Palo Alto Networks Web Interface Reference Guide

Webインターフェイス リファレンス ガイド
バージョン 7.0
問い合わせ先
本社:
Palo Alto Networks
4401 Great America Parkway
Santa Clara, CA 95054
http://www.paloaltonetworks.com/contact/contact/
このガイドについて
このガイドでは、Palo Alto Networks の次世代ファイアウォールおよび Panorama の Web インターフェイ
スについて説明します。Web インターフェイスを使用する方法と、インターフェイス内のフィールド
に値を入力する方法に関するリファレンス情報が記載されています。

その他の機能およびファイアウォールと Panorama での機能の設定方法の詳細は、
https://www.paloaltonetworks.com/documentation を参照してください。

ナレッジ ベース、ドキュメント セット一式、ディスカッション フォーラム、および動画
(https://live.paloaltonetworks.com)。

サポート窓口、サポート プログラムの詳細、アカウントまたはデバイスの管理
(https://support.paloaltonetworks.com)。

最新のリリース ノート(https://support.paloaltonetworks.com/Updates/SoftwareUpdates のソフトウェア
のダウンロード ページ)。
ドキュメントのフィードバックは、以下の宛先までご送付ください。
[email protected]。
Palo Alto Networks, Inc.
www.paloaltonetworks.com
© 2007–2015 Palo Alto Networks. All rights reserved.
Palo Alto Networks および PAN-OS は Palo Alto Networks, Inc. の商標です。
改定日:2015 年 6 月 30 日
ii
2015 ? 6 ? 30 ? - Palo Alto Networks ???
目次
第1章
はじめに . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
ファイアウォールの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
機能と利点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
管理インターフェイス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
第2章
スタート ガイド. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
Palo Alto Networks ファイアウォール Web インターフェイスの使用. . . 6
変更のコミット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
設定の検索 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
トランザクションのロック . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
サポート対象のブラウザ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
ファイアウォール設定でのヘルプの表示 . . . . . . . . . . . . . . . . . . . . . . . 14
詳細情報について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
テクニカル サポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
第3章
デバイス管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
15
システム セットアップ、設定、およびライセンス管理 . . . . . . . . . . . . . . . 16
管理設定の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
操作設定の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
ハードウェア セキュリティ モジュールの定義 . . . . . . . . . . . . . . . . . . . . . . . 35
SNMP モニタリングの有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
サービス設定の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
宛先サービス ルート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
DNS サーバー プロファイルの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Content-ID 設定の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
WildFire の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
セッション設定の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
セッション設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
セッション タイムアウト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
復号化設定:証明書失効チェック . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
復号化設定:フォワード プロキシ サーバーの証明書設定 . . . . . . . . . 55
VPN セッション設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • iii
目次
設定ファイルの比較 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
ライセンスのインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
ライセンス失効時の動作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
VM 情報の送信元の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
ソフトウェアのインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
脅威およびアプリケーションの定義の更新 . . . . . . . . . . . . . . . . . . . . . . . . . 66
管理者ロール、プロファイル、およびアカウント . . . . . . . . . . . . . . . . . . . 70
管理者ロールの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
パスワード プロファイルの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
ユーザー名とパスワードの要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
管理アカウントの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
管理者のアクセス ドメインの指定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
認証プロファイルのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
ローカル ユーザー データベースの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
ローカル ユーザー グループの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
RADIUS サーバーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
TACACS+ サーバーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
LDAP サーバーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
Kerberos サーバーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
認証シーケンスのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
ログのエクスポートのスケジューリング . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
ログの宛先の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
設定ログの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
システム ログの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
相関ログの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
HIP マッチ ログの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
アラーム設定の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
ログ設定の管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
SNMP トラップの宛先の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Syslog サーバーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
電子メール通知設定の指定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
Netflow の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
DNS サーバー プロファイルの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
証明書の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
デバイス証明書の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
デフォルトの信頼された証明機関の管理 . . . . . . . . . . . . . . . . . . . . . . . 103
証明書プロファイルの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
OCSP レスポンダの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
SSL/TLS サービス プロファイルの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
ファイアウォールでの秘密鍵とパスワードの暗号化 . . . . . . . . . . . . . . . . 107
ファイアウォールの HA の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
仮想システムの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
共有ゲートウェイの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
カスタム応答ページの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
サポート情報の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
第4章
ネットワーク設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
123
バーチャル ワイヤーの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
ファイアウォール インターフェイスの設定 . . . . . . . . . . . . . . . . . . . 125
ファイアウォール インターフェイスの概要 . . . . . . . . . . . . . . . . . . . . . . . . 126
ファイアウォール インターフェイスの共通の構成要素 . . . . . . . . . . . . . . 126
iv • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
目次
PA-7000 シリーズのファイアウォール インターフェイスの共通の
構成要素 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .128
レイヤー 2 インターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
レイヤ 2 サブインターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
レイヤー 3 インターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
レイヤ 3 サブインターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
バーチャル ワイヤー インターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . 145
バーチャル ワイヤー サブインターフェイスの設定 . . . . . . . . . . . . . . . . . 147
タップ インターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
ログ カード インターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
ログ カード サブインターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . 149
復号化ミラー インターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
集約インターフェイス グループの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
集約インターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
HA インターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
VLAN インターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
ループバック インターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
トンネル インターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
仮想ルーターの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
[全般] タブの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
[スタティック ルート] タブの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
[再配信プロファイル] タブの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
[RIP] タブの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
[OSPF] タブの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
[OSPFv3] タブの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
[BGP] タブの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
[マルチキャスト] タブの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191
セキュリティ ゾーンの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196
ECMP の構成要素 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
仮想ルーターの詳細ランタイム状態 . . . . . . . . . . . . . . . . . . . . . . . . . . . 199
VLAN サポートの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
DHCP の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
DHCP の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
DHCP アドレス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
DHCP サーバーの構成要素 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
DHCP リレーの構成要素 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213
DHCP クライアントの構成要素 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214
例:カスタム オプションを使用した DHCP サーバーの設定 . . . . . . 215
DNS プロキシの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217
DNS プロキシの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218
以下を参照 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218
DNS プロキシの構成要素 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
その他の DNS プロキシ アクション. . . . . . . . . . . . . . . . . . . . . . . . . . . . 221
LLDP の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222
LLDP の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222
LLDP の構成要素 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222
インターフェイス管理プロファイルの定義 . . . . . . . . . . . . . . . . . . . . . . . . 225
モニター プロファイルの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
ゾーン プロテクション プロファイルの定義 . . . . . . . . . . . . . . . . . . . . . . . 227
フラッド防御の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228
偵察行為防御の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230
パケット ベースの攻撃保護の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • v
目次
LLDP プロファイルの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235
LLDP プロファイルの構成要素 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235
第5章
ポリシーとセキュリティ プロファイル . . . . . . . . . . . . . . . . . . . . . .
237
ポリシーのタイプ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237
ポリシーまたはオブジェクトの移動またはコピー . . . . . . . . . . . . . . .
デフォルト セキュリティ ルールをオーバーライドする /
元に戻す . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
オブジェクトをオーバーライドする / 元に戻す . . . . . . . . . . . . . . . . .
ポリシーのユーザーとアプリケーションの指定 . . . . . . . . . . . . . . . . .
Panorama でのポリシーの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
セキュリティ ポリシーの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
セキュリティ ポリシーの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
以下を参照. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
セキュリティ ポリシーの構成要素 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ポリシーの作成と管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Panorama でのポリシーの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NAT ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NAT およびセキュリティ ポリシーでのゾーン設定の決定. . . . . . . . .
NAT ルール オプション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NAT ポリシーの例. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NAT64 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NAT64 の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ネットワーク アドレス変換ポリシーの定義 . . . . . . . . . . . . . . . . . . . . . . . .
[全般] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[元のパケット] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[変換済みパケット] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ポリシーベースの転送ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[全般] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[送信元] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[宛先 / アプリケーション / サービス] タブ . . . . . . . . . . . . . . . . . . . . .
[転送] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
復号ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[全般] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[送信元] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[宛先] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[サービス / URL カテゴリ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[オプション] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
アプリケーション オーバーライド ポリシーの定義 . . . . . . . . . . . . . . . . .
[全般] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[送信元] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[宛先] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[プロトコル / アプリケーション] タブ. . . . . . . . . . . . . . . . . . . . . . . . . .
キャプティブ ポータル ポリシーの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . .
[全般] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[送信元] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[宛先] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[サービス / URL カテゴリ] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[アクション] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
vi • Web インターフェイス リファレンス ガイド、バージョン 7.0
238
239
241
242
243
244
245
246
246
255
258
258
261
261
262
263
264
267
268
269
269
271
272
272
273
274
275
276
277
278
278
279
279
280
280
281
281
282
282
283
283
283
284
Palo Alto Networks
目次
DoS プロファイルの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[全般] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[送信元] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[宛先] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[オプション / 保護] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
定義アドレス オブジェクト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
アドレス グループの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
地域の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
アプリケーション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
アプリケーションの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
アプリケーションの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
アプリケーション グループの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
アプリケーション フィルタ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
サービス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
サービス グループ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
タグ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
タグの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
タグ ブラウザの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
タグの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
データ パターン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ダイナミック ブロック リスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
カスタムのスパイウェア シグネチャと脆弱性シグネチャ . . . . . . . . . . .
データ パターンの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
スパイウェア シグネチャと脆弱性シグネチャの定義 . . . . . . . . . . . .
カスタム URL カテゴリ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
セキュリティ プロファイル グループ . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ログの転送 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
復号プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
スケジュール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
284
285
286
287
287
288
289
291
291
292
293
293
297
301
307
312
313
314
316
317
319
321
322
322
329
332
333
334
335
336
336
338
339
341
342
344
344
345
348
350
351
352
357
第6章
レポートとログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
359
セキュリティ プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
セキュリティ プロファイルのアクション . . . . . . . . . . . . . . . . . . . . . . . . .
アンチウイルス プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[アンチウイルス プロファイル] ダイアログ . . . . . . . . . . . . . . . . . . . .
[アンチウイルス] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[例外] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
アンチスパイウェア プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
脆弱性防御プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
URL フィルタリング プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ファイル ブロッキング プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
WildFire 分析プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
データ フィルタリング プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DoS プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
その他のポリシー オブジェクト . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ダッシュボードの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360
アプリケーション コマンド センターの使用. . . . . . . . . . . . . . . . . . . 361
表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363
ウィジット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364
アクション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • vii
目次
アプリケーション スコープの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . 369
サマリー レポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
変化モニター レポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
脅威モニター レポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
脅威マップ レポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ネットワーク モニター レポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
トラフィック マップ レポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
パケット キャプチャの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
カスタム パケット キャプチャの構成要素 . . . . . . . . . . . . . . . . . . . . . . . . .
脅威パケット キャプチャの有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
370
371
372
373
374
376
377
379
381
381
382
383
384
384
385
387
389
390
390
391
392
393
394
395
398
第7章
ファイアウォールへのユーザー ID の設定 . . . . . . . . . . . . . . . . . . . .
401
ファイアウォールへのユーザー ID の設定 . . . . . . . . . . . . . . . . . . . . . . . . . .
[ユーザー マッピング] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[User-ID エージェント] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[ターミナル サービス エージェント] タブ. . . . . . . . . . . . . . . . . . . . . . .
[グループ マッピング設定] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[キャプティブ ポータルの設定] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . .
401
402
409
411
412
415
第8章
IPSec トンネルの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
419
ログの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ログの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
セッション情報の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
自動相関エンジンの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
相関オブジェクトの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
相関されたイベントの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ボットネット レポートの処理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ボットネット レポートの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ボットネット レポートの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
PDF サマリー レポートの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ユーザー / グループ アクティビティ レポートの管理. . . . . . . . . . .
レポート グループの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
電子メールで配信するレポートのスケジューリング . . . . . . . . . . . .
レポートの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
カスタムレポートの生成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
パケット キャプチャの実行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
IKE ゲートウェイの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419
IKE ゲートウェイの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
IKE ゲートウェイの [全般] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
IKE ゲートウェイの [詳細オプション] タブ . . . . . . . . . . . . . . . . . . . . . . . . .
IKE ゲートウェイの再起動または更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
IPSec トンネルのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
IPSec VPN トンネルの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
IPSec トンネルの [全般] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
IPSec トンネルの [プロキシ ID] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ファイアウォールの IPSec トンネル状態の表示 . . . . . . . . . . . . . . . . . . . . .
viii • Web インターフェイス リファレンス ガイド、バージョン 7.0
420
420
423
425
426
426
427
430
432
Palo Alto Networks
目次
IPSec トンネルの再起動または更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432
IKE 暗号プロファイルの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432
IPSec 暗号プロファイルの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434
GlobalProtect の IPSec 暗号プロファイルの定義 . . . . . . . . . . . . . . . . . 435
第9章
GlobalProtect の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
437
GlobalProtect ポータルのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[ポータル設定] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[クライアントの設定] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[サテライト設定] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
GlobalProtect ゲートウェイのセットアップ . . . . . . . . . . . . . . . . . . . . . . . .
[全般] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[クライアントの設定] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[サテライト設定] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Mobile Security Manager へのゲートウェイ アクセスのセットアップ . . .
HIP オブジェクトの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[全般] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[モバイル デバイス] タブ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[パッチ管理] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[ファイアウォール] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[アンチウイルス] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[アンチスパイウェア] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[ディスク バックアップ] タブ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[ディスク暗号化] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[データ損失防止] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[カスタム チェック] タブ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
HIP プロファイルのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
GlobalProtect エージェントのセットアップとアクティベーション . . . .
GlobalProtect エージェントのセットアップ . . . . . . . . . . . . . . . . . . . . . . . .
GlobalProtect エージェントの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
437
437
439
446
448
449
449
454
457
459
460
461
463
463
464
465
466
466
467
468
468
470
472
472
第 10 章
Quality of Services (QoS) の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
475
QoS プロファイルの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 476
QoS ポリシーの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477
ファイアウォール インターフェイスの QoS の有効化 . . . . . . . . . . 482
QoS の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 482
インターフェイスでの QoS の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . 483
QoS インターフェイスのモニタリング. . . . . . . . . . . . . . . . . . . . . . . . . 485
第 11 章
Panorama を使用したデバイス中央管理 . . . . . . . . . . . . . . . . . . . . .
487
[Panorama] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
デバイス コンテキストの切り替え . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ストレージ パーティションのセットアップ . . . . . . . . . . . . . . . . . . . . . . .
高可用性 (HA) の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
488
491
492
493
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • ix
目次
デバイスの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ファイアウォール設定のバックアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . .
デバイス グループの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
共有オブジェクトと共有ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
デバイス グループ内の特定デバイスへのポリシーの適用. . . . . . . . .
Panorama 管理者ロールの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Panorama 管理アカウントの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
管理者の Panorama アクセス ドメインの指定 . . . . . . . . . . . . . . . . . . . . . .
Panorama での変更のコミット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
テンプレートおよびテンプレート スタックの管理 . . . . . . . . . . . . .
テンプレートの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
テンプレート スタックの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
テンプレート設定のオーバーライド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
テンプレートおよびテンプレート スタックのコピー . . . . . . . . . . . . . . . .
テンプレートおよびテンプレート スタックの削除または無効化 . . . . . .
ログおよびレポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ログ転送の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ログ コレクタの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ログ コレクタの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ログ コレクタへのソフトウェアの更新のインストール . . . . . . . . . . . . . .
496
499
499
501
502
502
503
506
508
510
510
512
513
514
514
514
515
519
519
524
524
527
528
530
531
533
ログ コレクタ グループの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ユーザー アクティビティ レポートの生成 . . . . . . . . . . . . . . . . . . . . .
デバイスの更新およびライセンスの管理 . . . . . . . . . . . . . . . . . . . . . .
ダイナミック更新のスケジュール . . . . . . . . . . . . . . . . . . . . . . . . . . . .
設定のエクスポートのスケジューリング . . . . . . . . . . . . . . . . . . . . . .
Panorama ソフトウェアのアップグレード . . . . . . . . . . . . . . . . . . . . .
NSX Manager 上のサービスとしての VM-Series
ファイアウォールの登録 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534
VMware Service Manager からの情報の更新. . . . . . . . . . . . . . . . . . . . . . 536
付録 A
CC EAL4+/FIPS140-2 のサポート . . . . . . . . . . . . . . . . . . . . . . . . . . . .
537
CC/FIPS モードの有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 537
CC/FIPS セキュリティ機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 538
索引 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
x • Web インターフェイス リファレンス ガイド、バージョン 7.0
539
Palo Alto Networks
第1章
はじめに
このセクションでは、ファイアウォールの概要について説明します。
• 「ファイアウォールの概要」
• 「機能と利点」
• 「管理インターフェイス」
ファイアウォールの概要
Palo Alto Networks® は、エンタープライズ リモート オフィス向けの PA-200 ファイアウォー
ルから、高速データセンター向けのモジュラー シャーシを採用した PA-7000 シリーズ ファ
イアウォールにいたるまで、幅広い次世代セキュリティ アプライアンスを提供します。この
ファイアウォールでは、ネットワークを通過する各アプリケーションの正確な識別に基づい
てセキュリティ ポリシーを指定できます。プロトコルとポート番号のみでアプリケーション
を識別する従来型のファイアウォールとは異なり、Palo Alto Networks の次世代ファイア
ウォールはパケット検査とアプリケーション シグネチャのライブラリを使用することで、使
用するプロトコルとポート番号が同じアプリケーションを区別し、危害を及ぼす可能性があ
る、標準以外のポート番号を使用するアプリケーションを識別できます。
アプリケーションの安全な利用を可能にし、完全な可視性と制御を維持し、最新のサイバー
脅威から組織を保護するために、特定のアプリケーションまたはアプリケーション グループ
を対象とするセキュリティ ポリシーを定義できます。すべてのポート 80 接続に対して 1 つ
のポリシーを使用するのではありません。識別した各アプリケーションに対しては、送信元
および宛先のゾーンとアドレス(Pv4 と IPv6)に基づき、トラフィックをブロックするセ
キュリティポリシー、または許可するセキュリティポリシーを指定できます。各セキュリ
ティーポリシーは、ウィルス、スパイウェアや他の脅威から守るために、セキュリティプロ
ファイルを指定することもできます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 1
機能と利点
機能と利点
Palo Alto Networks の次世代ファイアウォールでは、ネットワークへのアクセスを許可され
たトラフィックを詳細に制御できます。主な機能と利点は、以下のとおりです。
• アプリケーションベースでのポリシーの適用 (App-ID™) — アプリケーション タイプに
従ってアクセスを制御すると、プロトコルとポート番号以外の情報にも基づいてアプリ
ケーションが識別されるため、アクセス制御の効果が大幅に向上します。App-ID サー
ビスはリスクの高いアプリケーションをブロックできるだけでなく、ファイル共有な
ど、リスクの高い動作もブロックできます。また、Secure Socket Layer (SSL) プロトコ
ルで暗号化されたトラフィックの暗号を解読して検査できます。
• ユーザー ID (User-ID™) — ユーザー ID 機能により管理者は、ネットワーク ゾーンとア
ドレスの代わりに(またはこれらに加えて)、ユーザーとユーザー グループに基づいて
ファイアウォール ポリシーを設定および適用できます。ファイアウォールは、Microsoft
Active Directory、eDirectory、SunOne、OpenLDAP、お よ び 他 の ほ と ん ど の LDAP
ベースのディレクトリ サーバーなど、多くのディレクトリ サーバーと通信して、ユー
ザーとグループの情報をファイアウォールに提供できます。この情報を使用して、アプ
リケーションの安全な運用をユーザーまたはグループ単位で定義できます。たとえば管
理者は、ある Web ベース アプリケーションの使用を会社内の 1 つの組織に許可し、そ
れ以外の組織に許可しないことができます。また、ユーザーおよびグループに基づいて
アプリケーションの特定のコンポーネントをよりきめ細かく制御するように設定するこ
ともできます(「ファイアウォールへのユーザー ID の設定」を参照)。
• 脅威防御 — ウイルス、ワーム、スパイウェア、およびその他の悪意のあるトラフィック
からネットワークを保護する脅威防御サービスを、アプリケーションとトラフィックの
送信元ごとに変えることができます(「セキュリティ プロファイル」を参照)。
• URL フィルタリング — アウトバウント接続をフィルタリングして、不適切な Web サイト
へのアクセスを防止できます(「URL フィルタリング プロファイル」を参照)。
• トラフィックの可視性 — 幅広いレポート、ログ、および通知メカニズムにより、ネット
ワーク アプリケーション トラフィックとセキュリティ イベントを詳細に観察できま
す。Web インターフェイスの Application Command Center (ACC) を使用して、トラ
フィック量が最大のアプリケーションや、セキュリティ リスクが最も高いアプリケー
ションを特定します(「レポートとログ」を参照)。
• 多機能なネットワーキングと速度 — Palo Alto Networks のファイアウォールは、既存の
ファイアウォールを補完したり、置き換えたりできます。また、どのネットワークにも
透過的にインストールでき、スイッチまたはルーティング環境をサポートするように設
定できます。マルチギガビットの速度と単一パス アーキテクチャの実現により、ネット
ワーク遅延にほとんどまたはまったく影響することなく、これらのサービスが提供され
ます。
• GlobalProtect — GlobalProtect™ ソフトウェアは、世界中のどこからでも簡単かつ安全に
ログインできるようにすることで、現場で使用されるノートパソコンなどのクライアン
ト システムでセキュリティを確保します。
2 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
管理インターフェイス
• フェールセーフ機能 — 高可用性 (HA) のサポートにより、ハードウェアやソフトウェア
に障害が発生した場合に自動的にフェイルオーバーが実行されます(「ファイアウォー
ルの HA の有効化」を参照)。
• マルウェアの分析とレポート — WildFire™ セキュリティ サービスは、ファイアウォール
を通過するマルウェアの詳細な分析とレポートを提供します。
• VM-Series ファイアウォール — VM-Series ファイアウォールは、仮想化データ センター
環境で使用するように位置付けられた PAN-OS® の仮想インスタンスを提供するもので
あり、プライベート、パブリック、およびハイブリッドのクラウド コンピューティング
環境に適しています。
• 管理および Panorama™ — 各ファイアウォールを直観的な Web インターフェイスまたは
コマンドライン インターフェイス (CLI) によって管理できます。また、Palo Alto Networks
ファイアウォールの Web インターフェイスと非常によく似た Web インターフェイスを
備えた Panorama 中央管理システムで、すべてのデバイスを一元的に管理することもで
きます。
管理インターフェイス
Palo Alto Networks の次世代ファイアウォールでは、以下の管理インターフェイスがサポー
トされます。
• Web インターフェイス — Web ブラウザから HTTP または HTTPS 経由で設定とモニタ
リングを行います。
• CLI — Telnet、セキュア シェル (SSH)、またはコンソール ポート経由でテキストベース
の設定とモニタリングを行います。
• Panorama — 複数のファイアウォールを Web ベースで管理し、レポートし、ログを記録
する Palo Alto Networks 製品です。Panorama インターフェイスは、ファイアウォールの
Web インターフェイスに似ています。ただし、いくつかの管理機能が追加されています
(Panorama の使用方法の詳細は、「Panorama を使用したデバイス中央管理」を参照)。
• XML API — ファイアウォールからデバイス設定、動作ステータス、レポート、およびパ
ケット キャプチャにアクセスするための Representational State Transfer (REST) ベースの
インターフェイスを提供します。ファイアウォールで使用可能な API ブラウザがありま
す (https://<firewall>/api)。ここで、<firewall> は、ファイアウォールのホスト名または
IP アドレスです。このリンクは、API コールのそれぞれのタイプで必要とされるパラ
メータのヘルプを提供します。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 3
管理インターフェイス
4 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
第2章
スタート ガイド
この章では、Palo Alto Networks ファイアウォールのセットアップ方法と使用開始手順につ
いて説明します。
• 「Palo Alto Networks ファイアウォール Web インターフェイスの使用」
• 「ファイアウォール設定でのヘルプの表示」
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 5
Palo Alto Networks ファイアウォール Web インターフェイスの使用
Palo Alto Networks ファイアウォール Web インター
フェイスの使用
項目
説明
1
上部のタブをクリックすると、そのカテゴリの項目が表示されます。強調表示さ
れた項目が選択されています。
2
左ペインからオプションを選択すると、タブ内にそのオプションが表示されま
す。たとえば、上のスクリーンショットでは、[Network] タブの [仮想ルーター]
ペインが選択されています。このドキュメントでは、Web インターフェイスの
このナビゲーション パスを [Network] > [仮想ルーター] のように表記します。
一部のタブでは、設定オプションがネストされています。左ペインの
ドロッ
プダウンをクリックすると、そのペインに含まれている設定オプションを展開お
よび縮小できます。
6 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
Palo Alto Networks ファイアウォール Web インターフェイスの使用
項目
説明
3
アクション ボタンはページごとに異なりますが、大半のページには以下のボタ
ンが含まれています。
• 追加 — [追加] をクリックすると、新規項目が作成されます。
• 削除 — 1 つ以上の項目を削除するには、項目の横にあるチェック ボックスをオ
ンにして [削除] をクリックします。[OK] をクリックすると削除操作が確定
し、[キャンセル] をクリックすると操作がキャンセルされます。
• 変更 — [名前] 列のハイパーリンクになっている項目をクリックします。
– 必須フィールドは、淡い黄色の背景で表示されます。
– ページ(たとえば、[Device] > [設定])内のセクションを変更するには、セク
ションの右上隅のアイコンをクリックして、設定を編集します。
– 設定を行った後は、[OK] または [保存] をクリックして変更を保存する必要が
あります。[OK] をクリックすると、現在の候補設定が更新されます。実行中
の構成に対する変更を保存するには、変更を [コミット] する必要があります。
4
Palo Alto Networks
ログアウト — [ログアウト] ボタンをクリックすると、Web インターフェイスから
ログアウトします。
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 7
Palo Alto Networks ファイアウォール Web インターフェイスの使用
項目
説明
5
• タスク — [タスク] アイコンをクリックすると、[すべて] または [実行中のタス
ク]、[ジョブ]、および [ログ要求] の現在のリストが表示されます。[表示] ド
ロップダウンを使用してタスクのリストをフィルタリングします。[タスク マ
ネージャ] ウィンドウに、タスクの一覧が、状態、開始時間、関連付けられた
メッセージ、およびアクションと共に表示されます。
• 言語 — [言語] をクリックすると、[言語設定] ウィンドウのドロップダウン リス
トから目的の言語を選択できます。[OK] をクリックして変更を保存します。使
用する言語を指定しないと、ログインしたコンピュータの現在の言語が Web イ
ンターフェイスの言語として使用されます。たとえば、ファイアウォールの管理
に使用するコンピュータのロケールがスペイン語の場合、そのファイアウォール
にログインすると Web インターフェイスはスペイン語で表示されます。
• アラーム — [アラーム] をクリックすると、アラーム ログに記録されているアラー
ムの現在のリストが表示されます。アラームと Web アラーム通知を有効にす
るには、[Device] > [ログ設定] > [アラーム] に移動します。このリストには、
未承認および確認されたアラームが表示されます。アラームを承認するには、
チェック ボックスをオンにして [確認] をクリックします。このアクションによ
り、[確認されたアラーム] リストにアラームが移動します。
6
表では、データをソートしたり、ページに表示する列の表示 / 非表示を切り替え
ることができます。列ヘッダーをクリックするとその列でデータがソートされ、
もう一度クリックすると逆順にソートされます。列の表示 / 非表示を切り替える
には、列の右にある矢印をクリックします。該当するチェックボックスをオンま
たはオフにすると、その列の表示 / 非表示が切り替わります。
8 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
Palo Alto Networks ファイアウォール Web インターフェイスの使用
項目
説明
7
ページで、用語、名前、または項目のキーワードを検索するには、フィルタ入力
ボックスを使用します。フィルタ入力ボックスの左上隅に、そのページの合計項
目数が表示されます。フィルタを適用するには
を、フィルタをクリアするに
は
をクリックします。検索結果が表示され、総項目数に対する一致数が、
フィルタ入力ボックスの左隅に表示されます。
8
[コミット] の詳細は、「変更のコミット」を参照してください。
[ロック] の詳細は、「トランザクションのロック」を参照してください。
[検索] の詳細は、「設定の検索」を参照してください。
変更のコミット
Web インターフェイスの上部で [コミット] をクリックして、[コミット] ダイアログ ボックス
を開きます。
[コミット] ダイアログでは、以下のオプションを使用できます。必要な場合は、[詳細]
リンクをクリックすると、以下のオプションが表示されます。
– デバイスとネットワーク設定を含める — コミット操作にデバイスおよびネットワーク
の設定変更を含めます。
– 共有オブジェクト設定を含める —(マルチ仮想システム ファイアウォールのみ)コミッ
ト操作に共有オブジェクトの設定変更を含めます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 9
Palo Alto Networks ファイアウォール Web インターフェイスの使用
– ポリシーとオブジェクト設定を含める —(マルチ仮想システムに対応していないか、
マルチ仮想システムを許可するように設定されていないファイアウォールのみ)コ
ミット操作にポリシーとオブジェクトの設定変更を含めます。
複数の設定エリアにまたがる設定変更にはフル コミットが必要になるこ
とがあります。たとえば、[コミット] をクリックして [デバイスとネット
ワーク設定を含める] オプションのみを選択した場合、[Device] タブで変
更した一部の項目がコミットされません。具体例をあげると、証明書およ
び User-ID オ プ シ ョ ン、User-ID に 使 用 す る サ ー バ ー プ ロ フ ァ イ ル
(LDAP サーバー プロファイルなど)はコミットされません。構成をイ
ンポートした後に部分コミットを実行した場合にも同じことが起こる場合
があります。こうしたタイプの変更をコミットするには、フル コミット
を実行して、[デバイスとネットワーク設定を含める] と [ポリシーとオブ
ジェクト設定を含める] の両方のオプションを選択します。
– 仮想システム設定を含める — すべての仮想システムを含めるか、[1 つ以上の仮想シス
テムを選択します] を選択します。
変更のコミットの詳細は、「操作設定の定義」を参照してください。
– 変更内容の確認 — [変更内容の確認] をクリックすると、2 ペイン ウィンドウに、候補
設定で提案される変更点と現在の実行中の設定が比較表示されます。表示する行数を
選択するか、すべての行を表示できます。変更点は、追加、修正、または削除された
項目に応じて色分けされます。[Device] > [設定監査] でも同じ機能が実行されます
(「設定ファイルの比較」を参照)。
– 変更の検証 — [変更の検証] をクリックすると、変更内容をコミットする前にファイア
ウォール設定の構文の検証(設定構文が正しいかどうかの確認)と意味の検証(設定
が完了しており意味をなすかどうかの確認)を実行できます。検証結果には、フル
コミットまたは仮想システムのコミットの実行時に発生するエラーと警告(ルール
シャドウイングやアプリケーションの依存関係など)がすべて表示されます。ただ
し、実行中の設定は変更されません。変更の検証を実行することで、実際に変更をコ
ミットする前に変更が正しくコミットされるかどうかが分かるため、コミット時のエ
ラーが大幅に減少します。管理者ロール プロファイルには [検証] オプションが用意
されており、設定の検証を実行できるユーザーを制御できます。
PAN-OS 7.0 および Panorama 7.0 以降、ファイアウォールは、最初のエラーでコミットを中
止しなくなりました。その代わり、すべてのエラーを収集および表示してから、コミットを
終了するようになりました。これにより、管理者はコミット エラーの発生時にすぐにすべて
のエラーを確認できるため、コミットを実行しては返されたエラーを修正するというサイク
ルを、最終的にすべての変更内容がコミットされるまで繰り返す必要がなくなりました。
10 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
Palo Alto Networks ファイアウォール Web インターフェイスの使用
設定の検索
グローバル検索を使用すると、ファイアウォールまたは Panorama の候補設定に含まれる特
定の文字列(IP アドレス、オブジェクト名、ポリシー名、脅威 ID、アプリケーション名な
ど)を検索できます。検索結果はカテゴリー別に分類され、Web インターフェイスの設定場
所へのリンクが表示されるので、当該文字列が出現するすべての場所を簡単に見つけること
ができます。
以下に、検索を上手に行うためのグローバル検索の各種機能を示します。
• 複数の仮想システムが有効になっているファイアウォール上で検索を開始する場合、ま
たは管理者ロールが定義されている場合は、検索者にアクセス許可が与えられている
ファイアウォールのエリアの検索結果のみが返されます。同じことは Panorama デバイ
ス グループにも当てはまります。この場合、検索者にアクセス許可が与えられているデ
バイス グループの検索結果が表示されます。
• 検索テキストに含まれるスペースは、AND 演算子として処理されます。たとえば、「会社
ポリシー」を検索すると、会社とポリシーの両方が含まれる設定項目が検索されます。
• 完全に一致するフレーズを検索するには、フレーズを引用符で囲みます。
• グローバル検索では、候補設定が検索されます。
• 前の検索を再実行するには、Web インターフェイスの右上隅にある [検索] アイコンをク
リックします。最近実行した検索が 20 個までリスト表示されます。リストの項目をク
リックすると、その検索が再実行されます。この検索履歴は、管理者アカウントごとに
固有のものです。
グローバル検索を実行するには、管理 Web インターフェイスの右上隅にある [検索] アイコ
ンをクリックするか、グローバル検索をサポートしている Web インターフェイスの任意の
エリアで [グローバル検索] をクリックします。以下の画面は、Web インターフェイスのすべ
てのエリアで利用できる [検索] アイコンを示しています。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 11
Palo Alto Networks ファイアウォール Web インターフェイスの使用
設定エリア内でグローバル検索機能にアクセスするには、当該項目の横のドロップダウン リ
ストをクリックして、[グローバル検索] をクリックします。以下の画面は、セキュリティ ポ
リシー名の右のドロップダウンリストをクリックすると表示される [グローバル検索] アイコ
ンを示しています。
[グローバル検索] アイコンは検索可能な各フィールドで利用できます。たとえば、セキュリ
ティ ポリシーの場合、[名前]、[タグ]、[ゾーン]、[アドレス]、[ユーザー]、[HIP プロファイ
ル]、[アプリケーション]、[サービス] の各フィールドで検索を実行できます。検索を実行す
るには、上記の任意のフィールドの横にあるドロップダウン リストをクリックして、[グ
ローバル検索] をクリックします。たとえば、l3-vlan-trust という名前のゾーンで [グローバ
ル検索] をクリックすると、そのゾーン名で設定全体が検索され、検索結果としてそのゾー
ンが参照されているすべての場所が返されます。検索結果はカテゴリー別に分類され、いず
れかの項目にマウス カーソルを移動すると詳細が表示されます。また、項目をクリックする
と、その項目の設定ページに移動します。
以下のスクリーン キャプチャは、zone l3-vlan-trust の検索結果です。
グローバル検索では、ファイアウォールがユーザーに割り当てる動的コン
テンツ(ログ、アドレス範囲、または個々の DHPC アドレス)は検索さ
れません。DHCP の場合、DHCP サーバー属性(DNS エントリなど)は
検索できますが、ユーザーに発行される個々のアドレスは検索できませ
ん。別の例として、User-ID 機能が有効になっている場合に収集される
ユーザー名があります。この場合、User-ID データベース内に存在する
ユーザー名またはユーザー グループは、その名前またはグループが設定
内に存在する場合(たとえば、ポリシー内にユーザー グループ名を定義
している場合)のみ検索可能です。一般に、ファイアウォールが設定に書
き込む内容のみ検索できます。
12 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
Palo Alto Networks ファイアウォール Web インターフェイスの使用
トランザクションのロック
Web インターフェイスは複数の管理者に対応しており、ある管理者が現在の一連のトランザ
クションをロックすると、別の管理者はロックが解除されるまで設定変更やコミット操作が
できなくなります。以下のタイプのロックがサポートされています。
• コンフィグ ロック — 他の管理者が設定を変更できないようにブロックします。このタイ
プのロックは、グローバルに設定することも、1 つの仮想システムに設定することもで
きます。ロックを削除できるのは、ロックを設定した管理者か、システムのスーパー
ユーザーのどちらかです。
• コミット ロック — すべてのロックが解除されるまで他の管理者が変更をコミットできな
いようにブロックします。このタイプのロックでは、2 人の管理者が同時に変更を行
い、2 番目の管理者が変更を完了させる前に最初の管理者が変更を完了させてコミット
するときに生じる可能性がある競合を回避します。ロックを適用した管理者によって変
更がコミットされると、ロックは解除されます。ロックを実行した管理者またはスー
パーユーザーは手動でロックを解除できます。
どの管理者でもロック ウィンドウを開いて、ロックされている現在のトランザクションをそ
れぞれのタイムスタンプと共に表示できます。
トランザクションをロックするには、上部のバーにある解錠された形状のロック アイコン
をクリックして [ロック] ダイアログを開きます。[ロック設定] をクリックし、ドロップ
ダウン リストからロックの範囲を選択して [OK] をクリックします。必要に応じてロックを
追加し、[閉じる] をクリックして [ロック] ダイアログを閉じます。トランザクションがロッ
クされて、上部のバーにある施錠された形状のロック アイコンに変わり、ロックされている
項目の数がかっこ内に表示されます。
トランザクションのロックを解除するには、上部のバーにある施錠された状態のロック アイ
コン
をクリックして [ロック] ウィンドウを開きます。解除するロックの
アイコンを
クリックし、[はい] をクリックして確定します。[閉じる] をクリックして、[ロック] ダイア
ログを閉じます。
コミット ロックを自動的に実施するには、[Device] タブの [セットアップ] ページで、[管理]
領域の [コミット ロックの自動実施] チェック ボックスをオンにします(「システム セット
アップ、設定、およびライセンス管理」を参照)。
サポート対象のブラウザ
ファイアウォールの Web インターフェイスへのアクセスがサポートされている Web ブラウ
ザの最小バージョンは以下のとおりです。
• Internet Explorer 7
• Firefox 3.6
• Safari 5
• Chrome 11
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 13
ファイアウォール設定でのヘルプの表示
ファイアウォール設定でのヘルプの表示
このセクションの情報を使用して、ファイアウォール使用時にヘルプを表示します。
詳細情報について
このファイアウォールに関する詳細は、以下の情報を参照してください。
• 一般的な情報 — http://www.paloaltonetworks.com
• ドキュメント — 追加の機能およびファイアウォールの機能の設定方法の詳細
(https://www.paloaltonetworks.com/documentation)
• オンライン ヘルプ — Web インターフェイスの右上隅にある [ヘルプ] をクリックすると
オンライン ヘルプを参照できます。
• ナレッジ ベース — ナレッジ ベース(顧客とパートナがやり取りするコラボレーション
エリア)、ディスカッション フォーラム、および動画にアクセスするには、以下をご覧
ください。https://live.paloaltonetworks.com
テクニカル サポート
テクニカル サポート、サポート プログラムの詳細、アカウントまたはデバイスの管理
(https://support.paloaltonetworks.com)。
14 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
第3章
デバイス管理
ファイアウォールの基本的なシステム設定と管理タスクのフィールド リファレンスは、以下
のセクションを参照してください。
• 「システム セットアップ、設定、およびライセンス管理」
• 「VM 情報の送信元の定義」
• 「ソフトウェアのインストール」
• 「脅威およびアプリケーションの定義の更新」
• 「管理者ロール、プロファイル、およびアカウント」
• 「認証プロファイルのセットアップ」
• 「ローカル ユーザー データベースの作成」
• 「ローカル ユーザー グループの追加」
• 「RADIUS サーバーの設定」
• 「TACACS+ サーバーの設定」
• 「LDAP サーバーの設定」
• 「Kerberos サーバーの設定」
• 「認証シーケンスのセットアップ」
• 「証明書プロファイルの作成」
• 「ログのエクスポートのスケジューリング」
• 「ログの宛先の定義」
• 「Netflow の設定」
• 「証明書の使用」
• 「ファイアウォールでの秘密鍵とパスワードの暗号化」
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 15
システム セットアップ、設定、およびライセンス管理
• 「ファイアウォールの HA の有効化」
• 「仮想システムの定義」
• 「カスタム応答ページの定義」
• 「サポート情報の表示」
システム セットアップ、設定、およびライセンス管理
以下のセクションで、管理アクセス用のネットワーク設定の定義方法、サービス ルートと
サービスの定義、およびグローバル セッション タイムアウト、コンテンツ ID、WildFire マ
ルウェアの分析とレポートなどの設定オプションの管理方法について説明します。
• 「管理設定の定義」
• 「操作設定の定義」
• 「ハードウェア セキュリティ モジュールの定義」
• 「SNMP モニタリングの有効化」
• 「サービス設定の定義」
• 「DNS サーバー プロファイルの定義」
• 「Content-ID 設定の定義」
• 「WildFire の設定」
• 「セッション設定の定義」
• 「設定ファイルの比較」
• 「ライセンスのインストール」
管理設定の定義
[Device] > [セットアップ] > [管理]
[Panorama] > [セットアップ] > [管理]
ファイアウォールで、[Device] > [セットアップ] > [管理] タブから管理設定を定義します。
Panorama で、[Device] > [セットアップ] > [管理] タブから Panorama テンプレートを使用し
て管理するファイアウォールを設定します。[Panorama] > [セットアップ] > [管理] タブで、
Panorama の設定を行います。
ファイアウォール管理の場合、必要に応じて、管理ポートの代わりにルー
プバック インターフェイスの IP アドレスを使用することができます
(「ループバック インターフェイスの設定」を参照)。
16 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
管理設定の定義
以下の管理設定を指定します。これらの設定は、明記されていない限り、ファイアウォール
と Panorama の両方に適用されます。
• 「一般設定」
• 「認証設定」
• 「Panorama 設定:[Device] > [セットアップ] > [管理]」(Panorama に接続するためにファ
イアウォールで指定する設定)
• 「Panorama 設定:[Panorama] > [セットアップ] > [管理]」(ファイアウォールに接続す
るために Panorama で指定する設定)
• 「管理インターフェイス設定」
• 「Ethernet 1 インターフェイス設定」(Panorama のみ)
• 「Ethernet 2 インターフェイス設定」(Panorama のみ)
• 「ロギングおよびレポート設定」
• 「パスワード複雑性設定」
表 1. 管理設定
項目
説明
一般設定
ホスト名
ホスト名(最大 31 文字)を入力します。名前の大文字と小文字は区別
されます。また、一意の名前にする必要があります。文字、数字、ス
ペース、ハイフン、およびアンダースコアのみを使用してください。
ドメイン
ファイアウォールの完全修飾ドメイン名 (FQDN) を入力します(最大
31 文字)。
ログイン バナー
ファイアウォールの [ログイン] ページに表示されるカスタム テキスト
を 入 力します。このテキストは、[ 名前] フィールドと [ パスワード]
フィールドの下に表示されます。
SSL/TLS サービス
プロファイル
既存の SSL/TLS サービス プロファイルを割り当てるか、新しいプロ
ファイルを作成し、デバイスの管理インターフェイスのインバウンド ト
ラフィックを保護するための証明書および許可されたプロトコルを指定
します。詳細は、「SSL/TLS サービス プロファイルの管理」を参照し
てください。[なし] を選択した場合、デバイスは事前設定されている自
己署名証明書を使用します。
注:デフォルト証明書を使用しないことをお勧めします。セキュリティ
向上のために、信頼された認証局 (CA) によって署名された証明書に関
連付けられている SSL/TLS サービス プロファイルを割り当てることを
お勧めします。
タイム ゾーン
Palo Alto Networks
ファイアウォールのタイム ゾーンを選択します。
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 17
管理設定の定義
表 1. 管理設定(続き)
項目
説明
表示言語
ドロップダウンから、PDF レポートの言語を選択します。「PDF サマ
リー レポートの管理」を参照してください。
Web インターフェイスに特定の言語設定が設定されている場合でも、
PDF レポートではこの表示言語の設定で指定した言語が使用されます。
「Palo Alto Networks ファイアウォール Web インターフェイスの使
用」の言語設定を参照してください。
日時
ファイアウォールの日時を設定します。
• 現在の日付(YYYY/MM/DD 形式)を入力するか、ドロップダウンか
ら日付を選択します。
• 現在の時刻を 24 時間形式 (HH:MM:SS) で入力します。
注:[Device] > [セットアップ] > [サービス] から NTP サーバーを定義す
ることもできます。
シリアル番号
(Panorama 仮想マシン
のみ)
Panorama のシリアル番号を入力します。シリアル番号は、送信された
受注処理電子メールに記載されています。
デバイス稼働場所
ファイアウォールの緯度 (-90.0 ~ 90.0) と経度 (-180.0 ~ 180.0) を入力し
ます。
コミット ロックの
自動実施
候補コンフィグを変更するときにコミット ロックが自動的に適用される
ようにするには、このチェック ボックスをオンにします。詳細は、「ト
ランザクションのロック」を参照してください。
証明書有効期限チェック
デバイス内の証明書が有効期限に近くなったときに警告メッセージを作
成するようにファイアウォールに指示します。
マルチ仮想システム機能
この機能をサポートするファイアウォールで複数の仮想システムの使用
を有効にします(「仮想システムの定義」を参照)。
URL フィルタリング
データベース
(Panorama のみ)
Panorama で使用する URL フィルタリング ベンダー([brightcloud] ま
たは [paloaltonetworks] (PAN-DB))を選択します。
ハイパーバイザによって
割り当てられた MAC ア
ドレスの使用(VM-Series
ファイアウォールのみ)
PAN-OS カスタム スキーマを使用して MAC アドレスを生成するのではな
く、ハイパーバイザによって割り当てられた MAC アドレスを VM-Series
ファイアウォールで使用するには、このチェック ボックスをオンにし
ます。
このオプションを有効にして、インターフェイスに IPv6 アドレスを使
用する場合、インターフェイス ID に EUI-64 形式を使用しないでくださ
い。EUI-64 形式では IPv6 アドレスがインターフェイスの MAC アドレス
から導出されます。高可用性 (HA) アクティブ / パッシブ設定で EUI-64
形式が使用されると、コミット エラーが発生します。
18 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
管理設定の定義
表 1. 管理設定(続き)
項目
説明
認証設定
認証プロファイル
外部アカウント(デバイスで定義されていないアカウント)を持つ認証
管理者が使用する認証プロファイル(または認証シーケンス)を選択し
ます。この設定では、RADIUS タイプに設定されている認証プロファイ
ルおよび RADIUS サーバー プロファイルを参照する認証プロファイル
の み を 使 用 で き ま す。外 部 管 理 者 が ロ グ イ ン す る と、デ バ イ ス は
RADIUS サーバーから認証情報(管理者ロールを含む)を要求します。
外部管理者の認証を有効にするには、Palo Alto Networks RADIUS ディ
クショナリ ファイルを RADIUS サーバーにインストールする必要もあ
ります。このファイルは、デバイスと RADIUS サーバー間の通信に必
要な認証属性を定義します。ファイルをインストールする場所は、
RADIUS サーバーのソフトウェア ドキュメントを参照してください。
[なし] を選択した場合、外部管理者はデバイスで認証されず、ログイン
できません。
詳細は、「認証プロファイルのセットアップ」および「RADIUS サー
バーの設定」を参照してください。
注:ローカル管理者の場合、デバイスは管理者アカウントに関連付けら
れている認証プロファイルを使用して認証を行います(「管理アカウン
トの作成」を参照)。
証明書プロファイル
ファイアウォールへの管理者アクセスに使用する証明書プロファイルを
選択します。証明書プロファイルの設定手順の詳細は、「証明書プロ
ファイルの作成」を参照してください。
アイドル タイムアウト
タイムアウト間隔を分単位で入力します(範囲は 0 ~ 1440、デフォルト
は 0)。値を 0 にすると、管理インターフェイス、Web インターフェイ
ス、または CLI のセッションがタイムアウトしなくなります。
許容ログイン回数
PAN-OS で Web インターフェイスと CLI に許容されるログイン試行回数
(範囲は 0 ~ 10、デフォルトは 0)を入力します。この回数を超えるとア
カウントはロックされます。値 0 を指定すると、無制限に試行できます。
ロックアウト時間
[許容ログイン回数] の制限に達したときに、PAN-OS がユーザーをロッ
クアウトする時間(範囲は 0 ~ 60 分、デフォルトは 0 分)を入力しま
す。値 0 を指定すると、無制限に試行できます。
Panorama 設定:[Device] > [セットアップ] > [管理]
ファイアウォール、または Panorama のテンプレートに以下の設定を定義します。これらの設定に
よって、ファイアウォールから Panorama への接続が確立されます。
Panorama の接続とオブジェクト共有設定も定義する必要があります。「Panorama 設定:[Panorama] >
[セットアップ] > [管理]」を参照してください。
Panorama サーバー
Panorama サーバーの IP アドレスを入力します。Panorama が高可用性
(HA) 設定に含まれている場合、2 番目の [Panorama サーバー] フィール
ドにセカンダリ Panorama サーバーの IP アドレスを入力します。
Panorama への接続の
受信タイムアウト
Panorama から TCP メッセージを受信するときのタイムアウトを秒単位で
入力します(範囲は 1 ~ 240、デフォルトは 240)。
Panorama への接続の
送信タイムアウト
Panorama に TCP メッセージを送信するときのタイムアウトを秒単位で
入力します(範囲は 1 ~ 240、デフォルトは 240)。
Panorama に送信される
SSL のカウントの再試行
Panorama に Secure Socket Layer (SSL) メッセージを送信するときの許
容再試行回数(範囲は 1 ~ 64、デフォルトは 25)を入力します。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 19
管理設定の定義
表 1. 管理設定(続き)
項目
説明
Panorama ポリシーと
オブジェクトを無効 /
有効にする
このボタンはファイアウォール(Panorama のテンプレートではない)
の [Panorama 設定] を編集するときに表示されます。
[Panorama ポリシーとオブジェクトを無効にする] をクリックすると、
ファイアウォールへのデバイス グループのポリシーとオブジェクトの伝
播 が 無効になります。デフォルトでは、この操作により、ファイア
ウォールから伝播されたポリシーとオブジェクトも削除されます。デバ
イス グループのポリシーとオブジェクトのローカル コピーをファイア
ウォールで保管する場合は、ボタンをクリックしたときに開いたダイア
ログ ボックスの [無効にする前に Panorama ポリシーとオブジェクトを
インポート] チェック ボックスをオンにします。コミットを実行する
と、ポリシーとオブジェクトはファイアウォール設定の一部となり、
Panorama による管理の対象外となります。
通常の操作状況下では、Panorama 管理を無効にすることは不要である
うえに、ファイアウォールのメンテナンスと設定が複雑になりかねませ
ん。このオプションは通常、ファイアウォールでデバイス グループの定
義とは異なるルールとオブジェクト値が必要な場合に適用されます。た
とえば、テストのためにファイアウォールを本番環境からラボ環境に移
動する場合などです。
ファイアウォールのポリシーおよびオブジェクト管理を Panorama に戻
すには、[Panorama ポリシーとオブジェクトを有効にする] をクリック
します。
デバイスとネットワーク
テンプレートを無効 /
有効にする
このボタンはファイアウォール(Panorama のテンプレートではない)
の [Panorama 設定] を編集するときに表示されます。
[デバイスとネットワーク テンプレートを無効にする] をクリックする
と、ファイアウォールへのテンプレート情報(デバイスとネットワーク
設定)の伝播が無効になります。デフォルトでは、この操作により、
ファイアウォールからテンプレート情報も削除されます。テンプレート
情報のローカル コピーをファイアウォールで保管する場合は、ボタンを
クリックしたときに開いたダイアログ ボックスの [無効にする前にデバ
イスとネットワーク テンプレートをインポート] チェック ボックスをオ
ンにします。コミットを実行すると、テンプレート情報はファイア
ウォール設定の一部となり、Panorama ではその情報が管理の対象外と
なります。
通常の操作状況下では、Panorama 管理を無効にすることは不要である
うえに、ファイアウォールのメンテナンスと設定が複雑になりかねませ
ん。このオプションは通常、ファイアウォールでテンプレートの定義と
は異なるデバイスとネットワーク設定値が必要な場合に適用されます。
たとえば、テストのためにファイアウォールを本番環境からラボ環境に
移動する場合などです。
テンプレートを再度受け入れるようにファイアウォールを設定するに
は、[デバイスとネットワーク テンプレートを有効にする] をクリックし
ます。
20 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
管理設定の定義
表 1. 管理設定(続き)
項目
説明
Panorama 設定:[Panorama] > [セットアップ] > [管理]
Panorama を使用してファイアウォールを管理する場合、Panorama で以下の設定を行います。これ
らの設定により、Panorama から管理対象ファイアウォールへの接続に関するタイムアウトおよび
SSL メッセージ試行回数と、オブジェクト共有パラメータが決まります。
ファイアウォール、または Panorama のテンプレートにも Panorama 接続設定を定義する必要があ
ります。「Panorama 設定:[Device] > [セットアップ] > [管理]」を参照してください。
デバイスへのデータ受信
のタイムアウト
すべての管理対象ファイアウォールから TCP メッセージを受信すると
きのタイムアウトを秒単位で入力します(範囲は 1 ~ 240、デフォルト
は 240)。
デバイスへのデータ送信
のタイムアウト
すべての管理対象ファイアウォールに TCP メッセージを送信するときのタ
イムアウトを秒単位で入力します(範囲は 1 ~ 240、デフォルトは 240)。
デバイスに送信される
SSL のカウントの再試行
管理対象ファイアウォールに Secure Socket Layer (SSL) メッセージを送
信するときの許容再試行回数(範囲は 1 ~ 64、デフォルトは 25)を入
力します。
未使用のアドレスと
サービス オブジェクトを
デバイスと共有
すべての Panorama 共有オブジェクトおよびデバイス グループ固有のオブ
ジェクトを管理対象ファイアウォールで共有するには、このチェック
ボックスをオンにします。この設定はデフォルトで有効になっています。
このチェック ボックスをオフにすると、PAN-OS によって Panorama ポ
リシー内のアドレス、アドレス グループ、サービス、およびサービス
グループ オブジェクトへの参照がチェックされ、参照されないオブジェ
クトは共有されません。このオプションにより、PAN-OS から管理対象
ファイアウォールに必要なオブジェクトのみが送信されるようになり、
オブジェクトの総数が削減されます。
上位オブジェクトが
優先されます
階層内の異なるレベルのデバイス グループに、タイプと名前が同じで値
が異なるオブジェクトがある場合、先祖グループのオブジェクト値が子孫
グループのオブジェクト値よりも優先されるように指定するには、この
チェック ボックスをオンにします。つまり、デバイス グループのコミッ
トを実行すると、すべての値が先祖の値でオーバーライドされます。
デフォルトでは、このシステム全体の設定は無効になっており、子孫グ
ループのオーバーライドしたオブジェクトは、先祖グループから継承さ
れたオブジェクトよりも優先されます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 21
管理設定の定義
表 1. 管理設定(続き)
項目
説明
管理インターフェイス設定
このインターフェイスは、ファイアウォール、Panorama M シリーズ アプライアンス、または
Panorama バーチャル アプライアンスに適用されます。
M シリーズ アプライアンスでは、デフォルトで、設定、ログ収集、およびコレクタ グループ通信に
管理 (MGT) インターフェイスが使用されます。ただし、ログ収集やコレクタ グループの通信に
Eth1 または Eth2 を設定する場合は、Eth1 や Eth2 よりも秘密性が高い MGT インターフェイスのサ
ブネットを別途定義することをお勧めします。サブネットは、[ネットマスク] フィールド(IPv4 の
場 合)ま た は [IPv6 ア ド レ ス / プ レフィックス長] フィールド(IPv6 の場合)で定義します。
Panorama バーチャル アプライアンスでは、別個のインターフェイスはサポートされません。
注:管理インターフェイスの設定を完了するには、IP アドレス、ネットマスク(IPv4 の場合)、プ
レフィックス長(IPv6 の場合)のいずれかと、デフォルト ゲートウェイを指定する必要がありま
す。設定を部分的にコミットした場合(たとえば、デフォルト ゲートウェイを省略するなど)、そ
の後設定を変更するときには、コンソール ポート経由でしかデバイスにアクセスできません。常に
完全な設定をコミットすることをお勧めします。
IP アドレス (IPv4)
ネットワークで IPv4 を使用する場合、IPv4 アドレスを管理インター
フェイスに割り当てます。または、ループバック インターフェイスの
IP アドレスを割り当ててデバイスを管理することもできます。デフォル
トでは、入力する IP アドレスはログ転送の送信元アドレスです。
ネットマスク (IPv4)
IPv4 アドレスを管理インターフェイスに割り当てた場合は、ネットワー
ク マスク(例:255.255.255.0)を入力する必要もあります。
デフォルト ゲートウェイ
IPv4 アドレスを管理インターフェイスに割り当てた場合は、デフォルト
ゲートウェイに IPv4 アドレスを割り当てる必要もあります(管理イン
ターフェイスと同じサブネットにする必要があります)。
IPv6 アドレス /
プレフィックス長
ネットワークで IPv6 を使用する場合、IPv6 アドレスを管理インター
フェイスに割り当てます。ネットマスクを示すには、IPv6 プレフィック
ス長を入力します(例:2001:400:f00::1/64)。
デフォルト IPv6
ゲートウェイ
IPv6 アドレスを管理インターフェイスに割り当てた場合は、デフォルト
ゲートウェイに IPv6 アドレスを割り当てる必要もあります(管理イン
ターフェイスと同じサブネットにする必要があります)。
速度
管理インターフェイスのデータ速度とデュプレックス オプションを設定
し ま す。フル デュプレックスまたはハーフ デュプレックスで、
10Mbps、100Mbps、1Gbps のいずれかを選択できます。デバイス
(Panorama またはファイアウォール)にインターフェイス速度を決定
させるには、デフォルトのオート ネゴシエート設定を使用します。
警告:この設定は、隣接するネットワーク機器のポート設定と一致する
必要があります。
MTU
このインターフェイスで送信されるパケットの最大転送単位 (MTU) を
バイト数で入力します(範囲は 576 ~ 1500、デフォルトは 1500)。
サービス
指 定 し た管理インターフェイス
アドレスで有効にするサービス
(HTTP、HTTP OCSP、HTTPS、Telnet、SSH(セキュア シェル)、
Ping、SNMP、User-ID、User-ID Syslog リスナ-SSL、User-ID Syslog リ
スナ-UDP)を選択します。
22 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
管理設定の定義
表 1. 管理設定(続き)
項目
説明
アクセス許可 IP アドレス
ファイアウォール管理が許可される IP アドレスのリストを入力しま
す。Panorama M シリーズ アプライアンスでこのオプションを使用して
いる場合、各管理対象ファイアウォールの IP アドレスを追加します。
追加しないと、ファイアウォールは Panorama に接続してログを転送し
たり、設定の更新を受信したりすることができません。
Ethernet 1 インターフェイス設定
このインターフェイスは、Panorama M シリーズ アプライアンスにのみ適用されます。M シリーズ
アプライアンスでは、デフォルトで、設定、ログ収集、およびコレクタ グループ通信に管理イン
ターフェイスが使用されます。ただし、Eth1 を有効にすると、管理対象コレクタを定義するときに
([Panorama] > [管理対象コレクタ])、ログ収集やコレクタ グループ通信で Eth1 を使用するように
設定できます。
注:IP アドレス、ネットマスク(IPv4 の場合)、プレフィックス長(IPv6 の場合)のいずれかと、
デフォルト ゲートウェイを指定しない場合は、Eth1 設定をコミットできません。
Ethernet 1
Eth1 インターフェイスを有効にするには、このチェック ボックスをオン
にします。
IP アドレス (IPv4)
ネットワークで IPv4 を使用する場合、IPv4 アドレスを Eth1 インターフェ
イスに割り当てます。
ネットマスク (IPv4)
IPv4 アドレスをインターフェイスに割り当てた場合は、ネットワーク
マスク(例:255.255.255.0)を入力する必要もあります。
デフォルト ゲートウェイ
IPv4 アドレスをインターフェイスに割り当てた場合は、デフォルト
ゲートウェイに IPv4 アドレスを割り当てる必要もあります(ゲート
ウェイは Eth1 インターフェイスと同じサブネット上にある必要があり
ます)。
IPv6 アドレス /
プレフィックス長
ネットワークで IPv6 を使用する場合、IPv6 アドレスを Eth1 インター
フェイスに割り当てる必要もあります。ネットマスクを示すには、IPv6
プレフィックス長を入力します(例:2001:400:f00::1/64)。
デフォルト IPv6
ゲートウェイ
IPv6 アドレスをインターフェイスに割り当てた場合は、デフォルト
ゲートウェイに IPv6 アドレスを割り当てる必要もあります(ゲート
ウェイは Eth1 インターフェイスと同じサブネット上にある必要があり
ます)。
速度
Eth1 インターフェイスのデータ速度とデュプレックス オプションを設
定 します。フル デュプレックスまたはハーフ デュプレックスで、
10Mbps、100Mbps、1Gbps のいずれかを選択できます。Panorama に
インターフェイス速度を決定させるには、デフォルトのオート ネゴシ
エート設定を使用します。
警告:この設定は、隣接するネットワーク機器のポート設定と一致する
必要があります。
MTU
このインターフェイスで送信されるパケットの最大転送単位 (MTU) を
バイト数で入力します(範囲は 576 ~ 1500、デフォルトは 1500)。
サービス
Eth1 インターフェイスで Ping サービスを有効にするには、[Ping] を選
択します。
アクセス許可 IP アドレス
Eth1 管理が許可される IP アドレスのリストを入力します。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 23
管理設定の定義
表 1. 管理設定(続き)
項目
説明
Ethernet 2 インターフェイス設定
このインターフェイスは、Panorama M シリーズ アプライアンスにのみ適用されます。M シリーズ
アプライアンスでは、デフォルトで、設定、ログ収集、およびコレクタ グループ通信に管理イン
ターフェイスが使用されます。ただし、Eth2 を有効にすると、管理対象コレクタを定義するときに
([Panorama] > [管理対象コレクタ])、ログ収集やコレクタ グループ通信で Eth1 を使用するように
設定できます。
注:IP アドレス、ネットマスク(IPv4 の場合)、プレフィックス長(IPv6 の場合)のいずれかと、
デフォルト ゲートウェイを指定しない場合は、Eth2 設定をコミットできません。
Eth2
Eth2 インターフェイスを有効にするには、このチェック ボックスをオン
にします。
IP アドレス (IPv4)
ネットワークで IPv4 を使用する場合、IPv4 アドレスを Eth2 インター
フェイスに割り当てます。
ネットマスク (IPv4)
IPv4 アドレスをインターフェイスに割り当てた場合は、ネットワーク
マスク(例:255.255.255.0)を入力する必要もあります。
デフォルト ゲートウェイ
IPv4 アドレスをインターフェイスに割り当てた場合は、デフォルト
ゲートウェイに IPv4 アドレスを割り当てる必要もあります(ゲート
ウェイは Eth2 ポートと同じサブネット上にある必要があります)。
IPv6 アドレス /
プレフィックス長
ネットワークで IPv6 を使用する場合、IPv6 アドレスを Eth2 インター
フェイスに割り当てます。ネットマスクを示すには、IPv6 プレフィック
ス長を入力します(例:2001:400:f00::1/64)。
デフォルト IPv6
ゲートウェイ
IPv6 アドレスをインターフェイスに指定した場合は、デフォルト ゲート
ウェイに IPv6 アドレスを割り当てる必要もあります(ゲートウェイは
Eth2 インターフェイスと同じサブネット上にある必要があります)。
速度
Eth2 インターフェイスのデータ速度とデュプレックス オプションを設
定 し ま す。フル デュプレックスまたはハーフ デュプレックスで、
10Mbps、100Mbps、1Gbps のいずれかを選択できます。Panorama に
インターフェイス速度を決定させるには、デフォルトのオート ネゴシ
エート設定を使用します。
警告:この設定は、隣接するネットワーク機器のポート設定と一致する
必要があります。
MTU
このインターフェイスで送信されるパケットの最大転送単位 (MTU) を
バイト数で入力します(範囲は 576 ~ 1500、デフォルトは 1500)。
サービス
Eth2 インターフェイスで Ping サービスを有効にするには、[Ping] を選
択します。
アクセス許可 IP アドレス
Eth2 管理が許可される IP アドレスのリストを入力します。
24 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
管理設定の定義
表 1. 管理設定(続き)
項目
説明
ロギングおよびレポート設定
以下を変更するには、このセクションを使用します。
• 以下のデバイスが生成するログやレポートの有効期間およびストレージの割り当て。設定は、高
可用性ペア間で同期されます。
– ファイアウォールが生成するログ、([Device] > [セットアップ] > [管理])。設定は、ファイア
ウォールのすべての仮想システムに適用されます。
– Panorama 管理サーバーおよびその管理対象コレクタが生成するログ([Panorama] > [セットアッ
プ] > [管理])。管理対象コレクタがファイアウォールから受信するログの設定を指定する方法
については、「ログ コレクタ グループの定義」を参照してください。
• ユーザー アクティビティ レポートの計算およびエクスポートの属性
• ファイアウォール / Panorama で作成された事前定義済みレポート
[ログ保存エリア]
サブタブ
([ログ カード ストレー
ジ] タブと [管理カード
ストレージ] タブは、
PA-7000 Series ファイア
ウォールにのみ適用され
ます)
ログ タイプおよびログ サマリー タイプごとに、以下を指定します。
• ログを保存するためのハード ディスクに割り当てられる [割り当て]
(パーセント)。[割り当て] の値を変更すると、関連付けられたディ
スクの割り当てが自動的に変更されます。すべての値の合計が 100%
を超える場合、ページ上にメッセージが赤で表示され、設定を保存し
ようとするときにエラー メッセージが表示されます。これが発生する
場合、合計が 100% の上限を超えないようにパーセンテージを調整し
ます。
• ログの有効期間である [最大日数](範囲は 1 ~ 2,000)。デバイスは、
指定した期間を超えるログを自動的に削除します。デフォルトでは有
効期間が設定されていません。つまりログの有効期限がありません。
デバイスは、ログの作成時にログを評価し、有効期間または割り当てサ
イズを超えているログを削除します。
警告:週次サマリー ログは、デバイスがログを削除する各タイミングの
間に有効期限のしきい値に達すると、次の削除の前にしきい値を超える
可能性があります。ログ割り当てが最大サイズに達すると、デバイスは
最も古いエントリから順に新しいログ エントリで上書きします。ログ割
り当てサイズを小さくする場合、その変更をコミットしたときに最も古
いログがデバイスによって削除されます。高可用性 (HA) アクティブ /
パッシブ設定の場合、パッシブ ピアはログを受信しないため、フェイル
オーバーが発生してアクティブになるまでログを削除しません。
デフォルト値に戻すには、[デフォルトの復元] をクリックします。
[OK] をクリックして、変更を保存します。
PA-7000 シリーズ ファイアウォールでは、ログは LPC (Log Processing
Card) と SMC (Switch Management Card) に保存されるため、ログの割
り当てはこれら 2 つのエリアに分割されます。[ログ保存エリア] タブに
は、LPC に保存されたデータ タイプ トラフィックの割り当て設定が表示
されます(トラフィック ログ、脅威ログなど)。[管理カード ストレー
ジ] タブには、SMC に保存された管理タイプ トラフィックの割り当て設
定が表示されます(設定ログ、システム ログ、アラーム ログなど)。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 25
管理設定の定義
表 1. 管理設定(続き)
項目
説明
[ログのエクスポートと
レポート] サブタブ
設定監査のバージョン数 — 保存可能な設定監査のバージョン数を入力
します(デフォルトは 100)。この数を超えると最も古いバージョンが
廃棄されます。保存されたバージョンを使用して、設定の変更の監査と
比較を行うことができます。
設定バックアップのバージョン数 —(Panorama のみ)保存可能な設定
バックアップ数を入力します(デフォルトは 100)。この数を超えると
最も古い設定バックアップが廃棄されます。
CSV エクスポートの最大行数 — トラフィック ログ ビューの [CSV にエ
クスポート] アイコンで生成される CSV レポートに表示される最大行数
(範囲は 1 ~ 1048576、デフォルトは 65535)を入力します。
ユーザー アクティビティ レポートの最大行数 — 詳細なユーザー アク
ティビティ レポートでサポートされる最大行数(範囲は 1 ~ 1048576、
デフォルトは 5000)を入力します。
平均ブラウズ時間(秒)— 「ユーザー アクティビティ レポート」のブラ
ウズ時間(秒単位)の計算方法を調整するには、この変数を設定します
(範囲は 0 ~ 300、デフォルトは 60)。
計算対象としては、Web 広告やコンテンツ配信ネットワークとして分類
されたサイトは無視されます。ブラウズ時間の計算は、URL フィルタ
リング ログに記録されたコンテナ ページに基づきます。計算に含める
べきではない外部サイトからコンテンツをロードするサイトが多くある
ため、コンテナ ページがこの計算の基準として使用されます。コンテナ
ページの詳細は、「コンテナ ページ」を参照してください。
平均ブラウズ時間の設定は、管理者が想定するユーザーが Web ページを閲
覧する平均時間です。平均ブラウズ時間が経過した後に行われたリクエス
トは、新しいブラウズ アクティビティと見なされます。計算対象からは、
最初のリクエスト時間(開始時間)から平均ブラウズ時間までの間にロー
ドされる新しい Web ページは無視されます。この動作は、任意の Web
ページ内にロードされる外部サイトを除外するために設計されています。
例:平均ブラウズ時間が 2 分に設定されている場合は、ユーザーが Web
ページを開き、そのページを 5 分間閲覧しても、そのページのブラウズ
時間は 2 分になります。ユーザーがあるページを閲覧する時間を判断す
る方法がないため、このような動作が設定されています。
ページ ロードしきい値(秒)— このオプションを使用すると、ページ要素
がページにロードされるまでの推定時間を秒単位で調整できます(範囲は
0 ~ 60、デフォルトは 20)。最初のページのロードからページ ロードしき
い値までの間に発生するリクエストは、ページの要素と見なされます。
ページ ロードしきい値の範囲外で発生するリクエストは、ページ内のリン
クをユーザーがクリックしたものと見なされます。ページ ロードしきい値
は、「ユーザー アクティビティ レポート」の計算にも使用されます。
Syslog のホスト名フォーマット — Syslog メッセージ ヘッダーに FQDN、
ホスト名、IP アドレス(v4 または V6)を使用するかどうかを選択しま
す。このヘッダーは、メッセージの送信元ファイアウォール / Panorama
を識別します。
LogDb 容量超過時トラフィック転送を停止(ファイアウォールのみ)—
ログ データベースに空きがない場合にファイアウォール経由のトラ
フィックを停止するには、このチェック ボックスをオンにします(デ
フォルトはオフ)。
レポートの有効期間 — レポートの有効期間を日単位で設定します(範
囲は 1 ~ 2,000)。デフォルトでは有効期間が設定されていません。つ
まり、レポートの有効期限がありません。デバイスは、デバイスの時間
に基づいて毎晩午前 2 時に有効期限切れのレポートを削除します。
26 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
管理設定の定義
表 1. 管理設定(続き)
項目
説明
DP 高負荷時にログを有効にする(ファイアウォールのみ)— ファイア
ウォールのパケット処理負荷により CPU 使用率が 100% に達した場合
にシステム ログ エントリを生成するには、このチェック ボックスをオ
ンにします。
高い CPU 負荷により、CPU がすべてのパケットを処理するのに十分な
サイクルを確保できないため、動作が遅くなる可能性があります。シス
テム ログでこの問題のアラートが通知(ログ エントリが毎分生成)さ
れるため、問題の原因を調査できます。
デフォルトで無効になっています。
(Panorama のみ)
デバイスから転送するログのバッファ — Panorama への接続が失われた
場合に、ファイアウォールでそのハード ディスク(ローカル ストレー
ジ)へのログ エントリのバッファを許可します。Panorama との接続が
復元したときに、ログ エントリが Panorama に転送されます。バッファ
に使用できるディスク領域は、そのプラットフォームのログ ストレージ
の割り当て、およびロール オーバーが保留中のログの量によって異なり
ます。使用可能な領域がなくなると、新しいイベントをロギングできる
ように最も古いエントリが削除されます。
デフォルトで有効になっています。
プライマリへの変換時に新規ログのみを取得 — このオプションは、
Panorama がネットワーク ファイル共有 (NFS) にログを書き込む場合に
のみ適用されます。NFS ロギングでは、プライマリ Panorama が NFS
にマウントされます。そのため、ファイアウォールはアクティブなプラ
イマリ Panorama のみにログを送信します。
このオプションでは、HA フェイルオーバーが発生してセカンダリ
Panorama が(プライマリに昇格した後に)NFS へのロギングを再開し
た場合、新しく生成されたログのみを管理対象ファイアウォールから
Panorama に送信するように管理者が設定できます。
この動作を有効にするのは、通常、Panorama への接続が復元されるま
で長時間かかったときに、ファイアウォールが大量のバッファ済みログ
を送信しないようにするためです。
ローカル ディスクへのアクティブ プライマリ ログのみ — アクティブな
プライマリ Panorama のみがローカル ディスクにログを保存するように
設定できます。
このオプションは、仮想ディスクのある Panorama 仮想マシン、および
Panorama モードの M シリーズ アプライアンスで有効です。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 27
管理設定の定義
表 1. 管理設定(続き)
項目
説明
事前定義済みレポート — アプリケーション、トラフィック、脅威、
URL フィルタリングの事前定義済みレポートは、ファイアウォールと
Panorama で使用できます。デフォルトでは、これらの事前定義済みレ
ポートは有効になっています。
ファイアウォールは 1 時間おきの結果の生成(および表示用にその結果
が集約およびコンパイルされる Panorama への送信)にメモリ リソース
を使用するため、メモリ使用量が減るように、重要ではないレポートを
無効にできます。レポートを無効にするには、そのレポートのチェック
ボックスをオフにします。
事前定義済みレポートの生成を完全に有効または無効にするには、[す
べて選択] または [すべての選択を解除] オプションを使用します。
注:レポートを無効にする前に、グループ レポートまたは PDF レポー
トにそのレポートが含まれていないことを確認してください。事前定義
済みレポートがレポート セットに含まれていてそのレポートを無効にし
た場合、そのレポート セット全体でデータが表示されなくなります。
パスワード複雑性設定
有効
ローカル アカウントのパスワードの最小要件を有効にします。この機能
を使用すると、定義されたパスワード要件が、ファイアウォールのロー
カル管理者アカウントで確実に順守されます。
これらのオプションのサブセットを使用したパスワード プロファイルを
作成し、設定をオーバーライドしたり、特定のアカウントに適用したり
することもできます。詳細は、「パスワード プロファイルの定義」を参
照してください。アカウントで使用できる有効な文字の詳細は、「管理
者ロールの定義」を参照してください。
注:入力できるパスワードの最大文字数は 31 です。要件を設定すると
きには、許容されない組み合わせを作成しないようにしてください。た
とえば、大文字 10 個、小文字 10 個、数字 10 個、特殊文字 10 個の要件
は、最大文字数の 31 を超えるため、設定できません。
注:高可用性 (HA) を設定してある場合は、パスワード複雑性のオプ
ションを設定するときに必ずプライマリ デバイスを使用し、変更を加え
た後にすぐにコミットしてください。
最小文字数
最少で 1 ~ 15 文字が必要です。
最少大文字数
最少で 0 ~ 15 文字の大文字が必要です。
最少小文字数
最少で 0 ~ 15 文字の小文字が必要です。
最少数字数
最少で 0 ~ 15 文字の数字が必要です。
最少特殊文字数
最少で 0 ~ 15 文字の特殊文字(英数字以外)が必要です。
繰り返し文字のブロック
パスワードで許容される連続重複文字数を指定します。範囲は
2 ~ 15 です。
値を 2 に設定すると、パスワードに 2 回連続する同じ文字を含めること
はできますが、同じ文字が連続して 3 回以上使用されるパスワードは許
可されません。
たとえば、値を「2」に設定する場合、「test11」や「11test11」という
パスワードは受け入れられますが、「test111」は数値の「1」が 3 回連
続しているため受け入れられません。
28 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
操作設定の定義
表 1. 管理設定(続き)
項目
説明
ユーザー名を含む
パスワードを禁止
(逆順を含む)
アカウント ユーザー名(または名前の逆読みバージョン)がパスワードで
使用されないようにするには、このチェック ボックスをオンにします。
文字が異なる新規
パスワード
管理者が自分のパスワードを変更するときに、文字は指定した値に応じ
て異なる必要があります。
初回ログイン時に
パスワードの変更を要求
管理者がデバイスに初めてログインするときにパスワードの変更を求め
るプロンプトを表示するには、このチェック ボックスをオンにします。
パスワードの再使用禁止
制限
指定した数に基づいて、以前のパスワードを再使用しないように要求し
ます。たとえば、値を「4」に設定すると、直近のパスワード 4 つを再
使用することができません(範囲は 0 ~ 50)。
パスワード変更期間の
ブロック(日)
指定した日数が経過するまで、ユーザーはパスワードを変更できません
(範囲は 0 ~ 365 日)。
パスワード変更が必要に
なる期間(日)
設定された日数(0 ~ 365 日)で指定されたとおりに、管理者は定期的
にパスワードを変更する必要があります。たとえば、値を「90」に設定
すると、管理者に 90 日ごとにパスワードの変更を求めるプロンプトが
表示されます。
失効の警告を 0 ~ 30 日の範囲で設定して猶予期間を指定することもで
きます。
失効の警告期間(日)
必須のパスワード変更期間を設定すると、この設定を使用して、強制パ
スワード変更日が近づくとユーザーがログインするたびにパスワードの
変更を求めるプロンプトを表示できます(範囲は 0 ~ 30 日)。
失効後の管理者ログイン
回数
アカウントが失効した後に、管理者は指定した回数ログインできます。
たとえば、値を「3」に設定し、アカウントが失効した場合、管理者は
アカウントがロックアウトされるまで 3 回ログインすることができます
(範囲は 0 ~ 3 回)。
失効後の猶予期間(日)
アカウントが失効した後に、管理者は指定した日数ログインできます
(範囲は 0 ~ 30 日)。
操作設定の定義
[Device] > [セットアップ] > [操作]
[Panorama] > [セットアップ] > [操作]
設定を変更して [OK] をクリックすると、アクティブ コンフィグではなく現在の候補設定が
更新されます。ページ上部の [コミット] をクリックすると、候補設定が実行中の設定に適用
され、前回のコミットからの設定の変更がすべてアクティベーションされます。
この方法によって、設定をアクティベーションする前に確認できます。複数の変更を同時に
アクティベーションすると、変更をリアルタイムに適用するときに発生することがある無効
な設定状態を回避できます。
候補設定は必要に応じて何回でも保存やロール バック(復元)ができます。また、設定の
ロード、検証、インポート、およびエクスポートを行うこともできます。[保存] をクリック
すると、現在の候補設定のコピーが作成され、[コミット] を選択すると、アクティブ コン
フィグが候補設定の内容で更新されます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 29
操作設定の定義
画面の右上隅にある [保存] リンクをクリックして、入力した設定を定期的に保存
することをお勧めします。
設定を管理するには、以下の表で説明するように、該当する設定管理機能を選択します。
表 2. 設定管理機能
機能
説明
設定の管理
最後に保存した設定に
戻す
最後に保存された候補設定がローカル ドライブから復元されます。現在
の候補設定は上書きされます。候補設定が保存されていない場合、エ
ラーが発生します。
実行中の設定に戻す
前回の実行中の設定が復元されます。現在の実行中の設定はオーバーラ
イドされます。
名前付き設定スナップ
ショットの保存
候補設定がファイルに保存されます。ファイル名を入力するか、上書き
する既存のファイルを選択します。現在のアクティブ コンフィグ ファ
イル (running-config.xml) はオーバーライドできません。
候補設定の保存
候補設定がフラッシュ メモリに保存されます(ページ上部の [保存] を
クリックした場合と同様)。
名前付き設定スナップ
ショットのロード
アクティブ コンフィグ (running-config.xml) や以前にインポートまたは
保存された設定から候補設定が読み込まれます。ロードする設定ファイ
ルを選択します。現在の候補設定は上書きされます。
設定バージョンの
エクスポート
指定したバージョンの設定が読み込まれます。
名前付き設定スナップ
ショットのエクスポート
アクティブ コンフィグ (running-config.xml) や以前に保存またはイン
ポートされた設定がエクスポートされます。エクスポートする設定ファ
イルを選択します。このファイルは、開いたり、ネットワーク上に保存
したりすることができます。
設定バージョンの
エクスポート
指定したバージョンの設定がエクスポートされます。
Panorama およびデバイス
の設定バンドルのエク
スポート
Panorama および各管理対象ファイアウォールの実行中の設定のバック
アップの最新バージョンを手動で生成およびエクスポートします。設定
バンドルを毎日作成して SCP または FTP サーバーにエクスポートする
プロセスを自動化する方法は、「設定のエクスポートのスケジューリン
グ」を参照してください。
(Panorama のみ)
30 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
操作設定の定義
表 2. 設定管理機能(続き)
機能
説明
デバイスの設定バンドル
のエクスポートまたは
プッシュ
フ ァ イアウォールを選択し、Panorama に保存されているファ イア
ウォール設定に対して以下のいずれかの操作を実行するように求められ
ます。
(Panorama のみ)
• ファイアウォールに設定を [プッシュ & コミット] する。この操作によ
り、ファイアウォールがクリーニング(ファイアウォールからローカ
ル設定が削除)され、Panorama に保存されているファイアウォール
設定がプッシュされます。ファイアウォール設定をインポートした
ら、Panorama で管理できるように、このオプションを使用してその
ファイアウォールをクリーンアップします。詳細は、「Panorama に
デバイス 設定をインポート」を参照してください。
• 設定をロードせずにファイアウォールに [エクスポート] する。設定を
ロードするには、ファイアウォール CLI にアクセスし、設定モード コ
マンド load device-state を実行する必要があります。このコマンドを
使用すると、[プッシュ & コミット] オプションと同じようにファイア
ウォールがクリーンアップされます。
デバイス状態の
エクスポート
(ファイアウォール
のみ)
[大規模 VPN] (LSVPN) 機能が有効にされた GlobalProtect ポータルとし
て設定されているファイアウォールから、設定および動的情報をエクス
ポートします。ポータルで障害が発生した場合、エクスポート ファイル
をインポートして、ポータルの設定および動的情報を復元できます。
エクスポートには、ポータルで管理されるすべてのサテライト デバイス
のリスト、エクスポート時の実行中の設定、およびすべての証明書情報
(ルート CA、サーバー、およびサテライト証明書)が含まれます。
重要:デバイス状態のエクスポートを手動で実行するか、スケジュール
設定された XML API スクリプトを作成し、リモート サーバーにファイ
ルをエクスポートする必要があります。サテライト証明書は頻繁に変更
される可能性があるので、この操作を定期的に行う必要があります。
CLI からデバイス状態ファイルを作成するには、設定モードで save
device state を実行します。
ファイルには、device_state_cfg.tgz という名前が付けられ、/opt/
pancfg/mgmt/device-state に保存されます。デバイス状態ファイルを
エクスポートする操作コマンドは、scp export device-state です
(tftp export device-state を使用することもできます)。
XML API の使用の詳細は、http://www.paloaltonetworks.com/
documentation にある『PAN-OS XML-Based Rest API Usage Guide
(PAN-OS XML ベースの Rest API 利用ガイド)』を参照してください。
名前付き設定スナップ
ショットのインポート
ネットワーク上から設定ファイルがインポートされます。[参照] をク
リックして、インポートする設定ファイルを選択します。
デバイス状態の
インポート
[デバイス状態のエクスポート] オプションを使用してエクスポートされ
たファイアウォール状態の情報をインポートします。これには、現在の
実行中の設定、Panorama テンプレート、共有ポリシーが含まれます。
デバイスが Global Protect ポータルの場合、エクスポートには認証局
(CA) 情報、サテライト デバイスおよび認証情報のリストが含まれます。
(ファイアウォール
のみ)
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 31
操作設定の定義
表 2. 設定管理機能(続き)
機能
説明
Panorama にデバイス
設定をインポート
ファイアウォール設定を Panorama にインポートします。ネットワークおよ
びデバイス設定を格納するテンプレートが Panorama によって自動的に作成
されます。ファイアウォールの仮想システム (vsys) ごとに、ポリシーおよ
びオブジェクト設定を格納するデバイス グループが Panorama によって自
動的に作成されます。デバイス グループは、階層内の共有の場所の 1 つ下
のレベルになりますが、インポートの完了後に別の親デバイス グループに
再割り当てすることもできます(「デバイス グループの定義」を参照)。
警告:Panorama のコンテンツ(アプリケーションおよび脅威データ
ベースなど)のバージョンは、設定のインポート元となるファイア
ウォール上のバージョンと同じかそれ以上である必要があります。
(Panorama のみ)
以下のインポート オプションを設定します。
• デバイス — Panorama が設定をインポートするファイアウォールを選
択します。ドロップダウンには、Panorama に接続されていて、どの
デバイス グループまたはテンプレートにも割り当てられていないファ
イアウォールのみが表示されます。個々の vsys ではなく、ファイア
ウォール全体のみを選択できます。
• テンプレート名 — インポートしたデバイスおよびネットワーク設定を
格納するテンプレートの名前を入力します。マルチ vsys ファイア
ウォールの場合、このフィールドは空白になります。他のファイア
ウォールの場合、デフォルト値はファイアウォール名になります。既
存のテンプレートの名前を使用することはできません。
• デバイス グループ名の接頭辞(マルチ vsys ファイアウォールのみ)—
必要に応じて、各デバイス グループ名のプレフィックスとして文字列
を追加します。
• デバイス グループ名 — マルチ vsys ファイアウォールの場合、デフォ
ルトで各デバイス グループに vsys 名が設定されます。他のファイア
ウォールの場合、デフォルト値はファイアウォール名になります。デ
フォルト名は編集できますが、既存のデバイス グループ名を使用する
ことはできません。
• デバイスの共有オブジェクトを Panorama の共有コンテキストにイン
ポート — このチェック ボックスはデフォルトでオンになっていま
す。つまり、Panorama は、ファイアウォールの [共有] に属するオブ
ジェクトを Panorama の [共有] にインポートします。このチェック
ボックスをオフにすると、Panorama は、[共有] ではなくデバイス グ
ループに共有ファイアウォール オブジェクトをコピーします。この設
定には、以下の例外があります。
– 共有ファイアウォール オブジェクトの名前と値が既存の共有
Panorama オブジェクトと同じである場合、インポートではその
ファイアウォール オブジェクトは除外されます。
– 共有ファイアウォール オブジェクトの名前または値が共有 Panorama
オブジェクトと異なる場合、Panorama はそのファイアウォール オ
ブジェクトを各デバイス グループにインポートします。
– テンプレートにインポートされる設定で共有ファイアウォール オブ
ジェクトを参照している場合、このチェック ボックスをオンにした
かどうかに関係なく、Panorama はそのオブジェクトを [共有] にイ
ンポートします。
– 共有ファイアウォール オブジェクトで、テンプレートにインポート
される設定を参照している場合、このチェック ボックスをオンにし
たかどうかに関係なく、Panorama はそのオブジェクトをデバイス
グループにインポートします。
• ルールのインポート場所 — Panorama がポリシーをプレ ルールとして
インポートするのか、ポスト ルールとしてインポートするのかを選択
します。選択内容に関係なく、Panorama はデフォルトのセキュリ
テ ィ ルール(intrazone-default および interzone-default)をポスト
ルールベースにインポートします。
警告:Panorama に、インポートするファイアウォール ルールと同じ名前
のルールがある場合、Panorama には両方のルールが表示されます。ただ
し、ルール名は一意である必要があるため、Panorama でコミットを実行
する前にいずれかのルールを削除しないと、コミットに失敗します。
32 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
操作設定の定義
表 2. 設定管理機能(続き)
機能
説明
デバイスの操作
再起動
ファイアウォールまたは Panorama を再起動するには、[デバイスの再
起動] をクリックします。デバイスからログアウトされて、ソフトウェ
ア(PAN-OS または Panorama)およびアクティブ コンフィグが再ロー
ドされます。次に既存のセッションが終了してログに記録され、シャッ
トダウンを開始した管理者の名前が表示されるシステム ログ エントリ
が作成されます。保存またはコミットされていない設定の変更は失われ
ます(「操作設定の定義」を参照)。
注:Web インターフェイスを使用できない場合は、CLI コマンド
request restart system を使用します。
シャットダウン
ファイアウォール / Panorama のグレースフル シャットダウンを実行す
るには、[デバイスのシャットダウン] または [Panorama のシャットダウ
ン] をクリックし、確認のプロンプトで [Yes] をクリックします。保存
またはコミットされていない設定の変更は失われます。すべての管理者
がログオフされ、以下のプロセスが発生します。
• すべてのログイン セッションがログオフされます。
• インターフェイスが無効になります。
• すべてのシステム プロセスが停止します。
• 既存のセッションが終了し、ログに記録されます。
• シャットダウンを開始した管理者名を示すシステム ログが作成されま
す。このログ エントリを書き込めない場合は、警告が表示され、シス
テムはシャットダウンしません。
• ディスク ドライブが正常にアンマウントされ、デバイスの電源がオフ
になります。
デバイスの電源をオンにするには、電源のプラグを抜いてから差し込み
直す必要があります。
注:Web インターフェイスを使用できない場合は、CLI コマンド
request shutdown system を使用します。
データプレーンの再起動
リブートせずにファイアウォールのデータ機能をリスタートするには、
[データプレーンの再起動] をクリックします。このオプションは PA-200
ファイアウォールおよび Panorama では使用できません。
注:Web インターフェイスを使用できない場合は、CLI コマンド
request restart dataplane を使用します。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 33
操作設定の定義
表 2. 設定管理機能(続き)
機能
説明
その他
カスタム ロゴ
このオプションを使用して、以下をカスタマイズします。
• ログイン画面の背景イメージ
• メイン UI(ユーザー インターフェイス)ヘッダーのイメージ
• PDF レポートのタイトル ページのイメージ。「PDF サマリー レポー
トの管理」を参照してください。
• PDF レポート フッターのイメージ
をクリックしてイメージ ファイルをアップロードし、
をクリッ
クしてプレビューし、
をクリックして以前にアップロードしたイ
メージを削除します。
以下の内容に注意してください。
• サポートされているファイル タイプは、png、gif、および jpg です。
アルファ チャネルを含むイメージ ファイルはサポートされていませ
ん。PDF レポートで使用されている場合、そのレポートは正常に生成さ
れません。そのイメージの作成者に連絡してイメージのアルファ チャネ
ルの削除を依頼するか、使用するグラフィックス ソフトウェアでアル
ファ チャネル機能を含めずにファイルを保存してください。
• デフォルトのロゴに戻るには、エントリを削除してコミットします。
• 任意のロゴ イメージの最大イメージ サイズは、128 KB です。
• ログイン画面と主要なユーザー インターフェイスのオプションでは、
をクリックすると、これから表示されるイメージが表示されま
す。必要な場合、イメージを切り取って収められます。PDF レポート
の場合、イメージは切り取られずに自動的にサイズ変更されて、収ま
ります。すべてのケースにおいて、プレビューは推奨されるイメージ
のサイズを表示します。
PDF レポートの生成の詳細は、「PDF サマリー レポートの管理」を参
照してください。
SNMP のセットアップ
SNMP パラメータを指定します。「SNMP モニタリングの有効化」を参
照してください。
統計サービスの
セットアップ
統計サービス機能では、アプリケーション、脅威、およびクラッシュに
関する匿名情報をファイアウォールから Palo Alto Networks 調査チーム
に送信できます。この情報を収集することで、調査チームは実際の情報
に基づいて Palo Alto Networks 製品の有効性を継続的に改善することが
できます。このサービスはデフォルトでは無効になっています。有効に
すると、情報は 4 時間おきにアップロードされます。
ファイアウォールで以下のタイプの情報を送信することを許可できます。
• アプリケーションおよび脅威レポート
• 不明なアプリケーション レポート
• URL レポート
• クラッシュのデバイス トレース
送信される統計レポートのコンテンツのサンプルを表示するには、レ
ポート アイコン
をクリックします。[レポート サンプル] タブが開
き、レポート コードが表示されます。レポートを表示するには、目的の
レポートの横のチェック ボックスをクリックし、[レポート サンプル]
タブをクリックします。
34 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ハードウェア セキュリティ モジュールの定義
ハードウェア セキュリティ モジュールの定義
[Device] > [セットアップ] > [HSM]
[HSM] タブでは、ハードウェア セキュリティ モジュール (HSM) の状態の表示と設定を行う
ことができます。
以下の状態設定が [ハードウェア セキュリティ モジュール プロバイダ] セクションに表示さ
れます。
表 3. HSM モジュール プロバイダの状態設定
フィールド
説明
設定プロバイダ
以下のいずれかを指定します。
• なし — ファイアウォールに HSM は設定されません。
• SafeNet Luna SA — ファイアウォールに SafeNet Luna SA HSM が設定
されます。
• Thales Nshield Connect — ファイアウォールに Thales Nshield Connect
HSM が設定されます。
高可用性
オンにすると HSM 高可用性が設定されます。SafeNet Luna SA のみ。
高可用性グループ名
ファイアウォールに設定される HSM 高可用性のグループ名。SafeNet
Luna SA のみ。
ファイアウォール
送信元アドレス
HSM サービスに使用されるポートのアドレス。デフォルトでは、このア
ドレスには管理ポート アドレスが設定されます。[Device] > [セットアッ
プ] > [サービス] の [サービス ルートの設定] を使用して、別のポートを指
定できます。
HSM が保護する
マスター キー
オンにした場合、HSM でマスター キーが保護されます。
状態
必 要に応じて、「SafeNet Luna SA の [ ハードウェア セキュリティ モ
ジュール状態] の設定」または「Thales Nshield Connect の [ハードウェア
セキュリティ モジュール状態] の設定」を参照してください。
ファイアウォールにハードウェア セキュリティ モジュール (HSM) を設定するには、[ハード
ウェア セキュリティ モジュール プロバイダ] セクションで編集アイコンをクリックし、以下
の設定を行います。
表 4. HSM の設定
フィールド
説明
設定プロバイダ
以下のいずれかを指定します。
• なし — ファイアウォールに HSM は設定されません。その他の設定は不
要です。
• SafeNet Luna SA — ファイアウォールに SafeNet Luna SA HSM が設定
されます。
• Thales Nshield Connect — ファイアウォールに Thales Nshield Connect
HSM が設定されます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 35
ハードウェア セキュリティ モジュールの定義
表 4. HSM の設定 (続き)
フィールド
説明
モジュール名
HSM のモジュール名を指定します。31 文字以下の任意の ASCII 文字列を
指定できます。高可用性 HSM 設定を行う場合は、複数のモジュール名を
作成します。
サーバー アドレス
設定するすべての HSM の IPv4 アドレスを指定します。
高可用性
高可用性設定で HSM モジュールを設定する場合はこのチェック ボックス
をオンにします。各 HSM モジュールのモジュール名とサーバー アドレス
を設定する必要があります。
SafeNet Luna SA のみ
自動回復の再試行
SafeNet Luna SA のみ
高可用性グループ名
ファイアウォールが HSM への接続の回復を試行する回数を指定します。
この試行回数に達すると、HSM 高可用性設定内の別の HSM にフェイル
オーバーします。範囲は 0 ~ 500 です。
SafeNet Luna SA のみ
HSM 高可用性グループで使用されるグループ名を指定します。この名前
はファイアウォールの内部で使用されます。31 文字以下の任意の ASCII
文字列を指定できます。
リモート ファイル
システムのアドレス
Thales Nshield Connect HSM 設定で使用されるリモート ファイルシステ
ムの IPv4 アドレスを設定します。
Thales Nshield
Connect のみ
[ハードウェア セキュリティ モジュールのセットアップ] を選択し、以下の設定で HSM に対
するファイアウォールの認証を指定します。
表 5. [ハードウェア セキュリティ モジュールのセットアップ] の設定
フィールド
説明
サーバー名
ドロップダウン ボックスから HSM サーバー名を選択します。
管理者パスワード
HSM に対するファイアウォールの認証を行う HSM の管理者パスワード
を入力します。
[ハードウェア セキュリティ モジュール状態] セクションには、認証に成功した HSM に
関する以下の情報が表示されます。表示は設定された HSM プロバイダによって異なり
ます。
表 6. SafeNet Luna SA の [ハードウェア セキュリティ モジュール状態] の設定
フィールド
説明
シリアル番号
HSM パーティションが正常に認証された場合、その HSM パーティショ
ンのシリアル番号が表示されます。
パーティション
ファイアウォールで割り当てられた HSM のパーティション名。
モジュール状態
HSM の現在の動作状態。HSM がこの表に表示されている場合、この設
定の値は [認証済み] です。
36 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
SNMP モニタリングの有効化
表 7. Thales Nshield Connect の [ハードウェア セキュリティ モジュール状態] の設定
フィールド
説明
名前
HSM のサーバー名。
IP アドレス
ファイアウォールで割り当てられた HSM の IP アドレス。
モジュール状態
HSM の現在の動作状態。
• 認証済み
• 認証されていません
SNMP モニタリングの有効化
[Device] > [セットアップ] > [操作]
SNMP (Simple Network Management Protocol) は、ネットワーク上のデバイスをモニターす
る標準プロトコルです。SNMP マネージャでサポートされる SNMP バージョン(SNMPv2c
または SNMPv3)を使用するようにデバイスを設定するには、[操作] ページを使用します。
Palo Alto Networks デバイスから収集される統計情報を解釈できるように SNMP マネージャ
にロードする必要のある MIB のリストは、『サポートされる MIB』を参照してください。
ネットワーク上の SNMP トラップの宛先と通信するファイアウォールを有効にするサーバー
プロファイルを設定するには、「SNMP トラップの宛先の設定」を参照してください。
SNMP MIB は、デ バ イス に よ って 生 成さ れ る すべ て の SNMP ト ラッ プ を 定義 し ます。
SNMP トラップは一意のオブジェクト ID (OID) を識別し、個々のフィールドは変数バイン
ド (varbind) リストとして定義されます。
[SNMP のセットアップ] リンクをクリックし、以下の設定を指定して SNMP マネージャか
らの SNMP GET 要求を許可します。
表 8. SNMP のセットアップ
フィールド
説明
場所
ファイアウォールの物理的な場所を指定します。ログまたはトラップが生成され
るときに、この情報によって通知を生成したデバイスを(SNMP マネージャで)
識別できます。
連絡先
ファイアウォールの管理者の名前や電子メール アドレスを入力します。この設
定は、標準システム情報の MIB でレポートされます。
イベント固有の
トラップ定義を
使用
このチェック ボックスはデフォルトでオンになっています。つまり、デバイス
は、イベント タイプに基づいて各 SNMP トラップの一意の OID を使用します。
このチェック ボックスをオフにすると、すべてのトラップの OID が同じになり
ます。
バージョン
SNMP バージョン(V2c(デフォルト)または V3)を選択します。この選択内容
により、ダイアログに表示される残りのフィールドが決まります。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 37
SNMP モニタリングの有効化
表 8. SNMP のセットアップ(続き)
フィールド
説明
SNMP V2c の場合
SNMP コミュニティ名
コミュニティ文字列を入力します。コミュニティ文字列は、SNMP マネージャお
よびモニター対象デバイスの SNMP コミュニティを識別し、SNMP GET(統計情
報要求)やトラップ メッセージを交換するときにコミュニティ メンバーを相互認
証するためのパスワードとして機能します。コミュニティ文字列には最大 127 文
字を含めることができます。また、すべての文字を使用でき、大文字と小文字が
区別されます。デフォルトのコミュニティ文字列 public を使用しないことをお勧
めします。SNMP メッセージにはクリア テキストのコミュニティ文字列が含まれ
ているため、コミュニティ メンバーシップ(管理者アクセス)を定義するときに
ネットワークのセキュリティ要件を考慮してください。
SNMP V3 の場合
名前 / 表示
1 つ以上のビューのグループを SNMP マネージャのユーザーに割り当てて、ユー
ザーがデバイスから取得できる MIB オブジェクト(統計情報)を制御できます。
各ビューは、ペアになっている OID とビット単位のマスクです。OID で MIB を
指定し、マスク(16 進数形式)で、その MIB 内(一致部分を含む)または MIB
外(一致部分を含まない)でアクセスできるオブジェクトを指定します。
たとえば、OID が 1.3.6.1、照合の [オプション] が [包含]、[マスク] が 0xf0 の場
合、ユーザーが要求するオブジェクトの OID の最初の 4 つのノード (f = 1111) が
1.3.6.1 に一致している必要があります。オブジェクトの残りのノードは一致して
いる 必要は ありま せん。この例の場合、1.3.6.1.2 はマスクに一致しますが、
1.4.6.1.2 は一致しません。
ビューのグループごとに [追加] をクリックし、グループの [名前] を入力しま
す。次に、グループに [追加] するビューごとに以下を設定します。
• 表示 — ビューの名前を指定します。名前には、最大 31 文字(英数字、ピリオ
ド、アンダースコア、またはハイフン)を含めることができます。
• OID — MIB の OID を指定します。
• オプション — MIB に適用する照合ロジックを選択します。
• マスク — 16 進数形式のマスクを指定します。
注:すべての管理情報にアクセスできるようにするには、最上位 OID 1.3.6.1 を使
用し、[マスク] を 0xf0 に設定して、照合の [オプション] を [包含] に指定します。
38 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
サービス設定の定義
表 8. SNMP のセットアップ(続き)
フィールド
説明
ユーザー
SNMP ユー ザー アカウントにより、デバイスがトラップを転送するときや
SNMP マネージャがデバイスの統計情報を取得するときに、認証、プライバ
シー、およびアクセス制御を実現できます。ユーザーごとに、[追加] をクリック
して以下の設定を指定します。
• ユーザー — SNMP ユーザー アカウントを識別するユーザー名を指定します。
デバイスで設定するユーザー名は、SNMP マネージャで設定したユーザー名と
一致する必要があります。ユーザー名には最大 31 文字を使用できます。
• 表示 — ユーザーにビューのグループを割り当てます。
• 認証パスワード — ユーザーの認証パスワードを指定します。デバイスは、トラッ
プの転送時や統計情報要求への応答時に、このパスワードを使用して SNMP マ
ネージャの認証を受けます。デバイスは、Secure Hash Algorithm (SHA-1 160)
を使用してパスワードを暗号化します。パスワードには、8 ~ 256 文字のあら
ゆる文字を使用できます。
• 専用パスワード — ユーザーの専用パスワードを指定します。デバイスは、この
パスワードと Advanced Encryption Standard (AES-128) を使用して、SNMP ト
ラップおよび統計情報要求への応答を暗号化します。パスワードには、8 ~
256 文字のあらゆる文字を使用できます。
サービス設定の定義
[Device] > [セットアップ] > [サービス]
マルチ仮想システムが有効になっているファイアウォールでは、[サービス] タブが [グロー
バル] タブと [仮想システム] タブに分割されます。ここでは、効率的な動作のためにファイ
アウォールまたはその仮想システムがそれぞれ使用するサービスを設定します(ファイア
ウォールが 1 つの仮想システムの場合、またはマルチ仮想システムが無効になっている場
合、2 つのタブは表示されず、[サービス] メニューのみが表示されます)。
ファイアウォール全体のサービスを設定するには、[グローバル] タブを使用します。これら
の設定は、サービスの設定がカスタマイズされていない仮想システムのデフォルト値として
も使用されます。
• [サービス] セクションでは、編集アイコンをクリックして、Domain Name System (DNS)
サーバー、更新サーバー、およびプロキシ サーバーの宛先 IP アドレスを定義します。
専用の [NTP] タブを使用して、Network Time Protocol 設定を定義します。[サービス]
セクションで使用可能なオプションのフィールド説明については、表 9 を参照してくだ
さい。
• [サービス機能] セクションでは、[サービス ルートの設定] をクリックして、[DNS]、[電
子メール]、[LDAP]、[RADIUS]、[Syslog] など、ファイアウォールがサービスのために
他のサーバーまたはデバイスと通信する方法を指定します。グローバル サービス ルート
を設定するには、以下の 2 つの方法があります。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 39
サービス設定の定義
– [すべてに管理インターフェイスを使用] オプションでは、外部サーバーとのファイア
ウォール サービス通信はすべて強制的に管理インターフェイス (MGT) を使用して行
われます。このオプションを選択する場合、ファイアウォールとサービスを提供する
サーバーまたはデバイスとの間の通信を許可するように MGT インターフェイスを設
定する必要があります。MGT インターフェイスを設定するには、[Device] > [セット
アップ] > [管理] に移動し、[管理インターフェイス設定] セクションを編集します。
– [カスタマイズ] オプションでは、サービスが応答時に宛先インターフェイスおよび宛
先 IP アドレスとして使用する、特定の送信元インターフェイスおよび送信元 IP アド
レスを設定することで、サービス通信を詳細に制御できます(たとえば、ファイア
ウォールと電子メール サーバー間のすべての電子メール通信に使用する特定の送信
元 IP / インターフェイスを設定し、Palo Alto 更新には別の送信元 IP / インターフェ
イスを使用できます)。同じ設定にカスタマイズする 1 つ以上のサービスを選択し、
[選択されたサービス ルートの設定] をクリックします。サービスは、表 10 に記載さ
れています。この表では、サービスが [グローバル] ファイアウォールまたは [仮想シ
ステム] に対して設定できるかどうか、およびサービスで IPv4/IPv6 送信元アドレス
がサポートされているかどうかがわかります。
[宛先] タブは、カスタマイズ可能な別のグローバル サービス ルート機能です。[宛先] タブ
は、[サービス ルートの設定] ウィンドウに表示されます。「宛先サービス ルート」を参照し
てください。
1 つの仮想システムのサービス ルートを指定するには、[仮想システム] タブを使用します。
場所(仮想システム)を選択し、[サービス ルートの設定] をクリックします。[グローバル
サービス ルート設定の継承] を選択するか、仮想システムのサービス ルートを [カスタマイ
ズ] します。設定をカスタマイズする場合、[IPv4] または [IPv6] を選択します。同じ設定に
カスタマイズする 1 つ以上のサービスを選択し、[選択されたサービス ルートの設定] をク
リックします。カスタマイズ可能なサービスは、表 10 を参照してください。
共有仮想マシンと特定の仮想システム間の DNS クエリを制御およびリダイレクトするため
に、DNS プロキシおよび DNS サーバー プロファイルを使用できます。
表 9 では、グローバル サービスについて説明します。
表 9. サービス設定
機能
説明
サービス
DNS
DNS サービスのタイプ([サーバー] または [DNS プロキシ オブジェクト])を選択しま
す。この設定は、FQDN アドレス オブジェクト、ログ、およびデバイス管理のサポートで
ファイアウォールによって開始されるすべての DNS クエリで使用されます。オプション
には、次の内容が含まれます。
• ドメイン名を解決するプライマリおよびセカンダリ DNS サーバー。
• ファイアウォールに設定された DNS プロキシ(DNS サーバーを設定する代わりの手段)。
プライマリ DNS
サーバー
プライマリ DNS サーバーの IP アドレスを入力します。このサーバーは、更新サーバーの
検出、ログの DNS エントリの解決、FDQN ベースのアドレス オブジェクトなどのために
ファイアウォールから DNS クエリを行う場合に使用されます。
セカンダリ DNS
サーバー
プライマリ サーバーを使用できない場合、使用するセカンダリ DNS サーバーの IP アドレ
スを入力します。(任意)
40 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
サービス設定の定義
表 9. サービス設定(続き)
機能
説明
更新サーバー
この設定は、Palo Alto Networks から更新ファイルをダウンロードするのに使用されるサー
バーの IP アドレスまたはホスト名を表します。現在値は、updates.paloaltonetworks.com で
す。テクニカル サポートから指示がない限り、このサーバー名は変更しないでください。
更新サーバー ID の
確認
このオプションが有効になっている場合、信頼された機関によって署名された SSL 証明書が
ソフトウェアまたはコンテンツ パッケージのダウンロード元のサーバーにあるかどうかを
ファイアウォールまたは Panorama が確認します。このオプションは、ファイアウォール /
Panorama サーバーと更新サーバー間の通信に新たなレベルのセキュリティを追加します。
[プロキシ サーバー] セクション
サーバー
デバイスがプロキシ サーバーを使用して Palo Alto Networks 更新サービスにアクセスする
必要がある場合は、サーバーの IP アドレスまたはホスト名を入力します。
ポート
プロキシ サーバーのポートを入力します。
ユーザー
サーバーへのアクセスに使用するユーザー名を入力します。
パスワード / パス
ワード再入力
プロキシ サーバーにアクセスするユーザーのパスワードを入力して確認します。
NTP
NTP サーバー アド
レス
ファイアウォールのクロックを同期するために使用する NTP サーバーの IP アドレスまた
はホスト名を入力します。(任意)プライマリ サーバーが使用不能になった場合、ファイ
アウォールのクロック同期に使用するセカンダリ NTP サーバーの IP アドレスまたはホス
ト名を入力します。(任意)
認証タイプ
NTP サーバーからの日時更新をファイアウォールが認証できるように指定できます。NTP
サーバーごとに、ファイアウォールで使用する認証のタイプを選択します。
• なし —(デフォルト)NTP 認証を無効にするにはこのオプションを選択します。
• 対称キー — ファイアウォールで対称キー交換(共有秘密)を使用して NTP サーバーの
日時更新を認証するには、このオプションを選択します。[対称キー] を選択した場合、
続けて次のフィールドに入力します。
– キー ID — キー ID (1 ~ 65534) を入力します。
– アルゴリズム — NTP 認証に使用するアルゴリズムを選択します(MD5 または SHA1)。
– 認証キー / 再入力 認証キー — 認証アルゴリズムの認証キーを入力し、確認します。
• 自動キー — ファイアウォールで自動キー(公開鍵暗号化)を使用して NTP サーバーの日
時更新を認証するには、このオプションを選択します。
表 10. サービス ルートの設定
サービス
仮想
システム
グローバル
IPv4
IPv6
IPv4
IPv6
CRL Status — 証明書失効リスト (CRL) サーバー。


