Palo Alto Networks Getting Started Guide

®
Palo Alto Networks
スタート ガイド
PAN-OS 5.0
連絡先
本社 :
Palo Alto Networks
3300 Olcott Street
Santa Clara, CA 95054
http://www.paloaltonetworks.com/contact/contact/
このガイドについて
この『スタート ガイド』では、Palo Alto Networks ファイアウォールの初期設
定と基本的なセットアップ方法について説明します。またこのガイドでは、
ハードウェアベース ファイアウォールのラックマウントを完了した後、また
は仮想ファイアウォールを作成した後の使用方法についても説明します。こ
のガイドの対象読者は、セキュリティ ゲートウェイとしてファイアウォール
をすばやくセットアップするための基本フレームワークを必要とする管理
者です。
さらに詳細な情報については、次の資料を参照してください。

Palo Alto Networks 管理者ガイド — 追加の機能およびファイアウォール
の機能の設定方法の詳細。

https://live.paloaltonetworks.com — ナレッジ ベース、ドキュメント セット
一式、ディスカッション フォーラム、および動画。

https://support.paloaltonetworks.com — サポート窓口、サポート プログラ
ムの詳細、アカウントまたはデバイスの管理。
このガイドでは、デバイスの Web インターフェイスを使用してファイア
ウォールを設定するときの手順を説明します。Panorama を使用したファイア
ウォールの導入手順については説明していません。Panorama を使用する場合
の手順の詳細については、管理者ガイドを参照してください。
Palo Alto Networks, Inc.
www.paloaltonetworks.com
© 2013 Palo Alto Networks.All rights reserved.
Palo Alto Networks、PAN-OS、および Panorama は Palo Alto Networks, Inc. の商
標です。その他の商標の所有権は、それぞれの所有者に帰属します。
P/N 810-000137 Rev. B
ii
目次
管理ネットワークへのファイアウォールの統合 . . . . . . . . . . . . . . . . . . . . . . .3
ファイアウォールへの管理アクセスのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
管理戦略の決定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
初期設定の実行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
外部サービスへのネットワーク アクセスのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
ファイアウォール サービスのアクティベーション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Palo Alto Networks への登録 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
ライセンスのアクティベーション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
コンテンツ更新の管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
ソフトウェア更新のインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
ファイアウォール管理者の追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
管理ロール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
管理認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
管理アカウントの作成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
ファイアウォールのモニター . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
アプリケーションと脅威のモニター . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
ローカル ログ データの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
外部サービスへのログの転送 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
SNMP を使用したファイアウォールのモニター . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
ペリメータ セキュリティの確立 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
ペリメータ セキュリティの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
ファイアウォールの導入 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
ネットワーク アドレス変換 (NAT) について. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
セキュリティ ポリシーについて. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
インターフェイスおよびゾーンの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
導入計画 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
インターフェイスとゾーンの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
NAT ポリシーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
内部クライアントの IP アドレスからパブリック IP アドレスへの変換 . . . . . . . . . . . . . . . . 52
内部ネットワークのクライアントからパブリック サーバーへのアクセスを有効にする 54
パブリックフェイシング サーバーの双方向アドレス変換を有効にする . . . . . . . . . . . . . . . 55
基本的なセキュリティ ポリシーのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
セキュリティ ルールの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
セキュリティ ポリシーのテスト. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
ネットワーク上のトラフィックのモニタリング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
スタート ガイド
i
目次
脅威からのネットワークの防御 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
脅威防御の概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
セキュリティ ゾーン、セキュリティ ポリシー、復号ポリシーについて . . . . . . . . . . . . . . 67
脅威防御機能のライセンス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
脅威防御のライセンスについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
ライセンスの取得とインストール. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
セキュリティ ポリシーについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
復号ポリシーと復号プロファイル. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
セキュリティ プロファイルとセキュリティ ポリシーのセットアップ . . . . . . . . . . . . . . . . . . . .
復号ポリシーのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
アウトバウンド復号ポリシーのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
アンチウィルス、アンチスパイウェア、および脆弱性防御のセットアップ . . . . . . . . . . .
データ フィルタリングのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ファイル ブロッキングのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
WildFire のセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
URL フィルタリングのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
78
78
80
82
85
90
93
95
ユーザー ID の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
ユーザー ID の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
グループ マッピングについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
ユーザー マッピングについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
ユーザー ID の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
ユーザー対グループのマッピング. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
IP アドレス対ユーザーのマッピング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
ユーザーおよびグループ ベースのポリシーを有効にする. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
User-ID 設定の確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
高可用性のセットアップ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
HA 概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
HA モード. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
HA リンクおよびバックアップ リンク . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
デバイス優先度およびプリエンプション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
フェイルオーバーのトリガー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
124
124
125
126
126
アクティブ / パッシブ HA の前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
設定のガイドライン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
アクティブ / パッシブ ペアの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
フェイルオーバー条件の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
フェイルオーバーの確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
ii
スタート ガイド
1 管理ネットワークへのファイア
ウォールの統合
この章では、ファイアウォールを管理ネットワークに統合し、セキュリティ設定を準備するため
に必要な初期設定手順の実行方法を説明します。この章は、以下のセクションで構成されています。

ファイアウォールへの管理アクセスのセットアップ

ファイアウォール サービスのアクティベーション

ファイアウォール管理者の追加

ファイアウォールのモニター
スタート ガイド
3
ファイアウォールへの管理アクセスのセットアップ
管理ネットワークへのファイアウォールの統合
ファイアウォールへの管理アクセスのセットアップ
すべての Palo Alto Networks ファイアウォールにはアウトオブバンド管理ポート(MGT)が用意
されており、それを使用してファイアウォールの管理機能を実行できます。MGT ポートを使用
することによってファイアウォールの管理機能がデータ処理機能から分離されるため、ファイア
ウォールへのアクセスが安全に守られ、パフォーマンスが向上します。Web インターフェイスを
使用するときには、デバイスの管理でインバンド ポートを使用する予定の場合であっても、MGT
からすべての初期設定タスクを実行する必要があります。
ライセンスの取得や、ファイアウォールでの脅威シグネチャとアプリケーション シグネチャの
更新などの一部の管理タスクでは、インターネットへのアクセスが必要です。MGT ポートへの
外部アクセスを有効にしない場合は、必要な外部サービスにアクセスできるようにデータ ポート
をセットアップするか、定期的に手動で更新をアップロードするように計画する必要があります。
以下のセクションでは、ファイアウォールへの管理アクセスのセットアップ方法を示します。

管理戦略の決定

初期設定の実行

外部サービスへのネットワーク アクセスのセットアップ
管理戦略の決定
Palo Alto Networks のファイアウォールは、ローカルで設定および管理するか、Palo Alto Networks
の中央管理システムである Panorama を使用することによって一元管理することができます。
ネットワークにファイアウォールが 6 つ以上導入されている場合、Panorama を使用すると以下
のメリットがあります。
• 設定、ポリシー、ソフトウェア、および動的コンテンツ更新の管理で、煩雑さや管理上の負
荷を軽減できます。Panorama でデバイス グループとテンプレートを使用することにより、デ
バイス固有の設定を各デバイスでローカルに管理したり、すべてのデバイスまたはデバイス
グループで共有ポリシーを適用したりすることで効果的に管理できます。
• すべての管理対象ファイアウォールからデータを集約し、ネットワーク上のすべてのトラ
フィックを可視化します。Panorama のアプリケーション コマンド センター(ACC)にはファ
イアウォール全体の統一レポートの一括管理画面が表示され、ネットワーク トラフィック、
セキュリティ インシデント、および管理上の変更について一元的に分析と調査を行い、レ
ポートを作成することができます。
このドキュメントに示す手順は、ローカル Web インターフェイスを使用してファイアウォール
を管理する場合の方法を示しています。中央管理で Panorama を使用する場合は、このガイドの
初期設定の実行 セクションにある指示に従って設定を完了した後に、ファイアウォールから
Panorama への接続を確立できることを確認してください。詳細については、『Palo Alto Networks
管理者ガイド』の第 13 章を参照してください。
4
スタート ガイド
管理ネットワークへのファイアウォールの統合
ファイアウォールへの管理アクセスのセットアップ
初期設定の実行
ファイアウォールのデフォルトの IP アドレスは 192.168.1.1、ユーザー名 / パスワードは
admin/admin です。セキュリティ上の理由により、他のファイアウォールの設定タスクに入る前
に、これらの設定値を変更する必要があります。初期設定タスクは、ファイアウォールの管理で
MGT インターフェイスを使用しない場合でもこのインターフェイスから実行するか、デバイス
のコンソール ポートへ直接シリアル ポート接続を使用して実行する必要があります。
ファイアウォールへのネットワーク アクセスのセットアップ
ステップ 1 ネットワーク管理者から必要な情報
を入手します。
• MGT ポートの IP アドレス
• ネットマスク
• デフォルト ゲートウェイ
• DNS サーバーのアドレス
ステップ 2 コンピュータをファイアウォールに 次のいずれかの方法でファイアウォールに接続でき
接続します。
ます。
• コンピュータからコンソール ポートにシリアル ケー
ブルを接続し、ターミナル エミュレーション ソフト
ウェア(9600-8-N-1)を使用してファイアウォールに
接続します。起動シーケンスが完了するまで 2、3 分
待ちます。デバイスの準備ができると、プロンプト
が フ ァ イ ア ウ ォ ー ル の 名 前 に 変 わ り、た と え ば
「PA-500 login」のように表示されます。
• コンピュータからファイアウォールの MGT ポート
に RJ-45 Ethernet ケーブルを接続します。ブラウザ
で、https://192.168.1.1 に移動します。この
URL にアクセスするには、コンピュータの IP アド
レ ス を、192.168.1.0 ネ ッ ト ワ ー ク で の ア ド レ ス
(192.168.1.2 など)に変更しなければならない場合が
あります。
ステップ 3 プロンプトが表示されたら、ファイア デフォルトのユーザー名とパスワード(admin/admin)
ウォールにログインします。
を使用してログインする必要があります。ファイア
ウォールの初期化が開始されます。
ステップ 4 MGT インターフェイスを設定します。 1.
スタート ガイド
[Device] > [ セットアップ ] > [ 管理 ] の順に選択し
て、画面上にある [ 管理インターフェイス設定 ] セ
クションで編集アイコン をクリックします。[IP
アドレス ]、[ ネットマスク ]、および [ デフォルト
ゲートウェイ ] の値を入力します。
2.
[ 速度 ] を [auto-negotiate] に設定します。
3.
インターフェイスで許可する管理サービスを選択
します。ベスト プラクティスとして、Telnet と
HTTP が選択されていないことを確認します。これ
は、これらのサービスでは平文が使用され、他の
サービスほど安全ではないからです。
4.
[OK] をクリックします。
5
ファイアウォールへの管理アクセスのセットアップ
管理ネットワークへのファイアウォールの統合
ファイアウォールへのネットワーク アクセスのセットアップ(続き)
ステップ 5 (任意)全般的なファイアウォールの 1.
設定を行います。
2.
ファイアウォールの [ ホスト名 ] を入力し、ネット
ワークの [ ドメイン ] 名を入力します。ドメイン名
はラベルにすぎず、ドメインに参加するために使
用されることはありません。
3.
[ 緯度 ] と [ 経度 ] を入力し、そのファイアウォール
が世界地図上の正確な場所に配置されるようにし
ます。
4.
[OK] をクリックします。
ステップ 6 DNS、時刻、および日付の設定を行 1.
います。
注意
[Device] > [ セットアップ ] > [ 管理 ] の順に選択し、
画面の [ 一般設定 ] セクションで編集 アイコン
をクリックします。
ファイアウォールで少なくとも 1 つ
の DNS サーバーを手動で設定する必 2.
要があり、設定しないとホスト名を解
決することができなくなります。その
ファイアウォールは、ISP などの別の 3.
ソースからの DNS サーバー設定を使
用しません。
4.
ステップ 7 admin アカウントの安全なパスワード 1.
を設定します。
2.
[Device] > [ セットアップ ] > [ サービス ] の順に選
択し、画面の [ サービス ] セクションで編集アイコン
をクリックします。
[ プライマリ DNS サーバー ] および必要に応じて
[ セカンダリ DNS サーバー ] の IP アドレスを入力
します。
インターネット上のタイム サーバーの仮想クラス
タを使用するには、ホスト名の「pool.ntp.org」
を[ プライマリ NTP サーバー] として入力する
か、または [ プライマリ NTP サーバー] および必
じて [ セカンダリ NTP サーバー] の IP アドレスを
要に応
追加します。
[OK] をクリックして、設定を保存します。
[Device] > [ 管理者 ] の順に選択します。
admin ロールを選択します。
3.
現在のデフォルト パスワードと新しいパスワード
を入力します。
4.
[OK] をクリックして、設定を保存します。
ステップ 8 変更をコミットします。
注意
[Commit] をクリックします。デバイスでの変更の保存
設定の変更を保存すると、IP アドレス には、最長で 90 秒かかります。
が変更されるため、Web インターフェ
イスへの接続が遮断されます。
ステップ 9 ファイアウォールをネットワークに 1.
接続します。
2.
6
コンピュータからファイアウォールを切断します。
RJ-45 Ethernet ケーブルを使用して、MGT ポートを
管理ネットワークのスイッチ ポートに接続しま
す。ファイアウォールからケーブルで接続するス
イッチ ポートが auto-negotiation に設定されている
ことを確認します。
スタート ガイド
管理ネットワークへのファイアウォールの統合
ファイアウォールへの管理アクセスのセットアップ
ファイアウォールへのネットワーク アクセスのセットアップ(続き)
ステップ 10 ファイアウォールへの SSH 管理セッ PuTTY などの端末エミュレーション ソフトウェアを
ションを開きます。
使用し、割り当てた新しい IP アドレスを使用してファ
イアウォールへの SSH セッションを開始します。
外部ネットワーク アクセス用に MGT ポートにケーブ
ルを接続した場合は、CLI から ping ユーティリティを
使用してファイアウォールとの間で通信可能なことを
確認します。次の例に示すようにして、デフォルト
ゲートウェイ、
DNS サーバー、および Palo Alto Networks
アップデート
サーバーに接続可能なことを確認して
MGT インターフェイスに外部ネッ
ください。
トワークへのアクセスを許可し
ping host updates.paloaltonetworks.com
ない場合は、必要なサービス更新 admin@PA-200>
PING updates.paloaltonetworks.com (67.192.236.252) 56(84) bytes of
data.
を取得するようにデータ ポート 64 bytes from 67.192.236.252 : icmp_seq=1 ttl=243 time=40.5 ms
bytes from 67.192.236.252 : icmp_seq=1 ttl=243 time=53.6 ms
をセットアップする必要があり 64
64 bytes from 67.192.236.252 : icmp_seq=1 ttl=243 time=79.5 ms
ます。8 ページの「外部サービス
注意
接続を確認したら、Ctrl+C を押して ping を停
へのネットワーク アクセスの
止します。
セットアップ」に進みます。
MGT インターフェイスへのアク
セスを外部ネットワークに許可
する場合は、接続が確立されて
いることを確認してから 12 ペー
ジの「ファイアウォール サービ
スのアクティベーション」に進み
ます。
ステップ 11 次のいずれかの方法により、ファイ
ア ウ ォ ー ル 管 理 で 必 要 な Palo Alto
Networks アップデート サーバーなど
の外部サービスへのネットワーク ア
クセスを確認します。
•
•
スタート ガイド
7
ファイアウォールへの管理アクセスのセットアップ
管理ネットワークへのファイアウォールの統合
外部サービスへのネットワーク アクセスのセットアップ
ファイアウォールは、デフォルトで MGT インターフェイスを使用して、DNS サーバー、コンテン
ツ更新、およびライセンス取得などのリモート サービスにアクセスします。管理ネットワーク
に外部ネットワークへのアクセスを有効にしない場合は、データ ポートをセットアップしてこ
れらの必須外部サービスにアクセスできるようにする必要があります。
このタスクを行うには、ファイアウォールのインターフェイス、ゾーン、およびポ
リシーに精通しておく必要があります。これらのトピックについての詳細は、第 2 章
「ペリメータ セキュリティの確立」を参照してください。
外部サービスへのアクセス用データ ポートのセットアップ
ステップ 1 外部サービスへのアクセスで使 使用するインターフェイスには、静的 IP アドレスが必要
用するポートを決定し、そのポー です。
トをスイッチまたはルーターの
ポートに接続します。
ステップ 2 Web インターフェイスにログイン Web ブラウザから安全な接続(https)を使用し、初期設定
します。
のときに割り当てた新しい IP アドレスとパスワードを使
用してログインします(https://<IP address>)。証明書の警
告が表示されますが、問題ありません。そのまま続行して
Web ページを開きます。
ステップ 3 (任 意)フ ァ イ ア ウ ォ ー ル は、 設定は次の順序で削除する必要があります。
Ethernet 1/1 ポートと Ethernet 1/2 1. デフォルトのセキュリティ ポリシーを削除するには、
ポート(および対応するデフォル
[Policies] > [ セキュリティ] の順に選択してルールを選
トのセキュリティ ポリシーと
択し、[ 削除 ] をクリックします。
ゾーン)の間のデフォルトのバー 2. 次に、[Network] > [ バーチャル ワイヤー ] の順に選択
チャル ワイヤー インターフェイ
し、バーチャル ワイヤーを選択して、[ 削除 ] をクリッ
スが事前設定されて出荷されま
クしてデフォルトのバーチャル ワイヤーを削除します。
す。このバーチャル ワイヤー設
3. デフォルトの信頼できるゾーンと信頼できないゾーン
定を使用する予定がない場合は、
を削除するには、[Network] > [ ゾーン ] の順に選択し、
定義する他のインターフェイス
各ゾーンを選択して [ 削除 ] をクリックします。
の設定と干渉しないようにする
ため、その設定を手動で削除する 4. 最後に、[Network] > [ インターフェイス ] の順に選択し
てから各インターフェイス(Ethernet1/1 と Ethernet1/2)を
必要があります。
選択し、[ 削除 ] をクリックします。
5.
8
変更を [Commit] します。
スタート ガイド
管理ネットワークへのファイアウォールの統合
ファイアウォールへの管理アクセスのセットアップ
外部サービスへのアクセス用データ ポートのセットアップ(続き)
ステップ 4 インターフェイスを設定します。 1.
[Network] > [ インターフェイス ] の順に選択し、ステッ
プ 1 でケーブルを接続したポートに対応するインター
フェイスを選択します。
2.
[ インターフェイス タイプ ] を選択します。ここで選択
するタイプはご使用のネットワーク トポロジに応じて
異なりますが、この例では、[ レイヤー 3] の場合の手
順を示します。
3.
[ 設定 ] タブで、[ セキュリティ ゾーン ] ドロップダウン
を展開して [ 新規ゾーン ] を選択します。
4.
[ ゾーン ] ダイアログで、新規ゾーンの [ 名前 (
]「L3-trust」
など)を定義して [OK] をクリックします。
5.
[IPv4] タブを選択し、[IP] セクションの [ 追加 ] をクリッ
クして、インターフェイスに割り当てる IP アドレスと
ネットワーク マスク(
「192.168.1.254/24」など)を入力
します。
6.
[ 詳細 ] > [ その他の情報 ] の順に選択し、[ 管理プロファ
イル ] ドロップダウンを展開して [ 新規管理プロファイ
ル ] を選択します。
7.
プロファイルの [ 名前 ](「allow_ping」など)を入力し、
インターフェイスで許可するサービスを選択します。
許可するサービスにはデバイスへの管理アクセス権が
付与されるため、このインターフェイスで許可する管
理アクティビティに対応するサービスのみを選択して
ください。たとえば、Web インターフェイスまたは CLI
によるデバイス設定タスクで MGT インターフェイス
を使用する場合は、HTTP、HTTPS、SSH、または Telnet
を有効にしないことにより、このインターフェイスを
介した無権限のアクセスを防止することができます。
外部サービスへのアクセスを許可する目的の場合は、
[Ping] のみをオンにして [OK] をクリックします。
8.
インターフェイス設定を保存するには、[OK] をクリッ
クします。
スタート ガイド
9
ファイアウォールへの管理アクセスのセットアップ
管理ネットワークへのファイアウォールの統合
外部サービスへのアクセス用データ ポートのセットアップ(続き)
ステップ 5 ファイアウォールではデフォル
トで MGT インターフェイスを使
用して必要な外部サービスにア
クセスするため、サービス ルー
トを編集することにより、これら
の要求を送信するためにファイ
アウォールが使用するインター
フェイスを変更する必要があり
ます。
10
1.
[Device] > [ セットアップ ] > [ サービス ] > [ サービス
ルートの設定 ] の順に選択します。
2.
[Select] ラジオ ボタンをクリックします。
3.
サービス ルートを変更するサービスに対応する [ 送信
元アドレス ] 列で [Use default] をクリックします。
4.
設定したインターフェイスの IP アドレスを選択します。
5.
変更する各サービスについて、ここでの手順を繰り返
します。ライセンスをアクティベーションし、最新の
コンテンツ更新とソフトウェア更新を取得する場合に
は、
「DNS」、
「Palo Alto Updates」、
「URL Updates」、お
よび「WildFire」のサービス ルートを変更できます。
6.
[OK] をクリックして設定を保存します。
7.
変更を [Commit] します。
スタート ガイド
管理ネットワークへのファイアウォールの統合
ファイアウォールへの管理アクセスのセットアップ
外部サービスへのアクセス用データ ポートのセットアップ(続き)
ステップ 6 外向きインターフェイスおよび関連付けられたゾーンを設定し、ファイアウォールが内部
ゾーンから外部ゾーンにサービス要求を送信することを許可するようにセキュリティ ルール
と NAT ポリシー ルールを作成します。
1. [Network] > [ インターフェイス ] の順に選択して、外向きのインターフェイスを選択しま
す。[ インターフェイス タイプ ] として [ レイヤー 3] を選択し、[IP] アドレスを [ 追加 ] し
て([IPv4] または [IPv6] タブ)
、
「l3-untrust」などの関連付けられた [ セキュリティ ゾーン ]
([ 設定 ] タブ)を作成します。このインターフェイスでの管理サービスを設定する必要は
ありません。
2. 内部ネットワークから Palo Alto Networks アップデート サーバーと外部 DNS サーバーへの
トラフィックを許可するセキュリティ ルールをセットアップするには、[Policies] > [セキュ
リティ ] の順に選択して [ 追加 ] をクリックします。初期設定の場合は、次のようにして、
l3-trust から l3-untrust へのすべてのトラフィックを許可する簡単なルールを作成できます。
3. 内向きインター
フェイスでプラ
イベート IP アド
レスを使用する
場合は、そのアドレスをパブリックにルーティング可能なアドレスに変換するソース NAT
ルールを作成する必要があります。[Policies] > [NAT] の順に選択して [ 追加 ] をクリック
します。少なくとも、ルールの名前を定義し([ 全般 ] タブ)
、送信元と宛先のゾーン(この
場合は l3-trust から l3-intrust)を指定し([ 元のパケット ] タブ)、送信元アドレス変換の設
定項目を定義して([ 変換済みパケット ] タブ)、[OK] をクリックする必要があります。NAT
の詳細は、51 ページの「NAT ポリシーの設定」を参照してください。
4. 変更を [Commit] します。
ステップ 7 データ ポートから、デフォルト
ゲートウェイ、DNS サーバー、お
よ び Palo Alto Networks ア ッ プ
デート サーバーなどの外部サー
ビスに接続できることを確認し
ます。
CLI を起動し、ping ユーティリティを使用して接続が有効
なことを確認します。デフォルトの ping は MGT インター
フェイスから送信されるため、この場合は ping 要求の送信
元インターフェイスを指定する必要があります。
admin@PA-200> ping source 192.168.1.254 host updates.paloaltonetworks.com
PING updates.paloaltonetworks.com (67.192.236.252) from 192.168.1.254 :
56(84) bytes of data.
64 bytes from 67.192.236.252: icmp_seq=1 ttl=242 time=56.7 ms
64 bytes from 67.192.236.252: icmp_seq=2 ttl=242 time=47.7 ms
64 bytes from 67.192.236.252: icmp_seq=3 ttl=242 time=47.6 ms
^C
必要なネットワーク接続が確立
されていることを確認してから、 接続を確認したら、Ctrl+C を押して ping を停止します。
12 ページの「ファイアウォール
サービスのアクティベーション」
に進みます。
スタート ガイド
11
ファイアウォール サービスのアクティベーション
管理ネットワークへのファイアウォールの統合
ファイアウォール サービスのアクティベーション
ファイアウォールを使用してネットワークを安全に保護するには、そのネットワークを登録し、
購入したサービスのライセンスをアクティベーションする必要があります。また、以下のセク
ションに従って適切なバージョンの PAN-OS が稼動しているようにする必要があります。

Palo Alto Networks への登録

ライセンスのアクティベーション

コンテンツ更新の管理

ソフトウェア更新のインストール
Palo Alto Networks への登録
ファイアウォールを使用してアプリケーションを安全に有効にできるようにするには、次のよう
にしてそのアプリケーションを登録する必要があります。
ファイアウォールの登録
ステップ 1 Web インターフェイスにログイン Web ブラウザから安全な接続(https)を使用し、初期設定
します。
のときに割り当てた新しい IP アドレスとパスワードを使
用してログインします(https://<IP address>)。証明書の警
告が表示されますが、問題ありません。そのまま続行して
Web ページを開きます。
ステップ 2 シリアル番号を見つけ、クリップ [Dashboard] で、画面の [ 一般的な情報 ] セクションに表示
ボードにコピーします。
されている [ シリアル番号 ] を確認します。
ステップ 3 Palo Alto Networks サポート サイ 新しいブラウザのタブまたはウィンドウで、
トに移動します。
https://support.paloaltonetworks.com に移動します。
ステップ 4 デバイスを登録します。登録方法
は、サポート サイトにすでにロ
グイン情報が登録されているか
どうかに応じて異なります。
• これが登録する最初の Palo Alto Networks デバイスであり、
•
12
まだログイン情報を登録していない場合は、ページの右
側にある [ 登録 ] をクリックします。登録するには、自分
の電子メール アドレスと、ファイアウォールのシリアル
番号を指定する必要があります(クリップボードから貼
り付け可能)。また、Palo Alto Networks サポート コミュニ
ティへのアクセス用に、ユーザー名とパスワードをセッ
トアップするよう求めるプロンプトが表示されます。
すでにサポート アカウントを持っている場合は、ログイン
してから [My Devices] をクリックします。画面下部の
[Register Device] セクションまでスクロールし、ファイア
ウォールのシリアル番号(クリップボードから貼り付け
可能)、市区町村、および郵便番号を入力して、[ デバイ
スの登録 ] をクリックします。
スタート ガイド
管理ネットワークへのファイアウォールの統合
ファイアウォール サービスのアクティベーション
ライセンスのアクティベーション
ファイアウォールを使用してネットワークのトラフィックを安全に保護することができるよう
にするには、まず、購入したサービスごとにライセンスをアクティベーションする必要がありま
す。次のようなライセンスを購入できます。
• 脅威防御 — アンチウィルス、アンチスパイウェア、および脆弱性防御機能を提供します。
脅威防御についての詳細は、82 ページの「アンチウィルス、アンチスパイウェア、および脆弱性防
御のセットアップ」 を参照してください。
• URL フィルタリング — 動的な URL カテゴリに基づいてポリシー ルールを作成するには、サ
ポートされている URL フィルタリング データベース(PAN-DB または BrightCloud)のいず
れかのサブスクリプションを購入してインストールする必要があります。URL フィルタリン
グについての詳細は、95 ページの「URL フィルタリングのセットアップ」 を参照してください。
• 仮想システム — このライセンスは、PA-2000 および PA-3000 シリーズのファイアウォールで
複数の仮想システムのサポートを有効にするために必要です。また、PA-4000 および PA-5000
シリーズのファイアウォールでのデフォルトの基本数(基本数はプラットフォームごとに異
なります)より多くの数の仮想システムを使用する場合は、仮想システム ライセンスを 1 つ
購入する必要があります。PA-500、PA-200、および VM シリーズのファイアウォールでは、
仮想システムがサポートされていません。
• WildFire — 基本 WildFire サポートは脅威防御ライセンスの一部として含まれていますが、
WildFire サブスクリプション サービスでは、直ちにセキュリティが必要な組織を対象に強化
サービスを提供することにより、時間単位の WildFire シグネチャ更新、WildFire サーバーか
らのログのダウンロード、および WildFire API を使用したファイルのアップロードを有効に
することができます。WildFire についての詳細は、93 ページの「WildFire のセットアップ」 を参
照してください。
• GlobalProtect — モビリティ ソリューションまたは大規模 VPN 機能を提供します。デフォル
トでは、ライセンスなしで 1 つの GlobalProtect ポータルとゲートウェイを導入できます。た
だし、ホスト チェックを使用したり、ゲートウェイを複数導入したりする場合は、ポータル
ライセンス(1 回限りの永続ライセンス)とゲートウェイ ライセンス(サブスクリプション)
を購入する必要があります。GlobalProtect についての詳細は、
『Palo Alto Networks 管理者ガイド』
の第 9 章を参照してください。
ライセンスのアクティベーション
ステップ 1 購入したライセンスのアクティ サブスクリプションを購入した場合は、各サブスクリプ
ベーション コードを探します。 ションに関連付けられているアクティベーション コードの
一覧を示した電子メールを Palo Alto Networks カスタマー サ
ポートから受信しています。この電子メールが見当たらな
い場合は、カスタマー サポートに連絡してアクティベー
ション コードを入手してから次に進んでください。
ステップ 2 Web インターフェイスを起動し、 [Device] > [ ライセンス ] の順に選択します。
ライセンス ページに移動します。
スタート ガイド
13
ファイアウォール サービスのアクティベーション
管理ネットワークへのファイアウォールの統合
ライセンスのアクティベーション(続き)
ステップ 3 購 入 し た 各 ラ イ セ ン ス を ア ク 1.
ティベーションします。
[ 認証コードを使用した機能のアクティベーション ] を
オンにします。
管理ポートからのインターネッ 2.
ト アクセス権がファイアウォー
ルに付与されていない場合は、サ 3.
ポート サイトからライセンス
ファイルを手動でダウンロード
し、[ ライセンス キーの手動アッ
プロード] オプションを使用して
ファイアウォールにアップロー
ドすることができます。
プロンプトが表示されたら、[ 認証コード ] を入力して
[OK] をクリックします。
注意
ライセンスが正常にアクティベーションされたことを
確認します。たとえば、WildFire ライセンスをアクティ
ベーションした後、ライセンスが有効なことを確認し
てください。
コンテンツ更新の管理
変遷する脅威やアプリケーションより常に優位に立つため、すべての Palo Alto Networks ファイ
アウォールで動的コンテンツ更新がサポートされています。購入したサブスクリプションに応じ
て、これらの更新には、URL フィルタリング データベースに加えて最新のアプリケーション シ
グネチャと脅威シグネチャが含まれます。常に最新の脅威(まだ発見されていない脅威を含む)
から保護されるようにするため、Palo Alto Networks から公開される最新の更新により、使用する
ファイアウォールが常に最新の状態に維持されるようにする必要があります。所有しているサブ
スクリプションに応じて、以下のコンテンツ更新を利用できます。
• アンチウィルス — WildFire クラウド サービスによって発見されたシグネチャなどの新規お
よび更新されたアンチウィルス シグネチャを含みます。更新データを取得するには、脅威防
御サブスクリプションが必要です。新しいアンチウィルス シグネチャは毎日公開されます。
• アプリケーション — 新規および更新されたアプリケーション シグネチャを含みます。この
更新に追加のサブスクリプションは不要ですが、有効なメンテナンス / サポートの連絡先が
必要です。新しいアプリケーション更新は週単位で公開されます。
• アプリケーションおよび脅威 — 新規および更新されたアプリケーション シグネチャと脅威
シグネチャを含みます。この更新は、脅威防御サブスクリプションを購入している場合(お
よびアプリケーション更新の代わりに取得する場合)に入手できます。新しいアプリケー
ションおよび脅威の更新は、週単位で公開されます。
• Global Protect データ ファイル — GlobalProtect エージェントによって返されるホスト情報プ
ロファイル(HIP)データを定義および評価するためのベンダー固有情報を含みます。更新
を受信するには、GlobalProtect ポータルと GlobalProtect ゲートウェイ ライセンスが必要です。
また、GlobalProtect が機能を開始する前に、それらの更新のスケジュールを作成する必要が
あります。
14
スタート ガイド
管理ネットワークへのファイアウォールの統合
ファイアウォール サービスのアクティベーション
• BrightCloud URL フィルタリング — BrightCloud URL フィルタリング データベースにのみ更
新を提供します。更新を取得するには、BrightCloud サブスクリプションが必要です。新しい
BrightCloud URL データベース更新は毎日公開されます。PAN-DB ライセンスを持っている場
合は、デバイスがサーバーと自動的に同期されるため、スケジュールされた更新は不要です。
• WildFire — WildFire クラウドによって行われる分析の結果として作成されるリアルタイムに
近いマルウェア シグネチャとアンチウィルス シグネチャを提供します(サブスクリプション
なしの場合は、
シグネチャが脅威更新に登録されるまでに 24 時間から 48 時間待つ必要があり
ます)。さらにこのサブスクリプションにより、
(WildFire ポータルにアクセスする代わりに)
オンデバイス ログを作成し、WildFire API を使用して 1 日あたり最大 100 ファイルをアップ
ロードすることができます。
更新はいつでも手動でダウンロードしてインストールできますが、ベスト プラクティスとして、
更新が自動的に処理されるようにスケジュールするようお勧めします。
使用するファイアウォールに管理ポートからのインターネット アクセス権が付与され
ていない場合は、Palo Alto Networks サポート サイト(https://support.paloaltonetworks.com)
からコンテンツ更新をダウンロードして、使用するファイアウォールに [アップロー
ド ] することができます。
最新データベースのダウンロード
ステップ 1 Web インターフェイスを起動し、 [Device] > [ ダイナミック更新 ] の順に選択します。
[ ダイナミック更新 ] ページに移
動します。
スタート ガイド
15
ファイアウォール サービスのアクティベーション
管理ネットワークへのファイアウォールの統合
最新データベースのダウンロード(続き)
ステップ 2 最新の更新があるかどうか確認します。
[ 今すぐチェック ](ウィンドウの左下に配置)をクリックして最新の更新があるかどうか確
認します。[ アクション ] 列のリンクは、更新が入手可能かどうかを示します。
• ダウンロード — 新しい更新ファイルが入手可能なことを示します。リンクをクリックし、
ファイアウォールへのファイルの直接ダウンロードを開始します。ダウンロードが正常に
完了すると、[ アクション ] 列のリンクが [ ダウンロード ] から [ インストール ] に変化し
ます。
注意 アプリケーションおよび脅威データベースをインストールするまでは、アンチウィル
ス データベースをダウンロードできません。
• アップグレード — 新しいバーションの BrightCloud データベースが存在することを示しま
す。リンクをクリックしてデータベースのダウンロードとインストールを開始します。
データベースのアップグレードがバックグラウンドで開始され、完了すると [ 現在インス
トール済み ] 列にチェック マークが表示されます。URL フィルタリング データベースと
して PAN-DB を使用する場合はアップグレード リンクが表示されませんが、これは、
PAN-DB データベースとサーバーの同期が自動的に保たれるからです。
提示 アクションの状態を確認するには、[ タスク ](ウィンドウの右下に表示)をクリック
します。
ステップ 3 更新をインストールします。
注意
[ アクション ] 列の [ インストール ] リンクをクリックしま
す。インストールが完了すると、[
現在インストール済み ]
インストールには最長で、PA-200、
列にチェック
マークが表示されます。
PA-500、または PA-2000 デバイス
の場合には 20 分、PA-3000 シリー
ズ、PA-4000 シリーズ、PA-5000 シ
リーズ、または VM シリーズの
ファイアウォールの場合には 2 分
かかります。
16
スタート ガイド
管理ネットワークへのファイアウォールの統合
ファイアウォール サービスのアクティベーション
最新データベースのダウンロード(続き)
ステップ 4 各更新をスケジュールします。
1.
スケジュールする更新ごとにこ
の手順を繰り返します。
注意
ベスト プラクティスとして、スケ
ジュールする更新を必ず交互に 2.
指定してください。これは、ファ
イアウォールでダウンロードで
きる更新が一度に 1 つだけだから
です。複数の更新を同じ期間にダ
ウンロードするようにスケ
ジュールすると、最初のダウン
ロードだけが成功します。
3.
スタート ガイド
[None] リンクをクリックすることにより、各更新タイ
プのスケジュールを設定します。
[ 繰り返し ] ドロップダウンから値を選択することによ
り、更新の頻度を指定します。指定可能な値は、コン
テンツ タイプによって異なります(WildFire の更新は、
[15 分ごと ]、[30 分ごと ]、または [ 毎時間 ] の頻度で
実行可能であるのに対し、他のすべてのコンテンツ タ
イプの場合には [ 毎日 ] または [ 毎週 ] の頻度で更新を
スケジュールできます)。
[ 日時 ](または、WildFire の場合には 00 分からの経過
分数)、および該当する場合は、選択した [ 繰り返し ]
値に応じて曜 [ 日 ] を指定します。
4.
システムで更新を [ ダウンロードおよびインストール ]
するか(ベスト プラクティス)、または [ ダウンロード
のみ ] を実行するかを指定します。
5.
まれに、コンテンツ更新の中でエラーが見つかること
があります。このため、リリースされてから一定の時
間が経過するまで、新しい更新のインストールを延期
することが可能です。リリースされてからコンテンツ
更新を実行するまでの時間は、[ しきい値(時間)]
フィールドに待つ時間の長さを入力することによって
指定できます。
6.
[OK] をクリックしてスケジュールの設定を保存します。
7.
[Commit] をクリックして、実行中の設定に対する設定
値を保存します。
17
ファイアウォール サービスのアクティベーション
管理ネットワークへのファイアウォールの統合
ソフトウェア更新のインストール
新しいファイアウォールをインストールするときには、最新のソフトウェア更新(または、リセ
ラーや Palo Alto Networks システム エンジニアが推奨する更新バージョン)にアップグレードし
て、最新のフィックスとセキュリティの強化機能を活用するようお勧めします。ソフトウェアを
更新する前に、まず、前のセクションで説明されている最新のコンテンツ更新があることを確認
してください(ソフトウェア更新のリリース ノートでは、そのリリースでサポートされている
最小バージョンのコンテンツ更新が指定されています)。
PAN-OS の更新
ステップ 1 Web インターフェイスを起動し、 [Device] > [ ソフトウェア ] の順に選択します。
ソフトウェア ページに移動し
ます。
ステップ 2 ソフトウェア更新があるかどう [ 今すぐチェック ] をクリックして最新の更新があるかどう
か確認します。
か確認します。[ アクション ] 列の値が [ ダウンロード ] の
場合は、入手可能な更新があることを示します。
ステップ 3 更新をダウンロードします。
注意
必要なバージョンを見つけて [ ダウンロード ] をクリック
フ ァ イ ア ウ ォ ー ル で 管 理 ポ ー します。ダウンロードが完了すると、[ アクション ] 列の値
ト か ら イ ン タ ー ネ ッ ト に ア ク が [ インストール ] になります。
セスできない場合は、Palo Alto
Networks サポート サイト(https://
support.paloaltonetworks.com)か ら
ソフトウェア更新をダウンロー
ドできます。その後、ファイア
ウォールに手動で [ アップロード ]
することができます。
ステップ 4 更新をインストールします。
1.
[ インストール ] をクリックします。
2.
ファイアウォールを再起動します。
• 再起動のプロンプトが表示されたら、
[ はい ] をクリッ
クします。
• 再起動のプロンプトが表示されない場合は、[Device] >
[ セットアップ ] > [ 操作 ] の順に選択し、画面の [ デ
バイスの操作 ] セクションの [ デバイスの再起動 ] を
クリックします。
18
スタート ガイド
管理ネットワークへのファイアウォールの統合
ファイアウォール管理者の追加
ファイアウォール管理者の追加
デフォルトでは、すべての Palo Alto Networks ファイアウォールにデフォルトの管理アカウント
(admin)が事前設定されています。このアカウントには、ファイアウォールに対する読み取りと
書き込みのフル アクセス権(スーパーユーザー アクセス権としても知られる)が付与されてい
ます。ベスト プラクティスとして、ファイアウォールの管理機能またはレポート機能に対する
アクセス権を必要とするユーザーごとに別個の管理アカウントを作成するようお勧めします。
これにより、無権限での設定(または変更)からファイアウォールを保護する能力を高め、個々
のファイアウォール管理者のアクションをログに記録することができます。
以下のセクションでは、管理アカウントをセットアップするためのさまざまな方法について説明
し、基本的な管理アクセス権のセットアップ手順を示します。

