Palo Alto Networks® Web インターフェイス リファレンス ガイド バージョン 6.1 連絡先情報 本社 : Palo Alto Networks 4401 Great America Parkway Santa Clara, CA 95054 http://www.paloaltonetworks.com/contact/contact/ このガイドについて このガイドでは、Palo Alto Networks の次世代ファイアウォールおよび Panorama の Web インターフェイ スについて説明します。Web インターフェイスを使用する方法と、インターフェイス内のフィールドに 値を入力する方法に関するリファレンス情報が記載されています。 その他の機能およびファイアウォールの機能の設定方法の詳細は、 https://www.paloaltonetworks.com/documentation を参照してください。 ナレッジ ベース、ドキュメント セット一式、ディスカッション フォーラム、および動画 (https://live.paloaltonetworks.com) サポート窓口、サポート プログラムの詳細、アカウントまたはデバイスの管理 (https://support.paloaltonetworks.com) 最新のリリース ノート(https://support.paloaltonetworks.com/Updates/SoftwareUpdates のソフトウェア のダウンロードページ) ドキュメントのフィードバックは、以下の宛先までご送付ください。 [email protected] Palo Alto Networks, Inc. www.paloaltonetworks.com © 2014 Palo Alto Networks. All rights reserved. Palo Alto Networks および PAN-OS は Palo Alto Networks, Inc. の商標です。 改定日 : 2014 年 12 月 14 日 2 2014 年 12 月 15 日 - Palo Alto Networks 社外秘 目次 第1章 はじめに . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 ファイアウォールの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 機能と利点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 管理インターフェイス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 第2章 スタート ガイド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 ファイアウォールの準備 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 ファイアウォールのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 ファイアウォール Web インターフェイスの使用. . . . . . . . . . . . . . . . 17 変更のコミット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 設定ページへの移動 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 設定ページのテーブルの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 必須フィールド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . トランザクションのロック . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . サポート対象のブラウザ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 21 21 21 21 22 ファイアウォール設定でのヘルプの表示 . . . . . . . . . . . . . . . . . . . . . . . 23 詳細情報について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 テクニカル サポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 第3章 デバイス管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . システム セットアップ、設定、およびライセンス管理 . . . . . . . . . . . . . . . 管理設定の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 操作設定の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ハードウェア セキュリティ モジュールの定義 . . . . . . . . . . . . . . . . . . . . . . SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . サービス設定の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Content-ID 設定の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . WildFire の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . セッション設定の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . セッション設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . セッション タイムアウト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 復号化設定 : 証明書失効チェック . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Palo Alto Networks 25 26 26 37 42 44 46 49 51 52 53 54 56 目次 • 3 復号化設定 : フォワード プロキシ サーバーの証明書設定. . . . . . . . . . 57 設定ファイルの比較 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 ライセンスのインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 VM 情報ソースの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 ソフトウェアのインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 脅威およびアプリケーションの定義の更新 . . . . . . . . . . . . . . . . . . . . . . . . . 65 管理者ロール、プロファイル、およびアカウント . . . . . . . . . . . . . . . . . . . 68 管理者ロールの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 パスワード プロファイルの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 ユーザー名とパスワードの要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 管理アカウントの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 管理者のアクセス ドメインの指定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 認証プロファイルのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 ローカル ユーザー データベースの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 ローカル ユーザー グループの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 RADIUS サーバーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 LDAP サーバーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 Kerberos の設定 (Active Directory のネイティブ認証 ) . . . . . . . . . . . . . . . . . . 79 認証シーケンスのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 ログのエクスポートのスケジューリング . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 ログの宛先の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 設定ログの設定の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 システム ログの設定の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 HIP マッチ ログの設定の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 アラーム ログの設定の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 ログ設定の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 SNMP トラップの宛先の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 Syslog サーバーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 カスタム Syslog フィールドの説明 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 電子メール通知設定の指定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 Netflow の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 証明書の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 デバイス証明書の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 デフォルトの信頼された証明機関の管理 . . . . . . . . . . . . . . . . . . . . . . . 102 証明書プロファイルの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 OCSP レスポンダの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 ファイアウォールでの秘密鍵とパスワードの暗号化 . . . . . . . . . . . . . . . . 105 ファイアウォールの HA の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 仮想システムの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 共有ゲートウェイの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 カスタム応答ページの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 サポート情報の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 第4章 ネットワーク設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 バーチャル ワイヤーの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ファイアウォール インターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . Ethernet インターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ethernet サブインターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . バーチャル ワイヤー インターフェイスの設定 . . . . . . . . . . . . . . . . . . バーチャル ワイヤー サブインターフェイスの設定 . . . . . . . . . . . . . . タップ インターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 124 125 134 140 141 142 4 • 目次 Palo Alto Networks ログ カード インターフェイスの設定. . . . . . . . . . . . . . . . . . . . . . . . . . 復号化ミラー インターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . 集約インターフェイス グループの設定 . . . . . . . . . . . . . . . . . . . . . . . . Ethernet の集約インターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . HA インターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VLAN インターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ループバック インターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . トンネル インターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 仮想ルーターの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ 全般 ] タブの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ スタティック ルート ] タブの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ 再配信プロファイル ] タブの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . [RIP] タブの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [OSPF] タブの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [OSPFv3] タブの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [BGP] タブの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ マルチキャスト ] タブの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . セキュリティ ゾーンの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VLAN サポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DHCP サーバーと DHCP リレー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DNS プロキシ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . インターフェイス管理プロファイルの定義 . . . . . . . . . . . . . . . . . . . . . . . . モニター プロファイルの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ゾーン プロテクション プロファイルの定義 . . . . . . . . . . . . . . . . . . . . . . . フラッド防御の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 偵察行為防御の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . パケット ベースの攻撃保護の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 144 144 148 149 149 154 155 157 158 158 159 161 163 168 174 183 188 189 189 191 194 194 195 196 198 198 第5章 ポリシーとセキュリティ プロファイル . . . . . . . . . . . . . . . . . . . . . 203 ポリシーのタイプ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ポリシー定義のガイドライン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ポリシーのユーザーとアプリケーションの指定. . . . . . . . . . . . . . . . . Panorama でのポリシーの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . セキュリティ ポリシーの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ 全般 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ 送信元 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ ユーザー ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ 宛先 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ アプリケーション ] タブ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ サービス /URL カテゴリ ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ アクション ] タブ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NAT ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NAT およびセキュリティ ポリシーでのゾーン設定の決定 . . . . . . . . NAT ルール オプション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NAT ポリシーの例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NAT64 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NAT64 の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ネットワーク アドレス変換ポリシーの定義 . . . . . . . . . . . . . . . . . . . . . . . [ 全般 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ 元のパケット ] タブ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ 変換済みパケット ] タブ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 204 206 208 209 210 211 212 213 213 214 215 217 219 219 220 221 222 226 226 227 227 Palo Alto Networks 目次 • 5 ポリシーベースの転送ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ 全般 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ 送信元 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ 宛先 / アプリケーション / サービス ] タブ . . . . . . . . . . . . . . . . . . . . . . [ 転送 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 復号ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ 全般 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ 送信元 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ 宛先 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [URL カテゴリ ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ オプション ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . アプリケーション オーバーライド ポリシーの定義 . . . . . . . . . . . . . . . . . [ 全般 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ 送信元 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ 宛先 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ プロトコル / アプリケーション ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . キャプティブ ポータル ポリシーの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . [ 全般 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ 送信元 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ 宛先 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ サービス / URL カテゴリ ] タブ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ アクション ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DoS プロファイルの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ 全般 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ 送信元 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ 宛先 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ オプション / 保護 ] タブ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . セキュリティ プロファイル. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . アンチウイルス プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ アンチウイルス プロファイル ] ページ . . . . . . . . . . . . . . . . . . . . . . . . [ アンチウイルス ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ 例外 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . アンチスパイウェア プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 脆弱性防御プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . URL フィルタリング プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ファイル ブロッキング プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . データ フィルタリング プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DoS プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . その他のポリシー オブジェクト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 定義アドレス オブジェクト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . アドレス グループの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 地域の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . アプリケーションとアプリケーション グループ . . . . . . . . . . . . . . . . . . . . アプリケーションの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . アプリケーション グループの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . アプリケーション フィルタ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . サービス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . サービス グループ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . タグの処理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . データ パターン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . カスタム URL カテゴリ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ダイナミック ブロック リスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 • 目次 229 229 230 232 232 233 234 235 236 236 236 237 238 238 239 239 240 240 241 241 242 242 243 243 244 245 245 246 248 248 249 249 250 253 257 262 267 269 271 272 273 275 276 279 282 282 283 284 284 285 287 288 Palo Alto Networks カスタムのスパイウェア シグネチャと脆弱性シグネチャ . . . . . . . . . . . . 289 データ パターンの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289 スパイウェア シグネチャと脆弱性シグネチャの定義 . . . . . . . . . . . . . 290 セキュリティ プロファイル グループ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293 ログ転送 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294 復号プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295 スケジュール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298 第6章 レポートとログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299 ダッシュボードの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300 アプリケーション コマンド センターの使用 . . . . . . . . . . . . . . . . . . . 301 アプリケーション スコープの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . 305 サマリー レポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306 変化モニター レポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307 脅威モニター レポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308 脅威マップ レポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309 ネットワーク モニター レポート. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310 トラフィック マップ レポート. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312 ログの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313 セッション情報の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316 ボットネット レポートの処理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316 ボットネット レポートの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317 ボットネット レポートの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318 PDF サマリー レポートの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319 ユーザー / グループ アクティビティ レポートの管理 . . . . . . . . . . . 321 レポート グループの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322 電子メールで配信するレポートのスケジューリング . . . . . . . . . . . . 323 レポートの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323 カスタムレポートの生成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324 パケット キャプチャの実行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325 第7章 ファイアウォールへのユーザー ID の設定識別 . . . . . . . . . . . . . . . 329 ファイアウォールへのユーザー ID の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . 329 [ ユーザー マッピング ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330 [ ユーザー ID エージェント ] . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337 [ ターミナル サービス エージェント ] タブ . . . . . . . . . . . . . . . . . . . . . . 338 [ グループ マッピング設定 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339 [ キャプティブ ポータルの設定 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . 341 第8章 IPSec トンネルの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345 IKE ゲートウェイの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345 IKE ゲートウェイの [ 全般 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346 IKE ゲートウェイの [ 詳細フェーズ 1 のオプション ] タブ . . . . . . . . . 346 Palo Alto Networks 目次 • 7 IPSec トンネルのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IPSec トンネルの [ 全般 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IPSec トンネルの [ プロキシ ID] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . ファイアウォールの IPSec トンネル状態の表示 . . . . . . . . . . . . . . . . . . IKE 暗号プロファイルの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IPSec 暗号プロファイルの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347 347 351 351 352 353 第9章 GlobalProtect の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355 GlobalProtect ポータルのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ ポータル設定 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ クライアントの設定 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ サテライト設定 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . GlobalProtect ゲートウェイのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . [ 全般 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ クライアントの設定 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ サテライト設定 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Mobile Security Manager へのゲートウェイ アクセスのセットアップ . . . . HIP オブジェクトの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ 全般 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ モバイル デバイス ] タブ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ パッチ管理 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ ファイアウォール ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ アンチウイルス ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ アンチスパイウェア ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ ディスク バックアップ ] タブ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ ディスク暗号化 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ データ損失防止 ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . [ カスタム チェック ] タブ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . HIP プロファイルのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . GlobalProtect エージェントのセットアップとアクティベーション . . . . GlobalProtect エージェントのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . GlobalProtect エージェントの使用. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355 355 357 364 366 367 367 371 374 375 376 377 378 379 380 381 382 382 383 383 384 385 387 387 第 10 章 Quality of Services (QoS) の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389 QoS QoS QoS ファイアウォール インターフェイスの QoS の設定 . . . . . . . . . . . . . . . . . 389 プロファイルの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392 ポリシーの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394 統計情報の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398 第 11 章 Panorama を使用したデバイス中央管理 . . . . . . . . . . . . . . . . . . . . . . 399 [Panorama] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . デバイス コンテキストの切り替え . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ストレージ パーティションのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . 高可用性 (HA) の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400 403 403 405 8 • 目次 Palo Alto Networks デバイスの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407 ファイアウォール設定のバックアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410 デバイス グループの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411 共有オブジェクトと共有ポリシー. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412 デバイス グループ内の特定デバイスへのポリシーの適用 . . . . . . . . . 413 Panorama 管理者ロールの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413 Panorama 管理アカウントの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415 管理者の Panorama アクセス ドメインの指定 . . . . . . . . . . . . . . . . . . . . . . . 417 Panorama での変更のコミット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418 テンプレート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 420 テンプレート設定のオーバーライド. . . . . . . . . . . . . . . . . . . . . . . . . . . . 422 テンプレートの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423 ログおよびレポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423 ログ コレクタの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424 ログ コレクタの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424 コレクタへのソフトウェアの更新のインストール . . . . . . . . . . . . . . . 428 ログ コレクタ グループの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429 ユーザー アクティビティ レポートの生成 . . . . . . . . . . . . . . . . . . . . . . . . . . 431 ファイアウォール導入情報の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432 ダイナミック更新のスケジュール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433 設定のエクスポートのスケジューリング . . . . . . . . . . . . . . . . . . . . . . . . . . . 434 Panorama ソフトウェアのアップグレード . . . . . . . . . . . . . . . . . . . . . . . . . . 436 ログ転送の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437 NSX Manager 上のサービスとしての VM-Series ファイアウォールの 登録 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440 VMware Service Manager からの情報の更新 . . . . . . . . . . . . . . . . . . . . . . 442 付録 A カスタム ページ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443 アンチウイルスおよびアンチスパイウェア ブロック ページ . . . . . . . . . 444 アプリケーション ブロック ページ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445 ファイル ブロッキング ブロック ページ . . . . . . . . . . . . . . . . . . . . . . . . . . . 445 SSL 復号オプトアウト ページ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446 キャプティブ ポータル確認ページ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446 SSL VPN ログイン ページ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447 SSL 証明書無効通知ページ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 448 URL フィルタリングおよびカテゴリ一致ブロック ページ . . . . . . . . . . . . 448 URL フィルタリングの続行とオーバーライド ページ . . . . . . . . . . . . . . . . 449 URL フィルタリング セーフ サーチの適用ブロック ページ . . . . . . . . . . . 450 付録 B アプリケーションのカテゴリ、サブカテゴリ、テクノロジ、 特徴 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 451 アプリケーションのカテゴリとサブカテゴリ . . . . . . . . . . . . . . . . . . 451 アプリケーション テクノロジ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453 アプリケーション特性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453 Palo Alto Networks 目次 • 9 付録 C CC EAL4+/FIPS140-2 のサポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455 CC/FIPS モードの有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455 CC/FIPS セキュリティ機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456 付録 D オープン ソース ライセンス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457 Artistic License . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . BSD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . GNU General Public License. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . GNU Lesser General Public License . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . MIT/X11 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . OpenSSH. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . PSF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . PHP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zlib . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 458 459 460 464 471 471 475 475 476 付録 E 外部の Web リソースへのファイアウォールのアクセス . . . . . . . 479 アプリケーション データベース . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 脅威 / アンチウイルス データベース . . . . . . . . . . . . . . . . . . . . . . . . . . PAN-DB URL Filtering データベース. . . . . . . . . . . . . . . . . . . . . . . . . . . . . BrightCloud Filtering データベース . . . . . . . . . . . . . . . . . . . . . . . . . . . . . WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 480 480 480 480 480 索引. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 483 10 • 目次 Palo Alto Networks 第1章 はじめに このセクションでは、ファイアウォールの概要について説明します。 • ファイアウォールの概要 • 機能と利点 • 管理インターフェイス ファイアウォールの概要 Palo Alto Networks ファイアウォールでは、ネットワークにアクセスしようとしている各ア プリケーションを正確に識別し、その識別に応じたセキュリティ ポリシーを指定できます。 プロトコルとポート番号のみでアプリケーションを識別する従来型のファイアウォールとは 異なり、パケット検査とアプリケーション シグネチャのライブラリを使用することで、使用 するプロトコルとポート番号が同じアプリケーションを区別し、危害を及ぼす可能性があ る、標準以外のポート番号を使用するアプリケーションを識別できます。 たとえば、ポート 80 番を使用するすべての接続に対して同じポリシーを適用するのではな く、アプリケーションごとにセキュリティポリシーを定義できます。識別した各アプリケー ションに対しては、送信元および宛先のゾーンとアドレス (Pv4 と IPv6) に基づき、トラ フィックをブロックするセキュリティポリシー、または許可するセキュリティポリシーを指 定できます。各セキュリティーポリシーは、ウィルス、スパイウェアや他の脅威から守るた めに、セキュリティプロファイルを指定することもできます。 Palo Alto Networks はじめに • 11 機能と利点 機能と利点 このファイアウォールでは、ネットワークへのアクセスを許可されたトラフィックを詳細に 制御できます。主な機能と利点は、以下のとおりです。 • アプリケーションベースでのポリシーの適用 — アプリケーションを、プロトコルとポー ト番号以外の情報も使用して識別するため、アプリケーションごとに、より効果的なア クセス制御が可能です。リスクが高いアプリケーションやファイル共有などのリスクの 高い操作をブロックできます。Secure Socket Layer (SSL) プロトコルで暗号化されたトラ フィックの暗号を解読して検査できます。 • ユーザー ID (User-ID) — ユーザー ID により管理者は、ネットワーク ゾーンとアドレス の代わりに ( またはこれらに加えて )、ユーザーとユーザー グループに基づいてファイア ウォール ポリシーを設定および適用できます。ファイアウォールは、Microsoft Active Directory、eDirectory、SunOne、OpenLDAP、および他のほとんどの LDAP ベースの ディレクトリ サーバーなど、多くのディレクトリ サーバーと通信して、ユーザーとグ ループの情報をファイアウォールに提供できます。この情報を使用して保護された状態 でアプリケーションを有効にするという優れた方法を実現でき、ユーザーまたはグルー プ単位で定義することができます。たとえば管理者は、会社内の 1 つの組織に、ある Web ベースのアプリケーションの使用を許可し、他の組織でそのアプリケーションを使 用できないようにすることが可能です。また、ユーザーおよびグループに基づいてアプ リケーションの特定のコンポーネントをよりきめ細かく制御するように設定することも できます。「ファイアウォールへのユーザー ID の設定識別」を参照してください。 • 脅威防御 — ウイルス、ワーム、スパイウェア、およびその他の悪意のあるトラフィック からネットワークを保護する脅威への対策サービスを、アプリケーションとトラフィッ クの送信元ごとに変えることができます (「セキュリティ プロファイル」を参照 )。 • URL フィルタリング — 送信コネクションをフィルタリングして、不適切な Web サイト へのアクセスを止められます (「URL フィルタリング プロファイル」を参照 )。 • トラフィックの可視性 — 幅広いレポート、ログ、および通知メカニズムにより、ネット ワーク アプリケーション トラフィックとセキュリティ イベントを詳細に観察できます。 Web インターフェイスの Application Command Center (ACC) を使用して、トラフィッ ク量が最大のアプリケーションや、セキュリティ リスクが最も高いアプリケーションを 特定します (「レポートとログ」を参照 )。 • 多機能なネットワーキングと速度 — このファイアウォールは、既存のファイアウォール を補完したり、置き換えたりできます。また、どのネットワークにも透過的にインストー ルでき、スイッチまたはルーティング環境をサポートするように設定できます。マルチ ギガビットの速度と単一パスのアーキテクチャを実現しているため、ネットワーク遅延 の影響はほとんどありません。 • GlobalProtect — GlobalProtect は、世界中のどこからでも簡単かつ安全にログインでき るようにすることで、現場で使用されるノートパソコンなどのクライアント システムで セキュリティを確保します。 • フェールセーフ機能 — 高可用性のサポートにより、ハードウェアやソフトウェアに障害 が発生した場合に自動的にフェイルオーバーされます (「ファイアウォールの HA の有効 化」を参照 )。 12 • はじめに Palo Alto Networks 管理インターフェイス • マルウェアの分析とレポート — WildFire は、ファイアウォールを通過するマルウェアの 詳細な分析とレポートを提供します。 • VM-Series ファイアウォール — 仮想化データ センター環境で使用するように位置付け られた PAN-OS の仮想インスタンスで、特に専用およびパブリック クラウドの導入に最 適です。Palo Alto Networks のハードウェアを導入しなくても、VMware ESXi を実行可 能な x86 デバイスすべてにインストールできます。 • 管理および Panorama — 各ファイアウォールを直観的にわかる Web インターフェイスま たはコマンドライン インターフェイス (CLI) によって管理するか、またはデバイスとほ ぼ同等の Web インターフェイスを備えた Panorama 中央管理システムですべてのデバイ スを一元的に管理することができます。 管理インターフェイス ファイアウォールでは、以下の管理インターフェイスがサポートされています。サポートさ れているブラウザのリストについては、「サポート対象のブラウザ」を参照してください。 • Web インターフェイス — Web ブラウザから HTTP または HTTPS 経由で設定とモニタ リングを行います。 • CLI — Telnet、セキュア シェル (SSH)、またはコンソール ポート経由でテキストベース の設定とモニタリングを行います (『PAN-OS Command Line Interface Reference Guide (PAN-OS コマンド ライン インターフェイス リファレンス ガイド )』を参照 )。 • Panorama — 複数のファイアウォールを Web ベースで管理し、レポートし、ログを記録 する Palo Alto Networks 製品です。Panorama インターフェイスは、デバイスの Web イ ン タ ーフ ェ イス に 似て い ます。ただ し、い く つか の 管理 機 能が 追 加さ れ てい ま す。 Panorama の使用方法の詳細は、 「Panorama を使用したデバイス中央管理」を参照して ください。 • SNMP (Simple Network Management Protocol) — Palo Alto Networks 製品は、SNMPv2c と SNMPv3、SNMP を介した読み取り専用アクセス、および TRAPS をサポートしてい ます。「SNMP トラップの宛先の設定」を参照してください。 • Syslog — 1 つ以上のリモート Syslog サーバー宛てにメッセージを生成します (「Syslog サーバーの設定」を参照 )。 • XML API — ファイアウォールからデバイス設定、動作ステータス、レポート、およびパ ケット キャプチャにアクセスするための Representational State Transfer (REST) ベース のインターフェイスを提供します。ファイアウォールで使用可能な API ブラウザがあり ます (https://<firewall>/api)。<firewall> は、ファイアウォールのホスト名または IP アドレ スです。このリンクは、API コールのそれぞれのタイプで必要とされるパラメータのヘル プを提供します。XML API 利用ガイドは、http://live.paloaltonetworks.com の DevCenter オン ライン コミュニティで利用できます。 Palo Alto Networks はじめに • 13 管理インターフェイス 14 • はじめに Palo Alto Networks 第2章 スタート ガイド この章では、ファイアウォールのセットアップ方法と使用開始手順について説明します。 • ファイアウォールの準備 • ファイアウォールのセットアップ • ファイアウォール Web インターフェイスの使用 • ファイアウォール設定でのヘルプの表示 ファイアウォールの準備 ファイアウォールをセットアップする前に、以下の準備作業を実行します。 1. 『Hardware Reference Guide ( ハードウェア リファレンス ガイド )』の説明に従って、 ラックにファイアウォールを設置し、電源をオンにします。 2. https://support.paloaltonetworks.com でファイアウォールを登録して、最新のソフトウェアと App-ID 更新を取得し、電子メールで送られている認証コードを利用してサポートまた はサブスクリプションをアクティベーションします。 3. ファイアウォールの管理ポートを設定するために、ネットワーク管理者から IP アドレス を取得します。 Palo Alto Networks スタート ガイド • 15 ファイアウォールのセットアップ ファイアウォールのセットアップ ファイアウォールの初期セットアップを実行するには、以下の手順を実行します。 1. RJ-45 Ethernet ケーブルを使用して、コンピュータをファイアウォールの管理ポート (MGT) に接続します。 2. コンピュータを起動します。192.168.1.0 ネットワークにあるコンピュータに、ネットマス ク 255.255.255.0 を使用してスタティック IP アドレスを割り当てます ( たとえば、 192.168.1.5)。 3. サポート対象の Web ブラウザを起動し、「https://192.168.1.1」と入力します。 Palo Alto Networks のログイン ページが自動的に開きます。 4. [ 名前 ] と [ パスワード ] の両方に「admin」と入力して、[ ログイン ] をクリックします。 デフォルトのパスワードを変更する必要があるという警告が表示されます。[OK] クリッ クして続行します。 5. [Device] タブで、[ セットアップ ] を選択して、以下の内容 (Web インターフェイスの設 定を指定する一般的な手順については、「ファイアウォール Web インターフェイスの使 用」を参照 ) を設定します。 – [ 管理 ] タブの下の [ 管理インターフェイス設定 ] タブで、ファイアウォールの IP アド レス、ネットマスク、およびデフォルトのゲートウェイを入力します。 – [ サービス ] タブで、Domain Name System (DNS) サーバーの IP アドレスを入力しま す。Network Time Protocol (NTP) サーバーの IP アドレス、またはホストとドメイン 名を入力し、タイム ゾーンを選択します。 – サイド メニューで [ サポート ] をクリックします。 社内で Palo Alto Networks ファイアウォールを初めて使用する場合は、[ デバイスの 登録 ] をクリックし、ファイアウォールを登録します。( すでにファイアウォールを登 録している場合は、ユーザー名とパスワードを受け取っているはずです )。 [ 認証コードを使用したサポートのアクティベーション ] リンクをクリックして、オプ ション機能で使用する電子メールで送られている認証コードを入力します。複数の認 証コードがある場合はスペースで区切ります。 6. [Devices] タブの [ 管理者 ] をクリックします。 7. [admin] をクリックします。 8. [ 新しいパスワード ] と [ 新しいパスワードの確認 ] フィールドに、大文字、小文字を区 別してパスワード ( 最大 15 文字 ) を入力し、確認します。 9. [OK] をクリックして、新しいパスワードを入力します。 16 • スタート ガイド Palo Alto Networks ファイアウォール Web インターフェイスの使用 10. 設定をコミットしてこれらの設定項目をアクティブにします。変更がコミットされると、 ファイアウォールにステップ 5 で割り当てられた IP アドレスで接続できるようになりま す。変更のコミットの詳細は、「変更のコミット」を参照してください。 工場出荷時、または工場出荷時の状態に戻した後のデフォルト設定は Ethernet ポート 1 と 2 の間のバーチャル ワイヤーであり、インバウンド トラフィックをすべて拒否するとともにアウトバウンド トラフィックを すべて許可するデフォルト ポリシーが設定されています。 ファイアウォール Web インターフェイスの使用 ファイアウォール インターフェイスの使用操作には、以下の原則が適用されます。 • 一般的な機能カテゴリのメニュー項目を表示するには、ブラウザ ウィンドウの上部近く にある [Objects] や [Devices] など、該当するタブをクリックします。 • パネルを表示するには、サイド メニューで項目をクリックします。 • サブメニュー項目を表示するには、項目の左にある アイコンをクリックします。サブ メニュー項目を非表示にするには、項目の左にある アイコンをクリックします。 • ほとんどの設定ページで、[ 追加 ] をクリックして新規項目を作成できます。 Palo Alto Networks スタート ガイド • 17 ファイアウォール Web インターフェイスの使用 • 1 つ以上の項目を削除するには、項目のチェック ボックスをオンにして [ 削除 ] をクリッ クします。ほとんどの場合、[OK] をクリックして削除を確認するか、[ キャンセル ] をク リックして削除をキャンセルするようにメッセージが表示されます。 • 一部の設定ページでは、項目のチェック ボックスをオンにして [ コピー ] をクリックす ると、選択した項目と同じ情報で新規項目を作成できます。 • 項目を変更するには、下線の付いたリンクをクリックします。 • ページのヘルプ情報を表示するには、ページの右上エリアにある [ ヘルプ ] アイコンをク リックします。 • タスクの現在のリストを表示するには、ページの右下隅の [ タスク ] アイコンをクリック します。[ タスク マネージャ ] ウィンドウが開き、ステータス、開始時刻、関連付けられ たメッセージ、およびアクションと共にタスクのリストを表示します。[ 表示 ] ドロップ ダウン リストを使用してタスクのリストをフィルタリングします。 18 • スタート ガイド Palo Alto Networks ファイアウォール Web インターフェイスの使用 • Web インターフェイス言語は、特定の優先言語が定義されていない場合、デバイスを管理 しているコンピュータの現在の言語に従います。たとえば、ファイアウォールの管理に 使用するコンピュータのロケールがスペイン語の場合、そのファイアウォールにログイ ンするときの Web インターフェイスはスペイン語で表示されます。 コンピュータのロケールに関係なく所定のアカウントでいつも使用する言語を指定する には、ページの右下にある [ 言語 ] アイコンをクリックして [ 言語設定 ] ウィンドウを開 きます。ドロップダウン リストをクリックして目的の言語を選択し、[OK] をクリック して変更を保存します。 • 変更できる情報を表示するページで ( たとえば、[Devices] タブの [ セットアップ ] ペー ジ )、セクションの右上隅のアイコンをクリックして、設定を編集します。 • 設定を行った後は、[OK] または [ 保存 ] をクリックして変更を保存する必要があります。 [OK] をクリックすると、現在の変更情報が設定の「候補」として更新されます。 Palo Alto Networks スタート ガイド • 19 ファイアウォール Web インターフェイスの使用 変更のコミット Web インターフェイスの上部で [ コミット ] をクリックして、[ コミット ] ダイアログ ボック スを開きます。 [ コミット ] ダイアログ ボックスでは、以下のオプションを使用できます。必要な場合 は、[ 詳細 ] リンクをクリックして、オプションを表示します。 – デバイスとネットワーク設定を含める — コミット操作にデバイスおよびネットワーク の設定変更を含めます。 – 共有オブジェクト設定を含める — ( マルチ仮想システム ファイアウォールのみ ) コミッ ト操作に共有オブジェクトの設定変更を含めます。 – ポリシーとオブジェクト設定を含める — ( 非マルチ仮想システム ファイアウォールの み ) コミット操作にポリシーとオブジェクトの設定変更を含めます。 – 仮想システム設定を含める — すべての仮想システムを含めるか、[1 つ以上の仮想シ ステムを選択します ] を選択します。 変更のコミットの詳細は、「操作設定の定義」を参照してください。 – 変更内容の確認 — 候補設定で提案される変更点が現在の実行中の設定と比較表示され る 2 ペイン ウィンドウを表示するには、このボタンをクリックします。表示する行数 を選択するか、すべての行を表示できます。変更点は、追加、修正、または削除され た項目に応じて色分けされます。 [Device] > [ 設定監査 ] でも同じ機能が実行されます。 「設定ファイルの比較」を参照 してください。 20 • スタート ガイド Palo Alto Networks ファイアウォール Web インターフェイスの使用 設定ページへの移動 このガイドの各設定セクションには、設定ページへのメニュー パスが記載されています。た とえば、[ 脆弱性防御 ] ページを表示するには、[Objects] タブを選択してから、サイド メ ニューの [ セキュリティ プロファイル ] の下で [ 脆弱性防御 ] を選択します。このガイドで は、この操作は以下のパスで示されます。 [Objects] > [ セキュリティ プロファイル ] > [ 脆弱性防御 ] 設定ページのテーブルの使用 設定ページのテーブルには、ソートおよび列を選択するオプションが含まれます。列ヘッ ダーをクリックしてその列をソートしてから、もう一度クリックしてソート順序を変更しま す。任意の列の右にある矢印をクリックし、表示する列を選択するために、チェックボック スをオンにします。 必須フィールド 必須フィールドは、淡い黄色の背景で表示されます。フィールドの入力領域をポイントまた はクリックすると、フィールドが必須であることを示すメッセージが表示されます。 トランザクションのロック Web インターフェイスは複数の管理者に対応しており、ある管理者が現在の一連のトランザ クションをロックすると、別の管理者はロックが解除されるまで設定変更やコミット操作が できなくなります。以下のタイプのロックがサポートされています。 • コンフィグ ロック — 他の管理者が設定を変更できないようにブロックします。このタイ プのロックは、グローバルに設定することも、1 つの仮想システムに設定することもでき ます。このロックを解除できるのは、ロックを設定した管理者またはシステムのスー パーユーザーだけです。 Palo Alto Networks スタート ガイド • 21 ファイアウォール Web インターフェイスの使用 • コミット ロック — すべてのロックが解除されるまで他の管理者が変更をコミットできな いようにブロックします。このタイプのブロックでは、2 人の管理者が同時に変更を行 い、2 番目の管理者が変更を完了させる前に最初の管理者が変更を完了させてコミット するときに生じる可能性がある競合を回避します。ロックは、ロックを適用した管理者 によって現在の変更がコミットされたときに解除されます。または手動で解除すること もできます。 どの管理者でもロック ウィンドウを開いて、ロックされている現在のトランザクションを表 示できます。これは、それぞれのタイムスタンプと共に表示されます。 トランザクションをロックするには、上部のバーにあるロック解除アイコン をクリックし て [ ロック ] ダイアログ ボックスを開きます。[ ロック設定 ] をクリックし、ドロップダウン リストからロックの範囲を選択して [OK] をクリックします。必要に応じてロックを追加し、 [ 閉じる ] をクリックして [ ロック ] ダイアログ ボックスを閉じます。 トランザクションがロックされて、上部のバーにあるアイコンがロック アイコンに変わり、 ロックされている項目の数がかっこ内に表示されます。 トランザクションのロックを解除するには、上部のバーにあるロック アイコン をクリック して [ ロック ] ウィンドウを開きます。解除するロックの アイコンをクリックし、[ はい ] をクリックして確定します。[ 閉じる ] をクリックして、[ ロック ] ダイアログ ボックスを閉 じます。 コミット ロックを自動実施するには、[Device] タブの [ セットアップ ] ページの [ 管理 ] 領域 にある [ コミット ロックの自動実施 ] チェック ボックスをオンにします。 「システム セット アップ、設定、およびライセンス管理」を参照してください。 サポート対象のブラウザ ファイアウォール Web インターフェイスのアクセスでは、以下の Web ブラウザがサポート されています。 • Internet Explorer 7+ • Firefox 3.6+ • Safari 5+ • Chrome 11+ 22 • スタート ガイド Palo Alto Networks ファイアウォール設定でのヘルプの表示 ファイアウォール設定でのヘルプの表示 このセクションの情報を使用して、ファイアウォール使用時にヘルプを表示します。 詳細情報について このファイアウォールに関する詳細は、以下の情報を参照してください。 • 一般的な情報 — http://www.paloaltonetworks.com • ドキュメント — 追加の機能およびファイアウォールの機能の設定方法の詳細 (https://www.paloaltonetworks.com/documentation) • オンライン ヘルプ — Web インターフェイスの右上隅にある [ ヘルプ ] をクリックすると オンライン ヘルプを参照できます。 • ナレッジ ベース — ナレッジ ベース、顧客とパートナーが交流して協力する分野、ディ スカッション フォーラム、および動画 (https://live.paloaltonetworks.com) テクニカル サポート テクニカル サポート、サポート プログラムの詳細、アカウントまたはデバイスの管理 (https://support.paloaltonetworks.com) Palo Alto Networks スタート ガイド • 23 ファイアウォール設定でのヘルプの表示 24 • スタート ガイド Palo Alto Networks 第3章 デバイス管理 ファイアウォールの基本的なシステム設定と管理タスクのフィールド リファレンスは、以下 のセクションを参照してください。 • システム セットアップ、設定、およびライセンス管理 • VM 情報ソースの定義 • ソフトウェアのインストール • 脅威およびアプリケーションの定義の更新 • 管理者ロール、プロファイル、およびアカウント • 認証プロファイルのセットアップ • 認証シーケンスのセットアップ • 証明書プロファイルの作成 • ログのエクスポートのスケジューリング • ログの宛先の定義 • アラーム ログの設定の定義 • Netflow の設定 • 証明書の使用 • ファイアウォールでの秘密鍵とパスワードの暗号化 • ファイアウォールの HA の有効化 • 仮想システムの定義 • カスタム応答ページの定義 • サポート情報の表示 Palo Alto Networks デバイス管理 • 25 システム セットアップ、設定、およびライセンス管理 以下のセクションで、管理アクセス用のネットワーク設定の定義方法、サービス ルートと サービスの定義、およびグローバル セッション タイムアウト、コンテンツ ID、WildFire マ ルウェアの分析とレポートなどの設定オプションの管理方法について説明します。 • 管理設定の定義 • 操作設定の定義 • ハードウェア セキュリティ モジュールの定義 • SNMP • サービス設定の定義 • Content-ID 設定の定義 • WildFire の設定 • セッション設定の定義 • 設定ファイルの比較 • ライセンスのインストール 管理設定の定義 [Device] > [ セットアップ ] > [ 管理 ] [Panorama] > [ セットアップ ] > [ 管理 ] ファイアウォールで、[Device] > [ セットアップ ] > [ 管理 ] タブから管理設定を定義します。 Panorama で、[Device] > [ セットアップ ] > [ 管理 ] タブから Panorama テンプレートを使用 して管理対象ファイアウォールを設定します。[Panorama] > [ セットアップ ] > [ 管理 ] タブ から、Panorama 自体の設定を定義します。 ファイアウォール管理の場合、必要に応じて、管理ポートの代わりにループ バック インターフェイスの IP アドレスを使用することができます 「ループ ( バック インターフェイスの設定」を参照 )。 表 1. 管理設定 項目 内容 一般設定 ホスト名 ホスト名 ( 最大 31 文字 ) を入力します。名前の大文字と小文字は区別さ れます。また、一意の名前にする必要があります。文字、数字、スペー ス、ハイフン、およびアンダースコアのみを使用してください。 ドメイン ファイアウォールの完全修飾ドメイン名 (FQDN) を入力します ( 最大 31 文字 )。 26 • デバイス管理 Palo Alto Networks 表 1. 管理設定(続き) 項目 内容 ログイン バナー ファイアウォールの [ ログイン ] ページに表示されるカスタム テキスト を入力します。このテキストは、[ 名前 ] フィールドと [ パスワード ] フィールドの下に表示されます。 タイム ゾーン ファイアウォールのタイム ゾーンを選択します。 表示言語 ドロップダウン リストから、PDF レポートの言語を選択します。「PDF サマリー レポートの管理」を参照してください。 Web インターフェイスに特定の言語設定が設定されている場合でも、 PDF レポートではこの表示言語の設定で指定した言語が使用されます。 「ファイアウォール Web インターフェイスの使用」の言語設定を参照し てください。 日時 ファイアウォールの日時を設定するには、[Set Time] をクリックします。 現在の日付 (YYYY/MM/DD) を入力するか、カレンダー アイコン を ク リ ックして月と日にちを選択します。現在の時刻を 24 時間 形式 (HH:MM:SS) で入力します。[Device] >[ セットアップ ] > [ サービス ] か ら NTP サーバーを定義することもできます。 シリアル番号 ( 仮想マシンのみ ) ファイアウォール / Panorama のシリアル番号を入力します。シリアル 番号は、送信された受注処理電子メールに記載されています。 デバイス稼働場所 ファイアウォールの緯度 (-90.0 ~ 90.0) と経度 (-180.0 ~ 180.0) を入力し ます。 コミット ロックの 自動実施 候補設定を変更するときにコミット ロックを自動的に適用します。詳細 は、「トランザクションのロック」を参照してください。 証明書有効期限チェック デバイス内の証明書が有効期限に近くなったときに警告メッセージを作 成するようにファイアウォールに指示します。 マルチ仮想システム機能 複数の仮想システムの使用を有効にします ( ファイアウォール モデルで その機能がサポートされている場合 )。詳細は、 「仮想システムの定義」を 参照してください。 認証設定 認証プロファイル 管理者がファイアウォールへのアクセスに使用する認証プロファイルを 選択します。認証プロファイルの設定手順の詳細は、 「認証プロファイル のセットアップ」を参照してください。 証明書プロファイル ファイアウォールへの管理者アクセスに使用する証明書プロファイルを 選択します。証明書プロファイルの設定手順の詳細は、 「証明書プロファ イルの作成」を参照してください。 アイドル タイムアウト タイムアウト間隔を分単位で入力します (0 ~ 1440 分 )。値を 0 にすると、 管理、Web、または CLI のセッションがタイムアウトしなくなります。 許容ログイン回数 PAN-OS で Web インターフェイスと CLI に許容されるログイン試行回 数 (1 ~ 10、デフォルトは 0) を入力します。この回数を超えるとアカウ ントはロックされます。値 0 を指定すると、無制限に試行できます。 ロックアウト時間 [ 許容ログイン回数 ] の制限に達したときに、PAN-OS がユーザーをロッ クアウトする時間 (0 ~ 60 分 ) を入力します。デフォルトは 0 で、無制限 に試行できます。 Palo Alto Networks デバイス管理 • 27 表 1. 管理設定(続き) 項目 内容 Panorama 設定 : [Device] > [ セットアップ ] > [ 管理 ] Panorama を使用してファイアウォールを管理する場合、ファイアウォール、または Panorama のテ ンプレートに以下の設定を行います。これらの設定によって、ファイアウォールと Panorama 間の接 続が確立され、接続タイムアウトが決定されます。ファイアウォール (Panorama のテンプレートで はない ) の設定を編集する場合、Panorama からファイアウォールへのポリシー、オブジェクト、デ バイス グループ、およびテンプレート情報の配信を有効または無効にすることもできます。 注 : Panorama の接続タイムアウトとオブジェクト共有設定も定義する必要があります。 「Panorama 設定 : [Panorama] > [ セットアップ ] > [ 管理 ]」を参照してください。 Panorama サーバー Panorama サーバーの IP アドレスを入力します。Panorama が高可用性 (HA) 設定に含まれている場合、2 番目の [Panorama サーバー ] フィール ドにセカンダリ Panorama サーバーの IP アドレスを入力します。 Panorama への接続の 受信タイムアウト Panorama から TCP メッセージを受信するときのタイムアウト (1 ~ 120 秒、デフォルトは 240 秒 ) を入力します。 Panorama への接続の 送信タイムアウト Panorama に TCP メッセージを送信するときのタイムアウト (1 ~ 120 秒、デフォルトは 240 秒 ) を入力します。 Panorama に送信される SSL のカウントの再試行 回数 Panorama に Secure Socket Layer (SSL) メッセージを送信するときの再 試行回数 (1 ~ 64、デフォルトは 25) を入力します。 Panorama ポリシーと オブジェクトを無効 / 有効にする このボタンはファイアウォール (Panorama のテンプレートではない ) の [Panorama 設定 ] を編集するときに表示されます。デフォルトでは、 Panorama によって、デバイス グループに対して定義されているポリ シーとオブジェクトがそのグループに割り当てられているファイア ウォールに配信されます。[Panorama ポリシーとオブジェクトを無効に する ] をクリックするとその配信が無効になります。デフォルトでは、 この操作により、ファイアウォールから配信されたポリシーとオブジェ クトも削除されます。 配信を無効にする前にデバイス グループのポリシーとオブジェクトの ローカル コピーを保管する場合は、ボタンで開いたダイアログ ボックス の [ 無効にする前に Panorama ポリシーとオブジェクトをインポート ] チェック ボックスをオンにします。次に [OK] をクリックすると、PAN-OS によってポリシーとオブジェクトが現在の候補設定にコピーされます。 コミットを実行すると、ポリシーとオブジェクトはファイアウォール設 定の一部となり、Panorama による管理の対象外となります。 通常の操作状況下では、Panorama 管理を無効にすることは不要である うえに、ファイアウォールのメンテナンスと設定が複雑になりかねませ ん。このオプションは通常、ファイアウォールでデバイス グループの定 義とは異なるルールとオブジェクト値が必要な場合に適用されます。た とえば、テストのためにファイアウォールを本番環境からラボ環境に移 動する場合などです。 ファイアウォールのポリシーおよびオブジェクト管理を Panorama に戻 すには、[Panorama ポリシーとオブジェクトを有効にする ] をクリック します。 28 • デバイス管理 Palo Alto Networks 表 1. 管理設定(続き) 項目 内容 デバイスとネットワーク テンプレートを無効 / 有効にする このボタンはファイアウォール (Panorama のテンプレートではない ) の [Panorama 設定 ] を編集するときに表示されます。デフォルトでは、 Panorama によって、テンプレートに対して定義されているデバイスと ネットワーク テンプレートがそのテンプレートに割り当てられてい るファイアウォールに配信されます。[ デバイスとネットワーク テンプ レートを無効にする ] をクリックするとその配信が無効になります。デ フォルトでは、この操作により、ファイアウォールからテンプレート情 報も削除されます。 配信を無効にする前にファイアウォールのテンプレート情報のローカル コピーを保管する場合は、ボタンで開いたダイアログ ボックスの [ 無効 にする前にデバイスとネットワーク テンプレートをインポート ] チェッ ク ボックスをオンにします。次に [OK] をクリックすると、PAN-OS に よって、テンプレートに定義された情報がファイアウォールの現在の候 補設定にコピーされます。コミットを実行すると、テンプレート情報は ファイアウォール設定の一部となり、Panorama ではその情報が管理の 対象外となります。 通常の操作状況下では、Panorama 管理を無効にすることは不要である うえに、ファイアウォールのメンテナンスと設定が複雑になりかねませ ん。このオプションは通常、ファイアウォールでデバイス グループの定 義とは異なるルールとオブジェクト値が必要な場合に適用されます。た とえば、テストのためにファイアウォールを本番環境からラボ環境に移 動する場合などです。 ファイアウォールでテンプレートの受け入れを再開するには、[ デバイ スとネットワーク テンプレートを有効にする ] をクリックします。 Panorama 設定 : [Panorama] > [ セットアップ ] > [ 管理 ] Panorama を使用してファイアウォールを管理する場合、Panorama で以下の設定を行います。これ らの設定により、Panorama と管理対象ファイアウォール間の接続に関するタイムアウトおよび SSL メッセージ試行回数と、オブジェクト共有パラメータが決まります。 注 : ファイアウォール、または Panorama のテンプレートにも Panorama 接続設定を定義する必要 があります。「Panorama 設定 : [Device] > [ セットアップ ] > [ 管理 ]」を参照してください。 デバイスへのデータ受信 のタイムアウト すべての管理対象ファイアウォールから TCP メッセージを受信すると きのタイムアウト (1 ~ 240 秒、デフォルトは 240 秒 ) を入力します。 デバイスへのデータ送信 のタイムアウト すべての管理対象ファイアウォールに TCP メッセージを送信するとき のタイムアウト (1 ~ 240 秒、デフォルトは 240 秒 ) を入力します。 デバイスに送信される SSL のカウントの再試行 管理対象ファイアウォールに Secure Socket Layer (SSL) メッセージを送 信するときの再試行回数 (1 ~ 64、デフォルトは 25) を入力します。 未使用のアドレスと サービス オブジェクト をデバイスと共有 すべての Panorama 共有オブジェクトおよびデバイス グループ固有のオ ブジェクトを管理対象ファイアウォールで共有するには、このチェック ボックスをオンにします。この設定はデフォルトで有効になっています。 このチェック ボックスをオフにすると、PAN-OS によって Panorama ポ リシー内のアドレス、アドレス グループ、サービス、およびサービス グ ループ オブジェクトへの参照がチェックされ、参照されないオブジェク トは共有されません。このオプションにより、PAN-OS から管理対象 ファイアウォールに必要なオブジェクトのみが送信されるようになり、 オブジェクトの総数が削減されます。 Palo Alto Networks デバイス管理 • 29 表 1. 管理設定(続き) 項目 内容 共有オブジェクトが 優先されます 共有オブジェクトがデバイス グループ オブジェクトよりも優先される ことを指定するには、このチェック ボックスをオンにします。この場合、 デバイス グループによって共有の場所にある同じ名前の対応するオブ ジェクトがオーバーライドされず、PAN-OS によって共有オブジェクト としての同じ名前のデバイス グループ オブジェクトは廃棄されます。 デフォルトでは、このシステム全体の設定は無効になっており、デバイ ス グループによって同じ名前の対応するオブジェクトがオーバーライド されます。 管理インターフェイス設定 このインターフェイスは、ファイアウォール、Panorama M-100 アプライアンス、または Panorama バーチャル アプライアンスに適用されます。 M-100 アプライアンスでは、デフォルトで、設定、ログ収集、およびコレクタ グループ通信に管理 (MGT) インターフェイスが使用されます。ただし、ログ収集やコレクタ グループの通信に Eth1 また は Eth2 を設定する場合は、Eth1 や Eth2 よりも秘密性が高い MGT インターフェイスのサブネット を別途定義することをお勧めします。サブネットは、[ ネットマスク ] フィールド (IPv4 の場合 ) また は [IPv6 アドレス / プレフィックス長 ] フィールド (IPv6 の場合 ) で定義します。Panorama バーチャ ル アプライアンスでは、別個のインターフェイスはサポートされません。 注 : 管理インターフェイスの設定を完了するには、IP アドレス、ネットマスク (IPv4 の場合 ) 、プレ フィックス長 (IPv6 の場合 ) のいずれかと、デフォルト ゲートウェイを指定する必要があります。設 定を部分的にコミットした場合 ( たとえば、デフォルト ゲートウェイを省略するなど )、その後設定 を変更するときには、コンソール ポート経由でしかデバイスにアクセスできません。完全な設定を コミットすることをお勧めします。 IP アドレス (IPv4) ネットワークで IPv4 を使用する場合、IPv4 アドレスを管理ポートに割 り当てます。または、ループバック インターフェイスの IP アドレスを 割り当ててデバイスを管理することもできます。 デフォルトでは、これはログ転送の送信元アドレスです。 ネットマスク (IPv4) IPv4 アドレスを管理ポートに割り当てた場合は、ネットワーク マスク ( 例 : 255.255.255.0) を入力します。 デフォルト ゲートウェイ IPv4 アドレスを管理ポートに割り当てた場合は、デフォルト ルーター に IPv4 アドレスを割り当てます ( 管理ポートと同じサブネットにする必 要があります )。 IPv6 アドレス / プレフィックス長 ネットワークで IPv6 を使用する場合、IPv6 アドレスを管理ポートに割 り当てます。ネットマスクを示すには、IPv6 プレフィックス長を入力し ます ( 例 : 2001:400:f00::1/64)。 デフォルト IPv6 ゲートウェイ IPv6 アドレスを管理ポートに割り当てた場合は、デフォルト ルーター に IPv6 アドレスを割り当てます ( 管理ポートと同じサブネットにする必 要があります )。 速度 管理インターフェイスのデータ速度とデュプレックス オプションを設定 します。フル デュプレックスまたはハーフ デュプレックスで、10Mbps、 100Mbps、1Gbps のいずれかを選択できます。デバイス (Panorama また はファイアウォール ) にインターフェイス速度を決定させるには、デ フォルトのオート ネゴシエート設定を使用します。 この設定は、隣接するネットワーク機器のポート設定と一致する必要 があります。 MTU 30 • デバイス管理 このインターフェイスで送信されるパケットの最大転送単位 (MTU) を バイト数で入力します (576 ~ 1500、デフォルトは 1500)。 Palo Alto Networks 表 1. 管理設定(続き) 項目 内容 サービス 指定した管理インターフェイス アドレスで有効にするサービス (HTTP、 HTTP OCSP、HTTPS、Telnet、SSH ( セキュア シェル )、Ping、SNMP、 User ID、User ID Syslog リスナー -SSL、User ID Syslog リスナー -UDP) を選択します。 アクセス許可 IP アドレス ファイアウォール管理が許可される IP アドレスのリストを入力します。 Panorama M-100 アプライアンスでこのオプションを使用している場合、 各管理対象ファイアウォールの IP アドレスを追加します。追加しない と、ファイアウォールは Panorama に接続してログを送信したり、設定 の更新を受信したりすることができません。 Ethernet 1 インターフェイス設定 このインターフェイスは、Panorama M-100 アプライアンスにのみ適用され、Panorama バーチャル アプライアンスおよびファイアウォールには適用されません。M-100 アプライアンスでは、デフォル トで、設定、ログ収集、およびコレクタ グループ通信に管理インターフェイスが使用されます。た だし、Eth1 を有効にすると、管理対象コレクタを定義するときに ([Panorama] > [ 管理対象コレクタ ])、 ログ収集やコレクタ グループ通信で Eth1 を使用するように設定できます。 注 : IP アドレス、ネットマスク (IPv4 の場合 )、プレフィックス長 (IPv6 の場合 ) のいずれかと、デ フォルト ゲートウェイを指定しない場合は、Eth1 設定をコミットできません。 Ethernet 1 Eth1 インターフェイスを有効にするには、このチェック ボックスをオン にします。 IP アドレス (IPv4) ネットワークで IPv4 を使用する場合、IPv4 アドレスを Eth1 ポートに割 り当てます。 ネットマスク (IPv4) IPv4 アドレスをポートに割り当てた場合、ネットワーク マスクを入力 します ( 例 : 255.255.255.0)。 デフォルト ゲートウェイ IPv4 アドレスをポートに割り当てた場合、IPv4 アドレスをデフォルト ルーターに割り当てます (Eth1 ポートと同じサブネットにする必要があ ります )。 IPv6 アドレス / プレフィックス長 ネットワークで IPv6 を使用する場合、IPv6 アドレスを Eth1 ポートに割 り当てます。ネットマスクを示すには、IPv6 プレフィックス長を入力し ます ( 例 : 2001:400:f00::1/64)。 デフォルト IPv6 ゲートウェイ IPv6 アドレスをポートに割り当てた場合、IPv6 アドレスをデフォルト ルーターに割り当てます (Eth1 ポートと同じサブネットにする必要があ ります )。 速度 Eth1 インターフェイスのデータ速度とデュプレックス オプションを設 定 します。フル デュプレックスまたはハーフ デュプレックスで、 10Mbps、100Mbps、1Gbps のいずれかを選択できます。Panorama にイ ンターフェイス速度を決定させるには、デフォルトのオート ネゴシエー ト設定を使用します。 この設定は、隣接するネットワーク機器のポート設定と一致する必要が あります。 MTU このインターフェイスで送信されるパケットの最大転送単位 (MTU) を バイト数で入力します (576 ~ 1500、デフォルトは 1500)。 サービス Eth1 インターフェイスで Ping サービスを有効にするには、[Ping] を選 択します。 アクセス許可 IP アドレス Eth1 管理が許可される IP アドレスのリストを入力します。 Palo Alto Networks デバイス管理 • 31 表 1. 管理設定(続き) 項目 内容 Ethernet 2 インターフェイス設定 このインターフェイスは、Panorama M-100 アプライアンスにのみ適用され、Panorama バーチャル アプライアンスおよびファイアウォールには適用されません。M-100 アプライアンスでは、デフォル トで、設定、ログ収集、およびコレクタ グループ通信に管理インターフェイスが使用されます。た だし、Eth2 を有効にすると、管理対象コレクタを定義するときに ([Panorama] > [ 管理対象コレクタ ])、 ログ収集やコレクタ グループ通信で Eth1 を使用するように設定できます。 注 : IP アドレス、ネットマスク (IPv4 の場合 )、プレフィックス長 (IPv6 の場合 ) のいずれかと、デ フォルト ゲートウェイを指定しない場合は、Eth2 設定をコミットできません。 Eth2 Eth2 インターフェイスを有効にするには、このチェック ボックスをオン にします。 IP アドレス (IPv4) ネットワークで IPv4 を使用する場合、IPv4 アドレスを Eth2 ポートに割 り当てます。 ネットマスク (IPv4) IPv4 アドレスをポートに割り当てた場合、ネットワーク マスクを入力 します ( 例 : 255.255.255.0)。 デフォルト ゲートウェイ IPv4 アドレスをポートに割り当てた場合、IPv4 アドレスをデフォルト ルーターに割り当てます (Eth2 ポートと同じサブネットにする必要があ ります )。 IPv6 アドレス / プレフィックス長 ネットワークで IPv6 を使用する場合、IPv6 アドレスを Eth2 ポートに割 り当てます。ネットマスクを示すには、IPv6 プレフィックス長を入力し ます ( 例 : 2001:400:f00::1/64)。 デフォルト IPv6 ゲートウェイ IPv6 アドレスをポートに指定した場合、IPv6 アドレスをデフォルト ルーターに割り当てます (Eth2 ポートと同じサブネットにする必要があ ります )。 速度 Eth2 インターフェイスのデータ速度とデュプレックス オプションを設 定します。フル デュプレックスまたはハーフ デュプレックスで、10Mbps、 100Mbps、1Gbps のいずれかを選択できます。Panorama にインターフェ イス速度を決定させるには、デフォルトのオート ネゴシエート設定を使 用します。 この設定は、隣接するネットワーク機器のポート設定と一致する必要が あります。 MTU このインターフェイスで送信されるパケットの最大転送単位 (MTU) を バイト数で入力します (576 ~ 1500、デフォルトは 1500)。 サービス Eth2 インターフェイスで Ping サービスを有効にするには、[Ping] を選 択します。 アクセス許可 IP アドレス Eth2 管理が許可される IP アドレスのリストを入力します。 32 • デバイス管理 Palo Alto Networks 表 1. 管理設定(続き) 項目 内容 ロギングおよびレポート設定 インターフェイスのこのセクションを使用して、以下のオプションを変更します。 • ファイアウォールのログ ストレージの割り当て ([Device] > [ セットアップ ] > [ 管理 ])。 • Panorama バーチャル アプライアンスまたは Panorama モードの M-100 アプライアンスのログ ス トレージの割り当て ([Panorama] > [ セットアップ ] > [ 管理 ])。 注 : ログ コレクタ モードの M-100 アプライアンスのログ タイプごとに割り当てを設定するには、 [Panorama] > [ コレクタ グループ ] > [ 全般 ] を選択し、[ ログ保存エリア ] リンクを選択します。 「コレクタへのソフトウェアの更新のインストール」を参照してください。 • ユーザー アクティビティ レポートの計算およびエクスポートの属性 • ファイアウォール / Panorama で作成された事前定義済みレポート [ ログ保存エリア ] サブタブ ハード ディスクの各ログ タイプに割り当てる容量のパーセンテージを 指定します。 (PA-7050 ファイア ウォールには [ ログ カード ストレージ ] タブと [ 管理カード ストレージ ] タブが あります ) パーセント値を変更する場合、関連付けられたディスクの割り当ては自 動的に変更します。すべての値の合計が 100% を超える場合、ページ上 にメッセージが赤で表示され、設定を保存しようとするときにエラー メッセージが表示されます。これが発生する場合、合計が 100% の上限 を超えないようにパーセンテージを再調整します。 [OK] をクリックして設定を保存し、[ デフォルトの復元 ] をクリックし て、すべてのデフォルト設定を復元します。 PA-7050 ファイアウォールでは、ログは LPC (Log Processing Card) と SMC (Switch Management Card) に保存されるため、ログの割り当ては これら 2 つのエリアに分割されます。[ ログ保存エリア ] タブには、LPC に保存されたデータ タイプ トラフィックの割り当て設定が表示されま す ( トラフィック ログ、脅威ログなど )。[ 管理カード ストレージ ] には、 SMC に保存された管理タイプ トラフィックの割り当て設定が表示され ます ( 設定ログ、システム ログ、アラーム ログなど )。 注 : ログが最大サイズに達すると、ファイアウォールは最も古いエントリ から順に新しいログエントリで上書きします。ログ サイズを小さくする 場合、その変更をコミットしたときに最も古いログがファイアウォール によって削除されます。 Palo Alto Networks デバイス管理 • 33 表 1. 管理設定(続き) 項目 内容 [ ログのエクスポートと レポート ] サブタブ 設定監査のバージョン数 — 保存可能な設定監査のバージョン数を入力 します ( デフォルトは 100)。この数を超えると最も古いバージョンが廃 棄されます。保存されたバージョンを使用して、設定の変更の監査と比 較を行うことができます。 CSV エクスポートの最大行数 — トラフィック ログ ビューの [CSV にエ クスポート] アイコンで生成される CSV レポートに表示される最大行数 ( 範囲は 1 ~ 1048576、デフォルトは 65535) を入力します。 ユーザー アクティビティ レポートの最大行数 — 詳細なユーザー アクティ ビティ レポートでサポートされる最大行数 (1 ~ 1048576、デフォルトは 5000) を入力します。 設定バックアップのバージョン数 — (Panorama のみ ) 保存可能な設定 バックアップ数を入力します ( デフォルトは 100)。この数を超えると最 も古い設定バックアップが廃棄されます。 平均ブラウズ時間 ( 秒 ) —「ユーザー アクティビティ レポート」のブラ ウズ時間計算方法を調整するには、この変数を設定します。 計算対象としては、Web 広告やコンテンツ配信ネットワークとして分類 されたサイトは無視されます。ブラウズ時間の計算は、URL フィルタリ ング ログに記録されたコンテナ ページに基づきます。計算に含めるべき ではない外部サイトからコンテンツをロードするサイトが多くあるた め、コンテナ ページがこの計算の基準として使用されます。コンテナ ページの詳細は、「コンテナ ページ」を参照してください。 平均ブラウズ時間の設定は、管理者が想定するユーザーが Web ページを 閲覧する平均時間です。平均ブラウズ時間が経過した後に行われたリク エストは、新しいブラウズ アクティビティと見なされます。計算対象か らは、最初のリクエスト時間 ( 開始時間 ) から平均ブラウズ時間までの 間にロードされる新しい Web ページは無視されます。この動作は、任意 の Web ページ内にロードされる外部サイトを除外するために設計され ています。 例 : 平均ブラウズ時間が 2 分に設定されている場合は、ユーザーが Web ページを開き、そのページを 5 分間閲覧しても、そのページのブラウズ 時間は 2 分になります。ユーザーがあるページを閲覧する時間を判断す る方法がないため、このような動作が設定されています。 ( 範囲は 0 ~ 300 秒、デフォルトは 60 秒 ) ページ ロードしきい値 ( 秒 ) — このオプションを使用すると、ページ要 素がページにロードされるまでの推定時間を調整できます。最初のペー ジのロードからページ ロードしきい値までの間に発生するリクエスト は、ページの要素と見なされます。ページ ロードしきい値の範囲外で発 生するリクエストは、ページ内のリンクをユーザーがクリックしたもの と見なされます。ページ ロードしきい値は、 「ユーザー アクティビティ レポート」の計算にも使用されます。 ( 範囲は 0 ~ 60 秒、デフォルトは 20 秒 ) Syslog の ホ ス ト 名 フ ォ ー マ ッ ト — Syslog メ ッ セ ー ジ ヘ ッ ダ ー に FQDN、ホスト名、IP アドレス (v4 または V6) を使用するかどうかを選 択します。このヘッダーは、メッセージの送信元ファイアウォール / Panorama を識別します。 LogDb 容量超過時トラフィック転送を停止 — ログ データベースに空き がない場合にファイアウォール経由のトラフィックを停止するには、こ のチェック ボックスをオンにします ( デフォルトはオフ )。 34 • デバイス管理 Palo Alto Networks 表 1. 管理設定(続き) 項目 内容 DP 高負荷時にログを有効にする — ファイアウォールのパケット処理負 荷により CPU 使用率が 100% に達した場合にシステム ログ エントリを 生成するには、このチェック ボックスをオンにします。 高い CPU 負荷により、CPU がすべてのパケットを処理するのに十分な サイクルを確保できないため、動作が遅くなる可能性があります。シス テム ログでこの問題のアラートが通知 ( ログ エントリが毎分生成 ) され るため、問題の原因を調査できます。 デフォルトで無効になっています。 (Panorama のみ ) デバイスから転送するログのバッファ — Panorama への接続が失われた 場合に、ファイアウォールでそのハード ディスク ( ローカル ストレージ ) へのログ エントリのバッファを許可します。Panorama との接続が復元 したときに、ログ エントリが Panorama に転送されます。バッファに使 用できるディスク領域は、そのプラットフォームのログ ストレージの割 り当て、およびロール オーバーが保留中のログの量によって異なりま す。使用可能な領域がなくなると、新しいイベントをロギングできるよ うに最も古いエントリが削除されます。 デフォルトで有効になっています。 プライマリへの変換時に新規ログのみを取得 — このオプションは、 Panorama がネットワーク ファイル共有 (NFS) にログを書き込む場合に のみ適用されます。NFS ロギングでは、プライマリ Panorama が NFS にマウントされます。そのため、ファイアウォールはアクティブなプラ イマリ Panorama のみにログを送信します。 このオプションでは、HA フェイルオーバーが発生してセカンダリ Panorama が ( プライマリに昇格した後に ) NFS へのロギングを再開した 場合、新しく生成されたログのみを管理対象ファイアウォールから Panorama に送信するように管理者が設定できます。 この動作を有効にするのは、通常、Panorama への接続が復元されるま で長時間かかったときに、ファイアウォールが大量のバッファ済みログ を送信しないようにするためです。 ローカル ディスクへのアクティブ プライマリ ログのみ — アクティブな プライマリ Panorama のみがローカル ディスクにログを保存するように 設定できます。 このオプションは、仮想ディスクのある Panorama 仮想マシン、および Panorama モードの M-100 アプライアンスで有効です。 Palo Alto Networks デバイス管理 • 35 表 1. 管理設定(続き) 項目 内容 事前定義済みレポート — アプリケーション、トラフィック、脅威、URL フ ィ ル タ リ ン グ の 事 前 定 義 済 み レ ポ ー ト は、フ ァ イ ア ウ ォ ー ル と Panorama で使用できます。デフォルトでは、これらの事前定義済みレ ポートは有効になっています。 ファイアウォールは 1 時間おきの結果の生成 ( および表示用にその結果 が集約およびコンパイルされる Panorama への送信 ) にメモリ リソース を使用するため、メモリ使用量が減るように、重要ではないレポートを 無効にできます。レポートを無効にするには、そのレポートのチェック ボックスをオフにします。 事前定義済みレポートの生成を完全に有効または無効にするには、[ すべ て選択 ] または [ すべての選択を解除 ] オプションを使用します。 注 : レポートを無効にする前に、グループ レポートまたは PDF レポート にそのレポートが含まれていないことを確認してください。事前定義済 みレポートがレポート セットに含まれていてそのレポートを無効にした 場合、そのレポート セット全体でデータが表示されなくなります。 パスワード複雑性設定 有効 ローカル アカウントのパスワードの最小要件を有効にします。この機能 を使用すると、定義されたパスワード要件が、ファイアウォールのロー カル管理者アカウントで確実に順守されます。 これらのオプションのサブセットを使用したパスワード プロファイルを 作成し、設定をオーバーライドしたり、特定のアカウントに適用したり することもできます。詳細は、 「パスワード プロファイルの定義」を参照 してください。アカウントで使用できる有効な文字の詳細は、 「管理者 ロールの定義」を参照してください。 注 : 入力できるパスワードの最大文字数は 31 です。要件を設定す るときには、許容されない組み合わせを作成しないようにしてく ださい。たとえば、大文字 10 個、小文字 10 個、数字 10 個、特殊 文字 10 個の要件は、最大文字数の 31 を超えるため、設定できま せん。 注 : 高可用性 (HA) を設定してある場合は、パスワード複雑性の オプションを設定するときに必ずプライマリ デバイスを使用し、 変更を加えた後にすぐにコミットしてください。 最小文字数 最少で 1 ~ 15 文字が必要です。 最少大文字数 最少で 0 ~ 15 文字の大文字が必要です。 最少小文字数 最少で 0 ~ 15 文字の小文字が必要です。 最少数字数 最少で 0 ~ 15 文字の数字が必要です。 最少特殊文字数 最少で 0 ~ 15 文字の特殊文字 ( 英数字以外 ) が必要です。 繰り返し文字のブロック ユーザー名を含む パスワードを禁止 ( 逆順を含む ) 36 • デバイス管理 指定した値に基づいて繰り返し文字を禁止します。たとえば、値を「4」 に設定する場合、 「test2222」というパスワードは受け入れられませんが、 「test222」は受け入れられます ( 範囲は 2 ~ 15)。 アカウント ユーザー名 ( または名前の逆読みバージョン ) がパスワード で使用されないようにするには、このチェック ボックスをオンにします。 Palo Alto Networks 表 1. 管理設定(続き) 項目 内容 文字が異なる新規 パスワード 管理者が自分のパスワードを変更するときに、文字は指定した値に応じ て異なる必要があります。 初回ログイン時に パスワードの変更を要求 管理者がデバイスに初めてログインするときにパスワードの変更を求め るプロンプトを表示するには、このチェック ボックスをオンにします。 パスワードの再使用禁止 制限 指定した数に基づいて、以前のパスワードを再使用しないように要求し ます。たとえば、値を「4」に設定すると、直近のパスワード 4 つを再使 用することができません ( 範囲は 0 ~ 50)。 パスワード変更期間の ブロック ( 日 ) 指定した日数が経過するまで、ユーザーはパスワードを変更できません ( 範囲は 0 ~ 365 日 )。 パスワード変更が必要に なる期間 ( 日 ) 設定された日数 (0 ~ 365 日 ) で指定されたとおりに、管理者は定期的に パスワードを変更する必要があります。たとえば、値を「90」に設定す ると、管理者に 90 日ごとにパスワードの変更を求めるプロンプトが表 示されます。 失効の警告を 0 ~ 30 日の範囲で設定して猶予期間を指定することもで きます。 失効の警告期間 ( 日 ) パスワード変更が必要になる期間を設定すると、この設定を使用して、強 制パスワード変更日が近づくとユーザーがログインするたびにパスワー ドの変更を求めるプロンプトを表示できます ( 範囲は 0 ~ 30 日 )。 失効後の管理者ログイン 回数 アカウントが失効した後に、管理者は指定した回数ログインできます。 たとえば、値を「3」に設定し、アカウントが失効した場合、管理者はア カウントがロックアウトされるまで 3 回ログインすることができます ( 範囲は 0 ~ 3 回 )。 失効後の猶予期間 ( 日 ) アカウントが失効した後に、管理者は指定した日数ログインできます ( 範囲は 0 ~ 30 日 )。 操作設定の定義 [Device] > [ セットアップ ] > [ 操作 ] 設定を変更して [OK] をクリックすると、アクティブ コンフィグではなく現在の「候補」設 定が更新されます。ページ上部の [ コミット ] をクリックすると、候補設定が実行中の設定に 適用され、前回のコミットからの設定の変更がすべてアクティベーションされます。 この方法によって、設定をアクティベーションする前に確認できます。複数の変更を同時に アクティベーションすると、変更をリアルタイムに適用するときに発生することがある無効 な設定状態を回避できます。 候補コンフィグは必要に応じて何回でも保存やロール バック ( 復元 ) ができます。また、設定 の読み込み、検証、インポート、およびエクスポートを行うこともできます。[ 保存 ] をクリッ クすると、現在の候補設定のコピーが作成され、[ コミット ] を選択すると、アクティブ コン フィグが候補設定の内容で更新されます。 画面の右上隅にある [ 保存 ] リンクをクリックして、入力した設定を定期的に保存 することをお勧めします。 Palo Alto Networks デバイス管理 • 37 設定を管理するには、以下の表で説明するように、該当する設定管理機能を選択します。 表 2. 設定管理機能 機能 内容 設定の管理 候補設定の検証 候補設定にエラーがないかどうかが確認されます。 最後に保存した 設定に戻す 最後に保存された候補設定がローカル ドライブから復元されます。現在 の候補設定は上書きされます。候補設定が保存されていない場合、エラー が発生します。 実行中の設定に戻す 前回の実行中の設定が復元されます。現在の実行中の設定はオーバーラ イドされます。 名前付き設定スナップ ショットの保存 候補設定がファイルに保存されます。ファイル名を入力するか、上書き する既存のファイルを選択します。現在のアクティブ コンフィグ ファイ ル(running-config.xml)はオーバーライドできません。 候補設定の保存 候補設定がフラッシュ メモリに保存されます ( ページ上部の [ 保存 ] をク リックした場合と同様 )。 名前付き設定スナップ ショットのロード アクティブ コンフィグ (running-config.xml) や以前にインポートまたは保 存された設定から候補設定が読み込まれます。ロードする設定ファイル を選択します。現在の候補設定は上書きされます。 設定バージョンの エクスポート 指定したバージョンの設定が読み込まれます。 名前付き設定スナップ ショットのエクスポート アクティブ コンフィグ (running-config.xml) や以前に保存またはインポー トされた設定がエクスポートされます。エクスポートする設定ファイル を選択します。このファイルは、開いたり、ネットワーク上に保存した りすることができます。 設定バージョンの エクスポート 指定したバージョンの設定がエクスポートされます。 38 • デバイス管理 Palo Alto Networks 表 2. 設定管理機能(続き) 機能 内容 デバイス状態の エクスポート この機能は、大規模な VPN 機能が有効にされた GlobalProtect ポータル として設定されているファイアウォールから、設定および動的情報をエ クスポートするために使用します。ポータルで障害が発生した場合、エ クスポート ファイルをインポートして、ポータルの設定および動的情報 を復元できます。 エクスポートには、ポータルで管理されるすべてのサテライト デバイス のリスト、エクスポート時の実行中の設定、およびすべての証明書情報 ( ルート CA、サーバー、およびサテライト証明書 ) が含まれます。 重要 : デバイス状態のエクスポートを手動で実行するか、スケジュール 設定された XML API スクリプトを作成し、リモート サーバーにファイ ルをエクスポートする必要があります。サテライト証明書は頻繁に変更 される可能性があるので、この操作を定期的に行う必要があります。 CLI からデバイス状態ファイルを作成するには、設定モードで save device state を実行します。 ファイルには、device_state_cfg.tgz という名前が付けられ、/opt/pancfg/ mgmt/device-state に保存されます。デバイス状態ファイルをエクスポート する操作コマンドは、scp export device-state です (tftp export device-state を使用することもできます )。 XML API の使用の詳細は、http://www.paloaltonetworks.com/documentation にある『PAN-OS XML-Based Rest API Usage Guide (PAN-OS XML ベー スの Rest API 利用ガイド )』を参照してください。 名前付き設定スナップ ショットのインポート ネットワーク上から設定ファイルがインポートされます。[ 参照 ] をク リックして、インポートする設定ファイルを選択します。 デバイス状態の インポート [ デバイス状態のエクスポート ] オプションを使用してエクスポートされ たデバイス状態の情報をインポートします。これには、現在の実行中の 設定、Panorama テンプレート、共有ポリシーが含まれます。デバイスが Global Protect ポータルの場合、エクスポートには認証局 (CA) 情報、サ テライト デバイスおよび認証情報のリストが含まれます。 デバイスの操作 再起動 ファイアウォール / Panorama を再起動するには、[ デバイスの再起動 ] をクリックします。ユーザーはログアウトされ、PAN-OS ソフトウェア とアクティブ コンフィグが再読み込みされます。また、既存のセッショ ンが終了し、ログに記録され、シャットダウンを開始した管理者名を示 すシステム ログ エントリが作成されます。保存またはコミットされてい ない設定の変更は失われます (「操作設定の定義」を参照 )。 注 : Web インターフェイスを使用できない場合は、CLI コマンド request restart system を使用します。詳細は、『PAN-OS Command Line Interface Reference Guide (PAN-OS コマンド ライン インターフェイス リファレンス ガイド )』を参照してください。 Palo Alto Networks デバイス管理 • 39 表 2. 設定管理機能(続き) 機能 内容 シャットダウン ファイアウォール / Panorama のグレースフル シャットダウンを実行す るには、[ デバイスのシャットダウン ] または [Panorama のシャットダウ ン ] をクリックし、確認のプロンプトで [Yes] をクリックします。保存ま たはコミットされていない設定の変更は失われます。すべての管理者が ログオフされ、以下のプロセスが発生します。 • すべてのログイン セッションがログオフされます。 • インターフェイスが無効になります。 • すべてのシステム プロセスが停止します。 • 既存のセッションが終了し、ログに記録されます。 • シャットダウンを開始した管理者名を示すシステム ログが作成されま す。このログ エントリを書き込めない場合は、警告が表示され、シス テムはシャットダウンしません。 • ディスク ドライブが正常にアンマウントされ、デバイスの電源がオフに なります。 デバイスの電源をオンにするには、電源のプラグを抜いてから差し込み 直す必要があります。 注 : Web インターフェイスを使用できない場合は、CLI コマンド request shutdown system を使用します。詳細は、『PAN-OS Command Line Interface Reference Guide (PAN-OS コマンド ライン インターフェイス リファレンス ガイド )』を参照してください。 データプレーンの再起動 リブートせずにファイアウォールのデータ機能をリスタートするには、 [ データプレーンの再起動 ] をクリックします。このオプションは PA-200 および Panorama では使用できません。 注 : Web インターフェイスを使用できない場合は、CLI コマンド request restart dataplane を使用します。詳細は、 『PAN-OS Command Line Interface Reference Guide (PAN-OS コマンド ライン インターフェイス リファレンス ガイド )』を参照してください。 40 • デバイス管理 Palo Alto Networks 表 2. 設定管理機能(続き) 機能 内容 その他 カスタム ロゴ このオプションを使用して、以下をカスタマイズします。 • ログイン画面の背景イメージ • メイン UI ( ユーザー インターフェイス ) ヘッダーのイメージ • PDF レポートのタイトル ページのイメージ。「PDF サマリー レポート の管理」を参照してください。 • PDF レポート フッターのイメージ をクリックしてイメージ ファイルをアップロードし 、をクリッ クしてプレビューし 、をクリックして以前にアップロードしたイメー ジを削除します。 以下の内容に注意してください。 • サポートされているファイル タイプは、png、gif、および jpg です。 アルファ チャネルを含むイメージ ファイルはサポートされてい ません。PDF レポートで使用されている場合、そのレポートは正 常に生成されません。そのイメージの作成者に連絡してイメージ のアルファ チャネルの削除を依頼するか、使用するグラフィック ス ソフトウェアでアルファ チャネル機能を含めずにファイルを 保存してください。 • デフォルトのロゴに戻るには、エントリを削除してコミットします。 • 任意のロゴ イメージの最大イメージ サイズは、128 KB です。 • ログイン画面と主要なユーザー インターフェイスのオプションでは 、 をクリックすると、これから表示されるイメージが表示されます。必要 な場合、イメージを切り取って収められます。PDF レポートの場合、イ メージは切り取られずに自動的にサイズ変更されて、収まります。す べてのケースにおいて、プレビューは推奨されるイメージのサイズを 表示します。 PDF レポートの生成の詳細は、「PDF サマリー レポートの管理」を参照 してください。 SNMP のセットアップ SNMP パラメータを指定します。「SNMP」を参照してください。 統計サービスの セットアップ 統計サービス機能では、アプリケーション、脅威、およびクラッシュに 関する匿名情報をファイアウォールから Palo Alto Networks 調査チーム に送信できます。この情報を収集することで、調査チームは実際の情報 に基づいて Palo Alto Networks 製品の有効性を継続的に改善することが できます。このサービスはデフォルトでは無効になっています。有効に すると、情報は 4 時間おきにアップロードされます。 ファイアウォールで以下のタイプの情報を送信することを許可できます。 • アプリケーションおよび脅威レポート • 不明なアプリケーション レポート • URL レポート • クラッシュのデバイス トレース 送信される統計レポートのコンテンツのサンプルを表示するには、レ ポート アイコン をクリックします。[ レポート サンプル ] タブが開 き、レポート コードが表示されます。レポートを表示するには、目的の レポートの横のチェック ボックスをクリックし、[ レポート サンプル ] タブをクリックします。 Palo Alto Networks デバイス管理 • 41 ハードウェア セキュリティ モジュールの定義 [Device] > [ セットアップ ] > [HSM] [HSM] タブでは、ハードウェア セキュリティ モジュール (HSM) の状態の表示と設定を行う ことができます。 以下の状態設定が [ ハードウェア セキュリティ モジュール プロバイダ ] セクションに表示さ れます。 表 3. HSM モジュール プロバイダの状態設定 フィールド 内容 設定プロバイダ 以下のいずれかを指定します。 • なし — ファイアウォールに HSM は設定されません。 • SafeNet Luna SA — ファイアウォールに SafeNet Luna SA HSM が設定 されます。 • Thales Nshield Connect — ファイアウォールに Thales Nshield Connect HSM が設定されます。 高可用性 オンにすると HSM 高可用性が設定されます。SafeNet Luna SA のみ。 高可用性グループ名 ファイアウォールに設定される HSM 高可用性のグループ名。SafeNet Luna SA のみ。 ファイアウォール 送信元アドレス HSM サービスに使用されるポートのアドレス。デフォルトでは、このア ドレスには管理ポート アドレスが設定されます。[Device] > [ セットアッ プ ] > [ サービス ] の [ サービス ルートの設定 ] を使用して、別のポートを 指定できます。 HSM が保護する マスター キー オンにした場合、HSM でマスター キーが保護されます。 状態 必要に応じて、 「SafeNet Luna SA の [ ハードウェア セキュリティ モジュール 状態 ] の設定」または「Thales Nshield Connect の [ ハードウェア セキュリ ティ モジュール状態 ] の設定」を参照してください。 42 • デバイス管理 Palo Alto Networks ファイアウォールにハードウェア セキュリティ モジュール (HSM) を設定するには、[ ハード ウェア セキュリティ モジュール プロバイダ ] セクションで編集アイコンをクリックし、以下 の設定を行います。 表 4. HSM の設定 フィールド 内容 設定プロバイダ 以下のいずれかを指定します。 • なし — ファイアウォールに HSM は設定されません。その他の設定は不 要です。 • SafeNet Luna SA — ファイアウォールに SafeNet Luna SA HSM が設定 されます。 • Thales Nshield Connect — ファイアウォールに Thales Nshield Connect HSM が設定されます。 モジュール名 HSM のモジュール名を指定します。31 文字以下の任意の ASCII 文字列を 指定できます。高可用性 HSM 設定を行う場合は、複数のモジュール名を 作成します。 サーバー アドレス 設定するすべての HSM の IPv4 アドレスを指定します。 高可用性 高可用性設定で HSM モジュールを設定する場合はこのチェック ボックス をオンにします。各 HSM モジュールのモジュール名とサーバー アドレス を設定する必要があります。 SafeNet Luna SA のみ 自動回復の再試行 SafeNet Luna SA のみ 高可用性グループ名 ファイアウォールが HSM への接続の回復を試行する回数を指定します。 この試行回数に達すると、HSM 高可用性設定内の別の HSM にフェイル オーバーします。範囲は 0 ~ 500 です。 SafeNet Luna SA のみ HSM 高可用性グループで使用されるグループ名を指定します。この名前 はファイアウォールの内部で使用されます。31 文字以下の任意の ASCII 文字列を指定できます。 リモート ファイル システムのアドレス Thales Nshield Connect HSM 設定で使用されるリモート ファイルシステ ムの IPv4 アドレスを設定します。 Thales Nshield Connect のみ [ ハードウェア セキュリティ モジュールのセットアップ ] を選択し、以下の設定で HSM に対 するファイアウォールの認証を指定します。 表 5. [ ハードウェア セキュリティ モジュールのセットアップ ] の設定 フィールド 内容 サーバー名 ドロップダウン ボックスから HSM サーバー名を選択します。 管理者パスワード HSM に対するファイアウォールの認証を行う HSM の管理者パスワード を入力します。 Palo Alto Networks デバイス管理 • 43 [ ハードウェア セキュリティ モジュール状態 ] セクションには、認証に成功した HSM に関 する以下の情報が表示されます。表示は設定された HSM プロバイダによって異なります。 表 6. SafeNet Luna SA の [ ハードウェア セキュリティ モジュール状態 ] の設定 フィールド 内容 シリアル番号 HSM パーティションが正常に認証された場合、その HSM パーティション のシリアル番号が表示されます。 パーティション ファイアウォールで割り当てられた HSM のパーティション名。 モジュール状態 HSM の現在の動作状態。HSM がこの表に表示されている場合、この設定 の値は [ 認証済み ] です。 表 7. Thales Nshield Connect の [ ハードウェア セキュリティ モジュール状態 ] の設定 フィールド 内容 名前 HSM のサーバー名。 IP アドレス ファイアウォールで割り当てられた HSM の IP アドレス。 モジュール状態 HSM の現在の動作状態。 • 認証済み • 認証されていません SNMP [Device] > [ セットアップ ] > [ 操作 ] SNMP (Simple Network Management Protocol) は、ネットワーク上のデバイスをモニターす る標準ファシリティです。このページで、ネットワーク管理ステーションによってサポート される SNMP バージョン (SNMPv2c および SNMPv3) を使用するようにファイアウォールを 設定します。 ネットワーク上の SNMP トラップ の宛先と通信するファイアウォールを有効にするサー バー プロファイルを設定するには、「SNMP トラップの宛先の設定」を参照してください。 SNMP 管理情報ベース (MIB) モジュールは、システムによって生成されるすべての SNMP ト ラップを定義します。SNMP トラップは一意のオブジェクト ID (OID) を識別し、個々の フィールドは変数バインド (varbind) リストとして定義されます。 44 • デバイス管理 Palo Alto Networks [ セットアップ ] ページの [SNMP のセットアップ ] をクリックし、以下の設定を指定して ネットワーク管理ステーションからの SNMP GET 要求を許可します。 表 8. SNMP のセットアップ フィールド 内容 場所 ファイアウォールの物理的な場所を指定します。ログまたはトラップが生成 されるときに、この情報によって通知を生成したデバイスを識別できます。 連絡先 ファイアウォールの管理者の名前や電子メール アドレスを入力します。 この設定は、標準システム情報の MIB でレポートされます。 イベント固有の トラップ定義を使用 イベント タイプに基づいて各 SNMP トラップの一意の OID を使用するに は、このチェック ボックスをオンにします ( デフォルトはオン )。 バージョン SNMP バージョン (V2c または V3) を選択します。この設定で MIB 情報へ のアクセスを制御します。デフォルトでは、V2c が「public」コミュニティ 文字列に選択されています。 • V2c の場合、以下の設定を設定します。 – SNMP コミュニティ名 — ファイアウォールのアクセスに使用する SNMP コミュニティ文字列を入力します ( デフォルトは [public])。SNMP コ ミュニティ名は SNMPv2c で必要です。SNMPv3 では、ユーザー名 / パスワード認証と暗号化鍵を使用します。 • V3 の場合、以下の設定を設定します。 – 表示 — SNMP マネージャからアクセスできる MIB オブジェクトを制 限できます。[ 追加 ] をクリックして、以下の設定を指定します。 – 名前 — ビューのグループ名を指定します。 – 表示 — ビューの名前を指定します。 – OID — オブジェクト識別子 (OID) ( たとえば、1.2.3.4) を指定します。 – オプション — OID をビューに含めるのか、ビューから除外するのかを 選択します。 – マスク — OID に適用するフィルタのマスク値を 16 進数形式で指定し ます ( たとえば、0xf0)。 • ユーザー — [ 追加 ] をクリックして、以下の設定を指定します。 – ユーザー — ユーザー名を指定します。 – 表示 — ユーザーのビューのグループを指定します。 – 認証パスワード — ユーザーの認証パスワードを指定します ( 最小 8 文字、最大 256 文字、文字制限なし )。あらゆる文字を使用できます。 Secure Hash Algorithm (SHA) だけがサポートされています。 – 専用パスワード — ユーザーの暗号化パスワードを指定します ( 最小 8 文字、最大 256 文字、文字制限なし )。Advanced Encryption Standard (AES) だけがサポートされています。 Palo Alto Networks デバイス管理 • 45 サービス設定の定義 [Device] > [ セットアップ ] > [ サービス ] [ サービス ] タブには、[ サービス ] セクションおよび [ サービス機能 ] セクションが表示され ます。これらのセクションでは、ファイアウォールが効率的に動作するために使用するサー ビスをセットアップします。 • [ サービス ] セクションを使用して、Domain Name System (DNS)、更新サーバー、およ びプロキシ サーバーの設定を定義します。[ サービス ] セクションにある専用の [NTP] タブを使用して、Network Time Protocol (NTP) 設定を定義します。[ サービス ] セクショ ンで使用可能なオプションのフィールド説明については、表 9 を参照してください。 • [ サービス機能 ] セクションを使用して、サービス ルートの設定を選択またはカスタマイ ズします。[DNS]、[ 電子メール ]、[Palo Alto Updates]、[NTP] など、ファイアウォール がサービス通信のために他のサーバーまたはデバイスと通信する方法を指定します。 [ サービス機能 ] 設定で [ サービス ルートの設定 ] をクリックし、表 10 に説明されている オプションのいずれかを選択します。 表 9. サービス設定 機能 内容 サービス DNS DNS サービスのタイプを選択します。この設定は、FQDN アドレス オブ ジェクト、ログ、およびデバイス管理のサポートでファイアウォールによっ て開始されるすべての DNS クエリで使用されます。オプションには、次の 内容が含まれます。 • ドメイン名解決に対するプライマリおよびセカンダリ DNS サーバー • ファイアウォールに設定された DNS プロキシ プライマリ DNS サーバー プライマリ DNS サーバーの IP アドレスを入力します。このサーバーは、更 新サーバーの検出、ログの DNS エントリの解決、FDQN ベースのアドレス オブジェクトなどのためにファイアウォールから DNS クエリを行う場合に 使用されます。 セカンダリ DNS サーバー プライマリ サーバーを使用できない場合、使用するセカンダリ DNS サー バーの IP アドレスを入力します。( 任意 ) 更新サーバー この設定は、Palo Alto Networks から更新ファイルをダウンロードするの に使用されるサーバーの IP アドレスまたはホスト名を表します。現在値 は、updates.paloaltonetworks.com です。テクニカル サポートから指示が ない限り、このサーバー名は変更しないでください。 更新サーバー ID の 確認 このオプションが有効になっている場合、信頼された機関によって署名さ れた SSL 証明書がソフトウェアまたはコンテンツ パッケージのダウンロー ド元のサーバーにあるかどうかをファイアウォールまたは Panorama が確 認します。このオプションは、ファイアウォール / Panorama サーバーと更 新サーバー間の通信に新たなレベルのセキュリティを追加します。 [ プロキシ サーバー ] セクション サーバー 46 • デバイス管理 デバイスがプロキシ サーバーを使用して Palo Alto Networks 更新サービス にアクセスする必要がある場合は、サーバーの IP アドレスまたはホスト名 を入力します。 Palo Alto Networks 表 9. サービス設定(続き) 機能 内容 ポート プロキシ サーバーのポートを入力します。 ユーザー サーバーへのアクセスに使用するユーザー名を入力します。 パスワード / 再入力パスワード プロキシ サーバーにアクセスするユーザーのパスワードを入力して確認し ます。 NTP NTP サーバー アドレス ファイアウォールのクロックを同期するために使用する NTP サーバーの IP アドレスまたはホスト名を入力します。( 任意 ) プライマリ サーバーが使用 不能になった場合、ファイアウォールのクロック同期に使用するセカンダリ NTP サーバーの IP アドレスまたはホスト名を入力します。( 任意 ) 認証タイプ NTP サーバーからの日時更新をファイアウォールが認証できるように指定 できます。NTP サーバーごとに、ファイアウォールで使用する認証のタイ プを選択します。 • なし — ( デフォルト ) NTP 認証を無効にするにはこのオプションを選択し ます。 • 対称キー — ファイアウォールで対称キー交換 (共有秘密) を使用して NTP サーバーの日時更新を認証するには、このオプションを選択します。[ 対 称キー ] を選択した場合、続けて次のフィールドに入力します。 – キー ID — キー ID (1 ~ 65534) を入力します。 – アルゴリズム — NTP 認証に使用するアルゴリズムを選択します (MD5 または SHA1)。 – 認証キー/ 再入力 認証キー — 認証アルゴリズムの認証キーを入力し、確 認します。 • 自動キー — ファイアウォールで自動キー (公開鍵暗号化) を使用して NTP サーバーの日時更新を認証するには、このオプションを選択します。 表 10. サービス機能 機能 内容 サービス ルートの設定 すべてに管理 インターフェイス を使用 Palo Alto Networks 外部サーバーとのファイアウォール サービス通信はすべて強制的に管理イン ターフェイス (MGT) を使用して行われます。このオプションを選択する場 合、ファイアウォールとサービスを提供するサーバーまたはデバイスとの間 の通信を許可するように MGT インターフェイスを設定する必要があります。 MGT インターフェイスを設定するには、[Device] > [ セットアップ ] > [ 管理 ] に移動し、[ 管理インターフェイス設定 ] セクションを編集します。 デバイス管理 • 47 表 10. サービス機能(続き) 機能 内容 カスタマイズ 特定の送信元インターフェイスと IP アドレスを使用するサービス通信の詳細 な制御を設定します。たとえば、ファイアウォールと電子メール サーバー間の すべての電子メール通信に使用する特定の送信元 IP /インターフェイスを設定 し、Palo Alto Updates には別の送信元 IP / インターフェイスを使用できます。 • IPv4/IPv6 — [IPv4] タブまたは [IPv6] タブで、使用可能なサービスのリス トからサービスを選択し、[ 送信元インターフェイス ] と [ 送信元アドレス ] をドロップダウン リストから選択します。[ 送信元アドレス ] には、選択し たインターフェイスに割り当てられている IPv4 または IPv6 アドレスが表 示されます。選択した IP アドレスは、サービス トラフィックの送信元にな ります。宛先は特定のサービスを設定するときに設定されるため、宛先アド レスを定義する必要はありません。たとえば、[Device] > [ セットアップ ] > [ サービス ] タブで DNS サーバーを定義すると、DNS クエリの宛先が設定 されます。 • [宛先] — ルートを指定するサービスが [サービス] 列に表示されていない場 合は、そのサービスで使用される [ 送信元インターフェイス ] と [ 送信元ア ドレス ] を定義できます。リストに表示されないサービスには、Kerberos、 LDAP、および Panorama ログ コレクタ通信などがあります。宛先アドレ スのサブネットは入力する必要がありません。 マルチテナント環境では、共通サービスで異なる送信先アドレスが必要な、 宛先 IP ベースのサービス ルートが必要になります。たとえば、2 つのテナ ントが RADIUS を使用する必要がある場合がそうです。 サービスをルーティングするために使用されるインターフェイスにルー ティングとポリシーが適切に設定されていることが重要です。たとえば、 Kerberos 認証リクエストのルートを MGT ポート以外のインターフェイス に指定する場合、Kerberos はデフォルトの [ サービス ] 列には表示されない ので、[ サービス ルートの設定 ] ウィンドウの右側のセクションで [ 宛先 ] と [ 送信元アドレス ] を設定する必要があります。例として、Ethernet1/3 の 送信元 IP アドレスが 192.168.2.1 で、Kerberos サーバーの宛先が 10.0.0.240 であるとします。この場合は、デフォルトのルートを使用する既存の仮想 ルーターに Ethernet1/3 を追加する必要があります。または、[Network] > [ 仮想ルーター ] から新しい仮想ルーターを作成し、必要に応じてスタティッ ク ルートを追加することができます。これにより、インターフェイスのす べてのトラフィックは確実に仮想ルーター経由でルーティングされ、適切な 宛先に到達します。この場合、宛先アドレスは 10.0.0.240 で、Ethernet1/3 の送信元 IP は 192.168.2.1/24 です。 宛先と送信元アドレスの CLI 出力は、以下のようになります。 PA-200-Test# show route destination { 10.0.0.240 { source address 192.168.2.1/24 } この設定では、インターフェイス Ethernet1/3 のすべてのトラフィックは、 仮想ルーターで定義されたデフォルトのルートを使用して 10.0.0.240 に送 信されます。 48 • デバイス管理 Palo Alto Networks Content-ID 設定の定義 [Device] > [ セットアップ ] > [ コンテンツ ID] [ コンテンツ ID] タブを使用して、URL フィルタリング、データ保護、およびコンテナ ペー ジの設定を定義します。 表 11. Content-ID 設定 機能 内容 URL フィルタリング ダイナミック URL キャッシュの タイムアウト [ 編集 ] をクリックし、タイムアウト値 ( 時間単位 ) を入力します。この値 はダイナミック URL フィルタリングで使用され、この値により、エント リが URL フィルタリング サービスから返された後にキャッシュに保持 される期間が決定します。このオプションは、BrightCloud データベース のみを使用する URL フィルタリングに適用されます。URL フィルタリン グの詳細は、 「URL フィルタリング プロファイル」を参照してください。 URL コンティニュー タイムアウト ユーザーの [continue] アクションのタイムアウト時間を指定します ( 範 囲は 1 ~ 86400 分、デフォルトは 15 分 )。この時間に達する前に同じカ テゴリの URL に対して [continue] をもう一度押す必要があります。 URL 管理オーバー ライド タイムアウト ユーザーが管理オーバーライド パスワードを入力したあとタイムアウト するまでの時間を指定します ( 範囲は 1 ~ 86400 分、デフォルトは 900 分 )。 この時間に達する前に同じカテゴリの URL に対して管理オーバーライ ド パスワードを再入力する必要があります。 URL 管理ロックアウト タイムアウト ユーザーが URL 管理オーバーライド パスワードの試行が 3 回失敗した ときに試行からロックアウトされる時間を指定します (1 ~ 86400 分、デ フォルトは 1800 分 )。 x-forwarded-for ヘッダ 情報の記録 送信元 IP アドレスが含まれている X-Forwarded-For ヘッダーを含めま す。このオプションをオンにすると、ファイアウォールによって HTTP ヘッダーに X-Forwarded-For ヘッダーがあるかどうかが検査されます。 プロキシでは、X-Forwarded-For ヘッダーを使用して元のユーザーの送 信元 IP アドレスを保持できます。 システムによってこの値が取得されて URL ログの [ 送信元ユーザー ] フィールドに Src: x.x.x.x が配置されます (x.x.x.x はヘッダーから読み込 まれる IP アドレスです )。 x-forwarded-for 除去 送信元 IP アドレスが含まれている X-Forwarded-For ヘッダーを削除し ます。このオプションをオンにすると、ファイアウォールによってリク エストを転送する前にヘッダーの値がゼロに設定されるため、転送され るパケットには内部送信元 IP 情報が含まれなくなります。 復号化されたコンテンツ の転送を許可 ファイアウォールで外部のサービスに復号化されたコンテンツの転送を 許可するには、このチェック ボックスをオンにします。たとえば、この オプションを設定すると、分析のためにファイアウォールから WildFire へ復号化されたコンテンツを送信できます。マルチ VSYS 設定の場合、 このオプションは VSYS ごとに設定されます。 Palo Alto Networks デバイス管理 • 49 表 11. Content-ID 設定(続き) 機能 内容 URL 管理オーバー ライド URL 管理オーバーライド の設定 ページが URL フィルタリング プロファイルによってブロックされ、 [ オーバーライド ] アクションが指定されている場合に使用される設定を指 定します。 「URL フィルタリング プロファイル」を参照してください。 [ 追加 ] をクリックし、URL 管理オーバーライドに設定する仮想システム ごとに以下を設定します。 • 場所 — ドロップダウン リストから仮想システムを選択します (マルチ VSYS デバイスのみ )。 • パスワード / 再入力パスワード — ブロック ページをオーバーライドす るためにユーザーが入力する必要があるパスワードを入力します。 • サーバー証明書 — 指定したサーバーを介してリダイレクトされたとき に SSL 通信で使用するサーバー証明書を選択します。 • モード — ブロック ページが透過的に配信されるか ( ブロックされた Web サイトから発信したように見える )、指定したサーバーにユーザーをリ ダイレクトするかを決定します。[ リダイレクト ] を選択した場合、リ ダイレクトするための IP アドレスを入力します。 エントリを削除するには データ保護の管理 、をクリックします。 クレジットカード番号や社会保障番号など重要な情報を含むログへのア クセスに対し拡張防御を追加します。 [ データ保護の管理 ] をクリックし、以下を設定します。 • 新しいパスワードを設定するには ( まだ設定していない場合)、[ パスワー ドの設定 ] をクリックします。パスワードを入力し、確認のために再入 力します。 • パスワードを変更するには、[ パスワードの変更 ] をクリックします。 現在のパスワードを入力し、新しいパスワードを入力し、確認のため に新しいパスワードを再入力します。 • パスワードと保護されていたデータを削除するには、[ パスワードの削 除 ] をクリックします。 コンテナ ページ コンテンツ タイプ ( たとえば、application/pdf、application/soap+xml、 application/xhtml+、text/html、text/plain、text/xml) に基づいてファ イアウォールで追跡または記録する URL のタイプを指定するには、これ らの設定を使用します。[ 場所 ] ドロップダウン リストから選択する仮想 システムごとにコンテナ ページが設定されます。仮想システムに明示的 なコンテナ ページが定義されていない場合、デフォルトのコンテンツ タ イプが使用されます。 [ 追加 ] をクリックし、コンテンツ タイプを入力または選択します。 仮想システムの新しいコンテンツ タイプを追加すると、コンテンツ タイ プのデフォルトのリストがオーバーライドされます。仮想システムに関 連付けられているコンテンツ タイプがない場合、コンテンツ タイプのデ フォルトのリストが使用されます。 コンテンツ ID 設定 拡張パケット キャプチャ長 50 • デバイス管理 アンチスパイウェアおよび脆弱性防御プロファイルで拡張キャプチャ オ プションが有効になっている場合にキャプチャするパケット数を設定し ます。範囲は 1 ~ 50、デフォルトは 5 です。 Palo Alto Networks WildFire の設定 [Device] > [ セットアップ ] > [WildFire] [WildFire] タブを使用して、ファイアウォールに WildFire を設定します。これらの設定によっ て、ファイルが WildFire クラウドと WildFire アプライアンスのどちらに送信されるかが決定さ れます。レポートされるファイル サイズ制限とセッション情報を設定することもできます。 復号化されたコンテンツを WildFire に転送するには、[Device] > [ セット アップ ] > [ コンテンツ ID] > [URL フィルタリング ] 設定ボックスで [ 復号 化されたコンテンツの転送を許可 ] チェック ボックスをオンにする必要が あります。 表 12. ファイアウォール上の WildFire 設定 フィールド 内容 一般設定 WildFire サーバー WildFire アプライアンスの IP アドレスまたは FQDN を指定するか、 WildFire クラウド を使用する場合は「wildfire-default-cloud」という 値を指定します。 使用可能な WildFire クラウド サーバーは、米国でホストされている WildFire クラウドの場合は default-cloud、日本でホストされている WildFire クラウドの場合は wildfire.paloaltonetworks.jp です。安全なファ イルを米国のクラウド サーバーに転送したくない場合は、日本のサーバー を使用することもできます。日本のクラウドに送信したファイルが有害と 見なされた場合、そのファイルは米国のサーバーに転送され、再度分析さ れてシグネチャが生成されます。所在地が日本の場合、サンプル送信とレ ポート生成の応答時間が速くなる可能性があります。日本のクラウドに Panorama を設定することもできます。Panorama では、米国のサーバー名 は wildfire-public-cloud、日本のサーバー名は wildfire.paloaltonetworks.jp です。 最大ファイル サイズ (MB) WildFire サーバーに転送される最大ファイル サイズを指定します。指定 可能な範囲は以下のとおりです。 • flash (Adobe Flash) — 1 ~ 10MB、デフォルトは 5MB • apk (Android アプリケーション ) — 1 ~ 50MB、デフォルトは 10MB • pdf ( ポータブル ドキュメント フォーマット ) — 100KB ~ 1000KB、デ フォルトは 200KB • jar ( パッケージ化された Java クラス ファイル ) — 1 ~ 10MB、デフォル トは 1MB • pe (Portable Executable) — 1 ~ 10MB、デフォルトは 2MB • ms-office (Microsoft Office) — 200KB ~ 10000KB、デフォルトは 500KB 注 : 上記にリストされた値は、PAN-OS のバージョンやインストールされ ているコンテンツ リリース バージョンに応じて異なる場合があります。 有効な範囲を表示するには、[ サイズ制限 ] フィールドをクリックします。 ポップアップが開き、使用可能な範囲とデフォルト値が表示されます。 Palo Alto Networks デバイス管理 • 51 表 12. ファイアウォール上の WildFire 設定(続き) フィールド 内容 安全なファイルの レポート このオプションを有効にすると ( デフォルトでは無効 )、WildFire で分析 され、安全と判定されたファイルが、[Monitor] > [WildFire への送信 ] ロ グに表示されます。 注 : ファイアウォールでこのオプションが有効な場合でも、WildFire で安 全と見なされた電子メール リンクは、処理されるリンクの量が多くなる 可能性があるため、ログに記録されません。 セッション情報 送信項目設定 設定 WildFire サーバーに転送する情報を指定します。デフォルトでは、すべて が選択されています。 • 送信元 IP — 疑わしいファイルを送信した送信元 IP アドレス。 • 送信元ポート — 疑わしいファイルを送信した送信元ポート。 • 宛先 IP — 疑わしいファイルの宛先 IP アドレス。 • 宛先ポート — 疑わしいファイルの宛先ポート。 • 仮想システム — 見込まれるマルウェアを識別したファイアウォール 仮想 システム。 • アプリケーション — ファイルの送信に使用されたユーザー アプリケー ション。 • ユーザー — ターゲット対象のユーザー名。 • URL — 疑わしいファイルに関連付けられた URL。 • ファイル名 — 送信されたファイルの名前。 • 電子メール送信者 — SMTP および POP3 トラフィックで悪意のある電 子メール リンクが検出されると、送信者名が WildFire ログと WildFire の詳細レポートに表示されます。 • 電子メール受信者 — SMTP および POP3 トラフィックで悪意のある電 子メール リンクが検出されると、受信者名が WildFire ログと WildFire の詳細レポートに表示されます。 • 電子メール件名 — SMTP および POP3 トラフィックで悪意のある電子 メール リンクが検出されると、電子メールの件名が WildFire ログと WildFire の詳細レポートに表示されます。 セッション設定の定義 [Device] > [ セットアップ ] > [ セッション ] [ セッション ] タブを使用して、セッションのエイジアウト時間、復号化証明書設定、および グローバルなセッション関連の設定 (IPv6 トラフィックのファイアウォール設定、ポリシー 変更時の既存のセッションへのセキュリティ ポリシーの再マッチングなど ) を設定します。 このタブには、以下のセクションがあります。 • セッション設定 • セッション タイムアウト • 復号化設定 : 証明書失効チェック • 復号化設定 : フォワード プロキシ サーバーの証明書設定 52 • デバイス管理 Palo Alto Networks セッション設定 表 13. セッション設定 フィールド 内容 セッションの 再マッチング ファイアウォールで、新しく設定されたセキュリティ ポリシーをすでに 進行中のセッションに適用するには、[ 編集 ] をクリックし、[ セッション の再マッチング ] を選択します。この機能はデフォルトで有効になってい ます。この設定が無効な場合、ポリシー変更は、ポリシー変更がコミット された後に開始されたセッションにのみ適用されます。 たとえば、Telnet を許可する関連ポリシーが設定されているときに Telnet セッションを開始し、その後、Telnet を拒否するポリシー変更をコミット した場合、ファイアウォールは変更されたポリシーを現在のセッションに 適用してブロックします。 ICMPv6 トークン バケット サイズ ICMPv6 エラー メッセージの帯域制限に対応するバケット サイズを入力 します。トークン バケット サイズは、ICMPv6 エラー パケットのバース トをどの程度許容するかを制御するトークン バケット アルゴリズムのパ ラメータです ( 範囲は 10 ~ 65535 パケット、デフォルトは 100)。 ICMPv6 エラー パケット速度 ファイアウォール全体として 1 秒間に許容される ICMPv6 エラー パケッ トの平均数を入力します ( 範囲は 10 ~ 65535 パケット / 秒、デフォルトは 100 パケット / 秒 )。この値はすべてのインターフェイスに適用されます。 ファイアウォールが ICMPv6 エラー パケット速度に達した場合、ICMPv6 トークン バケットを使用して、ICMPv6 エラー メッセージのスロットリ ングが有効になります。 IPv6 ファイアウォール の有効化 IPv6 のファイアウォール機能を有効にするには、[ 編集 ] をクリックして、 [IPv6 ファイアウォール設定 ] チェック ボックスをオンにします。 IPv6 が有効になっていないと、IPv6 ベースの設定はすべて無視されます。 インターフェイスで IPv6 が有効な場合でも、IPv6 が機能するためには [IPv6 ファイアウォール設定 ] 設定も有効にする必要があります。 ジャンボ フレーム グローバル MTU Ethernet インターフェイスでジャンボ フレームのサポートを有効にする 場合に選択します。ジャンボ フレームの最大伝送単位 (MTU) は 9192 バイ トで、特定のプラットフォームで使用できます。 • [Jumbo Frame を有効にする ] をオフにすると、[ グローバル MTU] がデ フォルトの 1500 バイトになり、範囲は 576 ~ 1500 バイトになります。 • [Jumbo Frame を有効にする ] をオンにすると、[ グローバル MTU] がデ フォルトの 9192 バイトになり、範囲は 9192 ~ 9216 バイトになります。 ジャンボ フレームが有効で、インターフェイスに具体的な MTU が設定さ れていない場合、それらのインターフェイスでは自動的にジャンボ フレー ムのサイズが継承されます。そのため、ジャンボ フレームを有効にする前 に、ジャンボ フレームを使用しないインターフェイスがある場合、その MTU を 1500 バイトか別の値に設定する必要があります。 NAT64 IPv6 最小 MTU Palo Alto Networks IPv6 変換済みトラフィックのグローバル MTU を入力します。デフォルト の 1280 バイトは、IPv6 トラフィックの標準の最小 MTU に基づきます。 デバイス管理 • 53 表 13. セッション設定(続き) フィールド 内容 NAT オーバー サブスクリプション率 DIPP NAT オーバーサブスクリプション率を選択します。これは、同じ変 換済み IP アドレスとポートのペアを同時に使用できる回数です。オーバー サブスクリプション率を小さくすると、送信元デバイス変換数が少なくな りますが、提供される NAT ルールのキャパシティは大きくなります。 • プラットフォームのデフォルト — オーバーサブスクリプション率の明示的 な設定はオフになり、プラットフォームのデフォルトのオーバーサブスクリ プション率が適用されます。プラットフォームのデフォルトの率について は、https://www.paloaltonetworks.com/products/product-selection.html を参照してください。 • 1x — 1 回。オーバーサブスクリプションは行われず、変換後の IP アド レスとポートのペアは、それぞれ一時点に 1 回のみ使用できます。 • 2x — 2 回。 • 4x — 4 回。 • 8x — 8 回。 セッション保持時間 自動短縮 アイドル状態のセッションの加速されたエージング アウトを有効にします。 加速されたエージングを有効にして、しきい値 (%) と倍率を指定するに は、このチェック ボックスをオンにします。 セッション テーブルが [ セッション保持時間短縮の開始しきい値 ] (% フル ) に達すると、PAN-OS により [ セッション保持時間短縮倍率 ] がすべての セッションのエージング計算に適用されます。デフォルトの短縮倍率は 2 で、保持時間短縮が設定されているアイドル時間の 2 倍の速さで行われま す。設定されているアイドル時間を 2 で除算すると、タイムアウト時間が 1/2 に短縮されます。セッションの保持時間短縮を計算するために、PAN-OS では、( そのセッション タイプに ) 設定されているアイドル時間を短縮倍 率で除算して、短縮されたタイムアウトを決定します。 たとえば、短縮倍率が 10 の場合、通常は 3600 秒後にタイムアウトする セッションが、10 倍速い 360 秒 (1/10 の時間 ) でタイムアウトします。 セッション タイムアウト セッション タイムアウトには、ファイアウォール上でセッションが非アクティブになってか ら PAN-OS がそのセッションを保持する期間を定義します。デフォルトでは、プロトコルの セッション タイムアウト期間が切れると、PAN-OS がセッションを閉じます。 ファイアウォールでは、特に TCP、UDP、および ICMP セッションに対して複数のタイムア ウトを定義できます。他のすべてのタイプのセッションには、デフォルトのタイムアウトが 適用されます。これらのタイムアウトはすべてグローバルです。つまり、ファイアウォール 上にあるそのタイプのすべてのセッションに適用されます。 グローバル設定に加え、[Objects] > [ アプリケーション ] タブでは個々のアプリケーションの タイムアウトを柔軟に定義できます。そのアプリケーションで使用可能なタイムアウトは、 [ オプション ] ウィンドウに表示されます。ファイアウォールは、アプリケーションのタイム アウトを確立済み状態のアプリケーションに適用します。アプリケーションのタイムアウト が設定されると、グローバルな TCP または UDP セッション タイムアウトがオーバーライド されます。 このセクションのオプションを使用して、TCP、UDP、および ICMP 固有のグローバル セッ ション タイムアウト設定と、その他すべてのタイプのセッションのグローバル セッション タイムアウト設定を定義します。 54 • デバイス管理 Palo Alto Networks デフォルトは、最適値です。ただし、ネットワークのニーズに合わせてこれらの値を変更で きます。低すぎる値を設定すると、わずかなネットワーク遅延に反応してファイアウォール との接続の確立に失敗する可能性があります。高すぎる値を設定すると、エラーの検出が遅 れる可能性があります。 表 14. セッション タイムアウト フィールド 内容 デフォルト TCP/UDP 以外、または ICMP 以外のセッションが応答なしで開いた状態 を維持できる最大時間。 デフォルトは 30 秒、範囲は 1 ~ 1599999 秒です。 タイムアウトの破棄 タイムアウトの破棄は、PAN-OS によって、ファイアウォールに設定され たセキュリティ ポリシーに基づいてセッションが拒否されるときに適用 されます。 – デフォルトの 破棄 TCP/UDP 以外のトラフィックのみに適用されます。 デフォルトは 60 秒、範囲は 1 ~ 1599999 秒です。 – TCP の破棄 TCP トラフィックに適用されます。 デフォルトは 90 秒、範囲は 1 ~ 1599999 秒です。 – UDP の破棄 UDP トラフィックに適用されます。 デフォルトは 60 秒、範囲は 1 ~ 1599999 秒です。 ICMP ICMP セッションが ICMP 応答なしで開いた状態を維持できる最大時間。 デフォルトは 6 秒、範囲は 1 ~ 1599999 秒です。 スキャン 任意のセッションが非アクティブと見なされてから開いた状態を維持する 最大時間。PAN-OS では、アプリケーションは、そのアプリケーションに定 義されたトリクルしきい値を超えると非アクティブ状態と見なされます。 デフォルトは 10 秒、範囲は 5 ~ 30 秒です。 TCP TCP セッションが確立済み状態になってから ( ハンドシェークが完了し、 必要に応じてデータ伝送が開始してから ) 応答なしで開いた状態を維持す る最大時間。 デフォルトは 3600 秒、範囲は 1 ~ 1599999 秒です。 TCP ハンドシェーク SYN-ACK を受信してからそれに続く ACK を送信してセッションを完全 に確立するまでの最大時間。 デフォルトは 10 秒、範囲は 1 ~ 60 秒です。 TCP 初期設定 SYN を受信してから SYN-ACK を送信して TCP ハンドシェーク タイマー を開始するまでの最大時間。 デフォルト : 5 秒、範囲は 1 ~ 60 秒です。 TCP Half Closed 最初の FIN を受信してから、2 つ目の FIN または RST を受信するまでの 最大時間。 デフォルト : 120 秒、範囲は 1 ~ 604800 秒です。 TCP Time Wait 2 つ目の FIN または RST を受信してからの最大時間。 デフォルト : 15 秒、範囲は 1 ~ 600 秒です。 Unverified RST 検証できない RST (RST が TCP ウィンドウ内にあるが予期しないシーケン ス番号が付けられているか、RST が非対称パスから送信されている ) を受 信してからの最大時間。 デフォルト : 30 秒、範囲は 1 ~ 600 秒です。 Palo Alto Networks デバイス管理 • 55 表 14. セッション タイムアウト(続き) フィールド 内容 UDP UDP セッションが UDP 応答なしで開いた状態を維持する最大時間。 デフォルトは 30 秒、範囲は 1 ~ 1599999 秒です。 キャプティブ ポータル キャプティブ ポータル Web フォームの認証セッション タイムアウト。要 求されたコンテンツにユーザーがアクセスするには、このフォームに認証 資格情報を入力して正常に認証される必要があります。 デフォルトは 0 秒、範囲は 1 ~ 1599999 秒です。 アイドル タイマー、ユーザーの再認証が必要になるまでの有効期限などの その他のキャプティブ ポータル タイムアウトを定義するには、[Device] > [ ユーザー ID] > [ キャプティブ ポータルの設定 ] タブを使用します。 「[ キャ プティブ ポータルの設定 ] タブ」を参照してください。 復号化設定 : 証明書失効チェック [ セッション ] タブの [ 暗号設定 ] セクションで、[ 証明書取り消しチェック ] を選択して以下の テーブルに説明されているパラメータを設定します。 表 15. セッション機能 : 証明書失効チェック フィールド 内容 有効化 : CRL 証明書無効リスト (CRL) 方式を使用して証明書の失効状態を検証するに は、このチェック ボックスをオンにします。 オンライン証明書状態プロトコル (OCSP) も有効にしている場合、ファイ アウォールは最初に OCSP を試行し、OCSP サーバーが使用できない場合 は CRL 方式を試行します。 復号化証明書についての詳細は、「復号ポリシー」を参照してください。 受信の有効期限 : CRL 証明書失効状態を検証するために CRL 方式を有効にしている場合、ファ イアウォールが CRL サービスからの応答を待機する期間 (1 ~ 60 秒、デ フォルトは 5 秒 ) を指定します。 有効化 : OCSP OCSP を使用して証明書の失効状態を検証するには、このチェック ボック スをオンにします。 受信の有効期限 : OCSP 証明書失効状態を検証するために OCSP 方式を有効にしている場合、ファ イアウォールが OCSP レスポンダからの応答を待機する期間 (1 ~ 60 秒、 デフォルトは 5 秒 ) を指定します。 証明書の状態が不明な セッションをブロック します OCSP または CRL サービスから証明書の失効状態が不明と返された場合、 SSL/TLS セッションをブロックするには、チェックボックスをオンにしま す。その他の場合は、ファイアウォールはセッションを続行します。 証明書の状態のチェッ クがタイムアウトした セッションをブロック します ファイアウォールが CRL または OCSP 要求のタイムアウトを登録したら、 SSL/TLS セッションをブロックするには、チェックボックスをオンにし ます。その他の場合は、ファイアウォールはセッションを続行します。 56 • デバイス管理 Palo Alto Networks 表 15. セッション機能 : 証明書失効チェック(続き) フィールド 内容 証明書の有効期限 ファイアウォールが任意の証明書状態サービスからの応答を待機する期間 (1 ~ 60 秒、デフォルトは 5 秒 ) を指定します。この期間が終了すると、必 要に応じて定義したセッション ブロック ロジックが適用されます。[ 証明 書の有効期限 ] は、以下のように OCSP/CRL の [ 受信の有効期限 ] に関連 付けられます。 • OCSP および CRL の両方を有効化する場合 — ファイアウォールは、[ 証 明書の有効期限 ] の値または 2 つの [ 受信の有効期限 ] の値の合計のいず れか小さい方の期間の経過後に、要求のタイムアウトを登録します。 • OCSP のみを有効化する場合 — ファイアウォールは、[ 証明書の有効期限 ] の値または OCSP の [ 受信の有効期限 ] の値のいずれか小さい方の期間 の経過後に、要求のタイムアウトを登録します。 • CRL のみを有効化する場合 — ファイアウォールは、[ 証明書の有効期限 ] 値または CRL の [ 受信の有効期限 ] 値のいずれか小さい方の期間の経過 後に、要求のタイムアウトを登録します。 復号化設定 : フォワード プロキシ サーバーの証明書設定 [ セッション ] タブの [ 復号化設定 ] セクションで、[ フォワード プロキシ サーバーの証明書 設定 ] を選択して、ファイアウォールが SSL/TLS フォワード プロキシ復号化のためのセッ ションを確立するときにクライアントに提示する証明書の [ 鍵のサイズ ] とハッシュ アルゴ リズムを設定します。以下の表で、パラメータについて説明します。 表 16. セッション機能 : フォワード プロキシ サーバーの証明書設定 フィールド 内容 宛先ホストにより定義 宛先サーバーが使用する鍵に基づいて PAN-OS で証明書を生成する場合 は、このオプションを選択します。 • 宛先サーバーが RSA 1024 ビット鍵を使用する場合、PAN-OS はその鍵の サイズと SHA-1 ハッシュ アルゴリズムを使用して証明書を生成します。 • 宛先サーバーが 1024 ビットよりも大きい鍵サイズを使用する場合 (2048 ビットや 4096 ビットなど )、PAN-OS は 2048 ビット鍵と SHA-256 アル ゴリズムを使用する証明書を生成します。 これがデフォルトの設定です。 1024 ビット RSA 宛先サーバーが使用する鍵のサイズに関係なく、PAN-OS で RSA 1024 ビット鍵と SHA-1 アルゴリズムを使用する証明書を生成する場合は、この オプションを選択します。2013 年 12 月 31 日以降、公開認証局 (CA) と一 般的なブラウザでは、2048 ビット未満の鍵を使用する X.509 証明書のサ ポートが制限されています。将来的には、このような鍵を提示すると、セ キュリティ設定に応じてブラウザがユーザーに警告を表示したり、SSL/ TLS セッション全体をブロックしたりする可能性があります。 