—
—
DNS — Domain Name System サーバー。* 仮想システムの場
合、DNS は DNS サーバー プロファイルで実行されます。


*
*
電子メール — 電子メール サーバー。




Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 41
サービス設定の定義
表 10. サービス ルートの設定(続き)
サービス
仮想
システム
グローバル
IPv4
IPv6
IPv4
IPv6
HSM — ハードウェア セキュリティ モジュール サーバー。

—
—
—
Kerberos — Kerberos 認証サーバー。

—

—
LDAP — Lightweight Directory Access Protocol サーバー。




MDM — モバイル デバイス管理サーバー。


—
—
Netflow — ネットワーク トラフィック統計情報を収集するた
めの Netflow サーバー。




NTP — Network Time Protocol サーバー。


—
—
Palo Alto Updates — Palo Alto Networks からの更新。

—
—
—
Panorama — Palo Alto Networks Panorama サーバー。


—
—
プロキシ — ファイアウォールへのプロキシとして機能する
サーバー。


—
—
RADIUS — Remote Authentication Dial-in User Service サー
バー。




SNMP トラップ — Simple Network Management Protocol ト
ラップ サーバー。

—

—
Syslog — システム メッセージ ログ用のサーバー。




Tacplus — 認証、認可、課金 (AAA) サービスを行う
Terminal Access Controller Access-Control System Plus サー
バー。