管理ロール

管理認証

管理アカウントの作成
管理ロール
管理者アカウントの設定方法は、組織内でのセキュリティ要件、統合可能な既存の認証サービス
があるかどうか、および必要な管理ロールの種類に応じて異なります。ロールにより、関連付け
られた管理者のシステムに対するアクセス権のタイプを定義します。次の 2 つのタイプのロール
を割り当てることができます。
• 動的ロール — 「スーパーユーザー」、「スーパーユーザー(読み取り専用)」、「デバイスの管
理者」
、
「デバイスの管理者(読み取り専用)
」、
「仮想システム管理者」
、および「仮想システ
ム管理者(読み取り専用)」にファイアウォールへのアクセスを付与する組み込みロール。
動的ロールの場合は自動的に更新されるため、新機能が追加されたときにロールの定義を更
新することについて心配する必要がありません。
• 管理ロール プロファイル — Web インターフェイス、CLI、または XML API のさまざまな機
能領域へのアクセスをよりきめ細かく制御するため、独自のロール定義を作成できます。た
とえば、Web インターフェイスのデバイスとネットワークの設定領域へのアクセスを許可す
る管理ロール プロファイルを操作スタッフ用に、またセキュリティ ポリシー定義、ログ、お
よびレポートへのアクセスを許可する別個のプロファイルをセキュリティ管理者用に作成
できます。管理ロール プロファイルを使用する場合は、製品に追加される新しい機能 / コン
ポーネントの特権を明示的に割り当てるため、プロファイルを更新する必要があることに注
意してください。
スタート ガイド
19
ファイアウォール管理者の追加
管理ネットワークへのファイアウォールの統合
管理認証
管理ユーザーは次の 4 つの方法で認証できます。
• ローカル認証によるローカル管理者アカウント — 管理者アカウント認証情報と認証方式の両
方がファイアウォールに対してローカルです。ローカル管理者アカウントは、パスワードの
有効期間を定義するパスワード プロファイルを作成し、デバイス全体でのパスワード複雑性
設定を行うことにより、安全性を高めることができます。
• SSL ベース認証によるローカル管理者アカウント — このオプションでは、ファイアウォール
で管理者アカウントを作成しますが、認証は SSH 証明書(CLI アクセスの場合)またはクラ
イアント証明書 / 共通アクセス カード(Web インターフェイスの場合)に基づいて処理され
ます。このタイプの管理アクセス権の設定方法については、
「How to Configure Certificate-based
Authentication for the WebUI」の記事を参照してください。
• 外部認証によるローカル管理者アカウント — この管理者アカウントはローカル ファイア
ウォールで管理されますが、認証機能の負荷は既存の LDAP、Kerberos、または RADIUS サー
ビスに割り振られます。このタイプのアカウントを設定するには、まず外部認証サービスへ
のアクセス方法を定義する認証プロファイルを作成し、次にそのプロファイルを参照する管
理者ごとにアカウントを作成する必要があります。詳細については、
『Palo Alto Networks 管
理者ガイド』の第 3 章にある「認証プロファイルのセットアップ」を参照してください。
• 外部管理者アカウントと認証 — アカウント管理者と認証は、外部 RADIUS サーバーによって
処理されます。このオプションを使用するには、RADIUS サーバーで、管理ロールにマップ
されるベンダー固有属性(VSA)、および任意で、Palo Alto Networks デバイスで定義した仮想
システム オブジェクトを定義する必要があります。このタイプの管理アクセス権の設定方法
については、
「Radius Vendor Specific Attributes (VSA)」の記事を参照してください。
20
スタート ガイド
管理ネットワークへのファイアウォールの統合
ファイアウォール管理者の追加
管理アカウントの作成
以下に、ローカル認証でのローカル管理者アカウントの作成方法を示します。
ローカル管理者の作成
ステップ 1 動的ロールではなく管理者ロー 作成するロールごとに以下の手順を実行します。
ル プロファイルを使用する場合 1. [Device] > [ 管理者ロール ] の順に選択して [ 追加 ] をク
は、Web インターフェイス、CLI、
リックします。
および XML API の異なるセク
2. [Web UI] または [XML API] タブで、アイコンをクリック
ションに対して付与するアクセ
して必要な設定に切り替えることにより、インター
ス権があるのであれば、そのロー
フェイスの機能領域ごとにアクセス レベル
([ 有効化 ] 、
ルに割り当てる管理者ごとに、ア
[ 読み取り専用 ] 、[ 無効化 ] )を設定します。
クセス権のタイプを定義するプ
3. [ コマンド行 ] タブで、CLI に許可するアクセスのタイプ
ロファイルを作成します。
(superreader、deviceadmin、または devicereader(デ
バイスのロールの場合)、vsysadmin または vsysreader
(仮想システムのロールの場合)
、または [None](CLI ア
クセスをすべて無効化)を指定します。
4.
プロファイルの [ 名前 ] を入力し、[OK] をクリックし
て保存します。
ステップ 2 (任意)ローカルのユーザー定義 • パスワード プロファイルの作成 — 管理者がパスワー
パスワードの要件を設定します。 ドを変更しなければならない頻度を定義します。複数の
パスワード プロファイルを作成し、必要に応じて管理者
アカウントに適用して必要なセキュリティを確保できま
す。パスワード プロファイルを作成するには、[Device] >
[ パスワード プロファイル ] の順に選択して、[ 追加 ] を
クリックします。
• パスワード複雑性の設定 — パスワードの複雑性を制御
するルールを定義し、推測や解読が困難で、破られにく
いパスワードを管理者が作成するよう強制できます。
個々のアカウントに適用可能なパスワード プロファイル
とは異なり、これらのルールはデバイス全体に影響し、す
べ て の パ スワ ー ド に 適 用 され ま す。設 定 を 行 う に は、
[Device] > [ セットアップ ] の順に選択し、[ パスワード複雑
性設定 ] セクションの編集 アイコンをクリックします。
ステップ 3 管理者ごとにアカウントを作成 1.
します。
[Device] > [ 管理者 ] の順に選択して [ 追加 ] をクリック
します。
2.
管理者の [ 名前 ] と [ パスワード ] を入力します。
3.
この管理者に割り当てる [ ロール ] を選択します。事前
定義の動的ロールのいずれかを選択するか、ステップ 1
で作成した場合にはカスタムのロール ベースのプロ
ファイルを選択できます。
4. (任意)[ パスワード プロファイル ] を選択します。
ステップ 4 変更をコミットします。
スタート ガイド
5.
[OK] をクリックしてアカウントを保存します。
1.
[Commit] をクリックします。
21
ファイアウォールのモニター
管理ネットワークへのファイアウォールの統合
ファイアウォールのモニター
初期導入時に考慮すべき別の要素は、ファイアウォールの正しい動作および管理制御するトラ
フィックと脅威のモニタリングのために行う、ファイアウォールのモニターの計画です。Syslog
や SNMP など、利用したい中央管理サービスがあるでしょうか。また、ログ ファイル アーカイ
ブ、監査、またはバックアップに関して特定の要件があるでしょうか。
以下のセクションでは、ファイアウォールをモニタリングするときに使用可能な手法と基本的な
セットアップ手順について説明します。

アプリケーションと脅威のモニター

アプリケーションと脅威のモニター

外部サービスへのログの転送

SNMP を使用したファイアウォールのモニター
ファイアウォール(PA-4000 シリーズのファイアウォールを除く)は、分析とレポー
ト用にフロー データを NetFlow コレクタにエクスポートするように設定することも
できます。『Palo Alto Networks 管理者ガイド』の第 3 章「デバイス管理」にある
「NetFlow 設定の設定」を参照してください。
22
スタート ガイド
管理ネットワークへのファイアウォールの統合
ファイアウォールのモニター
アプリケーションと脅威のモニター
Palo Alto Networks のすべての次世代ファイアウォールには、プロトコル、暗号化、または秘匿技
術に関係なくネットワークを通過するアプリケーションを識別する App-ID テクノロジーが組み
込まれています。識別したアプリケーションは、アプリケーション コマンド センター([ACC])
からモニタリングすることができます。ACC はログ データベースをグラフィカルに要約し、ネッ
トワークを通過するアプリケーション、アプリケーションの使用者、および潜在的なセキュリ
ティへの影響を強調表示します。また ACC は、App-ID が実行する連続的なトラフィック分類機
能を使用して動的に更新されます。App-ID は、アプリケーションがポートまたは動作を変更し
た場合でもそのトラフィックを識別し続け、ACC に結果を表示します。
ACC に表示される新しい、リスクの高い、または見慣れないアプリケーションについては、ア
プリケーションの説明、その主な特徴、動作特性、および使用者を 1 回のクリックで表示して素
早く調べることができます。さらに、URL カテゴリ、脅威、およびデータも視覚的に表示され
るため、ネットワーク アクティビティの全体像を把握できます。ACC により、ネットワークを
通過するトラフィックについての詳細な情報をごく短時間で収集し、その情報が反映された、よ
り情報に則したセキュリティ ポリシーを作成することができます。
スタート ガイド
23
ファイアウォールのモニター
管理ネットワークへのファイアウォールの統合
ローカル ログ データの表示
Palo Alto Networks のすべての次世代ファイアウォールでは、ファイアウォールでのアクティビ
ティとイベントの監査証跡を示すログ ファイルを生成できます。アクティビティおよびイベン
トのタイプ別に別々のログが記録されます。たとえば、脅威ログにはファイアウォールでセキュ
リティ アラームが生成される原因となったすべてのトラフィックが記録されるのに対し、URL
フィルタリング ログにはセキュリティ ポリシーに添付された URL フィルタリング プロファイ
ルと一致するすべてのトラフィックが記録され、設定ログにはファイアウォール設定に対する変
更すべてが記録されます。各タイプのログ ファイルについての詳細は、
『Palo Alto Networks 管理
者ガイド』の第 3 章にある「ファイアウォール ログ」を参照してください。
ローカル ファイアウォールのログ データはいくつかの方法で表示することができます。

ログ ファイルの表示

ダッシュボードでのログ データの表示

レポートの表示
ログ ファイルの表示
デフォルトでは、すべてのログ ファイルがファイアウォールで生成されてローカルに保存され
ます。それらのログ ファイルは直接表示することができます([Monitor] > [ ログ ])
24
スタート ガイド
管理ネットワークへのファイアウォールの統合
ファイアウォールのモニター
ダッシュボードでのログ データの表示
ローカルのログ データは、関連付けられたウィジェットを追加することにより、[Dashboard] か
ら直接モニタリングすることもできます。
レポートの表示
ファイアウォールでは、ログ データも使用して、ログ データを表または図の形式で表示したレ
ポートも生成します([Monitor] > [ レポート ])。
スタート ガイド
25
ファイアウォールのモニター
管理ネットワークへのファイアウォールの統合
外部サービスへのログの転送
ログ ファイルのタイプおよび重大度に応じて、注意を必要とする重大イベントについてアラー
トが送信されるようにしたり、ファイアウォールに保存可能な期間より長くデータをアーカイブ
するよう求めるポリシーが存在したりするかも知れません。そのような場合は、ログ データを
外部サービスに転送して、アーカイブ、通知、または分析することができます。
ログ データを外部サービスに転送するには、次のタスクを実行する必要があります。

ログを受信するリモート サービスにアクセスするようにファイアウォールを設定します。
26 ページの「リモート ログの宛先の定義」 を参照してください。

転送されるように各ログ タイプを設定します。32 ページの「ログ転送の有効化」を参照してく
ださい。
リモート ログの宛先の定義
Syslog サーバーや SNMP トラップ マネージャなどの外部サービスに到達するため、ファイア
ウォールでは、アクセス方法の詳細を認識し、必要であればそのサービスに対して認証されるよ
うにする必要があります。この情報は、ファイアウォールの [ サーバー プロファイル ] で定義し
ます。ファイアウォールが通信する外部サービスごとにサーバー プロファイルを作成する必要
があります。セットアップする必要があるログの宛先タイプおよび転送するログのタイプは、必
要に応じて異なります。いくつかの一般的なログ転送シナリオには、次の操作が含まれます。
• 注意を必要とする重大なシステム イベントまたは脅威に関する即時通知の場合は、SNMP ト
ラップを生成するか、電子メール アラートを送信することができます。27 ページの「電子メー
ル アラートのセットアップ」または 28 ページの「SNMP トラップの宛先のセットアップ」を参照し
てください。
• データの長期保管とアーカイブの場合、および中央管理のデバイス モニタリングの場合に
は、ログ データを Syslog サーバーに送信することができます。30 ページの「Syslog サーバーの
定義」 を参照してください。これにより、Splunk! や ArcSight などのサードパーティのセキュ
リティ モニタリング ツールとの統合が可能になります。
Syslog コレクタを使用していない場合、またはリアルタイム更新が不要な場合には、
代わりにログのエクスポートをスケジューリングして FTP(File Transfer Protocol)
サーバーに CSV 形式で保存するか、Secure Copy(SCP)を使用してファイアウォー
ルとリモート ホスト間でデータを安全に転送することができます。詳細について
は、『Palo Alto Networks 管理者ガイド』の第 3 章「デバイス管理」にある「ログ
のエクスポートのスケジューリング」を参照してください。
• 複数の Palo Alto Networks ファイアウォールからログ データを集約してレポートを作成する
場合は、Panorama マネージャまたは Panorama ログ コレクタにログを転送できます。32 ページ
の「Panorama へのログの転送」 を参照してください。
26
スタート ガイド
管理ネットワークへのファイアウォールの統合
ファイアウォールのモニター
サーバー プロファイルは必要なだけ定義できます。たとえば、別々のサーバー プロファイルを
使用して、トラフィック ログを Syslog サーバーに、システム ログを別のサーバーに送信するこ
とができます。あるいは、複数のサーバー エントリを単一のサーバー プロファイルに含め、複
数の Syslog サーバーにログを記録して冗長性を高めることもできます。
デフォルトでは、すべてのログ データが MGT インターフェイスを介して転送され
ます。MGT 以外のインターフェイスを使用する予定の場合は、外部サービスへのア
クセス用データ ポートのセットアップの説明にある手順のステップ 5 に従って、ロ
グの転送先となるサービスごとにサービス ルートを設定する必要があります。詳細
については、『Palo Alto Networks 管理者ガイド』の第 3 章「デバイス管理」にあ
る「サービス設定の定義」を参照してください。
電子メール アラートのセットアップ
電子メール アラートのセットアップ
ステップ 1 使用している電子メール サー 1.
バーのサーバー プロファイルを
作成します。
2.
[Device] > [ サーバー プロファイル ] > [ 電子メール ] の
順に選択します。
[ 追加 ] をクリックし、プロファイルの [ 名前 ] を入力
します。
3. (任意)[ 場所 ] ドロップダウンから、このプロファイ
ルの適用先となる仮想システムを選択します。
4.
[ 追加 ] をクリックして新しい電子メール サーバー エン
トリを追加し、SMTP(Simple Mail Transport Protocol)サー
バーに接続して電子メールを送信するために必要な情
報を入力します(プロファイルには電子メール サー
バーを 4 つまで追加できます)。
• サーバー — 電子メール サーバーを識別する名前(1 ~
31 文字)。このフィールドは単なるラベルであり、既
存の SMTP サーバーのホスト名である必要はありま
せん。
• 表示名 — 電子メールの [ 差出人 ] フィールドに表示
される名前。
• 送信者 — 電子メール通知の送信元の電子メール ア
ドレス。
• 宛先 — 電子メール通知の送信先の電子メール アド
レス。
• その他の受信者 — 通知が 2 番目のアカウントに送信
されるようにする場合は、ここに追加のアドレスを
入力します。
• ゲートウェイ — 電子メールの送信に使用する SMTP
ゲートウェイの IP アドレスまたはホスト名。
5.
スタート ガイド
[OK] をクリックしてサーバー プロファイルを保存し
ます。
27
ファイアウォールのモニター
管理ネットワークへのファイアウォールの統合
電子メール アラートのセットアップ(続き)
ステップ 2 (任意)ファイアウォールが送信
する電子メール メッセージの
フォーマットをカスタマイズし
ます。
[ カスタム ログ フォーマット ] タブを選択します。さまざ
まなログ タイプでのカスタム フォーマットの作成方法に
ついては、『Common Event Format Configuration Guide』を参
照してください。
ステップ 3 サーバー プロファイルを保存
し、変更をコミットします。
1.
[OK] をクリックしてプロファイルを保存します。
2.
[Commit] をクリックして実行中の設定に対する変更を
保存します。
SNMP トラップの宛先のセットアップ
Simple Network Management Protocol(SNMP)は、ネットワーク上のデバイスをモニタリングする
ための標準ファシリティです。SNMP 管理ソフトウェアに SNMP トラップを送信するようにファ
イアウォールを設定し、迅速な対応が求められる重大なシステム イベントや脅威に対して注意
が喚起されるようにすることができます。
また、SNMP を使用してファイアウォールをモニタリングすることもできます。この
場合は、ファイアウォールでトラップをマネージャに送信するのではなく(または、
そうすることに加えて)、ファイアウォールから統計データを取得するように SNMP
マネージャを設定する必要があります。詳細については、34 ページの「SNMP を使
用したファイアウォールのモニター」を参照してください。
28
スタート ガイド
管理ネットワークへのファイアウォールの統合
ファイアウォールのモニター
SNMP トラップの宛先のセットアップ
ステップ 1 SNMP マネージャに接続して認証 1. [Device] > [ サーバー プロファイル ] > [SNMP トラップ ]
の順に選択します。
されるために必要な情報を含ん
だサーバー プロファイルを作成 2. [ 追加 ] をクリックし、プロファイルの [ 名前 ] を入力
します。
します。
3. (任意)[ 場所 ] ドロップダウンから、このプロファイ
ルの適用先となる仮想システムを選択します。
4. 使用中の SNMP のバージョン([V2c] または [V3])を指
定します。
5. [ 追加 ] をクリックして新しい [SNMP トラップ レシー
バ ] エントリを追加します(サーバー プロファイルあ
たりトラップ レシーバを 4 つまで追加できます)。必須
の値は、SNMP V2c と V3 のどちらを使用中なのかに
よって決まります。
SNMP V2c
• サーバー — SNMP マネージャを識別する名前(1 ~ 31
文字)
。このフィールドは単なるラベルであり、既存の
SNMP サーバーのホスト名である必要はありません。
• マネージャ — トラップの送信先 SNMP マネージャ
の IP アドレス。
• コミュニティ — SNMP マネージャに対して認証する
ために必要なコミュニティ名。
SNMP V3
• サーバー — SNMP マネージャを識別する名前(1 ~ 31
文字)
。このフィールドは単なるラベルであり、既存の
SNMP サーバーのホスト名である必要はありません。
• マネージャ — トラップの送信先 SNMP マネージャ
の IP アドレス。
• ユーザー — SNMP マネージャに対して認証するため
に必要なユーザー名。
• エンジン ID — ファイアウォールのエンジン ID。
これは、0x プレフィックスが付いた 5 ~ 64 バイトの
16 進数値です。各ファイアウォールには一意のエン
ジン ID があり、これは MIB ブラウザを使用し、OID
1.3.6.1.6.3.10.2.1.1.0 に対して GET コマンドを実行し
て取得できます。
• 認証パスワード — SNMP マネージャに対する
authNoPriv レベルのメッセージで使用されるパスワー
ド。このパスワードは Secure Hash Algorithm(SHA-1)を
使用してハッシュされますが、暗号化はされません。
• 専用パスワード — SNMP マネージャに対する authPriv
レベルのメッセージで使用されるパスワード。この
パスワードは SHA を使用してハッシュされ、Advanced
Encryption Standard(AES 128)を使用して暗号化され
ます。
6.
スタート ガイド
[OK] をクリックしてサーバー プロファイルを保存し
ます。
29
ファイアウォールのモニター
管理ネットワークへのファイアウォールの統合
SNMP トラップの宛先のセットアップ(続き)
ステップ 2 SNMP を有効にします。
• MGT インターフェイスから SNMP トラップを送信する場
•
ステップ 3 変更をコミットします。
合は、[Device] > [ セットアップ ] > [ 管理 ] の順に選択し、
画面の [ 管理インターフェイス設定 ] セクションで編集
アイコンをクリックします。[ サービス ] セクションで、
[SNMP] チェック ボックスをオンにして [OK] をクリック
します。
別のインターフェイスから SNMP トラップを送信する場
合は、管理プロファイルとそのインターフェイスを関連
付け、SNMP 管理を有効にする必要があります。また、
サービス ルートをセットアップして、ファイアウォール
が SNMP マネージャに到達できるようにする必要もあり
ます。方法については、8 ページの「外部サービスへの
ネットワーク アクセスのセットアップ」を参照してくだ
さい。
[Commit] をクリックします。デバイスでの変更の保存に
は、最長で 90 秒かかります。
ステップ 4 ファイアウォールから受信する PAN-OS MIB ファイルを SNMP 管理ソフトウェアにロード
トラップを SNMP マネージャが してコンパイルします。この処理の具体的な方法について
解釈できるようにします。
は、ご使用の SNMP マネージャのドキュメントを参照して
ください。
Syslog サーバーの定義
Syslog は標準のログ転送メカニズムで、ルーター、ファイアウォール、プリンターなどのさまざ
まなベンダーのさまざまなネットワーク デバイスからアーカイブと分析そしてレポート作成の
ために、ログ データを集約できるようにします。
PAN-OS が Syslog サーバーにエクスポート可能なログ タイプは、トラフィック、脅威、HIP マッチ、
設定、およびシステムの 5 つです。各ログ タイプのフィールドについての詳細は、PAN-OS Syslog
Integration Tech Note を参照してください。ログ メッセージとその重大度レベルの部分的なリストに
ついては、
『System Log Reference』を参照してください。
Syslog メッセージは平文で送信され、直接に暗号化することはできません。ただし、
暗号化が必要な場合は、トンネル インターフェイスを介して Syslog メッセージを送
信して、Syslog パケットを強制的に暗号化することができます。また、Syslog への新
しいサービス ルートを作成することも必要です。詳細については、
『Palo Alto
Networks 管理者ガイド』を参照してください。
30
スタート ガイド
管理ネットワークへのファイアウォールの統合
ファイアウォールのモニター
SYSLOG 転送のセットアップ
ステップ 1 Syslog サーバーに接続するために 1.
必要な情報を含んだサーバー プ
ロファイルを作成します。
2.
[Device] > [ サーバー プロファイル ] > [Syslog] の順に
選択します。
[ 追加 ] をクリックし、プロファイルの [ 名前 ] を入力
します。
3. (任意)[ 場所 ] ドロップダウンから、このプロファイ
ルの適用先となる仮想システムを選択します。
4.
[ 追加 ] をクリックして新しい Syslog サーバー エントリ
を追加し、Syslog サーバーに接続するために必要な情報
を入力します(同じプロファイルに Syslog サーバーを 4
つまで追加できます)。
• 名前 — サーバー プロファイルの一意の名前。
• サーバー — Syslog サーバーの IP アドレスまたは完全
修飾ドメイン名(FQDN)。
• ポート — Syslog メッセージを送信するときに経由す
るポート番号(デフォルトは 514)。ファイアウォー
ルと Syslog サーバーで同じポート番号を使用する必
要があります。
• ファシリティ — Syslog の標準値のいずれかを選択し
ます。実装されている Syslog サーバーの優先度(PRI)
フィールドの計算で使用されます。PRI フィールドを
使用して Syslog メッセージを管理する方法に対応す
る値を選択してください。
5. (任意)ファイアウォールが送信する Syslog メッセージ
のフォーマットをカスタマイズするには、[ カスタム ロ
グ フォーマット ] タブを選択します。さまざまなログ
タイプでのカスタム フォーマットの作成方法について
は、『Common Event Format Configuration Guide』を参照
してください。
6.
[OK] をクリックしてサーバー プロファイルを保存し
ます。
ステップ 2 (任意)送信する Syslog メッセー
ジのヘッダーにファイアウォー
ルの IP アドレスが組み込まれる
ようにファイアウォールを設定
します。
[Device] > [ セットアップ ] の順に選択し、[ ロギングおよ
びレポート設定 ] セクションの編集 アイコンをクリック
します。[Syslog メッセージ内にホスト名を含める ] チェッ
ク ボックスをオンにして、[OK] をクリックします。
ステップ 3 変更をコミットします。
[Commit] をクリックします。デバイスでの変更の保存に
は、最長で 90 秒かかります。
スタート ガイド
31
ファイアウォールのモニター
管理ネットワークへのファイアウォールの統合
Panorama へのログの転送
Panorama マネージャまたは Panorama ログ コレクタにログ ファイルを転送できるようにするに
は、まず、ファイアウォールを管理対象デバイスとして設定する必要があります。Panorama の
セットアップとデバイスの追加についての詳細は、
『Palo Alto Networks 管理者ガイド』の第 13 章
「Panorama を使用したデバイス中央管理」を参照してください。その後、32 ページの「ログ転送の
有効化」 の説明に従って、ログのタイプごとに Panorama へのログ転送を有効にすることができ
ます。
ログ転送の有効化
ログの送信先を定義したサーバー プロファイルを作成したら、ログ転送を有効にする必要があり
ます。ログ タイプごとに、Syslog、電子メール、SNMP トラップ レシーバ、または Panorama のど
れに転送するかを指定できます。転送を有効にする方法は、ログ タイプによって異なります。
• トラフィック ログ — トラフィック ログの転送を有効にするには、ログ転送プロファイルを
作成し([Objects] > [ ログ転送 ])、ログ転送をトリガーするセキュリティ ポリシーにそのプロ
ファイルを追加します。セキュリティ ポリシー内の特定のルールに一致するトラフィックの
みがログに記録され、転送されます。
• 脅威ログ — 脅威ログの転送を有効にするには、転送する重大度レベルを指定したログ転送プ
、ログ転送をトリガーするセキュリティ ポリシー
ロファイルを作成し([Objects] > [ ログ転送 ])
にそのプロファイルを追加します。脅威ログのエントリは、関連付けられたトラフィックが
セキュリティ プロファイル(アンチウィルス、アンチスパイウェア、脆弱性防御、URL フィ
ルタリング、ファイル ブロッキング、データ フィルタリング、または DoS プロテクション)
と一致する場合にのみ作成(したがって転送)されます。次の表に脅威の重大度レベルを要
約して示します。
32
重大度
説明
Critical
広範囲に導入されたソフトウェアのデフォルト インストールに
影響するような深刻な脅威。サーバーの root が悪用され、弱点
のあるコードが広範囲の攻撃者の手に渡ることになります。攻
撃者は通常、個々の被害サーバーに関する特別な認証情報や知
識を必要とせず、攻撃対象サーバーを操作して何らかの特別な
機能を実行する必要がありません。
High
重大度が Critical に変わる可能性があるものの、軽減要因が存在
する脅威。たとえば、悪用するのが困難であったり、上位の特
権が与えられることがなかったり、被害サーバー数が多くな
かったりする場合です。
Medium
影響が最小限に抑えられる小さな脅威。たとえば、標的に侵入
することのない DoS 攻撃や、攻撃者が被害サーバーと同じ LAN
上に存在する必要があり、標準以外の設定や隠れたアプリケー
ションにのみ影響するか、アクセスがごく限られている悪用な
ど で す。ま た、マ ル ウ ェ ア 判 定 の WildFire ロ グ エ ン ト リ は
Medium としてログに記録されます。
スタート ガイド
管理ネットワークへのファイアウォールの統合
ファイアウォールのモニター
重大度
説明
Low
組織のインフラストラクチャへの影響がわずかな警告レベルの
脅威。通常は、ローカルまたは物理システムにアクセスする必
要があり、多くの場合、被害者のプライバシー問題や DoS 問題
が発生し、情報が漏洩します。データ フィルタリング プロファ
イルは Low としてログに記録されます。
Informational
直ちに脅威とはならなくても、存在する可能性がある深層の問
題に注意を引くために報告される、疑わしいイベント。URL フィ
ルタリング ログ エントリと安全判定の WildFire ログ エントリ
は Informational としてログに記録されます。
• 設定ログ — 設定ログの転送を有効にするには、ログ設定でサーバー プロファイルを指定し
ます([Device] > [ ログ設定 ] > [ 設定ログ ])
。
• システム ログ — システム ログの転送を有効にするには、ログ設定でサーバー プロファイル
を指定します([Device] > [ ログ設定 ] > [ システム ログ ])。転送する重大度レベルごとにサー
バー プロファイルを選択する必要があります。システム ログ メッセージとそれに対応する
重大度レベルの部分的なリストについては、
『System Log Reference』を参照してください。次の
表にシステム ログの重大度レベルを要約して示します。
重大度
説明
Critical
HA フェイルオーバーやリンク障害などのハードウェア障害。
High
外部デバイス(LDAP サーバーや RADIUS サーバーなど)との
接続の切断などの深刻な問題。
Medium
アンチウイルス パッケージのアップグレードなどの中レベルの
通知。
Low
ユーザー パスワードの変更などそれほど重要ではない通知。
Informational
ログイン / ログオフ、管理者名やパスワードの変更、設定の変
更、および重大度レベルに含まれない他のすべてのイベント。
スタート ガイド
33
ファイアウォールのモニター
管理ネットワークへのファイアウォールの統合
SNMP を使用したファイアウォールのモニター
すべての Palo Alto Networks ファイアウォールは、標準の SNMP 管理情報ベース(MIB)モジュー
ルとともに、専用のエンタープライズ MIB モジュールをサポートしています。SNMP マネージャ
は、ファイアウォールから統計情報を取得するように設定できます。たとえば、使用する SNMP
マネージャを設定して、ファイアウォールのインターフェイス、アクティブなセッション、同時
セッション、セッション利用率、温度、またはシステム稼動時間をモニターできます。
Palo Alto Networks のファイアウォールは、SNMP GET 要求のみをサポートしており、
SNMP SET 要求はサポートしていません。
SNMP モニタリングのセットアップ
ステップ 1 S N M P マ ネ ー ジ ャ で フ ァ イ ア PAN-OS MIB ファイルを SNMP 管理ソフトウェアにロード
ウォールの統計情報を解釈でき してコンパイルします。この処理の具体的な方法について
るようにします。
は、ご使用の SNMP マネージャのドキュメントを参照して
ください。
ステップ 2 モニター対象の統計情報を見つ MIB ブラウザを使用して PAN-OS MIB ファイルを開き、モニ
けます。
ター対象の統計情報に対応するオブジェクト ID(OID)を確
認します。たとえば、ファイアウォールのセッション利用率
をモニタリングするとします。この場合は、MIB ブラウザを
使用して、この統計情報が PAN-COMMON-MIB の OID
1.3.6.1.4.1.25461.2.1.2.3.1.0 に対応することを確認できます。
ステップ 3 関心対象の OID をモニタリング この処理の具体的な方法については、ご使用の SNMP マ
するように SNMP 管理ソフトウェ ネージャのドキュメントを参照してください。
アを設定します。
ステップ 4 ファイアウォールの Web イン 1.
タ ー フ ェ イ ス か ら、フ ァ イ ア
ウォールの SNMP エージェント 2.
が SNMP マネージャからの GET
要求に応答することを許可する
3.
ように設定します。
34
[Device] > [ セットアップ ] > [ 操作 ] > [SNMP のセット
アップ ] の順に選択します。
ファイアウォールの [ 場所 ] と管理上の [ 連絡先 ] の名
前または電子メール アドレスを指定します。
SNMP マネージャにファイアウォールの SNMP エー
ジェントへのアクセスを許可する [SNMP コミュニティ
名 ] を入力します。デフォルト値は「public」ですが、
ファイアウォールで設定した値が SNMP マネージャで
設定した値と一致する必要があります。これは一般的
なコミュニティ名であるため、ベスト プラクティスと
して、容易に推測できない値を使用するようお勧めし
ます。
4.
[OK] をクリックして設定を保存します。
5.
[Commit] をクリックして SNMP 設定を保存します。
スタート ガイド
管理ネットワークへのファイアウォールの統合
ファイアウォールのモニター
SNMP モニタリングのセットアップ(続き)
ステップ 5 ファイアウォールと SNMP マネー 以下に、SNMP マネージャに表示される、モニター対象の
ジャ両 方の設定が完了 したら、 PA-500 シリーズ ファイアウォールのリアルタイム セッ
SNMP 管理ソフトウェアからファ ション利用率統計情報の例を示します。
イアウォールのモニタリングを
開始できます。
スタート ガイド
35
ファイアウォールのモニター
36
管理ネットワークへのファイアウォールの統合
スタート ガイド
2 ペリメータ セキュリティの確立
この章では、ファイアウォール インターフェイスの設定、ゾーンの定義、および基本的なセキュ
リティ ポリシーのセットアップ手順について説明します。この章は、以下のセクションで構成
されています。