2048 ビット RSA 宛先サーバーが使用する鍵のサイズに関係なく、PAN-OS で RSA 2048 ビット鍵と SHA-256 アルゴリズムを使用する証明書を生成する場合は、 このオプションを選択します。公開 CA と一般的なブラウザでは、1024 ビット鍵よりも強固なセキュリティを提供する 2048 ビット鍵がサポート されています。 Palo Alto Networks デバイス管理 • 57 設定ファイルの比較 [Device] > [ 設定監査 ] 設定ファイルを表示および比較するには、[ 設定監査 ] ページを使用します。ドロップダウン リストから、比較する設定を選択します。コンテキストに含める行数を選択して、[ 実行 ] を クリックします。 以下の図のように、差異が強調された状態で設定が表示されます。 ページには、ドロップダウン リストの隣に および ボタンもあります。2 つの連続した 設定バージョンを比較するときに有効になります 。をクリックして保存された設定の前の セットに比較される設定を変更し 、をクリックして保存された設定の次のセットに比較さ れる設定を変更します。 図 1. 設定の比較 Panorama では、Panorama インターフェイスまたはローカルのファイアウォールのどちらで 変更を行っても、各管理対象ファイアウォールでコミットされたすべての設定ファイルが自 動的に保存されます。 ライセンスのインストール [Device] > [ ライセンス ] Palo Alto Network からサブスクリプションを購入すると、1 つ以上のライセンス キーを有効 にするために認証コードが送信されます。 以下のアクションは、[ ライセンス ] ページで実行できます。 • ライセンス サーバーからライセンス キーを取得 : サポート ポータル上で認証コードを 使ってアクティベートした購入済みサブスクリプションを有効にするには、[ ライセンス サーバーからライセンス キーを取得 ] をクリックします。 58 • デバイス管理 Palo Alto Networks • 認証コードを使用した機能のアクティベーション : サポート ポータル上で認証コードを 使ってアクティベートされていない購入済みサブスクリプションを有効にするには、[ 認 証コードを使用した機能のアクティベーション ] をクリックします。認証コードを入力 し、[OK] をクリックします。 • ライセンス キーの手動アップロード : ファイアウォールがライセンス サーバーに接続さ れておらず、ライセンス キーを手動でアップロードする場合は、以下の手順を実行し ます。 a. http://support.paloaltonetworks.com からライセンス キー ファイルをダウンロードし、ロー カルに保存します。 b. [ ライセンス キーの手動アップロード ] をクリックし、[ 参照 ] をクリックしてファ イルを選択し、[OK] をクリックします。。 URL フィルタリングのライセンスを有効にするには、ライセンスをインストール し、データベースをダウンロードし、[ アクティベーション ] をクリックする必要 があります。URL フィルタリングに PAN-DB を使用している場合、[ ダウンロー ド ] をクリックして初期シード データベースを取得してから [ アクティベーショ ン ] をクリックする必要があります。 CLI で request url-filtering download paloaltonetworks region <region name> を 実行することもできます。 ファイアウォールの脅威防御サブスクリプションが期限切れになると、次の状況が発生します。 • システム ログに、サブスクリプションの期限が切れたことを示すログ エントリが表示さ れます。 • すべての脅威防御機能は、ライセンスの期限が切れた時点でインストールされたシグネ チャを使用して、引き続き機能します。 • 有効なライセンスがインストールされるまで新しいシグネチャはインストールできませ ん。また、ライセンスが期限切れの場合、前のバージョンのシグネチャにロールバック する機能はサポートされません。 • カスタム App-ID シグネチャは引き続き機能しますが、変更できません。 テクニカル サポート資格ライセンスは、脅威防御サブスクリプションに関連付けられていま せん。サポート ライセンスが期限切れの場合、脅威防御と脅威防御の更新は引き続き正常に 機能します。サポート資格が期限切れの場合、オペレーティング システムのソフトウェア更 新は機能しなくなります。ソフトウェア更新へのアクセスや、テクニカル サポート グループ への問い合わせを継続する場合は、ライセンスを更新する必要があります。ライセンス / サ ブスクリプションの更新に関する詳細は、Palo Alto Networks のオペレーション チームまた はセールスまでお問い合わせください。 Palo Alto Networks デバイス管理 • 59 VM 情報ソースの定義 [Device] > [VM 情報ソース ] このタブを使用して、ソース (VMware ESXi サーバー、VMware vCenter サーバー、Amazon Web Services Virtual Private Cloud (AWS-VPC)) にデプロイされている仮想マシン (VM) へ の変更をプロアクティブに追跡します。VM 情報ソースをモニターするには、以下の 2 つの 方法があります。 • ファイアウォールは VMware ESXi サーバー、VMware vCenter サーバー、および AWSVPC 環境をモニターし、モニター対象ソースにゲストがプロビジョニングまたは変更さ れた場合は変更内容を取得できます。ファイアウォールごと、またはファイアウォール 機能を持つ複数の仮想システム上の仮想システムごとに、最大 10 個のソースを設定でき ます。 高可用性設定でファイアウォールが設定されている場合、以下が適用されます。 – アクティブ / パッシブ セットアップでは、アクティブ ファイアウォールのみが VM 情報ソースをモニターします。 – アクティブ / アクティブ セットアップでは、優先度の値が「プライマリ」のファイア ウォールのみが VM 情報ソースをモニターします。 VM 情報ソースとダイナミック アドレス グループによる同期動作と、仮想環境の変更を モニターする機能についての詳細は、 『VM-Series デプロイメント ガイド』を参照してく ださい。 • IP アドレス - ユーザーのマッピングについては、Windows User ID エージェントまたは ファイアウォールに VM 情報ソースを設定して、VMware ESXi サーバーと vCenter サー バーをモニターし、サーバーに設定されたゲストがプロビジョニングまたは変更された 場合は変更内容を取得できます。Windows User ID エージェントでは最大 100 個のソー スがサポートされます。User ID エージェントでは AWS のサポートは利用できません。 注 : モニター対象の ESXi サーバーまたは vCenter サーバーの各 VM に VMware Tools がインストール されていて実行中である必要があります。VMware Tools を使用して、各 VM に割り当てられた IP ア ドレスとその他の値を収集できます。 60 • デバイス管理 Palo Alto Networks モニター対象 VM に割り当てられた値を収集するには、ファイアウォールで以下の属性をモ ニターする必要があります。 VMware ソースでモニターされる属性 AWS-VPC でモニターされる属性 • UUID • アーキテクチャ • 名前 • ゲスト OS • ゲスト OS • イメージ ID • インスタンス ID • インスタンスの状態 • インスタンス タイプ • VM の状態 — 電源状態は 「poweredOff」、 「poweredOn」、 「standBy」 、「unknown」のいずれか です。 • 注釈 • キー名 • バージョン • • ネットワーク — 仮想スイッチ名、 ポート グループ名、VLAN ID 配置 — テナンシー、グループ名、 可用性ゾーン • プライベート DNS 名 • パブリック DNS 名 • サブネット ID • タグ ( キー、値 ) ( インスタンスごとに 最大 5 個のタグをサポート ) • VPC ID コンテナ名 —vCenter 名、データ センター オブジェクト名、リソース プール名、クラスタ名、ホスト、 ホスト IP アドレス • 追加 — VM モニタリングの新しいソースを追加するには、[ 追加 ] をクリックし、モニターす るソースに応じて詳細を入力します。 • VMware ESXi サーバーまたは vCenter サーバーについては、「VMware ESXi サーバーま たは vCenter サーバーの VM 情報ソースの有効化」を参照してください。 • AWS-VPC については、「AWS VPC の VM 情報ソースの有効化」を参照してください。 接続対象の更新 — 接続状態を更新する場合にクリックします。オンスクリーン表示が更新さ れます。このボタンでは、ファイアウォールとモニター対象ソースの間の通信は更新されま せん。 削除 — 設定済み VM 情報のソースを選択してからクリックすることで、設定済みのソース が削除されます。 Palo Alto Networks デバイス管理 • 61 表 17. VMware ESXi サーバーまたは vCenter サーバーの VM 情報ソースの有効化 フィールド 内容 名前 モニター対象ソースの識別に使用する名前を入力します ( 最大 31 文字 )。 名前の大文字と小文字は区別されます。また、一意の名前にする必要が あります。文字、数字、スペース、ハイフン、およびアンダースコアの みを使用してください。 タイプ モニター対象のホスト / ソースが ESXi サーバーか、vCenter サーバーか を選択します。 内容 ( 任意 ) ソースの場所または機能を識別するラベルを追加します。 ポート ホスト / ソースのリスニング ポートを指定します ( デフォルト ポートは 443)。 有効 デフォルトでは、ファイアウォールと設定されたソース間の通信は有効 になっています。 モニター対象ソースとファイアウォール間の接続状態は、インターフェ イスに以下のように表示されます。 – 接続済み – 切断 – 保留。モニター対象ソースが無効になっている場合は、通信状 態も黄色で表示されます。 ホストとファイアウォール間の通信を無効にするには、[ 有効 ] チェック ボックスをオフにします。 タイムアウト ホストが応答しない場合、モニター対象ソースへの接続を閉じるまでの 間隔 ( 時 ) を入力します ( デフォルト : 2 時間、範囲は 2 ~ 10 時間 )。 ( 任意 ) デフォルト値を変更するには、[ 送信元切断時のタイムアウトを 有効にする ] チェック ボックスをオンにして値を指定します。指定され た制限に達した場合、またはホストがアクセス不能か応答しない場合、 ファイアウォールによってソースへの接続が閉じられます。 送信元 モニターするホスト / ソースの FQDN または IP アドレスを入力します。 ユーザー名 ソースに対する認証に必要なユーザー名を指定します。 パスワード パスワードを入力し、確認のために再入力します。 更新間隔 ファイアウォールがソースから情報を取得する間隔を指定します ( デ フォルトは 5 秒、範囲は 5 ~ 600 秒 )。 62 • デバイス管理 Palo Alto Networks 表 18. AWS VPC の VM 情報ソースの有効化 フィールド 内容 名前 モニター対象ソースの識別に使用する名前を入力します ( 最大 31 文字 )。 名前の大文字と小文字は区別されます。また、一意の名前にする必要が あります。文字、数字、スペース、ハイフン、およびアンダースコアの みを使用してください。 タイプ [AWS VPC] を選択します。 内容 ( 任意 ) ソースの場所または機能を識別するラベルを追加します。 有効 デフォルトでは、ファイアウォールと設定されたソース間の通信は有効 になっています。 モニター対象ソースとファイアウォール間の接続状態は、インターフェ イスに以下のように表示されます。 – 接続済み – 切断 – 保留。モニター対象ソースが無効になっている場合は、通信状 態も黄色で表示されます。 ホストとファイアウォール間の通信を無効にするには、[ 有効 ] チェック ボックスをオフにします。 送信元 Virtual Private Cloud が存在する URI を追加します。たとえば、 「ec2.uswest-1.amazonaws.com」などです。 構文 : ec2.<your_AWS_region>.amazonaws.com アクセス キー ID AWS アカウントを所有するか、アクセスを許可されているユーザーを 一意に識別する英数字のテキスト文字列を入力します。 この情報は、AWS セキュリティ認証情報の一部です。ファイアウォー ルでは、AWS サービスに対する API コールにデジタル署名するための 認証情報 ( アクセス キー ID と秘密アクセス キー ) が要求されます。 秘密アクセス キー パスワードを入力し、確認のために再入力します。 更新間隔 ファイアウォールがソースから情報を取得する間隔を指定します ( デ フォルトは 60 秒、範囲は 60 ~ 1200 秒 )。 タイムアウト ホストが応答しない場合、モニター対象ソースへの接続を閉じるまでの 期間 ( 時 ) ( デフォルトは 2 時間 ) ( 任意 ) [ 送信元切断時のタイムアウトを有効にする ] チェック ボックス をオンにします。指定された制限に達した場合、またはソースがアクセ ス不能か応答しない場合、ファイアウォールによってソースへの接続が 閉じられます。 VPC ID モニターする AWS-VPC の ID を入力します ( 例 : vpc-1a2b3c4d)。この VPC 内にデプロイされている EC2 インスタンスのみがモニターされ ます。 アカウントがデフォルトの VPC を使用するように設定されている場合、 デフォルトの VPC ID が AWS アカウント属性の下にリストされます。 Palo Alto Networks デバイス管理 • 63 ソフトウェアのインストール [Device] > [ ソフトウェア ] 異なるソフトウェアのバージョンをインストールするには、このページを使用します。使用 可能なバージョンの表示、ダウンロードしてインストールするリリースの選択 ( サポート ラ イセンスが必要 )、バージョンのリリース ノートへのアクセスと内容確認、特定リリースへの アップグレードまたはダウングレードを実行できます。 ソフトウェア バージョンをアップグレードまたはダウングレードする前に、以下の推奨事項 に従っていることを確認してください。 • [ リリース ノート ] を参照し、バージョンの変更内容の説明およびソフトウェアをイン ストールするための移行パスを確認します。 • 機能リリースでは、新機能に対応するために特定の設定が移行される場合があるので、現 在の設定のバックアップを保存します ([Device] > [ セットアップ ] > [ 操作 ] タブをクリッ クして [ 名前付き設定スナップショットのエクスポート ] を選択し、[running-config.xml] を選択して [OK] をクリックすることで、設定ファイルがコンピュータに保存されます )。 • ダウングレードする場合、ソフトウェア バージョンに一致する設定にダウングレードする ことをお勧めします。 • 高可用性 (HA) ペアを新しい機能リリースにアップグレードするときには (PAN-OS バー ジョンの先頭または 2 番目の数字が変更される。4.1 または 5.0 から 6.0 など )、新機能に 対応するために設定が移行される場合があります。セッション同期が有効になっている 場合、クラスタ内に PAN-OS 機能リリースが異なるデバイスが 1 つでもあると、セッショ ンは同期されません。 • ファイアウォールの日時設定には現在の日時を使用する必要があります。PAN-OS ソフト ウェアはデジタル署名されており、署名は新バージョンをインストールする前にデバイ スによって確認されています。現在以外の日付がファイアウォールに設定されていると、 デバイスはソフトウェア署名の日付が誤って将来になっていると認識し、以下のメッ セージを表示します。 Decrypt failed: GnuPG edit non-zero, with code 171072 Failed to load into PAN software manager. 以下の表に、この画面の使用方法を示します。 表 19. ソフトウェア オプション フィールド 内容 バージョン Palo Alto Networks 更新サーバーで現在入手可能なソフトウェア バー ジョンが一覧表示されます。Palo Alto Networks から新しいソフトウェ ア リリースを入手可能かどうかをチェックするには、[ 今すぐチェック ] をクリックします。ファイアウォールがサービス ルートを使用して更新 サーバーに接続し、新しいバージョンをチェックします。適用可能な更 新がある場合は、その更新がリストの最上部に表示されます。 サイズ ソフトウェア イメージのサイズ。 リリース日 Palo Alto Networks がリリースを公開した日時。 ダウンロード済み この列のチェック マークは、対応するバージョンのソフトウェア イメー ジがファイアウォールにダウンロード済みであることを示します。 64 • デバイス管理 Palo Alto Networks 表 19. ソフトウェア オプション(続き) フィールド 内容 現在インストール済み この列のチェック マークは、対応するバージョンのソフトウェア イメー ジがファイアウォールでアクティベーション済みか、現在実行されてい ることを示します。 アクション 対応するソフトウェア イメージで現在実行可能な以下のようなアクショ ンを示します。 • ダウンロード — 対応するソフトウェア バージョンが Palo Alto Networks 更新サーバーから入手可能です。リンクをクリックしてダウンロードを 開始します。ファイアウォールがインターネットに接続できない場合 は、インターネットに接続できるコンピュータからソフトウェア更新 サイトにアクセスし、そのソフトウェア バージョンを探して [ ダウン ロード ] をクリックし、ローカル コンピュータにダウンロードします。 続いて [ アップロード ] ボタンをクリックし、ソフトウェア イメージを 手動でファイアウォールにアップロードします。 • インストール — 対応するソフトウェア バージョンがファイアウォール にダウンロード済みです。リンクをクリックしてソフトウェアをインス トールします。アップグレード プロセスの完了時に再起動が必要です。 • 再インストール — 対応するソフトウェア バージョンがインストール済 みです。同じバージョンを再インストールするには、このリンクをク リックします。 リリース ノート 対応するバージョンのリリース ノートへのリンクが提供されます。 以前ダウンロードしたソフトウェア イメージをファイアウォールから削 除します。アップグレードの必要がない古いリリースの基本イメージの みを削除してください。たとえば、5.1 を実行している場合、ダウング レードする予定がなければ、5.0 や 4.0 の基本イメージは必要ありません。 脅威およびアプリケーションの定義の更新 [Device] > [ ダイナミック更新 ] [Panorama] > [ ダイナミック更新 ] Palo Alto Networks では、次の機能のダイナミック更新を通じて、アプリケーション検出、脅 威防御、および GlobalProtect データ ファイルに関する更新ファイルを定期的に公開してい ます。 • アンチウイルス — WildFire クラウド サービスによって発見されたシグネチャなどの新規 および更新されたアンチウイルス シグネチャを含みます。更新データを取得するには、 脅威防御サブスクリプションが必要です。新しいアンチウィルス シグネチャは毎日公開 されます。 • アプリケーション — 新規および更新されたアプリケーション シグネチャを含みます。こ の更新に追加のサブスクリプションは不要ですが、有効なメンテナンス / サポートへの 連絡先が必要です。新しいアプリケーション更新は週単位で公開されます。 Palo Alto Networks デバイス管理 • 65 • アプリケーションおよび脅威 — 新規および更新されたアプリケーション シグネチャと脅 威シグネチャを含みます。この更新は、脅威防御サブスクリプションを購入している場 合 ( およびアプリケーション更新の代わりに取得する場合 ) に入手できます。新しいアプ リケーションおよび脅威の更新は、週単位で公開されます。 • GlobalProtect データ ファイル — GlobalProtect エージェントによって返されるホスト 情報プロファイル(HIP)データを定義および評価するためのベンダー固有情報を含みま す。更新を受信するには、GlobalProtect ポータルと GlobalProtect ゲートウェイ ライセ ンスが必要です。また、GlobalProtect が機能を開始する前に、それらの更新のスケ ジュールを作成する必要があります。 • BrightCloud URL フィルタリング — BrightCloud URL フィルタリング データベースに のみ更新を提供します。更新を取得するには、BrightCloud サブスクリプションが必要で す。新しい BrightCloud URL データベース更新は毎日公開されます。PAN-DB ライセン スを持っている場合は、デバイスがサーバーと自動的に同期されるため、スケジュール された更新は不要です。 • WildFire — WildFire クラウド サービスで分析を実行し、その結果として作成したマル ウェアおよびアンチウイルス シグネチャをほぼリアルタイムに提供します。このサブス クリプションがない場合、シグネチャがアプリケーションおよび脅威の更新に取り込ま れるまで 24 ~ 48 時間待つ必要があります。 • WF プライベート — WildFire アプライアンス (WF-500) で分析を実行し、その結果とし て作成したマルウェアおよびアンチウイルス シグネチャをほぼリアルタイムに提供しま す。WF-500 からコンテンツ更新を受信するには、ファイアウォールとアプライアンスの 両方で PAN-OS 6.1 以降を実行し、さらにファイアウォールがファイル / 電子メール リン ク分析に WildFire アプライアンスを使用するように設定されている必要があります。 最新の更新ファイルを表示し、各更新ファイルのリリース ノートを読み、ダウンロードおよ びインストールする更新ファイルを選択できます。以前にインストールした更新のバージョ ンに戻すこともできます。 Panorama を使用してファイアウォールを管理していて、複数ファイアウォールのダイナ ミック更新をスケジューリングする場合は、 「ダイナミック更新のスケジュール」を参照して ください。 以下の表に、このページの使用方法を示します。 表 20. ダイナミック更新オプション フィールド 内容 バージョン Palo Alto Networks 更新サーバーで現在入手可能なバージョンが一覧表 示されます。Palo Alto Networks から新しいソフトウェア リリースを入 手可能かどうかをチェックするには、[ 今すぐチェック ] をクリックしま す。ファイアウォールがサービス ルートを使用して更新サーバーに接続 し、新しいバージョンをチェックします。適用可能な更新がある場合は、 その更新がリストの最上部に表示されます。 最終チェック ファイアウォールが最後に更新サーバーに接続して更新があるかどうか をチェックした日時が表示されます。 66 • デバイス管理 Palo Alto Networks 表 20. ダイナミック更新オプション(続き) フィールド 内容 スケジュール 更新を取得する頻度をスケジューリングできます。 ソフトウェア ダウンロードを行う頻度とタイミング ( 曜日または 日時 )、更新のダウンロードのみを行うか、または更新をダウン ロードしてファイアウォールにインストールするかを定義でき ます。 ダウンロードのスケジューリングで、リリース後一定の時間が経過して から新規更新をインストールするように設定するには、リリースされて からコンテンツの更新を実行するまで待機する時間数を指定します。[ し きい値 ( 時間 )] フィールドに待機する時間数を入力します。 ファイル名 ファイル名が一覧表示されます。ファイル名にはコンテンツのバージョ ン情報が含まれます。 タイプ ダウンロードがフル更新であるか、増分更新であるかを示します。 サイズ ソフトウェア イメージのサイズが表示されます。 リリース日 Palo Alto Networks がリリースを公開した日時。 ダウンロード済み この列のチェック マークは、対応するバージョンのソフトウェア イメー ジがファイアウォールにダウンロード済みであることを示します。 現在インストール済み この列のチェック マークは、対応するバージョンのソフトウェア イメー ジがファイアウォールでアクティベーション済みか、現在実行されてい ることを示します。 アクション 対応するソフトウェア イメージで現在実行可能な以下のようなアクショ ンを示します。 • ダウンロード — 対応するソフトウェア バージョンが Palo Alto Networks 更新サーバーから入手可能です。リンクをクリックしてダウンロードを 開始します。ファイアウォールがインターネットに接続できない場合 は、インターネットに接続できるコンピュータからソフトウェア更新 サイトにアクセスし、そのソフトウェア バージョンを探して [ ダウン ロード ] をクリックし、ローカル コンピュータにダウンロードします。 続いて [ アップロード ] ボタンをクリックし、ソフトウェア イメージを 手動でファイアウォールにアップロードします。 • インストール — 対応するソフトウェア バージョンがファイアウォール にダウンロード済みです。リンクをクリックしてソフトウェアをインス トールします。アップグレード プロセスの完了時に再起動が必要です。 • 戻す — 対応するソフトウェア バージョンが以前にダウンロードされて いて、同じバージョンを再インストールする場合にこのリンクをク リックします。 リリース ノート 対応するバージョンのリリース ノートへのリンクが提供されます。 以前ダウンロードしたソフトウェア イメージをファイアウォールから削 除します。アップグレードの必要がない古いリリースの基本イメージの みを削除してください。たとえば、5.1 を実行している場合、ダウング レードする予定がなければ、5.0 や 4.0 の基本イメージは必要ありません。 Palo Alto Networks デバイス管理 • 67 管理者ロール、プロファイル、およびアカウント ファイアウォールでは、ファイアウォールにログインしようとする管理ユーザーを認証する ために以下のオプションをサポートしています。 • ローカル データベース — ユーザーのログインおよびパスワード情報がファイアウォール データベースに直接入力されます。 • RADIUS — ユーザーの認証に既存の Remote Authentication Dial In User Service (RADIUS) サーバーが使用されます。 • LDAP — 既存の Lightweight Directory Access Protocol (LDAP) サーバーがユーザーの認 証に使用されます。 • Kerberos — 既存の Kerberos サーバーがユーザーの認証に使用されます。 • クライアント証明書 — 既存のクライアント証明書がユーザーの認証に使用されます。 管理アカウントを作成するとき、ローカル認証またはクライアント証明書 ( 認証プロファイ ルなし ) あるいは認証プロファイル (RADIUS、LDAP、Kerberos またはローカル DB 認証 ) を 指定します。この設定によって、管理者の認証の確認方法が決まります。 管理者ロールによって、管理者がログイン後に実行を許可される機能が決まります。ロール を管理者アカウントに直接割り当てることも、ロール プロファイルを定義して詳細な権限を 指定し、それを管理者アカウントに割り当てることもできます。 詳細は、以下のセクションを参照してください。 • 認証プロファイルの設定手順の詳細は、 「認証プロファイルのセットアップ」を参照して ください。 • ロール プロファイルの設定手順の詳細は、「管理者ロールの定義」を参照してください。 • 管理者アカウントの設定手順の詳細は、「管理アカウントの作成」を参照してください。 • SSL 仮想プライベート ネットワーク (VPN) の詳細は、「GlobalProtect の設定」を参照し てください。 • 管理者用の仮想システム ドメインの定義手順の詳細は、「管理者のアクセス ドメインの 指定」を参照してください。 • 管理者の証明書プロファイルの定義手順の詳細は、 「証明書プロファイルの作成」を参照 してください。 管理者ロールの定義 [Device] > [ 管理者ロール ] 管理ユーザーが行使可能なアクセス権と役割を決めるロール プロファイルを定義するには、 [ 管理者ロール ] ページを使用します。管理者アカウントの追加手順の詳細は、 「管理アカウン トの作成」を参照してください。 68 • デバイス管理 Palo Alto Networks 共通基準の目的で使用できる、事前に定義された 3 つの管理者ロールがあります。最初にデ バイスの初期設定でスーパーユーザー ロールを使用して、セキュリティ管理者、監査管理 者、および暗号管理者の管理者アカウントを作成します。アカウントを作成し、適切な共通 基準管理者ロールを適用したら、それらのアカウントを使用してログインします。FIPS また は CC モードのデフォルトのスーパーユーザー アカウントは、 「admin」で、デフォルトのパ スワードは「paloalto」です。標準操作モードでは、 「admin」のデフォルトのパスワードは 「admin」です。事前定義の管理者ロールは、すべてのロールに監査証跡への読み取り専用の アクセス権があるという点を除き、機能が重複しないように作成されています ( 読み取りと 削除のフル アクセス権がある監査管理者は除く )。これらの管理者ロールは変更できず、以下 のように定義されています。 • auditadmin — 監査管理者は、ファイアウォールの監査データの定期的な確認を担当する 責任者です。 • cryptoadmin — 暗号管理者は、ファイアウォールの安全な接続確立に関連する暗号要素 の設定と保守を担当する責任者です。 • securityadmin — セキュリティ管理者は、他の 2 つの管理ロールで対処されない、その 他すべての管理タスク (ファイアウォールのセキュリティ ポリシーの作成など) を担当す る責任者です。 管理者ロールを追加するには、[ 追加 ] をクリックして以下の情報を入力します。 表 21. 管理者ロール設定 フィールド 内容 名前 管理者ロールの識別に使用する名前を入力します ( 最大 31 文字 )。名前 の大文字と小文字は区別されます。また、一意の名前にする必要があり ます。文字、数字、スペース、ハイフン、およびアンダースコアのみを 使用してください。 内容 ロールの説明 ( 最大 255 文字 ) を入力します ( 任意 )。 ロール 管理役割の適用範囲としてデバイスまたは仮想システム ( マルチ仮想シ ステム機能が有効なデバイスの場合 ) を選択します。 WebUI Web インターフェイスで許可するアクセスのタイプを示すアイコンをク リックします。 • 有効化 — 選択したタブに読み書きアクセスできます。 • 読み取り専用 — 選択したタブに読み取り専用でアクセスできます。 • 無効化 — 選択したタブにアクセスできません。 XML API XML API で許可するアクセスのタイプを示すアイコンをクリックします。 コマンドライン CLI アクセスのロールのタイプを選択します。 • なし — デバイスの CLI にはアクセスできません。 • superuser — 現在のデバイスにフル アクセスできます。 • superreader — 現在のデバイスに読み取り専用でアクセスできます。 • デバイス管理 — 新しいアカウントまたは仮想システムを定義する場合 を除き、選択したデバイスにフル アクセスできます。 • デバイス リーダー — 選択したデバイスに読み取り専用でアクセスでき ます。 Palo Alto Networks デバイス管理 • 69 パスワード プロファイルの定義 [Device] > [ パスワード プロファイル ] および [Panorama] > [ パスワード プロファイル ] パスワード プロファイルを使用して、各ローカル アカウントにパスワードの基本要件を設定 できます。すべてのローカル アカウントにパスワード要件を指定する [ パスワード複雑性設 定 ] を有効にしている場合 (「パスワード複雑性設定」を参照 )、このパスワード プロファイ ルはそれらの設定でオーバーライドされます。 パスワード プロファイルを作成するには、[ 追加 ] をクリックし、以下の情報を指定します。 表 22 パスワード プロファイル設定 フィールド 内容 名前 パスワード プロファイルの識別に使用する名前を入力します ( 最大 31 文字 )。 名前の大文字と小文字は区別されます。また、一意の名前にする必要があり ます。文字、数字、スペース、ハイフン、およびアンダースコアのみを使用し てください。 パスワード変更が必 要になる期間 ( 日 ) 設定された日数 (0 ~ 365 日 ) で指定されたとおりに、管理者は定期的にパス ワードを変更する必要があります。たとえば、値を「90」に設定すると、管理 者に 90 日ごとにパスワードの変更を求めるプロンプトが表示されます。 失効の警告を 0 ~ 30 日の範囲で設定して猶予期間を指定することもでき ます。 失効の警告期間 (日) パスワード変更が必要になる期間を設定すると、この設定を使用して、強制パ スワード変更日が近づくとユーザーがログインするたびにパスワードの変更 を求めるプロンプトを表示できます ( 範囲は 0 ~ 30 日 )。 失効後の管理者 ログイン回数 アカウントが失効した後に、管理者は指定した回数ログインできます。たとえ ば、値を「3」に設定し、アカウントが失効した場合、管理者はアカウントが ロックアウトされるまで 3 回ログインすることができます ( 範囲は 0 ~ 3 回 )。 失効後の猶予期間 (日) アカウントが失効した後に、管理者は指定した日数ログインできます ( 範囲は 0 ~ 30 日 )。 アカウントにパスワード プロファイルを適用するには、[Device] > [ 管理者 ] ( ファイアウォー ルの場合 ) または [Panorama] > [ 管理者 ] に移動し、アカウントを選択して、[ パスワード プ ロファイル ] ドロップダウンからプロファイルを選択します。 70 • デバイス管理 Palo Alto Networks ユーザー名とパスワードの要件 PAN-OS および Panorama アカウントのユーザー名とパスワードに使用できる有効な文字を 以下の表に示します。 表 23 ユーザー名とパスワードの有効な文字 アカウントの種類 制限 パスワード文字セット パスワード フィールドの文字セットには制限がありません。 リモート管理者、SSL-VPN、 ユーザー名には以下の文字を使用できません。 キャプティブ ポータル • バックティック (`) • 山かっこ (< と >) • アンパサンド (&) • アスタリスク (*) • アット記号 (@) • 疑問符 (?) • パイプ (|) • 一重引用符 (‘) • セミコロン (;) • 二重引用符 (") • ドル記号 ($) • かっこ ( '(' と ')' ) • コロン (':') ローカル管理者アカウント ローカル ユーザー名には以下の文字を使用できます。 • 小文字 (a ~ z) • 大文字 (A ~ Z) • 数字 (0 ~ 9) • アンダースコア (_) • ピリオド (.) • ハイフン (-) 注 : ログイン名をハイフン (-) で開始することはできません。 管理アカウントの作成 [Device] > [ 管理者 ] [Panorama] > [ 管理者 ] デバイスへのアクセス権は管理者アカウントに基づいて制御されます。ファイアウォール管 理者 ([Device] > [ 管理者 ]) には、1 台のファイアウォールか、1 台のファイアウォール上の仮 想システムへのフル アクセス権または読み取り専用アクセス権を付与できます。Panorama 管理者 ([Panorama] > [ 管理者 ]) には、Panorama および Panorama で管理するすべてのファ イアウォールへのフル アクセス権または読み取り専用アクセス権を付与できます。Panorama 固有の詳細は、「Panorama 管理アカウントの作成」を参照してください。Panorama と個々 のファイアウォールのどちらにも、フル アクセス権を持つ admin アカウントが事前に定義 されています。 Palo Alto Networks デバイス管理 • 71 以下の認証オプションがサポートされています。 • パスワード認証 — 管理者がユーザー名とパスワードを入力してログインします。この認 証では証明書が不要です。認証プロファイルと併用することや、ローカル データベース の認証に使用することができます。 • クライアント証明書認証 (Web) — この認証ではユーザー名とパスワードは必要なく、デ バイスへのアクセス認証には証明書で十分になります。 • 公開鍵認証 (SSH) — 管理者がデバイスへのアクセスが必要なマシン上で公開 / 秘密鍵の ペアを生成し、デバイスに公開鍵をアップロードして、管理者がユーザー名とパスワー ドを入力しなくても、安全にアクセスできるようにします。 デバイス管理インターフェイスのの安全性を維持するために、管理パスワードを定期的に変 更することをお勧めします。管理パスワードには、小文字、大文字、および数字を混在させ てください。また、[ セットアップ ] > [ 管理 ] から「パスワード複雑性設定」を適用すること もできます。 管理者を追加するには、[ 追加 ] をクリックして以下の情報を入力します。 表 24. 管理者アカウント設定 フィールド 内容 名前 管理者のログイン名 ( 最大 15 文字 ) を入力します。名前の大文字と 小文字は区別されます。また、一意の名前にする必要があります。 英字、数字、ハイフン、ピリオド、およびアンダースコアのみを使 用してください。 ログイン名をハイフン (-) で開始することはできません。 認証プロファイル 管 理者の認証の認証プロファイルを選択します。この設定は、 RADIUS、LDAP、Kerberos、またはローカル データベース認証に 使用できます。 詳細は、 「認証プロファイルのセットアップ」を参照してください。 クライアント証明書認証のみ を使用 (Web) Web アクセスのクライアント証明書認証を使用するには、この チェック ボックスをオンにします。このチェック ボックスをオン にすると、ユーザー名とパスワードは必要なく、デバイスへのアク セス認証には証明書で十分になります。 新しいパスワード 新しいパスワードの確認 管理者のパスワード ( 最大 15 文字 ) を入力し、確認のためにパス ワードを再入力します。このパスワードは大文字と小文字を区別し ます。 [ セットアップ ] > [ 管理 ] から [ パスワード複雑性設定 ] を適用することもできます。 公開鍵認証 (SSH) の使用 SSH 公開キーの認証を使用するには、このチェック ボックスをオン にします。[ キーのインポート ] をクリックし、公開キー ファイル を参照して選択します。アップロードした鍵は、読み取り専用テキ スト エリアに表示されます。 サポート対象の鍵ファイルのフォーマットは、IETF SECSH と OpenSSH です。サポート対象の鍵アルゴリズムは、DSA (1024 ビット ) と RSA (768 ~ 4096 ビット ) です。 注 : 公開キーの認証が失敗すると、管理者にユーザー名とパスワー ドの入力を要求するプロンプトが表示されます。 72 • デバイス管理 Palo Alto Networks 表 24. 管理者アカウント設定(続き) フィールド 内容 ロール この管理者にロールを割り当てます。このロールによって、管理者 が表示および変更できる内容が決まります。 [ ロール ベース ] を選択した場合、ドロップダウン リストからカス タム ロール プロファイルを選択します。詳細は、 「管理者ロールの 定義」の「Panorama 管理者ロールの定義」を参照してください。 [ ダイナミック ] を選択した場合、プラットフォームに応じてドロッ プダウン リストから事前に設定されたロールを選択できます。 • ファイアウォール : – スーパーユーザー — 現在のファイアウォールにフル アクセス できます。 – スーパーユーザー ( 読み取り専用 ) — 現在のファイアウォール に読み取り専用でアクセスできます。 – デバイスの管理者 — 新しいアカウントまたは仮想システムの定 義を除き、選択したファイアウォールにフル アクセスでき ます。 – デバイスの管理者 ( 読み取り専用 ) — 選択したファイアウォー ルに読み取り専用でアクセスできます。 – 仮想システム管理者 — 特定ファイアウォールの選択した仮想シ ステム ( 複数の仮想システムが有効になっている場合 ) にフル アクセスできます。 – 仮想システム管理者 (読み取り専用) — 特定ファイアウォールの 選択した仮想システムに読み取り専用でアクセスできます。 • Panorama: – スーパーユーザー — Panorama とすべてのデバイス グループ、 テンプレート、管理対象ファイアウォールにフル アクセスでき ます。 – スーパーユーザー (読み取り専用) — Panorama とすべてのデ バイス グループ、テンプレート、管理対象ファイアウォール に読み取り専用でアクセスできます。 – Panorama 管理者 — Panorama ( 管理者アカウントとロールを 除く ) とすべてのデバイス グループおよびテンプレートにフル アクセスできます。管理対象ファイアウォールにはアクセスで きません。 仮想システム ( ファイアウォールの仮想 システム管理者ロールのみ ) パスワード プロファイル [ 追加 ] をクリックして、管理者がアクセスできる仮想システムを 選択します。 パスワード プロファイルを選択します ( 該当する場合 )。新しいパ スワード プロファイルを追加する方法については、 「パスワード プ ロファイルの定義」を参照してください。 Panorama の「スーパーユーザー」の [ 管理者 ] ページでは、アカウントが ロックアウトされていると右列にロック アイコンが表示されます。管理者 は、このアイコンをクリックしてアカウントのロックを解除できます。 Palo Alto Networks デバイス管理 • 73 管理者のアクセス ドメインの指定 [Device] > [ アクセス ドメイン ] [Panorama] > [ アクセス ドメイン ] ファイアウォールまたは Panorama への管理者アクセスのドメインを指定するには、[ アクセ ス ドメイン ] ページを使用します。アクセス ドメインは RADIUS ベンダー固有属性 (VSA) に リンクされており、管理者の認証に RADIUS サーバーが使用されている場合にのみ、使用す ることができます。RADIUS の設定方法の詳細は、 「RADIUS サーバーの設定」を参照してく ださい。アクセス ドメインに関する Panorama 固有の詳細は、 「管理者の Panorama アクセス ドメインの指定」を参照してください。 管理者がファイアウォールにログインしようとすると、ファイアウォールは RADIUS サー バーに管理者のアクセス ドメインを問い合わせます。関連付けられているドメインが RADIUS サーバーに存在する場合、その情報が返されて、管理者はデバイス上の当該アクセ ス ドメインで定義された仮想システムだけに管理が制限されます。RADIUS が使用されてい ない場合、このページのアクセス ドメイン設定は無視されます。 表 25. アクセス ドメイン設定 フィールド 内容 名前 アクセス ドメインの名前 ( 最大 31 文字 ) を入力します。名前の大 文字と小文字は区別されます。また、一意の名前にする必要があり ます。文字、数字、ハイフン、およびアンダースコアのみを使用し てください。 仮想システム [ 使用可能な列 ] で仮想システムを選択し、[ 追加 ] をクリックして選 択します。 アクセス ドメインは、仮想システムをサポートするデバイスでの みサポートされます。 認証プロファイルのセットアップ [Device] > [ 認証プロファイル ] [Panorama] > [ 認証プロファイル ] ファイアウォールまたは Panorama へのアクセスを管理するためにアカウントに適用できる 認証設定を指定するには、[ 認証プロファイル ] ページを使用します。 認証プロファイルには、ローカル データベース、RADIUS、LDAP、または Kerberos 設定を 指定します。また、認証プロファイルは、管理者アカウント、SSL-VPN アクセス、およびキャ プティブ ポータルに割り当てることができます。管理者がファイアウォールに直接、あるい は SSL-VPN またはキャプティブ ポータル経由でログインしようとすると、ファイアウォー ルはアカウントに割り当てられている認証プロファイルを確認し、その認証設定に基づいて ユーザーを認証します。 ユーザーにローカル管理者アカウントがない場合、デバイスの [ セットアップ ] ページで指 定された認証プロファイルによってユーザーの認証方法が決まります (「管理設定の定義」を 参照 )。 74 • デバイス管理 Palo Alto Networks • [ セットアップ ] ページで [RADIUS] 認証設定を指定し、ファイアウォールにユーザー のローカル アカウントがない場合、ファイアウォールは RADIUS サーバーにユー ザーの認証情報 ( ロールを含む ) をリクエストします。さまざまなロールの属性が含ま れ る Palo Alto Networks RADIUS デ ィ ク シ ョ ナ リ フ ァ イ ル は、サ ポ ー ト サ イ ト (https://live.paloaltonetworks.com/docs/DOC-3189) から入手できます。 • [ 設定 ] ページで [None] が認証プロファイルとして指定されている場合、ファイアウォー ルはユーザーに指定された認証プロファイルに従ってローカルにユーザーを認証する必 要があります。 表 26. 認証プロファイル設定 フィールド 内容 名前 プロファイルの識別に使用する名前を入力します ( 最大 31 文字 )。名前の 大文字と小文字は区別されます。また、一意の名前にする必要があります。 文字、数字、スペース、ハイフン、およびアンダースコアのみを使用して ください。 共有 ファイアウォールが複数の仮想システム モードである場合、プロファイル をすべての仮想システムで共有できるようにするには、このチェック ボッ クスをオンにします。 ロックアウト時間 失敗回数が最大試行回数に達したときのユーザーのロックアウト時間を分 単位で入力します (0 ~ 60 分、デフォルトは 0)。0 を指定すると、手動で ロック解除するまでロックアウト状態が続きます。 許容ログイン回数 許容される最大ログイン試行失敗回数を入力します (1 ~ 10、デフォルト は 0)。この回数に達するとユーザーはロックアウトされます。0 にすると、 無制限になります。 許可リスト 認証を明示的に許可するユーザーとグループを指定します。[ 許可リスト の編集 ] をクリックして、以下のいずれかを実行します。 • [使用可能な列] の該当するユーザーやユーザー グループの横にあるチェッ ク ボックスをオンにし、[ 追加 ] をクリックしてそれらを [ 選択した列 ] に追加します。 • すべてのユーザーに適用するには、[All] チェック ボックスを使用します。 • [ 検索 ] フィールドに名前の最初の数文字を入力すると、その文字で始ま るユーザーおよびユーザー グループがすべて表示されます。リストの項 目を選択すると [ 使用可能な列 ] のチェック ボックスがオンになります。 この操作を必要な回数だけ繰り返し、次に [ 追加 ] をクリックします。 • ユーザーまたはユーザー グループを削除するには、[ 選択した列 ] の該 当するチェック ボックスをオンにして [ 削除 ] をクリックするか、[ いず れか ] を選択してすべてのユーザーをクリアします。 認証 認証のタイプを選択します。 • None — ファイアウォールで認証を使用しません。 • Local Database — ファイアウォールの認証データベースを使用します。 • RADIUS — 認証に RADIUS サーバーを使用します。 • LDAP — 認証方法として LDAP を使用します。 • Kerberos — 認証方法として Kerberos を使用します。 Palo Alto Networks デバイス管理 • 75 表 26. 認証プロファイル設定(続き) フィールド 内容 サーバー プロファイル 認証方法として RADIUS、LDAP、または Kerberos を選択した場合、ド ロップダウン リストから認証サーバーを選択します。サーバーは [ サー バー ] ページで設定されます。 「RADIUS サーバーの設定」 、 「LDAP サーバー の設定」、および「Kerberos の設定 (Active Directory のネイティブ認証 )」 を参照してください。 ログイン属性 認証方法として [LDAP] を選択した場合、ユーザーを一意に識別する LDAP ディレクトリ属性を入力します。 パスワード失効の警告 GlobalProtect ユーザーの認証で使用する認証プロファイルを作成してい て、認証方法として [LDAP] を選択した場合、パスワードの有効期限が切 れる何日前に通知メッセージをユーザーに表示してパスワードの期限が x 日後に切れることを警告するのか、日数を入力します。デフォルトでは、 通知メッセージはパスワードの有効期限が切れる 7 日前に表示されます ( 範囲は 1 ~ 255 日 )。パスワードの期限が切れたユーザーは、VPN にアク セスできなくなります。 ヒント : ベスト プラクティスとして、pre-logon 接続方式を使用するよう にエージェントを設定することを検討してください。これにより、パス ワードの期限が切れた後でも、ユーザーはドメインに接続してパスワード を変更できます。 ヒント : ユーザーがパスワードを期限切れにしてしまった場合、管理者が 一時的な LDAP パスワードを割り当てて、ユーザーが VPN にログインで きるようにすることもできます。このワークフローでは、ベスト プラク ティスとして、ポータル設定の [ 設定更新のための Cookie 認証 ] を [ 認証 修飾子 ] に設定します ( 設定しないと、一時パスワードがポータルへの認 証に使用されますが、ゲートウェイ ログインが失敗して VPN にアクセス できません )。 Cookie 認証と pre-logon の詳細は、「GlobalProtect の設定」を参照してく ださい。 ローカル ユーザー データベースの作成 [Device] > [ ローカル ユーザー データベース ] > [ ユーザー ] リモート アクセス ユーザー、デバイス管理者、およびキャプティブ ポータル ユーザーの認 証情報を格納するためのローカル データベースをファイアウォール上に設定できます。この 設定で外部の認証サーバーは必要ありません。したがって、すべてのアカウント管理はファ イアウォール上または Panorama から行われます。 表 27. ローカル ユーザー設定 フィールド 内容 ローカル ユーザー名 ユーザーを識別する名前を入力します ( 最大 31 文字 )。名前の大文字と小 文字は区別されます。また、一意の名前にする必要があります。文字、数 字、スペース、ハイフン、およびアンダースコアのみを使用してください。 場所 仮想システムを 1 つ選択するか、または [ 共有 ] を選択してすべての仮想 システムで証明書を使用可能にします。 76 • デバイス管理 Palo Alto Networks 表 27. ローカル ユーザー設定(続き) フィールド 内容 モード 以下のいずれかの認証オプションを指定します。 • パスワード — ユーザーのパスワードを入力および確認します。 • パスワード ハッシュ — ハッシュされたパスワード文字列を入力します。 有効化 ユーザー アカウントをアクティベーションするには、このチェック ボッ クスをオンにします。 ユーザー情報をローカル データベースに追加するには、[ ローカル ユーザー ] ページを使用 します。キャプティブ ポータルを設定するときには、最初にローカル アカウントを作成し、 このアカウントをユーザー グループに追加し、この新しいグループを使用して認証プロファ イルを作成します。次に、[Device] > [ ユーザー認証 ] > [ キャプティブ ポータル ] からキャ プティブ ポータルを有効にし、認証プロファイルを選択します。この設定を行ったら、 [Policies] > [ キャプティブ ポータル ] からポリシーを作成できます。詳細は、「ファイア ウォールへのユーザー ID の設定」を参照してください。 ローカル ユーザー グループの追加 [Device] > [ ローカル ユーザー データベース ] > [ ユーザー グループ ] ユーザー グループ情報をローカル データベースに追加するには、[ ユーザー グループ ] ペー ジを使用します。 表 28. ローカル ユーザー グループ設定 フィールド 内容 ローカル ユーザー グループ名 グループの識別に使用する名前 ( 最大 31 文字 ) を入力します。名前の大文 字と小文字は区別されます。また、一意の名前にする必要があります。文 字、数字、スペース、ハイフン、およびアンダースコアのみを使用してく ださい。 場所 仮想システムを 1 つ選択するか、または [ 共有 ] を選択してユーザーにす べての使用可能な仮想システムへのアクセスを許可します。 すべてのローカル ユーザー [ 追加 ] をクリックし、グループに追加するユーザーを選択します。 RADIUS サーバーの設定 [Device] > [ サーバー プロファイル ] > [RADIUS] [Panorama ] > [ サーバー プロファイル ] > [RADIUS] 認証プロファイルで識別される RADIUS サーバーを設定するには、[RADIUS] ページを使用 します。「認証プロファイルのセットアップ」を参照してください。 Palo Alto Networks デバイス管理 • 77 表 29. RADIUS サーバー設定 フィールド 内容 名前 サーバーを識別する名前を入力します ( 最大 31 文字 )。名前の大文字と小 文字は区別されます。また、一意の名前にする必要があります。文字、数 字、スペース、ハイフン、およびアンダースコアのみを使用してください。 場所 仮想システムを選択するか、[ 共有 ] を選択してすべての仮想システムで プロファイルを使用可能にします。 管理者使用のみ 管理者の認証のみにこのサーバー プロファイルを使用します。 ドメイン RADIUS サーバーのドメインを入力します。このドメインの設定は、ユー ザーがログイン時にドメインを指定しなかった場合に使用されます。 タイムアウト 認証リクエストがタイムアウトするまでの時間を入力します (1 ~ 30 秒、 デフォルトは 3 秒 )。 再試行 タイムアウト後に行われる自動再試行回数を入力します (1 ~ 5、デフォル トは 3)。自動試行がこの回数に達すると、リクエストは失敗します。 ユーザー グループの 検索 RADIUS の VSA を使用してファイアウォールへのアクセス権を持つグ ループを定義するには、このチェック ボックスをオンにします。 サーバー 適切な順序で各サーバーの情報を設定します。 • 名前 — サーバーの識別に使用する名前を入力します。 • IP アドレス — サーバーの IP アドレスを入力します。 • ポート — 認証リクエストに使用するサーバーのポートを入力します。 • シークレット / 再入力 シークレット — ファイアウォールと RADIUS サー バー間の接続の検証と暗号化に使用する鍵を入力し、確認します。 LDAP サーバーの設定 [Device] > [ サーバー プロファイル ] > [LDAP] [Panorama ] > [ サーバー プロファイル ] > [LDAP] 認証プロファイルによる認証で使用される LDAP サーバーを設定するには、[LDAP] ページ を使用します。「認証プロファイルのセットアップ」を参照してください。 表 30. LDAP サーバー設定 フィールド 内容 名前 プロファイルの識別に使用する名前を入力します ( 最大 31 文字 )。名前の 大文字と小文字は区別されます。また、一意の名前にする必要があります。 文字、数字、スペース、ハイフン、およびアンダースコアのみを使用して ください。 場所 仮想システムを選択するか、[ 共有 ] を選択してすべての仮想システムで プロファイルを使用可能にします。 管理者使用のみ 管理者の認証のみにこのサーバー プロファイルを使用します。 サーバー LDAP サーバーのホスト名、IP アドレス、およびポートを指定します。 78 • デバイス管理 Palo Alto Networks 表 30. LDAP サーバー設定(続き) フィールド 内容 ドメイン サーバーのドメイン名を入力します。このドメイン名には、ドメインの NetBIOS 名を使用します。ドメイン名は認証が行われるときにユーザー名 に追加されます。たとえば、ドメインが「paloaltonetworks.com」の場合 は、「paloaltonetworks」とだけ入力します。 タイプ ドロップダウン リストからサーバー タイプを選択します。 ベース ユーザーまたはグループ情報の検索を絞り込むための、ディレクトリ サー バーのルート コンテキストを指定します。 バインド DN ディレクトリ サーバーのログイン名 ( 識別名 ) を指定します。 バインド パスワード / 再入力 バインド パスワード バインド アカウントのパスワードを指定します。エージェントは暗号化 したパスワードを設定ファイルに保存します。 SSL セキュア SSL または TLS (Transport Layer Security) 通信を Palo Alto Networks のデバイスとディレクトリ サーバーの間で使用するには、オンにします。 時間制限 ディレクトリ検索を実行するときの時間制限を指定します (1 ~ 30 秒、デ フォルトは 30 秒 )。 バインド時間制限 ディレクトリ サーバーに接続するときの時間制限を指定します (1 ~ 30 秒、デフォルトは 30 秒 )。 再試行間隔 システムが LDAP サーバーへの接続試行に失敗してから次に接続を試み るまでの間隔を指定します (1 ~ 3600 秒 )。 Kerberos の設定 (Active Directory のネイティブ認証 ) [Device] > [ サーバー プロファイル ] > [Kerberos] [Panorama ] > [ サーバー プロファイル ] > [Kerberos] RADIUS に対応するためにユーザーが Internet Authentication Service (IAS) を起動する必要 のない Active Directory 認証を設定するには、[Kerberos] ページを使用します。Kerberos サー バーを設定すると、ドメイン コントローラに対してユーザーをネイティブに認証できます。 Kerberos を設定すると、認証プロファイルを定義するときに Kerberos をオプションとして 使用できるようになります。「認証プロファイルのセットアップ」を参照してください。 ユーザー アカウントが以下のいずれかの形式で識別されるように Kerberos を設定できます。 domain と realm は Kerberos サーバーの設定時に指定されます。 • domain¥username • username@realm • username Palo Alto Networks デバイス管理 • 79 表 31. Kerberos サーバー設定 フィールド 内容 名前 サーバーを識別する名前を入力します ( 最大 31 文字 )。名前の大文字と小 文字は区別されます。また、一意の名前にする必要があります。文字、数 字、スペース、ハイフン、およびアンダースコアのみを使用してください。 場所 仮想システムを選択するか、[ 共有 ] を選択してすべての仮想システムで プロファイルを使用可能にします。 管理者使用のみ 管理者の認証のみにこのサーバー プロファイルを使用します。 レルム ユーザーのログイン名のホスト名部分を指定します ( 最大 127 文字 )。 例 : ユ ー ザ ー ア カ ウ ン ト 名 が [email protected] の 場 合、レ ル ム は example.local になります。 ドメイン ユーザー アカウントのドメインを指定します ( 最大 63 文字 )。 サーバー Kerberos サーバーごとに、[ 追加 ] をクリックして以下の設定を指定します。 • サーバー — サーバーの IP アドレスを入力します。 • ホスト — サーバーの FQDN を入力します。 • ポート — サーバーと通信するためのポート番号を入力します ( 任意 )。 認証シーケンスのセットアップ [Device] > [ 認証シーケンス ] [Panorama] > [ 認証シーケンス ] 一部の環境では、ユーザー アカウントが複数のディレクトリ内に存在します ( たとえば、ロー カル データベース、LDAP、RADIUS)。認証シーケンスは、ユーザーがデバイス ( ファイア ウォールまたは Panorama) にログインしようとしたときに順番に適用される一連の認証プロ ファイルです。デバイスは、ユーザーを識別するまで、最初にローカル データベース、次に 各プロファイルを順番に試していきます。認証シーケンスのすべてのプロファイルで認証が 失敗した場合にのみデバイスへのアクセスが拒否されます。 ユーザーがデバイスへのアクセスをリクエストしたときに順番に試行される一連の認証プロ ファイルを設定するには、[ 認証シーケンス ] ページを使用します。シーケンスのいずれかの 認証プロファイルを使用して認証が成功した場合、ユーザーにアクセスが許可されます。詳 細は、「認証プロファイルのセットアップ」を参照してください。 表 32. 認証シーケンス設定 フィールド 内容 プロファイル名 プロファイルの識別に使用する名前を入力します ( 最大 31 文字 )。名前の 大文字と小文字は区別されます。また、一意の名前にする必要があります。 文字、数字、スペース、ハイフン、およびアンダースコアのみを使用して ください。 共有 デバイスがマルチ仮想システム モードである場合、すべての仮想システム で共有できるようにするには、このチェック ボックスをオンにします。 80 • デバイス管理 Palo Alto Networks 表 32. 認証シーケンス設定(続き) フィールド 内容 ロックアウト時間 失敗回数が最大試行回数に達したときのユーザーのロックアウト時間を分 単位で入力します (0 ~ 60 分、デフォルトは 0)。0 を指定すると、手動で ロック解除するまでロックアウト状態が続きます。 許容ログイン回数 許容される最大ログイン試行失敗回数を入力します (1 ~ 10、デフォルト は 0)。この回数に達するとユーザーはロックアウトされます。0 にすると、 無制限になります。 プロファイル リスト 認証シーケンスに含める認証プロファイルを選択します。リストの順番を 変更するには、エントリを選択して [ 上へ ] または [ 下へ ] をクリックし ます。 ログのエクスポートのスケジューリング [Device] > [ スケジュール設定されたログのエクスポート ] ログのエクスポートをスケジューリングして File Transfer Protocol (FTP) サーバーに CSV 形 式で保存するか、Secure Copy (SCP) を使用してデバイスとリモート ホスト間でデータを安 全に転送できます。ログのプロファイルには、スケジュールと FTP サーバーの情報が含まれ ています。たとえば、プロファイルを使用して、毎日 3:00 AM に前日のログを収集して特定 の FTP サーバーに保存するように指定できます。 [ 追加 ] をクリックし、以下の詳細を入力します。 表 33. スケジューリングされたログのエクスポート設定 フィールド 内容 名前 プロファイルの識別に使用する名前を入力します ( 最大 31 文字 )。名前の 大文字と小文字は区別されます。また、一意の名前にする必要があります。 文字、数字、スペース、ハイフン、およびアンダースコアのみを使用して ください。 プロファイルを作成した後でこの名前を変更することはできません。 内容 説明 ( 最大 255 文字 ) を入力します ( 任意 )。 有効 ログのエクスポートのスケジューリングを有効にするには、このチェック ボックスをオンにします。 ログ タイプ ログのタイプ ([traffic]、[threat]、[url]、[data]、または [hipmatch]) を選択 します。デフォルトは [traffic] です。 エクスポートの開始 予定時刻 ( 毎日 ) エクスポートを開始する時間 (hh:mm) を 24 時間形式 (00:00 ~ 23:59) で入 力します。 プロトコル ファイアウォールからリモート ホストへのログのエクスポートに使用す るプロトコルを選択します。SCP を使用すると、ログを安全にエクスポー トできますが、安全なプロトコルではない FTP も使用できます。 SCP を使用している場合は、[SCP サーバー接続のテスト ] ボタンをクリッ クして、ファイアウォールと SCP サーバー間の接続をテストし、SCP サー バーのホスト キーを検証して受け入れる必要があります。 ホスト名 Palo Alto Networks エクスポートに使用する FTP サーバーのホスト名または IP アドレスを入 力します。 デバイス管理 • 81 表 33. スケジューリングされたログのエクスポート設定(続き) フィールド 内容 ポート FTP サーバーで使用するポート番号を入力します。デフォルトは 21 です。 パス エクスポートした情報の保存に使用する FTP サーバー上のパスを指定し ます。 FTP パッシブ モードを 有効にする エクスポートにパッシブ モードを使用するには、このチェック ボックスを オンにします。デフォルトでは、このオプションはオンになっています。 ユーザー名 FTP サーバーへのアクセスに使用するユーザー名を入力します。デフォル トは [anonymous] です。 パスワード FTP サーバーへのアクセスに使用するパスワードを入力します。ユーザー が「anonymous」の場合、パスワードは必要ありません。 ログの宛先の定義 ファイアウォールで設定の変更、システム イベント、HIP マッチ ログ、アラームの記録を有 効にするには、このページを使用します。ログごとに Panorama (Palo Alto Networks の中央 管理システム ) へのリモート ログの記録を有効にし、SNMP トラップ、Syslog メッセージ、 および電子メール通知を生成できます。 以下の表に、リモート ログの宛先を示します。 表 34. リモート ログの宛先 宛先 内容 Panorama すべてのログ エントリは Panorama に転送できます。Panorama サーバーの アドレスを指定する方法については、 「管理設定の定義」を参照してください。 SNMP トラップ SNMP トラップは、システム、脅威、およびトラフィック ログ エントリの重 大度レベル別に生成できます。ただし、設定ログ エントリは対象外となりま す。SNMP トラップの宛先を定義する方法については、「SNMP トラップの 宛先の設定」を参照してください。 Syslog 電子メール Syslog メッセージは、システム、脅威、トラフィック、設定ログ エントリの 重大度レベル別に生成できます。Syslog の宛先を定義する方法については、 「Syslog サーバーの設定」を参照してください。 電子メール通知は、システム、脅威、トラフィック、設定ログ エントリの重 大度レベル別に送信できます。電子メールの受信者とサーバーを定義する方 法については、「電子メール通知設定の指定」を参照してください。 • システム ログの宛先を設定する方法については、「システム ログの設定の定義」を参照 してください。 • 設定ログの宛先を設定する方法については、 「設定ログの設定の定義」を参照してください。 • HIP マッチ ログの宛先を設定する方法については、「HIP マッチ ログの設定の定義」を 参照してください。 • トラフィック、脅威、および WildFire ログの宛先を設定する方法については、 「ログ転送」 を参照してください。 82 • デバイス管理 Palo Alto Networks 設定ログの設定の定義 [Device] > [ ログ設定 ] > [ 設定 ] 設定ログの設定では、設定ログ エントリを指定します。このエントリは、Panorama を使用 してリモートでログに記録され、Syslog メッセージや電子メール通知として送信されます。 表 35. 設定ログの設定 フィールド 内容 Panorama 設定ログ エントリを Panorama 中央管理システムに送信できるようにす るには、このチェック ボックスをオンにします。 SNMP トラップ 設定ログ エントリの SNMP トラップを生成するには、トラップ名を選 択します。SNMP トラップの新しい宛先を指定する方法については、 「SNMP トラップの宛先の設定」を参照してください。 電子メール 設定ログ エントリの電子メール通知を生成するには、ドロップダウン メ ニューから電子メール プロファイルを選択します。新しい電子メール プ ロファイルを指定する方法については、 「電子メール通知設定の指定」を 参照してください。 Syslog 設定ログ エントリの Syslog メッセージを生成するには、Syslog サー バーの名前を選択します。新しい Syslog サーバーを指定する方法につい ては、「Syslog サーバーの設定」を参照してください。 システム ログの設定の定義 [Device] > [ ログ設定 ] > [ システム ] システム ログの設定では、システム ログ エントリの重大度レベルを指定します。このエント リは、Panorama を使用してリモートでログに記録され、SNMP トラップ、Syslog メッセー ジ、および電子メール通知として送信されます。システム ログでは、システム イベント (HA の障害、リンク状態の変更、および管理者のログイン / ログアウトなど ) が示されます。 表 36. システム ログの設定 フィールド 内容 Panorama 各重大度レベルのシステム ログ エントリが Panorama 中央管理システム に送信されるようにするには、このチェック ボックスをオンにします。 Panorama サーバーのアドレスを指定する方法については、 「管理設定の 定義」を参照してください。 以下の重大度レベルがあります。 • Critical — HA フェイルオーバーなどのハードウェア障害やリンク障害 です。 • High — 外部デバイス (Syslog サーバーや RADIUS サーバーなど ) との 接続の切断など、深刻な問題です。 • Medium — アンチウイルス パッケージのアップグレードなど、中レベ ルの通知です。 • Low — ユーザー パスワードの変更など、それほど重要ではない通知 です。 • Informational — ログイン / ログオフ、管理者名やパスワードの変更、設 定の変更、および重大度レベルに含まれない他のすべてのイベントです。 Palo Alto Networks デバイス管理 • 83 表 36. システム ログの設定(続き) フィールド 内容 SNMP トラップ 電子メール Syslog 重大度レベルごとに SNMP、Syslog、および電子メールの設定を選択し ます。この設定では、システム ログ エントリの追加の送信先を指定しま す。新しい宛先を定義する方法については、以下のセクションを参照し てください。 • SNMP トラップの宛先の設定。 • Syslog サーバーの設定。 • 電子メール通知設定の指定。 HIP マッチ ログの設定の定義 [Device] > [ ログ設定 ] > [HIP マッチ ] ホスト情報プロファイル (HIP) 一致ログの設定は、GlobalProtect クライアントに適用される セキュリティ ポリシーに関する情報を提供するために使用されます。 表 37. HIP マッチ ログの設定 フィールド 内容 Panorama 設定ログ エントリを Panorama 中央管理システムに送信できるようにす るには、このチェック ボックスをオンにします。 SNMP トラップ HIP マッチ ログ エントリの SNMP トラップを生成するには、トラップの 宛先の名前を選択します。SNMP トラップの新しい宛先を指定する方法 については、「SNMP トラップの宛先の設定」を参照してください。 電子メール 設定ログ エントリの電子メール通知を生成するには、適切な電子メール アドレスが指定されている電子メール設定の名前を選択します。新しい 電子メール設定を指定する方法については、「電子メール通知設定の指 定」を参照してください。 Syslog 設定ログ エントリの Syslog メッセージを生成するには、Syslog サー バーの名前を選択します。新しい Syslog サーバーを指定する方法につい ては、「Syslog サーバーの設定」を参照してください。 アラーム ログの設定の定義 [Device] > [ ログ設定 ] > [ アラーム ] 一定期間繰り返しセキュリティ ルール ( またはルール グループ ) に該当する場合、[ アラーム ] ページを使用して通知を設定します。 [ アラーム ] オプションが設定されている場合は、Web インターフェイスの右下隅にある [ ア ラーム ] アイコン をクリックして、いつでもアラームの現在のリストを表示できます。 これにより、現在のアラーム ログに未承認のアラームおよび承認済みのアラームを表示する ウィンドウが開きます。 アラームを承認するには、チェック ボックスをオンにして [ 確認 ] をクリックします。このア クションは、[ 確認されたアラーム ] リストにアラームを移動します。アラーム ウィンドウに は、ページ送り、列のソート、およびリフレッシュ制御も含まれます。 84 • デバイス管理 Palo Alto Networks アラームを追加するには、[ アラーム設定 ] セクションを編集し、以下の表を使用してアラー ムを定義します。 表 38. アラーム ログの設定 フィールド 内容 アラームの有効化 このページに表示されたイベントに基づいてアラームを有効にします。 は、[ アラームの有効化 ] チェック ボックスが [ アラーム ] ボタン オンになっている場合にのみ表示されます。 CLI アラーム通知の 有効化 アラームが発生するたびに CLI アラーム通知を有効にします。 Web アラーム通知の 有効化 ウィンドウを開いてユーザー セッションに関するアラーム ( ユーザー セッションの発生や承認のタイミングなど ) を表示します。 音声アラームの有効化 Web インターフェイスまたは CLI に未承認のアラームがある場合に可聴 音を再生し続けます。 暗号化 / 復号化エラー しきい値 アラームが生成されるまでの暗号化 / 復号化の失敗回数を指定します。 ログ DB アラームしきい 値 ( パーセント フル) ログのデータベースが指定した最大サイズのパーセンテージに達した場 合にアラームを生成します。 セキュリティ ポリシー の制限 [ セキュリティ違反時間 ] 設定で指定した期間 ( 秒数 ) に特定の IP アドレ スまたはポートが [ セキュリティ違反のしきい値 ] 設定で指定した回数に ヒットした場合、アラームが生成されます。 セキュリティ ポリシー グループ制限 [ 違反の期間 ] フィールドで指定した期間に一連のルールが [ 違反のしき い値 ] フィールドで指定したルール制限違反数に達した場合、アラーム が生成されます。セッションが明示的な拒否ポリシーに一致するときに、 違反が数えられます。 [ セキュリティ ポリシー タグ ] を使用して、ルールの制限しきい値でア ラームが生成されるタグを指定します。これらのタグは、セキュリティ ポリシーを定義するときに指定できるようになります。 選択的監査 注 : これらの設定は、共通基準モードの場合にのみ [ アラーム ] ページに 表示されます。 以下の設定を指定します。 • CC 固有のロギング — 情報セキュリティ国際評価基準 (CC) に準拠する ために必要な詳細なログ記録が有効になります。 • ログイン成功ログ — ファイアウォールへの管理者ログインの成功が記 録されます。 • ログイン失敗ログ — ファイアウォールへの管理者ログインの失敗が記 録されます。 • 抑制された管理者 — リストの管理者がファイアウォール設定に対して 行った変更のログが生成されません。 Palo Alto Networks デバイス管理 • 85 ログ設定の管理 [Device] > [ ログ設定 ] > [ ログの管理 ] ログが設定されている場合、ファイアウォールは設定の変更、システム イベント、セキュリ ティの脅威、トラフィック フロー、デバイスによって生成されたアラームを記録します。デ バイスのログをクリアするには、[ ログの管理 ] ページを使用します。クリアするログ ( トラ フィック、脅威、URL、データ、設定、システム、HIP マッチ、アラーム ) に対応するリンク をクリックします。 SNMP トラップの宛先の設定 [Device] > [ サーバー プロファイル ] > [SNMP トラップ ] [Panorama] > [ サーバー プロファイル ] > [SNMP トラップ ] SNMP (Simple Network Management Protocol) は、ネットワーク上のデバイスをモニターす る標準ファシリティです。システム イベントやネットワーク上の脅威に関するアラートを通 知するため、モニター対象デバイスから SNMP ネットワーク管理ステーション (「SNMP ト ラップの宛先」と呼ばれる ) に SNMP トラップを送信することで、すべてのネットワーク デ バイスに対するアラート通知を中央管理できます。ネットワーク上の SNMP トラップ の宛 先と通信するファイアウォールまたは Panorama を有効にするサーバー プロファイルを設定 するには、このページを使用します。SNMP GET を有効にする方法については、 「SNMP」を 参照してください。 SNMP トラップの宛先に接続する方法を指定するサーバー プロファイルを作成したら、ファイ アウォールをトリガーして SNMP トラップを SNMP トラップの宛先に送信するログのタイプ ( および、ログ タイプによってはその重大度 ) を指定する必要があります (「システム ログの設 定の定義」を参照 )。さらに、SNMP 管理ソフトウェアでトラップを解釈するため、エンター プライズ SNMP MIB ライブラリの https://live.paloaltonetworks.com/community/documentation か ら入手できる PAN-OS MIB をインストールする必要があります。 表 39. SNMP トラップの宛先設定 フィールド 内容 名前 SNMP プロファイルの名前を入力します ( 最大 31 文字 )。名前の大文字 と小文字は区別されます。また、一意の名前にする必要があります。文 字、数字、スペース、ハイフン、およびアンダースコアのみを使用して ください。 共有 デバイスがマルチ仮想システム モードである場合、すべての仮想システ ムで共有できるようにするには、このチェック ボックスをオンにします。 バージョン SNMP バージョン (V2c または V3) を選択します。 V2c の設定 V2c を選択する場合は、以下の設定を指定します。 • サーバー — SNMP トラップの宛先の名前を指定します ( 最大 31 文字 )。 • マネージャ — トラップの宛先の IP アドレスを指定します。 • コミュニティ — 指定した宛先にトラップを送信するために必要なコミュ ニティ文字列を指定します ( デフォルトは public)。 86 • デバイス管理 Palo Alto Networks 表 39. SNMP トラップの宛先設定(続き) フィールド 内容 V3 の設定 V3 を選択する場合は、以下の設定を指定します。 • サーバー — SNMP トラップの宛先の名前を指定します ( 最大 31 文字 )。 • マネージャ — トラップの宛先の IP アドレスを指定します。 • ユーザー — SNMP ユーザーを指定します。 • エンジン ID — ファイアウォールのエンジン ID を指定します。入力値 は、16 進数表現の文字列です。エンジン ID は、5 ~ 64 バイトの任意の 数値になります。これを 16 進数文字列として表現すると、10 ~ 128 文 字 ( 各バイトに 2 文字 ) に、入力文字列のプレフィックスとして使用す る必要がある 0x の 2 文字が追加されます。 各ファイアウォールには一意のエンジン ID があり、これは MIB ブラ ウザを使用し、OID 1.3.6.1.6.3.10.2.1.1.0 に対して GET コマンドを実行 して取得できます。 • 認証パスワード — ユーザーの認証パスワードを指定します ( 最小 8 文 字、最大 256 文字、文字制限なし )。あらゆる文字を使用できます。 Secure Hash Algorithm (SHA) だけがサポートされています。 • 専用パスワード — ユーザーの暗号化パスワードを指定します ( 最小 8 文字、最大 256 文字、文字制限なし )。Advanced Encryption Standard (AES) だけがサポートされています。 システム ログの設定やログのプロファイルで使用されている宛先は削除 しないでください。 SNMP MIB ファイアウォールでは、以下の SNMP MIB がサポートされています。 • RFC 1213: MIB-II — システム グループ、インターフェイス グループをサポート • RFC 2863: IF-MIB — インターフェイス グループ MIB • RFC 2790: HOST-RESOURCES-MIB — hrDeviceTable および hrProcessorTable をサポート • RFC 3433: ENTITY-SENSOR-MIB — entPhySensorTable をサポート • PAN-PRODUCT-MIB • PAN-COMMON-MIB • PAN-TRAPS-MIB • PAN-LC-MIB エンタープライズ MIB の完全なセットは、Palo Alto Networks サイトの Technical Documentation セクション (https://live.paloaltonetworks.com/community/documentation) で入手できます。 Palo Alto Networks デバイス管理 • 87 Syslog サーバーの設定 [Device] > [ サーバー プロファイル ] > [Syslog] [Panorama ] > [ サーバー プロファイル ] > [Syslog] システム、設定、トラフィック、脅威、または HIP Match ログの Syslog メッセージを生成す るには、Syslog サーバーを 1 つ以上指定する必要があります。Syslog サーバーを定義した ら、システム ログ エントリと設定ログ エントリに使用できます (「システム ログの設定の定 義」を参照 )。 表 40. 新しい Syslog サーバー フィールド 内容 名前 Syslog プロファイルの名前 ( 最大 31 文字 ) を入力します。名前の大文字 と小文字は区別されます。また、一意の名前にする必要があります。文 字、数字、スペース、ハイフン、およびアンダースコアのみを使用して ください。 共有 デバイスがマルチ仮想システム モードである場合、すべての仮想システ ムで共有できるようにするには、このチェック ボックスをオンにします。 [ サーバー ] タブ 名前 [ 追加 ] をクリックし、Syslog サーバーの名前 ( 最大 31 文字 ) を入力しま す。名前の大文字と小文字は区別されます。また、一意の名前にする必 要があります。文字、数字、スペース、ハイフン、およびアンダースコ アのみを使用してください。 サーバー Syslog サーバーの IP アドレスを入力します。 転送 Syslog メッセージの転送方法を UDP、TCP、SSL から選択します。 ポート Syslog サーバーのポート番号を入力します。UDP の標準ポートは 514、 SSL の標準ポートは 6514 で、TCP の場合はポート番号を指定する必要が あります。 フォーマット 使用する Syslog フォーマットとして BSD ( デフォルト ) または IETF を指 定します。 ファシリティ ドロップダウン リストからレベルを選択します。 [ カスタム ログ フォーマット ] タブ ログ タイプ ログ タイプをクリックして、カスタム ログ形式を指定するためのダイア ログ ボックスを開きます。ダイアログ ボックスで、フィールドをクリッ クして [ ログ形式 ] エリアに追加します。その他のテキスト文字列は、 [ ログ形式 ] エリアで直接編集できます。[OK] をクリックして設定を保 存します。 カ ス タ ム ログで使用できるフィールドの詳細は、「カスタム Syslog フィールドの説明」を参照してください。 エスケープ 88 • デバイス管理 エスケープ シーケンスを指定します。[ エスケープされた文字 ] ボックス を使用して、エスケープするすべての文字をスペースなしで表示します。 Palo Alto Networks システムまたは設定のログの設定やログのプロファイルで使用されている サーバーは削除できません。 カスタム Syslog フィールドの説明 [Device] > [ サーバー プロファイル ] > [Syslog] の [ カスタム ログ フォーマット ] タブを選択 して、Syslog サーバー プロファイルのカスタム ログ フォーマットを設定できます。目的の ログ タイプ ([ 設定 ]、[ システム ]、[ 脅威 ]、[ トラフィック ]、[HIP マッチ ]) をクリックして、 ログに表示するフィールドをクリックします。各ログ タイプの各フィールドの意味を以下の 表に示します。 表 41 設定フィールド フィールド 意味 actionflags ログが Panorama に転送されたかどうかを示すビット フィール ド。PAN-OS 4.0.0 以降で使用できます。 admin 設定を実行する管理者のユーザー名。 after-change-detail 変更後の設定の詳細。 before-change-detail 変更前の設定の詳細。 formtted-receive_time 管理プレーンでログが受信された時間。CEF 準拠の時間形式で 表示されます。 cef-formatted-time_generated ログが生成された時間。CEF 準拠の時間形式で表示されます。 client 管理者によって使用されるクライアント。値は「Web」と「CLI」 です。 cmd 管理者によって実行されたコマンド。値は、「add」、「clone」、 「commit」 、 「delete」 、 「edit」 、 「move」 、 「rename」 、 「set」 、 「validate」 です host クライアント マシンのホスト名または IP アドレス。 path 発行された設定コマンドのパス。最大長は 512 バイトです。 receive_time 管理プレーンでログが受信された時間。 result 設定アクションの結果。値は、 「Submitted」、「Succeeded」、 「Failed」、「Unauthorized」です。 seqno 順次増分される 64 ビットのログ エントリ識別子。各ログ タイプ には、一意の番号空間があります。PAN-OS 4.0.0 以降で使用で きます。 serial ログを生成したデバイスのシリアル番号。 subtype 設定ログのサブタイプ。未使用。 time_generated データ プレーンでログが受信された時間。 type vsys Palo Alto Networks ログのタイプを指定します。値は、 「traffic」、 「threat」、 「config」、 「system」、「hip-match」です。 設定ログに関連付けられている仮想システム。 デバイス管理 • 89 表 42 システム フィールド フィールド 意味 actionflags ログが Panorama に転送されたかどうかを示すビット フィール ド。PAN-OS 4.0.0 以降で使用できます。 cef-formatted-receive_time 管理プレーンでログが受信された時間。CEF 準拠の時間形式で 表示されます。 cef-formatted-time_generated ログが生成された時間。CEF 準拠の時間形式で表示されます。 eventid イベントの名前を示す文字列。 fmt イベントの詳細な説明。最大長は 512 バイトです。 module このフィールドは、[ サブタイプ ] フィールドの値が「general」の 場合にのみ有効です。ログを生成するサブシステムについての追 加情報を提供します。値は、 「general」、 「management」、 「auth」、 「ha」、「upgrade」、「chassis」です。 number-of-severity 整数で表された重大度レベル。情報 - 1、低 - 2、中 - 3、高 - 4、重 要 - 5。 object システム ログに関連付けられているオブジェクトの名前。 opaque イベントの詳細な説明。最大長は 512 バイトです。 receive_time 管理プレーンでログが受信された時間。 seqno 順次増分される 64 ビットのログ エントリ識別子。各ログ タイプ には、一意の番号空間があります。PAN-OS 4.0.0 以降で使用で きます。 serial ログを生成したデバイスのシリアル番号。 severity イベントに関連付けられた重大度。値は、 「informational」 、 「low」 、 「medium」 、 「high」 、 「critical」です。 subtype システム ログのサブタイプ。ログを生成するシステム デーモン です。値は、 「crypto」 、 「dhcp」 、 「dnsproxy」 、 「dos」 、 「general」 、 「global-protect」、 「ha」、 「hw」、 「nat」、 「ntpd」、 「pbf」、 「port」、 「pppoe」、「ras」、「routing」、「satd」、「sslmgr」、「sslvpn」、 「userid」、「url-filtering」、「vpn」です。 time_generated type vsys データ プレーンでログが受信された時間。 ログのタイプを指定します。値は、 「traffic」、 「threat」、 「config」、 「system」、「hip-match」です。 システム イベントに関連付けられている仮想システム。 表 43 脅威フィールド フィールド action 意味 セッションで実行されたアクション。値は、 「alert」、 「allow」、 「deny」、 「drop」、 「drop-all-packets」、 「reset-client」、「resetserver」、 「reset-both」、 「block-url」です 各値の意味は、後述の [ アクション ] フィールドの表を参照してください。 actionflags ログが Panorama に転送されたかどうかを示すビット フィール ド。PAN-OS 4.0.0 以降で使用できます。 app セッションに関連付けられたアプリケーション。 90 • デバイス管理 Palo Alto Networks 表 43 脅威フィールド(続き) フィールド category 意味 URL サブタイプの場合は、URL カテゴリ。WildFire サブタイプ の場合は、ファイルの判定 (「malicious ( マルウェア )」または 「benign ( 安全 )」)、その他のサブタイプの場合、値は「any」です。 cef-formatted-receive_time 管理プレーンでログが受信された時間。CEF 準拠の時間形式で 表示されます。 cef-formatted-time_generated ログが生成された時間。CEF 準拠の時間形式で表示されます。 contenttype HTTP 応答データのコンテンツ タイプ。最大長は 32 バイトです。 サブタイプが URL の場合にのみ適用されます。PAN-OS 4.0.0 以 降で使用できます。 direction 攻 撃 の 方 向 を 示 し ま す。 「client-to-server」ま た は「server-toclient」 dport セッションで使用された宛先ポート。 dst 元のセッション宛先 IP アドレス。 dstloc プライベート アドレスの宛先の国または国内地域。最大長は 32 バイトです。PAN-OS 4.0.0 以降で使用できます。 dstuser セッションの宛先だったユーザーのユーザー名。 flags セッションの詳細を表示する 32 ビットのフィールド。各値の意 味は [ フラグ ] フィールドの表を参照してください。 from セッションの送信元だったゾーン。 inbound_if セッションの送信元だったインターフェイス。 logset セッションに適用されたログ転送プロファイル。 misc サブタイプが「URL」の場合は実際の URI。サブタイプが「file」 の場合はファイル名またはファイル タイプ。サブタイ プが 「virus」の場合はファイル名。サブタイプが「wildfire」の場合は ファイル名。PAN-OS 4.0 より前のバージョンでは、長さは 63 文 字です。バージョン 4.0 以降は、最大 1023 文字の可変長です。 natdport NAT 後の宛先ポート。 natdst 宛先 NAT を行った場合は、NAT 後の宛先 IP アドレス。 natsport NAT 後の送信元ポート。 natsrc 送信元 NAT を行った場合は、NAT 後の送信元 IP アドレス。 number-of-severity 整数で表された重大度レベル。情報 - 1、低 - 2、中 - 3、高 - 4、重 要 - 5。 outbound_if セッションの宛先だったインターフェイス。 proto セッションに関連付けられた IP プロトコル。 receive_time 管理プレーンでログが受信された時間。 repeatcnt 5 秒以内に同じ送信元 IP、宛先 IP、脅威 ID を示したログの数。 URL 以外のすべてのサブタイプに適用されます。 rule セッションで一致したルールの名前。 Palo Alto Networks デバイス管理 • 91 表 43 脅威フィールド(続き) フィールド 意味 seqno 順次増分される 64 ビットのログ エントリ識別子。各ログ タイプ には、一意の番号空間があります。PAN-OS 4.0.0 以降で使用で きます。 serial ログを生成したデバイスのシリアル番号。 sessionid 各セッションに適用される内部の数値識別子。 severity 脅威に関連付けられた重大度。値は、 「informational」、「low」、 「medium」、「high」、「critical」です。 sport セッションで使用された送信元ポート。 src 元のセッション送信元 IP アドレス。 srcloc プライベート アドレスの送信元の国または国内地域 最大長は 32 バイトです。PAN-OS 4.0.0 以降で使用できます。 srcuser セッションを開始したユーザーのユーザー名。 subtype 脅威ログのサブタイプ。値は「URL」、「virus」、「spyware」、 「vulnerability」 、 「file」 、 「scan」 、 「flood」 、 「data」 、 「wildfire」です。 threatid 脅威の Palo Alto Networks 識別子。一部のサブタイプでは、説明 の文字列にかっこで囲んだ数値識別子が続きます。PAN-OS 5.0 以降では、数値識別子は 64 ビットの数値です。 time_generated データ プレーンでログが生成された時間。 time_received データ プレーンでログが受信された時間。 to セッションの宛先だったゾーン。 type ログのタイプを指定します。値は、 「traffic」、 「threat」、 「config」、 「system」、「hip-match」です。 vsys セッションに関連付けられている仮想システム。 wildfire WildFire で生成されたログ。 表 44 トラフィック フィールド フィールド 意味 action セッションに対して実行されたアクション。値は「allow」また は「deny」です。[ アクション ] フィールドの表を参照してくだ さい。 actionflags ログが Panorama に転送されたかどうかを示すビット フィール ド。PAN-OS 4.0.0 で使用できます。 app セッションに関連付けられたアプリケーション。 bytes セッションの合計バイト数 ( 送受信 ) bytes_received セッションのサーバーからクライアント方向へのバイト数。 PA-4000 シリーズ以外のすべてのモデルの PAN-OS 4.1.0 以降で 使用できます。 bytes_sent セッションのクライアントからサーバー方向へのバイト数。 PA-4000 シリーズ以外のすべてのモデルの PAN-OS 4.1.0 以降で 使用できます。 92 • デバイス管理 Palo Alto Networks 表 44 トラフィック フィールド(続き) フィールド 意味 category セッションに関連付けられた URL カテゴリ ( 該当する場合 )。 cef-formatted-receive_time 管理プレーンでログが受信された時間。CEF 準拠の時間形式で 表示されます。 cef-formatted-time_generated ログが生成された時間。CEF 準拠の時間形式で表示されます。 dport セッションで使用された宛先ポート。 dst 元のセッション宛先 IP アドレス。 dstloc プライベート アドレスの宛先の国または国内地域。最大長は 32 バイトです。PAN-OS 4.0.0 以降で使用できます。 dstuser セッションの宛先だったユーザーのユーザー名。 elapsed セッションの経過時間。 flags セッションの詳細を表示する 32 ビットのフィールド。各値の意 味は [ フラグ ] フィールドの表を参照してください。このフィー ルドは、値とログ値を AND 結合して解読できます。 from セッションの送信元だったゾーン。 inbound_if セッションの送信元だったインターフェイス。 logset セッションに適用されたログ転送プロファイル。 natdport NAT 後の宛先ポート。 natdst 宛先 NAT を行った場合は、NAT 後の宛先 IP アドレス。 natsport NAT 後の送信元ポート。 natsrc 送信元 NAT を行った場合は、NAT 後の送信元 IP アドレス。 outbound_if セッションの宛先だったインターフェイス。 packets セッションの合計パケット数 ( 送受信 )。 pkts_received セ ッ シ ョ ン の サ ー バ ー か ら ク ラ イ ア ン ト へ の パ ケ ッ ト 数。 PA-4000 シリーズ以外のすべてのモデルの PAN-OS 4.1.0 以降で 使用できます。 pkts_sent セ ッ シ ョ ン の ク ラ イ ア ン ト か ら サ ー バ ー へ の パ ケ ッ ト 数。 PA-4000 シリーズ以外のすべてのモデルの PAN-OS 4.1.0 以降で 使用できます。 proto セッションに関連付けられた IP プロトコル。 receive_time 管理プレーンでログが受信された時間。 repeatcnt 5 秒以内に同じ送信元 IP、宛先 IP、アプリケーション、サブタイ プを示したログの数。ICMP のみで使用されます。 rule セッションで一致したルールの名前。 seqno 順次増分される 64 ビットのログ エントリ識別子。各ログ タイ プには、一意の番号空間があります。PAN-OS 4.0.0 以降で使用 できます。 serial ログを生成したデバイスのシリアル番号。 Palo Alto Networks デバイス管理 • 93 表 44 トラフィック フィールド(続き) フィールド 意味 session_end_reason セッションが終了した理由。複数の原因で終了した場合、この フィールドには優先度が最も高い理由のみが表示されます。有 効なセッション終了理由の値は、優先度の高い順に以下のとお りです。 • threat — ファイアウォールが、リセット、ドロップ、またはブ ロック (IP アドレス ) アクションに関連付けられた脅威を検出 しました。 • policy-deny — セッションが、拒否またはドロップ アクション が指定されたセキュリティ ポリシーと一致しました。 • tcp-rst-from-client — クライアントが TCP リセットをサーバー に送信しました。 • tcp-rst-from-server — サーバーが TCP リセットをクライアン トに送信しました。 • resources-unavailable — システム リソース制限が原因でセッ ションがドロップしました。たとえば、セッションの順序外パ ケット数が、フローまたはグローバル順序外パケット キュー ごとに許容される数を超えた場合などが考えられます。 • tcp-fin — 接続の一方または両方のホストが TCP FIN メッセー ジを送信してセッションを閉じました。 • tcp-reuse — セッションが再利用され、ファイアウォールが前の セッションを閉じました。 • decoder — デコーダがプロトコル内で新しい接続を検出し (HTTPProxy など )、前の接続を終了しました。 • aged-out — セッションがエージアウトしました。 • unknown — この値は、以下の状況に適用されます。 – セッション終了理由フィールドをサポートしない PAN-OS リ リース (6.1 より前のリリース ) で生成されたログの場合、最 新の PAN-OS リリースへのアップグレード後、またはログ がファイアウォールにロードされると、値は unknown にな ります。 – Panorama では、セッション終了理由をサポートしない PAN-OS バージョンのファイアウォールから受信したログの値は、 unknown になります。 sessionid 各セッションに適用される内部の数値識別子。 sport セッションで使用された送信元ポート。 src 元のセッション送信元 IP アドレス。 srcloc プライベート アドレスの送信元の国または国内地域 最大長は 32 バイトです。PAN-OS 4.0.0 以降で使用できます。 srcuser セッションを開始したユーザーのユーザー名。 start セッションの開始時間。 subtype 94 • デバイス管理 トラフィック ログのサブタイプ。値は、 「start」 、 「end」 、 「drop」 、 「deny」です。各値の意味は、[ サブタイプ ] フィールドの表を 参照してください。 Palo Alto Networks 表 44 トラフィック フィールド(続き) フィールド 意味 time_generated データ プレーンでログが生成された時間。 time_received データ プレーンでログが受信された時間。 to セッションの宛先だったゾーン。 type vsys ログのタイプを指定します。値は、 「traffic」、 「threat」、 「config」、 「system」、「hip-match」です。 セッションに関連付けられている仮想システム。 表 45 HIP マッチ フィールド フィールド 意味 actionflags ログが Panorama に転送されたかどうかを示すビット フィール ド。PAN-OS 4.0.0 以降で使用できます。 cef-formatted-receive_time 管理プレーンでログが受信された時間。CEF 準拠の時間形式で 表示されます。 cef-formatted-time_generated ログが生成された時間。CEF 準拠の時間形式で表示されます。 machinename ユーザーのマシンの名前です。 matchname HIP オブジェクトまたはプロファイルの名前。 matchtype [HIP] フィールドが HIP オブジェクトと HIP プロファイルのど ちらを表すのかを指定します。 receive_time 管理プレーンでログが受信された時間。 repeatcnt HIP プロファイルが一致した回数。 seqno 順次増分される 64 ビットのログ エントリ識別子。各ログ タイプ には、一意の番号空間があります。PAN-OS 4.0.0 以降で使用で きます。 serial ログを生成したデバイスのシリアル番号。 src 送信元ユーザーの IP アドレス。 srcuser 送信元ユーザーのユーザー名。 subtype HIP マッチ ログのサブタイプ。未使用。 time_generated データ プレーンでログが生成された時間。 type vsys Palo Alto Networks ログのタイプを指定します。値は、 「traffic」、 「threat」、 「config」、 「system」、「hip-match」です。 HIP マッチ ログに関連付けられている仮想システム。 デバイス管理 • 95 電子メール通知設定の指定 [Device] > [ サーバー プロファイル ] > [ 電子メール ] [Panorama ] > [ サーバー プロファイル ] > [ 電子メール ] ログの電子メール メッセージを生成するには、電子メール プロファイルを設定する必要があ ります。電子メール設定を定義したら、システム ログ エントリと設定ログ エントリ用に電子 メール通知を有効にできます (「システム ログの設定の定義」を参照 )。電子メール レポート 配信のスケジューリングの詳細は、 「電子メールで配信するレポートのスケジューリング」を 参照してください。 表 46. 電子メール通知設定 フィールド 内容 名前 電子メール設定の名前 ( 最大 31 文字 ) を入力します。名前の大文字と小 文字は区別されます。また、一意の名前にする必要があります。文字、数 字、スペース、ハイフン、およびアンダースコアのみを使用してください。 共有 デバイスがマルチ仮想システム モードである場合、プロファイルをすべ ての仮想システムで共有できるようにするには、このチェック ボックス をオンにします。 [ サーバー ] タブ サーバー サーバーの識別に使用する名前を入力します (1 ~ 31 文字 )。このフィー ルドは単なるラベルであり、既存の SMTP サーバーのホスト名である必 要はありません。 表示名 電子メールの [ 送信者 ] フィールドに表示される名前を入力します。 送信者 IP 送信元の電子メール アドレス (「[email protected]」など ) を 入力します。 宛先 受信者の電子メール アドレスを入力します。 その他の受信者 別の受信者の電子メール アドレスを入力します ( 任意 )。追加できるのは 1 名の受信者のみです。複数の受信者を追加するには、配布リストの電子 メール アドレスを追加します。 ゲートウェイ 電子メールの送信に使用される Simple Mail Transport Protocol (SMTP) サーバーの IP アドレスまたはホスト名を入力します。 [ カスタム ログ フォーマット ] タブ ログ タイプ ログ タイプをクリックして、カスタム ログ形式を指定するためのダイア ログ ボックスを開きます。ダイアログ ボックスで、フィールドをクリッ クして [ ログ形式 ] エリアに追加します。[OK] をクリックして設定を保 存します。 エスケープ エスケープされた文字を組み込み、エスケープ文字を指定します。 システムまたは設定のログ設定やログのプロファイルで使用されている電 子メール設定は削除できません。 96 • デバイス管理 Palo Alto Networks Netflow の設定 [Device] > [ サーバー プロファイル ] > [Netflow] ファイアウォールは、単向性の IP トラフィック フロー情報付きの Netflow Version 9 レコー ドを外部のコレクターに生成して、エクスポートできます。ファイアウォールは標準の Netflow テンプレートをサポートし、データに基づいて正しいものをエクスポートします。 NetFlow エクスポートは、ファイアウォールのすべての入力インターフェイスで有効にでき ます。別個のテンプレート レコードは IPv4、NAT を利用した IPv4、および IPv6 トラフィッ クに対して定義され、App-ID および User-ID の PAN-OS 特定フィールドが任意でエクス ポートされます。この機能は、PA-4000 シリーズおよび PA-7050 ファイアウォール以外のす べてのプラットフォームで使用できます。 Netflow データ エクスポートを設定するには、Netflow サーバー プロファイルを定義しま す。これは、エクスポートされたデータを受け取る Netflow サーバーと共にエクスポートの 頻度を指定します。そして既存のファイアウォール インターフェイスにプロファイルを割り 当てるときに、そのインターフェイスにフローするすべてのトラフィックが指定されたサー バーにエクスポートされます。すべてのインターフェイス タイプは、Netflow プロファイル の割り当てをサポートします。インターフェイスへの NetFlow プロファイルの割り当ての 詳細は、「ファイアウォール インターフェイスの設定」を参照してください。 表 47. Netflow 設定 フィールド 内容 名前 Netflow 設定の名前 ( 最大 31 文字 ) を入力します。名前の大文字と小文字 は区別されます。また、一意の名前にする必要があります。文字、数字、 スペース、ハイフン、およびアンダースコアのみを使用してください。 テンプレート更新レート ファイアウォールが NetFlow テンプレートを更新して変更を適用するま での間隔を [ 分 ] (1 ~ 3600、デフォルトは 30) または [ パケット ] (1 ~ 600、 デフォルトは 20) の数で指定します。必要な更新頻度は、NetFlow コレク タに応じて異なります。サーバー プロファイルに複数の NetFlow コレク タを追加する場合、更新レートが最も速いコレクタの値を使用します。 アクティブ タイムアウト ファイアウォールが各セッションのデータ レコードをエクスポートする 頻度 ( 分単位 ) を指定します (1 ~ 60 分、デフォルトは 5 分 )。NetFlow コレクタがトラフィック統計を更新する頻度に基づいて、頻度を設定し ます。 PAN-OS 固有の フィールド タイプの エクスポート Netflow レコードの App-ID と User-ID などの PAN-OS 特定フィールド をエクスポートします。 サーバー 名前 サーバーを識別する名前を指定します ( 最大 31 文字 )。名前の大文字と小 文字は区別されます。また、一意の名前にする必要があります。文字、数 字、スペース、ハイフン、およびアンダースコアのみを使用してください。 サーバー サーバーのホスト名または IP アドレスを指定します。プロファイルごと に最大 2 つのサーバーを追加できます。 ポート サーバー アクセスのポート番号を指定します ( デフォルトは 2055)。 Palo Alto Networks デバイス管理 • 97 証明書の使用 [Device] > [ 証明書の管理 ] > [ 証明書 ] ネットワーク全体のデータの暗号化と通信の保護に使用される証明書。 • 「デバイス証明書の管理」を実行します。[Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバ イス証明書 ] タブを使用して、安全な通信を確保するために使用されるデバイス証明書 を管理 ( 生成、インポート、更新、削除、無効化 ) します。ネットワークの HA ピア間の 通信を保護するために使用される HA キーをエクスポートおよびインポートすることも できます。 • 「デフォルトの信頼された証明機関の管理」を実行します。[Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デフォルトの信頼された証明機関 ] タブを使用して、ファイアウォールが信 頼する認証局 (CA) を表示、有効化、無効化します。 • 「証明書プロファイルの作成」を実行します。[Device] > [ 証明書の管理 ] > [ 証明書プロ ファイル ] タブを使用します。 • 「OCSP レスポンダの追加」を実行します。 デバイス証明書の管理 [Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス証明書 ] [Panorama] > [ 証明書の管理 ] > [ 証明書 ] Web インターフェイス、SSL 復号、または LSVPN へのアクセスの保護などのタスクにファ イアウォールまたは Panorama が使用する証明書が一覧表示されます。 このタブを使用して、以下の用途のセキュリティ証明書を生成します。 • フォワード プロキシ用の信頼された証明書 — この証明書は、クライアントの接続先サー バーがファイアウォールの信頼された認証局リストにある認証局によって署名される場 合、復号時にクライアントに対して提示されます。転送プロキシの復号化で自己署名証 明書を使用する場合は、[ 証明書 ] ページで証明書名をクリックし、[ フォワード プロキシ 用の信頼された証明書 ] チェック ボックスをオンにする必要があります。 • フォワード プロキシ用の信頼されない証明書 — この証明書は、クライアントの接続先サー バーがファイアウォールの信頼された認証局リストにない認証局によって署名される場 合、復号時にクライアントに対して提示されます。 • 信頼されたルート CA — この証明書は、転送復号化の目的で、信頼された認証局として マークされます。 ファイアウォールは、トラフィックを復号化するときにアップストリームの証明書が信 頼された認証局から発行されたものかどうかを確認します。発行されたものではない場 合、特殊な信頼されていない認証局証明書を使用して復号化証明書に署名します。この 場合、ユーザーがファイアウォールにアクセスすると通常の証明書エラー ページが表示 され、ログインの警告を無視する必要があります。 98 • デバイス管理 Palo Alto Networks ファイアウォールには、既存の信頼された認証局が数多く登録されたリストが設定され ています。ここでの信頼されたルート認証局証明書とは、組織用に追加される信頼され た認証局であり、予めインストールされている信頼された認証局リストに含まれるもの ではありません。 • SSL 除外証明書 — この証明書は、SSL 転送プロキシの復号化中に接続が検出された場 合、その接続を除外します。 • 保護された Web GUI の証明書 — この証明書により、ファイアウォール Web インター フェイスにアクセスできるようユーザーを認証します。証明書のチェック ボックスをオ ンにすると、ファイアウォールでは、次のコミット操作に続いて、その後のすべての Web ベース管理セッションでこの証明書を使用します。 • 保護された Syslog の証明書 — この証明書により、syslog を外部 syslog サーバーに安全 に転送できます。 証明書を生成するには、[ 生成 ] をクリックし、以下のフィールドに入力します。 表 48. 証明書を生成するための設定 フィールド 内容 証明書名 証明書を識別する名前 ( 最大 31 文字 ) を入力します。名前の大文字と小 文字は区別されます。また、一意の名前にする必要があります。文字、 数字、スペース、ハイフン、およびアンダースコアのみを使用してくだ さい。名前のみが必須です。 共通名 証明書に表示される IP アドレスまたは FQDN を入力します。 場所 仮想システムを 1 つ選択するか、または [ 共有 ] を選択してすべての仮想 システムで証明書を使用可能にします。 署名者 証明書は、ファイアウォールにインポートされた CA 証明書で署名する か、ファイアウォール自体が CA の場合は自己署名できます。Panorama を使用している場合、Panorama の自己署名証明書の生成に関するオプ ションがあります。 CA 証明書をインポートしている場合、またはデバイス自体で CA 証明書 を発行 ( 自己署名 ) している場合、作成される証明書に署名できる CA が ドロップダウンに表示されます。 証明書署名要求を生成するには、[ 外部認証局 (CSR)] を選択します。証 明書と鍵のペアが生成され、CSR をエクスポートできるようになります。 認証局 ファイアウォールで証明書を発行する場合は、[ 認証局 ] チェック ボック スをオンにします。 証明書を認証局としてマークすることで、ファイアウォールでの他の証 明書の署名にこの証明書を使用できます。 OCSP レスポンダ ドロップダウン リストから OSCP レスポンダ プロファイルを選択しま す。OCSP レスポンダ プロファイルは、[Device] > [ 証明書の管理 ] > [OCSP レスポンダ ] タブで設定されます。OCSP レスポンダを選択する と、対応するホスト名が証明書に表示されます。 ビット数 証明書の鍵長を選択します。 ファイアウォールが FIPS/CC モードの場合、生成される RSA キーは 2048 ビット以上である必要があります。 Palo Alto Networks デバイス管理 • 99 表 48. 証明書を生成するための設定(続き) フィールド 内容 ダイジェスト 証明書のダイジェスト アルゴリズムを選択します。 ファイアウォールが FIPS/CC モードの場合、証明書のシグネチャは SHA256 以上である必要があります。 有効期限 ( 日 ) 証明書が有効な日数を指定します。デフォルトは 365 日です。 GlobalProtect ポータル サテライト設定で [ 有効期間 ] を指定すると、こ のフィールドに入力した値はその値でオーバーライドされます。 証明書の属性 必要に応じて、[ 追加 ] をクリックし、証明書の発行先となるエンティ ティの識別に使用する追加の [ 証明書の属性 ] を指定します。[ 国 ]、[ 都 道府県 ]、[ 地域 ]、[ 組織 ]、[ 部署 ]、[ 電子メール ] の属性を追加できます。 さらに、[ サブジェクトの代替名 ] で [ ホスト名 ] (SubjectAltName:DNS)、 [IP] (SubjectAltName:IP)、[ 代替電子メール ] (SubjectAltName:email) の いずれかのフィールドを指定できます。 注 : 証明書の属性として国を追加するには、[ タイプ ] 列から [ 国 ] を選択 し、[ 値 ] 列をクリックして ISO 6366 国コードを参照します。 HSM を設定している場合、秘密鍵はファイアウォール自体ではなく外部 HSM ストレージに 保存されます。 証明書を生成したら、ページにその詳細が表示されます。. 表 49. その他のサポートされているアクション アクション 内容 削除 削除する証明書を選択して [ 削除 ] をクリックします。 無効化 無効にする証明書を選択し、[ 無効化 ] をクリックします。証明書はただ ちに「無効化」状態に設定されます。コミットは必要ありません。 更新 証明書が期限切れになった場合、または間もなく期限切れになる場合、 対応する証明書を選択して [ 更新 ] をクリックします。証明書の有効期間 ( 日数 ) を設定して [OK] をクリックします。 ファイアウォールが証明書を発行した CA である場合、ファイアウォー ルはその証明書を、古い証明書と属性が同じでシリアル番号が異なる新 しい証明書に置き換えます。 外部認証局 (CA) が証明書に署名し、ファイアウォールが Open Certificate Status Protocol (OCSP) を使用して証明書の失効状態を検証している場 合、ファイアウォールは OCSP レスポンダ情報を使用して証明書の状態 を更新します。 100 • デバイス管理 Palo Alto Networks 表 49. その他のサポートされているアクション(続き) アクション 内容 インポート 証明書をインポートするには、[ インポート ] をクリックし、以下の詳 細を入力します。 – 証明書を識別する名前を入力します。 – 証明書ファイルを参照します。PKCS #12 証明書と秘密鍵をインポー トする場合、これは両方のオブジェクトを含んだ 1 つのファイルに なります。PEM を使用する場合、これはパブリック証明書のみにな ります。 – 証明書ファイルのファイル フォーマットを選択します。 – この証明書の秘密鍵の保存に HSM を使用している場合、[秘密鍵は ハードウェア セキュリティ モジュール上にあります ] チェック ボッ クスをオンにします。HSM の詳細は、「ハードウェア セキュリ ティ モジュールの定義」を参照してください。 – [ 秘密鍵のインポート ] チェック ボックスをオンにして秘密鍵をロー ドし、パスフレーズを 2 回入力します。PKCS #12 を使用する場 合、鍵ファイルは上の手順で選択されました。PEM を使用する場合 は、暗号化された秘密鍵ファイル ( 通常のファイル名は *.key) を参照 します。 – ドロップダウン リストから、証明書のインポート先の仮想システム を選択します。 生成 生成セクションを参照してください。 エクスポート 証明書をエクスポートするには、エクスポートする証明書を選択して [ エクスポート ] をクリックします。エクスポートする証明書で使用する ファイル形式 (PKCS #12 の場合の .pfx または base64 エンコード形式の 場合の .pem) を選択します。 [ 秘密鍵のエクスポート ] チェック ボックスをオンにしてパスフレーズを 2 回入力し、証明書の他に秘密鍵をエクスポートします。 HA キーのインポート HA キーのエクスポート HA キーは、両方のファイアウォール ピア間で入れ替える必要がありま す。つまり、ファイアウォール 1 のキーをエクスポートしてファイア ウォール 2 でインポートし、その逆も実行します。 高可用性 (HA) の鍵をインポートするには、[HA キーのインポート ] を クリックし、参照してインポートする鍵ファイルを指定します。 HA の鍵をエクスポートするには、[HA キーのエクスポート ] クリック して、ファイルを保存する場所を指定します。 証明書の使用方法の定義 Palo Alto Networks [ 名前 ] 列で証明書のリンクを選択し、証明書をどのように使用するかを 示すチェック ボックスをオンにします。それぞれの詳細は、使用セク ションを参照してください。 デバイス管理 • 101 デフォルトの信頼された証明機関の管理 [Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デフォルトの信頼された証明機関 ] ファイアウォールで信頼する事前に含まれた認証局 (CA) を表示、無効化、またはエクスポー トするには、このページを使用します。各 CA に対して、名前、サブジェクト、発行者、有 効期限、有効性の状態が表示されます。 このリストには、ファイアウォールで生成された CA 証明書は含まれません。 表 50 信頼された証明機関設定 フィールド 内容 有効化 無効にした認証局を有効にする場合は、その認証局の横のチェッ ク ボックスをオンにして、[ 有効化 ] をクリックします。 無効化 無効にする認証局の横のチェック ボックスをオンにして、[ 無効 化 ] をクリックします。この操作は、特定の認証局のみを信頼す る場合に適しています。または、ローカル認証局のみを信頼する には、すべての認証局を削除します。 エクスポート 認証局証明書をエクスポートするには、認証局の横のチェック ボックスをオンにして、[ エクスポート ] をクリックします。この 操作は、別のシステムにインポートする場合や、証明書をオフラ インで表示する場合に実行します。 証明書プロファイルの作成 [Device] > [ 証明書の管理 ] > [ 証明書プロファイル ] [Panorama] > [ 証明書の管理 ] > [ 証明書プロファイル ] 証明書プロファイルでは、キャプティブ ポータル、GlobalProtect、サイト間 IPsec VPN、 Mobile Security Manager、ファイアウォール / Panorama Web インターフェイス アクセスの ためのユーザーおよびデバイス認証を定義します。プロファイルでは、使用する証明書、証 明書の失効状態の検証方法、および状態によりアクセスを制限する方法を指定します。アプ リケーションごとに証明書プロファイルを設定します。 表 51. 証明書プロファイル設定 ページ タイプ 内容 名前 プロファイルの識別に使用する名前を入力します ( 最大 31 文字 )。 名前の大文字と小文字は区別されます。また、一意の名前にする必 要があります。文字、数字、スペース、ハイフン、およびアンダー スコアのみを使用してください。 場所 ファイアウォールで複数の仮想システムをサポートしている場合 は、ダイアログに [ 場所 ] ドロップダウンが表示されます。プロファ イルを使用できる仮想システムを選択するか、[ 共有 ] を選択して、 すべての仮想システムで使用できるようにします。 102 • デバイス管理 Palo Alto Networks 表 51. 証明書プロファイル設定(続き) ページ タイプ 内容 ユーザー名フィールド GlobalProtect はポータル / ゲートウェイ認証の証明書のみを使用 し、PAN-OS は [ ユーザー名フィールド ] ドロップダウンでユー ザー名として選択された証明書フィールドを使用して、User ID の IP アドレスと照合する場合、以下のようになります。 • サブジェクト : PAN-OS は共通名を使用します。 • サブジェクト代替名 : PAN-OS が [ 電子メール ] または [ プリンシ パル名 ] のどちらを使用するかを選択します。 • なし : これは通常、GlobalProtect デバイスまたは pre-login 認証 に使用されます。 ドメイン PAN-OS が User ID を介してユーザーをマッピングできるように、 NetBIOS ドメインを入力します。 CA 証明書 [ 追加 ] をクリックし、[CA 証明書 ] を選択してプロファイルに割り 当てます。 必要に応じて、ファイアウォールで Open Certificate Status Protocol (OCSP) を使用して証明書の失効状態を検証する場合は、以下の フィールドを設定して、デフォルトの動作をオーバーライドしま す。ほとんどのデプロイメントでは、これらのフィールドは適用さ れません。 • デフォルトでは、ファイアウォールが手順「OCSP レスポンダの 追加」で設定した OCSP レスポンダの URL を使用します。その 設定をオーバーライドするには、[ デフォルト OCSP URL] に URL (http:// または https:// で開始 ) を入力します。 • デフォルトでは、ファイアウォールは [CA 証明書 ] フィールド で選択した証明書を使用して、OCSP 応答を検証します。検証に 異なる証明書を使用するには、[OCSP 検証 CA 証明書 ] フィー ルドでその証明書を選択します。 CRL の使用 証明書無効リスト (CRL) を使用して証明書の失効状態を検証する には、チェック ボックスをオンにします。 OCSP の使用 OCSP を使用して証明書の失効状態を検証するには、チェック ボッ クスをオンにします。 注 : OCSP と CRL の両方を選択している場合、ファイアウォール はまず OCSP を試行します。OCSP レスポンダを使用できない場 合に限り、CRL 方式にフォールバックします。 CRL 受信の有効期限 ファイアウォールが CRL サービスからの応答を待機する期間 (1 ~ 60 秒 ) を指定します。 OCSP 受信の有効期限 ファイアウォールが OCSP レスポンダからの応答を待機する期間 (1 ~ 60 秒 ) を指定します。 証明書の有効期限 ファイアウォールが任意の証明書状態サービスからの応答を待機 する期間 (1 ~ 60 秒 ) を指定します。この期間が終了すると、定義 したセッション ブロック ロジックが適用されます。 Palo Alto Networks デバイス管理 • 103 表 51. 証明書プロファイル設定(続き) ページ タイプ 内容 証明書状態が不明な場合に セッションをブロック OCSP または CRL サービスから証明書の失効状態が不明と返され た 場合、ファイアウォールでセッションをブロックするには、 チェックボックスをオンにします。その他の場合は、ファイア ウォールはセッションを続行します。 タイムアウト時間内に証明書 状態を取得できない場合に セッションをブロック ファイアウォールで OCSP または CRL 要求のタイムアウトを登録 した後にセッションをブロックするには、チェックボックスをオン にします。その他の場合は、ファイアウォールはセッションを続行 します。 OCSP レスポンダの追加 [Device] > [ 証明書の管理 ] > [OCSP レスポンダ ] [OCSP レスポンダ ] ページを使用して、証明書の失効状態を検証するための Online Certificate Status Protocol (OCSP) レスポンダ ( サーバー ) を定義します。 OCSP を有効にするには、OCSP レスポンダを追加するだけでなく、以下のタスクを実行す る必要があります。 • ファイアウォールと OCSP サーバー間の通信を有効にする : [Device] > [ セットアップ ] > [ 管理 ] を選択し、[ 管理インターフェイス設定 ] セクションを編集して [HTTP OCSP] サービスを選択し、[OK] をクリックします。 • ファイアウォールで送信 SSL/TLS トラフィックを復号化する場合、必要に応じて宛先 サーバー証明書の失効状態を検証します。[Device] > [ セットアップ ] > [ セッション ] を 選択し、[ 復号化証明書失効の設定 ] をクリックし、OCSP セクションで [ 有効化 ] を選択 し、[ 受信の有効期限 ] ( ファイアウォールが OCSP 応答を待機する期間 ) を入力して [OK] をクリックします。 • 必要に応じて、OCSP レスポンダとしてファイアウォール自体を設定するために、OCSP サー ビスで使用するインターフェイスにインターフェイス管理プロファイルを追加します。 最初に、[Network] > [ ネットワーク プロファイル ] > [ インターフェイス管理 ] を選択 し、[ 追加 ] をクリックして、[HTTP OCSP] を選択し、[OK] をクリックします。次に、 [Network] > [ インターフェイス ] を選択し、ファイアウォールが OCSP サービスに使用す るインターフェイスの名前をクリックし、[ 詳細 ] > [ その他の情報 ] を選択し、設定したイ ンターフェイス管理プロファイルを選択して、[OK]、[ コミット ] の順にクリックします。 104 • デバイス管理 Palo Alto Networks 表 52 OCSP レスポンダ設定 フィールド 内容 名前 レスポンダの識別に使用する名前 ( 最大 31 文字 ) を入力します。 名前では大文字と小文字を区別します。英字、数字、スペース、 ハイフン、およびアンダースコアのみを使用し、一意である必要 があります。 場所 ファイアウォールで複数の仮想システムをサポートしている場 合は、ダイアログに [ 場所 ] ドロップダウンが表示されます。レ スポンダを使用できる仮想システムを選択するか、[ 共有 ] を選択 して、すべての仮想システムで使用できるようにします。 ホスト名 OCSP レスポンダのホスト名 ( 推奨 ) または IP アドレスを入力し ます。PAN-OS はこの値から URL を自動的に導出し、検証する 証明書にその URL を追加します。ファイアウォール自体を OCSP レスポンダとして設定する場合、ホスト名は、ファイアウォール が OCSP サービスに使用するインターフェイスの IP アドレスに 解決される必要があります。 ファイアウォールでの秘密鍵とパスワードの暗号化 [Device] > [ マスター キーおよび診断 ] [Panorama] > [ マスター キーおよび診断 ] [ マスター キーおよび診断 ] ページを使用して、デバイス ( ファイアウォールまたは Panorama アプライアンス ) で秘密鍵を暗号化するためのマスター キーを指定します。マスター キー は、CLI へのアクセスの認証に使用される RSA キーなどの秘密鍵の暗号化に使用され、秘密 鍵は、デバイスにロードされるその他のキーと同様、デバイスの Web インターフェイスへの アクセスの認証に使用されます。マスター キーはその他すべてのキーの暗号化に使用される ため、必ず安全な場所に保存してください。 新しいマスター キーが指定されていない場合でも、秘密鍵はデフォルトで暗号化形式を使用 してデバイスに保存されます。このマスター キー オプションによって、セキュリティのレイ ヤーが追加されます。 デバイスが高可用性 (HA) 設定の場合、秘密鍵と証明書が同じキーで暗号化されるように、両 方のデバイスで必ず同じマスター キーを使用してください。マスター キーが異なると、HA 設定の同期は適切に動作しません。 Palo Alto Networks デバイス管理 • 105 マスター キーを追加するには、[ マスター キー ] セクションで編集ボタンをクリックし、以下 の表を使用して値を入力します。 表 53. [ マスター キーおよび診断 ] の設定項目 フィールド 内容 現在のマスター キー デバイスでのすべての秘密鍵とパスワードの暗号化で現在使用されてい る鍵を指定します。 新規マスター キー マスター キーを変更するには、16 文字の文字列を入力して新しい鍵を確 認します。 マスター鍵の確認 ライフ タイム マスター キーが期限切れになるまでの期間を日数と時間数で指定します ( 範囲は 1 ~ 730 日 )。 有効期限が切れる前にマスター キーを更新する必要があります。マス ター キーの更新の詳細は、「ファイアウォールの HA の有効化」を参照 してください。 リマインダーの時間 有効期限が迫っていることをユーザーに通知する時期を、期限切れまで の日数と時間数で指定します ( 範囲は 1 ~ 365 日 )。 HSM に保管 マスター キーがハードウェア セキュリティ モジュール (HSM) で暗号化 される場合はこのチェック ボックスをオンにします。DHCP クライアン トや PPPoE などのダイナミック インターフェイスで HSM を使用するこ とはできません。 HSM 設定は、高可用性モードのピア デバイス間では同期されません。し たが って、HA ペアの各ピアは異なる HSM ソースに接続できます。 Panorama を使用していて両方のピアの設定の同期を保つには、Panorama テンプレートを使用して管理対象ファイアウォールで HSM ソースを設 定します。 HSM は、PA-200、PA-500、および PA-2000 シリーズではサポートされ ていません。 共通基準 106 • デバイス管理 共通基準モードでは、別のボタンを使用して、暗号化アルゴリズム自己 テストとソフトウェア整合性自己テストを実行できます。また、この 2 つ の自己テストを実行する時刻を指定するためのスケジューラも用意され ています。 Palo Alto Networks ファイアウォールの HA の有効化 [Device] > [ 高可用性 ] 冗長性を持たせるため、ファイアウォールをアクティブ / パッシブまたはアクティブ / アク ティブ高可用性 (HA) 設定でデプロイできます。HA で設定された場合、HA ピアは相互に設 定をミラーリングします。 HA ペアでは、両方のファイアウォールが同じモデルで同じ PAN-OS バージョ ンを実行し、同じライセンス セットを使用している必要があります。 [ 高可用性 ] ページの各セクションのヘッダーで [ 編集 ] をクリックし、対応する情報を以下の 表の説明に従って指定します。 表 54. 高可用性の設定 フィールド 内容 [ 全般 ] タブ セットアップ 以下の設定を指定します。 • HA の有効化 — 機能をアクティベーションします。 • グループ ID — アクティブ / パッシブ ペアの識別に使用する数値 (1 ~ 63) を入力します。同一ネットワークにアクティブ / パッシブ ファイアウォー ルのペアを複数使用できます。レイヤー 2 ネットワークに 2 つ以上の高可 用性ペアが存在する場合、ID は一意である必要があります。 • 内容 — アクティブ / パッシブ ペアの説明を入力します ( 任意 )。 • モード — アクティブ-アクティブまたはアクティブ-パッシブを選択します。 • ピア HA IP アドレス — その他のファイアウォールの [ コントロール リン ク ] セクションに指定されている HA1 インターフェイスの IP アドレスを 入力します。 • バックアップ側 ピア HA IP アドレス — ピアのバックアップ制御リンクの IP アドレスを入力します。 • 設定の同期化の有効化 — ピア間で設定を同期します。 • リンク速度 — アクティブ ファイアウォールとパッシブ ファイアウォール 間のデータ リンクの速度を選択します ( 専用の HA ポートを持つファイア ウォール )。 • リンク デュプレックス — アクティブ ファイアウォールとパッシブ ファイ アウォール間のデータ リンクのデュプレックス オプションを選択します ( 専用の HA ポートを持つファイアウォール )。 Palo Alto Networks デバイス管理 • 107 表 54. 高可用性の設定(続き) フィールド 内容 選択設定 以下の設定を指定または有効化します。 • デバイス優先度 — アクティブ ファイアウォールの識別に使用する優先度の 値を入力します。ペアの両方のファイアウォールでプリエンプティブ機能 が有効になっている場合、値が低い ( 優先順位が高い ) ファイアウォール がアクティブ ファイアウォール ( 範囲 0 ~ 255) になります。 • ハートビート バックアップ — HA デバイスで管理ポートを使用して、ハー トビートおよび hello メッセージのバックアップ パスを提供します。管理 ポートの IP アドレスは、HA ピアと HA1 制御リンク経由で共有されます。 追加の設定は必要ありません。 • プリエンプティブ — 優先順位の高いファイアウォールが障害から回復した 後にアクティブな動作を再開できるようにします。優先度値の高いファイ アウォールが障害から回復したときにアクティブ ファイアウォールとし ての動作を再開できるようにするには、両方のデバイスでプリエンプショ ン オプションを有効にする必要があります。この設定がオフの場合、優先 度の高いファイアウォールが障害から回復した後も、優先度が低いファイ アウォールがアクティブのまま動作します。 • HA タイマー設定 — 以下のいずれかの事前設定プロファイルを選択します。 – 推奨 : 一般的なフェイルオーバー タイマー設定で使用します。 – アグレッシブ : 高速のフェイルオーバー タイマー設定で使用します。 プロファイルに含まれる個々のタイマーの事前設定値を表示するに は、[ 詳細 ] を選択して [ 推奨をロード ] または [ アグレッシブをロー ド ] をクリックします。お使いのハードウェア モデルの事前設定値 が画面に表示されます。 – 詳細 : 以下の各タイマーに対して、ネットワーク要件に合わせて値をカ スタマイズできます。 108 • デバイス管理 › プロモーション ホールド タイム — パッシブ デバイス (アクティ ブ / パッシブ モードの場合 ) またはアクティブなセカンダリ デ バイス ( アクティブ / アクティブ モードの場合 ) が、HA ピアと の通信が失われた後でアクティブ デバイスまたはアクティブな プライマリ デバイスとして引き継ぐまでに待機する時間を入力 します。このホールド タイムは、ピアの障害宣言が行われた後 に開始されます。 › Hello 間隔 — もう一方のファイアウォールの HA プログラムが 動作していることを確認するための hello パケットの送信間隔を ミリ秒単位で入力します。範囲は、すべてのプラットフォームで 8000 ~ 60000 ミリ秒 ( デフォルトは 8000 ミリ秒 ) です。 › ハートビート間隔 — HA ピアが ICMP ping の形式でハートビー ト メッセージを交換する頻度を指定します ( 範囲は 1000 ~ 60000 ミリ秒、デフォルトは 1000 ミリ秒 )。 Palo Alto Networks 表 54. 高可用性の設定(続き) フィールド Palo Alto Networks 内容 › 最大フラップ数 — フラップは、ファイアウォールが前回の非ア クティブ状態発生から 15 分以内に再び非アクティブ状態になる とカウントされます。許容する最大フラップ数を指定できます ( 範囲は 0 ~ 16、デフォルトは 3)。フラップ数がこの最大数に達 するとファイアウォールがサスペンドしたと判断されてパッシ ブ ファイアウォールが引き継ぎます。値 0 を指定すると最大数 は設定されません ( 何回フラップが発生してもパッシブ ファイ アウォールは引き継がない )。 › プリエンプション ホールド タイム — パッシブ デバイスまたは アクティブなセカンダリ デバイスがアクティブなデバイスまた はアクティブなプライマリ デバイスとして引き継ぐまでに待機 する時間を入力します ( 範囲は 1 ~ 60 分、デフォルトは 1 分 )。 › モニター障害時ホールド アップ タイム ( ミリ秒 ) — パス モニター またはリンク モニターに障害が発生した後にファイアウォール がアクティブのままでいる時間を指定します。隣接するデバイス が偶発的にフラッピングすることによる HA のフェイルオー バーを回避するためには、この設定をお勧めします ( 範囲は 0 ~ 60000 ミリ秒、デフォルトは 0 ミリ秒 )。 › 追加のマスター ホールド アップ タイム (分) — この時間間隔は、 Monitor Fail Hold Up Time と同じイベントに適用されます ( 範囲 は 0 ~ 60000 ミリ秒、デフォルトは 500 ミリ秒 )。追加の時間間隔 は、アクティブ / パッシブ モードのアクティブ デバイスとアク ティブ / アクティブ モードのアクティブなプライマリ デバイス にのみ適用されます。両方のデバイスで同じリンク / パス モニ ターの障害が同時に発生した場合にフェイルオーバーを回避す るためには、このタイマをお勧めします。 デバイス管理 • 109 表 54. 高可用性の設定(続き) フィールド 内容 コントロール リンク (HA1)/ Cコントロールリンク (HA1 バックアップ ) HA 制御リンク接続の推奨設定は、2 つのデバイス間で専用の HA1 リンクを 使用し、制御リンク (HA バックアップ ) インターフェイスとして管理ポー トを使用することです。この場合、[ 選択設定 ] ページの [ ハートビート バッ クアップ ] オプションを有効にする必要はありません。制御リンク HA リン クに物理 HA1 ポートを使用し、制御リンク (HA バックアップ ) にデータ ポートを使用している場合は、[ ハートビート バックアップ ] オプションを 有効にすることをお勧めします。 PA-200 など専用の HA ポートがないデバイスの場合は、制御リンク HA 接 続に管理ポートを設定し、制御リンク HA1 バックアップ接続にタイプを HA に設定したデータ ポート インターフェイスを設定する必要があります。この 場合、管理ポートが使用されているため、[ 選択設定 ] ページで [ ハートビー ト バックアップ ] オプションを有効にする必要はありません。ハートビート バックアップは管理インターフェイス接続を使用して行われるためです。 HA 制御リンクにデータ ポートを使用する場合、制御メッセージは データ プレーンから管理プレーンに通信する必要があるため、デー タ プレーンで障害が発生すると、デバイス間で HA 制御リンク情報 を通信することができず、フェイルオーバーが発生します。最善な のは専用の HA ポートを使用することですが、専用の HA ポートが ないデバイスでは管理ポートを使用します。 プライマリおよびバックアップ HA 制御リンクの以下の設定を指定します。 • ポート — プライマリおよびバックアップの HA1 インターフェイスの HA ポートを選択します。バックアップの設定は任意です。 注 : 管理ポートは、制御リンクとしても使用できます。 • IPv4/IPv6 アドレス — プライマリおよびバックアップの HA1 インターフェ イスとなる HA1 インターフェイスの IPv4 または IPv6 アドレスを入力し ます。バックアップの設定は任意です。 • ネットマスク — プライマリおよびバックアップの HA1 インターフェイス の IP アドレスのネットワーク マスク ( たとえば、 「255.255.255.0」) を入力 します。バックアップの設定は任意です。 • ゲートウェイ — プライマリおよびバックアップの HA1 インターフェイス のデフォルト ゲートウェイの IP アドレスを入力します。バックアップの 設定は任意です。 • リンク速度 (専用 HA ポートのモデルのみ) — 専用の HA1 ポートにおける ファイアウォール間の制御リンクの速度を選択します。 • リンク デュプレックス ( 専用 HA ポートのモデルのみ ) — 専用の HA1 ポー トにおけるファイアウォール間の制御リンクのデュプレックス オプショ ンを選択します。 • 暗号化を有効 — HA キーを HA ピアからエクスポートしてこのデバイス にインポートした後で、暗号化を有効にします。このデバイスの HA キーは、 このデバイスからエクスポートして HA ピアにインポートする必要もあり ます。プライマリ HA1 インターフェイスについてこの設定を行います。 キーのインポート / エクスポートは [ 証明書 ] ページで実行します。60 ペー ジの「セキュリティ証明書のインポート、エクスポート、および生成」を 参照してください。 • ホールド タイムのモニター ( ミリ秒 ) — 制御リンク障害によるピア障害を 宣言するまでにファイアウォールが待機する時間 ( ミリ秒 ) を入力します (1000 ~ 60000 ミリ秒、デフォルトは 3000 ミリ秒 )。このオプションは HA1 ポートの物理リンクの状態をモニターします。 110 • デバイス管理 Palo Alto Networks 表 54. 高可用性の設定(続き) フィールド 内容 データ リンク (HA2) プライマリおよびバックアップ データ リンクの以下の設定を指定します。 • ポート — HA ポートを選択します。プライマリおよびバックアップの HA2 インターフェイスについてこの設定を行います。バックアップの設定は任 意です。 • IP アドレス — プライマリおよびバックアップの HA2 インターフェイスと なる HA インターフェイスの IPv4 または IPv6 アドレスを指定します。 バックアップの設定は任意です。 • ネットマスク — プライマリおよびバックアップの HA2 インターフェイス となる HA インターフェイスのネットワーク マスクを指定します。バック アップの設定は任意です。 • ゲートウェイ — プライマリおよびバックアップの HA2 インターフェイス となる HA インターフェイスのデフォルト ゲートウェイを指定します。 バックアップの設定は任意です。HA ペアのファイアウォールの HA2 IP アドレスは同じサブネット上にあり、[ ゲートウェイ ] フィールドは空白の ままにしておく必要があります。 • セッション同期を有効にする — セッション情報をパッシブ ファイアウォー ルと同期できるようにし、転送オプションを選択します。 • 転送 — 以下のいずれかの転送オプションを選択します。 – Ethernet — ファイアウォールが逆並列で接続されているかスイッチを介 して接続されている場合に使用します (Ethertype 0x7261)。 – IP — レイヤー 3 転送が必要な場合に使用します (IP プロトコル番号 99)。 – UDP — IP オプションでの場合と同じように、チェックサムがヘッダー のみではなくパケット全体に基づいて計算されることを利用するため に使用します (UDP ポート 29281)。 • リンク速度 (専用 HA ポートのモデルのみ) — 専用の HA2 ポートにおける アクティブ ファイアウォールとパッシブ ファイアウォール間の制御リン クの速度を選択します。 • リンク デュプレックス ( 専用 HA ポートのモデルのみ ) — 専用の HA2 ポー トにおけるアクティブ ファイアウォールとパッシブ ファイアウォール間 の制御リンクのデュプレックス オプションを選択します。 • HA2 キープアライブ — HA ピア間の HA2 データ リンクのモニタリングを 有効にするには、このチェック ボックスをオンにします。設定されている しきい値に基づいて障害が発生した場合、定義されているアクションが発 生します ( ログまたは分割データパス )。このオプションはデフォルトで無 効になっています。 [HA2 キープアライブ ] オプションは、HA ペアの両方のデバイス、または 一方のデバイスに設定できます。このオプションが一方のデバイスにのみ 設定されている場合、そのデバイスのみからキープアライブ メッセージが 送信されます。ただし、障害が発生すると、他方のデバイスに通知され、 アクションで選択されている場合は、分割データパス モードになります。 Palo Alto Networks デバイス管理 • 111 表 54. 高可用性の設定(続き) フィールド 内容 – アクション — しきい値の設定に基づき、メッセージのモニタリングが失 敗した場合に実行するアクションを選択します。 › ログのみ — しきい値設定に基づいて HA2 障害が発生したときに 「critical」レベルのシステム ログ メッセージを生成する場合に選択 します。HA2 パスが回復する場合は、 「informational」のログが生 成されます。 アクティブ / パッシブ設定では、所定の時間で、1 つのデバイス のみがアクティブであり、データを分割する必要がないため、こ のアクションを使用します。 › データパスの分割 — このアクションは、アクティブ / アクティブ HA 設定用に設計されています。アクティブ / アクティブ設定で は、セッションの同期が管理者、またはモニタリングの失敗に よって無効になっている場合、セッションの所有者とセッショ ンのセットアップは両方ともローカル デバイスに設定され、新 しいセッションはセッションのライフタイム中はローカルで処 理されます。 › しきい値 ( ミリ秒 ) — 上記のいずれかのアクションがトリガーさ れる前にキープアライブ メッセージが失敗した期間です ( 範囲 は 5000 ~ 60000 ミリ秒、デフォルトは 10000 ミリ秒 )。 注 : HA2 バックアップ リンクが設定されていると、物理リンク障害がある 場合は HA2 バックアップ リンクのファイルオーバーが発生します。[HA2 キープアライブ ] オプションが有効にされている場合、定義されたしきい値 に基づいて HA キープアライブ メッセージが失敗すると、ファイルオー バーが発生します。 [ リンクおよびパスのモニタリング ] タブ パス モニタリング 以下を指定します。 • 有効 — パスのモニタリングを有効にします。パスのモニタリングをオンに すると、ファイアウォールは指定した宛先 IP アドレスをモニターするた めに ICMP ping メッセージを送信し、レスポンスがあることを確認しま す。フェイルオーバー用に他のネットワーク デバイスのモニタリングが必 要であったり、リンクのモニタリングのみでは不十分である場合に、バー チャル ワイヤー、レイヤー 2、またはレイヤー 3 設定でパスのモニタリン グを使用します。 • 失敗条件 — モニターしているパス グループの一部またはすべてで応答で きない場合にフェイルオーバーを発生させるかどうかを選択します。 112 • デバイス管理 Palo Alto Networks 表 54. 高可用性の設定(続き) フィールド 内容 パス グループ 特定の宛先アドレスをモニターする 1 つ以上のパス グループを定義します。 パス グループを追加するには、インターフェイス タイプ ([ バーチャル ワイ ヤー ]、[VLAN]、または [ 仮想ルーター ]) に対して [ 追加 ] をクリックして、 以下を指定します。 • 名前 — バーチャル ワイヤー、VLAN、または仮想ルーターをドロップダ ウン リストから選択します(ドロップダウン リストには、バーチャル ワ イヤー、VLAN、または仮想ルーターのどのパスを追加したかに応じて、 データが入力されます)。 • 有効 — パス グループを有効にします。 • 失敗条件 — 指定した宛先アドレスの一部またはすべてが応答できない場合 に、エラーを発生させるかどうかを選択します。 • 送信元 IP — バーチャル ワイヤーおよび VLAN のインターフェイスの場 合、ネクストホップ ルータ ( 宛先 IP アドレス ) に送信されるプローブ パ ケットで使用する送信元 IP アドレスを入力します。ローカル ルータでア ドレスをファイアウォールにルーティングできる必要があります。仮想 ルーターに関連付けられたパス グループの送信元 IP アドレスは、指定さ れた宛先 IP アドレスの出力インターフェイスとしてルート テーブルに示 されているインターネット IP アドレスとして自動的に設定されます。 • 宛先 IP — モニター対象となる 1 つ以上の ( コンマ区切りの ) 宛先アドレス を入力します。 • Ping 間隔 — 宛先アドレスに送信される ping 間の間隔を指定します ( 範囲 は 200 ~ 60000 ミリ秒、デフォルトは 200 ミリ秒 )。 • Ping 数 — 障害を宣言するまでに失敗した Ping 数を指定します ( 範囲は 3 ~ 10 回、デフォルトは 10 回 )。 リンク モニタリング 以下を指定します。 • 有効 — リンクのモニタリングを有効にします。リンクのモニタリングによっ て、物理リンクまたは物理リンクのグループに障害が発生した場合にフェ イルオーバーのトリガーになります。 • 失敗条件 — モニターしているリンク グループの一部またはすべてに障害 が発生した場合にフェイルオーバーが発生するかどうかを選択します。 Link Groups 特定の Ethernet リンクをモニターする 1 つ以上のリンク グループを定義し ます。リンク グループを追加するには、以下を指定して [ 追加 ] をクリック します。 • 名前 — リンク グループ名を入力します。 • 有効 — リンク グループを有効にします。 • 失敗条件 — 選択したリンクの一部またはすべてに障害が発生した場合にエ ラーを発生させるかどうかを選択します。 • インターフェイス — モニターする 1 つ以上の Ethernet インターフェイス を選択します。 Palo Alto Networks デバイス管理 • 113 表 54. 高可用性の設定(続き) フィールド 内容 [ アクティブ パッシブ ] タブ Passive Link State 以下のオプションから選択します。 • 自動 — リンク状態に物理接続を反映しますが、受信したパケットはすべて 廃棄します。このオプションでは、フェイルオーバーが発生するまでイン ターフェイスのリンク状態をアップにしておき、パッシブ デバイスが引き 継ぐまでの時間を短縮させることができます。 このオプションは、レイヤー 2、レイヤー 3、およびバーチャル ワイヤー モードでサポートされています。ネットワークで使用できる場合は [ 自動 ] オプションが適しています。 • シャットダウン — 強制的にインターフェイス リンクをダウン状態にします。 これはデフォルトのオプションです。このオプションでは、ネットワーク にループが起きません。 モニター障害時 ホールド ダウン タイム ファイアウォールがパッシブになる前に Non-functional 状態で待機する時 間 ( 分 ) を指定します。このタイマは、障害の理由がリンクまたはパス モニ ターの障害である場合のみ使用します ( 範囲は 1 ~ 60、デフォルトは 1)。 [ アクティブ / アクティブ設定 ] タブ パケット転送 HA3 リンクを介したパケットの転送を有効にするには、[ 有効化 ] チェック ボックスをオンにします。これは、App-ID および Content-ID についてレイ ヤー 7 の検査が必要な非同期的にルーティングされるセッションで必要です。 HA3 インターフェイス アクティブ / アクティブ モードで構成されている場合に HA ピア間でパ ケットを転送するためのインターフェイスを選択します。 HA3 インターフェイスを使用している場合、ファイアウォールとす べての中継ネットワーク デバイスで Jumbo Frame を有効にする必 要があります。 Jumbo Frame を有効にするには、[Device] > [ セットアップ ] < [ セッ ション ] を選択し、[ セッション設定 ] セクションで [Jumbo Frame を有効にする ] オプションを選択します。 VR 同期 HA デバイスに設定されたすべての仮想ルーターの同期を強制します。 仮想ルーターの同期は、仮想ルーターでダイナミック ルーティング プロト コルを使用していない場合に使用できます。両方のデバイスが交換網を介し て同じネクストホップ ルータに接続されている必要があり、静的ルーティン グのみを使用している必要があります。 QoS 同期 すべての物理インターフェイスの QoS プロファイル選択を同期します。両方 のデバイスのリンク速度が同様で、すべての物理インターフェイスで同じ QoS プロファイルが必要な場合には、このオプションを選択します。この設 定は、[Network] タブの QoS 設定の同期に影響します。QoS ポリシーは、 この設定に関係なく同期されます。 仮の保留時間 ( 秒 ) HA アクティブ / アクティブ状態のファイアウォールで障害が発生すると、 仮の状態になります。このタイマーで、仮の状態が継続する時間を定義しま す。仮の状態中、ファイアウォールは近接ルーティングの確立を試行し、パ ケットを処理する前にそのルート テーブルを取り込みます。このタイマーを 使用しない場合、ファイアウォールの回復時にただちにアクティブ - セカン ダリ状態になり、必要なルートがないためパケットがブラックホール状態に なります ( デフォルトは 60 秒 )。 114 • デバイス管理 Palo Alto Networks 表 54. 高可用性の設定(続き) フィールド 内容 セッション所有者の 選択 以下のいずれかのセッション オーナーのオプションを指定します。 • プライマリ デバイス — アクティブ / プライマリのファイアウォールにすべ てのセッションでレイヤー 7 の検査を担当させる場合には、このオプショ ンを選択します。この設定は、主にトラブルシューティング操作にお勧め します。 • 最初のパケット — セッションの最初のパケットを受け取るファイアウォー ルに App-ID および Content-ID のサポートにおけるレイヤー 7 の検査を 担当させる場合には、このオプションを選択します。これは、リンクを転 送する HA3 パケットの使用率を最小限に抑えるためにはお勧めの構成です。 セッションの セットアップ セッション セットアップの方法を選択します。 • IP モジュロ — 送信元 IP アドレスのパリティに基づいてファイアウォール を選択します。 • プライマリ デバイス — すべてのセッションがプライマリ ファイアウォー ルでセットアップされるようにします。 • IP ハッシュ — よりランダムにする必要がある場合は、送信元 IP アドレス または送信元と宛先の IP アドレス、およびハッシュ シード値を使用して セットアップ ファイアウォールを指定します。 仮想アドレス [ 追加 ] をクリックし、[IPv4] または [IPv6] タブを選択して [ 追加 ] をもう一 度クリックし、HA アクティブ / アクティブ クラスタで使用する HA 仮想ア ドレスのオプションを入力します。仮想アドレスのタイプとして、[ フロー ティング ] または [ARP ロード シェアリング ] のいずれかを選択できます。ま た、クラスタ内で仮想アドレスのタイプを混在させることもできます。たと えば、LAN インターフェイスで ARP ロード シェアリングを使用し、WAN インターフェイスでフローティング IP を使用できます。 • フローティング — リンクまたはデバイス障害が発生したときに、HA デバ イス間で移動する IP アドレスを入力します。インターフェイスでは、各 ファイアウォールで 1 つ所有されるように、2 つのフローティング IP アド レスを設定し、優先順位を設定します。どちらかのファイアウォールが失 敗すると、フローティング IP アドレスが HA ピアに移行されます。 – デバイス 0 優先順位 — どのデバイスがフローティング IP アドレスを所 有するのかを判断するための優先順位を設定します。最も低い値のデ バイスの優先順位が最も高くなります。 – デバイス 1 優先順位 — どのデバイスがフローティング IP アドレスを所 有するのかを判断するための優先順位を設定します。最も低い値のデ バイスの優先順位が最も高くなります。 – リンク状態がダウンの場合アドレスをフェイルオーバー — インターフェ イスでリンク状態がダウンのときに、ファイルオーバー アドレスを使用 します。 • ARP ロード シェアリング — HA ペアで共有され、ホストのゲートウェイ サービスを提供する IP アドレスを入力します。このオプションは、ファイ アウォールとホストが同じブロードキャスト ドメインに存在する場合に のみ使用します。[ デバイス選択アルゴリズム ] を選択します。 – IP モジュロ — このオプションを選択すると、ARP リクエスト元 IP ア ドレスのパリティに基づいて、ARP リクエストに応答するファイア ウォールが選択されます。 – IP ハッシュ — このオプションを選択すると、ARP リクエスト元 IP ア ドレスのハッシュに基づいて、ARP リクエストに応答するファイア ウォールが選択されます。 Palo Alto Networks デバイス管理 • 115 表 54. 高可用性の設定(続き) フィールド 内容 操作コマンド ローカルデバイスを サスペンド [ ローカル デバイス を稼動状態にする ] への切り替え HA ピアをサスペンド状態にし、ファイアウォールの HA 機能を一時的に無 効にします。現在アクティブなファイアウォールをサスペンドすると、他の ピアが引き継ぎます。 サスペンドされたデバイスを稼動状態に戻すには、CLI コマンド request high-availability state functional を使用します。 フェイルオーバーをテストするには、アクティブ ( またはアクティブ - プラ イマリ ) デバイスのケーブルを外すか、このリンクをクリックしてアクティ ブ デバイスをサスペンドします。 HA の設定時に考慮すべき重要な項目 • ローカル IP とピア IP に使用するサブネットは、仮想ルーターの他の場所で使用しない でください。 • 各デバイスの OS とコンテンツのバージョンは同じである必要があります。異なっている と、ペアのデバイスが同期されない可能性があります。 • HA ポートの LED は、アクティブ ファイアウォールが緑、パッシブ ファイアウォールが 黄色になります。 • ローカル ファイアウォールとピア ファイアウォールの設定を比較するには、[Device] タ ブの [ 設定監査 ] ツールを使用し、左の選択ボックスで対象のローカル設定を、右の選択 ボックスでピア設定を選択します。 • Web インターフェイスからファイアウォールを同期するには、[Dashboard] タブの高可 用性ウィジェットにある [ 設定をプッシュ ] ボタンをクリックします。プッシュするデバ イスの設定によって、ピア デバイスの設定が上書きされます。アクティブ デバイスの CLI からファイアウォールを同期するには、コマンド request high-availability sync-to-remote running-config を使用します。 10 ギガビットの SFP+ ポートを使用するデバイスの高可用性 (HA) アクティブ / パッシブ設定 では、ファイルオーバーが発生してアクティブ デバイスがパッシブ状態になると、10 ギガビッ ト Ethernet ポートがダウンしてから再度開かれて更新されますが、デバイスが再度アクティ ブになるまで送信できません。隣接するデバイスでソフトウェアをモニターしている場合、 ポートがダウンしてから再度開かれているため、ポートのフラッピングが発生していると見な されます。これは、1 ギガビット Ethernet ポートなどの他のポートとは異なる動作です。他の ポートでは無効になった場合でも送信は許可されるため、隣接するデバイスでフラッピング は検出されません。 HA ライト PA-200 および VM-Series ファイアウォールは、セッション同期を含まないアクティブ / パッ シブ HA の「ライト」バージョンをサポートしています。HA ライトは、設定の同期と一部 の実行時の項目の同期を提供します。またレイヤー 3 モードが設定されているときに、IPSec トンネルのフェイルオーバー ( セッションは再確立される必要があります )、DHCP サーバー リース情報、DHCP クライアント リース情報、PPPoE リース情報、およびファイアウォール の転送テーブルをサポートします。 116 • デバイス管理 Palo Alto Networks 仮想システムの定義 [Device] > [ 仮想システム ] 仮想システムは、物理ファイアウォール内で個別に管理できる、独立した ( 仮想 ) ファイア ウォール インスタンスです。各仮想システムは、独自のセキュリティ ポリシー、インター フェイス、および管理者による、独立したファイアウォールにすることができます。仮想シ ステムでは、すべてのポリシー ( セキュリティ、NAT、QoS など )、およびファイアウォール で提供されるすべてのレポート機能と可視化機能の管理をセグメント化できます。たとえば、 財務部門に関連付けられているトラフィックのセキュリティ機能をカスタマイズする場合、 財務仮想システムを定義して、その部門のみに適用するセキュリティ ポリシーを定義できま す。ポリシーの管理を最適化するため、個々の仮想システムへのアクセスを許可する仮想シ ステム管理者アカウントを作成し、デバイス全体とネットワーク機能で個別の管理者アカウ ントを使用できます。こうすることで、財務部門の仮想システム管理者が、財務部門のみの セキュリティ ポリシーを管理できます。 スタティック ルーティングとダイナミック ルーティングを含むネットワーク機能は、ファイ アウォール全体 ( およびそのすべての仮想システム ) に適用されます。デバイスおよびネット ワーク レベルの機能は、仮想システムによっては制御されません。各仮想システムで、一連 の物理および論理ファイアウォール インターフェイス (VLAN、バーチャル ワイヤーなど ) と セキュリティ ゾーンを指定できます。各仮想システムでルーティングのセグメント化が必要 な場合、追加仮想ルーターの作成 / 割り当てを行い、必要に応じてインターフェイス、VLAN、 バーチャル ワイヤーを割り当てる必要があります。デフォルトでは、すべてのインターフェ イス、ゾーン、およびポリシーが vsys1 ( デフォルトの仮想システム ) に属しています。 PA-4000 シリーズおよび PA-5000 シリーズのファイアウォールでは、仮想システムがサポー トされています。PA-2000 および PA-3000 シリーズのファイアウォールでは、適切なライセ ンスがインストールされていれば仮想システムをサポートできます。PA-500 および PA-200 ファイアウォールでは、仮想システムがサポートされていません。 マルチ仮想システムを有効にする場合、以下の点に注意してください。 • ポリシーに必要な項目はすべて、仮想システム管理者が作成し、管理します。 • ゾーンは、仮想システム内のオブジェクトです。ポリシーまたはポリシー オブジェクト を定義する前に、[Policies] または [Objects] タブの [Virtual System] ドロップダウン リ ストから仮想システムを選択します。 • リモート ログの宛先 (SNMP、Syslog、および電子メール )、アプリケーション、サービ ス、およびプロファイルは、すべての仮想システムで共有したり、選択した仮想システ ムに制限したりできます。 仮想システムを定義する前に、ファイアウォールでマルチ仮想システム機能を有効にする必 要があります。 マルチ仮想システム機能を有効にするには、[Device] > [ セットアップ ] > [ 管理 ] ページの [ 一般設定 ] セクションで [ 編集 ] リンクをクリックし、[ マルチ仮想システム機能 ] チェック ボックスをオンにします。これにより、[ 仮想システム ] リンクがサイド メニューに追加され ます。 Palo Alto Networks デバイス管理 • 117 これで [ 仮想システム ] タブを開けるようになります。[ 追加 ] をクリックし、以下の情報を指 定します。 表 55. 仮想システム設定 フィールド 内容 ID 仮想システムの識別子を整数で入力します。サポートされる仮想システ ムの数についての詳細は、ファイアウォール モデルのデータ シートを参 照してください。 名前 仮想システムの識別に使用する名前 ( 最大 31 文字 ) を入力します。名前 の大文字と小文字は区別されます。また、一意の名前にする必要があり ます。文字、数字、スペース、ハイフン、およびアンダースコアのみを 使用してください。名前のみが必須です。 [ 全般 ] タブ このインターフェイスに DNS プロキシ ルールを適用する場合は、ドロッ プダウン リストから DNS プロキシ プロファイルを選択します。「DNS プロキシ」を参照してください。 特定の種類のオブジェクトを含めるには、その種類 ( インターフェイス、 VLAN、バーチャル ワイヤー、仮想ルーター、または識別可能な仮想シ ステム ) のチェック ボックスをオンにします。[ 追加 ] をクリックしてド ロップダウン リストから選択します。1 つ以上のオブジェクトの種類を 追加できます。オブジェクトを削除するには、オブジェクトを選択して [ 削除 ] をクリックします。 [ リソース ] タブ 以下の設定を入力します。 • セッション制限 — この仮想システムで利用できるセッションの最大数。 • セキュリティ ルール — この仮想システムで利用できるセキュリティ ルールの最大数。 • NAT ルール — この仮想システムで利用できる NAT ルールの最大数。 • 復号ルール — この仮想システムで利用できる復号化ルールの最大数。 • QoS ルール — この仮想システムで利用できる QoS ルールの最大数。 • アプリケーション オーバーライド ルール — この仮想システムで利用で きるアプリケーション オーバーライド ルールの最大数。 • PBF ルール — この仮想システムで利用できるポリシーベースの転送 (PBF) ルールの最大数。 • CP ルール — この仮想システムで利用できるキャプティブ ポータル (CP) ルールの最大数。 • DoS ルール — この仮想システムで利用できるサービス拒否 (DoS) ルー ルの最大数。 • サイト間 VPN トンネル — この仮想システムで利用できるサイト間 VPN トンネルの最大数。 • 同時 GlobalProtect トンネル モード ユーザー — この仮想システムで利 用できる同時リモート GlobalProtect ユーザーの最大数。 