UID Agent — User-ID エージェント サーバー。




URL Updates — Uniform Resource Locator (URL) 更新サー
バー。


—
—
VM モニター — 仮想マシン モニター サーバー。




Wildfire Private — プライベート Palo Alto Networks
WildFire サーバー。

—
—
—
Wildfire Public — パブリック Palo Alto Networks WildFire
サーバー。

—
—
—
[IPv4] タブまたは [IPv6] タブのいずれかで [グローバル] サービス ルートをカスタマイズす
る場合、使用可能なサービスのリストから選択して [選択されたサービス ルートの設定] をク
リックし、ドロップダウンから [送信元インターフェイス] および [送信元アドレス] を選択し
ます。[いずれか] に設定された送信元インターフェイスの場合、使用可能な任意のインター
フェイスから送信元アドレスを選択できます。[送信元アドレス] には、選択したインター
フェイスに割り当てられている IPv4 または IPv6 アドレスが表示されます。選択した IP アド
レスは、サービス トラフィックの送信元になります。宛先は各サービスを設定するときに設
定されるため、宛先アドレスを定義する必要はありません。たとえば、[Device] > [セットアッ
プ] > [サービス] タブで DNS サーバーを定義すると、DNS クエリの宛先が設定されます。
42 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
サービス設定の定義
[仮想システム] のサービス ルートを設定している場合、[グローバル サービス ルート設定の
継承] オプションを指定すると、仮想システムのすべてのサービスがグローバル サービス
ルート設定を継承します。または、[カスタマイズ] を選択し、IPv4 または IPv6、およびサー
ビスを選択して、[選択されたサービス ルートの設定] をクリックすることもできます。[送
信元インターフェイス] には、以下の 3 つの選択肢があります。
• グローバル設定の継承 — 選択したサービスがこれらのサービスのグローバル設定を継承
します。
• いずれか — 使用可能な任意のインターフェイス(特定の仮想システムのインターフェイ
ス)から送信元アドレスを選択できます。
• ドロップダウンのインターフェイス — サービスが設定されている場合、サーバーの応答
が、選択したインターフェイス(送信元インターフェイス)に送信されます。
[送信元アドレス] の場合、ドロップダウンからアドレスを選択します。サービスが選択され
ている場合、サーバーの応答がこの送信元アドレスに送信されます。
宛先サービス ルート
[Device] > [セットアップ] > [サービス] > [グローバル]
[グローバル] タブに戻り、[サービス ルートの設定]、[カスタマイズ] の順にクリックすると、
[宛先] タブが表示されます。宛先サービス ルートは、([仮想システム] タブではなく)[グ
ローバル] タブでしか使用できないため、個々の仮想システムのサービス ルートは、その仮想
システムに関連付けられていないルート テーブル エントリをオーバーライドできません。
宛先サービス ルートを使用して、サービスの [カスタマイズ] リスト(表 10)でサポートされ
ていない、カスタマイズされたサービスのリダイレクトを追加できます。宛先サービス ルー
トは、転送情報ベース (FIB) ルート テーブルをオーバーライドするようにルーティングを
セットアップする方法です。宛先サービス ルートの設定は、ルート テーブル エントリを
オーバーライドします。これらは、サービスに関連している場合もあれば、関連していない
場合もあります。
以下のような場合に [宛先] タブを使用します。
• サービスにアプリケーション サービス ルートがない場合。
• 1 つの仮想システム内で、複数の仮想ルーター、または仮想ルーターと管理ポートの組み
合わせを使用する場合。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 43
DNS サーバー プロファイルの定義
表 11 では、[宛先] のサービス ルートのフィールドが定義されています。
表 11. 宛先サービス ルートの設定
フィールド
説明
宛先
[宛先] の IP アドレスを入力します。
送信元インター
フェイス
宛先から返されるパケットに使用する [送信元インターフェイ
ス] を選択します。
送信元アドレス
宛先から返されるパケットに使用する [送信元アドレス] を選択し
ます。宛先アドレスのサブネットは入力する必要がありません。
DNS サーバー プロファイルの定義
[Device] > [サーバー プロファイル] > [DNS]
仮想システムの設定を簡略化するために、DNS サーバー プロファイルでは、設定されてい
る仮想システム、DNS サーバーの継承ソースまたはプライマリ / セカンダリ DNS アドレ
ス、および DNS サーバーに送信されるパケットで使用する送信元インターフェイスと送信
元アドレス(サービス ルート)を指定できます。送信元インターフェイスと送信元アドレス
は、DNS サーバーからの応答の宛先インターフェイスと宛先アドレスとして使用されます。
DNS サーバー プロファイルは仮想システム専用で、グローバルな共有の場所では使用でき
ません。
表 12 では、DNS サーバー プロファイル設定について説明します。
表 12. DNS サーバー プロファイル設定
フィールド
説明
名前
DNS サーバー プロファイルの名前を付けます。
場所
プロファイルを適用する仮想システムを選択します。
継承ソース
DNS サーバーのアドレスを継承しない場合、[なし] を選択しま
す。継 承 す る 場合は、プロファイルが設定を継承する DNS
サーバーを指定します。
継承ソース状態の
チェック
継承ソースの情報を確認する場合にクリックします。
プライマリ DNS
プライマリ DNS サーバーの IP アドレスを指定します。
セカンダリ DNS
セカンダリ DNS サーバーの IP アドレスを指定します。
サービス ルート
IPv4
DNS サーバーに送信されるパケットの送信元が IPv4 になるよ
うに指定する場合、このチェック ボックスをオンにします。
送信元インター
フェイス
DNS サーバーに送信されるパケットで使用する送信元インター
フェイスを指定します。
送信元アドレス
DNS サーバーに送信されるパケットの IPv4 送信元アドレスを
指定します。
サービス ルート
IPv6
DNS サーバーに送信されるパケットの送信元が IPv6 になるよ
うに指定する場合、このチェック ボックスをオンにします。
44 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
Content-ID 設定の定義
表 12. DNS サーバー プロファイル設定(続き)
フィールド
説明
送信元インター
フェイス
DNS サーバーに送信されるパケットで使用する送信元インター
フェイスを指定します。
送信元アドレス
DNS サーバーに送信されるパケットの IPv6 送信元アドレスを
指定します。
Content-ID 設定の定義
[Device] > [セットアップ] > [Content-ID]
[Content-ID] タブを使用して、URL フィルタリング、データ保護、およびコンテナ ページの
設定を定義します。
表 13. Content-ID 設定
機能
説明
URL フィルタリング
ダイナミック URL キャッ
シュのタイムアウト
[編集] をクリックし、タイムアウト値(時間単位)を入力します。この
値はダイナミック URL フィルタリングで使用され、この値により、エ
ントリが URL フィルタリング サービスから返された後にキャッシュに
保持される期間が決定します。このオプションは、BrightCloud データ
ベースのみを使用する URL フィルタリングに適用されます。URL フィ
ルタリングの詳細は、「URL フィルタリング プロファイル」を参照し
てください。
URL コンティニュー
タイムアウト
ユーザーの [continue] アクションのタイムアウト時間を分単位で指定し
ます(範囲は 1 ~ 86400、デフォルトは 15)。この時間に達する前に同
じカテゴリの URL に対して [continue] をもう一度押す必要があります。
URL 管理オーバー
ライド タイムアウト
ユーザーが管理オーバーライド パスワードを入力したあとタイムアウト
するまでの時間を分単位で指定します(範囲は 1 ~ 86400、デフォルト
は 900)。この時間に達する前に同じカテゴリの URL に対して管理オー
バーライド パスワードを再入力する必要があります。
URL 管理ロックアウト
タイムアウト
ユーザーが URL 管理オーバーライド パスワードの試行が 3 回失敗した
ときに試行からロックアウトされる時間を分単位で指定します(範囲は
1 ~ 86400、デフォルトは 1800)。
PAN-DB サーバー
ネットワーク上のプライベート PAN-DB サーバーの IPv4 アドレス、
IPv6 アドレス、または FQDN を指定します。最大 20 エントリを入力で
きます。
(プライベート PAN-DB
サーバーに接続する場合
に必須)
Palo Alto Networks
デフォルトでは、ファイアウォールはパブリック PAN-DB クラウドに
接続します。プライベート PAN-DB ソリューションはエンタープライ
ズ向けで、ファイアウォールはパブリック クラウドの PAN-DB サー
バーに直接アクセスできません。ファイアウォールは、URL データ
ベース、URL 更新、URL 検索で Web ページを分類できるように、この
PAN-DB サーバーのリストに含まれるサーバーにアクセスします。
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 45
Content-ID 設定の定義
表 13. Content-ID 設定(続き)
機能
説明
URL 管理オーバー
ライド
URL 管理オーバー
ライドの設定
URL 管理オーバーライドを設定する仮想システムごとに、[追加] をク
リックし、URL フィルタリング プロファイルでページがブロックさ
れ、[オーバーライド] アクションが指定されている場合に適用される設
定を指定します(詳細は、「URL フィルタリング プロファイル」を参
照してください)。
• 場所 — ドロップダウン リストから仮想システムを選択します(マルチ
vsys ファイアウォールのみ)。
• パスワード / パスワード再入力 — ブロック ページをオーバーライドす
るためにユーザーが入力する必要があるパスワードを入力します。
• SSL/TLS サービス プロファイル — 指定したサーバーを介してリダイ
レクトするときに通信を保護するための証明書および許可された TLS
プロトコル バージョンを指定するには、SSL/TLS サービス プロファ
イルを選択します。詳細は、「SSL/TLS サービス プロファイルの管
理」を参照してください。
• モード — ブロック ページが透過的に配信されるか(ブロックされた
Web サイトから発信したように見える)、指定したサーバーにユー
ザーをリダイレクトするかを決定します。[リダイレクト] を選択した
場合、リダイレクトするための IP アドレスを入力します。
エントリを削除するには、
をクリックします。
Content-ID 設定
拡張パケット
キャプチャ長
アンチスパイウェアおよび脆弱性防御プロファイルで拡張キャプチャ オ
プションが有効になっている場合にキャプチャするパケット数を設定し
ます。範囲は 1 ~ 50、デフォルトは 5 です。
復号化されたコンテンツ
の転送を許可
ファイアウォールで外部のサービスに復号化されたコンテンツの転送を
許可するには、このチェック ボックスをオンにします。これを選択した
場合、ファイアウォールは、ポート ミラーリング時または分析用の
WildFire ファイルの送信時に復号化されたコンテンツを転送できます。
マルチ仮想システム機能が有効になっているデバイスの場合、このオプ
ションは各仮想システムで有効になります。各仮想システムでこの設定
を有効にするには、[Device] > [仮想システム] タブに移動します。
46 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
Content-ID 設定の定義
表 13. Content-ID 設定(続き)
機能
説明
X-Forwarded-For ヘッダ
User-ID で X-ForwardedFor ヘッダを使用
通常であればユーザーの IP アドレスを隠すプロキシ サーバーとインター
ネット間にファイアウォールがデプロイされている場合に、User-ID
サービスが Web サービスのクライアント要求の X-Forwarded-For (XFF)
ヘッダーから IP アドレスを読み取るように指定するには、このチェッ
ク ボックスをオンにします。User-ID サービスは、ポリシーで参照され
るユーザー名を使用して、読み取る IP アドレスを照合します。そのた
め、これらのポリシーを使用して、関連付けられているユーザーやグ
ループのアクセスを制御してログに記録できます。
ヘッダーに無効な IP アドレスが含まれている場合、User-ID サービスは
その IP アドレスをポリシーのグループ マッピング参照のユーザー名と
して使用します。ヘッダーに複数の IP アドレスが含まれている場合、
User-ID サービスは一番左側のエントリを使用します。
URL ログには、[送信元ユーザー] フィールドの一致したユーザー名が表
示されます。User-ID サービスが照合を実行できない場合や、IP アドレ
スに関連付けられているゾーンで User-ID サービスが有効になっていな
い 場合、[ 送信元ユーザー] フィールドには、x-fwd-for というプレ
フィックスが付いた XFF IP アドレスが表示されます。
X-Forwarded-For ヘッダ
の除去
ファイアウォールがインターネットとプロキシ サーバー間にデプロイさ
れている場合、Web サービスを要求しているクライアントの IP アドレス
が 含まれる X-Forwarded-For (XFF) ヘッダーを削除するには、この
チェック ボックスをオンにします。ファイアウォールによって要求を転
送する前にヘッダーの値がゼロに設定されるため、転送されるパケット
には内部送信元 IP 情報が含まれなくなります。
注:このチェック ボックスをオンにしても、ポリシーのユーザー属性で
は XFF ヘッダーの使用が無効になりません(「User-ID で X-ForwardedFor ヘッダを使用」を参照)。ファイアウォールは、ユーザー属性に使
用した後でのみ XFF 値をゼロに設定します。
コンテンツ ID 機能
データ保護の管理
クレジットカード番号や社会保障番号など重要な情報を含むログへのア
クセスに対し拡張防御を追加します。
[データ保護の管理] をクリックし、以下を設定します。
• 新しいパスワードを設定するには(まだ設定していない場合)、[ パス
ワードの設定] をクリックします。パスワードを入力し、確認のため
に再入力します。
• パスワードを変更するには、[パスワードの変更] をクリックします。現
在のパスワードを入力し、新しいパスワードを入力し、確認のために
新しいパスワードを再入力します。
• パスワードと保護されていたデータを削除するには、[ パスワードの削
除] をクリックします。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 47
WildFire の設定
表 13. Content-ID 設定(続き)
機能
説明
コンテナ ページ
コンテンツ タイプ(たとえば、application/pdf、application/soap+xml、
application/xhtml+、text/html、text/plain、text/xml)に 基 づ い て
ファイアウォールで追跡または記録する URL のタイプを指定するに
は、これらの設定を使用します。[場所] ドロップダウン リストから選択
する仮想システムごとにコンテナ ページが設定されます。仮想システム
に明示的なコンテナ ページが定義されていない場合、デフォルトのコン
テンツ タイプが使用されます。
[追加] をクリックし、コンテンツ タイプを入力または選択します。
仮想システムの新しいコンテンツ タイプを追加すると、コンテンツ タ
イプのデフォルトのリストがオーバーライドされます。仮想システムに
関連付けられているコンテンツ タイプがない場合、コンテンツ タイプ
のデフォルトのリストが使用されます。
WildFire の設定
[Device] > [セットアップ] > [WildFire]
[WildFire] タブを使用して、ファイアウォールに WildFire を設定します。WildFire クラウド
と WildFire アプライアンスの両方を使用して、ファイル分析を実行できます。レポートされ
るファイル サイズ制限とセッション情報を設定することもできます。WildFire 設定を入力し
たら、[WildFire 分析] プロファイル([Objects] > [セキュリティ プロファイル] > [WildFire
分析])を作成して、WildFire クラウドまたは WildFire アプライアンスに転送するファイル
を指定できます。
復号化されたコンテンツを WildFire に転送するには、[Device] > [セット
アップ] > [Content-ID] > [URL フィルタリング] 設定ボックスで [復号化さ
れたコンテンツの転送を許可] チェック ボックスをオンにする必要があり
ます。
表 14. ファイアウォール上の WildFire 設定
フィールド
説明
一般設定
WildFire パブリック ク
ラウド
米国でホストされている WildFire クラウドを使用してファイルを分析す
るには、「wildfire.paloaltonetworks.com」と入力します。
日本でホストされている WildFire クラウドを使用するには、
「wildfire.paloaltonetworks.jp」と入力します。安全なファイルを米国の
クラウド サーバーに転送したくない場合は、日本のサーバーを使用するこ
ともできます。日本のクラウドに送信したファイルが有害と見なされた場
合、そのファイルは日本のクラウド システムから米国のサーバーに転送さ
れ、再度分析されてシグネチャが生成されます。所在地が日本の場合、サ
ンプル送信とレポート生成の応答時間が速くなる可能性があります。
WildFire プライベート
クラウド
ファイルの分析に使用する WildFire アプライアンスの IP アドレスまたは
FQDN を指定します。
48 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
WildFire の設定
表 14. ファイアウォール上の WildFire 設定(続き)
フィールド
説明
最大ファイル サイズ
(MB)
WildFire サーバーに転送される最大ファイル サイズを指定します。指定
可能な範囲は以下のとおりです。
• flash (Adobe Flash) — 1 ~ 10MB、デフォルトは 5MB
• apk(Android アプリケーション)— 1 ~ 50MB、デフォルトは 10MB
• pdf(ポータブル ドキュメント フォーマット)— 100KB ~ 1000KB、デ
フォルトは 200KB
• jar(パッケージ化された Java クラス ファイル)— 1 ~ 10MB、デフォ
ルトは 1MB
• pe (Portable Executable) — 1 ~ 10MB、デフォルトは 2MB
• ms-office (Microsoft Office) — 200KB ~ 10000KB、デフォルトは 500KB
注:上記にリストされた値は、PAN-OS のバージョンやインストールされ
ているコンテンツ リリース バージョンに応じて異なる場合があります。
有効な範囲を表示するには、[サイズ制限] フィールドをクリックします。
ポップアップが開き、使用可能な範囲とデフォルト値が表示されます。
安全なファイルの
レポート
このオプションを有効にすると(デフォルトでは無効)、WildFire で分
析され、安全と判定されたファイルが、[Monitor] > [WildFire への送信]
ログに表示されます。
注:ファイアウォールでこのオプションが有効な場合でも、WildFire で
安全と見なされた電子メール リンクは、処理されるリンクの量が多くな
る可能性があるため、ログに記録されません。
レポートのグレイ
ウェア ファイル
このオプションを有効にすると(デフォルトでは無効)、WildFire で分析
され、グレイウェアと判定されたファイルが、[Monitor] > [WildFire へ
の送信] ログに表示されます。
注:ファイアウォールでこのオプションが有効な場合でも、WildFire で
グレイウェアと判定された電子メール リンクは、処理されるリンクの量
が多くなる可能性があるため、ログに記録されません。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 49
セッション設定の定義
表 14. ファイアウォール上の WildFire 設定(続き)
フィールド
説明
セッション情報
送信項目設定
設定
WildFire サーバーに転送する情報を指定します。デフォルトでは、すべ
てが選択されています。
• 送信元 IP — 疑わしいファイルを送信した送信元 IP アドレス。
• 送信元ポート — 疑わしいファイルを送信した送信元ポート。
• 宛先 IP — 疑わしいファイルの宛先 IP アドレス。
• 宛先ポート — 疑わしいファイルの宛先ポート。
• 仮想システム — 見込まれるマルウェアを識別したファイアウォール 仮
想システム。
• アプリケーション — ファイルの送信に使用されたユーザー アプリケー
ション。
• ユーザー — ターゲット対象のユーザー名。
• URL — 疑わしいファイルに関連付けられた URL。
• ファイル名 — 送信されたファイルの名前。
• 電子メール送信者 — SMTP および POP3 トラフィックで悪意のある電
子メール リンクが検出されると、送信者名が WildFire ログと WildFire
の詳細レポートに表示されます。
• 電子メール受信者 — SMTP および POP3 トラフィックで悪意のある電
子メール リンクが検出されると、受信者名が WildFire ログと WildFire
の詳細レポートに表示されます。
• 電子メール件名 — SMTP および POP3 トラフィックで悪意のある電子
メール リンクが検出されると、電子メールの件名が WildFire ログと
WildFire の詳細レポートに表示されます。
セッション設定の定義
[Device] > [セットアップ] > [セッション]
[セッション] タブを使用して、セッションのエイジアウト時間、復号化証明書設定、およびグ
ローバルなセッション関連の設定(IPv6 トラフィックのファイアウォール設定、ポリシー変
更時の既存のセッションへのセキュリティ ポリシーの再マッチングなど)を設定します。こ
のタブには、以下のセクションがあります。
• 「セッション設定」
• 「セッション タイムアウト」
• 「復号化設定:証明書失効チェック」
• 「復号化設定:フォワード プロキシ サーバーの証明書設定」
• 「VPN セッション設定」
50 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
セッション設定の定義
セッション設定
表 15. セッション設定
フィールド
説明
セッションの
再マッチング
ファイアウォールで、新しく設定されたセキュリティ ポリシーをすでに
進行中のセッションに適用するには、[編集] をクリックし、[セッション
の再マッチング] を選択します。この機能はデフォルトで有効になってい
ます。この設定が無効な場合、ポリシー変更は、ポリシー変更がコミット
された後に開始されたセッションにのみ適用されます。
たとえば、Telnet を許可する関連ポリシーが設定されているときに Telnet
セッションを開始し、その後、Telnet を拒否するポリシー変更をコミット
した場合、ファイアウォールは変更されたポリシーを現在のセッションに
適用してブロックします。
ICMPv6 トークン
バケット サイズ
ICMPv6 エラー メッセージの帯域制限に対応するバケット サイズを入力
します。トークン バケット サイズは、ICMPv6 エラー パケットのバース
トをどの程度許容するかを制御するトークン バケット アルゴリズムのパ
ラメータです(範囲は 10 ~ 65535 パケット、デフォルトは 100)。
ICMPv6 エラー
パケット速度
ファイアウォール全体として 1 秒間に許容される ICMPv6 エラー パケッ
トの平均数を入力します(範囲は 10 ~ 65535 パケット / 秒、デフォルト
は 100 パケット / 秒)。この値はすべてのインターフェイスに適用されま
す。ファイアウォールが ICMPv6 エラー パケット速度に達した場合、
ICMPv6 トークン バケットを使用して、ICMPv6 エラー メッセージのス
ロットリングが有効になります。
IPv6 ファイアウォール
の有効化
IPv6 のファイアウォール機能を有効にするには、[編集] をクリックし
て、[IPv6 ファイアウォール設定] チェック ボックスをオンにします。
IPv6 が有効になっていないと、IPv6 ベースの設定はすべて無視されま
す。インターフェイスで IPv6 が有効な場合でも、IPv6 が機能するために
は [IPv6 ファイアウォール設定] 設定も有効にする必要があります。
Jumbo Frame を有効に
する
グローバル MTU
Ethernet インターフェイスでジャンボ フレームのサポートを有効にする
場合に選択します。ジャンボ フレームの最大伝送単位 (MTU) は 9192 バ
イトで、特定のプラットフォームで使用できます。
• [Jumbo Frame を有効にする] をオフにすると、[グローバル MTU] がデ
フォルトの 1500 バイトになり、範囲は 576 ~ 1500 バイトになります。
• [Jumbo Frame を有効にする] をオンにすると、[グローバル MTU] がデ
フォルトの 9192 バイトになり、範囲は 9192 ~ 9216 バイトになります。
ジャンボ フレームが有効で、インターフェイスに具体的な MTU が設定さ
れていない場合、それらのインターフェイスでは自動的にジャンボ フ
レームのサイズが継承されます。そのため、ジャンボ フレームを有効に
する前に、ジャンボ フレームを使用しないインターフェイスがある場
合、その MTU を 1500 バイトか別の値に設定する必要があります。イン
ターフェイスの MTU([Network] > [インターフェイス] > [Ethernet])を
設定する方法については、「レイヤー 3 インターフェイス設定」を参照し
てください。
NAT64 IPv6 最小MTU
Palo Alto Networks
IPv6 変換済みトラフィックのグローバル MTU を入力します。デフォルト
の 1280 バイトは、IPv6 トラフィックの標準の最小 MTU に基づきます。
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 51
セッション設定の定義
表 15. セッション設定(続き)
フィールド
説明
NAT オーバーサブ
スクリプション率
DIPP NAT オーバーサブスクリプション率を選択します。これは、同じ変
換済み IP アドレスとポートのペアを同時に使用できる回数です。オーバー
サブスクリプション率を小さくすると、送信元デバイス変換数が少なくな
りますが、提供される NAT ルールのキャパシティは大きくなります。
• プラットフォームのデフォルト — オーバーサブスクリプション率の明示
的な設定はオフになり、プラットフォームのデフォルトのオーバーサブ
スクリプション率が適用されます。プラットフォームのデフォルトの率
に つ い て は、https://www.paloaltonetworks.com/products/productselection.html を参照してください。
• 1x — 1 回。オーバーサブスクリプションは行われず、変換後の IP アド
レスとポートのペアは、それぞれ一時点に 1 回のみ使用できます。
• 2x — 2 回。
• 4x — 4 回。
• 8x — 8 回。
ICMP 到達不能
パケット率 / 秒
ファイアウォールが 1 秒間に送信できる ICMP 到達不能応答の最大数を定
義します。この制限は、IPv4 パケットと IPv6 パケットで共有されます。
デフォルト値は 200 メッセージ / 秒で、範囲は 1 ~ 65535 メッセージ / 秒
です。
セッション保持時間
自動短縮
アイドル状態のセッションのエージング アウトの加速を有効にします。
エージングの加速を有効にして、しきい値 (%) と倍率を指定するには、こ
のチェック ボックスをオンにします。
セッション テーブルが [セッション保持時間短縮の開始しきい値](% フ
ル)に達すると、PAN-OS により [セッション保持時間短縮倍率] がすべ
てのセッションのエージング計算に適用されます。デフォルトの短縮倍率
は 2 で、保持時間短縮が設定されているアイドル時間の 2 倍の速さで行わ
れます。設定されているアイドル時間を 2 で除算すると、タイムアウト時
間が 1/2 に短縮されます。セッションの保持時間短縮を計算するため
に、PAN-OS では、(そのセッション タイプに)設定されているアイド
ル時間を短縮倍率で除算して、短縮されたタイムアウトを決定します。
たとえば、短縮倍率が 10 の場合、通常は 3600 秒後にタイムアウトする
セッションが、10 倍速い 360 秒(1/10 の時間)でタイムアウトします。
セッション タイムアウト
セッション タイムアウトには、ファイアウォール上でセッションが非アクティブになってか
ら PAN-OS がそのセッションを保持する期間を定義します。デフォルトでは、プロトコルの
セッション タイムアウト期間が切れると、PAN-OS がセッションを閉じます。
ファイアウォールでは、特に TCP、UDP、および ICMP セッションに対して複数のタイムア
ウトを定義できます。他のすべてのタイプのセッションには、デフォルトのタイムアウトが
適用されます。これらのタイムアウトはすべてグローバルです。つまり、ファイアウォール
上にあるそのタイプのすべてのセッションに適用されます。
52 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
セッション設定の定義
グローバル設定に加え、[Objects] > [アプリケーション] タブでは個々のアプリケーションのタ
イムアウトを柔軟に定義できます。そのアプリケーションで使用可能なタイムアウトは、[オ
プション] ウィンドウに表示されます。ファイアウォールは、アプリケーションのタイムア
ウトを確立済み状態のアプリケーションに適用します。アプリケーションのタイムアウトが
設定されると、グローバルな TCP または UDP セッション タイムアウトがオーバーライドさ
れます。
このセクションのオプションを使用して、TCP、UDP、および ICMP 固有のグローバル セッ
ション タイムアウト設定と、その他すべてのタイプのセッションのグローバル セッション
タイムアウト設定を定義します。
デフォルトは、最適値です。ただし、ネットワークのニーズに合わせてこれらの値を変更で
きます。低すぎる値を設定すると、わずかなネットワーク遅延に反応してファイアウォール
との接続の確立に失敗する可能性があります。高すぎる値を設定すると、エラーの検出が遅
れる可能性があります。
表 16. セッション タイムアウト
フィールド
説明
デフォルト
TCP/UDP 以外、または ICMP 以外のセッションが応答なしで開いた状態
を維持できる最大時間。
デフォルトは 30 秒、範囲は 1 ~ 1599999 秒です。
タイムアウトの破棄
– デフォルトの破棄
タイムアウトの破棄は、PAN-OS によって、ファイアウォールに設定さ
れたセキュリティ ポリシーに基づいてセッションが拒否されるときに適
用されます。
TCP/UDP 以外のトラフィックのみに適用されます。
デフォルトは 60 秒、範囲は 1 ~ 1599999 秒です。
– TCP の破棄
TCP トラフィックに適用されます。
デフォルトは 90 秒、範囲は 1 ~ 1599999 秒です。
– UDP の破棄
UDP トラフィックに適用されます。
デフォルトは 60 秒、範囲は 1 ~ 1599999 秒です。
ICMP
ICMP セッションが ICMP 応答なしで開いた状態を維持できる最大時間。
デフォルトは 6 秒、範囲は 1 ~ 1599999 秒です。
スキャン
任意のセッションが非アクティブと見なされてから開いた状態を維持する最
大時間。PAN-OS では、アプリケーションは、そのアプリケーションに定
義されたトリクルしきい値を超えると非アクティブ状態と見なされます。
デフォルトは 10 秒、範囲は 5 ~ 30 秒です。
TCP
TCP セッションが確立済み状態になってから(ハンドシェークが完了
し、必要に応じてデータ伝送が開始してから)応答なしで開いた状態を維
持する最大時間。
デフォルトは 3600 秒、範囲は 1 ~ 1599999 秒です。
TCP ハンドシェーク
SYN-ACK を受信してからそれに続く ACK を送信してセッションを完全
に確立するまでの最大時間。
デフォルトは 10 秒、範囲は 1 ~ 60 秒です。
TCP 初期設定
SYN を受信してから SYN-ACK を送信して TCP ハンドシェーク タイマー
を開始するまでの最大時間。
デフォルト:5 秒、範囲は 1 ~ 60 秒です。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 53
セッション設定の定義
表 16. セッション タイムアウト(続き)
フィールド
説明
TCP Half Closed
最初の FIN を受信してから、2 つ目の FIN または RST を受信するまでの
最大時間。
デフォルト:120 秒、範囲は 1 ~ 604800 秒です。
TCP Time Wait
2 つ目の FIN または RST を受信してからの最大時間。
デフォルト:15 秒、範囲は 1 ~ 600 秒です。
Unverified RST
検証できない RST(RST が TCP ウィンドウ内にあるが予期しないシーケ
ンス番号が付けられているか、RST が非対称パスから送信されている)を
受信してからの最大時間。
デフォルト:30 秒、範囲は 1 ~ 600 秒です。
UDP
UDP セッションが UDP 応答なしで開いた状態を維持する最大時間。
デフォルトは 30 秒、範囲は 1 ~ 1599999 秒です。
キャプティブ ポータル
キャプティブ ポータル Web フォームの秒単位の認証セッション タイムア
ウト(デフォルトは 30、範囲は 1 ~ 1,599,999)。要求されたコンテンツ
にユーザーがアクセスするには、このフォームに認証資格情報を入力して
正常に認証される必要があります。
アイドル タイマー、ユーザーの再認証が必要になるまでの有効期限などの
その他のキャプティブ ポータル タイムアウトを定義するには、[Device] >
[ユーザー ID] > [キャプティブ ポータルの設定] タブを使用します。「[キャ
プティブ ポータルの設定] タブ」を参照してください。
復号化設定:証明書失効チェック
[セッション] タブの [復号化設定] セクションで、[証明書失効チェック] を選択して以下の
テーブルに説明されているパラメータを設定します。
表 17. セッション機能:証明書失効チェック
フィールド
説明
有効化:CRL
証明書無効リスト (CRL) 方式を使用して証明書の失効状態を検証するに
は、このチェック ボックスをオンにします。
オンライン証明書状態プロトコル (OCSP) も有効にしている場合、ファイ
アウォールは最初に OCSP を試行し、OCSP サーバーが使用できない場合
は CRL 方式を試行します。
復号化証明書についての詳細は、「復号ポリシー」を参照してください。
受信の有効期限:CRL
証明書失効状態を検証するために CRL 方式を有効にしている場合、ファ
イアウォールが CRL サービスからの応答を待機する期間(1 ~ 60 秒、デ
フォルトは 5 秒)を指定します。
有効化:OCSP
OCSP を使用して証明書の失効状態を検証するには、このチェック ボッ
クスをオンにします。
受信の有効期限:
OCSP
証明書失効状態を検証するために OCSP 方式を有効にしている場合、ファ
イアウォールが OCSP レスポンダからの応答を待機する期間(1 ~ 60 秒、
デフォルトは 5 秒)を指定します。
54 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
セッション設定の定義
表 17. セッション機能:証明書失効チェック(続き)
フィールド
説明
証明書の状態が不明な
セッションをブロック
します
OCSP または CRL サービスから証明書の失効状態が不明と返された場
合、SSL/TLS セッションをブロックするには、チェックボックスをオンに
します。その他の場合は、ファイアウォールはセッションを続行します。
証明書の状態のチェッ
クがタイムアウトした
セッションをブロック
します
ファイアウォールが CRL または OCSP 要求のタイムアウトを登録した
ら、SSL/TLS セッションをブロックするには、チェックボックスをオンに
します。その他の場合は、ファイアウォールはセッションを続行します。
証明書の有効期限
ファイアウォールが任意の証明書状態サービスからの応答を待機する期間
(1 ~ 60 秒、デフォルトは 5 秒)を指定します。この期間が終了する
と、必要に応じて定義したセッション ブロック ロジックが適用されま
す。[証明書の有効期限] は、以下のように OCSP/CRL の [受信の有効期
限] に関連付けられます。
• OCSP および CRL の両方を有効化する場合 — ファイアウォールは、[証
明書の有効期限] の値または 2 つの [受信の有効期限] の値の合計のいず
れか小さい方の期間の経過後に、要求のタイムアウトを登録します。
• OCSP のみを有効化する場合 — ファイアウォールは、[証明書の有効期限]
の値または OCSP の [受信の有効期限] の値のいずれか小さい方の期間の
経過後に、要求のタイムアウトを登録します。
• CRL のみを有効化する場合 — ファイアウォールは、[証明書の有効期限]
値または CRL の [受信の有効期限] 値のいずれか小さい方の期間の経過
後に、要求のタイムアウトを登録します。
復号化設定:フォワード プロキシ サーバーの証明書設定
[セッション] タブの [復号化設定] セクションで、[フォワード プロキシ サーバーの証明書設定]
を選択して、ファイアウォールが SSL/TLS フォワード プロキシ復号化のためのセッション
を確立するときにクライアントに提示する証明書の [鍵のサイズ] とハッシュ アルゴリズムを
設定します。以下の表で、パラメータについて説明します。
表 18. セッション機能:フォワード プロキシ サーバーの証明書設定
フィールド
説明
宛先ホストにより定義
宛先サーバーが使用する鍵に基づいて PAN-OS で証明書を生成する場合
は、このオプションを選択します。
• 宛先サーバーが RSA 1024 ビット鍵を使用する場合、PAN-OS はその鍵の
サイズと SHA-1 ハッシュ アルゴリズムを使用して証明書を生成します。
• 宛先サーバーが 1024 ビットよりも大きい鍵サイズを使用する場合(2048
ビットや 4096 ビットなど)、PAN-OS は 2048 ビット鍵と SHA-256 ア
ルゴリズムを使用する証明書を生成します。
これがデフォルトの設定です。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 55
セッション設定の定義
表 18. セッション機能:フォワード プロキシ サーバーの証明書設定(続き)
フィールド
説明
1024 ビット RSA
宛先サーバーが使用する鍵のサイズに関係なく、PAN-OS で RSA 1024 ビッ
ト鍵と SHA-1 アルゴリズムを使用する証明書を生成する場合は、このオ
プションを選択します。2013 年 12 月 31 日以降、公開認証局 (CA) と一般
的なブラウザでは、2048 ビット未満の鍵を使用する X.509 証明書のサ
ポートが制限されています。将来的には、このような鍵を提示すると、セ
キュリティ設定に応じてブラウザがユーザーに警告を表示したり、SSL/
TLS セッション全体をブロックしたりする可能性があります。
2048 ビット RSA
宛先サーバーが使用する鍵のサイズに関係なく、PAN-OS で RSA 2048 ビッ
ト鍵と SHA-256 アルゴリズムを使用する証明書を生成する場合は、この
オプションを選択します。公開 CA と一般的なブラウザでは、1024 ビッ
ト鍵よりも強固なセキュリティを提供する 2048 ビット鍵がサポートされ
ています。
VPN セッション設定
[セッション] タブの [VPN セッション設定] セクションで、VPN セッションを確立するファ
イアウォールに関連するグローバル設定を指定します。以下の表では、この設定について説
明します。
表 19 VPN セッション設定
フィールド
Cookie アクティ
ベーションの
しきい値
説明
ファイアウォールごとの IKEv2 ハーフオープン IKE SA の最大許容数を指定
します。これを超えると、Cookie の検証がトリガーされます。ハーフオープ
ン IKE SA の数が Cookie アクティベーションのしきい値を超えると、レスポ
ンダが Cookie を要求し、イニシエータは Cookie が含まれる IKE_SA_INIT
で応答する必要があります。Cookie の検証に成功すると、別の SA セッショ
ンを開始できます。
値を 0 にすると、Cookie の検証が常にオンになります。
[Cookie アクティベーションのしきい値] は、グローバル ファイアウォール設
定で、[ハーフ オープン SA の最大数] 設定(これもグローバル)を超えない
ようにする必要があります。
範囲:0 ~ 65535。デフォルト:500。
ハーフ オープン SA
の最大数
応答を取得せずにイニシエータがファイアウォールに送信できる IKEv2 ハー
フオープン IKE SA の最大数を指定します。最大数に達すると、ファイア
ウォールは新しい IKE_SA_INIT パケットに応答しなくなります。範囲:1 ~
65535。デフォルト:65535。
キャッシュされた
証明書の最大数
ファイアウォールがキャッシュできる、HTTP 経由で取得したピア認証局 (CA)
証明書の最大数を指定します。この値は、IKEv2 ハッシュおよび URL 機能で
のみ使用されます。範囲:1 ~ 4000。デフォルト:500。
56 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
設定ファイルの比較
設定ファイルの比較
[Device] > [設定監査]
設定ファイルを表示および比較するには、[設定監査] ページを使用します。ドロップダウン
リストから、比較する設定を選択します。コンテキストに含める行数を選択して、[実行] を
クリックします。
以下の図のように、差異が強調された状態で設定が表示されます。
ページには、ドロップダウン リストの隣に
および
ボタンもあります。2 つの連続し
た設定バージョンを比較するときに有効になります 。をクリックして保存された設定の
前のセットに比較される設定を変更し、
をクリックして保存された設定の次のセットに
比較される設定を変更します。
図 1. 設定の比較
Panorama では、Panorama インターフェイスまたはローカルのファイアウォールのどちら
で変更を行っても、各管理対象ファイアウォールでコミットされたすべての設定ファイルが
自動的に保存されます。
ライセンスのインストール
[Device] > [ライセンス]
すべてのファイアウォール プラットフォームでライセンスをアクティベーションするには、
このページを使用します。Palo Alto Network からサブスクリプションを購入すると、1 つ以
上のライセンス キーを有効にするために認証コードが送信されます。
VM-Series ファイアウォールの場合、このページで仮想マシン (VM) を非アクティブにするこ
ともできます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 57
ライセンスのインストール
以下のアクションは、[ライセンス] ページで実行できます。
• ライセンス サーバーからライセンス キーを取得:サポート ポータル上で認証コードを
使ってアクティベーションした購入済みサブスクリプションを有効にするには、[ライセ
ンス サーバーからライセンス キーを取得] をクリックします。
• 認証コードを使用した機能のアクティベーション:サポート ポータル上で認証コードを
使ってアクティベーションされていない購入済みサブスクリプションを有効にするに
は、[認証コードを使用した機能のアクティベーション] をクリックします。認証コード
を入力し、[OK] をクリックします。
• ライセンス キーの手動アップロード:ファイアウォールがライセンス サーバーに接続され
ておらず、ライセンス キーを手動でアップロードする場合は、以下の手順を実行します。
a. https://support.paloaltonetworks.com からライセンス キー ファイルをダウンロー
ドし、ローカルに保存します。
b. [ライセンス キーの手動アップロード] をクリックし、[参照] をクリックしてファイ
ルを選択し、[OK] をクリックします。
URL フィルタリングのライセンスを有効にするには、ライセンスをインストール
し、データベースをダウンロードし、[アクティベーション] をクリックする必要が
あります。URL フィルタリングに PAN-DB を使用している場合、[ダウンロード]
をクリックして初期シード データベースを取得してから [アクティベーション] を
クリックする必要があります。
CLI で request url-filtering download paloaltonetworks region <region name> を実
行することもできます。
• VM の非アクティブ化:このオプションは、永久ライセンスおよび期間ベースのライセン
スをサポートする Bring Your Own License モデルの VM-Series ファイアウォールで使用
できます。オンデマンド ライセンス モデルでは、この機能はサポートされていません。
VM-Series ファイアウォールのインスタンスが必要なくなった場合、[VM の非アクティ
ブ化] をクリックします。このオプションを使用すると、すべてのアクティブなライセ
ンス(サブスクリプション ライセンス、VM キャパシティ ライセンス、およびサポート
資格)を解放できます。ライセンスのクレジットはアカウントに戻るため、必要に応じ
て VM-Series ファイアウォールの新しいインスタンスにライセンスを適用できます。
ライセンスを非アクティブにすると、ファイアウォールの機能は無効になり、ライセン
スのない状態になりますが、設定はそのまま維持されます。
58 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ライセンスのインストール
– VM-Series ファイアウォールからインターネットに直接アクセスできない場合、[手動
で続行] をクリックします。ファイアウォールは、トークン ファイルを生成します。[ラ
イセンス トークンのエクスポート] リンクをクリックし、トークン ファイルをローカル
コンピュータに保存して、ファイアウォールを再起動します。Palo Alto Networks
Support ポータルにログインし、[Assets] > [Devices] ページにアクセスして [Deactivate
VM] リンクをクリックし、このトークン ファイルを使用して非アクティブ化プロセス
を完了します。
– VM-Series ファイアウォールでライセンスを非アクティブにする場合、[続行] をクリッ
クします。ライセンスの非アクティブ化プロセスを完了するには、[今すぐ再起動] を
クリックします。
– キャンセルして [VM の非アクティブ化] ウィンドウを閉じるには、[キャンセル] をク
リックします。
ライセンス失効時の動作
ライセンス / サブスクリプションの更新に関する詳細は、Palo Alto Networks のオペレー
ション チームまたはセールスまでお問い合わせください。
• ファイアウォールの脅威防御サブスクリプションが期限切れになると、次の状況が発生
します。
– サブスクリプションの期限が切れたことを示すシステム ログ エントリが生成されます。
– すべての脅威防御機能は、ライセンスの期限が切れた時点でインストールされたシグ
ネチャを使用して、引き続き機能します。
– 有効なライセンスがインストールされるまで新しいシグネチャはインストールできま
せん。また、ライセンスが期限切れの場合、前のバージョンのシグネチャにロール
バックする機能はサポートされません。
– カスタム App-ID シグネチャは引き続き機能しますが、変更できません。
• サポート ライセンスが期限切れの場合、脅威防御と脅威防御の更新は引き続き正常に機能
します。
• サポート資格が期限切れの場合、ソフトウェア更新は使用できなくなります。ソフト
ウェア更新へのアクセスや、テクニカル サポート グループへの問い合わせを継続する場
合は、ライセンスを更新する必要があります。
• 期間ベースの VM キャパシティ ライセンスの期限が切れている場合、ライセンスを更新
するまでファイアウォールでソフトウェア更新またはコンテンツ更新を取得できませ
ん。有効なサブスクリプション(脅威防御や WildFire など)とサポート ライセンスが
あったとしても、最新のソフトウェア更新またはコンテンツ更新を取得するには、有効
なキャパシティ ライセンスが必要です。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 59
VM 情報の送信元の定義
VM 情報の送信元の定義
[Device] > [VM 情報ソース]
こ の タ ブ を 使 用 し て、ソ ー ス(VMware ESXi サ ー バ ー、VMware vCenter サ ー バ ー、
Amazon Web Services Virtual Private Cloud (AWS-VPC))にデプロイされている仮想マシン
(VM) への変更をプロアクティブに追跡します。VM 情報ソースをモニターするには、以下
の 2 つの方法があります。
• ファイアウォールは VMware ESXi サーバー、VMware vCenter サーバー、および AWSVPC 環境をモニターし、モニター対象ソースにゲストがプロビジョニングまたは変更さ
れた場合は変更内容を取得できます。ファイアウォールごと、またはファイアウォール
機能を持つ複数の仮想システム上の仮想システムごとに、最大 10 個のソースを設定でき
ます。
高可用性設定でファイアウォールが設定されている場合、以下が適用されます。
– アクティブ / パッシブ セットアップでは、アクティブ ファイアウォールのみが VM 情
報ソースをモニターします。
– アクティブ / アクティブ セットアップでは、優先度の値が「プライマリ」のファイア
ウォールのみが VM 情報ソースをモニターします。
VM 情報ソースとダイナミック アドレス グループによる同期動作と、仮想環境の変更を
モニターする機能についての詳細は、『VM-Series デプロイメント ガイド』を参照して
ください。
• IP アドレス-ユーザーのマッピングについては、Windows User ID エージェントまたは
ファイアウォールに VM 情報ソースを設定して、VMware ESXi サーバーと vCenter サー
バーをモニターし、サーバーに設定されたゲストがプロビジョニングまたは変更された
場合は変更内容を取得できます。Windows User ID エージェントでは最大 100 個のソー
スがサポートされます。User ID エージェントでは AWS のサポートは利用できません。
注:モニター対象の ESXi サーバーまたは vCenter サーバーの各 VM に VMware Tools がインストール
されていて実行中である必要があります。VMware Tools を使用して、各 VM に割り当てられた IP ア
ドレスとその他の値を収集できます。
60 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
VM 情報の送信元の定義
モニター対象 VM に割り当てられた値を収集するには、ファイアウォールで以下の属性をモ
ニターする必要があります。
VMware ソースでモニターされる属性
AWS-VPC でモニターされる属性
• UUID
• アーキテクチャ
• 名前
• ゲスト OS
• ゲスト OS
• イメージ ID
• VM の状態 — 電源状態は
• インスタンス ID
「poweredOff」、「poweredOn」、
「standBy」、「unknown」のいずれ
かです。
• インスタンスの状態
• インスタンス タイプ
• 注釈
• キー名
• バージョン
• 配置 — テナンシー、グループ名、可用性ゾーン
• ネットワーク — 仮想スイッチ名、ポー • プライベート DNS 名
ト グループ名、VLAN ID。
• パブリック DNS 名
• コンテナ名 — vCenter 名、データ セン
ター オブジェクト名、リソース プー
ル名、クラスタ名、ホスト、ホスト IP
アドレス。
• サブネット ID
• タグ(キー、値)(インスタンスごとに最大 5 個の
タグをサポート)
• VPC ID
追加 — VM モニタリングの新しいソースを追加するには、[追加] をクリックし、モニターす
るソースに応じて詳細を入力します。
• VMware ESXi サーバーまたは vCenter サーバーについては、「VMware ESXi サーバー
または vCenter サーバーの VM 情報ソースの有効化」を参照してください。
• AWS-VPC については、「AWS VPC の VM 情報ソースの有効化」を参照してください。
接続対象の更新 — 接続状態を更新する場合にクリックします。オンスクリーン表示が更新
されます。このボタンでは、ファイアウォールとモニター対象ソースの間の通信は更新され
ません。
削除 — 設定済み VM 情報のソースを選択してからクリックすることで、設定済みソースが
削除されます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 61
VM 情報の送信元の定義
表 20. VMware ESXi サーバーまたは vCenter サーバーの VM 情報ソースの有効化
フィールド
説明
名前
モニター対象ソースの識別に使用する名前を入力します(最大 31 文
字)。名前の大文字と小文字は区別されます。また、一意の名前にする
必要があります。文字、数字、スペース、ハイフン、およびアンダース
コアのみを使用してください。
タイプ
モニター対象のホスト / ソースが ESXi サーバーか、vCenter サーバー
かを選択します。
説明
(任意)ソースの場所または機能を識別するラベルを追加します。
ポート
ホスト / ソースのリスニング ポートを指定します(デフォルト ポートは
443)。
有効
デフォルトでは、ファイアウォールと設定されたソース間の通信は有効
になっています。
モニター対象ソースとファイアウォール間の接続状態は、インターフェ
イスに以下のように表示されます。
–
接続済み
–
切断
–
保留。モニター対象ソースが無効になっている場合は、通信状
態も黄色で表示されます。
ホストとファイアウォール間の通信を無効にするには、[有効] チェック
ボックスをオフにします。
タイムアウト
ホストが応答しない場合、モニター対象送信元への接続を閉じるまでの
間隔(時)を入力します(デフォルト:2 時間、範囲は 2 ~ 10 時間)。
(任意)デフォルト値を変更するには、[送信元切断時のタイムアウトを
有効にする] チェック ボックスをオンにして値を指定します。指定され
た制限に達した場合、またはホストがアクセス不能か応答しない場合、
ファイアウォールによってソースへの接続が閉じられます。
ソース
モニターするホスト / ソースの FQDN または IP アドレスを入力します。
ユーザー名
ソースに対する認証に必要なユーザー名を指定します。
パスワード
パスワードを入力し、確認のために再入力します。
更新間隔
ファイアウォールがソースから情報を取得する間隔を指定します(デ
フォルトは 5 秒、範囲は 5 ~ 600 秒)。
表 21. AWS VPC の VM 情報ソースの有効化
フィールド
説明
名前
モニター対象ソースの識別に使用する名前を入力します(最大 31 文
字)。名前の大文字と小文字は区別されます。また、一意の名前にす
る 必 要 が あ り ます。文 字、数 字、スペ ー ス、ハイ フ ン、およ び アン
ダースコアのみを使用してください。
タイプ
[AWS VPC] を選択します。
説明
(任意)ソースの場所または機能を識別するラベルを追加します。
62 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ソフトウェアのインストール
表 21. AWS VPC の VM 情報ソースの有効化(続き)
フィールド
説明
有効
デフォルトでは、ファイアウォールと設定されたソース間の通信は有
効になっています。
モニター対象ソースとファイアウォール間の接続状態は、インター
フェイスに以下のように表示されます。
–
接続済み
–
切断
保留。モニター対象ソースが無効になっている場合は、通信
–
状態も黄色で表示されます。
ホストとファイアウォール間の通信を無効にするには、[有効] チェック
ボックスをオフにします。
Virtual Private Cloud が存在する URI を追加します。たとえば、
「ec2.us-west-1.amazonaws.com」などです。
ソース
構文:ec2.<your_AWS_region>.amazonaws.com
AWS アカウントを所有するか、アクセスを許可されているユーザーを
一意に識別する英数字のテキスト文字列を入力します。
アクセス キー ID
この情報は、AWS セキュリティ認証情報の一部です。ファイアウォー
ルでは、AWS サービスに対する API コールにデジタル署名するための
認証情報(アクセス キー ID と秘密アクセス キー)が要求されます。
秘密アクセス キー
パスワードを入力し、確認のために再入力します。
更新間隔
ファイアウォールがソースから情報を取得する間隔を指定します(デ
フォルトは 60 秒、範囲は 60 ~ 1200 秒)。
タイムアウト
ホストが応答しない場合、モニター対象ソースへの接続を閉じるまで
の期間(時)(デフォルトは 2 時間)
(任意)[送信元切断時のタイムアウトを有効にする] チェック ボック
スをオンにします。指定された制限に達した場合、またはソースがア
クセス不能か応答しない場合、ファイアウォールによってソースへの
接続が閉じられます。
モニターする AWS-VPC の ID を入力します(例:vpc-1a2b3c4d)。こ
の VPC 内にデプロイされている EC2 インスタンスのみがモニターされ
ます。
VPC ID
アカウントがデフォルトの VPC を使用するように設定されている場合、
デフォルトの VPC ID が AWS アカウント属性の下にリストされます。
ソフトウェアのインストール
[Device] > [ソフトウェア]
使用可能なソフトウェア リリースの表示、リリースのダウンロードまたはアップロード、リ
リースのインストール(サポート ライセンスが必要)、デバイスからのソフトウェア イ
メージの削除、またはリリース ノートの表示を行うには、このページを使用します。ソフト
ウェア バージョンをアップグレードまたはダウングレードする前に、以下の推奨事項を確認
してください。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 63
ソフトウェアのインストール
• [リリース ノート] を参照し、バージョンの変更内容の説明およびソフトウェアをインストー
ルするための移行パスを確認します。
• 機能リリースでは、新機能に対応するために特定の設定が移行される場合があるので、
現在の設定のバックアップを保存します([Device] > [セットアップ] > [操作] タブをク
リ ッ ク し て [ 名 前 付 き 設 定 ス ナ ッ プ シ ョ ッ ト の エ ク ス ポ ー ト] を 選 択 し、[runningconfig.xml] を選択して [OK] をクリックすることで、設定ファイルがコンピュータに保
存されます)。
• ダウングレードする場合、ソフトウェア バージョンに一致する設定にダウングレードす
ることをお勧めします。
• 高可用性 (HA) ペアを新しい機能リリースにアップグレードするときには(PAN-OS バー
ジョンの先頭または 2 番目の数字が変更される。5.0 から 6.0、6.0 から 6.1 など)、新機
能に対応するために設定が移行される場合があります。セッション同期が有効になって
いる場合、クラスタ内に異なる PAN-OS 機能リリースを実行しているデバイスが 1 つで
もあると、セッションは同期されません。
• ファイアウォールを PAN-OS メンテナンス リリースにアップグレードする必要がある場
合で、そのメンテナンス リリースのベース リリースが現在インストールされているソフ
トウェアのベース リリースよりも新しい場合は、まず、ファイアウォールにそのベース
リリースをダウンロード(インストールではない)してから、メンテナンス リリースの
ダウンロードとインストールを実行します。たとえば、PAN-OS 5.0.12 から PAN-OS
6.0.3 にファイアウォールをアップグレードする場合は、まず、PAN-OS 6.0.0 をファイ
アウォールにダウンロード(インストールではない)してから、PAN-OS 6.0.3 のダウン
ロードとインストールを実行します。
• ファイアウォールの日時設定には現在の日時を使用する必要があります。PAN-OS ソフ
トウェアはデジタル署名されており、署名は新バージョンをインストールする前にデバ
イスによって確認されます。現在以外の日付がデバイスに設定されていると、デバイス
はソフトウェア署名の日付が誤って将来になっていると認識し、以下のメッセージを表
示します。
Decrypt failed: GnuPG edit non-zero, with code 171072 Failed to load into
PAN software manager.
以下の表に、[ソフトウェア] ページの使用方法を示します。
表 22. ソフトウェア オプション
フィールド
説明
バージョン
Palo Alto Networks 更新サーバーで現在入手可能なソフトウェア バー
ジョンが一覧表示されます。Palo Alto Networks から新しいソフトウェ
ア リリースを入手可能かどうかをチェックするには、[今すぐチェック]
をクリックします。ファイアウォールがサービス ルートを使用して更新
サーバーに接続し、新しいバージョンをチェックします。適用可能な更
新がある場合は、その更新がリストの最上部に表示されます。
サイズ
ソフトウェア イメージのサイズを示します。
リリース日
Palo Alto Networks がリリースを公開した日時を示します。
使用可能
対応するバージョンのソフトウェア イメージがファイアウォールにアッ
プロードまたはダウンロードされていることを示します。
64 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ソフトウェアのインストール
表 22. ソフトウェア オプション(続き)
フィールド
説明
現在インストール済み
対応するバージョンのソフトウェア イメージがアクティベーションされ
ていて、ファイアウォールで現在実行されているかどうかを示します。
アクション
対応するソフトウェア イメージで現在実行可能な以下のようなアクショ
ンを示します。
• ダウンロード — 対応するソフトウェア バージョンが Palo Alto Networks
更新サーバーから入手可能です。リンクをクリックしてダウンロード
を開始します。
• インストール — 対応するソフトウェア バージョンがファイアウォール
にダウンロード済みまたはアップロード済みです。リンクをクリック
してソフトウェアをインストールします。アップグレード プロセスの
完了時に再起動が必要です。
• 再インストール — 対応するソフトウェア バージョンがインストール済
みです。同じバージョンを再インストールするには、このリンクをク
リックします。
リリース ノート
対応するソフトウェア更新のリリース ノートへのリンクが提供されま
す。このリンクは、Palo Alto Networks 更新サーバーからダウンロード
する更新の場合にのみ使用でき、アップロードされた更新では使用でき
ません。
以前にダウンロードまたはアップロードしたソフトウェア イメージを
ファイアウォールから削除します。アップグレードの必要がない古いリ
リースの基本イメージのみを削除してください。たとえば、7.0 を実行
している場合、ダウングレードする必要がなければ、6.1 の基本イメー
ジを削除できます。
[今すぐチェック] ボタン
Palo Alto Networks から新しいソフトウェア更新を入手可能かどうかを
チェックします。
[アップロード] ボタン
ファイアウォールがアクセスできるコンピュータからソフトウェア更新
イメージをインポートします。通常、この操作はファイアウォールがイ
ンターネットにアクセスできない場合に実行します。Palo Alto Networks
更新サーバーから更新をダウンロードするには、インターネットにアク
セスできる必要があります。アップロードを行う場合、インターネット
に接続されたコンピュータを使用して Software Update サイト にアクセ
スし、そのコンピュータに更新をダウンロードします。次に、ファイア
ウォールの [Device] > [ソフトウェア] ページで、[アップロード] をク
リックして、ソフトウェア イメージをインポートします。高可用性
(HA) 設定の場合、[ピアと同期] チェック ボックスをオンにして、イン
ポートしたソフトウェア イメージを HA ピアにプッシュします。アッ
プロードが完了すると、[ソフトウェア] ページに、アップロードおよび
ダウンロードしたソフトウェアの同一の情報(バージョンやサイズな
ど)と [インストール] / [再インストール] リンクが表示されます。アッ
プロードしたソフトウェアの場合、[リリース ノート] リンクは使用でき
ません。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 65
脅威およびアプリケーションの定義の更新
脅威およびアプリケーションの定義の更新
[Device] > [Dynamic Updates]
[Panorama] > [ダイナミック更新]
Palo Alto Networks では、以下のようにダイナミック更新を通じて、アプリケーション検
出、脅威防御、および GlobalProtect データ ファイルに関する更新ファイルを定期的に公開
しています。
• アンチウイルス — WildFire によって発見されたシグネチャなどの新規および更新された
アンチウイルス シグネチャを含みます。更新データを取得するには、脅威防御サブスク
リプションが必要です。新しいアンチウイルス シグネチャは毎日公開されます。
• アプリケーション — 新規および更新されたアプリケーション シグネチャを含みます。こ
の更新に追加のサブスクリプションは不要ですが、有効なメンテナンス / サポートの連
絡先が必要です。新しいアプリケーション更新は週単位で公開されます。
• アプリケーションおよび脅威 — 新規および更新されたアプリケーション シグネチャと脅
威シグネチャを含みます。この更新は、脅威防御サブスクリプションを購入している場
合に入手できます(このケースではアプリケーション更新の代わりに取得します)。新
しいアプリケーションおよび脅威の更新は、週単位で公開されます。コンテンツ リリー
ス バージョンの新しい脅威シグネチャのみをインストールするように選択することもで
きます。コンテンツ リリースをインストールするときと、コンテンツ リリース バー
ジョンを自動的にインストールするようにスケジュールを設定するときにこのオプショ
ンが表示されます。このオプションでは、新しい脅威シグネチャの利点をすぐに得られ
ます。その後、新しいアプリケーション シグネチャによるポリシーへの影響を確認し、
有効にする前に必要なポリシーの更新を行うことができます。
• GlobalProtect データ ファイル — GlobalProtect エージェントによって返されるホスト情
報プロファイル (HIP) データを定義および評価するためのベンダー固有情報を含みます。
更新を受信するには、GlobalProtect ゲートウェイ サブスクリプションが必要です。ま
た、GlobalProtect が機能を開始する前に、それらの更新のスケジュールを作成する必要
があります。
• BrightCloud URL フィルタリング — BrightCloud URL フィルタリング データベースにの
み更新を提供します。更新を取得するには、BrightCloud サブスクリプションが必要で
す。新しい BrightCloud URL データベース更新は毎日公開されます。PAN-DB ライセン
スを持っている場合は、デバイスがサーバーと自動的に同期されるため、スケジュール
された更新は不要です。
• WildFire — WildFire クラウド サービスで分析を実行し、その結果として作成したマルウェ
アおよびアンチウイルス シグネチャをほぼリアルタイムに提供します。このサブスクリ
プションがない場合、シグネチャがアプリケーションおよび脅威の更新に取り込まれる
まで 24 ~ 48 時間待つ必要があります。
• WF プライベート — WildFire アプライアンス (WF-500) で分析を実行し、その結果として
作成したマルウェアおよびアンチウイルス シグネチャをほぼリアルタイムに提供しま
す。WF-500 からコンテンツ更新を受信するには、ファイアウォールとアプライアンスの
両方で PAN-OS 6.1 以降を実行し、さらにファイアウォールがファイル / 電子メール リ
ンク分析に WildFire アプライアンスを使用するように設定されている必要があります。
66 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
脅威およびアプリケーションの定義の更新
最新の更新ファイルを表示し、各更新ファイルのリリース ノートを読み、ダウンロードおよ
びインストールする更新ファイルを選択できます。以前にインストールした更新のバージョ
ンに戻すこともできます。
Panorama を使用してファイアウォールを管理していて、1 つ以上のファイアウォールのダ
イナミック更新をスケジューリングする場合は、「ダイナミック更新のスケジュール」を参
照してください。
以下の表に、このページの使用方法を示します。
表 23. ダイナミック更新オプション
フィールド
説明
バージョン
Palo Alto Networks 更新サーバーで現在入手可能なバージョンが一覧表
示されます。Palo Alto Networks から新しいソフトウェア リリースを入
手可能かどうかをチェックするには、[今すぐチェック] をクリックしま
す。ファイアウォールがサービス ルートを使用して更新サーバーに接続
し、新しいコンテンツ リリース バージョンをチェックします。適用可
能な更新がある場合は、その更新がリストの最上部に表示されます。
最終チェック
ファイアウォールが最後に更新サーバーに接続して更新があるかどうか
をチェックした日時が表示されます。
スケジュール
更新を取得する頻度をスケジューリングできます。
ダイナミック コンテンツ更新を行う頻度とタイミング(曜日または日
時)、更新のダウンロードのみを行うか、または更新をダウンロードし
てファイアウォールにインストールするかを定義できます。
コンテンツ更新の定期的なダウンロードおよびインストールをスケ
ジューリングする場合、[コンテンツ更新での新しいアプリケーションの
無効化] を選択することもできます。このオプションにより、最新の脅威
に対する保護を有効にしながら、更新後に新しく識別されて、異なる処
理が行われる可能性のあるアプリケーションに必要なポリシーの更新を
準備した後でアプリケーションを柔軟に有効にできます(定期的なコン
テンツ更新で自動的に無効にされるアプリケーションを後で有効にする
には、[ダイナミック更新] ページの [アプリケーションおよび脅威] リン
クを選択するか、[Objects] > [アプリケーション] の順に選択します)。
更新のスケジューリングで、リリース後一定の時間が経過してから新規
更新をインストールするように設定するには、リリースされてからコン
テンツの更新を実行するまで待機する時間数を指定します。[しきい値
(時間)] フィールドに待機する時間数を入力します。
ファイル名
Palo Alto Networks
ファイル名が一覧表示されます。ファイル名にはコンテンツのバージョ
ン情報が含まれます。
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 67
脅威およびアプリケーションの定義の更新
表 23. ダイナミック更新オプション(続き)
フィールド
説明
機能
コンテンツ バージョンに含めることができるシグネチャのタイプが一覧
表示されます。
アプリケーションおよび脅威コンテンツ リリース バージョンの場合、
このフィールドには、[アプリケーションおよび脅威] を確認するための
リンクが表示されることがあります。このオプションをクリックする
と、ファイアウォールにインストールされた最後のコンテンツ リリース
バージョンから使用できるようになった新しいアプリケーション シグネ
チャが表示されます。[新しいアプリケーション] ダイアログを使用し
て、新しいアプリケーションを [有効化] / [無効化] することもできま
す。一意に識別されるアプリケーションがポリシーに影響を及ぼさない
ようにするため、コンテンツ リリースに含まれる新しいアプリケーショ
ンを無効にする場合があります(未知だったアプリケーションが識別さ
れ、以前とは異なって分類されると、コンテンツのインストール前後で
アプリケーションの処理が変わる可能性があります)。
タイプ
ダウンロードにフル データベース更新が含まれているか、増分更新が含
まれているかを示します。
サイズ
コンテンツ更新パッケージのサイズが表示されます。
リリース日
Palo Alto Networks がコンテンツ リリースを公開した日時。
ダウンロード済み
この列のチェック マークは、対応するコンテンツ リリース バージョン
がファイアウォールにダウンロード済みであることを示します。
現在インストール済み
この列のチェック マークは、対応するコンテンツ リリース バージョン
がファイアウォールで現在実行されていることを示します。
68 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
脅威およびアプリケーションの定義の更新
表 23. ダイナミック更新オプション(続き)
フィールド
説明
アクション
対応するソフトウェア イメージで現在実行可能な以下のようなアクショ
ンを示します。
• ダウンロード — 対応するコンテンツ リリース バージョンを Palo Alto
Networks 更新サーバーから入手可能です。リンクをクリックしてダウ
ンロードを開始します。ファイアウォールがインターネットに接続で
きない場合は、インターネットに接続できるコンピュータからダイナ
ミック更新サイトにアクセスし、そのコンテンツ リリース バージョン
を探して [Download] をクリックし、ローカル コンピュータにダウン
ロードします。続いて [アップロード] ボタンをクリックし、ソフト
ウェア イメージを手動でファイアウォールにアップロードします。ま
た、アプリケーションおよび脅威コンテンツ リリース バージョンをダ
ウンロードすると、リリースに含まれる新しいアプリケーション シグ
ネチャの影響を受けるポリシーを確認するためのオプションが有効に
なります。
• ポリシーのプレビュー(アプリケーションおよび脅威コンテンツの
み)— コンテンツ リリース バージョンに含まれる新しいアプリケー
ションによるポリシーへの影響を確認します。コンテンツ更新のイン
ストール前後のアプリケーションの処理を評価するには、このオプ
ションを使用します。[ポリシーのプレビュー] ダイアログを使用し
て、既存のセキュリティ ポリシーの保留中のアプリケーション(コン
テンツ リリース バージョンでダウンロードされているが、ファイア
ウォールにインストールされていないアプリケーション)を追加また
は削除することもできます。保留中のアプリケーションのポリシーを
変更しても、対応するコンテンツ リリース バージョンがインストール
されるまで有効になりません。
• インストール — 対応するコンテンツ リリース バージョンがファイア
ウォールにダウンロード済みです。リンクをクリックして更新をイン
ストールします。新しいアプリケーションおよび脅威コンテンツ リ
リース バージョンをインストールすると、[コンテンツ更新での新しい
アプリケーションの無効化] オプションが表示されます。このオプショ
ンにより、最新の脅威に対する保護を有効にしながら、新しいアプリ
ケーション シグネチャの影響に起因するポリシーの更新を準備した後
でアプリケーションを柔軟に有効にできます(以前に無効にしたアプ
リケーションを有効にするには、[ダイナミック更新] ページの [アプリ
ケーションおよび脅威] リンクを選択するか、[Objects] > [アプリケー
ション] の順に選択します)。
• 戻す — 対応するコンテンツ リリース バージョンが以前にダウンロード
されていて、同じバージョンを再インストールする場合にこのリンク
をクリックします。
ドキュメント
対応するバージョンのリリース ノートへのリンクが提供されます。
以前にダウンロードしたコンテンツ リリース バージョンをファイア
ウォールから削除します。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 69
管理者ロール、プロファイル、およびアカウント
管理者ロール、プロファイル、およびアカウント
管理アカウントを作成する場合、以下のいずれかのオプションを指定して、ログインする管
理ユーザーをファイアウォールで認証する方法を決定します。
• ローカル データベース — ユーザーのログインおよびパスワード情報がファイアウォール
データベースに直接入力されます。
• クライアント証明書 — 既存のクライアント証明書でユーザーを認証します。
• 認証プロファイル — ユーザーを認証する既存の外部サーバーを以下のいずれかのタイプ
から選択します。
– RADIUS (Remote Authentication Dial-in User Service)
– TACACS+ (Terminal Access Controller Access-Control System Plus)
– LDAP (Lightweight Directory Access Protocol)
– Kerberos
管理者アカウントに割り当てるロールによって、管理者がログイン後にファイアウォールで実
行を許可される機能が決まります。事前定義済みのロール、または詳細な権限を指定するカス
タム ロール プロファイルを割り当てることができます。詳細は、以下を参照してください。
• 「認証プロファイルのセットアップ」
• 「管理者ロールの定義」
• 「管理アカウントの作成」
• 「GlobalProtect の設定」— SSL 仮想プライベート ネットワーク (VPN) の認証に関する
情報
• 「管理者のアクセス ドメインの指定」— 管理者用の仮想システム ドメインの定義手順
• 「証明書プロファイルの作成」— 管理者の証明書プロファイルの定義手順
管理者ロールの定義
[Device] > [管理者ロール]
管理ユーザーが行使可能なアクセス権と役割を決めるロール プロファイルを定義するには、
[管理者ロール] ページを使用します。管理者アカウントの追加手順の詳細は、「管理アカウ
ントの作成」を参照してください。
共通基準の目的で使用できる、事前に定義された 3 つの管理者ロールがあります。最初にデ
バイスの初期設定でスーパーユーザー ロールを使用して、セキュリティ管理者、監査管理
者、および暗号管理者の管理者アカウントを作成します。アカウントを作成し、適切な共通
基準管理者ロールを適用したら、それらのアカウントを使用してログインします。連邦情報
処理標準 (FIPS) または情報セキュリティ国際評価基準 (CC) モードのデフォルトのスーパー
ユーザー アカウントは「admin」で、デフォルトのパスワードは「paloalto」です。標準操
作モードでは、「admin」のデフォルトのパスワードは「admin」 です。事前定義の管理者
ロールは、すべてのロールに監査証跡への読み取り専用のアクセス権があるという点を除
き、機能が重複しないように作成されています(読み取りと削除のフル アクセス権がある監
査管理者は除く)。これらの管理者ロールは変更できず、以下のように定義されています。
70 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
パスワード プロファイルの定義
• auditadmin — 監査管理者は、ファイアウォールの監査データの定期的な確認を担当する
責任者です。
• cryptoadmin — 暗号管理者は、ファイアウォールの安全な接続確立に関連する暗号要素
の設定と保守を担当する責任者です。
• securityadmin — セキュリティ管理者は、他の 2 つの管理ロールで対処されない、その
他すべての管理タスク(ファイアウォールのセキュリティ ポリシーの作成など)を担当
する責任者です。
管理者ロールを追加するには、[追加] をクリックして以下の情報を入力します。
表 24. 管理者ロール設定
フィールド
説明
名前
管理者ロールの識別に使用する名前を入力します(最大 31 文字)。名前
の大文字と小文字は区別されます。また、一意の名前にする必要があり
ます。文字、数字、スペース、ハイフン、およびアンダースコアのみを
使用してください。
説明
ロールの説明(最大 255 文字)を入力します(任意)。
ロール
管理役割の適用範囲としてデバイスまたは仮想システム(マルチ仮想シ
ステム機能が有効なデバイスの場合)を選択します。
Web UI
Web インターフェイスで許可するアクセスのタイプを示す指定領域のア
イコンをクリックします。
• 有効化 — 選択したタブに読み書きアクセスできます。
• 読み取り専用 — 選択したタブに読み取り専用でアクセスできます。
• 無効化 — 選択したタブにアクセスできません。
XML API
XML API で許可するアクセスのタイプを示す指定領域のアイコンをク
リックします。
コマンドライン
CLI アクセスのロールのタイプを選択します。
• None — デバイスの CLI にはアクセスできません。
• superuser — 現在のデバイスにフル アクセスできます。
• superreader — 現在のデバイスに読み取り専用でアクセスできます。
• deviceadmin — 新しいアカウントまたは仮想システムを定義する場合
を除き、選択したデバイスにフル アクセスできます。
• devicereader — 選択したデバイスに読み取り専用でアクセスできます。
パスワード プロファイルの定義
[Device] > [パスワード プロファイル] および [Panorama] > [パスワード プロファイル]
パスワード プロファイルを使用して、各ローカル アカウントにパスワードの基本要件を設
定できます。すべてのローカル アカウントにパスワード要件を指定する [パスワード複雑性
設定] を有効にしている場合(「パスワード複雑性設定」を参照)、このパスワード プロ
ファイルはそれらの設定でオーバーライドされます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 71
パスワード プロファイルの定義
パスワード プロファイルを作成するには、[追加] をクリックし、以下の情報を指定します。
表 25. パスワード プロファイル設定
フィールド
説明
名前
パスワード プロファイルの識別に使用する名前を入力します(最大 31 文
字)。名前の大文字と小文字は区別されます。また、一意の名前にする必要
があります。文字、数字、スペース、ハイフン、およびアンダースコアのみ
を使用してください。
パスワード変更が
必要になる期間
(日)
設定された日数(0 ~ 365 日)で指定されたとおりに、管理者は定期的にパ
スワードを変更する必要があります。たとえば、値を「90」に設定すると、
管理者に 90 日ごとにパスワードの変更を求めるプロンプトが表示されます。
失効の警告を 0 ~ 30 日の範囲で設定して猶予期間を指定することもできます。
失効の警告期間
(日)
必須のパスワード変更期間を設定すると、この設定を使用して、強制パス
ワード変更日が近づくとユーザーがログインするたびにパスワードの変更を
求めるプロンプトを表示できます(範囲は 0 ~ 30 日)。
失効後の管理者ロ
グイン回数
アカウントが失効した後に、管理者は指定した回数ログインできます。たとえ
ば、値を「3」に設定し、アカウントが失効した場合、管理者はアカウントが
ロックアウトされるまで 3 回ログインすることができます(範囲は 0 ~ 3 回)。
失効後の猶予期間
(日)
アカウントが失効した後に、管理者は指定した日数ログインできます(範囲
は 0 ~ 30 日)。
アカウントにパスワード プロファイルを適用するには、[Device] > [管理者](ファイア
ウォールの場合)または [Panorama] > [管理者] に移動し、アカウントを選択して、[パス
ワード プロファイル] ドロップダウンからプロファイルを選択します。
72 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
管理アカウントの作成
ユーザー名とパスワードの要件
PAN-OS および Panorama アカウントのユーザー名とパスワードに使用できる有効な文字を
以下の表に示します。
表 26. ユーザー名とパスワードの有効な文字
アカウントの種類
制限
パスワード文字セット
パスワード フィールドの文字セットには制限がありません。
リモート管理者、SSL-VPN、
キャプティブ ポータル
ユーザー名には以下の文字を使用できません。
• バックティック (`)
• 山かっこ(< と >)
• アンパサンド (&)
• アスタリスク (*)
• アット記号 (@)
• 疑問符 (?)
• パイプ (|)
• 一重引用符 (‘)
• セミコロン (;)
• 二重引用符 (")
• ドル記号 ($)
• かっこ( '(' と ')' )
• コロン (':')
ローカル管理者アカウント
ローカル ユーザー名には以下の文字を使用できます。
• 小文字(a ~ z)
• 大文字(A ~ Z)
• 数字(0 ~ 9)
• アンダースコア (_)
• ピリオド (.)
• ハイフン (-)
注:ログイン名をハイフン (-) で開始することはできません。
管理アカウントの作成
[Device] > [管理者]
デバイスへのアクセス権は管理者アカウントに基づいて制御されます。ファイアウォール管
理者には、1 台のファイアウォールか、1 台のファイアウォール上の仮想システムへのフル
アクセス権または読み取り専用アクセス権を付与できます。ファイアウォールには、フル ア
クセス権を持つ admin アカウントが事前に定義されています(Panorama 管理者の詳細は、
「Panorama 管理アカウントの作成」を参照してください)。
以下の認証オプションがサポートされています。
• パスワード認証 — 管理者がユーザー名とパスワードを入力してログインします。この認
証では証明書が不要です。認証プロファイルと併用することや、ローカル データベース
の認証に使用することができます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 73
管理アカウントの作成
• クライアント証明書認証 (Web) — この認証ではユーザー名とパスワードは必要なく、デ
バイスへのアクセス認証には証明書で十分になります。
• 公開鍵認証 (SSH) — 管理者がデバイスへのアクセスが必要なマシン上で公開 / 秘密鍵の
ペアを生成し、デバイスに公開鍵をアップロードして、管理者がユーザー名とパスワー
ドを入力しなくても、安全にアクセスできるようにします。
デバイス管理インターフェイスの安全性を維持するために、管理パスワードを定期的に変更
することをお勧めします。管理パスワードには、小文字、大文字、および数字を混在させて
ください。また、[セットアップ] > [管理] から「パスワード複雑性設定」を適用することも
できます。
管理者を追加するには、[追加] をクリックして以下の情報を入力します。
表 27.
管理者アカウント設定
フィールド
説明
名前
管理者のログイン名(最大 31 文字)を入力します。名前の大文字
と小文字は区別されます。また、一意の名前にする必要がありま
す。英字、数字、ハイフン、ピリオド、およびアンダースコアの
みを使用してください。ログイン名をハイフン (-) で開始すること
はできません。
認証プロファイル
管理者の認証の認証プロファイルを選択します。この設定は、
RADIUS、TACACS+、LDAP、Kerberos、またはローカル データ
ベース認証に使用できます。詳細は、「認証プロファイルのセッ
トアップ」を参照してください。
クライアント証明書認証のみ
を使用 (Web)
Web アクセスのクライアント証明書認証を使用するには、この
チェック ボックスをオンにします。このチェック ボックスをオン
にすると、ユーザー名とパスワードは必要なく、デバイスへのア
クセス認証には証明書で十分になります。
新しいパスワード
再入力 新しいパスワード
管理者のパスワード(最大 31 文字)を入力し、確認のためにパス
ワードを再入力します。このパスワードは大文字と小文字を区別
します。[セットアップ] > [管理] から [パスワード複雑性設定] を適
用することもできます。
公開鍵認証 (SSH) の使用
SSH 公開キーの認証を使用するには、このチェック ボックスをオ
ンにします。[キーのインポート] をクリックし、公開キー ファイ
ルを参照して選択します。アップロードした鍵は、読み取り専用
テキスト エリアに表示されます。
サ ポート対象の鍵ファイルのフォーマットは、IETF SECSH と
OpenSSH です。サポート対象の鍵アルゴリズムは、DSA(1024
ビット)と RSA (768 ~ 4096 ビット)です。
注:公開キーの認証が失敗すると、管理者にユーザー名とパス
ワードの入力を要求するプロンプトが表示されます。
74 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
管理者のアクセス ドメインの指定
表 27.
管理者アカウント設定 (続き)
フィールド
説明
ロール
この管理者にロールを割り当てます。このロールによって、管理
者が表示および変更できる内容が決まります。
[ロール ベース] を選択した場合、ドロップダウン リストからカス
タム ロール プロファイルを選択します。詳細は、「管理者ロール
の定義」を参照してください。
[ダイナミック] を選択した場合、以下の事前設定されたロールのい
ずれかを選択できます。
• スーパーユーザー — 現在のファイアウォールにフル アクセスで
きます。
• スーパーユーザー(読み取り専用)— 現在のファイアウォールに
読み取り専用でアクセスできます。
• デバイスの管理者 — 新しいアカウントまたは仮想システムの定義
を除き、選択したファイアウォールにフル アクセスできます。
• デバイスの管理者(読み取り専用)— 選択したファイアウォール
に読み取り専用でアクセスできます。
• Vsys 管理者 — 特定ファイアウォールの選択した仮想システム(マ
ルチ仮想システムが有効になっている場合)にフル アクセスで
きます。
• Vsys 管理者(読み取り専用)— 特定ファイアウォールの選択した
仮想システムに読み取り専用でアクセスできます。
仮想システム
(ファイアウォールの仮想シ
ステム管理者ロールのみ)
パスワード プロファイル
[追加] をクリックして、管理者がアクセスできる仮想システムを選
択します。
パスワード プロファイルを選択します(該当する場合)。新しい
パスワード プロファイルを追加する方法については、「パスワー
ド プロファイルの定義」を参照してください。
管理者のアクセス ドメインの指定
[Device] > [アクセス ドメイン]
[Panorama] > [アクセス ドメイン]
ファイアウォールまたは Panorama への管理者アクセスのドメインを指定するには、[アクセ
ス ドメイン] ページを使用します。ファイアウォールでは、アクセス ドメインは RADIUS ベ
ンダー固有属性 (VSA) にリンクされており、管理者の認証に RADIUS サーバーが使用され
ている場合にのみ、使用することができます(「RADIUS サーバーの設定」を参照)。
Panorama では、アクセス ドメインをローカルまたは RADIUS VSA を使用して管理できま
す(「管理者の Panorama アクセス ドメインの指定」を参照)。
管理者がファイアウォールにログインしようとすると、ファイアウォールは RADIUS サー
バーに管理者のアクセス ドメインを問い合わせます。関連付けられているドメインが
RADIUS サーバーに存在する場合、その情報が返されて、管理者はデバイス上の当該アクセ
ス ドメインで定義された仮想システムだけに管理が制限されます。RADIUS が使用されてい
ない場合、このページのアクセス ドメイン設定は無視されます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 75
認証プロファイルのセットアップ
表 28.
アクセス ドメイン設定
フィールド
説明
名前
アクセス ドメインの名前(最大 31 文字)を入力します。名前の大
文字と小文字は区別されます。また、一意の名前にする必要があ
ります。文字、数字、ハイフン、アンダースコア、およびピリオ
ドのみを使用してください。
仮想システム
[使用可能な列] で仮想システムを選択し、[追加] をクリックして
選択します。
アクセス ドメインは、仮想システムをサポートするデバイスでの
みサポートされます。
認証プロファイルのセットアップ
[Device] > [認証プロファイル]
[Panorama] > [認証プロファイル]
管理者アカウント、SSL-VPN アクセス、およびキャプティブ ポータルに適用できる認証設
定を指定するには、[認証プロファイル] ページを使用します。Palo Alto Networks デバイス
では、ローカル データベース、RADIUS、TACACS+、LDAP、および Kerberos 認証サービ
スがサポートされています。
ヒント:認証プロファイルを設定したら、テスト認証 CLI コマンドを使用して、ファイア
ウォールまたは Panorama 管理サーバーがバックエンド認証サーバーと通信できるかどう
か、および認証要求が成功しているかどうかを調べます。候補設定で認証テストを実行でき
るため、コミットする前に設定が正しいかどうかを確認できます。このコマンドを使用する
方法の詳細は、『PAN-OS 管理者ガイド』の 7.0 以降を参照してください。
表 29. 認証プロファイル設定
フィールド
説明
名前
プロファイルの識別に使用する名前を入力します。名前の大文字と小文字は区別さ
れ、文字、数字、スペース、ハイフン、アンダースコア、およびピリオドのみを含む最
大 31 文字を指定できます。名前は、他の認証プロファイルや認証シーケンスに対して、
現在の [場所](ファイアウォールまたは仮想システム)で一意である必要があります。
警告:マルチ仮想システム モード(マルチ vsys モード)のファイアウォールで、認証
プロファイルの [場所] が vsys になっている場合、共有の場所の認証シーケンスと同じ
名前を入力しないでください。同様に、プロファイルの [場所] が [共有] になっている
場合、vsys のシーケンスと同じ名前を入力しないでください。このようなケースで
は、同じ名前の認証プロファイルおよびシーケンスをコミットすることはできます
が、参照エラーが発生する可能性があります。
場所
プロファイルを使用できる範囲を選択します。複数の仮想システム (vsys) があるファイ
アウォールの場合、vsys を選択するか、[共有](すべての仮想システム)を選択しま
す。その他の場合、[場所] を選択することはできません。この値は [共有](ファイア
ウォールの場合)または [Panorama] として事前に定義されています。プロファイルを
保存すると、その [場所] を変更できなくなります。
76 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
認証プロファイルのセットアップ
表 29. 認証プロファイル設定 (続き)
フィールド
説明
[Authentication] タブ
タイプ
認証タイプを選択します。
• None — ファイアウォールで認証を使用しません。
• Local Database — ファイアウォールの認証データベースを使用します。
• RADIUS — 認証に RADIUS サーバーを使用します。
• TACACS+ — 認証に TACACS+ サーバーを使用します。
• LDAP — 認証に LDAP を使用します。
• Kerberos — 認証に Kerberos を使用します。
サーバー プロファイル
認証の [タイプ] が [RADIUS]、[TACACS+]、[LDAP]、または [Kerberos] の場合、ド
ロップダウンから認証サーバー プロファイルを選択します。「RADIUS サーバーの設
定」、「TACACS+ サーバーの設定」、「LDAP サーバーの設定」、および「Kerberos
サーバーの設定」を参照してください。
ユーザー グループの
取得
認証の [タイプ] が [RADIUS] の場合、RADIUS ベンダー固有属性 (VSA) を使用してファ
イアウォールへのアクセス権を持つグループを定義するには、このチェック ボックス
をオンにします。
ログイン属性
認証の [タイプ] が [LDAP] の場合、ユーザーを一意に識別し、そのユーザーのログイ
ン ID として機能する LDAP ディレクトリ属性を入力します。
パスワード失効の警告
認証の [タイプ] が [LDAP] で、認証プロファイルが GlobalProtect ユーザー用である場
合、パスワードの有効期限が切れる何日前に通知メッセージをユーザーに表示してパ
スワードの期限が x 日後に切れることを警告するのか、日数を入力します。デフォル
トでは、通知メッセージはパスワードの有効期限が切れる 7 日前に表示されます(範
囲は 1 ~ 255 日)。パスワードの期限が切れたユーザーは、VPN にアクセスできなく
なります。
注:ベスト プラクティスとして、pre-logon 接続方式を使用するようにエージェントを
設定することを検討してください。これにより、パスワードの期限が切れた後でも、
ユーザーはドメインに接続してパスワードを変更できます。
注:ユーザーがパスワードを期限切れにしてしまった場合、管理者が一時的な LDAP
パスワードを割り当てて、ユーザーが VPN にログインできるようにすることもできま
す。このワークフローでは、ベスト プラクティスとして、ポータル設定の [設定更新の
ための Cookie 認証] を [認証修飾子] に設定します(設定しないと、一時パスワードが
ポータルへの認証に使用されますが、ゲートウェイ ログインが失敗して VPN にアクセ
スできません)。
Cookie 認証と pre-logon の詳細は、「GlobalProtect の設定」を参照してください。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 77
認証プロファイルのセットアップ
表 29. 認証プロファイル設定 (続き)
フィールド
説明
ユーザー ドメイン
デバイスは、[ユーザー ドメイン] と [ユーザー名修飾子] の値を結合して、ユーザーが
ログイン時に入力するドメイン / ユーザー名の文字列を変更します。デバイスは、変
更した文字列を認証に、[ユーザー ドメイン] の値を User-ID グループ マッピングに使
用します。以下のオプションから選択します。
と
ユーザー名修飾子
• 未変更のユーザー入力のみを送信するには、[ユーザー ドメイン] を空白(デフォルト)
のままにして、[ユーザー名修飾子] を変数 %USERINPUT%(デフォルト)に設定し
ます。
• ユーザー入力の前にドメインを追加するには、[ユーザー ドメイン] を入力して、[ユー
ザー名修飾子] を %USERDOMAIN%\%USERINPUT% に設定します。
• ユーザー入力の後にドメインを追加するには、[ユーザー ドメイン] を入力して、[ユー
ザー名修飾子] を %USERINPUT%@%USERDOMAIN% に設定します。
注:[ユーザー名修飾子] に %USERDOMAIN% 変数が含まれている場合、ユーザーが入力
したドメイン文字列は [ユーザー ドメイン] の値に置き換わります。%USERDOMAIN%
変数を指定して [ユーザー ドメイン] を空白のままにすると、デバイスはユーザーが入
力したドメイン文字列を削除します。デバイスは、ドメイン名を User-ID グループ
マッピングに適した NetBIOS 名に解決します。これは親ドメインと子ドメインの両方
に適応されます。[ユーザー ドメイン] の修飾子は、自動的に導出される NetBIOS 名よ
りも優先されます。
Kerberos レルム
ネットワークで Kerberos シングル サインオン (SSO) がサポートされている場合、[Kerberos
レルム](最大 127 文字)を入力します。これは、ユーザー ログイン名のホスト名部分
です。例:ユーザー アカウント名が [email protected] の場合、レルムは
EXAMPLE.LOCAL になります。
Kerberos キータブ
ネットワークで Kerberos シングル サインオン (SSO) がサポートされている場合、[イ
ンポート] リンクをクリックして [参照] をクリックし、キータブ ファイルを見つけて
[OK] をクリックします。キータブには、SSO 認証に必要なデバイスの Kerberos アカ
ウント情報(プリンシパル名およびハッシュされたパスワード)が含まれています。
各認証プロファイルに、1 つのキータブを含めることができます。デバイスは、認証中
にまずキータブを使用して SSO を確立しようとします。これに成功した場合、アクセ
スを試行しているユーザーが「許可リスト」に含まれていれば、認証は即座に成功し
ます。含まれていない場合、認証プロセスは、指定した [タイプ] の手動(ユーザー名
/ パスワード)認証にフォールバックします。[タイプ] には [Kerberos] 以外のタイプも
指 定 で き ま す。Palo Alto Networks デバイスで有効なキータブの作成の詳細は、
『PAN-OS 管理者ガイド』を参照してください。
注:デバイスが連邦情報処理標準 (FIPS) または情報セキュリティ国際評価基準 (CC)
モードになっている場合、アルゴリズムは aes128-cts-hmac-sha1-96 または aes256-ctshmac-sha1-96 である必要があります。それ以外の場合、des3-cbc-sha1 または arcfourhmac も使用できます。SSO を有効にするには、キータブのアルゴリズムと、チケット
発行サービスからクライアントに発行されるサービス チケットのアルゴリズムが一致
している必要があります。一致していないと、SSO プロセスは失敗します。サービス
チケットで使用されるアルゴリズムは、Kerberos 管理者が決定します。
78 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ローカル ユーザー データベースの作成
表 29. 認証プロファイル設定 (続き)
フィールド
説明
[詳細] タブ
許可リスト
[追加] をクリックして [all] を選択するか、このプロファイルでの認証を許可する特定
のユーザーおよびグループを選択します。エントリを追加しないと、ユーザーの認証
を行うことができません。
注:[ユーザー ドメイン] の値を入力した場合、[許可リスト] でドメインを指定する必
要はありません。たとえば、[ユーザー ドメイン] が businessinc で、ユーザー admin1
を [許可リスト] に追加する場合、「admin1」と入力すれば、「businessinc\admin1」
と入力したことになります。ディレクトリ サービスにすでに存在するグループを指定
するか、LDAP フィルタに基づいてカスタム グループを指定できます(「[カスタム グ
ループ] サブタブ」を参照)。
ユーザーまたはグループを削除するには、対応するチェック ボックスをオンにして [削
除] をクリックします。
許容ログイン回数
デバイスで許容されるログイン試行回数 (1 ~ 10) を入力します。この回数を超えると
ユーザー アカウントはロックアウトされます。値を 0(デフォルト)にすると、無制
限になります。
警告:[許容ログイン回数] を 0 以外の値に設定しても、[ロックアウト時間] を 0 のまま
にしておくと、[許容ログイン回数] は無視され、ユーザーはロックアウトされません。
ロックアウト時間
ユーザーが [許容ログイン回数] の数値に達した後にデバイスがユーザー アカウントを
ロックアウトする時間(0 ~ 60 分)を入力します。値を 0(デフォルト)にすると、管理
者が手動でユーザー アカウントのロックを解除するまでロックアウトが適用されます。
警告:[ロックアウト時間] を 0 以外の値に設定しても、[許容ログイン回数] を 0 のまま
にしておくと、[ロックアウト時間] は無視され、ユーザーはロックアウトされません。
ローカル ユーザー データベースの作成
[Device] > [ローカル ユーザー データベース] > [ユーザー]
リモート アクセス ユーザー、デバイス管理者、およびキャプティブ ポータル ユーザーの認
証情報を格納するためのローカル データベースをファイアウォール上に設定できます。この
設定で外部の認証サーバーは必要ありません。したがって、すべてのアカウント管理はファ
イアウォール上または Panorama から行われます。
表 30. ローカル ユーザー設定
フィールド
説明
名前
ユーザーを識別する名前を入力します(最大 31 文字)。名前の大文字と小
文字は区別されます。また、一意の名前にする必要があります。文字、数
字、スペース、ハイフン、およびアンダースコアのみを使用してください。
場所
Palo Alto Networks
ユーザー アカウントを使用できる範囲を選択します。複数の仮想システ
ム (vsys) があるファイアウォールの場合、vsys を選択するか、[共有](す
べての仮想システム)を選択します。その他の場合、[場所] を選択するこ
とはできません。この値は [共有](ファイアウォールの場合)または
[Panorama] として事前に定義されています。ユーザー アカウントを保存
すると、その [場所] を変更できなくなります。
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 79
ローカル ユーザー グループの追加
表 30. ローカル ユーザー設定(続き)
フィールド
説明
モード
以下のいずれかの認証オプションを指定します。
• パスワード — ユーザーのパスワードを入力および確認します。
• パスワード ハッシュ — ハッシュされたパスワード文字列を入力します。
有効化
ユーザー アカウントをアクティベーションするには、このチェック ボッ
クスをオンにします。
ユーザー情報をローカル データベースに追加するには、[ローカル ユーザー] ページを使用し
ます。キャプティブ ポータルを設定するときには、最初にローカル アカウントを作成し、
このアカウントをユーザー グループに追加し、この新しいグループを使用して認証プロファ
イルを作成します。次に、[Device] > [ユーザー認証] > [キャプティブ ポータル] からキャプ
テ ィ ブ ポ ー タ ル を 有 効 に し、認 証 プ ロ フ ァ イ ル を 選 択 し ま す。こ の 設 定 を 行 っ た ら、
[Policies] > [キャプティブ ポータル] からポリシーを作成できます。詳細は、「ファイア
ウォールへのユーザー ID の設定」を参照してください。
ローカル ユーザー グループの追加
[Device] > [ローカル ユーザー データベース] > [ユーザー グループ]
ユーザー グループ情報をローカル データベースに追加するには、[ユーザー グループ] ペー
ジを使用します。
表 31. ローカル ユーザー グループ設定
フィールド
説明
名前
グループの識別に使用する名前(最大 31 文字)を入力します。名前の大
文字と小文字は区別されます。また、一意の名前にする必要があります。
文字、数字、スペース、ハイフン、およびアンダースコアのみを使用して
ください。
場所
すべてのローカル
ユーザー
ユーザー グループを使用できる範囲を選択します。複数の仮想システム
(vsys) があるファイアウォールの場合、vsys を選択するか、[共有](すべ
ての仮想システム)を選択します。その他の場合、[場所] を選択すること
は で き ません。この値は [ 共有](ファイアウォールの場合)または
[Panorama] として事前に定義されています。ユーザー グループを保存す
ると、その [場所] を変更できなくなります。
[追加] をクリックし、グループに追加するユーザーを選択します。
80 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
RADIUS サーバーの設定
RADIUS サーバーの設定
[Device] > [サーバー プロファイル] > [RADIUS]
[Panorama ] > [サーバー プロファイル] > [RADIUS]
認証プロファイルで参照される RADIUS サーバーを設定するには、[RADIUS] ページを使用
します(「認証プロファイルのセットアップ」を参照)。
表 32. RADIUS サーバー設定
フィールド
説明
プロファイル名
サーバー プロファイルの識別に使用する名前を入力します(最大 31 文
字)。名前の大文字と小文字は区別されます。また、一意の名前にする必
要があります。文字、数字、スペース、ハイフン、およびアンダースコア
のみを使用してください。
場所
プロファイルを使用できる範囲を選択します。複数の仮想システム (vsys)
があるファイアウォールの場合、vsys を選択するか、[共有](すべての仮
想システム)を選択します。その他の場合、[場所] を選択することはでき
ません。この値は [共有](ファイアウォールの場合)または [Panorama]
として事前に定義されています。プロファイルを保存すると、その [場所]
を変更できなくなります。
管理者使用のみ
管理者アカウントでのみ認証にプロファイルを使用できるように指定する
には、このチェック ボックスをオンにします。複数の仮想システムがあ
るファイアウォールでは、[場所] が [共有] になっている場合にのみこの
チェック ボックスが表示されます。
タイムアウト
認証要求がタイムアウトするまでの時間を秒単位で入力します(範囲は
1 ~ 30、デフォルトは 3)。
再試行