ペリメータ セキュリティの概要

インターフェイスおよびゾーンの設定

NAT ポリシーの設定

基本的なセキュリティ ポリシーのセットアップ
スタート ガイド
37
ペリメータ セキュリティの概要
ペリメータ セキュリティの確立
ペリメータ セキュリティの概要
ファイアウォールでトラフィックを管理および制御するには、そのファイアウォールをトラ
フィックが通過する必要があります。物理的には、インターフェイスを介してトラフィックが
ファイアウォールを出入りします。パケットがセキュリティ ポリシーと一致するかどうかに基
づいて、ファイアウォールでパケットの処理方法を決定します。最も基本的なレベルでは、セ
キュリティ ポリシーによりトラフィックの宛先および送信先を識別します。Palo Alto Networks
の次世代ファイアウォールでは、セキュリティ ポリシーがゾーン間で適用されます。ゾーンは
( 物理または仮想 ) インターフェイス グループの一種で、信頼エリアを抽象化することにより、
ポリシーの実施を簡略化します。たとえば、次のトポロジ図では、
「Trust」、
「Untrust」、
「DMZ」
という 3 つのゾーンがあります。ゾーン内ではトラフィックが自由に通過しますが、ゾーン間の
場合は、セキュリティ ポリシーでトラフィックの通過が許可されるまでは自由に通過できません。
以下のセクションでは、ペリメータ セキュリティのコンポーネントについて説明するとともに、
ファイアウォール インターフェイスの設定、ゾーンの定義、および基本的なセキュリティ ポリ
シーのセットアップを行うことにより、内部ゾーンからインターネットや DMZ へトラフィックを
通過させるための手順について説明します。始めにこのような基本ポリシーを作成することによ
り、ネットワークを通過するトラフィックを分析して、その情報を利用してより詳細なポリシー
を定義し、あらゆる脅威を回避しながらアプリケーションを安全に有効にすることができます。

ファイアウォールの導入

ネットワーク アドレス変換 (NAT) について

セキュリティ ポリシーについて
38
スタート ガイド
ペリメータ セキュリティの確立
ペリメータ セキュリティの概要
ファイアウォールの導入
Palo Alto Networks の次世代ファイアウォールでは、動的ルーティング、スイッチング、および
VPN 接続のサポートなど、柔軟なネットワーク アーキテクチャを提供し、さまざまなネットワー
ク環境でファイアウォールの導入を可能にします。ファイアウォールで Ethernet ポートを設定す
る場合、バーチャル ワイヤー、レイヤー 2、レイヤー 3 の中からインターフェイスの導入方法を
選択できます。さらに、さまざまなネットワーク セグメントに統合できるように、異なるポー
トでさまざまなインターフェイス タイプを設定できます。以下のセクションでは、導入タイプ
別の基本情報について説明します。導入情報の詳細は、Designing Networks with Palo Alto Networks
Firewalls を参照してください。
バーチャル ワイヤー導入
バーチャル ワイヤー導入の場合、ファイアウォールは、2 つのポートを結合することによって
ネットワーク セグメント上に透過的にインストールされます。バーチャル ワイヤーを使用する
ことにより、隣接するデバイスを再設定しなくても、あらゆるネットワーク環境でファイア
ウォールをインストールできます。バーチャル ワイヤーでは、必要に応じて、仮想 LAN (VLAN)
タグ値に基づいてトラフィックをブロックまたは許可することができます。また、複数のサブイン
ターフェイスを作成し、IP アドレス ( アドレス単体、範囲、またはサブネット )、VLAN、または
その両方の組み合わせに基づいてトラフィックを分類することもできます。
デフォルトでは「default-vwire」というバーチャル ワイヤーが Ethernet ポート 1 と 2 にバインド
され、タグのないトラフィックをすべて許可します。シンプルな導入や設定、周辺ネットワーク
デバイスの設定変更を避けたい場合はこの導入方法を選択してください。
バーチャル ワイヤーはデフォルトの設定であり、スイッチングまたはルーティングのいずれも
不要な場合にのみ使用する必要があります。デフォルトのバーチャル ワイヤーを使用する予定
がない場合は、定義する他のインターフェイス設定と干渉しないようにするため、その設定を手
動で削除してからインターフェイスの設定を続行する必要があります。デフォルトのバーチャル
ワイヤーとその関連セキュリティ ポリシーおよびゾーンを削除する方法の詳細は、外部サービス
へのアクセス用データ ポートのセットアップのステップ 3 を参照してください。
レイヤー 2 導入
レイヤー 2 導入の場合、ファイアウォールは複数インターフェイス間のスイッチングを行いま
す。ファイアウォールでこのスイッチングを行うには、インターフェイスの各グループが 1 つの
VLAN オブジェクトに割り当てられている必要があります。レイヤー 2 サブインターフェイスが
共通の VLAN オブジェクトに接続されていると、ファイアウォールで VLAN タグのスイッチン
グが行われます。このオプションは、スイッチングが必要な場合に選択します。
レイヤー 2 導入の詳細は、Layer 2 Networking Tech Note または Securing Inter VLAN Traffic Tech Note を参
照してください。
スタート ガイド
39
ペリメータ セキュリティの概要
ペリメータ セキュリティの確立
レイヤー 3 導入
レイヤー 3 導入の場合、ファイアウォールはポート間でトラフィックをルーティングします。トラ
フィックをルーティングするには、各インターフェイスに IP アドレスを割り当て、仮想ルーター
を定義する必要があります。このオプションは、ルーティングが必要な場合に選択します。
設定するレイヤー 3 の物理インターフェイスごとに IP アドレスを割り当てる必要があります。
また、レイヤー 3 の物理インターフェイスごとに論理サブインターフェイスを作成することによ
り、たとえばマルチテナンシーなどの場合は、VLAN タグ (VLAN トランクを使用している場合 )
に基づいて、または IP アドレス単位で、インターフェイス上のトラフィックを分離することも
可能です。
さらに、レイヤー 3 導入ではファイアウォールでのトラフィックをルーティングする必要がある
ため、仮想ルーターを設定する必要があります。スタティック ルートを追加するのと同じよう
に、動的ルーティング プロトコル (BGP、OSPF、RIP など ) に参加するように仮想ルーターを設
定できます。また、複数の仮想ルーターを作成し、各ルーターが他のルーターと共有しない独立
したルートを保持することにより、インターフェイス間で異なるルーティングの動作を設定でき
ます。
この章の設定例は、スタティック ルートを使用してファイアウォールをレイヤー 3 ネットワー
クに組み込む方法を表しています。その他のタイプのルーティングによる統合の詳細は、以下の
ドキュメントを参照してください。
• How to Configure OSPF Tech Note
• How to Configure BGP Tech Note
ネットワーク アドレス変換 (NAT) について
内部ネットワークでプライベート IP アドレスを使用する場合、プライベート アドレスを外部
ネットワークにルーティングできるパブリック アドレスに変換するために、ネットワーク アド
レス変換 (NAT) を使用する必要があります。PAN-OS では、変換が必要なパケットおよび変換方
法についてファイアウォールに指示する NAT ポリシー ルールを作成します。ファイアウォール
では、送信元アドレスとポートの変換、宛先アドレスとポートの変換のどちらにも対応します。
さまざまなタイプの NAT ルールの詳細は、Understanding and Configuring NAT Tech Note を参照してく
ださい。
定義したゾーンに応じて必要なポリシーを決定するために、ファイアウォールで NAT ポリシー
およびセキュリティ ポリシーを適用する方法について理解することが重要です。パケットの着
信時に、送信元ゾーンと宛先ゾーンに基づいて、そのパケットが定義済みの NAT ルールと一致
するかどうかをファイアウォールが検査します。次に、元の (NAT 前の ) 送信元アドレスと宛先
アドレスに基づいて、パケットと一致するセキュリティ ルールを評価および適用します。最後
に、出力時に送信元ポートまたは宛先ポートの番号に一致する NAT ルールに変換します。これ
は、ファイアウォールでパケットの宛先ゾーンを決定する基準がパケットのアドレスであり、内
部的に割り当てられたアドレスに基づくデバイスの配置ではないことを意味するため、前述のよ
うな区別が重要となります。
40
スタート ガイド
ペリメータ セキュリティの確立
ペリメータ セキュリティの概要
セキュリティ ポリシーについて
セキュリティ ポリシーにより、ネットワーク資産を脅威や障害から保護し、ネットワーク リソー
スの最適な割り当てを補助することで、ビジネス プロセスでの生産性や効率性を強化します。
Palo Alto Networks のファイアウォールでは、セキュリティ ポリシーにより、送信元および宛先
のセキュリティ ゾーン、送信元および宛先の IP アドレス、アプリケーション、ユーザー、サー
ビスなどのトラフィック属性に基づいて、セッションをブロックするか許可するかを決定しま
す。デフォルトでは、ゾーン内トラフィック (trust ゾーンから trust ゾーンなど、同じゾーン内の
トラフィック ) が許可されています。異なるゾーン間のトラフィック ( ゾーン間トラフィック )
は、セキュリティ ポリシーによりそのトラフィックが許可されない限りブロックされます。
セキュリティ ポリシーの評価は、左から右、上から下で行われます。定義済みの基準を満たす
最初のルールとパケットが一致すると、それが引き金となり、それ以降のルールは評価されませ
ん。そのため、ベストマッチする基準を適用するには、個別のルールを一般的なルールよりも優
先的に評価する必要があります。トラフィックがルールと一致すると、そのルールでログが有効
になっていれば、セッションの最後にログのエントリがトラフィック ログに記録されます。ロ
グのオプションはルールごとに設定可能で、セッションの最後ではなく最初にログを記録するよう
に設定したり、セッションの最初と最後の両方でログを記録するように設定することも可能です。
セキュリティ ポリシーのコンポーネント
セキュリティ ポリシーを作成することにより、以下に挙げるような必須コンポーネントとオプ
ション コンポーネントの組み合わせが可能になります。
フィールド
必 須 フ ィ ー 名前
ルド
送信元ゾーン
スタート ガイド
説明
31 文字まで対応可能なラベルで、ルールの識別に使用します。
トラフィックの送信元となるゾーン。
宛先ゾーン
トラフィックの宛先となるゾーン。NAT を使用している場合、
常に NAT 後のゾーンを参照するようにしてください。
アプリケーション
制御するアプリケーション。ファイアウォールでは、トラ
フィックの分類テクノロジーである App-ID を使用して、ネッ
トワーク上のトラフィックを識別します。App-ID により、作
成されたセキュリティ ポリシーの中でアプリケーションを制
御および可視化し、不明なアプリケーションをブロックすると
同時に、許可されるアプリケーションを有効化、検査、および
形成できます。
アクション
ルールで定義する基準に基づいて、トラフィックのアクション
を [ 許可 ] または [ 拒否 ] に指定します。
41
ペリメータ セキュリティの概要
フィールド
ペリメータ セキュリティの確立
説明(続き)
オ プ シ ョ ン タグ
フィールド
セキュリティ ルールをフィルタリングできるようにするため
の、キーワードまたはフレーズ。多数のルールを定義してい
て、Inbound to DMZ など、特定のキーワードによりタグ付けさ
れているルールをレビューする場合には、これらのタグが便利
です。
説明
255 文字まで対応可能なテキスト フィールドで、ルールの説明
に使用します。
送信元 IP アドレス
ホスト IP または FQDN、サブネット、名前付きグループ、ま
たは国ベースの適用を定義します。NAT を使用している場合、
常にパケットの元の IP アドレス (NAT 前の IP アドレスなど )
を参照するようにしてください。
宛先 IP アドレス
トラフィックの場所または宛先。NAT を使用している場合、常
にパケットの元の IP アドレス (NAT 前の IP アドレスなど ) を
参照するようにしてください。
ユーザー
ポリシーの適用対象となるユーザーまたはユーザー グループ。
ゾーンで User-ID を有効にする必要があります。User-ID を有
効にする方法の詳細は、101 ページの「ユーザー ID の設定」を
参照してください。
URL カテゴリ
URL カテゴリを一致基準として使用すると、例外ベースのルー
ルによる詳細なポリシーを適用できます。コンテンツへのアク
セスを大まかに許可または拒否するのではなく、例外を使用し
て HTTP や HTTPS トラフィックへのアクセスを制御または制
限できます。また、URL カテゴリ ベースでセキュリティ プロ
ファイルとログへのアクセスを関連付けることもできます。た
とえば、危険度の高いことを示す URL カテゴリの .exe ファイ
ルをダウンロード / アップロードできないようにし、それ以外
のカテゴリのファイルを許可することが可能です。あるいは、
SSL の復号化ポリシーを適用することにより、金融やショッピン
グなどのカテゴリについては暗号化アクセスを許可し、それ以
外のカテゴリについてはトラフィックを復号化して検査する
ことも可能です。
注意
42
URL カテゴリはデバイスで手動設定できますが、
PAN-DB または BrightCloud で提供されるカテゴリの動
的更新を利用するには、URL フィルタリング ライセン
スを購入する必要があります。
スタート ガイド
ペリメータ セキュリティの確立
ペリメータ セキュリティの概要
フィールド
説明(続き)
サービス
レイヤー 4 (TCP または UDP) のポートをアプリケーション用
に 選 択 す る こ と も で き ま す。 any、ポ ー ト の 指 定、ま た は
application - default を選択して、アプリケーションの標準ベー
スのポートの使用を許可できます。たとえば DNS など、既知
のポート番号を持つアプリケーションの場合、 application default オプションを選択すると、TCP ポート 53 でのみ DNS ト
ラフィックと一致します。カスタム アプリケーションを追加
して、そのアプリケーションで使用可能なポートを定義するこ
ともできます。
注意
セキュリティ プロ
ファイル
インバウンド ルール (Untrust ゾーンから Trust ゾーン
など ) の場合サービスは、常に application default ポートを
使用するように定義するか、ポートを手動で指定しま
す。サービスで any のポートの使用を許可しないよう
にします。
脅威、脆弱性、データの漏洩などから、さらにシステムを保護し
ます。セキュリティ プロファイルは、許可のアクションを含む
ルールに対してのみ評価されます。詳細については、69 ページ
の「セキュリティ ポリシーについて」を参照してください。
HIP プロファイル
ホスト インフォーメーション プロファイル (HIP) を持つクラ
(GlobalProtect の場合 ) イアントを識別してから、アクセス権を適用できます。
オプション
スタート ガイド
セッションのログの定義、ログの転送設定、ルールに一致する
パケットの Quality of Service (QoS) マーキングの変更、およびセ
キュリティ ルールを有効にするタイミング ( 日時 ) のスケ
ジュールなどの設定が可能です。
43
ペリメータ セキュリティの概要
ペリメータ セキュリティの確立
ポリシーのベスト プラクティス
安全なインターネット アクセスを可能にし、Web アクセス権の誤使用、脆弱性や攻撃への曝露
を回避するタスクは、継続的なプロセスです。Palo Alto Networks のファイアウォールでポリシー
を定義する場合の主原則は、ポジティブ エンフォースメント アプローチを用いることです。ポ
ジティブ エンフォースメントとは、日常業務に必要なものを選択的に許可することで、これに
対してネガティブ エンフォースメント アプローチの場合、許可されないものをすべて選択的に
ブロックすることです。ポリシーを作成する場合、以下の事項を考慮します。
• セキュリティ要件が同じゾーンに複数ある場合、それらを 1 つのセキュリティ ルールにまと
めます。
• ベストマッチする基準を確保するには、ルールの順序が重要です。ポリシーはトップダウン
方式で評価されるため、個別のルールを一般的なルールよりも優先する必要があります。つ
まり、個別のルールをシャドウしないことです。「シャドウ」という用語は、ポリシー リス
トの下位に配置されているために評価されない、または省略されるルールのことです。ルー
ルが下位に配置されていると、先行する別のルールが一致基準を満たすことにより、下位の
ルールはポリシーの評価からシャドウされます。
• インバウンド アプリケーションへのアクセスを制御および制限するには、サービス / アプリ
ケーションがリッスンするポートをセキュリティ ポリシーで明示的に定義します。
• DNS のような既知のサービスへのアクセスなど、広範な許可ルールをログに記録すると、た
くさんのトラフィックが発生します。そのため、絶対的に必要な場合を除き、この方法は推
奨されません。
• デフォルトでは、セッションの最後にファイアウォールでログのエントリが作成されます。
ただし、このデフォルトの動作を変更して、セッションの最初にファイアウォールでログを
記録するように設定することもできます。セッション開始時にログを記録するように設定す
ると、ログの量が大幅に増えるため、問題のトラブルシューティングを行う場合にのみ推奨
されます。セッション開始時のログを有効にしなくても、トラブルシューティングを行える
別の方法として、セッション ブラウザ ([Monitor] > [ セッション ブラウザ ]) を使用してリアル
タイムでセッションを表示する方法があります。
44
スタート ガイド
ペリメータ セキュリティの確立
ペリメータ セキュリティの概要
ポリシー オブジェクトについて
ポリシー オブジェクトは、単一のオブジェクトまたは集合単位で、IP アドレス、URL、アプリ
ケーション、ユーザーなどの個別の ID をグループ化するものです。ポリシー オブジェクトが集
合単位の場合、複数のオブジェクトを手動で 1 つずつ選択しなくても、セキュリティ ポリシー
でそのオブジェクトを参照できます。一般的にポリシー オブジェクトを作成する場合、ポリシー
で同様のアクセス権限を必要とするオブジェクトをグループ化します。たとえば、組織が一連の
サーバーの IP アドレスを使用してユーザーを認証する場合、それらのサーバーの IP アドレスを
アドレス グループのポリシー オブジェクトとしてグループ化し、そのアドレス グループをセ
キュリティ ポリシーで参照します。オブジェクトをグループ化することにより、ポリシー作成
時の管理者の負担が大幅に軽減されます。
以下のポリシー オブジェクトをファイアウォールで作成できます。
ポリシー オブジェクト 説明
アドレス / アドレス
グループ、地域
同じポリシーを実施する必要のある特定の送信元アドレスまたは宛
先アドレスをグループ化できます。アドレス オブジェクトには、IPv4
または IPv6 のアドレス ( 単一 IP、範囲、サブネット ) または FQDN
を含めることができます。または、緯度と経度の座標で地域を定義
したり、国を選択して IP アドレスまたは IP の範囲を定義したりで
きます。こうすることで、アドレス オブジェクトのコレクションを
グループ化し、アドレス グループ オブジェクトを作成できます。
また、ダイナミック アドレス オブジェクトの使用も可能です。このオ
ブジェクトは、XML API スクリプトを使用して、ホスト IP アドレ
スが頻繁に変わる環境で動的に IP アドレスを更新します。ダイナ
ミック アドレス オブジェクトの詳細は、
Dynamic Address Objects Tech
Note を参照してください。
ユーザー / ユーザー
グループ
ローカル データベースまたは外部データベースからユーザーのリストを
作成し、それらをグループ化できます。ユーザー グループ作成の詳細は、
『 Palo Alto Networks 管理者ガイド』の第 3 章を参照してください。
アプリケーション グ アプリケーション フィルタにより、アプリケーションを動的にフィルタ
ループおよびアプリ リングでき、ファイアウォールのアプリケーション データベースで定義し
ケーション フィルタ た属性を使用して、一連のアプリケーションをフィルタリングおよび保存
できます。たとえば、カテゴリ、サブカテゴリ、テクノロジー、リスク、
特性など、1 つ以上の属性によるフィルタリングが可能で、独自のアプリ
ケーション フィルタを保存できます。
アプリケーション フィルタがあれば、
PAN-OS コンテンツの更新が発生した場合に、フィルタ基準を満たす新規
アプリケーションが自動的に保存されているアプリケーション フィルタ
に追加されます。
アプリケーション グループにより、あるユーザー グループまたは特定の
サービスに対してグループ化したい特定のアプリケーションの静的グルー
プを作成できます。
スタート ガイド
45
ペリメータ セキュリティの概要
ペリメータ セキュリティの確立
ポリシー オブジェクト 説明
サービス / サービス
グループ
送信元ポートと宛先ポート、およびサービスで使用できるプロトコルを指定
できます。ファイアウォールには、service-http と service-https という 2 つの事
前定義サービスが含まれています。これらのサービスでは、TCP ポート 80
および 8080 を HTTP に、TCP ポート 443 を HTTPS に使用します。ただし、
カスタム サービスを任意の TCP/UDP ポートで自由に作成して、アプリケー
ションの使用をネットワーク上の特定のポートに制限できます ( つまり、ア
プリケーションのデフォルト ポートを定義できます )。
注意
ア プ リ ケ ー シ ョ ン で 使 用 す る 標 準 ポ ー ト を 表 示 す る に は、
[Objects] > [ アプリケーション ] の順に選択してアプリケーション
を検索し、リンクをクリックします。簡単な説明が表示されます。
アドレスおよびアプリケーション ポリシー オブジェクトのいくつかの例が、57 ページの「セキュ
リティ ルールの作成」のセキュリティ ポリシーに示されています。その他のポリシー オブジェク
トについては、65 ページの「脅威からのネットワークの防御」 を参照してください。また、詳細は
『 Palo Alto Networks 管理者ガイド』の第 5 章を参照してください。
セキュリティ ポリシーについて
セキュリティ ポリシーにより、ネットワーク上のトラフィックを許可または拒否できますが、許
可するがスキャンを実施するルールを定義する場合は、セキュリティ プロファイルが役に立ち
ます。この場合、許可されたアプリケーションに対する脅威がスキャンされます。トラフィック
がセキュリティ ポリシーで定義した許可ルールと一致する場合、そのルールに関連付けられた
セキュリティ プロファイルが、アンチウィルス チェックやデータ フィルタリングなどのコンテン
ツ検査ルールにさらに適用されます。
セキュリティ プロファイルは、トラフィック フローの一致基準には使用されま
せん。セキュリティ プロファイルは、セキュリティ ポリシーでアプリケーション
またはカテゴリが許可された後に適用され、トラフィックをスキャンします。
アンチウィルス、アンチスパイウェア、脆弱性防御、URL フィルタリング、ファイル ブロッ
キング、データ フィルタリングなど、さまざまなタイプのセキュリティ プロファイルをセキュ
リティ ポリシーに関連付けることができます。ファイアウォールでは、デフォルトのセキュリ
ティ プロファイルをそのまま使用して、すぐにネットワークを脅威から保護できます。デフォ
ルトのプロファイルをセキュリティ ポリシーで使用する方法の詳細は、57 ページの「セキュリティ
ルールの作成」 を参照してください。ネットワークに必要なセキュリティについて理解を深める
と、カスタム プロファイルを作成できます。詳細は 78 ページの「セキュリティ プロファイルとセ
キュリティ ポリシーのセットアップ」 を参照してください。
46
スタート ガイド
ペリメータ セキュリティの確立
インターフェイスおよびゾーンの設定
インターフェイスおよびゾーンの設定
以下のセクションでは、インターフェイスおよびゾーンの設定について説明します。

導入計画

インターフェイスとゾーンの設定
導入計画
インターフェイスおよびゾーンの設定を開始する前に、組織内でのさまざまな使用条件に基づ
き、必要なゾーンについて綿密に計画する必要があります。さらに、必要な設定情報をすべて事
前に収集する必要があります。基本レベルでは、どのインターフェイスがどのゾーンに属するか
について計画します。レイヤー 3 導入の場合、仮想ルーターの設定に必要なルーティング プロ
トコルまたは静的ルートの設定方法など、必要な IP アドレスおよびネットワーク設定情報も、ネッ
トワーク管理者から入手する必要があります。本章の例は、以下のトポロジに基づいています。
以下の表に、サンプル トポロジに示すレイヤー 3 インターフェイスとそれに対応するゾーンの
設定に使用する情報を示します。
ゾーン
導入タイプ
インターフェイス
設定
Untrust
L3
Ethernet1/3
IP アドレス : 208.80.56.100/24
仮想ルーター : VR1
デフォルト ルート : 0.0.0.0/0
ネクスト ホップ : 208.80.56.1/24
Trust
L3
Ethernet1/4
IP アドレス : 192.168.1.4/24
仮想ルーター : VR1
DMZ
L3
Ethernet1/13
IP アドレス : 10.1.1.1/24
仮想ルーター : VR1
スタート ガイド
47
インターフェイスおよびゾーンの設定
ペリメータ セキュリティの確立
インターフェイスとゾーンの設定
ゾーンとそれに対応するインターフェイスを計画後、デバイスでそれらを設定できます。それぞ
れのインターフェイスの設定方法は、ネットワーク トポロジにより異なります。
以下の手順は、前述のサンプル トポロジに示したレイヤー 3 導入の設定方法を示しています。
レイヤー 2 またはバーチャル ワイヤー導入の設定に関する詳細は、
『 Palo Alto Networks 管理者ガ
イド』の第 4 章を参照してください。
ファイアウォールは、Ethernet 1/1 ポートと Ethernet 1/2 (および対応するデフォル
トのセキュリティ ポリシーと仮想ルーター)の間のデフォルトのバーチャル ワイ
ヤー インターフェイスが事前設定されて出荷されます。このデフォルトのバーチャ
ル ワイヤーを使用する予定がない場合は、定義する他の設定と干渉しないようにす
るため、手動でこの設定を削除してから設定を続行する必要があります。デフォル
トのバーチャル ワイヤーとその関連セキュリティ ポリシーおよびゾーンを削除す
る方法の詳細は、外部サービスへのアクセス用データ ポートのセットアップのス
テップ 3 を参照してください。
48
スタート ガイド
ペリメータ セキュリティの確立
インターフェイスおよびゾーンの設定
インターフェイスおよびゾーンの設定
ステップ 1 外部インターフェイス (インター 1.
ネットに接続するインターフェ
イス ) を設定します。
2.
設定するインターフェイスを選択します。この例では、
Ethernet1/3 を外部インターフェイスとして設定します。
[ インターフェイス タイプ ] を選択します。ここで選択
するタイプはご使用のネットワーク トポロジに応じて
異なりますが、この例では、[ レイヤー 3] の場合の手
順を示します。
3.
[ 設定 ] タブで、[ セキュリティ ゾーン ] ドロップダウン
を展開して [ 新規ゾーン ] を選択します。[ ゾーン ] ダ
イアログの [ 名前 ] で「Untrust」などの名前をつけて新
しいゾーンを定義し、[OK] をクリックします。
4.
インターネット ルータへの静的ルートを設定します。
a [ 仮想ルーター ] ドロップダウン リストから [ 新規仮
想ルーター ] を選択し、[ 名前 ] フィールドに「VR1」
などの仮想ルーター名を入力します。
b [ スタティック ルート ] タブを選択して [ 追加 ] をク
リックします。[ 名前 ] フィールドにルート名を入力
し、[ 宛先 ] フィールドにルートの宛先 ( 例 : 0.0.0.0/0)
を入力します。
c [ ネクスト ホップ ] で [IP アドレス ] ラジオ ボタンを
クリックし、インターネット ゲートウェイの IP アド
レスとネットマスク ( 例 : 208.80.56.1/24) を入力します。
d [OK] を 2 度クリックすると、仮想ルーターの設定が
保存されます。
スタート ガイド
5.
IP アドレスをインターフェイスに割り当てるには、
[IPv4]
タブを選択してから IP セクションで [ 追加 ] をクリック
し、インターフェイスに割り当てる IP アドレスとネット
マスク ( 例 : 208.80.56.100/24) を入力します。
6.
インターフェイスの ping を有効にするには、[ 詳細 ] >
[ その他の情報 ] の順にクリックし、[ 管理プロファイ
ル ] ドロップダウン リストから [ 新規管理プロファイ
ル ] を選択します。[ 名前 ] フィールドにプロファイル
名を入力し、[Ping] を選択してから [OK] をクリックし
ます。
7.
インターフェイス設定を保存するには、[OK] をクリッ
クします。
49
インターフェイスおよびゾーンの設定
ペリメータ セキュリティの確立
インターフェイスおよびゾーンの設定 (続き)
ステップ 2 内部ネットワークに接続するイン 1.
ターフェイスを設定します。
注意
この例のインターフェイスは、プ
ライベート IP アドレスを使用す 2.
るネットワーク セグメントに接
続します。プライベート IP アド 3.
レスは外部にルーティングでき
ないため、NAT を設定する必要
があります。51 ページの「NAT
ポリシーの設定」を参照してくだ 4.
さい。
[Network] > [ インターフェイス ] の順に選択し、設定
す る イ ン タ ー フ ェ イ ス を 選 択 し ま す。こ の 例 で は、
Ethernet1/4 を内部インターフェイスとして設定します。
[ インターフェイス タイプ ] ドロップダウン リストか
ら [Layer3] を選択します。
[ 設定 ] タブで、
[ セキュリティ ゾーン ] ドロップダウン
を展開して [ 新規ゾーン ] を選択します。[ ゾーン ] ダ
イアログの [ 名前 ] で「Trust」などの名前をつけて新し
いゾーンを定義し、[OK] をクリックします。
ステップ 1 で作成した仮想ルーター ( この例では VR1)
を選択します。
5.
IP アドレスをインターフェイスに割り当てるには、
[IPv4]
タブを選択してから IP セクションで [ 追加 ] をクリック
し、インターフェイスに割り当てる IP アドレスとネット
マスク ( 例 : 192.168.1.4/24) を入力します。
6.
インターフェイスの ping を有効にするには、ステッ
プ 1-6 で作成した管理プロファイルを選択します。
7.
インターフェイス設定を保存するには、[OK] をクリッ
クします。
ステップ 3 DMZ に接続するインターフェイ 1.
スを設定します。
2.
設定するインターフェイスを選択します。
[ インターフェイス タイプ ] ドロップダウン リストから
[Layer3] を選択します。この例では、Ethernet1/13 を
DMZ インターフェイスとして設定します。
3.
[ 設定 ] タブで、
[ セキュリティ ゾーン ] ドロップダウン
を展開して [ 新規ゾーン ] を選択します。[ ゾーン ] ダ
イアログの [ 名前 ] で「DMZ」などの名前をつけて新
しいゾーンを定義し、[OK] をクリックします。
4.
ステップ 1 で作成した仮想ルーター ( この例では VR1)
を選択します。
5.
IP アドレスをインターフェイスに割り当てるには、
[IPv4]
タブを選択してから IP セクションで [ 追加 ] をクリック
し、インターフェイスに割り当てる IP アドレスとネット
マスク ( 例 : 10.1.1.1/24) を入力します。
6.
インターフェイスの ping を有効にするには、ステッ
プ 1-6 で作成した管理プロファイルを選択します。
7.
インターフェイス設定を保存するには、[OK] をクリッ
クします。
ステップ 4 インターフェイスの設定を保存 [Commit] をクリックします。
します。
ステップ 5 ファイアウォールを配線します。 ストレート ケーブルを使用して、設定したインターフェイ
スから対応するスイッチまたはルーターにネットワーク セ
グメントごとに接続します。
50
スタート ガイド
ペリメータ セキュリティの確立
NAT ポリシーの設定
インターフェイスおよびゾーンの設定 (続き)
ステップ 6 インターフェイスがアクティブ Web インターフェイスの場合、[Network] > [ インターフェ
であることを確認します。
イス ] の順に選択し、[ リンク状態 ] 列のアイコンが緑になっ
ていることを確認します。また、[Dashboard] の [ インター
フェイス ] ウィジェットからリンク状態をモニタリングす
ることもできます。
NAT ポリシーの設定
インターフェイスおよびゾーンの作成に使用したサンプル トポロジを元に、次の 3 つの NAT ポ
リシーを作成する必要があります。

内部ネットワークのクライアントからインターネット上のリソースにアクセスできるよう
にするには、内部アドレス 192.168.1.0 をルーティング可能なパブリック アドレスに変換する
必要があります。この場合、出力インターフェイス アドレス 208.80.56.100 を使用して、内部
ゾーンからファイアウォールを通過するすべてのパケットの送信元アドレスとして、送信元
NAT を設定します。方法については、52 ページの「内部クライアントの IP アドレスからパブリッ
ク IP アドレスへの変換」 を参照してください。
スタート ガイド
51
NAT ポリシーの設定
ペリメータ セキュリティの確立

内部ネットワークのクライアントから DMZ ゾーンのパブリック Web サーバーにアクセスで
きるようにするには、外部ネットワークからのパケットをリダイレクトする NAT ルールを
設定する必要があります。この場合、元のルーティング テーブルを検索することにより、パ
ケット内の宛先アドレス 208.80.56.11 に基づき、DMZ ネットワーク上の Web サーバーが持つ
実際のアドレス 10.1.1.11 に移動する必要があると判断します。このような変換を行うには、
宛先アドレスを DMZ ゾーンのアドレスに変換するための、Trust ゾーン ( パケットの送信元
アドレスが存在する場所 ) から Untrust ゾーン ( 元の宛先アドレスが存在する場所 ) への NAT
ルールを作成する必要があります。このタイプの宛先 NAT を「U ターン NAT」といいます。
方法については、54 ページの「内部ネットワークのクライアントからパブリック サーバーへのアク
セスを有効にする」 を参照してください。

