に、無効にされた App-ID は、そのア プリケーションの以前の ID でログに記録されます。 アクションの拒否 App-ID は、デフォルトの拒否アクションと共に作成されます。デ フォルトの拒否アクションは、アプリケーションが拒否アクション の指定されたセキュリティポリシールールに含まれているときの ファイアウォールの応答方法を指定したものです。デフォルトの拒 否アクションとして、サイレント ドロップまたは TCP リセットを 指定できます。このデフォルトアクションはセキュリティポリシー 内でオーバーライドできます。 256 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. オブジェクト アプリケーション 表 139. アプリケーションの詳細情報 (続) 項目 特徴 内容 セキュリティを回避する ファイアウォールを通り抜けるために、ポートやプロトコルを本来 の用途とは異なる目的に使用すること。 帯域幅を消費する 通常の使用において 1 Mbps 以上の帯域幅を定常的に消費するこ と。 乱用されやすい 不正な目的に使用されることが多いこと。また、ユーザーの意図を 超えて攻撃されるように容易に設定できてしまうこと。 SaaS ファイアウォールでは、Software as a Service (SaaS) を次のような サービスとして分類します。すなわち、ソフトウェアとインフラス トラクチャはアプリケーション サービス プロバイダによって所有 および管理されているが、ユーザーがデータに対するフル コント ロール ( データの作成、アクセス、共有、転送の実行権限をどのユー ザーに付与するかも含む ) を保有しているサービスです。 アプリケーションの特徴という観点から見ると、SaaS アプリケー ションと Web サービスは異なります。Web サービスとは、ホスト されたアプリケーションであり、ユーザーがデータを所有しない サービス(Pandora など)と、多数の購読者が社交目的で投稿した デ ー タ の 共 有 を 主 要 機 能 と す る サ ー ビ ス(LinkedIn、Twitter、 Facebook など)があります。 ファイルの転送 ネットワークを介してシステム間でファイルを転送できること。 他のアプリケーションをすり 抜けさせる 他のアプリケーションを自分のプロトコル内で転送できること。 悪意のあるソフトウェアに利 用される アプリケーションがマルウェアに感染した状態で配布されること ( マルウェアは、アプリケーションを利用して、伝播、拡散、攻撃、 データの不正入手を行うことが知られている )。 既知の脆弱性がある 一般に公表されている脆弱性があること。 広く使われている ユーザーが 100 万人を超える可能性があること。 他のアプリケーションに対す るスキャンを続行 他のアプリケーション シグネチャとの照合を続行するようにファ イアウォールに指示します。このオプションをオフにすると、ファ イアウォールは、最初にシグネチャが一致した後、アプリケーショ ン シグネチャとの照合を停止します。 分類 カテゴリ 以下のアプリケーション カテゴリがあります。 • business-system • collaboration • general-internet • media • networking • unknown サブカテゴリ アプリケーションが分類されるサブカテゴリです。カテゴリが異な る と、関 連 付 け ら れ る サ ブ カ テ ゴ リ も 異 な り ま す。た と え ば、 collaboration カテゴリのサブカテゴリには、email、file-sharing、 instant-messaging、internet-conferencing、social-business、socialnetworking、voip-video、web-posting があります。一方、businesssystem カテゴリのサブカテゴリには、auth-service、database、erpcrm、general-business、management、office-programs、softwareupdate、storage-backup があります。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 257 アプリケーション オブジェクト 表 139. アプリケーションの詳細情報 (続) 項目 内容 テクノロジ アプリケーション技術は以下のうちの 1 つに分類されます。 • クライアント / サーバー 1 つ以上のクライアントがネットワーク 上のサーバーと通信するクライアント / サーバー モデルを使用し たアプリケーション。 • ネットワークプロトコル一般に、システム間の通信に使用され、 ネットワーク操作を容易にするアプリケーション。大部分の IP プ ロトコルが含まれます。 • ピアツーピア通信の簡素化を図るため、中央のサーバーを介する ことなく他のクライアントと直接やり取りして情報を交換するア プリケーション。 • ブラウザベースWebブラウザに依存して機能するアプリケーショ ン。 リスク アプリケーションに割り当てられたリスクです。 この設定をカスタマイズするには、Customize [ カスタマイズ ] リ ンクをクリックして値 (1-5), and click OK. オプション セッション タイムアウト 非アクティブ状態になってからアプリケーションがタイムアウト するまでの時間 ( 指定可能範囲は 1 ∼ 604800 秒 ) です。このタイム アウトは、TCP または UDP 以外のプロトコルに適用されます。TCP と UDP は、この表の次の行を参照してください。 この設定をカスタマイズするには、Customize [ カスタマイズ ] リ ンクをクリックして値を入力し、OK をクリックします。 TCP タイムアウト ( 秒 ) TCP アプリケーション フローを停止するタイムアウト ( 指定可能 範囲は 1 ∼ 604800 秒 ) です。 この設定をカスタマイズするには、Customize [ カスタマイズ ] リ ンクをクリックして値を入力し、OK をクリックします。 値 0 は、グローバル セッション タイマー (TCP の場合 3600 秒 ) が 使用されることを示します。 UDP タイムアウト ( 秒 ): UDP アプリケーションフローを停止するタイムアウト(指定可能 範囲は 1 ∼ 604800 秒)です。 この設定をカスタマイズするには、Customize [ カスタマイズ ] リ ンクをクリックして値を入力し、OK をクリックします。 TCP Half Closed(秒) 最初の FIN パケットを受信してから、2 つ目の FIN パケットまたは RST パケットを受信するまで、セッションがセッション テーブル内 に保持される最大時間 ( 秒 )。タイマーが期限切れになるとセッショ ンが閉じられます ( 指定可能範囲は 1 ∼ 604800 秒 )。 デフォルト:このタイマーがアプリケーションレベルで設定されて いない場合、グローバル設定が使用されます。 この値がアプリケーション レベルで設定されている場合、その値で グローバル TCP Half Closed [TCP 半閉鎖 ] 設定がオーバーライドさ れます。 TCP Time Wait(秒) 2 つ目の FIN パケットまたは RST パケットを受信してから、セッ ションがセッション テーブル内に保持される最大時間 ( 秒 )。タイ マーが期限切れになるとセッションが閉じられます ( 指定可能範囲 は 1 ∼ 600 秒 )。 デフォルト:このタイマーがアプリケーションレベルで設定されて いない場合、グローバル設定が使用されます。 この値がアプリケーション レベルで設定されている場合、その値で グローバル TCP Time Wait [TCP待機] 設定がオーバーライドされま す。 258 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. オブジェクト アプリケーション 表 139. アプリケーションの詳細情報 (続) 項目 内容 App-ID 対応 App-ID が有効か無効かを示します。App-ID を無効にすると、その アプリケーションのトラフィックは、セキュリティポリシーとログ の両方で、Previously Identified As [ 以前の識別内容 ] に指定した App-ID で処理されます。コンテンツ リリース バージョン 490 の後 に追加されたアプリケーションの場合、新規アプリケーションのポ リシーへの影響を確認する際にアプリケーションを無効にするこ とができます。ポリシーをレビューした後、App-ID を enable [ 有 効化 ] することも可能です。以前有効にしたアプリケーションを disable [ 無効化 ] することもできます。multi-vsys ファイアウォー ルでは、各仮想システムで App-ID を個別に無効化できます。 ファイアウォールで APP-ID を使用してアプリケーションを識別できない場合、トラ フィックは不明 ( [unknown-tcp] または [unknown-udp]) として分類されます。この動作は、 完全に HTTP をエミュレートするアプリケーションを除き、すべての不明なアプリケーショ ンに適用されます。詳細は、「ボットネットレポートの処理」を参照してください。 不明なアプリケーションの新しい定義を作成し、その新しいアプリケーション定義のセキュ リティポリシーを定義できます。さらに、同じセキュリティ設定が必要なアプリケーション をアプリケーション グループにまとめることで、セキュリティポリシーの作成を簡略化でき ます。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 259 アプリケーション オブジェクト アプリケーションでサポートされる操作 必要に応じて、このページで以下の操作を実行できます。 表 140. アプリケーションでサポートされる操作 動作 内容 アプリケーション名 による検索 • 特定のアプリケーションを検索する場合は、Search [ 検索 ] フィールドにアプリケーショ ンの名前または説明を入力して Enter キーを押します。検索窓の右側にあるドロップダ ウンリストには、特定のアプリケーションの検索や絞り込みを行ったり、All [ すべて ] のアプリケーション、Custom applications [ カスタムアプリケーション ]、Disabled applications [ 無効化されたアプリケーション ]、または Tagged applications [ タグ付け されたアプリケーション ] を表示することができます。 該当するアプリケーションが表示され、同時にフィルタ列が更新されて、検索条件に一 致するアプリケーションの統計値が表示されます。検索は、文字列に部分的に一致しま す。セキュリティポリシーを定義すると、保存したフィルタに一致するすべてのアプリ ケーションに適用されるルールを作成できます。このようなルールは、フィルタに一致 するコンテンツの更新によって新しいアプリケーションが追加されると動的に更新され ます。 • ページに表示されているアプリケーション属性で絞り込みを行う場合は、フィルタリン グの基準として使用したい項目をクリックします。たとえば、collaboration カテゴリの みをリストに表示する場合は、collaboration [ コラボレーション ] をクリックすると、そ のカテゴリのアプリケーションのみがリストに表示されます。 • その他の列にフィルタを適用するには、列のエントリを選択します。フィルタリングは 連続的で、カテゴリ フィルタ、サブカテゴリ フィルタ、テクノロジ フィルタ、リスク フィルタ、特徴フィルタの順に適用されます。たとえば、カテゴリ フィルタ、サブカテ ゴリ フィルタ、リスク フィルタを適用すると、明示的にテクノロジのフィルタを適用し ていなくても、自動的に Technology [ テクノロジ ] 列が制限され、選択したカテゴリと サブ カテゴリに一致するテクノロジのみが表示されます。フィルタを適用するたびに、 ページの下部のアプリケーション リストが自動的に更新されます。新しいアプリケー ションフィルタを追加する方法については、「アプリケーション フィルタ」を参照して ください。 新しいアプリケー ションを追加 アプリケーション の詳細を表示、また はカスタマイズす る 新しいアプリケーションを追加する場合は、 「アプリケーションの定義」を参照してくだ さい。 標準ポート、特性、リスクやその他の情報を含め、アプリケーションの詳細を表示する場 合はアプリケーション名のリンクをクリックします。アプリケーション設定の詳細は、 「ア プリケーションの定義」を参照してください。 アプリケーション名の左にあるアイコンに黄色い鉛筆( )が表示されている場合、そ のアプリケーションがカスタムアプリケーションであることを示しています。 260 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. オブジェクト アプリケーション 表 140. アプリケーションでサポートされる操作 動作 内容 アプリケーションの 無効化 特定の(または複数の)アプリケーションを Disable [ 無効化 ] すると、アプリケーション シグネチャがトラフィックと照合されなくなります。一致するアプリケーションをブロッ ク、許可、または実施するように定義されたセキュリティルールは、アプリケーションを 無効にすると、アプリケーション トラフィックに適用されません。新しいコンテンツ リ リース バージョンに含まれるアプリケーションは無効にしたほうがよいことがあります。 そうしたアプリケーションが一意に識別されると、アプリケーションのポリシーが適用さ れるかどうかが変わる可能性があるからです。たとえば、新しいコンテンツバージョンの インストール前の状態では、Web ブラウジングトラフィックとして識別されたアプリケー ションがファイアウォールに許可されていたとします。ところがコンテンツの更新をイン ストールした後、一意に識別されたアプリケーションが、Web ブラウジングトラフィック を許可するセキュリティルールに一致しなくなってしまうことがあります。このような場 合は、アプリケーションを無効にして、そのアプリケーション シグネチャに一致したトラ フィックが引き続き Web ブラウジング トラフィックとして分類され許可されるようにし たほうが適切です。 アプリケーションの 有効化 無効化されたアプリケーションを選択して Enable [ 有効化 ] することにより、設定済みの セキュリティルールに従ってそのアプリケーションが実施されるようになります。 アプリケーションの インポート アプリケーションをインポートするには、Import [ インポート ] をクリックします。ファ イルを参照して選択し、Destination [ 宛先 ] ドロップダウンリストからターゲットの仮想 システムを選択します。 アプリケーションの エクスポート アプリケーションをエクスポートする場合は、アプリケーションのオプションを選択して Export [ エクスポート ] をクリックします。プロンプトに従ってファイルを保存します。 新しいコンテンツリ リースのインストー ル後にポリシーの影 響を評価する コンテンツリリースバージョンのインストール前とインストール後における、アプリケー ションに対するポリシーの実施状況を確認する場合は、Review Policies [ ポリシーの確認 ] を行います。[ ポリシーのプレビュー ] ダイアログを使用すると、ダウンロードしたコンテ ンツ リリース バージョンに含まれている新規アプリケーションによるポリシーへの影響 を確認できます。Policy Review [ ポリシーのプレビュー ] ダイアログでは、保留中のアプ リケーションを既存のセキュリティポリシーに追加したり、既存のセキュリティポリシー から削除したりできます。保留中のアプリケーションによるポリシーの変更は、対応する コンテンツリリースバージョンがインストールされるまで有効にはなりません。Policy Review [ ポリシーのプレビュー ] ダイアログは、Device > Dynamic Updates [ デバイス > 動的更新 ] ページでコンテンツ リリース バージョンをダウンロードおよびインストール する際にも使用できます。 アプリケーションに タグ付け SaaS アプリケーションのタグ付け用に sanctioned [ 許可済み ] という名前のタグが事前設 定されています。SaaS アプリケーションとは、そのアプリケーション特性の詳細において Saas=yes と識別されているものを指しますが、許可済みタグはすべてのアプリケーショ ンに使用可能なものです。 ネットワーク上で明確に許可したいアプリケーションを定義する場合は、そのアプリケー ションを選択して Tag Application [ アプリケーションのタグ付け ] をクリックし、既に設 定されている Sanctioned [ 許可済み ] タグをドロップダウンリストから選択します。また、 SaaS アプリケーション使用状況レポートを生成すると(「SaaS アプリケーション使用状況 レポートの生成」を参照)、ネットワーク上で使用されている許可済みのアプリケーショ ンの統計値と未許可の SaaS アプリケーションの統計値を比較することができます。 アプリケーションを許可済みとタグ付けする場合、以下の制限が課せられます。 • 許可済みのタグは、アプリケーショングループに適用することができません。 • 許可済みのタグは Shared [ 共有 ] レベルでは適用することができません。デバイスグルー プあるいは仮想システムにつき 1 つのアプリケーションのみタグ付けすることができま す。 • 許可済みのタグは、facebook コンテナアプリの一部である facebook メールなど、コンテ ナアプリに含まれるアプリケーションには使用することができません。 さらに、Remove tag [ タグの除去 ] または Override tag [ タグのオーバーライド ] をするこ とも可能です。オーバーライドのオプションは、デバイスグループの設定を Panorama か らのプッシュにより継承したファイアウォールのみにおいて使用可能です。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 261 アプリケーション オブジェクト アプリケーションの定義 Objects > Applications [ ࢜ࣈࢪ࢙ࢡࢺ > ࣉࣜࢣ࣮ࢩࣙࣥ ] ポリシーを適用する際にファイアウォールの評価対象とする新しいカスタムアプリケーショ ンを Add [ 追加 ] する場合は、Objects > Applications [ オブジェクト > アプリケーション ] のペー ジを使用します。 表 141. 新しいアプリケーション設定 フィールド 内容 Configuration [ 設定 ] タブ 名前 アプリケーション名 ( 最大 31 文字 ) を入力します。この名前は、セキュ リティポリシーを定義するときにアプリケーションのリストに表示され ます。名前の大文字と小文字は区別されます。また、一意の名前にする 必要があります。文字、数字、スペース、ピリオド、ハイフン、および アンダースコアのみを使用してください。先頭は文字にする必要があり ます。 共有 以下に対してアプリケーションを公開する場合は、このオプションを選 択します。 • multi-vsys ファイアウォールの各仮想システム (vsys)。この選択を解除 すると、Objects [ オブジェクト ] タブで選択した Virtual System [ 仮想 システム ] のみに対してアプリケーションが公開されます。 • Panorama 上の各デバイス グループ。この選択を解除すると、Objects [ オブジェクト ] タブで選択した Device Group [ デバイスグループ ] の みに対してアプリケーションが公開されます。 オーバーライドの無効化 (Panorama のみ ) 管理者が、継承した値をオーバーライドすることで、アプリケーション のローカルコピーを子孫デバイスグループに作成することを禁止したい 場合はこのオプションを選択してください。デフォルトでは、この項目 の選択は解除(オーバーライドが有効)されています。 内容 アプリケーションの一般的な説明を入力します ( 最大 255 文字 )。 カテゴリ アプリケーションのカテゴリ (email や database など ) を選択します。こ のカテゴリは、Top Ten Application Categories [ トップ 10 のアプリケー ション カテゴリ ] チャートの生成に使用され、フィルタリングに使用で きます (「アプリケーション コマンド センターの使用」を参照 )。 サブカテゴリ アプリケーションのサブカテゴリ (email や database など ) を選択しま す。このサブカテゴリは、Top Ten Application Categories [ トップ 10 の アプリケーション カテゴリ ] チャートの生成に使用され、フィルタリン グに使用できます (「アプリケーション コマンド センターの使用」を参 照 )。 テクノロジ アプリケーションのテクノロジを選択します。 親アプリケーション このアプリケーションの親アプリケーションを指定します。この設定は、 セッションが親アプリケーションとカスタム アプリケーションの両方に 一致する場合に適用されます。ただし、カスタム アプリケーションの方 が詳細であるためカスタム アプリケーションがレポートされます。 リスク アプリケーションに関連付けられているリスク レベル (1 = 最低 ∼ 5 = 最 高 ) を選択します。 特徴 アプリケーションを危険にさらす可能性のあるアプリケーションの特徴 を選択します。各特徴の詳細は、「特徴」を参照してください。 262 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. オブジェクト アプリケーション 表 141. 新しいアプリケーション設定 (続) フィールド Advanced [ 詳細 ] タブ 内容 ポート アプリケーションで使用するプロトコルが TCP や UDP の場合、Port [ ポート ] を選択してプロトコルとポート番号の組み合わせを 1 つ以上入 力します (1 行ごとに 1 エントリ )。一般的な形式は以下のとおりです。 <protocol>/<port> ここで、<port> は、1 つのポート番号または dynamic ( 動的ポート割り当 ての場合 ) になります。 例:TCP/dynamic または UDP/32 セキュリティルールのサービス列に app-default を使用すると、この設 定が適用されます。 IP プロトコル TCP や UDP 以外の IP プロトコルを指定するには、IP Protocol [IP プロ トコル ] を選択してプロトコル番号 (1 ∼ 255) を入力します。 ICMP タイプ Internet Control Message Protocol バージョン 4 (ICMP) タイプを指定す るには、ICMP Type [ICMP タイプ ] を選択し、タイプの番号を入力しま す ( 範囲は 0 ∼ 255)。 ICMP6 タイプ Internet Control Message Protocol バージョン 6 (ICMPv6) タイプを指定 するには、ICMP6 Type [ICMP6 タイプ ] を選択し、タイプの番号を入力 します ( 範囲は 0 ∼ 255)。 なし プロトコルに依存しないシグネチャを指定するには、None [ なし ] を選 択します。 タイムアウト アイドル状態のアプリケーションフローが停止するまでの秒数 (範囲は 0 ∼ 604800 秒)を入力します。0 は、アプリケーションのデフォルトの タイムアウトが使用されることを示します。この値は、すべてのケース で TCP および UDP 以外のプロトコルに使用されます。また、TCP タイ ムアウトと UDP タイムアウトが指定されていない場合は、TCP と UDP のタイムアウトに使用されます。 TCP タイムアウト アイドル状態の TCP アプリケーションフローが停止するまでの秒数(範 囲は 0 ∼ 604800 秒)を入力します。0 は、アプリケーションのデフォル トのタイムアウトが使用されることを示します。 UDP タイムアウト アイドル状態の UDP アプリケーションフローが停止するまでの秒数(範 囲は 0 ∼ 604800 秒)を入力します。0 は、アプリケーションのデフォル トのタイムアウトが使用されることを示します。 TCP ハーフクローズド 最初の FIN を受信してから、2 つ目の FIN または RST を受信するまでの 間、セッションがセッションテーブル内に保持される最大時間を入力し ます。タイマーが期限切れになるとセッションが閉じられます。 デフォルト:このタイマーがアプリケーションレベルで設定されていな い場合、グローバル設定が使用されます(範囲は 1 ∼ 604800 秒)。 この値がアプリケーション レベルで設定されている場合、その値でグ ローバル TCP Half Closed [TCP半閉鎖] 設定がオーバーライドされます。 TCP 待ち時間 2 つ目の FIN または RST を受信してから、セッションがセッションテー ブル内に保持される最大時間を入力します。タイマーが期限切れになる とセッションが閉じられます。 デフォルト:このタイマーがアプリケーションレベルで設定されていな い場合、グローバル設定が使用されます(範囲は 1 ∼ 600 秒)。 この値がアプリケーション レベルで設定されている場合、その値でグ ローバル TCP Time Wait [TCP 待機 ] 設定がオーバーライドされます。 スキャン セキュリティプロファイル(ファイルタイプ、データパターン、および ウイルス)に基づいて、許可するスキャンタイプを選択します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 263 アプリケーション オブジェクト 表 141. 新しいアプリケーション設定 (続) フィールド 内容 Signature [ シグネチャ ] タブ シグネチャ Add [ 追加 ] をクリックして新しいシグネチャを追加し、以下の情報を指 定します。 • Signature Name [ シグネチャ名 ] — シグネチャの識別に使用する名前 を入力します。 • Comment [ コメント ] — 任意で説明を入力します。 • Scope [ 範囲 ] — このシグネチャを現在の Transaction [ トランザクショ ン ] のみに適用するか、またはユーザー Session [ セッション ] 全体に 適用するかを選択します。 • Ordered Condition Match [ 順番が付けられた条件の一致 ] — シグネ チャの条件の定義順序が重要である場合に選択します。 シグネチャの識別条件を指定するこれらの条件は、ファイアウォールが アプリケーションパターンを識別し、トラフィックを制御する場合に使 用するシグネチャを生成する際に使用されます。 • Add AND Condition [AND 条件を追加 ] または Add OR Condition [OR 条件 を追加 ] をクリックして条件を追加します。グループ内に条件を追加する には、 グループを選択して Add Condition [条件の追加] をクリックします。 • ドロップダウンリストから Operator [ 演算子 ] を選択します。選択肢 には Pattern Match [ パターンマッチ ]、Greater Than [ 超過 ]、Less Than [ 未満 ]、および Equal To [ 等しい ] があり、それぞれについて以 下のオプションを指定します。 (For Pattern Match only) – Context [ コンテクスト ] — 使用可能なコンテクストから選択しま す。これらのコンテクストは動的コンテンツアップデートにより更 新されます。 – Pattern [ パターン ] — カスタムアプリケーションに適用された、一意 のコンテクスト文字列を指定するための正規表現を指定します。コン テクスト特定のため、パケットキャプチャの実行をお勧めします。正 規表現のパターンのルールの詳細は、表 149 を参照してください。 (Greater Than [ 超過 ]、Less Than [ 未満 ] の場合) – Context [ コンテクスト ] — 使用可能なコンテクストから選択しま す。これらのコンテクストは動的コンテンツアップデートにより更 新されます。 – Value [ 値 ] — 一致検索を行う値を指定します (範囲は 0 ∼ 4294967295) 。 – Qualifier and Value — (任意)修飾子 / 値のペアを追加します。 (For Equal To only) – Context [ コンテクスト ] — TCP または UDP 宛ての不明な要求や応答 (unknown-req-tcp など) 、または動的コンテンツアップデートにより入 手可能な追加コンテクスト(dnp3-req-func-code など)から選択します。 TCP または UDP の不明な要求や応答の場合は、以下を指定します。 – Position [ 位置 ] — ペイロードの最初の 4 バイトまたは 2 番目の 4 バ イトのいずれかを選択します。 – Mask [ マスク ] — 4 バイトの 16 進数値を指定します ( たとえば、 0xffffff00)。 – Value [値] — 4 バイトの 16 進数値を指定します (たとえば、 0xaabbccdd)。 他のコンテクストに関しては、そのアプリケーションに関連のある Value[ 値 ] を指定します。 グループ内で条件を移動するには、条件および Move Up [ 上へ ] または Move Down [ 下へ ] を選択します。グループを移動するには、グループ を選択して Move Up [ 上へ ] または Move Down [ 下へ ] を選択します。グ ループ間で条件を移動することはできません。 264 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. オブジェクト アプリケーショングループ アプリケーションの使用目的がアプリケーション オーバーライド ルール のみである場合、アプリケーションのシグネチャを指定する必要はありま せん。 アプリケーションで実行可能な操作に関しては「アプリケーションでサポートされる操作」を 参照してください。 アプリケーショングループ Objects > Application Groups [ ࢜ࣈࢪ࢙ࢡࢺ > ࣉࣜࢣ࣮ࢩࣙࣥ ࢢ࣮ࣝࣉ ] セキュリティポリシーの作成を簡略化するには、同じセキュリティ設定が必要なアプリケー ションをアプリケーション グループにまとめます。( 新しいアプリケーションを定義する方法 については、「アプリケーションの定義」を参照してください )。 表 142. 新しいアプリケーション グループ フィールド 内容 名前 アプリケーション グループを表す名前 ( 最大 31 文字 ) を入力します。こ の名前は、セキュリティポリシーを定義するときにアプリケーションの リストに表示されます。名前の大文字と小文字は区別されます。また、一 意の名前にする必要があります。文字、数字、スペース、ハイフン、お よびアンダースコアのみを使用してください。 共有 以下に対してアプリケーショングループを公開する場合は、このオプ ションを選択します。 • multi-vsys ファイアウォールの各仮想システム (vsys)。この選択を解除 すると、Objects [ オブジェクト ] タブで選択した Virtual System [ 仮想 システム ] のみに対してアプリケーショングループが公開されます。 • Panorama 上の各デバイス グループ。この選択を解除すると、Objects [ オブジェクト ] タブで選択した Device Group [ デバイスグループ ] の みに対してアプリケーショングループが公開されます。 オーバーライドの無効化 (Panorama のみ ) 管理者が、継承した値をオーバーライドすることで、アプリケーション グループのローカルコピーを子孫デバイスグループに作成することを禁 止したい場合はこのオプションを選択してください。デフォルトでは、こ の項目の選択は解除(オーバーライドが有効)されています。 アプリケーション Add [ 追加 ] をクリックし、このグループに含めるアプリケーション、ア プリケーション フィルタ、および他のアプリケーション グループを選択 します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 265 アプリケーション フィルタ オブジェクト アプリケーション フィルタ Objects > Application Filters [ ࢜ࣈࢪ࢙ࢡࢺ > ࣉࣜࢣ࣮ࢩࣙࣥࣇࣝࢱ ] アプリケーション フィルタを定義して、繰り返し実行する検索を簡略化できます。アプリケー ションフィルタを定義して検索の繰り返しを簡略化するには、Add [ 追加 ] をクリックし、フィ ルタの名前を入力します。ウィンドウの上部で、フィルタリングの基準として使用する項目 をクリックします。たとえば、Collaboration [ コラボレーション ] カテゴリのみをリストに表 示するには、collaboration をクリックします。 その他の列にフィルタを適用するには、列のエントリを選択します。フィルタリングは連続 的で、カテゴリフィルタ、そしてサブカテゴリフィルタ、テクノロジフィルタ、リスクフィ ルタ、最後に特性フィルタの順に適用されます。 選択したフィルタに応じて、ページに表示されるアプリケーションのリストが自動的に更新 されます。 サービス Objects > Services [ ࢜ࣈࢪ࢙ࢡࢺ > ࢧ࣮ࣅࢫ ] 特定のアプリケーションのセキュリティポリシーを定義する場合、1 つ以上のサービスを選択 して、アプリケーションで使用できるポート番号を制限できます。デフォルトのサービスは、 any [ いずれか ] で、すべての TCP ポートと UDP ポートが許可されます。 HTTP サービスと HTTPS サービスは事前に定義されていますが、他のサービスの定義を追加 することができます。一緒に割り当てられることが多いサービスをサービス グループにまと めることで、セキュリティポリシーの作成を簡略化できます (「サービス グループ」を参照 )。 以下の表では、サービス設定について説明します。 表 143. サービス設定 フィールド 内容 名前 サービス名 ( 最大 63 文字 ) を入力します。この名前は、セキュリティポリシー を定義するときにサービスのリストに表示されます。名前の大文字と小文字は 区別されます。また、一意の名前にする必要があります。文字、数字、スペー ス、ハイフン、およびアンダースコアのみを使用してください。 内容 サービスの説明を入力します ( 最大 255 文字 )。 266 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. オブジェクト サービス グループ 表 143. サービス設定 (続) フィールド 内容 共有 以下に対してサービスオブジェクトを公開する場合は、このオプションを選択 します。 • multi-vsys ファイアウォールの各仮想システム (vsys)。この選択を解除する と、Objects [ オブジェクト ] タブで選択した Virtual System [ 仮想システム ] のみに対してサービスオブジェクトが公開されます。 • Panorama 上の各デバイス グループ。この選択を解除すると、Objects [ オブ ジェクト ] タブで選択した Device Group [ デバイスグループ ] のみに対して サービスオブジェクトが公開されます。 オーバーライドの 無効化 (Panorama のみ ) 管理者が、継承した値をオーバーライドすることで、サービスオブジェクトの ローカルコピーを子孫デバイスグループに作成することを禁止したい場合はこ のオプションを選択してください。デフォルトでは、この項目の選択は解除 (オーバーライドが有効)されています。 プロトコル サービスで使用するプロトコル (TCP または UDP) を選択します。 宛先ポート サービスで使用する宛先ポート番号 (0 ∼ 65535) またはポート番号の範囲 (ポー ト 1 ∼ ポート 2) を入力します。複数のポートまたはポートの範囲はコンマで区 切ります。宛先ポートは必須です。 送信元ポート サービスで使用する送信元ポート番号 (0 ∼ 65535) またはポート番号の範囲 ( ポート 1 ∼ ポート 2) を入力します。複数のポートまたはポートの範囲はコン マで区切ります。送信元ポートは任意です。 サービス グループ Objects > Services Groups [ ࢜ࣈࢪ࢙ࢡࢺ > ࢧ࣮ࣅࢫ ࢢ࣮ࣝࣉ ] セキュリティポリシーの作成を簡略化するには、セキュリティ設定が同じであることが多い サービスをサービス グループにまとめます。新しいサービスを定義する方法については、 「サービス」を参照してください。 以下の表では、サービス グループ設定について説明します。 表 144. サービス グループ設定 フィールド 内容 名前 サービス グループ名 ( 最大 63 文字 ) を入力します。この名前は、セキュリティ ポリシーを定義するときにサービスのリストに表示されます。名前の大文字と 小文字は区別されます。また、一意の名前にする必要があります。文字、数字、 スペース、ハイフン、およびアンダースコアのみを使用してください。 共有 以下に対してサービスグループを公開する場合は、このオプションを選択しま す。 • multi-vsys ファイアウォールの各仮想システム (vsys)。この選択を解除する と、Objects [ オブジェクト ] タブで選択した Virtual System [ 仮想システム ] のみに対してサービスグループが公開されます。 • Panorama 上の各デバイス グループ。この選択を解除すると、Objects [ オブ ジェクト ] タブで選択した Device Group [ デバイスグループ ] のみに対して サービスグループが公開されます。 オーバーライドの 無効化 (Panorama のみ ) 管理者が、継承した値をオーバーライドすることで、サービスグループのロー カルコピーを子孫サービスグループに作成することを禁止したい場合はこのオ プションを選択してください。デフォルトでは、この項目の選択は解除(オー バーライドが有効)されています。 サービス Add [ 追加 ] をクリックしてグループにサービスを追加します。ドロップダウンリ ストから選択するか、ドロップダウンリストの下部にある Service [ サービス ] を クリックして設定を指定します。設定の詳細は、 「サービス」を参照してください。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 267 タグ オブジェクト タグ Objects > Tags [ ࢜ࣈࢪ࢙ࢡࢺ > ࢱࢢ ] タグを使用すると、キーワードまたは語句を使用してオブジェクトをグループ化できます。タ グは、アドレス オブジェクト、アドレス グループ ( 静的と動的 )、ゾーン、サービス、サー ビス グループ、およびポリシー ルールに適用できます。タグを使用すると、オブジェクトを ソートまたはフィルタリングしたり、オブジェクトに色を付けて視覚的に識別したりできま す。タグごとに色分けすると、Policy [ ポリシー ] タブに表示されるオブジェクトに背景色が 付けられます。 アプリケーションのタグ付けには Sanctioned [ 許可済み ] という事前設定済みのタグを使用可 能です(Objects > Applications [ オブジェクト > アプリケーション ])。正確に「SaaS アプリケー ション使用状況レポートの生成」する場合はこれらのタグが必要になります。 知りたい内容 以下を参照 タグの作成方法 ࠕࢱࢢࡢసᡂࠖ タグ ブラウザについて ࠕࢱࢢ ࣈࣛ࢘ࢨࡢ⏝ࠖ タグ付けされたルールを検索する方法 タグを使用してルールをグループ分けする方法 ポリシーで使用されているタグを確認する方法 タグをポリシーに適用する方法 ࠕࢱࢢࡢ⟶⌮ࠖ さらに詳細を知りたい ポリシーを参照してください。 タグの作成 Objects > Tags [ ࢜ࣈࢪ࢙ࢡࢺ > ࢱࢢ ] Objects > Tags [ オブジェクト > タグ ] を選択し、タグの作成、色の割り当て、タグの削除、名 前の変更、コピーができます。各オブジェクトには最大 64 個のタグを付けることができます。 オブジェクトに複数のタグがある場合、適用された最初のタグの色が表示されます。 ファイアウォールで、Objects >Tags [ オブジェクト > タグ ] タブを選択すると、ファイアウォー ル上でローカルに定義したタグ、または Panorama からファイアウォールにプッシュされたタ グが表示されます。Panorama では、Panorama 上で定義したタグが表示されます。このタブに は、ファイアウォール上に定義された VM 情報の送信元から動的に取得され動的 アドレス グ ループを形成するタグ、または XML API を使用して定義されたタグは表示されません。 新規のタグを作成すると、ファイアウォールまたは Panorama で現在選択されている仮想シ ステムまたはデバイスグループで、そのタグが自動的に作成されます。 268 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. オブジェクト タグ • タブの追加:新しいタグを追加するには、Add [ 追加 ] をクリックし、以下のフィールド を入力します。 表 145. タグ設定 フィールド 内容 名前 一意のタグ名 ( 最大 127 文字 ) を入力します。名前では大文字と小文字は 区別されません。 共有 以下に対してタグを公開する場合は、このオプションを選択します。 • multi-vsys ファイアウォールの各仮想システム (vsys)。この選択を解除 すると、Objects [ オブジェクト ] タブで選択した Virtual System [ 仮想 システム ] のみに対してタグが公開されます。 • Panorama 上の各デバイス グループ。この選択を解除すると、Objects [ オブジェクト ] タブで選択した Device Group [ デバイスグループ ] の みに対してタグが公開されます。 オーバーライドの無効化 (Panorama のみ ) 管理者が、継承した値をオーバーライドすることで、タグのローカルコ ピーを子孫デバイスグループに作成することを禁止したい場合はこのオ プションを選択してください。デフォルトでは、この項目の選択は解除 (オーバーライドが有効)されています。 カラー ドロップダウンリストのカラーパレットから、色を選択します。デフォ ルト値は [ なし ] です。 コメント タグの用途を思い出せるように、ラベルまたは説明を追加します。 Policies [ ポリシー ] タブでポリシーを作成または編集する際に、新規のタグを作成するこ ともできます。タグは、現在選択されているデバイス グループまたは仮想システムで自 動的に作成されます。 • タグの編集:タグの編集、名前の変更、色の割り当てを行う場合は、リンクとして表示 されているタグ名をクリックして、設定を変更します。 • タグの削除:タグを削除するには、Delete [ 削除 ] をクリックし、ウィンドウ内で目的の タグを選択します。事前定義されたタグを削除することはできません。 • タグの移動またはコピー:タグを移動またはコピーするオプションを使用すると、複数 の仮想システムで有効になっているファイアウォール上の異なるデバイスグループまた は仮想システムにタグをコピーまたは移動できます。 Clone [ コピー] または Move [ 移動 ] をクリックして、ウィンドウ内で目的のタグを選択し ます。タグの Destination [ 宛先 ] となる場所 ( デバイス グループまたは仮想システム ) を 選択します。検証プロセスにおいて、エラーの表示を行う前にオブジェクトに含まれる すべてのエラーを検出させたい場合は、Error out on first detected error in validation [ 検出中 に最初にエラーを検出した時点でエラーを表示 ] の選択を解除します。デフォルトではこ のオプションが選択されているため、検証プロセスは最初のエラーが検出された時点で 停止され、そのエラーのみが表示されます。 • タグをオーバーライドする / 元に戻す (Panorama のみ ):タグの作成時にオーバーライド の無効化オプションを選択していない場合は、オーバーライドが使用できます。オーバー ライドオプションを使用すると、共有または先祖デバイス グループから継承したタグに 割り当てられたカラーをオーバーライドできます。Location [ 場所 ] フィールドに現在の デバイス グループが表示されます。オーバーライドの無効化を選択して、以降のオーバー ライドを無効にすることもできます。 タグの変更を取り消すには、Revert [ 元に戻す ] をクリックします。タグを元に戻すと、 Location [ 場所 ] フィールドに、タグの継承元のデバイス グループまたは仮想システムが 表示されます。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 269 タグ オブジェクト タグ ブラウザの使用 Policies > Rulebase [ ࣏ࣜࢩ࣮ > ࣮࣮ࣝࣝ࣋ࢫ ] ( ࢭ࢟ࣗࣜࢸࠊNATࠊQoSࠊ...) タグ ブラウザには、ルールベース ( ポリシー セット ) 内で使用されるすべてのタグの要約が表 示されます。タグ ブラウザを使用すると、すべてのタグのリストと、ルールベース内でのタグ の順序を確認できます。 特定のタグについて、ソート、参照、検索、フィルタリングを実行できます。また、ルール ベース内の各ルールに適用される最初のタグのみを表示することもできます。 以下の表で、タグ ブラウザで使用可能なオプションを説明します。 表 146. タグ ブラウザの使用 フィールド 内容 タグ (#) ラベルとルール番号、またはタグに割り当て可能な連続する番号の範囲 が表示されます。 ラベルにマウス カーソルを移動すると、ルールが定義された場所が表示 されます。場所は、Shared [ 共有 ] 場所、デバイス グループ、仮想シス テムから継承できます。 ルール タグに関連付けられたルール番号または番号の範囲がリストされます。 ルールの最初のタグで フィルタ このフィールドをオンにすると、ルールベースの各ルールに適用される 最初のタグのみ表示されます。 このオプションは、リストを絞り込んで、ルールベース全体に散在して いる可能性のある関連するルールを表示する必要があるとき、特に便利 です。たとえば、各ルールの最初のタグが機能 ( 管理、Web アクセス、 データセンター アクセス、プロキシ ) を示している場合、機能に基づい て結果を絞り込み、ルールをスキャンできます。 ルール順序 選択したルールベース内に現れる順序でタグをソートします。ルール ベース内の順序で表示される場合、連続するルールで使用されるタグは まとめて表示されます。タグに関連付けられているルール番号が、タグ 名といっしょに表示されます。 アルファベット順 選択したルールベース内のアルファベット順にタグをソートします。タ グ名、カラー ( 割り当てられている場合 )、ルールベース内での使用回数 がリストされます。 None [ なし ] というラベルは、タグのないルールを表します。タグのな いルールのルール番号は表示されません。None [ なし ] を選択すると、右 側のペインがフィルタリングされ、タグの割り当てられていないルール が表示されます。 クリア 検索バーで現在選択されているタグのフィルタをクリアします。 検索バー タグを検索できます。語句を入力して緑の矢印をクリックするとフィル タが適用されます。 ルールベース内のタグの総数と選択したタグの数も表示されます。 その他のアクションについては、「タグの管理」を参照してください。 270 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. オブジェクト タグ タグの管理 以下の表に、タグブラウザを使用して実行できるアクションを示します。 タグの管理 ルールにタグ付けする。 1. 右ペインでルールを選択します。 2. 以下のいずれかを実行します。 – タグブラウザでタグを選択し、ドロップダウンリ ストから Apply the Tag to the Selection(s) [ 選択対 象にタグを適用 ] を選択します。 – タグ ブラウザからルールのタグ列にタグをドラッ グ アンド ドロップします。タグをドロップする と、確認ダイアログが表示されます。 現在選択しているタグを表示する。 選択したタグに一致するルールを表示す る。 AND または OR 演算子を使用してタグに 基づいてルールをフィルタリングできま す。 1. タグ ブラウザで 1 つ以上のタグを選択しま す。タグは OR 演算子を使用してフィルタリ ングされます。 2. 右ペインが更新され、選択したいずれかのタ グを含むルールが表示されます。 3. 現在選択しているタグを表示するには、タグ ブラウザの Clear [ クリア ] ラベルにマウス カーソルを移動します。 • OR フィルタ:個々のタグが付けられたルールを表示 するには、タグ ブラウザで 1 つ以上のタグを選択し ます。右ペインが更新され、現在選択しているタグ を含むルールのみが表示されます。 • AND フィルタ:選択しているすべてのタグが付けら れたルールを表示するには、タグブラウザの Rule [ ルール ] 列の番号にマウスカーソルを移動して、ド ロップダウンリストから Filter [ フィルタ ] を選択し ます。к記の操作を繰り返して、タグを追加します。 右ペインの検索バーで をクリックします。AND 演算子を使用して結果が表示されます。 ルールのタグを外す。 © Palo Alto Networks, Inc. タグブラウザの Rule [ ルール ] 列の番号にマウスカー ソルを移動して、ドロップダウンリストから Untag Rule(s) [ ルールのタグ解除 ] を選択します。選択した タグをルールから削除することを確認します。 Web インターフェイス リファレンス ガイド、バージョン 7.1 • 271 外部動的リスト オブジェクト タグの管理 タグを使用してルールを並べ替える。 1 つ以上のタグを選択し、タグブラウザの Rule [ ルー ル ] 列のルール番号にマウスカーソルを移動して、ド ロップダウンリストから Move Rule(s) [ ルールの移動 ] を選択します。 move rule [ ルールの移動 ] ウィンドウのドロップダウン リスト リストからタグを選択し、ドロップダウンリスト リストで選択したタグの Move Before [ 前に移動 ] する のか、Move After [ 後に移動 ] するのかを選択します。 選択したタグに適用する新しいルールを 追加する。 1 つ以上のタグを選択し、タグブラウザの Rule [ ルー ル ] 列のルール番号にマウスカーソルを移動して、ド ロップダウンリストから Add New Rule [ 新しいルール の追加 ] を選択します。 新しいルールの番号順は、右ペインでルールを選択し たかどうかによって異なります。右ペインでルールを 選択しなかった場合、新しいルールは、選択したタグ が属するルールの後に追加されます。右ペインでルー ルを選択した場合、新しいルールは、選択したルール の後に追加されます。 タグを検索する。 タグ ブラウザで、検索するタグ名の最初の文字を入力 して、 をクリックします。入力内容に一致するタグ が表示されます。 外部動的リスト Objects > External Dynamic Lists [ ࢜ࣈࢪ࢙ࢡࢺ > እ㒊ືⓗࣜࢫࢺ ] ポリシールールに使用可能な、インポートされた IP アドレス、URL、またはドメイン名を元 にアドレスオブジェクトを作成する場合は Objects > External Dynamic Lists [ オブジェクト > 外 部動的リスト ] を選択します。このリストはテキストファイルとして作成し、ファイアウォー ルがアクセスできる Web サーバーに保存する必要があります。ファイアウォールは、管理 ポートを使用してこのリストを取得します。ファイアウォールではスケジュールに基づいて 自動的にアップデートを行うよう設定することが可能です。 セキュリティポリシールールでは、IP アドレスリストを送信元と宛先のアドレスオブジェク トとして使用できます。「URL フィルタリング プロファイル」には URL リストを使用でき、 「アンチスパイウェアプロファイル」にはドメインリストを使用し、特定のドメイン名をシン クホールにかけることができます。 それぞれのファイアウォールプラットフォームでは、外部動的リスト用に最大で 30 個の一意 の送信元を設定することができます。送信元とは、IP アドレスまたはホスト名、パス、そし て外部動的リストのファイル名を含む URL を指します。ファイアウォールは URL(完全な文 字列)を照合し、送信元が一意のものであるかどうかを判断します。 ファイアウォールは特定のタイプのリストの数を制限しませんが、一方で、以下の制限が課 せられます。 • IP アドレス — PA-5000 Series および PA-7000 Series のファイアウォールは合計で最大 150,000 個の IP アドレスをサポートしています。その他のプラットフォームでは最大で合 計 50,000 個の IP アドレスをサポートしています。リストあたりの IP アドレス数に制限 はありません。 • URL およびドメイン名 — 各プラットフォームではそれぞれ最大で 50,000 個の URL とド メインがサポートされていて、リストあたりのエントリ数に制限は課せられません。 プラットフォームでサポートされている最大エントリ数を超過した場合、ファイアウォール はシステムログを生成し、制限を超過した分のエントリが省略されます。 272 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. オブジェクト 外部動的リスト 以下の表は、外部動的リストの設定内容を記載しています。 表 147 外部動的リスト フィールド 内容 名前 外部動的リストを識別する名前(最大 32 文字)を入力します。この名前は、ポリ シーで送信元または宛先を選択するときに表示されます。 共有 以下に対して外部動的リストを公開する場合は、このオプションを選択します。 • multi-vsys ファイアウォールの各仮想システム (vsys)。この選択を解除すると、 Objects [ オブジェクト ] タブで選択した Virtual System [ 仮想システム ] のみに対し て外部動的リストが公開されます。 • Panorama 上の各デバイス グループ。この選択を解除すると、Objects [ オブジェ クト ] タブで選択した Device Group [ デバイスグループ ] のみに対して外部動的 リストが公開されます。 オーバーライドの無効化 (Panorama のみ ) 管理者が、継承した値をオーバーライドすることで、外部動的リストのローカルコ ピーを子孫デバイスグループに作成することを禁止したい場合はこのオプション を選択してください。デフォルトでは、この項目の選択は解除(オーバーライドが 有効)されています。 タイプ 注:IP アドレス、URL、およ びドメイン名を 1 つのリス トに混在させることはでき ません。それぞれのリスト には 1 つのタイプのエント リのみを含めることができ ます。 以下の外部動的リストのタイプから選択してください。 • IP Address List [IP アドレスリスト ] — それぞれのリストには、IPv4 および IPv6 アドレススペースの IP 範囲および IP サブネットを含めることができます。リス トには、1 行につき IP アドレス、範囲、またはサブネットのうち 1 つのみが記載 されている必要があります。例: 192.168.80.150/32 2001:db8:123:1::1 または 2001:db8:123:1::/64 192.168.80.0/24 ( これは、192.168.80.0 ∼ 192.168.80.255 のすべてのアドレ スを示します ) 2001:db8:123:1::1 - 2001:db8:123:1::22 • Domain List [ ドメインリスト ] — それぞれのリストでは 1 行につき 1 つまでのド メイン名エントリを持たせることが可能です。例: www.p301srv03.paloalonetworks.com ftp.example.co.uk test.domain.net 外部動的リストに含まれるドメインリストについて、ファイアウォールはタイプが スパイウェアかつ重大度が中のカスタムシグネチャのセットを作成するため、ドメ インのカスタムリストをシンクホールにかけることができます。 • URL List [URL リスト ] — それぞれのリストでは 1 行につき 1 つまでの URL エン トリを持たせることが可能です。例: financialtimes.co.in www.wallaby.au/joey www.exyang.com/auto-tutorials/How-to-enter-Data-for-Success.aspx *.example.com/* For each URL list, the default action is set to allow. デフォルトのアクションを編集 する方法については、「URL フィルタリング プロファイル」を参照してください。 内容 外部動的リストの説明を入力します(最大 255 文字)。 送信元 テキスト ファイルが含まれている HTTP または HTTPS URL パスを入力します。た とえば、「http://1.1.1.1/myfile.txt」のようになります。 繰り返し ファイアウォールが Web サーバーからリストを取得する頻度を指定します。hourly [ 毎時 ]、five-minute [5 分おき ]、daily [ 毎日 ]、weekly [ 毎週 ] または monthly [ 月 次 ] を選択できます。ファイアウォールは設定された間隔でリストを取得し、設定 の変更を自動的にコミットします。リストを参照するポリシールールはすべて更新 されるため、ファイアウォールは正常にポリシーを適用することができます。 ソース URL のテスト (ファイアウォールのみ) © Palo Alto Networks, Inc. ソース URL またはサーバー パスが使用できるかどうかをテストします。 Web インターフェイス リファレンス ガイド、バージョン 7.1 • 273 カスタムオブジェクト オブジェクト カスタムオブジェクト ポリシーに適用して使用する、データパターン、脆弱性とスパイウェアのシグネチャ、およ び URL カテゴリをカスタマイズして作成します。 • 「カスタムデータパターン」 • 「カスタムのスパイウェアシグネチャと脆弱性シグネチャ」 • 「カスタム URL カテゴリ」 カスタムデータパターン Objects > Custom Objects > Data Patterns [ ࢜ࣈࢪ࢙ࢡࢺ > ࢝ࢫࢱ࣒ ࢜ࣈࢪ࢙ࢡࢺ > ࢹ࣮ ࢱ ࣃࢱ࣮ࣥ ] データフィルタリングセキュリティポリシーを使用してフィルタリング対象とする機密情報 のカテゴリを定義する場合は、Objects > Custom Objects > Data Patterns [ オブジェクト > カスタ ムオブジェクト > データパターン ] のページを使用します。データ フィルタリング プロファ イルの定義方法の詳細は、「データ フィルタリング プロファイル」を参照してください。 以下の表では、データ パターン設定について説明します。 表 148. データ パターン設定 フィールド 内容 名前 データ パターン名 ( 最大 31 文字 ) を入力します。名前の大文字と小文字 は区別されます。また、一意の名前にする必要があります。文字、数字、 スペース、ハイフン、およびアンダースコアのみを使用してください。 内容 データ パターンの説明を入力します ( 最大 255 文字 )。 共有 以下に対してデータパターンを公開する場合は、このオプションを選択 します。 • multi-vsys ファイアウォールの各仮想システム (vsys)。この選択を解除 すると、Objects [ オブジェクト ] タブで選択した Virtual System [ 仮想 システム ] のみに対してデータパターンが公開されます。 • Panorama 上の各デバイス グループ。この選択を解除すると、Objects [ オブジェクト ] タブで選択した Device Group [ デバイスグループ ] の みに対してデータパターンが公開されます。 オーバーライドの無効化 (Panorama のみ ) 管理者が、継承した値をオーバーライドすることで、データパターンの ローカルコピーを子孫デバイスグループに作成することを禁止したい場 合はこのオプションを選択してください。デフォルトでは、この項目の 選択は解除(オーバーライドが有効)されています。 重み 事前に指定したパターン タイプの重みを入力します。この重みは、1 ∼ 255 の数値になります。データ フィルタリング プロファイルで指定する [アラートしきい値] および [ブロックしきい値] は、この重みの関数です。 • CC# [ クレジット番号 ] — クレジットカードフィールドの重みを指定し ます(範囲は 0 ∼ 255)。 • SSN# [SSN 番号 ] — 123-45-6789 のようにダッシュが含まれている社会 保障番号フィールドの重みを指定します(範囲は 0 ∼ 255、255 が最も 高い重み )。 • SSN# (without dash) [SSN 番号(ダッシュを除く)] — 123456789 のよ うにエントリにダッシュが含まれていない社会保障番号フィールドの 重みを指定します(範囲は 0 ∼ 255、255 が最も高い重み)。 274 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. オブジェクト カスタムオブジェクト 表 148. データ パターン設定 (続) フィールド 内容 カスタム パターン 事前に定義されているパターンには、クレジット カード番号 (CC#) と社 会保障番号 ( ダッシュ付き (SSN#) およびダッシュなし SSN# (without dash)) が含まれています。 Add [ 追加 ] をクリックして新しいパターンを追加します。パターンの名 前を指定して、パターンを定義する正規表現を入力し、パターンに割り 当てる重みを入力します。必要に応じて、パターンを追加します。詳細 は、「データパターンの構文」を参照してください。 データパターンの構文 新しいパターン ( 正規表現 ) を追加する場合、以下の一般的な要件が適用されます。 • パターンには、照合対象となる 7 バイト以上の文字列が含まれている必要があります。 7 バイトより多くの文字列を含めることができますが、それより少なくはできません。 • 文字列のマッチングで大文字と小文字を区別するかどうかは、使用するデコーダによっ て異なります。大文字と小文字を区別する必要がある場合は、語のすべてのバリエーショ ンに一致させるために考え得るすべての文字列を表すパターンを定義する必要がありま す。たとえば、confidential(部外秘)と指定されたすべての文書に一致させるには、 「confidential」、 「Confidential」、および「CONFIDENTIAL」のすべてに一致するパター ンを作成する必要があります。 PAN-OS の正規表現の構文は、従来の正規表現エンジンと似ていますが、それぞれのエンジ ンはすべて異なります。以下の表に、PAN-OS でサポートされている構文を示します。 表 149. パターンのルール 構文 内容 . 任意の 1 文字に一致します。 ? 直前の文字または表現に 0 ∼ 1 回一致します。一般式は、かっこのペア内にある必要があります。 例:(abc)? * 直前の文字または表現に 0 回以上一致します。一般式は、かっこのペア内にある必要があります。 例:(abc)* + 直前の文字または正規表現に 1 回以上一致します。一般式は、かっこのペア内にある必要がありま す。 例:(abc)+ | 「および」に相当します。 例:((bif)|(scr)|(exe)) は 「bif」、「scr」または「exe」と一致します。代替の従属文字列はかっこで 囲む必要があります。 - 範囲を表すために使用します。 例:[c-z] は、c ∼ z の任意の文字列に一致します。 [] 指定した任意の文字に一致します。 例:[abz] は a、b、または z に一致します。 ^ 指定以外の任意の文字に一致します。 例:[^abz] は a、b、または z 以外の任意の文字に一致します。 {} 最小バイト数 / 最大バイト数です。 例:{10-20} は、10 ∼ 20 バイトの文字列に一致します。固定文字列の直前に使用する必要があり、 「-」のみがサポートされます。 \ 前述の特殊文字のいずれかにリテラル文字として一致させるには、特殊文字の前に「\」(円記号) を使用してエスケープする必要があります。 & & は特殊文字であるため、「&」を文字列として検索する場合は代わりに「&」を使用する必要 があります。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 275 カスタムオブジェクト オブジェクト データ パターンの例 有効なカスタム パターンの例を以下に示します。 • .*((Confidential)|(CONFIDENTIAL)) – 任意の場所から「Confidential」または「CONFIDENTIAL」という言葉を検索します。 – 最初の「.*」は、ストリームの任意の場所を検索することを指定します。 – デコーダが大文字小文字を区別するかどうかに応じて、上のパターンは「confidential」 (すべて小文字)に一致しないことがあります。 • .*((Proprietary & Confidential)|(Proprietary and Confidential)) – 「Proprietary & Confidential」または「Proprietary and Confidential」を検索します。 – 「Confidential」の検索よりも詳細な検索です。 • .*(Press Release).*((Draft)|(DRAFT)|(draft)) – さまざまな形式の単語 draft が後に続く「Press Release」を検索します。これに一致す る場合は、プレスリリースの公開準備が整っていないことを示します。 • .*(Trinidad) – 「Trinidad」などのプロジェクトコード名を検索します。 カスタムのスパイウェアシグネチャと脆弱性シグネチャ Objects > Custom Objects > Spyware [ ࢜ࣈࢪ࢙ࢡࢺ > ࢝ࢫࢱ࣒ ࢜ࣈࢪ࢙ࢡࢺ > ࢫࣃ ࢙࢘ ] Objects > Custom Objects > Vulnerability [ ࢜ࣈࢪ࢙ࢡࢺ > ࢝ࢫࢱ࣒ ࢜ࣈࢪ࢙ࢡࢺ > ⬤ᙅ ᛶ] ファイアウォールでは、ファイアウォールの脅威エンジンを使用してカスタムのスパイウェ ア シグネチャと脆弱性シグネチャを作成する機能をサポートしています。スパイウェアの phone home 通信や脆弱性の悪用を特定するためのカスタム正規表現パターンを記述できま す。作成したスパイウェアと脆弱性のパターンは、カスタム脆弱性プロファイルで使用でき ます。ファイアウォールは、カスタム定義されたパターンがネットワーク トラフィックに含 まれていないか検索し、脆弱性の悪用に対して指定されたアクションを実行します。 週次のコンテンツ リリースには、新しいデコーダとシグネチャを開発する ためのコンテクストが定期的に含まれています。 カスタム シグネチャを定義するときに任意で時間属性を含めることができます。これを行う には、攻撃に対してアクションをトリガーする間隔ごとにしきい値を指定します。しきい値 に達した場合にのみアクションが実行されます。 276 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. オブジェクト カスタムオブジェクト アンチスパイウェアプロファイルのシグネチャを定義する場合は、Custom Spyware Signature [ カスタムスパイウェアシグネチャ ] のページを使用します。脆弱性防御プロファイルのシグネ チャを定義するには、Custom Spyware Signature [ カスタム脆弱性シグネチャ ] ページを使用し ます。 表 150. カスタム シグネチャ - 脆弱性およびスパイウェア フィールド 内容 Configuration [ 設定 ] タブ 脅威 ID その設定で使用する識別子の数値を入力します(スパイウェアシグネ チャの範囲は 15000 ∼ 18000、脆弱性シグネチャの範囲は 41000 ∼ 45000)。 名前 脅威の名前を指定します。 共有 以下に対してカスタムシグネチャを公開する場合は、このオプションを 選択します。 • multi-vsys ファイアウォールの各仮想システム (vsys)。この選択を解除 すると、Objects [ オブジェクト ] タブで選択した Virtual System [ 仮想 システム ] のみに対してカスタムシグネチャが公開されます。 • Panorama 上の各デバイス グループ。この選択を解除すると、Objects [ オブジェクト ] タブで選択した Device Group [ デバイスグループ ] の みに対してカスタムシグネチャが公開されます。 オーバーライドの無効化 (Panorama のみ ) 管理者が、継承した値をオーバーライドすることで、カスシグネチャの ローカルコピーを子孫デバイスグループに作成することを禁止したい場 合はこのオプションを選択してください。デフォルトでは、この項目の 選択は解除(オーバーライドが有効)されています。 コメント 任意でコメントを入力します。 重大度 脅威の重大度を示すレベルを割り当てます。 デフォルト アクション 脅威の条件を満たしたときに実行されるデフォルトのアクションを割り 当てます。アクションの一覧については、 「セキュリティ プロファイルの アクション」を参照してください。 方向 脅威を評価する方向 ( クライアントからサーバー、サーバーからクライ アント、その両方 ) を指定します。 影響を受けるシステム 脅威によって影響を受ける対象 ( クライアント、サーバー、そのどちら か、その両方 ) を指定します。脆弱性シグネチャには適用されますが、ス パイウェア シグネチャには適用されません。 CVE CVE (Common Vulnerability Enumeration) を、追加情報および分析のた めの外部参照として指定します。 ベンダー 脆弱性のベンダー識別子を、追加情報および分析のための外部参照とし て指定します。 Bugtraq Bugtraq (CVE と類似 ) を、追加情報および分析のための外部参照として 指定します。 リファレンス 必要に応じて、追加の分析または情報用にリンクを追加します。この情 報は、ユーザーが ACC、ログ、または脆弱性プロファイルから脅威をク リックすると表示されます。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 277 カスタムオブジェクト オブジェクト 表 150. カスタム シグネチャ - 脆弱性およびスパイウェア (続) フィールド 内容 Signatures [ シグネチャ ] タブ 標準シグネチャ Standard [ 標準 ] を選択し、新しいシグネチャを Add [ 追加 ] します。以 下の情報を指定します。 • Standard [ 標準 ] — シグネチャの識別に使用する名前を入力します。 • Comment [ コメント ] — 任意で説明を入力します。 • Ordered Condition Match [ 順番が付けられた条件の一致 ] — シグネ チャの条件の定義順序が重要である場合に選択します。 • Scope [ 範囲 ] — このシグネチャの適用対象 ( 現在のトランザクション のみ、またはユーザー セッション全体 ) を選択します。 Add Or Condition [Or 条件を追加 ] または Add And Condition [And 条件 を追加 ] をクリックして条件を追加します。グループ内に条件を追加す るには、グループを選択して Add Condition [ 条件の追加 ] をクリックし ます。シグネチャに条件を追加して、条件として定義したパラメータが 真の場合にトラフィックのシグネチャが生成されるようにします。ド ロップダウンリストから Operator [ 演算子 ] を選択します。演算子によっ て、カスタム シグネチャがトラフィックと一致するために真である必要 がある条件のタイプが決まります。Less Than [ 未満 ]、Equal To [ 等しい ]、 Greater Than [ 超過 ]、または Pattern Match [ パターンマッチ ] 演算子を 選択します。 • Pattern Match [ パターン マッチ ] 演算子を選択する際には、以下が真 になるように指定すると、シグネチャがトラフィックと一致します。 – Context [ コンテクスト ] — 使用可能なコンテクストから選択します。 – Pattern [ パターン ] — 正規表現を指定します。正規表現のパターン のルールの詳細は、表 149 を参照してください。 – Qualifier and Value [ 修飾子と値 ] — 任意で修飾子 / 値のペアを追加 します。 – Negate [ 否定 ] — Negate を選択すると、定義済みのパターンマッチ 条件が真でない場合のみ、カスタムシグネチャがトラフィックと一 致します。これにより、特定の条件が満たされたとき、カスタム シ グネチャがトリガーされないようにできます。 注:Negate 条件だけのカスタム シグネチャを作成することはできませ ん。Negate 条件を指定するには、少なくとも 1 つの肯定条件を含める必 要があります。また、シグネチャの範囲がセッションに設定されている 場合、トラフィックと一致させるには、Negate 条件を最後の条件に設定 しないようにしてください。 今リリースより、カスタムの脆弱性シグネチャまたはスパイウェア シグ ネチャに例外を定義できるようになりました。それには、トラフィック がシグネチャとシグネチャの例外の両方に一致したときシグネチャの生 成を否定する新しいオプションを使用します。このオプションを使用す ると、通常ならスパイウェアまたは脆弱性攻撃として分類されるネット ワーク内の特定のトラフィックを許可できます。その場合、パターンに 一致するトラフィックについてのみ、シグネチャが生成されます。パター ンには一致するが、パターンの例外にも一致するトラフィックは、シグ ネチャ生成の対象から除外され、関連するポリシー アクション ( ブロッ クやドロップなど ) も実行されません。たとえば、リダイレクトされた URL に対して生成されるシグネチャを定義し、同時に、信頼されたドメ インにリダイレクトされた URL についてはシグネチャを生成しないと いう例外も作成できるようになりました。 278 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. オブジェクト カスタムオブジェクト 表 150. カスタム シグネチャ - 脆弱性およびスパイウェア (続) フィールド 内容 • Equal To [ 等しい ]、Less Than [ 未満 ]、または Greater Than [ 超過 ] の演算子を選択する場合は、以下が真になるように指定すると、シグ ネチャがトラフィックと一致します。 – Context [ コンテクスト ] — TCP または UDP の未知のリクエストま たは応答から選択します。 – Position [ 位置 ] — ペイロードの最初の 4 バイトまたは 2 番目の 4 バ イトのいずれかを選択します。 – Mask [ マスク ] — 4 バイトの 16 進数値を指定します ( たとえば、 0xffffff00)。 – Value [値] — 4 バイトの 16 進数値を指定します (たとえば、 0xaabbccdd)。 組み合わせシグネチャ © Palo Alto Networks, Inc. Combination [ 組み合わせ ] を選択し、以下の情報を指定します。 Combination Signatures [ 組み合わせシグネチャ ] を選択し、シグネチャ を定義する条件を以下のように指定します。 • Add AND Condition [AND 条件を追加 ] または Add OR Condition [OR 条 件を追加 ] をクリックして条件を追加します。グループ内に条件を追加 するには、グループを選択して Add Condition [ 条件の追加 ] をクリッ クします。 • グループ内で条件を移動するには、条件を選択して Move Up [ 上へ ] ま たは Move Down [ 下へ ] をクリックします。グループを移動するには、 グループを選択して Move Up [ 上へ ] または Move Down [ 下へ ] をク リックします。グループ間で条件を移動することはできません。 Time Attribute [ 時間属性 ] を選択し、以下の情報を指定します。 • Number of Hits [ ヒット数 ] — ポリシーベースのアクションをトリガー するしきい値を、指定した秒数 (1 ∼ 3600) のヒット数 (1 ∼ 1000) とし て指定します。 • Aggregation Criteria [ 集約基準 ] — ヒットの追跡方法 ( 送信元 IP アド レス、宛先 IP アドレス、または送信元 IP アドレスと宛先 IP アドレス の組み合わせ ) を指定します。 • グループ内で条件を移動するには、条件を選択して Move Up [ 上へ ] ま たは Move Down [ 下へ ] をクリックします。グループを移動するには、 グループを選択して Move Up [ 上へ ] または Move Down [ 下へ ] をク リックします。グループ間で条件を移動することはできません。 Web インターフェイス リファレンス ガイド、バージョン 7.1 • 279 カスタムオブジェクト オブジェクト カスタム URL カテゴリ Objects > Custom Objects > URL Category [ ࢜ࣈࢪ࢙ࢡࢺ > ࢝ࢫࢱ࣒ ࢜ࣈࢪ࢙ࢡࢺ > URL ࢝ࢸࢦࣜ ] カスタム URL カテゴリのページを使用して URL のカスタムリストを作成し、URL フィルタ リングプロファイルまたはポリシールールの一致条件に使用します。カスタム URL カテゴリ では URL エントリを個別に追加したり、あるいは URL のリストを含むテキストファイルを インポートすることができます。 カスタム カテゴリに追加される URL エントリの大文字と小文字は区別さ れます。 以下の表では、カスタム URL 設定について説明します。 表 151. カスタム URL カテゴリ フィールド 内容 名前 カスタム URL カテゴリの識別に使用する名前 (最大 31 文字) を入力しま す。URL フィルタリングポリシーを定義する場合と、ポリシールールの URL カテゴリの一致条件のカテゴリリストにこの名前が表示されます。 名前の大文字と小文字は区別されます。また、一意の名前にする必要が あります。文字、数字、スペース、ハイフン、およびアンダースコアの みを使用してください。 内容 URL カテゴリの説明を入力します ( 最大 255 文字 )。 共有 以下に対して URL カテゴリを公開する場合は、このオプションを選択 します。 • multi-vsys ファイアウォールの各仮想システム (vsys)。この選択を解除 すると、Objects [ オブジェクト ] タブで選択した Virtual System [ 仮想 システム ] のみに対して URL カテゴリが公開されます。 • Panorama 上の各デバイス グループ。この選択を解除すると、Objects [ オブジェクト ] タブで選択した Device Group [ デバイスグループ ] の みに対して URL カテゴリが公開されます。 オーバーライドの無効化 (Panorama のみ ) 継承した値を管理者がオーバーライドし、URL カテゴリのローカルコ ピーを子孫デバイスグループに作成することを禁止したい場合はこのオ プションを選択してください。デフォルトでは、この項目の選択は解除 (オーバーライドが有効)されています。 280 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. オブジェクト セキュリティプロファイル 表 151. カスタム URL カテゴリ (続) フィールド 内容 アクション Add [ 追加 ] — URL を入力する場合は Add [ 追加 ] をクリックしてくださ い(各行につき 1 つまで)。それぞれの URL は「www.example.com」の 形式、または「*.example.com」などのワイルドカードを含むものでもか まいません。サポートされる形式に関する詳細な情報については「URL フィルタリング プロファイル設定」のブロックリストを参照してくださ い。 Import [ インポート ] — Import [ インポート ] をクリックし、URL リスト が含まれているテキストファイルを参照して選択します。1 行あたり 1 つ の URL のみを入力します。それぞれの URL は「www.example.com」の 形式、または「*.example.com」などのワイルドカードを含むものでもかま いません。サポートされる形式に関する詳細な情報については「URL フィ ルタリング プロファイル設定」のブロックリストを参照してください。 Export [ エクスポート ] — Export [ エクスポート ] をクリックし、リスト に含まれるカスタム URL エントリをエクスポートします。URL はテキ ストファイルとして出力されます。 Delete [ 削除 ] — DNS プロキシエントリを選択し、Delete [ 削除 ] をク リックすると、リストから URL が削除されます。 注:URL フィルタリングプロファイルで使用したカスタムカテゴリを削 除する場合は、アクションを None [ なし ] に設定する必要があります。 See Category actions in 「URL フィルタリング プロファイル」。 セキュリティプロファイル セキュリティ プロファイルでは、セキュリティポリシーで脅威から保護します。それぞれの セキュリティポリシーには、1 つ以上のセキュリティプロファイルを含めることができます。 以下のタイプのプロファイルを使用できます。 • アンチウイルス プロファイル — ワーム、ウイルス、トロイの木馬から保護したり、スパ イウェアのダウンロードをブロックしたりします。「アンチウイルス プロファイル」を 参照してください。 • アンチスパイウェア プロファイル — 侵入されたホストのスパイウェアから外部指揮統 制 (C2) サーバーに対する phone-home 通信またはビーコン通信の試みをブロックしま す。「アンチスパイウェアプロファイル」を参照してください。 • 脆弱性防御プロファイル — システムの脆弱性の悪用やシステムへの不正アクセスを防止 します。「脆弱性防御プロファイル」を参照してください。 • URL フィルタリング プロファイル — 特定の Web サイトや Web サイトカテゴリ (ショッピ ングやギャンブルなど ) へのユーザーのアクセスを制限します。「URL フィルタリング プロファイル」を参照してください。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 281 セキュリティプロファイル オブジェクト • ファイル ブロッキング プロファイル — 選択したファイル タイプの指定したセッション フロー方向 ( インバウンド、アウトバウンド、両方 ) のトラフィックをブロックします。 「ファイル ブロッキング プロファイル」を参照してください。 • WildFire 分析プロファイル — WildFire アプライアンスまたは WildFire クラウドでロー カルに実行されるファイル分析を指定します。 「WildFire 分析プロファイル」を参照して ください。 • データ フィルタリング プロファイル — クレジット カード番号や社会保障番号などの機 密情報が、保護されたネットワークから漏出するのを防ぎます。「データ フィルタリン グ プロファイル」を参照してください。 個々のプロファイルの他に、一緒に適用されることが多いプロファイルをまとめて Objects > Security Profile Groups [ オブジェクト > セキュリティプロファイルグループ ] からセキュリ ティプロファイルグループを作成することもできます。 セキュリティ プロファイルのアクション アクションには、脅威イベントに対するファイアウォールの応答方法を指定します。Palo Alto Networks で定義されている脅威やウイルス シグネチャには、デフォルト アクションが用意 されています。デフォルト アクションは通常、Alert [ アラート ] または Reset Both [ 両方のリ セット ] に設定されています。前者は、通知用に有効にしたオプションを使用して通知されま す。後者は、接続の両側をリセットします。ただし、デフォルト アクションは、ファイア ウォール上で定義またはオーバーライドできます。アンチウイルス プロファイル、アンチス パイウェア プロファイル、脆弱性防御プロファイル、カスタム スパイウェア オブジェクト、 またはカスタム脆弱性オブジェクトを定義する際には、以下のアクションを適用できます。 動作 内容 Default 各脅威に対して内部的に 指定されているデフォル ト アクションが実行され ます。 アンチウイ ルスプロ ファイル アンチスパ イウェアプ ロファイル 脆弱性防御 プロファイ ル カスタム オ ブジェクト — スパイ ウェアと 脆弱性 アンチウイルス プロファイ ルの場合、ウイルス シグネ チャのデフォルト アクショ ンが実行されます。 Allow アプリケーション トラ フィックが許可されます。 Alert 各アプリケーション トラ フィック フローのアラー トが生成されます。アラー トは脅威ログに保存され ます。 Drop アプリケーショントラフィッ クが廃棄されます。 282 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. オブジェクト セキュリティプロファイル 動作 内容 Reset Client TCP の場合、クライアン ト側の接続がリセットさ れます。 アンチウイ ルスプロ ファイル アンチスパ イウェアプ ロファイル 脆弱性防御 プロファイ ル カスタム オ ブジェクト — スパイ ウェアと 脆弱性 UDP の場合、接続が廃棄さ れます。 Reset Server TCP の場合、サーバー側の 接続がリセットされます。 UDP の場合、接続が廃棄さ れます。 Reset Both TCP の場合、クライアント 側とサーバー側の両方の 接続がリセットされます。 UDP の場合、接続が廃棄さ れます。 Block IP このアクションでは、送信 元からのトラフィックま たは送信元と宛先のペア からのトラフィックが指 定した期間 ( 設定可能 ) ブ ロックされます。 Sinkhole このアクションでは、悪質 なドメインに向けられた DNSクエリをシンクホール IP アドレスに転送します。 このアクションは Palo Alto Networks DNS シグネチャ および「外部動的リスト」 に含まれるカスタムドメイ ンで使用することができま す。 セキュリティポリシーで使用されているプロファイルは削除できません。 削除する場合は、先にセキュリティポリシーからプロファイルを削除する 必要があります。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 283 セキュリティプロファイル オブジェクト アンチウイルス プロファイル Objects > Security Profiles > Antivirus [ ࢜ࣈࢪ࢙ࢡࢺ > ࢭ࢟ࣗࣜࢸࣉࣟࣇࣝ > ࣥ ࢳ࢘ࣝࢫ ] Antivirus Profiles [ アンチウイルス プロファイル ] ページを使用して、定義されたトラフィッ クに対するファイアウォールのウイルス スキャンのオプションを設定します。ウイルス検査 対象のアプリケーションと、ウイルス検出時に実行するアクションを設定します。デフォル トのプロファイルでは、表示されているすべてのプロトコル デコーダがウイルス検査の対象 になります。Simple Mail Transport Protocol (SMTP)、Internet Message Access Protocol (IMAP)、および Post Office Protocol Version 3 (POP3) ではアラートが生成され、他のアプリ ケーションでは検出されたウイルスのタイプに応じてデフォルトのアクション ( アラートま たは拒否 ) が実行されます。次にプロファイルは、特定のゾーンを通過するトラフィックから 検査対象のトラフィックを判別するため、セキュリティポリシーに適用されます。 カスタマイズしたプロファイルを使用して、信頼されたセキュリティ ゾーン間のトラフィッ クに対するウイルス対策の検査を最小限に抑え、インターネットなどの信頼されていない ゾーンから受信したトラフィックや、サーバー ファームなどの機密性の高い宛先に送信され るトラフィックの検査を最大化できます。 すべてのセキュリティプロファイルタイプの一覧と、それに一致するトラフィックに対して 実行可能なアクションについては、「セキュリティプロファイル」を参照してください。 新しいアンチウイルスプロファイルを追加する場合は、Add [ 追加 ] を選択し、以下の設定を 行います。 フィールド 設定場所 内容 名前 Objects > Security Profiles > Antivirus [ オブジェクト > セキュ リティプロファイル > アンチウイルス ] プロファイル名 ( 最大 31 文字 ) を入力します。この名前 は、セキュリティポリシーを定義するときにアンチウイル ス プロファイルのリストに表示されます。名前の大文字 と小文字は区別されます。また、一意の名前にする必要が あります。文字、数字、スペース、ハイフン、ピリオド、 およびアンダースコアのみを使用してください。 内容 プロファイルの説明を入力します ( 最大 255 文字 )。 共有 以下に対してプロファイルを公開する場合は、このオプ ションを選択します。 • multi-vsys ファイアウォールの各仮想システム (vsys)。 この選択を解除すると、Objects [ オブジェクト ] タブで 選択した Virtual System [ 仮想システム ] のみに対して プロファイルが公開されます。 • Panorama 上の各デバイス グループ。この選択を解除す ると、Objects [ オブジェクト ] タブで選択した Device Group [ デバイスグループ ] のみに対してプロファイル が公開されます。 オーバーライドの無効化 (Panorama のみ ) 管理者が、継承した値をオーバーライドすることで、プロ ファイルのローカルコピーを子孫デバイスグループに作 成することを禁止したい場合はこのオプションを選択し てください。デフォルトでは、この項目の選択は解除(オー バーライドが有効)されています。 Antivirus [ アンチウイルス ] アンチウイルスのタブでは、ftp や http など、様々 なタイプのトラフィックに対するアクションを指定 することができます。 パケットキャプチャ 識別されたパケットをキャプチャする場合は、このオプ ションを選択します。 284 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. オブジェクト セキュリティプロファイル フィールド 設定場所 内容 デコーダとアクション ウイルスを検査するトラフィックのタイプごとに、ドロッ プダウンリストからアクションを選択します。標準のアン チウイルス シグネチャ (Action [ アクション ] 列 ) と WildFire システムで生成されたシグネチャ (WildFire Action [WildFire アクション] 列) にさまざまなアクションを定義できます。 環境によっては、アンチウイルス シグネチャに長めの ソーク時間を必要とするため、このオプションでは、Palo Alto Networks が提供する 2 つのアンチウイルス シグネ チャ タイプに異なるアクションを設定できます。たとえ ば、標準のアンチウイルス シグネチャは、リリースされ るまでのソーク時間がより長い (24 時間 ) のに対し、 WildFire シグネチャは脅威が検出されてから 15 分以内に 生成されてリリースされます。このため、アクションに block ではなく、WildFire シグネチャに基づく alert を選 択する必要が生じることもあります。 アプリケーション例外と アクション Applications Exception [ アプリケーション例外 ] テーブル では、検査対象外のアプリケーションを定義することがで きます。たとえば、特定のアプリケーションを除くすべて の HTTP トラフィックをブロックするには、そのアプリ ケーションが例外になるようにアンチウイルス プロファ イルを定義します。Block [ ブロック ] は HTTP デコーダ に対するアクションで、Allow [ 許可 ] はアプリケーショ ンの例外です。アプリケーション例外ごとに、脅威の検出 時に実行するアクションを選択します。アクションの一覧 については、「セキュリティ プロファイルのアクション」 を参照してください。 アプリケーションを検索するには、アプリケーション名を テキスト ボックスに入力します。一致するアプリケーショ ンのリストが表示され、選択ができるようになります。 ウイルス例外 Virus Exceptions [ ウイルスの例外 ] タブを使用して、 アンチウイルスプロファイルで無視する脅威のリス トを定義します。 脅威 ID 無視したい特定の脅威を追加する場合は、脅威 ID を 1 つ ずつ入力し、Add [ 追加 ] をクリックします。Threat ID は、 Threat ログの情報の一部として表示されます。 「ログ」を 参照してください。 アンチスパイウェアプロファイル Objects > Security Profiles > Anti-Spyware [ ࢜ࣈࢪ࢙ࢡࢺ > ࢭ࢟ࣗࣜࢸࣉࣟࣇࣝ > ࣥࢳࢫࣃ࢙࢘ ] アンチスパイウェアプロファイルをセキュリティポリシーに関連付けることで、ネットワー ク上のシステムにインストールされたスパイウェアを発信元とする「フォンホーム」接続を 検出できます。セキュリティポリシー内の 2 つの事前定義済みアンチスパイウェアプロファ イルのどちらかを選択できます。これらの各プロファイルには、脅威の重大度別に整理され た事前定義ルールのセットが用意されています。各脅威シグネチャには、Palo Alto Networks によって指定されたデフォルトアクションが含まれています。 • Default — 各シグネチャのデフォルトのアクションを使用します。デフォルトのアクショ ンは、シグネチャの作成時に Palo Alto Networks によって指定されます。 • Strict — strict プロファイルは、重要、高、中の重大度の脅威のシグネチャ ファイルに定 義されているアクションをオーバーライドして、ブロック アクションに設定します。デ フォルト アクションは、低および情報の重大度を持つ脅威とみなされます。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 285 セキュリティプロファイル オブジェクト カスタムのプロファイルを作成することもできます。たとえば、信頼されたセキュリティ ゾー ン間のトラフィックのアンチスパイウェア検査における厳重度を軽減して、インターネット から受信したトラフィック、またはサーバー ファームなどの保護資産に送信されるトラ フィックの検査の厳重度を最大化するといったことができます。 以下の表では、アンチスパイウェアプロファイル設定について説明します。 表 152. アンチスパイウェア プロファイル設定 フィールド 内容 名前 プロファイル名 ( 最大 31 文字 ) を入力します。この名前は、セキュリティ ポリシーを定義するときにアンチスパイウェアプロファイルのリストに 表示されます。名前の大文字と小文字は区別されます。また、一意の名 前にする必要があります。文字、数字、スペース、ハイフン、ピリオド、 およびアンダースコアのみを使用してください。 内容 プロファイルの説明を入力します ( 最大 255 文字 )。 共有 以下に対してプロファイルを公開する場合は、このオプションを選択し ます。 • multi-vsys ファイアウォールの各仮想システム (vsys)。この選択を解除 すると、Objects [ オブジェクト ] タブで選択した Virtual System [ 仮想 システム ] のみに対してプロファイルが公開されます。 • Panorama 上の各デバイス グループ。この選択を解除すると、Objects [ オブジェクト ] タブで選択した Device Group [ デバイスグループ ] の みに対してプロファイルが公開されます。 オーバーライドの無効化 (Panorama のみ ) 管理者が、継承した値をオーバーライドすることで、プロファイルのロー カルコピーを子孫デバイスグループに作成することを禁止したい場合は このオプションを選択してください。デフォルトでは、この項目の選択 は解除(オーバーライドが有効)されています。 ルール カスタム重大度レベルを定義し、任意の脅威(指定した文字列を 含む名前をもつ特定の脅威、そしてアドウェアなどの脅威カテゴ リ)に対して取るべきアクションを定義することができます。 ルール名 ルール名を指定します。 脅威名 すべてのシグネチャを照合する場合は any と入力します。または、シグ ネチャ名の一部として入力されたテキストを含むすべてのシグネチャを 照合するテキストを入力します。 重大度 重大度レベル (critical [ 重要 ]、high [ 高 ]、medium [ 中 ]、low [ 低 ]、ま たは informational [ 通知 ]) を選択します。 動作 各脅威のアクションを選択します。アクションの一覧については、 「セ キュリティ プロファイルのアクション」を参照してください。 パケットキャプチャ 識別されたパケットをキャプチャする場合は、このオプションを選択し ます。 脅威が検出されたときに 1 つのパケットをキャプチャするには、singlepacket、1 ∼ 50 個のパケットをキャプチャするには、extended-capture オプションを選択します。extended-capture では、脅威ログを分析する ときに脅威についてより詳細なコンテクストを得られます。パケット キャプチャを表示する場合は、Monitor > Logs > Threat [ 監視 > ログ > 脅 威 ] を選択し、関心のあるログエントリを見つけて、第 2 列にある緑の 下矢印をクリックします。キャプチャするパケットの数を定義するには、 Device > Setup > Content-ID [ デバイス > セットアップ > コンテンツ ID] に移動し、コンテンツ ID 設定を編集します。 パケットキャプチャは、アクションが allow または alert の場合にのみ行 われます。block アクションが設定されている場合、セッションは即座に 終了します。 286 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. オブジェクト セキュリティプロファイル 表 152. アンチスパイウェア プロファイル設定 (続) フィールド Exceptions [ 例外 ] タブ 内容 例外 アクションを割り当てようとしている脅威に対して Enable [ 有効化 ] を それぞれ選択するか、All [ すべて ] を選択してリストにあるすべての脅 威に対するアクションを有効化します。このリストは、選択したホスト、 カテゴリ、および重大度によって異なります。リストが空の場合、現在 の選択に対応する脅威がないことを表します。 IP Address Exemptions [IP アドレスの除外 ] 列を使用して、脅威例外を フィルタリングする IP アドレスを追加します。脅威例外に IP アドレス が追加されている場合、そのシグネチャの脅威例外アクションは、送信 元または宛先 IP のいずれかが例外の IP に一致するセッションによって シグネチャがトリガーされる場合にのみ、ルールのアクションよりも優 先されます。シグネチャあたり最大 100 個の IP アドレスを追加できま す。このオプションでは、特定の IP アドレスの例外を作成するために新 しいポリシー ルールと新しい脆弱性プロファイルを作成する必要はあり ません。 DNS Signature [DNS シグネチャ ] タブ DNS Signatures [DNS シグネチャ ] 設定は、ネットワーク上の感染した ホストを特定する追加方法です。これらのシグネチャは、マルウェアに 関連付けられているホスト名の特定の DNS ルックアップを検出します。 DNS シグネチャは、通常のアンチウイルスシグネチャと同様に、これら のクエリが観察されると許可、アラート、シンクホール、またはブロッ クするように設定できます。さらに、マルウェアドメインの DNS クエリ を実行するホストはボットネットレポートに表示されます。DNS シグネ チャは、アンチウイルス更新の一部としてダウンロードされます。 外部動的リストのドメイ ン DNS クエリが発生した場合にアクションを強制的に実施する対象のリス トを選択できます。デフォルトでは、コンテンツアップデートを通じて 配信される DNS シグネチャのリスト(Palo Alto Networks DNS シグネ チャリスト)がシンクホールにかけられるようになっています。シンク ホールに使用されるデフォルトの IP アドレスは Palo Alto Networks のも のです(71.19.152.112)。この IP アドレスは静的ではなく、ファイアウォー ルや Panorama のコンテンツアップデートを通じて変更される場合があ ります。 新しいリストを追加する場合は、Add [ 追加 ] をクリックし、以前作成済 の、タイプがドメインの外部動的リストを選択します。新しいリストを 作成する方法については、「外部動的リスト」を参照してください。 © Palo Alto Networks, Inc. 特定のシグネチャに対するアクションを変更できます。たとえば、特定 のシグネチャ セットについてアラートを生成し、他のすべてのシグネ チャに一致するすべてのパケットをブロックできます。脅威例外は、通 常、誤検出が発生したときに設定します。脅威例外の管理を容易にする ために、脅威例外を Monitor > Logs > Threat [ 監視 > ログ > 脅威 ] リスト から直接追加できます。新規の脅威から保護されるように、または誤検 出に対する新しいシグネチャがインストールされるように、最新のコン テンツ更新を取得してください。 Web インターフェイス リファレンス ガイド、バージョン 7.1 • 287 セキュリティプロファイル オブジェクト 表 152. アンチスパイウェア プロファイル設定 (続) フィールド 内容 DNS クエリに対するア クション 既知のマルウェア サイトに対して DNS ルックアップが実行されたとき に実行するアクションを選択します。ここではアラート、許可、ブロッ ク、シンクホールを使用できます。Palo Alto Networks DNS シグネチャ のデフォルトアクションはシンクホールです。 DNS シンクホール アクションを使用すると、管理者は、ファイアウォー ルがローカル DNS サーバーよりもインターネット側にある ( ファイア ウォールが DNS クエリの発行元を認識できない ) 場合も含め、DNS ト ラフィックを使用してネットワーク上の感染ホストを識別することがで きます。脅威防御ライセンスがインストールされていて、セキュリティ プロファイルでアンチスパイウェアプロファイルが有効な場合、DNS ベースのシグネチャが、マルウェアドメインへの DNS クエリによってト リガーします。ファイアウォールがローカル DNS サーバーよりもイン ターネット側にある通常のデプロイメントでは、脅威ログは、実際の感 染ホストではなくローカル DNS リゾルバをトラフィックの送信元とし て識別します。マルウェア DNS クエリをシンクホールすると、有害なド メインへのクエリに対する応答を偽装することで、この可視性の問題が 解決されます。そのため、悪意のあるドメイン ( たとえば、コマンドア ンドコントロールなど ) への接続を試みるクライアントは、代わりに管 理者が指定した IP アドレスへに接続を試みることになります。こうする ことで、感染ホストをトラフィック ログ内で容易に特定できます。シン クホール IP への接続を試みるホストはすべて、マルウェアに感染してい る可能性が高いためです。 シンクホールのアクションを選択したのち、シンクホールに使用する IPv4 アドレスおよび(もしくは)IPv6 アドレスを指定します。デフォル トでは、シンクホールの IP アドレスは Palo Alto Networks サーバーに設 定されています。こうすることで、トラフィックログを使用し、あるい はシンクホールの IP アドレスでフィルタをかけるカスタムレポートを作 成し、感染したクライアントを特定することができます。 以下は、DNS 要求がシンクホールに掛けられた場合に発生するイベント の流れです。 1. 感染したクライアント コンピュータ上の有害なソフトウェアが DNS クエリを送信して、インターネット上の有害なホストを解決し ます。 パケットキャプチャ 2. クライアントの DNS クエリが内部 DNS サーバーに送信され、ファ イアウォールの反対側にある公開 DNS サーバーをクエリします。 3. DNS クエリは、DNS シグネチャ データベース内の DNS エントリ と一致するため、シンクホール アクションがクエリに対して実行さ れます。 4. 感染したクライアントは、そのホストでセッションを開始しようと しますが、代わりに偽装 IP アドレスを使用します。偽装 IP アドレ スは、アンチスパイウェア プロファイルの [DNS シグネチャ ] タブ でシンクホール アクションが選択されたときに定義されたアドレ スです。 5. 管理者は、 脅威ログに有害な DNS クエリがあるというアラート通知 を受け取り、トラフィック ログ内のシンクホール IP アドレスを検 索して、シンクホール IP アドレスでセッションを開始しようとして いるクライアント IP アドレスを容易に特定できます。 識別されたパケットをキャプチャする場合は、このオプションを選択し ます。 288 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. オブジェクト セキュリティプロファイル 表 152. アンチスパイウェア プロファイル設定 (続) フィールド 内容 パッシブ DNS モニタリ ングを有効にする これは、ファイアウォールがパッシブ DNS センサーとして機能し、選択 した DNS 情報を Palo Alto Networks に送信して分析できるようにして、 脅威インテリジェンスと脅威防御機能の向上を図るオプトイン機能で す。収集されるデータとして、非再帰的 ( 個々のクライアントではなく、 ローカルの再帰的リゾルバから発行される ) DNS クエリや、応答パケッ トのペイロードなどがあります。この情報は、Palo Alto Networks の脅 威調査チームで、DNS システムを悪用するマルウェアの伝播および防御 回避技法への洞察を得るために使用されます。このデータ収集によって 集められた情報は、PAN-DB URL フィルタリング、DNS ベースのコマ ンドアンドコントロール シグネチャ、および WildFire 内の精度とマル ウェア検出機能の向上に使用されます。この機能は、有効に設定するこ とをお勧めします。 ファイアウォールにカスタム サービス ルートが設定されている 場合、パッシブ DNS 機能は WildFire サービス ルートを使用して DNS 情報を Palo Alto Networks に送信します。 このオプションはデフォルトで無効になっています。 脅威 ID DNS シグネチャ例外を手動で入力します ( 範囲は 4000000 ∼ 4999999)。 脆弱性防御プロファイル Objects > Security Profiles > Vulnerability Protection [ ࢜ࣈࢪ࢙ࢡࢺ > ࢭ࢟ࣗࣜࢸࣉࣟ ࣇࣝ > ⬤ᙅᛶ㜵ᚚ ] セキュリティポリシーでは脆弱性防御プロファイルを指定できます。このプロファイルでは、 システムの脆弱性を悪用するバッファオーバーフローや不正コードの実行などに対する保護 レベルを定義します。脆弱性防御機能では、以下の 2 つの事前定義済みプロファイルを使用 できます。 • default プロファイルでは、default アクションがすべてのクライアントおよびサーバーの重 大度が critical、high、medium の脆弱性に適用されます。low および informational の脆 弱性防御イベントは検出されません。 • strict プロファイルでは、block 応答がすべてのクライアントおよびサーバーの重大度が critical、high、medium のスパイウェア イベントに適用され、default アクションが low および informational の脆弱性防御イベントに使用されます。 カスタマイズしたプロファイルを使用して、信頼されたセキュリティ ゾーン間のトラフィッ クに対する脆弱性の検査を最小限に抑え、インターネットなどの信頼されていないゾーンか ら受信したトラフィックや、サーバー ファームなどの機密性の高い宛先に送信されるトラ フィックの保護を最大化できます。脆弱性防御プロファイルをセキュリティポリシーに適用 する方法については、「セキュリティポリシー」を参照してください。 Rules [ ルール ] 設定では、有効にする一連のシグネチャと、一連のシグネチャのいずれかが トリガーされたときに実行するアクションを指定します。 例外設定では、特定のシグネチャに対するレスポンスを変更できます。たとえば、シグネチャ に一致するすべてのパケットをブロックするが選択したシグネチャに一致するパケットはブ ロックしないでアラートを生成するということが可能です。Exception [ 例外 ] タブでは、フィ ルタリング機能がサポートされています。 Vulnerability Protection [ 脆弱性防御 ] ページには、一連のデフォルト列が表示されます。列を 選択するオプションを使用すれば、その他の情報列を表示できます。列ヘッダーの右側にあ る矢印をクリックし、Columns [ カラム ] サブメニューから列を選択します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 289 セキュリティプロファイル オブジェクト 以下の表では、脆弱性防御プロファイル設定について説明します。 表 153. 脆弱性防御プロファイル設定 フィールド 内容 名前 プロファイル名 ( 最大 31 文字 ) を入力します。この名前は、セキュリティ ポリシーを定義するときに脆弱性防御プロファイルのリストに表示され ます。名前の大文字と小文字は区別されます。また、一意の名前にする 必要があります。文字、数字、スペース、ハイフン、ピリオド、および アンダースコアのみを使用してください。 内容 プロファイルの説明を入力します ( 最大 255 文字 )。 共有 以下に対してプロファイルを公開する場合は、このオプションを選択し ます。 • multi-vsys ファイアウォールの各仮想システム (vsys)。この選択を解除 すると、Objects [ オブジェクト ] タブで選択した Virtual System [ 仮想 システム ] のみに対してプロファイルが公開されます。 • Panorama 上の各デバイス グループ。この選択を解除すると、Objects [ オブジェクト ] タブで選択した Device Group [ デバイスグループ ] の みに対してプロファイルが公開されます。 オーバーライドの無効化 (Panorama のみ ) 管理者が、継承した値をオーバーライドすることで、プロファイルのロー カルコピーを子孫デバイスグループに作成することを禁止したい場合は このオプションを選択してください。デフォルトでは、この項目の選択 は解除(オーバーライドが有効)されています。 Rules [ ルール ] タブ ルール名 ルールの識別に使用する名前を指定します。 脅威名 照合するテキスト文字列を指定します。ファイアウォールは、このテキ スト文字列のシグネチャ名を検索して一連のシグネチャをルールに適用 します。 動作 ルールがトリガーされたときに実行するアクションを選択します。アク ションの一覧については、 「セキュリティ プロファイルのアクション」を 参照してください。 Default [ デフォルト ] アクションは、Palo Alto Networks によって提供 された各シグネチャの一部である事前定義のアクションに基づきます。 シ グ ネ チ ャのデフォルトのアクションを表示するには、Objects > Security Profiles > Vulnerability Protection [ オブジェクト > セキュリ ティ プロファイル > 脆弱性防御 ] に移動し、Add [ 追加 ] をクリックする か、既存のプロファイルを選択します。Exceptions [ 例外 ] タブをクリッ クし、Show all signatures [ すべてのシグネチャの表示 ] をクリックしま す。すべてのシグネチャのリストが表示され、Action [ アクション ] 列が 表示されます。 ホスト ルールのシグネチャをクライアント側、サーバー側、またはいずれか (any) に限定するかどうかを指定します。 パケットキャプチャ 識別されたパケットをキャプチャする場合は、このオプションを選択し ます。 脅威が検出されたときに 1 つのパケットをキャプチャするには、singlepacket、1 ∼ 50 個のパケットをキャプチャするには、extended-capture オプションを選択します。extended-capture では、脅威ログを分析する ときに脅威についてより詳細なコンテクストを得られます。パケット キャプチャを表示する場合は、Monitor > Logs > Threat [ 監視 > ログ > 脅 威 ] を選択し、関心のあるログエントリを見つけて、第 2 列にある緑の 下矢印をクリックします。キャプチャするパケットの数を定義するには、 Device > Setup > Content-ID [ デバイス > セットアップ > コンテンツ ID] に移動し、コンテンツ ID 設定を編集します。 パケットキャプチャは、アクションが allow または alert の場合にのみ行 われます。block アクションが設定されている場合、セッションは即座に 終了します。 290 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. オブジェクト セキュリティプロファイル 表 153. 脆弱性防御プロファイル設定 (続) フィールド 内容 カテゴリ 脆弱性のカテゴリに一致する場合にのみシグネチャを適用するには、脆 弱性のカテゴリを選択します。 CVE リスト 指定した CVE に一致する場合にのみシグネチャを適用するには、CVE (Common Vulnerabilities and Exposures) を指定します。 各 CVE の形式は CVE-yyyy-xxxx になります。ここで、yyyy は年、xxxx は一意識別子です。このフィールドで文字列の照合を実行できます。