118 • デバイス管理 Palo Alto Networks 共有ゲートウェイの設定 [Device] > [ 共有ゲートウェイ ] 共有ゲートウェイでは、マルチ仮想システムで ( 通常は内部サービス プロバイダなどの共通 アップストリーム ネットワークに接続される ) 外部通信に 1 つのインターフェイスを共有で きます。すべての仮想システムは、1 つの IP アドレスを使用する物理インターフェイスを介 して外部と通信します。すべての仮想システムのトラフィックは、共有ゲートウェイを介し、 1 つの仮想ルーターを使用してルーティングされます。 共有ゲートウェイではレイヤー 3 インターフェイスを使用するため、レイヤー 3 インター フェイスが少なくとも 1 つ共有ゲートウェイとして設定されている必要があります。仮想シ ステムから共有ゲートウェイを介してファイアウォールを通過する通信には、2 つの仮想シ ステム間の通信と同様のポリシーが必要です。[External vsys] ゾーンで仮想システムのセ キュリティ ルールを定義できます。 表 56. 共有ゲートウェイ フィールド 内容 ID ゲートウェイの識別子 ( ファイアウォールでは使用しない )。 名前 共有ゲートウェイの名前 ( 最大 31 文字 ) を入力します。名前の大文字と 小文字は区別されます。また、一意の名前にする必要があります。文字、 数字、スペース、ハイフン、およびアンダースコアのみを使用してくだ さい。名前のみが必須です。 DNS プロキシ ( 任意 ) DNS プロキシが設定されている場合、ドメイン名のクエリに使用 する DNS サーバーを選択します。 インターフェイス 共有ゲートウェイが使用するインターフェイスのチェック ボックスをオ ンにします。 カスタム応答ページの定義 [Device] > [ 応答ページ ] カスタム応答ページは、ユーザーが URL にアクセスしようとするときに表示される Web ページです。リクエストされた Web ページまたはファイルの代わりにダウンロードおよび表 示されるカスタム HTML メッセージを入力できます。 仮想システムごとに固有のカスタム応答ページを使用できます。以下の表に、ユーザーメッ セージをサポートするカスタム応答ページのタイプを示します。 デフォルトの応答ページの例は、付録 A「カスタム ページ」を参照してく ださい。 Palo Alto Networks デバイス管理 • 119 表 57. カスタム応答ページのタイプ ページ タイプ 内容 アンチウイルス ブロック ページ ウイルス感染が原因でアクセスがブロックされたことを示します。 アプリケーション ブロック ページ アプリケーションがセキュリティ ポリシーでブロックされたため にアクセスがブロックされたことを示します。 キャプティブ ポータル確認 ページ ドメインのメンバでないマシンのユーザー名とパスワードをユー ザーが確認するためのページです。 ファイル ブロッキング続行 ページ ダウンロードの続行が必要なことを確認するユーザーのための ページです。このオプションは、続行の機能がセキュリティ プロ ファイルで有効になっている場合に限り利用できます。「ファイル ブロッキング プロファイル」を参照してください。 ファイル ブロッキング ブロック ページ ファイルへのアクセスがブロックされているためアクセスがブ ロックされたことを示します。 GlobalProtect ポータルの ヘルプ ページ GlobalProtect ユーザー用のカスタム ヘルプ ページです ( ポータル からアクセス可能 )。 GlobalProtect ポータルの ログイン ページ GlobalProtect ポータルにアクセスしようとしているユーザー用の ページです。 GlobalProtect ウェルカム ページ GlobalProtect ポータルにログインしようとしているユーザー用の ウェルカム ページです。 SSL 証明書エラー通知ページ SSL 証明書が無効になっていることを示す通知です。 SSL 復号オプトアウト ページ このセッションが調査されることを示すユーザー警告ページです。 URL フィルタリングおよび カテゴリ一致ブロック ページ URL フィルタリング プロファイルが原因で、または URL カテゴリ がセキュリティ ポリシーにブロックされているため、アクセスがブ ロックされたことを示します。 URL フィルタリングの続行と オーバーライド ページ ユーザーがブロックをバイパスできるよう一旦ブロックさせてお くページです。たとえば、ページが不適切にブロックされていると 思われる場合は、[ 続行 ] ボタンをクリックして該当のページに進 めます。 オーバーライド ページで、この URL をブロックするポリシーを オーバーライドするには、ユーザーにパスワードの入力が求めら れます。オーバーライド パスワードの設定手順の詳細は、表 1 の 「URL 管理オーバーライド」のセクションを参照してください。 URL フィルタリング セーフ サーチの適用ブロック ページ [ セーフ サーチを適用 ] オプションが有効になっている URL フィル タリング プロファイルを使用したセキュリティ ポリシーによっ て、アクセスがブロックされたことを示します。 Bing、Google、Yahoo、Yandex、または YouTube を使用して検索 が実行され、ブラウザまたは検索エンジン アカウント設定でセー フ サーチが厳密 ( 高い ) に設定されていない場合、このページが表 示されます。このブロック ページで、セーフ サーチ設定を厳密に 設定するように指示されます。 120 • デバイス管理 Palo Alto Networks 必要に応じて、[ 応答ページ ] の下で以下の機能を実行できます。 • カスタム HTML 応答ページをインポートするには、変更するページ タイプのリンクをク リックし、[ インポート/エクスポート ] をクリックします。ページを参照して指定しま す。インポートが成功したかどうかを示すメッセージが表示されます。インポートを成 功させるには、ファイルは必ず HTML 形式にしてください。 • カスタム HTML 応答ページをエクスポートするには、該当のページ タイプの [ エクスポー ト ] リンクをクリックします。ファイルを開くのか、ディスクに保存するのかを選択しま す。常に同じオプションを使用する場合はチェック ボックスをオンにします。 • アプリケーション ブロック ページや SSL 復号オプトアウト ページを有効または無効に するには、該当のページ タイプの [ 有効化 ] をクリックします。[ 有効化 ] チェック ボッ クスをオンまたはオフにします。 • 以前にアップロードしたカスタム ページの代わりにデフォルトの応答ページを使用する には、カスタム ブロック ページを削除してコミットします。これで、デフォルトのブ ロック ページが新しいアクティブ ページに設定されます。 サポート情報の表示 [Device] > [ サポート ] [Panorama] > [ サポート ] サポート ページでは、サポート関連のオプションにアクセスできます。Palo Alto Networks の連絡先、サポートの有効期限、デバイス ( ファイアウォールまたは Panorama アプライアン ス ) のシリアル番号に基づいた Palo Alto Networks からの製品およびセキュリティ アラート を表示できます。 必要に応じて、このページで以下の機能を実行します。 • サポート — このセクションを使用して、Palo Alto Networks サポートの連絡先の表示、デ バイスのサポート状態の表示、または認証コードを使用した契約のアクティベーション を行います。 • 製品アラート / アプリケーションおよび脅威アラート — これらのアラートは、このページ にアクセスしたとき、またはページを更新したときに Palo Alto Networks 更新サーバー から取得されます。実働アラートま、たはアプリケーションおよび脅威アラートの詳細 を表示するには、そのアラート名をクックします。実働アラートは、大規模なリコール が発生した場合またはそのリリースに関する緊急の問題が発生した場合に通知されま す。アプリケーションおよび脅威アラートは、重大な脅威が検出されたときに通知され ます。 • リンク — このセクションには、ケースを管理できる [ サポート ] ホーム ページへのリン ク、およびサポート ログインを使用したデバイスの登録へのリンクがあります。 Palo Alto Networks デバイス管理 • 121 • テクニカル サポート ファイル — [ テクニカル サポート ファイルの生成 ] リンクを使用し て、デバイスで発生している可能性のある問題のトラブルシューティングにサポート グ ループが使用できるシステム ファイルを生成します。ファイルを生成したら、[ テクニカ ル サポート ファイルのダウンロード ] をクリックしてファイルを取得し、そのファイル を Palo Alto Networks サポート部門に送信します。 • Stats Dump ファイル — [Stats Dump ファイルの生成 ] リンクを使用して、過去 7 日間の ネットワーク トラフィックを要約する一連の XML レポートを生成します。レポートが 生成されたら、[Stats Dump ファイルのダウンロード ] リンクをクリックしてレポートを 取得します。Palo Alto Networks または認定パートナーのシステム エンジニアが、この レポートを使用して AVR レポート (Application Visibility and Risk レポート ) を生成しま す。AVR は、検出されたネットワークとその関連ビジネスやセキュリティ上の潜在的リ スクを明らかにし、通常は評価プロセスの一部として使用されます。AVR レポートの詳 細は、Palo Alto Networks または認定パートナーのシステム エンジニアにお問い合わせ ください。 122 • デバイス管理 Palo Alto Networks 第4章 ネットワーク設定 • バーチャル ワイヤーの定義 • ファイアウォール インターフェイスの設定 • 仮想ルーターの設定 • VLAN サポート • DHCP サーバーと DHCP リレー • DNS プロキシ • インターフェイス管理プロファイルの定義 • モニター プロファイルの定義 • ゾーン プロテクション プロファイルの定義 バーチャル ワイヤーの定義 [Network] > [ バーチャル ワイヤー ] バーチャル ワイヤーを定義するには、ファイアウォールに 2 つのバーチャル ワイヤー イン ターフェイスを指定した後にこのページを使用します。 表 58. バーチャル ワイヤー設定 フィールド 内容 バーチャル ワイヤー名 バーチャル ワイヤー名 ( 最大 31 文字 ) を入力します。この名前は、イン ターフェイスを設定するときにバーチャル ワイヤーのリストに表示され ます。名前の大文字と小文字は区別されます。また、一意の名前にする 必要があります。文字、数字、スペース、ハイフン、およびアンダース コアのみを使用してください。 インターフェイス 表示されたリストから、バーチャル ワイヤー設定用の Ethernet インター フェイスを 2 つ選択します。リストには、バーチャル ワイヤー インター フェイス タイプで、他のバーチャル ワイヤーに割り当てられていないイ ンターフェイスのみが表示されます。 Palo Alto Networks ネットワーク設定 • 123 表 58. バーチャル ワイヤー設定(続き) フィールド 内容 Tags Allowed バーチャル ワイヤーで許可されるトラフィックのタグ番号 (0 ~ 4094) ま たはタグ番号の範囲 ( タグ 1- タグ 2) を入力します。タグ値が 0 の場合、 タグのないトラフィックを示します ( デフォルト )。複数のタグまたはタ グ範囲はコンマで区切ります。除外されたタグ値を持つトラフィックは 廃棄されます。受信パケットまたは送信パケット上でタグ値が変更され ることはありません。 バーチャル ワイヤー サブインターフェイスを使用する場合に [ タグを許 可 ] リストを指定すると、リスト内のタグを持つすべてのトラフィックが 親バーチャル ワイヤーに分類されます。バーチャル ワイヤー サブイン ターフェイスでは、親の [ タグを許可 ] リストに存在しないタグを使用す る必要があります。 マルチキャスト ファイアウォール設定 セキュリティ ルールをマルチキャスト トラフィックに適用できるよう にする場合は、このオプションを選択します。この設定が有効になって いないと、マルチキャスト トラフィックがバーチャル ワイヤー間で転送 されます。 リンク状態パス スルー リンクのダウン状態が検出された場合にバーチャル ワイヤーのもう一方 のポートをダウンさせるには、このチェック ボックスをオンにします。 このチェック ボックスがオフの場合、リンク状態はバーチャル ワイヤー 間で配信されません。 ファイアウォール インターフェイスの設定 [Network] > [ インターフェイス ] ファイアウォールのポートを設定するには、このページを使用します。これらのポートに よって、ファイアウォール内の他のポートと同様、ファイアウォールが他のネットワーク デ バイスに接続できます。ファイアウォール インターフェイスを設定するには、以下のいずれ かのタブを選択します。 • [Ethernet] タブ : [Ethernet] タブで設定されるインターフェイスには、タップ、HA、ログ カード (PA-7050 のファイアウォールのみ )、復号化ミラー (PA-7050、PA-5000 シリーズ、 および PA-3000 シリーズのファイアウォールのみ )、バーチャル ワイヤー、レイヤー 2 ( インターフェイスおよびサブインターフェイス )、レイヤー 3 ( インターフェイスおよび サブインターフェイス )、Ethernet の集約などがあります。 「Ethernet インターフェイス の設定」を参照してください。 • [VLAN] タブ : 「VLAN インターフェイスの設定」を参照してください。 • [ ループバック ] タブ : 「ループバック インターフェイスの設定」を参照してください。 • [ トンネル ] タブ : 「トンネル インターフェイスの設定」を参照してください。 124 • ネットワーク設定 Palo Alto Networks Ethernet インターフェイスの設定 [Network] > [ インターフェイス ] > [Ethernet] すべての Ethernet インターフェイス設定には、基本設定タブと追加設定タブがあります。 Ethernet インターフェイスの基本設定を行うには、[Ethernet] タブのインターフェイス名を クリックして、以下の設定を指定します。 表 59. インターフェイス基本設定 フィールド 内容 インターフェイス名 ドロップダウン リストからインターフェイスを選択します。必要に応じ て名前を変更します。バーチャル ワイヤー インターフェイスについて は、選択した Ethernet インターフェイスに基づいて PAN-OS が値を自動 入力するため、名前を編集できません。 インターフェイス タイプ インターフェイス タイプを選択します。 • • • • • • レイヤー 2 レイヤー 3 タップ バーチャル ワイヤー ログ カード (PA-7050 のファイアウォールのみ ) 復号化ミラー (PA-7050、PA-5000 シリーズ、および PA-3000 シリーズ のファイアウォールのみ ) • Ethernet の集約 Netflow プロファイル ingress インターフェイスを通過する単向性の IP トラフィックを NetFlow サーバーにエクスポートする場合は、サーバー プロファイルを選択する か、[ 新規 ] をクリックして新しいプロファイルを定義します。詳細は、 「Netflow の設定」を参照してください。 注 : このフィールドは、HA、ログ カード、復号化ミラー、Ethernet の 集約のインターフェイス タイプには適用されません。PA-4000 シリーズ のファイアウォールでは、この機能がサポートされていません。 コメント インターフェイスの説明 ( 省略可 ) を入力します。 Ethernet インターフェイスの追加設定タブを設定する方法については、以下を参照してくだ さい。 • レイヤー 2 Ethernet インターフェイスの設定 • レイヤー 3 Ethernet インターフェイスの設定 • レイヤー 2 Ethernet サブインターフェイスの設定 • レイヤー 3 Ethernet サブインターフェイスの設定 • バーチャル ワイヤー インターフェイスの設定 • タップ インターフェイスの設定 • ログ カード インターフェイスの設定 • 復号化ミラー インターフェイスの設定 Palo Alto Networks ネットワーク設定 • 125 • 集約インターフェイス グループの設定 • Ethernet の集約インターフェイスの設定 • HA インターフェイスの設定 レイヤー 2 Ethernet インターフェイスの設定 [Network] > [ インターフェイス ] > [Ethernet] レイヤー 2 Ethernet インターフェイスを設定するには、[ 設定 ] および [ 詳細 ] タブで以下の 設定を指定する必要があります。 表 60. レイヤー 2 Ethernet インターフェイス設定 フィールド 内容 [ 設定 ] タブ VLAN VLAN を選択するか、[ 新規 ] をクリックして新しい VLAN を定義します (「VLAN インターフェイスの設定」を参照 )。[None] を選択すると、サ ブインターフェイスから現在の VLAN 割り当てが削除されます。レイ ヤー 2 インターフェイス間の切り替えを有効にする、または VLAN イン ターフェイス経由のルーティングを有効にするには、VLAN オブジェク トを設定する必要があります。 仮想システム ファイアウォールが複数の仮想システム (vsys) をサポートし、その機能 が有効の場合は、インターフェイスの vsys を選択するか、[ 新規 ] をク リックして新しい vsys を定義します。 セキュリティ ゾーン インターフェイスのセキュリティ ゾーンを選択するか、[ 新規 ] をクリッ クして新しいゾーンを定義します。[None] を選択すると、インターフェ イスから現在のゾーン割り当てが削除されます。 [ 詳細 ] タブ リンク速度 インターフェイス速度を Mbps 単位で選択 ([10]、[100]、[1000] のいずれ か ) するか、[auto] を選択します。 リンク デュプレックス インターフェイスの伝送モードを、フル デュプレックス ([full])、ハーフ デュプレックス ([half])、オート ネゴシエーション ([auto]) から選択します。 リンク状態 インターフェイスの状態を、有効 ([up])、無効 ([down])、自動決定 ([auto]) から選択します。 126 • ネットワーク設定 Palo Alto Networks レイヤー 3 Ethernet インターフェイスの設定 [Network] > [ インターフェイス ] > [Ethernet] レイヤー 3 Ethernet インターフェイスの場合は、以下のタブの設定を指定します。 • 設定 ( 必須 ) • 詳細 ( 必須 ) • IPv4 ( 任意 ) • IPv6 ( 任意 ) レイヤー 3 Ethernet インターフェイスの [ 設定 ] および [ 詳細 ] サブタブ Ethernet インターフェイス基本設定に加えて、[Ethernet] タブでインターフェイス名をク リックし、[ 設定 ] および [ 詳細 ] サブタブで以下の情報を指定します。 表 61. レイヤー 3 インターフェイスの設定 : [ 設定 ] および [ 詳細 ] サブタブ フィールド 内容 [ 設定 ] タブ 仮想ルーター 仮想ルーターを選択するか、[ 新規 ] をクリックして新しい仮想ルーター を定義します (「仮想ルーターの設定」を参照 )。[None] を選択すると、 インターフェイスから現在のルーター割り当てが削除されます。 仮想システム ファイアウォールが複数の仮想システム (vsys) をサポートし、その機能 が有効の場合は、インターフェイスの vsys を選択するか、[ 新規 ] をク リックして新しい vsys を定義します。 セキュリティ ゾーン インターフェイスのセキュリティ ゾーンを選択するか、[ 新規 ] をクリッ クして新しいゾーンを定義します。[None] を選択すると、インターフェ イスから現在のゾーン割り当てが削除されます。 [ 詳細 ] タブ リンク速度 インターフェイス速度を Mbps 単位で選択 ([10]、[100]、[1000] のいずれ か ) するか、[auto] を選択します。 リンク デュプレックス インターフェイスの伝送モードを、フル デュプレックス ([full])、ハーフ デュプレックス ([half])、オート ネゴシエーション ([auto]) から選択し ます。 リンク状態 インターフェイスの状態を、有効 ([up])、無効 ([down])、自動決定 ([auto]) から選択します。 Palo Alto Networks ネットワーク設定 • 127 表 61. レイヤー 3 インターフェイスの設定 : [ 設定 ] および [ 詳細 ] サブタブ(続き) フィールド 内容 その他の情報 • 管理プロファイル — このインターフェイスを介したファイアウォール の管理に使用できるプロトコル (SSH、Telnet、HTTP など ) を定義する プロファイルを選択します。[None] を選択すると、インターフェイス から現在のプロファイル割り当てが削除されます。 • MTU — このインターフェイスで送信されるパケットの最大転送単位 (MTU) をバイト数で入力します (576 ~ 1500、デフォルトは 1500)。 ファイアウォールの両側のマシンが Path MTU Discovery (PMTUD) を 実行し、インターフェイスが MTU を超えるパケットを受信すると、 ファイアウォールが送信元にパケットが大きすぎることを示す ICMP フラグメント要求メッセージを返します。 • TCP MSS の調整 — 最大セグメント サイズ (MSS) がインターフェイス の MTU よりも 40 バイト小さくなるように調整するには、このチェッ ク ボックスをオンにします。この設定は、ネットワークを経由するト ンネルで MSS を小さくする必要のある状況に対応します。オンの場合 は、フラグメント化しないとパケットが MSS 内に収まらないときに調 整が行われます。 • タグのないサブインターフェイス — このレイヤー 3 インターフェイス に属するすべてのサブインターフェイスにタグを付けないように指定 します。PAN-OS が、パケットの宛先に基づいて、タグのないサブイン ターフェイスを ingress インターフェイスとして選択します。宛先がタ グのないサブインターフェイスの IP アドレスの場合は、サブインター フェイスにマッピングされます。これは、反対方向のパケットで、送信 元アドレスをタグのないサブインターフェイスの IP アドレスに変換す る必要があることも示します。この分類メカニズムにより、すべてのマ ルチキャスト パケットとブロードキャスト パケットが、サブインター フェイスではなく基本インターフェイスに割り当てられます。OSPF で はマルチキャスを使用するため、ファイアウォールはタグのないサブイ ンターフェイスで OSPF をサポートしていません。 ARP/Interface Entries 1 つ以上のスタティック ARP (Address Resolution Protocol) エントリを 追加するには、[ 追加 ] をクリックし、IP アドレスと関連付けられたハー ドウェア ( メディア アクセス制御、別称 MAC) のアドレスを入力します。 エントリを削除するには、エントリを選択して [Delete] をクリックしま す。スタティック ARP エントリによって、指定したアドレスの ARP 処 理が減り、中間者攻撃が防止されます。 ND エントリ 検出するネイバーを追加するには、[ 追加 ] をクリックして、ネイバーの IP アドレスと MAC アドレスを入力します。 128 • ネットワーク設定 Palo Alto Networks レイヤー 3 Ethernet インターフェイスの [IPv4] サブタブ IPv4 ネットワークにレイヤー 3 Ethernet インターフェイスを設定するには、[IPv4] サブタブ で以下の設定を指定します。 表 62. レイヤー 3 インターフェイスの設定 : [IPv4] サブタブ フィールド/サブタブ 内容 タイプ IP アドレス情報を定義する方法を選択します。 • スタティック — IP アドレスを手動で指定する必要があります。 • PPPoE — ファイアウォールがインターフェイスを PPPoE (PointtoPoint Protocol over Ethernet) として使用します。 • DHCP クライアント — インターフェイスが DHCP (Dynamic Host Configuration Protocol) クライアントとして機能し、ダイナミックに 割り当てられた IP アドレスを受信できます。 注 : アクティブ / アクティブ高可用性 (HA) モードのファイアウォール は、PPPoE または DHCP クライアントをサポートしません。 タブに表示される他のフィールドは、以下に示すとおり、選択にしたタ イプによって異なります。 スタティック IP ( アドレス テーブル ) [ 追加 ] をクリックし、以下のいずれかの手順を実行して、インターフェ イスの IP アドレスとネットワーク マスクを指定します。 • エントリを CIDR (Classless Inter-Domain Routing) 表記法の ip_address/mask の形式 ( 例 : 192.168.2.0/24 for IPv4 or 2001:db8::/32 for IPv6) で入力し ます。 • タイプが IP ネットマスクの既存のアドレス オブジェクトを選択します。 • [ 新規 ] を選択して、タイプが IP ネットマスクのアドレス オブジェク トを作成します。 インターフェイスに対して複数の IP アドレスを入力できます。IP アド レスの最大数は、システムが使用する転送情報ベース (FIB) によって決 まります。 IP アドレスを削除するには、アドレスを選択して [ 削除 ] をクリックし ます。 PPPoE 全般 ( サブタブ ) • 有効化 — インターフェイスを PPPoE 終端としてアクティベーション するには、このチェック ボックスをオンにします。 • ユーザー名 — ポイントツーポイント接続のユーザー名を入力します。 • パスワード / 再入力パスワード — ユーザー名のパスワードを入力し、 確認します。 • PPPoE クライアント ランタイム情報の表示 — 接続を確立するために ファイアウォールがインターネット サービス プロバイダ (ISP) とネゴ シエートしたパラメータを表示するダイアログを開くには、このリン クをクリックします ( 任意 )。表示される具体的な情報は、ISP ごとに 異なります。 Palo Alto Networks ネットワーク設定 • 129 表 62. レイヤー 3 インターフェイスの設定 : [IPv4] サブタブ(続き) フィールド/サブタブ 内容 詳細 ( サブタブ ) • 認証 — PPPoE 通信用の認証プロトコルを、[CHAP] (Challenge-Handshake Authentication Protocol)、[PAP] (Password Authentication Protocol)、 またはデフォルトの [auto] ( ファイアウォールがプロトコルを決定 ) の いずれかから選択します。[None] を選択すると、インターフェイスか ら現在のプロトコル割り当てが削除されます。 • スタティック アドレス — 以下のいずれかの手順を実行して、インター ネット サービス プロバイダが割り当てた IP アドレスを指定します (デ フォルト値なし )。 – エントリを CIDR (Classless Inter-Domain Routing) 表記法の ip_address/ mask の形式 ( 例 : 192.168.2.0/24 for IPv4 or 2001:db8::/32 for IPv6) で 入力します。 – タイプが IP ネットマスクの既存のアドレス オブジェクトを選択し ます。 – [ 新規 ] を選択して、タイプが IP ネットマスクのアドレス オブジェ クトを作成します。 – [None] を選択すると、インターフェイスから現在のアドレス割り当 てが削除されます。 • ピアを指すデフォルト ルートを自動的に作成 — 接続時に PPPoE ピア を指し示すデフォルト ルートを自動的に作成するには、このチェック ボックスをオンにします。 • デフォルト ルート メトリック — ファイアウォールとインターネット サービス プロバイダ間のルートについて、デフォルト ルートに関連付 け、パス選択に使用するルート メトリック ( 優先度 ) を入力します ( 任 意、範囲は 1 ~ 65535)。数値が小さいほど優先度が高くなります。 • アクセス コンセントレータ — ファイアウォールが接続するインター ネット サービス プロバイダ側のアクセス コンセントレータの名前を 入力します ( 任意、デフォルトなし )。 • サービス — サービス文字列を入力します ( 任意、デフォルトなし )。 • パッシブ — パッシブ モードを使用するには、このチェック ボックス をオンにします。パッシブ モードでは、PPPoE エンド ポイントはアク セス コンセントレータが最初のフレームを送信するまで待機します。 130 • ネットワーク設定 Palo Alto Networks 表 62. レイヤー 3 インターフェイスの設定 : [IPv4] サブタブ(続き) フィールド/サブタブ 内容 DHCP クライアント 有効化 インターフェイスで DHCP クライアントをアクティベーションするに は、このチェック ボックスをオンにします。 サーバー提供の デフォルト ゲートウェイ を指すデフォルト ルート を自動的に作成 DHCP サーバーによって提供されるデフォルト ゲートウェイを指し示 すデフォルト ルートを自動的に作成するには、このチェック ボックスを オンにします。 デフォルト ルート メトリック ファイアウォールと DHCP サーバー間のルートについて、デフォルト ルートに関連付け、パス選択に使用するルート メトリック ( 優先度 ) を 入力します ( 任意、範囲は 1 ~ 65535、デフォルトなし )。数値が小さい ほど優先度が高くなります。 DHCP クライアント ラ ンタイム情報の表示 クリックすると、DHCP のリース状態、ダイナミック IP アドレス割り当 て、サブネット マスク、ゲートウェイ、サーバー設定 (DNS、NTP、ド メイン、WINS、NIS、POP3、および SMTP) など、DHCP サーバーから 受信したすべての設定が表示されます。 レイヤー 3 Ethernet インターフェイスの [IPv6] サブタブ IPv6 ネットワークにレイヤー 3 Ethernet インターフェイスを設定するには、[IPv6] サブタブ で以下の設定を指定します。 表 63. レイヤー 3 インターフェイスの設定 : [IPv6] サブタブ フィールド 内容 インターフェイスでの IPv6 の有効化 このインターフェイスの IPv6 アドレスを有効にするには、このチェック ボックスをオンにします。 インターフェイス ID 64 ビット拡張一意識別子 (EUI-64) を 16 進数形式で入力します ( 例 : 00:26:08:FF:FE:DE:4E:29)。このフィールドを空白のままにすると、ファ イアウォールが、物理インターフェイスの MAC アドレスから生成され た EUI-64 を使用します。アドレスの追加時に [ ホスト部分にインター フェイス ID を使用 ] オプションを選択すると、ファイアウォールがその アドレスのホスト部分にインターフェイス ID を使用します。 Palo Alto Networks ネットワーク設定 • 131 表 63. レイヤー 3 インターフェイスの設定 : [IPv6] サブタブ(続き) フィールド 内容 アドレス [ 追加 ] をクリックして、IPv6 アドレスごとに以下のパラメータを設定し ます。 • アドレス — IPv6 アドレスとプレフィックス長を入力します ( 例 : 2001:400:f00::1/64)。既存の IPv6 アドレス オブジェクトを選択す ることや、[ 新規 ] を選択してアドレス オブジェクトを作成することも できます。 • インターフェイス上のアドレスを有効にする — インターフェイスで IPv6 アドレスを有効するには、このチェック ボックスをオンにします。 • ホスト部分にインターフェイス ID を使用 — IPv6 アドレスのホスト部 分にインターフェイス ID を使用するには、このチェック ボックスを オンにします。 • エニーキャスト — 最も近いノードを経由するルーティングを含めるに は、このチェック ボックスをオンにします。 • ルーター通知を送信 — この IP アドレスのルーター通知を有効にする には、このチェック ボックスをオンにします ( インターフェイスのグ ローバルの [ ルーター通知を有効にする ] オプションも有効にする必要 があります )。RA の詳細は、この表の「ルーター通知セクション」を 参照してください。 残りのフィールドは、RA を有効にした場合にのみ適用されます。 – 有効なライフタイム — ファイアウォールがアドレスを有効とみなす 時間 ( 秒 ) です。有効なライフタイムは、[ 優先ライフタイム ] 以上 でなければなりません。デフォルトは 2592000 です。 – 優先ライフタイム — 有効なアドレスが優先される時間 ( 秒 ) です。こ の時間内は、ファイアウォールがこのアドレスを使用してトラ フィックを送受信できます。優先ライフタイムの期限後は、ファイ アウォールがこのアドレスを使用して新しい接続を確立することは できませんが、既存の接続は有効なライフタイムの期限まで有効で す。デフォルトは 604800 です。 – オンリンク — プレフィックス内にアドレスがあるシステムにルーター なしで到達可能にするには、このチェック ボックスをオンにします。 – 自律型 — 通知されたプレフィックスとインターフェイス ID を組み 合わせて、システムが IP アドレスを独自に作成できるようにするに は、このチェック ボックスをオンにします。 アドレス解決セクション 重複アドレス検出を 有効にする DAD ( 重複アドレス検出 ) を有効にするには、このチェック ボックスを オンにして、このセクションの他のフィールドを設定します。 DAD 試行回数 ネイバー要請間隔 (NS 間隔) 内の DAD の試行回数を指定します (範囲は 1 ~ 10、デフォルトは 1)。この回数を超えるとネイバーに障害があると みなされます。 到達可能時間 クエリと応答が正常に行われた後引き続きネイバーに到達可能な時間 ( 秒 ) を指定します ( 範囲は 1 ~ 36000、デフォルトは 30)。 NS 間隔 ( ネイバー要請間隔 ) DAD の試行秒数を指定します ( 範囲は 1 ~ 10、デフォルトは 1)。この秒 数を超えると障害があるとみなされます。 132 • ネットワーク設定 Palo Alto Networks 表 63. レイヤー 3 インターフェイスの設定 : [IPv6] サブタブ(続き) フィールド 内容 ルーター通知セクション ルーター通知を 有効にする IPv6 インターフェイスでステートレス アドレス自動設定 (SLAAC) を提 供するには、このチェック ボックスをオンにして、このセクションの他 のフィールドを設定します。ルーター通知 (RA) メッセージを受信するク ライアントは、この情報を使用します。 RA により、ファイアウォールが、スタティックに設定されていない IPv6 ホストのデフォルト ゲートウェイとして機能し、ホストにアドレス設定 の IPv6 プレフィックスを提供できます。別の DHCPv6 サーバーをこの機 能と併用すると、DNS および他の設定をクライアントに提供できます。 このオプションはインターフェイスのグローバル設定です。IP アドレス ごとに RA オプションを設定する場合は、IP アドレス テーブルの [ 追加 ] をクリックしてアドレスを設定します ( 詳細は、この表の「アドレス」を 参照 )。IP アドレスに RA オプションを設定する場合は、インターフェ イスの [ ルーター通知を有効にする ] オプションを選択する必要があり ます。 最小間隔 ( 秒 ) ファイアウォールが送信する RA 間の最小間隔 ( 秒 ) を指定します ( 範囲 は 3 ~ 1350、デフォルトは 200)。ファイアウォールは、設定した最小値 と最大値の間のランダムな間隔で RA を送信します。 最大間隔 ( 秒 ) ファイアウォールが送信する RA 間の最大間隔 ( 秒 ) を指定します ( 範囲 は 4 ~ 1800、デフォルトは 600)。ファイアウォールは、設定した最小値 と最大値の間のランダムな間隔で RA を送信します。 ホップ制限 クライアントに適用する、送信パケットのホップ制限を指定します ( 範囲 は 1 ~ 255、デフォルトは 64)。ホップ制限を指定しない場合は 0 を入力 します。 リンク MTU クライアントに適用するリンクの最大転送単位 (MTU) を指定します。リ ンクの MTU を指定しない場合は [unspecified] を選択します ( 範囲は 1280 ~ 9192、デフォルトは [unspecified])。 到達可能時間 ( ミリ秒 ) 到達可能確認メッセージを受信後ネイバーに到達可能であると想定する ためにクライアントが使用する到達可能時間 ( ミリ秒 ) を指定します。 到達可能時間を指定しない場合は [unspecified] を選択します ( 範囲は 0 ~ 3600000、デフォルトは [unspecified])。 リトランスミッション 時間 ( ミリ秒 ) ネイバー要請メッセージを再送信するまでにクライアントが待機する時 間を決定するリトランスミッション タイマーを指定します。リトランス ミッション時間を指定しない場合は [unspecified] を選択します ( 範囲は 0 ~ 4294967295、デフォルトは [unspecified])。 ルーターの有効期間 (秒) クライアントがファイアウォールをデフォルト ゲートウェイとして使 用する時間 ( 秒 ) を指定します ( 範囲は 0 ~ 9000、デフォルトは 1800)。 0 は、ファイアウォールがデフォルト ゲートウェイではないことを示し ます。有効期間が過ぎると、クライアントがそのデフォルト ルーター リ ストからファイアウォール エントリを削除して、別のルーターをデフォ ルト ゲートウェイとして使用します。 ルーター設定 ネットワーク セグメントに複数の IPv6 ルーターがある場合は、クライ アントがこのフィールドを使用して優先ルーターを選択します。セグメ ントの他のルーターとの比較において、RA が通知するファイアウォー ル ルーターの優先度を [High]、[Medium] ( デフォルト )、[Low] の中か ら選択します。 Palo Alto Networks ネットワーク設定 • 133 表 63. レイヤー 3 インターフェイスの設定 : [IPv6] サブタブ(続き) フィールド 内容 管理された設定 アドレスを DHCPv6 経由で使用できることをクライアントに示すには、 このチェック ボックスをオンにします。 その他の設定 他のアドレス情報 (DNS 関連の設定など ) を DHCPv6 経由で使用できる ことをクライアントに示すには、このチェック ボックスをオンにします。 整合性チェック 他のルーターから送信された RA がリンク上で一貫した情報を通知して いることをファイアウォールで確認するには、このチェック ボックスを オンにします。一貫していない場合はファイアウォールがログに記録し ます。 Ethernet サブインターフェイスの設定 [Network] > [ インターフェイス ] > [Ethernet] すべての Ethernet サブインターフェイス設定には、基本設定タブと追加設定タブがあります。 Ethernet インターフェイスの基本設定を指定するには、[Ethernet] タブのインターフェイス のリンクをクリックして、以下の設定を指定します。 表 64. インターフェイス基本設定 フィールド 内容 インターフェイス名 サブインターフェイスを識別する番号 (1 ~ 9999) を入力します。 タグ サブインターフェイスの VLAN タグ (1 ~ 4094) を入力します。 Netflow プロファイル ingress インターフェイスを通過する単向性の IP トラフィックを NetFlow サーバーにエクスポートする場合は、サーバー プロファイルを選択する か、[ 新規 ] をクリックして新しいプロファイルを定義します。詳細は、 「Netflow の設定」を参照してください。 注 : PA-4000 シリーズのファイアウォールでは、この機能がサポートさ れていません。 コメント サブインターフェイスの説明を入力します ( 任意 )。 Ethernet インターフェイスの追加タブを設定する方法については、以下を参照してください。 • レイヤー 2 Ethernet サブインターフェイスの設定 • レイヤー 3 Ethernet サブインターフェイスの設定 レイヤー 2 Ethernet サブインターフェイスの設定 レイヤー 2 インターフェイスとして設定された各 Ethernet ポートについては、ポートで受信 するトラフィックに割り当てられる VLAN タグごとに追加の論理レイヤー 2 インターフェイ ス ( サブインターフェイス ) を定義できます。メインのレイヤー 2 インターフェイスを設定す る方法については、 「レイヤー 2 Ethernet インターフェイスの設定」を参照してください。レ イヤー 2 サブインターフェイス間の切り替えを有効にするには、それらのサブインターフェ イスに同じ VLAN オブジェクトを割り当てます。 レイヤー 2 Ethernet サブインターフェイスを設定するには、基本設定を指定して (「Ethernet サブインターフェイスの設定」を参照 )、以下の情報を指定します。 134 • ネットワーク設定 Palo Alto Networks 表 65. レイヤー 2 サブインターフェイス設定 フィールド 内容 VLAN VLAN を選択するか、[ 新規 ] をクリックして新しい VLAN を定義します (「VLAN インターフェイスの設定」を参照 )。[None] を選択すると、サ ブインターフェイスから現在の VLAN 割り当てが削除されます。レイ ヤー 2 インターフェイス間の切り替えを有効にする、または VLAN イン ターフェイス経由のルーティングを有効にするには、VLAN オブジェク トを設定する必要があります。 セキュリティ ゾーン インターフェイスのセキュリティ ゾーンを選択するか、[ 新規 ] をクリッ クして新しいゾーンを定義します。[None] を選択すると、インターフェ イスから現在のゾーン割り当てが削除されます。 仮想システム ファイアウォールが複数の仮想システム (vsys) をサポートし、その機能 が有効の場合は、インターフェイスの vsys を選択するか、[ 新規 ] をク リックして新しい vsys を定義します。 レイヤー 3 Ethernet サブインターフェイスの設定 [Network] > [ インターフェイス ] > [Ethernet] レイヤー 3 Ethernet サブインターフェイスの場合は、基本設定を指定して (「Ethernet サブイ ンターフェイスの設定」を参照 )、以下のタブで追加情報を指定する必要があります。 • 設定 ( 必須 ) • 詳細 ( 必須 ) • IPv4 ( 任意 ) • IPv6 ( 任意 ) レイヤー 3 Ethernet サブインターフェイスの [ 設定 ] および [ 詳細 ] サブタブ 表 66. レイヤー 3 サブインターフェイスの設定: [設定] および [詳細] サブタブ フィールド 内容 [ 設定 ] タブ 仮想ルーター 仮想ルーターを選択するか、[ 新規 ] をクリックして新しい仮想ルーター を定義します (「仮想ルーターの設定」を参照 )。[None] を選択すると、 サブインターフェイスから現在の仮想ルーター割り当てが削除されます。 仮想システム ファイアウォールが複数の仮想システム (vsys) をサポートし、その機能 が有効の場合は、インターフェイスの vsys を選択するか、[ 新規 ] をク リックして新しい vsys を定義します。 セキュリティ ゾーン サブインターフェイスのセキュリティ ゾーンを選択するか、[ 新規 ] をク リックして新しいゾーンを定義します。[None] を選択すると、サブイン ターフェイスから現在のゾーン割り当てが削除されます。 Palo Alto Networks ネットワーク設定 • 135 表 66. レイヤー 3 サブインターフェイスの設定: [設定] および [詳細] サブタブ(続き) フィールド 内容 [ 詳細 ] サブタブ その他の情報 • 管理プロファイル — このインターフェイスを介したファイアウォール の管理に使用できるプロトコル (SSH、Telnet、HTTP など ) を定義する プロファイルを選択します。[None] を選択すると、インターフェイス から現在のプロファイル割り当てが削除されます。 • MTU — このサブインターフェイスで送信されるパケットの最大転送単 位 (MTU) をバイト数で入力します (576 ~ 1500、デフォルトは 1500)。 ファイアウォールの両側のマシンが Path MTU Discovery (PMTUD) を 実行し、サブインターフェイスが MTU を超えるパケットを受信する と、ファイアウォールが送信元にパケットが大きすぎることを示す ICMP フラグメント要求メッセージを返します。 • TCP MSS の調整 — 最大セグメント サイズ (MSS) がサブインターフェ イスの MTU よりも 40 バイト小さくなるように調整するには、この チェック ボックスをオンにします。この設定は、ネットワークを経由 するトンネルで MSS を小さくする必要のある状況に対応します。オン の場合は、フラグメント化しないとパケットが MSS 内に収まらないと きに調整が行われます。 ARP エントリ 1 つ以上のスタティック ARP (Address Resolution Protocol) エントリを 追加するには、[ 追加 ] をクリックし、IP アドレスと関連付けられたハー ドウェア ( メディア アクセス制御、別称 MAC) のアドレスを入力します。 エントリを削除するには、エントリを選択して [Delete] をクリックしま す。スタティック ARP エントリによって、指定したアドレスの ARP 処 理が減り、中間者攻撃が防止されます。 ND エントリ 検出するネイバーを追加するには、[ 追加 ] をクリックして、ネイバーの IP アドレスと MAC アドレスを入力します。 レイヤー 3 Ethernet サブインターフェイスの [IPv4] サブタブ IPv4 ネットワークにレイヤー 3 Ethernet サブインターフェイスを設定するには、[IPv4] サブ タブで以下の設定を指定する必要があります。 表 67. レイヤー 3 サブインターフェイスの設定 : [IPv4] サブタブ フィールド 内容 タイプ IP アドレス情報を定義する方法を選択します。 • スタティック — IP アドレスを手動で指定する必要があります。 • [DHCP クライアント ] — サブインターフェイスが DHCP (Dynamic Host Configuration Protocol) クライアントとして機能し、ダイナミックに割 り当てられた IP アドレスを受信できます。 注 : アクティブ / アクティブ高可用性 (HA) モードのファイアウォールは、 DHCP クライアントをサポートしません。 タブに表示される他のフィールドは、以下に示すとおり、選択にしたタ イプによって異なります。 136 • ネットワーク設定 Palo Alto Networks 表 67. レイヤー 3 サブインターフェイスの設定 : [IPv4] サブタブ(続き) フィールド 内容 スタティック IP ( アドレス テーブル ) [ 追加 ] をクリックし、以下のいずれかの手順を実行して、サブインター フェイスの IP アドレスとネットワーク マスクを指定します。 • エントリを CIDR (Classless Inter-Domain Routing) 表記法の ip_address/ mask の形式 ( 例 : 192.168.2.0/24 for IPv4 or 2001:db8::/32 for IPv6) で入 力します。 • タイプが IP ネットマスクの既存のアドレス オブジェクトを選択します。 • [ 新規 ] を選択して、タイプが IP ネットマスクのアドレス オブジェク トを作成します。 インターフェイスに対して複数の IP アドレスを入力できます。IP アド レスの最大数は、システムが使用する転送情報ベース (FIB) によって決 まります。 IP アドレスを削除するには、アドレスを選択して [削除] をクリックします。 DHCP クライアント 有効化 サブインターフェイスで DHCP クライアントをアクティベーションす るには、このチェック ボックスをオンにします。 サーバー提供のデフォル ト ゲートウェイを指す デフォルト ルートを自 動的に作成 DHCP サーバーによって提供されるデフォルト ゲートウェイを指し示 すデフォルト ルートを自動的に作成するには、このチェック ボックスを オンにします。 デフォルト ルート メトリック ファイアウォールと DHCP サーバー間のルートについて、デフォルト ルートに関連付け、パス選択に使用するルート メトリック ( 優先度 ) を 入力します ( 任意、範囲は 1 ~ 65535)。数値が小さいほど優先度が高く なります。 DHCP クライアント ランタイム情報の表示 クリックすると、DHCP のリース状態、ダイナミック IP アドレス割り当 て、サブネット マスク、ゲートウェイ、サーバー設定 (DNS、NTP、ド メイン、WINS、NIS、POP3、および SMTP) など、DHCP サーバーから 受信したすべての設定が表示されます。 レイヤー 3 Ethernet サブインターフェイスの [IPv6] サブタブ IPv4 ネットワークにレイヤー 3 Ethernet サブインターフェイスを設定するには、[IPv6] サブ タブで以下の設定を指定する必要があります。 表 68. レイヤー 3 サブインターフェイスの設定 : [IPv6] タブ フィールド 内容 インターフェイスでの IPv6 の有効化 このサブインターフェイスで IPv6 アドレスを有効にするには、この チェック ボックスをオンにします。 インターフェイス ID 64 ビット拡張一意識別子 (EUI-64) を 16 進数形式で入力します ( 例 : 00:26:08:FF:FE:DE:4E:29)。このフィールドを空白のままにすると、ファ イアウォールが、物理インターフェイスの MAC アドレスから生成され た EUI-64 を使用します。アドレスの追加時に [ ホスト部分にインター フェイス ID を使用 ] オプションを選択すると、ファイアウォールがその アドレスのホスト部分にインターフェイス ID を使用します。 Palo Alto Networks ネットワーク設定 • 137 表 68. レイヤー 3 サブインターフェイスの設定 : [IPv6] タブ(続き) フィールド 内容 アドレス [ 追加 ] をクリックして、IPv6 アドレスごとに以下のパラメータを設定し ます。 • アドレス — IPv6 アドレスとプレフィックス長を入力します ( 例 : 2001:400:f00::1/64)。既存の IPv6 アドレス オブジェクトを選択す ることや、[ 新規 ] を選択してアドレス オブジェクトを作成することも できます。 • インターフェイス上のアドレスを有効にする — サブインターフェイス で IPv6 アドレスを有効するには、このチェック ボックスをオンにし ます。 • ホスト部分にインターフェイス ID を使用 — IPv6 アドレスのホスト部 分にインターフェイス ID を使用するには、このチェック ボックスを オンにします。 • エニーキャスト — 最も近いノードを経由するルーティングを含めるに は、このチェック ボックスをオンにします。 • ルーター通知を送信 — この IP アドレスのルーター通知を有効にする には、このチェック ボックスをオンにします ( サブインターフェイス のグローバルの [ ルーター通知を有効にする ] オプションも有効にする 必要があります )。RA の詳細は、この表の「ルーター通知セクション」 を参照してください。 残りのフィールドは、RA を有効にした場合にのみ適用されます。 – 有効なライフタイム — ファイアウォールがアドレスを有効とみなす 時間 ( 秒 ) です。有効なライフタイムは、[ 優先ライフタイム ] 以上 でなければなりません。デフォルトは 2592000 です。 – 優先ライフタイム — 有効なアドレスが優先される時間 ( 秒 ) です。こ の時間内は、ファイアウォールがこのアドレスを使用してトラ フィックを送受信できます。優先ライフタイムの期限後は、ファイ アウォールがこのアドレスを使用して新しい接続を確立することは できませんが、既存の接続は有効なライフタイムの期限まで有効で す。デフォルトは 604800 です。 – オンリンク — プレフィックス内にアドレスがあるシステムにルーター なしで到達可能にするには、このチェック ボックスをオンにします。 – 自律型 — 通知されたプレフィックスとインターフェイス ID を組み 合わせて、システムが IP アドレスを独自に作成できるようにするに は、このチェック ボックスをオンにします。 アドレス解決セクション 重複アドレス検出を 有効にする DAD ( 重複アドレス検出 ) を有効にするには、このチェック ボックスを オンにして、このセクションの他のフィールドを設定します。 DAD 試行回数 ネイバー要請間隔 (NS 間隔) 内の DAD の試行回数を指定します (範囲は 1 ~ 10、デフォルトは 1)。この回数を超えるとネイバーに障害があると みなされます。 到達可能時間 クエリと応答が正常に行われた後引き続きネイバーに到達可能な時間 ( 秒 ) を指定します ( 範囲は 1 ~ 36000、デフォルトは 30)。 NS 間隔 ( ネイバー要請間隔 ) DAD の試行秒数を指定します ( 範囲は 1 ~ 10、デフォルトは 1)。この秒 数を超えると障害があるとみなされます。 138 • ネットワーク設定 Palo Alto Networks 表 68. レイヤー 3 サブインターフェイスの設定 : [IPv6] タブ(続き) フィールド 内容 ルーター通知セクション ルーター通知を 有効にする サブインターフェイスでステートレス アドレス自動設定 (SLAAC) を提 供するには、このチェック ボックスをオンにして、このセクションの他 のフィールドを設定します。ルーター通知 (RA) メッセージを受信する クライアントは、この情報を使用します。 RA により、ファイアウォールが、スタティックに設定されていない IPv6 ホストのデフォルト ゲートウェイとして機能し、ホストにアドレス設定 の IPv6 プレフィックスを提供できます。別の DHCPv6 サーバーをこの 機能と併用すると、DNS および他の設定をクライアントに提供できます。 このオプションはサブインターフェイスのグローバル設定です。IP アド レスごとに RA オプションを設定する場合は、IP アドレス テーブルの [ 追加 ] をクリックしてアドレスを設定します ( 詳細は、この表の「アド レス」を参照 )。IP アドレスに RA オプションを設定する場合は、サブイ ンターフェイスの [ルーター通知を有効にする] オプションを選択する必 要があります。 最小間隔 ( 秒 ) ファイアウォールが送信する RA 間の最小間隔 ( 秒 ) を指定します ( 範囲 は 3 ~ 1350、デフォルトは 200)。ファイアウォールは、設定した最小値 と最大値の間のランダムな間隔で RA を送信します。 最大間隔 ( 秒 ) ファイアウォールが送信する RA 間の最大間隔 ( 秒 ) を指定します ( 範囲 は 4 ~ 1800、デフォルトは 600)。ファイアウォールは、設定した最小値 と最大値の間のランダムな間隔で RA を送信します。 ホップ制限 クライアントに適用する、送信パケットのホップ制限を指定します ( 範囲 は 1 ~ 255、デフォルトは 64)。ホップ制限を指定しない場合は 0 を入力 します。 リンク MTU クライアントに適用するリンクの最大転送単位 (MTU) を指定します。リ ンクの MTU を指定しない場合は [unspecified] を選択します ( 範囲は 1280 ~ 9192、デフォルトは [unspecified])。 到達可能時間 ( ミリ秒 ) 到達可能確認メッセージを受信後ネイバーに到達可能であると想定する ためにクライアントが使用する到達可能時間 ( ミリ秒 ) を指定します。到 達可能時間を指定しない場合は [unspecified] を選択します ( 範囲は 0 ~ 3600000、デフォルトは [unspecified])。 リトランスミッション 時間 ( ミリ秒 ) ネイバー要請メッセージを再送信するまでにクライアントが待機する時 間 ( ミリ秒 ) を決定するリトランスミッション タイマーを指定します。リ トランスミッション時間を指定しない場合は [unspecified] を選択しま す ( 範囲は 0 ~ 4294967295、デフォルトは [unspecified])。 ルーターの有効期間 (秒) クライアントがファイアウォールをデフォルト ゲートウェイとして使用 する時間 ( 秒 ) を指定します ( 範囲は 0 ~ 9000、デフォルトは 1800)。 0 は、ファイアウォールがデフォルト ゲートウェイではないことを示し ます。有効期間が過ぎると、クライアントがそのデフォルト ルーター リ ストからファイアウォール エントリを削除して、別のルーターをデフォ ルト ゲートウェイとして使用します。 ルーター設定 ネットワーク セグメントに複数のルーターがある場合は、クライアント がこのフィールドを使用して優先ルーターを選択します。セグメントの 他のルーターとの比較において、RA が通知するファイアウォール ルー ターの優先度を [High]、[Medium] ( デフォルト )、[Low] の中から選択 します。 Palo Alto Networks ネットワーク設定 • 139 表 68. レイヤー 3 サブインターフェイスの設定 : [IPv6] タブ(続き) フィールド 内容 管理された設定 アドレスを DHCPv6 経由で使用できることをクライアントに示すには、 このチェック ボックスをオンにします。 その他の設定 他のアドレス情報 (DNS 関連の設定など ) を DHCPv6 経由で使用できる ことをクライアントに示すには、このチェック ボックスをオンにします。 整合性チェック 他のルーターから送信された RA がリンク上で一貫した情報を通知して いることをファイアウォールで確認するには、このチェック ボックスを オンにします。一貫していない場合はファイアウォールがログに記録し ます。 バーチャル ワイヤー インターフェイスの設定 [Network] > [ インターフェイス ] > [Ethernet] バーチャル ワイヤー インターフェイスは 2 つの Ethernet ポートを結合し、すべてのトラ フィック、または選択した VLAN タグを持つトラフィックのみをポート間で渡すことができ ます ( 他の切り替えまたはルーティング サービスは使用できません )。また、バーチャル ワイ ヤー サブインターフェイスを作成し、IP アドレス、IP 範囲、またはサブネットに基づいてト ラフィックを分類することもできます。バーチャル ワイヤーでは、隣接ネットワーク デバイ スへの変更は必要ありません。 ファイアウォールを介してバーチャル ワイヤーをセットアップするには、以下の手順で説明 するように、最初にバーチャル ワイヤー インターフェイスを定義し、次に作成したインター フェイスを使用してバーチャル ワイヤーを作成します。 1. [Ethernet] タブでバーチャル ワイヤーに使用するインターフェイスを確認し、現在のセ キュリティ ゾーンに含まれていればゾーンから削除します。 2. インターフェイス名をクリックし、以下の情報を指定します。 表 69. バーチャル ワイヤー設定 フィールド 内容 [ 設定 ] タブ バーチャル ワイヤー バーチャル ワイヤーを選択するか、[ 新規 ] をクリックして新しいバー チャル ワイヤーを定義します (「バーチャル ワイヤーの定義」を参照 )。 仮想システム ファイアウォールが複数の仮想システム (vsys) をサポートし、その機能 が有効の場合は、インターフェイスの vsys を選択するか、[ 新規 ] をク リックして新しい vsys を定義します。 セキュリティ ゾーン インターフェイスのセキュリティ ゾーンを選択するか、[ 新規 ] をクリッ クして新しいゾーンを定義します。[None] を選択すると、インターフェ イスから現在のゾーン割り当てが削除されます。 [ 詳細 ] タブ リンク速度 インターフェイス速度を指定します。選択したインターフェイスが 10 Gbps インターフェイスの場合、オプションは [auto] のみになります。 その他の場合、オプションは [10]、[100]、[1000]、[auto] です。 140 • ネットワーク設定 Palo Alto Networks 表 69. バーチャル ワイヤー設定(続き) フィールド 内容 リンク デュプレックス インターフェイスの伝送モードを、フル デュプレックス ([full])、ハーフ デュプレックス ([half])、オート ネゴシエーション ([auto]) から選択します。 リンク状態 インターフェイスの状態を、有効 ([up])、無効 ([down])、自動決定 ([auto]) から選択します。 バーチャル ワイヤー サブインターフェイスの設定 [Network] > [ インターフェイス ] バーチャル ワイヤー サブインターフェイスでは、VLAN タグまたは VLAN タグと IP 分類子 の組み合わせによってトラフィックを分離し、タグの付いたトラフィックを異なるゾーンと 仮想システムに割り当ててから、定義された条件に一致するトラフィックのセキュリティ ポ リシーを適用できます。 バーチャル ワイヤー サブインターフェイスを追加するには、サブインターフェイスを追加す るバーチャル ワイヤー インターフェイスを選択し、[ サブインターフェイスの追加 ] をク リックして以下の情報を指定します。 表 70. バーチャル ワイヤー サブインターフェイス設定 フィールド 内容 インターフェイス名 メイン インターフェイス名は、選択したインターフェイスに基づいて自 動的に入力されます。ラベルを編集することはできません。 サブインターフェイスを定義するには、物理インターフェイス名に付加 して論理インターフェイス名を生成するための数字 (1 ~ 9999) を入力し ます。一般的な名前の形式は以下のとおりです。 ethernetx/y.<1 ~ 9999> バーチャル ワイヤーを設定する方法については、「バーチャル ワイヤー インターフェイスの設定」を参照してください。 タグ このインターフェイスで受信されるトラフィックのタグ番号 (0 ~ 4094) を入力します。 タグ値に 0 を設定すると、タグのないトラフィックが照合されます。 Netflow プロファイル ingress インターフェイスを通過する単向性の IP トラフィックを NetFlow サーバーにエクスポートする場合は、サーバー プロファイルを選択する か、[ 新規 ] をクリックして新しいプロファイルを定義します。詳細は、 「Netflow の設定」を参照してください。 注 : PA-4000 シリーズのファイアウォールでは、この機能がサポートさ れていません。 コメント Palo Alto Networks インターフェイスの説明 ( 省略可 ) を入力します。 ネットワーク設定 • 141 表 70. バーチャル ワイヤー サブインターフェイス設定(続き) フィールド 内容 IP 分類子 [ 追加 ] をクリックして、この物理ポート経由でファイアウォールに入る トラフィックを送信元 IP アドレスに基づいてこのサブインターフェイス に分類するための、IP アドレス、サブネット、IP 範囲、または IP 分類子 の任意の組み合わせを追加します。関連するバーチャル ワイヤーの反対 側を経由してファイアウォールに入るリターン パス トラフィックでは、 宛先 IP アドレスに基づいて照合されます。 バーチャル ワイヤー サブインターフェイスでは、IP 分類は VLAN ベー スの分類と併用する必要があります。 インターフェイスの割り当て先 セキュリティ ゾーン インターフェイスのセキュリティ ゾーンを選択するか、[ 新規 ] をクリッ クして新しいゾーンを定義します。[None] を選択すると、インターフェ イスから現在のゾーン割り当てが削除されます。 仮想システム ファイアウォールが複数の仮想システム (vsys) をサポートし、その機能 が有効の場合は、インターフェイスの vsys を選択するか、[ 新規 ] をク リックして新しい vsys を定義します。 バーチャル ワイヤー バーチャル ワイヤーを選択するか、[ 新規 ] をクリックして新しいバー チャル ワイヤーを定義します (「バーチャル ワイヤーの定義」を参照 )。 タップ インターフェイスの設定 [Network] > [ インターフェイス ] > [Ethernet] タップ インターフェイスは、ポートのトラフィックをモニターするために必要に応じて設定 できます。Ethernet インターフェイス基本設定に加えて、[Ethernet] タブでインターフェイ ス名をクリックし、[ 設定 ] および [ 詳細 ] タブで以下の情報を指定します。 . 表 71. タップ インターフェイス設定 フィールド 内容 [ 設定 ] タブ 仮想システム ファイアウォールが複数の仮想システム (vsys) をサポートし、その機能 が有効の場合は、インターフェイスの vsys を選択するか、[ 新規 ] をク リックして新しい vsys を定義します。 セキュリティ ゾーン インターフェイスのセキュリティ ゾーンを選択するか、[ 新規 ] をクリッ クして新しいゾーンを定義します。[None] を選択すると、インターフェ イスから現在のゾーン割り当てが削除されます。 [ 詳細 ] タブ リンク速度 インターフェイス速度を Mbps 単位で選択 ([10]、[100]、[1000] のいずれ か ) するか、[auto] を選択します。 リンク デュプレックス インターフェイスの伝送モードを、フル デュプレックス ([full])、ハーフ デュプレックス ([half])、オート ネゴシエーション ([auto]) から選択します。 リンク状態 インターフェイスの状態を、有効 ([up])、無効 ([down])、自動決定 ([auto]) から選択します。 142 • ネットワーク設定 Palo Alto Networks ログ カード インターフェイスの設定 [Network] > [ インターフェイス ] > [Ethernet] PA-7050 のファイアウォールでは、1 つのデータ ポートにログ カード タイプのインターフェ イスが必要です。これは、このプラットフォームのトラフィックおよびロギング機能が管理 ポートの機能を超えるためです。ログ カードのデータ ポートは、Syslog、電子メール、 SNMP、WildFire ファイル転送のログ転送を実行します。ログ カード インターフェイスにで きるのは、ファイアウォールのポートの 1 つのみです。ログ転送を有効にしながら、インター フェイスをログ カードとして設定しない場合は、コミット エラーが発生します。 [Ethernet] タブでインターフェイス名をクリックし、基本 Ethernet インターフェイス情報を 設定してから、[ ログ カード転送 ] および [ 詳細 ] タブで以下の情報を設定します。 . 表 72. ログ カード インターフェイス設定 フィールド 内容 ログ カード転送 IPv4 ネットワークで IP v4 を使用する場合は、ポートに関する以下の IPv4 ア ドレス情報を入力します。 • IP アドレス : ポートの IPv4 アドレス。 • ネットマスク : ポートの IPv4 アドレスのネットワーク マスク。 • デフォルト ゲートウェイ : ポートのデフォルト ゲートウェイの IPv4 ア ドレス。 IPv6 ネットワークで IP v6 を使用する場合は、ポートに関する以下の IPv6 ア ドレス情報を入力します。 • IP アドレス : ポートの IPv6 アドレス。 • デフォルト ゲートウェイ : ポートのデフォルト ゲートウェイの IPv6 ア ドレス。 [ 詳細 ] タブ リンク速度 インターフェイス速度を Mbps 単位で選択 ([10]、[100]、[1000] のいずれ か ) するか、[auto] を選択します。 リンク デュプレックス インターフェイスの伝送モードを、フル デュプレックス ([full])、ハーフ デュプレックス ([half])、オート ネゴシエーション ([auto]) から選択し ます。 リンク状態 インターフェイスの状態を、有効 ([up])、無効 ([down])、自動決定 ([auto]) から選択します。 Palo Alto Networks ネットワーク設定 • 143 復号化ミラー インターフェイスの設定 [Network] > [ インターフェイス ] > [Ethernet] 復号化ポート ミラー機能を使用するには、[ 復号化ミラー ] インターフェイス タイプを選択 する必要があります。この機能では、ファイアウォールからの復号化されたトラフィックの コピーを作成して、トラフィック収集ツールに送信できます。このツールは、NetWitness や Solera などの生パケット キャプチャを受信してアーカイブや分析を行うことができます。 フォレンジックや履歴調査の目的で、または DLP ( 情報漏洩対策 ) 機能に包括的なデータ キャプチャを必要とする組織では、この機能が不可欠です。復号化ポート ミラーリングは、 PA-7050、PA-5000 シリーズ、および PA-3000 シリーズのファイアウォールでのみ使用でき ます。この機能を有効にするには、フリー ライセンスを取得してインストールする必要があ ります。 [Ethernet] タブでインターフェイス名をクリックし、基本 Ethernet インターフェイス情報を 設定してから、[ 詳細 ] タブで以下の情報を指定します。 . 表 73. 復号化ミラー インターフェイスの設定 フィールド 内容 リンク速度 インターフェイス速度を Mbps 単位で選択 ([10]、[100]、[1000] のいずれ か ) するか、[auto] を選択します。 リンク デュプレックス インターフェイスの伝送モードを、フル デュプレックス ([full])、ハーフ デュプレックス ([half])、オート ネゴシエーション ([auto]) から選択します。 リンク状態 インターフェイスの状態を、有効 ([up])、無効 ([down])、自動決定 ([auto]) から選択します。 集約インターフェイス グループの設定 [Network] > [ インターフェイス ] 集約インターフェイス グループは、IEEE 802 1AX リンク集約を使用して、複数の Ethernet インターフェイスを組み合わせます。1 Gbps または 10 Gbps の XFP と SFP+ Ethernet を集約 できます。作成した集約インターフェイスは、論理インターフェイスになります。設定割り 当て ( 仮想システム、仮想ルーター、バーチャル ワイヤー、VLAN、セキュリティ ゾーン )、 IP アドレス、管理プロファイル、リンク集約制御プロトコル (LACP) の設定、ARP (Address Resolution Protocol) エントリ、ネイバー検出 (ND) エントリは、論理インターフェイスのプ ロパティで、基礎となる物理インターフェイスのプロパティではありません。そのため、グ ループを作成後に、レイヤー 2 またはレイヤー 3 のパラメータの設定などの操作を、個別の インターフェイス上ではなく、集約グループ上で行います。 集約グループには以下のルールが適用されます。 • グループ内の 1 Gbps リンクはすべて銅線またはすべてファイバにする必要があります。 • グループには最大 8 つのインターフェイスを設定できます。 • 集約グループは、HA、バーチャル ワイヤー、レイヤー 2、またはレイヤー 3 インターフェ イスをサポートします。グループ内のすべてのインターフェイスは同じタイプでなけれ ばなりません。この点は、コミット操作時に PAN-OS によって検証されます。 144 • ネットワーク設定 Palo Alto Networks • 集約グループは、アクティブ / アクティブ高可用性 (HA) のデプロイメントで HA3 ( パ ケット転送 ) リンクの冗長性およびスループットをスケーリングするために使用できま す。HA3 は、PA-500、PA-3000 シリーズ、PA-4000 シリーズ、および PA-5000 シリーズ のファイアウォールでのみサポートされます。 • 集約グループの LACP を有効にする場合は、サポートが HA3、レイヤー 2、およびレイ ヤー 3 インターフェイスに限定されます。バーチャル ワイヤー インターフェイスは LACP を有効にすることができません。LACP が有効なグループのサポートは、PA-500、 PA-3000 シリーズ、PA-4000 シリーズ、PA-5000 シリーズ、および PA-7050 シリーズの ファイアウォールに限定されます。 集約グループを設定するには、「Ethernet の集約インターフェイスの設定」に記載のとおり、 [ 集約グループの追加 ] をクリックして以下の表の情報を指定してから、インターフェイスを グループに割り当てます。 表 74. 集約グループ インターフェイス設定 フィールド 内容 インターフェイス名 集約グループを識別する名前および数値のサフィックスを入力します。 名前は、mm.n のように表示されます。この mm は名前、n はサフィック ス (1 ~ 8) です。 インターフェイス タイプ インターフェイス タイプを選択します。このタイプによって、残りの設 定要件やオプションが制御されます。 • HA — インターフェイスがアクティブ / アクティブ デプロイメントの 2 つのファイアウォール間の HA3 リンクである場合にのみ、このオプ ションを選択します。追加の設定は必要ありません。以下に記載のと おり、LACP を設定します ( 任意 )。 • バーチャル ワイヤー — 追加の設定は不要です。LACP を有効にして いる場合は、このタイプを使用できません。 • レイヤー 2 — [ 設定 ] タブを指定し、以下に記載のとおり [LACP] タブ を設定し ( 任意 )、表 65 に記載のとおり [ 詳細 ] タブを設定します。 • レイヤー 3 — [ 設定 ] タブを指定し、以下に記載のとおり [LACP] タブ を設定して ( 任意 )、表 66、表 67、および表 68 に記載のとおり他のタ ブを設定します。 Netflow プロファイル ingress インターフェイスを通過する単向性の IP トラフィックを NetFlow サーバーにエクスポートする場合は、サーバー プロファイルを選択する か、[ 新規 ] をクリックして新しいプロファイルを定義します。詳細は、 「Netflow の設定」を参照してください。 注 : このフィールドは、HA インターフェイス タイプには適用されません。 PA-4000 シリーズのファイアウォールでは、この機能がサポートされて いません。 コメント Palo Alto Networks インターフェイスの説明 ( 省略可 ) を入力します。 ネットワーク設定 • 145 表 74. 集約グループ インターフェイス設定(続き) フィールド 内容 設定 インターフェイスの 割り当て先 インターフェイス割り当ては、インターフェイス タイプによって異なり ます。 • HA — このタイプには、指定する [ 設定 ] タブのオプションがありま せん。 • バーチャル ワイヤー — 表 70 に記載のとおり、バーチャル ワイヤーお よびセキュリティ ゾーンを指定します。 • レイヤー 2 — 表 65 に記載のとおり、VLAN およびセキュリティ ゾー ンを指定します。 • レイヤー 3 — 表 66 に記載のとおり、仮想ルーターおよびセキュリティ ゾーンを指定します。 仮想システム ファイアウォールが複数の仮想システム (vsys) をサポートし、その機能 が有効の場合は、インターフェイスの vsys を選択するか、[ 新規 ] をク リックして新しい vsys を定義します。 LACP このセクションは、HA (HA3 のみ )、レイヤー 2、およびレイヤー 3 インターフェイスにのみ適用さ れます。 LACP を有効化 集約グループのリンク集約制御プロトコル (LACP) を有効にする場合 は、このチェック ボックスをオンにします。LACP はデフォルトで無効 になっています。 モード ファイアウォールの LACP モードを選択します。2 つの LACP ピア間で は、一方をアクティブ、もう一方をパッシブにすることをお勧めします。 両方ともパッシブの場合は LACP が機能しません。 • アクティブ — ファイアウォールがピア デバイスの LACP の状態 ( 使用 可能または無応答 ) をアクティブにクエリします。 • パッシブ (デフォルト) — ファイアウォールがピア デバイスからの LACP 状態のクエリにパッシブに応答します。 トランスミッション率 ファイアウォールがピア デバイスとクエリおよび応答をやりとりする間 隔を選択します。 • 高速 — 毎秒 • 低速 — 30 秒ごと ( デフォルトの設定 ) 高速フェールオーバー インターフェイスがダウンしたときに、1 秒以内にファイアウォールを 動作中のインターフェイスにフェールオーバーさせるには、このチェッ ク ボックスをオンにします。それ以外の場合は、標準の IEEE 802.1AX 定義の速度 (3 秒以上 ) でフェールオーバーが生じます。 システム優先度 ファイアウォールまたはそのピアが、ポート優先度に応じてもう一方を オーバーライドするかどうかを判断する数字 ( 以下の [ 最大ポート ] フィールドの説明を参照 )。番号が小さいほど優先度が高くなります。 範囲は 1 ~ 65535、デフォルトは 32768 です。 146 • ネットワーク設定 Palo Alto Networks 表 74. 集約グループ インターフェイス設定(続き) フィールド 内容 最大ポート 任意の時点で LACP 集約グループでアクティブにできるインターフェイ スの数 (1 ~ 8)。この値を、グループに割り当てるインターフェイスの数 より大きくすることはできません。割り当てられたインターフェイスの 数がアクティブなインターフェイスの数を上回ると、ファイアウォール がインターフェイスのポート優先度に従って、どのインターフェイスが スタンバイ モードかを判断します。ポート優先度は、グループの個々の インターフェイスを設定するときに設定します。 アクティブ / パッシブ HA にシステムと同一の MAC アドレスを使用 高可用性 (HA) ペアのファイアウォールに、システムと同一の優先度の値 が設定されます。ただし、アクティブ / パッシブ デプロイメントでは、 同一の MAC アドレスを割り当てるかどうかにより、それぞれのシステ ム ID が同じこともあれば、異なることもあります。LACP ピア ( この場 合も HA モード) が仮想化されている場合は (ネットワークに 1 つのデバ イスとして表示される )、ファイアウォールにシステムと同一の MAC ア ドレスを使用すると、フェイルオーバー時の遅延が最小限に抑えられま す。LACP ピアが仮想化されていない場合は、ファイアウォールごとに 一意の MAC アドレスすると、フェイルオーバーの遅延が最小限に抑え られます。ファイアウォールがアクティブ / パッシブ HA モードではな い場合は、PAN-OS がこのフィールドを無視します ( アクティブ / パッ シブ デプロイメントのファイアウォールは、PAN-OS が自動的に割り当 てられるように一意の MAC アドレスが必要です )。 LACP は、MAC アドレスを使用して、各 LACP ピアのシステム ID を取 得します。ファイアウォール ペアおよびピア ペアに同一のシステム優先 度の値が設定されている場合は、LACP がシステム ID の値を使用して、 ポート優先度に応じてどちらがもう一方をオーバーライドするかを判断 します。両方のファイアウォールの MAC アドレスが同じ場合は、両者 のシステム ID も同じで、LACP ピアのシステム ID よりも大きいか小さ くなります。HA ファイアウォールに一意の MAC アドレスが設定され ている場合は、一方のシステム ID は LACP ピアよりも大きく、もう一 方は小さいことがあります。後者の場合は、ファイアウォールでフェイ ルオーバーが発生したときに、LACP ピアとアクティブになるファイア ウォール間のポート優先度が切り替わります。 MAC アドレス Palo Alto Networks [ システムと同一の MAC アドレスを使用 ] を有効にした場合は、HA ペ アの両方のファイアウォールに、システム生成の MAC アドレスを選択 するか、独自のアドレスを入力します。アドレスがグローバルに一意で あることを確認します。 ネットワーク設定 • 147 Ethernet の集約インターフェイスの設定 [Network] > [ インターフェイス ] Ethernet の集約インターフェイスを設定するには、最初にインターフェイスを割り当てる集 約グループを追加します (「集約インターフェイス グループの設定」を参照 )。次に、集約グ ループに割り当てるインターフェイスの名前をクリックします。選択するインターフェイス のタイプは、集約グループに対して定義されたタイプと同じでなければなりません。ただし、 設定時にタイプを Ethernet の集約に変更します。インターフェイスの以下の情報を指定し ます。 表 75. Ethernet の集約インターフェイス設定 フィールド 内容 インターフェイス タイプ [Ethernet の集約 ] を選択します。 集約グループ インターフェイスを集約グループに割り当てます。 コメント インターフェイスの説明 ( 省略可 ) を入力します。 [ 詳細 ] タブ 注 : 集約グループの LACP を有効にする場合は、そのグループの各インターフェイスに同じリンク 速度とデュプレックスの値を設定することをお勧めします。値が一致していない場合は、コミット 操作時に警告が表示され、PAN-OS がデフォルトのより高い速度およびフル デュプレックスを設定 します。 リンク速度 インターフェイス速度を Mbps 単位で選択 ([10]、[100]、[1000] のいずれ か ) するか、[auto] を選択します。 リンク デュプレックス インターフェイスの伝送モードを、フル デュプレックス ([full])、ハーフ デュプレックス ([half])、オート ネゴシエーション ([auto]) から選択し ます。 リンク状態 インターフェイスの状態を、有効 ([up])、無効 ([down])、自動決定 ([auto]) から選択します。 LACP ポート優先順位 ファイアウォールがこのフィールドを使用するのは、集約グループのリ ンク集約制御プロトコル (LACP) が有効になっている場合のみです。集 約グループに、サポートする数を超えるアクティブ状態のインターフェ イスがある場合があります ( アクティブなインターフェイスの数は、集約 グループ設定の [ 最大ポート ] パラメータによって決まります )。この場 合は、各インターフェイスに割り当てられたポート優先度に応じてアク ティブかスタンバイかが決まります。番号が小さいほど優先度が高くな ります。範囲は 1 ~ 65535、デフォルトは 32768 です。 148 • ネットワーク設定 Palo Alto Networks HA インターフェイスの設定 [Network] > [ インターフェイス ] HA インターフェイスにはそれぞれ固有の機能があります。一方のインターフェイスは設定 の同期とハートビート機能を持ち、もう一方のインターフェイスは状態の同期機能を持って います。アクティブ / アクティブの高可用性が有効になっている場合、3 つ目の HA インター フェイスを使用してパケットを転送できます。 一部の Palo Alto Networks ファイアウォールには、HA 専用の物理ポートが あります ( 制御リンク用とデータ リンク用 )。専用ポートのないファイア ウォールの場合、HA に使用するデータ ポートを指定する必要があります。 HA の詳細は、「ファイアウォールの HA の有効化」を参照してください。 HA インターフェイスを定義するには、インターフェイス名をクリックし、以下の情報を指 定します。 表 76. HA インターフェイス設定 フィールド 内容 インターフェイス名 ドロップダウン リストからインターフェイスを選択します。必要に応じ て名前を変更します。 インターフェイス タイプ ドロップダウン リストから [HA] を選択します。 コメント インターフェイスの説明 ( 省略可 ) を入力します。 [ 詳細 ] タブ リンク速度 インターフェイス速度を Mbps 単位で選択 ([10]、[100]、[1000] のいずれ か ) するか、[auto] を選択します。 リンク デュプレックス インターフェイスの伝送モードを、フル デュプレックス ([full])、ハーフ デュプレックス ([half])、オート ネゴシエーション ([auto]) から選択し ます。 リンク状態 インターフェイスの状態を、有効 ([up])、無効 ([down])、自動決定 ([auto]) から選択します。 VLAN インターフェイスの設定 [Network] > [ インターフェイス ] > [VLAN] VLAN インターフェイスは、ルーティング情報をレイヤー 3 ネットワーク (IPv4 および IPv6) に提供するように設定できます。1 つ以上のレイヤー 2 Ethernet ポート (「レイヤー 2 Ethernet インターフェイスの設定」) を VLAN インターフェイスに追加できます。すべての VLAN インターフェイスの設定には、基本的な設定タブと追加の設定タブがあります。VLAN イ ンターフェイスを設定するには、[VLAN] タブを選択して [ 追加 ] をクリックします。最初に 基本設定を指定してから、必要に応じて IPv4 および IPv6 設定を指定します。 Palo Alto Networks ネットワーク設定 • 149 表 77. VLAN インターフェイス基本設定 フィールド 内容 インターフェイス名 インターフェイスの数値のサフィックス (1 ~ 4999) を指定します。 Netflow プロファイル ingress インターフェイスを通過する単向性の IP トラフィックを NetFlow サーバーにエクスポートする場合は、サーバー プロファイルを選択する か、[ 新規 ] をクリックして新しいプロファイルを定義します。詳細は、 「Netflow の設定」を参照してください。 注 : PA-4000 シリーズのファイアウォールでは、この機能がサポートさ れていません。 コメント インターフェイスの説明 ( 省略可 ) を追加します。 [ 設定 ] タブ VLAN VLAN を選択するか、[ 新規 ] をクリックして新しい VLAN を定義しま す (「VLAN インターフェイスの設定」を参照 )。[None] を選択すると、 サブインターフェイスから現在の VLAN 割り当てが削除されます。 仮想ルーター 仮想ルーターを選択するか、[ 新規 ] をクリックして新しい仮想ルーター を定義します (「仮想ルーターの設定」を参照 )。[None] を選択すると、 インターフェイスから現在のルーター割り当てが削除されます。 仮想システム ファイアウォールが複数の仮想システム (vsys) をサポートし、その機能 が有効の場合は、インターフェイスの vsys を選択するか、[ 新規 ] をク リックして新しい vsys を定義します。 セキュリティ ゾーン インターフェイスのセキュリティ ゾーンを選択するか、[ 新規 ] をクリッ クして新しいゾーンを定義します。[None] を選択すると、インターフェ イスから現在のゾーン割り当てが削除されます。 [ 詳細 ] タブ その他の情報 以下を指定します。 • 管理プロファイル — このインターフェイスを介したファイアウォール の管理に使用できるプロトコルがある場合、それらのプロトコルを指 定するプロファイルを選択します。 • MTU — このインターフェイスで送信されるパケットの MTU をバイト 数で入力します (512 ~ 1500、デフォルトは 1500)。ファイアウォール の両側のマシンで PMTUD が実行されると、MTU が大きすぎること を示す ICMP フラグメント要求メッセージでこの MTU の値が返され ます。 TCP MSS の調整 — このチェック ボックスをオンにすると、最大セグメ ント サイズ (MSS) がインターフェイス MTU よりも 40 バイト少なくな るように調整されます。この設定は、ネットワークを経由するトンネル に必要な MSS が小さい状況に対応します。この設定では、フラグメント 化しないとパケットが MSS 内に収まらない場合に調整することができ ます。 ARP/Interface Entries 1 つ以上のスタティック ARP エントリを追加するには、[ 追加 ] をク リックして IP アドレス、関連付けられたハードウェア (MAC) アドレス、 およびハードウェア アドレスにアクセスできるレイヤー 3 インターフェ イスを入力します。 ND エントリ [ 追加 ] をクリックし、探索のために追加するネイバーの IP アドレスお よび MAC アドレスを入力します。 150 • ネットワーク設定 Palo Alto Networks VLAN の [IPv4] タブ IPv4 ネットワークにアクセスできるように VLAN を設定する場合は、[IPv4] タブで以下の 設定を指定する必要があります。 表 78. VLAN インターフェイスの IPv4 設定 フィールド 内容 [IPv4] タブ スタティック スタティック IP アドレスを割り当てるには、[ スタティック ] を選択しま す。[ 追加 ] をクリックし、インターフェイスの IP アドレスとネットワー ク マスクを CIDR (Classless Inter-Domain Routing) 表記法の ip_address/ mask の形式 ( 例 : 192.168.2.0/24) で入力します。インターフェイスに対し て複数の IP アドレスを入力できます。IP アドレスの最大数は、システム が使用する転送情報ベース (FIB) によって決まります。 DHCP クライアント インターフェイスに DHCP アドレス割り当てを使用するには、DHCP を 選択し、以下の情報を指定します。 • 有効化 — インターフェイスで DHCP クライアントをアクティベーショ ンするには、このチェック ボックスをオンにします。 • サーバー提供のデフォルト ゲートウェイを指すデフォルト ルートを自 動的に作成 — 接続時に DHCP サーバーを指し示すデフォルト ルート を自動的に作成するには、このチェック ボックスをオンにします。 • デフォルト ルート メトリック — デフォルト ルートに関連付けられて パス選択に使用されるルート メトリックを指定します ( 任意、範囲は 1 ~ 65535)。 DHCP サーバーから受信したすべての設定 (DHCP のリース状態、ダイ ナミック IP 割り当て、サブネット マスク、ゲートウェイ、サーバー設定 (DNS、NTP、ドメイン、WINS、NIS、POP3、および SMTP) など ) を表 示するウィンドウを開くには、[DHCP クライアント ランタイム情報の 表示 ] をクリックします。 ARP エントリ Palo Alto Networks 1 つ以上のスタティック ARP エントリを追加するには、IP アドレスと関 連付けられたハードウェア (MAC) アドレスを入力し、[ 追加 ] をクリック します。スタティック エントリを削除するには、エントリを選択して [ 削 除 ] をクリックします。 ネットワーク設定 • 151 VLAN の [IPv6] タブ IPv6 ネットワークにアクセスできるように VLAN を設定する場合は、[IPv6] タブで以下の 設定を指定する必要があります。 表 79. VLAN インターフェイスの IPv6 設定 フィールド 内容 [IPv6] タブ インターフェイスでの IPv6 の有効化 サブインターフェイスの IPv6 アドレスを有効にするには、このチェック ボックスをオンにします。 インターフェイス ID 64 ビ ッ ト拡張一意識別子を 16 進数形式で入力します ( たとえば、 00:26:08:FF:FE:DE:4E:29)。インターフェイス ID を空白のままにした場 合、物理インターフェイスの MAC アドレスから生成された EUI-64 が ファイアウォールで使用されます。 アドレス [ 追加 ] をクリックして IPv6 アドレスとプレフィックス長を入力します (2001:400:f00::1/64 など )。インターフェイス ID をアドレスのホスト部分 に使用するインターフェイスに IPv6 アドレスを割り当てるには、[ ホス ト部分にインターフェイス ID を使用 ] を選択します。最も近いノードを 経由するルーティングを含めるには [ エニーキャスト ] を選択します。 [ プレフィックス ] が選択されていない場合、インターフェイスに割り当 てる IPv6 アドレスをアドレス テキスト ボックスですべて指定します。 この IP アドレスのルーター通知を有効にするには、[ ルーター通知を送信 ] オプションを使用します。また、送信する [ 自律型 ] フラグを設定し、[ オ ンリンク ] オプションを設定することもできます。特定の IP アドレスに対 して [ ルーター通知を送信 ] オプションを有効にする前に、グローバルの [ ルーター通知を有効にする ] オプションを有効にする必要があります。 アドレス解決 (Duplicate Address Detection) DAD (Duplicate Address Detection) を有効にするには、このチェック ボックスをオンにし、以下の情報を指定します。 • DAD 試行回数 — DAD の近隣要請期間内の試行回数を指定します ( 範 囲は 1 ~ 10)。この回数を超えるとネイバーに障害があると見なされ ます。 • 到達可能時間 ( 秒 ) — クエリと応答が正常に行われてからネイバーに到 達可能なままである時間を指定します ( 範囲は 1 ~ 36000 秒 )。 NS 間隔 ( 秒 ) — DAD の試行秒数を指定します ( 範囲は 1 ~ 10 秒 )。この 秒数を超えると、障害があると見なされます。 152 • ネットワーク設定 Palo Alto Networks 表 79. VLAN インターフェイスの IPv6 設定(続き) フィールド 内容 ルーター通知を 有効にする ルーター通知 (RA) を有効にして IPv6 インターフェイスで SLAAC (Stateless Address Autoconfiguration) を提供するには、このチェック ボックスを オンにします。これにより、静的に設定されていない IPv6 ホストに対し てファイアウォールがデフォルト ゲートウェイとして動作でき、アドレ ス設定に使用できる IPv6 プレフィックスがホストに提供されます。 DHCPv6 サーバーをこの機能と併用すると、DNS および他の設定をクラ イアントに提供できます。 このオプションはインターフェイスのグローバル設定であり、[ 追加 ] を クリックして IP アドレスを入力することで、IP アドレスごとにルーター 通知オプションを設定することもできます。アドレスごとに [ ルーター 通知を送信 ] オプションを指定する場合は、このオプションを有効にする 必要があります。 RA メッセージを受信するクライアントが使用する以下の情報を指定し ます。 • 最小間隔 ( 秒 ) — ファイアウォールからルーター通知を送信する秒あた りの最小間隔を指定します。ルーター通知は、設定された最小値と最大 値の間のランダムな間隔で送信されます ( 範囲は 3 ~ 1350 秒、デフォ ルトは 200 秒 )。 • 最大間隔 ( 秒 ) — ファイアウォールからルーター通知を送信する秒あた りの最大間隔を指定します。ルーター通知は、設定された最小値と最 大値の間のランダムな間隔で送信されます ( 範囲は 4 ~ 1800 秒、デ フォルトは 600 秒 )。 • ホップ制限 — 送信パケットに対してクライアントに適用するホップ制 限を指定します。ホップ制限を指定しない場合は 0 を入力します ( 範囲 は 1 ~ 255、デフォルトは 64)。 • リンク MTU — クライアントに適用するリンク MTU を指定します。リ ンク MTU を指定しない場合は [unspecified] を選択します ( 範囲は 1280 ~ 9192、デフォルトは [unspecified])。 • 到達可能時間 ( ミリ秒 ) — 到達可能確認メッセージの受信後にネイバー が到達可能であることを想定するためにクライアントが使用する到達 可 能 時 間 を 指 定 し ま す。到 達 可 能 時 間 を 指 定 し な い 場 合 は [unspecified] を選択します ( 範囲は 0 ~ 3600000 ミリ秒、デフォルトは [unspecified])。 • リトランスミッション時間 ( ミリ秒 ) — ネイバー要請メッセージを再送 信する前の待機時間を決定するためにクライアントが使用する再送信 タイマーを指定します。リトランスミッション時間を指定しない場合は [unspecified] を選択します ( 範囲は 0 ~ 4294967295 ミリ秒、デフォル トは [unspecified])。 • ルーターの有効期間 ( 秒 ) — ファイアウォール / ルーターをデフォルト ルーターとして使用する期間をクライアントに示す、ルーターの有効 期間を指定します ( 範囲は 0 ~ 9000 秒、デフォルトは 1800)。 • 管理された設定 — アドレスが DHCPv6 経由で使用できることをクライ アントに示すには、このチェック ボックスをオンにします。 • その他の設定 — 他のアドレス情報 (DNS 関連の設定など ) が DHCPv6 経由で使用できることをクライアントに示すには、このチェック ボッ クスをオンにします。 整合性チェック — 他のルーターから送信されたルーター通知の情報がリ ンク上で一致していることを確認するためにファイアウォールで使用す る整合性チェックを有効にするには、このチェック ボックスをオンにし ます。不一致が検出されると、ログが作成されます。 Palo Alto Networks ネットワーク設定 • 153 ループバック インターフェイスの設定 [Network] > [ インターフェイス ] > [ ループバック ] ネットワーク トポロジで必要となる場合は、1 つ以上のループバック インターフェイス (IPv4 および IPv6) を設定できます。すべてのループバック インターフェイスの設定には、基本的 な設定タブと追加の設定タブがあります。ループバック インターフェイスを設定するには、 [Network] > [ インターフェイス ] > [ ループバック ] を選択して、[ 追加 ] をクリックします。 最初に基本設定を指定してから詳細設定を指定し、IPv4 および IPv6 設定を指定します。 表 80. ループバック インターフェイスの基本設定と詳細設定 フィールド 内容 インターフェイス名 インターフェイスの数値のサフィックス (1 ~ 4999) を指定します。 Netflow プロファイル ingress インターフェイスを通過する単向性の IP トラフィックを NetFlow サーバーにエクスポートする場合は、サーバー プロファイルを選択する か、[ 新規 ] をクリックして新しいプロファイルを定義します。詳細は、 「Netflow の設定」を参照してください。 注 : PA-4000 シリーズのファイアウォールでは、この機能がサポートされ ていません。 コメント インターフェイスの説明 ( 省略可 ) を追加します。 [ 設定 ] タブ 仮想ルーター 仮想ルーターを選択するか、[ 新規 ] をクリックして新しい仮想ルーター を定義します (「仮想ルーターの設定」を参照 )。[None] を選択すると、 インターフェイスから現在のルーター割り当てが削除されます。 仮想システム ファイアウォールが複数の仮想システム (vsys) をサポートし、その機能 が有効の場合は、インターフェイスの vsys を選択するか、[ 新規 ] をク リックして新しい vsys を定義します。 セキュリティ ゾーン インターフェイスのセキュリティ ゾーンを選択するか、[ 新規 ] をクリッ クして新しいゾーンを定義します。[None] を選択すると、インターフェ イスから現在のゾーン割り当てが削除されます。 [ 詳細 ] タブ その他の情報 以下の設定を指定します。 • 管理プロファイル — このインターフェイスを介したファイアウォール の管理に使用できるプロトコルがある場合、それらのプロトコルを指定 するプロファイルを選択します。 • MTU — このインターフェイスで送信されるパケットの最大転送単位 (MTU) をバイト数で入力します (576 ~ 1500、デフォルトは 1500)。ファ イアウォールの両側のマシンで Path MTU Discovery (PMTUD) が実行 されると、MTU が大きすぎることを示す ICMP フラグメント要求メッ セージでこの MTU の値が返されます。 • TCP MSS の調整 — このチェック ボックスをオンにすると、最大セグ メント サイズ (MSS) がインターフェイス MTU よりも 40 バイト少なく なるように調整されます。この設定は、ネットワークを経由するトンネ ルに必要な MSS が小さい状況に対応します。この設定では、フラグメ ント化しないとパケットが MSS 内に収まらない場合に調整することが できます。 154 • ネットワーク設定 Palo Alto Networks ループバック インターフェイスの [IPv4] タブ IPv4 ネットワークにアクセスできるようにループバック インターフェイスを設定する場合 は、[IPv4] タブで以下の設定を指定する必要があります。 表 81. ループバック インターフェイスの IPv4 設定 フィールド 内容 IP アドレス [ 追加 ] をクリックし、インターフェイスの IP アドレスとネットワーク マスクを入力します。 ループバック インターフェイスの [IPv6] タブ IPv6 ネットワークにアクセスできるようにループバック インターフェイスを設定する場合 は、[IPv6] タブで以下の設定を指定する必要があります。 表 82. ループバック インターフェイスの IPv6 設定 フィールド 内容 インターフェイスでの IPv6 の有効化 サブインターフェイスの IPv6 アドレスを有効にするには、このチェック ボックスをオンにします。 インターフェイス ID サブインターフェイスの EUI-64 アドレスを 16 進数で指定します。 アドレス IPv6 アドレスを入力します。インターフェイス ID をアドレスのホスト部 分に使用するインターフェイスに IPv6 アドレスを割り当てるには、[ ホ スト部分にインターフェイス ID を使用 ] を選択します。最も近いノード を経由するルーティングを含めるには [ エニーキャスト ] を選択します。 トンネル インターフェイスの設定 [Network] > [ インターフェイス ] > [ トンネル ] ネットワーク トポロジ (IPv4 および IPv6) でのニーズに応じて、1 つ以上のトンネル イン ターフェイスを設定できます。すべてのトンネル インターフェイス設定には、基本設定タブ と追加設定タブがあります。トンネル インターフェイスを設定するには、[ トンネル ] タブを 選択して [ 追加 ] をクリックします。最初に基本設定を指定してから、必要に応じて IPv4 お よび IPv6 設定を指定します。 表 83. トンネル インターフェイス設定 フィールド 内容 インターフェイス名 インターフェイスの数値のサフィックス (1 ~ 4999) を指定します。 Netflow プロファイル ingress インターフェイスを通過する単向性の IP トラフィックを NetFlow サーバーにエクスポートする場合は、サーバー プロファイルを選択する か、[ 新規 ] をクリックして新しいプロファイルを定義します。詳細は、 「Netflow の設定」を参照してください。 注 : PA-4000 シリーズのファイアウォールでは、この機能がサポートさ れていません。 コメント Palo Alto Networks インターフェイスの説明 ( 省略可 ) を追加します。 ネットワーク設定 • 155 表 83. トンネル インターフェイス設定(続き) フィールド 内容 [ 設定 ] タブ 仮想ルーター 仮想ルーターを選択するか、[ 新規 ] をクリックして新しい仮想ルーター を定義します (「仮想ルーターの設定」を参照 )。[None] を選択すると、 インターフェイスから現在のルーター割り当てが削除されます。 仮想システム ファイアウォールが複数の仮想システム (vsys) をサポートし、その機能 が有効の場合は、インターフェイスの vsys を選択するか、[ 新規 ] をク リックして新しい vsys を定義します。 セキュリティ ゾーン インターフェイスのセキュリティ ゾーンを選択するか、[ 新規 ] をクリッ クして新しいゾーンを定義します。[None] を選択すると、インターフェ イスから現在のゾーン割り当てが削除されます。 [ 詳細 ] タブ その他の情報 以下を指定します。 • 管理プロファイル — このインターフェイスを介したファイアウォール の管理に使用できるプロトコルがある場合、それらのプロトコルを指 定するプロファイルを選択します。 • MTU — このインターフェイスで送信されるパケットの MTU をバイト 数で入力します (512 ~ 1500、デフォルトは 1500)。ファイアウォール の両側のマシンで PMTUD が実行されると、MTU が大きすぎることを 示す ICMP フラグメント要求メッセージでこの MTU の値が返され ます。 IP フラグメントを実行したときのトンネルのオーバーヘッドはファイア ウォールで自動的に計算されます。また、必要に応じて TCP 最大セグメ ント サイズ (MSS) が調整されます。 トンネル インターフェイスの [IPv4] タブ IPv4 ネットワークにアクセスできるようにトンネル インターフェイスを設定する場合は、 [IPv4] タブで以下の設定を指定する必要があります。 表 84. トンネル インターフェイスの IPv4 設定 フィールド 内容 IP アドレス [ 追加 ] をクリックし、インターフェイスの IP アドレスとネットワーク マ スクを入力します。 156 • ネットワーク設定 Palo Alto Networks トンネル インターフェイスの [IPv6] タブ IPv6 ネットワークにアクセスできるようにトンネル インターフェイスを設定する場合は、 [IPv6] タブで以下の設定を指定する必要があります。 表 85. トンネル インターフェイスの IPv6 設定 フィールド 内容 インターフェイスでの IPv6 の有効化 インターフェイスの IPv6 アドレスを有効にするには、このチェック ボッ クスをオンにします。 このオプションを使用すると、IPv6 トラフィックを IPv4 IPSec トンネル 経由でルーティングでき、IPv6 ネットワーク間の機密性が確保されます。 IPv6 トラフィックは、IPv4 でカプセル化された後で ESP でカプセル化 されます。 IPv6 トラフィックをトンネルにルーティングするには、トンネルにスタ ティック ルートを使用するか、ポリシー ベース フォワーディング (PBF) ルールを使用してトラフィックを転送します。トンネルの反対側をモニ ターし、必要に応じてフェイルオーバーすることによって、冗長性が提 供されます。 インターフェイス ID 64 ビット 拡張 一意識 別子 を 16 進数形 式で 入力し ます ( た と え ば、 00:26:08:FF:FE:DE:4E:29)。インターフェイス ID を空白のままにした場合、 物理インターフェイスの MAC アドレスから生成された EUI-64 がファイ アウォールで使用されます。 アドレス [ 追加 ] をクリックして IPv6 アドレスとプレフィックス長を入力します (2001:400:f00::1/64 など )。インターフェイス ID をアドレスのホスト部分 に使用するインターフェイスに IPv6 アドレスを割り当てるには、[ ホス ト部分にインターフェイス ID を使用 ] を選択します。最も近いノードを 経由するルーティングを含めるには [ エニーキャスト ] を選択します。 [ プレフィックス ] が選択されていない場合、インターフェイスに割り当 てる IPv6 アドレスをアドレス テキスト ボックスですべて指定します。 仮想ルーターの設定 [Network] > [ 仮想ルーター ] 仮想ルーターを定義するには、このページを使用します。仮想ルーターを定義すると、レイ ヤー 3 の転送ルールをセットアップして、ダイナミック ルーティング プロトコルを使用でき るようになります。ファイアウォールに定義されたレイヤー 3 インターフェイス、ループバッ ク インターフェイス、および VLAN インターフェイスはそれぞれ、仮想ルーターに関連付け られている必要があります。各インターフェイスは、1 つの仮想ルーターにのみ属することが できます。 仮想ルーターを定義するには、[ 全般 ] タブ、およびネットワーク トポロジで必要となる以下 のタブで設定を割り当てる必要があります。 • [ スタティック ルート ] タブ : 「[ スタティック ルート ] タブの設定」を参照してください。 • [ 再配信プロファイル ] タブ : 「[ 再配信プロファイル ] タブの設定」を参照してください。 • [RIP] タブ : 「[RIP] タブの設定」を参照してください。 • [OSPF] タブ : 「[OSPF] タブの設定」を参照してください。 Palo Alto Networks ネットワーク設定 • 157 • [OSPFv3] タブ : 「[OSPFv3] タブの設定」を参照してください。 • [BGP] タブ : 「[BGP] タブの設定」を参照してください。 • [ マルチキャスト ] タブ : 「[ マルチキャスト ] タブの設定」を参照してください。 [ 全般 ] タブの設定 [Network] > [ 仮想ルーター ] > [ 全般 ] すべての仮想ルーター設定では、以下の表に従ってレイヤー 3 インターフェイスと管理上の 距離のメトリックを割り当てる必要があります。 表 86. 仮想ルーター設定 — [ 全般 ] タブ フィールド 内容 名前 仮想ルータを表す名前を指定します ( 最大 31 文字 )。名前の大文字と小文 字は区別されます。また、一意の名前にする必要があります。文字、数 字、スペース、ハイフン、およびアンダースコアのみを使用してください。 インターフェイス 仮想ルーターに含めるインターフェイスを選択します。選択されたイン ターフェイスはバーチャル ルータに追加され、バーチャル ルータの [Routing] タブで送信インターフェイスとして使用できます。 インターフェイス タイプを指定する方法については、 「ファイアウォール インターフェイスの設定」を参照してください。 インターフェイスを追加すると、その接続済みルートが自動的に追加さ れます。 管理距離 以下の管理距離を指定します。 • スタティック ルート (10 ~ 240、デフォルトは 10) • OSPF 内部 (10 ~ 240、デフォルトは 30) • OSPF 外部 (10 ~ 240、デフォルトは 110) • IBGP (10 ~ 240、デフォルトは 200) • EBGP (10 ~ 240、デフォルトは 20) • RIP (10 ~ 240、デフォルトは 120) [ スタティック ルート ] タブの設定 [Network] > [ 仮想ルーター ] > [ スタティック ルート ] 任意で 1 つ以上のスタティック ルートを入力します。IPv4 または IPv6 アドレスを使用して ルートを指定するには、[IP] または [IPv6] タブをクリックします。通常、ここでデフォルト ルート (0.0.0.0/0) を設定するために必要になります。デフォルト ルートは、他の方法では バーチャル ルータのルーティング テーブルに見つからない宛先に適用されます。 158 • ネットワーク設定 Palo Alto Networks 表 87. 仮想ルーター設定 — [ スタティック ルート ] タブ フィールド 内容 名前 スタティック ルートの識別に使用する名前を入力します ( 最大 31 文字 )。 名前の大文字と小文字は区別されます。また、一意の名前にする必要が あります。文字、数字、スペース、ハイフン、およびアンダースコアの みを使用してください。 宛先 IP アドレスおよびネットワーク マスクを CIDR (Classless Inter-Domain Routing) 表記法の ip_address/mask の形式 (例: IPv4 の場合は 192.168.2.0/ 24、IPv6 の場合は 2001:db8::/32) で入力します。 インターフェイス パケットを宛先に転送するインターフェイスを選択するか、ネクスト ホップ設定を指定するか、その両方を行います。 ネクスト ホップ 以下のネクスト ホップ設定を指定します。 • なし — ルートのネクスト ホップが存在しない場合に指定します。 • IP アドレス — ネクストホップ ルータの IP アドレスを指定します。 • 破棄 — この宛先のトラフィックを廃棄する場合に選択します。 • 次の VR — ファイアウォールのルータをネクストホップとして選択し ます。このオプションでは、1 つのファイアウォール内の仮想ルーター 間で内部的にルーティングできます。 管理距離 スタティック ルートの管理距離を指定します (10 ~ 240、デフォルトは 10)。 メトリック スタティック ルートの有効なメトリックを指定します (1 ~ 65535)。 インストールなし 転送テーブルにルートをインストールしない場合はオンにします。ルー トは後で参照できるように設定に保持されます。 [ 再配信プロファイル ] タブの設定 [Network] > [ 仮想ルーター ] > [ 再配信プロファイル ] 再配信プロファイルでは、フィルタリングするファイアウォールの指示、優先順位の設定、 目的のネットワーク動作に基づいたアクションの実行を行います。ルート再配信を使用する と、スタティック ルートと他のプロトコルで取得されたルートを、指定したルーティング プ ロトコル経由で通知できます。再配信プロファイルを有効にするには、ルーティング プロト コルに適用する必要があります。再配信ルールがないと、各プロトコルば別個に実行され、 それぞれの範囲外では通信しません。再配信プロファイルは、すべてのルーティング プロト コルが設定され、その結果のネットワーク トポロジが確立した後に追加または変更できま す。再配信プロファイルを RIP および OSPF プロトコルに適用するには、エクスポート ルー ルを定義します。[ ルールの再配信 ] タブで再配信プロファイルを BGP に適用します。以下 の表を参照してください。 表 88. 仮想ルーター設定 — [ 再配信プロファイル ] タブ フィールド 内容 名前 [ 追加 ] をクリックして [ 再配信プロファイル ] ページを表示し、プロファ イル名を入力します。 優先順位 このプロファイルの優先度 ( 範囲は 1 ~ 255) を入力します。プロファイ ルは順番に照合されます ( 優先度の昇順 )。 Palo Alto Networks ネットワーク設定 • 159 表 88. 仮想ルーター設定 — [ 再配信プロファイル ] タブ(続き) フィールド 内容 再配信 このウィンドウの設定に基づいてルート再配信を実行するかどうかを選 択します。 • 再配信あり — 一致した候補ルートを再配信するには、オンにします。こ のオプションをオンにした場合、新しいメトリック値を入力します。メ トリック値が小さいほど適切なルートになります。 • 再配信なし — 一致した候補ルートを再配信しない場合、オンにします。 [一般的なフィルタ] タブ タイプ 候補ルートのルート タイプを指定するには、このチェック ボックスをオ ンにします。 インターフェイス 候補ルートの転送インターフェイスを指定するためのインターフェイス を選択します。 宛先 候補ルートの宛先を指定するには、宛先 IP アドレスまたはサブネット ( 形式は x.x.x.x または x.x.x.x/n) を入力して [ 追加 ] をクリックします。 エントリを削除するには、エントリに関連付けられた アイコンをク リックします。 ネクスト ホップ 候補ルートのゲートウェイを指定するには、ネクストホップを示す IP ア ドレスまたはサブネット ( 形式は x.x.x.x または x.x.x.x/n) を入力して [ 追 加 ] をクリックします。エントリを削除するには、エントリに関連付けら れた アイコンをクリックします。 [OSPF フィルタ ] タブ パス タイプ 候補 OSPF ルートのルート タイプを指定するには、このチェック ボック スをオンにします。 エリア 候補 OSPF ルートのエリア識別子を指定します。OSPF エリア ID ( 形式は x.x.x.x) を入力し、[ 追加 ] をクリックします。エントリを削除するには、 エントリに関連付けられた アイコンをクリックします。 タグ OSPF タグ値を指定します。数値でタグ値 (1 ~ 255) を入力し、[ 追加 ] を クリックします。エントリを削除するには、エントリに関連付けられた アイコンをクリックします。 [BGP フィルタ ] タブ コミュニティ BGP ルーティング ポリシーのコミュニティを指定します。 拡張コミュニティ BGP ルーティング ポリシーの拡張コミュニティを指定します。 160 • ネットワーク設定 Palo Alto Networks [RIP] タブの設定 [Network] > [ 仮想ルーター ] > [RIP] RIP ( ルーティング情報プロトコル ) を設定するには、以下の一般設定を指定する必要があり ます。 表 89. 仮想ルーター設定 — [RIP] タブ フィールド 内容 有効化 RIP プロトコルを有効にするには、このチェック ボックスをオンにします。 デフォルト ルートの 拒否 RIP 経由でデフォルト ルートを学習しない場合は、このチェック ボック スをオンにします。このチェック ボックスをオンにすることを強くお勧 めします。 さらに、以下のタブの設定を指定する必要があります。 • [ インターフェイス ] タブ : 「[ インターフェイス ] タブの設定」を参照してください。 • [ タイマー ] タブ : 「[ タイマー ] タブの設定」を参照してください。 • [ 認証プロファイル ] タブ : 「[ 認証プロファイル ] タブの設定」を参照してください。 • [ ルールのエクスポート ] タブ : 「[ ルールのエクスポート ] タブの設定」を参照してくだ さい。 [ インターフェイス ] タブの設定 [Network] > [ 仮想ルーター ] > [RIP] > [ インターフェイス ] 以下の表に、[ インターフェイス ] タブの設定を示します。 表 90. RIP 設定 — [ インターフェイス ] タブ フィールド 内容 インターフェイス インターフェイス RIP プロトコルを実行するインターフェイスを選択します。 有効化 これらの設定を有効にするには、オンにします。 通知 指定したメトリック値でデフォルト ルートを RIP ピアに通知するには、 オンにします。 メトリック ルータ通知のメトリック値を指定します。このフィールドは、[ 通知 ] チェック ボックスがオンになっている場合にのみ表示されます。 認証プロファイル プロファイルを選択します。 モード [normal]、[passive]、または [send-only] を選択します。 Palo Alto Networks ネットワーク設定 • 161 [ タイマー ] タブの設定 [Network] > [ 仮想ルーター ] > [RIP] > [ タイマー ] 以下の表に、[ タイマー ] タブの設定を示します。 表 91. RIP 設定 — [ タイマー ] タブ フィールド 内容 タイマー 間隔 ( 秒 ) タイマ間隔を秒単位で指定します。この時間は、他の [RIP Timing] の フィールドで使用されます (1 ~ 60)。 更新間隔 ルート更新通知間の間隔数を入力します (1 ~ 3600)。 失効の間隔 ルートが最後に更新されてから有効期限が切れるまでの間隔数を入力し ます (1 ~ 3600)。 削除間隔 ルートの有効期限が切れてから削除されるまでの間隔数を入力します (1 ~ 3600)。 [ 認証プロファイル ] タブの設定 [Network] > [ 仮想ルーター ] > [RIP] > [ 認証プロファイル ] 以下の表に、[ 認証プロファイル ] タブの設定を示します。 表 92. RIP 設定 — [ 認証プロファイル ] タブ フィールド 内容 認証プロファイル プロファイル名 RIP メッセージを認証するための認証プロファイル名を入力します。RIP メッセージを認証するには、最初に認証プロファイルを定義し、次に [RIP] タブでそのプロファイルをインターフェイスに適用します。 パスワード タイプ パスワードのタイプを選択します ([ 簡易パスワード ] または [MD5])。 • [ 簡易パスワード] を選択した場合、簡易パスワードを入力して確認します。 • [MD5] を選択した場合は、[Key-ID] (0 ~ 255)、[Key]、および任意の [Preferred] 状態など、1 つ以上のパスワード エントリを入力します。 エントリごとに [ 追加 ] をクリックしてから、[OK] をクリックします。 送信メッセージの認証に使用する鍵を指定するには、[ 優先 ] オプショ ンを選択します。 162 • ネットワーク設定 Palo Alto Networks [ ルールのエクスポート ] タブの設定 [Network] > [ 仮想ルーター ] > [RIP] > [ ルールのエクスポート ] 以下の表に、[ ルールのエクスポート ] タブの設定を示します。 表 93. RIP 設定 — [ ルールのエクスポート ] タブ フィールド 内容 ルールの エクスポート ルールのエクスポート ( 読み取り専用 ) 仮想ルーターから受信側ルータに送信されるルートに適 用するルールが表示されます。 • デフォルト ルートの再配信を許可 — ファイアウォールからピアにデフォ ルト ルートの再配信を許可するには、このチェック ボックスをオンに します。 • 再配信プロファイル — 目的のネットワーク動作に基づいて、ルート再 配信、フィルタ、優先度、アクションを変更できる再配信プロファイルを 選択します。 「[ 再配信プロファイル ] タブの設定」を参照してください。 [OSPF] タブの設定 [Network] > [ 仮想ルーター ] > [OSPF] OSPF (Open Shortest Path First) プロトコルを設定するには、以下の一般設定を指定する必要 があります。 表 94. 仮想ルーター設定 — [OSPF] タブ フィールド 内容 有効化 OSPF プロトコルを有効にするには、このチェック ボックスをオンにし ます。 デフォルト ルートの 拒否 OSPF 経由でデフォルト ルートを学習しない場合は、このチェック ボッ クスをオンにします。特にスタティック ルートの場合は、このチェック ボックスをオンにすることを強くお勧めします。 ルーター ID この仮想ルーターの OSPF インスタンスに関連付けられているルータ ID を指定します。OSPF プロトコルでは、このルータ ID を使用して OSPF インスタンスを一意に識別します。 さらに、以下のタブの設定を指定する必要があります。 • [ エリア ] タブ : 「[ エリア ] タブの設定」を参照してください。 • [ 認証プロファイル ] タブ : 「[ 認証プロファイル ] タブの設定」を参照してください。 • [ ルールのエクスポート ] タブ : 「[ ルールのエクスポート ] タブの設定」を参照してくだ さい。 • [ 詳細 ] タブ : 「[ 詳細 ] タブの設定」を参照してください。 Palo Alto Networks ネットワーク設定 • 163 [ エリア ] タブの設定 [Network] > [ 仮想ルーター ] > [OSPF] > [ エリア ] 以下の表に、[ エリア ] タブの設定を示します。 表 95. OSPF 設定 — [ エリア ] タブ フィールド 内容 エリア エリア ID OSPF パラメータを適用可能なエリアを設定します。 エリアの識別子を x.x.x.x の形式で入力します。この識別子を受け入れた ネイバーのみが同じエリアに属します。 タイプ 以下のいずれかのオプションを選択します。 • 通常 — 制限はありません。エリアではすべてのタイプのルートを使用 できます。 • スタブ — エリアからの出口はありません。エリア外にある宛先に到達 するには、別のエリアに接続されている境界を通過する必要がありま す。このオプションを選択した場合、他のエリアからこのタイプの LSA (Link State Advertisement) を受け入れるには [ サマリーの受け入れ ] を 選択します。さらに、スタブエリアへの通知にデフォルト ルート LSA とそれに関連付けられたメトリック値 (1 ~ 255) を含めるかどうかを指 定します。 スタブエリアのエリア ボーダー ルーター (ABR) インターフェイスの [ サマリーの受け入れ ] オプションが無効になっていると、OSPF エリ アは Totally Stubby Area (TSA) として動作し、ABR はサマリー LSA を 配信しません。 • NSSA (Not-So-Stubby Area) — エリアから直接外部に出ることができ ますが、OSPF ルート以外のルートを使用する必要があります。このオ プションを選択した場合、このタイプの LSA を受け入れるには [ サマ リーの受け入れ ] を選択します。[ デフォルト ルートの通知 ] を選択し て、スタブ エリアへの通知にデフォルト ルート LSA とそれに関連付け られたメトリック値 (1 ~ 255) を含めるかどうかを指定します。さら に、デフォルト LSA の通知に使用するルート タイプを選択します。 NSSA 経由で学習した外部ルートの他のエリアへの通知を有効にする か、停止する場合は、[Ext 範囲 ] セクションの [ 追加 ] をクリックし、 範囲を入力します。 範囲 164 • ネットワーク設定 [ 追加 ] をクリックし、エリア内の LSA 宛先アドレスをサブネットに集約 します。サブネットと一致する LSA の通知を有効にするか、停止して、 [OK] をクリックします。別の範囲を追加する場合は、この操作を繰り返 します。 Palo Alto Networks 表 95. OSPF 設定 — [ エリア ] タブ(続き) フィールド 内容 インターフェイス [ 追加 ] をクリックし、エリアに含めるインターフェイスごとに以下の情 報を入力して、[OK] をクリックします。 • インターフェイス — インターフェイスを選択します。 • 有効化 — OSPF インターフェイス設定を有効にします。 • パッシブ — OSPF インターフェイスで OSPF パケットを送受信しない 場合は、このチェック ボックスをオンにします。このオプションをオ ンにすると OSPF パケットは送受信されませんが、インターフェイス は LSA データベースに追加されます。 • リンク タイプ — このインターフェイスを経由してアクセス可能なすべ てのネイバーを、OSPF hello メッセージのマルチキャストによって自 動的に検出するには、[ ブロードキャスト ] を選択します (Ethernet イン ターフェイスなど )。自動的にネイバーを検出する場合は、[P2p] ( ポイ ントツーポイント ) を選択します。ネイバーを手動で定義する必要があ る場合は、[P2mp] ( ポイントツーマルチポイント ) を選択します。ネイ バーを手動で定義できるのは、p2mp モードの場合のみです。 • メトリック — このインターフェイスの OSPF メトリックを入力します (0 ~ 65535)。 • 優先順位 — このインターフェイスの OSPF 優先度を入力します (0 ~ 255)。OSPF プロトコルでは、この優先度に基づいて、ルータが指名 ルータ (DR) または バックアップ DR (BDR) として選択されます。値が 0 の場合、ルータが DR または BDR として選択されることはありません。 • 認証プロファイル — 以前に定義した認証プロファイルを選択します。 • Hello 間隔 ( 秒 ) — OSPF プロセスが直接接続されているネイバーに Hello パケットを送信する間隔です。範囲 : 0 ~ 3600 秒。デフォルト : 10 秒。 • 失敗許容回数 — Hello 間隔の試行回数で、この回数を超えても OSPF が ネイバーから Hello パケットを受信しない場合、OSPF はネイバーがダ ウンしているものとみなします。[Hello 間隔 ] に [ 失敗許容回数 ] を乗 じた数が、失敗タイマーの値になります。範囲 : 3 ~ 20。デフォルト : 4。 • リトランスミット間隔 ( 秒 ) — OSPF がネイバーからリンク状態通知 (LSA) を待機する時間です。この時間を過ぎると、OSPF が LSA を再送 信します。範囲 : 0 ~ 3600 秒。デフォルト : 10 秒。 • トランジット遅延 ( 秒 ) — LSA の遅延時間です。この時間を過ぎると、イ ンターフェイスから送信されます。範囲 : 0 ~ 3600 秒。デフォルト : 1 秒。 • グレースフル リスタート Hello パケット遅延 ( 秒 ) — アクティブ / パッ シブ高可用性が設定されている場合に、OSPF インターフェイスに適用 されます。[ グレースフル リスタート Hello パケット遅延 ] は、ファイ アウォールが 1 秒間隔でグレース LSA パケットを送信する期間です。 この期間は、リスタート中のファイアウォールから Hello パケットが送 信されません。リスタート中は、失敗タイマー ([Hello 間隔 ] に [ 失敗 許容回数 ] を乗じた数 ) もカウントダウンされます。失敗タイマーの時 間が短かすぎる場合は、Hello パケットが遅延したときに、グレースフ ル リスタート中に隣接がダウンします。そのため、失敗タイマーを [ グ レースフル リスタート Hello パケット遅延 ] の値の 4 倍以上にするこ とをお勧めします。たとえば、[Hello 間隔 ] が 10 秒で、[ 失敗許容回数 ] が 4 回の場合、失敗タイマーは 40 秒になります。[ グレースフル リス タート Hello パケット遅延 ] が 10 秒に設定されていれば、10 秒遅延し ても失敗タイマーの 40 秒以内に十分に収まるため、グレースフル リス タート中に隣接がタイムアウトになることがありません。範囲 : 1 ~ 10 秒。デフォルト : 10 秒。 Palo Alto Networks ネットワーク設定 • 165 表 95. OSPF 設定 — [ エリア ] タブ(続き) フィールド 内容 仮想リンク バックボーンエリアの接続を維持または拡張するには、仮想リンク設定 を指定します。この設定は、エリア境界ルータに対して、バックボーン エリア内 (0.0.0.0) で定義する必要があります。[ 追加 ] をクリックし、 バックボーンエリアに含める仮想リンクごとに以下の情報を入力して、 [OK] をクリックします。 • 名前 — 仮想リンクの名前を入力します。 • ネイバー ID — 仮想リンクの反対側のルータ (ネイバー) のルータ ID を 入力します。 • トランジット エリア — 仮想リンクが物理的に含まれる中継エリアのエ リア ID を入力します。 • 有効化 — 仮想リンクを有効にするには、オンにします。 • タイミング — デフォルトのタイミング設定のまま使用することをお勧 めします。 • 認証プロファイル — 以前に定義した認証プロファイルを選択します。 [ 認証プロファイル ] タブの設定 [Network] > [ 仮想ルーター ] > [OSPF] > [ 認証プロファイル ] 以下の表に、[ 認証プロファイル ] タブの設定を示します。 表 96. OSPF 設定 — [ 認証プロファイル ] タブ フィールド 内容 認証プロファイル プロファイル名 認証プロファイルの名前を入力します。OSPF メッセージを認証するに は、最初に認証プロファイルを定義し、次に [OSPF] タブでそのプロファ イルをインターフェイスに適用します。 パスワード タイプ パスワードのタイプを選択します ([ 簡易パスワード ] または [MD5])。 • [ 簡易パスワード ] を選択した場合は、パスワードを入力します。 • [MD5] を選択した場合は、[Key-ID] (0 ~ 255)、[Key]、および任意の [Preferred] 状態など、1 つ以上のパスワード エントリを入力します。 エントリごとに [ 追加 ] をクリックしてから、[OK] をクリックします。 送信メッセージの認証に使用する鍵を指定するには、[ 優先 ] オプショ ンを選択します。 166 • ネットワーク設定 Palo Alto Networks [ ルールのエクスポート ] タブの設定 [Network] > [ 仮想ルーター ] > [OSPF] > [ ルールのエクスポート ] 以下の表に、[ ルールのエクスポート ] タブの設定を示します。 表 97. OSPF 設定 — [ 認証プロファイル ] タブ フィールド 内容 ルールの エクスポート デフォルト ルートの 再配信を許可 OSPF 経由でデフォルト ルートの再配信を許可するには、このチェック ボックスをオンにします。 名前 再配信プロファイルの名前を選択します。値には IP サブネットまたは有 効な再配信プロファイル名を指定する必要があります。 新規パス タイプ 適用するメトリック タイプを選択します。 新規タグ 一致したルート用に 32 ビット値のタグを指定します。 メトリック エクスポートされたルートに関連付けられてパス選択に使用されるルー ト メトリックを指定します ( 任意、範囲は 1 ~ 65535)。 [ 詳細 ] タブの設定 [Network] > [ 仮想ルーター ] > [OSPF] > [ 詳細 ] 以下の表に、[ 詳細 ] タブの設定を示します。 表 98. OSPF 設定 — [ 詳細 ] タブ フィールド 内容 詳細 RFC 1583 の互換性 RFC 1583 への準拠を確保するには、このチェック ボックスをオンにし ます。 タイマー • SPF 計算遅延 ( 秒 ) — このオプションは、新しいトポロジ情報の受信と SPF 計算の情報間で遅延時間を調整できる遅延タイマーです。低い値 を指定すると、OSPF の再収束が速くなります。ファイアウォールとピ アリングしているルーターは、収束時間の最適化と同様の方法で調整 する必要があります。 • LSA 間隔 ( 秒 ) — このオプションは、同一 LSA ( 同一ルーター、同一タ イプ、同一 LSA ID) の 2 つのインスタンスの伝送間の最小時間を指定 します。RFC 2328 の MinLSInterval と同等です。低い値を指定すると、 トポロジが変更された場合の再収束時間が短縮されます。 Palo Alto Networks ネットワーク設定 • 167 表 98. OSPF 設定 — [ 詳細 ] タブ(続き) フィールド 内容 グレースフル リスタート • グレースフル リスタートを有効にする — デフォルトで有効になってい ます。この機能が有効なファイアウォールは、ファイアウォールが一時 的にダウンして移行が実行されている間も、ファイアウォールを経由す るルートを引き続き使用するようにネイバー ルーターに指示します。 • ヘルパー モードを有効にする — デフォルトで有効になっています。こ のモードが有効なファイアウォールは、隣接デバイスの再起動中もそ のデバイスへの転送を継続します。 • 厳密な LSA チェックを有効化にする — デフォルトで有効になってい ます。トポロジが変更された場合、この機能によって、OSPF ヘルパー モードが有効なファイアウォールのヘルパー モードが終了します。 • グレース ピリオド ( 秒 ) — 隣接デバイスの再確立中またはルーターの 再起動中にピア デバイスがこのファイアウォールへの転送を継続する 秒数。範囲 : 5 ~ 1800 秒。デフォルト : 120 秒。 • ネイバー再起動の最大時間 — ファイアウォールをヘルパー モード ルー ターとして使用できる最大グレース ピリオド ( 秒 )。ピア デバイスのグ レース LSA で提供されるグレース ピリオドの方が長い場合、ファイア ウォールはヘルパー モードになりません。範囲 : 5 ~ 1800 秒。デフォ ルト : 140 秒。 [OSPFv3] タブの設定 [Network] > [ 仮想ルーター ] > [OSPFv3] OSPFv3 (Open Shortest Path First v3) プロトコルを設定するには、以下の一般設定を指定す る必要があります。 表 99. 仮想ルーター設定 — [OSPF] タブ フィールド 内容 有効化 OSPF プロトコルを有効にするには、このチェック ボックスをオンにし ます。 デフォルト ルートの 拒否 OSPF 経由でデフォルト ルートを学習しない場合は、このチェック ボッ クスをオンにします。特にスタティック ルートの場合は、このチェック ボックスをオンにすることを強くお勧めします。 ルーター ID この仮想ルーターの OSPF インスタンスに関連付けられているルータ ID を指定します。OSPF プロトコルでは、このルータ ID を使用して OSPF インスタンスを一意に識別します。 さらに、以下のタブの設定を指定する必要があります。 • [ エリア ] タブ : 「[ エリア ] タブの設定」を参照してください。 • [ 認証プロファイル ] タブ : 「[ 認証プロファイル ] タブの設定」を参照してください。 • [ ルールのエクスポート ] タブ : 「[ ルールのエクスポート ] タブの設定」を参照してくだ さい。 • [ 詳細 ] タブ : 「[ 詳細 ] タブの設定」を参照してください。 168 • ネットワーク設定 Palo Alto Networks [ エリア ] タブの設定 [Network] > [ 仮想ルーター ] > [OSPFv3] > [ エリア ] 以下の表に、[ エリア ] タブの設定を示します。 表 100. 仮想ルーター設定 — [ エリア ] タブ フィールド 内容 認証 この OSPF エリアに指定する認証プロファイルの名前を選択します。 タイプ 以下のいずれかのオプションを選択します。 • 通常 — 制限はありません。エリアではすべてのタイプのルートを使用 できます。 • スタブ — エリアからの出口はありません。エリア外にある宛先に到達 するには、別のエリアに接続されている境界を通過する必要がありま す。このオプションを選択した場合、他のエリアからこのタイプの LSA (Link State Advertisement) を受け入れるには [ サマリーの受け入れ ] を 選択します。さらに、スタブエリアへの通知にデフォルト ルート LSA とそれに関連付けられたメトリック値 (1 ~ 255) を含めるかどうかを指 定します。 スタブエリアのエリア ボーダー ルーター (ABR) インターフェイスの [ サマリーの受け入れ ] オプションが無効になっていると、OSPF エリ アは Totally Stubby Area (TSA) として動作し、ABR はサマリー LSA を 配信しません。 • NSSA (Not-So-Stubby Area) — エリアから直接外部に出ることができ ますが、OSPF ルート以外のルートを使用する必要があります。このオ プションを選択した場合、このタイプの LSA を受け入れるには [ サマ リーの受け入れ ] を選択します。スタブエリアへの通知にデフォルト ルート LSA とそれに関連付けられたメトリック値 (1 ~ 255) を含める かどうかを指定します。さらに、デフォルト LSA の通知に使用する ルート タイプを選択します。NSSA 経由で学習した外部ルートの他の エリアへの通知を有効にするか、停止する場合は、[Ext 範囲 ] セクショ ンの [ 追加 ] をクリックし、範囲を入力します。 範囲 Palo Alto Networks [ 追加 ] をクリックし、エリア内の LSA 宛先 IPv6 アドレスをサブネット に集約します。サブネットと一致する LSA の通知を有効にするか、停止 して、[OK] をクリックします。別の範囲を追加する場合は、この操作を 繰り返します。 ネットワーク設定 • 169 表 100. 仮想ルーター設定 — [ エリア ] タブ(続き) フィールド 内容 インターフェイス [ 追加 ] をクリックし、エリアに含めるインターフェイスごとに以下の情 報を入力して、[OK] をクリックします。 • インターフェイス — インターフェイスを選択します。 • 有効化 — OSPF インターフェイス設定を有効にします。 • インスタンス ID — OSPFv3 インスタンス ID 番号を入力します。 • パッシブ — OSPF インターフェイスで OSPF パケットを送受信しない 場合は、このチェック ボックスをオンにします。このオプションをオ ンにすると OSPF パケットは送受信されませんが、インターフェイス は LSA データベースに追加されます。 • リンク タイプ — このインターフェイスを経由してアクセス可能なすべ てのネイバーを、OSPF hello メッセージのマルチキャストによって自動 的に検出するには、[ ブロードキャスト ] を選択します (Ethernet イン ターフェイスなど )。自動的にネイバーを検出する場合は、[P2p] ( ポイ ントツーポイント ) を選択します。ネイバーを手動で定義する必要があ る場合は、[P2mp] ( ポイントツーマルチポイント ) を選択します。ネイ バーを手動で定義できるのは、p2mp モードの場合のみです。 • メトリック — このインターフェイスの OSPF メトリックを入力します (0 ~ 65535)。 • 優先順位 — このインターフェイスの OSPF 優先度を入力します (0 ~ 255)。OSPF プロトコルでは、この優先度に基づいて、ルータが指名ルー タ (DR) または バックアップ DR (BDR) として選択されます。値が 0 の 場合、ルータが DR または BDR として選択されることはありません。 • 認証プロファイル — 以前に定義した認証プロファイルを選択します。 • Hello 間隔 ( 秒 ) — OSPF プロセスが直接接続されているネイバーに Hello パケットを送信する間隔です。範囲 : 0 ~ 3600 秒。デフォルト : 10 秒。 • 失敗許容回数 — Hello 間隔の試行回数で、この回数を超えても OSPF が ネイバーから Hello パケットを受信しない場合、OSPF はネイバーがダ ウンしているものとみなします。[Hello 間隔 ] に [ 失敗許容回数 ] を乗 じた数が、失敗タイマーの値になります。範囲 : 3 ~ 20。デフォルト : 4。 • リトランスミット間隔 ( 秒 ) — OSPF がネイバーからリンク状態通知 (LSA) を待機する時間です。この時間を過ぎると、OSPF が LSA を再 送信します。範囲 : 0 ~ 3600 秒。デフォルト : 10 秒。 • トランジット遅延 ( 秒) — LSA の遅延時間です。この時間を過ぎると、イ ンターフェイスから送信されます。範囲 : 0 ~ 3600 秒。デフォルト : 1 秒。 • グレースフル リスタート Hello パケット遅延 (秒) — アクティブ/パッシ ブ高可用性が設定されている場合に、OSPF インターフェイスに適用され ます。[ グレースフル リスタート Hello パケット遅延 ] は、ファイアウォー ルが 1 秒間隔でグレース LSA パケットを送信する期間です。この期間は、 リスタート中のファイアウォールから Hello パケットが送信されませ ん。リスタート中は、失敗タイマー ([Hello 間隔 ] に [ 失敗許容回数 ] を乗 じた数) もカウントダウンされます。失敗タイマーの時間が短かすぎる場 合は、Hello パケットが遅延したときに、グレースフル リスタート中に 隣接がダウンします。そのため、失敗タイマーを [ グレースフル リスター ト Hello パケット遅延 ] の値の 4 倍以上にすることをお勧めします。たと えば、[Hello 間隔 ] が 10 秒で、[ 失敗許容回数 ] が 4 回の場合、失敗タイ マーは 40 秒になります。[ グレースフル リスタート Hello パケット遅 延 ] が 10 秒に設定されていれば、10 秒遅延しても失敗タイマーの 40 秒 以内に十分に収まるため、グレースフル リスタート中に隣接がタイムア ウトになることがありません。範囲 : 1 ~ 10 秒。デフォルト : 10 秒。 • ネイバー — p2pmp インターフェイスの場合、このインターフェイスを 介して到達可能なすべてのネイバーに対するネイバー IP アドレスを入 力します。 170 • ネットワーク設定 Palo Alto Networks 表 100. 仮想ルーター設定 — [ エリア ] タブ(続き) フィールド 内容 仮想リンク バックボーンエリアの接続を維持または拡張するには、仮想リンク設定 を指定します。この設定は、エリア境界ルータに対して、バックボーン エリア内 (0.0.0.0) で定義する必要があります。[ 追加 ] をクリックし、バッ クボーンエリアに含める仮想リンクごとに以下の情報を入力して、[OK] をクリックします。 • 名前 — 仮想リンクの名前を入力します。 • インスタンス ID — OSPFv3 インスタンス ID 番号を入力します。 • ネイバー ID — 仮想リンクの反対側のルータ (ネイバー) のルータ ID を 入力します。 • トランジット エリア — 仮想リンクが物理的に含まれる中継エリアのエ リア ID を入力します。 • 有効化 — 仮想リンクを有効にするには、オンにします。 • タイミング — デフォルトのタイミング設定のまま使用することをお勧 めします。 • 認証プロファイル — 以前に定義した認証プロファイルを選択します。 [ 認証プロファイル ] タブの設定 [Network] > [ 仮想ルーター ] > [OSPFv3] > [ 認証プロファイル ] 以下の表に、[ 認証プロファイル ] タブの設定を示します。 表 101. OSPFv3 設定 — [ 認証プロファイル ] タブ フィールド 内容 認証プロファイル プロファイル名 認証プロファイルの名前を入力します。OSPF メッセージを認証するに は、最初に認証プロファイルを定義し、次に [OSPF] タブでそのプロファ イルをインターフェイスに適用します。 SPI リモート ファイアウォールからピアへのパケット トラバーサルのセ キュリティ パラメータ インデックス (SPI) を指定します。 プロトコル 以下のいずれかのプロトコルを指定します。 • ESP — Encapsulating Security Payload プロトコル。 • AH — Authentication Header プロトコル。 暗号化アルゴリズム 以下のいずれかを指定します。 • なし — 暗号化アルゴリズムは使用されません。 • SHA1 — Secure Hash Algorithm 1。 • SHA256 — Secure Hash Algorithm 2。256 ビット ダイジェストの 4 つ のハッシュ関数のセット。 • SHA384 — Secure Hash Algorithm 2。384 ビット ダイジェストの 4 つ のハッシュ関数のセット。 • SHA512 — Secure Hash Algorithm 2。512 ビット ダイジェストの 4 つ のハッシュ関数のセット。 • MD5 — MD5 メッセージ ダイジェスト アルゴリズム Palo Alto Networks ネットワーク設定 • 171 表 101. OSPFv3 設定 — [ 認証プロファイル ] タブ(続き) フィールド 内容 キー / 再入力キー 認証鍵を入力して確認します。 暗号化 以下のいずれかを指定します。 • aes128 — 128 ビットの暗号化鍵を使用して Advanced Encryption Standard (AES) を適用します。 • aes192 — 192 ビットの暗号化鍵を使用して Advanced Encryption Standard (AES) を適用します。 • aes256 — 256 ビットの暗号化鍵を使用して Advanced Encryption Standard (AES) を適用します。 • null — 暗号化は使用されません。 AH プロトコルが選択されている場合は使用できません。 キー / 再入力キー 暗号化鍵を入力して確認します。 [ ルールのエクスポート ] タブの設定 [Network] > [ 仮想ルーター ] > [OSPF] > [ ルールのエクスポート ] 以下の表に、[ ルールのエクスポート ] タブの設定を示します。 表 102. OSPF 設定 — [ 認証プロファイル ] タブ フィールド 内容 ルールの エクスポート デフォルト ルートの 再配信を許可 OSPF 経由でデフォルト ルートの再配信を許可するには、このチェック ボックスをオンにします。 名前 再配信プロファイルの名前を選択します。値には IP サブネットまたは有 効な再配信プロファイル名を指定する必要があります。 新規パス タイプ 適用するメトリック タイプを選択します。 新規タグ 一致したルート用に 32 ビット値のタグを指定します。 メトリック エクスポートされたルートに関連付けられてパス選択に使用されるルー ト メトリックを指定します ( 任意、範囲は 1 ~ 65535)。 172 • ネットワーク設定 Palo Alto Networks [ 詳細 ] タブの設定 [Network] > [ 仮想ルーター ] > [OSPF] > [ 詳細 ] 以下の表に、[ 詳細 ] タブの設定を示します。 表 103. OSPF 設定 — [ 詳細 ] タブ フィールド 内容 詳細 SPF 計算用トランジット ルーティングを無効に する このデバイスから送信されるルーター LSA に R ビットを設定してルー ターがアクティブでないことを示す場合、このチェック ボックスをオン にします。この状態のデバイスは OSPFv3 に参加しますが、その他のルー ターはトランジット トラフィックを送信しません。この状態でも、ロー カル トラフィックは引き続きデバイスに転送されます。トラフィックを デバイス周辺に再ルーティングしながらそのデバイスにも到達できるた め、これはデュアル ホーム ネットワークで保守を行う場合に役立ちます。 タイマー • SPF 計算遅延 ( 秒 ) — このオプションは、新しいトポロジ情報の受信と SPF 計算の情報間で遅延時間を調整できる遅延タイマーです。低い値 を指定すると、OSPF の再収束が速くなります。ファイアウォールとピ アリングしているルーターは、収束時間の最適化と同様の方法で調整 する必要があります。 • LSA 間隔 ( 秒 ) — このオプションは、同一 LSA ( 同一ルーター、同一タ イプ、同一 LSA ID) の 2 つのインスタンスの伝送間の最小時間を指定 します。RFC 2328 の MinLSInterval と同等です。低い値を指定すると、 トポロジが変更された場合の再収束時間が短縮されます。 グレースフル リスタート • グレースフル リスタートを有効にする — デフォルトで有効になってい ます。この機能が有効なファイアウォールは、ファイアウォールが一時 的にダウンして移行が実行されている間も、ファイアウォールを経由す るルートを引き続き使用するようにネイバー ルーターに指示します。 • ヘルパー モードを有効にする — デフォルトで有効になっています。こ のモードが有効なファイアウォールは、隣接デバイスの再起動中もそ のデバイスへの転送を継続します。 • 厳密な LSA チェックを有効化にする — デフォルトで有効になってい ます。トポロジが変更された場合、この機能によって、OSPF ヘルパー モードが有効なファイアウォールのヘルパー モードが終了します。 • グレース ピリオド ( 秒 ) — 隣接デバイスの再確立中またはルーターの 再起動中にピア デバイスがこのファイアウォールへの転送を継続する 秒数。範囲 : 5 ~ 1800 秒。デフォルト : 120 秒。 • ネイバー再起動の最大時間 — ファイアウォールをヘルパー モード ルー ターとして使用できる最大グレース ピリオド ( 秒 )。ピア デバイスのグ レース LSA で提供されるグレース ピリオドの方が長い場合、ファイア ウォールはヘルパー モードになりません。範囲 : 5 ~ 1800 秒。デフォ ルト : 140 秒。 Palo Alto Networks ネットワーク設定 • 173 [BGP] タブの設定 [Network] > [ 仮想ルーター ] > [BGP] Border Gateway Protocol (BGP) プロトコルを設定するには、以下の設定を指定する必要があ ります。 表 104. 仮想ルーター設定 — [BGP] タブ フィールド 内容 有効化 BGP を有効にするには、このチェック ボックスをオンにします。 ルーター ID 仮想ルーターに割り当てる IP アドレスを入力します。 AS 番号 ルータ ID に基づいて、仮想ルーターが属する AS の番号を入力します ( 範囲は 1 ~ 4294967295)。 さらに、以下のタブの設定を指定する必要があります。 • [ 全般 ] タブ : 「[ 全般 ] タブの設定」を参照してください。 • [ 詳細 ] タブ : 「[ 詳細 ] タブの設定」を参照してください。 • [ ピア グループ ] タブ : 「[ ピア グループ ] タブの設定」を参照してください。 • [ インポート ] タブ : 「[ インポート ] および [ エクスポート ] タブの設定」を参照してくだ さい。 • [ エクスポート ] タブ : 「[ インポート ] および [ エクスポート ] タブの設定」を参照してく ださい。 • [ 条件付き通知 ] タブ : 「[ 条件付き通知 ] タブの設定」を参照してください。 • [Aggregate] タブ : 「[ 条件付き通知 ] タブの設定」を参照してください。 • [ ルールの再配信 ] タブ : 「[ ルールの再配信 ] タブの設定」を参照してください。 174 • ネットワーク設定 Palo Alto Networks [ 全般 ] タブの設定 [Network] > [ 仮想ルーター ] > [BGP] > [ 全般 ] 以下の表に、[ 全般 ] タブの設定を示します。 表 105. BGP 設定 — [ 全般 ] タブ フィールド 内容 [ 全般 ] タブ デフォルト ルートの 拒否 BGP ピアから通知されるデフォルト ルートを無視するには、このチェッ ク ボックスをオンにします。 ルートのインストール グローバル ルーティング テーブルに BGP ルートをインストールするに は、このチェック ボックスをオンにします。 MED の集約 ルートの MED (Multi-Exit Discriminator) 値が異なる場合でもルート集 約を有効にするには、オンにします。 デフォルトのローカル 設定 異なるパスで設定を決定するために使用できる値を指定します。 AS 形式 [2 バイト ] ( デフォルト ) または [4 バイト ] 形式を選択します。これは、 相互運用性のために設定します。 常に MED を比較 別の AS 内のネイバーから受け取ったパスの MED 比較を有効にします。 決定論的 MED 比較 IBGP ピア ( 同じ AS 内の BGP ピア ) から通知されたルートの中からルー トを選択するための MED 比較を有効にします。 認証プロファイル [ 追加 ] をクリックして新しい認証プロファイルを追加し、以下の設定を 指定します。 • プロファイル名 — プロファイルの識別に使用する名前を入力します。 • シークレット / 再入力 シークレット — BGP ピア通信に使用するパスフ レーズを入力し、確認します。 プロファイルを削除するには Palo Alto Networks 、アイコンをクリックします。 ネットワーク設定 • 175 [ 詳細 ] タブの設定 [Network] > [ 仮想ルーター ] > [BGP] > [ 詳細 ] 以下の表に、[ 詳細 ] タブの設定を示します。 表 106. BGP 設定 — [ 詳細 ] タブ フィールド 内容 [ 詳細 ] タブ グレースフル リスタート グレースフル リスタート オプションをアクティベーションします。 • ステージ ルート時間 — ルートが接続期限切れ状態を持続できる時間を 指定します ( 範囲は 1 ~ 3600 秒、デフォルトは 120 秒 )。 • ローカル再起動時間 — ローカル デバイスの再起動にかかる時間を指定 します。この値はピアに通知されます ( 範囲は 1 ~ 3600 秒、デフォル トは 120 秒 )。 • 最大ピア再起動時間 — ローカル デバイスがグレース期間中のピア デ バイスの再起動時間として受け入れる時間の最大長を指定します (範囲 は 1 ~ 3600 秒、デフォルトは 120 秒 )。 リフレクタ クラスタ ID リフレクタ クラスタを示す IPv4 識別子を指定します。 コンフェデレーション メンバー AS AS コンフェデレーションを 1 つの AS として外部 BGP ピアに示すため の使用する識別子を指定します。 プロファイルの ダンペニング 以下の設定があります。 • プロファイル名 — プロファイルの識別に使用する名前を入力します。 • 有効化 — プロファイルをアクティベーションします。 • カットオフ — ルート停止のしきい値を指定します ( 範囲は 0.0 ~ 1000.0、 デフォルトは 1.25)。この値を超えるとルート通知が停止します。 • 再利用 — ルート停止のしきい値を指定します ( 範囲は 0.0 ~ 1000.0、 デフォルトは 5)。この値を下回るとルートは再度使用されます。 • 最大ホールド タイム — ルートの不安定度に関係なく、ルートを停止 できる時間の最大長を指定します ( 範囲は 0 ~ 3600 秒、デフォルトは 900 秒 )。 • Decay Half Life 到達可能 — ルートが到達可能とみなされた場合、ルー トの安定性メトリックを 1/2 にするまでの時間を指定します ( 範囲は 0 ~ 3600 秒、デフォルトは 300 秒 )。 • Decay Half Life を半分に減少 — ルートが到達不能とみなされた場合、 ルートの安定性メトリックを 1/2 にするまでの時間を指定します ( 範 囲は 0 ~ 3600 秒、デフォルトは 300 秒 )。 プロファイルを削除するには 176 • ネットワーク設定 、アイコンをクリックします。 Palo Alto Networks [ ピア グループ ] タブの設定 [Network] > [ 仮想ルーター ] > [BGP] > [ ピア グループ ] 以下の表に、[ ピア グループ ] タブの設定を示します。 表 107. BGP 設定 — [ ピア グループ ] タブ フィールド 内容 [ ピア グループ ] タブ 名前 ピアの識別に使用する名前を入力します。 有効化 ピアをアクティベーションするには、オンにします。 集約済みコンフェデレー ション AS パス 設定した集約済みコンフェデレーション AS へのパスを含めるには、この チェック ボックスをオンにします。 ソートした情報を使用 したソフト リセット ピア設定の更新後にファイアウォールのソフト リセットを実行するに は、このチェック ボックスをオンにします。 タイプ ピアまたはグループのタイプを指定し、関連設定 ( この表に後述されて いる [ ネクスト ホップのインポート ] および [ ネクスト ホップのエクス ポート ] の説明を参照 ) を指定します。 • IBGP — 以下を指定します。 – ネクスト ホップのエクスポート • EBGP コンフェデレーション — 以下を指定します。 – ネクスト ホップのエクスポート • IBGP コンフェデレーション — 以下を指定します。 – ネクスト ホップのエクスポート • EBGP — 以下を指定します。 – ネクスト ホップのインポート – ネクスト ホップのエクスポート – プライベート AS の削除 (BGP でプライベート AS 番号を強制的に削 除する場合にオンにする ) ネクスト ホップの インポート ネクストホップのインポートのオプションを選択します。 • 元 — 元のルート通知で提供されたネクストホップのアドレスを使用し ます。 • ピアの使用 — ピアの IP アドレスをネクストホップのアドレスとして 使用します。 ネクスト ホップの エクスポート ネクストホップのエクスポートのオプションを選択します。 • 解決 — ローカル転送テーブルを使用してネクストホップのアドレスを 解決します。 • 自己の使用 — ネクストホップのアドレスをこのルータの IP アドレスで 置き換えて転送パスに含まれるようにします。 Palo Alto Networks ネットワーク設定 • 177 表 107. BGP 設定 — [ ピア グループ ] タブ(続き) フィールド 内容 ピア 新しいピアを追加するには、[ 新規 ] をクリックし、以下の設定を指定し ます。 • 名前 — ピアの識別に使用する名前を入力します。 • 有効化 — ピアをアクティベーションするには、オンにします。 • ピア AS — ピアの AS を指定します。 • ローカル アドレス — ファイアウォール インターフェイスとローカル IP アドレスを選択します。 • 接続オプション — 以下のオプションを指定します。 – 認証プロファイル — プロファイルを選択します。 – キープ アライブ間隔 — ピアから受け取ったルートがホールド タイ ム設定に従って停止されるまでの時間を指定します ( 範囲は 0 ~ 1200 秒、デフォルトは 30 秒 )。 – マルチ ホップ — IP ヘッダーの TTL (time-to-live) 値を設定します ( 範囲は 1 ~ 255、デフォルトは 0)。デフォルト値の 0 を指定すると、 eBGP の場合は 2、iBGP の場合は 255 が使用されます。 – オープン遅延時間 — ピア TCP 接続を開いてから最初の BGP Open メッセージを送信するまでの遅延時間を指定します ( 範囲は 0 ~ 240 秒、デフォルトは 0 秒 )。 – ホールド タイム — ピアからの連続する KEEPALIVE または UPDATE メッセージ間の想定経過時間を指定します。この時間を過ぎると、ピ ア接続が閉じられます ( 範囲は 3 ~ 3600 秒、デフォルトは 90 秒 )。 – アイドル ホールド タイム — アイドル状態で待機する時間を指定し ます。この時間を過ぎると、ピアへの接続が再試行されます ( 範囲は 1 ~ 3600 秒、デフォルトは 15 秒 )。 • ピア アドレス — ピアの IP アドレスとポートを指定します。 • 詳細 — 以下の設定を指定します。 – リフレクタ クライアント — リフレクタ クライアントのタイプを指 定します ( 非クライアント ]、クライアント ]、[ メッシュ クライアン ト ] のいずれか )。リフレクタ クライアントから受信したルートは、 すべての内部および外部 BGP ピアで共有されます。 – ピアリング タイプ — 双方向ピアを指定するか、未指定のままにし ます。 – 最大プレフィックス — サポートされる IP プレフィックスの最大数を 指定します (1 ~ 100000 または [unlimited])。 • 受信接続 / 送信接続 — 送受信ポートの番号を指定し、[ 許可 ] チェック ボックスをオンにしてこれらのポートの送受信トラフィックを許可し ます。 178 • ネットワーク設定 Palo Alto Networks [ インポート ] および [ エクスポート ] タブの設定 [Network] > [ 仮想ルーター ] > [BGP] > [ インポート ] [Network] > [ 仮想ルーター ] > [BGP] > [ エクスポート ] 以下の表に、[ インポート ] および [ エクスポート ] タブの設定を示します。 表 108. BGP 設定 — [ インポート ] および [ エクスポート ] タブ フィールド 内容 [ ルールのインポー ト ]/[ ルールのエク スポート ] タブ ルールのインポート / ルールのエクスポート [BGP] の [ルールのインポート] または [ルールのエクスポート] サブタブ をクリックします。新しいルールを追加するには、[ 追加 ] をクリックし、 以下の設定を指定します。 • [ 全般 ] サブタブ : – 名前 — ルールの識別に使用する名前を指定します。 – 有効化 — ルールをアクティベーションするには、オンにします。 – 使用者 — このルールを使用するピア グループを選択します。 • [ 一致 ] サブタブ : – AS パスの正規表現 — AS パスをフィルタリングするための正規表現 を指定します。 – コミュニティの正規表現 — コミュニティ文字列をフィルタリングす るための正規表現を指定します。 – 拡張コミュニティの正規表現 — 拡張コミュニティ文字列をフィルタ リングするための正規表現を指定します。 – アドレス プレフィックス — ルート フィルタリングを行うための IP アドレスまたはプレフィックスを指定します。 – MED — ルートをフィルタリングするための MED 値を指定します。 – ネクスト ホップ — ルートをフィルタリングするためのネクストホッ プのルータまたはサブネットを指定します。 – 送信元ピア — ルートをフィルタリングするためのピア ルータを指定 します。 Palo Alto Networks ネットワーク設定 • 179 表 108. BGP 設定 — [ インポート ] および [ エクスポート ] タブ(続き) フィールド 内容 • [ アクション ] サブタブ : – アクション — 照合条件を満たしたときに実行するアクション ([ 許可 ] または [ 拒否 ]) を指定します。 – ローカル設定 — アクションが [ 許可 ] の場合のみ、ローカル優先メ トリックを指定します。 – MED — アクションが [Allow] の場合のみ、MED 値を指定します (0 ~ 65535)。 – Weight — アクションが [Allow] の場合のみ、重み値を指定します (0 ~ 65535)。 – ネクスト ホップ — アクションが [Allow] の場合のみ、ネクストホッ プのルータを指定します。 – 元 — アクションが [ 許可 ] の場合のみ、元のルートのパス タイプと して [igp]、[egp]、または [incomplete] を指定します。 – AS パス制限 — アクションが [ 許可 ] の場合のみ、AS パス制限を指 定します。 – [AS パス ] — アクションが [ 許可 ] の場合のみ、AS パスに [ なし ]、[ 削 除]、[プリペンド]、[削除およびプリペンド] のいずれかを指定します。 – コミュニティ — アクションが [ 許可 ] の場合のみ、コミュニティ オ プションを指定します ([ なし ]、[ すべて削除 ]、[ 正規表現の削除 ]、 [ 付加 ]、[ 上書き ] のいずれか )。 – 拡張コミュニティ — アクションが [ 許可 ] の場合のみ、コミュニ ティ オプションを指定します ([ なし ]、[ すべて削除 ]、[ 正規表現の 削除 ]、[ 付加 ]、[ 上書き ] のいずれか )。 – ダンペニング — アクションが [ 許可 ] の場合のみ、ダンプニング パ ラメータを指定します。 、アイコンをクリックします。選択したグ グループを削除するには ループと同じ設定を持つ新しいグループを追加するには、[ コピー ] をク リックします。コピー元のグループと区別するために、新しいグループ 名にはサフィックスが追加されます。 180 • ネットワーク設定 Palo Alto Networks [ 条件付き通知 ] タブの設定 [Network] > [ 仮想ルーター ] > [BGP] > [ 条件付き通知 ] 以下の表に、[ 条件付き通知 ] タブの設定を示します。 表 109. BGP 設定 — [ 条件付き通知 ] タブ フィールド 内容 [ 条件付き通知 ] タブ BGP 条件付き通知機能では、ピアリングまたは到達の失敗を含め、ロー カル BGP ルーティング テーブル (LocRIB) で異なるルートを使用できな い場合に通知するルートを制御できます。これは、1 つの AS を別の AS より優先してルートを強制する場合に便利です。たとえば、インターネッ トに対して複数の ISP を経由するリンクがあり、優先プロバイダへの接 続が失われない限り、他のプロバイダではなく優先プロバイダにトラ フィックをルーティングする場合に効果的です。条件付き通知を使用す ると、優先ルートのプレフィックスと一致する非存在フィルタを設定で きます。非存在フィルタと一致するルートがローカル BGP ルーティング テーブルで見つからない場合にのみ、通知フィルタで指定された代替 ルート ( 他の非優先プロバイダへのルート ) の通知が許可されます。条件 付き通知を設定するには、[ 条件付き通知 ] タブを選択して [ 追加 ] をク リックします。以下の方法で、フィールドに値を設定します。 ポリシー この条件付き通知ルールのポリシー名を指定します。 有効化 BGP 条件付き通知を有効にするには、このチェック ボックスをオンにし ます。 使用者 [ 追加 ] をクリックし、この条件付き通知ポリシーを使用するピア グルー プを選択します。 [ 非存在フィルタ ] サブタブ 優先ルートのプレフィックスを指定するには、このタブを使用します。 このタブは、ローカル BGP ルーティング テーブルで使用可能な場合に 通知するルートを指定します。プレフィックスが通知され非存在フィル タと一致すると、通知が停止します。 [ 追加 ] をクリックして、非存在フィルタを作成します。 • 非存在フィルタ — このフィルタの識別に使用する名前を指定します。 • 有効化 — フィルタをアクティベーションするには、オンにします。 • AS パスの正規表現 — AS パスをフィルタリングするための正規表現を 指定します。 • コミュニティの正規表現 — コミュニティ文字列をフィルタリングする ための正規表現を指定します。 • 拡張コミュニティの正規表現 — 拡張コミュニティ文字列をフィルタリ ングするための正規表現を指定します。 • MED — ルートをフィルタリングするための MED 値を指定します。 • アドレス プレフィックス — [ 追加 ] をクリックして、優先ルートの正 確な NLRI プレフィックスを指定します。 • ネクスト ホップ — ルートをフィルタリングするためのネクストホップ のルータまたはサブネットを指定します。 • 送信元ピア — ルートをフィルタリングするためのピア ルータを指定し ます。 Palo Alto Networks ネットワーク設定 • 181 表 109. BGP 設定 — [ 条件付き通知 ] タブ(続き) フィールド 内容 [ フィルタの通知 ] サブタブ 非存在フィルタのルートがローカル ルーティング テーブルで使用でき ない場合に通知する、ローカル RIB ルーティング テーブルのルートのプ レフィックスを指定するには、このタブを使用します。 