DMZ ネットワークのプライベート IP アドレスと、外部ユーザーがアクセスするパブリック
フェイシング アドレスの両方を持つ Web サーバーで、要求を送受信できるようにするには、
ファイアウォールでパブリック IP アドレスからプライベート IP アドレスに着信するパケッ
トを、プライベート IP アドレスからパブリック IP アドレスに発信するパケットに変換する
必要があります。ファイアウォールで双方向の静的な送信元 NAT のポリシーを 1 つ作成す
れば、このような変換を実現できます。55 ページの「パブリックフェイシング サーバーの双方向
アドレス変換を有効にする」 を参照してください。
内部クライアントの IP アドレスからパブリック IP アドレスへの変換
内部ネットワークのクライアントから要求を送信する場合、パケットの送信元アドレスにその内
部ネットワーク クライアントの IP アドレスが含まれます。プライベート IP アドレスの範囲を
内部で使用している場合、ネットワークから発信されるパケットの送信元 IP アドレスをルー
ティング可能なパブリック アドレスに変換しない限り、クライアントのパケットをインター
ネットにルーティングできません。送信元アドレスと送信元ポート ( 任意 ) とをパブリック アド
レスに変換する送信元 NAT のポリシーをファイアウォールで設定すれば、このような変換を実
現できます。その方法の 1 つとして、以下の手順に示すように、すべてのパケットの送信元アド
レスをファイアウォールの出力インターフェイスに変換する方法があります。
52
スタート ガイド
NAT ポリシーの設定
ペリメータ セキュリティの確立
送信元 NAT の設定
ステップ 1 使用する外部 IP アドレスのオブ 1.
ジェクトを作成します。
Web インターフェイスから、[Objects] > [ アドレス ] の
順に選択し、[ 追加 ] をクリックします。
2.
[ 名前 ] フィールドに名前を入力し、必要に応じて [ 内
容 ] フィールドにオブジェクトの説明を入力します。
3.
[ タイプ ] ドロップダウン リストから [IP ネットマスク ]
を選択し、ファイアウォールの外部インターフェイスの
IP アドレスとネットマスク ( この例では 208.80.56.100/24)
を入力します。
4.
アドレス オブジェクトを保存するには、[OK] をクリッ
クします。
注意
ポリシーでアドレス オブジェクトを使用する必要
がない場合でも、アドレス オブジェクトを作成し
ておけば、アドレスの参照基準となるポリシーを個
別ではなく一括で更新できるなど、管理者の負担が
軽減されるため、作成しておくのがベスト プラク
ティスです。
ステップ 2 NAT ポリシーを作成します。
1. [Policies] > [NAT] の順に選択し
て [ 追加 ] をクリックします。
2. [ 名前 ] フィールドに分かりやす
いポリシー名を入力します。
3. [ 元のパケット ] タブで、[ 送信
元ゾーン] セクションで内部ネッ
トワーク用に作成したゾーンを、
[ 宛先ゾーン ] ドロップダウン リ
ストで外部ネットワーク用に作
成したゾーンを、それぞれ選択し
ます ([ 追加 ] をクリックしてゾーンを選択します )。
4. [ 変換済みパケット ] タブの [ 送信元アドレスの変換 ] セクションで、[ 変換タイプ ] ドロッ
プダウン リストから [ ダイナミック IP およびポート ] を選択し、[ 追加 ] をクリックしま
す。ステップ 1 で作成したアドレス オブジェクトを選択します。
5. [OK] をクリックして NAT ポリ
シーを保存します。
ステップ 3 設定を保存します。
スタート ガイド
[Commit] をクリックします。
53
NAT ポリシーの設定
ペリメータ セキュリティの確立
内部ネットワークのクライアントからパブリック サーバーへのアクセスを
有効にする
内部ネットワークのユーザーが、DMZ にある企業 Web サーバーへのアクセス要求を送信する場合、
DNS サーバーがパブリック IP アドレスを解決します。要求を処理する際に、ファイアウォールで
はパケットの元の宛先 ( パブリック IP アドレス ) を使用して、Untrust ゾーンの出力インターフェイ
スにパケットをルーティングします。Trust ゾーンのユーザーから要求を受信したときに、ファイア
ウォールで Web サーバーのパブリック IP アドレスを DMZ ネットワークのアドレスに変換する必要
があると判断するには、次のように、ファイアウォールから DMZ ゾーンの出力インターフェイス
に要求を送信できるようにするための、宛先 NAT のルールを作成する必要があります。
U ターン NAT の設定
ステップ 1 Web サーバーのアドレス オブ 1.
ジェクトを作成します。
Web インターフェイスから、[Objects] > [ アドレス ] の
順に選択し、[ 追加 ] をクリックします。
2.
[ 名前 ] フィールドに名前を入力し、必要に応じて [ 内
容 ] フィールドにオブジェクトの説明を入力します。
3.
[ タイプ ] ドロップダウン リストから [IP ネットマスク ]
を選択し、Web サーバーのパブリック IP アドレスとネッ
トマスク ( この例では 208.80.56.11/24) を入力します。
4.
アドレス オブジェクトを保存するには、[OK] をクリッ
クします。
ステップ 2 NAT ポリシーを作成します。
1. [Policies] > [NAT] の順に選択して
[ 追加 ] をクリックします。
2. [名前] フィールドに分かりやすい
NAT ルール名を入力します。
3. [ 元のパケット ] タブで、[ 送信元
ゾーン ] セクションで内部ネット
ワーク用に作成したゾーンを、[ 宛
先ゾーン ] ドロップダウン リスト
で外部ネットワーク用に作成した
ゾ ー ン を 、そ れ ぞ れ 選 択 し ま す
([ 追加 ] をクリックしてゾーンを
選択します )。
4. [ 宛先アドレス ] セクションで [ 追加 ] をクリックし、パブリック Web サーバー用に作成し
たアドレス オブジェクトを選択します。
5. [ 変換済みパケット ] タブで [ 宛
先アドレスの変換 ] チェックボッ
クスをオンにしてから、DMZ ネッ
トワーク上の Web サーバー イン
ターフェイスに割り当てられた
IP アドレス ( この例では 10.1.1.11)
を入力します。
6. [OK] をクリックして NAT ポリシーを保存します。
ステップ 3 設定を保存します。
54
[Commit] をクリックします。
スタート ガイド
NAT ポリシーの設定
ペリメータ セキュリティの確立
パブリックフェイシング サーバーの双方向アドレス変換を有効にする
パブリックフェイシング サーバーで、そのサーバーが実際に存在するネットワーク セグメント
のプライベート IP アドレスが割り当てられている場合、出力時にサーバーの送信元アドレスを
外部アドレスに変換する送信元 NAT のルールが必要となります。そのためには、内部の送信元
アドレス 10.1.1.11 を外部 Web サーバーのアドレス ( この例では 208.80.56.11) に変換するように、
ファイアウォールに指示する静的 NAT ルールを作成する必要があります。ただし、パブリック
フェイシング サーバーの場合は、パケットの送受信が可能でなければなりません。この場合、イン
ターネット ユーザーからの着信パケットの宛先 IP アドレスとなるパブリック アドレスをプラ
イベート アドレスに変換し、ファイアウォールから DMZ ネットワークへパケットを正しくルー
ティングできるようにするための、相互ポリシーが必要となります。そのためには、以下の手順
に示すとおり、ファイアウォールで双方向の静的 NAT ポリシーを作成する必要があります。
双方向 NAT の設定
ステップ 1 Web サーバーの内部 IP アドレス 1.
のオブジェクトを作成します。
2.
Web インターフェイスから、[Objects] > [ アドレス ] の
順に選択し、[ 追加 ] をクリックします。
[ 名前 ] フィールドに名前を入力し、必要に応じて [ 内
容 ] フィールドにオブジェクトの説明を入力します。
3.
[ タイプ ] ドロップダウン リストから [IP ネットマスク ]
を選択し、DMZ ネットワーク上の Web サーバーの IP
アドレスとネットマスク ( この例では 10.1.1.11/24) を入
力します。
4.
アドレス オブジェクトを保存するには、[OK] をクリッ
クします。
注意
スタート ガイド
Web サーバーのパブリック アドレスに対するアド
レス オブジェクトを作成していない場合は、その
オブジェクトも今すぐ作成する必要があります。
55
NAT ポリシーの設定
ペリメータ セキュリティの確立
双方向 NAT の設定 (続き)
ステップ 2 NAT ポリシーを作成します。
1. [Policies] > [NAT] の順に選択して
[ 追加 ] をクリックします。
2. [名前] フィールドに分かりやすい
NAT ルール名を入力します。
3. [ 元のパケット ] タブで、[ 送信元
ゾーン] セクションで DMZ 用に作
成したゾーンを、[ 宛先ゾーン ] ド
ロップダウン リストで外部ネット
ワーク用に作成したゾーンを、そ
れぞれ選択します ([ 追加 ] をク
リックしてゾーンを選択します )。
4. [ 送信元アドレス ] セクションで [ 追加 ] をクリックし、内部 Web サーバーのアドレス用に
作成したアドレス オブジェクトを選択します。
5. [ 変換済みパケット ] タブの [ 送
信元アドレスの変換 ] セクション
で、[ 変換タイプ ] ドロップダウン
リストから [ スタティック IP] を選
択し、[ 変換後アドレス ] ドロップ
ダウン リストから、外部 Web サー
バーのアドレス用に作成したアド
レス オブジェクトを選択します。
6. [ 双方向 ] フィールドで [ はい ] を選択します。
7. [OK] をクリックして NAT ポリシーを保存します。
ステップ 3 設定を保存します。
56
[Commit] をクリックします。
スタート ガイド
ペリメータ セキュリティの確立
基本的なセキュリティ ポリシーのセットアップ
基本的なセキュリティ ポリシーのセットアップ
ポリシーにより、ルールを適用してアクションを実行できます。セキュリティ、NAT、Quality of
Service (QoS)、ポリシー ベース フォワーディング (PBF)、復号、アプリケーション オーバーライ
ド、キャプティブ ポータル、サービス拒否 (DoS)、ゾーン プロテクションなど、さまざまなタ
イプのポリシー ルールをファイアウォールで作成できます。これらのさまざまなポリシーが連
携することにより、許可、拒否、優先度の設定、転送、暗号化、復号、例外の作成、アクセスの
認証、接続のリセットなど、必要に応じてネットワークを保護できます。ここでは、基本的なセ
キュリティ ポリシーと、デフォルトのセキュリティ プロファイルについて説明します。

セキュリティ ルールの作成

セキュリティ ポリシーのテスト

ネットワーク上のトラフィックのモニタリング
まずはセキュリティ ポリシーのみについて説明します。他のタイプのポリシー
に関する詳細は、65 ページの「脅威からのネットワークの防御」 または Palo Alto
Networks 管理者ガイドの第 5 章を参照してください。
セキュリティ ルールの作成
セキュリティ ポリシーによりセキュリティ ゾーンを参照することで、ネットワーク上のトラ
フィックを許可、制限、および追跡できるようになります。ゾーンごとに信頼度が異なるため、
暗黙のルールにより 2 つの異なるゾーン間を通過するトラフィックは拒否され、ゾーン内のトラ
フィックは許可されます。2 つの異なるゾーン間を通過するトラフィックを許可するには、この
ようなトラフィックに対するセキュリティ ルールを作成する必要があります。
企業のペリメータ セキュリティを確保するための基本的なフレームワークを設定する場合、制
約の少ない、異なるゾーン間のトラフィックを許可するシンプルなセキュリティ ポリシーから
作成すると良いでしょう。後述するように、目標はあくまでもネットワーク ユーザーがアクセ
スする必要のあるアプリケーションが中断してしまうリスクを最小限に抑えながら、ネットワー
ク上のアプリケーションや潜在的な脅威に可視性を与えることです。
ポリシーを定義する場合、すべての送信元ゾーンからすべての宛先ゾーンへのト
ラフィックをすべて拒否するようなポリシーを作成すると、暗黙のうちに許可さ
れているゾーン内トラフィックが中断してしまうため、そのようなポリシーは作
成しないでください。ゾーン内トラフィックの場合、送信元ゾーンと宛先ゾーン
が同じで、信頼度も同じレベルで共有されているため、デフォルトで許可されて
います。
スタート ガイド
57
基本的なセキュリティ ポリシーのセットアップ
ペリメータ セキュリティの確立
基本的なセキュリティ ルールの定義
ステップ 1 企 業 ネ ッ ト ワ ー ク の す べ て の 日常業務に必要なアプリケーションを安全に実行できるよ
ユーザーに対して、インターネッ うにするために、インターネットへのアクセスを許可する
シンプルなルールを作成します。基本的な脅威から保護す
ト アクセスを許可します。
るために、ファイアウォールで使用できるデフォルトのセ
キュリティ プロファイルを関連付けます。
ゾーン : Trust から Untrust
注意
デフォルトでは、
「rule1」という 1.
名前のセキュリティ ルールがファ
イアウォールに含まれています。 2.
このルールでは、Trust ゾーンか 3.
ら Untrust ゾーンへのトラフィッ
4.
クがすべて許可されています。
このルールを削除する、または 5.
ゾーンの命名規則を反映するよ
うにルールを変更することもで 6.
きます。
[Policies] > [ セキュリティ] の順に選択して [ 追加 ] を
クリックします。
[全般] タブで、
ルールの分かりやすい名前を入力します。
[ 送信元 ] タブで [ 送信元ゾーン ] を [Trust] に設定します。
[ 宛先 ] タブで [ 宛先ゾーン ] を [Untrust] に設定します。
[ サービス /URL カテゴリ ] タブで、service-http と
service-https を選択します。
[ アクション ] タブで以下の手順を実行します。
a [ アクション設定 ] を [ 許可 ] に設定します。
b [ プロファイル設定 ] 以下で、[ アンチウイルス ]、
[ アンチスパイウェア ]、[ 脆弱性防御 ]、[URL フィル
タリング ] のデフォルト プロファイルを関連付け
ます。
7.
58
[ オプション ] 以下でセッション終了時のログが有効で
あることを確認します。セキュリティ ルールと一致す
るトラフィックのみがログに記録されます。
スタート ガイド
ペリメータ セキュリティの確立
基本的なセキュリティ ポリシーのセットアップ
基本的なセキュリティ ルールの定義(続き)
ステップ 2 内部ネットワークのユーザーが 1.
DMZ のサーバーにアクセスでき
るようにします。
2.
ゾーン : Trust から DMZ
注意
3.
4.
DMZ サーバーへのアクセス設定
5.
に IP アドレスを使用する場合、
パ ケ ッ ト の 元 の IP ア ド レ ス
(NAT 前のアドレス ) と NAT 後の 6.
ゾーンを常に参照するようにし
てください。
7.
ステップ 3 インターネットから DMZ サー
バーへのアクセスを、特定サー
バーの IP アドレスのみに制限し
ます。
スタート ガイド
[全般] タブで、
ルールの分かりやすい名前を入力します。
[ 送信元 ] タブで [ 送信元ゾーン ] を [Trust] に設定します。
[ 宛先 ] タブで [ 宛先ゾーン ] を [DMZ] に設定します。
[ サービス /URL カテゴリ ] タブで、[ サービス ] を
[application-default] に設定します。
[ アクション ] タブで [ アクション設定 ] を [ 許可 ] に設
定します。
それ以外のオプションは、すべてデフォルト値にして
おきます。
インターネットから DMZ へのインバウンド アクセスを制
限するには、特定サーバーの IP アドレスと、アプリケー
ションで使用するデフォルトのポートのみを許可するルー
ルを設定します。
たとえば、外部から webmail サー 1.
バーにアクセスするユーザーの
2.
みを許可します。
ゾーン : Untrust から DMZ
[Policies] > [ セキュリティ ] の順に選択し、[ 追加 ] を
クリックします。
[ 追加 ] をクリックして新しいルールを追加し、分かり
やすい名前をつけます。
[ 送信元 ] タブで [ 送信元ゾーン ] を [Untrust] に設定し
ます。
3.
[ 宛先 ] タブで [ 宛先ゾーン ] を [DMZ] に設定します。
4.
[ 宛先アドレス ] を作成済みのパブリック Web サーバー
のアドレス オブジェクトに設定します。このパブリッ
ク Web サーバーのアドレス オブジェクトは、DMZ か
らアクセスできる Web サーバーのパブリック IP アドレ
ス (208.80.56.11/24) を参照します。
5.
[ アプリケーション ] タブで webmail アプリケーション
を選択します。
6.
[ サービス ] を [application-default] に設定します。
7.
[ アクション設定 ] を [ 許可 ] に設定します。
59
基本的なセキュリティ ポリシーのセットアップ
ペリメータ セキュリティの確立
基本的なセキュリティ ルールの定義(続き)
ステップ 4 DMZ から内部ネットワーク (Trust
ゾーン ) へのアクセスを許可しま
す。リスクを最小限に抑えるため
に、特定のサーバーと宛先アドレ
スのトラフィックのみを許可し
ます。たとえば、Trust ゾーンの特
定のデータベース サーバーと通
信する必要のあるアプリケー
ション サーバーが DMZ にある場
合、特定の送信元と宛先の間のト
ラフィックのみを許可するルー
ルを作成します。
1.
[ 追加 ] をクリックして新しいルールを追加し、分かり
やすい名前をつけます。
2.
[ 送信元ゾーン ] を [DMZ] に設定します。
3.
[ 宛先ゾーン ] を [Trust] に設定します。
4.
DMZ からアクセス可能な Trust ゾーンのサーバーを指
定するアドレス オブジェクトを作成します。
5.
セキュリティ ポリシー ルールの [ 宛先 ] タブで、[ 宛先
アドレス ] を作成済みのアドレス オブジェクトに設定
します。
6.
[ アクション ] タブで以下の手順を実行します。
ゾーン : DMZ から Trust
a [ アクション設定 ] を [ 許可 ] に設定します。
b [ プロファイル設定 ] 以下で、[ アンチウイルス ]、
[ アンチスパイウェア ]、[ 脆弱性防御 ] のデフォルト
プロファイルを関連付けます。
c [ その他の設定 ] セクションで、[ サーバー レスポン
ス検査の無効化 ] を選択します。この設定により、
サーバー側レスポンスのアンチウイルスおよびアン
チスパイウェアのスキャンが無効になり、ファイア
ウォールの負荷が軽減されます。
60
スタート ガイド
ペリメータ セキュリティの確立
基本的なセキュリティ ポリシーのセットアップ
基本的なセキュリティ ルールの定義(続き)
ステップ 5 DMZ サーバーがインターネット
から更新や修正プログラムを入
手できるようにします。たとえ
ば、Microsoft Update サービスを許
可します。
1.
新しいルールを追加し、分かりやすい名前をつけます。
2.
[ 送信元ゾーン ] を [DMZ] に設定します。
3.
[ 宛先ゾーン ] を [Untrust] に設定します。
4.
アプリケーション グループを作成し、許可するアプリ
ケーションを指定します。この例では、Microsoft Updates
(ms-updates) と DNS を許可します。
5.
[ サービス ] を [application-default] に設定します。こ
れにより、これらのアプリケーションに関連付けられ
た標準ポートを使用するアプリケーションのみをファ
イアウォールで許可できます。
6.
[ アクション設定 ] を [ 許可 ] に設定します。
7.
[ プロファイル設定 ] 以下で、[ アンチウイルス ]、[ アン
チスパイウェア ]、[ 脆弱性防御 ] のデフォルト プロファ
イルを関連付けます。
ゾーン : DMZ から Untrust
ステップ 6 デバイスで実行中の設定に対す [Commit] をクリックします。
るポリシーを保存します。
スタート ガイド
61
基本的なセキュリティ ポリシーのセットアップ
ペリメータ セキュリティの確立
セキュリティ ポリシーのテスト
基本ポリシーを効果的に設定できていることを確認するために、セキュリティ ポリシーが評価
されているかどうかテストし、どのセキュリティ ルールがトラフィック フローに適用されてい
るかを判断します。.
ポリシーとフローの一致を確認する
フローと一致するポリシー ルールを確 たとえば、IP アドレスが 208.90.56.11 の DMZ サーバー
認するには、次の CLI コマンドを使用し から Microsoft Update サーバーにアクセスする場合、こ
ます。
の DMZ サーバーに適用されるポリシー ルールを確認
するには、次のコマンドを実行します。
test security-policy-match source
test security-policy-match source 208.80.56.11
<IP アドレス > destination <IP アドレ destination 176.9.45.70 destination-port 80
ス > destination port < ポート番号 > protocol 6
protocol < プロトコル番号 >
この CLI コマンドで指定する送信元と宛
先の IP アドレスに最も一致するルール
が出力されます。
"Updates-DMZ to Internet" {
from dmz;
source any;
source-region any;
to untrust;
destination any;
destination-region any;
user any;
category any;
application/service[ dns/tcp/any/53
dns/udp/any/53 dns/udp/any/5353
ms-update/tcp/any/80 ms-update/tcp/any/443];
action allow;
terminal yes;
ネットワーク上のトラフィックのモニタリング
基本セキュリティ ポリシーの配置はこれで完了です。次に、アプリケーション コマンド セン
ター (ACC) の統計およびデータ、トラフィック ログ、および脅威のログをレビューしてネット
ワークの動向を観察し、より詳細なポリシーを作成する必要のある場所を特定します。
ポートまたはプロトコルを使用してアプリケーションを識別する従来のファイアウォールとは
異なり、Palo Alto Networks のファイアウォールでは、アプリケーション シグネチャ (App-ID テク
ノロジー) を利用してアプリケーションをモニタリングします。アプリケーション シグネチャは、
一意のアプリケーション プロパティと関連するトランザクションの特性、ポートまたはプロト
コルの組み合わせに基づいています。そのため、トラフィックで正しいポート / プロトコルが使
用されていても、アプリケーション シグネチャが一致しない場合は、ファイアウォールにより
コンテンツへのアクセスが拒否されます。この機能により、アプリケーションの一部は許可し、
同じアプリケーション内の機能の一部をブロックまたは制限するなど、安全にアプリケーション
を実行できます。たとえば、アプリケーションの Web 参照を許可すると、ユーザーはインター
ネット上のコンテンツにアクセスできます。次に、ユーザーが Facebook に移動してから Facebook
の Scrabble をプレイすると、ファイアウォールがアプリケーションのシフトを識別し、Facebook
と Scrabble を それぞれ個別に認識します。そのため、Facebook アプリケーションをブロックす
る特定のルールを作成すると、ユーザーは Scrabble へのアクセスが拒否されますが、Facebook に
はアクセスできます。
62
スタート ガイド
ペリメータ セキュリティの確立
基本的なセキュリティ ポリシーのセットアップ
ネットワーク上のトラフィックをモニタリングするには、次の手順を実行します。
• ACC で使用頻度が最も高いアプリケーションと、リスクの高いネットワーク アプリケーション
をレビューします。ACC では、ログ情報をグラフィカルに要約され、ネットワークを通過す
るアプリケーションと、それらを使用する (User-ID が有効な ) ユーザー、およびコンテンツ
の潜在的なセキュリティへの影響が強調表示されるため、ネットワークの状況をリアルタイ
ムに識別できます。この情報を利用して、不要なアプリケーションをブロックしながら、安
全にアプリケーションを許可し有効にする適切なセキュリティ ポリシーを作成できます。
• ネットワーク セキュリティ ルールのどの部分を更新 / 修正し、変更を適用する必要があるか
を判断します。例 :
–
スケジュール、ユーザー、またはグループに基づいて、コンテンツを許可するかどうかを評価し
ます。
–
特定のアプリケーションまたはアプリケーション内の機能を許可または制御します。
–
コンテンツを復号化して検査します。
–
脅威や悪用をスキャンしてからコンテンツを許可します。
セキュリティ ポリシーをさらに細かく設定し、カスタム セキュリティ プロファイルを関連付け
る方法の詳細は、脅威からのネットワークの防御を参照してください。
• [Monitor] > [ ログ ] の順に選択し、トラフィックおよび脅威のログを表示します。
トラフィックのログは、セキュリティ ポリシーの定義およびログ トラフィックの
設定の方法により異なります。ただし ACC タブでは、ポリシーの設定に関係なく
アプリケーションおよび統計情報が記録されます。つまり、ネットワークで許可さ
れているすべてのトラフィックが表示されるため、ポリシーで許可されている
ゾーン間トラフィックと、暗黙のうちに許可されているゾーン内トラフィックの
両方が含まれています。
• URL フィルタリング ログをレビューして、アラートおよび拒否されたカテゴリ /URL をス
キャンします。URL ログを生成するには、URL プロファイルをセキュリティ ルールに関連
付けて、アクションを alert ( アラート )、continue ( 継続 )、override ( オーバーライド )、また
は block ( ブロック ) に設定する必要があります。
スタート ガイド
63
基本的なセキュリティ ポリシーのセットアップ
64
ペリメータ セキュリティの確立
スタート ガイド
3 脅威からのネットワークの防御
この章では、Palo Alto Networks の脅威防御の機能と、各機能を設定するために必要な初期ステッ
プについて説明します。この章は、以下のセクションで構成されています。

脅威防御の概要

セキュリティ ゾーン、セキュリティ ポリシー、復号ポリシーについて

脅威防御機能のライセンス

セキュリティ ポリシーについて

セキュリティ プロファイルとセキュリティ ポリシーのセットアップ
スタート ガイド
65
脅威防御の概要
脅威からのネットワークの防御
脅威防御の概要
Palo Alto Networks の次世代ファイアウォールにはユニークな独特の脅威防御機能が組み込まれてお
り、この機能により、回避、トンネリング、または迂回技法に関係なく、すべてのポートおよびト
ラフィックでの攻撃からネットワークを保護することができます。脅威防御機能には、アンチウィ
ルス、アンチスパイウェア、脆弱性防御、URL フィルタリング、ファイル ブロッキング、データ
フィルタリングなどがあります。サービス拒否(DoS)防御およびゾーン プロテクションについて
も、この章で取り上げます。
アプリケーションを識別する(App-ID)機能とユーザー / グループ情報を識別する(User-ID)機能
により、環境内で使用されるさまざまな組織とアプリケーションに基づいて、脅威防御機能とセ
キュリティポリシーを設定できます。特に、アンチウィルス、ファイル ブロッキング、およびデー
タ フィルタリングの各プロファイルを設定するときに分析すべきアプリケーションを決定してか
ら、特定のユーザー グループに基づいてそのポリシーをセキュリティ ポリシーに適用することが
できます。たとえば、所定の部門が信頼された Web アプリケーションを使用する場合、そのアプリ
ケーションではアンチウィルスとファイル ブロッキングの機能をオフにすることもできます。
ファイル ブロッキング機能の一部として、ファイルを分析して未知のマルウェアを探し出すサンド
ボックス環境にファイアウォールが添付ファイルを転送できるようにする WildFire サービスを実装
することも可能です。WildFire システムが新しいマルウェアを検出すると、マルウェアのシグネチャ
が自動的に生成され、24 ~ 48 時間以内にアンチウィルスのシグネチャのダウンロードに組み込ま
れます。WildFire ライセンスの加入者は、30 分間隔でシグネチャを受信します。
ファイアウォールを通過する SSL および SSH トラフィックは暗号化されるため、このタイプのトラ
フィックを検査 / フィルタリングするために復号ポリシーを設定できます。これによりファイア
ウォールでは、SSL トラフィックの復号化、脅威があるかどうかのスキャン、または URL カテゴリ
(URL フィルタリング)やアプリケーション(App-ID)に基づいたトラフィックのフィルタリング
を行ってから、トラフィックがファイアウォールを出ていく前に再暗号化することができます。SSH
トラフィックに対しては、管理者は、SSH トンネル トラフィックに対してポリシーベースの識別お
よび制御を実行できます。SSH 内でのポート転送または X11 転送を SSH トンネルとして検出して中
間者攻撃に近い技法を使って、標準シェル、SCP、および SFTP のリモート マシンへの SSH アクセ
スと区別することができます。デフォルトでは、SSH 制御は無効です。
ゾーン:Trust
脅威防御
ゾーン:Untrust
アンチウイルス
アンチスパイウェア
脆弱性防御
URL フィルタリング
ファイル ブロッキング
WildFire
データ フィルタリング
66
スタート ガイド
脅威からのネットワークの防御
脅威防御の概要
Palo Alto Networks 製品で識別可能な脅威およびアプリケーションについての詳細は、以下のリン
ク先にアクセスしてください。
• Applipedia — Palo Alto Networks で識別できるアプリケーションについて詳細に説明しています。
• Threat Vault — Palo Alto Networks 製品で識別可能な脅威の一覧が掲載されています。脆弱性、
スパイウェア、またはウィルスを条件にして検索できます。脅威についての詳細は、ID 番号
の横にある詳細アイコンをクリックしてください。
以下のセクションでは、Palo Alto Networks 脅威防御機能のコンポーネントについて説明します。
これらの機能を使用し始めるのに役立つ設定例については、78 ページの「セキュリティ プロファイ
ルとセキュリティ ポリシーのセットアップ」 を参照してください。
セキュリティ ゾーン、セキュリティ ポリシー、復号ポリシーについて
脅威防御機能を適用できるようにするには、まず、ゾーンおよびセキュリティ ポリシーを設定
する必要があります。セキュリティ ゾーンは、1 つ以上の送信元インターフェイスまたは宛先イン
ターフェイスを識別します。セキュリティ ポリシーを設定する場合には、ゾーンによって表さ
れる送信元と宛先に基づいてポリシーを作成する必要があります。たとえば、インターネットに
接続されたインターフェイスは一般に信頼されないゾーンであり、内部ネットワークに接続され
たインターフェイスは信頼されるゾーンになります。セキュリティ ポリシーでは、トラフィッ
ク属性(たとえば、アプリケーション、送信元セキュリティ ゾーンと宛先セキュリティ ゾーン、
送信元アドレスと宛先アドレス、HTTP などのアプリケーション サービス)に基づいて新しい
ネットワーク セッションのブロックまたは許可を決定します。セキュリティ ポリシーが設定さ
れたら、セキュリティ プロファイルを作成してセキュリティ ポリシーに適用し、脅威から保護
したり、URL フィルタリングを適用したり、ファイル ブロッキングを有効にしたりします。
SSH や SSL によって暗号化されたトラフィック内の脅威をフィルタリングまたはスキャンする
には、ゾーンに適用され、所定のポリシーに一致するすべてのトラフィックを復号化する復号ポ
リシーを設定する必要があります。詳細については、77 ページの「復号ポリシーと復号プロファイ
ル」 を参照してください。
ゾーンおよびポリシーの詳細については、次のセクションを参照してください。
• 47 ページの「インターフェイスおよびゾーンの設定」
• 57 ページの「基本的なセキュリティ ポリシーのセットアップ」
スタート ガイド
67
脅威防御機能のライセンス
脅威からのネットワークの防御
脅威防御機能のライセンス
以下のセクションでは、脅威防御機能を利用するために必要なライセンスと、アクティベーション
処理について説明します。