タイムアウト後に行われる自動再試行回数を入力します(範囲は 1 ~ 5、
デフォルトは 3)。自動試行がこの回数に達すると、要求は失敗します。
サーバー
適切な順序で各サーバーの情報を設定します。
• 名前 — サーバーの識別に使用する名前を入力します。
• RADIUS サーバー — サーバーの IP アドレスまたは FQDN を入力します。
• シークレット / 再入力 シークレット — デバイスと RADIUS サーバー間
の接続の検証と暗号化に使用する鍵を入力し、確認します。
• ポート — 認証要求に使用するサーバーのポート(デフォルトは 1812)
を入力します。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 81
TACACS+ サーバーの設定
TACACS+ サーバーの設定
[Device] > [サーバー プロファイル] > [TACACS+]
[Panorama] > [サーバー プロファイル] > [TACACS+]
認 証 プ ロ フ ァ イ ル で 参 照 さ れ る Terminal Access Controller Access-Control System Plus
(TACACS+) サーバーを設定するには、[TACACS+] ページを使用します(「認証プロファイ
ルのセットアップ」を参照)。
表 33. TACACS+ サーバー設定
フィールド
説明
プロファイル名
サーバー プロファイルの識別に使用する名前を入力します(最大 31 文
字)。名前の大文字と小文字は区別されます。また、一意の名前にする必
要があります。文字、数字、スペース、ハイフン、およびアンダースコア
のみを使用してください。
場所
プロファイルを使用できる範囲を選択します。複数の仮想システム (vsys)
があるファイアウォールの場合、vsys を選択するか、[共有](すべての仮
想システム)を選択します。その他の場合、[場所] を選択することはでき
ません。この値は [共有](ファイアウォールの場合)または [Panorama]
として事前に定義されています。プロファイルを保存すると、その [場所]
を変更できなくなります。
管理者使用のみ
管理者アカウントでのみ認証にプロファイルを使用できるように指定する
に は、このチェック ボックスをオンにします。マルチ vsys ファイア
ウォールでは、[場所] が [共有] になっている場合にのみこのチェック
ボックスが表示されます。
タイムアウト
認証要求がタイムアウトするまでの時間を秒単位で入力します(範囲は
1 ~ 20、デフォルトは 3)。
すべての認証に
単一接続を使用
すべての認証で同じ TCP セッションを使用するには、このチェック ボッ
クスをオンにします。このオプションでは、認証イベントごとに個別の
TCP セッションを開始および破棄するために必要な処理を回避できるた
め、パフォーマンスが向上します。
サーバー
[追加] をクリックして、TACACS+ サーバーごとに以下の設定を指定し
ます。
• 名前 — サーバーの識別に使用する名前を入力します。
• TACACS+ サーバー — TACACS+ サーバーの IP アドレスまたは FQDN
を入力します。
• シークレット / 再入力 シークレット — デバイスと TACACS+ サーバー
間の接続の検証と暗号化に使用する鍵を入力し、確認します。
• ポート — 認証要求に使用するサーバーのポート(デフォルトは 49)を入
力します。
82 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
LDAP サーバーの設定
LDAP サーバーの設定
[Device] > [サーバー プロファイル] > [LDAP]
[Panorama ] > [サーバー プロファイル] > [LDAP]
認証プロファイルで参照される LDAP サーバーを設定するには、[LDAP] ページを使用しま
す(「認証プロファイルのセットアップ」を参照)。
表 34. LDAP サーバー設定
フィールド
説明
プロファイル名
プロファイルの識別に使用する名前を入力します(最大 31 文字)。名前
の大文字と小文字は区別されます。また、一意の名前にする必要がありま
す。文字、数字、スペース、ハイフン、およびアンダースコアのみを使用
してください。
場所
プロファイルを使用できる範囲を選択します。複数の仮想システム (vsys)
があるファイアウォールの場合、vsys を選択するか、[共有](すべての仮
想システム)を選択します。その他の場合、[場所] を選択することはでき
ません。この値は [共有](ファイアウォールの場合)または [Panorama]
として事前に定義されています。プロファイルを保存すると、その [場所]
を変更できなくなります。
管理者使用のみ
管理者アカウントでのみ認証にプロファイルを使用できるように指定する
には、このチェック ボックスをオンにします。複数の仮想システムがあ
るファイアウォールでは、[場所] が [共有] になっている場合にのみこの
チェック ボックスが表示されます。
サーバー
LDAP サーバーごとに、[追加] をクリックしてホストの [名前]、IP アドレ
スまたは FQDN([LDAP サーバー])、および [ポート](デフォルトは
389)を入力します。
タイプ
ドロップダウン リストからサーバー タイプを選択します。
ベース DN
ユーザーまたはグループ情報の検索を絞り込むための、ディレクトリ
サーバーのルート コンテキストを指定します。
バインド DN
ディレクトリ サーバーのログイン名(識別名)を指定します。
パスワード /
パスワード再入力
バインド アカウントのパスワードを指定します。エージェントは暗号化
したパスワードを設定ファイルに保存します。
バインドの
タイムアウト
ディレクトリ サーバーに接続するときの時間制限を指定します(1 ~ 30 秒、
デフォルトは 30 秒)。
検索のタイムアウト
ディレクトリ検索を実行するときの時間制限を指定します(1 ~ 30 秒、
デフォルトは 30 秒)。
再試行間隔
システムが LDAP サーバーへの接続試行に失敗してから次に接続を試みる
までの間隔を秒単位で指定します(範囲は 1 ~ 3600、デフォルトは 60)。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 83
Kerberos サーバーの設定
表 34. LDAP サーバー設定 (続き)
フィールド
説明
SSL/TLS で保護された
接続を要求
デバイスで SSL または TLS を使用してディレクトリ サーバーと通信する
場合、このチェック ボックスをオンにします。プロトコルは、サーバー
ポートによって異なります。
• 389(デフォルト)— TLS(具体的には、デバイスは StartTLS 操作を使用
して、最初のプレーンテキスト接続を TLS にアップグレードします)
• 636 — SSL
• その他の任意のポート — デバイスはまず TLS を使用しようとします。
ディレクトリ サーバーで TLS がサポートされていない場合、デバイス
は SSL にフォールバックします。
このチェック ボックスはデフォルトでオンになっています。
SSL セッションの
サーバー証明書の確認
SSL/TLS 接続のためにディレクトリ サーバーから提供される証明書をデ
バイスで検証する場合は、このチェック ボックスをオンにします(デフォ
ルトではオフ)。デバイスは、以下の 2 点について証明書を検証します。
• 証明書が信頼されていて有効であること。デバイスで証明書を信頼する
には、そのルート認証局 (CA) とすべての中間証明書が [Device] > [証明
書の管理] > [証明書] > [デバイス証明書] の証明書ストアに含まれている
必要があります。
• 証明書名が LDAP サーバーのホストの [名前] と一致していること。デ
バイスは、まず証明書の「サブジェクト代替名」属性が一致しているか
どうかをチェックし、次に「サブジェクト DN」属性を試行します。証明
書でディレクトリ サーバーの FQDN が使用されている場合、[LDAP サー
バー] フィールドに FQDN を使用しないと、名前の照合に失敗します。
検証に失敗すると、接続できません。この検証を有効にするには、[SSL/
TLS で保護された接続を要求] チェック ボックスをオンにする必要もあり
ます。
Kerberos サーバーの設定
[Device] > [サーバー プロファイル] > [Kerberos]
[Panorama ] > [サーバー プロファイル] > [Kerberos]
ユーザーがネイティブに Active Directory ドメイン コントローラまたは Kerberos V5 準拠の認
証サーバーの認証を受けることができるようにするサーバー プロファイルを設定するには、
[Kerberos] ページを使用します。Kerberos サーバー プロファイルを設定したら、認証プロ
ファイルに割り当てることができます(「認証プロファイルのセットアップ」を参照)。
Kerberos 認証を使用するには、IPv4 アドレスでバックエンド Kerberos
サーバーにアクセスできる必要があります。IPv6 アドレスはサポートさ
れません。
84 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
認証シーケンスのセットアップ
表 35. Kerberos サーバー設定
フィールド
説明
プロファイル名
サーバーを識別する名前を入力します(最大 31 文字)。名前の大文字と小
文字は区別されます。また、一意の名前にする必要があります。文字、数
字、スペース、ハイフン、およびアンダースコアのみを使用してください。
場所
プロファイルを使用できる範囲を選択します。複数の仮想システム (vsys)
があるファイアウォールの場合、vsys を選択するか、[共有](すべての仮
想システム)を選択します。その他の場合、[場所] を選択することはでき
ません。この値は [共有](ファイアウォールの場合)または [Panorama]
として事前に定義されています。プロファイルを保存すると、その [場所]
を変更できなくなります。
管理者使用のみ
管理者アカウントでのみ認証にプロファイルを使用できるように指定する
には、このチェック ボックスをオンにします。複数の仮想システムがあ
るファイアウォールでは、[場所] が [共有] になっている場合にのみこの
チェック ボックスが表示されます。
サーバー
Kerberos サーバーごとに、[追加] をクリックして以下の設定を指定します。
• 名前 — サーバーの名前を入力します。
• Kerberos サーバー — サーバーの IPv4 アドレスまたは FQDN を入力し
ます。
• ポート — サーバーと通信するためのポート(デフォルトは 88)を入力し
ます(任意)。
認証シーケンスのセットアップ
[Device] > [認証シーケンス]
[Panorama] > [認証シーケンス]
一部の環境では、ユーザー アカウントが複数のディレクトリ内に存在します(たとえば、
ローカル データベース、LDAP、RADIUS)。認証シーケンスは、ユーザーのログイン時に
Palo Alto Networks デバイスがユーザーの認証に使用する一連の認証プロファイルです。デ
バイスは、1 つのプロファイルで正常にユーザーが認証されるまで、リストの上から下に順
番にプロファイルを試行し、認証、Kerberos シングル サインオン、許可リスト、アカウン
ト ロックアウト値を各ユーザーに適用します。シーケンスのすべてのプロファイルで認証で
きなかった場合にのみ、デバイスはアクセスを拒否します。認証プロファイルの詳細は、
「認証プロファイルのセットアップ」を参照してください。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 85
ログのエクスポートのスケジューリング
表 36. 認証シーケンス設定
フィールド
説明
名前
シーケンスの識別に使用する名前を入力します。名前の大文字と小文字は
区別され、文字、数字、スペース、ハイフン、アンダースコア、およびピ
リオドのみを含む最大 31 文字を指定できます。名前は、他の認証シーケ
ンスや認証プロファイルに対して、現在の [場所](ファイアウォールまた
は仮想システム)で一意である必要があります。
警告:複数の仮想システムがあるファイアウォールで、認証シーケンスの
[場所] が仮想システム (vsys) になっている場合、共有の場所の認証プロ
ファイルと同じ名前を入力しないでください。同様に、シーケンスの [場
所] が [共有] になっている場合、vsys のプロファイルと同じ名前を入力し
ないでください。このようなケースでは、同じ名前の認証シーケンスおよ
びプロファイルをコミットすることはできますが、参照エラーが発生する
可能性があります。
場所
シーケンスを使用できる範囲を選択します。複数の仮想システム (vsys)
があるファイアウォールの場合、vsys を選択するか、[共有](すべての仮
想システム)を選択します。その他の場合、[場所] を選択することはでき
ません。この値は [共有](ファイアウォールの場合)または [Panorama]
として事前に定義されています。シーケンスを保存すると、その [場所]
を変更できなくなります。
ドメインを使用して
認証プロファイルを
決定します
デバイスで、シーケンスに関連付けられている認証プロファイルの [ユー
ザー ドメイン] または [Kerberos レルム] を使用して、ユーザーがログイ
ン中に入力するドメイン名を照合し、そのプロファイルを使用してユー
ザーを認証する場合、このチェック ボックスをオン(デフォルト)にし
ます。デバイスが照合に使用するユーザー入力は、ユーザー名の前のテキ
スト(区切り文字は円記号)またはユーザー名の後のテキスト(区切り文
字は @)になります。一致が見つからない場合、デバイスはシーケンスの
認証プロファイルを上から下の順に試行します。
認証プロファイル
[追加] をクリックし、シーケンスに追加する各認証プロファイルのドロッ
プダウンから選択します。リストの順番を変更するには、プロファイルを
選択して [上へ] または [下へ] をクリックします。プロファイルを削除す
るには、プロファイルを選択して [削除] をクリックします。
ログのエクスポートのスケジューリング
[Device] > [スケジュール設定されたログのエクスポート]
ログのエクスポートをスケジューリングして File Transfer Protocol (FTP) サーバーに CSV 形
式で保存するか、Secure Copy (SCP) を使用してデバイスとリモート ホスト間でデータを安
全に転送できます。ログのプロファイルには、スケジュールと FTP サーバーの情報が含まれ
ています。たとえば、プロファイルを使用して、毎日 3:00 AM に前日のログを収集して特定
の FTP サーバーに保存するように指定できます。
86 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ログの宛先の定義
[追加] をクリックし、以下の詳細を入力します。
表 37. スケジューリングされたログのエクスポート設定
フィールド
説明
名前
プロファイルの識別に使用する名前を入力します(最大 31 文字)。名前
の大文字と小文字は区別されます。また、一意の名前にする必要がありま
す。文字、数字、スペース、ハイフン、およびアンダースコアのみを使用
してください。
プロファイルを作成した後でこの名前を変更することはできません。
説明
説明(最大 255 文字)を入力します(任意)。
有効
ログのエクスポートのスケジューリングを有効にするには、このチェック
ボックスをオンにします。
ログ タイプ
ロ グのタイプ([traffic]、[threat]、[url]、[data]、または [hipmatch])を
選択します。デフォルトは [traffic] です。
エクスポートの
開始予定時刻(毎日)
エクスポートを開始する時間 (hh:mm) を 24 時間形式 (00:00 ~ 23:59) で入
力します。
プロトコル
ファイアウォールからリモート ホストへのログのエクスポートに使用す
るプロトコルを選択します。SCP を使用すると、ログを安全にエクス
ポートできますが、安全なプロトコルではない FTP も使用できます。
SCP を使用している場合は、[SCP サーバー接続のテスト] ボタンをクリッ
クして、ファイアウォールと SCP サーバー間の接続をテストし、SCP
サーバーのホスト キーを検証して受け入れる必要があります。
ホスト名
エクスポートに使用する FTP サーバーのホスト名または IP アドレスを入
力します。
ポート
FTP サーバーで使用するポート番号を入力します。デフォルトは 21 です。
パス
エクスポートした情報の保存に使用する FTP サーバー上のパスを指定し
ます。
FTP パッシブ モードを
有効にする
エクスポートにパッシブ モードを使用するには、このチェック ボックスを
オンにします。デフォルトでは、このオプションはオンになっています。
ユーザー名
FTP サーバーへのアクセスに使用するユーザー名を入力します。デフォル
トは [anonymous] です。
パスワード
FTP サーバーへのアクセスに使用するパスワードを入力します。ユーザー
が「anonymous」の場合、パスワードは必要ありません。
ログの宛先の定義
[Device] > [ログ設定]
ファイアウォールで設定の変更、システム イベント、HIP マッチ ログ、相関ログ(一部の
プラットフォーム)を記録できるようにしたり、アラームの設定および有効化をできるよう
にしたりするには、このページを使用します。ログごとに Panorama へのリモート ログを有
効にしたり、SNMP トラップを生成したり、Syslog メッセージや電子メール通知を送信する
ための Syslog プロファイルおよび電子メール サーバー プロファイルを選択したりできます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 87
ログの宛先の定義
以下の表に、リモート ログの宛先を示します。
表 38. リモート ログの宛先
宛先
説明
Panorama
すべてのログ エントリは Panorama(Palo Alto 中央管理アプライアンス)に
転送できます。Panorama サーバーのアドレスを指定する方法については、
「管理設定の定義」を参照してください。
SNMP トラップ
SNMP トラップは、システム、脅威、およびトラフィック ログ エントリの重
大度レベル別に生成できます。ただし、設定ログ エントリは対象外となりま
す。SNMP トラップの宛先を定義する方法については、「SNMP トラップの
宛先の設定」を参照してください。
Syslog
Syslog メッセージは、システム、脅威、トラフィック、設定ログ エントリの
重大度レベル別に生成できます。Syslog の宛先を定義する方法については、
「Syslog サーバーの設定」を参照してください。
電子メール
電子メール通知は、システム、脅威、トラフィック、設定ログ エントリの重
大度レベル別に送信できます。電子メールの受信者とサーバーを定義する方
法については、「電子メール通知設定の指定」を参照してください。
注: トラフィック、脅威、および WildFire ログの宛先を設定する方法については、「ログの転送」を
参照してください。
設定ログの設定
設定ウィジットでは、設定ログ エントリの設定を定義できます。
表 39. 設定ログの設定
フィールド
説明
Panorama
設定ログ エントリを Panorama 中央管理システムに送信できるようにす
るには、このチェック ボックスをオンにします。
SNMP トラップ
設定ログ エントリの SNMP トラップを生成するには、SNMP トラップ
サーバー プロファイルを選択します。SNMP トラップの新しい宛先を指
定する方法については、「SNMP トラップの宛先の設定」を参照してく
ださい。
電子メール
設定ログ エントリの電子メール通知を生成するには、ドロップダウンか
ら電子メール プロファイルを選択します。新しい電子メール プロファ
イルを指定する方法については、「電子メール通知設定の指定」を参照
してください。
Syslog
設定ログ エントリの Syslog メッセージを生成するには、Syslog サー
バーの名前を選択します。新しい Syslog サーバーを指定する方法につい
ては、「Syslog サーバーの設定」を参照してください。
88 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ログの宛先の定義
システム ログの設定
システム ログでは、システム イベント(HA の障害、リンク状態の変更、および管理者の
ファイアウォールへのログイン / ファイアウォールからのログアウトなど)が示されます。
イベントの重大度に基づいて、Panorama を使用してリモートでログに記録されるシステム
ログ エントリの送信方法(SNMP トラップ、Syslog メッセージ、電子メール通知)を指定
できます。
表 40. システム ログの設定
フィールド
説明
Panorama
各重大度レベルのシステム ログ エントリが Panorama 中央管理システム
に送信されるようにするには、このチェック ボックスをオンにします。
Panorama サーバーのアドレスを指定する方法については、「管理設定
の定義」を参照してください。
以下の重大度レベルがあります。
• Critical — HA フェイルオーバーなどのハードウェア障害やリンク障害
です。
• High — 外部デバイス(Syslog サーバーや RADIUS サーバーなど)と
の接続の切断など、深刻な問題です。
• Medium — アンチウイルス パッケージのアップグレードなど、中レベ
ルの通知です。
• Low — ユーザー パスワードの変更など、それほど重要ではない通知
です。
• Informational — ログイン / ログオフ、管理者名やパスワードの変更、
設定の変更、および重大度レベルに含まれない他のすべてのイベント
です。
SNMP トラップ
電子メール
Syslog
重大度レベルごとに SNMP、Syslog、電子メールの設定を選択します。
この設定では、システム ログ エントリの追加の宛先を指定します。新
しい宛先を定義する方法については、以下のセクションを参照してくだ
さい。
• 「SNMP トラップの宛先の設定」。
• 「Syslog サーバーの設定」。
• 「電子メール通知設定の指定」。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 89
ログの宛先の定義
相関ログの設定
相関ログは、相関オブジェクトがパターンまたは動作に一致して、相関イベントがログに記
録されるときに生成されます。相関イベントでは、ネットワーク上のユーザーまたはホスト
の疑わしい動作や異常な動作の証拠が収集されます。相関エンジンの詳細は、「自動相関エ
ンジンの使用」を参照してください。
イベントの重大度に基づいて、Panorama を使用してリモートでログに記録されるシステム
ログ エントリの送信方法(SNMP トラップ、Syslog メッセージ、電子メール通知)を指定
できます。
表 41. 相関ログの設定
フィールド
説明
Panorama
各重大度レベルの相関ログ エントリが Panorama に送信されるようにす
るには、このチェック ボックスをオンにします。
以下の重大度レベルがあります。
• 重要 — 拡散パターンを示す相関イベントに基づいて、ホストが侵入さ
れたことが確認されました。たとえば、WildFire によって有害と判定
されたファイルをホストが受信し、WildFire サンドボックスでその有
害ファイルのコマンドアンドコントロール活動として確認されたもの
と同じ活動がホストで示された場合、重要イベントがログに記録され
ます。
• 高 — 複数の脅威イベント間の相関に基づいて、ホストが侵入された可
能性が高いことを示します。たとえば、ネットワーク上の任意の場所
で検出されたマルウェアが、特定のホストから生成されているコマン
ドアンドコントロール活動と一致する場合です。
• 中 — 1 つまたは複数の疑わしいイベントの検出に基づいて、ホストが
侵入された可能性があることを示します。たとえば、スクリプト化さ
れたコマンドアンドコントロール活動を示している既知の有害な URL
への頻繁なアクセスがある場合です。
• 低 — 1 つまたは複数の疑わしいイベントの検出に基づいて、ホストが
侵入されたと考えられることを示します。たとえば、有害な URL やダ
イナミック DNS ドメインへのアクセスがあった場合です。
• 情報 — 疑わしい活動を識別するための集約で役立つ可能性があるイベ
ントを検出します。各イベントはそれ自体が必ずしも重要ではありま
せん。
SNMP トラップ
電子メール
Syslog
重大度レベルごとに SNMP、Syslog、電子メールの設定を選択します。
この設定では、相関ログ エントリの追加の宛先を指定します。新しい宛
先を定義する方法については、以下のセクションを参照してください。
• 「SNMP トラップの宛先の設定」。
• 「Syslog サーバーの設定」。
• 「電子メール通知設定の指定」。
90 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ログの宛先の定義
HIP マッチ ログの設定
ホスト情報プロファイル (HIP) 一致ログの設定は、GlobalProtect クライアントに適用される
セキュリティ ポリシーに関する情報を提供するために使用されます。
表 42. HIP マッチ ログの設定
フィールド
説明
Panorama
設定ログ エントリを Panorama 中央管理システムに送信できるようにす
るには、このチェック ボックスをオンにします。
SNMP トラップ
HIP マッチ ログ エントリの SNMP トラップを生成するには、トラップ
の宛先の名前を選択します。SNMP トラップの新しい宛先を指定する方
法については、「SNMP トラップの宛先の設定」を参照してください。
電子メール
設定ログ エントリの電子メール通知を生成するには、適切な電子メール
アドレスが指定されている電子メール設定の名前を選択します。新しい
電子メール設定を指定する方法については、「電子メール通知設定の指
定」を参照してください。
Syslog
設定ログ エントリの Syslog メッセージを生成するには、Syslog サー
バーの名前を選択します。新しい Syslog サーバーを指定する方法につい
ては、「Syslog サーバーの設定」を参照してください。
アラーム設定の定義
[アラーム設定] では、CLI や Web インターフェイスのアラームおよびアラーム通知を有効に
できます。また、以下のイベントの通知を設定することもできます。
• 指定したしきい値および指定した時間間隔内でセキュリティ ルール(またはルールのグ
ループ)が一致する。
• 暗号化 / 復号化エラーのしきい値に達する。
• 各ログ タイプのログ データベースの上限に近い。デフォルトでは、空きディスク領域の
90% が使用された場合に通知されるように割り当てが設定されています。アラームを設
定すると、ディスクがいっぱいになってログが消去される前に対処できます。
[アラーム] オプションが設定されている場合は、Web インターフェイスの右下隅にある [ア
ラーム] アイコン
をクリックして、いつでもアラームの現在のリストを表示できま
す。これにより、現在のアラーム ログに未承認のアラームおよび承認済みのアラームを表示
するウィンドウが開きます。
アラームを承認するには、チェック ボックスをオンにして [確認] をクリックします。このア
クションは、[確認されたアラーム] リストにアラームを移動します。アラーム ウィンドウに
は、ページ送り、列のソート、およびリフレッシュ制御も含まれます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 91
ログの宛先の定義
アラームを追加するには、[アラーム設定] セクションを編集し、以下の表を使用してアラー
ムを定義します。
表 43. アラーム ログの設定
フィールド
説明
アラームの有効化
このページに表示されたイベントに基づいてアラームを有効にします。
は、[アラームの有効化] チェック ボックスが
[アラーム] ボタン
オンになっている場合にのみ表示されます。
CLI アラーム通知の
有効化
アラームが発生するたびに CLI アラーム通知を有効にします。
Web アラーム通知の
有効化
ウィンドウを開いてユーザー セッションに関するアラーム(ユーザー
セッションの発生や承認のタイミングなど)を表示します。
音声アラームの有効化
Web インターフェイスまたは CLI に未承認のアラームがある場合に可聴
音を再生し続けます。
暗号化 / 復号化エラー
しきい値
アラームが生成されるまでの暗号化 / 復号化の失敗回数を指定します。
ログ DB アラームしきい
値(パーセント フル)
ログのデータベースが指定した最大サイズのパーセンテージに達した場
合にアラームを生成します。
セキュリティ ポリシー
の制限
[セキュリティ違反時間] 設定で指定した期間(秒数)に特定の IP アドレ
スまたはポートが [セキュリティ違反のしきい値] 設定で指定した回数に
ヒットした場合、アラームが生成されます。
セキュリティ ポリシー
グループ制限
[違反の期間] フィールドで指定した期間に一連のルールが [違反のしきい
値] フィールドで指定したルール制限違反数に達した場合、アラームが
生成されます。セッションが明示的な拒否ポリシーに一致するときに、
違反が数えられます。
[セキュリティ ポリシー タグ] を使用して、ルールの制限しきい値でア
ラームが生成されるタグを指定します。これらのタグは、セキュリティ
ポリシーを定義するときに指定できるようになります。
選択的監査
注:これらの設定は、共通基準モードの場合にのみ [アラーム] ページに
表示されます。
以下の設定を指定します。
• CC 固有のロギング — 情報セキュリティ国際評価基準 (CC) に準拠する
ために必要な詳細なログ記録が有効になります。
• ログイン成功ログ — ファイアウォールへの管理者ログインの成功が記
録されます。
• ログイン失敗ログ — ファイアウォールへの管理者ログインの失敗が記
録されます。
• 抑制された管理者 — リストの管理者がファイアウォール設定に対して
行った変更のログが生成されません。
ログ設定の管理
ログが設定されている場合、ファイアウォールは設定の変更、システム イベント、セキュリ
ティの脅威、トラフィック フロー、デバイスによって生成されたアラームを記録します。デ
バイスのログをクリアするには、[ログの管理] ページを使用します。クリアするログ(トラ
フィック、脅威、URL、データ、設定、システム、HIP マッチ、アラーム)に対応するリン
クをクリックします。
92 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
SNMP トラップの宛先の設定
SNMP トラップの宛先の設定
[Device] > [サーバー プロファイル] > [SNMP トラップ]
[Panorama] > [サーバー プロファイル] > [SNMP トラップ]
SNMP (Simple Network Management Protocol) は、ネットワーク上のデバイスをモニターす
る標準プロトコルです。システム イベントやネットワーク上の脅威に関するアラートを通知
するために、モニター対象デバイスから SNMP マネージャ(トラップ サーバー)に SNMP
トラップが送信されます。ファイアウォールまたは Panorama から SNMP マネージャにト
ラップを送信できるようにするサーバー プロファイルを設定するには、[SNMP トラップ]
ページを使用します。SNMP GET(SNMP マネージャからの統計情報要求)を有効にする方
法については、「SNMP モニタリングの有効化」を参照してください。
サーバー プロファイルを作成したら、ファイアウォールをトリガーして SNMP トラップを
送信するログ タイプを指定する必要があります(「ログの宛先の定義」を参照)。Palo Alto
Networks デバイスからのトラップを解釈できるように SNMP マネージャにロードする必要
のある MIB のリストは、『サポートされる MIB』を参照してください。
システム ログの設定またはログのプロファイルで使用されるサーバー プ
ロファイルは削除しないでください。
表 44. SNMP トラップ サーバー プロファイルの設定
フィールド
説明
名前
SNMP プロファイルの名前を入力します(最大 31 文字)。名前の大文
字と小文字は区別されます。また、一意の名前にする必要があります。
文字、数字、スペース、ハイフン、およびアンダースコアのみを使用し
てください。
場所
プロファイルを使用できる範囲を選択します。複数の仮想システム
(vsys) があるファイアウォールの場合、vsys を選択するか、[共有](す
べての仮想システム)を選択します。その他の場合、[場所] を選択する
ことはできません。この値は [共有](ファイアウォールの場合)または
[Panorama] として事前に定義されています。プロファイルを保存する
と、その [場所] を変更できなくなります。
バージョン
SNMP バージョン(V2c(デフォルト)または V3)を選択します。こ
の選択内容により、ダイアログに表示される残りのフィールドが決まり
ます。どちらのバージョンでも、最大 4 つの SNMP マネージャを追加
できます。
SNMP V2c の場合
名前
SNMP マネージャの名前を指定します。名前には、最大 31 文字(英数
字、ピリオド、アンダースコア、またはハイフン)を含めることができ
ます。
SNMP マネージャ
SNMP マネージャの FQDN または IP アドレスを指定します。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 93
SNMP トラップの宛先の設定
表 44. SNMP トラップ サーバー プロファイルの設定(続き)
フィールド
説明
コミュニティ
SNMP マネージャおよびモニター対象デバイスの SNMP コミュニティ
を識別し、トラップの転送時にコミュニティ メンバーを相互認証するた
めのパスワードとして機能するコミュニティ文字列を入力します。コ
ミュニティ文字列には最大 127 文字を含めることができます。また、す
べての文字を使用でき、大文字と小文字が区別されます。デフォルトの
コミュニティ文字列 public を使用しないことをお勧めします。SNMP
メッセージにはクリア テキストのコミュニティ文字列が含まれているた
め、コミュニティ メンバーシップ(管理者アクセス)を定義するときに
ネットワークのセキュリティ要件を考慮してください。
SNMP V3 の場合
名前
SNMP マネージャの名前を指定します。名前には、最大 31 文字(英数
字、ピリオド、アンダースコア、またはハイフン)を含めることができ
ます。
SNMP マネージャ
SNMP マネージャの FQDN または IP アドレスを指定します。
ユーザー
SNMP ユーザー アカウントの識別に使用する名前を指定します(最大
31 文字)。デバイスで設定するユーザー名は、SNMP マネージャで設
定したユーザー名と一致する必要があります。
エンジン ID
デバイスのエンジン ID を指定します。SNMP マネージャとでデバイス
が相互認証する場合、トラップ メッセージではこの値を使用して一意に
デバイスを識別します。このフィールドを空白のままにすると、メッ
セージではデバイス シリアル番号が [エンジン ID] として使用されま
す。値は、16 進数形式(0x のプレフィックスと、5 ~ 64 バイトの数値
を表す 10 ~ 128 文字(バイトあたり 2 文字))で入力する必要があり
ます。高可用性 (HA) 設定のデバイスの場合、トラップを送信した HA
ピアを SNMP マネージャが識別できるようにこのフィールドを空白の
ままにします。空白にしないと、値が同期され、両方のピアで同じ [エ
ンジン ID] が使用されます。
認証パスワード
SNMP ユーザーの認証パスワードを指定します。デバイスはこのパス
ワードを使用して SNMP マネージャの認証を受けます。デバイスは、
Secure Hash Algorithm (SHA-1 160) を使用してパスワードを暗号化しま
す。パスワードには、8 ~ 256 文字のあらゆる文字を使用できます。
専用パスワード
SNMP ユーザーの専用パスワードを指定します。デバイスは、このパス
ワードと Advanced Encryption Standard (AES-128) を使用して、トラッ
プを暗号化します。パスワードには、8 ~ 256 文字のあらゆる文字を使
用できます。
94 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
Syslog サーバーの設定
Syslog サーバーの設定
[Device] > [サーバー プロファイル] > [Syslog]
[Panorama ] > [サーバー プロファイル] > [Syslog]
システム、設定、トラフィック、脅威、または HIP Match ログの Syslog メッセージを生成す
るには、Syslog サーバーを 1 つ以上指定する必要があります。Syslog サーバーを定義したら、
システム ログ エントリと設定ログ エントリに使用できます(「設定ログの設定」を参照)。
表 45. 新しい Syslog サーバー
フィールド
説明
名前
Syslog プロファイルの名前(最大 31 文字)を入力します。名前の大文
字と小文字は区別されます。また、一意の名前にする必要があります。
文字、数字、スペース、ハイフン、およびアンダースコアのみを使用し
てください。
場所
プロファイルを使用できる範囲を選択します。複数の仮想システム
(vsys) があるファイアウォールの場合、vsys を選択するか、[共有](す
べての仮想システム)を選択します。その他の場合、[場所] を選択する
ことはできません。この値は [共有](ファイアウォールの場合)または
[Panorama] として事前に定義されています。プロファイルを保存する
と、その [場所] を変更できなくなります。
[サーバー] タブ
名前
[追加] をクリックし、Syslog サーバーの名前(最大 31 文字)を入力し
ます。名前の大文字と小文字は区別されます。また、一意の名前にする
必要があります。文字、数字、スペース、ハイフン、およびアンダース
コアのみを使用してください。
サーバー
Syslog サーバーの IP アドレスを入力します。
転送
Syslog メッセージの転送方法を UDP、TCP、SSL から選択します。
ポート
Syslog サーバーのポート番号を入力します。UDP の標準ポートは 514、
SSL の標準ポートは 6514 で、TCP の場合はポート番号を指定する必要
があります。
フォーマット
使用する Syslog フォーマットとして BSD(デフォルト)または IETF を
指定します。
ファシリティ
Syslog の標準値のいずれかを選択します。Syslog サーバーが [ファシリ
ティ] フィールドを使用してメッセージを管理する方法に対応する値を
選択します。[ファシリティ] フィールドの詳細は、RFC 3164(BSD フォー
マット)または RFC 5424(IETF フォーマット)を参照してください。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 95
電子メール通知設定の指定
表 45. 新しい Syslog サーバー(続き)
フィールド
説明
[カスタム ログ
フォーマット] タブ
ログ タイプ
ログ タイプをクリックして、カスタム ログ形式を指定するためのダイ
アログ ボックスを開きます。ダイアログ ボックスで、フィールドをク
リックして [ログ形式] エリアに追加します。その他のテキスト文字列
は、[ログ形式] エリアで直接編集できます。[OK] をクリックして設定を
保存します。カスタム ログで使用できる各フィールドの説明を確認して
ください。
カスタム ログで使用できるフィールドの詳細は、「電子メール通知設定
の指定」を参照してください。
エスケープ
エスケープ シーケンスを指定します。[エスケープされた文字] ボックスを
使用して、エスケープするすべての文字をスペースなしで表示します。
システムまたは設定のログの設定やログのプロファイルで使用されている
サーバーは削除できません。
電子メール通知設定の指定
[Device] > [サーバー プロファイル] > [電子メール]
[Panorama ] > [サーバー プロファイル] > [電子メール]
ログの電子メール メッセージを生成するには、電子メール プロファイルを設定する必要が
あります。電子メール設定を定義したら、システム ログ エントリと設定ログ エントリ用に
電子メール通知を有効にできます(「設定ログの設定」を参照)。電子メール レポート配信
のスケジューリングの詳細は、「電子メールで配信するレポートのスケジューリング」を参
照してください。
表 46. 電子メール通知設定
フィールド
説明
名前
サーバー プロファイルの名前を入力します(最大 31 文字)。名前の大
文字と小文字は区別されます。また、一意の名前にする必要がありま
す。文字、数字、スペース、ハイフン、およびアンダースコアのみを使
用してください。
場所
プロファイルを使用できる範囲を選択します。複数の仮想システム
(vsys) があるファイアウォールの場合、vsys を選択するか、[共有](す
べての仮想システム)を選択します。その他の場合、[場所] を選択する
ことはできません。この値は [共有](ファイアウォールの場合)または
[Panorama] として事前に定義されています。プロファイルを保存する
と、その [場所] を変更できなくなります。
[サーバー] タブ
サーバー
サーバーの識別に使用する名前を入力します(1 ~ 31 文字)。この
フィールドは単なるラベルであり、既存の SMTP サーバーのホスト名で
ある必要はありません。
96 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
Netflow の設定
表 46. 電子メール通知設定(続き)
フィールド
説明
表示名
電子メールの [送信者] フィールドに表示される名前を入力します。
送信者 IP
送信元の電子メール アドレス(「[email protected]」など)
を入力します。
宛先
受信者の電子メール アドレスを入力します。
その他の受信者
別の受信者の電子メール アドレスを入力します(任意)。追加できるの
は 1 名の受信者のみです。複数の受信者を追加するには、配布リストの
電子メール アドレスを追加します。
ゲートウェイ
電子メールの送信に使用される Simple Mail Transport Protocol (SMTP)
サーバーの IP アドレスまたはホスト名を入力します。
[カスタム ログ
フォーマット] タブ
ログ タイプ
ログ タイプをクリックして、カスタム ログ形式を指定するためのダイ
アログ ボックスを開きます。ダイアログ ボックスで、フィールドをク
リックして [ログ形式] エリアに追加します。[OK] をクリックして設定
を保存します。
エスケープ
エスケープされた文字を組み込み、エスケープ文字を指定します。
システムまたは設定のログ設定やログのプロファイルで使用されている電
子メール設定は削除できません。
Netflow の設定
[Device] > [サーバー プロファイル] > [Netflow]
PA-4000 シリーズと PA-7000 シリーズのファイアウォールを除くすべてのファイアウォール
で、NetFlow バージョン 9 をサポートしています。このファイアウォールでは、双方向では
なく、一方向の NetFlow のみをサポートします。NetFlow のエクスポートは、HA、ログ
カード、または復号化ミラーを除いて、すべてのインターフェイス タイプで有効にすること
ができます。ファイアウォールでは、標準およびエンタープライズ(PAN-OS 固有)の
NetFlow テンプレートをサポートしています。NetFlow コレクタには、エクスポートされた
フィールドを解読するためのテンプレートが必要です。ファイアウォールでは、エクスポー
トするデータのタイプ(IPv4 または IPv6 トラフィック、NAT を使用するかどうか、標準ま
たはエンタープライズ固有のフィールド)に基づいてテンプレートを選択します。
Netflow データ エクスポートを設定するには、Netflow サーバー プロファイルを定義しま
す。これは、データを受け取る Netflow サーバーと、エクスポート パラメータを指定しま
す。インターフェイスにプロファイルを割り当てると(「ファイアウォール インターフェイ
スの設定」を参照)、ファイアウォールは、そのインターフェイスを通過するすべてのトラ
フィックの NetFlow データを指定のサーバーにエクスポートします。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 97
DNS サーバー プロファイルの設定
表 47. Netflow 設定
フィールド
説明
名前
Netflow サーバー プロファイルの名前を入力します(最大 31 文字)。
名前の大文字と小文字は区別されます。また、一意の名前にする必要が
あります。文字、数字、スペース、ハイフン、およびアンダースコアの
みを使用してください。
テンプレート更新レート
ファイアウォールが NetFlow テンプレートを更新して、そのフィール
ドへの変更または選択したテンプレートへの変更を適用するまでの間隔
を [分](1 ~ 3600、デフォルトは 30)または [パケット](1 ~ 600、デ
フォルトは 20)の数で指定します。必要な更新頻度は、NetFlow コレ
クタに応じて異なります。サーバー プロファイルに複数の NetFlow コレ
クタを追加する場合、更新レートが最も速いコレクタの値を使用します。
アクティブ
タイムアウト
ファイアウォールが各セッションのデータ レコードをエクスポートする
頻度(分単位)を指定します(1 ~ 60 分、デフォルトは 5 分)。NetFlow
コレクタがトラフィック統計を更新する頻度に基づいて、頻度を設定し
ます。
PAN-OS フィールド
タイプ
Netflow レコードの App-ID および User-ID サービスの PAN-OS 特定
フィールドをエクスポートします。
サーバー
名前
サーバーを識別する名前を指定します(最大 31 文字)。名前の大文字
と小文字は区別されます。また、一意の名前にする必要があります。文
字、数字、スペース、ハイフン、およびアンダースコアのみを使用して
ください。
サーバー
サーバーのホスト名または IP アドレスを指定します。プロファイルご
とに最大 2 つのサーバーを追加できます。
ポート
サーバー アクセスのポート番号を指定します(デフォルトは 2055)。
DNS サーバー プロファイルの設定
[Device] > [サーバー プロファイル] > [DNS]
設定を簡略化するために仮想システムに適用される DNS サーバー プロファイルを設定します。
表 48 DNS サーバー プロファイル
フィールド
説明
名前
DNS サーバー プロファイルの名前を指定します。
場所
プロファイルを適用する仮想システムを選択します。
継承ソース
(任意)プロファイルが設定を継承する DNS サーバーを指定します。
継承ソース状態の
チェック
(任意)設定の継承元となる DNS サーバーを選択した場合、このリンクをクリックして、
継承ソースの状態を確認します。
プライマリ DNS
プライマリ DNS サーバーの IP アドレスを指定します。継承ソースを選択した場合は、[継
承済み] のままにします。
98 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
証明書の使用
表 48 DNS サーバー プロファイル
フィールド
説明
セカンダリ DNS
セカンダリ DNS サーバーの IP アドレスを指定します。継承ソースを選択した場合は、[継
承済み] のままにします。
DNS サーバーに送信されるパケットの送信元が IPv4 になるように指定する場合、この
チェック ボックスをオンにします。
サービス
ルート IPv4
– (任意)DNS サーバーに送信されるパケットで使用する [送信元インターフェイス] を
指定します。
– DNS サーバーに送信されるパケットの [送信元アドレス] (IPv4) を指定します。
DNS サーバーに送信されるパケットの送信元が IPv6 になるように指定する場合、この
チェック ボックスをオンにします。
サービス
ルート IPv6
– (任意)DNS サーバーに送信されるパケットで使用する [送信元インターフェイス] を
指定します。
– DNS サーバーに送信されるパケットの IPv6 [送信元アドレス] を指定します。
証明書の使用
[Device] > [証明書の管理] > [証明書]
ネットワーク全体のデータの暗号化と通信の保護に使用される証明書。
• 「デバイス証明書の管理」:[Device] > [証明書の管理] > [証明書] > [デバイス証明書]
ページを使用して、安全な通信を確保するために使用されるデバイス証明書を管理(生
成、インポート、更新、削除、無効化)します。ネットワークの HA ピア間の通信を保
護する高可用性 (HA) キーをエクスポートおよびインポートすることもできます。
• 「デフォルトの信頼された証明機関の管理」:[Device] > [証明書の管理] > [証明書] > [デ
フォルトの信頼された証明機関] ページを使用して、ファイアウォールが信頼する認証
局 (CA) を表示、有効化、無効化します。
デバイス証明書の管理
[Device] > [証明書の管理] > [証明書] > [デバイス証明書]
[Panorama] > [証明書の管理] > [証明書]
Web インターフェイス、SSL 復号、または LSVPN へのアクセスの保護などのタスクにファ
イアウォールまたは Panorama が使用する証明書が一覧表示されます。
各証明書の用途を以下に示します。
• フォワード プロキシ用の信頼された証明書 — この証明書は、クライアントの接続先サー
バーがファイアウォールの信頼された認証局リストにある認証局によって署名される場
合、復号時にクライアントに対して提示されます。転送プロキシの復号化で自己署名証
明書を使用する場合は、[証明書] ページで証明書名をクリックし、[フォワード プロキシ
用の信頼された証明書] チェック ボックスをオンにする必要があります。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 99
証明書の使用
• フォワード プロキシ用の信頼されない証明書 — この証明書は、クライアントの接続先
サーバーがファイアウォールの信頼された認証局リストにない認証局によって署名され
る場合、復号時にクライアントに対して提示されます。
• 信頼されたルート CA — この証明書は、転送復号化の目的で、信頼された認証局として
マークされます。
ファイアウォールは、トラフィックを復号化するときにアップストリームの証明書が信
頼された認証局から発行されたものかどうかを確認します。発行されたものではない場
合、特殊な信頼されていない認証局証明書を使用して復号化証明書に署名します。この
場合、ユーザーがファイアウォールにアクセスすると通常の証明書エラー ページが表示
され、ログインの警告を無視する必要があります。
ファイアウォールには、既存の信頼された認証局が数多く登録されたリストが設定され
ています。ここでの信頼されたルート認証局証明書とは、組織用に追加される信頼され
た認証局であり、予めインストールされている信頼された認証局リストに含まれるもの
ではありません。
• SSL 除外証明書 — この証明書は、SSL 転送プロキシの復号化中に接続が検出された場合、
その接続を除外します。
• 保護された Syslog の証明書 — この証明書により、syslog を外部 syslog サーバーに安全
に転送できます。
証明書を生成するには、[生成] をクリックし、以下のフィールドに入力します。
表 49. 証明書を生成するための設定
フィールド
説明
証明書名
証明書を識別する名前(最大 31 文字)を入力します。名前の大文字と
小文字は区別されます。また、一意の名前にする必要があります。文
字、数字、スペース、ハイフン、およびアンダースコアのみを使用して
ください。名前のみが必須です。
共通名
証明書に表示される IP アドレスまたは FQDN を入力します。
共有
複数の仮想システム (vsys) があるファイアウォールで、証明書をすべて
の vsys で使用できるようにする場合、このチェック ボックスをオンに
します。
署名者
証明書は、ファイアウォールにインポートされた認証局 (CA) 証明書で
署名するか、ファイアウォールが CA の場合は自己署名できます。
Panorama を使用している場合、Panorama の自己署名証明書の生成に
関するオプションがあります。
CA 証明書をインポートしている場合、またはデバイスで CA 証明書を
発行(自己署名)している場合、作成される証明書に署名できる CA が
ドロップダウンに表示されます。
証明書署名要求 (CSR) を生成するには、[外部認証局 (CSR)] を選択しま
す。デバイスで証明書と鍵のペアが生成され、CSR をエクスポートでき
るようになります。
認証局
ファイアウォールで証明書を発行する場合、このチェック ボックスをオ
ンにします。
証明書を認証局としてマークすることで、ファイアウォールでの他の証
明書の署名にこの証明書を使用できます。
100 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
証明書の使用
表 49. 証明書を生成するための設定(続き)
フィールド
説明
OCSP レスポンダ
ド ロップダウンから OSCP レスポンダ プロファイルを選択し ます
(「OCSP レスポンダの追加」を参照)。対応するホスト名が証明書に
表示されます。
アルゴリズム
証明書の鍵生成アルゴリズム([RSA] または [Elliptic Curve DSA]
(ECDSA))を選択します。
注:ECDSA で使用される鍵のサイズは RSA アルゴリズムよりも小さい
ため、SSL/TLS 接続を処理するときのパフォーマンスが向上します。ま
た、ECDSA では、RSA 以上のセキュリティが確保されています。クラ
イアント ブラウザおよびそれをサポートするオペレーティング システ
ムでは、ECDSA をお勧めします。それ以外の場合、従来のブラウザお
よびオペレーティング システムとの互換性を確保するには RSA を選択
します。
警告:PAN-OS 7.0 より前のリリースを実行しているファイアウォール
の場合、Panorama からプッシュした ECDSA 証明書が削除されます。
また、そのようなファイアウォールでは、ECDSA 認証局 (CA) によって
署名された RSA 証明書が無効になります。
ビット数
証明書の鍵長を選択します。
ファイアウォールが FIPS または CC モードで、鍵生成の [アルゴリズム]
が [RSA] の場合、生成される RSA キーは 2048 ビット以上である必要が
あります。[アルゴリズム] が [Elliptic Curve DSA] の場合、両方の鍵長
オプション(256 と 384)が機能します。
ダイジェスト
証明書の [ダイジェスト] アルゴリズムを選択します。使用可能なオプ
ションは、鍵生成の [アルゴリズム] によって異なります。
• RSA — MD5、SHA1、SHA256、SHA384、または SHA512
• Elliptic Curve DSA — SHA256 または SHA384
ファイアウォールが FIPS または CC モードで、鍵生成の [アルゴリズム]
が [RSA] の場合、[ ダイジェスト] アルゴリズムとして [SHA256]、
[SHA384]、または [SHA512] を選択する必要があります。[アルゴリズ
ム] が [Elliptic Curve DSA] の場合、両方の [ダイジェスト] アルゴリズ
ム([SHA256] と [SHA384])が機能します。
有効期限(日)
証明書が有効な日数を指定します。デフォルトは 365 日です。
警告:GlobalProtect サテライト設定で [有効期間] を指定すると、この
フィールドに入力した値はその値でオーバーライドされます。
証明書の属性
必要に応じて、[追加] をクリックし、証明書の発行先となるエンティ
ティの識別に使用する追加の [証明書の属性] を指定します。[国]、[都道
府県]、[地域]、[組織]、[部署]、[電子メール] の属性を追加できます。さ
らに、[サブジェクトの代替名] で [ホスト名] (SubjectAltName:DNS)、
[IP] (SubjectAltName:IP)、[代替電子メール] (SubjectAltName:email) の
いずれかのフィールドを指定できます。
注:証明書の属性として国を追加するには、[タイプ] 列から [国] を選択
し、[値] 列をクリックして ISO 6366 国コードを参照します。
ハードウェア セキュリティ モジュール (HSM) を設定している場合、秘密
鍵はファイアウォールではなく外部 HSM ストレージに保存されます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 101
証明書の使用
証明書を生成したら、ページにその詳細が表示されます。
表 50. その他のサポートされているアクション
アクション
説明
削除
削除する証明書を選択して [削除] をクリックします。
無効化
無効にする証明書を選択し、[無効化] をクリックします。証明書はただ
ちに「無効化」状態に設定されます。コミットは必要ありません。
更新
証明書が期限切れになった場合、または間もなく期限切れになる場合、
対応する証明書を選択して [更新] をクリックします。証明書の有効期間
(日数)を設定して [OK] をクリックします。
ファイアウォールが証明書を発行した CA である場合、ファイアウォー
ルはその証明書を、古い証明書と属性が同じでシリアル番号が異なる新
しい証明書に置き換えます。
外部認証局 (CA) が証明書に署名し、ファイアウォールが Open Certificate
Status Protocol (OCSP) を使用して証明書の失効状態を検証している場
合、ファイアウォールは OCSP レスポンダ情報を使用して証明書の状態
を更新します。
インポート
証明書をインポートするには、[インポート] をクリックし、以下の詳細
を入力します。
• 証明書を識別する名前を入力します。
• 証明書ファイルを参照します。PKCS #12 証明書と秘密鍵をインポート
する場合、これは両方のオブジェクトを含んだ 1 つのファイルになりま
す。PEM を使用する場合、これはパブリック証明書のみになります。
• 証明書ファイルのファイル フォーマットを選択します。
• この証明書の秘密鍵の保存に HSM を使用している場合、[秘密鍵は
ハードウェア セキュリティ モジュール上にあります] チェック ボック
スをオンにします。HSM の詳細は、「ハードウェア セキュリティ モ
ジュールの定義」を参照してください。
• [秘密鍵のインポート] チェック ボックスをオンにして秘密鍵をロード
し、パスフレーズを 2 回入力します。PKCS #12 を使用する場合、鍵
ファイルは上の手順で選択されました。PEM を使用する場合は、暗号
化された秘密鍵ファイル(通常のファイル名は *.key)を参照します。
• ドロップダウン リストから、証明書のインポート先の仮想システムを
選択します。
生成
生成セクションを参照してください。
エクスポート
証明書をエクスポートするには、エクスポートする証明書を選択して
[エクスポート] をクリックします。エクスポートする証明書で使用する
ファイル形式(PKCS #12 の場合の .pfx または base64 エンコード形式の
場合の .pem)を選択します。
[秘密鍵のエクスポート] チェック ボックスをオンにしてパスフレーズを
2 回入力し、証明書の他に秘密鍵をエクスポートします。
102 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
証明書プロファイルの作成
表 50. その他のサポートされているアクション
アクション
説明
HA キーのインポート
HA キーは、両方のファイアウォール ピア間で入れ替える必要がありま
す。つまり、ファイアウォール 1 のキーをエクスポートしてファイア
ウォール 2 でインポートし、その逆も実行します。
HA キーのエクスポート
高可用性 (HA) の鍵をインポートするには、[HA キーのインポート] を
クリックし、参照してインポートする鍵ファイルを指定します。
HA の鍵をエクスポートするには、[HA キーのエクスポート] クリック
して、ファイルを保存する場所を指定します。
証明書の使用方法の定義
[名前] 列で証明書のリンクを選択し、証明書をどのように使用するかを
示すチェック ボックスをオンにします。それぞれの詳細は、使用セク
ションを参照してください。
デフォルトの信頼された証明機関の管理
[Device] > [証明書の管理] > [証明書] > [デフォルトの信頼された証明機関]
ファイアウォールで信頼する事前に含まれた認証局 (CA) を表示、無効化、またはエクス
ポートするには、このページを使用します。各 CA に対して、名前、サブジェクト、発行
者、有効期限、有効性の状態が表示されます。
このリストには、ファイアウォールで生成された CA 証明書は含まれません。
表 51 信頼された証明機関設定
フィールド
説明
有効化
無 効 に し た 認 証 局 を 有 効 に す る 場 合 は、そ の 認 証 局 の 横 の
チェック ボックスをオンにして、[有効化] をクリックします。
無効化
無効にする認証局の横のチェック ボックスをオンにして、[無効
化] をクリックします。この操作は、特定の認証局のみを信頼す
る場合に適しています。または、ローカル認証局のみを信頼す
るには、すべての認証局を削除します。
エクスポート
認証局証明書をエクスポートするには、認証局の横のチェック
ボックスをオンにして、[エクスポート] をクリックします。こ
の操作は、別のシステムにインポートする場合や、証明書をオ
フラインで表示する場合に実行します。
証明書プロファイルの作成
[Device] > [証明書の管理] > [証明書プロファイル]
[Panorama] > [証明書の管理] > [証明書プロファイル]
証明書プロファイルでは、キャプティブ ポータル、GlobalProtect、サイト間 IPsec VPN、
Mobile Security Manager、ファイアウォール / Panorama Web インターフェイス アクセスの
ためのユーザーおよびデバイス認証を定義します。プロファイルでは、使用する証明書、証
明書の失効状態の検証方法、および状態によりアクセスを制限する方法を指定します。アプ
リケーションごとに証明書プロファイルを設定します。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 103
証明書プロファイルの作成
表 52. 証明書プロファイル設定
ページ タイプ
説明
名前
プロファイルの識別に使用する名前を入力します(最大 31 文
字)。名前の大文字と小文字は区別されます。また、一意の名前
にする必要があります。文字、数字、スペース、ハイフン、およ
びアンダースコアのみを使用してください。
場所
プロファイルを使用できる範囲を選択します。複数の仮想システ
ム (vsys) があるファイアウォールの場合、vsys を選択するか、[共
有](すべての仮想システム)を選択します。その他の場合、[場所]
を選択することはできません。この値は [共有](ファイアウォール
の場合)または [Panorama] として事前に定義されています。プロ
ファイルを保存すると、その [場所] を変更できなくなります。
ユーザー名フィールド
GlobalProtect はポータル / ゲートウェイ認証の証明書のみを使用
し、PAN-OS は [ユーザー名フィールド] ドロップダウンでユー
ザー名として選択された証明書フィールドを使用して、User-ID
サービスの IP アドレスと照合する場合、以下のようになります。
• サブジェクト:PAN-OS は共通名を使用します。
• サブジェクト代替名:PAN-OS が [電子メール] または [プリンシ
パル名] のどちらを使用するかを選択します。
• なし:これは通常、GlobalProtect デバイスまたは pre-login 認証
に使用されます。
ドメイン
PAN-OS が User ID を介してユーザーをマッピングできるよう
に、NetBIOS ドメインを入力します。
CA 証明書
[追加] をクリックし、[CA 証明書] を選択してプロファイルに割り
当てます。
必要に応じて、ファイアウォールで Open Certificate Status Protocol
(OCSP) を使用して証明書の失効状態を検証する場合は、以下の
フィールドを設定して、デフォルトの動作をオーバーライドしま
す。ほとんどのデプロイメントでは、これらのフィールドは適用
されません。
• デフォルトでは、ファイアウォールが手順「「OCSP レスポンダ
の追加」」で設定した OCSP レスポンダの URL を使用します。
その設定をオーバーライドするには、[デフォルト OCSP URL]
に URL(http:// または https:// で開始)を入力します。
• デフォルトでは、ファイアウォールは [CA 証明書] フィールドで
選択した証明書を使用して、OCSP 応答を検証します。検証に異
なる証明書を使用するには、[OCSP 検証 CA 証明書] フィールド
でその証明書を選択します。
CRL の使用
証明書無効リスト (CRL) を使用して証明書の失効状態を検証する
には、チェック ボックスをオンにします。
OCSP の使用
OCSP を使用して証明書の失効状態を検証するには、チェック
ボックスをオンにします。
注:OCSP と CRL の両方を選択している場合、ファイアウォール
はまず OCSP を試行します。OCSP レスポンダを使用できない場
合に限り、CRL 方式にフォールバックします。
104 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
OCSP レスポンダの追加
表 52. 証明書プロファイル設定(続き)
ページ タイプ
説明
CRL 受信の有効期限
ファイアウォールが CRL サービスからの応答を待機する期間(1 ~
60 秒)を指定します。
OCSP 受信の有効期限
ファイアウォールが OCSP レスポンダからの応答を待機する期間
(1 ~ 60 秒)を指定します。
証明書の有効期限
ファイアウォールが任意の証明書状態サービスからの応答を待機
する期間(1 ~ 60 秒)を指定します。この期間が終了すると、定
義したセッション ブロック ロジックが適用されます。
証明書状態が不明な場合に
セッションをブロック
OCSP または CRL サービスから証明書の失効状態が不明と返され
た場合、ファイアウォールでセッションをブロックするには、
チェックボックスをオンにします。その他の場合は、ファイア
ウォールはセッションを続行します。
タイムアウト時間内に証明書
状態を取得できない場合に
セッションをブロック
ファイアウォールで OCSP または CRL 要求のタイムアウトを登録
した後にセッションをブロックするには、チェックボックスをオ
ンにします。その他の場合は、ファイアウォールはセッションを
続行します。
OCSP レスポンダの追加
[Device] > [証明書の管理] > [OCSP レスポンダ]
[OCSP レスポンダ] ページを使用して、証明書の失効状態を検証するための Online Certificate
Status Protocol (OCSP) レスポンダ(サーバー)を定義します。
OCSP を有効にするには、OCSP レスポンダを追加するだけでなく、以下のタスクを実行す
る必要があります。
• ファイアウォールと OCSP サーバー間の通信を有効にする:[Device] > [セットアップ] >
[管理] を選択し、[管理インターフェイス設定] セクションを編集して [HTTP OCSP]
サービスを選択し、[OK] をクリックします。
• ファイアウォールで送信 SSL/TLS トラフィックを復号化する場合、必要に応じて宛先サー
バー証明書の失効状態を検証します。[Device] > [セットアップ] > [セッション] を選択
し、[復号化証明書失効の設定] をクリックし、OCSP セクションで [有効化] を選択し、[受
信の有効期限](ファイアウォールが OCSP 応答を待機する期間)を入力して [OK] をク
リックします。
• 必要に応じて、OCSP レスポンダとしてファイアウォールを設定するために、OCSP サー
ビスで使用するインターフェイスにインターフェイス管理プロファイルを追加します。
最初に、[Network] > [ネットワーク プロファイル] > [インターフェイス管理] を選択
し、[追加] をクリックして、[HTTP OCSP] を選択し、[OK] をクリックします。次に、
[Network] > [インターフェイス] を選択し、ファイアウォールが OCSP サービスに使用
するインターフェイスの名前をクリックし、[詳細] > [その他の情報] を選択し、設定し
たインターフェイス管理プロファイルを選択して、[OK]、[コミット] の順にクリックし
ます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 105
SSL/TLS サービス プロファイルの管理
表 53 OCSP レスポンダ設定
フィールド
説明
名前
レスポンダの識別に使用する名前(最大 31 文字)を入力しま
す。名前で は大文字 と小文字 を区別し ます。英字、数字、ス
ペース、ハイフン、およびアンダースコアのみを使用し、一意
である必要があります。
場所
レスポンダを使用できる範囲を選択します。複数の仮想システ
ム (vsys) があるファイアウォールの場合、vsys を選択するか、
[共有](すべての仮想システム)を選択します。その他の場合、
[場所] を選択することはできません。この値は [共有] として事
前に定義されています。レスポンダを保存すると、その [場所]
を変更できなくなります。
ホスト名
OCSP レスポンダのホスト名(推奨)または IP アドレスを入力
します。PAN-OS はこの値から URL を自動的に導出し、検証す
る証明書にその URL を追加します。ファイアウォールを OCSP
レスポンダとして設定する場合、ホスト名は、ファイアウォー
ルが OCSP サービスに使用するインターフェイスの IP アドレス
に解決される必要があります。
SSL/TLS サービス プロファイルの管理
[Device] > [証明書の管理] > [SSL/TLS サービス プロファイル]
[Panorama] > [証明書の管理] > [SSL/TLS サービス プロファイル]
SSL/TLS サービス プロファイルでは、SSL/TLS を使用するデバイス サービスの証明書およ
びプロトコル バージョンまたはバージョンの範囲を指定します。プロトコル バージョンを
定義することで、サービスを要求するクライアントとの通信の保護に使用できる暗号スイー
トをプロファイルで制限できます。
プロファイルを追加するには、[追加] をクリックし、以下の表のフィールドを入力して、
[OK] をクリックします。
プロファイルをコピーするには、プロファイルを選択して [コピー] をクリックし、[OK] を
クリックします。
106 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ファイアウォールでの秘密鍵とパスワードの暗号化
プロファイルを削除するには、プロファイルを選択して [削除] をクリックします。
表 54 SSL/TLS サービス プロファイルの設定
フィールド
説明
名前
プロファイルの識別に使用する名前を入力します(最大 31 文
字)。名前では大文字と小文字を区別します。英字、数字、ス
ペース、ハイフン、およびアンダースコアのみを使用し、一意
である必要があります。
共有
ファイアウォールに複数の仮想システム (vsys) がある場合、プ
ロファイルをすべての仮想システムで使用できるようにするに
は、このチェック ボックスをオンにします。デフォルトでは、
このチェック ボックスはオフになっており、プロファイルは、
[Device] タブの [場所] ドロップダウンで選択した vsys でのみ使
用できます。
証明書
プロファイルに関連付ける証明書の選択、インポート、または生
成を行います。「デバイス証明書の管理」を参照してください。
警告:SSL/TLS サービスには認証局 (CA) 証明書は使用せず
に、署名付き証明書のみを使用しでください。
最小バージョン
このプロファイルの割り当て先のサービスで使用できる最も古
い TLS バージョン([TLSv1.0]、[TLSv1.1]、または [TLSv1.2])
を選択します。
最大バージョン
このプロファイルの割り当て先のサービスで使用できる最新の
TLS バージョン([TLSv1.0]、[TLSv1.1]、[TLSv1.2]、または [最
大](使用可能な最新バージョン))を選択します。
ファイアウォールでの秘密鍵とパスワードの暗号化
[Device] > [マスター キーおよび診断]
[Panorama] > [マスター キーおよび診断]
[マスター キーおよび診断] ページを使用して、デバイス(ファイアウォールまたは Panorama
アプライアンス)で秘密鍵を暗号化するためのマスター キーを指定します。マスター キー
は、CLI へのアクセスの認証に使用される RSA キーなどの秘密鍵の暗号化に使用され、秘密
鍵は、デバイスにロードされるその他のキーと同様、デバイスの Web インターフェイスへ
のアクセスの認証に使用されます。マスター キーはその他すべてのキーの暗号化に使用され
るため、必ず安全な場所に保存してください。
新しいマスター キーが指定されていない場合でも、秘密鍵はデフォルトで暗号化形式を使用
してデバイスに保存されます。このマスター キー オプションによって、セキュリティのレ
イヤーが追加されます。
デバイスが高可用性 (HA) 設定の場合、秘密鍵と証明書が同じキーで暗号化されるように、
両方のデバイスで必ず同じマスター キーを使用してください。マスター キーが異なると、
HA 設定の同期は適切に動作しません。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 107
ファイアウォールの HA の有効化
マスター キーを追加するには、[マスター キー] セクションで編集ボタンをクリックし、以下
の表を使用して値を入力します。
表 55. [マスター キーおよび診断] の設定項目
フィールド
説明
現在のマスター キー
デバイスでのすべての秘密鍵とパスワードの暗号化で現在使用されてい
る鍵を指定します。
新規マスター キー
マスター キーを変更するには、16 文字の文字列を入力して新しい鍵を
確認します。
マスター鍵の確認
ライフ タイム
マスター キーが期限切れになるまでの期間を日数と時間数で指定します
(範囲は 1 ~ 730 日)。
有効期限が切れる前にマスター キーを更新する必要があります。マス
ター キーの更新の詳細は、「ファイアウォールの HA の有効化」を参照
してください。
リマインダーの時間
有効期限が迫っていることをユーザーに通知する時期を、期限切れまで
の日数と時間数で指定します(範囲は 1 ~ 365 日)。
HSM に保管
マスター キーがハードウェア セキュリティ モジュール (HSM) で暗号化
される場合はこのチェック ボックスをオンにします。DHCP クライアン
トや PPPoE などのダイナミック インターフェイスで HSM を使用するこ
とはできません。
HSM 設定は、高可用性モードのピア デバイス間では同期されません。し
たがって、HA ペアの各ピアは異なる HSM ソースに接続できます。
Panorama を使用していて両方のピアの設定の同期を保つには、Panorama
テンプレートを使用して管理対象ファイアウォールで HSM ソースを設
定します。
HSM は、PA-200、PA-500、および PA-2000 シリーズではサポートされ
ていません。
共通基準
共通基準モードでは、別のボタンを使用して、暗号化アルゴリズム自己
テストとソフトウェア整合性自己テストを実行できます。また、この 2
つの自己テストを実行する時刻を指定するためのスケジューラも用意さ
れています。
ファイアウォールの HA の有効化
[Device] > [高可用性]
冗長性を持たせるため、ファイアウォールをアクティブ / パッシブまたはアクティブ / アク
ティブ高可用性 (HA) 設定でデプロイできます。HA で設定された場合、HA ピアは相互に設
定をミラーリングします。
HA ペアでは、両方のピアが同じモデルで同じ PAN-OS バージョンを実行し、
同じライセンス セットを使用している必要があります。
また、VM-Series ファイアウォールの場合、両方のピアが同じハイパーバイザ
に存在していて、各ピアに同じ数の CPU コアが割り当てられている必要があり
ます。
108 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ファイアウォールの HA の有効化
HA ライト
PA-200 ファイアウォールおよび VM-Series NSX エディション ファイアウォールは、HA ラ
イト(セッション同期を含まないアクティブ / パッシブ HA のバージョン)をサポートして
います。HA ライトは、設定の同期と一部の実行時の項目の同期を提供します。またレイ
ヤー 3 モードが設定されているときに、IPSec トンネルのフェイルオーバー(セッションは
再確立される必要があります)、DHCP サーバー リース情報、DHCP クライアント リース
情報、PPPoE リース情報、およびファイアウォールの転送テーブルをサポートします。
[高可用性] ページの各セクションのヘッダーで [編集] をクリックし、対応する情報を以下の
表の説明に従って指定します。
表 56. 高可用性の設定
フィールド
説明
[全般] タブ
セットアップ
以下の設定を指定します。
• HA の有効化 — 機能をアクティベーションします。
• グループ ID — アクティブ / パッシブ ペアの識別に使用する数値(1 ~
63)を入力します。同一ネットワークにアクティブ / パッシブ ファイア
ウォールのペアを複数使用できます。レイヤー 2 ネットワークに 2 つ以上
の高可用性ペアが存在する場合、ID は一意である必要があります。
• 内容 — アクティブ / パッシブ ペアの説明を入力します(任意)。
• モード — アクティブ-アクティブまたはアクティブ-パッシブを選択します。
• デバイス ID — 0 または 1 を選択すると、ファイアウォールがアクティブ /
アクティブ HA 設定のアクティブ-プライマリまたはアクティブ-セカンダ
リとして指定されます。
• ピア HA IP アドレス — その他のファイアウォールの [コントロール リン
ク] セクションに指定されている HA1 インターフェイスの IP アドレスを
入力します。
• バックアップ側 ピア HA IP アドレス — ピアのバックアップ制御リンクの
IP アドレスを入力します。
• 設定の同期化の有効化 — ピア間で設定を同期します。
• リンク速度 — アクティブ ファイアウォールとパッシブ ファイアウォール
間のデータ リンクの速度を選択します(専用の HA ポートを持つファイ
アウォール)。
• リンク デュプレックス — アクティブ ファイアウォールとパッシブ ファイ
アウォール間のデータ リンクのデュプレックス オプションを選択します
(専用の HA ポートを持つファイアウォール)。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 109
ファイアウォールの HA の有効化
表 56. 高可用性の設定(続き)
フィールド
説明
アクティブ /
パッシブ設定
パッシブ リンク状態 — [shutdown] または [auto]。このオプションは AWS
の VM-Series ファイアウォールでは使用できません。
• 自動 — リンク状態に物理接続を反映しますが、受信したパケットはすべて
廃棄します。このオプションでは、フェイルオーバーが発生するまでイン
ターフェイスのリンク状態をアップにしておき、パッシブ デバイスが引
き継ぐまでの時間を短縮させることができます。
このオプションは、レイヤー 2、レイヤー 3、およびバーチャル ワイヤー
モードでサポートされています。ネットワークで使用できる場合は [自動]
オプションが適しています。
• シャットダウン — 強制的にインターフェイス リンクをダウン状態にしま
す。これはデフォルトのオプションです。このオプションでは、ネット
ワークにループが起きません。
モニター障害時ホールド ダウン タイム(分)— この値(1 ~ 60 分)によ
り、ファイアウォールがパッシブになる前に Non-functional 状態で待機す
る間隔が決まります。このタイマは、リンクまたはパス モニタリングの障害
が原因でハートビートおよび hello メッセージが届かない場合に使用します。
選択設定
ファイアウォールがパッシブになる前に Non-functional 状態で待機する時間
(分)を指定します。このタイマは、障害の理由がリンクまたはパス モニ
ターの障害である場合のみ使用します(範囲は 1 ~ 60、デフォルトは 1)。
›
最大フラップ数 — フラップは、ファイアウォールが前回の非ア
クティブ状態発生から 15 分以内に再び非アクティブ状態になる
とカウントされます。許容する最大フラップ数を指定できます
(範囲は 0 ~ 16、デフォルトは 3)。フラップ数がこの最大数
に達するとファイアウォールがサスペンドしたと判断されて
パッシブ ファイアウォールが引き継ぎます。値 0 を指定すると
最大数は設定されません(何回フラップが発生してもパッシブ
ファイアウォールは引き継がない)。
›
プリエンプション ホールド タイム — パッシブ デバイスまたは
アクティブなセカンダリ デバイスがアクティブなデバイスまた
はアクティブなプライマリ デバイスとして引き継ぐまでに待機す
る時間を入力します(範囲は 1 ~ 60 分、デフォルトは 1 分)。
›
モニター障害時ホールド アップ タイム(ミリ秒)— パス モニ
ターまたはリンク モニターに障害が発生した後にファイア
ウォールがアクティブのままでいる時間を指定します。隣接す
るデバイスが偶発的にフラッピングすることによる HA のフェ
イルオーバーを回避するためには、この設定をお勧めします
(範囲は 0 ~ 60000 ミリ秒、デフォルトは 0 ミリ秒)。
›
追加のマスター ホールド アップ タイム(ミリ秒)— この時間
間隔は、Monitor Fail Hold Up Time と同じイベントに適用され
ます(範囲は 0 ~ 60000 ミリ秒、デフォルトは 500 ミリ秒)。
追加の時間間隔は、アクティブ / パッシブ モードのアクティブ
デバイスとアクティブ / アクティブ モードのアクティブなプラ
イマリ デバイスにのみ適用されます。両方のデバイスで同じリ
ンク / パス モニターの障害が同時に発生した場合にフェイル
オーバーを回避するためには、このタイマをお勧めします。
110 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ファイアウォールの HA の有効化
表 56. 高可用性の設定(続き)
フィールド
説明
コントロール リンク
(HA1)/Cコン トロ ー
ル リンク(HA1 バッ
クアップ)
HA 制御リンク接続の推奨設定は、2 つのデバイス間で専用の HA1 リンク
を使用し、制御リンク(HA バックアップ)インターフェイスとして管理
ポートを使用することです。この場合、[選択設定] ページの [ハートビート
バックアップ] オプションを有効にする必要はありません。制御リンク HA
リンクに物理 HA1 ポートを使用し、制御リンク(HA バックアップ)に
データ ポートを使用している場合は、[ハートビート バックアップ] オプ
ションを有効にすることをお勧めします。
PA-200 ファイアウォールなど専用の HA ポートがないデバイスの場合は、
制御リンク HA 接続に管理ポートを設定し、制御リンク HA1 バックアップ
接続にタイプを HA に設定したデータ ポート インターフェイスを設定する
必要があります。この場合、管理ポートが使用されているため、[選択設定]
ページで [ハートビート バックアップ] オプションを有効にする必要はあり
ません。ハートビート バックアップは管理インターフェイス接続を使用し
て行われるためです。
AWS の VM-Series ファイアウォールでは、管理ポートが HA1 リンクとし
て使用されます。
HA 制御リンクにデータ ポートを使用する場合、制御メッセージはデータ
プレーンから管理プレーンに通信する必要があるため、データ プレーンで
障害が発生すると、デバイス間で HA 制御リンク情報を通信することがで
きず、フェイルオーバーが発生します。最善なのは専用の HA ポートを使
用することですが、専用の HA ポートがないデバイスでは管理ポートを使
用します。
プライマリおよびバックアップ HA 制御リンクの以下の設定を指定します。
• ポート — プライマリおよびバックアップの HA1 インターフェイスの HA
ポートを選択します。バックアップの設定は任意です。
• IPv4/IPv6 アドレス — プライマリおよびバックアップの HA1 インターフェ
イスとなる HA1 インターフェイスの IPv4 または IPv6 アドレスを入力し
ます。バックアップの設定は任意です。
• ネットマスク — プライマリおよびバックアップの HA1 インターフェイス
の IP アドレスのネットワーク マスク(たとえば、「255.255.255.0」)を
入力します。バックアップの設定は任意です。
• ゲートウェイ — プライマリおよびバックアップの HA1 インターフェイス
のデフォルト ゲートウェイの IP アドレスを入力します。バックアップの
設定は任意です。
• リンク速度(専用 HA ポートのモデルのみ)— 専用の HA1 ポートにおけ
るファイアウォール間の制御リンクの速度を選択します。
• リンク デュプレックス(専用 HA ポートのモデルのみ)— 専用の HA1
ポートにおけるファイアウォール間の制御リンクのデュプレックス オプ
ションを選択します。
• 暗号化を有効 — HA キーを HA ピアからエクスポートしてこのデバイス
にインポートした後で、暗号化を有効にします。このデバイスの HA キー
は、このデバイスからエクスポートして HA ピアにインポートする必要もあ
ります。プライマリ HA1 インターフェイスについてこの設定を行います。
キーのインポート / エクスポートは [証明書] ページで実行します(証明
書プロファイルの作成を参照)。
• ホールド タイムのモニター(ミリ秒)— 制御リンク障害によるピア障害を
宣言するまでにファイアウォールが待機する時間(ミリ秒)を入力します
(1000 ~ 60000 ミリ秒、デフォルトは 3000 ミリ秒)。このオプションは
HA1 ポートの物理リンクの状態をモニターします。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 111
ファイアウォールの HA の有効化
表 56. 高可用性の設定(続き)
フィールド
説明
データ リンク (HA2)
プライマリおよびバックアップ データ リンクの以下の設定を指定します。
• ポート — HA ポートを選択します。プライマリおよびバックアップの HA2
インターフェイスについてこの設定を行います。バックアップの設定は任
意です。
• IP アドレス — プライマリおよびバックアップの HA2 インターフェイスと
なる HA インターフェイスの IPv4 または IPv6 アドレスを指定します。
バックアップの設定は任意です。
• ネットマスク — プライマリおよびバックアップの HA2 インターフェイス
となる HA インターフェイスのネットワーク マスクを指定します。バッ
クアップの設定は任意です。
• ゲートウェイ — プライマリおよびバックアップの HA2 インターフェイス
となる HA インターフェイスのデフォルト ゲートウェイを指定します。
バックアップの設定は任意です。HA ペアのファイアウォールの HA2 IP
アドレスは同じサブネット上にあり、[ゲートウェイ] フィールドは空白の
ままにしておく必要があります。
• セッション同期を有効にする — セッション情報をパッシブ ファイアウォー
ルと同期できるようにし、転送オプションを選択します。
• 転送 — 以下のいずれかの転送オプションを選択します。
– Ethernet — ファイアウォールが逆並列で接続されているかスイッチを介
して接続されている場合に使用します (Ethertype 0x7261)。
– IP — レイヤー 3 転送が必要な場合に使用します(IP プロトコル番号
99)。
– UDP — IP オプションでの場合と同じように、チェックサムがヘッダー
のみではなくパケット全体に基づいて計算されることを利用するため
に使用します(UDP ポート 29281)。
• リンク速度(専用 HA ポートのモデルのみ)— 専用の HA2 ポートにおけ
るアクティブ ファイアウォールとパッシブ ファイアウォール間の制御リ
ンクの速度を選択します。
• リンク デュプレックス(専用 HA ポートのモデルのみ)— 専用の HA2
ポートにおけるアクティブ ファイアウォールとパッシブ ファイアウォー
ル間の制御リンクのデュプレックス オプションを選択します。
• HA2 キープアライブ — HA ピア間の HA2 データ リンクのモニタリング
を有効にするには、このチェック ボックスをオンにします。設定されて
いるしきい値に基づいて障害が発生した場合、定義されているアクション
が発生します(ログまたは分割データパス)。このオプションはデフォル
トで無効になっています。
[HA2 キープアライブ] オプションは、HA ペアの両方のデバイス、または
一方のデバイスに設定できます。このオプションが一方のデバイスにのみ
設定されている場合、そのデバイスのみからキープアライブ メッセージ
が送信されます。ただし、障害が発生すると、他方のデバイスに通知さ
れ、アクションで選択されている場合は、分割データパス モードになり
ます。
– アクション — しきい値の設定に基づき、メッセージのモニタリングが
失敗した場合に実行するアクションを選択します。
›
ログのみ — しきい値設定に基づいて HA2 障害が発生したとき
に「critical」レベルのシステム ログ メッセージを生成する場合
に選択します。HA2 パスが回復する場合は、「informational」
のログが生成されます。
アクティブ / パッシブ設定では、所定の時間で、1 つのデバイ
スのみがアクティブであり、データを分割する必要がないた
め、このアクションを使用します。
112 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ファイアウォールの HA の有効化
表 56. 高可用性の設定(続き)
フィールド
(続き)
説明
›
データパスの分割 — このアクションは、アクティブ / アクティ
ブ HA 設定用に設計されています。アクティブ / アクティブ設
定では、セッションの同期が管理者、またはモニタリングの失
敗によって無効になっている場合、セッションの所有者とセッ
ションのセットアップは両方ともローカル デバイスに設定さ
れ、新しいセッションはセッションのライフタイム中はローカ
ルで処理されます。
›
しきい値(ミリ秒)— 上記のいずれかのアクションがトリガー
される前にキープアライブ メッセージが失敗した期間です(範
囲は 5000 ~ 60000 ミリ秒、デフォルトは 10000 ミリ秒)。
注:HA2 バックアップ リンクが設定されていると、物理リンク障害がある
場合は HA2 バックアップ リンクのファイルオーバーが発生します。[HA2
キープアライブ] オプションが有効にされている場合、定義されたしきい値
に基づいて HA キープアライブ メッセージが失敗すると、ファイルオー
バーが発生します。
[リンクおよびパスのモニタリング] タブ(AWS の VM-Series ファイアウォールでは
使用できません)
パス モニタリング
以下を指定します。
• 有効 — パスのモニタリングを有効にします。パスのモニタリングをオンに
すると、ファイアウォールは指定した宛先 IP アドレスをモニターするた
めに ICMP ping メッセージを送信し、レスポンスがあることを確認しま
す。フェイルオーバー用に他のネットワーク デバイスのモニタリングが
必要であったり、リンクのモニタリングのみでは不十分である場合に、
バーチャル ワイヤー、レイヤー 2、またはレイヤー 3 設定でパスのモニタ
リングを使用します。
• 失敗条件 — モニターしているパス グループの一部またはすべてで応答で
きない場合にフェイルオーバーを発生させるかどうかを選択します。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 113
ファイアウォールの HA の有効化
表 56. 高可用性の設定(続き)
フィールド
説明
パス グループ
特定の宛先アドレスをモニターする 1 つ以上のパス グループを定義しま
す。パス グループを追加するには、インターフェイス タイプ([バーチャル
ワイヤー]、[VLAN]、または [仮想ルーター])に対して [追加] をクリック
して、以下を指定します。
• 名前 — バーチャル ワイヤー、VLAN、または仮想ルーターをドロップダ
ウン リストから選択します(ドロップダウン リストには、バーチャル ワ
イヤー、VLAN、または仮想ルーターのどのパスを追加したかに応じて、
データが入力されます)。
• 有効 — パス グループを有効にします。
• 失敗条件 — 指定した宛先アドレスの一部またはすべてが応答できない場合
に、エラーを発生させるかどうかを選択します。
• 送信元 IP — バーチャル ワイヤーおよび VLAN のインターフェイスの場
合、ネクストホップ ルータ(宛先 IP アドレス)に送信されるプローブ パ
ケットで使用する送信元 IP アドレスを入力します。ローカル ルータでア
ドレスをファイアウォールにルーティングできる必要があります。仮想
ルーターに関連付けられたパス グループの送信元 IP アドレスは、指定さ
れた宛先 IP アドレスの出力インターフェイスとしてルート テーブルに示
されているインターネット IP アドレスとして自動的に設定されます。
• 宛先 IP — モニター対象となる 1 つ以上の(コンマ区切りの)宛先アドレ
スを入力します。
• Ping 間隔 — 宛先アドレスに送信される ping 間の間隔を指定します(範
囲は 200 ~ 60000 ミリ秒、デフォルトは 200 ミリ秒)。
• Ping 数 — 障害を宣言するまでに失敗した Ping 数を指定します(範囲は 3 ~
10 回、デフォルトは 10 回)。
リンク モニタリング
以下を指定します。
• 有効 — リンクのモニタリングを有効にします。リンクのモニタリングによっ
て、物理リンクまたは物理リンクのグループに障害が発生した場合にフェ
イルオーバーのトリガーになります。
• 失敗条件 — モニターしているリンク グループの一部またはすべてに障害
が発生した場合にフェイルオーバーが発生するかどうかを選択します。
Link Groups
特定の Ethernet リンクをモニターする 1 つ以上のリンク グループを定義し
ます。リンク グループを追加するには、以下を指定して [追加] をクリック
します。
• 名前 — リンク グループ名を入力します。
• 有効 — リンク グループを有効にします。
• 失敗条件 — 選択したリンクの一部またはすべてに障害が発生した場合にエ
ラーを発生させるかどうかを選択します。
• インターフェイス — モニターする 1 つ以上の Ethernet インターフェイス
を選択します。
[アクティブ / アクティブ設定] タブ
パケット転送
HA3 リンクを介したパケットの転送を有効にするには、[有効化] チェック
ボックスをオンにします。これは、App-ID および Content-ID についてレイ
ヤー 7 の検査が必要な非同期的にルーティングされるセッションで必要です。
114 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ファイアウォールの HA の有効化
表 56. 高可用性の設定(続き)
フィールド
説明
HA3 イ ン タ ー
フェイス
アクティブ / アクティブ モードで構成されている場合に HA ピア間でパ
ケットを転送するためのインターフェイスを選択します。
HA3 インターフェイスを使用している場合、ファイアウォールとすべての
中継ネットワーク デバイスで Jumbo Frame を有効にする必要があります。
Jumbo Frame を有効にするには、[Device] > [セットアップ] < [セッション]
を選択し、[セッション設定] セクションで [Jumbo Frame を有効にする] オ
プションを選択します。
VR 同期
HA デバイスに設定されたすべての仮想ルーターの同期を強制します。
仮想ルーターの同期は、仮想ルーターでダイナミック ルーティング プロト
コルを使用していない場合に使用できます。両方のデバイスが交換網を介
して 同じネクストホップ ルーターに接続されている必要があり、スタ
ティック ルーティングのみを使用している必要があります。
QoS 同期
すべての物理インターフェイスの QoS プロファイル選択を同期します。両
方のデバイスのリンク速度が同様で、すべての物理インターフェイスで同
じ QoS プロファイルが必要な場合には、このオプションを選択します。こ
の設定は、[Network] タブの QoS 設定の同期に影響します。QoS ポリシー
は、この設定に関係なく同期されます。
仮の保留時間(秒)
HA アクティブ / アクティブ状態のファイアウォールで障害が発生すると、
仮の状態になります。このタイマーで、仮の状態が継続する時間を定義し
ます。仮の状態中、ファイアウォールは近接ルーティングの確立を試行
し、パケットを処理する前にそのルート テーブルを取り込みます。このタ
イマーを使用しない場合、ファイアウォールの回復時にただちにアクティ
ブ-セカンダリ状態になり、必要なルートがないためパケットがブラック
ホール状態になります(デフォルトは 60 秒)。
セッション所有者の
選択
以下のいずれかのセッション オーナーのオプションを指定します。
• プライマリ デバイス — アクティブ / プライマリのファイアウォールにす
べてのセッションでレイヤー 7 の検査を担当させる場合には、このオプ
ションを選択します。この設定は、主にトラブルシューティング操作にお
勧めします。
• 最初のパケット — セッションの最初のパケットを受け取るファイアウォー
ルに App-ID および Content-ID のサポートにおけるレイヤー 7 の検査を
担当させる場合には、このオプションを選択します。これは、リンクを転送
する HA3 パケットの使用率を最小限に抑えるためにはお勧めの構成です。
セッションのセット
アップ
セッション セットアップの方法を選択します。
• IP モジュロ — 送信元 IP アドレスのパリティに基づいてファイアウォール
を選択します。
• プライマリ デバイス — すべてのセッションがプライマリ ファイアウォー
ルでセットアップされるようにします。
• IP ハッシュ — よりランダムにする必要がある場合は、送信元 IP アドレス
または送信元と宛先の IP アドレス、およびハッシュ シード値を使用して
セットアップ ファイアウォールを指定します。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 115
ファイアウォールの HA の有効化
表 56. 高可用性の設定(続き)
フィールド
説明
仮想アドレス
[追加] をクリックし、[IPv4] または [IPv6] タブを選択して [追加] をもう一
度クリックし、HA アクティブ / アクティブ クラスタで使用する HA 仮想
アドレスのオプションを入力します。仮想アドレスのタイプとして、[フ
ローティング] または [ARP ロード シェアリング] のいずれかを選択できま
す。また、クラスタ内で仮想アドレスのタイプを混在させることもできま
す。たとえば、LAN インターフェイスで ARP ロード シェアリングを使用
し、WAN インターフェイスでフローティング IP を使用できます。
• フローティング — リンクまたはデバイス障害が発生したときに、HA デバ
イス間で移動する IP アドレスを入力します。インターフェイスでは、各
ファイアウォールで 1 つ所有されるように、2 つのフローティング IP アド
レスを設定し、優先順位を設定します。どちらかのファイアウォールが失
敗すると、フローティング IP アドレスが HA ピアに移行されます。
– デバイス 0 優先順位 — どのデバイスがフローティング IP アドレスを所
有するのかを判断するための優先順位を設定します。最も低い値のデ
バイスの優先順位が最も高くなります。
– デバイス 1 優先順位 — どのデバイスがフローティング IP アドレスを所
有するのかを判断するための優先順位を設定します。最も低い値のデ
バイスの優先順位が最も高くなります。
– リンク状態がダウンの場合アドレスをフェイルオーバー — インターフェ
イスでリンク状態がダウンのときに、ファイルオーバー アドレスを使
用します。
• ARP ロード シェアリング — HA ペアで共有され、ホストのゲートウェイ
サービスを提供する IP アドレスを入力します。このオプションは、ファ
イアウォールとホストが同じブロードキャスト ドメインに存在する場合
にのみ使用します。[デバイス選択アルゴリズム] を選択します。
– IP モジュロ — このオプションを選択すると、ARP リクエスト元 IP ア
ドレスのパリティに基づいて、ARP リクエストに応答するファイア
ウォールが選択されます。
– IP ハッシュ — このオプションを選択すると、ARP リクエスト元 IP ア
ドレスのハッシュに基づいて、ARP リクエストに応答するファイア
ウォールが選択されます。
操作コマンド
ローカルデバイスを
サスペンド
[ローカル デバイス
を稼動状態にする]
への切り替え
HA ピアをサスペンド状態にし、ファイアウォールの HA 機能を一時的に無
効にします。現在アクティブなファイアウォールをサスペンドすると、他
のピアが引き継ぎます。
サスペンドされたデバイスを稼動状態に戻すには、CLI コマンド request
high-availability state functional を使用します。
フェイルオーバーをテストするには、アクティブ(またはアクティブ-プラ
イマリ)デバイスのケーブルを外すか、このリンクをクリックしてアク
ティブ デバイスをサスペンドします。
116 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
仮想システムの定義
HA の設定時に考慮すべき重要な項目
• ローカル IP とピア IP に使用するサブネットは、仮想ルーターの他の場所で使用しない
でください。
• 各デバイスの OS とコンテンツのバージョンは同じである必要があります。異なっている
と、ペアのデバイスが同期されない可能性があります。
• HA ポートの LED は、アクティブ ファイアウォールが緑、パッシブ ファイアウォール
が黄色になります。
• ローカル ファイアウォールとピア ファイアウォールの設定を比較するには、[Device] タ
ブの [設定監査] ツールを使用し、左の選択ボックスで対象のローカル設定を、右の選択
ボックスでピア設定を選択します。
• Web インターフェイスからファイアウォールを同期するには、[Dashboard] タブの高可
用性ウィジットにある [設定をプッシュ] ボタンをクリックします。プッシュするデバイ
スの設定によって、ピア デバイスの設定が上書きされます。アクティブ デバイスの CLI
からファイアウォールを同期するには、コマンド request high-availability syncto-remote running-config を使用します。
10 ギガビットの SFP+ ポートを使用するデバイスの高可用性 (HA) アクティブ / パッシブ設定
では、ファイルオーバーが発生してアクティブ デバイスがパッシブ状態になると、10 ギガ
ビット Ethernet ポートがダウンしてから再度開かれて更新されますが、デバイスが再度アク
ティブになるまで送信できません。隣接するデバイスでソフトウェアをモニターしている場
合、ポートがダウンしてから再度開かれているため、ポートのフラッピングが発生している
と見なされます。これは、1 ギガビット Ethernet ポートなどの他のポートとは異なる動作で
す。他のポートでは無効になった場合でも送信は許可されるため、隣接するデバイスでフ
ラッピングは検出されません。
仮想システムの定義
[Device] > [仮想システム]
仮想システム (vsys) は、物理ファイアウォール内で個別に管理できる、独立した(仮想)
ファイアウォール インスタンスです。各 vsys は、独自のセキュリティ ポリシー、インター
フェイス、および管理者による、独立したファイアウォールにすることができます。vsys で
は、ファイアウォールで提供されるすべてのポリシー、レポート、および可視化機能の管理
をセグメント化できます。たとえば、財務部門に関連付けられているトラフィックのセキュ
リティ機能をカスタマイズする場合、財務 vsys を定義して、その部門のみに適用するセ
キュリティ ポリシーを定義できます。ポリシーの管理を最適化するため、個々の vsys への
アクセスを許可する vsys 管理者アカウントを作成し、デバイス全体とネットワーク機能で
個別の管理者アカウントを使用できます。こうすることで、財務部門の vsys 管理者が、財
務部門のみのセキュリティ ポリシーを管理できます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 117
仮想システムの定義
スタティック ルーティングとダイナミック ルーティングを含むネットワーク機能は、ファ
イアウォール全体およびそのすべての vsys に適用されます。デバイスおよびネットワーク
レベルの機能は、vsys によっては制御されません。各 vsys で、一連の物理および論理ファ
イアウォール インターフェイス(VLAN、バーチャル ワイヤーなど)とセキュリティ ゾー
ンを指定できます。各 vsys でルーティングのセグメント化が必要な場合、追加仮想ルー
ターの作成 / 割り当てを行い、必要に応じてインターフェイス、VLAN、バーチャル ワイ
ヤーを割り当てる必要があります。
Panorama テンプレートを使用して vsys を定義する場合、1 つの vsys をデフォルトとして設
定できます。デフォルトの vsys とマルチ仮想システム モードにより、テンプレートのコ
ミット時にファイアウォールが vsys 固有の設定を受け入れるかどうかが決まります。
• マルチ仮想システム モードになっているファイアウォールは、テンプレートで定義され
ているすべての vsys の vsys 固有の設定を受け入れます。
• マルチ仮想システム モードになっていないファイアウォールは、デフォルトの vsys の
vsys 固有の設定のみを受け入れます。vsys をデフォルトとして設定していない場合、こ
れらのファイアウォールは vsys 固有の設定を受け入れません。
PA-4000、PA-5000、および PA-7000 シリーズのファイアウォールでは、マルチ仮想システム
がサポートされています。PA-2000 および PA-3000 シリーズのファイアウォールでは、適切
なライセンスがインストールされていればマルチ仮想システムをサポートできます。PA-500
および PA-200 ファイアウォールでは、マルチ仮想システムがサポートされていません。
マルチ vsys を有効にする前に、以下の点に注意してください。
• vsys 管理者は、ポリシーに必要なすべての項目を作成および管理します。
• ゾーンは、vsys 内のオブジェクトです。ポリシーまたはポリシー オブジェクトを定義す
る前に、[Policies] または [Objects] タブのドロップダウンから [仮想システム] を選択し
ます。
• リモート ログの宛先(SNMP、Syslog、および電子メール)、アプリケーション、サービ
ス、およびプロファイルをすべての vsys(共有)または 1 つの vsys で使用できるよう
に設定できます。
• グローバル(ファイアウォールのすべての vsys)または vsys 固有のサービス ルートを
設定できます(「サービス設定の定義」を参照)。
vsys を定義する前にまずファイアウォールのマルチ vsys 機能を有効にする必要がありま
す。[Device] > [セットアップ] > [管理] の順に選択し、[一般設定] を編集して [マルチ仮想シ
ステム機能] チェック ボックスをオンにし、[OK] をクリックします。これにより、[Device] >
[仮想システム] ページが追加されます。そのページを選択して [追加] をクリックし、以下の
情報を指定します。
表 57. 仮想システム設定
フィールド
説明
ID
vsys の識別子を整数で入力します。サポートされる vsys の数についての
詳細は、ファイアウォール モデルのデータ シートを参照してください。
注:Panorama テンプレートを使用して vsys を設定する場合、この
フィールドは表示されません。
118 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
仮想システムの定義
表 57. 仮想システム設定(続き)
フィールド
説明
名前
vsys の識別に使用する名前(最大 31 文字)を入力します。名前の大文
字と小文字は区別されます。また、一意の名前にする必要があります。
文字、数字、スペース、ハイフン、およびアンダースコアのみを使用し
てください。
注:Panorama テンプレートを使用して vsys 設定をプッシュする場合、
テンプレートの vsys 名はファイアウォールの vsys 名と一致している必
要があります。
復号化されたコンテンツ
の転送を許可
ポート ミラーリング時または分析用の WildFire ファイルの送信時に復
号化されたコンテンツを仮想システムから外部のサービスに転送できる
ようにするには、このチェック ボックスをオンにします。復号ポート ミ
ラーリングの詳細は、「復号ポート ミラーリング」を参照してください。
[全般] タブ
この vsys に DNS プロキシ ルールを適用する場合は、[DNS プロキシ]
オブジェクトを選択します。「DNS プロキシの設定」を参照してくだ
さい。
特定の種類のオブジェクトを含めるには、その種類(インターフェイ
ス、VLAN、バーチャル ワイヤー、仮想ルーター、または識別可能な仮
想システム)のチェック ボックスをオンにして [追加] をクリックし、
ドロップダウンからオブジェクトを選択します。1 つ以上のオブジェク
トの種類を追加できます。オブジェクトを削除するには、オブジェクト
を選択して [削除] をクリックします。
[リソース] タブ
この vsys に許可されるリソース制限を指定します。
• セッション制限 — セッションの最大数。
• セキュリティ ルール — セキュリティ ルールの最大数。
• NAT ルール — NAT ルールの最大数。
• 復号ルール — 復号ルールの最大数。
• QoS ルール — QoS ルールの最大数。
• アプリケーション オーバーライド ルール — アプリケーション オーバー
ライド ルールの最大数。
• ポリシー ベース フォワーディング ルール — ポリシー ベース フォ
ワーディング (PBF) ルールの最大数。
• キャプティブ ポータルのルール — キャプティブ ポータル (CP) のルー
ルの最大数。