プレフィックスが通知され非存在フィルタと一致しないと、通知が行わ れます。 [ 追加 ] をクリックして、通知フィルタを作成します。 • フィルタの通知 — このフィルタの識別に使用する名前を指定します。 • 有効化 — フィルタをアクティベーションするには、オンにします。 • AS パスの正規表現 — AS パスをフィルタリングするための正規表現を 指定します。 • コミュニティの正規表現 — コミュニティ文字列をフィルタリングする ための正規表現を指定します。 • 拡張コミュニティの正規表現 — 拡張コミュニティ文字列をフィルタリ ングするための正規表現を指定します。 • MED — ルートをフィルタリングするための MED 値を指定します。 • アドレス プレフィックス — [ 追加 ] をクリックして、優先ルートを使用 できない場合に通知するルートの正確な NLRI プレフィックスを指定 します。 • ネクスト ホップ — ルートをフィルタリングするためのネクストホップ のルータまたはサブネットを指定します。 • 送信元ピア — ルートをフィルタリングするためのピア ルータを指定し ます。 [Aggregate] タブの設定 [Network] > [ 仮想ルーター ] > [BGP] > [Aggregate] 以下の表に、[Aggregate] タブの設定を示します。 表 110. BGP 設定 — [Aggregate] タブ フィールド 内容 [Aggregate] タブ 名前 集約設定の名前を入力します。 フィルタの抑制 一致したルートを停止する属性を定義します。 フィルタの通知 定義したフィルタに一致するルートをピアに通知する通知フィルタの属 性を定義します。 ルート属性の集約 集約されるルートを一致させるために使用する属性を定義します。 182 • ネットワーク設定 Palo Alto Networks [ ルールの再配信 ] タブの設定 [Network] > [ 仮想ルーター ] > [BGP] > [ ルールの再配信 ] 以下の表に、[ ルールの再配信 ] タブの設定を示します。 表 111. BGP 設定 — [ ルールの再配信 ] タブ フィールド 内容 [ ルールの再配信 ] タブ 名前 再配信プロファイルの名前を選択します。 デフォルト ルートの 再配信を許可 ファイアウォールから BGP ピアにデフォルト ルートを再配信すること を許可するには、このチェック ボックスをオンにします。 ルールの再配信 新しいルールを追加するには、[ 追加 ] をクリックし、設定を指定して、 [OK] をクリックします。各パラメータについては、この表の「[ ルール のインポート ]/[ ルールのエクスポート ] タブ」 ( 上記 ) で説明しています。 ルールを削除するには 、アイコンをクリックします。 [ マルチキャスト ] タブの設定 [Network] > [ 仮想ルーター ] > [ マルチキャスト ] マルチキャスト プロトコルを設定するには、以下の標準設定を指定する必要があります。 表 112. 仮想ルーター設定 — [ マルチキャスト ] タブ フィールド 内容 有効化 マルチキャスト ルーティングを有効にするには、このチェック ボックス をオンにします。 さらに、以下のタブの設定を指定する必要があります。 • [ ランデブー ポイント ] タブ : 「[ ランデブー ポイント ] タブの設定」を参照してください。 • [ インターフェイス ] タブ : 「[ インターフェイス ] タブの設定」を参照してください。 • [SPT しきい値 ] タブ : 「[SPT しきい値 ] タブの設定」を参照してください。 • [ 送信元固有のアドレス スペース ] タブ : 「[ 送信元固有のアドレス スペース ] タブの設定」 を参照してください。 Palo Alto Networks ネットワーク設定 • 183 [ ランデブー ポイント ] タブの設定 [Network] > [ 仮想ルーター ] > [ ランデブー ポイント ] 以下の表に、[ ランデブー ポイント ] タブの設定を示します。 表 113. マルチキャスト設定 — [ ランデブー ポイント ] タブ フィールド 内容 [ ランデブー ポイント ] サブタブ RP タイプ この仮想ルーターで実行するランデブー ポイント (RP) のタイプを選択 します。静的 RP は、他の PIM ルータで明示的に設定する必要がありま すが、候補 RP は自動的に選択されます。 • なし — この仮想ルーターで実行中の RP がない場合に選択します。 • スタティック — RP のスタティック IP アドレスを指定し、ドロップダ ウン リストから [RP インターフェイス ] および [RP アドレス ] のオプ ションを選択します。このグループに選択した RP ではなく指定した RP を使用する場合、[ 取得した同じグループの RP のオーバーライド ] チェック ボックスをオンにします。 • 候補 — この仮想ルーターで実行中の RP 候補に以下の情報を指定し ます。 – RP インターフェイス — RP のインターフェイスを選択します。有効な インターフェイス タイプとしてループバック、L3、VLAN、Ethernet の集約、およびトンネルなどが挙げられます。 – RP アドレス — RP の IP アドレスを選択します。 – 優先順位 — 候補 RP メッセージの優先度を指定します ( デフォルト は 192)。 – 通知間隔 — 候補 RP メッセージの通知間隔を指定します。 • グループ リスト — [ スタティック ] または [ 候補 ] を選択した場合、[ 追 加 ] をクリックし、RP の候補となるグループのリストを指定します。 リモート ランデブー ポイント [ 追加 ] をクリックし、以下を指定します。 • IP アドレス — RP の IP アドレスを指定します。 • 取得した同じグループの RP のオーバーライド — このグループに選択 した RP ではなく指定した RP を使用するには、このチェック ボックス をオンにします。 • グループ — 指定したアドレスが RP として機能するグループのリスト を指定します。 184 • ネットワーク設定 Palo Alto Networks [ インターフェイス ] タブの設定 [Network] > [ 仮想ルーター ] > [ マルチキャスト ] > [ インターフェイス ] 以下の表に、[ インターフェイス ] タブの設定を示します。 表 114. マルチキャスト設定 — [ インターフェイス ] タブ フィールド 内容 [インターフェイス] サブタブ 名前 インターフェイス グループの識別に使用する名前を入力します。 内容 任意の説明を入力します。 インターフェイス [ 追加 ] をクリックして、1 つ以上のファイアウォール インターフェイス を指定します。 グループ許可 マルチキャスト トラフィックの一般ルールを指定します。 • すべてのソース — [ 追加 ] をクリックし、PIM-SM トラフィックを許可 するマルチキャスト グループのリストを指定します。 • 送信元固有 — [ 追加 ] をクリックし、PIM-SSM トラフィックを許可す るマルチキャスト グループとマルチキャスト送信元のペアのリストを 指定します。 Palo Alto Networks ネットワーク設定 • 185 表 114. マルチキャスト設定 — [ インターフェイス ] タブ(続き) フィールド 内容 IGMP IGMP トラフィックのルールを指定します。ホストの対向インターフェ イス (IGMP ルータ ) または IGMP プロキシ ホストのインターフェイスで IGMP を有効にする必要があります。 • 有効化 — IGMP 設定を有効にするには、このチェック ボックスをオン にします。 • IGMP バージョン — インターフェイスで実行するバージョン (1、2、 または 3) を選択します。 • ルーター アラート IP オプションの適用 — IGMPv2 または IGMPv3 の 場合にルータ アラート IP オプションを要求するには、このチェック ボックスをオンにします。IGMPv1 との互換性を確保するには、このオ プションを無効にする必要があります。 • 頑強性 — ネットワーク上のパケット損失を考慮するための整数値を選 択します ( 範囲は 1 ~ 7、デフォルトは 2) です。パケット損失が頻繁に 発生する場合は高い値を選択します。 • 最大ソース — このインターフェイスで許可する送信元特定メンバシッ プの最大数を指定します (0 = 無制限 )。 • 最大グループ — このインターフェイスで許可するグループの最大数を 指定します。 • Query Configuration — 以下を指定します。 – クエリ間隔 — 一般的なクエリをすべてのホストに送信する間隔を指 定します。 – 最大照会応答時間 — 一般的なクエリとホストからの応答間の最大時 間を指定します。 – 最終メンバー照会間隔 — グループまたは送信元固有のクエリ メッ セージ ( グループからの脱退を示すメッセージに応答して送信され たメッセージを含む ) 間の間隔を指定します。 – すぐに終了 — 脱退メッセージを受信したときにすぐにグループから 脱退させるには、このチェック ボックスをオンにします。 PIM 以下の Protocol Independent Multicast (PIM) 設定を指定します。 • 有効化 — このインターフェイスで PIM メッセージの受信や転送を許 可するには、このチェック ボックスをオンにします。 • アサート間隔 — PIM アサート メッセージ間の間隔を指定します。 • Hello 間隔 — PIM hello メッセージ間の間隔を指定します。 • Join Prune Interval — PIM join および prune メッセージ間の間隔を指 定します ( 秒 )。デフォルトは 60 です。 • DR 優先順位 — このインターフェイスの指名ルータの優先度を指定し ます。 • BSR ボーダー — ブートストラップ境界としてインターフェイスを使 用するには、このチェック ボックスをオンにします。 • PIM ネイバー — [ 追加 ] をクリックし、PIM を使用して通信するネイ バーのリストを指定します。 186 • ネットワーク設定 Palo Alto Networks [SPT しきい値 ] タブの設定 [Network] > [ 仮想ルーター ] > [SPT しきい値 ] 以下の表に、[SPT しきい値 ] タブの設定を示します。 表 115. マルチキャスト設定 — [SPT しきい値 ] タブ フィールド 内容 [SPT しきい値 ] サブタブ 名前 最短パス ツリー (SPT) のしきい値では、マルチキャスト ルーティングで 共有ツリー配信 (ランデブー ポイントが送信元) から送信元ツリー配信に 切り替えるスループット速度 (kbps) を定義します。 [ 追加 ] をクリックし、以下の SPT 設定を指定します。 • マルチキャスト グループ / プレフィックス — スループットが該当のし きい値 (kbps) に達したときに SPT が送信元ツリー配信に切り替わるマ ルチキャスト IP アドレス / プレフィックスを指定します。 • しきい値 — 共有ツリー配信から送信元ツリー配信に切り替わるスルー プットを指定します。 [ 送信元固有のアドレス スペース ] タブの設定 [Network] > [ 仮想ルーター ] > [ マルチキャスト ] > [ 送信元固有のアドレス スペース ] 以下の表に、[ 送信元固有のアドレス スペース ] タブの設定を示します。 表 116. マルチキャスト設定 — [ 送信元固有のアドレス スペース ] タブ フィールド 内容 [ 送信元固有の アドレス スペース ] サブタブ 名前 ファイアウォールで送信元特定マルチキャスト (SSM) サービスを提供す るマルチキャスト グループを定義します。 [ 追加 ] をクリックし、送信元特定アドレスの以下の設定を指定します。 • 名前 — この設定のグループの識別に使用する名前を入力します。 • グループ — SSM アドレス空間のグループを指定します。 • 含まれる — 特定のグループを SSM アドレス空間に含めるには、この チェック ボックスをオンにします。 Palo Alto Networks ネットワーク設定 • 187 セキュリティ ゾーンの定義 [Network] > [ ゾーン ] ファイアウォール インターフェイスでトラフィックを処理するには、インターフェイスがセ キュリティ ゾーンに割り当てられている必要があります。セキュリティ ゾーンを定義するに は、[ 新規 ] をクリックし、以下の情報を指定します。 表 117. セキュリティ ゾーン設定 フィールド 内容 名前 ゾーン名 ( 最大 15 文字 ) を入力します。この名前は、セキュリティ ポリ シーの定義時とインターフェイスの設定時にゾーンのリストに表示され ます。名前の大文字と小文字は区別されます。また、一意の名前にする 必要があります。文字、数字、スペース、ハイフン、ピリオド、および アンダースコアのみを使用してください。 場所 このフィールドは、デバイスが複数の仮想システム (vsys) をサポートし、 その機能が有効な場合にのみ表示されます。このゾーンに適用する vsys を選択します。 タイプ ゾーン タイプ ([ レイヤー 2]、[ レイヤー 3]、[ バーチャル ワイヤー ]、 [ タップ ]、[ 外部仮想システム ] のいずれか ) を選択します。これにより、 選択したタイプで、まだゾーンに割り当てられていないインターフェイ スがすべて表示されます。[ レイヤー 2] および [ レイヤー 3] ゾーン タイ プでは、該当タイプの Ethernet インターフェイスとサブインターフェイ スがすべて表示されます。[ 外部仮想システム ] タイプは、ファイア ウォール内の仮想システム間の通信に使用します。 各インターフェイスは、1 つの仮想システムの 1 つのゾーンに属するこ とができます。 ゾーン プロテクション プロファイル セキュリティ ゲートウェイがこのゾーンからの攻撃に対応する方法を指 定したプロファイルを選択します。新しいプロファイルを追加する方法 については、「ゾーン プロテクション プロファイルの定義」を参照して ください。 ログ設定 ゾーン プロテクション ログを外部システムに転送するためのログ転送 プロファイルを選択します。 デフォルトと指定されたログ転送プロファイルがある場合は、新しいセ キュリティ ゾーンを定義するときに、このフィールドにこのプロファイ ルが自動的に選択されます。続けて新しいセキュリティ ゾーンを定義す るときに別のログ転送プロファイルを選択すれば、このデフォルト設定 をいつでもオーバーライドできます。新しいログ転送プロファイルを定 義または追加する ( およびプロファイルをデフォルトに指定してこの フィールドに自動入力されるようにする ) には、[ 新規 ] をクリックしま す (「ログ転送」を参照 )。 ユーザー ID の有効化 ゾーン単位で User-ID 機能を有効にするには、オンにします。 ユーザー ID ACL 許可リスト 識別対象のユーザーまたはグループの IP アドレスまたは IP アドレス / マスクを入力します ( 例 : 10.1.1.1/24)。[ 追加 ] をクリックします。必要に 応じて繰り返します。許可リストが設定されていない場合、すべての IP アドレスが許可されます。 ユーザー ID ACL 除外リスト 明示的に識別対象ではないユーザーまたはグループの IP アドレスまたは IP アドレス / マスクを入力します ( 例 : 10.1.1.1/24)。[ 追加 ] をクリック します。必要に応じて繰り返します。除外リストが設定されていない場 合、すべての IP アドレスが許可されます。 188 • ネットワーク設定 Palo Alto Networks VLAN サポート [Network] > [VLAN] このファイアウォールでは、IEEE 802.1Q 標準に準拠する VLAN がサポートされています。 ファイアウォールに定義されたレイヤー 2 インターフェイスはそれぞれ VLAN に関連付ける 必要があります。同じ VLAN を複数のレイヤー 2 インターフェイスに割り当てることができ ますが、各インターフェイスは 1 つの VLAN にのみ属することができます。 表 118. VLAN 設定 フィールド 内容 名前 VLAN 名 ( 最大 31 文字 ) を入力します。この名前は、インターフェイス を設定するときに VLAN のリストに表示されます。名前の大文字と小文 字は区別されます。また、一意の名前にする必要があります。文字、数 字、スペース、ハイフン、およびアンダースコアのみを使用してください。 VLAN インターフェイス トラフィックを VLAN の外部にルーティングできるようにするには、 VLAN インターフェイスを選択します。VLAN インターフェイスを定義 する方法については、 「VLAN インターフェイスの設定」を参照してくだ さい。 インターフェイス VLAN のファイアウォール インターフェイスを指定します。 スタティック MAC 設定 MAC アドレスが到達するために経由する必要のあるインターフェイス を指定します。これは、学習したインターフェイス対 MAC のマッピン グよりも優先されます。 DHCP サーバーと DHCP リレー [Network] > [DHCP] ファイアウォール上のインターフェイスは、DHCP サーバーまたは DHCP リレー エージェン トとして設定できます。レイヤー 3、Ethernet、Ethernet の集約、またはレイヤー 3 VLAN イ ンターフェイス上の DHCP サーバーは、IP アドレスを割り当てて、クライアントに DHCP オプションを提供できます。複数の DHCP サーバーがサポートされます。クライアント リク エストはすべてのサーバーに転送され、最初のサーバー レスポンスがクライアントに返送さ れます。 以下の表に、[DHCP サーバー ] および [DHCP リレー ] タブのフィールドを示します。 表 119. DHCP 設定 フィールド 内容 [DHCP サーバー ] タブ インターフェイス DHCP サーバーとして機能するファイアウォール インターフェイスを選 択します。 モード DHCP サーバーが有効か無効かを選択するか、自動モードを選びます。 このモードでは、DHCP サーバーが有効になりますが、ネットワーク上 で別の DHCP サーバーが検出されると無効になります。 Palo Alto Networks ネットワーク設定 • 189 表 119. DHCP 設定(続き) フィールド 内容 新しい IP を割り当てる ときに IP に Ping する DHCP サーバーがクライアントに IP アドレスを割り当てるときに ping メッセージを送信するには、このチェック ボックスをオンにします。 ping が応答を受信した場合は、すでに別のデバイスにそのアドレスが設 定されているため、割り当てられないことを意味します。DHCP サー バーがプールから次のアドレスを割り当てます。 リース DHCP サーバーが IP アドレスをクライアントに割り当てる期間。[ 無制 限 ] を選択するか、[ タイムアウト ] を選択してリース期間の [ 日 ]、[ 時 間 ]、[ 分 ] ( 任意 ) を入力します。たとえば、時間数のみを入力した場合、 リースはその時間数に制限されます。 継承ソース 各種サーバーの設定を DHCP サーバーに配信するソースの DHCP クラ イアント インターフェイスまたは PPPoE クライアント インターフェイス を選択します。[ 継承ソース ] を指定する場合は、このソースから継承す るオプションを 1 つ以上選択します。サーバーは、DNS、WINS、NTP、 POP3、SMTP サーバーのアドレス、および DNS サフィックスを継承で きます。 ゲートウェイ この DHCP サーバーと同じ LAN 上にはないデバイスに到達するために 使用するネットワーク ゲートウェイの IP アドレスを入力します。 IP プール サブネット [IP プール ] フィールドに、アドレスに適用するネットワーク マスク (x.x.x.x の形式 ) を入力します。 プライマリ DNS [ 継承済み ] を選択するか、優先する Dmain Name System (DNS) サー バーの IP アドレスを入力します。 セカンダリ DNS [ 継承済み ] を選択するか、代替の DNS サーバーの IP アドレスを入力し ます。 プライマリ WINS [ 継承済み ] を選択するか、優先する Windows Internet Naming Service (WINS) サーバーの IP アドレスを入力します。 セカンダリ WINS [ 継承済み ] を選択するか、代替の WIN サーバーの IP アドレスを入力し ます。 プライマリ NIS [ 継承済み ] を選択するか、優先する Network Information Service (NIS) サーバーの IP アドレスを入力します。 セカンダリ NIS [ 継承済み ] を選択するか、代替の NIS サーバーの IP アドレスを入力し ます。 プライマリ NTP [ 継承済み ] を選択するか、プライマリ Network Time Protocol (NTP) サーバーの IP アドレスを入力します。プライマリとセカンダリの両方の NTP サーバーを指定した場合は、ファイアウォールが優先劣後なくいず れかを使用します。 セカンダリ NTP [ 継承済み ] を選択するか、セカンダリ NTP サーバーの IP アドレスを入 力します。 POP3 サーバー [ 継承済み ] を選択するか、Post Office Protocol (POP3) サーバーの IP ア ドレスを入力します。 SMTP サーバー [ 継承済み ] を選択するか、Simple Mail Transfer Protocol (SMTP) サー バーの IP アドレスを入力します。 DNS サフィックス [ 継承済み ] を選択するか、解決できない非修飾ホスト名が入力されたと きにクライアントがローカルで使用するサフィックスを入力します。 190 • ネットワーク設定 Palo Alto Networks 表 119. DHCP 設定(続き) フィールド 内容 IP プール [ 追加 ] をクリックして、このサーバーがクライアントに割り当て、この DHCP 設定が適用する IP アドレスの範囲を指定します。IP サブネット とサブネット マスク ( たとえば、192.168.1.0/24)、または IP アドレスの 範囲 ( たとえば、192.168.1.10-192.168.1.20) を入力できます。 少なくとも 1 つの IP プールが必要です。複数の IP プールを入力できま す。既存のエントリを編集するには、[ 編集 ] をクリックして変更を行い、 [OK] をクリックします。エントリを削除するには、[ 削除 ] をクリック します。 予約済みアドレス DHCP サーバーでクライアントにダイナミックに割り当てない IP プー ルの IP アドレス (x.x.x.x の形式 ) を指定します。 予約済みアドレスを永久的に割り当てるデバイスの MAC アドレス (xx:xx:xx:xx:xx:xx の形式 ) を入力します ( 任意 )。この MAC アドレスの あるクライントがサーバーに要求を送信すると、サーバーがクライアン トに予約済みアドレスを割り当てます。 複数の予約済みアドレスおよび MAC アドレスを入力できます。既存の エントリを編集するには、[ 編集 ] をクリックして変更を行い、[OK] をク リックします。エントリを削除するには、[ 削除 ] をクリックします。 このエリアを空白のままにした場合、予約済みの IP アドレスはありま せん。 [DHCP リレー ] タブ インターフェイス DHCP リレー エージェントとして機能するファイアウォール インター フェイスを選択します。 IPv4 DHCP リレーの IPv4 アドレスを使用して、最大 4 つの DHCP サーバー の IPv4 アドレスを指定するには、[IPv4] チェック ボックスをオンにし ます。 IPv6 DHCP リレーの IPv6 アドレスを使用して、最大 4 つの DHCP サーバー の IPv6 アドレスを指定するには、[IPv6] チェック ボックスをオンにし ます。サーバーの IPv6 マルチキャスト アドレスを使用している場合、 送信インターフェイスを指定します。 DNS プロキシ [Network] > [DNS プロキシ ] ファイアウォールでは、インターフェイスの IP アドレスに送信されるすべての DNS クエリ を対象に、ドメイン名のすべてまたは一部に基づいて異なる DNS サーバーへクエリを選択的 に送信できます。TCP または UDP の DNS クエリは、設定したインターフェイスを経由して 送信されます。DNS クエリの回答が 1 つの UDP パケットに対して長すぎる場合、UDP クエ リは TCP に切り替えられます。 ドメイン名が DNS プロキシ キャッシュで見つからない場合、(DNS クエリが届くインター フェイスの ) 特定 DNS プロキシ オブジェクト エントリの設定に基づいて一致するドメイン 名が検索され、一致結果に基づいてネーム サーバーに転送されます。一致するドメイン名が 見つからない場合、デフォルトのネーム サーバーが使用されます。静的エントリおよび キャッシュもサポートされています。 Palo Alto Networks ネットワーク設定 • 191 表 120. DNS プロキシ設定 フィールド 内容 名前 DNS プロキシの識別に使用する名前を指定します ( 最大 31 文字 )。名前 の大文字と小文字は区別されます。また、一意の名前にする必要があり ます。文字、数字、スペース、ハイフン、およびアンダースコアのみを 使用してください。 有効化 DNS プロキシを有効にするには、このチェック ボックスをオンにします。 継承ソース デフォルトの DNS サーバー設定を継承する送信元を選択します。これは 一般的に、ファイアウォールの WAN インターフェイスが DHCP または PPPoE でアドレス指定される支社の導入で使用されます。 プライマリ デフォルトのプライマリおよびセカンダリ DNS サーバーの IP アドレス を指定します。プライマリ DNS サーバーが見つからないと、セカンダリ DNS サーバーが使用されます。 セカンダリ 継承ソース状態の チェック DHCP クライアント インターフェイスおよび PPPoE クライアント イン ターフェイスに現在割り当てられているサーバー設定を確認するには、 リ ン ク を ク リ ッ ク し ま す。こ れ に は、DNS、WINS、NTP、POP3、 SMTP、または DNS サフィックスなどが含まれます。 インターフェイス DNS プロキシ ルールをサポートするファイアウォール インターフェイ スを指定するには、インターフェイス チェック ボックスをオンにしま す。ドロップダウン リストからインターフェイスを選択し、[ 追加 ] をク リックします。複数のインターフェイスを追加できます。インターフェ イスを削除するには、インターフェイスを選択して [ 削除 ] をクリックし ます。 DNS プロキシ ルール DNS プロキシ サーバー ルールを指定します。[ 追加 ] をクリックし、以 下の情報を指定します。 • 名前 — CLI 経由でスタティック エントリを参照して変更するには、名 前が必要です。 • このマッピングによって解決されるドメインのキャッシングをオンに する — このマッピングで解決されるドメインのキャッシュを有効にす るには、このチェック ボックスをオンにします。 • ドメイン名 — [ 追加 ] をクリックし、プロキシ サーバーのドメイン名 を入力します。名前を追加する場合は、この操作を繰り返します。名前 を削除するには、名前を選択して [ 削除 ] をクリックします。DNS プロ キシ ルールでは、ワイルドカード文字列のトークンの数とリクエスト したドメインのトークンの数が一致している必要があります。たとえ ば、「*.engineering.local」と「engineering.local」は一致しません。両 方を指定する必要があります。 • Primary/Secondary — プライマリおよびセカンダリ DNS サーバーのホ スト名または IP アドレスを入力します。 192 • ネットワーク設定 Palo Alto Networks 表 120. DNS プロキシ設定(続き) フィールド 内容 スタティック エントリ ホストによる DNS クエリに応答して配信される IP アドレス マッピング にスタティック FQDN を提供します。[ 追加 ] をクリックし、以下の情 報を指定します。 • 名前 — スタティック エントリの名前を入力します。 • FQDN — [ アドレス ] フィールドで定義されたスタティック IP アドレ スにマッピングされる完全修飾ドメイン名 (FQDN) を入力します。 • アドレス — [ 追加 ] をクリックし、このドメインにマッピングする IP アドレスを入力します。 アドレスを追加する場合は、この操作を繰り返します。アドレスを削 除するには、アドレスを選択して [ 削除 ] をクリックします。 詳細 以下の情報を指定します。 • キャッシュ — DNS キャッシュを有効にするには、このチェック ボッ クスをオンにして以下の情報を指定します。 – サイズ — キャッシュで保持するエントリ数を指定します ( 範囲は 1024 ~ 10240、デフォルトは 1024)。 – Timeout — キャッシュされたすべてのエントリが削除されるまでの 期間 ( 時間 ) を指定します。DNS の time-to-live 値は、保存されてい る期間が設定したタイムアウト期間よりも短いキャッシュ エントリ を削除するために使用されます。タイムアウトに従い、新しいクエ リは解決されて再度キャッシュされます ( 範囲は 4 ~ 24 時間、デ フォルトは 4 時間 ) • TCP Queries — TCP を使用する DNS クエリを有効にするには、この チェック ボックスをオンにして以下の情報を指定します。 – 最大保留要求 — ファイアウォールでサポートされる同時未解決 TCP DNS 要求数の上限を指定します ( 範囲は 64 ~ 256、デフォルトは 64)。 • UDP Queries Retries — UDP クエリの再試行の設定を指定します。 – Interval — 応答を受信しなかった場合に別のリクエストが送信される までの時間 ( 秒 ) を指定します ( 範囲は 1 ~ 30 秒、デフォルトは 2 秒 )。 – Attempts — 次の DNS サーバーが試行するまでの最大試行回数 ( 最 初の試行は除く ) を指定します ( 範囲は 1 ~ 30、デフォルトは 5)。 Palo Alto Networks ネットワーク設定 • 193 インターフェイス管理プロファイルの定義 [Network] > [ ネットワーク プロファイル ] > [ インターフェイス管理 ] ファイアウォールの管理に使用するプロトコルを指定するには、このページを使用します。 各インターフェイスに管理プロファイルを割り当てる方法については、「レイヤー 3 Ethernet インターフェイスの設定」および「レイヤー 3 Ethernet サブインターフェイスの設定」を参 照してください。 表 121. インターフェイス管理プロファイル設定 フィールド 内容 名前 プロファイル名 ( 最大 31 文字 ) を入力します。この名前は、インターフェ イスを設定するときにインターフェイス管理プロファイルのリストに表 示されます。名前の大文字と小文字は区別されます。また、一意の名前 にする必要があります。文字、数字、スペース、ハイフン、およびアン ダースコアのみを使用してください。 ping このプロファイルが適用されるインターフェイスで有効にするサービス ごとに、このチェック ボックスをオンにします。 Telnet SSH HTTP HTTP OCSP HTTPS SNMP 応答ページ User-ID サービス アクセス許可 IP アドレス [ 応答ページ ] チェック ボックスでは、キャプティブ ポータルおよび URL フィルタリング応答ページを配信するために使用するポートをレイヤー 3 インターフェイスで開くかどうかを制御します。この設定を有効にす ると、ポート 6080 と 6081 が開いたままになります。 [User-ID サービス ] オプションは、他の PAN-OS ファイアウォールへの マッピング情報をユーザーに提供するためにファイアウォールが再配信 ポイントとして動作している場合、ファイアウォール間の通信を許可する ために必要です。 「[ ユーザー ID エージェント ]」を参照してください。 ファイアウォールを管理できる IPv4 または IPv6 アドレスのリストを入 力します。 モニター プロファイルの定義 [Network] > [ ネットワーク プロファイル ] > [ モニター ] モニター プロファイルは、IPSec トンネルをモニターする場合や、ポリシーベースの転送 (PBF) ルールのネクストホップ デバイスをモニターする場合に使用されます。どちらの場合 も、モニター プロファイルは、リソース (IPSec トンネルまたはネクストホップ デバイス ) が 使用できなくなった場合に実行するアクションを指定するために使用されます。モニター プ ロファイルは任意ですが、サイト間の接続を持続し、PBF ルールを確実に維持するのに非常 に効果的です。モニター プロファイルの設定には以下の設定が使用されます。 表 122. モニター設定 フィールド 内容 名前 モニター プロファイルの識別に使用する名前を入力します ( 最大 31 文字 )。 名前の大文字と小文字は区別されます。また、一意の名前にする必要が あります。文字、数字、スペース、ハイフン、およびアンダースコアの みを使用してください。 194 • ネットワーク設定 Palo Alto Networks 表 122. モニター設定(続き) フィールド 内容 アクション トンネルを使用できないときに実行するアクションを指定します。ハー トビート喪失の許容発生回数がしきい値に達すると、指定したアクショ ンがファイアウォールによって実行されます。 • wait-recover — トンネルが回復するまで待機します。他のアクションは実 行しません。パケットは、PBF ルールに従って引き続き送信されます。 • fail-over — トラフィックをバックアップ パスにフェイルオーバーしま す ( 使用可能な場合 )。ファイアウォールはルーティング テーブル検索 を使用してこのセッション中のルーティングを判別します。 どちらの場合も、早く回復できるようにファイアウォールによって新し い IPsec キーがネゴシエートされます。 間隔 ハートビート間隔 (2 ~ 10。デフォルトは 3) を指定します。 しきい値 ハートビート喪失の発生回数 (2 ~ 100、デフォルトは 5) を指定します。 この回数に超えると指定したアクションがファイアウォールによって実 行されます。 ゾーン プロテクション プロファイルの定義 [Network] > [ ネットワーク プロファイル ] > [ ゾーン プロテクション ] ゾーン プロテクション プロファイルは、ごく一般的なフラッド、偵察行為攻撃、その他のパ ケット ベースの攻撃から保護します。このプロファイルは、ingress ゾーン ( トラフィック がファイアウォールに進入するゾーン ) での幅広い保護を目的とするもので、特定のエンド ホストや特定の宛先ゾーンに進入するトラフィックを阻止するものではありません。ファイ アウォールのゾーン プロテクション機能を補完する目的で、特定のゾーン、インターフェイ ス、IP アドレス、ユーザーなどに対応する DoS 保護ルールベースを使用します。 注 : ゾーン プロテクションは、パケットに一致するセッションがない場合にのみ適用されます。パケッ トが既存のセッションに一致する場合は、ゾーン プロテクション設定をバイパスします。 ゾーン プロテクション プロファイルを設定するには、[ 追加 ] をクリックして以下の設定を 指定します。 表 123. ゾーン プロテクション プロファイル設定 フィールド 内容 名前 プロファイル名 ( 最大 31 文字 ) を入力します。この名前は、ゾーンを設 定するときにゾーン プロテクション プロファイルのリストに表示され ます。名前の大文字と小文字は区別されます。また、一意の名前にする 必要があります。文字、数字、スペース、およびアンダースコアのみを 使用してください。 内容 ゾーン プロテクション プロファイルの任意の説明を入力します。 Palo Alto Networks ネットワーク設定 • 195 ゾーン プロテクション プロファイルを定義するときは、[ 全般 ] タブと、ネットワーク トポ ロジで必要となる以下のタブで設定を指定する必要があります。 • [ フラッド防御 ] タブ : 「フラッド防御の設定」を参照してください。 • [ 偵察行為防御 ] タブ : 「偵察行為防御の設定」を参照してください。 • [ パケット ベースの攻撃保護 ] タブ : 「パケット ベースの攻撃保護の設定」を参照してく ださい。 複数の仮想システムがある環境で、以下を有効にしている場合は、 • 仮想システム間の通信が可能な外部ゾーン • 仮想システムが外部通信に共通インターフェイスおよび 1 つの IP アドレスを共 有できる共有ゲートウェイ 以下のゾーンおよび DoS 保護メカニズムが、外部ゾーンで無効になります。 • SYN Cookie • IP フラグメント • ICMPv6 IP フラグメントと ICMPv6 防御を有効にするには、共有ゲートウェイ用のゾーン プロテクション プロファイルを作成する必要があります。 共有ゲートウェイで SYN フラッドから保護するには、Random Early Drop または SYN Cookie のいずれかを設定した SYN フラッド防御プロファイルを適用できま す。外部ゾーンでは、SYN フラッド防御に Random Early Drop のみを使用できます。 フラッド防御の設定 [Network] > [ ネットワーク プロファイル ] > [ ゾーン プロテクション ] > [ フラッド防御 ] 以下の表に、[ フラッド防御 ] タブの設定を示します。 表 124. [ フラッド防御 ] タブ設定 フィールド 内容 フラッド防御のしきい値 — SYN フラッド アクション SYN フラッド攻撃に対して実行するアクションを選択します。 • Random Early Drop — フラッド攻撃を軽減するために SYN パケット を廃棄します。 – フローが [ アラート ] 率のしきい値を上回ると、アラームが生成され ます。 – フローが [ アクティベーション ] 率のしきい値を上回ると、フローを 制限するために個々の SYN パケットをランダムに廃棄します。 – フローが [ 最大 ] 率のしきい値を上回ると、すべてのパケットを廃棄 します。 • SYN Cookie — 未確立のコネクションをメモリに保存する必要のない SYN-ACK パケットのシーケンス番号を計算します。この方法をお勧め します。 196 • ネットワーク設定 Palo Alto Networks 表 124. [ フラッド防御 ] タブ設定(続き) フィールド 内容 アラート ( パケット / 秒 ) 攻撃アラームをトリガーしたゾーンで 1 秒間に受信される SYN パケット の数を入力します。アラームは、ダッシュボード (「ダッシュボードの使 用」を参照 ) と脅威ログ (「パケット キャプチャの実行」を参照 ) で確認 できます。 アクティベーション ( パケット / 秒 ) 指定したアクションをトリガーしたゾーンで 1 秒間に受信される SYN パ ケットの数を入力します。 最大 ( パケット / 秒 ) 1 秒間に受信可能な SYN パケットの最大数を入力します。最大数を超過 した分のパケットは廃棄されます。 フラッド防御のしきい値 — ICMP フラッド アラート ( パケット / 秒 ) 攻撃アラームをトリガーした宛先と同じ宛先について 1 秒間に受信され る ICMP エコー リクエスト (ping) の数を入力します。 アクティベーション ( パケット / 秒 ) 後続の ICMP パケットを廃棄するゾーンで 1 秒間に受信される ICMP パ ケットの数を入力します。 最大 ( パケット / 秒 ) 1 秒間に受信可能な ICMP パケットの最大数を入力します。最大数を超 過した分のパケットは廃棄されます。 フラッド防御のしきい値 — ICMPv6 アラート ( パケット / 秒 ) 攻撃アラームをトリガーした宛先と同じ宛先について 1 秒間に受信され る ICMPv6 エコー リクエスト (ping) の数を入力します。 アクティベーション ( パケット / 秒 ) 後続の ICMPv6 パケットを廃棄するゾーンについて 1 秒間に受信される ICMPv6 パケットの数を入力します。ICMPv6 パケット数がしきい値を 下回ると、計測は停止します。 最大 ( パケット / 秒 ) 1 秒間に受信可能な ICMPv6 パケットの最大数を入力します。最大数を 超過した分のパケットは廃棄されます。 フラッド防御のしきい値 — UDP アラート (パケット/秒) 攻撃アラームをトリガーしたゾーンで 1 秒間に受信される UDP パケッ トの数を入力します。 アラート ( パケット / 秒 ) UDP パケットのランダムな廃棄をトリガーしたゾーンで 1 秒間に受信さ れる UDP パケットの数を入力します。UDP パケット数がしきい値を下 回ると、レスポンスは無効になります。 最大 ( パケット / 秒 ) 1 秒間に受信可能な UDP パケットの最大数を入力します。最大数を超過 した分のパケットは廃棄されます。 フラッド防御のしきい値 — その他の IP アラート ( パケット / 秒 ) 攻撃アラームをトリガーしたゾーンで 1 秒間に受信される IP パケットの 数を入力します。 アクティベーション ( パケット / 秒 ) IP パケットのランダムな廃棄をトリガーしたゾーンで 1 秒間に受信され る IP パケットの数を入力します。IP パケット数がしきい値を下回ると、 レスポンスは無効になります。最大数を超過した分のパケットは廃棄さ れます。 最大 ( パケット / 秒 ) 1 秒間に受信可能な IP パケットの最大数を入力します。最大数を超過し た分のパケットは廃棄されます。 Palo Alto Networks ネットワーク設定 • 197 偵察行為防御の設定 [Network] > [ ネットワーク プロファイル ] > [ ゾーン プロテクション ] > [ 偵察行為防御 ] 以下の表に、[ 偵察行為防御 ] タブの設定を示します。 表 125. [ 偵察行為防御 ] タブ設定 フィールド 内容 偵察行為防御 — TCP ポート スキャン、UDP ポート スキャン、ホスト スイープ 間隔 ( 秒 ) ポート スキャンおよびホスト スイープ検出の時間間隔を入力します ( 秒 単位 )。 しきい値 ( イベント ) 指定した時間間隔内のポート スキャン数のしきい値を入力します。この値 に達するとこのプロテクション タイプ ( イベント ) がトリガーされます。 アクション このイベント タイプに対してシステムが実行するアクションを入力し ます。 • 許可 — ホスト スイープ偵察行為のポート スキャンを許可します。 • アラート — 指定した時間間隔内でスキャンまたはスイープがしきい値 に達するたびにアラートを生成します。 • ブロック — 指定した時間間隔が終わるまで、送信元から宛先へのそれ 以降のパケットをすべて廃棄します。 • ブロック IP — 指定した期間それ以降のパケットをすべて廃棄します。 送信元トラフィック、宛先トラフィックまたは送信元トラフィックと 宛先トラフィックの組み合わせをブロックするかどうかを選択し、期 間 ( 秒 ) を入力します。 IPv6 のパケットのドロップ タイプ 0 のルーティング ヘッダー タイプ 0 のルータ ヘッダーを含む IPv6 パケットを廃棄するには、この チェック ボックスをオンにします。 IPv4 互換アドレス IPv4 互換アドレスを含む IPv6 パケットを廃棄するには、このチェック ボックスをオンにします。 マルチキャスト送信元 アドレス マルチキャスト送信元アドレスを含む IPv6 パケットを廃棄するには、こ のチェック ボックスをオンにします。 エニーキャスト送信元 アドレス エニーキャスト送信元アドレスを含む IPv6 パケットを廃棄するには、こ のチェック ボックスをオンにします。 パケット ベースの攻撃保護の設定 [Network] > [ネットワーク プロファイル] > [ゾーン プロテクション] > [パケット ベース の攻撃保護 ] パケット ベースの攻撃保護の設定には以下のタブが使用されます。 • TCP/IP ドロップ : 「[TCP/IP ドロップ ] タブの設定」を参照してください。 • ICMP ドロップ : 「[ICMP ドロップ ] タブの設定」を参照してください。 • IPv6 ドロップ : 「[IPv6 ドロップ ] タブの設定」を参照してください。 • ICMPv6: 「[ICMPv6 ドロップ ] タブの設定」を参照してください。 198 • ネットワーク設定 Palo Alto Networks [TCP/IP ドロップ ] タブの設定 [TCP/IP ドロップ ] を設定するには、以下の設定を指定します。 表 126. [ パケット ベースの攻撃保護 ] タブ設定 フィールド 内容 [TCP/IP ドロップ ] サブタブ スプーフされた IP アドレス IP アドレス スプーフィングに対する防御を有効にするには、このチェッ ク ボックスをオンにします。 フラグメントされた トラフィック フラグメント化された IP パケットを廃棄します。 重複する TCP セグメントの不一致 この設定によって、ファイアウォールが重複の不一致をレポートし、セ グメント データが以下のシナリオに一致しない場合はパケットを廃棄し ます。 • セグメントが別のセグメント内にある。 • セグメントが別のセグメントの一部と重複する。 • セグメントが別のセグメントを完全に含んでいる。 この保護メカニズムは、シーケンス番号を使用して、TCP データ スト リーム内のどこにパケットが存在するかを判別します。 Remove TCP Timestamp パケットのヘッダーに TCP タイムスタンプがあるかどうかを判断し、あ る場合はヘッダーから除去します。 非 SYN TCP の拒否 TCP セッション セットアップの最初のパケットが SYN パケットではな い場合にパケットを拒否するかどうかを決定します。 • Global — CLI で割り当てたシステム全体の設定を使用します。 • Yes — 非 SYN TCP を拒否します。 • No — 非 SYN TCP を受け入れます。非 SYN TCP トラフィックを受け 入れると、ブロックの発生後にクライアント接続やサーバー接続が設 定されていない場合にファイル ブロッキング ポリシーが正常に動作し ない可能性があります。 非対称パス 同期していない ACK またはウィンドウ外のシーケンス番号を含むパ ケットをドロップするかバイパスするかを決定します。 • global — CLI で割り当てたシステム全体の設定を使用します。 • drop — 非対称パスを含むパケットをドロップします。 • bypass — 非対称パスを含むパケットでスキャンをバイパスします。 IP オプションの ドロップ ストリクト ソース ルーティング [ ストリクト ソース ルーティング ] IP オプションが設定されたパケット を廃棄します。 ルーズ ソース ルーティング [ ルーズ ソース ルーティング ] IP オプションが設定されたパケットを廃 棄します。 タイムスタンプ [ タイムスタンプ ] IP オプションが設定されたパケットを廃棄します。 レコード ルート [ レコード ルート ] IP オプションが設定されたパケットを廃棄します。 セキュリティ セキュリティ オプションが定義されている場合、パケットを廃棄します。 Palo Alto Networks ネットワーク設定 • 199 表 126. [ パケット ベースの攻撃保護 ] タブ設定(続き) フィールド 内容 ストリーム ID ストリーム ID が定義されている場合、パケットを廃棄します。 不明 クラスと番号が不明な場合、パケットを廃棄します。 異常な形式 RFC 791、1108、1393、2113 に基づいてクラス、番号、長さの組み合わせ に誤りがある場合、パケットを廃棄します。 [ICMP ドロップ ] タブの設定 [ICMP ドロップ ] を設定するには、以下の設定を指定します。 表 127. [ICMP ドロップ ] タブ設定 フィールド 内容 [ICMP ドロップ ] サブタブ ICMP ping ID 0 ICMP ping パケットの識別子の値が 0 の場合、パケットを廃棄します。 ICMP フラグメント ICMP フラグメントで構成されるパケットを廃棄します。 ICMP 大型パケット (>1024) 1024 バイトを超える ICMP パケットを廃棄します。 ICMP TTL 失効エラーを 抑制 ICMP TTL の有効期限切れメッセージの送信を停止します。 ICMP フラグメント要求 メッセージを抑制 インターフェイスの MTU を超えたパケットに対する ICMP フラグメン ト要求メッセージの送信を停止し、フラグメントなし (DF) ビットを設定 します。この設定により、ファイアウォールの背後のホストで PMTUD プロセスが実行されなくなります。 [IPv6 ドロップ ] タブの設定 [IPv6 ドロップ ] を設定するには、以下の設定を指定します。 表 128. [IPv6 ドロップ ] タブ設定 フィールド 内容 [ICMPv6] サブタブ ICMPv6 宛先に到達 不能 — 明示的に セキュリティ ルールに 一致する必要です 既存のセッションと関連付けられている場合でも、ICMPv6 宛先到達不 能エラーに対して明示的なセキュリティ ルールの一致が必要です。 ICMPv6 パケットが大き すぎます — 明示的な セキュリティ ルールの 一致が必要です 既存のセッションと関連付けられている場合でも、ICMPv6 パケットが 大きすぎるエラーに対して明示的なセキュリティ ルールの一致が必要 です。 ICMPv6 時間超過 — 明示的なセキュリティ ルールの一致が必要です 既存のセッションと関連付けられている場合でも、ICMPv6 時間超過エ ラーに対して明示的なセキュリティ ルールの一致が必要です。 200 • ネットワーク設定 Palo Alto Networks 表 128. [IPv6 ドロップ ] タブ設定(続き) フィールド 内容 ICMPv6 パラメータの 問題 — 明示的な セキュリティ ルールの 一致が必要です 既存のセッションと関連付けられている場合でも、ICMPv6 パラメータ の問題エラーに対して明示的なセキュリティ ルールの一致が必要です。 ICMPv6 リダイレクト — 明示的なセキュリティ ルールの一致が必要です 既存のセッションと関連付けられている場合でも、ICMPv6 メッセージ のリダイレクト エラーに対して明示的なセキュリティ ルールの一致が 必要です。 [ICMPv6 ドロップ ] タブの設定 [ICMPv6 ドロップ ] を設定するには、以下の設定を指定します。 表 129. [ICMPv6 ドロップ ] タブ設定 フィールド 内容 [ICMPv6] サブタブ ICMPv6 宛先に到達 不能 — 明示的に セキュリティ ルールに 一致する必要です 既存のセッションと関連付けられている場合でも、ICMPv6 宛先到達不 能エラーに対して明示的なセキュリティ ルールの一致が必要です。 ICMPv6 パケットが大き すぎます — 明示的な セキュリティ ルールの 一致が必要です 既存のセッションと関連付けられている場合でも、ICMPv6 パケットが 大きすぎるエラーに対して明示的なセキュリティ ルールの一致が必要 です。 ICMPv6 時間超過 — 明示的なセキュリティ ルールの一致が必要です 既存のセッションと関連付けられている場合でも、ICMPv6 時間超過エ ラーに対して明示的なセキュリティ ルールの一致が必要です。 ICMPv6 パラメータの 問題 — 明示的な セキュリティ ルールの 一致が必要です 既存のセッションと関連付けられている場合でも、ICMPv6 パラメータ の問題エラーに対して明示的なセキュリティ ルールの一致が必要です。 ICMPv6 リダイレクト — 明示的なセキュリティ ルールの一致が必要です 既存のセッションと関連付けられている場合でも、ICMPv6 メッセージ のリダイレクト エラーに対して明示的なセキュリティ ルールの一致が 必要です。 Palo Alto Networks ネットワーク設定 • 201 202 • ネットワーク設定 Palo Alto Networks 第5章 ポリシーとセキュリティ プロファイル このセクションでは、ポリシーとセキュリティ プロファイルを設定する方法について説明し ます。 • ポリシーのタイプ • ポリシー定義のガイドライン • セキュリティ プロファイル • その他のポリシー オブジェクト ポリシーのタイプ ポリシーを使用すると、ルールを適用して自動的にアクションを実行することによってファ イアウォールの動作を制御できます。以下のタイプのポリシーがサポートされています。 • 基本セキュリティ ポリシー — アプリケーション、ゾーンとアドレス ( 送信元と宛先 )、 および任意のサービス (ポートとプロトコル) ごとにネットワーク セッションをブロック または許可します。ゾーンでは、トラフィックを送受信する物理または論理インターフェ イスが識別されます。「セキュリティ ポリシーの定義」を参照してください。 • ネットワーク アドレス変換 (NAT) ポリシー — 必要に応じてアドレスやポートを変換し ます。「ネットワーク アドレス変換ポリシーの定義」を参照してください。 • ポリシーベースの転送ポリシー — 処理の後に使用される出力インターフェイスを決定し ます。「ポリシーベースの転送ポリシー」を参照してください。 • 復号化ポリシー — セキュリティ ポリシーのトラフィック復号化を指定します。ポリ シーごとに、復号化するトラフィックの URL のカテゴリを指定できます。SSH 復号化 は、SSH シェル アクセス以外にも SSH トンネリングを識別して制御するためにも使用 されます。「復号ポリシー」を参照してください。 • オーバーライド ポリシー — ファイアウォールのアプリケーション定義をオーバーライ ドします。「アプリケーション オーバーライド ポリシーの定義」を参照してください。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 203 • Quality of Services (QoS) ポリシー QoS が有効になっているインターフェイスを通過す るトラフィックの処理を分類する方法を決定します。 「QoS ポリシーの定義」を参照して ください。 • キャプティブ ポータル ポリシー — 識別されていないユーザーの認証をリクエストしま す。「キャプティブ ポータル ポリシーの定義」を参照してください。 • サービス拒否 (DoS) ポリシー — DoS 攻撃から保護し、一致するルールに対応する保護ア クションを実行します。「DoS プロファイルの定義」を参照してください。 Panorama からプッシュされた共有ポリシーは、ファイアウォールの Web インターフェイス ページに緑色で表示され、デバイス上からは編集するこ とができません。 ポリシー定義のガイドライン 以下の特定のガイドラインは、[Policies] タブのページでの操作に適用されます。 • セキュリティ ルールベースの下部に表示されるデフォルト ルールは、セキュリティ ルー ルベース内にある他のどのルールとも一致しないトラフィックを処理する方法をファイ アウォールに指示します。デフォルト ルールは、すべてのイントラゾーン トラフィック を許可し、すべてのインターゾーン トラフィックを拒否するように、ファイアウォール に事前定義されています。これらのルールは事前定義済み設定に含まれるため、一部の ポリシー設定を編集する場合にはオーバーライドする必要があります。Panorama を使 用している場合、デフォルト ルールをオーバーライドして、デバイス グループ コンテキ ストまたは共有コンテキストでファイアウォールにプッシュすることもできます。デ フォルト ルールを元に戻すこともできます。これにより、事前定義済み設定や Panorama からプッシュされた設定が復元されます。 • リストにフィルタを適用するには、[ フィルタ ルール ] ドロップダウン リストから選択 します。値を追加してフィルタを定義するには、項目の下向き矢印をクリックして [ フィ ルタ ] を選択します。デフォルト ルールはルールベース フィルタリングの対象外である ため、常にフィルタリング後のルール リストに表示されます。 • セキュリティ、PBF、または QoS ポリシーを作成または表示するときに、アプリケーショ ン グループ、フィルタ、またはコンテナ情報を表示するには、[ アプリケーション ] 列の オブジェクトの上にマウスを置き、下向き矢印をクリックして [ 値 ] を選択します。これ により、[Object] タブに移動しなくても、ポリシーから直接アプリケーション メンバー を簡単に表示できます。 • 新しいポリシー ルールを追加するには、以下のいずれかの操作を実行します。 – ページの下部にある [ 追加 ] をクリックします。 – 新しいルールのベースとなるルールを選択して [ ルールのコピー ] を選択するか、ルー ルの余白部分をクリックしてルールを選択し、ページ下部の [ ルールのコピー ] を選 択します ( ルールを選択すると背景が黄色になります )。コピーされたルール「rulen」 が選択したルールの下に挿入されます。n は次に使用可能な整数で、これによりルー ル名が一意になります。 204 • ポリシーとセキュリティ プロファイル Palo Alto Networks • ルールは、表示される順序でネットワーク トラフィックと照合されます。以下のいずれか の方法でルールの順序を変更します。 – ルールを選択し、[ 上へ ]、[ 下へ ]、[ 最上部へ ]、または [ 最下部へ ] をクリックします。 – ルール名の下向き矢印をクリックし、[ 移動 ] を選択します。ポップアップ ウィンド ウで順序を変更するルールを選択し、選択したルールを該当のルールの前または後に 移動するかどうかを選択します。 • ルールを有効にするには、ルールを選択して [ 有効化 ] をクリックします。 • 現在使用されていないルールを表示するには、[使用されていないルールの強調表示 ] チェッ ク ボックスをオンにします。 使用されているルール 使用されていないルール ( 黄色の斑点の背景 ) • ポリシーのログを表示するには、ルール名の下向き矢印をクリックし、[ ログ ビューアー ] を選択します。 • 一部のエントリでは、エントリの下向き矢印をクリックして [ 値 ] を選択することで現在 の値を表示できます。列メニューから特定の項目を直接編集、フィルタリング、または 削除することもできます。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 205 • 定義されているポリシーが多数ある場合は、フィルタ バーを使用して、オブジェクト名 または IP アドレスに基づいてポリシー内で使用されているオブジェクトを検索できま す。検索では、アドレス オブジェクトまたはアドレス グループ内のアドレスを検出する ために、埋め込みオブジェクトもスキャンされます。以下のスクリーン ショットには、 フィルタ バーに IP アドレス 10.8.10.177 が入力され、ポリシー「aaa」が表示されていま す。このポリシーでは「aaagroup」というアドレス グループ オブジェクトが使用され、 IP アドレスが含まれています。 フィルタ バー フィルタリングの結果 • [Policies] ページのビューから特定の列を表示したり非表示にしたりできます。 ポリシーのユーザーとアプリケーションの指定 [Policies] > [ セキュリティ ] [Policies] > [ 復号 ] セキュリティ ポリシーの適用対象を、選択したユーザーまたはアプリケーションに制限でき ます。これを行うには、[ セキュリティ ] または [ 復号 ] デバイス ルール ページで [ ユーザー ] または [ アプリケーション ] リンクをクリックします。ルールをアプリケーションで制限する 方法の詳細は、「アプリケーションの定義」を参照してください。 206 • ポリシーとセキュリティ プロファイル Palo Alto Networks 選択したユーザー / グループにポリシーを制限するには、以下の手順を実行します。 1. [ セキュリティ ] または [ 復号 ] デバイス ルール ページで、[ ユーザー ] タブをクリックし て選択ウィンドウを開きます。 RADIUS サーバーを使用していて User-ID エージェントを使用していな い場合、ユーザーのリストは表示されません。ユーザー情報を手動で入力 する必要があります。 2. [ 送信元ユーザー ] テーブルの上にあるドロップダウン メニューをクリックしてユーザー タイプを選択します。 – any — ユーザー データに関係なく任意のトラフィックが含まれます。 – pre-logon — GlobalProtect を使用してネットワークに接続しているが、自分のシステ ムにはログインしていないリモート ユーザーが含まれます。GlobalProtect クライアン トのポータルに [ ログオン前 ] オプションが設定されている場合、自分のマシンに現 在ログインしていないユーザーは、ユーザー名 pre-logon として識別されます。prelogon ユーザー用のポリシーを作成でき、また、ユーザーが直接ログインしていなく ても、そのマシンは完全にログインしているかのようにドメインで認証されます。 – known-user — 認証されたすべてのユーザー ( ユーザー データがマップされた IP) が 含まれます。このオプションは、ドメインの「ドメイン ユーザー」グループに相当し ます。 – unknown — 認証されていないすべてのユーザー ( ユーザーにマップされていない IP アドレス ) が含まれます。たとえば、unknown をゲスト レベルのアクセスに対して 使用できます。これらのユーザーは、ネットワーク上の IP を持っていますが、ドメイ ンに認証されず、ファイアウォール上に IP 対ユーザーのマッピング情報がないため です。 – select — このウィンドウで選択したユーザーが含まれます。たとえば、1 人のユーザー、 個々のユーザーのリスト、グループを追加したり、手動でユーザーを追加する場合が あります。 3. ユーザーのグループを追加するには、[ 使用可能なユーザー グループ ] チェック ボックス をオンにして [ ユーザー グループの追加 ] をクリックします。または、1 つ以上のグルー プに一致するテキストを入力して [ ユーザー グループの追加 ] をクリックします。 4. 個々のユーザーを追加するには、[ ユーザー ] 検索フィールドに検索文字列を入力して [ 検索 ] をクリックします。次に、ユーザーを選択して [ ユーザーの追加 ] をクリックし ます。または、[ 追加ユーザー ] エリアに個々のユーザー名を入力することもできます。 5. [OK] をクリックして選択を保存し、セキュリティ ルールまたは復号化ルールを更新し ます。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 207 Panorama でのポリシーの定義 Panorama のデバイス グループを使用すると、管理対象デバイス ( またはファイアウォール ) 上にあるポリシーを一元的に管理できます。Panorama 上に定義されるポリシーは、プレ ルールまたはポスト ルールとして作成されます。プレ ルールとポスト ルールにより、階層 的な方法でポリシーを実装できます。 プレ ルールとポスト ルールは、共有コンテキストですべての管理対象デバイスの共有ポリ シーとして、またはデバイス グループ コンテキストで特定のデバイス グループ用に定義で きます。プレ ルールとポスト ルールは Panorama で定義されてから管理対象デバイスに プッシュされるため、管理対象デバイスではルールを表示できますが、編集は Panorama で しかできません。 • プレ ルール — ルール順序の先頭に追加され、最初に評価されるルールです。プレ ルール を使用して、組織の利用規約を適用できます。たとえば、特定の URL カテゴリへのアク セスをブロックしたり、すべてのユーザーの DNS トラフィックを許可したりします。 • ポスト ルール — ルール順序の末尾に追加され、プレ ルールとデバイスでローカルに定 義されているルールの後に評価されるルールです。通常、ポスト ルールには、App-ID、 User-ID、またはサービスに基づいてトラフィックへのアクセスを拒否するルールが含ま れます。 • デフォルト ルール — プレ ルール、ポスト ルール、ローカル デバイス ルールのいずれと も一致しないトラフィックの処理方法をファイアウォールに指示するルールです。これ らのルールは、Panorama の事前定義済み設定に含まれています。これらのルール内の一 部の設定を編集できるようにするには、ルールをオーバーライドする必要があります。 [ ルールのプレビュー ] を使用して、ルールを管理対象デバイスにプッシュする前にルールの リストを表示します。大量のルールに目を通しやすいように、各ルールベース内でルールの 階層がデバイス グループ ( および管理対象デバイス ) ごとに視覚的に区別されて表示され ます。 未使用のルールを見つけ、必要に応じてルールを削除または無効にするには、[ 使用されてい ないルールの強調表示 ] を使用します。現在使用されていないルールは、黄色い水玉の背景に 表示されます。各デバイスでは、一致のあるルールのフラグが維持管理されます。Panorama は各デバイスをモニターし、一致のないルールのリストを取得して集約します。再起動時に データ プレーンのリセットが発生するとフラグがリセットされるため、ベスト プラクティス として、このリストを定期的にモニターして、最後のチェック以降にルールに一致があるか どうかを判別してからリストを削除または無効にすることをお勧めします。 ポリシーを作成するには、各ルールベースの関連するセクションを表示します。 • セキュリティ ポリシーの定義 • ネットワーク アドレス変換ポリシーの定義 • QoS ポリシーの定義 • ポリシーベースの転送ポリシー • 復号ポリシー • アプリケーション オーバーライド ポリシーの定義 • キャプティブ ポータル ポリシーの定義 • DoS プロファイルの定義 208 • ポリシーとセキュリティ プロファイル Palo Alto Networks セキュリティ ポリシーの定義 [Policies] > [ セキュリティ ] このページを使用して、トラフィック属性 ( アプリケーション、送信元セキュリティ ゾーン と宛先セキュリティ ゾーン、送信元アドレスと宛先アドレス、HTTP などのアプリケーショ ン サービス、ユーザー / グループ など ) ごとに新しいネットワーク セッションをブロックす るか、許可するかを決定するセキュリティ ポリシーを定義します。 セキュリティ ポリシーは、必要に応じて全般的にまたは固有に指定できます。ポリシー ルー ルと受信トラフィックに対し順番に照合されます。トラフィックに一致する最初のルールが 適用されるため、固有のルールを全般的ルールよりも先に設定する必要があります。たとえ ば、他のすべてのトラフィック関連の設定が同じである場合、1 つのアプリケーションに対 応するルールがすべてのアプリケーションに対応するルールよりも上に来るようにしなけれ ばなりません。 定義されたルールのいずれとも一致しないトラフィックには、デフォルト ルールが適用され ます。セキュリティ ルールベースの下部に表示されるデフォルト ルールは、すべてのイント ラゾーン ( ゾーン内 ) トラフィックを許可し、すべてのインターゾーン ( ゾーン間 ) トラフィッ クを拒否できるように事前定義されています。これらのルールは、事前定義済み設定に含ま れ、デフォルトで読み取り専用ですが、オーバーライドして、タグ、アクション ( 許可または 拒否 )、ログ設定、セキュリティ プロファイルなど、限定された複数の設定を変更すること ができます。Panorama では、デフォルト ルールをオーバーライドして、デバイス グループ コンテキストまたは共有コンテキストの一部として管理対象ファイアウォールにプッシュす ることもできます。この場合でも、ファイアウォール上にあるこれらのデフォルト ルールを オーバーライドできます。これは、テンプレートからプッシュした設定をオーバーライドす るのに似ています。事前定義済み設定や Panorama からプッシュされた設定に戻す場合は、 [ 戻す ] でデフォルト ルールに戻すことができます。 その他のポリシー タイプの設定ガイドラインと詳細は、「ポリシーとセキュリティ プロファ イル」を参照してください。Panorama のポリシーの定義の詳細は、 「Panorama でのポリシー の定義」を参照してください。 新しいルールを作成するには [ 追加 ] をクリックし、既存のルールをコピーするには [ コピー ] をクリックし、既存のルールを編集するには、[ 名前 ] でルール名をクリックしてします。以降 の表では、セキュリティ ルールを追加または編集するためのフィールドについて説明します。 • [ 全般 ] タブ • [ 送信元 ] タブ • [ ユーザー ] タブ • [ 宛先 ] タブ • [ アプリケーション ] タブ • [ サービス /URL カテゴリ ] タブ • [ アクション ] タブ Palo Alto Networks ポリシーとセキュリティ プロファイル • 209 [ 全般 ] タブ [ 全般 ] タブを使用して、セキュリティ ポリシーの名前と説明を設定します。タグを設定する と、大量のポリシーがある場合に、ポリシーのソートやフィルタリングにも使用できます。 表 130. セキュリティ ポリシー設定 ([ 全般 ] タブ ) フィールド 内容 名前 ルールの識別に使用する名前 ( 最大 31 文字 ) を入力します。名前の大文字 と小文字は区別されます。また、一意の名前にする必要があります。文字、 数字、スペース、ハイフン、およびアンダースコアのみを使用してくださ い。名前のみが必須です。 ルール タイプ ルールがゾーン内、ゾーン間、その両方のどれに適用されるかを指定します。 • universal ( デフォルト ) — 指定された送信元ゾーンおよび宛先ゾーン内 の一致するすべてのインターゾーン トラフィックとイントラゾーン ト ラフィックにルールを適用します。たとえば、送信元ゾーンが A と B で、宛先ゾーンが A と B のユニバーサル ルールを作成するとします。 ルールは、ゾーン A 内のすべてのトラフィック、ゾーン B 内のすべての トラフィック、ゾーン A からゾーン B へのすべてのトラフィック、ゾー ン B からゾーン A へのすべてのトラフィックに適用されます。 • intrazone — 指定された送信元ゾーン内の一致するすべてのトラフィッ クにルールを適用します ( イントラゾーン ルールには宛先ゾーンを指定 できません )。たとえば、送信元ゾーンを A と B に設定するとします。 ルールは、ゾーン A 内のすべてのトラフィック、ゾーン B 内のすべての トラフィックに適用されますが、ゾーン A とゾーン B 間のトラフィック に適用されません。 • interzone — 指定された送信元ゾーンおよび宛先ゾーン間の一致するす べてのトラフィックにルールを適用します。たとえば、送信元ゾーンを A、B、C、宛先ゾーンを A、B に設定したとします。ルールは、ゾーン A からゾーン B、ゾーン B から ゾーン A、ゾーン C からゾーン A、ゾー ン C からゾーン B へのトラフィックには適用されますが、ゾーン A、B、 または C 内のトラフィックには適用されません。 内容 ポリシーの説明を入力します ( 最大 255 文字 )。 タグ ポリシーにタグを付ける場合、[ 追加 ] をクリックしてタグを指定します。 ポリシー タグとは、ポリシーをソートまたはフィルタリングできるキー ワードや語句です。多数のポリシーを定義していて、特定のキーワードで タグが付けられたポリシーを表示する場合に役立ちます。たとえば、特定 のセキュリティ ポリシーに DMZ へのインバウンドのタグを付けたり、復 号化ポリシーに「復号」と「復号なし」というタグを付けたり、特定の データ センターに関するポリシーにその場所の名前を使用したりできます。 デフォルト ルールにタグを追加することもできます。 210 • ポリシーとセキュリティ プロファイル Palo Alto Networks 表 130. セキュリティ ポリシー設定 ([ 全般 ] タブ )(続き) フィールド 内容 その他の設定 以下のオプションを任意に組み合わせて指定します。 • スケジュール — ルールを適用する日時を制限するには、ドロップダウン リストからスケジュールを選択します。新しいスケジュールを定義する には、[ 新規 ] をクリックします (「スケジュール」を参照 )。 • QoS マーキング — ルールに一致するパケットの Quality of Services (QoS) の設定を変更するには、[IP DSCP] または [IP 優先度 ] を選択して QoS の値を入力するか、事前に定義されている値をドロップダウン リストか ら選択します。QoS の詳細は、 「Quality of Services (QoS) の設定」を参 照してください。 • サーバー レスポンス検査の無効化 — サーバーからクライアントへのパ ケットの検査を無効にするには、このチェック ボックスをオンにしま す。このオプションは、サーバーからの負荷が高い状況で効力を発揮し ます。 [ 送信元 ] タブ [ 送信元 ] タブを使用して、送信元ゾーンまたは送信元アドレスを定義し、送信元から受信す るトラフィックにポリシーを適用するように設定します。 表 131. セキュリティ ポリシー設定 ([ 送信元 ] タブ ) フィールド 内容 送信元ゾーン [ 追加 ] をクリックして送信元ゾーンを選択します ( デフォルトは [any])。ゾーンは同じタイプ ([ レイヤー 2]、[ レイヤー 3]、[ バーチャ ル ワイヤー ]) である必要があります。新しいゾーンを定義する手順 については、「セキュリティ ゾーンの定義」を参照してください。 複数のゾーンを使用して管理を簡略化できます。たとえば、信頼さ れていない宛先ゾーンが指定されている 3 つの異なる内部ゾーン ( マーケティング、販売、広報 ) がある場合、すべてのケースを対象 とした 1 つのルールを作成できます。 送信元アドレス Palo Alto Networks [ 追加 ] をクリックして送信元アドレス、アドレス グループ、また は地域を追加します ( デフォルトは [any])。ドロップダウン リスト から選択するか、ドロップダウン リストの下部にある [ アドレス ]、 [ アドレス グループ ]、または [ 地域 ] のリンクをクリックして設定 を指定します。 ポリシーとセキュリティ プロファイル • 211 [ ユーザー ] タブ [ ユーザー ] タブを使用して、個々のユーザーまたはユーザーのグループに基づいて、ポリシーが定義さ れたアクションを実行するように指定します。ホスト情報プロファイル (HIP) が有効な GlobalProtect を使用している場合、GlobalProtect が収集した情報に基づいてポリシーを適用することもできます。 たとえば、ユーザーのアクセス レベルを、ファイアウォールにユーザーのローカル設定を通知するホス ト情報プロファイル (HIP) によって判別することができます。HIP 情報を使用して、ホストで実行中の セキュリティ プログラム、レジストリ値、およびホストにアンチウイルス ソフトウェアがインストー ルされているかどうかなど他の多くのチェックを基に、詳細なアクセス制御を行うことができます。 表 132. セキュリティ ポリシー設定 ([ ユーザー ] タブ ) フィールド 内容 送信元ユーザー [ 追加 ] をクリックして、ポリシーを適用する送信元ユーザーまた はユーザー グループを選択します。以下の送信元ユーザー タイプ がサポートされます。 • any — ユーザー データに関係なく任意のトラフィックが含まれ ます。 • pre-logon — GlobalProtect を使用してネットワークに接続して いるが、自分のシステムにはログインしていないリモート ユー ザーが含まれます。GlobalProtect クライアントのポータルに [ ロ グオン前 ] オプションが設定されている場合、自分のマシンに現 在ログインしていないユーザーは、ユーザー名 pre-logon として 識別されます。pre-logon ユーザー用のポリシーを作成でき、ま た、ユーザーが直接ログインしていなくても、そのマシンは完全 にログインしているかのようにドメインで認証されます。 • known-user — 認証されたすべてのユーザー ( ユーザー データが マップされた IP) が含まれます。このオプションは、ドメインの 「ドメイン ユーザー」グループに相当します。 • unknown — 認証されていないすべてのユーザー ( ユーザーにマッ プされていない IP アドレス ) が含まれます。たとえば、unknown をゲスト レベルのアクセスに対して使用できます。これらのユー ザーは、ネットワーク上の IP を持っていますが、ドメインに認 証されず、ファイアウォール上に IP 対ユーザーのマッピング情 報がないためです。 • select — このウィンドウで選択したユーザーが含まれます。たと えば、1 人のユーザー、個々のユーザーのリスト、グループを追 加したり、手動でユーザーを追加する場合があります。 注 : RADIUS サーバーを使用していて User-ID エージェントを使 用していない場合、ユーザーのリストは表示されません。ユーザー 情報を手動で入力する必要があります。 HIP プロファイル [ 追加 ] をクリックして、ユーザーを識別するホスト情報プロファ イル (HIP) を選択します。 212 • ポリシーとセキュリティ プロファイル Palo Alto Networks [ 宛先 ] タブ [ 宛先 ] タブを使用して、宛先ゾーンまたは宛先アドレスを定義し、宛先へのトラフィックに ポリシーを適用するように設定します。 表 133. セキュリティ ポリシー設定 ([ 宛先 ] タブ ) フィールド 内容 宛先ゾーン [ 追加 ] をクリックして宛先ゾーンを選択します ( デフォルトは [any])。ゾーンは同じタイプ ([ レイヤー 2]、[ レイヤー 3]、[ バーチャ ル ワイヤー ]) である必要があります。新しいゾーンを定義する手 順については、 「セキュリティ ゾーンの定義」を参照してください。 複数のゾーンを使用して管理を簡略化できます。たとえば、信頼さ れていない宛先ゾーンが指定されている 3 つの異なる内部ゾーン ( マーケティング、販売、広報 ) がある場合、すべてのケースを対 象とした 1 つのルールを作成できます。 注 : イントラゾーン ルールは、送信元と宛先が同じゾーン内にある トラフィックにのみ一致するため、宛先ゾーンを定義できません。 イントラゾーン ルールに一致するゾーンを指定する場合、送信元 ゾーンのみを設定する必要があります。 宛先アドレス [ 追加 ] をクリックして宛先アドレス、アドレス グループ、または 地域を追加します ( デフォルトは [any])。ドロップダウン リストか ら選択するか、ドロップダウン リストの下部にある [ アドレス ] リ ンクをクリックしてアドレス設定を指定します。 [ アプリケーション ] タブ [ アプリケーション ] タブを使用して、アプリケーションまたはアプリケーション グループに 基づいて、ポリシーがアクションを実行するように指定します。管理者は、既存の App-ID シグネチャを使用し、カスタマイズして、独自のアプリケーションや、既存のアプリケーショ ンの特定の属性を検出することもできます。カスタム アプリケーションは [Objects] > [ アプ リケーション ] で定義されます。 表 134. セキュリティ ポリシー設定 ([ アプリケーション ] タブ ) フィールド 内容 アプリケーション セキュリティ ルールを適用する特定のアプリケー ションを選択します。アプリケーションに複数の機能 がある場合、アプリケーション全体または個別の機能 を選択できます。アプリケーション全体を選択した場 合、すべての機能が含まれ、将来、機能が追加される とアプリケーション定義が自動的に更新されます。 セキュリティ ルールでアプリケーション グループ、 フィルタ、またはコンテナを使用している場合は、[ ア プリケーション ] 列のオブジェクトの上にマウスを置 き、下向き矢印をクリックして [ 値 ] を選択すると、オ ブ ジ ェ ク ト の 詳 細 が 表 示 さ れ ま す。こ れ に よ り、 [Object] タブに移動しなくても、ポリシーから直接ア プリケーション メンバーを簡単に表示できます。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 213 [ サービス /URL カテゴリ ] タブ [ サービス /URL カテゴリ ] タブを使用して、特定の TCP/UDP ポート番号に基づいて、ポリ シーがアクションを実行するように指定します。URL カテゴリは、ポリシーの属性としても 使用できます。 表 135. セキュリティ ポリシー設定 ([ サービス /URL カテゴリ ] タブ ) フィールド 内容 サービス 特定の TCP や UDP のポート番号に制限するには、サービスを選択 します。ドロップダウン リストから以下のいずれかを選択します。 • any — 選択したアプリケーションがすべてのプロトコルやポート で許可または拒否されます。 • application-default — 選択したアプリケーションが、Palo Alto Networks によって定義されたデフォルトのポートでのみ許可ま たは拒否されます。このオプションは、ポリシーへの許可に設定 することをお勧めします。これにより、アプリケーションが通常 以外のポートやプロトコルで実行される ( 意図的でない場合は、 アプリケーションの動作と使用方法の問題を示す兆候である可能 性がある ) のを防止できます。このオプションを使用しても、デ バイスはすべてのポートのすべてのアプリケーションをチェック しますが、この設定にすることで、アプリケーションはデフォル トのポート / プロトコルでのみ許可されます。 • Select — [ 追加 ] をクリックします。既存のサービスを選択する か、[ サービス ] または [ サービス グループ ] を選択して新しいエ ントリを指定します。 「サービス」および「サービス グループ」を 参照してください。 URL カテゴリ セキュリティ ルールを適用する URL カテゴリを選択します。 • URL カテゴリに関係なくすべてのセッションを許可または拒否す るには、[any] を選択します。 • カテゴリを指定するには、[ 追加 ] をクリックし、ドロップダウン リストから特定のカテゴリ ( カスタム カテゴリも含む ) を選択し ます。複数のカテゴリを追加できます。カスタム カテゴリの定義 方法の詳細は、「カスタム URL カテゴリ」を参照してください。 214 • ポリシーとセキュリティ プロファイル Palo Alto Networks [ アクション ] タブ [ アクション ] タブを使用して、定義されたポリシー属性に一致するトラフィックに基づいて 実行されるアクションを定義します。 表 136. セキュリティ ポリシー設定 ([ アクション ] タブ ) フィールド 内容 アクション設定 [ 許可 ] または [ 拒否 ] をクリックし、ルールに一致するトラフィッ クの新しいネットワーク セッションを許可またはブロックします。 デフォルト ルールの [アクション設定] を変更することもできます。 プロファイル設定 プロファイルまたはプラットフォーム グループを以下のようにセ キュリティ ルールに関連付けます。 • デフォルトのセキュリティ プロファイルで実行されるチェック を指定するには、[ アンチウイルス ]、[ アンチスパイウェア ]、 [ 脆弱性防御 ]、[URL フィルタリング ]、[ ファイル ブロッキング ]、 および [ データ フィルタリング ] の各プロファイルを選択します。 • 個々のプロファイルではなくプロファイル グループを指定するに は、[ プロファイル タイプ ] > [ グループ ] を選択し、[ グループ プロファイル ] ドロップダウン リストからプロファイル グルー プを選択します。default という名前のセキュリティ プロファイ ル グループが設定されている場合、プロファイル設定が自動的 に入力されてその default セキュリティ プロファイル グループ が使用されます。[ プロファイル タイプ ] は「グループ」に設定 され、[ グループ プロファイル ] フィールドにはデフォルトで選 択された default セキュリティ プロファイル グループが表示さ れます。新しいセキュリティ ポリシーを自動的に default セキュ リティ プロファイル グループに関連付けるには、[Objects] > [ セキュリティ プロファイル グループ ] に移動してセキュリティ プロファイル グループを追加し、そのグループに default と名前 を付けます。この後、必要に応じて [ プロファイル設定 ] フィー ルドを変更することで、いつでもこのデフォルト設定をオー バーライドできます。 • 新しいプロファイルやプロファイル グループを定義するには、該 当するプロファイルまたはグループの横にある [ 新規 ] をクリッ クします (「セキュリティ プロファイル グループ」を参照 )。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 215 表 136. セキュリティ ポリシー設定 ([ アクション ] タブ )(続き) フィールド 内容 ログ設定 以下のオプションを任意に組み合わせて指定します。 • ルールに一致するトラフィックのエントリをローカル トラフィッ ク ログに生成するには、以下のオプションを選択します。 – セッション開始時にログ。セッション開始のトラフィック ログ エントリが生成されます ( デフォルトではオフ )。 – セッション終了時にログ。セッション終了のトラフィック ログ エントリが生成されます ( デフォルトではオン )。 • セッションの開始または終了のエントリがログに記録される場 合、[drop] および [deny] のエントリもログに記録されます。 • ログ転送プロファイル — ローカル トラフィック ログと脅威ログ のエントリをリモートの宛先 (Panorama サーバーや Syslog サー バーなど ) に転送するには、[ ログ転送プロファイル ] ドロップダ ウン リストからログ プロファイルを選択します。脅威ログ エン トリの生成は、セキュリティ プロファイルで定義されます。新規 セキュリティ ポリシーを作成するとき、default, という名前のロ グ転送プロファイルがあれば、そのプロファイルがこのフィール ドで自動的に選択されます。新規セキュリティ ポリシーをセット アップするときに、別のログ転送プロファイルを選択し直すこと で、このデフォルト設定はいつでもオーバーライドできます。新 しいログ転送プロファイルを定義または追加する ( およびプロ ファイルをデフォルトに指定してこのフィールドに自動入力され るようにする ) には、[ 新規 ] をクリックします (「ログ転送」を 参照 )。 デフォルト ルールのログ設定を変更することもできます。 その他の設定 以下のオプションを任意に組み合わせて指定します。 • スケジュール — ルールを適用する日時を制限するには、ドロッ プダウン リストからスケジュールを選択します。新しいスケ ジュールを定義するには、[ 新規 ] をクリックします (「スケ ジュール」を参照 )。 • QoS マーキング — ルールに一致するパケットの Quality of Services (QoS) の設定を変更するには、[IP DSCP] または [IP 優先度 ] を選 択して QoS の値を入力するか、事前に定義されている値をドロッ プダウン リストから選択します。QoS の詳細は、「Quality of Services (QoS) の設定」を参照してください。 • サーバー レスポンス検査の無効化 — サーバーからクライアント へのパケットの検査を無効にするには、このチェック ボックスを オンにします。このオプションは、サーバーからの負荷が高い状 況で効力を発揮します。 216 • ポリシーとセキュリティ プロファイル Palo Alto Networks NAT ポリシー ファイアウォールにレイヤー 3 インターフェイスを定義する場合、ネットワーク アドレス変 換 (NAT) ポリシーを使用して、送信元 IP アドレスおよび宛先 IP アドレスのプライベート ア ドレスとパブリック アドレスを変換するかどうかや、送信元ポートおよび宛先ポートのプラ イベート ポートとパブリック ポートを変換するかどうかを指定できます。たとえば、内部 ( 信頼されている) ゾーンからパブリック ( 信頼されていない) ゾーンに送信されるトラフィッ クの送信元プライベート アドレスをパブリック アドレスに変換できます。 NAT は、バーチャル ワイヤー インターフェイスでもサポートされています。バーチャル ワ イヤー インターフェイスで NAT を実行する場合、隣接するデバイスが通信するサブネット とは異なるサブネットに送信元アドレスを変換することをお勧めします。バーチャル ワイ ヤーではプロキシ ARP はサポートされていません。そのため、隣接するデバイスは、バー チャル ワイヤーのもう一方の終端のデバイスのインターフェイスに存在する IP アドレスの ARP リクエストのみを解決できます。 ファイアウォールに NAT を設定する場合、NAT トラフィックを許可するためにセキュリ ティ ポリシーも設定する必要があります。セキュリティ ポリシーは、NAT 後のゾーンと NAT 前の IP アドレスに基づいて照合されます。 このファイアウォールでは、以下のタイプのアドレス変換がサポートされています。 • ダイナミック IP / ポート — 送信トラフィックで使用します。送信元ポート番号が異なる同 じパブリック IP アドレスを複数のクライアントで使用できます。ダイナミック IP / ポート NAT ルールでは、1 つの IP アドレス、IP アドレス範囲、サブネット、またはこれらの組み 合わせへの変換ができます。出力インターフェイスに動的に割り当てられた IP アドレスが ある場合、インターフェイス自体を変換後アドレスとして指定できます。ダイナミック IP / ポート ルールでインターフェイスを指定すると、インターフェイスから取得したアドレス を後続の変換に使用するように NAT ポリシーが自動的に更新されます。 Palo Alto Networks のダイナミック IP / ポート NAT では、使用可能な IP アドレスとポートの数でサポートされる数よりも多くの NAT セッション がサポートされます。ファイアウォールでは、宛先 IP アドレスが一意の場 合、IP アドレスとポートの組み合わせを PA-200、PA-500、PA-2000 シ リーズ、および PA-3000 シリーズで 2 回 ( 同時 )、PA-4020 と PA-5020 で 4 回、PA-4050、PA-4060、PA-5050、PA-5060、および PA-7050 デバイス で 8 回まで使用できます。 • ダイナミック IP — 送信トラフィックで使用します。送信元プライベート アドレスを指定 のアドレス範囲内で次に使用可能なアドレスに変換します。ダイナミック IP NAT ポリ シーでは、変換アドレス プールとして 1 つの IP アドレス、複数の IP、複数の IP 範囲、 または複数のサブネットを指定できます。送信元アドレス プールが変換後アドレス プー ルよりも大きいと、変換後アドレス プールがすべて使用されている間は新しい IP アド レスに変換が必要な場合でもブロックされます。この問題を回避するには、プライマリ プールの IP アドレスがなくなった場合に使用する代替プールを指定します。 • スタティック IP — 受信トラフィックまたは送信トラフィックで使用します。スタティッ ク IP を使用すると、送信元ポートまたは宛先ポートは変更せずに、送信元 IP アドレス または宛先 IP アドレスを変更できます。スタティック IP を使用して、1 つのパブリック IP アドレスを複数のプライベート サーバーおよびサービスにマッピングする場合、同じ 宛先ポートを使用することも、別の宛先ポートを指定することもできます。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 217 パブリック IP アドレスに送信されるトラフィックが適切なプライベート アド レスにルーティングされるように、隣接するルータやファイアウォールでスタ ティック ルートを定義することが必要になる場合もあります。パブリック アド レスがファイアウォール インターフェイスと同じ場合 ( または同じサブネット の場合 )、ルータにそのアドレスのスタティック ルートは必要ありません。 NAT のサービス (TCP または UDP) ポートを指定する場合、事前に定義されて いる HTTP サービス (service-http) には 80 と 8080 の 2 つの TCP ポートが含ま れています。1 つのポート (TCP 80 など ) を指定するには、新しいサービスを定 義する必要があります。 以下の表は、各 NAT タイプの要約です。2 つの動的方法では、一連のクライアント アドレス (M) が NAT アドレスのプール (N) にマッピングされます。M と N は異なる数値です。また、 N は 1 になる可能性もあります。ダイナミック IP / ポート NAT はダイナミック IP NAT と は異なります。ダイナミック IP / ポートでは TCP および UDP の送信元ポートは保持されま せんが、ダイナミック IP NAT では変更されません。また、以下に示すように変換される IP プールのサイズの上限に違いがあります。 スタティック IP NAT では、元のアドレスと変換後のアドレス間に 1 対 1 のマッピングがあ ります。単一マッピング IP アドレスは、1 対 1 として表すことができます。また、1 対 1 の マッピング IP アドレスが多数あるプールは、M 対 M として表すことができます。 表 137. NAT タイプ PAN-OS NAT タイプ 送信元ポートが 同じかどうか 宛先ポート が変更され る可能性が あるか どうか ダイナミック IP / ポート いいえ いいえ ダイナミック IP はい いいえ M対N 最大 32,000 個の連続し たアドレス スタティック IP はい いいえ 1対1 無制限 マッピング タイプ 変換されるアドレス プールのサイズ 多対 1 最大 254 個の連続した アドレス M対N M対M MIP 任意 218 • ポリシーとセキュリティ プロファイル 1 対 多の VIP PAT Palo Alto Networks NAT およびセキュリティ ポリシーでのゾーン設定の決定 NAT ルールは、ポリシーで設定された NAT 前の IP アドレスに関連付けられているゾーンを 使用するように設定する必要があります。たとえば、内部サーバー ( パブリック IP を介して インターネット ユーザーがアクセス ) への受信トラフィックを変換する場合、パブリック IP アドレスが存在するゾーンを使用して NAT ポリシーを設定する必要があります。この場合、 送信元ゾーンと宛先ゾーンは同じになります。別の例を挙げると、ホストからパブリック IP アドレスへの送信トラフィックを変換する場合、これらのホストのプライベート IP アドレス に対応する送信元ゾーンを使用して NAT ポリシーを設定する必要があります。この照合は NAT によってパケットが変更される前に行われるため、NAT 前のゾーンが必要になります。 セキュリティ ポリシーは NAT ポリシーとは異なり、NAT 後のゾーンを使用してトラフィッ クを制御します。NAT は、送信元 IP アドレスまたは宛先 IP アドレスに影響する可能性があ り、送信インターフェイスおよびゾーンが変更される場合があります。特定の IP アドレスを 使用してセキュリティ ポリシーを作成する場合、ポリシーの照合では NAT 前の IP アドレス が使用されます。NAT が適用されるトラフィックが複数のゾーンを横断する場合、そのトラ フィックをセキュリティ ポリシーで明示的に許可する必要があります。 NAT ルール オプション ファイアウォールでは、非 NAT ルールおよび双方向 NAT ルールがサポートされています。 非 NAT ルール 非 NAT ルールを設定して、後の NAT ポリシーで定義される NAT ルールの範囲から除外す る IP アドレスを設定できます。非 NAT ポリシーを定義するには、すべての一致条件を指定 し、[ 送信元変換 ] 列の [None] を選択します。 双方向 NAT ルール 静的な送信元 NAT ルールの双方向設定では、同じリソースへの反対方向のトラフィックに 対応する宛先 NAT ルールが暗黙的に作成されます。この例では、2 つの NAT ルールを使用 して、IP 10.0.1.10 からパブリック IP 3.3.3.1 への送信トラフィックの送信元変換と、パブリッ ク IP 3.3.3.1 からプライベート IP 10.0.1.10 へのトラフィックの宛先変換が作成されています。 双方向機能を使用する 3 つ目の NAT ルールを設定するだけでこのルールのペアと同じ効果 を簡単に得られます。 図 2. 双方向 NAT ルール Palo Alto Networks ポリシーとセキュリティ プロファイル • 219 NAT ポリシーの例 以下の NAT ポリシー ルールでは、送信元のプライベート アドレスの範囲 (「L3Trust」ゾー ン の 10.0.0.1 ~ 10.0.0.100) が 1 つ の パ ブ リ ッ ク IP ア ド レ ス (「L3Untrust」ゾ ー ン の 200.10.2.100) および一意の送信元ポート番号に変換されます ( 送信元の動的変換 )。このルー ルは、 「L3Untrust」ゾーンのインターフェイスを宛先とする「L3Trust」ゾーンのレイヤー 3 インターフェイスで受信したトラフィックにのみ適用されます。プライベート アドレスは外 部から認識できないため、パブリック ネットワークからネットワーク セッションを開始する ことはできません。パブリック アドレスがファイアウォール インターフェイスのアドレスで ない場合 ( または同じサブネットでない場合 )、ファイアウォールに戻りのトラフィックを送 信するには、ローカル ルータにスタティック ルートが必要になります。 この NAT ルールに一致するトラフィックを許可するように明示的にセキュリティ ポリシー を設定する必要があります。NAT ルールに一致する送信元 / 宛先ゾーンおよび送信元 / 宛先 アドレスを使用してセキュリティ ポリシーを作成します。 図 3. 送信元アドレスの動的変換 以下の例では、最初の NAT ルールで内部メール サーバーのプライベート アドレスが静的パ ブリック IP アドレスに変換されています。このルールは、 「L3Trust」ゾーンから「L3Untrust」 ゾーンに送信される送信電子メールにのみ適用されます。反対方向のトラフィック ( 受信電子 メール ) の場合、2 番目のルールで宛先アドレスがサーバーのパブリック アドレスからプライ ベート アドレスに変換されます。NAT ポリシーが NAT 前のアドレス ゾーンに基づいているた め、ルール 2 では送信元ゾーンと宛先ゾーンに「L3untrust」を使用しています。この場合、 この NAT 前のアドレスはパブリック IP アドレスであるため「L3untrust」ゾーンになります。 図 4. 送信元アドレスと宛先アドレスの静的変換 どちらの例でも、パブリック アドレスがファイアウォールのインターフェイスのアドレスで ない場合 ( または同じサブネットでない場合 )、ファイアウォールにトラフィックをルーティ ングするには、ローカル ルータにスタティック ルートを追加する必要があります。 220 • ポリシーとセキュリティ プロファイル Palo Alto Networks NAT64 NAT64 は、IPv6 アドレスと IPv4 アドレス間で送信元および宛先 IP ヘッダーを変換するために 使用します。NAT64 では、IPv6 クライアントから IPv4 サーバーへのアクセスと、IPv4 クラ イアントから IPv6 サーバーへのアクセスが許可されます。IETF で定義される主な移行メカニ ズムには、デュアルスタック、トンネリング、変換の 3 つがあります。IPv4 専用または IPv6 専用のネットワークを使用していて、通信が必要な場合は、変換を使用する必要があります。 Palo Alto Networks ファイアウォールで NAT64 ポリシーを使用するときには、NAT 機能か ら DNS クエリ機能を切り離すためにサードパーティの DNS64 ソリューションを実装してい る必要があります。 以下の NAT64 機能がサポートされています。 • ステートフル NAT64。1 つの IPv4 アドレスで複数の IPv6 アドレスをマッピングできる ように、IPv4 アドレスを維持できます。IPv4 アドレスは、NAT44 で共有することもでき ます。一方、ステートレス NAT64 では、1 つの IPv4 アドレスが 1 つの IPv6 アドレスに マッピングされます。 • IPv4 から開始される通信の変換。IPv4 アドレス / ポート番号を IPv6 IP アドレスにマッ ピングする IPv4 の静的バインド。PAN-OS では、さらに多くの IPv4 アドレスを維持で きるポートの書き換えもサポートされます。 • /32、/40、/48、/56、/64、および /96 のサブネットの変換が可能です。 • 複数のプレフィックスをサポートします。1 つのルールに 1 つの NAT64 プレフィックス を割り当てることができます。 • NAT64 用に IPv4 アドレスのプールを維持する必要はありません。したがって、1 つの IP アドレスを使用して NAT44 と NAT64 を実行することが可能です。 • ヘアピン (NAT U ターン ) をサポートします。ヘアピン ループ攻撃を防止できます。 • RFC による TCP/UDP/ICMP パケットの変換をサポートしますが、ALG のない他のプ ロトコルもサポートします ( 最善努力 )。たとえば、GRE パケットを変換できます。この 変換には、NAT44 と同じ制限があります。 • PMTUD ( パス MTU 検出 ) をサポートします。TCP の MSS ( 最大セグメント サイズ ) が 更新されます。 • IPv6 MTU 設定を設定できます。デフォルト値は 1280 です。これは、IPv6 トラフィック の最小 MTU です。この設定は、[Device] > [ セットアップ ] > [ セッション ] タブの [ セッ ション設定 ] で設定します。 • IPv4 と IPv6 間の長さ属性を変換します。 • レイヤー 3 インターフェイスおよびサブインターフェイス、トンネル、VLAN インター フェイスでサポートされます。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 221 NAT64 の例 ファイアウォールでは、IPv4 の送信元 NAT に似ている IPv6 から開始される通信と、IPv4 の 宛先 NAT に似ている IPv4 から開始される IPv6 サーバー宛ての通信の 2 つの変換タイプを 設定できます。 IPv6 から開始される通信 このタイプの変換では、NAT ルールの宛先 IPv6 アドレスは RFC 6052 形式の後に続くプレ フィックスです (/32、/40、/48、/56、/64、/96)。ルールの宛先 IPv6 アドレス ネットマス クは、IPv4 アドレスを抽出するために使用されます。ステートフル NAT 64 を実装するため には、送信元変換に「ダイナミック IP およびポート」が必要です。送信元として設定する IPv4 アドレスは、NAT44 送信元変換と同様の方法で設定します。[ 宛先変換 ] フィールドは 設定しません。ただし、アドレスがパケット内の IPv6 アドレスから抽出されるため、宛先変 換を実行する必要があります。これには、宛先 IP の一致する基準で定義されたプレフィック スが使用されます。これは、/96 プレフィックスでは末尾の 4 つのオクテットですが、プレ フィックスが /96 でない場合、IPv4 アドレスの場所が異なります。 DNS64 サーバー ファイアウォール NAT64 ゲートウェイ IPv6 ネットワーク Trust Untrust IPv4 インターネット IPv6 ホスト 図 5. IPv6 クライアントから IPv4 ネットワークへの NAT64 の図 以下の表に、この NAT64 ポリシーで必要な値を示します。 表 138. 送信元 IP 宛先 IP 送信元変換 宛先変換 Any/IPv6 アドレス RFC6052 準拠 ネットマスクを 使用する NAT64 IPv6 プレフィックス ダイナミック IP およびポート モード (IPv4 アドレスを 使用 ) なし 222 • ポリシーとセキュリティ プロファイル ( 宛先 IPv6 アドレスから抽出 ) Palo Alto Networks IPv4 から開始される通信 IPv4 アドレスは、IPv6 アドレスにマッピングされるアドレスです。送信元変換ではスタ ティック IP モードを使用します。送信元は、RFC6052 で定義された IPv6 プレフィックスで 設定され、IPv4 送信元アドレスに追加されます。宛先アドレスは、[ 宛先変換 ] 列で設定した IP アドレスです。宛先ポートは書き換えが可能です。この方法では、スタティック マッピン グを使用し、ポートを介して複数の IPv6 サーバーを 1 つの IP アドレスで共有できます。 IPv6 サーバー DNS サーバー ファイアウォール NAT64 ゲートウェイ IPv4 インターネット Untrust Trust IPv6 ネットワーク IPv4 ホスト 図 6. IPv4 インターネットから IPv6 顧客ネットワークへの NAT64 の図 以下の表に、この NAT64 ポリシーで必要な値を示します。 表 139. IPv4 から開始される値 送信元 IP 宛先 IP 送信元変換 宛先変換 Any/IPv4 アドレス IPv4 アドレス スタティック IP モード 1 つの IPv6 アドレス (実際のサーバー IP アドレス ) (RFC 6052 形式の IPv6 プレフィックス ) 注 : サーバー ポートの書き換えを指定 できます。 ファイアウォールのパケット処理エンジンは、NAT ルールを参照する前に、宛先ゾーンを決 定するためにルート検索を行う必要があります。NAT64 の場合、NAT プレフィックスは NAT64 ゲートウェイでルーティングできないので、宛先ゾーン割り当ての NAT64 プレ フィックスの到達可能性に対処することが重要です。NAT64 プレフィックスがデフォルトの ルートに到達するか、ルートがないためにドロップされる可能性が高くなります。ループ バック ポートのように機能し、/128 以外のネットマスクを受け入れる、終端点のないトンネ ル インターフェイスをセットアップすることができます。NAT64 プレフィックスを使用する IPv6 トラフィックが正しい宛先ゾーンに割り当てられるように、トンネルに NAT64 プレ フィックスを適用し、適切なゾーンを適用します。NAT64 ルールが一致しない場合に NAT 64 プレフィックスを使用する IPv6 トラフィックがドロップされるという利点もあります。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 223 IPv4/IPv6 変換の IETF シナリオ RFC 6144 の IETF で 定 義 さ れ る 6 つ の NAT ベ ー ス の シ ナ リ オ が あ り ま す。Palo Alto Networks ファイアウォールでは、以下の表に示すように 1 つを除くすべてのシナリオがサ ポートされます。 表 140. PAN-OS を使用する場合の IEFT シナリオ実装の概要 シナリオ 送信元 IP 宛先 IP 送信元変換 宛先変換 IPv6 ネット ワークから IPv4 インター ネット Any/IPv6 アドレス RFC 6052 準拠 ネットマスクを 使用する NAT64 IPv6 プレフィックス ダイナミック IP およびポート モード。 なし IPv4 インター ネットから IPv6 ネット ワーク Any/IPv4 アドレス 1 つの IPv4 アドレス スタティック IP モード。 IPv6 インター ネットから IPv4 ネット ワーク Any/IPv6 アドレス IPv4 ネット ワークから IPv6 インター ネット パブリック IPv4 アドレスを使用 1 つの IPv6 アドレス RFC 6052 形式の IPv6 プレフィッ クス RFC 6052 準拠 ネットマスクを 使用する IPV6 グローバル ルーティングが 可能な プレフィックス ダイナミック IP およびポート。 プライベート IPv4 アドレスを 使用 なし ( 宛先 IPv6 アドレスから 抽出 ) 現在サポートされていません IPv4 ネット ワークから IPv6 ネット ワーク Any/IPv4 アドレス IPv6 ネット ワークから IPv4 ネット ワーク Any/IPv6 アドレス • ( 宛先 IPv6 アドレスから 抽出 ) 1 つの IPv4 アドレス スタティック IP モード。 1 つの IPv6 アドレス RFC 6052 形式の IPv6 プレフィッ クス RFC 6052 準拠 ネットマスクを 使用する NAT64 IPV6 プレフィッ クス ダイナミック IP およびポート。 プライベート IPv4 アドレスを 使用 なし ( 宛先 IPv6 アドレスから 抽出 ) スタティック IP — 受信トラフィックまたは送信トラフィックで使用します。スタティッ ク IP を使用すると、送信元ポートまたは宛先ポートは変更せずに、送信元 IP アドレス または宛先 IP アドレスを変更できます。スタティック IP を使用して、1 つのパブリック IP アドレスを複数のプライベート サーバーおよびサービスにマッピングする場合、同じ 宛先ポートを使用することも、別の宛先ポートを指定することもできます。 224 • ポリシーとセキュリティ プロファイル Palo Alto Networks パブリック IP アドレスに送信されるトラフィックが適切なプライベート アド レスにルーティングされるように、隣接するルータやファイアウォールでスタ ティック ルートを定義することが必要になる場合もあります。パブリック アド レスがファイアウォール インターフェイスと同じ場合 ( または同じサブネット の場合 )、ルータにそのアドレスのスタティック ルートは必要ありません。 NAT のサービス (TCP または UDP) ポートを指定する場合、事前に定義されて いる HTTP サービス (service-http) には 80 と 8080 の 2 つの TCP ポートが含ま れています。1 つのポート (TCP 80 など ) を指定するには、新しいサービスを定 義する必要があります。 以下の表は、各 NAT タイプの要約です。2 つの動的方法では、一連のクライアント アドレス (M) が NAT アドレスのプール (N) にマッピングされます。M と N は異なる数値です。また、 N は 1 になる可能性もあります。ダイナミック IP / ポート NAT はダイナミック IP NAT と は異なります。ダイナミック IP / ポートでは TCP および UDP の送信元ポートは保持されま せんが、ダイナミック IP NAT では変更されません。また、以下に示すように変換される IP プールのサイズの上限に違いがあります。 スタティック IP NAT では、元のアドレスと変換後のアドレス間に 1 対 1 のマッピングがあ ります。単一マッピング IP アドレスは、1 対 1 として表すことができます。また、1 対 1 の マッピング IP アドレスが多数あるプールは、M 対 M として表すことができます。 表 141. NAT タイプ PAN-OS NAT タイプ 送信元ポートが 同じかどうか 宛先ポート が変更され る可能性が あるか どうか ダイナミック IP / ポート いいえ いいえ ダイナミック IP はい いいえ M対N 最大 32,000 個の連続し たアドレス スタティック IP はい いいえ 1対1 無制限 マッピング タイプ 変換されるアドレス プールのサイズ 多対 1 最大 254 個の連続した アドレス M対N M対M MIP 任意 Palo Alto Networks 1 対 多の VIP PAT ポリシーとセキュリティ プロファイル • 225 ネットワーク アドレス変換ポリシーの定義 [Policies] > [NAT] NAT アドレス変換ルールは、送信元ゾーンと宛先ゾーン、送信元アドレスと宛先アドレス、 およびアプリケーション サービス (HTTP など ) に基づいています。セキュリティ ポリシー と同様に、NAT ポリシー ルールと受信トラフィックは順番に照合され、トラフィックに一致 する最初のルールが適用されます。 必要に応じて、ローカル ルータにスタティック ルートを追加し、パブリック アドレスへの トラフィックをすべてファイアウォールにルーティングします。場合によっては、ファイア ウォールの受信インターフェイスにスタティック ルートを追加し、プライベート アドレスに トラフィックをルーティングして戻す必要があります。 その他のポリシー タイプの設定ガイドラインと詳細は、「ポリシーとセキュリティ プロファ イル」を参照してください。 Panorama のポリシーの定義の詳細は、 「Panorama でのポリシーの定義」を参照してください。 以下の表では、NAT 設定について説明します。 • [ 全般 ] タブ • [ 元のパケット ] タブ • [ 変換済みパケット ] タブ [ 全般 ] タブ [ 全般 ] タブを使用して、NAT ポリシーの名前と説明を設定します。タグを設定すると、大量 のポリシーがある場合に、ポリシーのソートやフィルタリングにも使用できます。 表 142. NAT ルール設定 ([ 全般 ] タブ ) フィールド 内容 名前 デフォルトのルール名を変更します。また、必要に応じてルールの 説明を入力します。 内容 ポリシーの説明を入力します ( 最大 255 文字 )。 タグ ポリシーにタグを付ける場合、[ 追加 ] をクリックしてタグを指定 します。 ポリシー タグとは、ポリシーをソートまたはフィルタリングでき るキーワードや語句です。多数のポリシーを定義していて、特定の キーワードでタグが付けられたポリシーを表示する場合に役立ち ます。たとえば、特定のセキュリティ ポリシーに DMZ へのインバ ウンドのタグを付けたり、復号化ポリシーに「復号」と「復号なし」 というタグを付けたり、特定のデータ センターに関するポリシー にその場所の名前を使用したりできます。 NAT タイプ IPv4 アドレス間の NAT には [ipv4]、または IPv6 アドレスと IPv4 アドレス間には [nat64] 変換を指定します。 1 つの NAT ルールで IPv4 と IPv6 のアドレス範囲を組み合わせる ことはできません。 226 • ポリシーとセキュリティ プロファイル Palo Alto Networks [ 元のパケット ] タブ [ 元のパケット ] タブを使用して、変換対象の送信元トラフィックと宛先トラフィック、およ び宛先インターフェイスのタイプとサービスのタイプを定義します。同じタイプの送信元 ゾーンと宛先ゾーンを複数設定できます。また、ルールは、特定のネットワークまたは特定 の IP アドレスに適用されるように設定できます。 表 143. NAT ルール設定 ([ 元のパケット ] タブ ) フィールド 内容 送信元ゾーン 宛先ゾーン 元のパケット ( 非 NAT) パケットについて、1 つ以上の送信元ゾー ンと宛先ゾーンを選択します ( デフォルトは [any])。ゾーンは同じ タイプ ([ レイヤー 2]、[ レイヤー 3]、[ バーチャル ワイヤー ]) であ る必要があります。新しいゾーンを定義する手順については、「セ キュリティ ゾーンの定義」を参照してください。 複数のゾーンを使用して管理を簡略化できます。たとえば、複数の 内部 NAT アドレスが同じ外部 IP アドレスに送信されるように設 定できます。 宛先インターフェイス 変換に使用するインターフェイスのタイプを指定します。異なる IP アドレス プールを持つ 2 つの ISP にネットワークが接続してい る場合、宛先インターフェイスを使用すると、IP アドレスを異な る方法で変換できます。 サービス 送信元アドレスまたは宛先アドレスを変換するサービスを指定し ます。新しいサービス グループを定義する方法については、 「サー ビス グループ」を参照してください。 送信元アドレス 宛先アドレス 変換する送信元アドレスと宛先アドレスの組み合わせを指定し ます。 [ 変換済みパケット ] タブ [ 変換済みパケット ] タブを使用して、送信元に対して実行する変換のタイプと、送信元の変 換後アドレス / ポートを決定します。宛先アドレスの変換は、公開 IP アドレスによるアクセ スが必要な内部ホストにも設定できます。この場合、[ 元のパケット ] タブに内部ホストの送 信元アドレス ( パブリック ) と宛先アドレス ( プライベート ) を定義し、[ 変換済みパケット ] タブで [ 宛先アドレスの変換 ] を有効にして、変換後アドレスを入力します。公開アドレスが アクセスされると、内部ホストの内部 ( 宛先 ) アドレスに変換されます。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 227 表 144. NAT ルール設定 ([ 変換済みパケット ] タブ ) フィールド 内容 送信元アドレスの変換 変換後の送信元アドレスの IP アドレスまたはアドレス範囲 ( アド レス 1 ~ アドレス 2) を入力し、動的または静的アドレス プールを 選択します。アドレス範囲のサイズは、以下のアドレス プールの タイプによって制限されます。 • ダイナミック IP およびポート — アドレス選択は、送信元 IP アド レスのハッシュに基づきます。特定の送信元 IP アドレスに対し て、ファイアウォールのすべてのセッションで同じ変換後の送信 元アドレスが使用されます。ダイナミック IP およびポートの送 信元 NAT では、NAT プール内の各 IP アドレスで約 64,000 個の 連続するセッションがサポートされます。一部のプラットフォー ムでは、オーバーサブスクリプションがサポートされます。その 場合、1 つの IP で 64,000 個以上の連続するセッションをホスト できます。 Palo Alto Networks のダイナミック IP / ポート NAT では、使用 可能な IP アドレスとポートの数でサポートされる数よりも多く の NAT セッションがサポートされます。ファイアウォールでは、 宛先 IP アドレスが一意の場合、IP アドレスとポートの組み合わ せを PA-200、PA-500、PA-2000、および PA-3000 シリーズで 2 回 ( 同時 )、PA-4020 と PA-5020 で 4 回、PA-4050、PA-4060、 PA-5050、および PA-5060 デバイスで 8 回まで使用できます。 • ダイナミック IP — 指定した範囲で次に使用可能なアドレスが使 用されますが、ポート番号は変更されません。最大 32,000 個の連 続した IP アドレスがサポートされます。ダイナミック IP プール には、複数のサブネットを含めることができるため、内部ネット ワーク アドレスを 2 つ以上の別個のパブリック サブネットに変 換できます。 – 詳細 (ダイナミック IP のフォールバック) — プライマリプール のアドレスを使い切った時に使用される、IP およびポート変 換を実行する代替プールを作成するには、このオプションを使 用します。[ 変換後アドレス ] オプションまたは [ インターフェ イス アドレス ] オプション (IP アドレスを動的に受け取るイン ターフェイス用 ) を使用して、プールのアドレスを定義できま す。代替プールを作成するときには、アドレスがプライマリ プールのアドレスと重複しないことを確認します。 • スタティック IP — 同じアドレスが常に使用され、ポート番号 は変更されません。たとえば、送信元の範囲が 192.168.0.1 ~ 192.168.0.10 で、変換の範囲が 10.0.0.1 ~ 10.0.0.10 の場合、アド レス 192.168.0.2 は必ず 10.0.0.2 に変換されます。アドレス範囲は 事実上無制限です。 • None — 変換は実行されません。 宛先アドレスの変換 変換後の宛先アドレスとポート番号として、IP アドレスまたは IP アドレスの範囲とポート番号 (1 ~ 65535) を入力します。[ 変換済 みポート ] フィールドがブランクの場合、宛先ポートは変更されま せん。通常、宛先の変換は、パブリック ネットワークから内部サー バー ( 電子メール サーバーなど ) にアクセスできるようにする場合 に使用します。 228 • ポリシーとセキュリティ プロファイル Palo Alto Networks ポリシーベースの転送ポリシー [Policies] > [ ポリシー ベース フォワーディング ] 通常、トラフィックがファイアウォールに到着すると、入力インターフェイスの仮想ルーター が、宛先 IP アドレスに基づいてルートを決定し、それによって出力インターフェイス、及び 宛先セキュリティゾーンが決まります。ポリシーベースの転送 (PBF) では、送信元ゾーン、 送信元アドレス、送信元ユーザー、宛先アドレス、宛先アプリケーション、宛先サービスな ど、他の情報を指定して、出力インターフェイスを決定することができます。アプリケーショ ンに関連付けられた宛先 IP アドレスおよびポートの最初のセッションは、アプリケーション 固有のルールには一致せず、後続の PBF ルール ( アプリケーションが指定されない ) か、仮想 ルーターの転送テーブルに従って転送されます。同じアプリケーションについて、その宛先 IP アドレスおよびポートの後続セッションはすべて、アプリケーション固有のルールに一致 します。PBF ルールによる転送を確実に行うには、アプリケーション固有のルールを使用す ることはお勧めしません。 必要に応じて PBF ルールを使用して、トラフィックが追加の仮想システムを経由するように Forward-to-VSYS 転送アクションで強制することができます。この場合、宛先仮想システム からファイアウォールの特定の出力インターフェイスを通じてパケットを転送する追加の PBF ルールを定義する必要があります。 その他のポリシー タイプの設定ガイドラインと詳細は、「ポリシーとセキュリティ プロファ イル」を参照してください。 Panorama のポリシーの定義の詳細は、 「Panorama でのポリシーの定義」を参照してください。 以下の表では、ポリシー ベース フォワーディング設定について説明します。 • [ 全般 ] タブ • [ 送信元 ] タブ • [ 宛先 / アプリケーション / サービス ] タブ • [ 転送 ] タブ [ 全般 ] タブ [ 全般 ] タブを使用して、PBF ポリシーの名前と説明を設定します。タグを設定すると、大量 のポリシーがある場合に、ポリシーのソートやフィルタリングにも使用できます ? フィールド 内容 名前 ルールの識別に使用する名前 ( 最大 31 文字 ) を入力します。名前の大文 字と小文字は区別されます。また、一意の名前にする必要があります。 文字、数字、スペース、ハイフン、およびアンダースコアのみを使用し てください。名前のみが必須です。 内容 ポリシーの説明を入力します ( 最大 255 文字 )。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 229 フィールド 内容 タグ ポリシーにタグを付ける場合、[ 追加 ] をクリックしてタグを指定します。 ポリシー タグとは、ポリシーをソートまたはフィルタリングできるキー ワードや語句です。多数のポリシーを定義していて、特定のキーワード でタグが付けられたポリシーを表示する場合に役立ちます。たとえば、 特定のセキュリティ ポリシーに DMZ へのインバウンドのタグを付けた り、復号化ポリシーに「復号」と「復号なし」というタグを付けたり、 特定のデータ センターに関するポリシーにその場所の名前を使用したり できます。 [ 送信元 ] タブ [ 送信元 ] タブを使用して、送信元ゾーンまたは送信元アドレスを定義し、送信元から受信す るトラフィックに転送ポリシーを適用するように設定します。 フィールド 内容 送信元ゾーン 送信元ゾーン ( デフォルトは [any]) を選択するには、[ 追加 ] をクリック してドロップダウン リストから選択します。新しいゾーンを定義する手 順については、「セキュリティ ゾーンの定義」を参照してください。 複数のゾーンを使用して管理を簡略化できます。たとえば、信頼されて いない宛先ゾーンが指定されている 3 つの異なる内部ゾーン ( マーケ ティング、販売、広報 ) がある場合、すべてのケースを対象とした 1 つ のルールを作成できます。 注 : ポリシーベースの転送では、レイヤー 3 タイプのゾーンのみがサポー トされます。 送信元アドレス [ 追加 ] をクリックして送信元アドレス、アドレス グループ、または地域 を追加します ( デフォルトは [any])。ドロップダウン リストから選択する か、ドロップダウン リストの下部にある [ アドレス ]、[ アドレス グルー プ ]、または [ 地域 ] のリンクをクリックして設定を指定します。 230 • ポリシーとセキュリティ プロファイル Palo Alto Networks フィールド 内容 送信元ユーザー [ 追加 ] をクリックして、ポリシーを適用する送信元ユーザーまたはユー ザー グループを選択します。以下の送信元ユーザー タイプがサポートさ れます。 • any — ユーザー データに関係なく任意のトラフィックが含まれます。 • pre-logon — GlobalProtect を使用してネットワークに接続しているが、 自分のシステムにはログインしていないリモート ユーザーが含まれま す。GlobalProtect クライアントのポータルに [ ログオン前 ] オプション が設定されている場合、自分のマシンに現在ログインしていないユー ザーは、ユーザー名 pre-logon として識別されます。pre-logon ユー ザー用のポリシーを作成でき、また、ユーザーが直接ログインしてい なくても、そのマシンは完全にログインしているかのようにドメイン で認証されます。 • known-user — 認証されたすべてのユーザー ( ユーザー データがマッ プされた IP) が含まれます。このオプションは、ドメインの「ドメイン ユーザー」グループに相当します。 • unknown — 認証されていないすべてのユーザー ( ユーザーにマップさ れていない IP アドレス ) が含まれます。たとえば、unknown をゲスト レベルのアクセスに対して使用できます。これらのユーザーは、ネット ワーク上の IP を持っていますが、ドメインに認証されず、ファイア ウォール上に IP 対ユーザーのマッピング情報がないためです。 • select — このウィンドウで選択したユーザーが含まれます。たとえば、 1 人のユーザー、個々のユーザーのリスト、グループを追加したり、手 動でユーザーを追加する場合があります。 注 : RADIUS サーバーを使用していて User-ID エージェントを使用して いない場合、ユーザーのリストは表示されません。ユーザー情報を手動 で入力する必要があります。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 231 [ 宛先 / アプリケーション / サービス ] タブ [ 宛先 / アプリケーション / サービス ] タブを使用して、転送ルールに一致するトラフィックに 適用される宛先設定を定義します。 フィールド 内容 宛先アドレス [ 追加 ] をクリックして宛先アドレス、アドレス グループ、または地域を 追加します ( デフォルトは [any])。ドロップダウン リストから選択する か、ドロップダウン リストの下部にある [ アドレス ]、[ アドレス グルー プ ]、または [ 地域 ] のリンクをクリックして設定を指定します。 アプリケーション PBF ルールを適用する特定のアプリケーションを選択します。新しいア プリケーションを定義する方法については、「アプリケーションの定義」 を参照してください。アプリケーション グループを定義する方法につい ては、「アプリケーション グループの定義」を参照してください。 PBF ルールでアプリケーション グループ、フィルタ、またはコンテナを 使用している場合は、[ アプリケーション ] 列のオブジェクトの上にマウ スを置き、下向き矢印をクリックして [ 値 ] を選択すると、オブジェクト の詳細が表示されます。これにより、[Object] タブに移動しなくても、ポ リシーから直接アプリケーション メンバーを簡単に表示できます。 [ 転送 ] タブ [ 転送 ] タブを使用して、転送ポリシーに一致するトラフィックに適用されるアクションおよ びネットワーク情報を定義します。トラフィックは、ネクスト ホップ IP アドレスまたは仮想 システムに転送することも、ドロップすることもできます。 フィールド 内容 宛先アドレス [ 追加 ] をクリックして宛先アドレス、アドレス グループ、または地域を 追加します ( デフォルトは [any])。ドロップダウン リストから選択する か、ドロップダウン リストの下部にある [ アドレス ]、[ アドレス グルー プ ]、または [ 地域 ] のリンクをクリックして設定を指定します。 アプリケーション PBF ルールを適用する特定のアプリケーションを選択します。新しいア プリケーションを定義する方法については、「アプリケーションの定義」 を参照してください。アプリケーション グループを定義する方法につい ては、「アプリケーション グループの定義」を参照してください。 PBF ルールでアプリケーション グループ、フィルタ、またはコンテナを 使用している場合は、[ アプリケーション ] 列のオブジェクトの上にマウ スを置き、下向き矢印をクリックして [ 値 ] を選択すると、オブジェクト の詳細が表示されます。これにより、[Object] タブに移動しなくても、ポ リシーから直接アプリケーション メンバーを簡単に表示できます。 232 • ポリシーとセキュリティ プロファイル Palo Alto Networks フィールド 内容 アクション 以下のいずれかのオプションを選択します。 • 転送 — ネクストホップの IP アドレスと出力インターフェイス ( 指定し たネクストホップに到達するためにパケットが通るインターフェイス ) を指定します。 • VSYS に転送 — ドロップダウン リストから転送先となる仮想システム を選択します。 • 破棄 — パケットを廃棄します。 • PBF なし — パケットが通るパスを変更しません。 スケジュール ルールを適用する日時を制限するには、ドロップダウン リストからスケ ジュールを選択します。新しいスケジュールを定義する方法については、 「スケジュール」を参照してください。 復号ポリシー [Policies] > [ 復号 ] トラフィックを復号化するようにファイアウォールを設定して、可視化、管理、および詳細 なセキュリティを実現できます。復号ポリシーは、Secure Socket Layer (SSL) およびセキュア シェル (SSH) トラフィックに適用できます。SSH 復号化を使用して、許可されていないアプ リケーションやコンテンツがセキュアなプロトコルでトンネリングされないようにアウトバ ウンドおよびインバウンド SSH トラフィックを復号化することができます。 復号化ポリシーごとに、復号化する、または復号化しない URL のカテゴリを指定します。SSL 復号化を使用すると、復号化された SSL トラフィックに対して App-ID や、アンチウイルス、 脆弱性、アンチスパイウェア、URL フィルタリング、およびファイル ブロッキングの各プロ ファイルを適用し、トラフィックがデバイスを出るときに再暗号化することができます。復 号化プロファイルを復号化ポリシーに適用して、トラフィックのさまざまな側面をブロック および制御できます。詳細は、 「復号プロファイル」を参照してください。復号化を有効にす ると、接続中はクライアントとサーバー間でエンドツーエンドのセキュリティが保持され、 ファイアウォールは信頼されたサード パーティとして機能します。復号化されたトラフィッ クはデバイスに残りません。 復号化ポリシーは、必要に応じて全般的にまたは固有に指定できます。ポリシー ルールと受 信トラフィックは順番に照合されるため、より個別のルールの方が全般的なルールよりも優 先されます。ルールをポリシーの先頭に移動して優先されるようにするには、ルールを選択 し、[ 上へ ] をクリックします。復号化からトラフィックを除外するポリシー ([ 復号なし ] ア クションを使用 ) を有効にするには、常に優先されるようにする必要があります。 SSL フォワードプロキシの設定では、信頼された証明書を設定する必要があります。この証 明書はユーザーが接続中のサーバーが、ファイアウォールによって信頼された認証局によっ て著名された証明書を保持している時にユーザーに提示されます。この証明書を設定するに は、[Device] > [ 証明書の管理 ] > [ 証明書 ] ページで証明書を作成し、証明書の名前をクリッ クして、[ フォワード プロキシ用の信頼された証明書 ] チェック ボックスをオンにします。 「デバイス証明書の管理」を参照してください。 その他のポリシー タイプの設定ガイドラインと詳細は、「ポリシーとセキュリティ プロファ イル」を参照してください。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 233 Panorama のポリシーの定義の詳細は、 「Panorama でのポリシーの定義」を参照してください。 ファイアウォールで復号化されている場合、特定のアプリケーションは機 能しません。これが発生するのを防ぐために、PAN-OS では、これらのア プリケーションの SSL トラフィックは復号化されず、復号ルール設定は 適用されません。 これらのアプリケーションの一覧については、サポート記事 https://live.paloaltonetworks.com/docs/DOC-1423 を参照してください。 以下の表では、復号ポリシー設定について説明します。 • [ 全般 ] タブ • [ 送信元 ] タブ • [ 宛先 ] タブ • [URL カテゴリ ] タブ • [ オプション ] タブ [ 全般 ] タブ [ 全般 ] タブを使用して、復号ポリシーの名前と説明を設定します。タグを設定すると、大量 のポリシーがある場合に、ポリシーのソートやフィルタリングにも使用できます。 フィールド 内容 名前 ルールの識別に使用する名前 ( 最大 31 文字 ) を入力します。名前の大文 字と小文字は区別されます。また、一意の名前にする必要があります。 文字、数字、スペース、ハイフン、およびアンダースコアのみを使用し てください。名前のみが必須です。 内容 ルールの説明を入力します ( 最大 255 文字 )。 タグ ポリシーにタグを付ける場合、[ 追加 ] をクリックしてタグを指定します。 ポリシー タグとは、ポリシーをソートまたはフィルタリングできるキー ワードや語句です。多数のポリシーを定義していて、特定のキーワード でタグが付けられたポリシーを表示する場合に役立ちます。たとえば、特 定のセキュリティ ポリシーに DMZ へのインバウンドのタグを付けた り、復号化ポリシーに「復号」と「復号なし」というタグを付けたり、特 定のデータ センターに関するポリシーにその場所の名前を使用したりで きます。 234 • ポリシーとセキュリティ プロファイル Palo Alto Networks [ 送信元 ] タブ [ 送信元 ] タブを使用して、送信元ゾーンまたは送信元アドレスを定義し、送信元から受信す るトラフィックに復号ポリシーを適用するように設定します。 フィールド 内容 送信元ゾーン [ 追加 ] をクリックして送信元ゾーンを選択します ( デフォルトは [any])。 ゾーンは同じタイプ ([ レイヤー 2]、[ レイヤー 3]、[ バーチャル ワイヤー ]) である必要があります。新しいゾーンを定義する手順については、「セ キュリティ ゾーンの定義」を参照してください。 複数のゾーンを使用して管理を簡略化できます。たとえば、信頼されて いない宛先ゾーンが指定されている 3 つの異なる内部ゾーン ( マーケ ティング、販売、広報 ) がある場合、すべてのケースを対象とした 1 つ のルールを作成できます。 送信元アドレス [ 追加 ] をクリックして送信元アドレス、アドレス グループ、または地域 を追加します ( デフォルトは [any])。ドロップダウン リストから選択する か、ドロップダウン リストの下部にある [ アドレス ]、[ アドレス グルー プ ]、または [ 地域 ] のリンクをクリックして設定を指定します。[ 上記以 外 ] チェック ボックスをオンにすると、設定したアドレス以外の任意の アドレスを指定したことになります。 送信元ユーザー [ 追加 ] をクリックして、ポリシーを適用する送信元ユーザーまたはユー ザー グループを選択します。以下の送信元ユーザー タイプがサポートさ れます。 • any — ユーザー データに関係なく任意のトラフィックが含まれます。 • pre-logon — GlobalProtect を使用してネットワークに接続しているが、 自分のシステムにはログインしていないリモート ユーザーが含まれま す。GlobalProtect クライアントのポータルに [ ログオン前 ] オプション が設定されている場合、自分のマシンに現在ログインしていないユー ザーは、ユーザー名 pre-logon として識別されます。pre-logon ユー ザー用のポリシーを作成でき、また、ユーザーが直接ログインしてい なくても、そのマシンは完全にログインしているかのようにドメイン で認証されます。 • known-user — 認証されたすべてのユーザー ( ユーザー データがマッ プされた IP) が含まれます。このオプションは、ドメインの「ドメイン ユーザー」グループに相当します。 • unknown — 認証されていないすべてのユーザー ( ユーザーにマップさ れていない IP アドレス ) が含まれます。たとえば、unknown をゲスト レベルのアクセスに対して使用できます。これらのユーザーは、ネット ワーク上の IP を持っていますが、ドメインに認証されず、ファイア ウォール上に IP 対ユーザーのマッピング情報がないためです。 • select — このウィンドウで選択したユーザーが含まれます。たとえば、 1 人のユーザー、個々のユーザーのリスト、グループを追加したり、手 動でユーザーを追加する場合があります。 注 : RADIUS サーバーを使用していて User-ID エージェントを使用して いない場合、ユーザーのリストは表示されません。ユーザー情報を手動 で入力する必要があります。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 235 [ 宛先 ] タブ [ 宛先 ] タブを使用して、宛先ゾーンまたは宛先アドレスを定義し、宛先へのトラフィックに ポリシーを適用するように設定します。 フィールド 内容 宛先ゾーン [ 追加 ] をクリックして宛先ゾーンを選択します ( デフォルトは [any])。 ゾーンは同じタイプ ([ レイヤー 2]、[ レイヤー 3]、[ バーチャル ワイヤー ]) である必要があります。新しいゾーンを定義する手順については、「セ キュリティ ゾーンの定義」を参照してください。 複数のゾーンを使用して管理を簡略化できます。たとえば、信頼されて いない宛先ゾーンが指定されている 3 つの異なる内部ゾーン ( マーケ ティング、販売、広報 ) がある場合、すべてのケースを対象とした 1 つ のルールを作成できます。 宛先アドレス [ 追加 ] をクリックして宛先アドレス、アドレス グループ、または地域を 追加します ( デフォルトは [any])。ドロップダウン リストから選択する か、ドロップダウン リストの下部にある [ アドレス ]、[ アドレス グルー プ ]、または [ 地域 ] のリンクをクリックして設定を指定します。[ 上記以 外 ] チェック ボックスをオンにすると、設定したアドレス以外の任意の アドレスを指定したことになります。 [URL カテゴリ ] タブ [URL カテゴリ ] タブを使用して、復号ポリシーを URL カテゴリに適用するか、ポリシーの 適用対象となる URL カテゴリのリストを指定します。 フィールド 内容 [URL カテゴリ ] タブ 復号ルールを適用する URL カテゴリを選択します。 • URL カテゴリに関係なくすべてのセッションを照合するには、[ いずれ か ] を選択します。 • カテゴリを指定するには、[ 追加 ] をクリックし、ドロップダウン リス トから特定のカテゴリ ( カスタム カテゴリも含む ) を選択します。複数 のカテゴリを追加できます。カスタム カテゴリの定義方法の詳細は、 「カスタム URL カテゴリ」を参照してください。 [ オプション ] タブ [ オプション ] タブを使用して、一致したトラフィックを復号化するかどうかを決定します。 [ 復号 ] が設定されている場合、復号化タイプを指定します。復号プロファイルを設定または 選択して、その他の復号化機能を追加することもできます。 フィールド 内容 アクション トラフィックに [ 復号 ] または [ 復号なし ] を選択します。 236 • ポリシーとセキュリティ プロファイル Palo Alto Networks フィールド 内容 タイプ ドロップダウン リストから復号化するトラフィックのタイプを選択し ます。 • SSL フォワード プロキシ — ポリシーで外部サーバーへのクライアント トラフィックを復号化するように指定します。 • SSH プロキシ — ポリシーで SSH トラフィックを復号化するように指 定します。このオプションでは、ssh-tunnel App-ID を指定してポリ シーの SSH トンネリングを制御できます。 • SSL インバウンド インスペクション — ポリシーで SSL 着信検証トラ フィックを復号化するように指定します。 復号プロファイル 既存の復号プロファイルを選択するか、新しい復号プロファイルを作成 します。「復号プロファイル」を参照してください。 アプリケーション オーバーライド ポリシーの定義 [Policies] > [ アプリケーション オーバーライド ] ファイアウォールによるネットワーク トラフィックのアプリケーション分類方法を変更する には、アプリケーション オーバーライド ポリシーを指定します。たとえば、カスタム アプリ ケーションのいずれかを制御する場合、アプリケーション オーバーライド ポリシー ルール を使用すると、ゾーン、送信元アドレスと宛先アドレス、ポート、およびプロトコルに従っ て、そのアプリケーションのトラフィックを識別できます。 「unknown」として分類される ネットワーク アプリケーションがある場合、そのアプリケーションの新しい定義を作成でき ます (「アプリケーションの定義」を参照 )。 セキュリティ ポリシーと同様に、必要に応じて全般的または個別のアプリケーション オー バーライド ポリシーを使用できます。ポリシー ルールと受信トラフィックは順番に照合され るため、より個別のルールの方が全般的なルールよりも上に来るようにする必要があります。 PAN-OS の App-ID エンジンは、ネットワーク トラフィックのアプリケーション特有のコン テンツを識別してトラフィックを分類します。このため、カスタム アプリケーション定義で は、単純にポート番号を使用してアプリケーションを識別することができません。アプリ ケーション定義には、トラフィック ( 送信元ゾーン、送信元 IP アドレス、宛先ゾーン、およ び宛先 IP アドレスごとに制限されます ) も含まれている必要があります。 アプリケーション オーバーライドを指定するカスタム アプリケーションを作成するには、以 下の手順を実行します。 1. カスタム アプリケーションを定義します。 「アプリケーションの定義」を参照してくだ さい。アプリケーションの使用目的がアプリケーション オーバーライド ルールのみであ る場合、アプリケーションのシグネチャを指定する必要はありません。 2. カスタム アプリケーションの起動時に指定されるアプリケーション オーバーライド ポ リシーを定義します。通常ポリシーには、カスタム アプリケーションを実行している サーバーの IP アドレスと、制限された送信元 IP アドレスのセットまたは送信元ゾーン が含まれています。 その他のポリシー タイプの設定ガイドラインと詳細は、「ポリシーとセキュリティ プロファ イル」を参照してください。 Panorama のポリシーの定義の詳細は、 「Panorama でのポリシーの定義」を参照してください。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 237 以下の表を使用して、アプリケーション オーバーライド ルールを設定します。 • [ 全般 ] タブ • [ 送信元 ] タブ • [ 宛先 ] タブ • [ プロトコル / アプリケーション ] タブ [ 全般 ] タブ [ 全般 ] タブを使用して、アプリケーション オーバーライド ポリシーの名前と説明を設定しま す。タグを設定すると、大量のポリシーがある場合に、ポリシーのソートやフィルタリング にも使用できます。 フィールド 内容 名前 ルールの識別に使用する名前 ( 最大 31 文字 ) を入力します。名前の大文 字と小文字は区別されます。また、一意の名前にする必要があります。 文字、数字、スペース、ハイフン、およびアンダースコアのみを使用し てください。名前のみが必須です。 内容 ルールの説明を入力します ( 最大 255 文字 )。 タグ ポリシーにタグを付ける場合、[ 追加 ] をクリックしてタグを指定します。 ポリシー タグとは、ポリシーをソートまたはフィルタリングできるキー ワードや語句です。多数のポリシーを定義していて、特定のキーワード でタグが付けられたポリシーを表示する場合に役立ちます。たとえば、 特定のセキュリティ ポリシーに DMZ へのインバウンドのタグを付けた り、復号化ポリシーに「復号」と「復号なし」というタグを付けたり、特 定のデータ センターに関するポリシーにその場所の名前を使用したりで きます。 [ 送信元 ] タブ [ 送信元 ] タブを使用して、送信元ゾーンまたは送信元アドレスを定義し、送信元から受信す るトラフィックにアプリケーション オーバーライド ポリシーを適用するように設定します。 フィールド 内容 送信元ゾーン [ 追加 ] をクリックして送信元ゾーンを選択します ( デフォルトは [any])。 ゾーンは同じタイプ ([ レイヤー 2]、[ レイヤー 3]、[ バーチャル ワイヤー ]) である必要があります。新しいゾーンを定義する手順については、「セ キュリティ ゾーンの定義」を参照してください。 複数のゾーンを使用して管理を簡略化できます。たとえば、信頼されて いない宛先ゾーンが指定されている 3 つの異なる内部ゾーン ( マーケ ティング、販売、広報 ) がある場合、すべてのケースを対象とした 1 つ のルールを作成できます。 238 • ポリシーとセキュリティ プロファイル Palo Alto Networks フィールド 内容 送信元アドレス [ 追加 ] をクリックして送信元アドレス、アドレス グループ、または地域 を追加します ( デフォルトは [any])。ドロップダウン リストから選択す るか、ドロップダウン リストの下部にある [ アドレス ]、[ アドレス グ ループ ]、または [ 地域 ] のリンクをクリックして設定を指定します。[ 上 記以外 ] チェック ボックスをオンにすると、設定したアドレス以外の任 意のアドレスを指定したことになります。 [ 宛先 ] タブ [ 宛先 ] タブを使用して、宛先ゾーンまたは宛先アドレスを定義し、宛先へのトラフィックに ポリシーを適用するように設定します。 フィールド 内容 宛先ゾーン [ 追加 ] をクリックして宛先ゾーンを選択します ( デフォルトは [any])。 ゾーンは同じタイプ ([ レイヤー 2]、[ レイヤー 3]、[ バーチャル ワイヤー ]) である必要があります。新しいゾーンを定義する手順については、「セ キュリティ ゾーンの定義」を参照してください。 複数のゾーンを使用して管理を簡略化できます。たとえば、信頼されて いない宛先ゾーンが指定されている 3 つの異なる内部ゾーン ( マーケ ティング、販売、広報 ) がある場合、すべてのケースを対象とした 1 つの ルールを作成できます。 宛先アドレス [ 追加 ] をクリックして宛先アドレス、アドレス グループ、または地域を 追加します ( デフォルトは [any])。ドロップダウン リストから選択する か、ドロップダウン リストの下部にある [ アドレス ]、[ アドレス グルー プ ]、または [ 地域 ] のリンクをクリックして設定を指定します。[ 上記以 外 ] チェック ボックスをオンにすると、設定したアドレス以外の任意の アドレスを指定したことになります。 [ プロトコル / アプリケーション ] タブ [ プロトコル / アプリケーション ] タブを使用して、プロトコル (TCP または UDP)、ポート、 アプリケーションを定義して、ポリシーの一致条件にするアプリケーションの属性を詳細に 指定できます。 フィールド 内容 プロトコル アプリケーションをオーバーライドできるプロトコルを選択します。 ポート 指定した宛先アドレスのポート番号 (0 ~ 65535) またはポート番号の範 囲 ( ポート 1 ~ ポート 2) を入力します。複数のポートまたはポートの範 囲はコンマで区切ります。 アプリケーション 前述のルール基準に一致するトラフィック フローのオーバーライド ア プリケーションを選択します。カスタム アプリケーションをオーバーラ イドするときに実行される脅威検査はありません。この例外は、脅威検 査をサポートする事前に定義されたアプリケーションにオーバーライド する場合です。 新しいアプリケーションを定義する方法については、 「アプリケーション の定義」を参照してください。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 239 キャプティブ ポータル ポリシーの定義 [Policies] > [ キャプティブ ポータル ] 以下の表を使用して、認証プロファイル、認証シーケンス、または証明書プロファイルでユー ザーが認証されるように、キャプティブ ポータルをセットアップおよびカスタマイズします。 キャプティブ ポータルと User-ID エージェントを連動させることで、Active Directory ド メインでのユーザー識別機能を拡張できます。ユーザーはポータルに移動して認証され、そ れによってユーザー対 IP のアドレス マッピングが作成されます。 キャプティブ ポータル ポリシーを定義する前に、[ ユーザー ID] ページでキャプティブ ポー タルを有効にしてキャプティブ ポータル設定を指定します ( 手順は 「ファイアウォールへの ユーザー ID の設定識別」を参照 )。 その他のポリシー タイプの設定ガイドラインと詳細は、「ポリシーとセキュリティ プロファ イル」を参照してください。 以下の表では、キャプティブ ポータル ポリシー設定について説明します。 • [ 全般 ] タブ • [ 送信元 ] タブ • [ 宛先 ] タブ • [ サービス / URL カテゴリ ] タブ • [ アクション ] タブ [ 全般 ] タブ [ 全般 ] タブを使用して、キャプティブ ポータル ポリシーの名前と説明を設定します。タグを 設定すると、大量のポリシーがある場合に、ポリシーのソートやフィルタリングにも使用で きます。 フィールド 内容 名前 ルールの識別に使用する名前 ( 最大 31 文字 ) を入力します。名前の大文 字と小文字は区別されます。また、一意の名前にする必要があります。 文字、数字、スペース、ハイフン、およびアンダースコアのみを使用し てください。名前のみが必須です。 内容 ルールの説明を入力します ( 最大 255 文字 )。 タグ ポリシーにタグを付ける場合、[ 追加 ] をクリックしてタグを指定します。 ポリシー タグとは、ポリシーをソートまたはフィルタリングできるキー ワードや語句です。多数のポリシーを定義していて、特定のキーワード でタグが付けられたポリシーを表示する場合に役立ちます。たとえば、 特定のセキュリティ ポリシーに DMZ へのインバウンドのタグを付けた り、復号化ポリシーに「復号」と「復号なし」というタグを付けたり、 特定のデータ センターに関するポリシーにその場所の名前を使用したり できます。 240 • ポリシーとセキュリティ プロファイル Palo Alto Networks [ 送信元 ] タブ [ 送信元 ] タブを使用して、送信元ゾーンまたは送信元アドレスを定義し、送信元から受信す るトラフィックにキャプティブ ポータル ポリシーを適用するように設定します。 フィールド 内容 送信元 以下の情報を指定します。 • 特定のゾーンにあるすべてのインターフェイスからのトラフィックに ポリシーを適用する場合、送信元ゾーンを選択します。[ 追加 ] をク リックして、複数のインターフェイスまたはゾーンを指定します。 • [ 送信元アドレス ] 設定を指定して、特定の送信元アドレスからのトラ フィックにキャプティブ ポータル ポリシーを適用します。[ 上記以外 ] チェック ボックスをオンにすると、設定したアドレス以外の任意のア ドレスを指定したことになります。[ 追加 ] をクリックして、複数のイ ンターフェイスまたはゾーンを指定します。 [ 宛先 ] タブ [ 宛先 ] タブを使用して、宛先ゾーンまたは宛先アドレスを定義し、宛先へのトラフィックに ポリシーを適用するように設定します。 フィールド 内容 宛先 以下の情報を指定します。 • 特定のゾーンにあるすべてのインターフェイスへのトラフィックにポ リシーを適用する場合、宛先ゾーンを選択します。[ 追加 ] をクリック して、複数のインターフェイスまたはゾーンを指定します。 • [ 宛先アドレス ] 設定を指定して、特定の宛先アドレスへのトラフィッ クにキャプティブ ポータル ポリシーを適用します。[ 上記以外 ] チェッ ク ボックスをオンにすると、設定したアドレス以外の任意のアドレス を指定したことになります。[ 追加 ] をクリックして、複数のインター フェイスまたはゾーンを指定します。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 241 [ サービス / URL カテゴリ ] タブ [ サービス / URL カテゴリ ] タブを使用して、特定の TCP/UDP ポート番号に基づいて、ポリ シーがアクションを実行するように指定します。URL カテゴリは、ポリシーの属性としても 使用できます。 フィールド 内容 サービス 特定の TCP や UDP のポート番号に制限するには、サービスを選択しま す。ドロップダウン リストから以下のいずれかを選択します。 • any — 選択したサービスがすべてのプロトコルやポートで許可または拒 否されます。 • default — 選択したサービスが、Palo Alto Networks によって定義され たデフォルトのポートでのみ許可または拒否されます。これは、許可 ポリシーの推奨オプションです。 • Select — [ 追加 ] をクリックします。既存のサービスを選択するか、 [ サービス] または [サービス グループ] を選択して新しいエントリを指 定します。 「サービス」および「サービス グループ」を参照してください。 URL カテゴリ キャプティブ ポータル ルールを適用する URL カテゴリを選択します。 • URL カテゴリに関係なく [ サービス / アクション ] タブで指定したアク ションを適用するには、[ いずれか ] を選択します。 • カテゴリを指定するには、[ 追加 ] をクリックし、ドロップダウン リス トから特定のカテゴリ ( カスタム カテゴリも含む ) を選択します。複数 のカテゴリを追加できます。カスタム カテゴリの定義方法の詳細は、 「カスタム URL カテゴリ」を参照してください。 [ アクション ] タブ [ アクション ] タブを使用して、ユーザーに Web フォームおよびブラウザ チャレンジ ダイア ログが表示されるかどうか、またはキャプティブ ポータル チャレンジを実行しないかどうか を決定します。 フィールド 内容 アクション設定 実行するアクションを選択します。 • web-form — 明示的に認証情報を入力するためのキャプティブ ポータル ページがユーザーに表示されます。 • no-captive-portal — 認証のためのキャプティブ ポータル ページを表示 することなくトラフィックの通過を許可します。 • browser-challenge — ユーザーの Web ブラウザへの NT LAN Manager (NTLM) 認証要求を開きます。Web ブラウザは、ユーザーの現在のロ グイン資格証明を使用して応答します。 242 • ポリシーとセキュリティ プロファイル Palo Alto Networks DoS プロファイルの定義 [Policies] > [DoS プロテクション ] DoS プロテクション ポリシーでは、インターフェイス、ゾーン、アドレス、国の間のセッショ ン数を集約セッション、送信元 IP アドレス、宛先 IP アドレスに基づいて制御できます。たと えば、特定のアドレスまたはアドレス グループと送受信されるトラフィック、特定のユーザー から受信するトラフィック、特定のサービスに使用するトラフィックを制御できます。 DoS ポリシーには、攻撃を示すしきい値 ( セッション数またはパケット数 / 秒 ) を指定する DoS プロファイルを含めることができます。ポリシーで、一致がトリガーされたときの保護ア クションを選択できます。 Panorama のポリシーの定義の詳細は、 「Panorama でのポリシーの定義」を参照してください。 このページを使用して、DoS プロテクション ポリシー ルールを追加、編集、または削除しま す。ポリシー ルールを追加するには、[ 追加 ] をクリックし、以下のフィールドを入力します。 [ 全般 ] タブ [ 全般 ] タブを使用して、DoS ポリシーの名前と説明を設定します。タグを設定すると、大量 のポリシーがある場合に、ポリシーのソートやフィルタリングにも使用できます。 フィールド 内容 名前 ルールの識別に使用する名前 ( 最大 31 文字 ) を入力します。名前の大文 字と小文字は区別されます。また、一意の名前にする必要があります。 文字、数字、スペース、ハイフン、およびアンダースコアのみを使用し てください。名前のみが必須です。 内容 ルールの説明を入力します ( 最大 255 文字 )。 タグ ポリシーにタグを付ける場合、[ 追加 ] をクリックしてタグを指定します。 ポリシー タグとは、ポリシーをソートまたはフィルタリングできるキー ワードや語句です。多数のポリシーを定義していて、特定のキーワード でタグが付けられたポリシーを表示する場合に役立ちます。たとえば、 特定のセキュリティ ポリシーに DMZ へのインバウンドのタグを付けた り、復号化ポリシーに「復号」と「復号なし」というタグを付けたり、 特定のデータ センターに関するポリシーにその場所の名前を使用したり できます。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 243 [ 送信元 ] タブ [ 送信元 ] タブを使用して、送信元ゾーンまたは送信元アドレスを定義し、送信元から受信す るトラフィックに DoS ポリシーを適用するように設定します。 フィールド 内容 送信元 以下の情報を指定します。 • [ タイプ ] ドロップダウン リストから [ インターフェイス ] を選択し、 インターフェイスまたはインターフェイス グループからのトラフィッ クに DoS ポリシーを適用します。特定のゾーンにあるすべてのイン ターフェイスからのトラフィックに DoS ポリシーを適用する場合、 [ ゾーン ] を選択します。[ 追加 ] をクリックして、複数のインターフェ イスまたはゾーンを指定します。 • [ 送信元アドレス ] 設定を指定して、特定の送信元アドレスからのトラ フィックに DoS ポリシーを適用します。[ 上記以外 ] チェック ボック スをオンにすると、設定したアドレス以外の任意のアドレスを指定し たことになります。複数のアドレスを指定するには、[ 追加 ] をクリッ クします。 • [ 送信元ユーザー ] 設定を指定して、特定のユーザーからのトラフィッ クに DoS ポリシーを適用します。以下の送信元ユーザー タイプがサ ポートされます。 – any — ユーザー データに関係なく任意のトラフィックが含 まれます。 – pre-logon — GlobalProtect を使用してネットワークに接続 しているが、自分のシステムにはログインしていないリ モート ユーザーが含まれます。GlobalProtect クライアン トのポータルに [ ログオン前 ] オプションが設定されてい る場合、自分のマシンに現在ログインしていないユーザー は、ユーザー名 pre-logon として識別されます。pre-logon ユーザー用のポリシーを作成でき、また、ユーザーが直接 ログインしていなくても、そのマシンは完全にログインし ているかのようにドメインで認証されます。 – known-user — 認証されたすべてのユーザー ( ユーザー デー タがマップされた IP) が含まれます。このオプションは、ド メインの「ドメイン ユーザー」グループに相当します。 – unknown — 認証されていないすべてのユーザー (ユーザー にマップされていない IP アドレス ) が含まれます。たと えば、unknown をゲスト レベルのアクセスに対して使用 できます。これらのユーザーは、ネットワーク上の IP を 持っていますが、ドメインに認証されず、ファイアウォー ル上に IP 対ユーザーのマッピング情報がないためです。 – select — このウィンドウで選択したユーザーが含まれます。 たとえば、1 人のユーザー、個々のユーザーのリスト、グ ループを追加したり、手動でユーザーを追加する場合があ ります。 注 : RADIUS サーバーを使用していて User-ID エージェントを使用して いない場合、ユーザーのリストは表示されません。ユーザー情報を手動 で入力する必要があります。 244 • ポリシーとセキュリティ プロファイル Palo Alto Networks [ 宛先 ] タブ [ 宛先 ] タブを使用して、宛先ゾーンまたは宛先アドレスを定義し、宛先へのトラフィックに ポリシーを適用するように設定します。 フィールド 内容 宛先 以下の情報を指定します。 • [ タイプ ] ドロップダウン リストから [ インターフェイス ] を選択し、 インターフェイスまたはインターフェイス グループからのトラフィッ クに DoS ポリシーを適用します。特定のゾーンにあるすべてのイン ターフェイスからのトラフィックに DoS ポリシーを適用する場合、 [ ゾーン ] を選択します。[ 追加 ] をクリックして、複数のインターフェ イスまたはゾーンを指定します。 • [ 宛先アドレス ] 設定を指定して、特定の宛先アドレスへのトラフィック に DoS ポリシーを適用します。[ 上記以外 ] チェック ボックスをオンに すると、設定したアドレス以外の任意のアドレスを指定したことにな ります。複数のアドレスを指定するには、[ 追加 ] をクリックします。 [ オプション / 保護 ] タブ [ オプション / 保護 ] タブを使用して、DoS ポリシーの追加のオプションを設定します。たと えば、サービスのタイプ (http または https)、実行するアクション、一致したトラフィックの ログ転送をトリガーするかどうかなどを設定できます。また、ポリシーをアクティブにする スケジュールを定義したり、[Aggregate] または [Classified] DoS プロファイルを選択して、 DoS プロテクションの詳細な属性を定義することもできます。 フィールド 内容 サービス ドロップダウン リストから選択し、設定したサービスにのみ DoS ポリ シーを適用します。 アクション ドロップダウン リストからアクションを選択します。 • 拒否 — すべてのトラフィックが廃棄されます。 • 許可 — すべてのトラフィックが許可されます。 • 保護 — このルールに適用される DoS プロファイルの一部として設定し たしきい値による保護を適用します。 スケジュール 事前に設定したスケジュールをドロップダウン リストから選択し、特定 の日付 / 時間に DoS ルールを適用します。 ログ転送 脅威ログ エントリの外部サービス (Syslog サーバー、Panorama など ) へ の転送をトリガーする場合、ドロップダウンからログ転送プロファイル を選択するか、[ プロファイル ] をクリックして新しいプロファイルを作 成します。ログに記録されて転送されるのは、ルール内のアクションに 一致するトラフィックのみです。 Aggregate ドロップダウン リストから DoS プロテクション プロファイルを選択し、 DoS 脅威に対してアクションを実行するトラフィック量を決定します。 [Aggregate] 設定は、指定した送信元から指定した宛先へのすべてのトラ フィックの合計に対して適用されます。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 245 セキュリティ プロファイル フィールド 内容 Classified チェック ボックスをオンにして以下を指定します。 • プロファイル — ドロップダウン リストからプロファイルを選択します。 • Address — 送信元 ( 送信元 IP アドレス ) および宛先 ( 宛先 IP アドレス ) にルールを適用するかどうかを選択します。 [Classified] プロファイルを指定すると、プロファイルの制限が送信元 IP アドレス、宛先 IP アドレス、または送信元 IP アドレスと宛先 IP アドレ スのペアに適用されます。たとえば、セッションの制限が 100 である分 類済みのプロファイルを指定し、ルールの「送信元」の [ アドレス ] 設定 を指定できます。この特定の送信元 IP アドレスのセッションが常に 100 に制限されます。 セキュリティ プロファイル セキュリティ ポリシーごとに 1 つ以上のセキュリティ プロファイルを指定して、防御や管理 を強化することができます。 アンチスパイウェアおよび脆弱性プロファイルに脅威例外を追加することもできます。脅威 例外の管理を容易にするために、脅威例外を [Monitor] > [ ログ ] > [ 脅威 ] リストから直接追 加できます。脅威例外は、通常、誤検出が発生したときに設定します。この場合、Palo Alto Networks が該当す誤検出に対する新しいシグネチャをリリースするまで、脅威の例外を設 定できます。 以下のタイプのプロファイルを使用できます。 • アンチウイルス プロファイル — ワームやウイルスから保護したり、スパイウェアのダウン ロードをブロックしたりします。 「アンチウイルス プロファイル」を参照してください。 • アンチスパイウェア プロファイル — 保護されているネットワークへのスパイウェアによ るアクセス試行をブロックします。 「アンチスパイウェア プロファイル」を参照してくだ さい。 • 脆弱性防御プロファイル — システムの脆弱性の悪用やシステムへの不正アクセスを防止 します。「脆弱性防御プロファイル」を参照してください。 • URL フィルタリング プロファイル — 特定の Web サイトおよび Web サイト カテゴリへ のアクセスを制限します。「URL フィルタリング プロファイル」を参照してください。 • ファイル ブロッキング プロファイル — 選択したファイル タイプをブロックします。 「ファイル ブロッキング プロファイル」を参照してください。 • データ フィルタリング プロファイル — クレジット カード番号や社会保障番号などの機 密情報が、ファイアウォールで保護されているエリアから漏洩することを防止します。 「データ フィルタリング プロファイル」を参照してください。 246 • ポリシーとセキュリティ プロファイル Palo Alto Networks セキュリティ プロファイル 個々のプロファイルに加えて、[Objects] > [ セキュリティ プロファイル グループ ] でプロ ファイル グループを作成して、頻繁に適用されるプロファイルをまとめることができます。 セキュリティ ポリシーで使用されているプロファイルは削除できません。 最初にセキュリティ ポリシーからプロファイルを削除してから、削除す る必要があります。 アンチウイルス プロファイルおよびアンチスパイウェア プロファイルの定義時、以下のアク ションを選択できます。 • Default — 各脅威のシグネチャで内部的に指定されているデフォルトのアクションが実行 されます。 • Allow — アプリケーション トラフィックが許可されます。 • Alert — 各アプリケーション トラフィック フローのアラートが生成されます。アラート は脅威ログに保存されます。 • Block — アプリケーション トラフィックが廃棄されます。 以下のアクションは、カスタムのスパイウェアおよび脆弱性オブジェクトを定義するときに 指定できます。 • Alert — 各アプリケーション トラフィック フローのアラートが生成されます。アラート は脅威ログに保存されます。 • パケットのドロップ — すべてのパケットがファイアウォールを継続して通過しないよう にします。 • 両方のリセット — クライアントとサーバーがリセットされます。 • クライアントのリセット — クライアントがリセットされます。 • サーバーのリセット — サーバーがリセットされます。 • Block-IP — このアクションでは、送信元からのトラフィックまたは送信元と宛先のペア ( 設定可能 ) のトラフィックが指定した期間ブロックされます。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 247 セキュリティ プロファイル アンチウイルス プロファイル [Objects] > [ セキュリティ プロファイル ] > [ アンチウイルス ] [ アンチウイルス プロファイル ] ページを使用して、定義されたトラフィックに対するファイ アウォールのウイルス スキャンのオプションを設定します。ウイルス検査対象のアプリケー ションと、ウイルス検出時に実行するアクションを設定します。デフォルトのプロファイル では、表示されているすべてのプロトコル デコーダがウイルス検査の対象になります。 Simple Mail Transport Protocol (SMTP)、Internet Message Access Protocol (IMAP)、および Post Office Protocol Version 3 (POP3) ではアラートが生成され、他のアプリケーションでは 検出されたウイルスのタイプに応じてデフォルトのアクション ( アラートまたは拒否 ) が実行 されます。プロファイルは、セキュリティ ポリシーに添付されて、検査対象となる、特定の ゾーンをトラバースするトラフィックを判別します。 