脅威防御のライセンスについて

ライセンスの取得とインストール
脅威防御のライセンスについて
以下に、さまざまな脅威防御関連のライセンス情報を示します。
• 脅威防御 — アンチウィルス、アンチスパイウェア、および脆弱性防御機能を提供します。
• URL フィルタリング — サポートされている URL フィルタリング データベース(PAN-DB ま
たは BrightCloud)のいずれかのサブスクリプションを購入してインストールすることで、URL
カテ ゴ リに 基 づい た ポリ シ ー ルー ル を作 成 でき る よう に なり ます。Palo Alto Networks
PAN-DB 機能をアクティベーションする場合は、まずライセンスをインストールし、[PAN-DB
URL フィルタリング ] セクションで初期シード データベースをダウンロードして取得し、そ
れからアクティベーションします。
• WildFire — WildFire 機能(分析のためにサンプルを送信し、分析結果を受信)は、標準機能
の一部として組み込まれています。WildFire を使用して検出されたマルウェアのアンチウィ
ルス シグネチャ更新を受信するためには、脅威防御サブスクリプションが必要です。WildFire
サブスクリプション サービスでは、より迅速なセキュリティが必要な組織を対象に提供され
るもので、1 時間以内の間隔での WildFire シグネチャ更新、WildFire サーバーからのログのダ
ウンロード、および WildFire REST API を使用したファイルのアップロードが可能になります。
ライセンスの取得とインストール
ライセンスを購入するには、Palo Alto Networks の販売部門にお問い合わせください。ライセンス
を取得したら、[Device] > [ ライセンス ] の順に移動します。
ライセンスの受け取り方法に応じて、以下のタスクを実行できます。
• ライセンス サーバーからライセンス キーを取得 — ライセンスがサポート ポータルでアク
ティベーションされている場合は、このオプションを使用します。
• 認証コードを使用した機能のアクティベーション — このオプションを選択し、購入したサブ
スクリプションを有効にします。該当の認証コードがサポート ポータルで以前にアクティ
ベーションされていないことが前提になります。
• ライセンス キーの手動アップロード — デバイスから Palo Alto Networks サポート サイトへの
接続が確立されていない場合は、このオプションを使用します。この場合は、インターネッ
トに接続されたコンピュータでサポート サイトからライセンス キーをダウンロードしてか
ら、そのデバイスにアップロードする必要があります。
ファイアウォールでのライセンスの登録およびアクティベーションについての詳細は、12 ページ
の「ファイアウォール サービスのアクティベーション」 を参照してください。
68
スタート ガイド
脅威からのネットワークの防御
セキュリティ ポリシーについて
セキュリティ ポリシーについて
セキュリティ プロファイルを使用して、セキュリティ ポリシーに保護機能を追加します。たと
えば、アンチウィルス プロファイルをセキュリティ ポリシーに適用し、そのセキュリティ ポリ
シーと一致するすべてのトラフィックにウィルスが存在しないかどうかスキャンすることがで
きます。
これらの機能を使用し始めるときに役立つ基本設定の例については、78 ページの「セキュリティ
プロファイルとセキュリティ ポリシーのセットアップ」 を参照してください。
次の表に、セキュリティ ポリシーに適用可能なセキュリティ プロファイルの概要、および DoS
プロファイルとゾーン プロテクション プロファイルの基本的な説明を示します。
脅威防御機能
説明
アンチウイルス
ウィルス、ワーム、トロイの木馬、およびスパイウェアのダウンロードから保
護します。Palo Alto Networks アンチウィルス ソリューションでは、パケットを
最初に受信する瞬間にトラフィックを検査するストリームベースのマルウェ
ア防御エンジンを使用して、ファイアウォールのパフォーマンスに大きな影響
を与えることなくクライアントを保護することができます。この機能では、実
行ファイル、PDF ファイル、HTML ウィルス、および JavaScript ウィルスに含
まれるさまざまなマルウェアをスキャンし、内部の圧縮ファイルとデータ エン
コード スキームのスキャンもサポートしています。復号化されたコンテンツの
スキャンは、ファイアウォールでの復号化を有効にすることによって実行でき
ます。
デフォルト プロファイルでは、ウィルスが含まれていないかどうかについてリ
ストにあるプロトコル ディテクタすべてを検査し、FTP、HTTP、および SMB
プロトコルの場合にはブロックし、SMTP、IMAP、および POP3 プロトコルの
場合にはアラートを生成します。カスタマイズしたプロファイルを使用して、
信頼されたセキュリティ ゾーン間のトラフィックに対するアンチウィルスの
検査を最小限に抑え、インターネットなどの信頼されていないゾーンから受信
したトラフィックや、サーバー ファームなどの機密性の高い宛先に送信される
トラフィックの検査を最大化することもできます。
Palo Alto Networks WildFire システムは、他のアンチウィルス ソリューションに
よってまだ検出されていない可能性がある脅威のシグネチャも生成できます。
WildFire によって脅威が検出されると、シグネチャが素早く作成され、脅威防
御ライセンスの加入者は毎日(WildFire ライセンスの加入者の場合は 1 時間以
内の間隔で)ダウンロードされる標準のアンチウィルス シグネチャに組み込ま
れます。
スタート ガイド
69
セキュリティ ポリシーについて
脅威からのネットワークの防御
脅威防御機能
説明
アンチスパイウェア
侵入されたホストのスパイウェアから外部指揮統制(C2)サーバーに対する
phone-home 通信またはビーコン通信の試みをブロックします。ゾーン間では、
さまざまなレベルで保護機能を適用できます。たとえば、信頼されたゾーン間
での検査を最小限に抑えるカスタム アンチスパイウェア プロファイルを作成
する一方で、インターネット側ゾーンなどの信頼されないゾーンから受信する
トラフィックでの検査を最大化することができます。
アンチスパイウェアをセキュリティ ポリシーに適用するときには、2 つの事前
定義プロファイルのどちらかを選択できます。
–
デフォルト — デフォルト プロファイルは、シグネチャの作成時に Palo
Alto Networks によって指定される、シグネチャごとのデフォルトのア
クションを使用します。
–
ストリクト — ストリクト プロファイルは、シグネチャ ファイルで定
義されているアクションに関係なく、重大度が「critical」、
「high」、お
よび「medium」の脅威のアクションがすべてブロックになります。重
大度が medium および informationl のシグネチャの場合にはデフォル
ト アクションが実行されます。
PAN-OS 5.0 では、
DNS に基づいた新しい形式のアンチスパイウェア シグネチャ
が導入されました。これらのシグネチャは、マルウェアに関連付けられている
ホスト名の特定の DNS クエリを検出します。これらのシグネチャはアンチウィ
ルス更新の一部として毎日ダウンロードされますが、新しい [DNS シグネチャ ]
タブを介してアンチスパイウェア プロファイルで設定されます。
アンチスパイウェア プロファイルと脆弱性防御プロファイルは同様の方法で
設定されます。アンチスパイウェアの主な目的は、感染したクライアントから
出てネットワークを出ていく悪意のあるトラフィックを検出することである
のに対し、脆弱性防御ではネットワークに入ってくる脅威を防御します。
脆弱性防御
システムの弱点を悪用したり、システムへの不正アクセスを試みる行為を防止
します。たとえばこの機能は、バッファ オーバーフロー、不正なコード実行、
およびシステムの脆弱性を悪用するその他の試みからシステムを防御します。
デフォルトの脆弱性防御プロファイルでは、重大度が「critical」、「high」、およ
び「medium」のすべての既知の脅威からクライアントとサーバーを保護します。
また、特定のシグネチャに対するレスポンスの変更を許可する例外を作成する
こともできます。
アンチスパイウェア プロファイルと脆弱性防御プロファイルは同様の方法で
設定されます。脆弱性防御の主な目的は、ネットワークに入る悪意のあるトラ
フィックを検出することであるのに対し、アンチスパイウェア防御ではネット
ワークを出ていく脅威から防御します。
70
スタート ガイド
脅威からのネットワークの防御
セキュリティ ポリシーについて
脅威防御機能
説明
URL フィルタリング
特定の Web サイトおよび Web サイト カテゴリへのアクセスを制限します。た
とえば、
「Adult」、
「Shopping」、
「Gambling」などにカテゴリ分けされたサイトを
制限できます。Palo Alto Networks PAN-DB URL データベース(PAN-OS 5.0 現在)
または BrightCloud データベースを設定できます。
PAN-DB は Palo Alto Networks が開発した URL フィルタリング エンジンです。
PAN-DB を使用すると、マスター データベースへのクエリにはクラウド検索が
使用され、最も頻繁にアクセスされる URL をキャッシュとして保存すること
で、デバイスのパフォーマンスが最適化されます。デバイスとクラウドはリアル
タイムで同期されるため、更新を取得するための定期的なデータベース ダウン
ロードは不要になります。
カテゴリは、PAN-DB の場合には Palo Alto Networks によって、BrightCloud DB
の場合には BrightCloud によって事前定義されます。URL の再カテゴリ分けは、
指定されたサイトのログの詳細に移動して [ 分類の変更要求 ] リンクをクリッ
クすることにより、URL フィルタリング ログから直接要求できます。また、
PAN-DB の場合には Test A Site Web サイトを、BrightCloud の場合には URL/IP
Lookup サイトを使用することもできます。
PAN-DB のワークフロー、トラブルシューティング、およびインストールの詳
細は、URL Filtering (PAN-DB) Tech Note を参照してください。
次の図は、PAN-DB URL フィルタリング機能のワークフローを示しています。
スタート ガイド
71
セキュリティ ポリシーについて
脅威防御機能
脅威からのネットワークの防御
説明
ファイル ブロッキング 指定されたアプリケーションおよび方向で、指定されたファイル タイプをブ
ロックします。アップロードまたはダウンロードでアラート送信またはブロッ
クするプロファイルを設定し、ファイル ブロッキング プロファイルの適用対
象となるアプリケーションを指定できます。また、指定したファイル タイプの
ダウンロードをユーザーが試みるときに表示される、カスタム ブロック ペー
ジを設定することもできます。これによりユーザーは、ファイルをダウンロー
ドするかどうか考える時間を持つことができます。
指定したファイルが検出されたときの対応として、以下のアクションを設定で
きます。
• alert — 指定したファイル タイプが検出されると、データ フィルタリング ロ
•
•
•
•
72
グでログが生成されます。
block — 指定したファイル タイプが検出されると、そのファイルはブロック
され、ユーザーに対してカスタマイズ可能なブロック ページが表示されま
す。データ フィルタリング ログでログも生成されます。
continue — 指定したファイル タイプが検出されると、ユーザーに対してカ
スタマイズ可能な続行ページが表示されます。ユーザーはページをクリックス
ルーしてファイルをダウンロードすることができます。データ フィルタリン
グ ログでログも生成されます。
forward — 指定したタイプが検出されると、ファイルが WildFire に送信され
て分析されます。データ フィルタリング ログでログも生成されます。
continue-and-forward — 指定したファイル タイプが検出されると、ユーザー
に対してカスタマイズ可能な続行ページが表示されます。ユーザーはページ
をクリックスルーしてファイルをダウンロードすることができます。ユー
ザーが続行ページをクリックスルーしてファイルをダウンロードすると、
ファイルは WildFire に送信されて分析されます。データ フィルタリング ロ
グでログも生成されます。
スタート ガイド
脅威からのネットワークの防御
セキュリティ ポリシーについて
脅威防御機能
説明
WildFire
WildFire では、Palo Alto Networks クラウドベース マルウェア分析セン
ターにファイルを安全に送信することができ、そこでファイルは、仮想
サンドボックス環境で自動的に分析され、悪質な振る舞いをしないかが
検索されます。ファイルは、ファイル ブロッキング ポリシーを使用す
ることによってファイアウォールから自動的に送信されますが、WildFire
ポータルから手動でアップロードしたり、または WildFire API(WildFire
ライセンスが必要)を使用して送信することもできます。WildFire シス
テムは、仮想環境でファイルを実行し、重要なシステム ファイルの変
更、セキュリティ機能の無効化、検出を回避するためのさまざまな方法
の使用など、多くの潜在的にマルウェアに関連する動作や手法を監視し
ます。新しいマルウェアが検出されると、WildFire はアンチウィルス シ
グネチャを自動的に生成し、毎日のアンチウィルス シグネチャ更新によ
りそれらのシグネチャを脅威防御サブスクリプションのあるファイア
ウォールに配布します。WildFire ライセンス加入者の場合は、シグネチャ
が 1 時間以下の間隔で配信されます。
WildFire サブスクリプション(PAN-OS 5.0 で導入)では、以下の機能を
利用できます。
• WildFire のダイナミック更新 — [Device] > [ ダイナミック更新 ] には新しい
•
•
スタート ガイド
WildFire セクションがあります。新しいマルウェアが検出されると WildFire
シグネチャが 30 分ごとに生成され、ファイアウォールの WildFire 更新スケ
ジュールは、新しい WildFire シグネチャがあるかどうかについて、15、30、
または 60 ごとにポーリングするように設定できます。ファイアウォールに
ダウンロードされる新しい WildFire シグネチャについては、アンチウィルス
プロファイルでの通常のアンチウイルス シグネチャ アクションとは別に、
これらのシグネチャで特定のアクションを実行するようにファイアウォー
ルを設定できます。
統合された WildFire ログ — WildFire によってファイルがアップロードおよ
び分析されると、分析の後にログ データが分析結果とともにデバイスに返さ
れます。ログは、[Monitor] > [ ログ ] > [WildFire] に書き込まれます。
WildFire API — WildFire ライセンスがあれば WildFire API にアクセスするこ
とができ、これにより、Palo Alto Networks ファイアウォールによる使用とは
別に、クラウド内の WildFire に対して外部プログラムによるアクセスが許可
されます。WildFire API は、WildFire システムへのファイルの送信・分析、お
よび過去に送信されたファイルのレポートを確認するために使用します。
ファイルのアップロードは毎日 100 ファイルまで、WildFire ポータルへのク
エリは毎日 1,000 回まで実行できます。
73
セキュリティ ポリシーについて
脅威防御機能
WildFire
(続き)
脅威からのネットワークの防御
説明
次の図は、WildFire のワークフローを示しています。
データ フィルタリング クレジット カード番号や社会保障番号などの機密情報が、
保護されたネッ
トワークから出て行かないよう防御できます。また、重要なプロジェクト
名や秘密の言葉などのキーワードに基づいてフィルタリングすることも
できます。プロファイルの焦点を適切なファイル タイプに合わせ、誤検知
を削減することが重要です。たとえば、Word ドキュメントまたは Excel ス
プレッドシートのみを検索することができます。また、web-browsing トラ
フィック、または FTP のみをスキャンすることも可能です。
デフォルトのプロファイルを作成したり、カスタム データ パターンを
作成したりすることができます。デフォルト プロファイルには次の 2 つ
があります。
–
CC 番号(クレジット カード番号)— ハッシュ アルゴリズムを使用し
てクレジット カード番号を識別します。データをクレジット カード
番号として検出するには、コンテンツがハッシュ アルゴリズムと一致
する必要があります。この方法により、誤検知が減少します。
–
SSN 番号(社会保障番号)— フォーマットに関係なく、アルゴリズム
を使用して 9 桁の番号を検出します。[SSN 番号 ] と [SSN 番号 ( ダッ
シュを除く )] の 2 つのフィールドがあります。
特殊なアルゴリズムを使用して社会保障番号とクレジット カード番号
を識別するファイアウォールに加えて、Regex フィールドでカスタム パ
ターンを使用してキーワードを定義することもできます。カスタム パ
ターンは「confidential」のような単語になります。
74
スタート ガイド
脅威からのネットワークの防御
脅威防御機能
セキュリティ ポリシーについて
説明
データ フィルタリング この機能をテストするときには、社会保障番号とクレジット カード番号
(続き)
で使用可能な有効な桁数を理解することも重要です。米国の社会保障番
号は 9 桁で、最初の 3 桁は 666 を除く 001 ~ 772 の数字になります。また、
SSN 番号では、どの桁セットであっても、すべて 0 にすることはできませ
ん。たとえば、987-00-4320 は無効な SSN です。テストの場合は、実際の
社会保障番号を使用するのが最善です。また、カスタム データ パターン
の定義では、パターンの大文字と小文字を区別します。
クレジット カード番号では、最初の 2 ~ 6 桁を使用してカード タイプを
識別します。可能な数字の数は多くありません。また、番号の長さはさ
まざまです。たとえば、American Express の番号は 34 または 37 で始まる
15 桁であるのに対し、
Visa カードの番号は 4 で始まる 13 または 16 桁です。
重み値としきい値
フィルタリングしようとする条件の適切なしきい値を設定するには、オブジェ
クト(SSN、CC 番号、パターン)の重みの計算方法を理解することが重要で
す。アクションしきい値(アラートまたはブロック)に到達するまで、各値に
重み値を乗算して合計されます。
例1
簡単に説明するため、社会保障番号(SSN)が書き込まれているファイルをフィ
ルタリングし、[SSN 番号 ] の重みを 3 と定義するとします。使用する式は、
SSN の各インスタンス x 重み = しきい値と比較する値です。このとき、Word
ドキュメントに 10 件社会保障番号がある場合は、その件数に重みの 3 を乗算
(10 x 3)して 30 となります。よって、10 件の社会保障番号を含んだファイル
でアクションを起こすには、しきい値を 30 に設定することになります。この場
合は、アラートは 30 で、ブロックは 60 で実行されるように設定することがで
きます。また、ダッシュを含まない社会保障番号の [SSN 番号 ( ダッシュを除く )]
フィールドで、重みを設定することもできます。複数の設定を使用する場合は、
指定されたしきい値になるまで累積されます。
例2
この例では、社会保障番号とカスタム パターン confidential を含むファイルで
フィルタリングします。言い換えると、ファイルに「confidential」という単語
に加えて社会保障番号が書き込まれており、それらの項目の合計インスタンス
数がしきい値に到達すると、アクション設定に応じて、そのファイルでアラー
トまたはブロックがトリガーされます。
SSN 番号の重み = 3
カスタム パターン confidential の重み = 20
注 : カスタム パターンでは大文字と小文字が区別されます。
ファイルに 20 件の社会保障番号が含まれ、重みが 3 に設定されている場合、値
は 20 x 3 = 60 となります。そのファイルに confidential という単語のインスタン
スが 1 つ含まれ、重みが 20 に設定されている場合は、値が 1 x 20 = 20 で、合計
で 80 となります。ブロックのしきい値が 80 に設定されていれば、このシナリ
オの場合にはファイルがブロックされます。アラートまたはブロック アクション
は、しきい値に到達するとすぐにトリガーされます。
スタート ガイド
75
セキュリティ ポリシーについて
脅威防御機能
脅威からのネットワークの防御
説明
DoS 防御プロファイル サービス拒否(DoS)防御ポリシーの詳細を制御できます。DoS ポリシーでは、
インターフェイス、ゾーン、アドレス、国に対するセッション数を、セッション
総数、送信元 IP アドレスおよび宛先 IP アドレス毎に基いて制御できます。Palo
Alto Networks のファイアウォールでサポートされる DoS 防御メカニズムは次
の 2 つです。
–
フラッド防御 — パケットがフラッドされたために各要求に応答できな
いハーフオープン セッションまたはサービスの数が非常に多くなった
ネットワークにおいて、攻撃を検出および防御します。この場合、攻
撃の送信元アドレスは通常スプーフされます。
–
リソース保護 — セッション消耗攻撃を検出および防御します。このタ
イプの攻撃では、大量数のホスト(ボット)を使用して完全に確立さ
れたセッションを可能な限り多く確立し、システム リソースのすべて
を消費します。
これら両方の防御メカニズムは、1 つの DoS プロファイルで定義できます。
DoS プロファイルを使用して、実行するアクションのタイプと DoS ポリシーの
照合基準の詳細を指定します。DoS プロファイルでは、SYN、UDP、および
ICMP フラッドの設定項目を定義し、リソースの保護を有効にし、最大同時接
続数を定義します。DoS 防御プロファイルを設定したら、DoS ポリシーに適用
します。
DoS 防御の設定時には、適正なしきい値を設定するため、使用環境を分
析することが重要です。また、DoS 防御ポリシーの定義にはいくつかの
複雑な設定が関係しているため、このガイドでは詳細な例は示しませ
ん。詳細については、
『Palo Alto Networks 管理者ガイド』または Threat
Prevention Tech Note を参照してください。
ゾーン プロテクション ゾーンを攻撃から保護するため、
特定のネットワーク ゾーン間の防御を
強化します。プロファイルはゾーン全体に適用する必要があるため、各
ゾーンを通過する通常のトラフィックによって問題が発生しないよう
にするため、慎重にプロファイルをテストすることが重要です。ゾーン
プロテクション プロファイルにパケット / 秒 (pps) のしきい値制限を定
義する場合、しきい値は以前に確立したセッションと一致しないパケッ
ト / 秒を基にしています。
このガイドでは詳細な例は示しません。詳細については、
『Palo Alto
Networks 管理者ガイド』または Threat Prevention Tech Note を参照してく
ださい。
76
スタート ガイド
脅威からのネットワークの防御
セキュリティ ポリシーについて
復号ポリシーと復号プロファイル
復号ポリシーでは、セキュリティ ポリシーでのトラフィックの復号化を設定します。ポリシー
毎に、復号するトラフィックの URL のカテゴリを指定することもできます。SSH 復号化は、SSH
内でのポート転送または X11 転送を SSH トンネルとして検出するために使用されるのに対し、
標準シェル、SCP、および SFTP のリモート マシンへのアクセスは SSH として報告されます。SSL
トラフィックでは、復号化された通信に対して App-ID や、アンチウイルス、脆弱性、アンチス
パイウェア、URL フィルタリング、およびファイル ブロッキングの各プロファイルが適用され
て、トラフィックがデバイスを出るときに再暗号化されます。接続中はクライアントとサーバー
間でエンドツーエンドのセキュリティが保持され、ファイアウォールは、信頼されたサード パー
ティとして機能します。復号化されたトラフィックはデバイスに残りません。
復号プロファイルにより、ファイアウォールでは、SSL フォワード プロキシ、SSL インバウンド
インスペクション、および SSH トラフィックのさまざまな側面をブロックまたは制御すること
ができます。復号プロファイルを使用して、サーバー証明書のチェックなどのチェック処理を実
行し、証明書が期限切れのセッションをブロックできます。実行可能なすべてのチェックの一覧
については、
『Palo Alto Networks 管理者ガイド』のセクション「復号プロファイル設定」を参照
してください。
復号化を設定するときには、一定のタイプの Web サイトを除外することができます。たとえば、
財務や保健、および医療のサイトのトラフィックは復号しないようにすることができます。
一部のアプリケーションは、ファイアウォールによって復号化されていると正常に
機能しません。そのようなアプリケーションの一覧については、ナレッジ ベースの
記事「SSL 復号から除外されるアプリケーションのリスト」を参照してください。ま
た、SSL を使用する Dropbox アプリケーションや Microsoft Lync などの一部のネイ
ティブ アプリケーションは、そのアプリケーションが自己署名証明書には存在しな
い特定の詳細な情報を証明書で検索する可能性があるため、復号化が有効になって
いると障害が発生することがあります。特定の URL カテゴリの例外を設定したり、
復号化が有効だとアプリケーションが正常に機能しない場合にはそのアプリケー
ションの宛先アドレスを設定したりする必要があります。例外は、[URL カテゴリ ]
タブの復号ポリシーで指定するか、[ 宛先 ] タブでアドレスを定義して復号化なしに
設定した新しい復号ポリシーを作成することによって設定できます。リストでは、
必ず復号なしポリシーが復号ポリシーより前になるようにしてください。
復号プロファイルを作成したら、そのプロファイルを復号ポリシーに適用できます。また、ファ
イアウォールで定義されているデフォルトの信頼された証明機関を有効または無効にすること
もできます。
スタート ガイド
77
セキュリティ プロファイルとセキュリティ ポリシーのセットアップ
脅威からのネットワークの防御
セキュリティ プロファイルとセキュリティ ポリシーの
セットアップ
以下のセクションでは、基本的な脅威防御設定の例を示します。