た とえば、2011 年の脆弱性を検索する場合は「2011」と入力します。 ベンダー ID 指定したベンダー ID に一致する場合にのみシグネチャを適用するには、 ベンダー ID を指定します。 たとえば、Microsoft のベンダー ID の形式は MSyy-xxx になります。こ こで、yy は 2 桁の年で、xxx は一意識別子です。たとえば、2009 年の Microsoft を照合する場合は「MS09」と入力します。 重大度 指定した重大度にも一致する場合にのみシグネチャを適用するには、 照合する重大度 (informational [ 通知 ]、low [ 低 ]、medium [ 中 ]、 high [ 高 ]、または critical [ 重要 ]) を選択します。 Exceptions [ 例外 ] タブ 脅威 アクションを割り当てようとしている脅威に対して Enable [ 有効化 ] を それぞれ選択するか、All [ すべて ] を選択してリストにあるすべての脅 威に対するアクションを有効化します。このリストは、選択したホスト、 カテゴリ、および重大度によって異なります。リストが空の場合、現在 の選択に対応する脅威がないことを表します。 各ドロップダウンリストからアクションを選択するか、リストの上部に ある Action [ アクション ] のドロップダウンリストからアクションを選 択してすべての脅威に同じアクションを適用します。Show All [ すべて を表示 ] を選択した場合、すべてのシグネチャが表示されます。そうで ない場合は例外となるシグネチャのみが表示されます。 識別されたパケットをキャプチャする場合は、Packet Capture [ パケット キャプチャ ] を選択します。 脆弱性シグネチャ データベースには、総当たり攻撃を表すシグネチャが 格納されています。たとえば、Threat ID 40001 は FTP 総当たり攻撃でト リガーされます。総当たり攻撃のシグネチャは、特定の時間のしきい値 で条件が発生した場合にトリガーされます。総当たり攻撃のシグネチャ のしきい値は事前に設定されています。これは、(Custom [ カスタム ] オ プションが選択された状態で)Vulnerability [ 脆弱性 ] タブの脅威の名前 の横にある編集( )をクリックして変更できます。単位時間あたりの ヒット数やしきい値の適用先 ( 送信元、宛先、または送信元と宛先の組 み合わせ ) を指定できます。 しきい値は、送信元 IP、宛先 IP、または送信元 IP と宛先 IP の組み合わ せに適用できます。 デフォルトのアクションが、かっこに囲まれて表示されます。CVE 列には、CVE (Common Vulnerabilities and Exposures) の識別子が表 示されます。これらは、公開されている情報セキュリティの脆弱 性に対応する共通の一意の識別子です。 IP Address Exemptions [IP アドレスの除外 ] 列を使用して、脅威例外を フィルタリングする IP アドレスを追加します。脅威例外に IP アドレスが 追加されている場合、そのシグネチャの脅威例外アクションは、送信元ま たは宛先 IP のいずれかが例外の IP に一致するセッションによってシグ ネチャがトリガーされる場合にのみ、ルールのアクションよりも優先され ます。シグネチャあたり最大 100 個の IP アドレスを追加できます。この オプションでは、特定の IP アドレスの例外を作成するために新しいポリ シー ルールと新しい脆弱性プロファイルを作成する必要はありません。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 291 セキュリティプロファイル オブジェクト URL フィルタリング プロファイル Objects > Security Profiles > URL Filtering [ ࢜ࣈࢪ࢙ࢡࢺ > ࢭ࢟ࣗࣜࢸ ࣉࣟࣇࣝ > URL ࣇࣝࢱࣜࣥࢢ ] セキュリティポリシーでは URL フィルタリングプロファイルを指定できます。このプロファ イルを使用して、特定の Web サイトおよび Web サイトカテゴリへのアクセスをブロックし たり、セーフサーチを適用したり、指定した Web サイトにアクセスした場合にアラートを生 成したりします(URL フィルタリングライセンスが必要)。また、常にブロック(またはア ラートを生成)する Web サイトの「ブロック リスト」や常に許可する Web サイトの「許可 リスト」を定義することもできます。 URL フィルタリング プロファイルをセキュリティポリシーに適用する方法については、「セ キュリティポリシー」を参照してください。独自の URL リストでカスタム URL カテゴリを 作成する方法については、「カスタム URL カテゴリ」を参照してください。 以下の表では、URL フィルタリング プロファイル設定について説明します。 表 154. URL フィルタリング プロファイル設定 フィールド 内容 名前 プロファイル名 ( 最大 31 文字 ) を入力します。この名前は、セキュリティ ポリシーを定義するときに URL フィルタリング プロファイルのリスト に表示されます。名前の大文字と小文字は区別されます。また、一意の 名前にする必要があります。文字、数字、スペース、ハイフン、および アンダースコアのみを使用してください。 内容 プロファイルの説明を入力します ( 最大 255 文字 )。 共有 以下に対してプロファイルを公開する場合は、このオプションを選択し ます。 • multi-vsys ファイアウォールの各仮想システム (vsys)。この選択を解除 すると、Objects [ オブジェクト ] タブで選択した Virtual System [ 仮 想システム ] のみに対してプロファイルが公開されます。 • Panorama 上の各デバイス グループ。この選択を解除すると、Objects [ オブジェクト ] タブで選択した Device Group [ デバイスグループ ] の みに対してプロファイルが公開されます。 オーバーライドの無効化 (Panorama のみ ) 管理者が、継承した値をオーバーライドすることで、プロファイルのロー カルコピーを子孫デバイスグループに作成することを禁止したい場合は このオプションを選択してください。デフォルトでは、この項目の選択 は解除(オーバーライドが有効)されています。 292 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. オブジェクト セキュリティプロファイル 表 154. URL フィルタリング プロファイル設定 (続) フィールド 内容 カテゴリー (BrightCloud のみに設定 可能 ) ライセンス有効期限満了 時のアクション URL フィルタリング ライセンスの有効期限が切れた場合に実行するア クションを選択します。 • Block [ブロック] — すべての Web サイトへのアクセスがブロックされ ます。 • Allow [ 許可 ] — すべての Web サイトへのアクセスが許可されます。 注:BrightCloud データベースを使用していて、ライセンスの有効期限が きれたときにこのオプションを Block [ ブロック ] に設定すると、ブロッ クに設定された URL カテゴリだけでなく、すべての URL がブロックさ れます。Allow [ 許可 ] に設定すると、すべての URL が許可されます。 PAN-DBのライセンスが失効するとURLフィルタリングが施行されませ ん。 • 設定内容に応じて、現在キャッシュされている URL カテゴリがコンテ ンツのブロックまたは許可に使用されます。カテゴリ分けの情報が古 い可能性があるので、キャッシュされた結果を使用する場合はセキュ リティリスクが伴います。 • キャッシュに含まれていない URL は non-resolved [ 未解決 ] にカテゴ ライズされ、許可されてしまいます。 ネットワークのセキュリティを保つためにも、ライセンスは必ず有効期 限内に更新してください。 ブロック リスト 注:ブロックする URL の リストを外部動的リスト を使用して動的に更新 (コミットをせずに)する 場合は「外部動的リスト」 を参照してください。 ブロックする、またはアラートを生成する Web サイトの IP アドレスま たは URL パス名を入力します。1 行に 1 つの URL を入力します。 重要:リストに Web サイトを追加する際は、URL の「http」および 「https」部分を省略する必要があります。 ブロック リストのエントリは、完全一致で大文字と小文字が区別されます。 たとえば、 「www.paloaltonetworks.com」は「paloaltonetworks.com」とは 異なります。ドメイン全体をブロックするには、 「*.paloaltonetworks.com」 と「paloaltonetworks.com」の両方を含める必要があります。 例: • www.paloaltonetworks.com • 198.133.219.25/en/US ブロック リストと許可リストではワイルドカード パターンがサポート されます。以下の文字は区切り文字とみなされます。 . / ? & = ; + 上記の文字で区切られた部分文字列はそれぞれトークンとみなされま す。区切り文字が含まれていない任意の長さの ASCII 文字、または「*」 です。たとえば、以下のパターンは有効です。 *.yahoo.com ( トークンは:"*", "yahoo" and "com") www.*.com ( トークンは:"www", "*" and "com") www.yahoo.com/search=* ( トークンは:"www", "yahoo", "com", "search", "*") 以下のパターンでは、 「*」がトークンに含まれる唯一の文字でないため 無効です。 ww*.yahoo.com www.y*.com © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 293 セキュリティプロファイル オブジェクト 表 154. URL フィルタリング プロファイル設定 (続) フィールド 内容 動作 ブロック リストの Web サイトにアクセスしたときに実行するアクショ ンを選択します。 • alert [アラート] — ユーザーは Web サイトにアクセスできますが、URL ログにアラートが追加されます。 • Block [ ブロック ] — Web サイトへのアクセスがブロックされます。 • continue [ 継続 ] — ユーザーは、ブロックされたページの Continue を クリックするとそのページにアクセスできます。 • Override [ オーバーライド ] — ユーザーは、パスワードを入力すれば ブロックされたページにアクセスできます。パスワードおよびその他 のオーバーライド設定は、Settings [ 設定 ] ページの URL Admin Override [URL 管理オーバーライド ] エリアで指定します (「管理設定 の定義」の管理設定表を参照してください )。 許可リスト 注:許可する URL のリス トを外部動的リストを使 用 し て 動 的 に 更 新(コ ミットをせずに)する場 合は「外部動的リスト」 を参照してください。 許可する、またはアラートを生成する Web サイトの IP アドレスまたは URL パス名を入力します。1 行に 1 つずつ IP アドレスまたは URL を入 力します。 重要:リストに Web サイトを追加する際は、URL の「http」および 「https」部分を省略する必要があります。 許可リストのエントリは、完全一致で大文字と小文字が区別されます。た とえば、 「www.paloaltonetworks.com」は「paloaltonetworks.com」とは 異なります。ドメイン全体を許可するには、 「*.paloaltonetworks.com」と 「paloaltonetworks.com」の両方を含める必要があります。 例: • www.paloaltonetworks.com • 198.133.219.25/en/US ブロック リストと許可リストではワイルドカード パターンがサポート されます。以下の文字は区切り文字とみなされます。 . / ? & = ; + 上記の文字で区切られた部分文字列はそれぞれトークンとみなされま す。区切り文字が含まれていない任意の長さの ASCII 文字、または「*」 です。たとえば、以下のパターンは有効です。 *.yahoo.com www.*.com ( トークンは:"*", "yahoo" and "com") ( トークンは:"www", "*" and "com") www.yahoo.com/search=* ( トークンは:"www", "yahoo", "com", "search", "*") 以下のパターンでは、 「*」がトークンに含まれる唯一の文字でないため 無効です。 ww*.yahoo.com www.y*.com このリストは、選択した Web サイトカテゴリよりも優先されます。 294 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. オブジェクト セキュリティプロファイル 表 154. URL フィルタリング プロファイル設定 (続) フィールド 内容 カテゴリ / アクション 事前に定義されたカテゴリに加え、Category [ カテゴリ ] にはカスタムの URL カテゴリおよび URL タイプの外部動的リストが表示されます。す べてのカテゴリに対するアクションはデフォルトで Allow [ 許可 ] に設定 されています。 カテゴリごとに、そのカテゴリに含まれる URL にアクセスしたときに実 行するアクションを選択します。 • alert [ アラート ] — Web サイトへのアクセスを許可しますが、ユー ザーがその URL にアクセスするたびに URL ログにアラートが追加さ れます。 • allow [ 許可 ] — Web サイトへのアクセスが許可されます。 • block [ ブロック ] — Web サイトへのアクセスがブロックされます。 • continue [ 継続 ] — 応答ページが表示されます。ウェブサイトにアク セスする場合、ユーザーは応答ページの Continue [ 続行 ] をクリック する必要があります。 • override [ オーバーライド ] — ユーザーにパスワードの入力を求める応 答ページを表示します。オーバーライドのオプションは、有効なパスワー ドを持つユーザーのみにアクセスを許可します。パスワードやその他の オーバーライド設定を行う場合は、Device > Setup > Content ID [ デバイ ス > 設定 > コンテンツ ID] を開き、URL 管理者オーバーライド設定を編 集します。 (併せて「Content-ID 設定の定義」の管理設定の表を参照し てください) 注:プロキシ サーバーを使用するように設定されているクライアント マ シンでは、Continue [ 継続 ] および Override [ オーバーライド ] ページは 正しく表示されません。 • none [ なし ] (カスタム URL カテゴリのみ)— カスタム URL カテゴ リを作成してあり、ファイアウォールに URL データベースベンダーか らURLフィルタリングカテゴリを継承させる場合はアクションをnone [ なし ] に設定します。アクションを none [ なし ] に設定することで、 URL フィルタリングプロファイルに含まれるカスタムカテゴリを無視 するような柔軟な設定が可能になり、ポリシールール(セキュリティ、 復号化、および QoS)の一致条件としてカスタム URL カテゴリを使用 し、例外を設定したり、異なるアクションを実行させることができま す。カスタム URL カテゴリを削除する場合は、そのカスタムカテゴリ が使用されているすべてのプロファイルでアクションを none [ なし ] に設定する必要があります。カスタム URL カテゴリの詳細は、「カス タム URL カテゴリ」を参照してください。 URL カテゴリをチェッ ク クリックすると、URL または IP アドレスを入力してカテゴリ情報を表示 できる Web サイトにアクセスできます。 動的URLフィルタリング デフォルト:無効 (BrightCloud のみに設定 可能 ) PAN-DB を 使 用 す る 場 合、このオプションはデ フォルトで有効にされて おり、設定できません。 URL を分類するためのクラウド検索を有効にするには、選択します。 URL の分類にローカル データベースを使用できない場合、このオプショ ンが呼び出されます。 5 秒のタイムアウト期間内に URL を解決できない場合、応答は「Not resolved URL」[ 未解決 URL] として表示されます。 コンテナページのみログ を記録 デフォルト:有効 指定したコンテンツタイプに一致する URL のみを記録する場合は、この オプションを選択します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 295 セキュリティプロファイル オブジェクト 表 154. URL フィルタリング プロファイル設定 (続) フィールド 内容 セーフ サーチの適用を 有効化 デフォルト:無効 この機能を使用使用する 場合、URL フィルタリン グライセンスは不要で す。 厳密なセーフサーチフィルタリングを適用する場合は、このオプション を選択します。 このオプションを有効にすると、検索プロバイダ (Bing、Google、Yahoo、 Yandex、YouTube) のいずれかを使用してインターネットを検索する ユーザーには、これらの検索エンジンに対してブラウザで最も高い ( 厳 密 ) セーフ サーチ オプションが設定されていない限り、検索結果が表示 されません。ユーザーが、このいずれかの検索エンジンを使用して検索 を実行し、そのブラウザまたは検索エンジン アカウントのセーフ サーチ 設定が、高 ( 厳密 ) に設定されていない場合、検索結果は ( プロファイル に設定されたアクションに応じて ) ブロックされ、ユーザーには、セー フ サーチ設定を高 (厳密) に設定するようにメッセージが表示されます。 注:Yahoo アカウントにログイン中に Yahoo Japan (yahoo.co.jp) で検索を実 行する場合は、検索設定のロックオプションも有効にする必要がありま す。 セーフサーチを適用するには、プロファイルをセキュリティポリシーに 追加する必要があります。また、暗号化されたサイト (HTTPS) でセーフ サーチを有効にするには、プロファイルを復号化ポリシーに添付する必 要があります。 これら 3 つのプロバイダ内のセーフ サーチ設定を検出するファイア ウォールの機能は、Applications and Threats [ アプリケーションおよび 脅威 ] のシグネチャ更新を使用して更新されます。Palo Alto Networks が セーフ サーチ設定の検出に使用しているセーフ サーチ設定方法をこれ らのプロバイダが変更した場合、設定が正しく検出されるようにシグネ チャ更新が更新されます。また、サイトが安全かどうかを判定する評価 は、Palo Alto Networks ではなく各検索プロバイダが行います。 ユーザーが他の検索プロバイダを使用してこの機能を迂回しないように するには、URL フィルタリング プロファイルで search-engines カテゴリ をブロックするように設定してから、Bing、Google、Yahoo、Yandex、 YouTube へのアクセスを許可します。 詳細は、『PAN-OS 7.1 管理者ガイド』を参照してください。 HTTP ヘッダのロギング HTTP ヘッダーのロギングを有効にすると、サーバーに送信された HTTP 要求に含まれる属性を表示できます。有効な場合、以下の属性 - 値 ペアの 1 つ以上が URL フィルタリング ログに記録されます。 • ユーザー エージェント — ユーザーが URL へのアクセスに使用する Web ブラウザ。この情報は、HTTP 要求でサーバーに送信されます。た とえば、ユーザー エージェントは Internet Explorer または Firefox であ る可能性があります。ログ内のユーザー エージェント値は最大 1024 文 字をサポートします。 • 参照 — ユーザーを別の Web ページにリンクした Web ページの URL。 要求された Web ページにユーザーをリダイレクト ( 参照 ) した送信元 です。ログ内の参照値は最大 256 文字をサポートします。 • x-forwarded-for — Web ページを要求したユーザーの IP アドレスを保 持するヘッダー フィールド オプション。ネットワーク上にプロキシ サーバーがある場合や、送信元 NAT を実装している場合は、すべての 要求がプロキシサーバーの IP アドレスまたは共通の IP アドレスから送 信されているかのようにユーザーの IP アドレスがマスクされてしまう ため、これはユーザーの IP アドレスを識別する際に特に役立ちます。 ログ内の x-forwarded-for 値は最大 128 文字をサポートします。 296 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. オブジェクト セキュリティプロファイル ファイル ブロッキング プロファイル Objects > Security Profiles > File Blocking [ ࢜ࣈࢪ࢙ࢡࢺ > ࢭ࢟ࣗࣜࢸ ࣉࣟࣇࣝ > ࣇࣝ ࣈࣟࢵ࢟ࣥࢢ ] セキュリティポリシーではファイルブロッキングプロファイルを指定できます。このプロ ファイルを使用して、選択したファイルタイプのアップロードやダウンロードをブロックし たり、指定したファイルタイプの検出時にアラートを生成したりすることができます。 ファイル ブロッキング プロファイルをセキュリティポリシーに適用する方法については、 「セキュリティポリシー」を参照してください。 以下の表では、ファイル ブロッキング プロファイル設定について説明します。 表 155. ファイル ブロッキング プロファイル設定 フィールド 内容 名前 プロファイル名 ( 最大 31 文字 ) を入力します。この名前は、セキュリティ ポリシーを定義するときにファイル ブロッキング プロファイルのリス トに表示されます。名前の大文字と小文字は区別されます。また、一意 の名前にする必要があります。文字、数字、スペース、ハイフン、およ びアンダースコアのみを使用してください。 内容 プロファイルの説明を入力します ( 最大 255 文字 )。 共有 以下に対してプロファイルを公開する場合は、このオプションを選択し ます。 • multi-vsys ファイアウォールの各仮想システム (vsys)。この選択を解除 すると、Objects [ オブジェクト ] タブで選択した Virtual System [ 仮想 システム ] のみに対してプロファイルが公開されます。 • Panorama 上の各デバイス グループ。この選択を解除すると、Objects [ オブジェクト ] タブで選択した Device Group [ デバイスグループ ] の みに対してプロファイルが公開されます。 オーバーライドの無効化 (Panorama のみ ) 管理者が、継承した値をオーバーライドすることで、プロファイルのロー カルコピーを子孫デバイスグループに作成することを禁止したい場合は このオプションを選択してください。デフォルトでは、この項目の選択 は解除(オーバーライドが有効)されています。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 297 セキュリティプロファイル オブジェクト 表 155. ファイル ブロッキング プロファイル設定 (続) フィールド 内容 ルール 1 つ以上のルールを定義して、選択したファイル タイプで実行するアク ション ( 存在する場合 ) を指定します。ルールを追加するには、以下を指 定して Add [ 追加 ] をクリックします。 • Name [ 名前 ] — ルール名 ( 最大 31 文字 ) を入力します。 • Applications [ アプリケーション ] — ルールを適用するアプリケーショ ンを選択するか、any [ すべて ] を選択します。 • File Types [ ファイルタイプ ] — ファイルタイプのフィールドをクリッ クし、Add [ 追加 ] をクリックするとサポートされているファイルタイ プの一覧が表示されます。プロファイルに追加したいファイルタイプ をクリックし、必要に応じファイルタイプを追加します。Any [ すべて ] を選択した場合、設定したアクションがすべてのファイルタイプに対 して実行されます。 • Direction [ 方向 ] — ファイル転送の方向 (Upload、Download、または Both) を選択します。 • Action [ アクション ] — 選択したファイル タイプの検出時に実行する アクションを選択します。 – alert [ アラート ] — エントリが脅威ログに追加されます。 – block [ ブロック ] — ファイルがブロックされます。 – continue [ 継続 ] — ダウンロードがリクエストされたことを通知し て、続行するかどうかを確認するようにユーザーに求めるメッセー ジが表示されます。この目的は、認識されないダウンロード ( ドラ イブバイダウンロードとも呼ばれる ) の可能性があることをユー ザーに警告し、そのダウンロードの続行または停止をユーザーが選 択できるようにすることです。 continue [ 継続 ] または continue-and-forward [ 転送して継続 ] のい ずれかのアクション(WildFire 転送に使用される)を使用してファ イルブロッキングプロファイルを作成する場合、選択できるアプ リケーションは web-browsing [Web 閲覧用 ] のみです。その他のア プリケーションを選択すると、ユーザーには続行ページのプロン プトが表示されないため、セキュリティポリシーに一致するトラ フィックはファイアウォールを通過しません。 – forward — ファイルが自動的に WildFire に送信されます。 – continue-and-forward — 続行ページが表示され、ファイルが WildFire に送信されます (continue と forward のアクションの組み合わせ )。 このアクションは、Web ベースのトラフィックについてのみ有効で す。これは、ファイルを転送するには、ユーザーが継続をクリック する必要があることと、続行応答ページ オプションは、http/https でのみ使用可能であるためです。 298 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. オブジェクト セキュリティプロファイル WildFire 分析プロファイル Objects > Security Profiles > WildFire Analysis [ ࢜ࣈࢪ࢙ࢡࢺ > ࢭ࢟ࣗࣜࢸ ࣉࣟࣇ ࣝ > WildFire ศᯒ ] WildFire 分析プロファイルでは、WildFire アプライアンスまたは WildFire クラウドでローカ ルに実行される WildFire ファイル分析を指定します。ファイル タイプ、アプリケーション、 またはファイルの送信方向 ( アップロードまたはダウンロード ) に応じて、パブリック クラ ウドまたはプライベート クラウドにトラフィックを転送するよう指定できます。作成した WildFire 分析プロファイルをポリシーに追加することによって (Policies > Security [ ポリシー > セキュリティ ])、そのプロファイルの設定をそのポリシーに一致する任意のトラフィック (たとえば、そのポリシーに定義されている URL カテゴリ)に適用できるようになります。 表 156. WildFire 分析プロファイルの設定 フィールド 内容 名前 WildFire 分析プロファイルの分かりやすい名前 ( 最大 31 文字 ) を入力し ます。この名前は、セキュリティポリシーを定義する際に選択候補とな る WildFire 分析プロファイルのリストに表示されます。名前の大文字と 小文字は区別されます。また、一意の名前にする必要があります。文字、 数字、スペース、ハイフン、およびアンダースコアのみを使用してくだ さい。 内容 ( 任意 ) プロファイル ルールまたはプロファイルの用途の説明です (255 文字まで )。 共有 以下に対してプロファイルを公開する場合は、このオプションを選択し ます。 • multi-vsys ファイアウォールの各仮想システム (vsys)。この選択を解除 すると、Objects [ オブジェクト ] タブで選択した Virtual System [ 仮想 システム ] のみに対してプロファイルが公開されます。 • Panorama 上の各デバイス グループ。この選択を解除すると、Objects [ オブジェクト ] タブで選択した Device Group [ デバイスグループ ] の みに対してプロファイルが公開されます。 ルール WildFire パブリック クラウドまたは WildFire アプライアンス ( プライ ベート クラウド ) にトラフィックを転送して分析するように指定する 1 つ 以上のルールを定義します。 • プロファイルに追加する任意のルールの分かりやすい Name [ 名前 ] ( 最大 31 文字 ) を入力します。 • Application [ アプリケーション ] を追加して、任意のアプリケーション トラフィックがルールと照合され、指定した分析用の宛先に転送され るようにします。 • そのルール用の定義済みの分析用の宛先で分析する File Type [ ファイ ルタイプ ] を選択します。WF-500 アプライアンスにホストされる WildFire プライベートクラウドでは、APK ファイルがサポートされて いないので注意してください。 • 送信の Direction [ 方向 ] に応じてトラフィックにルールを適用します。 アップロード トラフィック、ダウンロード トラフィック、またはその 両方にルールを適用できます。 • トラフィックを転送して分析する Destination [ 宛先 ] を選択します。 – ルールと照合されるすべてのトラフィックを WildFire パブリック クラウドに転送して分析する場合は、public-cloud を選択します。 – ルールと照合されるすべてのトラフィックを WildFire アプライアン スに転送して分析する場合は、private-cloud を選択します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 299 セキュリティプロファイル オブジェクト データ フィルタリング プロファイル Objects > Security Profiles > Data Filtering [ ࢜ࣈࢪ࢙ࢡࢺ > ࢭ࢟ࣗࣜࢸ ࣉࣟࣇࣝ > ࢹ࣮ࢱ ࣇࣝࢱࣜࣥࢢ ] セキュリティポリシーでは、クレジットカード番号や社会保障番号などの機密情報を識別し、 ファイアウォールで保護されているエリアからそれらの機密情報が外部に送信されるのを防 止するための、データフィルタリングプロファイルを指定できます。 データ フィルタリング プロファイルをセキュリティポリシーに適用する方法については、 「セキュリティポリシー」を参照してください。 以下の表では、データ フィルタリング プロファイル設定について説明します。 表 157. データ フィルタリング プロファイル設定 フィールド 内容 名前 プロファイル名 ( 最大 31 文字 ) を入力します。この名前は、セキュリティ ポリシーを定義するときにログ転送プロファイルのリストに表示されま す。名前の大文字と小文字は区別されます。また、一意の名前にする必 要があります。文字、数字、スペース、ハイフン、およびアンダースコ アのみを使用してください。 内容 プロファイルの説明を入力します ( 最大 255 文字 )。 共有 以下に対してプロファイルを公開する場合は、このオプションを選択し ます。 • multi-vsys ファイアウォールの各仮想システム (vsys)。この選択を解除 すると、Objects [ オブジェクト ] タブで選択した Virtual System [ 仮想 システム ] のみに対してプロファイルが公開されます。 • Panorama 上の各デバイス グループ。この選択を解除すると、Objects [ オブジェクト ] タブで選択した Device Group [ デバイスグループ ] の みに対してプロファイルが公開されます。 オーバーライドの無効化 (Panorama のみ ) 管理者が、継承した値をオーバーライドすることで、プロファイルのロー カルコピーを子孫デバイスグループに作成することを禁止したい場合は このオプションを選択してください。デフォルトでは、この項目の選択 は解除(オーバーライドが有効)されています。 データ キャプチャ フィルタによってブロックされたデータを自動的に収集するア場合は、 このオプションを選択します。 Settings [ 設定 ] ページの [ データ保護の管理 ] にキャプチャしたデータを 表示するためのパスワードを指定します。 「管理設定の定義」を参照してく ださい。 データ パターンを追加するには、Add [ 追加 ] をクリックし、以下の情報を指定します。 表 158. データ パターン設定 フィールド 内容 データパターン データパターンのドロップダウンリストから既存のデータパターンを選 択するか、リストから Data Pattern [ データパターン ] を選択して「カス タムデータパターン」に記載する情報を指定し、新しいパターンを設定 します。 アプリケーション フィルタリング ルールに含めるアプリケーションを指定します。 • 表示されているすべてのアプリケーションにフィルタを適用するに は、any [ すべて ] を選択します。これを選択してもすべてのアプリケー ションがブロックされるわけではなく、表示されているアプリケー ションのみがブロックされます。 • Add [ 追加 ] をクリックして個々のアプリケーションを指定します。 300 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. オブジェクト セキュリティプロファイル 表 158. データ パターン設定(続) フィールド 内容 フィルタ タイプ フィルタリング ルールに含めるファイル タイプを指定します。 • 表示されているすべてのファイル タイプにフィルタを適用するには、 any [ すべて ] を選択します。これを選択してもすべてのファイル タイ プがブロックされるわけではなく、表示されているファイル タイプの みがブロックされます。 • Add [ 追加 ] をクリックして個々のファイル タイプを指定します。 方向 フィルタを適用する方向 ( アップロード、ダウンロード、または両方 ) を 指定します。 アラートしきい値 アラートをトリガーする値を指定します。たとえば、SSN の重みが 5 でし きい値が 100 の場合、ルールがトリガーされるにはルールで 20 個以上の パターンが検出される必要があります ( インスタンス 20 x 重み 5 = 100)。 ブロックしきい値 ブロックをトリガーする値を指定します。たとえば、SSN の重みが 5 でし きい値が 100 の場合、ルールがトリガーされるにはルールで 20 個以上の パターンが検出される必要があります ( インスタンス 20 x 重み 5 = 100)。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 301 セキュリティプロファイル オブジェクト DoS 防御プロファイル Objects > Security Profiles > DoS Protection [ ࢜ࣈࢪ࢙ࢡࢺ > ࢭ࢟ࣗࣜࢸ ࣉࣟࣇࣝ > DoS ࣉࣟࢸࢡࢩࣙࣥ ] DoS プロテクション プロファイルは、高精度のターゲット指定ができるように設計され、ゾー ン プロテクション プロファイルを補強します。DoS プロファイルでは、アクションのタイプ と、DoS 攻撃を検出するための一致条件を指定します。DoS プロテクションポリシーに添付 されたこれらのプロファイルにより、インターフェイス、ゾーン、アドレス、国の間のセッ ションを集約セッションまたは固有の送信元 IP アドレスや宛先 IP アドレスに基づいた制御が 可能になります。DoS プロファイルを DoS ポリシーに適用する方法については、 「DoS 保護 ポリシー」を参照してください。 複数の仮想システムがある環境で、以下を有効にしている場合は、 • 仮想システム間の通信が可能な外部ゾーン • 仮想システムが外部通信に共通インターフェイスおよび 1 つの IP アドレスを 共有できる共有ゲートウェイ 以下のゾーンおよび DoS 保護メカニズムが、外部ゾーンで無効になります。 • SYN Cookie • IP フラグメント • ICMPv6 IP フラグメントと ICMPv6 防御を有効にするには、共有ゲートウェイ用のゾーン プロテクション プロファイルを作成する必要があります。 共有ゲートウェイで SYN フラッドから保護するには、Random Early Drop または SYN Cookie のいずれかを設定した SYN フラッド防御プロファイルを適用できま す。外部ゾーンでは、SYN フラッド防御に Random Early Drop のみを使用できます。 以下の表では、DoS 防御プロファイル設定について説明します。 表 159. DOS プロテクション プロファイルの設定 フィールド 内容 名前 プロファイル名 ( 最大 31 文字 ) を入力します。この名前は、セキュリティ ポリシーを定義するときにログ転送プロファイルのリストに表示されま す。名前の大文字と小文字は区別されます。また、一意の名前にする必 要があります。文字、数字、スペース、ハイフン、およびアンダースコ アのみを使用してください。 共有 以下に対してプロファイルを公開する場合は、このオプションを選択し ます。 • multi-vsys ファイアウォールの各仮想システム (vsys)。この選択を解除 すると、Objects [ オブジェクト ] タブで選択した Virtual System [ 仮想 システム ] のみに対してプロファイルが公開されます。 • Panorama 上の各デバイス グループ。この選択を解除すると、Objects [ オブジェクト ] タブで選択した Device Group [ デバイスグループ ] の みに対してプロファイルが公開されます。 オーバーライドの無効化 (Panorama のみ ) 管理者が、継承した値をオーバーライドすることで、プロファイルのロー カルコピーを子孫デバイスグループに作成することを禁止したい場合は このオプションを選択してください。デフォルトでは、この項目の選択 は解除(オーバーライドが有効)されています。 内容 プロファイルの説明を入力します ( 最大 255 文字 )。 302 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. オブジェクト セキュリティプロファイル 表 159. DOS プロテクション プロファイルの設定(続) フィールド 内容 タイプ 以下のいずれかのプロファイル タイプを指定します。 • aggregate [ 集約 ] — プロファイルで設定された DoS のしきい値がルー ル基準 ( このルール基準に基づいてプロファイルが適用される ) に一致 するすべてのパケットに適用されます。たとえば、SYN フラッドのし きい値が 10000 パケット / 秒 (pps) である集約ルールでは、この特定の DoS ルールに該当するすべてのパケットが計測されます。 • classified [ 分類 ] — プロファイルで設定された DoS のしきい値が、分 類条件 ( 送信元 IP、宛先 IP、または送信元 IP と宛先 IP の組み合わせ ) を満たすすべてのパケットに適用されます。 Flood Protection [ フラッド防御 ] タブ Syn Flood [SYN フラッド ] タブ UDP Flood [UDP フラッド ] タブ ICMP Flood [ICMP フラッド ] タブ ICMPv6 タブ Other IP [ その他 IP] タブ タブに記載されたタイプのフラッド防御を有効化する場合はこのオプ ションを選択し、以下を設定します。 • Action [ アクション ] — (SYN フラッドのみ ) 以下のオプションから選 択します。 – Random Early Drop [ ランダム早期ドロップ ] — DoS 全体の制限に 達する前にランダムにパケットを廃棄します。 – SYN cookie — SYN フラッド攻撃があっても接続を廃棄せずに済む ように SYN Cookie を使用して受信確認を生成します。 • Alarm Rate [ アラームレート ] — DoS アラームが生成されるパケット / 秒(pps)のしきい値を指定します(範囲は 0 ∼ 2000000pps、デフォ ルトは 10000pps)。 • Activate Rate [ 起動レート ] — DoS 応答が起動されるしきい値(pps) を指定します。Dos 応答は、プロファイルが参照される DoS ポリシー の Action [ アクション ] のフィールドに設定されています。Activate Rate [ 起動レート ] のしきい値に達すると、Random Early Drop [ ラン ダム早期ドロップ ] が発生します(範囲は 0 ∼ 2000000pps、デフォル トは 10000pps)。 • Max Rate [ 最大レート ] — ファイアウォールで許容する 1 秒あたりの受 信パケット数のしきい値を設定します。このしきい値を超過すると、新 しく受信するパケットが破棄され、DoS ポリシーで設定されたアクショ ンがトリガーされます(範囲は 2 ∼ 2000000pps、デフォルトは 40000) 。 • Block Duration [ ブロック期間 ] — 問題のあるパケットを拒否する期間 ( 秒 ) を指定します。ブロック期間中に受信したパケットはアラートの トリガーには影響しません(範囲は 1 ∼ 21600 秒、デフォルトは 300 秒)。 注:ゾーンプロテクションプロファイルおよび Dos プロテクションプロ ファイルにパケット / 秒(pps)のしきい値制限を定義する場合、そのし きい値は以前に確立したセッションと一致しないパケット / 秒を基に定 義されます。 Resources Protection [ リソース保護 ] タブ セッション リソース保護を有効化する場合は、このオプションを選択します。 最大同時制限 同時セッションの最大数を指定します。DoS プロファイル タイプが aggregate [ 集約 ] の場合、DoS ルール ( このルールに基づいて DoS プロ ファイルが適用される ) に該当するトラフィック全体にこの制限が適用 されます。DoS プロファイル タイプが classified [ 分類 ] の場合、分類 ( 送 信元 IP、宛先 IP、または送信元 IP と宛先 IP の組み合わせ ) に基づいて、 DoS ルール (このルールに基づいて DoS プロファイルが適用される) に該 当するトラフィック全体にこの制限が適用されます。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 303 セキュリティプロファイルグループ オブジェクト セキュリティプロファイルグループ Objects > Security Profile Groups [ ࢜ࣈࢪ࢙ࢡࢺ > ࢭ࢟ࣗࣜࢸ ࣉࣟࣇࣝ ࢢ࣮ࣝࣉ ] ファイアウォールでは、セキュリティプロファイルのセットを指定してセキュリティプロ ファイルグループを作成する機能がサポートされています。セキュリティプロファイルグ ループは、1 つの単位として処理でき、セキュリティポリシーに追加できます。たとえば、ア ンチウイルス、アンチスパイウェア、および脆弱性防御の各プロファイルが含まれた「脅威」 セキュリティプロファイルグループを作成した後に、その「脅威」プロファイルを内包する セキュリティポリシーを作成することが可能です。 同時に割り当てられることが多いアンチウイルス、アンチスパイウェア、脆弱性防御、URL フィルタリング、およびファイル ブロッキングの各プロファイルをプロファイル グループに まとめることで、セキュリティポリシーの作成を簡略化できます。 新しいセキュリティプロファイルを定義する方法については、「セキュリティプロファイル」 を参照してください。 以下の表では、セキュリティプロファイル設定について記載しています。 表 160. セキュリティ プロファイル グループ設定 フィールド 内容 名前 プロファイル グループ名 ( 最大 31 文字 ) を入力します。この名前は、セキュリ ティポリシーを定義するときにプロファイルのリストに表示されます。名前の大 文字と小文字は区別されます。また、一意の名前にする必要があります。文字、数 字、スペース、ハイフン、およびアンダースコアのみを使用してください。 共有 以下に対してプロファイルグループを公開する場合は、このオプションを選択し ます。 • multi-vsys ファイアウォールの各仮想システム (vsys)。この選択を解除すると、 Objects [ オブジェクト ] タブで選択した Virtual System [ 仮想システム ] のみに 対してプロファイルグループが公開されます。 • Panorama 上の各デバイス グループ。この選択を解除すると、Objects [ オブジェ クト ] タブで選択した Device Group [ デバイスグループ ] のみに対してプロファ イルグループが公開されます。 オーバーライドの無効化 (Panorama のみ ) 管理者が、継承した値をオーバーライドすることで、サービスグループのローカ ルコピーを子孫プロファイルグループに作成することを禁止したい場合はこのオ プションを選択してください。デフォルトでは、この項目の選択は解除(オーバー ライドが有効)されています。 プロファイル グループに含めるアンチウイルス、アンチスパイウェア、脆弱性防御、URL フィ ルタリング、およびファイルブロッキングの各プロファイルを選択します。デー タフィルタリングプロファイルも、セキュリティプロファイルグループに含める ことができます。「データ フィルタリング プロファイル」を参照してください。 304 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. オブジェクト ログの転送 ログの転送 Objects > Log Forwarding [ ࢜ࣈࢪ࢙ࢡࢺ > ࣟࢢ㌿㏦ ] それぞれのセキュリティポリシーにはログ転送プロファイルを指定することができ、そのプ ロファイルには、トラフィックと脅威のログエントリが Panorama を使用してリモートで記 録されるかどうか、さらに(または)それらを、SNMP トラップ、Syslog メッセージ、また は電子メール通知として送信するかどうかを定義することができます。デフォルトでは、ロー カル ログのみが実行されます。 トラフィック ログには各トラフィック フローのレコード情報が記録され、脅威ログにはネッ トワーク トラフィックの脅威または問題 ( ウイルスやスパイウェアの検出など ) が記録され ます。各ルールに関連付けられているウイルス対策、スパイウェア対策、および脆弱性防御 のプロファイルによって、 (ローカルまたはリモートで)ログに保存される脅威のタイプは異 なります。ログのプロファイルをセキュリティポリシーに適用する方法については、 「セキュ リティポリシー」を参照してください。 PA-7000 シリーズのファイアウォールで以下のログタイプを転送する場合 は、ファイアウォールで特殊なインターフェイスタイプ(ログカード)を 設定する必要があります。Syslog、電子メール、および SNMP。これは、 WildFire へのファイル転送にも必要です。ポートを設定すると、特殊な設 定をせずに、ログ転送と WildFire 転送で自動的にこのポートが使用されま す。PA-7000 シリーズ NPC のいずれかでデータ ポートをインターフェイ ス タイプ「ログ カード」として設定し、使用するネットワークがログ サー バーと通信できることを確認してください。WildFire 転送の場合、ネット ワーク は WildFire クラウドまたは WildFire アプライアンス、あるいはその 両方と通信する必要があります。 このインターフェイスの設定の詳細は、「ログ カード インターフェイスの 設定」を参照してください。 以下の表では、ログ転送設定について説明します。 表 161. ログ転送プロファイル設定 フィールド 内容 名前 プロファイル名 ( 最大 31 文字 ) を入力します。この名前は、セキュリティ ポリシーを定義するときにログ転送プロファイルのリストに表示されま す。名前の大文字と小文字は区別されます。また、一意の名前にする必 要があります。文字、数字、スペース、ハイフン、およびアンダースコ アのみを使用してください。 共有 以下に対してプロファイルを公開する場合は、このオプションを選択し ます。 • multi-vsys ファイアウォールの各仮想システム (vsys)。この選択を解除 すると、Objects [ オブジェクト ] タブで選択した Virtual System [ 仮想 システム ] のみに対してプロファイルが公開されます。 • Panorama 上の各デバイス グループ。この選択を解除すると、Objects [ オブジェクト ] タブで選択した Device Group [ デバイスグループ ] の みに対してプロファイルが公開されます。 オーバーライドの無効化 (Panorama のみ ) 管理者が、継承した値をオーバーライドすることで、プロファイルのロー カルコピーを子孫デバイスグループに作成することを禁止したい場合は このオプションを選択してください。デフォルトでは、この項目の選択 は解除(オーバーライドが有効)されています。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 305 復号化プロファイル 表 161. オブジェクト ログ転送プロファイル設定 (続) フィールド トラフィック設定 Panorama SNMP トラップ Email Syslog 内容 トラフィックログエントリを Panorama 中央管理システムに送信できる ようにする場合は、このオプションを選択します。Panorama サーバーの アドレスを定義する方法については、 「管理設定の定義」を参照してくだ さい。 SNMP、Syslog、および電子メールの設定を選択します。この設定では、 トラフィックログエントリの追加の宛先を指定します。新しい宛先を定 義する方法については、以下のセクションを参照してください。 •「SNMP トラップの宛先の設定」 •「電子メール通知設定の指定」 •「Syslog サーバーの設定」 Threat Log Settings Panorama 各重大度レベルの脅威ログエントリが Panorama に送信されるようにす る場合は、このオプションを選択します。以下の重大度レベルがありま す。 • Critical [ 重要 ] — 脅威のセキュリティ エンジンで検出された非常に深 刻な攻撃です。 • High [ 高 ] — 脅威のセキュリティ エンジンで検出された重大な攻撃で す。 • Medium [ 中 ] — 脅威のセキュリティエンジンで検出された、それほど 深刻ではない攻撃です。 • Low [ 低 ] — 脅威のセキュリティ エンジンで検出された警告レベルの 攻撃です。 • Informational [ 通知 ] — URL ブロッキングや情報攻撃対象の一致など を含む、他の重大度レベルに含まれないすべてのイベントです 。 SNMP トラップ Email Syslog 重大度レベルごとに SNMP、Syslog、および電子メールの設定を選択し ます。この設定では、脅威のログエントリの追加の送信先を指定します。 復号化プロファイル Objects > Decryption Profile [ ࢜ࣈࢪ࢙ࢡࢺ > ྕࣉࣟࣇࣝ ] 復号化プロファイルを使用して、SSL フォワード プロキシ、SSL インバウンド インスペクショ ン、および SSH トラフィックの特定の側面をブロックまたは制御することができます。作成 した復号化プロファイルは復号化ポリシーに追加できます。この復号化ポリシーに一致する すべてのトラフィックがプロファイル設定に従って処理されるようになります。 また、ファイアウォールで信頼する証明機関を制御することもできます。詳細は、 「信頼でき る既定証明機関の管理」を参照してください。 ファイアウォールにはデフォルトの復号化プロファイルが設定されており、新規の復号化ポ リシーに自動的に含められます ( デフォルトの復号化プロファイルを変更することはできま せん )。Add [ 追加 ] をクリックして新規の復号化プロファイルを作成するか、既存のプロファ イルを選択し、それを Clone [ コピー ] または変更してください。 以下のセクションでは、復号化ポリシーに一致したトラフィックに一般的に適用される設定 と、復号化された SSL トラフィック、復号化された SSH トラフィック、および [ 復号化なし ] ポリシー ( 復号化の例外 ) に一致したトラフィックに個別に適用できる設定の詳細について説 明します。 • 「復号化プロファイルの一般設定」 306 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. オブジェクト 復号化プロファイル • 「復号化プロファイルの SSL 復号化設定」 • 「復号化プロファイルの復号化なし設定」 • 「復号化プロファイルの SSH プロキシ設定」 復号化ポート ミラーリングを有効にするには、復号化ポート ミラー ライ センスを取得およびインストールして、ファイアウォールを再起動する必 要があります。 表 162. 復号化プロファイルの一般設定 フィールド 内容 名前 プロファイル名 ( 最大 31 文字 ) を入力します。この名前は、復号化ポリシー を定義するときに復号化プロファイルのリストに表示されます。名前の大文字 と小文字は区別されます。また、一意の名前にする必要があります。文字、数 字、スペース、ハイフン、およびアンダースコアのみを使用してください。 共有 以下に対してプロファイルを公開する場合は、このオプションを選択します。 • multi-vsys ファイアウォールの各仮想システム (vsys)。この選択を解除する と、Objects [ オブジェクト ] タブで選択した Virtual System [ 仮想システム ] のみに対してプロファイルが公開されます。 • Panorama 上の各デバイス グループ。この選択を解除すると、Objects [ オブ ジェクト ] タブで選択した Device Group [ デバイスグループ ] のみに対して プロファイルが公開されます。 オーバーライドの 無 効 化(Panorama のみ ) 管理者が、継承した値をオーバーライドすることで、プロファイルのローカル コピーを子孫デバイスグループに作成することを禁止したい場合はこのオプ ションを選択してください。デフォルトでは、この項目の選択は解除(オー バーライドが有効)されています。 復号化ミラー イン 復号化ポート ミラーリングに使用する Interface [ インターフェイス ] を選択 ターフェイス します。 (PA-3000 シリーズ、 PA-5000 シリーズ、 PA-7000 シリーズの ファイアウォール のみ ) 転送のみ (PA-3000 シリーズ、 PA-5000 シリーズ、 PA-7000 シリーズの ファイアウォール のみ ) セキュリティポリシーの適用後のみ、復号化されたトラフィックをミラーリン グする必要がある場合は、Forwarded Only [ 転送のみ ] を選択します。このオ プションを指定すると、ファイアウォール内を転送されたトラフィックのみが ミラーリングされます。このオプションは、復号化されたトラフィックを他の 脅威検出デバイス(DLP デバイスや他の侵入防止システム(IPS)など)に転 送する場合に役立ちます。この項目の選択を解除すると(デフォルトではオ フ)、ファイアウォールは、インターフェイスへのすべての復号化されたトラ フィックをセキュリティポリシー検索の前にミラーリングします。これによ り、イベントの再生を行い、脅威を生成するトラフィックやドロップアクショ ンをトリガーするトラフィックを分析することができます。 SSL Decryption [SSL 復号化 ]、No Decryption [ 復号化 なし ]、および SSH Proxy [SSH プ ロ キ シ ] タブ SSL Decryption [SSL 復号化 ]、No Decryption [ 復号化なし ]、および SSH Proxy [SSH プロキシ ] による追加プロファイル設定の詳細については、以下を参照 してください。 •「SSL Decryption [SSL 復号化 ] タブの設定」 •「No Decryption [ 復号化なし ] タブの設定」 •「SSH Proxy [SSH プロキシ ] タブの設定」 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 307 復号化プロファイル オブジェクト 復号化プロファイルの SSL 復号化設定 以下の表で、SSL フォワード プロキシまたは SSL インバウンド インスペクションを使用して 復号化された SSL トラフィックを制御するための設定について説明します。これらの設定を 使用して、外部サーバー証明書の状態、サポートされていない暗号スイートやプロトコル バー ジョンの使用、復号化を処理するためのシステム リソースの可用性といった基準に基づいて SSL セッションを制限またはブロックできます。 表 163. SSL Decryption [SSL 復号化 ] タブの設定 フィールド 内容 SSL Forward Proxy [SSL フォワードプロキ シ ] タブ SSL フォワード プロキシ復号化では、ファイアウォールは、内部クライアントと 外部サーバー間セッションのプロキシとして機能します。この機能により、クラ イアントに提示する外部サーバーのフォワード トラスト証明書 ( 元のサーバー証 明書が信頼された認証局によって署名されていない場合は、フォワード アントラ スト証明書 ) が生成されます。ファイアウォールは、セッションに対する信頼さ れたサードパーティとして確立されます。 SSL フォワード プロキシを使用して復号化された SSL トラフィックを制限または ブロックするための各種オプションを選択します。 サーバー証明書の検証 復号化された SSL トラフィックのサーバー証明書を制御するオプションを選択で きます。 証明書が期限切れのセッ ションをブロック サーバー証明書の期限が切れている場合、SSL 接続を終了します。これにより、 ユーザーは期限切れの証明書を受け入れて SSL セッションを続行することができ なくなります。 発行者が信頼されていな いセッションをブロック サーバー証明書の発行者が信頼されていない場合、SSL 接続を終了します。 証明書の状態が不明な セッションをブロックし ます サーバーが証明書失効状態として「不明」を返す場合に、SSL セッションを終了 します。証明書失効状態は、証明書の信頼性が失効しているかどうかを示します。 証明書の状態のチェック がタイムアウトしたセッ ションをブロックします ファイアウォールが証明書の状態サービスからの応答を待機するよう設定された 時間内に証明書の状態を取得できない場合、SSL セッションを終了します。 Certificate Status Timeout [ 証明書の有効期限 ] の値は、証明書プロファイルを作 成 ま た は 変 更 す る 際に設定できます (Device > Certificate Management > Certificate Profile [ デバイス > 証明書の管理 > 証明書プロファイル ])。 証明書の拡張を制限 動的なサーバー証明書で使用される証明書の拡張を、鍵の用途および拡張鍵の用 途に制限します。 サポートされていない モード チェック サポートされていない SSL アプリケーションを制御するオプションを選択しま す。 バージョンがサポートさ れていないセッションを ブロック PAN-OS が「client hello」メッセージをサポートしていない場合にセッションを 終了します。PAN-OS では、SSLv3、TLS1.0、TLS1.1、および TLS1.2 をサポート しています。 暗号スイートがサポート されていないセッション をブロック SSL ハンドシェークで暗号スイートが指定されていて、PAN-OS でサポートされ ていない場合、セッションを終了します。 クライアント認証を使用 するセッションをブロッ ク SSL フォワード プロキシ トラフィックのクライアント認証を使用するセッショ ンを終了します。 失敗のチェック 復号化を処理するためのシステム リソースが使用できない場合に実行するアク ションを選択します。 リソースを使用できない 場合にセッションをブ ロック 復号化を処理するためのシステム リソースが使用できない場合、セッションを終 了します。 308 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. オブジェクト 復号化プロファイル 表 163. SSL Decryption [SSL 復号化 ] タブの設定(続) フィールド 内容 HSM を使用できない場 合にセッションをブロッ ク 証明書の署名にハードウェア セキュリティ モジュール (HSM) を使用できない場 合は、セッションを終了します。 注:サポートされていないモードおよび失敗モードについては、セッション情報が 12 時間キャッシュされま す。このため、同じホストとサーバー ペア間の以降のセッションは復号化されません。代わりにこれらのセッ ションをブロックする場合は、ブロックのオプションを有効化してください。 SSL Inbound Inspection SSL インバウンド インスペクションでは、ファイアウォールが、クライアントと [SSL インバウンド イン ターゲット サーバーの間に設置され、ターゲット サーバー証明書とキーがファイ アウォールにインポートされます。これにより、ファイアウォールは、ターゲッ スペクション ] タブ ト サーバーとクライアント間の SSL セッションに透過的にアクセスできます。 SSL フォワード プロキシ復号化の場合のように、ファイアウォールをプロキシと して動作させる必要はありません。 SSL フォワード プロキシを使用して復号化された SSL トラフィックを制限または ブロックするための各種オプションを選択します。 サポートされていない モード チェック サポートされていないモードが SSL トラフィックで検出された場合にセッション を制御するオプションを選択します。 バージョンがサポートさ れていないセッションを ブロック PAN-OS が「client hello」メッセージをサポートしていない場合にセッションを 終了します。PAN-OS では、SSLv3、TLS1.0、TLS1.1、および TLS1.2 をサポート しています。 暗号スイートがサポート されていないセッション をブロック 暗号スイートが PAN-OS でサポートされていない場合、セッションを終了しま す。 失敗のチェック システム リソースが使用できない場合に実行するアクションを選択します。 リソースを使用できない 場合にセッションをブ ロック 復号化を処理するためのシステム リソースが使用できない場合、セッションを終 了します。 HSM を使用できない場 合にセッションをブロッ ク SSL Protocol Settings [SSL プロトコル設定 ] タブ セッション キーの復号化にハードウェア セキュリティ モジュール (HSM) を使用 できない場合は、セッションを終了します。 SSL セッション トラフィックのプロトコル バージョンと暗号スイートを適用す る以下の各設定を選択します。 プロトコル バージョン SSL セッションでの最小 / 最大プロトコル バージョンの使用を強制します。 最小バージョン SSL 接続の確立に使用できる最小プロトコル バージョンを設定します。 最大バージョン SSL 接続の確立に使用できる最大プロトコル バージョンを設定します。最大 オプ ションを選択して、最大バージョンを指定しない場合もあります。その場合、選 択した最小バージョンと等しいかそれ以降のバージョンがサポートされます。 キー交換アルゴリズム SSL セッションにおいて、選択したキー交換アルゴリズムの使用を強制します。 SSL フォワードプロキシが復号化したトラフィックに Perfect Forward Secrecy (PFS)を適用する場合は、DHE を選択し、Diffie-Hellman キー交換を使用した PFS か、ECDHE を選択し、楕円曲線 Diffie-Hellman 型 PFS を使用することができ ます。 暗号化アルゴリズム SSL セッションでの選択した暗号化アルゴリズムの使用を適用します。 認証アルゴリズム SSL セッションでの選択した認証アルゴリズムの使用を適用します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 309 スケジュール オブジェクト 復号化プロファイルの復号化なし設定 No Decryption [ 復号化なし ] タブを使用して、No Decrypt [ 復号化なし ] アクション(Policies > Decryption > Action [ ポリシー > 復号化 > アクション ])が設定された復号化ポリシーに一致す るトラフィックをブロックする設定を有効化することができます。以下のオプションを使用 すると、セッションのサーバー証明書を制御できます。ただし、ファイアウォールはセッショ ン トラフィックを復号化および検査しません。 表 164. No Decryption [ 復号化なし ] タブの設定 フィールド 内容 証明書が期限切れのセッ ションをブロック サーバー証明書の期限が切れている場合、SSL 接続を終了します。これ により、ユーザーは期限切れの証明書を受け入れて SSL セッションを続 行することができなくなります。 発行者が信頼されていな いセッションをブロック サーバー証明書の発行者が信頼されていない場合、SSL 接続を終了しま す。 復号化プロファイルの SSH プロキシ設定 以下の表に、復号化されたインバウンドおよびアウトバウンド SSH トラフィックを制御する ための設定を説明します。これらの設定を使用すると、未サポートのアルゴリズムの使用、 SSH エラーの検出、SSH プロキシ復号化を処理するためのリソースの可用性など、さまざま な基準に基づいて、SSH トンネル トラフィックを制限またはブロックできます。 表 165. SSH Proxy [SSH プロキシ ] タブの設定 フィールド 内容 サポートされていない モード チェック サポートされていないモードが SSH トラフィックで検出された場合に セッションを制御するオプション。サポートされている SSH バージョン は、SSH バージョン 2 です。 バージョンがサポート されていないセッショ ンをブロック 「client hello」メッセージが PAN-OS でサポートされていない場合、セッ ションを終了します。 アルゴリズムがサポー トされていないセッ ションをブロック クライアントまたはサーバーで指定されたアルゴリズムが PAN-OS でサ ポートされていない場合、セッションを終了します。 失敗のチェック SSH アプリケーション エラーが発生したり、システム リソースが使用でき ない場合に実行するアクションを選択します。 SSH エラー時にセッ ションをブロック SSH エラーが発生した場合、セッションを終了します。 リソースを使用できな い場合にセッションを ブロック 復号化を処理するためのシステム リソースが使用できない場合、セッショ ンを終了します。 スケジュール Objects > Schedules [ ࢜ࣈࢪ࢙ࢡࢺ > ࢫࢣࢪ࣮ࣗࣝ ] デフォルトでは、セキュリティポリシールールが常に有効化されています(毎日かつ常時)。 セキュリティポリシーを特定の時間に制限する場合は、スケジュールを定義して該当するポ リシーに適用します。スケジュールごとに、固定の日時範囲、あるいは日次または週次の定 期スケジュールを指定できます。スケジュールをセキュリティポリシーに適用する方法につ 310 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. オブジェクト スケジュール いては、「セキュリティポリシー」を参照してください。 定義したスケジュールでセキュリティポリシーが起動された場合、適用さ れたセキュリティポリシーは新しいセッションにのみ影響します。既存の セッションはスケジュールされたポリシーの影響を受けません。 以下の表では、スケジュール設定について説明します。 表 166. スケジュール設定 フィールド 内容 名前 スケジュール名 ( 最大 31 文字 ) を入力します。この名前は、セキュリティ ポリシーを定義するときにスケジュールのリストに表示されます。名前 の大文字と小文字は区別されます。また、一意の名前にする必要があり ます。文字、数字、スペース、ハイフン、およびアンダースコアのみを 使用してください。 共有 以下に対してスケジュールを公開する場合は、このオプションを選択し ます。 • multi-vsys ファイアウォールの各仮想システム (vsys)。この選択を解除 すると、Objects [ オブジェクト ] タブで選択した Virtual System [ 仮想 システム ] のみに対してスケジュールが公開されます。 • Panorama 上の各デバイス グループ。この選択を解除すると、Objects [ オブジェクト ] タブで選択した Device Group [ デバイスグループ ] の みに対してスケジュールが公開されます。 オーバーライドの無効化 (Panorama のみ ) 管理者が、継承した値をオーバーライドすることで、スケジュールのロー カルコピーを子孫デバイスグループに作成することを禁止したい場合は このオプションを選択してください。デフォルトでは、この項目の選択 は解除(オーバーライドが有効)されています。 繰り返し スケジュールのタイプ (Daily [ 毎日 ]、Weekly [ 毎週 ]、または NonRecurring [1 回限り ]) を選択します。 毎日 Add [ 追加 ] をクリックし、開始時刻と終了時刻を 24 時間形式 (HH:MM) で指定します。 毎週 Add [ 追加 ] をクリックし、曜日を選択して開始時刻と終了時刻を 24 時 間形式 (HH:MM) で指定します。 1 回限り Add [ [ 追加 ] をクリックし、開始日時と終了日時を指定します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 311 スケジュール 312 • Web インターフェイス リファレンス ガイド、バージョン 7.1 オブジェクト © Palo Alto Networks, Inc. 第5章 ポリシー このセクションでは、ポリシーの設定方法について説明します。 • 「ポリシーのタイプ」 • 「Panorama でのポリシーの定義」 • 「ポリシールールの移動またはコピー」 • 「セキュリティポリシー」 • 「ネットワークアドレス変換(NAT)ポリシー」 • 「ポリシーベースの転送ポリシー」 • 「復号化ポリシー」 • 「アプリケーション オーバーライド ポリシー」 • 「キャプティブ ポータル ポリシー」 • 「DoS 保護ポリシー」 さらに「QoS ポリシー」を設定してトラフィックに「サービス品質 (QoS)」処理を行うことも できます。 ポリシーのタイプ ポリシーを使用すると、ルールを適用して自動的にアクションを実行することによってファ イアウォールの動作を制御できます。以下のタイプのポリシーがサポートされています。 • 基本セキュリティポリシー — アプリケーション、ゾーンとアドレス ( 送信元と宛先 )、お よび任意のサービス (ポートとプロトコル) ごとにネットワーク セッションをブロックま たは許可します。ゾーンでは、トラフィックを送受信する物理または論理インターフェ イスが識別されます。「セキュリティポリシー」を参照してください。 タグ ブラウザの使用方法については、「タグ ブラウザの使用」を参照してください。 • ネットワーク アドレス変換 (NAT) ポリシー — 必要に応じてアドレスやポートを変換し ます。「ネットワークアドレス変換(NAT)ポリシー」を参照してください。 • ポリシーベースの転送ポリシー — ルーティング テーブルをオーバーライドして、トラ フィックの出力インターフェイスを指定します。 「ポリシーベースの転送ポリシー」を参 照してください。 • 復号化ポリシー — セキュリティポリシーのトラフィック復号化を指定します。ポリシー ごとに、復号化するトラフィックの URL のカテゴリを指定できます。SSH 復号化は、SSH シェル アクセス以外にも SSH トンネリングを識別して制御するためにも使用されます。 「復号化ポリシー」を参照してください。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 313 Panorama でのポリシーの定義 ポリシー • オーバーライド ポリシー — ファイアウォールのアプリケーション定義をオーバーライ ドします。「アプリケーション オーバーライド ポリシー」を参照してください。 • Quality of Services (QoS) ポリシー QoS が有効になっているインターフェイスを通過す るトラフィックの処理を分類する方法を決定します。 「QoS ポリシー」を参照してくださ い。 • キャプティブ ポータル ポリシー — 識別されていないユーザーの認証をリクエストしま す。「キャプティブ ポータル ポリシー」を参照してください。 • サービス拒否 (DoS) ポリシー — DoS 攻撃から保護し、一致するルールに対応する保護ア クションを実行します。「DoS 保護ポリシー」を参照してください。 Panorama™ からプッシュされた共有ポリシーは、ファイアウォールの Web インターフェイスにオレンジ色で表示され、ファイアウォール上では編集 できません。 Panorama でのポリシーの定義 Panorama のデバイスグループを使用すると、ファイアウォール上にあるポリシーを一元的に 管理できます。Panorama 上に定義されるポリシーは、プレ ルールまたはポストルールとして 作成されます。プレ ルールとポスト ルールにより、階層的な方法でポリシーを実装できます。 プレルールとポストルールは、共有コンテクストですべての管理対象ファイアウォールの共 有ポリシーとして、またはデバイスグループコンテクストで特定のデバイスグループ用に定 義できます。プレルールとポストルールは Panorama で定義を行ったのちに管理対象デバイ スにプッシュされるため、管理対象ファイアウォールではルールの表示は可能ですが、編集 は Panorama のみで行うことができます。 • Pre Rules [ プレ ルール ] — ルール順序の先頭に追加され、最初に評価されるルールです。 プレ ルールを使用して、組織の利用規約を適用できます。たとえば、特定の URL カテゴ リへのアクセスをブロックしたり、すべてのユーザーの DNS トラフィックを許可したり します。 • Post Rules [ ポストルール ] — ルール順序の末尾に追加され、プレルールとファイア ウォールでローカルに定義されているルールの後に評価されるルールです。通常、ポス ト ルールには、App-ID™、User-ID、またはサービスに基づいてトラフィックへのアク セスを拒否するルールが含まれます。 • Default Rules [ デフォルトルール ] — プレルール、ポストルール、ローカルファイア ウォールルールのいずれとも一致しないトラフィックの処理方法をファイアウォールに 指示するルールです。これらのルールは、Panorama の事前定義済み設定に含まれていま す。これらのルール内の一部の設定を編集できるようにするには、ルールを Override [ オー バーライド ] する必要があります。「セキュリティルールのオーバーライドまたは取り消 し」を参照してください。 Preview Rules [ ルールのプレビュー ] から、ルールを管理対象ファイアウォールにプッシュす る前にルールのリストを表示することができます。大量のルールに目を通しやすいように、各 ルールベース内でルールの階層がデバイスグループ(および管理対象ファイアウォール)ご とに視覚的に区別されて表示されます。 ポリシーを作成するには、各ルールベースの関連するセクションを表示します。 • 「セキュリティポリシー」 • 「ネットワークアドレス変換(NAT)ポリシー」 • 「QoS 統計情報」 314 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ポリシー ポリシールールの移動またはコピー • 「ポリシーベースの転送ポリシー」 • 「復号化ポリシー」 • 「アプリケーション オーバーライド ポリシー」 • 「キャプティブ ポータル ポリシー」 • 「DoS 保護ポリシー」 ポリシールールの移動またはコピー ポリシーを移動またはコピーする際には、共有の場所を含め、自分がアクセス許可を与えら れている Destination [ 宛先 ](ファイアウォール上の仮想システム、または Panorama 上のデ バイス グループ)を割り当てることができます。 ポリシールールを移動する場合は、Policies [ ポリシー ] タブでルールを選択し、Move [ 移動 ] をクリックして、Move to other vsys [ 他の vsys に移動 ](ファイアウォールのみ)または Move to other device group [ 他のデバイスグループに移動 ](Panorama のみ)を選択し、以下の表の 各フィールドを入力して OK をクリックします。 ポリシーをコピーする場合は、Policies [ ポリシー ] タブで Clone [ コピー ] をクリックして、以 下の表の各フィールドを入力して OK をクリックします。 表 167. 設定の移動 / コピー フィールド 内容 選択中のルール 操作対象として選択したポリシルールの名前と現在の場所(仮想シ ステムまたはデバイスグループ)が表示されます。 宛先 ポリシーまたはオブジェクトの新しい場所として、仮想システム、 デバイス グループ、または共有を選択します。デフォルト値は、 Policies [ ポリシー ] または Objects [ オブジェクト ] タブで選択し た Virtual System [ 仮想システム ] または Device Group [ デバイス グループ ] です。 ルール順序 他のルールに対するルール相対位置を選択します。 • Move top [ 最上部へ ] — 他のすべてのルールの前の位置を選択し ます。 • Move bottom [ 最下部へ ] — 他のすべてのルールの後の位置を選 択します。 • Before rule [ 事前ルール ] — 隣接するドロップダウンリスト リス トで直後のルールを選択します。 • After rule [事後ルール] — 隣接するドロップダウンリスト リスト で直前のルールを選択します。 検証で最初に検出されたエ ラーに起因するエラーが発生 しました このオプションをオンにすると(デフォルトはオン)、ファイア ウォールまたは Panorama が、最初に検出したエラーを表示し、そ れ以上エラーをチェックしません。たとえば、移動するポリシー ルールで参照されているオブジェクトが Destination [ 宛先 ] に存在 しない場合はエラーが発生します。このオプションをオフにした場 合、ファイアウォールまたは Panorama は、先に全てのエラーを検 出してからそれらを表示します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 315 セキュリティポリシー ポリシー セキュリティポリシー Policies > Security [ ࣏ࣜࢩ࣮ > ࢭ࢟ࣗࣜࢸ ] セキュリティポリシーは、セキュリティ ゾーンを参照して、アプリケーション、ユーザーま たはユーザーグループ、およびサービス ( ポートおよびプロトコル ) に基づいて、ネットワー ク上のトラフィックを許可、制限、および追跡できるようにします。デフォルトでは、 「rule1」 という名前のセキュリティルールがファイアウォールに含まれています。このルールでは、 Trust ゾーンから Untrust ゾーンへのトラフィックがすべて許可されています。 知りたい内容 以下を参照 セキュリティポリシーとは ࠕࢭ࢟ࣗࣜࢸ࣏ࣜࢩ࣮ࡢᴫせࠖ Panorama ࡢሙྜࡣࠊࠕPanorama ࡛ࡢ࣏ࣜࢩ࣮ࡢᐃ⩏ࠖ ࢆཧ↷ࡋ࡚ࡃࡔࡉ࠸ࠋ セキュリティポリシーの作成 に使用可能なフィールド ࠕࢭ࢟ࣗࣜࢸ࣏ࣜࢩ࣮ࡢᵓᡂせ⣲ࠖ Web インターフェイスを使用 してセキュリティポリシーを 管理する方法 ࠕ࣏ࣜࢩ࣮ࡢసᡂ⟶⌮ࠖ ࠕࢭ࢟ࣗࣜࢸ࣮ࣝࣝࡢ࣮࢜ࣂ࣮ࣛࢻࡲࡓࡣྲྀࡾᾘࡋࠖ さらに詳細を知りたい 探 し て い る 情 報 が 見 つ 「セキュリティポリシー」を参照してください。 からない場合 セキュリティポリシーの概要 Policies > Security [ ࣏ࣜࢩ࣮ > ࢭ࢟ࣗࣜࢸ ] セキュリティポリシーを使用すると、ルールを適用し、アクションを実行できます。また、必 要に応じて、全般的または個別の指定を行うことができます。ポリシー ルールと受信トラ フィックに対し順番に照合されます。トラフィックに一致する最初のルールが適用されるた め、固有のルールを全般的ルールよりも先に設定する必要があります。たとえば、他のすべ てのトラフィック関連の設定が同じである場合、1 つのアプリケーションに対応するルールが すべてのアプリケーションに対応するルールよりも上に来るようにしなければなりません。 ユーザー定義のどのルールとも一致しないトラフィックには、デフォルト ルールが適用されま す。セキュリティルールベースの下部に表示されるデフォルト ルールは、すべてのイントラゾー ン ( ゾーン内 ) トラフィックを許可し、すべてのインターゾーン ( ゾーン間 ) トラフィックを拒否 するよう事前定義されています。これらのルールは、事前定義済み設定に含まれ、デフォルトで 読み取り専用ですが、Override [ オーバーライド ] して、タグ、アクション ( 許可または拒否 )、ロ グ設定、セキュリティ プロファイルなど、限定された複数の設定を変更することができます。 このインターフェイスには、セキュリティポリシーを定義するための以下のタブが用意され ています。 • General [ 全般 ] — General [ 全般 ] タブを選択して、セキュリティポリシーの名前と説明 を設定します。 • Source [ 送信元 ] — Source [ 送信元 ] タブを選択して、トラフィックの送信元ゾーンまた は送信元アドレスを定義します。 • User [ ユーザー ] — User [ ユーザー ] タブを選択して、個々のユーザーまたはユーザーの グループのポリシーを適用します。ホスト情報プロファイル (HIP) が有効な GlobalProtect を使用している場合、GlobalProtect が収集した情報に基づいてポリシーを適用すること もできます。たとえば、ユーザーのアクセス レベルを、ファイアウォールにユーザーの 316 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ポリシー セキュリティポリシー ローカル設定を通知する HIP によって判別することができます。HIP 情報を使用して、 ホストで実行中のセキュリティ プログラム、レジストリ値、およびホストにアンチウイ ルス ソフトウェアがインストールされているかどうかなど他の多くのチェックを基に、 詳細なアクセス制御を行うことができます。 • Destination [ 宛先 ] — Destination [ 宛先 ] タブを使用して、トラフィックの宛先ゾーンま たは宛先アドレスを定義します。 • Application [ アプリケーション ] — Application [ アプリケーション ] タブを選択して、ア プリケーションまたはアプリケーション グループに基づいて、ポリシーがアクションを 実行するように指定します。管理者は、既存の App-ID シグネチャを使用し、カスタマイ ズして、独自のアプリケーションや、既存のアプリケーションの特定の属性を検出する こともできます。カスタム アプリケーションは Objects > Applications [ オブジェクト > ア プリケーション ] で定義されます。 • Service/URL Category [ サービス /URL カテゴリ ] — Service/URL Category [ サービス /URL カテゴリ ] タブから、TCP および ( または ) UDP のポート番号または URL カテゴリをポ リシーの一致条件として指定できます。 • Action [ アクション ] — Action [ アクション ] タブから、定義されたポリシー属性に一致す るトラフィックに基づいて実行されるアクションを定義します。 以下を参照 ࠕࢭ࢟ࣗࣜࢸ࣏ࣜࢩ࣮ࡢᵓᡂせ⣲ࠖ ࠕ࣏ࣜࢩ࣮ࡢసᡂ⟶⌮ࠖ セキュリティポリシーの構成要素 以下のセクションでは、セキュリティポリシー ルールの各構成要素、すなわちコンポーネン トについて説明します。デフォルト セキュリティルールを表示したり、新規ルールを作成す る際には、以下に示す各オプションを設定できます。 表 168. セキュリティルールの構成要素 フィールド 設定場所 内容 ルール番号 なし 各ルールは自動的に付番され、ルールを移動すると順番も変更され ます。特定のフィルタに一致するようにルールをフィルタリングす ると、各ルールはルールベース内の全ルールのコンテクストで番号 が振られ、評価順に従って並べられます。 Panorama では、プレ ルールとポスト ルールは別々に付番されま す。Panorama から管理対象ファイアウォールにルールをプッシュ すると、付番の際に、ルールベース内のプレルール、ファイアウォー ルルール、およびポストルールの階層が考慮され、その番号がルー ルの並びと評価順に反映されます。 名前 一般 ルールを識別する名前を入力します。名前の大文字と小文字は区別 され、文字、数字、スペース、ハイフン、およびアンダースコアを 含む最大 31 文字を指定できます。ルール名はファイアウォールお よび Panorama 上で一意でなければなりません。また、デバイス グ ループとその先祖または子孫デバイス グループ内でも一意でなけ ればなりません。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 317 セキュリティポリシー ポリシー 表 168. セキュリティルールの構成要素 フィールド 設定場所 内容 タグ 一般 Add [ 追加 ] をクリックして、ポリシーのタグを指定します。 ポリシー タグとは、ポリシーをソートまたはフィルタリングでき るキーワードや語句です。多数のポリシーを定義していて、特定の キーワードでタグが付けられたポリシーを表示する場合に役立ち ます。たとえば、特定のルールに「復号」や「復号なし」といった 特定の語でタグを付けたり、特定のデータ センターに関するポリ シーにその場所の名前を使用したりできます。 デフォルト ルールにタグを追加することもできます。 タイプ 一般 ルールがゾーン内、ゾーン間、その両方のどれに適用されるかを指 定します。 • universal [ユニバーサル](デフォルト)— 指定された送信元ゾー ンおよび宛先ゾーン内の一致するすべてのインターゾーン トラ フィックとイントラゾーン トラフィックにルールを適用します。 たとえば、送信元ゾーンが A と B で、宛先ゾーンが A と B のユ ニバーサル ルールを作成するとします。ルールは、ゾーン A 内 のすべてのトラフィック、ゾーン B 内のすべてのトラフィック、 ゾーン A からゾーン B へのすべてのトラフィック、ゾーン B か らゾーン A へのすべてのトラフィックに適用されます。 • intrazone [ イントラゾーン ] — 指定された送信元ゾーン内の一致 するすべてのトラフィックにルールを適用します(イントラゾー ン ルールには宛先ゾーンを指定できません)。たとえば、送信元 ゾーンを A と B に設定するとします。ルールは、ゾーン A 内の すべてのトラフィック、ゾーン B 内のすべてのトラフィックに適 用されますが、ゾーン A とゾーン B 間のトラフィックに適用され ません。 • interzone [ インターゾーン ] — 指定された送信元ゾーンおよび宛 先ゾーン間の一致するすべてのトラフィックにルールを適用し ます。たとえば、送信元ゾーンを A、B、C、宛先ゾーンを A、B に設定したとします。ルールは、ゾーン A からゾーン B、ゾーン B から ゾーン A、ゾーン C からゾーン A、ゾーン C からゾーン B へのトラフィックには適用されますが、ゾーン A、B、または C 内のトラフィックには適用されません。 送信元ゾーン 送信元 Add [ 追加 ] をクリックして送信元ゾーンを選択します ( デフォル トは any)。ゾーンは同じタイプ (Layer 2 [ レイヤー 2]、Layer 3 [ レ イヤー 3]、virtual wire [ バーチャル ワイヤー ]) である必要があり ます。新しいゾーンを定義する手順については、 「セキュリティ ゾー ンの定義」を参照してください。 複数のゾーンを使用して管理を簡略化できます。たとえば、信頼さ れていない宛先ゾーンが指定されている 3 つの異なる内部ゾーン ( マーケティング、販売、広報 ) がある場合、すべてのケースを対 象とした 1 つのルールを作成できます。 送信元アドレス 送信元 Add [ 追加 ] をクリックして送信元アドレス、アドレス グループ、 または地域を追加します ( デフォルトは any)。ドロップダウンリス トから選択するか、ドロップダウンリストの下部にある Address [ アドレス ]、Adress Group [ アドレスグループ ]、または Region [ 地域 ] をクリックして設定を行います。 318 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ポリシー セキュリティポリシー 表 168. セキュリティルールの構成要素 フィールド 設定場所 内容 送信元ユーザー ユーザー Add [ 追加 ] をクリックして、ポリシーを適用する送信元ユーザー またはユーザーグループを選択します。以下の送信元ユーザー タ イプがサポートされます。 • any [ すべて ] — ユーザー データに関係なく任意のトラフィック が含まれます。 • pre-logon [ ログオン前 ] — GlobalProtect を使用してネットワーク に接続しているが、自分のシステムにはログインしていないリモー ト ユーザーが含まれます。GlobalProtect クライアントのポータル に Pre-logon [ ログオン前 ] オプションが設定されている場合、自 分のマシンに現在ログインしていないユーザーは、ユーザー名 prelogon として識別されます。pre-logon ユーザー用のポリシーを作 成でき、また、ユーザーが直接ログインしていなくても、そのマシ ンは完全にログインしているかのようにドメインで認証されます。 • known-user [ 既知のユーザー] — 認証されたすべてのユーザー ( ユーザー データがマップされた IP) が含まれます。このオプショ ンは、ドメインの「ドメイン ユーザー」グループに相当します。 • unknown [未知] — 認証されていないすべてのユーザー (ユーザーに マップされていない IP アドレス ) が含まれます。 たとえば、 unknown [ 未知 ] は、ゲスト レベルのアクセスに使用できます。これらのユー ザーは、ネットワーク上の IP を持っていますが、ドメインに認証さ れず、ファイアウォール上に IP 対ユーザーのマッピング情報がない ためです。 • select [ 選択 ] — このウィンドウで選択したユーザーが含まれま す。たとえば、1 人のユーザー、個々のユーザーのリスト、グルー プを追加したり、手動でユーザーを追加する場合があります。 注:User-ID エージェントではなく RADIUS サーバーを使用してい る場合、ユーザーのリストは表示されません。ユーザー情報を手動 で入力する必要があります。 送信元 HIP プロ ファイル ユーザー Add [ 追加 ] をクリックして、ユーザーを識別するホスト情報プロ ファイル (HIP) を選択します。HIP を使用すると、最新のセキュリ ティ パッチが適用されているかどうか、アンチウィルス定義がイ ンストールされているかどうかといったエンド ホストのセキュリ ティ状態に関する情報を収集できます。ポリシーの適用にホスト情 報を使用することで、重要なリソースにアクセスするリモート ホ ストが適切に整備された、セキュリティ標準に準拠した粒度の細か いセキュリティを実現でき、その後に、ネットワーク リソースへ のアクセスを許可できます。 宛先ゾーン 宛先 Add [ 追加 ] をクリックして宛先ゾーンを選択します ( デフォルト は any)。ゾーンは同じタイプ (Layer 2 [ レイヤー 2]、Layer 3 [ レイ ヤー 3]、virtual wire [ バーチャル ワイヤー ]) である必要がありま す。新しいゾーンを定義する手順については、 「セキュリティ ゾー ンの定義」を参照してください。 複数のゾーンを使用して管理を簡略化できます。たとえば、信頼さ れていない宛先ゾーンが指定されている 3 つの異なる内部ゾーン ( マーケティング、販売、広報 ) がある場合、すべてのケースを対 象とした 1 つのルールを作成できます。 注:イントラゾーン ルールは、送信元と宛先が同じゾーン内にあ るトラフィックにのみ一致するため、宛先ゾーンを定義できませ ん。イントラゾーン ルールに一致するゾーンを指定する場合、送 信元ゾーンのみを設定する必要があります。 宛先アドレス 宛先 Add [ 追加 ] をクリックして宛先アドレス、アドレス グループ、ま たは地域を追加します ( デフォルトは any)。ドロップダウンリスト から選択するか、ドロップダウンリストの下部にある Address [ ア ドレス ] リンクをクリックしてアドレス設定を指定します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 319 セキュリティポリシー ポリシー 表 168. セキュリティルールの構成要素 フィールド 設定場所 内容 Application [ アプリケー ション ] Application [ アプリケーション ] セキュリティルールを適用する特定のアプリケーションを選択し ます。アプリケーションに複数の機能がある場合、アプリケーショ ン全体または個別の機能を選択できます。アプリケーション全体を 選択した場合、すべての機能が含まれ、将来、機能が追加されると アプリケーション定義が自動的に更新されます。 セキュリティルールでアプリケーション グループ、フィルタ、ま たはコンテナを使用している場合は、Application [ アプリケーショ ン ] 列のオブジェクトの上にマウスを置き、ドロップダウンリスト 矢印をクリックして Value [ 値 ] を選択すると、オブジェクトの詳 細が表示されます。これにより、Object [ オブジェクト ] に移動し なくても、ポリシーからアプリケーションメンバーを直接表示する ことができます。 サービス サービス /URL カテゴリ 特定の TCP や UDP のポート番号に制限するには、サービスを選択 します。ドロップダウンリスト リストから以下のいずれかを選択 します。 • any [ すべて ] — 選択したアプリケーションがすべてのプロトコ ルやポートで許可または拒否されます。 • application-default [ アプリケーション - デフォルト ] — 選択した アプリケーションが、Palo Alto Networks® によって定義された デフォルトのポートでのみ許可または拒否されます。このオプ ションは、許可ポリシーに使用することをお勧めします。標準以 外のポートやプロトコルで実行されるアプリケーションは、意図 的である場合を除き、動作と使用方法が望ましくない可能性があ ります。このオプションを許可ポリシーに使用することで、そう したアプリケーションの実行を禁止できます。 このオプションを使用しても、ファイアウォールはすべてのポー トのすべてのアプリケーションをチェックしますが、この設定に することで、アプリケーションはデフォルトのポート / プロトコ ルでのみ許可されます。 • Select [ 選択 ] — Add [ 追加 ] をクリックします。既存のサービス を選択するか、Service [ サービス ] または Service Group [ サー ビス グループ ] を選択して新しいエントリを指定します。 「サー ビス」および「サービス グループ」を参照してください。 URL カテゴリ サービス /URL カテゴリ セキュリティルールを適用する URL カテゴリを選択します。 • URL カテゴリに関係なくすべてのセッションを許可または拒否 するには、any [ すべて ] を選択します。 • カテゴリを指定するには、Add [ 追加 ] をクリックし、ドロップダ ウンリスト リストから特定のカテゴリ ( カスタム カテゴリも含 む ) を選択します。複数のカテゴリを追加できます。カスタム カ テゴリの定義方法の詳細は、 「外部動的リスト」を参照してくだ さい。 320 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ポリシー セキュリティポリシー 表 168. セキュリティルールの構成要素 フィールド 設定場所 内容 動作 アクション ルールに定義された属性に一致するトラフィックに対するアク ションを指定するには、以下のアクションから選択します。 – Allow [ 許可 ] — ( デフォルト ) トラフィックを許可します。 – Deny [ 拒否 ] — トラフィックをブロックし、拒否されるアプリ ケーションについて定義されたデフォルトのアクションの拒否 を実行します。アプリケーションについてデフォルトで定義さ れている拒否アクションを表示するには、Objects > Applications [ オブジェクト > アプリケーション ] でアプリケーションの詳 細情報を表示します。 デフォルトの拒否アクションはアプリケーションによって異 なるため、ファイアウォールは、あるアプリケーションについ ては、セッションをブロックしてリセットを送信し、別のアプ リケーションについてはセッションを暗黙にドロップすると いったアクションを実行します。 – Drop [ ドロップ ] — アプリケーションをサイレントにドロップ します。TCP リセットはホスト / アプリケーションに送信され ません。ただし、Send ICMP Unreachable [ICMP 送信到達不 能 ] を選択した場合を除きます。 – Reset client [ クライアントのリセット ] — クライアント側デ バイスに TCP リセットを送信します。 – Reset server [ サーバーのリセット ] — サーバー側デバイスに TCP リセットを送信します。 – Reset both [ 両方のリセット ] — クライアント側とサーバー側 の両方のデバイスに TCP リセットを送信します。 • Send ICMP Unreachable [ICMP 送信到達不能] — レイヤー 3 イン ターフェイスでのみ使用できます。トラフィックのドロップや接 続のリセットを行うようにセキュリティポリシーを設定すると、 トラフィックが宛先ホストに到達しない場合があります。そのよ うな場合は、ドロップされるすべての UDP トラフィックおよび TCP トラフィックについて、トラフィックの送信元 IP アドレス に ICMP 到達不能応答を送信するようにファイアウォールを設 定できます。この設定を有効にすると、送信元は正規の手順に 従ってセッションをクローズまたはクリアできるため、アプリ ケーションの処理が中断するのを防ぐことができます。 ファイアウォールに設定されている ICMP 到達不能パケット率 を確認するには、Device > Setup > Session [ デバイス > セット アップ > セッション ] の Session Settings [ セッション設定 ] セク ションを表示します。 事前定義済みのインターゾーンおよびイントラゾーン ルールに定 義されているデフォルト アクションをオーバーライドする方法に ついては、 「セキュリティルールのオーバーライドまたは取り消し」 を参照してください。 プロファイル設 定 アクション © Palo Alto Networks, Inc. デフォルトのセキュリティ プロファイルで実行されるチェックを 指定するには、Antivirus [ アンチウイルス ]、Anti-Spyware [ アン チスパイウェア ]、Vulnerability Protection [ 脆弱性防御 ]、URL Filtering [URL フィルタリング ]、File Blocking [ ファイル ブロッ キング ]、および Data Filtering [ データ フィルタリング ] の各プ ロファイルを選択します。 個々のプロファイルではなくプロファイル グループを指定するに は、Profile Type Group [ プロファイル タイプ > グループ ] を選択し、 Group Profile [ グループ プロファイル ] ドロップダウンリスト リス トからプロファイル グループを選択します。 新しいプロファイルやプロファイル グループを定義するには、該当す るプロファイルまたはグループの横にある New [ 新規 ] をクリックし ます (「セキュリティプロファイルグループ」を参照 )。 セキュリティ プロファイル ( またはプロファイル グループ ) をデ フォルト ルールに関連付けることもできます。 Web インターフェイス リファレンス ガイド、バージョン 7.1 • 321 セキュリティポリシー ポリシー 表 168. セキュリティルールの構成要素 フィールド 設定場所 内容 オプション アクション Options [ オプション ] タブでは、ロギング設定と 以下に示すその他のオプションの組み合わせを指定できます。 ルールに一致するトラフィックのエントリをローカルトラフィッ ク ログに生成するには、以下のオプションを選択します。 • Log At Session Start [ セッション開始時にログ ] — セッション開 始のトラフィックログエントリを生成します ( デフォルトではオ フ )。 • Log At Session End [ セッション終了時にログ ] — セッション終 了のトラフィック ログ エントリを生成します ( デフォルトでは オン )。 注:セッションの開始または終了のエントリがログに記録される 場合、drop [ ドロップ ] および deny [ 拒否 ] のエントリもログに 記録されます。 • Log Forwarding Profile [ ログ転送プロファイル ] — ローカル ト ラフィック ログと脅威ログのエントリをリモートの宛先 (Panorama サーバーや Syslog サーバーなど ) に転送するには、 Log Forwarding Profile [ ログ転送プロファイル ] ドロップダウン リスト リストからログ プロファイルを選択します。 脅威ログ エントリの生成は、セキュリティ プロファイルで定義 されます。新しいログ プロファイルを定義するには、New [ 新規 ] をクリックします (「ログの転送」を参照 )。 デフォルト ルールのログ設定を変更することもできます。 以下のオプションを任意に組み合わせて指定します。 • Schedule [ スケジュール ] — ルールを適用する日時を制限するに は、ドロップダウンリストからスケジュールを選択します。新し いスケジュールを定義するには、New [ 新規 ] をクリックします (「復号化プロファイルの SSL 復号化設定」を参照 )。 • QoS Marking [QoS マーキング ] — ルールに一致するパケットの Quality of Services(QoS)の設定を変更するには、IP DSCP また は IP 優先度を選択して QoS の値を 2 進数で入力するか、事前に 定義されている値をドロップダウンリストから選択します。QoS の詳細は、 「サービス品質 (QoS)」を参照してください。 • Disable Server Response Inspection [ サーバー レスポンス検査 の無効化 ] — サーバーからクライアントへのパケットの検査を無 効にするには、このオプションをオンにします。このオプション は、サーバーからの負荷が高い状況で効力を発揮します。 内容 一般 ポリシーの説明を入力します ( 最大 255 文字 )。 322 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ポリシー セキュリティポリシー ポリシーの作成と管理 Policies > Security [ ポリシー > セキュリティ ] ページでは、セキュリティポリシーの追加、変 更、および管理が可能です。 タスク 内容 追加 新しいポリシー ルールを追加するには、以下のいずれかの操作を実行します。 • ページの下部にある Add [ 追加 ] をクリックします。 • 新しいルールのベースとなるルールを選択して Clone Rule [ ルールのコピー] を選 択するか、ルールの余白部分をクリックしてルールを選択し、ページ下部の Clone Rule [ ルールのコピー ] を選択します (Web インターフェイスで選択されている ルールは背景が黄色になります )。コピーされたルール「rulen」が選択したルール の下に挿入されます。n は次に使用可能な整数で、これによりルール名が一意にな ります。コピーの詳細は、「ポリシールールの移動またはコピー」を参照してくだ さい。 変更 ルールを変更するには、そのルールをクリックします。 Panorama からプッシュされたルールは、ファイアウォールでは読み取り専用となる ため、ローカルでは編集できません。 Override [ オーバーライド ] および Revert [ 元に戻す ] アクションは、セキュリティ ルールベースの最下部に表示されるデフォルト ルールにのみ適用されます。事前定 義ルール、すなわち、すべてのイントラゾーン トラフィックを許可し、すべてのイ ンターゾーン トラフィックを拒否するルールは、ファイアウォールに、ルールベー ス内の他のどのルールとも一致しないトラフィックの処理方法を指示するもので す。これらのルールは事前定義済み設定に含まれるため、一部のポリシー設定を編 集する場合には Override [ オーバーライド ] する必要があります。Panorama を使用 中の場合は、デフォルトのルールを Override [ オーバーライド ] し、デバイスグルー プや共有コンテクスト中のファイアウォールにプッシュすることもできます。また、 デフォルトルールの Revert [ 取り消し ] を行い、以前の設定内容や Panorama から プッシュされた設定内容を復元することができます。詳細は、 「セキュリティルール のオーバーライドまたは取り消し」を参照してください。 移動 ルールは、Policies [ ポリシー ] ページに列挙されている順序で、上から下に評価さ れます。ネットワーク トラフィックに対してルールを評価する順序を変更するには、 ルールを選択して、Move Up [ 上へ ]、Move Down [ 下へ ]、Move Top [ 最上部へ ]、 または Move Bottom [ 最下部へ ] をクリックします。詳細は、「ポリシールールの移 動またはコピー」を参照してください。 削除 ルールを選択し、Delete [ 削除 ] をクリックして既存のルールを削除します。 有効化 / 無効 化 ルールを無効にするには、ルールを選択して Disable [ 無効化 ] をクリックします。 無効になっているルールを有効にするには、ルールを選択して Enable [ 有効化 ] を クリックします。 未使用ルール の確認 ファイアウォールを前回再起動して以来使用されていないルールを特定したい場合 は Highlight Unused Rules [ 未使用のルールをハイライト表示 ] を選択します。その 上で、ルールを無効にするのか、削除するのかを判断します。現在使用されていな いルールは黄色い網掛けで表示されます。 推奨設定:各ファイアウォールは、一致のあるルールのフラグが維持管理されます。再 起動時にデータ プレーンのリセットが発生するとフラグがリセットされるため、この リストを定期的にモニターして、最後のチェック以降にルールに一致があったどうか を判別してからリストを削除または無効にすることをお勧めします。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 323 セキュリティポリシー ポリシー タスク 内容 列の表示 / 非 表示 Policies [ ポリシー ] ページの列を表示または非表示にする場合は、列の名前の隣に 表示されるこのオプションを選択し、各列の表示状態を切り替えてください。 フィルタの適 用 リストにフィルタを適用するには、Filter Rules [ フィルタ ルール ] ドロップダウン リスト リストから選択します。値を追加してフィルタを定義するには、項目のドロッ プダウンリストをクリックして Filter [ フィルタ ] を選択します。 注:デフォルトルールはルールベースフィルタリングの対象外であるため、常にフィ ルタリング後のルールリストに表示されます。 ポリシーに一致するものとしてログに記録されたネットワーク セッションを表示す るには、ルール名のドロップダウンリスト リストをクリックして、Log Viewer [ ロ グ ビューアー ] を選択します。 現在値を表示するには、当該エントリのドロップダウンリスト リストをクリックし て Value [ 値 ] を選択します。列メニューから特定の項目を直接編集、フィルタリン グ、または削除することもできます。たとえば、あるアドレス グループに含まれる アドレスを表示するには、Address [ アドレス ] 列内のオブジェクトにマウス カーソ ルを移動し、ドロップダウンリスト リストをクリックして Value [ 値 ] を選択しま す。これにより、Object [ オブジェクト ] タブに移動しなくても、アドレス グループ のメンバーおよび対応する IP アドレスを迅速に確認できます。 オブジェクト名または IP アドレスをもとに、ポリシー内で使用されているオブジェ クトを検索する場合はフィルタオプションを使用します。フィルターの適用後は フィルターに一致した項目のみが表示されます。フィルターは埋め込みオブジェク トに対しても有効です。例:10.1.4.8 でフィルタリングした場合、そのアドレスを含 むポリシーのみが表示されます。 ルールのプレ ビュー (Panorama のみ ) Preview Rules [ ルールのプレビュー ] から、ルールを管理対象ファイアウォールに プッシュする前にルールのリストを表示することができます。大量のルールに目を 通しやすいように、各ルールベース内でルールの階層がデバイスグループ(および 管理対象ファイアウォール)ごとに視覚的に区別されて表示されます。 324 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ポリシー セキュリティポリシー セキュリティルールのオーバーライドまたは取り消し デフォルトのセキュリティルールである interzone-default と intrazone-default には事前定義 済みの設定がありますが、これは、ファイアウォールまたは Panorama 上でオーバーライド できます。ファイアウォールがデバイス グループからデフォルト ルールを受信する場合は、 デバイス グループ設定もオーバーライドできます。オーバーライドが実行されるファイア ウォールまたは仮想システムには、ローカルバージョンのルールが設定情報の中に格納され ています。オーバーライド可能な設定は、フルセットの一部です ( 以下の表にセキュリティ ルールの一部を示します )。デフォルト セキュリティルールの詳細については、 「セキュリティ ポリシー」を参照してください。 ルールをオーバーライドするには、ファイアウォールでは Policies > Security [ ポリシー > セ キュリティ ] を、Panorama では Policies > Security > Default Rules [ ポリシー > セキュリティ > デフォルト ルール ] を選択します。名前列には、オーバーライド可能なルールの継承アイコ ン が表示されます。ルールを選択し、Override [ オーバーライド ] をクリックして、以下 の表に示した各設定を編集します。 オーバーライドしたルールを事前定義の設定または Panorama デバイス グループからプッ シュされた設定に戻すには、ファイアウォールでは Policies > Security [ ポリシー > セキュリ ティ ] を、Panorama では Policies > Security > Default Rules [ ポリシー > セキュリティ > デフォ ルト ルール ] を選択します。名前列には、オーバーライドされた値を持つルールのオーバー ライド アイコン が表示されます。ルールを選択して、Revert [ 元に戻す ] をクリックし、 Yes [ はい ] をクリックして操作を確定します。 表 169. デフォルト セキュリティルールのオーバーライド フィールド 内容 General [ 全般 ] タブ 名前 ルールを識別する Name [ 名前 ] は読み取り専用であるため、オー バーライドはできません。 Rule Type [ ルール タイプ ] は読み取り専用であるため、オーバーラ イドはできません。 Description [ 説明 ] は読み取り専用であるため、オーバーライドは できません。 ドロップダウンリストから Tags [ タグ ] を選択します。 ポリシー タグとは、ポリシーをソートまたはフィルタリングできる キーワードや語句です。多数のポリシーを定義していて、特定の キーワードでタグが付けられたポリシーを表示する場合に役立ち ます。たとえば、特定のセキュリティポリシーに DMZ へのインバ ウンドのタグを付けたり、個々の復号化ポリシーに「復号」または 「復号なし」というタグを付けたり、特定のデータセンターに関連 付けられたポリシーにその場所の名前を使用したりできます。 ルールタイプ 内容 タグ Actions [ アクション ] タブ アクション設定 © Palo Alto Networks, Inc. Action [ アクション ]:ルールに一致するトラフィックに対して適切 な Action [ アクション ] を選択します。 • Allow [ 許可 ] — ( デフォルト ) トラフィックを許可します。 • Deny [ 拒否 ] — トラフィックをブロックし、ファイアウォールが 拒否するアプリケーションについて定義されたデフォルトのアク ションの拒否を実行します。アプリケーションについてデフォル トで定義されている拒否のアクションを表示するには、Objects > Applications [ オブジェクト > アプリケーション ] でアプリケー ションの詳細情報を表示します。 • Drop [ ドロップ ] — アプリケーションをサイレントにドロップし ます。ホストまたはアプリケーションに、TCP リセット メッセー ジは送信されません。 • Reset client [ クライアントのリセット ] — クライアント側デバイ スに TCP リセット メッセージを送信します。 • Reset server [ サーバーのリセット ] — サーバー側デバイスに TCP リセット メッセージを送信します。 • Reset both [ 両方のリセット ] — クライアント側とサーバー側の 両方のデバイスに TCP リセット メッセージを送信します。 Web インターフェイス リファレンス ガイド、バージョン 7.1 • 325 セキュリティポリシー ポリシー 表 169. デフォルト セキュリティルールのオーバーライド(続) フィールド 内容 プロファイル設定 Profile Type [ プロファイルタイプ ]:プロファイルまたはプラット フォームグループをセキュリティルールに関連付けます。 • デフォルトのセキュリティプロファイルによって実行される チェック動作を指定するには、Profiles [ プロファイル ] を選択し て、Antivirus [ アンチウイルス ]、Vulnerability Protection [ 脆弱 性防御 ]、Anti-Spyware [ アンチスパイウェア ]、URL Filtering [URL フィルタリング ]、File Blocking [ ファイルブロッキング ]、 Data Filtering [ データフィルタリング ]、WildFire Analysis [WildFire 分析 ] の各プロファイルを選択します。 • 個々のプロファイルではなくプロファイルグループを割り当てる には、Group [ グループ ] を選択し、ドロップダウンリスト リス トから Group Profile [ グループプロファイル ] を選択します。 • 新規のプロファイル (「セキュリティプロファイル」を参照 ) また はプロファイル グループ (「セキュリティプロファイルグループ」 を参照 ) を定義するには、対応するプロファイルまたはグループ のドロップダウンリスト リストで New [新規] をクリックします。 以下のオプションを任意に組み合わせて指定します。 • Log Forwarding [ ログ転送 ] — ローカル トラフィック ログと脅威 ログのエントリをリモートの宛先 (Panorama サーバーや Syslog サーバーなど ) に転送するには、ドロップダウンリスト リストか ら Log Forwarding [ログ転送] プロファイルを選択します。セキュ リティプロファイルによって、脅威ログ エントリが生成されるか どうかが決まります。新規の Log Forwarding [ログ転送] プロファ イルを定義するには、ドロップダウンリスト リストで Profile [ プ ロファイル ] を選択します (「ログの転送」を参照 )。 • ルールに一致するトラフィックのエントリをローカル トラ フィック ログに生成するには、以下のオプションを選択します。 – Log at Session Start [ セッション開始時にログ ] — セッション 開始のトラフィックログエントリが生成されます ( デフォルト ではオン )。 ログ設定 – Log at Session End [ セッション終了時にログ ] — セッション 終了のトラフィックログエントリを生成します ( デフォルトで はオフ )。 注:セッション開始またはセッション終了エントリをトラフィック ログに含めるようにファイアウォールを設定した場合は、ドロップ エントリと拒否エントリもトラフィック ログに含められます。 326 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ポリシー ネットワークアドレス変換(NAT)ポリシー ネットワークアドレス変換(NAT)ポリシー ファイアウォールにレイヤー 3 インターフェイスを定義する場合、ネットワーク アドレス変 換 (NAT) ポリシーを使用して、送信元 IP アドレスおよび宛先 IP アドレスのプライベート ア ドレスとパブリック アドレスを変換するかどうかや、送信元ポートおよび宛先ポートのプラ イベート ポートとパブリック ポートを変換するかどうかを指定できます。たとえば、内部 (信頼されている) ゾーンからパブリック (信頼されていない) ゾーンに送信されるトラフィッ クの送信元プライベート アドレスをパブリック アドレスに変換できます。NAT は、バーチャ ル ワイヤー インターフェイスでもサポートされています。 Policies > NAT [ ࣏ࣜࢩ࣮ > NAT] NAT ルールは、送信元ゾーンと宛先ゾーン、送信元アドレスと宛先アドレス、およびアプリ ケーション サービス (HTTP など ) に基づいています。セキュリティポリシーと同様に、NAT ポリシー ルールと受信トラフィックは順番に照合され、トラフィックに一致する最初のルー ルが適用されます。 必要に応じて、ローカル ルータに静的 ルートを追加し、パブリック アドレスへのトラフィッ クをすべてファイアウォールにルーティングします。場合によっては、ファイアウォールの 受信インターフェイスに静的 ルートを追加し、プライベート アドレスにトラフィックをルー ティングして戻す必要があります。 Panorama のポリシーの定義の詳細は、「Panorama でのポリシーの定義」を参照してくださ い。 以下の表に、NAT および NPTv6 (IPv6 ネットワーク間プレフィックス変換 ) の設定を説明し ます。 • 「General [ 全般 ] タブ」 • 「Original Packet [ 元のパケット ] タブ」 • 「Translated Packet [ 変換済みパケット ] タブ」 • 「Active/Active HA Binding [ アクティブ / アクティブ HA バインド ] タブ」 最後のセクションでは「NAT64」に関する情報を見ることができます。 General [ 全般 ] タブ General [ 全般 ] タブを使用して、 NAT ポリシーまたは NPTv6 ポリシーの名前とその内容説明 を設定します。タグを設定すると、大量のポリシーがある場合に、ポリシーのソートやフィ ルタリングを行うこともできます。作成する NAT ポリシーのタイプを選択します。ここで選 択したタイプによって、Original Packet [ 元のパケット ] タブおよび Translated Packet [ 変換済 みパケット ] タブで使用できるフィールドが決まります。 表 170. NAT ルール設定 ( [ 全般 ] タブ ) フィールド 設定場所 内容 名前 Policies > NAT > General [ ポリシー > NAT > 全般 ] ルールを識別する名前を入力します。名前の大文字と小文字は区別され、 文字、数字、スペース、ハイフン、およびアンダースコアを含む最大 31 文 字を指定できます。ルール名はファイアウォールおよび Panorama 上で一 意でなければなりません。また、デバイス グループとその先祖または子孫 デバイス グループ内でも一意でなければなりません。 内容 Policies > NAT > General [ ポリシー > NAT > 全般 ] ルールの説明を入力します ( 最大 255 文字 )。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 327 ネットワークアドレス変換(NAT)ポリシー ポリシー 表 170. NAT ルール設定 ( [ 全般 ] タブ ) フィールド 設定場所 内容 タグ Policies > NAT > General [ ポリシー > NAT > 全般 ] ポリシーにタグを付ける場合、Add [ 追加 ] をクリックしてタグを指定し ます。 ポリシー タグとは、ポリシーをソートまたはフィルタリングできるキー ワードや語句です。多数のポリシーを定義していて、特定のキーワードで タグが付けられたポリシーを表示する場合に役立ちます。 NAT タイプ Policies > NAT > General [ ポリシー > NAT > 全般 ] 変換のタイプを指定します。 • ipv4 — IPv4 アドレス間の変換に使用します。 • nat64 — IPv6 と IPv4 間の変換に使用します。 • nptv6 — IPv6 プレフィックス間の変換に使用します。 1 つの NAT ルールで IPv4 と IPv6 のアドレス範囲を組み合わせることは できません。 Original Packet [ 元のパケット ] タブ Original Packet [ 元のパケット ] タブを使用して、 変換対象パケットの送信元ゾーンと宛先ゾー ンを定義し、さらに宛先インターフェイスとサービスのタイプを指定します。同じタイプの 複数の送信元と宛先ゾーンを設定し、そのルールを特定のネットワークや IP アドレスに適用 することができます。 表 171. NAT ルール設定 ( [ 元のパケット ] タブ ) フィールド 設定場所 内容 送信元ゾーン 宛先ゾーン Policies > NAT > Original Packet [ ポリシー > NAT > 元のパケット ] 元のパケット ( 非 NAT) パケットについて、1 つ以上の送信元ゾー ンと宛先ゾーンを選択します ( デフォルトは any)。ゾーンは同じタ イプ (Layer 2 [ レイヤー 2]、Layer 3 [ レイヤー 3]、virtual wire [ バーチャル ワイヤー ]) である必要があります。新しいゾーンを定 義する手順については、 「セキュリティ ゾーンの定義」を参照して ください。 複数のゾーンを特定し、管理の手間を少なくすることができます。 たとえば、複数の内部 NAT アドレスが同じ外部 IP アドレスに送信 されるように設定できます。 宛先インターフェイ ス サービス 送信元アドレス 宛先アドレス Policies > NAT > Original Packet [ ポリシー > NAT > 元のパケット ] Policies > NAT > Original Packet [ ポリシー > NAT > 元のパケット ] Policies > NAT > Original Packet [ ポリシー > NAT > 元のパケット ] ファイアウォールが変換するパケットの宛先インターフェイスを 指定します。異なる IP アドレスプールを持つ 2 つの ISP にネット ワークが接続している場合、宛先インターフェイスを使用すること で、IP アドレスを異なった方法で変換できます。 ファイアウォールが送信元または宛先アドレスを変換する対象と なるサービスを指定します。新しいサービスグループを定義する方 法については、「サービス グループ」を参照してください。 ファイアウォールが変換する送信元アドレスと宛先アドレスの組 み合わせを指定します。 Source Address [送信元アドレス]と Destination Address NPTv6 では、 [ 宛先アドレス ] に設定されるプレフィックスを xxxx:xxxx::/yy という 形式で指定する必要があります。アドレスにインターフェイス識別 子 ( ホスト ) 部分を定義することはできません。サポートされてい るプレフィックス長の範囲は /32 ∼ /64 です。 328 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ポリシー ネットワークアドレス変換(NAT)ポリシー Translated Packet [ 変換済みパケット ] タブ 送信元のアドレスを変換する場合は Translated Packet [ 変換済みパケット ] タブを使用して、送 信元に対して実行する変換のタイプと、送信元の変換後アドレス / ポートを決定します。 公開 IP アドレスによるアクセスが必要な内部ホスト用に、宛先アドレス変換を設定するこ ともできます。この場合、Original Packet [ 元のパケット ] タブに内部ホストの送信元アドレ ス ( パブリック ) と宛先アドレス ( プライベート ) を定義し、Translated Packet [ 変換済みパ ケ ッ ト ] タ ブ で Destination Address Translation [ 宛 先 ア ド レ ス の 変 換 ] を 有 効 に し て、 Translated Address [ 変換後アドレス ] を入力します。公開アドレスがアクセスされると、内 部ホストの内部 ( 宛先 ) アドレスに変換されます。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 329 ネットワークアドレス変換(NAT)ポリシー ポリシー 表 172. NAT ルール設定 ( [ 変換済みパケット ] タブ ) フィールド 設定場所 内容 送信元アドレスの 変換 Policies > NAT > Translated Packet [ ポリシー > NAT > 変換済みパケット ] 変換タイプ ( 動的または静的 アドレス プール ) を選択し、送信元ア ドレスの変換後の IP アドレスまたはアドレス範囲 (アドレス 1 ∼ ア ドレス 2) を入力します (Translated Address [ 変換後アドレス ])。ア ドレス範囲のサイズは、以下のアドレス プールのタイプによって制 限されます。 • Dynamic IP And Port [ 動的 IP およびポート ] — アドレス選択は、送 信元 IP アドレスのハッシュに基づきます。特定の送信元 IP アドレ スに対して、ファイアウォールのすべてのセッションで同じ変換後 の送信元アドレスが使用されます。動的 IP およびポートの送信元 NAT では、 NAT プール内の各 IP アドレスで約 64,000 個の連続する セッションがサポートされます。一部のプラットフォームでは、 オーバーサブスクリプションがサポートされます。その場合、1 つ の IP で 64,000 個以上の連続するセッションをホストできます。 Palo Alto Networks の動的 IP/ ポート NAT では、使用可能な IP アドレスとポートの数でサポートされる数よりも多くの NAT セッションがサポートされます。ファイアウォールでは、宛先 IP アドレスが一意の場合、IP アドレスとポートの組み合わせを PA200、PA-500、PA-2000 シリーズ、および PA-3000 シリーズのファ イアウォールで 2 回まで ( 同時 )、PA-4020 と PA-5020 のファイア ウォールで 4 回、PA-4050、PA-4060、PA-5050、および PA-5060 のファイアウォールで 8 回まで使用できます。 • Dynamic IP [ 動的 IP] — 指定した範囲で次に使用可能なアドレスが 使用されますが、ポート番号は変更されません。最大 32,000 個の連 続した IP アドレスがサポートされます。動的 IP プールには、複数 のサブネットを含めることができるため、内部ネットワーク アドレ スを 2 つ以上の別個のパブリック サブネットに変換できます。 – Advanced (Fall back Dynamic IP Translation) [ 詳細 ( 動的 IP の フォールバック )] — プライマリ プールのアドレスを使い切っ た時に使用される、IP およびポートの変換を実行する代替プー ルを作成する場合は、このオプションを使用します。Translated Address [ 変換後アドレス ] オプションまたは Interface Address [ インターフェイス アドレス ] オプション (IP アドレスを動的に 受け取るインターフェイス用 ) を使用して、プールのアドレス を定義できます。代替プールを作成するときには、アドレスが プライマリ プールのアドレスと重複しないことを確認します。 • Static IP [ 静的 IP] — 変換に同じアドレスが常に使用され、ポート 番号は変更されません。たとえば、送信元の範囲が 192.168.0.1 ∼ 192.168.0.10 で、変換の範囲が 10.0.0.1 ∼ 10.0.0.10 の場合、アドレ ス 192.168.0.2 は必ず 10.0.0.2 に変換されます。アドレス範囲は事 実上無制限です。 – NPTv6 では、送信元アドレスの変換に Static IP [ 静的 IP] 変換を 使用する必要があります。NPTv6 では、Translated Address [ 変 換後アドレス ] に設定されるプレフィックスを xxxx:xxxx::/yy と いう形式で指定する必要があります。アドレスにインターフェ イス識別子 ( ホスト ) 部分を定義することはできません。サポー トされているプレフィックス長の範囲は /32 ∼ /64 です。 • None [ なし ] — 変換は実行されません。 330 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ポリシー ネットワークアドレス変換(NAT)ポリシー 表 172. NAT ルール設定 ( [ 変換済みパケット ] タブ )(続) フィールド 設定場所 双方向 Policies > NAT > Translated Packet [ ポリシー > NAT > 変換済みパケット ] 内容 (任意)対応する変換(NAT または NPTv6)を設定する変換の反対 方向にも作成する場合は、双方向変換を有効にします。 注:双方向変換を有効にする場合は、双方向のトラフィックを制御 するセキュリティポリシーが設定されていることを必ず確認してお く必要があります。このようなポリシーが設定されていない場合、 双方向変換機能により双方向のパケットが自動的に変換されること になります。 宛先アドレスの変 換 — 変換後アドレ ス Policies > NAT > Translated Packet [ ポリシー > NAT > 変換済みパケット ] 変換後の宛先アドレスとポート番号として、IP アドレスまたは IP ア ドレスの範囲とポート番号 (1 ∼ 65535) を入力します。Translated Port [ 変換済みポート ] フィールドを空白にすると、宛先ポートは変 換されません。一般的に、宛先の変換は電子メールサーバーなどの 内部サーバーに対するパブリックネットワークからのアクセスを許 可するために使用します。 NPTv6 では、宛先プレフィックス Translated Address [ 変換後アド レス ] に設定されるプレフィックスを xxxx:xxxx::/yy という形式で 指定する必要があります。アドレスにインターフェイス識別子 ( ホ スト ) 部分を定義することはできません。サポートされているプレ フィックス長の範囲は /32 ∼ /64 です。NPTv6 では、厳密なプレ フィックス変換が行われるため、変換済みポートはサポートされて いません。ポート アドレスおよびホスト アドレスのセクションは、 変換されずにそのまま転送されます。 Active/Active HA Binding [ アクティブ / アクティブ HA バイ ンド ] タブ ファイアウォールがアクティブ / 高可用状態(HA)でアクティブに設定されている場合の みアクティブ / アクティブ HA バインドのタブが使用できます。この状態ではそれぞれの送 信元 NAT ルールを(NAT が静的、動的のいずれの場合も)デバイス ID 0 またはデバイス ID 1 にバインドする必要があります。2 つの HA ピアが固有の NAT IP アドレスプールを持 つ場合は、デバイス固有の NAT ルールを設定することができます。 ファイアウォールが新しいセッションを作成すると、HA バインドはセッションに一致した NAT ルールを判別します。ルールの照合が行われるためには、バインドにセッションオー ナーが含まれている必要があります。NAT ルールの照合はセッションを作成するファイア ウォールが行うものですが、セッションは、セッションオーナーにバインドされた NAT ルー ルと照合され、そのうち 1 つのルールに基づいて変換されます。デバイス固有のルールの場 合、ファイアウォールはセッション オーナーに関連付けられていないすべての NAT ルール を飛ばして進みます。デバイス ID 1 のファイアウォールがセッションオーナーであり、セッ ションを作成するファイアウォールになる場合を例にとってみましょう。デバイス ID 1 は、 セッションと NAT ルールを照合する際に、デバイス ID 0 にバインドされたすべてのルール を無視して照合を行います。 片方のピアに障害が発生した場合は、NAT 変換を含め、もう一方のピアが、障害が発生した ピアのセッション同期用トラフィックの処理を続けます。Palo Alto Networks では、もう一 方のデバイス ID にバインドされた NAT ルールを重複して作成することをお勧めしています。 すなわち、同じ送信元変換アドレスと同じ宛先変換アドレスを持つ 2 つの NAT ルールが存在 し、各ルールがそれぞれのデバイス ID にバインドされた状態です。このような設定を行うこ とで、現行の HA ピアが新しいセッションの作成を行い、自身のデバイス ID とバインドされ ていない NAT ルールの照合を行うことが可能になります。複製 NAT ルールを作成しない場 合、機能中のピアは NAT ポリシー照合を試行しますが、セッションはファイアウォールのデ バイス固有ルールと一致しないため、ファイアウォールは自身のデバイス ID にバインドされ ていないその他の NAT ルールをすべて省略してしまいます。 それぞれの宛先 NAT ルールを、デバイス ID 0、デバイス ID 1、both [ 両方 ]、またはアク ティブな primary [ プライマリ ] ファイアウォールにバインドする必要があります。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 331 ネットワークアドレス変換(NAT)ポリシー ポリシー 表 173. NAT ルールの設定(アクティブ / アクティブ HA バインドのタブ) フィールド 設定場所 内容 アクティブ / アク ティブ HA バインド Policies > NAT > Active/Active HA Binding [ ポリシー > NAT > アクティブ / アクティブ HA バイ ンド ] 以下のように Active/Active HA Binding [ アクティブ / アクティブ HA バインド ] の設定を行い、NAT ルールを HA ファイアウォール にバインドします。 • 0 — NAT ルールを HA デバイス ID 0 のファイアウォールにバイ ンドします。 • 1 — NAT ルールを HA デバイス ID 1 のファイアウォールにバイ ンドします。 • both [ 両方 ] — NAT ルールを HA デバイス ID 0 のファイアウォー ルと HA デバイス ID 1 のファイアウォールの両方にバインドしま す。この設定では動的 IP や、動的 IP およびポートの NAT はサ ポートされません。 • primary [ プライマリ ] — NAT ルールを HA アクティブ - プライ マリの状態にあるファイアウォールにバインドします。この設定 では動的IPや、動的IPおよびポートのNATはサポートされません。 NAT64 NAT64 は、IPv6 アドレスと IPv4 アドレス間で送信元および宛先 IP ヘッダーを変換するため に使用します。NAT64 では、IPv6 クライアントから IPv4 サーバーへのアクセスと、IPv4 ク ライアントから IPv6 サーバーへのアクセスが許可されます。IETF で定義される主な移行メカ ニズムには、デュアルスタック、トンネリング、変換の 3 つがあります。IPv4 専用または IPv6 専用のネットワークを使用していて、通信が必要な場合は、変換を使用する必要があります。 Palo Alto Networks ファイアウォールで NAT64 ポリシーを使用するときには、NAT 機能か ら DNS クエリ機能を切り離すためにサードパーティの DNS64 ソリューションを実装してい る必要があります。 以下の NAT64 機能がサポートされています。 • ステートフル NAT64。1 つの IPv4 アドレスで複数の IPv6 アドレスをマッピングできる ように、IPv4 アドレスを維持できます。IPv4 アドレスは、NAT44 で共有することもでき ます。一方、ステートレス NAT64 では、1 つの IPv4 アドレスが 1 つの IPv6 アドレスに マッピングされます。 • IPv4 から開始される通信の変換。IPv4 アドレス / ポート番号を IPv6 IP アドレスにマッ ピングする IPv4 の静的バインド。PAN-OS® では、さらに多くの IPv4 アドレスを維持で きるポートの書き換えもサポートされます。 • /32、/40、/48、/56、/64、および /96 のサブネットの変換が可能です。 • 複数のプレフィックスをサポートします。1 つのルールに 1 つの NAT64 プレフィックス を割り当てることができます。 • NAT64 用に IPv4 アドレスのプールを維持する必要はありません。したがって、1 つの IP アドレスを使用して NAT44 と NAT64 を実行することが可能です。 • ヘアピン (NAT U ターン ) をサポートします。ヘアピン ループ攻撃を防止できます。 • RFC による TCP/UDP/ICMP パケットの変換をサポートしますが、ALG のない他のプロ トコルもサポートします ( 最善努力 )。たとえば、GRE パケットを変換できます。この変 換には、NAT44 と同じ制限があります。 • PMTUD ( パス MTU 検出 ) をサポートします。TCP の MSS ( 最大セグメント サイズ ) が 更新されます。 332 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ポリシー ネットワークアドレス変換(NAT)ポリシー • IPv6 MTU 設定を設定できます。デフォルト値は 1280 です。これは、IPv6 トラフィック の最小 MTU です。この設定は、Device > Setup > Sessions [ デバイス > セットアップ > セッ ション ] タブの Session Settings [ セッション設定 ] から編集することができます。 • IPv4 と IPv6 間の長さ属性を変換します。 • レイヤー 3 インターフェイスおよびサブインターフェイス、トンネル、VLAN インター フェイスでサポートされます。 NAT64 の例 ファイアウォールでは 2 つの変換タイプを設定することができます。IPv4 の送信元 NAT に 似た IPv6 から開始される通信と、IPv4 の宛先 NAT に似た IPv4 から開始される IPv6 サー バー宛ての通信です。 IPv6 から開始される通信 このタイプの変換では、NAT ルールの宛先 IPv6 アドレスは RFC 6052 形式の後に続くプレ フィックスです (/32、/40、/48、/56、/64、/96)。ルールの宛先 IPv6 アドレス ネットマスクは、 IPv4 アドレスを抽出するために使用されます。ステートフル NAT 64 を実装するためには、 送信元変換に「動的 IP およびポート」が必要です。送信元として設定する IPv4 アドレスは、 NAT44 送信元変換と同様の方法で設定します。destination translation [ 宛先変換 ] フィール ドは設定しません。ただし、アドレスがパケット内の IPv6 アドレスから抽出されるため、宛 先変換を実行する必要があります。これには、宛先 IP の一致する基準で定義されたプレフィッ クスが使用されます。これは、/96 プレフィックスでは末尾の 4 つのオクテットですが、プレ フィックスが /96 でない場合、IPv4 アドレスの場所が異なります。 DNS64 サーバー ファイアウォール NAT64 ゲートウェイ IPv6 ネット ワーク 検証済み 未検証 IPv4 イン ターネット IPv6 ホスト 図 1. IPv6 クライアントから IPv4 ネットワークへの NAT64 以下の表に、この NAT64 ポリシーで必要な値を示します。 表 174. 送信元 IP 宛先 IP 送信元変換 宛先変換 Any/IPv6 アドレス RFC6052 準拠ネッ トマスクを使用す る NAT64 IPv6 プ レフィックス 動的 IP およびポート モード (IPv4 アドレ スを使用 ) なし © Palo Alto Networks, Inc. ᐄඛ,3Yࢻࣞࢫࡽᢳฟ Web インターフェイス リファレンス ガイド、バージョン 7.1 • 333 ネットワークアドレス変換(NAT)ポリシー ポリシー IPv4 から開始される通信 IPv4 アドレスは、IPv6 アドレスにマッピングされるアドレスです。送信元変換では静的 IP モードを使用します。送信元は、RFC6052 で定義された IPv6 プレフィックスで設定され、 IPv4 送信元アドレスに追加されます。宛先アドレスは、destination translation [ 宛先変換 ] 列 で設定した IP アドレスです。宛先ポートは書き換えが可能です。この方法では、静的 マッピ ングを使用し、ポートを介して複数の IPv6 サーバーを 1 つの IP アドレスで共有できます。 IPv6 サーバー DNS サーバー ファイアウォール NAT64 ゲートウェイ IPv4 イン ターネット 未検証 検証済み IPv6 ネット ワーク IPv4 ホスト 図 2. IPv4 インターネットから IPv6 顧客ネットワークへの Nat64 以下の表に、この NAT64 ポリシーで必要な値を示します。 表 175. IPv4 から開始される値 送信元 IP 宛先 IP 送信元変換 宛先変換 Any/IPv4 アドレス IPv4 アドレス 静的 IP モード (RFC 6052 形式の IPv6 プレフィックス ) 1 つの IPv6 アドレス (実際のサーバー IP アドレス ) 注:サーバー ポートの書き換えを指定 できます。 ファイアウォールのパケット処理エンジンは、NAT ルールを参照する前に、宛先ゾーンを決 定するためにルート検索を行う必要があります。NAT64 の場合、NAT プレフィックスは NAT64 ゲートウェイでルーティングできないので、宛先ゾーン割り当ての NAT64 プレ フィックスの到達可能性に対処することが重要です。NAT64 プレフィックスがデフォルトの ルートに到達するか、ルートがないためにドロップされる可能性が高くなります。ループバッ ク ポートのように機能し、/128 以外のネットマスクを受け入れる、終端点のないトンネル イ ンターフェイスをセットアップすることができます。NAT64 プレフィックスを使用する IPv6 トラフィックが正しい宛先ゾーンに割り当てられるように、トンネルに NAT64 プレフィック スを適用し、適切なゾーンを適用します。NAT64 ルールが一致しない場合に NAT 64 プレ フィックスを使用する IPv6 トラフィックがドロップされるという利点もあります。 IPv4/IPv6 変換の IETF シナリオ RFC 6144 の IETF で定義される 6 つの NAT ベースのシナリオがあります。Palo Alto Networks ファイアウォールでは、以下の表に示すように 1 つを除くすべてのシナリオがサ ポートされます。 334 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ポリシー ネットワークアドレス変換(NAT)ポリシー 表 176. PAN-OS を使用する場合の IEFT シナリオ実装の概要 シナリオ 送信元 IP 宛先 IP 送信元変換 宛先変換 IPv6 ネット ワークから IPv4 インター ネット Any/IPv6 ア ドレス RFC 6052 準拠ネットマ スクを使用する NAT64 IPv6 プレフィックス 動的 IP およびポート モード。 パブリック IPv4 アドレ スを使用 なし ( 宛先 IPv6 アド レスから抽出 ) IPv4 インター ネットから IPv6 ネット ワーク Any/IPv4 ア ドレス 1 つの IPv4 アドレス 静的 IP モード。 RFC 6052 形式の IPv6 プレフィックス 1 つの IPv6 アド レス IPv6 インター ネットから IPv4 ネット ワーク Any/IPv6 ア ドレス RFC 6052 準拠ネットマ スクを使用する IPV6 グローバル ルーティン グが可能なプレフィッ クス 動的 IP およびポート。 なし プライベート IPv4 アド ( 宛先 IPv6 アド レスを使用 レスから抽出 ) IPv4 ネット ワークから IPv6 インター ネット 現在サポートされていません IPv4 ネット ワークから IPv6 ネット ワーク Any/IPv4 ア ドレス 1 つの IPv4 アドレス 静的 IP モード。 RFC 6052 形式の IPv6 プレフィックス IPv6 ネット ワークから IPv4 ネット ワーク Any/IPv6 ア ドレス RFC 6052 準拠ネットマ スクを使用する NAT64 IPV6 プレフィックス。 動的 IP およびポート。 なし プライベート IPv4 アド ( 宛先 IPv6 アド レスを使用 レスから抽出 ) © Palo Alto Networks, Inc. 1 つの IPv6 アド レス Web インターフェイス リファレンス ガイド、バージョン 7.1 • 335 ポリシーベースの転送ポリシー ポリシー ポリシーベースの転送ポリシー Policies > Policy Based Forwarding [ ࣏ࣜࢩ࣮ > ࣏ࣜࢩ࣮ ࣮࣋ࢫ ࣇ࢛࣮࣡ࢹࣥࢢ ] 通常、トラフィックがファイアウォールに到着すると、入力インターフェイスの仮想ルーター が、宛先 IP アドレスに基づいてルートを決定し、それによって出力インターフェイス、及び 宛先セキュリティゾーンが決まります。ポリシーベースの転送 (PBF) では、送信元ゾーン、送 信元アドレス、送信元ユーザー、宛先アドレス、宛先アプリケーション、宛先サービスなど、 他の情報を指定して、出力インターフェイスを決定することができます。アプリケーション に関連付けられた宛先 IP アドレスおよびポートの最初のセッションは、アプリケーション固 有のルールには一致せず、後続の PBF ルール ( アプリケーションが指定されない ) か、仮想 ルーターの転送テーブルに従って転送されます。同じアプリケーションについて、その宛先 IP アドレスおよびポートの後続セッションはすべて、アプリケーション固有のルールに一致 します。PBF ルールによる転送を確実に行うには、アプリケーション固有のルールを使用す ることはお勧めしません。 必要に応じて PBF ルールを使用して、トラフィックが追加の仮想システムを経由するように Forward-to-VSYS 転送アクションで強制することができます。この場合、宛先仮想システム からファイアウォールの特定の出力インターフェイスを通じてパケットを転送する追加の PBF ルールを定義する必要があります。 その他のポリシー タイプの設定ガイドラインと詳細は、「ポリシー」を参照してください。 Panorama のポリシーの定義の詳細は、 「Panorama でのポリシーの定義」を参照してくださ い。 以下の表では、ポリシー ベース フォワーディング設定について説明します。 • 「General [ 全般 ] タブ」 • 「Source [ 送信元 ] タブ」 • 「Destination/Application/Service [ 宛先 / アプリケーション / サービス ] タブ」 • 「Forwarding [ 転送 ] タブ」 General [ 全般 ] タブ General [ 全般 ] タブを使用して PBF ポリシーの名前と説明を設定します。タグを設定すると、 大量のポリシーがある場合に、ポリシーのソートやフィルタリングにも使用できます。 フィールド 内容 名前 ルールを識別する名前を入力します。名前の大文字と小文字は区別され、 文字、数字、スペース、ハイフン、およびアンダースコアを含む最大 31 文字を指定できます。ルール名はファイアウォールおよび Panorama 上 で一意でなければなりません。また、デバイス グループとその先祖また は子孫デバイス グループ内でも一意でなければなりません。 内容 ポリシーの説明を入力します ( 最大 255 文字 )。 タグ ポリシーにタグを付ける場合、Add [ 追加 ] をクリックしてタグを指定し ます。 ポリシー タグとは、ポリシーをソートまたはフィルタリングできるキー ワードや語句です。多数のポリシーを定義していて、特定のキーワード でタグが付けられたポリシーを表示する場合に役立ちます。たとえば、特 定のセキュリティポリシーに DMZ へのインバウンドのタグを付けたり、 復号化ポリシーに「復号」と「復号なし」というタグを付けたり、特定 のデータ センターに関するポリシーにその場所の名前を使用したりでき ます。 336 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ポリシー ポリシーベースの転送ポリシー Source [ 送信元 ] タブ Source [ 送信元 ] タブを使用して、送信元ゾーンまたは送信元アドレスを定義し、送信元から 受信するトラフィックに転送ポリシーを適用するように設定します。 フィールド 内容 送信元ゾーン 送信元ゾーン ( デフォルトは any) を選択する場合は、Add [ 追加 ] をク リックしてドロップダウンリストから選択します。新しいゾーンを定義 する手順については、 「セキュリティ ゾーンの定義」を参照してください。 複数のゾーンを使用して管理を簡略化できます。たとえば、信頼されて いない宛先ゾーンが指定されている 3 つの異なる内部ゾーン ( マーケ ティング、販売、広報 ) がある場合、すべてのケースを対象とした 1 つの ルールを作成できます。 注:ポリシーベースの転送では、レイヤー 3 タイプのゾーンのみがサポー トされます。 送信元アドレス Add [ 追加 ] をクリックして送信元アドレス、アドレス グループ、または 地域を追加します ( デフォルトは any)。ドロップダウンリストから選択 するか、ドロップダウンリストの下部にある Address [ アドレス ]、Adress Group [ アドレスグループ ]、または Region [ 地域 ] をクリックして設定 を行います。 送信元ユーザー Add [ 追加 ] をクリックして、ポリシーを適用する送信元ユーザーまたは ユーザーグループを選択します。以下の送信元ユーザー タイプがサポー トされます。 • any [ すべて ] — ユーザー データに関係なく任意のトラフィックが含ま れます。 • pre-logon [ ログオン前 ] — GlobalProtect を使用してネットワークに接 続しているが、自分のシステムにはログインしていないリモート ユー ザーが含まれます。GlobalProtect クライアントのポータルに Pre-logon [ ログオン前 ] オプションが設定されている場合、自分のマシンに現在 ログインしていないユーザーは、ユーザー名 pre-logon として識別され ます。pre-logon ユーザー用のポリシーを作成でき、また、ユーザーが 直接ログインしていなくても、そのマシンは完全にログインしているか のようにドメインで認証されます。 • known-user [ 既知のユーザー ] — 認証されたすべてのユーザー ( ユー ザー データがマップされた IP) が含まれます。このオプションは、ドメ インの「ドメイン ユーザー」グループに相当します。 • unknown [ 未知 ] — 認証されていないすべてのユーザー ( ユーザーに マップされていない IP アドレス ) が含まれます。たとえば、unknown はゲスト レベルのアクセスに使用できます。これらのユーザーは、ネッ トワーク上の IP を持っていますが、ドメインに認証されず、ファイア ウォール上に IP アドレス対ユーザーのマッピング情報がないためです。 • select [ 選択 ] — このウィンドウで選択したユーザーが含まれます。た とえば、1 人のユーザー、個々のユーザーのリスト、グループを追加し たり、手動でユーザーを追加する場合があります。 注:User-ID エージェントではなく RADIUS サーバーを使用している場 合、ユーザーのリストは表示されません。ユーザー情報を手動で入力す る必要があります。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 337 ポリシーベースの転送ポリシー ポリシー Destination/Application/Service [ 宛先 / アプリケーション / サービス ] タブ Destination/Application/Service [ 宛先 / アプリケーション / サービス ] タブを使用して、 転送ルー ルに一致するトラフィックに適用される宛先設定を定義します。 フィールド 内容 宛先アドレス Add [ 追加 ] をクリックして宛先アドレス、アドレス グループ、または地域を 追加します ( デフォルトは any)。デフォルトでは、ルールは、any IP アドレス に適用されます。ドロップダウンリストから選択するか、ドロップダウンリス トの下部にある Address [ アドレス ]、Adress Group [ アドレスグループ ]、ま たは Region [ 地域 ] をクリックして設定を行います。 アプリケーション / サービス PBF ルールを適用する特定のアプリケーションを選択します。新しいアプリ ケーションを定義する方法については、 「アプリケーションの定義」を参照し てください。アプリケーション グループを定義する方法については、「アプリ ケーショングループ」を参照してください。 注:アプリケーション固有のルールを PBF で使用することはお勧めできませ ん。できるかぎり、サービス オブジェクト(プロトコルまたはアプリケーショ ンによって使用されるレイヤー 4 ポート(TCP または UDP))を使用してくだ さい。詳細は、https://paloaltonetworks.com/documentation/70/pan-os/pan-os/policy/ pbf.html を参照してください。 PBF ルールでアプリケーション グループ、フィルタ、またはコンテナを使用し ている場合は、Application [ アプリケーション ] 列のオブジェクトの上にマウ スを置き、下向き矢印をクリックして Value [ 値 ] を選択すると、これらのオ ブジェクトの詳細が表示されます。これにより、Object [ オブジェクト ] タブ に移動しなくても、ポリシーから直接アプリケーション メンバーを簡単に表示 できます。 338 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ポリシー ポリシーベースの転送ポリシー Forwarding [ 転送 ] タブ Forwarding [ 転送 ] タブを使用して、転送ポリシーに一致するトラフィックに適用されるアク ションおよびネットワーク情報を定義します。トラフィックは、ネクストホップ IP アドレス または仮想システムに転送することも、ドロップすることもできます。 フィールド 内容 動作 以下のいずれかのオプションを選択します。 • Forward [ 転送 ] — ネクストホップの IP アドレスと出力インターフェ イス ( 指定したネクストホップに到達するためにパケットが通るイン ターフェイス ) を指定します。 • Forward To VSYS [VSYS に転送 ] — ドロップダウンリストから転送先と なる仮想システムを選択します。 • Discard [ 破棄 ] — パケットを廃棄します。 • No PBF [PBF なし ] — パケットが通るパスを変更しません。このオプ ションは、ルールに定義された送信元 / 宛先 / アプリケーション / サー ビスの条件に一致するパケットを除外します。パケットの照合には、 PBF の代わりにルーティング テーブルを使用します。ファイアウォー ルは、ルーティング テーブルを使用して、一致したトラフィックをリ ダイレクト ポートから除外します。 出力インターフェイス パケットを特定の出力インターフェイスに向けます。 ネクストホップ パケットを特定のインターフェイスに向ける場合は、そのパケットのネ クストホップ IP アドレスを指定します。 Monitor ( 任意 ) モニタリングを有効にして、ターゲット IP Address [IP アドレス ] または Next Hop [ ネクストホップ ] IP アドレスとの接続を確認します。 Monitor [ 監視 ] を選択して、IP アドレスが到達不能な場合のアクション を指定した(デフォルトまたはカスタムの)モニタリング Profile [ プロ ファイル ] を関連付けます。 対称リターンの適用 ( 非対称ルーティング環境では必須 ) Enforce Symmetric Return [ 対称リ ターンの強要 ] を選択して、Next Hop Address [ ネクストホップ アドレ ス リスト ] に 1 つまたは複数の IP アドレスを入力します。 対称リターンを有効にすると、リターン トラフィック ( たとえば、LAN 上の Trust ゾーンからインターネットへのトラフィック ) が、インター ネットからの入力トラフィックを受信した場合と同じインターフェイス を介して外向きに転送されます。 スケジュール © Palo Alto Networks, Inc. ルールを適用する日時を制限するには、ドロップダウンリストからスケ ジュールを選択します。新しいスケジュールを定義する方法については、 「復号化プロファイルの SSL 復号化設定」を参照してください。 Web インターフェイス リファレンス ガイド、バージョン 7.1 • 339 復号化ポリシー ポリシー 復号化ポリシー Policies > Decryption [ ࣏ࣜࢩ࣮ > ྕ ] トラフィックを復号化するようにファイアウォールを設定して、可視化、管理、および詳細 なセキュリティを実現できます。復号化ポリシーは、SSL (Secure Sockets Layer) (IMAP(S)、 POP3(S)、SMTP(S)、FTP(S)、Secure Shell (SSH) トラフィックなどの SSL カプセル化プロト コルを含む ) に適用できます。SSH 復号を使用して、許可されていないアプリケーションや コンテンツがセキュアなプロトコルでトンネリングされないようにアウトバウンドおよびイ ンバウンド SSH トラフィックを復号化することができます。 復号化ポリシールールを追加して、復号化したいトラフィック(URL の分類に基づいたトラ フィックの復号化など)を定義することができます。復号化ポリシールールと受信トラフィッ クは順番に照合されるため、 より特定されたルールの方が全般的なルールよりも優先されます。 SSL フォワードプロキシの設定では、信頼された証明書を設定する必要があります。この証 明書はユーザーが接続中のサーバーが、ファイアウォールによって信頼された認証局によっ て著名された証明書を保持している時にユーザーに提示されます。Device > Certificate Management > Certificates [ デバイス > 証明書の管理 > 証明書 ] のページで証明書を作成し、証 明書の名前をクリックして、Forward Trust Certificate [ 信頼された証明書の転送 ] チェックボッ クスをオンにします。 その他のポリシー タイプの設定ガイドラインと詳細は、 「ポリシー」を参照してください。 Panorama のポリシーの定義の詳細は、 「Panorama でのポリシーの定義」を参照してください。 ファイアウォールで復号化されている場合、特定のアプリケーションは機 能しません。これが発生するのを防ぐために、PAN-OS では、これらのア プリケーションの SSL トラフィックは復号化されず、復号化ルール設定は 適用されません。これらのアプリケーションの一覧については、サポート 記事 https://live.paloaltonetworks.com/docs/DOC-1423 を参照してください。 以下の表では、復号化ポリシー設定について説明します。 • 「General [ 全般 ] タブ」 • 「Source [ 送信元 ] タブ」 • 「Destination [ 宛先 ] タブ」 • 「Service/URL Category [ サービス /URL カテゴリ ] タブ」 • 「Options [ オプション ] タブ」 340 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ポリシー 復号化ポリシー General [ 全般 ] タブ General [ 全般 ] タブを使用して、復号化ポリシーの名前と説明を設定します。タグを設定する と、大量のポリシーがある場合に、ポリシーのソートやフィルタリングにも使用できます。 フィールド 内容 名前 ルールを識別する名前を入力します。名前の大文字と小文字は区別され、 文字、数字、スペース、ハイフン、およびアンダースコアを含む最大 31 文字を指定できます。ルール名はファイアウォールおよび Panorama 上 で一意でなければなりません。また、デバイス グループとその先祖また は子孫デバイス グループ内でも一意でなければなりません。 内容 ルールの説明を入力します ( 最大 255 文字 )。 タグ ポリシーにタグを付ける場合、Add [ 追加 ] をクリックしてタグを指定し ます。 ポリシー タグとは、ポリシーをソートまたはフィルタリングできるキー ワードや語句です。多数のポリシーを定義していて、特定のキーワードで タグが付けられたポリシーを表示する場合に役立ちます。たとえば、特定 のセキュリティポリシーに DMZ へのインバウンドのタグを付けたり、復 号化ポリシーに「復号」と「復号なし」というタグを付けたり、特定のデー タ センターに関するポリシーにその場所の名前を使用したりできます。 Source [ 送信元 ] タブ Source [ 送信元 ] タブを使用して、送信元ゾーンまたは送信元アドレスを定義し、送信元から 受信するトラフィックに復号化ポリシーを適用するように設定します。 フィールド 内容 送信元ゾーン Add [追加] をクリックして送信元ゾーンを選択します (デフォルトは any)。 ゾーンは同じタイプ (Layer 2 [ レイヤー 2]、Layer 3 [ レイヤー 3]、virtual wire [ バーチャル ワイヤー ]) である必要があります。新しいゾーンを定義 する手順については、 「セキュリティ ゾーンの定義」を参照してください。 複数のゾーンを使用して管理を簡略化できます。たとえば、信頼されて いない宛先ゾーンが指定されている 3 つの異なる内部ゾーン ( マーケ ティング、販売、広報 ) がある場合、すべてのケースを対象とした 1 つの ルールを作成できます。 送信元アドレス Add [ 追加 ] をクリックして送信元アドレス、アドレス グループ、または 地域を追加します ( デフォルトは any)。ドロップダウンリストから選択 するか、ドロップダウンリストの下部にある Address [ アドレス ]、Adress Group [ アドレスグループ ]、または Region [ 地域 ] をクリックして設定 を行います。Negate [ 上記以外 ] を選択すると、設定したアドレス以外の 任意のアドレスを指定したことになります。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 341 復号化ポリシー ポリシー フィールド 内容 送信元ユーザー Add [ 追加 ] をクリックして、ポリシーを適用する送信元ユーザーまたは ユーザーグループを選択します。以下の送信元ユーザー タイプがサポー トされます。 • any [ すべて ] — ユーザー データに関係なく任意のトラフィックが含ま れます。 • pre-logon [ ログオン前 ] — GlobalProtect を使用してネットワークに接 続しているが、自分のシステムにはログインしていないリモート ユー ザーが含まれます。GlobalProtect クライアントのポータルに Pre-logon [ ログオン前 ] オプションが設定されている場合、自分のマシンに現在 ログインしていないユーザーは、ユーザー名 pre-logon として識別され ます。pre-logon ユーザー用のポリシーを作成でき、また、ユーザーが 直接ログインしていなくても、そのマシンは完全にログインしているか のようにドメインで認証されます。 • known-user [ 既知のユーザー ] — 認証されたすべてのユーザー ( ユー ザー データがマップされた IP) が含まれます。このオプションは、ドメ インの「ドメイン ユーザー」グループに相当します。 • unknown [未知] — 認証されていないすべてのユーザー (ユーザーにマッ プされていない IP アドレス ) が含まれます。たとえば、unknown をゲ スト レベルのアクセスに対して使用できます。これらのユーザーは、 ネットワーク上の IP を持っていますが、ドメインに認証されず、ファイ アウォール上に IP 対ユーザーのマッピング情報がないためです。 • select [ 選択 ] — このウィンドウで選択したユーザーが含まれます。た とえば、1 人のユーザー、個々のユーザーのリスト、グループを追加し たり、手動でユーザーを追加する場合があります。 注:User-ID エージェントではなく RADIUS サーバーを使用している場 合、ユーザーのリストは表示されません。ユーザー情報を手動で入力す る必要があります。 Destination [ 宛先 ] タブ Destination [ 宛先 ] タブを使用して、宛先ゾーンまたは宛先アドレスを定義し、宛先へのトラ フィックにポリシーを適用するように設定します。 フィールド 内容 宛先ゾーン Add [ 追加 ] をクリックして宛先ゾーンを選択します ( デフォルトは any)。 ゾーンは同じタイプ (Layer 2 [ レイヤー 2]、Layer 3 [ レイヤー 3]、virtual wire [ バーチャル ワイヤー ]) である必要があります。新しいゾーンを定義 する手順については、 「セキュリティ ゾーンの定義」を参照してください。 複数のゾーンを使用して管理を簡略化できます。たとえば、信頼されて いない宛先ゾーンが指定されている 3 つの異なる内部ゾーン ( マーケ ティング、販売、広報 ) がある場合、すべてのケースを対象とした 1 つの ルールを作成できます。 宛先アドレス Add [ 追加 ] をクリックして宛先アドレス、アドレス グループ、または地 域を追加します ( デフォルトは any)。ドロップダウンリストから選択す るか、ドロップダウンリストの下部にある Address [ アドレス ]、Adress Group [ アドレスグループ ]、または Region [ 地域 ] をクリックして設定 を行います。Negate [ 上記以外 ] を選択すると、設定したアドレス以外の 任意のアドレスを指定したことになります。 342 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ポリシー 復号化ポリシー Service/URL Category [ サービス /URL カテゴリ ] タブ Service/URL Category [ サービス /URL カテゴリ ] タブでは、復号化ポリシーを、TCP ポート番 号に基づいてトラフィックに、または任意の URL カテゴリ ( またはカテゴリリスト ) に適用 できます。 フィールド サービス URL Category [URL カテゴリ ] タブ 内容 特定の TCP/UDP ポート番号に基づいて、復号化ポリシーをトラフィック に適用します。ドロップダウンリスト リストから以下のいずれかを選択 します。 • any — 選択したアプリケーションがすべてのプロトコルやポートで許 可または拒否されます。 • application-default [ アプリケーション - デフォルト ] — 選択したアプリ ケーションが、Palo Alto Networks によってアプリケーション用に定義さ れたデフォルトのポートでのみ復号化 ( または復号化を免除 ) されます。 • Select [ 選択 ] — Add [ 追加 ] をクリックします。既存のサービスを選 択するか、新規の Service [ サービス ] または Service Group [ サービス グループ ] を指定します。「サービス」および「サービス グループ」を 参照してください。 復号化ルールを適用する URL カテゴリを選択します。 • URL カテゴリに関係なくすべてのセッションを照合するには、any を 選択します。 • カテゴリを指定するには、Add [ 追加 ] をクリックし、ドロップダウン リスト リストから特定のカテゴリ ( カスタム カテゴリも含む ) を選択 します。複数のカテゴリを追加できます。カスタムカテゴリの定義方法 の詳細は、を参照してください。 Options [ オプション ] タブ Options [ オプション ] タブを使用して、一致したトラフィックを復号化するかどうかを決定し ます。Decrypt [ 復号 ] が設定されている場合、復号化タイプを指定します。復号化プロファイ ルを設定または選択して、その他の復号化機能を追加することもできます。 フィールド 内容 動作 トラフィックの decrypt [ 復号 ] または no-decrypt [ 復号なし ] を選択し ます。 タイプ ドロップダウンリストから復号化するトラフィックのタイプを選択しま す。 • SSL Forward Proxy [SSL フォワード プロキシ ] — ポリシーで外部サー バーへのクライアント トラフィックを復号化するように指定します。 • SSH Proxy [SSH プロキシ ] — ポリシーで SSH トラフィックを復号化す るように指定します。このオプションでは、ssh-tunnel App-ID を指定 してポリシーの SSH トンネリングを制御できます。 • SSL Inbound Inspection [SSL インバウンド インスペクション ] — ポリ シーで SSL 着信検証トラフィックを復号化するように指定します。 復号化プロファイル ポリシールールに復号化プロファイルを適用し、トラフィックの特定の 要素のブロックとコントロールを行います。復号化プロファイルの作成 については、 「復号化プロファイル」を参照してください。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 343 アプリケーション オーバーライド ポリシー ポリシー アプリケーション オーバーライド ポリシー Policies > Application Override [ ࣏ࣜࢩ࣮ > ࣉࣜࢣ࣮ࢩࣙࣥ ࣮࢜ࣂ࣮ࣛࢻ ] ファイアウォールによるネットワーク トラフィックのアプリケーション分類方法を変更する には、アプリケーション オーバーライド ポリシーを指定します。たとえば、カスタム アプリ ケーションのいずれかを制御する場合、アプリケーション オーバーライド ポリシー ルールを 使用すると、ゾーン、送信元アドレスと宛先アドレス、ポート、およびプロトコルに従って、 そのアプリケーションのトラフィックを識別できます。 「unknown」として分類されるネット ワーク アプリケーションがある場合、そのアプリケーションの新しい定義を作成できます (「アプリケーションの定義」を参照 )。 セキュリティポリシーと同様に、必要に応じて全般的または個別のアプリケーション オー バーライド ポリシーを使用できます。ポリシー ルールと受信トラフィックは順番に照合され るため、より個別のルールの方が全般的なルールよりも上に来るようにする必要があります。 PAN-OS の App-ID エンジンは、ネットワーク トラフィックのアプリケーション特有のコン テンツを識別してトラフィックを分類します。このため、カスタム アプリケーション定義で は、単純にポート番号を使用してアプリケーションを識別することができません。アプリケー ション定義には、トラフィック ( 送信元ゾーン、送信元 IP アドレス、宛先ゾーン、および宛 先 IP アドレスごとに制限されます ) も含まれている必要があります。 アプリケーション オーバーライドを指定するカスタム アプリケーションを作成するには、以 下の手順を実行します。 1. カスタム アプリケーションを定義します。「アプリケーションの定義」を参照してくだ さい。アプリケーションの使用目的がアプリケーション オーバーライド ルールのみであ る場合、アプリケーションのシグネチャを指定する必要はありません。 2. カスタム アプリケーションの起動時に指定されるアプリケーション オーバーライド ポ リシーを定義します。通常ポリシーには、カスタム アプリケーションを実行しているサー バーの IP アドレスと、制限された送信元 IP アドレスのセットまたは送信元ゾーンが含ま れています。 その他のポリシー タイプの設定ガイドラインと詳細は、「ポリシー」を参照してください。 Panorama のポリシーの定義の詳細は、 「Panorama でのポリシーの定義」を参照してください。 以下の表を使用して、アプリケーション オーバーライド ルールを設定します。 • 「General [ 全般 ] タブ」 • 「Source [ 送信元 ] タブ」 • 「Destination [ 宛先 ] タブ」 • 「Protocol/Application [ プロトコル / アプリケーション ] タブ」 344 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ポリシー アプリケーション オーバーライド ポリシー General [ 全般 ] タブ General [ 全般 ] タブを使用して、アプリケーション オーバーライド ポリシーの名前と説明を 設定します。タグを設定すると、大量のポリシーがある場合に、ポリシーのソートやフィル タリングにも使用できます。 フィールド 内容 名前 ルールを識別する名前を入力します。名前の大文字と小文字は区別され、 文字、数字、スペース、ハイフン、およびアンダースコアを含む最大 31 文字を指定できます。ルール名はファイアウォールおよび Panorama 上 で一意でなければなりません。また、デバイス グループとその先祖また は子孫デバイス グループ内でも一意でなければなりません。 内容 ルールの説明を入力します ( 最大 255 文字 )。 タグ ポリシーにタグを付ける場合、Add [ 追加 ] をクリックしてタグを指定し ます。 ポリシー タグとは、ポリシーをソートまたはフィルタリングできるキー ワードや語句です。多数のポリシーを定義していて、特定のキーワード でタグが付けられたポリシーを表示する場合に役立ちます。たとえば、特 定のセキュリティポリシーに DMZ へのインバウンドのタグを付けたり、 復号化ポリシーに「復号」と「復号なし」というタグを付けたり、特定 のデータ センターに関するポリシーにその場所の名前を使用したりでき ます。 Source [ 送信元 ] タブ Source [ 送信元 ] タブを使用して、送信元ゾーンまたは送信元アドレスを定義し、送信元から 受信するトラフィックにアプリケーション オーバーライド ポリシーを適用するように設定 します。 フィールド 内容 送信元ゾーン Add [ 追加 ] をクリックして送信元ゾーンを選択します ( デフォルトは any)。ゾーンは同じタイプ (Layer 2 [ レイヤー 2]、Layer 3 [ レイヤー 3]、 virtual wire [ バーチャル ワイヤー ]) である必要があります。新しいゾー ンを定義する手順については、 「セキュリティ ゾーンの定義」を参照して ください。 複数のゾーンを使用して管理を簡略化できます。たとえば、信頼されて いない宛先ゾーンが指定されている 3 つの異なる内部ゾーン ( マーケ ティング、販売、広報 ) がある場合、すべてのケースを対象とした 1 つの ルールを作成できます。 送信元アドレス Add [ 追加 ] をクリックして送信元アドレス、アドレス グループ、または 地域を追加します ( デフォルトは any)。ドロップダウンリストから選択 するか、ドロップダウンリストの下部にある Address [ アドレス ]、Adress Group [ アドレスグループ ]、または Region [ 地域 ] をクリックして設定 を行います。Negate [ 上記以外 ] を選択すると、設定したアドレス以外の 任意のアドレスを指定したことになります。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 345 アプリケーション オーバーライド ポリシー ポリシー Destination [ 宛先 ] タブ Destination [ 宛先 ] タブを使用して、宛先ゾーンまたは宛先アドレスを定義し、宛先へのトラ フィックにポリシーを適用するように設定します。 フィールド 内容 宛先ゾーン Add [ 追加 ] をクリックして宛先ゾーンを選択します ( デフォルトは any)。 ゾーンは同じタイプ (Layer 2 [ レイヤー 2]、Layer 3 [ レイヤー 3]、virtual wire [ バーチャル ワイヤー ]) である必要があります。新しいゾーンを定 義する手順については、 「セキュリティ ゾーンの定義」を参照してくださ い。 複数のゾーンを使用して管理を簡略化できます。たとえば、信頼されて いない宛先ゾーンが指定されている 3 つの異なる内部ゾーン ( マーケ ティング、販売、広報 ) がある場合、すべてのケースを対象とした 1 つの ルールを作成できます。 宛先アドレス Add [ 追加 ] をクリックして宛先アドレス、アドレス グループ、または地 域を追加します ( デフォルトは any)。ドロップダウンリストから選択す るか、ドロップダウンリストの下部にある Address [ アドレス ]、Adress Group [ アドレスグループ ]、または Region [ 地域 ] をクリックして設定 を行います。Negate [ 上記以外 ] を選択すると、設定したアドレス以外の 任意のアドレスを指定したことになります。 Protocol/Application [ プロトコル / アプリケーション ] タブ Protocol/Application [ プロトコル / アプリケーション ] タブを使用して、プロトコル(TCP ま たは UDP)、ポート、アプリケーションを定義して、ポリシーの一致条件にするアプリケー ションの属性を詳細に指定できます。 フィールド 内容 プロトコル アプリケーションをオーバーライドできるプロトコルを選択します。 ポート 指定した宛先アドレスのポート番号 (0 ∼ 65535) またはポート番号の範 囲 ( ポート 1 ∼ ポート 2) を入力します。複数のポートまたはポートの範 囲はコンマで区切ります。 アプリケーション 前述のルール基準に一致するトラフィック フローのオーバーライド ア プリケーションを選択します。カスタム アプリケーションをオーバーラ イドするときに実行される脅威検査はありません。この例外は、脅威検 査をサポートする事前に定義されたアプリケーションにオーバーライド する場合です。 新しいアプリケーションを定義する方法については、 「アプリケーショ ン」を参照してください。 346 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ポリシー キャプティブ ポータル ポリシー キャプティブ ポータル ポリシー Policies > Captive Portal [ ࣏ࣜࢩ࣮ > ࢟ࣕࣉࢸࣈ ࣏࣮ࢱࣝ ] 以下の表を使用して、認証プロファイル、認証シーケンス、または証明書プロファイルでユー ザーが認証されるように、キャプティブ ポータルをセットアップおよびカスタマイズします。 キャプティブ ポータルと User-ID エージェントを連動させることで、Active Directory ドメイ ンでのユーザー識別機能を拡張できます。ユーザーはポータルに移動して認証され、それに よってユーザー対 IP のアドレス マッピングが作成されます。 キャプティブ ポータル ポリシーを定義する前に、User Identification [ ユーザー ID] ページで キャプティブ ポータルを有効にしてキャプティブ ポータル設定を指定します ( 手順は 「キャ プティブポータルのユーザー認証を管理する」を参照 )。 その他のポリシー タイプの設定ガイドラインと詳細は、「ポリシー」を参照してください。 以下の表では、キャプティブ ポータル ポリシー設定について説明します。 • 「General [ 全般 ] タブ」 • 「Source [ 送信元 ] タブ」 • 「Destination [ 宛先 ] タブ」 • 「Service/URL Category [ サービス /URL カテゴリ ] タブ」 • 「Action [ アクション ] タブ」 General [ 全般 ] タブ General [ 全般 ] タブを使用して、 キャプティブ ポータル ポリシーの名前と説明を設定します。 タグを設定すると、大量のポリシーがある場合に、ポリシーのソートやフィルタリングにも 使用できます。 フィールド 内容 名前 ルールを識別する名前を入力します。名前の大文字と小文字は区別され、 文字、数字、スペース、ハイフン、およびアンダースコアを含む最大 31 文字を指定できます。ルール名はファイアウォールおよび Panorama 上 で一意でなければなりません。また、デバイス グループとその先祖また は子孫デバイス グループ内でも一意でなければなりません。 内容 ルールの説明を入力します ( 最大 255 文字 )。 タグ ポリシーにタグを付ける場合、Add [ 追加 ] をクリックしてタグを指定し ます。 ポリシー タグとは、ポリシーをソートまたはフィルタリングできるキー ワードや語句です。多数のポリシーを定義していて、特定のキーワード でタグが付けられたポリシーを表示する場合に役立ちます。たとえば、特 定のセキュリティポリシーに DMZ へのインバウンドのタグを付けたり、 復号化ポリシーに「復号」と「復号なし」というタグを付けたり、特定 のデータ センターに関するポリシーにその場所の名前を使用したりでき ます。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 347 キャプティブ ポータル ポリシー ポリシー Source [ 送信元 ] タブ Source [ 送信元 ] タブを使用して、送信元ゾーンまたは送信元アドレスを定義し、送信元から 受信するトラフィックにキャプティブ ポータル ポリシーを適用するように設定します。 フィールド 内容 送信元 以下の情報を指定します。 • 特定のゾーンにあるすべてのインターフェイスからのトラフィックに ポリシーを適用する場合、送信元ゾーンを選択します。Add [ 追加 ] を クリックして、複数のインターフェイスまたはゾーンを指定します。 • Source Address [ 送信元アドレス ] 設定を指定して、特定の送信元アド レスからのトラフィックにキャプティブ ポータル ポリシーを適用しま す。Negate [ 上記以外 ] を選択すると、設定したアドレス以外の任意の アドレスを指定したことになります。Add [ 追加 ] をクリックして、複 数のインターフェイスまたはゾーンを指定します。 Destination [ 宛先 ] タブ Destination [ 宛先 ] タブを使用して、宛先ゾーンまたは宛先アドレスを定義し、宛先へのトラ フィックにポリシーを適用するように設定します。 フィールド 内容 宛先 以下の情報を指定します。 • 特定のゾーンにあるすべてのインターフェイスへのトラフィックにポ リシーを適用する場合、宛先ゾーンを選択します。Add [ 追加 ] をクリッ クして、複数のインターフェイスまたはゾーンを指定します。 • Destination Address [ 宛先アドレス ] 設定を指定して、特定の宛先アド レスへのトラフィックにキャプティブ ポータル ポリシーを適用しま す。Negate [ 上記以外 ] を選択すると、設定したアドレス以外の任意の アドレスを指定したことになります。Add [ 追加 ] をクリックして、複 数のインターフェイスまたはゾーンを指定します。 348 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ポリシー キャプティブ ポータル ポリシー Service/URL Category [ サービス /URL カテゴリ ] タブ Service/URL Category [ サービス /URL カテゴリ ] タブを使用して、特定の TCP/UDP ポート番 号に基づいて、ポリシーがアクションを実行するように指定します。URL カテゴリは、ポリ シーの属性としても使用できます。 フィールド 内容 サービス 特定の TCP や UDP のポート番号に制限するには、サービスを選択しま す。ドロップダウンリスト リストから以下のいずれかを選択します。 • any [ すべて ]— 選択したサービスがすべてのプロトコルやポートで許 可または拒否されます。 • default [ デフォルト ] — 選択したサービスが、Palo Alto Networks に よって定義されたデフォルトのポートでのみ許可または拒否されます。 これは、許可ポリシーの推奨オプションです。 • Select [ 選択 ] — Add [ 追加 ] をクリックします。既存のサービスを選 択するか、Service [ サービス ] または Service Group [ サービス グルー プ ] を選択して新しいエントリを指定します。 「サービス」および「サー ビス グループ」を参照してください。 URL カテゴリ キャプティブ ポータル ルールを適用する URL カテゴリを選択します。 • URL カテゴリに関係なく Service/Action [ サービス / アクション ] タブ で指定したアクションを適用するには、any を選択します。 • カテゴリを指定するには、Add [ 追加 ] をクリックし、ドロップダウン リスト リストから特定のカテゴリ ( カスタム カテゴリも含む ) を選択 します。複数のカテゴリを追加できます。カスタム カテゴリの定義方 法の詳細は、「外部動的リスト」を参照してください。 Action [ アクション ] タブ Action [ アクション ] タブを使用して、ユーザーに Web フォームおよびブラウザ チャレンジ ダイアログが表示されるかどうか、またはキャプティブ ポータル チャレンジを実行しないか どうかを決定します。 フィールド 内容 アクション設定 実行するアクションを選択します。 • web-form [ ウェブフォーム ] — 明示的に認証情報を入力するための キャプティブ ポータル ページがユーザーに表示されます。 • no-captive-portal [ キャプティブポータルなし ] — 認証のためのキャプ ティブ ポータル ページを表示することなくトラフィックの通過を許可 します。 • browser-challenge [ ブラウザ認証 ] — ユーザーの Web ブラウザへの NT LAN Manager (NTLM) 認証要求を開きます。Web ブラウザは、ユー ザーの現在のログイン資格証明を使用して応答します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 349 DoS 保護ポリシー ポリシー DoS 保護ポリシー Policies > DoS Protection [ ࣏ࣜࢩ࣮ > DoS ࣉࣟࢸࢡࢩࣙࣥ ] DoS プロテクション ポリシーでは、インターフェイス、ゾーン、アドレス、国の間のセッショ ン数を集約セッション、送信元 IP アドレス、宛先 IP アドレスに基づいて制御できます。たと えば、特定のアドレスまたはアドレス グループと送受信されるトラフィック、特定のユーザー から受信するトラフィック、特定のサービスに使用するトラフィックを制御できます。 DoS ポリシーには、攻撃を示すしきい値 ( セッション数またはパケット数 / 秒 ) を指定する DoS プロファイルを含めることができます。ポリシーで、一致がトリガーされたときの保護 アクションを選択できます。「DoS 防御プロファイル」を参照してください。 Panorama のポリシーの定義の詳細は、 「Panorama でのポリシーの定義」を参照してくださ い。 このページを使用して、DoS プロテクション ポリシー ルールを追加、編集、または削除しま す。ポリシー ルールを追加するには、Add [ 追加 ] をクリックし、以下のフィールドを入力し ます。 General [ 全般 ] タブ General [ 全般 ] タブを使用して、DoS ポリシーの名前と説明を設定します。タグを設定する と、大量のポリシーがある場合に、ポリシーのソートやフィルタリングにも使用できます。 フィールド 内容 名前 ルールを識別する名前を入力します。名前の大文字と小文字は区別され、 文字、数字、スペース、ハイフン、およびアンダースコアを含む最大 31 文字を指定できます。ルール名はファイアウォールおよび Panorama 上 で一意でなければなりません。また、デバイス グループとその先祖また は子孫デバイス グループ内でも一意でなければなりません。 内容 ルールの説明を入力します ( 最大 255 文字 )。 タグ ポリシーにタグを付ける場合、Add [ 追加 ] をクリックしてタグを指定し ます。 ポリシー タグとは、ポリシーをソートまたはフィルタリングできるキー ワードや語句です。多数のポリシーを定義していて、特定のキーワード でタグが付けられたポリシーを表示する場合に役立ちます。たとえば、特 定のセキュリティポリシーに DMZ へのインバウンドのタグを付けたり、 復号化ポリシーに「復号」と「復号なし」というタグを付けたり、特定 のデータ センターに関するポリシーにその場所の名前を使用したりでき ます。 350 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ポリシー DoS 保護ポリシー Source [ 送信元 ] タブ Source [ 送信元 ] タブを選択し、送信元ゾーンまたは送信元アドレスを定義し、送信元から受 信するトラフィックに DoS ポリシーを適用するように設定します。 フィールド 内容 送信元 以下の情報を指定します。 • Type [ タイプ ] ドロップダウンリスト リストから Interface [ インターフェイス ] を選択し、インターフェイスまたはインターフェイスグループからのトラフィッ クに DoS ポリシーを適用します。特定のゾーンにあるすべてのインターフェイス からのトラフィックに DoS ポリシーを適用する場合、Zone [ ゾーン ] を選択しま す。Add [ 追加 ] をクリックして、複数のインターフェイスまたはゾーンを指定し ます。 • Source Address [ 送信元アドレス ] 設定を指定して、特定の送信元アドレスから のトラフィックに DoS ポリシーを適用します。Negate [ 上記以外 ] を選択する と、設定したアドレス以外の任意のアドレスを指定したことになります。複数の アドレスを指定するには、Add [ 追加 ] をクリックします。 • Source User [ 送信元ユーザー ] 設定を指定して、特定のユーザーからのトラ フィックに DoS ポリシーを適用します。以下の送信元ユーザー タイプがサポー トされます。 – any [ すべて ]— ユーザー データに関係なく任意のトラフィックが含まれます。 – pre-logon [ ログイン前 ] — GlobalProtect を使用してネットワークに接続して いるが、自分のシステムにはログインしていないリモートユーザーが含まれま す。GlobalProtect クライアントのポータルに Pre-logon [ ログオン前 ] オプショ ンが設定されている場合、自分のマシンに現在ログインしていないユーザー は、ユーザー名 pre-logon として識別されます。pre-logon ユーザー用のポリ シーを作成でき、また、ユーザーが直接ログインしていなくても、そのマシン は完全にログインしているかのようにドメインで認証されます。 – known-user [既知のユーザー] — 認証されたすべてのユーザー (ユーザー デー タがマップされた IP) が含まれます。このオプションは、ドメインの「ドメイ ン ユーザー」グループに相当します。 – unknown [ 未知 ] — 認証されていないすべてのユーザー ( ユーザーにマップさ れていない IP アドレス ) が含まれます。たとえば、unknown をゲスト レベル のアクセスに対して使用できます。これらのユーザーは、ネットワーク上の IP を持っていますが、ドメインに認証されず、ファイアウォール上に IP 対ユー ザーのマッピング情報がないためです。 – select [ 選択 ] — このウィンドウで選択したユーザーが含まれます。たとえば、 1 人のユーザー、個々のユーザーのリスト、グループを追加したり、手動でユー ザーを追加する場合があります。 注:User-ID エージェントではなく RADIUS サーバーを使用している場合、ユー ザーのリストは表示されません。ユーザー情報を手動で入力する必要があります。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 351 DoS 保護ポリシー ポリシー Destination [ 宛先 ] タブ Destination [ 宛先 ] タブを選択して、宛先ゾーンまたは宛先アドレスを定義し、宛先へのトラ フィックにポリシーを適用するように設定します。 フィールド 内容 宛先 以下の情報を指定します。 • Type [ タイプ ] ドロップダウンリスト リストから Interface [ インター フェイス ] を選択し、インターフェイスまたはインターフェイスグルー プからのトラフィックに DoS ポリシーを適用します。特定のゾーンに あるすべてのインターフェイスからのトラフィックに DoS ポリシーを 適用する場合、Zone [ ゾーン ] を選択します。Add [ 追加 ] をクリック して、複数のインターフェイスまたはゾーンを指定します。 • Destination Address [ 宛先アドレス ] 設定を指定して、特定の宛先アド レスへのトラフィックに DoS ポリシーを適用します。Negate [ 上記以 外 ] を選択すると、設定したアドレス以外の任意のアドレスを指定した ことになります。複数のアドレスを指定するには、Add [ 追加 ] をクリッ クします。 352 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ポリシー DoS 保護ポリシー Options/Protection [ オプション / 保護 ] タブ [ オプション / 保護 ] タブを選択して、DoS ポリシーの追加のオプションを設定します。たと えば、サービスのタイプ (http または https)、実行するアクション、一致したトラフィックの ログ転送をトリガーするかどうかなどを設定できます。また、ポリシーをアクティブにする スケジュールを定義したり、集約的に、または分類化して DoS プロファイルを選択し、DoS プロテクションの詳細な属性を定義することもできます。 フィールド 内容 サービス ドロップダウンリストから選択し、設定したサービスにのみDoSポリシー を適用します。 動作 ドロップダウンリストからアクションを選択します。 • Deny [ 拒否 ] — すべてのトラフィックが廃棄されます。 • Allow [ 許可 ] — すべてのトラフィックが許可されます。 • Protect [ 保護 ] — このルールに適用される DoS プロファイルの一部と して設定したしきい値による保護を適用します。 スケジュール 事前に設定したスケジュールをドロップダウンリストから選択し、特定 の日付 / 時間に DoS ルールを適用します。 ログの転送 脅威ログ エントリの外部サービス (Syslog サーバー、Panorama など ) へ の転送をトリガーする場合、ドロップダウンリストからログ転送プロ ファイルを選択するか、Profile [ プロファイル ] をクリックして新しいプ ロファイルを作成します。ログに記録されて転送されるのは、ルール内 のアクションに一致するトラフィックのみです。 集約(Aggregate) ドロップダウンリストから DoS プロテクションプロファイルを選択し、 DoS 脅威に対してアクションを実行するトラフィック量を決定します。集 約設定は、指定した送信元から指定した宛先へのすべてのトラフィック の合計に対して適用されます。 分類化(Classified) このオプションを選択し、以下を指定します。 • Profile [ プロファイル ] — ドロップダウンリストからプロファイルを選 択します。 • Address [ アドレス ] — 送信元 ( 送信元 IP アドレス ) および宛先 ( 宛先 IP アドレス ) にルールを適用するかどうかを選択します。 分類化プロファイルを指定すると、プロファイルの制限が送信元 IP アド レス、宛先 IP アドレス、または送信元 IP アドレスと宛先 IP アドレスの ペアに適用されます。たとえば、セッションの制限が 100 である分類済 みのプロファイルを指定し、ルールの「送信元」の Address [ アドレス ] 設定を指定できます。この特定の送信元 IP アドレスのセッションが常に 100 に制限されます。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 353 DoS 保護ポリシー 354 • Web インターフェイス リファレンス ガイド、バージョン 7.1 ポリシー © Palo Alto Networks, Inc. 第6章 モニタリング 以下のトピックでは、ファイアウォールでダッシュボード、アプリケーション コマンド セン ター (ACC)、レポート、およびログを使用してネットワーク上のアクティビティを監視する 方法について説明します。 • 「ダッシュボードの使用」 • 「アプリケーション コマンド センターの使用」 • 「アプリケーション スコープの使用」 • 「ログ」 • 「自動相関エンジンの使用」 • 「ボットネットレポートの処理」 • 「PDF サマリーレポートの管理」 • 「ユーザー / グループ アクティビティ レポートの管理」 • 「SaaS アプリケーション使用状況レポートの生成」 • 「レポートグループの管理」 • 「電子メールで配信するレポートのスケジュール設定」 • 「レポートの表示」 • 「カスタムレポートの生成」 • 「パケットキャプチャの実行」 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 355 ダッシュボードの使用 モニタリング ダッシュボードの使用 ࢲࢵࢩ࣮ࣗ࣎ࢻ Dashboard [ ダッシュボード ] のウィジェットには、ソフトウェアバージョン、各インターフェ イスの動作状態、リソース使用率、脅威の最大 10 個のエントリ、設定、システムログなど、 ファイアウォールまたは Panorama に関する一般的な情報が表示されます。過去 60 分間のロ グ エントリが表示されます。使用可能なウィジットすべてがデフォルトで表示されますが、 各管理者は必要に応じて個々のウィジットを削除および追加できます。 Dashboard や個々のウィジェットを更新する場合は更新( )をクリックします。自動更 新間隔を変更する場合は、間隔を 1 min [1 分 ]、2 mins [2 分 ]、5 mins [5 分 ]、または Manual [ 手動 ] の中から選択します。ダッシュボードにウィジェットを追加する場合は、Widgets [ ウィジェット ] のドロップダウンリストからカテゴリを選び、次にウィジェット名を選択し ます。ウィジェットを削除する場合は、ウィジェットのタイトルバーの削除( )をクリッ クします。 表 177. ダッシュボードウィジェット ウィジェット 内容 アプリケーション ウィジット 上位のアプリケーション セッション数が最も多いアプリケーションが表示されます。ブロック サ イズでセッションの相対数を示し ( マウス カーソルをブロックの上に移 動すると数が表示されます )、色でセキュリティのリスクを示します ( 緑 ( リスク低 ) ∼ 赤 ( リスク高 ))。アプリケーションをクリックして、プロ ファイルを表示します。 上位のハイリスク アプ リケーション Top Applications [ 上位アプリケーション ] と似ていますが、ここには セッション数が最も多いハイリスク アプリケーションが表示されます。 ACC リスク ファクタ 過去 1 週間の間に処理されたネットワーク トラフィックの平均リスク ファクタ(1 ∼ 5)が表示されます。値が大きいほどリスクが大きくなり ます。 システム ウィジット 一般的な情報 ファイアウォールまたは Panorama の名前、モデル、PAN-OS® または Panorama ソフトウェアのバージョン、アプリケーション、脅威、URL フィルタリング定義のバージョン、現在の日時、および最後に再起動し たときからの経過時間が表示されます。 インターフェイス ( ファイアウォールのみ ) 各インターフェイスが、有効 ( 緑 )、無効 ( 赤 )、または不明な状態 ( グ レー ) であることを示します。 システム リソース 管理 CPU の使用率、データプレーン使用率、およびファイアウォールま たは Panorama で確立されたセッションの数を示すセッション数が表示 されます。 高可用性 ロック ログインしている管理者 高可用性(HA)を有効にすると、ローカルおよびピアファイアウォール の HA 状態 — 緑(アクティブ)、黄(パッシブ)、黒(その他)— が表 示されます。HA の詳細は、 「ファイアウォールの HA の有効化」または 「Panorama の高可用性(HA)を管理する」を参照してください。 管理者が設定したロックを表示します。 現在ログインしている各管理者の送信元 IP アドレス、セッションタイプ (Web インターフェイスまたは CLI)、およびセッションの開始時刻が表 示されます。 356 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. モニタリング アプリケーション コマンド センターの使用 表 177. ダッシュボードウィジェット(続) ウィジェット ログウィジェット 内容 脅威ログ 最新 10 エントリの脅威の ID、アプリケーション、および日時が表示さ れます。脅威の ID は、マルウェアに関する説明、または URL フィルタ リング プロファイルに違反する URL を示します。過去 60 分間のエント リのみが表示されます。 URL フィルタリング ロ グ 直近 60 分間に生成されたログの説明と日時が URL フィルタリング ログ に表示されます。 データ フィルタリング ログ 直近 60 分間に生成されたログの説明と日時がデータ フィルタリング ロ グに表示されます。 設定ログ 最新 10 エントリの管理者のユーザー名、クライアント (Web インター フェイスまたは CLI)、および日時が表示されます。過去 60 分間のエント リのみが表示されます。 システム ログ 最新 10 エントリの説明と日時が表示されます。 「Config installed」エン トリは、設定の変更が正常にコミットされたことを示します。過去 60 分 間のエントリのみが表示されます。 アプリケーション コマンド センターの使用 ACC アプリケーション コマンド センター (ACC) は、ネットワーク内のアクティビティに関する実 用的なインテリジェンスを提供する分析ツールです。ACC は、ファイアウォール ログを使用 してネットワーク上のトラフィック トレンドをグラフィカルに表現します。このグラフィカ ル表現を使用して、データにアクセスし、ネットワークの使用パターン、トラフィック パター ン、疑わしいアクティビティ、異常を含め、ネットワーク上のイベント間の関係を視覚化で きます。 知りたい内容 以下を参照 ACC を使用するには ? ࠕACC ࡢ⏬㠃ࠖ ࠕ⾲♧ࠖ ࠕ࢘ࢪࢵࢺࠖ ACC を操作するには ? ࠕࢡࢩࣙࣥࠖ ࠕࣇࣝࢱࡢฎ⌮ࠖ さらに詳細を知りたい 「アプリケーション コマンド センターの使用」を参 探している情報が見つか 照してください らない場合 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 357 アプリケーション コマンド センターの使用 モニタリング ACC の画面 1 タブ ACC には事前定義済みの 3 つのタブまたは表示があり、ネットワーク トラ フィック、脅威のアクティビティ、ブロックされたアクティビティが視覚的 に示されます。各表示の詳細は、「表示」を参照してください。 2 ウィジット 各タブには、タブに関連付けられたイベントとトレンドを最適に表現する、 デフォルトのウィジット セットが含まれます。ウィジットで、バイト数 ( 入 力および出力 )、セッション、コンテンツ ( ファイルおよびデータ )、URL カ テゴリ、脅威 ( 有害および安全 )、およびカウントのフィルタを使用してデー タを調べることができます。各ウィジットの詳細は、「ウィジット」を参照 してください。 3 日時 各ウィジットのチャートとグラフにはリアルタイム表示と履歴表示が用意 されています。カスタム範囲を選択するか、過去 15 分∼過去 30 日または過 去 30 暦日の範囲で事前定義済みの期間を選択できます。 データの表示に使用するデフォルトの期間は過去 1 時間です。画面に日付と 時間の間隔が表示されます。例: 01/12 10:30:00-01/12 11:29:59 4 グローバル フィルタ グローバル フィルタを使用すると、フィルタをすべてのタブに設定できま す。選択されたフィルタがチャートとグラフに適用された後にデータが表示 されます。フィルタの使用方法の詳細は、 「アクション」を参照してください。 5 リスクメー ター リスク メーター (1 = 最低 ∼ 5 = 最高 ) は、ネットワーク上の相対的なセキュ リティ リスクを示します。リスク メーターではさまざまな要因が使用され ます。たとえば、ネットワーク上で確認されたアプリケーションのタイプ、 そのアプリケーションに関連付けられるリスク レベル、ブロックされた脅威 数によって確認される脅威のアクティビティとマルウェア、侵入されたホス ト、マルウェアのホストまたはドメインへのトラフィックがあります。 358 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. モニタリング アプリケーション コマンド センターの使用 ACC の画面 6 送信元 ファイアウォールと Panorama™ では、表示に使用するデータ ソースが異な ります。 ファイアウォールでは、複数の仮想システムが有効になっている場合、 Virtual System [ 仮想システム ] ドロップダウンリストを使用して、ACC の 表示にすべての仮想システムを含めるか、選択した仮想システムのみを含め るかを変更できます。 Panorama では、表示に Panorama を使用するか、Remote Device Data [ リ モートデバイスデータ ] を使用するかを変更できます(ファイアウォール データを管理)。データソースが Panorama の場合、特定のデバイスグルー プに応じて表示をフィルタリングできます。 7 エクスポート 現在のタブに表示されているウィジットを PDF としてエクスポートできま す。 表示 • Network Activity [ ネットワーク アクティビティ ] — このタブには、ネットワーク上のトラ フィックおよびユーザー アクティビティの概要が表示されます。このタブは、使用され ている上位のアプリケーション、トラフィックを生成した上位のユーザーとそのユー ザーがアクセスしたバイト数、コンテンツ、脅威、または URL の詳細、およびトラフィッ クと一致したセキュリティルールのうち最も多く使用されたセキュリティルールに焦点 を当てます。また、ネットワーク アクティビティを送信元または宛先のゾーン、領域、 または IP アドレス別に表示したり、入力インターフェイスまたは出力インターフェイス 別に表示したり、ホスト情報 ( ネットワーク上で最もよく使用されたデバイスのオペレー ティング システムなど ) 別に表示したりできます。 • Threat Activity [ 脅威アクティビティ ] — このタブには、ネットワーク上の脅威の概要が表 示されます。このタブは上位の脅威に焦点を当てます。たとえば、脆弱性、スパイウェ ア、ウイルス、有害なドメインまたは URL にアクセスしているホスト、上位の WildFire™ 送信 ( ファイル タイプ別およびアプリケーション別 )、非標準ポートを使用しているアプ リケーションです。[ 侵入されたホスト ] ウィジットは、すぐれた可視化技術を使用して 検出を補完します。これは、correlated events [ 相関されたイベント ] タブ (Automated Correlation Engine > Correlated Events [自動相関エンジン > 相関されたイベント]) からの情 報を使用して、ネットワーク上の侵入されたホストを送信元ユーザーまたは IP アドレス 別に重大度の順番で集約して表示します。 • Blocked Activity [ ブロックされたアクティビティ ] — このタブでは、ネットワークに入る ことができなかったトラフィックに焦点を当てています。このタブのウィジットでは、ア プリケーション名、ユーザー名、脅威名、コンテンツ ( ファイルおよびデータ )、および 上位のセキュリティルールによって拒否されたアクティビティと、トラフィックをブ ロックした拒否アクションを確認できます。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 359 アプリケーション コマンド センターの使用 モニタリング ウィジット 各タブのウィジットを操作できます。フィルタを設定し、表示をドリルダウンしてカスタマ イズし、必要な情報に焦点を当てることができます。 各ウィジットは以下の要素を表示するように構成されています。 1 表示 バイト、セッション、脅威、カウント、コンテンツ、URL、有害、安全、ファイル、 データ、プロファイル、オブジェクトでデータをソートできます。使用できるオプ ションはウィジットによって異なります。 2 グラフ グラフィック表示オプションには、ツリーマップ、線グラフ、横棒グラフ、積み重ね 面グラフ、積み重ね棒グラフ、およびマップがあります。使用できるオプションは ウィジットによって異なります。また、対話操作もグラフ タイプによって異なりま す。たとえば、非標準ポートを使用するアプリケーションのウィジットでは、ツリー マップと線グラフを選択できます。 表示をドリルダウンするには、グラフをクリックします。クリックした領域がフィル タになり、選択対象が拡大し、選択対象のより詳細な情報を表示できます。 3 表 グラフの作成に使用されたデータの詳細がグラフの下の表に表示されます。 表内の要素に対して、ローカル フィルタまたはグローバル フィルタをクリックして 設定できます。ローカル フィルタを使用した場合、グラフが更新され、表がフィルタ でソートされます。 グローバル フィルタを使用した場合、フィルタに関連する情報のみを表示するように ACC 全体の表示が切り替わります。 4 操作 ウィジェットのタイトルバーからは以下の操作を行うことができます。 Maximize view [ 表示の最大化 ] — ウィジェットを拡大し、より大きく画面表示をさせ ることができます。表示を最大化すると、ウィジットのデフォルトの画面幅で表示され るトップ 10 アイテムよりも多くの情報を表示できます。 Set up local filters [ ローカルフィルタの設定 ] — フィルタを追加して、ウィジット内 の表示を絞り込むことができます。 「フィルタの処理 — ローカル フィルタおよびグ ローバル フィルタ」を参照してください。 Jump to logs [ ログに移動 ] — ログに直接移動できます (Monitor > Logs > <Log type> [ 監視 > ログ(ログタイプ)]。グラフの作成に使用された期間によってログはフィル タリングされます。 ローカル フィルタとグローバル フィルタを設定した場合、ログ クエリでは期間と フィルタが連結され、設定したフィルタに一致するログのみが表示されます。 Export [ エクスポート ] — グラフを PDF としてエクスポートできます。 360 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. モニタリング アプリケーション コマンド センターの使用 各ウィジットの詳細は、「ACC の使用」を参照してください。 アクション ACC 表示のカスタマイズおよび絞り込みを行うには、タブの追加と削除、ウィジットの追加 と削除、ローカルおよびグローバル フィルタの設定、ウィジットの操作ができます。 • 「タブおよびウィジットの処理」 • 「フィルタの処理 — ローカル フィルタおよびグローバル フィルタ」 タブおよびウィジットの処理 タブおよびウィジットの処理 • カスタムタブを追加 する。 1. タブリストの横にある追加( )を選択します。 2. View Name [ 表示名 ] を追加します。この名前は、タブの名 前として使用されます。 最大 5 個のタブを追加できます。 1. • タブを編集する。 タブを選択し、タブ名の横にある「編集」をクリックして、 タブを編集します。 例: 。 • 表示にどのウィジッ 1. ビューを選択して編集( トが含まれているか を確認する。 • ウィジットまたは ウィジットグループ を追加する。 ) をクリックします。 2. Add Widgets [ ウィジェットの追加 ] のドロップダウンリス 1. トから選択済みのウィジェットを確認します。 新しいタブを追加するか、事前定義済みのタブを編集しま す。 2. Add Widget [ ウィジェットの追加 ] から、追加したいウィ ジェットを選択します。最大 12 個のウィジェットを選択可 能です。 3. ( 任意 ) 2 列レイアウトを作成する場合は、Add Widget Group [ ウィジットグループの追加 ] を選択します。ウィジットを 2 列表示画面にドラッグ アンド ドロップできます。ウィ ジットをレイアウトにドラッグすると、ウィジットをド ロップするためのプレースホルダが表示されます。 注:ウィジット グループに名前を付けることはできません。 • タブまたはウィジッ トグループ / ウィ ジットを削除する。 1. カ ス タ ム タ ブ を 削 除 す る 場 合 は、タ ブ を 選 択 し て 削 除 ( )をクリックします。 注:事前定義済みのタブを削除することはできません。 ウィジェットあるいはウィジェットグループを削除する場 合は、タブを編集してから削除(X)をクリックします。削 除を取り消すことはできません。 事前定義済みの表示 (Blocked Activity [ ブロックされたアクティ ビティ ] 表示など ) で、1 つまたは複数のウィジットを削除でき ます。レイアウトをリセットし、タブに含まれるウィジェット セットをデフォルトに戻す場合、タブを編集してから Reset View [ ビューのリセット ] をクリックします。 2. • デフォルト表示をリ セットする。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 361 アプリケーション コマンド センターの使用 モニタリング フィルタの処理 — ローカル フィルタおよびグローバル フィルタ 詳細情報に焦点を合わせて、ACC に表示する情報を細かく制御する場合はフィルタを使用し ます。 • Local Filters [ ローカル フィルタ ] — ローカル フィルタは特定のウィジットに適用されま す。ローカル フィルタを使用すると、グラフを操作し、表示をカスタマイズできるため、 情報を詳細まで掘り下げて、監視する必要がある情報に特定のウィジットでアクセスでき ます。ローカルフィルタを適用する方法は 2 つあり、グラフまたは表内で属性をクリック する方法と、ウィジット内で [ フィルタの設定 ] を選択する方法があります。Set Filter [ フィルタの設定 ] により、再起動後も持続するローカルフィルタを設定できます。 • Global filters [ グローバルフィルタ ] — グローバル フィルタは ACC 全体に適用されま す。グローバル フィルタを使用すると、現在関心のある詳細を中心にして表示を切り替 えることができ、関連のない情報を現在の表示から除外できます。たとえば、特定のユー ザーとアプリケーションに関連するすべてのイベントを表示するには、ユーザーの IP ア ドレスとアプリケーションをグローバルフィルタとして適用することができます。これ で、そのユーザーとアプリケーションに関連する情報のみを ACC 上のすべてのタブと ウィジットに表示できます。グローバル フィルタは持続しません。 グローバル フィルタは次の 3 つの方法で適用できます。 – Set a global filter from a table [ 表からグローバルフィルタを設定する ] — 任意のウィ ジット内の表から属性を選択し、その属性をグローバルフィルタとして適用します。 – Add a widget filter to a global filter [ グローバルフィルタにウィジェットフィルタを 追加する ] — 属性にカーソルを合わせ、その右側にある矢印のアイコンをクリックし ます。これにより、ウィジェットで使用されているローカルフィルタの属性がグロー バルに適用されるようになり、ACC の全てのタブの表示が変更されます。 – Define a global filter [ グローバルフィルタを定義する ] — ACC の Global Filters [ グ ローバル フィルタ ] ペインを使用してフィルタを定義します。 フィルタの処理 • ローカル フィルタを設定する。 1. ヒント:グラフの下の表で、属性をクリッ クし、その属性をローカル フィルタとして 適用することもできます。 ウィジェットを選択し、フィルタ( リックします。 )をク 2. 適用したいフィルタを追加( 3. Apply [ 適用 ] をクリックします。このフィル )します。 タは、再起動後も持続します。 注:ウィジットに適用されているローカル フィルタの 数がウィジット名の横に示されます。 • 表からグローバル フィルタを設 定する。 • Global Filters [ グローバル フィル 表の中の属性にカーソルを合わせ、その右側に表 示される矢印をクリックします。 適用したいフィルタを追加( )します。 タ ] ペインを使用して、グローバ ル フィルタを設定する。 • ローカル フィルタをグローバル 1. ウィジット内の任意の表で、属性をクリック します。これにより、属性がローカル フィル タとして設定されます。 2. フィルタをグローバルフィルタに昇格させ る場合は、属性にカーソルを合わせ、その右 側にある矢印をクリックします。 フィルタにプロモートする。 362 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. モニタリング アプリケーション コマンド センターの使用 フィルタの処理 • フィルタを削除する。 削除( ます。 )をクリックして、フィルタを削除し • Global filters [ グローバルフィルタ ] — [ グ ローバルフィルタ ] ペインにあります。 • Local filters [ ローカルフィルタ ] — フィルタ ( )をクリックして、Set Local Filters [ ロー カルフィルタの設定 ] ダイアログを表示し、 フィルタを選択して削除します。 • すべてのフィルタをクリアする。 • Global filters [ グローバルフィルタ ] — グ ローバルフィルタを Clear All [ すべてクリア ] します。 • Local filters [ローカルフィルタ] — ウィジェッ トを選択し、フィルタ( )をクリックしま す。次に、Set Local Filters [ ローカルフィル タの設定 ] ウィジェットで Clear All [ すべて クリア ] をクリックします。 • フィルタの条件を反転させる。 属性を選択し、フィルタ条件を反転 ( す。 ) させま • Global filters [ グローバルフィルタ ] — [ グ ローバルフィルタ ] ペインにあります。 • Local filters [ ローカルフィルタ ] — フィルタ ( )をクリックして、[ ローカルフィルタの 設定 ] ダイアログを表示し、フィルタを追加 し、その条件を反転させます。 • 使用中のフィルタを表示する。 • Global filters [ グローバルフィルタ ] — 適用 されているグローバルフィルタの数が [ グ ローバルフィルタ ] の下の左ペインに表示さ れます。 • Local filters [ ローカルフィルタ ] — ウィジッ トに適用されているローカルフィルタの数 がウィジット名の横に表示されます。フィル タを表示する場合は、Set Local Filters [ ロー カルフィルタの設定 ] をクリックします。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 363 アプリケーション スコープの使用 モニタリング アプリケーション スコープの使用 Monitor > App Scope [ ┘ど > ࣉࣜࢣ࣮ࢩࣙࣥ ࢫࢥ࣮ࣉ ] アプリケーション スコープのレポートには、ネットワークの以下の内容がグラフ表示されま す。 • アプリケーション使用状況とユーザー アクティビティの変化 • ネットワーク帯域幅の大部分を占有しているユーザーやアプリケーション • ネットワークの脅威 アプリケーション スコープのレポートを使用すると、異常な動作や予期しない動作をすばや く見つけて、問題のある動作を特定できます。レポートはそれぞれ、ネットワークに関する 動的でユーザーがカスタマイズ可能なウィンドウに表示されます。レポートには、表示する データや範囲を選択するオプションがあります。Panorama では、表示される情報の Data Source [ データ ソース ] を選択することもできます。デフォルトのデータソース ( 新しい Panorama インストールの場合 ) では、管理対象ファイアウォールによって転送されたログを 格納している Panorama のローカルデータベースが使用されます。アップグレードの場合、デ フォルトのデータソースは Remote Device Data [ リモートデバイスデータ ( ] 管理対象ファイア ウォールのデータ)になります。管理対象ファイアウォールから直接データの集約ビューを 取得および表示するには、ソースを Panorama から Remote Device Data [ リモートデバイスデー タ ] に切り替える必要があります。 チャートの線や棒にポインタを置くかクリックすると、ACC に切り替わり、特定のアプリ ケーション、アプリケーション カテゴリ、ユーザー、またはソースに関する詳しい情報が示 されます。 表 178. アプリケーション コマンド センターのチャート チャート 内容 概要 「サマリー レポート」 変化モニター 「変化モニター レポート」 脅威モニター 「脅威モニター レポート」 脅威マップ 「脅威マップ レポート」 ネットワーク モニター 「ネットワーク モニター レポート」 トラフィック マップ 「トラフィック マップ レポート」 364 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. モニタリング アプリケーション スコープの使用 サマリー レポート サマリー レポート ( 図 3) には、使用率が増加または減少している、および帯域幅を占有して いる上位 5 つのアプリケーション、アプリケーション カテゴリ、ユーザー、および送信元の チャートが表示されます。 サマリーレポートのチャートを PDF 形式でエクスポートする場合は Export [ エクスポート ] ( )をクリックします。各チャートが 1 ページの PDF として出力に保存されます。 図 3. アプリケーション スコープのサマリー レポート © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 365 アプリケーション スコープの使用 モニタリング 変化モニター レポート 変化モニター レポート ( 図 4) には、指定した期間の変化が表示されます。たとえば、図 4 は、 過去 24 時間と比較して、直前の 1 時間に使用量が増加した上位のアプリケーションを示して います。上位アプリケーションはセッション数によって決定され、パーセント別にソートさ れます。 図 4. アプリケーション スコープの変化モニター レポート このレポートには、以下のオプションが表示されます。 表 179. 変化モニター レポートのオプション 項目 上部バー 内容 トップ 10 上位からいくつの項目を表に表示するかを指定します。 アプリケーション レポートに含める項目を指定します。Application [ アプリケー ション ]、Application Category [ アプリケーションカテゴリ ]、 Source [ 送信元 ]、Destination [ 宛先 ] 増加アプリケーション 指定期間を比較し増加した項目を表示します。 利用が減ったアプリケーション 指定期間を比較し減少した項目を表示します。 新規 指定期間を比較しあらたに検出された項目を表示します。 ドロップ 指定期間を比較し検出されなくなった項目を表示します。 フィルタしない フィルタを適用して、選択した項目のみを表示します。None [ な し ] を選択すると、すべてのエントリが表示されます。 セッション情報やバイト情報を 表示します。 セッション情報またはバイト情報のどちらを表示するかを指定し ます。 ソート パーセンテージまたは実増加のどちらでエントリをソートするか を指定します。 エクスポート グラフを .png イメージまたは PDF としてエクスポートします。 下部バー 比較(間隔) 変化モニターの比較対象期間を指定します。 366 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. モニタリング アプリケーション スコープの使用 脅威モニター レポート 脅威モニター レポート ( 図 5) には、選択した期間にわたって上位を占める脅威の数が表示さ れます。たとえば、図 5 は、過去 6 時間の上位 10 の脅威タイプを示しています。 図 5. アプリケーション スコープの脅威モニター レポート チャートの下の凡例のように、各タイプの脅威が色分けして示されます。このレポートには、 以下のオプションが表示されます。 表 180. 脅威モニターレポートのオプション ボタン 上部バー 内容 トップ 10 上位からいくつの項目を表に表示するかを指定します。 脅威 測定する項目を指定します。Threat [ 脅威 ]、Threat Category [ 脅威カテゴリ ]、Source [ 送信元 ]、Destination [ 宛先 ] フィルタを適用して、選択した種別の項目のみを表示しま す。 情報を表示するグラフ ( 積み重ね棒グラフまたは積み重ね面 グラフ ) を指定します。 エクスポート グラフを .png イメージまたは PDF としてエクスポートしま す。 下部バー 表示対象期間を指定します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 367 アプリケーション スコープの使用 モニタリング 脅威マップ レポート 脅威マップ レポート ( 図 6) は、脅威とその重大度をグラフィックで表示します。 図 6. アプリケーション スコープの脅威マップ レポート チャートの下の凡例のように、各タイプの脅威が色分けして示されます。マップ上の国をク リックし、必要に応じて Zoom In [ 拡大 ] と Zoom Out [ 縮小 ] を行います。このレポートには、 以下のオプションが表示されます。 表 181. 脅威マップレポートのオプション ボタン 上部バー 内容 トップ 10 上位からいくつの項目を表に表示するかを指定します。 受信した脅威 インバウンド方向 ( 外部から ) の脅威を示します。 送信した脅威 アウトバウンド方向 ( 外部へ ) の脅威を示します。 フィルタを適用して、選択した種別の項目のみを表示しま す。 ズームインおよびズームアウト マップを拡大および縮小します。 エクスポート グラフを .png イメージまたは PDF としてエクスポートしま す。 