カスタマイズしたプロファイルを使用して、信頼されたセキュリティ ゾーン間のトラフィッ クに対するウイルス対策の検査を最小限に抑え、インターネットなどの信頼されていない ゾーンから受信したトラフィックや、サーバー ファームなどの機密性の高い宛先に送信され るトラフィックの検査を最大化できます。 すべてのセキュリティ プロファイル タイプのリストと、一致したトラフィックに対して実行 できるアクションについては、「セキュリティ プロファイル」を参照してください。 以下の表では、ポリシー ベース フォワーディング設定について説明します。 • [ アンチウイルス プロファイル ] ページ • [ アンチウイルス ] タブ • [ 例外 ] タブ [ アンチウイルス プロファイル ] ページ このページを使用して、プロファイルの名前と説明を設定します。 フィールド 内容 名前 プロファイル名 ( 最大 31 文字 ) を入力します。この名前は、セキュリティ ポリシーを定義するときにアンチウイルス プロファイルのリストに表示 されます。名前の大文字と小文字は区別されます。また、一意の名前に する必要があります。文字、数字、スペース、ハイフン、ピリオド、お よびアンダースコアのみを使用してください。 内容 プロファイルの説明を入力します ( 最大 255 文字 )。 248 • ポリシーとセキュリティ プロファイル Palo Alto Networks セキュリティ プロファイル [ アンチウイルス ] タブ [ アンチウイルス ] タブを使用して、検査するトラフィックのタイプ (ftp、http など ) を定義 し、実行するアクションを指定します。標準のアンチウイルス シグネチャ ([ アクション ] 列 ) と WildFire システムで生成されたシグネチャ ([WildFire アクション ] 列 ) にさまざまなアク ションを定義できます。環境によっては、アンチウイルス シグネチャに長めのソーク時間を 必要とするため、このオプションでは、Palo Alto Networks が提供する 2 つのアンチウイル ス シグネチャ タイプに異なるアクションを設定できます。たとえば、標準のアンチウイルス シグネチャは、リリースされるまでのソーク時間がより長い (24 時間 ) のに対し、WildFire シ グネチャは脅威が検出されてから 15 分以内に生成されてリリースされます。このため、アク ションに block ではなく、WildFire シグネチャに基づく alert を選択する必要が生じることも あります。 [ アプリケーション例外 ] テーブルを使用して、検査対象外のアプリケーションを定義します。 たとえば、http は allow にし、一方で http 経由で動作する特定のアプリケーションからのト ラフィックは検査対象外にすることもできます。 フィールド 内容 パケット キャプチャ 識別されたパケットをキャプチャするには、このチェック ボックスをオ ンにします。 デコーダとアクション ウイルスを検査するトラフィックのタイプごとに、ドロップダウン リス トからアクションを選択します。WireFire で作成されたシグネチャに基 づいて特定のアクションを実行することもできます。 アプリケーション例外と アクション アンチウイルス ルールの適用対象から除外するアプリケーションを指定 します。 たとえば、特定のアプリケーションを除くすべての HTTP トラフィック をブロックするには、そのアプリケーションが例外になるようにアンチ ウイルス プロファイルを定義します。[ ブロック ] は HTTP デコーダに対 するアクションで、[ 許可 ] はアプリケーションの例外です。 アプリケーションを検索するには、アプリケーション名をテキスト ボッ クスに入力します。一致するアプリケーションのリストが表示され、選 択ができるようになります。アプリケーションが表に追加され、アクショ ンを割り当てられるようになります。 アプリケーション例外ごとに、脅威の検出時に実行するアクションを選 択します。 [ 例外 ] タブ [ 例外 ] タブを使用して、アンチウイルス プロファイルで無視する脅威のリストを定義します。 フィールド 内容 脅威 ID 無視する特定の脅威を追加します。設定済みの例外のシグネチャが表示 されます。例外扱いにする脅威を追加するには、Threat ID を入力して [ 追加 ] をクリックします。Threat ID は、Threat ログの情報の一部として 表示されます。「ログの表示」を参照してください。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 249 セキュリティ プロファイル アンチスパイウェア プロファイル [Objects] > Security Profiles > Anti-spyware セキュリティ ポリシーでは、「phone home」検出 ( インストールされているスパイウェアか らのトラフィックを検出 ) のアンチスパイウェア プロファイルを指定できます。デフォルト のアンチスパイウェア プロファイルでは、[low] および [informational] 以外のすべての重大 度レベルを対象にした phone-home 保護が検出されます。 カスタマイズしたプロファイルを使用して、信頼されたセキュリティ ゾーン間のトラフィッ クに対するスパイウェア対策の検査を最小限に抑え、インターネットなどの信頼されていな いゾーンから受信したトラフィックや、サーバー ファームなどの機密性の高い宛先に送信さ れるトラフィックの検査を最大化できます。 例外設定では、特定のシグネチャに対するレスポンスを変更できます。たとえば、シグネ チャに一致するすべてのパケットをブロックするが選択したシグネチャに一致するパケット はブロックしないでアラートを生成するということが可能です。 [DNS シグネチャ ] 設定は、ネットワーク上の感染したホストを特定する追加方法です。これ らのシグネチャは、マルウェアに関連付けられているホスト名の特定の DNS ルックアップを 検出します。DNS シグネチャは、通常のアンチウイルス シグネチャと同様に、これらのクエ リが観察されると許可、アラート、またはブロック ( デフォルト ) するように設定できます。 さらに、マルウェア ドメインの DNS クエリを実行するホストはボットネット レポートに表 示されます。DNS シグネチャは、アンチウイルス更新の一部としてダウンロードされます。 [ アンチスパイウェア ] ページには、一連のデフォルト列が表示されます。列を選択するオプ ションを使用すれば、その他の情報列を表示できます。列ヘッダーの右側にある矢印をク リックし、[ カラム ] サブメニューから列を選択します。詳細は、 「設定ページのテーブルの使 用」を参照してください。 以下の表では、アンチスパイウェア プロファイル設定について説明します。 表 145. アンチスパイウェア プロファイル設定 フィールド 内容 名前 プロファイル名 ( 最大 31 文字 ) を入力します。この名前は、セキュリティ ポリシーを定義するときにアンチスパイウェア プロファイルのリストに 表示されます。名前の大文字と小文字は区別されます。また、一意の名 前にする必要があります。文字、数字、スペース、ハイフン、ピリオド、 およびアンダースコアのみを使用してください。 内容 プロファイルの説明を入力します ( 最大 255 文字 )。 共有 デバイスがマルチ仮想システム モードである場合、プロファイルをすべ ての仮想システムで共有できるようにするには、このチェック ボックス をオンにします。 [ ルール ] タブ ルール名 ルール名を指定します。 脅威名 すべてのシグネチャを照合する場合は「any」と入力します。または、シ グネチャ名の一部として入力されたテキストを含むすべてのシグネチャ を照合するテキストを入力します。 重大度 重大度レベル ([critical]、[high]、[medium]、[low]、または [informational]) を選択します。 250 • ポリシーとセキュリティ プロファイル Palo Alto Networks セキュリティ プロファイル 表 145. アンチスパイウェア プロファイル設定(続き) フィールド 内容 アクション 脅威毎のアクション ([ デフォルト ]、[ アラート ]、[ 許可 ]、または [ ド ロップ ]) を選択します。 パケット キャプチャ 識別されたパケットをキャプチャするには、このチェック ボックスをオ ンにします。 脅威が検出されたときに 1 つのパケットをキャプチャするには、singlepacket、1 ~ 50 個のパケットをキャプチャするには、extended-capture オプションを選択します。extended-capture では、脅威ログを分析する ときに脅威についてより詳細なコンテキストを得られます。パケット キャプチャを表示するには、[Monitor] > [ ログ ] > [ 脅威 ] に移動し、関心 のあるログ エントリを見つけて、第 2 列にある緑の下矢印をクリックし ます。キャプチャするパケットの数を定義するには、[Device] > [ セット アップ ] > [ コンテンツ ID] に移動し、[ 脅威検出設定 ] セクションを編 集します。 パケット キャプチャは、アクションが allow または alert の場合にのみ行 われます。block アクションが設定されている場合、セッションは即座に 終了します。 [ 例外 ] タブ 例外 アクションを割り当てる各脅威の [有効化] チェック ボックスをオンにす るか、[ すべて ] を選択してリストにあるすべての脅威をオンにします。 このリストは、選択したホスト、カテゴリ、および重大度によって異な ります。リストが空の場合、現在の選択に対応する脅威がないことを表 します。 [IP Address Exemptions] 列を使用して、脅威例外をフィルタリングする IP アドレスを追加します。脅威例外に IP アドレスが追加されている場 合、そのシグネチャの脅威例外アクションは、送信元または宛先 IP のい ずれかが例外の IP に一致するセッションによってシグネチャがトリガー される場合にのみ、ルールのアクションよりも優先されます。シグネチャ あたり最大 100 個の IP アドレスを追加できます。このオプションでは、 特定の IP アドレスの例外を作成するために新しいポリシー ルールと新 しい脆弱性プロファイルを作成する必要はありません。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 251 セキュリティ プロファイル 表 145. アンチスパイウェア プロファイル設定(続き) フィールド 内容 [DNS シグネチャ ] タブ DNS クエリに対する アクション 既知のマルウェア サイトに対して DNS ルックアップが実行されたとき に実行するアクション ([ アラート ]、[ 許可 ]、[ シンクホール ]、または [default (block)]) を選択します。 DNS シンクホール アクションを使用すると、管理者は、ファイアウォー ルがローカル DNS サーバーよりもインターネット側にある ( ファイア ウォールが DNS クエリの発行元を認識できない ) 場合も含め、DNS トラ フィックを使用してネットワーク上の感染ホストを識別することができ ます。脅威防御ライセンスがインストールされていて、セキュリティ プ ロファイルでアンチスパイウェア プロファイルが有効な場合、DNS ベー スのシグネチャが、マルウェア ドメインへの DNS クエリによってトリ ガーします。ファイアウォールがローカル DNS サーバーよりもインター ネット側にある通常のデプロイメントでは、脅威ログは、実際の感染ホ ストではなくローカル DNS リゾルバをトラフィックの送信元として識 別します。マルウェア DNS クエリをシンクホールすると、有害なドメイ ンへのクエリに対する応答を偽装することで、この可視性の問題が解決 されます。そのため、悪意のあるドメイン ( たとえば、コマンドアンドコ ントロールなど ) への接続を試みるクライアントは、代わりに管理者が 指定した IP アドレスへに接続を試みることになります。こうすること で、感染ホストをトラフィック ログ内で容易に特定できます。シンク ホール IP への接続を試みるホストはすべて、マルウェアに感染している 可能性が高いためです。 シンクホール アクションを選択した後、シンクホールとして使用する IPv4/IPv6 アドレスを指定します ( デフォルトは、ループバック IP で、 ドメインをローカル ホストに解決します )。シンクホール IP アドレスが 設定されると、感染クライアントは、トラフィック ログをフィルタリン グするか、または指定された IP アドレスへのセッションがあるかチェッ クするカスタム レポートを作成することで特定できます。セッションが ファイアウォールを経由してルーティングされ、ファイアウォールが セッションを認識できるように IP アドレスを選択することが重要です。 たとえば、別の内部ゾーン内の未使用 IP などを選択します。 以下は、シンクホール機能が有効な場合に発生するイベントの流れです。 1. 感染したクライアント コンピュータ上の有害なソフトウェアが DNS クエリを送信して、インターネット上の有害なホストを解決します。 2. クライアントの DNS クエリが内部 DNS サーバーに送信され、ファ イアウォールの反対側にある公開 DNS サーバーをクエリします。 3. DNS クエリは、DNS シグネチャ データベース内の DNS エントリと 一致するため、シンクホール アクションがクエリに対して実行され ます。 4. 感染したクライアントは、そのホストでセッションを開始しようと しますが、代わりに偽装 IP アドレスを使用します。偽装 IP アドレ スは、アンチスパイウェア プロファイルの [DNS シグネチャ ] タブ でシンクホール アクションが選択されたときに定義されたアドレス です。 5. 管理者は、脅威ログに有害な DNS クエリがあるというアラート通知 を受け取り、トラフィック ログ内のシンクホール IP アドレスを検索 して、シンクホール IP アドレスでセッションを開始しようとしてい るクライアント IP アドレスを容易に特定できます。 252 • ポリシーとセキュリティ プロファイル Palo Alto Networks セキュリティ プロファイル 表 145. アンチスパイウェア プロファイル設定(続き) フィールド 内容 パケット キャプチャ 識別されたパケットをキャプチャするには、このチェック ボックスをオ ンにします。 パッシブ DNS モニタリングを 有効にする これは、ファイアウォールがパッシブ DNS センサーとして機能し、選択 した DNS 情報を Palo Alto Networks に送信して分析できるようにして、 脅威インテリジェンスと脅威防御機能の向上を図るオプトイン機能で す。収集されるデータとして、非再帰的 ( 個々のクライアントではなく、 ローカルの再帰的リゾルバから発行される ) DNS クエリや、応答パケッ トのペイロードなどがあります。この情報は、Palo Alto Networks の脅 威調査チームで、DNS システムを悪用するマルウェアの配信および防御 回避技法への洞察を得るために使用されます。このデータ収集によって 集められた情報は、PAN-DB URL フィルタリング、DNS ベースのコマン ドアンドコントロール シグネチャ、および WildFire 内の精度とマルウェ ア検出機能の向上に使用されます。この機能は、有効に設定することを お勧めします。 ファイアウォールにカスタム サービス ルートが設定されている 場合、パッシブ DNS 機能は WildFire サービス ルートを使用し て DNS 情報を Palo Alto Networks に送信します。 このオプションはデフォルトで無効になっています。 脅威 ID DNS シグネチャ例外を手動で入力します ( 範囲は 4000000 ~ 4999999)。 脆弱性防御プロファイル [Objects] > [ セキュリティ プロファイル ] > [ 脆弱性防御 ] セキュリティ ポリシーでは脆弱性防御プロファイルを指定できます。このプロファイルで は、システムの脆弱性を悪用するバッファ オーバーフローや不正コードの実行などに対する 保護レベルを定義します。脆弱性防御機能では、以下の 2 つの事前定義済みプロファイルを 使用できます。 • default プロファイルでは、default アクションがすべてのクライアントおよびサーバーの 重大度が critical、high、medium の脆弱性に適用されます。low および informational の 脆弱性防御イベントは検出されません。 • strict プロファイルでは、block 応答がすべてのクライアントおよびサーバーの重大度が critical、high、medium のスパイウェア イベントに適用され、default アクションが low および informational の脆弱性防御イベントに使用されます。 カスタマイズしたプロファイルを使用して、信頼されたセキュリティ ゾーン間のトラフィッ クに対する脆弱性の検査を最小限に抑え、インターネットなどの信頼されていないゾーンか ら受信したトラフィックや、サーバー ファームなどの機密性の高い宛先に送信されるトラ フィックの保護を最大化できます。脆弱性防御プロファイルをセキュリティ ポリシーに適用 する方法については、「セキュリティ ポリシーの定義」を参照してください。 [ ルール ] 設定では、有効にする一連のシグネチャと、一連のシグネチャのいずれかがトリ ガーされたときに実行するアクションを指定します。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 253 セキュリティ プロファイル 例外設定では、特定のシグネチャに対するレスポンスを変更できます。たとえば、シグネ チャに一致するすべてのパケットをブロックするが選択したシグネチャに一致するパケット はブロックしないでアラートを生成するということが可能です。[Exception] タブでは、フィ ルタリング機能がサポートされています。 [ 脆弱性防御 ] ページには、一連のデフォルト列が表示されます。列を選択するオプションを 使用すれば、その他の情報列を表示できます。列ヘッダーの右側にある矢印をクリックし、 [ カラム ] サブメニューから列を選択します。詳細は、 「設定ページのテーブルの使用」を参照 してください。 以下の表では、脆弱性防御プロファイル設定について説明します。 表 146. 脆弱性防御プロファイル設定 フィールド 内容 名前 プロファイル名 ( 最大 31 文字 ) を入力します。この名前は、セキュリティ ポリシーを定義するときに脆弱性防御プロファイルのリストに表示され ます。名前の大文字と小文字は区別されます。また、一意の名前にする 必要があります。文字、数字、スペース、ハイフン、ピリオド、および アンダースコアのみを使用してください。 内容 プロファイルの説明を入力します ( 最大 255 文字 )。 共有 デバイスがマルチ仮想システム モードである場合、プロファイルをすべ ての仮想システムで共有できるようにするには、このチェック ボックス をオンにします。 [ ルール ] タブ ルール名 ルールの識別に使用する名前を指定します。 脅威名 照合するテキスト文字列を指定します。ファイアウォールは、このテキ スト文字列のシグネチャ名を検索して一連のシグネチャをルールに適用 します。 アクション ルールがトリガーされたときに実行するアクション ([ アラート ]、[ 許可 ]、 [ デフォルト ]、または [ ブロック ]) を選択します。[ デフォルト ] アクショ ンは、Palo Alto Networks によって提供された各シグネチャの一部であ る事前定義のアクションに基づきます。シグネチャのデフォルトのアク ションを表示するには、[Objects] > [ セキュリティ プロファイル ] > [ 脆 弱性防御 ] に移動し、[ 追加 ] をクリックするか、既存のプロファイルを選 択します。[ 例外 ] タブをクリックし、[ すべてのシグネチャの表示 ] をク リックします。すべてのシグネチャのリストが表示され、[ アクション ] 列が表示されます。 ホスト ルールのシグネチャをクライアント側、サーバー側、またはいずれか ([any]) に限定するかどうかを指定します。 254 • ポリシーとセキュリティ プロファイル Palo Alto Networks セキュリティ プロファイル 表 146. 脆弱性防御プロファイル設定(続き) フィールド 内容 パケット キャプチャ 識別されたパケットをキャプチャするには、このチェック ボックスをオ ンにします。 脅威が検出されたときに 1 つのパケットをキャプチャするには、singlepacket、1 ~ 50 個のパケットをキャプチャするには、extended-capture オプションを選択します。extended-capture では、脅威ログを分析する ときに脅威についてより詳細なコンテキストを得られます。パケット キャプチャを表示するには、[Monitor] > [ ログ ] > [ 脅威 ] に移動し、関 心のあるログ エントリを見つけて、第 2 列にある緑の下矢印をクリック します。キャプチャするパケットの数を定義するには、[Device] > [ セッ トアップ ] > [ コンテンツ ID] に移動し、[ 脅威検出設定 ] セクションを編 集します。 パケット キャプチャは、アクションが allow または alert の場合にのみ行 われます。block アクションが設定されている場合、セッションは即座に 終了します。 カテゴリ 脆弱性のカテゴリに一致する場合にのみシグネチャを適用するには、脆 弱性のカテゴリを選択します。 CVE 指定した CVE に一致する場合にのみシグネチャを適用するには、CVE (Common Vulnerabilities and Exposures) を指定します。 各 CVE の形式は CVE-yyyy-xxxx になります。ここで、yyyy は年、xxxx は一意識別子です。このフィールドで文字列の照合を実行できます。た とえば、2011 年の脆弱性を検索するには「2011」と入力します。 ベンダー ID 指定したベンダー ID に一致する場合にのみシグネチャを適用するには、 ベンダー ID を指定します。 たとえば、Microsoft のベンダー ID の形式は MSyy-xxx になります。ここ で、yy は 2 桁の年で、xxx は一意識別子です。たとえば、2009 年の Microsoft を照合するには「MS09」と入力します。 重大度 Palo Alto Networks 指定した重大度にも一致する場合にのみシグネチャを適用するには、照合 する重大度 ([informational]、[low]、[medium]、[high]、または [critical]) を選択します。 ポリシーとセキュリティ プロファイル • 255 セキュリティ プロファイル 表 146. 脆弱性防御プロファイル設定(続き) フィールド 内容 [ 例外 ] タブ 脅威 アクションを割り当てる各脅威の [有効化] チェック ボックスをオンにす るか、[ すべて ] を選択してリストにあるすべての脅威をオンにします。 このリストは、選択したホスト、カテゴリ、および重大度によって異な ります。リストが空の場合、現在の選択に対応する脅威がないことを表 します。 各ドロップダウン リスト ボックスからアクションを選択するか、リスト の上部にある [アクション] ドロップダウン リストからアクションを選択 してすべての脅威に同じアクションを適用します。[ すべてのシグネチャ の表示 ] チェック ボックスがオンになっている場合、すべてのシグネチャ が表示されます。[ すべてのシグネチャの表示 ] チェック ボックスがオン になっていない場合、例外となるシグネチャのみが表示されます。 識別されたパケットをキャプチャするには、[ パケット キャプチャ ] チェック ボックスをオンにします。 脆弱性シグネチャ データベースには、総当たり攻撃を表すシグネチャが 格納されています。たとえば、Threat ID 40001 は FTP 総当たり攻撃でト リガーされます。総当たり攻撃のシグネチャは、特定の時間のしきい値 で条件が発生した場合にトリガーされます。総当たり攻撃のシグネチャ のしきい値は事前に設定されています。これは、([ カスタム ] オプション が選択された状態で ) [ 脆弱性 ] タブの脅威の名前の横にある鉛筆アイコ ン をクリックして変更できます。単位時間あたりのヒット数やしき い値の適用先 ( 送信元、宛先、または送信元と宛先の組み合わせ ) を指定 できます。 しきい値は、送信元 IP、宛先 IP、または送信元 IP と宛先 IP の組み合わ せに適用できます。 デフォルトのアクションが、かっこに囲まれて表示されます。[CVE] 列 には、CVE (Common Vulnerabilities and Exposures) の識別子が表示さ れます。これらは、公開されている情報セキュリティの脆弱性に対応す る共通の一意の識別子です。 [IP Address Exemptions] 列を使用して、脅威例外をフィルタリングする IP アドレスを追加します。脅威例外に IP アドレスが追加されている場 合、そのシグネチャの脅威例外アクションは、送信元または宛先 IP のい ずれかが例外の IP に一致するセッションによってシグネチャがトリガー される場合にのみ、ルールのアクションよりも優先されます。シグネチャ あたり最大 100 個の IP アドレスを追加できます。このオプションでは、 特定の IP アドレスの例外を作成するために新しいポリシー ルールと新 しい脆弱性プロファイルを作成する必要はありません。 256 • ポリシーとセキュリティ プロファイル Palo Alto Networks セキュリティ プロファイル URL フィルタリング プロファイル [Objects] > [ セキュリティ プロファイル ] > [URL フィルタリング ] セキュリティ ポリシーでは URL フィルタリング プロファイルを指定できます。このプロ ファイルを使用して、特定の Web サイトおよび Web サイト カテゴリへのアクセスをブロッ クしたり、セーフ サーチを適用したり、指定した Web サイトにアクセスした場合にアラー トを生成したりします (URL フィルタリング ライセンスが必要 )。また、常にブロック ( また はアラートを生成 ) する Web サイトの「ブロック リスト」や常に許可する Web サイトの「許 可リスト」を定義することもできます。 URL フィルタリング プロファイルをセキュリティ ポリシーに適用する方法については、「セ キュリティ ポリシーの定義」を参照してください。独自の URL リストでカスタム URL カテ ゴリを作成する方法については、「カスタム URL カテゴリ」を参照してください。 以下の表では、URL フィルタリング プロファイル設定について説明します。 表 147. URL フィルタリング プロファイル設定 フィールド 内容 名前 プロファイル名 ( 最大 31 文字 ) を入力します。この名前は、セキュリ ティ ポリシーを定義するときに URL フィルタリング プロファイルのリ ストに表示されます。名前の大文字と小文字は区別されます。また、一 意の名前にする必要があります。文字、数字、スペース、ハイフン、お よびアンダースコアのみを使用してください。 内容 プロファイルの説明を入力します ( 最大 255 文字 )。 共有 デバイスがマルチ仮想システム モードである場合、プロファイルをすべ ての仮想システムで共有できるようにするには、このチェック ボックス をオンにします。 カテゴリ (BrightCloud のみに 設定可能 ) URL フィルタリング ライセンスの有効期限が切れた場合に実行するア クションを選択します。 ライセンスの有効期限時 のアクション • ブロック — すべての Web サイトへのアクセスがブロックされます。 • 許可 — すべての Web サイトへのアクセスが許可されます。 注 : BrightCloud データベースを使用していて、ライセンスの有効期限が きれたときにこのオプションを [ ブロック ] に設定すると、ブロックに設 定された URL カテゴリだけでなく、すべての URL がブロックされます。 [ 許可 ] に設定すると、すべての URL が許可されます。 PAN-DB を使用している場合、URL フィルタリングは引き続き機能し、 現在キャッシュに入っている URL カテゴリが設定に基づいてブロック または許可に使用されます。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 257 セキュリティ プロファイル 表 147. URL フィルタリング プロファイル設定(続き) フィールド 内容 ブロック リスト ブロックする、またはアラートを生成する Web サイトの IP アドレスま たは URL パス名を入力します。1 行に 1 つの URL を入力します。 重要 : リストに Web サイトを追加するときには、URL の「http」および 「https」部分を省略する必要があります。 ブロック リストのエントリは、完全一致で大文字と小文字が区別されます。 たとえば、 「www.paloaltonetworks.com」は「paloaltonetworks.com」とは 異なります。ドメイン全体をブロックするには、 「*.paloaltonetworks.com」 と「paloaltonetworks.com」の両方を含める必要があります。 Examples: • www.paloaltonetworks.com • 198.133.219.25/en/US ブロック リストと許可リストではワイルドカード パターンがサポート されます。以下の文字は区切り文字とみなされます。 . / ? & = ; + 上記の文字で区切られた部分文字列はそれぞれトークンとみなされま す。区切り文字が含まれていない任意の長さの ASCII 文字、または「*」 です。たとえば、以下のパターンは有効です。 *.yahoo.com (Tokens are: "*", "yahoo" and "com") www.*.com (Tokens are: "www", "*" and "com") www.yahoo.com/search=* (Tokens are: "www", "yahoo", "com", "search", "*") 以下のパターンでは、「*」がトークンの唯一の文字でないため無効です。 ww*.yahoo.com www.y*.com アクション ブロック リストの Web サイトにアクセスしたときに実行するアクショ ンを選択します。 • alert — ユーザーは Web サイトにアクセスできますが、URL ログにア ラートが追加されます。 • block — Web サイトへのアクセスがブロックされます。 • Continue — ユーザーは、ブロックされたページの [Continue] をクリッ クすればそのページにアクセスできます。 • Override — ユーザーは、パスワードを入力すればブロックされたペー ジにアクセスできます。パスワードおよびその他のオーバーライド設定 は、[ 設定 ] ページの [URL 管理オーバーライド ] エリアで指定します。 「管理設定の定義」の表 1 を参照してください。 258 • ポリシーとセキュリティ プロファイル Palo Alto Networks セキュリティ プロファイル 表 147. URL フィルタリング プロファイル設定(続き) フィールド 内容 許可リスト 許可する、またはアラートを生成する Web サイトの IP アドレスまたは URL パス名を入力します。1 行に 1 つずつ IP アドレスまたは URL を入 力します。 重要 : リストに Web サイトを追加するときには、URL の「http」および 「https」部分を省略する必要があります。 許可リストのエントリは、完全一致で大文字と小文字が区別されます。た とえば、 「www.paloaltonetworks.com」は「paloaltonetworks.com」とは 異なります。ドメイン全体を許可するには、 「*.paloaltonetworks.com」と 「paloaltonetworks.com」の両方を含める必要があります。 Examples: • www.paloaltonetworks.com • 198.133.219.25/en/US ブロック リストと許可リストではワイルドカード パターンがサポート されます。以下の文字は区切り文字とみなされます。 . / ? & = ; + 上記の文字で区切られた部分文字列はそれぞれトークンとみなされま す。区切り文字が含まれていない任意の長さの ASCII 文字、または「*」 です。たとえば、以下のパターンは有効です。 *.yahoo.com (Tokens are: "*", "yahoo" and "com") www.*.com (Tokens are: "www", "*" and "com") www.yahoo.com/search=* (Tokens are: "www", "yahoo", "com", "search", "*") 以下のパターンでは、「*」がトークンの唯一の文字でないため無効です。 ww*.yahoo.com www.y*.com このリストは、選択した Web サイト カテゴリよりも優先されます。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 259 セキュリティ プロファイル 表 147. URL フィルタリング プロファイル設定(続き) フィールド 内容 カテゴリ / アクション カテゴリごとに、そのカテゴリの Web サイトにアクセスしたときに実行 するアクションを選択します。 • alert — ユーザーは Web サイトにアクセスできますが、URL ログにア ラートが追加されます。 • allow — ユーザーは Web サイトにアクセスできます。 • block — Web サイトへのアクセスがブロックされます。 • Continue — ユーザーは、ブロックされたページの [Continue] をクリッ クすればそのページにアクセスできます。 • Override — ユーザーは、パスワードを入力すればブロックされたペー ジにアクセスできます。パスワードおよびその他のオーバーライド設定 は、[ 設定 ] ページの [URL 管理オーバーライド ] エリアで指定します。 「管理設定の定義」の表 11 を参照してください。 注 : プロキシ サーバーを使用するように設定されているクライアント マ シンでは、[ コンティニュー ] および [ オーバーライド ] ページは正しく 表示されません。 URL カテゴリを チェック クリックすると、URL または IP アドレスを入力してカテゴリ情報を表 示できる Web サイトにアクセスできます。 ダイナミック URL フィルタリング デフォルト : 無効 URL を分類するためのクラウド検索を有効にするには、選択します。 URL の分類にローカル データベースを使用できない場合、このオプショ ンが呼び出されます。 (BrightCloud のみに 設定可能 ) 5 秒のタイムアウト期間内に URL を解決できない場合、応答は「Not resolved URL」として表示されます。 PAN-DB を 使 用 す る 場 合、このオプションはデ フォルトで有効にされて おり、設定できません。 コンテナ ページのみ ロギング 指定したコンテンツ タイプに一致する URL のみを記録するには、この チェック ボックスをオンにします。 デフォルト : 有効 260 • ポリシーとセキュリティ プロファイル Palo Alto Networks セキュリティ プロファイル 表 147. URL フィルタリング プロファイル設定(続き) フィールド 内容 [ セーフ サーチを適用 ] の有効化 厳密なセーフ サーチ フィルタリングを適用するには、このチェック ボッ クスをオンにします。 デフォルト : 無効 このオプションを有効にすると、検索プロバイダ (Bing、Google、Yahoo、 Yandex、YouTube) のいずれかを使用してインターネットを検索する ユーザーには、これらの検索エンジンに対してブラウザで最も高い ( 厳 密 ) セーフ サーチ オプションが設定されていない限り、検索結果が表示 されません。ユーザーが、このいずれかの検索エンジンを使用して検索 を実行し、そのブラウザまたは検索エンジン アカウントのセーフ サーチ 設定が、高 ( 厳密 ) に設定されていない場合、検索結果は ( プロファイル に設定されたアクションに応じて ) ブロックされ、ユーザーには、セーフ サーチ設定を高 ( 厳密 ) に設定するようにメッセージが表示されます。 この機能を使用するため に URL フィルタリング ライセンスは必要ありま せん。 注 : Yahoo アカウントでログイン中に Yahoo Japan(yahoo.co.jp)で検 索を実行する場合は、検索設定のロック オプションも有効にする必要が あります。 セーフ サーチを適用するには、プロファイルをセキュリティ ポリシーに 追加する必要があります。また、暗号化されたサイト (HTTPS) でセーフ サーチを有効にするには、プロファイルを復号化ポリシーに追加する必 要があります。 これら 3 つのプロバイダ内のセーフ サーチ設定を検出するファイア ウォールの機能は、[ アプリケーションおよび脅威 ] のシグネチャ更新を 使用して更新されます。Palo Alto Networks がセーフ サーチ設定の検出 に使用しているセーフ サーチ設定方法をこれらのプロバイダが変更した 場合、設定が正しく検出されるようにシグネチャ更新が更新されます。 また、サイトが安全かどうかを判定する評価は、Palo Alto Networks で はなく各検索プロバイダが行います。 ユーザーが他の検索プロバイダを使用してこの機能を迂回しないように するには、URL フィルタリング プロファイルで search-engines カテゴリ をブロックするように設定してから、Bing、Google、Yahoo、Yandex、 YouTube へのアクセスを許可します。 詳細は、『PAN-OS 管理者ガイド』を参照してください。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 261 セキュリティ プロファイル 表 147. URL フィルタリング プロファイル設定(続き) フィールド 内容 HTTP ヘッダのロギング HTTP ヘッダーのロギングを有効にすると、サーバーに送信された HTTP 要求に含まれる属性を表示できます。有効な場合、以下の属性 - 値ペアの 1 つ以上が URL フィルタリング ログに記録されます。 • ユーザー エージェント — ユーザーが URL へのアクセスに使用する Web ブラウザ。この情報は、HTTP 要求でサーバーに送信されます。たとえ ば、ユーザー エージェントは Internet Explorer または Firefox である 可能性があります。ログ内のユーザー エージェント値は最大 1024 文字 をサポートします。 • 参照 — ユーザーを別の Web ページにリンクした Web ページの URL。 要求された Web ページにユーザーをリダイレクト ( 参照 ) した送信元 です。ログ内の参照値は最大 256 文字をサポートします。 • x-forwarded-for — Web ページを要求したユーザーの IP アドレスを保 持するヘッダー フィールド オプション。特にネットワーク上にプロキ シ サーバーがある場合や、送信元 NAT を実装している場合は、すべて の要求がプロキシ サーバーの IP アドレスまたは共通の IP アドレスか ら送信されているかのようにユーザーの IP アドレスがマスクされてし まうため、これによりユーザーの IP アドレスを識別できて役立ちます。 ログ内の x-forwarded-for 値は最大 128 文字をサポートします。 ファイル ブロッキング プロファイル [Objects] > [ セキュリティ プロファイル ] > [ ファイル ブロッキング ] セキュリティ ポリシーではファイル ブロッキング プロファイルを指定できます。このプロ ファイルを使用して、選択したファイル タイプのアップロードやダウンロードをブロックし たり、指定したファイル タイプの検出時にアラートを生成したりします。[forward] アクショ ンが選択されている場合、サポート対象ファイル タイプが WildFire に送信されて、有害な動 作がないか分析されます。表 149 は、このマニュアルの公開時点でのサポート対象ファイル フォーマットの一覧です。ただし、新しいファイル タイプのサポートがコンテンツ更新で追 加される場合があるため、最新の一覧は、[ ファイル ブロッキング プロファイル ] ダイアログ の [ ファイル タイプ ] フィールドで [ 追加 ] をクリックして参照してください。 ファイル ブロッキング プロファイルをセキュリティ ポリシーに適用する方法については、 「セキュリティ ポリシーの定義」を参照してください。 以下の表では、ファイル ブロッキング プロファイル設定について説明します。 表 148. ファイル ブロッキング プロファイル設定 フィールド 内容 名前 プロファイル名 ( 最大 31 文字 ) を入力します。この名前は、セキュリ ティ ポリシーを定義するときにファイル ブロッキング プロファイルの リストに表示されます。名前の大文字と小文字は区別されます。また、 一意の名前にする必要があります。文字、数字、スペース、ハイフン、 およびアンダースコアのみを使用してください。 内容 プロファイルの説明を入力します ( 最大 255 文字 )。 262 • ポリシーとセキュリティ プロファイル Palo Alto Networks セキュリティ プロファイル 表 148. ファイル ブロッキング プロファイル設定(続き) フィールド 内容 共有 デバイスがマルチ仮想システム モードである場合、プロファイルをすべ ての仮想システムで共有できるようにするには、このチェック ボックス をオンにします。 ルール 1 つ以上のルールを定義して、選択したファイル タイプで実行するアク ション ( 存在する場合 ) を指定します。ルールを追加するには、以下を指 定して [ 追加 ] をクリックします。 • 名前 — ルール名 ( 最大 31 文字 ) を入力します。 • アプリケーション — ルールを適用するアプリケーションを選択するか、 [any] を選択します。 • ファイル タイプ — ブロックするか、またはアラートを生成するファイ ル タイプを選択します。 • 方向 — ファイル転送の方向 ([Upload]、[Download]、または [Both]) を 選択します。 • Action — 選択したファイル タイプの検出時に実行するアクションを選 択します。 – alert — エントリが脅威ログに追加されます。 – block — ファイルがブロックされます。 – continue — ダウンロードがリクエストされたことを通知して、続行 するかどうかを確認するようにユーザーに求めるメッセージが表示 されます。この目的は、認識されないダウンロード ( ドライブバイ ダウンロードとも呼ばれる ) の可能性があることをユーザーに警告 し、そのダウンロードの続行または停止をユーザーが選択できるよ うにすることです。 [continue] または [continue-and-forward] のいずれかのアクショ ン (WildFire 転送に使用される ) を使用してファイル ブロッキン グ プロファイルを作成する場合、選択できるアプリケーションは web-browsing のみです。その他のアプリケーションを選択する と、ユーザーには続行ページのプロンプトが表示されないため、 セキュリティ ポリシーに一致するトラフィックはファイアウォー ルを通過しません。 – forward — ファイルが自動的に WildFire に送信されます。 – continue-and-forward — 続行ページが表示され、ファイルが WildFire に送信されます ([continue] と [forward] のアクションの組み合わせ )。 このアクションは、Web ベースのトラフィックについてのみ有効で す。これは、ファイルを転送するには、ユーザーが [ 続行 ] をクリッ クする必要があることと、続行応答ページ オプションは、http/https でのみ使用可能であるためです。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 263 セキュリティ プロファイル 表 149. ファイル ブロッキングでサポートされているファイル形式 フィールド 内容 apk Android アプリケーション パッケージ ファイル avi Microsoft AVI (RIFF) ファイル形式に基づくビデオ ファイル avi-divx DivX コーデックでエンコードされた AVI ビデオ ファイル avi-xvid XviD コーデックでエンコードされた AVI ビデオ ファイル bat MS DOS バッチ ファイル bmp-upload ビットマップ イメージ ファイル ( アップロードのみ ) cab Microsoft Windows キャビネット アーカイブ ファイル cdr Corel Draw ファイル クラス Java バイトコード ファイル cmd Microsoft コマンド ファイル dll Microsoft Windows ダイナミック リンク ライブラリ doc Microsoft Office ドキュメント docx Microsoft Office 2007 ドキュメント dpx Digital Picture Exchange ファイル dsn Database Source Name ファイル dwf Autodesk Design Web Format ファイル dwg Autodesk AutoCAD ファイル edif Electronic Design Interchange Format ファイル email-link email-link ファイル タイプを転送することで、ファイアウォールは SMTP および POP3 電子メール メッセージに含まれる HTTP/HTTPS リンクを 抽出して、分析のために WildFire クラウドに転送します ( この機能は WF-500 WildFire アプライアンスではサポートされていません )。ファイ アウォールが、通過する電子メール メッセージからリンクと関連付けら れたセッション情報 ( 送信者、受信者、件名 ) を抽出するだけです。電子 メール メッセージの受信、保存、転送、表示は行いません。 WildFire は、ファイアウォールから電子メール リンクを受信すると、そ のリンクにアクセスして、対応する Web ページに脆弱性が含まれていな いか判定します。ページ自体が安全だと判定されると、ログ エントリは ファイアウォールに送信されません。リンクが有害な場合、WildFire の 詳細な分析レポートがファイアウォールの WildFire 送信ログに生成さ れ、URL が PAN-DB に追加されます。 encrypted-doc 暗号化された Microsoft Office ドキュメント encrypted-docx 暗号化された Microsoft Office 2007 ドキュメント encrypted-office2007 暗号化された Microsoft Office 2007 ファイル encrypted-pdf 暗号化された Adobe PDF ドキュメント encrypted-ppt 暗号化された Microsoft Office PowerPoint encrypted-pptx 暗号化された Microsoft Office 2007 PowerPoint encrypted-rar 暗号化された rar ファイル 264 • ポリシーとセキュリティ プロファイル Palo Alto Networks セキュリティ プロファイル 表 149. ファイル ブロッキングでサポートされているファイル形式 (続き) フィールド 内容 encrypted-xls 暗号化された Microsoft Office Excel encrypted-xlsx 暗号化された Microsoft Office 2007 Excel encrypted-zip 暗号化された zip ファイル exe Microsoft Windows 実行ファイル flash Adobe Shockwave Flash SWF および SWC ファイル タイプが含まれま す。SWF ファイルはインターネットを介してベクター グラフィックス、 テキスト、ビデオ、音声を配信し、そのコンテンツは Adobe Flash プレー ヤーで表示できます。SWC ファイルは、SWF コンポーネントの圧縮パッ ケージです。 flv Adobe Flash ビデオ ファイル gds Graphics Data System ファイル gif-upload GIF イメージ ファイル ( アップロードのみ ) gzip gzip ユーティリティで圧縮されたファイル hta HTML アプリケーション ファイル iso ISO-9660 標準に基づくディスク イメージ ファイル iwork-keynote Apple iWork Keynote ドキュメント iwork-numbers Apple iWork Numbers ドキュメント iwork-pages Apple iWork Pages ドキュメント jar Java ARchive jpeg-upload JPG/JPEG イメージ ファイル ( アップロードのみ ) lnk Microsoft Windows ファイルのショートカット lzh lha/lzh ユーティリティ / アルゴリズムで圧縮されたファイル mdb Microsoft Access データベース ファイル mdi Microsoft Document Imaging ファイル mkv Matroska Video ファイル mov Apple Quicktime ムービー ファイル mp3 MP3 オーディオ ファイル mp4 MP4 オーディオ ファイル mpeg MPEG-1 または MPEG-2 で圧縮されたムービー ファイル msi Microsoft Windows インストーラ パッケージ ファイル msoffice Microsoft Office ファイル (doc、docx、ppt、pptx、pub、pst、rtf、xls、xlsx)。 ファイアウォールで MS Office ファイルをブロック / 転送する場合、各 ファイル タイプを個々に選択するのではなく、すべてのサポート対象 MS Office ファイル タイプが識別されるように、この「msoffice」グルー プを選択することをお勧めします。 ocx Microsoft ActiveX ファイル pdf Adobe ポータブル ドキュメント ファイル Palo Alto Networks ポリシーとセキュリティ プロファイル • 265 セキュリティ プロファイル 表 149. ファイル ブロッキングでサポートされているファイル形式 (続き) フィールド 内容 PE Microsoft Windows Portable Executable (exe、dll、com、scr、ocx、cpl、 sys、drv、tlb) pgp PGP ソフトウェアで暗号化されたセキュリティ キーまたはデジタル署名 pif 実行命令が格納されている Windows プログラム情報ファイル pl Perl スクリプト ファイル png-upload PNG イメージ ファイル ( アップロードのみ ) ppt Microsoft Office PowerPoint プレゼンテーション pptx Microsoft Office 2007 PowerPoint プレゼンテーション psd Adobe Photoshop ドキュメント rar winrar で作成された圧縮ファイル reg Windows レジストリ ファイル rm RealNetworks リアル メディア ファイル rtf Windows リッチ テキスト形式ドキュメント ファイル sh Unix シェル スクリプト ファイル stp Standard for the Exchange of Product モデル データ 3D グラフィック ファイル tar Unix tar アーカイブ ファイル tdb Tanner Database (www.tannereda.com) tif Windows タグ イメージ ファイル torrent BitTorrent ファイル wmf ベクター イメージを保存する Windows メタファイル wmv Windows メディア ビデオ ファイル wri Windows Write ドキュメント ファイル wsf Windows スクリプト ファイル xls Microsoft Office Excel xlsx Microsoft Office 2007 Excel zcompressed Unix の圧縮された Z ファイル (uncompress で解凍 ) zip Winzip/pkzip ファイル 266 • ポリシーとセキュリティ プロファイル Palo Alto Networks セキュリティ プロファイル データ フィルタリング プロファイル [Objects] > [ セキュリティ プロファイル ] > [ データ フィルタリング ] セキュリティ ポリシーでは、クレジット カード番号や社会保障番号などの機密情報を識別 し、ファイアウォールで保護されているエリアから機密情報が外部に送信されるのを防止す るデータ フィルタリング プロファイルを指定できます。 データ フィルタリング プロファイルをセキュリティ ポリシーに適用する方法については、 「セキュリティ ポリシーの定義」を参照してください。 以下の表では、データ フィルタリング プロファイル設定について説明します。 表 150. データ フィルタリング プロファイル設定 フィールド 内容 名前 プロファイル名 ( 最大 31 文字 ) を入力します。この名前は、セキュリティ ポリシーを定義するときにログ転送プロファイルのリストに表示されま す。名前の大文字と小文字は区別されます。また、一意の名前にする必 要があります。文字、数字、スペース、ハイフン、およびアンダースコ アのみを使用してください。 内容 プロファイルの説明を入力します ( 最大 255 文字 )。 共有 デバイスがマルチ仮想システム モードである場合、プロファイルをすべ ての仮想システムで共有できるようにするには、このチェック ボックス をオンにします。 データ キャプチャ フィルタによってブロックされたデータを自動的に収集するには、この チェック ボックスをオンにします。 [ 設定 ] ページの [ データ保護の管理 ] にキャプチャしたデータを表示する ためのパスワードを指定します。「管理設定の定義」を参照してください。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 267 セキュリティ プロファイル データ パターンを追加するには、[ 新規 ] をクリックし、以下の情報を指定します。 表 151. データ パターン設定 フィールド 内容 Data Pattern [ データ パターン ] ドロップダウン リストから既存のデータ パターンを 選択するか、リストから [ データ パターン ] を選択して以下の情報を指 定し、新しいパターンを設定します。 • 名前 — データ パターンの名前を設定します。 • 内容 — データ パターンの説明を設定します。 • 共有 — マルチ仮想システムでデータ パターン オブジェクトを共有する 場合、このオプションを選択します。 • 重み — しきい値の計算で使用するように指定したパターンの単位値を 指定します。たとえば、SSN# の重みとして 5 を指定した場合、SSN パ ターンの各インスタンスでしきい値を 5 ずつ増加していきます。つま り、10 個の SSN パターンが検出されると、10 x 5 ( 重み ) = 50 になります。 – クレジット番号 — クレジット カード フィールドの重みを指定しま す ( 範囲は 0 ~ 255)。 – SSN 番号 — 123-45-6789 のようにダッシュが含まれている社会保障 番号フィールドの重みを指定します ( 範囲は 0 ~ 255、255 が最も高 い重み )。 – SSN 番号 ( ダッシュを除く ) — 123456789 のようにエントリにダッ シュが含まれていない社会保障番号フィールドの重みを指定します ( 範囲は 0 ~ 255、255 が最も高い重み )。 • カスタム パターン — このプロファイルを適用するトラフィックのカス タム データ パターンを照合するには、[ 追加 ] をクリックし、パターン 名、照合する正規表現 (regex)、および重み ( 範囲は 0 ~ 255、255 が最 も高い重み ) を指定してカスタム データ パターンを作成します。照合 する正規表現を同じデータ パターン プロファイルに複数追加できます。 アプリケーション フィルタリング ルールに含めるアプリケーションを指定します。 • 表示されているすべてのアプリケーションにフィルタを適用するには、 [ いずれか ] を選択します。これを選択してもすべてのアプリケーショ ンがブロックされるわけではなく、表示されているアプリケーション のみがブロックされます。 • [ 追加 ] をクリックして個々のアプリケーションを指定します。 ファイル タイプ フィルタリング ルールに含めるファイル タイプを指定します。 • 表示されているすべてのファイル タイプにフィルタを適用するには、 [ いずれか ] を選択します。これを選択してもすべてのファイル タイプ がブロックされるわけではなく、表示されているファイル タイプのみ がブロックされます。 • [ 追加 ] をクリックして個々のファイル タイプを指定します。 方向 フィルタを適用する方向 ( アップロード、ダウンロード、または両方 ) を 指定します。 268 • ポリシーとセキュリティ プロファイル Palo Alto Networks セキュリティ プロファイル 表 151. データ パターン設定(続き) フィールド 内容 アラートしきい値 アラートをトリガーする値を指定します。たとえば、SSN の重みが 5 で しきい値が 100 の場合、ルールがトリガーされるにはルールで 20 個以上 のパターンが検出される必要があります ( インスタンス 20 x 重み 5 = 100)。 ブロックしきい値 ブロックをトリガーする値を指定します。たとえば、SSN の重みが 5 で しきい値が 100 の場合、ルールがトリガーされるにはルールで 20 個以上 のパターンが検出される必要があります ( インスタンス 20 x 重み 5 = 100)。 DoS プロファイル [Objects] > [ セキュリティ プロファイル ] > [DoS プロテクション ] DoS プロテクション プロファイルは、高精度のターゲット指定ができるように設計され、ゾー ン プロテクション プロファイルを補強します。DoS プロファイルでは、アクションのタイプ と、DoS 攻撃を検出するための一致条件を指定します。これらのプロファイルは DoS プロテ クション ポリシーに追加され、インターフェイス、ゾーン、アドレス、国の間のセッション を集約セッションまたは固有の送信元 IP アドレスや宛先 IP アドレスに基づいて制御でき るようにします。DoS プロファイルを DoS ポリシーに適用する方法については、「DoS プロ ファイルの定義」を参照してください。 複数の仮想システムがある環境で、以下を有効にしている場合は、 • 仮想システム間の通信が可能な外部ゾーン • 仮想システムが外部通信に共通インターフェイスおよび 1 つの IP アドレスを共 有できる共有ゲートウェイ 以下のゾーンおよび DoS 保護メカニズムが、外部ゾーンで無効になります。 • SYN Cookie • IP フラグメント • ICMPv6 IP フラグメントと ICMPv6 防御を有効にするには、共有ゲートウェイ用のゾーン プロテクション プロファイルを作成する必要があります。 共有ゲートウェイで SYN フラッドから保護するには、Random Early Drop または SYN Cookie のいずれかを設定した SYN フラッド防御プロファイルを適用できます。 外部ゾーンでは、SYN フラッド防御に Random Early Drop のみを使用できます。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 269 セキュリティ プロファイル 以下の表では、DoS プロファイル設定について説明します。 表 152. DoS プロファイル設定 フィールド 内容 名前 プロファイル名 ( 最大 31 文字 ) を入力します。この名前は、セキュリティ ポリシーを定義するときにログ転送プロファイルのリストに表示されま す。名前の大文字と小文字は区別されます。また、一意の名前にする必 要があります。文字、数字、スペース、ハイフン、およびアンダースコ アのみを使用してください。 共有 デバイスがマルチ仮想システム モードである場合、プロファイルをすべ ての仮想システムで共有できるようにするには、このチェック ボックス をオンにします。 内容 プロファイルの説明を入力します ( 最大 255 文字 )。 タイプ 以下のいずれかのプロファイル タイプを指定します。 • aggregate — プロファイルで設定された DoS のしきい値がルール基準 ( このルール基準に基づいてプロファイルが適用される ) に一致するす べてのパケットに適用されます。たとえば、SYN フラッドのしきい値 が 10000 パケット / 秒 (pps) である集約ルールでは、この特定の DoS ルールに該当するすべてのパケットが計測されます。 • classified — プロファイルで設定された DoS のしきい値が、分類条件 ( 送信元 IP、宛先 IP、または送信元 IP と宛先 IP の組み合わせ ) を満た すすべてのパケットに適用されます。 [ フラッド防御 ] タブ [SYN フラッド ] サブタブ SYN フラッド防御を有効にするには、このチェック ボックスをオンにし て以下の情報を指定します。 [UDP フラッド ] サブタブ • アクション — (SYN フラッドのみ ) 以下のオプションから選択します。 [ICMP フラッド ] サブタブ [ その他の IP フラッド ] サブタブ – Random Early Drop — DoS 全体の制限に達する前にランダムにパ ケットを廃棄します。 – SYN cookie — SYN フラッド攻撃があっても接続を廃棄せずに済む ように SYN Cookie を使用して受信確認を生成します。 • アラーム レート — DoS アラームが生成されるパケット / 秒 (pps) を指 定します ( 範囲は 0 ~ 2000000 pps、デフォルトは 10000 pps)。 • アクティベーション レート — DoS 応答がアクティベーションされる パケット / 秒 (pps) を指定します ( 範囲は 0 ~ 2000000 pps、デフォルト は 10000 pps)。 • 最大レート — パケットが廃棄またはブロックされるパケット / 秒を指 定します。 • ブロック期間 — 問題のあるパケットを拒否する期間 ( 秒 ) を指定しま す。ブロック期間中に受信したパケットは、アラートのトリガーには影 響しません。 注 : ゾーン プロテクション プロファイルにパケット / 秒 (pps) の しきい値制限を定義する場合、しきい値は以前に確立したセッ ションと一致しないパケット / 秒を基にしています。 270 • ポリシーとセキュリティ プロファイル Palo Alto Networks その他のポリシー オブジェクト 表 152. DoS プロファイル設定(続き) フィールド 内容 [ リソース保護 ] タブ セッション リソース保護を有効にするには、このチェック ボックスをオンにします。 最大同時制限 同時セッションの最大数を指定します。DoS プロファイル タイプが [aggregate] の場合、DoS ルール ( このルールに基づいて DoS プロファイ ルが適用される ) に該当するトラフィック全体にこの制限が適用されま す。DoS プロファイル タイプが [classified] の場合、分類 ( 送信元 IP、宛 先 IP、または送信元 IP と宛先 IP の組み合わせ ) に基づいて、DoS ルール ( このルールに基づいて DoS プロファイルが適用される ) に該当するトラ フィック全体にこの制限が適用されます。 その他のポリシー オブジェクト ポリシー オブジェクトは、ポリシーの作成、スケジュール、および検索を可能にする要素で す。以下の要素タイプがサポートされています。 • アドレスとアドレス グループ — ポリシーの範囲を決定できます。 「アドレス グループの 定義」を参照してください。 • アプリケーションとアプリケーション グループ — ポリシーでソフトウェア アプリケー ションを処理する方法を指定できます。 「アプリケーションとアプリケーション グルー プ」を参照してください。 • アプリケーション フィルタ — 検索を簡略化できます。 「アプリケーション フィルタ」を 参照してください。 • サービスとサービス グループ — ポート番号を制限します。「サービス」を参照してくだ さい。 • オブジェクトのソートとフィルタリングを行うためのタグ。 「タグの処理」を参照してく ださい。 • データ パターン — データ フィルタリング ポリシー用に機密情報のカテゴリを定義しま す。「データ パターン」を参照してください。 • カスタム URL カテゴリ — 独自の URL リストが含まれており、URL フィルタリング プ ロファイルにグループとして追加できます。 「カスタム URL カテゴリ」を参照してくだ さい。 • スパイウェアおよび脆弱性の脅威 — 詳細な脅威対策を可能にします。「セキュリティ プ ロファイル グループ」を参照してください。 • ログ転送 — ログ設定を指定します。「ログ転送」を参照してください。 • スケジュール — ポリシーをアクティベーションするタイミングを指定します。 「スケジュー ル」を参照してください。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 271 その他のポリシー オブジェクト 定義アドレス オブジェクト [Objects] > [ アドレス ] アドレス オブジェクトには、IPv4 または IPv6 アドレス ( 単一 IP、範囲、サブネット )、 FQDN などが含まれる場合があります。アドレス オブジェクトを使用することで、同じオブ ジェクトを毎回手動で追加することなく、すべてのポリシー ルールベースで送信元アドレス または宛先アドレスとして再利用できます。アドレス オブジェクトは、Web インターフェイ スまたは CLI を使用して設定され、設定に追加するにはコミット操作が必要です。 アドレス オブジェクトを追加するには、[ 追加 ] をクリックし、以下のフィールドを入力し ます。 表 153. 新しいアドレス設定 フィールド 内容 名前 定義するアドレスを表す名前 ( 最大 63 文字 ) を入力します。この名前は、 セキュリティ ポリシーを定義するときにアドレスのリストに表示されま す。名前の大文字と小文字は区別されます。また、一意の名前にする必 要があります。文字、数字、スペース、ハイフン、およびアンダースコ アのみを使用してください。 共有 デバイスでマルチ仮想システム モードでの操作が有効な場合、デバイス 上のすべての仮想システム間でアドレス オブジェクトを共有するには、 このチェック ボックスをオンにします。 Panorama では、すべてのデバイス グループ間でオブジェクトを共有す るには、[ 共有 ] チェック ボックスをオンにします。オフにすると、オブ ジェクトは [デバイス グループ] ドロップダウンに表示されているデバイ ス グループに属します。 内容 オブジェクトの説明を入力します ( 最大 255 文字 )。 タイプ IPv4 アドレス、IPv6 アドレス、アドレス範囲、または FQDN を指定し ます。 IP ネットマスク : 以下の形式で IPv4 アドレス、IPv6 アドレスまたは IP アドレス範囲を入 力します。 ip_address/mask または ip_address ここで、mask は重要な意味を持つ 2 進数で、アドレスのネットワーク部 を表すために使用されます。 例: 「192.168.80.150/32」は 1 つのアドレスを表し、「192.168.80.0/24」は 192.168.80.0 ~ 192.168.80.255 のすべてのアドレスを表します。 例: 「2001:db8:123:1::1」または「2001:db8:123:1::/64」 IP 範囲 : アドレス範囲を指定するには、[IP 範囲 ] を選択してアドレス範囲を入力 します。形式は以下のとおりです。 ip_address–ip_address ここで、各アドレスは IPv4 または IPv6 になります。 例: 「2001:db8:123:1::1 - 2001:db8:123:1::22」 272 • ポリシーとセキュリティ プロファイル Palo Alto Networks その他のポリシー オブジェクト 表 153. 新しいアドレス設定(続き) フィールド 内容 タイプ ( 続き ) FQDN: FQDN を使用してアドレスを指定するには、[FQDN] を選択してドメイ ン名を入力します。 FQDN はコミット時に最初に解決されます。エントリはその後、ファイ アウォールが 30 分間隔でチェックを行うと更新され、エントリの IP ア ドレス内の変更はすべてその更新サイクルで収集されます。 FQDN は、システムの DNS サーバーまたは DNS プロキシ オブジェクト ( プロキシが設定されている場合 ) によって解決されます。DNS プロキシ の詳細は、「DNS プロキシ」を参照してください。 タグ このアドレス オブジェクトに適用するタグを選択または入力します。 ここでタグを定義することも、[Objects] > [ タグ ] タブを使用して新しい タグを作成することもできます。タグの詳細は、 「タグの処理」を参照し てください。 アドレス グループの定義 [Objects] > [ アドレス グループ ] セキュリティ ポリシーの作成を簡略化するには、同じセキュリティ設定が必要なアドレ スをアドレス グループにまとめます。アドレス グループは、スタティックまたはダイナ ミックにすることができます。 • ダイナミック アドレス グループ : ダイナミック アドレス グループには、タグの検索とタ グ ベースのフィルタを使用してメンバーをダイナミックが入力されます。ダイナミック アドレス グループは、広範囲に及ぶ仮想インフラストラクチャがあり、仮想マシンの場 所 / IP アドレスが頻繁に変更される場合に非常に便利です。たとえば、高度なフェイル オーバーで仮想マシンが頻繁にセットアップまたはプロビジョニングされていて、ファ イアウォールの設定 / ルールを変更せずに新しいマシンとの間で送受信されるトラ フィックにポリシーを適用する場合などです。 ホストのネットワーク アドレスを指定するスタティック アドレス グループと異なり、ダ イナミック アドレス グループのメンバーは、定義した一致条件を使用して入力されます。 一致条件では、and または or 論理演算子が使用されます。ダイナミック アドレス グルー プに追加する各ホストには、一致条件で定義されたタグまたは属性が含まれている必要 があります。タグは、ファイアウォールまたは Panorama に直接定義することも、XML API を使用してダイナミックに定義し、ファイアウォールに登録することもできます。IP アドレスと対応するタグ (1 つ以上 ) が定義されている場合、各ダイナミック グループは、 タグを評価し、そのグループ内のメンバーのリストを更新します。 新しい IP アドレスとタグ、または現在の IP アドレスとタグへの変更を登録する場合、 ファイアウォールの XML API をコールするスクリプトを使用する必要があります。 VMware を使用する仮想環境がある場合は、XML API をコールするスクリプトではな く、VM 情報ソース機能 ([Device] > [VM 情報ソース ] タブ ) を使用して、ファイア ウォールが ESX(i) ホストまたは vCenterServer をモニターし、これらの仮想マシンにデ プロイされた新しいサーバー/ ゲストの情報 ( ネットワーク アドレスと対応するタグ ) を 取得するように設定できます。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 273 その他のポリシー オブジェクト ポリシーでダイナミック アドレス グループを使用するには、以下のタスクを実行する必 要があります。 – ダイナミック アドレス グループを定義し、ポリシー ルール内で参照します。 – ファイアウォールに IP アドレスと対応するタグを通知して、ダイナミック アドレス グループのメンバーを構成できるようにします。これを行うには、ファイアウォール 上で XML API を使用する外部スクリプトを使用します。または、VMware ベースの 環境であれば、ファイアウォールの [Device] > [VM 情報ソース ] タブで設定できます。 ダイナミック アドレス グループには、スタティックに定義したアドレス オブジェクトも含め ることができます。アドレス オブジェクトを作成し、ダイナミック アドレス グループに割り 当てたものと同じタグを適用すると、そのダイナミック アドレス グループには、そのタグに 一致するすべてのスタティック オブジェクトとダイナミック オブジェクトが含まれます。そ のため、タグを使用してダイナミック オブジェクトとスタティック オブジェクトの両方を同 じ アドレス グループにまとめることができます。 • スタティック アドレス グループ : スタティック アドレス グループには、スタティックな アドレス オブジェクト、ダイナミック アドレス グループ、またはアドレス オブジェク トとダイナミック アドレス グループの両方の組み合わせを含めることができます。 アドレス オブジェクトを作成するには、[ 追加 ] をクリックし、以下のフィールドを入力 します。 表 154. アドレス グループ フィールド 内容 名前 アドレス グループを表す名前 ( 最大 63 文字 ) を入力します。この名前は、 セキュリティ ポリシーを定義するときにアドレスのリストに表示されま す。名前の大文字と小文字は区別されます。また、一意の名前にする必 要があります。文字、数字、スペース、ハイフン、およびアンダースコ アのみを使用してください。 共有 デバイスでマルチ仮想システム モードでの操作が有効な場合、デバイス 上のすべての仮想システム間でアドレス オブジェクトを共有するには、 このチェック ボックスをオンにします。 Panorama では、すべてのデバイス グループ間でオブジェクトを共有す るには、[ 共有 ] チェック ボックスをオンにします。オフにすると、オブ ジェクトは [デバイス グループ] ドロップダウンに表示されているデバイ ス グループに属します。 内容 オブジェクトの説明を入力します ( 最大 255 文字 )。 274 • ポリシーとセキュリティ プロファイル Palo Alto Networks その他のポリシー オブジェクト 表 154. アドレス グループ (続き) フィールド 内容 タイプ [ スタティック ] または [ ダイナミック ] を選択します。 ダイナミック アドレス グループを作成するには、一致条件を使用してグ ループに含めるメンバーをまとめます。[AND] または [OR] 演算子を使 用して、[ 一致 ] 条件を定義します。 注 : 一致条件に使用する属性のリストを表示するには、送信元 / ホストに アクセスして属性を取得できるようにファイアウォールを設定しておく 必要があります。設定した情報送信元の各仮想マシンをファイアウォー ルに登録します。ファイアウォールは、マシンをポーリングして、ファ イアウォールの変更なしに IP アドレスまたは設定の変更を取得できます。 スタティック アドレス グループの場合、[ 追加 ] をクリックし、1 つ以上 のアドレスを選択します。[ 追加 ] をクリックし、オブジェクトまたはア ドレス グループをアドレス グループに追加します。グループには、アド レス オブジェクト、スタティックとダイナミックの両方のアドレス グ ループを含めることができます。 タグ このアドレス グループに適用するタグを選択または入力します。タグの 詳細は、「タグの処理」を参照してください。 地域の定義 [Objects] > [ 地域 ] ファイアウォールでは、特定の国や他の地域に適用されるポリシー ルールを作成できます。 地域は、セキュリティ ポリシー、復号化ポリシー、DoS ポリシーの送信元および宛先を指定 するときにオプションとして利用できます。セキュリティ ポリシー ルールのオプションとし て地域を含めるには、国の標準リストから選択するか、このセクションで説明されている地 域設定を使用してカスタム地域を定義します。 以下の表では、地域設定について説明します。 表 155. 新しいアドレス設定 フィールド 内容 名前 地域を表す名前 ( 最大 31 文字 ) を入力します。この名前は、セキュリティ ポリシーを定義するときにアドレスのリストに表示されます。名前の大 文字と小文字は区別されます。また、一意の名前にする必要があります。 文字、数字、スペース、ハイフン、およびアンダースコアのみを使用し てください。 デバイス稼働場所 緯度と経度を指定するには、このチェック ボックスをオンにして値 (xxx.xxxxxx 形式 ) を選択します。この情報は、App-Scope のトラフィッ ク マップおよび脅威マップに使用されます。「アプリケーション スコー プの使用」を参照してください。 アドレス 以下のいずれかの形式を使用して IP アドレス、IP アドレス範囲、または 地域を識別するサブネットを指定します。 x.x.x.x x.x.x.x-y.y.y.y x.x.x.x/n Palo Alto Networks ポリシーとセキュリティ プロファイル • 275 その他のポリシー オブジェクト アプリケーションとアプリケーション グループ [Objects] > [ アプリケーション ] [ アプリケーション ] ページには、アプリケーションの相対セキュリティ リスク (1 ~ 5) など、 各アプリケーション定義のさまざまな属性が表示されます。リスク値は、アプリケーション でファイルを共有できるか、誤用が起こりやすいか、ファイアウォールの回避を試行するか、 などの基準に基づいています。値が大きいほどリスクが大きくなります。 ページ上部のアプリケーション ブラウザエリアには、表示内容のフィルタに使用できる属性 が表示されます。各エントリの左側にある数字は、その属性があるアプリケーションの合計 数を表しています。 ファイアウォールは、カスタム定義されたパターンがネットワーク トラフィックに含まれてい ないか検索し、そのアプリケーションに対して指定されたアクションを実行します。PAN-OS には、以下のプロトコル内のコンテキストに対するシグネチャを作成する機能が用意されて います。 毎週のコンテンツ リリースで、新しいデコーダとコンテキストが定期的に 追加されます。 コンテンツ更新 424 の時点で以下のデコーダがサポートされています。HTTP、HTTPS、 DNS、FTP、IMAP SMTP、Telnet、IRC (Internet Relay Chat)、Oracle、RTMP、RTSP、SSH、 GNU-Debugger、GIOP (Global Inter-ORB Protocol)、Microsoft RPC、Microsoft SMB ( 別 名 CIFS)。さらに、PAN-OS リリース 4.0 でカスタム App-ID 機能が拡張され、Unknown TCP および Unknown UDP が含まれるようになりました。 必要に応じて、このページで以下の機能を実行できます。 • アプリケーション フィルタを適用するには、フィルタリングの基準として使用する項目 をクリックします。たとえば、[ ネットワーク ] カテゴリのみをリストに表示するには、 [ ネットワーク ] をクリックすると、ネットワーク アプリケーションのみが表示されます。 • その他の列にフィルタを適用するには、列のエントリを選択します。フィルタリングは 連続的で、カテゴリ フィルタ、サブカテゴリ フィルタ、テクノロジ フィルタ、リスク フィルタ、特性フィルタの順に適用されます。 たとえば、次の図は、カテゴリ、サブカテゴリ、およびリスク フィルタを適用した結果 を示しています。最初の 2 つのフィルタを適用すると、明示的にテクノロジのフィルタ を適用していなくても、自動的に [ テクノロジ ] 列が制限され、選択したカテゴリとサブ カテゴリに一致するテクノロジのみが表示されます。 以下の図に示すように、フィルタが適用されるたびにページ下部のアプリケーションの リストが自動的に更新されます。保存したフィルタは、[Objects] > [ アプリケーション フィルタ ] で表示できます。 276 • ポリシーとセキュリティ プロファイル Palo Alto Networks その他のポリシー オブジェクト • 特定のアプリケーションを検索するには、[ 検索 ] フィールドにアプリケーションの名前 または説明を入力して Enter キーを押します。該当するアプリケーションが表示されま す。また、フィルタ列が更新されて、検索条件に一致するアプリケーションの統計値が 表示されます。 検索は、文字列に部分的に一致します。セキュリティ ポリシーを定義すると、保存した フィルタに一致するすべてのアプリケーションに適用されるルールを作成できます。こ のようなルールは、フィルタに一致するコンテンツの更新によって新しいアプリケー ションが追加されると動的に更新されます。 • 以下の表に示すように、アプリケーションに関するその他の詳細を表示する場合、また は、リスクとタイムアウトの値をカスタマイズする場合、アプリケーション名をクリッ クします。アプリケーション名の左にあるアイコンに黄色い鉛筆が表示されている場合、 そのアプリケーションはカスタム アプリケーションです。使用可能な設定は、アプリ ケーションによって異なります。 以下の表では、アプリケーション設定について説明します。 表 156. アプリケーションの詳細情報 項目 内容 名前 アプリケーションの名前です。 内容 アプリケーションの説明 ( 最大 255 文字 )。 追加情報 アプリケーションに関する追加情報が掲載されている Web ソース (Wikipedia、Google、および Yahoo!) にリンクします。 標準ポート アプリケーションがネットワークとの通信に使用するポートです。 アプリケーションに依存 このアプリケーションの実行に必要な他のアプリケーションのリ ストです。 セキュリティを回避する アプリケーションでファイアウォールの回避を試行するかどうか を示します。 帯域幅を消費する アプリケーションで過剰な帯域幅を使用していて、ネットワーク パ フォーマンスの低下を引き起こす可能性があるかどうかを示します。 悪意のあるソフトウェアに 利用される アプリケーションがマルウェアによって使用されるかどうかを示 します。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 277 その他のポリシー オブジェクト 表 156. アプリケーションの詳細情報(続き) 項目 内容 ファイルの転送 アプリケーションでファイルを転送できるかどうかを示します。 脆弱性が判明している アプリケーションに既知の脆弱性があるかどうかを示します。 他のアプリケーションを すり抜けさせる アプリケーションが送信メッセージ内に別のアプリケーションを 含めることができるかどうかを示します。 乱用されやすい アプリケーションが悪用される可能性が高いかどうかを示します。 広く使われている アプリケーションの影響が広範囲に及ぶかどうかを示します。 カテゴリ アプリケーションのカテゴリです。 サブカテゴリ アプリケーションのサブ カテゴリです。 テクノロジ アプリケーションのテクノロジです。 リスク アプリケーションに割り当てられたリスクです。 この設定をカスタマイズするには、[ カスタマイズ ] リンクをクリッ クして値 (1 ~ 5) を入力し、[OK] をクリックします。 セッション タイムアウト 非アクティブ状態になってからアプリケーションがタイムアウト するまでの時間 ( 秒 ) (1 ~ 604800 秒 ) です。このタイムアウトは、 TCP または UDP 以外のプロトコルに適用されます。TCP と UDP は、この表の次の行を参照してください。 この設定をカスタマイズするには、[ カスタマイズ ] リンクをクリッ クして値 ( 秒 ) を入力し、[OK] をクリックします。 TCP タイムアウト ( 秒 ) TCP アプリケーション フローを停止するタイムアウト (1 ~ 604800 秒 ) です。 この設定をカスタマイズするには、[ カスタマイズ ] リンクをクリッ クして値 ( 秒 ) を入力し、[OK] をクリックします。 値 0 は、タイムアウトなしを示すのではなく、グローバル セッショ ン タイマー (TCP の場合 3600 秒 ) が使用されることを示します。 UDP タイムアウト ( 秒 ): UDP ア プ リ ケ ー シ ョ ン フ ロ ー を 停 止 す る タ イ ム ア ウ ト (1 ~ 604800 秒 ) です。 この設定をカスタマイズするには、[ カスタマイズ ] リンクをクリッ クして値 ( 秒 ) を入力し、[OK] をクリックします。 TCP Half Closed ( 秒 ) 最初の FIN を受信してから、2 つ目の FIN または RST を受信する まで、セッションがセッション テーブル内に保持される最大時間。 タイマーが期限切れになるとセッションが閉じられます。 デフォルト : このタイマーがアプリケーション レベルで設定さ れていない場合、グローバル設定が使用されます。範囲 : 1 ~ 6048003600 秒 この値がアプリケーション レベルで設定されている場合、その値 でグローバル TCP Half Closed 設定がオーバーライドされます。 TCP Time Wait ( 秒 ) 2 つ目の FIN または RST を受信してから、セッションがセッション テーブル内に保持される最大時間。タイマーが期限切れになると セッションが閉じられます。 デフォルト : このタイマーがアプリケーション レベルで設定されて いない場合、グローバル設定が使用されます。範囲 : 1 ~ 600 秒 この値がアプリケーション レベルで設定されている場合、その値 でグローバル TCP Time Wait 設定がオーバーライドされます。 278 • ポリシーとセキュリティ プロファイル Palo Alto Networks その他のポリシー オブジェクト ファイアウォールでアプリケーション ID を使用してアプリケーションを識別できない場合、 トラフィックは不明 ([unknown-tcp] または [unknown-udp]) として分類されます。この動作 は、完全に HTTP をエミュレートするアプリケーションを除き、すべての不明なアプリケー ションに適用されます。詳細は、「ボットネット レポートの処理」を参照してください。 不明なアプリケーションの新しい定義を作成し、その新しいアプリケーション定義のセキュ リティ ポリシーを定義できます。さらに、同じセキュリティ設定が必要なアプリケーション をアプリケーション グループにまとめることで、セキュリティ ポリシーの作成を簡略化でき ます。 アプリケーションの定義 [Objects] > [ アプリケーション ] ポリシーを適用するときにファイアウォールで評価する新しいアプリケーションを追加する には、[ アプリケーション ] ページを使用します。 表 157. 新規アプリケーション設定 フィールド 内容 [ 設定 ] タブ 名前 アプリケーション名 ( 最大 31 文字 ) を入力します。この名前は、セキュ リティ ポリシーを定義するときにアプリケーションのリストに表示され ます。名前の大文字と小文字は区別されます。また、一意の名前にする 必要があります。文字、数字、スペース、ピリオド、ハイフン、および アンダースコアのみを使用してください。先頭は文字にする必要があり ます。 共有 デバイスがマルチ仮想システム モードである場合、アプリケーションを すべての仮想システムで共有できるようにするには、このチェック ボッ クスをオンにします。 内容 アプリケーションの一般的な説明を入力します ( 最大 255 文字 )。 カテゴリ アプリケーションのカテゴリ ([email] や [database] など ) を選択します。 各カテゴリの詳細は、 「アプリケーションのカテゴリとサブカテゴリ」を 参照してください。このカテゴリは、[ トップ 10 のアプリケーション カ テゴリ ] チャートの生成に使用され、フィルタリングに使用できます (「アプリケーション コマンド センターの使用」を参照 )。 サブカテゴリ アプリケーションのサブカテゴリ ([email] や [database] など ) を選択し ます。各サブ カテゴリの詳細は、 「アプリケーションのカテゴリとサブカ テゴリ」を参照してください。このサブ カテゴリは、[ トップ 10 のアプ リケーション カテゴリ ] チャートの生成に使用され、フィルタリングに 使用できます (「アプリケーション コマンド センターの使用」を参照 )。 テクノロジ アプリケーションのテクノロジを選択します。各テクノロジの詳細は、 「アプリケーション テクノロジ」を参照してください。 親アプリケーション このアプリケーションの親アプリケーションを指定します。この設定は、 セッションが親アプリケーションとカスタム アプリケーションの両方に 一致する場合に適用されます。ただし、カスタム アプリケーションの方 が詳細であるためカスタム アプリケーションがレポートされます。 リスク アプリケーションに関連付けられているリスク レベル (1 = 最低 ~ 5 = 最 高 ) を選択します。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 279 その他のポリシー オブジェクト 表 157. 新規アプリケーション設定(続き) フィールド 内容 特徴 アプリケーションを危険にさらす可能性のあるアプリケーションの特徴 を選択します。各特徴の詳細は、 「アプリケーション特性」を参照してく ださい。 [ 詳細 ] タブ ポート アプリケーションで使用するプロトコルが TCP や UDP の場合、[ ポート ] を選択してプロトコルとポート番号の組み合わせを 1 つ以上入力します (1 行ごとに 1 エントリ )。一般的な形式は以下のとおりです。 <protocol>/<port> ここで、<port> は、1 つのポート番号または dynamic ( ダイナミック ポート割り当ての場合 ) になります。 Examples: TCP/dynamic または UDP/32。 セキュリティ ルールの [ サービス ] 列に [app-default] を使用すると、こ の設定が適用されます。 IP プロトコル TCP や UDP 以外の IP プロトコルを指定するには、[IP プロトコル ] を 選択してプロトコル番号 (1 ~ 255) を入力します。 ICMP タイプ Internet Control Message Protocol バージョン 4 (ICMP) タイプを指定す るには、[ICMP タイプ ] を選択し、タイプの番号を入力します ( 範囲は 0 ~ 255)。 ICMP6 タイプ Internet Control Message Protocol バージョン 6 (ICMPv6) タイプを指定 するには、[ICMP6 タイプ ] を選択し、タイプの番号を入力します ( 範囲 は 0 ~ 255)。 なし プロトコルに依存しないシグネチャを指定するには、[None] を選択し ます。 タイムアウト アイドル状態のアプリケーション フローが停止するまでの秒数 ( 範囲は 0 ~ 604800 秒 ) を入力します。0 は、アプリケーションのデフォルトの タイムアウトが使用されることを示します。この値は、すべてのケース で TCP および UDP 以外のプロトコルに使用されます。また、TCP タイ ムアウトと UDP タイムアウトが指定されていない場合は、TCP と UDP のタイムアウトに使用されます。 TCP タイムアウト アイドル状態の TCP アプリケーション フローが停止するまでの秒数 ( 範 囲は 0 ~ 604800 秒 ) を入力します。0 は、アプリケーションのデフォル トのタイムアウトが使用されることを示します。 UDP タイムアウト アイドル状態の UDP アプリケーション フローが停止するまでの秒数 (範 囲は 0 ~ 604800 秒 ) を入力します。0 は、アプリケーションのデフォル トのタイムアウトが使用されることを示します。 TCP Half Closed 最初の FIN を受信してから、2 つ目の FIN または RST を受信するまでの 間、セッションがセッション テーブル内に保持される最大時間を入力し ます。タイマーが期限切れになるとセッションが閉じられます。 デフォルト : このタイマーがアプリケーション レベルで設定されていな い場合、グローバル設定が使用されます。範囲 : 1 ~ 6048003600 秒 この値がアプリケーション レベルで設定されている場合、その値でグ ローバル TCP Half Closed 設定がオーバーライドされます。 280 • ポリシーとセキュリティ プロファイル Palo Alto Networks その他のポリシー オブジェクト 表 157. 新規アプリケーション設定(続き) フィールド 内容 TCP Time Wait 2 つ目の FIN または RST を受信してから、セッションがセッション テー ブル内に保持される最大時間を入力します。タイマーが期限切れになる とセッションが閉じられます。 デフォルト : このタイマーがアプリケーション レベルで設定されていな い場合、グローバル設定が使用されます。範囲 : 1 ~ 600 秒 この値がアプリケーション レベルで設定されている場合、その値でグ ローバル TCP Time Wait 設定がオーバーライドされます。 スキャン中 セキュリティ プロファイル ( ファイル タイプ、データ パターン、および ウイルス ) に基づいて、許可するスキャン タイプのチェック ボックスを オンにします。 [ シグネチャ ] タブ シグネチャ [ 追加 ] をクリックして新しいシグネチャを追加し、以下の情報を指定し ます。 • シグネチャ名 — シグネチャの識別に使用する名前を入力します。 • コメント — 任意で説明を入力します。 • 範囲 — このシグネチャの適用対象 ( 現在のトランザクションのみ、ま たはユーザー セッション全体 ) を選択します。 • 順番が付けられた条件の一致 — シグネチャの条件の定義順序が重要で ある場合に選択します。 以下のように条件を指定してシグネチャを定義します。 • [ 追加 And Condition] または [ 追加 Or Condition] をクリックして条件 を追加します。グループ内に条件を追加するには、グループを選択して [ 条件の追加 ] をクリックします。 • [ パターン マッチ ] と [ 等しい ] のいずれかの演算子を選択します。[ パ ターン マッチ ] の演算子を選択した場合、以下を指定します。 – コンテキスト — 使用可能なコンテキストから選択します。 – パターン — 正規表現を指定します。正規表現のパターンのルールの 詳細は、表 162 を参照してください。 – 修飾子と値 — 任意で修飾子 / 値のペアを追加します。 • [ 等しい ] の演算子を選択した場合、以下を指定します。 – コンテキスト — TCP または UDP の未知のリクエストまたは応答か ら選択します。 – 位置 — ペイロードの最初の 4 バイトまたは 2 番目の 4 バイトのいず れかを選択します。 – マスク — 4 バイトの 16 進数値を指定します ( たとえば、0xffffff00)。 – 値 — 4 バイトの 16 進数値を指定します ( たとえば、0xaabbccdd)。 • グループ内で条件を移動するには、条件を選択して [ 上へ ] または [ 下 へ ] の矢印をクリックします。グループを移動するには、グループを選 択して [ 上へ ] または [ 下へ ] の矢印をクリックします。グループ間で条 件を移動することはできません。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 281 その他のポリシー オブジェクト アプリケーションの使用目的がアプリケーション オーバーライド ルール のみである場合、アプリケーションのシグネチャを指定する必要はありま せん。 アプリケーションをインポートするには、[ インポート ] をクリックします。ファイルを参照 して選択し、[ 宛先 ] ドロップダウン リストからターゲットの仮想システムを選択します。 アプリケーションをエクスポートするには、アプリケーションのチェック ボックスをオンに して [ エクスポート ] をクリックします。プロンプトに従ってファイルを保存します。 アプリケーション グループの定義 [Objects] > [ アプリケーション グループ ] セキュリティ ポリシーの作成を簡略化するには、同じセキュリティ設定が必要なアプリケー ションをアプリケーション グループにまとめます。( 新しいアプリケーションを定義する方 法については、「アプリケーションの定義」を参照してください )。 表 158. 新しいアプリケーション グループ フィールド 内容 名前 アプリケーション グループを表す名前 ( 最大 31 文字 ) を入力します。こ の名前は、セキュリティ ポリシーを定義するときにアプリケーションの リストに表示されます。名前の大文字と小文字は区別されます。また、一 意の名前にする必要があります。文字、数字、スペース、ハイフン、お よびアンダースコアのみを使用してください。 アプリケーション [ 追加 ] をクリックし、このグループに含めるアプリケーション、アプリ ケーション フィルタ、および他のアプリケーション グループを選択し ます。 アプリケーション フィルタ [Objects] > [ アプリケーション フィルタ ] アプリケーション フィルタを定義して、繰り返し実行する検索を簡略化できます。アプリ ケーション フィルタを定義して検索の繰り返しを簡略化するには、[ 追加 ] をクリックし、 フィルタの名前を入力します。 ウィンドウの上部で、フィルタリングの基準として使用する項目をクリックします。たとえ ば、[Networking] カテゴリのみをリストに表示するには、[Networking] をクリックします。 282 • ポリシーとセキュリティ プロファイル Palo Alto Networks その他のポリシー オブジェクト その他の列にフィルタを適用するには、列のエントリを選択してチェック ボックスを表示し ます。フィルタリングは連続的で、カテゴリ フィルタ、サブ カテゴリ フィルタ、テクノロジ フィルタ、リスク フィルタ、特性フィルタの順に適用されます。 たとえば、次の図は、カテゴリ、サブ カテゴリ、およびリスク フィルタを選択した結果を示 しています。最初の 2 つのフィルタを適用すると、明示的にテクノロジのフィルタを適用し ていなくても、自動的に [ テクノロジ ] 列が制限され、選択したカテゴリとサブ カテゴリに一 致するテクノロジのみが表示されます。 図に示すように、オプションを選択するとページ下部のアプリケーションのリストが自動的 に更新されます。 サービス [Objects] > [ サービス ] 特定のアプリケーションのセキュリティ ポリシーを定義する場合、1 つ以上のサービスを選 択して、アプリケーションで使用できるポート番号を制限できます。デフォルトのサービス は、[any] で、すべての TCP ポートと UDP ポートが許可されます。 HTTP サービスと HTTPS サービスは事前に定義されていますが、他のサービスの定義を追加 することができます。一緒に割り当てられることが多いサービスをサービス グループにまと めることで、セキュリティ ポリシーの作成を簡略化できます (「サービス グループ」を参照 )。 以下の表では、サービス設定について説明します。 表 159. サービス設定 フィールド 内容 名前 サービス名 ( 最大 63 文字 ) を入力します。この名前は、セキュリティ ポ リシーを定義するときにサービスのリストに表示されます。名前の大文 字と小文字は区別されます。また、一意の名前にする必要があります。 文字、数字、スペース、ハイフン、およびアンダースコアのみを使用し てください。 内容 サービスの説明を入力します ( 最大 255 文字 )。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 283 その他のポリシー オブジェクト 表 159. サービス設定(続き) フィールド 内容 共有 デバイスがマルチ仮想システム モードである場合、すべての仮想システ ムで共有できるようにするには、このチェック ボックスをオンにします。 プロトコル サービスで使用するプロトコル (TCP または UDP) を選択します。 宛先ポート サービスで使用する宛先ポート番号 (0 ~ 65535) またはポート番号の範 囲 ( ポート 1 ~ ポート 2) を入力します。複数のポートまたはポートの範 囲はコンマで区切ります。宛先ポートは必須です。 送信元ポート サービスで使用する送信元ポート番号 (0 ~ 65535) またはポート番号の 範囲 ( ポート 1 ~ ポート 2) を入力します。複数のポートまたはポートの 範囲はコンマで区切ります。送信元ポートは任意です。 サービス グループ [Objects] > [ サービス グループ ] セキュリティ ポリシーの作成を簡略化するには、セキュリティ設定が同じであることが多い サービスをサービス グループにまとめます。新しいサービスを定義する方法については、 「サービス」を参照してください。 以下の表では、サービス グループ設定について説明します。 表 160. サービス グループ設定 フィールド 内容 名前 サービス グループ名 ( 最大 63 文字 ) を入力します。この名前は、セキュ リティ ポリシーを定義するときにサービスのリストに表示されます。名 前の大文字と小文字は区別されます。また、一意の名前にする必要があ ります。文字、数字、スペース、ハイフン、およびアンダースコアのみ を使用してください。 サービス [ 追加 ] をクリックしてグループにサービスを追加します。ドロップダウ ン リストから選択するか、ドロップダウン リストの下部にある [ サービ ス ] ボタンをクリックして設定を指定します。設定の詳細は、 「サービス」 を参照してください。 タグの処理 [Objects] > [ タグ ] タグを使用すると、キーワードまたは語句を使用してオブジェクトをグループ化できます。 タグは、アドレス オブジェクト、アドレス グループ ( スタティックとダイナミック )、ゾー ン、サービス、サービス グループ、およびポリシー ルールに適用できます。タグを付けると、 キーワードを使用してオブジェクトのソートまたはフィルタリング、オブジェクトの視覚的 な区別ができます。タグごとに色分けもできます。タグごとに色分けすると、[ ポリシー ] タ ブに表示されるオブジェクトに背景色が付けられます。 284 • ポリシーとセキュリティ プロファイル Palo Alto Networks その他のポリシー オブジェクト このタブを使用して、タグの作成、色の割り当て、削除、名前の変更、コピーができます。各 オブジェクトには最大 64 個のタグを付けることができます。オブジェクトに複数のタグがあ る場合、適用されたタグのリストの順序で最初にあるタグの色が使用されます。 [Objects] > [ タグ ] タブには、ファイアウォール ( または Panorama) 上にローカルに定義した タグのみが表示されます。ダイナミック アドレス グループを設定した場合、このタブには、 ファイアウォールに定義された VM 情報ソースからダイナミックに取得したタグは表示され ません。 新しいタグを追加するには、[ 追加 ] をクリックし、以下のフィールドを入力します。 表 161. タグ設定 フィールド 内容 名前 一意のタグ名 ( 最大 127 文字 ) を入力します。名前では大文字と小文字は 区別されません。 共有 マルチ仮想システム機能が有効なファイアウォールのすべての仮想マシ ン間でタグを共有する場合は、[ 共有 ] オプションをオンにします。オフ にすると、タグはドロップダウン リストで現在選択されている仮想マシ ンに属します。 Panorama では、タグは選択したデバイス グループに属するか、すべて のデバイス グループ間で共有される共有オブジェクトにすることができ ます。 カラー ドロップダウン リストのカラー パレットから、色を選択します。デフォ ルト値は [ なし ] です。 コメント タグの用途を思い出せるように、ラベルまたは説明を追加します。 データ パターン データ パターンのサポートによって、データ フィルタリング セキュリティ ポリシーを使用 してフィルタリング対象とする機密情報のカテゴリを指定できます。データ パターンの設定 手順の詳細は、「ダイナミック ブロック リスト」を参照してください。 新しいパターン ( 正規表現 ) を追加する場合、以下の一般的な要件が適用されます。 • パターンには、照合対象となる 7 バイト以上の文字列が含まれている必要があります。7 バイトより多くの文字列を含めることができますが、それより少なくはできません。 • 文字列の照合では、多くの正規表現エンジンと同様に大文字と小文字が区別されます。 「confidential」の検索と、 「Confidential」や「CONFIDENTIAL」の検索は同じではあり ません。 PAN-OS の正規表現の構文は、従来の正規表現エンジンと似ていますが、それぞれのエンジ ンはすべて異なります。以下の表に、PAN-OS でサポートされている構文を示します。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 285 その他のポリシー オブジェクト 表 162. パターンのルール 構文 内容 . 任意の 1 文字に一致します。 ? 直前の文字または表現に 0 ~ 1 回一致します。一般式は、かっこのペア内にある必要 があります。 例 : (abc)? * 直前の文字または表現に 0 回以上一致します。一般式は、かっこのペア内にある必要 があります。 例 : (abc)* + 直前の文字または正規表現に 1 回以上一致します。一般式は、かっこのペア内にある 必要があります。 例 : (abc)+ | 「または」に相当します。 例 : ((bif)|(scr)|(exe)) は、「bif」、「scr」または「exe」に一致します。代替の従属文字 列はかっこで囲む必要があります。 - 範囲を表すために使用します。 例 : [c-z] は、c ~ z の任意の文字列に一致します。 [] 指定した任意の文字に一致します。 例 : [abz] は a、b、または z に一致します。 ^ 指定以外の任意の文字に一致します。 例 : [^abz] は a、b、または z 以外の任意の文字に一致します。 {} 最小バイト数 / 最大バイト数です。 例 : {10-20} は、10 ~ 20 バイトの文字列に一致します。固定文字列の直前に使用する必 要があり、「-」のみがサポートされます。 ¥ 前述の特殊文字のいずれかにリテラル文字として一致させるには、特殊文字の前に 「¥」( 円記号 ) を使用してエスケープする必要があります。 & & は特殊文字であるため、「&」を文字列として検索するには代わりに「&」を使 用する必要があります。 データ パターンの例 有効なカスタム パターンの例を以下に示します。 • .*((Confidential)|(CONFIDENTIAL)) – 任意の場所から「Confidential」または「CONFIDENTIAL」という言葉を検索します。 – 最初の「.*」は、ストリームの任意の場所を検索することを指定します。 – 「confidential」( すべて小文字 ) には一致しません。 • .*((Proprietary & Confidential)|(Proprietary and Confidential)) – 「Proprietary & Confidential」または「Proprietary and Confidential」を検索します。 – 「Confidential」の検索よりも詳細な検索です。 286 • ポリシーとセキュリティ プロファイル Palo Alto Networks その他のポリシー オブジェクト • .*(Press Release).*((Draft)|(DRAFT)|(draft)) – さまざまな形式の単語 draft が後に続く「Press Release」を検索します。これに一致す る場合は、プレス リリースの公開準備が整っていないことを示します。 • .*(Trinidad) – 「Trinidad」などのプロジェクト コード名を検索します。 カスタム URL カテゴリ [Objects] > [ カスタム オブジェクト ] > [URL カテゴリ ] カスタム URL カテゴリ機能を使用すると、任意の URL フィルタリング プロファイルで選択 できる独自の URL リストを作成できます。各カスタム カテゴリは別個に管理できます。ま た、各 URL フィルタリング プロファイル内でアクション (allow、block、continue、override、 alert、none) を関連付けることができます。none アクションはカスタム URL カテゴリにのみ 適用されます。none を選択するのは、複数の URL プロファイルが存在する場合に、そのカス タム カテゴリが他のプロファイルに影響を与えないようにするためです。たとえば、2 つの URL プロファイルがあり、カスタム URL カテゴリが一方のプロファイルで block に設定さ れている場合、もう一方のプロファイルでは block が適用されないようにするにはアクショ ンを none に設定する必要があります。 URL エントリを個別に追加したり、URL のリストをインポートしたりできます。これを行う には、テキスト ファイルを作成し、1 行につき 1 つの URL を追加します。各 URL の形式は、 「www.example.com」にすることができ、 「*.example.com」などのワイルドカードを使用で きます。ワイルドカードの詳細は、257 ページの表 147 のブロック リストの説明を参照して ください。 カスタム カテゴリに追加される URL エントリの大文字と小文字は区別さ れます。また、カスタム カテゴリが URL プロファイルに追加されてアク ションが設定された後にそのカスタム カテゴリを削除する場合、アクショ ンを None に設定しないとカスタム カテゴリを削除できません。 URL フィルタリング プロファイルのセットアップ手順の詳細は、 「URL フィルタリング プロ ファイル」を参照してください。 以下の表では、カスタム URL 設定について説明します。 表 163. カスタム URL カテゴリ フィールド 内容 名前 カスタム URL カテゴリの識別に使用する名前 ( 最大 31 文字 ) を入力しま す。この名前は、URL フィルタリング ポリシーを定義するときにカテゴ リのリストに表示されます。名前の大文字と小文字は区別されます。ま た、一意の名前にする必要があります。文字、数字、スペース、ハイフ ン、およびアンダースコアのみを使用してください。 内容 URL カテゴリの説明を入力します ( 最大 255 文字 )。 共有 デバイスがマルチ仮想システム モードである場合、プロファイルをすべ ての仮想システムで共有できるようにするには、このチェック ボックス をオンにします。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 287 その他のポリシー オブジェクト 表 163. カスタム URL カテゴリ(続き) フィールド 内容 サイト [ サイト ] エリアで、[ 追加 ] をクリックして URL を入力するか、[ イン ポート ] をクリックし、URL リストが含まれるテキスト ファイルを参照 して選択します。 ダイナミック ブロック リスト [Objects] > [ ダイナミック ブロック リスト ] インポートされた IP アドレスのリストに基づいてアドレス オブジェクトを作成するには、 [ ダイナミック ブロック リスト ] ページを使用します。リストのソースは、テキスト ファイ ルで、Web サーバー上に置かれている必要があります。デバイス上のリストを毎時、毎日、 毎週、または毎月自動的に更新する [ 繰り返し ] オプションを設定することができます。ダイ ナミック ブロック リスト オブジェクトを作成したら、セキュリティ ポリシーの送信元およ び宛先フィールドでアドレス オブジェクトを使用できます。インポートされる各リストには、 最大 5,000 個の IP アドレス (IPv4 および IPv6)、IP 範囲、サブネットを含めることができます。 リストには、たとえば以下のように、1 行に 1 つの IP アドレス、範囲、またはサブネットを 含める必要があります。 「192.168.80.150/32」は 1 つのアドレスを表し、「192.168.80.0/24」は 192.168.80.0 ~ 192.168.80.255 のすべてのアドレスを表します。 例: 「2001:db8:123:1::1」または「2001:db8:123:1::/64」 IP 範囲 : アドレス範囲を指定するには、[IP 範囲 ] を選択してアドレス範囲を入力します。形式は以下 のとおりです。 ip_address–ip_address ここで、各アドレスは IPv4 または IPv6 になります。 例: 「2001:db8:123:1::1 - 2001:db8:123:1::22」 以下の表では、ダイナミック ブロック リスト設定について説明します。 表 164 ダイナミック ブロック リスト フィールド 内容 名前 ダイナミック ブロック リストの識別に使用する名前 ( 最大 32 文 字 ) を入力します。この名前は、ポリシーで送信元または宛先を 選択するときに表示されます。 内容 ブロック リストの説明を入力します ( 最大 255 文字 )。 送信元 テキスト ファイルが含まれている HTTP または HTTPS URL パ スを入力します。たとえば、「http://1.1.1.1/myfile.txt」のよう になります。 288 • ポリシーとセキュリティ プロファイル Palo Alto Networks その他のポリシー オブジェクト 表 164 ダイナミック ブロック リスト(続き) フィールド 内容 繰り返し リストがインポートされる頻度を指定します。[ 毎時 ]、[ 毎日 ]、 [ 毎週 ] または [ 月次 ] を選択できます。リストは、指定した間隔 で設定にインポートされます。このタイプの更新が行われるた めにフル コミットは必要ありません。 ソース URL のテスト ソース URL またはサーバー パスが使用できるかどうかをテス トします。 カスタムのスパイウェア シグネチャと脆弱性シグネチャ このセクションでは、カスタム脆弱性プロファイルの作成時に使用できるカスタムのスパイ ウェア シグネチャと脆弱性シグネチャを作成するために使用可能なオプションについて説明 します。 [Objects] > [ カスタム シグネチャ ] > [ データ パターン ] [Objects] > [ カスタム シグネチャ ] > [ スパイウェア ] [Objects] > [ カスタム シグネチャ ] > [ 脆弱性 ] データ パターンの定義 [Objects] > [ カスタム シグネチャ ] > [ データ パターン ] データ フィルタリング セキュリティ ポリシーを使用してフィルタリング対象とする機密情 報のカテゴリを定義するには、[ データ パターン ] ページを使用します。データ フィルタリン グ プロファイルの定義方法の詳細は、「データ フィルタリング プロファイル」を参照してく ださい。 以下の表では、データ パターン設定について説明します。 表 165. データ パターン設定 フィールド 内容 名前 データ パターン名 ( 最大 31 文字 ) を入力します。名前の大文字と小文字 は区別されます。また、一意の名前にする必要があります。文字、数字、 スペース、ハイフン、およびアンダースコアのみを使用してください。 内容 データ パターンの説明を入力します ( 最大 255 文字 )。 共有 デバイスがマルチ仮想システム モードである場合、プロファイルをすべ ての仮想システムで共有できるようにするには、このチェック ボックス をオンにします。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 289 その他のポリシー オブジェクト 表 165. データ パターン設定(続き) フィールド 内容 重み 事前に指定したパターン タイプの重みを入力します。この重みは、1 ~ 255 の数値になります。データ フィルタリング プロファイルで指定する [ アラートしきい値 ] および [ ブロックしきい値 ] は、この重みの関数です。 • クレジット番号 — クレジット カード フィールドの重みを指定します ( 範囲は 0 ~ 255)。 • SSN 番号 — 123-45-6789 のようにダッシュが含まれている社会保障番号 フィールドの重みを指定します ( 範囲は 0 ~ 255、255 が最も高い重み )。 • SSN 番号 ( ダッシュを除く ) — 123456789 のようにエントリにダッシュ が含まれていない社会保障番号フィールドの重みを指定します (範囲は 0 ~ 255、255 が最も高い重み )。 カスタム パターン 事前に定義されているパターンには、クレジット カード番号 (CC#) と社 会保障番号 ( ダッシュ付き (SSN#) およびダッシュなし SSN# (without dash)) が含まれています。 [ 追加 ] をクリックして新しいパターンを追加します。パターンの名前を 指定して、パターンを定義する正規表現を入力し、パターンに割り当て る重みを入力します。必要に応じて、パターンを追加します。 スパイウェア シグネチャと脆弱性シグネチャの定義 [Objects] > [ カスタム オブジェクト ] > [ スパイウェア ] と [ 脆弱性 ] ファイアウォールでは、ファイアウォールの脅威エンジンを使用してカスタムのスパイウェ ア シグネチャと脆弱性シグネチャを作成する機能をサポートしています。スパイウェアの phone home 通信や脆弱性の悪用を特定するためのカスタム正規表現パターンを記述できま す。作成したスパイウェアと脆弱性のパターンは、カスタム脆弱性プロファイルで使用でき ます。ファイアウォールは、カスタム定義されたパターンがネットワーク トラフィックに含 まれていないか検索し、脆弱性の悪用に対して指定されたアクションを実行します。PAN-OS には、以下のプロトコル内のコンテキストに対するシグネチャを作成する機能が用意されて います。 毎週のコンテンツ リリースで、新しいデコーダとコンテキストが定期的に 追加されます。 コンテンツ更新 424 の時点で以下のデコーダがサポートされています。HTTP、HTTPS、 DNS、FTP、IMAP SMTP、Telnet、IRC (Internet Relay Chat)、Oracle、RTMP、RTSP、SSH、 GNU-Debugger、GIOP (Global Inter-ORB Protocol)、Microsoft RPC、Microsoft SMB ( 別 名 CIFS)。 カスタム シグネチャを定義するときに任意で時間属性を含めることができます。これを行う には、攻撃に対してアクションをトリガーする間隔ごとにしきい値を指定します。しきい値 に達した場合にのみアクションが実行されます。 290 • ポリシーとセキュリティ プロファイル Palo Alto Networks その他のポリシー オブジェクト 脆弱性プロファイルのシグネチャを定義するには、[ カスタム シグネチャ ] ページを使用し ます。 表 166. カスタム シグネチャ — 脆弱性およびスパイウェア フィールド 内容 [ 設定 ] タブ 脅威 ID 設定の識別子を数値で入力します。スパイウェア シグネチャの範囲は 15000 ~ 18000、脆弱性シグネチャの範囲は 41000 ~ 45000 です。 名前 脅威の名前を指定します。 共有 デバイスがマルチ仮想システム モードである場合、プロファイルをすべ ての仮想システムで共有できるようにするには、このチェック ボックス をオンにします。 コメント 任意でコメントを入力します。 重大度 脅威の重大度を示すレベルを割り当てます。 デフォルト アクション 脅威の条件を満たしたときに実行されるデフォルトのアクションを割り 当てます。 • アラート — アラートが生成されます。 • パケットのドロップ — パケットの通過が拒否されます。 • 両方のリセット — クライアントとサーバーがリセットされます。 • クライアントのリセット — クライアントがリセットされます。 • サーバーのリセット — サーバーがリセットされます。 • ブロック IP — 指定した期間トラフィックがブロックされます。送信元 のトラフィックのみをブロックするのか、送信元と宛先のトラフィック をブロックするのかを選択し、期間 ( 秒 ) を入力します。 方向 脅威を評価する方向 ( クライアントからサーバー、サーバーからクライ アント、その両方 ) を指定します。 影響を受けるシステム 脅威によって影響を受ける対象 ( クライアント、サーバー、そのどちら か、その両方 ) を指定します。脆弱性シグネチャには適用されますが、ス パイウェア シグネチャには適用されません。 CVE CVE (Common Vulnerability Enumeration) を、追加情報および分析のた めの外部参照として指定します。 ベンダー 脆弱性のベンダー識別子を、追加情報および分析のための外部参照とし て指定します。 Bugtraq Bugtraq (CVE と類似 ) を、追加情報および分析のための外部参照として 指定します。 リファレンス 必要に応じて、追加の分析または情報用にリンクを追加します。この情 報は、ユーザーが ACC、ログ、または脆弱性プロファイルから脅威をク リックすると表示されます。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 291 その他のポリシー オブジェクト 表 166. カスタム シグネチャ — 脆弱性およびスパイウェア(続き) フィールド 内容 [ シグネチャ ] タブ 標準シグネチャ [ 標準 ] ラジオ ボタンを選択して [ 追加 ] をクリックし、新しいシグネ チャを追加します。以下の情報を指定します。 • シグネチャ名 — シグネチャの識別に使用する名前を入力します。 • コメント — 任意で説明を入力します。 • 順番が付けられた条件の一致 — シグネチャの条件の定義順序が重要で ある場合に選択します。 • 範囲 — このシグネチャの適用対象 ( 現在のトランザクションのみ、また はユーザー セッション全体 ) を選択します。 以下のように条件を指定してシグネチャを定義します。 • [ 追加 And Condition] または [ 追加 Or Condition] をクリックして条件 を追加します。グループ内に条件を追加するには、グループを選択して [ 条件の追加 ] をクリックします。[ メソッド ] および [ コンテキスト ] ドロップダウン リストから選択します。[ パターン ] フィールドで正規 表現を指定します。必要に応じて、パターンを追加します。 • グループ内で条件を移動するには、条件を選択して [ 上へ ] または [ 下 へ ] の矢印をクリックします。グループを移動するには、グループを選 択して [ 上へ ] または [ 下へ ] の矢印をクリックします。グループ間で 条件を移動することはできません。 組み合わせシグネチャ [ 組み合わせ ] ラジオ ボタンを選択します。サブタブの上部のエリアで、 以下の情報を指定します。 [ 組み合わせシグネチャ ] サブタブで、以下のように条件を指定してシグ ネチャを定義します。 • [ 追加 And Condition] または [ 追加 Or Condition] をクリックして条件 を追加します。グループ内に条件を追加するには、グループを選択して [ 条件の追加 ] をクリックします。[ メソッド ] および [ コンテキスト ] ドロップダウン リストから選択します。[ パターン ] フィールドで正規 表現を指定します。必要に応じて、パターンを追加します。 • グループ内で条件を移動するには、条件を選択して [ 上へ ] または [ 下 へ ] の矢印をクリックします。グループを移動するには、グループを選 択して [ 上へ ] または [ 下へ ] の矢印をクリックします。グループ間で 条件を移動することはできません。 [ 時間属性 ] サブタブで、以下の情報を指定します。 • ビット数 — ポリシーベースのアクションをトリガーするしきい値を、 指 定した秒数 (1 ~ 3600) のヒット数 (1 ~ 1000) として指定します。 • 集約基準 — ヒットの追跡方法 ( 送信元 IP アドレス、宛先 IP アドレス、 または送信元 IP アドレスと宛先 IP アドレスの組み合わせ ) を指定し ます。 292 • ポリシーとセキュリティ プロファイル Palo Alto Networks その他のポリシー オブジェクト セキュリティ プロファイル グループ [Objects] > [ セキュリティ プロファイル グループ ] ファイアウォールでは、セキュリティ プロファイルのセットを指定してセキュリティ プロ ファイル グループを作成する機能がサポートされています。セキュリティ プロファイル グ ループは、1 つの単位として処理でき、セキュリティ ポリシーに追加できます。たとえば、 「脅威」セキュリティ プロファイル グループを作成して、アンチウイルス、アンチスパイウェ ア、および脆弱性の各プロファイルを追加し、その後、セキュリティ ポリシーを作成してそ の「脅威」プロファイルを追加することができます。 同時に割り当てられることが多いアンチウイルス、アンチスパイウェア、脆弱性防御、URL フィルタリング、およびファイル ブロッキングの各プロファイルをプロファイル グループに まとめることで、セキュリティ ポリシーの作成を簡略化できます。 新しいセキュリティ プロファイルを定義する方法については、「セキュリティ ポリシーの定 義」を参照してください。 以下の表では、セキュリティ プロファイル設定について説明します。 表 167. セキュリティ プロファイル グループ設定 フィールド 内容 名前 プロファイル グループ名 ( 最大 31 文字 ) を入力します。この名前は、セ キュリティ ポリシーを定義するときにプロファイルのリストに表示され ます。名前の大文字と小文字は区別されます。また、一意の名前にする 必要があります。文字、数字、スペース、ハイフン、およびアンダース コアのみを使用してください。 共有 デバイスがマルチ仮想システム モードである場合、プロファイルをすべ ての仮想システムで共有できるようにするには、このチェック ボックス をオンにします。 プロファイル グループに含めるウイルス対策、スパイウェア対策、脆弱性対策、URL フィルタリング、およびファイル ブロッキングのプロファイルを選択し ます。データ フィルタリング プロファイルも、セキュリティ プロファイ ル グループに指定できます。 「データ フィルタリング プロファイル」を 参照してください。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 293 その他のポリシー オブジェクト ログ転送 [Objects] > [ ログ転送 ] セキュリティ ポリシーごとにログの転送プロファイルを指定できます。このプロファイルで は、トラフィックおよび脅威ログ エントリを Panorama を使用してリモートでログに記録す るかどうかや、SNMP トラップ、Syslog メッセージ、または電子メール通知として送信する かどうかを定義します。デフォルトでは、ローカル ログのみが実行されます。 トラフィック ログには各トラフィック フローのレコード情報が記録され、脅威ログにはネッ トワーク トラフィックの脅威または問題 ( ウイルスやスパイウェアの検出など ) が記録され ます。各ルールに関連付けられているウイルス対策、スパイウェア対策、および脆弱性防御 のプロファイルによって、( ローカルまたはリモートで ) ログに保存される脅威は異なります。 ログのプロファイルをセキュリティ ポリシーに適用する方法については、「セキュリティ ポ リシーの定義」を参照してください。 PA-7050 ファイアウォールでは、ファイアウォールが Syslog、電子メール、 および SNMP のログ タイプを転送するには、特殊なインターフェイス タ イプ ( ログ カード ) をファイアウォールに設定する必要があります。これ は、WildFire へのファイル転送にも必要です。ポートを設定すると、特殊 な設定をせずに、ログ転送と WildFire 転送で自動的にこのポートが使用 されます。PA-7050 NPC のいずれかでデータ ポートをインターフェイス タイプ「ログ カード」として設定するだけで、使用されるネットワークが ログ サーバーと通信できます。WildFire 転送の場合、ネットワーク は WildFire クラウドまたは WildFire アプライアンス、あるいはその両方と 通信する必要があります。 このインターフェイスの設定の詳細は、「ログ カード インターフェイスの 設定」を参照してください。 以下の表では、ログ転送設定について説明します。 表 168. ログ転送プロファイル設定 フィールド 内容 名前 プロファイル名 ( 最大 31 文字 ) を入力します。この名前は、セキュリティ ポリシーを定義するときにログ転送プロファイルのリストに表示されま す。名前の大文字と小文字は区別されます。また、一意の名前にする必 要があります。文字、数字、スペース、ハイフン、およびアンダースコ アのみを使用してください。 共有 デバイスがマルチ仮想システム モードである場合、すべての仮想システ ムで共有できるようにするには、このチェック ボックスをオンにします。 トラフィック設定 Panorama トラフィック ログ エントリを Panorama 中央管理システムに送信できる ようにするには、このチェック ボックスをオンにします。Panorama サーバーのアドレスを定義する方法については、 「管理設定の定義」を参 照してください。 294 • ポリシーとセキュリティ プロファイル Palo Alto Networks その他のポリシー オブジェクト 表 168. ログ転送プロファイル設定(続き) フィールド 内容 SNMP トラップ 電子メール Syslog SNMP、Syslog、および電子メールの設定を選択します。この設定では、 トラフィック ログ エントリの追加の宛先を指定します。新しい宛先を定 義する方法については、以下のセクションを参照してください。 • SNMP トラップの宛先の設定。 • カスタム Syslog フィールドの説明 • Syslog サーバーの設定 Threat Log Settings Panorama 各重大度レベルの脅威ログ エントリが Panorama に送信されるようにす るには、このチェック ボックスをオンにします。以下の重大度レベルが あります。 • Critical — 脅威のセキュリティ エンジンで検出された非常に深刻な攻 撃です。 • High — 脅威のセキュリティ エンジンで検出された重大な攻撃です。 • Medium — 脅威のセキュリティ エンジンで検出されたそれほど深刻で はない攻撃です (URL ブロックなど )。 • Low — 脅威のセキュリティ エンジンで検出された警告レベルの攻撃 です。 • Informational — 他の重大度レベルに含まれないすべてのイベントです ( 情報攻撃対象の一致など )。 SNMP トラップ 電子メール Syslog 重大度レベルごとに SNMP、Syslog、および電子メールの設定を選択し ます。この設定では、脅威のログ エントリの追加の送信先を指定します。 復号プロファイル [Objects] > [ 復号プロファイル ] 復号プロファイルを使用して、SSL フォワード プロキシ、SSL インバウンド インスペクショ ン、および SSH トラフィックの特定の側面をブロックまたは制御することができます。復号 プロファイルを作成すると、そのプロファイルを復号ポリシーに適用できます。 また、デバイスが信頼する証明機関を制御することもできます。詳細は、 「デフォルトの信頼 された証明機関の管理」を参照してください。 以下の表では、復号プロファイル設定について説明します。 表 169. 復号プロファイル設定 フィールド 内容 [SSL フォワード プロキシ ] タブ サーバー証明書の チェック サーバー証明書を制御するオプションを選択できます。 証明書が期限切れ のセッションを ブロック サーバー証明書の期限が切れている場合、SSL 接続を終了します。これによ り、ユーザーは期限切れの証明書を受け入れて SSL セッションを続行するこ とができなくなります。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 295 その他のポリシー オブジェクト 表 169. 復号プロファイル設定(続き) フィールド 内容 発行者が信頼され ていないセッション をブロック サーバー証明書の発行者が信頼されていない場合、SSL 接続を終了します。 証明書の延長を 制限 動的なサーバー証明書で使用される証明書の拡張を、鍵の用途および 拡張鍵の用途に制限します。 詳細 — 鍵の用途と拡張鍵の用途で使用される値の詳細を表示します。 サポートされてい ないモード チェック サポートされていない SSL アプリケーションを制御するオプション を選択します。 バージョンが サポートされてい ないセッションを ブロック 「client hello」メッセージが PAN-OS でサポートされていない場合、セッショ ン を終 了し ます。PAN-OS がサポートする SSL のバージョンは、SSLv3、 TLS1.0、TLS1.1 です。 暗号スイートが サポートされてい ないセッションを ブロック SSL ハンドシェークで暗号スイートが指定されていて、PAN-OS でサポート されていない場合、セッションを終了します。 クライアント認証 を使用するセッ ションをブロック SSL フォワード プロキシ トラフィックのクライアント認証を使用するセッ ションを終了します。 失敗のチェック 復号化を処理するためのシステム リソースが使用できない場合に実行するア クションを選択します。 リソースを使用で きない場合にセッ ションをブロック 復号化を処理するためのシステム リソースが使用できない場合、セッション を終了します。 HSM を使用でき ない場合にセッ ションをブロック 証明書の署名にハードウェア セキュリティ モジュール (HSM) を使用できな い場合は、セッションを終了します。 注 : サポートされていないモードおよび失敗モードについては、セッ ション情報が 12 時間キャッシュされます。このため、同じホストと サーバー ペア間の以降のセッションは復号化されません。代わりに これらのセッションをブロックするには、チェック ボックスをオン にします。 [SSL インバウンド インスペクション ] タブ サポートされてい ないモード チェック バージョンが サポートされてい ないセッションを ブロック サポートされていないモードが SSL トラフィックで検出された場合 にセッションを制御する選択オプション。 「client hello」メッセージが PAN-OS でサポートされていない場合、セッショ ン を終 了し ます。PAN-OS がサポートする SSL のバージョンは、SSLv3、 TLS1.0、TLS1.1 です。 296 • ポリシーとセキュリティ プロファイル Palo Alto Networks その他のポリシー オブジェクト 表 169. 復号プロファイル設定(続き) フィールド 内容 暗号スイートが サポートされてい ないセッションを ブロック 暗号スイートが PAN-OS でサポートされていない場合、セッションを終了し ます。 失敗のチェック システム リソースが使用できない場合に実行するアクションを選択します。 リソースを使用で きない場合にセッ ションをブロック 復号化を処理するためのシステム リソースが使用できない場合、セッション を終了します。 HSM を使用でき ない場合にセッ ションをブロック セッション キーの復号化にハードウェア セキュリティ モジュール (HSM) を 使用できない場合は、セッションを終了します。 [SSH] タブ サポートされていな いモード チェック サポートされていないモードが SSH トラフィックで検出された場合 にセッションを制御する選択オプション。サポートされている SSH バージョンは、SSH バージョン 2 です。 バージョンが サポートされてい ないセッションを ブロック 「client hello」メッセージが PAN-OS でサポートされていない場合、セッショ ンを終了します。 アルゴリズムが サポートされてい ないセッションを ブロック クライアントまたはサーバーで指定されたアルゴリズムが PAN-OS でサポー トされていない場合、セッションを終了します。 失敗のチェック SSH アプリケーション エラーが発生したり、システム リソースが使用できな い場合に実行するアクションを選択します。 SSH エラー時に セッションを ブロック SSH エラーが発生した場合、セッションを終了します。 リソースを使用で きない場合にセッ ションをブロック 復号化を処理するためのシステム リソースが使用できない場合、セッション を終了します。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 297 その他のポリシー オブジェクト スケジュール [Objects] > [ スケジュール ] デフォルトでは、各セキュリティ ポリシーはすべての日時に適用されます。セキュリティ ポ リシーを特定の時間に制限するには、スケジュールを定義して該当するポリシーに適用しま す。スケジュールごとに、固定の日時範囲、あるいは日次または週次の定期スケジュールを 指定できます。スケジュールをセキュリティ ポリシーに適用する方法については、 「セキュリ ティ ポリシーの定義」を参照してください。 定義したスケジュールでセキュリティ ポリシーが起動された場合、適用さ れたセキュリティ ポリシーは新しいセッションにのみ影響します。既存の セッションはスケジュールされたポリシーの影響を受けません。 以下の表では、スケジュール設定について説明します。 表 170. スケジュール設定 フィールド 内容 名前 スケジュール名 ( 最大 31 文字 ) を入力します。この名前は、セキュリティ ポリシーを定義するときにスケジュールのリストに表示されます。名前 の大文字と小文字は区別されます。また、一意の名前にする必要があり ます。文字、数字、スペース、ハイフン、およびアンダースコアのみを 使用してください。 共有 デバイスがマルチ仮想システム モードである場合、すべての仮想システ ムで共有できるようにするには、このチェック ボックスをオンにします。 繰り返し スケジュールのタイプ ([ 毎日 ]、[ 毎週 ]、または [1 回限り ]) を選択します。 毎日 [ 追加 ] をクリックし、開始時刻と終了時刻を 24 時間形式 (HH:MM) で 指定します。 毎週 [ 追加 ] をクリックし、曜日を選択して開始時刻と終了時刻を 24 時間形 式 (HH:MM) で指定します。 1 回限り [ 追加 ] をクリックし、開始日 / 時間と終了日 / 時間を指定します。 298 • ポリシーとセキュリティ プロファイル Palo Alto Networks 第6章 レポートとログ このセクションでは、ファイアウォールで作成されるレポートとログの表示方法について説 明します。 • ダッシュボードの使用 • アプリケーション コマンド センターの使用 • アプリケーション スコープの使用 • ログの表示 • ボットネット レポートの処理 • PDF サマリー レポートの管理 • ユーザー / グループ アクティビティ レポートの管理 • レポート グループの管理 • 電子メールで配信するレポートのスケジューリング • レポートの表示 • カスタムレポートの生成 • パケット キャプチャの実行 • パケット キャプチャの実行 このセクションの大部分のレポートでは、ページ上部のドロップダウン リストから仮想システムをオプションで選択することができます。 Palo Alto Networks レポートとログ • 299 ダッシュボードの使用 ダッシュボードの使用 ダッシュボード [Dashboard] ページのウィジェットには、ソフトウェア バージョン、各インターフェイスの 動作状態、リソース使用率、脅威の最大 10 個のエントリ、設定、システム ログなど、デバイ スの一般的な情報が表示されます。過去 60 分間のログ エントリが表示されます。使用可能 なウィジェットがデフォルトですべて表示されますが、個々のウィジェットを必要に応じて 追加および削除できます。 ダッシュボードや個々のウィジェットを更新するには、更新アイコン をクリックします。 自動更新間隔を変更するには、ドロップダウン リストから間隔を選択します ([1 分 ]、[2 分 ]、 [5 分 ]、または [ 手動 ])。[Dashboard] にウィジットを追加するには、[ ウィジット ] ドロップ ダウンをクリックしてカテゴリを選択し、次にウィジット名を選択します。ウィジットを削 除するには、タイトル バーの をクリックします。 表 171. ダッシュボードのチャート チャート 内容 上位アプリケーション セッション数が最も多いアプリケーションが表示されます。ブロック サ イズでセッションの相対数を示し ( マウス カーソルをブロックの上に移 動すると数が表示されます )、色でセキュリティのリスクを示します ( 緑 ( リスク低 ) ~ 赤 ( リスク高 ))。アプリケーションをクリックして、プロ ファイルを表示します。 上位のハイリスク アプリケーション [ 上位アプリケーション ] と似ていますが、ここにはセッション数が最も 多いハイリスク アプリケーションが表示されます。 一般的な情報 デバイス名、モデル、PAN-OS ソフトウェアのバージョン、アプリケー ション、脅威、URL フィルタリング定義のバージョン、現在の日時、お よび最後に再起動したときからの経過時間が表示されます。 Interface Status 各インターフェイスが、有効 ( 緑 )、無効 ( 赤 )、または不明な状態 ( 灰 ) で あることを示します。 脅威ログ 最新 10 エントリの脅威の ID、アプリケーション、および日時が表示され ます。脅威の ID は、マルウェアに関する説明、または URL フィルタリ ング プロファイルに違反する URL を示します。過去 60 分間のエントリ のみが表示されます。 設定ログ 最新 10 エントリの管理者のユーザー名、クライアント (Web または CLI)、および日時が表示されます。過去 60 分間のエントリのみが表示さ れます。 データ フィルタリング ログ 直近 60 分間に生成されたログの説明と日時が表示されます。 URL フィルタリング ログ 直近 60 分間に生成されたログの説明と日時が表示されます。 システム ログ 最新 10 エントリの説明と日時が表示されます。「Config installed」エン トリは、設定の変更が正常にコミットされたことを示します。過去 60 分 間のエントリのみが表示されます。 システム リソース 管理 CPU 使用率、データ プレーン使用率、およびファイアウォールで確 立されたセッションの数を示すセッション数が表示されます。 300 • レポートとログ Palo Alto Networks アプリケーション コマンド センターの使用 表 171. ダッシュボードのチャート(続き) チャート 内容 ログインしている管理者 現在ログインしている各管理者の送信元 IP アドレス、セッション タイプ (Web または CLI)、およびセッションの開始時刻が表示されます。 ACC リスク ファクタ この 1 週間に処理されたネットワーク トラフィックの平均リスク ファク タ (1 ~ 5) が表示されます。値が大きいほどリスクが大きくなります。 高可用性 [ 高可用性 (HA)] を有効にすると、ローカルおよびピア デバイスの HA 状態 ( 緑 ( アクティブ )、黄 ( パッシブ )、黒 ( その他 )) が表示されます。 HA の詳細は、 「ファイアウォールの HA の有効化」を参照してください。 ロック 管理者によって設定された設定ロックが表示されます。 アプリケーション コマンド センターの使用 ACC [ アプリケーション コマンド センター (ACC)] ページには以下の 5 つのチャートが表示され ます。 • アプリケーション • URL フィルタリング • 脅威防御 • データ フィルタリング • HIP マッチ [ アプリケーション コマンド センター (ACC)] ページには、ネットワーク トラフィックのト レンドや履歴が視覚的に表示されます。このページには、すべてのネットワーク トラフィッ クの全リスク レベル、ネットワークで最もアクティブで最高リスクのアプリケーションで検 出された脅威のリスク レベルと数、および使用回数が最も多いアプリケーション カテゴリと 各リスク レベルのすべてのアプリケーションで検出された脅威の数が表示されます。ACC は、過去の時間、日、月、またはカスタムで任意の期間を指定し情報を表示することができ ます。 [ リスク ] レベル (1 = 最低 ~ 5 = 最高 ) は、アプリケーションがファイルを共有しているか、 誤用が起こりやすいか、ファイアウォールを回避しようとしているかなどの基準に基づき、 アプリケーションの相対セキュリティ リスクを示します。 アプリケーション コマンド センターを表示するには、以下の手順を実行します。 1. [ACC] タブで、ページの上部にある以下の設定の 1 つ以上を変更します。 a. 仮想システムを使用している場合は、必要に応じて仮想システムを選択します。 b. [ 日時 ] ドロップダウン リストから対象期間を選択します。デフォルトは、[ 過去 1 時 間 ] です。 c. [ ソート基準 ] ドロップダウン リストからソート方法を選択します。セッション数別、 バイト数別、脅威数別の降順でチャートをソートできます。デフォルトは、セッショ ン数別です。 Palo Alto Networks レポートとログ • 301 アプリケーション コマンド センターの使用 d. 選択したソート方法で、[ 一番上へ ] ドロップダウン リストから、それぞれのチャート に表示する上位のアプリケーションおよびアプリケーション カテゴリの数を選択し ます。 e. (Panorama のみ ) トラフィック トレンドをグラフィック表示するために使用するデー タ ソースを選択します。 サブミット アイコン をクリックして、選択した設定を適用します。 新しいインストールのデフォルトのデータ ソースは [Panorama] です。[Panorama] では、管 理対象デバイスによって転送されたログが使用されます。管理対象デバイスからデータの集 約ビューを取得および表示するには、ソースを [Panorama] から [ リモート デバイス データ ] に切り替える必要があります。 アップグレードの場合、デフォルトのデータ ソースは [ リモート デバイス データ ] になり ます。 図 7. [ アプリケーション コマンド センター ] ページ 2. このページの情報に関連するログ ページを開くには、以下に示すように、ページの右上 隅のログのリンクを使用します。ログのコンテキストは、ページの情報に一致してい ます。 3. リストをフィルタリングするには、いずれかの列の項目をクリックします。ログ列名の 上にあるフィルタ バーにその項目が追加されます。目的のフィルタを追加した後に、 フィルタの適用アイコン をクリックします。 302 • レポートとログ Palo Alto Networks アプリケーション コマンド センターの使用 4. 以下の表に従って、ドロップダウン リストから目的のエリアの表示を選択します。 5. [ アプリケーション ]、[URL カテゴリ ]、[ 脅威 ]、[ コンテンツ / ファイル タイプ ]、[HIP オブジェクト ] のドロップダウン リストを使用します。 表 172. アプリケーション コマンド センターのチャート チャート 内容 アプリケーション メニューの選択項目に応じて、設定された情報が表示されます。情報に は、該当する場合、セッションの数、送受信されたバイト数、脅威の数、 アプリケーション カテゴリ、アプリケーション サブカテゴリ、アプリ ケーション テクノロジ、およびリスク レベルが含まれています。 • アプリケーション • 高リスク アプリケーション • カテゴリ • サブ カテゴリ • テクノロジ • リスク URL フィルタリング メニューの選択項目に応じて、設定された情報が表示されます。情報に は、該当する場合、URL、URL カテゴリ、繰り返し回数 ( アクセスが試 行された回数 ) が含まれています。 • URL カテゴリ • URL • ブロックされた URL カテゴリ • ブロックされた URL 脅威防御 メニューの選択項目に応じて、設定された情報が表示されます。情報に は、該当する場合、脅威の ID、カウント ( 発生回数 )、セッションの数、 およびサブタイプ ( 脆弱性など ) が含まれています。 • 脅威 • タイプ • スパイウェア • スパイウェア フォンホーム • スパイウェア ダウンロード • 脆弱性 • ウイルス データ フィルタリング • コンテンツ / ファイル タイプ • タイプ • ファイル名 HIP マッチ • HIP オブジェクト • HIP プロファイル Palo Alto Networks レポートとログ • 303 アプリケーション コマンド センターの使用 6. 詳細な情報を表示するには、リンクのいずれかをクリックします。詳細ページが開き、 最上位の項目の情報とそれに関連する項目の詳細なリストが表示されます。 図 8. [ アプリケーション コマンド センター ] のドリル ダウン ページ 304 • レポートとログ Palo Alto Networks アプリケーション スコープの使用 アプリケーション スコープの使用 [Monitor] > [ アプリケーション スコープ ] アプリケーション スコープのレポートには、ネットワークの以下の内容がグラフ表示されます。 • アプリケーション使用状況とユーザー アクティビティの変化 • ネットワーク帯域幅の大部分を占有しているユーザーやアプリケーション • ネットワークの脅威 アプリケーション スコープのレポートを使用すると、異常な動作や予期しない動作をすばや く見つけて、問題のある動作を特定できます。レポートはそれぞれ、ネットワークに関する ダイナミックでユーザーがカスタマイズ可能なウィンドウに表示されます。レポートには、 表示するデータや範囲を選択するオプションがあります。Panorama では、表示される情報 のデータ ソースを選択することもできます。デフォルトのデータ ソース ( 新しい Panorama インストールの場合 ) では、管理対象デバイスによって転送されたログを格納している Panorama のローカル データベースが使用されます。アップグレードの場合、デフォルトの データ ソースはリモート デバイス データになります。管理対象デバイスから直接データの集 約ビューを取得および表示するには、ソースを [Panorama] から [ リモート デバイス データ ] に切り替える必要があります。 チャートの線や棒にポインタを置くかクリックすると、ACC に切り替わり、特定のアプリ ケーション、アプリケーション カテゴリ、ユーザー、またはソースに関する詳しい情報が示 されます。 表 173. アプリケーション コマンド センターのチャート チャート 内容 サマリー サマリー レポート 変化モニター 変化モニター レポート 脅威モニター 脅威モニター レポート 脅威マップ 脅威マップ レポート ネットワーク モニター ネットワーク モニター レポート トラフィック マップ トラフィック マップ レポート Palo Alto Networks レポートとログ • 305 アプリケーション スコープの使用 サマリー レポート サマリー レポート ( 図 9) には、使用率が増加または減少している、および帯域幅を占有して いる上位 5 つのアプリケーション、アプリケーション カテゴリ、ユーザー、および送信元の チャートが表示されます。 サマリー レポートのチャートを PDF としてエクスポートするには ます。各チャートが 1 ページの PDF として出力に保存されます。 、をクリックし 図 9. アプリケーション スコープのサマリー レポート 306 • レポートとログ Palo Alto Networks アプリケーション スコープの使用 変化モニター レポート 変化モニター レポート ( 図 10) には、指定した期間の変化が表示されます。たとえば、図 10 は、過去 24 時間と比較して、直前の 1 時間に使用量が増加した上位のアプリケーションを示 しています。上位アプリケーションはセッション数によって決定され、パーセント別にソー トされます。 図 10. アプリケーション スコープの変化モニター レポート このレポートには、以下のボタンとオプションが表示されます。 表 174. 変化モニター レポートのオプション 項目 内容 上部バー 上位からいくつの項目を表に表示するかを指定し ます。 報告される項目のタイプ ([ アプリケーション ]、[ ア プリケーション カテゴリ ]、[ 送信元 ]、または [ 宛先 ]) を決定します。 指定期間を比較し増加した項目を表示します。 指定期間を比較し減少した項目を表示します。 指定期間を比較しあらたに検出された項目を表示し ます。 Palo Alto Networks レポートとログ • 307 アプリケーション スコープの使用 表 174. 変化モニター レポートのオプション(続き) 項目 内容 指定期間を比較し検出されなくなった項目を表示し ます。 フィルタを適用して、選択した項目のみを表示しま す。[ なし ] を選択すると、すべてのエントリが表示 されます。 セッション情報またはバイト情報のどちらを表示す るかを指定します。 パーセンテージまたは実増加のどちらでエントリを ソートするかを指定します。 グラフを .png イメージまたは PDF としてエクス ポートします。 下部バー 変化モニターの比較対象期間を指定します。 脅威モニター レポート 脅威モニター レポート ( 図 11) には、選択した期間にわたって上位を占める脅威の数が表示さ れます。たとえば、図 11 は、過去 6 時間の上位 10 の脅威タイプを示しています。 図 11. アプリケーション スコープの脅威モニター レポート 308 • レポートとログ Palo Alto Networks アプリケーション スコープの使用 チャートの下の凡例のように、各タイプの脅威が色分けして示されます。このレポートには、 以下のボタンとオプションが表示されます。 表 175. 脅威モニター レポートのボタン ボタン 内容 上部バー 上位からいくつの項目を表に表示するかを指定します。 測定する項目のタイプ ([ 脅威 ]、[ 脅威カテゴリ ]、[ 送信元 ]、 または [ 宛先 ]) を決定します。 フィルタを適用して、選択した種別の項目のみを表示します。 情報を表示するグラフ ( 積み重ね棒グラフまたは積み重ね面 グラフ ) を指定します。 グラフを .png イメージまたは PDF としてエクスポートします。 下部バー 表示対象期間を指定します。 脅威マップ レポート 脅威マップ レポート ( 図 12) は、脅威とその重大度をグラフィックで表示します。 図 12. アプリケーション スコープの脅威マップ レポート Palo Alto Networks レポートとログ • 309 アプリケーション スコープの使用 チャートの下の凡例のように、各タイプの脅威が色分けして示されます。地図で国をクリッ クすると拡大されます。縮小するには、画面の右下隅の [Zoom Out] ボタンをクリックしま す。このレポートには、以下のボタンとオプションが表示されます。 表 176. 脅威マップ レポートのボタン ボタン 内容 上部バー 上位からいくつの項目を表に表示するかを指定します。 インバウンド方向 ( 外部から ) の脅威を示します。 アウトバウンド方向 ( 外部へ ) の脅威を示します。 フィルタを適用して、選択した種別の項目のみを表示します。 マップを拡大および縮小します。 グラフを .png イメージまたは PDF としてエクスポート します。 下部バー 表示対象期間を指定します。 ネットワーク モニター レポート ネットワーク モニター レポート ( 図 13) には、指定した期間にわたって複数のネットワーク アプリケーションに占有されている帯域幅が表示されます。図の下の凡例のように、各タイ プのネットワーク アプリケーションが色分けして示されます。たとえば、図 13 は、セッショ ン情報に基づいた、過去 7 日間のアプリケーション帯域幅を示しています。 310 • レポートとログ Palo Alto Networks アプリケーション スコープの使用 図 13. アプリケーション スコープのネットワーク モニター レポート このレポートには、以下のボタンとオプションが表示されます。 表 177. ネットワーク モニター レポートのボタン ボタン 内容 上部バー 上位からいくつの項目を表に表示するかを指定します。 報告される項目のタイプ ([ アプリケーション ]、[ アプリケー ション カテゴリ ]、[ 送信元 ]、または [ 宛先 ]) を決定します。 フィルタを適用して、選択した項目のみを表示します。[ なし ] を選択すると、すべてのエントリが表示されます。 セッション情報またはバイト情報のどちらを表示するかを指 定します。 情報を表示するグラフ ( 積み重ね棒グラフまたは積み重ね面 グラフ ) を指定します。 グラフを .png イメージまたは PDF としてエクスポートし ます。 下部バー 表示対象期間を指定します。 Palo Alto Networks レポートとログ • 311 アプリケーション スコープの使用 トラフィック マップ レポート トラフィック マップ レポート ( 図 14) は、セッション数またはフロー数に応じて、トラ フィック フローをグラフィックで表示します。 図 14. アプリケーション スコープのトラフィック マップ レポート チャートの下の凡例のように、各タイプのトラフィックが色分けして示されます。このレポー トには、以下のボタンとオプションが表示されます。 表 178. 脅威マップ レポートのボタン ボタン 内容 上部バー 上位からいくつの項目を表に表示するかを指定 します。 インバウンド方向 ( 外部から ) の脅威を示します。 アウトバウンド方向 ( 外部へ ) の脅威を示します。 セッション情報またはバイト情報のどちらを表 示するかを指定します。 マップを拡大および縮小します。 グラフを .png イメージまたは PDF としてエク スポートします。 312 • レポートとログ Palo Alto Networks ログの表示 表 178. 脅威マップ レポートのボタン(続き) ボタン 内容 下部バー 表示対象期間を指定します。 ログの表示 [Monitor] > [ ログ ] このファイアウォールでは、WildFire、設定、システム、アラーム、トラフィック フロー、 脅威、URL フィルタリング、データ フィルタリング、およびホスト情報プロファイル (HIP) の一致に関するログが管理されます。現在のログはいつでも表示できます。特定のエントリ を検索するには、ログ フィールドにフィルタを適用します。 ファイアウォールのログは、ロールベースの管理権限に基づいて情報が表 示されます。ログを表示すると、表示権限のある情報のみが表示されます。 管理者権限の詳細は、「管理者ロールの定義」を参照してください。 ログを表示するには、[Monitor] タブで、ページの左側にあるログ タイプをクリックします。 各ログ ページの上部にはフィルタエリアがあります。 以下のようにして、フィルタエリアを使用します。 • ログ リストの下線の付いたリンクのいずれかをクリックし、その項目をログ フィルタ オプションとして追加します。たとえば、10.0.0.252 のログ エントリの [Host] リンクと [Web Browsing] をクリックすると、両方の項目が追加され、AND 検索を使用して両方 に一致するエントリが検索されます。 • その他の検索基準を定義するには、[ ログ フィルタの追加 ] アイコンをクリックします。 必要に応じて、検索のタイプ (AND/OR)、検索に含める属性、マッチング演算子、およ び照合に使用する値を選択します。[Add] をクリックして基準を [Log] ページのフィル タエリアに追加し、[Close] をクリックしてポップアップ ウィンドウを閉じます。[ フィ ルタの適用 ] アイコンをクリックすると、フィルタリングされたリストが表示されます。 [Log] ページに追加されたフィルタ式と [Expression] ポップアップ ウィンドウで 定義した式を組み合わせることができます。各フィルタは、1 つのエントリとし て [Log] ページの [Filter] 行に追加されます。 [ 受信日時 ] を [ 含む ] フィルタを [ 過去 60 秒 ] に設定した場合、ログ ビューアの 一部のページ リンクで結果が表示されない場合があります。これは、選択した時 間が動的性質を持つため、ページ数が増加または減少した可能性があるためです。 • フィルタを消去してフィルタリングされていないリストを再度表示するには、[ フィルタ のクリア ] ボタンをクリックします。 Palo Alto Networks レポートとログ • 313 ログの表示 • 設定したフィルタを新しいフィルタとして保存するには、[ フィルタの保存 ] ボタンをク リックしてフィルタ名を入力し、[OK] をクリックします。 • 現在のログ リスト (適用されたすべてのフィルタと共にページに表示されます) をエクス ポートするには、[ フィルタの保存 ] ボタンをクリックします。ファイルを開くのか、 ディスクに保存するのかを選択します。常に同じオプションを使用する場合はチェック ボックスをオンにします。[OK] をクリックします。 • 現在のログ リストを CSV フォーマットでエクスポートするには、CSV にエクスポート アイコン をクリックします。デフォルトでは、ログ リストを CSV フォーマットでエ クスポートすると、最大 2,000 行のログを含む CSV レポートが生成されます。CSV レポー トに表示される行数の制限を変更するには、[CSV エクスポートの最大行数 ] フィールド ([Device] > [ セットアップ ] > [ 管理 ] > [ ロギングおよびレポート設定 ] > [ ログのエクス ポートとレポート ])の順に選択、または「管理設定の定義」を参照 ) を使用します。 表示ログの自動更新間隔を変更する場合、ドロップダウン リストから間隔を選択します ([60 秒 ]、[30 秒 ]、[10 秒 ]、または [ 手動 ])。ページ毎のログ表示行数を変更する場合、[ 行 ] ドロップダウン リストから行数を選択します。 ログ エントリは、10 ページのブロック単位で取得されます。ページの下部にあるページ送り 機能を使用して、ログ リスト内を移動します。[ ホスト名の解決 ] チェック ボックスをオンに すると、外部 IP アドレスがドメイン名に解決されます。 CSV にエクスポート アイコン ます。 を選択して、ログを CSV フォーマットでエクスポートし ログの詳細を表示する場合、ログ エントリ左側にある拡大鏡アイコン ます。 314 • レポートとログ をクリックし Palo Alto Networks ログの表示 [ アドレス ] ページで、送信元または宛先の IP アドレスから名前へのマッピングを定義して いる場合、IP アドレスの代わりにその名前が表示されます。関連付けられている IP アドレス を表示するには、名前の上にカーソルを移動します。 各ログで以下の情報を確認します。 表 179. ログの説明 ログノセツメイ チャート 内容 トラフィック 各セッションの開始と終了のエントリが表示されます。各エントリには、日時、 送信元および宛先ゾーン、アドレスおよびポート、アプリケーション名、フロー に適用されるセキュリティ ルール名、ルール アクション (「allow」、「deny」、 または「drop」)、ingress/egress インターフェイス、バイト数、およびセッショ ン終了理由などが記載されます。 エントリの横の をクリックすると、セッションに関する詳細な情報 (ICMP エントリを使用して同じ送信元と宛先間の複数のセッションを集約するかどう かなど ) が表示されます ([ 繰り返し回数 ] 値は 1 より大きくなります )。 [ タイプ ] 列は、エントリがセッションの開始または終了のいずれのエントリで あるか、またはセッションが拒否されたか廃棄されたかを示します。 「drop」は、 トラフィックをブロックしたセキュリティ ルールが適用されて「いずれか」の アプリケーションが指定されたことを示し、 「deny」はルールが適用されてある 特定のアプリケーションが識別されたことを示します。 アプリケーションが識別される前にトラフィックが廃棄された場合 ( あるルー ルにより特定のサービスのトラフィックがすべて廃棄された場合など )、そのア プリケーションは「not-applicable」として表示されます。 脅威 ファイアウォールで生成された各セキュリティ アラームのエントリが表示され ます。各エントリには、日時、脅威の名前または URL、送信元および宛先 ゾーン、アドレス、ポート、アプリケーション名、およびアラーム アクショ ン (「allow」または 「block」) と重大度が含まれています。 エントリの横の をクリックすると、脅威に関する詳細な情報 ( そのエント リを使用して同じ送信元と宛先間の同じタイプの複数の脅威を集約するかどう かなど ) が表示されます ([ 繰り返し回数 ] 値は 1 より大きくなります )。 [ タイプ ] 列は、脅威の種別 (「virus」、 「spyware」など ) を示します。[ 名前 ] 列 は脅威に関する説明または URL を示し、[ カテゴリ ] 列は脅威のカテゴリ (「keylogger」など ) または URL のカテゴリを示します。 ローカル パケット キャプチャが有効な場合は、以下の図に示すように、エント リの横の をクリックして、キャプチャされたパケットを表示します。ロー カル パケット キャプチャを有効にするには、 「セキュリティ プロファイル」の サブセクションを参照してください。 URL フィルタリング 特定の Web サイトおよび Web サイト カテゴリへのアクセスをブロックする、 または Web サイトにアクセスしたときに警告を生成する URL フィルタのログ が表示されます。URL の HTTP ヘッダー オプションをログに記録することが できます。URL フィルタリング プロファイルの定義方法の詳細は、 「URL フィ ルタリング プロファイル」を参照してください。 WildFire への 送信 WildFire サーバーでアップロードおよび分析されるファイルのログが表示され ます ( ログ データは分析後に分析結果とともにデバイスに返されます )。 Palo Alto Networks レポートとログ • 315 ボットネット レポートの処理 表 179. ログの説明(続き)ログノセツメイ(続き) チャート 内容 データ フィルタリング クレジット カード番号や社会保障番号などの機密情報が、ファイアウォールに よって保護されているエリアから流出するのを防止するのに役立つセキュリ ティ ポリシーのログが表示されます。データ フィルタリング プロファイルの定 義方法の詳細は、「データ フィルタリング プロファイル」を参照してください。 ログ エントリの詳細情報にアクセスする場合のパスワード保護を設定するには 、アイコンをクリックします。そこで、パスワードを入力して [OK] をク リックします。データ保護パスワードの変更方法または削除方法の手順の詳細 は、「カスタム応答ページの定義」を参照してください。 注 : 各セッションで 1 回のみ、システムから入力を要求されます。 このログには、ファイル ブロッキング プロファイルの情報も表示されます。た とえば、.exe ファイルをブロックしている場合、ログにはブロックされたファイ ルが表示されます。ファイルを WildFire に転送すると、そのアクションの結果 が表示されます。たとえば、PE ファイルを WildFire に転送した場合、ログに ファイルを転送したことが表示され、さらにそのファイルが WildFire に正常に アップロードされたかどうかの状態も表示されます。 設定 設定変更操作に関するエントリが表示されます。各エントリには、日時、管理者 のユーザー名、変更を行ったユーザーの IP アドレス、クライアントのタイプ (Web または CLI)、実行されたコマンドのタイプ、コマンドが成功したか失敗 したか、設定パス、および変更前後の値が含まれています。 システム 各システム イベントのエントリが表示されます。各エントリには、日時、イベ ントの重大度、およびイベントの説明が含まれています。 HIP マッチ GlobalProtect クライアントに適用されるセキュリティ ポリシーに関する情報 を表示します。詳細は、 「GlobalProtect ポータルのセットアップ」を参照してく ださい。 アラーム アラーム ログは、システムによって生成されたアラームの詳細情報を記録しま す。このログの情報は、[ アラーム ] ウィンドウでも報告されます。 「アラーム ロ グの設定の定義」を参照してください。 セッション情報の表示 [Monitor] > [ セッション ブラウザ ] [ セッション ブラウザ ] ページを開いて、ファイアウォール上で現在実行中のセッションを参 照して、フィルタリングします。このページのフィルタリング オプションの詳細は、 「ログの 表示」を参照してください。 ボットネット レポートの処理 ボットネット レポート機能により、振る舞いベースのメカニズムを使用して、ネットワーク 内でボットネットに感染した可能性のあるホストを特定することができます。ファイア ウォールは、ネットワーク、脅威、URL、およびデータ フィルタリング ログを使用して、マ ルウェア サイトおよび Dynamic DNS サイトへのアクセス、最近登録された ( 過去 30 日以内 に登録された ) ドメインへのアクセス、不明なアプリケーションの使用、およびインターネッ ト リレー チャット (IRC) トラフィックの存在などの基準に基づいて脅威を評価します。 316 • レポートとログ Palo Alto Networks ボットネット レポートの処理 ファイアウォールは、ボットネットに感染した場合の動作と一致するホストを判別した後、 感染した可能性のある各ホストに 1 ~ 5 までのスコアを割り当て、ボットネット感染の可能 性の高さを示します ( 感染の可能性は、1 が最も低く、5 が最も高い )。振る舞いベースの検出 メカニズムでは、24 時間、複数のログ間でトラフィックを解析する必要があるため、ファイ アウォールは、スコアに基づいてソートされたホストのリストを含むレポートを 24 時間ごと に生成します。 ボットネット レポートの設定 [Monitor] > [ ボットネット ] これらの設定を使用して、疑わしいトラフィック ( ボットネットの活動を示す可能性のあるト ラフィック ) のタイプを指定します。設定を定義するには、[ ボットネット ] ページの右側に ある [ 設定 ] ボタンをクリックします。 表 180. ボットネットの設定 フィールド 内容 HTTP トラフィック レポートの対象とするイベントの [有効化] チェック ボックスをオンにし ます。 • マルウェア URL へのアクセス — マルウェアおよびボットネット URL のフィルタリング カテゴリに基づき、既知のマルウェア URL に対し て通信しているユーザーを特定します。 • 動的 DNS の使用 — ボットネット通信を示す可能性のある動的 DNS ク エリ トラフィックを検索します。 • IP ドメインを参照 — URL ではなく、IP ドメインを参照するユーザー を特定します。 • 最近登録されたドメインを参照 — 過去 30 日以内に登録されたドメイン 名を持つサイトへのトラフィックを検索します。 • 不明サイトからの実行可能ファイル — 未知の URL サイトから実行形式 のファイルをダウンロードされた通信を特定します。 不明なアプリケーション 疑わしい通信の可能性がある Uknown TCP または Unknown UDP のア プリケーションをチェック対象に含める場合、このチェック ボックスを オンにします。さらに、以下の情報を指定します。 • 1 時間あたりのセッション — 不明なアプリケーションによる 1 時間あ たりのアプリケーション セッション数。 • 1 時間あたりの宛先数 — 不明なアプリケーションによる 1 時間あたり の宛先数。 • 最小バイト — 最小ペイロード サイズ。 • 最大バイト — 最大ペイロード サイズ。 IRC Palo Alto Networks IRC サーバーを疑わしいものとして対象に含める場合、このチェック ボックスをオンにします。 レポートとログ • 317 ボットネット レポートの処理 ボットネット レポートの管理 [Monitor] > [ ボットネット ] > [ レポート設定 ] レポート クエリを指定してから、ボットネット分析レポートを生成して表示することができ ます。このレポートは、ボットネット設定に基づいて生成されます (「ボットネット レポート の設定」を参照 )。レポートの設定により送信元または宛先 IP アドレス、ユーザー、ゾーン、 インターフェイス、地域または国を含めたり、除外したりすることができます。 ボットネット レポートは、自動スケジュールにより 1 日に 1 回自動的に生成されます。また、 レポート クエリを定義するウィンドウで、[ 今すぐ実行 ] をクリックして、過去 24 時間また は前日(24 時間)のレポートを生成および表示することもできます。生成されたレポートは、 [ ボットネット ] ページに表示されます。 ボットネット レポートを管理するには、[ ボットネット ] ページの右側にある [ レポート設定 ] ボタンをクリックします。 レポートをエクスポートするには、レポートを選択して、[PDF にエクスポート ] または [CSV にエクスポート ] をクリックします。 表 181. ボットネット レポートの設定 フィールド 内容 ランタイム フレームの テスト レポートの期間を選択します ( 過去 24 時間、前日の一日間 )。 行数 レポート内の行数を指定します。 スケジュール設定 レポートを毎日自動で生成する場合は、このチェック ボックスをオンに します。レポートを手動で生成する場合、これをオフにして、[ ボット ネット レポート ] ウィンドウの上部にある [ 今すぐ実行 ] ボタンをクリッ クします。 クエリ ビルダー 以下を指定してレポート クエリを作成し、[ 追加 ] をクリックして、設定 した式をクエリ ( レポート作成フィルタ条件 ) に追加します。クエリが完 成するまで繰り返します。 • 結合子 — 論理結合子(AND/OR)を指定します。 • 属性 — ソースまたは宛先のゾーン、アドレス、またはユーザーを指定 します。 • 演算子 — 属性を値に関連付ける演算子を指定します。 • 値 — 照合する値を指定します。 Negate 318 • レポートとログ 指定したクエリ条件を除外する場合、このチェック ボックスをオンにし ます。レポートには、定義したクエリ条件の結果にないすべての情報が 含まれます。 Palo Alto Networks PDF サマリー レポートの管理 PDF サマリー レポートの管理 [Monitor] > [PDF レポート ] > [PDF サマリーの管理 ] PDF サマリー レポートには、各カテゴリの上位 5 ( 上位 50 ではない ) のデータに基づいて、 既存のレポートからコンパイルされた情報が含まれています。このレポートには、別のレ ポートでは表示されないトレンド チャートも表示されます。 図 15. PDF サマリー レポート Palo Alto Networks レポートとログ • 319 PDF サマリー レポートの管理 PDF サマリー レポートを作成するには、[ 追加 ] をクリックします。[PDF サマリー レポート ] ページが開き、使用可能なすべてのレポート項目が表示されます。 図 16. PDF レポートの管理 以下のオプションを 1 つ以上使用してレポートを設計します。 • レポートから項目を削除するには、各項目のアイコン ボックスの右上隅にある アイコ ンをクリックするか、またはページの上部付近にある該当するドロップダウン リスト ボックス内の項目のチェック ボックスをオフにします。 • 追加の項目を選択するには、このページの上部付近にあるドロップダウン リスト ボック スから項目を選択します。 • 項目のアイコン ボックスをドラッグ アンド ドロップして、レポートの別のエリアに移 動します。 最大 18 個のレポート要素が使用できます。既存の項目を削除して、別の 項目を追加する場合もあります。 [ 保存 ] をクリックし、入力を要求された場合は、レポートの名前を入力して [OK] をクリッ クします。 PDF レポートを表示するには、[PDF サマリー レポート ] を選択し、ページ下部のドロップダ ウン リストからレポート タイプを選択し、そのタイプで生成されたレポートを表示します。 下線の付いたレポート リンクをクリックしてレポートを開くか、レポートを保存します。 320 • レポートとログ Palo Alto Networks ユーザー / グループ アクティビティ レポートの管理 ユーザー / グループ アクティビティ レポートの管理 [Monitor] > [PDF レポート ] > [ ユーザー アクティビティ レポート ] 個々のユーザーまたはユーザー グループのアクティビティの概要を示すレポートを作成する には、このページを使用します。[ 新規 ] をクリックし、以下の情報を指定します。 表 182. ユーザー / グループ アクティビティ レポート設定 フィールド 内容 名前 レポート名を入力します ( 最大 31 文字 )。名前の大文字と小文字は区別さ れます。また、一意の名前にする必要があります。文字、数字、スペース、 ハイフン、およびアンダースコアのみを使用してください。 タイプ ユーザー アクティビティ レポート : [ ユーザー ] を選択し、レポートの対象 となるユーザーの [ユーザー名] または [IP アドレス] (IPv4 または IPv6) を 入力します。 Panorama では、レポートの生成に必要なユーザー グループ情報を取得す るため、各デバイス グループにマスター デバイスをセットアップする必 要があります。 グループ アクティビティ レポート : [ グループ ] を選択し、[ グループ名 ] を入力します。 Panorama では、ユーザーをグループにマッピングするための情報がない ため、グループ アクティビティ レポートを生成できません。 期間 ドロップダウン リストからレポートの期間を選択します。 Include Detailed Browsing レポートに詳細な URL ログを含める場合にのみ、このオプションを選択 します。 詳細な閲覧情報には、選択したユーザーまたはユーザー グループ の大量の ( 何千もの ) ログが含まれる可能性があり、その結果、レ ポートが非常に大きくなる可能性があります。 グループ アクティビティ レポートには、URL カテゴリ別ブラウザ サマリーは含まれません。 その他すべての情報は、ユーザー アクティビティ レポートとグループ アクティビティ レ ポートで共通です。 レポートをすぐに実行するには、[ 今すぐ実行 ] をクリックします。レポートに表示される最 大行数を変更する方法については、「ロギングおよびレポート設定」を参照してください。 レポートを保存するには、[OK] をクリックします。保存したら、レポートの電子メール配信 をスケジューリングできます (「電子メールで配信するレポートのスケジューリング」を参照 )。 Palo Alto Networks レポートとログ • 321 レポート グループの管理 レポート グループの管理 [Monitor] > [PDF レポート ] > [ レポート グループ ] レポート グループを使用すると、レポートのセットを作成できます。システムはそのレポー トのセットを集め、オプションのタイトル ページと構成するすべてのレポートを含めた 1 つ の集約 PDF レポートとして電子メールなどを通じて送信することができます。 表 183. レポート グループの設定 フィールド 内容 名前 レポート グループ名を入力します ( 最大 31 文字 )。名前の大文字と小文字 は区別されます。また、一意の名前にする必要があります。文字、数字、 スペース、ハイフン、およびアンダースコアのみを使用してください。 タイトル ページ レポートにタイトル ページを追加するには、このチェック ボックスをオ ンにします。 タイトル レポート タイトルとして表示される名前を入力します。 レポートの選択 レポートグループに含めるレポートを左側の列から選択して [ 追加 ] をク リックし、各レポートを右側のレポート グループに移動します。[ 事前定 義済み ]、[ カスタム ]、[PDF サマリー ]、[ ログ ビュー ] のレポート タイプ を選択できます。 ログ ビュー レポートは、カスタム レポートを作成するたびに自動的に作 成されるレポート タイプで、カスタム レポートと同じ名前が使用されま す。このレポートには、カスタム レポートの内容を作成するために使用さ れたログが表示されます。 ログ ビュー データを含めるには、レポート グループを作成するときに [ カ スタム レポート ] リストにカスタム レポートを追加し、次に [ ログ ビュー ] リストから一致するレポート名を選択してログ ビュー レポートを追加し ます。受信するレポートには、カスタム レポート データの後に、カスタム レポートを作成するために使用されたログ データが表示されます。 レポート グループを使用する方法については、「電子メールで配信するレポートのスケ ジューリング」を参照してください。 322 • レポートとログ Palo Alto Networks 電子メールで配信するレポートのスケジューリング 電子メールで配信するレポートのスケジューリング [Monitor] > [PDF レポート ] > [ 電子メール スケジューラ ] レポートの電子メール配信をスケジューリングするには、電子メール スケジューラを使用し ます。この設定を追加する前に、あらかじめレポート グループと電子メール プロファイルを 定義しておく必要があります。 「レポート グループの管理」および「電子メール通知設定の指 定」を参照してください。 スケジューリングされたレポートは午前 2 時にレポートの生成処理を開始し、スケジューリ ングされたすべてのレポートの生成が完了した後、電子メールが転送されます。 表 184. 電子メール スケジューラ設定 フィールド 内容 名前 スケジュール名を入力します ( 最大 31 文字 )。名前の大文字と小文字は区 別されます。また、一意の名前にする必要があります。文字、数字、スペー ス、ハイフン、およびアンダースコアのみを使用してください。 レポート グループ レポート グループを選択します (「レポート グループの管理」を参照 )。 繰り返し レポートを生成して送信する頻度 ( 毎日、毎週月・火・水・木・金・土・ 日曜日、無効 ) を選択します。 電子メール プロファイル 電子メール設定を定義するプロファイルを選択します。電子メール プロ ファイルの定義方法の詳細は、 「電子メール通知設定の指定」を参照して ください。 Override Recipient Email(s) 電子メール プロファイルで指定したメール受信者の代わりに使用する別 の電子メール アドレスを入力します。 レポートの表示 [Monitor] > [ レポート ] このファイアウォールでは、前日、または前の週の指定した日のトラフィック統計情報のさ まざまな「上位 50」レポートを作成できます。 レポートを表示するには、ページの右側にあるレポート名をクリックします ([ カスタム レ ポート ]、[ アプリケーション レポート ]、[ トラフィック レポート ]、[ 脅威レポート ]、[URL フィルタリング レポート ]、[PDF サマリー レポート ])。 デフォルトでは、前日の 24 時間集計レポートが表示されます。過去のいずれかの日のレポー トを表示するには、ページの最下位の [Select] ドロップダウン リストからレポートの生成日 を選択します。 レポートが表示されます。選択した期間の各レポートに関する以下の情報を確認できます。 ログを CSV フォーマットでエクスポートするには、[CSV にエクスポート ] をクリックしま す。ログ情報を PDF フォーマットで開くには、[PDF にエクスポート ] をクリックします。新 しいウィンドウで PDF ファイルが開きます。ウィンドウ上部のアイコンをクリックして、 ファイルを印刷するかまたは保存します。 Palo Alto Networks レポートとログ • 323 カスタムレポートの生成 カスタムレポートの生成 [Monitor] > [ カスタム レポートの管理 ] オプションで、既存のレポート テンプレートに基づくカスタム レポートを作成できます。レ ポートは、オンデマンドで生成することも、毎晩自動的に生成するようにスケジューリング することもできます。以前に定義したレポートを表示するには、サイド メニューで [ レポー ト ] を選択します。 [ 追加 ] をクリックして、新しいカスタム レポートを作成します。既存のテンプレートに基づ いてレポートを作成するには、[ テンプレートのロード ] をクリックして、テンプレートを選 択します。 以下の設定を指定して、レポートを定義します。 表 185. カスタム レポートの設定 フィールド 内容 名前 レポート名を入力します ( 最大 31 文字 )。名前の大文字と小文字は区別さ れます。また、一意の名前にする必要があります。文字、数字、スペー ス、ハイフン、およびアンダースコアのみを使用してください。 データベース レポートのデータ ソースとして使用するデータベースを選択します。 期間 規定の時間枠を選択するか、[ カスタム ] を選択して、日時の範囲を指定 します。 ソート基準 ソート オプションを選択して、レポートに含める情報の 量 などを決定 し、レポートの編成を行います。使用可能なオプションは、選択した データベースによって異なります。 グループ化基準 グループ分けオプションを選択して、レポートに含める情報の量などを 決定し、レポートの編成を行います。使用可能なオプションは、選択し たデータベースによって異なります。 スケジュール設定 レポートを毎晩実行する場合は、このチェック ボックスをオンにしま す。サイド メニューで [ レポート ] を選択すると、レポートは使用可能に なります。 列 [ 使用可能な列 ] からカスタム レポートに含める列を選択し、プラス記号 アイコン を使用して、列を [ 選択した列 ] に移動します。選択した列 の順番を入れ替えるには上矢印および下矢印を使用し、事前に選択した 列を削除するにはマイナス記号アイコン を使用します。 324 • レポートとログ Palo Alto Networks パケット キャプチャの実行 表 185. カスタム レポートの設定(続き) フィールド 内容 クエリ ビルダー レポート クエリを作成するには、以下を指定して、[ 追加 ] をクリックし ます。クエリが完成するまで、繰り返します。 • 結合子 — 追加する式の前に置く結合子(and/or)を選択します。 • Negate — クエリを否定(除外)として解釈させるには、このチェック ボックスをオンにします。前述の例で、否定のオプションを選択する と、過去 24 時間以内に受け取られていないエントリ、または「untrust」 ゾーンから受け取られていないエントリに対する照合が行われます。 • 属性 — データ要素を選択します。使用可能なオプションは、選択した データベースによって異なります。 • 演算子 — 属性が適用されるかどうかを決定する基準を選択します(= な ど)。使用可能なオプションは、選択したデータベースによって異なり ます。 • 値 — 照合する属性値を指定します。 たとえば、( トラフィック ログ データベースを基にした ) 以下の図は、ト ラフィック ログ エントリが過去 24 時間以内に「untrust」ゾーンから受 け取られた場合に一致するクエリを示しています。 パケット キャプチャの実行 [Monitor] > [ パケット キャプチャ ] PAN-OS は、トラブルシューティングまたは不明なアプリケーションの検出を行うために、パ ケット キャプチャをサポートしています。フィルタを定義して、そのフィルタと一致するパ ケットのみがキャプチャされるようにすることができます。パケット キャプチャはデバイス でローカルに保存され、使用するローカル コンピュータにダウンロードすることができます。 パケット キャプチャは、トラブルシューティングにのみ使用してくださ い。この機能を使用すると、システム パフォーマンスが下がる可能性があ るため、必要な場合しか使用しないでください。取得が完了したら、この 機能を無効にしてください。 Palo Alto Networks レポートとログ • 325 パケット キャプチャの実行 フィルタリングおよびキャプチャ オプションを指定するには、以下の表の情報を指定します。 すべてのフィルタリングとキャプチャ設定を消去するには、[ すべての設定をクリア ] をク リックします。 ダウンロード用のキャプチャ ファイルを選択するには、ページの右側にあるキャプチャ ファ イル リストでファイル名をクリックします。 表 186. パケット キャプチャの設定 フィールド 内容 フィルタリングの 設定 フィルタの管理 [ フィルタの管理 ] をクリックしてから、[ 追加 ] をクリックして新しい フィルタを追加し、以下の情報を指定します。 • ID — フィルタの ID を入力または選択します。 • 入力インターフェイス — ファイアウォール インターフェイスを選択し ます。 • 送信元 — 送信元 IP アドレスを指定します。 • 宛先 — 宛先 IP アドレスを指定します。 • 送信元ポート — 送信元ポートを指定します。 • 宛先ポート — 宛先ポートを指定します。 • プロトコル — フィルタリングするプロトコルを指定します。 • 非 IP — 非 IP トラフィックの処理方法を選択します ( すべての IP トラ フィックを除外する、すべての IP トラフィックを含める、IP トラ フィックのみを含める、または IP フィルタを含めない )。 • IPv6 — IPv6 パケットをフィルタに入れる場合は、このチェック ボッ クスをオンにします。 フィルタリング クリックすると、フィルタリングの選択がオンまたはオフに切り替えら れます。 事前解析一致 クリックすると、[ 事前解析一致 ] オプションがオンまたはオフに切り替 えられます。 [ 事前解析一致 ] オプションは、トラブルシューティングを詳細に行うた めに追加されています。パケットが入力ポートに入ると、いくつかの処 理ステップを経て、事前設定されたフィルタと一致するかどうか解析さ れます。 何らかの障害によって、パケットがフィルタリング段階に到達しない場 合があります。たとえば、ルート検索に失敗した場合などに起こります。 [ 事前解析一致 ] 設定を [ON] にセットすると、システムに入力されるす べてのパケットに対して肯定一致がエミュレートされます。これにより、 ファイアウォールはフィルタリング プロセスに到達していないパケット もキャプチャできるようになります。パケットがフィルタリング段階に 到達できれば、フィルタ設定に応じて処理され、フィルタリング基準と 一致しなければ破棄されます。 326 • レポートとログ Palo Alto Networks パケット キャプチャの実行 表 186. パケット キャプチャの設定(続き) フィールド 内容 キャプチャの設定 パケット キャプチャ パケット キャプチャ ステージ クリックすると、パケット キャプチャがオンまたはオフに切り替えられ ます。 [ 追加 ] をクリックし、以下を指定します。 • ステージ — パケットをキャプチャする時点を示します。 – drop — パケット処理でエラーが生じ、パケットが破棄される時点。 – firewall — パケットにセッション一致があるか、セッションの最初の パケットが正常に作成される時点。 – receive — データプレーン プロセッサでパケットが受け取られる時点。 – transmit — データプレーン プロセッサでパケットが送信される時点。 • ファイル — キャプチャ ファイル名を指定します。ファイル名は文字で 始める必要があります。また、文字、数字、ピリオド、アンダースコ ア、またはハイフンを使用できます。 • パケット数 — キャプチャが停止するまでのパケット数を指定します。 • バイト数 — キャプチャが停止するまでのバイト数を指定します。 キャプチャされた ファイル キャプチャされた ファイル キャプチャされたファイルを表示するリストからパケット キャプチャ ファイルを削除するには、[ 削除 ] をクリックします。 設定 すべての設定をクリア Palo Alto Networks すべてのパケット キャプチャ設定をクリアするには、[ すべての設定をク リア ] をクリックします。 レポートとログ • 327 パケット キャプチャの実行 328 • レポートとログ Palo Alto Networks 第7章 ファイアウォールへのユーザー ID の 設定識別 • ファイアウォールへのユーザー ID の設定 • [ ユーザー マッピング ] タブ • [ ユーザー ID エージェント ] • [ ターミナル サービス エージェント ] タブ • [ グループ マッピング設定 ] タブ • [ キャプティブ ポータルの設定 ] タブ ファイアウォールへのユーザー ID の設定 [Device] > [ ユーザー ID] User-ID は Palo Alto Networks の次世代のファイアウォール機能で、個々の IP アドレスの代 わりにユーザーとグループに基づいてポリシーを作成し、レポートを実行できます。複数の 仮想システムでファイアウォールを設定している場合、各仮想システムに個別の User-ID 設 定を作成する必要があります。ユーザー マッピング情報は仮想システム間で共有されません。 [ ユーザー ID] ページの上部にある [ 場所 ] ドロップダウンから、User-ID を設定する仮想シス テムを選択します。 仮想システムを選択したら ( 該当する場合 )、このページの設定を使用してユーザー ID を設 定します。 • [ ユーザー マッピング ] タブ • [ ユーザー ID エージェント ] • [ ターミナル サービス エージェント ] タブ • [ グループ マッピング設定 ] タブ • [ キャプティブ ポータルの設定 ] タブ Palo Alto Networks ファイアウォールへのユーザー ID の設定識別 • 329 [ ユーザー マッピング ] タブ [ ユーザー マッピング ] タブを使用して、ドメイン コントローラから直接 IP アドレス - ユー ザー名間マッピング データを取得するようにファイアウォールを設定します。この機能では、 User-ID エージェントをドメイン コントローラにインストールする必要はありません。ファ イアウォールは、ユーザー マッピング情報を他のファイアウォールに再配信するように設定 することもできます。 表 187. ユーザー マッピング設定 フィールド 内容 Palo Alto Networks ユーザー ID エージェント設定 画面のこのセクションには、ファイアウォールで IP アドレス - ユーザー 間マッピングを実行するために使用する設定が表示されます。設定を指 定または編集するには、編集 アイコンをクリックして設定ダイアログ を開きます。このダイアログには以下のサブタブがあります。 • WMI 認証 • サーバー モニタ • クライアントによるプローブ • キャッシュ • NTLM • 再配信 • Syslog のフィルタ [WMI 認証 ] サブタブ このサブタブを使用して、ファイアウォールで Windows リソースにアク セスするために使用するアカウントのドメイン認証情報を設定します。 この設定は Exchange サーバーとドメイン コントローラのモニター、お よび WMI プローブに必要です。 ユーザー名 — クライアント コンピュータとサーバー モニタリングで WMI クエリを実行する権限を持つアカウントを指定します。 domain¥username 構文を使用してユーザー名を入力します。 パスワード/ 再入力パスワード — アカウントのパスワードを指定します。 330 • ファイアウォールへのユーザー ID の設定識別 Palo Alto Networks 表 187. ユーザー マッピング設定(続き) フィールド 内容 [ サーバー モニタ ] サブタブ セキュリティ ログの有効化 — Windows サーバーのセキュリティ ログ モニターを有効にするには、このチェック ボックスをオンにします。セ キュリティ ログに対するクエリは、[ サーバー モニタリング ] リストで 指定されているサーバー上の IP アドレス - ユーザー名間マッピング情報 を見つけるために実行されます。 サーバー ログのモニター頻度 ( 秒 ) — ファイアウォールが IP アドレス ユーザー名間マッピング情報について Windows サーバーにクエリを実 行する頻度を指定します ( デフォルトは 2 秒、範囲は 1 ~ 3600 秒 )。 セッションの有効化 — [ サーバー モニタリング ] リストで指定されてい るサーバー上のユーザー セッションのモニターを有効にするには、この チェック ボックスをオンにします。ユーザーがサーバーに接続するごと にセッションが作成されます。この情報を使用して、ユーザーの IP アド レスを特定することもできます。 サ ーバー セッションの読み取り頻度 ( 秒 ) — ファイアウォールが、 Windows サーバーのユーザー セッションに対して、IP アドレス - ユー ザー名間マッピング情報についてクエリを実行する頻度を指定します ( デフォルトは 10 秒、1 ~ 3600 秒の範囲 )。 Novell eDirectory クエリ間隔 ( 秒 ) — ファイアウォールが、Novell eDirectory サーバーに対して、IP アドレス - ユーザー名間マッピング情 報についてクエリを実行する頻度を指定します ( デフォルトは 30 秒、 1 ~ 3600 秒の範囲 )。 [ クライアントによる プローブ ] サブタブ プローブの有効化 — ユーザー マッピング プロセスによって識別される 各クライアント PC に対して WMI/NetBIOS プローブを有効にするに は、このチェック ボックスをオンにします。プローブにより、正確なユー ザー - IP 間の情報を提供するため、確実に同じユーザーがクライアント PC にログインし続けているかを把握できるようにすることができます。 プローブ間隔 ( 分 ) — クライアント PC のプローブ間隔を指定します ( デ フォルトは 20 分、1 ~ 1440 分の範囲 )。 大規模な導入では、識別されている各クライアントをプローブするため の時間を確保するため、プローブ間隔を適切に設定することが重要です。 たとえば、ユーザーが 6,000 人で間隔が 10 分の場合は、各クライアント から 1 秒あたり 10 WMI 要求が必要になります。 注 : WMI によるポーリングを効果的に行うには、ドメイン管理者 アカウントでユーザー マッピング プロファイルを設定し、プロー ブされる各クライアント PC の Windows ファイアウォールにリ モート管理例外を設定しておく必要があります。NetBIOS によ るプローブを効果的に行うには、プローブされる各クライアント PC の Windows ファイアウォールでポート 139 を許可し、ファイ ルやプリンタの共有サービスを有効にする必要があります。 Palo Alto Networks ファイアウォールへのユーザー ID の設定識別 • 331 表 187. ユーザー マッピング設定(続き) フィールド 内容 [ キャッシュ ] サブタブ ユーザー ID タイムアウトを有効にする — IP アドレス - ユーザー名間 マッピングのエントリのタイムアウト値を有効にするには、このチェッ ク ボックスをオンにします。タイムアウト値に達すると、その IP アドレ ス - ユーザー名間マッピングはクリアされ、新しいマッピングが収集さ れます。これにより、ユーザーがローミングして新しい IP アドレスを取 得するときに、ファイアウォールに最新の情報が存在するようにします。 ユーザー ID タイムアウト ( 分 ) — IP アドレス - ユーザー名間マッピング のエントリのタイムアウト値を設定します ( デフォルトは 45 分、1 ~ 1440 分の範囲 )。 [NTLM] サブタブ NTLM 認証処理の有効化 — NT LAN Manager (NTLM) 認証処理を有効 にするには、このチェック ボックスをオンにします。ユーザー マッピン グ情報をキャプチャする Web フォームと共にキャプティブ ポータルを セットアップすると、クライアントは NTLM チャレンジによって透過的 に認証されます。このオプションを有効にすると、ファイアウォールは NTLM ドメインからこの情報を収集します。 PAN-OS User-ID コレクタと User-ID エージェントの両方をドメイン コ ントローラにインストールすると、NTLM 応答はドメイン コントローラ に直接返されます。ファイアウォールは、他のファイアウォールと UserID 情報を共有するように設定されている場合、他の PAN-OS ファイア ウォールからの着信 NTLM 要求を処理し、User-ID エージェントの機能 を実行します。 NTLM ドメイン — NTLM ドメイン名を入力します。 管理ユーザー名 — NTLM ドメインへのアクセス権を持っている管理者 アカウントを入力します。 パスワード / 再入力パスワード — NTLM ドメインへのアクセス権を持っ ている管理者アカウントのパスワードを入力します。 注 : NTLM 認証処理は 1 つの仮想システムでのみ有効にできます ( ペー ジの上部にある [ 場所 ] ドロップダウンから仮想システムを選択 )。 [ 再配信 ] サブタブ コレクタ名 — このファイアウォールを、ネットワーク上の他のファイア ウォールのユーザー マッピング再配信元として使用する場合は、コレク タ名を指定します。 コレクタ名と事前共有鍵は、ユーザー マッピング情報をプルするファイ アウォールで User-ID エージェントを設定するときに使用されます。 ファイアウォールを再配信元として使用する設定を有効にするには、 [Network] > [ ネットワーク プロファイル ] > [ インターフェイス管理 ] で [User-ID サービス ] も有効にする必要があります。 事前共有鍵 / 再入力 事前共有鍵 — ユーザー マッピング転送で安全な接続 を確立するために他のファイアウォールが使用する事前共有鍵を入力し ます。 332 • ファイアウォールへのユーザー ID の設定識別 Palo Alto Networks 表 187. ユーザー マッピング設定(続き) フィールド 内容 [Syslog のフィルタ ] サブタブ このサブタブを使用して、ファイアウォールで受信した Syslog メッセー ジを解析してメッセージからユーザー マッピング情報 (IP アドレスと ユーザー名 ) を抽出する方法を指定します。Syslog のフィルタを追加す るには、[ 追加 ] をクリックし、以下のフィールドに入力します。異なる Syslog Sender からのメッセージに対して個別のフィルタを作成できま す。Sender をモニター対象サーバーのリストに追加するときに、使用す るフィルタを指定する必要があります。さらに、Syslog メッセージがイ ンターフェイスで受け入れられる前に、インターフェイスに関連付けら れた管理プロファイルで Syslog リスナー サービスを有効にする必要が あります。 Syslog 解析プロファイル — 解析プロファイルの名前を入力します ( 最大 63 文字の英数字 )。Palo Alto Networks では、いくつかの事前定義済み フィルタを提供しています。これらはアプリケーション コンテンツの更 新として配信されるため、新しいフィルタが開発されると動的に更新さ れます。事前定義済みフィルタはファイアウォールでグローバルに適用 されます。一方、手動で定義されたフィルタは 1 つの仮想システムのみ に適用されます。 内容 — プロファイルの説明を入力します ( 最大 255 文字の英数字 )。 タイプ — ユーザー マッピング情報のフィルタに使用する解析のタイプ を指定します。[ 正規表現の識別子 ] と [ フィールド識別子 ] の 2 つのタイ プがあります。フィルタを作成するには、Syslog 内の認証メッセージの フォーマットを把握する必要があります。以下のフィールドの説明は、 以下のフォーマットの Syslog メッセージのフィルタを作成する場合の 例です。 [Tue Jul 5 13:15:04 2005 CDT] Administrator authentication success User:domain¥johndoe_4 Source:192.168.0.212 • 正規表現の識別子 — このタイプの解析では、Syslog メッセージのユー ザー マッピング情報を識別して抽出するための検索パターンを示す正 規表現を指定します。このオプションを選択した場合、Syslog メッセー ジ内の認証イベントを照合し、一致するメッセージ内のユーザー名 フィールドと IP アドレス フィールドを照合するために使用する正規表 現を指定する必要があります。 • イベントの正規表現 — Syslog メッセージ内の成功した認証イベントを 識別する正規表現を指定する場合、このフィールドを使用します。たと えば、上記の例の Syslog メッセージに対して照合する場合、以下の正 規表現は、ファイアウォールで文字列 authentication success の最 初の {1} インスタンスを照合することを示します。スペースの前の円記 号は、スペースを特殊文字として扱わないように正規表現エンジンに 指示する標準の正規表現エスケープ文字です : (authentication¥ success){1}" Palo Alto Networks ファイアウォールへのユーザー ID の設定識別 • 333 表 187. ユーザー マッピング設定(続き) フィールド [Syslog のフィルタ ] サブタブ ( 続き ) 内容 – ユーザー名の正規表現 — 認証成功メッセージ内のユーザー名の先頭 を識別するための正規表現を入力します。たとえば、正規表現 User:([a-zA-Z0-9¥¥¥._]+) では、例のメッセージ内の文字列 User:domain¥johndoe_4 と一致し、User-ID として domain¥johndoe_4 を抽出します。このフィールドを使用して、認証成功メッセージ内 のユーザー名フィールドを識別する正規表現を指定します。 – アドレスの正規表現 — 認証成功メッセージ内の IP アドレス フィー ルドを識別する正規表現を指定する場合、このフィールドを使用し ます。たとえば、Source:([0-9]{1,3}¥.[0-9]){1,3}¥.[0-9] {1,3}¥.0-9]{1,3}) という正規表現は例のメッセージ内の文字列 Source:192.168.0.212 と一致し、作成される User-ID の IP アドレ ス - ユーザー名間マッピングの IP アドレスとして 192.168.0.212 が抽 出されて追加されます。 • フィールド識別子 — このタイプの解析では、Syslog 内のユーザー マッ ピング情報を識別するために、認証イベント、プレフィックス、および サフィックスの文字列を照合する文字列を以下のように指定します。 – イベントの文字列 — ユーザー マッピング情報を抽出するイベント ログ タイプを識別する文字列を指定します。たとえば、上記の例の Syslog フォーマットでは、文字列 authentication success を入力 してログ内の成功した認証イベントと照合します。 – ユーザー名のプレフィックス — 認証 Syslog メッセージ内のユーザー 名フィールドの先頭を識別するために照合する文字列を入力しま す。たとえば、上記の例の Syslog フォーマットでは、文字列 User: を入力してユーザー名の先頭を識別します。 – ユーザー名の区切り文字 — 認証ログ メッセージ内のユーザー名フィー ルドの終了を示すために使用される区切り文字を入力します。たと えば、例のログ メッセージ フォーマットでは、ユーザー名の後にス ペースがあるため、¥s を入力してユーザー名フィールドがスペース で区切られていることを指定します。 – アドレス プレフィックス — ログ メッセージから IP アドレスを抽出 するために照合する文字列を指定します。たとえば、上記の例の Syslog フォーマットでは、文字列 Source: を入力して、アドレスを 抽出するログ フィールドを識別します。 – アドレスの区切り文字 — 認証成功メッセージ内の IP アドレス フィー ルドの終了を示すために使用される照合文字列を入力します。たと えば、例のログ メッセージ フォーマットでは、アドレスの後に改行 があるため、¥n を入力してアドレス フィールドが改行で区切られて いることを指定します。 334 • ファイアウォールへのユーザー ID の設定識別 Palo Alto Networks 表 187. ユーザー マッピング設定(続き) フィールド 内容 サーバー モニタリング 画面のこのセクションを使用して、ログオン イベントをモニターする Microsoft Exchange サーバー、ドメイン コントローラ、Novell eDirectory サーバー、または Syslog Sender を定義します。たとえば、AD 環境では、 Kerberos チケットの付与または更新、Exchange サーバー アクセス ( 設 定されている場合 )、およびファイルと印刷サービスの ( モニター対象サー バーに対する ) 接続のセキュリティ ログをエージェントでモニターしま す。仮想システムごとに最大 50 個の Syslog Sender、合計で最大 100 台の モ ニ ター対象サーバー (Syslog Sender、Microsoft Active Directory、 Microsoft Exchange、Novell eDirectory サーバーを含む ) のエントリを 定義できます。 注 : AD イベントをセキュ リティ ログに記録する には、AD ドメインが成 功したアカウント ログ イン イベントを記録す るように設定されている 必要があります。 ユーザー マッピング情報の検出には、ファイアウォールでは Syslog Sender としてセットアップして直接モニターすることができない、ワイ ヤレス コントローラ、802.1 デバイス、Network Access Control (NAC) サービスなどの他のタイプのデバイスを追加できます。別のデバイスが すでにエンド ユーザーの認証に設定されている環境でこれが役立ちま す。これを実行するには、ファイアウォールを Syslog リスナーとして設 定し、受信 Syslog メッセージをフィルタしてユーザー マッピング情報を 抽出する方法も定義する必要があります。インターフェイスで Syslog サービスを有効にする方法については、 「インターフェイス管理プロファ イルの定義」を参照してください。 DNS を介して Microsoft Active Directory ドメイン コントローラを自動 的に検出するには、[ 検出 ] をクリックします。ファイアウォールは、 [Device] > [ セットアップ ] > [ 管理 ] > [ 一般設定 ] の [ ドメイン ] フィール ドに入力されたドメイン名に基づいてドメイン コントローラを検出しま す。次に、ユーザー マッピング情報を取得するために使用するサーバー を有効にできます。 注 : 検出機能はドメイン コントローラのみに使用できます。Exchange サーバーや eDirectory サーバーの自動検出には使用できません。 モニターする新しいサーバーやリッスンする Syslog Sender を手動で定 義するには、[ 追加 ] をクリックし、以下のフィールドに入力します。 • 名前 — サーバーの名前を入力します。 • 内容 — モニターするサーバーの説明を入力します。 • 有効 — このサーバーのログ モニターを有効にするには、このチェック ボックスをオンにします。 • タイプ — モニターするサーバーのタイプ [Microsoft ( Active Directory]、 [Microsoft Exchange]、[Novell eDirectory]、または [Syslog Sender]) を 選択します。選択したサーバーのタイプに応じて、以下の 1 つ以上の フィールドが表示されます。 – ネットワーク アドレス — モニターする Exchange または Active Directory サーバーの IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力します。 – サーバー プロファイル — Novell eDirectory サーバーへの接続に使 用する LDAP サーバー プロファイルを選択します。 – 接続タイプ — ファイアウォール エージェントで Syslog メッセージ を UDP ( ポート 514) と SSL ( ポート 6514) のどちらでリッスンする かを指定します。 Palo Alto Networks ファイアウォールへのユーザー ID の設定識別 • 335 表 187. ユーザー マッピング設定(続き) フィールド 内容 包含 / 除外ネットワーク – フィルタ — このサーバーから受信した Syslog メッセージからユー ザー名と IP アドレスを抽出するために使用する Syslog のフィルタ を選択します。 – デフォルト ドメイン名 — ( 任意 ) ログ エントリにドメイン名が存在 しない場合、ユーザー名の先頭に追加するドメイン名を指定します。 サーバーの追加を完了するには、[OK] をクリックします。ファイア ウォールがサーバーへの接続を試行します。接続に成功したら、[ 状態 ] に [ 接続済み ] と表示されます。ファイアウォールから接続できなかった 場合、[ 状態 ] には [ 接続が拒否されました ] や [ 接続タイムアウト ] など のエラー状態が表示されます。 タブのこのセクションを使用して、IP アドレス - ユーザー名間マッピン グに含めるか除外する特定のサブネットワークを定義します。たとえば、 10.1.1.0/24 を除外した場合、User-ID では除外された範囲の IP アドレス に対してユーザー名の検出が試みられません。これにより今度は、他の PAN-OS ファイアウォールに送信されるマッピングの範囲が含められた り除外されたりします。 包含 / 除外ネットワーク範囲を定義すると、暗黙的にすべての除外が実 行されます。たとえば、10.1.1.0/24 を含めた場合、その他すべてのネッ トワークは除外されます。10.1.1.0/24 を除外した場合はすべてのネット ワークが除外されるため、除外を使用するときには包含ネットワークも 指定する必要があります。指定しない場合、ユーザー マッピングからす べてのネットワークが除外されます。 包含 / 除外ネットワークを追加するには、[ 追加 ] をクリックし、以下の フィールドに入力します。 名前 — User-ID の検出対象にネットワークを含めるか除外するためのプ ロファイルを識別する名前を入力します。 有効 — 包含 / 除外プロファイルを有効にするには、このオプションを選 択します。 検出 — 定義済みのネットワーク範囲を [ 包含 ] または [ 除外 ] するには、 このオプションを選択します。 ネットワーク アドレス — IP アドレス - ユーザー名間マッピングの検出 で、含 め る か 除 外 す る ネ ッ ト ワ ー ク 範 囲 を 入 力 し ま す。た と え ば、 「10.1.1.0/24」と入力します。 許可 / 除外ネットワーク カスタム シーケンス — ファイアウオールでユー ザー マッピングに含めるか除外するネットワークを評価する順序を指定 できます。カスタム シーケンスを指定しない場合、ファイアウォールで はエントリに追加した順序でリストが評価されます。 336 • ファイアウォールへのユーザー ID の設定識別 Palo Alto Networks [ ユーザー ID エージェント ] [ ユーザー ID エージェント ] タブを使用して、ネットワーク上のディレクトリ サーバーにイン ストールされたユーザー ID エージェント (User-ID エージェント )、または IP アドレス - ユー ザー間マッピング情報を交換するためにエージェントレス User-ID に設定されたファイア ウォールを操作するようにファイアウォールを設定します。 User-ID エージェントは、IP アドレス - ユーザー名間マッピング情報をネットワーク リソー スから収集してファイアウォールに提供し、セキュリティ ポリシーとログに使用できるよう にします。 User-ID マッピングでは、ファイアウォールがユーザーの送信元 IP アドレ スを NAT で変換される前に取得する必要があります。NAT またはプロキ シ デバイスの使用が原因で複数のユーザーの送信元アドレスが同じにな る場合は、ユーザーを正確に識別することはできません。 他のネットワーク デバイスがすでにユーザーを認証している環境では、 Syslog を使用してイベント ログを User-ID エージェントに転送するよう に認証サービスを設定できます。エージェントが Syslog から認証イベント を抽出し、User-ID の IP アドレス - ユーザー名間マッピングに追加でき ます。 このファイアウォールが通信するエージェントのリストに User-ID エージェントを追加する には、[ 追加 ] をクリックし、以下のフィールドに入力します。 表 188. User-ID エージェント設定 フィールド 内容 名前 User-ID エージェントの識別に使用する名前を入力します ( 最大 31 文 字 )。名前の大文字と小文字は区別されます。また、一意の名前にする必 要があります。文字、数字、スペース、ハイフン、およびアンダースコ アのみを使用してください。 ホスト User-ID エージェントをインストールする Windows ホストの IP アドレ スを入力します。 ポート User-ID エージェント サービスがファイアウォールからの要求をリッス ンするポート番号を入力します。デフォルトの Windows User-ID エー ジェント サービスのポート番号は 5007 ですが、ファイアウォールと User-ID エージェント サービスで使用する値が同じであれば任意のポー トを使用できます。さらに、異なるエージェントには異なるポート番号 を使用できます。 注 : 一部の旧バージョンの User-ID エージェントでは、デフォルト ポー トとして 2010 を使用します。 コレクタ名 このファイアウォールが、再配信用に設定された別のファイアウォール からユーザー マッピング情報を受信する場合、ユーザー マッピング デー タを収集するファイアウォールで設定されたコレクタ名 ([Device] > [ ユーザー ID] > [ ユーザー マッピング ] タブに表示 ) を指定します。 コレクタの事前共有鍵 / 再入力 コレクタの 事前共有鍵 User-ID エージェントと、ユーザー マッピングの再配信元として動作す るファイアウォールの間の SSL 接続を許可するために使用される、事前 共有鍵を入力します。 Palo Alto Networks ファイアウォールへのユーザー ID の設定識別 • 337 表 188. User-ID エージェント設定(続き) フィールド 内容 LDAP プロキシとして 使用 ( ファイアウォールからディレクトリ サービスに直接接続せずに ) LDAP サーバーにクエリを行う LDAP プロキシとしてこの User-ID エージェン トを使用するには、このチェック ボックスをオンにします。このオプ ションは、キャッシングが望ましい環境、またはファイアウォールから ディレクトリ サーバーに直接アクセスできない環境で役立ちます。 NTLM 認証用に使用 Active Directory ドメインによるキャプティブ ポータルからの NTLM ク ライアント認証を検証するように設定した User-ID エージェントを使用 するには、このチェック ボックスをオンにします。 有効 ファイアウォールがこの User-ID エージェントと通信できるようにする には、このチェック ボックスをオンにします。 User-ID エージェント エントリの追加を完了するには、[OK] をクリック します。新しい User-ID エージェントがエージェント リストに表示され ます。[ 接続済み ] 列のアイコンが緑であることを確認します。緑のアイ コンは、ファイアウォールがエージェントと正常に通信できることを示 します。設定されたエージェントへの再接続を試みるには、[ 接続対象の 更新 ] をクリックします。ファイアウォールに対するエージェントの近接 度や、エージェントがバックアップであるかプライマリであるかなど、 特定の順序でファイアウォールからエージェントに接続する場合、[ カス タム エージェント シーケンス ] をクリックし、目的の順序でエージェン トを並べ替えます。 [ ターミナル サービス エージェント ] タブ [ ターミナル サービス エージェント ] タブを使用して、ネットワークにインストールされた ターミナル サービス エージェント (TS エージェント ) を操作するようにファイアウォールを 設定します。TS エージェントは、同じターミナル サーバーでサポートされていて同じ IP ア ドレスを持つ個々のユーザーを識別します。ターミナル サーバーの TS エージェントは、各 ユーザーに特定のポート範囲を割り当てることで個々のユーザーを識別します。特定のユー ザーにポートの範囲が割り当てられると、ユーザーおよびユーザー グループに基づいてポリ シーを適用できるように、ターミナル サービス エージェントによって、割り当てられたポー トの範囲がすべての接続されているファイアウォールに通知されます。 ファイアウォール設定に TS エージェントを追加するには、[ 追加 ] をクリックし、以下の フィールドに入力します。 表 189. ターミナル サービス エージェント設定 フィールド 内容 名前 TS エージェントの識別に使用する名前を入力します ( 最大 31 文字 )。名 前の大文字と小文字は区別されます。また、一意の名前にする必要があ ります。文字、数字、スペース、ハイフン、およびアンダースコアのみ を使用してください。 ホスト TS エージェントがインストールされているターミナル サーバーの IP ア ドレスを入力します。 ポート TS エージェント サービスがファイアウォールと通信するポート番号を 入力します。デフォルト ポートは 5009 です。 338 • ファイアウォールへのユーザー ID の設定識別 Palo Alto Networks 表 189. ターミナル サービス エージェント設定(続き) フィールド 内容 代替 IP アドレス TS エージェントがインストールされているターミナル サーバーに、送信 トラフィックの送信元 IP アドレスとして表示される可能性がある複数の IP アドレスがある場合、[ 追加 ] をクリックし、最大 8 個の IP アドレス を入力します。 有効 ファイアウォールがこの User-ID エージェントと通信できるようにする には、このチェック ボックスをオンにします。 TS エージェント エントリの追加を完了するには、[OK] をクリックしま す。新しい TS エージェントがエージェント リストに表示されます。[ 接 続済み ] 列のアイコンが緑であることを確認します。緑のアイコンは、 ファイアウォールがエージェントと正常に通信できることを示します。 設定されたエージェントへの再接続を試みるには、[ 接続対象の更新 ] を クリックします。 [ グループ マッピング設定 ] タブ ユーザーまたはグループに基づいてセキュリティ ポリシーを定義するには、ファイアウォー ルでディレクトリ サーバーからグループのリストおよび対応するメンバーのリストを取得す る必要があります。この機能を有効にするには、ファイアウォールに LDAP ディレクトリ サーバーへの接続と認証方法を指示する LDAP サーバー プロファイルを作成する必要があ ります。ファイアウォールは、Microsoft Active Directory (AD)、Novell eDirectory、Sun ONE Directory Server を含む、さまざまな LDAP ディレクトリ サーバーをサポートしています。 サーバー プロファイルを作成したら、[ グループ マッピング ] タブを使用して、ディレクトリ でユーザーとグループの情報を検索する方法を定義します。 グループ マッピング設定を追加するには、[ 追加 ] をクリックし、設定を識別する一意の [ 名 前 ] を入力します。名前の大文字と小文字は区別され、文字、数字、スペース、ハイフン、お よびアンダースコアを含む最大 31 文字を指定できます。次に、以下のサブタブのフィールド に入力する必要があります。 • [ サーバー プロファイル ] サブタブ • [ 許可リストのグループ化 ] サブタブ [ サーバー プロファイル ] サブタブ [ サーバー プロファイル ] サブタブを使用して、グループ マッピングに使用する LDAP サー バー プロファイルを選択し、ディレクトリでユーザーとグループの情報を含む特定のオブ ジェクトを検索する方法を指定します。 表 190. グループ マッピングのサーバー プロファイル設定 フィールド 内容 サーバー プロファイル このファイアウォールのグループ マッピングに使用する LDAP サーバー プロファイルを選択します。LDAP サーバー プロファイルの作成手順の 詳細は、 『PAN-OS Getting Started Guide (PAN-OS スタート ガイド )』を 参照してください。 更新間隔 ファイアウォールから LDAP ディレクトリ サーバーに接続し、ファイア ウォール ポリシーで使用されるグループへの更新を取得する間隔 (秒) を 指定します ( 範囲は 60 ~ 86,400 秒 )。 Palo Alto Networks ファイアウォールへのユーザー ID の設定識別 • 339 表 190. グループ マッピングのサーバー プロファイル設定(続き) フィールド 内容 Group Objects • 検索フィルタ — 取得および追跡対象グループの管理に使用できる LDAP クエリを指定します。 • オブジェクト クラス — グループの定義を指定します。たとえば、デ フォルトの objectClass=group で取得されるのは、ディレクトリに含ま れていて、グループ フィルタに一致し、objectClass=group が設定され ているすべてのオブジェクトです。 • グループ名 — グループ名を指定する属性を入力します。たとえば、Active Directory の場合、この属性は「CN」( 一般名 ) になります。 • グループ メンバー — このグループのメンバを含む属性を指定します。 たとえば、Active Directory の場合、この属性は「member」になります。 User Objects • 検索フィルタ — 取得および追跡対象ユーザーの管理に使用できる LDAP クエリを指定します。 • オブジェクト クラス — ユーザー オブジェクトの定義を指定します。た とえば、Active Directory の場合、objectClass は「user」になります。 • ユーザー名 — ユーザー名の属性を指定します。たとえば、Active Directory の場合、デフォルトのユーザー名属性は「samAccountName」になり ます。 メール ドメイン ファイアウォールが有害な電子メールに関する WildFire ログを受信する と、ログの電子メール受信者情報が、User-ID によって収集されたユー ザー情報と照合されます。ログにはユーザーへのリンクが含まれます。 このリンクをクリックすると ACC が表示され、ユーザー別にフィルタ リングされます。電子メールが配信リストに送信された場合は、ACC が リストに記載されているメンバー別にフィルタリングされます。 電子メールのヘッダーや User-ID 情報から、電子メールを受信したユー ザーを簡単に識別できるため、電子メール経由で受け取った脅威をすば やく突き止めて阻止できます。 • メール属性 — このフィールドは、LDAP サーバー タイプ (Sun/RFC、 Active Directory、Novell) に基づいて自動的に入力されます。 • ドメイン リスト — 最大 255 文字のカンマ区切りリストを使用して、組 織の電子メール ドメインのリストを入力します。 有効 グループ マッピングでこのサーバー プロファイルを有効にするには、こ のチェック ボックスをオンにします。 [ 許可リストのグループ化 ] サブタブ [ 許可リストのグループ化 ] サブタブを使用して、セキュリティ ポリシーの作成時に表示され るグループ数を制限します。LDAP ツリーを参照して、ポリシーで使用するグループを探し ます。含める各グループを [ 使用可能なグループ ] リストで選択し、追加 アイコンをク リックして [ 含まれたグループ ] リストに移動します。グループをリストから削除するには 、アイコンをクリックします。ポリシーで使用できるようにするすべてのグループでこの ステップを繰り返し、[OK] をクリックして含まれたグループのリストを保存します。 340 • ファイアウォールへのユーザー ID の設定識別 Palo Alto Networks [ キャプティブ ポータルの設定 ] タブ [ キャプティブ ポータルの設定 ] タブを使用して、ファイアウォールにキャプティブ ポータル 認証を設定します。User-ID が有効になっていて送信元 IP アドレスにユーザー データが関連 付けられていないゾーンからの要求をファイアウォールが受信した場合、そのキャプティブ ポータル ポリシーで一致をチェックして認証を実行するかどうかを決定します。これは、 Linux クライアントなど、ドメイン サーバーにログインしていないクライアントがある環境 で役立ちます。このユーザー マッピング方法は、セキュリティ ルール / ポリシーに一致し、 別の方法を使用してマッピングされていない Web トラフィック (HTTP または HTTPS) での みトリガーされます。Web ベースではないトラフィック、またはキャプティブ ポータル ポ リシーに一致しないトラフィックの場合、ファイアウォールはユーザー ベースのポリシーの 代わりに IP ベースのセキュリティ ポリシーを使用します。 キャプティブ ポータル設定を指定または編集するには、編集 のフィールドに入力します。 アイコンをクリックし、以下 表 191. キャプティブ ポータルの設定 フィールド 内容 有効 ユーザー ID のキャプティブ ポータル オプションを有効にするには、こ のチェック ボックスをオンにします。 アイドル タイマー ( 分 ) キャプティブ ポータル セッションのユーザー有効期間 ( ユーザー TTL) 設定。このタイマーは、キャプティブ ポータル ユーザーのアクティビ ティが発生するたびにリセットされます。ユーザーがアイドル状態であ る期間がアイドル タイマーを超えると、キャプティブ ポータルのユー ザー マッピングが削除され、ユーザーは再度ログインする必要がありま す (1 ~ 1440 分、デフォルトは 15 分 )。 有効期限 ( 分 ) キャプティブ ポータル セッションのマッピングを保持できる最大期間 ( 最大 TTL)。有効期間が経過すると、マッピングが削除され、セッション がアクティブな場合でもユーザーは再認証が必要になります。このタイ マーは、期限切れのマッピングを防ぐために使用され、ここで設定した 値はアイドル タイムアウトをオーバーライドします。したがって、ベス ト プラクティスとして、有効期限をアイドル タイマーよりも高い値に設 定します ( 範囲は 1 ~ 1440 分、デフォルトは 60 分 )。 ホストのリダイレクト ( リダイレクト モードのみ ) 要求をリダイレクトするレイヤー 3 インター フェイスの IP アドレスに解決するイントラネット ホスト名を指定し ます。 サーバー証明書 ( リダイレクト モードのみ ) ファイアウォールで SSL を介して要求をリダ イレクトするために使用するサーバー証明書を選択します。証明書エ ラーを表示せずにユーザーを透過的にリダイレクトするには、要求をリ ダイレクトする IP アドレスに一致する証明書をインストールします。自 己署名証明書を生成するか、外部 CA によって証明された証明書をイン ポートできます。 注 : [None] を選択した場合、ファイアウォールは SSL 接続にローカルの デフォルト証明書を使用します。 認証プロファイル Palo Alto Networks 認証用 Web フォームにリダイレクトされたユーザーを認証するために 使用する認証プロファイルを選択します。認証に NTLM を使用する場合 でも、NTLM 認証に失敗した場合、またはクライアントやブラウザでサ ポートされていないため NTLM が使用できない場合は、ユーザーを認証 するために認証プロファイルまたは証明書プロファイルのいずれかを設 定する必要があります。 ファイアウォールへのユーザー ID の設定識別 • 341 表 191. キャプティブ ポータルの設定(続き) フィールド 内容 モード 以下のいずれかのモードを選択して、認証で Web 要求がキャプチャされ る方法を定義します。 • メッセージを表示しない — ファイアウォールがキャプティブ ポータル のルールごとにブラウザのトラフィックをインターセプトし、元の宛 先を偽装して HTTP 401 を発行し、認証を起動します。ただし、ファイ アウォールには宛先 URL の実際の証明書がないため、保護されたサイ トへのアクセスを試みるユーザーのブラウザには証明書エラーが表示 されます。したがって、このモードはレイヤー 2 やバーチャル ワイヤー のデプロイメントなど、絶対に必要な場合にのみ使用してください。 • リダイレクト — ファイアウォールは不明な HTTP または HTTPS セッ ションをインターセプトし、認証を実行するために HTTP 302 リダイ レクトを使用してファイアウォールのレイヤー 3 インターフェイスに リダイレクトします。より優れたエンドユーザー体験 ( 証明書エラーな し ) が提供されるため、このモードの使用をお勧めします。ただし、追 加のレイヤー 3 設定が必要です。[ リダイレクト ] モードのもう 1 つの 利点はセッション Cookie を使用できることで、タイムアウトが発生す るたびに再度マッピングする必要なしに、ユーザーが継続して認証済み サイトを閲覧できます。ある IP アドレスから別の IP アドレス ( 企業 LAN から無線ネットワークなど ) にローミングするユーザーは、セッ ションが開かれている限り IP アドレスが変化しても再認証する必要が ないため、このモードが特に役立ちます。さらに、NTLM 認証を使用 する場合、ブラウザは信頼されたサイトにのみ認証情報を提供するた め、[ リダイレクト ] モードを使用する必要があります。 [ リダイレクト ] モードでキャプティブ ポータルを使用するには、 アクティブなポータルをリダイレクトするレイヤー 3 インター フェイスに割り当てられたインターフェイス管理プロファイルの 応答ページを有効にする必要があります。 「インターフェイス管理 プロファイルの定義」および「レイヤー 3 Ethernet インターフェ イスの設定」を参照してください。 セッション Cookie • 有効化 — セッション Cookie を有効にするには、このチェック ボック スをオンにします。このオプションは、[ モード ] で [ リダイレクト ] を 選択した場合にのみ有効です。 • タイムアウト — セッション Cookie が有効になっている場合、このタ イマーで セッション Cookie の有効期間 ( 分 ) を指定します ( 範囲は 60 ~ 10080 分、デフォルトは 1440 分 )。 • ローミング — セッションがアクティブな間に IP アドレスが変化しても Cookie を保持する場合 ( クライアントが有線ネットワークから無線 ネットワークに移動した場合など ) は、このチェック ボックスをオン にします。ユーザーは、Cookie がタイムアウトになった場合またはブ ラウザを閉じた場合にのみ再認証する必要があります。 342 • ファイアウォールへのユーザー ID の設定識別 Palo Alto Networks 表 191. キャプティブ ポータルの設定(続き) フィールド 内容 証明書の認証 証明書プロファイル — キャプティブ ポータル ユーザーの認証に使用す る証明書プロファイルを選択します。このタイプの認証を使用する場合、 キャプティブ ポータルはユーザーを認証するためにブラウザに有効なク ライアント証明書の提示を求めます。この方法を使用するには、各ユー ザー システムのクライアント証明書をプロビジョニングし、ファイア ウォールでそれらの証明書を発行するために使用する信頼された CA 証 明書をインストールする必要があります。これは、Mac OS および Linux クライアントでメッセージを表示しない認証を有効にする唯一の認証方 法です。 NTLM 認証 キャプティブ ポータルが NTLM 認証に設定されている場合、ファイア ウォールは暗号化されたチャレンジ レスポンス機構を使用して、ブラウ ザからユーザーの認証情報を取得します。適切に設定されている場合、 ブラウザはユーザーに入力を求めずに透過的にファイアウォールに認証 情報を提供しますが、必要に応じて認証情報の入力を求めるメッセージ が表示されます。ブラウザが NTLM を実行できない場合、または NTLM 認証に失敗した場合、キャプティブ ポータル設定に応じてファイア ウォールは Web フォームまたはクライアント証明書の認証に戻ります。 デフォルトでは、IE で NTLM がサポートされています。Firefox と Chrome は、NLTM を使用するように設定できます。Windows 以外のク ライアントの認証には NTLM を使用できません。Windows ベースの User-ID エージェントで NTLM を使用するように設定するには、以下を 指定します。 • 試行回数 — NTLM 認証が失敗するまでの試行回数を指定します ( 範囲 は 1 ~ 60、デフォルトは 1)。 • タイムアウト — NTLM 認証がタイムアウトするまでの秒数を指定しま す ( 範囲は 1 ~ 60 秒、デフォルトは 2 秒 )。 • 復帰時間 — エージェントが使用できなくなってから User-ID エージェ ント リストの最初のエージェントに対してファイアウォールが交信を 再試行するまでの時間を指定します ( 範囲は 60 ~ 3600 秒、デフォルト は 300 秒 )。 これらのオプションは、ドメイン サーバーにインストールされた User-ID エージェントにのみ適用されます。デバイス上の UserID エージェントを使用する場合、ファイアウォールがドメインに 参加するには、ファイアウォールでドメイン コントローラの DNS 名を正常に解決できるようにする必要があります。その後、 [ ユーザー マッピング ] タブで NTLM 認証処理を有効にし、ファ イアウォールにドメインに参加する認証情報を提供できます。順 を追った詳細な説明は、 『PAN-OS Getting Started Guide (PAN-OS スタート ガイド )』を参照してください。 Palo Alto Networks ファイアウォールへのユーザー ID の設定識別 • 343 344 • ファイアウォールへのユーザー ID の設定識別 Palo Alto Networks 第8章 IPSec トンネルの設定 このセクションでは、仮想プライベート ネットワーク (VPN) の基本的なテクノロジについて 述べ、Palo Alto Networks ファイアウォールで IP Security (IPSec) VPN を設定する方法につ いて詳しく説明します。 以下のトピックを参照してください。 • IKE ゲートウェイの定義 • IPSec トンネルのセットアップ • IKE 暗号プロファイルの定義 • IPSec 暗号プロファイルの定義 IKE ゲートウェイの定義 [Network] > [ ネットワーク プロファイル ] > [IKE ゲートウェイ ] ピア ゲートウェイとの IKE プロトコル ネゴシエーションを実行するのに必要な設定情報な ど、ゲートウェイを定義するには、このページを使用します。 IKE ゲートウェイを設定するには、以下の 2 つのタブを使用します。 • IKE ゲートウェイの [ 全般 ] タブ • IKE ゲートウェイの [ 詳細フェーズ 1 のオプション ] タブ Palo Alto Networks IPSec トンネルの設定 • 345 IKE ゲートウェイの [ 全般 ] タブ 表 192. IKE ゲートウェイの一般設定 フィールド 内容 名前 ゲートウェイを識別する名前を入力します ( 最大 31 文字 )。名前の大文 字と小文字は区別されます。また、一意の名前にする必要があります。 文字、数字、スペース、ハイフン、およびアンダースコアのみを使用し てください。 インターフェイス 出力ファイアウォール インターフェイスを選択します。 ローカル IP アドレス トンネルのエンドポイントとなるローカル インターフェイスの IP アド レスを選択します。 ピア IP タイプ トンネルの反対側の終端にあるピアのスタティック IP アドレスまたはダ イナミック オプション。 ピア IP アドレス ピア タイプに [ スタティック ] オプションが選択されている場合、トンネ ルの遠端のピアに IP アドレスを指定します。 事前共有鍵 トンネル間の認証に使用されるセキュリティ キーを入力します。静的お よび動的ピア タイプに適用されます。 再入力 事前共有鍵 IKE ゲートウェイの [ 詳細フェーズ 1 のオプション ] タブ 表 193. IKE ゲートウェイの一般設定 フィールド 内容 ローカル ID IP アドレス、FQDN ( ホスト名 )、ユーザー FQDN ( 電子メール アドレス )、 KEYID (16 進数のバイナリ形式 ID 文字列 ) のいずれかのタイプを選択し ます。値を指定しないと、ローカル IP アドレスがローカル ID の値とし て使用されます。 ピア ID IP アドレス、FQDN ( ホスト名 )、ユーザー FQDN ( 電子メール アドレス )、 KEYID (16 進数のバイナリ形式 ID 文字列 ) のいずれかのタイプを選択し ます。値を指定しないと、ピア IP アドレスがピア ID の値として使用さ れます。 交換モード [ 自動 ]、[ アグレッシブ ]、[ メイン ] のいずれかを選択します。 IKE 暗号プロファイル 既存のプロファイルを選択するか、デフォルトのプロファイルを使用し ます。 パッシブ モードを 有効にする IKE 接続のみにファイアウォールが応答し、開始しないように選択します。 NAT トラバーサルを 有効にする IKE および UDP プロトコルで UDP カプセル化が使用され、中間 NAT デバイスを通過できるように選択します。 NAT アドレスが IPSec VPN 端点の間に存在するときに NAT トラバーサ ルが使用されます。 346 • IPSec トンネルの設定 Palo Alto Networks 表 193. IKE ゲートウェイの一般設定(続き) フィールド 内容 デッドピア検出 (DPD) 有効にするには、このチェック ボックスをオンにし、間隔 (2 ~ 100 秒 ) と再試行までの遅延時間 (2 ~ 100 秒 ) を入力します。デッドピア検知 (DPD) は、ICMP ping を使用して非アクティブまたは使用不能な IKE ピ アを識別します。ピアが使用不能になった場合の失われたリソースの復 元に役立ちます。 デバイスが auto の鍵交換モードを使用するように設定されている場合、 main モードと aggressive モードの両方のネゴシエーション要求を受け入 れることができますが、可能な場合は常にネゴシエーションを開始して main モードで鍵交換ができるようにします。 ピア デバイスは一致する鍵交換モードで設定し、最初のデバイスから開始 されたネゴシエーション リクエストを受け入れられるようにする必要が あります。 IPSec トンネルのセットアップ [Network] > [IPSec トンネル ] ファイアウォール間で IPSec VPN トンネルを確立するためのパラメータをセットアップする には、[IPSec トンネル ] ページを使用します。 IPSec トンネルを設定するには、以下の 2 つのタブを使用します。 • IPSec トンネルの [ 全般 ] タブ • IPSec トンネルの [ プロキシ ID] タブ IPSec トンネルの状態を表示する方法については、以下を参照してください。 • ファイアウォールの IPSec トンネル状態の表示 IPSec トンネルの [ 全般 ] タブ 表 194. IPSec トンネルの [ 全般 ] タブ設定 フィールド 内容 名前 トンネルを識別する名前を入力します ( 最大 63 文字 )。名前の大文字と小 文字は区別されます。また、一意の名前にする必要があります。文字、数 字、スペース、ハイフン、およびアンダースコアのみを使用してください。 このフィールドの制限文字数は 63 で、これには、コロンで区切られてい るプロキシ ID に加えて、トンネル名が含まれます。 トンネル インターフェイス Palo Alto Networks 既存のトンネル インターフェイスを選択するか、[ 新規トンネル イン ターフェイス ] をクリックして新しいトンネル インターフェイスを作成 します。トンネル インターフェイスの作成の詳細は、 「トンネル インター フェイスの設定」を参照してください。 IPSec トンネルの設定 • 347 表 194. IPSec トンネルの [ 全般 ] タブ設定(続き) フィールド 内容 タイプ 自動的に生成されるセキュリティ キーを使用するのか、手動で入力する セキュリティ キーを使用するのかを選択します。[ 自動キー ] を使用する ことをお勧めします。 自動キー [ 自動キー ] を選択する場合、以下の内容を指定します。 • IKE ゲートウェイ — IKE ゲートウェイの設定の詳細は、 「IKE ゲート ウェイの定義」を参照してください。 • IPSec 暗号プロファイル — 既存のプロファイルを選択するか、デフォ ルトのプロファイルを使用します。新しいプロファイルを定義するに は、[ 新規 ] をクリックして「IPSec 暗号プロファイルの定義」の手順を 実行します。 詳細 • リプレイ プロテクションを有効にする — リプレイ攻撃から保護するに は、このオプションを選択します。 • TOS ヘッダーのコピー — 元の TOS 情報を保持するため、カプセル化 されたパケットの内部 IP ヘッダーから外部 IP ヘッダーに TOS (Type of Service) ヘッダーをコピーします。 • トンネル モニター — デバイス管理者にトンネルの障害についてアラー トを送信し、別のインターフェイスへの自動フェイルオーバーを実行す るには、このオプションを選択します。モニタニングする場合は、トン ネル インターフェイスに IP アドレスを割り当てる必要があります。 – 宛先 IP — トンネルが正常に動作しているかどうかを判別するために トンネル モニターが使用する、トンネルの反対側の IP アドレスを指 定します。 – プロファイル — トンネルで障害が発生した場合に実行されるアクショ ンを決める、既存のプロファイルを選択します。モニター プロファ イルで指定されているアクションが待機 / 回復の場合、ファイア ウォールは、そのトンネルがアクティブのままであるかのように、 ルーティングの決定でそのトンネル インターフェイスを使用し続け ます。フェイルオーバー アクションを使用する場合、ファイア ウォールは、そのトンネル インターフェイスを無効にすることに よって、そのインターフェイスを使用するルーティング テーブルの すべてのルートを無効にします。詳細は、 「モニター プロファイルの 定義」を参照してください。 348 • IPSec トンネルの設定 Palo Alto Networks 表 194. IPSec トンネルの [ 全般 ] タブ設定(続き) フィールド 内容 手動キー [ 手動キー ] を選択する場合、以下の内容を指定します。 • ローカル SPI — ローカル ファイアウォールからピアへのパケット ト ラバーサルのローカル セキュリティ パラメータ インデックス (SPI) を 指定します。SPI は、IPSec トラフィック フローの区別を支援するため に IPSec トンネルのヘッダーに追加されている 16 進インデックスです。 • インターフェイス — トンネルの終端であるインターフェイスを選択し ます。 • ローカル アドレス — トンネルの終端となるローカル インターフェイス の IP アドレスを選択します。 • リモート SPI — リモート ファイアウォールからピアへのパケット ト ラバーサルのリモート セキュリティ パラメータ インデックス (SPI) を 指定します。 • プロトコル — トンネルを経由するトラフィックのプロトコルを選択し ます (ESP または AH)。 • 認証 — トンネル アクセスの認証タイプを選択します (SHA1、SHA256、 SHA384、SHA512、MD5、または なし )。 • キー / 再入力 キー — 認証鍵を入力して確認します。 • 暗号化 — トンネル トラフィックの暗号化オプションを選択します (3des、 aes128、aes192、aes256、aes128ccm16、または null ( 暗号化なし ))。 • キー / 再入力 キー — 暗号化鍵を入力して確認します。 Palo Alto Networks IPSec トンネルの設定 • 349 表 194. IPSec トンネルの [ 全般 ] タブ設定(続き) フィールド 内容 GlobalProtect サテライト [GlobalProtect サテライト ] を選択する場合は、以下の設定項目を指定 します。 • 名前 — トンネルを識別する名前を入力します ( 最大 31 文字 )。名前の 大文字と小文字は区別されます。また、一意の名前にする必要があり ます。文字、数字、スペース、ハイフン、およびアンダースコアのみを 使用してください。 • トンネル インターフェイス — 既存のトンネル インターフェイスを選択 するか、[ 新規トンネル インターフェイス ] をクリックします。 • ポータル アドレス — GlobalProtect ポータルの IP アドレスを入力し ます。 • インターフェイス — ドロップダウンから、GlobalProtect ポータルに到 達するための出力インターフェイスを選択します。 • ローカル IP アドレス — GlobalProtect ポータルに接続する出力イン ターフェイスの IP アドレスを入力します。 詳細オプション • 静的なすべての接続済みルートをゲートウェイに公開 — サテライト デ バイスから、このサテライトが接続されている GlobalProtect ゲート ウェイにすべてのルートを公開するには、このオプションを選択します。 • サブネット — [ 追加 ] をクリックして、サテライトの場所のローカル サブネットを手動で追加します。他のサテライトが同じサブネット情 報を使用している場合は、すべてのトラフィックをそのトンネル イン ターフェイス IP に NAT を行う必要があります。また、この場合はサテ ライトがルートを共有することはできないため、すべてのルーティング はトンネル IP を介して行われます。 • 外部認証局 — 外部 CA を使用して証明書を管理する場合は、このオプ ションを選択します。証明書を生成した後は、それらの証明書をデバイ スにインポートし、使用する [ ローカル証明書 ] および [ 証明書プロ ファイル ] を選択することが必要になります。 350 • IPSec トンネルの設定 Palo Alto Networks IPSec トンネルの [ プロキシ ID] タブ 表 195. IPSec トンネルの [ 全般 ] タブ設定 フィールド 内容 プロキシ ID [ 追加 ] をクリックし、プロキシを識別する名前を入力します。 ローカル ip_address/mask の形式 ( たとえば、10.1.2.1/24) で IP アドレスま たはサブネットを入力します。 リモート ピアで必要な場合に、IP アドレスまたはサブネットを ip_address/mask の 形式 ( 例 : 10.1.1.1/24) で入力します。 プロトコル ローカルおよびリモート ポートのプロトコルとポート番号を指定します。 • 番号 — プロトコル番号 ( サードパーティ デバイスとの相互運用性を実 現するために使用 ) を指定します。 • any — TCP や UDP トラフィックを許可します。 • TCP — ローカルおよびリモートの TCP ポート番号を指定します。 • UDP — ローカルおよびリモートの UDP ポート番号を指定します。 設定された各プロキシ ID は、ファイアウォールの IPSec VPN ト ンネル容量に影響しません。 ファイアウォールの IPSec トンネル状態の表示 [Network] > [IPSec トンネル ] 現在定義されている IPSec VPN トンネルの状態を表示するには、[IPSec トンネル ] ページを 開きます。このページには、以下の状態情報が表示されます。 • トンネルの状態 ( 最初の [ 状態 ] 列 ) — 緑は、IPSec SA トンネルを表します。赤は、IPSec SA が使用できないか、有効期限が切れていることを表します。 • IKE ゲートウェイの状態 — 緑は、有効な IKE フェーズ 1 SA であることを表します。赤 は、IKE フェーズ 1 SA が使用できないか、有効期限が切れていることを表します。 • トンネル インターフェイスの状態 — 緑は、トンネル インターフェイスがアップしてい る ( トンネル モニターが無効になっているか、トンネル モニターの状態がアップである ため ) ことを表します。赤は、トンネル インターフェイスがダウンしている ( トンネル モニターが有効になっていて状態がダウンであるため ) ことを表します。 Palo Alto Networks IPSec トンネルの設定 • 351 IKE 暗号プロファイルの定義 [Network] > [ ネットワーク プロファイル ] > [IKE 暗号 ] IPSec SA ネゴシエーション (IKEv1 フェーズ 1) に基づいて、VPN トンネルでの識別、認証、 および暗号化のプロトコルとアルゴリズムを指定するには、[IKE 暗号プロファイル ] ページ を使用します。 アルゴリズムまたはグループのリスト順序を変更するには、項目を選択して、[ 上へ ] または [ 下へ ] アイコンをクリックします。この順序によって、リモート ピアと設定をネゴシエート するときに最初に選択される設定が決まります。リストの 1 番上にある設定から試行され、 成功するまでその下にある設定が順次試行されていきます。 表 196. IKE 暗号プロファイル設定 フィールド 内容 DH グループ DH (Diffie-Hellman) グループの優先度を選択します。[ 追加 ] をクリック してグループを選択します。セキュリティを最大限に高めるため、項目 を選択し、[ 上へ ] または [ 下へ ] アイコンをクリックして、数値 ID が高 いほうのグループがリストの上位になるように移動します。たとえば、 group14 を group2 よりも上に移動します。 認証 ハッシュ アルゴリズムの優先度を指定します。[ 追加 ] をクリックしてア ルゴリズム (md5、sha1、sha256、sha384、または sha512) を選択します。 セキュリティ レベルを最も高くするには、矢印を使用して sha1 をリス トの最上位に移動します。 暗号化 目的の Encapsulating Security Payload (ESP) 認証オプションのチェック ボックスをオンにします。[ 追加 ] をクリックしてアルゴリズム (aes256、 aes192、aes128、または 3des) を選択します。セキュリティを最大限に高 めるため、項目を選択し、[ 上へ ] または [ 下へ ] アイコンをクリックし て、順序を aes256、aes192、aes128、3des の順に変更します。 ライフタイム 単位を選択し、ネゴシエートされた鍵の有効期間を入力します。 352 • IPSec トンネルの設定 Palo Alto Networks IPSec 暗号プロファイルの定義 [Network] > [ ネットワーク プロファイル ] > [IPSec 暗号 ] IPSec SA ネゴシエーション (IKEv1 フェーズ 1) に基づいて、VPN トンネルでの識別、認証、 および暗号化のプロトコルとアルゴリズムを指定するには、[IPSec 暗号プロファイル ] ペー ジを使用します。 表 197. IPSec 暗号プロファイル設定 フィールド 内容 名前 プロファイルの識別に使用する名前を入力します ( 最大 31 文字 )。名前 の大文字と小文字は区別されます。また、一意の名前にする必要があり ます。文字、数字、スペース、ハイフン、およびアンダースコアのみを 使用してください。 IPSec プロトコル ドロップダウン リストからオプションを選択します。 ESP: • [Encryption] の下の [ 追加 ] をクリックして目的の ESP 暗号化アルゴリ ズムを選択します。セキュリティを最も強化するには、矢印を使用し て、3des、aes128、aes192、aes256、または aes128ccm16 の順に順序を 変更します。 • [ 認証 ] の下の [ 追加 ] をクリックして目的の ESP 認証アルゴリズム (md5、sha1、sha256、sha384、sha512、または「なし」) を選択します。 AH: • [ 認証] の下の[追加] をクリックして目的の AH 認証アルゴリズム (md5、 sha1、sha256、sha384、または sha512) を選択します。 DH グループ DH グループを選択します。セキュリティを最も強化するには、識別子が 最も大きいグループを選択します。 ライフタイム 単位を選択し、ネゴシエートされた鍵の有効期間を入力します。デフォ ルトは 1 時間です。 ライフサイズ 任意の単位を選択し、鍵が暗号化に使用できるデータ サイズを入力し ます。 アルゴリズムまたはグループのリスト順序を変更するには、項目を選択し、[ 上へ ] または [ 下へ ] アイコンをクリックして、順序を変更します。表示されている順序でアルゴリズムが 適用されるため、この順序はトンネルのパフォーマンスに影響する可能性があります。 Palo Alto Networks IPSec トンネルの設定 • 353 354 • IPSec トンネルの設定 Palo Alto Networks 第9章 GlobalProtect の設定 GlobalProtect ポータルのセットアップ [Network] > [GlobalProtect] > [ ポータル ] このページを使用して、GlobalProtect ポータル設定をセットアップし、管理します。この ポータルは、GlobalProtect インフラストラクチャの管理機能を提供します。GlobalProtect ネットワークに参加するすべてのクライアント システムは、ポータルから設定情報を受信し ます。これには、使用可能なゲートウェイ、ゲートウェイへの接続に必要になる可能性のあ るクライアント証明書などの情報が含まれます。さらに、ポータルは、Mac と Windows 両 方のノートパソコンに対する GlobalProtect エージェント ソフトウェアの動作と配布を制御 します ( モバイル デバイスの場合、GlobalProtect アプリケーションは、iOS デバイスへは Apple App Store、Android デバイスへは Google Play から配布されます )。 ポータル設定を追加するには、[ 追加 ] をクリックして [GlobalProtect ポータル ] ダイアログ を開きます。ダイアログの各タブに含まれるフィールドの詳細は、以下のセクションを参照 してください。 • [ ポータル設定 ] タブ • [ クライアントの設定 ] タブ • [ サテライト設定 ] タブ ポータルのセットアップ手順の詳細は、 『GlobalProtect Administrator’s Guide (GlobalProtect 管理者ガイド )』の「Configure a GlobalProtect Portal (GlobalProtect ポータルの設定 )」を参 照してください。 [ ポータル設定 ] タブ [ ポータル設定 ] タブを使用して、ネットワーク設定を定義してエージェントがポータルに接 続できるようにし、ポータルがエンド クライアントを認証する方法を指定します。 さらに、このタブを使用し、必要に応じてカスタムの GlobalProtect ポータル ログイン ペー ジとヘルプ ページを指定できます。こうしたカスタム ページを作成およびインポートする 方 法 の 詳 細 は、『GlobalProtect Administrator’s Guide (GlobalProtect 管 理 者 ガ イ ド )』の 「Customize the Portal Login, Welcome, and Help Pages ( ポータル ログイン ページ、ウェル カム ページ、ヘルプ ページのカスタマイズ )」を参照してください。 Palo Alto Networks GlobalProtect の設定 • 355 表 198. GlobalProtect ポータルの設定 フィールド 内容 名前 ポータルの名前を入力します ( 最大 31 文字 )。名前の大文字と小文字は 区別されます。また、一意の名前にする必要があります。文字、数字、ス ペース、ハイフン、およびアンダースコアのみを使用してください。 場所 マルチ仮想システム オプションが有効な場合は、仮想システムを選択し ます。 ネットワーク設定 インターフェイス リモートのクライアント / ファイアウォールで入力として使用される ファイアウォール インターフェイスを選択します。 IP アドレス GlobalProtect ポータル Web サービスが実行される IP アドレスを指定し ます。 サーバー証明書 GlobalProtect ポータルに使用する SSL サーバー証明書を選択します。証 明書の共通名 (CN) フィールドと、該当する場合は、サブジェクト代替名 (SAN) フィールドが、選択したインターフェイスの IP アドレスまたは完 全修飾ドメイン名 (FQDN) と完全に一致する必要があります。 GlobalProtect の VRN 設定では、信頼できるサードパーティ CA の証明 書または内部のエンタープライズ CA が生成した証明書を使用すること をお勧めします。サーバー証明書をまだ生成 / インポートしていない場 合は、証明書を生成するか ( すでに自己署名用のルート CA 証明書を作 成している場合 )、外部の CA から証明書をインポートできます。 認証 認証プロファイル ポータルにアクセスするクライアント / サテライトを認証するための認 証プロファイルを選択します。LSVPN を設定している場合は、認証プロ ファイルを選択しない限り、設定を保存できません。シリアル番号を使 用してサテライトを認証する予定であっても、このポータルでは、シリ アル番号が見つからない場合または検証できない場合にフォールバック する認証プロファイルが必要です。 「認証プロファイルのセットアップ」を参照してください。 認証メッセージ ポータルへのログインにどの認証情報を使用するかをエンド ユーザーに 説明するメッセージを入力するか、デフォルトのメッセージを使用しま す。メッセージの最大長は 50 文字です。 クライアント証明書 (任意) SSL 相互認証を使用する予定の場合は、クライアントがゲートウェ イに提示する証明書を選択します。このクライアント証明書は、エー ジェントの対応するクライアント設定に別のクライアント証明書が含ま れていない限り、ポータルで正常に認証されたすべてのエージェントに 配布されます。内部 CA を使用して証明書をクライアントに配布する場 合、このフィールドは空白のまま残します。 証明書プロファイル ( 任意 ) ポータルでユーザーを認証するために使用する証明書プロファイ ルを選択します。エンド ポイントに、内部の公開鍵インフラストラク チャ (PKI) を使用して事前にデプロイされたクライアント証明書がすで にある場合のみ、このオプションを使用します。 356 • GlobalProtect の設定 Palo Alto Networks 表 198. GlobalProtect ポータルの設定(続き) フィールド 内容 Appearance ログイン ページを 無効にする Web ブラウザから GlobalProtect ポータルのログイン ページへのアクセ スを無効にする場合は、このオプションを選択します。 カスタム ログイン ページ ユーザーがポータルにアクセスするための、オプションのカスタム ログ イン ページを選択します。 カスタム ヘルプ ページ GlobalProtect を使用するユーザーを支援するオプションのカスタム ヘ ルプ ページを選択します。 [ クライアントの設定 ] タブ [ クライアントの設定 ] タブを使用して、正常に接続して認証されたエージェント / アプリ ケーションにポータルがデプロイする GlobalProtect クライアントの設定を定義します。 このタブでは、これらのコンポーネントでエンド クライアントが信頼していないサーバー証 明書が使用されている場合に、エンド クライアントがゲートウェイや GlobalProtect Mobile Security Manager との HTTPS 接続を確立するために必要な信頼されたルート CA 証明書と 中間証明書を自動的にデプロイすることもできます。ここで追加した証明書は、クライアン ト設定を使用してクライアントにプッシュされます。信頼されたルート CA 証明書を追加す るには、[ 追加 ] をクリックしてリストから証明書を選択するか、[ インポート ] をクリックし て証明書を参照し、ファイアウォールにインポートします。 別のクラスのユーザーに異なる設定が必要な場合は、それぞれに対して別個にクライアント 設定を作成できます。ポータルは、ユーザー名 / グループ名やクライアントの OS を使用し て、デプロイするクライアント設定を判別します。セキュリティ ルール評価によって、ポー タルはリストの先頭から一致を検索します。一致が見つかると、ポータルは対応する設定を エージェント / アプリケーションに配信します。そのため、複数のクライアント設定がある 場合、設定を具体的なもの ( つまり、特定のユーザーまたはオペレーティング システムの設 定 ) から汎用的なものへと並べることが重要です。設定を並べるには、[ 上へ ] および [ 下へ ] ボタンを使用します。[ 追加 ] をクリックして、[ 設定 ] ダイアログを開き、新しいクライアン ト 設 定 を 作 成 し ま す。ポ ー タ ル の 設 定 方 法 と ク ラ イ ア ン ト 設 定 の 作 成 方 法 の 詳 細 は、 『GlobalProtect Administrator’s Guide (GlobalProtect 管 理 者 ガ イ ド )』の「Configure the GlobalProtect Portal (GlobalProtect ポータルの設定 )」を参照してください。 [ 設定 ] ダイアログは、以下の表で説明する 5 つのタブで構成されます。 • [ 全般 ] タブ • [ ユーザー / ユーザー グループ ] タブ • [ ゲートウェイ ] タブ • [Agent] タブ • [ データ収集 ] タブ Palo Alto Networks GlobalProtect の設定 • 357 表 199. GlobalProtect ポータルのクライアント設定 フィールド 内容 [ 全般 ] タブ 名前 このクライアント設定を識別する名前を入力します。 シングル サインオンの 使用 GlobalProtect がユーザーの Windows ログイ ン認証情報を使用して GlobalProtect ポータルとゲートウェイに透過的に接続して認証できるよ うにするには、このチェック ボックスをオンにします。ユーザーには、 エージェントの [ 設定 ] タブでユーザー名とパスワードの入力は要求され ません。 設定の間隔更新 ( 時間 ) GlobalProtect エージェント設定を更新する間隔を時間数で指定します ( デフォルト : 24 時間、有効範囲 : 1 ~ 168 時間 )。 認証修飾子 • なし — ポータルは常に指定された認証プロファイルや証明書プロファ イルを使用してエージェントを認証し、認証情報をゲートウェイに送 信します。これがデフォルトの設定です。 • 設定更新のための Cookie 認証 — ポータルに対する Cookie ベースの エージェント認証を許可して、キャッシュされたクライアント設定を 更新できるようにします。 • Cookie 有効期間 ( 日数 ) — このオプションは、[ 認証識別子 ] フィール ドで [ 設定更新のための Cookie 認証 ] を選択した場合にのみ表示され ます。このオプションを使用して、エージェントが設定更新を目的とす るポータルへの認証に Cookie を使用できる日数を指定します。値 0 ( デフォルト ) は、Cookie に期限がないことを示します。 • 外部ゲートウェイ用の別のパスワード — ポータルとゲートウェイが異 なる認証情報を使用していることを示します。ポータル認証が成功し た後、ユーザーにはゲートウェイ パスワードの入力を要求するメッ セージが表示されます。デフォルトでは、ポータルは、エージェントが ポータルへの認証に使用したものと同じパスワードをゲートウェイに 送信します。 • 手動ゲートウェイのみ — このオプションは、[ 認証識別子 ] フィールド で [ 外部ゲートウェイ用の別のパスワード ] を選択した場合にのみ表示 されます。手動ゲートウェイとして設定されている別のゲートウェイ では異なる認証メカニズムを使用できるようにする場合、このチェッ ク ボックスをオンにします。たとえば、あるゲートウェイ セットには 常時接続用の Active Directory 認証情報を使用し、より機密度の高いリ ソースを保護している別のゲートウェイ セットには、2 要素 OTP 認証 など、より強い認証メカニズムを使用することができます。 358 • GlobalProtect の設定 Palo Alto Networks 表 199. GlobalProtect ポータルのクライアント設定(続き) フィールド 内容 接続方式 • On demand — ユーザーが要求に応じて接続を確立できるようにするに は、このオプションを選択します。このオプションでは、ユーザーは 接続を明示的に開始する必要があります。この機能は、主にリモート アクセス接続に使用されます。 • user-logon — このオプションを設定すると、GlobalProtect エージェン トは、ユーザーがコンピュータにログインした後に自動的に接続を確 立します。[ シングル サインオンの使用 ] を選択すると、Windows へ のログインに使用したユーザー名とパスワードが GlobalProtect エー ジェントによってキャプチャされ、認証で使用されます。 • ログオン前 — ユーザーがマシンにログインする前に、エージェントが プリインストールされたマシン証明書を使用して GlobalProtect ゲート ウェイへの認証を受け、VPN トンネルを確立できるようにします。ロ グオン前接続方式を使用する場合、ログオン前を送信元ユーザーとし て指定する GlobalProtect クライアント設定とセキュリティ ポリシー を作成し、DHCP、DNS、Active Directory、アンチウイルスおよびオ ペレーティング システムの更新サービスのような基本サービスのみへ のアクセスを可能にして、ユーザーのログイン プロセスを更に高速化 することができます。この機能を使用するには、独自の公開鍵インフ ラストラクチャ (PKI) を使用して証明書を発行し、エンド ユーザー シ ステムに配布する必要があります。その後で、マシン証明書の発行に使 用したルート CA 証明書をファイアウォール ( ポータルとゲートウェイ の両方 ) にインポートしてから、対応する証明書プロファイルを作成す る必要があります。 クライアント証明書 SSL 相互認証を使用する場合、クライアントがゲートウェイに提示する 証明書を選択します。このクライアント証明書は、このクライアント設 定に一致するすべてのエージェントに配布されます。[ ポータル設定 ] タ ブで指定されたクライアント証明書も存在する場合、代わりにこの証明 書が使用されます。内部 PKI を使用して固有の証明書をエンド ポイント にデプロイしている場合、このフィールドは空白のまま残します。 Mobile Security Manager モバイル デバイス管理に GlobalProtect Mobile Security Manager を使用 している場合、GP-100 アプライアンス上のデバイス チェックイン / 登録 インターフェイスの IP アドレスまたは FQDN を入力します。 登録ポート モバイル デバイスが登録のために GlobalProtect Mobile Security Manager に接続するときに使用するポート番号。デフォルトでは、Mobile Security Manager はポート 443 でリスンします。ベスト プラクティスとして、登 録プロセス中にモバイル デバイス ユーザーにクライアント証明書の入 力を要求するメッセージが表示されないように、この値のままにするこ とをお勧めします ( デフォルト : 443、有効値 : 443、7443、8443)。 Palo Alto Networks GlobalProtect の設定 • 359 表 199. GlobalProtect ポータルのクライアント設定(続き) フィールド 内容 内部ホスト検出 このオプションを指定すると、GlobalProtect は、指定された IP アドレス に対する指定されたホスト名の DNS リバース ルックアップを実行しま す。一致しない場合、GlobalProtect はエンド ポイントが企業ネットワー ク外に存在すると見なし、[ ゲートウェイ ] タブに設定された使用可能な 任意の外部ゲートウェイとのトンネルを確立します。一致した場合、 エージェントは、エンド ポイントがネットワーク内にあると見なし、内 部ゲートウェイ ( 設定されている場合 ) に接続します。この場合、外部 ゲートウェイへの VPN 接続は作成しません。 DNS ルックアップを使用した内部ホスト検出を有効にするには、この チェック ボックスをオンにします。以下を指定します。 • IP アドレス — 内部ホスト検出用の内部 IP アドレスを入力します。 • ホスト名 — 内部ネットワーク内で上記の IP アドレスに解決するホス ト名を入力します。 [ ユーザー / ユーザー グループ ] タブ クライアント設定を適用するユーザー / ユーザー グループまたはクライ アント オペレーティング システム、あるいはその両方を指定します。 • ユーザー / ユーザー グループ — [ 追加 ] をクリックして、この設定を適 用する特定のユーザーまたはユーザー グループをリストから選択しま す ( 表示するユーザーおよびグループのリストに対してグループ マッ ピングが設定されている必要があります )。ログオン前モード ( ユー ザーがシステムにログオンする前 ) のエージェントにデプロイする設 定、または任意のユーザーに適用する設定を作成することもできます。 • OS — エンド システム上で実行されている特定のオペレーティング シ ステムに基づいて設定をデプロイするには、ウィンドウの OS セクショ ンで [ 追加 ] をクリックしてから、該当するオペレーティング システム (Android、iOS、Mac、Windows のいずれか ) を選択します。または、 設定をユーザー / グループのみに基づいてデプロイするには、このセ クションの値を [ いずれか ] のままにします。 [ ゲートウェイ ] タブ カットオフ時間 エージェントがゲートウェイの応答を待機する時間 ( 秒 ) を指定します。 この時間が経過すると、最適な接続先のゲートウェイを判別します。 エージェントは、指定したカットオフ時間内に応答したゲートウェイに のみ接続を試みます。デフォルト値は 5 です。値 0 は、カットオフ時間 がないことを示し、エージェントは TCP のタイムアウトまで待機します ( 有効範囲 : 0 ~ 10)。 内部ゲートウェイ エージェントが認証され、HIP レポートを提供する内部ファイアウォー ルを指定します。 360 • GlobalProtect の設定 Palo Alto Networks 表 199. GlobalProtect ポータルのクライアント設定(続き) フィールド 内容 外部ゲートウェイ 企業ネットワーク上にない場合に、エージェントがトンネルの確立を試 みるファイアウォールのリストを指定します。[ 追加 ] をクリックし、外 部ゲートウェイごとに以下の情報を入力します。 • 名前 — ゲートウェイを識別するラベル ( 最大 31 文字 ) を入力します。 名前の大文字と小文字は区別されます。また、一意の名前にする必要 があります。文字、数字、スペース、ハイフン、およびアンダースコア のみを使用してください。 • アドレス — ゲートウェイが設定されているファイアウォール インター フェイスの IP アドレスまたは FQDN。この値は、ゲートウェイ サー バー証明書の CN ( および指定されている場合は SAN) フィールドと一 致する必要があります ( たとえば、FQDN を使用して証明書を生成し た場合、ここにも FQDN を入力する必要があります )。 • 優先順位 — エージェントが接続先のゲートウェイを判別しやすいよう に値 ( 最高、高、中、低、最低、手動のみのいずれか ) を選択します。 エージェントはすべてのゲートウェイ ( 優先順位が [ 手動のみ ] の場合 を除く ) に接続し、最も応答が速く、優先順位が高い値を提供するファ イアウォールとのトンネルを確立します。 • 手動 — ユーザーが手動でゲートウェイに接続 ( または切り替え ) できるよ うにする場合は、このチェック ボックスをオンにします。GlobalProtect エージェントは、[ 手動 ] 選択として設定されている外部ゲートウェイ であれば、どのゲートウェイにも接続することができます。新しいゲー トウェイへの接続時には、既存のトンネルが切断され、新しいトンネル が確立されます。手動ゲートウェイでは、プライマリ ゲートウェイと は異なる認証方式を使用することもできます。クライアント システム が再起動された場合や、再検出が実行された場合、GlobalProtect エー ジェントはプライマリ ゲートウェイに接続します。この機能は、ネッ トワークの保護されたセグメントにアクセスするため、特定のゲート ウェイに一時的に接続する必要があるユーザー グループが存在する場 合に役立ちます。 [Agent] タブ このタブの設定では、ユーザーがシステム上にインストールされた GlobalProtect エージェントをどのように操作するかを指定します。作成 したさまざまな GlobalProtect クライアント設定ごとに異なるエージェ ント設定を定義できます。 パスコード / 再入力パス コード エージェントをオーバーライドするためにエンド ユーザーが入力する必 要があるパスコードを入力します。このフィールドは、[ エージェント ユーザーのオーバーライド ] フィールドが [ パスコード付き ] に設定され ている場合にのみ、必須です。 Palo Alto Networks GlobalProtect の設定 • 361 表 199. GlobalProtect ポータルのクライアント設定(続き) フィールド 内容 GlobalProtect の 無 効 化 を許可 以下のオーバーライド オプションを選択します。 • 無効 — エンド ユーザーは GlobalProtect エージェントを無効できません。 • コメント付き — GlobalProtect エージェントを無効にするときに、ユー ザーにコメントの入力を求めるメッセージが表示されます。 • パスコード付き — このオプションを指定すると、ユーザーが GlobalProtect エージェントをオーバーライドするためのパスコードを入力できます。 このオプションを選択した場合は、[ パスコード ] および [ 再入力パス コード ] フィールドにも値を入力する必要があります。エージェント をオーバーライドするには、ユーザーがこの値を入力する必要があり ます。 • チケット付き — このオプションを指定すると、クライアント側で GlobalProtect エージェントの無効化を許可するためのチャレンジ - レ スポンス メカニズムを有効にできます。このオプションが選択された 場合、ユーザーは GlobalProtec を無効にするときにチャレンジのプロ ンプトが表示されます。その後、チャレンジが電話やメールなどの方法 でファイアウォール管理者に伝えられ、管理者はファイアウォール管理 インターフェイスを通じてチャレンジを検証できます。ファイアウォー ルはレスポンスを生成し、それがユーザーに伝えられます。ユーザーは GlobalProtect エージェントからメッセージが表示されたら、そのレス ポンスを入力することで GlobalProtect を無効にすることができます。 このオプションを使用する場合は、[ クライアントの設定 ] タブの最上 位レベルで [GlobalProtect の無効化を許可 キー ] フィールドにチケッ トを復号化するためのキーを入力する必要もあります。 無効にできる最大回数 ユーザーが GlobalProtect を無効にできる最大回数を指定します。この回 数に達すると、ファイアウォールへの正常な接続が必要になります。値 0 ( デフォルト ) は、エージェントのオーバーライドが無制限であることを 示します。 ユーザーはタイムアウト を無効にできる ( 分 ) GlobalProtect がオーバーライド後に無効になる最長時間 ( 分 ) を指定し ます。指定時間が経過した後、エージェントは再接続します。値 0 ( デ フォルト ) は、オーバーライド期間が無制限であることを示します。 エージェントの アップグレード 以下のいずれかのオプションを選択して、GlobalProtect エージェント ソ フトウェアのダウンロード / アップグレードを行う方法を指定します。 • 無効 — ユーザーはエージェントをアップグレードできません。 • 手動 — ユーザーは手動でアップグレードがあるか確認し、エージェン トの [ バージョン チェック ] オプションを選択してアップグレードを開 始できます。 • メッセージを表示 (Prompt) — ファイアウォールで新しいエージェント バージョンがアクティブ化されたら常にエンド ユーザーにアップグレー ドを要求するメッセージを表示します。これがデフォルトの設定です。 • メッセージを表示しない (transparent) — ポータルで新しいバージョン が使用可能になったら常にエージェント ソフトウェアを自動的にアッ プグレードします。 ウェルカム ページ 362 • GlobalProtect の設定 GlobalProtect に正常に接続したらエンド ユーザーに表示されるウェル カム ページを選択します。[ 出荷時のデフォルト ] ページを選択するか、 カスタム ページをインポートできます。デフォルトでは、このフィール ドは [ なし ] になっています。 Palo Alto Networks 表 199. GlobalProtect ポータルのクライアント設定(続き) フィールド 内容 サードパーティ VPN [ 追加 ] をクリックして、エンド ポイント上に存在する可能性があるサー ドパーティ リモート アクセス VPN クライアントのリストを追加しま す。設定されている場合、GlobalProtect はこれらの VPN クライアント とそのルート設定を無視して、干渉したり、衝突しないようにします。 詳細ビューの有効化 クライアント側のユーザー インターフェイスを基本的な最小限のビュー に制限するには、このチェック ボックスをオフにします。デフォルトで は、詳細ビュー設定が有効になっています。 GlobalProtect アイコン を表示 クライアント システムで GlobalProtect アイコンを非表示にするには、 このチェック ボックスをオフにします。非表示にすると、ユーザーは、 パスワードの変更、ネットワークの再検出、ホスト情報の再送信、トラ ブルシューティング情報の表示、要求時接続の実行など、他のタスクを 実行できません。ただし、HIP 通知メッセージ、ログイン プロンプト、 証明書ダイアログは、エンド ユーザーの操作に必要であれば、引き続き 表示されます。 ポータル アドレスの 変更をユーザーに 許可する このチェック ボックスをオフにすると、GlobalProtect エージェントの [ 設定 ] タブの [ ポータル ] フィールドが無効になります。 その場合、ユーザーは接続先のポータルを指定できなくなるため、 デフォルトのポータル アドレスを Windows レジストリ (HKEY_LOCAL_MACHINE¥SOFTWARE¥Palo Alto Networks¥ GlobalProtect¥PanSetup にキー Portal を指定 ) または Mac plist (/Library/Preferences/com. paloaltonetworks.GlobalProtect. pansetup.plist にキー Portal を指定 ) に指定する必要があります。 パスワードの保存を許可 ユーザーがパスワードをエージェントに保存できないようにするには、 このチェック ボックスをオフにします ( ユーザーが接続するたびに、ク ライアントを介して透過的に、または手動入力によって、強制的にパス ワードを指定させます )。 [ ネットワークの再検出 ] オプションを有効にする ユーザーが手動でネットワークの再検出を実行できないようにするに は、このチェック ボックスをオフにします。 [ ホスト プロファイルの 再送信 ] オプションを 有効にする ユーザーが手動で最新 HIP の再送信をトリガーできないようにするに は、このチェック ボックスをオフにします。 ポータル サーバー証明 書が無効な場合に続行を 許可 ポータル証明書が無効な場合に、エージェントがポータルとの接続を確 立できないようにするには、このチェック ボックスをオフにします。 [ データ収集 ] タブ このサブタブを使用して、エージェントが HIP レポートでクライアント から収集するデータを定義します。 最大待機時間 エージェントが HIP データを検索する時間を指定します。この時間が経 過すると、使用可能な情報が送信されます ( 範囲は 10 ~ 60 秒、デフォ ルトは 20 秒 )。 カテゴリの除外 このサブタブを使用して、HIP データ収集の対象ではないホスト情報カ テゴリを定義します。HIP コレクションから除外する [ カテゴリ ] を選択 します。カテゴリを選択したら、必要に応じて [ 追加 ] をクリックし、特 定の [ ベンダー ] を選択して、除外対象を絞り込みます。ダイアログの [ 製品 ] セクションで [ 追加 ] をクリックし、ベンダーから製品を選択しま す。[OK] をクリックして、設定を保存します。 Palo Alto Networks GlobalProtect の設定 • 363 表 199. GlobalProtect ポータルのクライアント設定(続き) フィールド 内容 カスタム チェック このサブタブを使用して、エージェントで収集するカスタム ホスト情報 を定義します。たとえば、HIP オブジェクト作成対象の [ ベンダー ] リス トや [ 製品 ] リストに含まれていない必須アプリケーションがある場合、 カスタム チェックを作成して、アプリケーションがインストールされて いるか ( 対応するレジストリ キーまたは plist キーがある )、実行中か ( 対 応する実行中プロセスがある ) を判定できるようにします。 • Windows — [ 追加 ] をクリックして、特定のレジストリ キーやキー値 のチェックを追加します。 • Mac — [ 追加 ] をクリックして、特定の plist やキー値のチェックを追 加します。 • プロセス リスト — [ 追加 ] をクリックして、エンド ユーザー システム で実行されているかどうかをチェックするプロセスのリストを指定し ます。たとえば、ソフトウェア アプリケーションが実行しているかど うかを判別するには、実行可能ファイルの名前をプロセス リストに追 加します。[ プロセス リスト ] を [Windows] タブまたは [Mac] タブに 追加できます。 [ サテライト設定 ] タブ サテライト デバイスとは、GlobalProtect エージェントとして機能して GlobalProtect ゲート ウェイへの VPN 接続を確立できるようにする、Palo Alto Networks ファイアウォール ( 通常 は支社に設置 ) です。GlobalProtect エージェントと同様に、サテライトは、初期設定をポー タルから受信します。これには、すべての設定済みゲートウェイに接続して VPN 接続を確立 できるようにする証明書と VPN 設定ルーティング情報が含まれます。 支社ファイアウォールに GlobalProtect サテライト設定を定義する前に、まず WAN 接続との インターフェイスを設定し、セキュリティ ゾーンとポリシーをセットアップして支社 LAN が インターネットと通信できるようにします。その後、以下の表に示すように、GlobalProtect サテライト設定をポータルに設定できます。 表 200. GlobalProtect ポータルのサテライト設定 フィールド 内容 [ 全般 ] サブタブ [ 追加 ] をクリックしてサブタブを表示し、[GlobalProtect サテライト ] > [ 全般 ] サブタブで以下を指定します。 • 名前 — GlobalProtect サテライト デバイス プロファイルを識別する名 前を入力します。 • 設定の更新間隔 ( 時間 ) — サテライト デバイスが設定の更新があるかど うかについてポータルを調べる間隔を指定します ( デフォルトで 24 時 間、1 ~ 48 時間の範囲 )。 [ デバイス ] サブタブ 364 • GlobalProtect の設定 [ 追加 ] をクリックし、デバイスのシリアル番号を使用してサテライト デ バイスを手動で追加します。このオプションを使用する場合は、サテラ イト デバイスが最初に接続して認証証明書と初期設定を受信するとき に、ユーザー ログイン プロンプトが不要になります。サテライト デバ イスの認証後、[ 名前 ] ( ホスト名 ) がポータルに自動的に追加されます。 Palo Alto Networks 表 200. GlobalProtect ポータルのサテライト設定(続き) フィールド 内容 [ 登録ユーザー / 登録ユーザー グループ ] サブタブ ポータルは [ 登録ユーザー / 登録ユーザー グループ ] 設定または [ デバイ ス ] シリアル番号を使用してサテライトと設定を照合します。 以下のようにサテライト設定の一致基準を指定します。 • この設定を特定のシリアル番号を持つサテライト デバイスに制限する には、[ デバイス ] タブを選択して [ 追加 ] をクリックし、シリアル番号 を入力します(サテライト ホスト名はサテライトが接続したときに自 動的に追加されるため、入力する必要はありません)。この設定を受信 するサテライトごとにこの手順を繰り返します。 • [ 登録ユーザー/ 登録ユーザー グループ ] タブを選択して [ 追加 ] をクリッ クし、この設定を受信するユーザーまたはグループを選択します。シリ アル番号に一致しないサテライトは、ここで指定したユーザー(個人 ユーザーまたはグループ メンバー)として認証する必要があります。 注 : 設定を特定のグループに制限するには、グループ マッピングを有効 にしておく必要があります。 [ゲートウェイ] サブタブ [ 追加 ] をクリックして、この設定のサテライトが IPSec トンネルを確立 できるゲートウェイの IP アドレスまたはホスト名を入力します。ゲート ウェイを設定するインターフェイスの FQDN または IP アドレスを [ ゲー トウェイ ] フィールドに入力します。 (任意)設定に 2 つ以上のゲートウェイを追加している場合、[ ルーター の優先順位 ] を使用するとサテライトが優先するゲートウェイを選択で きます。1 ~ 25 の範囲で値を入力します。小さい数値の方が優先順位が 高くなります(つまり、すべてのゲートウェイが使用できる場合、サテ ライトが接続するゲートウェイとなります)。サテライトは、ルーティン グ メトリックを算出するためにルーティングの優先順位を 10 倍します。 注 : ゲートウェイによって公開されたルートはスタティック ルートとし てサテライトにインストールされます。スタティック ルートのメトリッ クは、ルーティングの優先順位の 10 倍です。複数のゲートウェイがある 場合、必ずルーティングの優先順位も設定して、バックアップ ゲート ウェイによって通知されるルートがプライマリ ゲートウェイによって通 知される同じルートよりも高いメトリックになるようにしてください。 たとえば、プライマリ ゲートウェイとバックアップ ゲートウェイのルー ターの優先順位をそれぞれ 1 と 10 に設定した場合、サテライトは 10 を プライマリ ゲートウェイのメトリックとして使用し、100 をバックアッ プ ゲートウェイのメトリックとして使用します。 また、[ 静的なすべての接続済みルートをゲートウェイに公開] ([Network] > [IPSec トンネル ] > [ 詳細 ] タブでそのサテライトについて設定 ) オプショ ンが選択されている場合、サテライトはネットワークおよびルーティン グ情報もゲートウェイと共有します。詳細については、「GlobalProtect サテライト」を参照してください。 信頼されたルート CA [ 追加 ] をクリックしてからゲートウェイ サーバー証明書を発行するため に使用する CA 証明書を選択します。すべてのゲートウェイで同じ発行 者を使用することをお勧めします。 注 : ゲートウェイ サーバー証明書を発行するために使用するルート CA 証明書がポータルにない場合、ここでインポートできます。 Palo Alto Networks GlobalProtect の設定 • 365 表 200. GlobalProtect ポータルのサテライト設定(続き) フィールド 内容 証明書の発行 認証に成功したときにポータルが証明書をサテライトに発行するために 使用するルート CA 証明書を選択します。 有効期間 ( 日 ) 発行される GlobalProtect サテライト証明書の有効期間 ( デフォルトで 7 日間、7 ~ 365 日の範囲 ) を指定します。 証明書の更新期間 ( 日 ) GlobalProtect サテライト証明書の更新期間 ( デフォルトで 3 日、3 ~ 30 日の範囲 ) を指定します。これにより、証明書の更新頻度が決まります。 OCSP レスポンダ ポータルおよびゲートウェイが提示した証明書の無効状態を検証するた めに使用するサテライトの OCSP レスポンダを選択します。 GlobalProtect ゲートウェイのセットアップ [Network] > [GlobalProtect] > [ ゲートウェイ ] このページを使用して、GlobalProtect ゲートウェイを設定します。ゲートウェイを使用して、 GlobalProtect エージェント / アプリケーションまたは GlobalProtect サテライト デバイスに VPN 接続を提供できます。 ゲートウェイ設定を追加するには、[ 追加 ] をクリックして [GlobalProtect ポータル ] ダイア ログを開きます。ダイアログの各タブに含まれるフィールドの詳細は、以下のセクションを 参照してください。 • [ 全般 ] タブ • [ クライアントの設定 ] タブ • [ サテライト設定 ] タブ ゲートウェイのセットアップ手順の詳細は、 『GlobalProtect Administrator’s Guide (GlobalProtect 管理者ガイド )』の「Configure a GlobalProtect Gateway (GlobalProtect ゲートウェイの設定 )」 を参照してください。 366 • GlobalProtect の設定 Palo Alto Networks [ 全般 ] タブ [ 全般 ] タブを使用して、エージェント / アプリケーションが接続するゲートウェイ インター フェイスを定義し、ゲートウェイがエンド クライアントを認証する方法を指定します。 表 201. GlobalProtect ゲートウェイの一般設定 フィールド 内容 名前 ゲートウェイの名前を入力します ( 最大 31 文字 )。名前の大文字と小文字 は区別されます。また、一意の名前にする必要があります。文字、数字、 スペース、ハイフン、およびアンダースコアのみを使用してください。 場所 マルチ仮想システム オプションが有効な場合は、このゲートウェイが属 する仮想システムを選択します。 ネットワーク設定 インターフェイス リモートのエージェント / サテライトで ingress として使用されるファイ アウォール インターフェイスを選択します。 IP アドレス ゲートウェイ アクセス用の IP アドレスを指定します。 サーバー証明書 ゲートウェイ用のサーバー証明書を選択します。 認証 認証プロファイル ゲートウェイへのアクセスを認証する認証プロファイルまたはシーケンス を選択します。 「認証プロファイルのセットアップ」を参照してください。 認証メッセージ ゲートウェイへのログインにどの認証情報を使用するかをエンド ユー ザーに説明するためのメッセージを入力するか、デフォルトのメッセー ジを使用します。メッセージの最大長は 50 文字です。 証明書プロファイル クライアント認証用の証明書プロファイルを選択します。 [ クライアントの設定 ] タブ [ クライアントの設定 ] タブを使用して、トンネル設定を定義し、エージェント / アプリケー ションがゲートウェイとの VPN トンネルを確立できるようにします。さらに、このタブを使 用して、セキュリティ ポリシーに添付された HIP プロファイルに一致 / 不一致の場合にエン ド ユーザーに表示する HIP 通知メッセージを定義します。 このタブは、以下の表で説明する 3 つのサブタブで構成されます。 • [ トンネル設定 ] サブタブ • [ ネットワーク設定 ] サブタブ • [HIP 通知 ] サブタブ Palo Alto Networks GlobalProtect の設定 • 367 表 202. GlobalProtect ゲートウェイのクライアント設定 フィールド 内容 [ トンネル設定 ] サブタブ このサブタブを使用して、トンネル パラメータを設定し、トンネルを有 効にします。 外部ゲートウェイをセットアップする場合、トンネル パラメータは必須 です。内部ゲートウェイを設定する場合、トンネル パラメータはオプ ションです。 トンネル モード トンネル モードを有効にするには、このチェック ボックスをオンにし て、以下の設定を指定します。 • トンネル インターフェイス — ゲートウェイへのアクセス用のトンネル インターフェイスを選択します。 • 最大ユーザー — 認証、HIP 更新、および GlobalProtect エージェント 更新のために同時にゲートウェイにアクセスできるユーザーの最大数 を指定します。ユーザーの最大数に到達したら、ユーザーの最大数に 達したことを示すエラー メッセージが表示されて、後続のユーザーは アクセスを拒否されます。デフォルトでは、制限は設定されていません ( 有効範囲 : 1 ~ 1024 ユーザー )。 • IPSec の有効化 — クライアント トラフィックで IPSec モードを使用可 能にし、IPSec をプライマリにして、SSL-VPN をフォールバック方式 にするには、このチェック ボックスをオンにします。 • X-Auth サポートの有効化 — IPSec が有効になっているときに GlobalProtect ゲートウェイの Extended Authentication (X-Auth) サポートを有効に するには、このチェック ボックスをオンにします。X-Auth サポートに より、X-Auth をサポートするサード パーティ IPSec VPN クライアン ト (Apple iOS および Android デバイスの IPSec VPN クライアント、 Linux の VPNC クライアントなど ) は、GlobalProtect ゲートウェイと の VPN トンネルを確立できます。X-Auth オプションにより、VPN ク ライアントから特定の GlobalProtect ゲートウェイへのリモート アク セスが可能になります。X-Auth アクセスで利用できる GlobalProtect 機能は限定されるため、GlobalProtect アプリケーションを使用するこ とで、GlobalProtect が iOS および Android デバイスに提供するセキュ リティ機能セットすべてへのアクセスを簡略化することを検討してく ださい。 [X-Auth サポートの有効化 ] チェック ボックスをオンにすると、[ グルー プ名 ] および [ グループ パスワード ] オプションが有効になります。 – グループ名とグループのパスワードが指定されている場合、最初の 認証フェーズでは、双方がこの資格証明を使用して認証する必要が あります。第 2 フェーズでは有効なユーザー名とパスワードが必要 です。認証セクションで設定された認証プロファイルを通じて検証 されます。 – グループ名とグループ パスワードが定義されていない場合、最初の 認証フェーズは、サードパーティ VPN クライアントによって提示さ れた有効な証明書に基づきます。その後この証明書は、認証セク ションで設定された証明書プロファイルを通じて検証されます。 – デフォルトでは、IPSec トンネルの確立に使用されたキーの有効期限 が切れたときに、ユーザーに再認証は要求されません。ユーザーに 再 認証 を要求す るには、[IKE キ ー再生成 での認証 をスキップ ] チェック ボックスをオフにします。 368 • GlobalProtect の設定 Palo Alto Networks 表 202. GlobalProtect ゲートウェイのクライアント設定(続き) フィールド 内容 タイムアウト設定 以下のタイムアウト設定を指定します。 • ログイン ライフタイム — 1 回のゲートウェイ ログイン セッションに 許可される日数、時間数、または分数を指定します。 • アイドル タイムアウト — 未通信状態のセッションが自動的にログアウ トされるまでの日数、時間数、または分数を指定します。 • アイドル状態で切断 — 指定された時間内に GlobalProtect アプリが VPN トンネルを介してトラフィックを送信しなかった場合に、クライアント が GlobalProtect からログアウトされるまでの時間 ( 分 ) を指定します。 [ネットワーク設定] サブタブ [ネットワーク設定] オプションは、[トンネル設定] タブで [トンネル モー ド ] を有効にし、[ トンネル インターフェイス ] を定義した場合にのみ指 定できます。 ここで定義したネットワーク設定は、エージェントがゲートウェイとの トンネルを確立するときに、クライアント システムの仮想ネットワーク アダプタに割り当てられます。 継承ソース 選択された DHCP クライアントまたは PPPoE クライアント インター フェイスから GlobalProtect エージェントの設定に、DNS サーバーやそ の他の設定を配信する継承ソースを選択します。この設定により、DNS サーバーや WINS サーバーなどのすべてのクライアント ネットワーク設 定は、[ 継承ソース ] で選択されたインターフェイスの設定から継承され ます。 継承ソース状態の チェック リンクをクリックして、クライアント インターフェイスに現在割り当て られているサーバー設定を参照します。 プライマリ DNS クライアントに DNS を提供するプライマリ サーバーおよびセカンダリ サーバーの IP アドレスを入力します。 セカンダリ DNS プライマリ WINS セカンダリ WINS クライアントに Windows Internet Naming Service (WINS) を提供するプ ライマリ サーバーおよびセカンダリ サーバーの IP アドレスを入力します。 DNS サフィックス [ 追加 ] をクリックして、解決できない非修飾ホスト名が入力されたとき にクライアントがローカルで使用するサフィックスを入力します。複数 のサフィックスをカンマで区切って入力できます。 DNS サフィックスの 継承 継承ソースから DNS サフィックスを継承するには、このチェック ボッ クスをオンにします。 Palo Alto Networks GlobalProtect の設定 • 369 表 202. GlobalProtect ゲートウェイのクライアント設定(続き) フィールド 内容 IP プール [ 追加 ] をクリックして、IP プール設定を指定します。 このセクションを使用して、リモート ユーザーに割り当てる IP アドレス の範囲を作成します。トンネルが確立されると、この範囲のアドレスを 使用してリモート ユーザーのコンピュータにインターフェイスが作成さ れます。 注 : IP プールには、すべての同時接続ユーザーをサポートするのに十分 な IP アドレスが含まれている必要があります。IP アドレスはダイナミッ クに割り当てられ、ユーザーの接続が切断された後は保持されません。 異なるサブネットの複数の範囲を設定することにより、システムは、ク ライアントの他のインターフェイスと衝突しないように IP アドレスを割 り当てることができます。 ネットワーク内のサーバー / ルータは、この IP プールからファイア ウォールにトラフィックをルーティングする必要があります。 た と え ば、ネットワーク 192.168.0.0/16 では、リモート ユーザーに 192.168.0.10 といったアドレスを割り当てることができます。 アクセス ルート [ 追加 ] をクリックしてアクセス ルート オプションを指定します。 このセクションを使用して、リモート ユーザーのコンピュータにプッ シュするルートを追加し、ユーザーのコンピュータから VPN 接続を介 して送信する内容を決定します。 たとえば、スプリット トンネルを設定し、リモート ユーザーが VPN ト ンネルを経由せずにインターネットに直接アクセスできるようにするこ とができます。 ルートを追加しないと、すべてのリクエストはトンネル経由でルーティ ングされます ( スプリット トンネルなしの場合 )。この場合、インター ネットのリクエストはすべてファイアウォールを通過して、ネットワー クに出ていきます。この方法により、部外者がユーザーのコンピュータ にアクセスし、そのコンピュータをブリッジとして利用して社内ネット ワークに侵入するのを防ぐことができます。 [HIP 通知 ] サブタブ このサブタブを使用して、ホスト情報プロファイル (HIP) を含むセキュ リティ ルールが適用されるとエンド ユーザーに表示される通知メッ セージを定義します。 このステップは、ホスト情報プロファイルを作成して、セキュリティ ポ リシーに追加した場合にのみ適用されます。 370 • GlobalProtect の設定 Palo Alto Networks 表 202. GlobalProtect ゲートウェイのクライアント設定(続き) フィールド 内容 HIP 通知 [ 追加 ] をクリックして通知オプションを指定します。[ 有効化 ] を選択し て、[ メッセージが一致 ] または [ 一致しないメッセージ ] あるいはその 両方を有効にします。 [ 通知の表示方法 ] セクションから通知オプションを選択し、[ システム トレイ バルーン ] または [ ポップアップ メッセージ ] のラジオ ボタンを 選択してから、一致または不一致のメッセージを指定します。これらの 設定を使用して、エンド ユーザーにマシンの状態を通知します。たとえ ば、ホスト システムに必須のアプリケーションがインストールされてい ないことを示す警告メッセージを表示できます。[ メッセージが一致 ] の 場合、[ 一致したアプリケーションのリストをメッセージに含めるかどう か ] オプションを有効にして、HIP マッチをトリガーしたアプリケー ションを示すこともできます。 注 : HIP 通知メッセージは、リッチ HTML 形式にして、外部の Web サ イトやリソースへのリンクを含めることができます。リッチ テキスト設 定ツールバーのリンク アイコン を使用して、リンクを追加します。 [ サテライト設定 ] タブ サテライト デバイスとは、GlobalProtect エージェントとして機能して GlobalProtect ゲート ウェイへの VPN 接続を確立できるようにする、Palo Alto Networks ファイアウォール ( 通常 は支社に設置 ) です。[ サテライト設定 ] タブを使用して、ゲートウェイ トンネル設定および ネットワーク設定を定義し、サテライト デバイスが VPN 接続を確立できるようにします。 また、このタブを使用して、サテライトによって通知されるルートを制御することもできます。 このタブは、以下の表で説明する 3 つのサブタブで構成されます。 • [ トンネル設定 ] サブタブ • [ ネットワーク設定 ] サブタブ • [ ルート フィルタ ] サブタブ 表 203. GlobalProtect ゲートウェイのサテライト設定 フィールド 内容 [ トンネル設定 ] サブタブ トンネル設定 [ トンネル設定 ] チェック ボックスをオンにし、既存の [ トンネル イン ターフェイス ] を選択するか、[ 新規トンネル インターフェイス ] をク リックします。詳細は、 「トンネル インターフェイスの設定」を参照して ください。 リプレイ攻撃の検出 — リプレイ攻撃から保護します。 TOS のコピー — 元の ToS (Type of Service) 情報を保持するため、カプセ ル化されたパケットの内部 IP ヘッダーから外部 IP ヘッダーに ToS ヘッ ダーをコピーします。 設定の更新間隔 ( 時間 ) — サテライト デバイスがポータルに設定の更新 があるかどうかチェックする間隔を指定します ( デフォルトは 2 時間、 範囲は 1 ~ 48 時間 )。 Palo Alto Networks GlobalProtect の設定 • 371 表 203. GlobalProtect ゲートウェイのサテライト設定(続き) フィールド 内容 トンネル モニタ サテライト デバイスがゲートウェイ トンネル接続をモニターし、接続に 失敗した場合にバックアップ ゲートウェイにフェイルオーバーできるよ うにするには、[ トンネル モニタリング ] チェック ボックスをオンにし ます。 宛先 IP — ゲートウェイへの接続があるかどうかを判断するために使用 するトンネル モニターの IP アドレスを指定します ( 例 : ゲートウェイで 保護されるネットワークの IP アドレス )。または、トンネル インター フェイスに IP アドレスを設定した場合はこのフィールドを空白のままに でき、トンネル モニターは代わりにトンネル インターフェイスを使用し て接続がアクティブかどうかを判断します。 トンネル モニター プロファイル — 別のゲートウェイへのフェイルオー バーは、LSVPN でサポートされている唯一のトンネル モニタリング プ ロファイルのタイプです。 暗号プロファイル [IPSec 暗号プロファイル ] を選択するか、新しいプロファイルを作成し ます。これにより、VPN トンネルでの識別、認証、および暗号化のため のプロトコルとアルゴリズムが決まります。LSVPN の両方のトンネル エントポイントが組織内の信頼されるファイアウォールであるため、一 般に、SHA-1 暗号化を含む ESP-DH group2-AES 128 を使用するデフォ ルトのプロファイルを使用できます。詳細については、「IPSec 暗号プロ ファイルの定義」を参照してください。 [ネットワーク設定] サブタブ 継承ソース 選択された DHCP クライアントまたは PPPoE クライアント インター フェイスから GlobalProtect サテライト設定に、DNS サーバーやその他 の設定を配信する継承ソースを選択します。この設定により、DNS サー バーなどのすべてのネットワーク設定は、[ 継承ソース ] で選択したイン ターフェイスの設定から継承されます。 プライマリ DNS サテライトに DNS を提供するプライマリ サーバーおよびセカンダリ サーバーの IP アドレスを入力します。 セカンダリ DNS DNS サフィックス [ 追加 ] をクリックして、解決できない非修飾ホスト名が入力されたとき にサテライトがローカルで使用するサフィックスを入力します。複数の サフィックスをカンマで区切って入力できます。 DNS サフィックスの 継承 解決できない非修飾ホスト名が入力されたときに、DNS サフィックスを サテライト デバイスに送信してローカルで使用するには、このチェック ボックスをオンにします。 372 • GlobalProtect の設定 Palo Alto Networks 表 203. GlobalProtect ゲートウェイのサテライト設定(続き) フィールド 内容 IP プール [ 追加 ] をクリックして、IP プール設定を指定します。 このセクションを使用して、VPN トンネルの確立時にサテライト デバイ スのトンネル インターフェイスに割り当てる IP アドレスの範囲を作成 します。 注 : IP プールには、すべての同時接続ユーザーをサポートするのに十分 な IP アドレスが含まれている必要があります。IP アドレスはダイナミッ クに割り当てられ、サテライトの接続が切断された後は保持されません。 異なるサブネットの複数の範囲を設定することにより、システムは、デ バイスの他のインターフェイスと競合しない IP アドレスをサテライトに 割り当てることができます。 ネットワーク内のサーバー / ルータは、この IP プールからファイア ウォールにトラフィックをルーティングする必要があります。 たとえば、ネットワーク 192.168.0.0/16 では、サテライトに 192.168.0.10 といったアドレスを割り当てることができます。 ダイナミック ルーティングを使用している場合、サテライトについて指 定した IP アドレスが、ゲートウェイおよびサテライトでトンネル イン ターフェイスに手動で割り当てた IP アドレスと重複しないようにしてく ださい。 アクセス ルート [ 追加 ] をクリックして、ルートを以下のように入力します。 • サテライトからのすべてのトラフィックをトンネル経由でルーティン グする場合は、このフィールドは空白のままにします。 • 一部のトラフィックのみをゲートウェイ経由でルーティングする場合 は ( スプリット トンネルといいます )、トンネルする必要のある宛先サブネットを指定し ます。この場合、サテライトは独自のルーティング テーブルを使用して、 指定したアクセス ルートの宛先になっていないトラフィックをルーティ ングします。たとえば、企業ネットワークの宛先になっているトラ フィックのみをトンネルし、ローカル サテライトを使用して安全にイン ターネット アクセスを有効にすることができます。 • サテライト間のルーティングを有効にするには、各サテライトによっ て保護されたネットワークのサマリー ルートを入力します。 [ ルート フィルタ ] サブタブ サテライトによって通知されたルートをゲートウェイのルーティング テーブルに受け入れるには、[ 公開されたルートの受け入れ ] チェック ボックスをオンにします。このオプションを選択しないと、ゲートウェ イは、サテライトによって通知されたルートを受け入れません。 サテライトによって通知されるルートの受け入れをさらに制限する場合 は、[ 許可されたサブネット ] セクションで [ 追加 ] をクリックして、ゲー トウェイがルートを受け入れるサブネットを定義します。サテライトに よって通知されたサブネットのうち、リストに含まれないものは除外さ れます。たとえば、LAN 側ですべてのサテライトが、192.168.x.0/24 サ ブネットで設定されている場合、ゲートウェイでは許可されたルート 192.168.0.0/16 を設定できます。これにより、ゲートウェイは 192.168.0.0/ 16 サブネットにあるサテライトからのみ、ルートを受け入れます。 Palo Alto Networks GlobalProtect の設定 • 373 Mobile Security Manager へのゲートウェイ アクセスの セットアップ [Network] > [GlobalProtect] > [MDM] Mobile Security Manager を使用してエンド ユーザーのモバイル デバイスを管理していて、 HIP が有効なポリシーを適用している場合、Mobile Security Manager と通信して管理対象デ バイスの HIP レポートを取得するようにゲートウェイを設定する必要があります。このペー ジを使用して、ゲートウェイが Mobile Security Manager にアクセスできるようにします。 Mobile Security Manager の情報を追加するには、[ 追加 ] をクリックします。以下の表では、 GlobalProtect MDM ダ イ ア ロ グ の 各 フ ィ ー ル ド に 入 力 す る 内 容 に つ い て 説 明 し ま す。 GlobalProtect Mobile Security Manager サービスのセットアップの詳細は、 『GlobalProtect Administrator’s Guide (GlobalProtect 管理者ガイド )』の「Set Up the GlobalProtect Mobile Device Manager (GlobalProtect Mobile Device Manager のセットアップ )」を参照してくださ い。GlobalProtect Mobile Security Manager の HIP レポートを取得するようにゲートウェイ を セ ッ ト ア ッ プ す る 手 順 の 詳 細 は、「Enable Gateway Access to the GlobalProtect Mobile Security Manager (GlobalProtect Mobile Security Manager へのゲートウェイ アクセスの有効 化 )」を参照してください。 表 204. GlobalProtect MDM 設定 フィールド 内容 名前 Mobile Security Manager の名前 ( 最大 31 文字 ) を入力します。名前の大 文字と小文字は区別されます。また、一意の名前にする必要があります。 文字、数字、スペース、ハイフン、およびアンダースコアのみを使用し てください。 場所 マルチ仮想システム オプションが有効な場合は、仮想システムを選択し ます。 接続設定 サーバー ゲ ー ト ウ ェ イ が HIP レ ポ ー ト を 取 得 す る た め に 接 続 す る、Mobile Security Manager のインターフェイスの IP アドレスまたは FQDN を入 力します。このインターフェイスへのサービス ルートがあることを確認 します。 接続ポート Mobile Security Manager が HIP レポート要求をリスンするポート。デ フォルト ポートは 5008 です。GlobalProtect Mobile Security Manager は このポートでリスンします。サードパーティの Mobile Security Manager を使用する場合、サーバーが HIP レポート要求をリスンするポートの番 号を入力します。 クライアント証明書 HTTPS 接続を確立するときにゲートウェイが Mobile Security Manager に提示するクライアント証明書を選択します。これは、Mobile Security Manager が相互認証を使用するように設定されている場合にのみ必要 です。 信頼されたルート CA [ 追加 ] をクリックし、ゲートウェイが HIP レポートを取得するために接 続するインターフェイスの証明書を発行するために使用されたルート CA 証明書を選択します ( これは、Mobile Security Manager のデバイス チェックイン インターフェイスに発行された証明書とは異なるサーバー 証明書である可能性があります )。ルート CA 証明書をインポートしてこ のリストに追加する必要があります。 374 • GlobalProtect の設定 Palo Alto Networks HIP オブジェクトの作成 [Objects] > [GlobalProtect] > [HIP オブジェクト ] このページを使用して、ホスト情報プロファイル (HIP) オブジェクトを定義します。HIP オ ブジェクトでは、一致条件によって、エージェント / アプリケーションからレポートされた 生データから、関心のあるホスト情報のみを抽出して、ポリシーを適用するために使用でき ます。たとえば、生ホスト データに、クライアントにインストールされている複数のアンチ ウイルス パッケージに関する情報が含まれていて、関心のあるのは、組織内で必要とする特 定の 1 つのアプリケーションである場合があります。この場合は、適用において関心のある 特定のアプリケーションに一致する HIP オブジェクトを作成します。 必要な HIP オブジェクトを判別する最良の方法は、収集したホスト情報をどのように使用し てポリシーを適用するかを判別することです。HIP オブジェクト自体は、セキュリティ ポリ シーで使用される HIP プロファイルを作成できるようにする構成要素にすぎません。そのた め、オブジェクトをシンプルにし、たとえば、特定のタイプの必須ソフトウェアがあるか、特 定のドメインのメンバーか、特定のクライアント OS があるかなど、1 つの条件にのみ一致さ せることが必要になる場合があります。こうすることで、非常に粒度の細かい HIP で補完さ れたポリシーを柔軟に作成することができます。 HIP オブジェクトを作成するには、[ 追加 ] をクリックして [HIP オブジェクト ] ダイアログを 開きます。各フィールドへの入力内容の説明については、以下の表を参照してください。 • [ 全般 ] タブ • [ モバイル デバイス ] タブ • [ パッチ管理 ] タブ • [ ファイアウォール ] タブ • [ アンチウイルス ] タブ • [ アンチスパイウェア ] タブ • [ ディスク バックアップ ] タブ • [ ディスク暗号化 ] タブ • [ データ損失防止 ] タブ • [ カスタム チェック ] タブ HIP で補完されたセキュリティ ポリシーを作成する方法の詳細は、 『GlobalProtect Administrator’s Guide (GlobalProtect 管理者ガイド )』の「Configure HIP-Based Policy Enforcement (HIP ベー スのポリシー適用の設定 )」を参照してください。 Palo Alto Networks GlobalProtect の設定 • 375 [ 全般 ] タブ [ 全般 ] タブを使用して、新しい HIP オブジェクトの名前を指定したり、ドメイン、オペレー ティング システム、ネットワーク接続のタイプなど、一般的なホスト情報と照合するための オブジェクトを設定したりします。 表 205. HIP オブジェクトの一般設定 フィールド 内容 名前 HIP オブジェクトの名前を入力します ( 最大 31 文字 )。名前の大文字と小 文字は区別されます。また、一意の名前にする必要があります。文字、数 字、スペース、ハイフン、およびアンダースコアのみを使用してください。 共有 すべての仮想システムでこのオブジェクトを使用可能にするには、この チェック ボックスをオンにします。 内容 任意の説明を入力します。 ホスト情報 ホスト情報フィールドによるフィルタリングを有効にするには、この チェック ボックスをオンにします。 ドメイン ドメイン名による照合を行うには、ドロップダウン リストから演算子を 選択して、照合文字列を入力します。 OS ホスト OS による照合を行うには、最初のドロップダウンから [ 含む ] を 選択し、2 つ目のドロップダウンからベンダーを選択してから、3 つ目の ドロップダウンで特定の OS バージョンを選択するか、[ すべて ] を選択 して、選択したベンダーのすべての OS バージョンで照合を行います。 クライアント バージョン 特定のバージョン番号による照合を行うには、ドロップダウンから演算 子を選択して、テキスト ボックスに照合する ( または除外する ) 文字列を 入力します。 ホスト名 特定のホスト名の全体または一部による照合を行うには、ドロップダウ ンから演算子を選択して、テキスト ボックスに照合する ( または、選択 した演算子によっては除外する ) 文字列を入力します。 ネットワーク このフィールドを使用して、特定のモバイル デバイス ネットワーク設定 によるフィルタリングを有効にします。この一致基準はモバイル デバイ スのみに適用されます。 ドロップダウンから演算子を選択し、2 つ目のドロップダウンからフィ ルタリング基準にするネットワーク接続のタイプを選択します。[WiFi]、 [ モバイル ]、[Ethernet] ([ ではない ] フィルタでのみ使用可能 )、または [ 不明 ] を選択できます。ネットワーク タイプを選択したら、指定可能な 場合は、追加の照合文字列を入力します。たとえば、モバイル「通信事 業者」や WiFi「SSID」などを指定できます。 376 • GlobalProtect の設定 Palo Alto Networks [ モバイル デバイス ] タブ [ モバイル デバイス ] タブを使用して、GlobalProtect アプリケーションを実行するモバイル デバイスから収集されたデータによる HIP 照合を有効にします。 表 206. HIP オブジェクトのモバイル デバイス設定 フィールド 内容 モバイル デバイス GlobalProtect アプリケーションを実行するモバイル デバイスから収集 されたホスト データによるフィルタリングを有効にするには、この チェック ボックスをオンにします。このチェック ボックスをオンにする と、[ デバイス ]、[ 設定 ]、および [ アプリケーション ] サブタブが編集可 能になります。 [ デバイス ] サブタブ • シリアル番号 — デバイス シリアル番号の全体または一部による照合を行 うには、ドロップダウンから演算子を選択し、照合文字列を入力します。 • モデル — 特定のデバイス モデルによる照合を行うには、ドロップダウ ンから演算子を選択し、照合文字列を入力します。 • タグ — GlobalProtect Mobile Security Manager に定義されたタグ値に よる照合を行うには、最初のドロップダウンから演算子を選択し、2 つ 目のドロップダウンからタグを選択します。 • 電話番号 — デバイスの電話番号の全体または一部による照合を行うに は、ドロップダウンから演算子を選択し、照合文字列を入力します。 • IMEI — IMEI (International Mobile Equipment Identity) による照合を 行うには、ドロップダウンから演算子を選択し、照合文字列を入力します。 [ 設定 ] サブタブ • パスコード — デバイスにパスコードが設定されているかどうかに基づ いてフィルタリングします。パスコードが設定されているデバイスを 照合するには、[ はい ] を選択します。パスコードが設定されていない デバイスを照合するには、[ いいえ ] を選択します。 • 管理対象デバイス — デバイスが MDM によって管理されているかどう かに基づいてフィルタリングします。管理対象のデバイスを照合するに は、[ はい ] を選択します。管理対象以外のデバイスを照合するには、 [ いいえ ] を選択します。 • root 化 /jailbreak — デバイスが root 化または jailbreak されているかど うかに基づいてフィルタリングします。root 化 /jailbreak されているデ バイスを照合するには、[ はい ] を選択します。root 化 /jailbreak され ていないデバイスを照合するには、[ いいえ ] を選択します。 • ディスク暗号化 — デバイス データが暗号化されているかどうかに基づ いてフィルタリングします。ディスク暗号化が有効なデバイスを照合 するには、[ はい ] を選択します。ディスク暗号化が有効ではないデバ イスを照合するには、[ いいえ ] を選択します。 • 最後のチェックインからの経過時間 — デバイスが最後に MDM にチェッ クインした日時に基づいてフィルタリングします。ドロップダウンから 演算子を選択し、チェックイン期間の日数を指定します。たとえば、過 去 5 日以内にチェックインされていないデバイスを照合するためのオ ブジェクトを定義できます。 Palo Alto Networks GlobalProtect の設定 • 377 表 206. HIP オブジェクトのモバイル デバイス設定(続き) フィールド 内容 [アプリケーション] サブタブ • アプリケーション — (Android デバイスのみ ) デバイスにインストール されているアプリケーションに基づいて、また、マルウェアに感染した アプリケーションがデバイスにインストールされているかどうかに基 づいたフィルタリングを有効にするには、このチェック ボックスをオ ンにします。 • [ 基準 ] サブタブ – マルウェアあり — マルウェアに感染したアプリケーションがインス トールされているデバイスを照合するには、[ はい ] を選択します。 マルウェアに感染したアプリケーションがインストールされていな いデバイスを照合するには、[ いいえ ] を選択します。[ マルウェアあ り ] を一致条件として使用しない場合は、[ なし ] を選択します。 • [ 包含 ] サブタブ – パッケージ — 特定のアプリケーションがインストールされているデ バイスを照合するには、[ 追加 ] をクリックしてから、一意のアプリ ケーション名を (com.netflix.mediaclient など、DNS の逆フォーマッ トで ) [ パッケージ ] フィールドに入力し、対応するアプリケーション の [ ハッシュ ] を入力します。ハッシュは、GlobalProtect アプリケー ションが計算し、デバイス HIP レポートとともに送信します。 [ パッチ管理 ] タブ [ パッチ管理 ] タブを使用して、GlobalProtect クライアントのパッチ管理状態による HIP 照 合を有効にします。 表 207. HIP オブジェクトのパッチ管理設定 フィールド 内容 パッチ管理 ホストのパッチ管理状態による照合を有効にするには、このチェック ボックスをオンにします。このチェック ボックスをオンにすると、[ 基準 ] および [ ベンダー ] サブタブが編集可能になります。 [ 基準 ] サブタブ このサブタブで、以下の設定を指定します。 • 有効 — パッチ管理ソフトウェアがホストで有効かどうかによって照合 します。[ 有効 ] チェック ボックスがオフの場合、このフィールドは自 動的に「なし」に設定され、編集ができなくなります。 • インストール済み — パッチ管理ソフトウェアがホストにインストール されているかどうかによって照合します。 • 重大度 — 指定された重大度のパッチがホストに欠落しているかどうか によって照合します。 • チェック — ホストにパッチが欠落しているかどうかによって照合します。 • パッチ — ホストに特定のパッチが適用されているかどうかによって照 合します。[ 追加 ] をクリックし、有無をチェックする特定のパッチ名 のファイル名を入力します。 378 • GlobalProtect の設定 Palo Alto Networks 表 207. HIP オブジェクトのパッチ管理設定(続き) フィールド 内容 [ ベンダー ] サブタブ このサブタブを使用して、ホスト上で検索して照合する特定のパッチ管 理ソフトウェア ベンダー / 製品を定義します。[ 追加 ] をクリックして、 ドロップダウン リストからベンダーを選択します。必要に応じて、[ 追加 ] をクリックして、特定の製品を選択します。[OK] をクリックして設定を 保存します。 [ ファイアウォール ] タブ [ ファイアウォール ] タブを使用して、GlobalProtect クライアントのファイアウォール ソフ トウェア状態に基づく HIP 照合を有効にします。 表 208. HIP オブジェクトのファイアウォール設定 フィールド 内容 ファイアウォール ホストのファイアウォール ソフトウェア状態による照合を有効にするに は、[ ファイアウォール ] チェック ボックスをオンにします。 • 有効 — ファイアウォール ソフトウェアがホストで有効かどうかによって 照合します。[ 有効 ] チェック ボックスがオフの場合、このフィールド は自動的に「なし」に設定され、編集ができなくなります。 • インストール済み — ファイアウォール ソフトウェアがホストにインス トールされているかどうかによって照合します。 • ベンダーおよび製品 — ホスト上で検索して照合する特定のファイア ウォール ソフトウェア ベンダー / 製品を定義します。[ 追加 ] をクリッ クし、ドロップダウン リストからベンダーを選択します。必要に応じ て、[ 追加 ] をクリックして、特定の製品を選択します。[OK] をクリッ クして設定を保存します。 • ベンダーの除外 — 特定のベンダーのソフトウェアがないホストを照合 するには、このチェック ボックスをオンにします。 Palo Alto Networks GlobalProtect の設定 • 379 [ アンチウイルス ] タブ [ アンチウイルス ] タブを使用して、GlobalProtect クライアントのアンチウイルス対象範囲に 基づく HIP 照合を有効にします。 表 209. HIP オブジェクトのアンチウイルス設定 フィールド 内容 アンチウイルス ホストのアンチウイルス対象範囲による照合を有効にするには、この チェック ボックスをオンにします。 • リアルタイム保護 — リアルタイムのアンチウイルス保護がホストで有 効かどうかによって照合します。[ 有効 ] チェック ボックスがオフの場 合、このフィールドは自動的に「なし」に設定され、編集ができなくな ります。 • インストール済み — アンチウイルス ソフトウェアがホストにインストー ルされているかどうかによって照合します。 • ウイルス定義バージョン — 指定された日数内にウイルス定義が更新さ れたかどうか、またはリリース バージョンのどちらに基づいて照合を 行うかを指定します。 • 製品バージョン — アンチウイルス ソフトウェアの特定のバージョンに 対して照合を行うには、このオプションを使用します。検索するバー ジョンを指定するには、ドロップダウンから演算子を選択して、製品 バージョンを表す文字列を入力します。 • 最終スキャン時間 — 最後にアンチウイルス スキャンが実行された時間 に基づいて照合を行うかどうかを指定します。ドロップダウンから演算 子を選択し、照合する日数または時間数を指定します。 • ベンダーおよび製品 — ホスト上で検索して照合する特定のアンチウイ ルス ソフトウェア ベンダー / 製品を定義します。[ 追加 ] をクリック し、ドロップダウン リストからベンダーを選択します。必要に応じて、 [ 追加 ] をクリックして、特定の製品を選択します。[OK] をクリックし て設定を保存します。 • ベンダーの除外 — 特定のベンダーのソフトウェアがないホストを照合 するには、このチェック ボックスをオンにします。 380 • GlobalProtect の設定 Palo Alto Networks [ アンチスパイウェア ] タブ [ アンチスパイウェア ] タブを使用して、GlobalProtect クライアントのアンチスパイウェア対 象範囲に基づく HIP 照合を有効にします。 表 210. HIP オブジェクトのアンチスパイウェア設定 フィールド 内容 アンチスパイウェア ホストのアンチスパイウェア対象範囲による照合を有効にするには、こ のチェック ボックスをオンにし、追加の照合条件を以下のように定義し ます。 • リアルタイム保護 — リアルタイムのアンチスパイウェア保護がホスト で有効かどうかによって照合します。[ 有効 ] チェック ボックスがオフ の場合、このフィールドは自動的に「なし」に設定され、編集ができな くなります。 • インストール済み — アンチスパイウェア ソフトウェアがホストにイン ストールされているかどうかによって照合します。 • ウイルス定義バージョン — 指定された日数内にウイルス定義が更新さ れたかどうか、またはリリース バージョンのどちらに基づいて照合を 行うかを指定します。 • 製品バージョン — アンチスパイウェア ソフトウェアの特定のバージョ ンに対して照合を行うには、このオプションを使用します。検索する バージョンを指定するには、ドロップダウンから演算子を選択して、製 品バージョンを表す文字列を入力します。 • 最終スキャン時間 — 最後にアンチスパイウェア スキャンが実行された 時間に基づいて照合を行うかどうかを指定します。ドロップダウンから 演算子を選択し、照合する日数または時間数を指定します。 • ベンダーおよび製品 — ホスト上で検索して照合する特定のアンチスパ イウェア ソフトウェア ベンダー / 製品を定義します。[ 追加 ] をクリッ クして、ドロップダウン リストからベンダーを選択します。必要に応 じて、[ 追加 ] をクリックして、特定の製品を選択します。[OK] をク リックして設定を保存します。 • ベンダーの除外 — 特定のベンダーのソフトウェアがないホストを照合 するには、このチェック ボックスをオンにします。 Palo Alto Networks GlobalProtect の設定 • 381 [ ディスク バックアップ ] タブ [ ディスク バックアップ ] タブを使用して、GlobalProtect クライアントのディスク バック アップ状態に基づく HIP 照合を有効にします。 表 211. HIP オブジェクトのディスク バックアップ設定 フィールド 内容 ディスク バックアップ ホストのディスク バックアップ状態による照合を有効にするには、この チェック ボックスをオンにし、追加の照合条件を以下のように定義し ます。 • インストール済み — ディスク バックアップ ソフトウェアがホストに インストールされているかどうかによって照合します。 • 最終バックアップ時間 — 最後にディスク バックアップが実行された時 間に基づいて照合を行うかどうかを指定します。ドロップダウンから演 算子を選択し、照合する日数または時間数を指定します。 • ベンダーおよび製品 — ホスト上で検索して照合する特定のディスク バッ クアップ ソフトウェア ベンダー / 製品を定義します。[ 追加 ] をクリッ クして、ドロップダウン リストからベンダーを選択します。必要に応 じて、[ 追加 ] をクリックして、特定の製品を選択します。[OK] をク リックして設定を保存します。 • ベンダーの除外 — 特定のベンダーのソフトウェアがないホストを照合 するには、このチェック ボックスをオンにします。 [ ディスク暗号化 ] タブ [ ディスク暗号化 ] タブを使用して、GlobalProtect クライアントのディスク暗号化状態に基づ く HIP 照合を有効にします。 表 212. HIP オブジェクトのディスク暗号化設定 フィールド 内容 ディスク暗号化 ホストのディスク暗号化状態による照合を有効にするには、このチェッ ク ボックスをオンにします。 基準 このサブタブで、以下の設定を指定します。 • インストール済み — ディスク暗号化ソフトウェアがホストにインストー ルされているかどうかによって照合します。 • 暗号化された場所 — [ 追加 ] をクリックして、照合時にディスクが暗号 化されているかチェックするドライブまたはパスを指定します。 – 暗号化された場所 — 暗号化されているかどうかをチェックするホス ト上の特定の場所を入力します。 – 状態 — 暗号化された場所の状態を照合する方法を指定します。ドロッ プダウンから演算子を選択し、有効な状態 ( フル、なし、一部、使用 不可 ) を選択します。 [OK] をクリックして設定を保存します。 382 • GlobalProtect の設定 Palo Alto Networks 表 212. HIP オブジェクトのディスク暗号化設定(続き) フィールド 内容 ベンダー このサブタブを使用して、ホスト上で検索して照合する特定のディスク 暗号化ソフトウェア ベンダー / 製品を定義します。[ 追加 ] をクリックし て、ドロップダウン リストからベンダーを選択します。必要に応じて、 [ 追加 ] をクリックして、特定の製品を選択します。[OK] をクリックし て設定を保存し、[ ディスク暗号化 ] タブに戻ります。 [ データ損失防止 ] タブ [ データ損失防止 ] タブを使用して、GlobalProtect クライアントがデータ損失防止ソフトウェ アを実行しているかどうかに基づく HIP 照合を有効にします。 表 213. HIP オブジェクトのデータ損失防止設定 フィールド 内容 データ損失防止 ホスト (Windows ホストのみ ) のデータ損失防止 (DLP) による照合を有 効にするには、このチェック ボックスをオンにし、追加の照合条件を以 下のように定義します。 • 有効 — DLP ソフトウェアがホストで有効かどうかによって照合します。 [ インストール済み ] チェック ボックスがオフの場合、このフィールド は自動的に「なし」に設定され、編集ができなくなります。 • インストール済み — DLP ソフトウェアがホストにインストールされて いるかどうかによって照合します。 • ベンダーおよび製品 — ホスト上で検索して照合する特定の DLP ソフト ウェア ベンダー / 製品を定義します。[ 追加 ] をクリックして、ドロッ プダウン リストからベンダーを選択します。必要に応じて、[ 追加 ] を クリックして、特定の製品を選択します。[OK] をクリックして設定を 保存します。 • ベンダーの除外 — 特定のベンダーのソフトウェアがないホストを照合 するには、このチェック ボックスをオンにします。 [ カスタム チェック ] タブ [ カスタム チェック ] タブを使用して、GlobalProtect ポータルに定義されているカスタム チェックに基づく HIP 照合を有効にします。HIP 収集にカスタム チェックを追加する方法の詳細 は、「GlobalProtect ポータルのセットアップ」を参照してください。 表 214. HIP オブジェクトのカスタム チェック設定 フィールド 内容 カスタム チェック GlobalProtect ポータルに定義されているカスタム チェックによる HIP 照合を有効にするには、このチェック ボックスをオンにします。 