復号ポリシーのセットアップ

データ フィルタリングのセットアップ

アンチウィルス、アンチスパイウェア、および脆弱性防御のセットアップ

データ フィルタリングのセットアップ

ファイル ブロッキングのセットアップ

WildFire のセットアップ

URL フィルタリングのセットアップ
復号ポリシーのセットアップ
SSL や SSH などの通信で暗号化されたトラフィック内の脅威をフィルタリングしたり、脅威が存
在しないかどうかスキャンしたりするには、復号ポリシーを設定する必要があります。この例で
は、まず復号化プロセスで使用される自己署名付きの信頼された転送証明書および自己署名付き
の信頼されない転送証明書を作成します。ファイアウォールで信頼された転送証明書として作成
された CA 証明書は、ファイアウォールからエクスポートされ、クライアント Web ブラウザの信
頼された CA リストにインポートされます。これによりクライアント / ユーザーは、SSL を使用
してアクセスされる外部サイトへのフォワード プロキシとしてファイアウォールを信頼できま
す。たとえば、クライアントが SSL サイトにアクセスすると、ファイアウォールはまずそのサイ
トに接続し、証明書を検証します。次にファイアウォールは、そのクライアントの証明書を作成
します。クライアントはファイアウォールを CA として信頼しているため、クライアント ブラ
ウザは、外部 Web サーバーから直接に証明書を使用しているかのようにして動作します。これ
によりファイアウォールでは、サイトがクライアントに表示される前に、トラフィックを復号化
して検査できます。同様に、信頼されない転送証明書として生成された CA 証明書は、ファイア
ウォールが接続する先の Web サーバーで無効な証明書が使用されている場合に、クライアント
に対して証明書警告を表示するために使用されます。
このセクションでは、ファイアウォールで生成される自己署名証明書の使用につい
てのみ説明し、パブリック CA によって外部で署名された証明書や内部の PKI イン
フラストラクチャによって生成される証明書の使用については説明しません。
78
スタート ガイド
脅威からのネットワークの防御
セキュリティ プロファイルとセキュリティ ポリシーのセットアップ
ここでは、復号化で必要な証明書のセットアップ手順について説明します。
証明書のセットアップ
ステップ 1 新しい CA 証明書を生成します。 1. [Device] > [証明書の管理] > [証明書] の順に移動します。
信頼された証明書の転送により、 2. ウィンドウの下部にある [ 生成 ] をクリックします。
ファイアウォールでは、クライ
3. [ 証明書名 ] に
「my-fwd-trust」などの名前を入力します。
アントの接続先サーバーがファ
イアウォールの信頼された CA 4. 「192.168.2.1」などの [ 共通名 ] を入力します(これは、
証明書に表示される IP または FQDN です。
この場合は、
リストに含まれる CA によって
信頼できるインターフェイスの IP を使用します。この
署名される場合、復号化中にクラ
フィールドではスペースを使用しないでください)
。
イアントに対してその証明書を
示すことができます。この場合 5. [ 署名者 ] フィールドは空白のままにします。
は、フォワード プロキシの復号 6. [認証局] チェック ボックスをオンにして有効にします。
化中に使用される自己署名証明
このチェック ボックスをオンにすると、ファイアウォー
書を使用します。
ルで認証局(CA)が作成されてクライアントのブラウ
ザにインポートできるようになるため、クライアントは
そのファイアウォールを CA として信頼できます。
ステップ 2 信頼されない証明書の転送を設
定します。信頼されない証明書の
転送により、ファイアウォールで
は、ファイアウォールの信頼され
た CA リストに含まれていない
CA によって署名された証明書を
使用するサイトにクライアント
が接続するときに、別の証明書を
示すことができます。これによ
り、無効な証明書を使用するサイ
トの場合に、クライアントに証明
書警告が表示されます。
7.
[ 生成 ] をクリックして証明書を生成します。
8.
新しい証明書「my-ssl-cert」をクリックして変更し、
[ 信頼された証明書の転送 ] オプションを有効にします。
9.
[OK] をクリックして保存します。
1.
証明書ページの下部にある [ 生成 ] をクリックします。
2.
[ 証明書名 ] に、
「my-fwd-untrust」などの名前を入力し
ます。
3.
[ 共通名 ] を、たとえば「192.168.2.1」に設定します。
[ 署名者 ] は空白のままにします。
4.
[ 認証局 ] チェック ボックスをオンにして有効にします。
5.
[OK] をクリックして保存します。
6.
新しい「my-ssl-fw-untrust」証明書をクリックして変更
し、[ 信頼されない証明書の転送 ] オプションを有効に
します。
7.
[OK] をクリックして保存します。
8.
各クライアント ブラウザでは、ブラウザの信頼された
ルート CA リストに信頼された転送証明書をインポー
トしておくことが必要になります。この処理は通常、グ
ループ ポリシー等を使用して行われます。無効な証明
書があるサイトについての警告がクライアントに表示
されても問題ないという場合は、転送証明書をブラウ
ザにインポートする必要はありません。
ステップ 3 次のセクションに移動し、SSL ア
ウトバウンド復号ポリシーを作
成します。80 ページの「アウト
バウンド復号ポリシーのセット
アップ」を参照してください。
スタート ガイド
79
セキュリティ プロファイルとセキュリティ ポリシーのセットアップ
脅威からのネットワークの防御
アウトバウンド復号ポリシーのセットアップ
ここでは、SSL アウトバウンド復号ポリシーのセットアップで必要な手順について説明します。
このポリシーは、フィルタを適用したり暗号化されたトラフィックで脅威を識別したりするた
め、アウトバウンド トラフィックを復号するときに使用されます。
SSL アウトバウンド復号ポリシーのセットアップ
ステップ 1 復号ポリシーを設定します。
ステップ 2 復号オプションを設定します。
1.
[Policies] > [ 復号 ] の順に移動します。
2.
[ 追加 ] をクリックして、すべてのトラフィックを復号
する復号ポリシーを設定します。
1.
[ 全般 ] タブで、[ 名前 ] を「Decrypt_All_Traffic」など
に設定します。
2. (任意)任意の [ 内容 ] を入力します。
3. (任意)[ タグ ] を入力します。
(ポリシー タグは、ポリ
シーをソートまたはフィルタリングできるようにする
キーワードまたはフレーズです。これは、定義したポ
リシーの数が多く、特定のキーワードでタグ付けされ
ているポリシーを表示するような場合に便利です。た
とえば、特定のセキュリティ ポリシーに「Inbound to
DMZ」と い う タ グ を 付 け た り、復 号 ポ リ シ ー に
「Decrypt」と「No-decrypt」という語のタグを付けたり、
特定のデータ センターの場所に関連付けられたポリ
シーにはそのデータ センターの名前を使用したりする
ことができます。)
80
4.
[ 送信元 ] タブの [ 送信元ゾーン ] で、[ 追加 ] をクリッ
クし、[trust] ゾーンを選択します。
5.
[ 宛先 ] タブの [ 宛先ゾーン ] で、[ 追加 ] をクリック
し、[untrust] ゾーンを選択します。
6.
[URL カテゴリ ] タブで、[ いずれか ] のままにする
と、すべてのトラフィックを復号化します。プロ
ファイルを特定の Web サイト カテゴリに適用す
る場合は、[ 追加 ] をクリックして URL カテゴリを
1 つ選択します。
特定のアプリケーション通信に対する SSL 復号化
を無効にする場合は、新しい復号プロファイルを
作成し、[ 宛先 ] タブでそのアプリケーション サー
バーの IP アドレスを入力し、[ オプション ] タブで
[ 復号なし ] をオンにして [SSL フォワード プロキシ ]
タイプを選択する必要があります。この復号ポリ
シーは、ドラッグアンドドロップにより、復号ポ
リシー リストの中で必ず他の復号ポリシーよりも
上になるようにしてください。
スタート ガイド
脅威からのネットワークの防御
セキュリティ プロファイルとセキュリティ ポリシーのセットアップ
SSL アウトバウンド復号ポリシーのセットアップ(続き)
ステップ 2 復号オプションを設定します。
7.
[ オプション ] タブで、[ アクション ] として [ 復号 ] を
オンにし、[ タイプ ] として [SSL フォワード プロキシ ]
を選択します。
8.
[復号プロファイル] の設定は [None] のままにします。
復号プロファイルにより、ポリシーを使用して、SSL フォ
ワード プロキシ、SSL インバウンド インスペクション、
および SSH トラフィックにおける復号動作を細かく制
御することができます。詳細については、
『Palo Alto
Networks 管理者ガイド』を参照してください。
9.
[OK] をクリックして保存します。
(続き)
ステップ 3 設定を [Commit] します。
ステップ 4 これで復号化が有効になります。次に、信頼された転送証明書(この例では my-ssl-cert)をエ
クスポートし、すべてのユーザーに配布して、ユーザーのブラウザの信頼された CA リストに
その証明書を追加する必要があります。これは通常、Active Directory ポリシーを使用して処理
されます。この処理を行わない場合、ユーザーには、アクセスする SSL サイトごとに証明書
の警告が表示されます。設定をテストするには、復号ポリシーを無効にして www.eicar.org に移
動し、Anti Malware Test File をダウンロードします。eicar テスト ファイルとして HTTPS バー
ジョンをダウンロードします。マルウェアは検出されません。復号ファイルを有効にして再
試行すると、今度はウィルスが検出されるはずです。
スタート ガイド
81
セキュリティ プロファイルとセキュリティ ポリシーのセットアップ
脅威からのネットワークの防御
アンチウィルス、アンチスパイウェア、および脆弱性防御のセットアップ
ここでは、アンチウィルス、アンチスパイウェア、および脆弱性防御のデフォルト プロファイ
ルをセットアップするために必要な手順について説明します。これらの機能は使用目的が非常に
よく似ているため、ここではデフォルトのプロファイルを有効にするために必要な一般手順のみ
を示します。
アンチスパイウェアと脆弱性防御のすべてのシグネチャには、Palo Alto Networks に
よってデフォルトのアクションが定義されています。デフォルトのアクションを確
認するには、[Objects] > [ セキュリティ プロファイル ] >([ アンチスパイウェア ]
または [ 脆弱性防御 ])の順に選択し、プロファイルを選択します。[ 例外 ] タブを
クリックして [ すべてのシグネチャの表示 ] をオンにすると、[ アクション ] 列にデ
フォルト アクションを表示したシグネチャのリストが表示されます。デフォルト ア
クションを変更するには、新しいプロファイルを作成してから、デフォルト以外の
アクションが設定されたルールを作成するか、プロファイルの [ 例外 ] タブで個々の
シグネチャ例外を追加します。
アンチウィルス / アンチスパイウェア / 脆弱性防御のセットアップ
ステップ 1 脅威防御ライセンスがあること
を確認します。
• 脅威防御ライセンスでは、1 つのライセンスに、アンチ
•
ウィルス、アンチスパイウェア、および脆弱性防御の全
機能をバンドルしています。
[Device] > [ ライセンス ] の順に移動して、[ 脅威防御 ] ライ
センスがインストールされていることを検証し、有効期
限を確認します。
ステップ 2 最新のアンチウィルス脅威シグ 1.
ネチャをダウンロードします。
[Device] > [ ダイナミック更新 ] の順に移動し、ページ
の下部にある [ 今すぐチェック ] をクリックして最新の
シグネチャを取得します。
2.
[ アクション ] 列で、
[ ダウンロード ] をクリックして最
新のシグネチャをインストールします。
このページには、[ アンチウィルス ] と [ アプリケーション
および脅威 ] のセクションが別々に表示されます。[ アンチ
ウィルス ] セクションにはアンチウィルスのシグネチャが
表示され、[ アプリケーションおよび脅威 ] セクションには、
Palo Alto Networks が識別できるサポート アプリケーション
とともに、アンチスパイウェアと脆弱性防御のシグネチャ
が表示されます。
82
スタート ガイド
脅威からのネットワークの防御
セキュリティ プロファイルとセキュリティ ポリシーのセットアップ
アンチウィルス / アンチスパイウェア / 脆弱性防御のセットアップ(続き)
ステップ 3 シグネチャの更新をスケジュー 1.
ルします。
[Device] > [ ダイナミック更新 ] の順に選択し、[ スケ
ジュール ] の右側にあるテキストをクリックして、[ アン
チウィルス ] と [ アプリケーションおよび脅威 ] のシグ
ネチャ更新を自動的に取得します。
2.
更新の頻度とタイミングを指定し、更新ファイルをダ
ウンロードしてインストールするのか、またはダウン
ロードのみを行うのかを指定します。[ ダウンロードの
み ] をオンにする場合は、定期的に手動でページを開
き、[ アクション ] 列の [ インストール ] リンクをクリッ
クしてシグネチャをインストールする必要がありま
す。[OK] をクリックすると、更新がスケジュールされ
ます。コミットは必要ありません。
3. (任意)[ しきい値 ] フィールドに時間数を入力して、ダ
ウンロードが実行されるまでのシグネチャの最小存続
時間を指定することもできます。たとえば、「10」と入
力すると、そのシグネチャは、スケジュールに関係な
く、ダウンロードされるまでに少なくとも 10 時間は存
続する必要があります。
4.
HA 設定では、[ ピアと同期 ] オプションをクリックし
て、ダウンロード / インストールの後にコンテンツ タ
イプと HA ピアを同期することもできます。これによっ
てスケジュール設定がピア デバイスにプッシュされる
ことはないため、各デバイスでスケジュールを設定す
る必要があります。
アンチウィルス スケジュールのベスト プラクティス
アンチウィルス シグネチャの更新スケジュールとして一般的な推奨設定は、アンチウィルスの場合には
毎日、アプリケーションおよび脆弱性の場合には毎週、[download-and-install] を実行することです。
HA 設定の場合の推奨設定は次のとおりです。
–
アクティブ / パッシブの HA — アンチウィルスのシグネチャのダウンロードで MGT ポートを使
用する場合は、両方のデバイスでスケジュールを設定し、両方のデバイスが別々にダウンロード /
インストールを実行するようにしてください。ダウンロードでデータ ポートを使用する場合、
パッシブ デバイスはパッシブ状態になっている間ダウンロードを実行しません。この場合は、両
方のデバイスでスケジュールを設定して、[ ピアと同期 ] オプションを選択します。これにより、
どちらのデバイスがアクティブであっても更新処理が実行され、パッシブ デバイスにプッシュさ
れるようにします。
–
アクティブ / アクティブの HA — 両方のデバイスでアンチウィルスのシグネチャのダウンロー
ドに MGT ポートを使用する場合は、両方のデバイスでダウンロード / インストールをスケ
ジュールしますが、[ ピアと同期 ] オプションは選択しません。データ ポートを使用する場合
は、両方のデバイスでシグネチャのダウンロードをスケジュールし、[ ピアと同期 ] を選択しま
す。これにより、アクティブ / アクティブ設定の 1 つのデバイスがアクティブなセカンダリ状
態になった場合でも、そのアクティブ デバイスがシグネチャをダウンロード / インストールし
てから、アクティブなセカンダリ デバイスにシグネチャをプッシュするようにします。
スタート ガイド
83
セキュリティ プロファイルとセキュリティ ポリシーのセットアップ
脅威からのネットワークの防御
アンチウィルス / アンチスパイウェア / 脆弱性防御のセットアップ(続き)
ステップ 4 セキュリティ プロファイルをセ 1.
キュリティ ポリシーに適用し
ます。
[Policies] > [ セキュリティ ] の順に移動し、適切なポリ
シーを選択して変更し、[ アクション ] タブをクリック
します。
2.
[ プロファイル設定 ] リストで、有効にする各セキュリ
ティ プロファイルの横にあるドロップダウンをクリッ
クします。この例では、[ アンチウィルス ]、[ 脆弱性防
御 ]、および [ アンチスパウェア ] のデフォルトを選択
します。
前にセキュリティ プロファイルを定義したことがない場合
は、[ プロファイル タイプ ] ドロップダウンを選択し、[ プ
ロファイル ] を選択します。セキュリティ プロファイル
を選択するためのオプションの一覧が表示されます。
ステップ 5 設定を [Commit] します。
84
スタート ガイド
脅威からのネットワークの防御
セキュリティ プロファイルとセキュリティ ポリシーのセットアップ
データ フィルタリングのセットアップ
ここでは、社会保障番号を検出するデータ フィルタリング プロファイルと .doc および .docx ド
キュメントで識別されるカスタム パターンを設定するために必要な手順について説明します。
データ フィルタリングの設定例
ステップ 1 データ フィルタリングのセキュ 1.
リティ プロファイルを作成し
ます。
2.
[Objects] > [セキュリティ プロファイル] > [データ フィ
ルタリング ] の順に移動し、[ 追加 ] をクリックします。
プロファイルの名前と説明を入力します。この例での
名前は「DF_Profile1」、説明は「Detect Social Security
Numbers」です。
3. (任意)フィルタによってブロックされるデータを収集
する場合は、[ データ キャプチャ ] チェック ボックス
をオンにします。
注意
ステップ 2 (任意)データ フィルタリング ロ 1.
グへのアクセスを保護し、他の管
理者が機密データを表示できな 2.
いようにします。
3.
データ キャプチャ機能を使用する場合は、パスワー
ドを設定する必要があります。詳細は、以下の手順
を参照してください。
[Device] > [ セットアップ ] > [Content-ID] の順に移動し
ます。
[Content-ID 機能 ] セクションで、[ データ保護の管理 ]
をクリックします。
データ フィルタリング ログを表示するために必要なパ
スワードを設定します。
このオプションを設定しているときに、[Monitor] > [ ログ ] >
[ データ フィルタリング ] の順に選択してログを表示する
と、フィルタリングをトリガーした最初のパケットを示す
緑の矢印が表示されます。パケット キャプチャは、それに
続いて実行され、定義したパスワードを入力することに
よってのみ表示できます。パケット キャプチャを表示する
には、ログ エントリの最初の列にあるアイコンをクリック
して、[ ログ詳細 ] ウィンドウを表示します。下部の [ 関連
ログ ] セクションで、緑の矢印があるログが表示されるま
でスクロールし、その緑の矢印をクリックします。パスワー
ドを入力するよう求められます。パスワードを入力して
キャプチャ パケットを表示します。
スタート ガイド
85
セキュリティ プロファイルとセキュリティ ポリシーのセットアップ
脅威からのネットワークの防御
データ フィルタリングの設定例(続き)
ステップ 3 データ フィルタリング プロファイルで使用されるデータ パターンを定義します。この例で
は、キーワードとして「confidential」を使用し、ダッシュ付きの SSN 番号(例 - 987-654-4320)
を検索するオプションを設定します。適切なしきい値を設定し、ドキュメント内のキーワー
ドを定義すると、誤検知を減らすのに有効です。
以下の手順を実行します。
1. [ データ フィルタリング プロファイル ] ページで [ 追加 ] をクリックし、[ データ パターン ]
ドロップダウンで [ 新規 ] をクリックします。[Objects] > [ カスタム シグネチャ ] > [ デー
タ パターン ] からデータ パターンを設定することもできます。
2. この例では、データ パターン シグネチャに「Detect SS Numbers」
という名前を付け、「Data Pattern to detect Social Security numbers」
という説明を追加します。
3. [ 重み ] セクションの [SSN 番号 ] に「3」と入力します。75 ページ
の「重み値としきい値」を参照してください。
4.(任意)このプロファイルが適用される [ カスタム パターン ] を設定
することもできます。この場合は、カスタム パターンの [ 正規表現 ]
フィールドでパターンを指定し、重みを設定します。照合する正規表
現を同じデータ パターン プロファイルに複数追加できます。この例で
は、カスタム パターンが「confidential」
(パターンの大文字と小文字は
区別されます)で「SSN_Custom」という名前の [ カスタム パターン ]
を作成し、重みとして「20」を使用します。この例で「confidential」と
いう語を使用するのは、社会保障の Word ドキュメントにこの語が含ま
れているからです。そのため、この語を特に定義します。
86
スタート ガイド
脅威からのネットワークの防御
セキュリティ プロファイルとセキュリティ ポリシーのセットアップ
データ フィルタリングの設定例(続き)
ステップ 4 フィルタリングするアプリケー 1.
ションを指定し、ファイル タイ
プを設定します。
[ アプリケーション ] を [ いずれか ] に設定します。
これ
により、たとえば web-browsing、FTP、SMTP などのサ
ポートされるアプリケーションがすべて検出されま
す。アプリケーションを絞り込むには、リストから対
象を選択します。SSL を使用する Microsoft Outlook Web
App などのアプリケーションの場合は、復号化を有効
にする必要があります。また、各アプリケーションの表
示名について理解しておくことも必要です。たとえば、
Outlook Web App はこのアプリケーションの Microsoft 名
で す が、PAN-OS の ア プ リ ケ ー シ ョ ン リ ス ト で は
outlook-web アプリケーションとして示されます。所定
のアプリケーションのログを調べ、PAN-OS で定義され
ている名前を識別できます。85 ページの「データ フィ
ルタリングのセットアップ」を参照してください。
2.
[ ファイル タイプ ] を [doc] と [docx] に設定します。
これにより、doc ファイルと docx ファイルのみがス
キャンされます。
ステップ 5 フィルタリングするトラフィック 1.
の方向としきい値を指定します。
2.
[ 方向 ] を [both] に設定します。アップロードまたはダ
ウンロードされるファイルがスキャンされます。
[ アラートしきい値 ] を「35」に設定します。この場合、
社会保障番号が 5 インスタンス、confidential という単
語が 1 インスタンス存在するとアラートがトリガーされ
ます。式に当てはめると、重みが 3 の SSN インスタン
スが 5 つで 15、重みが 20 の単語 confidential のインス
タンスが 1 つで 20 となり、合計で 35 となります。
3.
スタート ガイド
[ ブロックしきい値 ] を「50」に設定します。ファイル
での SSN インスタンスまたは単語 confidential のイン
スタンスの合計数がしきい値の 50 になると、そのファ
イルはブロックされます。たとえば、doc 内に重みが
20 の単語 confidential が 1 インスタンス含まれ(しき
い値の 20 に相当)、重みが 3 の社会保障番号が 15 イン
スタンス含まれ(しきい値の 45 に相当)ているとしま
す。この場合は、20 と 45 を加算して 65 となり、ブロッ
クしきい値 50 を超えます。
87
セキュリティ プロファイルとセキュリティ ポリシーのセットアップ
脅威からのネットワークの防御
データ フィルタリングの設定例(続き)
ステップ 6 データ フィルタリング プロファ 1.
イルをセキュリティ ルールに適
用します。
2.
[Policies] > [ セキュリティ ] の順に移動し、適切なセ
キュリティ ポリシーを選択します。
セキュリティ プロファイル ルールをクリックして変更
し、次に [ アクション ] タブをクリックします。[ デー
タ フィルタリング ] ドロップダウンで、作成した新し
いデータ フィルタリング プロファイルを選択し、[OK]
をクリックして保存します。この例でのデータ フィル
タリング ルール名は「DF_Profile1」です。
この例ではセキュリティ ルールがすでに作成されており、
信頼されたゾーンから信頼されないゾーンへのアウトバ
ウンド トラフィックがすべて許可され、信頼されないゾーン
から信頼されたゾーンへのインバウンド トラフィックはす
べてブロックされます。基本セキュリティ ポリシーの設定に
ついての詳細は、57 ページの「セキュリティ ルールの作成」
を参照してください。
ステップ 7 設定を [Commit] します。
88
スタート ガイド
脅威からのネットワークの防御
セキュリティ プロファイルとセキュリティ ポリシーのセットアップ
データ フィルタリングの設定例(続き)
ステップ 8 データ フィルタリング設定をテ テストでは、実際の社会保障番号を使用し、各番号は一意
ストします。
である必要があります。また、この例で単語 confidential を
使用してカスタム パターンを定義したのと同様に、パターン
では大文字と小文字が区別されます。テストを簡易に保つ
ため、最初はデータ パターンだけを使用してテストし、次
に SSN をテストすることができます。
1.
ファイアウォールの信頼されたゾーンにあるクライアン
ト PC にアクセスし、フィルタリングする情報の適切な
インスタンスを含んだ .doc または .docx ファイルを HTTP
を使用してアップロードします。
2.
単語 confidential を 1 インスタンスと、ダッシュ付き社
会保障番号を 5 インスタンス含んだ Microsoft Word ド
キュメントを作成します。
3.
ファイルを Web サイトにアップロードします。復号化
を設定していない場合を除いて HTTP を使用します。
設定していない場合は HTTPS を使用できます。
4.
[Monitor] > [ ログ ] > [ データ フィルタリング ] ログの
順に移動します。
5.
アップロードしたファイルの [ データ フィルタリング ]
ログに、クライアント PC の送信元および Web サーバーの
宛先と一緒にアラートが表示され、ログの [ アクション ]
列に「reset-both」と表示されます。これで、ドキュメン
ト内の社会保障番号の数を増やしてブロックしきい値
をテストできます。
データ フィルタリングが正常に機能しない場合は、データ
フィルタリング ログまたはトラフィック ログを調べてテ
スト対象のアプリケーションを検証し、テスト ドキュメン
トに適切な数の一意の社会保障番号インスタンスが含まれ
て い る こ と を 確 認 し て く だ さ い。た と え ば、Microsoft
Outlook Web App のようなアプリケーションが web-browsing
として識別されているように見えても、ログを見ると、そ
のアプリケーションは outlook-web になっています。また、
SSN の数やカスタム パターンを増やし、必ずしきい値に到
達するようにしてください。
スタート ガイド
89
セキュリティ プロファイルとセキュリティ ポリシーのセットアップ
脅威からのネットワークの防御
ファイル ブロッキングのセットアップ
この例を使用して、ファイル ブロッキングのセットアップに必要な基本手順について説明しま
す。この設定では、Web サイトから .exe ファイルをダウンロードする前に続行するよう求めるプ
ロンプトをユーザーに表示するために必要なオプションを設定します。この例のテストでは、送
信元との間にコンテンツをブロックしている他のシステムが存在する可能性があることに注意
してください。
ファイル ブロッキング設定
ステップ 1 ファイル ブロッキング プロファ 1.
イルを作成します。
ステップ 2 ファイル ブロッキングのオプ
ションを設定します。
90
[Objects] > [ セキュリティ プロファイル ] > [ ファイル
ブロッキング ] の順に移動し、
[ 追加 ] をクリックします。
2.
この例では、[ 名前 ] を「Block_EXE」とし、
「Block .exe
files from being downloaded from websites」という説明を入
力します。
1.
[追加] をクリックしてプロファイル設定を定義します。
2.
[ 名前 ] に「BlockEXE」などと入力します。
3.
この例では、[ アプリケーション ] を [web-browsing] に
設定します。
4.
[ ファイル タイプ ] を [exe] に設定します。
5.
[ 方向 ] を [download] に設定します。
6.
[ アクション ] を [continue] に設定します。[continue] オ
プションを選択することにより、応答ページで、ファ
イルをダウンロードするために [ 続行 ] をクリックする
ようユーザーに求めるプロンプトが表示されます。
7.
[OK] をクリックして保存します。
スタート ガイド
脅威からのネットワークの防御
セキュリティ プロファイルとセキュリティ ポリシーのセットアップ
ファイル ブロッキング設定(続き)
ステップ 3 ファイル ブロッキング プロファ 1.
イルをセキュリティ ポリシーに
適用します。
[Policies] > [ セキュリティ ] に移動します。既存のポリ
シ ー を 選 択 す る か、新 し い ポ リ シ ー を 作 成 し ま す。
57 ページの「セキュリティ ルールの作成」を参照して
ください。
2.
ポリシーを選択して [ アクション ] タブをクリックし
ます。
3.
[ プロファイル設定 ] セクションで、ドロップダウンを
クリックし、設定したファイル ブロッキング プロファ
イ ル を 選 択 し ま す。こ の 例 で の プ ロ フ ァ イ ル 名 は
Block_EXE です。
前にセキュリティ プロファイルを定義したことがない場合
は、[ プロファイル タイプ ] ドロップダウンを選択し、[ プ
ロファイル ] を選択します。セキュリティ プロファイルを
選択するためのオプションの一覧が表示されます。
ステップ 4 設定を [Commit] します。
ステップ 5 ファイル ブロッキング設定をテストするには、ファイアウォールの信頼されたゾーンのクラ
イアント PC にアクセスし、信頼されないゾーンの Web サイトから .exe ファイルのダウンロー
ドを試みます。応答ページが表示されます。[ 続行 ] をクリックすると、ファイルがダウン
ロードされます。
次の図は、ファイル ブロッキングのデフォルト応答ページのサンプルです。
スタート ガイド
91
セキュリティ プロファイルとセキュリティ ポリシーのセットアップ
脅威からのネットワークの防御
ファイル ブロッキング設定(続き)
ステップ 6 continue アクションを選択したときにユーザーに表示されるカスタム応答ページを定義するこ
ともできます。これにより、応答ページに表示される情報量を増やすことができます。含め
ることができる情報は、ポリシーの情報やチケット システムへのリンクなどです。このオプ
ションは、[Device] > [ 応答ページ ] にあります。応答ページの作成および管理についての詳
細は、
『Palo Alto Networks 管理者ガイド』の「カスタム応答ページの定義」セクションを参照
してください。付録 A(「カスタム ページ」)には、独自のページ作成に役立つデフォルトの
応答ページすべての HTML コードが掲載されています。
注意
アクションを [continue] または [continue-and-forward](WildFire 転送に使用される)のいずれか
にしてファイル ブロッキング プロファイルを作成する場合、選択できるアプリケーションは
web-browsing のみです。その他のアプリケーションを選択すると、ユーザーに対して続行ペー
ジのプロンプトが表示されないため、セキュリティ ポリシーに一致するトラフィックはファ
イアウォールを通過しません。また、テスト対象の Web サイトで HTTPS を使用している場合
は、復号ポリシーを設定する必要があります。85 ページの「データ フィルタリングのセット
アップ」を参照してください。
ログを調べ、この機能をテストするときに使用中のアプリケーションを確認することができます。たと
えば、Microsoft Sharepoint を使用してファイルをダウンロードする場合は、Web ブラウザを使用してその
サイトにアクセスするとしても、実際のアプリケーションは sharepoint-base または sharepoint-document で
す。テストでは、アプリケーション タイプは [ いずれか ] に設定できます。
92
スタート ガイド
脅威からのネットワークの防御
セキュリティ プロファイルとセキュリティ ポリシーのセットアップ
WildFire のセットアップ
この例を使用して、WildFire のセットアップで必要な基本手順と、WildFire にファイルを送信し
て分析を行う場合に使用できる別の方法について説明します。
WILDFIRE 設定
ステップ 1 デバイスが登録されており、有効 1.
なサポート アカウントを保有し
ていることを確認します。
2.
Palo Alto Networks サポート サイトに移動し、ログイン
して [My Devices] をクリックします。
使用中のファイアウォールが [My Devices] リストに含
まれていることを確認します。リストにない場合は、
12 ページの「Palo Alto Networks への登録」を参照して
ください。
ステップ 2 WildFire ポータル オプションを 1.
設定します。
ファイアウォールで、[Device] > [ セットアップ ] >
[WildFire] タブの順に移動します。
2.
WildFire サーバー(現時点では default-cloud のみをサ
ポート)を定義し、転送される最大ファイル サイズを
設定し、WildFire ログに表示されるセッション情報を設
定することができます。
以下に、デフォルトの設定を示します。
注意
スタート ガイド
WildFire ポータル上のログ、またはライセンス加入
者のログを表示することができます。ログは、ファ
イアウォールで [Monitor] > [ ログ ] > [WildFire] の
順に選択して表示することもできます。
93
セキュリティ プロファイルとセキュリティ ポリシーのセットアップ
脅威からのネットワークの防御
WILDFIRE 設定(続き)
ステップ 3 WildFire ポータルへのファイルの Palo Alto Networks サポートにログイン可能な場合は、以下
アップロードを開始します。
のいずれかの方法でファイルを送信できます。
注意
WildFire にファイルをアップロードするために推奨
される方法は、ファイル ブロッキング プロファイ
ルです。
• ファイル ブロッキング プロファイル — ファイアウォー
ルでファイルを WildFire システムに自動で転送できるよ
うにするには、90 ページの「ファイル ブロッキングの
セットアップ」の説明に従ってファイル ブロッキング プ
ロファイルをセットアップします。[Objects] > [ セキュリ
ティ プロファイル ] > [ ファイル ブロッキング ] の順に移
動し、新しいプロファイルを作成するか、既存のプロファ
イルに変更を加えます。[ アクション ] 列でドロップダ
ウンを選択して、[forward] または [continue-and-forward]
を選択します。これらのアクションのいずれかを指定す
ると、サポートされる各ファイル タイプが WildFire シス
テムに転送されます。サポートされているファイル タイ
プには、Win32 Portable Executable(PE)ファイル(exe、
dll、scr など)があります。オブジェクト プロファイルで
ファイル タイプに [PE] を選択すると、Win32 PE のすべ
てのファイル タイプが処理対象になります。90 ページの
「ファイル ブロッキングのセットアップ」の説明に従っ
てファイル ブロッキング プロファイルがセキュリティ
ポリシーに適用されていることを確認してください。
• 手動アップロード — [WildFire ポータル ] に移動し、自分
の Palo Alto Networks サポート アカウントでログインしま
す。
[ファイルのアップロード ] ボタンをクリックしてファ
イルに移動し、[ アップロード ] をクリックします。ファ
イルがスキャンされ、[ デバイス ] リストから結果を表示
できます。手動でアップロードされたファイルのリスト
を表示するには、[ 手動 ] をクリックします。
• API — WildFire ライセンスがあれば WildFire API にアク
セスすることができ、これにより、Palo Alto Networks ファ
イアウォールによる使用とは別に、クラウド内の WildFire
に対して外部プログラムからのアクセスが許可されま
す。WildFire API は、WildFire システムへのファイルの送
信・分析、および過去に送信されたファイルのレポート
を確認するために使用します。ファイルのアップロード
は毎日 100 ファイルまで、WildFire ポータルへのクエリは
毎日 1,000 回まで実行できます。WildFire API Tech Note を
参照してください。
94
スタート ガイド
脅威からのネットワークの防御
セキュリティ プロファイルとセキュリティ ポリシーのセットアップ
WILDFIRE 設定(続き)
ステップ 4 WildFire ポータルを設定します。 1.
WildFire ポータルにログインし、ポータル ページ右上の
アカウント名の横にある [ 設定 ] リンクをクリックし
ます。
2.
このページから、タイム ゾーンの設定、WildFire ログの
削除、および手動でアップロードされるファイルまた
はスキャンされたファイルの状態(マルウェアまたは
安全)に基づいて各デバイスによって送信されるファ
イルの電子メール通知の設定を行うことができます。
ステップ 5 アップロードされたファイルの 1.
状態を確認します。WildFire ライ 2.
センス加入者であれば、ファイア
ウォールで WildFire ログを直接
調べることもできます。
WildFire ポータルから、登録済みデバイスを確認します。
アップロードされたファイルのリスト、およびマルウェ
アに感染、安全、または未解決分析などのスキャン結果
を表示するには、特定のデバイスをクリックします。
WildFire ポータルおよび他の WildFire オプションについての詳細は、
『Palo Alto Networks 管理者ガ
イド』の WildFire の章を参照してください。WildFire スキャン プロセスのフロー図については、
WildFire Decision Flow Tech Note を、
API についての詳細は WildFire API Tech Note を参照してください。
URL フィルタリングのセットアップ
この例を使用して、Palo Alto Networks URL フィルタリング(PAN-DB)機能を設定するために必
要な手順について説明します。代替方法として使用可能な BrightCloud データベースについても
説明します。
PAN-DB URL フィルタリング設定
ステップ 1 URL フィルタリングのライセン
ス情報を確認します。
スタート ガイド
1.
PAN-DB ライセンスを取得してインストールします。
2.
[Device] > [ ライセンス ] ページに移動し、
[PAN-DB URL
フィルタリング ] セクションで [ 有効期限 ] フィールド
を見て、ライセンスが有効であることを確認します。
95
セキュリティ プロファイルとセキュリティ ポリシーのセットアップ
脅威からのネットワークの防御
PAN-DB URL フィルタリング設定(続き)
ステップ 2 初期シード データベースをダウン 1.
ロードし、PAN-DB URL フィルタ
リングをアクティベーションし
ます。
2.
[PAN-DB URL フィルタリング ] セクションの [Devices] >
[ ライセンス ] で、[ ダウンロードの状態 ] の横にある
[ ダウンロード ] をクリックします。
現在位置の適切な領域を選択し、[OK] をクリックして
ダウンロードを開始します。
ステップ 3 PAN-DB をアクティベーションす
るには、まずシード データベー 3.
スをダウンロードする必要があ
ります。
[ アクティベーション ] リンクをクリックします。
注意
PAN-DB がすでにアクティブな URL フィルタリング
ベンダーになっているときに [再ダウンロード ] をク
リックすると、データプレーンと管理プレーンの
キャッシュがクリアされてシード データベースの
エントリで置き換えられることにより、PAN-DB が
再アクティベーションされます。デバイスを通過す
る Web トラフィックに基づいてカスタマイズされて
いるキャッシュを失うことになるため、必要時以外
はこの操作を行わないでください。再び BrightCloud
に切り替えるには、有効な BrightCloud ライセンスを
まだ保有している場合には、[BrightCloud URL フィ
ルタリング ] セクションで [ アクティベーション ] を
クリックします。これにより PAN-DB が削除され、
BrightCloud が URL フィルタリングのアクティブな
ベンダーとなります。再び PAN-DB に切り替える
には、[PAN-DB URL フィルタリング ] セクション
からもう一度シード データベースをダウンロード
して、[ アクティベーション ] をクリックすること
が必要になります。
URL ベンダーを切り換えるときにコミットする必要はあり
ません。
ステップ 4 URL フィルタリング プロファイ 1.
ルをセットアップします。
96
[Objects] > [ セキュリティ プロファイル ] > [URL フィ
ルタリング ] の順に移動し、[ 追加 ] をクリックします。
2.
[ 名前 ] と [ 内容 ] を入力します。この例では、名前を
「Block_Shopping」に、説明を「Block shopping sites」に
します。
3.
[ ライセンス有効期限のアクション ] は、デフォルト値
の「許可」のままにします。URL フィルタリング ライ
センスが期限切れになると、ショッピング サイトが許
可されます。(BrightCloud のみ)
スタート ガイド
脅威からのネットワークの防御
セキュリティ プロファイルとセキュリティ ポリシーのセットアップ
PAN-DB URL フィルタリング設定(続き)
ステップ 5 (任意)ダイナミック URL フィル BrightCloud を使用する場合は、ダイナミック URL フィルタ
タリングを有効または無効にし リングを有効または無効にすることができます。このオプ
ます。
ションが有効な場合、デバイスではクラウド URL データ
ベースにクエリすることができます。
PAN-DB の場合、このオプションはデフォルトで有効にさ
れており、設定できません。
ステップ 6 (任意)URL フィルタリング ポリ 1.
シ ー で URL カ テ ゴ リ の 場 合 に
オーバーライド アクションを定 2.
義すると、ユーザーがそのカテゴ
リの URL にアクセスするときに
3.
プロンプトが表示されます。管理
者が認証情報を入力することが
でき、ユーザーは設定された一定
時間の間このタイプのカテゴリ
を表示できます。
4.
[Device] > [ セットアップ ] > [ コンテンツ ID] タブの順
に移動します。
[URL 管理オーバーライド ] セクションで、[ 追加 ] を
クリックしてパスワードを設定します。
デフォルトのオーバーライド期間 15 分を使用するか、
[URL 管理オーバーライド タイムアウト ] フィールドで
カスタム値を設定できます。たとえば、60 分に設定す
ると、ログイン認証情報を入力した後、ユーザーはブ
ロックされたカテゴリの任意のサイトに 60 分間アクセ
スできます。
パスワードを設定するときには、[ 透過的 ] または [ リ
ダイレクト ] を選択できます。これにより、ブロック
ページが透過的に配信されるか ( ブロックされた Web
サイトから発信したように見える )、指定したサーバー
にユーザーをリダイレクトするかを決定します。[ リダ
イレクト ] を選択した場合は、リダイレクトするための
IP アドレスを入力します。
ステップ 7 (任意)ブロック リストと許可リ ブロック リストの場合は、次のアクションを設定できます。
ストを定義します。
• ブロック — URL をブロックします。
• 続行 — ユーザーに対して応答ページが表示されます。
[ 続行 ] をクリックすると、Web ページが開きます。応答
ページはカスタマイズすることもできます。
• アラート — 定義されたカテゴリの Web サイトごとにア
ラートがログに記録されます。
スタート ガイド
97
セキュリティ プロファイルとセキュリティ ポリシーのセットアップ
脅威からのネットワークの防御
PAN-DB URL フィルタリング設定(続き)
ステップ 8 カテゴリを選択します。
1.
カテゴリのリストで、
「shopping」までスクロールして
チェック ボックスをオンにします。
2.
[ アクション ] 列で、[block] を選択し、[OK] をクリッ
クして変更を保存します。
ステップ 9 プロファイルをセキュリティ ポ 1.
リシーに適用します。
2.
[Policies] > [ セキュリティ ] に移動します。
変更したいポリシー名を選択し、次に [ アクション ] タ
ブをクリックします。
3.
[ プロファイル設定 ] リストで、[URL フィルタリング ]
の横にあるドロップダウンをクリックします。この例
でのプロファイル名は Block_Shopping です。
4.
[OK] をクリックして保存します。
注意
前にセキュリティ プロファイルを定義したことがな
い場合は、[ プロファイル タイプ ] ドロップダウンを
選択し、[ プロファイル ] を選択します。セキュリ
ティ プロファイルを選択するためのオプション
の一覧が表示されます。
ステップ 10 設定を [Commit] します。
98
スタート ガイド
脅威からのネットワークの防御
セキュリティ プロファイルとセキュリティ ポリシーのセットアップ
PAN-DB URL フィルタリング設定(続き)
ステップ 11 URL フィルタリングをテストするには、セキュリティ ポリシーが適用されるゾーンにあるク
ライアント PC から、ショッピング Web サイトへのアクセスを試みます。この例では、デフォ
ルトの URL フィルタリング応答ページが表示されます。URL フィルタリングのデフォルト応
答ページのサンプルを示します。
ステップ 12 continue アクションを選択したときにユーザーに表示されるカスタム応答ページを定義するこ
ともできます。これにより、応答ページに表示される情報量を増やすことができます。含め
ることができる情報は、会社毎のポリシーの情報や社内 IT サポート部門へのリンクなどです。
このオプションは、[Device] > [ 応答ページ ] にあります。応答ページの作成および管理につ
いての詳細は、
『Palo Alto Networks 管理者ガイド』の「カスタム応答ページの定義」セクション
を参照してください。付録 A(「カスタム ページ」)には、独自のページ作成に役立つデフォ
ルトの応答ページすべての HTML コードが掲載されています。
PAN-DB URL フィルタリングについての詳細は、URL Filtering (PAN-DB) Tech Note を参照してください。
BrightCloud を使用した URL フィルタリングについての詳細は、URL Categorization Components and Process
Tech Note を参照してください。
スタート ガイド
99
セキュリティ プロファイルとセキュリティ ポリシーのセットアップ
100
脅威からのネットワークの防御
スタート ガイド
4 ユーザー ID の設定
ユーザー ID (User-ID) は、Palo Alto Networks の次世代ファイアウォールの機能の 1 つで、個々の
IP アドレスではなくユーザーおよびグループに基づきポリシーを作成してレポートを実行でき
ます。ここでは、Palo Alto Networks の User-ID 機能と、ユーザーおよびグループ ベースのアクセ
スを設定する方法について説明します。

ユーザー ID の概要

ユーザー ID の有効化

ユーザーおよびグループ ベースのポリシーを有効にする

User-ID 設定の確認
スタート ガイド
101
ユーザー ID の概要
ユーザー ID の設定
ユーザー ID の概要
User-ID は、Palo Alto Networks のファイアウォールとさまざまな企業ディレクトリおよび端末
サービスをシームレスに統合することにより、アプリケーションの動作とセキュリティ ポリ
シーを、IP アドレスだけでなくユーザーおよびグループに結合させることができます。Palo Alto
Networks の次世代ファイアウォールでは、以下の企業向けサービスをサポートしています。
• Microsoft Active Directory
• LDAP
• Novell eDirectory
• Citrix Metaframe Presentation Server または XenApp
• Microsoft Terminal Services
ユーザーおよびグループに基づいてポリシーを作成できるようにするには、ファイアウォール
で、ポリシーを定義するときに使用可能なすべてのユーザーと対応するグループを選択できる
マッピングのリストが必要です。このリストでは、LDAP ディレクトリ サーバーに直接接続して
情報を取得します。ユーザーおよびグループ ベースのポリシーを実施できるようにするには、
ファイアウォールで受信するパケットの IP アドレスをユーザー名にマッピングできる必要があ
ります。この情報を取得するには、Windows サーバーにインストールされた User-ID エージェン
トから直接取得するか、Microsoft Exchange Server またはドメイン コントローラのイベント ログ
でログオン イベントをモニタリングするか、Novell eDirectory のログイン情報をモニタリングす
るか、またはクライアント システムを直接プローブします。以下では、グループ マッピングお
よびユーザー マッピングの機能について詳しく説明します。
102
スタート ガイド
ユーザー ID の設定
ユーザー ID の概要
グループ マッピングについて
ユーザーまたはグループに基づいてセキュリティ ポリシーを定義するには、ファイアウォール
でグループとそれに対応するメンバーのリストをディレクトリ サーバーから取得する必要があ
ります。この機能を有効にするには、LDAP サーバー プロファイルを作成する必要があります。
このプロファイルからファイアウォールに対して、サーバーへの接続および認証方法と、ディレ
クトリでユーザーおよびグループの情報を検索する方法に関する命令が行われます。LDAP サー
バーへの接続が確立され、グループとユーザー ID のマッピング機能を設定すると、セキュリ
ティ ポリシーを定義するときにユーザーまたはグループを選択できるようになります。ファイ
アウォールでは、Microsoft Active Directory (AD)、Novell eDirectory、Sun ONE Directory Server など、
さまざまな LDAP ディレクトリ サーバーがサポートされています。
ユーザー マッピングについて
ユーザーおよびグループに名前がついているだけでは、パズルの 1 ピースにすぎません。ファイ
アウォールでは、セキュリティ ポリシーを正しく実施するためにも、どの IP アドレスがどの
ユーザーにマッピングされるかを知る必要があります。このようなユーザー マッピングを行う
には、User-ID エージェントを設定する必要があります。User-ID エージェントは、ドメインの
Windows サーバーにエージェント ソフトウェアをインストールするか、またはファイアウォー
ルでネイティブのエージェントを有効にすることで使用できます。マッピングを入手する方法
は、以下のいずれかです。
• Microsoft Exchange Server、ドメイン コントローラ、または Novell eDirectory サーバーのセキュ
リティ イベント ログでログオン イベントをモニタリングします。たとえば AD 環境の場合、
エージェントがセキュリティ ログで Kerberos チケットの許可または更新、Exchange Server へ
のアクセス ( 設定されている場合 )、ファイルおよび印刷サービスの接続 ( モニタリング対象
のサーバー ) などをモニタリングします。これらのイベントをセキュリティ ログに記録する
には、アカウントのログオン完了イベントを記録するように AD ドメインを設定する必要が
あります。
スタート ガイド
103
ユーザー ID の概要
ユーザー ID の設定
• Microsoft Windows 環境では、Windows Management Instrumentation (WMI) または NetBIOS を使
用してクライアント システムをプローブするようにエージェントを設定できます。プローブ
を有効にすると、エージェントが取得した IP アドレスを定期的にプローブし ( デフォルトは
20 分ですが、この設定は変更できます )、同じユーザーがログオンし続けていることを確認
できます。さらに、ファイアウォールでユーザーにマッピングされていない IP アドレスが
見つかった場合、エージェントにそのアドレスが送信され、直ちにプローブが実行されます。
• Microsoft Terminal Server や Citrix 環境など、マルチ ユーザー システム環境の場合、多くのユー
ザーが同じ IP アドレスを共有します。このような場合、ユーザー対 IP アドレスのマッピン
グ プロセスで、クライアントごとの送信元ポートの情報が必要となります。このタイプの
マッピングを実行するには、Windows Terminal Server/Citrix のターミナル サーバー自体に Palo
Alto Networks Terminal Services Agent をインストールし、さまざまなユーザー プロセスに対す
る送信元ポートの割り当てを仲介する必要があります。
• モバイル ユーザーやローミング ユーザーの場合、GlobalProtect クライアントからユーザー
マッピング情報がファイアウォールに直接提供されます。GlobalProtect の設定の詳細は、
『Palo
Alto Networks 管理者ガイド』の第 9 章を参照してください。
• ユーザーがログインしていない場合や、ドメイン サーバーでサポートされていない Linux な
どのオペレーティング システムを使用している場合など、User-ID エージェントのファイア
ウォールで IP アドレスとユーザーをマッピングできない場合、キャプティブ ポータルを設
定できます。キャプティブ ポータルを設定すると、キャプティブ ポータルのポリシーと一
致する Web トラフィック (HTTP または HTTPS) でユーザー認証が必要となります。ユーザー
認証は、NT LAN Manager (NTLM) からブラウザへの認証チャレンジを透過的に行うか、また
はユーザーを Web 認証フォームにリダイレクトして RADIUS、LDAP、Kerberos、またはロー
カル認証データベースに対する認証をアクティブに行うか、またはクライアント証明書によ
る認証を使用して行います。
• サードパーティの VPN ソリューションから接続するユーザーや、802.1x 対応のワイヤレス
ネットワークに接続するユーザーのマッピングを追加する場合など、標準的なユーザー マッ
ピングまたはキャプティブ ポータルの手法ではマッピングできない他のタイプのユーザー
アクセスの場合については、
『PAN-OS XML-based REST API Usage Guide (PAN-OS XML ベース
の REST API 利用ガイド )』を参照してください。
104
スタート ガイド
ユーザー ID の設定
ユーザー ID の有効化
以下の図に、ユーザーおよびグループをネットワーク上で識別するのに使用できるさまざまな方
法を示します。
ユーザー ID の有効化
ユーザーまたはグループに基づくポリシーの適用を可能にするには、以下のタスクを実行する必
要があります。