• DoS プロテクション ルール — サービス拒否 (DoS) ルールの最大数。
• サイト間 VPN トンネル — サイト間 VPN トンネルの最大数。
• 同時 GlobalProtect トンネル — 同時リモート GlobalProtect ユーザー
の最大数。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 119
共有ゲートウェイの設定
共有ゲートウェイの設定
[Device] > [共有ゲートウェイ]
共有ゲートウェイでは、マルチ仮想システムで(通常は内部サービス プロバイダなどの共通
アップストリーム ネットワークに接続される)外部通信に 1 つのインターフェイスを共有で
きます。すべての仮想システムは、1 つの IP アドレスを使用する物理インターフェイスを介
して外部と通信します。すべての仮想システムのトラフィックは、共有ゲートウェイを介
し、1 つの仮想ルーターを使用してルーティングされます。
共有ゲートウェイではレイヤー 3 インターフェイスを使用するため、レイヤー 3 インター
フェイスが少なくとも 1 つ共有ゲートウェイとして設定されている必要があります。仮想シ
ステムから共有ゲートウェイを介してファイアウォールを通過する通信には、2 つの仮想シ
ステム間の通信と同様のポリシーが必要です。[External vsys] ゾーンで仮想システムのセ
キュリティ ルールを定義できます。
表 58. 共有ゲートウェイ
フィールド
説明
ID
ゲートウェイの識別子(ファイアウォールでは使用しない)。
名前
共有ゲートウェイの名前(最大 31 文字)を入力します。名前の大文字と
小文字は区別されます。また、一意の名前にする必要があります。文
字、数字、スペース、ハイフン、およびアンダースコアのみを使用して
ください。名前のみが必須です。
DNS プロキシ
(任意)DNS プロキシが設定されている場合、ドメイン名のクエリに使
用する DNS サーバーを選択します。
インターフェイス
共有ゲートウェイが使用するインターフェイスのチェック ボックスをオ
ンにします。
カスタム応答ページの定義
[Device] > [応答ページ]
カスタム応答ページは、ユーザーが URL にアクセスしようとするときに表示される Web
ページです。リクエストされた Web ページまたはファイルの代わりにダウンロードおよび
表示されるカスタム HTML メッセージを入力できます。
仮想システムごとに固有のカスタム応答ページを使用できます。以下の表に、ユーザーメッ
セージをサポートするカスタム応答ページのタイプを示します。
表 59. カスタム応答ページのタイプ
ページ タイプ
説明
アンチウイルス ブロック
ページ
ウイルス感染が原因でアクセスがブロックされたことを示します。
アプリケーション ブロック
ページ
アプリケーションがセキュリティ ポリシーでブロックされたため
にアクセスがブロックされたことを示します。
キャプティブ ポータル確認
ページ
ドメインのメンバでないマシンのユーザー名とパスワードをユー
ザーが確認するためのページです。
120 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
カスタム応答ページの定義
表 59. カスタム応答ページのタイプ(続き)
ページ タイプ
説明
ファイル ブロッキング続行
ページ
ダウンロードの続行が必要なことを確認するユーザーのための
ページです。このオプションは、続行の機能がセキュリティ プロ
ファイルで有効になっている場合に限り利用できます。「ファイ
ル ブロッキング プロファイル」を参照してください。
ファイル ブロッキング
ブロック ページ
ファイルへのアクセスがブロックされているためアクセスがブ
ロックされたことを示します。
GlobalProtect ポータルの
ヘルプ ページ
GlobalProtect ユーザー用のカスタム ヘルプ ページです(ポータル
からアクセス可能)。
GlobalProtect ポータルの
ログイン ページ
GlobalProtect ポータルにアクセスしようとしているユーザー用の
ページです。
GlobalProtect ウェルカム
ページ
GlobalProtect ポータルにログインしようとしているユーザー用の
ウェルカム ページです。
SSL 証明書エラー通知ページ
SSL 証明書が無効になっていることを示す通知です。
SSL 復号オプトアウト ページ
このセッションが調査されることを示すユーザー警告ページです。
URL フィルタリングおよび
カテゴリ一致ブロック ページ
URL フィルタリング プロファイルが原因で、または URL カテゴ
リがセキュリティ ポリシーにブロックされているため、アクセス
がブロックされたことを示します。
URL フィルタリングの続行と
オーバーライド ページ
ユーザーがブロックをバイパスできるよう一旦ブロックさせてお
くページです。たとえば、ページが不適切にブロックされている
と思われる場合は、[続行] ボタンをクリックして該当のページに進
めます。
オーバーライド ページで、この URL をブロックするポリシーを
オーバーライドするには、ユーザーにパスワードの入力が求めら
れます。オーバーライド パスワードの設定手順の詳細は、表 1 の
「URL 管理オーバーライド」のセクションを参照してください。
[セーフ サーチを適用] オプションが有効になっている URL フィル
タリング プロファイルを使用したセキュリティ ポリシーによっ
て、アクセスがブロックされたことを示します。
URL フィルタリング セーフ
サーチの適用ブロック ページ
Bing、Google、Yahoo、Yandex、または YouTube を使用し て検
索が実行され、ブラウザまたは検索エンジン アカウント設定で
セーフ サーチが厳密(高い)に設定されていない場合、このペー
ジが表示されます。このブロック ページで、セーフ サーチ設定を
厳密に設定するように指示されます。
必要に応じて、[応答ページ] の下で以下の機能を実行できます。
• カスタム HTML 応答ページをインポートするには、変更するページ タイプのリンクを
クリックし、[インポート / エクスポート] をクリックします。ページを参照して指定し
ます。インポートが成功したかどうかを示すメッセージが表示されます。インポートを
成功させるには、ファイルは必ず HTML 形式にしてください。
• カスタム HTML 応答ページをエクスポートするには、該当のページ タイプの [エクス
ポート] リンクをクリックします。ファイルを開くのか、ディスクに保存するのかを選
択します。常に同じオプションを使用する場合はチェック ボックスをオンにします。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 121
サポート情報の表示
• アプリケーション ブロック ページや SSL 復号オプトアウト ページを有効または無効に
するには、該当のページ タイプの [有効化] をクリックします。[有効化] チェック ボック
スをオンまたはオフにします。
• 以前にアップロードしたカスタム ページの代わりにデフォルトの応答ページを使用する
には、カスタム ブロック ページを削除してコミットします。これで、デフォルトのブ
ロック ページが新しいアクティブ ページに設定されます。
サポート情報の表示
[Device] > [サポート]
[Panorama] > [サポート]
サポート ページでは、サポート関連のオプションにアクセスできます。Palo Alto Networks
の連絡先、サポートの有効期限、デバイス(ファイアウォールまたは Panorama アプライア
ンス)のシリアル番号に基づいた Palo Alto Networks からの製品およびセキュリティ アラー
トを表示できます。
必要に応じて、このページで以下の機能を実行します。
• サポート — このセクションを使用して、Palo Alto Networks サポートの連絡先の表示、
デバイスのサポート状態の表示、または認証コードを使用した契約のアクティベーショ
ンを行います。
• 実働アラート / アプリケーションおよび脅威アラート — これらのアラートは、このペー
ジにアクセスしたとき、またはページを更新したときに Palo Alto Networks 更新サー
バーから取得されます。実働アラートま、たはアプリケーションおよび脅威アラートの
詳細を表示するには、そのアラート名をクックします。実働アラートは、大規模なリ
コールが発生した場合またはそのリリースに関する緊急の問題が発生した場合に通知さ
れます。アプリケーションおよび脅威アラートは、重大な脅威が検出されたときに通知
されます。
• リンク
— このセクションには、ケースを管理できる [サポート] ホーム ページへのリン
ク、およびサポート ログインを使用したデバイスの登録へのリンクがあります。
• テクニカル サポート ファイル — [テクニカル サポート ファイルの生成] リンクを使用し
て、デバイスで発生している可能性のある問題のトラブルシューティングにサポート グ
ループが使用できるシステム ファイルを生成します。ファイルを生成したら、[テクニ
カル サポート ファイルのダウンロード] をクリックしてファイルを取得し、そのファイ
ルを Palo Alto Networks サポート部門に送信します。
• スタッツ ダンプ ファイル — [スタッツ ダンプ ファイルの生成] リンクを使用して、過去
7 日間のネットワーク トラフィックを要約する一連の XML レポートを生成します。レ
ポートが生成されたら、[スタッツ ダンプ ファイルのダウンロード] リンクをクリックし
てレポートを取得します。Palo Alto Networks または認定パートナーのシステム エンジ
ニアが、このレポートを使用して AVR レポート(Application Visibility and Risk レポー
ト)を生成します。AVR は、検出されたネットワークとその関連ビジネスやセキュリ
ティ上の潜在的リスクを明らかにし、通常は評価プロセスの一部として使用されます。
AVR レポートの詳細は、Palo Alto Networks または認定パートナーのシステム エンジ
ニアにお問い合わせください。
122 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
第4章
ネットワーク設定
• 「バーチャル ワイヤーの定義」
• 「ファイアウォール インターフェイスの設定」
• 「仮想ルーターの設定」
• 「VLAN サポートの設定」
• 「DHCP の設定」
• 「DNS プロキシの設定」
• 「LLDP の設定」
• 「インターフェイス管理プロファイルの定義」
• 「モニター プロファイルの定義」
• 「ゾーン プロテクション プロファイルの定義」
• 「LLDP プロファイルの定義」
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 123
バーチャル ワイヤーの定義
バーチャル ワイヤーの定義
[Network] > [バーチャル ワイヤー]
バーチャル ワイヤーを定義するには、ファイアウォールに 2 つのバーチャル ワイヤー イン
ターフェイスを指定した後にこのページを使用します。
表 60. バーチャル ワイヤー設定
フィールド
説明
バーチャル ワイヤー名
バーチャル ワイヤー名(最大 31 文字)を入力します。この名前は、イ
ンターフェイスを設定するときにバーチャル ワイヤーのリストに表示さ
れます。名前の大文字と小文字は区別されます。また、一意の名前にす
る必要があります。文字、数字、スペース、ハイフン、およびアンダー
スコアのみを使用してください。
インターフェイス
表示されたリストから、バーチャル ワイヤー設定用の Ethernet インター
フェイスを 2 つ選択します。リストには、バーチャル ワイヤー インター
フェイス タイプで、他のバーチャル ワイヤーに割り当てられていない
インターフェイスのみが表示されます。
Tags Allowed
バーチャル ワイヤーで許可されるトラフィックのタグ番号 (0 ~ 4094) ま
たはタグ番号の範囲(タグ 1-タグ 2)を入力します。タグ値が 0 の場
合、タグのないトラフィックを示します(デフォルト)。複数のタグや
範囲はコンマで区切る必要があります。除外されたタグの値のトラ
フィックは、破棄されます。受信パケットまたは送信パケット上でタグ
値が変更されることはありません。
バーチャル ワイヤー サブインターフェイスを使用する場合に [タグを許
可] リストを指定すると、リスト内のタグを持つすべてのトラフィック
が親バーチャル ワイヤーに分類されます。バーチャル ワイヤー サブイ
ンターフェイスでは、親の [タグを許可] リストに存在しないタグを使用
する必要があります。
マルチキャスト
ファイアウォール設定
セキュリティ ルールをマルチキャスト トラフィックに適用できるよう
にする場合は、このオプションを選択します。この設定が有効になって
いないと、マルチキャスト トラフィックがバーチャル ワイヤー間で転
送されます。
リンク状態パス スルー
リンクのダウン状態が検出された場合にバーチャル ワイヤーのもう一方
のポートをダウンさせるには、このチェック ボックスをオンにします。
このチェック ボックスがオフの場合、リンク状態はバーチャル ワイ
ヤー間で伝搬されません。
124 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
バーチャル ワイヤーの定義
ファイアウォール インターフェイスの設定
ファイアウォール インターフェイス(ポート)により、ファイアウォールは、ファイア
ウォール内の他のインターフェイスや、他のネットワーク デバイスに接続することが可能で
す。以下のトピックでは、各種インターフェイス タイプとそれらの設定方法について説明し
ます。
探している情報
以下を参照
ファイアウォール インターフェ
イスとは何ですか?
「ファイアウォール インターフェイスの概要」
ファイアウォール インターフェ
イスの知識がありません。ファ
イアウォール インターフェイス
の構成要素は何ですか?
「ファイアウォール インターフェイスの共通の構成
要素」
ファイアウォール インターフェ
イスはすでに理解しています。
特定のインターフェース タイプ
の設定情報はどうすれば確認で
きますか?
物理インターフェイス (Ethernet)
「PA-7000 シリーズのファイアウォール インター
フェイスの共通の構成要素」
「レイヤー 2 インターフェイスの設定」
「レイヤ 2 サブインターフェイスの設定」
「レイヤー 3 インターフェイスの設定」
「レイヤ 3 サブインターフェイスの設定」
「バーチャル ワイヤー インターフェイスの設定」
「バーチャル ワイヤー サブインターフェイスの設定」
「タップ インターフェイスの設定」
「ログ カード インターフェイスの設定」
「ログ カード サブインターフェイスの設定」
「復号化ミラー インターフェイスの設定」
「集約インターフェイス グループの設定」
「集約インターフェイスの設定」
「HA インターフェイスの設定」
論理インターフェイス
「VLAN インターフェイスの設定」
「ループバック インターフェイスの設定」
「トンネル インターフェイスの設定」
その他の情報をお探しで
すか?
Palo Alto Networks
「Networking」を参照。
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 125
ファイアウォール インターフェイスの概要
ファイアウォール インターフェイスの概要
ファイアウォール データ ポートのインターフェイス設定により、トラフィックがファイア
ウォールを出入りできるようになります。Palo Alto Networks ファイアウォールは、複数の
デプロイメントで同時に作動できます。これは、さまざまなデプロイメントをサポートするよ
うにインターフェイスを設定できるからです。たとえば、バーチャル ワイヤー、レイヤー 2、
レイヤー 3、およびタップ モード デプロイメントに対応するようにファイアウォールの
Ethernet インターフェイスを設定できます。ファイアウォールでサポートされるインター
フェイスを以下に示します。
• 物理インターフェイス — ファイアウォールには、同軸銅線および光ファイバーという 2
種類の Ethernet インターフェイスがあり、それぞれ異なる伝送速度でトラフィックを送
受信できます。Ethernet インターフェイスは、さまざまなタイプとして設定できます。
具体的には、タップ、高可用性 (HA)、ログ カード(インターフェイスおよびサブイン
ターフェイス)、復号化ミラー、バーチャル ワイヤー(インターフェイスおよびサブイ
ンターフェイス)、レイヤー 2(インターフェイスおよびサブインターフェイス)、レイ
ヤー 3(インターフェイスおよびサブインターフェイス)、および Aggregate Ethernet と
して設定できます。使用可能なインターフェイス タイプおよび伝送速度は、ハードウェ
ア モデルごとに異なります。
• 論理インターフェイス — これには、仮想ローカル エリア ネットワーク (VLAN) イン
ターフェイス、ループバック インターフェイス、およびトンネル インターフェイスが含
まれます。VLAN またはトンネル インターフェイスを定義する前に、物理インターフェ
イスをセットアップする必要があります。
ファイアウォール インターフェイスの共通の構成要素
以下の表は、[Network] > [インターフェイス] ページの構成要素のうち、ほとんどのイン
ターフェイス タイプに共通のものを示しています。
PA-7000 シリーズのファイアウォール インターフェイスを設定する場
合、または Panorama を使用して任意のファイアウォール インターフェ
イスを設定する場合に固有のまたは個別の構成要素の説明については、
「PA-7000 シリーズのファイアウォール インターフェイスの共通の構成
要素」を参照してください。
126 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ファイアウォール インターフェイスの共通の構成要素
表 61. ファイアウォール インターフェイスの共通の構成要素
フィールド
説明
インターフェイス
(インターフェ
イス名)
インターフェイス名は事前に定義されており、変更することはできません。サ
ブインターフェイス、集約インターフェイス、VLAN インターフェイス、ルー
プバック インターフェイス、およびトンネル インターフェイスには、数値のサ
フィックスを付加できます。
インターフェイス
タイプ
Ethernet インターフェイス([Network] > [インターフェイス] > [Ethernet])で
は、以下のインターフェイス タイプを選択できます。
• Tap
• HA
• 復号化ミラー(PA-7000 シリーズ、PA-5000 シリーズ、および PA-3000 シリー
ズのファイアウォールのみ)
• Virtual Wire
• Layer 2
• Layer 3
• ログ カード(PA-7000 シリーズのファイアウォールのみ)
• Aggregate Ethernet
管理プロ
ファイル
このインターフェイスを介したファイアウォールの管理に使用できるプロトコ
ル(SSH、Telnet、HTTP など)を定義するプロファイルを選択します。
リンク状態
Ethernet インターフェイスの場合、この列は、インターフェイスが現在アクセス
可能で、ネットワーク経由でトラフィックを取得できるかどうかを示します。
• 緑色 — 設定されており、アップしています
• 赤色 — 設定されていますが、ダウンしているか無効です
• 灰色 — 設定されていません
アイコンの上にポインタを置くと、インターフェイスのリンク速度とデュプ
レックス設定を示すツールチップが表示されます。
IP アドレス
Ethernet、VLAN、ループバック、またはトンネルの IPv4 アドレスまたは IPv6
アドレスを設定します。IPv4 アドレスの場合は、インターフェイスのアドレス
モードとして、スタティック、DHCP (Dynamic Host Configuration Protocol)、
または PPPoE (Point-to-Point Protocol over Ethernet) も選択できます。
仮想ルーター
インターフェイスに仮想ルーターを割り当てるか、[仮想ルーター] リンクをク
リックして新しい仮想ルーターを定義します(「仮想ルーターの設定」を参
照)。[None] を選択すると、インターフェイスから現在のルーター割り当てが
削除されます。
タグ
サブインターフェイスの VLAN タグ (1 ~ 4094) を入力します。
VLAN
VLAN を選択するか、[VLAN] リンクをクリックして新しい VLAN を定義しま
す(「VLAN サポートの設定」を参照)。[none] を選択すると、インターフェ
イスから現在の VLAN 割り当てが削除されます。レイヤー 2 インターフェイス
間の切り替えを有効にする、または VLAN インターフェイス経由のルーティン
グを有効にするには、VLAN オブジェクトを設定する必要があります。
仮想システム
ファイアウォールが複数の仮想システムをサポートし、その機能が有効の場合
は、インターフェイスの仮想システム (vsys) を選択するか、[仮想システム] リ
ンクをクリックして新しい vsys を定義します。
セキュリティ
ゾーン
インターフェイスのセキュリティ ゾーンを選択するか、[ゾーン] リンクをク
リックして新しいゾーンを定義します。[None] を選択すると、インターフェイ
スから現在のゾーン割り当てが削除されます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 127
PA-7000 シリーズのファイアウォール インターフェイスの共通の構成要素
表 61. ファイアウォール インターフェイスの共通の構成要素(続き)
フィールド
説明
機能
Ethernet インターフェイスの場合、この列は、以下の機能が有効かどうかを示
します。
リンク集約制御プロトコル (LACP)
サービス品質 (QoS) プロファイル
リンク レイヤー検出プロトコル (LLDP)
NetFlow プロファイル
DHCP (Dynamic Host Configuration Protocol) クライアント — インター
フェイスは DHCP クライアントとして機能し、動的に割り当てられた IP
アドレスを受信します。
コメント
インターフェイスの機能または目的の説明。
PA-7000 シリーズのファイアウォール インターフェイス
の共通の構成要素
以下の表は、[Network] > [インターフェイス] > [Ethernet] ページの構成要素のうち、PA7000 シリーズのファイアウォール インターフェイスを設定する場合、または Panorama を
使用して任意のファイアウォール インターフェイスを設定する場合に固有のまたは個別の構
成要素を示しています。インターフェイスを作成するには [インターフェイスの追加] ボタン
をクリックし、既存のインターフェイスを編集するにはその名前([Ethernet1/1] など)をク
リックします。
PA-7000 シリーズのファイアウォールの場合は、1 つのデータ ポートに対
して「ログ カード インターフェイスの設定」 を行う必要があります。
表 62. PA-7000 シリーズのファイアウォール インターフェイスの共通の構成要素
フィールド
説明
スロット
インターフェイスのスロット番号 (1 ~ 12) を選択します。スロットが複数ある
のは、PA-7000 シリーズのファイアウォールのみです。Panorama を使用して他
のファイアウォール プラットフォームのインターフェイスを設定する場合は、
[スロット 1] を選択します。
インターフェイス
(インター
フェイス名)
選択したスロットに関連付けられているインターフェイスの名前を選択します。
128 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
レイヤー 2 インターフェイスの設定
レイヤー 2 インターフェイスの設定
[Network] > [インターフェイス] > [Ethernet]
レイヤー 2 インターフェイスを設定するには、設定されていないインターフェイスの名前
([Ethernet1/1] など)をクリックし、以下の情報を指定します。
表 63. レイヤー 2 インターフェイス設定
フィールド
設定場所
説明
インターフェイ
ス名
Ethernet
インターフェイス
インターフェイス名は事前に定義されており、変更することはできま
せん。
コメント
Ethernet
インターフェイス
インターフェイスの説明(省略可)を入力します。
インターフェイ
ス タイプ
Ethernet
インターフェイス
[レイヤー 2] を選択します。
Netflow プロ
ファイル
Ethernet
インターフェイス
入力インターフェイスを通過する単向性の IP トラフィックを NetFlow
サーバーにエクスポートする場合は、サーバー プロファイルを選択す
るか、[Netflow プロファイル] リンクをクリックして新しいプロファ
イルを定義します(「Netflow の設定」を参照)。[none] を選択する
と、インターフェイスから現在の NetFlow サーバー割り当てが削除さ
れます。
注:PA-4000 シリーズのファイアウォールでは、この機能がサポート
されていません。
VLAN
[Ethernet
インターフェイス] >
[設定]
レイヤー 2 インターフェイス間の切り替えを有効にする、または
VLAN インターフェイス経由のルーティングを有効にするには、
VLAN を選択するか、[VLAN] リンクをクリックして新しい VLAN を
定義します(「VLAN サポートの設定」を参照)。[none] を選択する
と、インターフェイスから現在の VLAN 割り当てが削除されます。
仮想システム
[Ethernet
インターフェイス] >
[設定]
ファイアウォールが複数の仮想システムをサポートし、その機能が有
効の場合は、インターフェイスの仮想システムを選択するか、[仮想シ
ステム] リンクをクリックして新しい vsys を定義します。
セキュリティ
ゾーン
[Ethernet
インターフェイス] >
[設定]
インターフェイスのセキュリティ ゾーンを選択するか、[ゾーン] リン
クをクリックして新しいゾーンを定義します。[None] を選択すると、
インターフェイスから現在のゾーン割り当てが削除されます。
リンク速度
[Ethernet
インターフェイス] >
[詳細]
インターフェイスの速度([10]、[100]、または [1000] Mbps)を選択す
るか、[auto] を選択してファイアウォールに自動的に速度を決定させ
ます。
リンク デュプ
レックス
[Ethernet
インターフェイス] >
[詳細]
インターフェイスの伝送モードを、フル デュプレックス ([full])、ハー
フ デュプレックス ([half])、オート ネゴシエーション ([auto]) から選択
します。
リンク状態
[Ethernet
インターフェイス] >
[詳細]
インターフェイスの状態を、有効 ([up])、無効 ([down])、自動決定
([auto]) から選択します。
LLDP の有効化
[Ethernet
インターフェイス] >
[詳細] > [LLDP]
インターフェイスでリンク レイヤー検出プロトコル (LLDP) を有効に
するには、このオプションを選択します。LLDP は、リンク レイヤー
で機能し、隣接するデバイスとその機能を検出します。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 129
レイヤ 2 サブインターフェイスの設定
表 63. レイヤー 2 インターフェイス設定(続き)
フィールド
設定場所
説明
プロファイル
[Ethernet
インターフェイス] >
[詳細] > [LLDP]
LLDP が有効の場合は、インターフェイスに割り当てる LLDP プロ
ファイルを選択するか、[LLDP プロファイル] リンクをクリックして
新しいプロファイルを作成します(「LLDP プロファイルの定義」を
参照)。[なし] を選択すると、グローバルなデフォルト設定がファイ
アウォールで使用されます。
レイヤ 2 サブインターフェイスの設定
[Network] > [インターフェイス] > [Ethernet]
物理レイヤー 2 インターフェイスとして設定された各 Ethernet ポートについては、ポートで
受信するトラフィックに割り当てられる VLAN タグごとに追加の論理レイヤー 2 インター
フェイス(サブインターフェイス)を定義できます。レイヤー 2 サブインターフェイス間の
切り替えを有効にするには、それらのサブインターフェイスに同じ VLAN オブジェクトを割
り当てます。
レイヤー 2 サブインターフェイスを設定するには、「レイヤー 2 インターフェイスの設定」
を行い、その物理インターフェイスの行を選択した後、[サブインターフェイスの追加] をク
リックし、以下の情報を指定します。
表 64. レイヤー 2 サブインターフェイス設定
フィールド
説明
インターフェイ
ス名
読み取り専用の [インターフェイス名] フィールドには、選択した物理インターフェイスの名
前が表示されます。サブインターフェイスを識別する数値サフィックス (1 ~ 9999) を隣の
フィールドに入力します。
コメント
サブインターフェイスの説明(省略可)を入力します。
タグ
サブインターフェイスの VLAN タグ (1 ~ 4094) を入力します。
Netflow プロ
ファイル
入力サブインターフェイスを通過する単向性の IP トラフィックを NetFlow サーバーにエクス
ポートする場合は、サーバー プロファイルを選択するか、[Netflow プロファイル] リンクを
クリックして新しいプロファイルを定義します(「Netflow の設定」を参照)。[なし] を選択
すると、サブインターフェイスから現在の NetFlow サーバー割り当てが削除されます。
注:PA-4000 シリーズのファイアウォールでは、この機能がサポートされていません。
VLAN
レイヤー 2 インターフェイス間の切り替えを有効にする、または VLAN インターフェイス経
由のルーティングを有効にするには、VLAN を選択するか、[VLAN] リンクをクリックして新
しい VLAN を定義します(「VLAN サポートの設定」を参照)。[None] を選択すると、サブ
インターフェイスから現在の VLAN 割り当てが削除されます。
仮想システム
ファイアウォールが複数の仮想システムをサポートし、その機能が有効の場合は、サブイン
ターフェイスの仮想システム (vsys) を選択するか、[仮想システム] リンクをクリックして新し
い vsys を定義します。
セキュリティ
ゾーン
サブインターフェイスのセキュリティ ゾーンを選択するか、[ゾーン] リンクをクリックして
新しいゾーンを定義します。[None] を選択すると、サブインターフェイスから現在のゾーン
割り当てが削除されます。
130 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
レイヤー 3 インターフェイスの設定
レイヤー 3 インターフェイスの設定
[Network] > [インターフェイス] > [Ethernet]
レイヤー 3 インターフェイスを設定するには、設定されていないインターフェイスの名前
([Ethernet1/1] など)をクリックし、以下の情報を指定します。
表 65. レイヤー 3 インターフェイス設定
フィールド
設定場所
説明
インターフェイス名
Ethernet
インターフェイス
インターフェイス名は事前に定義されており、変更することはで
きません。
コメント
Ethernet
インターフェイス
インターフェイスの説明(省略可)を入力します。
インターフェイス
タイプ
Ethernet
インターフェイス
[レイヤー 3] を選択します。
Netflow プロ
ファイル
Ethernet
インターフェイス
入力インターフェイスを通過する単向性の IP トラフィックを
NetFlow サーバーにエクスポートする場合は、サーバー プロファ
イルを選択するか、[Netflow プロファイル] リンクをクリックして
新しいプロファイルを定義します(「Netflow の設定」を参照)。
[none] を選択すると、インターフェイスから現在の NetFlow サー
バー割り当てが削除されます。
注:PA-4000 シリーズのファイアウォールでは、この機能がサ
ポートされていません。
仮想ルーター
[Ethernet
インターフェイス] >
[設定]
仮想ルーターを選択するか、[仮想ルーター] リンクをクリックし
て新しい仮想ルーターを定義します(「仮想ルーターの設定」を
参照)。[None] を選択すると、インターフェイスから現在のルー
ター割り当てが削除されます。
仮想システム
[Ethernet
インターフェイス] >
[設定]
ファイアウォールが複数の仮想システムをサポートし、その機能
が有効の場合は、インターフェイスの仮想システム (vsys) を選択
するか、[仮想システム] リンクをクリックして新しい vsys を定義
します。
セキュリティ ゾーン
[Ethernet
インターフェイス] >
[設定]
インターフェイスのセキュリティ ゾーンを選択するか、[ゾーン] リ
ンクをクリックして新しいゾーンを定義します。[None] を選択する
と、インターフェイスから現在のゾーン割り当てが削除されます。
リンク速度
[Ethernet
インターフェイス] >
[詳細]
インターフェイス速度を Mbps 単位で選択([10]、[100]、[1000]
のいずれか)するか、[auto] を選択します。
リンク デュプ
レックス
[Ethernet
インターフェイス] >
[詳細]
インターフェイスの伝送モードを、フル デュプレックス ([full])、
ハーフ デュプレックス ([half])、オート ネゴシエーション ([auto])
から選択します。
リンク状態
[Ethernet
インターフェイス] >
[詳細]
インターフェイスの状態を、有効 ([up])、無効 ([down])、自動決
定 ([auto]) から選択します。
管理プロファイル
[Ethernet
インターフェイス] >
[詳細] > [その他の
情報]
このインターフェイスを介したファイアウォールの管理に使用で
きるプロトコル(SSH、Telnet、HTTP など)を定義するプロファ
イルを選択します。[None] を選択すると、インターフェイスから
現在のプロファイル割り当てが削除されます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 131
レイヤー 3 インターフェイスの設定
表 65. レイヤー 3 インターフェイス設定(続き)
フィールド
設定場所
説明
MTU
[Ethernet
インターフェイス] >
[詳細] > [その他の
情報]
このインターフェイスで送信されるパケットの最大転送単位
(MTU) をバイト数で入力します(576 ~ 9192、デフォルトは
1500)。ファイアウォールの両側のマシンが Path MTU Discovery
(PMTUD) を実行し、インターフェイスが MTU を超えるパケット
を受信すると、ファイアウォールが送信元にパケットが大きすぎ
ることを示す ICMP フラグメント要求メッセージを返します。
TCP MSS の調整
[Ethernet
インターフェイス] >
[詳細] > [その他の
情報]
最大セグメント サイズ (MSS) がインターフェイスの MTU よりも
40 バイト小さくなるように調整するには、このチェック ボックス
をオンにします。この設定は、ネットワークを経由するトンネル
で MSS を小さくする必要のある状況に対応します。オンの場合
は、フラグメント化しないとパケットが MSS 内に収まらないとき
に調整が行われます。
タグのないサブ
インターフェイス
[Ethernet
インターフェイス] >
[詳細] > [その他の
情報]
このレイヤー 3 インターフェイスに属するすべてのサブインター
フェイスにタグを付けないように指定します。PAN-OS が、パ
ケットの宛先に基づいて、タグのないサブインターフェイスを
ingress インターフェイスとして選択します。宛先がタグのないサ
ブインターフェイスの IP アドレスの場合は、サブインターフェイ
スにマッピングされます。これは、反対方向のパケットで、送信
元アドレスをタグのないサブインターフェイスの IP アドレスに変
換する必要があることも示します。この分類メカニズムにより、
すべてのマルチキャスト パケットとブロードキャスト パケット
が、サブインターフェイスではなく基本インターフェイスに割り
当てられます。OSPF (Open Shortest Path First) ではマルチキャス
トを使用するため、ファイアウォールはタグのないサブインター
フェイスで OSPF をサポートしていません。
IP アドレス
[Ethernet
インターフェイス] >
[詳細] > [ARP
エントリ]
1 つ以上のスタティック ARP (Address Resolution Protocol) エン
トリを追加するには、[追加] をクリックし、IP アドレスとそれに
関 連付けられたハードウェア(メディア アクセス制御、略称
MAC)のアドレスを入力します。エントリを削除するには、エン
トリを選択して [Delete] をクリックします。スタティック ARP
エントリによって、指定したアドレスの ARP 処理が減り、中間
者攻撃が防止されます。
[Ethernet
インターフェイス] >
[詳細] > [ND
エントリ]
NDP (Neighbor Discovery Protocol) のネイバー情報を指定するに
は、[追加] をクリックし、ネイバーの IP アドレスと MAC アドレ
スを入力します。
[Ethernet
インターフェイス] >
[詳細] > [NDP プロ
キシ]
このチェック ボックスをオンにすると、インターフェイスのネイ
バー検出 (ND) プロトコル プロキシが有効になります。ファイア
ウォールは、このリストの IPv6 アドレスの MAC アドレスを要求
する ND パケットに応答します。ND に対する応答として、ファ
イアウォールは、そのインターフェイス独自の MAC アドレスを
送信し、これらのアドレス宛のすべてのパケットを要求します。
多数のアドレスをフィルタリングするには、検索文字列を入力
し、フィルタの適用アイコン
をクリックします。
MAC アドレス
IPv6 アドレス
MAC アドレス
NDP プロキシの
有効化
NPTv6 (Network Prefix Translation IPv6) を使用する場合は、
[NDP プロキシの有効化] を選択することをお勧めします。
[NDP プロキシの有効化] チェックボックスがオンの場合、
132 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
レイヤー 3 インターフェイスの設定
表 65. レイヤー 3 インターフェイス設定(続き)
フィールド
設定場所
説明
アドレス
[Ethernet
インターフェイス] >
[詳細] > [NDP
プロキシ]
[追加] をクリックし、1 つ以上の IPv6 アドレス、IP 範囲、IPv6 サ
ブネット、またはファイアウォールが NDP プロキシとして機能
するアドレス オブジェクトを入力します。これらのアドレスの 1
つは、NPTv6 の送信元変換のアドレスと同じであることが理想的
です。アドレスの順序は問題になりません。
アドレスがサブネットワークの場合、ファイアウォールは、サブ
ネットのすべてのアドレスに対して ND 応答を送信します。した
がって、ファイアウォールの IPv6 ネイバーも追加し、[Negate]
チェック ボックスをオンにして、これらの IP アドレスに応答し
ないようにファイアウォールに指示することをお勧めします。
Negate
[Ethernet
インターフェイス] >
[詳細] > [NDP
プロキシ]
あるアドレスに対して [Negate] チェック ボックスをオンにする
と、NDP プロキシは、そのアドレスを拒否するようになります。
Negate は、指定した IP アドレス範囲または IP サブネットの一部
に対して実行できます。
LLDP の有効化
[Ethernet
インターフェイス] >
[詳細] > [LLDP]
選択すると、インターフェイスでリンク レイヤー検出プロトコル
(LLDP) が有効になります。LLDP は、リンク レイヤーで機能
し、隣接するデバイスとその機能を検出します。
プロファイル
[Ethernet
インターフェイス] >
[詳細] > [LLDP]
LLDP が有効の場合は、インターフェイスに割り当てる LLDP プ
ロファイルを選択するか、[LLDP プロファイル] リンクをクリッ
クして新しいプロファイルを作成します(「LLDP プロファイル
の定義」を参照)。[なし] を選択すると、グローバルなデフォル
ト設定がファイアウォールで使用されます。
IPv4 アドレスの場合
タイプ
[Ethernet
インターフェイス] >
[IPv4]
IPv4 アドレス タイプをインターフェイスに割り当てる方法を選択
します。
• スタティック — IP アドレスを手動で指定する必要があります。
• PPPoE — ファイアウォールが PPPoE (Point-to-Point Protocol
over Ethernet) 用のインターフェイスを使用します。
• DHCP クライアント — インターフェイスが DHCP (Dynamic Host
Configuration Protocol) クライ アントとして機能し、ダイナ
ミックに割り当てられた IP アドレスを受信できます。
注:アクティブ / アクティブ高可用性 (HA) モードのファイア
ウォールは、PPPoE または DHCP クライアントをサポートしま
せん。
選択した IP アドレス方式に応じて、タブに表示されるオプション
は異なります。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 133
レイヤー 3 インターフェイスの設定
表 65. レイヤー 3 インターフェイス設定(続き)
フィールド
設定場所
説明
• IPv4 アドレス タイプ = スタティック
IP
[Ethernet
インターフェイス] >
[IPv4]
[追加] をクリックし、以下のいずれかの手順を実行して、イン
ターフェイスのスタティック IP アドレスとネットワーク マスク
を指定します。
• エントリを CIDR (Classless Inter-Domain Routing) 表記法の
ip_address/mask の形式(例:192.168.2.0/24 for IPv4 or
2001:db8::/32 for IPv6)で入力します。
• タイプが IP ネットマスクの既存のアドレス オブジェクトを選
択します。
• [アドレス] リンクをクリックし、タイプが [IP ネットマスク] の
アドレス オブジェクトを作成します。
インターフェイスに対して複数の IP アドレスを入力できます。IP
アドレスの最大数は、システムが使用する転送情報ベース (FIB)
によって決まります。
IP アドレスを削除するには、アドレスを選択して [削除] をクリッ
クします。
• IPv4 アドレス タイプ = PPPoE
有効化
[Ethernet
インターフェイス] >
[IPv4] > [PPPoE] >
[全般]
インターフェイスを PPPoE 終端としてアクティベーションするに
は、このチェック ボックスをオンにします。
ユーザー名
[Ethernet
インターフェイス] >
[IPv4] > [PPPoE] >
[全般]
ポイントツーポイント接続のユーザー名を入力します。
パスワード / パス
ワード再入力
[Ethernet
インターフェイス] >
[IPv4] > [PPPoE] >
[全般]
ユーザー名のパスワードを入力し、確認します。
PPPoE クライアント
ランタイム情報の表示
[Ethernet
インターフェイス] >
[IPv4] > [PPPoE] >
[全般]
接続を確立するためにファイアウォールがインターネット サービ
ス プロバイダ (ISP) とネゴシエートしたパラメータを表示するダ
イアログを開くには、このリンクをクリックします(任意)。表
示される具体的な情報は、ISP ごとに異なります。
認証
[Ethernet
インターフェイス] >
[IPv4] > [PPPoE] >
[詳細]
PPPoE 通信用の認証プロトコルを、[CHAP] (Challenge-Handshake
Authentication Protocol)、[PAP] (Password Authentication Protocol)、
またはデフォルトの [auto](ファイアウォールがプロトコルを決
定)のいずれかから選択します。[None] を選択すると、インター
フェイスから現在のプロトコル割り当てが削除されます。
134 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
レイヤー 3 インターフェイスの設定
表 65. レイヤー 3 インターフェイス設定(続き)
フィールド
設定場所
説明
スタティック
アドレス
[Ethernet
インターフェイス] >
[IPv4] > [PPPoE] >
[詳細]
以下のいずれかの手順を実行して、インターネット サービス プロバ
イダが割り当てた IP アドレスを指定します(デフォルト値なし)。
• エントリを CIDR (Classless Inter-Domain Routing) 表記法の
ip_address/mask の形式(例:192.168.2.0/24 for IPv4 or
2001:db8::/32 for IPv6)で入力します。
• タイプが IP ネットマスクの既存のアドレス オブジェクトを選択
します。
• [アドレス] リンクをクリックし、タイプが [IP ネットマスク] の
アドレス オブジェクトを作成します。
• [なし] を選択すると、インターフェイスから現在のアドレス割り
当てが削除されます。
ピアを指すデフォル
ト ルートを自動的に
作成
[Ethernet
インターフェイス] >
[IPv4] > [PPPoE] >
[詳細]
接続時に自動的に PPPoE ピアを指し示すデフォルト ルートを自
動的に作成するには、このチェック ボックスをオンにします。
デフォルト ルート
メトリック
[Ethernet
インターフェイス] >
[IPv4] > [PPPoE] >
[詳細]
ファイアウォールとインターネット サービス プロバイダ間のルー
トについて、デフォルト ルートに関連付け、パス選択に使用する
ルート メトリック(優先度)を入力します(任意、範囲は 1 ~
65535)。数値が小さいほど優先度が高くなります。
アクセス コンセント
レータ
[Ethernet
インターフェイス] >
[IPv4] > [PPPoE] >
[詳細]
ファイアウォールが接続するインターネット サービス プロバイダ
側のアクセス コンセントレータの名前を入力します(任意、デ
フォルトなし)。
サービス
[Ethernet
インターフェイス] >
[IPv4] > [PPPoE] >
[詳細]
サービス文字列を入力します(任意、デフォルトなし)。
パッシブ
[Ethernet
インターフェイス] >
[IPv4] > [PPPoE] >
[詳細]
パッシブ モードを使用するには、このチェック ボックスをオンに
します。パッシブ モードでは、PPPoE エンド ポイントはアクセス
コンセントレータが最初のフレームを送信するまで待機します。
• IPv4 アドレス タイプ = DHCP
有効化
[Ethernet
インターフェイス] >
[IPv4]
インターフェイスで DHCP クライアントをアクティベーションす
るには、このチェック ボックスをオンにします。
サーバー提供のデフォ
ルト ゲートウェイを
指すデフォルト ルー
トを自動的に作成
[Ethernet
インターフェイス] >
[IPv4]
DHCP サーバーによって提供されるデフォルト ゲートウェイを指
し示すデフォルト ルートを自動的に作成するには、このチェック
ボックスをオンにします。
デフォルト ルート
メトリック
[Ethernet
インターフェイス] >
[IPv4]
ファイアウォールと DHCP サーバー間のルートについて、デフォ
ルト ルートに関連付け、パス選択に使用するルート メトリック
(優先度)を入力します(任意、範囲は 1 ~ 65535、デフォルト
なし)。数値が小さいほど優先度が高くなります。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 135
レイヤー 3 インターフェイスの設定
表 65. レイヤー 3 インターフェイス設定(続き)
フィールド
設定場所
説明
DHCP クライアント
ランタイム情報の表示
[Ethernet
インターフェイス] >
[IPv4]
このボタンをクリックすると、DHCP のリース状態、ダイナミッ
ク IP アドレス割り当て、サブネット マスク、ゲートウェイ、
サーバー設定(DNS、NTP、ドメイン、WINS、NIS、POP3、お
よび SMTP)など、DHCP サーバーから受信したすべての設定が
表示されます。
IPv6 アドレスの場合
インターフェイスで
の IPv6 の有効化
[Ethernet
インターフェイス] >
[IPv6]
このインターフェイスの IPv6 アドレスを有効にするには、この
チェック ボックスをオンにします。
インターフェイス ID
[Ethernet
インターフェイス] >
[IPv6]
64 ビット拡張一意識別子 (EUI-64) を 16 進数形式で入力します
(例:00:26:08:FF:FE:DE:4E:29)。このフィールドを空白のまま
にすると、ファイアウォールが、物理インターフェイスの MAC
アドレスから生成された EUI-64 を使用します。アドレスの追加
時に [ホスト部分にインターフェイス ID を使用] オプションを選
択すると、ファイアウォールがそのアドレスのホスト部分にイン
ターフェイス ID を使用します。
136 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
レイヤー 3 インターフェイスの設定
表 65. レイヤー 3 インターフェイス設定(続き)
フィールド
設定場所
説明
アドレス
[Ethernet
インターフェイス] >
[IPv6]
[追加] をクリックして、IPv6 アドレスごとに以下のパラメータを
設定します。
• アドレス — IPv6 アドレスとプレフィックス長を入力します
(例:2001:400:f00::1/64)。既存の IPv6 アドレス オブジェクト
を選択することや、[アドレス] リンクをクリックしてアドレス
オブジェクトを作成することもできます。
• インターフェイス上のアドレスを有効にする — インターフェイ
スで IPv6 アドレスを有効するには、このチェック ボックスをオ
ンにします。
• ホスト部分にインターフェイス ID を使用 — IPv6 アドレスのホ
スト部分にインターフェイス ID を使用するには、このチェック
ボックスをオンにします。
• エニーキャスト — 最も近いノードを経由するルーティングを含
めるには、このチェック ボックスをオンにします。
• ルーター通知を送信 — この IP アドレスのルーター通知を有効
にするには、このチェック ボックスをオンにします(インター
フェイスのグローバルの [ルーター通知を有効にする] オプショ
ンも有効にする必要があります)。RA の詳細は、この 表の
「ルーター通知を 有効にする」を参照してください。残りの
フィールドは、RA を有効にした場合にのみ適用されます。
– 有効なライフタイム — ファイアウォールがアドレスを有効と
みなす時間(秒)です。有効なライフタイムは、[優先ライフ
タイム] 以上でなければなりません。デフォルトは 2592000
です。
– 優先ライフタイム — 有効なアドレスが優先される時間(秒)
です。この時間内は、ファイアウォールがこのアドレスを使用
してトラフィックを送受信できます。優先ライフタイムの期限
後は、ファイアウォールがこのアドレスを使用して新しい接続
を確立することはできませんが、既存の接続は有効なライフタ
イムの期限まで有効です。デフォルトは 604800 です。
– オンリンク — プレフィックス内にアドレスがあるシステムに
ルーターなしで到達可能にするには、このチェック ボックス
をオンにします。
– 自律型 — 通知されたプレフィックスとインターフェイス ID
を組み合わせて、システムが IP アドレスを独自に作成できる
ようにするには、このチェック ボックスをオンにします。
重複アドレス検出を
有効にする
[Ethernet
インターフェイス] >
[IPv6]
重複アドレス検出 (DAD) を有効にするには、このチェック ボック
スをオンにして、このセクションの他のフィールドを設定します。
DAD 試行回数
[Ethernet
インターフェイス] >
[IPv6]
ネイバー要請間隔(NS 間隔)内の DAD の試行回数を指定します
(範囲は 1 ~ 10、デフォルトは 1)。この回数を超えるとネイ
バーに障害があるとみなされます。
到達可能時間
[Ethernet
インターフェイス] >
[IPv6]
クエリと応答が正常に行われた後引き続きネイバーに到達可能な時
間(秒)を指定します(範囲は 1 ~ 36000、デフォルトは 30)。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 137
レイヤー 3 インターフェイスの設定
表 65. レイヤー 3 インターフェイス設定(続き)
フィールド
設定場所
説明
NS 間隔
(ネイバー要請間隔)
[Ethernet
インターフェイス] >
[IPv6]
DAD の試行秒数を指定します(範囲は 1 ~ 10、デフォルトは
1)。この秒数を超えると障害があるとみなされます。
ルーター通知を
有効にする
[Ethernet
インターフェイス] >
[IPv6]
IPv6 インターフェイスでステートレス アドレス自動設定
(SLAAC) を提供するには、このチェック ボックスをオンにし
て、このセクションの他のフィールドを設定します。ルーター通
知 (RA) メッセージを受信するクライアントは、この情報を使用
します。
RA により、ファイアウォールが、スタティックに設定されてい
ない IPv6 ホストのデフォルト ゲートウェイとして機能し、ホス
トにアドレス設定の IPv6 プレフィックスを提供できます。別の
DHCPv6 サーバーをこの機能と併用すると、DNS および他の設
定をクライアントに提供できます。
このオプションはインターフェイスのグローバル設定です。IP ア
ドレスごとに RA オプションを設定する場合は、IP アドレス
テーブルの [追加] をクリックしてアドレスを設定します(詳細
は、この表の「アドレス」を参照)。IP アドレスに RA オプショ
ンを設定する場合は、インターフェイスの [ルーター通知を有効
にする] オプションを選択する必要があります。
最小間隔(秒)
[Ethernet
インターフェイス] >
[IPv6]
ファイアウォールが送信する RA 間の最小間隔(秒)を指定しま
す(範囲は 3 ~ 1350、デフォルトは 200)。ファイアウォール
は、設定した最小値と最大値の間のランダムな間隔で RA を送信
します。
最大間隔(秒)
[Ethernet
インターフェイス] >
[IPv6]
ファイアウォールが送信する RA 間の最大間隔(秒)を指定しま
す(範囲は 4 ~ 1800、デフォルトは 600)。ファイアウォール
は、設定した最小値と最大値の間のランダムな間隔で RA を送信
します。
ホップ制限
[Ethernet
インターフェイス] >
[IPv6]
クライアントに適用する、送信パケットのホップ制限を指定しま
す(範囲は 1 ~ 255、デフォルトは 64)。ホップ制限を指定しな
い場合は 0 を入力します。
リンク MTU
[Ethernet
インターフェイス] >
[IPv6]
クライアントに適用するリンクの最大転送単位 (MTU) を指定しま
す。リンクの MTU を指定しない場合は [unspecified] を選択しま
す(範囲は 1280 ~ 9192、デフォルトは [unspecified])。
到達可能時間
(ミリ秒)
[Ethernet
インターフェイス] >
[IPv6]
到達可能確認メッセージを受信後ネイバーに到達可能であると想
定するためにクライアントが使用する到達可能時間(ミリ秒)を
指定します。到達可能時間を指定しない場合は [unspecified] を
選択します(範囲は 0 ~ 3600000、デフォルトは [unspecified])。
リトランス
ミッション時間
(ミリ秒)
[Ethernet
インターフェイス] >
[IPv6]
ネイバー要請メッセージを再送信するまでにクライアントが待機す
る時間を決定するリトランスミッション タイマーを指定します。
リトランスミッション時間を指定しない場合は [unspecified] を選
択します(範囲は 0 ~ 4294967295、デフォルトは [unspecified])。
138 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
レイヤ 3 サブインターフェイスの設定
表 65. レイヤー 3 インターフェイス設定(続き)
フィールド
設定場所
説明
ルーターの
有効期間(秒)
[Ethernet
インターフェイス] >
[IPv6]
クライアントがファイアウォールをデフォルト ゲートウェイとし
て使用する時間(秒)を指定します(範囲は 0 ~ 9000、デフォル
トは 1800)。0 は、ファイアウォールがデフォルト ゲートウェイ
ではないことを示します。有効期間が過ぎると、クライアントが
そのデフォルト ルーター リストからファイアウォール エントリ
を削除して、別のルーターをデフォルト ゲートウェイとして使用
します。
ルーター設定
[Ethernet
インターフェイス] >
[IPv6]
ネットワーク セグメントに複数の IPv6 ルーターがある場合は、
クライアントがこのフィールドを使用して優先ルーターを選択し
ます。セグメントの他のルーターとの比較において、RA が通知
するファイアウォール ルーターの優先度を [High]、[Medium]
(デフォルト)、[Low] の中から選択します。
管理された設定
[Ethernet
インターフェイス] >
[IPv6]
アドレスを DHCPv6 経由で使用できることをクライアントに示す
には、このチェック ボックスをオンにします。
その他の設定
[Ethernet
インターフェイス] >
[IPv6]
他のアドレス情報(DNS 関連の設定など)を DHCPv6 経由で使
用できることをクライアントに示すには、このチェック ボックス
をオンにします。
整合性チェック
[Ethernet
インターフェイス] >
[IPv6]
他のルーターから送信された RA がリンク上で一貫した情報を通
知していることをファイアウォールで確認するには、このチェッ
ク ボックスをオンにします。一貫していない場合はファイア
ウォールがログに記録します。
レイヤ 3 サブインターフェイスの設定
[Network] > [インターフェイス] > [Ethernet]
物理レイヤー 3 インターフェイスとして設定された各 Ethernet ポートについては、追加の論
理レイヤー 3 インターフェイス(サブインターフェイス)を定義できます。
レイヤー 3 サブインターフェイスを設定するには、「レイヤー 3 インターフェイスの設定」
を行い、その物理インターフェイスの行を選択した後、[サブインターフェイスの追加] をク
リックし、以下の情報を指定します。
表 66. レイヤー 3 サブインターフェイス設定
フィールド
設定場所
説明
インターフェイス名
レイヤー 3
サブインター
フェイス
読み取り専用の [インターフェイス名] フィールドには、選択した物理
インターフェイスの名前が表示されます。サブインターフェイスを識
別する数値サフィックス (1 ~ 9999) を隣のフィールドに入力します。
コメント
レイヤー 3
サブインター
フェイス
サブインターフェイスの説明(省略可)を入力します。
タグ
レイヤー 3
サブインター
フェイス
サブインターフェイスの VLAN タグ (1 ~ 4094) を入力します。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 139
レイヤ 3 サブインターフェイスの設定
表 66. レイヤー 3 サブインターフェイス設定(続き)
フィールド
設定場所
説明
Netflow
プロファイル
レイヤー 3
サブインター
フェイス
入力サブインターフェイスを通過する単向性の IP トラフィックを
NetFlow サーバーにエクスポートする場合は、サーバー プロファイ
ルを選択するか、[Netflow プロファイル] リンクをクリックして新し
いプロファイルを定義します(「Netflow の設定」を参照)。[なし]
を選択すると、サブインターフェイスから現在の NetFlow サーバー
割り当てが削除されます。
注:PA-4000 シリーズのファイアウォールでは、この機能がサポート
されていません。
仮想ルーター
[レイヤー 3
サブインター
フェイス] >
[設定]
インターフェイスに仮想ルーターを割り当てるか、[仮想ルーター] リ
ンクをクリックして新しい仮想ルーターを定義します(「仮想ルー
ターの設定」を参照)。[None] を選択すると、インターフェイスか
ら現在のルーター割り当てが削除されます。
仮想システム
[レイヤー 3
サブインター
フェイス] >
[設定]
ファイアウォールが複数の仮想システムをサポートし、その機能が有
効の場合は、サブインターフェイスの仮想システム (vsys) を選択する
か、[仮想システム] リンクをクリックして新しい vsys を定義します。
セキュリティ ゾーン
[レイヤー 3
サブインター
フェイス] >
[設定]
サブインターフェイスのセキュリティ ゾーンを選択するか、[ゾーン] リ
ンクをクリックして新しいゾーンを定義します。[None] を選択する
と、サブインターフェイスから現在のゾーン割り当てが削除されます。
管理プロファイル
[レイヤー 3
サブインター
フェイス] >
[詳細] >
[その他の情報]
管理プロファイル — このインターフェイスを介したファイアウォー
ルの管理に使用できるプロトコル(SSH、Telnet、HTTP など)を定
義するプロファイルを選択します。[None] を選択すると、インター
フェイスから現在のプロファイル割り当てが削除されます。
MTU
[レイヤー 3
サブインター
フェイス] >
[詳細] >
[その他の情報]
このインターフェイスで送信されるパケットの最大転送単位 (MTU)
をバイト数で入力します(576 ~ 9192、デフォルトは 1500)。ファイ
アウォールの両側のマシンが Path MTU Discovery (PMTUD) を実行
し、インターフェイスが MTU を超えるパケットを受信すると、ファ
イアウォールが送信元にパケットが大きすぎることを示す ICMP フラ
グメント要求メッセージを返します。
TCP MSS の調整
[レイヤー 3
サブインター
フェイス] >
[詳細] >
[その他の情報]
最大セグメント サイズ (MSS) がインターフェイスの MTU よりも 40 バ
イト小さくなるように調整するには、このチェック ボックスをオンに
します。この設定は、ネットワークを経由するトンネルで MSS を小さ
くする必要のある状況に対応します。オンの場合は、フラグメント化
しないとパケットが MSS 内に収まらないときに調整が行われます。
IP アドレス
[レイヤー 3
サブインター
フェイス] >
[詳細] > [ARP
エントリ]
1 つ以上のスタティック ARP (Address Resolution Protocol) エントリ
を追加するには、[追加] をクリックし、IP アドレスとそれに関連付け
られたハードウェア(メディア アクセス制御、略称 MAC)のアドレ
スを入力します。エントリを削除するには、エントリを選択して
[Delete] をクリックします。スタティック ARP エントリによって、
指定したアドレスの ARP 処理が減り、中間者攻撃が防止されます。
[レイヤー 3
サブインター
フェイス] >
[詳細] > [ND
エントリ]
NDP (Neighbor Discovery Protocol) のネイバー情報を指定するには、
[追加] をクリックし、ネイバーの IP アドレスと MAC アドレスを入力
します。
MAC アドレス
IPv6 アドレス
MAC アドレス
140 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
レイヤ 3 サブインターフェイスの設定
表 66. レイヤー 3 サブインターフェイス設定(続き)
フィールド
設定場所
説明
NDP プロキシの
有効化
[レイヤー 3
サブインター
フェイス] >
[詳細] > [NDP
プロキシ]
クリックすると、インターフェイスで NDP (Neighbor Discovery
Protocol) が有効になります。ファイアウォールは、このリストの
IPv6 アドレスの MAC アドレスを要求する ND パケットに応答しま
す。ND に対する応答として、ファイアウォールは、そのインター
フェイス独自の MAC アドレスを送信します。これにより、ファイア
ウォールは、リスト内のアドレス宛のパケットを受信するようになり
ます。
NPTv6 (Network Prefix Translation IPv6) を使用する場合は、NDP プ
ロキシを有効にすることをお勧めします。
[NDP プロキシの有効化] チェック ボックスをオンにした場合、[アド
レス] の多数のエントリをフィルタリングするには、フィルタを入力
し、フィルタの適用アイコン(灰色の矢印)をクリックします。
アドレス
[レイヤー 3
サブインター
フェイス] >
[詳細] > [NDP
プロキシ]
[追加] をクリックし、1 つ以上の IPv6 アドレス、IP 範囲、IPv6 サブ
ネット、またはファイアウォールが NDP プロキシとして機能するア
ドレス オブジェクトを入力します。これらのアドレスの 1 つは、
NPTv6 の送信元変換のアドレスと同じであることが理想的です。ア
ドレスの順序は問題になりません。
アドレスがサブネットワークの場合、ファイアウォールは、サブネッ
トのすべてのアドレスに対して ND 応答を送信します。したがって、
ファイアウォールの IPv6 ネイバーも追加し、[Negate] チェック
ボックスをクリックして、これらの IP アドレスに応答しないように
ファイアウォールに指示することをお勧めします。
Negate
[レイヤー 3
サブインター
フェイス] >
[詳細] > [NDP
プロキシ]
あるアドレスに対して [Negate] チェック ボックスをオンにすると、
NDP プロキシは、そのアドレスを拒否するようになります。Negate
は、指定した IP アドレス範囲または IP サブネットの一部に対して実
行できます。
IPv4 アドレスの場合
タイプ
[レイヤー 3
サブインター
フェイス] >
[IPv4]
IPv4 アドレス タイプをサブインターフェイスに割り当てる方法を選
択します。
• スタティック — IP アドレスを手動で指定する必要があります。
• [DHCP クライアント] — サブインターフェイスが DHCP (Dynamic
Host Configuration Protocol) クライアントとして機能し、ダイナ
ミックに割り当てられた IP アドレスを受信できます。
注:アクティブ / アクティブ高可用性 (HA) モードのファイアウォー
ルは、DHCP クライアントをサポートしません。
選択した IP アドレス方式に応じて、タブに表示されるオプションは
異なります。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 141
レイヤ 3 サブインターフェイスの設定
表 66. レイヤー 3 サブインターフェイス設定(続き)
フィールド
設定場所
説明
• IPv4 アドレス タイプ = スタティック
IP
[レイヤー 3
サブインター
フェイス] >
[IPv4]
[追加] をクリックし、以下のいずれかの手順を実行して、インター
フェイスのスタティック IP アドレスとネットワーク マスクを指定し
ます。
• エントリを CIDR (Classless Inter-Domain Routing) 表記法の
ip_address/mask の形式(例:192.168.2.0/24 for IPv4 or
2001:db8::/32 for IPv6)で入力します。
• タイプが IP ネットマスクの既存のアドレス オブジェクトを選択し
ます。
• [アドレス] リンクをクリックし、タイプが [IP ネットマスク] のアド
レス オブジェクトを作成します。
インターフェイスに対して複数の IP アドレスを入力できます。IP ア
ドレスの最大数は、システムが使用する転送情報ベース (FIB) によっ
て決まります。
IP アドレスを削除するには、アドレスを選択して [削除] をクリック
します。
• IPv4 アドレス タイプ = DHCP
有効化
[レイヤー 3
サブインター
フェイス] >
[IPv4]
インターフェイスで DHCP クライアントをアクティベーションする
には、このチェック ボックスをオンにします。
サーバー提供のデフォ
ルト ゲートウェイを
指すデフォルト ルー
トを自動的に作成
[レイヤー 3
サブインター
フェイス] >
[IPv4]
DHCP サーバーによって提供されるデフォルト ゲートウェイを指し
示すデフォルト ルートを自動的に作成するには、このチェック ボッ
クスをオンにします。
デフォルト ルート
メトリック
[レイヤー 3
サブインター
フェイス] >
[IPv4]
ファイアウォールと DHCP サーバー間のルートについて、デフォル
ト ルートに関連付け、パス選択に使用するルート メトリック(優先
度)を入力します(任意、範囲は 1 ~ 65535、デフォルトなし)。数
値が小さいほど優先度が高くなります。
DHCP クライア
ント ランタイム
情報の表示
[レイヤー 3
サブインター
フェイス] >
[IPv4]
このボタンをクリックすると、DHCP のリース状態、ダイナミック
IP アドレス割り当て、サブネット マスク、ゲートウェイ、サーバー
設定(DNS、NTP、ドメイン、WINS、NIS、POP3、および SMTP)
など、DHCP サーバーから受信したすべての設定が表示されます。
IPv6 アドレスの場合
インターフェイスで
の IPv6 の有効化
[レイヤー 3
サブインター
フェイス] >
[IPv6]
こ の インターフェイスの IPv6 アドレスを有効にするには、この
チェック ボックスをオンにします。
インターフェイス ID
[レイヤー 3
サブインター
フェイス] >
[IPv6]
64 ビット拡張一意識別子 (EUI-64) を 16 進数形式で入力します(例:
00:26:08:FF:FE:DE:4E:29)。このフィールドを空白のままにすると、
ファイアウォールが、物理インターフェイスの MAC アドレスから生
成された EUI-64 を使用します。アドレスの追加時に [ホスト部分にイ
ン タ ーフェイス ID を使用] オプションを選択すると、ファイア
ウォールがそのアドレスのホスト部分にインターフェイス ID を使用
します。
142 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
レイヤ 3 サブインターフェイスの設定
表 66. レイヤー 3 サブインターフェイス設定(続き)
フィールド
設定場所
説明
アドレス
[レイヤー 3
サブインター
フェイス] >
[IPv6]
[追加] をクリックして、IPv6 アドレスごとに以下のパラメータを設定
します。
• アドレス — IPv6 アドレスとプレフィックス長を入力します(例:
2001:400:f00::1/64)。既存の IPv6 アドレス オブジェクトを選択す
ることや、[アドレス] リンクをクリックしてアドレス オブジェクト
を作成することもできます。
• インターフェイス上のアドレスを有効にする — クリックすると、イ
ンターフェイスで IPv6 アドレスが有効になります。
• ホスト部分にインターフェイス ID を使用 — クリックすると、IPv6
アドレスのホスト部分にインターフェイス ID が使用されます。
• エニーキャスト — クリックすると、最も近いノードを経由するルー
ティングが含められます。
• ルーター通知を送信 — クリックすると、この IP アドレスのルーター
通知 (RA) が有効になります。(インターフェイスのグローバルの
[ルーター通知を有効にする] オプションも有効にする必要がありま
す)。RA の詳細は、この表の「ルーター通知を 有効にする」を参
照してください。
残りのフィールドは、RA を有効にした場合にのみ適用されます。
– 有効なライフタイム — ファイアウォールがアドレスを有効とみな
す時間(秒)です。有効なライフタイムは、[優先ライフタイム]
以上でなければなりません。デフォルトは 2592000 です。
– 優先ライフタイム — 有効なアドレスが優先される時間(秒)です。
この時間内は、ファイアウォールがこのアドレスを使用してトラ
フィックを送受信できます。優先ライフタイムの期限後は、ファ
イアウォールがこのアドレスを使用して新しい接続を確立するこ
とはできませんが、既存の接続は有効なライフタイムの期限まで
有効です。デフォルトは 604800 です。
– オンリンク — クリックすると、プレフィックス内にアドレスがあ
るシステムにルーターなしで到達可能になります。
– 自律型 — クリックすると、通知されたプレフィックスとインター
フェイス ID を組み合わせて、システムが IP アドレスを独自に作
成できるようになります。
重複アドレス検出を
有効にする
[レイヤー 3
サブインター
フェイス] >
[IPv6]
重複アドレス検出 (DAD) を有効にするには、このチェック ボックス
をオンにして、このセクションの他のフィールドを設定します。
DAD 試行回数
[レイヤー 3
サブインター
フェイス] >
[IPv6]
ネイバー要請間隔(NS 間隔)内の DAD の試行回数を指定します
(範囲は 1 ~ 10、デフォルトは 1)。この回数を超えるとネイバーに
障害があるとみなされます。
到達可能時間
[レイヤー 3
サブインター
フェイス] >
[IPv6]
クエリと応答が正常に行われた後引き続きネイバーに到達可能な時間
(秒)を指定します(範囲は 1 ~ 36000、デフォルトは 30)。
NS 間隔
(ネイバー要請間隔)
[レイヤー 3
サブインター
フェイス] >
[IPv6]
DAD の試行秒数を指定します(範囲は 1 ~ 10、デフォルトは 1)。
この秒数を超えると障害があるとみなされます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 143
レイヤ 3 サブインターフェイスの設定
表 66. レイヤー 3 サブインターフェイス設定(続き)
フィールド
設定場所
説明
ルーター通知を
有効にする
[レイヤー 3
サブインター
フェイス] >
[IPv6]
IPv6 インターフェイスでステートレス アドレス自動設定 (SLAAC) を
提供するには、このチェック ボックスをオンにして、このセクショ
ンの他のフィールドを設定します。ルーター通知 (RA) メッセージを
受信するクライアントは、この情報を使用します。
RA により、ファイアウォールが、スタティックに設定されていない
IPv6 ホストのデフォルト ゲートウェイとして機能し、ホストにアド
レス設定の IPv6 プレフィックスを提供できます。別の DHCPv6 サー
バーをこの機能と併用すると、DNS および他の設定をクライアント
に提供できます。
このオプションはインターフェイスのグローバル設定です。IP アドレ
スごとに RA オプションを設定する場合は、IP アドレス テーブルの
[追加] をクリックしてアドレスを設定します(詳細は、この表の「ア
ドレス」を参照)。IP アドレスに RA オプションを設定する場合は、
インターフェイスの [ルーター通知を有効にする] オプションを選択す
る必要があります。
最小間隔(秒)
[レイヤー 3
サブインター
フェイス] >
[IPv6]
ファイアウォールが送信する RA 間の最小間隔(秒)を指定します
(範囲は 3 ~ 1350、デフォルトは 200)。ファイアウォールは、設定
した最小値と最大値の間のランダムな間隔で RA を送信します。
最大間隔(秒)
[レイヤー 3
サブインター
フェイス] >
[IPv6]
ファイアウォールが送信する RA 間の最大間隔(秒)を指定します
(範囲は 4 ~ 1800、デフォルトは 600)。ファイアウォールは、設定
した最小値と最大値の間のランダムな間隔で RA を送信します。
ホップ制限
[レイヤー 3
サブインター
フェイス] >
[IPv6]
クライアントに適用する、送信パケットのホップ制限を指定します
(範囲は 1 ~ 255、デフォルトは 64)。ホップ制限を指定しない場合
は 0 を入力します。
リンク MTU
[レイヤー 3
サブインター
フェイス] >
[IPv6]
クライアントに適用するリンクの最大転送単位 (MTU) を指定しま
す。リンクの MTU を指定しない場合は [unspecified] を選択します
(範囲は 1280 ~ 9192、デフォルトは [unspecified])。
到達可能時間
(ミリ秒)
[レイヤー 3
サブインター
フェイス] >
[IPv6]
到達可能確認メッセージを受信後ネイバーに到達可能であると想定す
るためにクライアントが使用する到達可能時間(ミリ秒)を指定しま
す。到達可能時間を指定しない場合は [unspecified] を選択します
(範囲は 0 ~ 3600000、デフォルトは [unspecified])。
リトランス
ミッション時間
(ミリ秒)
[レイヤー 3
サブインター
フェイス] >
[IPv6]
ネイバー要請メッセージを再送信するまでにクライアントが待機する
時間を決定するリトランスミッション タイマーを指定します。リト
ランスミッション時間を指定しない場合は [unspecified] を選択しま
す(範囲は 0 ~ 4294967295、デフォルトは [unspecified])。
ルーターの
有効期間(秒)
[レイヤー 3
サブインター
フェイス] >
[IPv6]
クライアントがファイアウォールをデフォルト ゲートウェイとして
使用する時間(秒)を指定します(範囲は 0 ~ 9000、デフォルトは
1800)。0 は、ファイアウォールがデフォルト ゲートウェイではない
ことを示します。有効期間が過ぎると、クライアントがそのデフォル
ト ルーター リストからファイアウォール エントリを削除して、別の
ルーターをデフォルト ゲートウェイとして使用します。
ルーター設定
[レイヤー 3
サブインター
フェイス] >
[IPv6]
ネットワーク セグメントに複数の IPv6 ルーターがある場合は、クラ
イアントがこのフィールドを使用して優先ルーターを選択します。セ
グメントの他のルーターとの比較において、RA が通知するファイア
ウォール ルーターの優先度を [High]、[Medium](デフォルト)、
[Low] の中から選択します。
144 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
バーチャル ワイヤー インターフェイスの設定
表 66. レイヤー 3 サブインターフェイス設定(続き)
フィールド
設定場所
説明
管理された設定
[レイヤー 3
サブインター
フェイス] >
[IPv6]
アドレスを DHCPv6 経由で使用できることをクライアントに示すに
は、このチェック ボックスをオンにします。
その他の設定
[レイヤー 3
サブインター
フェイス] >
[IPv6]
他のアドレス情報(DNS 関連の設定など)を DHCPv6 経由で使用で
きることをクライアントに示すには、このチェック ボックスをオン
にします。
整合性チェック
[レイヤー 3
サブインター
フェイス] >
[IPv6]
他のルーターから送信された RA がリンク上で一貫した情報を通知し
ていることをファイアウォールで確認するには、このチェック ボッ
クスをオンにします。一貫していない場合はファイアウォールがログ
に記録します。
バーチャル ワイヤー インターフェイスの設定
[Network] > [インターフェイス] > [Ethernet]
バーチャル ワイヤー インターフェイスは 2 つの Ethernet ポートを結合し、すべてのトラ
フィック、または選択した VLAN タグを持つトラフィックのみをポート間で渡すことができ
ます(他の切り替えまたはルーティング サービスは使用できません)。また、バーチャル
ワイヤー サブインターフェイスを作成し、IP アドレス、IP 範囲、またはサブネットに基づ
いてトラフィックを分類することもできます。バーチャル ワイヤーでは、隣接ネットワーク
デバイスへの変更は必要ありません。
ファイアウォールを介してバーチャル ワイヤーをセットアップするには、以下の手順で説明
するように、最初にバーチャル ワイヤー インターフェイスを定義し、次に作成したイン
ターフェイスを使用してバーチャル ワイヤーを作成します。
1.
[Ethernet] タブでバーチャル ワイヤーに使用するインターフェイスを確認し、現在のセ
キュリティ ゾーンに含まれていればゾーンから削除します。
2.
インターフェイス名をクリックし、以下の情報を指定します。
表 67. バーチャル ワイヤー インターフェイス設定
フィールド
設定場所
説明
インター
フェイス名
Ethernet
インターフェイス
インターフェイス名は事前に定義されており、変更することはできま
せん。
コメント
Ethernet
インターフェイス
インターフェイスの説明(省略可)を入力します。
インター
フェイス タイプ
Ethernet
インターフェイス
[バーチャル ワイヤー] を選択します。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 145
バーチャル ワイヤー インターフェイスの設定
表 67. バーチャル ワイヤー インターフェイス設定(続き)
フィールド
設定場所
説明
Virtual Wire
[Ethernet
インターフェイス] >
[設定]
バーチャル ワイヤーを選択するか、[バーチャル ワイヤー] リンクをク
リックして新しいバーチャル ワイヤーを定義します(「バーチャル
ワイヤーの定義」を参照)。[なし] を選択すると、インターフェイス
から現在のバーチャル ワイヤー割り当てが削除されます。
仮想システム
[Ethernet
インターフェイス] >
[設定]
ファイアウォールが複数の仮想システムをサポートし、その機能が有
効の場合は、インターフェイスの仮想システムを選択するか、[仮想シ
ステム] リンクをクリックして新しい vsys を定義します。
セキュリティ
ゾーン
[Ethernet
インターフェイス] >
[設定]
インターフェイスのセキュリティ ゾーンを選択するか、[ゾーン] リン
クをクリックして新しいゾーンを定義します。[None] を選択すると、
インターフェイスから現在のゾーン割り当てが削除されます。
リンク速度
[Ethernet
インターフェイス] >
[詳細]
インターフェイスの速度([10]、[100]、または [1000] Mbps)を選択
するか、[auto] を選択してファイアウォールに自動的に速度を決定さ
せます。
リンク デュプ
レックス
[Ethernet
インターフェイス] >
[詳細]
インターフェイスの伝送モードを、フル デュプレックス ([full])、ハー
フ デュプレックス ([half])、オート ネゴシエーション ([auto]) から選択
します。
リンク状態
[Ethernet
インターフェイス] >
[詳細]
インターフェイスの状態を、有効 ([up])、無効 ([down])、自動決定
([auto]) から選択します。
LLDP の有効化
[Ethernet
インターフェイス] >
[詳細] > [LLDP]
インターフェイスでリンク レイヤー検出プロトコル (LLDP) を有効に
するには、このオプションを選択します。LLDP は、リンク レイヤー
で機能し、隣接するデバイスとその機能を検出します。
プロファイル
[Ethernet
インターフェイス] >
[詳細] > [LLDP]
LLDP が有効の場合は、インターフェイスに割り当てる LLDP プロ
ファイルを選択するか、[LLDP プロファイル] リンクをクリックして
新しいプロファイルを作成します(「LLDP プロファイルの定義」を
参照)。[なし] を選択すると、グローバルなデフォルト設定がファイ
アウォールで使用されます。
146 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
バーチャル ワイヤー サブインターフェイスの設定
バーチャル ワイヤー サブインターフェイスの設定
[Network] > [インターフェイス] > [Ethernet]
バーチャル ワイヤー (vwire) サブインターフェイスでは、VLAN タグまたは VLAN タグと
IP 分類子の組み合わせによってトラフィックを分離し、タグの付いたトラフィックを異なる
ゾーンと仮想システムに割り当ててから、定義された条件に一致するトラフィックのセキュ
リティ ポリシーを適用できます。
vwire サブインターフェイスを追加するには、「バーチャル ワイヤー インターフェイスの設
定」を行い、そのインターフェイスの行を選択した後、[サブインターフェイスの追加] をク
リックし、以下の情報を指定します。
表 68. バーチャル ワイヤー サブインターフェイス設定
フィールド
説明
インター
フェイス名
読み取り専用の [インターフェイス名] フィールドには、選択した vwire インターフェイスの
名前が表示されます。サブインターフェイスを識別する数値サフィックス(1 ~ 9999)を隣の
フィールドに入力します。
コメント
サブインターフェイスの説明(省略可)を入力します。
タグ
サブインターフェイスの VLAN タグ(0 ~ 4094)を入力します。
Netflow
プロファイル
入力サブインターフェイスを通過する単向性の IP トラフィックを NetFlow サーバーにエクス
ポートする場合は、サーバー プロファイルを選択するか、[Netflow プロファイル] リンクを
クリックして新しいプロファイルを定義します(「Netflow の設定」を参照)。[なし] を選択
すると、サブインターフェイスから現在の NetFlow サーバー割り当てが削除されます。
注:PA-4000 シリーズのファイアウォールでは、この機能がサポートされていません。
IP 分類子
[追加] をクリックし、IP アドレス、IP 範囲、またはサブネットを入力すると、この vwire サ
ブインターフェイスのトラフィックを分類できます。
Virtual Wire
バーチャル ワイヤーを選択するか、[バーチャル ワイヤー] リンクをクリックして新しいバー
チャル ワイヤーを定義します(「バーチャル ワイヤーの定義」を参照)。[なし] を選択する
と、サブインターフェイスから現在のバーチャル ワイヤー割り当てが削除されます。
仮想システム
ファイアウォールが複数の仮想システムをサポートし、その機能が有効の場合は、サブイン
ターフェイスの仮想システム (vsys) を選択するか、[仮想システム] リンクをクリックして新し
い vsys を定義します。
セキュリティ
ゾーン
サブインターフェイスのセキュリティ ゾーンを選択するか、[ゾーン] リンクをクリックして
新しいゾーンを定義します。[None] を選択すると、サブインターフェイスから現在のゾーン
割り当てが削除されます。
タップ インターフェイスの設定
[Network] > [インターフェイス] > [Ethernet]
タップ インターフェイスを使用して、ポートのトラフィックをモニターできます。
タップ インターフェイスを設定するには、設定されていないインターフェイスの名前
([Ethernet1/1] など)をクリックし、以下の情報を指定します。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 147
ログ カード インターフェイスの設定
表 69. タップ インターフェイス設定
フィールド
設定場所
説明
インター
フェイス名
Ethernet
インターフェイス
インターフェイス名は事前に定義されており、変更することはできま
せん。
コメント
Ethernet
インターフェイス
インターフェイスの説明(省略可)を入力します。
インター
フェイス タイプ
Ethernet
インターフェイス
[タップ] を選択します。
Netflow
プロファイル
Ethernet
インターフェイス
入力インターフェイスを通過する単向性の IP トラフィックを NetFlow
サーバーにエクスポートする場合は、サーバー プロファイルを選択す
るか、[Netflow プロファイル] リンクをクリックして新しいプロファ
イルを定義します(「Netflow の設定」を参照)。[none] を選択する
と、インターフェイスから現在の NetFlow サーバー割り当てが削除さ
れます。
注:PA-4000 シリーズのファイアウォールでは、この機能がサポート
されていません。
仮想システム
[Ethernet
インターフェイス] >
[設定]
ファイアウォールが複数の仮想システムをサポートし、その機能が有
効の場合は、インターフェイスの仮想システムを選択するか、[仮想シ
ステム] リンクをクリックして新しい vsys を定義します。
セキュリティ
ゾーン
[Ethernet
インターフェイス] >
[設定]
インターフェイスのセキュリティ ゾーンを選択するか、[ゾーン] リン
クをクリックして新しいゾーンを定義します。[None] を選択すると、
インターフェイスから現在のゾーン割り当てが削除されます。
リンク速度
[Ethernet
インターフェイス] >
[詳細]
インターフェイスの速度([10]、[100]、または [1000] Mbps)を選択す
るか、[auto] を選択してファイアウォールに自動的に速度を決定させ
ます。
リンク デュプ
レックス
[Ethernet
インターフェイス] >
[詳細]
インターフェイスの伝送モードを、フル デュプレックス ([full])、ハー
フ デュプレックス ([half])、オート ネゴシエーション ([auto]) から選択
します。
リンク状態
[Ethernet
インターフェイス] >
[詳細]
インターフェイスの状態を、有効 ([up])、無効 ([down])、自動決定
([auto]) から選択します。
ログ カード インターフェイスの設定
[Network] > [インターフェイス] > [Ethernet]
PA-7000 シリーズのファイアウォールでは、1 つのデータ ポートにログ カード タイプのイン
ターフェイスが必要です。これは、このプラットフォームのトラフィックおよびロギング機
能が管理ポートの機能を超えるためです。ログ カードのデータ ポートは、Syslog、電子メー
ル、SNMP (Simple Network Management Protocol)、WildFire ファイル転送のログ転送を実
行します。ログ カード インターフェイスにできるのは、ファイアウォールのポートの 1 つの
みです。ログ転送を有効にしながら、インターフェイスをログ カードとして設定しない場合
は、コミット エラーが発生します。
ログ カード インターフェイスを設定するには、設定されていないインターフェイスの名前
([Ethernet1/16] など)をクリックし、以下の情報を指定します。
148 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ログ カード サブインターフェイスの設定
表 70. ログ カード インターフェイス設定
フィールド
設定場所
説明
スロット
Ethernet
インターフェイス
インターフェイスのスロット番号 (1 ~ 12) を選択します。
インター
フェイス名
Ethernet
インターフェイス
インターフェイス名は事前に定義されており、変更することはできま
せん。
コメント
Ethernet
インターフェイス
インターフェイスの説明(省略可)を入力します。
インター
フェイス タイプ
Ethernet
インターフェイス
[ログ カード] を選択します。
IPv4
[Ethernet
インターフェイス] >
[ログ カード転送]
ネットワークで IPv4 が使用されている場合は、以下を定義します。
• IP アドレス:ポートの IPv4 アドレス。
• ネットマスク:ポートの IPv4 アドレスのネットワーク マスク。
• デフォルト ゲートウェイ:ポートのデフォルト ゲートウェイの IPv4
アドレス。
IPv6
[Ethernet
インターフェイス] >
[ログ カード転送]
ネットワークで IPv6 が使用されている場合は、以下を定義します。
リンク速度
[Ethernet
インターフェイス] >
[詳細]
インターフェイスの速度([10]、[100]、または [1000] Mbps)を選択
するか、[auto] を選択してファイアウォールに自動的に速度を決定さ
せます。
リンク デュプ
レックス
[Ethernet
インターフェイス] >
[詳細]
インターフェイスの伝送モードを、フル デュプレックス ([full])、ハー
フ デュプレックス ([half])、オート ネゴシエーション ([auto]) から選択
します。
リンク状態
[Ethernet
インターフェイス] >
[詳細]
インターフェイスの状態を、有効 ([up])、無効 ([down])、自動決定
([auto]) から選択します。
• IP アドレス:ポートの IPv6 アドレス。
• デフォルト ゲートウェイ:ポートのデフォルト ゲートウェイの IPv6
アドレス。
ログ カード サブインターフェイスの設定
[Network] > [インターフェイス] > [Ethernet]
ログ カード サブインターフェイスを追加するには、「ログ カード インターフェイスの設
定」を行い、そのインターフェイスの行を選択した後、[サブインターフェイスの追加] をク
リックし、以下の情報を指定します。
表 71. ログ カード サブインターフェイス設定
フィールド
設定場所
説明
インター
フェイス名
LPC サブイン
ターフェイス
読み取り専用の [インターフェイス名] フィールドには、選択したログ カー
ド インターフェイスの名前が表示されます。サブインターフェイスを識別
する数値サフィックス(1 ~ 9999)を隣のフィールドに入力します。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 149
復号化ミラー インターフェイスの設定
表 71. ログ カード サブインターフェイス設定(続き)
フィールド
設定場所
説明
コメント
LPC サブイン
ターフェイス
インターフェイスの説明(省略可)を入力します。
タグ
LPC サブイン
ターフェイス
サブインターフェイスの VLAN タグ(0 ~ 4094)を入力します。使いやす
さのため、タグはサブインターフェイス番号と同じにすることをお勧めし
ます。
仮想システム
[LPC サブイン
ターフェイス] >
[設定]
LPC (Log Processing Card) サブインターフェイスの割り当て先の仮想シス
テム (vsys) を選択します。[仮想システム] リンクをクリックして新しい
vsys を追加することもできます。LPC サブインターフェイスを vsys に割
り当てると、そのインターフェイスは、ログ カードからログ(Syslog、電
子メール、SNMP)を転送するすべてのサービスの送信元インターフェイ
スとして使用されます。
IPv4
[Ethernet イン
ターフェイス] >
[ログ カード
転送]
ネットワークで IPv4 が使用されている場合は、以下を定義します。
• IP アドレス — ポートの IPv4 アドレス。
• ネットマスク — ポートの IPv4 アドレスのネットワーク マスク。
• デフォルト ゲートウェイ — ポートのデフォルト ゲートウェイの IPv4 ア
ドレス。
IPv6
[Ethernet イン
ターフェイス] >
[ログ カード
転送]
ネットワークで IPv6 が使用されている場合は、以下を定義します。
• IP アドレス:ポートの IPv6 アドレス。
• デフォルト ゲートウェイ:ポートのデフォルト ゲートウェイの IPv6 ア
ドレス。
復号化ミラー インターフェイスの設定
[Network] > [インターフェイス] > [Ethernet]
復号化ポート ミラー機能を使用するには、[復号化ミラー] インターフェイス タイプを選択す
る必要があります。この機能では、ファイアウォールからの復号化されたトラフィックのコ
ピーを作成して、トラフィック収集ツールに送信できます。このツールは、NetWitness や
Solera などの生パケット キャプチャを受信してアーカイブや分析を行うことができます。
フォレンジックや履歴調査の目的で、または DLP(情報漏洩対策)機能に包括的なデータ
キャプチャを必要とする組織では、この機能が不可欠です。復号化ポート ミラーリングは、
PA-7000 シリーズ、PA-5000 シリーズ、および PA-3000 シリーズのファイアウォールでのみ
使用できます。この機能を有効にするには、フリー ライセンスを取得してインストールする
必要があります。
復号化ミラー インターフェイスを設定するには、設定されていないインターフェイスの名前
([Ethernet1/1] など)をクリックし、以下の情報を指定します。
150 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
集約インターフェイス グループの設定
表 72. 復号化ミラー インターフェイスの設定
フィールド
説明
インターフェイ
ス名
インターフェイス名は事前に定義されており、変更することはできません。
コメント
インターフェイスの説明(省略可)を入力します。
インターフェイ
ス タイプ
[復号化ミラー] を選択します。
リンク速度
インターフェイスの速度([10]、[100]、または [1000] Mbps)を選択するか、
[auto] を選択してファイアウォールに自動的に速度を決定させます。
リンク デュプ
レックス
インターフェイスの伝送モードを、フル デュプレックス ([full])、ハーフ デュプ
レックス ([half])、オート ネゴシエーション ([auto]) から選択します。
リンク状態
インターフェイスの状態を、有効 ([up])、無効 ([down])、自動決定 ([auto]) から
選択します。
集約インターフェイス グループの設定
[Network] > [インターフェイス] > [Ethernet]
集約インターフェイス グループは、IEEE 802 1AX リンク集約を使用して、複数の Ethernet
インターフェイスを組み合わせます。1 Gbps または 10 Gbps の XFP と SFP+ Ethernet を集約
できます。作成した集約インターフェイスは、論理インターフェイスになります。設定割り
当て(仮想システム、仮想ルーター、バーチャル ワイヤー、VLAN、セキュリティ ゾー
ン)、IP アドレス、管理プロファイル、リンク集約制御プロトコル (LACP) の設定、ARP
(Address Resolution Protocol) エントリ、ネイバー検出 (ND) エントリは、論理インターフェ
イスのプロパティで、基礎となる物理インターフェイスのプロパティではありません。その
ため、グループを作成後に、レイヤー 2 またはレイヤー 3 のパラメータの設定などの操作
を、個別のインターフェイス上ではなく、集約グループ上で行います。
集約グループには以下のルールが適用されます。
• グループ内の 1 Gbps リンクはすべて銅線またはすべてファイバにする必要があります。
• グループには最大 8 つのインターフェイスを設定できます。
• 集約グループは、HA、バーチャル ワイヤー、レイヤー 2、またはレイヤー 3 インターフェ
イスをサポートします。グループ内のすべてのインターフェイスは同じタイプでなけれ
ばなりません。この点は、コミット操作時に PAN-OS によって検証されます。
• 集約グループは、アクティブ / アクティブ高可用性 (HA) のデプロイメントで HA3(パ
ケット転送)リンクの冗長性およびスループットをスケーリングするために使用できま
す。HA3 は、PA-500、PA-3000 シリーズ、PA-4000 シリーズ、および PA-5000 シリー
ズのファイアウォールでのみサポートされます。
• 集約グループの LACP を有効にする場合は、サポートが HA3、レイヤー 2、およびレイ
ヤー 3 インターフェイスに限定されます。バーチャル ワイヤー インターフェイスは LACP
を有効にすることができません。LACP が有効なグループのサポートは、PA-500、
PA-3000 シリーズ、PA-4000 シリーズ、PA-5000 シリーズ、および PA-7000 シリーズの
ファイアウォールに限定されます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 151
集約インターフェイス グループの設定
集約グループを設定するには、「集約インターフェイスの設定」に記載のとおり、[集約グ
ループの追加] をクリックし、以下の表の項目を設定してから、インターフェイスをグルー
プに割り当てます。
表 73. 集約インターフェイス グループの設定
フィールド
設定場所
説明
インター
フェイス名
Ethernet の
集約インター
フェイス
読み取り専用の [インターフェイス名] フィールドには [ae] が設定されてい
ます。集約グループを識別する数値サフィックス (1 ~ 8) を隣のフィール
ドに入力します。
コメント
Ethernet の
集約インター
フェイス
インターフェイスの説明(省略可)を入力します。
インター
フェイス タイプ
Ethernet の
集約インター
フェイス
インターフェイス タイプを選択します。このタイプによって、残りの設定
要件やオプションが制御されます。
• HA — インターフェイスがアクティブ / アクティブ デプロイメントの 2 つ
のファイアウォール間の HA3 リンクである場合にのみ、このオプション
を選択します。必要に応じて、[Netflow プロファイル] を選択し、以下
の説明に従って [LACP] タブを設定します。
• バーチャル ワイヤー — 必要に応じて、[Netflow プロファイル] を選択し、
表 67の説明に従って [設定] タブと [詳細] タブを設定します。
• レイヤー 2 — 必要に応じて、[Netflow プロファイル] を選択し、表 63の
説明に従って [設定] タブと [詳細] タブを設定します。また、必要に応じ
て、以下の説明に従って [LACP] タブを設定します。
• レイヤー 3 — 必要に応じて、[Netflow プロファイル] を選択し、表 65の
説明に従って [設定] タブ、[IPv4] タブまたは [IPv6] タブ、および [詳細]
タブを設定します。また、必要に応じて、以下の説明に従って [LACP]
タブを設定します。
Netflow
プロファイル
Ethernet の
集約インター
フェイス
入力インターフェイスを通過する単向性の IP トラフィックを NetFlow
サーバーにエクスポートする場合は、サーバー プロファイルを選択する
か、[Netflow プロファイル] リンクをクリックして新しいプロファイルを
定義します(「Netflow の設定」を参照)。[なし] を選択すると、集約イ
ンターフェイス グループから現在の NetFlow サーバー割り当てが削除さ
れます。
注:PA-4000 シリーズのファイアウォールでは、この機能がサポートされ
ていません。
LACP を有効化
[Ethernet の
集約インター
フェイス] >
[LACP]
集約グループのリンク集約制御プロトコル (LACP) を有効にする場合は、
このチェック ボックスをオンにします。LACP はデフォルトで無効になっ
ています。
モード
[Ethernet の
集約インター
フェイス] >
[LACP]
ファイアウォールの LACP モードを選択します。2 つの LACP ピア間で
は、一方をアクティブ、もう一方をパッシブにすることをお勧めします。
両方ともパッシブの場合は LACP が機能しません。
• アクティブ — ファイアウォールがピア デバイスの LACP の状態(使用
可能または無応答)をアクティブにクエリします。
• パッシブ(デフォルト)— ファイアウォールがピア デバイスからの LACP
状態のクエリにパッシブに応答します。
152 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
集約インターフェイス グループの設定
表 73. 集約インターフェイス グループの設定(続き)
フィールド
設定場所
説明
トランス
ミッション率
[Ethernet の
集約インター
フェイス] >
[LACP]
ファイアウォールがピア デバイスとクエリおよび応答をやりとりする間隔
を選択します。
高速フェール
オーバー
[Ethernet の
集約インター
フェイス] >
[LACP]
インターフェイスがダウンしたときに、1 秒以内にファイアウォールを動
作中のインターフェイスにフェールオーバーさせるには、このチェック
ボックスをオンにします。それ以外の場合は、標準の IEEE 802.1AX 定義
の速度(3 秒以上)でフェールオーバーが生じます。
システム優先度
[Ethernet の
集約インター
フェイス] >
[LACP]
ファイアウォールまたはそのピアが、ポート優先度に応じてもう一方を
オーバーライドするかどうかを判断する数字(以下の [最大ポート] フィー
ルドの説明を参照)。番号が小さいほど優先度が高くなります。範囲は
1 ~ 65535、デフォルトは 32768 です。
最大ポート
[Ethernet の
集約インター
フェイス] >
[LACP]
任意の時点で LACP 集約グループでアクティブにできるインターフェイス
の数(1~8)。この値を、グループに割り当てるインターフェイスの数よ
り大きくすることはできません。割り当てられたインターフェイスの数が
アクティブなインターフェイスの数を上回ると、ファイアウォールがイン
ターフェースのポート優先度に従って、どのインターフェイスがスタンバ
イ モードかを判断します。ポート優先度は、グループの個々のインター
フェイスを設定するときに設定します。
アクティブ /
パッシブ HA に
システムと同一
の MAC アドレ
スを使用
[Ethernet の
集約インター
フェイス] >
[LACP]
高可用性 (HA) ペアのファイアウォールに、システムと同一の優先度の値
が設定されます。ただし、アクティブ / パッシブ デプロイメントでは、同
一の MAC アドレスを割り当てるかどうかにより、それぞれのシステム ID
が同じこともあれば、異なることもあります。LACP ピア(この場合も
HA モード)が仮想化されている場合は(ネットワークに 1 つのデバイス
として表示される)、ファイアウォールにシステムと同一の MAC アドレ
スを使用すると、フェイルオーバー時の遅延が最小限に抑えられます。
LACP ピアが仮想化されていない場合は、ファイアウォールごとに一意の
MAC アドレスすると、フェイルオーバーの遅延が最小限に抑えられま
す。ファイアウォールがアクティブ / パッシブ HA モードではない場合
は、PAN-OS がこのフィールドを無視します(アクティブ / パッシブ デプ
ロイメントのファイアウォールは、PAN-OS が自動的に割り当てられるよ
うに一意の MAC アドレスが必要です)。
• 高速 — 毎秒
• 低速 — 30 秒ごと(デフォルトの設定)
LACP は、MAC アドレスを使用して、各 LACP ピアのシステム ID を取得
します。ファイアウォール ペアおよびピア ペアに同一のシステム優先度の
値が設定されている場合は、LACP がシステム ID の値を使用して、ポート
優先度に応じてどちらがもう一方をオーバーライドするかを判断します。
両方のファイアウォールの MAC アドレスが同じ場合は、両者のシステム
ID も同じで、LACP ピアのシステム ID よりも大きいか小さくなります。
HA ファイアウォールに一意の MAC アドレスが設定されている場合は、
一方のシステム ID は LACP ピアよりも大きく、もう一方は小さいことが
あります。後者の場合は、ファイアウォールでフェイルオーバーが発生し
たときに、LACP ピアとアクティブになるファイアウォール間のポート優
先度が切り替わります。
MAC アドレス
Palo Alto Networks
[Ethernet の
集約インター
フェイス] >
[LACP]
[システムと同一の MAC アドレスを使用] を有効にした場合は、HA ペア
の両方のファイアウォールに、システム生成の MAC アドレスを選択する
か、独自のアドレスを入力します。アドレスがグローバルに一意であるこ
とを確認します。
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 153
集約インターフェイスの設定
集約インターフェイスの設定
[Network] > [インターフェイス] > [Ethernet]
Ethernet の集約インターフェイスを設定するには、「集約インターフェイス グループの設
定」を行い、その集約グループに割り当てるインターフェイスの名前をクリックします。選
択するインターフェイスのタイプは、集約グループに対して定義されたタイプと同じでなけ
ればなりません([レイヤー 3] など)。ただし、設定時にタイプを [Ethernet の集約] に変更
します。インターフェイスの以下の情報を指定します。
集約グループに対してリンク集約制御プロトコル (LACP) を有効にした場
合は、そのグループのすべてのインターフェイスに対して同じリンク速度
とリンク デュプレックスを選択することをお勧めします。値が一致して
いない場合は、コミット操作時に警告が表示され、PAN-OS がデフォルト
のより高い速度およびフル デュプレックスを設定します。
表 74. Ethernet の集約インターフェイス設定
フィールド
説明
インター
フェイス名
インターフェイス名は事前に定義されており、変更することはできません。
コメント
インターフェイスの説明(省略可)を入力します。
インター
フェイス タイプ
[Ethernet の集約] を選択します。
集約グループ
インターフェイスを集約グループに割り当てます。
リンク速度
インターフェイスの速度([10]、[100]、または [1000] Mbps)を選択するか、
[auto] を選択してファイアウォールに自動的に速度を決定させます。
リンク デュプ
レックス
インターフェイスの伝送モードを、フル デュプレックス ([full])、ハーフ デュプ
レックス ([half])、オート ネゴシエーション ([auto]) から選択します。
リンク状態
インターフェイスの状態を、有効 ([up])、無効 ([down])、自動決定 ([auto]) から
選択します。
LACP ポート
優先順位
ファイアウォールがこのフィールドを使用するのは、集約グループのリンク集約
制御プロトコル (LACP) が有効になっている場合のみです。集約グループに、サ
ポートする数を超えるアクティブ状態のインターフェイスがある場合があります
(アクティブなインターフェイスの数は、集約グループ設定の [最大ポート] パ
ラメータによって決まります)。この場合は、各インターフェイスに割り当てら
れたポート優先度に応じてアクティブかスタンバイかが決まります。番号が小さ
いほど優先度が高くなります。範囲は 1 ~ 65535、デフォルトは 32768 です。
HA インターフェイスの設定
[Network] > [インターフェイス] > [Ethernet]
HA(高可用性)インターフェイスにはそれぞれ固有の機能があります。一方のインター
フェイスは設定の同期とハートビート機能を持ち、もう一方のインターフェイスは状態の同
期機能を持っています。アクティブ / アクティブの高可用性が有効になっている場合、ファ