下部バー 表示対象期間を指定します。 368 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. モニタリング アプリケーション スコープの使用 ネットワーク モニター レポート ネットワーク モニター レポート ( 図 7) には、指定した期間にわたって複数のネットワーク ア プリケーションに占有されている帯域幅が表示されます。図の下の凡例のように、各タイプ のネットワーク アプリケーションが色分けして示されます。たとえば、図 7 は、セッション 情報に基づいた、過去 7 日間のアプリケーション帯域幅を示しています。 図 7. アプリケーション スコープのネットワーク モニター レポート このレポートには、以下のオプションが表示されます。 表 182. ネットワークモニターレポートのオプション ボタン 上部バー 内容 トップ 10 上位からいくつの項目を表に表示するかを指定します。 アプリケーション レポートに含める項目を指定します。Application [アプリケー ション ]、Application Category [ アプリケーションカテゴリ ]、 Source [ 送信元 ]、Destination [ 宛先 ] フィルタ フィルタを適用して、選択した項目のみを表示します。None [ なし ] を選択すると、すべてのエントリが表示されます。 セッション情報またはバイト情報のどちらを表示するかを指 定します。 情報を表示するグラフ ( 積み重ね棒グラフまたは積み重ね面 グラフ ) を指定します。 エクスポート グラフを .png イメージまたは PDF としてエクスポートしま す。 下部バー 変更措置が取られる期間を示します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 369 アプリケーション スコープの使用 モニタリング トラフィック マップ レポート トラフィック マップ レポート ( 図 8) は、セッション数またはフロー数に応じて、トラフィッ ク フローをグラフィックで表示します。 図 8. アプリケーション スコープのトラフィック マップ レポート チャートの下の凡例のように、各タイプのトラフィックが色分けして示されます。このレポー トには、以下のオプションが表示されます。 表 183. 脅威マップレポートのオプション ボタン 上部バー 内容 トップ 10 上位からいくつの項目を表に表示するかを指定します。 受信した脅威 インバウンド方向 ( 外部から ) の脅威を示します。 送信した脅威 アウトバウンド方向 ( 外部へ ) の脅威を示します。 セッション情報またはバイト情報のどちらを表示するか を指定します。 ズームインおよびズームアウト マップを Zoom in [ 拡大 ] および Zoom Out [ 縮小 ] します。 エクスポート グラフを .png イメージまたは PDF として Export [ エクス ポート ] します。 下部バー 変更措置が取られる期間を示します。 370 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. モニタリング ログ ログ Monitor > Logs [ ┘ど > ࣟࢢ ] 知りたい内容 以下を参照 ログの種類を詳しく知りたい ࠕࣟࢢࢱࣉࠖ ࠕ⤫ྜࣟࢢࠖ ログのフィルター ログのエクスポート 個別のログエントリの詳細を表示したい ログの表示を変更する ࠕࣟࢢࢡࢩࣙࣥࠖ ログに関連する AutoFocus 脅威インテリジェンスを 探す ࠕ⬣ጾࢹ࣮ࢱᑐࡋ AutoFocus ࢆ⾜࠸ศᯒ⤖ᯝࣟ ࢢࢆ᥈ࡍࠖ その他の情報をお探しですか? ログのモニターと管理 ログタイプ ファイアウォールはロールベースの管理権限に基づいて、すべてのログを表示します。閲覧 権限のある情報のみが表示され、表示するログのタイプによって変化する場合があります。管 理者権限の詳細は、「管理者ロールの定義」を参照してください。 表 184. ログの説明 ログ タイプ 内容 トラフィック 各セッションの開始と終了のエントリが表示されます。各エントリには、日時、 送信元および宛先ゾーン、アドレスおよびポート、アプリケーション名、フロー に適用されるセキュリティルール名、ルール アクション (「allow」、 「deny」、ま たは「drop」)、ingress/egress インターフェイス、バイト数、およびセッション 終了理由などが記載されます。 Type [ タイプ ] 列は、エントリがセッションの開始または終了のいずれのエント リであるか、またはセッションが拒否されたか廃棄されたかを示します。 「drop」 は、トラフィックをブロックしたセキュリティルールが適用されて「いずれか」 のアプリケーションが指定されたことを示し、 「deny」はルールが適用されてあ る特定のアプリケーションが識別されたことを示します。 アプリケーションが識別される前にトラフィックが廃棄された場合 ( あるルー ルにより特定のサービスのトラフィックがすべて廃棄された場合など )、そのア プリケーションは「not-applicable」として表示されます。 トラフィックログを掘り下げ、個別のエントリや分析結果について、より詳細な 情報を表示する。 • 詳細( )をクリックすると、セッションに関する詳細な情報(ICMP エン トリを使用して同じ送信元と宛先間の複数のセッションを集約するかどうか など)が表示されます(Count [ 繰り返し回数 ] 値は 1 より大きくなります)。 • アクティブな AutoFocus ライセンスが付与されたファイアウォール上で、ロ グエントリに含まれる IP アドレス、ファイル名、URL、ユーザーエージェン ト、脅威名、またはハッシュにカーソルを合わせ、表示されたドロップダウン リスト( )をクリックして、その分析結果の「脅威データに対し AutoFocus を行い分析結果ログを探す」を開きます。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 371 ログ モニタリング 表 184. ログの説明(続) ログ タイプ 内容 脅威 ファイアウォールで生成された各セキュリティ アラームのエントリが表示され ます。各エントリには、日時、脅威の名前または URL、送信元および宛先ゾーン、 アドレス、ポート、アプリケーション名、およびアラーム アクション (「allow」 または 「block」) と重大度が含まれています。 Type [ タイプ ] の列には、「ウイルス」または「スパイウェア」などの脅威の種 類が表示されます。名前 [Name] の列には脅威の内容または URL、カテゴリ [Category] の列には脅威のカテゴリ(「keylogger」など)または URL のカテゴ リが表示されます。 脅威ログを掘り下げ、個別のエントリや分析結果について、より詳細な情報を表 示する。 • 詳細( )をクリックすると、脅威に関する詳細な情報(そのエントリを使 用して同じ送信元と宛先間の同じタイプの複数の脅威を集約するかどうかな ど)が表示されます(Count [ 繰り返し回数 ] 値は 1 より大きくなります)。 • アクティブな AutoFocus ライセンスが付与されたファイアウォール上で、ロ グエントリに含まれる IP アドレス、ファイル名、URL、ユーザーエージェン ト、脅威名、またはハッシュにカーソルを合わせ、表示されたドロップダウン リスト( )をクリックして、その分析結果の「脅威データに対し AutoFocus を行い分析結果ログを探す」を開きます。 • ローカルパケットキャプチャが有効な場合は、ダウンロード( )をクリッ クして、キャプチャされたパケットを表示します。ローカルパケットキャプ チャを有効にするには、「セキュリティプロファイル」のサブセクションを参 照してください。 URL フィルタリ ング 特定の Web サイトおよび Web サイトカテゴリへのアクセスをブロックする、 ま たは Web サイトにアクセスしたときに警告を生成する URL フィルタのログが 表示されます。 URL の HTTP ヘッダー オプションをログに記録することができます。URL フィ ルタリング プロファイルの定義方法の詳細は、 「URL フィルタリング プロファイ ル」を参照してください。 アクティブな AutoFocus ライセンスが付与されたファイアウォール上で、ログ エントリに含まれる IP アドレス、ファイル名、URL、ユーザーエージェント、 脅威名、またはハッシュにカーソルを合わせ、表示されたドロップダウンリスト ( )をクリックして、その分析結果の「脅威データに対し AutoFocus を行い 分析結果ログを探す」を開きます。 WildFire 送信 WildFire サーバーにアップロードされて分析されるファイルのログが表示され ます。サーバーは分析を行い、分析結果と共にファイアウォールへログ情報を返 します。 アクティブな AutoFocus ライセンスが付与されたファイアウォール上で、ログ エントリに含まれる IP アドレス、ファイル名、URL、ユーザーエージェント、 脅威名、または(File Digest [ ファイルダイジェスト ] 列にある)ハッシュにカー )をクリックして、そ ソルを合わせ、表示されたドロップダウンメニュー( の分析結果の「脅威データに対し AutoFocus を行い分析結果ログを探す」を開 きます。 データフィルタ リング 特定のファイルタイプのアップロードまたはダウンロードを防ぐファイア ウォールやブロッキングプロファイルに保護されたエリアからの、クレジット カードや社会保障番号などの機密情報の流出を防ぐように設定したデータフィ ルタリングプロファイルが適用されたセキュリティーポリシーのログを表示し ます。 ログエントリの詳細情報にアクセスする場合のパスワード保護を設定するには、 をクリックします。そこでパスワードを入力して OK をクリックします。デー タ保護パスワードの変更方法または削除方法の手順の詳細は、 「カスタム応答 ページの定義」を参照してください。 注:各セッションで 1 回のみ、システムから入力を要求されます。 372 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. モニタリング ログ 表 184. ログの説明(続) ログ タイプ 内容 設定 設定変更操作に関するエントリが表示されます。各エントリには、日時、管理者 のユーザー名、変更を行ったユーザーの IP アドレス、クライアントのタイプ (Web インターフェイスまたは CLI)、実行されたコマンドのタイプ、コマンドが 成功したか失敗したか、設定パス、および変更前後の値が含まれています。 システム 各システム イベントのエントリが表示されます。各エントリには、日時、イベ ントの重大度、およびイベントの説明が含まれています。 HIP マッチ GlobalProtect™ クライアントに適用されるセキュリティポリシーに関する情報 を表示します。詳細は、 「GlobalProtect ポータルのセットアップ」を参照してく ださい。 アラーム アラーム ログは、システムによって生成されたアラームの詳細情報を記録しま す。このログの情報は、Alarms [ アラーム ] ウィンドウでも報告されます。「ア ラーム設定の定義」を参照してください。 総合 トラフィック、脅威、URL フィルタリング、WildFire への送信、データフィル タリングログエントリの最新情報を一つの画面で表示します。総合ログビューで は、それぞれのログを個別に検索するかわりに、様々なタイプのログをまとめて 検証したりフィルタをかけることができます。 アクティブな AutoFocus ライセンスが付与されたファイアウォール上で、ログ エントリに含まれる IP アドレス、ファイル名、URL、ユーザーエージェント、 脅威名、またはハッシュにカーソルを合わせ、表示されたドロップダウンメ )をクリックして、その分析結果の「脅威データに対し AutoFocus ニュー( を行い分析結果ログを探す」を開きます。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 373 ログ モニタリング ログアクション 動作 内容 ログのフィル ター 各ログページの上部にはフィルタフィールドがあります。フィールドには IP アドレ スや時間範囲などの分析結果を入力し、一致するログエントリを検索することがで きます。フィールドの右側にあるアイコンから、フィルタの適用、クリア、作成、 保存、ロードを行うことができます。 • フィルタの作成: – ログエントリ内の分析結果をクリックし、その分析結果をフィルタに追加しま す。 – Add [ 追加 ]( )をクリックして、新しい検索基準を定義します。それぞれの 一致条件について、検索のタイプ(and または or)を指定する Connector [ 条 件式 ] を選択し、検索を行う Attribute [ 属性 ] を指定し、検索の範囲を Operator [ 演算子 ] で定義し、ログエントリから探したい Value [ 値 ] を選択します。そ れぞれの一致条件をフィルタフィールドに Add [ 追加 ] し、入力が終わったら フィールドを Close [ 閉じ ] ます。以上が完了したらフィルタを適用( )で きます。 注意 ! 構文エラーを防ぐため、Value [ 値 ] の文字列が、has または in などの Operator [ 演算子 ] を含む場合、文字列を引用符で囲む必要があります。例えば、宛先国の フィルタリングを行い INDIA を検索する際に Value [ 値 ] として IN を使う場合は、 フィルタを ( dstloc eq "IN" ) と入力します。 ヒント:(receive_time in last-60-seconds) のログフィルタにより、表示され るログエントリおよびログページを時間とともに増加あるいは減少するように設定 することができます。 • フィルタを適用 — 現在のフィルタに一致するログエントリを表示する場合は、 フィルタを適用( )をクリックします。 • フィルタをクリア — フィルタフィールドをクリアする場合は、Clear Filter [ フィ ルタをクリア ]( )をクリックします。 • フィルタを保存 — フィルタを保存( )を選択し、名前を入力して OK をクリッ クします。 • 保存したフィルタを使用 — 保存したフィルタをフィールドに追加する場合は、 Load Filter [ フィルタをロード ]( )をクリックします。 ログのエクス ポート 現在のフィルタに一致したすべてのログを CSV 形式のレポートにエクスポートする 場合は、CSV でエクスポート( )をクリックし、Download file [ ファイルをダウ ンロード ] します。レポートにはデフォルトで最大 2,000 行のログを含むよう設定さ れています。CSV レポートの行数制限を変更する場合は、Device > Setup > Management > Logging and Reporting Settings > Log Export and Reporting [ デバイス > セットアップ > 管理 > ログとレポートの設定 > ログのエクスポートとレポート ] を 開き、新しいMax Rows in CSV Export [CSVエクスポートの最大行数]を入力します。 374 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. モニタリング ログ 動作 内容 ログの表示を 変更する • 表示ログの自動更新間隔を変更する場合は、ドロップダウンリストから間隔を選 択します (60 seconds [60 秒 ]、30 seconds [30 秒 ]、10 seconds [10 秒 ]、または Manual [ 手動 ])。 • ページに表示されるログの数と順序を変更する — ログ エントリは、10 ページの ブロック単位で取得されます。 – ページの下部にあるページ送り機能を使用して、ログリスト内を移動します。 – ページあたりのログエントリの数を変更するには、各ページのドロップダウン リストから行数を選択します(20、30、40、50、75、または 100)。 – 結果を昇順または降順でソートするには、ASC または DESC ドロップダウンリ ストを使用します。 • IP アドレスをドメイン名に解決する — Resolve Hostname [ ホスト名の解決 ] をオ ンにすると、外部 IP アドレスがドメイン名に解決されます。 • ログの表示順を変更する — ログを、受信時間が最新のものから降順で表示する場 合は DESC [ 降順 ] を選択します。ログを、受信時間が一番古いものから昇順で表 示する場合は ASC [ 昇順 ] を選択します。 個別のログエ ントリの詳細 を表示する • ログの詳細を表示する場合、エントリの詳細( )クリックします。Adress [ ア ドレス ] ページで、送信元または宛先の IP アドレスから名前へのマッピングを定 義している場合、IP アドレスの代わりにそのドメインまたはユーザー名が表示さ れます。関連付けられている IP アドレスを表示するには、名前の上にカーソルを 移動します。 • アクティブな AutoFocus ライセンスが付与されたファイアウォール上で、ログエ ントリに含まれる IP アドレス、ファイル名、URL、ユーザーエージェント、脅威 ) 名、またはハッシュにカーソルを合わせ、表示されたドロップダウンリスト( をクリックして、その分析結果の「脅威データに対し AutoFocus を行い分析結果 ログを探す」を開きます。 統合ログ Monitor > Logs > Unifiedࠉ [ ┘ど > ࣟࢢ > ⤫ྜ ] 様々な「ログタイプ」のイベントから検索を行う場合は統合ログを使用します。統合ログに は、デフォルトで、トラフィック、脅威、URL フィルタリング、WildFire への送信、データ フィルタリングログエントリが一つの画面で表示されます。標準の「ログアクション」に加 え、フィルタフィールドの左にある矢印をクリックして、traffic [ トラフィック ]、threat [ 脅 威 ]、url、data [ データ ]、および(または)wildfire を選択することで、表示されるログタイ プを指定することができます。統合ログには、設定、システム、HIP 一致、アラームログの エントリは表示されません。 ファイアウォールはロールベースの管理権限に基づいて、すべてのログを表示します。統合 ログを表示する際は、閲覧権限のある情報のみが表示されます。例えば、WildFire への送信 ログを閲覧する権限のない管理者が統合ログを表示した場合は、WildFire への送信ログは表 示されません。管理者権限の詳細は、「管理者ロールの定義」を参照してください。 AutoFocus 脅威インテリジェンスポータルで Unified [ 統合 ] ログセットを使用し、 ファイアウォールコンテクストで AutoFocus 検索を行うことができます。 AutoFocus 検索を設定し、ファイアウォールを対象に指定することで、AutoFocus 検索フィルタを統合ログフィルタフィールドに追加することができます。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 375 ログ モニタリング 脅威データに対し AutoFocus を行い分析結果ログを探す IP アドレスやファイル名など、ログエントリで検出された分析結果の関係性が分かるよう、 トラフィック、脅威、URL フィルタリング、WildFire への送信、データフィルタリング、統 合ログには AutoFocus 脅威インテリジェンスのデータが含まれています。ファイアウォール のログからAutoFocus脅威のサマリーにアクセスする場合は、ファイアウォールとAutoFocus の接続を確立してあること確認してください(Device > Setup > Management > AutoFocus [ デバ イス > セットアップ > 管理 > AutoFocus])。 Panorama でこの機能を使用することにより、AutoFocus に接続されていないファ イアウォールや、PAN-OS 7.0 以前のバージョンを実行しているファイアウォール が生成したログエントリに関連する AutoFocus 脅威インテリジェンスを参照する ことができます。 サポートされたログタイプを表示する際に、ログエントリ内にある次のアーチファクトのド ロップダウンリスト ( )をクリックすることで、最新の AutoFocus 調査結果と統計情報を表 示することができます。 • IP アドレス • URL • ユーザーエージェント(データフィルタリングログにおいて、ユーザーエージェント ha ユーザーエージェントの列に表示されます。) • ファイル名 • 脅威名 • SHA-256 ハッシュ(WildFire への送信ログにおいて、ファイアウォールから WildFire へ 送信した内容の SHA-256 ハッシュはファイルダイジェストの列に表示されます。) こうすることで、AutoFocus 脅威インテリジェンスサマリーを確認し、アーチファクトの脆 弱性やリスクを素早く評価することができます。AutoFocus サマリーにあるリンクをクリッ クし、ファイアウォールから AutoFocus 検索を開きます。ブラウザの新しいタブで、ファイ アウォールのアーチファクトが検索条件として設定された AutoFocus ポータルが開きます。 ログ分析結果の AutoFocus サマリーでは以下の詳細のプレビューが表示されます。 フィールド 内容 パッシブ DNS 分析結果の IP アドレス、ドメイン、URL、および直近のパッシブ DNS 履歴が表 示されます。 一致するタグ アーチファクトに一致する AutoFocus タグを表示します。AutoFocus タグには、 組織タグ、パブリックタグ(他の AutoFocus ユーザーが共有しているタグ)、お よび Unit 42 タグ(直接のセキュリティリスクとなる脅威を判別するために Palo Alto Networks が作成するタグ)が含まれます。 セッション 検出されたサンプルにアーチファクトが含まれていたプライベートセッションの 数を表示します。プライベートセッションとは、お客様のサポートアカウントに 関連付けられたファイアウォールで実行されているセッションを指します。 WildFire 判定 アーチファクトのパブリックおよびプライベートなグレイウェア、マルウェア、 そして安全なサンプルの数を示します。 直近の WildFire WildFire がアーチファクトを検出した直近のプライベートサンプルを表示します 判定 (サンプルファイルのタイプ、サンプル検出日、サンプルに対する WildFire 判定 などを含みます)。プライベートサンプルとは、お客様のサポートアカウントに関 連付けられたファイアウォールで検出されたサンプルを指します。 376 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. モニタリング 自動相関エンジンの使用 セッション情報の表示 Monitor > Session Browser [ ┘ど > ࢭࢵࢩࣙࣥ ࣈࣛ࢘ࢨ ] Monitor > Session Browser [ 監視 > セッションブラウザ ] から、ファイアウォール上で現在実行 中のセッションの参照とフィルタを行います。このページのフィルタリング オプションの詳 細は、「ログアクション」を参照してください。 自動相関エンジンの使用 自動相関エンジンは、ネットワーク上のパターンを追跡し、疑わしい動作への拡散を示して いるイベントや、有害なアクティブティに達したイベントの相関付けを行います。このエン ジンは、個人のセキュリティ アナリストの役割を果たすものであり、ファイアウォール上の さまざまなログ セットに分離されたイベントを調査し、特定のパターンがないかデータをク エリして、点を結んで全体像を作り上げます。これにより、実用的な情報を得ることができ ます。 相関エンジンは、相関されたイベントを生成する相関オブジェクトを使用します。相関され たイベントによって証拠が照合されます。これにより、関連がないように見えるいくつかの ネットワーク イベント間の共通点を追跡できるため、インシデント対応の機会が与えられま す。 自動相関エンジンは以下のプラットフォームでのみサポートされます。 • • • • Panorama — M シリーズおよびバーチャル アプライアンス PA-3000 シリーズ ファイアウォール PA-5000 シリーズ ファイアウォール PA-7000 シリーズ ファイアウォール 知りたい内容 以下を参照 相関オブジェクトとは何ですか ? ࠕ┦㛵࢜ࣈࢪ࢙ࢡࢺࡢ⾲♧ࠖ 相関されたイベントとは何ですか ? 相関一致での一致の証拠をどこで確認でき ますか ? ࠕ┦㛵ࡉࢀࡓ࣋ࣥࢺࡢ⾲♧ࠖ 相関一致のグラフィック表示をどのように 表示できますか ? ࠕࣉࣜࢣ࣮ࢩࣙࣥ ࢥ࣐ࣥࢻ ࢭࣥࢱ࣮ࡢ ⏝࡛ࠖ Compromised Hosts [ ᾐධࡉࢀࡓ࣍ࢫ ࢺ ] ࢘ࢪࢵࢺࢆཧ↷ࡋ࡚ࡃࡔࡉ࠸ࠋ さらに詳細を知りたい 「Automated Correlation Engine の使用」を参照 探している情報が見つからない場合 してください。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 377 自動相関エンジンの使用 モニタリング 相関オブジェクトの表示 Monitor > Automated Correlation Engine > Correlation Objects [ ┘ど > ⮬ື┦㛵࢚ࣥࢪࣥ > ┦㛵࢜ࣈࢪ࢙ࢡࢺ ] エクスプロイトおよびマルウェアの拡散方法の進歩に対抗するため、相関オブジェクトは ファイアウォールでのシグネチャベースのマルウェア検出機能を拡張します。相関オブジェ クトは、各種ログ セット全体にわたって疑わしい動作パターンを識別するためのインテリ ジェンスを提供し、調査に必要な証拠を収集して、イベントにすばやく応答します。 相関オブジェクトは、マッチング パターンや、検索を実行するために使用するデータ ソース、 パターン検索の対象期間を指定する定義ファイルです。パターンは、データソースをクエリ する Boolean 型の条件構造です。各パターンに重大度およびしきい値が割り当てられます。し きい値は、定義された期間内にパターン マッチが発生する回数です。パターン マッチが発生 すると、相関イベントがログに記録されます。 検索を実行するために使用するデータ ソースには、アプリケーション統計、トラフィック、 トラフィック サマリー、脅威サマリー、脅威、データ フィルタリング、URL フィルタリング の各ログを含めることができます。たとえば、相関オブジェクトの定義には、感染したホス トの証拠やマルウェア パターンの証拠がないかログをクエリするための一連のパターンのほ か、トラフィック内でのマルウェアの横方向の移動、URL フィルタリング、および脅威ログ のパターンを含めることができます。 相関オブジェクトは Palo Alto Networks® により定義され、コンテンツ更新と共にパッケージ 化されます。コンテンツ更新を取得するには、有効な脅威防御ライセンスが必要です。 相関オブジェクトには、以下のフィールドが含まれます。 フィールド 内容 名前およびタ イトル ラベルは、相関オジェクトで検出するアクティビティのタイプを示します。 ID 一意の番号を使用して相関オブジェクトを識別します。この番号は、6000 番台です。 カテゴリ ネットワーク、ユーザー、またはホストに与える脅威または損害の種類を要約した もの。 状態 状態は、相関オブジェクトが有効 ( アクティブ ) か無効 ( 非アクティブ ) かを示しま す。 内容 これには、ファイアウォールまたは Panorama でログを分析するための対象となる 一致条件を指定します。これは、有害なアクティビティまたはホストの疑わしい動 作を識別するために使用する拡散パターンまたは進捗パスを記述するものです。 デフォルトでは、すべての相関オブジェクトが有効になっています。オブジェクトを無効化 する場合は、オブジェクトを選択して Disable [ 無効化 ] をクリックします。 378 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. モニタリング 自動相関エンジンの使用 相関されたイベントの表示 Monitor > Automated Correlation Engine > Correlated Events [ ┘ど > ⮬ື┦㛵࢚ࣥࢪࣥ > ┦㛵ࡉࢀࡓ࣋ࣥࢺ ] 相関されたイベントはファイアウォールおよび Panorama での脅威検出機能を拡張し、ネッ トワーク上のユーザーやホストの疑わしい動作や異常な動作の証拠を収集します。 相関オブジェクトを使用すると、特定の条件または動作を中心にして、複数のログ ソースに わたって共通点を追跡できます。相関オブジェクトに指定した一連の条件がネットワーク上 で確認されると、各一致が、相関されたイベントとしてログに記録されます。 相関されたイベントには、以下の詳細情報が含まれます。 フィールド 内容 一致時間 相関オブジェクトが一致をトリガーした時間。 更新時間 一致が最後に更新されたタイムスタンプ。 オブジェクト名 一致をトリガーした相関オブジェクトの名前。 送信元アドレス トラフィックの送信元ユーザーの IP アドレス。 送信元ユーザー ディレクトリサーバーからのユーザーおよびユーザーグループの情報 ( ユーザー が有効な場合 )。 重大度 発生した損害の程度に基づいてリスクを分類するレベル。 概要 相関されたイベントに関して収集された証拠を要約する説明。 詳細ログビューを表示する場合は、エントリの詳細( ビューには、一致に関するすべての証拠が含まれます。 )をクリックします。詳細ログ タブ 内容 Match Information [ 一致情報 ] Object Details [ オブジェクトの詳細 ] — 一致をトリガーした相関オブジェ クトに関する情報を提供します。相関ログの詳細は、「相関オブジェクトの 表示」を参照してください。 Match Details [ 一致の詳細 ] — 一致時間、一致の証拠の最終更新時間、イベ ントの重大度、イベントのサマリーを含む、一致の詳細のサマリー。 Match Evidence [ 一致の根拠 ] このタブには、相関されたイベントを裏付けるすべての証拠が含まれます。 セッションごとに収集された証拠に関する詳細情報が表示されます。 Correlated Events [ 相関されたイベント ] タブで、 情報のグラフィック表示を参照してください。 ACC > Threat Activity [ACC > 脅威アクティビティ ] タブで、Compromised Hosts [ 侵入されたホ スト ] ウィジットを参照してください。Compromised Hosts [ 侵入されたホスト ] ウィジット では、表示が送信元ユーザーと IP アドレスによって集約され、重大度でソートされます。 相関されたイベントがログに記録されたときの通知を設定するには、Device > Log Settings [ デバ イス > ログ設定 ] タブまたは Panorama > Log Settings [Panorama > ログ設定 ] タブに移動します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 379 ボットネットレポートの処理 モニタリング ボットネットレポートの処理 Monitor > Botnet [ ┘ど > ࣎ࢵࢺࢿࢵࢺ ] ボットネットレポート機能により、ネットワーク内でボットネットに感染した可能性のある ホストを、挙動をもとに特定することができます。レポートには、各ホストのボットネット 感染の可能性が 1 から 5 の信頼性スコアで表示されます(5 は感染の可能性が高いことを示し ます)。レポートのスケジュールを設定したり、手動でレポートを実行する前に、不審と判定 するトラフィックのタイプを設定する必要があります。ボットネットレポートアウトプット の読み方については PAN-OS 管理者ガイドに記載されています。 • 「ボットネットレポートの管理」 • 「ボットネットレポートの設定」 ボットネットレポートの管理 Monitor > Botnet > Report Setting [ ┘ど > ࣎ࢵࢺࢿࢵࢺ > ࣏࣮ࣞࢺタᐃ ] ボットネットレポートを生成する前に、ボットネット活動の可能性があるトラフィックを指 定する必要があります( 「ボットネットレポートの設定」を参照してください)。毎日のレポー ト作成をスケジューリングする場合や手動で実行する場合は、Report Setting [ レポート設定 ] をクリックし、以下のフィールドを入力します。レポートをエクスポートする場合は、レポー トを選択し、Export to PDF [PDF にエクスポート ]、Export to CSV [CSV にエクスポート ]、ある いは Export to XML [XML にエクスポート ] を選択します。 表 185. ボットネット レポートの設定 フィールド 内容 ランタイムフレームのテ スト レポートの期間を選択します — Last 24 Hours [ 過去 24 時間 ( ] デフォル ト)、または Last Calendar Day [ 前日の一日間 ] 今すぐ実行 今すぐに手動でレポートを生成する場合は Run Now [ 今すぐ実行 ] をク リックします。レポートはボットネットレポートダイアログの新しいタ ブで表示されます。 行数 レポートに表示される行数を指定します(デフォルトは 100)。 スケジュール設定 毎日自動的にレポートを生成する場合はこのオプションを選択します。 デフォルトでは、このオプションが有効化されています。 クエリ ビルダー (任意)レポートに送信元 / 宛先 IP アドレス、ユーザー、ゾーンなどの属 性別にフィルタをかける場合は、クエリビルダーにクエリを Add [ 追加 ] します。例えば、IP アドレス 192.0.2.0 から発信されるトラフィックに ボットネット活動の可能性がないとわかっている場合は、クエリに not (addr.src in 192.0.2.0) を追加し、レポートからそのホストを除 外することができます。 • Connector [ 条件式 ] — 論理結合子 (and/or) を指定します。Negate [ 除外 ] を選択した場合、クエリに指定されたホストがレポートから除外され ます。 • Attribute [ 属性 ] — ファイアウォールがボットネット活動を検索する ホストのゾーン、アドレス、またはユーザーを指定します。 • Operator [ 演算子 ] — Attribute [ 属性 ] を Value [ 値 ] に関連付ける際 の演算子を指定します。 • Value [ 値 ] — クエリに検出させる値を入力します。 380 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. モニタリング ボットネットレポートの処理 ボットネットレポートの設定 Monitor > Botnet > Configuration [ ┘ど > ࣎ࢵࢺࢿࢵࢺ > タᐃ ] ボットネット活動の可能性があるトラフィックのタイプを指定する場合は、Botnet [ ボット ネット ] ページの右側にある Configuration [ 設定 ] をクリックし、以下のフィールドを入力し ます。レポートの設定後に、手動で実行するか、定期的に実行するようスケジュール設定を 行うことができます(「PDF サマリーレポートの管理」を参照してください)。 表 186. ボットネットの設定 フィールド 内容 HTTP トラ フィック レポートに含まれる HTTP トラフィックのタイプごとの Count [ カウント数 ] を Enable [ 有効化 ] します。ここで設定した Count [ カウント数 ] 分の各トラフィッ クイベントが発生すると、レポート上ではそのトラフィックに関係したホストに対 し高いスコアが割り当てられます(高いスコアはボットネット感染の可能性が高い ことを示します)。イベントの回数が Count [ カウント数 ] よりも少ない場合は、レ ポートに低いスコアが表示されるか、特定のトラフィックタイプについてはそのホ ストに関するエントリが表示されません。 • Malware URL visit [ マルウェア URL へのアクセス ](範囲は 2 ∼ 1000、デフォル トは 5)— マルウェアおよびボットネットの URL のフィルタリング カテゴリに 基づき、既知のマルウェア URL に対して通信しているユーザーを特定します。 • Use of dynamic DNS [ 動的 DNS の使用 ](範囲は 2 ∼ 1000、デフォルトは 5)— マルウェア、ボットネット通信、またはエクスプロイトキットの可能性がある動 的 DNS クエリトラフィックを検索します。一般的に、動的 DNS ドメインはとて もリスクが高いものとされています。多くの場合、マルウェアは IP のブラックリ スト入りを免れるために動的 DNS を使用しています。このようなトラフィック をブロックするために、URL フィルタリングを使うことも検討してください。 • Browsing to IP domains [IP ドメインを参照 ](範囲は 2 ∼ 1000、デフォルト は 10)— URL ではなく、IP ドメインを参照するユーザーを特定します。 • Browsing to recently registered domains [ 最近登録されたドメインを参照 ](範 囲は 2 ∼ 1000、デフォルトは 10)— 過去 30 日以内に登録されたドメイン名を持 つサイトへのトラフィックを検索します。攻撃者、マルウェア、そしてエクスプ ロイトキットは多くの場合、新しく登録されたドメインを使用しています。 • Executable files from unknown sites [ 不明サイトからの実行可能ファイル ](範 囲は 2 ∼ 1000、デフォルトは 10)— 未知の URL サイトから実行形式のファイル をダウンロードされた通信を特定します。多くの感染例には実行ファイルが関係 しているため、その他の不審なトラフィックと結びついている場合はホストの調 査を優先的に行うことをお勧めします。 不明なアプリ ケーション 不審かつ不明な TCP または不明な UDP アプリケーションに結びついたトラフィッ クをレポートに含めるかどうかのしきい値を設定します。 • Sessions Per Hour [1 時間当たりのセッション ](範囲は 1 ∼ 3600、デフォル トは 10)— 1 時間当たり、指定した回数までのアプリケーションセッションに関 わったトラフィックがレポートに加えられます。 • Sessions Per Hour [1 時間当たりの宛先の数 ](範囲は 1 ∼ 3600、デフォルト は 10)— 1 時間当たり、指定した数までのアプリケーションの宛先に関わったト ラフィックがレポートに加えられます。 • Minimum Bytes [ 最小バイト数 ](範囲は 1 ∼ 200、デフォルトは 50)— 指定した サイズ以上のアプリケーションペイロードのトラフィックがレポートに加えら れます。 • Maximum Bytes [ 最大バイト数 ](範囲は 1 ∼ 200、デフォルトは 100)— 指定した サイズ以下のアプリケーションペイロードのトラフィックがレポートに加えら れます。 IRC IRC サーバーに関係するトラフィックを含める場合はこのオプションを使用しま す。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 381 PDF サマリーレポートの管理 モニタリング PDF サマリーレポートの管理 Monitor > PDF Reports > Manage PDF Summary [ ┘ど > PDF ࣏࣮ࣞࢺ > PDF ࢧ࣐࣮ࣜࡢ⟶⌮ ] PDF サマリー レポートには、各カテゴリの上位 5 件 ( 上位 50 件ではない ) のデータに基づき、 既存のレポートから集められた情報が含まれています。このレポートには、別のレポートで は表示されないトレンド チャートも表示されます。 図 9. PDF サマリー レポート PDF サマリー レポートを作成するには、Add [ 追加 ] をクリックします。Manage PDF Summary Reports [PDF サマリー レポートの管理 ] ページが開き、使用可能なすべてのレポート項目が 表示されます。 図 10. PDF レポートの管理 382 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. モニタリング ユーザー / グループ アクティビティ レポートの管理 以下のオプションを 1 つ以上使用してレポートを設計します。 • レポートから除外したい項目については除外( )をクリックするか、該当するドロッ プダウンリストから項目をクリアします。 • 該当するドロップダウンリストから選択することで項目を追加することができます。 • 項目をドラッグアンドドロップして、レポートの別のエリアに移動します。 最大 18 個のレポート要素が使用できます。既に 18 個の項目が含まれてい る場合は、新たに項目を追加する前に既存の項目を削除する必要がありま す。 レポートを Save [ 保存 ] する場合は、通知が出た際に名前を入力し、OK をクリックします。 PDF レポートを表示す場合は、PDF Summary Report [PDF サマリーレポート ] を選択し、ペー ジ下部のドロップダウンリスト リストからレポート タイプを選択し、そのタイプで生成され たレポートを表示します。レポートを開いたり保存する場合は、そのレポートクリックしま す。 ユーザー / グループ アクティビティ レポートの管理 Monitor > PDF Reports > User Activity Report [ ┘ど > PDF ࣏࣮ࣞࢺ > ࣮ࣘࢨ࣮ ࢡࢸ ࣅࢸ ࣏࣮ࣞࢺ ] 個々のユーザーまたはユーザーグループのアクティビティの概要を示すレポートを作成する には、このページを使用します。New [ 新規 ] をクリックし、以下の情報を指定します。 表 187. ユーザー / グループ アクティビティ レポート設定 フィールド 内容 名前 レポート名を入力します ( 最大 31 文字 )。名前の大文字と小文字は区別さ れます。また、一意の名前にする必要があります。文字、数字、スペース、 ハイフン、およびアンダースコアのみを使用してください。 タイプ ユーザー アクティビティ レポートの場合:User [ ユーザー ] を選択し、レ ポートの対象となるユーザーの Username [ユーザー名] または IP address [IP アドレス ](IPv4 または IPv6)を入力します。 Panorama では、レポートの生成に必要なユーザーグループ情報を取得す るため、各デバイスグループに Master Device [ マスターデバイス ](ファ イアウォール)をセットアップする必要があります。 グループ アクティビティ レポートの場合:Group [ グループ ] を選択し、 Group Name [ グループ名 ] を入力します。 Panorama では、ユーザーをグループにマッピングするための情報がない ため、グループ アクティビティ レポートを生成できません。 期間 ドロップダウンリストからレポートの期間を選択します。 詳細なブラウジングを含 (任意)レポートに詳細な URL ログを追加するには、このオプションをオ ンにします。 める 注:詳細な閲覧情報には、選択したユーザーまたはユーザーグルー プの大量の ( 何千もの ) ログが含まれる可能性があり、その結果、 レポートが非常に大きくなる可能性があります。 注: グループ アクティビティ レポートには、URL カテゴリ別ブラウザ サマリーは含まれま せん。その他すべての情報は、ユーザー アクティビティ レポートとグループ アクティビティ レポートで共通です。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 383 SaaS アプリケーション使用状況レポートの生成 モニタリング レポートをすぐに実行するには、Run Now [ 今すぐ実行 ] をクリックします。レポートに表示 される最大行数を変更する方法については、 「ロギングおよびレポート設定」を参照してくだ さい。 レポートを保存するには、OK をクリックします。保存したら、レポートの電子メール配信を スケジューリングできます (「電子メールで配信するレポートのスケジュール設定」を参照 )。 SaaS アプリケーション使用状況レポートの生成 Monitor > PDF Reports > SaaS Application Usage [┘ど > PDF࣏࣮ࣞࢺ > Saasࣉࣜࢣ࣮ ࢩࣙࣥࡢ⏝≧ἣ ] ネットワーク上の SaaS アプリケーションのアクティビティ概要を示すレポートを作成する場 合は、このページを使用します。ここで事前定義を行ったレポートには、承認された SaaS ア プリケーションと承認されていない SaaS アプリケーションの比較データが含まれており、承 認されたアプリケーションへユーザーを誘導するための手がかりとしてこの情報を使用する ことができます。これにより、ネットワークで許可あるいはブロックしたい SaaS アプリケー ションに対し、詳細に設定したコンテクストやアプリケーションベースのポリシーを適用す ることができます。 精確なレポートを生成するためには、ネットワーク上で許可されたアプリケーションにタグ 付けをする必要があります(「アプリケーションでサポートされる操作」を参照)。この事前 設定タグを持たないアプリケーションは、ファイアウォールおよび Panorama はネットワー ク上で不許可となっているものと判断されます。不許可の SaaS アプリケーションは情報セ キュリティの脅威となる可能性があるため、ネットワークで許可されたアプリケーションと 不許可のアプリケーションを知っておくことが重要です。不許可のアプリケーションはネッ トワーク上での動作を許されておらず、脅威に対する脆弱性とプライベートあるいは機密情 報の漏えいに繋がる可能性があります。 レポートの設定を行う場合は、Add [ 追加 ] をクリックし、以下の情報を指定します。 表 188. SaaS アプリケーションの使用状況レポートの設定 フィールド 内容 名前 レポート名を入力します ( 最大 31 文字 )。名前の大文字と小文字は区別さ れます。また、一意の名前にする必要があります。文字、数字、スペース、 ハイフン、およびアンダースコアのみを使用してください。 期間 ドロップダウンリストからレポートの期間を選択します。Last 7 days [ 過 去 7 日間 ] または Last 30 days [ 過去 30 日間 ] 詳細なアプリケーショ ンカテゴリ情報をレ ポートに含める SaaS アプリケーションの使用状況レポートの PDF は 2 つのパートから構 成されています。デフォルトでは両方のパートのレポートが生成されます。 レポートの前半(8 ページ分)はレポート対象期間の間にネットワーク上 で使用された SaaS アプリケーションに焦点を当てています。 レポートの後半部分(レポート前半に記載された各アプリケーションサブ カテゴリの SaaS および非 SaaS アプリケーションに関する詳細な情報が含 まれています)が不要な場合はこのオプションを未選択にしておいてくだ さい。レポートの後半部分には、各サブカテゴリの上位のアプリケーショ ン名や、ユーザー、ファイル、転送バイト数、およびこれらのアプリケー ションが生み出した脅威に関する情報が含まれています。 詳細情報を含まない場合、レポートは 8 ページ分の長さとなっています。 必要なときに Run Now [ 今すぐ実行 ] をクリックしてレポートを生成します。 384 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. モニタリング レポートグループの管理 レポート作成のスケジュールを設定する場合は、「電子メールで配信するレポートのスケ ジュール設定」を参照してください。PA-200、PA-500、および PA-2000 Series のファイア ウォールでは、SaaS アプリケーション使用状況レポートは PDF として電子メールに添付され るわけではありません。かわりに、電子メールにはリンクが記載されており、ウェブブラウ ザでレポートを開くことができます。 精確かつ情報が豊富なレポートを生成するためには、複数の仮想システムやデバイ スグループをもつファイアウォール上で、許可されたアプリケーションに対するタ グ付けを一貫させる必要があります。あるアプリケーションが一方の仮想システム 上では許可されたアプリケーションとしてタグ付けされ、もう一方では不許可とさ れている場合、 あるいは Panorama では親デバイスグループで不許可とされていて、 子デバイスグループでは許可タグが付与されている場合(またはその逆) 、SaaS ア プリケーション使用状況レポートには結果が重複して記載されてしまいます。 例:Box が vsys1 で許可されていて、Google Drive が vsys2 で許可されている場 合、vsys1 における Google Drive のユーザーは不許可の SaaS アプリケーション のユーザーとして計上され、vsys2 における Box のユーザーもまた不許可の SaaS アプリケーションのユーザーとして計上されてしまいます。レポートの主な内容 として、ネットワーク上で 2 つの個別の SaaS アプリケーションが検出され、許 可されたアプリケーションが 2 つ、不許可のアプリケーションが 2 つ、といった ように記載されます。 このレポートの詳細については、レポートの管理を参照してください。 レポートグループの管理 Monitor > PDF Reports > Report Groups [ ┘ど > PDF ࣏࣮ࣞࢺ > ࣏࣮ࣞࢺ ࢢ࣮ࣝࣉ ] レポート グループを使用すると、レポートのセットを作成できます。システムはそのレポー トのセットを集め、オプションのタイトル ページと構成するすべてのレポートを含めた 1 つ の集約 PDF レポートとして電子メールなどを通じて送信することができます。 表 189. レポート グループの設定 フィールド 内容 名前 レポート グループ名を入力します ( 最大 31 文字 )。名前の大文字と小文字 は区別されます。また、一意の名前にする必要があります。文字、数字、 スペース、ハイフン、およびアンダースコアのみを使用してください。 タイトル ページ レポートにタイトルページを追加するには、このオプションをオンにします。 タイトル レポート タイトルとして表示される名前を入力します。 レポートの選択 レポートグループに含めるレポートを左側の列から選択して [ 追加 ] をク リ ッ クし、各レポートを右側のレポート グループに移動します。 Predefined [ 事前定義済み ]、Custom [ カスタム ]、PDF Summary [PDF サ マリー ]、Log View [ ログ ビュー ] のレポート タイプを選択できます。 Log View [ ログ ビュー ] レポートは、カスタム レポートを作成するたびに 自動的に作成されるレポート タイプで、カスタム レポートと同じ名前が使 用されます。このレポートには、カスタム レポートの内容を作成するため に使用されたログが表示されます。 ログビューデータを含めるには、レポートグループを作成するときに Custom Reports [カスタムレポート] リストにカスタムレポートを追加し、 次に Log View [ ログ ビュー] リストから一致するレポート名を選択してロ グビューレポートを追加します。受信するレポートには、カスタム レポー ト データの後に、カスタム レポートを作成するために使用されたログ データが表示されます。 レポート グループを使用する方法については、 「電子メールで配信するレポートのスケジュー ル設定」を参照してください。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 385 電子メールで配信するレポートのスケジュール設定 モニタリング 電子メールで配信するレポートのスケジュール設定 Monitor > PDF Reports > Email Scheduler [ ┘ど > PDF ࣏࣮ࣞࢺ > 㟁Ꮚ࣓࣮ࣝ ࢫࢣࢪ࣮ࣗ ࣛ] レポートの電子メール配信をスケジューリングするには、電子メール スケジューラを使用し ます。この設定を追加する前に、あらかじめレポート グループと電子メール プロファイルを 定義しておく必要があります。 「レポートグループの管理」および「電子メール通知設定の指 定」を参照してください。 スケジューリングされたレポートは午前 2 時にレポートの生成処理を開始し、スケジューリ ングされたすべてのレポートの生成が完了した後、電子メールが転送されます。 表 190. 電子メール スケジューラ設定 フィールド 内容 名前 スケジュール名を入力します ( 最大 31 文字 )。名前の大文字と小文字は区別 されます。また、一意の名前にする必要があります。文字、数字、スペース、 ハイフン、およびアンダースコアのみを使用してください。 レポート グループ レポート グループを選択します (「レポートグループの管理」を参照 )。 繰り返し レポートを生成して送信する頻度 ( 毎日、毎週月・火・水・木・金・土・日 曜日、無効 ) を選択します。 電子メールプロファ イル 電子メール設定を定義するプロファイルを選択します。電子メール プロファ イルの定義方法の詳細は、 「電子メール通知設定の指定」を参照してください。 メール受信者をオー バーライド 電子メール プロファイルで指定したメール受信者の代わりに使用する別の電 子メール アドレスを入力します。 レポートの表示 Monitor > Reports [ ┘ど > ࣏࣮ࣞࢺ ] このファイアウォールでは、前日、または前の週の指定した日のトラフィック統計情報のさ まざまな「上位 50」レポートを作成できます。 レポートを表示するには、ページの右側にあるレポート名をクリックします (Custom Reports [ カスタム レポート ]、Application Reports [ アプリケーション レポート ]、Traffic Reports [ トラフィック レポート ]、Threat Reports [ 脅威レポート ]、URL Filtering Reports [URL フィルタリング レポート ]、PDF Summary Reports [PDF サマリー レポート ])。 デフォルトでは、前日の 24 時間集計レポートが表示されます。過去のいずれかの日のレポー トを表示するには、ページの右下部にあるカレンダーのドロップダウンリストからレポート の生成日を選択します。 レポートはいくつかのセクションに表示されます。各レポートに、選択した期間の情報を表 示することができます。ログを CSV フォーマットでエクスポートするには、Export to CSV [CSV にエクスポート ] をクリックします。ログ情報を PDF フォーマットで開くには、Export to PDF [PDF にエクスポート ] をクリックします。PDF が新しいウィンドウで開かれるので、 ブラウザのインターフェイスを使用してファイルを印刷あるいは保存してください。 386 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. モニタリング カスタムレポートの生成 カスタムレポートの生成 Monitor > Manage Custom Reports [ ┘ど > ࢝ࢫࢱ࣒ ࣏࣮ࣞࢺࡢ⟶⌮ ] オプションで、既存のレポート テンプレートに基づくカスタム レポートを作成できます。レ ポートは、オンデマンドで生成することも、毎晩自動的に生成するようにスケジューリング することもできます。以前に定義したレポートを表示するには、サイド メニューで Reports [ レポート ] を選択します。 Add [ 追加 ] をクリックして、新しいカスタムレポートを作成します。既存のテンプレートに 基づいてレポートを作成するには、Load Template [ テンプレートのロード ] をクリックして、 テンプレートを選択します。 以下の設定を指定して、レポートを定義します。 表 191. カスタム レポートの設定 フィールド 内容 名前 レポート名を入力します ( 最大 31 文字 )。名前の大文字と小文字は区別さ れます。また、一意の名前にする必要があります。文字、数字、スペー ス、ハイフン、およびアンダースコアのみを使用してください。 データベース レポートのデータ ソースとして使用するデータベースを選択します。 期間 規定の時間枠を選択するか、Custom [ カスタム ] を選択して、日時の範 囲を指定します。 ソート基準 ソート オプションを選択して、レポートに含める情報の量などを決定し、 レポートの編成を行います。使用可能なオプションは、選択したデータ ベースによって異なります。 グループ化基準 グループ分けオプションを選択して、レポートに含める情報の量などを 決定し、レポートの編成を行います。使用可能なオプションは、選択し たデータベースによって異なります。 スケジュール設定 レポートを毎晩実行する場合は、このオプションをオンにします。サイ ド メニューで Reports [ レポート ] を選択すると、レポートは使用可能に なります。 列 カスタムレポートで使用可能な列を選択し、選択した列に追加( )し ます。Up [ 上へ ]、Down [ 下へ ]、Top [ 最上部 ]、Bottom [ 最下部 ] を 使用して、選択された列の並び替えを行います。必要に応じて、選択済 みの列を削除( )することができます。 クエリ ビルダー レポート クエリを作成するには、以下を指定して、Add [ 追加 ] をクリッ クします。クエリが完成するまで、繰り返します。 • Connector [ 条件式 ] — 追加する式の前に置く結合子(and/or)を選択 します。 • Negate [ 除外 ] — クエリを否定(除外)として解釈させるには、この オプションをオンにします。前述の例で、否定のオプションを選択する と、過去 24 時間以内に受け取られていないエントリ、または「untrust」 ゾーンから受け取られていないエントリに対する照合が行われます。 • Attribute [ 属性 ] — データ要素を選択します。使用可能なオプション は、選択したデータベースによって異なります。 • Operator [ 演算子 ] — 属性が適用されるかどうかを決定する基準を選択 します (= など )。使用可能なオプションは、選択したデータベースに よって異なります。 • Value [ 値 ] — 照合する属性値を指定します。 詳細は、「カスタム レポートの生成」を参照してください。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 387 パケットキャプチャの実行 モニタリング パケットキャプチャの実行 Monitor > Packet Capture [ ┘ど > ࣃࢣࢵࢺ࢟ࣕࣉࢳࣕ ] すべての Palo Alto Networks ファイアウォールにパケットキャプチャ (pcap) 機能が組み込 まれており、これを使用して、ファイアウォールのネットワーク インターフェイスを通過す るパケットをキャプチャできます。その後、キャプチャしたデータをトラブルシューティン グの目的で使用したり、キャプチャしたデータを使用してカスタム アプリケーション シグネ チャを作成したりできます。 パケットキャプチャ機能を使用すると CPU に大きな負荷がかかるため、 ファイアウォールのパフォーマンスが低下する可能性があります。必要な 場合にのみ、この機能を使用してください。また、必要なパケットを収集 した後は、この機能を必ずオフにしてください。 知りたい内容 以下を参照 ファイアウォールでパケットを キャプチャするために使用でき る他の方法は ? ࠕࣃࢣࢵࢺ࢟ࣕࣉࢳࣕࡢᴫせࠖ カスタム パケットキャプチャを 生成するには ? ࠕ࢝ࢫࢱ࣒ ࣃࢣࢵࢺ࢟ࣕࣉࢳࣕࡢᵓᡂせ⣲ࠖ ファイアウォールで脅威が検出 されたときにパケットキャプ チャを生成するには ? ࠕ⬣ጾࣃࢣࢵࢺ࢟ࣕࣉࢳࣕࡢ᭷ຠࠖ パケットキャプチャをダウン ロードする場所は ? ࠕࣃࢣࢵࢺ࢟ࣕࣉࢳࣕࡢᴫせࠖ さらに詳細を知りたい 探している情報が見つか らない場合 ࢭ࢟ࣗࣜࢸࣉࣟࣇࣝᑐࡋ࡚ᣑᙇࣃࢣࢵࢺ࢟ࣕ ࣉࢳࣕࢆ᭷ຠࡍࡿࡣ ?ࠕContent-ID タᐃࡢᐃ⩏ࠖ ࢆཧ↷ࡋ࡚ࡃࡔࡉ࠸ࠋ ࣃࢣࢵࢺ࢟ࣕࣉࢳࣕࢆ⏝ࡋ࡚࢝ࢫࢱ࣒ ࣉࣜࢣ࣮ ࢩࣙࣥ ࢩࢢࢿࢳࣕࢆグ㏙ࡍࡿࡣ ?ࠕDoc-2015ࠖࢆཧ ↷ࡋ࡚ࡃࡔࡉ࠸ࠋࡇࡢ࡛ࡣࠊࢧ࣮ࢻࣃ࣮ࢸࡢࣉ ࣜࢣ࣮ࢩࣙࣥࢆ⏝ࡋ࡚࠸ࡲࡍࡀࠊࣇ࢛࣮࢘ࣝ ࢆ⏝ࡋ࡚ᚲせ࡞ࣃࢣࢵࢺࢆ࢟ࣕࣉࢳࣕࡍࡿࡇࡀ࡛ ࡁࡲࡍࠋ ࣃࢣࢵࢺ࢟ࣕࣉࢳࣕࢆࣇ࢛࣮࢘ࣝ⟶⌮⪅ࡀ⾲♧ ࡍࡿࡇࢆ⚗Ṇࡍࡿࡣ ?ࠕWeb ࣥࢱ࣮ࣇ࢙ࢫ⟶ ⌮⪅ࡢࢡࢭࢫᶒ㝈ࠖࡢᐃ⩏ࢆཧ↷ࡋ࡚ࡃࡔࡉ࠸ࠋ ࡘ࠸࡚ࡣࠊ ࠕࣃࢣࢵࢺ࢟ࣕࣉࢳࣕࡢᐇ⾜ࠖࢆཧ↷ࡋ ࡚ࡃࡔࡉ࠸ࠋ 388 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. モニタリング パケットキャプチャの実行 パケットキャプチャの概要 Monitor > Packet Capture [ ┘ど > ࣃࢣࢵࢺ࢟ࣕࣉࢳࣕ ] カスタム パケットキャプチャや脅威パケットキャプチャを実行するように Palo Alto Networks ファイアウォールを設定できます。 • カスタム パケットキャプチャ — すべてのトラフィックのパケットをキャプチャしたり、 定義したフィルタに基づいてトラフィックのパケットをキャプチャしたりできます。た とえば、特定の送信元および宛先の IP アドレスまたはポートに対するパケットのみを キャプチャするようにファイアウォールを設定できます。このパケットキャプチャを使 用して、ネットワーク トラフィック関連の問題をトラブルシューティングしたり、アプ リケーション属性を収集してカスタム アプリケーション シグネチャを記述したりしま す。このタイプのパケットキャプチャは、Monitor > Packet Capture [ 監視 > パケットキャ プチャ ] で設定します。ステージ ( ドロップ、ファイアウォール、送受信 ) に基づいて ファイル名を定義し、pcap が完了したら、[ キャプチャされたファイル ] セクションで pcap をダウンロードします。 • 脅威パケットキャプチャ — ファイアウォールでウイルス、スパイウェア、または脆弱性が 検出された場合にパケットをキャプチャします。この機能は、アンチウイルス、アンチス パイウェア、および脆弱性防御のセキュリティ プロファイルで有効にします。これらのパ ケットキャプチャによって、脅威を取り巻く状況が提供されるため、攻撃が成功したかど うかを判断したり、攻撃者が使用した方法について詳細を確認したりできます。脅威に対 するアクションを許可または通知するように設定する必要があります。これを設定しない 場合、脅威がブロックされ、パケットをキャプチャできません。このタイプのパケットキャ プチャは、Objects > Security Profiles [ オブジェクト > セキュリティプロファイル ] で設定し ます。pcap をダウンロード( )する場合は、Monitor > Threat [ 監視 > 脅威 ] を開きます。 カスタム パケットキャプチャの構成要素 Monitor > Packet Capture [ ┘ど > ࣃࢣࢵࢺ࢟ࣕࣉࢳࣕ ] 以下の表で、Monitor > Packet Capture [ 監視 > パケットキャプチャ ] ページの構成要素につい て説明します。これらを使用して、パケットキャプチャの設定、パケットキャプチャの有効 化、パケットキャプチャ ファイルのダウンロードを行います。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 389 パケットキャプチャの実行 モニタリング 表 192. カスタム パケットキャプチャの構成要素 フィールド 設定場所 内容 フィルタの管理 フィルタリングの設定 カスタム パケットキャプチャを有効にする場合、フィルタを 定義して、そのフィルタと一致するパケットのみをキャプ チャする必要があります。これにより、pcap 内で必要な情報 を容易に見つけることができます。また、ファイアウォール でパケットキャプチャを実行するために必要とされる処理能 力を低減できます。 Add [ 追加 ] をクリックし、新しいフィルタを追加して、以下 のフィールドを設定します。 • ID — フィルタの ID を入力または選択します。 • Ingress Interface [ 入力インターフェイス ] — どの入力イン ターフェイス上でトラフィックをキャプチャするかを選択 します。 • Source [ 送信元 ] — キャプチャするトラフィックの送信元 IP アドレスを指定します。 • Destination [ 宛先 ] — キャプチャするトラフィックの宛先 IP アドレスを指定します。 • Src Port [ 送信元ポート ] — キャプチャするトラフィックの 送信元ポートを指定します。 • Dest Port [ 宛先ポート ] — キャプチャするトラフィックの 宛先ポートを指定します。 • Proto [ プロトコル ] — フィルタリングするプロトコル番号 を指定します (1 ∼ 255)。たとえば、ICMP のプロトコル番 号は 1 です。 • Non-IP [ 非 IP] — 非 IP トラフィックの処理方法を選択しま す ( すべての IP トラフィックを除外する、すべての IP トラ フィックを含める、IP トラフィックのみを含める、または IP フィルタを含めない )。非 IP トラフィックの例として、 ブロードキャストや AppleTalk があります。 • IPv6 — IPv6 パケットをフィルタに入れる場合は、このオプ ションをオンにします。 フィルタリング フィルタリングの設定 フィルタの定義が終了したら、Filtering [ フィルタリング ] を ON に設定します。フィルタリングが OFF の場合、すべての トラフィックがキャプチャされます。 事前解析一致 フィルタリングの設定 このオプションの目的は、トラブルシューティングを詳細に 行うことです。パケットが入力ポートに入ると、いくつかの 処理ステップを経て、事前設定されたフィルタと一致するか どうか解析されます。 何らかの障害によって、パケットがフィルタリング段階に到 達しない場合があります。たとえば、ルート検索に失敗した 場合などに起こります。 Pre-Parse Match [ 事前解析一致 ] 設定を ON に設定すると、 システムに入力されるすべてのパケットに対して肯定一致が エミュレートされます。これにより、ファイアウォールはフィ ルタリング プロセスに到達していないパケットをキャプ チャできるようになります。パケットがフィルタリング段階 に到達できれば、フィルタ設定に応じて処理され、フィルタ リング基準と一致しなければ破棄されます。 390 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. モニタリング パケットキャプチャの実行 表 192. カスタム パケットキャプチャの構成要素 フィールド 設定場所 内容 パケットキャプ チャ キャプチャの設定 • Packet Capture [ パケットキャプチャ ] — 切り替えスイッ チをクリックして、パケットキャプチャを ON または OFF にします。 少なくとも 1 つのキャプチャ ステージを選択する必要があ ります Add [ 追加 ] をクリックし、以下を指定します。 • Stage [ ステージ ] — パケットをキャプチャする時点を示し ます。 – drop [ドロップ] — パケット処理でエラーが生じ、パケッ トが破棄される時点を指定します。 – firewall — パケットにセッション一致があるか、セッ ションの最初のパケットが正常に作成される時点。 – receive [ 受信 ] — データプレーン プロセッサでパケット が受け取られる時点を指定します。 – transmit [ 転送 ] — データプレーン プロセッサでパケッ トが送信される時点を指定します。 • File [ ファイル ] — キャプチャ ファイル名を指定します。 ファイル名は文字で始める必要があります。また、文字、数 字、ピリオド、アンダースコア、またはハイフンを使用で きます。 • Byte Count [ バイト数 ] — キャプチャが停止するまでの最 大バイト数を指定します。 • Packet Count [ パケット数 ] — キャプチャが停止するまで の最大パケット数を指定します。 キャプチャされ たファイル キャプチャされたファイル ファイアウォールで以前に生成されたカスタム パケット キャプチャのリストが含まれます。ファイルをクリックする と、ファイルがコンピュータにダウンロードされます。パケッ トキャプチャを削除する場合は、削除したいものを選択し、 Delete [ 削除 ] します。 • File Name [ ファイル名 ] — パケットキャプチャ ファイル のリストが表示されます。ファイル名は、キャプチャ ステー ジに対して指定したファイル名に基づきます。 • Date [ 日付 ] — ファイルが生成された日付。 • Size (MB) [ サイズ (MB)] — キャプチャ ファイルのサイズ。 パケットキャプチャをオンに切り替えて、その後オフに切り 替えた後に、リスト上に新しいすべての pcap ファイルを表 示する場合は、更新( )をクリックする必要があります。 すべての設定を クリア 設定 パケットキャプチャをオフにして、すべてのパケットキャプ チャ設定をクリアするには、Clear All Settings [ すべての設 定をクリア ] をクリックします。これを行っても、セキュリ ティ プロファイルに設定されたパケットキャプチャはオフ になりません。セキュリティ プロファイルでパケットキャプ チャを有効にする方法の詳細は、 「脅威パケットキャプチャの 有効化」を参照してください。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 391 パケットキャプチャの実行 モニタリング 脅威パケットキャプチャの有効化 Monitor > Security Profiles [ ┘ど > ࢭ࢟ࣗࣜࢸ ࣉࣟࣇࣝ ] ファイアウォールで脅威を検出したときにパケットをキャプチャできるようにするには、セ キュリティ プロファイルでパケットキャプチャ オプションを有効にします。 まず、Monitor > Security Profiles [ 監視 > セキュリティプロファイル ] を選択し、以下の表の説 明に従って目的のプロファイルを変更します。 セキュリティ プロファイル パケットキャプチャオプション アンチウイルス カスタムのアンチウイルス プロファイルを選択し、Antivirus [ アンチウイルス ] タブで Packet Capture [ パケットキャプチャ ] を選択します。 アンチスパイ ウェア カスタムのアンチスパイウェア プロファイルを選択し、DNS Signatures [DNS シ グネチャ ] タブをクリックします。Packet Capture [ パケットキャプチャ ] ドロッ プダウンリストで single-packet または extended-capture を選択します。 脆弱性防御 カスタムの脆弱性防御プロファイルを選択し、Rules [ ルール ] タブで、Add [ 追 加 ] をクリックして新しいルールを追加するか、既存のルールを選択します。次 に、Packet Capture [ パケットキャプチャ ] ドロップダウンリストで singlepacket または extended-capture を選択します。 アンチスパイウェアおよび脆弱性防御のプロファイルでは、例外時のパ ケットキャプチャを有効にすることもできます。Exceptions [ 例外 ] タブを クリックし、 シグネチャの Packet Capture [ パケットキャプチャ] 列でドロッ プダウンリストをクリックし、single-packet または extended-capture を選択 します。 ( 任意 ) キャプチャした ( およびグローバル設定に基づく ) パケット数に基づいて脅威パケッ トキャプチャの長さを定義するには、Device > Setup > Content-ID [ デバイス > セットアップ > コンテンツ ID] を選択し、Content-ID Settings [ コンテンツ -ID 設定 ] セクションで Extended Packet Capture Length (packets field) [ 拡張パケットキャプチャ長(パケット フィールド )] を変 更します(1 ∼ 50 の範囲、デフォルトは 5)。 セキュリティ プロファイルでパケットキャプチャを有効にしたら、プロファイルがセキュ リティルールに含まれていることを確認する必要があります。セキュリティ プロファイル をセキュリティルールに追加する方法の詳細は、「セキュリティポリシーの概要」を参照し てください。 セキュリティプロファイルでパケットキャプチャが有効化されている際にファイアウォール が脅威を検出した場合、パケットキャプチャをダウンロード( )あるいはエクスポートす ることができます。 392 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. 第7章 ユーザー ID ユーザー識別子(User-ID™)は、アプリケーションアクティビティおよびポリシーを単純に IP アドレスに結び付ける代わりに、ユーザー名やグループに結び付け、様々な企業ディレク トリや端末サービスをシームレスに統合する、Palo Alto Networks® の次世代のファイア ウォール機能です。さらに、User-ID を設定するとアプリケーションコマンドセンター(ACC)、 アプリケーションスコープ、レポート、およびログのすべてに、ユーザーの IP アドレスに加 えユーザー名が含まるようになります。 「IP アドレスとユーザー」および「ユーザー名とグ ループ」のマッピング情報を収集するよう、以下のエージェントを設定することができます。 • ファイアウォール上で稼働する PAN-OS 統合 User-ID エージェント • ネットワーク内のディレクトリサーバーにインストールされた Windows ベースの UserID エージェント • 複数のユーザーが同じ IP アドレスを持つシステムでユーザー名をポートにマッピングす る、Windows/Citrix ターミナルサーバーにインストールされたターミナルサービス(TS) エージェント サーバーのモニタリング、クライアントシステムのプローブ、Syslog メッセージの構文解析、 LDAP ディレクトリ検索、およびキャプティブポータル認証を含め、ユーザーおよびグルー プのマッピング情報の収集方法をいくつか設定することができます。複数のファイアウォー ルと、何百もの User-ID 送信元、あるいは認証にローカルのリソースを使用する一方でリモー トのリソースにアクセスするユーザーを抱えるネットワークでは、ファイアウォール間の ユーザーマッピングの再配信を設定することで User-ID の管理を簡略化することができます。 ファイアウォールが複数の仮想システムを持つ場合、それぞれの仮想システムには個別の User-ID 設定が必要となります。デフォルト設定において仮想システムはユーザーのマッピン グ情報の共有を行いませんが、再配信させるように設定することも可能です。User-ID を設定 する場合は、Device > User Identification [ デバイス > User-ID] ページの上部にある Location [ 場 所 ] のドロップダウンリストから仮想システムを選択します。 探している情報 以下を参照 PAN-OS 統合 User-ID エージェントのファイア ウォール用ユーザーマッピング情報の収集方法 を設定する方法 ࠕPAN-OS ⤫ྜ User-ID ࢚࣮ࢪ࢙ࣥࢺࡢ ⟶⌮ࠖ ファイアウォールが Windows ベースの User-ID エージェントやUser-IDエージェントとして振る 舞うその他のファイアウォールからユーザーの マッピング情報を受信するよう設定する方法 ࠕUser-ID ࢚࣮ࢪ࢙ࣥࢺࢡࢭࢫࡍࡿࠖ 複数のユーザーが同じ IP アドレスをもつシステ ムでユーザーベースのポリシーを適用する方法 ࠕࢱ࣮࣑ࢼࣝࢧ࣮ࣅࢫ࢚࣮ࢪ࢙ࣥࢺ ࢡࢭࢫࡍࡿࠖ ユーザーグループごとにポリシーを適用する方 法 ࠕࢢ࣮ࣝࣉ࣐ࢵࣆࣥࢢ⏝ LDAP ᳨⣴ࢆ ⟶⌮ࡍࡿࠖ © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 393 PAN-OS 統合 User-ID エージェントの管理 ユーザー ID 探している情報 以下を参照 キャプティブポータルを使用してユーザーやグ ループにポリシーを適用する方法 ࠕ࢟ࣕࣉࢸࣈ࣏࣮ࢱࣝࡢ࣮ࣘࢨ࣮ㄆド ࢆ⟶⌮ࡍࡿࠖ その他の情報をお探しですか? User-ID PAN-OS 統合 User-ID エージェントの管理 Device > User Identification > User Mapping [ ࢹࣂࢫ > User-ID > ࣮ࣘࢨ࣮࣐ࢵࣆࣥࢢ ] ユーザーマッピング情報収集のためにファイアウォール上で稼働する PAN-OS 統合 User-ID エージェントを設定する場合は以下のタスクを行います。 User-ID エージェントにユーザーとグループのマッピングを行わせるよう 完全な手順で設定する場合は、いくつかの追加タスクを行う必要がありま す。 タスク 内容 Palo Alto Networks User-ID エージェントの設定 User-ID エージェ ントの設定を表 示または編集す る User Mapping [ ユーザーマッピング ] ページには User-ID エージェントの設定が 一部表示されています。User-ID エージェントがユーザーマッピングを行う際に 使用する方法は、ここでの設定内容に定義されます。設定をすべて表示する場 合、または編集する場合は編集( )を選択します(「PAN-OS 統合 User-ID エージェントの設定」を参照)。 サーバー モニタリング • 追加 • 削除 • 検出 User-IDエージェントがユーザーマッピング情報用にモニターするサーバーへの アクセスを制御する場合は「サーバーの監視」を参照してください。 包含 / 除外ネットワーク • 追加 • 削除 • 許可 / 除外ネッ トワーク カス タムシーケンス ファイアウォールがユーザーマッピング情報を収集する際に含める、あるいは除 外するサブネットワークを設定する場合は「ユーザーマッピングに許可 / 除外す るサブネットワークの定義」を参照してください。 394 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ユーザー ID PAN-OS 統合 User-ID エージェントの管理 PAN-OS 統合 User-ID エージェントの設定 Device > User Identification > User Mapping [ ࢹࣂࢫ > User-ID > ࣮ࣘࢨ࣮࣐ࢵࣆࣥࢢ ] PAN-OS 統合 User-ID エージェントが IP アドレスとユーザー名のマッピング情報を収集する ように設定する場合は、Palo Alto Networks User-ID Agent Setup [Palo Alto Networks UserID エージェントの設定 ] を編集し、希望する収集方法やタイムアウトを設定します。 探している情報 以下を参照 User-IDエージェントがクライアントシステムの プローブを行い、ユーザーマッピング情報用に サーバーを監視する際、Windows Management Instrumentation(WMI)を使用できるように設 定する方法 ࠕNTLM ㄆドࡢ᭷ຠࠖ ユーザーマッピング情報入手のため、User-ID エージェントがクライアントシステムのプロー ブを行えるように設定する方法 ࠕࢡࣛࣥࢺࡼࡿࣉ࣮ࣟࣈࡢ᭷ຠࠖ ユーザーマッピング情報入手のため、User-ID エージェントがサーバーログの監視を行えるよ うに設定する方法 ࠕࢧ࣮ࣂ࣮ࣔࢽࢱࣜࣥࢢࡢ᭷ຠࠖ ユーザーがローミングして新しい IP アドレスを 取得していても、ファイアウォールが最新のユー ザーマッピング情報を保有しているように設定 する方法 ࠕ࣮ࣘࢨ࣮࣐ࢵࣆࣥࢢ࢚ࣥࢺࣜࡢ࢟ࣕࢵ ࢩࣗࢱ࣒࢘ࢺࢆタᐃࡍࡿࠖ キャプティブポータルを通じてマッピングを行 ࠕNTLM ㄆドࢆ᭷ຠࡍࡿࠖ うユーザーに対し NT LAN Manager(NTLM) 認証を有効化する方法 ファイアウォールによるユーザーおよびグルー プのマッピング情報の共有を有効化し、User-ID の管理を簡略化する方法 ࠕࣇ࢛࣮࢘ࣝ㛫ࡢ࣮ࣘࢨ࣮࣐ࢵࣆ ࣥࢢࡢ㓄ಙࢆ᭷ຠࡍࡿࠖ ユーザーマッピング情報入手のため、User-ID エージェントが Syslog メッセージの構文解析を 行うよう設定する方法 ࠕSyslog ࣓ࢵࢭ࣮ࢪࣇࣝࢱࡢ⟶⌮ࠖ マッピング処理から特定のユーザー名を除外す るように User-ID エージェントを設定する方法 ࠕ࣮ࣘࢨ࣮㝖እࣜࢫࢺࡢ⟶⌮ࠖ NTLM 認証の有効化 Device > User Identification > User Mapping > Palo Alto Networks User-ID Agent Setup > WMI Authentication [ ࢹࣂࢫ > User-ID > ࣮ࣘࢨ࣮࣐ࢵࣆࣥࢢ > Palo Alto Networks User-ID ࢚࣮ࢪ࢙ࣥࢺࡢタᐃ > WMI ㄆド ] PAN-OS 統合 User-ID エージェントがユーザーマッピング情報のために、クライアントシス テムのプローブを行う場合や、Microsoft Exchange サーバーおよびドメインコントローラー の監視を行う際に Windows Management Instrumentation(WMI)を使用するよう設定する 場合は、以下のフィールドを入力します。 PAN-OS 統合 User-ID エージェントに、サーバーの監視とクライアントへ のプローブを行わせるよう完全な手順で設定する場合は、いくつかの追加 タスクを行う必要があります。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 395 PAN-OS 統合 User-ID エージェントの管理 ユーザー ID 表 193. Palo Alto Networks User-ID エージェントの設定 —WMI 認証 フィールド 内容 ユーザー名 ファイアウォールが Windows リソースへアクセスする際に使用す る、アカウントのドメイン認証情報(User Name [ ユーザー名 ] お よび Password [ パスワード ])を入力します。アカウントがクライ アントコンピュータに対し WMI クエリを行い、Exchange サーバー およびドメインコントローラーの監視を行う際には許可が必要と なります。User Name [ ユーザー名 ] には domain\username の構 文を使用してください。 パスワード/パスワード再入力 クライアントによるプローブの有効化 Device > User Identification > User Mapping > Palo Alto Networks User-ID Agent Setup > Client Probing [ ࢹࣂࢫ > User-ID > ࣮ࣘࢨ࣮࣐ࢵࣆࣥࢢ > Palo Alto Networks User-ID ࢚࣮ࢪ࢙ࣥࢺࡢタᐃ > ࢡࣛࣥࢺࡼࡿࣉ࣮ࣟࣈ ] ユーザーマッピング処理により識別されたそれぞれのクライアントシステムに対し、User-ID エージェントが WMI クライアントによるプローブを行うよう設定することができます。UserID エージェントは取得した IP アドレスに対し定期的にプローブを行い、そのユーザーがまだ ログイン中であるかどうか確認を行います。また、ユーザーマッピングが存在しない IP アド レスをファイアウォールが発見した場合は、アドレスが User-ID エージェントに送信され、プ ローブが直ちに行われます。クライアントに対するプローブの設定を変更する場合は、以下 のフィールドを編集してください。 PAN-OS 統合 User-ID エージェントに、クライアントへのプローブを行わ せるよう完全な手順で設定する場合は、いくつかの追加タスクを行う必要 があります。 デフォルト設定では、WMI プローブにおいてパブリック IPv4 アドレスを もつクライアントシステムが除外されます。(パブリック IPv4 アドレスは RFC 1918 および RFC 3927 の範囲外にあるものを指します)これらのアド レスに対する WMI プローブを有効化する場合は、それぞれのサブネット ワークを Include/Exclude Networks [ 許可 / 除外ネットワーク ] のリストに追 加する必要があります。詳細は、 「ユーザーマッピングに許可 / 除外するサ ブネットワークの定義」を参照してください。 NetBIOS プローブは PAN-OS 統合 User-ID エージェントではサポートされ ていませんが、Windows ベースの User-ID エージェントではサポートされ ています。 表194. Palo Alto Networks User-IDエージェントの設定—クライアントによるプローブ フィールド 内容 プローブの有効化 WMI によるプローブを有効化する場合は、このオプションを選択します。 プローブ間隔(分) プローブ間隔を分単位で入力します(範囲は 1 ∼ 1440、デフォルトは 20)。 この値は、ファイアウォールが前回のリクエストの処理を終了してから次 のリクエストを開始するまでの間隔です。 大規模な導入環境では、ユーザーマッピング処理により識別された各クラ イアントをプローブするための時間を確保するため、間隔を適切に設定す ることが重要です。たとえば、ユーザーが 6,000 人で間隔が 10 分の場合 は、各クライアントから 1 秒あたり 10 回の WMI 要求が必要になります。 注:プローブ リクエストの負荷が大きい場合は、リクエスト間の遅延の観 測値が、指定された間隔を大きく超える可能性があります。 396 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ユーザー ID PAN-OS 統合 User-ID エージェントの管理 サーバーモニタリングの有効化 Device > User Identification > User Mapping > Palo Alto Networks User-ID Agent Setup > Server Monitor [ ࢹࣂࢫ > User-ID > ࣮ࣘࢨ࣮࣐ࢵࣆࣥࢢ > Palo Alto Networks UserID ࢚࣮ࢪ࢙ࣥࢺࡢタᐃ > ࢧ࣮ࣂ࣮ࣔࢽࢱ ] サーバーのセキュリティイベントログを監視することでログオンイベントを検知し、するこ とで User-ID エージェントによるユーザーマッピング情報の収集を有効化する場合は以下の フィールドを入力してください。 Windows Server ログ、Windows Server セッション、または eDirectory サー バーでクエリの負荷が大きい場合は、クエリ間の遅延の観測値が、指定さ れた頻度または間隔を大きく超える可能性があります。 PAN-OS 統合 User-ID エージェントに、サーバーの監視とクライアントへ のプローブを行わせるよう完全な手順で設定する場合は、いくつかの追加 タスクを行う必要があります。 表 195. Palo Alto Networks User-ID エージェントの設定 — サーバーのモニタリング フィールド 内容 セキュリティ ログの有効化 Windows サーバーに対するセキュリティログのモニタリングを有 効化する場合はこのオプションを選択します。 サーバーログのモニター頻度 (秒) ファイアウォールが Windows サーバーに対しユーザーマッピング 情報のクエリを行う頻度を秒単位で指定します(範囲は 1 ∼ 3600、 デフォルトは 2)。この値は、ファイアウォールが前回のクエリの処 理を終了してから次のクエリを開始するまでの間隔です。 セッションの有効化 監視対象のサーバーにおけるユーザーセッションの監視を有効化 する場合はこのオプションを選択してください。ユーザーがサー バーに接続するごとにセッションが作成されます。ファイアウォー ルはこの情報を使用してユーザーの IP アドレスを特定することが できます。 サーバー セッションの読み取 り頻度(秒) ファイアウォールが Windows サーバーユーザーセッションに対し ユーザーマッピング情報のクエリを行う頻度を秒単位で指定しま す(範囲は 1 ∼ 3600、デフォルトは 10)。この値は、ファイアウォー ルが前回のクエリの処理を終了してから次のクエリを開始するま での間隔です。 Novell eDirectory クエリ間隔 (秒) ファイアウォールがNovell eDirectoryサーバーに対しユーザーマッ ピング情報のクエリを行う頻度を秒単位で指定します(範囲は 1 ∼ 3600、デフォルトは 30)。この値は、ファイアウォールが前回のク エリの処理を終了してから次のクエリを開始するまでの間隔です。 Syslog サービス プロファイル SSL/TLS サービスプロファイルを選択します。このプロファイルに は、証明書および許可されている SSL/TLS バージョンが指定されて おり、User-ID サービスがモニターするファイアウォールと任意の Syslog Sender 間の通信に使用されます。詳細は、 「SSL/TLS サービ スプロファイルの管理」および「Syslog メッセージフィルタの管理」 を参照してください。none [ なし ] を選択した場合、ファイアウォー ルは、事前定義された自己署名証明書を使用します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 397 PAN-OS 統合 User-ID エージェントの管理 ユーザー ID ユーザーマッピングエントリのキャッシュタイムアウトを設定する Device > User Identification > User Mapping > Palo Alto Networks User-ID Agent Setup > Cache [ ࢹࣂࢫ > User-ID > ࣮ࣘࢨ࣮࣐ࢵࣆࣥࢢ > Palo Alto Networks User-ID ࢚࣮ ࢪ࢙ࣥࢺࡢタᐃ > ࢟ࣕࢵࢩࣗ ] ユーザーがローミングして新しい IP アドレスを取得していても、ファイアウォールが最新の ユーザーマッピング情報を保有しているようにするため、ユーザーマッピングエントリを ファイアウォールキャッシュから削除するタイムアウトを設定します。 表 196. Palo Alto Networks User-ID エージェントの設定 — キャッシュ フィールド 内容 ユーザー ID タイムアウトを 有効にする ユーザーマッピングエントリに対してタイムアウト値を適用する 場合はこのオプションを選択します。そのエントリのタイムアウト 値に達した場合、ファイアウォールはそれを削除し、新しくマッピ ングを行います。これにより、ユーザーがローミングして新しい IP アドレスを取得していても、ファイアウォールには最新のユーザー マッピング情報が保管されるようになります。 User-ID タイムアウト(分) ユーザーマッピングエントリ用のタイムアウト値を分単位で入力 します(範囲は 1 ∼ 3600、デフォルトは 45)。 NTLM 認証を有効化する Device > User Identification > User Mapping > Palo Alto Networks User-ID Agent Setup > NTLM [ ࢹࣂࢫ > User-ID > ࣮ࣘࢨ࣮࣐ࢵࣆࣥࢢ > Palo Alto Networks User-ID ࢚࣮ ࢪ࢙ࣥࢺࡢタᐃ > NTLM] クライアントの Web リクエストが、ブラウザチャレンジ(「キャプティブ ポータル ポリシー」 を参照)のアクションが設定されたキャプティブポータルルールと一致する場合、NT LAN Manager(NTLM)チャレンジにより、表示を行うことなくクライアントの認証を行います。 その後、ファイアウォールはユーザーマッピング情報を NTLM ドメインから収集します。 NTLM 認証処理は 1 つのファイアウォールにつき 1 つの仮想システムのみにおいて有効化で きます(User Mapping [ ユーザーマッピング ] ページの上部にある Location [ 場所 ] ドロップダ ウンリストから仮想システムを選択 )。 また、必要に応じてファイアウォールを User-ID エージェントとして他のファイアウォール に追加することで、追加したファイアウォールを使用して他のファイアウォールに対する NTLM 認証処理を行うことができます。詳細は、 「User-ID エージェントへのアクセスを設定 する」を参照してください。 Windows ベースのユーザー ID エージェントを使用している場合は、エージェントがインス トールされたドメイン コントローラに、NTLM 応答が直接転送されます。詳細は、「キャプ ティブポータルのユーザー認証を管理する」の NTLM Authentication [NTLM 認証 ] を参照して ください。 キャプティブポータルの設定または Windows ベースの User-ID エージェ ントを完全な手順で設定する場合は、いくつかの追加タスクを行う必要が あります。 398 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ユーザー ID PAN-OS 統合 User-ID エージェントの管理 NTLM 認証処理の設定を行う場合は、以下のフィールドを編集してください。 表 197. Palo Alto Networks User-ID エージェントの設定 — NTLM フィールド 内容 NTLM 認証処理の有効化 NTLM 認証処理を有効化する場合は、このオプションを選択しま す。 NTLM ドメイン NTLM ドメイン名を入力します。 管理者ユーザー名(NTLM ド メイン用) NTLM ドメインへのアクセス権を持つ管理者アカウントを入力し ます。 注意 ! Admin User Name [ 管理ユーザー名 ] フィールドにはドメイン を含めないでください。含めた場合、ファイアウォールが、そのドメ インを参加させることができなくなります。 パスワード/パスワード再入力 (NTLM ドメイン用) NTLM ドメインへのアクセス権を持っている管理者アカウントの パスワードを入力します。 ファイアウォール間のユーザーマッピングの再配信を有効化する Device > User Identification > User Mapping > Palo Alto Networks User-ID Agent Setup > Redistribution [ ࢹࣂࢫ > User-ID > ࣮ࣘࢨ࣮࣐ࢵࣆࣥࢢ > Palo Alto Networks User-ID ࢚࣮ࢪ࢙ࣥࢺࡢタᐃ > 㓄ಙ ] ログイン中のファイアウォールを、ユーザーマッピング情報を他のファイアウォールへ再配 信するための User-ID エージェントとして機能させる場合は以下のフィールドを入力してく ださい。 ファイアウォールがユーザーマッピング情報の再配信を行うよう完全な手 順で設定する場合は、いくつかの追加タスクを行う必要があります。 デフォルトの状態では、同じファイアウォール上にある仮想システム同士 であってもユーザーマッピング情報は共有されませんが、再配信を行うよ うに設定することは可能です。 表 198. Palo Alto Networks User-ID エージェントの設定 — 再配信 フィールド 内容 コレクタ名 ファイアウォールを、マッピング情報の再配信用 User-ID エージェ ントとして識別するコレクタ名(最大 255 文字の英数字)を入力し ます。 事前共有鍵/事前共有鍵の再入 力 © Palo Alto Networks, Inc. 他のファイアウォールがこのファイアウォールと安全な接続を確 立し、ユーザーマッピング情報を受信する際に使用する事前共有鍵 (最大 255 文字の英数字)を入力します。 Web インターフェイス リファレンス ガイド、バージョン 7.1 • 399 PAN-OS 統合 User-ID エージェントの管理 ユーザー ID Syslog メッセージフィルタの管理 Device > User Identification > User Mapping > Palo Alto Networks User-ID Agent Setup > Syslog Filters [ ࢹࣂࢫ > User-ID > ࣮ࣘࢨ࣮࣐ࢵࣆࣥࢢ > Palo Alto Networks User-ID ࢚࣮ࢪ࢙ࣥࢺࡢタᐃ > Syslog ࣇࣝࢱ ] User-ID エージェントは、ユーザーマッピング情報を探して Syslog メッセージのフィルタを 行う際に Syslog 解析プロファイルを使用します。異なる Syslog 送信者からのメッセージに対 して個別のプロファイルを作成できます。プロファイルを設定する場合は、Add [ 追加 ] をク リックし、以下のパラメータを入力します。 User-ID エージェントに Syslog 送信者からユーザーマッピング情報を収集 させるよう完全な手順で設定する場合は、いくつかの追加タスクを行う必 要があります。 表 199. Palo Alto Networks User-ID エージェントの設定 — Syslog フィルタ フィールド 内容 Syslog 解析プロファイル プロファイルの名前を入力します(英数字最大 63 文字)。Palo Alto Networks では、いくつかの事前定義済みフィルタを提供していま す。これらはアプリケーションコンテンツの更新として配信される ため、新しいフィルタが開発されると動的に更新されます。事前定 義済みフィルタはファイアウォールでグローバルに適用されます。 一方、手動で定義されたフィルタは 1 つの仮想システムのみに適用 されます。 内容 プロファイルの説明を入力します ( 英数字最大 255 文字 )。 タイプ ユーザーマッピング情報のフィルタに使用する解析のタイプを指 定します。 • Regex Identifier [ 正規表現識別子 ] — Syslog メッセージからユー ザーマッピング情報の特定と抽出を行うための検索パターンを示 す正規表現(regex)を設定する場合は Event Regex [ イベント正 規表現 ]、Username Regex [ ユーザー名正規表現 ]、および Address Regex [ アドレス正規表現 ] のフィールドを指定します。ファイア ウォールは Syslog メッセージ内の認証イベントを照合し、一致す るメッセージ内のユーザー名フィールドとIPアドレスフィールド を照合する際に正規表現を使用します。 • Field Identifier [ フィールド識別子 ] — 認証イベントで照合を行 う文字列を指定し、Syslog メッセージでユーザーマッピング情報 を識別する場合は、Event String [ イベント文字列 ]、Username Prefix [ ユーザー名プレフィックス ]、Username Delimiter [ ユー ザー名区切り文字 ]、Address Prefix [ アドレスプレフィックス ]、 および Address Delimiter [ アドレス区切り文字 ] のフィールドを 使用します。 フィルタを作成する場合は、Syslog 内の認証メッセージのフォー マットを把握する必要があります。以下のフィールドの説明には、 以下のフォーマットのSyslogメッセージのフィルタを作成する場合 の例を記載しています。 [Tue Jul 5 13:15:04 2005 CDT] Administrator authentication success User:domain\johndoe_4 Source:192.168.0.212 イベントの正規表現 成功した認証イベントを示す正規表現を入力します。たとえば、上 記の例の Syslog メッセージに対して照合する場合、以下の正規表現 は、ファイアウォールで文字列 authentication success の最初の {1} インスタンスを照合することを示します。スペースの前の円記 号は、スペースを特殊文字として扱わないように正規表現エンジン に指示する標準の正規表現エスケープ文字です: (authentication\ success){1}" 400 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ユーザー ID PAN-OS 統合 User-ID エージェントの管理 表 199. Palo Alto Networks User-ID エージェントの設定 — Syslog フィルタ(続) フィールド 内容 ユーザー名の正規表現 認証成功のメッセージのユーザー名フィールドを識別する正規表現を 入力します。たとえば、正規表現 User:( [a-zA-Z0-9\\\._]+) は例の acme\johndoe1 をユー メッセージの文字列 User:johndoe_4 に一致し、 ザー名として抽出します。 アドレスの正規表現 認証成功のメッセージの IP アドレスフィールドを識別する正規表現 を入力します。たとえば、Source:( [0-9]{1,3}\. [0-9]){1,3}\. [0-9]{1,3}\.0-9]{1,3}) という正規表現は例のメッセージ内の文 字列 Source:192.168.0.212 と一致し、作成されるユーザー名マッ ピングの IP アドレスとして 192.168.0.212 が抽出されて追加されます。 イベントの文字列 ユーザーマッピング情報を抽出するイベントログタイプを識別す る文字列を指定します。たとえば、上記の例の Syslog フォーマット では、文字列 authentication success を入力してログ内の成功し た認証イベントと照合します。 ユーザー名のプレフィックス 認証 Syslog メッセージにおいて、ユーザー名フィールドの先頭を識 別するために照合する文字列を入力します。たとえば、上記の例の Syslog フォーマットでは、文字列 User: を入力してユーザー名の先 頭を識別します。 ユーザー名の区切り文字 認証ログメッセージ内のユーザー名フィールドの終了を示すユー ザー名の区切り文字を入力します。たとえば、例示されているログ メッセージフォーマットでは、ユーザー名の後にスペースがあるた め、\s を入力してユーザー名フィールドがスペースで区切られてい ることを指定します。 アドレス プレフィックス ログメッセージから IP アドレスを抽出するために照合する文字列 を指定します。たとえばSyslogフォーマットの場合、文字列 Source: を入力して、アドレスを抽出するログフィールドを識別します。 アドレスの区切り文字 認証成功メッセージにおける IP アドレスフィールドの末尾を示す ために使用される照合文字列を入力します。たとえば、例示されて いるログメッセージフォーマットでは、アドレスの後に改行がある ので、\n を入力してアドレスのフィールドが新しい行で区切られて いることを指定します。 ユーザー除外リストの管理 Device > User Identification > User Mapping > Palo Alto Networks User-ID Agent Setup > User Ignore List [ ࢹࣂࢫ > User-ID > ࣮ࣘࢨ࣮࣐ࢵࣆࣥࢢ > Palo Alto Networks UserID ࢚࣮ࢪ࢙ࣥࢺࡢタᐃ > ࣮ࣘࢨ࣮㝖እࣜࢫࢺ ] 除外ユーザーリストでは IP アドレスとユーザーネームのマッピングが不要なアカウントを定 義します(キオスクアカウントなど)。リストの設定を行う場合は Add [ 追加 ] をクリックし てユーザー名を記入します。アスタリスクをワイルドカード文字として使用し te 複数のユー ザーネームと一致させることが可能ですが、エントリの最後の文字としてのみ使用できます。 例えば corpdomain\it-admin* は corpdomain のドメイン内で it-admin から始ま るユーザー名をもつすべての管理者と一致します。ユーザーマッピングから除外するエント リを最大 5,000 個まで追加することができます。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 401 PAN-OS 統合 User-ID エージェントの管理 ユーザー ID サーバーの監視 Device > User Identification > User Mapping [ ࢹࣂࢫ > User-ID > ࣮ࣘࢨ࣮࣐ࢵࣆࣥࢢ ] Microsoft Exchange サーバー、Active Directory(AD)ドメインコントローラ、Novell eDirectory サーバー、または User-ID エージェントがログインイベントの監視を行っている Syslog 送信元などの定義を行う場合は、サーバーモニタリングセクションを使用します。 • 「監視対象サーバーに対するアクセスの管理」 • 「監視対象サーバーに対するアクセスの設定」 監視対象サーバーに対するアクセスの管理 Device > User Identification > User Mapping [ ࢹࣂࢫ > User-ID > ࣮ࣘࢨ࣮࣐ࢵࣆࣥࢢ ] User-ID エージェントがユーザーマッピング情報の監視を行っているサーバーへのアクセス を制御する場合はサーバーモニタリングセクションで以下のタスクを行ってください。 タスク 内容 ライセンス情 報の表示 それぞれの監視対象のサーバーにおいて、User Mapping [ ユーザーマッピング ] ペー ジでは User-ID エージェントからサーバーへの接続状況が表示されます。サーバー を Add [ 追加 ] するとファイアウォールは接続を試みます。接続が成功すると、サー バーモニタリングセクションの Status [ 状態 ] 列には Connected [ 接続済み ] と表示 されます。ファイアウォールから接続できなかった場合、Status [ 状態列 ] には Connection refused [ 接続が拒否されました ] や Connection timeout [ 接続タイムア ウト ] などのエラー状態が表示されます。 サーバーモニタリングセクションの他のフィールドの表示内容の詳細については、 「監視対象サーバーに対するアクセスの設定」を参照してください。 追加 「監視対象サーバーに対するアクセスの設定」する場合は、User-ID エージェントに マッピング情報を監視させるサーバーをそれぞれ Add [ 追加 ] します。 削除 ユーザーマッピング処理(検出)からサーバーを削除したい場合は、そのサーバー を選択し、Delete [ 削除 ] します。 ヒント:設定内容を消去せずに「検出」からサーバーを削除する場合は、サーバーエ ントリの編集を行い、Enabled [ 有効化 ] の選択を解除します。 検出 Microsoft Active Directory ドメインコントローラは、DNS を使用して自動的に Discover [ 検出 ] することができます。ファイアウォールは、Device > Setup > Management [ デバイス > 設定 > 管理 ] のページにある General Settings [ 一般設定 ] セ クションの Domain [ ドメイン ] フィールドに入力したドメイン名に基づいてドメイ ンコントローラを検出します。ファイアウォールはドメインコントローラを検出す るとサーバーモニタリングリストにエントリを作成するので、それを使用してサー バーを監視対象に追加することができます。 注:Discover [ 検出 ] 機能はドメインコントローラのみに使用できます。Exchange サーバーや eDirectory サーバーには使用できません。 402 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ユーザー ID PAN-OS 統合 User-ID エージェントの管理 監視対象サーバーに対するアクセスの設定 Device > User Identification > User Mapping [ ࢹࣂࢫ > User-ID > ࣮ࣘࢨ࣮࣐ࢵࣆࣥࢢ ] サーバーモニタリングセクションを使用して、ファイアウォールの監視対象とするサーバー を Add [ 追加 ] します。 PAN-OS 統合 User-ID エージェントに、サーバーの監視を行わせるよう完 全な手順で設定する場合は、いくつかの追加タスクを行う必要があります。 表 200. サーバー モニタリング フィールド 内容 名前 サーバーの名前を入力します。 内容 サーバーの説明を入力します。 有効 このサーバーに対するログのモニタリングを有効化する場合はこのオプション を選択します。 タイプ サーバータイプを選択します。選択内容により、このダイアログに表示される フィールドが変わります。 ネットワークア ドレス サーバー Type [ タイプ ] が Microsoft Active Directory、Microsoft Exchange、ま たは Syslog Sender の場合、サーバー IP アドレスまたは FQDN を入力してくだ さい。 サーバープロ ファイル サーバーType [ タイプ ] が Novell eDirectory の場合、Novell eDirectory サーバー への接続には LDAP サーバープロファイルを選択してください。詳細は、 「LDAP サーバーの設定」を参照してください。 接続タイプ サーバーType [ タイプ ] が Syslog Sender の場合、User-ID エージェントが Syslog メッセージを UDP ポート(514)と SSL ポート(6514)のどちらでリッスンする のかを指定します。SSL を選択した場合、「サーバーモニタリングの有効化」で 選択した Syslog Service Profile [Syslog サービスプロファイル ] により、許容さ れる SSL/TLS のバージョン、および Syslog Sender との接続用にファイアウォー ルが使用する証明書が決まります。 フィルタ サーバー Type [ タイプ ] が Syslog Sender の場合、このサーバーから受信した Syslog メッセージからユーザー名および IP アドレスを抽出する際に使用する Syslog 解析プロファイルを選択します。プロファイルを「Syslog メッセージフィ ルタの管理」の設定を行う際に作成します。 デフォルト ドメ イン名 © Palo Alto Networks, Inc. (任意)サーバー Type [ タイプ ] が Syslog Sender の場合、ログエントリにドメ イン名が含まれない場合にユーザー名の先頭に追加するドメイン名を入力して ください。 Web インターフェイス リファレンス ガイド、バージョン 7.1 • 403 PAN-OS 統合 User-ID エージェントの管理 ユーザー ID ユーザーマッピングに許可 / 除外するサブネットワークの 定義 Device > User Identification > User Mapping [ ࢹࣂࢫ > User-ID > ࣮ࣘࢨ࣮࣐ࢵࣆࣥࢢ ] IP アドレスからユーザー名へのマッピング(検出)を行う際に User-ID エージェントが許可 / 除外するサブネットワークを定義する場合は、「許可 / 除外ネットワーク」リストを使用しま す。デフォルト設定において、このリストにサブネットワークを追加していない場合、パブ リック IPv4 アドレスをもつクライアントシステムで WMI プローブを行う場合を除き、UserID エージェントはすべてのサブネットワークを対象として User-ID の送信元を検出を試行し ます。 (パブリックIPv4アドレスはRFC 1918およびRFC 3927の範囲外にあるものを指します) パブリック IPv4 アドレスにおける WMI プローブを有効化する場合は、これらのサブネット ワークをリストに追加し、Discovery [ 検出 ] オプションを Include [ 許可 ] に設定する必要があ ります。他のファイアウォールにユーザー マッピング情報を再配信するようにファイア ウォールを構成すると、リストで指定した検出制限が再配信される情報に適用されます。許 可 / 除外ネットワークリストでは以下のタスクを行うことができます。 タスク 内容 追加 検出を特定のサブネットワークに制限したい場合は、サブネットワークプロファイ ルを Add [ 追加 ] し、以下のフィールドを入力します。 • Name [ 名前 ] — サブネットワークの識別に使用する名前を入力します。 • Enabled [有効] — サーバー監視の際のサブネットワークの許可や除外を有効化す る場合はこのオプションを選択します。 • Discovery [ 検出 ] — User-ID エージェントがサブネットワークを Include [ 許可 ] するか Exclude [ 除外 ] するかを選択します。 • Network Address [ ネットワークアドレス ] — サブネットワークの IP アドレスの 範囲を入力します。 ユーザー ID エージェントは、すべてを除外という暗黙のルールをリストに適用しま す。たとえば、Include [ 許可 ] オプションを指定してサブネットワーク 10.0.0.0/8 を 追加すると、User-ID エージェントは、その他すべてのサブネットワークがリスト に追加されていない場合もこれらを除外します。Exclude [ 除外 ] オプションを指定 してエントリを追加するのは、明示的に包含したサブネットワークの一部を除外す る場合だけです。たとえば、Include [ 包含 ] オプションを指定して 10.0.0.0/8 を、 Exclude [ 除外 ] オプションを指定して 10.2.50.0/22 を追加すると、ユーザー ID エー ジェントは、10.0.0.0/8 内のサブネットワークのうち 10.2.50.0/22 を除くすべてを検 出し、10.0.0.0/8 外のすべてのサブネットワークを除外します。Include [ 許可 ] プロ ファイルを一切追加せずに Exclude [ 除外 ] プロファイルを追加すると、User-ID エージェントは、追加したサブネットワークだけでなく、すべてのサブネットワー クを除外します。 削除 リストからサブネットワークを削除する場合は、それを選択して Delete [ 削除 ] し ます。 ヒント:設定内容を消去せずに「許可 / 除外ネットワークリスト」からサブネット ワークを削除する場合は、サブネットワークプロファイルの編集を行い、Enabled [ 有効化 ] の選択を解除します。 カスタム許可 / 除外ネット ワーク デフォルトでは、ユーザー ID エージェントは、追加された順(上から下)にサブ ネットワークを評価します。評価順を変更するには、Custom Include/Exclude Network Sequence [ 許可 / 除外ネットワーク カスタム シーケンス ] をクリックし ます。次に、サブネットワークに対して Add [ 追加 ]、Delete [ 削除 ]、Move Up [ 上 へ ]、Move Down [ 下へ ] の各コマンドを実行して、カスタムの評価順を作成します。 404 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ユーザー ID User-ID エージェントにアクセスする User-ID エージェントにアクセスする Device > User Identification > User-ID Agents [ ࢹࣂࢫ > User-ID > User-ID ࢚࣮ࢪ࢙ࣥ ࢺ] ファイアウォールは、Windows ベースの User-ID エージェント、または User-ID エージェン トとして機能するその他のファイアウォールからユーザーマッピングを受信することができ ます。ファイアウォールからこれらの User-ID エージェントに向けたアクセスを設定する必 要があります。 完全な手順でWindowsベースのUser-IDエージェントを使用してユーザー マッピングを設定し、ユーザーマッピングの再配信を設定する場合は追加 の設定を行う必要があります。 • 「User-ID エージェントへのアクセスを管理する」 • 「User-ID エージェントへのアクセスを設定する」 User-ID エージェントへのアクセスを管理する Device > User Identification > User-ID Agents [ ࢹࣂࢫ > User-ID > User-ID ࢚࣮ࢪ࢙ࣥ ࢺ] ファイアウォールから User-ID エージェントへの接続を管理する場合は以下のタスクを実行 してください。 