ユーザー対グループのマッピング

IP アドレス対ユーザーのマッピング

ユーザーおよびグループ ベースのポリシーを有効にする
ユーザー対グループのマッピング
以下の手順により LDAP ディレクトリに接続し、ファイアウォールでユーザー対グループのマッ
ピング情報を取得できるようにします。
スタート ガイド
105
ユーザー ID の有効化
ユーザー ID の設定
ユーザー対グループのマッピング
ステップ 1 LDAP サーバー プロファイルを作成し、ファイアウォールがグループのマッピング情報の取
得に使用する、ディレクトリ サーバーへの接続方法を指定します。
1. [Device] > [ サーバー プ
ロファイル ] > [LDAP]
の順に選択します。
2. [ 追加 ] をクリックし、プ
ロファイルの [ 名前 ] を
入力します。
3. (任意)[ 場所 ] ドロップ
ダ ウ ン か ら、
このプロ
ファイルの適用先とな
る仮想システムを選択
します。
4. [ 追加 ] をクリックして
新 し い LDAP サ ー バ ー
のエントリを追加し、[ サーバー ] フィールドにサーバーを識別できる名前 (1-31 文字 ) を
入力し、IP アドレスを [ アドレス ] フィールドに、ポート番号を [ ポート ] フィールドに
それぞれ入力します。ファイアウォールでは、これらの情報を使用して LDAP サーバーに
接続します (LDAP のデフォルトのポート番号は 389、LDAP over SSL は 636 です )。プロファ
イルに追加できる LDAP サーバーは最大 4 つですが、プロファイルに追加するサーバーは、
すべて同じタイプのものでなければなりません。冗長性を確保するために、2 つ以上のサー
バーを追加することをお勧めします。
5. LDAP のドメイン名を [ ドメイン ] フィールドに入力すると、サーバーから取得したすべて
のオブジェクトの先頭にこのドメイン名が追加されます。ここで入力する値は、導入タイ
プにより異なります。
- Active Directory を使用している場合は、FQDN ではなく NetBIOS のドメイン名 ( 例 : acme.com
ではなく acme) を入力する必要があります。データを複数のドメインから収集する必要があ
る場合は、サーバー プロファイルを個別に作成する必要があります。ドメイン名は自動的に
決定することもできますが、できるだけ手動で入力することをお勧めします。
- グローバル カタログ サーバーを使用している場合、このフィールドは空白のままにしてお
きます。
6. [ タイプ ] フィールドで接続先となる LDAP サーバーを選択します。選択したタイプに基づ
き、グループ マッピングの値が自動的に入力されます。ただし、LDAP スキーマをカスタ
マイズしている場合、デフォルトの設定を変更する必要があります。
7. [ ベース ] フィールドで、ファイアウォールが LDAP ツリー内でユーザーおよびグループの
情報検索を開始するポイントを指定します。
8. LDAP ツリーにバインドする認証情報を、[ バインド DN]、[ バインド パスワード ]、[ 再入
力バインド パスワード ] の各フィールドに入力します。バインド DN は、ユーザー プリン
シパル名 (UPN) 形式
( 例 : [email protected]) または LDAP の完全修飾名
( 例 : cn=administrator,cn=users,dc=acme,dc=local) のどちらかになります。
9. ファイアウォールから安全な接続を介して LDAP サーバーとの通信を行う場合は、[SSL]
チェックボックスをオンにします。[SSL] を有効にする場合は、適切なポート番号が指定さ
れていることを確認する必要があります。
106
スタート ガイド
ユーザー ID の設定
ユーザー ID の有効化
ユーザー対グループのマッピング(続き)
ステップ 2 LDAP サーバー プロファイルを User-ID のグループ マッピング設定に追加します。
1. [Device] > [ ユーザー ID] > [ グループ
マッピング設定 ] の順に選択し、[ 追
加 ] をクリックします。
2. [ サーバー プロファイル ] で、
ステッ
プ 1 で作成したプロファイルを選択
します。
3. [ 有効 ] チェックボックスがオンに
なっていることを確認します。
4. (オプション) セキュリティ ポリシー
内で表示するグループを制限する場
合、[ 許可リストのグループ化 ] タブ
を選択し、LDAP ツリーを参照してポ
リシー内で使用できるグループを特
定します。許可するグループごとに、
[ 使用可能なグループ ] のリストからグループを選択し、追加アイコン
をクリックして
[ 含まれたグループ ] のリストに移動します。ポリシーで使用可能にするグループごとに、
この手順を繰り返します。
5. [OK] をクリックして設定を保存します。
ステップ 3 設定を保存します。
[Commit] をクリックします。
IP アドレス対ユーザーのマッピング
IP アドレスとユーザー名のマッピングを実行するのに必要なタスクは、ネットワーク上のクラ
イアント システムのタイプや場所により異なります。以下のタスクの中から、クライアント シ
ステムでマッピングを有効にするのに必要なものを実行します。

モニタリング対象の Exchange Server、ドメイン コントローラ、または eDirectory サーバーに
ログインしているクライアント、あるいは直接プローブできる Windows クライアントをマッ
ピングする方法の詳細は、108 ページの「User-ID エージェントを使用したユーザー マッピングの
設定」 を参照してください。

ドメインにログインしていない Linux クライアントを実行するユーザーなど、ドメイン サー
バーにログインしていないクライアント システムのユーザーの場合は、111 ページの「キャプ
ティブ ポータルを使用した IP アドレス対ユーザー名のマッピング」 を参照してください。

Microsoft Terminal Server、Citrix Metaframe Presentation Server または XenApp など、マルチサー
バー システムを実行するクライアントで、エージェントをインストールおよび設定する方法
の詳細は、
『Palo Alto Networks 管理者ガイド』の第 7 章にある「ターミナル サービス エージェン
トのセットアップ」を参照してください。

前述の方法でマッピングできないその他のクライアントについては、XML ベースの REST
API を使用してユーザー マッピングを直接ファイアウォールに追加できます。詳細は、
『PAN-OS XML-based REST API Usage Guide (PAN-OS XML ベースの REST API 利用ガイド )』を
参照してください。
スタート ガイド
107
ユーザー ID の有効化
ユーザー ID の設定
User-ID エージェントを使用したユーザー マッピングの設定
多くの場合、ネットワーク ユーザーの大部分がモニタリング対象のドメイン サービスにログイン
できます。これらのユーザーについては、Palo Alto Networks の User-ID エージェントが IP アド
レス対ユーザーのマッピングを実行します。User-ID エージェントを設定する方法は、環境の規
模やディレクトリ サーバーの場所により異なります。User-ID エージェントをモニタリング対象
サーバーの近くに配置することをお勧めします。これは、ユーザー マッピングのトラフィック
がエージェントとモニタリング対象サーバーの間で発生し、エージェントとファイアウォール間
のトラフィック ( 最終更新以降の IP アドレス マッピングの差分情報 ) の量もごくわずかなため
です。
ただし、小規模な環境 ( モニタリング対象のディレクトリ サーバーが 10 台以下の環境では、一
般的にオンデバイス エージェントを使用するため、導入タイプにより異なります ) の場合、ファ
イアウォール上にあるオンデバイス エージェントを使用すると、ネットワーク サーバーで個別
にエージェント ソフトウェアをインストールする必要がなくなります。オンデバイス エージェン
トを使用すると、さらにユーザー マッピング情報を他のファイアウォールにも再配信するよう
に設定できます。詳細は、
『Palo Alto Networks 管理者ガイド』の第 7 章にある「マッピング デー
タを共有するためのファイアウォールの設定」を参照してください。
以下の手順により、Active Directory ドメイン コントローラをモニタリングするための、オンデバ
イス エージェントの設定方法を示します。スタンドアロンの User-ID エージェントのインストー
ルおよび設定の詳細は、User-ID エージェントの初期インストールおよびセットアップを参照し
てください。
IP アドレス対ユーザーのマッピング
ステップ 1 サービスまたはホストごとにロ
グインする権限を持つファイア
ウォール エージェントの Active
Directory アカウントを作成しま
す。これらのサービスまたはホス
トをモニタリングして、ユーザー
マッピング データを収集します。
• Windows 2008 以降のドメイン サーバー —「Event Log
•
•
•
108
Readers」グループにアカウントを追加します。オンデバ
イスの User-ID エージェントを使用している場合、アカウン
トが「Distributed COM Users」グループのメンバーにもなっ
ている必要があります。
Windows 2003 ドメイン サーバー — 「監査とセキュリ
ティ ログの管理」許可がグループ ポリシーに割り当てら
れます。
WMI プローブ — CIMV2 名前空間を読み取る権限を持
つアカウントが必要です。ドメイン管理者アカウントに
はこの権限があります。
NTLM 認証 — オンデバイス User-ID エージェントによ
る NTLM 認証を使用する場合、ファイアウォールがドメ
インに参加する必要があるため、NTLM アクセス用に作
成する Windows アカウントに管理者権限が必要となりま
す。複数の仮想システムを設定している場合、同じホス
トで実行される仮想システムで AD の制約があるため、
vsys1 のみがドメインに参加できます。
スタート ガイド
ユーザー ID の設定
ユーザー ID の有効化
IP アドレス対ユーザーのマッピング(続き)
ステップ 2 ファイアウォールでモニタリン
グするサーバーを定義し、IP ア
ドレス対ユーザー マッピングの
情報を収集します。ネットワーク
で 最 大 100 個 の Microsoft Active
Directory、Microsoft Exchange、ま
たは Novell eDirectory サーバーの
エントリを定義できます。
1.
[Device] > [ ユーザー ID] > [ ユーザー マッピング ] の順
に選択します。
2.
画面の [ サーバー モニタリング ] セクションで [ 追加 ]
をクリックします。
3.
サーバーの [ 名前 ] と [ ネットワーク アドレス ] を入力
します。
4.
[タイプ] フィールドで、
サーバーのタイプを選択します。
5.
必要なマッピング情報をすべて
収集するには、ユーザーがログ
インしているすべてのサーバー 6.
に接続し、ログオン イベントを
含むすべてのサーバーのセキュ
リティ ログ ファイルをファイア
ウォールでモニタリングできる
ようにする必要があります。
[ 有効 ] チェックボックスがオンになっていることを確
認し、[OK] をクリックします。
( オプション ) DNS 検索を使用してファイアウォールで
自動的にネットワークのドメイン コントローラを検出
できるようにするには、[ 検出 ] をクリックします。
注意
7.
ステップ 3 ファイアウォールで Windows リ 1.
ソースへのアクセスに使用する、
アカウントのドメイン認証情報
を設定します。この設定は、WMI
プローブと Exchange Server およ
びドメイン コントローラのモニ
タリングに必要です。
スタート ガイド
自動検出機能は、ドメイン コントローラの場合の
み有効です。Exchange Server や eDirectory サーバー
をモニタリングする場合、手動でそれらを追加する
必要があります。
( 任意 ) ファイアウォールが設定済みサーバーに対して
マッピング情報をポーリングする頻度を調整するに
は、画面の Palo Alto Networks ユーザー ID エージェン
ト設定 セクションで、編集アイコン
をクリックし
て [ サーバー モニタ ] タブを選択します。[ サーバー ロ
グのモニター頻度 ( 秒 )] フィールドで値を変更します。
DC が古い環境やリンクの遅延が大きな環境の場合、こ
のフィールドの値を 5 秒に増やすことをお勧めします。
[WMI 認証 ] タブで、[ ユーザー名 ] と [ パスワード ]
フィールドに、クライアントのプローブとサーバーの
モニタリングに使用するアカウントの名前とパスワー
ドを入力します。[ ドメイン ]/[ ユーザー名 ] の構文を使
用するユーザー名を入力します。
109
ユーザー ID の有効化
ユーザー ID の設定
IP アドレス対ユーザーのマッピング(続き)
ステップ 4 ドメインの認証情報を定義し、必 2.
要に応じて WMI プローブを有効
にします。
3.
注意
オンデバイス エージェントでは
NetBIOS プローブがサポートさ
れておらず、Windows ベースの 4.
User-ID エ ー ジ ェ ン ト で の み サ
ポートされています。
ステップ 5 設定を保存します。
110
Windows ファイアウォールでは、プローブ対象のクライ
アントごとにリモート管理の例外を追加することで、
クライアントのプローブが許可されます。
[OK] をクリックして User-ID エージェントの設定を保
存します。
2.
設定を保存するには [Commit] をクリックします。
また ignore-user リストを使
用して、キャプティブ ポータル
を使用した認証の実施が必要な
ユーザーを識別することもでき
ます。
ステップ 7 設定を確認します。
( 任意 ) 必要に応じて [ プローブ間隔 ] の値を変更し、
取得した IP アドレスをすべてプローブするのに十分な
時間を確保します。
1.
ステップ 6 ( 任意 ) サービス アカウントや 1.
kiosk アカウントなど、IP アドレ 2.
ス対ユーザー名のマッピングが
不要な一連のユーザーを定義し
ます。
ヒント
[ クライアントによるプローブ ] タブで [ プローブの有
効化 ] チェックボックスをオンにします。
ファイアウォールに対する CLI セッションを開きます。
ファイアウォールでのマッピングが不要なユーザー ア
カウントのリストを追加するには、以下のコマンドを
実行します。
set user-id-collector ignore-user <value>
<value> は無視するユーザー アカウントのリストで、
リス
トに追加するアカウント数に制限はありません。エン
トリをスペースで区切ります。ドメイン名はユーザー
名に含まれません。例 :
set user-id-collector ignore-user SPAdmin SPInstall
TFSReport
3.
変更をコミットします。
1.
CLI から以下のコマンドを入力します。
show user server-monitor state all
2.
Web インターフェイスで [Device] > [ ユーザー ID] > [ ユー
ザー マッピング ] の順に選択して、サーバーのモニタ
リング用に設定したサーバーごとに、[ 状態 ] が [ 接続
済み ] になっていることを確認します。
スタート ガイド
ユーザー ID の設定
ユーザー ID の有効化
キャプティブ ポータルを使用した IP アドレス対ユーザー名のマッピング
ファイアウォールが User-ID 対応のゾーンから要求を受信し、送信元 IP アドレスにユーザーの
データが関連付けられていない場合、キャプティブ ポータルのポリシーで一致を確認し、認証を
実施する必要があるかどうかを判断します。Linux クライアントなど、クライアントがドメイン
サーバーにログインしていない環境では、この設定が効果的です。このユーザー マッピングの方
法がトリガーされるのは、セキュリティ ルール / ポリシーと一致し、かつ他の方法を使用して
マッピングされていない Web トラフィック (HTTP または HTTPS) の場合のみです。
キャプティブ ポータルの認証方法
キャプティブ ポータルでは、要求がキャプティブ ポータルのポリシーと一致すると、以下の方
法によりユーザー データをクライアントから取得します。
認証方法
説明
NTLM 認証
ファイアウォールでは、暗号化されたチャレンジ レスポンス機構を使用
して、ユーザーの認証情報をブラウザから入手します。正しく設定され
ていれば、ブラウザからファイアウォールに認証情報が透過的に ( ユー
ザーに要求メッセージが表示されることなく ) 提供されますが、場合に
よっては要求メッセージが表示されます。ブラウザで NTLM を実行でき
ない、または NTLM 認証に失敗した場合、キャプティブ ポータルの設
定に応じて、ファイアウォールから Web フォーム認証またはクライアン
ト証明書認証に差し戻されます。
IE では、デフォルトで NTLM がサポートされています。Firefox および
Chrome の場合も、NTLM を使用するように設定できます。Windows 以
外のクライアントでは、NTLM 認証を使用できません。
Web フォーム
要求が Web フォームにリダイレクトされ認証されます。ローカル ユー
ザー データベース、RADIUS、LDAP、または Kerberos を使用してユー
ザーを認証するようにキャプティブ ポータルを設定できます。ユーザー
は常に認証情報を要求されますが、この認証方法は、すべてのブラウザ
およびオペレーティング システムと連動します。
クライアント証明書認証
有効なクライアント証明書をブラウザに要求してユーザーを認証しま
す。この方法を使用するには、クライアント証明書をユーザー システム
ごとに提示し、信頼された CA 証明書をインストールし、その証明書を
使用してクライアント証明書をファイアウォールで発行します。Mac OS
や Linux クライアントの場合、この方法が透過的な認証を可能にする唯
一の方法です。
スタート ガイド
111
ユーザー ID の有効化
ユーザー ID の設定
キャプティブ ポータルのモード
キャプティブ ポータルのモードにより、Web 要求をキャプチャして認証を行う方法が定義され
ます。
モード
説明
透過
キャプティブ ポータル ルールに従い、ファイアウォールがブラ
ウザのトラフィックを遮断して元の宛先 URL になりすまし、
HTTP 401 を発行して認証を呼び出します。ただし、ファイア
ウォールに宛先 URL の実際の証明書がないため、ユーザーが保護
されたサイトにアクセスしようとすると、ブラウザに証明書のエ
ラーが表示されます。そのため、レイヤー 2 またはバーチャル ワ
イヤーの導入など、どうしても必要な場合以外は、このモードを
使用しないでください。
リダイレクト
ファイアウォールが不明な HTTP または HTTPS セッションを遮
断し、認証を実行するための HTTP 302 リダイレクトにより、そ
れらのセッションをファイアウォールのレイヤー 3 インター
フェイスにリダイレクトします。エンドユーザーの使い勝手が良
くなる ( 証明書のエラーがない ) ため、こちらのモードが推奨さ
れます。ただし、レイヤー 3 の追加設定が必要となります。リダ
イレクト モードのもう 1 つのメリットとして、セッションの
cookie を使用することにより、ユーザーはタイムアウトが発生す
るたびにマッピングを再要求しなくても、引き続き認証済みサイ
トにアクセスできます。ある IP アドレスから別の IP アドレス
( 企業 LAN からワイヤレス ネットワークなど ) にローミングする
ユーザーの場合、セッションが開いている限り、IP アドレス変更
時の再認証が不要なため、特にこのモードが効果的です。さらに、
NTLM 認証を使用する場合は、ブラウザからは信頼されたサイト
のみに認証情報が発行されるため、リダイレクト モードを使用す
る必要があります。
112
スタート ガイド
ユーザー ID の設定
ユーザー ID の有効化
キャプティブ ポータルの設定
以下の手順では、オンデバイスの User-ID エージェントを使用して、キャプティブ ポータル ポ
リシーに一致する要求を、ファイアウォールのレイヤー 3 インターフェイスにリダイレクトする
ようにキャプティブ ポータルを設定する方法を示します。Windows ベースのエージェントを使
用したキャプティブ ポータルの設定の詳細は、
『Palo Alto Networks 管理者ガイド』の第 7 章「ファ
イアウォールへの User-ID の設定」にある「User-ID エージェントのセットアップ」を参照して
ください。
他の User-ID 機能 (ユーザー マッピングおよびグループ マッピング) を使用せずにキャ
プティブ ポータルを使用する場合は、エージェントを設定する必要はありません。
ローカル USER-ID エージェントを使用したキャプティブ ポータルの設定
ステップ 1 ファイアウォールに、ユーザー
データを収集するためにモニタ
リングするサーバー ( ドメイン
コントローラ、Exchange Server な
ど) へのルートが存在することを
確認します。
今回の製品のリリースでは、ファイアウォールが MGT イン
ターフェイスを介してサーバーと通信する必要があるた
め、このインターフェイスからディレクトリ サーバーが存
在するネットワークにアクセスできることを確認する必要
があります。お使いの環境でこの設定が機能しない場合、
Windows ベースの User-ID エージェントを使用してキャプ
ティブ ポータルを設定する必要があります。
ステップ 2 ドメイン コントローラのアドレ 正しく名前が解決されていることを確認するには、
スを解決するように DNS が設定 サーバーの FQDN を ping します。例 :
されていることを確認します。
admin@PA-200> ping host dc1.acme.com
ステップ 3 ( リダイレクト モードのみ ) キャ 1.
プティブ ポータルの要求をリダ
イレクトするレイヤー 3 イン
ターフェイスを作成します。
管理プロファイルを作成して、インターフェイスに
キャプティブ ポータルの応答ページを表示できるよう
にします。
a [Network] > [ インターフェイス管理 ] の順に選択し、
[ 追加 ] をクリックします。
b [ 名前 ] フィールドにプロファイル名を入力し、[ 応
答ページ ] を選択してから [OK] をクリックします。
スタート ガイド
2.
レイヤー 3 インターフェイスを作成します。方法につい
ては、49 ページの「インターフェイスおよびゾーンの
設定」を参照してください。ステップ 1 ([Ethernet イン
ターフェイス ] ダイアログの [ 詳細 ] > [ その他の情報 ])
で作成した管理プロファイルが関連付けられているこ
とを確認します。
3.
レイヤー 3 インターフェイスで設定した IP アドレスと
イントラネットのホスト名 (ntlmhost など、名前に
ドットが含まれないホスト名 ) をマッピングする DNS
の「A」レコードを作成します。
113
ユーザー ID の有効化
ユーザー ID の設定
ローカル USER-ID エージェントを使用したキャプティブ ポータルの設定(続き)
ステップ 4 ( リダイレクト モードのみ ) 証明
書のエラーが表示されることな
く透過的にユーザーをリダイレ
クトするには、要求のリダイレク
ト先となるインターフェイスの
IP アドレスと一致する証明書を
インストールする必要がありま
す。自己署名証明書を作成する
か、または外部 CA によって署名
された証明書をインポートでき
ます。
注意
自己署名証明書を使用するには、以下のとおり、まずルート
CA の証明書を作成してから、
その CA を使用してキャプティ
ブ ポータルに使用する証明書に署名する必要があります。
1.
キャプティブ ポータルを初めて
セットアップする場合、インポー 2.
トされた証明書は機能しません。
インポートされた証明書を使用
するには、[ サーバー証明書 ] を
指定せずに初期設定を完了しま
す。これでキャプティブ ポータ
ルを有効にすれば、インポートさ
れた証明書に戻って切り替える
ことができます。
3.
114
ルート CA 証明書を作成するには、[Device] > [ 証明書
の管理 ] > [ 証明書 ] > [ デバイス証明書 ] の順に選択し、
[ 生成 ] をクリックします。[ 証明書名 ] テキストボッ
クスに「RootCA」などの名前を入力します。[ 署名者 ]
フィールドの値を選択すると、その証明書が自己署名
証明書であることを示すため、この値は選択しないで
ください。[ 認証局 ] チェックボックスがオンになって
いることを確認してから [OK] をクリックすると、証明
書が生成されます。
キャプティブ ポータルに使用する証明書を作成するに
は、[ 生成 ] をクリックします。[ 証明書名 ] に名前を
入力し、インターフェイスのイントラネット ホストの
DNS 名前を [ 共通名 ] フィールドに入力します。[ 署名
者 ] フィールドで、前の手順で作成した CA を選択しま
す。IP アドレスの属性を追加し、要求のリダイレクト
先となるレイヤー 3 インターフェイスの IP アドレスを
指定します。[OK] をクリックして証明書を生成します。
クライアントが証明書を信頼するように設定するには、
[ デバイス証明書 ] タブで CA 証明書を選択し、[ エクス
ポート ] をクリックします。次に、証明書を信頼された
ルート CA としてすべてのクライアント ブラウザにイン
ポートする必要があります。インポートはブラウザで手
動で設定するか、または証明書を Active Directory のグ
ループ ポリシー オブジェクト (GPO) の信頼されたルー
トに追加します。
スタート ガイド
ユーザー ID の設定
ユーザー ID の有効化
ローカル USER-ID エージェントを使用したキャプティブ ポータルの設定(続き)
ステップ 5 Web フォームが呼び出された場合 1.
に使用する認証方式を設定しま
す。NTLM を使用する場合でも、
NTLM 認証に失敗した場合や、
ユーザー エージェントで NTLM
認証がサポートされていない場合
に使用できる、二次的な認証方式
として設定する必要があります。
ベスト プラクティス :
• RADIUS を使用してユーザー
•
スタート ガイド
を Web フォームから認証す
る場合、RADIUS ドメインを
入力する必要があります。こ
のドメインは、ユーザーがロ
グイン時にドメインを指定
しない場合のデフォルトと
して使用されます。
AD を使用してユーザーを
Web フォームから認証する
場合、[sAMAccountName] を 2.
[LogonAttribute] と し て 入
力する必要があります。
使用する予定の認証サービスに接続して認証情報にア
クセスできるように、ファイアウォールを設定します。
• LDAP、Kerberos または RADIUS を使用して認証を行
う場合、サービスへの接続方法と、ユーザーの認証
情報にアクセスする方法をファイアウォールに指示
するサーバー プロファイルを作成する必要がありま
す。[Device] > [ サーバー プロファイル ] の順に選択
し、アクセスする特定サービスの新しいプロファイ
ルを追加します。
『Palo Alto Networks 管理者ガイド』
の第 3 章「デバイス管理」で「認証プロファイル」を
参照してください。
• ローカル データベース認証を使用する場合、まず
ローカル データベースを作成する必要があります。
[Device] > [ ローカル ユーザー データベース ] の順に
選択し、認証するユーザーおよびグループを追加し
ます。
『Palo Alto Networks 管理者ガイド』の第 3 章「デ
バイス管理」で「ローカル ユーザー データベースの作
成」を参照してください。
サーバー プロファイルまたは先ほど作成したローカル
ユーザー データベースを参照する認証プロファイルを
作成します。[Device] > [ 認証プロファイル ] の順に選
択し、キャプティブ ポータルで使用する新しいプロ
ファイルを追加します。特定のタイプの認証プロファ
イルを作成する方法の詳細は、
『Palo Alto Networks 管理
者ガイド』の第 3 章「デバイス管理」で「認証プロファ
イル」を参照してください。
115
ユーザー ID の有効化
ユーザー ID の設定
ローカル USER-ID エージェントを使用したキャプティブ ポータルの設定(続き)
ステップ 6 ( オプション ) クライアント証明 1.
書の認証を設定します。認証プロ
ファイルとクライアント証明書 2.
のプロファイルを両方設定しな
3.
くても、キャプティブ ポータル
は使用できます。両方設定する場
合は、両方の認証方式でユーザー
を認証する必要があります。
注意
CRL または OCSP を使用するか
どうかなど、その他の証明書プロ
ファイル フィールドの詳細は、
『Palo Alto Networks 管理者ガイ
ド』の第 3 章「デバイス管理」で
「認証プロファイル」を参照して
ください。
キャプティブ ポータルを使用して認証を行うユーザー
ごとに証明書を生成します。
Base64 形式で CA 証明書をダウンロードします。
クライアント証明書を生成した CA からファイアウォー
ルに、ルート CA 証明書をインポートします。
a [Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス
証明書 ] の順に選択し、[ インポート ] をクリックし
ます。
b [ 証明書名 ] フィールドに、クライアント CA 証明書
であることを識別できる名前を入力します。
c [Browse] をクリックして、CA からダウンロードし
た証明書ファイルを選択します。
d [Base64 エンコード済み証明書 (PEM)] を [ ファイル
フォーマット ] フィールドで選択し、[OK] をクリッ
クします。
e [ デバイス証明書 ] タブで、先ほどインポートした証
明書を選択して開きます。
f [ 信頼されたルート CA] を選択して [OK] をクリック
します。
4.
キャプティブ ポータルの設定に使用する、クライアン
トの証明書プロファイルを作成します。
a [Device] > [ 証明書 ] > [ 証明書の管理 ] > [ 証明書プ
ロファイル ] の順に選択し、[ 追加 ] をクリックして
[ 名前 ] フィールドにプロファイル名を入力します。
b [ ユーザー名 フィールド ] ドロップダウン リストか
ら、ユーザー ID の情報を含む証明書を選択します。
c [CA 証明書 ] フィールドで [ 追加 ] をクリックし、ス
テップ 3でインポートした
「信頼されたルート認証局」
の証明書を選択してから [OK] をクリックします。
ステップ 7 NTLM 認証を有効にします。
注意
116
1.
オンデバイス User-ID エージェン
ト を 使 用 す る 場 合、フ ァ イ ア
ウォールがドメインに参加でき
るようにするために、ファイア 2.
ウォールでドメイン コントロー
ラの DNS 名を解決できるように 3.
する必要があります。以下で指定
する認証情報が使用され、DNS
の名前が解決された時点でファ
4.
イアウォールがドメインに参加
します。
[Device] > [ ユーザー ID] > [ ユーザー マッピング ] の順
に選択し、画面の [Palo Alto Networks ユーザー ID エー
ジェント設定 ] セクションで編集アイコン
をクリッ
クします。
[NTLM] タブで [NTLM 認証処理の有効化 ] チェック
ボックスをオンにします。
ファイアウォールの User-ID エージェントが NTLM 認
証情報を確認する対象となる NTLM ドメインを入力し
ます。
108 ページの「IP アドレス対ユーザーのマッピング」の
ステップ 1 で NTLM 認証用に作成した Active Directory
アカウントのユーザー名とパスワードを入力します。
スタート ガイド
ユーザー ID の設定
ユーザー ID の有効化
ローカル USER-ID エージェントを使用したキャプティブ ポータルの設定(続き)
ステップ 8 キャプティブ ポータルを設定します。
1. [Device] > [ ユーザー ID] > [ キャプ
ティブ ポータルの設定 ] の順に選
択し、画面の [ キャプティブ ポータ
ル ] セクションで編集アイコン
をクリックします。
2. [ 有効 ] チェックボックスがオンに
なっていることを確認します。
3. [ モード ] を設定します。この例で
は、[ リダイレクト ] モードの設定
方法について説明します。
4. ( リダイレクト モードのみ ) [ サー
バー証明書 ] で、ファイアウォールが SSL 経由で要求のリダイレクトに使用する証明書を
選択します。この証明書は、ステップ 4 で作成した証明書です。
5. ( リダイレクト モードのみ ) [ ホストのリダイレクト ] フィールドでホストを指定します。
これは、ステップ 3 で指定したとおり、要求のリダイレクトに使用するレイヤー 3 インター
フェイスの IP アドレスを解決する、イントラネットのホスト名です。
6. NTLM が失敗した場合 ( または NTLM を使用しない場合 ) に使用する認証方式を選択します。
- LDAP、Kerberos、RADIUS、またはローカル データベース認証を使用する場合、[ 認証プ
ロファイル ] フィールドで、ステップ 5 で作成したプロファイルを選択します。
- クライアント証明書の認証を使用する場合、[ 証明書プロファイル ] フィールドで、ステッ
プ 6 で作成した証明書を選択します。
7. [OK] をクリックして、設定を保存します。
8. [Commit] をクリックしてキャプティブ ポータルの設定を保存します。
スタート ガイド
117
ユーザーおよびグループ ベースのポリシーを有効にする
ユーザー ID の設定
ユーザーおよびグループ ベースのポリシーを有効にする
ユーザーおよびグループに基づくセキュリティ ポリシーを有効にするには、識別するユーザー
を含むゾーンごとに User-ID を有効にする必要があります。そうすることで、ユーザー名または
グループのメンバーシップに基づいてトラフィックを許可または拒否するポリシーを定義でき
ます。さらにキャプティブ ポータルのポリシーを作成することで、ユーザー データが関連付け
らていない IP アドレスを識別することもできます。
ユーザーおよびグループ ベースのポリシーを有効にする
ステップ 1 ユーザーベースのアクセス制御を必要とする、送信元ゾーンとしてユーザーがリクエストを
送信するゾーンにおいて、User-ID を有効にします。
1. [Network] > [ ゾーン ] の順に
選択します。
2. [ 名前 ] フィールドで User-ID
を有効にするゾーンをクリック
すると、[ ゾーン ] ダイアログが
開きます。
3. [ ユーザー ID の有効化 ] チェッ
クボックスをオンにしてから
[OK] をクリックします。
ステップ 2 ユーザーまたはグループに基づ 1.
くセキュリティ ポリシーを作成
します。
User-ID を設定すると、セキュリティ ルールの送信元お
よび宛先を定義するときに、ユーザー名またはグルー
プ名を選択できるようになります。
a [Policies] > [ セキュリティ ] の順に選択し、[ 追加 ]
をクリックします。ここで新しいポリシーを作成す
るか、または既存のポリシー ルール名をクリックす
ると、[ セキュリティ ポリシー ルール ] ダイアログ
が開きます。
b [ ユーザー] タブを選択し、ダイアログの [ 送信元ユー
ザー ] セクションで [ 追加 ] ボタン をクリックす
ると、ファイアウォールのグループ マッピング機能
により検出されたユーザーおよびグループのリスト
が表示されます。
c ポリシーに追加するユーザーまたはグループを選択
します。
2.
118
必要に応じてポリシーのその他の部分を設定し、[OK]
をクリックして設定を保存します。セキュリティ ポリ
シーのその他のフィールドの詳細は、57 ページの「基
本的なセキュリティ ポリシーのセットアップ」を参照
してください。
スタート ガイド
ユーザー ID の設定
ユーザーおよびグループ ベースのポリシーを有効にする
ユーザーおよびグループ ベースのポリシーを有効にする(続き)
ステップ 3 キャプティブ ポータル ポリシーを作成します。
1. [Policies] > [ キャプティブ ポータル ] の順に選択します。
2. [ 追加 ] をクリックし、[ 名前 ] にポリシー名を入力します。
3. [ 送信元 ]、[ 宛先 ]、および [ サービス /URL カテゴリ ] タブで、必要に応じて認証するト
ラフィックと一致する情報を入力し、ルールの一致基準を定義します。これらのタブの一
致基準は、セキュリティ ポリシーの作成時に定義する基準と同じです。詳細は、57 ページ
の「基本的なセキュリティ ポリシーのセットアップ」を参照してください。
4. [ アクション ] タブで、ルールと一致するトラフィックに対するアクションを定義します。
選択肢は以下のとおりです。
- no-captive-portal — キャプティブ ポータルのページを表示せずに、トラフィックの通過
を許可します。
- web-form — キャプティブ ポータルのページを表示して、ユーザーに認証情報の入力また
はクライアント証明書認証の使用を要求します。
- browser-challenge — NTLM 認証要求をユーザーの Web ブラウザで開きます。Web ブラウ
ザは、ユーザーの現在のログイン認証情報を使用して応答します。ログインの認証情報を
使用できない場合、ユーザーに認証情報の提示を要求します。
以下の例では、Web フォームを表示して、Trust ゾーンから Untrust ゾーンに HTTP 要求を送信
する不明なユーザーを認証するようファイアウォールに指示する、キャプティブ ポータルのポ
リシーを示します。
ステップ 4 ポリシーの設定を保存します。
スタート ガイド
1.
[Commit] をクリックします。
119
User-ID 設定の確認
ユーザー ID の設定
User-ID 設定の確認
ユーザー ID を設定してセキュリティ ポリシーおよびキャプティブ ポータル ポリシーの User-ID
を有効にしたら、それらが正しく動作していることを確認する必要があります。
ユーザー ID 設定の確認
ステップ 1 グループ マッピングの動作を確 CLI から以下のコマンドを入力します。
認します。
show user group-mapping statistics
ステップ 2 ユーザー マッピングの動作を確 オンデバイス User-ID エージェントを使用している場合、
認します。
CLI から以下のコマンドを実行すれば確認できます。
show user ip-user-mapping-mp all
IP
Vsys
From
User
Timeout (sec)
-------------------------------------------------------------192.168.201.1
vsys1 UIA
acme\george
210
192.168.201.11
vsys1 UIA
acme\duane
210
192.168.201.50
vsys1 UIA
acme\betsy
210
192.168.201.10
vsys1 UIA
acme\administrator
210
acme\administrator
748
192.168.201.100 vsys1 AD
Total: 5 users
*: WMI probe succeeded
ステップ 3 セキュリティ ポリシーをテスト
します。
• User-ID が有効なゾーンのマシンからサイトやアプリケー
•
ションにアクセスして、ポリシーで定義したルールをテ
ストし、トラフィックが予想通りに許可または拒否され
ていることを確認します。
また、test security-policy-match コマンドを使用し
て、ポリシーが正しく設定されているかどうかを確認し
ます。たとえば、World of Warcraft をプレイする Duane と
いうユーザーをブロックするルールがある場合、以下の
手順でポリシーをテストできます。
test security-policy-match application
worldofwarcraft source-user acme\duane
source any destination any destination-port
any protocol 6
"deny worldofwarcraft" {
from corporate;
source any;
source-region any;
to internet;
destination any;
destination-region any;
user acme\duane;
category any;
application/service worldofwarcraft;
action deny;
terminal no;
}
120
スタート ガイド
ユーザー ID の設定
User-ID 設定の確認
ユーザー ID 設定の確認(続き)
ステップ 4 キャプティブ ポータルの設定を 1.
テストします。
先ほどと同じゾーンから、Mac OS システムなど、ディ
レクトリのメンバーでないマシンより、ゾーン外部の
システムを ping します。ping は認証しなくても動作し
ます。
2.
同じマシンからブラウザを開き、定義したキャプティ
ブ ポータル ポリシーと一致する宛先ゾーンの Web サ
イ ト に 移 動 し ま す。キ ャ プ テ ィ ブ ポ ー タ ル の Web
フォームが表示されます。
3.
正しい認証情報を使用してログインし、要求したペー
ジにリダイレクトされていることを確認します。
4.
また、以下の test cp-policy-match コマンドを使用
してキャプティブ ポータル ポリシーをテストすること
もできます。
test cp-policy-match from corporate to
source 192.168.201.10 destination 8.8.8.8
internet
Matched rule: 'captive portal' action: web-form
ステップ 5 ログ ファイル ([Monitor] > [ ログ ]) にユーザー名が表示されていることを確認します。
スタート ガイド
121
User-ID 設定の確認
ユーザー ID の設定
ユーザー ID 設定の確認(続き)
ステップ 6 レポート ([Monitor] > [ レポート ]) にユーザー名が表示されていることを確認します。たとえ
ば、以下の例に示すように、
「拒否されるアプリケーション」のレポートまでドリルダウンす
ると、そのアプリケーションにアクセスしようとしたユーザーのリストを確認できます。
122
スタート ガイド
5 高可用性のセットアップ
高可用性 (HA) は、2 つのファイアウォールを 1 つのグループに配置して、ネットワーク上の単
一障害点を回避するための設定です。2 つのデバイス クラスタでファイアウォールを設定すると
冗長性が得られるため、ビジネス継続性を確保できます。このセクションでは、以下のトピック
について説明します。