イアウォールは、3 つ目の HA インターフェイスを使用してパケットを転送できます。
154 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
VLAN インターフェイスの設定
一部の Palo Alto Networks ファイアウォールには、HA 専用の物理ポートが
あります(制御リンク用とデータ リンク用)。専用ポートのないファイア
ウォールの場合、HA に使用するデータ ポートを指定する必要があります。
HA の詳細は、「ファイアウォールの HA の有効化」を参照してください。
HA インターフェイスを設定するには、設定されていないインターフェイスの名前
([Ethernet1/1] など)をクリックし、以下の情報を指定します。
表 75. HA インターフェイス設定
フィールド
説明
インター
フェイス名
インターフェイス名は事前に定義されており、変更することはできません。
コメント
インターフェイスの説明(省略可)を入力します。
インター
フェイス タイプ
[HA] を選択します。
リンク速度
インターフェイスの速度([10]、[100]、または [1000] Mbps)を選択するか、
[auto] を選択してファイアウォールに自動的に速度を決定させます。
リンク デュプ
レックス
インターフェイスの伝送モードを、フル デュプレックス ([full])、ハーフ デュプ
レックス ([half])、オート ネゴシエーション ([auto]) から選択します。
リンク状態
インターフェイスの状態を、有効 ([up])、無効 ([down])、自動決定 ([auto]) から
選択します。
VLAN インターフェイスの設定
[Network] > [インターフェイス] > [VLAN]
VLAN インターフェイスは、ルーティング情報をレイヤー 3 ネットワーク(IPv4 および
IPv6)に提供できます。VLAN インターフェイスには、1 つ以上のレイヤー 2 Ethernet ポー
ト(「レイヤー 2 インターフェイスの設定」を参照)を追加できます。
表 76. VLAN インターフェイス設定
フィールド
設定場所
説明
インター
フェイス名
VLAN インター
フェイス
読み取り専用の [インターフェイス名] フィールドには [vlan] が設定さ
れています。インターフェイスを識別する数値サフィックス(1 ~ 9999)
を隣のフィールドに入力します。
コメント
VLAN インター
フェイス
インターフェイスの説明(省略可)を入力します。
Netflow
プロファイル
VLAN インター
フェイス
入力インターフェイスを通過する単向性の IP トラフィックを NetFlow
サーバーにエクスポートする場合は、サーバー プロファイルを選択する
か、[Netflow プロファイル] リンクをクリックして新しいプロファイルを
定義します(「Netflow の設定」を参照)。[none] を選択すると、イン
ターフェイスから現在の NetFlow サーバー割り当てが削除されます。
注:PA-4000 シリーズのファイアウォールでは、この機能がサポートされ
ていません。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 155
VLAN インターフェイスの設定
表 76. VLAN インターフェイス設定 (続き)
フィールド
設定場所
説明
VLAN
[VLAN イン
ターフェイス] >
[設定]
VLAN を選択するか、[VLAN] リンクをクリックして新しい VLAN を定義
します(「VLAN サポートの設定」を参照)。[none] を選択すると、イン
ターフェイスから現在の VLAN 割り当てが削除されます。
仮想ルーター
[VLAN イン
ターフェイス] >
[設定]
インターフェイスに仮想ルーターを割り当てるか、[仮想ルーター] リンク
をクリックして新しい仮想ルーターを定義します(「仮想ルーターの設
定」を参照)。[None] を選択すると、インターフェイスから現在のルー
ター割り当てが削除されます。
仮想システム
[VLAN イン
ターフェイス] >
[設定]
ファイアウォールが複数の仮想システムをサポートし、その機能が有効の
場合は、インターフェイスの仮想システム (vsys) を選択するか、[仮想シス
テム] リンクをクリックして新しい vsys を定義します。
セキュリティ
ゾーン
[VLAN イン
ターフェイス] >
[設定]
インターフェイスのセキュリティ ゾーンを選択するか、[ゾーン] リンクを
クリックして新しいゾーンを定義します。[None] を選択すると、インター
フェイスから現在のゾーン割り当てが削除されます。
管理
プロファイル
[VLAN イン
ターフェイス] >
[詳細] > [その他
の情報]
管理プロファイル — このインターフェイスを介したファイアウォールの管
理に使用できるプロトコル(SSH、Telnet、HTTP など)を定義するプロ
ファイルを選択します。[None] を選択すると、インターフェイスから現在
のプロファイル割り当てが削除されます。
MTU
[VLAN イン
ターフェイス] >
[詳細] > [その他
の情報]
このインターフェイスで送信されるパケットの最大転送単位 (MTU) をバイ
ト数で入力します(576 ~ 9192、デフォルトは 1500)。ファイアウォール
の両側のマシンが Path MTU Discovery (PMTUD) を実行し、インターフェ
イスが MTU を超えるパケットを受信すると、ファイアウォールが送信元
にパケットが大きすぎることを示す ICMP フラグメント要求メッセージを
返します。
TCP MSS の
調整
[VLAN イン
ターフェイス] >
[詳細] > [その他
の情報]
最大セグメント サイズ (MSS) がインターフェイスの MTU よりも 40 バイ
ト小さくなるように調整するには、このチェック ボックスをオンにしま
す。この設定は、ネットワークを経由するトンネルで MSS を小さくする必
要のある状況に対応します。オンの場合は、フラグメント化しないとパ
ケットが MSS 内に収まらないときに調整が行われます。
IP アドレス
[VLAN イン
ターフェイス] >
[詳細] > [ARP
エントリ]
1 つ以上のスタティック アドレス解決プロトコル (ARP) エントリを追加す
るには、[追加] をクリックし、IP アドレスとそれに関連付けられたハード
ウェア(メディア アクセス制御、略称 MAC)のアドレスを入力して、
ハードウェア アドレスにアクセスできるレイヤー 3 インターフェイスを選
択します。エントリを削除するには、エントリを選択して [Delete] をク
リックします。スタティック ARP エントリによって、指定したアドレス
の ARP 処理が減り、中間者攻撃が防止されます。
[VLAN イン
ターフェイス] >
[詳細] > [ND エ
ントリ]
NDP (Neighbor Discovery Protocol) のネイバー情報を指定するには、[追加]
をクリックし、ネイバーの IPv6 アドレスと MAC アドレスを入力します。
MAC アドレス
インター
フェイス
IPv6 アドレス
MAC アドレス
156 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
VLAN インターフェイスの設定
表 76. VLAN インターフェイス設定 (続き)
フィールド
設定場所
説明
NDP プロキシ
の有効化
[VLAN イン
ターフェイス] >
[詳細] > [NDP
プロキシ]
選択すると、インターフェイスで NDP (Neighbor Discovery Protocol) プロ
キシが有効になります。ファイアウォールは、このリストの IPv6 アドレス
の MAC アドレスを要求する ND パケットに応答します。ND に対する応
答として、ファイアウォールは、そのインターフェイス独自の MAC アドレ
スを送信し、基本的には、これらのアドレス宛のパケットを要求します。
NPTv6 (Network Prefix Translation IPv6) を使用する場合は、NDP プロキ
シを有効にすることをお勧めします。
[NDP プロキシの有効化] チェック ボックスをオンにした場合、[アドレス]
の多数のエントリをフィルタリングするには、フィルタを入力し、フィル
タの適用アイコン(緑色の矢印)をクリックします。
アドレス
[VLAN イン
ターフェイス] >
[詳細] > [NDP
プロキシ]
[追加] をクリックし、1 つ以上の IPv6 アドレス、IP 範囲、IPv6 サブネッ
ト、またはファイアウォールが NDP プロキシとして機能するアドレス オ
ブジェクトを入力します。これらのアドレスの 1 つは、NPTv6 の送信元変
換のアドレスと同じであることが理想的です。アドレスの順序は問題にな
りません。
アドレスがサブネットワークの場合、ファイアウォールは、サブネットの
すべてのアドレスに対して ND 応答を送信します。したがって、ファイア
ウォールの IPv6 ネイバーも追加し、[Negate] チェック ボックスをクリッ
クして、これらの IP アドレスに応答しないようにファイアウォールに指示
することをお勧めします。
Negate
[VLAN イン
ターフェイス] >
[詳細] > [NDP
プロキシ]
あるアドレスに対して [Negate] チェック ボックスをオンにすると、NDP
プロキシは、そのアドレスを拒否するようになります。Negate は、指定し
た IP アドレス範囲または IP サブネットの一部に対して実行できます。
IPv4 アドレスの場合
タイプ
[VLAN イン
ターフェイス] >
[IPv4]
IPv4 アドレス タイプをインターフェイスに割り当てる方法を選択します。
• スタティック — IP アドレスを手動で指定する必要があります。
• DHCP クライアント — インターフェイスが DHCP (Dynamic Host
Configuration Protocol) クライアントとして機能し、ダイナミックに割
り当てられた IP アドレスを受信できます。
注:アクティブ / アクティブ高可用性 (HA) モードのファイアウォール
は、DHCP クライアントをサポートしません。
選択した IP アドレス方式に応じて、タブに表示されるオプションは異なり
ます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 157
VLAN インターフェイスの設定
表 76. VLAN インターフェイス設定 (続き)
フィールド
設定場所
説明
• IPv4 アドレス タイプ = スタティック
IP
[VLAN イン
ターフェイス] >
[IPv4]
[追加] をクリックし、以下のいずれかの手順を実行して、インターフェイ
スのスタティック IP アドレスとネットワーク マスクを指定します。
• エントリを CIDR (Classless Inter-Domain Routing) 表記法の ip_address/
mask の形式(例:192.168.2.0/24 for IPv4 or 2001:db8::/32 for IPv6)で
入力します。
• タイプが IP ネットマスクの既存のアドレス オブジェクトを選択します。
• [アドレス] リンクをクリックし、タイプが [IP ネットマスク] のアドレス
オブジェクトを作成します。
インターフェイスに対して複数の IP アドレスを入力できます。IP アドレ
スの最大数は、システムが使用する転送情報ベース (FIB) によって決まり
ます。
IP アドレスを削除するには、アドレスを選択して [削除] をクリックします。
• IPv4 アドレス タイプ = DHCP
有効化
[VLAN イン
ターフェイス] >
[IPv4]
インターフェイスで DHCP クライアントをアクティベーションするには、
このチェック ボックスをオンにします。
サーバー提供の
デフォルト ゲー
トウェイを指す
デフォルト ルー
トを自動的に
作成
[VLAN イン
ターフェイス] >
[IPv4]
DHCP サーバーによって提供されるデフォルト ゲートウェイを指し示すデ
フォルト ルートを自動的に作成するには、このチェック ボックスをオンに
します。
デフォルト ルー
ト メトリック
[VLAN イン
ターフェイス] >
[IPv4]
ファイアウォールと DHCP サーバー間のルートについて、デフォルト
ルートに関連付け、パス選択に使用するルート メトリック(優先度)を入
力します(任意、範囲は 1 ~ 65535、デフォルトなし)。数値が小さいほ
ど優先度が高くなります。
DHCP クライア
ント ランタイム
情報の表示
[VLAN イン
ターフェイス] >
[IPv4]
このボタンをクリックすると、DHCP のリース状態、ダイナミック IP ア
ド レ ス 割 り当て、サブネット マスク、ゲートウェイ、サーバー設定
(DNS、NTP、ドメイン、WINS、NIS、POP3、および SMTP)など、
DHCP サーバーから受信したすべての設定が表示されます。
IPv6 アドレスの場合
インターフェイ
スでの IPv6 の
有効化
[VLAN イン
ターフェイス] >
[IPv6]
このインターフェイスの IPv6 アドレスを有効にするには、このチェック
ボックスをオンにします。
インターフェイ
ス ID
[VLAN イン
ターフェイス] >
[IPv6]
64 ビ ッ ト拡張一意識別子 (EUI-64) を 16 進数形式で入力しま す(例:
00:26:08:FF:FE:DE:4E:29)。このフィールドを空白のままにすると、ファ
イアウォールが、物理インターフェイスの MAC アドレスから生成された
EUI-64 を使用します。アドレスの追加時に [ホスト部分にインターフェイ
ス ID を使用] オプションを選択すると、ファイアウォールがそのアドレス
のホスト部分にインターフェイス ID を使用します。
158 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
VLAN インターフェイスの設定
表 76. VLAN インターフェイス設定 (続き)
フィールド
設定場所
説明
アドレス
[VLAN イン
ターフェイス] >
[IPv6]
[追加] をクリックして、IPv6 アドレスごとに以下のパラメータを設定し
ます。
• アドレス — IPv6 アドレスとプレフィックス長を入力します(例:
2001:400:f00::1/64)。既存の IPv6 アドレス オブジェクトを選択すること
や、[アドレス] リンクをクリックしてアドレス オブジェクトを作成する
こともできます。
• インターフェイス上のアドレスを有効にする — インターフェイスで IPv6
アドレスを有効するには、このチェック ボックスをオンにします。
• ホスト部分にインターフェイス ID を使用 — IPv6 アドレスのホスト部分
にインターフェイス ID を使用するには、このチェック ボックスをオン
にします。
• エニーキャスト — 最も近いノードを経由するルーティングを含めるには、
このチェック ボックスをオンにします。
• RA の送信 — この IP アドレスのルーター通知 (RA) を有効にするには、
このチェック ボックスをオンにします(インターフェイスのグローバル
の [ルーター通知を有効にする] オプションも有効にする必要がありま
す)。RA の詳細は、この表の「ルーター通知を有効にする」を参照して
ください。
残りのフィールドは、RA を有効にした場合にのみ適用されます。
– 有効なライフタイム — ファイアウォールがアドレスを有効とみなす時
間(秒)です。有効なライフタイムは、[優先ライフタイム] 以上でな
ければなりません。デフォルトは 2592000 です。
– 優先ライフタイム — 有効なアドレスが優先される時間(秒)です。こ
の時間内は、ファイアウォールがこのアドレスを使用してトラフィッ
クを送受信できます。優先ライフタイムの期限後は、ファイアウォー
ルがこのアドレスを使用して新しい接続を確立することはできません
が、既存の接続は有効なライフタイムの期限まで有効です。デフォル
トは 604800 です。
– オンリンク — プレフィックス内にアドレスがあるシステムにルーター
なしで到達可能にするには、このチェック ボックスをオンにします。
– 自律型 — 通知されたプレフィックスとインターフェイス ID を組み合
わせて、システムが IP アドレスを独自に作成できるようにするには、
このチェック ボックスをオンにします。
重複アドレス検
出を有効にする
[VLAN イン
ターフェイス] >
[IPv6]
重複アドレス検出 (DAD) を有効にするには、このチェック ボックスをオ
ンにして、このセクションの他のフィールドを設定します。
DAD 試行回数
[VLAN イン
ターフェイス] >
[IPv6]
ネイバー要請間隔(NS 間隔)内の DAD の試行回数を指定します(範囲は
1 ~ 10、デフォルトは 1)。この回数を超えるとネイバーに障害があると
みなされます。
到達可能時間
[VLAN イン
ターフェイス] >
[IPv6]
クエリと応答が正常に行われた後引き続きネイバーに到達可能な時間
(秒)を指定します(範囲は 1 ~ 36000、デフォルトは 30)。
NS 間隔(ネイ
バー要請間隔)
[VLAN イン
ターフェイス] >
[IPv6]
DAD の試行秒数を指定します(範囲は 1 ~ 10、デフォルトは 1)。この秒
数を超えると障害があるとみなされます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 159
VLAN インターフェイスの設定
表 76. VLAN インターフェイス設定 (続き)
フィールド
設定場所
説明
ルーター通知を
有効にする
[VLAN イン
ターフェイス] >
[IPv6]
IPv6 インターフェイスでステートレス アドレス自動設定 (SLAAC) を提供
するには、このチェック ボックスをオンにして、このセクションの他の
フィールドを設定します。ルーター通知 (RA) メッセージを受信するクラ
イアントは、この情報を使用します。
RA により、ファイアウォールが、スタティックに設定されていない IPv6
ホストのデフォルト ゲートウェイとして機能し、ホストにアドレス設定の
IPv6 プレフィックスを提供できます。別の DHCPv6 サーバーをこの機能
と併用すると、DNS および他の設定をクライアントに提供できます。
このオプションはインターフェイスのグローバル設定です。IP アドレスご
とに RA オプションを設定する場合は、IP アドレス テーブルの [追加] をク
リックしてアドレスを設定します(詳細は、この表の「アドレス」を参
照)。IP アドレスに RA オプションを設定する場合は、インターフェイス
の [ルーター通知を有効にする] オプションを選択する必要があります。
最小間隔(秒)
[VLAN イン
ターフェイス] >
[IPv6]
ファイアウォールが送信する RA 間の最小間隔(秒)を指定します(範囲
は 3 ~ 1350、デフォルトは 200)。ファイアウォールは、設定した最小値
と最大値の間のランダムな間隔で RA を送信します。
最大間隔(秒)
[VLAN イン
ターフェイス] >
[IPv6]
ファイアウォールが送信する RA 間の最大間隔(秒)を指定します(範囲
は 4 ~ 1800、デフォルトは 600)。ファイアウォールは、設定した最小値
と最大値の間のランダムな間隔で RA を送信します。
ホップ制限
[VLAN イン
ターフェイス] >
[IPv6]
クライアントに適用する、送信パケットのホップ制限を指定します(範囲
は 1 ~ 255、デフォルトは 64)。ホップ制限を指定しない場合は 0 を入力
します。
リンク MTU
[VLAN イン
ターフェイス] >
[IPv6]
クライアントに適用するリンクの最大転送単位 (MTU) を指定します。リン
クの MTU を指定しない場合は [unspecified] を選択します(範囲は 1280 ~
9192、デフォルトは [unspecified])。
到達可能時間
(ミリ秒)
[VLAN イン
ターフェイス] >
[IPv6]
到達可能確認メッセージを受信後ネイバーに到達可能であると想定するた
めにクライアントが使用する到達可能時間(ミリ秒)を指定します。到達
可能時間を指定しない場合は [unspecified] を選択します(範囲は 0 ~
3600000、デフォルトは [unspecified])。
リトランス
ミッション時間
(ミリ秒)
[VLAN イン
ターフェイス] >
[IPv6]
ネイバー要請メッセージを再送信するまでにクライアントが待機する時間
を決定するリトランスミッション タイマーを指定します。リトランスミッ
ション時間を指定しない場合は [unspecified] を選択します(範囲は 0 ~
4294967295、デフォルトは [unspecified])。
ルーターの
有効期間(秒)
[VLAN イン
ターフェイス] >
[IPv6]
クライアントがファイアウォールをデフォルト ゲートウェイとして使用す
る時間(秒)を指定します(範囲は 0 ~ 9000、デフォルトは 1800)。0 は、
ファイアウォールがデフォルト ゲートウェイではないことを示します。有
効期間が過ぎると、クライアントがそのデフォルト ルーター リストから
ファイアウォール エントリを削除して、別のルーターをデフォルト ゲート
ウェイとして使用します。
ルーター設定
[VLAN イン
ターフェイス] >
[IPv6]
ネットワーク セグメントに複数の IPv6 ルーターがある場合は、クライア
ントがこのフィールドを使用して優先ルーターを選択します。セグメント
の他のルーターとの比較において、RA が通知するファイアウォール ルー
ターの優先度を [High]、[Medium](デフォルト)、[Low] の中から選択
します。
160 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ループバック インターフェイスの設定
表 76. VLAN インターフェイス設定 (続き)
フィールド
設定場所
説明
管理された設定
[VLAN イン
ターフェイス] >
[IPv6]
アドレスを DHCPv6 経由で使用できることをクライアントに示すには、こ
のチェック ボックスをオンにします。
その他の設定
[VLAN イン
ターフェイス] >
[IPv6]
他のアドレス情報(DNS 関連の設定など)を DHCPv6 経由で使用できる
ことをクライアントに示すには、このチェック ボックスをオンにします。
整合性チェック
[VLAN イン
ターフェイス] >
[IPv6]
他のルーターから送信された RA がリンク上で一貫した情報を通知してい
ることをファイアウォールで確認するには、このチェック ボックスをオン
にします。一貫していない場合はファイアウォールがログに記録します。
ループバック インターフェイスの設定
[Network] > [インターフェイス] > [ループバック]
表 77. ループバック インターフェイス設定
フィールド
設定場所
説明
インター
フェイス名
ループバック
インターフェイス
読み取り専用の [インターフェイス名] フィールドには [loopback]
が設定されています。インターフェイスを識別する数値サフィックス
(1 ~ 9999)を隣のフィールドに入力します。
コメント
ループバック
インターフェイス
インターフェイスの説明(省略可)を入力します。
Netflow
プロファイル
ループバック
インターフェイス
入力インターフェイスを通過する単向性の IP トラフィックを
NetFlow サーバーにエクスポートする場合は、サーバー プロファイル
を選択するか、[Netflow プロファイル] リンクをクリックして新しい
プロファイルを定義します(「Netflow の設定」を参照)。[none] を
選択すると、インターフェイスから現在の NetFlow サーバー割り当て
が削除されます。
注:PA-4000 シリーズのファイアウォールでは、この機能がサポート
されていません。
仮想ルーター
[ループバック
インターフェイス] >
[設定]
インターフェイスに仮想ルーターを割り当てるか、[仮想ルーター] リ
ンクをクリックして新しい仮想ルーターを定義します(「仮想ルー
ターの設定」を参照)。[None] を選択すると、インターフェイスから
現在のルーター割り当てが削除されます。
仮想システム
[ループバック
インターフェイス] >
[設定]
ファイアウォールが複数の仮想システムをサポートし、その機能が有
効の場合は、インターフェイスの仮想システム (vsys) を選択するか、
[仮想システム] リンクをクリックして新しい vsys を定義します。
セキュリティ
ゾーン
[ループバック
インターフェイス] >
[設定]
インターフェイスのセキュリティ ゾーンを選択するか、[ゾーン] リン
クをクリックして新しいゾーンを定義します。[None] を選択すると、
インターフェイスから現在のゾーン割り当てが削除されます。
管理
プロファイル
[トンネル インター
フェイス] > [詳細] >
[その他の情報]
管理プロファイル — このインターフェイスを介したファイアウォー
ルの管理に使用できるプロトコル(SSH、Telnet、HTTP など)を定
義するプロファイルを選択します。[None] を選択すると、インター
フェイスから現在のプロファイル割り当てが削除されます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 161
ループバック インターフェイスの設定
表 77. ループバック インターフェイス設定(続き)
フィールド
設定場所
説明
MTU
[トンネル インター
フェイス] > [詳細] >
[その他の情報]
このインターフェイスで送信されるパケットの最大転送単位 (MTU)
をバイト数で入力します(576 ~ 9192、デフォルトは 1500)。ファイ
アウォールの両側のマシンが Path MTU Discovery (PMTUD) を実行
し、インターフェイスが MTU を超えるパケットを受信すると、ファ
イアウォールが送信元にパケットが大きすぎることを示す ICMP フラ
グメント要求メッセージを返します。
TCP MSS の
調整
[トンネル インター
フェイス] > [詳細] >
[その他の情報]
最大セグメント サイズ (MSS) がインターフェイスの MTU よりも 40
バイト小さくなるように調整するには、このチェック ボックスをオン
にします。この設定は、ネットワークを経由するトンネルで MSS を小
さくする必要のある状況に対応します。オンの場合は、フラグメント
化しないとパケットが MSS 内に収まらないときに調整が行われます。
IPv4 アドレスの場合
IP
[ループバック
インターフェイス] >
[IPv4]
[追加] をクリックし、以下のいずれかの手順を実行して、インター
フェイスのスタティック IP アドレスとネットワーク マスクを指定し
ます。
• エントリを CIDR (Classless Inter-Domain Routing) 表記法の
ip_address/mask の形式(例:192.168.2.0/24 for IPv4 or 2001:db8::/
32 for IPv6)で入力します。
• タイプが IP ネットマスクの既存のアドレス オブジェクトを選択し
ます。
• [アドレス] リンクをクリックし、タイプが [IP ネットマスク] のアド
レス オブジェクトを作成します。
インターフェイスに対して複数の IP アドレスを入力できます。IP ア
ドレスの最大数は、システムが使用する転送情報ベース (FIB) によっ
て決まります。
IP アドレスを削除するには、アドレスを選択して [削除] をクリックし
ます。
IPv6 アドレスの場合
インター
フェイスでの
IPv6 の有効化
[ループバック
インターフェイス] >
[IPv6]
こ の インターフェイスの IPv6 アドレスを有効にするには、この
チェック ボックスをオンにします。
インター
フェイス ID
[ループバック
インターフェイス] >
[IPv6]
64 ビット拡張一意識別子 (EUI-64) を 16 進数形式で入力します(例:
00:26:08:FF:FE:DE:4E:29)。このフィールドを空白のままにすると、
ファイアウォールが、物理インターフェイスの MAC アドレスから生
成された EUI-64 を使用します。アドレスの追加時に [ホスト部分にイ
ンターフェイス ID を使用] オプションを選択すると、ファイアウォー
ルがそのアドレスのホスト部分にインターフェイス ID を使用します。
162 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
トンネル インターフェイスの設定
表 77. ループバック インターフェイス設定(続き)
フィールド
設定場所
説明
アドレス
[ループバック
インターフェイス] >
[IPv6]
[追加] をクリックして、IPv6 アドレスごとに以下のパラメータを設
定します。
• アドレス — IPv6 アドレスとプレフィックス長を入力します(例:
2001:400:f00::1/64)。既存の IPv6 アドレス オブジェクトを選択する
ことや、[アドレス] リンクをクリックしてアドレス オブジェクトを
作成することもできます。
• インターフェイス上のアドレスを有効にする — インターフェイスで
IPv6 アドレスを有効するには、このチェック ボックスをオンにし
ます。
• ホスト部分にインターフェイス ID を使用 — IPv6 アドレスのホスト
部分にインターフェイス ID を使用するには、このチェック ボック
スをオンにします。
• エニーキャスト — 最も近いノードを経由するルーティングを含めるに
は、このチェック ボックスをオンにします。
トンネル インターフェイスの設定
[Network] > [インターフェイス] > [トンネル]
表 78. トンネル インターフェイス設定
フィールド
設定場所
説明
インター
フェイス名
トンネル
インターフェイス
読み取り専用の [インターフェイス名] フィールドには [tunnel] が設
定されています。インターフェイスを識別する数値サフィックス (1 ~
9999) を隣のフィールドに入力します。
コメント
トンネル
インターフェイス
インターフェイスの説明(省略可)を入力します。
Netflow
プロファイル
トンネル
インターフェイス
入力インターフェイスを通過する単向性の IP トラフィックを NetFlow
サーバーにエクスポートする場合は、サーバー プロファイルを選択する
か、[Netflow プロファイル] リンクをクリックして新しいプロファイル
を定義します(「Netflow の設定」を参照)。[none] を選択すると、イ
ンターフェイスから現在の NetFlow サーバー割り当てが削除されます。
注:PA-4000 シリーズのファイアウォールでは、この機能がサポート
されていません。
仮想ルーター
[トンネル
インターフェイス] >
[設定]
インターフェイスに仮想ルーターを割り当てるか、[仮想ルーター] リ
ンクをクリックして新しい仮想ルーターを定義します(「仮想ルー
ターの設定」を参照)。[None] を選択すると、インターフェイスから
現在のルーター割り当てが削除されます。
仮想システム
[トンネル
インターフェイス] >
[設定]
ファイアウォールが複数の仮想システムをサポートし、その機能が有
効の場合は、インターフェイスの仮想システム (vsys) を選択するか、
[仮想システム] リンクをクリックして新しい vsys を定義します。
セキュリティ
ゾーン
[トンネル
インターフェイス] >
[設定]
インターフェイスのセキュリティ ゾーンを選択するか、[ゾーン] リン
クをクリックして新しいゾーンを定義します。[None] を選択すると、
インターフェイスから現在のゾーン割り当てが削除されます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 163
トンネル インターフェイスの設定
表 78. トンネル インターフェイス設定(続き)
フィールド
設定場所
説明
管理
プロファイル
[トンネル
インターフェイス] >
[詳細] > [その他の
情報]
管理プロファイル — このインターフェイスを介したファイアウォール
の管理に使用できるプロトコル(SSH、Telnet、HTTP など)を定義す
るプロファイルを選択します。[None] を選択すると、インターフェイ
スから現在のプロファイル割り当てが削除されます。
MTU
[トンネル
インターフェイス] >
[詳細] > [その他の
情報]
このインターフェイスで送信されるパケットの最大転送単位 (MTU) を
バイト数で入力します(576 ~ 9192、デフォルトは 1500)。ファイア
ウォールの両側のマシンが Path MTU Discovery (PMTUD) を実行し、
インターフェイスが MTU を超えるパケットを受信すると、ファイア
ウォールが送信元にパケットが大きすぎることを示す ICMP フラグメ
ント要求メッセージを返します。
IPv4 アドレスの場合
IP
[トンネル
インターフェイス] >
[IPv4]
[追加] をクリックし、以下のいずれかの手順を実行して、インター
フェイスのスタティック IP アドレスとネットワーク マスクを指定し
ます。
• エントリを CIDR (Classless Inter-Domain Routing) 表記法の
ip_address/mask の形式(例:192.168.2.0/24 for IPv4 or 2001:db8::/
32 for IPv6)で入力します。
• タイプが IP ネットマスクの既存のアドレス オブジェクトを選択し
ます。
• [アドレス] リンクをクリックし、タイプが [IP ネットマスク] のアド
レス オブジェクトを作成します。
インターフェイスに対して複数の IP アドレスを入力できます。IP ア
ドレスの最大数は、システムが使用する転送情報ベース (FIB) によっ
て決まります。
IP アドレスを削除するには、アドレスを選択して [削除] をクリックし
ます。
IPv6 アドレスの場合
インターフェイス
での IPv6 の
有効化
[トンネル
インターフェイス] >
[IPv6]
このインターフェイスの IPv6 アドレスを有効にするには、このチェッ
ク ボックスをオンにします。
インター
フェイス ID
[トンネル
インターフェイス] >
[IPv6]
64 ビット拡張一意識別子 (EUI-64) を 16 進数形式で入力します(例:
00:26:08:FF:FE:DE:4E:29)。このフィールドを空白のままにすると、
ファイアウォールが、物理インターフェイスの MAC アドレスから生
成された EUI-64 を使用します。アドレスの追加時に [ホスト部分にイ
ンターフェイス ID を使用] オプションを選択すると、ファイアウォー
ルがそのアドレスのホスト部分にインターフェイス ID を使用します。
164 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
仮想ルーターの設定
表 78. トンネル インターフェイス設定(続き)
フィールド
設定場所
説明
アドレス
[トンネル
インターフェイス] >
[IPv6]
[追加] をクリックして、IPv6 アドレスごとに以下のパラメータを設
定します。
• アドレス — IPv6 アドレスとプレフィックス長を入力します(例:
2001:400:f00::1/64)。既存の IPv6 アドレス オブジェクトを選択する
ことや、[アドレス] リンクをクリックしてアドレス オブジェクトを
作成することもできます。
• インターフェイス上のアドレスを有効にする — インターフェイスで
IPv6 アドレスを有効するには、このチェック ボックスをオンにし
ます。
• ホスト部分にインターフェイス ID を使用 — IPv6 アドレスのホスト
部分にインターフェイス ID を使用するには、このチェック ボック
スをオンにします。
• エニーキャスト — 最も近いノードを経由するルーティングを含めるに
は、このチェック ボックスをオンにします。
仮想ルーターの設定
[Network] > [仮想ルーター]
仮想ルーターを定義するには、このページを使用します。仮想ルーターを定義すると、レイ
ヤー 3 の転送ルールをセットアップして、ダイナミック ルーティング プロトコルを使用で
きるようになります。ファイアウォールに定義されたレイヤー 3 インターフェイス、ループ
バック インターフェイス、および VLAN インターフェイスはそれぞれ、仮想ルーターに関
連付けられている必要があります。各インターフェイスは、1 つの仮想ルーターにのみ属す
ることができます。
仮想ルーターを定義するには、[Router Settings] > [全般] タブと、ネットワーク トポロジで
必要な以下のいずれかのタブで設定を割り当てる必要があります。
• [スタティック ルート] タブ:「[スタティック ルート] タブの設定」を参照してください。
• [再配信プロファイル] タブ:「[再配信プロファイル] タブの設定」を参照してください。
• [RIP] タブ:「[RIP] タブの設定」を参照してください。
• [OSPF] タブ:「[OSPF] タブの設定」を参照してください。
• [OSPFv3] タブ:「[OSPFv3] タブの設定」を参照してください。
• [BGP] タブ:「[BGP] タブの設定」を参照してください。
• [マルチキャスト] タブ:「[マルチキャスト] タブの設定」を参照してください。
• [ECMP] タブ:「ECMP の構成要素」を参照してください。
仮想ルーターの一部を設定すると、[Network] > [仮想ルーター] ページの最後の列にある [詳
細ランタイム状態] をクリックすることで、特定の仮想ルーターの情報を参照できます。
• [詳細ランタイム状態] リンク:「仮想ルーターの詳細ランタイム状態」を参照してくだ
さい。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 165
仮想ルーターの設定
[全般] タブの設定
[Network] > [仮想ルーター] > [Router Settings] > [全般]
すべての仮想ルーター設定では、以下の表に従ってレイヤー 3 インターフェイスと管理上の
距離のメトリックを割り当てる必要があります。
表 79. 仮想ルーター設定 – [全般] タブ
フィールド
説明
名前
仮想ルータを表す名前を指定します(最大 31 文字)。名前の大文字と小
文字は区別されます。また、一意の名前にする必要があります。文字、
数字、スペース、ハイフン、およびアンダースコアのみを使用してくだ
さい。
インターフェイス
仮想ルーターに含めるインターフェイスを選択します。選択されたイン
ターフェイスはバーチャル ルータに追加され、バーチャル ルータの
[Routing] タブで送信インターフェイスとして使用できます。
インターフェイス タイプを指定する方法については、「ファイアウォー
ル インターフェイスの設定」を参照してください。
インターフェイスを追加すると、その接続済みルートが自動的に追加さ
れます。
管理距離
以下の管理距離を指定します。
• スタティック ルート(10 ~ 240、デフォルトは 10)
• OSPF 内部(10 ~ 240、デフォルトは 30)
• OSPF 外部(10 ~ 240、デフォルトは 110)
• IBGP(10 ~ 240、デフォルトは 200)
• EBGP(10 ~ 240、デフォルトは 20)
• RIP(10 ~ 240、デフォルトは 120)
[スタティック ルート] タブの設定
[Network] > [仮想ルーター] > [スタティック ルート]
任意で 1 つ以上のスタティック ルートを入力します。IPv4 または IPv6 アドレスを使用して
ルートを指定するには、[IP] または [IPv6] タブをクリックします。通常、ここでデフォルト
ルート (0.0.0.0/0) を設定するために必要になります。デフォルト ルートは、他の方法では
バーチャル ルータのルーティング テーブルに見つからない宛先に適用されます。
表 80. 仮想ルーター設定 – [スタティック ルート] タブ
フィールド
説明
名前
スタティック ルートの識別に使用する名前を入力します(最大 31 文
字)。名前の大文字と小文字は区別されます。また、一意の名前にする
必要があります。文字、数字、スペース、ハイフン、およびアンダース
コアのみを使用してください。
宛先
IP アドレスおよびネットワーク マスクを CIDR (Classless Inter-Domain
Routing) 表記法の ip_address/mask の形式(例:IPv4 の場合は 192.168.2.0/
24、IPv6 の場合は 2001:db8::/32)で入力します。
166 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
仮想ルーターの設定
表 80. 仮想ルーター設定 – [スタティック ルート] タブ (続き)
フィールド
説明
インターフェイス
パケットを宛先に転送するインターフェイスを選択するか、ネクスト
ホップ設定を指定するか、その両方を行います。
ネクスト ホップ
以下のネクスト ホップ設定を指定します。
• なし — ルートのネクスト ホップが存在しない場合に指定します。
• IP アドレス — ネクストホップ ルータの IP アドレスを指定します。
• 破棄 — この宛先のトラフィックを廃棄する場合に選択します。
• 次の VR — ファイアウォールのルータをネクストホップとして選択し
ます。このオプションでは、1 つのファイアウォール内の仮想ルー
ター間で内部的にルーティングできます。
管理距離
スタティック ルートの管理距離を指定します(10 ~ 240、デフォルトは
10)。
メトリック
スタティック ルートの有効なメトリックを指定します(1 ~ 65535)。
インストールなし
転送テーブルにルートをインストールしない場合はオンにします。ルー
トは後で参照できるように設定に保持されます。
[再配信プロファイル] タブの設定
[Network] > [仮想ルーター] > [再配信プロファイル]
再配信プロファイルでは、フィルタリングするファイアウォールの指示、優先順位の設定、
目的のネットワーク動作に基づいたアクションの実行を行います。ルート再配信を使用する
と、スタティック ルートと他のプロトコルで取得されたルートを、指定したルーティング
プロトコル経由で通知できます。再配信プロファイルを有効にするには、ルーティング プロ
トコルに適用する必要があります。再配信ルールがないと、各プロトコルば別個に実行さ
れ、それぞれの範囲外では通信しません。再配信プロファイルは、すべてのルーティング プ
ロトコルが設定され、その結果のネットワーク トポロジが確立した後に追加または変更でき
ます。再配信プロファイルを RIP および OSPF プロトコルに適用するには、エクスポート
ルールを定義します。[ルールの再配信] タブで再配信プロファイルを BGP に適用します。以
下の表を参照してください。
表 81. 仮想ルーター設定 – [再配信プロファイル] タブ
フィールド
説明
名前
[追加] をクリックして [再配信プロファイル] ページを表示し、プロファ
イル名を入力します。
優先順位
このプロファイルの優先度(範囲は 1 ~ 255)を入力します。プロファ
イルは順番に照合されます(優先度の昇順)。
再配信
このウィンドウの設定に基づいてルート再配信を実行するかどうかを選
択します。
• 再配信あり — 一致した候補ルートを再配信するには、オンにします。
このオプションをオンにした場合、新しいメトリック値を入力しま
す。メトリック値が小さいほど適切なルートになります。
• 再配信なし — 一致した候補ルートを再配信しない場合、オンにします。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 167
仮想ルーターの設定
表 81. 仮想ルーター設定 – [再配信プロファイル] タブ (続き)
フィールド
説明
[一般的なフィルタ]
タブ
タイプ
候補ルートのルート タイプを指定するには、このチェック ボックスを
オンにします。
インターフェイス
候補ルートの転送インターフェイスを指定するためのインターフェイス
を選択します。
宛先
候補ルートの宛先を指定するには、宛先 IP アドレスまたはサブネット
(形式は x.x.x.x または x.x.x.x/n)を入力して [追加] をクリックしま
す。エントリを削除するには、エントリに関連付けられた
アイコン
をクリックします。
ネクスト ホップ
候補ルートのゲートウェイを指定するには、ネクストホップを示す IP ア
ドレスまたはサブネット(形式は x.x.x.x または x.x.x.x/n)を入力して
[追加] をクリックします。エントリを削除するには、エントリに関連付
けられた
アイコンをクリックします。
[OSPF フィルタ]
タブ
パス タイプ
候補 OSPF ルートのルート タイプを指定するには、このチェック ボック
スをオンにします。
エリア
候補 OSPF ルートのエリア識別子を指定します。OSPF エリア ID(形式
は x.x.x.x)を入力し、[追加] をクリックします。エントリを削除するに
は、エントリに関連付けられた
アイコンをクリックします。
タグ
OSPF タグ値を指定します。数値でタグ値(1 ~ 255)を入力し、[追加]
をクリックします。エントリを削除するには、エントリに関連付けられ
た
アイコンをクリックします。
[BGP フィルタ] タブ
コミュニティ
BGP ルーティング ポリシーのコミュニティを指定します。
拡張コミュニティ
BGP ルーティング ポリシーの拡張コミュニティを指定します。
[RIP] タブの設定
[Network] > [仮想ルーター] > [RIP]
RIP(ルーティング情報プロトコル)を設定するには、以下の一般設定を指定する必要があ
ります。
表 82. 仮想ルーター設定 – [RIP] タブ
フィールド
説明
有効化
RIP プロトコルを有効にするには、このチェック ボックスをオンにし
ます。
デフォルト ルートの
拒否
RIP 経由でデフォルト ルートを学習しない場合は、このチェック ボック
スをオンにします。このチェック ボックスをオンにすることを強くお勧
めします。
168 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
仮想ルーターの設定
さらに、以下のタブの設定を指定する必要があります。
• [インターフェイス] タブ:「[インターフェイス] タブの設定」を参照してください。
• [タイマー] タブ:「[タイマー] タブの設定」を参照してください。
• [認証プロファイル] タブ:「[認証プロファイル] タブの設定」を参照してください。
• [ルールのエクスポート] タブ:「[ルールのエクスポート] タブの設定」を参照してくだ
さい。
[インターフェイス] タブの設定
[Network] > [仮想ルーター] > [RIP] > [インターフェイス]
以下の表に、[インターフェイス] タブの設定を示します。
表 83.
RIP 設定 – [インターフェイス] タブ
フィールド
説明
インターフェイス
インターフェイス
RIP プロトコルを実行するインターフェイスを選択します。
有効化
これらの設定を有効にするには、オンにします。
通知
指定したメトリック値でデフォルト ルートを RIP ピアに通知するには、
オンにします。
メトリック
ルータ通知のメトリック値を指定します。このフィールドは、[通知]
チェック ボックスがオンになっている場合にのみ表示されます。
認証プロファイル
プロファイルを選択します。
モード
[normal]、[passive]、または [send-only] を選択します。
[タイマー] タブの設定
[Network] > [仮想ルーター] > [RIP] > [タイマー]
以下の表に、[タイマー] タブの設定を示します。
表 84. RIP 設定 – [タイマー] タブ
フィールド
説明
タイマー
間隔(秒)
タイマ間隔を秒単位で指定します。この時間は、他の [RIP Timing] の
フィールドで使用されます(1 ~ 60)。
更新間隔
ルート更新通知間の間隔数を入力します(1 ~ 3600)。
失効の間隔
ルートが最後に更新されてから有効期限が切れるまでの間隔数を入力し
ます(1 ~ 3600)。
削除間隔
ルートの有効期限が切れてから削除されるまでの間隔数を入力します
(1 ~ 3600)。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 169
仮想ルーターの設定
[認証プロファイル] タブの設定
[Network] > [仮想ルーター] > [RIP] > [認証プロファイル]
以下の表に、[認証プロファイル] タブの設定を示します。
表 85. RIP 設定 – [認証プロファイル] タブ
フィールド
説明
認証プロファイル
プロファイル名
RIP メッセージを認証するための認証プロファイル名を入力します。RIP
メッセージを認証するには、最初に認証プロファイルを定義し、次に
[RIP] タブでそのプロファイルをインターフェイスに適用します。
パスワード タイプ
パスワードのタイプを選択します([簡易パスワード] または [MD5])。
• [簡易パスワード] を選択した場合、簡易パスワードを入力して確認し
ます。
• [MD5] を選択した場合は、[Key-ID] (0 ~ 255)、[Key]、および任意
の [Preferred] 状態など、1 つ以上のパスワード エントリを入力しま
す。エントリごとに [追加] をクリックしてから、[OK] をクリックしま
す。送信メッセージの認証に使用する鍵を指定するには、[優先] オプ
ションを選択します。
[ルールのエクスポート] タブの設定
[Network] > [仮想ルーター] > [RIP] > [ルールのエクスポート]
以下の表に、[ルールのエクスポート] タブの設定を示します。
表 86. RIP 設定 – [ルールのエクスポート] タブ
フィールド
説明
ルールのエクス
ポート
ルールのエクスポート
(読み取り専用)仮想ルーターから受信側ルータに送信されるルートに
適用するルールが表示されます。
• デフォルト ルートの再配信を許可 — ファイアウォールからピアにデフォ
ルト ルートの再配信を許可するには、このチェック ボックスをオンに
します。
• 再配信プロファイル — 目的のネットワーク動作に基づいて、ルート再
配信、フィルタ、優先度、アクションを変更できる再配信プロファイ
ルを選択します。「[再配信プロファイル] タブの設定」を参照してく
ださい。
170 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
仮想ルーターの設定
[OSPF] タブの設定
[Network] > [仮想ルーター] > [OSPF]
OSPF (Open Shortest Path First) プロトコルを設定するには、以下の一般設定を指定する必要
があります。
表 87. 仮想ルーター設定 – [OSPF] タブ
フィールド
説明
有効化
OSPF プロトコルを有効にするには、このチェック ボックスをオンにし
ます。
デフォルト ルートの
拒否
OSPF 経由でデフォルト ルートを学習しない場合は、このチェック ボッ
クスをオンにします。特にスタティック ルートの場合は、このチェック
ボックスをオンにすることを強くお勧めします。
ルーター ID
この仮想ルーターの OSPF インスタンスに関連付けられているルータ ID
を指定します。OSPF プロトコルでは、このルータ ID を使用して OSPF
インスタンスを一意に識別します。
さらに、以下のタブの設定を指定する必要があります。
• [エリア] タブ:「[エリア] タブの設定」を参照してください。
• [認証プロファイル] タブ:「[認証プロファイル] タブの設定」を参照してください。
• [ルールのエクスポート] タブ:「[ルールのエクスポート] タブの設定」を参照してくだ
さい。
• [詳細] タブ:「[詳細] タブの設定」を参照してください。
[エリア] タブの設定
[Network] > [仮想ルーター] > [OSPF] > [エリア]
以下の表に、[エリア] タブの設定を示します。
表 88. OSPF 設定 – [エリア] タブ
フィールド
説明
エリア
エリア ID
OSPF パラメータを適用可能なエリアを設定します。
エリアの識別子を x.x.x.x の形式で入力します。この識別子を受け入れた
ネイバーのみが同じエリアに属します。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 171
仮想ルーターの設定
表 88. OSPF 設定 – [エリア] タブ(続き)
フィールド
説明
タイプ
以下のいずれかのオプションを選択します。
• 通常 — 制限はありません。エリアではすべてのタイプのルートを使用
できます。
• スタブ — エリアからの出口はありません。エリア外にある宛先に到達
するには、別のエリアに接続されている境界を通過する必要がありま
す。このオプションを選択した場合、他のエリアからこのタイプの
LSA (Link State Advertisement) を受け入れるには [サマリーの受け入
れ] を選択します。さらに、スタブエリアへの通知にデフォルト ルー
ト LSA とそれに関連付けられたメトリック値(1 ~ 255)を含めるか
どうかを指定します。スタブ エリアのエリア ボーダー ルーター (ABR)
インターフェイスの [サマリーの受け入れ] オプションが無効になって
い る と、OSPF エリアは TSA (Totally Stubby Area) として動作し、
ABR はサマリー LSA を配信しません。
• NSSA (Not-So-Stubby Area) — エリアから直接外部に出ることができ
ますが、OSPF ルート以外のルートを使用する必要があります。この
オプションを選択した場合、このタイプの LSA を受け入れるには [サ
マリーの受け入れ] を選択します。[デフォルト ルートの通知] を選択
して、スタブ エリアへの通知にデフォルト ルート LSA とそれに関連
付けられたメトリック値(1 ~ 255)を含めるかどうかを指定します。
さらに、デフォルト LSA の通知に使用するルート タイプを選択しま
す。NSSA 経由で学習した外部ルートの他のエリアへの通知を有効に
するか、停止する場合は、[Ext 範囲] セクションの [追加] をクリック
し、範囲を入力します。
範囲
[追加] をクリックし、エリア内の LSA 宛先アドレスをサブネットに集約
します。サブネットと一致する LSA の通知を有効にするか、停止して、
[OK] をクリックします。別の範囲を追加する場合は、この操作を繰り
返します。
172 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
仮想ルーターの設定
表 88. OSPF 設定 – [エリア] タブ(続き)
フィールド
説明
インターフェイス
[追加] をクリックし、エリアに含めるインターフェイスごとに以下の情
報を入力して、[OK] をクリックします。
• インターフェイス — インターフェイスを選択します。
• 有効化 — OSPF インターフェイス設定を有効にします。
• パッシブ — OSPF インターフェイスで OSPF パケットを送受信しない
場合は、このチェック ボックスをオンにします。このオプションをオ
ンにすると OSPF パケットは送受信されませんが、インターフェイス
は LSA データベースに追加されます。
• リンク タイプ — このインターフェイスを経由してアクセス可能なすべ
てのネイバーを、OSPF hello メッセージのマルチキャストによって自
動的に検出するには、[ブロードキャスト] を選択します(Ethernet イ
ンターフェイスなど)。自動的にネイバーを検出する場合は、[P2p]
(ポイントツーポイント)を選択します。ネイバーを手動で定義する
必要がある場合は、[P2mp](ポイントツーマルチポイント)を選択し
ます。ネイバーを手動で定義できるのは、p2mp モードの場合のみです。
• メトリック — このインターフェイスの OSPF メトリックを入力します
(0 ~ 65535)。
• 優先順位 — このインターフェイスの OSPF 優先度を入力します(0 ~
255)。OSPF プロトコルでは、この優先度に基づいて、ルータが指名ルー
タ (DR) または バックアップ DR (BDR) として選択されます。値が 0 の場
合、ルーターが DR または BDR として選択されることはありません。
• 認証プロファイル — 以前に定義した認証プロファイルを選択します。
• Hello 間隔(秒)— OSPF プロセスが直接接続されているネイバーに
Hello パケットを送信する間隔です。範囲:0 ~ 3600 秒。デフォル
ト:10 秒。
• 失敗許容回数 — Hello 間隔の試行回数で、この回数を超えても OSPF が
ネイバーから Hello パケットを受信しない場合、OSPF はネイバーがダ
ウンしているものとみなします。[Hello 間隔] に [失敗許容回数] を乗じ
た数が、失敗タイマーの値になります。範囲:3 ~ 20。デフォルト:4。
• リトランスミット間隔(秒)— OSPF がネイバーからリンク状態通知
(LSA) を待機する時間です。この時間を過ぎると、OSPF が LSA を再
送信します。範囲:0 ~ 3600 秒。デフォルト:10 秒。
• トランジット遅延(秒)— LSA の遅延時間です。この時間を過ぎると、
インターフェイスから送信されます。範囲:0 ~ 3600 秒。デフォル
ト:1 秒。
• グレースフル リスタート Hello パケット遅延(秒)— アクティブ /
パッシブ高可用性が設定されている場合に、OSPF インターフェイス
に適用されます。[グレースフル リスタート Hello パケット遅延] は、
ファイアウォールが 1 秒間隔でグレース LSA パケットを送信する期間
です。この期間は、リスタート中のファイアウォールから Hello パ
ケットが送信されません。リスタート中は、失敗タイマー([Hello 間
隔] に [失敗許容回数] を乗じた数)もカウントダウンされます。失敗
タイマーの時間が短かすぎる場合は、Hello パケットが遅延したとき
に、グレースフル リスタート中に隣接がダウンします。そのため、失
敗タイマーを [グレースフル リスタート Hello パケット遅延] の値の 4 倍
以上にすることをお勧めします。たとえば、[Hello 間隔] が 10 秒で、
[失敗許容回数] が 4 回の場合、失敗タイマーは 40 秒になります。[グ
レースフル リスタート Hello パケット遅延] が 10 秒に設定されていれ
ば、10 秒遅延しても失敗タイマーの 40 秒以内に十分に収まるため、
グレースフル リスタート中に隣接がタイムアウトになることがありま
せん。範囲:1 ~ 10 秒。デフォルト:10 秒。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 173
仮想ルーターの設定
表 88. OSPF 設定 – [エリア] タブ(続き)
フィールド
説明
仮想リンク
バックボーンエリアの接続を維持または拡張するには、仮想リンク設定
を指定します。この設定は、エリア境界ルータに対して、バックボーン
エリア内 (0.0.0.0) で定義する必要があります。[追加] をクリックし、
バックボーンエリアに含める仮想リンクごとに以下の情報を入力して、
[OK] をクリックします。
• 名前 — 仮想リンクの名前を入力します。
• ネイバー ID — 仮想リンクの反対側のルーター(ネイバー)のルーター
ID を入力します。
• トランジット エリア — 仮想リンクが物理的に含まれる中継エリアのエ
リア ID を入力します。
• 有効化 — 仮想リンクを有効にするには、オンにします。
• タイミング — デフォルトのタイミング設定のまま使用することをお勧
めします。
• 認証プロファイル — 以前に定義した認証プロファイルを選択します。
[認証プロファイル] タブの設定
[Network] > [仮想ルーター] > [OSPF] > [認証プロファイル]
以下の表に、[認証プロファイル] タブの設定を示します。
表 89. OSPF 設定 – [認証プロファイル] タブ
フィールド
説明
認証プロファイル
プロファイル名
認証プロファイルの名前を入力します。OSPF メッセージを認証するに
は、最初に認証プロファイルを定義し、次に [OSPF] タブでそのプロ
ファイルをインターフェイスに適用します。
パスワード タイプ
パスワードのタイプを選択します([簡易パスワード] または [MD5])。
• [簡易パスワード] を選択した場合は、パスワードを入力します。
• [MD5] を選択した場合は、[Key-ID] (0 ~ 255)、[Key]、および任意の
[Preferred] 状態など、1 つ以上のパスワード エントリを入力します。
エントリごとに [追加] をクリックしてから、[OK] をクリックします。
送信メッセージの認証に使用する鍵を指定するには、[優先] オプショ
ンを選択します。
174 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
仮想ルーターの設定
[ルールのエクスポート] タブの設定
[Network] > [仮想ルーター] > [OSPF] > [ルールのエクスポート]
以下の表に、[ルールのエクスポート] タブの設定を示します。
表 90. OSPF 設定 – [認証プロファイル] タブ
フィールド
説明
ルールの
エクスポート
デフォルト ルートの再
配信を許可
OSPF 経由でデフォルト ルートの再配信を許可するには、このチェック
ボックスをオンにします。
名前
再配信プロファイルの名前を選択します。値には IP サブネットまたは有
効な再配信プロファイル名を指定する必要があります。
新規パス タイプ
適用するメトリック タイプを選択します。
新規タグ
一致したルート用に 32 ビット値のタグを指定します。
メトリック
エクスポートされたルートに関連付けられてパス選択に使用されるルー
ト メトリックを指定します(任意、範囲は 1 ~ 65535)。
[詳細] タブの設定
[Network] > [仮想ルーター] > [OSPF] > {詳細]
以下の表に、[詳細] タブの設定を示します。
表 91. OSPF 設定 – [詳細] タブ
フィールド
説明
詳細
RFC 1583 の互換性
RFC 1583 との互換性を維持するには、このチェック ボックスをオンに
します。
タイマー
• SPF 計算遅延(秒)— このオプションは、新しいトポロジ情報の受信
と SPF 計算の情報間で遅延時間を調整できる遅延タイマーです。低い
値を指定すると、OSPF の再収束が速くなります。ファイアウォール
とピアリングしているルーターは、収束時間の最適化と同様の方法で
調整する必要があります。
• LSA 間隔(秒)— このオプションは、同一 LSA(同一ルーター、同一
タイプ、同一 LSA ID)の 2 つのインスタンスの伝送間の最小時間を指
定します。RFC 2328 の MinLSInterval と同等です。低い値を指定する
と、トポロジが変更された場合の再収束時間が短縮されます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 175
仮想ルーターの設定
表 91. OSPF 設定 – [詳細] タブ(続き)
フィールド
説明
グレースフル
リスタート
• グレースフル リスタートを有効にする — デフォルトで有効になってい
ます。この機能が有効なファイアウォールは、ファイアウォールが一時
的にダウンして移行が実行されている間も、ファイアウォールを経由す
るルートを引き続き使用するようにネイバー ルーターに指示します。
• ヘルパー モードを有効にする — デフォルトで有効になっています。
このモードが有効なファイアウォールは、隣接デバイスの再起動中も
そのデバイスへの転送を継続します。
• 厳密な LSA チェックを有効化にする — デフォルトで有効になっていま
す。トポロジが変更された場合、この機能によって、OSPF ヘルパー
モードが有効なファイアウォールのヘルパー モードが終了します。
• グレース ピリオド(秒)— 隣接デバイスの再確立中またはルーターの
再起動中にピア デバイスがこのファイアウォールへの転送を継続する
秒数。範囲:5 ~ 1800 秒。デフォルト:120 秒。
• ネイバー再起動の最大時間 — ファイアウォールをヘルパー モード ルー
ターとして使用できる最大グレース ピリオド(秒)。ピア デバイスの
グレース LSA で提供されるグレース ピリオドの方が長い場合、ファイ
アウォールはヘルパー モードになりません。範囲:5 ~ 1800 秒。デ
フォルト:140 秒。
[OSPFv3] タブの設定
[Network] > [仮想ルーター] > [OSPFv3]
OSPFv3 (Open Shortest Path First v3) プロトコルを設定するには、以下の一般設定を指定す
る必要があります。
表 92. 仮想ルーター設定 – [OSPF] タブ
フィールド
説明
有効化
OSPF プロトコルを有効にするには、このチェック ボックスをオンにし
ます。
デフォルト ルートの
拒否
OSPF 経由でデフォルト ルートを学習しない場合は、このチェック ボッ
クスをオンにします。特にスタティック ルートの場合は、このチェック
ボックスをオンにすることを強くお勧めします。
ルーター ID
この仮想ルーターの OSPF インスタンスに関連付けられているルータ ID
を指定します。OSPF プロトコルでは、このルータ ID を使用して OSPF
インスタンスを一意に識別します。
さらに、以下のタブの設定を指定する必要があります。
• [エリア] タブ:「[エリア] タブの設定」を参照してください。
• [認証プロファイル] タブ:「[認証プロファイル] タブの設定」を参照してください。
• [ルールのエクスポート] タブ:「[ルールのエクスポート] タブの設定」を参照してくだ
さい。
• [詳細] タブ:「[詳細] タブの設定」を参照してください。
176 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
仮想ルーターの設定
[エリア] タブの設定
[Network] > [仮想ルーター] > [OSPFv3] > {エリア]
以下の表に、[エリア] タブの設定を示します。
表 93. 仮想ルーター設定 – [エリア] タブ
フィールド
説明
認証
この OSPF エリアに指定する認証プロファイルの名前を選択します。
タイプ
以下のいずれかのオプションを選択します。
• 通常 — 制限はありません。エリアではすべてのタイプのルートを使用
できます。
• スタブ — エリアからの出口はありません。エリア外にある宛先に到達
するには、別のエリアに接続されている境界を通過する必要がありま
す。このオプションを選択した場合、他のエリアからこのタイプの
LSA (Link State Advertisement) を受け入れるには [サマリーの受け入
れ] を選択します。さらに、スタブエリアへの通知にデフォルト ルー
ト LSA とそれに関連付けられたメトリック値 (1 ~ 255) を含めるかど
うかを指定します。スタブ エリアのエリア ボーダー ルーター (ABR)
インターフェイスの [サマリーの受け入れ] オプションが無効になって
いると、OSPF エリアは TSA (Totally Stubby Area) として動作し、
ABR はサマリー LSA を配信しません。
• NSSA (Not-So-Stubby Area) — エリアから直接外部に出ることができ
ますが、OSPF ルート以外のルートを使用する必要があります。この
オプションを選択した場合、このタイプの LSA を受け入れるには [サ
マリーの受け入れ] を選択します。スタブエリアへの通知にデフォルト
ルート LSA とそれに関連付けられたメトリック値 (1 ~ 255) を含める
かどうかを指定します。さらに、デフォルト LSA の通知に使用する
ルート タイプを選択します。NSSA 経由で学習した外部ルートの他の
エリアへの通知を有効にするか、停止する場合は、[Ext 範囲] セクショ
ンの [追加] をクリックし、範囲を入力します。
範囲
Palo Alto Networks
[追加] をクリックし、エリア内の LSA 宛先 IPv6 アドレスをサブネット
に集約します。サブネットと一致する LSA の通知を有効にするか、停止
して、[OK] をクリックします。別の範囲を追加する場合は、この操作
を繰り返します。
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 177
仮想ルーターの設定
表 93. 仮想ルーター設定 – [エリア] タブ(続き)
フィールド
説明
インターフェイス
[追加] をクリックし、エリアに含めるインターフェイスごとに以下の情
報を入力して、[OK] をクリックします。
• インターフェイス — インターフェイスを選択します。
• 有効化 — OSPF インターフェイス設定を有効にします。
• インスタンス ID — OSPFv3 インスタンス ID 番号を入力します。
• パッシブ — OSPF インターフェイスで OSPF パケットを送受信しない
場合は、このチェック ボックスをオンにします。このオプションをオ
ンにすると OSPF パケットは送受信されませんが、インターフェイス
は LSA データベースに追加されます。
• リンク タイプ — このインターフェイスを経由してアクセス可能なすべ
てのネイバーを、OSPF hello メッセージのマルチキャストによって自
動的に検出するには、[ブロードキャスト] を選択します(Ethernet イン
ターフェイスなど)。自動的にネイバーを検出する場合は、[P2p](ポ
イントツーポイント)を選択します。ネイバーを手動で定義する必要
がある場合は、[P2mp](ポイントツーマルチポイント)を選択しま
す。ネイバーを手動で定義できるのは、p2mp モードの場合のみです。
• メトリック — このインターフェイスの OSPF メトリックを入力します
(0 ~ 65535)。
• 優先順位 — このインターフェイスの OSPF 優先度を入力します(0 ~
255)。OSPF プロトコルでは、この優先度に基づいて、ルータが指名ルー
タ (DR) または バックアップ DR (BDR) として選択されます。値が 0 の場
合、ルーターが DR または BDR として選択されることはありません。
• 認証プロファイル — 以前に定義した認証プロファイルを選択します。
• Hello 間隔(秒)— OSPF プロセスが直接接続されているネイバーに
Hello パケットを送信する間隔です。範囲:0 ~ 3600 秒。デフォル
ト:10 秒。
• 失敗許容回数 — Hello 間隔の試行回数で、この回数を超えても OSPF が
ネイバーから Hello パケットを受信しない場合、OSPF はネイバーがダ
ウンしているものとみなします。[Hello 間隔] に [失敗許容回数] を乗じ
た数が、失敗タイマーの値になります。範囲:3 ~ 20。デフォルト:4。
• リトランスミット間隔(秒)— OSPF がネイバーからリンク状態通知
(LSA) を待機する時間です。この時間を過ぎると、OSPF が LSA を再
送信します。範囲:0 ~ 3600 秒。デフォルト:10 秒。
• トランジット遅延(秒)— LSA の遅延時間です。この時間を過ぎると、
インターフェイスから送信されます。範囲:0 ~ 3600 秒。デフォル
ト:1 秒。
• グレースフル リスタート Hello パケット遅延(秒)— アクティブ / パッ
シブ高可用性が設定されている場合に、OSPF インターフェイスに適
用されます。[グレースフル リスタート Hello パケット遅延] は、ファ
イアウォールが 1 秒間隔でグレース LSA パケットを送信する期間で
す。この期間は、リスタート中のファイアウォールから Hello パケッ
トが送信されません。リスタート中は、失敗タイマー([Hello 間隔]
に [失敗許容回数] を乗じた数)もカウントダウンされます。失敗タイ
マーの時間が短かすぎる場合は、Hello パケットが遅延したときに、
グレースフル リスタート中に隣接がダウンします。そのため、失敗タ
イマーを [グレースフル リスタート Hello パケット遅延] の値の 4 倍以
上にすることをお勧めします。たとえば、[Hello 間隔] が 10 秒で、[失
敗許容回数] が 4 回の場合、失敗タイマーは 40 秒になります。[グレー
スフル リスタート Hello パケット遅延] が 10 秒に設定されていれば、
10 秒遅延しても失敗タイマーの 40 秒以内に十分に収まるため、グ
レースフル リスタート中に隣接がタイムアウトになることがありませ
ん。範囲:1 ~ 10 秒。デフォルト:10 秒。
• ネイバー — p2pmp インターフェイスの場合、このインターフェイス
を介して到達可能なすべてのネイバーに対するネイバー IP アドレスを
入力します。
178 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
仮想ルーターの設定
表 93. 仮想ルーター設定 – [エリア] タブ(続き)
フィールド
説明
仮想リンク
バックボーンエリアの接続を維持または拡張するには、仮想リンク設定
を指定します。この設定は、エリア境界ルータに対して、バックボーン
エリア内 (0.0.0.0) で定義する必要があります。[追加] をクリックし、
バックボーンエリアに含める仮想リンクごとに以下の情報を入力して、
[OK] をクリックします。
• 名前 — 仮想リンクの名前を入力します。
• インスタンス ID — OSPFv3 インスタンス ID 番号を入力します。
• ネイバー ID — 仮想リンクの反対側のルーター(ネイバー)のルーター
ID を入力します。
• トランジット エリア — 仮想リンクが物理的に含まれる中継エリアのエ
リア ID を入力します。
• 有効化 — 仮想リンクを有効にするには、オンにします。
• タイミング — デフォルトのタイミング設定のまま使用することをお勧
めします。
• 認証プロファイル — 以前に定義した認証プロファイルを選択します。
[認証プロファイル] タブの設定
[Network] > [仮想ルーター] > [OSPFv3] > [認証プロファイル]
以下の表に、[認証プロファイル] タブの設定を示します。
表 94. OSPFv3 設定 – [認証プロファイル] タブ
フィールド
説明
認証プロファイル
プロファイル名
認証プロファイルの名前を入力します。OSPF メッセージを認証するに
は、最初に認証プロファイルを定義し、次に [OSPF] タブでそのプロ
ファイルをインターフェイスに適用します。
SPI
リモート ファイアウォールからピアへのパケット トラバーサルのセ
キュリティ パラメータ インデックス (SPI) を指定します。
プロトコル
以下のいずれかのプロトコルを指定します。
• ESP — Encapsulating Security Payload プロトコル。
• AH — Authentication Header プロトコル。
暗号化アルゴリズム
以下のいずれかを指定します。
• なし — 暗号化アルゴリズムは使用されません。
• SHA1 — Secure Hash Algorithm 1。
• SHA256 — Secure Hash Algorithm 2。256 ビット ダイジェストの 4 つ
のハッシュ関数のセット。
• SHA384 — Secure Hash Algorithm 2。384 ビット ダイジェストの 4 つ
のハッシュ関数のセット。
• SHA512 — Secure Hash Algorithm 2。512 ビット ダイジェストの 4 つ
のハッシュ関数のセット。
• MD5 — MD5 メッセージ ダイジェスト アルゴリズム。
キー / 再入力キー
Palo Alto Networks
認証鍵を入力して確認します。
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 179
仮想ルーターの設定
表 94. OSPFv3 設定 – [認証プロファイル] タブ(続き)
フィールド
説明
暗号化
以下のいずれかを指定します。
• aes-128-cbc — 128 ビットの暗号化鍵を使用して AES (Advanced
Encryption Standard) を適用します。
• aes-192-cbc — 192 ビットの暗号化鍵を使用して AES (Advanced
Encryption Standard) を適用します。
• aes-256-cbc — 256 ビットの暗号化鍵を使用して AES (Advanced
Encryption Standard) を適用します。
• null — 暗号化は使用されません。
AH プロトコルが選択されている場合は使用できません。
キー / 再入力キー
暗号化鍵を入力して確認します。
[ルールのエクスポート] タブの設定
[Network] > [仮想ルーター] > [OSPF] > [ルールのエクスポート]
以下の表に、[ルールのエクスポート] タブの設定を示します。
表 95. OSPF 設定 – [認証プロファイル] タブ
フィールド
説明
ルールの
エクスポート
デフォルト ルートの
再配信を許可
OSPF 経由でデフォルト ルートの再配信を許可するには、このチェック
ボックスをオンにします。
名前
再配信プロファイルの名前を選択します。値には IP サブネットまたは有
効な再配信プロファイル名を指定する必要があります。
新規パス タイプ
適用するメトリック タイプを選択します。
新規タグ
一致したルート用に 32 ビット値のタグを指定します。
メトリック
エクスポートされたルートに関連付けられてパス選択に使用されるルー
ト メトリックを指定します(任意、範囲は 1 ~ 65535)。
180 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
仮想ルーターの設定
[詳細] タブの設定
[Network] > [仮想ルーター] > [OSPF] > {詳細]
以下の表に、[詳細] タブの設定を示します。
表 96. OSPF 設定 – [詳細] タブ
フィールド
説明
詳細
SPF 計 算 用 ト ラ ン ジ ッ
ト ルーティングを無効
にする
このデバイスから送信されるルーター LSA に Rビットを設定してルー
ターがアクティブでないことを示す場合、このチェック ボックスをオン
にします。この状態のデバイスは OSPFv3 に参加しますが、その他の
ルーターはトランジット トラフィックを送信しません。この状態でも、
ローカル トラフィックは引き続きデバイスに転送されます。トラフィッ
クをデバイス周辺に再ルーティングしながらそのデバイスにも到達でき
るため、これはデュアル ホーム ネットワークで保守を行う場合に役立
ちます。
タイマー
• SPF 計算遅延(秒)— このオプションは、新しいトポロジ情報の受信
と SPF 計算の情報間で遅延時間を調整できる遅延タイマーです。低い
値を指定すると、OSPF の再収束が速くなります。ファイアウォール
とピアリングしているルーターは、収束時間の最適化と同様の方法で
調整する必要があります。
• LSA 間隔(秒)— このオプションは、同一 LSA(同一ルーター、同一
タイプ、同一 LSA ID)の 2 つのインスタンスの伝送間の最小時間を指
定します。RFC 2328 の MinLSInterval と同等です。低い値を指定する
と、トポロジが変更された場合の再収束時間が短縮されます。
グレースフル
リスタート
• グレースフル リスタートを有効にする — デフォルトで有効になってい
ます。この機能が有効なファイアウォールは、ファイアウォールが一時
的にダウンして移行が実行されている間も、ファイアウォールを経由す
るルートを引き続き使用するようにネイバー ルーターに指示します。
• ヘルパー モードを有効にする — デフォルトで有効になっています。こ
のモードが有効なファイアウォールは、隣接デバイスの再起動中もそ
のデバイスへの転送を継続します。
• 厳密な LSA チェックを有効化にする — デフォルトで有効になっていま
す。トポロジが変更された場合、この機能によって、OSPF ヘルパー
モードが有効なファイアウォールのヘルパー モードが終了します。
• グレース ピリオド(秒)— 隣接デバイスの再確立中またはルーターの
再起動中にピア デバイスがこのファイアウォールへの転送を継続する
秒数。範囲:5 ~ 1800 秒。デフォルト:120 秒。
• ネイバー再起動の最大時間 — ファイアウォールをヘルパー モード ルー
ターとして使用できる最大グレース ピリオド(秒)。ピア デバイスの
グレース LSA で提供されるグレース ピリオドの方が長い場合、ファイ
アウォールはヘルパー モードになりません。範囲:5 ~ 1800 秒。デ
フォルト:140 秒。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 181
仮想ルーターの設定
[BGP] タブの設定
[Network] > [仮想ルーター] > [BGP]
Border Gateway Protocol (BGP) プロトコルを設定するには、以下の設定を指定する必要があ
ります。
表 97. 仮想ルーター設定 – [BGP] タブ
フィールド
説明
有効化
BGP を有効にするには、このチェック ボックスをオンにします。
ルーター ID
仮想ルーターに割り当てる IP アドレスを入力します。
AS 番号
ルータ ID に基づいて、仮想ルーターが属する AS の番号を入力します
(範囲は 1 ~ 4294967295)。
さらに、以下のタブの設定を指定する必要があります。
• [全般] タブ:「[全般] タブの設定」を参照してください。
• [詳細] タブ:「[詳細] タブの設定」を参照してください。
• [ピア グループ] タブ:「[ピア グループ] タブの設定」を参照してください。
• [インポート] タブ:「[インポート] および [エクスポート] タブの設定」を参照してくだ
さい。
• [エクスポート] タブ:「[インポート] および [エクスポート] タブの設定」を参照してく
ださい。
• [条件付き通知] タブ:「[条件付き通知] タブの設定」を参照してください。
• [Aggregate] タブ:「[条件付き通知] タブの設定」を参照してください。
• [ルールの再配信] タブ:「[ルールの再配信] タブの設定」を参照してください。
[全般] タブの設定
[Network] > [仮想ルーター] > [BGP] > [全般]
以下の表に、[全般] タブの設定を示します。
表 98. BGP 設定 – [全般] タブ
フィールド
説明
[全般] タブ
デフォルト ルートの
拒否
BGP ピアから通知されるデフォルト ルートを無視するには、このチェッ
ク ボックスをオンにします。
ルートのインストール
グローバル ルーティング テーブルに BGP ルートをインストールするに
は、このチェック ボックスをオンにします。
MED の集約
ルートの MED (Multi-Exit Discriminator) 値が異なる場合でもルート集
約を有効にするには、オンにします。
182 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
仮想ルーターの設定
表 98. BGP 設定 – [全般] タブ(続き)
フィールド
説明
デフォルト ローカル
設定
異なるパスで設定を決定するために使用できる値を指定します。
AS フォーマット
[2 バイト](デフォルト)または [4 バイト] 形式を選択します。これは、
相互運用性のために設定します。
常に MED を比較
別の AS 内のネイバーから受け取ったパスの MED 比較を有効にします。
決定論的 MED 比較
IBGP ピア(同じ AS 内の BGP ピア)から通知されたルートの中から
ルートを選択するための MED 比較を有効にします。
認証プロファイル
[追加] をクリックして新しい認証プロファイルを追加し、以下の設定を
指定します。
• プロファイル名 — プロファイルの識別に使用する名前を入力します。
• シークレット / 再入力 シークレット — BGP ピア通信に使用するパスフ
レーズを入力し、確認します。
プロファイルを削除するには、
アイコンをクリックします。
[詳細] タブの設定
[Network] > [仮想ルーター] > [BGP] > [詳細]
以下の表に、[詳細] タブの設定を示します。
表 99. BGP 設定 – [詳細] タブ
フィールド
説明
[詳細] タブ
グレースフル
リスタート
グレースフル リスタート オプションをアクティベーションします。
• ステージ ルート時間 — ルートが接続期限切れ状態を持続できる時間
を指定します(範囲は 1 ~ 3600 秒、デフォルトは 120 秒)。
• ローカル再起動時間 — ローカル デバイスの再起動にかかる時間を指
定します。この値はピアに通知されます(範囲は 1 ~ 3600 秒、デフォ
ルトは 120 秒)。
• 最大ピア再起動時間 — ローカル デバイスがグレース期間中のピア デ
バイスの再起動時間として受け入れる時間の最大長を指定します(範
囲は 1 ~ 3600 秒、デフォルトは 120 秒)。
リフレクタ クラスタ ID
リフレクタ クラスタを示す IPv4 識別子を指定します。
コンフェデレーション
メンバー AS
AS コンフェデレーションを 1 つの AS として外部 BGP ピアに示すため
の使用する識別子を指定します。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 183
仮想ルーターの設定
表 99. BGP 設定 – [詳細] タブ(続き)
フィールド
説明
プロファイルの
ダンペニング
以下の設定があります。
• プロファイル名 — プロファイルの識別に使用する名前を入力します。
• 有効化 — プロファイルをアクティベーションします。
• カットオフ — ルート停止のしきい値を指定します(範囲は 0.0 ~
1000.0、デフォルトは 1.25)。この値を超えるとルート通知が停止し
ます。
• 再利用 — ルート停止のしきい値を指定します(範囲は 0.0 ~ 1000.0、
デフォルトは 5)。この値を下回るとルートは再度使用されます。
• 最大ホールド タイム — ルートの不安定度に関係なく、ルートを停止で
きる時間の最大長を指定します(範囲は 0 ~ 3600 秒、デフォルトは
900 秒)。
• Decay Half Life 到達可能 — ルートが到達可能とみなされた場合、ルー
トの安定性メトリックを 1/2 にするまでの時間を指定します(範囲は
0 ~ 3600 秒、デフォルトは 300 秒)。
• Decay Half Life を半分に減少 — ルートが到達不能とみなされた場合、
ルートの安定性メトリックを 1/2 にするまでの時間を指定します(範
囲は 0 ~ 3600 秒、デフォルトは 300 秒)。
プロファイルを削除するには、
アイコンをクリックします。
[ピア グループ] タブの設定
[Network] > [仮想ルーター] > [BGP] > [ピア グループ]
以下の表に、[ピア グループ] タブの設定を示します。
表 100. BGP 設定 – [ピア グループ] タブ
フィールド
説明
[ピア グループ]
タブ
名前
ピアの識別に使用する名前を入力します。
有効化
ピアをアクティベーションするには、オンにします。
集約済みコンフェデレー
ション AS パス
設定した集約済みコンフェデレーション AS へのパスを含めるには、こ
のチェック ボックスをオンにします。
保存した情報を使用した
ソフト リセット
ピア設定の更新後にファイアウォールのソフト リセットを実行するに
は、このチェック ボックスをオンにします。
184 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
仮想ルーターの設定
表 100. BGP 設定 – [ピア グループ] タブ(続き)
フィールド
説明
タイプ
ピアまたはグループのタイプを指定し、関連設定(この表に後述されて
いる [ネクスト ホップのインポート] および [ネクスト ホップのエクス
ポート] の説明を参照)を指定します。
• IBGP — 以下を指定します。
– ネクスト ホップのエクスポート
• EBGP コンフェデレーション — 以下を指定します。
– ネクスト ホップのエクスポート
• IBGP コンフェデレーション — 以下を指定します。
– ネクスト ホップのエクスポート
• EBGP — 以下を指定します。
– ネクスト ホップのインポート
– ネクスト ホップのエクスポート
– プライベート AS の削除(BGP でプライベート AS 番号を強制的に
削除する場合にオンにする)
ネクスト ホップの
インポート
ネクストホップのインポートのオプションを選択します。
• 元 — 元のルート通知で提供されたネクストホップのアドレスを使用し
ます。
• ピアの使用 — ピアの IP アドレスをネクストホップのアドレスとして
使用します。
ネクスト ホップの
エクスポート
ネクストホップのエクスポートのオプションを選択します。
• 解決 — ローカル転送テーブルを使用してネクストホップのアドレスを
解決します。
• 自己の使用 — ネクストホップのアドレスをこのルータの IP アドレス
で置き換えて転送パスに含まれるようにします。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 185
仮想ルーターの設定
表 100. BGP 設定 – [ピア グループ] タブ(続き)
フィールド
説明
ピア
新しいピアを追加するには、[新規] をクリックし、以下の設定を指定し
ます。
• 名前 — ピアの識別に使用する名前を入力します。
• 有効化 — ピアをアクティベーションするには、オンにします。
• ピア AS — ピアの AS を指定します。
• ローカル アドレス — ファイアウォール インターフェイスとローカル
IP アドレスを選択します。
• 接続オプション — 以下のオプションを指定します。
– 認証プロファイル — プロファイルを選択します。
– キープ アライブ間隔 — ピアから受け取ったルートがホールド タイ
ム設定に従って停止されるまでの時間を指定します(範囲は 0 ~
1200 秒、デフォルトは 30 秒)。
– マルチ ホップ — IP ヘッダーの TTL (time-to-live) 値を設定します
(範囲は 1 ~ 255、デフォルトは 0)。デフォルト値の 0 を指定する
と、eBGP の場合は 2、iBGP の場合は 255 が使用されます。
– オープン遅延時間 — ピア TCP 接続を開いてから最初の BGP Open
メッセージを送信するまでの遅延時間を指定します(範囲は 0 ~
240 秒、デフォルトは 0 秒)。
– ホールド タイム — ピアからの連続する KEEPALIVE または UPDATE
メッセージ間の想定経過時間を指定します。この時間を過ぎると、ピ
ア接続が閉じられます(範囲は 3 ~ 3600 秒、デフォルトは 90 秒)。
– アイドル ホールド タイム — アイドル状態で待機する時間を指定し
ます。この時間を過ぎると、ピアへの接続が再試行されます(範囲
は 1 ~ 3600 秒、デフォルトは 15 秒)。
• ピア アドレス — ピアの IP アドレスとポートを指定します。
• 詳細 — 以下の設定を指定します。
– リフレクタ クライアント — リフレクタ クライアントのタイプを指
定します([非クライアント]、[クライアント]、[メッシュ クライア
ント] のいずれか)。リフレクタ クライアントから受信したルート
は、すべての内部および外部 BGP ピアで共有されます。
– ピアリング タイプ — 双方向ピアを指定するか、未指定のままにし
ます。
– 最大プレフィックス — サポートされる IP プレフィックスの最大数
を指定します(1 ~ 100000 または [unlimited])。
• 受信接続 / 送信接続 — 送受信ポートの番号を指定し、[許可] チェック
ボックスをオンにしてこれらのポートの送受信トラフィックを許可し
ます。
186 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
仮想ルーターの設定
[インポート] および [エクスポート] タブの設定
[Network] > [仮想ルーター] > [BGP] > [インポート]
[Network] > [仮想ルーター] > [BGP] > [エクスポート]
以下の表に、[インポート] および [エクスポート] タブの設定を示します。
表 101. BGP 設定 – [ インポート ] および [ エクスポート ] タブ
フィールド
説明
[ルールのインポート] /
[ルールのエクスポート]
タブ
ルールのインポート / ルール
のエクスポート
[BGP] の [ルールのインポート] または [ルールのエクスポート] サブ
タブをクリックします。新しいルールを追加するには、[追加] をク
リックし、以下の設定を指定します。
• [全般] サブタブ:
– 名前 — ルールの識別に使用する名前を指定します。
– 有効化 — ルールをアクティベーションするには、オンにします。
– 使用者 — このルールを使用するピア グループを選択します。
• [一致] サブタブ:
– AS パスの正規表現 — AS パスをフィルタリングするための正
規表現を指定します。
– コミュニティの正規表現 — コミュニティ文字列をフィルタリン
グするための正規表現を指定します。
– 拡張コミュニティの正規表現 — 拡張コミュニティ文字列をフィ
ルタリングするための正規表現を指定します。
– アドレス プレフィックス — ルート フィルタリングを行うため
の IP アドレスまたはプレフィックスを指定します。
– MED — ルートをフィルタリングするための MED 値を指定し
ます。
– ネクスト ホップ — ルートをフィルタリングするためのネクス
トホップのルータまたはサブネットを指定します。
– 送信元ピア — ルートをフィルタリングするためのピア ルータ
を指定します。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 187
仮想ルーターの設定
表 101. BGP 設定 – [ インポート ] および [ エクスポート ] タブ(続き)
フィールド
説明
• [アクション] サブタブ:
– アクション — 照合条件を満たしたときに実行するアクション
([許可] または [拒否])を指定します。
– ローカル設定 — アクションが [許可] の場合のみ、ローカル優先
メトリックを指定します。
– MED — アクションが [Allow] の場合のみ、MED 値を指定し
ます(0 ~ 65535)。
– Weight — アクションが [Allow] の場合のみ、重み値を指定し
ます(0 ~ 65535)。
– ネクスト ホップ — アクションが [Allow] の場合のみ、ネクスト
ホップのルータを指定します。
– 元 — アクションが [許可] の場合のみ、元のルートのパス タイ
プとして [igp]、[egp]、または [incomplete] を指定します。
– AS パス制限 — アクションが [許可] の場合のみ、AS パス制限
を指定します。
– AS パス — アクションが [許可] の場合のみ、AS パスに [なし]、
[削除]、[プリペンド]、[削除およびプリペンド] のいずれかを指定
します。
– コミュニティ — アクションが [許可] の場合のみ、コミュニティ
オプションを指定します([なし]、[すべて削除]、[正規表現の
削除]、[付加]、[上書き] のいずれか)。
– 拡張コミュニティ — アクションが [許可] の場合のみ、コミュニ
ティ オプションを指定します([なし]、[すべて削除]、[正規表現
の削除]、[付加]、[上書き] のいずれか)。
– ダンペニング — アクションが [許可] の場合のみ、ダンプニン
グ パラメータを指定します。
グループを削除するには、
アイコンをクリックします。選択し
たグループと同じ設定を持つ新しいグループを追加するには、[コ
ピー] をクリックします。コピー元のグループと区別するために、
新しいグループ名にはサフィックスが追加されます。
188 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
仮想ルーターの設定
[条件付き通知] タブの設定
[Network] > [仮想ルーター] > [BGP] > [条件付き通知]
以下の表に、[条件付き通知] タブの設定を示します。
表 102. BGP 設定 – [条件付き通知] タブ
フィールド
説明
[条件付き通知] タブ
BGP 条件付き通知機能では、ピアリングまたは到達の失敗を含め、ロー
カル BGP ルーティング テーブル (LocRIB) で異なるルートを使用できな
い場合に通知するルートを制御できます。これは、1 つの AS を別の AS
より優先してルートを強制する場合に便利です。たとえば、インター
ネットに対して複数の ISP を経由するリンクがあり、優先プロバイダへ
の接続が失われない限り、他のプロバイダではなく優先プロバイダにト
ラフィックをルーティングする場合に効果的です。条件付き通知を使用
すると、優先ルートのプレフィックスと一致する非存在フィルタを設定
できます。非存在フィルタと一致するルートがローカル BGP ルーティン
グ テーブルで見つからない場合にのみ、通知フィルタで指定された代替
ルート(他の非優先プロバイダへのルート)の通知が許可されます。条
件付き通知を設定するには、[条件付き通知] タブを選択して [追加] をク
リックします。以下の方法で、フィールドに値を設定します。
ポリシー
この条件付き通知ルールのポリシー名を指定します。
有効化
BGP 条件付き通知を有効にするには、このチェック ボックスをオンにし
ます。
使用者
[追加] をクリックし、この条件付き通知ポリシーを使用するピア グルー
プを選択します。
[非存在フィルタ]
サブタブ
優先ルートのプレフィックスを指定するには、このタブを使用します。
このタブは、ローカル BGP ルーティング テーブルで使用可能な場合に
通知するルートを指定します。プレフィックスが通知され非存在フィル
タと一致すると、通知が停止します。
[追加] をクリックして、非存在フィルタを作成します。
• 非存在フィルタ — このフィルタの識別に使用する名前を指定します。
• 有効化 — フィルタをアクティベーションするには、オンにします。
• AS パスの正規表現 — AS パスをフィルタリングするための正規表現を
指定します。
• コミュニティの正規表現 — コミュニティ文字列をフィルタリングする
ための正規表現を指定します。
• 拡張コミュニティの正規表現 — 拡張コミュニティ文字列をフィルタリ
ングするための正規表現を指定します。
• MED — ルートをフィルタリングするための MED 値を指定します。
• アドレス プレフィックス — [追加] をクリックして、優先ルートの正確
な NLRI プレフィックスを指定します。
• ネクスト ホップ — ルートをフィルタリングするためのネクストホップ
のルータまたはサブネットを指定します。
• 送信元ピア — ルートをフィルタリングするためのピア ルータを指定し
ます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 189
仮想ルーターの設定
表 102. BGP 設定 – [条件付き通知] タブ(続き)
フィールド
説明
[フィルタの通知]
サブタブ
非存在フィルタのルートがローカル ルーティング テーブルで使用でき
ない場合に通知する、ローカル RIB ルーティング テーブルのルートのプ
レフィックスを指定するには、このタブを使用します。
プレフィックスが通知され非存在フィルタと一致しないと、通知が行わ
れます。
[追加] をクリックして、通知フィルタを作成します。
• フィルタの通知 — このフィルタの識別に使用する名前を指定します。
• 有効化 — フィルタをアクティベーションするには、オンにします。
• AS パスの正規表現 — AS パスをフィルタリングするための正規表現を
指定します。
• コミュニティの正規表現 — コミュニティ文字列をフィルタリングする
ための正規表現を指定します。
• 拡張コミュニティの正規表現 — 拡張コミュニティ文字列をフィルタリ
ングするための正規表現を指定します。
• MED — ルートをフィルタリングするための MED 値を指定します。
• アドレス プレフィックス — [追加] をクリックして、優先ルートを使用
できない場合に通知するルートの正確な NLRI プレフィックスを指定
します。
• ネクスト ホップ — ルートをフィルタリングするためのネクストホッ
プのルータまたはサブネットを指定します。
• 送信元ピア — ルートをフィルタリングするためのピア ルータを指定
します。
[Aggregate] タブの設定
[Network] > [仮想ルーター] > [BGP] > [Aggregate]
以下の表に、[Aggregate] タブの設定を示します。
表 103. BGP 設定 – [Aggregate] タブ
フィールド
説明
[Aggregate] タブ
名前
集約設定の名前を入力します。
フィルタの抑制
一致したルートを停止する属性を定義します。
フィルタの通知
定義したフィルタに一致するルートをピアに通知する通知フィルタの属
性を定義します。
ルート属性の集約
集約されるルートを一致させるために使用する属性を定義します。
190 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
仮想ルーターの設定
[ルールの再配信] タブの設定
[Network] > [仮想ルーター] > [BGP] > [ルールの再配信]
以下の表に、[ルールの再配信] タブの設定を示します。
表 104. BGP 設定 – [ルールの再配信] タブ
フィールド
説明
[ルールの再配信]
タブ
名前
再配信プロファイルの名前を選択します。
デフォルト ルートの
再配信を許可
ファイアウォールから BGP ピアにデフォルト ルートを再配信すること
を許可するには、このチェック ボックスをオンにします。
ルールの再配信
新しいルールを追加するには、[追加] をクリックし、設定を指定して、
[OK] をクリックします。各パラメータについては、この表の「[ルールの
インポート] / [ルールのエクスポート] タブ」(上記)で説明しています。
ルールを削除するには、
アイコンをクリックします。
[マルチキャスト] タブの設定
[Network] > [仮想ルーター] > [マルチキャスト]
マルチキャスト プロトコルを設定するには、以下の標準設定を指定する必要があります。
表 105. 仮想ルーター設定 – [マルチキャスト] タブ
フィールド
説明
有効化
マルチキャスト ルーティングを有効にするには、このチェック ボック
スをオンにします。
さらに、以下のタブの設定を指定する必要があります。
• [ランデブー ポイント] タブ:「[ランデブー ポイント] タブの設定」を参照してください。
• [インターフェイス] タブ:「[インターフェイス] タブの設定」を参照してください。
• [SPT しきい値] タブ:「[SPT しきい値] タブの設定」を参照してください。
• [送信元固有のアドレス スペース] タブ:「[送信元固有のアドレス スペース] タブの設定」
を参照してください。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 191
仮想ルーターの設定
[ランデブー ポイント] タブの設定
[Network] > [仮想ルーター] > [ランデブー ポイント]
以下の表に、[ランデブー ポイント] タブの設定を示します。
表 106. マルチキャスト設定 – [ランデブー ポイント] タブ
フィールド
説明
[ランデブー ポイン
ト] サブタブ
RP タイプ
この仮想ルーターで実行するランデブー ポイント (RP) のタイプを選択
します。スタティック RP は、他の PIM ルータで明示的に設定する必要
がありますが、候補 RP は自動的に選択されます。
• なし — この仮想ルーターで実行中の RP がない場合に選択します。
• スタティック — RP のスタティック IP アドレスを指定し、ドロップダ
ウン リストから [RP インターフェイス] および [RP アドレス] のオプ
ションを選択します。このグループに選択した RP ではなく指定した
RP を使用する場合、[取得した同じグループの RP のオーバーライド]
チェック ボックスをオンにします。
• 候補 — この仮想ルーターで実行中の RP 候補に以下の情報を指定し
ます。
– RP インターフェイス — RP のインターフェイスを選択します。有
効なインターフェイス タイプとしてループバック、L3、VLAN、
Ethernet の集約、およびトンネルなどが挙げられます。
– RP アドレス — RP の IP アドレスを選択します。
– 優先順位 — 候補 RP メッセージの優先度を指定します(デフォルト
は 192)。
– 通知間隔 — 候補 RP メッセージの通知間隔を指定します。
• グループ リスト — [スタティック] または [候補] を選択した場合、[追
加] をクリックし、RP の候補となるグループのリストを指定します。
リモート ランデブー
ポイント
[追加] をクリックし、以下を指定します。
• IP アドレス — RP の IP アドレスを指定します。
• 取得した同じグループの RP のオーバーライド — このグループに選択
した RP ではなく指定した RP を使用するには、このチェック ボック
スをオンにします。
• グループ — 指定したアドレスが RP として機能するグループのリスト
を指定します。
192 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
仮想ルーターの設定
[インターフェイス] タブの設定
[Network] > [仮想ルーター] > [マルチキャスト] > [インターフェイス]
以下の表に、[インターフェイス] タブの設定を示します。
表 107. マルチキャスト設定 – [インターフェイス] タブ
フィールド
説明
[インターフェイス]
サブタブ
名前
インターフェイス グループの識別に使用する名前を入力します。
説明
任意の説明を入力します。
インターフェイス
[追加] をクリックして、1 つ以上のファイアウォール インターフェイス
を指定します。
グループ許可
マルチキャスト トラフィックの一般ルールを指定します。
• すべてのソース — [追加] をクリックし、PIM-SM トラフィックを許可
するマルチキャスト グループのリストを指定します。
• 送信元固有 — [追加] をクリックし、PIM-SSM トラフィックを許可す
るマルチキャスト グループとマルチキャスト送信元のペアのリストを
指定します。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 193
仮想ルーターの設定
表 107. マルチキャスト設定 – [インターフェイス] タブ(続き)
フィールド
説明
IGMP
IGMP トラフィックのルールを指定します。ホストの対向インターフェ
イス(IGMP ルータ)または IGMP プロキシ ホストのインターフェイス
で IGMP を有効にする必要があります。
• 有効化 — IGMP 設定を有効にするには、このチェック ボックスをオン
にします。
• IGMP バージョン — インターフェイスで実行するバージョン(1、2、
または 3)を選択します。
• ルーター アラート IP オプションの適用 — IGMPv2 または IGMPv3 の
場合にルータ アラート IP オプションを要求するには、このチェック
ボックスをオンにします。IGMPv1 との互換性を確保するには、この
オプションを無効にする必要があります。
• 頑強性 — ネットワーク上のパケット損失を考慮するための整数値を選
択します(範囲は 1 ~ 7、デフォルトは 2)です。パケット損失が頻繁
に発生する場合は高い値を選択します。
• 最大ソース — このインターフェイスで許可する送信元特定メンバシッ
プの最大数を指定します(0 = 無制限)。
• 最大グループ — このインターフェイスで許可するグループの最大数を
指定します。
• Query Configuration — 以下を指定します。
– クエリ間隔 — 一般的なクエリをすべてのホストに送信する間隔を指
定します。
– 最大照会応答時間 — 一般的なクエリとホストからの応答間の最大時
間を指定します。
– 最終メンバー照会間隔 — グループまたは送信元固有のクエリ メッ
セージ(グループからの脱退を示すメッセージに応答して送信され
たメッセージを含む)間の間隔を指定します。
– すぐに終了 — 脱退メッセージを受信したときにすぐにグループから
脱退させるには、このチェック ボックスをオンにします。
PIM
以下の Protocol Independent Multicast (PIM) 設定を指定します。
• 有効化 — このインターフェイスで PIM メッセージの受信や転送を許
可するには、このチェック ボックスをオンにします。
• アサート間隔 — PIM アサート メッセージ間の間隔を指定します。
• Hello 間隔 — PIM hello メッセージ間の間隔を指定します。
• Join Prune Interval — PIM join および prune メッセージ間の間隔を指
定します(秒)。デフォルトは 60 です。
• DR 優先順位 — このインターフェイスの指名ルータの優先度を指定し
ます。
• BSR ボーダー — ブートストラップ境界としてインターフェイスを使用
するには、このチェック ボックスをオンにします。
• PIM ネイバー — [追加] をクリックし、PIM を使用して通信するネイ
バーのリストを指定します。
194 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
仮想ルーターの設定
[SPT しきい値] タブの設定
[Network] > [仮想ルーター] > [SPT しきい値]
以下の表に、[SPT しきい値] タブの設定を示します。
表 108. マルチキャスト設定 – [SPT しきい値] タブ
フィールド
説明
[SPT しきい値]
サブタブ
名前
最短パス ツリー (SPT) のしきい値では、マルチキャスト ルーティングで
共有ツリー配信(ランデブー ポイントが送信元)から送信元ツリー配信
に切り替えるスループット速度 (kbps) を定義します。
[追加] をクリックし、以下の SPT 設定を指定します。
• マルチキャスト グループ / プレフィックス — スループットが該当のし
きい値 (kbps) に達したときに SPT が送信元ツリー配信に切り替わるマ
ルチキャスト IP アドレス / プレフィックスを指定します。
• しきい値 — 共有ツリー配信から送信元ツリー配信に切り替わるスルー
プットを指定します。
[送信元固有のアドレス スペース] タブの設定
[Network] > [仮想ルーター] > [マルチキャスト] > [送信元固有のアドレス スペース]
以下の表に、[送信元固有のアドレス スペース] タブの設定を示します。
表 109. マルチキャスト設定 – [送信元固有のアドレス スペース] タブ
フィールド
説明
[送信元固有の
アドレス スペース]
サブタブ
名前
ファイアウォールで送信元特定マルチキャスト (SSM) サービスを提供す
るマルチキャスト グループを定義します。
[追加] をクリックし、送信元特定アドレスの以下の設定を指定します。
• 名前 — この設定のグループの識別に使用する名前を入力します。
• グループ — SSM アドレス空間のグループを指定します。
• 含まれる — 特定のグループを SSM アドレス空間に含めるには、この
チェック ボックスをオンにします。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 195
仮想ルーターの設定
セキュリティ ゾーンの定義
[Network] > [Zones]
ファイアウォール インターフェイスでトラフィックを処理するには、インターフェイスがセ
キュリティ ゾーンに割り当てられている必要があります。セキュリティ ゾーンを定義する
には、[新規] をクリックし、以下の情報を指定します。
表 110. セキュリティ ゾーン設定