タスク 内容 情報を表示 / 接続対象の 更新 ファイアウォールが各 User-ID エージェントに接続されているかどうか確認する場 合は Device > User Identification > User-ID Agents [ デバイス > User-ID > User-ID エージェント ] ページを開きます。Connected [ 接続済み ] 列に緑のアイコンが表示 されている場合は正常に接続されていることを示し、黄色いアイコンの場合は接続 が無効、赤いアイコンの場合は接続に失敗したことを意味します。ページを開いて から接続状態が変化した可能性がある場合は、Refresh Connected [ 接続対象の更新 ] をクリックして表示を更新します。 このページに表示されているその他のフィールドについては「User-ID エージェン トへのアクセスを設定する」を参照してください。 追加 Add [ 追加 ] をクリックして「User-ID エージェントへのアクセスを設定する」 します。 削除 ファイアウォールから User-ID エージェントへの接続を可能にしている設定内容を 削除する場合は、そのエージェントをクリックし、Delete [ 削除 ] をクリックします。 ヒント:設定内容を消去せずに User-ID エージェントへの接続を無効化する場合は、 編集を行い Enabled [ 有効化 ] の選択を解除します。 カスタム ファイアウォールに代わって User-ID エージェントによる NT LAN Manager エージェント (NTLM)認証を有効化すると、デフォルト設定として、ファイアウォールはエー シーケンス ジェントが追加された順(上から下)に通信を行います( 「User-ID エージェントへ のアクセスを設定する」で NTLM Authentication [NTLM 認証 ] フィールドの Use [ 用途 ] を参照してください)。順序を変更する場合は Custom Agent Sequence [ カ スタムエージェントシーケンス ] をクリックし、各エージェントを Add [ 追加 ] し、 Move Up [ 上へ ] または Move Down [ 下へ ] をクリックしてエージェントを並べ替 え、最後に OK をクリックします。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 405 User-ID エージェントにアクセスする ユーザー ID User-ID エージェントへのアクセスを設定する Device > User Identification > User-ID Agentsࠉ [ ࢹࣂࢫ > User-ID > User-ID ࢚࣮ࢪ࢙ ࣥࢺ ] ファイアウォールが User-ID エージェントにアクセスするよう設定する場合は、Add [ 追加 ] をクリックし、以下のフィールドを入力します。 表 201. ユーザー ID エージェント設定 フィールド 内容 名前 User-ID エージェントの識別に使用する名前(最大 31 文字)を入力します。名前の 大文字と小文字は区別されます。また、一意の名前にする必要があります。文字、 数字、スペース、ハイフン、およびアンダースコアのみを使用してください。 注:ユーザーマッピングの再配布において User-ID エージェントとして機能するファ イアウォールの場合、このフィールドは「コレクタ名」のフィールドと一致させる必 要はありません。 • Windows ベースの User-ID エージェント — User-ID エージェントがインストー ルされている Windows ホストの IP アドレスを入力します。 • ファイアウォール User-ID エージェント — ログイン中のファイアウォールへユー ザーマッピングを再配信するために、User-ID エージェントとして機能している ファイアウォールにあるインターフェイス(サービスルート)のホスト名、また は IP アドレスを入力します。サービスルートの詳細については、 「サービス設定 の定義」を参照してください。 User-ID エージェントが User-ID 要求をリッスンするポートの番号を入力します。 デフォルトは 5007 ですが、使用可能な任意のポートを指定可能です。それぞれの User-ID エージェントでは異なるポートを使用することができます。 注:一部の旧バージョンの User-ID エージェントでは、デフォルト ポートとして 2010 を使用します。 これらのフィールドは、ログイン中のファイアウォールへユーザーマッピングを再 配信する他のファイアウォールが User-ID エージェントとして設定されている場合 にのみ適用されます。User-ID エージェントに設定されている Collector Name [ コ レクタ名 ] および Pre-Shared Key [ 事前共有鍵 ] を入力してください( 「ファイア ウォール間のユーザーマッピングの再配信を有効化する」を参照)。ログイン中の ファイアウォールにおいて User-ID エージェントと SSL 接続を確立する際にその キーを使用します。 ディレクトリサーバーからグループマッピング情報を収集するプロキシとして、 ファイアウォールにこの User-ID エージェントを使用させたい場合はこのオプショ ンを選択します。このオプションを使用する場合は、さらにファイアウォールでグ ループマッピングの設定を行う必要があります(「グループマッピング用に LDAP 検索を管理する」を参照)。マッピング情報の収集が行えるよう、ファイアウォール はその設定内容を User-ID エージェントにプッシュします。 このオプションは、ファイアウォールがディレクトリサーバーに直接アクセスでき ないようなデプロイ環境で役立ちます。また、ディレクトリサーバーで処理するク エリの数が減少することでメリットを享受できるようなデプロイ環境においても役 立ちます。それぞれのファイアウォールがサーバーへ直接クエリを行う代わりに、 1 つの User-ID エージェントのキャッシュから、複数のファイアウォールでグルー プマッピング情報を受信できるようになります。 クライアント Web リクエストがキャプティブポータルルールに一致する際に、こ の User-ID エージェントを NT LAN Manager(NTLM)認証を行うプロキシとして ファイアウォールに使用させたい場合はこのオプションを選択してください。UserID エージェントはドメインコントローラからユーザーマッピング情報を収集し、 ファイアウォールへ転送します。このオプションを使用する場合は、さらに UserID エージェントで「NTLM 認証を有効化する」する必要があります。 このオプションは、 ファイアウォールがドメインコントローラに直接アクセスしNTLM 認証を行えないようなデプロイ環境で役立ちます。また、ドメインコントローラで処理 する認証要求の数が減少することでメリットを享受できるようなデプロイ環境におい ても役立ちます。それぞれのファイアウォールがドメインコントローラへ直接クエリを 行う代わりに、1 つの User-ID エージェントのキャッシュから、複数のファイアウォー ルでユーザーマッピング情報を受信できるようになります。 ファイアウォールがこの User-ID エージェントと通信できるようにする場合は、こ のオプションを選択します。 ホスト ポート コレクタ名 コレクタの事 前共有鍵 / 再入 力 コレクタの 事前共有鍵 LDAP プ ロ キ シとして使用 NTLM 認証用 に使用 有効 406 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ユーザー ID ターミナルサービスエージェントにアクセスする ターミナルサービスエージェントにアクセスする Device > User Identification > Terminal Services Agents [ ࢹࣂࢫ > User-ID > ࢱ࣮࣑ࢼࣝ ࢧ࣮ࣅࢫ࢚࣮ࢪ࢙ࣥࢺ ] 同じ IP アドレスを共有する複数のユーザーをサポートしているシステムでは、ターミナル サービス(TS)エージェントはそれぞれのユーザーにポートレンジを割り当てることで各ユー ザーを識別します。ファイアウォールがユーザーおよびユーザーグループに基づいたポリ シーを適用できるよう、TS エージェントは、接続されているすべてのファイアウォールに対 し、ユーザーに割り当てられたポートレンジを通知します。TS エージェントへのアクセスを 制御する場合は以下のタスクを実行します。 TS エージェントへのアクセスを設定する前に、TS エージェントのインス トールと設定を行う必要があります。ターミナルサーバーユーザー用の ユーザーマッピングを完全な手順で設定する場合は、いくつかの追加タス クを行う必要があります。 タスク 内容 情報を表示 / 接続対象の更 新 Terminal Services Agents [ ターミナルサービスエージェント ] のページにおいて、 Connected [ 接続済 ] 列にはファイアウォールから TS エージェントへの接続状況が 表示されます。緑のアイコンが表示されている場合は正常に接続されていることを 示し、黄色いアイコンの場合は接続が無効、赤いアイコンの場合は接続に失敗した ことを意味します。ページを開いてから接続状態が変化した可能性がある場合は、 Refresh Connected [ 接続対象の更新 ] をクリックして表示を更新します。 追加 TS エージェントへのアクセスを設定する場合は、Add [ 追加 ] をクリックし、以下 のフィールドを入力します。 • Name [ 名前 ] — TS エージェントの識別に使用する名前を入力します(最大 31 文 字)。名前の大文字と小文字は区別されます。また、一意の名前にする必要があり ます。文字、数字、スペース、ハイフン、およびアンダースコアのみを使用して ください。 • Host [ ホスト ] — TS エージェントがインストールされているターミナルサーバー の IP アドレスを入力します。 • Port [ ポート ] — TS エージェントサービスがファイアウォールと通信する際に使 用するポート番号を入力します(デフォルトは 5009)。 • Alternative IP Addresses [ 代替 IP アドレス ] — TS エージェントがインストール されているターミナルサーバーに、送信トラフィックの送信元 IP アドレスとして 表示される可能性がある IP アドレスが複数ある場合、Add [ 追加 ] をクリックし、 最大 8 個の IP アドレスを入力します。 • Enabled [ 有効化 ] — ファイアウォールがこの TS エージェントと通信できるよう にする場合は、このオプションを選択します。 削除 TS エージェントへの接続を可能にしている設定内容を削除する場合は、そのエー ジェントを選択し、Delete [ 削除 ] をクリックします。 ヒント:設定内容を消去せずに TS エージェントへの接続を無効化する場合は、エー ジェントの編集を行い Enabled [ 有効化 ] の選択を解除します。 グループマッピング用に LDAP 検索を管理する Device > User Identification > Group Mapping Settings [ ࢹࣂࢫ > User-ID > ࢢ࣮ࣝࣉ ࣐ࢵࣆࣥࢢࡢタᐃ ] ユーザーまたはグループに基づいてセキュリティポリシーを定義する場合は、ファイア ウォールでディレクトリサーバーからグループのリストおよび対応するメンバーのリストを 取得する必要があります。ファイアウォールは、Microsoft Active Directory (AD)、Novell eDirectory、Sun ONE Directory Server を含む、さまざまな LDAP ディレクトリ サーバーを サポートしています。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 407 グループマッピング用に LDAP 検索を管理する ユーザー ID グループマッピング設定を作成する前に、LDAP サーバープロファイルを 設定する必要があります(「LDAP サーバーの設定」を参照)。完全な手順 でユーザー名をグループにマッピングする場合は、いくつかの追加タスク を行う必要があります。 ネットワーク内のそれぞれの LDAP サーバーにグループマッピング設定を Add [ 追加 ] します。グ ループマッピング設定を削除する場合は、 当該のものを選択して Delete [ 削除 ] をクリックします。 グループマッピング設定を削除せずに無効化したい場合は、設定を開き Enabled [ 有効化 ] の選択 を解除します。グループマッピング設定を追加する場合は、以下のフィールドを入力します。 表 202. グループマッピング設定 — サーバープロファイル フィールド 設定場所 内容 名前 Device > User Identification > Group Mapping Settings [ デバイス > User-ID > グループマッピングの設定 ] グループマッピング情報の識別に使用する名前(最 大 31 文字)を入力します。名前の大文字と小文字 は区別されます。また、一意の名前にする必要があ ります。文字、数字、スペース、ハイフン、および アンダースコアのみを使用してください。 サーバープロ ファイル Device > User Identification > Group Mapping Settings > Server Profile [ デバイス > User-ID > グループマッピングの設定 > サーバープロファイル ] Device > User Identification > Group Mapping Settings > Server Profile [ デバイス > User-ID > グループマッピングの設定 > サーバープロファイル ] Device > User Identification > Group Mapping Settings > Server Profile [ デバイス > User-ID > グループマッピングの設定 > サーバープロファイル ] このファイアウォールのグループ マッピングに使 用する LDAP サーバー プロファイルを選択しま す。 更新間隔 ユーザードメ イン グループオブ ジェクト Device > User Identification > Group Mapping Settings > Server Profile [ デバイス > User-ID > グルー プマッピングの設定 > サー バープロファイル ] ファイアウォールポリシーが使用するグループの 更新情報を取得するため、ファイアウォールが LDAPディレクトリサーバーと接続を行う間隔を秒 数で指定します(範囲は 60 ∼ 86400 秒)。 デフォルトでは、User Domain [ ユーザー ドメイン ] フィールドは空白になっています。空白のままにす ると、ファイアウォールが、Active Directory サー バーのドメイン名を自動的に検出します。この フィールドに値を入力した場合、ファイアウォール がLDAPソースから取得したドメイン名はオーバー ライドされます。入力値には NetBIOS 名を指定す る必要があります。 注:このフィールドは、LDAP ソースから取得した ユーザー名とグループ名のみに影響を与えます。 ユーザー認証の場合に、ユーザー名に関連付けられ たドメインをオーバーライドするには、そのユー ザーに割り当てられている認証プロファイルの User Domain [ ユーザー ドメイン ] および Username Modifier [ ユーザー名修飾子 ] フィールドを設定しま す (「認証プロファイルのセットアップ」を参照 )。 • Search Filter [ 検索フィルタ ] — LDAP クエリを 入力し、取得および追跡の対象とするグループを 指定します。 • Object Class [ オブジェクトクラス ] — グループの 定義を入力します。デフォルトは objectClass=group で、グループ Search Filter [ 検索フィルタ ] に一致 するディレクトに含まれ、かつ objectClass=group が設定されているすべてのオブジェクトが取得さ れます。 • Group Name [ グループ名 ] — グループ名の属性 を入力します。たとえば、Active Directory の場 合、この属性は「CN」(一般名)になります。 • Group Member [ グループメンバー ] — グループメ ン バ ー の 属 性 を 入 力 し ま す。た と え ば、Active Directoryの場合、 この属性は 「member」 になります。 408 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ユーザー ID グループマッピング用に LDAP 検索を管理する 表 202. グループマッピング設定 — サーバープロファイル(続) フィールド 設定場所 内容 ユーザーオブ ジェクト Device > User Identification > Group Mapping Settings > Server Profile [ デバイス > User-ID > グループマッピングの設定 > サーバープロファイル ] • Search Filter [ 検索フィルタ ] — LDAP クエリを 入力し、取得および追跡の対象とするユーザーを 指定します。 • Object Class [オブジェクトクラス] — ユーザーオ ブジェクトの定義を入力します。たとえば、Active Directory の場合、objectClass は「user」になり ます。 • User Name [ユーザー名] — ユーザー名の属性を入 力します。たとえば、Active Directory の場合、デ フォルトユーザー名の属性は「samAccountName」 になります。 メールドメイ ン Device > User Identification > Group Mapping Settings > Server Profile [ デバイス > User-ID > グループマッピングの設定 > サーバープロファイル ] ファイアウォールが有害な電子メールに関する WildFire™ ログを受信すると、ログの電子メール受 信者情報が、User-ID によって収集されたユーザー マッピング情報と照合されます。ログにはユーザー へのリンクが含まれ、このリンクをクリックすると ユーザーによりフィルタリングされた ACC が表示 されます。電子メールが配信リストに送信された場 合は、ACC がリストに記載されているメンバー別 にフィルタリングされます。 電子メールのヘッダーやユーザーマッピング情報 から、電子メールを受信したユーザーを簡単に特定 できるため、電子メール経由で受け取った脅威をす ばやく突き止めて阻止できます。 • Mail Attributes [メール属性] — PAN-OSはLDAP サーバータイプに基づき、このフィールドを自動 的に入力します(Sun ONE、Active Directory、ま たは Novell)。 • Domain List [ ドメインリスト ] — 組織の電子メー ルドメインを、最大 256 文字のカンマ区切りリス トの形式で入力します。 有効 Device > User Identification > Group Mapping Settings > Server Profile [ デバイス > User-ID > グループマッピングの設定 > サーバープロファイル ] Device > User Identification > Group Mapping Settings > Group Include List [ デバイス > User-ID > グループマッピングの設定 > 許可リストのグループ化 ] グループマッピングにおけるサーバープロファイ ルを有効化する場合はこのオプションを選択しま す。 使用可能なグ ループ 含まれたグ ループ © Palo Alto Networks, Inc. セキュリティルールの作成時にファイアウォール が表示するグループの数を制限する場合は、これら のフィールドを入力してください。LDAP ツリーを 探索して、ルールで使用するグループを見つけま す。グループを含める場合は、[ 使用可能なグルー プ ] リストでそのグループを選択して、追加( ) します。リストからグループを削除する場合は、[ 含 まれたグループ ] リストでそのグループを選択し て、削除( )します。 Group Include List [ 許可リストのグループ化 ] タブ と Custom Group [ カスタムグループ ] タブに追加 できるグループの最大数は、仮想システムあたり合 計で 640 までです。 Web インターフェイス リファレンス ガイド、バージョン 7.1 • 409 キャプティブポータルのユーザー認証を管理する ユーザー ID 表 202. グループマッピング設定 — サーバープロファイル(続) フィールド 設定場所 内容 名前 Device > User Identification > Group Mapping Settings > Custom Group [ デバイス > User-ID > グループマッピングの設定 > カスタムグループ ] LDAPディレクトリ内の既存のユーザーグループに 一致しないユーザー属性に基づいてファイア ウォールポリシーを設定できるよう、LDAP フィル タに基づいてカスタムグループを作成する場合は これらのフィールドを使用します。User-ID サービ スは、フィルタに一致するすべての LDAP ディレク トリ ユーザーをカスタム グループにマッピングし ます。既存のアクティブディレクトリグループドメ イン名と同じ識別名(DN)のカスタムグループを 作成すると、ファイアウォールは、その名前が参照 されるすべての場所(たとえば、ポリシーやログ内) でカスタムグループを使用します。カスタムグルー プを作成する場合は、Add [ 追加 ] をクリックし、以 下のフィールドを設定します。 • Name [ 名前 ] — 現在のファイアウォールまたは 仮想システムにおけるグループマッピング設定 の中で一意のカスタムグループ名を入力します。 • LDAP Filter [LDAP フィルタ ] — 最大 2,048 文字 のフィルタを入力します。LDAP 検索を高速化し て、LDAP ディレクトリ サーバーのパフォーマン スの低下を最小限に抑えるには、索引付けされた 属性のみをフィルタに使用するのがベスト プラ クティスです。ファイアウォールは、LDAP フィ ルタを検証しません。 カスタム グループを削除するには、グループを選択 して Delete [ 削除 ] をクリックします。カスタムグ ループのコピーを作成する場合は、任意のグループ を選択し、Clone [ コピー ] をクリックして、必要に 応じフィールドを編集します。 Group Include List [ 許可リストのグループ化 ] タブ と Custom Group [ カスタムグループ ] タブに追加 できるグループの最大数は、仮想システムあたり合 計で 640 までです。 注意 ! カスタムグループを作成またはコピーした場 合、それらをポリシーやオブジェクトで使えるよう にするにはコミットを実行する必要があります。 LDAP フィル タ キャプティブポータルのユーザー認証を管理する Device > User Identification > Captive Portal Settings [ ࢹࣂࢫ > User-ID > ࢟ࣕࣉࢸ ࣈ࣏࣮ࢱࣝࡢタᐃ ] ユーザーマッピングの際にファイアウォールでキャプティブポータル認証を使用するよう設 定する場合は、Device > User Identification > Captive Portal Settings [ デバイス > User-ID > キャプ ティブポータル設定 ] ページを開き、以下の設定内容を編集( ) します。 キャプティブポータルが SSL/TLS サービスプロファイル(「SSL/TLS サービ スプロファイルの管理」を参照)、認証プロファイル(「認証プロファイル のセットアップ」を参照)、または証明書プロファイル(「証明書プロファ イルの作成」を参照)を使用する場合、開始する前にプロファイルを設定 してください。ユーザーマッピング用のキャプティブポータルを完全な手 順で設定する場合は、いくつかの追加タスクを行う必要があります。 410 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ユーザー ID キャプティブポータルのユーザー認証を管理する 表 203. キャプティブ ポータルの設定 フィールド 内容 キャプティブ ポータルの有 効化 ユーザー ID のキャプティブポータルオプションを有効化する場合は、このオプショ ンを選択します。 アイドル タ イマー ( 分 ) キャプティブポータルセッション用のユーザー TTL(time-to-live)を分単位で入力 します(範囲は 1 ∼ 1440、デフォルトは 15)。このタイマーは、キャプティブポー タルユーザーのアクティビティが発生するたびにリセットされます。ユーザーのア イドル時間が Idle Timer [ アイドルタイマー ] の値を超えると、PAN-OS はキャプ ティブポータルユーザーマッピングを削除するので、そのユーザーは再びログイン を行う必要があります。 タイマー ( 分 ) これは TTL の最大値を分単位で示すもので、キャップティブポータルセッションの マッピングが保持される最大の時間となります(範囲は 1 ∼ 1440、デフォルトは 60)。この時間が経過すると PAN-OS はマッピングを削除するので、セッションが まだアクティブな状態であっても、ユーザーは再度認証を行う必要があります。こ のタイマーは期限切れのマッピングをなくすためのもので、ここに設定した値が Idle Timer [ アイドルタイマー ] の値をオーバーライドします。よって、失効 Timer [ タイマー ] を Idle Timer [ アイドルタイマー ] よりも長く設定しておくことをお勧 めします。 SSL/TLS サー ビスプロファ イル リダイレクト要求をセキュリティ保護するための証明書と許可されたプロトコルを 指定するには、SSL/TLS サービスプロファイルを選択します(「SSL/TLS サービスプ ロファイルの管理」を参照)。None [ なし ] を選択した場合、ファイアウォールは SSL 接続にローカルのデフォルト証明書を使用します。 証明書エラーを表示せずに透過的にユーザーをリダイレクトするには、Web 要求の リダイレクト先となるインターフェイスの IPアドレスと一致する証明書に関連付け られたプロファイルを割り当てる必要があります。 認証プロファ イル 認証用Webフォームにリダイレクトされたユーザーを認証するための認証プロファ イルを選択します(「認証プロファイルのセットアップ」を参照)。NTLM 認証が失 敗した場合や、クライアントまたはブラウザにサポートされていない場合であって も 認 証 を 行 えるようにするため、キャプティブポータルが NT LAN Manager (NTLM)認証を使用する場合も、認証プロファイルまたは証明書プロファイルを割 り当てる必要があります。 モード © Palo Alto Networks, Inc. 認証時にファイアウォールが実行するWeb要求のキャプチャの方法を選択してくだ さい。 • Transparent [ メッセージを表示しない ] — ファイアウォールはキャプティブポー タルのルールに沿ってブラウザのトラフィックをインターセプトして元の宛先 URL の偽装を行い、HTTP401 を発行して認証を起動します。ただし、ファイア ウォールには宛先 URL の実際の証明書がないため、保護されたサイトへのアクセ スを試みるユーザーのブラウザには証明書エラーが表示されます。したがって、こ のモードはレイヤー 2 やバーチャル ワイヤーのデプロイメントなど、絶対に必要 な場合にのみ使用してください。 • Redirect [ リダイレクト ] — ファイアウォールは不明な HTTP または HTTPS セッ ションをインターセプトし、認証を実行するために HTTP 302 リダイレクトを使用 してファイアウォールのレイヤー 3 インターフェイスにリダイレクトします。よ り優れたエンドユーザー体験 ( 証明書エラーなし ) が提供されるため、このモード の使用をお勧めします。しかし、ファイアウォールが Web 要求を転送するレイ ヤー 3 インターフェイスに割り当てられた、インターフェイス管理プロファイル の応答ページを有効化する必要があります(詳細は「インターフェイス管理プロ ファイルの定義」および「レイヤー 3 インターフェイスの設定」を参照)。Redirect [ リダイレクト ] モードのもう 1 つの利点はセッション Cookie を使用できること で、タイムアウトが発生するたびに再度マッピングすることなく、ユーザーが継 続して認証済みサイトを閲覧することができます。セッションが開かれている限 り IP アドレスが変化しても再認証を行う必要がないため、ある IP アドレスから別 の IP アドレスにローミングするユーザーには(企業 LAN から無線ネットワーク など)、このモードが特に役立ちます。キャプティブポータルが NTLM 認証を使 用する場合、ブラウザは信頼されたサイトにのみ認証情報を提供するため、 Redirect [ リダイレクト ] モードを使用する必要があります。 Web インターフェイス リファレンス ガイド、バージョン 7.1 • 411 キャプティブポータルのユーザー認証を管理する ユーザー ID 表 203. キャプティブ ポータルの設定 (続) フィールド 内容 セッション Cookie (リダイレクト モードのみ) • Enable [ 有効化 ] — セッション Cookie を有効にする場合は、このオプションを選 択します。 • Timeout [ タイムアウト ] — セッション Cookie が Enable [ 有効化 ] されている場 合、このタイマーで設定する値が Cookie が有効な時間(分)となります(範囲は 60 ∼ 10080、デフォルトは 1440)。 • Roaming [ ローミング ] — セッションがアクティブな間に IP アドレスが変化して も Cookie を保持させたい場合(クライアントが有線ネットワークから無線ネット ワークに移動した場合など)は、このオプションを選択します。ユーザーは、Cookie がタイムアウトになった場合またはブラウザを閉じた場合に再認証を行う必要が あります。 ホストのリダ イレクト ( リダイレクト モードのみ ) ファイアウォールが Web 要求をリダイレクトする宛先となるレイヤー 3 インター フェイスの、IP アドレスに解決されるイントラネットホスト名を指定します。 証明書の認証 キャプティブポータルユーザーの認証用に Certificate Profile [ 証明書プロファイル ] を選択します(「証明書プロファイルの作成」を参照)。この認証タイプの場合、ユー ザー認証のため、キャプティブポータルはブラウザに対し有効なクライアント証明 書の提示を求めます。この方法を使用する場合は、各ユーザーシステムのクライア ント証明書をプロビジョニングし、ファイアウォールでそれらの証明書を発行する ために使用する信頼された証明局(CA)証明書をインストールする必要がありま す。これは、Mac OS および Linux クライアントで Transparent [ メッセージを表示 しない ] 認証を有効にする唯一の認証方法です。 NTLM 認証 キャプティブポータルが NT LAN Manager(NTLM)認証用に設定されている場合、 ファイアウォールは暗号化されたチャレンジレスポンス機構を使用して、ブラウザ からユーザーの認証情報を取得します。適切に設定されている場合、ブラウザはユー ザーに入力を求めずに透過的にファイアウォールに認証情報を提供しますが、必要 に応じて認証情報の入力を求めるメッセージが表示されます。ブラウザが NTLM を 実行できない場合、または NTLM 認証に失敗した場合、キャプティブポータルの設 定に応じてファイアウォールはWebフォームまたはクライアント証明書の認証に戻 ります。デフォルトでは、Internet Explorer で NTLM がサポートされています。設 定を Firefox や Chrome に変更することも可能です。Windows 以外のクライアント の認証には NTLM を使用できません。 注:これらのオプションは Windows ベースの User-ID エージェントにのみ適用されま す。PAN-OS 統合 User-ID エージェントを使用する場合にドメインに参加するには、 ファイアウォールでドメインコントローラの DNS 名を正常に解決できるようにする 必要があります。その後、PAN-OS 統合 User-ID エージェント設定で「NTLM 認証を 有効化する」を有効にし、ドメインへ参加するための認証情報をファイアウォールに 提供することができます。 Windows ベースの User-ID エージェントで NTLM を使用するように設定するに は、以下を指定します。 • Attempts [ 試行回数 ] — NTLM 認証を失敗とみなすまでの試行回数を指定します (範囲は 1 ∼ 60、デフォルトは 1)。 • Timeout [ タイムアウト ] — NTLM 認証がタイムアウトするまでの秒数を指定しま す(範囲は 1 ∼ 60、デフォルトは 2)。 • Reversion Time [ 復帰時間 ] — エージェントが使用できなくなってから User-ID エージェントページ(Device > User Identification > User-ID Agents [ デバイス> User-ID > User-ID エージェント ])の最初に記載されているエージェントに対し てファイアウォールが交信を再試行するまでの秒数を指定します(範囲は 60 ∼ 3600、デフォルトは 300)。 412 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. 第8章 IPSec トンネルの設定 このセクションでは、仮想プライベート ネットワーク (VPN) の基本的なテクノロジについて 述べ、Palo Alto Networks® ファイアウォールで IP Security (IPSec) VPN を設定および管理す る方法について詳しく説明します。 以下のトピックを参照してください。 • 「IKE ゲートウェイの定義」 • 「IPSec トンネルのセットアップ」 • 「IKE 暗号化プロファイルの定義」 • 「IPSec 暗号化プロファイルの定義」 • 「GlobalProtect の IPSec 暗号化プロファイルの定義」 IKE ゲートウェイの定義 Network > Network Profiles > IKE Gateways [ࢿࢵࢺ࣮࣡ࢡ > ࢿࢵࢺ࣮࣡ࢡ ࣉࣟࣇࣝ > IKE ࢤ࣮ࢺ࢙࢘ ] このページを使用して、ゲートウェイを管理または定義します。このページには、ピア ゲー トウェイに対して Internet Key Exchange (IKE) プロトコル ネゴシエーションを実行するため に必要な設定情報が含まれています。これは、IKE/IPSec VPN セットアップのフェーズ 1 の 部分です。 IKE ゲートウェイを管理、設定、再起動、または更新する方法については、以下を参照して ください。 • 「IKE ゲートウェイの管理」 • 「IKE ゲートウェイの General [ 全般 ] タブ」 • 「IKE ゲートウェイの Advanced Options [ 詳細オプション ] タブ」 • 「IKE ゲートウェイの再起動または更新」 IKE ゲートウェイの管理 Network > Network Profiles > IKE Gateways [ࢿࢵࢺ࣮࣡ࢡ > ࢿࢵࢺ࣮࣡ࢡ ࣉࣟࣇࣝ > IKE ࢤ࣮ࢺ࢙࢘ ] 以下の表は、IKE ゲートウェイの管理方法を示しています。 © Palo Alto Networks, Inc.Web インターフェイス リファレンス ガイド、バー IKE ゲートウェイの定義 IPSec トンネルの設定 表 204. IKE ゲートウェイの管理 フィールド 内容 追加 新しい IKE ゲートウェイを作成するには、Add [ 追加 ] をクリックします。 新しいゲートウェイの設定手順については、 「IKE ゲートウェイの General [ 全般 ] タブ」および「IKE ゲートウェイの Advanced Options [ 詳細オプ ション ] タブ」を参照してください。 削除 ゲートウェイを削除するには、ゲートウェイを選択して Delete [ 削除 ] を クリックします。 有効化 無効になっているゲートウェイを有効にするには、ゲートウェイを選択し て Enable [ 有効化 ] をクリックします。デフォルト設定では、ゲートウェ イは有効になっています。 無効化 ゲートウェイを無効にするには、ゲートウェイを選択して Disable [ 無効 化 ] をクリックします。 IKE ゲートウェイの General [ 全般 ] タブ Network > Network Profiles > IKE Gateways [ࢿࢵࢺ࣮࣡ࢡ > ࢿࢵࢺ࣮࣡ࢡ ࣉࣟࣇࣝ > IKE ࢤ࣮ࢺ࢙࢘ ] 以下の表は、IKE ゲートウェイの設定方法における最初の手順を示しています。IKE は、IKE/ IPSec VPN プロセスのフェーズ 1 です。これらの手順を実行した後、 「IKE ゲートウェイの Advanced Options [ 詳細オプション ] タブ」を参照してください。 表 205. IKE ゲートウェイの一般設定 フィールド 内容 名前 ゲートウェイを識別する Name [ 名前 ] を入力します ( 最大 31 文字 )。 名前の大文字と小文字は区別されます。また、一意の名前にする必要 があります。文字、数字、スペース、ハイフン、およびアンダースコ アのみを使用してください。 バージョン ゲートウェイにサポートされていて、ピアゲートウェイと必ず使用す る必要のある IKE バージョンを選択します。IKEv1 only mode [IKEv1 限定モード ]、IKEv2 only mode [IKEv2 限定モード ]、または IKEv2 preferred mode [IKEv2 優先モード ]。IKEv2 preferred mode [IKEv2 優先モード ] を選択すると、ゲートウェイは、IKEv2 を使用してよい かどうかをネゴシエートします。ピアも IKEv2 をサポートしている場 合は、IKEv2 が使用されます。それ以外の場合、ゲートウェイは IKEv1 を使用します。 IPv4 / IPv6 ゲートウェイが使用する IP アドレスのタイプを選択します。 インターフェイス VPN トンネルに対する出力ファイアウォール インターフェイスを選 択します。 ローカル IP アドレス トンネルのエンドポイントとなるローカル インターフェイスの IP ア ドレスを選択または入力します。 ピア IP タイプ トンネルの反対側の終端にあるピアについて、Static [ 静的 ] または Dynamic [ 動的 ] を選択します。 ピア IP アドレス Peer IP Type [ ピア IP タイプ ] に Static [ 静的 ] を選択した場合は、ト ンネルの遠端にあるピアの IP アドレスを指定します。 認証 ピア ゲートウェイで実行される Authentication [ 認証 ] のタイプとし て、Pre-Shared Key [ 事前共有鍵 ] または Certificate [ 証明書 ] を選択 します。選択した項目に応じて、 「事前共有鍵フィールド」または「証 明書フィールド」を参照してください。 414 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto IPSec トンネルの設定 IKE ゲートウェイの定義 表 205. IKE ゲートウェイの一般設定(続) フィールド 事前共有鍵フィールド 内容 事前共有鍵 事前共有鍵の確認 Pre-Shared Key [ 事前共有鍵 ] を選択した場合は、トンネル間の対称 認証に使用される単一のセキュリティ キーを入力します。Pre-Shared Key [ 事前共有鍵 ] の値は、管理者が作成する文字列です。 ローカル ID ローカル ゲートウェイのフォーマットと ID を定義します。この フォーマットと ID は、IKEv1 フェーズ 1 SA および IKEv2 SA の両方 を確立するために、事前共有鍵とともに使用されます。 以下のタイプから 1 つを選択し、値を入力します。FQDN ( ホスト名 )、 IP address [IP アドレス ]、KEYID (HEX のバイナリフォーマット ID 文 字列 )、User FQDN [ ユーザー FQDN ( 電子メール アドレス )] 値を指定しないと、ローカル IP アドレスがローカル ID の値として使 用されます。 ピア ID ピア ゲートウェイのタイプと ID を定義します。このタイプと ID は、 IKEv1 フェーズ 1 SA および IKEv2 SA の確立時に、事前共有鍵ととも に使用されます。 以下のタイプから 1 つを選択し、値を入力します。FQDN ( ホスト名 )、 IP address [IP アドレス ]、KEYID (HEX のバイナリフォーマット ID 文 字列 )、User FQDN [ ユーザー FQDN ( 電子メール アドレス )] 値を指定しないと、ピア IP アドレスが Peer Identification [ ピア ID] の値として使用されます。 証明書フィールド ローカル証明書 Authentication [ 認証 ] のタイプとして Certificate [ 証明書 ] をドロッ プダウンリストから選択した場合は、ファイアウォール上にすでに存 在する証明書を選択します。 以下の方法で証明書を Import [ インポート ] したり、新しい証明書を Generate [ 生成 ] したりすることもできます。 Import [ インポート ]: • Certificate Name [ 証明書名 ] — インポートする証明書の名前を入力 します。 • Shared [ 共有 ] — この証明書を複数の仮想システムで共有する場合 にクリックします。 • Certificate File [ 証明書ファイル ] — Browse [ 参照 ] をクリックし、 証明書ファイルが配置されている場所に移動します。ファイルを選 択して Open [ 開く ] をクリックします。 • File Format [ ファイル フォーマット ] — 以下のいずれかを選択しま す。 – Base64 Encoded Certificate (PEM) [Base64 エンコード済み証明 書 (PEM)] — 鍵ではなく、証明書が含まれます。クリアテキスト です。 – Encrypted Private Key and Certificate (PKCS12) [ 暗号化された秘 密鍵と証明書 (PKCS12)] — 証明書と鍵の両方が含まれます。 • Private key resides on Hardware Security Module [ 秘密鍵はハード ウェア セキュリティ モジュール上にあります] — ファイアウォール が、鍵が存在する HSM サーバーのクライアントである場合にク リックします。 • Import private key [ 秘密鍵のインポート ] — 証明書ファイルとは別 のファイル内にあるために秘密鍵をインポートする必要がある場合 にクリックします。 – Key File [ キー ファイル ] — キー ファイルを参照し、インポート するキー ファイルに移動します。このエントリは、ファイル フォーマットとして PEM を選択した場合に使用可能です。 – Passphrase [ パスフレーズ ] および Confirm Passphrase [ パスフ レーズの確認 ] — 鍵にアクセスするために入力します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バー IKE ゲートウェイの定義 IPSec トンネルの設定 表 205. IKE ゲートウェイの一般設定(続) フィールド 内容 Generate [ 生成 ] する場合 • Certificate Name [ 証明書名 ] — 作成する証明書の名前を入力しま す。 • Common Name [ 共通名 ] — 共通名を入力します。これは、証明書 に表記される IP アドレスまたは FQDN です。 • Shared [ 共有 ] — この証明書を複数の仮想システムで共有する場合 にクリックします。 • Signed By [ 署名者 ] — Select External Authority (CSR) [ 外部認証局 (CSR)] を選択するか、ファイアウォールの IP アドレスを入力しま す。このエントリは、CA である必要があります。 • Certificate Authority [ 認証局 ] — ファイアウォールがルート CA の 場合にクリックします。 • OCSP Responder [OCSP レスポンダ ] — 証明書が有効かどうかを追 跡する OCSP を入力します。 • Algorithm [ アルゴリズム ] — 証明書の鍵を生成するために RSA ま たは Elliptic Curve DSA を選択します。 • Number of Bits [ ビット数 ] — 鍵のビット数として 512、1024、2048、 または 3072 を選択します。 • Digest [ ダイジェスト ] — ハッシュからの文字列を元に戻す方法と して、MD5、SHA1、SHA256、SHA384、または SHA512 を選択します。 • Expiration (days) [ 有効期限 ( 日 )] — 証明書が有効である日数を入 力します。 • Certificate Attributes [ 証明書の属性 ]Type [ タイプ ] — 必要に応じ て、証明書に追加で含める属性タイプをドロップダウンリストから 選択します。 • Value [ 値 ] — 属性の値を入力します。 HTTP 証明書の交換 ハッシュ & URL 方式を使用して証明書の取得場所をピアに通知する には、HTTP Certificate Exchange [HTTP 証明書の交換 ] をクリック し、Certificate URL [ 証明書 URL] を入力します。Certificate URL [ 証 明書 URL] は、証明書を保存したリモート サーバーの URL です。 ピアもハッシュ & URL をサポートしていることがわかった場合は、 SHA1 ハッシュ & URL 交換を通じて証明書が交換されます。 IKE 証明書ペイロードを受信すると、ピアは HTTP URL を参照し、そ のサーバーから証明書を取得します。ピアは、証明書ペイロードに指 定されたハッシュを使用して、HTTP サーバーからダウンロードした 証明書をチェックします。 ローカル ID ローカル ピアが証明書でどのように識別されるかを指定します。以下 のタイプから 1 つを選択し、値を入力します。Distinguished Name [ 識別名 ](件名)、FQDN(ホスト名)、IP address、または User FQDN (電子メールアドレス) ピア ID リモート ピアが証明書でどのように識別されるかを指定します。以下 のタイプから 1 つを選択し、値を入力します。Distinguished Name [ 識別名 ](件名)、FQDN(ホスト名)、IP address、または User FQDN (電子メールアドレス) ピア ID チェック Exact [ 完全 ] または Wildcard [ ワイルドカード ] を選択します。この 設定は、証明書の検証のために検査されるピア ID に適用されます。ピ ア ID の名前が domain.com であったと仮定します。Exact [ 完全 ] を 選択した場合、IKE ID ペイロードの証明書に指定されたピア ID が mail.domain2.com であったとすると、IKE ネゴシエーションは失敗し ます。しかし、Wildcard [ ワイルドカード ] を選択した場合、名前文 字列のワイルドカードアスタリスク(*)の前にある文字はすべて一致 する必要がありますが、* の後の文字は異なっていてもかまいません。 ピア ID と証明書ペイロー ド ID の不一致を許可する ピア ID が証明書ペイロードに一致しなくても IKE SA を正常に確立 できるように柔軟性を持たせる場合は、このオプションを選択します。 416 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto IPSec トンネルの設定 IKE ゲートウェイの定義 表 205. IKE ゲートウェイの一般設定(続) フィールド 内容 証明書プロファイル プロファイルを選択するか、新しい Certificate Profile [ 証明書プロ ファイル ] を作成します。このプロファイルにより、ローカル ゲート ウェイからピア ゲートウェイへと送信される証明書に適用される証 明書オプションが設定されます。 「証明書プロファイルの作成」を参照 してください。 ピアの拡張鍵使用の厳密な 検証を有効にする 鍵の使用方法を厳密に制御する場合は、このオプションを選択します。 IKE ゲートウェイのAdvanced Options [詳細オプション] タブ Network > Network Profiles > IKE Gateways [ࢿࢵࢺ࣮࣡ࢡ > ࢿࢵࢺ࣮࣡ࢡ ࣉࣟࣇࣝ > IKE ࢤ࣮ࢺ࢙࢘ ] IKE ゲートウェイの詳細な設定を行う場合は Network > Network Profiles > IKE Gateways [ ネット ワーク > ネットワークプロファイル > IKE ゲートウェイ ] を開きます。 表 206. IKE ゲートウェイの 詳細オプション フィールド 内容 パッシブ モードを有 効にする クリックすると、ファイアウォールは IKE 接続に応答するのみで、IKE 接続 を開始しなくなります。 NAT ト ラ バ ー サ ル を有効にする クリックすると、IKE および UDP プロトコルで UDP カプセル化が使用さ れ、中間 NAT デバイスを通過できるようになります。 IPSec VPN 端点の間のデバイスでネットワーク アドレス変換(NAT) が設定 されている場合は、NAT トラバーサルを有効にします。 IKEv1 タブ 交換モード auto [ 自動 ]、aggressive [ アグレッシブ ]、または main [ メイン ] を選択し ます。auto [ 自動 ] モード ( デフォルト ) の場合、デバイスは、main [ メ イン ] モードと aggressive [ アグレッシブ ] モードの両方のネゴシエーショ ン要求を受け入れることができますが、可能なときはいつでもネゴシエー ションを開始し、main [ メイン ] モードで鍵交換を行えます。ピア デバイス は同じ鍵交換モードで設定し、最初のデバイスから開始されたネゴシエー ション要求を受け入れられるようにする必要があります。 IKE 暗号化プロファ イル 既存のプロファイルを選択するか、デフォルト プロファイルを維持するか、 新しいプロファイルを作成します。IKEv1 と IKEv2 用に選択したプロファイ ルは異なる場合があります。 IKE 暗号化プロファイルの詳細は、 「IKE 暗号化プロファイルの定義」を参照 してください。 フラグメンテーショ ンを有効にする クリックすると、ローカル ゲートウェイが IKE フラグメント パケットを受 信できるようになります。最大フラグメント パケット サイズは 576 バイトで す。 デッドピア検出 クリックして有効にし、間隔 (2 ∼ 100 秒 ) と、再試行までの遅延時間 (2 ∼ 100 秒 ) を入力します。デッドピア検出 (DPD) は、非アクティブまたは使用 不能な IKE ピアを識別します。ピアが使用不能になった場合の失われたリ ソースの復元に役立ちます。 IKEv2 タブ IKE 暗号化プロファ イル 既存のプロファイルを選択するか、デフォルト プロファイルを維持するか、 新しいプロファイルを作成します。IKEv1 と IKEv2 用に選択したプロファイ ルは異なる場合があります。 IKE 暗号化プロファイルの詳細は、 「IKE 暗号化プロファイルの定義」を参照 してください。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バー IKE ゲートウェイの定義 IPSec トンネルの設定 表 206. IKE ゲートウェイの 詳細オプション(続) フィールド 内容 Cookie の厳密な検証 クリックすると、IKE ゲートウェイで Strict Cookie Validation [Cookie の厳 密な検証 ] が有効になります。 • Strict Cookie Validation [Cookie の厳密な検証 ] を有効にすると、IKEv2 Cookie が常に検証されるようになります。イニシエータは、Cookie を含 む IKE_SA_INIT を送信する必要があります。 • Strict Cookie Validation [Cookie の厳密な検証 ] を無効にすると ( デフォルト 設定 )、VPN セッションの設定であるグローバルな Cookie Activation Threshold [Cookie アクティベーションのしきい値 ] と照らして、 ハーフオー プン SA の数が確認されます。ハーフオープン SA の数が Cookie Activation Threshold [Cookie アクティベーションのしきい値 ] を超えた場合、イニシ エータは、Cookie を含む IKE_SA_INIT を送信する必要があります。 ライブネス チェック IKEv2 の Liveness Check [ ライブネス チェック ] は常にオンになっています。 す べての IKEv2 パケットは、ライブネス チェックのために使用されます。この ボックスをクリックすると、ピアがアイドル状態になって所定の秒数が経過し たときに、空の情報パケットが送信されます。範囲:2 ∼ 100 デフォルト:5。 必要な場合、IKEv2 パケットを送信しようとする側は、ライブネス チェック を最大 10 回試行します ( すべての IKEv2 パケットがリトランスミッション 設定に影響します )。応答が得られない場合、送信側は IKE_SA と CHILD_SA を閉じて削除します。送信側は、別の IKE_SA_INIT を送信して、もう一度 やり直します。 IKE ゲートウェイの再起動または更新 Network > IPSec Tunnels [ ࢿࢵࢺ࣮࣡ࢡ > IPSec ࢺࣥࢿࣝ ] トンネルのステータスを表示する場合は Network > IPSec Tunnels [ ネットワーク > IPSec トン ネル ] を開きます。2 番目の状態列には、IKE 情報へのリンクがあります。再起動または更新 するゲートウェイをクリックします。IKE Info [IKE 情報 ] ページが開きます。リストのエン トリのいずれかをクリックし、Restart [ 再起動 ] または Refresh [ 更新 ] をクリックします。 表 207. IKE ゲートウェイの再起動または更新 フィールド 内容 再起動 選択したゲートウェイを再起動します。再起動すると、トラフィックのトン ネル通過が中断されます。IKEv1 と IKEv2 の再起動の動作は、以下のように 異なります。 • IKEv1 — フェーズ 1 SA またはフェーズ 2 SA は、別々に再起動 ( クリア ) で き、その SA のみが影響を受けます。 • IKEv2 — IKEv2 SA を再起動すると、子 SA (IPSec トンネル ) がすべてクリ アされます。 – IKEv2 SA を再起動すると、基礎となる IPSec トンネルもすべてクリアさ れます。 – IKEv2 SA に関連付けられている IPSec トンネル (子 SA) を再起動しても、 その IKEv2 SA には影響が及びません。 更新 IKE SA の現在の状態を表示します。 418 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto IPSec トンネルの設定 IPSec トンネルのセットアップ IPSec トンネルのセットアップ Network > IPSec Tunnels [ ࢿࢵࢺ࣮࣡ࢡ > IPSec ࢺࣥࢿࣝ ] Network > IPSec Tunnels [ ネットワーク > IPSec トンネル ] を使用して、ファイアウォール間の IPSec VPN トンネルを設定および管理します。これは、IKE/IPSec VPN セットアップのフェー ズ 2 の部分です。 IPSec VPN トンネルを管理する方法については、以下を参照してください。 • 「IPSec VPN トンネルの管理」 IPSec トンネルを設定するには、以下の 2 つのタブを使用します。 • 「IPSec トンネルの General [ 全般 ] タブ」 • 「IPSec Tunnel Proxy IDs [IPSec トンネルの プロキシ ID] タブ」 IPSec トンネルの状態を表示する方法については、以下を参照してください。 • 「ファイアウォールの IPSec トンネル状態の表示」 IPSec トンネルを再起動または更新する方法については、以下を参照してください。 • 「IPSec トンネルの再起動または更新」 IPSec VPN トンネルの管理 Network > IPSec Tunnels [ ࢿࢵࢺ࣮࣡ࢡ > IPSec ࢺࣥࢿࣝ ] 以下の表は、IPSec VPN トンネルの管理方法を示しています。 表 208. IPSec VPN トンネルの管理 フィールド 内容 追加 新しい IPSec VPN トンネルを作成するには、Add [ 追加 ] をクリックします。新し いトンネルの設定手順については、 「IPSec トンネルの General [ 全般 ] タブ」を参 照してください。 削除 トンネルを削除するには、トンネルを選択して Delete [ 削除 ] をクリックします。 有効化 無効になっているトンネルを有効にするには、トンネルを選択して Enable [ 有効化 ] をクリックします。デフォルト設定では、トンネルは有効になっています。 無効化 トンネルを無効にするには、 トンネルを選択して Disable [無効化] をクリックします。 IPSec トンネルの General [ 全般 ] タブ 表 209. IPSec トンネルの General [ 全般 ] タブ設定 フィールド 内容 名前 トンネルを識別する Name [ 名前 ] を入力します ( 最大 63 文字 )。名前の大文字と 小文字は区別されます。また、一意の名前にする必要があります。文字、数字、ス ペース、ハイフン、およびアンダースコアのみを使用してください。 このフィールドの制限文字数の 63 文字には、プロキシ ID およびトンネル名が含ま れ、コロンで区切られています。 トンネル イン ターフェイス 既存のトンネル インターフェイスを選択するか、New Tunnel Interface [ 新規トン ネル インターフェイス ] をクリックします。トンネル インターフェイスの作成の 詳細は、「トンネル インターフェイスの設定」を参照してください。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バー IPSec トンネルのセットアップ IPSec トンネルの設定 表 209. IPSec トンネルの General [ 全般 ] タブ設定(続) フィールド 内容 IPv4 / IPv6 IPv4 または IPv6 を選択し、トンネルのエンドポイントの IP アドレス タイプを設 定します。 タイプ 自動的に生成されるセキュリティ キーを使用するのか、手動で入力するセキュリ ティ キーを使用するのかを選択します。Auto key [ 自動キー ] を使用することをお 勧めします。 自動キー Auto Key [ 自動キー ] を選択する場合、以下の内容を指定します。 • IKE Gateway [IKE ゲートウェイ ] — IKE ゲートウェイの設定の詳細は、 「IKE ゲー トウェイの定義」を参照してください。 • IPSec Crypto Profile [IPSec 暗号化プロファイル] — 既存のプロファイルを選択す るか、デフォルトのプロファイルを使用します。新しいプロファイルを定義する には、New [ 新規 ] をクリックして「IPSec 暗号化プロファイルの定義」の手順を 実行します。 • Show Advanced Options [ 詳細オプションの表示 ] をクリックすると、残りの フィールドにアクセスできます。 • Enable Replay Protection [ リプレイ プロテクションを有効にする ] — リプレイ 攻撃から保護するには、このオプションを選択します。 • Copy TOS Header [TOS ヘッダーのコピー ] — 元の TOS 情報を保持するため、カ プセル化されたパケットの内部 IP ヘッダーから外部 IP ヘッダーに TOS (Type of Service) フ ィ ールドをコピーします。このオプションでは、ECN (Explicit Congestion Notification) フィールドもコピーされます。 • Tunnel Monitor [ トンネル モニター ] — デバイス管理者にトンネルの障害につい てアラートを送信し、別のインターフェイスへの自動フェイルオーバーを実行す るには、このオプションを選択します。モニタニングする場合は、トンネル イン ターフェイスに IP アドレスを割り当てる必要があります。 – Destination IP [ 宛先 IP]— トンネルが正常に動作しているかどうかを判別する ためにトンネル モニターが使用する、トンネルの反対側の IP アドレスを指定 します。 – Profile [ プロファイル ] — トンネルで障害が発生した場合に実行されるアク ションを決める、既存のプロファイルを選択します。モニター プロファイルに 指定されたアクションが待機 / 回復の場合、ファイアウォールは、トンネルが 機能するようになるまで待機し、ルート テーブルで代替パスを探すことはしま せん。フェイルオーバー アクションを使用する場合、ファイアウォールはルー ト テーブルを調べ、宛先に到達するために使用できる代替ルートがないか確認 します。詳細は、「モニター プロファイルの定義」を参照してください。 手動キー Manual Key [ 手動キー ] を選択する場合、以下の内容を指定します。 • Local SPI [ ローカル SPI] — ローカル ファイアウォールからピアへのパケット ト ラバーサルのローカル セキュリティ パラメータ インデックス (SPI) を指定しま す。SPI は、IPSec トラフィック フローの区別を支援するために IPSec トンネルの ヘッダーに追加されている 16 進インデックスです。 • Interface [ インターフェイス ] — トンネルの終端であるインターフェイスを選択 します。 • Local Address [ ローカル アドレス ] — トンネルの終端となるローカル インター フェイスの IP アドレスを選択します。 • Remote SPI [ リモート SPI] — リモート ファイアウォールからピアへのパケットト ラバーサルのリモート セキュリティ パラメータ インデックス (SPI) を指定します。 • Protocol [ プロトコル ] — トンネルを経由するトラフィックのプロトコルを選択 します (ESP または AH)。 • Authentication [ 認証 ] — トンネル アクセスの認証タイプを選択します (SHA1、 SHA256、SHA384、SHA512、MD5、または なし )。 • Key/Confirm Key [ キー / 確認キー ] — 認証鍵を入力して確認します。 • Encryption [ 暗号化 ] — トンネル トラフィックの暗号化オプションを 3des、aes128-cbc、aes-192-cbc、aes-256-cbc、des、または null [ 暗号化なし ] の中から 選択します。 • Key/Confirm Key [ キー / 確認キー ] — 暗号化鍵を入力して確認します。 420 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto IPSec トンネルの設定 IPSec トンネルのセットアップ 表 209. IPSec トンネルの General [ 全般 ] タブ設定(続) フィールド 内容 GlobalProtect サテライト GlobalProtect Satellite [GlobalProtect サテライト ] を選択する場合は、以下の設定 項目を指定します。 • Name [ 名前 ] — トンネルを識別する名前を入力します ( 最大 31 文字 )。名前の大 文字と小文字は区別されます。また、一意の名前にする必要があります。文字、 数字、スペース、ハイフン、およびアンダースコアのみを使用してください。 • Tunnel Interface [ トンネル インターフェイス ] — 既存のトンネル インターフェ イスを選択するか、New Tunnel Interface [ 新規トンネル インターフェイス ] を クリックします。 • Portal Address [ ポータルアドレス ] — GlobalProtect™ ポータルの IP アドレスを 入力します。 • Interface [ インターフェイス ] — ドロップダウンリストから、GlobalProtect ポー タルに到達するための出力インターフェイスを選択します。 • Local IP Address [ ローカル IP アドレス ] — GlobalProtect ポータルに接続する出 力インターフェイスの IP アドレスを入力します。 詳細オプション • Publish all static and connected routes to Gateway [ 静的なすべての接続済み ルートをゲートウェイに公開 ] — サテライトが接続されている GlobalProtect ゲートウェイにすべてのルートを公開する場合は、このオプションを選択します。 • Subnet [ サブネット ] — Add [ 追加 ] をクリックして、サテライトの場所のローカ ル サブネットを手動で追加します。他のサテライトが同じサブネット情報を使用 している場合は、すべてのトラフィックをそのトンネル インターフェイス IP に NAT を行う必要があります。また、この場合はサテライトがルートを共有するこ とはできないため、すべてのルーティングはトンネル IP を介して行われます。 • External Certificate Authority [ 外部認証局 ] — 外部 CA を使用して証明書を管理 する場合は、このオプションを選択します。証明書を生成した後は、それらの証 明書をサテライトにインポートし、Local Certificate [ ローカル証明書 ] および Certificate Profile [ 証明書プロファイル ] の選択が必要になります。 IPSec Tunnel Proxy IDs [IPSec トンネルの プロキシ ID] タブ IPSec Tunnel Proxy IDs [IPSec トンネルの プロキシ ID] は、以下の 2 つのタブに分かれていま す。IPv4 および IPv6 どちらのタイプもヘルプは同様の内容です。IPv4 と IPv6 の違いは、以 下の表の Local [ ローカル ] フィールドと Remote [ リモート ] フィールドに示されています。 IPSec Tunnel Proxy IDs [IPSec トンネルの プロキシ ID] タブは、IKEv2 のトラフィック セレク タを指定する場合にも使用されます。 表 210. IPSec トンネルのプロキシ ID の IPv4 タブと IPv6 タブの設定 フィールド 内容 プロキシ ID Add [ 追加 ] をクリックし、プロキシを識別する名前を入力します。 IKEv2 トラフィック セレクタの場合、このフィールドは名前として使用されます。 ローカル IPv4 の場合:x.x.x.x/mask の形式 ( たとえば、10.1.2.0/24) で IP アドレスまたはサブ ネットを入力します。 IPv6 の場合:IP アドレスとプレフィックス長を xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx/ prefix-length 形式で入力します ( つまり、IPv6 の規則に従い、たとえば、2001:DB8:0::/ 48 のように入力します )。 IPv6 アドレッシングでは、すべてのゼロを記述する必要はありません。先行するゼ ロは省略でき、連続するゼロの 1 つのグループは隣り合う 2 つのコロン (::) で置き換 えることができます。 IKEv2 トラフィック セレクタの場合、このフィールドは送信元 IP アドレスに変換さ れます。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バー IPSec トンネルのセットアップ IPSec トンネルの設定 表 210. IPSec トンネルのプロキシ ID の IPv4 タブと IPv6 タブの設定(続) フィールド 内容 リモート ピアで必要な場合は、以下のようにします。 IPv4 の場合:IP アドレスまたはサブネットを x.x.x.x/mask 形式で入力します ( たと えば、10.1.1.0/24 のように入力します )。 IPv6 の場合は、IP アドレスとプレフィックス長を xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx/ prefix-length 形式で入力します ( つまり、IPv6 の規則に従い、たとえば、2001:DB8:55::/ 48 のように入力します )。 IKEv2 トラフィック セレクタの場合、このフィールドは宛先 IP アドレスに変換され ます。 プロトコル ローカルおよびリモート ポートのプロトコルとポート番号を指定します。 • Number [ 番号 ] — プロトコル番号 ( サードパーティ デバイスとの相互運用性を実 現するために使用 ) を指定します。 • Any — TCP や UDP トラフィックを許可します。 • TCP — ローカルおよびリモートの TCP ポート番号を指定します。 • UDP — ローカルおよびリモートの UDP ポート番号を指定します。 設定された各プロキシ ID は、ファイアウォールの IPSec VPN トンネル容量に影響 しません。 このフィールドは、IKEv2 トラフィック セレクタとしても使用されます。 ファイアウォールの IPSec トンネル状態の表示 Network > IPSec Tunnels [ ࢿࢵࢺ࣮࣡ࢡ > IPSec ࢺࣥࢿࣝ ] 現在定義されている IPSec VPN トンネルの状態を表示するには、IPSec Tunnels [IPSec トンネ ル ] ページを開きます。このページには、以下の状態情報が表示されます。 • Tunnel Status (first status column) [ トンネルの状態 ( 最初の [ 状態 ] 列 )] — 緑は、IPSec フェーズ 2 セキュリティ アソシエーション (SA) トンネルを表します。赤は、IPSec フェー ズ 2 SA が使用できないか、有効期限が切れていることを表します。 • IKE Gateway Status [IKE ゲートウェイの状態 ] — 緑は、IKE フェーズ 1 SA または IKEv2 IKE SA が有効であることを表します。赤は、IKE フェーズ 1 SA が使用できないか、有効 期限が切れていることを表します。 • Tunnel Interface Status [ トンネル インターフェイスの状態 ] — 緑は、( トンネル モニ ターが無効であるか、またはトンネル モニターの状態がアップで、モニタリング IP アド レスにアクセス可能であるため ) トンネル インターフェイスがアップしていることを表 します。赤は、トンネル モニターが有効で、リモート トンネル モニタリング IP アドレ スがアクセス不可であるために、トンネル インターフェイスがダウンしていることを表 します。 IPSec トンネルの再起動または更新 Network > IPSec Tunnels [ ࢿࢵࢺ࣮࣡ࢡ > IPSec ࢺࣥࢿࣝ ] トンネルのステータスを表示する場合は Network > IPSec Tunnels [ ネットワーク > IPSec トン ネル ] を開きます。最初の Status [ 状態 ] 列には、トンネル情報 へのリンクがあります。再起 動または更新するトンネルをクリックし、Tunnel Info [ トンネル情報 ] を開きます。リストの エントリのいずれかをクリックし、Restart [ 再起動 ] または Refresh [ 更新 ] をクリックします。 422 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto IPSec トンネルの設定 IKE 暗号化プロファイルの定義 表 211. IPSec トンネルの再起動または更新 フィールド 内容 再起動 選択したトンネルを再起動します。再起動すると、トラフィックのトンネル 通過が中断されます。 更新 IPSec SA の現在の状態を表示します。 IKE 暗号化プロファイルの定義 Network > Network Profiles > IKE Crypto [ ネットワーク > ネットワーク プロファイル > IKE 暗号 ] IKE Crypto Profiles [IKE 暗号化プロファイル ] ページを使用して、識別、認証、および暗号化 のプロトコルとアルゴリズムを指定します (IKEv1 または IKEv2、フェーズ 1)。 アルゴリズムまたはグループのリスト順序を変更する場合は、項目を選択して、Move Up [ 上 へ ] または Move Down [ 下へ ] をクリックします。この順序によって、リモート ピアと設定を ネゴシエートするときに最初に選択される設定が決まります。リストの 1 番上にある設定か ら試行され、成功するまでその下にある設定が順次試行されていきます。 表 212. IKE 暗号化プロファイル設定 フィールド 内容 名前 プロファイルの名前を入力します。 DH グループ DH (Diffie-Hellman) グループの優先度を選択します。Add [ 追加 ] をクリックして グループを選択します。group1、group2、group5、group14、group19、または group20。セキュリティを最大限に高めるため、項目を選択し、Move Up [ 上へ ] ま たは Move Down [ 下へ ] をクリックして、識別子の数値がより大きいグループがリ ストの上位に表示されるように移動します。たとえば、group14 を group2 よりも 上に移動します。 認証 ハッシュ アルゴリズムの優先度を指定します。Add [ 追加 ] をクリックしてアルゴ リズムを選択します。セキュリティを最大限に高めるため、項目を選択して Move Up [ 上へ ] アイコンまたは Move Down [ 下へ ] アイコンをクリックし、以下のよう に順序が降順になるように変更します。sha512、sha384、sha256、sha1、md5。 暗号化 適切な Encapsulating Security Payload(ESP)認証グループを選択します。Add [ 追加 ] をクリックしてアルゴリズムを選択します。セキュリティを最大限に高め るため、項目を選択して Move Up [ 上へ ] アイコンまたは Move Down [ 下へ ] アイ コンをクリックし、以下のように順序が降順になるように変更します。 aes-256-cbc、aes-192-cbc、aes-128-cbc、3des、des。 キーの有効期 間 時間の単位を選択し、ネゴシエートされた IKE フェーズ 1 キーの有効期間(デフォ ルトは 8 時間)を選択します。 • IKEv2 — キーの有効期間が切れる前に、SA のキーを再生成する必要があります。 そうしないと、有効期限が切れたときに、SA は新しいフェーズ 1 キーネゴシエー ションを開始する必要があります。 • IKEv1 — 有効期限が切れないうちに前もってフェーズ 1 キーを再生成すること はありません。IKEv1 IPSec SA の有効期限が切れてはじめて、IKEv1 フェーズ 1 キー再生成が起動されます。 IKEv2 多重認証 認証カウントを決定するために、キーの有効期間で乗算される値を指定します (0 ∼ 50 の範囲、デフォルト設定は 0)。認証カウントは、ゲートウェイが IKEv2 IKE SA キー再生成を実行できる回数で、この回数だけ実行した後は、IKEv2 再認証をやり 直す必要があります。値として 0 を指定すると、再認証機能が無効になります。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バー IPSec 暗号化プロファイルの定義 IPSec トンネルの設定 IPSec 暗号化プロファイルの定義 Network > Network Profiles > IPSec Crypto [ネットワーク > ネットワーク プロファイル > IPSec 暗号 ] IPSec SA ネゴシエーション ( フェーズ 2) に基づいて、VPN トンネルでの認証および暗号化の プロトコルとアルゴリズムを指定する場合は、Network > Network Profiles > IPSec Crypto [ ネッ トワーク > ネットワークプロファイル > IPSec 暗号化 ] ページを使用します。 GlobalProtect ゲートウェイとクライアント間の VPN トンネルについては、 「GlobalProtect の IPSec 暗号化プロファイルの定義」を参照してください。 表 213. IPSec 暗号化プロファイル設定 フィールド 内容 名前 プロファイルを識別する Name [ 名前 ] を入力します ( 最大 31 文字 )。名前の大文 字と小文字は区別されます。また、一意の名前にする必要があります。文字、数字、 スペース、ハイフン、およびアンダースコアのみを使用してください。 IPSec プ ロ ト コル VPN トンネルを横断するデータを保護するためのプロトコルを選択します。 • ESP — Encapsulating Security Payload (ESP) プロトコルは、データの暗号化、ソー スの認証、およびデータ整合性の検証を行います。 • AH — Authentication Header (AH) プロトコルは、ソースの認証とデータ整合性の 検証を行います。 暗号化 (ESPプ ロトコルのみ) Add [ 追加 ] をクリックし、目的の暗号化アルゴリズムを選択します。セキュリティ を最大限に高めるため、Move Up [ 上へ ] アイコンまたは Move Down [ 下へ ] アイ コンをクリックし、以下のように順序が降順になるよう変更します。aes-256-gcm、 aes-256-cbc、aes-192-cbc、aes-128-gcm、aes-128-ccm (VM-Series ファイアウォー ルはこのオプションをサポートしていません)、aes-128-cbc、3des、および desnull ( 暗号化なし ) を選択することもできます。 認証 Add [ 追加 ] をクリックし、目的の認証アルゴリズムを選択します。セキュリティ を最大限に高めるため、Move Up [ 上へ ] アイコンまたは Move Down [ 下へ ] アイ コンをクリックし、以下のように順序が降順になるよう変更します。sha512、 sha384、sha256、sha1、md5。IPSec Protocol [IPSec プロトコル ] が ESP の場合 は、none [ なし ] ( 認証なし ) を選択することもできます。 DH グループ IKE(Internet Key Exchange)用の DH(Diffie-Hellman)グループを選択します。 group1、group2、group5、group14、group19、または group20。セキュリティを 最も強化するには、数値が最も大きいグループを選択します。IKE フェーズ 1 で ファイアウォールが作成する鍵を更新しない場合は、no-pfs (no perfect forward secrecy) を選択します。ファイアウォールは、IPSec セキュリティ アソシエーショ ン (SA) ネゴシエーションで現在の鍵を再利用します。 有効期間 単位を選択し、ネゴシエートされた鍵の有効期間を入力します ( デフォルト設定は 1 時間 )。 ライフサイズ 任意の単位を選択し、鍵が暗号化に使用できるデータ サイズを入力します。 424 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto IPSec トンネルの設定 GlobalProtect の IPSec 暗号化プロファイルの定義 GlobalProtect の IPSec 暗号化プロファイルの定義 Network > Network Profiles > GlobalProtect IPSec Crypto [ ネットワーク > ネットワー ク プロファイル ]> GlobalProtect の IPSec 暗号 ] GlobalProtect IPSec Crypto Profiles [GlobalProtect の IPSec 暗号化プロファイル ] ページを使用 して、GlobalProtect ゲートウェイとクライアント間の VPN トンネルで認証および暗号化を 行うためのアルゴリズムを指定します。アルゴリズムを追加する順序は、ファイアウォール がアルゴリズムを適用する順序であり、トンネルのセキュリティとパフォーマンスに影響す る場合があります。この順番を変更する場合は、テンプレートを選択して Move Up [ 上へ ] ま たは Move Down [ 下へ ] をクリックします。 GlobalProtect ゲートウェイとサテライト(ファイアウォール)間の VPN ト ンネルについては、「IPSec 暗号化プロファイルの定義」を参照してくださ い。 表 214. GlobalProtect の IPSec 暗号化プロファイル設定 フィールド 内容 名前 プロファイルの識別に使用する名前を入力します。名前は大文字小文字を区別し、 一意の名前にする必要があります。最大 31 文字を使用できます。文字、数字、ス ペース、ハイフン、およびアンダースコアのみを使用してください。 暗号化 Add [ 追加 ] をクリックし、目的の暗号化アルゴリズムを選択します。セキュリティ を最大限に高めるため、降順で順序を以下のように変更します。aes-256-gcm、 aes-128-gcm、aes-128-cbc 認証 Add [ 追加 ] をクリックし、認証アルゴリズムを選択します。現在のオプションは、 sha1 のみです。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バー GlobalProtect の IPSec 暗号化プロファイルの定義 IPSec トンネルの設定 426 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto 第9章 GlobalProtect の設定 • 「GlobalProtect ポータルのセットアップ」 • 「GlobalProtect ゲートウェイのセットアップ」 • 「Mobile Security Manager へのゲートウェイ アクセスを設定する」 • 「デバイスブロックリストの作成」 • 「HIP オブジェクトおよびプロファイルのセットアップ」 • 「GlobalProtect エージェントのセットアップとアクティベーション」 GlobalProtect ポータルのセットアップ Network > GlobalProtect > Portals [ ࢿࢵࢺ࣮࣡ࢡ > GlobalProtect > ࣏࣮ࢱࣝ ] GlobalProtect™ ポータルの設定と管理を行う場合は Network > GlobalProtect > Portals [ ネットワーク > GlobalProtect > ポータル ] を選択します。このポータルは、GlobalProtect インフラストラクチャの管理機 能を提供します。GlobalProtect ネットワークに参加するすべてのクライアント システムは、ポータルから 設定内容を受信します。これには、使用可能なゲートウェイ、ゲートウェイへの接続に必要になる可能性 のあるクライアント証明書などに関する情報が含まれます。ポータルは更に、Mac および Windows のノー トパソコン用の GlobalProtect エージェントソフトウェアの動作と配布を制御しています。 (モバイルデバ イス用の GlobalProtect のアプリケーションは、 iOS デバイスの場合は Apple App ストアを通じて、 Android デバイスの場合は Google Play を通じて配布されています。また Chromebook の場合は Chromebook Management Console または Google Play を通じて配布されています。 ) ポータル設定を追加するには、Add [ 追加 ] をクリックして GlobalProtect Portal [GlobalProtect ポータル ] ダイアログを開きます。 探している情報 以下を参照 GlobalProtect ポータル用に設定する必要 がある一般設定 ࠕGeneral [ ⯡ ] ࢱࣈࠖ ポータル設定に認証プロファイルを割り当 てる方法 ࠕAuthentication Configuration [ ㄆドタᐃ ] ࢱࣈࠖ 設定可能なクライアント認証のオプション ࠕAuthentication [ ㄆド ] ࢱࣈࠖ オペレーティングシステム、ユーザー、お ࠕUser/User Group [࣮ࣘࢨ࣮/࣮ࣘࢨ࣮ࢢ࣮ࣝࣉ] ࢱࣈࠖ よび(または)ユーザーグループを指定し、 特定のデバイスグループに対して設定を割 り当てる方法 内部および外部ゲートウェイの設定と優先 度を変更する方法 © Palo Alto Networks, Inc. ࠕGateways [ ࢤ࣮ࢺ࢙࢘ ] ࢱࣈࠖ Web インターフェイス リファレンス ガイド、バージョン 7.1 • 427 GlobalProtect ポータルのセットアップ GlobalProtect の設定 探している情報 以下を参照 異なるタイプのユーザー用に個別のクライ アント設定を作成する方法 ࠕAgent Configuration [ ࢚࣮ࢪ࢙ࣥࢺタᐃ ] ࢱࣈࠖ GlobalProtect エージェントの表示設定と 動作設定のうちカスタマイズ可能な項目 ࠕApp [ ࣉࣜ ] ࢱࣈࠖ データ収集オプションの設定方法 ࠕData Collection [ ࢹ࣮ࢱ㞟 ] ࢱࣈࠖ サテライトとして動作するファイアウォー ルまで VPN 接続を延長する方法 ࠕSatellite Configuration [ ࢧࢸࣛࢺタᐃ ] ࢱࣈࠖ その他の情報をお探しですか? ポータルのセットアップ手順の詳細は、GlobalProtect 管理者ガ イドの『GlobalProtect ポータルの設定方法』を参照してくだ さい。 General [ 全般 ] タブ エージェントまたはアプリが GlobalProtect ポータルへ接続する際に使用するネットワーク設定を定義す る場合は Network > GlobalProtect > Portals > <GlobalProtect-portal-config> > General [ ネットワーク > GlobalProtect > ポータル > 「GlobalProtect-portal-config」> 一般設定 ] を選択してください。また、必要 に応じて GlobalProtect のログインページを無効化したり、カスタムポータルログインやヘルプページを 指 定 す る こ と が で き ま す。カ ス タ ム ペ ー ジ を 作 成 お よ び イ ン ポ ー ト す る 方 法 の 詳 細 に つ い て は、 『GlobalProtect 管理者ガイド』の「ポータルログインページ、ウェルカムページ、ヘルプページのカスタ マイズ」を参照してください。 表 215. GlobalProtect ポータルの設定 フィールド 内容 名前 ポータルの名前を入力します(最大 31 文字 )。名前の大文字と小文字は区別され ます。また、一意の名前にする必要があります。文字、数字、スペース、ハイフ ン、およびアンダースコアのみを使用してください。 場所 マルチ仮想システムモードになっているファイアウォールの場合、Location [ 場所 ] は GlobalProtect ポータルを使用できる仮想システム(vsys)になります。マルチ vsys モードに設定されていないファイアウォールの場合、Location [ 場所 ] は選択 できません。ポータルを保存すると、その Location [ 場所 ] を変更できなくなり ます。 Network Settings [ ネットワーク設定 ] インターフェイス リモートクライアントおよびファイアウォールからの通信の入り口となるファイ アウォールインターフェイスの名前を選択します。 IP アドレス GlobalProtect ポータル Web サービスが稼動される IP アドレスを指定します。 Appearance [ 表示設定 ] ログインページの無効化 Web ブラウザから GlobalProtect ポータルのログイン ページへのアクセスを無効 にする場合は、このオプションを選択します。 カスタム ログイン ペー (任意)ユーザーがポータルへのアクセスに使用する、カスタムログインページを ジ 選択します。 カスタム ヘルプ ページ (任意)GlobalProtect を使用するユーザーの補助を行うカスタムヘルプページを 選択します。 428 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. GlobalProtect の設定 GlobalProtect ポータルのセットアップ Authentication Configuration [ 認証設定 ] タブ 様々なタイプの GlobalProtect を設定する場合は、Network > GlobalProtect > Portals > <GlobalProtect-portalconfig> > Authentication [ ネットワーク > GlobalProtect > ポータル > 「GlobalProtect-portal-config」> 認証 ] を開きます。 • ポータルおよびサーバーが認証に使用する SSL/TLS サービスプロファイルです。サービスプロファイ ルは認証のその他の設定から独立しています。 • 第一にユーザーエンドポイントのオペレーティングシステムに、次に任意で設定された認証プロファ イルに基づく、固有の認証スキームです。 • (任意)GlobalProtect において、ユーザー認証用に特定の証明書プロファイルを使用できるようにす る Certificate Profile [ 証明書プロファイル ] です。クライアントが提示する証明書は証明書プロファイ ルと一致している必要があります(セキュリティスキームの一部としてクライアントの証明書が設定 されている場合)。 表 216. GlobalProtect ポータルの認証設定 フィールド Server Authentication [ サーバー認証 ] 内容 SSL/TLS サービスプロ ファイル 既存の SSL/TLS サービスプロファイルを選択します。このプロファイルでは、管 理インターフェイスのトラフィックの安全を確保するために使用する証明書と、 使用を許可するプロトコルを指定します。プロファイルに関連付けられている証 明書の Common Name (CN) [ コモンネーム (CN)] フィールドと、該当する場 合は、Subject Alternative Name (SAN) [ サブジェクト代替名 (SAN)] フィール ドが、General [ 一般設定 ] タブで選択した Interface [ インターフェイス ] の IP ア ドレスまたは完全修飾ドメイン名(FQDN)と一致する必要があります。 GlobalProtect の VPN 設定では、信頼できるサードパーティ CA の証明書または 内部のエンタープライズ CA が生成した証明書に関連付けられているプロファイ ルを使用することをお勧めします。 Client Authentication [ クライアントの認 証] Add [ 追加 ] をクリックして、新しいクライアント認証設定を作成します。 名前 このクライアント認証設定を識別する名前を入力します。 (クライアント認証設定 は SSL/TLS サービスプロファイルからは独立しています) 複数のクライアント認証設定を作成し、主にオペレーティングシステム毎に違い を付け、さらに固有の認証プロファイル毎に分化させていくことが可能です(同 じ OS の場合)。例えば、それぞれのオペレーティングシステムごとにクライアン ト認証設定を追加し、更に同じ OS の場合でも固有の認証プロファイルをもつも のに対し、異なる設定を付加することが可能です。 (これらのプロファイルは、一 番細かいものから最も適用範囲が広いものの順に、手動で並べ替えを行う必要が あります。)例えば、すべてのユーザーとすべての OS という設定が最も適用範囲 が広いものになります。 GlobalProtect が pre-logon [ ログオン前 ] モード(ユーザーがシステムにログオン する前)のエージェントに適用する設定、または任意のユーザーに適用する設定 を作成することもできます。 (Pre-logon では、ユーザーが GlobalProtect にログイ ンする前に、GlobalProtect ゲートウェイに向けた VPN トンネルを確立します) © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 429 GlobalProtect ポータルのセットアップ GlobalProtect の設定 表 216. GlobalProtect ポータルの認証設定(続) フィールド 内容 OS エンドポイントのオペレーティングシステム(OS)固有のクライアント認証プロ ファイルを適用する場合は、OS を Add [ 追加 ] します(Android、Chrome、iOS、 Mac、または Windows)。OS は設定同士を第一に区別するものです。 (区別の詳細 については Authentication Profile [ 認証プロファイル ] を参照してください) Browser [ ブラウザ ] および Satellite [ サテライト ] の追加オプションでは、特定 のシナリオ用の認証プロファイルを指定することができます。GlobalProtect エー ジェントをダウンロードするために、Web ブラウザからポータルにアクセスする ユーザーを認証する際に使用する認証プロファイルを指定する場合は Browser [ ブラウザ ] を選択します(Windows および Mac)。サテライト(LSVPN)の認 証時に使用する認証プロファイルを指定する場合は Satellite [ サテライト ] を選択 します。 認証プロファイル OS によるクライアント認証設定の区別に加え、認証プロファイルを設定すること で更に区分していくことが可能です。 (New Authentication Profile [ 新規認証プロ ファイル ] を作成するか、既存のものを選択することができます。)1 つの OS に 対し複数の認証オプションを設定したい場合は、複数のクライアント認証プロ ファイルを作成することができます。 注:Gateways [ ゲートウェイ ] に LSVPN を設定する場合、ここで認証プロファイ ルを選択しない限り、その設定を保存することができません。また、サテライト の認証にシリアル番号を使用しようとしている場合、ファイアウォールのシリア ル番号が見つからない場合や、検証が行えなかったときのために、ポータル認証 プロファイルを設定しておく必要があります。 また、「認証プロファイルのセットアップ」も参照してください。 認証メッセージ ログインに必要な認証情報のタイプをエンドユーザーに伝えるメッセージを入力 するか、デフォルトのメッセージのままにしておいてください。メッセージの最 大文字数は 100 文字です。 Certificate Profile [ 証明書プロファイル ] 証明書プロファイル (任意) ユーザーのエンドポイントから受信するクライアント証明書を照合する際に ポータルが使用する Certificate Profile [ 証明書プロファイル ] 選択します。証明書 プロファイルを使用すると、ユーザーはクライアントの証明書がこのプロファイ ルと一致する場合にのみ認証を行うことができます。 証明書プロファイルは OS の種類に依存しません。またこのプロファイルは、認 証プロファイルをオーバーライドし、暗号化された Cookie を使用した認証を可能 にする、「認証のオーバーライド」を有効化した場合もアクティブなままです。 Agent Configuration [ エージェント設定 ] タブ エージェント設定を定義する場合は Network > GlobalProtect > Portals > <GlobalProtect-portal-config> > Agent [ ネットワーク > GlobalProtect > ポータル > 「GlobalProtect-portal-config」> エージェント ] を開き ます。GlobalProtect ポータルは、まず接続が確立されてからデバイスへ設定を適用します。 ポータルは、信頼されたルート認証局(CA)証明書や中間証明書を自動的に適用するよう設定すること も可能です。GlobalProtect ゲートウェイや GlobalProtect モバイルセキュリティマネージャーが使用して いるサーバー証明書をエンドポイントが信頼しない場合、エンドポイントがゲートウェイやモバイルセ キュリティマネージャーに向けた HTTPS 接続を確立する際にこれらの証明書が必要になります。ポータ ルはここに指定した証明書を、クライアント設定と共にクライアントへプッシュします。 信頼できるルート認証局証明書を追加する場合は、既存の証明書を Add [ 追加 ] するか、新しく Import [ イ ンポート ] してください。SSL フォワードプロキシの復号化に必要な信頼できるルート認証局証明書を(表 示することなく)クライアントの証明書ストアにインストールする場合は、Install in Local Root Certificate Store [ ローカルのルート証明書ストアにインストール ] を選択します。 異なるタイプのユーザーごとに異なる設定が必要な場合は、それぞれに対して別個にエージェント設定を 作成し、その設定をサポートすることができます。ポータルはその後、ユーザー名 / グループ名やクライ アントの OS により、適用するエージェント設定を判別します。セキュリティルール評価によって、ポー タルはリストの先頭から一致する項目を検索します。一致項目を発見すると、ポータルは対応する設定を エージェント / アプリケーションに配信します。そのため、複数のエージェント設定がある場合、設定を 具体的なもの(つまり、特定のユーザーまたは特定のオペレーティングシステム用の設定)から汎用的な ものへと並べることが重要です。設定の並び替えには、Move Up [ 上へ ] および Move Down [ 下へ ] を使用 430 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. GlobalProtect の設定 GlobalProtect ポータルのセットアップ します。必要に応じて新しいエージェント設定を Add [ 追加 ] してください。ポータル設定とエージェン ト設定の作成の詳細については、GlobalProtect 管理者ガイドにある「GlobalProtect ポータルの設定」を 参照してください。新しいエージェント設定を Add [ 追加 ] した場合や、既存のものを編集した場合はエー ジェントの Configs [ 設定 ] ダイアログが開き、以下の表に記載されている 5 つのタブが表示されます。 • 「Authentication [ 認証 ] タブ」 • 「User/User Group [ ユーザー / ユーザーグループ ] タブ」 • 「Gateways [ ゲートウェイ ] タブ」 • 「App [ アプリ ] タブ」 • 「Data Collection [ データ収集 ] タブ」 Authentication [ 認証 ] タブ エージェント設定に適用される認証設定を編集する場合は、Network > GlobalProtect > Portals > <GlobalProtect-portal-config> > Agent > <agent-config> > Authentication [ ネットワーク > GlobalProtect > ポータル > 「GlobalProtect-portal-config」> エージェント > 「agent-config」> 認証 ] を開きます。 表 217. GlobalProtect ポータルのクライアント認証設定 フィールド 内容 Authentication [ 認証 ] タブ 名前 クライアント証明書 このクライアント認証の設定に付ける分かりやすい名前を入力してください。 (任意)クライアントへクライアント証明書を配信する送信元を選択すると、その 送信元が証明書をゲートウェイに提示するようになります。相互 SSL 認証を設定 する場合はクライアント証明書が必要となります。 ポータルクライアント設定の pre-logon で SCEP が設定されている場合、ポータ ルはマシン証明書を生成し、その証明書はゲートウェイの認証や接続に使用する システム証明書ストアに保存されます。 SCEP を通じて PKI が生成した証明書を使用する代わりにファイアウォールの Local [ローカル ] な証明書を使用する場合は、ファイアウォールに既にアップロー ド済みの証明書を選択してください。 内部 CA を使用して証明書をクライアントに配布する場合、None [ なし ] を選択し ます(デフォルト)。None [ なし ] を選択した場合、ポータルはクライアントに対 し証明書をプッシュしません。 ユーザー認証情報の保存 エージェント上にユーザー名およびパスワードを保存する場合は Yes [ はい ] を選 択し、接続の都度、手動入力あるいはクライアントを通じて表示を行わずにパス ワードの提供を求める場合は No [ いいえ ] を選択します。ユーザーの接続時に、 ユーザー名のみを保存しておきたい場合は Save Username Only [ ユーザー名のみ 保存 ] を選択してください。 認証のオーバーライド Cookie を生成して認証 をオーバーライド 暗号化された、エンドポイント固有の Cookie をポータルに生成させる場合はこの オプションを選択します。ユーザーがポータルで認証を行ったのちに、ポータル はこの Cookie をエンドポイントに送信します。 Cookie 有効期間 Cookie が有効な時間数、日数、あるいは週数を指定します。一般的な有効期間は 24 時間です。範囲は 1 ∼ 72 時間、1 ∼ 52 週間、あるいは 1 ∼ 365 日です。Cookie が失効した場合、ユーザーはログイン認証情報を再度入力する必要があり、この 入力をうけてポータルは新しいCookieを暗号化してユーザーエンドポイントに送 信します。 クッキーを受け入れて認 証上書き 暗号化された有効なCookieを使用してクライアント認証を行うようポータルを設 定する場合はこのオプションを選択してください。有効な Cookie をエンドポイン トが提示した場合、ポータルはそのポータル自身が暗号化した Cookie であること を確認し、復号化を行ってユーザーを認証します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 431 GlobalProtect ポータルのセットアップ GlobalProtect の設定 表 217. GlobalProtect ポータルのクライアント認証設定(続) フィールド 内容 クッキーの暗号化/復号 化用の証明書 Cookie の暗号化と復号化に使用する証明書を選択します。 注:Cookie の暗号化および復号化用に、ポータルとゲートウェイで同じ証明書を 使用するよう設定されていることを確認してください。 (証明書をゲートウェイク ライアント設定の一部として設定します。 「GlobalProtect ゲートウェイのセット アップ」を参照してください。) 2 重認証 1 回限りのパスワード(OTP)などのダイナミックパスワードが GlobalProtect でサポートされるように設定 する場合は、ダイナミックパスワードの入力を求めるポータルまたはゲートウェイタイプを指定します。2 重 認証が有効化されていない環境において、GlobalProtect はログイン認証情報(AD など)と証明書を用いた通 常の認証形式を使用します。 2 重認証用のポータルまたはゲートウェイタイプを有効化すると、ユーザーがポータルで 1 度目の認証を行っ たのち、そのポータルまたはゲートウェイは認証情報と 2 つ目の OTP(あるいはその他のダイナミックパス ワード)の提示を求めます。 しかし、認証オーバーライドも同じく有効化している場合、 (ユーザーが新しいセッションで認証されると、) 認証情報の再入力を行う代わりに、 (Cookie の有効期間内に限り、 )ユーザーの認証には暗号化された Cookie が使用されます。このため、Cookie が有効である限り、ユーザーは認証の画面表示を行うことなくログインす ることが可能になります。Cookie の有効期限を指定する必要があります。 ポータル認証 ポータルへの接続にダイナミックパスワードを使用する場合はこのオプションを 選択します。 内部ゲートウェイにおけ る認証 内部ゲートウェイへの接続にダイナミックパスワードを使用する場合はこのオプ ションを選択します。 手動外部ゲートウェイに おける認証 Manual [ 手動 ] ゲートウェイとして設定されている外部ゲートウェイへの接続に ダイナミックパスワードを使用する場合はこのオプションを選択します。 自動検出した外部ゲート ウェイにおける認証 エージェントが自動検出可能なその他のゲートウェイ(Manual [ 手動 ] に設定さ れていないゲートウェイ)への接続にダイナミックパスワードを使用する場合は このオプションを選択します。 User/User Group [ ユーザー / ユーザーグループ ] タブ このエージェント設定を適用する OS およびユーザーまたはユーザーグループを指定する場合は、Network > GlobalProtect > Portals > <GlobalProtect-portal-config> > Agent > <agent-config> > User/User Group [ ネット ワーク > GlobalProtect > ポータル >「GlobalProtect-portal-config」> エージェント >「agent-config」> ユー ザー / ユーザーグループ ] を開きます。このエージェント設定では OS やユーザー機能の組み合わせに対 応しきれない場合は、別のエージェント設定の追加も検討してみてください。OS およびユーザーやユーザー グループごとに区別して複数のエージェント設定を作成してある場合、最も詳細な設定内容をもつものをエージェン トのリストの一番上に、また最も適用範囲が広い設定をもつもの(すべての OS と広いグループメンバーを対象とす るもの)の場合は一番下に配置します。エージェント設定は必要に応じて上下に移動することができます。 グループの場合、サポートされている認証サービスは LDAP のみです。 表 218. GlobalProtect ポータルのクライアントユーザー / ユーザーグループ認証設定 フィールド OS 内容 ユーザーやグループメンバーは OS が異なる複数のデバイスをもつことができます (例えば、Windows OS で稼働するエンドポイントともう一つ Mac OS で稼働する エンドポイントをもつ場合など) 。ポータルでは各エンドポイントにおける OS 固 有の設定を定めることができます。現在のエージェント設定についてはクライアン トの複数の OS を Add [ 追加 ] し、どのクライアントに対しその設定を適用するか 指定することができます。ポータルはクライアントのデバイスの OS を自動的に検 知し、その OS 用のクライアント設定を適用します。対象には Any [ すべて ] の OS、 あるいは特定の OS(Android、Chrome、iOS、Mac、または Windows)から、1 つ または複数指定することが可能です。ユーザー/ ユーザーグループの情報には、ユー ザー、ユーザーグループ、および、すべて、pre-logon、あるいは対象指定など、さ らにどのように分化させていくことができるかが記載されています。 432 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. GlobalProtect の設定 GlobalProtect ポータルのセットアップ 表 218. GlobalProtect ポータルのクライアントユーザー / ユーザーグループ認証設定(続) フィールド 内容 ユーザー / ユーザーグ ループ 現在のエージェント設定の適用対象に個別のユーザーやユーザーグループを Add [ 追加 ] することができます。 注: グループを選択する前にグループマッピングを設定する必要があり ます(Device > User Identification > Group Mapping Settings [ デバイス > UserID > グループマッピング設定 ])。 対象ユーザーやグループを指定するとともに、これらの設定がユーザーやグルー プに対しいつ適用されるかをドロップダウンリストから設定することができま す。 • any [ すべて ] — このエージェント設定はすべてのユーザーに適用されます(対 象ユーザーやユーザーグループを Add [ 追加 ] する必要はありません)。 • select [ 対象指定 ] — エージェント設定はこのリストに Add [ 追加 ] したユーザー およびユーザーグループに適用されます。 • pre-logon [ ログオン前 ] — エージェント設定はリストに Add [ 追加 ] された ユーザーやユーザーグループのうち、pre-logon が設定されているものに適用 されます。pre-logon のオプションを使用する場合は、さらに、このエージェ ント設定の App [ アプリ ] タブで、接続方式の pre-logon を有効化する必要が あります。 Gateways [ ゲートウェイ ] タブ エージェント設定のうち、内部および外部ゲートウェイの設定を編集する場合は、Network > GlobalProtect > Portals > <GlobalProtect-portal-config> > Agent > <agent-config> > Gateways [ ネットワーク > GlobalProtect > ポータル >「GlobalProtect-portal-config」> エージェント >「agent-config」> ゲートウェイ ] を開きます。 表 219. GlobalProtect ゲートウェイの設定 フィールド 内部ゲートウェイ 内容 エージェントまたはアプ 内部ゲートウェイを Add [ 追加 ] し、以下の情報を指定します。 リがアクセス要求を行い、 • Name [ 名前 ] — ゲートウェイを識別するラベル(最大 31 文字)を入力します。 さらに、これらに対し HIP 名前の大文字と小文字は区別されます。また、一意の名前にする必要がありま レポートを提供する す。文字、数字、スペース、ハイフン、およびアンダースコアのみを使用して (「Data Collection [ デー ください。 タ収集 ] タブ」で HIP が • Address [ アドレス ] — ゲートウェイ用のファイアウォールインターフェイスの 有効化されている場合) IP アドレスまたは FQDN。ここで指定する値はゲートウェイサーバー証明書の 内部ファイアウォール指 共通名(CN)および SAN(指定されている場合)と一致させる必要がありま 定します。 す。例えば、証明書の生成に FQDN を使用した場合、ここに FQDN を入力する 必要があります。 外部ゲートウェイ カットオフ時間(秒) © Palo Alto Networks, Inc. 最適なゲートウェイを選択する際、使用可能なゲートウェイが応答するまでエー ジェントまたはアプリが待機する時間を秒単位で指定します。以降の接続要求に おいて、エージェントまたはアプリはそのカットオフ時間内に応答したゲート ウェイとの接続を試行します。App [ アプリ ] タブのアプリ設定の値が 0 の場合、 エージェントまたはアプリは TCP タイムアウトを使用します(範囲は 0 ∼ 10、デ フォルトは 5)。 Web インターフェイス リファレンス ガイド、バージョン 7.1 • 433 GlobalProtect ポータルのセットアップ GlobalProtect の設定 表 219. GlobalProtect ゲートウェイの設定(続) フィールド 内容 企業ネットワーク外から トンネルを確立する場合 にエージェントが接続を 試行する対象となるファ イアウォールのリストを 指定する。 外部ゲートウェイを Add [ 追加 ] し、以下の情報を指定します。 • Name [ 名前 ] — ゲートウェイを識別するラベル ( 最大 31 文字 ) を入力します。 名前の大文字と小文字は区別されます。また、一意の名前にする必要がありま す。文字、数字、スペース、ハイフン、およびアンダースコアのみを使用して ください。 • Address [ アドレス ] — ゲートウェイが設定されているファイアウォール イン ターフェイスの IP アドレスまたは FQDN。この値は、ゲートウェイ サーバー証 明書の CN ( および指定されている場合は SAN) フィールドと一致する必要があ ります ( たとえば、FQDN を使用して証明書を生成した場合、ここにも FQDN を入力する必要があります )。 • Priority [ 優先順位 ] — エージェントが使用するゲートウェイを判別しやすいよう に値 (Highest [ 最高 ]、High [ 高 ]、Medium [ 中 ]、Low [ 低 ]、Lowest [ 最低 ]、 Manual only [ 手動のみ ] のいずれか ) を選択します。エージェントは指定され たすべてのゲートウェイ(優先順位が Manual only [ 手動のみ ] の場合を除く) に接続し、最も応答が速く、優先順位が高い値を提供するファイアウォールと のトンネルを確立します。 • Manual [ 手動 ] — ユーザーが手動でゲートウェイを選択(あるいは切り替え) できるようにする場合はこのオプションを選択します。GlobalProtect エージェ ントは、Manual [ 手動 ] に設定されている外部ゲートウェイであれば、どのゲー トウェイにも接続することができます。エージェントまたはアプリが他のゲー トウェイに接続する場合、既存のトンネルは接続が解除され、新しいトンネル が確立されます。手動ゲートウェイでは、プライマリゲートウェイとは異なる 認証方式を使用することもできます。クライアントシステムが再起動された場 合や、再検出が実行された場合、GlobalProtect エージェントはプライマリゲー トウェイに接続します。この機能は、ネットワークの保護されたセグメントに アクセスするために、特定のゲートウェイに一時的に接続する必要があるユー ザーグループが存在する場合に役立ちます。 内部ホスト検出 内部ホスト検出 企業ネットワークの内部にいるかどうか、GlobalProtect エージェントに判断させ る場合はこのオプションを選択します。