プロセス リスト ホスト システムに特定のプロセスがあるかチェックするには、[ 追加 ] を クリックし、プロセス名を入力します。デフォルトでは、エージェント は実行中のプロセスがあるかチェックします。特定のプロセスがシステ ムに存在するかどうかだけをチェックする場合は、[ 実行中 ] チェック ボックスをオフにします。 Palo Alto Networks GlobalProtect の設定 • 383 表 214. HIP オブジェクトのカスタム チェック設定(続き) フィールド 内容 レジストリ キー Windows ホストに特定のレジストリ キーがあるかチェックするには、 [ 追加 ] をクリックし、照合する [ レジストリ キー ] を入力します。指定し たレジストリ キーがないホストのみを照合するには、[ キーが存在しない か、指定した値データと一致しない ] チェック ボックスをオンにします。 特定の値を照合するには、[ 追加 ] をクリックし、[ レジストリ値 ] と [ 値 データ ] を入力します。指定された値または値データを明示的に持たな いホストを照合するには、[Negate] チェック ボックスをオンにします。 [OK] をクリックして設定を保存します。 Plist Mac ホストに特定のプロパティ リスト (plist) があるかチェックするに は、[ 追加 ] をクリックし、[Plist] 名を入力します。指定した plist がない ホストのみを照合するには、[Plist がありません ] チェック ボックスを オンにします。 plist 内の特定のキー / 値ペアによって照合するには、[ 追加 ] をクリック し、照合する [ キー ] と対応する [ 値 ] を入力します。指定されたキー / 値を明示的に持たないホストを照合するには、[Negate] チェック ボック スをオンにします。 [OK] をクリックして設定を保存します。 HIP プロファイルのセットアップ [Objects] > [GlobalProtect] > [HIP プロファイル ] このページを使用して、HIP が有効なセキュリティ ポリシーのセットアップに使用する HIP プロファイルを作成します。HIP オブジェクトのコレクションは、モニタリングまたはセキュ リティ ポリシー適用のために、まとめて評価されます。HIP プロファイルを作成すると、 Boolean ロジックを使用して、以前に作成した HIP オブジェクト ( と他の HIP プロファイル ) を組み合わせることができます。たとえば、作成した HIP プロファイルに対してトラフィッ ク フローを評価し、一致か不一致かを判定することができます。一致があれば、対応するポ リシー ルールが適用されます。一致がなければ、他のポリシー照合条件と同様に、フローは 次のルールに対して評価されます。 HIP プロファイルを作成するには、[ 追加 ] をクリックします。以下の表では、[HIP プロファイ ル ] ダイアログの各フィールドに入力する内容について説明します。HIP で補完されたセキュ リティ ポリシーを作成するために GlobalProtect とワークフローをセットアップする方法の 詳細は、 『GlobalProtect Administrator’s Guide (GlobalProtect 管理者ガイド )』の「Configure HIP-Based Policy Enforcement (HIP ベースのポリシー適用の設定 )」を参照してください。 表 215. HIP プロファイル設定 フィールド 内容 名前 プロファイルの名前を入力します ( 最大 31 文字 )。名前の大文字と小文字 は区別されます。また、一意の名前にする必要があります。文字、数字、 スペース、ハイフン、およびアンダースコアのみを使用してください。 内容 任意の説明を入力します。 共有 すべての仮想システムでプロファイルを使用可能にするには、この チェック ボックスをオンにします。 384 • GlobalProtect の設定 Palo Alto Networks 表 215. HIP プロファイル設定(続き) フィールド 内容 一致 [ 条件の追加 ] をクリックして、[HIP オブジェクト / プロファイル ビル ダー ] を開きます。 一致条件として使用する最初の HIP オブジェクトまたはプロファイルを 選択し、次に [ 追加 ] をクリックして、[HIP プロファイル ] ダイアロ グの [ 一致 ] テキスト ボックスに移動させます。オブジェクトの条件が フローに当てはまらない場合にのみ HIP プロファイルでオブジェクトを 一致として評価する場合、オブジェクトを追加する前に、[NOT] チェッ ク ボックスをオンにします。 続けて、作成するプロファイルに必要なだけ一致条件を追加して、追加 し た条件の間に適切な Boolean 演算子ラジオ ボタン ([AND] または [OR]) を選択します ( ここでも必要に応じて [NOT] チェック ボックスを 使用します )。 複雑な Boolean 式を作成する場合は、[ 一致 ] テキスト ボックス内の適切 な位置に手動でかっこを追加して、HIP プロファイルが意図したロジッ クを使用して評価されるようにします。たとえば、以下の式は、HIP プ ロ ファイルが、FileVault ディスク暗号化 (Mac OS システム ) または TrueCrypt ディスク暗号化 (Windows システム ) があり、必要な Domain に属し、Symantec アンチウイルス クライアントがインストールされて いるホストからのトラフィックを照合することを示します。 ((“MacOS” and “FileVault”) or (“Windows” and “TrueCrypt”)) and “Domain” and “SymantecAV” 新しい HIP プロファイルへのオブジェクト / プロファイルの追加が終了 したら、[OK] をクリックします。 GlobalProtect エージェントのセットアップと アクティベーション [Device] > [GlobalProtect クライアント ] このページを使用して、GlobalProtect エージェント ソフトウェアを、ポータルをホストする ファイアウォールにダウンロードして、ポータルに接続するクライアントがダウンロードで きるようにアクティブ化します。ポータルに定義したクライアント設定に、いつどのように ソフトウェア ダウンロードを行うかを定義します ( エージェントが接続したら自動的にアッ プグレードする、エンド ユーザーにアップグレードを要求するメッセージを表示する、特定 のユーザーのセットにはアップグレードを無条件で許可する、など )。ポータルについて説明 するセクション 「[ クライアントの設定 ] タブ」の [ エージェントのアップグレード ] フィー ルドに関する説明を参照してください。GlobalProtect エージェント ソフトウェアのさまざま な配布オプションとソフトウェアのデプロイ手順の詳細は、『GlobalProtect Administrator’s Guide (GlobalProtect 管 理 者 ガ イ ド )』の「Deploy the GlobalProtect Client Software (GlobalProtect クライアント ソフトウェアのデプロイ )」を参照してください。 GlobalProtect エージェントを初めてダウンロードしてインストールする 場合、クライアント システムのユーザーは管理者権限でログインする必要 があります。その後のアップグレードでは、管理者権限は必要ありません。 Palo Alto Networks GlobalProtect の設定 • 385 以下の表に、この画面の使用方法を示します。エージェント ソフトウェアのデプロイの詳細は、 『GlobalProtect Administrator’s Guide (GlobalProtect 管理者ガイド )』を参照してください。 表 216. GlobalProtect クライアントの設定 フィールド 内容 バージョン Palo Alto Networks 更新サーバーで入手可能な GlobalProtect エージェン ト ソフトウェアのバージョン番号。Palo Alto Networks から新しいエー ジェント ソフトウェア リリースを入手可能かどうかチェックするには、 [ 今すぐチェック ] をクリックします。ファイアウォールはそのサービス ルートを使用して更新サーバーに接続し、新しいバージョンがあるかど うか、入手可能な更新があるかどうかをチェックし、リストの先頭に表 示します。 サイズ エージェント ソフトウェア バンドルのサイズ。 リリース日 Palo Alto Networks がリリースを公開した日時。 ダウンロード済み この列にチェック マークがある場合、対応するエージェント ソフトウェ ア パッケージのバージョンがファイアウォールにダウンロード済みであ ることを示します。 現在アクティベーション 済み この列にチェック マークがある場合、対応するエージェント ソフトウェ ア パッケージのバージョンがファイアウォールでアクティブ化済みであ り、エージェントを接続するとダウンロードできることを示します。一 度にアクティブ化できるソフトウェアのバージョンは 1 つのみです。 アクション 現在、対応するエージェント ソフトウェア パッケージに対して以下のア クションを実行できることを示します。 • ダウンロード — 対応するエージェント ソフトウェアのバージョンを Palo Alto Networks 更新サーバーから入手可能です。リンクをクリックして ダウンロードを開始します。ファイアウォールがインターネットにア クセスできない場合、インターネットに接続されたコンピュータでソ フトウェア更新サイトにアクセスし、新しいエージェント ソフトウェ ア バージョンを検索してローカル コンピュータにダウンロードしま す。次に、GlobalProtect クライアント画面の [ アップロード ] ボタンを クリックして、手動でエージェント ソフトウェアをファイアウォール にアップロードします。 • アクティベーション — 対応するエージェント ソフトウェア バージョン はファイアウォールにダウンロード済みですが、エージェントはまだ ダウンロードできません。リンクをクリックしてソフトウェアをアク ティブ化し、エージェントがアップグレードできるようにします。 [ アップロード ] ボタンを使用して手動でファイアウォールにアップ ロードしたソフトウェア更新をアクティブ化するには、[ ファイルから アクティベーション ] ボタンをクリックして、アクティブ化するバー ジョンをドロップダウンから選択します ([ 現在アクティベーション済 み ] として表示するには画面の更新が必要になる場合があります )。 • 再アクティブ化 — 対応するエージェント ソフトウェアはアクティブ化 済みで、クライアントがダウンロードできる状態です。ファイアウォー ル上で一度にアクティブ化できる GlobalProtect エージェント ソフト ウェアのバージョンは 1 つのみであるため、エンド ユーザーが現在ア クティブなバージョン以外のバージョンにアクセスする必要がある場 合、その別のバージョンをアクティベーションして現在アクティベー ション済みバージョンにする必要があります。 386 • GlobalProtect の設定 Palo Alto Networks 表 216. GlobalProtect クライアントの設定(続き) フィールド 内容 リリース ノート 対応するエージェント バージョンの GlobalProtect リリース ノートへの リンクを提供します。 以前にダウンロードしたエージェント ソフトウェア イメージをファイ アウォールから削除します。 GlobalProtect エージェントのセットアップ GlobalProtect エージェント (PanGP エージェント ) は、クライアント システム ( 通常、ノー トパソコン ) にインストールされるアプリケーションであり、ポータルとゲートウェイを使 用して GlobalProtect 接続をサポートし、GlobalProtect サービス (PanGP サービス ) によって サポートされます。 ホストのオペレーティング システムで正しいインストール オプション (32 ビットまたは 64 ビット ) を選択するようにしてください。64 ビットの ホストにインストールする場合は、初期インストールで 64 ビット ブラウ ザと Java の組み合わせを使用してください。 エージェントをインストールするには、インストーラ ファイルを開いて、画面に表示される 指示に従います。 エージェントを設定するには、以下の手順を実行します。 1. [ スタート ] > [ すべてのプログラム ] > [Palo Alto Networks] > [GlobalProtect] > [GlobalProtect] の順に選択します。 クライアント インターフェイスが開き、[Settings] タブが表示されます。 2. GlobalProtect 認証に使用するユーザー名とパスワードを指定し、オプションで [Remember Me] チェック ボックスをオンにします。 3. GlobalProtect ポータルとして機能するファイアウォールの IP アドレスを入力します。 4. [Apply] をクリックします。 GlobalProtect エージェントの使用 GlobalProtect エージェントのタブには、状態および設定に関する有用な情報が含まれてお り、接続問題のトラブルシューティングに役立つ情報が提供されます。 • [Status] タブ — 現在の接続状態を表示し、警告またはエラーを一覧表示します。 • [Details] タブ — ポータル IP アドレスおよびプロトコルなど、現在の接続に関する情報 を表示し、ネットワーク接続に関するバイトおよびパケット統計を示します。 • [Host State] タブ — HIP に保存されている情報を表示します。ウィンドウの左側のカテ ゴリをクリックすると、ウィンドウの右側に、そのカテゴリの設定済み情報が表示され ます。 Palo Alto Networks GlobalProtect の設定 • 387 • [Troubleshooting] タブ — トラブルシューティングに役立つ情報を表示します。 – Network Configurations — 現在のクライアント システム設定を表示します。 – Routing Table — GlobalProtect 接続の現在のルート指定方法についての情報を表示し ます。 – Sockets — 現在アクティブな接続のソケット情報を表示します。 – Logs — GlobalProtect エージェント (PanGP エージェント ) およびサービス (PanGP サービス ) のログを表示できるようにします。ログ タイプとデバッグ レベルを選択し ます。[Start] をクリックするとログが開始し、[Stop] をクリックするとログが停止し ます。 388 • GlobalProtect の設定 Palo Alto Networks 第 10 章 Quality of Services (QoS) の設定 このセクションでは、ファイアウォールに Quality of Services (QoS) を設定する方法について 説明します。 • ファイアウォール インターフェイスの QoS の設定 • QoS プロファイルの定義 • QoS ポリシーの定義 • QoS 統計情報の表示 ファイアウォール インターフェイスの QoS の設定 [Network] > [QoS] [QoS] ページを使用して、ファイアウォール インターフェイスの帯域幅制限を設定します。 表 217. QoS 設定 フィールド 内容 物理 インターフェイス インターフェイス名 ファイアウォール インターフェイスを選択します。 最大保証帯域出力側 (Mbps) このインターフェイスを介してファイアウォールから出力されるトラ フィックの制限値を入力します。 注 : [ 最大保証帯域出力側 ] は必須フィールドではありませんが、QoS イ ンターフェイスのこの値は常に定義しておくことをお勧めします。 このインターフェイスの QoS 機能をオンにする Palo Alto Networks QoS 機能を有効にするには、このチェック ボックスをオンにします。 Quality of Services (QoS) の設定 • 389 表 217. QoS 設定(続き) フィールド 内容 デフォルト プロファイル : クリア テキスト トラフィックおよびトンネル トラフィックのデフォル トの QoS プロファイルを選択します。それぞれにデフォルトのプロファ イルを指定する必要があります。クリア テキスト トラフィックの場合、 デフォルトのプロファイルはすべてのクリア テキスト トラフィックに 一括適用されます。トンネル トラフィックの場合、デフォルトのプロ ファイルは、詳細設定セクションで特定のプロファイルが割り当てられ ていない各トンネルに個別に適用されます。QoS プロファイルの定義手 順の詳細は、「QoS プロファイルの定義」を参照してください。 クリア テキスト トンネル インターフェイス [ クリア テキスト トラフィック ] と [ トンネル対象 トラフィック ] [ クリア テキスト トラフィック ] タブと [ トンネル対象トラフィック ] タ ブで以下の設定を指定します。 最低保証帯域出力側 (Mbps) このインターフェイスからのクリア トラフィックに保証される帯域幅を 入力します。 最大保証帯域出力側 (Mbps) このインターフェイスを介してファイアウォールから出力されるトラ フィックの制限値を入力します。 390 • Quality of Services (QoS) の設定 Palo Alto Networks 表 217. QoS 設定(続き) フィールド 内容 追加 • クリア テキスト トラフィックの処理に対する追加詳細を定義するには、 [ クリア テキスト トラフィック ] タブで [ 追加 ] をクリックします。個々 のエントリをクリックして、以下の設定を指定します。 – 名前 — ここでの設定の識別に使用する名前を入力します。 – QoS プロファイル — 指定したインターフェイスとサブネットに適用 する QoS プロファイルを選択します。QoS プロファイルの定義手順 の詳細は、「QoS プロファイルの定義」を参照してください。 – 送信元インターフェイス — 送信元側のファイアウォール インターフェ イスを選択します。 – 送信元サブネット — 送信元のサブネットを選択すると、そのサブネッ トからのトラフィックのみに各設定が適用されます。デフォルト値 の [any] をそのまま使用すると、指定したインターフェイスからの すべてのトラフィックに対して各設定が適用されます。 • 特定のトンネルに対するデフォルト プロファイルの割り当てをオーバー ライドするには、[ トンネル対象トラフィック ] タブで [ 追加 ] をクリッ クし、以下の設定を指定します。 – トンネル インターフェイス — ファイアウォールのトンネル インター フェイスを選択します。 – QoS プロファイル — 指定したトンネル インターフェイスに適用する QoS プロファイルを選択します。 たとえば、ファイアウォールに対して 45 Mbps で接続するサイトと T1 で 接続するサイトを設定するとします。このとき、T1 サイトには接続が過 負荷状態にならないように制限の厳しい QoS 設定を適用する一方で、 45 Mbps で接続するサイトにはより柔軟な設定を適用できます。 クリア テキストまたはトンネル対象トラフィックのエントリを削除する には、エントリのチェック ボックスをオンにして [ 削除 ] をクリックし ます。 [クリア テキスト] または [トンネル対象トラフィック] セクションが空白 のままの場合、[ 物理インターフェイス ] タブの [ デフォルト プロファイ ル ] セクションで指定した値が使用されます。 Palo Alto Networks Quality of Services (QoS) の設定 • 391 QoS プロファイルの定義 QoS プロファイルの定義 [Network] > [ ネットワーク プロファイル ] > [QoS プロファイル ] インターフェイスごとに、QoS トラフィック クラスの処理方法を決定する QoS プロファイ ルを定義できます。クラスに関係なく帯域幅全体に対する制限を設定できます。また、個々 のクラスごとに制限を設定することもできます。個々のクラスに優先順位を割り当てること もできます。優先順位によって、競合がある場合のトラフィックの処理方法が決まります。 QoS プロファイルを定義するには、[ 追加 ] をクリックし、以下の表の説明に従ってフィール ドに入力します。 ファイアウォール インターフェイスに QoS を設定する方法の詳細は 「ファイアウォール インターフェイスの QoS の設定」を、QoS 制限をアク ティベーションするポリシーを設定する方法の詳細は「QoS ポリシーの定 義」を参照してください。 表 218. QoS プロファイル設定 フィールド 内容 プロファイル名 プロファイルの識別に使用する名前を入力します ( 最大 31 文字 )。名前 の大文字と小文字は区別されます。また、一意の名前にする必要があり ます。文字、数字、スペース、ハイフン、およびアンダースコアのみを 使用してください。 最大保証帯域出力側 このプロファイルで許容される最大帯域幅 (Mbps) を入力します。 QoS プロファイルの [ 最低保証帯域出力側 ] の値は、QoS が有効になっ ている物理インターフェイスに定義された [ 最低保証帯域出力側 ] の値以 下でなければなりません。 「ファイアウォール インターフェイスの QoS の設定」を参照してください。 注 : [ 最大保証帯域出力側 ] は必須フィールドではありませんが、QoS プ ロファイルのこの値は常に定義しておくことをお勧めします。 最低保証帯域出力側 392 • Quality of Services (QoS) の設定 このプロファイルで保証する帯域幅 (Mbps) を入力します。 Palo Alto Networks QoS プロファイルの定義 表 218. QoS プロファイル設定(続き) フィールド 内容 クラス [ 追加 ] をクリックして、個々の QoS クラスの処理方法を指定します。設定 する 1 つ以上のクラスを選択できます。 • クラス — クラスを設定しなくても、QoS ポリシーにクラスを含めるこ とができます。その場合、トラフィックは QoS 全体に対する制限の対 象になります。QoS ポリシーに一致していないトラフィックはクラス 4 に割り当てられます。 • 優先順位 — クラスに割り当てる優先度を選択します。 – real-time – high – medium – low • 最大保証帯域出力側 — このクラスの帯域幅制限 (Mbps) を入力します。 QoS クラスの [ 最低保証帯域出力側 ] の値は、QoS プロファイルに定義 された [ 最低保証帯域出力側 ] の値以下でなければなりません。 注 : [ 最大保証帯域出力側 ] は必須フィールドではありませんが、QoS プロファイルのこの値は常に定義しておくことをお勧めします。 • 最低保証帯域出力側 — このクラスの保障帯域幅 (Mbps) を入力します。 競合が発生すると、優先順位の低いトラフィックが破棄されます。優先 順位 [Real-time] では、固有のキューが使用されます。 Palo Alto Networks Quality of Services (QoS) の設定 • 393 QoS ポリシーの定義 QoS ポリシーの定義 [Policies] > [QoS] QoS ポリシーは、QoS が有効になっているインターフェイスを通過するときのトラフィック の処理を分類する方法を決定します。各ルールには、8 つのクラスのうちのいずれか 1 つを 指定します。アクティベーションするルールを指定するスケジュールを割り当てることもで きます。未分類トラフィックは、自動的にクラス 4 に割り当てられます。 Panorama のポリシーの定義の詳細は、 「Panorama でのポリシーの定義」を参照してください。 [ 追加 ] をクリックして [QoS ポリシー ルール ] ダイアログを開きます。[QoS ポリシー ルール ] ダイアログには、表 219 に示すように 6 つのサブタブがあります。 • [ 全般 ] タブ • [ 送信元 ] タブ • [ 宛先 ] タブ • [ アプリケーション ] タブ • [ サービス / [URL カテゴリ ] タブ • [ その他の設定 ] タブ ファイアウォール インターフェイスに QoS を設定する方法の詳細は 「ファイアウォール インターフェイスの QoS の設定」を、サービス クラス を設定する方法の詳細は「QoS プロファイルの定義」を参照してください。 QoS ポリシー ページを使用して、以下のようないくつかのアクションを実行できます。 • 特定の仮想システムのルールを表示するには、[ 仮想システム ] ドロップダウン リストか らそのシステムを選択して [ 実行 ] をクリックします。 • リストにフィルタを適用するには、[ フィルタ ルール ] ドロップダウン リストから選択 します。 • 特定のゾーンのルールのみを表示するには、[ 送信元ゾーン ] ドロップダウン リストや [ 宛先ゾーン ] ドロップダウン リストからそのゾーンを選択し、[ ゾーンによるフィルタ ] をクリックします。 Panorama からプッシュされた共有ポリシーは緑色で表示され、デバイス 上からは編集することができません。 • 新しい QoS ルールを追加するには、以下のいずれかを実行します。 – ページの下部にある [ 追加 ] をクリックしてルールを設定します。新しいルールがリ ストの下部に追加されます。 – [ ルールのコピー ] を選択するか、ルールの余白部分をクリックしてルールを選択し、 ページ下部の [ コピー] をクリックします ( ルールを選択すると背景が青色になります )。 コピーされたルールが選択したルールの下に挿入されます。 394 • Quality of Services (QoS) の設定 Palo Alto Networks QoS ポリシーの定義 表 219. QoS ルール設定 フィールド 内容 [ 全般 ] タブ 名前 ルールの識別に使用する名前 ( 最大 31 文字 ) を入力します。名前の大文 字と小文字は区別されます。また、一意の名前にする必要があります。 文字、数字、スペース、ハイフン、およびアンダースコアのみを使用し てください。 内容 任意の説明を入力します。 タグ ポリシーにタグを付ける場合、[ 追加 ] をクリックしてタグを指定します。 ポリシー タグとは、ポリシーをソートまたはフィルタリングできるキー ワードや語句です。多数のポリシーを定義していて、特定のキーワード でタグが付けられたポリシーを表示する場合に役立ちます。たとえば、 特定のセキュリティ ポリシーに DMZ へのインバウンドのタグを付けた り、復号化ポリシーに「復号」と「復号なし」というタグを付けたり、特 定のデータ センターに関するポリシーにその場所の名前を使用したりで きます。 [ 送信元 ] タブ 送信元ゾーン 1 つ以上の送信元ゾーンを選択します ( デフォルトは [any])。ゾーンは同 じタイプ ([ レイヤー 2]、[ レイヤー 3]、[ バーチャル ワイヤー ]) である必 要があります。 送信元アドレス IPv4 または IPv6 アドレスの送信元の組み合わせを指定します。識別さ れたアプリケーションの送信元アドレス情報は、これらのアドレスで オーバーライドされます。特定のアドレスを選択するには、ドロップダ ウン リストから [select] を選択して、以下のいずれかを実行します。 • [ 使用可能な列 ] で該当するアドレス やアドレス グループ の 横にあるチェック ボックスをオンにし、[ 追加 ] をクリックして選択内 容を [ 選択した列 ] に追加します。 • 名前の最初の数文字を [ 検索 ] フィールドに入力します。入力した文字 で始まるすべてのアドレスおよびアドレス グループが一覧表示されま す。一覧の項目を選択すると、[ 使用可能な列 ] のチェック ボックスが オンになります。この操作を必要な回数だけ繰り返し、次に [ 追加 ] を クリックします。 • 1 つ以上の IP アドレスを (1 行ごとに 1 つ ) 入力します。ネットワーク マスクは指定してもしなくてもかまいません。一般的な形式は以下の とおりです。 <ip_address>/<mask> • アドレスを削除するには、[ 選択済み ] 列で該当するチェック ボックス をオンにして [ 削除 ] をクリックするか、[ いずれか ] を選択して、すべ てのアドレスおよびアドレス グループをクリアします。 このポリシーまたは別のポリシーで使用できる新しいアドレスを追加す るには、[ 新規アドレス ] をクリックします。新しいアドレス グループを 定義する方法については、「アドレス グループの定義」を参照してくだ さい。 送信元ユーザー Palo Alto Networks QoS ポリシーが適用される送信元のユーザーおよびグループを指定し ます。 Quality of Services (QoS) の設定 • 395 QoS ポリシーの定義 表 219. QoS ルール設定(続き) フィールド 内容 Negate このタブで指定した情報が一致しない場合にポリシーを適用するには、 このチェック ボックスをオンにします。 [ 宛先 ] タブ 宛先ゾーン 1 つ以上の宛先ゾーンを選択します ( デフォルトは [any])。ゾーンは同じ タイプ ([ レイヤー 2]、[ レイヤー 3]、[ バーチャル ワイヤー ]) である必要 があります。 宛先アドレス IPv4 または IPv6 アドレスの送信元の組み合わせを指定します。識別さ れたアプリケーションの送信元アドレス情報は、これらのアドレスで オーバーライドされます。特定のアドレスを選択するには、ドロップダ ウン リストから [select] を選択して、以下のいずれかを実行します。 • [ 使用可能な列 ] で該当するアドレス やアドレス グループ の 横にあるチェック ボックスをオンにし、[ 追加 ] をクリックして選択内 容を [ 選択した列 ] に追加します。 • 名前の最初の数文字を [ 検索 ] フィールドに入力します。入力した文字 で始まるすべてのアドレスおよびアドレス グループが一覧表示されま す。一覧の項目を選択すると、[ 使用可能な列 ] のチェック ボックスが オンになります。この操作を必要な回数だけ繰り返し、次に [ 追加 ] を クリックします。 • 1 つ以上の IP アドレスを (1 行ごとに 1 つ ) 入力します。ネットワーク マスクは指定してもしなくてもかまいません。一般的な形式は以下の とおりです。 <ip_address>/<mask> • アドレスを削除するには、[ 選択済み ] 列で該当するチェック ボックス をオンにして [ 削除 ] をクリックするか、[ いずれか ] を選択して、すべ てのアドレスおよびアドレス グループをクリアします。 このポリシーまたは別のポリシーで使用できる新しいアドレスを追加す るには、[ 新規アドレス ] をクリックします (「アプリケーションの定義」 を参照 )。新しいアドレス グループを定義する方法については、 「アドレ ス グループの定義」を参照してください。 Negate 396 • Quality of Services (QoS) の設定 このタブで指定した情報が一致しない場合にポリシーを適用するには、 このチェック ボックスをオンにします。 Palo Alto Networks QoS ポリシーの定義 表 219. QoS ルール設定(続き) フィールド 内容 [アプリケーション] タブ アプリケーション QoS ルールを適用する特定のアプリケーションを選択します。新しいア プリケーションを定義する方法については、 「アプリケーションの定義」 を参照してください。アプリケーション グループを定義する方法につい ては、「アプリケーション グループの定義」を参照してください。 アプリケーションに複数の機能がある場合、アプリケーション全体また は個別の機能を選択できます。アプリケーション全体を選択した場合、 すべての機能が含まれ、将来、機能が追加されるとアプリケーション定 義が自動的に更新されます。 QoS ルールでアプリケーション グループ、フィルタ、またはコンテナを 使用している場合は、[ アプリケーション ] 列のオブジェクトの上にマウ スを置き、下向き矢印をクリックして [ 値 ] を選択すると、オブジェクト の詳細が表示されます。これにより、[Object] タブに移動しなくても、ポ リシーから直接アプリケーション メンバーを簡単に表示できます。 [ サービス / [URL カテゴリ ] タブ サービス 特定の TCP や UDP のポート番号に制限するには、サービスを選択しま す。ドロップダウン リストから以下のいずれかを選択します。 • any — 選択したアプリケーションがすべてのプロトコルやポートで許可 または拒否されます。 • application-default — 選択したアプリケーションが、Palo Alto Networks によって定義されたデフォルトのポートでのみ許可または拒否されま す。これは、許可ポリシーの推奨オプションです。 • Select — [ 追加 ] をクリックします。既存のサービスを選択するか、[ サー ビス ] または [ サービス グループ ] を選択して新しいエントリを指定し ます。「サービス」および「サービス グループ」を参照してください。 URL カテゴリ QoS ルールを適用する URL カテゴリを選択します。 • URL カテゴリに関係なくセッションでこの QoS ルールを照合できるよ うにするには、[ いずれか ] を選択します。 • カテゴリを指定するには、[ 追加 ] をクリックし、ドロップダウン リス トから特定のカテゴリ ( カスタム カテゴリも含む ) を選択します。複数 のカテゴリを追加できます。カスタム カテゴリの定義方法の詳細は、 「カスタム URL カテゴリ」を参照してください。 [ その他の設定 ] タブ クラス ルールに割り当てる QoS クラスを選択して、[OK] をクリックします。 クラス特性は、QoS プロファイルで定義します。QoS クラスの設定方法 の詳細は、「QoS プロファイルの定義」を参照してください。 スケジュール 適用する QoS ポリシーのスケジュールを設定するには、カレンダー アイ コンを選択します。 Palo Alto Networks Quality of Services (QoS) の設定 • 397 QoS 統計情報の表示 QoS 統計情報の表示 [Network] > [QoS] [QoS ポリシー ] ページのテーブルには、いつ QoS が有効になったかと、QoS 統計情報を表 示するためのリンクが表示されます。以下の図に例を示します。 図 17. QoS 統計情報 左パネルには、QoS ツリー テーブル、右パネルには、以下のタブにデータが表示されます。 • QoS Bandwidth — 選択したノードとクラスの帯域幅チャートがリアルタイムで表示され ます。情報は 2 秒おきに更新されます。 注 : QoS クラスに設定された [ 最大保証帯域出力側 ] と [ 最低保証帯域出力側 ] の制限 は、[QoS 統計情報 ] 画面では若干異なる値が表示される場合があります。これは、ハー ドウェア エンジンが帯域幅の制限とカウンタを集約する方法によって発生する正常動作 です。帯域幅の使用率グラフにはリアルタイムの値と数量が表示されるため、運用上の 問題はありません。 • Session Browser — 選択したノードやクラスのアクティブなセッションのリストが表示 されます。 • Application View — 選択した QoS ノードやクラスのアクティブなアプリケーションすべ てのリストが表示されます。 398 • Quality of Services (QoS) の設定 Palo Alto Networks 第 11 章 Panorama を使用したデバイス中央管理 Panorama は次世代ファイアウォールの Palo Alto Networks ファミリ用の中央管理システム であり、専用ハードウェア プラットフォームとして、および VMware バーチャル アプライ アンスとして使用できます。Web ベースのインターフェイスの外観や操作感が個々のファイ アウォールと同じため、ファイアウォールの中央管理にシームレスに移行でき、複数のファ イアウォールを管理する作業を削減できます。 このセクションは、Panorama Web インターフェイスを使用してネットワーク上のファイア ウォールを管理するためのフィールド リファレンスとして役立ちます。Panorama の設定、 Panorama の概念およびワークフローの詳細は、『Panorama 管理者ガイド』を参照してくだ さい。 • [Panorama] タブ • デバイス コンテキストの切り替え • ストレージ パーティションのセットアップ • 高可用性 (HA) の設定 • デバイスの追加 • ファイアウォール設定のバックアップ • デバイス グループの定義 • Panorama 管理者ロールの定義 • Panorama 管理アカウントの作成 • 管理者の Panorama アクセス ドメインの指定 • ログおよびレポート • ログ コレクタの管理 • ログ コレクタ グループの定義 • ユーザー アクティビティ レポートの生成 Palo Alto Networks Panorama を使用したデバイス中央管理 • 399 • ファイアウォール導入情報の表示 • ダイナミック更新のスケジュール • 設定のエクスポートのスケジューリング • Panorama ソフトウェアのアップグレード • ログ転送の有効化 • NSX Manager 上のサービスとしての VM-Series ファイアウォールの登録 [Panorama] タブ Panorama [Panorama] タブはファイアウォールの [Device] タブとほぼ同じですが、設定は Panorama サーバーに適用され、管理対象ファイアウォールには適用されません。以下の表は、このタ ブの各ページについて説明します。ページにアクセスするには、サイド メニューにあるペー ジ名リンクをクリックします。 表 220. Panorama のページの要約 ページ 内容 セットアップ Panorama ホスト名、管理インターフェイスのネットワーク設定、および ネットワーク サーバー (DNS および NTP) のアドレスを指定できます。「管 理設定の定義」を参照してください。 テンプレート [Device] および [Network] タブに基づいた設定オプションの管理に使用でき るテンプレートを作成できます。テンプレートを使用すると、よく似た設定 の複数のファイアウォールを導入する場合の管理作業を削減できます。 「テン プレート」を参照してください。 設定監査 設定ファイルの表示や比較ができます。 「操作設定の定義」および「デバイス コンテキストの切り替え」を参照してください。 管理対象デバイス Panorama の管理対象ファイアウォールを追加し、管理対象ファイアウォール に共有設定をプッシュして、ファイアウォールまたはデバイス グループ全体 の包括的な設定監査を実行できます。 「デバイスの追加」を参照してください。 デバイス グループ 機能、ネットワーク セグメント、または地理的な場所に基づいてファイア ウォールをグループ化できます。デバイス グループには、物理的なファイア ウォール、仮想ファイアウォールおよび / または仮想システムを含めること ができます。通常、デバイス グループ内のファイアウォールには、類似のポ リシー設定が必要です。 デバイス グループでは、Panorama の [Policies] および [Objects] タブを使 用して、管理対象ファイアウォールのネットワーク全体のポリシーを管理す る階層的な手段を実装できます。「デバイス グループの定義」を参照してく ださい。 400 • Panorama を使用したデバイス中央管理 Palo Alto Networks 表 220. Panorama のページの要約(続き) ページ 内容 管理対象コレクタ ログ コレクタ デバイス ( ログ コレクタ モード、または専用のログ コレクタ として機能するように設定された M-100 アプライアンス ) を設定および管理 できます。専用のログ コレクタは、Panorama を使用して設定および管理さ れるため、管理対象コレクタとも呼ばれます。 管 理 対 象 コレクタは、Panorama モードの M-100 アプライアンスまたは Panorama バーチャル アプライアンスによって管理されます。 Panorama によって管理される v5.0 以降のファイアウォールは、これらの管 理対象コレクタにログを送信できます。 また、このタブを使用して、ログ コレクタでソフトウェアをアップグレード することもできます。まず、最新の Panorama ソフトウェアをダウンロード し、[ 管理対象コレクタ ] ページで [ インストール ] をクリックして更新バー ジョンをログ コレクタにプッシュします。 注:M-100 は、Panorama マネージャ、ログ コレクタ、またはその両方とし て設定 できます。M-100 のモードを変更する操作コマンドは request system logger-mode [panorama | logger] です。現在のモードを表 示するには、show system info | match logger_mode を実行します。 M-100 がログ コレクタ モードの場合、管理に使用できるのは CLI のみです。 「ログ コレクタの管理」を参照してください。 コレクタ グループ 1 つ以上のログ コレクタを論理的にグループ化して、コレクタ グループ内の すべてのログ コレクタに同じ設定を適用してから、ファイアウォールをその ログ コレクタに割り当てることができます。ログは、ログ コレクタのすべて のディスク間およびコレクタ グループ内のすべてのメンバー間で均一に分散 されます。 各 Panorama には最大 16 個のコレクタ グループを設定でき、各コレクタ グ ループには最大 16 個のログ コレクタを設定できます。ログ コレクタ グルー プの設定方法の詳細は、「ログ コレクタの追加」を参照してください。 管理者ロール Panorama にアクセスする必要があるユーザーに割り当てられる権限と役割 を定義します。「管理者ロールの定義」を参照してください。 パスワード プロファイル Panorama 管理者に適用できるパスワード プロファイルを定義できます。以 下のプロファイル オプションを設定できます。 • パスワード変更が必要になる期間 ( 日 ) • 失効の警告期間 ( 日 ) • 失効後の管理者ログイン回数 • 失効後の猶予期間 ( 日 ) 管理者 Panorama にアクセスする必要があるユーザーのアカウントを定義できます。 「管理アカウントの作成」を参照してください。 注:[ 管理者 ] ページでは、ユーザー アカウントがロックアウトされている と、右列にロック アイコンが表示されます。管理者は、このアイコンをク リックしてアカウントのロックを解除できます。 高可用性 Panorama デバイスのペアを設定して、高可用性 (HA) を構成することがで きます。「高可用性 (HA) の設定」を参照してください。 証明書の管理 証明書、証明書プロファイル、鍵を設定および管理できます。 「デバイス証明 書の管理」を参照してください。 Palo Alto Networks Panorama を使用したデバイス中央管理 • 401 表 220. Panorama のページの要約(続き) ページ 内容 ログ設定 SNMP (Simple Network Management Protocol) トラップ受信装置、syslog サーバー、およびログ メッセージの配布先電子メール アドレスを定義でき ます。 サーバー プロファイル Panorama にサービスを提供するサーバーのプロファイルを指定できます。 以下のセクションを参照してください。 • 電子メール通知設定の指定 • SNMP トラップの宛先の設定 • Syslog サーバーの設定 • RADIUS サーバーの設定 • LDAP サーバーの設定 • Kerberos の設定 (Active Directory のネイティブ認証 )。 • Netflow の設定 認証プロファイル Panorama へのアクセスを認証するプロファイルを指定できます。 「認証プロ ファイルのセットアップ」を参照してください。 認証シーケンス Panorama へのアクセスを許可するために使用する認証レルムのチェーンを 指定できます。「認証シーケンスのセットアップ」を参照してください。 アクセス ドメイン アクセス ドメインと RADIUS 認証を併用すると、ベンダー固有属性 (VSA) を使用して、管理者が管理できるデバイス グループ、テンプレート、および デバイス コンテキストへの管理アクセス権を制限できます。「管理者の Panorama アクセス ドメインの指定」を参照してください。 スケジュール 設定された設定の エクスポート 管理対象ファイアウォールから実行中の設定を収集して File Transfer Protocol (FTP) サ ー バ ーに毎日送信することや、Secure Copy (SCP) を使用して Panorama サーバーとリモート ホスト間でデータを安全に転送することがで きます。「設定のエクスポートのスケジューリング」を参照してください。 ソフトウェア Panorama ソフトウェアの使用可能なリリースを表示し、選択されたバー ジョンをダウンロードおよびインストールできます。 「Panorama ソフトウェ アのアップグレード」を参照してください。 ダイナミック更新 最新のアプリケーション定義やウイルス対策シグネチャ ( 脅威防御ライセン スが必要 ) などの新しいセキュリティ上の脅威に関する情報を表示し、新し い定義で Panorama を更新できます。「脅威およびアプリケーションの定義 の更新」を参照してください。 サポート デバイスの デプロイ Palo Alto Networks 社の製品およびセキュリティ警告にアクセスできます。 「サポート情報の表示」を参照してください。 管理対象ファイアウォールの現在のライセンス情報を表示し、管理対象ファ イアウォールおよび管理対象コレクタにソフトウェア、クライアント、およ びダイナミック コンテンツをインストールできます。「ファイアウォール導 入情報の表示」を参照してください。 ダイナミック更新のダウンロードとインストールのプロセスを自動化する方 法については、「ダイナミック更新のスケジュール」を参照してください。 マスター キー および診断 ファイアウォールで秘密鍵を暗号化するためのマスター鍵を指定できます。 秘密鍵は、新しいマスター鍵が指定されていない場合でも、デフォルトで 暗号化形式を使用して保存されます。「ファイアウォールでの秘密鍵とパス ワードの暗号化」を参照してください。 402 • Panorama を使用したデバイス中央管理 Palo Alto Networks デバイス コンテキストの切り替え コンテキストを切り替えることで、管理者は Panorama Web インターフェイスから管理対象 ファイアウォールの Web インターフェイスを起動できます。このインターフェイスから、 Panorama を使用して、個々のファイアウォール上のファイアウォール固有の設定 ( ファイア ウォール固有のポリシー、ネットワーキング、およびデバイス セットアップなど ) に直接ア クセスして管理できます。 個々のファイアウォールや Panorama 全体を選択するには、サイド メニューの上にある [ コ ンテキスト ] ドロップダウン リストを使用します。コンテキスト メニューには、管理アクセ ス権のあるファイアウォールが表示されます (386 ページの「Panorama 管理者ロール、プロ ファイル、およびアカウント」を参照 )。フィルタを使用して検索基準を絞り込みます。ファ イアウォールを選択すると、Web インターフェイスが更新され、選択したファイアウォール のすべてのタブとオプションが表示されます。 図 18. コンテキストの選択 接続されたファイアウォールにのみコンテキストから切り替えることがで きます。切断されたファイアウォールは、ドロップダウン リストに表示さ れません。 ストレージ パーティションのセットアップ デフォルトで、Panorama はログ ファイルおよび統計データ用の内部ストレージを保持しま す。デフォルトの Panorama インストールでは、すべてのデータ用に 1 つのディスク パー ティションがセットアップされます。このパーティションには、ログ保存エリアとして 10 GB が割り当てられます。 Panorama 仮想マシンをより大きなパーティションにインストールしても、ログ用のスペー スは 10GB より大きくなりません。これ以上の保存スペースが必要な環境をサポートするた めに、ESX または ESXi の場合は最大 2 TB のカスタム仮想ディスクを作成するか、外部 NFS データ ストアを設定できます。 [Panorama] > [ セットアップ ] > [ 操作 ] > [ ストレージ パーティションの設定 ] 外部 NFS データ ストアを設定するには、[Panorama] > [ セットアップ ] > [ 操作 ] ページ内の [ その他 ] 欄にある [ ストレージ パーティションの設定 ] リンクをクリックし、以下の設定を 指定します。 表 221. ストレージ パーティション設定 フィールド 内容 内部 Panorama デバイスのログ ファイルおよび統計データ用の内部ストレー ジ スペースを保持します。 Palo Alto Networks Panorama を使用したデバイス中央管理 • 403 表 221. ストレージ パーティション設定(続き) フィールド 内容 NFS v3 ストレージ用の外部 NFS サーバー マウント ポイントを指定します。以下 の設定を指定します。 • サーバー — NFS サーバーの完全修飾ドメイン名 (FQDN) または IP ア ドレスを指定します。 • ログ ディレクトリ — ログが保存されるディレクトリの完全パス名を指 定します。 • プロトコル — NFS サーバーとの通信用プロトコルを指定します (UDP または TCP)。 • ポート — NFS サーバーとの通信用ポートを指定します。 • 読み取りサイズ — NFS 読み取り操作の最大サイズ ( バイト ) を指定し ます ( 範囲は 256 ~ 32768)。 • 書き込みサイズ — NFS 書き込み操作の最大サイズ ( バイト ) を指定し ます ( 範囲は 256 ~ 32768)。 • セットアップ時にコピー — Panorama デバイスが起動したときに、NFS パーティションをマウントし、既存のすべてのログをサーバー上の宛 先ディレクトリにコピーする場合に、このチェック ボックスをオンに します。 • ロギング パーティションのテスト — クリックすると、NFS パーティ ションをマウントし、成功メッセージまたは失敗メッセージを表示す るテストが実行されます。 ストレージ パーティションの設定後に Panorama サーバーを再起動する 必要があります。 404 • Panorama を使用したデバイス中央管理 Palo Alto Networks 高可用性 (HA) の設定 [Panorama] > [ 高可用性 ] 高可用性 (HA) では、障害が発生した場合に備えて冗長が許可されます。HA を確保するた め、各管理対象ファイアウォールへの同期接続が行える HA ピア設定で、ハードウェア ベー スの Panorama アプライアンスまたは Panorama バーチャル アプライアンスのペアを導入し ます。HA 設定のピアでは、1 つのデバイスをプライマリ、もう一方のデバイスをセカンダリ に指定する必要があります。モニター対象メトリックに障害が発生するまで、プライマリ デ バイスがアクティブ状態になり、セカンダリ デバイスがパッシブ状態になります。ピアでは、 動作ステータスを確認するためハートビートまたは定期的な ICMP ping が保持されます。ア クティブな Panorama サーバーが使用できなくなると、パッシブ サーバーが一時的に引き継 ぎます。プリエンプションが有効になっている ( デフォルト設定 ) 場合、アクティブな Panorama サーバーが再度使用可能になると、パッシブ サーバーは制御を放棄し、パッシブ 状態に戻ります。 Panorama バーチャル アプライアンスの HA ペアを設定するには、仮想イ ンスタンスごとに一意のシリアル番号を持つ 2 つの Panorama ライセンス が必要です。 Panorama で HA を有効にするには、以下のように設定します。 表 222. Panorama HA 設定 フィールド 内容 セットアップ HA の有効化 HA を有効にするには、このチェック ボックスをオンにします。 ピア HA IP アドレス ピアの MGT インターフェイスの IP アドレスを入力します。 暗号化を有効 HA キーを HA ピアからエクスポートしてこのデバイスにインポートした後 で、暗号化を有効にします。このデバイスの HA キーは、このデバイスから エクスポートして HA ピアにインポートする必要もあります。MGT イン ターフェイスが有効になると、HA ピア間の通信が暗号化されます。 キーのインポート / エクスポートは [ 証明書 ] ページで実行します。「デバイ ス証明書の管理」を参照してください。 注:HA 接続には、暗号化が有効になっている場合は TCP ポート 28 が使用 され、有効になっていない場合は 28769 が使用されます。 ホールド タイムの モニター ( ミリ秒 ) Palo Alto Networks 制御リンク障害に対処するまでにシステムが待機する時間 ( ミリ秒 ) を入力 します (1000 ~ 60000 ミリ秒、デフォルトは 3000 ミリ秒 )。 Panorama を使用したデバイス中央管理 • 405 表 222. Panorama HA 設定(続き) フィールド 内容 選択設定 優先順位 ( 仮想 Panorama で のみ必要 ) 各ペアで、一方のデバイスをプライマリとして割り当て、もう一方のデバイ スをセカンダリとして割り当てます。 このプライマリまたはセカンダリの設定により、管理対象ファイアウォール から送信されるログを受け取るプライマリ ピアが決まります。Panorama を 設定して、割り当てられたプライマリ デバイスおよびセカンダリ デバイス に同じログ用の外部ストレージ機能 (Network File System または NFS オプ ション ) が使用されるようにしたり、ログを内部で設定したりすることがで きます。NFS オプションを使用すると、プライマリ デバイスのみが、管理 対象ファイアウォールから送信されたログを受け取ります。ただし、ローカ ル ログが有効に設定されていれば、デフォルトによりログはプライマリ デ バイスとセカンダリ デバイスの両方に送信されます。 プリエンプティブ Panorama のプライマリ デバイスが障害から回復した後にアクティブな動 作を再開できるようにするには、このチェック ボックスをオンにします。こ れがオフに設定されている場合、優先度の高いデバイスが障害から回復した 後も、セカンダリ デバイスがアクティブのまま動作します。 プリエンプション ホールド タイム ( 分 ) パッシブ デバイスがアクティブ デバイスとして引き継ぐまでに待機する時 間を入力します ( 範囲は 1 ~ 60 分、デフォルトは 1 分 )。 プロモーション ホー ルド タイム ( ミリ秒 ) セカンダリ デバイスが引き継ぐまでに待機する時間を入力します ( 範囲は 0 ~ 60000 ミリ秒、デフォルトは 2000 ミリ秒 )。 Hello 間隔 ( ミリ秒 ) hello パケットを送信してもう一方のデバイスが動作していることを確認す る間隔をミリ秒で入力します ( 範囲は 8000 から 60000 ミリ秒、デフォルト は 8000 ミリ秒 )。 ハートビート間隔 ( ミリ秒 ) Panorama が ICMP ping を HA ピアに送信する頻度を指定します ( 範囲は 1000 ~ 60000 ミリ秒、デフォルトは 1000 ミリ秒 )。 モニター障害時 ホールド アップ タイ ム ( ミリ秒 ) Panorama が、パス モニターの障害が発生した後に待機する時間を指定しま す ( デフォルトは 0 ミリ秒 )。この時間を経過すると、Panorama はパッシブ 状態に戻ろうとします。この間、障害が発生してもデバイスはアクティブ デ バイスを引き継ぐことができません。 追加のマスター ホールド アップ タイ ム ( ミリ秒 ) 優先度の高いデバイスがパッシブ状態を維持する時間を指定します ( デフォ ルトは 7000 ミリ秒 )。この時間が経過すると、そのデバイスはアクティブ デ バイスとして引き継ぎます。 406 • Panorama を使用したデバイス中央管理 Palo Alto Networks 表 222. Panorama HA 設定(続き) フィールド 内容 パス モニタリング 有効 パスのモニタリングを有効にするには、このチェック ボックスをオンにし ます。パスのモニタリングをオンにすると、Panorama は、ICMP ping メッ セージを送信してレスポンスがあることを確認することで、指定した宛先 IP アドレスをモニターします。 失敗条件 モニターしているパス グループの一部またはすべてで応答できない場合に フェイルオーバーを発生させるかどうかを選択します。 パス グループ 特定の宛先アドレスをモニターする 1 つ以上のパス グループを定義します。 パス グループを追加するには、以下を指定して [ 追加 ] をクリックします。 • 名前 — パス グループの名前を指定します。 • 有効 — パス グループを有効にする場合、このチェック ボックスをオンに します。 • 失敗条件 — 指定した宛先アドレスの一部またはすべてが応答できない場合 に、エラーを発生させるかどうかを選択します。 • 宛先 IP — モニター対象となる 1 つ以上の宛先アドレスを入力します ( 複 数アドレスを指定する場合はコンマ区切りで入力します )。 • Ping 間隔 — 宛先アドレスに送信される ping 間の間隔を指定します ( 範囲 は 1000 ~ 60000 ミリ秒、デフォルトは 5000 ミリ秒 )。 • Ping 数 — 失敗が宣言されるまでの失敗した ping 数を指定します ( 範囲 は 3 ~ 10、デフォルトは 3)。 パス グループを削除するには、グループを選択して [ 削除 ] をクリックします。 デバイスの追加 [Panorama] > [ 管理対象デバイス ] Panorama が管理する Palo Alto Networks ファイアウォールを管理対象デバイスといいま す。[ 管理対象デバイス ] ページでは、タスク ( ファイアウォールを中央管理するために追加 するなど ) の実行、ソフトウェア アップグレードの実行、および設定のバックアップの管理 ができます。各管理対象デバイスの状態に関する情報も表示されます。 ファイアウォールを Panorama サーバーに接続して中央管理できるようにするには、以下の 2 つの手順を実行する必要があります。 • Panorama サーバーでファイアウォールのシリアル番号を追加します。 • ファイアウォールで Panorama サーバーの IP アドレスを追加します。 Palo Alto Networks Panorama を使用したデバイス中央管理 • 407 Panorama では、同じメジャー リリースまたはサポートされている以前の バージョンを実行中の PAN-OS ファイアウォールを管理できますが、より 新しいリリース バージョンを実行中のファイアウォールは管理できません。 たとえば、Panorama 5.0 は 5.0 またはそれ以前のサポートされているバー ジョンを実行中の PAN-OS ファイアウォールを管理できますが、5.1 を実行 中の PAN-OS ファイアウォールは管理できません。 [ 管理対象デバイス ] ページでは、以下のタスクを実行できます。 • デバイスの追加 : ファイアウォールを追加するには、[ 追加 ] をクリックし、1 つ以上のファ イアウォールのシリアル番号を入力します。1 行あたり 1 エントリのみを入力します。 • インストール : ソフトウェアまたはコンテンツの更新を実行するには、[ インストール ] を クリックし、以下の詳細を入力します。. 表 223 管理対象デバイスのソフトウェア / コンテンツの更新 フィールド 内容 タイプ インストールする更新のタイプを選択します。 ファイル [ アップロード済み ] または [ ダウンロード済み ] ファイルのリス トからファイルを選択します。 [Panorama] > [ デバイスのデプロイ ] サブタブを使用して イメージをダウンロードしておくか、[ ファイルからイン ストール ] オプションを使用してファイルを Panorama に アップロードしておく必要があります。 デバイス イメージをインストールするファイアウォールを選択するには、 フィルタを使用します。 デバイスにのみ アップロード ( インストールは行わない ) ファイアウォールにイメージをアップロードするが、ファイア ウォールの再起動を後で行う場合は、このオプションを選択し ます。 再起動するまで、最新のソフトウェア イメージはインストール されません。 インストールの後に デバイスを再起動 最新のソフトウェア イメージをアップロードしてインストール する場合は、このオプションを選択します。再起動がトリガーさ れます。 HA ピアのグループ化 : HA 設定でデプロイされているファイアウォールについては、HA ピ アを選択し、[HA ピアのグループ化 ] チェック ボックスをオンにして、HA モードのファイ アウォールをまとめてグループ化します。 このオプションを使用すると、HA モードのファイアウォールを簡単に識別できます。共有 ポリシーをプッシュする場合に、個々のファイアウォールではなくグループ化されたペアに プッシュできます。また、[ 管理対象デバイス ] で新しいファイアウォールを追加する場合に、 ファイアウォール が HA モードであれば、両方のファイアウォールが一緒に表示され、まと めて追加できます。 HA ペアを表示する場合に設定が一致しない場合は、警告インジケータが表示されます。HA ファイアウォールが異なるデバイス グループに属する場合も、インジケータが表示されます。 HA ペアを表示する場合に設定が一致しない場合は、警告インジケータが表示されます。HA ファイアウォールが異なるデバイス グループに属する場合も、インジケータが表示されます。 408 • Panorama を使用したデバイス中央管理 Palo Alto Networks アクティブ - パッシブ設定の HA ピアについては、両方のファイアウォールまたはピアから なる仮想システム ( マルチ仮想システム モードの場合 ) を同じデバイス グループに追加す ることを検討してください。これにより、両方の HA ピア ファイアウォールに同時に設定を プッシュできます。 このオプションはセクションごとに独立しているため、1 つのエリアで有効 / 無効にしても 全エリアで有効 / 無効になるわけではありません。[HA ピアのグループ化 ] オプションは、 以下の Panorama エリアに存在します。 – 管理対象デバイス – テンプレート – デバイス グループ – [Policies] タブ ( すべてのポリシー タイプの [ ターゲット ] タブ ) – [ コミット ] ダイアログ 削除 : Panorama が管理するファイアウォールのリストからファイアウォールを削除するに は、1 つ以上のファイアウォールのチェック ボックスをオンにし、[ 削除 ] をクリックします。 タグ : タグを追加するには、1 つ以上のファイアウォールのチェック ボックスをオンにし、 [ タグ ] をクリックします。最大 31 文字のテキスト文字列を入力します。空白は使用でき ません。 タグを付けると、長いリストからファイアウォールを見つけやすくなり、ファイアウォール のリストをダイナミックにフィルタリングして表示を絞り込むことができます。たとえば、 「branch office」というタグを追加すると、ネットワーク全体から支店のファイアウォールす べてを検索できます。 [ 管理対象デバイス ] ページには、各管理対象ファイアウォールが、以下の表に示されている 情報とともに一覧表示されます。 表 224. 管理対象デバイスの状態 フィールド 内容 デバイス名 追加したファイアウォールのホスト名またはシリアル番号が表示 されます。 仮想システム マルチ仮想システム機能が有効なファイアウォールで使用できる 仮想システムが一覧表示されます。 タグ 各ファイアウォール / 仮想システムに定義されているタグが表示さ れます。 シリアル番号 ファイアウォールのシリアル番号が表示されます。 IP アドレス ファイアウォール / 仮想システムの IP アドレスが表示されます。 テンプレート ファイアウォールが属するテンプレートが表示されます。 Palo Alto Networks Panorama を使用したデバイス中央管理 • 409 表 224. 管理対象デバイスの状態(続き) フィールド 内容 状態 接続済み — ファイアウォールが Panorama と接続されているか、 切断されているかが表示されます。 共有ポリシー — 設定 ([Policies] および [Objects]) が Panorama と 同期しているか、していないかが表示されます。 テンプレート — 設定 ( ネットワークおよびデバイス ) が Panorama と同期しているか、していないかが表示されます。 最終コミット状態 — ファイアウォールで最後のコミットが失敗し たか、成功したかが表示されます。 ソフトウェア、アプリケーションおよび驚異、アンチウイルス、 URL フィルタリング、GlobalProtect クライアント、WildFire — 管 理対象ファイアウォールに現在インストールされているソフト ウェア / コンテンツのバージョンが表示されます。 バックアップ コミットごとに、管理対象ファイアウォールの設定のバックアップ が自動的に Panorama に送信されます。[Manage...] リンクから、 使用可能な設定のバックアップを表示できます。保存された設定 ファイルのリストからバージョンをロードするには、[Load] をク リックします。 ファイアウォール設定のバックアップ [Panorama] > [ 管理対象デバイス ] Panorama では、設定の変更を管理対象ファイアウォールにコミットするたびにその変更が 自動的に保存されます。Panorama デバイス上に保管するバージョンの数は、[Panorama] > [ セットアップ ] タブの [ 管理 ] 設定にある [ ロギングおよびレポート設定 ] を使用して設定で きます。デフォルトは 100 です。バージョン番号の設定手順の詳細は、 「管理設定の定義」を 参照してください。 Panorama のバックアップを管理するには、[Panorama] > [ 管理対象デバイス ] を選択して、 デバイスの [ バックアップ ] 列にある [Manage] をクリックします。ウィンドウが開き、その デバイスの保存およびコミットされた設定が表示されます。[Load] リンクをクリックして候 補設定へのバックアップを復元し、目的の変更を行った後、[ コミット ] をクリックしてロー ドした設定をデバイスに復元します。保存された設定を削除するには 、アイコンをクリッ クします。 410 • Panorama を使用したデバイス中央管理 Palo Alto Networks デバイス グループの定義 [Panorama] > [ デバイス グループ ] Panorama のデバイス グループでは、ファイアウォールをグループ化してから、すべてのデ バイス グループ間またはデバイス グループのファイアウォール間で共有できるポリシーと オブジェクトを定義できます。デバイス グループは、共有するポリシーとオブジェクトをス ケーリングおよび管理しやすくするように設計されているため、デバイス グループを作成す る前に、ファイアウォールをどのようにグループ化するのかを計画しておく必要があります。 たとえば、類似する機能、セキュリティ要件、または地理的な場所に基づいてデバイス グルー プを作成できます。 デバイス グループは、1 つのグループとして管理するファイアウォールや仮想システムで構 成することができます。たとえば、会社内の支店または個々の部門によるグループを管理す るファイアウォールなどが考えられます。Panorama でポリシーを適用するときに、各グ ループは 1 つの単位として処理されます。 ファイアウォールは、1 つのデバイス グループにのみ属することができます。Panorama で は、仮想システムが個別のエンティティとみなされるため、ファイアウォール内の仮想マシ ンを異なるデバイス グループに割り当てることができます。 [ デバイス グループ ] ページでは、Panorama に設定されているデバイス グループの追加、削 除、および表示ができます。 デバイス グループを追加するには、[ 追加 ] をクリックし、以下の表の情報を指定します。 表 225. デバイス グループ設定 フィールド 内容 名前 グループの識別に使用する名前 ( 最大 31 文字 ) を入力します。名前 の大文字と小文字は区別されます。また、一意の名前にする必要が あります。文字、数字、スペース、ハイフン、およびアンダースコ アのみを使用してください。 内容 グループの説明を入力します。 デバイス デバイス グループに追加する各ファイアウォールのチェック ボッ クスをオンにします。[OK] をクリックしてデバイス グループに対 する変更を保存します。 フィルタを使用して、表示するファイアウォールのリストを絞り込 みます。デフォルトのフィルタでは、すべての管理対象ファイア ウォールのリストがテンプレート、プラットフォーム、タグ別に表 示され、管理対象ファイアウォール合計数も表示されます。フィル タリング基準のチェック ボックスをオンにすると、選択した基準 のファイアウォール数が管理対象ファイアウォールの合計数に対 する割合として表示されます。 Palo Alto Networks Panorama を使用したデバイス中央管理 • 411 表 225. デバイス グループ設定(続き) フィールド 内容 マスター デバイス マスターとして使用するデバイスを選択します。マスター デバイス は、Panorama がポリシー内で使用する User-ID 情報を収集する ファイアウォールです。収集されたユーザーおよびグループ マッ ピング情報はデバイス グループに特有で、グループ内の 1 つのデ バイス ( マスター ) のみから収集されます。 HA ピアのグループ化 高可用性 (HA) モードのファイアウォールをグループ化するには、 このチェック ボックスをオンにします。 このオプションを使用すると、HA モードのファイアウォールを簡 単に識別できます。共有ポリシーをプッシュする場合に、個々の ファイアウォールではなくグループ化されたペアにプッシュでき ます。また、[ 管理対象デバイス ] で新しいファイアウォールを追加 する場合に、ファイアウォール が HA モードであれば、両方の ファイアウォールが一緒に表示され、まとめて追加できます。 HA ペアを表示する場合に設定が一致しない場合は、警告インジ ケータが表示されます。HA ファイアウォールが異なるデバイス グ ループに属する場合も、インジケータが表示されます。アクティブ パッシブ設定の HA ピアについては、両方のファイアウォールまた はピアからなる仮想システム ( マルチ仮想システム モードの場合 ) を同じデバイス グループに追加することを検討してください。こ れにより、両方の HA ピア ファイアウォールに同時に設定をプッ シュできます。 デバイス グループを作成した後、変更を Panorama とデバイス グループにコミットする必要 があります。変更をコミットすると、設定変更がそのデバイス グループに割り当てられてい る管理対象ファイアウォールにプッシュされます。Panorama への変更のコミットの詳細は、 「Panorama での変更のコミット」を参照してください。 削除 : デバイス グループを削除するには、1 つ以上のデバイス グループのチェック ボックス をオンにし、[ 削除 ] をクリックします。 共有オブジェクトと共有ポリシー デバイス グループでは、管理対象ファイアウォールのネットワーク全体のポリシーを管理す る階層的な手段を実装できます。共有オブジェクトまたは共有ルールは、すべてのデバイス グループで使用できます。デバイス グループ固有のオブジェクトは、属するデバイス グルー プでのみ使用できます。 共有ポリシーと共有オブジェクトを作成できるのは、Panorama 管理者のみです。 • 共有ポリシーを作成するには、[Policies] タブで、[ デバイス グループ ] ドロップダウン リストから [ 共有 ] を選択します。 412 • Panorama を使用したデバイス中央管理 Palo Alto Networks • デバイス グループ固有のポリシーを作成するには、[Policies] タブで、[ デバイス グルー プ ] ドロップダウン リストから該当するデバイス グループを選択します。 • 共有オブジェクトを作成するには、[Objects] タブで、[ 追加 ] をクリックし、オブジェク ト定義時に [ 共有 ] チェック ボックスをオンにします。 • デバイス グループ固有のオブジェクトを作成するには、[Objects] タブで、[ デバイス グ ループ ] ドロップダウン リストから該当するデバイス グループを選択します。 注:1 つは共有されており、もう 1 つはデバイス グループ固有である同じ名前のオブジェクトがある場 合、そのデバイス グループにはデバイス グループ固有のオブジェクトが使用されます。 デバイス グループ内の特定デバイスへのポリシーの適用 ポリシー ルールが定義されるデバイス グループ内の個々のファイアウォールに、そのルー ルをターゲット指定することができます。ポリシーを作成した後にファイアウォールをター ゲット指定するには、[ ターゲット ] 列のエントリをクリックして、ポップアップ ウィンド ウからファイアウォールを選択します。ターゲット ファイアウォールを除く、デバイス グ ループ内のすべてのファイアウォールにルールを適用するには、[ これらの指定されたデバ イスのみをターゲットに設定する ] チェック ボックスをオンにします。 図 19. Panorama 内の個々のデバイスに対するポリシー ルールのターゲット指定 Panorama 管理者ロールの定義 [Panorama] > [ 管理者ロール ] 管理ユーザーが行使可能なアクセス権と役割を決めるロール プロファイルを定義するに は、[ 管理者ロール ] ページを使用します。管理者アカウントの追加手順の詳細は、 「Panorama 管理アカウントの作成」を参照してください。 [Panorama] > [ 管理者 ] ページへのアクセス権がない Panorama 管理者は、Web インター フェイス下部の [ ログアウト ] リンクの左にある管理者のユーザー名をクリックして、パス ワードを変更できます。 管理者ロールは、RADIUS ベンダー固有属性 (VSA) で、 「PaloAltoPanorama-Admin-Role = AdminRoleName」という属性を使用してマッ ピングできます。 Palo Alto Networks Panorama を使用したデバイス中央管理 • 413 表 226. Panorama 管理者ロール設定 フィールド 内容 名前 管理者ロールの識別に使用する名前を入力します ( 最大 31 文字 )。名前 の大文字と小文字は区別されます。また、一意の名前にする必要があり ます。文字、数字、スペース、ハイフン、およびアンダースコアのみを 使用してください。 内容 ロールの説明 ( 省略可 ) を入力します。 許可 管理役割の適用範囲 ([Panorama] または [ デバイス グループとテンプ レート ]) を選択します。 WebUI Web インターフェイスで許可するアクセスのタイプを示すアイコンをク リックします。 • 指定ページに読み書きアクセスできます。 • 指定ページに読み取り専用でアクセスできます。 • 指定ページにアクセスできません。 XML API XML API のアクセスのタイプを選択します。 • レポート — ファイアウォール レポートにアクセスできます。 • ログ — ファイアウォール ログにアクセスできます。 • 設定 — ファイアウォール設定の取得または変更が許可されます。 • 操作要求 — 操作コマンドの実行が許可されます。 • コミット — 設定のコミットが許可されます。 • User-ID エージェント — User-ID エージェントにアクセスできます。 • エクスポート — 設定、ブロック ページまたは応答ページ、証明書、鍵 などのファイルのファイアウォールからのエクスポートが許可されます。 • インポート — ソフトウェア、コンテンツ、ライセンス、設定、証明書、 ブロック ページ、カスタム ログなどのファイルのファイアウォールへ のインポートが許可されます。 コマンドライン CLI アクセスのロールのタイプを選択します。 • なし — ファイアウォールの CLI にアクセスできません。 • superuser — 現在のファイアウォールにフル アクセスできます。 • superreader — 現在のファイアウォールに読み取り専用でアクセスでき ます。 • panorama-admin — 新しいアカウントまたは仮想システムの定義を除き、 選択したファイアウォールにフル アクセスできます。 414 • Panorama を使用したデバイス中央管理 Palo Alto Networks Panorama 管理アカウントの作成 [Panorama] > [ 管理者 ] Panorama へのアクセス権は管理者アカウントに基づいて制御されます。各管理者には、 Panorama およびすべての管理対象ファイアウォールへのフル アクセス権あるいは読み取り 専用アクセス権、または Panorama 管理者アクセス権を付与できます。Panorama 管理者ア クセス権がある場合は、Panorama 設定 ( 管理者アカウントおよびロールを除く ) にアクセス できますが、管理対象ファイアウォールにはアクセスできません。事前定義済みの管理者ア カウントは、Panorama および管理対象ファイアウォールにフル アクセスできます。 Panorama では、以下の認証オプションがサポートされています。 • パスワード認証 — 管理者がユーザー名とパスワードを入力してログインします。この認 証では証明書が不要です。認証プロファイルと併用することや、ローカル データベース の認証に使用することができます。 • クライアント証明書認証 (Web) — この認証はユーザー名やパスワードが不要で、証明書 だけで Panorama へのアクセスが認証されます。 • 公開鍵認証 (SSH) — Panorama へのアクセスを必要とするマシン上で管理者が公開 / 秘 密鍵のペアを生成し、公開鍵を Panorama にアップロードして、管理者がユーザー名と パスワードを入力しなくても安全にアクセスできるようにします。 表 227. 管理者アカウント設定 フィールド 内容 名前 管理者のログイン名 ( 最大 15 文字 ) を入力します。名前の大文字と 小文字は区別されます。また、一意の名前にする必要があります。 文字、数字、ハイフン、およびアンダースコアのみを使用してくだ さい。 認証プロファイル 管理者の認証の認証プロファイルを選択します。この設定は、 RADIUS、LDAP、Kerberos、またはローカル データベース認証に 使用できます。 詳細は、 「認証プロファイルのセットアップ」を参照してください。 クライアント証明書認証のみ を使用 (Web) Web アクセスのクライアント証明書認証を使用するには、この チェック ボックスをオンにします。このチェック ボックスをオン にすると、ユーザー名とパスワードが不要になり、証明書だけで Panorama へのアクセスが認証されます。 パスワード / 再入力パスワード 管理者のパスワード ( 最大 15 文字 ) を入力し、確認のためにパス ワードを再入力します。このパスワードは大文字と小文字を区別し ます。セキュリティを確保するために、管理者がパスワードを定期 的に変更することをお勧めします。パスワードには、小文字、大文 字、および数字を混在させてください。また、[Panorama] > [ セッ トアップ] > [ 管理 ] から [ パスワード複雑性設定] を適用することも できます。 Panorama 管理者によっては、[Panorama] > [ 管理者 ] ページへの アクセス権がない場合もあります。このアクセス権がない管理者が 自身のローカル パスワードを変更する場合は、Web インターフェ イス下部のログアウト リンクの左にあるユーザー名をクリックし ます。 Palo Alto Networks Panorama を使用したデバイス中央管理 • 415 表 227. 管理者アカウント設定(続き) フィールド 内容 公開鍵認証 (SSH) の使用 SSH 公開キーの認証を使用するには、このチェック ボックスをオ ンにします。[ キーのインポート ] をクリックし、公開キー ファイ ルを参照して選択します。アップロードした鍵は、読み取り専用テ キスト エリアで表示されます。 サポート対象の鍵ファイルのフォーマットは、IETF SECSH と OpenSSH です。サポート対象の鍵アルゴリズムは、DSA (1024 ビッ ト ) と RSA (768 ~ 4096 ビット ) です。 注:公開鍵の認証に失敗すると、ログインとパスワード プロンプト がユ管理者に提示されます。 ロール この管理者にロールを割り当てます。このロールによって、管理者 が表示および変更できる内容が決まります。 • ダイナミック — ドロップダウンから以下の事前設定されたロール のいずれかを選択できます。 – Superuser — Panorama とすべてのデバイス グループ、テンプ レート、管理対象ファイアウォールにフル アクセスできます。 – Superuser (Read Only) — Panorama とすべてのデバイス グ ループ、テンプレート、管理対象ファイアウォールに読み取り 専用でアクセスできます。 – Panorama 管理者 — Panorama ( 管理者アカウントとロールを 除く ) とすべてのデバイス グループおよびテンプレートにフル アクセスできます。管理対象ファイアウォールにはアクセスで きません。 • ロール ベース — ドロップダウンで選択したカスタムロール (「Panorama 管理者ロールの定義」を参照 ) に基づいてアクセス できます。[ デバイス グループとテンプレート ] 管理者ロールに割 り当てられたプロファイルを選択すると、[ アクセス制御 ] タブが 表示されます。このタブで、デバイス グループ、テンプレート、 およびデバイス コンテキストへのアクセスを定義します。これら のフィールドの定義は、「管理者の Panorama アクセス ドメイン の指定」に記載の定義と同じです。 パスワード プロファイル パスワード プロファイルを選択します ( 該当する場合 )。新しいパ スワード プロファイルを追加する方法については、 「パスワード プ ロファイルの定義」を参照してください。 Panorama の [ 管理者 ] ページでは、アカウントがロックアウトされている と [ ロックされたユーザー ] 列にロック アイコンが表示されます。スー パーユーザーまたは Panorama 管理者は、このアイコンをクリックしてア カウントのロックを解除できます。 416 • Panorama を使用したデバイス中央管理 Palo Alto Networks 管理者の Panorama アクセス ドメインの指定 [Panorama] > [ アクセス ドメイン ] デバイス グループおよびテンプレートにアクセスできるロール ベース管理者のドメインを 指定するには、[ アクセス ドメイン ] ページを使用します。デバイス グループをアクセス ド メインに追加することで、そのデバイス グループのポリシーおよびオブジェクトを管理でき ます。個々のファイアウォールをアクセス ドメインに追加することで、そのファイアウォー ルに応じたデバイス コンテキストに切り替えることができます。 アクセス ドメインは RADIUS ベンダー固有属性 (VSA) にリンクされており、管理者の認証 に RADIUS サーバーが使用されている場合にのみ、使用することができます。RADIUS が使 用されていない場合、このページのアクセス ドメイン設定は無視されます。VSA を使用する 場合の手順の詳細は、サポート ポータルのナレッジ ポイントを参照してください。 アクセス ドメインは、RADIUS VSA で、 「PaloAlto-Panorama-AdminAccess-Domain = <AccessDomainName>」という属性を使用してマッピ ングできます。 表 228. アクセス ドメイン設定 フィールド 内容 名前 アクセス ドメインの名前 ( 最大 31 文字 ) を入力します。名前の大 文字と小文字は区別されます。また、一意の名前にする必要があり ます。文字、数字、ハイフン、およびアンダースコアのみを使用し てください。 デバイス グループ [ 追加 ] をクリックし、事前に定義されているデバイス グループを 指定して、アクセス ドメインに含めます。 デバイス コンテキスト ローカル設定を編集可能にするために、管理者がコンテキストを切 り替えることのできるファイアウォールを選択します。 テンプレート [ 追加 ] をクリックし、事前に定義されているテンプレートを指定 して、アクセス ドメインに含めます。 Palo Alto Networks Panorama を使用したデバイス中央管理 • 417 Panorama での変更のコミット Panorama での変更のコミット Panorama 設定の変更をコミットするには、コミット アイコンをクリックして [ コミット ] ダ イアログ ボックスを開きます。このダイアログ ボックスでは、Panorama 環境の特定のエリ アをコミットできます。図 20 を参照してください。 図 20. Panorama の [ コミット ] ダイアログ ボックス [ コミット ] ダイアログ ボックスでは、以下のオプションを使用できます。 変更をコミットするときは、設定の変更を管理対象ファイアウォールや管 理対象ログ コレクタにコミットする前に、変更を Panorama にコミットす る必要があります。 – コミット タイプ — コミット タイプを選択します。 › Panorama — Panorama の現在の候補設定をコミットします。 › テンプレート — Panorama でのテンプレートの変更を選択したファイアウォール にコミットします。テンプレートをコミットする場合、必要に応じてファイア ウォールのサブセットを選択できます。 › デバイス グループ — Panorama でのファイアウォール設定の変更を選択したファ イアウォール / 仮想システムにコミットします。 › コレクタ グループ — 変更のみを Panorama ログ コレクタ グループにコミット します。これは、[Panorama] > [ コレクタ グループ ] ページで加えた変更をコミッ トし、その変更をログ コレクタ アプライアンスに適用します。 – デバイスおよびネットワーク テンプレートを含める — このオプションは、Panorama からデバイス グループをコミットする場合に使用でき、デバイスおよびネットワーク テンプレートの両方の変更を含むコンボ操作です。ファイアウォールに適用されるテ ンプレートは、[Panorama] > [ テンプレート ] で定義され、ファイアウォールが属する テンプレートです。また、[ コミット タイプ ] で [ テンプレート ] を選択してテンプ レートをファイアウォールにコミットすることもできます。 418 • Panorama を使用したデバイス中央管理 Palo Alto Networks Panorama での変更のコミット – テンプレートの値を適用 — [ コミット タイプ ] で [ テンプレート ] を実行する場合にこ のオプションを選択すると、選択したファイアウォールまたは仮想システム上のオブ ジェクトで、ローカル設定によってオーバーライドされたものを削除できます。[ コ ミット タイプ ] で [ デバイス グループ ] を実行する場合、オーバーライドはテンプ レートでプッシュされた設定オプションに対してのみ可能であるため、[ デバイスお よびネットワーク テンプレートを含める ] チェック ボックスもオンにする必要があり ます。これにより、オーバーライドされたオブジェクトにテンプレートから設定が継 承されます。「テンプレート設定のオーバーライド」を参照してください。 – 候補設定とのマージ — このオプションを選択すると、コミットが Panorama から実施 された場合に、ローカル候補設定がファイアウォールに含まれます。このオプション がオフになっている場合は、ファイアウォールのローカル候補設定が含まれません。 ローカル管理者がファイアウォールに変更を加え、設定を Panorama からプッシュす るときにそれらの変更を含めないようにする場合は、このオプションをオフのままに することが重要です。 – 変更内容の確認 — 候補設定で提案された変更と現在の実行中の設定を比較する設定監 査ウィンドウを開くには、このボタンをクリックします。表示するコンテキストの行 数を選択したり、追加、変更、削除された項目に基づいてすべての行を表示したりで きます。このオプションは、[ コミットタイプ ] を [ デバイス グループ ]、[ テンプレー ト ]、または [Panorama] にする場合に使用できます。 また、[Panorama] > [ 管理対象デバイス ] に移動し、[ 最終コミット状態 ] 列を表示し て、ファイアウォールのコミット状態を表示することもできます。 [Device] > [ 設定監査 ] でも同じ機能が実行されます。 「設定ファイルの比較」を参照 してください。 コミットが完了すると、 「Commit succeeded」というメッセージが表示されます。警告メッ セージがある場合は、 「Commit succeeded with warnings」と表示されます。警告を表示する には、[Panorama] > [ 管理対象デバイス ] に移動し、[ 最終コミット状態 ] 列を表示し、テキス トをクリックして詳細を表示します。 Palo Alto Networks Panorama を使用したデバイス中央管理 • 419 テンプレート テンプレート [Panorama] > [ テンプレート ] テンプレートを使用すると、よく似た設定を必要とする複数のファイアウォールに共通の基 本設定をデプロイできます。テンプレートは、[Device] タブおよび [Network] タブに基づい た設定オプションの管理に使用できます。Panorama でファイアウォール設定を管理する場 合、[ デバイス グループ ] 設定 ( 共有ポリシーおよびオブジェクトの管理 ) と [ テンプレート ] 設定 ( デバイスおよびネットワーク設定の適用 ) を組み合わせることができますが、これらの 機能は設定可能な内容が異なるため別々に管理されます。 Panorama テンプレートを設定するには、[ 追加 ] をクリックしてテンプレートを追加し、そ のテンプレートにファイアウォールを追加します。最初のテンプレートを作成すると、 [Device] タブと [Network] タブに [ テンプレート ] ドロップダウン メニューが表示されます。 [ テンプレート ] ドロップダウン メニューから目的のテンプレートを選択し、選択したテンプ レートのデバイスとネットワークを設定します。 表 229 テンプレート設定 (Panorama) フィールド 内容 名前 テンプレート名 ( 最大 31 文字 ) を入力します。文字、数字、スペース、ハイフ ン、ピリオド、およびアンダースコアのみを使用してください。名前の大文字 と小文字は区別されます。また、一意の名前にする必要があります。 この名前は、[ テンプレート ] ドロップダウン メニューの [Device] および [Network] タブに表示されます。いずれかのタブからテンプレートを選択す ると、変更された設定のみが選択したテンプレートに表示されます。 内容 テンプレートの説明を入力します。 仮想システム 複数の仮想システムがあるファイアウォールでテンプレートを使用するには、 このチェック ボックスをオンにします。複数の仮想システムがあるファイア ウォールにテンプレート設定を定義する場合は、ファイアウォールの仮想シ ステムごとに設定を行う必要があります。 注 : テンプレートを 使用してファイア ウォールに仮想 システムを作成 する場合、設定が VSYS に適用される か ( 同じ名前のもの が存在する場合 )、 定義した名前の 新しい VSYS が 作成されます。 操作モード 注 : 複数の仮想システム ( マルチ vsys) があるファイアウォールで有効になっ ているテンプレートを、仮想システムが 1 つのファイアウォールにプッシュ することはできません。Panorama サーバーを v5.0 以降にアップグレードす る場合、デフォルトでは、[Network] および [Device] タブに関連する設定の テンプレートが作成されます。たとえば、管理対象ファイアウォールのサー バー プロファイルを定義している場合、サーバー プロファイルのテンプレー トが自動的に生成されます。この自動生成テンプレートは、複数の仮想シス テムで有効になります。コミット エラーを回避するには、マルチ vsys に対応 していないファイアウォールまたはマルチ vsys 機能が無効になっているファ イアウォールにテンプレートをプッシュする前に、[ 仮想システム ] チェック ボックスをオフにします。 テンプレートを適用するファイアウォールの操作モードを指定します。デ フォルトは通常ですが、必要に応じて CC または FIPS に変更します。テンプ レートに指定した操作モードと、テンプレートに含まれるファイアウォール で有効な操作モード ( 通常、FIPS、CC のいずれか ) が一致しない場合、テン プレートのコミットは失敗します。 操作モードは、各ファイアウォール上でローカルに設定する必要があ ります。マルチ VSYS モード、FIPS モード、CC モードなどの操作 モードを、テンプレートを使用して有効にすることはできません。 420 • Panorama を使用したデバイス中央管理 Palo Alto Networks テンプレート 表 229 テンプレート設定 (Panorama)(続き) フィールド 内容 VPN 無効モード このチェック ボックスをオンにすると、すべての VPN 関連オプションが [Device] および [Network] タブで非表示になります。このモードでは、 GlobalProtect ポータルまたはゲートウェイ ライセンスのインストール機能も 無効になります。 注 : このオプションは、VPN 接続が許可されない国用に設計されています。 モデル名に -NV インジケータがある Palo Alto Networks のハードウェア モ デルは、VPN 設定を許可しないようにハード コードされているため、これら のモデルにテンプレートを作成する場合にはこのオプションを使用する必要 があります。 デバイス テンプレートに追加する各ファイアウォールのチェック ボックスをオンにし ます。[OK] をクリックしてテンプレートに対する変更を保存します。 フィルタを使用して、表示するファイアウォールのリストを絞り込みます。 デフォルトのフィルタでは、すべての管理対象ファイアウォールのリストが デバイス グループ、プラットフォーム、タグ別に表示され、管理対象ファイ アウォール合計数も表示されます。フィルタリング基準のチェック ボックス をオンにすると、選択した基準のファイアウォール数が管理対象ファイア ウォールの合計数に対する割合として表示されます。 注 : 新しいファイアウォールをデバイス グループに追加しても、デバイスが テンプレートに自動的に追加されるわけではありません。ファイアウォールを テンプレートに追加するには、ファイアウォールを選択して変更を Panorama およびテンプレートにコミットする必要があります。 HA ピアの グループ化 高可用性 (HA) モードのファイアウォールをグループ化するには、このチェッ ク ボックスをオンにします。 このオプションを使用すると、HA モードのファイアウォールを簡単に識別 できます。共有ポリシーをプッシュする場合に、個々のファイアウォールで はなくグループ化されたペアにプッシュできます。また、[ 管理対象デバイス ] で新しいファイアウォールを追加する場合に、ファイアウォール が HA モー ドであれば、両方のファイアウォールが一緒に表示され、まとめて追加でき ます。 HA ペアを表示する場合に設定が一致しない場合は、警告インジケータが表 示されます。HA ファイアウォールが異なるデバイス グループに属する場合 も、インジケータが表示されます。 このオプションはセクションごとに独立しているため、1 つのエリアで有効 / 無効にしても全エリアで有効 / 無効になるわけではありません。[HA ピアの グループ化 ] オプションは、以下の Panorama エリアに存在します。 • • • • • 管理対象デバイス テンプレート デバイス グループ [Policies] タブ ( すべてのポリシー タイプの [ ターゲット ] タブ ) [ コミット ] ダイアログ テンプレートを設定した後、変更を Panorama とテンプレートにコミットする必要がありま す。変更をコミットすると、設定変更がそのテンプレートに割り当てられている管理対象 ファイアウォールにプッシュされます。Panorama への変更のコミットの詳細は、 「Panorama での変更のコミット」を参照してください。 Palo Alto Networks Panorama を使用したデバイス中央管理 • 421 テンプレート テンプレート設定のオーバーライド テンプレートを適用してファイアウォール上のデバイスまたはネットワークの設定を制御す る場合に、これらの設定の一部をオーバーライドしてローカル ファイアウォール設定で制御 することもできます。たとえば、ファイアウォールのグローバル グループに基本設定をデプ ロイしますが、オーバーライドを使用して、場所ごとに特定のタイム ゾーン設定をファイア ウォールに直接設定することができます。 テンプレートによって適用されたデバイスおよびネットワークの設定をオーバーライドする には、単にファイアウォール コンテキストを変更するか、ファイアウォールに直接アクセス して目的の設定に移動し、[ オーバーライド ] ボタンをクリックします。ファイアウォールの ローカル設定に設定内容がコピーされ、テンプレートによって制御されなくなります。また、 [ 復元 ] ボタンをクリックすると変更が元に戻り、設定がテンプレートから再び継承されま す。オーバーライドを含む管理対象ファイアウォールに対して Panorama からコミットを実 行する場合、[ テンプレートの値を適用 ] チェック ボックスをオンにすると、オーバーライド された他のオブジェクトよりも Panorama テンプレートが優先されます。 [Device] > [ セットアップおよびデバイス ] > [ 高可用性 ] 設定をオーバーライドする場合、オー バーライドは設定ツリー内の個々の値およびパラメータを対象としており、ツリー設定全体 に適用されるわけではありません。これには、DNS サーバー、管理 IP、NTP サーバー設定が 含まれます。インターフェイスや RADIUS サーバー プロファイルなどの項目については、内 部値ではなくオブジェクト全体にオーバーライドを適用します。 テンプレートが適用された設定を示すため、図 21 に示すインジケータが表示されます。 図 21. テンプレートのインジケータ 緑のアイコン は、テンプレートが適用されオーバーライドがないことを示します。緑とオ レンジのアイコン は、テンプレートが適用され一部の設定がオーバーライドされたことを 示します。 422 • Panorama を使用したデバイス中央管理 Palo Alto Networks テンプレート テンプレートの削除 テンプレートを削除するには、テンプレートを選択して [ 削除 ] をクリックします。 テンプレートを削除したり、テンプレートからファイアウォールを削除したりしても、管理 対象ファイアウォールにプッシュされた値は削除されません。テンプレートからファイア ウォールを削除すると、新しい更新がその管理対象ファイアウォールにプッシュされなくな ります。 ローカル ファイアウォールのテンプレートを無効にするには、管理対象ファイアウォールで [Device] > [ セットアップ ] > [ 管理 ] タブに移動し、[Panorama 設定 ] ページを編集して [ デ バイスおよびネットワーク テンプレートを無効にする ] ボタンをクリックします。 ログおよびレポート Panorama は、( ファイアウォールと Panorama 自体の ) 設定とログ収集という 2 つの機能が 実行します。 大規模な導入におけるスケーラビリティに容易に対応するため、M-100 アプライアンスを使 用して管理機能とログ収集機能を Panorama で分離することができます。M-100 アプライアン スには、Palo Alto Networks ファイアウォール用の包括的なログ収集ソリューションが備え られています。このアプライアンスにより、トラフィックが集中する Panorama 管理サーバー からのログ収集がオフロードされます。このアプライアンスを導入すると、ログ コレクタと して設定された M-100 にログを送信するように各ファイアウォールを設定できます。分散ロ グ収集アーキテクチャのデプロイや、Panorama サーバーを使用したログ コレクタの設定お よび管理の詳細は、『Panorama 管理者ガイド』を参照してください。 Panorama のログおよびレポート (ACC、AppScope、PDF レポート、およびログ ビューア ) は、管 理 対 象 ネ ッ ト ワ ー ク 上 の ユ ー ザ ー ア ク テ ィ ビ テ ィ に 関 す る 情 報 を 提 供 し ま す。 Panorama でユーザー / ネットワーク アクティビティを表示する場合、明示的なログ転送を 設定する必要ありません。ログ転送は、長期的にログを保存する場合や、Panorama にローカ ルに保存されたログを使用してレポートを生成する場合に必要になります。ログ転送が有効 な場合、デフォルトでログはファイアウォール上にバッファされ、事前定義された間隔で Panorama に送信されます。 デフォルトでは、Panorama の [ACC] タブには、Panorama にローカルに保存された情報が 表示されます。ただし、接続されているファイアウォールの情報に Panorama がアクセスす るようにデータ ソースを変更できます。すべてのテーブルで情報が動的に取得され、ネット ワーク上のトラフィックの集約ビューが表示されます。 Panorama では、カスタム レポートを生成およびスケジューリングできます。スケジューリ ングされ、事前に定義されているカスタム レポートの場合、15 分ごとに集約されたレポート 統計が Panorama に 1 時間おきに転送されます。 Palo Alto Networks Panorama を使用したデバイス中央管理 • 423 テンプレート ログ コレクタの管理 [Panorama] > [ 管理対象コレクタ ] [ 管理対象コレクタ ] ページを使用して、ログ コレクタ デバイスを設定、管理、更新します。 • ログ コレクタを追加する方法については、 「ログ コレクタの追加」を参照してください。 • ソフトウェアの更新をインストールする方法については、 「コレクタへのソフトウェアの 更新のインストール」を参照してください。 ログ コレクタの追加 ログ コレクタを追加するには、[ 追加 ] をクリックし、以下のフィールドを入力します。 表 230 [ 管理対象コレクタ ] ページ フィールド 内容 [ 全般 ] タブ コレクタ シリアル番号 ログ コレクタ デバイスのシリアル番号を入力します。 コレクタ名 このログ コレクタの識別に使用する名前を入力します ( 最大 31 文字 )。 名前の大文字と小文字は区別されます。また、一意の名前にする必 要があります。文字、数字、スペース、ハイフン、およびアンダース コアのみを使用してください。 この名前は、ログ コレクタのホスト名として表示されます。 デバイス ログ収集 ファイアウォールのログ収集に使用するインターフェイスを選択し ます。デフォルトでは、管理インターフェイス (MGT) がこの機能を 実行します。Eth1 または Eth2 を選択するには、最初にこれらのイン ターフェイスを有効にして設定する必要があります ([Panorama] > [ セットアップ ]、Eth1/Eth2 インターフェイスの設定 )。 コレクタ グループ通信 ログ コレクタ間の通信に使用するインターフェイスを選択します。 デフォルトでは、管理インターフェイス (MGT) がこの機能を実行し ます。Eth1 または Eth2 を選択するには、最初にこれらのインター フェイスを有効にして設定する必要があります ([Panorama] > [ セッ トアップ ]、Eth1/Eth2 インターフェイスの設定 )。 保護された Syslog の証明書 Syslog を外部の Syslog サーバーに安全に転送するための証明書を選 択します。 Panorama サーバー IP このコレクタの管理に使用する Panorama サーバーの IP アドレスを 指定します。 Panorama サーバー IP 2 Panorama 管理サーバーが HA モードの場合、セカンダリ デバイス の IP アドレスを指定します。 ドメイン ログ コレクタのドメイン名を入力します。 プライマリ DNS サーバー プライマリ DNS サーバーの IP アドレスを入力します。このサー バーは、ログ コレクタからの DNS クエリ (Panorama サーバーを検 索するなど ) に使用されます。 セカンダリ DNS サーバー プライマリ サーバーを使用できない場合は、使用するセカンダリ DNS サーバーの IP アドレスを入力します ( 任意 )。 424 • Panorama を使用したデバイス中央管理 Palo Alto Networks テンプレート 表 230 [ 管理対象コレクタ ] ページ(続き) フィールド 内容 プライマリ NTP サーバー プライマリ NTP サーバーの IP アドレスまたはホスト名を入力しま す ( 存在する場合 )。NTP サーバーを使用しない場合は、ログ コレク タの時刻を手動で設定できます。 セカンダリ NTP サーバー プライマリ サーバーを使用できない場合、使用するセカンダリ NTP サーバーの IP アドレスまたはホスト名を入力します。( 任意 ) 時間帯 ログ コレクタのタイム ゾーンを選択します。 緯度 App-Scope のトラフィック マップおよび脅威マップに使用する緯度 (-90.0 ~ 90.0) を入力します。 経度 アプリケーション スコープのトラフィック マップおよび脅威マップ で使用するログ コレクタの経度 (-180.0 ~ 180.0) を入力します。 [Authentication] タブ ユーザー このフィールドには常に admin と表示され、ログ コレクタでのロー カル CLI ログイン名に使用されます。 モード [ パスワード ] を選択して認証に使用するパスワードを手動で入力し て確認するか、[ パスワード ハッシュ ] を選択してハッシュ値を入力 します。 Panorama 管理サーバー CLI からパスワード ハッシュを作成するに は、以下を実行します。 request password-hash password password123 パスワード password123 のハッシュ値が返されます ( 例 : $1$urlishri$aLP2by.u2A1IQ/Njh5TFy9)。 ハッシュ値を CLI からコピーし、[ パスワード ハッシュ ] フィールド に貼り付けます。変更内容をコミットすると、新しいハッシュがロ グ コレクタにプッシュされ、ローカル管理者の新しいログイン パス ワードが password123 になります。 許容ログイン回数 Web インターフェイスと CLI の最大ログイン試行回数 (1 ~ 10) を指 定します。この回数を超えるとアカウントがロックされます。デフォ ルトの 0 にすると、無制限になります。 ロックアウト時間 ( 分 ) 最大試行回数に達したときのユーザーのロックアウト時間 (0 ~ 60 分 ) を指定します。デフォルトは 0 で、試行回数に上限はありません。 [ 管理 ] タブ このタブは、Panorama バーチャル アプライアンスではなく、M-100 アプライアンスに適用されま す。デフォルトで、M-100 アプライアンスは、設定、ログ収集、コレクタ グループの通信に管理 (MGT) ポートを使用します。ただし、ログ収集やコレクタ グループの通信に Eth1 または Eth2 を設 定する場合は、Eth1 や Eth2 よりも秘密性が高い MGT インターフェイスのサブネットを別途定義す ることをお勧めします。[ ネットマスク ] (IPv4 の場合 ) または [IPv6 アドレス ] ( プレフィックスを定 義 ) フィールドでサブネットを定義します。 注:管理インターフェイスの設定を完了するには、IP アドレス、ネットマスク (IPv4 の場合 ) 、プレ フィックス長 (IPv6 の場合 ) のいずれかと、デフォルト ゲートウェイを指定する必要があります。 不完全な設定をコミットした場合 ( デフォルト ゲートウェイを省略した場合など )、コンソール ポー ト経由で M-100 アプライアンスに接続すれば後から設定を変更できます。完全な設定をコミットす ることをお勧めします。 Palo Alto Networks Panorama を使用したデバイス中央管理 • 425 テンプレート 表 230 [ 管理対象コレクタ ] ページ(続き) フィールド 内容 速度とデュプレックス Mbps 単位のインターフェイス速度 (10、100、または 1000) を選択し、 インターフェイスの伝送モードをフル デュプレックス ([ フル ])、 ハーフ デュプレックス ([ ハーフ ])、オート ネゴシエーション ([ 自動 ]) から選択します。 IP アドレス ネットワークで IP v4 を使用する場合は、ログ コレクタの管理ポート に IPv4 アドレス ( デフォルトは 192.168.1.1) を割り当てます。 ネットマスク IPv4 アドレスを管理ポートに割り当てた場合は、ネットワーク マス ク ( 例 : 255.255.255.0) を入力します。 デフォルト ゲートウェイ IPv4 アドレスを管理ポートに割り当てた場合は、デフォルト ルー ターに IPv4 アドレスを割り当てます ( 管理ポートと同じサブネット にする必要があります )。 IPv6 アドレス ネットワークで IP v6 を使用する場合は、ログ コレクタの管理ポート に IPv6 アドレスを割り当てます。ネットマスクを示すには、IPv6 プ レフィックス長を入力します ( 例 : 2001:400:f00::1/64)。 IPv6 デフォルト ゲートウェイ IPv6 アドレスを管理ポートに割り当てた場合は、デフォルト ルー ターに IPv6 アドレスを割り当てます ( 管理ポートと同じサブネット にする必要があります )。 MTU このインターフェイスで送信されるパケットの最大転送単位 (MTU) をバイト数で入力します (576 ~ 1500、デフォルトは 1500)。 管理インターフェイス サービス ログ コレクタ デバイスの管理インターフェイスで有効にするサービ スを選択します。 • SSH • ping • SNMP (Simple Network Managed Protocol) アクセス許可 IP アドレス [ 追加 ] をクリックして、このインターフェイスで管理が許可される IP アドレスのリストを入力します。 [Eth1] タブ このタブは、Panorama バーチャル アプライアンスではなく、M-100 アプライアンスに適用されま す。このタブを使用できるのは、[Panorama] 管理設定 ([Panorama] > [ セットアップ ] > [ 管理 ] 、 Eth1 インターフェイス設定 ) に Eth1 を設定している場合のみです。 注:IP アドレス、ネットマスク (IPv4 の場合 )、プレフィックス長 (IPv6 の場合 ) のいずれかと、デ フォルト ゲートウェイを指定しない場合は、Eth1 設定をコミットできません。 Ethernet 1 このインターフェイスを有効にするには、このチェック ボックスを オンにします。 速度とデュプレックス Mbps 単位のインターフェイス速度 (10、100、または 1000) を選択し、 インターフェイスの伝送モードをフル デュプレックス ([ フル ])、 ハーフ デュプレックス ([ ハーフ ])、オート ネゴシエーション ([ 自動 ]) から選択します。 IP アドレス ネットワークで IP v4 を使用する場合は、Eth1 に IPv4 アドレスを割 り当てます。 ネットマスク IPv4 アドレスを Eth1 に割り当てた場合は、ネットワーク マスク ( 例 : 255.255.255.0) を入力します。 426 • Panorama を使用したデバイス中央管理 Palo Alto Networks テンプレート 表 230 [ 管理対象コレクタ ] ページ(続き) フィールド 内容 デフォルト ゲートウェイ IPv4 アドレスを Eth1 に割り当てた場合は、デフォルト ルーターに IPv4 アドレスを割り当てます ( Eth1 と同じサブネットにする必要が あります )。 IPv6 アドレス ネットワークで IP v6 を使用する場合は、Eth1 に IPv6 アドレスを割 り当てます。ネットマスクを示すには、IPv6 プレフィックス長を入 力します ( 例 : 2001:400:f00::1/64)。 IPv6 デフォルト ゲートウェイ IPv6 アドレスを Eth1 に割り当てた場合は、デフォルト ルーターに IPv6 アドレスを割り当てます ( Eth1 と同じサブネットにする必要が あります )。 MTU このインターフェイスで送信されるパケットの最大転送単位 (MTU) をバイト数で入力します (576 ~ 1500、デフォルトは 1500)。 ping Eth1 インターフェイスで Ping を有効にするには、この チェック ボックスをオンにします。 アクセス許可 IP アドレス [ 追加 ] をクリックして、このインターフェイスで管理が許可される IP アドレスのリストを入力します。 [Eth2] タブ このタブは、Panorama バーチャル アプライアンスではなく、M-100 アプライアンスに適用されま す。このタブを使用できるのは、[Panorama] 管理設定 ([Panorama] > [ セットアップ ] > [ 管理 ] 、 Eth2 インターフェイス設定 ) に Eth2 を設定している場合のみです。 注:IP アドレス、ネットマスク (IPv4 の場合 )、プレフィックス長 (IPv6 の場合 ) のいずれかと、デ フォルト ゲートウェイを指定しない場合は、Eth2 設定をコミットできません。 Eth2 このインターフェイスを有効にするには、このチェック ボックスを オンにします。 速度とデュプレックス Mbps 単位のインターフェイス速度 (10、100、または 1000) を選択し、 インターフェイスの伝送モードをフル デュプレックス ([ フル ])、 ハーフ デュプレックス ([ ハーフ ])、オート ネゴシエーション ([ 自動 ]) から選択します。 IP アドレス ネットワークで IP v4 を使用する場合は、Eth2 に IPv4 アドレスを割 り当てます。 ネットマスク IPv4 アドレスを Eth2 に割り当てた場合は、ネットワーク マスク ( 例 : 255.255.255.0) を入力します。 デフォルト ゲートウェイ IPv4 アドレスを Eth2 に割り当てた場合は、デフォルト ルーターに IPv4 アドレスを割り当てます ( Eth2 と同じサブネットにする必要が あります )。 IPv6 アドレス ネットワークで IP v6 を使用する場合は、Eth2 に IPv6 アドレスを割 り当てます。ネットマスクを示すには、IPv6 プレフィックス長を入 力します ( 例 : 2001:400:f00::1/64)。 IPv6 デフォルト ゲートウェイ IPv6 アドレスを Eth2 に割り当てた場合は、デフォルト ルーターに IPv6 アドレスを割り当てます ( Eth2 と同じサブネットにする必要が あります )。 MTU このインターフェイスで送信されるパケットの最大転送単位 (MTU) をバイト数で入力します (576 ~ 1500、デフォルトは 1500)。 ping Eth2 インターフェイスで Ping を有効にするには、この チェック ボックスをオンにします。 Palo Alto Networks Panorama を使用したデバイス中央管理 • 427 テンプレート 表 230 [ 管理対象コレクタ ] ページ(続き) フィールド 内容 アクセス許可 IP アドレス [ 追加 ] をクリックして、このインターフェイスで管理が許可される IP アドレスのリストを入力します。 [ ディスク ] タブ [ 追加 ] をクリックして、コレクタがログの保存に使用する RAID 1 ディスク ペアを定義します。必 要に応じてディスク ペアを追加して、ストレージ容量を拡張できます。 デフォルトでは、最初の RAID 1 ペアが有効で、A1/A2 ベイにインストールされた状態で M-100 が 出荷されます。ストレージ容量を増やすには、さらに RAID 1 ペアを 3 つまでベイ B1/B2、C1/ C2、D1/D2 に追加できます。ソフトウェアでは、A1/A2 ベイにある RAID 1 ペアに Drive Pair <A|B|C|D> という名前が付けられます。 ログ コレクタを追加した後、各コレクタの [ 統計 ] リンクをクリックして、[ コレクタ統計 ] ウィンドウを開きます。このウィンドウには、ディスク情報、CPU のパフォーマンス数値、 および平均ログ数 / 秒が表示されます。確認するログ範囲をさらに理解するために、コレク タが受信した最も古いログに関する情報を表示することもできます。 コレクタへのソフトウェアの更新のインストール コレクタ ( ログ コレクタ モードの M-100 アプライアンス ) にソフトウェア イメージをインス トールするには、[ インストール ] をクリックして、以下の詳細を入力します。. 表 231 ログ コレクタのソフトウェアの更新 フィールド 内容 ファイル [ アップロード済み ] または [ ダウンロード済み ] ファイルのリス トからファイルを選択します。 [Panorama] > [ デバイスのデプロイ ] > [ ソフトウェア ] タブを使 用してイメージをダウンロードしておくか、[ ファイルからイン ストール ] オプションを使用してファイルを Panorama にアップ ロードしておく必要があります。 適格なデバイス イメージをインストールするコレクタを選択するには、フィルタ を使用します。 デバイスにのみ アップロード ( インストールは行わない ) コレクタにイメージをアップロードするが、コレクタの再起動 を後で行う場合は、このオプションを選択します。 インストールの後に デバイスを再起動 再起動するまで、最新のソフトウェア イメージはインストール されません。 最新のソフトウェア イメージをアップロードしてインストール する場合は、このオプションを選択します。再起動がトリガーさ れます。 428 • Panorama を使用したデバイス中央管理 Palo Alto Networks テンプレート ログ コレクタ グループの定義 [Panorama] > [ コレクタ グループ ] コレクタ グループは、Panorama 管理サーバーが通常処理するログ収集作業をオフロードす るために使用するログ コレクタに、Panorama の管理対象ファイアウォールを割り当てるため に使用します。ログ コレクタの接続を確立して、ファイアウォールを設定すると、PAN-OS がファイアウォールごとに定義されたログをログ コレクタに送信します。その後、Panorama が集約ログの表示または調査の目的で、ログ コレクタをクエリします。 ログ コレクタ グループを設定するには、[ 追加 ] をクリックし、以下の詳細を入力します。 表 232 コレクタ グループ設定 フィールド 内容 [ 全般 ] タブ 名前 設定およびソフトウェアの更新目的でログ コレクタのグループ化に 使用する、コレクタ グループを識別する名前を入力します ( 最大 31 文字 )。名前の大文字と小文字は区別されます。また、一意の名前に する必要があります。文字、数字、スペース、ハイフン、およびアン ダースコアのみを使用してください。 ログ保存エリア 個々のログ コレクタまたはコレクタ グループの現在のログ スト レージ割り当てを示します。容量テキストをクリックすると、[ ログ 保存設定 ] ウィンドウが表示されます。このウィンドウで、ストレー ジをトラフィック、脅威、設定、システム、アラームなどのさまざま なログ機能に割り当てることができます。また、[ デフォルトの復元 ] をクリックして、デフォルトのログ割り当て設定を使用することも できます。 最小保持期間 ( 日 ) アラートが生成されるまでのグループ内のすべてのログ コレクタの 保持日数を指定します。現在の日付から最も古いログの日付を引い た値が、定義した最小保持期間 (1 ~ 2000 日 ) よりも小さくなる場合 に、システム ログの形式でアラート違反が生成されます。 Palo Alto Networks Panorama を使用したデバイス中央管理 • 429 テンプレート 表 232 コレクタ グループ設定 (続き) フィールド 内容 [ モニタリング ] タブ SNMP SNMP オプションを使用すると、接続状態、ディスク ドライブ統計、 ソフトウェア バージョン、平均 CPU、平均ログ / 秒、DB タイプ別 の保存期間 ( 分、時間、日、週など ) などのログ コレクタに関する情 報を収集できます。SNMP 情報は、コレクタごとのグループに基づ いています。 SNMP 設定を指定します。 • 場所 — ログ コレクタ デバイスの場所を指定します。 • 連絡先 — このコレクタの電子メール連絡先を指定します。 • アクセス設定 — Panorama 管理サーバーとの通信に使用する SNMP バージョンを指定します (V2c または V3)。 V3 を選択する場合は、以下を指定します。 – 表示 — [ 追加 ] をクリックして、以下の設定を指定します。 › 表示 — 表示の名前を指定します。 › OID — オブジェクト識別子 (OID) を指定します。 › オプション ( 含有または除外 ) — OID を表示に含めるの か、表示から除外するのかを選択します。 › マスク — OID に適用するフィルタのマスク値を 16 進数 形式で指定します ( たとえば、0xf0)。 – ユーザー — [ 追加 ] をクリックして、以下の設定を指定します。 › ユーザー — ログ コレクタと SNMP 管理サーバー間 で認証に使用するユーザー名を指定します。 › 表示 — ユーザーの表示のグループを指定します。 › 認証パスワード — ユーザーの認証パスワードを指定しま す ( 最少 8 文字 )。Secure Hash Algorithm (SHA) だけが サポートされています。 › 専用パスワード — ユーザーの暗号化パスワードを指定 します ( 最少 8 文字 )。Advanced Encryption Standard (AES) だけがサポートされています。 • SNMP コミュニティ — SNMP 管理環境で使用する SNMP コミュ ニティ文字列を指定します。SNMPv2c 専用 ( デフォルトは public) です。 [ デバイス ログ転送 ] タブ コレクター グループの メンバー [ 追加 ] をクリックし、ドロップダウンから、このグループに属する ログ コレクタを選択します。ドロップダウンには、[Panorama] > [ 管 理対象コレクタ ] ページで使用できるすべてのログ コレクタが表示 されます。 430 • Panorama を使用したデバイス中央管理 Palo Alto Networks テンプレート 表 232 コレクタ グループ設定 (続き) フィールド 内容 デバイス [ 追加 ] をクリックし、[Devices] ドロップダウンをクリックして、こ のコレクタ グループの一部となる管理対象ファイアウォールを選択 します。 [ コレクタ ] ウィンドウの [ 追加 ] をクリックし、このファイアウォー ルをログ転送用に割り当てるコレクタを選択します。 [OK] をクリックして、変更内容を保存します。 [Devices] ウィンドウを表示すると、各ファイアウォールが [Devices] 列に表示され、ファイアウォールの割り当て済みのコレクタが [ コレ クタ ] 列に表示されます。 最初に指定するコレクタは、ファイアウォールのプライマリ コレク タになります。プライマリ コレクタで障害が発生すると、セカンダ リ コレクタにログが送信されます。セカンダリ コレクタで障害が発 生すると、第 3 コレクタにログが送信されます ( 以下同様 )。 注 : ファイアウォールのシリアル番号をコレクタ グループに追加す ると、ファイアウォールがコレクタ グループにすべてのログを送信 し始めます。ファイアウォールから Panorama マネージャへのログ の送信を取り消すには、単にコレクタ グループからファイアウォー ルを削除します。管理対象ファイアウォールを Panorama マネー ジャの異なるインストールに移行する場合も、この操作が必要です。 [ コレクタ ログ転送 ] タブ システム 設定 HIP マッチ トラフィック 脅威 WildFire このコレクタ グループにログを転送するすべての管理対象ファイア ウォールについて、集約して設定済みの SNMP トラップ、電子メー ル サーバー、および Syslog サーバーに送信するログとイベントを重 大度別に選択します。 宛先のサーバー プロファイルをまだ設定していない場合は、 [Panorama] > [ サーバー プロファイル ] > [SNMP トラップ ]、 [Panorama] > [Server Profiles] > [ 電子メール ]、および [Panorama] > [ サーバー プロファイル ] > [Syslog] を参照してください。 ユーザー アクティビティ レポートの生成 [Monitor] > [PDF レポート ] > [ ユーザー アクティビティ レポート ] Panorama ユーザー アクティビティ レポートとは、すべての管理対象ファイアウォール間の ユーザー アクティビティをまとめたものです。これは、Panorama に転送されたファイア ウォール データに基づいています。ユーザー アクティビティ レポートの作成についての一般 的な情報は、「ユーザー / グループ アクティビティ レポートの管理」を参照してください。 Palo Alto Networks Panorama を使用したデバイス中央管理 • 431 テンプレート ファイアウォール導入情報の表示 [Panorama] > [ デバイスのデプロイ ] [ デバイスのデプロイ ] タブでは、管理対象ファイアウォールの現在のデプロイメント情報を 表示できます。管理対象ファイアウォールと管理対象ログ コレクタのソフトウェア バージョ ンを管理することや更新をスケジュールすることもできます。 表 233. Panorama の [ デバイスのデプロイ ] タブ フィールド 内容 [ デバイスのデプロイ ] > [ ソフトウェア ] 管理対象ファイアウォールと管理対象ログ コレクタへのインストールに 使用できるファイアウォール ソフトウェアのバージョンが一覧表示され ます。 [ デバイスのデプロイ ] > [SSL VPN クライアント ] 管理対象ファイアウォールへのインストールに使用できる SSL VPN ク ライアント ソフトウェアのバージョンが一覧表示されます。 [ デバイスのデプロイ ] > [GlobalProtect クライアント ] 管理対象ファイアウォールへのインストールに使用できる GlobalProtect クライアント ソフトウェアのバージョンが一覧表示されます。 [ デバイスのデプロイ ] > [ ダイナミック更新 ] 管理対象ファイアウォールと管理対象ログ コレクタで使用できる脅威お よびアプリケーション定義が一覧表示されます。 Palo Alto Networks では、新規または改訂されたアプリケーションの定 義や、アンチウイルス シグネチャ、URL フィルタリング カテゴリ、 GlobalProtect データの更新、WildFire のシグネチャなどの新しいセキュ リティの脅威に関する情報が含まれている更新ファイルを定期的に公開 しています。更新を受け取るには、適切なサブスクリプションが必要 です。 ダイナミック更新のダウンロードとインストールのプロセスを自動化す る方法については、 「ダイナミック更新のスケジュール」を参照してくだ さい。 [ デバイスのデプロイ ] > [ ライセンス ] 管理対象の各ファイアウォールと、現在のライセンス状態が一覧表示さ れます。各エントリは、ライセンスがアクティブ ( アイコン ) または 非アクティブ ( アイコン ) のいずれであるかということと、アクティ ブなライセンスの有効期限を示します。 このページで、以下のいずれかの機能を実行します。 • リストを更新するには、[ 更新 ] をクリックします。 • ライセンスを有効にするには、[ アクティベーション ] をクリックしま す。アクティベーションする管理対象ファイアウォールを選択し、その ファイアウォールに Palo Alto Networks が割り当てた認証コードを入 力します。 432 • Panorama を使用したデバイス中央管理 Palo Alto Networks テンプレート [ ソフトウェア ]、[SSL VPN]、[GlobalProtect]、または [ ダイナミック更新 ] タブで、以下の いずれかの機能を実行します。 • Palo Alto Networks からリリースに関する最新情報を取得するには、[ 今すぐチェック ] をクリックします。 • バージョンの変更内容の説明を表示するには、[ リリース ノート ] をクリックします。 • ダウンロード サイトにある新しいバージョンをインストールするには、[ ダウンロード ] をクリックします。ダウンロードが完了すると、[ ダウンロード済み ] 列にチェックマー クが表示されます。ダウンロードしたバージョンをインストールするには、そのバージョ ンの横にある [ インストール ] をクリックします。 インストール時に、インストールが完了したら再起動するかどうか尋ねられます。イン ストールが完了すると、ファイアウォールの再起動中はログアウトされます。再起動す るように選択した場合、ファイアウォールが再起動します。 • 以前に PC に保存したリリースをインストールまたは有効にするには、[ アップロード ] をクリックします。ソフトウェア パッケージを参照して選択し、[ ファイルからインス トール ] をクリックします。ドロップダウン リストから選択したファイルを選択し、[OK] をクリックしてイメージをインストールします。 • 古いリリースを削除するには、[ 削除 ] アイコン をクリックします。 ダイナミック更新のスケジュール [Panorama] > [ デバイスのデプロイ ] > [ ダイナミック更新 ] 管理対象ファイアウォールと管理対象ログ コレクタの自動更新をスケジュールするには、 [ スケジュール ] リンクをクリックします。更新の頻度とタイミング、および更新をダウン ロードしてインストールするか、または更新のダウンロードのみを行うかを指定します。 スケジュールを作成するには、[ 追加 ] をクリックし、以下の詳細を入力します。 表 234. ダイナミック更新のスケジュール フィールド 内容 名前 スケジュールするジョブを識別する名前を入力します ( 最大 31 文 字 )。名前の大文字と小文字は区別されます。また、一意の名前に する必要があります。文字、数字、ハイフン、およびアンダースコ アのみを使用してください。 無効 スケジュールしたジョブを無効にするには、チェック ボックスを オンにします。 タイプ スケジュールするダイナミック更新のタイプ ( アプリケーションと 脅威、アンチウイルス、WildFire、URL データベース ) を選択します。 Palo Alto Networks Panorama を使用したデバイス中央管理 • 433 テンプレート 表 234. ダイナミック更新のスケジュール(続き) フィールド 内容 アクション ダウンロードのみ : スケジュールした更新が選択したファイア ウォール / ログ コレクタにダウンロードされます。 ダウンロード後、適宜、[ ダイナミック更新 ] ページの [ アクション ] 列の [ インストール ] リンクをクリックしてダウンロードした更新 をインストールできます。 ダウンロードおよびインストール : スケジュールした更新がダウン ロードされてインストールされます。インストールを完了するため に、各ファイアウォール / ログ コレクタが再起動されます。 繰り返し Panorama が更新サーバーにチェックインする間隔を選択します。 繰り返しオプションは、更新のタイプによって異なります。 日時 [ 毎日 ] 更新の場合、24 時間形式で [ 時刻 ] を選択します。 [ 毎週 ] 更新の場合、[ 曜日 ] と、24 時間形式の [ 時刻 ] を選択します。 適格なデバイス ダイナミック更新をスケジュールするファイアウォール / ログ コ レクタを選択するには、フィルタを使用します。 設定のエクスポートのスケジューリング [Panorama] > [ スケジュール設定された設定のエクスポート ] Panorama は、それ自体が実行中の設定だけでなく、すべての管理対象ファイアウォールが実 行中の設定のバックアップを保存します。[ スケジュール設定された設定のエクスポート ] ページを使用して、すべての管理対象ファイアウォールから実行中の設定を収集して 1 つの gzip ファイルにパッケージ化し、そのパッケージが FTP サーバーに毎日送信されるようにス ケジュール設定したり、Secure Copy (SCP) を使用してリモート ホストに安全にデータを転 送したりします。ファイルは XML 形式で、ファイル名はファイアウォールのシリアル番号に 基づきます。 このページを使用して、管理対象ファイアウォールの設定の収集およびエクスポートのスケ ジュールをセットアップします。 表 235. 設定の一括エクスポートのスケジューリング フィールド 内容 名前 設定の一括エクスポート ジョブを識別する名前を入力します ( 最大 31 文字 )。名前の大文字と小文字は区別されます。また、一意の名 前にする必要があります。文字、数字、ハイフン、およびアンダー スコアのみを使用してください。 内容 任意の説明を入力します。 有効化 設定エクスポート ジョブを有効にするには、このチェック ボック スをオンにします。 ログ タイプ エクスポートするログのタイプ ([traffic]、[threat]、[url]、[data]、 [hipmatch]) を選択します。 434 • Panorama を使用したデバイス中央管理 Palo Alto Networks テンプレート 表 235. 設定の一括エクスポートのスケジューリング(続き) フィールド 内容 エクスポートの開始予定時刻 ( 毎日 ) エクスポートを開始する時間を指定します (24 時間形式、HH:MM 形式 )。 プロトコル ファイアウォールからリモート ホストへのログのエクスポートに 使用するプロトコルを選択します。SCP を使用すると、ログを安全 にエクスポートできますが、安全なプロトコルではない FTP も使用 できます。 ホスト名 ファイル転送先 FTP サーバーの IP アドレスまたはホスト名を入力 します。 ポート ファイル転送先 FTP サーバーのポート番号を入力します。 パス エクスポートした情報が保存される FTP または SCP サーバー上の フォルダやディレクトリへのパスを指定します。 設定情報が最上位フォルダ Panorama 内の exported_config フォル ダに保存される場合 : SCP サーバー パスの構文 : /Panorama/exported_config FTP サーバー パスの構文 : //Panorama/exported_config FTP パッシブ モードを 有効にする FTP パッシブ モードを使用するには、このチェック ボックスをオ ンにします。 ユーザー名 ターゲット システムのユーザー名を指定します。 パスワード ターゲット システムのユーザーのパスワードを指定します。 再入力パスワード SCP サーバー接続のテスト ファイアウォールと SCP ホスト / サーバー間の通信をテストする には、このボタンをクリックします。 データの安全な転送を有効にするには、SCP サーバーのホスト キーを確認して受け入れる必要があります。ホスト キーを受け入 れるまで、接続は確立されません。 Palo Alto Networks Panorama を使用したデバイス中央管理 • 435 テンプレート Panorama ソフトウェアのアップグレード [Panorama] > [ ソフトウェア ] 新しいリリースの Panorama ソフトウェアにアップグレードするには、Palo Alto Networks から入手可能な最新バージョンを表示し、各バージョンのリリース ノートを読み、ダウン ロードおよびインストールするリリースを選択します ( サポート ライセンスが必要です )。 Panorama 仮想マシンをアップグレードする場合、最小システム要件に関する推奨事項と、 64 ビット Panorama-OS v5.1 にアップグレード後の仮想マシン設定の変更手順については、 リリース ノートを参照してください。 Panorama ソフトウェアをアップグレードするには、[ 更新 ] をクリックして、Palo Alto Networks から入手可能なソフトウェアの最新リリースを確認します。リリースの横にある [ リリース ノート ] リンクをクリックしてドキュメントを表示し、リリースの変更、修正、既 知の問題に関する説明を確認し、互換性の問題やデフォルトの動作の変更をチェックします。 Panorama システム ファイルの破損を回避するため、Panorama では定期 的にファイル システムの整合性チェック (FSCK) が実行されます。この チェックは、再起動を 8 回行った後、または最後のファイル システムの整 合性チェックが実行されてから 90 日経過した後の再起動で実行されます。 Panorama で FSCK が実行されていると、FSCK が進行中であり完了する までログインできないことを示す警告が Web インターフェイスと SSH ロ グイン画面に表示されます。この処理が終了する時間は、ストレージ シス テムのサイズによって異なり、Panorama にログインできるようになるま で数時間かかることもあります。 進捗状況を表示するには、Panorama へのコンソール アクセスをセット アップします。 1. 新しいリリースをインストールするには、以下の手順を実行します。 a. インストールするリリースの横にある [ ダウンロード ] をクリックします。ダウン ロードが完了すると、[ ダウンロード済み ] 列にチェックマークが表示されます。 b. ダウンロードしたバージョンをインストールするには、そのバージョンの横にある [ インストール ] をクリックします。 インストールが完了すると、自動的にログアウトされ、Panorama システムが再起動し ます。 2. 古いリリースを削除するには、そのリリースの横にある をクリックします。 最大 5 個のソフトウェア バージョンが Panorama サーバーに保存されま す。新しいバージョンのダウンロード領域を増やすために最も古いバー ジョンが削除されます。この削除プロセスは自動的に行われ、手動で制御 できません。 436 • Panorama を使用したデバイス中央管理 Palo Alto Networks テンプレート ログ転送の有効化 [Panorama] > [ ログ設定 ] このページを使用して、Panorama からのログ転送を有効にします。Panorama では、ログを 集約し、SNMP トラップ、Syslog メッセージ、および電子メール通知の形式で、設定された 宛先に転送できます。 ログの送信先 (SNMP トラップの送信先、Syslog サーバーや電子メール サーバーへのアクセ ス ) を定義するサーバー プロファイルをまだセットアップしていない場合は、 「SNMP トラッ プの宛先の設定」、「Syslog サーバーの設定」、「電子メール通知設定の指定」を参照してくだ さい。 以下の表に、ログとログ転送オプションを示します。 表 236. ログ設定 フィールド 内容 システム 重大度は、システム イベントの緊急性と影響を示します。 Panorama 仮 想 マ シ ン で、 管理対象ファイアウォール と管理対象コレクタから集 約されたシステム ログと、 ローカルの Panorama ログ の転送に使用します。 重要 : 障害を通知し、すぐに処置が必要であることを示します。た とえば、HA フェイルオーバーを含む、ハードウェア障害やリンク 障害などです。 Panorama モードの M-100 アプライアンスで、ローカ ルの Panorama ログと管理 対象コレクタからのログの 転送に使用します。管理対 象ファイアウォールからシ ステム ログを転送するに は、[Panorama] > [ コレク タ グループ ] タブの [ デバ イス ログ転送 ] サブタブを 使用します。 中 : より深刻な問題に発展しかねない状況を示します。たとえば、 アンチウイルス パッケージのアップグレードを完了できなかった 場合などです。 Palo Alto Networks 高 : ファイアウォールの操作効率やセキュリティを損なうおそれの ある障害または状況が差し迫っていることを示します。たとえば、 LDAP サーバーや RADIUS サーバーなどの外部ファイアウォール との接続切断などです。 低 : 問題が疑われるか、今後問題になるおそれのある状況を示しま す。たとえば、ユーザー パスワードの変更などです。 情報 : 処置は不要ですが、システムの通常操作時に役立つ情報を提 供します。設定の変更や、他の重大度レベルに含まれないその他す べてのイベントです。 重大度のリンクをクリックし、有効にする各オプションのチェック ボックスをオンにします。 [ すべて削除 ] を選択すると、選択内容をデフォルトにリセットでき ます。 Panorama を使用したデバイス中央管理 • 437 テンプレート 表 236. ログ設定(続き) フィールド 内容 設定 有効にする各オプションのチェック ボックスをオンにします。 Panorama 仮 想 マ シ ン で、 [SNMP トラップ ]、[ 電子メール ]、および [Syslog] があります。 管理対象ファイアウォール と管理対象コレクタから集 約された設定ログと、ロー カルの Panorama ログの転 送に使用します。 Panorama モードの M-100 アプライアンスで、ローカ ルの Panorama ログと管理 対象コレクタからのログの 転送に使用します。管理対 象ファイアウォールから設 定 ロ グ を 転 送 す る に は、 [Panorama] > [ コレクタ グ ループ ] タブの [ デバイス ログ転送 ] サブタブを使用 します。 HIP マッチ (Panorama バーチャル アプラ イアンス上のみ )。 Panorama モードの M-100 アプライアンスで、管理対 象ファイアウォールから HIP マッチ ログを転送す るには、[Panorama] > [ コ レクタ グループ ] タブの [ デバイス ログ転送 ] サブタ ブを使用します。 トラフィック (Panorama バーチャル アプラ イアンス上のみ )。 HIP マッチ ログは、GlobalProtect のホスト情報プロファイル (HIP) マッチ リクエストを表示します。有効にする各オプション ([SNMP トラップ ]、[ 電子メール ]、[Syslog]) のチェック ボックスをオンに します。 有効にする各オプション ([SNMP トラップ]、[ 電子メール ]、[Syslog]) のチェック ボックスをオンにします。 Panorama モードの M-100 アプライアンスで、管理対 象ファイアウォールから HIP マッチ ログを転送す るには、[Panorama] > [ コ レクタ グループ ] タブの [ デバイス ログ転送 ] サブ タブを使用します。 438 • Panorama を使用したデバイス中央管理 Palo Alto Networks テンプレート 表 236. ログ設定(続き) フィールド 内容 脅威 重大度のリンクをクリックし、通知を有効にする各オプションの チェック ボックスをオンにします。 (Panorama バーチャル アプラ イアンス上のみ )。 Panorama モードの M-100 アプライアンスで、管理対 象ファイアウォールから HIP マッチ ログを転送す るには、[Panorama] > [ コ レクタ グループ ] タブの [ デバイス ログ転送 ] サブ タブを使用します。 重大度の説明 重要 — 深刻な脅威。たとえば、広くデプロイされているソフトウェ アのデフォルト インストールに影響を与える、結果的にサーバー のルートが侵害される、コードを悪用するなどの脅威があり、攻撃 者がよく使用する手口です。攻撃者は通常、特殊な認証資格証明や 個々の被害者に関する知識を必要としません。また、標的がなんら かの特殊な機能を実行するように操作する必要もありません。 高 — 重要になる可能性があるが、緩和する要素のある脅威。たと えば、悪用が難しい、高い権限が侵害されない、大規模な被害者が 発生しない場合などです。 中 — 影響が最小限に抑えられている軽微な脅威。たとえば、DoS 攻撃で標的が侵害されない、侵入で攻撃者が被害者と同じ LAN 上 に存在する必要がある、標準以外の設定や目立たないアプリケー ションにのみ影響を与える、アクセスが非常に限定的である場合な どです。さらに、マルウェア判定を含む WildFire ログ エントリは、 「中」としてログに記録されます。 低 — 組織のインフラストラクチャにほとんど影響を与えない、警 告レベルの脅威。通常、ローカルまたは物理的なシステムへのアク セスが必要であり、被害者のプライバシーや DoS の問題、情報漏洩 などが発生することがあります。データ フィルタリング プロファ イルの一致は、「低」としてログに記録されます。 情報 — 差し迫った脅威は引き起こさないが、潜在的なより深い問 題への注意を喚起するために報告される不審なイベント。情報ログ の例として、URL フィルタリング ログ エントリ、安全判定を含む WildFire ログ エントリ、データ フィルタリング ログなどがあり ます。 WildFire (Panorama バーチャル アプラ イアンス上のみ )。 Panorama モードの M-100 アプライアンスで、管理対 象ファイアウォールから HIP マッチ ログを転送す るには、[Panorama] > [ コ レクタ グループ ] タブの [ デバイス ログ転送 ] サブ タブを使用します。 Palo Alto Networks WildFire でスキャンされたファイル。安全または有害の判定を受 けます。判定が行われるたびに通知を受け取るには、判定のリンク をクリックし、該当するチェック ボックスをオンにします。 安全 — ファイルが安全であることを示します。 有害 — ファイルに有害なコードが含まれていることを示します。 Panorama を使用したデバイス中央管理 • 439 テンプレート NSX Manager 上のサービスとしての VM-Series ファイアウォールの登録 [Panorama] > [VMware Service Manager] VM-Series ファイアウォールのプロビジョニングを自動化するには、以下の設定を使用して、 NSX Manager と Panorama 間 の 通 信 を 有 効 に し ま す。Panorama が VM-Series フ ァ イ ア ウォールを NSX Manage 上のサービスとして登録すると、NSX Manager には、新しい VMSeries ファイアウォールをクラスタ内の各 ESX(i) ホストにプロビジョニングするために必要 な設定が作成されます。 ダイナミック アドレス グループを使用する場合、この機能によって最小限の管理負担で仮想 ネットワークを保護できます。新しい仮想マシンがプロビジョニングされたり、既存のマシ ンが変更されたりすると、仮想ネットワークの変更が自動的に更新として Panorama に提供 され、その後、Panorama から管理対象ファイアウォールにプッシュされます。こうしたオブ ジェクトを (ダイナミック アドレス グループを介して) 参照するすべてのポリシー ルールは、 仮想環境の変更を反映して更新され、セキュリティ ポリシーが常にすべてのネットワークに 適用されるようになります。 表 237. VMware Service Manager の設定 フィールド 内容 サービス マネージャ名 VM-Series ファイアウォールをサービスとして識別するための名前 を入力します。この名前は、NSX Manager に表示され、VM-Series ファイアウォールを要求に応じてデプロイするために使用されます。 63 文字以内で指定し、英字、数字、ハイフン、およびアンダースコ アのみを使用してください。 内容 ( 任意 ) このサービスの目的または機能を説明するラベルを入力し ます。 NSX Manager URL Panorama が NSX Manager との接続を確立するために使用できる URL を指定します。 NSX Manager ログイン NSX Manager に設定されている認証情報 ( ユーザー名とパスワー ド ) を入力します。Panorama は、これらの認証情報を使用して認 証を受け、NSX Manager との接続を確立します。 NSX Manager パスワード NSX Manager パスワードの 再入力 VM シリーズの OVF URL NSX Manager が、新しい VM-Series ファイアウォールをプロビ ジョニングするためのファイル (.ovf) にアクセスできる URL (IP ア ドレスまたはホスト名とパス ) を入力します。 認証コード VM-Series ファイアウォールを購入すると、受注処理電子メールが 送られてきます。この注文確認電子メールに記載されている認証 コードを入力します。 テンプレート ( 任意 ) これらの VM-Series ファイアウォールが割り当てられるテン プレートを選択します。テンプレートは、管理対象ファイアウォール がネットワーク上で動作するために必要な設定を行うために使用し ます。テンプレートを使用すると、Panorama の [Network] および [Device] タブで、共通の基本設定を定義できます。 440 • Panorama を使用したデバイス中央管理 Palo Alto Networks テンプレート 表 237. VMware Service Manager の設定(続き) フィールド 内容 デバイス グループ これらの VM-Series ファイアウォールを割り当てるデバイス グ ループを選択します。デバイス グループを使用すると、Panorama の [Policies] タブと [Objects] タブを使用してポリシーとオブジェ クトを中央管理できます。 デバイス グループに通知 ネットワークにデプロイされた仮想マシンへの追加または変更に ついて通知を受ける必要があるデバイス グループを選択します。 この設定を行うと、Panorama が指定したデバイス グループ内の ファイアウォールに値を入力し、登録した IP アドレスへの変更を 更新します。 この通知プロセスによって、コンテキストが認識され、ネットワー ク上のアプリケーション セキュリティが維持されます。たとえば、 ハードウェア ベースの境界ファイアウォールのグループがあり、 新しいアプリケーションまたは Web サーバーがデプロイされたら 通知を受ける必要がある場合、このプロセスは、指定されたデバイ ス グループについてダイナミック アドレス グループの自動更新を 開始します。さらに、ダイナミック アドレス オブジェクトを参照 するすべてのポリシー ルールには、新しくデプロイまたは変更され たアプリケーションまたは Web サーバーが自動的に追加され、基 準に基づいてセキュアに有効にすることができます。 状態 Panorama と NSX Manager 間の接続状態が表示されます。接続が 成功すると、状態は以下のように表示されます。 • 登録済み : Panorama と NSX Manager が同期され、VM-Series ファ イアウォールが NSX Manager にサービスとして登録されています。 失敗した状態では、以下のメッセージが表示されます。 • 接続されていません : NSX Manager に到達できないか、NSX Manager へのネットワーク接続を確立できません。 • 認証されていません : アクセス資格証明 ( ユーザー名 / パスワード ) が正しくありません。 • 登録されていません : サービス、サービス マネージャ、または サービス プロファイルが NSX Manager で使用できないか、削除 されています。 • 同期していません : Panorama に定義されている設定が、NSX Manager に定義されている設定と異なります。 • サービス / サービス プロファイルがありません : NSX Manager の 設定が不完全であることを示します。 最後のダイナミック更新 Palo Alto Networks Panorama が NSX Manager からダイナミック アドレス グループ情 報を取得した日時が表示されます。 Panorama を使用したデバイス中央管理 • 441 テンプレート VMware Service Manager からの情報の更新 Panorama では、以下のアクションを実行できます。 • ダイナミック オブジェクトを同期 — NSX Manager からのダイナミック オブジェクト情 報の更新を開始します。ダイナミック オブジェクトを同期すると、仮想環境の変更に関 するコンテキストを維持できます。また、ポリシー内のオブジェクト参照を自動的に更 新して、アプリケーションを安全に有効にできます。 Panorama では、NSX Manager からダイナミックに登録された IP アドレスのみを表示でき ます。ファイアウォールに直接登録されたダイナミック IP アドレスは表示されません。VM モニタリング機能を使用している場合または XML API を使用して IP アドレスをダイナミッ ク に フ ァ イ ア ウ ォ ー ル に 登 録 し て い る 場 合 は、各 フ ァ イ ア ウ ォ ー ル に ロ グ イ ン し て、 Panorama からプッシュされ、ファイアウォールにローカルに登録されたダイナミック アド レスの完全なリストを表示する必要があります。 • VMware Service Manager の削除 — NSX Manager へのアクセス方法および Panorama と NSX Manager 間の通信を確立する方法に関する設定を削除します。 442 • Panorama を使用したデバイス中央管理 Palo Alto Networks 付録 A カスタム ページ カスタム応答ページを使用して、エンド ユーザーにポリシー違反や特別なアクセス条件を通 知できます。各ページには、ユーザーの IP アドレスや、アクセスが試行された URL、および URL カテゴリを含めることができます。これらのパラメータは、社内 IT サポート システム へのリンクにも使用できます。 最新のデフォルト応答 / ブロック ページを取得するには、[Device] > [ 応答ページ ] に移動し て該当する応答ページをクリックし、[ 事前定義済み ] をクリックして [ エクスポート ] を選 択します。これでデフォルト ページのテキスト ファイルが保存されます。カスタム応答 / ブ ロック ページをインポートすると、そのページがデフォルト ページになります。 この付録には、以下のデフォルトのカスタム応答ページの HTML コードを記載しています。 • アンチウイルスおよびアンチスパイウェア ブロック ページ • アプリケーション ブロック ページ • ファイル ブロッキング ブロック ページ • SSL 復号オプトアウト ページ • キャプティブ ポータル確認ページ • SSL VPN ログイン ページ • SSL 証明書無効通知ページ • URL フィルタリングおよびカテゴリ一致ブロック ページ • URL フィルタリングの続行とオーバーライド ページ • URL フィルタリング セーフ サーチの適用ブロック ページ カスタム応答ページのインポートとエクスポートの詳細は、「カスタム応 答ページの定義」を参照してください。 Palo Alto Networks 付録 A • 443 アンチウイルスおよびアンチスパイウェア ブロック ページ <html> <head> <meta http-equiv=Content-Type content="text/html; charset=windows-1252"> <meta name=Generator content="Microsoft Word 11 (filtered)"> <title>Virus Download Blocked</title> <style> <!-/* Font Definitions */ @font-face {font-family:"Microsoft Sans Serif"; panose-1:2 11 6 4 2 2 2 2 2 4;} /* Style Definitions */ p.MsoNormal, li.MsoNormal, div.MsoNormal {margin:0in; margin-bottom:.0001pt; font-size:12.0pt; font-family:"Times New Roman";} h4 {margin-top:12.0pt; margin-right:0in; margin-bottom:3.0pt; margin-left:0in; page-break-after:avoid; font-size:14.0pt; font-family:"Times New Roman";} p.SanSerifName, li.SanSerifName, div.SanSerifName {margin:0in; margin-bottom:.0001pt; text-autospace:none; font-size:10.0pt; font-family:"Microsoft Sans Serif"; font-weight:bold;} p.BoldNormal, li.BoldNormal, div.BoldNormal {margin:0in; margin-bottom:.0001pt; font-size:12.0pt; font-family:"Times New Roman"; font-weight:bold;} span.Heading10 {color:black font-weight:bold;} p.SubHeading1, li.SubHeading1, div.SubHeading1 {margin-top:12.0pt; margin-right:0in; margin-bottom:3.0pt; margin-left:0in; page-break-after:avoid; font-size:12.0pt; font-family:"Times New Roman"; font-weight:bold;} @page Section1 {size:8.5in 11.0in; margin:1.0in 1.25in 1.0in 1.25in;} div.Section1 {page:Section1;} --> </style> </head> <body lang=EN-US> <div class=Section1> <p class=MsoNormal>This is a test.</p> </div> 444 • 付録 A Palo Alto Networks </body> </html> アプリケーション ブロック ページ <html> <head> <title>Application Blocked</title> <style> #content{border:3px solid#aaa;backgroundcolor:#fff;margin:40;padding:40;font-family:Tahoma,Helvetica,Arial,sansserif;font-size:12px;} h1{font-size:20px;font-weight:bold;color:#196390;} b{font-weight:bold;color:#196390;} </style> </head> <body bgcolor="#e7e8e9"> <div id="content"> <h1>Application Blocked</h1> <p>Access to the application you were trying to use has been blocked in accordance with company policy. Please contact your system administrator if you believe this is in error.</p> <p><b>User:</b> <user/> </p> <p><b>Application:</b> <appname/> </p> </div> </body> </html> ファイル ブロッキング ブロック ページ <html> <head> <meta http-equiv=Content-Type content="text/html; charset=windows-1252"> <meta name=Generator content="Microsoft Word 11 (filtered)"> <title>File Download Blocked</title> <style> <!-/* Font Definitions */ @font-face {font-family:"Microsoft Sans Serif"; panose-1:2 11 6 4 2 2 2 2 2 4;} /* Style Definitions */ p.MsoNormal, li.MsoNormal, div.MsoNormal {margin:0in; margin-bottom:.0001pt; font-size:12.0pt; font-family:"Times New Roman";} h4 {margin-top:12.0pt; margin-right:0in; margin-bottom:3.0pt; margin-left:0in; page-break-after:avoid; font-size:14.0pt; font-family:"Times New Roman";} p.SanSerifName, li.SanSerifName, div.SanSerifName {margin:0in; margin-bottom:.0001pt; text-autospace:none; font-size:10.0pt; font-family:"Microsoft Sans Serif"; font-weight:bold;} p.BoldNormal, li.BoldNormal, div.BoldNormal {margin:0in; margin-bottom:.0001pt; Palo Alto Networks 付録 A • 445 font-size:12.0pt; font-family:"Times New Roman"; font-weight:bold;} span.Heading10 {color:black font-weight:bold;} p.SubHeading1, li.SubHeading1, div.SubHeading1 {margin-top:12.0pt; margin-right:0in; margin-bottom:3.0pt; margin-left:0in; page-break-after:avoid; font-size:12.0pt; font-family:"Times New Roman"; font-weight:bold;} @page Section1 {size:8.5in 11.0in; margin:1.0in 1.25in 1.0in 1.25in;} div.Section1 {page:Section1;} --> </style> </head> <body lang=EN-US> <div class=Section1> <p class=MsoNormal>This is a test.</p> </div> </body> </html> SSL 復号オプトアウト ページ <h1>SSL Inspection</h1> <p>In accordance with company security policy, the SSL encrypted connection you have initiated will be temporarily unencrypted so that it can be inspected for viruses, spyware, and other malware.</p> <p>After the connection is inspected it will be re-encrypted and sent to its destination. No data will be stored or made available for other purposes.</p> <p><b>IP:</b> <url/> </p> <p><b>Category:</b> <category/> </p> キャプティブ ポータル確認ページ <h1 ALIGN=CENTER>Captive Portal</h1> <h2 ALIGN=LEFT>In accordance with company security policy, you have to authenticate before accessing the network.</h2> <pan_form/> 446 • 付録 A Palo Alto Networks SSL VPN ログイン ページ <HTML> <HEAD> <TITLE>Palo Alto Networks - SSL VPN</TITLE> <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"> <link rel="stylesheet" type="text/css" href="/styles/ falcon_content.css?v=@@version"> <style> td { font-family: Verdana, Arial, Helvetica, sans-serif; font-weight: bold; color: black; /*#FFFFFF; */ } .msg { background-color: #ffff99; border-width: 2px; border-color: #ff0000; border-style: solid; padding-left: 20px; padding-right: 20px; max-height: 150px; height: expression( this.scrollHeight > 150 ? "150px" : "auto" ); /* sets max-height for IE */ overflow: auto; } .alert {font-weight: bold;color: red;} </style> </HEAD> <BODY bgcolor="#F2F6FA"> <table style="background-color: white; width:100%; height:45px; borderbottom: 2px solid #888888;"> <tr style="background-image:url(/images/logo_pan_158.gif); background-repeat: no-repeat"> <td align="left"> </td> </tr> </table> <div align="center"> <h1>Palo Alto Networks - SSL VPN Portal</h1> </div> <div id="formdiv"> <pan_form/> </div> </BODY> </HTML> Palo Alto Networks 付録 A • 447 SSL 証明書無効通知ページ <META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1"> <html> <head> <title>Certificate Error</title> <style> #content{border:3px solid#aaa;backgroundcolor:#fff;margin:40;padding:40;font-family:Tahoma,Helvetica,Arial,sansserif;font-size:12px;} h1{font-size:20px;font-weight:bold;color:#196390;} b{font-weight:bold;color:#196390;} </style> </head> <body bgcolor="#e7e8e9"> <div id="content"> <h1>Certificate Error</h1> <p>There is an issue with the SSL certificate of the server you are trying to contact.</p> <p><b>Certificate Name:</b> <certname/> </p> <p><b>IP:</b> <url/> </p> <p><b>Issuer:</b> <issuer/> </p> <p><b>Status:</b> <status/> </p> <p><b>Reason:</b> <reason/> </p> </div> </body> </html> URL フィルタリングおよびカテゴリ一致ブロック ページ <html> <head> <title>Web Page Blocked</title> <meta http-equiv="Content-Type" content="text/html; charset=utf-8"> <META HTTP-EQUIV="PRAGMA" CONTENT="NO-CACHE"> <style> #content{border:3px solid#aaa;backgroundcolor:#fff;margin:40;padding:40;font-family:Tahoma,Helvetica,Arial,sansserif;font-size:12px;} h1{font-size:20px;font-weight:bold;color:#196390;} b{font-weight:bold;color:#196390;} </style> </head> <body bgcolor="#e7e8e9"> <div id="content"> 448 • 付録 A Palo Alto Networks <h1>Web Page Blocked</h1> <p>Access to the web page you were trying to visit has been blocked in accordance with company policy. Please contact your system administrator if you believe this is in error.