フィールド
説明
名前
ゾーン名(最大 15 文字)を入力します。この名前は、セキュリティ ポ
リシーの定義時とインターフェイスの設定時にゾーンのリストに表示さ
れます。名前の大文字と小文字は区別されます。また、一意の名前にす
る必要があります。文字、数字、スペース、ハイフン、ピリオド、およ
びアンダースコアのみを使用してください。
場所
このフィールドは、デバイスが複数の仮想システム (vsys) をサポート
し、その機能が有効な場合にのみ表示されます。このゾーンに適用する
vsys を選択します。
タイプ
ゾーン タイプ([レイヤー 2]、[レイヤー 3]、[バーチャル ワイヤー]、
[タップ]、[外部仮想システム] のいずれか)を選択します。これによ
り、選択したタイプで、まだゾーンに割り当てられていないインター
フェイスがすべて表示されます。[レイヤー 2] および [レイヤー 3] ゾー
ン タイプでは、該当タイプの Ethernet インターフェイスとサブイン
ターフェイスがすべて表示されます。[外部仮想システム] タイプは、
ファイアウォール内の仮想システム間の通信に使用します。
各インターフェイスは、1 つの仮想システムの 1 つのゾーンに属するこ
とができます。
ゾーン プロテクション
プロファイル
セキュリティ ゲートウェイがこのゾーンからの攻撃に対応する方法を指
定したプロファイルを選択します。新しいプロファイルを追加する方法
については、「ゾーン プロテクション プロファイルの定義」を参照し
てください。
ログ設定
ゾーン プロテクション ログを外部システムに転送するためのログ転送
プロファイルを選択します。
デフォルトと指定されたログ転送プロファイルがある場合は、新しいセ
キュリティ ゾーンを定義するときに、このフィールドにこのプロファイ
ルが自動的に選択されます。続けて新しいセキュリティ ゾーンを定義す
るときに別のログ転送プロファイルを選択すれば、このデフォルト設定
をいつでもオーバーライドできます。新しいログ転送プロファイルを定
義または追加する(およびプロファイルをデフォルトに指定してこの
フィールドに自動入力されるようにする)には、[新規] をクリックしま
す(「ログの転送」を参照)。
196 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
仮想ルーターの設定
表 110. セキュリティ ゾーン設定 (続き)
フィールド
説明
User-ID の有効化
IP アドレスからユーザー名へのマッピング(検出)を実行するように
User-ID を設定した場合は、このチェック ボックスをオンにして、マッ
ピング情報をこのゾーンのトラフィックに適用します。このチェック
ボックスをオフにした場合は、ゾーン内のトラフィックのユーザー マッ
ピング情報がファイアウォール ログ、レポート、およびポリシーから除
外されます。
デフォルトでは、このチェック ボックスをオンにすると、ファイアウォー
ルは、ゾーンのすべてのサブネットワークのトラフィックにユーザー マッ
ピング情報を適用します。情報の適用先をゾーン内の特定のサブネット
ワークに制限するには、許可リストと除外リストを使用します。
User-ID がゾーンに対して検出を実行するのは、User-ID がモニターす
るネットワーク範囲内にゾーンが含まれる場合に限られます。ゾーンが
こ の 範囲に含まれていない場合は、たとえ [ ユーザー ID の有 効化]
チェック ボックスをオンにしても、ファイアウォールはユーザー マッ
ピング情報をゾーンのトラフィックに適用しません。モニター対象範囲
を定義する方法については、『PAN-OS 管理者ガイド』を参照してくだ
さい。
ユーザー ID ACL
許可リスト
デフォルトでは、このリストでサブネットワークを指定しない場合、
ファイアウォールは、ログ、レポート、およびポリシーで使用するため
に、検出したユーザー マッピング情報をゾーンのすべてのトラフィック
に適用します。ユーザー マッピング情報の適用先をゾーン内の特定のサ
ブネットワークに制限するには、サブネットワークごとに [追加] をク
リックし、アドレス(またはアドレス グループ)オブジェクトを選択す
るか、IP アドレス範囲(10.1.1.1/24 など)を入力します。他のすべての
サブネットワークの除外は暗黙的に行われます。除外リストに追加する
必要はありません。除外リストにエントリを追加するのは、許可リスト
の一部のサブネットワークのユーザー マッピング情報を除外する場合の
みです。たとえば、許可リストに 10.0.0.0/8 を追加し、除外リストに
10.2.50.0/22 を追加した場合、ファイアウォールは、10.2.50.0/22 を除
く、10.0.0.0/8 のずべてのゾーン サブネットワークのユーザー マッピン
グ情報を許可し、10.0.0.0/8 の外部のすべてのゾーン サブネットワーク
の情報を除外します。User-ID がモニターするネットワーク範囲に含ま
れるサブネットワークのみを許可できます。モニター対象範囲を定義す
る方法については、『PAN-OS 管理者ガイド』を参照してください。
ユーザー ID ACL
除外リスト
許可リストの一部のサブネットワークのユーザー マッピング情報を除外
するには、除外するサブネットワークごとに [追加] をクリックし、アド
レス(またはアドレス グループ)オブジェクトを選択するか、IP アド
レス範囲を入力します。
除外リストにエントリを追加したが、許可リストにはエントリを
追加しない場合、ファイアウォールは、追加したサブネットワー
クだけではなく、ゾーン内のすべてのサブネットワークのユー
ザー マッピング情報を除外します。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 197
仮想ルーターの設定
ECMP の構成要素
[Network] > [仮想ルーター] > [ルーター設定] > [ECMP]
ECMP (Equal Cost Multiple Path) 処理はネットワーキング機能の一つで、これを使用すると
ファイアウォールは、同じ宛先に対する等コストのルートを最大 4 つ使用できます。この機
能を使用しないときに、同じ宛先に対する等コストのルートが複数ある場合、仮想ルーター
は、それらのルートのいずれかをルーティング テーブルから選択し、その転送テーブルに追
加します。選択したルートが使用不能でない限り、他のルートは使用しません。仮想ルー
ターで ECMP 機能を有効にすると、ファイアウォールは、宛先に対する等コストのパスをそ
の転送テーブル内に最大 4 つ持つことができ、以下のことが可能になります。
• 同じ宛先に対するフロー(セッション)を複数の等コストのリンクで負荷分散する。
• 一部のリンクを未使用のままにせず、同じ宛先に対する複数のリンクで使用可能な帯域
幅を利用する。
• リンクに障害が発生した場合、ルーティング プロトコルまたは RIB テーブルが代替パス
を選択するのを待たずに、トラフィックを別の ECMP メンバー経由で同じ宛先に動的に
移動する。これは、リンクに障害が発生したときにダウン タイムを削減するのに役立ち
ます。
ECMP 負荷分散は、パケット レベルではなく、セッション レベルで実行されます。つま
り、ファイアウォールは、パケットを受信するたびではなく、新規セッションの開始時に等
コストのパスを選択します。
注:ECMP 機能を有効、無効にしたり、変更したりするには、ファイアウォールを
再起動する必要があります。これにより、セッションが終了する場合があります。
仮想ルーターの ECMP を設定するには、仮想ルーターを選択し、[ルーター設定] で [ECMP]
タブを選択した後、以下を設定します。
表 111 ECMP
フィールド
説明
[有効化] をクリックすると、ECMP が有効になります。
有効化
ECMP を有効、無効にしたり、変更したりするには、ファイアウォー
ルを再起動する必要があります。これにより、セッションが終了す
る場合があります。
対称リターン
[対称リターン] チェック ボックスをクリックすると、関連する入力パケット
が到着するのと同じインターフェイスから戻りパケットが出力されます(任
意)。つまり、ファイアウォールは、ECMP インターフェイスではなく、戻
りパケットを送信する入力インターフェイスを使用します。そのため、負荷
分散は、[対称リターン] の設定でオーバーライドされます。この動作は、ト
ラフィック フローがサーバーからクライアントに移動する場合にのみ実行さ
れます。
最大パス
RIB から FIB にコピーできる、宛先ネットワークに対する等コストのパスの
最大数(2、3、または 4)を選択します。デフォルト:2。
198 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
仮想ルーターの設定
表 111 ECMP
フィールド
説明
仮想ルーターで使用する ECMP 負荷分散アルゴリズムを以下から 1 つ選択し
ます。ECMP 負荷分散は、パケット レベルではなく、セッション レベルで実
行されます。つまり、ファイアウォール (ECMP) は、パケットを受信するた
びではなく、新規セッションの開始時に等コストのパスを選択します。
• IP モジュロ — デフォルトでは、仮想ルーターは、このオプションを使用し
てセッションを負荷分散します。このオプションでは、パケット ヘッダー
の送信元および宛先 IP アドレスのハッシュを使用して、使用する ECMP
ルートを決定します。
• IP ハッシュ — 送信元および宛先 IP アドレスに加えて、ポートをハッシュ
計算に含めるには、[送信元 / 宛先ポートの使用] をクリックします(任
意)。負荷分散をさらにランダム化するために、ハッシュ シード値(整
数)を入力することもできます。
メソッド
• 重み付きラウンド ロビン — このアルゴリズムを使用すると、さまざまなリ
ンクの容量や速度を考慮できます。このアルゴリズムを選択すると、[イン
ターフェイス] ウィンドウが開きます。[追加] をクリックし、重み付きラウ
ンド ロビン グループに含めるインターフェイスを選択します。インター
フェイスごとに、使用する重みを入力します。重みは、デフォルトで 100
に設定されています。重みの範囲は 1 ~ 255 です。特定の等コストのパス
の重みが大きくなるほど、その等コストのパスが新規セッションで選択さ
れる頻度が高くなります。高速のリンクには、低速のリンクよりも大きな
重みを与える必要があります。これにより、一層多くの ECMP トラフィッ
クが高速のリンクを通過するようになります。別のインターフェイスと重
みを追加するには、[追加] を再びクリックします。
• 均等ラウンド ロビン — 受信 ECMP セッションをリンク全体に均等に分散
します。
仮想ルーターの詳細ランタイム状態
仮想ルーターの行にある [詳細ランタイム状態] リンクをクリックすると、ウィンドウが開
き、その仮想ルーターに関する情報が表示されます。このウィンドウには、以下のタブが表
示されます。
• [ルーティング] タブ:「[ルーティング] タブ」を参照してください。
• [RIP] タブ:「[RIP] タブ」を参照してください。
• [BGP] タブ:「[BGP] タブ」を参照してください。
• [マルチキャスト] タブ:「[マルチキャスト] タブ」を参照してください。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 199
仮想ルーターの設定
[ルーティング] タブ
以下の表は、仮想ルーターのルーティングのランタイム状態を示しています。
表 112 ルーティングのランタイム状態
フィールド
説明
宛先
仮想ルータが到達できるネットワークの IPv4 アドレスおよびネットマスクま
たは IPv6 アドレスおよびプレフィックス長。
ネクスト ホップ
宛先ネットワーク方向のネクスト ホップにあるデバイスの IP アドレス。ネ
クスト ホップが 0.0.0.0 の場合は、デフォルト ルートを表します。
メトリック
ルートのメトリック。
フラグ
• A B — アクティブ、および BGP 経由で学習。
• A C — アクティブ、および内部インターフェイス(接続済み)の結果 - 宛先 =
ネットワーク。
• A H — アクティブ、および内部インターフェイス(接続済み)の結果 - 宛先 =
ホストのみ。
• A R — アクティブ、および RIP 経由で学習。
• A S — アクティブ、およびスタティック。
• S — 非アクティブ(このルートのメトリックがより高いため)、およびスタ
ティック。
• O1 — OSPF 外部タイプ -1。
• O2 — OSPF 外部タイプ -2。
• Oi — OSPF エリア内。
• Oo — OSPF 内部エリア。
エイジ
ルーティング テーブルのルート エントリのエイジ。スタティック ルートに
は、エイジはありません。
インターフェイス
ネクスト ホップに到達するために使用される仮想ルーターの出力インター
フェイス。
[RIP] タブ
以下の表は、仮想ルーターの RIP のランタイム状態を示しています。
表 113 RIP のランタイム状態
フィールド
説明
[サマリー]
サブタブ
間隔
間隔の秒数。この値は、更新、失効、および削除の間隔に影響を与えます。
更新間隔
仮想ルーターがピアに送信する RIP ルート通知更新間の間隔数。
失効の間隔
仮想ルーターがピアから受信した最後の更新以降の間隔数で、この間隔数を過
ぎると、仮想ルーターは、ピアからのルートを使用不可としてマークします。
削除間隔
ルートが使用不可としてマークされた後の間隔数で、この間隔数までに更新を
受信しない場合は、そのルートがルーティング テーブルから削除されます。
[インターフェ
イス] サブタブ
アドレス
RIP が有効な仮想ルーターのインターフェイスの IP アドレス。
200 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
仮想ルーターの設定
表 113 RIP のランタイム状態(続き)
フィールド
説明
認証タイプ
認証のタイプ。[簡易パスワード]、[MD5]、または [なし] があります。
送信許可
チェック マークが付いている場合、このインターフェイスは、RIP パケット
の送信が許可されています。
受信許可
チェック マークが付いている場合、このインターフェイスは、RIP パケット
の受信が許可されています。
デフォルト ルート
の通知
チェック マークが付いている場合、RIP は、デフォルト ルートをピアに通知
します。
デフォルト ルート
メトリック
デフォルト ルートに割り当てられたメトリック(ホップ数)。メトリック値
が低いほど、ルーティング テーブルでの優先度が高くなり、優先パスとして
選択されやすくなります。
キー ID
ピアに対して使用される認証キー。
優先
認証の優先キー。
[ピア] サブタブ
ピア アドレス
仮想ルーターの RIP インターフェイスに対するピアの IP アドレス。
最終更新
このピアから最終更新を受信した日時。
RIP バージョン
ピアが実行している RIP バージョン。
無効なパケット
このピアから受信した無効なパケット数。ファイアウォールが RIP パケット
を解析できない理由として、ルート境界を x バイト超えた、パケット内の
ルート数が多すぎる、サブネットが不適切、アドレスが無効、認証が失敗し
た、メモリが不十分などが考えられます。
無効なルーター
このピアから受信した無効なルート数。原因として、ルートが無効、イン
ポートが失敗した、メモリが不十分などが考えられます。
[BGP] タブ
以下の表は、仮想ルーターの BGP のランタイム状態を示しています。
表 114 BGP のランタイム状態
フィールド
説明
[サマリー]
サブタブ
ルーター ID
BGP インスタンスに割り当てられたルーター ID。
デフォルト ルート
の拒否
[デフォルト ルートの拒否] オプションが設定されているかどうかを示しま
す。このオプションを設定すると、仮想ルーターは、BGP ピアが通知したデ
フォルト ルートをすべて無視します。
デフォルト ルート
の再配信
[デフォルト ルートの再配信を許可] オプションが設定されているかどうかを
示します。
ルートのインス
トール
[ルートのインストール] オプションが設定されているかどうかを示します。
このオプションを設定すると、仮想ルーターは、グローバル ルーティング
テーブルに BGP ルートをインストールします。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 201
仮想ルーターの設定
表 114 BGP のランタイム状態(続き)
フィールド
説明
グレースフル
リスタート
[グレースフル リスタート] が有効かどうかを示します(サポート)。
AS サイズ
選択されている AS フォーマット サイズが 2 バイトと 4 バイトのいずれであ
るのかを示します。
ローカル AS
仮想ルーターが属する AS の番号。
ローカル メンバー
AS
ローカル メンバー AS の番号(仮想ルーターがコンフェデレーションに含ま
れている場合にのみ有効)。仮想ルーターがコンフェデレーションに含まれ
ていない場合、このフィールドは 0 です。
クラスタ ID
設定済みの リフレクタ クラスタ ID が表示されます。
デフォルト
ローカル設定
仮想ルーターに設定されたデフォルト ローカル設定が表示されます。
常に MED を比較
[常に MED を比較] オプションが設定されているかどうかを示します。この
オプションを設定すると、比較が有効になり、別の AS 内のネイバーから受
け取ったルートの中からルートを選択できます。
MED に関係なく
集約
[MED の集約] オプションが設定されているかどうかを示します。このオプ
ションを設定すると、ルートの MED 値が異なる場合でも、ルート集約が有
効になります。
決定論的 MED
処理
[決定論的 MED 比較] オプションが設定されているかどうかを示します。こ
のオプションを設定すると、比較が有効になり、IBGP ピア(同じ AS 内の
BGP ピア)から通知されたルートの中からルートを選択できます。
現在の RIB 出力
エントリ
RIB 出力テーブルのエントリ数。
ピーク RIB 出力
エントリ
任意の一時点で割り当てられた 隣接 RIB 出力ルートのピーク数。
[ピア] サブタブ
名前
ピアの名前。
グループ
このピアが属するピア グループの名前。
ローカル IP
仮想ルーターの BGP インターフェイスの IP アドレス。
ピア IP
ピアの IP アドレス。
ピア AS
ピアが属している AS。
パスワード セット
認証が設定されているかどうかが [はい] または [いいえ] で示されます。
状態
ピ ア の 状 態。[Active]、[Connect]、[Established]、[Idle]、[OpenConfirm]、
[OpenSent] などがあります。
状態の期間(秒)
ピアの状態の期間。
[ピア グループ]
サブタブ
グループ名
ピア グループの名前。
タイプ
設定されたピア グループのタイプ(EBGP や IBGP など)。
コンフェデレー
ション AS の集約
[コンフェデレーション AS の集約] オプションが設定されているかどうかが
[はい] または [いいえ] で示されます。
202 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
仮想ルーターの設定
表 114 BGP のランタイム状態(続き)
フィールド
説明
ソフト リセット
サポート
ピア グループでソフト リセットがサポートされているかどうかが [はい] ま
たは [いいえ] で示されます。BGP ピアに対するルーティング ポリシーが変
更されると、ルーティング テーブルの更新に影響が及ぶ場合があります。
BGP セッションに対しては、ハード リセットよりもソフト リセットが優先
されます。これは、ソフト リセットでは、BGP セッションをクリアせずに
ルーティング テーブルを更新できるからです。
ネクスト ホップ
セルフ
このオプションが設定されているかどうかが [はい] または [いいえ] で示され
ます。
次のホップ サード
パーティ
このオプションが設定されているかどうかが [はい] または [いいえ] で示され
ます。
プライベート AS の
削除
更新が送信される前に、プライベート AS 番号が AS_PATH 属性から削除さ
れるかどうかを示します。
[ローカル RIB]
サブタブ
プレフィックス
ローカル RIB (Routing Information Base) のネットワーク プレフィックスお
よびサブネット マスク。
フラグ
* は、ルートが最良の BGP ルートとして選択されたことを示します。
ネクスト ホップ
プレフィックス方向のネクスト ホップの IP アドレス。
ピア
ピアの名前。
重み
プレフィックスに割り当てられた重み属性。ファイアウォールが同じプレ
フィックスへのルートを複数持っている場合は、重みが最も大きいルートが
IP ルーティング テーブルにインストールされます。
ローカル設定
ルートのローカル設定属性。これは、出口が複数ある場合、プレフィックス
方向の出口を選択するために使用されます。低いローカル設定よりも高い
ローカル設定が優先されます。
AS パス
プレフィックス ネットワークへのパス内の AS のリスト。このリストは、
BGP 更新で通知されます。
元
プレフィックスの元属性。BGP はどのようにルートについて学習したか。
MED
ルートの MED (Multi-Exit Discriminator) 属性。MED は、ルートのメトリッ
ク属性です。これは、ルートを通知する AS によって、外部 AS に提案されま
す。高い MED よりも低い MED が優先されます。
フラップ数
ルートのフラップの数。
[RIB 出力]
サブタブ
プレフィックス
RIB (Routing Information Base) のネットワーク ルーティング エントリ。
ネクスト ホップ
プレフィックス方向のネクスト ホップの IP アドレス。
ピア
仮想ルーターがこのルートを通知するピア。
ローカル設定
プレフィックスにアクセスためのローカル設定属性。これは、出口が複数あ
る場合、プレフィックス方向の出口を選択するために使用されます。低い
ローカル設定よりも高いローカル設定が優先されます。
AS パス
プレフィックス ネットワークへのパス内の AS のリスト。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 203
仮想ルーターの設定
表 114 BGP のランタイム状態(続き)
フィールド
説明
元
プレフィックスの元属性。BGP はどのようにルートについて学習したか。
MED
プレフィックスに対する MED (Multi-Exit Discriminator) 属性。MED は、
ルートのメトリック属性です。これは、ルートを通知する AS によって、外
部 AS に提案されます。高い MED よりも低い MED が優先されます。
通知状態
ルートの通知状態。
集約状態
このルートが他のルートと集約されるかどうかを示します。
[マルチキャスト] タブ
以下の表は、仮想ルーターの IP マルチキャストのランタイム状態を示しています。
表 115 マルチキャストのランタイム状態
フィールド
説明
[FIB] サブタブ
グループ
仮想ルーターが転送するマルチキャスト グループ アドレス。
ソース
マルチキャスト送信元アドレス。
受信インターフェ
イス
マルチキャスト トラフィックを受信する仮想ルーターのインターフェイスを
示します。
[IGMP] >
[インターフェイス]
サブタブ
インターフェイス
IGMP が有効になっているインターフェイス。
バージョン
IGMP (Internet Group Management Protocol) のバージョン 1、2、または 3。
クエリ実行者
そのインターフェイスに対する IGMP クエリ実行者の IP アドレス。
クエリ実行者の
アップ タイム
IGMP クエリ実行者がアップしている時間の長さ。
クエリ実行者の失
効時間
現在の他のクエリ実行者の現行タイマーが期限切れになるまでの残り時間。
頑強性
IGMP インターフェイスの頑強性
グループ制限
インターフェイスで許可されたマルチキャスト グループの数。
送信元制限
インターフェイスで許可されたマルチキャスト送信元の数。
すぐに終了
[すぐに終了] が設定されているかどうかが [はい] または [いいえ] で示されま
す。[すぐに終了] を設定すると、インターフェイスに IGMP グループ固有の
クエリを送信せずに、仮想ルーターが転送テーブルからインターフェイスを
削除します。
[IGMP] >
[メンバーシップ]
サブタブ
インターフェイス
メンバーシップが属するインターフェイスの名前。
グループ
IP マルチキャスト グループ アドレス。
204 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
仮想ルーターの設定
表 115 マルチキャストのランタイム状態(続き)
フィールド
説明
ソース
マルチキャスト トラフィックの送信元アドレス。
アップ タイム
メンバーシップがアップしている時間の長さ。
失効時間
メンバーシップが失効するまでの残り時間の長さ。
フィルタ モード
送信元を許可するか除外します。仮想ルーターを設定し、すべてのトラ
フィックを許可する、この送信元(許可)からのトラフィックのみを許可す
る、またはこの送信元(除外)を除くすべての送信元からのトラフィックを
含めるようにします。
有効期限の除外
インターフェイスの除外状態が期限切れになるまでの残り時間。
V1 ホスト タイマー
インターフェイスに接続された IP サブネットに IGMP バージョン 1 メンバー
が存在しないとローカル ルーターが想定するまでの残り時間。
V2 ホスト タイマー
インターフェイスに接続された IP サブネットに IGMP バージョン 2 メンバー
が存在しないとローカル ルーターが想定するまでの残り時間。
[PIM] > [グループ
マッピング]
サブタブ
グループ
ランデブー ポイントにマップされたグループの IP アドレス。
RP
グループのランデブー ポイントの IP アドレス。
元
どこで仮想ルーターが RP について学習したかを示します。
PIM モード
[ASM] または [SSM]。
非アクティブ
グループから RP へのマッピングが非アクティブであることを示します。
[PIM] >
[インターフェイス]
サブタブ
インターフェイス
PIM に参加しているインターフェイスの名前。
アドレス
インターフェイスの IP アドレス。
DR
インターフェイスの指定ルーターの IP アドレス。
Hello 間隔
設定されている Hello 間隔(秒)。
結合 / プルーニング
間隔
設定されている結合 / プルーニング間隔(秒)。
アサート間隔
設定されているアサート間隔(秒)。
DR 優先順位
指定ルーターに設定されている優先順位。
BSR ボーダー
[はい] または [いいえ]。
[PIM ネイバー]
サブタブ
インターフェイス
仮想ルーターのインターフェイスの名前。
アドレス
ネイバーの IP アドレス。
セカンダリ
アドレス
ネイバーのセカンダリ IP アドレス。
アップ タイム
ネイバーがアップしている時間の長さ。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 205
VLAN サポートの設定
表 115 マルチキャストのランタイム状態(続き)
フィールド
説明
失効時間
仮想ルーターがネイバーから hello パケットを受信していないためにそのネ
イバーが期限切れになるまでの残り時間の長さ。
生成 ID
仮想ルーターがこのインターフェイスでネイバーから受信した最後の PIM
hello メッセージの値。
DR 優先順位
このネイバーからの最後の PIM hello メッセージで仮想ルーターが受信した
指定ルーターの優先順位。
VLAN サポートの設定
[Network] > [VLAN]
このファイアウォールでは、IEEE 802.1Q 標準に準拠する VLAN がサポートされています。
ファイアウォールに定義されたレイヤー 2 インターフェイスはそれぞれ VLAN に関連付ける
必要があります。同じ VLAN を複数のレイヤー 2 インターフェイスに割り当てることができ
ますが、各インターフェイスは 1 つの VLAN にのみ属することができます。
表 116. VLAN 設定
フィールド
説明
名前
VLAN 名(最大 31 文字)を入力します。この名前は、インターフェイ
スを設定するときに VLAN のリストに表示されます。名前の大文字と小
文字は区別されます。また、一意の名前にする必要があります。文字、
数字、スペース、ハイフン、およびアンダースコアのみを使用してくだ
さい。
VLAN インターフェイス
トラフィックを VLAN の外部にルーティングできるようにするには、
VLAN インターフェイスを選択します。VLAN インターフェイスを定義
する方法については、「VLAN インターフェイスの設定」を参照してく
ださい。
インターフェイス
VLAN のファイアウォール インターフェイスを指定します。
スタティック MAC 設定
MAC アドレスが到達するために経由する必要のあるインターフェイス
を指定します。これは、学習したインターフェイス対 MAC のマッピン
グよりも優先されます。
206 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
DHCP の設定
DHCP の設定
DHCP (Dynamic Host Configuration Protocol) は、TCP/IP およびリンク レイヤーの設定パ
ラメータを提供し、また TCP/IP ネットワーク上で動的に設定されたホストにネットワーク
アドレスを提供する標準プロトコルです。Palo Alto Networks ファイアウォールのインター
フェイスは、DHCP サーバー、クライアント、またはリレー エージェントとして機能できま
す。これらの役割を別々のインターフェイスに割り当てることで、ファイアウォールは複数
の役割を果たすことができます。
探している情報
以下を参照
DHCP について。
「DHCP の概要」
DHCP サ ー バ ー が ア ド レ ス
を割り当てる方法。
「DHCP アドレス」
DHCP サーバーの設定
方法。
「DHCP サーバーの構成要素」
DHCP リレー エージェントの設
定方法。
「DHCP リレーの構成要素」
DHCP クライアントの設定
方法。
「DHCP クライアントの構成要素」
基本的な例の確認。
「例:カスタム オプションを使用した DHCP サー
バーの設定」
その他の情報をお探しで
すか?
「DHCP」を参照してください。
DHCP の概要
[Network] > [DHCP]
DHCP では、通信のクライアント-サーバー モデルが使用されます。このモデルは、デバイ
スで実行できる 3 つの役割(DHCP クライアント、DHCP サーバー、DHCP リレー エー
ジェント)で構成されます。
• DHCP クライアント(ホスト)として機能するデバイスは、DHCP サーバーに IP アド
レスやその他の設定を要求できます。クライアント デバイスのユーザーは、設定の時間
と手間を省くことができます。また、DHCP サーバーから継承されるネットワークのア
ドレス計画やその他のネットワーク リソースおよびオプションを把握する必要もありま
せん。
• DHCP サーバーとして機能するデバイスは、クライアントにサービスを提供できます。
DHCP のアドレス メカニズムのいずれかを使用することで、管理者は設定時間を節約で
き、クライアントでネットワーク接続が不要になったときに、限られた数の IP アドレス
を再利用できます。サーバーは、IP アドレスと DHCP オプションを多数のクライアン
トに配信することもできます。
• DHCP リレー エージェントとして機能するデバイスは、ブロードキャストおよびユニキャ
スト DHCP メッセージをリッスンし、それらを DHCP クライアントおよびサーバー間
でリレーします。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 207
DHCP の設定
DHCP は、トランスポート プロトコルとして、User Datagram Protocol (UDP)、RFC 768 を
使用します。クライアントからサーバーに送信される DHCP メッセージは、ウェルノウン
ポート 67(UDP — ブートストラップ プロトコルおよび DHCP)に送信されます。サーバー
からクライアントに送信される DHCP メッセージは、ポート 68 に送信されます。
DHCP アドレス
DHCP サーバーからクライアントへの IP アドレスの割り当てまたは送信を行う方法は 3 つ
あります。
• 自動割り当て — DHCP サーバーは、その [IP プール] から永久的な IP アドレスをクライ
アントに割り当てます。ファイアウォールで [リース] が [無制限] として指定されている
場合、永久的な割り当てになります。
• 動的な割り当て — DHCP サーバーは、リースと呼ばれる最大期間で、アドレスの [IP
プール] の再利用可能な IP アドレスをクライアントに割り当てます。このアドレス割り
当て方法は、顧客の IP アドレス数が限られている場合に便利です。この方法では、ネッ
トワークへの一時的なアクセスのみが必要なクライアントに IP アドレスを割り当てるこ
とができます。
• 静的な割り当て — ネットワーク管理者はクライアントに割り当てる IP アドレスを選択
し、DHCP サーバーはその IP アドレスをクライアントに送信します。静的な DHCP 割
り当ては永久的です。これを行うには、DHCP サーバーを設定し、クライアント デバイ
スの [MAC アドレス] に対応するように [予約済みアドレス] を選択します。クライアン
トが切断(ログオフ、再起動、停電など)しても、DHCP の割り当てはそのまま保持さ
れます。
たとえば、LAN 上にプリンタがあり、DNS で LAN のプリンタの名前と IP アドレスが
関連付けられているために、その IP アドレスが頻繁に変わらないようにする場合、IP
アドレスの静的な割り当てが役立ちます。また、クライアント デバイスが何か重要な用
途で使用されていて、デバイスがオフになったり、プラグが抜かれたり、再起動したり、
停電が発生したりしても、同じ IP アドレスを保持する必要がある場合にも便利です。
[予約済みアドレス] を設定するときは、以下の点に注意してください。
– これは、[IP プール] のアドレスです。複数の予約済みアドレスを設定できます。
– [予約済みアドレス] を設定していない場合、サーバーのクライアントは、リースの有
効期限が切れたり、再起動したりすると、プールから新しい DHCP の割り当てを受
信します([リース] を [無制限] に設定している場合は除く)。
– [IP プール] のすべてのアドレスを [予約済みアドレス] として割り当てると、アドレ
スを要求する次の DHCP クライアントに自由に割り当てることができる動的なアド
レスがなくなります。
– [MAC アドレス] を設定せずに [予約済みアドレス] を設定できます。この場合、DHCP
サーバーは、どのデバイスにも [予約済みアドレス] を割り当てません。プールのいく
つかのアドレスを予約し、DHCP を使用せずに FAX やプリンタなどに静的に割り当
てることができます。
208 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
DHCP の設定
関連トピックへのリンクを以下に示します。
• 「DHCP サーバーの構成要素」
• 「DHCP リレーの構成要素」
• 「DHCP クライアントの構成要素」
• 「例:カスタム オプションを使用した DHCP サーバーの設定」
DHCP サーバーの構成要素
[Network] > [DHCP] > [DHCP サーバー]
以下のセクションでは、DHCP サーバーの各構成要素について説明します。DHCP サーバー
を設定する前に、仮想ルーターおよびゾーンに割り当てられるレイヤー 3 Ethernet またはレ
イヤー 3 VLAN インターフェイスを設定しておく必要があります。また、DHCP サーバーか
らクライアントに割り当てるように指定できる、ネットワーク計画の有効な IP アドレス
プールを把握している必要もあります。
DHCP サーバーを追加するときは、以下の表に示す設定を行います。その結果として、
DHCP サーバーの設定は、以下のようになります。
表 117. DHCP サーバー設定
フィールド
設定場所
インター
フェイス
DHCP サーバー
モード
新しい IP を割り
当てるときに IP
に Ping する
Palo Alto Networks
説明
DHCP サーバーとして機能するインターフェイスの名前。
DHCP サーバー
[有効] モードまたは [自動] モードを選択します。[自動]
モードでは、サーバーが有効になりますが、ネットワーク
で別の DHCP サーバーが検出された場合は無効になりま
す。[無効] 設定を指定すると、サーバーが無効になります。
リース
[新しい IP を割り当てるときに IP に Ping する] をクリッ
クすると、サーバーは、IP アドレスに ping してから、そ
のアドレスをクライアントに割り当てます。ping が応答を
受信した場合、そのアドレスは、すでに別のデバイスに設
定されているため、割り当てできないことを意味します。
サーバーがプールから次のアドレスを割り当てます。この
オプションを選択した場合は、表示されている [プローブ
IP] 列にチェック マークが付けられます。
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 209
DHCP の設定
表 117. DHCP サーバー設定(続き)
フィールド
設定場所
説明
リースのタイプを指定します。
リース
リース
• [無制限] を指定すると、サーバーは [IP プール] から動的
に IP アドレスを選択し、クライアントに永久的に割り当
てます。
• [タイムアウト] により、リースの継続時間が決まります。
[日] および [時間] の数値を入力し、必要に応じて [分] の
数値を入力します。
IP プール
リース
DHCP サーバーがアドレスを選択する IP アドレスのス
テートフル プールを指定し、DHCP クライアントに割り
当てます。
単一のアドレス、アドレス / <マスクの長さ>(例:
192.168.1.0/24)、またはアドレスの範囲(例:
192.168.1.10-192.168.1.20)を入力できます。
必要な場合は、DHCP サーバーで動的に割り当てない IP
プール内の IP アドレス(x.x.x.x 形式)を指定します。
予約済み
アドレス
リース
[MAC アドレス](xx:xx:xx:xx:xx:xx 形式)も指定した場合
は、その MAC アドレスに関連付けられたデバイスが
DHCP を通じて IP アドレスを要求したときに、予約済み
アドレスがそのデバイスに割り当てられます。
[なし](デフォルト)を選択するか、各種サーバーの設定
を DHCP サーバーに配信するソース DHCP クライアント
インターフェイスまたは PPPoE クライアント インター
フェイスを選択します。[継承ソース] を指定する場合は、
このソースから継承する以下のオプションを 1 つ以上選択
します。
継承ソース
オプション
継承ソースを指定する利点の 1 つは、ソース DHCP クライ
アントのアップストリームであるサーバーから DHCP オ
プションがすばやく転送されることです。また、継承ソー
スのオプションが変更されても、クライアントのオプショ
ンが常に最新の状態に維持される点も挙げられます。たと
えば、継承ソース デバイスで NTP サーバー(プライマリ
NTP サーバーとして識別されているサーバー)を置き換
えると、クライアントは自動的にプライマリ NTP サー
バーとして新しいアドレスを継承します。
210 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
DHCP の設定
表 117. DHCP サーバー設定(続き)
フィールド
設定場所
説明
オプション
[継承ソース] を選択した場合、[継承ソース状態のチェック]
をクリックすると、[ダイナミック IP インターフェイス状
態] ウィンドウが開き、DHCP クライアントから継承され
たオプションが表示されます。
ゲートウェイ
オプション
この DHCP サーバーと同じ LAN 上にはないデバイスに到
達するために使用するネットワーク ゲートウェイ(ファイ
アウォールのインターフェイス)の IP アドレスを指定し
ます。
サブネット
マスク
オプション
[IP プール] のアドレスに適用するネットワーク マスクを
指定します。
継承ソース状態
のチェック
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 211
DHCP の設定
表 117. DHCP サーバー設定(続き)
フィールド
設定場所
説明
以下のフィールドでドロップダウンをクリックし、[なし]
または [継承済み] を選択するか、そのサービスにアクセス
するために DHCP サーバーがクライアントに送信するリ
モート サーバーの IP アドレスを入力します。[継承済み] を
選択すると、DHCP サーバーはソース DHCP クライアント
から、[継承ソース] として指定された値を継承します。
DHCP サーバーはこれらの設定をクライアントに送信し
ます。
• プライマリ DNS、セカンダリ DNS — 優先および代替
DNS (Domain Name System) サーバーの IP アドレス。
オプション
オプション
• プライマリ WINS、セカンダリ WINS — 優先および代
替 WINS (Windows Internet Naming Service) サーバーの
IP アドレス。
• プライマリ NIS、セカンダリ NIS — 優先および代替 NIS
(Network Information Service) サーバーの IP アドレス。
• プライマリ NTP、セカンダリ NTP — 使用可能な NTP
(Network Time Protocol) サーバーの IP アドレス。
• POP3 サーバー — POP3 (Post Office Protocol version 3)
サーバーの IP アドレス。
• SMTP サーバー — Simple Mail Transfer Protocol (SMTP)
サーバーの IP アドレス。
• DNS サフィックス — 解決できない非修飾ホスト名が入
力されたときにクライアントがローカルで使用するサ
フィックス。
212 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
DHCP の設定
表 117. DHCP サーバー設定(続き)
フィールド
設定場所
説明
[追加] をクリックし、DHCP サーバーからクライアントに
送信するカスタム オプションの名前を入力します。
オプション コード(範囲 1 ~ 254)を入力します。
カ ス タ ム DHCP
オプション
オプション
オプション コード 43 を入力すると、[ベンダー クラス ID
(VCI)] フィールドが表示されます。クライアントのオプ
ション 60 から受信した VCI と比較する一致基準を入力し
ます。ファイアウォールは、クライアントのオプション 60 か
ら受信した VCI を検査し、専用の DHCP サーバー テーブ
ルで一致する VCI を検索し、それに対応する値をオプショ
ン 43 のクライアントに返します。VCI 一致基準は、文字
列または 16 進値です。16 進値のプレフィックスは「0x」
にする必要があります。
[DHCP サーバーの継承元から継承] をクリックすると、
サーバーは、そのオプション コードの値を継承元から継承
します。ユーザーが [オプション値] を入力する必要はあり
ません。
このチェック ボックスの代わりの方法として、以下の手順
を実行できます。
[オプション タイプ]:[IP アドレス]、[ASCII]、または [16
進数] を選択し、[オプション値] に使用するデータのタイ
プを指定します。
[オプション値] で [追加] をクリックし、カスタム オプショ
ンの値を入力します。
DHCP リレーの構成要素
[Network] > [DHCP] > [DHCP リレー]
DHCP リレー エージェントとしてファイアウォール インターフェイスを設定する前に、レ
イヤー 3 Ethernet またはレイヤー 3 VLAN インターフェイスが設定されていることと、イン
ターフェイスが仮想ルーターおよびゾーンに割り当てられていることを確認します。そのイ
ンターフェイスでクライアントとサーバー間の DHCP メッセージを渡すことができるように
します。インターフェイスでは、最大 4 個の外部 DHCP サーバーにメッセージを転送できま
す。クライアントの DHCPDISCOVER メッセージは、設定されたすべてのサーバーに送信
され、最初に応答したサーバーの DHCPOFFER メッセージは、要求したクライアントにリ
レーされます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 213
DHCP の設定
表 118. DHCP リレー設定
フィールド
設定場所
説明
インター
フェイス
DHCP リレー
DHCP リレー エージェントになるインターフェイスの
名前。
IPv4 / IPv6
DHCP リレー
指定する DHCP サーバーと IP アドレスのタイプを選択し
ます。
DHCP サーバー
IP アドレス
DHCP リレー
DHCP メッセージのリレー先およびリレー元の DHCP
サーバーの IP アドレスを入力します。
インター
フェイス
DHCP リレー
DHCP サーバーの IP アドレス プロトコルとして IPv6 を選
択し、マルチキャスト アドレスを指定した場合は、出力イ
ンターフェイスも指定する必要があります。
DHCP クライアントの構成要素
[Network] > [インターフェイス] > [Ethernet] > [IPv4]
[Network] > [インターフェイス] > [VLAN] > [IPv4]
DHCP クライアントとしてファイアウォール インターフェイスを設定する前に、レイヤー 3
Ethernet またはレイヤー 3 VLAN インターフェイスが設定されていることと、インターフェ
イスが仮想ルーターおよびゾーンに割り当てられていることを確認します。このタスクは、
DHCP を使用してファイアウォールのインターフェイスの IPv4 アドレスを要求する必要が
ある場合に実行します。
表 119. DHCP クライアント設定
フィールド
設定場所
説明
タイプ
IPv4
[DHCP クライアント] のラジオ ボタンをクリックし、[有
効化] をオンにして、インターフェイスを DHCP クライア
ントとして設定します。
サーバー提供の
デフォルト ゲー
トウェイを指す
デフォルト ルー
トを自動的に
作成
デフォルト
ルート メトリック
DHCP クライア
ント ランタイム
情報の表示
IPv4
ファイアウォールがデフォルト ゲートウェイへのスタ
ティック ルートを作成します。これは、ファイアウォール
のルーティング テーブルにルートを保持する必要がないた
め、クライアントが多数の宛先にアクセスする場合に便利
です。
IPv4
必要に応じて、ファイアウォールと DHCP サーバー間の
ルートの [デフォルト ルート メトリック](優先順位レベ
ル)を入力します。数値の低いルートほど、ルート選択時
の優先順位が高くなります。たとえば、メトリックが 10
のルートは、メトリックが 100 のルートよりも前に使用さ
れます。範囲は 1 ~ 65535 です。デフォルトのメトリック
はありません。
IPv4
DHCP のリース状態、ダイナ ミック IP 割り当て、サブ
ネット マスク、ゲートウェイ、サーバー設定(DNS、
NTP、ドメイン、WINS、NIS、POP3、および SMTP)な
ど、DHCP サーバーから受信したすべての設定が表示され
ます。
214 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
DHCP の設定
例:カスタム オプションを使用した DHCP サーバーの設定
以下の例では、ファイアウォールのインターフェイスが DHCP サーバーとして設定されま
す。この DHCP サーバーは、Cisco IP フォンの設定を送信する TFTP サーバーについての情
報を提供するために、オプション 66 および 150 を使用して設定されます。つまり、クライア
ントがサーバーからオプション 66 および 150 を要求すると、サーバーは、その応答としてこ
れらのオプション値を送信します。Cisco IP フォンは、TFTP サーバーからその設定を受信
します。DHCP オプション 66 は、TFTP サーバーのホスト名を提供します。オプション 150
は、TFTP サーバーの IP アドレスを提供します。
カスタム オプションを使用した DHCP サーバーの設定
1.
[Network] > [DHCP] > [DHCP サーバー] の順に選択します。
2.
DHCP サーバーとして機能するインターフェイスを選択します。
3.
[リース] タブで [タイムアウト] に 1 日を指定します。
4.
サーバーがクライアントに割り当てることのできる IP アドレスの範囲を [IP プール]
で指定します。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 215
DHCP の設定
カスタム オプションを使用した DHCP サーバーの設定
5.
[オプション] タブで、ネットワークのゲートウェイ アドレスとサブネット マスクを
入力します。
6.
この DHCP サーバーがクライアントに送信するサーバーのアドレスを入力します。
216 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
DNS プロキシの設定
カスタム オプションを使用した DHCP サーバーの設定
7.
カスタム DHCP オプションを入力するには、[追加] をクリックします。たとえば、
オプションの名前として VoIP フォンのホスト名、オプション コードとして 66 を入
力します。オプションの名前はクライアントに送信されません。これは、サーバーで
の識別を容易にするためです。
8.
[ASCIl] を選択します。
9.
[追加] をクリックしてオプション値 TFTPserver10 を入力し、[OK] をクリックします。
10. 別の DHCP オプションを入力するには、[追加] をクリックします。たとえば、別の
名前として VoIP フォンの IP アドレス、オプション コードとして 150 を入力しま
す。この名前は、データのタイプが異なるため、最初の名前とは別のものにする必要
があります。
11. [IP アドレス] を選択します。
12. [追加] をクリックしてオプション値 10.1.1.1(プライマリ TFTP サーバー アドレ
ス)を入力し、[OK] をクリックします。
13. [OK] をクリックしてから、[コミット] をクリックして設定を保存します。
DNS プロキシの設定
DNS サーバーは、ドメイン名から IP アドレス、および IP アドレスからドメイン名を解決す
るサービスを実行します。ファイアウォールを DNS プロキシとして設定すると、ファイア
ウォールは、クライアントとサーバーの仲介として機能し、DNS キャッシュからクエリを解
決することで DNS サーバーとしても機能します。このページは、ファイアウォールがどの
ような方法で DNS プロキシとして機能するかを設定する場合に使用します。
知りたい内容
以下を参照
ファイアウォール プロキシ DNS
の要求方法。
「DNS プロキシの概要」
DNS キャッシュの設定方法。
「DNS プロキシの構成要素」
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 217
DNS プロキシの設定
知りたい内容
以下を参照
スタティック FQDN から IP アド
レスへのマッピングの設定方法。
「DNS プロキシの構成要素」
DNS プロキシを管理するために
実行できるその他のアクション。
「その他の DNS プロキシ アクション」
DNS プロキシの概要
[Network] > [DNS プロキシ]
ドメイン名に基づいて DNS クエリを別の DNS サーバーに送信するには、ファイアウォール
を DNS プロキシとして設定し、使用する DNS サーバーを指定します。複数の DNS サー
バーを指定すると、DNS クエリを確実にローカライズし、効率を向上させることができま
す。たとえば、企業の DNS クエリはすべて企業の DNS サーバーに転送し、他のクエリはす
べて ISP DNS サーバーに転送できます。
内部ネットワーク設定に関する詳細を保護するために、セキュア トンネルを通じて DNS ク
エリを送信することもできます。この場合、認証や暗号化などのセキュリティ機能を使用で
きます。
ファイアウォールでは、インターフェイスの IP アドレスに送信されるすべての DNS クエリ
を対象に、ドメイン名のすべてまたは一部に基づいて異なる DNS サーバーへクエリを選択
的に送信できます。TCP または UDP の DNS クエリは、設定したインターフェイスを経由し
て送信されます。DNS クエリの回答が 1 つの UDP パケットに対して長すぎる場合、UDP ク
エリは TCP に切り替えられます。
インターフェイスには、DNS プロキシを定義するために以下のタブが含まれています。
• [DNS プロキシ ルール] — 名前、ドメイン名、およびプライマリ / セカンダリ DNS サー
バー設定を設定できます。
• スタティック エントリ — ホストによる DNS クエリに応答して提供されるスタティック
FQDN から IP アドレスへのマッピングを設定できます。
• [詳細] — キャッシュ、TCP クエリ、および UDP クエリ再試行を定義できます。
ドメイン名が DNS プロキシ キャッシュで見つからない場合、ファイアウォールは、(DNS
クエリが到達するインターフェイス上の)特定 DNS プロキシ オブジェクトのエントリの設
定に基づいて一致を検索し、一致結果に基づくネーム サーバーに転送します。一致するドメ
イン名が見つからない場合、デフォルトのネーム サーバーが使用されます。スタティック
エントリおよびキャッシュもサポートされています。
以下を参照
「DNS プロキシの構成要素」
「ポリシーまたはオブジェクトの移動またはコピー」
218 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
DNS プロキシの設定
DNS プロキシの構成要素
[Network] > [DNS プロキシ]
以下のセクションでは、ファイアウォールを DNS プロキシとしてセットアップするために
設定する各構成要素について説明します。
表 120. DNS プロキシ設定
フィールド
設定場所
説明
有効化
DNS プロキシ
DNS プロキシを有効にするには、このチェック ボックスをオン
にします。
名前
DNS プロキシ
DNS プロキシ オブジェクトの識別に使用する名前を指定します
(最大 31 文字)。名前の大文字と小文字は区別されます。ま
た、一意の名前にする必要があります。文字、数字、スペース、
ハイフン、およびアンダースコアのみを使用してください。
場所
DNS プロキシ
DNS プロキシ オブジェクトの適用先の仮想システムを指定しま
す。[共有] を選択した場合、[サーバー プロファイル] フィールド
は使用できません。プライマリおよびセカンダリの DNS サー
バー IP アドレスまたはアドレス オブジェクトを入力します。仮
想システムで DNS プロキシを使用するには、最初に DNS プロ
キシを設定する必要があります。[Device] > [仮想システム] に移
動し、仮想システムを選択してから、[DNS プロキシ] を選択し
ます。
継承ソース
DNS プロキシ
デフォルトの DNS サーバー設定を継承する送信元を選択しま
す。これは一般的に、ファイアウォールの WAN インターフェ
イスが DHCP または PPPoE でアドレス指定される支社の導入で
使用されます。
継承ソース状態
のチェック
DNS プロキシ
DHCP クライアント インターフェイスおよび PPPoE クライアン
ト インターフェイスに現在割り当てられているサーバー設定を
確 認 す る に は、リ ン ク を ク リ ッ ク し ま す。こ れ に は、DNS、
WINS、NTP、POP3、SMTP、または DNS サフィックスなどが
含まれます。
サーバー プロファイル
DNS プロキシ
新規 DNS サーバー プロファイルを選択または作成します。仮想
システムの場所を [共有] として指定した場合は、このフィール
ドは表示されません。
プライマリ
DNS プロキシ
デフォルトのプライマリおよびセカンダリ DNS サーバーの IP ア
ドレスを指定します。プライマリ DNS サーバーが見つからない
と、セカンダリ DNS サーバーが使用されます。
セカンダリ
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 219
DNS プロキシの設定
表 120. DNS プロキシ設定(続き)
フィールド
設定場所
説明
インターフェイス
DNS プロキシ
DNS プロキシ ルールをサポートするファイアウォール インター
フェイスを指定するには、インターフェイス チェック ボックス
をオンにします。ドロップダウン リストからインターフェイス
を選択し、[追加] をクリックします。複数のインターフェイスを
追加できます。インターフェイスを削除するには、インターフェ
イスを選択して [削除] をクリックします。
DNS プロキシをサービス ルート機能専用で使用している場合
は、インターフェイスは不要です。宛先サービス ルートで送信
元 IP アドレスを設定する場合、宛先サービス ルートは、イン
ターフェイスを持たない DNS プロキシとともに使用する必要が
あります。そうしない場合、DNS プロキシは、送信元として使
用するインターフェイス IP アドレスを選択します(DNS サービ
ス ルートが設定されていない場合)。
名前
[DNS プロキシ] >
[DNS プロキシ
ルール]
CLI 経由でエントリを参照および変更できるようにするには、名
前が必要です。
このマッピングによっ
て解決されるドメイン
のキャッシングをオン
にする
[DNS プロキシ] >
[DNS プロキシ
ルール]
このマッピングで解決されるドメインのキャッシュを有効にする
には、このチェック ボックスをオンにします。
ドメイン名
[DNS プロキシ] >
[DNS プロキシ
ルール]
[追加] をクリックし、プロキシ サーバーのドメイン名を入力し
ます。名前を追加する場合は、この操作を繰り返します。名前を
削除するには、名前を選択して [削除] をクリックします。DNS
プロキシ ルールでは、ワイルドカード文字列のトークンの数と
リクエストしたドメインのトークンの数が一致している必要があ
ります。たとえば、「*.engineering.local」と「engineering.local」
は一致しません。両方を指定する必要があります。
Primary/Secondary
[DNS プロキシ] >
[DNS プロキシ
ルール]
プライマリおよびセカンダリ DNS サーバーのホスト名または IP
アドレスを入力します。
名前
[DNS プロキシ] >
[スタティック エ
ントリ]
スタティック エントリの名前を入力します。
FQDN
[DNS プロキシ] >
[スタティック エ
ントリ]
[アドレス] フィールドで定義されたスタティック IP アドレスに
マッピングされる完全修飾ドメイン名 (FQDN) を入力します。
220 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
DNS プロキシの設定
表 120. DNS プロキシ設定(続き)
フィールド
設定場所
説明
アドレス
[DNS プロキシ] >
[スタティック
エントリ]
[追加] をクリックし、このドメインにマッピングする IP アドレ
スを入力します。
アドレスを追加する場合は、この操作を繰り返します。アドレス
を削除するには、アドレスを選択して [削除] をクリックします。
キャッシュ
[DNS プロキシ] >
[詳細]
DNS キャッシュを有効にするには、このチェック ボックスをオ
ンにして以下の情報を指定します。
• サイズ — キャッシュで保持するエントリ数を指定します(範囲
は 1024 ~ 10240、デフォルトは 1024)。
• Timeout — キャッシュされたすべてのエントリが削除されるま
での期間(時間)を指定します。DNS の time-to-live 値は、保
存されている期間が設定したタイムアウト期間よりも短い
キャッシュ エントリを削除するために使用されます。タイムア
ウトに従い、新しいクエリは解決されて再度キャッシュされま
す(範囲は 4 ~ 24 時間、デフォルトは 4 時間)
TCP クエリ
[DNS プロキシ] >
[詳細]
TCP を使用する DNS クエリを有効にするには、このチェック
ボックスをオンにします。ファイアウォールでサポートされる同
時未解決 TCP DNS 要求数の上限を [最大保留要求] フィールドに
指定します(範囲は 64 ~ 256、デフォルトは 64)。
UDP クエリの再試行
[DNS プロキシ] >
[詳細]
UDP クエリの再試行の設定を指定します。
• 間隔 — 応答を受信しなかった場合に別の要求が送信されるまで
の時間(秒)を指定します(範囲は 1 ~ 30 秒、デフォルトは
2 秒)。
• Attempts — 次の DNS サーバーが試行するまでの最大試行回数
(最初の試行は除く)を指定します(範囲は 1 ~ 30、デフォル
トは 5)。
その他の DNS プロキシ アクション
ファイアウォールを DNS プロキシとして設定した後、[Network] > [DNS プロキシ] ページ
で以下のアクションを実行し、DNS プロキシ設定を管理できます。
• [変更] — DNS プロキシを変更するには、DNS プロキシ設定の名前をクリックします。
• [削除] — DNS プロキシ エントリを選択し、[削除] をクリックすると、DNS プロキシ設
定が削除されます。
• [無効化] — DNS プロキシを無効にするには、DNS プロキシ エントリの名前をクリック
し、[有効化] を選択解除します。無効になっている DNS プロキシを有効にするには、
DNS プロキシ エントリの名前をクリックし、[有効化] を選択します。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 221
LLDP の設定
LLDP の設定
リンク レイヤー検出プロトコル (LLDP) では、リンク レイヤーの隣接するデバイスとその機
能を自動的に検出できます。
探している情報
以下を参照
LLDP について。
「LLDP の概要」
LLDP の設定方法。
「LLDP の構成要素」
LLDP プロファイルの設定方法。
「LLDP プロファイルの定義」
その他の情報をお探しで
すか?
「LLDP」を参照してください。
LLDP の概要
[Network] > [LLDP]
LLDP を使用すると、ファイアウォールは、LLDP データ ユニット (LLDPDU) を含む Ethernet
フレームをネイバーとの間で送受信できます。受信デバイスは、情報を MIB に保存します。
MIB にアクセスするには、SNMP (Simple Network Management Protocol) を使用します。
LLDP により、ネットワーク デバイスは、ネットワーク トポロジをマッピングし、接続され
ているデバイスの機能を知ることができます。これにより、トラブルシューティングが一層
容易になります。特に、ネットワーク トポロジでファイアウォールが通常検出されないバー
チャル ワイヤー デプロイメントにおいて、トラブルシューティングがより簡単に行えるよ
うになります。
LLDP の構成要素
[Network] > [LLDP]
ファイアウォールで LLDP を有効にするには、[編集] をクリックして [有効化] をクリックし
ます。デフォルト設定が環境に適していない場合は、以下の表に示す 4 つの設定を必要に応
じて行います。表の残りのエントリは、状態とピアの統計を示しています。
222 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
LLDP の設定
表 121. LLDP の設定および表示される情報
フィールド
設定場所または
表示場所
説明
送信間隔(秒)
LLDP
LLDPDU が送信される間隔を指定します。デフォルト:30 秒。範
囲:1 ~ 3600 秒。
LLDP
TLV (Type-Length-Value) 要素が変更された後に送信される LLDP
伝送間の遅延時間を指定します。多数のネットワーク変更により
LLDP 変更の数が急増した場合、またはインターフェイスがフラッ
プした場合は、この遅延により、セグメントが LLDPDU であふれ
ることが防止されます。[送信遅延] の値は、[送信間隔] よりも小さ
くする必要があります。デフォルト:2 秒。範囲:1 ~ 600 秒。
ホールド タイムの
間隔数
LLDP
TTL ホールド タイムの合計を求めるために [送信間隔] で乗算され
る値を指定します。TTL ホールド タイムは、ファイアウォールが
ピアからの情報を有効であるとして保持する時間の長さです。デ
フォルト:4。範囲:1 ~ 100。TTL ホールド タイムの最大値は、
乗数値にかかわらず 65535 秒です。
通知間隔
LLDP
MIB が変更されたときに Syslog および SNMP トラップ通知が送信
される間隔を指定します。デフォルト:5 秒。範囲:1 ~ 3600 秒。
望遠鏡フィルタ
状態
必要に応じて、フィルタ行にデータ値を入力し、灰色の矢印をク
リックします。これにより、そのデータ値を含む行のみが表示され
ます。フィルタをクリアするには、赤色の X をクリックします。
インターフェイス
状態
LLDP プロファイルが割り当てられているインターフェイスの名前。
LLDP
状態
LLDP の状態で、[有効] または [無効] のいずれかです。
モード
状態
インターフェイスの LLDP モードで、[Tx/Rx]、[Tx のみ]、または
[Rx のみ] のいずれかです。
プロファイル
状態
インターフェイスに割り当てられたプロファイルの名前。
送信合計
状態
インターフェイスから送信された LLDPDU の数。
送信遅延(秒)
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 223
LLDP の設定
表 121. LLDP の設定および表示される情報(続き)
フィールド
設定場所または
表示場所
説明
ドロップされた送信
状態
エラーが原因でインターフェイスから送信されなかった LLDPDU
の数。エラーの例としては、送信する LLDPDU をシステムが作成
中に発生した長さのエラーなどがあります。
受信合計
状態
インターフェイスで受信した LLDP フレームの数。
ドロップされた TLV
状態
受信時に破棄された LLDP フレームの数。
状態
インターフェイスで受信した TLV (Time-Length-Value) 要素のう
ち、エラーが含まれていたものの数。TLV エラーのタイプとして
は、1 つ以上の必須 TLV が欠落している、順序が適切でない、範
囲外の情報が含まれている、長さのエラーなどがあります。
認識不可
状態
インターフェイスで受信した TLV のうち、LLDP ローカル エー
ジェントで認識されないものの数。TLV が認識されない原因とし
ては、たとえば、TLV のタイプが予約済みの TLV の範囲内にある
ことなどが挙げられます。
エージアウト済み
状態
適切な TTL が期限切れになったために受信 MIB から削除された項
目の数。
LLDP 統計のクリア
状態
画面の下部にあるこのボタンをクリックすると、LLDP 統計がすべ
てクリアされます。
望遠鏡フィルタ
ピア
必要に応じて、フィルタ行にデータ値を入力し、灰色の矢印をク
リックします。これにより、そのデータ値を含む行のみが表示され
ます。フィルタをクリアするには、赤色の X をクリックします。
ローカル インター
フェイス
ピア
隣接するデバイスを検出したファイアウォール上のインターフェ
イス。
Remote Chassis ID
ピア
ピアのシャーシ ID。MAC アドレスが使用されます。
ポート ID
ピア
ピアのポート ID。
名前
ピア
ピアの名前。
詳細情報
ピア
このリンクをクリックすると、必須および任意の TLV に基づくリ
モート ピアの詳細が表示されます。
エラー
224 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
インターフェイス管理プロファイルの定義
表 121. LLDP の設定および表示される情報(続き)
フィールド
設定場所または
表示場所
説明
シャーシのタイプ
ピア
シャーシのタイプは MAC アドレスです。
MAC アドレス
ピア
ピアの MAC アドレス。
システム名
ピア
ピアの名前。
システムの説明
ピア
ピアの説明。
ポートの説明
ピア
ピアのポートの説明。
ポートのタイプ
ピア
インターフェイス名。
ポート ID
ピア
ファイアウォールは、インターフェイスの ifname を使用します。
システムの機能
ピア
システムの機能。O はその他、P はリピーター、B はブリッジ、
W はワイヤレス LAN、R はルーター、T は電話を表します。
有効になっている
機能
ピア
管理アドレス
ピア
ピアで有効になっている機能。
ピアの管理アドレス。
インターフェイス管理プロファイルの定義
[Network] > [ネットワーク プロファイル] > [インターフェイス管理]
ファイアウォールの管理に使用するプロトコルを指定するには、このページを使用します。
各インターフェイスに管理プロファイルを割り当てる方法については、「レイヤー 3 イン
ターフェイスの設定」と「レイヤ 3 サブインターフェイスの設定」を参照してください。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 225
モニター プロファイルの定義
表 122. インターフェイス管理プロファイル設定
フィールド
説明
名前
プロファイル名(最大 31 文字)を入力します。この名前は、インター
フェイスを設定するときにインターフェイス管理プロファイルのリスト
に表示されます。名前の大文字と小文字は区別されます。また、一意の
名前にする必要があります。文字、数字、スペース、ハイフン、および
アンダースコアのみを使用してください。
ping
プロファイルを割り当てるインターフェイス上で有効にするサービスご
とにチェック ボックスをオンにします。
Telnet
SSH
HTTP
HTTP OCSP
HTTPS
SNMP
応答ページ
User-ID
ユーザー ID Syslog
リスナー SSL
[応答ページ] チェック ボックスをオンにすると、[キャプティブ ポータ
ル] 応答ページにサービスを提供するために使用されるポートがレイ
ヤー 3 インターフェイス上で開いたままになります。NTLM の場合は
ポート 6080、透過的モードのキャプティブ ポータルの場合は 6081、リ
ダイレクト モードのキャプティブ ポータルの場合は 6082 が開いたまま
になります。
[User-ID] チェック ボックスをオンにすると、あるファイアウォールが
別のファイアウォールにユーザー マッピングとグループ マッピングの
情報を再配信するときにファイアウォール間の通信が有効になります。
詳細は、「[User-ID エージェント] タブ」を参照してください。
ユーザー ID Syslog
リスナー UDP
アクセス許可
IP アドレス
ファイアウォールを管理できる IPv4 または IPv6 アドレスのリストを入
力します。
モニター プロファイルの定義
[Network] > [ネットワーク プロファイル] > [モニター]
モニター プロファイルは、IPSec トンネルをモニターする場合や、ポリシーベースの転送
(PBF) ルールのネクストホップ デバイスをモニターする場合に使用されます。どちらの場合
も、モニター プロファイルは、リソース(IPSec トンネルまたはネクストホップ デバイス)
が使用できなくなった場合に実行するアクションを指定するために使用されます。モニター
プロファイルは任意ですが、サイト間の接続を持続し、PBF ルールを確実に維持するのに非
常に効果的です。モニター プロファイルの設定には以下の設定が使用されます。
226 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ゾーン プロテクション プロファイルの定義
表 123. モニター設定
フィールド
説明
名前
モニター プロファイルの識別に使用する名前を入力します(最大 31 文
字)。名前の大文字と小文字は区別されます。また、一意の名前にする
必要があります。文字、数字、スペース、ハイフン、およびアンダース
コアのみを使用してください。
アクション
トンネルを使用できないときに実行するアクションを指定します。ハー
トビート喪失の許容発生回数がしきい値に達すると、指定したアクショ
ンがファイアウォールによって実行されます。
• wait-recover — トンネルが回復するまで待機します。他のアクションは実
行しません。パケットは、PBF ルールに従って引き続き送信されます。
• fail-over — トラフィックをバックアップ パスにフェイルオーバーしま
す(使用可能な場合)。ファイアウォールはルーティング テーブル検
索を使用してこのセッション中のルーティングを判別します。
どちらの場合も、早く回復できるようにファイアウォールによって新し
い IPsec キーがネゴシエートされます。
間隔
ハートビート間隔(2 ~ 10。デフォルトは 3)を指定します。
しきい値
ハートビート喪失の発生回数(2 ~ 100、デフォルトは 5)を指定しま
す。この回数に超えると指定したアクションがファイアウォールによっ
て実行されます。
ゾーン プロテクション プロファイルの定義
[Network] > [Network Profiles] > [Zone Protection]
ゾーン プロテクション プロファイルは、ごく一般的なフラッド、偵察行為攻撃、その他の
パケット ベースの攻撃から保護します。このプロファイルは、ingress ゾーン(トラフィッ
クがファイアウォールに進入するゾーン)での幅広い保護を目的とするもので、特定のエン
ド ホストや特定の宛先ゾーンに進入するトラフィックを阻止するものではありません。ファ
イアウォールのゾーン プロテクション機能を補完する目的で、特定のゾーン、インターフェ
イス、IP アドレス、ユーザーなどに対応する DoS 保護ルールベースを使用します。
注:ゾーン プロテクションは、パケットに一致するセッションがない場合にのみ適用されます。パ
ケットが既存のセッションに一致する場合は、ゾーン プロテクション設定をバイパスします。
ゾーン プロテクション プロファイルを設定するには、[追加] をクリックして以下の設定を指
定します。
表 124. ゾーン プロテクション プロファイル設定
フィールド
説明
名前
プロファイル名(最大 31 文字)を入力します。この名前は、ゾーンを設
定するときにゾーン プロテクション プロファイルのリストに表示され
ます。名前の大文字と小文字は区別されます。また、一意の名前にする
必要があります。文字、数字、スペース、およびアンダースコアのみを
使用してください。
説明
ゾーン プロテクション プロファイルの任意の説明を入力します。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 227
ゾーン プロテクション プロファイルの定義
ゾーン プロテクション プロファイルを定義するときは、[全般] タブと、ネットワーク トポ
ロジで必要となる以下のタブで設定を指定する必要があります。
• [フラッド防御] タブ:「フラッド防御の設定」を参照してください。
• [偵察行為防御] タブ:「偵察行為防御の設定」を参照してください。
• [パケット ベースの攻撃保護] タブ:「パケット ベースの攻撃保護の設定」を参照してく
ださい。
複数の仮想システムがある環境で、以下を有効にしている場合は、
• 仮想システム間の通信が可能な外部ゾーン
• 仮想システムが外部通信に共通インターフェイスおよび 1 つの IP アドレスを共
有できる共有ゲートウェイ
以下のゾーンおよび DoS 保護メカニズムが、外部ゾーンで無効になります。
• SYN Cookie
• IP フラグメント
• ICMPv6
IP フラグメントと ICMPv6 防御を有効にするには、共有ゲートウェイ用のゾーン
プロテクション プロファイルを作成する必要があります。
共有ゲートウェイで SYN フラッドから保護するには、ランダム早期ドロップまた
は SYN Cookie のいずれかを設定した SYN フラッド防御プロファイルを適用でき
ます。外部ゾーンでは、SYN フラッド防御にランダム早期ドロップのみを使用で
きます。
フラッド防御の設定
[Network] > [ネットワーク プロファイル] > [ゾーン プロテクション] > [フラッド防御]
以下の表に、[フラッド防御] タブの設定を示します。
表 125. [フラッド防御] タブ設定
フィールド
説明
フラッド防御のしきい値 - SYN フラッド
アクション
SYN フラッド攻撃に対して実行するアクションを選択します。
• ランダム早期ドロップ — フラッド攻撃を軽減するために SYN パケッ
トを廃棄します。
– フローが [アラート] 率のしきい値を上回ると、アラームが生成され
ます。
– フローが [アクティベーション] 率のしきい値を上回ると、フローを
制限するために個々の SYN パケットをランダムに廃棄します。
– フローが [最大] 率のしきい値を上回ると、すべてのパケットを廃棄
します。
• SYN Cookie — 未確立のコネクションをメモリに保存する必要のない
SYN-ACK パケットのシーケンス番号を計算します。この方法をお勧
めします。
228 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ゾーン プロテクション プロファイルの定義
表 125. [フラッド防御] タブ設定(続き)
フィールド
説明
アラート
(パケット / 秒)
攻撃アラームをトリガーしたゾーンで 1 秒間に受信される SYN パケット
の数を入力します。アラームは、ダッシュボード(「ダッシュボードの
使用」を参照)と脅威ログ(「パケット キャプチャの実行」を参照)で
確認できます。
アクティベーション
(パケット / 秒)
指定したアクションをトリガーしたゾーンで 1 秒間に受信される SYN パ
ケットの数を入力します。
最大(パケット / 秒)
1 秒間に受信可能な SYN パケットの最大数を入力します。最大数を超過
した分のパケットは廃棄されます。
Flood Protection Thresholds - ICMP Flood
アラート
(パケット / 秒)
攻撃アラームをトリガーした宛先と同じ宛先について 1 秒間に受信され
る ICMP エコー リクエスト (ping) の数を入力します。
アクティベーション
(パケット / 秒)
後続の ICMP パケットを廃棄するゾーンで 1 秒間に受信される ICMP パ
ケットの数を入力します。
最大(パケット / 秒)
1 秒間に受信可能な ICMP パケットの最大数を入力します。最大数を超
過した分のパケットは廃棄されます。
フラッド防御のしきい値 - ICMPv6
アラート
(パケット / 秒)
攻撃アラームをトリガーした宛先と同じ宛先について 1 秒間に受信され
る ICMPv6 エコー リクエスト (ping) の数を入力します。
アクティベーション
(パケット / 秒)
後続の ICMPv6 パケットを廃棄するゾーンについて 1 秒間に受信される
ICMPv6 パケットの数を入力します。ICMPv6 パケット数がしきい値を
下回ると、計測は停止します。
最大(パケット / 秒)
1 秒間に受信可能な ICMPv6 パケットの最大数を入力します。最大数を
超過した分のパケットは廃棄されます。
フラッド防御のしきい値 - UDP
アラート
(パケット / 秒)
攻撃アラームをトリガーしたゾーンで 1 秒間に受信される UDP パケッ
トの数を入力します。
アクティベーション
(パケット / 秒)
UDP パケットのランダムな廃棄をトリガーしたゾーンで 1 秒間に受信さ
れる UDP パケットの数を入力します。UDP パケット数がしきい値を下
回ると、レスポンスは無効になります。
最大(パケット / 秒)
1 秒間に受信可能な UDP パケットの最大数を入力します。最大数を超過
した分のパケットは廃棄されます。
フラッド防御のしきい値 - その他の IP
アラート
(パケット / 秒)
攻撃アラームをトリガーしたゾーンで 1 秒間に受信される IP パケットの
数を入力します。
アクティベーション
(パケット / 秒)
IP パケットのランダムな廃棄をトリガーしたゾーンで 1 秒間に受信され
る IP パケットの数を入力します。IP パケット数がしきい値を下回る
と、レスポンスは無効になります。最大数を超過した分のパケットは廃
棄されます。
最大(パケット / 秒)
1 秒間に受信可能な IP パケットの最大数を入力します。最大数を超過し
た分のパケットは廃棄されます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 229
ゾーン プロテクション プロファイルの定義
偵察行為防御の設定
[Network] > [ネットワーク プロファイル] > [ゾーン プロテクション] > [偵察行為防御]
以下の表に、[偵察行為防御] タブの設定を示します。
表 126. [偵察行為防御] タブ設定
フィールド
説明
偵察行為防御 - TCP ポート スキャン、UDP ポート スキャン、ホスト スイープ
間隔(秒)
ポート スキャンおよびホスト スイープ検出の時間間隔を入力します
(秒単位)。
しきい値(イベント)
指定した時間間隔内のポート スキャン数のしきい値を入力します。この値
に達するとこのプロテクション タイプ(イベント)がトリガーされます。
アクション
このイベント タイプに対してシステムが実行するアクションを入力し
ます。
• 許可 — ホスト スイープ偵察行為のポート スキャンを許可します。
• アラート — 指定した時間間隔内でスキャンまたはスイープがしきい値
に達するたびにアラートを生成します。
• ブロック — 指定した時間間隔が終わるまで、送信元から宛先へのそれ
以降のパケットをすべて廃棄します。
• ブロック IP — 指定した期間それ以降のパケットをすべて廃棄します。
送信元トラフィック、宛先トラフィックまたは送信元トラフィックと
宛先トラフィックの組み合わせをブロックするかどうかを選択し、期
間(秒)を入力します。
IPv6 のパケットのドロップ
タイプ 0 のルーティング
ヘッダー
タイプ 0 のルータ ヘッダーを含む IPv6 パケットを廃棄するには、この
チェック ボックスをオンにします。
IPv4 互換アドレス
IPv4 互換アドレスを含む IPv6 パケットを廃棄するには、このチェック
ボックスをオンにします。
マルチキャスト送信元
アドレス
マルチキャスト送信元アドレスを含む IPv6 パケットを廃棄するには、
このチェック ボックスをオンにします。
エニーキャスト送信元
アドレス
エニーキャスト送信元アドレスを含む IPv6 パケットを廃棄するには、
このチェック ボックスをオンにします。
パケット ベースの攻撃保護の設定
[Network] > [ネットワーク プロファイル] > [ゾーン プロテクション] > [パケット ベース
の攻撃保護]
パケット ベースの攻撃保護の設定には以下のタブが使用されます。
• [TCP/IP ドロップ]:「[IP ドロップ] タブの設定」を参照してください。
• [TCP ドロップ]:「[TCP ドロップ] タブの設定」を参照してください。
• ICMP ドロップ:「[ICMP ドロップ] タブの設定」を参照してください。
230 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ゾーン プロテクション プロファイルの定義
• IPv6 ドロップ:「[IPv6 ドロップ] タブの設定」を参照してください。
• ICMPv6:「[ICMPv6 ドロップ] タブの設定」を参照してください。
[IP ドロップ] タブの設定
[IP ドロップ] を設定するには、以下の設定を指定します。
表 127. [パケット ベースの攻撃保護] タブ設定
フィールド
説明
[IP ドロップ]
サブタブ
スプーフされた
IP アドレス
IP アドレス スプーフィングに対する防御を有効にするには、このチェッ
ク ボックスをオンにします。
厳密な IP アドレス
チェック
フラグメントされた
トラフィック
フラグメント化された IP パケットを廃棄します。
IP オプションのドロップ
ストリクト ソース
ルーティング
[ストリクト ソース ルーティング] IP オプションが設定されたパケット
を廃棄します。
ルーズ ソース
ルーティング
[ルーズ ソース ルーティング] IP オプションが設定されたパケットを廃
棄します。
タイムスタンプ
[タイムスタンプ] IP オプションが設定されたパケットを廃棄します。
レコード ルート
[レコード ルート] IP オプションが設定されたパケットを廃棄します。
セキュリティ
セキュリティ オプションが定義されている場合、パケットを廃棄します。
ストリーム ID
ストリーム ID が定義されている場合、パケットを廃棄します。
不明
クラスと番号が不明な場合、パケットを廃棄します。
異常な形式
RFC 791、1108、1393、2113 に基づいてクラス、番号、長さの組み合わ
せに誤りがある場合、パケットを廃棄します。
重複する TCP セグメン
トの不一致
この設定によって、ファイアウォールが重複の不一致をレポートし、セ
グメント データが以下のシナリオに一致しない場合はパケットを廃棄し
ます。
• セグメントが別のセグメント内にある。
• セグメントが別のセグメントの一部と重複する。
• セグメントが別のセグメントを完全に含んでいる。
この保護メカニズムは、シーケンス番号を使用して、TCP データ スト
リーム内のどこにパケットが存在するかを判別します。
TCP タ イ ム ス タ ン プ の
削除
Palo Alto Networks
パケットのヘッダーに TCP タイムスタンプがあるかどうかを判断し、あ
る場合はヘッダーから除去します。
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 231
ゾーン プロテクション プロファイルの定義
表 127. [パケット ベースの攻撃保護] タブ設定(続き)
フィールド
説明
非 SYN TCP の拒否
TCP セッション セットアップの最初のパケットが SYN パケットではな
い場合にパケットを拒否するかどうかを決定します。
• グローバル — CLI で割り当てたシステム全体の設定を使用します。
• はい — 非 SYN TCP を拒否します。
• いいえ — 非 SYN TCP を受け入れます。非 SYN TCP トラフィックを
受け入れると、ブロックの発生後にクライアント接続やサーバー接続
が設定されていない場合にファイル ブロッキング ポリシーが正常に動
作しない可能性があります。
非対称パス
同期していない ACK またはウィンドウ外のシーケンス番号を含むパ
ケットをドロップするかバイパスするかを決定します。
• global — CLI で割り当てたシステム全体の設定を使用します。
• drop — 非対称パスを含むパケットをドロップします。
• bypass — 非対称パスを含むパケットでスキャンをバイパスします。
[TCP ドロップ] タブの設定
[TCP ドロップ] を設定するには、以下の設定を指定します。
表 128 [TCP ドロップ] タブ設定
フィールド
説明
重複する TCP セグ
メントの不一致
ファイアウォールが重複の不一致をレポートし、セグメント データが以下の
シナリオに一致しない場合はパケットを廃棄します。
• セグメントが別のセグメント内にある。
• セグメントが別のセグメントの一部と重複する。
• セグメントが別のセグメントを完全に含んでいる。
この保護メカニズムは、シーケンス番号を使用して、TCP データ ストリーム
内のどこにパケットが存在するかを判別します。
スプリット ハンド
シェイク
セッション確立手順で、よく知られている 3 ウェイ ハンドシェークが使用さ
れない場合、TCP セッションが確立されないようにします。許可されないバ
リエーションの例として、4 ウェイまたは 5 ウェイのスプリット ハンドシェ
イク確立手順や同時オープン セッション確立手順などがあります。
Palo Alto Networks の次世代ファイアウォールは、[スプリット ハンドシェイ
ク] を設定しなくても、セッションおよびすべてのレイヤー 7 プロセスを適切
に処理して、スプリット ハンドシェイクと同時オープン セッションを確立し
ます。このオプションをゾーン プロテクション プロファイルに対して設定
し、プ ロ フ ァ イルをゾーンに適用するときは、標準的な 3 ウェイハンド
シェークを使用して、そのゾーンのインターフェイスの TCP セッションを確
立する必要があります。バリエーションは許可されません。
232 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ゾーン プロテクション プロファイルの定義
表 128 [TCP ドロップ] タブ設定
フィールド
説明
非 SYN TCP の拒否
TCP セッション セットアップの最初のパケットが SYN パケットではない場
合にパケットを拒否するかどうかを決定します。
• グローバル — CLI で割り当てたシステム全体の設定を使用します。
• はい — 非 SYN TCP を拒否します。
• いいえ — 非 SYN TCP を受け入れます。非 SYN TCP トラフィックを受け入
れると、ブロックの発生後にクライアント接続やサーバー接続が設定され
ていない場合にファイル ブロッキング ポリシーが正常に動作しない可能性
があります。
非対称パス
同期していない ACK またはウィンドウ外のシーケンス番号を含むパケット
をドロップするかバイパスするかを決定します。
• global — CLI で割り当てたシステム全体の設定を使用します。
• drop — 非対称パスを含むパケットをドロップします。
• bypass — 非対称パスを含むパケットでスキャンをバイパスします。
TCP タイムスタンプ
の削除
パケットのヘッダーに TCP タイムスタンプがあるかどうかを判断し、ある場
合はヘッダーから除去します。
[ICMP ドロップ] タブの設定
[ICMP ドロップ] を設定するには、以下の設定を指定します。
表 129. [ICMP ドロップ] タブ設定
フィールド
説明
[ICMP ドロップ]
サブタブ
ICMP ping ID 0
ICMP ping パケットの識別子の値が 0 の場合、パケットを廃棄します。
ICMP フラグメント
ICMP フラグメントで構成されるパケットを廃棄します。
ICMP 大型パケット
(>1024)
1024 バイトを超える ICMP パケットを廃棄します。
エラー メッセージとと
もに組み込まれている
ICMP を破棄
エラー メッセージとともに組み込まれている ICMP パケットを廃棄し
ます。
ICMP TTL 失効エラーを
抑制
ICMP TTL の有効期限切れメッセージの送信を停止します。
ICMP フラグメント要求
メッセージを抑制
インターフェイスの MTU を超えたパケットに対する ICMP フラグメン
ト要求メッセージの送信を停止し、フラグメントなし (DF) ビットを設定
します。この設定により、ファイアウォールの背後のホストで PMTUD
プロセスが実行されなくなります。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 233
ゾーン プロテクション プロファイルの定義
[IPv6 ドロップ] タブの設定
[IPv6 ドロップ] を設定するには、以下の設定を指定します。
表 130. [IPv6 ドロップ] タブ設定
フィールド
説明
[IPv6 ドロップ]
サブタブ
タイプ 0 のルーティング
ヘッダー
タイプ 0 のルーティング ヘッダーを含む IPv6 パケットを廃棄します。
タイプ 0 のルーティング ヘッダーについては、『RFC 5095』を参照し
てください。
IPv4 互換アドレス
RFC 4291 IPv4 互換 IPv6 アドレスとして定義された IPv6 パケットを破
棄します。
エニーキャスト送信元ア
ドレス
エニーキャスト送信元アドレスを含む IPv6 パケットを廃棄します。
不要なフラグメント
ヘッダー
最終フラグメント フラグ (M=0) を含み、オフセットがゼロの IPv6 パ
ケットを破棄します。
1280 バイト未満の ICMP
の MTU(パケットが大
きすぎる)
最大転送単位 (MTU) が 1280 バイト未満のときは、パケットが大きすぎ
るという ICMPv6 メッセージを含む IPv6 パケットを破棄します。
Hop-by-Hop extension
(ホップ バイ ホップ
拡張)
ホップ バイ ホップ オプション拡張ヘッダーを含む IPv6 パケットを廃棄
します。
Routing extension
(ルーティング拡張)
ルーティング拡張ヘッダーを含む IPv6 パケットを破棄します。ルー
ティング拡張ヘッダーを含むパケットは、宛先に到達する途中で 1 つ以
上の中間ノードを経由します。
Destination extension
(宛先の拡張)
宛先オプション拡張を含む IPv6 パケットを破棄します。宛先オプショ
ン拡張には、パケットの宛先のみを対象としたオプションが含まれてい
ます。
拡張子ヘッダー内の
無効な IPv6 オプション
無効な IPv6 オプションが拡張ヘッダーに含まれる IPv6 パケットを破棄
します。
ゼロ以外の予約フィー
ルド
ヘッダーの予約フィールドにゼロが設定されていない IPv6 パケットを
破棄します。
[ICMPv6 ドロップ] タブの設定
[ICMPv6 ドロップ] を設定するには、以下の設定を指定します。
表 131. [ICMPv6 ドロップ] タブ設定
フィールド
説明
[ICMPv6] サブタブ
ICMPv6 宛先に到達不能 明示的なセキュリティ
ルールの一致が必要です
既存のセッションと関連付けられている場合でも、ICMPv6 宛先到達不
能エラーに対して明示的なセキュリティ ルールの一致が必要です。
234 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
LLDP プロファイルの定義
表 131. [ICMPv6 ドロップ] タブ設定 (続き)
フィールド
説明
ICMPv6 パケットが大き
すぎます - 明示的なセ
キュリティ ルールの一
致が必要です
既存のセッションと関連付けられている場合でも、ICMPv6 パケットが大
きすぎるエラーに対して明示的なセキュリティ ルールの一致が必要です。
ICMPv6 時間超過 - 明示
的なセキュリティ ルー
ルの一致が必要です
既存のセッションと関連付けられている場合でも、ICMPv6 時間超過エ
ラーに対して明示的なセキュリティ ルールの一致が必要です。
ICMPv6 パラメータの問
題 - 明示的なセキュリ
ティ ルールの一致が必
要です
既存のセッションと関連付けられている場合でも、ICMPv6 パラメータ
の問題エラーに対して明示的なセキュリティ ルールの一致が必要です。
ICMPv6 リダイレクト 明示的なセキュリティ
ルールの一致が必要です
既存のセッションと関連付けられている場合でも、ICMPv6 メッセージ
のリダイレクト エラーに対して明示的なセキュリティ ルールの一致が
必要です。
LLDP プロファイルの定義
探している情報
以下を参照
LLDP について。
「LLDP の概要」
LLDP の設定方法。
「LLDP の構成要素」
LLDP プロファイルの設定
方法。
「LLDP プロファイルの構成要素」
その他の情報をお探しで
すか?
「LLDP」を参照してください。
LLDP プロファイルの構成要素
[Network] > [ネットワーク プロファイル] > [LLDP プロファイル]
リンク レイヤー検出プロトコル (LLDP) プロファイルでは、ファイアウォールの LLDP モー
ドの設定、Syslog および SNMP 通知の有効化、および LLDP ピアに送信するオプションの
TLV (Type-Length-Values) の設定を行えます。LLDP プロファイルを設定した後、そのプロ
ファイルを 1 つ以上のインターフェイスに割り当てます。
表 132. LLDP プロファイル設定
フィールド
設定場所
説明
名前
LLDP
プロファイル
LLDP プロファイルの名前を指定します。
モード
LLDP
プロファイル
LLDP の動作モードとして、[送受信]、[送信のみ]、または [受信のみ] を
選択します。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 235
LLDP プロファイルの定義
表 132. LLDP プロファイル設定(続き)
フィールド
設定場所
説明
SNMP Syslog
通知
LLDP
プロファイル
SNMP トラップと Syslog 通知を有効にします。これは、グローバル通知
間隔で実行されます。有効にした場合、ファイアウォールは、[Device] >
[ログ設定] > [システム] > [SNMP トラップ プロファイル] および [Syslog
プロファイル] の設定に従って、SNMP トラップと Syslog イベントの両
方を送信します。
ポートの説明
LLDP
プロファイル
ファイアウォールの ifAlias オブジェクトを [ポートの説明] の TLV で送信
できるようにします。
システム名
LLDP
プロファイル
ファイアウォールの sysName オブジェクトを [システム名] の TLV で送
信できるようにします。
システムの説明
LLDP
プロファイル
ファイアウォールの sysDescr オブジェクトを [システムの説明] の TLV で
送信できるようにします。
インターフェイスのデプロイメント モード(L3、L2、またはバーチャル
ワイヤー)を以下のマッピングにより [システムの機能] の TLV で送信で
きるようにします。
システムの機能
LLDP
プロファイル
• L3 の場合、ファイアウォールは、ルーター(ビット 6)の機能と他のビッ
ト(ビット 1)を通知します。
• L2 の場合、ファイアウォールは、MAC ブリッジ(ビット 3)の機能と
他のビット(ビット 1)を通知します。
• バーチャル ワイヤーの場合、ファイアウォールは、リピーター(ビッ
ト 2)の機能と他のビット(ビット 1)を通知します。
SNMP MIB により、インターフェイスで設定された複数の機能が単一エ
ントリに結合されます。
管理アドレスを [管理アドレス] の TLV で送信できるようにします。管理
アドレスは 4 つまで入力でき、指定した順に送信されます。順序を変更す
るには、[上へ] ボタンまたは [下へ] ボタンを使用します。
管理アドレス
LLDP
プロファイル
名前
LLDP
プロファイル
インターフェ
イス
LLDP
プロファイル
IP アドレスが管理アドレスになるインターフェイスを選択します。[なし]
を指定した場合は、IPv4 または IPv6 を選択する場所の隣のフィールドに
IP アドレスを入力できます。
LLDP
プロファイル
[IPv4] または [IPv6] を選択した後、管理アドレスとして送信する IP アド
レスを隣のフィールドで選択または入力します。[管理アドレス] の TLV
が有効の場合は、1 つ以上の管理アドレスが必要です。管理 IP アドレス
を設定しない場合は、送信する管理アドレスとして送信インターフェイス
の MAC アドレスが使用されます。
IP の選択肢
管理アドレスの名前を指定します。
236 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
第5章
ポリシーとセキュリティ プロファイル
このセクションでは、ポリシーとセキュリティ プロファイルを設定する方法について説明し
ます。
• 「ポリシーのタイプ」
• 「ポリシーまたはオブジェクトの移動またはコピー」
• 「セキュリティ プロファイル」
• 「その他のポリシー オブジェクト」
ポリシーのタイプ
ポリシーを使用すると、ルールを適用して自動的にアクションを実行することによってファ
イアウォールの動作を制御できます。以下のタイプのポリシーがサポートされています。
基本セキュリティ ポリシー - アプリケーション、ゾーンとアドレス(送信元と宛先)、
および任意のサービス(ポートとプロトコル)ごとにネットワーク セッションをブロッ
クまたは許可します。ゾーンでは、トラフィックを送受信する物理または論理インター
フェイスが識別されます。「セキュリティ ポリシーの定義」を参照してください。
タグ ブラウザの使用方法については、「タグ ブラウザの使用」を参照してください。
• ネットワーク アドレス変換 (NAT) ポリシー — 必要に応じてアドレスやポートを変換し
ます。「NAT ポリシー」および「ネットワーク アドレス変換ポリシーの定義」を参照
してください。
• ポリシーベースの転送ポリシー — ルーティング テーブルをオーバーライドして、トラ
フィックの出力インターフェイスを指定します。「ポリシーベースの転送ポリシー」を
参照してください。
• 復号ポリシー — セキュリティ ポリシーのトラフィック復号化を指定します。ポリシー
ごとに、復号化するトラフィックの URL のカテゴリを指定できます。SSH 復号は、
SSH シェル アクセス以外にも SSH トンネリングを識別して制御するためにも使用され
ます。「復号ポリシー」を参照してください。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 237
ポリシーのタイプ
• オーバーライド ポリシー — ファイアウォールのアプリケーション定義をオーバーライ
ドします。「アプリケーション オーバーライド ポリシーの定義」を参照してください。
• Quality of Services (QoS) ポリシー — QoS が有効になっているインターフェイスを通過
するトラフィックの処理を分類する方法を決定します。「QoS 統計情報」を参照してく
ださい。
• キャプティブ ポータル ポリシー — 識別されていないユーザーの認証をリクエストしま
す。「キャプティブ ポータル ポリシーの定義」を参照してください。
• サービス拒否 (DoS) ポリシー — DoS 攻撃から保護し、一致するルールに対応する保護ア
クションを実行します。「DoS プロファイルの定義」を参照してください。
Panorama からプッシュされた共有ポリシーは、ファイアウォールの Web
インターフェイスに緑色で表示され、ファイアウォール上では編集できま
せん。
ポリシーまたはオブジェクトの移動またはコピー
ポリシーおよびオブジェクトを移動またはコピーする際には、共有の場所を含め、自分がア
クセス許可を与えられている [宛先](ファイアウォール上の仮想システム、または Panorama
上のデバイス グループ)を割り当てることができます。
ポリシーまたはオブジェクトを移動するには、[Policies] または [Objects] タブでポリシーま
たはオブジェクトを選択し、[移動] をクリックして、[他の vsys に移動](ファイアウォール
のみ)または [他のデバイス グループに移動](Panorama のみ)を選択し、以下の表の各
フィールドに入力して、[OK] をクリックします。
ポリシーまたはオブジェクトをコピーするには、[Policies] または [Objects] タブでポリシー
またはオブジェクトを選択し、[コピー] をクリックして、以下の表の各フィールドに入力
し、[OK] をクリックします。
表 133 設定の移動 / コピー
フィールド
説明
選択したルール /
オブジェクト
操作対象として選択したポリシーまたはオブジェクトの名前と現在
の場所(仮想システムまたはデバイス グループ)が表示されます。
宛先
ポリシーまたはオブジェクトの新しい場所として、仮想システ
ム、デバイス グループ、または共有を選択します。デフォルト値
は、[Policies] または [Objects] タブで選択した [仮想システム] ま
たは [デバイス グループ] です。
238 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ポリシーのタイプ
表 133 設定の移動 / コピー(続き)
フィールド
説明
他のルールに対するルール相対位置を選択します。
• 最上部へ — 他のすべてのルールの前の位置を選択します。
• 最下部へ — 他のすべてのルールの後の位置を選択します。
ルール順序(ポリシーのみ)
• 事前ルール — 隣接するドロップダウン リストで直後のルールを
選択します。
• 事後ルール — 隣接するドロップダウン リストで直前のルールを
選択します。
検証で最初に検出されたエ
ラーに起因するエラーが発生
しました
このチェック ボックスをオンにすると(デフォルトはオン)、デ
バイスが、最初に検出したエラーを表示し、それ以上エラーを
チェックしません。たとえば、移動するポリシー ルールで参照さ
れているオブジェクトが [宛先] に存在しないと、エラーが発生し
ます。このチェックボックスをオフにすると、デバイスはすべて
のエラーを検出してから表示します。
デフォルト セキュリティ ルールをオーバーライドする / 元に戻す
デフォルトのセキュリティ ルールである interzone-default と intrazone-default には事前定
義済みの設定がありますが、これは、ファイアウォールまたは Panorama 上でオーバーライ
ドできます。ファイアウォールがデバイス グループからデフォルト ルールを受信する場合
は、デバイス グループ設定もオーバーライドできます。オーバーライドが実行されるデバイ
スまたは仮想システムには、設定にローカル バージョンのルールが格納されています。オー
バーライド可能な設定は、フルセットの一部です(以下の表にセキュリティ ルールの一部を
示します)。デフォルト セキュリティ ルールの詳細については、「セキュリティ ポリシー
の定義」を参照してください。
ルールをオーバーライドするには、ファイアウォールでは [Policies] > [セキュリティ] を、
Panorama では [Policies] > [セキュリティ] > [デフォルト ルール] を選択します。名前列に
は、オーバーライド可能なルールの継承アイコン
が表示されます。ルールを選択し、
[オーバーライド] をクリックして、以下の表に示した各設定を編集します。
オーバーライドしたルールを事前定義の設定または Panorama デバイス グループからプッ
シュされた設定に戻すには、ファイアウォールでは [Policies] > [セキュリティ] を、Panorama
では [Policies] > [セキュリティ] > [デフォルト ルール] を選択します。名前列には、オーバー
ライドされた値を持つルールのオーバーライド アイコン
が表示されます。ルールを選択
して、[元に戻す] をクリックし、[はい] をクリックして操作を確定します。
表 134 デフォルト セキュリティ ルールのオーバーライド
フィールド
説明
[全般] タブ
名前
ルールを識別する [名前] は読み取り専用であるため、オーバーラ
イドはできません。
ルール タイプ
[ルール タイプ] は読み取り専用であるため、オーバーライドはで
きません。
説明
[説明] は読み取り専用であるため、オーバーライドはできません。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 239
ポリシーのタイプ
表 134 デフォルト セキュリティ ルールのオーバーライド(続き)
フィールド
説明
タグ
ドロップダウン リストからタグを選択します。
ポリシー タグとは、ポリシーをソートまたはフィルタリングでき
るキーワードや語句です。多数のポリシーを定義していて、特定
のキーワードでタグが付けられたポリシーを表示する場合に役立
ちます。たとえば、特定のセキュリティ ポリシーに DMZ へのイ
ンバウンドのタグを付けたり、個々の復号ポリシーに「復号」また
は「復号なし」というタグを付けたり、特定のデータ センターに関
連付けられたポリシーにその場所の名前を使用したりできます。
[アクション] タブ
アクション設定
アクション:ルールに一致するトラフィックに対して以下のいず
れかのアクションを選択します。
• 許可 —(デフォルト)トラフィックを許可します。
• 拒否 — トラフィックをブロックし、ファイアウォールが拒否する
アプリケーションについて定義されたデフォルトのアクションの
拒否を実行します。アプリケーションについてデフォルトで定義
されている拒否のアクションを表示するには、[Objects] > [アプ
リケーション] で [アプリケーションの詳細情報] を表示します。
• ドロップ — アプリケーションをサイレントにドロップします。ホ
ストまたはアプリケーションに、TCP リセット メッセージは送
信されません。
• クライアントのリセット — クライアント側デバイスに TCP リセッ
ト メッセージを送信します。
• サーバーのリセット — サーバー側デバイスに TCP リセット メッ
セージを送信します。
• 両方のリセット — クライアント側とサーバー側の両方のデバイス
に TCP リセット メッセージを送信します。
プロファイル設定
プロファイル タイプ:プロファイルまたはプラットフォーム グ
ループをセキュリティ ルールに割り当てます。
• デフォルトのセキュリティ プロファイルによって実行されるチェッ
ク動作を指定するには、[プロファイル] を選択して、[アンチウ
イルス]、[脆弱性防御]、[アンチスパイウェア]、[URL フィルタ
リング]、[ファイル ブロッキング]、[データ フィルタリング]、
[WildFire 分析] の各プロファイルを選択します。
• 個々のプロファイルではなくプロファイル グループを割り当て
るには、[グループ] を選択し、ドロップダウン リストから [グ
ループ プロファイル] を選択します。
• 新規のプロファイル(「セキュリティ プロファイル」を参照)ま
たはプロファイル グループ(「セキュリティ プロファイル グ
ループ」を参照)を定義するには、対応するプロファイルまたは
グループのドロップダウン リストで [新規] をクリックします。
240 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ポリシーのタイプ
表 134 デフォルト セキュリティ ルールのオーバーライド(続き)
フィールド
説明
ログ設定
以下のオプションを任意に組み合わせて指定します。
• ログ転送 — ローカル トラフィック ログと脅威ログのエントリを
リモートの宛先(Panorama サーバーや Syslog サーバーなど)に
転送するには、ドロップダウン リストから [ログ転送] プロファ
イルを選択します。セキュリティ プロファイルによって、脅威
ログ エントリが生成されるかどうかが決まります。新規の [ログ
転送] プロファイルを定義するには、ドロップダウン リストで
[プロファイル] を選択します(「ログの転送」を参照)。
• ルールに一致するトラフィックのエントリをローカル トラフィッ
ク ログに生成するには、以下のオプションを選択します。
– セッション開始時にログ — セッション開始のトラフィック ロ
グ エントリを生成します(デフォルトではオン)。
– セッション終了時にログ — セッション終了のトラフィック ロ
グ エントリを生成します(デフォルトではオフ)。
注:セッション開始またはセッション終了エントリをトラフィック
ログに含めるようにファイアウォールを設定した場合は、ドロップ
エントリと拒否エントリもトラフィック ログに含められます。
オブジェクトをオーバーライドする / 元に戻す
Panorama では、ツリー階層の中でデバイス グループを 4 段階までネストさせることができ