このオプションは内部ゲートウェイと通 信するよう設定されたエンドポイントにのみ適用されます。 ユーザーがログインを試みた場合、エージェントは指定された IP Address [IP ア ドレス ] に対し、指定された Hostname [ ホスト名 ] を使用して内部ホストのリ バース DNS 検索を行い、エンドポイントが企業ネットワーク内にある場合、ホス トは到達可能なリファレンスポイントとなります。エージェントがホストを検出 したということは、エンドポイントがネットワーク内にあることを意味しており、 エージェントは内部ゲートウェイと接続します。エージェントが内部ホストの検 出に失敗した場合、エンドポイントはネットワーク外にあることを意味しており、 エージェントは外部ゲートウェイとトンネルを確立します。 IP アドレス 内部ホスト検出用の内部 IP Address [IP アドレス ] を入力します。 ホスト名 内部ネットワーク内で上記の IP アドレスに解決する Hostname [ ホスト名 ] を入 力します。 サードパーティ VPN サードパーティ VPN GlobalProtect が対象指定されたサードパーティ VPN クライアントと競合しない よう、GlobalProtect エージェントまたはアプリにこれらを無視するように設定す る場合は、VPN クライアントの名前を Add [ 追加 ] します。リストから名前を選 択するか、フィールドに名前を入力します。GlobalProtect はここで指定した VPN クライアントのルート設定を無視するようになります。 434 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. GlobalProtect の設定 GlobalProtect ポータルのセットアップ App [ アプリ ] タブ エンドユーザーがそれぞれのシステムにインストールした GlobalProtect エージェントの操作範囲を指定する場合は Network > GlobalProtect > Portals > <GlobalProtect-portal-config> > Agent > <agent-config> > App [ ネットワー ク > GlobalProtect > ポータル > 「GlobalProtect-portal-config」> エージェント > 「agent-config」> アプリ ] を開きま す。作成した各種の GlobalProtect エージェント設定ごとに、異なるアプリ設定を定義できます。 表 220. GlobalProtect アプリの設定 フィールド 内容 ウェルカム ページ GlobalProtect に接続したエンドユーザーに対して表示するウェルカムページを 選択します。factory-default [ 出荷時のデフォルト ] ページを選択するか、カス タムページを Import [ インポート ] することができます。デフォルト設定は None [ なし ] です。 アプリケーション設定 接続方式 • On-demand (Manual user initiated connection) [ オンデマンド(ユーザーによ る手動接続)] — ユーザーは GlobalProtect エージェントまたはアプリを起動 し、当該の GlobalProtect 認証情報を入力する必要があります。このオプショ ンは、主にリモートアクセス接続の場合に使用します。 • User-logon (Always On) [ ユーザーログオン(常時オン)] — ユーザーがエン ドポイントにログインすると GlobalProtect エージェントはポータルへの接続 を自動的に確立します。応答として、ポータルはクライアントに適切なエー ジェント設定を返します。その後、エージェントはポータルから受信したエー ジェント設定に指定されているゲートウェイのうちの 1 つと VPN を確立しま す。 • Pre-logon (Always On) [ ログオン前(常時オン)] — GlobalProtect エージェン トはユーザーが GlobalProtect にログインする前に GlobalProtect ゲートウェイ への VPN トンネルを確立します。エンドポイントはゲートウェイに対し、事 前にインストールされたマシン証明書を提示することで認証要求を行います。 Pre-logon をユーザーのログイン前に実行されるドメイン固有のスクリプトに 使用することで、ユーザーのパスワードが失効した際に新しいパスワードを指 定できるようにしたり、ユーザーがパスワードを忘れてしまった場合に役立て ることができます。Pre-logon の完了後にユーザーが GlobalProtect へのログイ ンを行うと、ゲートウェイはユーザー名と一致する VPN トンネルを再度割り 当てるか(Windows の場合)、または接続を一度解除して、そのユーザー用に 新しい VPN 接続を確立します(iOS の場合) 。 GlobalProtect アプリ設定 の更新間隔(時間) GlobalProtect ポータルがクライアントの設定を更新する間隔(時間数)を指定 します(範囲は 1 ∼ 168、デフォルトは 24)。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 435 GlobalProtect ポータルのセットアップ GlobalProtect の設定 表 220. GlobalProtect アプリの設定(続) フィールド 内容 ユ ー ザ ー が GlobalProtect アプリを無効化できるよ うにする ユーザーによる GlobalProtect エージェントの無効化を許可するかどうか、そし て無効化を許可する場合は、無効化する際に踏むべき手順を指定します。 • Allow [ 許可 ] — すべてのユーザーが必要に応じて GlobalProtect エージェント を無効化できます。 • Disallow [ 許可しない ] — ユーザーは GlobalProtect エージェントを無効化す ることができません。 • Allow with Comment [ コメント付きで許可 ] — ユーザーはエンドポイントの GlobalProtect エージェントまたはアプリを無効化できますが、その際、無効 化する理由を送信する必要があります。 • Allow with Passcode [パスコードで許可] — ユーザーはパスコードを入力する ことで GlobalProtect エージェントまたはアプリを無効化できます。このオプ ションを選択すると、ユーザーは、パスワードと同様に入力時に表示されるこ とがないパスコードの入力と再入力を行う必要があります。一般的に、管理者 は予期しない出来事によりユーザーが GlobalProtect VPN を使用してネット ワークに接続できなくなる前にユーザーにパスコードを配布しておきます。パ スコードは電子メールで送信するか、企業のウェブサイトに掲示することで配 布を行うことができます。 • Allow with Ticket [ チケットで許可 ] — このオプションでは、ユーザーが GlobalProtect を無効化しようとすると、エンドポイントに 16 進数の 8 桁のチ ケット要求ナンバーを表示するチャレンジレスポンス機構が有効化されます。 次にユーザーはファイアウォール管理者またはサポートチームに連絡し(セ キュリティのため電話をお勧めします) 、この番号を伝えます。管理者またはサ ポート担当が、Agent User Override Key [ エージェントユーザーオーバーライ ドキー ] のフィールド(GlobalProtect エージェント設定、Agent [ エージェン ト ] のタブ内)に 16 進数のチケット要求ナンバーを入力すると、チケットナ ンバーが表示されます(同じく 8 桁の 16 進数)。管理者またはサポート担当は このチケットナンバーをユーザーに伝え、ユーザーがこれをチャレンジフィー ルドに入力するとエージェントは無効化されます。 ユーザーによる GlobalProtect アプリの アップグレードを許可 エンドユーザーによる GlobalProtect エージェントのソフトウェアアップデート の可否、そして許可するよう設定した場合は、アップグレードのタイミング指定 の可否を設定します。 • Disallow [ 無効 ] — ユーザーはエージェントまたはアプリのアップグレードを 行うことができません。 • Allow Manually [ 手動を許可 ] — ユーザーは GlobalProtect エージェントで Check Version [ バージョンの確認 ] を選択することで、アップグレードの確認 と実行を手動で行うことができます。 • Allow with Prompt [ プロンプト付きで許可 ](デフォルト)— ファイアウォー ルで新しいバージョンが起動された場合にプロンプトを表示し、ユーザーは任 意のタイミングでアップグレードを行うことができます。 • Allow Transparently [ メッセージを表示せずに実行 ] — ポータルで新しいバー ジョンが使用可能になるとエージェントソフトウェアを自動的にアップグ レードします。 シングルサインオンを 使用(Windows のみ) シングルサインオン(SSO)を無効化する場合は No [ いいえ ] を選択します。 SSO が 有 効 化 さ れている場合、GlobalProtect エージェントはユーザーの Windows ログイン認証情報を使用して自動的に認証を行い、GlobalProtect ポー タルおよびゲートウェイに接続します。GlobalProtect はサードパーティ認証情 報をラップすることができるので、サードパーティの認証情報プロバイダを使用 して Windows ログイン認証情報をラップしている場合でも認証と接続を行うこ とができます。 ログアウト時にサインオ ンの認証情報を消去 (Windows のみ) ユーザーのログアウト後もサインオン認証情報を保存しておく場合は No [ いい え ] を選択します。ユーザーのログアウト時に消去し、次回ログイン時に再度認 証情報の入力を求める場合は Yes [ はい ](デフォルト)を選択します。 Kerberos 認証の失敗時に はデフォルトの認証を使 用(Windows のみ) Kerberos 認証のみを使用する場合は No [ いいえ ] を選択します。Kerberos 認証 が失敗した場合にデフォルトの認証方法を使用して認証を再試行する場合は Yes [ はい ](デフォルト)を選択します。 436 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. GlobalProtect の設定 GlobalProtect ポータルのセットアップ 表 220. GlobalProtect アプリの設定(続) フィールド 内容 クライアントの証明スト アの検索 証明書のタイプ、またはエージェントやアプリが個人用証明書ストアで検索する 証明書を選択します。GlobalProtect エージェントまたはアプリは、ポータルや ゲートウェイと認証を行い、GlobalProtect ゲートウェイへの VPN トンネルを確 立する際にこの証明書を使用します。 • User [ ユーザー] — ユーザーアカウントのローカルな証明書を使用して認証を 行います。 • Machine [ マシン ] — エンドポイントのローカルな証明書を使用して認証を行 います。この証明書はエンドポイントの使用を許可されているすべてのユー ザーに適用されます。 • User and machine [ ユーザーおよびマシン ](デフォルト)— ユーザー証明書 およびマシン証明書を使用して認証します。 SCEP 証明書更新期間(日) SCEP が生成した証明書を失効前に更新するための機能です。ポータルが PKI シ ステムの SCEP サーバーに対し、新しい証明書の要求を証明書失効日の最大何日 前に行うかを指定します(範囲は 0 ∼ 30、デフォルトは 7)。0 を指定すると、 ポータルはクライアント設定を更新する際に、クライアント証明書の自動更新を 行いません。 エージェントまたはアプリが新しい証明書を取得できるようにする場合、ユー ザーは更新期間内にログインする必要があります(ユーザーがこの期間内にログ インしない場合、ポータルは新しい証明書の要求を行いません)。 例えば、クライアント証明書の有効期間が 90 日、証明書更新期間が 7 日だった とします。証明書有効期間の最後 7 日間のうちにユーザーがログインした場合、 ポータルは証明書を生成し、更新されたクライアント設定と共にダウンロードし ます(「GlobalProtect アプリ設定の更新間隔(時間)」を参照)。 クライアント証明向けの 拡張キー使用 OID オブジェクト識別子(OID)を指定し、クライアント証明書の拡張キー用途を入 力します。この設定では、GlobalProtect が必ずクライアント認証用の証明書の みを選択するようにし、また、以後使用できるように GlobalProtect による証明 書の保存を有効化することができます。 詳細ビューの有効化 クライアント側のユーザーインターフェイスを基本的な最小限のビューに制限 する場合は、No [ いいえ ] を選択します。 ユーザーがウェルカム ページを終了できるよう にする ユーザーが接続を開始するたびに Welcome Page [ ウェルカムページ ] を表示す る場合は、No [ いいえ ] を選択します。この制約をかけることで、コンプライア ンス維持のために組織から求められる利用規約などの重要な情報をユーザーが 忘れてしまわないようにすることができます。 ネットワークオプション の再検出の有効化 ユーザーによる手動ネットワーク再検出が行えないようにする場合は、No [ い いえ ] を選択します。 ホストプロファイルオプ ションの再送信の有効化 ユーザーが手動で最新 HIP の再送信をトリガーできないようにする場合は、No [ いいえ ] を選択します。 ユーザーによるポータル アドレスの変更を許可す る GlobalProtect エージェントの Home [ ホーム ] タブの Portal [ ポータル ] フィー ルドを無効化する場合は、No [ いいえ ] を選択します。しかしこの場合、ユー ザーは接続するポータルを指定できなくなってしまうので、デフォルトポータル アドレスを Windows レジストリまたは Mac plist に入れておく必要があります。 • Windows registry [Windows レジストリ ] — HKEY_LOCAL_MACHINE\ SOFTWARE\Palo Alto Networks\GlobalProtect\PanSetup、キーは Portal • Mac plist—/Library/Preferences/ com.paloaltonetworks.GlobalProtect.pansetup.plist 、キーは Portal ポータルアドレスの事前デプロイについては、GlobalProtect 管理者ガイドのカ スタマイズ可能なエージェント設定を参照してください。 ユーザーが無効なポータ ルサーバー証明書で続行 できるようにする ポータル証明書が無効な場合に、エージェントがポータルとの接続を確立できな いようにする場合は、No [ いいえ ] を選択します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 437 GlobalProtect ポータルのセットアップ GlobalProtect の設定 表 220. GlobalProtect アプリの設定(続) フィールド 内容 GlobalProtect アイコンの 表示 クライアントシステムで GlobalProtect アイコンを非表示にする場合は、No [ い いえ ] を選択します。アイコンが非表示の場合、ユーザーはトラブルシューティ ングの参照、パスワードの変更、ネットワークの再検出、またはオンデマンド接 続の実行などの特定のタスクを行えません。しかし、ユーザーの操作が必要な場 合、HIP 通知メッセージ、ログインプロンプト、および証明書ダイアログは表 示されるようになっています。 ユーザースイッチトンネ ルの名前変更のタイムア ウト(秒) (Windows のみ) リモートユーザーが Microsoft のリモートデスクトッププロトコル(RDP)を使 用してエンドポイントにログインしたのち、GlobalProtect ゲートウェイでの認 証状態を保つ秒数を指定します(範囲は 0 ∼ 600、デフォルトは 0)。リモート ユーザーに一定の時間内に認証を求めることで、セキュリティを保つことができ ます。 新しいユーザーを認証しトンネルをそのユーザー用に切り替えると、ゲートウェ イはトンネルの名称を変更します。 0 を指定するとユーザートンネルの名称は変更されませんが、即座に強制終了さ れるようになります。この場合、リモートユーザーは新しいトンネルを与えら れ、ゲートウェイへの認証の際、制限時間は設けられません(設定済みの TCP タイムアウトを除く)。 システムトレー通知を表 示(Windows のみ) ユーザーからの通知を非表示にする場合は No [ いいえ ] を選択します。システ ムトレー領域に通知を表示する場合は Yes [ はい ](デフォルト)を選択します。 カスタムパスワードの失 効メッセージ(LDAP 認証 のみ) パスワードの失効が近づいてきた場合に表示するカスタムメッセージを作成し ます。メッセージの長さは最大 200 文字までです。 内部のゲートウェイ接続 の最大試行回数 GlobalProtect エージェントから内部ゲートウェイに対する接続が失敗した場合 に接続を試行する回数を入力します(範囲は 0 ∼ 100、デフォルトは 0)。0 の場 合、GlobalProtect エージェントは接続の再試行を行いません。この値を増やす ことで、内部ゲートウェイが最初の接続試行時に一時的にダウンしていた場合 や、最初の試行時に到達不能であったものの、設定した試行回数のうちに復旧し た場合に、エージェントはゲートウェイへ自動的に接続することができます。ま た、この値を増やすことで、内部ゲートウェイが最新のユーザー情報およびホス ト情報を確実に受信できるようになります。 ポータルの接続のタイム アウト(秒) ポータルへの接続要求に対し応答がなかった場合に、接続要求がタイムアウトす るまでの秒数です(範囲は 1 ∼ 600、デフォルトは 30)。 TCP 接続のタイムアウト (秒) TCP 接続の両端のいずれかからの応答がない場合に、接続要求がタイムアウト するまでの秒数です(範囲は 1 ∼ 600、デフォルトは 60)。 TCP 受信のタイムアウト (秒) TCP 要求が一部欠損している場合に、TCP 接続がタイムアウトするまでの秒数 です(範囲は 1 ∼ 600、デフォルトは 30)。 接続時の DNS 設定の更新 (Windows のみ) DNS キャッシュを消去し、すべてのアダプタに対し DNS の設定内容を使用する よう強制する場合は Yes [ はい ] を選択してください。クライアントの DNS 設 定を使用する場合は No [ いいえ ](デフォルト)を選択してください。 接続ごとにプロキシを検 出(Windows のみ) ポータル接続用のプロキシを自動検出し、以降の接続にそのプロキシを使用する 場合は No [ いいえ ] を選択してください。接続のたびにプロキシを自動検出す る場合は Yes [ はい ](デフォルト)を選択してください。 タイムアウト後に GlobalProtect エージェン トを再起動(Windows の み) GlobalProtect エージェントからの応答がない場合に GlobalProtect を再起動する 場合は Yes [ はい ] を選択してください。 Windows セキュリティー センター(WSC)の状態 が変更された場合に HIP レポートを即座に送信 (Windows のみ) Windows セキュリティーセンター(WSC)の状態が変更された際に、GlobalProtect エージェントに HIP データに送信させたくない場合は No [ いいえ ] を選択してく ださい。WSC の状態が変更された際に即座に HIP データを送信する場合は Yes [ はい ](デフォルト)を選択してください。 438 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. GlobalProtect の設定 GlobalProtect ポータルのセットアップ 表 220. GlobalProtect アプリの設定(続) フィールド 内容 GlobalProtect エージェントまたはアプリケーションを無効化 パスコード / パスコード の再入力 Allow User to Disable GlobalProtect App [ ユーザーによる GlobalProtect アプリ の無効化 ] の設定が Allow with Passcode [ パスコードで許可 ] の場合、パスコー ドの入力と再入力を行います。パスコードはパスワードと同じように、記録して 安全な場所に保管してください。新規の GlobalProtect ユーザーに対してパス コードを配布する場合は、電子メールを使用するか、企業ウェブサイトのサポー トエリアに掲示する方法があります。 エンドポイントが VPN 接続を確立できず、その機能が使用できない状況であれ ば、ユーザーはエージェントまたはアプリのインターフェイスにこのパスコード を入力して GlobalProtect エージェントを無効化し、VPN を使用せずにインター ネットへアクセスすることができます。 無効にできる最大回数 ユーザーがファイアウォールへの接続を行う前に GlobalProtect を無効にできる 最大回数を指定します。デフォルトの 0 に設定すると、ユーザーは回数の制限を 受けることなくエージェントを無効化することができます。 タイムアウト満了時間(分) GlobalProtect エージェントまたはアプリを無効化できる最大の時間を分単位で 指定します。ここで指定した時間が経過すると、エージェントはファイアウォー ルへの接続を試みます。デフォルトの 0 に設定すると、時間の制限を受けること なく無効化することが可能になります。 Endpoint Security Manager の設定 Mobile Security Manager モバイルデバイス管理(MDM)に GlobalProtect Mobile Security Manager を使 用している場合、GP-100 アプライアンス上のデバイスチェックイン(登録)イ ンターフェイスの IP アドレスまたは FQDN を入力します。 登録ポート モバイルエンドポイントが登録のためにGlobalProtect Mobile Security Manager に接続する際に使用するポート番号。Mobile Security Manager はデフォルトで ポート 443 をリッスンするように設定されています。モバイルエンドポイントの ユーザーが登録を行う際にクライアント証明書の提示を求められないよう、この ポート番号のままに設定しておくことをお勧めします(使用可能な値は 443(デ フォルト)、7443、および 8443)。 Data Collection [ データ収集 ] タブ エージェントが HIP レポート用にクライアントから収集するデータを指定する場合は、Network > GlobalProtect > Portals > <GlobalProtect-portal-config> > Agent > <agent-config> > Data Collection [ ネットワーク > GlobalProtect > ポータル >「GlobalProtect-portal-config」> エージェント >「agent-config」> データ収集 ] を開きます。 表 221. GlobalProtect データ収集設定 フィールド 内容 HIP データの収集 エージェントに HIP データの収集と送信を行わせたくない場合はこの選択を解除 します。 最大待機時間(秒) エージェントまたはアプリが HIP データの検索を行う秒数を指定します。この時 間が経過すると入手したデータが送信されます(範囲は10∼60、デフォルトは20)。 カテゴリの除外 エージェントやアプリによる HIP データ収集の対象外とするホスト情報カテゴリ を指定する場合は、Exclude Categories [ カテゴリの除外 ] を選択します。HIP 収 集から除外する Category [ カテゴリ ](data-loss-prevention など)を選択します。 カテゴリの選択後、特定の Vendor [ ベンダー ] を Add [ 追加 ] したのちに、その ベンダーの特定の製品を Add [ 追加 ] することで、必要に応じて除外内容を詳細に 設定することが可能です。各ダイアログの設定を保存する場合は OK をクリック します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 439 GlobalProtect ポータルのセットアップ GlobalProtect の設定 表 221. GlobalProtect データ収集設定(続) フィールド 内容 カスタム チェック エージェントで収集するカスタムホスト情報を定義する場合は Custom Checks [カスタムチェック] を選択します。たとえば、HIPオブジェクト作成対象のVendor [ ベンダー] リストや Product [ 製品 ] リストに含まれていない必須アプリケーショ ンがある場合、カスタムチェックを作成して、アプリケーションがインストール されているか(対応する Windows レジストリキーまたは Mac plist キーががある か)、あるいは実行中か(対応する実行中プロセスがあるかどうか)を判定できま す。 • Windows — 特定のレジストリキーやキー値のチェックを Add [ 追加 ] します。 • Mac — 特定の plist やキー値のチェックを Add [ 追加 ] します。 • Process List [ プロセスリスト ] — エンドポイントで実行中か否かをチェックし たいプロセスを Add [ 追加 ] します。たとえば、ソフトウェア アプリケーション が実行しているかどうかを判別するには、実行可能ファイルの名前をプロセス リストに追加します。プロセスは Windows タブおよび Mac タブのいずれにも追 加できます。 Satellite Configuration [ サテライト設定 ] タブ サテライトとは、GlobalProtect エージェントとして機能して GlobalProtect ゲートウェイへの VPN 接続 を確立できるようにする、Palo Alto Networks ファイアウォール(通常は支社に設置)です。GlobalProtect エージェントと同様に、サテライトは、初期設定をポータルから受信します。これには、サテライトがす べての設定済みゲートウェイに接続して VPN 接続を確立できるようにするための証明書と VPN 設定ルー ティング情報が含まれます。 支社ファイアウォールに GlobalProtect サテライト設定を定義する前に、WAN 接続とのインターフェイ スを設定し、セキュリティ ゾーンとポリシーをセットアップして支社 LAN がインターネットと通信でき るようにします。ポータルの GlobalProtect サテライト設定を編集する場合は Network > GlobalProtect > Portals > <GlobalProtect-portal-config> > Satellite > <GlobalProtect-satellite> [ ネットワーク > GlobalProtect > ポータル > 「GlobalProtect-portal-config」> サテライト > 「GlobalProtect-satellite」] を開き、以下の表 のように設定します。 表 222. GlobalProtect ポータルのサテライト設定 フィールド 内容 一般 • Name [ 名前 ] — GlobalProtect ポータルのサテライト設定につける名前を指定し ます。 • Configuration Refresh Interval (hours) [ 設定の更新間隔(時間)] — サテライ トデバイスが設定の更新があるかどうかポータルを確認する間隔を指定します (範囲は 1 ∼ 48 時間、デフォルトは 24 時間)。 デバイス ファイアウォールシリアルナンバーを使用してサテライトを Add [ 追加 ] します。 ポータルはシリアルナンバーまたはログイン認証情報を使用して接続の要求元を 識別することができます。シリアルナンバーを受信できない場合、ポータルはロ グイン認証情報を要求します。サテライトをファイアウォールシリアルナンバー で識別した場合、サテライトが認証証明書と初期設定を取得するために接続を行 う際、ユーザーログイン認証情報を提示する必要はありません。 サテライトがシリアルナンバーあるいはログイン認証情報を使用して認証を行う と、サテライトホスト名がポータルに自動的に追加されます。 ユーザー / ユーザーグ ループの登録 ポータルはシリアル番号を使用して、あるいは使用せずに Enrollment User/User Group [ 登録ユーザー / 登録ユーザーグループ ] 設定を使用してサテライトと設定 を照合します。シリアル番号が一致しないサテライトは、ユーザー(個人ユーザー またはグループメンバー)として認証する必要があります。 この設定内容を受信させるユーザーまたはグループを Add [ 追加 ] します。 注:設定を特定のグループに制限する場合は、ファイアウォールのグループマッ ピ ン グ を 有 効 化 す る必要があります(Device > User Identification > Group Mapping Settings [ デバイス > User-ID > グループマッピング設定 ])。 440 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. GlobalProtect の設定 GlobalProtect ポータルのセットアップ 表 222. GlobalProtect ポータルのサテライト設定(続) フィールド ゲートウェイ 内容 Add [ 追加 ] をクリックして、この設定のサテライトが IPSec トンネルを確立でき るゲートウェイの IP アドレスまたはホスト名を入力します。ゲートウェイを設定 するインターフェイスの FQDN または IP アドレスを Gateways [ ゲートウェイ ] フィールドに入力します。 (任意)設定に 2 つ以上のゲートウェイを追加している場合、Routing Priority [ ルー ターの優先順位] を使用するとサテライトが優先するゲートウェイを選択できます (範囲は 1 ∼ 25) 。数値が低いほど優先順位が高くなります(使用可能なゲートウェ イの場合)。サテライトは、ルーティングメトリックを算出するためにルーティン グの優先順位を 10 倍します。 注:ゲートウェイによって公開されたルートはスタティック ルートとしてサテラ イトにインストールされます。スタティックルートのメトリックは、ルーティン グの優先順位の 10 倍です。複数のゲートウェイがある場合、必ずルーティングの 優先順位も設定して、バックアップゲートウェイによって通知されるルートがプ ライマリ ゲートウェイによって通知される同じルートよりも高いメトリックにな るようにしてください。たとえば、プライマリ ゲートウェイとバックアップ ゲー トウェイのルーターの優先順位をそれぞれ 1 と 10 に設定した場合、サテライトは 10 をプライマリ ゲートウェイのメトリックとして使用し、100 をバックアップ ゲートウェイのメトリックとして使用します。 Publish all static and connected routes to Gateway [ 静的なすべての接続済みルー トをゲートウェイに公開 ](Network > IPSec tunnels > <tunnel> > Advanced [ ネッ トワーク > IPSec トンネル > 「tunnel」> 詳細 ] — <tunnel> > General [「tunnel」> 詳細 ] で GlobalProtect Satellite [GlobalProtect サテライト ] を選択した場合のみ 使用可能)を設定した場合、サテライトはさらにネットワーク情報とルーティン グ情報をゲートウェイと共有します。詳細は、 「GlobalProtect サテライト」を参 照してください。 信頼されたルート CA Add [ 追加 ] をクリックしてからゲートウェイサーバー証明書を発行するために使 用する CA 証明書を選択します。すべてのゲートウェイで同じ発行者を使用する ことをお勧めします。 注:ゲートウェイサーバー証明書の発行の際に使用するルート CA 証明書がポー タル上に存在しない場合、Import [ インポート ] または Generate [ 生成 ] が可能 です。 クライアント証明書 ローカル • Issuing Certificate [ 証明書の発行 ] を行う場合は、ポータルが使用する証明書を 発行するルート CA を選択します。サテライトの認証が完了するとサテライト に対し証明書が発行されます。ファイアウォールに存在しない証明書が必要な 場合は Import [ インポート ] または Generate [ 生成 ] することができます。 注:証明書がファイアウォールに存在しない場合は、発行したい証明書を Import [ インポート ] または Generate [ 生成 ] することができます。 • Validity Period [ 有効期間(日数)] では GlobalProtect サテライト証明書の有効 期間を指定します(範囲は 7 ∼ 365、デフォルトは 7)。 • Certificate Renewal Period [ 証明書更新期間(日数)] では証明書有効期間満了 の何日前に自動更新を行うかを指定します(範囲は 3 ∼ 30、デフォルトは 3)。 • OCSP Responder [OCSPレスポンダ] ではポータルおよびゲートウェイが提示し た証明書の無効状態を検証するために使用するサテライトの OCSP レスポンダ を選択します。ここで None [ なし ] を選択すると、証明書の無効状態の検証に OCSP を使用しません。 SCEP © Palo Alto Networks, Inc. • SCEP ではクライアント証明書を生成するための SCEP プロファイルを選択しま す。プロファイルがドロップダウンリストにない場合、New [ 新規 ] のプロ ファイルを作成することができます。 • Certificate Renewal Period [ 証明書更新期間(日数)] では証明書有効期間満了 の何日前に自動更新を行うかを指定します(範囲は 3 ∼ 30、デフォルトは 3)。 Web インターフェイス リファレンス ガイド、バージョン 7.1 • 441 GlobalProtect ゲートウェイのセットアップ GlobalProtect の設定 GlobalProtect ゲートウェイのセットアップ Network > GlobalProtect > Gateways [ ࢿࢵࢺ࣮࣡ࢡ > GlobalProtect > ࢤ࣮ࢺ࢙࢘ ] GlobalProtect を作成する場合は Network > GlobalProtect > Gateways [ ネットワーク > GlobalProtect > ゲート ウェイ ] を開きます。ゲートウェイは GlobalProtect エージェントやアプリ、または GlobalProtect サテラ イトに VPN 接続を提供します。 GlobalProtect ゲートウェイのダイアログから新規のゲートウェイ設定を追加するか、既存のゲートウェ イ設定を編集する場合はそれを選択します。 探している情報 以下を参照 GlobalProtect ゲートウェイ用に設定可能 な一般設定 ࠕGeneral [ ⯡ ] ࢱࣈࠖ ゲートウェイクライアント認証の設定方法 ࠕAuthentication [ ㄆド ] ࢱࣈࠖ エージェントまたはアプリがゲートウェイ と VPN トンネルを確立できるようにトン ネルとネットワークを設定する方法 ࠕAgent [ ࢚࣮ࢪ࢙ࣥࢺ ] ࢱࣈࠖ サテライトがサテライトとして機能する ゲートウェイとVPN接続が確立できるよう にトンネルとネットワークを設定する方法 ࠕSatellite Configuration [ ࢧࢸࣛࢺタᐃ ] ࢱࣈࠖ その他の情報をお探しですか? ポータルのセットアップ手順の詳細は、GlobalProtect 管理者ガ イドの「GlobalProtect ポータルの設定」を参照してください。 ゲートウェイのセットアップ手順の詳細は、GlobalProtect 管理者ガイドの「GlobalProtect ゲートウェイ の設定」を参照してください。 General [ 全般 ] タブ エージェントまたはアプリが接続するゲートウェイインターフェイスを定義し、ゲートウェイがエンドポ イントクライアントを認証する方法を指定する場合は Network > GlobalProtect > Gateways > General [ ネット ワーク > GlobalProtect > ゲートウェイ > 一般 ] を開きます。 表 223. GlobalProtect ゲートウェイの一般設定 フィールド 内容 名前 ゲートウェイの名前を入力します ( 最大 31 文字 )。名前の大文字と小文字は区別 されます。また、一意の名前にする必要があります。文字、数字、スペース、ハ イフン、およびアンダースコアのみを使用してください。 場所 マルチ仮想システムモードになっているファイアウォールの場合、Location [ 場所 ] は GlobalProtect ゲートウェイを使用できる仮想システム(vsys)になります。 マルチ仮想システムモードになっていないファイアウォールの場合、Location [ 場 所 ] フィールドは GlobalProtect Gateway [GlobalProtect ゲートウェイ ] ダイアロ グに表示されません。 注:ゲートウェイの設定を保存すると、その Location [ 場所 ] は変更でき なくなります。 ネットワーク設定エリア インターフェイス IP アドレス リモートエンドポイント用の入力インターフェイスとして使用するファイア ウォールインターフェイスの名前を選択します。 (既存のインターフェイスを選択 する必要があります) (任意)ゲートウェイアクセス用の IP アドレスを指定します。 442 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. GlobalProtect の設定 GlobalProtect ゲートウェイのセットアップ Authentication [ 認証 ] タブ SSL/TLS サービスプロファイルを指定し、クライアント認証の詳細を設定する場合は、Network > GlobalProtect > Gateways > Authentication [ ネットワーク > GlobalProtect > ゲートウェイ > 認証 ] を選択しま す。複数の認証設定を追加することができます。 表 224. GlobalProtect ゲートウェイの認証設定 フィールド 内容 SSL/TLS サービスプロ ファイル この GlobalProtect ゲートウェイを保護するための SSL/TLS サービスプロファイ ルを選択します。サービスプロファイルの内容については「SSL/TLS サービスプ ロファイルの管理」を参照してください。 クライアント認証エリア 名前 OS この設定を識別するための一意の名前を入力します。 デフォルトの状態では、この設定がすべてのクライアントに適用されます。クラ イアントエンドポイントのリストは、OS(Android、iOS、Mac、Windows、また は Chrome)、Satellite [ サテライト ] デバイス、またはサードパーティ IPSec VPN クライアント(X-Auth)により、更に詳細な設定を行うことができます。 数ある設定内容は第一に OS により区別されます。1 つの OS に対し複数の設定が 必要な場合、認証プロファイルごとに個別の設定を行っていくことが可能です。最 も詳細な設定内容をもつものをリストの一番上に、また最も大まかな設定をもつも のを一番下に配置することをお勧めします。 認証プロファイル ゲートウェイへのアクセスを認証する認証プロファイルまたはシーケンスをド ロップダウンリストから選択します。 「認証プロファイルのセットアップ」を参照 してください。 認証メッセージ このゲートウェイにログインする場合に使用すべき認証情報をエンドユーザに知 らせるためのメッセージを入力するか、デフォルトのメッセージのままにしてお くことが可能です。メッセージは最大で 100 文字までです。 Agent [ エージェント ] タブ エージェントまたはアプリがゲートウェイと VPN 接続を確立できるようにするトンネル設定を定義する 場合は Network > GlobalProtect > Gateways > Agent [ ネットワーク > GlobalProtect > ゲートウェイ > エージェ ント ] を開きます。さらに、このタブでは VPN のタイムアウト、DNS および WINS のネットワークサー ビス、そしてエンドユーザーがセキュリティポリシーの HIP プロファイルに合致した場合、あるいは合致 しなかった場合に表示する HIP 通知メッセージを設定することができます。 以下のタブでエージェントの設定を行います。 • 「Tunnel Settings [ トンネル設定 ] タブ」 • 「Timeout Settings [ タイムアウト設定 ] タブ」 • 「Client Settings [ クライアント設定 ] タブ」 • 「Network Services [ ネットワークサービス ] タブ」 • 「HIP Notification [HIP 通知 ] タブ」 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 443 GlobalProtect ゲートウェイのセットアップ GlobalProtect の設定 Tunnel Settings [ トンネル設定 ] タブ トンネルの確立を有効化し、トンネルのパラメータを設定する場合は Network > GlobalProtect > Gateways > Agent > Tunnel Settings [ ネットワーク > GlobalProtect > ゲートウェイ > エージェント > トンネル設定 ] を 開きます。 外部ゲートウェイを設定する場合は、トンネルパラメータが必要になります。内部ゲートウェイを設定す る場合、トンネルパラメータの設定は必須ではありません。 表 225. GlobalProtect ゲートウェイ クライアントのトンネル モード設定 フィールド 内容 トンネル モード トンネルモードを有効にする場合は、Tunnel Mode [ トンネルモード ] を選択して、 以下の設定を指定します。 • Tunnel Interface [ トンネルインターフェイス ] — ゲートウェイへのアクセス用 のトンネルインターフェイスを選択します。 • Max User [ 最大ユーザー数 ] — 認証、HIP 更新、および GlobalProtect エージェ ントまたはアプリ更新のために同時にゲートウェイにアクセスできるユーザー の最大数を指定します。ユーザーが最大数を超えた場合、ユーザーの最大数に 達したことを示すエラーメッセージが表示され、後続のユーザーはアクセスを 拒否されます(範囲は 1 ∼ 1024、デフォルトでは上限なし)。 • Enable IPSec [IPSec を有効化 ] — クライアント トラフィックで IPSec モードを 使用可能にし、IPSec をプライマリにして、SSL-VPN をフォールバック方式に するには、このオプションを選択します。以下のオプションは IPSec が有効化さ れるまで使用できません。 • GlobalProtect IPSec Crypto [GlobalProtect の IPSec 暗号 ] — VPN トンネルの認 証および暗号化アルゴリズムを指定する GlobalProtect の IPSec 暗号化プロファ イルを選択します。default [ デフォルト ] プロファイルでは、AES-128-CBC 暗 号化と SHA1 認証が使用されます。詳細は、 「GlobalProtect の IPSec 暗号化プロ ファイルの定義」を参照してください。 • Enable X-Auth Support [X-Auth サポートの有効化 ] — IPSec が有効化されてい る場合に GlobalProtect ゲートウェイの Extended Authentication(X-Auth)サ ポートを有効にするには、このオプションを選択します。X-Auth サポートによ り、X-Auth をサポートするサード パーティ IPSec VPN クライアント (Apple iOS および Android デバイスの IPSec VPN クライアント、Linux の VPNC クライア ントなど ) は、GlobalProtect ゲートウェイとの VPN トンネルを確立できます。 X-Auth オプションにより、VPN クライアントから特定の GlobalProtect ゲート ウェイへのリモート アクセスが可能になります。X-Auth アクセスで利用できる GlobalProtect 機能は限定されるため、GlobalProtect アプリケーションを使用す ることで、GlobalProtect が iOS および Android デバイスに提供するセキュリ ティ機能セットすべてへのアクセスを簡略化することを検討してください。 X-Auth Support [X-Auth サポート ] を選択すると Group Name [ グループ名 ] お よび Group Password [ グループパスワード ] のオプションが有効化されます。 – グループ名とグループのパスワードが指定されている場合、最初の認証 フェーズでは、双方がこの資格証明を使用して認証する必要があります。第 2 認証フェーズでは有効なユーザー名とパスワードが必要です。認証セクショ ンで設定された認証プロファイルを通じて検証されます。 – グループ名とグループ パスワードが定義されていない場合、最初の認証 フェーズは、サードパーティ VPN クライアントによって提示された有効な証 明書に基づきます。その後この証明書は、認証セクションで設定された証明 書プロファイルを通じて検証されます。 – デフォルトでは、IPSec トンネルの確立に使用されたキーの有効期限が切れた ときに、ユーザーに再認証は要求されません。ユーザーに再認証を要求する 場合は、Skip Auth on IKE Rekey [IKE キー再生成での認証をスキップ ] の選 択を解除します。 444 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. GlobalProtect の設定 GlobalProtect ゲートウェイのセットアップ Timeout Settings [ タイムアウト設定 ] タブ ユーザーセッションあるいはトンネル接続の待機時間の上限を設定する場合は、Network > GlobalProtect > Gateways > Agent > Timeout Settings [ ネットワーク > GlobalProtect > ゲートウェイ > エージェント > タイム アウト設定 ] を開きます。 表 226. GlobalProtect ゲートウェイクライアントトンネルモードのタイムアウト設定 フィールド 内容 タイムアウト設定 以下のタイムアウト設定を指定します。 • Login Lifetime [ ログイン ライフタイム ] — 1 回のゲートウェイ ログイン セッ ションに許可される日数、時間数、または分数を指定します。 • Inactivity Logout [ アイドル タイムアウト ] — 未通信状態のセッションが自動的 にログアウトされるまでの日数、時間数、または分数を指定します。 • Disconnect on Idle [ アイドル状態で切断 ] — 指定された時間内に GlobalProtect アプリが VPN トンネルを介してトラフィックを送信しなかった場合に、クライ アントが GlobalProtect からログアウトされるまでの時間を分数単位で指定しま す。 Client Settings [ クライアント設定 ] タブ エージェントがゲートウェイとのトンネルを確立する際の、クライアントシステムの仮想ネットワークア ダプタの設定を行う場合は Network > GlobalProtect > Gateways > Agent > Client Settings [ ネットワーク > GlobalProtect > ゲートウェイ > エージェント > クライアント設定 ] を開きます。 注:一部の Client Settings [ クライアント設定 ] は、トンネルモードを有効化して「Tunnel Settings [ トンネ ル設定 ] タブ」でトンネルインターフェイスを設定した場合にのみ使用可能になります。 表 227. GlobalProtect ゲートウェイクライアント設定およびネットワーク設定 フィールド 認証 内容 名前 クライアント設定の識別に使用する名前(最大 31 文字)を入力します。名前の大 文字と小文字は区別されます。また、一意の名前にする必要があります。文字、数 字、スペース、ハイフン、およびアンダースコアのみを使用してください。 認証のオーバーライド ユーザーが認証プロファイルまたは証明書プロファイルで指定された認証スキー ムで認証を行ったのちに、ゲートウェイがユーザーの認証を行う際に、保護され た、デバイス固有の暗号化された Cookie を使用できるようにします。 • Generate cookie for authentication override [ 認証オーバーライド用 Cookie を 生成 ] — Cookie が有効である間、ユーザーがゲートウェイとの認証を行うたび にエージェントはこの Cookie を提示します。 • Cookie Lifetime [Cookie の有効期間 ] — Cookie が有効な時間数、日数、あるい は週数を指定します。一般的な有効期間は 24 時間です。範囲は 1 ∼ 72 時間、 1 ∼ 52 週間、あるいは 1 ∼ 365 日です。Cookie が失効した場合、ユーザーはロ グイン認証情報を再度入力する必要があり、この入力をうけ、ゲートウェイは 新しい Cookie を暗号化してユーザーデバイスに送信します。 • Accept cookie for authentication override [Cookie による認証オーバーライドを 許可 ] — ゲートウェイが暗号化された Cookie による認証を許可するよう設定す る場合はこのオプションを選択します。エージェントが Cookie を提示すると、 ゲートウェイはユーザーを認証する前に、その Cookie が同じゲートウェイ自身 が暗号化したものであるかどうかを検証します。 • Certificate to Encrypt/Decrypt Cookie [Cookie 暗号化 / 復号化時の証明書 ] — Cookie の暗号化と復号化を行う際にゲートウェイが使用する証明書を選択しま す。 注:Cookie の暗号化および復号化用に、ポータルとゲートウェイが共に同じ証明 書を使用するよう設定されていることを確認してください。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 445 GlobalProtect ゲートウェイのセットアップ GlobalProtect の設定 表 227. GlobalProtect ゲートウェイクライアント設定およびネットワーク設定(続) フィールド User/User Group [ ユーザー/ ユーザー グループ ] タブ 内容 ユーザー / ユーザーグ ループ この設定を適用する特定のユーザーまたはユーザーグループを Add [ 追加 ] します。 注:ユーザーやユーザーグループを選択する前にグループマッピングを設定する 必要があります(Device > User Identification > Group Mapping Settings [ デバイ ス > User-ID > グループマッピング設定 ])。 このエージェント設定を適用するユーザーまたはユーザーグループ、およびクラ イアントオペレーティングシステムを指定します。 pre-logon [ ログオン前 ] モード(ユーザーがシステムにログオンする前)のエー ジェントまたはアプリに適用する設定や、any [ 任意 ] のユーザーに適用する設定 を作成することもできます。 OS エンドポイントのオペレーティングシステム(OS)ごとにクライアント認証プロファ イルを適用する場合は、OS を Add [ 追加 ] します(Android、Chrome、iOS、Mac、ま たは Windows) 。また、この値を Any [ すべて ] に設定しておくことで、エンドポイン トのオペレーティングシステムに関係なく、ユーザーやユーザーグループごとに設定 を適用させることができます。 Network Settings [ ネットワーク設定 ] タブ 認証サーバーからの Framed-IP-Address 属性 の取得 GlobalProtect ゲートウェイを有効にし、外部認証サーバーを使用して固定 IP アドレ スを割り当てる場合は、このオプションを選択します。このオプションを有効化し た場合、GlobalProtect ゲートウェイは、認証サーバーの Framed-IP 属性を使用して デバイス接続用の IP アドレスを割り当てます。 認証サーバー IP プール リモートユーザーに割り当てる IP アドレスのサブネットまたは範囲を Add [ 追加 ] します。トンネルが確立されると、GlobalProtect ゲートウェイは、認証サーバー の Framed-IP-Adress 属性を使用してこの範囲の IP アドレスを接続デバイスに割 り当てます。 Retrieve Framed-IP-Address attribute from authentication server [ 認証サーバーか らの Framed-IP-Adress 属性の取得 ] を有効化している場合にのみ Authentication Server IP Pool [認証サーバーIPプール] の設定と有効化が行えるようになります。 注:認証サーバーの IP プールには、すべての同時接続ユーザーをサポートするの に十分な IP アドレスが含まれている必要があります。IP アドレスは固定的に割り 当てられ、ユーザーの接続が切断された後も保持されます。異なるサブネットの 複数の範囲を設定し、システムがクライアントの他のインターフェイスと競合し ない IP アドレスを割り当てられるようにしてください。 ネットワーク内のサーバーおよびルーターは、この IP プールからファイアウォー ルにトラフィックをルーティングする必要があります。たとえば、ネットワーク 192.168.0.0/16 では、リモートユーザーは 192.168.0.10 といったアドレスの割り当 てを受けることができます。 IP プール リモートユーザーに割り当てる IP アドレスの範囲を Add [ 追加 ] します。トンネ ルが確立されると、この範囲内にあるアドレスを使用してリモートユーザーのコ ンピュータにインターフェイスが作成されます。 注:競合を回避するには、IP プールには、すべての同時接続ユーザーをサポート するのに十分な IP アドレスが含まれている必要があります。ゲートウェイでは、 クライアントと IP アドレスのインデックスが保持されるため、次回接続時に自動 的に同じ IP アドレスがクライアントに割り当てられます。異なるサブネットの複 数の範囲を設定し、システムがクライアントの他のインターフェイスと競合しな い IP アドレスを割り当てられるようにしてください。 ネットワーク内のサーバーおよびルーターは、この IP プールからファイアウォー ルにトラフィックをルーティングする必要があります。たとえば、ネットワーク 192.168.0.0/16 では、リモート ユーザーに 192.168.0.10 といったアドレスを割り当 てることができます。 446 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. GlobalProtect の設定 GlobalProtect ゲートウェイのセットアップ 表 227. GlobalProtect ゲートウェイクライアント設定およびネットワーク設定(続) フィールド 内容 ローカルネットワークへ の直接アクセスなし Windows および Mac OS システムのローカルネットワークへの直接アクセスを含 むスプリットトンネルを無効にする場合は、このオプションを選択します。この 機能により、ユーザーがトラフィックをプロキシまたはローカルリソース(ホー ムプリンタなど)に送信することを防止できます。トンネルが確立されると、す べてのトラフィックはトンネル経由でルーティングされ、ファイアウォールのポ リシーが適用されます。 アクセスルート ゲートウェイがリモートユーザーのエンドポイントにプッシュするルートを Add [ 追加 ] し、ユーザーが VPN 接続を通じて送信可能なものを設定します。たとえ ば、スプリット トンネルを設定し、リモート ユーザーが VPN トンネルを経由せ ずにインターネットに直接アクセスできるようにすることができます。 ルートを追加しない場合、すべてのリクエストはトンネル経由でルーティングさ れます(スプリットトンネルは行われません) 。この場合、インターネットのリク エストはすべてファイアウォールを通過して、ネットワークに出ていきます。こ の方法により、部外者がユーザーのエンドポイントにアクセスし、そのエンドポ イントをブリッジとして利用して社内ネットワークに侵入するのを防ぐことがで きます。 Network Services [ ネットワークサービス ] タブ エージェントがゲートウェイとのトンネルを確立する際に、クライアントシステムの仮想ネットワークア ダプタに割り当てられる DNS 設定を指定する場合は、Network > GlobalProtect > Gateways > Agent > Network Services [ ネットワーク > GlobalProtect > ゲートウェイ > エージェント > ネットワークサービス ] を開きま す。 注:ネットワークサービスのオプションは、トンネルモードを有効にして「Tunnel Settings [ トンネル設 定 ] タブ」でトンネルインターフェイスを定義した場合にのみ使用できます。 表 228. GlobalProtect ゲートウェイ クライアントのネットワーク サービス設定 フィールド 内容 継承ソース 指定した DHCP クライアントや PPPoE クライアントのインターフェイスから、 GlobalProtect エージェントまたはアプリへ DNS サーバー設定やその他の設定を継 承させる際のソースを選択します。この設定により、DNS サーバーや WINS サー バーなどのすべてのクライアントネットワーク設定は、[ 継承ソース ] で選択された インターフェイスの設定から継承されます。 継承ソース状態のチェッ ク クライアントインターフェイスに現在割り当てられているサーバーの設定を参照 する場合は、継承ソースをクリックします。 プライマリ DNS セカンダリ DNS クライアントに DNS を提供するプライマリ サーバーおよびセカンダリ サーバー の IP アドレスを入力します。 プライマリ WINS セカンダリ WINS クライアントに Windows Internet Naming Service (WINS) を提供するプライマリ サーバーおよびセカンダリ サーバーの IP アドレスを入力します。 DNS サフィックス 解決できない非修飾ホスト名が入力されたときにクライアントがローカルで使用 するサフィックスを Add [ 追加 ] します。複数のサフィックスをカンマで区切って 入力できます。 DNS サフィックスの継 承 継承ソースから DNS サフィックスを継承する場合は、このオプションを選択しま す。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 447 GlobalProtect ゲートウェイのセットアップ GlobalProtect の設定 HIP Notification [HIP 通知 ] タブ ホスト情報プロファイル(HIP)を含むセキュリティルールが適用された際にエンドユーザーに表示され る通知メッセージを定義する場合はNetwork > GlobalProtect > Gateways > Agent > HIP Notification [ネットワー ク > GlobalProtect > ゲートウェイ > エージェント > HIP 通知 ] を開きます。 これらのオプションはHIPプロファイルを作成しセキュリティプロファイルに追加済みの場合のみ使用可 能です。 表 229. GlobalProtect ゲートウェイ クライアントの HIP 通知設定 フィールド 内容 HIP 通知 HIP 通知を Add [ 追加 ] し、オプションを設定します。Match Message [ 一致 メッセージ ]、Not Match Message [ 不一致メッセージ ] のいずれか、あるいは両 方の通知を Enable [ 有効化 ] し、さらに Show Notification As [ 通知の表示方法 ] を System Tray Balloon [ システムトレイバルーン ] または Pop Up Message [ ポッ プアップメッセージ ] として表示するかどうかを指定することができます。さら に一致あるいは不一致のメッセージ内容を指定することができます。 これらの設定を使用して、ホストシステムに必須のアプリケーションがインス トールされていないことを示す警告メッセージを表示するなど、エンドユーザー にマシンの状態を通知します。Match Message [ 一致メッセージ ] の場合、Include Mobile App List [ 一致したアプリケーションのリストをメッセージに含める ] オプ ションを有効化して、HIP マッチをトリガーしたアプリケーションを表示させる こともできます。 注:HIP 通知メッセージではリッチ HTML 形式を使用し、外部の Web サイトやリ ソースへのリンクを含めることができます。リッチテキスト設定ツールバーのリ ンク( )をクリックして、リンクを追加します。 Satellite Configuration [ サテライト設定 ] タブ サテライトとは、GlobalProtect エージェントとして機能して GlobalProtect ゲートウェイへの VPN 接続 を確立できるようにする、Palo Alto Networks ファイアウォール(通常は支社に設置)です。ゲートウェ イ トンネル設定およびネットワーク設定を定義し、サテライトが VPN 接続を確立できるようにする場合 は Network > GlobalProtect > Gateways > Satellite Configuration [ ネットワーク > GlobalProtect > ゲートウェイ > サテライト設定 ] を開きます。また、サテライトが通知するルートを設定することもできます。 • 「Tunnel Settings [ トンネル設定 ] タブ」 • 「Network Settings [ ネットワーク設定 ] タブ」 • 「Route Filter [ ルートフィルタ ] タブ」 表 230. GlobalProtect ゲートウェイのサテライト設定 フィールド 内容 Tunnel Settings [ トンネル設定 ] タブ トンネル設定 Tunnel Configuration [ トンネル設定 ] を選択し、ドロップダウンリストから既存 の Tunnel Interface [ トンネルインターフェイス ] 、あるいは New Tunnel Interface [ 新規のトンネルインターフェイス ] を選択します。詳細は「トンネル インター フェイスの設定」を参照してください。 Replay attack detection [ リプレイ攻撃の検出 ] — リプレイ攻撃から保護します。 Copy TOS [TOS のコピー ] — 元の TOS(Type of Service)情報を保持するため、カ プセル化されたパケットの内部 IP ヘッダーから外部 IP ヘッダーに TOS ヘッダー をコピーします。 Configuration refresh interval (hours) [ 設定の更新間隔(時間)] — ポータルに設 定の更新があるかどうかサテライトデバイスに確認させる間隔を指定します(範 囲は 1 ∼ 48 時間、デフォルトは 2 時間 )。 448 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. GlobalProtect の設定 GlobalProtect ゲートウェイのセットアップ 表 230. GlobalProtect ゲートウェイのサテライト設定(続) フィールド 内容 トンネル モニタ サテライトがゲートウェイトンネル接続をモニターし、接続に失敗した場合に バックアップゲートウェイにフェイルオーバーできるようにする場合は、Tunnel Monitoring [ トンネルモニタリング ] を選択します。 Destination IP [ 宛先 IP ] — ゲートウェイへの接続があるかどうかを判断するため に使用するトンネルモニターの IP アドレス(ゲートウェイで保護されるネット ワークの IP アドレスなど)を指定します。または、トンネル インターフェイスに IP アドレスを設定した場合はこのフィールドを空白のままにでき、トンネル モニ ターは代わりにトンネル インターフェイスを使用して接続がアクティブかどうか を判断します。 Tunnel Monitor Profile [ トンネル モニター プロファイル ] — 別のゲートウェイへ の Failover [ フェイルオーバー ] は、LSVPN でサポートされている唯一のトンネ ル モニタリング プロファイルのタイプです。 暗号化プロファイル IPSec Crypto Profile [IPSec 暗号化プロファイル ] を選択するか、新しいプロファ イルを作成します。暗号ファイルにより、VPN トンネルでの識別、認証、および 暗号化のためのプロトコルとアルゴリズムが決まります。LSVPN の両方のトンネ ルエンドポイントが組織内の信頼されるファイアウォールであるので、一般には ESP プロトコル、DH group2、AES 128 CVC 暗号化、および SHA-1 認証を使用 するデフォルトのプロファイルを使用できます。詳細については、「IPSec 暗号化 プロファイルの定義」を参照してください。 Network Settings [ ネットワーク設定 ] タブ 継承ソース 選択された DHCP クライアントまたは PPPoE クライアント インターフェイスか ら GlobalProtect サテライト設定に、DNS サーバーやその他の設定を伝搬する継 承ソースを選択します。この設定により、DNS サーバーなどのすべてのネット ワーク設定は、Inheritance Source [ 継承ソース ] で選択したインターフェイスの 設定から継承されます。 プライマリ DNS セカンダリ DNS サテライトに DNS を提供するプライマリ サーバーおよびセカンダリ サーバーの IP アドレスを入力します。 DNS サフィックス Add [ 追加 ] をクリックして、解決できない非修飾ホスト名が入力されたときにサ テライトがローカルで使用するサフィックスを入力します。複数のサフィックス をカンマで区切って入力できます。 DNS サフィックスの継 承 解決できない非修飾ホスト名が入力されたときに、DNS サフィックスをサテライ トに送信してローカルで使用する場合は、このオプションを選択します。 IP プール このセクションを使用して、VPN トンネルの確立時にサテライトデバイスのトン ネルインターフェイスに割り当てる IP アドレスの範囲を Add [ 追加 ] します。 注:IP プールには、すべての同時接続ユーザーをサポートするのに十分な IP アド レスが含まれている必要があります。IP アドレスはダイナミックに割り当てられ、 サテライトの接続が切断された後は保持されません。異なるサブネットの複数の 範囲を設定することにより、システムは、サテライトの他のインターフェイスと 競合しない IP アドレスをサテライトに割り当てることができます。 ネットワーク内のサーバーおよびルーターは、この IP プールからファイアウォー ルにトラフィックをルーティングする必要があります。たとえば、ネットワーク 192.168.0.0/16 では、サテライトに 192.168.0.10 といったアドレスを割り当てるこ とができます。 ダイナミック ルーティングを使用している場合、サテライトについて指定した IP アドレスが、ゲートウェイおよびサテライトでトンネル インターフェイスに手動 で割り当てた IP アドレスと重複しないようにしてください。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 449 Mobile Security Manager へのゲートウェイ アクセスを設定する GlobalProtect の設定 表 230. GlobalProtect ゲートウェイのサテライト設定(続) フィールド 内容 アクセス ルート Add [ 追加 ] をクリックして、ルートを以下のように入力します。 • サテライトからのすべてのトラフィックをトンネルを経由してルーティングす る場合、このフィールドは空白のままにします。 • ゲートウェイを経由する一部のトラフィックのみをルーティングするには(ス プリット トンネルと呼ばれます)、トンネルする必要のある宛先サブネットを指 定します。この場合、サテライトは独自のルーティングテーブルを使用して、指 定したアクセスルートの宛先になっていないトラフィックをルーティングしま す。たとえば、企業ネットワークの宛先になっているトラフィックのみをトン ネルし、ローカルサテライトを使用して安全なインターネットアクセスを可能 にすることができます。 • サテライト間のルーティングを有効にするには、各サテライトによって保護さ れたネットワークのサマリー ルートを入力します。 Route Filter [ ルート フィルタ ] タブ サテライトによって通知されたルートをゲートウェイのルーティングテーブルに 受け入れる場合は、Accept published routes [ 公開されたルートの受け入れ ] を有 効化します。このオプションを選択しない場合、ゲートウェイはサテライトが通 知するルートを受け入れることができません。 サテライトによって通知されるルートの受け入れをさらに制限する場合は、許可 するサブネットを Add [ 追加 ] して、ゲートウェイがルートを受け入れるサブネッ トを定義します。サテライトによって通知されたサブネットのうち、リストに含 まれないものは除外されます。たとえば、LAN 側ですべてのサテライトが、 192.168.x.0/24 サブネットで設定されている場合、ゲートウェイでは許可された ル ー ト 192.168.0.0/16 を設定できます。この設定を行うと、ゲートウェイは 192.168.0.0/16 サブネットにあるサテライトからのみ、ルートを受け入れます。 Mobile Security Manager へのゲートウェイ アクセス を設定する Network > GlobalProtect > MDM [ ࢿࢵࢺ࣮࣡ࢡ > GlobalProtect > MDM] Mobile Security Manager を使用してエンド ユーザーのモバイル デバイスを管理していて、HIP が有効な ポリシーを適用している場合、Mobile Security Manager と通信して管理対象デバイスの HIP レポートを 取得するようにゲートウェイを設定する必要があります。ゲートウェイが Mobile Security Manager にア クセスするよう設定する場合は Network > GlobalProtect > MDM [ ネットワーク > GlobalProtect > MDM] を 開きます。 探している情報 以下を参照 ゲートウェイと Mobile Security Manager の通信を有効化させるための設定方法 ࠕGlobalProtect MDM タᐃࠖ その他の情報をお探しですか? GlobalProtect Mobile Security Manager サービスの詳細な設定方 法については、GlobalProtect 管理者ガイド、バージョン 6.2 の 「GlobalProtect Mobile Security Manager の設定」を参照してくだ さい。GlobalProtect Mobile Security Manager の HIP レポートを 取得するようにゲートウェイをセットアップする手順の詳細は、 「GlobalProtect Mobile Security Manager へのゲートウェイアク セスの有効化」を参照してください。 450 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. GlobalProtect の設定 デバイスブロックリストの作成 GlobalProtect MDM 設定 Mobile Security Manager 用の MDM 情報を Add [ 追加 ] します。 表 231. GlobalProtect MDM 設定 フィールド 内容 名前 Mobile Security Manager の名前 ( 最大 31 文字 ) を入力します。名前の大文字と小 文字は区別されます。また、一意の名前にする必要があります。文字、数字、ス ペース、ハイフン、およびアンダースコアのみを使用してください。 場所 マルチ仮想システムモードに設定されているファイアウォールの場合、Mobile Security Manager を使用可能な仮想システム(vsys)は Location [ 場所 ] です。マ ル チ 仮 想 シ ス テ ム モ ー ド に 設 定 さ れ て い な い フ ァ イ ア ウ ォ ー ル の 場 合、 Location [ 場所 ] フィールドは [ MDM ] ダイアログに表示されません。Mobile Security Manager を保存すると、その Location [ 場所 ] を変更できなくなりま す。 接続設定 サーバー ゲ ー ト ウ ェ イ が HIP レポートを取得するために接続する、Mobile Security Manager のインターフェイスの IP アドレスまたは FQDN を入力します。このイ ンターフェイスへのサービス ルートがあることを確認します。 接続ポート 接続ポートは Mobile Security Manager が HIP レポート要求をリッスンする場所 を 示 し ま す。デフォルトポートは 5008 です。GlobalProtect Mobile Security Manager はこのポートをリッスンします。サードパーティの Mobile Security Manager を使用する場合、サーバーが HIP レポート要求をリスンするポートの番 号を入力します。 クライアント証明書 HTTPS 接続を確立する際にゲートウェイが Mobile Security Manager に提示する クライアント証明書を選択します。この証明書は、Mobile Security Manager が相 互認証を使用するように設定されている場合にのみ必要になります。 信頼されたルート CA Add [ 追加 ] をクリックし、HIP レポートを取得するためにゲートウェイが接続す るインターフェイスの証明書を発行するために使用されたルート CA 証明書を選 択します。(このサーバー証明書は Mobile Security Manager のデバイスチェック インインターフェイス用に発効された証明書と異なるものでも構いません。 )ルー ト CA 証明書を必ずインポートし、このリストに追加してください。 デバイスブロックリストの作成 Network > GlobalProtect > Device Block List [ ࢿࢵࢺ࣮࣡ࢡ > GlobalProtect > ࢹࣂࢫࣈࣟࢵࢡࣜࢫ ࢺ] GlobalProtect デバイスブロックリストにデバイスを追加する場合は Network > GlobalProtect > Device Block List [ ネットワーク > GlobalProtect > デバイスブロックリスト ](ファイアウォールのみ)を開きます。リ ストに追加されたデバイスは GlobalProtect VPN 接続を確立することができなくなります。 表 232. デバイスブロックリスト設定 フィールド 内容 名前 デバイスブロックリストの名前を入力します(最大 31 文字)。名前の大文字と小文字は区別 されます。また、一意の名前にする必要があります。文字、数字、スペース、ハイフン、お よびアンダースコアのみを使用してください。 場所 マルチ仮想システムモードになっているファイアウォールの場合、Location [ 場所 ] は GlobalProtect ゲートウェイを使用できる仮想システム(vsys)になります。マルチ仮想シス テムモードになっていないファイアウォールの場合、Location [ 場所 ] フィールドは GlobalProtect Gateway [GlobalProtect ゲートウェイ ] ダイアログに表示されません。ゲート ウェイの設定を保存すると、その Location [ 場所 ] は変更できなくなります。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 451 HIP オブジェクトおよびプロファイルのセットアップ GlobalProtect の設定 表 232. デバイスブロックリスト設定(続) フィールド 内容 ホスト ID クライアントを識別できるよう、ホスト名と一意のデバイス ID を組み合わせた一意の ID を 入力してください。それぞれのホスト ID に対応するホスト名を指定します。 ホスト名 デバイスを識別するホスト名を入力します(最大 31 文字)。名前の大文字と小文字は区別さ れます。また、一意の名前にする必要があります。文字、数字、スペース、ハイフン、およ びアンダースコアのみを使用してください。 HIP オブジェクトおよびプロファイルのセットアップ 探している情報 以下を参照 HIP オブジェクトの機能の詳細とその作成 の際に指定する必要があるフィールド ࠕHIP ࢜ࣈࢪ࢙ࢡࢺࡢసᡂࠖ HIP ポリシーの機能の詳細とその作成の際 に指定する必要があるフィールド ࠕHIP ࣉࣟࣇࣝࡢࢭࢵࢺࢵࣉࠖ その他の情報をお探しですか? HIP オブジェクトおよび HIP ベースのポリシーの設定手順の詳 細は、GlobalProtect 管理者ガイドの「ポリシーを適用する際に ホスト名を使用する」を参照してください。 HIP オブジェクトの作成 Objects > GlobalProtect > HIP Objects [ ࢜ࣈࢪ࢙ࢡࢺ > GlobalProtect > HIP ࢜ࣈࢪ࢙ࢡࢺ ] ホスト情報プロファイル(HIP)用のオブジェクトを定義する場合は Objects > GlobalProtect > HIP Objects [ オブジェクト > GlobalProtect > HIP オブジェクト ] を選択します。HIP オブジェクトは、ポリシーを適用 する場合に使用する、エージェントやアプリが送信した生データに対してフィルタをかける際の一致条件 を定めるものです。例えば生のホストデータにクライアントが所有している数種類のアンチウイルスパッ ケージに関する情報が含まれる場合に、企業で必要としている特定のアプリに関する情報のみを選別する 必要があります。この場合、適用したい特定のアプリケーションに一致する HIP オブジェクトを作成しま す。 必要な HIP オブジェクトがどれであるか判別する場合は、ホスト情報をどのように使用してポリシーを適 用するかを明確化させることをお勧めします。HIP オブジェクト自体は、セキュリティポリシーで使用す る HIP プロファイルを作成するための構成要素にすぎないということに注意してください。そのため、オ ブジェクトをシンプルにし、たとえば、特定のタイプの必須ソフトウェアがあるか、特定のドメインのメ ンバーか、特定のクライアント OS があるかなど、1 つの条件にのみ一致させることが必要になる場合が あります。こうすることで、HIP で補完された非常に粒度の細かいポリシーを柔軟に作成することができ ます。 HIP オブジェクトを作成するには、Add [ 追加 ] をクリックして HIP Object [HIP オブジェクト ] ダイアロ グを開きます。各フィールドへの入力内容の説明については、以下の表を参照してください。 • 「General [ 全般 ] タブ」 • 「Mobile Device [ モバイル デバイス ] タブ」 • 「Patch Management [ パッチ管理 ] タブ」 • 「Firewall [ ファイアウォール ] タブ」 • 「Antivirus [ アンチウイルス ] タブ」 452 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. GlobalProtect の設定 HIP オブジェクトおよびプロファイルのセットアップ • 「Anti-Spyware [ アンチスパイウェア ] タブ」 • 「Disk Backup [ ディスク バックアップ ] タブ」 • 「Disk Encryption [ ディスク暗号化 ] タブ」 • 「Data Loss Prevention [ データ損失防止 ] タブ」 • 「Custom Checks [ カスタム チェック ] タブ」 HIP で補完されたセキュリティポリシーを作成する方法の詳細は、GlobalProtect 管理者ガイド ) の「HIP ベースのポリシー適用を設定する」を参照してください。 General [ 全般 ] タブ 新しい HIP オブジェクトの名前を指定したり、ドメイン、オペレーティングシステム、ネットワーク接続の タイプなど、一般的なホスト情報と照合するためのオブジェクトを設定する場合は Objects > GlobalProtect > HIP Objects > General [ オブジェクト > GlobalProtect > HIP オブジェクト > 全般 ] を開きます。 表 233. HIP オブジェクトの一般設定 フィールド 内容 名前 HIP オブジェクトの名前を入力します ( 最大 31 文字 )。名前の大文字と小文字は区別されま す。また、一意の名前にする必要があります。文字、数字、スペース、ハイフン、およびア ンダースコアのみを使用してください。 共有 Shared [ 共有 ] を選択した場合、現行の HIP オブジェクトは以下で使用可能になります。 • ファイアウォールのすべての仮想システム(vsys)(マルチ仮想システムモードのファイ アウォールにログインしている場合)。この選択を解除すると、Objects [ オブジェクト ] タ ブのドロップダウンリストから選択した Virtual System [ 仮想システム ] のみに対してオ ブジェクトが公開されます。マルチ仮想システムモードに設定されていないファイア ウォールの場合、このオプションは HIP オブジェクトのダイアログに表示されません。 • Panorama™ のすべてのデバイスグループこの選択を解除すると、Objects [ オブジェクト ] タブのドロップダウンリストから選択した Device Group [ デバイスグループ ] のみに対し てオブジェクトが公開されます。 オブジェクトを保存すると、その Shared [ 共有 ] 設定を変更できなくなります。現在の Location [ 場所 ] を確認する場合は Objects > GlobalProtect > HIP Objects [ オブジェクト > GlobalProtect > HIP オブジェクト ] を選択します。 内容 任意の説明を入力します。 オーバーライ ドの無効化 (Panorama の み) Objects [ オブジェクト ] タブで選択した Device Group [ デバイスグループ ] の子孫デバイス グループの HIP オブジェクトに対するオーバーライドアクセスを制御します。管理者が、継 承した値をオーバーライドすることで、オブジェクトのローカルコピーを子孫デバイスグ ループに作成することを禁止したい場合はこのオプションを選択してください。デフォルト では、このオプションは解除(オーバーライドが有効化)されています。 ホスト情報 ホスト情報を設定する場合のオプションを有効化する場合はこのオプションを選択します。 ドメイン ドメイン名による照合を行うには、ドロップダウンリストから演算子を選択して、照合文字 列を入力します。 OS ホスト OS による照合を行う場合は、最初のドロップダウンリストから Contains [ 含む ] を 選択し、2 つ目のドロップダウンリストからベンダーを選択し、3 つ目のドロップダウンリ ストで OS バージョンを選択するか、あるいは All [ すべて ] を選択して、選択したベンダー のすべての OS バージョンで照合を行うことができます。 クライアント バージョン 特定のバージョン番号による照合を行うには、ドロップダウンリストから演算子を選択し て、テキスト ボックスに照合する ( または除外する ) 文字列を入力します。 ホスト名 特定のホスト名の全体または一部による照合を行うには、ドロップダウンリストから演算子 を選択して、テキスト ボックスに照合する ( または、選択した演算子によっては除外する ) 文字列を入力します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 453 HIP オブジェクトおよびプロファイルのセットアップ GlobalProtect の設定 表 233. HIP オブジェクトの一般設定(続) フィールド ネットワーク 内容 このフィールドを使用して、特定のモバイル デバイス ネットワーク設定によるフィルタリ ングを有効にします。この一致基準はモバイル デバイスのみに適用されます。 ドロップダウンリストから演算子を選択し、2 つ目のドロップダウンリストからフィルタリ ング基準にするネットワーク接続のタイプを選択します。Wifi、Mobile [ モバイル ]、Ethernet (Is Not [ ではない ] フィルタの場合のみ選択可能)、または Unknown [ 不明 ]。ネットワーク タイプを選択したら、指定可能な場合は、追加の照合文字列を入力します。たとえば、モバ イル「Carrier [ 通信事業者 ]」や WiFi「SSID」などを指定できます。 Mobile Device [ モバイル デバイス ] タブ GlobalProtect アプリが稼動しているモバイルデバイスから収集したデータに対する HIP 照合を有効化す る場合は Objects > GlobalProtect > HIP Objects > Mobile Device [ オブジェクト > GlobalProtect > HIP オブジェ クト > モバイルデバイス ] を選択します。 表 234. HIP オブジェクトのモバイル デバイス設定 フィールド 内容 モバイル デバイス GlobalProtect アプリが稼動しているモバイルデバイスから収集したホストデータ に対するフィルタリングを有効化し、Device [ デバイス ]、Settings [ 設定 ]、およ び Apps [ アプリ ] タブを有効化する場合はこのオプションを選択します。 Device [ デバイス ] タブ • Serial Number [ シリアル番号 ] — デバイス シリアル番号の全体または一部によ る照合を行うには、ドロップダウンリストから演算子を選択し、照合文字列を 入力します。 • Model [ モデル ] — 特定のデバイス モデルによる照合を行うには、ドロップダウ ンリストから演算子を選択し、照合文字列を入力します。 • Tag [ タグ ] — GlobalProtect Mobile Security Manager に定義されたタグ値によ る照合を行うには、最初のドロップダウンリストから演算子を選択し、2 つ目の ドロップダウンリストからタグを選択します。 • Phone Number [ 電話番号 ] — デバイスの電話番号の全体または一部による照合 を行うには、ドロップダウンリストから演算子を選択し、照合文字列を入力し ます。 • IMEI — IMEI (International Mobile Equipment Identity) による照合を行うには、 ドロップダウンリストから演算子を選択し、照合文字列を入力します。 Settings [ 設定 ] タブ • Passcode [ パスコード ] — デバイスにパスコードが設定されているかどうかに 基づいてフィルタリングします。パスコードが設定されているデバイスを照合 する場合は、Yes [ はい ] を選択します。パスコードが設定されていないデバイ スを照合するには、no [ いいえ ] を選択します。 • Device Managed [ 管理対象デバイス ] — デバイスが MDM によって管理されて いるかどうかに基づいてフィルタリングします。管理対象のデバイスを照合す る場合は、Yes [ はい ] を選択します。管理対象以外のデバイスを照合する場合 は、No [ いいえ ] を選択します。 • Rooted/Jailbroken [root 化/jailbreak] — デバイスが root 化または jailbreak され ているかどうかに基づいてフィルタリングします。root 化または jailbreak され ているデバイスを照合する場合は、Yes [ はい ] を選択します。root 化または jailbreak されていないデバイスを照合する場合は、No [ いいえ ] を選択します。 • Disk Encryption [ ディスク暗号化 ] — デバイス データが暗号化されているかど うかに基づいてフィルタリングします。ディスク暗号化が有効なデバイスを照 合するには、yes [ はい ] を選択します。ディスク暗号化が有効ではないデバイ スを照合するには、no [ いいえ ] を選択します。 • Time Since Last Check-in [ 最後のチェックインからの経過時間 ] — デバイスが 最後に MDM にチェックインした日時に基づいてフィルタリングします。ド ロップダウンリストから演算子を選択し、チェックイン期間の日数を指定しま す。たとえば、過去 5 日以内にチェックインされていないデバイスを照合する ためのオブジェクトを定義できます。 454 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. GlobalProtect の設定 HIP オブジェクトおよびプロファイルのセットアップ 表 234. HIP オブジェクトのモバイル デバイス設定(続) フィールド Apps [ アプリ ] タブ 内容 • Apps [ アプリ ] —(Android デバイスのみ)デバイスにインストールされている アプリケーションに基づいて、また、マルウェアに感染したアプリケーション がデバイスにインストールされているかどうかに基づいたフィルタリングを有 効にする場合は、このオプションを選択します。 • Criteria [ 一致条件 ] タブ – Has Malware [マルウェアあり] — マルウェアに感染したアプリケーションが インストールされているデバイスを照合するには、Yes [ はい ] を選択します。 マルウェアに感染したアプリケーションがインストールされていないデバイ スを照合するには、No [ いいえ ] を選択します。Has Malware [ マルウェアあ り ] を一致条件として使用しない場合は、None [ なし ] を選択します。 • Include [ 含める ] タブ – Package [パッケージ] — 特定のアプリケーションがインストールされている デバイスを照合するには、Add [ 追加 ] をクリックしてから、一意のアプリ ケーション名を (com.netflix.mediaclient など、DNS の逆フォーマットで ) Package [ パッケージ ] フィールドに入力し、対応するアプリケーションの Hash [ ハッシュ ] を入力します。ハッシュは、GlobalProtect アプリケーショ ンが計算し、デバイス HIP レポートとともに送信します。 Patch Management [ パッチ管理 ] タブ GlobalProtect クライアントのパッチステータスに対する HIP 照合を有効化する場合は Objects > GlobalProtect > HIP Objects > Patch Management [ オブジェクト > GlobalProtect > HIP オブジェクト > パッチ 管理 ] を開きます。 表 235. HIP オブジェクトのパッチ管理設定 フィールド 内容 パッチ管理 ホストのパッチ管理ステータスに対する照合を有効化し、Criteria [ 一致条件 ] およ び Vendor [ ベンダー ] タブを有効化する場合はこのオプションを選択します。 Criteria [ 一致条件 ] タブ 以下の設定を指定します。 • Is Installed [ インストール済み ] — パッチ管理ソフトウェアがホストにインス トールされているかどうかによって照合します。 • Is Enabled [有効] — パッチ管理ソフトウェアがホストで有効かどうかによって照 合します。Is Installed [ インストール済み ] の選択が解除されている場合、この フィールドは自動的に none [ なし ] に設定され、編集ができなくなります。 • Severity [ 重大度 ] — 論理演算子のリストから重大度を選択し、指定した重大度ナ ンバーのパッチがホストから欠落しているかどうかを照合します。 • Check [ チェック ] — エンドポイントのパッチが欠落しているかどうかによって 照合します。 • Patches [ パッチ ] — ホストに特定のパッチが適用されているかどうかによって照 合します。Add [ 追加 ] をクリックし、有無をチェックする特定のパッチ名のファ イル名を入力します。 Vendor [ ベンダー ] タブ ホスト上で検索して照合する、パッチ管理ソフトウェアや製品の特定のベンダーを 定義します。Add [ 追加 ] をクリックして、ドロップダウンリストから Vendor [ ベ ンダー] を選択します。必要に応じて、Add [ 追加 ] をクリックして、特定の Product [ 製品 ] を選択します。OK をクリックして設定を保存します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 455 HIP オブジェクトおよびプロファイルのセットアップ GlobalProtect の設定 Firewall [ ファイアウォール ] タブ GlobalProtect クライアントのファイアウォールソフトウェア状態に基づいた HIP 照合を有効する場合は、 Objects > GlobalProtect > HIP Objects > Firewall [ オブジェクト > GlobalProtect > HIP オブジェクト > ファイア ウォール ] を開きます。 表 236. HIP オブジェクトのファイアウォール設定 フィールド 内容 ファイアウォール ホストのファイアウォールソフトウェア状態による照合を有効化する場合は、 Firewall [ ファイアウォール ] を選択します。 • Is Installed [ インストール済み ] — ファイアウォールソフトウェアがホストにイ ンストールされているかどうかによって照合します。 • Is Enabled [ 有効 ] — ファイアウォール ソフトウェアがホストで有効かどうかに よって照合します。Is Installed [ インストール済み ] の選択が解除されている場 合、このフィールドは自動的に none [ なし ] に設定され、 編集ができなくなります。 • Vendor and Product [ ベンダーおよび製品 ] — ホスト上で検索して照合する特定 のファイアウォール ソフトウェア ベンダー / 製品を定義します。Add [ 追加 ] を クリックして、ドロップダウンリストから Vendor [ ベンダー ] を選択します。必 要に応じて、Add [ 追加 ] をクリックして、特定の Product [ 製品 ] を選択します。 OK をクリックして設定を保存します。 • Exclude Vendor [ ベンダーの除外 ] — 特定のベンダーのソフトウェアがないホス トを照合する場合は、このオプションを選択します。 Antivirus [ アンチウイルス ] タブ GlobalProtect クライアントのアンチウイルス対象範囲に基づく HIP 照合を有効にする場合は Objects > GlobalProtect > HIP Objects > Antivirus [ オブジェクト > GlobalProtect > HIP オブジェクト > アンチウイルス ] を 開きます。 表 237. HIP オブジェクトのアンチウイルス設定 フィールド 内容 アンチウイルス ホストのアンチウイルス対象範囲による照合を有効にする場合は、Antivirus [ アンチウイ ルス ] を選択し、追加の照合条件を以下のように定義します。 • Is Installed [ インストール済み ] — アンチウイルスソフトウェアがホストにインストー ルされているかどうかによって照合します。 • Real Time Protection [ リアルタイム保護 ] — リアルタイムのアンチウイルス保護がホ ストで有効かどうかによって照合します。Is Installed [ インストール済み ] の選択が解 除されている場合、このフィールドは自動的に None [ なし ] に設定され、編集ができ なくなります。 • Virus Definition Version [ ウイルス定義バージョン ] — 指定された日数内にウイルス定 義が更新されたかどうか、またはリリースバージョンのどちらに基づいて照合を行うか を指定します。 • Product Version [ 製品バージョン ] — アンチウイルスソフトウェアの特定のバージョン に対して照合を行います。検索するバージョンを指定するには、ドロップダウンリスト から演算子を選択して、製品バージョンを表す文字列を入力します。 • Last Scan Time [ 最終スキャン時間 ] — 最後にアンチウイルススキャンが実行された時 間に基づいて照合を行います。ドロップダウンリストから演算子を選択し、照合する Days [ 日 ] 数または Hours [ 時間 ] 数を指定します。 • Vendor and Product [ ベンダーおよび製品 ] — ホスト上で検索して照合する特定のアン チウイルス ソフトウェア ベンダー / 製品を定義します。Add [ 追加 ] をクリックして、 ドロップダウンリストから Vendor [ ベンダー ] を選択します。必要に応じて、Add [ 追 加 ] をクリックして、特定の Product [ 製品 ] を選択します。OK をクリックして設定を 保存します。 • Exclude Vendor [ ベンダーの除外 ] — 特定のベンダーのソフトウェアがないホストを照 合する場合は、このオプションを選択します。 456 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. GlobalProtect の設定 HIP オブジェクトおよびプロファイルのセットアップ Anti-Spyware [ アンチスパイウェア ] タブ GlobalProtect クライアントのアンチスパイウェア対象範囲に基づいた HIP 照合を有効化する場合は Objects > GlobalProtect > HIP Objects > Anti-Spyware [ オブジェクト > GlobalProtect > HIP オブジェクト > ア ンチスパイウェア ] を開きます。 表 238. HIP オブジェクトのアンチスパイウェア設定 フィールド 内容 アンチスパイ ウェア ホストのアンチスパイウェア対象範囲による照合を有効にする場合は Anti-Spyware [ ア ンチスパイウェア ] を選択し、追加の照合条件を以下のように定義します。 • Real Time Protection [ リアルタイム保護 ] — リアルタイムのアンチスパイウェア保護 がホストで有効かどうかによって照合します。Is Installed [ インストール済み ] の選択 が解除されている場合、このフィールドは自動的に none [ なし ] に設定され、編集がで きなくなります。 • Is Installed [ インストール済み ] — アンチスパイウェア ソフトウェアがホストにインス トールされているかどうかによって照合します。 • Virus Definition Version [ ウイルス定義のバージョン ] — リストから演算子を選択し、 照合するウイルス定義のバージョンを入力します。演算子に Within [ 範囲内 ] または Not Within [ 範囲外 ] を指定した場合は、日数またはバージョンを指定します。 • Product Version [ 製品バージョン ] — リストから演算子を選択し、照合を行いたいアン チスパイウェアソフトウェアの特定の製品バージョンを入力します。 • Last Scan Time [ 最終スキャン時間 ] — 最後にアンチスパイウェアスキャンが実行され た時間に基づいて照合を行うかどうかを指定します。演算子を選択し、照合する Days [ 日 ] 数または Hours [ 時間 ] 数を指定します。 • Vendor and Product [ ベンダーおよび製品 ] — ホスト上で検索して照合する、特定のア ンチスパイウェアソフトウェアベンダーまたは製品を定義します。Add [ 追加 ] をクリッ クして、ドロップダウンリストから Vendor [ ベンダー ] を選択します。必要に応じて、 Add [ 追加 ] をクリックして、特定の Product [ 製品 ] を選択します。OK をクリックし て設定を保存します。 • Exclude Vendor [ ベンダーの除外 ] — 特定のベンダーのソフトウェアがないホストを照 合する場合は、このオプションを選択します。 Disk Backup [ ディスク バックアップ ] タブ GlobalProtect クライアントのディスクバックアップ状態に基づいた HIP 照合を有効化する場合は、Objects > GlobalProtect > HIP Objects > Disk Backup [ オブジェクト > GlobalProtect > HIP オブジェクト > ディスク バックアップ ] を開きます。 表 239. HIP オブジェクトのディスク バックアップ設定 フィールド 内容 ディスク バック アップ ホストのディスクバックアップ状態による照合を有効にするには、Disk Backup [ ディス クバックアップ ] を選択し、追加の照合条件を以下のように定義します。 • Is Installed [ インストール済み ] — ディスク バックアップ ソフトウェアがホストにイ ンストールされているかどうかによって照合します。 • Last Backup Time [最終スキャン時間] — 最後にディスク バックアップが実行された時 間に基づいて照合を行うかどうかを指定します。ドロップダウンリストから演算子を選 択し、照合する Days [ 日 ] 数または Hours [ 時間 ] 数を指定します。 • Vendor and Product [ ベンダーおよび製品 ] — ホスト上で検索して照合する、特定の ディスクバックアップ ソフトウェアベンダーまたは製品を定義します。Add [ 追加 ] を クリックして、ドロップダウンリストから Vendor [ ベンダー ] を選択します。必要に応 じて、Add [ 追加 ] をクリックして、特定の Product [ 製品 ] を選択します。OK をクリッ クして設定を保存します。 • Exclude Vendor [ ベンダーの除外 ] — 特定のベンダーのソフトウェアがないホストを照 合する場合は、このオプションを選択します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 457 HIP オブジェクトおよびプロファイルのセットアップ GlobalProtect の設定 Disk Encryption [ ディスク暗号化 ] タブ GlobalProtect クライアントのディスク暗号化状態に基づいた HIP 照合を有効化する場合は、Objects > GlobalProtect > HIP Objects > Disk Encryption [ オブジェクト > GlobalProtect > HIP オブジェクト > ディスク 暗号化 ] を開きます。 表 240. HIP オブジェクトのディスク暗号化設定 フィールド 内容 ディスク暗号化 ホストのディスク暗号化状態による照合を有効にする場合は、Disk Encryption [ ディスク 暗号化 ] を選択します。 基準 以下の設定を指定します。 • Is Installed [ インストール済み ] — ディスク暗号化ソフトウェアがホストにインストー ルされているかどうかによって照合します。 • Encrypted Locations [ 暗号化された場所 ] — Add [ 追加 ] をクリックして、照合時にディ スクが暗号化されているかチェックするドライブまたはパスを指定します。 – Encrypted Locations [ 暗号化された場所 ] — 暗号化されているかどうかをチェック するホスト上の特定の場所を入力します。 – State [ 状態 ] — 暗号化された場所の状態を照合する方法を指定します。ドロップダ ウンリストから演算子を選択し、有効な状態 (full [ フル ]、none [ なし ]、partial [ 一 部 ]、not-available [ 使用不可 ]) を選択します。 OK をクリックして設定を保存します。 ベンダー エンドポイント上で検索して照合する、特定のディスク暗号化ソフトウェアベンダーまた は製品を定義します。Add [ 追加 ] をクリックして、ドロップダウンリストから Vendor [ ベンダー ] を選択します。必要に応じて、Add [ 追加 ] をクリックして、特定の Product [ 製品 ] を選択します。OK をクリックして設定を保存し、Disk Encryption [ ディスク暗号 化 ] タブに戻ります。 Data Loss Prevention [ データ損失防止 ] タブ GlobalProtect クライアントがデータ損失防止ソフトウェアを稼働しているか否かに基づいて HIP 照合を 設定する場合は、Objects > GlobalProtect > HIP Objects > Data Loss Prevention [ オブジェクト > GlobalProtect > HIP オブジェクト > データ損失防止 ] を開きます。 表 241. HIP オブジェクトのデータ損失防止設定 フィールド 内容 データ損失防止 ホスト(Windows ホストのみ)のデータ損失防止(DLP)による照合を有効にする場合 は、Data Loss Prevention [ データ損失防止 ] を選択し、追加の照合条件を以下のように 定義します。 • Is Enabled [ 有効 ] — DLP ソフトウェアがホストで有効かどうかによって照合します。 Is Installed [ インストール済み ] の選択が解除されている場合、このフィールドは自動 的に None [ なし ] に設定され、編集ができなくなります。 • Is Installed [インストール済み] — DLP ソフトウェアがホストにインストールされてい るかどうかによって照合します。 • Vendor and Product [ ベンダーおよび製品 ] — ホスト上で検索して照合する特定の DLP ソフトウェア ベンダー / 製品を定義します。Add [ 追加 ] をクリックして、ドロップダ ウンリストから Vendor [ ベンダー] を選択します。必要に応じて、Add [ 追加 ] をクリッ クして、特定の Product [ 製品 ] を選択します。OK をクリックして設定を保存します。 • Exclude Vendor [ ベンダーの除外 ] — 特定のベンダーのソフトウェアがないホストを照 合する場合は、このオプションを選択します。 458 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. GlobalProtect の設定 HIP オブジェクトおよびプロファイルのセットアップ Custom Checks [ カスタム チェック ] タブ GlobalProtect ポータルに定義されているカスタムチェックによる HIP 照合を有効化する場合は、Objects > GlobalProtect > HIP Objects > Custom Checks [ オブジェクト > GlobalProtect > HIP オブジェクト > カスタム チェック ] を開きます。HIP 収集にカスタムチェックを追加する方法の詳細は、「GlobalProtect ポータル のセットアップ」を参照してください。 表 242. HIP オブジェクトのカスタム チェック設定 フィールド 内容 カスタム チェッ ク GlobalProtect ポータルに定義されているカスタムチェックによる HIP 照合を有効化する 場合は、Custom Checks [ カスタムチェック ] を選択します。 プロセス リスト ホスト システムに特定のプロセスがあるかチェックするには、 Add [ 追加 ] をクリックし、 プロセス名を入力します。デフォルトでは、エージェントは実行中のプロセスがあるか チェックします。特定のプロセスがシステムに存在するかどうかだけを確認する場合は、 Running [ 実行中 ] の選択を解除します。 レジストリ キー Windows ホストに特定のレジストリキーがあるかチェックする場合は、Add [ 追加 ] をク リックし、照合する Registry Key [ レジストリキー ] を入力します。指定したレジストリ キーまたはキーの値が欠損しているホストのみを照合する場合は Key does not exist or match the specified value data [ キーが存在しないか、指定した値データと一致しない ] のボックスを選択します。 特定の値を照合するには、Add [ 追加 ] をクリックし、Registry Value [ レジストリ値 ] と Value Data [ 値データ ] を入力します。指定された値または値データを明示的に持たない ホストを照合するには、Negate [ 除外 ] を選択します。 OK をクリックして設定を保存します。 Plist Mac ホストのプロパティリスト(plist)に特定のエントリがあるかチェックする場合は、 Add [ 追加 ] をクリックし、Plist 名を入力します。指定した plist を持たないホストのみ を照合する場合は、Plist does not exist [Plist が存在しない ] を選択します。 plist 内の特定のキー / 値ペアによって照合するには、Add [ 追加 ] をクリックし、照合す る Key [ キー ] と対応する Value [ 値 ] を入力します。指定されたキーまたは値を明示的 に持たないホストを照合する場合は、Negate [ 除外 ] を選択します。 OK をクリックして設定を保存します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 459 HIP オブジェクトおよびプロファイルのセットアップ GlobalProtect の設定 HIP プロファイルのセットアップ Objects > GlobalProtect > HIP Profiles [ ࢜ࣈࢪ࢙ࢡࢺ > GlobalProtect > HIP ࣉࣟࣇࣝ ] HIP が有効化されたセキュリティポリシーを設定する場合に使用する HIP プロファイル(モニタリングま たはセキュリティポリシー適用のためにまとめて評価される HIP オブジェクトのコレクション)を作成す る場合は、Objects > GlobalProtect > HIP Profiles [ オブジェクト > GlobalProtect > HIP プロファイル ] を開き ます。HIP プロファイルを作成する場合は、Boolean ロジックを使用し、以前に作成した HIP オブジェク ト(と他の HIP プロファイル)を組み合わせることができます。これにより、作成した HIP プロファイ ルに対してトラフィックフローを評価し、一致か不一致かを判定することができます。一致が見つかった 場合、対応するポリシールールが適用されます。一致がなければ、他のポリシー照合条件と同様に、フ ローは次のルールと照合して評価されます。 HIP プロファイルを作成するには、Add [ 追加 ] をクリックします。以下の表では、[HIP プロファイル ] ダ イアログの各フィールドに入力する内容について説明します。HIP で補完されたセキュリティポリシーを作 成するために GlobalProtect とワークフローをセットアップする場合の詳細については、GlobalProtect 管理 者ガイドの「HIP ベースのポリシー適用の設定」を参照してください。 表 243. HIP プロファイル設定 フィールド 内容 名前 プロファイルの名前を入力します ( 最大 31 文字 )。名前の大文字と小文字は区別されま す。また、一意の名前にする必要があります。文字、数字、スペース、ハイフン、および アンダースコアのみを使用してください。 内容 任意の説明を入力します。 共有 現在の HIP プロファイルを以下で使用可能にする場合は Shared [ 共有 ] を選択します。 • ファイアウォールのすべての仮想システム(vsys)(マルチ仮想システムモードのファ イアウォールにログインしている場合)。この選択を解除すると、Objects [ オブジェク ト ] タブのドロップダウンリストで選択した Virtual System [ 仮想システム ] のみに対 してプロファイルが公開されます。マルチ仮想システムモードに設定されていないファ イアウォールの場合、このオプションは HIP プロファイルのダイアログに表示されま せん。 • Panorama のすべてのデバイス グループ。この選択を解除すると、Objects [ オブジェク ト ] タブのドロップダウンリストで選択した Device Group [ デバイスグループ ] のみに 対してプロファイルが公開されます。 プロファイルを保存すると、その Shared [ 共有 ] 設定を変更できなくなります。現在の Location [ 場所 ] を確認する場合は Objects > GlobalProtect > HIP Profiles [ オブジェクト > GlobalProtect > HIP プロファイル ] を選択します。 オーバーライド の無効化 (Panorama のみ ) このチェック ボックスを使用して、Objects [オブジェクト] タブで選択した Device Group [ デバイスグループ ] の子孫デバイスグループの HIP プロファイルへのオーバーライドア クセスを制御します。管理者が、継承した値をオーバーライドすることで、プロファイル のローカルコピーを子孫デバイスグループに作成することを禁止したい場合はこのオプ ションを選択してください。デフォルトでは、このオプションは解除(オーバーライドが 有効化)されています。 460 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. GlobalProtect の設定 HIP オブジェクトおよびプロファイルのセットアップ 表 243. HIP プロファイル設定(続) フィールド 一致 内容 Add Match Criteria [ 条件の追加 ] をクリックして、HIP Objects/Profiles Builder [HIP オ ブジェクト / プロファイル ビルダー ] を開きます。 