HA 概要

アクティブ / パッシブ HA の前提条件

アクティブ / パッシブ ペアの設定

フェイルオーバーの確認
スタート ガイド
123
HA 概要
高可用性のセットアップ
HA 概要
Palo Alto Networks ファイアウォールでは、2 つのデバイスを HA ペアとして設定できます。HA
では、プライマリ デバイスに障害が発生した場合に、代替デバイスを使用できるようにするこ
とで、ダウンタイムを最小限に抑えることができます。このデバイスでは、専用またはインバン
ドの HA ポートをファイアウォール上で使用することにより、ネットワーク、オブジェクト、ポ
リシー設定などのデータを同期し、状態の情報を維持します。管理ポートの IP アドレスや管理
者プロファイルなどのデバイス固有の設定、HA 固有の設定、ログ データ、およびアプリケー
ション コマンド センター (ACC) の情報は、デバイス間で共有されません。アプリケーションお
よびログのビューを HA ペア間で統合したい場合、Panorama という Palo Alto Networks の中央管
理システムを使用する必要があります。
アクティブなデバイスで障害が発生した場合、パッシブ デバイスがトラフィックの保護タスク
を引き継ぎますが、このイベントをフェイルオーバーといいます。フェイルオーバーが引き起こ
される条件は、次のとおりです。
• モニター対象となる 1 つ以上のインターフェイスに障害が発生した場合。( リンク モニタリング )
• デバイスで指定する 1 つ以上の宛先に到達できない場合。( パス モニタリング )
• デバイスがハートビート ポーリングに応答しない場合。( ハートビート ポーリング )
HA モード
HA のファイアウォールは、次の 2 つのモードで設定できます。
• アクティブ / パッシブ — 一方のデバイスではトラフィックをアクティブに管理し、もう一方
のデバイスでは同期を取り、障害が発生した場合のアクティブ状態への移行に備えます。こ
の設定では、両方のデバイスで同じ設定を共有し、パス、リンク、システム、またはネット
ワークに障害が発生するまでは、一方がアクティブにトラフィックを管理します。アクティ
ブなデバイスで障害が発生した場合、パッシブ デバイスがシームレスに同じポリシーを引き
継いで実行し、ネットワーク セキュリティを維持します。アクティブ / パッシブ HA はバー
チャル ワイヤー、レイヤー 2、およびレイヤー 3 モードでサポートされています。デバイス
のアクティブ / パッシブ設定の詳細は、アクティブ / パッシブ ペアの設定を参照してください。
PA-200 および VM シリーズ ファイアウォールは、アクティブ / パッシブ HA の
「ライト」バージョンをサポートしています。HA のライト バージョンでは、設
定を同期できるほか、IPSec Security Associations (SA) など、いくつかの実行時デー
タを同期できます。ただし、セッションの同期には対応していないため、HA ラ
イトにはステートフル フェイルオーバー機能がありません。
• アクティブ / アクティブ — ペアリングされた両方のデバイスがアクティブな状態でトラ
フィックを処理し、同調してセッションのセットアップやオーナーシップを操作します。ア
クティブ / アクティブ導入は、バーチャル ワイヤーおよびレイヤー 3 モードでサポートされ
ていますが、推奨されるのは非対称ルーティングのネットワークの場合のみです。デバイス
のアクティブ / アクティブ設定方法の詳細は、Active/ActiveHigh Availability Tech Note を参照して
ください。
124
スタート ガイド
高可用性のセットアップ
HA 概要
HA リンクおよびバックアップ リンク
HA ペアのデバイスでは、HA リンクを使用してデータを同期し、状態情報を管理します。ファ
イアウォールの一部のモデルには、コントロール リンク (HA1) とデータ リンク (HA2) という専
用の HA ポートがありますが、それ以外のモデルでは、インバンド ポートを HA リンクとして
使用する必要があります。
PA-3000 シリーズ、PA-4000 シリーズ、PA-5000 シリーズのファイアウォールなど、専用の HA
ポート (HA1 および HA2) があるデバイスの場合、専用の HA ポートを介して 2 つの HA デバイ
スの管理プレーンとデータプレーンを直接接続できます。これらの専用ポートを使用して、デバ
イス間の通信および同期を管理します。PA-200 シリーズ、PA-500 シリーズ、PA-2000 シリーズの
ファイアウォールなど、専用の HA ポートがないデバイスの場合、デバイス間の管理プレーンを
直接接続できるようにするための HA1 リンク用の管理ポートと、HA2 リンク用のインバンド
ポートを使用します。
• コントロール リンク : HA1 リンクは、Hello、ハートビート、HA の状態、ルーティング用の
管理プレーンの同期、User-ID などの情報交換に使用します。またこのリンクを使用して、ア
クティブ デバイスまたはパッシブ デバイスの設定変更をピア デバイスと同期します。HA1
リンクはレイヤー 3 リンクのため、IP アドレスが必要です。HA1 リンクでは、クリア テキ
スト通信に TCP ポート 28769 を、暗号化通信 (SSH over TCP) にポート 28 を使用します。
• データ リンク : HA2 リンクを使用して、セッションの同期、テーブルの転送、IPSec SA、お
よび ARP テーブルを HA ペアのデバイス間で同期します。HA2 リンクのデータ フローは
(HA2 キープアライブを除き ) 常に単向性なので、データはアクティブ デバイスからパッシ
ブ デバイスに流れます。HA2 リンクはレイヤー 2 リンクなので、デフォルトで EtherType
0x7261 を使用します。HA データ リンクは、IP ( プロトコル番号 99) または UDP ( ポート
29281) のいずれかを転送ポートとして使用するように設定できるため、HA データ リンクは
サブネットをまたぐことができます。
注 : アクティブ / アクティブ導入では、パケット転送に HA3 リンクも使用します。
• バックアップ リンク : HA1 リンクと HA2 リンクの冗長性を提供します。インバンド ポート
は、HA1 と HA2 の両方のバックアップ リンクとして使用します。バックアップ HA リンク
を設定する場合は、次のガイドラインを考慮してください。
–
プライマリ HA リンクとバックアップ HA リンクの IP アドレスを重複させることはできません。
–
HA バックアップ リンクは、プライマリ HA リンクとは別のサブネット上になければなりません。
HA1 バックアップと HA2 バックアップのポートは、異なる物理ポート上で設定する必要があり
ます。
注 : Palo Alto Networks では、HA1 または HA1 のバックアップ リンクにインバンド ポートを使用す
る場合、ハートビート バックアップを有効にすることをお勧めします。
–
スタート ガイド
125
HA 概要
高可用性のセットアップ
デバイス優先度およびプリエンプション
HA ペアのデバイスにデバイス優先度の値を割り当てることにより、どちらのデバイスにアク
ティブな役割を持たせて優先的にトラフィックを管理させるかを示すことができます。HA ペア
の特定のデバイスを使用してアクティブにトラフィックを保護する必要がある場合、両方のファ
イアウォールでプリエンプティブ機能を有効にし、各デバイスに優先度の値を割り当てる必要が
あります。数値の小さい方のデバイス、つまり優先度の高いデバイスがアクティブ デバイスに
指定され、ネットワーク上のすべてのトラフィックを管理します。もう一方のデバイスはパッシ
ブ状態となり、アクティブ デバイスと設定情報や状態の情報を同期し、障害が発生した場合の
アクティブ状態への移行に備えます。
デフォルトでは、ファイアウォールでプリエンプションが無効になっているため、両方のデバイ
スで有効にする必要があります。プリエンプティブの動作を有効にすると、優先度の高い ( 数値
の低い方の ) ファイアウォールが障害から回復した後に、
そのファイアウォールをアクティブ ファ
イアウォールとして再開させることができます。プリエンプションが発生すると、そのイベント
がシステム ログに記録されます。
フェイルオーバーのトリガー
アクティブなデバイスで障害が発生した場合、パッシブ デバイスがトラフィックの保護タスク
を引き継ぎますが、このイベントをフェイルオーバーといいます。アクティブ デバイスのモニ
ター対象メトリックに障害が発生すると、フェイルオーバーが引き起こされます。デバイスの障
害を検出するための、モニター対象となるメトリックは、次のとおりです。
• ハートビート ポーリングおよび Hello メッセージ — ファイアウォールでは、Hello メッセー
ジおよびハートビートを使用して、ピア デバイスの応答状態および動作状態を検証します。
設定した Hello 間隔で Hello メッセージがピアの一方からもう一方へ送信され、デバイスの状
態を検証します。ハートビートは、コントロール リンクを介した HA ピアに対する ICMP ping
の一種で、ピアがこの ping に応答することで、デバイスの接続および応答状態を証明しま
す。デフォルトでは、ハートビートの間隔は 1000 ミリ秒です。
• リンク モニタリング — モニター対象の物理インターフェイスが 1 つのリンク グループに集
約され、その状態 ( リンク アップまたはリンク ダウン ) がモニタリングされます。リンク グ
ループには、1 つ以上の物理インターフェイスを含めることができます。グループ内のイン
ターフェイスの一部またはすべてに障害が発生すると、デバイスの障害が引き起こされま
す。デフォルトの動作では、グループ内のいずれかのリンクに障害が発生すると、デバイス
の HA 状態が非稼働に変わり、モニター対象オブジェクトの障害を示します。
• パス モニタリング — ネットワーク全体でミッション クリティカルな IP アドレスへの全経
路をモニタリングします。ICMP ping を使用して、問題の IP アドレスに到達可能かどうかを
検証します。デフォルトの ping 間隔は 200 ミリ秒です。10 回 ( デフォルト値 ) 連続で ping に
失敗すると、その IP アドレスに到達不可能とみなされ、対象の IP アドレスの一部またはす
べてに到達不可能となった場合は、デバイスの障害が引き起こされます。デフォルトの動作
では、IP アドレスのいずれかに到達不可能となった場合、デバイスの HA 状態が not-functional
に変わり、モニター対象オブジェクトの障害を示します。
126
スタート ガイド
高可用性のセットアップ
アクティブ / パッシブ HA の前提条件
上記のフェイルオーバーのトリガー条件に加えて、管理者がデバイスを一時停止した場合、また
はプリエンプションが発生した場合も、フェイルオーバーが引き起こされます。
注 : PA-3000 シリーズと PA-5000 シリーズのファイアウォールでは、内部ヘルス チェックに失敗
するとフェイルオーバーが引き起こされる場合があります。このヘルス チェックは設定変更不
可能で、有効時はファイアウォール内のすべてのコンポーネントに対して動作状態を検証します。
アクティブ / パッシブ HA の前提条件
Palo Alto Networks ファイアウォールで高可用性をセットアップするには、次の前提条件を満たす
ファイアウォールのペアが必要です。
• 同じモデル — ペアの両方のデバイスが同じハードウェアまたは仮想マシンのモデルでなけれ
ばなりません。
• 同じバージョンの PAN OS — 両方のデバイスで同じバージョンの PAN OS を実行していて、
両方のアプリケーション、URL、および脅威データベースで最新の状態を保つ必要がありま
す。また、同じ複数の仮想システム ( シングルまたはマルチ vsys) 機能を備えている必要があ
ります。
• 同タイプのインターフェイス — 専用の HA リンク、またはインターフェイス タイプを HA
に設定した管理ポートとインバンド ポートの組み合わせです。
–
デバイス ペア間の HA1 ( コントロール リンク ) 接続の IP アドレスを決定します。ピアが直結さ
れている場合、または同じスイッチに接続されている場合は、両方の HA1 IP アドレスが同じサ
ブネット上になければなりません。
専用の HA ポートを持たないデバイスでは、管理ポートをコントロール リンクの接続に使用でき
ます。管理ポートを使用すると、両方のデバイスで管理プレーン間の通信を直接接続できます。
ただし、管理ポートはデバイス間で直結できないため、ネットワーク全体でこれら 2 つのインター
フェイスを接続するルートがあることを確認してください。
–
レイヤー 3 を HA2 ( データ ) 接続の転送方法として使用する場合、HA2 リンクの IP アドレスを
決定する必要があります。経路指定されたネットワークを介して HA2 接続の通信を行う必要が
ある場合は、レイヤー 3 のみを使用します。HA2 リンクの IP サブネットは、HA1 リンクのサブ
ネットまたはファイアウォール上のデータ ポートに割り当てられたその他のサブネットと重複し
てはなりません。
–
デバイス同士を直結する場合、クロスオーバー ケーブルを使用して HA ポートを接続します。
スイッチまたはルーターを使用して接続をセットアップする場合、ストレート ケーブルを使用し
ます。
• 同一ライセンス — ライセンスはデバイス固有のものであるため、ほかのデバイスと共有する
ことはできません。そのため、両方のデバイスで同一のライセンスを取得する必要がありま
す。両方のデバイスに同一のライセンスがない場合、設定情報を同期する、または等価性を
管理してシームレスにフェイルオーバーを発生させることができません。
スタート ガイド
127
設定のガイドライン
高可用性のセットアップ
設定のガイドライン
アクティブ (PeerA) およびパッシブ (PeerB) のペアを HA でセットアップするには、いくつかのオ
プションを両方のデバイスで同一の設定にし、それ以外のオプションを各デバイスで個別に ( 一
致しないように ) 設定する必要があります。これらの HA 設定は、デバイス間で同期されません。
HA でのデバイスの設定手順をさらに進める場合は、アクティブ / パッシブ ペアの設定を参照して
ください。
次の表に、両方のデバイスで同一にする必要のある設定を示します。
PeerA と PeerB で同一にする設定
• HA は両方のデバイスで有効にする必要があります。
• 両方のデバイスに同じグループ ID の値を割り当てる必要があります。グループ ID の値は、設定した
•
•
•
•
•
すべてのインターフェイスに対する仮想 MAC アドレスの作成に使用します。仮想 MAC アドレスの形
式は「00-1B-17:00: xx: yy」で、次のような意味を持ちます。
00-1B-17: ベンダー ID、00: 固定、xx: HA のグループ ID、yy: インターフェイス ID。
新しいアクティブ デバイスがタスクを引き継ぐ場合、接続された新しいアクティブ メンバーの各イン
ターフェイスから Gratuitous ARP が送信され、接続されたレイヤー 2 スイッチに仮想 MAC アドレス
の新しい場所が通知されます。
インバンド ポートを使用する場合、HA1 リンクと HA2 リンクのインターフェイス タイプを HA に設
定する必要があります。
HA モードを [ アクティブ / パッシブ ] に設定する必要があります。
必要に応じて、両方のデバイスでプリエンプションを有効にする必要があります。ただし、デバイス
優先度は異なる値にする必要があります。
必要に応じて、HA1 リンク (HA ピア間の通信用 ) の暗号化を両方のデバイスで設定する必要があります。
使用中の HA1 と HA1 のバックアップ ポートの組み合わせに応じて、次の推奨事項に基づき、ハート
ビート バックアップを有効にするかどうかを判断してください。
• HA1: 専用の HA1 ポート
HA1 バックアップ : インバンド ポート
推奨 : ハートビート バックアップを有効にする
• HA1: 専用の HA1 ポート
HA1 バックアップ : 管理ポート
推奨 : ハートビート バックアップを有効にしない
• HA1: インバンド ポート
HA1 バックアップ : インバンド ポート
推奨 : ハートビート バックアップを有効にする
• HA1: 管理ポート
HA1 バックアップ : インバンド ポート
推奨 : ハートビート バックアップを有効にしない
128
スタート ガイド
高可用性のセットアップ
設定のガイドライン
以下の表に、各デバイスで個別に設定する必要のある項目を示します。
個別の設定
PeerA
PeerB
コントロール リンク こ の デ バ イ ス (PeerA) で 設 定 さ れ て い る このデバイス (PeerB) で設定されてい
HA1 リンクの IP アドレス。
る HA1 リンクの IP アドレス。
専用の HA ポートを持たないデバイスでは、管理ポートをコントロール リンクの
IP アドレスに使用します。
データ リンク
デフォルトでは、HA2 リンクでレイヤー 2 デフォルトでは、HA2 リンクでレイ
ヤー 2 の Ethernet が使用されます。
の Ethernet が使用されます。
データ リンク情報
は、HA を有効にして レイヤー 3 接続を使用する場合、このデバ レイヤー 3 接続を使用する場合、この
デバイス間のコント イス (PeerA) のデータ リンクの IP アドレス デバイス (PeerB) のデータ リンクの
IP アドレスを設定します。
ロール リンクを有 を設定します。
効にした後に、デバ
イス間で同期され
ます。
デバイス優先度 ( 必 アクティブにするデバイスの数値を、ピア PeerB がパッシブの場合、デバイス優
須、
プリエンプション よりも小さくする必要があります。そのた 先度の値を PeerA よりも大きく設定
が有効な場合 )
め、PeerA をアクティブ デバイスとして機 します。たとえば、優先度の値を 110
能させる場合、デフォルト値の 100 をその に設定します。
ままにしておき、PeerB の値をこれよりも大
きくします。
このファイアウォール上でモニタリン
グする同様の物理インターフェイス
群を選択し、フェイルオーバーを引
き起こす失敗条件 ([ すべて ] または
[ いずれか ]) を定義します。
リンク モニタリン
グ — このデバイス
の主要トラフィック
を処理する 1 つ以上
の物理インターフェ
イスをモニタリング
し、失敗条件を定義
します。
モニタリングするファイアウォール上の物
理インターフェイスを選択し、フェイル
オーバーを引き起こす失敗条件 ([ いずれか ]
または [ すべて ]) を定義します。
パス モニタリング
— ファイアウォー
ルで ICMP ping を使
用して応答状態を
確認できる、1 つ以
上の宛先 IP アドレ
スをモニタリング
します。
失敗条件 ([ すべて ] または [ いずれか ])、ping PeerB でも、モニタリングしてフェイ
間隔、および ping の実行回数を定義します。 ルオーバーのトリガー条件を判断で
相互接続されたネットワーク デバイスの可 きる同様のデバイス群または宛先 IP
用性をモニタリングする場合は、特にこれ アドレス群を選択します。失敗条件
らの定義が役に立ちます。たとえば、サー ([ すべて ] または [ いずれか ])、ping 間
バーに接続されたルーターの可用性、サー 隔、および ping の実行回数を定義し
バー自体への接続状態、またはトラフィッ ます。
ク フロー中に存在するその他いくつかの主
要デバイスへの接続状態をモニタリングす
る場合などです。
モニタリング中のノード / デバイスが応答
していない可能性がある場合、特に負荷を
受けている場合は、パス モニタリングの障
害の原因となり、フェイルオーバーが引き
起こされるため、このような状態がないか
どうかを確認します。
スタート ガイド
129
アクティブ / パッシブ ペアの設定
高可用性のセットアップ
アクティブ / パッシブ ペアの設定
以下の手順は、下のトポロジの例に示すようなアクティブ / パッシブ導入で、ファイアウォール
のペアを設定する方法を示したものです。
デバイスの接続および設定
ステップ 1 HA ポートを接続して、デバイス
間の物理的な接続をセットアッ
プします。
• 専用の HA ポートを持つデバイスの場合、Ethernet ケーブ
•
ルを使用して、デバイス ペアの専用の HA1 ポートと HA2
ポートを接続します。デバイス同士を直結する場合は、ク
ロスオーバー ケーブルを使用します。
専用の HA ポートを持たないデバイスの場合、HA2 リン
ク用とバックアップ HA1 リンク用に 2 つのデータ イン
ターフェイスを選択します。次に、Ethernet ケーブルを使
用して、両デバイス間でこれらのインバンド HA インター
フェイスを接続します。HA1 リンク用の管理ポートを使用
して、ネットワーク全体を通じて管理ポート同士を接続で
きることを確認します。
ペアのうちどちらかのデバイスを選択して、次のタスクを完了します。
ステップ 2 ping を管理ポートで有効にしま 1.
す。ping を有効にすることで、
管理ポートをハートビート バッ
クアップの情報交換に使用でき 2.
ます。
130
[Device] > [ セットアップ ] > [ 管理 ] の順に選択して、
画面上にある [ 管理インターフェイス設定 ] セクション
で編集アイコン をクリックします。
インターフェイスで許可されるサービスとして [Ping]
を選択します。
スタート ガイド
アクティブ / パッシブ ペアの設定
高可用性のセットアップ
デバイスの接続および設定(続き)
ステップ 3 デバイスに専用の HA ポートが 1.
ない場合、データ ポートを HA 2.
ポートとして機能するように設
定します。
3.
専用の HA ポートを持つデバイス
の場合、ステップ 4 に進みます。 4.
ステップ 4 コントロール リンクの接続をセッ 1.
トアップします。
次の例は、インターフェイス タ 2.
イプを HA に設定したインバン
ド ポートを示しています。
管理ポートをコントロール リン
クとして使用するデバイスの場
合、IP アドレス情報が自動的に
入力されています。
ステップ 5 ( 任意 ) コントロール リンク接続 1.
の暗号化を有効にします。
使用するポート上でリンクがアップになっている確認
します。
インターフェイスを選択してタイプを HA に指定します。
[ リンク速度 ] および [ リンク デュプレックス ] を必要
に応じて設定します。
[Device] > [ 高可用性 ] > [ 全般 ] の順に選択し、[ コン
トロール リンク (HA1)] セクションを編集します。
[ ポート ] ドロップダウン メニューから、HA1 リンクと
して使用するために配線したインターフェイスを選択
します。IP アドレスおよびネットマスクを設定します。
HA1 インターフェイスがそれぞれ別のサブネット上に
ある場合のみ、ゲートウェイの IP アドレスを入力しま
す。デバイス同士を直結している場合は、ゲートウェ
イを追加しないでください。
HA キーをデバイスからエクスポートして、ピア デバ
イスにインポートします。
a [Device] > [ 証明書の管理 ] > [ 証明書 ] の順に選択し
一般的に、2 つのデバイスが直接
接続されていない場合、すなわち
ポートがスイッチまたはルーター
に接続されている場合に、リンク
を保護するためにこの設定を使
用します。
スタート ガイド
[Network] > [ インターフェイス ] の順に選択します。
ます。
b [HA キーのエクスポート ] を選択します。ピア デバ
イスがアクセスできるネットワーク上の場所に、HA
キーを保存します。
c ピア デバイスで [Device] > [ 証明書の管理 ] > [ 証明
書 ] の順に選択し、[HA キーのインポート ] を選択し
てキーを保存した場所を検索し、そのキーをピア デ
バイスにインポートします。
2.
[Device] > [ 高可用性 ] > [ 全般 ] の順に選択し、[ コン
トロール リンク (HA1)] セクションを編集します。
3.
[ 暗号化を有効 ] を選択します。
131
アクティブ / パッシブ ペアの設定
高可用性のセットアップ
デバイスの接続および設定(続き)
ステップ 6 バックアップ コントロール リン 1.
クの接続をセットアップします。
[Device] > [ 高可用性 ] > [ 全般 ] の順に選択し、[ コント
ロール リンク (HA1 Backup)] セクションを編集します。
2.
HA1 バックアップ インターフェイスを選択し、IP アド
レスとネットマスクを設定します。
132
スタート ガイド
アクティブ / パッシブ ペアの設定
高可用性のセットアップ
デバイスの接続および設定(続き)
ステップ 7 デバイス間のデータ リンク接続 1.
(HA2) とバックアップ HA2 接続
をセットアップします。
2.
[Device] > [ 高可用性 ] > [ 全般 ] の順に選択し、[ デー
タ リンク (HA2)] セクションを編集します。
データ リンク接続のインターフェイスを選択します。
3.
[転送] の方法を選択します。デフォルトでは [ethernet]
が選択されており、HA ペアが直結されている場合、ま
たはスイッチ経由で接続されている場合に機能しま
す。ネットワーク経由でデータ リンク トラフィックを
ルーティングする必要がある場合は、[ip] または [udp]
を転送方法に指定します。
4.
転送方法として [ip] または [udp] を使用する場合は、IP
アドレスとネットマスクを入力します。
5.
[ セッション同期を有効にする ] が選択されていること
を確認します。
6.
HA ピア間で HA2 データ リンク上のモニタリングを有
効にするには、[HA2 キープアライブ ] を選択します。
設定されているしきい値 ( デフォルトは 10000 ミリ秒 )
に基づいて障害が発生した場合、定義されているアク
ションが発生します。アクティブ / パッシブ設定の場
合、HA2 キープアライブの障害が発生すると、
「critical」
レベルのシステム ログ メッセージが生成されます。
注意
7.
スタート ガイド
[HA2 キープアライブ ] オプションは、HA ペアの両
方のデバイス、または一方のデバイスに設定できま
す。このオプションが一方のデバイスでのみ有効な
場合、そのデバイスのみからキープアライブ メッ
セージが送信されます。もう一方のデバイスには、
障害が発生したかどうかが通知されます。
[ データ リンク (HA2 バックアップ )] セクションを編集
し、インターフェイスを選択し、IP アドレスとネット
マスクを追加します。
133
アクティブ / パッシブ ペアの設定
高可用性のセットアップ
デバイスの接続および設定(続き)
ステップ 8 コントロール リンクで専用 HA 1.
ポートまたはインバンド ポート
を使用している場合は、ハート 2.
ビート バックアップを有効にし
ます。
管理ポートをコントロール リン
クに使用している場合は、ハート
ビート バックアップを有効にす
る必要はありません。
ステップ 9 デバイス優先度を設定してプリ 1.
エンプションを有効にします。
[Device] > [ 高可用性 ] > [ 全般 ] の順に選択し、[ 選択
設定 ] セクションを編集します。
[ ハートビート バックアップ ] を選択します。
冗長なハートビートおよび Hello メッセージを送信す
る場合は、ハートビート バックアップのリンクを使用
します。ハートビートをデバイス間で送信できるよう
にするには、ピア同士で管理ポートをルーティングで
きることを確認する必要があります。
[Device] > [ 高可用性 ] > [ 全般 ] の順に選択し、[ 選択
設定 ] セクションを編集します。
特定のデバイスがアクティブ デ 2. [ デバイス優先度 ] で優先度の数値を設定します。優先
度を高くするデバイスの数値を小さく設定する必要が
バイスに指定されていることを
あります。
確認する場合のみ、この設定が必
要です。詳細は、デバイス優先度 注意
両方のファイアウォールで優先度の値が同じ場合、
およびプリエンプションを参照
HA1 コントロール リンクで MAC アドレスが最も
してください。
小さいファイアウォールがアクティブ デバイスと
なります。
3.
ステップ 10 ( 任意、パッシブ デバイスで設定
している場合のみ ) パッシブ デ
バイスで HA ポートのリンク ス
テータスを変更します。
注意
[ プリエンプティブ ] を選択します。
アクティブ デバイスとパッシブ デバイスの両方でプリ
エンプティブを有効にする必要があります。
リンク状態を [ 自動 ] に設定すると、フェイルオーバーが
発生した場合にパッシブ デバイスがタスクを引き継ぐまで
の時間を短縮できます。また、リンク状態をモニタリング
することもできます。
パッシブ リンクの状態はデフォ パッシブ デバイスでリンク状態をアップにして、物理イン
ルトで [ シャットダウン ] が選択 ターフェイスの稼働状態および配線状態を保つには、次の
されています。HA を有効にする 手順を実行します。
と、アクティブ デバイスの HA 1. [Device] > [ 高可用性 ] > [ 全般 ] の順に選択し、[ アク
ポートのリンク状態が緑に変わ
ティブ / パッシブ設定 ] セクションを編集します。
り、
パッシブ デバイスの HA ポー
2. [ パッシブ リンク状態 ] を [ 自動 ] に設定します。[ 自動 ]
トが停止して赤く表示されます。
オプションを設定すると、フェイルオーバーが発生し
た場合にパッシブ デバイスがタスクを引き継ぐまでの
時間を短縮できます。
注意
インターフェイスの表示は ( 配線されていて稼働し
ていることを示す ) 緑になっていますが、フェイル
オーバーが引き起こされるまでは、すべてのトラ
フィックが破棄されます。
パッシブ リンク状態を変更する場合、デバイスの
リンク状態のみに基づいて、隣接するデバイスから
パッシブ ファイアウォールにトラフィックが転送
されていないことを確認してください。
134
スタート ガイド
アクティブ / パッシブ ペアの設定
高可用性のセットアップ
デバイスの接続および設定(続き)
ステップ 11 HA を有効にします。
1.
[Device] > [ 高可用性 ] > [ 全般 ] の順に選択し、[ セッ
トアップ ] セクションを編集します。
2.
[HA の有効化 ] を選択します。
3.
[ グループ ID] を設定します。この ID は、ネットワー
ク上の HA ペアを一意に識別するもので、複数の HA ペ
アでネットワーク上の同じブロードキャスト ドメイン
を共有する場合に必要となります。
4.
モードを [ アクティブ パッシブ ] に設定します。
5.
[ 設定の同期の有効化 ] を選択します。この設定により、
アクティブ デバイスとパッシブ デバイスの間で設定を
同期できるようになります。
6.
[ ピア HA IP アドレス ] で、ピア デバイスのコントロー
ル リンクに割り当てられた IP アドレスを入力します。
専用の HA ポートを持たないデバイスにおいて、ピア
が HA1 リンクとして管理ポートを使用している場合、
ピアの管理ポートの IP アドレスを入力します。
7.
ステップ 12 設定の変更を保存します。
[ バックアップ側 ピア HA IP アドレス ] を入力します。
[Commit] をクリックします。
ステップ 13 HA ペアのもう一方のデバイスで
ステップ 2~ステップ 12を実行
します。
ステップ 14 両方のデバイスで設定が完了し 1.
たら、アクティブ / パッシブ HA
で そ れ ら の デ バ イ ス が ペ ア に 2.
なっていることを確認します。
スタート ガイド
両方のデバイスで [Dashboard] にアクセスして、[ 高可
用性 ] ウィジェットを表示します。
下に示すように、デバイスがペアになっていて同期さ
れていることを確認します。
135
アクティブ / パッシブ ペアの設定
高可用性のセットアップ
デバイスの接続および設定(続き)
パッシブ デバイス : ローカル デバ
イスの状態が [passive]、設定が
[synchronized] と表示されます。
アクティブ デバイス : ローカル デバイスの状態
が [active]、設定が [synchronized] と表示され
ます。
フェイルオーバー条件の定義
フェイルオーバーのトリガーの設定
ステップ 1 リンク モニタリングを設定する 1.
には、モニタリングするインター
フェイスを定義します。これらの 2.
インターフェイスでリンク状態
を変更すると、フェイルオーバー
3.
が引き起こされます。
ステップ 2 ( 任意 ) デバイスで ( 前の手順で ) 1.
設定したリンク グループの失敗 2.
条件を変更します。
[Device] > [ 高可用性 ] > [ リンクおよびパスのモニタ
リング ] の順に選択します。
[ リンク グループ ] セクションで [ 追加 ] をクリックし
ます。
[ リンク グループ ] 画面で [ 名前 ] を指定して、モニタ
リングするインターフェイスを追加し、そのグループ
の [ 失敗条件 ] を選択します。定義するリンク グルー
プが [ リンク グループ ] セクションに追加されます。
[ リンク モニタリング ] セクションを選択します。
[ 失敗条件 ] を [ すべて ] に設定します。
デフォルトの設定は [ いずれか ] です。
デフォルトでは、モニタリング対
象のリンクのいずれかに障害が
発生すると、デバイスでフェイル
オーバーが引き起こされます。
136
スタート ガイド
アクティブ / パッシブ ペアの設定
高可用性のセットアップ
フェイルオーバーのトリガーの設定(続き)
ステップ 3 パス モニタリングを設定するに 1.
は、ファイアウォールで ping を
実行してネットワーク接続を確
認するための宛先 IP アドレスを
定義します。
[Device] > [ 高可用性 ] > [ リンクおよびパスのモニタリン
グ ] の順に選択すると表示される [ パス グループ ] セク
ションで、[ バーチャル ワイヤーパスの追加 ]、[VLAN
パスの追加 ]、[ 仮想ルーターパスの追加 ] のいずれか
を選択します。
2.
[ 名前 ] ドロップダウン リストから適切な項目を選択
し、モニタリングする [ 送信元 IP] と [ 宛先 IP] のアド
レスを画面の指示に従って追加します。次に、グルー
プの [ 失敗条件 ] を選択します。定義するパス グルー
プが [ パス グループ ] セクションに追加されます。
ステップ 4 ( 任意 ) デバイスで設定したすべ [ 失敗条件 ] を [ すべて ] に設定します。
てのパス グループの失敗条件を デフォルトの設定は [ いずれか ] です。
変更します。
デフォルトでは、モニター対象の
いずれかのパスに障害が発生す
ると、デバイスでフェイルオー
バーが引き起こされます。
ステップ 5 変更を保存します。
スタート ガイド
[Commit] をクリックします。
137
アクティブ / パッシブ ペアの設定
高可用性のセットアップ
フェイルオーバーの確認
HA の設定が正しく動作することをテストするには、手動でフェイルオーバーを引き起こして、
デバイスの状態が正しく移行することを確認します。
フェイルオーバーの確認
ステップ 1 アクティブ デバイスをサスペン [Device] > [ 高可用性 ] > [ 操作コマンド ] タブの順に選択す
ドにします。
ると表示される [ ローカルデバイスをサスペンド ] リンク
をクリックします。
ステップ 2 パッシブ デバイスがアクティブ [Dashboard] の [ 高可用性 ] ウィジェットで、パッシブ デ
デバイスとしてタスクを引き継 バイスの状態が [ アクティブ ] に変わっていることを確認
いでいることを確認します。
します。
ステップ 3 サスペンドされたデバイスを稼 1.
働状態に戻します。プリエンプ
ティブを有効にしている場合は、
しばらく待ってからプリエンプ
ションが発生していることを確
認します。
前にサスペンドにしたデバイスで、[Device] > [ 高可用
性 ] > [ 操作コマンド ] タブの順に選択して、[ ローカル
デバイスを稼働状態にする ] リンクを選択します。
2.
[Dashboard] の [ 高可用性 ] ウィジェットで、デバイス
がアクティブ デバイスとしてタスクを引き継いでいる
ことと、ピアがパッシブ状態に変わっていることを確
認します。
138
スタート ガイド