</p> <p><b>User:</b> <user/> </p> <p><b>URL:</b> <url/> </p> <p><b>Category:</b> <category/> </p> </div> </body> </html> URL フィルタリングの続行とオーバーライド ページ <html> <head> <title>Web Page Blocked</title> <meta http-equiv="Content-Type" content="text/html; charset=utf-8"> <META HTTP-EQUIV="PRAGMA" CONTENT="NO-CACHE"> <style> #content{border:3px solid#aaa;backgroundcolor:#fff;margin:40;padding:40;font-family:Tahoma,Helvetica,Arial,sansserif;font-size:12px;} h1{font-size:20px;font-weight:bold;color:#196390;} b{font-weight:bold;color:#196390;} form td, form input { font-size: 11px; font-weight: bold; } #formtable { height: 100%; width: 100%; } #formtd { vertical-align: middle; } #formdiv { margin-left: auto; margin-right: auto; } </style> <script type="text/javascript"> function pwdCheck() { if(document.getElementById("pwd")) { document.getElementById("continueText").innerHTML = "If you require access to this page, have an administrator enter the override password here:"; } } </script> </head> <body bgcolor="#e7e8e9"> <div id="content"> <h1>Web Page Blocked</h1> <p>Access to the web page you were trying to visit has been blocked in accordance with company policy. Please contact your system administrator if you believe this is in error.</p> <p><b>User:</b> <user/> </p> <p><b>URL:</b> <url/> </p> <p><b>Category:</b> <category/> </p> <hr> <p id="continueText">If you feel this page has been incorrectly blocked, you may click Continue to proceed to the page. However, this action will be logged.</p> <div id="formdiv"> <pan_form/> </div> <a href="#" onclick="history.back();return false;">Return to previous page</ a> Palo Alto Networks 付録 A • 449 </div> </body> </html> URL フィルタリング セーフ サーチの適用ブロック ページ <html> <head> <script type="text/javascript"> if (top != window) { top.location.replace(window.location.href); } </script> <title>Search Blocked</title> <meta http-equiv="Content-Type" content="text/html; charset=utf-8"> <META HTTP-EQUIV="PRAGMA" CONTENT="NO-CACHE"> <style> #content{border:3px solid#aaa;backgroundcolor:#fff;margin:40;padding:40;font-family:Tahoma,Helvetica,Arial,sansserif;font-size:12px;} h1{font-size:20px;font-weight:bold;color:#196390;} b{font-weight:bold;color:#196390;} </style> </head> <body bgcolor="#e7e8e9"> <div id="content"> <h1>Search Blocked</h1> <p><b>User:</b> <user/> </p> <p>Your search results have been blocked because your search settings are not in accordance with company policy. In order to continue, please update your search settings so that SafeSearch is set to strict, and try your search again.</p> <p>For more information, please refer to: <a href="<ssurl/>"><ssurl/></a></p> <p><b>Please contact your system administrator if you believe this message is in error.</b></p> </div> </body> </html> 450 • 付録 A Palo Alto Networks 付録 B アプリケーションのカテゴリ、サブカテゴリ、 テクノロジ、特徴 この付録では、Palo Alto Networks で定義されているアプリケーション関連のカテゴリの一 覧を示します。 • アプリケーションのカテゴリとサブカテゴリ • アプリケーション テクノロジ • アプリケーション特性 Applipedia データベースは、[Objects] > [ アプリケーション ] のファイアウォール、オンラ イン (http://apps.paloaltonetworks.com/applipedia/) にもあり、アプリケーションは Apple アプリケーション ストアで入手できます。 アプリケーションのカテゴリとサブカテゴリ 以下のアプリケーション カテゴリとサブカテゴリがサポートされています。 • business-system – auth-service – database – erp-crm – general-business – management – office-programs – software-update – storage-backup • collaboration – email – instant-messaging Palo Alto Networks 付録 B • 451 アプリケーションのカテゴリとサブカテゴリ – internet-conferencing – social-business – internet-utility – social-networking – voip-video – web-posting • general-internet – file-sharing – internet-utility • media – audio-streaming – gaming – photo-video • networking – encrypted-tunnel – infrastructure – ip-protocol – proxy – remote-access – routing • 452 • 付録 B 不明 Palo Alto Networks アプリケーション テクノロジ アプリケーション テクノロジ 以下のアプリケーション テクノロジがサポートされています。 表 238. アプリケーション テクノロジ 項目 内容 browser-based Web ブラウザに依存して機能するアプリケーション。 client-server 1 つ以上のクライアントがネットワーク上のサーバーと通信するク ライアント / サーバー モデルを使用したアプリケーション。 network-protocol 一般に、システム間の通信に使用され、ネットワーク操作を容易に するアプリケーション。大部分の IP プロトコルが含まれます。 peer-to-peer 通信の簡素化を図るため、中央のサーバーを介することなく他のク ライアントと直接やり取りして情報を交換するアプリケーション。 アプリケーション特性 以下のアプリケーションの特徴がサポートされています。 表 239. アプリケーションの特徴 項目 内容 セキュリティを回避する ファイアウォールを通り抜けるために、ポートやプロトコルを本来 の用途とは異なる目的に使用すること。 帯域幅を消費する 通常の使用において 1 Mbps 以上の帯域幅を定常的に消費すること。 乱用されやすい 不正な目的に使用されることが多いこと。また、ユーザーの意図を 超えて攻撃されるように容易に設定できてしまうこと。 転送ファイル ネットワークを介してシステム間でファイルを転送できること。 他のアプリケーションを すり抜けさせる 他のアプリケーションを自分のプロトコル内で転送できること。 悪意のあるソフトウェアに 利用される アプリケーションがマルウェアに感染した状態で配布されること ( マルウェアは、アプリケーションを利用して、配信、拡散、攻撃、 データの不正入手を行うことが知られている )。 脆弱性 一般に公表されている脆弱性があること。 広く使われている ユーザーが 100 万人を超える可能性があること。 他のアプリケーションに 対するスキャンを続行 他のアプリケーション シグネチャが一致するかどうかを継続的に 確認するようにファイアウォールに指示すること。このオプション をオフにすると、最初に一致したシグネチャが報告され、それ以降、 一致するアプリケーションが存在するかどうか確認しなくなります。 Palo Alto Networks 付録 B • 453 アプリケーション特性 454 • 付録 B Palo Alto Networks 付録 C CC EAL4+/FIPS140-2 のサポート 標準のセキュリティ保証と機能の確保に対するセキュリティ認証である、CC ( 情報セキュリ ティ国際評価基準 ) EAL4+ と FIPS ( 連邦情報処理標準 ) 140-2 をサポートするようにファイア ウォールを設定できます。これらの認証は、多くの場合米国の政府機関や政府請負業者に よって取得されます。 これらの認証の詳細は、以下のドキュメントを参照してください。 • FIPS — http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140sp/ 140sp1877.pdf • CCEAL4+ — http://www.niap-ccevs.org/st/vid10392/ PAN-OS 6.0 は現時点では CC/FIPS 認証を取得していません。 CC/FIPS モードの有効化 CC/FIPS をサポートしているソフトウェア バージョンで CC/FIPS モードを有効にするに は、以下の手順を実行します。CC/FIPS を有効にした場合、デバイスは工場出荷時のデフォ ルト設定にリセットされ、すべての設定が削除されます。 1. 以下の手順でファイアウォールを管理モードで起動します。 a. ファイアウォールとのシリアル接続を確立します。 b. デバイスを再起動し、 「Press m to boot to maint partition」というメッセージが表示 されたら m キーを押します。 c. 自動起動の停止を求めるメッセージが表示されたらキーボードの任意のキーを押し、 起動パーティションとして [PANOS (maint)] を選択します。 管理モードの詳細は、『PAN-OS Command Line Interface Reference Guide (PAN-OS コマンド ライン インターフェイス リファレンス ガイド )』を参照してください。 2. メニューから [Set CCEAL4 Mode] を選択します。 3. メニューから [Enable CCEAL4 Mode] を選択します。 Palo Alto Networks 付録 C • 455 4. プロンプトが表示されたら、[Reboot] を選択します。 CC/FIPS モードの切り替えが正常に行われると、以下のメッセージが表示されます。 「CCEAL4 mode enabled successfully.」さらに、Web インターフェイスの下部にあるス テータス バーに常に「CC」と表示されます。また、コンソール ポートがステータス出力 ポートのみとして使用できるようになります。デフォルトの管理者ログイン資格証明は admin/paloalto に変更されます。 CC/FIPS セキュリティ機能 CC/FIPS が有効になると、次の要件が適用されます。 456 • 付録 C • ファイアウォールにログインするには、ブラウザに TLS 1.0 との互換性が必要です。 • ファイアウォールのすべてのパスワードは、6 文字以上で指定する必要があります。 • ログイン試行の失敗回数が [Device] > [ セットアップ ] > [ 管理 ] ページで設定された回数 を超えると、アカウントがロックされます。ファイアウォールが CC/FIPS モードではな い場合はロックアウトされないように設定できますが、CC/FIPS モードではロックアウ ト時間を設定する必要があります。 • ファイアウォールは適切な自己テストレベルを自動的に判断し、暗号化アルゴリズムと 暗号スイートに適切なレベルの強度を適用します。 • CC/FIPS で承認されていないアルゴリズムは復号化されないため、復号化で無視されます。 • IPSec の設定時に、通常使用可能な暗号スイートの一部を使用できます。 • 自己生成証明書およびインポートされた証明書には、2048 ビット以上の公開鍵が含まれて いる必要があります。 • シリアル ポートは無効になります。 • Telnet、TFTP、および HTTP 管理接続は使用できません。 • サーフ制御はサポートされません。 • 高可用性 (HA) 暗号化が必要です。 • PAP 認証は無効になります。 Palo Alto Networks 付録 D オープン ソース ライセンス この製品に含まれているソフトウェアには、GNU General Public License の下で著作権保護 されたソフトウェアが含まれています。GPL はこの文書に含まれています。該当するソース コードはすべて、この製品の最終出荷後の 3 年間は米国から入手できます。その際、現金ま たは小切手で 5 ドルを下記宛にご送金ください。 Palo Alto Networks Open Source Request 4401 Great America Parkway Santa Clara, Ca. 95054 この製品の一部のコンポーネントは、この付録に記載された以下の 1 つ以上のオープン ソー ス ライセンス契約の対象となります。 • Artistic License • BSD • GNU General Public License • GNU Lesser General Public License • MIT/X11 • OpenSSH • PSF • PHP • Zlib Palo Alto Networks • 457 Artistic License Artistic License This document is freely plagiarized from the 'Artistic License', distributed as part of the Perl v4.0 kit by Larry Wall, which is available from most major archive sites This documents purpose is to state the conditions under which these Packages (See definition below) viz: "Crack", the Unix Password Cracker, and "CrackLib", the Unix Password Checking library, which are held in copyright by Alec David Edward Muffett, may be copied, such that the copyright holder maintains some semblance of artistic control over the development of the packages, while giving the users of the package the right to use and distribute the Package in a more-or-less customary fashion, plus the right to make reasonable modifications. Definitions: A "Package" refers to the collection of files distributed by the Copyright Holder, and derivatives of that collection of files created through textual modification, or segments thereof. "Standard Version" refers to such a Package if it has not been modified, or has been modified in accordance with the wishes of the Copyright Holder. "Copyright Holder" is whoever is named in the copyright or copyrights for the package. "You" is you, if you're thinking about copying or distributing this Package. "Reasonable copying fee" is whatever you can justify on the basis of media cost, duplication charges, time of people involved, and so on. (You will not be required to justify it to the Copyright Holder, but only to the computing community at large as a market that must bear the fee.) “Freely Available” means that no fee is charged for the item itself, though there may be fees involved in handling the item. It also means that recipients of the item may redistribute it under the same conditions they received it. 1. You may make and give away verbatim copies of the source form of the Standard Version of this Package without restriction, provided that you duplicate all of the original copyright notices and associated disclaimers. 2. You may apply bug fixes, portability fixes and other modifications derived from the Public Domain or from the Copyright Holder. A Package modified in such a way shall still be considered the Standard Version. 3. You may otherwise modify your copy of this Package in any way, provided that you insert a prominent notice in each changed file stating how and when AND WHY you changed that file, and provided that you do at least ONE of the following: a) place your modifications in the Public Domain or otherwise make them Freely Available, such as by posting said modifications to Usenet or an equivalent medium, or placing the modifications on a major archive site such as uunet.uu.net, or by allowing the Copyright Holder to include your modifications in the Standard Version of the Package. b) use the modified Package only within your corporation or organization. c) rename any non-standard executables so the names do not conflict with standard executables, which must also be provided, and provide separate documentation for each nonstandard executable that clearly documents how it differs from the Standard Version. d) make other distribution arrangements with the Copyright Holder. 458 • Palo Alto Networks BSD 4. You may distribute the programs of this Package in object code or executable form, provided that you do at least ONE of the following: a) distribute a Standard Version of the executables and library files, together with instructions (in the manual page or equivalent) on where to get the Standard Version. b) accompany the distribution with the machine-readable source of the Package with your modifications. c) accompany any non-standard executables with their corresponding Standard Version executables, giving the non-standard executables non-standard names, and clearly documenting the differences in manual pages (or equivalent), together with instructions on where to get the Standard Version. d) make other distribution arrangements with the Copyright Holder. 5. You may charge a reasonable copying fee for any distribution of this Package. You may charge any fee you choose for support of this Package. YOU MAY NOT CHARGE A FEE FOR THIS PACKAGE ITSELF. However, you may distribute this Package in aggregate with other (possibly commercial) programs as part of a larger (possibly commercial) software distribution provided that YOU DO NOT ADVERTISE this package as a product of your own. 6. The name of the Copyright Holder may not be used to endorse or promote products derived from this software without specific prior written permission. 7. THIS PACKAGE IS PROVIDED "AS IS" AND WITHOUT ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, WITHOUT LIMITATION, THE IMPLIED WARRANTIES OF MERCHANTIBILITY AND FITNESS FOR A PARTICULAR PURPOSE. BSD The following copyright holders provide software under the BSD license: • Julian Steward • Thai Open Source Software Center Ltd • The Regents of the University of California • Nick Mathewson • Niels Provos • Dug Song • Todd C. Miller • University of Cambridge • Sony Computer Science Laboratories Inc. Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met: 1. Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer. Palo Alto Networks • 459 GNU General Public License 2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution. 3. The names of the authors may not be used to endorse or promote products derived from this software without specific prior written permission. THIS SOFTWARE IS PROVIDED ``AS IS'' AND WITHOUT ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, WITHOUT LIMITATION, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. GNU General Public License Version 2, June 1991 Copyright (c) 1989, 1991 Free Software Foundation, Inc. 51 Franklin Street, Fifth Floor, Boston, MA 02110-1301, USA Everyone is permitted to copy and distribute verbatim copies of this license document, but changing it is not allowed. Preamble: The licenses for most software are designed to take away your freedom to share and change it. By contrast, the GNU General Public License is intended to guarantee your freedom to share and change free software--to make sure the software is free for all its users. This General Public License applies to most of the Free Software Foundation's software and to any other program whose authors commit to using it. (Some other Free Software Foundation software is covered by the GNU Lesser General Public License instead.) You can apply it to your programs, too. When we speak of free software, we are referring to freedom, not price. Our General Public Licenses are designed to make sure that you have the freedom to distribute copies of free software (and charge for this service if you wish), that you receive source code or can get it if you want it, that you can change the software or use pieces of it in new free programs; and that you know you can do these things. To protect your rights, we need to make restrictions that forbid anyone to deny you these rights or to ask you to surrender the rights. These restrictions translate to certain responsibilities for you if you distribute copies of the software, or if you modify it. For example, if you distribute copies of such a program, whether gratis or for a fee, you must give the recipients all the rights that you have. You must make sure that they, too, receive or can get the source code. And you must show them these terms so they know their rights. We protect your rights with two steps: (1) copyright the software, and (2) offer you this license which gives you legal permission to copy, distribute and/or modify the software. Also, for each author's protection and ours, we want to make certain that everyone understands that there is no warranty for this free software. If the software is modified by someone else and passed on, we want its recipients to know that what they have is not the original, so that any problems introduced by others will not reflect on the original authors' reputations. Finally, any free program is threatened constantly by software patents. We wish to avoid the danger that redistributors of a free program will individually obtain patent licenses, in effect making the program proprietary. To prevent this, we have made it clear that any patent must be licensed for everyone's free use or not licensed at all. 460 • Palo Alto Networks GNU General Public License The precise terms and conditions for copying, distribution and modification follow. TERMS AND CONDITIONS FOR COPYING, DISTRIBUTION AND MODIFICATION 0. This License applies to any program or other work which contains a notice placed by the copyright holder saying it may be distributed under the terms of this General Public License. The "Program", below, refers to any such program or work, and a "work based on the Program" means either the Program or any derivative work under copyright law: that is to say, a work containing the Program or a portion of it, either verbatim or with modifications and/or translated into another language. (Hereinafter, translation is included without limitation in the term "modification".) Each licensee is addressed as "you". Activities other than copying, distribution and modification are not covered by this License; they are outside its scope. The act of running the Program is not restricted, and the output from the Program is covered only if its contents constitute a work based on the Program (independent of having been made by running the Program). Whether that is true depends on what the Program does. 1. You may copy and distribute verbatim copies of the Program's source code as you receive it, in any medium, provided that you conspicuously and appropriately publish on each copy an appropriate copyright notice and disclaimer of warranty; keep intact all the notices that refer to this License and to the absence of any warranty; and give any other recipients of the Program a copy of this License along with the Program. You may charge a fee for the physical act of transferring a copy, and you may at your option offer warranty protection in exchange for a fee. 2. You may modify your copy or copies of the Program or any portion of it, thus forming a work based on the Program, and copy and distribute such modifications or work under the terms of Section 1 above, provided that you also meet all of these conditions: a) You must cause the modified files to carry prominent notices stating that you changed the files and the date of any change. b) You must cause any work that you distribute or publish, that in whole or in part contains or is derived from the Program or any part thereof, to be licensed as a whole at no charge to all third parties under the terms of this License. c) If the modified program normally reads commands interactively when run, you must cause it, when started running for such interactive use in the most ordinary way, to print or display an announcement including an appropriate copyright notice and a notice that there is no warranty (or else, saying that you provide a warranty) and that users may redistribute the program under these conditions, and telling the user how to view a copy of this License. (Exception: if the Program itself is interactive but does not normally print such an announcement, your work based on the Program is not required to print an announcement.) These requirements apply to the modified work as a whole. If identifiable sections of that work are not derived from the Program, and can be reasonably considered independent and separate works in themselves, then this License, and its terms, do not apply to those sections when you distribute them as separate works. But when you distribute the same sections as part of a whole which is a work based on the Program, the distribution of the whole must be on the terms of this License, whose permissions for other licensees extend to the entire whole, and thus to each and every part regardless of who wrote it. Thus, it is not the intent of this section to claim rights or contest your rights to work written entirely by you; rather, the intent is to exercise the right to control the distribution of derivative or collective works based on the Program. Palo Alto Networks • 461 GNU General Public License In addition, mere aggregation of another work not based on the Program with the Program (or with a work based on the Program) on a volume of a storage or distribution medium does not bring the other work under the scope of this License. 3. You may copy and distribute the Program (or a work based on it, under Section 2) in object code or executable form under the terms of Sections 1 and 2 above provided that you also do one of the following: a) Accompany it with the complete corresponding machine-readable source code, which must be distributed under the terms of Sections 1 and 2 above on a medium customarily used for software interchange; or, b) Accompany it with a written offer, valid for at least three years, to give any third party, for a charge no more than your cost of physically performing source distribution, a complete machine-readable copy of the corresponding source code, to be distributed under the terms of Sections 1 and 2 above on a medium customarily used for software interchange; or, c) Accompany it with the information you received as to the offer to distribute corresponding source code. (This alternative is allowed only for noncommercial distribution and only if you received the program in object code or executable form with such an offer, in accord with Subsection b above.) The source code for a work means the preferred form of the work for making modifications to it. For an executable work, complete source code means all the source code for all modules it contains, plus any associated interface definition files, plus the scripts used to control compilation and installation of the executable. However, as a special exception, the source code distributed need not include anything that is normally distributed (in either source or binary form) with the major components (compiler, kernel, and so on) of the operating system on which the executable runs, unless that component itself accompanies the executable. If distribution of executable or object code is made by offering access to copy from a designated place, then offering equivalent access to copy the source code from the same place counts as distribution of the source code, even though third parties are not compelled to copy the source along with the object code. 4. You may not copy, modify, sublicense, or distribute the Program except as expressly provided under this License. Any attempt otherwise to copy, modify, sublicense or distribute the Program is void, and will automatically terminate your rights under this License. However, parties who have received copies, or rights, from you under this License will not have their licenses terminated so long as such parties remain in full compliance. 5. You are not required to accept this License, since you have not signed it. However, nothing else grants you permission to modify or distribute the Program or its derivative works. These actions are prohibited by law if you do not accept this License. Therefore, by modifying or distributing the Program (or any work based on the Program), you indicate your acceptance of this License to do so, and all its terms and conditions for copying, distributing or modifying the Program or works based on it. 6. Each time you redistribute the Program (or any work based on the Program), the recipient automatically receives a license from the original licensor to copy, distribute or modify the Program subject to these terms and conditions. You may not impose any further restrictions on the recipients' exercise of the rights granted herein. You are not responsible for enforcing compliance by third parties to this License. 462 • Palo Alto Networks GNU General Public License 7. If, as a consequence of a court judgment or allegation of patent infringement or for any other reason (not limited to patent issues), conditions are imposed on you (whether by court order, agreement or otherwise) that contradict the conditions of this License, they do not excuse you from the conditions of this License. If you cannot distribute so as to satisfy simultaneously your obligations under this License and any other pertinent obligations, then as a consequence you may not distribute the Program at all. For example, if a patent license would not permit royalty-free redistribution of the Program by all those who receive copies directly or indirectly through you, then the only way you could satisfy both it and this License would be to refrain entirely from distribution of the Program. If any portion of this section is held invalid or unenforceable under any particular circumstance, the balance of the section is intended to apply and the section as a whole is intended to apply in other circumstances. It is not the purpose of this section to induce you to infringe any patents or other property right claims or to contest validity of any such claims; this section has the sole purpose of protecting the integrity of the free software distribution system, which is implemented by public license practices. Many people have made generous contributions to the wide range of software distributed through that system in reliance on consistent application of that system; it is up to the author/donor to decide if he or she is willing to distribute software through any other system and a licensee cannot impose that choice. This section is intended to make thoroughly clear what is believed to be a consequence of the rest of this License. 8. If the distribution and/or use of the Program is restricted in certain countries either by patents or by copyrighted interfaces, the original copyright holder who places the Program under this License may add an explicit geographical distribution limitation excluding those countries, so that distribution is permitted only in or among countries not thus excluded. In such case, this License incorporates the limitation as if written in the body of this License. 9. The Free Software Foundation may publish revised and/or new versions of the General Public License from time to time. Such new versions will be similar in spirit to the present version, but may differ in detail to address new problems or concerns. Each version is given a distinguishing version number. If the Program specifies a version number of this License which applies to it and "any later version", you have the option of following the terms and conditions either of that version or of any later version published by the Free Software Foundation. If the Program does not specify a version number of this License, you may choose any version ever published by the Free Software Foundation. 10. If you wish to incorporate parts of the Program into other free programs whose distribution conditions are different, write to the author to ask for permission. For software which is copyrighted by the Free Software Foundation, write to the Free Software Foundation; we sometimes make exceptions for this. Our decision will be guided by the two goals of preserving the free status of all derivatives of our free software and of promoting the sharing and reuse of software generally. NO WARRANTY 11. BECAUSE THE PROGRAM IS LICENSED FREE OF CHARGE, THERE IS NO WARRANTY FOR THE PROGRAM, TO THE EXTENT PERMITTED BY APPLICABLE LAW. EXCEPT WHEN OTHERWISE STATED IN WRITING THE COPYRIGHT HOLDERS AND/ OR OTHER PARTIES PROVIDE THE PROGRAM "AS IS" WITHOUT WARRANTY OF ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR Palo Alto Networks • 463 GNU Lesser General Public License PURPOSE. THE ENTIRE RISK AS TO THE QUALITY AND PERFORMANCE OF THE PROGRAM IS WITH YOU. SHOULD THE PROGRAM PROVE DEFECTIVE, YOU ASSUME THE COST OF ALL NECESSARY SERVICING, REPAIR OR CORRECTION. 12. IN NO EVENT UNLESS REQUIRED BY APPLICABLE LAW OR AGREED TO IN WRITING WILL ANY COPYRIGHT HOLDER, OR ANY OTHER PARTY WHO MAY MODIFY AND/OR REDISTRIBUTE THE PROGRAM AS PERMITTED ABOVE, BE LIABLE TO YOU FOR DAMAGES, INCLUDING ANY GENERAL, SPECIAL, INCIDENTAL OR CONSEQUENTIAL DAMAGES ARISING OUT OF THE USE OR INABILITY TO USE THE PROGRAM (INCLUDING BUT NOT LIMITED TO LOSS OF DATA OR DATA BEING RENDERED INACCURATE OR LOSSES SUSTAINED BY YOU OR THIRD PARTIES OR A FAILURE OF THE PROGRAM TO OPERATE WITH ANY OTHER PROGRAMS), EVEN IF SUCH HOLDER OR OTHER PARTY HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES. GNU Lesser General Public License Version 2.1, February 1999 Copyright (c) 1991, 1999 Free Software Foundation, Inc. 51 Franklin Street, Fifth Floor, Boston, MA 02110-1301 USA Everyone is permitted to copy and distribute verbatim copies of this license document, but changing it is not allowed. [This is the first released version of the Lesser GPL. It also counts as the successor of the GNU Library Public License, version 2, hence the version number 2.1.] Preamble: The licenses for most software are designed to take away your freedom to share and change it. By contrast, the GNU General Public Licenses are intended to guarantee your freedom to share and change free software--to make sure the software is free for all its users. This license, the Lesser General Public License, applies to some specially designated software packages--typically libraries--of the Free Software Foundation and other authors who decide to use it. You can use it too, but we suggest you first think carefully about whether this license or the ordinary General Public License is the better strategy to use in any particular case, based on the explanations below. When we speak of free software, we are referring to freedom of use, not price. Our General Public Licenses are designed to make sure that you have the freedom to distribute copies of free software (and charge for this service if you wish); that you receive source code or can get it if you want it; that you can change the software and use pieces of it in new free programs; and that you are informed that you can do these things. To protect your rights, we need to make restrictions that forbid distributors to deny you these rights or to ask you to surrender these rights. These restrictions translate to certain responsibilities for you if you distribute copies of the library or if you modify it. For example, if you distribute copies of the library, whether gratis or for a fee, you must give the recipients all the rights that we gave you. You must make sure that they, too, receive or can get the source code. If you link other code with the library, you must provide complete object files to the recipients, so that they can relink them with the library after making changes to the library and recompiling it. And you must show them these terms so they know their rights. 464 • Palo Alto Networks GNU Lesser General Public License We protect your rights with a two-step method: (1) we copyright the library, and (2) we offer you this license, which gives you legal permission to copy, distribute and/or modify the library. To protect each distributor, we want to make it very clear that there is no warranty for the free library. Also, if the library is modified by someone else and passed on, the recipients should know that what they have is not the original version, so that the original author's reputation will not be affected by problems that might be introduced by others. Finally, software patents pose a constant threat to the existence of any free program. We wish to make sure that a company cannot effectively restrict the users of a free program by obtaining a restrictive license from a patent holder. Therefore, we insist that any patent license obtained for a version of the library must be consistent with the full freedom of use specified in this license. Most GNU software, including some libraries, is covered by the ordinary GNU General Public License. This license, the GNU Lesser General Public License, applies to certain designated libraries, and is quite different from the ordinary General Public License. We use this license for certain libraries in order to permit linking those libraries into non-free programs. When a program is linked with a library, whether statically or using a shared library, the combination of the two is legally speaking a combined work, a derivative of the original library. The ordinary General Public License therefore permits such linking only if the entire combination fits its criteria of freedom. The Lesser General Public License permits more lax criteria for linking other code with the library. We call this license the "Lesser" General Public License because it does Less to protect the user's freedom than the ordinary General Public License. It also provides other free software developers Less of an advantage over competing non-free programs. These disadvantages are the reason we use the ordinary General Public License for many libraries. However, the Lesser license provides advantages in certain special circumstances. For example, on rare occasions, there may be a special need to encourage the widest possible use of a certain library, so that it becomes a de-facto standard. To achieve this, non-free programs must be allowed to use the library. A more frequent case is that a free library does the same job as widely used non-free libraries. In this case, there is little to gain by limiting the free library to free software only, so we use the Lesser General Public License. In other cases, permission to use a particular library in non-free programs enables a greater number of people to use a large body of free software. For example, permission to use the GNU C Library in non-free programs enables many more people to use the whole GNU operating system, as well as its variant, the GNU/Linux operating system. Although the Lesser General Public License is Less protective of the users' freedom, it does ensure that the user of a program that is linked with the Library has the freedom and the wherewithal to run that program using a modified version of the Library. The precise terms and conditions for copying, distribution and modification follow. Pay close attention to the difference between a "work based on the library" and a "work that uses the library". The former contains code derived from the library, whereas the latter must be combined with the library in order to run. TERMS AND CONDITIONS FOR COPYING, DISTRIBUTION AND MODIFICATION 0. This License Agreement applies to any software library or other program which contains a notice placed by the copyright holder or other authorized party saying it may be distributed under the terms of this Lesser General Public License (also called "this License"). Each licensee is addressed as "you". Palo Alto Networks • 465 GNU Lesser General Public License A "library" means a collection of software functions and/or data prepared so as to be conveniently linked with application programs (which use some of those functions and data) to form executables. The "Library", below, refers to any such software library or work which has been distributed under these terms. A "work based on the Library" means either the Library or any derivative work under copyright law: that is to say, a work containing the Library or a portion of it, either verbatim or with modifications and/or translated straightforwardly into another language. (Hereinafter, translation is included without limitation in the term "modification".) "Source code" for a work means the preferred form of the work for making modifications to it. For a library, complete source code means all the source code for all modules it contains, plus any associated interface definition files, plus the scripts used to control compilation and installation of the library. Activities other than copying, distribution and modification are not covered by this License; they are outside its scope. The act of running a program using the Library is not restricted, and output from such a program is covered only if its contents constitute a work based on the Library (independent of the use of the Library in a tool for writing it). Whether that is true depends on what the Library does and what the program that uses the Library does. 1. You may copy and distribute verbatim copies of the Library's complete source code as you receive it, in any medium, provided that you conspicuously and appropriately publish on each copy an appropriate copyright notice and disclaimer of warranty; keep intact all the notices that refer to this License and to the absence of any warranty; and distribute a copy of this License along with the Library. You may charge a fee for the physical act of transferring a copy, and you may at your option offer warranty protection in exchange for a fee. 2. You may modify your copy or copies of the Library or any portion of it, thus forming a work based on the Library, and copy and distribute such modifications or work under the terms of Section 1 above, provided that you also meet all of these conditions: * a) The modified work must itself be a software library. * b) You must cause the files modified to carry prominent notices stating that you changed the files and the date of any change. * c) You must cause the whole of the work to be licensed at no charge to all third parties under the terms of this License. * d) If a facility in the modified Library refers to a function or a table of data to be supplied by an application program that uses the facility, other than as an argument passed when the facility is invoked, then you must make a good faith effort to ensure that, in the event an application does not supply such function or table, the facility still operates, and performs whatever part of its purpose remains meaningful. (For example, a function in a library to compute square roots has a purpose that is entirely well-defined independent of the application. Therefore, Subsection 2d requires that any application-supplied function or table used by this function must be optional: if the application does not supply it, the square root function must still compute square roots.) These requirements apply to the modified work as a whole. If identifiable sections of that work are not derived from the Library, and can be reasonably considered independent and separate works in themselves, then this License, and its terms, do not apply to those sections when you distribute them as separate works. But when you distribute the same sections as 466 • Palo Alto Networks GNU Lesser General Public License part of a whole which is a work based on the Library, the distribution of the whole must be on the terms of this License, whose permissions for other licensees extend to the entire whole, and thus to each and every part regardless of who wrote it. Thus, it is not the intent of this section to claim rights or contest your rights to work written entirely by you; rather, the intent is to exercise the right to control the distribution of derivative or collective works based on the Library. In addition, mere aggregation of another work not based on the Library with the Library (or with a work based on the Library) on a volume of a storage or distribution medium does not bring the other work under the scope of this License. 3. You may opt to apply the terms of the ordinary GNU General Public License instead of this License to a given copy of the Library. To do this, you must alter all the notices that refer to this License, so that they refer to the ordinary GNU General Public License, version 2, instead of to this License. (If a newer version than version 2 of the ordinary GNU General Public License has appeared, then you can specify that version instead if you wish.) Do not make any other change in these notices. Once this change is made in a given copy, it is irreversible for that copy, so the ordinary GNU General Public License applies to all subsequent copies and derivative works made from that copy. This option is useful when you wish to copy part of the code of the Library into a program that is not a library. 4. You may copy and distribute the Library (or a portion or derivative of it, under Section 2) in object code or executable form under the terms of Sections 1 and 2 above provided that you accompany it with the complete corresponding machine-readable source code, which must be distributed under the terms of Sections 1 and 2 above on a medium customarily used for software interchange. If distribution of object code is made by offering access to copy from a designated place, then offering equivalent access to copy the source code from the same place satisfies the requirement to distribute the source code, even though third parties are not compelled to copy the source along with the object code. 5. A program that contains no derivative of any portion of the Library, but is designed to work with the Library by being compiled or linked with it, is called a "work that uses the Library". Such a work, in isolation, is not a derivative work of the Library, and therefore falls outside the scope of this License. However, linking a "work that uses the Library" with the Library creates an executable that is a derivative of the Library (because it contains portions of the Library), rather than a "work that uses the library". The executable is therefore covered by this License. Section 6 states terms for distribution of such executables. When a "work that uses the Library" uses material from a header file that is part of the Library, the object code for the work may be a derivative work of the Library even though the source code is not. Whether this is true is especially significant if the work can be linked without the Library, or if the work is itself a library. The threshold for this to be true is not precisely defined by law. If such an object file uses only numerical parameters, data structure layouts and accessors, and small macros and small inline functions (ten lines or less in length), then the use of the object file is unrestricted, regardless of whether it is legally a derivative work. (Executables containing this object code plus portions of the Library will still fall under Section 6.) Palo Alto Networks • 467 GNU Lesser General Public License Otherwise, if the work is a derivative of the Library, you may distribute the object code for the work under the terms of Section 6. Any executables containing that work also fall under Section 6, whether or not they are linked directly with the Library itself. 6. As an exception to the Sections above, you may also combine or link a "work that uses the Library" with the Library to produce a work containing portions of the Library, and distribute that work under terms of your choice, provided that the terms permit modification of the work for the customer's own use and reverse engineering for debugging such modifications. You must give prominent notice with each copy of the work that the Library is used in it and that the Library and its use are covered by this License. You must supply a copy of this License. If the work during execution displays copyright notices, you must include the copyright notice for the Library among them, as well as a reference directing the user to the copy of this License. Also, you must do one of these things: * a) Accompany the work with the complete corresponding machine-readable source code for the Library including whatever changes were used in the work (which must be distributed under Sections 1 and 2 above); and, if the work is an executable linked with the Library, with the complete machine-readable "work that uses the Library", as object code and/or source code, so that the user can modify the Library and then relink to produce a modified executable containing the modified Library. (It is understood that the user who changes the contents of definitions files in the Library will not necessarily be able to recompile the application to use the modified definitions.) * b) Use a suitable shared library mechanism for linking with the Library. A suitable mechanism is one that (1) uses at run time a copy of the library already present on the user's computer system, rather than copying library functions into the executable, and (2) will operate properly with a modified version of the library, if the user installs one, as long as the modified version is interface-compatible with the version that the work was made with. * c) Accompany the work with a written offer, valid for at least three years, to give the same user the materials specified in Subsection 6a, above, for a charge no more than the cost of performing this distribution. * d) If distribution of the work is made by offering access to copy from a designated place, offer equivalent access to copy the above specified materials from the same place. * e) Verify that the user has already received a copy of these materials or that you have already sent this user a copy. For an executable, the required form of the "work that uses the Library" must include any data and utility programs needed for reproducing the executable from it. However, as a special exception, the materials to be distributed need not include anything that is normally distributed (in either source or binary form) with the major components (compiler, kernel, and so on) of the operating system on which the executable runs, unless that component itself accompanies the executable. It may happen that this requirement contradicts the license restrictions of other proprietary libraries that do not normally accompany the operating system. Such a contradiction means you cannot use both them and the Library together in an executable that you distribute. 7. You may place library facilities that are a work based on the Library side-by-side in a single library together with other library facilities not covered by this License, and distribute such a combined library, provided that the separate distribution of the work based on the Library and of the other library facilities is otherwise permitted, and provided that you do these two things: 468 • Palo Alto Networks GNU Lesser General Public License * a) Accompany the combined library with a copy of the same work based on the Library, uncombined with any other library facilities. This must be distributed under the terms of the Sections above. * b) Give prominent notice with the combined library of the fact that part of it is a work based on the Library, and explaining where to find the accompanying uncombined form of the same work. 8. You may not copy, modify, sublicense, link with, or distribute the Library except as expressly provided under this License. Any attempt otherwise to copy, modify, sublicense, link with, or distribute the Library is void, and will automatically terminate your rights under this License. However, parties who have received copies, or rights, from you under this License will not have their licenses terminated so long as such parties remain in full compliance. 9. You are not required to accept this License, since you have not signed it. However, nothing else grants you permission to modify or distribute the Library or its derivative works. These actions are prohibited by law if you do not accept this License. Therefore, by modifying or distributing the Library (or any work based on the Library), you indicate your acceptance of this License to do so, and all its terms and conditions for copying, distributing or modifying the Library or works based on it. 10. Each time you redistribute the Library (or any work based on the Library), the recipient automatically receives a license from the original licensor to copy, distribute, link with or modify the Library subject to these terms and conditions. You may not impose any further restrictions on the recipients' exercise of the rights granted herein. You are not responsible for enforcing compliance by third parties with this License. 11. If, as a consequence of a court judgment or allegation of patent infringement or for any other reason (not limited to patent issues), conditions are imposed on you (whether by court order, agreement or otherwise) that contradict the conditions of this License, they do not excuse you from the conditions of this License. If you cannot distribute so as to satisfy simultaneously your obligations under this License and any other pertinent obligations, then as a consequence you may not distribute the Library at all. For example, if a patent license would not permit royalty-free redistribution of the Library by all those who receive copies directly or indirectly through you, then the only way you could satisfy both it and this License would be to refrain entirely from distribution of the Library. If any portion of this section is held invalid or unenforceable under any particular circumstance, the balance of the section is intended to apply, and the section as a whole is intended to apply in other circumstances. It is not the purpose of this section to induce you to infringe any patents or other property right claims or to contest validity of any such claims; this section has the sole purpose of protecting the integrity of the free software distribution system which is implemented by public license practices. Many people have made generous contributions to the wide range of software distributed through that system in reliance on consistent application of that system; it is up to the author/donor to decide if he or she is willing to distribute software through any other system and a licensee cannot impose that choice. This section is intended to make thoroughly clear what is believed to be a consequence of the rest of this License. Palo Alto Networks • 469 GNU Lesser General Public License 12. If the distribution and/or use of the Library is restricted in certain countries either by patents or by copyrighted interfaces, the original copyright holder who places the Library under this License may add an explicit geographical distribution limitation excluding those countries, so that distribution is permitted only in or among countries not thus excluded. In such case, this License incorporates the limitation as if written in the body of this License. 13. The Free Software Foundation may publish revised and/or new versions of the Lesser General Public License from time to time. Such new versions will be similar in spirit to the present version, but may differ in detail to address new problems or concerns. Each version is given a distinguishing version number. If the Library specifies a version number of this License which applies to it and "any later version", you have the option of following the terms and conditions either of that version or of any later version published by the Free Software Foundation. If the Library does not specify a license version number, you may choose any version ever published by the Free Software Foundation. 14. If you wish to incorporate parts of the Library into other free programs whose distribution conditions are incompatible with these, write to the author to ask for permission. For software which is copyrighted by the Free Software Foundation, write to the Free Software Foundation; we sometimes make exceptions for this. Our decision will be guided by the two goals of preserving the free status of all derivatives of our free software and of promoting the sharing and reuse of software generally. NO WARRANTY 15. BECAUSE THE LIBRARY IS LICENSED FREE OF CHARGE, THERE IS NO WARRANTY FOR THE LIBRARY, TO THE EXTENT PERMITTED BY APPLICABLE LAW. EXCEPT WHEN OTHERWISE STATED IN WRITING THE COPYRIGHT HOLDERS AND/OR OTHER PARTIES PROVIDE THE LIBRARY "AS IS" WITHOUT WARRANTY OF ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. THE ENTIRE RISK AS TO THE QUALITY AND PERFORMANCE OF THE LIBRARY IS WITH YOU. SHOULD THE LIBRARY PROVE DEFECTIVE, YOU ASSUME THE COST OF ALL NECESSARY SERVICING, REPAIR OR CORRECTION. 16. IN NO EVENT UNLESS REQUIRED BY APPLICABLE LAW OR AGREED TO IN WRITING WILL ANY COPYRIGHT HOLDER, OR ANY OTHER PARTY WHO MAY MODIFY AND/OR REDISTRIBUTE THE LIBRARY AS PERMITTED ABOVE, BE LIABLE TO YOU FOR DAMAGES, INCLUDING ANY GENERAL, SPECIAL, INCIDENTAL OR CONSEQUENTIAL DAMAGES ARISING OUT OF THE USE OR INABILITY TO USE THE LIBRARY (INCLUDING BUT NOT LIMITED TO LOSS OF DATA OR DATA BEING RENDERED INACCURATE OR LOSSES SUSTAINED BY YOU OR THIRD PARTIES OR A FAILURE OF THE LIBRARY TO OPERATE WITH ANY OTHER SOFTWARE), EVEN IF SUCH HOLDER OR OTHER PARTY HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES. 470 • Palo Alto Networks MIT/X11 MIT/X11 Copyright (c) 2001-2002 Daniel Veillard. All Rights Reserved. Copyright (c) 2001-2002 Thomas Broyer, Charlie Bozeman and Daniel Veillard. All Rights Reserved. Copyright (c) 1998 Bjorn Reese and Daniel Stenberg. Copyright (c) 2000 Gary Pennington and Daniel Veillard. Copyright (c) 2001 Bjorn Reese <[email protected]> Copyright (c) 2001, 2002, 2003 Python Software Foundation Copyright (c) 2004-2008 Paramjit Oberoi <param.cs.wisc.edu> Copyright (c) 2007 Tim Lauridsen <[email protected]> Permission is hereby granted, free of charge, to any person obtaining a copy of this software and associated documentation files (the "Software"), to deal in the Software without restriction, including without limitation the rights to use, copy, modify, merge, publish, distribute, sublicense, and/or sell copies of the Software, and to permit persons to whom the Software is furnished to do so, subject to the following conditions: The above copyright notice and this permission notice shall be included in all copies or substantial portions of the Software. THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE. OpenSSH This file is part of the OpenSSH software. The licences which components of this software fall under are as follows. First, we will summarize and say that all components are under a BSD licence, or a licence more free than that. OpenSSH contains no GPL code. 1) Copyright (c) 1995 Tatu Ylonen <[email protected]>, Espoo, Finland All rights reserved As far as I am concerned, the code I have written for this software can be used freely for any purpose. Any derived versions of this software must be clearly marked as such, and if the derived work is incompatible with the protocol description in the RFC file, it must be called by a name other than "ssh" or "Secure Shell". Palo Alto Networks • 471 OpenSSH [Tatu continues] However, I am not implying to give any licenses to any patents or copyrights held by third parties, and the software includes parts that are not under my direct control. As far as I know, all included source code is used in accordance with the relevant license agreements and can be used freely for any purpose (the GNU license being the most restrictive); see below for details. [However, none of that term is relevant at this point in time. All of these restrictively licenced software components which he talks about have been removed from OpenSSH, i.e., -RSA is no longer included, found in the OpenSSL library -IDEA is no longer included, its use is deprecated -DES is now external, in the OpenSSL library -GMP is no longer used, and instead we call BN code from OpenSSL -Zlib is now external, in a library -The make-ssh-known-hosts script is no longer included -TSS has been removed -MD5 is now external, in the OpenSSL library -RC4 support has been replaced with ARC4 support from OpenSSL -Blowfish is now external, in the OpenSSL library [The licence continues] Note that any information and cryptographic algorithms used in this software are publicly available on the Internet and at any major bookstore, scientific library, and patent office worldwide. More information can be found e.g. at "http://www.cs.hut.fi/crypto". The legal status of this program is some combination of all these permissions and restrictions. Use only at your own responsibility. You will be responsible for any legal consequences yourself; I am not making any claims whether possessing or using this is legal or not in your country, and I am not taking any responsibility on your behalf. NO WARRANTY BECAUSE THE PROGRAM IS LICENSED FREE OF CHARGE, THERE IS NO WARRANTY FOR THE PROGRAM, TO THE EXTENT PERMITTED BY APPLICABLE LAW. EXCEPT WHEN OTHERWISE STATED IN WRITING THE COPYRIGHT HOLDERS AND/OR OTHER PARTIES PROVIDE THE PROGRAM "AS IS" WITHOUT WARRANTY OF ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. THE ENTIRE RISK AS TO THE QUALITY AND PERFORMANCE OF THE PROGRAM IS WITH YOU. SHOULD THE PROGRAM PROVE DEFECTIVE, YOU ASSUME THE COST OF ALL NECESSARY SERVICING, REPAIR OR CORRECTION. IN NO EVENT UNLESS REQUIRED BY APPLICABLE LAW OR AGREED TO IN WRITING WILL ANY COPYRIGHT HOLDER, OR ANY OTHER PARTY WHO MAY MODIFY AND/OR REDISTRIBUTE THE PROGRAM AS PERMITTED ABOVE, BE LIABLE TO YOU FOR DAMAGES, INCLUDING ANY GENERAL, SPECIAL, INCIDENTAL OR CONSEQUENTIAL DAMAGES ARISING OUT OF THE USE OR INABILITY TO USE THE PROGRAM (INCLUDING BUT NOT LIMITED TO LOSS OF DATA OR DATA BEING RENDERED INACCURATE OR LOSSES SUSTAINED BY YOU OR THIRD PARTIES OR A FAILURE OF THE PROGRAM TO OPERATE WITH ANY OTHER PROGRAMS), EVEN IF SUCH HOLDER OR OTHER PARTY HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES. 472 • Palo Alto Networks OpenSSH 2) The 32-bit CRC compensation attack detector in deattack.c was contributed by CORE SDI S.A. under a BSD-style license. Cryptographic attack detector for ssh - source code Copyright (c) 1998 CORE SDI S.A., Buenos Aires, Argentina. All rights reserved. Redistribution and use in source and binary forms, with or without modification, are permitted provided that this copyright notice is retained. THIS SOFTWARE IS PROVIDED ``AS IS'' AND ANY EXPRESS OR IMPLIED WARRANTIES ARE DISCLAIMED. IN NO EVENT SHALL CORE SDI S.A. BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY OR CONSEQUENTIAL DAMAGES RESULTING FROM THE USE OR MISUSE OF THIS SOFTWARE. Ariel Futoransky <[email protected]> <http://www.core-sdi.com> 3) ssh-keyscan was contributed by David Mazieres under a BSD-style license. Copyright 1995, 1996 by David Mazieres <[email protected]>. Modification and redistribution in source and binary forms is permitted provided that due credit is given to the author and the OpenBSD project by leaving this copyright notice intact. 4) The Rijndael implementation by Vincent Rijmen, Antoon Bosselaers and Paulo Barreto is in the public domain and distributed with the following license: @version 3.0 (December 2000) Optimised ANSI C code for the Rijndael cipher (now AES) @author Vincent Rijmen <[email protected]> @author Antoon Bosselaers <[email protected]> @author Paulo Barreto <[email protected]> This code is hereby placed in the public domain. THIS SOFTWARE IS PROVIDED BY THE AUTHORS ''AS IS'' AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHORS OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. 5) One component of the ssh source code is under a 3-clause BSD license, held by the University of California, since we pulled these parts from original Berkeley code. Copyright (c) 1983, 1990, 1992, 1993, 1995 The Regents of the University of California. All rights reserved. Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met: 1. Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer. 2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution. Palo Alto Networks • 473 OpenSSH 3. Neither the name of the University nor the names of its contributors may be used to endorse or promote products derived from this software without specific prior written permission. THIS SOFTWARE IS PROVIDED BY THE REGENTS AND CONTRIBUTORS ``AS IS'' AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE REGENTS OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. 6) Remaining components of the software are provided under a standard 2-term BSD licence with the following names as copyright holders: -Markus Friedl -Theo de Raadt -Niels Provos -Dug Song -Aaron Campbell -Damien Miller -Kevin Steves -Daniel Kouril -Wesley Griffin -Per Allansson -Nils Nordman -Simon Wilkinson Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met: 1. Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer. 2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution. THIS SOFTWARE IS PROVIDED BY THE AUTHOR ``AS IS'' AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. 474 • Palo Alto Networks PSF PSF 1. This LICENSE AGREEMENT is between the Python Software Foundation ("PSF"), and the Individual or Organization ("Licensee") accessing and otherwise using Python 2.3 software in source or binary form and its associated documentation. 2. Subject to the terms and conditions of this License Agreement, PSF hereby grants Licensee a nonexclusive, royalty-free, world-wide license to reproduce, analyze, test, perform and/or display publicly, prepare derivative works, distribute, and otherwise use Python 2.3 alone or in any derivative version, provided, however, that PSF's License Agreement and PSF's notice of copyright, i.e., "Copyright (c) 2001, 2002, 2003 Python Software Foundation; All Rights Reserved" are retained in Python 2.3 alone or in any derivative version prepared by Licensee. 3. In the event Licensee prepares a derivative work that is based on or incorporates Python 2.3 or any part thereof, and wants to make the derivative work available to others as provided herein, then Licensee hereby agrees to include in any such work a brief summary of the changes made to Python 2.3. 4. PSF is making Python 2.3 available to Licensee on an "AS IS" basis. PSF MAKES NO REPRESENTATIONS OR WARRANTIES, EXPRESS OR IMPLIED. BY WAY OF EXAMPLE, BUT NOT LIMITATION, PSF MAKES NO AND DISCLAIMS ANY REPRESENTATION OR WARRANTY OF MERCHANTABILITY OR FITNESS FOR ANY PARTICULAR PURPOSE OR THAT THE USE OF PYTHON 2.3 WILL NOT INFRINGE ANY THIRD PARTY RIGHTS. 5. PSF SHALL NOT BE LIABLE TO LICENSEE OR ANY OTHER USERS OF PYTHON 2.3 FOR ANY INCIDENTAL, SPECIAL, OR CONSEQUENTIAL DAMAGES OR LOSS AS A RESULT OF MODIFYING, DISTRIBUTING, OR OTHERWISE USING PYTHON 2.3, OR ANY DERIVATIVE THEREOF, EVEN IF ADVISED OF THE POSSIBILITY THEREOF. 6. This License Agreement will automatically terminate upon a material breach of its terms and conditions. 7. Nothing in this License Agreement shall be deemed to create any relationship of agency, partnership, or joint venture between PSF and Licensee. This License Agreement does not grant permission to use PSF trademarks or trade name in a trademark sense to endorse or promote products or services of Licensee, or any third party. 8. By copying, installing or otherwise using Python 2.3, Licensee agrees to be bound by the terms and conditions of this License Agreement. PHP The PHP License, version 3.01 Copyright (c) 1999 - 2009 The PHP Group. All rights reserved. Redistribution and use in source and binary forms, with or without modification, is permitted provided that the following conditions are met: 1. Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer. 2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution. Palo Alto Networks • 475 Zlib 3. The name "PHP" must not be used to endorse or promote products derived from this software without prior written permission. For written permission, please contact [email protected]. 4. Products derived from this software may not be called "PHP", nor may "PHP" appear in their name, without prior written permission from [email protected]. You may indicate that your software works in conjunction with PHP by saying "Foo for PHP" instead of calling it "PHP Foo" or "phpfoo" 5. The PHP Group may publish revised and/or new versions of the license from time to time. Each version will be given a distinguishing version number. Once covered code has been published under a particular version of the license, you may always continue to use it under the terms of that version. You may also choose to use such covered code under the terms of any subsequent version of the license published by the PHP Group. No one other than the PHP Group has the right to modify the terms applicable to covered code created under this License. 6. Redistributions of any form whatsoever must retain the following acknowledgment: "This product includes PHP software, freely available from <http://www.php.net/software/>". THIS SOFTWARE IS PROVIDED BY THE PHP DEVELOPMENT TEAM ``AS IS'' AND ANY EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE PHP DEVELOPMENT TEAM OR ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. This software consists of voluntary contributions made by many individuals on behalf of the PHP Group. The PHP Group can be contacted via Email at [email protected]. For more information on the PHP Group and the PHP project, please see <http:// www.php.net>. PHP includes the Zend Engine, freely available at <http://www.zend.com>. Zlib Copyright (c) 1995-2005 Jean-loup Gailly and Mark Adler This software is provided 'as-is', without any express or implied warranty. In no event will the authors be held liable for any damages arising from the use of this software. Permission is granted to anyone to use this software for any purpose, including commercial applications, and to alter it and redistribute it freely, subject to the following restrictions: 1.The origin of this software must not be misrepresented; you must not claim that you wrote the original software. If you use this software in a product, an acknowledgment in the product documentation would be appreciated but is not required. 476 • Palo Alto Networks Zlib 2.Altered source versions must be plainly marked as such, and must not be misrepresented as being the original software. 3.This notice may not be removed or altered from any source distribution. Jean-loup Gailly [email protected] Mark Adler [email protected] Palo Alto Networks • 477 Zlib 478 • Palo Alto Networks 付録 E 外部の WEB リソースへのファイアウォールの アクセス Palo Alto Networks は、Palo Alto Networks のデバイスにコンテンツの更新を提供するため の CDN(Content Delivery Network)インフラストラクチャを管理しています。このデバイ スは CDN 内の Web リソースに利用してさまざまな App-ID および Content-ID 機能を実行 します。以下のセクションでは、必要な機能やアプリケーションに応じてファイアウォール がアクセスする Web リソースを示します。 • アプリケーション データベース • 脅威 / アンチウイルス データベース • PAN-DB URL Filtering データベース • BrightCloud Filtering データベース • WildFire Palo Alto Networks 付録 E • 479 アプリケーション データベース アプリケーション データベース アプリケーション データベースの更新を実行するときは、ファイアウォールが以下の Web リソースにアクセスします。 • updates.paloaltonetworks.com:443 脅威 / アンチウイルス データベース 脅威 / アンチウイルス データベースの更新を実行するときは、ファイアウォールが以下の Web リソースにアクセスします。 • updates.paloaltonetworks.com:443 • downloads.paloaltonetworks.com:443 更新サーバーを updates.paloaltonetworks.com に設定することをお勧めします。この設定で は、Palo Alto Networks デバイスが CDN インフラストラクチャ内の最も近いサーバーから コンテンツの更新を受け取ることができます。 スタティック サーバーが必要な場合は、更新サーバーが staticupdates.paloaltonetworks.com という名前のホストか、199.167.52.15 という IP アドレスにアクセスするように設定してます。 PAN-DB URL Filtering データベース PAN-DB URL Filtering データベースの更新および検索を実行するときに、ファイアウォール は以下の Web リソースにアクセスします。 • *urlcloud.paloaltonetworks.com BrightCloud Filtering データベース BrightCloud URL Filtering データベースの更新および検索を実行するときに、ファイア ウォールは以下の Web リソースにアクセスします。 • database.brightcloud.com:443/80 • service.brightcloud.com:80 WildFire WildFire の更新を実行するときに、ファイアウォールは以下の Web リソースにアクセスします。 480 • 付録 E • beta.wildfire.paloaltonetworks.com:443/80 • beta-s1.wildfire.paloaltonetworks.com:443/80 Palo Alto Networks WildFire ベータ サイトは、ベータ リリース バージョンを実行しているファイアウォールのみが利用 します。 • mail.wildfire.paloaltonetworks.com:25 • wildfire.paloaltonetworks.com:443/80 • wildfire.paloaltonetworks.com:443 • ca-s1.wildfire.paloaltonetworks.com:443 • va-s1.wildfire.paloaltonetworks.com:443 • eu-s1.wildfire.paloaltonetworks.com:443 • sg-s1.wildfire.paloaltonetworks.com:443 • jp-s1.wildfire.paloaltonetworks.com:443 • ca-s2.wildfire.paloaltonetworks.com:443 • va-s2.wildfire.paloaltonetworks.com:443 • eu-s2.wildfire.paloaltonetworks.com:443 • sg-s2.wildfire.paloaltonetworks.com:443 • jp-s2.wildfire.paloaltonetworks.com:443 • portal3.wildfire.paloaltonetworks.com:443/80 • ca-s3.wildfire.paloaltonetworks.com:443 • va-s3.wildfire.paloaltonetworks.com:443 • eu-s3.wildfire.paloaltonetworks.com:443 • sg-s3.wildfire.paloaltonetworks.com:443 • jp-s3.wildfire.paloaltonetworks.com:443 • wildfire.paloaltonetworks.jp:443/80 • wf1.wildfire.paloaltonetowrks.jp:443 • wf2.wildfire.paloaltonetworks.jp:443 Palo Alto Networks 付録 E • 481 WildFire 482 • 付録 E • portal.wildfire.paloaltonetworks.jp:443/80 • wf3.wildfire.paloaltonetworks.jp:443 • wf4.wildfire.paloaltonetworks.jp:443 Palo Alto Networks 索引 A G ARP エントリ L3 サブインターフェイス 151 VLAN インターフェイス 128 メインの L3 インターフェイス 136 GlobalProtect エージェントの使用 387 エージェントのセットアップ 387 応答ページ 120 クライアントのダウンロードおよび アクティブ化 385 ゲートウェイのセットアップ 366 B BGP 仮想ルーター 163, 164, 166, 167, 168, 171, 172, 173 BrightCloud サービス 260 C Content-ID 設定 49 CPU 使用状況 300 H HA1 ポートと HA2 ポート 107 hello インターバル、HA 406 Help 18 HTML ブロック ページ 443 I D DAD (Duplicate Address Detection) 132, 138, 152 DH (Diffie-Hellman) グループ 352 DHCP サーバー 189 設定 189, 389 ファイアウォール オプション 189 リレー 189 DNS サーバー 190 DNS プロキシ 設定 192 DoS プロテクション プロファイル 243 プロファイル 243 ICMP フラッド 197 IKE 暗号プロファイル設定 352 暗号プロファイルの定義 352 交換モード 346 デッド ピア対策 347 IKE ゲートウェイ 設定 346 セットアップ 345 IPSec 暗号プロファイル設定 353 暗号プロファイルの定義 353 トンネルのセットアップ 347 IPv6 194 IPv6 アドレス 272 F K FIPS 455 FTP サーバー、ログの保存 81 Kerberos 管理者ロール 68 サーバーの設定 79 483 • 索引 Palo Alto Networks L L3 インターフェイス 共有ゲートウェイ 119 LDAP サーバーの設定 78 認証 68 logs 315 M Master Device 412 MD5 166 MIBs 44, 87 N NAT NAT64 221 タイプ 218, 225 ポリシー 217 ポリシーの定義 226 ポリシーの例 220 Netflow 概要 97 設定 97 NFS 403 Panorama の高可用性 406 外部ログ保存エリア 403 ストレージ パーティション 403 NIS サーバー 190 NSSA (Not So Stub Area) 164, 169 NT LAN Manager (NTLM) 242 NTP サーバー 190 P Panorama IP アドレスの設定 28 アクセス ドメイン 417 アクセスの有効化 28 管理者アカウントの作成 415 管理者ロール 413 高可用性 405 コミット 418 設定バンドルのエクスポート 434 ソフトウェアのアップグレード 436 タブ 400 デバイスの追加 407, 408 テンプレート 420 484 • 索引 テンプレート、構成 420 ユーザー アカウントのロックアウト 73, 401, 416 PAN-OS ソフトウェア アップグレード 64, 74, 417 バージョン 300 Passive Link State 114 PDF サマリー レポート 作成 320, 323 設計 320 表示 319, 320 Peer Identification 346 Q QoS クラス 393, 394 クリア テキスト トラフィック 390 出力設定 393 設定 211, 216 トンネル対象トラフィック 390 プロファイル 392 ポリシー 394 マーキング 211, 216 優先度設定 393 R RADIUS サーバー設定の定義 77 認証 68 認証プロファイル 75 Random Early Drop 196 Representational State Transfer (REST) 13 S SNMP MIB 87 MIB のセットアップ 44 コミュニティ名 45 SNMP トラップの宛先 定義 86 ログ プロファイル 295 SSL テクニカル ノートの参照 233 復号ポリシー 293 復号ポリシーの定義 233 SSL VPN 概要 389 Palo Alto Networks 確認ページ 120 スプリット トンネル 370 認証プロファイル 74 ローカル ユーザー データベース 76 SYN フラッド 196 Syslog サーバー カスタム Syslog フィールド 89 定義 88 ログ プロファイル 295 T TLS (Transport Layer Security) 79 U UDP フラッド 197 URL フィルタリング [ACC] ページ 303 オーバーライド設定 50 応答ページ 120 応答ページの続行とオーバーライド 120 セーフ サーチ 261 ダイナミック分類 260 プロファイル設定 257 プロファイルの定義 257 リスト 303 ログの表示 315 User-ID エージェント キャプティブ ポータル設定 341 ファイアウォールの設定 329 V VPN SSL、概要 389 VPN トンネル セットアップ 347 W Web インターフェイス 移動 21 サポート対象のブラウザ 22 使用 17 テーブルの使用 21 必須フィールド 21 変更のコミット 20 WINS サーバー 190 Palo Alto Networks X XML API 13 あ アカウント 認証プロファイル 74 ユーザー名とパスワードの要件 71 アクセス ドメイン Panorama 417 ファイアウォール 68, 74 アクティブ / アクティブの高可用性 107 アクティブ / パッシブの高可用性 107 アクティブ コンフィグ、更新 37, 46 アップグレード Panorama ソフトウェア 436 PAN-OS ソフトウェア 64, 74, 417 脅威およびアプリケーションの定義 65 スケジュール 433 アドレス アドレス グループの定義 273 グループの定義 273 アドレス グループ、定義 273 アプリケーション [ACC] ページ 303 アプリケーション オーバーライドを 指定したカスタム 237 応答ページ 445 カテゴリ 279, 451 脅威の定義の更新 65, 432 グループの定義 282 検索 277 サブ カテゴリ 279 サブカテゴリ 451 詳細 277 定義 279 テクノロジ 453 特徴 280, 453 フィルタ 276 フィルタの定義 282 不明なアプリケーションの識別 325 例外 249 アプリケーション オーバーライド ポリシー 概要 237 アプリケーション グループ、定義 282 アプリケーション コマンド センター (ACC)、 使用 301 索引 • 485 アプリケーション スコープ レポート 脅威マップ レポート 309, 312 サマリー レポート 306 ネットワーク モニター レポート 310 表示 305 変化モニター レポート 307 アプリケーション リスト 303 アプリケーション例外 249 アプリケーション例外ポリシー 293 アラーム アイコンの認識 84 アラーム アイコン 84 しきい値 197 承認済み 84 表示 84 未承認 84 ログの設定 84 アラームの承認 84 暗号化ポリシー 295 暗号プロファイル 352, 353 アンチウイルス応答ページ 444 アンチウイルス プロファイル 定義 248, 250 アンチスパイウェア プロファイル 概要 250 アンナンバード ループバック インターフェイス 154 い 移動 21 緯度と経度 27 インターフェイス 状態の表示 300 インターフェイス管理プロファイル 194 え エージェント GlobalProtect の使用 387 GlobalProtect のセットアップ 387 User-ID 337 エクスポート 証明書 98 設定バンドル 434 ログのスケジュール設定 81 486 • 索引 お オープン ソース ライセンス 457 応答ページ GlobalProtect ポータルのヘルプ 120 GlobalProtect ポータルのログイン 120 SSL 証明書エラー通知ページ 120 SSL 証明書無効通知 448 SSL 復号オプトアウト 120 URL フィルタリングの続行と オーバーライド 120 アプリケーション ブロック 120, 445 アンチウイルス 120, 444 キャプティブ ポータル 120, 446 タイプ 102, 120 定義 119 ファイル ブロッキング 120, 445 ファイル ブロッキング続行 120 オブジェクト 概要 271 か カスタム グループ レポート 322 カスタム シグネチャ 概要 290 スパイウェア 290 脆弱性 290 カスタム レポート 324 仮想システム 概要 117 セキュリティ ゾーン 117 定義 117, 119 複数 117 複数を定義 117 複数を有効化 27 ポリシー 117 有効化 27 仮想ルーター 設定 158, 159, 183 ネクスト ホップ 159 監査設定 58 管理インターフェイス CLI 13 Panorama 13 Web 13 オプション 13 設定 26, 58 Palo Alto Networks 管理者 アカウント、概要 68 認証オプション 68 プロファイル、概要 68 ページのロックアウト 73, 401, 416 ロール、概要 68 ロール、定義 68 [ 管理者 ] ページでのロックアウト 73, 401, 416 き 機能と利点 12 機密情報、保護 50 キャプティブ ポータル 74 確認ページ 120, 446 ファイアウォールの設定 341 ポリシーの定義 240 脅威 ACC リスト 303 定義の更新 65, 432 脅威のリスト 303 脅威のログ 295 脅威ログ 表示 315 リモート ログの定義 293 共有ゲートウェイ L3 インターフェイス 119 設定 119 共有ポリシー マスター デバイス 412 許可リスト URL フィルタリング プロファイル 259 ワイルドカード パターン 258 く クライアント GlobalProtect のダウンロードと アクティブ化 385 ボットネット感染 316 クリア テキスト トラフィックと QoS 390 グループ サービスの定義 284 デバイス 411 クロック、設定 26, 58 Palo Alto Networks け ゲートウェイ GlobalProtect のセットアップ 366 こ 高可用性 Panorama 405 Panorama での設定 405 アクティブ / アクティブ 107 アクティブ / パッシブ 107 概要 107 設定 107 動作とフェイルオーバーのルール 107 交換モード 346 候補設定 概要 37, 46 保存およびロールバック 37, 46 候補設定の保存 37, 46 候補設定のロールバック 37, 46 コミット Panorama 418 オプション 20 変更 20 コンフィグの管理 37, 46 さ サーバー Kerberos の定義 79 LDAP の定義 78 RADIUS の定義 77 Syslog の定義 88 サービス、定義 283 サービス拒否 (DoS)、プロファイル 243 サービス グループ 定義 284 サービス グループ、定義 284 最短パス ツリー (SPT) 187 サブ カテゴリ アプリケーション 279 フィルタリング 276 サポート情報 121 サポート情報、表示 121 サポート対象のブラウザ 22 サポートの依頼 121 索引 • 487 し 時間 ゾーン 27 しきい値、アラーム 197 シグネチャ カスタム 290 スパイウェア 290 脆弱性 290 時刻 設定 26, 58 システム設定 119 システム ログ 表示 316 証明書 インポート 101 エクスポート 101 設定の比較 58 設定バンドルのエクスポート 434 設定ログ 表示 316 リモート ログの定義 82, 84, 86 そ ゾーン NAT ポリシー 227 プロテクション プロファイル 60, 195, 392 送信元特定マルチキャスト (SSM) 187 速度、リンク 126, 140, 142, 143, 144, 149 ソフトウェア Panorama のアップグレード 436 アップグレード 64, 74, 417, 436 バージョン 300 す た スケジュール 設定バンドルのエクスポート 434 定義 293, 298 ストレージ パーティション 403 Panorama 403 ダイナミック URL のタイムアウト 49 ダイナミック更新 概要 65 スケジュール 433 ダイナミック ブロック リスト 288 タグ L2 サブインターフェイス 141 バーチャル ワイヤー 124 ダッシュボード ファイアウォール 300 せ セーフ サーチ 261 正規表現、データ パターン 285 脆弱性防御プロファイル 253, 257 セキュリティ プロファイル グループ 293 プロファイル グループの定義 247, 293 セキュリティ ゾーン NAT ポリシー 227 定義 188 セキュリティ プロファイル アクション 246 概要 246 定義 293 セキュリティ プロファイル グループ、定義 293 セキュリティ ポリシー 概要 209 定義 209 セッション ブラウザ 316 設定監査 58 設定テンプレートの定義 436 設定の管理 37, 46 488 • 索引 ち 地域 概要 275 ポリシー 275 て データ パターン 新規追加 285 データ フィルタリング プロファイル 268 定義 289 ルール 285 データ フィルタリング [ACC] ページ 303 [ACC] ページの HIP マッチ 303 データ パターン 289 パターン設定 268 プロファイル 267 Palo Alto Networks プロファイル設定 267, 270 プロファイルとパターン 268 プロファイルの定義 267 ログの表示 316 データ保護 追加 50 パスワードの変更 50 テーブル、Web インターフェイスの使用 21 ディスク使用状況 300 デコーダとアクション 249 デッドピア検知 (DPD) 347 デバイス 追加 407, 408 マスター 412 デバイス グループ 追加 411 デバイスの再起動 26, 40, 58 デバイス優先度、HA 406 デプロイメント、情報の表示 432 デュプレックス設定 126, 140, 142, 143, 144, 149 電子メール レポート配信のスケジューリング 323 電子メール通知設定 定義 96, 97 ログ プロファイル 295 と ドメイン名 26 トラフィック ログ 294 表示 315 リモート ログの定義 293 トンネル SSL VPN 用の分割 370 セットアップ 347 トンネル インターフェイス 347 トンネル トラフィックと QoS 390 トンネル モニター 回復を待機 195 フェイルオーバー 195 プロファイル 194 な に 認証 LDAP 68 RADIUS 68 管理者のオプション 68 シーケンス 80 リモート 26, 58 ローカル データベース 68 認証シーケンス 概要 80 セットアップ 80 認証プロファイル Kerberos 設定 79 LDAP 設定 78 RADIUS 設定 77 概要 74 セットアップ 74 ね ネクスト ホップ 159 ネットワーク設定 26, 58 は バージョン、ソフトウェア 300 バーチャル ワイヤー 定義 123 廃棄オプション、DOS プロファイル 199 パケット キャプチャ 315 アクセス 315 キャプチャの実行 325 キャプチャの設定 325 ファイルのキャプチャ 325 プロファイル設定 249, 256 パス グループ、HA 407 パスワード 暗号化 105 新規 16 データ保護 50 パスワード複雑性設定 36 プロファイル 70 パッシブ / アクティブの高可用性 107 パッシブ ホールド タイム、HA 406 ナレッジ ベース 121 Palo Alto Networks 索引 • 489 ひ 必須フィールド 21 秘密鍵、暗号化 105 秘密鍵とパスワードの暗号化 105 表示 セッション情報 316 セッション ブラウザ 316 ログ 313 ふ ファイアウオール 機能と利点 12 ファイアウォール User-ID エージェント 329 Web インターフェイスの使用操作 17 緯度と経度 27 はじめに 11 ユーザー インターフェイスの移動 21 ファイアウォール設定のバックアップ 410 ファイル ブロッキング 設定 262 プロファイル、定義 293 プロファイルの定義 262 ファイル ブロッキング ページ 445 フィルタ アプリケーション 276, 282 サブ カテゴリ 276 フェイルオーバー 195 ブラウザ、サポート対象 22 フラグメントなし (DF) 200 フラッド、ゾーン プロテクション設定 195, 196, 198, 199, 200, 201, 392 ブロッキング、ファイル プロファイル 262 ブロック リスト URL フィルタリング プロファイル 258 ワイルドカード パターン 258 プロファイル IKE 暗号 352 IKE 暗号プロファイル設定 352 IPSec 暗号 353 IPSec 暗号プロファイル設定 353 QoS 392 URL フィルタリング 257 アンチウイルス 248 アンチウイルス、アプリケーション例外 249 アンチウイルス、デコーダとアクション 249 490 • 索引 アンチスパイウェア 250 インターフェイス管理 194 脆弱性防御 253, 257 セキュリティ グループ 247, 293 セキュリティの概要 246 ゾーン プロテクション 60, 195, 392 データ フィルタリング 267 トンネル モニター 194 ファイル ブロッキング 262, 293 モニターについて 194 ログ 293 ログ転送の定義 294 プロファイル グループ、定義 293 へ ページ上の設定の変更 19 ページ上の設定の編集 19 ヘルプの表示 18 ほ ホスト情報プロファイル (HIP) [ACC] ページの一致 303 HIP マッチ ログの設定 84 オブジェクトのセットアップ 375 セットアップ 384 マッチ ログ 316 ホスト名、定義 26, 58 ホスト名の解決 314 ボットネット 概要 316 レポート 316 ボットネットに感染したクライアント 316 ポリシー NAT の概要 217 NAT の定義 226 QoS 394 概要 203 仮想システム 117 キャプティブ ポータルの定義 240 セキュリティの概要 209 その他のポリシー オブジェクト 271 タイプ 203 データ パターン 289 復号化の定義 233 ポリシー ベース フォワーディングの概要 229 ユーザーとアプリケーションの指定 206 Palo Alto Networks ポリシー ベース フォワーディング (PBF) 概要 229 定義 229 モニター プロファイル 194 保留時間 406 ま [ マスター キーおよび診断 ] ページ 105 マルチ仮想システム 27, 117 め メモリ使用率 300 も モニター プロファイル 194 ゆ ユーザー アカウントのロックアウト 73, 416 ユーザー インターフェイスの移動 21 ユーザー データベース、SSL VPN 76 ユーザー名とパスワードの要件 71 ら ライセンス インストール 58 オープン ライセンス 457 ランデブー ポイント 184 り リモート認証 26, 58 リンク グループ、HA 113 リンク状態 設定 126, 140, 142, 143, 144, 149 表示 300 リンク速度とデュプレックス 126, 140, 142, 143, 144, 149 る ルーター通知 153 ルーティング プロトコル BGP 163, 164, 166, 167, 168, 171, 172, 173 ループバック インターフェイス 定義 154 ルール アプリケーション例外ポリシー 293 セキュリティ ポリシー 209 Palo Alto Networks れ レスポンスしきい値 197 レポート PDF サマリー 319 カスタム 324 カスタム グループの作成 322 上位 50 323 電子メール配信のスケジューリング 323 表示 323 ユーザー アクティビティ 321, 431 レポートとログ PDF サマリー レポートの表示 319 アプリケーション コマンド センターの 使用 301 アプリケーション スコープ レポートの 表示 305 カスタム レポート 324 ダッシュボードの使用 300 不明なアプリケーションの識別 325 レポートの表示 323, 324 ろ ローカル ID 346 ロール 概要 68 管理者の定義 68 ログ [ACC] ページからのリンク 302 FTP サーバーへの保存 81 HIP マッチ 316 HIP マッチの設定 84 URL フィルタリングの表示 315 アラーム 84 エクスポートのスケジュール設定 81 管理 86 クリア 86 設定 83 表示 313 ホスト名の解決 314 リモート ログの定義 脅威ログとトラフィック ログ 293 設定用 82, 84, 86 ログ転送 プロファイル設定 294 プロファイルの定義 294 索引 • 491 ログの宛先 SNMP トラップ 86 Syslog 88 電子メール 96, 97 ログのエクスポート 81 ログ ページのリンク 302 わ ワイルドカード カスタム URL カテゴリ 287 許可リストとブロック リストのパターン 258 492 • 索引 Palo Alto Networks
© Copyright 2024 Paperzz