一致条件として使用する最初の HIP オブジェクトまたはプロファイルを選択し、HIP Objects/ProfilesBuilder [HIP オブジェクト / プロファイルビルダー ] ダイアログの Match [ 一致 ] テキストボックスに追加( )します。オブジェクトの条件がフローに当てはま らない場合にのみ HIP プロファイルでオブジェクトを一致として評価する場合、オブジェ クトを追加する前に、NOT を選択します。 続けて、作成するプロファイルに必要なだけ一致条件を追加して、追加した条件の間に適 切な Boolean 演算子(AND または OR)を選択します(ここでも必要に応じて NOT を使 用します )。 複雑な Boolean 式を作成する場合は、Match [ 一致 ] のテキストボックス内の適切な位置 に手動でかっこを追加して、HIP プロファイルが意図したロジックを使用して評価される ようにします。たとえば、以下の式は HIP プロファイルが、FileVault ディスク暗号化 (Mac OS システム)または TrueCrypt ディスク暗号化(Windows システム)されてい て、指定されたドメインに属し、Symantec アンチウイルスクライアントがインストール されているホストからのトラフィックを照合することを示します。 ((“MacOS” and “FileVault”) or (“Windows” and “TrueCrypt”)) and “Domain” and “SymantecAV” 新しい HIP プロファイルへのオブジェクトおよびプロファイルの追加が終了したら、OK をクリックします。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 461 GlobalProtect エージェントのセットアップとアクティベーション GlobalProtect の設定 GlobalProtect エージェントのセットアップとアク ティベーション 探している情報 以下を参照 GlobalProtect エージェントソフトウェア のリリースについて詳細を確認できる場所 ࠕGlobalProtect ࢚࣮ࢪ࢙ࣥࢺࢯࣇࢺ࢙࢘ࡢ⟶⌮ࠖ GlobalProtect エージェントソフトウェア のインストール方法 ࠕGlobalProtect ࢚࣮ࢪ࢙ࣥࢺࡢࢭࢵࢺࢵࣉࠖ GlobalProtect エージェントソフトウェア の使用方法 ࠕGlobalProtect ࢚࣮ࢪ࢙ࣥࢺࡢ⏝ࠖ その他の情報をお探しですか? GlobalProtect のセットアップ手順の詳細は、GlobalProtect 管理 者ガイドの「GlobalProtect クライアントソフトウェアのデプロ イ」を参照してください。 GlobalProtect エージェントソフトウェアの管理 Device > GlobalProtect Client [ ࢹࣂࢫ > GlobalProtect ࢡࣛࣥࢺ ] ポータルをホストしているファイアウォールに GlobalProtect エージェントソフトウェアをダウンロード し、起動する場合は Device > GlobalProtect Client [ デバイス > GlobalProtect クライアント ] を選択します (ファイアウォールのみ)。以降、ポータルに接続したエンドポイントはエージェントソフトウェアをダウ ンロードするようになります。ポータルで指定するエージェント設定では、ポータルがエンドポイントに ソフトウェアをプッシュする際の方法とタイミングを定義します。この設定により、エージェントが接続 した際に自動的にアップグレードが行われるのか、エンドユーザーにアップグレードのプロンプトが表示 されるのか、あるいはすべてまたは特定のユーザーに対しアップグレードを禁止するかどうかを決定しま す。詳細については、「ユーザーによる GlobalProtect アプリのアップグレードを許可」の「Agent Configuration [ エージェント設定 ] タブ」を参照してください。GlobalProtect エージェントソフトウェア の配布オプションとソフトウェアのデプロイ手順の詳細は、GlobalProtect 管理者ガイドの「GlobalProtect クライアントソフトウェアのデプロイ」を参照してください。 GlobalProtect エージェントを初めてダウンロードしてインストールする場合、クライアントエ ンドポイントのユーザーは管理者権限でログインする必要があります。その後のアップグレー ドでは、管理者権限は必要ありません。 表 244. GlobalProtect クライアントの設定 フィールド 内容 バージョン このバージョンナンバーは Palo Alto Networks 更新サーバーで入手可能な GlobalProtect エージェントソフトウェアのバージョンを示しています。Palo Alto Networks から新しい エージェントソフトウェアリリースを入手可能かどうか確認する場合は、Check Now [ 今 すぐチェック ] をクリックします。ファイアウォールはサービスルートを使用して更新 サーバーに接続し、新しいバージョンの有無をチェックします。適用可能な更新がある場 合は、リストの最上部に表示されます。 サイズ エージェント ソフトウェア バンドルのサイズ。 リリース日 Palo Alto Networks がリリースを公開した日時。 ダウンロード済 み この列にチェック マークがある場合、対応するエージェント ソフトウェア パッケージの バージョンがファイアウォールにダウンロード済みであることを示します。 462 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. GlobalProtect の設定 GlobalProtect エージェントのセットアップとアクティベーション 表 244. GlobalProtect クライアントの設定(続) フィールド 内容 現在アクティ ベーション済み この列にチェック マークがある場合、対応するエージェント ソフトウェア パッケージの バージョンがファイアウォールでアクティブ化済みであり、エージェントを接続するとダ ウンロードできることを示します。一度にアクティブ化できるソフトウェアのバージョン は 1 つのみです。 操作 現在、対応するエージェント ソフトウェア パッケージに対して以下のアクションを実行 できることを示します。 • Download [ ダウンロード ] — 対応するエージェント ソフトウェアのバージョンを Palo Alto Networks 更 新 サーバーから入手可能です。ダウンロードを開始する場合は Download [ ダウンロード ] をクリックします。ファイアウォールがインターネットにア クセスできない場合、インターネットに接続されたコンピュータでソフトウェア更新サ イトにアクセスし、新しいエージェント ソフトウェア バージョンを検索してローカル コンピュータに Download [ ダウンロード ] します。次にファイアウォールへエージェ ントソフトウェアを手動で Upload [ アップロード ] します。 • Activate [ アクティベート ] — 対応するエージェント ソフトウェア バージョンはファイ アウォールにダウンロード済みですが、エージェントはまだダウンロードできません。 Activate [ アクティベート ] をクリックしてソフトウェアをアクティベートし、エージェ ントをアップグレードできる状態にします。手動でファイアウォールにアップロードし たソフトウェア更新をアクティベートする場合は、Activate From File [ ファイルからア クティベート ] をクリックして、アクティベートするバージョンをドロップダウンリス トから選択します(Currently Activated [ 現在アクティベート済み ] として表示するに は画面の更新が必要になる場合があります)。 • Reactivate [ 再アクティベート ] — 対応するエージェントソフトウェアはアクティベー ト済みで、クライアントがダウンロードできる状態です。ファイアウォール上で一度に アクティブ化できる GlobalProtect エージェントソフトウェアのバージョンは 1 つのみ のため、エンドユーザーが現在アクティブなバージョン以外のバージョンにアクセスす る必要がある場合、その別のバージョンを Activate [ アクティベート ] して Currently Active [ アクティベート済み ] にする必要があります。 リリースノート 対応するエージェント バージョンの GlobalProtect リリースノートへのリンクを提供し ます。 以前にダウンロードしたエージェント ソフトウェア イメージをファイアウォールから削 除します。 GlobalProtect エージェントのセットアップ GlobalProtect エージェント (PanGP エージェント ) は、クライアント システム ( 通常、ノートパソコン ) にインストールされるアプリケーションであり、ポータルとゲートウェイを使用して GlobalProtect 接続 をサポートし、GlobalProtect サービス (PanGP サービス ) によってサポートされます。 ホストのオペレーティングシステムでは正しいインストールオプション (32 ビットまたは 64 ビット)を選択するようにしてください。64 ビットの ホストにインストールする場合、初期インストールには 64 ビットブラウザ と Java の組み合わせを使用してください。 エージェントをインストールするには、インストーラ ファイルを開いて、画面に表示される指示に従いま す。 エージェントを設定するには、以下の手順を実行します。 1. Start > All Programs > Palo Alto Networks > GlobalProtect > GlobalProtect [ スタート > すべてのプログラム > Palo Alto Networks > GlobalProtect > GlobalProtect] の順に選択します。 クライアントインターフェイスが開き、Home [ ホーム ] タブが表示されます。 2. GlobalProtect 認証に使用するユーザー名およびパスワードを指定します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 463 GlobalProtect エージェントのセットアップとアクティベーション GlobalProtect の設定 3. GlobalProtect ポータルとして機能するファイアウォールの IP アドレスを入力します。 4. Apply [ 適用 ] をクリックします。 GlobalProtect エージェントの使用 GlobalProtect エージェントのタブには、状態や設定に関する有用な情報が含まれており、接続問題のト ラブルシューティングに役立つ情報を入手することができます。 • Home tab [ ホームタブ ] — ポータル IP アドレスまたはホスト名を変更し、認証情報を入力すること ができます。現在の接続状態を表示し、警告またはエラーを一覧表示します。 • Details tab [ 詳細タブ ] — ポータル IP アドレスおよびプロトコルなど、現在の接続に関する情報を表 示し、ネットワーク接続に関するバイトおよびパケット統計を示します。 • • Host State tab [ ホスト状態タブ ] — HIP に保存されている情報を表示します。ウィンドウの左側のカ テゴリをクリックすると、ウィンドウの右側に、そのカテゴリの設定済み情報が表示されます。 Troubleshooting tab [ トラブルシューティングタブ ] — トラブルシューティングに役立つ情報を表示し ます。 – Network Configurations [ ネットワーク構成 ] — 現在のクライアント システム設定を表示します。 – Routing Table [ ルーティングテーブル ] — GlobalProtect 接続の現在のルート指定方法についての情 報を表示します。 – Sockets [ ソケット ] — 現在アクティブな接続のソケット情報を表示します。 – Logs [ ログ ] — GlobalProtect エージェント(PanGP エージェント)およびサービス(PanGP サー ビス)のログを表示することができます。ログ タイプとデバッグ レベルを選択します。Start [ 開 始 ] をクリックするとログが開始し、Stop [ 停止 ] をクリックするとログが停止します。 464 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. 第 10 章 サービス品質 (QoS) このセクションでは、ファイアウォールに Quality of Services (QoS) を設定する方法について 説明します。QoS の完全な実装をサポートする構成要素の設定の詳細は、以下の表の各トピッ クを参照してください。QoS をセットアップした後、QoS 処理を受信するトラフィックをモ ニターすることもできます。 探している情報 以下を参照 Palo Alto Networks の次世代ファイア ウォールの QoS について。 ࠕQoS ࡢᴫせࠖ トラフィックにサービスの QoS 階級を割り 当てる方法。 ࠕQoS ࣏ࣜࢩ࣮ࠖ 各クラスの帯域幅制限と優先度を設定し、 ࠕQoS ࣉࣟࣇࣝࠖ サービスの QoS クラスを定義する。 インターフェイスを抜けるトラフィックに QoS を適用する方法。 ࠕࣥࢱ࣮ࣇ࢙ࢫ࠾ࡅࡿ QoS ࡢ᭷ຠࠖ QoS 処理を受信するトラフィックをモニ ターする。 ࠕQoS ࣥࢱ࣮ࣇ࢙ࢫࡢࣔࢽࢱࣜࣥࢢࠖ その他の情報をお探しですか? QoS の詳細なワークフロー、コンセプト、使用例につ いてはサービス品質を参照してください。 QoS の概要 Quality of Service (QoS) により、ネットワーク トラフィックの特定のフローに対して帯域幅 と優先度を保証できます。Palo Alto Networks の次世代ファイアウォールに QoS を実装する には、以下の 3 つの構成要素が必要です。 • QoS policy rule [QoS ポリシールール ] — トラフィックにサービスの QoS 階級を割り当 てる QoS ポリシールールを定義します(Policies > QoS [ ポリシー > QoS])。QoS ポリシー ルールを定義することで、トラフィックの送信元、宛先、アプリケーション、Differentiated Services Codepoint(DSCP)に基づいてトラフィックの照合を行うことができます。 • QoS profiles [QoS プロファイル ] — QoS プロファイルを作成し、サービスの QoS クラス 毎の帯域幅と優先度を定義します(Network > Network Profiles > QoS Profile [ ネットワーク > ネットワークプロファイル > QoS プロファイル ])。サービスのクラスごとに保証帯域幅 または最大帯域幅を定義できます。また、リアルタイム、高、中、低の優先度を受信す るようにクラスを定義することもできます。 • QoS interface [QoS インターフェイス ] — インターフェイスに QoS プロファイルを適用 し、それに一致するトラフィック(QoS ポリシールールに定義したもの)が出力される 際にシェーピングを行うよう設定することができます(Network > QoS [ ネットワーク > QoS])。インターフェイスの帯域幅を制限または保証するためにインターフェイスで QoS を有効にすることもできます。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 465 QoS プロファイル サービス品質 (QoS) その他の情報をお探しですか? QoSの詳細なワークフロー、コンセプト、使用例についてはサービス品質を参照してください。 QoS プロファイル Network > Network Profiles > QoS Profiles [ࢿࢵࢺ࣮࣡ࢡ > ࢿࢵࢺ࣮࣡ࢡ ࣉࣟࣇࣝ > QoS ࣉࣟࣇࣝ ] QoS プロファイルを使用することで、最大 8 つのサービスクラスに対し帯域幅制限および優 先度を定義することができます。保証帯域幅制限と最大帯域幅制限は、個別のクラスにも、ひ とまとめのクラスにも設定することができます。優先順位によって、競合がある場合のトラ フィックの処理方法が決まります。 QoSの詳細なワークフロー、コンセプト、 使用例についてはサービス品質を参照してください。 QoS プロファイルを定義する場合は、Add [ 追加 ] をクリックし、以下の表の説明に従って フィールドに入力します。 表 245. QoS プロファイル設定 フィールド 内容 プロファイル名 プロファイルの識別に使用する名前を入力します ( 最大 31 文字 )。名前の 大文字と小文字は区別されます。また、一意の名前にする必要がありま す。文字、数字、スペース、ハイフン、およびアンダースコアのみを使 用してください。 最大保証帯域出力側 このプロファイルで許容される最大帯域幅 (Mbps) を入力します。 QoS プロファイルの Egress Max [ 最低保証帯域 出力側 ] の値は、QoS が 有効になっている物理インターフェイスに定義された Egress Max [ 最低 保証帯域 出力側 ] の値以下でなければなりません。 「QoS インターフェイ ス」を参照してください。 注:Egress Max [ 最大保証帯域 出力側 ] は必須フィールドではありません が、QoS プロファイルのこの値は常に定義しておくことをお勧めします。 最低保証帯域出力側 このプロファイルで保証する帯域幅 (Mbps) を入力します。出力側の最大 保証帯域を超過した場合、ファイアウォールはベストエフォート制でト ラフィックを通過させます。 466 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. サービス品質 (QoS) QoS プロファイル 表 245. QoS プロファイル設定 (続) フィールド 内容 クラス Add [ 追加 ] をクリックして、個々の QoS クラスの処理方法を指定しま す。設定する 1 つ以上のクラスを選択できます。 • Class [ クラス ] — クラスを設定しなくても、QoS ポリシーにクラスを 含めることができます。その場合、トラフィックは QoS 全体に対する 制限の対象になります。QoS ポリシーに一致していないトラフィックは クラス 4 に割り当てられます。 • Priority [ 優先順位 ] — クラスに割り当てる優先度を選択します。 – real-time [ リアルタイム ] – high [ 高 ] – medium [ 中 ] – low [ 低 ] 競合が発生すると、優先順位の低いトラフィックが破棄されます。優先 順位 Real-time [ リアルタイム ] では、固有のキューが使用されます。 • Egress Max [ 最大保証帯域出力側 ] — このクラスの帯域幅制限 (Mbps) を入力します。QoS クラスの [ 最低保証帯域 出力側 ] の値は、QoS プロ ファイルに定義された [ 最低保証帯域 出力側 ] の値以下でなければなり ません。 推奨設定:[ 最大保証帯域 出力側 ] は必須フィールドではありませんが、 QoS インターフェイスの Egress Max [ 出力側最大保証帯域 ] の値は常に 定義しておくことをお勧めします。 • Egress Guaranteed [ 最低保証帯域出力側 ] — このクラスの保障帯域幅 (Mbps) を入力します。あるクラスに対し割り当てられた保証帯域は、そ のクラスのために確保されているわけではなく、未使用の帯域はすべて のクラスで使用可能な状態になっています。しかし、ファイアウォール を通過するトラフィックが出力側の最大保証帯域を超過した場合、ファ イアウォールはベストエフォート制でトラフィックを通過させます。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 467 QoS ポリシー サービス品質 (QoS) QoS ポリシー Policies > QoS [ ࣏ࣜࢩ࣮ > QoS] QoS ポリシーを Add [ 追加 ] し、QoS 処理の対象とするトラフィックを定義します。それぞれ の QoS ポリシールールに QoS クラスを割り当てておくことで、QoS の有効なインターフェイ スからルールに一致するトラフィックが出力される際に、そのトラフィックに対しサービス クラスを適用することができます。 Panorama™ のポリシーの定義の詳細は、 「Panorama でのポリシーの定義」を参照してくださ い。Panorama からファイアウォールにプッシュされた QoS ポリシールールはオレンジ色で 表示され、ファイアウォール上からは編集を行うことができません。 新しい QoS ルールを作成する場合は、ルールを Add [ 追加 ] するか、既存のルールをコピー し、表 246 に記載されているフィールドを定義します。 QoSの詳細なワークフロー、コンセプト、使用例についてはサービス品質を参照してください。 表 246. QoS ポリシールール設定 フィールド General [ 全般 ] タブ 内容 名前 ルールの識別に使用する名前 ( 最大 31 文字 ) を入力します。名前の大文字と 小文字は区別されます。また、一意の名前にする必要があります。文字、数 字、スペース、ハイフン、およびアンダースコアのみを使用してください。 内容 任意の説明を入力します。 タグ ポリシーにタグを付ける場合、 Add [追加] をクリックしてタグを指定します。 ポリシー タグとは、ポリシーをソートまたはフィルタリングできるキー ワードや語句です。多数のポリシーを定義していて、特定のキーワードで タグが付けられたポリシーを表示する場合に役立ちます。たとえば、特定 のセキュリティポリシーに DMZ へのインバウンドのタグを付けたり、復 号化ポリシーに「復号」と「復号なし」というタグを付けたり、特定のデー タ センターに関するポリシーにその場所の名前を使用したりできます。 Source [ 送信元 ] タブ 送信元ゾーン 1 つ以上の送信元ゾーンを選択します ( デフォルトは [any])。ゾーンは同 じタイプ (Layer 2 [ レイヤー 2]、Layer 3 [ レイヤー 3]、virtual wire [ バー チャル ワイヤー ]) である必要があります。 送信元アドレス IPv4 または IPv6 アドレスの送信元の組み合わせを指定します。識別され たアプリケーションの送信元アドレス情報は、これらのアドレスでオー バーライドされます。特定のアドレスを選択するには、ドロップダウン リストから select [選択する] を選択して、以下のいずれかを実行します。 • 使用可能な列で該当するアドレス やアドレスグループ の横 にあるチェックボックスをオンにし、Add [ 追加 ] をクリックして選択 内容を Selected [ 選択した列 ] に追加します。 • 名前の最初の数文字を検索フィールドに入力します。入力した文字で 始まるすべてのアドレスおよびアドレスグループが一覧表示されま す。リスト内の項目を選択すると Available [ 使用可能 ] 列のオプショ ンが有効化されます。この操作を必要な回数だけ繰り返し、次に Add [ 追加 ] をクリックします。 • 1 つ以上の IP アドレスを (1 行ごとに 1 つ ) 入力します。ネットワーク マスクは指定してもしなくてもかまいません。一般的な形式は以下の とおりです。 <ip_address>/<mask> • アドレスを削除する場合は、Selected [ 選択済み ] 列より希望のアドレ スを選択し、Delete [ 削除 ] をクリックするか、any [ すべて ] を選択し て、すべてのアドレスおよびアドレスグループをクリアします。 468 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. サービス品質 (QoS) QoS ポリシー 表 246. QoS ポリシールール設定(続) フィールド 内容 このポリシーまたは別のポリシーで使用できる新しいアドレスを追加する には、New Address [ 新規アドレス ] をクリックします。新しいアドレス グ ループを定義する方法については、 「アドレスグループ」を参照してくださ い。 送信元ユーザー QoS ポリシーが適用される送信元のユーザーおよびグループを指定します。 上記以外 このタブで指定した情報に一致しないものに対してポリシーを適用する 場合は、このオプションを選択します。 Destination [ 宛先 ] タブ 宛先ゾーン 1 つ以上の宛先ゾーンを選択します ( デフォルトは [any])。ゾーンは同じ タイプ (Layer 2 [ レイヤー 2]、Layer 3 [ レイヤー 3]、virtual wire [ バー チャル ワイヤー ]) である必要があります。 宛先アドレス IPv4 または IPv6 アドレスの送信元の組み合わせを指定します。識別され たアプリケーションの送信元アドレス情報は、これらのアドレスでオー バーライドされます。特定のアドレスを選択するには、ドロップダウン リストから select [選択する] を選択して、以下のいずれかを実行します。 • 使用可能な列で該当するアドレス やアドレスグループ の横 にあるチェックボックスをオンにし、Add [ 追加 ] をクリックして選択 内容を Selected [ 選択した列 ] に追加します。 • 名前の最初の数文字を検索フィールドに入力します。入力した文字で 始まるすべてのアドレスおよびアドレスグループが一覧表示されま す。リスト内の項目を選択すると Available [ 使用可能 ] 列のオプショ ンが有効化されます。この操作を必要な回数だけ繰り返し、次に Add [ 追加 ] をクリックします。 • 1 つ以上の IP アドレスを (1 行ごとに 1 つ ) 入力します。ネットワーク マスクは指定してもしなくてもかまいません。一般的な形式は以下の とおりです。 <ip_address>/<mask> • アドレスを削除する場合は、Selected [ 選択済み ] 列より希望のアドレ スを選択し、Delete [ 削除 ] をクリックするか、any [ すべて ] を選択し て、すべてのアドレスおよびアドレスグループをクリアします。 このポリシーまたは別のポリシーで使用できる新しいアドレスを追加す るには、New Address [ 新規アドレス ] をクリックします (「アプリケー ションの定義」を参照 )。新しいアドレス グループを定義する方法につ いては、「アドレスグループ」を参照してください。 上記以外 このタブで指定した情報に一致しないものに対してポリシーを適用する 場合は、このオプションを選択します。 Application [ アプリケーション ] タブ アプリケーション © Palo Alto Networks, Inc. QoS ルールを適用する特定のアプリケーションを選択します。新しいア プリケーションを定義する方法については、 「アプリケーションの定義」 を参照してください。アプリケーション グループを定義する方法につい ては、「アプリケーショングループ」を参照してください。 アプリケーションに複数の機能がある場合、アプリケーション全体また は個別の機能を選択できます。アプリケーション全体を選択した場合、す べての機能が含まれ、将来、機能が追加されるとアプリケーション定義 が自動的に更新されます。 QoS ルールでアプリケーション グループ、フィルタ、またはコンテナを 使用している場合は、Application [ アプリケーション ] 列のオブジェク トの上にマウスを置き、下向き矢印をクリックして Value [ 値 ] を選択す ると、オブジェクトの詳細が表示されます。これにより、Object [ オブ ジェクト ] タブに移動しなくても、ポリシーから直接アプリケーション メンバーを簡単に表示できます。 Web インターフェイス リファレンス ガイド、バージョン 7.1 • 469 QoS ポリシー サービス品質 (QoS) 表 246. QoS ポリシールール設定(続) フィールド 内容 Service [ サービス ]/ URL Category [URL カテゴリ ] タブ サービス 特定の TCP や UDP のポート番号に制限するには、サービスを選択しま す。ドロップダウンリスト リストから以下のいずれかを選択します。 • any [ すべて ] — 選択したアプリケーションがすべてのプロトコルや ポートで許可または拒否されます。 • application-default [ アプリケーション - デフォルト ] — 選択したアプ リケーションが、Palo Alto Networks® によって定義されたデフォルト のポートでのみ許可または拒否されます。これは、許可ポリシーの推 奨オプションです。 • Select [ 選択 ] — Add [ 追加 ] をクリックします。既存のサービスを選 択するか、Service [ サービス ] または Service Group [ サービス グルー プ ] を選択して新しいエントリを指定します。 「サービス」および「サー ビス グループ」を参照してください。 URL カテゴリ QoS ルールを適用する URL カテゴリを選択します。 • URL カテゴリに関係なくセッションでこの QoS ルールを照合できる ようにするには、Any [ いずれか ] を選択します。 • カテゴリを指定するには、Add [ 追加 ] をクリックし、ドロップダウン リスト リストから特定のカテゴリ ( カスタム カテゴリも含む ) を選択 します。複数のカテゴリを追加できます。カスタム カテゴリの定義方 法の詳細は、「外部動的リスト」を参照してください。 DSCP/TOS タブ 任意 Any [ いずれか ] ( デフォルト ) を選択すると、トラフィックに定義され た Differentiated Services Code Point(DSCP)値または IP 優先度 /Type of Service(ToS)にかかわらず、ポリシーをトラフィックに照合できます。 コードポイント Codepoints [ コードポイント ] を選択すると、トラフィックは、パケット の IP ヘッダーに定義された DSCP 値または ToS 値に基づいて QoS 処理 を受けることができます。DSCP 値と ToS 値は、トラフィックに要求さ れるサービス レベル ( 最優先、ベスト エフォート配信など ) を示すため に使用されます。コードポイントを QoS ポリシーの一致基準として使用 すると、セッションは、セッション開始時に検出されたコードポイント に基づいて QoS 処理を受信できます。 QoS ポリシーにトラフィックを照合させるには、引き続きコードポイン トを Add [ 追加 ] します。 • コードポイント エントリに分かりやすい Name [ 名前 ] を付けます。 • QoS ポリシーの一致条件として使用するコードポイントの Type [ タイ プ ] を選択し、特定の Codepoint [ コードポイント ] 値を選択します。 Codepoint Name [ コードポイント名 ] と Binary Value [ バイナリ値 ] を 入力することにより、Custom Codepoint [ カスタムコードポイント ] を 作成することもできます。 Other Settings [ その他の設定 ] タブ クラス ルールに割り当てる QoS クラスを選択して、OK をクリックします。ク ラス特性は、QoS プロファイルで定義します。QoS クラスの設定方法の 詳細は、「QoS プロファイル」を参照してください。 スケジュール • ポリシーを常時アクティブにしておく場合は None [ なし ] を設定しま す。 • ドロップダウンリストから Schedule [ スケジュール ] (カレンダーの アイコン)を選択し、単発の時間範囲またはルールがアクティブなあ いだ繰り返される時間範囲を設定します。 470 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. サービス品質 (QoS) QoS インターフェイス QoS インターフェイス Network > QoS [ ࢿࢵࢺ࣮࣡ࢡ > QoS] 探している情報 以下を参照 インターフェイスの帯域幅制限 ࠕࣥࢱ࣮ࣇ࢙ࢫ࠾ࡅࡿ QoS ࡢ᭷ຠࠖ を設定する。 インターフェイスを抜けるトラ フィックに QoS を適用する方法。 QoS が 有 効 化 さ れ た イ ン タ ー フェイスを抜けるトラフィック をモニターする方法。 その他の情報をお探しで すか? ࠕQoS ࣥࢱ࣮ࣇ࢙ࢫࡢࣔࢽࢱࣜࣥࢢࠖ • QoS の詳細なワークフロー、コンセプト、使用例については サービス品質を参照してください。 •「QoS ポリシー」を作成し、一致したトラフィックに対して QoS クラスを割り当てます。 •「QoS プロファイル」を追加して、最大 8 つの QoS クラスに対 し帯域幅制限と優先度を定義します。Network > QoS Profile [ ネットワーク > QoS プロファイル ] を選択します。 インターフェイスにおける QoS の有効化 インターフェイスの帯域幅制限を設定し、インターフェイスからの出力トラフィックに QoS を適用する場合は、インターフェイス上で QoS を有効にします。QoS インターフェイスを有 効にするには、QoS プロファイルをインターフェイスに追加する必要があります。QoS は物 理インターフェイスでサポートされますが、ファイアウォールプラットフォームによっては、 サブインターフェイスや Ethernet の集約(AE)インターフェイスでもサポートされます。お 使いのファイアウォール プラットフォームでサポートされている QoS 機能を確認するには、 Palo Alto Networks の製品比較ツールを参照してください。 まず最初に QoS インターフェイスの Add [ 追加 ] または編集を行い、表 247 に記載されている フィールドを定義します。 表 247. QoS インターフェイス設定 フィールド 設定場所 内容 インターフェイス 名 QoS Interface > Physical Interface [Qos インター フェイス > 物理イ ンターフェイス ] QoS を有効にするファイアウォール インターフェイスを選択します。 最大保証帯域 出力側 (Mbps) このインターフェ イ ス の QoS 機 能 をオンにする © Palo Alto Networks, Inc. このインターフェイスを介してファイアウォールから出力されるトラ フィックの制限値を入力します。 推奨設定:Egress Max [ 最大保証帯域 出力側 ] は必須フィールドではあ りませんが、QoS インターフェイスのこの値は常に定義しておくことを お勧めします。 インターフェイス上で QoS を有効化する場合は、このオプションを選択 します。 Web インターフェイス リファレンス ガイド、バージョン 7.1 • 471 QoS インターフェイス サービス品質 (QoS) 表 247. QoS インターフェイス設定 フィールド 設定場所 内容 クリア テキスト トンネルインター フェイス QoS Interface > Physical Interface > Default Profile [Qos インター フェイス > 物理イ ンターフェイス > デフォルト プロ ファイル ] QoS Interface > Clear Text Traffic/ Tunneled Traffic [QoS イン ターフェイス > ク リア テキスト ト ラフィック / トン ネル対象トラ フィック ] クリア テキスト トラフィックおよびトンネル トラフィックのデフォル トの QoS プロファイルを選択します。それぞれにデフォルトのプロファ イルを指定する必要があります。クリア テキスト トラフィックの場合、 デフォルトのプロファイルはすべてのクリア テキスト トラフィックに 一括適用されます。トンネル トラフィックの場合、デフォルトのプロ ファイルは、詳細設定セクションで特定のプロファイルが割り当てられ ていない各トンネルに個別に適用されます。QoS プロファイルの定義手 順の詳細は、「QoS 統計情報」を参照してください。 トンネルインター フェイス 最低保証帯域 出力側 (Mbps) 最大保証帯域 出力側 (Mbps) 追加 このインターフェイスからのクリア テキストまたはトンネル対象トラ フィックに保証される帯域幅を入力します。 このインターフェイスを介してファイアウォールから出力されるクリ ア テキストまたはトンネル対象トラフィックの制限値を入力します。 • クリアテキストトラフィックの処理内容をより詳細に定義する場合 は、Clear Text Traffic [ クリアテキストトラフィック ] タブで Add [ 追 加 ] をクリックします。個々のエントリをクリックして、以下の設定 を指定します。 – Name [ 名前 ] — ここでの設定の識別に使用する名前を入力します。 – QoS Profile [QoS プロファイル ] — 指定したインターフェイスとサ ブネットに適用する QoS プロファイルを選択します。QoS プロファ イルの定義手順の詳細は、 「QoS 統計情報」を参照してください。 – Source Interface [ 送信元インターフェイス ] — 送信元側のファイ アウォール インターフェイスを選択します。 – Source Subnet [ 送信元サブネット ] — 送信元のサブネットを選択 すると、そのサブネットからのトラフィックのみに各設定が適用さ れます。デフォルト値の any [ いずれか ] をそのまま使用すると、指 定したインターフェイスからのすべてのトラフィックに対して各 設定が適用されます。 • 特定のトンネルに対するデフォルトプロファイルの割り当てをオー バーライドする場合は、Tunneled Traffic [ トンネル対象トラフィック ] タブで Add [ 追加 ] をクリックし、以下の設定を指定します。 – Tunnel Interface [ トンネル インターフェイス ] — ファイアウォー ルのトンネル インターフェイスを選択します。 – QoS Profile [QoS プロファイル ] — 指定したトンネル インターフェ イスに適用する QoS プロファイルを選択します。 たとえば、ファイアウォールに対して 45 Mbps で接続するサイトと T1 で接続するサイトを設定するとします。このとき、T1 サイトには接続が 過負荷状態にならないように制限の厳しい QoS 設定を適用する一方で、 45 Mbps で接続するサイトにはより柔軟な設定を適用できます。 クリアテキストまたはトンネル対象トラフィックのエントリを削除す る場合は、エントリを空白にして Delete [ 削除 ] をクリックします。 clear text [ クリアテキスト ] または tunneled traffic [ トンネル対象トラ フィック ] セクションが空白のままの場合、Physical Interface [ 物理イ ンターフェイス ] タブの Default Profile [ デフォルトプロファイル ] セク ションで指定した値が使用されます。 472 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. サービス品質 (QoS) QoS インターフェイス QoS インターフェイスのモニタリング Network > QoS [ ࢿࢵࢺ࣮࣡ࢡ > QoS] QoS インターフェイスで、設定済の QoS インターフェイスの帯域幅、セッション、およびア プリケーションの情報を表示する場合は Statistics [ 統計 ] を選択します。 表 248. QoS 統計情報 フィールド 内容 帯域幅 選択したノードとクラスの帯域幅チャートがリアルタイムで表示されま す。この情報は 2 秒ごとに更新されます。 注:QoS クラスに設定された Egress Max [ 最大保証帯域出力側 ] と Egress Guaranteed [ 最低保証帯域出力側 ] の制限は、[QoS 統計情報 ] 画面では若 干異なる値が表示される場合があります。これは、ハードウェア エンジン が帯域幅の制限とカウンタを集約する方法によって発生する正常動作で す。帯域幅の使用率グラフにはリアルタイムの値と数量が表示されるた め、運用上の問題はありません。 アプリケーション 選択した QoS ノードやクラスのアクティブなアプリケーションすべての リストが表示されます。 送信元ユーザー 選択した QoS ノードやクラスのアクティブな送信元ユーザーすべてのリ ストが表示されます。 宛先ユーザー 選択した QoS ノードやクラスのアクティブな宛先ユーザーすべてのリス トが表示されます。 セキュリティルール 選択した QoS ノードやクラスに一致し、それを適用するセキュリティルー ルのリストが表示されます。 QoS ルール 選択した QoS ノードやクラスに一致し、それを適用する QoS ルールのリ ストが表示されます。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 473 QoS インターフェイス 474 • Web インターフェイス リファレンス ガイド、バージョン 7.1 サービス品質 (QoS) © Palo Alto Networks, Inc. 第 11 章 Panorama Panorama™ は、Palo Alto Networks® シリーズの次世代ファイアウォール用中央管理用システムです。1 つの画面からすべてのアプリケーション、ユーザー、ネットワークを通過するコンテンツを管理し、ここ から得られる情報を使用してネットワーク全体を保護および制御するポリシーを作成することができま す。Panorama からポリシーとファイアウォールの中央管理を行うことで、ファイアウォールの分散ネッ トワークを効率的に管理および維持できます。Panorama は専用ハードウェアプラットフォーム(M-Series アプライアンス)、あるいは(ESXi サーバーあるいは vCloud Air 上で稼働する)VMware バーチャルア プライアンスとしてお求めいただけます。 探している情報 以下を参照 Panorama の管理 ࠕPanorama Web ࣥࢱ࣮ࣇ࢙ࢫࢆ⏝ࡍࡿࠖ ࠕኚ᭦ෆᐜࢆ Panorama ࢥ࣑ࢵࢺࡍࡿࠖ ࠕPanorama ࡢ㧗ྍ⏝ᛶ㸦HA㸧ࢆ⟶⌮ࡍࡿࠖ ࠕPanorama ࢯࣇࢺ࢙࢘ࡢ᭦᪂ࠖ ࠕPanorama ⟶⌮⪅࣮ࣟࣝࡢタᐃࠖ ࠕPanorama ࢡࢭࢫࢻ࣓ࣥࡢタᐃࠖ ࠕPanorama ⟶⌮࢝࢘ࣥࢺࡢసᡂࠖ ファイアウォールの管理 ࠕࣇ࢛࣮࢘ࣝࡢ⟶⌮ࠖ ࠕPanorama ࠾ࡼࡧࣇ࢛࣮࢘ࣝࡢタᐃࡢ࢚ࢡࢫ ࣏࣮ࢺࢆࢫࢣࢪ࣮ࣗࣜࣥࢢࡍࡿࠖ ࠕࢹࣂࢫ ࢢ࣮ࣝࣉࡢ⟶⌮ࠖ ࠕࢸࣥࣉ࣮ࣞࢺ࠾ࡼࡧࢸࣥࣉ࣮ࣞࢺࢫࢱࢵࢡࡢ⟶⌮ࠖ ࠕVM-Series NSX ࢚ࢹࢩࣙࣥࣇ࢛࣮࢘ࣝࡢࣉ ࣟࣅࢪࣙࢽࣥࢢࠖ ログ収集とレポートの管理 ࠕPanorama ࠾ࡅࡿࣟࢢ࣏࣮ࣞࢺࠖ ࠕࣟࢢࢥࣞࢡࢱࡢ⟶⌮ࠖ ࠕࢥࣞࢡࢱࢢ࣮ࣝࣉࡢ⟶⌮ࠖ ࠕࣟࢢ㌿㏦ࡢ᭷ຠࠖ ࠕPanoramaࣂ࣮ࢳࣕࣝࣉࣛࣥࢫࡢࣟࢢࢫࢺ࣮ࣞ ࢪࣃ࣮ࢸࢩࣙࣥࢆタᐃࡍࡿࠖ ライセンスやアップデートをファイア ウォールやログコレクタに適用する ࠕࣇ࢛࣮࢘ࣝཬࡧࣟࢢࢥࣞࢡࢱࡢ᭦᪂ࡸࣛࢭ ࣥࢫࡢ⟶⌮ࠖ その他の情報をお探しですか? Panorama 管理者ガイド © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 475 Panorama Web インターフェイスを使用する Panorama Panorama Web インターフェイスを使用する Panorama Web インターフェイスとファイアウォールの見た目と使用感はほぼ同じものとなっています。 Panorama Web インターフェイスでは、Panorama 管理用と、Panorama を用いたファイアウォールやロ グコレクタの管理用に追加のオプションを使用できます。 サイドメニューの上にある Context [ コンテクスト ] のドロップダウンリストから、Panorama Web イン ターフェイスとファイアウォール Web インターフェイスを切り替えることができます。ファイアウォー ルを選択すると Web インターフェイスが更新され、選択したファイアウォールのすべてのページとオプ ションが表示されるので、ローカルで管理を行うことができます。ドロップダウンリストには、管理アク セス権のあるファイアウォール (「Panorama アクセスドメインの設定」を参照 ) のうち、Panorama に接 続されているファイアウォールのみが表示されます。高可用性 (HA) モードにあるファイアウォールのア イコンは、HA 状態を示す色付きの背景で表示されます。 表 249. Panorama のページの要約 ページ セットアップ 高可用性 設定監査 パスワード プロファイル 内容 以下の操作が可能です。 • 一般設定の編集(Panorama ホスト名など) • 認証、管理インターフェイス、ログ、レポート、AutoFocus、バナー、本日のメッセージ、 パスワード複雑性などの設定の編集 • 設定内容のバックアップと復元 • ネットワークサーバー接続の定義(DNS および NTP) • WildFire サーバーの選択 • ハードウェアセキュリティモジュール(HSM)の設定管理 「管理設定の定義」を参照してください。 一対の Panorama 管理サーバーに高可用性(HA)環境を設定します。「Panorama の高可用 性(HA)を管理する」を参照してください。 「設定ファイルの比較」を有効化します。 Panorama 管理者用にパスワードプロファイルを設定することができます。 「パスワードプロ ファイルの定義」を参照してください。 管理者 「Panorama 管理アカウントの作成」することができます。 ヒント:ユーザーアカウントがロックアウトされている場合、Administrators [ 管理者 ] ペー ジのロックされたユーザー列にロック状態が表示されます。このロックをクリックしてアカ ウントのロックを解除できます。 管理者ロール 「Panorama 管理者ロールの設定」することができ、ここでは Panorama にアクセスするユー ザーの権限や役割なども定義することができます。 アク セ ス ド メイン デバイス グループ、テンプレート、テンプレート スタック、およびファイアウォールの Web インターフェイスへの管理者アクセスを制御できます。 「Panorama アクセスドメインの設定」 を参照してください。 認証プロファ イル Panorama へのアクセスを認証するプロファイルを指定できます。 「認証プロファイルのセッ トアップ」を参照してください。 認証シーケン ス Panorama へのアクセス許可に使用する一連の認証プロファイルを指定できます。 「認証シー ケンスのセットアップ」を参照してください。 管理対象デバ イス Panorama 管理対象デバイスへのファイアウォール追加、ファイアウォール接続状況および ライセンス状態の表示、ファイアウォールへのタグ付け、ファイアウォールのソフトウェア およびコンテンツ更新、設定のバックアップのロードを含め、 「ファイアウォールの管理」す ることができます。 テンプレート Device [ デバイス ] および Network [ ネットワーク ] タブの設定オプションの「テンプレート およびテンプレートスタックの管理」することができます。テンプレートとテンプレート ス タックを管理することで、よく似た設定の複数のファイアウォールを導入する場合の管理作 業を簡易化できます。 476 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. Panorama Web インターフェイスを使用する Panorama 表 249. Panorama のページの要約 (続) ページ 内容 デ バ イ ス グ 「デバイス グループの管理」し、機能、ネットワーク セグメント、または地理的な場所に基 ループ づいてファイアウォールをグループ化できます。デバイス グループには、物理ファイア ウォール、仮想ファイアウォール、および仮想システムを含めることができます。 通常、デバイス グループ内のファイアウォールには、類似のポリシー設定が必要です。デバ イス グループでは、Panorama の Policies [ ポリシー ] および Objects [ オブジェクト ] タブ を使用して、管理対象ファイアウォールのネットワーク全体のポリシーを管理する階層的な 手段を実装できます。デバイス グループを最大 4 レベルのツリー階層でネストできます。子 孫グループは、先祖グループおよび共有場所のポリシーおよびオブジェクトを自動的に継承 します。 管理対象コレ 「ログコレクタの管理」することができます。ログコレクタは、ローカルで Panorama モード クタ の M-Series アプライアンス(デフォルトのログコレクタ)を使用するか、ログコレクタモー ドの M-Series アプライアンス(専用のログコレクタ)のどちらかを設定することができます。 ログコレクタは、Panorama 管理サーバー(Panorama モードの M-Series アプライアンスま たは Panorama バーチャルアプライアンス)で管理できます。Panorama を使用してログコ レクタを設定するため、ログコレクタのことを管理対象コレクタと呼ぶこともあります。 このページでは「ログコレクタへのソフトウェアの更新のインストール」することもできま す。 ヒント:M-Series アプライアンスは、Panorama 管理サーバー、ログコレクタ、またはその両 方である可能性があります。M-Series アプライアンスのモードを変更する操作コマンドは request system logger-mode [panorama | logger] です。現在のモードを表示するには、 show system info | match system-mode を実行します。専用のログコレクタにはウェブイ ンターフェイスがなく、CLI のみを使用可能です。しかし、Panorama 管理サーバーの Web イ ンターフェイスを使用してログコレクタの管理と設定を行うことができます。 コレクタグ ループ 「コレクタグループの管理」することができます。コレクタグループでは、最大 8 個のログコ レクタを論理的にグループ化するので、設定の適用やファイアウォールの割り当てを一括で 行うことができます。Panorama はログをログ コレクタ内のすべてのディスクおよびコレク タ グループ内のすべてのメンバーに均一に分散します。Panorama インスタンスごとに最大 16 個のコレクタグループを設定することができます。 VMware Service Manager NSX Manager と Panorama の通信を有効化することで、VMware ESXi サーバー上で稼働し ている「VM-Series NSX エディションファイアウォールのプロビジョニング」することがで きます。 証明書の管理 証明書、証明書プロファイル、鍵を設定および管理できます。 「ファイアウォールおよび Panorama 証明書の管理」を参照してください。 ログ設定 SNMP (Simple Network Management Protocol) トラップレシーバ、Syslog サーバー、および 電子メールアドレス宛てにログの転送を設定することができます。 サーバープロ ファイル Panorama にサービスを提供する以下のサーバータイプについてサーバーのプロファイルを 設定できます。 •「電子メール通知設定の指定」 •「SNMP トラップの宛先の設定」 •「Syslog サーバーの設定」 •「RADIUS サーバーの設定」 •「TACACS+ サーバーの設定」 •「LDAP サーバーの設定」 •「Kerberos サーバーの設定」。 スケジュール 設定された設 定のエクス ポート ファイル転送プロトコル(FTP)サーバーや Secure Copy(SCP)サーバーへ毎日の「Panorama およびファイアウォールの設定のエクスポートをスケジューリングする」することができま す。 ソフトウェア 「Panorama ソフトウェアの更新」することができます。 動的更新 最新のアプリケーション定義やウイルス対策シグネチャ (脅威防御ライセンスが必要) などの 新しいセキュリティ上の脅威に関する情報を表示し、新しい定義で Panorama を更新できま す。「コンテンツ更新の管理」を参照してください。 サポート Palo Alto Networks 社の製品およびセキュリティ警告にアクセスできます。 「サポート情報の 表示」を参照してください。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 477 変更内容を Panorama にコミットする Panorama 表 249. Panorama のページの要約 (続) ページ 内容 デバイスのデ 「ファイアウォール及びログコレクタの更新やライセンスの管理」と表示をすることができま プロイ す。 マスターキー および診断 Panorama で秘密鍵を暗号化するためのマスターキーを指定できます。新しいマスターキー を設定しない場合も、初期設定ではプライベートキーは暗号化して保管されます。 「ファイア ウォールにおける秘密鍵とパスワードの暗号化」を参照してください。 変更内容を Panorama にコミットする ウェブインターフェイスの右上にある Commit [ コミット ] をクリックし、Panorama がファイアウォール やログコレクタにプッシュする Panorama 設定や、テンプレート、デバイスグループ、コレクタグループ 設定に対する変更内容のコミット、検証、プレビューを行います。コミットすることで、候補設定が現在 の設定に適用され、前回のコミットから加えられた設定変更がすべて有効になります。Panorama はコミッ ト作業をキューで処理するので、前回のコミットの進行中に新しいコミットを追加することができます。 「タスクマネージャ」( )を使用してコミットのキューをクリアしたり、コミットの詳細を確認する ことができます。設定変更、コミットプロセス、コミット検証、コミットキューの詳細については Panorama のコミット及び検証作業を参照してください。設定の保存、取り消し、インポート、エクスポート、ロー ドについては「操作設定の定義」を参照してください。 ファイアウォールやログコレクタへの変更をコミットする前に、変更内容 を Panorama へコミットすることを推奨します。 コミット時には以下のようなオプションがあります。 表 250. 設定のコミット フィールド / ボタン 内容 コミット タイプ 以下のいずれかを選択します。 • Panorama — 現在の候補設定への変更を、Panorama で実行中の設定にコミット します。 • Template [ テンプレート ] — Panorama テンプレートあるいはテンプレートス タックからファイアウォールへネットワークおよびデバイス設定をコミットし ます。 • Device Group [ デバイスグループ ] — Panorama デバイスグループから、ファイ アウォールあるいはバーチャルシステムへポリシーやオブジェクトをコミット します。 • Collector Group [ コレクタグループ ] — コレクタグループ内のログコレクタへ 変更内容をコミットします。 フィルタ(テンプレート 及びデバイスグループの コミットのみ) テンプレート、テンプレートスタック、あるいはデバイスグループや関連するファ イアウォールやバーチャルシステムのリストから絞り込みを行います。 名前(テンプレート及び デバイスグループのコ ミットのみ) コミットを適用するテンプレート、テンプレートスタック、デバイスグループ、 ファイアウォール、あるいはバーチャルシステムを選択します。 最終コミット状態(テン プレート及びデバイスグ ループのコミットのみ) ファイアウォールおよびバーチャルシステム設定が、テンプレートもしくは Panorama のデバイスグループ設定と同期されているかを示しています。 478 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. 変更内容を Panorama にコミットする Panorama 表 250. 設定のコミット(続) フィールド / ボタン 内容 HA 状態(テンプレート 及びデバイスグループの コミットのみ) 登録されたファイアウォールの高可用性(HA)状態を示します。 • Active [ アクティブ ] — 正常なトラフィック処理状態 • Passive [ パッシブ ] — 正常なバックアップ状態 • Initiating [ 始動中 ] — ファイアウォールの起動後最大 60 秒はこの状態におかれ ます • Non-functional [ 機能停止中 ] — エラー状態 • Suspended [保留中] — 管理者がファイアウォールをサスペンドしていることを 示します • Tentative [ 一時的な状態 ] — アクティブ / アクティブ環境におけるリンクまたは パスのモニタリングイベント用 変更内容プレビュー列 (テンプレート及びデバ イスグループのコミット のみ) 特定のテンプレート、テンプレートスタック、デバイスグループ、ファイアウォー ル、または仮想システムに対する結果のみを絞り込んで表示し、候補設定と実行 中の設定を比較します。比較機能の詳細は、 「変更のプレビュー」を参照してくだ さい。 注:プレビュー結果は新しいウィンドウで表示されるので、ブラウザーでポップ アップを許可しておく必要があります。プレビューウィンドウが開かない場合は ブラウザ設定を参照し、ポップアップブロックの解除を行ってください。 全てを選択(テンプレー ト及びデバイスグループ のコミットのみ) リスト中の全てのエントリを選択します。 全ての選択を解除(テン プレート及びデバイスグ ループのコミットのみ) リスト中の全てのエントリの選択を解除します。 全てを展開(テンプレー ト及びデバイスグループ のコミットのみ) テンプレート、テンプレートスタック、またはデバイスグループのみを表示しま す(割り当てられたファイアウォールや仮想システムは表示されません)。 全て折りたたむ(テンプ レート及びデバイスグ ループのコミットのみ) テンプレート、テンプレートスタック、またはデバイスグループに割り当てられ たファイアウォールあるいは仮想システムを表示します。 グループ HA ピア(テン プレート及びデバイスグ ループのコミットのみ) 高可用性 (HA) 設定のピアであるファイアウォールをグループ化する場合は、この オプションを選択します。こうすることでリストには、アクティブのファイア ウォール(アクティブ / アクティブ設定ではアクティブ - プライマリ)が最初に表 示され、パッシブのファイアウォール(アクティブ / アクティブ設定ではアクティ ブ - セカンダリ)はかっこ内に表示されます。これで、HA モードのファイアウォー ルを簡単に識別できます。共有ポリシーをプッシュする場合に、個々のピアでは なくグループ化されたペアにプッシュできます。 推奨設定:アクティブ / パッシブ環境の HA ピアにおいては、設定内容を同時に プッシュできるよう、両方のファイアウォールかそれぞれの仮想システムを同じ デバイスグループ、テンプレート、またはテンプレートスタックに入れることも 検討してみてください。 選択内容で絞込み(テン プレート及びデバイスグ ループのコミットのみ) 特定のファイアウォールもしくは仮想システムを表示したい場合は、それらを選 択した状態で Filter Selected [ 選択したフィルター ] を選択してください。 候補設定とのマージ(テ ンプレート及びデバイス グループのコミットの み) このオプションを有効にすると、Panorama の設定変更を、ターゲット ファイア ウォール上にローカルに実行された保留中の設定変更とマージしてコミットでき ます。このオプションを解除すると、ファイアウォールの候補設定がコミット作 業から除かれます。 推奨設定:ファイアウォール管理者にファイアウォール上でローカルに変更をコ ミットすることを許可していて、Panorama から変更をコミットするときにそれら の変更を含めない場合は、このオプションの選択を解除します。また、Panorama からコミットを行う前に、ファイアウォールで設定の検証を行い、ローカルな変 更の見直しを行うことを推奨します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 479 変更内容を Panorama にコミットする Panorama 表 250. 設定のコミット(続) フィールド / ボタン 内容 デバイスおよびネット ワークのテンプレートを 含める(テンプレート及 びデバイスグループのコ ミットのみ) デバイスグループ及びテンプレートの変更を、選択したファイアウォールと仮想 システムへ一度のコミット処理で適用させたい場合はこのオプションを選択して ください(初期設定では有効化されています)。これらの変更を個別の処理でコ ミットさせたい場合は選択を解除してください。 テンプレートの値を適用 (テンプレート及びデバ イスグループのコミット のみ) 全てのローカル設定をオーバーライドし、選択したファイアウォール上のオブ ジェクトのうち、テンプレートおよびテンプレートスタックに存在しないか、ロー カル設定でオーバーライドされたオブジェクトを削除する場合はこのオプション を選択してください(初期設定では無効)。コミットにより、ファイアウォール上 の既存の設定がすべて取り消され、ファイアウォールはテンプレートあるいはテ ンプレートスタックに定義されている設定のみを継承するようになります。 内容 コミットの説明を記入します(最大 512 文字)。設定の変更点を大まかに書いてお くことで、他の管理者は設定監査を行うことなく変更点を知ることができます。 注:ログタイプの字数制限を超過して説明が書かれている場合、コミットイベン トのシステムログにより超過分は削除されます。 変更のプレビュー (Panoramaのコミット操 作のみ) 設定候補と適用中の設定を比較する場合は Preview Changes [ 変更のプレビュー] をクリックします。比較対象の設定ファイル中でハイライトされた、差異のある 個所の前後に表示したい行数を指定する場合は Lines of Context [ コンテクストの 行数 ] のドロップダウンリストを使用します。All [ 全て ] を選択した場合、結果に は設定ファイル全体が含まれます。前回のコミットと比較して、管理者が追加 (緑)、変更(黄色)、削除(赤)した設定内容が色分けして表示されます。Panorama > Config Audit [Panorama > 設定監査 ] でも同じ機能が実行されます (「設定ファ イルの比較」を参照 )。 注:プレビュー結果は新しいポップアップで表示されるので、ブラウザーでポッ プアップを許可しておく必要があります。プレビューウィンドウが開かない場合 はブラウザ設定を参照し、ポップアップブロックの解除を行ってください。 変更の検証 (テンプレート及びデバ イスグループのコミット のみ) Validate Changes [ 変更の検証 ] を選択すると、変更内容をコミットする前に Panorama あるいはファイアウォール設定の構文の検証 ( 設定構文が正しいかどう かの確認 ) と意味の検証 ( 設定が完了しており意味をなすかどうかの確認 ) を実行 できます。検証結果には、ルールシャドウイングやアプリケーションの依存関係 などを含めフルコミット実行時に発生する全てのエラーおよび警告が表示されま すが、実行中の設定は変更されません。検証を行うことで、実際に変更を行う前 にその変更内容が正常にコミット可能か判断することができ、コミット実行時の 不具合を予防する手立てとなります。 コミット Commit [コミット] をクリックして変更をアクティベーションします。他のコミッ トが実行中の場合、Commit [コミット] をクリックするとそのリクエストはコミッ トのキューに追加されます。 480 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. Panorama の高可用性(HA)を管理する Panorama Panorama の高可用性(HA)を管理する Panorama > High Availability [Panorama > 㧗ྍ⏝ᛶ ] Panorama で高可用性(HA)を有効化する場合は、以下のように設定します。 表 251. Panorama HA 設定 フィールド セットアップ 編集( 内容 )をクリックして、以下の設定を行います。 HA を有効 HA を有効化する場合は、このボックスを選択します。 ピア HA IP アドレス ピアの MGT インターフェイスの IP アドレスを入力します。 暗号化を有効 MGT インターフェイスが有効になると、HA ピア間の通信が暗号化されます。暗号化 を有効化する前に、それぞれの HA ピアから HA キーをエクスポートし、もう一方の ピアへインポートしてください。キーのエクスポートとインポートは Panorama > Certificate Management > Certificates [Panorama > 証明書の管理 > 証明書 ] から実行で きます(「ファイアウォールおよび Panorama 証明書の管理」を参照してください) 。 注:HA 接続には、暗号化が有効になっている場合は TCP ポート 28 が使用され、有 効になっていない場合は 28769 が使用されます。 ホールド タイムのモ ニター ( ミリ秒 ) 制御リンク障害に反応するまでにシステムが待機する時間 ( ミリ秒 ) を入力します ( 有 効範囲は 1000 ∼ 60000、デフォルトは 3000)。 選択設定 編集( )をクリックして、以下の設定を行います。 優先順位 (Panorama バーチャ ルアプライアンスで 必要になります) HA ペアでは、一方のデバイスを Primary [ プライマリ ] として割り当て、もう一方 のデバイスを Secondary [ セカンダリ ] として割り当てます。 この設定を行うことで、ファイアウォールのログを主となって受信するピア(プライ マリ)が決定されます。 「Panorama バーチャルアプライアンスのログストレージパー ティションを設定する」する際は、ログのストレージ用に内部ディスク(デフォル ト)かネットワークファイルシステム(NFS)を使用することができます。NFS を設 定した場合、プライマリの受信ピアのみがファイアウォールのログを受信します。内 部ディスクのストレージを設定した場合、デフォルト状態のファイアウォールはプラ イマリとセカンダリの両方のピアにログを送信します(「ロギングおよびレポート設 定」を設定することで変更可能です)。 プリエンプティブ Panorama のプライマリピアが障害から回復した後にアクティブな動作を再開できる ようにする場合は、このオプションを選択します。この設定がオフの場合、プライマ リの Panorama が障害から回復した後も、セカンダリデバイスがアクティブのまま動 作します。 HA タイマー設定 ここでの設定内容は、後述の HA 選択設定におけるフェイルオーバーの速度を左右し ます。 • Recommended [ 推奨 ] — 標準(デフォルト)のフェイルオーバータイマーを設定 する場合はこのオプションを選択してください。一連の設定数値を表示する場合は Advanced [ 詳細設定 ] から Load Recommended [ 推奨設定の読込 ] を選択します。 • Aggressive [アグレッシブ] — 高速のフェイルオーバータイマー設定を使用します。 一連の設定数値を表示する場合は Advanced [ 詳細設定 ] から Load Agressive [ アグ レッシブ設定の読込 ] を選択します。 • Advanced [ 詳細設定 ] — このオプションから残りの HA 選択設定を表示し、数値を カスタマイズすることができます。 Recommended [ 推奨 ] と Aggressive [ アグレッシブ ] の設定値は以下のフィールド を確認してください。 プロモーション ホー ルド タイム ( ミリ秒 ) プライマリピアがダウンしてからセカンダリ Panorama ピアがその役目を引き継ぐま でに待機する時間をミリ秒単位で入力します(範囲は 0 から 60000)。推奨(デフォル ト)値は 2000、アグレッシブの場合は 500 です。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 481 Panorama の高可用性(HA)を管理する Panorama 表 251. Panorama HA 設定 (続) フィールド 内容 Hello 間隔 ( ミリ秒 ) もう一方のピアが動作していることを確認するための hello パケットの送信間隔をミ リ秒単位 ( 範囲は 8000 から 60000) で入力します。推奨(デフォルト)の場合もアグ レッシブの場合も 8000 に設定されています。 ハートビート間隔 ( ミリ秒 ) Panorama が HA ピアに ICMP ping を送る間隔をミリ秒単位で設定します(範囲は 1000 から 60000)。推奨(デフォルト)値は 2000、アグレッシブの場合は 1000 です。 プリエンプション ホールド タイム ( 分 ) この設定値は Preemptive [ プリエンプティブ ] を設定した場合にのみ適用されます。 フェイルオーバーの原因が解決され、パッシブな Panorama ピアがアクティブな状態 に復帰する前に待機する時間を分単位で入力します(範囲は 1 から 60)。推奨(デフォ ルト)の場合もアグレッシブの場合も 1 に設定されています。 モニター障害時ホー ルド アップ タイム ( ミリ秒 ) パスモニターの障害後、Panorama がパッシブな状態への復帰を試行するまでの待機 時間をミリ秒単位で設定します(範囲は 0 から 60000)。この待機中に障害が発生して も、パッシブピアはアクティブピアを引き継ぐことができません。待機時間を持たせ ることで、隣接するデバイスの偶発的なフラッピングによるフェイルオーバーを回避 することができます。推奨(デフォルト)の場合もアグレッシブの場合も 0 に設定さ れています。 追加のマスター ホー ルド アップ タイム ( ミリ秒 ) 優先度の高いピアがアクティブピアの役割を引き継ぐ前に、パッシブ状態を維持する 時間をミリ秒単位で設定します(範囲は 0 から 60000)。推奨(デフォルト)値は 7000、 アグレッシブの場合は 5000 です。 パス モニタリング 編集( )をクリックして、HA パスモニタリングの設定を行います。 有効 パスのモニタリングを有効化する場合は、このオプションを選択します。パスのモニ タリングをオンにすると、Panorama は、ICMP ping メッセージを送信してレスポン スがあることを確認することで、指定した宛先 IP アドレスをモニターします。 障害条件 モニターしているパスグループの Any [ 一部 ] または All [ すべて ] で応答できない場 合にフェイルオーバーを発生させるかどうかを選択します。 パス グループ HA パスモニタリング用のパスグループを作成する場合は、Add [ 追加 ] をクリックし、以下の項目を入力し てください。 名前 パスグループの名前を指定します。 有効 パスグループを有効にするには、このボックスを選択します。 障害条件 指定した宛先アドレスの Any [ 一部 ] または All [ すべて ] が応答できない場合に、エ ラーを発生させるかどうかを選択します。 Ping 間隔 ICMP エコー メッセージによってパスが有効であることを確認する間隔を指定しま す(範囲は 1000 ∼ 60000 ミリ秒、デフォルトは 5000 ミリ秒 )。 Ping 数 障害を宣言するまでの ping 試行回数を指定します ( 範囲は 3 ∼ 10、デフォルトは 3)。 宛先 IP モニターする宛先 IP アドレスを 1 つ以上入力します。複数のアドレスを入力する場 合はコンマで区別してください。 482 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. Panorama ソフトウェアの更新 Panorama Panorama ソフトウェアの更新 Panorama > Software [Panorama > ࢯࣇࢺ࢙࢘ ] このページで Panorama 管理サーバーにある Panorama ソフトウェアアップデートを管理します。 • 「Panorama ソフトウェア更新の管理」 • 「Panorama ソフトウェア更新情報の表示」 Panorama ソフトウェア更新の管理 Panorama > Software [Panorama > ࢯࣇࢺ࢙࢘ ] Panorama > Software [Panorama > ソフトウェア ] を開き、以下のタスクを行ってください。 デフォルトでは、ソフトウェアのアップデートが Panorama 管理サーバーに 最大 2 個保存されます。新しいアップデート用の空き領域を確保するため に、サーバーは最も古いアップデートを自動的に削除します。Panorama に よって保存されるソフトウェア イメージの数を変更して、イメージを手動 で削除し、空き領域を確保できます。 バージョンの互換性については Panorama 用コンテンツとソフトウェアの アップデートをインストールを参照してください。 タスク 内容 今すぐチェック Panorama がインターネットに接続されている場合は Check Now [ 今すぐチェック ] をク リックして、最新のアップデート情報を表示することができます(「Panorama ソフトウェ ア更新情報の表示」を参照してください)。 Panorama が外部ネットワークに接続されていない場合は、インターネットブラウザを使 用してソフトウェアアップデートのサイトから更新情報にアクセスしてください。 アップロード Panorama がインターネットに接続されていない状態でソフトウェアイメージをアップ ロードする場合に、インターネットブラウザを使用してソフトウェアアップデートのサイ トにアクセスして必要なリリースを見つけ、Panorama がアクセス可能なコンピューター へソフトウェアイメージをダウンロードする場合は Panorama > Software [Panorama > ソ フトウェア ] のページから Upload [ アップロード ] を選択し、Browse [ 参照 ] からソフト ウェアイメージを探し、OK をクリックします。アップロードが完了すると、Available [ 使用可能 ] の列に Uploaded [ アップロード済み ] と表示されます。 ダウンロード Panorama インターネットに接続されている場合は必要なリリースの Action [ アクション ] の列から Download [ ダウンロード ] をクリックします。ダウンロードが完了すると、使用 可能な列に「ダウンロード済み」と表示されます。 インストール Action [ アクション ] 列にある Install [ インストール ] をクリックしてインストールを実行 します。インストールが完了すると Panorama 再起動の際に一度ログアウトが行われます。 注:Panorama システム ファイルの破損を回避するため、Panorama では定期的にファイル システムの整合性チェック (FSCK) が実行されます。このチェックは、再起動を 8 回行っ た後、または前回の FSCK から 90 日経過した後の再起動で実行されます。FSCK が進行中 であり完了するまでログインできない場合は、Web インターフェイスと SSH ログイン画面 に警告が表示されます。この処理が終了する時間は、ストレージシステムのサイズによっ て異なり、大きなシステムの場合は Panorama にログインできるようになるまで数時間か かることもあります。進捗状況を表示するには、Panorama へのコンソール アクセスをセッ トアップします。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 483 Panorama ソフトウェアの更新 Panorama タスク 内容 リリースノート Panorama がインターネットに接続されている場合は、Release Notes [ リリースノート ] をクリックして目的のソフトウェアリリースのリリースノートを参照し、リリースの変 更、修正、既知の問題、互換性の問題、およびデフォルト動作の変更を確認します。 Panorama がインターネットに接続されていない場合は、インターネットブラウザを使用 してソフトウェアアップデートのサイトにアクセスし、必要なリリースをダウンロードし てください。 不要になった場合や他のイメージ用に空き容量を確保したい場合に、ソフトウェアイメー ジを削除することができます。 Panorama ソフトウェア更新情報の表示 Panorama > Software [Panorama > ࢯࣇࢺ࢙࢘ ] Panorama > Software [Panorama > ソフトウェア ] をから以下の情報を表示します。Palo Alto Networks の 最新情報を表示する場合は Check Now [ 今すぐチェック ] をクリックします。 表 252. ソフトウェアとコンテンツのアップデート情報 列 内容 バージョン Panorama のソフトウェアバージョン サイズ ソフトウェアイメージのサイズ(メガバイト単位) リリース日 Palo Alto Networks がアップデートを公開した日時 使用可能 イメージがインストール可能かどうかを示します 現在インストール済み アップデートのインストールが完了するとチェックマークが表示されます。 動作 イメージに対して実行可能な操作(Download [ ダウンロード ]、Install [ インストー ル ]、Reinstall [ 再インストール ])を示します。 リリースノート Release Notes [ リリースノート ] をクリックして目的のソフトウェアリリースのリ リースノートを参照し、リリースの変更、修正、既知の問題、互換性の問題、およ びデフォルト動作の変更を確認します。 不要になった場合やダウンロード /アップロード用に空き容量を確保したい場合に、 アップデートを削除することができます。 484 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. Panorama 管理者ロールの設定 Panorama Panorama 管理者ロールの設定 Panorama > Admin Roles [Panorama > ⟶⌮⪅࣮ࣟࣝ ] 管理者ロールのプロファイルは管理者のアクセス権限や役割を定義する、カスタマイズ可能なロールで す。デバイスグループとテンプレートの管理者は、管理者アカウントのアクセスドメインにロールを割り 当てることで、社内の機能ごとあるいは地域ごとに情報の隔離を行うことができます(詳細は「Panorama アクセスドメインの設定」を参照してください)。 管理者ロールプロファイルを追加するには、Add [ 追加 ] をクリックし、以下のフィールドを入力します。 Radius サーバーを使用して管理者を認証する場合、管理者のロールとアク セス ドメインを Radius ベンダー固有の属性 (VSA) にマッピングしてくだ さい。 表 253. Panorama 管理者ロール設定 フィールド 内容 名前 管理者ロールの識別に使用する名前を入力します ( 最大 31 文字 )。名前の大文字と小文字 は区別されます。また、一意の名前にする必要があります。文字、数字、スペース、ハ イフン、およびアンダースコアのみを使用してください。 内容 ロールの説明 ( 省略可 ) を入力します。 ロール 管理責任の範囲を選択します。Panorama または Device Group and Template [ デバイス グループとテンプレート ] Web UI Panorama コンテクスト(Web UI list [Web UI リスト ])内の特定の機能とファイアウォー ルコンテクスト(Context Switch UI list [ コンテクストの切り替え UI リスト ])で許可され るアクセスのタイプを以下のオプションから指定します。 • Enable [ 許可 ]( ) — 読み取りおよび書き込み可能 • Read Only [ 読み取り専用 ] ( )— 読み取りアクセスのみ • Disable [ 無効 ] ( ) — アクセス不可 XML API Panorama と管理対象のファイアウォールについて XML API アクセスの種類(Enable [ 許可 ]、Read Only [ 読み取り専用 ]、または Disable [ 無効 ])を選択します。 • Report [ レポート ] — ファイアウォールレポートにアクセスできます。 • Log [ ログ ] — ファイアウォールログにアクセスできます。 • Configuration [ 設定 ] — Panorama およびファイアウォール設定の取得または変更が許 可されます。 • Operational Requests [ 操作要求 ] — Panorama およびファイアウォール上の操作コマ ンドの実行が許可されます。 • Commit [ コミット ] — Panorama およびファイアウォール設定のコミットが許可され ます。 • User-ID Agent [User-ID エージェント ] — User-ID エージェントにアクセスできます。 • Export [ エクスポート ] — Panorama およびファイアウォールからのファイルのエクス ポート(設定、ブロックページや応答ページ、証明書、キーなど)が許可されます。 • Import [ インポート ] — Panorama およびファイアウォールへのファイルのインポート (ソフトウェア更新、コンテンツ更新、ライセンス、設定、証明書、ブロックページ、 カスタムログなど)が許可されます。 (Panoramaロール のみ ) コマンド行 (Panoramaロール のみ ) CLI アクセスのロールのタイプを選択します。 • None [ なし ] — Panorama CLI へのアクセスが無効です(デフォルト)。 • superuser [ スーパーユーザー ] — Panorama への全てのアクセスが許可されます。 • superreader [ スーパーリーダー]—Panorama に対する読み取り専用のアクセス権が与 えられます。 • panorama-admin [Panorama 管理者 ] — Panorama に対するフルアクセス権が付与され ます。ただし、以下のアクションを除きます。 – Panorama の管理者およびロールの作成、変更、削除。 – 設定のエクスポート、検証、保存、ロード、インポートを行う。 – 設定のエクスポートのスケジュールを設定する。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 485 Panorama アクセスドメインの設定 Panorama Panorama アクセスドメインの設定 Panorama > Access Domains [Panorama > ࢡࢭࢫ ࢻ࣓ࣥ ] アクセスドメインでは、特定のデバイスグループ(ポリシーおよびオブジェクトの管理)、テンプレート (ネットワークおよびデバイス設定の管理)、管理対象ファイアウォールの Web インターフェイス(コン テクストの切り替え)に対して、デバイスグループとテンプレートの管理者が与えられているアクセス権 限を管理します。最大で 4,000 個のアクセス ドメインを定義してローカルで管理できます。また、RADIUS ベンダー固有属性(VSA)を使用してそれらを管理することもできます。アクセスドメインを作成する場 合は、Add [ 追加 ] をクリックし、以下のフィールドを入力します。 表 254. アクセス ドメイン設定 フィールド 内容 名前 アクセス ドメインの名前 ( 最大 31 文字 ) を入力します。名前の大文字と小文字は区別さ れます。また、一意の名前にする必要があります。文字、数字、ハイフン、およびアン ダースコアのみを使用してください。 共有オブジェクト 共有場所からこのアクセス ドメイン内のデバイス グループに継承されるオブジェクト に対するアクセス権限を次のうちから 1 つ選択します。権限に関係なく、管理者は共有 オブジェクトまたはデフォルト ( 事前定義済み ) オブジェクトをオーバーライドできませ ん。 • read [ 読み取り ] — 管理者は共有オブジェクトの表示とコピーができますが、共有オブ ジェクトに対してその他の操作を実行することはできません。非共有オブジェクトの追 加または共有オブジェクトのコピーを行う場合、宛先を、共有ではなく、アクセス ド メイン内のデバイス グループにする必要があります。 • write [ 書き込み ] — 管理者は共有オブジェクトに対してすべての操作を実行できます。 これがデフォルトの値です。 • shared-only [ 共有のみ ] — 管理者はオブジェクトを共有にのみ追加できます。管理者 は、共有オブジェクトの表示、編集、および削除もできますが、共有オブジェクトの移 動とコピーはできません。これを選択すると、管理者は、非共有オブジェクトに対して 表示以外のどの操作も実行できなくなります。 デバイスグループ 特定のデバイスグループに対する読み取り/書き込みアクセスを有効化あるいは無効化し ます。Enable All [ すべて有効化 ] または Disable All [ すべて無効化 ] をクリックするこ ともできます。あるデバイス グループに対して読み書きアクセス権を有効にすると、そ の子孫のデバイス グループに対して同じアクセス権が自動的に有効になります。子孫の デバイス グループを手動で無効にすると、その最上位の先祖のデバイス グループに対す るアクセス権が読み取り専用に自動的に変更されます。デフォルトでは、すべてのデバ イス グループに対してアクセス権は無効になっています。 注:「共有オブジェクト」[ 共有オブジェクト ] に対するアクセス権を shared-only [ 共有 のみ ] に設定した場合、読み書きアクセス権を指定したすべてのデバイスグループに読み 取り専用アクセス権が割り当てられます。 テンプレート 割り当てるテンプレートまたはテンプレート スタックごとに、Add [ 追加 ] をクリックし、 ドロップダウンリストからテンプレートまたはテンプレート スタックを選択します。 デバイス コンテ クスト (アクセスドメイ ンページのデバ イス / 仮想システ ムの列に対応し ています) ローカル設定を行う管理者がコンテクストを切り替えることのできるファイアウォール を選択します。リストに多くのファイアウォールが表示される場合、Device State [ デバ イス状態 ]、Platforms [ プラットフォーム ]、Device Groups [ デバイス グループ ]、 Templates [ テンプレート ]、Tags [ タグ ]、および HA Status [HA 状態 ] でリストをフィ ルタリングできます。 486 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. Panorama 管理アカウントの作成 Panorama Panorama 管理アカウントの作成 Panorama > Administrators [Panorama > ⟶⌮⪅ ] Panorama 管理者アカウントは管理者ロールおよび認証パラメータを定義します。アカウントのロック状 態を解除する場合はロックされたユーザー列のロックをクリックします。管理者アカウントを追加する場 合は、Add [ 追加 ] をクリックし、以下のフィールドを入力します。 表 255. 管理者アカウント設定 フィールド 内容 名前 管理者のログイン ユーザー名 ( 最大 15 文字 ) を入力します。名前の大文字と小文字は 区別されます。また、一意の名前にする必要があります。文字、数字、ハイフン、およ びアンダースコアのみを使用してください。 認証プロファイル この管理者を認証する認証プロファイルまたは認証シーケンスを選択します。詳細 は、「認証プロファイルのセットアップ」または「認証シーケンスのセットアップ」を 参照してください。この設定は、RADIUS、TACACS+、LDAP、Kerberos、またはロー カル データベース認証に使用できます。 クライアント証明 書認証のみを使用 (Web) Web アクセスのクライアント証明書認証を使用する場合は、このオプションを選択しま す。このオプションを選択すると、ユーザー名 (Name) とパスワード (Password) は必 要なく、Panorama へのアクセス認証には証明書で十分になります。 パスワード / パス ワード再入力 管理者のパスワード ( 最大 15 文字 ) を入力し、確認のためにパスワードを再入力しま す。このパスワードは大文字と小文字を区別します。セキュリティを確保するために、 管理者がパスワードを定期的に変更することをお勧めします。パスワードには、小文字、 大文字、および数字を組み合わせてください。 デバイスグループおよびテンプレートの管理者は Panorama > Administrators [Panorama > 管理者 ] のページにアクセスすることができません。この管理者のローカルパスワード を変更するには、管理者は Web インターフェイス下部の Logout [ ログアウト ] の横に あるユーザー名をクリックする必要があります。ページへのアクセス権限を無効化され た Panorama ロールを持つ管理者の場合も同様です。 パスワード認証は Authentication Profile [ 認証プロファイル ] と併用あるいは順に適用 したり、ローカルデータベース認証と併用することができます。 Password Profile [ パスワードプロファイル ](「パスワードプロファイルの定義」を参 照)を選択し、パスワード複雑性設定のパラメータ設定(「管理設定の定義」を参照)か らパスワードの有効期限を設定することもできます。 公開キーの認証 (SSH) の使用 SSH 公開キーの認証を使用するには、このオプションを選択します。Import Key [ キー のインポート ]、Browse [ 参照 ] の順にクリックし、公開キー ファイルを選択します。 Administrator [ 管理者 ] ダイアログの読み取り専用テキスト エリアに、アップロードし た鍵が表示されます。 サポート対象の鍵ファイルのフォーマットは、IETF SECSH と OpenSSH です。サポー ト対象の鍵アルゴリズムは、DSA (1024 ビット ) と RSA (768 ∼ 4096 ビット ) です。 注:公開キーの認証が失敗すると、ログインとパスワード プロンプトが表示されます。 管理者タイプ タイプの選択によって、管理者ロールのオプションが決まります。 • Dynamic [ 動的 ] — Panorama および管理対象ファイアウォールへのアクセス権を付 与します。新しい機能が追加されると、Panorama によってダイナミック ロールの定 義が自動的に更新されます。ユーザーが手動で更新する必要はありません。 • Custom Panorama Admin [ カスタム Panorama 管理 ] — これは設定可能なロールであ り、Panorama 機能に対する読み書きアクセス権または読み取り専用アクセス権を設 定できます。また、Panorama 機能に対するアクセス権を一切与えない ( アクセス権 なし ) ように設定することもできます。 • Device Group and Template Admin [デバイス グループおよびテンプレート管理] — こ れは設定可能なロールであり、この管理者に対して選択したアクセス ドメインに割り 当てたデバイス グループとテンプレートの各機能に対する読み書きアクセス権また は読み取り専用アクセス権を設定できます。また、これらの各機能に対するアクセス 権を一切与えない ( アクセス権なし ) ように設定することもできます。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 487 Panorama 管理アカウントの作成 Panorama 表 255. 管理者アカウント設定 (続) フィールド 内容 管理者ロール ( ダイナミック管理 者タイプ ) 事前に定義されたロールを選択します: • Superuser [ スーパーユーザー ] — Panorama とすべてのデバイス グループ、テンプ レート、管理対象ファイアウォールに対する読み取り / 書き込みのフル アクセス権が 付与されます。 • Superuser (Read Only) [ スーパーユーザー(読み取り専用)] — Panorama とすべて のデバイス グループ、テンプレート、管理対象ファイアウォールに読み取り専用でア クセスできます。 • Panorama administrator [Panorama 管理者 ] — Panorama に対するフルアクセス権が 付与されます。ただし、以下のアクションを除きます。 – Panorama またはファイアウォールの管理者およびロールの作成、変更、削除。 – Device > Setup > Operations [ デバイス > セットアップ > 操作 ] から設定のエクス ポート、検証、保存、ロード、インポートを行う。 – Panorama タブから Scheduled Config Export [ スケジュール設定された設定のエク スポート ] 機能を設定する。 プロファイル (カスタムPanorama 管理用管理者タイ プ) カスタム Panorama ロールを選択します (「Panorama 管理者ロールの設定」を参照 )。 管理者ロールに対 するアクセス ドメ イン ( デバイス グルー プおよびテンプ レート管理用管理 者タイプ ) アクセス ドメイン ( 最大 25 個 ) ごとに管理者に割り当てるには、Add [ 追加 ] をクリックし、 ドロップダウンリストから Access Domain [ アクセス ドメイン ] を選択します (「Panorama アクセスドメインの設定」を参照 )。次に、隣にある Admin Role [ 管理者ロール ] セルを クリックし、ドロップダウンリストからカスタムの Device Group and Template [ デバイス グループとテンプレート ] 管理者ロールを選択します 「 ( Panorama 管理者ロールの設定」 を参照 )。管理者が Panorama にログインすると、Web インターフェイスのフッター に Access Domain [ アクセス ドメイン ] ドロップダウンリストが表示されます。管理 者 は、割 り 当 て ら れ た 任 意 の Access Domain [ ア ク セ ス ド メ イ ン ] を 選 択 し、 Panorama に表示する、モニタリングおよび設定データをフィルタリングできます。 Access Domain [ アクセスドメイン ] を選択することで、Context [ コンテクスト ] の ドロップダウンリストから表示されるファイアウォールも絞り込まれます。 注:Radius サーバーを使用して管理者を認証する場合、管理者のロールとアクセス ドメ インを Radius VSA にマッピングする必要があります。VSA 文字列の文字数には制限が あるため、管理者に対してアクセス ドメインとロールのペアの最大数 (25) を構成する 場合、各アクセス ドメインと各ロールの名前値を平均で 9 文字以下とする必要がありま す。 パスワードプロ ファイル Password Profile [ パスワードプロファイル ] を選択してください(「パスワードプロ ファイルの定義」を参照してください )。 488 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ファイアウォールの管理 Panorama ファイアウォールの管理 Panorama > Managed Devices [Panorama > ⟶⌮ᑐ㇟ࢹࣂࢫ ] Panorama が管理する Palo Alto Networks ファイアウォールを管理対象デバイスといいます。ファイア ウォールでは、以下の管理タスクを実行できます。 Panorama では、同じメジャー リリースまたはサポートされている以前の バージョンを実行中の PAN-OS ファイアウォールを管理できますが、より新 しいリリース バージョンを実行中のファイアウォールは管理できません。た とえば、Panorama 7.0 では、PAN-OS 7.0 またはそれ以前のサポートされてい るバージョンを実行しているファイアウォールを管理できますが、PAN-OS 7.1 を実行しているファイアウォールを管理できません。 タスク 内容 追加 Add [ 追加 ] をクリックしてファイアウォールのシリアルナンバーを入力し、管理対象のデバ イスに追加します(1 行につき 1 つ)。Managed Devices [ 管理対象デバイス ] のページには、 接続状況、インストール済みアップデート、および初期設定中に設定されたプロパティを含 め、「管理対象ファイアウォールの情報を表示する」されます。 ファイアウォールの追加後、Panorama 管理サーバーの IP アドレスを入力し、Panorama に よるファイアウォールの管理を有効化します(「管理設定の定義」を参照してください)。 注:ファイアウォールは AES-256 により暗号化された SSL 接続を通じて Panorama に登録さ れます。Panorama とファイアウォールはを 2,048 ビット証明書を使用して互いに認証をおこ ない、SSL 接続を使用して設定の管理とログ回収を行います。 削除 Panorama が管理するファイアウォールのリストからファイアウォールを削除する場合は、 1 つ以上のファイアウォールを選択し、Delete [ 削除 ] をクリックします。 タグ 1 つ以上のファイアウォールを選択し、Tag [ タグ ] をクリックして、最大 31 文字のテキスト 文字列を入力するか、既存のタグを選択します。空白は使用できません。Web インターフェ イスに多くのファイアウォールが表示される場所 ( ソフトウェアのインストール用のダイア ログなど ) では、タグを使用してリストをフィルタリングできます。たとえば、 「branch office」 というタグを追加すると、ネットワーク全体から支店のファイアウォールすべてを検索でき ます。 インストール 「ファイアウォールのソフトウェアあるいはコンテンツ更新のインストール」する場合は Install [ インストール ] をクリックします。 HA ピアのグ ループ化 高可用性(HA)設定のピアであるファイアウォールを Managed Devices [ 管理対象デバイス ] ページでグループ化する場合は、Group HA Peers [HA ピアのグループ化 ] を選択します。こ の設定により操作の対象がグループ化され、各 HA ペアの両方のピアに操作を行うか、どち らにも操作を行わないかのいずれかに制限されます。 バックアップ 「ファイアウォールのバックアップの管理」する場合は Manage [ 管理 ] をクリックしてくだ の管理 さい。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 489 ファイアウォールの管理 Panorama 管理対象ファイアウォールの情報を表示する Panorama > Managed Devices [Panorama > ⟶⌮ᑐ㇟ࢹࣂࢫ ] Panorama > Managed Devices [Panorama > 管理対象デバイス ] を選択し、 管理対象ファイアウォールごとに 以下の情報を表示します。 表 256. 管理対象ファイアウォールの情報 フィールド 内容 デバイスグループ ファイアウォールがメンバーとなっているデバイス グループの名前が表示され ます。デフォルトではこの列は非表示ですが、任意の列ヘッダーのドロップダウ ンリストを選択し、Columns > Device Group [ 列 > デバイス グループ ] を選択す ることでこの列を表示できます。 この列が表示されているかどうかに関係なく、ファイアウォールグループに応じ て、ページにクラスタ内のデバイスが表示されます。各クラスタにヘッダー行が あり、デバイスグループ名、割り当てられたファイアウォールの合計数、接続さ れたファイアウォールの数、階層内のデバイスグループのパスが表示されます。 例えば、Datacenter (2/4 Devices Connected) [ データセンター(接続済みデバイ ス 2/4)] の場合:Shared > Europe > Datacenter [ 共有 > 欧州 > データセンター ] は、Datacenter [ データセンター] というデバイスグループに 4 つのメンバーファ イアウォールが存在し(そのうち 2 つは接続済み)、そのデバイスグループは Europe [ 欧州 ] というデバイスグループの子であることを示します。任意のデバ イス グループを折りたたんだり展開したりすることで、そのファイアウォールを 非表示にしたり表示したりできます。 デバイスグループの詳細については、「デバイス グループの管理」を参照してく ださい。 デバイス名 ファイアウォールのホスト名またはシリアル番号が表示されます。 VM-Series NSX エディションファイアウォールの場合、ファイアウォール名には ESXi ホストのホスト名が付加されます。例えば、PA-VM の場合:Host-NY5105 仮想システム Multiple Virtual Systems [ 複数の仮想システム ] モードになっているファイア ウォール上で利用できる仮想システムが一覧表示されます。 タグ 各ファイアウォール / 仮想システムに定義されているタグが表示されます。 シリアル番号 ファイアウォールのシリアル番号が表示されます。 IP アドレス ファイアウォール / 仮想システムの IP アドレスが表示されます。 テンプレート ファイアウォールが属するテンプレートまたはテンプレートスタックが表示さ れます。 490 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ファイアウォールの管理 Panorama 表 256. 管理対象ファイアウォールの情報(続) フィールド 内容 ステータス Device State [ デバイス状態 ] — Panorama とファイアウォール間の接続の状態 が示されます:接続済みまたは切断 VM-Series のファイアウォールには別の 2 つの状態が存在する可能性がありま す。 • Deactivated [ 停止中 ] — ファイアウォール上で仮想マシンを直接停止したか、 Panorama > Device Deployment > Licenses [Panorama > デバイスのデプロイ > ライセンス ] ページの Deactivate VMs [VM の停止 ] を選択して仮想マシンが停 止し、ファイアウォールのすべてのライセンス / 資格が削除されていることを 示します。非アクティブ化プロセスによって VM-Series ファイアウォールのシ リアル番号が削除されるため、非アクティブ化されたファイアウォールは Panorama から切断されます。 • Partially deactivated [ 部分的に停止 ] — Panorama からライセンスの停止プロ セスが開始されたが、ファイアウォールがオフラインであり、Panorama がファ イアウォールと通信できないためプロセスがすべて完了していないことを示 します。 HA Status [HA の状態 ]— ファイアウォールが、以下の状態にあることを示しま す。 • Active [ アクティブ ] — 正常なトラフィック処理状態 • Passive [ パッシブ ] — 正常なバックアップ状態 • Initiating [ 始動中 ] — ファイアウォールの起動後最大 60 秒はこの状態におか れます • Non-functional [ 機能停止中 ] — エラー状態 • Suspended [ 保留中 ] — 管理者がファイアウォールをサスペンドしていること を示します • Tentative [ 一時的な状態 ] — アクティブ / アクティブ環境におけるリンクまた はパスのモニタリングイベント用 Shared Policy [ 共有ポリシー] — ファイアウォールのポリシーとオブジェクト設 定が Panorama と同期しているかどうかを示します。 Template [テンプレート] — ファイアウォールのネットワークとデバイス設定が Panorama と同期しているかどうかを示します。 Last Commit State [最終コミット状態] — ファイアウォールで最後のコミットが 失敗したか、成功したかを示します。 ソフトウェアバージョン | アプリケーションおよび 脅威 | アンチウイルス | URL フィルタリング | GlobalProtect クライアン ト | WildFire ファイアウォールに現在インストールされているソフトウェアとコンテンツの バージョンが表示されます。詳細は、「ファイアウォールのソフトウェアあるい はコンテンツ更新のインストール」を参照してください。 バックアップ PAN-OS はファイアウォール上のコミットを行う際、Panorama に対し自動的に ファイアウォールの設定のバックアップを送信します。設定のバックアップを参 照し、必要に応じそれを読み込む場合は Manage [ 管理 ] をクリックします。詳 細は、「ファイアウォールのバックアップの管理」を参照してください。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 491 ファイアウォールの管理 Panorama ファイアウォールのソフトウェアあるいはコンテンツ更新 のインストール Panorama > Managed Devices [Panorama > ⟶⌮ᑐ㇟ࢹࣂࢫ ] 管理対象のファイアウォールにソフトウェアまたはコンテンツのアップデートをインストールする場合 は、まず Panorama > Device Deployment [Panorama > デバイスのデプロイ ] のページを開き、アップデート のダウンロードまたはそれを Panorama へアップロードします。次に Panorama > Managed Devices [Panorama > 管理対象デバイス ] のページから Install [ インストール ] をクリックし、以下のフィールドを 入力します。 または Panorama > Device Deployment [Panorama > デバイスのデプロイ] ペー ジからアップデートをファイアウォールへインストールすることもできま す(「ソフトウェアおよびコンテンツ更新の管理」を参照)。 表 257 ファイアウォール用ソフトウェア / コンテンツのアップデートのインストール フィールド 内容 タイプ インストールする更新のタイプを以下の中から選択します。PAN-OS Software [ ソフトウェア ]、GlobalProtect Client software [GlobalProtect クライアントソフ トウェア ]、Apps and Threats signiatures [ アプリケーションおよび脅威 ] のシグ ネチャ、Antivirus signiature [ アンチウイルス ] シグネチャ、WildFire、または URL Filtering [URL フィルタリング ] ファイル 更新イメージを選択します。ドロップダウンリストには、Panorama > Device Deployment [Panorama > デバイスのデプロイ ] ページから Panorama へダウン ロードまたはアップロードしたイメージのみが表示されます。 フィルタ デバイスリストに適用するフィルタを選択します。 デバイス イメージをインストールするファイアウォールを選択します。 デバイス名 ファイアウォール名 現在のバージョン 現在ファイアウォールにインストールされているType [タイプ] のファイアウォー ルの更新バージョンです。 HA 状態 ファイアウォールが、以下の状態にあることを示します。 • Active [ アクティブ ] — 正常なトラフィック処理状態 • Passive [ パッシブ ] — 正常なバックアップ状態 • Initiating [ 始動中 ] — ファイアウォールの起動後最大 60 秒はこの状態におかれ ます • Non-functional [ 機能停止中 ] — エラー状態 • Suspended [ 保留中 ] — 管理者がファイアウォールをサスペンドしていること を示します • Tentative [ 一時的な状態 ] — アクティブ / アクティブ環境におけるリンクまた はパスのモニタリングイベント用 HA ピアのグループ化 高可用性(HA)設定のピアであるファイアウォールをデバイスリストでグループ 化する場合は、このオプションを選択します。 フィルタが選択されてい ます デバイスリストに特定のファイアウォールのみを表示する場合、対応するデバイ ス名を選択し、Filter Selected [ 選択項目でフィルタ ] を行います。 デバイスにのみアップ ロード ファイアウォールにイメージをアップロードし、ファイアウォールを自動的に再 起動させたくない場合は、このオプションを選択します。イメージはファイア ウォールを手動で再起動するまでインストールされません。 インストール後にデバイ スを再起動(ソフトウェ アのみ) ソフトウェア イメージをアップロードしてインストールする場合は、このオプ ションを選択します。インストール プロセスによって再起動がトリガーされます。 492 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ファイアウォールの管理 Panorama 表 257 ファイアウォール用ソフトウェア / コンテンツのアップデートのインストール(続) フィールド 内容 コンテンツ更新で新しい アプリケーションを無効 にする(アプリケーショ ンと脅威のみ) 前回インストールしたアップデート内容と比較して、今回のアップデートに新し く含まれているアプリケーションを無効化したい場合はこのオプションを選択し ます。これにより最新の脅威を防ぎながらも、ポリシーアップデートを行ったの ちに、アプリケーションを有効化していくといった柔軟な対応が可能です。アプ リケーションを有効化したい場合、ファイアウォールにログインして、Device > Dynamic Updates [ デバイス > 動的更新 ] を開き、機能の列にある Apps [ アプリ ] をクリックして新しいアプリケーションを表示し、有効化したいアプリケーショ ンごとに Enable/Disable [ 有効化 / 無効化 ] の設定を選びます。 ファイアウォールのバックアップの管理 Panorama > Managed Devices [Panorama > ⟶⌮ᑐ㇟ࢹࣂࢫ ] Panorama では、設定の変更を管理対象ファイアウォールにコミットするたびにその変更内容が自動的に バックアップされます。ファイアウォールのバックアップを管理する場合は Panorama > Managed Devices [Panorama > 管理対象デバイス ] を選択し、ファイアウォールのバックアップ列にある Manage [ 管理 ] を クリックし、以下のタスクを行います。 Panoramaデバイスに保存するファイアウォールの設定バックアップ数を設 定する場合は、Panorama > Setup > Management [Panorama > セットアップ > 管理 ] の順に選択し、[ ロギングおよびレポート設定 ] を編集します。次に、 Log Export and Reporting [ログのエクスポートとレポート] タブを選択して、 Number of Versions for Config Backups [ 設定バックアップのバージョン数 ] フィールドに値 ( デフォルトは 100) を入力します。 タスク 内容 保存またはコミットされた設定の 詳細を表示する。 バックアップの Version [ バージョン ] 列で、保存またはされた設定の ファイル名またはコミットされた設定のバージョンナンバーをクリッ クし、関連する XML ファイルの内容を表示します。 保存またはコミットされた設定を 設定候補に復元する。 バックアップの Action [ 動作 ] 列で、Load [ ロード ] と Commit [ コミッ ト ] をクリックします。 保存された設定内容を削除する。 バックアップのAction [動作]列で、Delete [削除] ( © Palo Alto Networks, Inc. )をクリックします。 Web インターフェイス リファレンス ガイド、バージョン 7.1 • 493 Panorama およびファイアウォールの設定のエクスポートをスケジューリングする Panorama Panorama およびファイアウォールの設定のエクス ポートをスケジューリングする Panorama > Scheduled Config Export [Panorama > ࢫࢣࢪ࣮ࣗࣝタᐃࡉࢀࡓタᐃࡢ࢚ࢡࢫ࣏࣮ࢺ ] Panorama およびファイアウォールで実行中のすべての設定のエクスポートを定期的に実行させる場合 は、Add [ 追加 ] をクリックし、以下のフィールドを入力します。 Panorama で高可用性(HA)が設定されている場合は、各ピアで以下の手 順を実行して、フェイルオーバー後もスケジュール設定されたエクスポー トが継続して実行されるようにする必要があります。Panorama は、スケ ジュール設定されたエクスポートを HA ピア間で同期しません。 表 258. 設定のエクスポートのスケジューリング フィールド 内容 名前 設定のエクスポートジョブを識別する名前を入力します ( 最大 31 文字 )。名 前の大文字と小文字は区別されます。また、一意の名前にする必要がありま す。文字、数字、ハイフン、およびアンダースコアのみを使用してください。 内容 任意の説明を入力します。 有効化 設定エクスポートジョブを有効にするには、このボックスを選択します。 エクスポートの開始予定時刻 ( 毎日 ) エクスポートを開始する時間を指定します (24 時間形式、HH:MM 形式 )。 プロトコル Panorama からリモートホストへのログのエクスポートに使用するプロトコ ルを選択します。セキュアコピー(SCP)は保護されたプロトコルである一 方、FTP は保護されていません。 ホスト名 宛先の SCP または FTP サーバーの、IP アドレスまたはホスト名を入力して ください ポート ファイル転送先 FTP サーバーのポート番号を入力します。 パス 宛先サーバー上の、エクスポートした設定を保存するフォルダやディレクト リへのパスを指定します。 例えば、設定バンドルが、Panorama というトップフォルダの中の exported_config というフォルダに保存されている場合、各サーバータイプ 用の構文は以下のようになります。 • SCP サーバー:/Panorama/exported_config • FTP サーバー://Panorama/exported_config FTP パッシブモードの有効化 FTP パッシブモードを使用する場合は、このオプションを選択します。 ユーザー名 送信先での認証に必要なユーザー名を指定します。 パスワード / 再入力 パスワー ド 送信先での認証に必要なパスワードを指定します。 SCP サーバー接続のテスト Panorama と SCP ホスト / サーバー間の通信をテストする場合は、このオプ ションを選択します。 データの安全な転送を有効にするには、SCP サーバーのホスト キーを確認し て受け入れる必要があります。ホスト キーを受け入れるまで、接続は確立さ れません。Panorama で HA が設定されている場合は、各 HA ピアでこの検 証を実行し、それぞれが SCP サーバーのホスト キーを受け入れるようにす る必要があります。 494 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. デバイス グループの管理 Panorama デバイス グループの管理 Panorama > Device Groups [Panorama > ࢹࣂࢫ ࢢ࣮ࣝࣉ ] デバイスグループは、1 つのグループとして管理するファイアウォールや仮想システムで構成されます。 たとえば、会社内の支店または個々の部門によるグループを管理するファイアウォールなどが考えられま す。Panorama はポリシーを適用するときに、各グループを 1 つの単位として処理します。ファイアウォー ルは、1 つのデバイス グループにのみ属することができます。Panorama では仮想システムが個別のエン ティティになるため、ファイアウォール内の仮想マシンを異なるデバイス グループに割り当てることがで きます。 デバイスグループを、共有の場所に最大 4 階層のツリー構造でネストすることで、ファイアウォールの ネットワーク全域にわたり、多層的にポリシーを管理することができます。一番下のレベルのデバイス グ ループは、連続する上位レベルとして親、祖父母、曽祖父母のデバイス グループを持つことができます。 これらをまとめて先祖と呼び、一番下のレベルのデバイス グループはこれらからポリシーとオブジェクト を継承します。一番上のレベルのデバイス グループは、子、孫、曾孫のデバイス グループを持つことが できます。これらをまとめて子孫と呼びます。Device Groups [ デバイスグループ ] ページの名前列がこの 階層構造を反映しています。 デバイスグループの追加、編集、削除を行った場合は、Panorama コミットおよびデバイスグループのコ ミットを行う必要があります(「変更内容を Panorama にコミットする」を参照)。次に、Panorama は設 定の変更点をそのデバイスグループに割り当てられたファイアウォールへプッシュします。デバイスグ ループを追加する場合は、Add [ 追加 ] をクリックし、以下のフィールドを入力します。 表 259. デバイス グループ設定 フィールド 内容 名前 グループの識別に使用する名前 ( 最大 31 文字 ) を入力します。名前の大文字と小文字は区 別されます。また、デバイス グループ階層全体で一意の名前にする必要があります。文 字、数字、スペース、ハイフン、およびアンダースコアのみを使用してください。 内容 デバイス グループの説明を入力します。 デバイス デバイスグループに追加するファイアウォールをそれぞれ選択します。リストに多くの ファイアウォールが表示される場合、Device State [ デバイス状態 ]、Platforms [ プラット フォーム ]、Templates [ テンプレート ]、または Tags [ タグ ] でリストをフィルタリング できます。[ フィルタ ] セクションのかっこの中には、これらの各カテゴリの管理対象ファ イアウォールの数が表示されます。 デバイスグループが純粋に組織化を目的とした ( つまり、他のデバイスグループが含まれ る ) ものである場合、そのデバイス グループにファイアウォールを割り当てる必要はあり ません。 すべて選択 リスト中の全てのファイアウォールと仮想システムを選択します。 すべての選択を 解除 リスト中の全てのファイアウォールと仮想システムの選択を解除します。 HA ピアのグ ループ化 高可用性 (HA) 設定のピアであるファイアウォールをグループ化する場合は、このオプ ションを選択します。これにより、リストには、アクティブ ( アクティブ / アクティブ設 定ではアクティブ - プライマリ ) のファイアウォールが最初に表示されます。パッシブ ( ア クティブ / アクティブ設定ではアクティブ - セカンダリ ) のファイアウォールはかっこ内 に表示されます。これで、HA モードのファイアウォールを簡単に識別できます。共有ポ リシーをプッシュする場合に、個々のピアではなくグループ化されたペアにプッシュでき ます。 推奨設定:アクティブ / パッシブ設定の HA ピアの場合は、両方のファイアウォールまた はそれらの仮想システムを同じデバイス グループに追加することを検討してください。こ れにより、両方のピアに設定を同時にプッシュできます。 フィルタが選択 されています 特定のファイアウォールもしくは仮想システムを表示したい場合は、それらを選択した状 態で Filter Selected [ 選択項目でフィルタ ] を実行します。 親デバイス グループ 定義しているデバイスグループを基準として、その真上の階層にあるデバイスグループ ( または共有場所 ) を選択します(デフォルトは Shared [ 共有 ])。 マスター デバイス ポリシー内で使用するユーザー ID 情報の収集元であるデバイスグループ内のファイア ウォールを 1 つ選択します。ここで収集されたユーザーとグループのマッピング情報は、 デバイスグループに固有のものです。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 495 テンプレートおよびテンプレートスタックの管理 Panorama テンプレートおよびテンプレートスタックの管理 Panorama > Templates [Panorama > ࢸࣥࣉ࣮ࣞࢺ ] Device [ デバイス ] タブおよび Network [ ネットワーク ] タブで、テンプレートを使用して、類似の設定を 必要とする複数のファイアウォールに共通の基本設定をデプロイできます。テンプレートスタックとはテ ンプレートを組み合わせたものです。Panorama でファイアウォール設定を管理する場合、デバイス グ ループ とテンプレートの組み合わせを使用します。デバイス グループでは、共有するポリシーおよびオ ブジェクトを管理し、テンプレートでは、共有するデバイスおよびネットワーク設定を管理します。 テンプレートおよびテンプレートスタックでは以下のタスクを実行することができます。 タスク 内容 テンプレートお よびスタックの 詳細を表示する 既存のテンプレートやテンプレートスタックの情報を表示する場合は Panorama > Templates [Panorama > テンプレート ] ページを開きます。 「テンプレートの設定」と「テ ンプレートスタックの設定」で説明されているフィールドに加え、このページでは以下の 項目が表示されます。 • Type [ タイプ ] — 記載されたエントリが、テンプレートあるいはテンプレートスタック のどちらであるかを示します。 • Stack [ スタック ] — テンプレートスタックに割り当てられたテンプレートを一覧表示し ます。 追加 Add [ 追加 ] をクリックして「テンプレートの設定」します。 スタックの追加 Add Stack [ スタック追加 ] をクリックして「テンプレートスタックの設定」します。 削除 削除したいテンプレートまたはテンプレートスタックを選択して Delete [ 削除 ] をクリッ クすることで削除することができます。テンプレートまたはスタックを削除したり、テン プレートまたはスタックからファイアウォールを削除しても、Panorama によってファイ アウォールにプッシュされた値は削除されません。テンプレートまたはテンプレート ス タックからファイアウォールを削除すると、新しい更新はそのファイアウォールにプッ シュされなくなります。 コピー コピーしたいテンプレートまたはテンプレートスタックを選択して Clone [ コピー ] をク リックすることでコピーすることができます。 496 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. テンプレートおよびテンプレートスタックの管理 Panorama テンプレートの設定 Panorama > Templates [Panorama > ࢸࣥࣉ࣮ࣞࢺ ] テンプレートを設定する場合は、Add [ 追加 ] をクリックし、以下のパラメータを入力します。 テンプレートの設定後には「変更内容を Panorama にコミットする」する必 要があります。テンプレートに割り当てられたファイアウォールのネット ワークとデバイスの設定を行った場合は、テンプレートコミットを行い、 設定をファイアウォールへプッシュする必要があります。 表 260. テンプレートの設定 フィールド 内容 名前 テンプレート名 ( 最大 31 文字 ) を入力します。文字、数字、スペース、ハイフン、ピ リオド、およびアンダースコアのみを使用してください。名前の大文字と小文字は区 別されます。また、一意の名前にする必要があります。 この名前は、Device [ デバイス ] タブと Network [ ネットワーク ] タブの Template [ テ ンプレート ] ドロップダウンリストに表示されます。これらのタブで変更した設定は、 選択した Template [ テンプレート ] にのみ適用されます。 デフォルト VSYS 複数の仮想システムを持たないファイアウォールに、特定の仮想システム固有の設定 (インターフェイスなど)を Panorama でプッシュする場合、その仮想システムを選択 します。 内容 テンプレートの説明を入力します。 デバイス テンプレートに追加したいファイアウォールをそれぞれ選択します。ファイアウォー ルはそれぞれ一つのテンプレートまたはテンプレートスタックに割り当てることがで きます。従って、テンプレートをスタック内でのみ使用する場合は、ファイアウォー ルをテンプレートに割り当てず、スタックにのみ割り当てるようにしてください (「テ ンプレートスタックの設定」を参照 )。 リストに多くのファイアウォールが表示される場合、Platforms [ プラットフォーム ]、 Device Groups [ デバイス グループ ]、Tags [ タグ ]、および HA Status [HA 状態 ] でリ ストをフィルタリングできます。これらの各カテゴリのダイアログに管理対象ファイ アウォールの数が表示されます。 注:モード (VPN モード、マルチ vsys モード、または操作モード ) が一致していない 複数のファイアウォールを同じテンプレートに割り当てることができます。Panorama は、モード固有の設定を、そのモードをサポートするファイアウォールにのみプッシュ します。 すべて選択 リスト中の全てのファイアウォールを選択します。 すべての選択を解除 リスト中の全てのファイアウォールの選択を解除します。 HA ピアのグループ 化 高可用性(HA)ピアであるファイアウォールをグループ化する場合は、このオプショ ンを選択します。こうすることで、リストにはアクティブのファイアウォール(アク ティブ / アクティブ設定ではアクティブ - プライマリ)が最初に表示され、パッシブの ファイアウォール(アクティブ / アクティブ設定ではアクティブ - セカンダリ)はかっ こ内に表示されます。このオプションにより、HA 設定を持つファイアウォールの判 別が容易になり、また、テンプレート設定のプッシュを行う場合は個々のファイア ウォール宛てではなく、グループ化されたペアにプッシュすることができます。 フィルタが選択され ています 特定のファイアウォールのみを表示するには、該当のファイアウォールを選択して、 Filter Selected [ 選択項目でフィルタ ] を実行します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 497 テンプレートおよびテンプレートスタックの管理 Panorama テンプレートスタックの設定 Panorama > Templates [Panorama > ࢸࣥࣉ࣮ࣞࢺ ] テンプレート スタックとはテンプレートを組み合わせたものです。スタックにファイアウォールを割り当 てることで、すべての必要な設定をそれらのファイアウォールに割り当てることができます。すべてのテ ンプレートにすべての設定を追加する冗長な作業がなくなります。Panorama では、最大 128 個のスタッ クがサポートされます。テンプレートスタックを設定する場合は、Add Stack [ スタック追加 ] をクリック し、以下のパラメータを入力します。 テンプレートスタックの設定後には「変更内容を Panorama にコミットす る」する必要があります。スタックに割り当てられたファイアウォールの ネットワークとデバイスの設定を行った場合は、テンプレートコミットを 行い、設定をファイアウォールへプッシュする必要があります。 表 261. テンプレートスタックの設定 フィールド 内容 名前 スタック名 ( 最大 31 文字 ) を入力します。文字、数字、およびアンダースコアの みを使用してください。先頭は文字にする必要があります。名前の大文字と小文 字は区別されます。また、一意の名前にする必要があります。 スタック名および割り当てられたテンプレートは、Device [ デバイス ] タブと Network [ ネットワーク ] タブの Template [ テンプレート ] ドロップダウンリス トに表示されます。 内容 スタックの説明を入力します。 テンプレート スタックに含めるテンプレート ( 最大 16 個 ) ごとに、Add [ 追加 ] をクリックし、 テンプレートを選択します。 テンプレートに重複した設定がある場合、Panorama は、リスト内で上位にある テンプレートの設定のみを、割り当てられたファイアウォールにプッシュしま す。たとえば、テンプレート _A がリスト内でテンプレート _B よりも上にあり、 この 2 つのテンプレートで Ethernet1/1 インターフェイスが定義されているとし ます。この場合、Panorama は Ethernet1/1 の定義をテンプレート _A からプッ シュし、テンプレート _B からはプッシュしません。この順番を変更するには、 テンプレートを選択して Move Up [ 上へ ] または Move Down [ 下へ ] をクリック します。 注意 ! Panorama では、スタック内のテンプレートの組み合わせが検証されないた め、無効な関係が生じないように順番付けを行ってください。 デバイス スタックに追加したいファイアウォールをそれぞれ選択します。 リストに多くのファイアウォールが表示される場合、Platforms [ プラットフォー ム ]、Device Groups [ デバイス グループ ]、Tags [ タグ ]、および HA Status [HA 状態 ] でリストをフィルタリングできます。 注:モード (VPN モード、マルチ vsys モード、または操作モード ) が一致してい ない複数のファイアウォールを同じスタックに割り当てることができます。 Panorama は、モード固有の設定を、そのモードをサポートするファイアウォー ルにのみプッシュします。 すべて選択 リスト中の全てのファイアウォールを選択します。 すべての選択を 解除 リスト中の全てのファイアウォールの選択を解除します。 HA ピアのグルー プ化 高可用性(HA)ピアであるファイアウォールをグループ化する場合は、このオ プションを選択します。このオプションを使用すると、HA に設定されたファイ アウォールを簡単に識別できます。テンプレートスタックから設定をプッシュす る場合は、個々のファイアウォールではなくグループ化されたペアにプッシュで きます。 フィルタが選択 されています 特定のファイアウォールのみを表示するには、該当のファイアウォールを選択し て、Filter Selected [ 選択項目でフィルタ ] を実行します。 498 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. VM-Series NSX エディションファイアウォールのプロビジョニング Panorama VM-Series NSX エディションファイアウォールのプロ ビジョニング Panorama > VMware Service Manager VM-Series NSX エディションファイアウォールのプロビジョニングを自動化するには、NSX Manager と Panorama 間の通信を有効化する必要があります。Panorama が VM-Series ファイアウォールを NSX Manage 上のサービスとして登録すると、NSX Manager には、新しい VM-Series ファイアウォールをク ラスタ内の各 ESXi ホストに 1 つ以上のインスタンスをプロビジョニングするために必要な設定が作成さ れます。 知りたい内容 以下を参照 Panorama を NSX Manager と通信す るように設定するには? ࠕNSX Manager ࡢࢡࢭࢫࢆタᐃࡍࡿࠖ VM-Series NSX エディションファイ アウォールの設定を定義するには? ࠕࢧ࣮ࣅࢫᐃ⩏ࢆసᡂࡍࡿࠖ ダイナミック vSphere 環境で、ファ イアウォールがポリシーを常に適用 しておくよう設定するには? ࠕࢻࣞࢫࢢ࣮ࣝࣉࠖ࠾ࡼࡧࠕࢭ࢟ࣗࣜࢸ࣏ࣜࢩ࣮ࠖ さらに詳細を知りたい 仮想環境内で Panorama とファイアウォールを有効化し、その 変化について知りたい場合は、送信元としてダイナミックアド レスグループを使用し、セキュリティポリシーのプレルールに は宛先アドレスオブジェクトを使用します。 VM-Series NSX エディションファイアウォールのセット アップを参照してください NSX Manager へのアクセスを設定する Panorama > VMware Service Manager Panorama が NSX Manager と通信できるようにする場合は、編集( ドを入力します。 )をクリックし、以下のフィール 表 262. VMware サービスマネージャの設定 フィールド 内容 サービス マネー ジャ名 VM-Series ファイアウォールをサービスとして識別するための名前を入力します。この 名前は、NSX Manager に表示され、VM-Series ファイアウォールを要求に応じてデプロ イするために使用されます。 63 文字以内で指定し、英字、数字、ハイフン、およびアンダースコアのみを使用してく ださい。 内容 NSX Manager URL Panorama が NSX Manager との接続を確立するために使用する URL を指定します。 ( 任意 ) このサービスの目的または機能を説明するラベルを入力します。 NSX Manager ログ イン NSX Manager に設定されている認証情報 ( ユーザー名とパスワード ) を入力します。 Panorama は、これらの認証情報を使用して NSX Manager との認証を行います。 NSX Manager パス ワード NSX Manager パス ワードの再入力 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 499 VM-Series NSX エディションファイアウォールのプロビジョニング Panorama Panorama に変更内容をコミットすると、VMware サービスマネージャのページに Panorama と NSX Manager の間の接続状況が表示されるようになります。 ステータス Panorama と NSX Manager 間の接続状態が表示されます。 正常な接続は登録済みとして表示されます — PanoramaとNSX Managerが同期され、VMSeriesファイアウォールはNSX Manager上のサービスとして登録済みの状態になります。 接続が失敗した場合、以下のようなステータスが表示されます。 – Connected Error [ 接続エラー] — NSX Manager に到達できないか、NSX Manager へ のネットワーク接続を確立できません。 – Not authorized [ 認証不可 ] — アクセス資格情報(ユーザー名 / パスワード)が正し くありません。 – Unregistered [ 登録なし ] — サービス、サービス マネージャ、またはサービスプロ ファイルが NSX Manager で使用できないか、削除されています。 – Out of sync [ 同期されていません ] — Panorama に定義されている設定が、 NSX Manager に定義されている設定と異なります。失敗の原因を表示する場合は Out of sync [ 同期 されていません ] をクリックします。例えば、NSX Manager のサービス定義のうち、 Panorama で定義された名前と同じものがある可能性があります。このエラーを修正 する場合は、エラーメッセージに表示されているサービス定義名を使用して、NSX Manager のサービス定義の検証を行います。Panorama と NSX Manager の設定内容 が同期されるまで、Panorama に新しいサービス定義を追加することはできません。 最後の動的更新 Panorama が NSX Manager からダイナミックアドレスグループ情報を取得した日時が表 示されます。 VMware Service Manager のページを使用して、以下のタスクを実行します。 タスク 内容 NSX Manager へのアクセ 「NSX Manager へのアクセスを設定する」を参照してください。 スをセットアップします。 NSX 設定の同期化 Panorama で設定されたサービス定義を NSX Manager と同期する場合は NSX ConfigSync [NSX 設定の同期化 ] をクリックします。Panorama で保留中のコミットがある 場合、このオプションは使用できません。 同期が失敗した場合はエラーメッセージの詳細を参照し、エラーが Panorama と NSX Manager のどちらに起因するものか確認してください。例えば、NSX Manager のルー ルで参照されているサービス定義を Panorama 上で削除した場合、NSX Manager と の同期が失敗します。エラーメッセージに含まれている情報をもとに、エラーの原因 と修正が必要な箇所(Panorama あるいは NSX Manager)を特定します。 動的オブジェクトを同期 Synchronize Dynamic Objects [ 動的オブジェクトを同期 ] をクリックして、NSX Manager からの動的オブジェクト情報の更新を開始します。動的オブジェクトを同 期することで、仮想環境の変更に関するコンテクストを維持できます。また、ポリ シールール内で使用される動的アドレスグループを自動的に更新させ、アプリケー ションを安全に有効化することができます。 注:Panorama では、NSX Manager から動的に登録された IP アドレスのみを表示でき ます。ファイアウォールに直接登録されたダ動的 IP アドレスは表示されません。VM 情報ソース(VM-Series NSX エディションファイアウォールではサポートされていま せん)を使用している場合、または XML API を使用して IP アドレスをダ動的にファ イアウォールに登録している場合に、動的 P アドレスの完全なリスト(Panorama が プッシュしたものとローカルに登録されたもの)を表示する場合は、各ファイア ウォールにログインする必要があります。 VMware Service Manager の削除 NSX Manager へのアクセスを削除し、Panorama と NSX Manager 間の通信を無効に する場合は、Remove VMware Service Manager [VMware Service Manager の削除 ] をクリックします。 注:サービスマネージャーの設定を削除する前に、すべてのサービス定義を削除する 必要があります。 500 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. VM-Series NSX エディションファイアウォールのプロビジョニング Panorama サービス定義を作成する サービス定義を使用することで、NSX Manager 上に VM-Series ファイアウォールをパートナーセキュリ ティサービスとして登録することができます。Panorama で 32 個のサービス定義を作成し、NSX Manager に同期させることができます。 一般的に、ESXi クラスタ内のテナントごとに 1 つのサービス定義を作成します。それぞれのサービス定 義には、ファイアウォールのデプロイに使用する OVF(PAN-OS バージョン)が指定してあり、ESXi ク ラスタにインストールされている VM-Series ファイアウォールの設定内容が含まれています。設定内容を 指定する場合は、サービス定義に、固有のテンプレート、固有のデバイスグループ、およびそのサービス 定義を使用してデプロイされるファイアウォールのライセンス認証コードを含めておく必要があります。 デプロイされたファイアウォールは、Panorama に接続しサービス定義で指定されたデバイスグループ用 の設定内容(そのファイアウォールが保護する各テナントや部門のゾーンを含む)とポリシー設定を受信 します。 新しいサービス定義を追加する場合は以下のフィールドを入力します。 フィールド 内容 名前 NSX Manager に表示したいサービスの名前を入力します。 内容 ( 任意 ) このサービス定義の目的または機能を説明するラベルを入力します。 テンプレート VM-Series ファイアウォールを割り当てるテンプレートを選択します。テンプレートの詳 細は、「テンプレートおよびテンプレートスタックの管理」を参照してください。 サービス定義はそれぞれ固有のテンプレートまたはテンプレートスタックに割り当てる 必要があります。 テンプレートは複数のゾーン(NSX Service Profile Zones for NSX [NSX 用の NSX サービス プロファイルゾーン ])を割り当てることが可能です。シングルテナント型のデプロイにつ いては、テンプレートにゾーン(NSX Service Profile Zone)を 1 つ作成します。マルチテ ナント型のデプロイについては、それぞれのサブテナントごとにゾーンを作成します。 新規の NSX Service Profile Zone を作成した場合、そのゾーンはバーチャルワイヤーサブ インターフェイスのペアに自動的に割り当てられます。詳細は、 「セキュリティ ゾーンの 定義」を参照してください。 M-Series の OVF URL NSX Manager が、新しい VM-Series ファイアウォールをプロビジョニングするための OVF ファイルにアクセスできる URL(IP アドレスまたはホスト名とパス ) を入力します。 認証コード VM-Series ファイアウォールをの購入時に受信した受注完了電子メールに記載されている 認証コードを入力します。 デバイスグルー プ これらの VM-Series ファイアウォールを割り当てるデバイスグループまたはデバイスグ ループ階層を選択します。詳細は、 「デバイス グループの管理」を参照してください。 デバイスグルー プに通知 ネットワークにデプロイされた仮想マシンへの追加または変更について通知を受ける必 要があるデバイス グループを Add [ 追加 ] します。新しい仮想マシンがプロビジョニング されたり、既存のマシンが変更されたりすると、仮想ネットワークに対する変更内容は アップデートとして Panorama に配信されます。このように設定された場合、Panorama は、指定したデバイスグループ内のファイアウォールが動的アドレスグループに登録され た IP アドレスへの変更を受信できるように、ポリシールールで参照している動的アドレス オブジェクトの入力と更新を行います。 注:通知を有効化する場合は、通知を有効化したいすべてのデバイスグループを必ず選択 するようにしてください。デバイスグループを選択できない場合は(チェックボックスが 表示されない)、そのデバイスグループの階層により自動的に含まれていることを意味し ます。 この通知プロセスによって、コンテクストが認識され、ネットワーク上のアプリケーショ ン セキュリティが維持されます。たとえば、ハードウェアベースの境界ファイアウォール のグループがあり、新しいアプリケーションまたは Web サーバーがデプロイされた際に 通知を受ける必要がある場合、このプロセスは指定されたデバイスグループについてダイ ナミックアドレスグループの自動更新を開始します。さらに、ダイナミック アドレス オ ブジェクトを参照するすべてのポリシー ルールには、新しくデプロイまたは変更されたア プリケーションまたは Web サーバーが自動的に追加され、基準に基づいてセキュアに有 効にすることができます。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 501 Panorama におけるログとレポート Panorama Panorama におけるログとレポート 以下の表は Panorama におけるログモニタリングとレポート生成の仕組みを表しています。 表 263 Panorama におけるログとレポート 分散ログ収集 (DLC) Panorama は、設定とログ収集という 2 つの機能を実行します。大規模な導入におけるス ケーラビリティに容易に対応するため、M-Series アプライアンスを使用して管理機能と ログ収集機能を分離することができます。ファイアウォールにログコレクタモードの MSeries アプライアンス(専用ログコレクタ)へログを送信するよう設定することで、ト ラフィック負荷の重い Panorama 管理サーバー(Panorama モードの M-Series アプライ アンスまたは Panorama バーチャルアプライアンス)のログ収集プロセスを分散させる ことができます。詳細についてはログの記録とレポートの一元化およびログ収集の管理 を参照してください。 ログの転送 Panoramaのログおよびレポートは、管理対象ネットワーク上のユーザー アクティビティ に関する情報を提供します。Panorama からユーザーやネットワークアクティビティを参 照する場合も、ファイアウォールから Panorama へのログ転送を設定する必要はありま せん。ログ転送は、長期的にログを保存する場合や、Panorama にローカルに保存された ログを使用してレポートを生成する場合に必要になります。ログ転送を有効化した場合、 ファイアウォールはデフォルトでログをバッファし、事前に設定した間隔で Panorama へ送信しますが、この設定は変更可能です(詳細は「管理設定の定義」、ログとレポート の設定を参照してください)。 Application Command Center (ACC) デフォルトでは、Panorama の ACC タブには、Panorama にローカルに保存された情報 が表示されます。ただし、接続されているファイアウォールの情報に Panorama がアク セスするようにデータ ソースを変更できます。すべてのテーブルで情報が動的に取得さ れ、ネットワーク上のトラフィックの集約ビューが表示されます。詳細は、 「アプリケー ション コマンド センターの使用」を参照してください。 レポートの生成と スケジュール設定 Panorama では、カスタム レポートを生成およびスケジューリングできます。スケジュー ルが事前に定義されたカスタムレポートの場合、ファイアウォールは 15 分ごとにレポー ト統計を集約し、1 時間おきに Panorama へ転送します。詳細は、「カスタムレポートの 生成」を参照してください。 ログおよびレポー トの管理 ログやレポートの管理に使用できるフィールドやタスクについては、以下を参照してく ださい。 •「アプリケーション コマンド センターの使用」 •「アプリケーション スコープの使用」 •「ログ」 •「AutoFocus」 •「PDF サマリーレポートの管理」 •「ユーザー / グループ アクティビティ レポートの管理」 注:Panorama においてユーザーアクティビティレポートを生成する場合は、各デバイス グループに Master Device [ マスターデバイス ](ファイアウォール)をセットアップす る必要があります。Panorama はユーザーをグループにマッピングするための情報を保持 していないため、単体ではグループアクティビティレポートを生成できません。 502 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ログコレクタの管理 Panorama ログコレクタの管理 Panorama > Managed Collectors [Panorama > ⟶⌮ᑐ㇟ࢥࣞࢡࢱ ] 専用のログコレクタ(ログコレクタモードの M-Series アプライアンス)は、Panorama モードの M-Series アプライアンスまたは Panorama バーチャルアプライアンスから管理することができます。また、 Panorama モードの M-Series アプライアンスは、ファイアウォールから直接受信するログを処理する ためのデフォルト(ローカル)のログコレクタを持っています。 (一方 Panorama バーチャルアプライ アンスは、ファイアウォールから直接受信するログを、ローカルのログコレクタを使用せずに処理し ます。)Panorama を使って専用ログコレクタを管理する場合は、Panorama を管理対象コレクタに追 加する必要があります。事前に設定されている管理対象コレクタ(名前はデフォルト)は、Panorama モードの M-Series アプライアンス上にローカルに存在します。 M-Series アプライアンスのログコレクタでは以下のタスクを実行することができます。 タスク 統計 / 情報の 表示 内容 「ログコレクタの情報を表示する」する場合は Panorama > Managed Collectors [Panorama > 管理対象のコレクタ ] ページを開きます。 ディスク情報、CPU パフォーマンス、平均ログ数 / 秒を参照する場合は、 「ログコレクタの設 定」したのちに、Statistics [ 統計 ] をクリックします。レビュー中のログ範囲をよりよく理 解するために、ログコレクタが受信した最も古いログ情報を表示することもできます。 追加 管理対象コレクタにログコレクタを Add [ 追加 ] します(「ログコレクタの設定」を参照)。 削除 管理対象コレクタからログコレクタを削除する場合は、削除したいログコレクタを選択して Delete [ 削除 ] をクリックします。 インストール 「ログコレクタへのソフトウェアの更新のインストール」。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 503 ログコレクタの管理 Panorama ログコレクタの情報を表示する Panorama > Managed Collectors [Panorama > ⟶⌮ᑐ㇟ࢥࣞࢡࢱ ] Panorama > Managed Collectors [Panorama > 管理対象コレクタ ] を選択し、管理対象コレクタごとに以下の 情報を表示します。「ログコレクタの設定」すると追加パラメータを参照できるようになります。 表 264. ログコレクタの情報 列 内容 コレクタ名 ログコレクタを識別するための固有名です。この名前はログコレクタホスト名として表 示されます。 コレクタのシリア ル番号 ログコレクタとして機能している M-Series アプライアンスのシリアルナンバーです。 ソフトウェア バージョン ログコレクタにインストールされている Panorama ソフトウェアのリリースバージョン を示します。 IP アドレス ログコレクタ用管理インターフェイスの IP アドレスです。 接続済み ログコレクタと Panorama の接続状況を示します。 設定状態 / 詳細 ログコレクタの設定が Panorama と同期されているかどうかを示します。 ランタイムステー タス / 詳細 コレクタグループ内の他のログコレクタとの接続状況を示します。 再配信状態 特定の操作(ディスクの追加など)を行った場合、ログコレクタはディスクペアにログ の再配信を行います。この列は再配信プロセスの完了状態がパーセントで表示されます。 最終コミット状態 ログコレクタ上で行われた前回のコレクタグループコミットが成功したか失敗したかを 表示します。 統計 ディスク情報、CPU パフォーマンス、平均ログ数 / 秒を参照する場合は、 「ログコレクタ の設定」したのちに、Statistics [ 統計 ] をクリックします。レビュー中のログ範囲をよ りよく理解するために、ログコレクタが受信した最も古いログ情報を表示することもで きます。 ログコレクタの設定 Panorama > Managed Collectors [Panorama > ⟶⌮ᑐ㇟ࢥࣞࢡࢱ ] ログコレクタを設定する場合は、Add [ 追加 ] をクリックし、以下のように設定を行います。 ログコレクタを完全な手順で設定する場合は、いくつかの追加タスクを行 う必要があります。 探している情報 以下を参照 ログコレクタを特定し、Panorama 管理サー バー、DNS サーバー、NTP サーバーとの接 続を定義する。 ࠕࣟࢢࢥࣞࢡࢱࡢ୍⯡タᐃࢆᐃ⩏ࡍࡿࠖ ログコレクタ CLI へのアクセスを設定する。 ࠕࣟࢢࢥࣞࢡࢱࡢ CLI ㄆドタᐃࢆᐃ⩏ࡍࡿࠖ ログコレクタが使用するインターフェイス を設定する。 ࠕࣟࢢࢥࣞࢡࢱࡢ⟶⌮⏝ࠊEth1ࠊEth2 ࣥࢱ࣮ࣇ࢙ ࢫࡢタᐃࢆᐃ⩏ࡍࡿࠖ ファイアウォールから収集したログを保管 する RAID ディスクを設定する。 ࠕࣟࢢࢥࣞࢡࢱࡢ RAID ࢹࢫࢡタᐃࢆᐃ⩏ࡍࡿࠖ 504 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ログコレクタの管理 Panorama ログコレクタの一般設定を定義する Panorama > Managed Collectors > General [Panorama > ⟶⌮ᑐ㇟ࢥࣞࢡࢱ > ୍⯡ ] ログコレクタを特定し、Panorama 管理サーバー、DNS サーバー、NTP サーバーとの接続を定義する場 合は以下のフィールドを入力します。 表 265. ログコレクタの設定 - 一般 フィールド 内容 コレクタシリア ル番号 ログコレクタとして機能している M-Series アプライアンスのシリアルナンバーを入力し ます。このフィールドは必須です。 コレクタ名 このログ コレクタの識別に使用する名前を入力します ( 最大 31 文字 )。名前の大文字と小 文字は区別されます。また、一意の名前にする必要があります。文字、数字、スペース、 ハイフン、およびアンダースコアのみを使用してください。 この名前はログコレクタホスト名として表示されます。 デバイス ログ収集 ファイアウォールのログ収集に使用するインターフェイスを選択します。デフォルトで は、管理(MGT)インターフェイスがこの機能を実行します。Eth1 または Eth2 を使用す る場合は、まずこれらのインターフェイスを Panorama 管理サーバーで有効化する必要が あります(詳細については「管理設定の定義」、Eth1/Eth2 インターフェイスの設定を参照 してください)。 コレクタ グループ通信 コレクタ グループ内の通信に使用するインターフェイスを選択します。デフォルトでは、 MGT インターフェイスがこの機能を実行します。Eth1 または Eth2 を使用する場合は、ま ずこれらのインターフェイスを Panorama 管理サーバーで有効化する必要があります(詳 細については「管理設定の定義」、Eth1/Eth2 インターフェイスの設定を参照してくださ い)。 保護された Syslog の証明書 Syslog を外部の Syslog サーバーに安全に転送するための証明書を選択します。証明書の Certificate for Secure Syslog [ 保護された Syslog の証明書 ] オプションが選択されている必 要があります (「ファイアウォールおよび Panorama 証明書の管理」を参照 )。このログコレ クタが含まれるコレクタグループに Syslog サーバープロファイルを割り当てる場合( 「コレ クタグループの管理」 、Panorama > Collector Groups > Collector Log Forwarding [Panorama > コレクタグループ > コレクタログの転送 ] を参照)、サーバープロファイルの Transport [ 転送 ] プロトコルが SSL である必要があります (「Syslog サーバーの設定」を参照 )。 Panorama サーバー IP Panorama サーバー IP 2 このログコレクタを管理している Panorama 管理サーバーの IP アドレスを指定します。 ドメイン ログコレクタのドメイン名を入力します。 プライマリ DNS サーバー プライマリ DNS サーバーの IP アドレスを入力します。ログコレクタはこのサーバーを使 用して DNS クエリ (Panorama 管理サーバーの検索など)を実行します。 セカンダリ DNS サーバー (任意)プライマリサーバーを使用できない場合は、使用するセカンダリ DNS サーバーの IP アドレスを入力します。 Panorama 管理サーバーが HA(高可用性)設定でデプロイされている場合、セカンダリ ピアの IP アドレスを指定します。 プライマリ NTP サーバー プライマリ NTP サーバーの IP アドレスまたはホスト名を入力します ( 存在する場合 )。 NTP サーバーを使用しない場合は、ログコレクタの時刻を手動で設定できます。 セカンダリ NTP サーバー ( 任意 ) プライマリサーバーを使用できない場合、使用するセカンダリ NTP サーバーの IP アドレスまたはホスト名を入力します。 タイムゾーン ログコレクタのタイムゾーンを選択します。 緯度 ログコレクタの緯度(-90.0 から 90.0)を入力します。トラフィックおよび脅威マップが アプリケーションスコープ用にこの緯度を使用します。 経度 ログコレクタの経度(-180.0 から 180.0)を入力します。トラフィックおよび脅威マップ がアプリケーションスコープ用にこの経度を使用します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 505 ログコレクタの管理 Panorama ログコレクタの CLI 認証設定を定義する Panorama > Managed Collectors > Authentication [Panorama > ⟶⌮ᑐ㇟ࢥࣞࢡࢱ > ㄆド ] ログコレクタモードの M-Series アプライアンス(専用ログコレクタ)にはウェブインターフェイスがな く、CLI のみを持っています。専用ログコレクタの設定の大部分は Panorama モードの M-Series アプライ アンスを使用して行うことができますが、一部 CLI アクセスを必要とするものもあります。CLI アクセス 用の認証設定を行う場合は以下のフィールドを入力します。 表 266. ログコレクタの設定 - 認証情報 フィールド 内容 ユーザー このフィールドは常に admin と表示され、ログ コレクタでのローカル CLI ログイン名に使 用されます。 モード Password [ パスワード ] を選択し、認証用パスワードを入力するか、Password Hash [ パス ワードハッシュ ] を選択してハッシュ値を入力します。 Panorama 管理サーバーの CLI でパスワードハッシュを作成する場合は、次の CLI コマンド を実行します: request password-hash password <password> パスワードに対するハッシュ値が返されます ( 例: $1$urlishri$aLP2by.u2A1IQ/Njh5TFy9) CLI からハッシュ値をコピーし、Password Hash [ パスワード ハッシュ ] のフィールドに貼 り付けます。変更内容をコミットすると、Panorama は新しいハッシュをログコレクタにプッ シュし、ローカル管理者の新しいログインパスワードはあなたが設定した <password> にな ります。 最大試行回数 Web インターフェイスと CLI の最大ログイン試行回数(1 ∼ 10)を入力します。この回数を 超えるとユーザーアカウントがロックアウトされます。値を 0 ( デフォルト ) にすると、無制 限になります。 注意 ! Failed Attempts [ 最大試行回数 ] を 0 以外の値に設定しても、Lockout Time [ ロック アウト時間 ] を 0 のままにしておくと、Failed Attempts [ 最大試行回数 ] は無視され、ユー ザーはロックアウトされません。 ロックアウト 時間 Failed Attempts [ 最大試行回数 ] に達した後にユーザーアカウントがロックアウトされる時 間(0 ∼ 60 分)を入力します。値を 0 ( デフォルト ) にすると、管理者が手動でユーザー ア カウントのロックを解除するまでロックアウトが適用されます。 注意 ! Lockout Time [ ロックアウト時間 ] を 0 以外の値に設定しても、Failed Attempts [ 最 大試行回数 ] を 0 のままにしておくと、Lockout Time [ ロックアウト時間 ] は無視され、ユー ザーはロックアウトされません。 506 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ログコレクタの管理 Panorama ログコレクタの管理用、Eth1、Eth2 インターフェイスの設定を定義する Panorama > Managed Collectors > Management/Eth1/Eth2 [Panorama > ⟶⌮ᑐ㇟ࢥࣞࢡࢱ > ⟶⌮⏝ / Eth1/Eth2] ログコレクタは管理用および設定用のトラフィックに Management(MGT)インターフェイスを使用しま す。デフォルト設定のログコレクタは、ログ収集およびコレクタグループとの通信に MGT を使用します が、これらの機能はイーサネット 1(Eth1)およびイーサネット 2(Eth2)に割り当てることもできます。 ただし、Eth1 または Eth2 を設定する場合は、Eth1 や Eth2 よりも秘密性の高い MGT インターフェイスの サブネットを別途定義することをお勧めします。Eth1 および Eth2 は、これらを Panorama 管理サーバー 用に設定している場合のみ使用可能になります(「Ethernet 1 インターフェイス設定」および「Ethernet 2 インターフェイス設定」を参照) 。 インターフェイスの設定を行う場合は、Management [ 管理 ]、Eth1 および Eth2 のタブにあるフィールドを すべて入力します。 MGT インターフェイスの設定を完了するためには、IP アドレス、ネット マスク、プレフィックス長、およびデフォルトゲートウェイを指定する必 要があります。不完全な設定をコミットした場合(デフォルトゲートウェ イを省略した場合など)、コンソールポート経由で M-Series アプライアン スに接続すれば後から設定を変更できます。完全な設定をコミットするこ とをお勧めします。 IP アドレス、ネットマスクまたはプレフィックス長のいずれかと、デフォ ルトゲートウェイを指定していない場合は、Eth1 や Eth2 の設定をコミット できません。 表 267. ログコレクタの設定 - 管理、Eth1、Eth2 インターフェイス フィールド 内容 Eth1/Eth2(Eth1 インターフェイスを有効化する場合は、このオプションを選択します。MGT インター および Eth2 イン フェイスはデフォルトで有効になっています。 ターフェイスのみ) 速度とデュプレッ クス Mbps 単位のインターフェイス速度 (10、100、または 1000) を選択し、インターフェイ スの伝送モードをフル デュプレックス ( [ フル ])、ハーフ デュプレックス ( [ ハーフ ])、 オート ネゴシエーション ( [ 自動 ]) から選択します。 IP アドレス ネットワークで IPv4 を使用する場合はインターフェイスに IPv4 アドレスを割り当てます。 ネットマスク イ ン タ ー フ ェ イ ス に IPv4 アドレスを割り当てた場合はネットワークマスク (255.255.255.0 など)を入力します。 デフォルトゲート ウェイ インターフェイスに IPv4 アドレスが割り当てられている場合はデフォルトのルーター に IPv4 アドレスを割り当てます。ルーターとインターフェイスは同じサブネット内に ある必要があります。 IPv6 アドレス / プレフィックス長 ネットワークで IPv6 を使用する場合はインターフェイスに IPv6 アドレスを割り当てます。 ネットマスクを示すには、IPv6 プレフィックス長を入力します ( 例:2001:400:f00::1/64)。 IPv6 デフォルト ゲートウェイ インターフェイスに IPv6 アドレスが割り当てられている場合はデフォルトのルーター に IPv6 アドレスを割り当てます。ルーターとインターフェイスは同じサブネット内に ある必要があります。 MTU このインターフェイスで送信されるパケットの最大転送単位 (MTU) をバイト数で入力 します ( 範囲は 576 ∼ 1500、デフォルトは 1500)。 SSH(MGT イン MGT インターフェイスの SSH を有効化する場合は、このオプションを選択します。 ターフェイスのみ) SNMP(MGT イン MGT インターフェイスで Simple Network Managed Protocol (SNMP)を有効にする ターフェイスのみ) 場合は、このオプションを選択します。SNMP でログコレクタの統計をモニターする場 合に必要になります。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 507 ログコレクタの管理 Panorama 表 267. ログコレクタの設定 - 管理、Eth1、Eth2 インターフェイス(続) フィールド 内容 ping インターフェイス上の Ping を有効化する場合は、このオプションを選択します。 アクセス許可 IP ア ドレス 管理者がこのインターフェイスの管理を行うことができる IP アドレスを Add [ 追加 ] し ます。デフォルトでは、ここに何も追加しない場合、管理者はあらゆる IP アドレスを 使用できるようになります。 ログコレクタの RAID ディスク設定を定義する Panorama > Managed Collectors > Disks [Panorama > ⟶⌮ᑐ㇟ࢥࣞࢡࢱ > ࢹࢫࢡ ] ログストレージの容量を拡張する場合は、1 つ以上のディスクペアを Add [ 追加 ] します。 ログストレージの容量を完全な手順で拡張する場合は、いくつかの追加タ スクを行う必要があります。 M-Series アプライアンスは通常、最初の RAID1 ディスクペアが有効化され、A1/A2 ベイにインストール された状態で出荷されます。さらにベイ B1/B2、C1/C2、D1/D2 を使用し、ディスクペアは最大 3 つまで 追加することができます。ソフトウェア上では、A1/A2 ベイにあるディスクペアに Disk Pair A [ ディス クペア A] という名前が付けられます。 新しいディスクペアを追加すると、ログ コレクタはその既存のログをすべてのディスクに再配信します。 この処理には、ログ 1 テラバイトごとに数時間かかる可能性があります。再配信プロセス中は、最大ロギ ング率が低くなります。Panorama > Managed Collectors [Panorama > 管理対象コレクタ ] ページの Redistribution State [ 再配信状態 ] 列には、プロセスの完了状況がパーセントで表示されます。 ログコレクタへのソフトウェアの更新のインストール Panorama > Managed Collectors [Panorama > ⟶⌮ᑐ㇟ࢥࣞࢡࢱ ] ログコレクタモードの M-Series アプライアンスにソフトウェアイメージをインストールする場合は、 Panorama にイメージをダウンロードまたはアップロードし (「ファイアウォール及びログコレクタの更 新やライセンスの管理」を参照 )、Install [ インストール ] をクリックして、以下の詳細を入力します。 Panorama > Device Deployment > Software [Panorama > デバイスのデプロイ > ソフトウェア ] のページを使用してログコレクタへアップデートをインス トールすることもできます(「ソフトウェアおよびコンテンツ更新の管理」 を参照)。 タスク 内容 ファイル ダウンロードまたはアップロードされたソフトウェアイメージを選択します。 デバイス ソフトウェアをインストールするログコレクタを選択します。ダイアログには、それぞれ のログコレクタにつき、以下の情報が表示されます。 • Device Name [ デバイス名 ] — ログコレクタモードに設定されている M-Series アプライ アンスの名前を示します。 • Current Version [ 現在のバージョン ] — ログコレクタに現在インストールされている Panorama ソフトウェアのリリースバージョンを示します。 • HA Status [HA 状況 ] — ログコレクタの場合、この列は使用しません。専用ログコレク タにおいて高可用性はサポートされていません。 フィルタが選択 されています 特定のログコレクタのみを表示する場合は、ログコレクタを選択し、Filter Selected [ 選択 項目でフィルタ ] を実行します。 508 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. コレクタグループの管理 Panorama タスク 内容 デバイスにのみ アップロード (イ ン ス ト ー ル は行わない) ログコレクタにソフトウェアをアップロードし、自動的に再起動させたくない場合はこの オプションを選択します。ログコレクタ CLI にログインして、 request restart system の操作コマンドを実行して手動で再起動を行うまで、イメージはインストールされません。 インストール後 にデバイスを再 起動 ソフトウェアのアップロード後に自動的にインストールを行う場合はこのオプションを選 択します。インストール処理によりログコレクタは再起動されます。 コレクタグループの管理 Panorama > Collector Groups [Panorama > ࢥࣞࢡࢱ ࢢ࣮ࣝࣉ ] 各コレクタグループには最大 8 個のログコレクタを割り当てることができ、またそれぞれにはログ転送用 のファイアウォールを割り当てることができます。こうすることで Panorama を使用してログコレクタに 対するクエリを行い、集約ログの表示と調査を行うことができます。 事 前 に 設 定 さ れ て い る コ レ ク タ グ ル ー プ(名 前 は デ フ ォ ル ト)に は、 Panorama モードの M-Series アプライアンス上にローカルに存在する、事前 に設定されたログコレクタを含まれています。 • 「コレクタ グループの設定」 • 「コレクタグループの情報を表示する」 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 509 コレクタグループの管理 Panorama コレクタ グループの設定 Panorama > Collector Groups [Panorama > ࢥࣞࢡࢱ ࢢ࣮ࣝࣉ ] コレクタグループを設定する場合は、Add [ 追加 ] をクリックし、以下のパラメータを入力します。 コレクタグループを完全な手順で設定する場合は、いくつかの追加タスク を行う必要があります。 表 268. コレクタグループ設定 フィールド 設定場所 内容 名前 Panorama > Collector Groups > General [Panorama > コレクタグ ループ > 全般 ] Panorama > Collector Groups > General [Panorama > コレクタグ ループ > 全般 ] このコレクタ グループを識別する名前を入力します ( 最大 31 文 字 )。名前の大文字と小文字は区別されます。また、一意の名前 にする必要があります。文字、数字、スペース、ハイフン、およ びアンダースコアのみを使用してください。 最小保持期間 (日) Panorama > Collector Groups > General [Panorama > コレクタグ ループ > 全般 ] コ レ ク タ グ ル ー プ 内 の す べ て の ロ グ コ レ ク タ に お い て、 Panorama がログを保持する最小期間 (1 ∼ 2000 日 ) を入力しま す。現在の日付から最も古いログの日付を引いた値が、定義した 最小保持期間よりも小さくなる場合、Panorama はアラート違反 のシステムログを生成します。 コレクタ間の ログ冗長性の 有効化 Panorama > Collector Groups > General [Panorama > コレクタグ ループ > 全般 ] このオプションを選択した場合、コレクタグループ内の各ログの コピーが 2 つ作成され、それぞれ異なるログコレクタに保存され ます。この冗長性により、いずれかのログ コレクタが利用不可 になってもログは失われません。すべてのログがコレクタ グ ループに転送されていることを確認でき、すべてのログ データ に関するレポートを実行できます。ログ冗長性を利用できるの は、コレクタ グループに複数のログ コレクタがあり、各ログ コ レクタのディスク数が同じ場合のみです。 冗長性を有効にすると、Panorama は既存のログをすべてのログ コ レクタに再配信します。この処理には、ログ 1 テラバイトごとに数 時間かかる可能性があります。再配信プロセス中は、最大ロギン グ率が低くなります。Panorama > Collector Groups [Panorama > コレクタグループ ] ページの [ 再配信状態 ] 列には、プロセスの 完了状況がパーセントで表示されます。特定のコレクタ グルー プのすべてのログ コレクタが、同じプラットフォームである必 要があります ( すべての M-100 アプライアンス、またはすべて の M-500 アプライアンス )。 注:冗長性を有効にすると、作成されるログが多くなるため、こ の設定には、より大きなストレージ容量が必要です。冗長性を有 効にすると、コレクタ グループ内のログ処理トラフィックが 2 倍になり、最大ロギング率が半分になります。各ログ コレクタ が、受信する各ログのコピーを配信する必要があるためです。 (コ レクタ グループの容量が不足すると、古いログが削除されま す。 ) 場所 Panorama > Collector Groups > Monitoring [Panorama > コレクタグ ループ > モニタリング ] ログコレクタモードに設定されている M-Series アプライアンス のロケーションを指定します。 ログストレー ジ コレクタ グループが受信したファイアウォール ログの現在のス トレージ割り当てを示します。 各ログタイプおよび拡張脅威 PCAP ストレージの Quota [ 割り当 て量 ] と有効期間の Max Days [ 最大日数 ] を設定する場合はこの オプションを選択します。割り当てと有効期間の詳細は、 「管理設 定の定義」の「ロギングおよびレポート設定」を参照してくださ い。 デフォルトの設定を使用する場合は Restore Defaults [ デフォル トを復元 ] をクリックします。 510 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. コレクタグループの管理 Panorama 表 268. コレクタグループ設定(続) フィールド 設定場所 内容 連絡先 Panorama > Collector Groups > Monitoring [Panorama > コレクタグ ループ > モニタリング ] Panorama > Collector Groups > Monitoring [Panorama > コレクタグ ループ > モニタリング ] 連絡先メールアドレスを設定します(ログコレクタを監視する SNMP 管理者の電子メールアドレスなど)。 SNMP コミュ ニティ名 (V2c のみ) Panorama > Collector Groups > Monitoring [Panorama > コレクタグ ループ > モニタリング ] SNMP マネージャおよびモニター対象デバイス ( この場合はログ コレクタ ) の SNMP コミュニティを識別し、コミュニティメン バーを相互認証するためのパスワードとして機能する SNMP Community String [SNMP コミュニティ名 ] を入力します。 注意 ! パブリックなデフォルトのコミュニティ名は、広く公開さ れていて安全ではないので使用しないでください。 ビュー (V3 のみ) Panorama > Collector Groups > Monitoring [Panorama > コレクタグ ループ > モニタリング ] SNMP ビューのグループを Add [ 追加 ] し、Views [ ビュー ] 内 でグループ名を入力してください。 各ビューは、オブジェクト識別子(OID)とビット単位のマスク の組み合わせです。OID で管理対象の情報ベース(MIB)を指定 し、16 進数形式のマスクを使用して、その MIB 内(一致検索) または MIB 外(不一致検索)でアクセス可能な SNMP オブジェ クトを指定します。 グループ内のそれぞれのビューについて、以下の設定を Add [ 追 加 ] します。 • View [ ビュー ] — ビューの名前を指定します。 • OID — OID を指定します。 • Option [ オプション ](含めるか除外するか)— ビューに OID を含めるか除外するかを選択して下さい。 • Mask [ マスク ] — OID に適用するフィルタのマスク値を指定 します (0xf0 など )。 ユーザー (V3 のみ) Panorama > Collector Groups > Monitoring [Panorama > コレクタグ ループ > モニタリング ] それぞれの SNMP 用に以下の設定を Add [ 追加 ] します。 • Users [ ユーザー ] — SNMP マネージャにおけるユーザー認証 に使用するユーザー名を入力します。 • View [ ビュー] — ユーザーが使用できるビューのグループを指 定します。 • Authpwd [ 認証パスワード ] — SNMP マネージャにおけるユー ザー認証に使用するパスワードを入力します(最低 8 文字)。パ スワードの暗号化でサポートされているのは Secure Hash Algorithm(SHA)のみです。 • Privpwd [ 専用パスワード ] — SNMP マネージャに送信する SNMP メッセージを暗号化する際の専用パスワードを入力し ます(最低 8 文字)。Advanced Encryption Standard (AES) だ けがサポートされています。 バージョン © Palo Alto Networks, Inc. Panorama 管理サーバーとの通信に使用する SNMP のバージョ ンを指定します。V2c または V3 SNMP により、接続状態、ディスクドライブ統計、ソフトウェ アバージョン、平均 CPU 使用率、平均ログ / 秒、ログタイプ別 の保存期間など、ログコレクタに関する情報の収集ができるよう になります。SNMP 情報は、コレクタ グループごとに利用でき ます。 Web インターフェイス リファレンス ガイド、バージョン 7.1 • 511 コレクタグループの管理 Panorama 表 268. コレクタグループ設定(続) フィールド 設定場所 内容 コレクター グ ループのメン バー Panorama > Collector Groups > Device Log Forwarding [Panorama > コレクタグループ > デ バイス ログ転送 ] Add [ 追加 ] をクリックし、このコレクタグループに追加するロ グコレクタをドロップダウンリストから選択します(最大 8 個)。 ドロップダウンリストには、Panorama > Managed Collectors [Panorama > 管理対象コレクタ ] ページで使用できるすべてのロ グ コレクタが表示されます。特定のコレクタ グループのすべて のログ コレクタが、同じプラットフォームである必要がありま す ( すべての M-100 アプライアンス、またはすべての M-500 ア プライアンス )。 注:ログ コレクタを既存のコレクタ グループに追加すると、 Panorama はその既存のログをすべてのログ コレクタに再配信し ます。この処理には、ログ 1 テラバイトごとに数時間かかる可能 性があります。再配信プロセス中は、最大ロギング率が低くなり ます。Panorama > Collector Groups [Panorama > コレクタグルー プ ] ページの [ 再配信状態 ] 列には、プロセスの完了状況がパー セントで表示されます。 デバイス Panorama > Collector Groups > Device Log Forwarding [Panorama > コレクタグループ > デ バイス ログ転送 ] ファイアウォールをコレクタグループに追加できるようにする には、コレクタグループのメンバー(ログコレクタ)を追加する 必要があります。 ファイアウォールを追加する場合は、Add [ 追加 ] をクリックし、 デバイスリストの Modify [ 変更 ] をクリックしたのちに管理対象 ファイアウォールを選択し、OK をクリックします。ファイア ウォールをログコレクタに割り当ててログの転送を行うには、コ レクタリストで Add [ 追加 ] をクリックし、ログコレクタを選択 します。最初に指定するログ コレクタは、ファイアウォールの プライマリ ログ コレクタになります。プライマリ ログ コレクタ で障害が発生すると、ファイアウォールはセカンダリ ログ コレ クタにログを送信します。セカンダリで障害が発生すると、ファ イアウォールは第 3 ログ コレクタにログを送信します ( 以下同 様 )。この順番を変更する場合は、ログ コレクタを選択して Move Up [ 上へ ] ボタンまたは Move Down [ 下へ ] をクリックします。 すべてのログコレクタを目的の順序で割り当てたら、OK をク リックします。 システム Panorama > Collector このコレクタグループから SNMP トラップ、電子メールアドレ Groups > Collector Log ス、または Syslog サーバーへ転送したいファイアウォールイベ Forwarding [Panorama ントやログを選択します。 > コレクタ グループ > コ こ れ ら の 宛 先 用 に サ ー バ ー プ ロ フ ァ イ ル を 設 定 す る 場 合 は レクタ ログ転送 ] 「SNMP トラップの宛先の設定」、「Syslog サーバーの設定」、お よび「電子メール通知設定の指定」を参照してください。 設定 HIP マッチ トラフィック 脅威 WildFire 相関 512 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ログ転送の有効化 Panorama コレクタグループの情報を表示する Panorama > Collector Groups [Panorama > ࢥࣞࢡࢱ ࢢ࣮ࣝࣉ ] Panorama > Collector Groups [Panorama > コレクタグループ ] を選択し、コレクタグループごとに以下の情 報を表示します。「コレクタ グループの設定」すると追加のフィールドを参照できるようになります。 表 269. コレクタグループの情報 列 内容 名前 コレクタグループを識別するための名前です。 冗長性対応 コレクタグループのログの冗長性が有効化されているかどうかを示します。詳細 は、「コレクタ間のログ冗長性の有効化」を参照してください。 コレクタ コレクタグループに割り当てられたログコレクタを示します。 再配信状態 特定の操作(ログ冗長性の有効化など)を行った場合、コレクタグループはログ コレクタに対しログの再配信を行います。この列は再配信プロセスの完了状態が パーセントで表示されます。 ログ転送の有効化 Panorama > Log Settings [Panorama > ࣟࢢタᐃ ] Panorama はファイアウォールおよび管理対象コレクタのログを集約し、SNMP トラップ、syslog メッ セージ、または電子メール通知の形式をとり、指定した宛先に転送することができます。転送を始める前 に、それぞれの宛先用にサーバープロファイルを定義する必要があります(「SNMP トラップの宛先の設 定」、「Syslog サーバーの設定」、および「電子メール通知設定の指定」を参照)。 Panorama バーチャルアプライアンスの Log Settings [ ログ設定 ] ページを使用して、ファイアウォールロ グ、管理対象コレクタのログ、およびローカルの Panorama ログの転送を有効にします。このページから、 Panorama モードで使用する M-Series アプライアンスで、Panorama とログコレクタが生成するログの転 送を設定することができますが、ファイアウォールログの転送を有効化する場合は「コレクタ グループの 設定」してください。 以下の表には、Log Settings [ ログ設定 ] ページにあるログと転送オプションが表示されています。 ログの転送を完全な手順で設定する場合のには、いくつかの追加タスクを 行う必要があります。 HIP マッチ、トラフィック、脅威、および WildFire™ の各ログはファイア ウォールのみに適用されるため、M-Series アプライアンスを Panorama モー ドで使用した場合、これらはこのページに表示されません。Panorama バー チャルアプライアンスでは、すべてのログタイプが表示されます。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 513 ログ転送の有効化 表 270. Panorama ログ設定 セクション 内容 システム 特定の重大度レベルに対してログ転送を有効にする場合は、その重大度レベルの表示 をクリックし、目的のサーバープロファイルを選択します。重大度は、システム イベ ントの緊急性と影響を示します。 • Critical [ 重要 ] — 障害が発生しており、すぐに処置が必要であることを示します (HA フェイルオーバーやリンク障害を含むハードウェア障害など )。 • High [ 高 ] — ファイアウォールの操作効率やセキュリティを損なうおそれのある障 害または状況が差し迫っていることを示します (LDAP サーバーや RADIUS サー バーなどの外部サーバーとの接続切断など )。 • Medium [ 中 ] — より深刻な問題に発展しかねない状況を示します。たとえば、ア ンチウイルス パッケージのアップグレードを完了できなかった場合などです。 • Low [ 低 ] — 問題が疑われるか、今後問題になるおそれのある状況を示します。た とえば、ユーザー パスワードの変更などです。 • Informational [ 通知 ] — 処置は不要です。システムの通常操作時に役立つ情報を提 供します。このレベルでは、設定の変更や、他の重大度レベルには含まれないその 他すべてのイベントが含まれます。 相関 相関ログは、相関オブジェクトの定義がネットワーク上のトラフィック パターンと一 致した場合に作成されます。相関ログの詳細は、 「自動相関エンジンの使用」を参照 してください。 Panorama は、相関オブジェクトを使用して、集約されたログ ( 管理対象ファイア ウォールとログ コレクタから転送されたログ ) にクエリを発行し、一致がないかどう かを確認して、相関イベントをログに記録します。この相関イベントを Syslog メッ セージ、電子メール通知、または SNMP トラップとして送信できます。特定の重大 度レベルに対してログ転送を有効にする場合は、その重大度レベルの表示をクリック し、目的のサーバープロファイルを選択します。 重大度は、一致の緊急度や影響を示し、損害の程度、確認された拡散パターン、発生 頻度を大まかに評価します。相関オブジェクトは脅威の検出を重視しているため、通 常、相関イベントは、ネットワーク上の侵入されたホストの識別に関連し、重大度は 以下の意味を持ちます。 • Critical [ 重要 ] — 拡散パターンを示す相関イベントに基づいて、ホストが侵入され たことが確認されました。たとえば、WildFire によって有害と判定されたファイル をホストが受信し、WildFire サンドボックスでその有害ファイルのコマンドアンド コントロール活動として確認されたものと同じ活動がホストで示された場合、重要 イベントがログに記録されます。 • High [ 高 ] — 複数の脅威イベント間の相関に基づいて、ホストが侵入された可能性 が高いことを示します。たとえば、ネットワーク上の任意の場所で検出されたマル ウェアが、特定のホストから生成されているコマンドアンドコントロール活動と一 致する場合です。 • Medium [ 中 ] — 1 つまたは複数の疑わしいイベントの検出に基づいて、ホストが 侵入された可能性があることを示します。たとえば、スクリプト化されたコマンド アンドコントロール活動を示している既知の有害な URL への頻繁なアクセスがあ る場合です。 • Low [ 低 ] — 1 つまたは複数の疑わしいイベントの検出に基づいて、ホストが侵入 されたと考えられることを示します。たとえば、有害な URL やダイナミック DNS ドメインへのアクセスがあった場合です。 • Informational [ 通知 ] — 疑わしい活動を識別するための集約で役立つ可能性がある イベントを検出します。各イベントはそれ自体が必ずしも重要ではありません。 514 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ログ転送の有効化 Panorama 表 270. ログ設定(続) セクション 内容 脅威 特定の重大度レベルに対してログ転送を有効にする場合は、その重大度レベルの表示 をクリックし、目的のサーバープロファイルを選択します。重大度は、脅威の緊急性 と影響を示します。 • Critical [ 重要 ] — 深刻な脅威。たとえば、広くデプロイされているソフトウェアの デフォルト インストールに影響を与える、結果的にサーバーのルートが侵害され る、コードを悪用するなどの脅威があり、攻撃者がよく使用する手口です。攻撃者 は通常、特殊な認証資格証明や個々の被害者に関する知識を必要としません。また、 標的がなんらかの特殊な機能を実行するように操作する必要もありません。 • High [ 高 ] — 重要になる可能性があるが、緩和する要素のある脅威。たとえば、悪 用が難しい、高い権限が侵害されない、大規模な被害者が発生しない場合などです。 • Medium [ 中 ] — 影響が最小限に抑えられている軽微な脅威。たとえば、DoS 攻撃 で標的が侵害されない、侵入で攻撃者が被害者と同じ LAN 上に存在する必要があ る、標準以外の設定や目立たないアプリケーションにのみ影響を与える、アクセス が非常に限定的である場合などです。さらに、マルウェア判定を含む WildFire ログ エントリは、「中」としてログに記録されます。 • Low [ 低 ] — 組織のインフラストラクチャにほとんど影響を与えない、警告レベル の脅威。通常、ローカルまたは物理的なシステムへのアクセスが必要であり、被害 者のプライバシーや DoS の問題、情報漏洩などが発生する可能性があります。デー タ フィルタリング プロファイルの一致は、「低」としてログに記録されます。 • Informational [ 通知 ] — 差し迫った脅威は引き起こさないが、潜在的なより深い問 題への注意を喚起するために報告される不審なイベント。情報ログには以下のよう なものがあります。URL フィルタリングログエントリ、安全判定の WildFire ログ エントリ、またはデータフィルタリングログ。 設定 設定ログには、ファイアウォールまたは Panorama 設定に対するすべての変更が記録 されます。転送を有効化する場合は、設定を編集し、目的のサーバー プロファイルを 選択します。 HIP マッチ HIP マッチログは、GlobalProtect™ のホスト情報プロファイル(HIP)マッチリクエ ストを表示します。転送を有効化する場合は、HIP マッチ設定を編集し、目的のサー バープロファイルを選択します。 トラフィック トラフィック ログは、ポリシーに一致するトラフィックの詳細 ( 発信元や宛先など ) をキャプチャします。転送を有効化する場合は、トラフィック設定を編集し、目的の サーバープロファイルを選択します。 WildFire WildFire はファイルをスキャンし、判定を割り当てます。特定の判定に対してログ転 送を有効にする場合は、その判定結果をクリックし、目的のサーバープロファイルを 選択します。以下の判定があります。 • benign [ 安全 ] — ファイルが安全であることを示します。 • grayware [ グレイウェア ] — ファイルの品質や動作が疑わしいものの、ファイルは 有害ではないことを示します。 • malicious [ 有害 ] — ファイルに有害なコードが含まれていることを示します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 515 Panorama バーチャルアプライアンスのログストレージパーティションを設定する Panorama Panorama バーチャルアプライアンスのログストレー ジパーティションを設定する Panorama > Setup > Operations [Panorama > ࢭࢵࢺࢵࣉ > ᧯స ] デフォルト設定の Panorama バーチャルアプライアンスには、すべてのデータ用に 1 つのディスクパー ティションが設定されており、10.89GB がのログストレージに割り当てられています。ディスクサイズを 拡張するだけではログストレージの容量は増えません。しかし、以下のオプションによりログストレージ の容量を変更することができます。 • 仮想ディスクの追加VMware ESXiバージョン5.5以降およびVMware vCloud Airで使用するPanorama では最大 8TB の仮想ディスクをサポートしています。これよりも古い ESXi バージョンでは最大 2TB の仮想ディスクをサポートしています。 • ネットワークファイルシステム(NFS)に Panorama をマウントする。このオプションは ESXi サー バー上の Panorama のみにおいて使用可能です。[ その他 ] セクションで Storage Partition Setup [ スト レージパーティションの設定 ] をクリックして Storage Partition [ ストレージパーティション ] を NFS V3 に設定し、表 271 のフィールドを入力します。 • 事前に他の仮想ディスクを設定した場合や、NFS にマウントしている場合は、デフォルトの内部スト レージパーティションに設定を戻します。このオプションは ESXi サーバーと vCloud Air 上の Panorama で使用できます。[ その他 ] セクションで Storage Partition Setup [ ストレージパーティショ ンの設定]をクリックしてStorage Partition [ストレージパーティション]をInternal [内部]に設定します。 ストレージパーティション設定の変更後はPanoramaを再起動する必要があ ります。Device > Setup > Operations [ デバイス > 設定 > 操作 ] を開き、Reboot Panorama [Panorama の再起動 ] をクリックします。 表 271. Panorama ストレージパーティションの設定 - NFS V3 フィールド 内容 サーバー NFS サーバーの FQDN または IP アドレスを指定します。 ログ ディレクトリ ログが保管されるディレクトリの完全パス名を指定します。 プロトコル NFS サーバーとの通信に使用するプロトコル(UDP または TCP)を指定します。 ポート NFS サーバーとの通信に使用するポートを指定します。 読み取りサイズ NFS が読み取り可能な最大バイト数(範囲は 256-32768)を指定します。 書き込みサイズ NFS が書き込み可能な最大バイト数(範囲は 256-32768)を指定します。 セットアップ時に コピー Panorama デバイスの起動時に NFS パーティションをマウントし、既存のログをすべて サーバー上の宛先ディレクトリにコピーする場合はこのオプションを選択します。 ロギングパーティ ションのテスト NFS パーティションのマウントのテストを実行し、成功メッセージまたは失敗メッセー ジを確認する場合はこれをクリックします。 516 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ファイアウォール及びログコレクタの更新やライセンスの管理 Panorama ファイアウォール及びログコレクタの更新やライセ ンスの管理 Panorama > Device Deployment [Panorama > ࢹࣂࢫࡢࢹࣉࣟ ] Panorama > Device Deployment [Panorama > デバイスのデプロイ ] ページには、管理対象ファイアウォール の現在のデプロイメント情報が表示されます。また、管理対象ファイアウォールとログコレクタ上で、ソ フトウェアとコンテンツ更新の管理、ライセンスの管理、コンテンツ更新のスケジュール設定もできます。 探している情報 以下を参照 ファイアウォールやログコレクタにアップ デートを適用したい ࠕࢯࣇࢺ࢙࢘࠾ࡼࡧࢥࣥࢸࣥࢶ᭦᪂ࡢ⟶⌮ࠖ インストール済みのアップデートや、ダウ ンロードとインストールが可能なアップ デートを確認したい ࠕࢯࣇࢺ࢙࢘࠾ࡼࡧࢥࣥࢸࣥࢶ᭦᪂ሗࡢ⾲♧ࠖ ファイアウォールやログコレクタの自動 アップデートのスケジュールを設定したい ࠕࢥࣥࢸࣥࢶ⏝ືⓗ᭦᪂ࡢࢫࢣࢪ࣮ࣗࣝタᐃࠖ ライセンスを表示、アクティベート、ディ アクティベート、更新する。 ࠕࣇ࢛࣮࢘ࣝࡢࣛࢭࣥࢫ⟶⌮ࠖ ファイアウォールライセンスの状態を確認 する ࠕࣇ࢛࣮࢘ࣝࡢࣛࢭࣥࢫሗࢆ⾲♧ࡍࡿࠖ その他の情報をお探しですか? ライセンスの管理と更新 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 517 ファイアウォール及びログコレクタの更新やライセンスの管理 Panorama ソフトウェアおよびコンテンツ更新の管理 Panorama > Device Deployment [Panorama > ࢹࣂࢫࡢࢹࣉࣟ ] 管理対象のファイアウォールやログコレクタに、ソフトウェアおよびコンテンツのアップデートをする場 合は Panorama > Device Deployment [Panorama > デバイスのデプロイ ] を選択します。 タスク 内容 ダウンロード インターネットに接続されている Panorama でソフトウェアまたはコンテンツのアップ デートをデプロイしたい場合は、アップデートの Download [ ダウンロード ] を行います。 ダウンロードが完了すると、使用可能な列に「ダウンロード済み」と表示されます。ダウ ンロードが完了すると以下の操作が可能になります。 • PAN-OS/Panorama のソフトウェアやコンテンツのアップデートの「インストール」。 • GlobalProtect クライアント(GlobalProtect エージェント / アプリケーション)または SSL VPN クライアントソフトウェアアップデートの「アクティベート」。 アップグレード BrightCloud URL フィルタリングコンテンツのアップグレードが入手可能な場合は Upgrade [ アップグレード ] をクリックします。アップグレードが正常に行われたら、アッ プデートをファイアウォールに「インストール」します。 インストール PAN-OS ソフトウェア、Panorama ソフトウェア、コンテンツアップデートを「ダウンロー ド」または「アップロード」したら、Action [ 操作 ] 列の Install [ インストール ] をクリッ クし、以下のようにオプションを選択します。 • Devices [ デバイス ] — アップデートを適用するファイアウォールまたはログコレクタを 選択します。リストが長すぎる場合はフィルタを使用します。高可用性(HA)ピアであ るファイアウォールをグループ化する場合は、Group HA Peers [HA ピアのグループ化 ] を選択します。このオプションを使用すると、HA に設定されたファイアウォールを簡 単に識別できます。特定のファイアウォールまたはログコレクタのみを表示する場合は、 表示したいものを選択して Filter Selected [ 選択項目でフィルタ ] を実行します。 • Upload only to device [ デバイスにアップロードのみ行う ](ソフトウェアのみ)— ソフ トウェアをアップロードするが、自動インストールを行いたくない場合はこのオプショ ンを選択します。この場合は手動でソフトウェアをインストールする必要があります。 • Reboot device after install [ インストール後にデバイスを再起動 ](ソフトウェアのみ)— インストール完了後に自動的にファイアウォール又はログコレクタを再起動する場合は このオプションを選択します。再起動するまでインストールは完了しません。 • Disable new apps in content update [ コンテンツアップデート時に新しいアプリケー ションを無効にする ](アプリケーションと脅威のみ)— 前回インストールしたアップ デート内容と比較して、今回のアップデートに新しく含まれているアプリケーションを 無効化する場合はこのオプションを選択します。これにより最新の脅威を防ぎながらも、 ポリシーアップデートを行ったのちに、アプリケーションを有効化していくといった柔 軟な対応が可能です。アプリケーションを有効化したい場合、ファイアウォールにログ インして、Device > Dynamic Updates [ デバイス > 動的更新 ] を開き、機能の列にある Apps [ アプリ ] をクリックして新しいアプリケーションを表示し、有効化したいアプリ ケーションごとに Enable/Disable [ 有効化 / 無効化 ] の設定を選びます。 ヒント:Panorama > Managed Devices [Panorama > 管理対象デバイス ] のページから「ファ イアウォールのソフトウェアあるいはコンテンツ更新のインストール」したり、Panorama > Managed Collectors [Panorama > 仮対象コレクタ ] のページから「ログコレクタへのソフ トウェアの更新のインストール」することもできます。 アクティベート GlobalProtect クライアント(GlobalProtect エージェント / アプリケーション)または SSL VPN クライアントソフトウェアのアップデートを「ダウンロード」または「アップロー ド」したら、Action [ 操作 ] 列の Activate [ アクティベート ] をクリックし、以下のように オプションを選択します。 • Devices [ デバイス ] — アップデートをアクティベートするファイアウォールを選択しま す。リストが長すぎる場合はフィルタを使用します。高可用性(HA)ピアであるファイ アウォールをグループ化する場合は、Group HA Peers [HA ピアのグループ化 ] を選択 します。このオプションを使用すると、HA に設定されたファイアウォールを簡単に識 別できます。特定のファイアウォールのみを表示するには、該当のファイアウォールを 選択して、Filter Selected [ 選択項目でフィルタ ] を実行します。 • Upload only to device [ デバイスにアップロードのみ行う ] — PAN-OS にアップロードし たイメージを自動的にアクティベートしたくない場合はこのオプションを選択します。 ファイアウォールにログインし、アクティベートする必要があります。 518 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ファイアウォール及びログコレクタの更新やライセンスの管理 Panorama タスク 内容 リリースノート Release Notes [ リリースノート ] をクリックして目的のソフトウェアリリースのリリース ノートを参照し、リリースの変更、修正、既知の問題、互換性の問題、およびデフォルト 動作の変更を確認します。 ドキュメント 希望のコンテンツリリースに関するリリースノートを参照したい場合は Documentation [ ドキュメント ] をクリックします。 ソフトウェアやコンテンツアップデートが不要になった場合や、 ダウンロード/アップロー ド用に空き容量を確保したい場合に、これらを削除することができます。 今すぐチェック 最新の更新情報を表示する場合は Check Now [ 今すぐチェック ] を使用します(「ソフト ウェアおよびコンテンツ更新情報の表示」を参照)。 アップロード Panorama がインターネットに未接続の状態でソフトウェアやコンテンツアップデートを デプロイしたい場合は、ソフトウェアアップデートまたは動的更新のサイトからコン ピュータへアップデートをダウンロードし、アップデートのタイプに対応した Panorama > Device Deployment [Panorama > デバイスのデプロイ ] ページを選択して、Upload [ アッ プロード ] をクリックし、アップデートの Type [ タイプ ] を選び(コンテンツのアップデー トのみ)、アップロードされたファイルを選択し、OK をクリックします。タイプに基づき、 以下の手順に従って更新のインストールまたはアクティベーションを行います。 • PAN-OS or Panorama software [PAN-OS または Panorama ソフトウェア ] — アップロー ドが完了すると、Available [ 使用可能 ] の列に Uploaded [ アップロード済み ] と表示さ れます。アップロードが完了したら、ソフトウェアアップデートの「インストール」を 行います。 • GlobalProtect Client or SSL VPN Client software [GlobalProtect クライアントまたは SSL VPN クライアントソフトウェア ] — 「ファイルからアクティベーション」します。 • Dynamic updates [ 動的更新 ] — 「ファイルからインストール」します。 ファイルからイ ンストール コンテンツアップデートの「アップロード」後、Install from File [ ファイルからインス トール ] をクリックしてコンテンツの Type [ タイプ ] を選択し、アップデートのファイル 名を選び、更にファイアウォールまたはログコレクタを選択します。 ファイルからア クティベーショ ン GlobalProtect クライアント(GlobalProtect エージェント / アプリケーション)または SSL VPN クライアントソフトウェアのアップデートの「アップロード」後、Activate from File [ ファイルからアクティベート ] をクリックし、アップデートのファイル名を選び、ファイ アウォールを選択します。 スケジュール 「コンテンツ用動的更新のスケジュール設定」する場合はこのオプションを選択します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 519 ファイアウォール及びログコレクタの更新やライセンスの管理 Panorama ソフトウェアおよびコンテンツ更新情報の表示 Panorama > Device Deployment [Panorama > ࢹࣂࢫࡢࢹࣉࣟ ] Panorama > Device Deployment [Panorama > デバイスのデプロイ ] を開いて、現在インストール済み、ある いはダウンロードとインストールが可能な、PAN-OSSoftware [ ソフトウェア ]、SSL VPN Client [SSL VPN クライアント ] ソフトウェア、GlobalProtect Client [GlobalProtect クライアント ] ソフトウェア、および Dynamic Updates [ 動的更新 ] コンテンツを表示します。 Dynamic Updates [ 動的更新 ] のページでは情報がコ ンテンツタイプ(アンチウイルス、アプリケーションと脅威、URL フィルタリング、および WildFire)に よって整列され、最後に更新情報を確認した日時が表示されています。Palo Alto Networks のソフトウェ アやコンテンツの最新情報を表示する場合は Check Now [ 今すぐチェック ] をクリックします。 表 272. ソフトウェアとコンテンツのアップデート情報 列 内容 バージョン ソフトウェアまたはコンテンツアップデートのバージョン ファイル名 アップデートファイルの名前 プラットフォーム アップデートが指定されたファイアウォールまたはログコレクタプラットフォーム数字 はハードウェアファイアウォールプラットフォーム(例えば、7000 は PA-7000 Series ファイアウォールを指します)を、vm は VM-Series ファイアウォールであることを示 し、m は M-Series アプライアンスであることを示します。 機能 (コンテンツのみ)コンテンツバージョンに含まれている可能性があるシグネチャタイプ の一覧が表示されます。 タイプ (コンテンツのみ)ダウンロードにフルデータベースアップデートが含まれているか、増 分更新が含まれているかを示します。 サイズ リリース日 アップデートファイルのサイズ Palo Alto Networks がアップデートを公開した日時 使用可能 (PAN-OS または Panorama ソフトウェアのみ)アップデートがダウンロード済みまたは アップロード済みであることを示します。 ダウンロード済み (SSL VPN クライアントソフトウェア、GlobalProtect クライアントソフトウェア、またはコ ンテンツのみ)チェックマークはアップデートがダウンロード済みであることを示します。 操作 アップデートに対して実行可能な操作を示しています。 「ダウンロード」、 「アップグレー ド」、「インストール」、または「アクティベート」。 ドキュメント (コンテンツのみ)希望するコンテンツリリースに関するリリースノートへのリンクが提 供されます。 リリースノート (ソフトウェアのみ)希望するソフトウェアリリースに関するリリースノートへのリンク が提供されます。 アップデートが不要になった場合や、ダウンロード / アップロード用に空き容量を確保 したい場合に、これを削除することができます。 520 • Web インターフェイス リファレンス ガイド、バージョン 7.1 © Palo Alto Networks, Inc. ファイアウォール及びログコレクタの更新やライセンスの管理 Panorama コンテンツ用動的更新のスケジュール設定 Panorama > Device Deployment > Dynamic Updates [Panorama > ࢹࣂࢫࡢࢹࣉࣟ > ືⓗ᭦᪂ ] アップデートの定期的な自動ダウンロードおよびインストールを設定する場合は Schedules [ スケジュール ] をクリックし、Add [ 追加 ] を選び、以下のフィールドを入力します。 表 273. 動的更新のスケジュール設定 フィールド 内容 名前 スケジュールするジョブを識別する名前を入力します ( 最大 31 文字 )。名前の大文字と小文 字は区別されます。また、一意の名前にする必要があります。文字、数字、ハイフン、およ びアンダースコアのみを使用してください。 無効 スケジュールされたジョブを無効にする場合は、このオプションを選択します。 タイプ スケジュールを設定したいコンテンツのタイプを選択します。App [ アプリケーション ]、App and Threat [ アプリケーションと脅威 ]、Antivirus [ アンチウイルス ]、WildFire、または URL Database [URL データベース ]。 繰り返し Panorama が更新サーバーにチェックインする間隔を選択します。繰り返しオプションは、更 新のタイプによって異なります。 日時 Daily [ 毎日 ] 更新の場合、24 時間形式で Time [ 時刻 ] を選択します。 Weekly [ 毎週 ] 更新の場合、Day [ 曜日 ] と、24 時間形式で Time [ 時刻 ] を選択します。 コンテンツ更 新での新しい アプリケー ションの無効 化 アップデートの Type [ タイプ ] を App [ アプリケーション ] または App and Threat [ アプリ ケーションおよび脅威 ] に設定し、Action [ 操作 ] が Download and Install [ ダウンロードと インストール ] に設定されている場合のみこのオプションを選択することができます。 前回インストールしたアップデート内容と比較して、今回のアップデートに新しく含まれて いるアプリケーションを無効化する場合はこのオプションを選択します。これにより最新の 脅威を防ぎながらも、ポリシーアップデートを行ったのちに、アプリケーションを有効化し ていくといった柔軟な対応が可能です。アプリケーションを有効化したい場合、ファイア ウォールにログインして、Device > Dynamic Updates [ デバイス > 動的更新 ] を開き、機能の 列にある Apps [ アプリ ] をクリックして新しいアプリケーションを表示し、有効化したいア プリケーションごとに Enable/Disable [ 有効化 / 無効化 ] の設定を選びます。 動作 • Download Only [ ダウンロードのみ ] — Panorama は定期的にアップデートをダウンロード します。ファイアウォールおよびログコレクタへアップデートを手動で「インストール」す る必要があります。 • Download and Install [ ダウンロードおよびインストール ] — Panorama は定期的にアップ デートをダウンロードし、自動的にインストールを行います。 デバイス Devices [ デバイス ] を選び、定期的なコンテンツアップデートを受信させるファイアウォー ルを選択します。 ログ コレクタ Log Collectors [ ログコレクタ ] を選び、定期的なコンテンツアップデートを受信させる管理 対象コレクタを選択します。 © Palo Alto Networks, Inc. Web インターフェイス リファレンス ガイド、バージョン 7.1 • 521 ファイアウォール及びログコレクタの更新やライセンスの管理 Panorama ファイアウォールのライセンス管理 Panorama > Device Deployment > Licenses [Panorama > ࢹࣂࢫࡢࢹࣉࣟ > ࣛࢭࣥࢫ ] Panorama > Device Deployment > Licenses [Panorama > デバイスのデプロイ > ライセンス ] を開き、 以下のタ スクを行ってください。 タスク 内容 ライセンス情 「ファイアウォールのライセンス情報を表示する」。 報の表示 更新 インターネットに直接接続されていないファイアウォールのライセンスを更新します。 アクティベー ション ファイアウォールのライセンスをアクティベートする場合、Actibvate [ アクティベート ] を クリックし、ファイアウォールを選択し、認証コードの列で Palo Alto Networks がファイア ウォール用に配布した認証コードを入力します。 VM の非アク ティブ化 VM-Series ファイアウォールにインストールされたすべてのライセンスやサブスクリプショ ン / 資格をディアクティベートする場合は、Deactivate VMs [VM のディアクティベート ] を クリックし、ファイアウォールを選択し(一覧には PAN-OS 7.0 以上のリリースを実行して いるファイアウォールのみが表示されます)、以下から 1 つを選択します。 • Continue [ 続行 ] — ライセンスをディアクティベートして、変更をライセンス サーバーに 自動的に登録します。ライセンスのクレジットがアカウントに戻されて、ライセンスが再 利用可能になります。 • Complete Manually [ 手動で実行 ] — トークンファイルを生成します。Panorama からイン ターネットに直接アクセスできない場合、このオプションを使用します。ディアクティベー トの操作を完了する為には、サポートポータルにログインし、Assets [ アセット ] を選択 し、Deactivate License(s) [ ライセンスのディアクティベート ] をクリックしてトークンファ イルをアップロードし、Submit [ 送信 ] をクリックする必要があります。ディアクティベー トプロセスが完了すると、ライセンスのクレジットがアカウントに返還され、ライセンス が再利用できるようになります。 ファイアウォールのライセンス情報を表示する Panorama > Device Deployment > Licenses [Panorama > ࢹࣂࢫࡢࢹࣉࣟ > ࣛࢭࣥࢫ ] 管理対象のファイアウォールと現在のライセンス状況をそれぞれ表示する場合は Panorama > Device Deployment > Licenses [Panorama > デバイスのデプロイ > ライセンス ] を開きます。 ファイアウォールがイ ンターネットに直接接続されている場合、Panorama はライセンスサーバーに毎日自動的にチェックイン を行い、ライセンスの延長や更新を取得し、それらをファイアウォールにプッシュします。チェックイン は午前 1 時から 2 時の間に行われるようハードコードされており、この時間を変更することはできません。 表 274. ファイアウォールのライセンス情報 列 内容 デバイス ファイアウォール名 仮想システム ファイアウォールが複数の仮想システムをサポートする 脅威防御 URL ライセンスが有効 、無効 ることを示します。 、または期限切れ かしない かを示します。 (有効期限日も表示されます)であ サポート GlobalProtect ゲートウェイ GlobalProtect ポータル WildFire VM-Series 容量 これが VM-Series ファイアウォールであるか、 否か 522 • Web インターフェイス リファレンス ガイド、バージョン 7.1 を示します。 © Palo Alto Networks, Inc. 索引 A address groups, defining addresses defining address groups defining group allow list URL filtering profile wildcard patterns antivirus profiles defining application exception policies application exceptions applications categories characteristics defining defining filters defining groups exceptions searching sub category B BGP 仮想ルーター block list URL filtering profile wildcard patterns blocking, file profiles BrightCloud service C Content-ID 設定 CPU 使用状況 custom signatures about spyware vulnerability D data filtering data patterns defining profiles pattern settings profile settings profiles profiles and patterns data patterns adding new data filtering profiles defining rules decoders and actions DH (Diffie-Hellman) グループ DNS プロキシ 設定 DoS プロテクションプロファイル プロファイル E email notification settings in logging profiles F file blocking defining profiles profiles, defining settings filters application sub category FTP サーバー、ログの保存 G GlobalProtect エージェントのセットアップ エージェントの使用 クライアントのダウンロードおよびアクティ ブ化 ゲートウェイのセットアップ 応答ページ groups defining service H HA1 ポートと HA2 ポート hello 間隔、HA I ICMP フラッド IKE デッドピア対策 暗号化プロファイルの定義 暗号化プロファイル設定 交換モード • Web インターフェイス リファレンス ガイド、バージョン 7.1 Palo Alto Networks, Inc. 索引 K IKE ゲートウェイ セットアップ 設定 IPSec トンネルのセットアップ 暗号化プロファイルの定義 暗号化プロファイル設定 IPv6 IPv6 アドレス K Kerberos サーバーの設定 L L3 インターフェイス 共有ゲートウェイ LDAP サーバーの設定 認証 log forwarding defining profiles profile settings logs defining remote logging IRUWKUHDWDQGWUDIILFORJV M Master Key and Diagnostics [ マスターキーおよび 診断 ] ページ MD5 MIBs N NAT ポリシー ポリシーの定義 NSSA (Not So Stub Area) NT LAN Manager (NTLM) P packet capture profile setting Panorama IP アドレスの設定 アクセスの有効化 アップグレード用ソフトウェア デバイスの追加 テンプレート ユーザーアカウントのロックアウト Panorama ソフトウェアのアップグレード PAN-OS ソフトウェア アップグレード バージョン PDF サマリー レポート 設計 PDF サマリーレポート 作成 表示 policies data patterns profile groups, defining profiles antivirus antivirus, application exceptions antivirus, decoders and actions data filtering defining log forwarding file blocking logging security groups URL filtering vulnerability protection Q QoS クラス マーキング 出力設定 設定 優先度設定 R RADIUS サーバー設定の定義 認証 regions about policies regular expressions, data patterns Representational State Transfer (REST) rules application exception policy S Safe Search schedules defining security defining profile groups profile groups security profile groups, defining security profiles defining service groups defining service groups, defining 524 • Web インターフェイス リファレンス ガイド、バージョン 7.1 Palo Alto Networks, Inc. 索引 T セットアップ vulnerability protection profiles signatures custom spyware vulnerability SNMP MIB のセットアップ コミュニティ名 SNMP trap destinations in logging profiles SNMP トラップの宛先 定義 SSL decryption policies テクニカルノートの参照 復号化ポリシーの定義 SSL VPN スプリットトンネル ローカルユーザーデータベース 概要 確認ページ SSL sub category application filtering syslog servers in logging profiles Syslog サーバー 定義 W Web インターフェイス 変更のコミット wildcard patterns for allow and block lists X XML API あ T threat log defining remote logging TLS(Transport Layer Security) traffic log defining remote logging U UDP フラッド URL filtering defining profiles dynamic categorization profile settings Safe Search URL フィルタリング オーバーライド設定 ログの表示 応答ページ 応答ページの続行とオーバーライド User-ID エージェント キャプティブポータル設定 V VPN SSL、概要 VPN VPN トンネル Palo Alto Networks, Inc. アカウント ユーザー名とパスワードの要件 アクセスドメイン ファイアウォール アクティブ / アクティブの高可用性 アクティブ / パッシブの高可用性 アクティブ設定、更新 アップグレード PAN-OS ソフトウェア アプリケーション アプリケーション オーバーライドを指定した カスタムアプリケーション 脅威の定義の更新 アプリケーション オーバーライド ポリシー 概要 アプリケーション スコープ レポート サマリー レポート 脅威マップ レポート 変化モニター レポート アプリケーショングループ、定義 アプリケーションコマンドセンター(ACC)、使 用 アプリケーションスコープレポート ネットワークモニターレポート 表示 アラーム アイコンを表示させる アラームアイコン しきい値 ログの設定 承認済み 表示 未承認 アラームの承認 インターフェイス 状態の表示 インターフェイス管理プロファイル エージェント GlobalProtect のセットアップ GlobalProtect の使用 エクスポート ログのスケジュール設定 Web インターフェイス リファレンス ガイド、バージョン 7.1 • 525 か 索引 証明書 か カスタムグループレポート カスタムレポート キャプティブ ポータル ポリシーの定義 確認ページ キャプティブポータル ファイアウォールの設定 クライアント GlobalProtect のダウンロードとアクティブ 化 グループ デバイス クロック、設定 ゲートウェイ GlobalProtect のセットアップ コミット オプション 変更 さ サーバー Kerberos の定義 LDAP の定義 RADIUS の定義 サービス、定義 サービス拒否 (DoS)、プロファイル サポートの依頼 サポート情報 サポート情報、表示 しきい値、アラーム システムログ 表示 システム設定 セキュリティゾーン NAT ポリシーのセキュリティゾーン セキュリティポリシー 定義 セッションブラウザ ゾーン NAT ポリシー プロテクションプロファイル ソフトウェア バージョン ソフトウェアの アップグレード た タグ バーチャルワイヤー ダッシュボード ファイアウォール データ フィルタリング ログの表示 データ保護 パスワードの変更 追加 ディスク使用状況 デッドピア対策 デバイス マスター 追加 デバイス グループ 追加 デバイスの再起動 デバイス優先度、HA デプロイメント、情報の表示 デュプレックス設定 ドメイン名 トラフィック ログ 表示 トラフィックログ トンネル SSL VPN 用の分割 セットアップ トンネルインターフェイス トンネルモニター フェイルオーバー プロファイルトンネル 回復を待機 な ナレッジベース ネクストホップ ネットワーク設定 は バージョン、ソフトウェア バーチャルワイヤー 定義 パケット キャプチャ キャプチャの実行 キャプチャの設定 ファイルのキャプチャ パケットキャプチャ アクセス パスワード データ保護 パスワード複雑性設定 プロファイル 暗号化 パッシブ / アクティブの高可用性 パッシブホールドタイム、HA ピア ID ファイアウオール 機能と利点 ファイアウォール はじめに 緯度と経度 フェイルオーバー 526 • Web インターフェイス リファレンス ガイド、バージョン 7.1 Palo Alto Networks, Inc. 索引 ま フラグメント化しない(DF) フラッド フラッド、ゾーンプロテクション設定 プロファイル IKE 暗号 IKE 暗号化プロファイル設定 IPSec 暗号 IPSec 暗号化プロファイル設定 インターフェイス管理 ゾーンプロテクション トンネルモニター モニターについて ホールドタイム ホスト情報プロファイル(HIP) オブジェクトのセットアップ セットアップ マッチログ ホスト名、定義 ホスト名の解決 ポリシー NAT の概要 NAT の定義 キャプティブ ポータルの定義 タイプ ポリシーベースフォワーディングの概要 仮想システム 概要 復号化の定義 ポリシー ベース フォワーディング (PBF) 概要 定義 ポリシーベースフォワーディング (PBF) モニタープロファイル ま マスターデバイス マルチ仮想システム メモリ使用状況 モニタープロファイル や ユーザー データベース、SSL VPN ユーザーアカウントのロックアウト ユーザー名とパスワードの要件 わ ら ライセンス インストール ランダム早期ドロップ ランデブーポイント リモート認証 リンクグループ、HA リンク状態 設定 表示 Palo Alto Networks, Inc. リンク速度とデュプレックス ルーティング プロトコル BGP ルール セキュリティポリシー レスポンスしきい値 レポート PDF サマリー カスタム カスタム グループの作成 ユーザーアクティビティ 上位 50 電子メール配信のスケジューリング 表示 レポートとログ PDF サマリーレポートの表示 アプリケーションコマンドセンターの使 用 アプリケーションスコープレポートの表 示 カスタムレポート ダッシュボードの使用 レポートの表示 ローカル ID ロール 管理者の定義 ログ FTP サーバーへの保存 HIP マッチ URL フィルタリングの表示 アラーム エクスポートのスケジュール設定 クリア ホスト名の解決 リモートログの定義 タᐃ⏝ 管理 ログのエクスポート ログの宛先 SNMP トラップ Syslog 電子メール 暗号化プロファイル 緯度と経度 応答ページ GlobalProtect ポータルのヘルプ GlobalProtect ポータルのログイン SSL 証明書エラー通知ページ SSL 復号オプトアウト URL フィルタリングの続行とオーバーライ ド アプリケーションブロック Web インターフェイス リファレンス ガイド、バージョン 7.1 • 527 わ アンチウイルス キャプティブポータル タイプ ファイルブロッキング ファイルブロッキング続行 定義 仮想システム セキュリティゾーン ポリシー 概要 定義 複数 複数を定義 複数を有効化 有効化 仮想ルーター ネクストホップ 設定 外部動的リスト 管理インターフェイス CLI Panorama Web オプション 設定 管理者 ページのロックアウト ロール、定義 認証オプション 管理者 ページでのロックアウト 機能と利点 機密情報、保護 共有ゲートウェイ L3 インターフェイス 設定 脅威 定義の更新 脅威ログ 表示 交換モード 候補設定 概要 保存およびロールバック 候補設定のロールバック 候補設定の保存 高可用性 アクティブ / アクティブ アクティブ / パッシブ 概要 設定 動作とフェイルオーバーのルール 最短パスツリー(SPT) 時間 ゾーン 時刻 設定 重複アドレス検出(DAD) 索引 設定の管理 設定ログ リモートログの定義 表示 送信元特定マルチキャスト(SSM) 速度、リンク 電子メール レポート配信のスケジューリング 電子メール通知設定 定義 動的 URL のタイムアウト 認証 LDAP RADIUS シーケンス リモート ローカルデータベース 管理者のオプション 認証プロファイル Kerberos 設定 LDAP 設定 RADIUS 設定 セットアップ 廃棄オプション、DOS プロファイル 秘密鍵、暗号化 秘密鍵とパスワードの暗号化 表示 セッションブラウザ セッション情報 復号化ポリシー 528 • Web インターフェイス リファレンス ガイド、バージョン 7.1 Palo Alto Networks, Inc.
© Copyright 2024 Paperzz