ます。一番下のレベルのデバイス グループは、連続する上位レベルとして親、祖父母、曽祖
父母のデバイス グループを持つことができます。これらをまとめて先祖と呼び、一番下のレ
ベルのデバイス グループはこれらからポリシーとオブジェクトを継承します。一番上のレベ
ルのデバイス グループは、子、孫、曾孫のデバイス グループを持つことができます。これ
らをまとめて子孫と呼びます。子孫のオブジェクトをオーバーライドして、先祖のオブジェ
クトとは異なる値を持たせることもできます。このオーバーライド機能はデフォルトで有効
になっています。ただし、共有オブジェクトまたはデフォルト(事前設定)オブジェクトを
オーバーライドすることはできません。Web インターフェイスでは、値を継承しているオブ
ジェクトには
アイコンが、値がオーバーライドされている継承オブジェクトには
アイコンが表示されます。
オブジェクトをオーバーライドするには、[オブジェクト] タブを選択し、オーバーライドさ
れたオブジェクトの所属先となる子孫 [デバイス グループ] を選択してから、[オーバーライ
ド] をクリックして設定を編集します。オブジェクトの [名前] または [共有] 設定をオーバー
ライドすることはできません。
オーバーライドしたオブジェクトの各値を継承した値に戻すには、[オブジェクト] タブを選
択し、オーバーライドされたオブジェクトが所属する子孫 [デバイス グループ] を選択してか
ら、当該オブジェクトを選択し、[元に戻す] をクリックした後、[はい] をクリックして操作
を確定します。
オブジェクトのオーバーライドを無効にするには、[オブジェクト] タブを選択し、当該オブ
ジェクトが存在する [デバイス グループ] を選択してから、そのオブジェクトの名前をクリッ
クし、[オーバーライドの無効化] チェックボックスをオンにして、[OK] をクリックします。
これにより、そのオブジェクトのオーバーライドが、選択した [デバイス グループ] のすべて
の子孫で無効になります。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 241
ポリシーのタイプ
Panorama 全体のすべてのオブジェクト オーバーライドを共有場所または先祖デバイス グ
ループから継承した値で置換するには、[Panorama] > [セットアップ] > [管理] タブを選択
し、[Panorama 設定] で [上位オブジェクトが優先されます] チェックボックスをオンにし
て、[OK] をクリックします。この後、Panorama およびオーバーライドが含まれるデバイス
グループに対してコミットを実行して、継承値をプッシュする必要があります。
ポリシーのユーザーとアプリケーションの指定
[Policies] > [Security]
[Policies] > [復号]
セキュリティ ポリシーの適用対象を、選択したユーザーまたはアプリケーションに制限でき
ます。これを行うには、[セキュリティ] または [復号] デバイス ルール ページで [ユーザー]
または [アプリケーション] リンクをクリックします。ルールをアプリケーションで制限する
方法の詳細は、「アプリケーションの定義」を参照してください。
選択したユーザー / グループにポリシーを制限するには、以下の手順を実行します。
1.
[セキュリティ] または [復号] デバイス ルール ページで、[ユーザー] タブをクリックして
選択ウィンドウを開きます。
RADIUS サーバーを使用していて User-ID エージェントを使用していない
場合、ユーザーのリストは表示されません。ユーザー情報を手動で入力す
る必要があります。
2.
[送信元ユーザー] テーブルの上にあるドロップダウン メニューをクリックしてユーザー
タイプを選択します。
– any — ユーザー データに関係なく任意のトラフィックが含まれます。
– pre-logon — GlobalProtect を使用してネットワークに接続しているが、自分のシステ
ムにはログインしていないリモート ユーザーが含まれます。GlobalProtect クライア
ントのポータルに [ログオン前] オプションが設定されている場合、自分のマシンに現
在ログインしていないユーザーは、ユーザー名 pre-logon として識別されます。prelogon ユーザー用のポリシーを作成でき、また、ユーザーが直接ログインしていなく
ても、そのマシンは完全にログインしているかのようにドメインで認証されます。
– known-user — 認証されたすべてのユーザー(ユーザー データがマップされた IP)
が含まれます。このオプションは、ドメインの「ドメイン ユーザー」グループに相
当します。
– unknown — 認証されていないすべてのユーザー(ユーザーにマップされていない IP
アドレス)が含まれます。たとえば、unknown をゲスト レベルのアクセスに対して
使用できます。これらのユーザーは、ネットワーク上の IP を持っていますが、ドメ
インに認証されず、ファイアウォール上に IP 対ユーザーのマッピング情報がないた
めです。
– select — このウィンドウで選択したユーザーが含まれます。たとえば、1 人のユー
ザー、個々のユーザーのリスト、グループを追加したり、手動でユーザーを追加する
場合があります。
242 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ポリシーのタイプ
3.
ユーザーのグループを追加するには、[使用可能なユーザー グループ] チェック ボックス
をオンにして [ユーザー グループの追加] をクリックします。または、1 つ以上のグルー
プに一致するテキストを入力して [ユーザー グループの追加] をクリックします。
4.
個々のユーザーを追加するには、[ユーザー] 検索フィールドに検索文字列を入力して [検
索] をクリックします。次に、ユーザーを選択して [ユーザーの追加] をクリックしま
す。または、[追加ユーザー] エリアに個々のユーザー名を入力することもできます。
5.
[OK] をクリックして選択を保存し、セキュリティ ルールまたは復号化ルールを更新し
ます。
Panorama でのポリシーの定義
Panorama のデバイス グループを使用すると、管理対象デバイス(またはファイアウォー
ル)上にあるポリシーを一元的に管理できます。Panorama 上に定義されるポリシーは、プ
レ ルールまたはポスト ルールとして作成されます。プレ ルールとポスト ルールにより、階
層的な方法でポリシーを実装できます。
プレ ルールとポスト ルールは、共有コンテキストですべての管理対象デバイスの共有ポリ
シーとして、またはデバイス グループ コンテキストで特定のデバイス グループ用に定義で
きます。プレ ルールとポスト ルールは Panorama で定義されてから管理対象デバイスに
プッシュされるため、管理対象デバイスではルールを表示できますが、編集は Panorama で
しかできません。
• プレ ルール — ルール順序の先頭に追加され、最初に評価されるルールです。プレ ルール
を使用して、組織の利用規約を適用できます。たとえば、特定の URL カテゴリへのアク
セスをブロックしたり、すべてのユーザーの DNS トラフィックを許可したりします。
• ポスト ルール — ルール順序の末尾に追加され、プレ ルールとデバイスでローカルに定
義されているルールの後に評価されるルールです。通常、ポスト ルールには、AppID、User-ID、またはサービスに基づいてトラフィックへのアクセスを拒否するルール
が含まれます。
• デフォルト ルール — プレ ルール、ポスト ルール、ローカル デバイス ルールのいずれ
とも一致しないトラフィックの処理方法をファイアウォールに指示するルールです。こ
れらのルールは、Panorama の事前定義済み設定に含まれています。これらのルール内
の一部の設定を編集できるようにするには、ルールをオーバーライドする必要がありま
す。「デフォルト セキュリティ ルールをオーバーライドする / 元に戻す」を参照して
ください。
[ルールのプレビュー] を使用して、ルールを管理対象デバイスにプッシュする前にルールのリ
ストを表示します。大量のルールに目を通しやすいように、各ルールベース内でルールの階層
がデバイス グループ(および管理対象デバイス)ごとに視覚的に区別されて表示されます。
未使用のルールを見つけ、必要に応じてルールを削除または無効にするには、[使用されてい
ないルールの強調表示] を使用します。現在使用されていないルールは、黄色い水玉の背景
に 表 示 さ れ ま す。各 デ バ イ ス で は、一 致 の あ る ル ー ル の フ ラ グ が 維 持 管 理 さ れ ま す。
Panorama は各デバイスをモニターし、一致のないルールのリストを取得して集約します。
再起動時にデータ プレーンのリセットが発生するとフラグがリセットされるため、ベスト
プラクティスとして、このリストを定期的にモニターして、最後のチェック以降にルールに
一致があるかどうかを判別してからリストを削除または無効にすることをお勧めします。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 243
ポリシーのタイプ
ポリシーを作成するには、各ルールベースの関連するセクションを表示します。
• 「セキュリティ ポリシーの定義」
• 「ネットワーク アドレス変換ポリシーの定義」
• 「QoS 統計情報」
• 「ポリシーベースの転送ポリシー」
• 「復号ポリシー」
• 「アプリケーション オーバーライド ポリシーの定義」
• 「キャプティブ ポータル ポリシーの定義」
• 「DoS プロファイルの定義」
セキュリティ ポリシーの定義
[Policies] > [Security]
セキュリティ ポリシーは、セキュリティ ゾーンを参照して、アプリケーション、ユーザーま
たはユーザー グループ、およびサービス(ポートおよびプロトコル)に基づいて、ネット
ワーク上のトラフィックを許可、制限、および追跡できるようにします。デフォルトでは、
「rule1」という名前のセキュリティ ルールがファイアウォールに含まれています。このルー
ルでは、Trust ゾーンから Untrust ゾーンへのトラフィックがすべて許可されています。
知りたい内容
以下を参照
セキュリティ ポリシーとは
「セキュリティ ポリシーの概要」
Panorama の場合は、「Panorama でのポリシーの定
義」を参照してください。
セキュリティ ポリシーの作成に
使用可能なフィールド
「セキュリティ ポリシーの構成要素」
Web インターフェイスを使用し
てセキュリティ ポリシーを管理
する方法
「ポリシーの作成と管理」
さらに詳細を知りたい
探している情報が見つか
らない
「セキュリティ ポリシー」を参照してください。
244 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ポリシーのタイプ
セキュリティ ポリシーの概要
[Policies] > [Security]
セキュリティ ポリシーを使用すると、ルールを適用し、アクションを実行できます。また、
必要に応じて、全般的または個別の指定を行うことができます。ポリシー ルールと受信トラ
フィックに対し順番に照合されます。トラフィックに一致する最初のルールが適用されるた
め、固有のルールを全般的ルールよりも先に設定する必要があります。たとえば、他のすべ
てのトラフィック関連の設定が同じである場合、1 つのアプリケーションに対応するルールが
すべてのアプリケーションに対応するルールよりも上に来るようにしなければなりません。
ユーザー定義のどのルールとも一致しないトラフィックには、デフォルト ルールが適用され
ます。セキュリティ ルールベースの下部に表示されるデフォルト ルールは、すべてのイン
トラゾーン(ゾーン内)トラフィックを許可し、すべてのインターゾーン(ゾーン間)トラ
フィックを拒否するよう事前定義されています。これらのルールは、事前定義済み設定に含
まれ、デフォルトで読み取り専用ですが、オーバーライドして、タグ、アクション(許可ま
たは拒否)、ログ設定、セキュリティ プロファイルなど、限定された複数の設定を変更する
ことができます。
このインターフェイスには、セキュリティ ポリシーを定義するための以下のタブが用意され
ています。
• 全般 — [全般] タブを使用して、セキュリティ ポリシーの名前と説明を設定します。
• 送信元 — [送信元] タブを使用して、トラフィックの送信元ゾーンまたは送信元アドレス
を定義します。
• ユーザー — [ユーザー] タブを使用して、個々のユーザーまたはユーザーのグループのポ
リシーを適用します。ホスト情報プロファイル (HIP) が有効な GlobalProtect を使用して
いる場合、GlobalProtect が収集した情報に基づいてポリシーを適用することもできま
す。たとえば、ユーザーのアクセス レベルを、ファイアウォールにユーザーのローカル
設定を通知する HIP によって判別することができます。HIP 情報を使用して、ホストで
実行中のセキュリティ プログラム、レジストリ値、およびホストにアンチウイルス ソフ
トウェアがインストールされているかどうかなど他の多くのチェックを基に、詳細なア
クセス制御を行うことができます。
• 宛先 — [宛先] タブを使用して、トラフィックの宛先ゾーンまたは宛先アドレスを定義し
ます。
• アプリケーション — [アプリケーション] タブを使用して、アプリケーションまたはアプ
リケーション グループに基づいて、ポリシーがアクションを実行するように指定しま
す。管理者は、既存の App-ID シグネチャを使用し、カスタマイズして、独自のアプリ
ケーションや、既存のアプリケーションの特定の属性を検出することもできます。カス
タム アプリケーションは [Objects] > [アプリケーション] で定義されます。
• サービス / URL カテゴリ — [サービス / URL カテゴリ] タブを使用して、TCP および
(または)UDP のポート番号または URL カテゴリをポリシーに一致条件として指定で
きます。
• アクション — [アクション] タブを使用して、定義されたポリシー属性に一致するトラ
フィックに基づいて実行されるアクションを定義します。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 245
ポリシーのタイプ
以下を参照
「セキュリティ ポリシーの構成要素」
「ポリシーの作成と管理」
セキュリティ ポリシーの構成要素
以下のセクションでは、セキュリティ ポリシー ルールの各構成要素、すなわちコンポーネ
ントについて説明します。デフォルト セキュリティ ルールを表示したり、新規ルールを作
成する際には、以下に示す各オプションを設定できます。
表 135. セキュリティ ルールの構成要素
フィールド
設定場所
説明
各ルールは自動的に付番され、ルールを移動すると順番も
変更されます。特定のフィルタに一致するようにルールを
フィルタリングすると、各ルールはルールベース内の全
ルールのコンテキストで番号が振られ、評価順に従って並
べられます。
ルール番号
名前
なし
全般
Panorama では、プレ ルールとポスト ルールは別々に付番
されます。Panorama から管理対象ファイアウォールに
ルールをプッシュすると、付番の際に、ルールベース内の
プレ ルール、デバイス ルール、およびポスト ルールの階
層が考慮され、その番号がルールの並びと評価順に反映さ
れます。
ルールを識別する名前を入力します。名前の大文字と小文
字は区別され、文字、数字、スペース、ハイフン、および
アンダースコアを含む最大 31 文字を指定できます。ルー
ル名はファイアウォールおよび Panorama 上で一意でなけれ
ばなりません。また、デバイス グループとその先祖または
子孫デバイス グループ内でも一意でなければなりません。
[追加] をクリックして、ポリシーのタグを指定します。
タグ
全般
ポリシー タグとは、ポリシーをソートまたはフィルタリン
グできるキーワードや語句です。多数のポリシーを定義し
ていて、特定のキーワードでタグが付けられたポリシーを
表示する場合に役立ちます。たとえば、特定のルールに
「復号」や「復号なし」といった特定の語でタグを付けた
り、特定のデータ センターに関するポリシーにその場所の
名前を使用したりできます。
デフォルト ルールにタグを追加することもできます。
246 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ポリシーのタイプ
表 135. セキュリティ ルールの構成要素(続き)
フィールド
設定場所
説明
ルールがゾーン内、ゾーン間、その両方のどれに適用され
るかを指定します。
• universal(デフォルト)— 指定された送信元ゾーンおよ
び宛先ゾーン内の一致するすべてのインターゾーン トラ
フィックとイントラゾーン トラフィックにルールを適用
します。たとえば、送信元ゾーンが A と B で、宛先ゾー
ンが A と B のユニバーサル ルールを作成するとします。
ルールは、ゾーン A 内のすべてのトラフィック、ゾーン
B 内のすべてのトラフィック、ゾーン A からゾーン B へ
のすべてのトラフィック、ゾーン B からゾーン A へのす
べてのトラフィックに適用されます。
タイプ
全般
• intrazone — 指定された送信元ゾーン内の一致するすべて
のトラフィックにルールを適用します(イントラゾーン
ルールには宛先ゾーンを指定できません)。たとえば、
送信元ゾーンを A と B に設定するとします。ルールは、
ゾーン A 内のすべてのトラフィック、ゾーン B 内のすべ
てのトラフィックに適用されますが、ゾーン A とゾーン
B 間のトラフィックに適用されません。
• interzone — 指定された送信元ゾーンおよび宛先ゾーン間
の一致するすべてのトラフィックにルールを適用しま
す。たとえば、送信元ゾーンを A、B、C、宛先ゾーンを
A、B に設定したとします。ルールは、ゾーン A か ら
ゾーン B、ゾーン B から ゾーン A、ゾーン C からゾーン
A、ゾーン C からゾーン B へのトラフィックには適用さ
れますが、ゾーン A、B、または C 内のトラフィックに
は適用されません。
送信元ゾーン
送信元アドレス
Palo Alto Networks
ソース
ソース
[追加] をクリックして送信元ゾーンを選択します(デフォ
ルトは [any])。ゾーンは同じタイプ([レイヤー 2]、[レイ
ヤー 3]、[バーチャル ワイヤー])である必要があります。
新しいゾーンを定義する手順については、「セキュリティ
ゾーンの定義」を参照してください。
複数のゾーンを使用して管理を簡略化できます。たとえ
ば、信頼されていない宛先ゾーンが指定されている 3 つの
異なる内部ゾーン(マーケティング、販売、広報)がある
場合、すべてのケースを対象とした 1 つのルールを作成で
きます。
[追加] をクリックして送信元アドレス、アドレス グルー
プ、または地域を追加します(デフォルトは [any])。ド
ロップダウン リストから選択するか、ドロップダウン リ
ストの下部にある [アドレス]、[アドレス グループ]、また
は [地域] をクリックして設定を指定します。
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 247
ポリシーのタイプ
表 135. セキュリティ ルールの構成要素(続き)
フィールド
設定場所
説明
[追加] をクリックして、ポリシーを適用する送信元ユー
ザーまたはユーザー グループを選択します。以下の送信元
ユーザー タイプがサポートされます。
• any — ユーザー データに関係なく任意のトラフィックが
含まれます。
• pre-logon — GlobalProtect を使用してネットワークに接
続しているが、自分のシステムにはログインしていない
リモート ユーザーが含まれます。GlobalProtect クライア
ントのポータルに [ログオン前] オプションが設定されて
いる場合、自分のマシンに現在ログインしていないユー
ザーは、ユーザー名 pre-logon として識別されます。
pre-logon ユーザー用のポリシーを作成でき、また、
ユーザーが直接ログインしていなくても、そのマシンは
完全にログインしているかのようにドメインで認証され
ます。
送信元ユーザー
ユーザー
• known-user — 認証されたすべてのユーザー(ユーザー
データがマップされた IP)が含まれます。このオプショ
ンは、ドメインの「ドメイン ユーザー」グループに相当
します。
• unknown — 認証されていないすべてのユーザー(ユー
ザーにマップされていない IP アドレス)が含まれます。
たとえば、unknown は、ゲスト レベルのアクセスに使
用できます。これらのユーザーは、ネットワーク上の IP
を持っていますが、ドメインに認証されず、ファイア
ウォール上に IP 対ユーザーのマッピング情報がないため
です。
• select — このウィンドウで選択したユーザーが含まれま
す。たとえば、1 人のユーザー、個々のユーザーのリス
ト、グループを追加したり、手動でユーザーを追加する
場合があります。
注:RADIUS サーバーを使用していて User-ID エージェン
トを使用していない場合、ユーザーのリストは表示されま
せん。ユーザー情報を手動で入力する必要があります。
248 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ポリシーのタイプ
表 135. セキュリティ ルールの構成要素(続き)
フィールド
送信元 HIP プロ
ファイル
設定場所
説明
ユーザー
[追加] をクリックして、ユーザーを識別するホスト情報プ
ロファイル (HIP) を選択します。HIP を使用すると、最新
のセキュリティ パッチが適用されているかどうか、アンチ
ウィルス定義がインストールされているかどうかといった
エンド ホストのセキュリティ状態に関する情報を収集でき
ます。ポリシーの適用にホスト情報を使用することで、重
要なリソースにアクセスするリモート ホストが適切に整備
された、セキュリティ標準に準拠した粒度の細かいセキュ
リティを実現でき、その後に、ネットワーク リソースへの
アクセスを許可できます。
[追加] をクリックして宛先ゾーンを選択します(デフォル
トは [any])。ゾーンは同じタイプ([レイヤー 2]、[レイ
ヤー 3]、[バーチャル ワイヤー])である必要があります。
新しいゾーンを定義する手順については、「セキュリティ
ゾーンの定義」を参照してください。
宛先ゾーン
宛先
複数のゾーンを使用して管理を簡略化できます。たとえ
ば、信頼されていない宛先ゾーンが指定されている 3 つの
異なる内部ゾーン(マーケティング、販売、広報)がある
場合、すべてのケースを対象とした 1 つのルールを作成で
きます。
注:イントラゾーン ルールは、送信元と宛先が同じゾーン
内にあるトラフィックにのみ一致するため、宛先ゾーンを
定義できません。イントラゾーン ルールに一致するゾーン
を指定する場合、送信元ゾーンのみを設定する必要があり
ます。
宛先アドレス
Palo Alto Networks
宛先
[追加] をクリックして宛先アドレス、アドレス グループ、
または地域を追加します(デフォルトは [any])。ドロッ
プダウン リストから選択するか、ドロップダウン リスト
の下部にある [アドレス] リンクをクリックしてアドレス設
定を指定します。
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 249
ポリシーのタイプ
表 135. セキュリティ ルールの構成要素(続き)
フィールド
アプリケー
ション
設定場所
説明
セキュリティ ルールを適用する特定のアプリケーションを
選択します。アプリケーションに複数の機能がある場合、
アプリケーション全体または個別の機能を選択できます。
アプリケーション全体を選択した場合、すべての機能が含
まれ、将来、機能が追加されるとアプリケーション定義が
自動的に更新されます。
アプリケーション
セキュリティ ルールでアプリケーション グループ、フィ
ルタ、またはコンテナを使用している場合は、[ アプリ
ケーション] 列のオブジェクトの上にマウスを置き、ド
ロップダウン矢印をクリックして [値] を選択すると、オブ
ジェクトの詳細が表示されます。これにより、[Object] タ
ブに移動しなくても、ポリシーから直接アプリケーション
メンバーを簡単に表示できます。
特定の TCP や UDP のポート番号に制限するには、サービ
スを選択します。ドロップダウン リストから以下のいずれ
かを選択します。
• any — 選択したアプリケーションがすべてのプロトコル
やポートで許可または拒否されます。
サービス
サービス / URL カテゴリ
• application-default — 選択したアプリケーションが、
Palo Alto Networks によって定義されたデフォルトの
ポートでのみ許可または拒否されます。このオプション
は、許可ポリシーに使用することをお勧めします。標準
以外のポートやプロトコルで実行されるアプリケーショ
ンは、意図的である場合を除き、動作と使用方法が望ま
しくない可能性があります。このオプションを許可ポリ
シーに使用することで、そうしたアプリケーションの実
行を禁止できます。
このオプションを使用しても、デバイスはすべてのポー
トのすべてのアプリケーションをチェックしますが、こ
の設定にすることで、アプリケーションはデフォルトの
ポート / プロトコルでのみ許可されます。
• Select — [追加] をクリックします。既存のサービスを選
択するか、[サービス] または [サービス グループ] を選択
して新しいエントリを指定します。「サービス」および
「サービス グループ」を参照してください。
250 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ポリシーのタイプ
表 135. セキュリティ ルールの構成要素(続き)
フィールド
設定場所
説明
セキュリティ ルールを適用する URL カテゴリを選択し
ます。
• URL カテゴリに関係なくすべてのセッションを許可また
は拒否するには、[any] を選択します。
URL カテゴリ
Palo Alto Networks
サービス / URL カテゴリ
• カテゴリを指定するには、[追加] をクリックし、ドロップ
ダウン リストから特定のカテゴリ(カスタム カテゴリも
含む)を選択します。複数のカテゴリを追加できます。
カスタム カテゴリの定義方法の詳細は、「ダイナミック
ブロック リスト」を参照してください。
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 251
ポリシーのタイプ
表 135. セキュリティ ルールの構成要素(続き)
フィールド
設定場所
説明
ルールに定義された属性に一致するトラフィックに対する
アクションを指定するには、以下のアクションから選択し
ます。
– 許可 —(デフォルト)トラフィックを許可します。
– 拒否 — トラフィックをブロックし、拒否されるアプリ
ケーションについて定義されたデフォルトのアクショ
ンの拒否を実行します。アプリケーションについてデ
フォルトで定義されている拒否アクションを表示する
には、[Objects] > [アプリケーション] で [アプリケー
ションの詳細情報] を表示します。
デフォルトの拒否アクションはアプリケーションに
よって異なるため、ファイアウォールは、あるアプリ
ケーションについては、セッションをブロックしてリ
セットを送信し、別のアプリケーションについては
セッションを暗黙にドロップするといったアクション
を実行します。
– ドロップ — アプリケーションをサイレントにドロップ
します。TCP リセットはホスト / アプリケーションに
送信されません。ただし、[ICMP 送信到達不能] を選
択した場合を除きます。
アクション
アクション
– クライアントのリセット — クライアント側デバイスに
TCP リセットを送信します。
– サーバーのリセット — サーバー側デバイスに TCP リ
セットを送信します。
– 両方のリセット — クライアント側とサーバー側の両方
のデバイスに TCP リセットを送信します。
• ICMP 送信到達不能 — レイヤー 3 インターフェイスでの
み使用できます。トラフィックのドロップや接続のリ
セットを行うようにセキュリティ ポリシーを設定する
と、トラフィックが宛先ホストに到達しない場合があり
ます。そのような場合は、ドロップされるすべての UDP
トラフィックおよび TCP トラフィックについて、トラ
フィックの送信元 IP アドレスに ICMP 到達不能応答を送
信するようにファイアウォールを設定できます。この設
定を有効にすると、送信元は正規の手順に従ってセッ
ションをクローズまたはクリアできるため、アプリケー
ションの処理が中断するのを防ぐことができます。
ファイアウォールに設定されている ICMP 到達不能パケッ
ト率を確認するには、[Device] > [セットアップ] > [セッ
ション] の [セッション設定] セクションを表示します。
事前定義済みのインターゾーンおよびイントラゾーン ルー
ルに定義されているデフォルト アクションをオーバーライ
ドする方法については、「デフォルト セキュリティ ルール
をオーバーライドする / 元に戻す」を参照してください。
252 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ポリシーのタイプ
表 135. セキュリティ ルールの構成要素(続き)
フィールド
設定場所
説明
デフォルトのセキュリティ プロファイルで実行される
チェックを指定するには、[アンチウイルス]、[アンチスパ
イウェア]、[脆弱性防御]、[URL フィルタリング]、[ファイ
ル ブロッキング]、および [データ フィルタリング] の各プ
ロファイルを選択します。
プロファイル
設定
アクション
個々のプロファイルではなくプロファイル グループを指定
するには、[プロファイル タイプ] > [グループ] を選択し、
[グループ プロファイル] ドロップダウン リストからプロ
ファイル グループを選択します。
新しいプロファイルやプロファイル グループを定義するに
は、該当するプロファイルまたはグループの横にある [新
規] をクリックします(「セキュリティ プロファイル グ
ループ」を参照)。
セキュリティ プロファイル(またはプロファイル グルー
プ)をデフォルト ルールに関連付けることもできます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 253
ポリシーのタイプ
表 135. セキュリティ ルールの構成要素(続き)
フィールド
設定場所
説明
[オプション] タブでは、ロギング設定と
以下に示すその他のオプションの組み合わせを指定でき
ます。
ルールに一致するトラフィックのエントリをローカル トラ
フィック ログに生成するには、以下のオプションを選択し
ます。
• セッション開始時にログ。セッション開始のトラフィック
ログ エントリが生成されます(デフォルトではオフ)。
• セッション終了時にログ。セッション終了のトラフィック
ログ エントリが生成されます(デフォルトではオン)。
注:セッションの開始または終了のエントリがログに記
録される場合、[drop] および [deny] のエントリもログに
記録されます。
オプション
アクション
• ログ転送プロファイル — ローカル トラフィック ログと
脅威ログのエントリをリモートの宛先(Panorama サー
バーや Syslog サーバーなど)に転送するには、[ログ転
送プロファイル] ドロップダウン リストからログ プロ
ファイルを選択します。
脅威ログ エントリの生成は、セキュリティ プロファイル
で定義されます。新しいログ プロファイルを定義するに
は、[新規] をクリックします(「ログの転送」を参照)。
デフォルト ルールのログ設定を変更することもできます。
以下のオプションを任意に組み合わせて指定します。
• スケジュール — ルールを適用する日時を制限するには、
ドロップダウン リストからスケジュールを選択します。新
しいスケジュールを定義するには、[新規] をクリックしま
す(「復号プロファイルの SSL 復号化設定」を参照)。
• QoS マーキング — ルールに一致するパケットの Quality
of Services (QoS) の設定を変更するには、[IP DSCP] また
は [IP 優先度] を選択して QoS の値を 2 進数で入力する
か、事前に定義されている値をドロップダウン リストか
ら選択します。QoS の詳細は、「Quality of Services (QoS)
の設定」を参照してください。
• サーバー レスポンス検査の無効化 — サーバーからクラ
イアントへのパケットの検査を無効にするには、この
チェック ボックスをオンにします。このオプションは、
サーバーからの負荷が高い状況で効力を発揮します。
説明
全般
ポリシーの説明を入力します(最大 255 文字)。
254 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ポリシーのタイプ
ポリシーの作成と管理
[Policies] > [セキュリティ] ページでは、セキュリティ ポリシーを追加、変更、および管理で
きます。
タスク
説明
追加
新しいポリシー ルールを追加するには、以下のいずれかの操作を実行します。
• ページの下部にある [追加] をクリックします。
• 新しいルールのベースとなるルールを選択して [ルールのコピー] を選択するか、
ルールの余白部分をクリックしてルールを選択し、ページ下部の [ルールのコ
ピー] を選択します(Web インターフェイスで選択されているルールは背景が
黄色になります)。コピーされたルール「rulen」が選択したルールの下に挿
入されます。n は次に使用可能な整数で、これによりルール名が一意になりま
す。コピーの詳細は、「ポリシーまたはオブジェクトの移動またはコピー」を
参照してください。
変更
ルールを変更するには、そのルールをクリックします。
Panorama からプッシュされたルールは、ファイアウォールでは読み取り専用と
なるため、ローカルでは編集できません。
[オーバーライド] および [元に戻す] アクションは、セキュリティ ルールベース
の最下部に表示されるデフォルト ルールにのみ適用されます。事前定義ルー
ル、すなわち、すべてのイントラゾーン トラフィックを許可し、すべてのイン
ターゾーン トラフィックを拒否するルールは、ファイアウォールに、ルール
ベース内の他のどのルールとも一致しないトラフィックの処理方法を指示する
ものです。これらのルールは事前定義済み設定に含まれるため、一部のポリ
シー設定を編集する場合にはオーバーライドする必要があります。Panorama を
使用している場合、デフォルト ルールをオーバーライドして、デバイス グルー
プ コンテキストまたは共有コンテキストでファイアウォールにプッシュするこ
ともできます。デフォルト ルールを元に戻すこともできます。これにより、事
前定義済み設定や Panorama からプッシュされた設定が復元されます。詳細
は、「デフォルト セキュリティ ルールをオーバーライドする / 元に戻す」を参
照してください。
移動
ルールは、[Policies] ページに列挙されている順序で、上から下に評価されま
す。ネットワーク トラフィックに対してルールを評価する順序を変更するに
は、ルールを選択して、[上へ]、[下へ]、[最上部へ]、または [最下部へ] をク
リックします。詳細は、「ポリシーまたはオブジェクトの移動またはコピー」
を参照してください。
削除
ルールを選択し、[削除] をクリックして既存のルールを削除します。
有効化 /
無効化
ルールを無効にするには、ルールを選択して [無効化] をクリックします。無効
になっているルールを有効にするには、ルールを選択して [有効化] をクリック
します。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 255
ポリシーのタイプ
タスク
説明
未使用ルール
の確認
現在使用されていないルールを検索するには、[使用されていないルールの強調
表示] チェック ボックスをオンにします。その上で、ルールを無効にするのか、
削除するのかを判断します。現在使用されていないルールは、黄色い水玉の背
景に表示されます。
ベスト プラクティス:各デバイスで、一致のあるルールのフラグが維持管理さ
れます。再起動時にデータ プレーンのリセットが発生するとフラグがリセット
されるため、このリストを定期的にモニターして、最後のチェック以降にルー
ルに一致があったどうかを判別してからリストを削除または無効にすることを
お勧めします。
Panorama では、各管理対象デバイスから、一致のないルールのリストを取得し
て集約します。
使用されているルール
使用されていないルール(黄色の斑点の背景)
列の表示 /
非表示
[Policies] ページに表示される列(の表示 / 非表示)を変更します。列名の横に
あるチェック ボックスをオンまたはオフにして、各列の表示 / 非表示を切り替
えます。
フィルタの
適用
リストにフィルタを適用するには、[フィルタ ルール] ドロップダウン リストか
ら選択します。値を追加してフィルタを定義するには、項目のドロップダウン
をクリックして [フィルタ] を選択します。注:デフォルト ルールはルールベー
ス フィルタリングの対象外であるため、常にフィルタリング後のルール リスト
に表示されます。
ポリシーに一致するものとしてログに記録されたネットワーク セッションを表
示するには、ルール名のドロップダウン リストをクリックして、[ログ ビュー
アー] を選択します。
256 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ポリシーのタイプ
タスク
説明
現在値を表示するには、当該エントリのドロップダウン リストをクリックして
[値] を選択します。列メニューから特定の項目を直接編集、フィルタリング、ま
たは削除することもできます。たとえば、あるアドレス グループに含まれるア
ドレスを表示するには、[アドレス] 列内のオブジェクトにマウス カーソルを移
動し、ドロップダウン リストをクリックして [値] を選択します。これにより、
[Object] タブに移動しなくても、アドレス グループのメンバーおよび対応する
IP アドレスを迅速に確認できます。
オブジェクト名または IP アドレスに基づいてポリシー内で使用されているオブ
ジェクトを検索するには、フィルタを使用します。検索では、アドレス オブ
ジェクトまたはアドレス グループ内のアドレスを検出するために、埋め込みオ
ブジェクトがスキャンされます。以下のスクリーン ショットには、フィルタ
バーに IP アドレス 10.8.10.177 が入力され、ポリシー「aaa」が表示されていま
す。このポリシーでは「aaagroup」というアドレス グループ オブジェクトが使
用され、IP アドレスが含まれています。
フィルタ バー
フィルタリングの結果
ルールの
プレビュー
(Panorama
のみ)
Palo Alto Networks
[ルールのプレビュー] を使用して、ルールを管理対象デバイスにプッシュする前
にルールのリストを表示します。大量のルールに目を通しやすいように、各
ルールベース内でルールの階層がデバイス グループ(および管理対象デバイ
ス)ごとに視覚的に区別されて表示されます。
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 257
Panorama でのポリシーの定義
Panorama でのポリシーの定義
Panorama のデバイス グループを使用すると、管理対象デバイス(またはファイアウォー
ル)上にあるポリシーを一元的に管理できます。Panorama 上に定義されるポリシーは、プ
レ ルールまたはポスト ルールとして作成されます。プレ ルールとポスト ルールにより、階
層的な方法でポリシーを実装できます。
プレ ルールとポスト ルールは、共有コンテキストですべての管理対象デバイスの共有ポリ
シーとして、またはデバイス グループ コンテキストで特定のデバイス グループ用に定義で
きます。プレ ルールとポスト ルールは Panorama で定義されてから管理対象デバイスに
プッシュされるため、管理対象デバイスではルールを表示できますが、編集は Panorama で
しかできません。
• プレ ルール — ルール順序の先頭に追加され、最初に評価されるルールです。プレ ルール
を使用して、組織の利用規約を適用できます。たとえば、特定の URL カテゴリへのアク
セスをブロックしたり、すべてのユーザーの DNS トラフィックを許可したりします。
• ポスト ルール — ルール順序の末尾に追加され、プレ ルールとデバイスでローカルに定義
されているルールの後に評価されるルールです。通常、ポスト ルールには、App-ID、
User-ID、またはサービスに基づいてトラフィックへのアクセスを拒否するルールが含
まれます。
• デフォルト ルール — プレ ルール、ポスト ルール、ローカル デバイス ルールのいずれ
とも一致しないトラフィックの処理方法をファイアウォールに指示するルールです。こ
れらのルールは、Panorama の事前定義済み設定に含まれています。デフォルト ルール
をオーバーライドして、これらのルールの選択設定の編集を有効にし、デバイス グルー
プまたは共有コンテキスト内の管理対象デバイスにプッシュできます。
ポリシーを定義する方法については、「セキュリティ ポリシーの構成要素」または「ポリ
シーの作成と管理」を参照してください。
NAT ポリシー
ファイアウォールにレイヤー 3 インターフェイスを定義する場合、ネットワーク アドレス変
換 (NAT) ポリシーを使用して、送信元 IP アドレスおよび宛先 IP アドレスのプライベート ア
ドレスとパブリック アドレスを変換するかどうかや、送信元ポートおよび宛先ポートのプラ
イベート ポートとパブリック ポートを変換するかどうかを指定できます。たとえば、内部
(信頼されている)ゾーンからパブリック(信頼されていない)ゾーンに送信されるトラ
フィックの送信元プライベート アドレスをパブリック アドレスに変換できます。
NAT は、バーチャル ワイヤー インターフェイスでもサポートされています。バーチャル ワ
イヤー インターフェイスで NAT を実行する場合、隣接するデバイスが通信するサブネット
とは異なるサブネットに送信元アドレスを変換することをお勧めします。バーチャル ワイ
ヤーではプロキシ ARP はサポートされていません。そのため、隣接するデバイスは、バー
チャル ワイヤーのもう一方の終端のデバイスのインターフェイスに存在する IP アドレスの
ARP リクエストのみを解決できます。
ファイアウォール上の NAT を設定するときは、NAT トラフィックを有効にするためにセ
キュリティ ポリシーも設定する必要があります。セキュリティ ポリシーは、NAT 実行後の
ゾーンと NAT 実行前の IP アドレスを基にして照合されます。
258 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
Panorama でのポリシーの定義
このファイアウォールでは、以下のタイプのアドレス変換がサポートされています。
• ダイナミック IP / ポート — 送信トラフィックで使用します。送信元ポート番号が異なる
同じパブリック IP アドレスを複数のクライアントで使用できます。ダイナミック IP /
ポートの NAT ルールで IP アドレスを 1 つに絞ったり、一定範囲の IP アドレスやサブ
ネットに変換するように指定できます。変換方法を組み合わせることも可能です。ダイ
ナミックに割り当てた IP アドレスが送信インターフェイスにある場合は、インターフェ
イスそのものを変換後のアドレスとして指定することをお勧めします。ダイナミック IP /
ポートのルールでインターフェイスを指定すると、NAT ポリシーが自動的に更新され、
後続の変換ではインターフェイスで取得したアドレスが使用されます。
Palo Alto Networks のダイナミック IP / ポート NAT では、使用可能な IP
アドレスとポートの数でサポートされる数よりも多くの NAT セッション
がサポートされます。ファイアウォールでは、宛先 IP アドレスが一意の
場合、IP アドレスとポートの組み合わせを PA-200、PA-500、PA-2000 シ
リーズ、および PA-3000 シリーズのファイアウォールで 2 回まで(同
時)、PA-4020 と PA-5020 の フ ァ イ ア ウ ォ ー ル で 4 回、PA-4050、PA4060、PA-5050、PA-5060、および PA-7000 シリーズのファイアウォール
で 8 回まで使用できます。
• ダイナミック IP — 送信トラフィックで使用します。送信元プライベート アドレスを指
定のアドレス範囲内で次に使用可能なアドレスに変換します。ダイナミック IP NAT ポ
リシーでは、変換アドレス プールとして 1 つの IP アドレス、複数の IP、複数の IP 範
囲、または複数のサブネットを指定できます。送信元アドレス プールが変換後アドレス
プールよりも大きいと、変換後アドレス プールがすべて使用されている間は新しい IP
アドレスに変換が必要な場合でもブロックされます。この問題を回避するには、プライ
マリ プールの IP アドレスがなくなった場合に使用する代替プールを指定します。
• スタティック IP — 受信トラフィックまたは送信トラフィックで使用します。スタティッ
ク IP を使用すると、送信元ポートまたは宛先ポートは変更せずに、送信元 IP アドレス
または宛先 IP アドレスを変更できます。1 つのパブリック IP アドレスを複数のプライ
ベート サーバーとサービスにマッピングするために使用する場合、同じ宛先ポートを使
うことも、別のポートに変更することもできます。
パブリック IP アドレスに送信されるトラフィックが適切なプライベート アド
レスにルーティングされるように、隣接するルータやファイアウォールでスタ
ティック ルートを定義することが必要になる場合もあります。パブリック ア
ドレスがファイアウォール インターフェイスと同じ場合(または同じサブネッ
トの場合)、ルータにそのアドレスのスタティック ルートは必要ありません。
NAT のサービス(TCP または UDP)ポートを指定する場合、事前に定義され
ている HTTP サービス (service-http) には 80 と 8080 の 2 つの TCP ポートが含
まれています。1 つのポート(TCP 80 など)を指定するには、新しいサービス
を定義する必要があります。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 259
Panorama でのポリシーの定義
以下の表は、各 NAT タイプの要約です。2 つの動的方法では、一連のクライアント アドレ
ス (M) が NAT アドレスのプール (N) にマッピングされます。M と N は異なる数値です。ま
た、N は 1 になる可能性もあります。ダイナミック IP / ポート NAT はダイナミック IP
NAT とは異なります。ダイナミック IP / ポートでは TCP および UDP の送信元ポートは保
持されませんが、ダイナミック IP NAT では変更されません。また、以下に示すように変換
される IP プールのサイズの上限に違いがあります。
スタティック IP NAT では、元のアドレスと変換後のアドレス間に 1 対 1 のマッピングがあ
ります。単一マッピング IP アドレスは、1 対 1 として表すことができます。また、1 対 1 の
マッピング IP アドレスが多数あるプールは、M 対 M として表すことができます。
表 136. NAT タイプ
送信元ポートが
同じかどうか
宛先ポートが
変更される可
能性があるか
どうか
マッピング
タイプ
変換されるアドレ
ス プールのサイズ
ダイナミック
IP / ポート
いいえ
いいえ
多対 1
最大 254 個の連続した
アドレス
ダイナミック
IP
はい
いいえ
M対N
最大 32,000 個の連続し
たアドレス
スタティック
IP
はい
いいえ
1対1
無制限
PAN-OS
NAT タイプ
M対N
M対M
MIP
任意
1 対 多の VIP
PAT
260 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
Panorama でのポリシーの定義
NAT およびセキュリティ ポリシーでのゾーン設定の決定
NAT ルールは、ポリシーで設定されている NAT 実行前の IP アドレスに関連付けられてい
るゾーンを使用するように設定する必要があります。たとえば、内部サーバー(インター
ネット ユーザーがパブリック IP から到達)で受信したトラフィックを変換するには、パブ
リック IP アドレスが存在するゾーンを使って NAT ポリシーを設定する必要があります。こ
の場合、送信元と宛先は同じゾーンになります。別の例として、送信されるホスト トラ
フィックをパブリック IP アドレスに変換する場合は、これらのホストのプライベート IP ア
ドレスに対応する宛先ゾーンを使って NAT ポリシーを設定する必要があります。NAT 実行
前ゾーンが必要なのは、NAT がパケットを変更する前にこのマッチングを行うためです。
セキュリティ ポリシーは、NAT 実行後ゾーンを使用してトラフィックの制御するという点
で NAT ポリシーと異なります。NAT は送信元や宛先の IP アドレスに影響し、送信イン
ターフェイスとゾーンを変更する可能性があります。セキュリティ ポリシーを特定の IP ア
ドレスに作成する場合は、NAT 実行前の IP アドレスがポリシー マッチングで使用されると
いう点に留意してください。NAT に依存するトラフィックは、セキュリティ ポリシーで複
数のゾーンへの移動を明示的に許可されている必要があります。
NAT ルール オプション
ファイアウォールでは、非 NAT ルールおよび双方向 NAT ルールがサポートされています。
非 NAT ルール
非 NAT ルールを設定して、後の NAT ポリシーで定義される NAT ルールの範囲から除外す
る IP アドレスを設定できます。非 NAT ポリシーを定義するには、すべての一致条件を指定
し、[送信元変換] 列の [No Source Translation] を選択します。
双方向 NAT ルール
静的な送信元 NAT ルールの双方向設定では、同じリソースへの反対方向のトラフィックに
対応する宛先 NAT ルールが暗黙的に作成されます。この例では、2 つの NAT ルールを使用
して、IP 10.0.1.10 からパブリック IP 3.3.3.1 への送信トラフィックの送信元変換と、パブ
リック IP 3.3.3.1 からプライベート IP 10.0.1.10 へのトラフィックの宛先変換が作成されてい
ます。双方向機能を使用する 3 つ目の NAT ルールを設定するだけでこのルールのペアと同
じ効果を簡単に得られます。
図 2. 双方向 NAT ルール
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 261
Panorama でのポリシーの定義
NAT ポリシーの例
以下の NAT ポリシー ルールでは、送信元のプライベート アドレスの範囲(「L3Trust」
ゾーンの 10.0.0.1 ~ 10.0.0.100)が 1 つのパブリック IP アドレス(「L3Untrust」ゾーンの
200.10.2.100)および一意の送信元ポート番号に変換されます(送信元の動的変換)。この
ルールは、「L3Untrust」ゾーンのインターフェイスを宛先とする「L3Trust」ゾーンのレイ
ヤー 3 インターフェイスで受信したトラフィックにのみ適用されます。プライベート アドレ
スは外部から認識できないため、パブリック ネットワークからネットワーク セッションを
開始することはできません。パブリック アドレスがファイアウォール インターフェイスの
アドレスでない場合(または同じサブネットでない場合)、ファイアウォールに戻りのトラ
フィックを送信するには、ローカル ルータにスタティック ルートが必要になります。
この NAT ルールに一致するトラフィックを許可するように明示的にセキュリティ ポリシー
を設定する必要があります。NAT ルールに一致する送信元 / 宛先ゾーンおよび送信元 / 宛
先アドレスを使用してセキュリティ ポリシーを作成します。
図 3. 送信元アドレスの動的変換
以下の例では、最初の NAT ルールで内部メール サーバーのプライベート アドレスがスタ
ティック パブリック IP アドレスに変換されています。このルールは、「L3Trust」ゾーンか
ら「L3Untrust」ゾーンに送信される送信電子メールにのみ適用されます。反対方向のトラ
フィック(受信電子メール)の場合、2 番目のルールで宛先アドレスがサーバーのパブリッ
ク アドレスからプライベート アドレスに変換されます。NAT ポリシーが NAT 前のアドレ
ス ゾーンに基づいているため、ルール 2 では送信元ゾーンと宛先ゾーンに「L3untrust」を
使用しています。この場合、この NAT 前のアドレスはパブリック IP アドレスであるため
「L3untrust」ゾーンになります。
図 4. 送信元アドレスと宛先アドレスの静的変換
どちらの例でも、パブリック アドレスがファイアウォールのインターフェイスのアドレスで
ない場合(または同じサブネットでない場合)、ファイアウォールにトラフィックをルー
ティングするには、ローカル ルータにスタティック ルートを追加する必要があります。
262 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
Panorama でのポリシーの定義
NAT64
NAT64 は、IPv6 アドレスと IPv4 アドレス間で送信元および宛先 IP ヘッダーを変換するた
めに使用します。NAT64 では、IPv6 クライアントから IPv4 サーバーへのアクセスと、IPv4
クライアントから IPv6 サーバーへのアクセスが許可されます。IETF で定義される主な移行
メカニズムには、デュアルスタック、トンネリング、変換の 3 つがあります。IPv4 専用また
は IPv6 専用のネットワークを使用していて、通信が必要な場合は、変換を使用する必要が
あります。
Palo Alto Networks ファイアウォールで NAT64 ポリシーを使用するときには、NAT 機能か
ら DNS クエリ機能を切り離すためにサードパーティの DNS64 ソリューションを実装してい
る必要があります。
以下の NAT64 機能がサポートされています。
• ステートフル NAT64。1 つの IPv4 アドレスで複数の IPv6 アドレスをマッピングできる
ように、IPv4 アドレスを維持できます。IPv4 アドレスは、NAT44 で共有することもで
きます。一方、ステートレス NAT64 では、1 つの IPv4 アドレスが 1 つの IPv6 アドレス
にマッピングされます。
• IPv4 から開始される通信の変換。IPv4 アドレス / ポート番号を IPv6 IP アドレスにマッ
ピングする IPv4 の静的バインド。PAN-OS では、さらに多くの IPv4 アドレスを維持で
きるポートの書き換えもサポートされます。
• /32、/40、/48、/56、/64、および /96 のサブネットの変換が可能です。
• 複数のプレフィックスをサポートします。1 つのルールに 1 つの NAT64 プレフィックス
を割り当てることができます。
• NAT64 用に IPv4 アドレスのプールを維持する必要はありません。したがって、1 つの
IP アドレスを使用して NAT44 と NAT64 を実行することが可能です。
• ヘアピン(NAT Uターン)をサポートします。ヘアピン ループ攻撃を防止できます。
• RFC による TCP/UDP/ICMP パケットの変換をサポートしますが、ALG のない他のプ
ロトコルもサポートします(最善努力)。たとえば、GRE パケットを変換できます。こ
の変換には、NAT44 と同じ制限があります。
• PMTUD(パス MTU 検出)をサポートします。TCP の MSS(最大セグメント サイズ)
が更新されます。
• IPv6 MTU 設定を設定できます。デフォルト値は 1280 です。これは、IPv6 トラフィック
の最小 MTU です。この設定は、[Device] > [セットアップ] > [セッション] タブの [セッ
ション設定] で設定します。
• IPv4 と IPv6 間の長さ属性を変換します。
• レイヤー 3 インターフェイスおよびサブインターフェイス、トンネル、VLAN インター
フェイスでサポートされます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 263
Panorama でのポリシーの定義
NAT64 の例
ファイアウォールでは、IPv4 の送信元 NAT に似ている IPv6 から開始される通信と、IPv4
の宛先 NAT に似ている IPv4 から開始される IPv6 サーバー宛ての通信の 2 つの変換タイプ
を設定できます。
IPv6 から開始される通信
このタイプの変換では、NAT ルールの宛先 IPv6 アドレスは RFC 6052 形式の後に続くプレ
フィックスです(/32、/40、/48、/56、/64、/96)。ルールの宛先 IPv6 アドレス ネットマ
スクは、IPv4 アドレスを抽出するために使用されます。ステートフル NAT 64 を実装するた
めには、送信元変換に「ダイナミック IP およびポート」が必要です。送信元として設定する
IPv4 アドレスは、NAT44 送信元変換と同様の方法で設定します。[宛先変換] フィールドは
設定しません。ただし、アドレスがパケット内の IPv6 アドレスから抽出されるため、宛先
変換を実行する必要があります。これには、宛先 IP の一致する基準で定義されたプレフィッ
クスが使用されます。これは、/96 プレフィックスでは末尾の 4 つのオクテットですが、プ
レフィックスが /96 でない場合、IPv4 アドレスの場所が異なります。
DNS64 サーバー
ファイアウォール
NAT64 ゲートウェイ
IPv6 ネットワーク
IPv4 インターネット
Trust
Untrust
IPv6 ホスト
図 5. IPv6 クライアントから IPv4 ネットワークへの NAT64
以下の表に、この NAT64 ポリシーで必要な値を示します。
表 137.
送信元 IP
宛先 IP
送信元変換
宛先変換
Any/IPv6
アドレス
RFC6052 準拠
ネットマスクを使
用する NAT64
IPv6 プレフィッ
クス
ダイナミック IP およ
びポート モード
(IPv4 アドレスを
使用)
なし
264 • Web インターフェイス リファレンス ガイド、バージョン 7.0
(宛先 IPv6 アドレスから抽出)
Palo Alto Networks
Panorama でのポリシーの定義
IPv4 から開始される通信
IPv4 アドレスは、IPv6 アドレスにマッピングされるアドレスです。送信元変換ではスタ
ティック IP モードを使用します。送信元は、RFC6052 で定義された IPv6 プレフィックスで
設定され、IPv4 送信元アドレスに追加されます。宛先アドレスは、[宛先変換] 列で設定した
IP アドレスです。宛先ポートは書き換えが可能です。この方法では、スタティック マッピン
グを使用し、ポートを介して複数の IPv6 サーバーを 1 つの IP アドレスで共有できます。
IPv6 サーバー
DNS サーバー
ファイアウォール
NAT64 ゲートウェイ
IPv4 インターネット
IPv6 ネットワーク
Untrust
Trust
IPv4 ホスト
図 6. IPv4 インターネットから IPv6 顧客ネットワークへの Nat64
以下の表に、この NAT64 ポリシーで必要な値を示します。
表 138. IPv4 から開始される値
送信元 IP
宛先 IP
送信元変換
宛先変換
Any/IPv4
アドレス
IPv4 アドレス
スタティック
IP モード
1 つの IPv6 アドレス(実際のサー
バー IP アドレス)
(RFC 6052 形式
の IPv6 プレ
フィックス)
注:サーバー ポートの書き換えを指
定できます。
ファイアウォールのパケット処理エンジンは、NAT ルールを参照する前に、宛先ゾーンを
決定するためにルート検索を行う必要があります。NAT64 の場合、NAT プレフィックスは
NAT64 ゲートウェイでルーティングできないので、宛先ゾーン割り当ての NAT64 プレ
フィックスの到達可能性に対処することが重要です。NAT64 プレフィックスがデフォルト
のルートに到達するか、ルートがないためにドロップされる可能性が高くなります。ループ
バック ポートのように機能し、/128 以外のネットマスクを受け入れる、終端点のないトン
ネル インターフェイスをセットアップすることができます。NAT64 プレフィックスを使用
する IPv6 トラフィックが正しい宛先ゾーンに割り当てられるように、トンネルに NAT64 プ
レフィックスを適用し、適切なゾーンを適用します。NAT64 ルールが一致しない場合に NAT
64 プレフィックスを使用する IPv6 トラフィックがドロップされるという利点もあります。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 265
Panorama でのポリシーの定義
IPv4/IPv6 変換の IETF シナリオ
RFC 6144 の IETF で 定 義 さ れ る 6 つ の NAT64 ベ ー ス の シ ナ リ オ が あ り ま す。Palo Alto
Networks ファイアウォールでは、以下の表に示すように 1 つを除くすべてのシナリオがサ
ポートされます。
表 139. PAN-OS を使用する場合の IEFT シナリオ実装の概要
シナリオ
送信元 IP
宛先 IP
送信元変換
宛先変換
IPv6 ネット
ワークから
IPv4 インター
ネット
Any/IPv6
アドレス
RFC 6052 準拠
ネットマスクを
使用する NAT64
IPv6 プレフィッ
クス。
ダイナミック IP
およびポート
モード。
なし
IPv4 インター
ネットから
IPv6 ネット
ワーク
Any/IPv4
アドレス
1 つの IPv4 アド
レス
スタティック
IP モード。
IPv6 インター
ネットから
IPv4 ネット
ワーク
Any/IPv6
アドレス
IPv4 ネット
ワークから
IPv6 インター
ネット
(宛先 IPv6 アドレスから
抽出)
パブリック IPv4
アドレスを使用
1 つの IPv6 アドレス
RFC 6052 形式の
IPv6 プレフィッ
クス
RFC 6052 準拠
ネットマスクを
使用する IPV6 グ
ローバル ルー
ティングが可能な
プレフィックス
ダイナミック IP
およびポート。
プライベート
IPv4 アドレスを
使用
なし
(宛先 IPv6 アドレスから
抽出)
現在サポートされていません
IPv4 ネット
ワークから
IPv6 ネット
ワーク
Any/IPv4
アドレス
IPv6 ネット
ワークから
IPv4 ネット
ワーク
Any/IPv6
アドレス
1 つの IPv4 アド
レス
スタティック IP
モード。
1 つの IPv6 アドレス
RFC 6052 形式の
IPv6 プレフィッ
クス
RFC 6052 準拠
ネットマスクを
使用する NAT64
IPV6 プレフィッ
クス。
ダイナミック IP
およびポート。
プライベート
IPv4 アドレスを
使用
なし
(宛先 IPv6 アドレスから
抽出)
• スタティック IP — 受信トラフィックまたは送信トラフィックで使用します。スタティッ
ク IP を使用すると、送信元ポートまたは宛先ポートは変更せずに、送信元 IP アドレス
または宛先 IP アドレスを変更できます。1 つのパブリック IP アドレスを複数のプライ
ベート サーバーとサービスにマッピングするために使用する場合、同じ宛先ポートを使
うことも、別のポートに変更することもできます。
266 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
Panorama でのポリシーの定義
パブリック IP アドレスに送信されるトラフィックが適切なプライベート アド
レスにルーティングされるように、隣接するルータやファイアウォールでスタ
ティック ルートを定義することが必要になる場合もあります。パブリック ア
ドレスがファイアウォール インターフェイスと同じ場合(または同じサブネッ
トの場合)、ルータにそのアドレスのスタティック ルートは必要ありません。
NAT のサービス(TCP または UDP)ポートを指定する場合、事前に定義され
ている HTTP サービス (service-http) には 80 と 8080 の 2 つの TCP ポートが含
まれています。1 つのポート(TCP 80 など)を指定するには、新しいサービス
を定義する必要があります。
以下の表は、各 NAT タイプの要約です。2 つの動的方法では、一連のクライアント アドレ
ス (M) が NAT アドレスのプール (N) にマッピングされます。M と N は異なる数値です。ま
た、N は 1 になる可能性もあります。ダイナミック IP / ポート NAT はダイナミック IP
NAT とは異なります。ダイナミック IP / ポートでは TCP および UDP の送信元ポートは保
持されませんが、ダイナミック IP NAT では変更されません。また、以下に示すように変換
される IP プールのサイズの上限に違いがあります。
スタティック IP NAT では、元のアドレスと変換後のアドレス間に 1 対 1 のマッピングがあ
ります。単一マッピング IP アドレスは、1 対 1 として表すことができます。また、1 対 1 の
マッピング IP アドレスが多数あるプールは、M 対 M として表すことができます。
表 140. NAT タイプ
PAN-OS
NAT タイプ
送信元ポートが
同じかどうか
宛先ポートが
変更される可
能性があるか
どうか
マッピング
タイプ
変換されるアドレス
プールのサイズ
ダイナミック
IP / ポート
いいえ
いいえ
多対 1
最大 254 個の連続した
アドレス
ダイナミック
IP
はい
いいえ
M対N
最大 32,000 個の連続し
たアドレス
スタティック
IP
はい
いいえ
1対1
無制限
M対N
M対M
MIP
任意
1 対 多の VIP
PAT
ネットワーク アドレス変換ポリシーの定義
[Policies] > [NAT]
NAT ルールは、送信元ゾーンと宛先ゾーン、送信元アドレスと宛先アドレス、およびアプ
リケーション サービス(HTTP など)に基づいています。セキュリティ ポリシーと同様に、
NAT ポリシー ルールと受信トラフィックは順番に照合され、トラフィックに一致する最初
のルールが適用されます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 267
Panorama でのポリシーの定義
必要に応じて、ローカル ルータにスタティック ルートを追加し、パブリック アドレスへの
トラフィックをすべてファイアウォールにルーティングします。場合によっては、ファイア
ウォールの受信インターフェイスにスタティック ルートを追加し、プライベート アドレス
にトラフィックをルーティングして戻す必要があります。
Panorama のポリシーの定義の詳細は、「Panorama でのポリシーの定義」を参照してくだ
さい。
以下の表に、NAT および NPTv6(IPv6 ネットワーク間プレフィックス変換)の設定を説明
します。
• 「[全般] タブ」
• 「[元のパケット] タブ」
• 「[変換済みパケット] タブ」
[全般] タブ
[全般] タブを使用して、NAT ポリシーまたは NPTv6 ポリシーの名前と説明を設定します。
タグを設定すると、大量のポリシーがある場合に、ポリシーのソートやフィルタリングを行
うこともできます。作成する NAT ポリシーのタイプを選択します。ここで選択したタイプ
によって、[元のパケット] タブおよび [変換済みパケット] タブで使用できるフィールドが決
まります。
表 141. NAT ルール設定([全般] タブ)
フィールド
説明
名前
ルールを識別する名前を入力します。名前の大文字と小文字は区
別され、文字、数字、スペース、ハイフン、およびアンダースコ
アを含む最大 31 文字を指定できます。ルール名はファイアウォー
ルおよび Panorama 上で一意でなければなりません。また、デバ
イス グループとその先祖または子孫デバイス グループ内でも一意
でなければなりません。
説明
ルールの説明を入力します(最大 255 文字)。
タグ
ポリシーにタグを付ける場合、[追加] をクリックしてタグを指定し
ます。
ポリシー タグとは、ポリシーをソートまたはフィルタリングでき
るキーワードや語句です。多数のポリシーを定義していて、特定
のキーワードでタグが付けられたポリシーを表示する場合に役立
ちます。たとえば、特定のセキュリティ ポリシーに DMZ へのイ
ンバウンドのタグを付けたり、復号ポリシーに「復号」と「復号
なし」というタグを付けたり、特定のデータ センターに関するポ
リシーにその場所の名前を使用したりできます。
NAT タイプ
ルールの変換タイプを指定します。
• ipv4 — IPv4 アドレス間の変換に使用します。
• nat64 — IPv6 と IPv4 間の変換に使用します。
• nptv6 — IPv6 プレフィックス間の変換に使用します。
1 つの NAT ルールで IPv4 と IPv6 のアドレス範囲を組み合わせる
ことはできません。
268 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
Panorama でのポリシーの定義
[元のパケット] タブ
[元のパケット] タブを使用して、変換対象の送信元トラフィックと宛先トラフィック、およ
び宛先インターフェイスのタイプとサービスのタイプを定義します。同じタイプの送信元
ゾーンと宛先ゾーンを複数設定できます。また、ルールは、特定のネットワークまたは特定
の IP アドレスに適用されるように設定できます。
表 142. NAT ルール設定([元のパケット] タブ)
フィールド
説明
送信元ゾーン
宛先ゾーン
元のパケット(非 NAT)パケットについて、1 つ以上の送信元ゾー
ンと宛先ゾーンを選択します(デフォルトは [any])。ゾーンは同
じタイプ([レイヤー 2]、[レイヤー 3]、[バーチャル ワイヤー])で
ある必要があります。新しいゾーンを定義する手順については、
「セキュリティ ゾーンの定義」を参照してください。
複数のゾーンを使用して管理を簡略化できます。たとえば、複数
の内部 NAT アドレスが同じ外部 IP アドレスに送信されるように
設定できます。
宛先インターフェイス
変換に使用するインターフェイスのタイプを指定します。異なる
IP アドレス プールを持つ 2 つの ISP にネットワークが接続してい
る場合、宛先インターフェイスを使用すると、IP アドレスを異な
る方法で変換できます。
サービス
送信元アドレスまたは宛先アドレスを変換するサービスを指定し
ます。新しいサービス グループを定義する方法については、
「サービス グループ」を参照してください。
送信元アドレス
宛先アドレス
変換される送信元アドレスと宛先アドレスの組み合わせを指定し
ます。
NPTv6 では、[送信元アドレス] と [宛先アドレス] に設定されるプ
レフィックスを xxxx:xxxx::/yy という形式で指定する必要があり
ます。アドレスにインターフェイス識別子(ホスト)部分を定義
することはできません。サポートされているプレフィックス長の
範囲は /32 ~ /64 です。
[変換済みパケット] タブ
[変換済みパケット] タブを使用して、送信元アドレス変換で、送信元に対して実行する変換
のタイプと、送信元の変換後アドレス / ポートを決定します。
宛先アドレスの変換は、公開 IP アドレスによるアクセスが必要な内部ホストにも設定できま
す。この場合、[元のパケット] タブに内部ホストの送信元アドレス(パブリック)と宛先ア
ドレス(プライベート)を定義し、[変換済みパケット] タブで [宛先アドレスの変換] を有効
にして、[変換後アドレス] を入力します。公開アドレスがアクセスされると、内部ホストの
内部(宛先)アドレスに変換されます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 269
Panorama でのポリシーの定義
表 143. NAT ルール設定([ 変換済みパケット ] タブ)
フィールド
説明
送信元アドレスの変換
変換タイプ(ダイナミックまたはスタティック アドレス プール)を
選択し、送信元アドレスの変換後の IP アドレスまたはアドレス範囲
(アドレス 1 ~ アドレス 2)を入力します([変換後アドレス])。ア
ドレスの範囲は、アドレス プールの種類によって制限されます。
• ダイナミック IP およびポート — アドレス選択は、送信元 IP ア
ドレスのハッシュに基づきます。特定の送信元 IP アドレスに対
して、ファイアウォールのすべてのセッションで同じ変換後の送
信元アドレスが使用されます。ダイナミック IP およびポートの
送信元 NAT では、NAT プール内の各 IP アドレスで約 64,000 個
の連続するセッションがサポートされます。一部のプラット
フォームでは、オーバーサブスクリプションがサポートされま
す。その場合、1 つの IP で 64,000 個以上の連続するセッション
をホストできます。
Palo Alto Networks のダイナミック IP / ポート NAT では、使用
可能な IP アドレスとポートの数でサポートされる数よりも多くの
NAT セッションがサポートされます。ファイアウォールでは、
宛先 IP アドレスが一意の場合、IP アドレスとポートの組み合わ
せを PA-200、PA-500、PA-2000 シリーズ、および PA-3000 シ
リーズのファイアウォールで 2 回まで(同時)、PA-4020 と PA5020 のファイアウォールで 4 回、PA-4050、PA-4060、PA-5050、
および PA-5060 のファイアウォールで 8 回まで使用できます。
• ダイナミック IP — 指定した範囲で次に使用可能なアドレスが使
用されますが、ポート番号は変更されません。最大 32,000 個の
連続した IP アドレスがサポートされます。ダイナミック IP プー
ルには、複数のサブネットを含めることができるため、内部ネッ
トワーク アドレスを 2 つ以上の別個のパブリック サブネットに
変換できます。
– 詳細(ダイナミック IP のフォールバック)— プライマリ プー
ルのアドレスを使い切った時に使用される、IP およびポート
変換を実行する代替プールを作成するには、このオプション
を使用します。[変換後アドレス] オプションまたは [インター
フェイス アドレス] オプション(IP アドレスを動的に受け取
るインターフェイス用)を使用して、プールのアドレスを定
義できます。代替プールを作成するときには、アドレスがプ
ライマリ プールのアドレスと重複しないことを確認します。
• スタティック IP — 変換に同じアドレスが常に使用され、ポート
番号は変更されません。たとえば、送信元の範囲が 192.168.0.1 ~
192.168.0.10 で、変換の範囲が 10.0.0.1 ~ 10.0.0.10 の場合、アド
レス 192.168.0.2 は必ず 10.0.0.2 に変換されます。アドレスの範囲
は事実上、無制限です。
– NPTv6 では、送信元アドレスの変換に [スタティック IP] 変換
を使用する必要があります。NPTv6 では、[変換後アドレス]
に設定されるプレフィックスを xxxx:xxxx::/yy という形式で
指定する必要があります。アドレスにインターフェイス識別
子(ホスト)部分を定義することはできません。サポートさ
れているプレフィックス長の範囲は /32 ~ /64 です。
• None — 変換は実行されません。
270 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
Panorama でのポリシーの定義
表 143. NAT ルール設定([ 変換済みパケット ] タブ)(続き)
フィールド
説明
双方向
(任意)対応する変換(NAT または NPTv6)を設定する変換の反
対方向にも作成する場合は、双方向変換を有効にします。
双方向変換を有効にする場合は、双方向のトラフィックを
制御するセキュリティ ポリシーが設定されていることを確
認しておく必要があります。そのようなポリシーが設定さ
れていないと、双方向機能によって、パケットが双方向に
自動的に変換されるようになります。これは、意図する動
作とは異なります。
宛先アドレスの変換 — 変換
後アドレス
変換後の宛先アドレスとポート番号として、IP アドレスまたは IP
アドレスの範囲とポート番号(1 ~ 65535)を入力します。[変換済
みポート] フィールドがブランクの場合、宛先ポートは変更されま
せん。宛先の変換は、一般に、電子メール サーバーなどの内部
サーバーに対するパブリック ネットワークからのアクセスを許可
するために使用します。
NPTv6 では、宛先プレフィックス [変換後アドレス] に設定される
プレフィックスを xxxx:xxxx::/yy という形式で指定する必要があ
ります。アドレスにインターフェイス識別子(ホスト)部分を定
義することはできません。サポートされているプレフィックス長
の範囲は /32 ~ /64 です。NPTv6 では、厳密なプレフィックス変
換が行われるため、変換済みポートはサポートされていません。
ポート アドレスおよびホスト アドレスのセクションは、変換され
ずにそのまま転送されます。
ポリシーベースの転送ポリシー
[Policies] > [ポリシー ベース フォワーディング]
通常、トラフィックがファイアウォールに到着すると、入力インターフェイスの仮想ルー
ターが、宛先 IP アドレスに基づいてルートを決定し、それによって出力インターフェイス、
及び宛先セキュリティゾーンが決まります。ポリシーベースの転送 (PBF) では、送信元ゾー
ン、送信元アドレス、送信元ユーザー、宛先アドレス、宛先アプリケーション、宛先サービ
スなど、他の情報を指定して、出力インターフェイスを決定することができます。アプリ
ケーションに関連付けられた宛先 IP アドレスおよびポートの最初のセッションは、アプリ
ケーション固有のルールには一致せず、後続の PBF ルール(アプリケーションが指定されな
い)か、仮想ルーターの転送テーブルに従って転送されます。ただし、その宛先 IP アドレス
とポートでの後続のセッションはすべてアプリケーションを特定したルールに基づいて実行
されます。PBF ルールによる転送を確実に行うには、アプリケーション固有のルールを使用
することはお勧めしません。
必要に応じて PBF ルールを使用して、トラフィックが追加の仮想システムを経由するように
Forward-to-VSYS 転送アクションで強制することができます。この場合、宛先仮想システム
からファイアウォールの特定の出力インターフェイスを通じてパケットを転送する追加の
PBF ルールを定義する必要があります。
その他のポリシー タイプの設定ガイドラインと詳細は、「ポリシーとセキュリティ プロ
ファイル」を参照してください。
Panorama のポリシーの定義の詳細は、「Panorama でのポリシーの定義」を参照してくだ
さい。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 271
Panorama でのポリシーの定義
以下の表では、ポリシー ベース フォワーディング設定について説明します。
• 「[全般] タブ」
• 「[送信元] タブ」
• 「[宛先 / アプリケーション / サービス] タブ」
• 「[転送] タブ」
[全般] タブ
[全般] タブを使用して、PBF ポリシーの名前と説明を設定します。タグを設定すると、大量
のポリシーがある場合に、ポリシーのソートやフィルタリングにも使用できます。
フィールド
説明
名前
ルールを識別する名前を入力します。名前の大文字と小文字は区別され、
文字、数字、スペース、ハイフン、およびアンダースコアを含む最大 31
文字を指定できます。ルール名はファイアウォールおよび Panorama 上で
一意でなければなりません。また、デバイス グループとその先祖または
子孫デバイス グループ内でも一意でなければなりません。
説明
ポリシーの説明を入力します(最大 255 文字)。
タグ
ポリシーにタグを付ける場合、[追加] をクリックしてタグを指定します。
ポリシー タグとは、ポリシーをソートまたはフィルタリングできるキー
ワードや語句です。多数のポリシーを定義していて、特定のキーワード
でタグが付けられたポリシーを表示する場合に役立ちます。たとえば、
特定のセキュリティ ポリシーに DMZ へのインバウンドのタグを付けた
り、復号ポリシーに「復号」と「復号なし」というタグを付けたり、特
定のデータ センターに関するポリシーにその場所の名前を使用したりで
きます。
[送信元] タブ
[送信元] タブを使用して、送信元ゾーンまたは送信元アドレスを定義し、送信元から受信す
るトラフィックに転送ポリシーを適用するように設定します。
フィールド
説明
送信元ゾーン
送信元ゾーン(デフォルトは [any])を選択するには、[追加] をクリック
してドロップダウン リストから選択します。新しいゾーンを定義する手
順については、「セキュリティ ゾーンの定義」を参照してください。
複数のゾーンを使用して管理を簡略化できます。たとえば、信頼されて
いない宛先ゾーンが指定されている 3 つの異なる内部ゾーン(マーケ
ティング、販売、広報)がある場合、すべてのケースを対象とした 1 つ
のルールを作成できます。
注:ポリシーベースの転送では、レイヤー 3 タイプのゾーンのみがサ
ポートされます。
送信元アドレス
[追加] をクリックして送信元アドレス、アドレス グループ、または地域
を追加します(デフォルトは [any])。ドロップダウン リストから選択
するか、ドロップダウン リストの下部にある [アドレス]、[アドレス グ
ループ]、または [地域] のリンクをクリックして設定を指定します。
272 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
Panorama でのポリシーの定義
フィールド
説明
送信元ユーザー
[追加] をクリックして、ポリシーを適用する送信元ユーザーまたはユー
ザー グループを選択します。以下の送信元ユーザー タイプがサポート
されます。
• any — ユーザー データに関係なく任意のトラフィックが含まれます。
• pre-logon — GlobalProtect を使用してネットワークに接続しているが、
自分のシステムにはログインしていないリモート ユーザーが含まれま
す。GlobalProtect クライアントのポータルに [ログオン前] オプション
が設定されている場合、自分のマシンに現在ログインしていないユー
ザーは、ユーザー名 pre-logon として識別されます。pre-logon ユー
ザー用のポリシーを作成でき、また、ユーザーが直接ログインしてい
なくても、そのマシンは完全にログインしているかのようにドメイン
で認証されます。
• known-user — 認証されたすべてのユーザー(ユーザー データがマップ
された IP)が含まれます。このオプションは、ドメインの「ドメイン
ユーザー」グループに相当します。
• unknown — 認証されていないすべてのユーザー(ユーザーにマップさ
れていない IP アドレス)が含まれます。たとえば、unknown はゲス
ト レベルのアクセスに使用できます。これらのユーザーは、ネット
ワーク上の IP を持っていますが、ドメインに認証されず、ファイア
ウォール上に IP 対ユーザーのマッピング情報がないためです。
• select — このウィンドウで選択したユーザーが含まれます。たとえば、
1 人のユーザー、個々のユーザーのリスト、グループを追加したり、
手動でユーザーを追加する場合があります。
注:RADIUS サーバーを使用していて User-ID エージェントを使用して
いない場合、ユーザーのリストは表示されません。ユーザー情報を手動
で入力する必要があります。
[宛先 / アプリケーション / サービス] タブ
[宛先 / アプリケーション / サービス] タブを使用して、転送ルールに一致するトラフィックに
適用される宛先設定を定義します。
フィールド
説明
宛先アドレス
[追加] をクリックして宛先アドレス、アドレス グループ、または地域を
追加します(デフォルトは [any])。デフォルトでは、ルールは、any IP
アドレスに適用されます。ドロップダウン リストから選択するか、ド
ロップダウン リストの下部にある [アドレス]、[アドレス グループ]、ま
たは [地域] のリンクをクリックして設定を指定します。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 273
Panorama でのポリシーの定義
フィールド
説明
アプリケーション /
サービス
PBF ルールを適用する特定のアプリケーションを選択します。新しいア
プリケーションを定義する方法については、「アプリケーションの定
義」を参照してください。アプリケーション グループを定義する方法に
ついては、「アプリケーション グループの定義」を参照してください。
注:アプリケーション固有のルールを PBF で使用することはお勧めでき
ません。できるかぎり、サービス オブジェクト(プロトコルまたはアプ
リ ケ ー ションによって使用されるレイヤー 4 ポート(TCP または
UDP))を使用してください。詳細は、https://paloaltonetworks.com/
documentation/70/pan-os/pan-os/policy/pbf.html を参照してください。
PBF ルールでアプリケーション グループ、フィルタ、またはコンテナを
使用している場合は、[アプリケーション] 列のオブジェクトの上にマウ
スを置き、下向き矢印をクリックして [値] を選択すると、これらのオブ
ジェクトの詳細が表示されます。これにより、[Object] タブに移動しな
くても、ポリシーから直接アプリケーション メンバーを簡単に表示でき
ます。
[転送] タブ
[転送] タブを使用して、転送ポリシーに一致するトラフィックに適用されるアクションおよ
びネットワーク情報を定義します。トラフィックは、ネクスト ホップ IP アドレスまたは仮
想システムに転送することも、ドロップすることもできます。
フィールド
説明
アクション
以下のいずれかのオプションを選択します。
• 転送 — ネクストホップの IP アドレスと出力インターフェイス(指定し
たネクストホップに到達するためにパケットが通るインターフェイ
ス)を指定します。
• VSYS に転送 — ドロップダウン リストから転送先となる仮想システム
を選択します。
• 破棄 — パケットを廃棄します。
• PBF なし — パケットが通るパスを変更しません。このオプションは、
ルールに定義された送信元 / 宛先 / アプリケーション / サービスの条
件に一致するパケットを除外します。パケットの照合には、PBF の代
わりにルーティング テーブルを使用します。ファイアウォールは、
ルーティング テーブルを使用して、一致したトラフィックをリダイレ
クト ポートから除外します。
出力インターフェイス
パケットを特定の [出力インターフェイス] に向けます。
ネクスト ホップ
パケットを特定のインターフェイスに向ける場合は、そのパケットのネ
クスト ホップ IP アドレスを指定します。
モニター
(任意)モニタリングを有効にして、ターゲット IP アドレスまたはネク
スト ホップ IP アドレスとの接続を確認します。[モニター] を選択し
て、IP アドレスが到達不能な場合のアクションを指定した(デフォルト
またはカスタムの)モニタリング [プロファイル] を関連付けます。
274 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
Panorama でのポリシーの定義
フィールド
説明
対称リターンの適用
(非対称ルーティング環境では必須)[対称リターンの適用] を選択し
て、[ネクスト ホップ アドレス リスト] に 1 つまたは複数の IP アドレス
を入力します。
対称リターンを有効にすると、リターン トラフィック(たとえば、LAN
上の Trust ゾーンからインターネットへのトラフィック)が、インター
ネットからの入力トラフィックを受信したのと同じインターフェイスを
介して外向きに転送されます。
スケジュール
ルールを適用する日時を制限するには、ドロップダウン リストからスケ
ジュールを選択します。新しいスケジュールを定義する方法について
は、「復号プロファイルの SSL 復号化設定」を参照してください。
復号ポリシー
[Policies] > [復号]
トラフィックを復号化するようにファイアウォールを設定して、可視化、管理、および詳細
なセキュリティを実現できます。復号ポリシーは、SSL (Secure Sockets Layer) IMAP(S)、
POP3(S)、SMTP(S)、FTP(S)、Secure Shell (SSH) トラフィックなどの SSL カプセル化プロト
コルを含む)に適用できます。SSH 復号を使用して、許可されていないアプリケーションや
コンテンツがセキュアなプロトコルでトンネリングされないようにアウトバウンドおよびイ
ンバウンド SSH トラフィックを復号化することができます。
復号ポリシーごとに、復号化する、または復号化しない URL のカテゴリを指定します。SSL
復号を使用すると、復号化された SSL トラフィックに対して App-ID や、アンチウイルス、
脆弱性、アンチスパイウェア、URL フィルタリング、およびファイル ブロッキングの各プ
ロファイルを適用し、トラフィックがデバイスを出るときに再暗号化することができます。
復号プロファイルを復号ポリシーに適用して、トラフィックのさまざまな側面をブロックお
よび制御できます。詳細は、「復号プロファイル」を参照してください。復号化を有効にす
ると、接続中はクライアントとサーバー間でエンドツーエンドのセキュリティが保持され、
ファイアウォールは信頼されたサード パーティとして機能します。復号化されたトラフィッ
クはデバイスに残りません。
復号ポリシーは、必要に応じて全般的にまたは固有に指定できます。ポリシー ルールと受信
トラフィックは順番に照合されるため、より個別のルールの方が全般的なルールよりも優先
されます。ルールをポリシーの先頭に移動して優先されるようにするには、ルールを選択
し、[上へ] をクリックします。復号化からトラフィックを除外するポリシー([復号なし] ア
クションを使用)を有効にするには、常に優先されるようにする必要があります。
SSL フォワードプロキシの設定では、信頼された証明書を設定する必要があります。この証
明書はユーザーが接続中のサーバーが、ファイアウォールによって信頼された認証局によっ
て著名された証明書を保持している時にユーザーに提示されます。この証明書を設定するに
は、[Device] > [証明書の管理] > [証明書] ページで証明書を作成し、証明書の名前をクリッ
クして、[フォワード プロキシ用の信頼された証明書] チェック ボックスをオンにします。
「デバイス証明書の管理」を参照してください。
その他のポリシー タイプの設定ガイドラインと詳細は、「ポリシーとセキュリティ プロ
ファイル」を参照してください。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 275
Panorama でのポリシーの定義
Panorama のポリシーの定義の詳細は、「Panorama でのポリシーの定義」を参照してくだ
さい。
ファイアウォールで復号化されている場合、特定のアプリケーションは機
能しません。これが発生するのを防ぐために、PAN-OS では、これらのア
プリケーションの SSL トラフィックは復号化されず、復号ルール設定は適
用されません。
これらのアプリケーションの一覧については、サポート記事
https://live.paloaltonetworks.com/docs/DOC-1423 を参照してください。
以下の表では、復号ポリシー設定について説明します。
• 「[全般] タブ」
• 「[送信元] タブ」
• 「[宛先] タブ」
• 「[サービス / URL カテゴリ] タブ」
• 「[オプション] タブ」
[全般] タブ
[全般] タブを使用して、復号ポリシーの名前と説明を設定します。タグを設定すると、大量
のポリシーがある場合に、ポリシーのソートやフィルタリングにも使用できます。
フィールド
説明
名前
ルールを識別する名前を入力します。名前の大文字と小文字は区別さ
れ、文字、数字、スペース、ハイフン、およびアンダースコアを含む最大
31 文字を指定できます。ルール名はファイアウォールおよび Panorama 上
で一意でなければなりません。また、デバイス グループとその先祖また
は子孫デバイス グループ内でも一意でなければなりません。
説明
ルールの説明を入力します(最大 255 文字)。
タグ
ポリシーにタグを付ける場合、[追加] をクリックしてタグを指定します。
ポリシー タグとは、ポリシーをソートまたはフィルタリングできるキー
ワードや語句です。多数のポリシーを定義していて、特定のキーワード
でタグが付けられたポリシーを表示する場合に役立ちます。たとえば、
特定のセキュリティ ポリシーに DMZ へのインバウンドのタグを付けた
り、復号ポリシーに「復号」と「復号なし」というタグを付けたり、特
定のデータ センターに関するポリシーにその場所の名前を使用したりで
きます。
276 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
Panorama でのポリシーの定義
[送信元] タブ
[送信元] タブを使用して、送信元ゾーンまたは送信元アドレスを定義し、送信元から受信す
るトラフィックに復号ポリシーを適用するように設定します。
フィールド
説明
送信元ゾーン
[追加] をクリックして送信元ゾーンを選択します(デフォルトは [any])。
ゾーンは同じタイプ([レイヤー 2]、[レイヤー 3]、[バーチャル ワイヤー])
である必要があります。新しいゾーンを定義する手順については、「セ
キュリティ ゾーンの定義」を参照してください。
複数のゾーンを使用して管理を簡略化できます。たとえば、信頼されて
いない宛先ゾーンが指定されている 3 つの異なる内部ゾーン(マーケ
ティング、販売、広報)がある場合、すべてのケースを対象とした 1 つ
のルールを作成できます。
送信元アドレス
[追加] をクリックして送信元アドレス、アドレス グループ、または地域
を追加します(デフォルトは [any])。ドロップダウン リストから選択
するか、ドロップダウン リストの下部にある [アドレス]、[アドレス グ
ループ]、または [地域] のリンクをクリックして設定を指定します。[上
記以外] チェック ボックスをオンにすると、設定したアドレス以外の任
意のアドレスを指定したことになります。
送信元ユーザー
[追加] をクリックして、ポリシーを適用する送信元ユーザーまたはユー
ザー グループを選択します。以下の送信元ユーザー タイプがサポート
されます。
• any — ユーザー データに関係なく任意のトラフィックが含まれます。
• pre-logon — GlobalProtect を使用してネットワークに接続しているが、
自分のシステムにはログインしていないリモート ユーザーが含まれま
す。GlobalProtect クライアントのポータルに [ログオン前] オプション
が設定されている場合、自分のマシンに現在ログインしていないユー
ザーは、ユーザー名 pre-logon として識別されます。pre-logon ユー
ザー用のポリシーを作成でき、また、ユーザーが直接ログインしてい
なくても、そのマシンは完全にログインしているかのようにドメイン
で認証されます。
• known-user — 認証されたすべてのユーザー(ユーザー データがマッ
プされた IP)が含まれます。このオプションは、ドメインの「ドメイ
ン ユーザー」グループに相当します。
• unknown — 認証されていないすべてのユーザー(ユーザーにマップさ
れていない IP アドレス)が含まれます。たとえば、unknown をゲス
ト レベルのアクセスに対して使用できます。これらのユーザーは、
ネットワーク上の IP を持っていますが、ドメインに認証されず、ファ
イアウォール上に IP 対ユーザーのマッピング情報がないためです。
• select — このウィンドウで選択したユーザーが含まれます。たとえば、
1 人のユーザー、個々のユーザーのリスト、グループを追加したり、
手動でユーザーを追加する場合があります。
注:RADIUS サーバーを使用していて User-ID エージェントを使用して
いない場合、ユーザーのリストは表示されません。ユーザー情報を手動
で入力する必要があります。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 277
Panorama でのポリシーの定義
[宛先] タブ
[宛先] タブを使用して、宛先ゾーンまたは宛先アドレスを定義し、宛先へのトラフィックに
ポリシーを適用するように設定します。
フィールド
説明
宛先ゾーン
[追加] をクリックして宛先ゾーンを選択します(デフォルトは [any])。
ゾーンは同じタイプ([レイヤー 2]、[レイヤー 3]、[バーチャル ワイヤー])
である必要があります。新しいゾーンを定義する手順については、「セ
キュリティ ゾーンの定義」を参照してください。
複数のゾーンを使用して管理を簡略化できます。たとえば、信頼されて
いない宛先ゾーンが指定されている 3 つの異なる内部ゾーン(マーケ
ティング、販売、広報)がある場合、すべてのケースを対象とした 1 つ
のルールを作成できます。
宛先アドレス
[追加] をクリックして宛先アドレス、アドレス グループ、または地域を
追加します(デフォルトは [any])。ドロップダウン リストから選択す
るか、ドロップダウン リストの下部にある [アドレス]、[アドレス グ
ループ]、または [地域] のリンクをクリックして設定を指定します。[上
記以外] チェック ボックスをオンにすると、設定したアドレス以外の任
意のアドレスを指定したことになります。
[サービス / URL カテゴリ] タブ
[サービス / URL カテゴリ] タブでは、復号ポリシーを、TCP ポート番号に基づいてトラ
フィックに、または任意の URL カテゴリ(またはカテゴリ リスト)に適用できます。
フィールド
説明
サービス
特定の TCP/UDP ポート番号に基づいて、復号ポリシーをトラフィックに
適用します。ドロップダウン リストから以下のいずれかを選択します。
• any — 選択したアプリケーションがすべてのプロトコルやポートで許可
または拒否されます。
• application-default — 選択したアプリケーションが、Palo Alto Networks
によってアプリケーション用に定義されたデフォルトのポートでのみ
復号化(または復号化を免除)されます。
• Select — [追加] をクリックします。既存のサービスを選択するか、新
規の [サービス] または [サービス グループ] を指定します。「サービ
ス」および「サービス グループ」を参照してください。
[URL カテゴリ] タブ
復号ルールを適用する URL カテゴリを選択します。
• URL カテゴリに関係なくすべてのセッションを照合するには、[いずれ
か] を選択します。
• カテゴリを指定するには、[追加] をクリックし、ドロップダウン リス
トから特定のカテゴリ(カスタム カテゴリも含む)を選択します。複
数のカテゴリを追加できます。カスタム カテゴリの定義方法の詳細
は、「ダイナミック ブロック リスト」を参照してください。
278 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
Panorama でのポリシーの定義
[オプション] タブ
[オプション] タブを使用して、一致したトラフィックを復号化するかどうかを決定します。
[復号] が設定されている場合、復号化タイプを指定します。復号プロファイルを設定または
選択して、その他の復号化機能を追加することもできます。
フィールド
説明
アクション
トラフィックに [復号] または [復号なし] を選択します。
タイプ
ドロップダウン リストから復号化するトラフィックのタイプを選択し
ます。
• SSL フォワード プロキシ — ポリシーで外部サーバーへのクライアント
トラフィックを復号化するように指定します。
• SSH プロキシ — ポリシーで SSH トラフィックを復号化するように指
定します。このオプションでは、ssh-tunnel App-ID を指定してポリ
シーの SSH トンネリングを制御できます。
• SSL インバウンド インスペクション — ポリシーで SSL 着信検証トラ
フィックを復号化するように指定します。
復号プロファイル
既存の復号プロファイルを選択するか、新しい復号プロファイルを作成
します。「復号プロファイル」を参照してください。
アプリケーション オーバーライド ポリシーの定義
[Policies] > [アプリケーション オーバーライド]
ファイアウォールによるネットワーク トラフィックのアプリケーション分類方法を変更する
には、アプリケーション オーバーライド ポリシーを指定します。たとえば、カスタム アプ
リケーションのいずれかを制御する場合、アプリケーション オーバーライド ポリシー ルー
ルを使用すると、ゾーン、送信元アドレスと宛先アドレス、ポート、およびプロトコルに
従って、そのアプリケーションのトラフィックを識別できます。「unknown」として分類さ
れるネットワーク アプリケーションがある場合、そのアプリケーションの新しい定義を作成
できます(「アプリケーションの定義」を参照)。
セキュリティ ポリシーと同様に、必要に応じて全般的または個別のアプリケーション オー
バーライド ポリシーを使用できます。ポリシー ルールと受信トラフィックは順番に照合され
るため、より個別のルールの方が全般的なルールよりも上に来るようにする必要があります。
PAN-OS の App-ID エンジンは、ネットワーク トラフィックのアプリケーション特有のコン
テンツを識別してトラフィックを分類します。このため、カスタム アプリケーション定義で
は、単純にポート番号を使用してアプリケーションを識別することができません。アプリ
ケーション定義には、トラフィック(送信元ゾーン、送信元 IP アドレス、宛先ゾーン、およ
び宛先 IP アドレスごとに制限されます)も含まれている必要があります。
アプリケーション オーバーライドを指定するカスタム アプリケーションを作成するには、
以下の手順を実行します。
1.
カスタム アプリケーションを定義します。「アプリケーションの定義」を参照してくだ
さい。アプリケーションの使用目的がアプリケーション オーバーライド ルールのみであ
る場合、アプリケーションのシグネチャを指定する必要はありません。
2.
カスタム アプリケーションの起動時に指定されるアプリケーション オーバーライド ポ
リシーを定義します。通常ポリシーには、カスタム アプリケーションを実行している
サーバーの IP アドレスと、制限された送信元 IP アドレスのセットまたは送信元ゾーン
が含まれています。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 279
Panorama でのポリシーの定義
その他のポリシー タイプの設定ガイドラインと詳細は、「ポリシーとセキュリティ プロ
ファイル」を参照してください。
Panorama のポリシーの定義の詳細は、「Panorama でのポリシーの定義」を参照してくだ
さい。
以下の表を使用して、アプリケーション オーバーライド ルールを設定します。
• 「[全般] タブ」
• 「[送信元] タブ」
• 「[宛先] タブ」
• 「[プロトコル / アプリケーション] タブ」
[全般] タブ
[全般] タブを使用して、アプリケーション オーバーライド ポリシーの名前と説明を設定しま
す。タグを設定すると、大量のポリシーがある場合に、ポリシーのソートやフィルタリング
にも使用できます。
フィールド
説明
名前
ルールを識別する名前を入力します。名前の大文字と小文字は区別され、
文字、数字、スペース、ハイフン、およびアンダースコアを含む最大 31
文字を指定できます。ルール名はファイアウォールおよび Panorama 上で
一意でなければなりません。また、デバイス グループとその先祖または
子孫デバイス グループ内でも一意でなければなりません。
説明
ルールの説明を入力します(最大 255 文字)。
タグ
ポリシーにタグを付ける場合、[追加] をクリックしてタグを指定します。
ポリシー タグとは、ポリシーをソートまたはフィルタリングできるキー
ワードや語句です。多数のポリシーを定義していて、特定のキーワード
でタグが付けられたポリシーを表示する場合に役立ちます。たとえば、
特定のセキュリティ ポリシーに DMZ へのインバウンドのタグを付けた
り、復号ポリシーに「復号」と「復号なし」というタグを付けたり、特
定のデータ センターに関するポリシーにその場所の名前を使用したりで
きます。
[送信元] タブ
[送信元] タブを使用して、送信元ゾーンまたは送信元アドレスを定義し、送信元から受信する
トラフィックにアプリケーション オーバーライド ポリシーを適用するように設定します。
フィールド
説明
送信元ゾーン
[追加] をクリックして送信元ゾーンを選択します(デフォルトは [any])。
ゾーンは同じタイプ([レイヤー 2]、[レイヤー 3]、[バーチャル ワイヤー])
である必要があります。新しいゾーンを定義する手順については、「セ
キュリティ ゾーンの定義」を参照してください。
複数のゾーンを使用して管理を簡略化できます。たとえば、信頼されて
いない宛先ゾーンが指定されている 3 つの異なる内部ゾーン(マーケ
ティング、販売、広報)がある場合、すべてのケースを対象とした 1 つ
のルールを作成できます。
280 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
Panorama でのポリシーの定義
フィールド
説明
送信元アドレス
[追加] をクリックして送信元アドレス、アドレス グループ、または地域
を追加します(デフォルトは [any])。ドロップダウン リストから選択
するか、ドロップダウン リストの下部にある [アドレス]、[アドレス グ
ループ]、または [地域] のリンクをクリックして設定を指定します。[上
記以外] チェック ボックスをオンにすると、設定したアドレス以外の任
意のアドレスを指定したことになります。
[宛先] タブ
[宛先] タブを使用して、宛先ゾーンまたは宛先アドレスを定義し、宛先へのトラフィックに
ポリシーを適用するように設定します。
フィールド
説明
宛先ゾーン
[追加] をクリックして宛先ゾーンを選択します(デフォルトは [any])。
ゾーンは同じタイプ([レイヤー 2]、[レイヤー 3]、[バーチャル ワイヤー])
である必要があります。新しいゾーンを定義する手順については、「セ
キュリティ ゾーンの定義」を参照してください。
複数のゾーンを使用して管理を簡略化できます。たとえば、信頼されて
いない宛先ゾーンが指定されている 3 つの異なる内部ゾーン(マーケ
ティング、販売、広報)がある場合、すべてのケースを対象とした 1 つ
のルールを作成できます。
宛先アドレス
[追加] をクリックして宛先アドレス、アドレス グループ、または地域を
追加します(デフォルトは [any])。ドロップダウン リストから選択す
るか、ドロップダウン リストの下部にある [アドレス]、[アドレス グ
ループ]、または [地域] のリンクをクリックして設定を指定します。[上
記以外] チェック ボックスをオンにすると、設定したアドレス以外の任
意のアドレスを指定したことになります。
[プロトコル / アプリケーション] タブ
[プロトコル / アプリケーション] タブを使用して、プロトコル(TCP または UDP)、ポー
ト、アプリケーションを定義して、ポリシーの一致条件にするアプリケーションの属性を詳
細に指定できます。
フィールド
説明
プロトコル
アプリケーションをオーバーライドできるプロトコルを選択します。
ポート
指定した宛先アドレスのポート番号 (0 ~ 65535) またはポート番号の範
囲(ポート 1 ~ ポート 2)を入力します。複数のポートまたはポートの
範囲はコンマで区切ります。
アプリケーション
前述のルール基準に一致するトラフィック フローのオーバーライド ア
プリケーションを選択します。カスタム アプリケーションをオーバーラ
イドするときに実行される脅威検査はありません。この例外は、脅威検
査をサポートする事前に定義されたアプリケーションにオーバーライド
する場合です。
新しいアプリケーションを定義する方法については、「アプリケーショ
ンの定義」を参照してください。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 281
Panorama でのポリシーの定義
キャプティブ ポータル ポリシーの定義
[Policies] > [キャプティブ ポータル]
以下の表を使用して、認証プロファイル、認証シーケンス、または証明書プロファイルで
ユーザーが認証されるように、キャプティブ ポータルをセットアップおよびカスタマイズし
ま す。キ ャ プ テ ィ ブ ポ ー タ ル と User-ID エ ー ジ ェ ン ト を 連 動 さ せ る こ と で、Active
Directory ドメインでのユーザー識別機能を拡張できます。ユーザーはポータルに移動して
認証され、それによってユーザー対 IP のアドレス マッピングが作成されます。
キャプティブ ポータル ポリシーを定義する前に、[ユーザー ID] ページでキャプティブ ポー
タルを有効にしてキャプティブ ポータル設定を指定します(手順は 「ファイアウォールへ
のユーザー ID の設定」を参照)。
その他のポリシー タイプの設定ガイドラインと詳細は、「ポリシーとセキュリティ プロ
ファイル」を参照してください。
以下の表では、キャプティブ ポータル ポリシー設定について説明します。
• 「[全般] タブ」
• 「[送信元] タブ」
• 「[宛先] タブ」
• 「[サービス / URL カテゴリ] タブ」
• 「[アクション] タブ」
[全般] タブ
[全般] タブを使用して、キャプティブ ポータル ポリシーの名前と説明を設定します。タグを
設定すると、大量のポリシーがある場合に、ポリシーのソートやフィルタリングにも使用で
きます。
フィールド
説明
名前
ルールを識別する名前を入力します。名前の大文字と小文字は区別され、
文字、数字、スペース、ハイフン、およびアンダースコアを含む最大 31
文字を指定できます。ルール名はファイアウォールおよび Panorama 上で
一意でなければなりません。また、デバイス グループとその先祖または
子孫デバイス グループ内でも一意でなければなりません。
説明
ルールの説明を入力します(最大 255 文字)。
タグ
ポリシーにタグを付ける場合、[追加] をクリックしてタグを指定します。
ポリシー タグとは、ポリシーをソートまたはフィルタリングできるキー
ワードや語句です。多数のポリシーを定義していて、特定のキーワード
でタグが付けられたポリシーを表示する場合に役立ちます。たとえば、
特定のセキュリティ ポリシーに DMZ へのインバウンドのタグを付けた
り、復号ポリシーに「復号」と「復号なし」というタグを付けたり、特
定のデータ センターに関するポリシーにその場所の名前を使用したりで
きます。
282 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
Panorama でのポリシーの定義
[送信元] タブ
[送信元] タブを使用して、送信元ゾーンまたは送信元アドレスを定義し、送信元から受信す
るトラフィックにキャプティブ ポータル ポリシーを適用するように設定します。
フィールド
説明
ソース
以下の情報を指定します。
• 特定のゾーンにあるすべてのインターフェイスからのトラフィックに
ポリシーを適用する場合、送信元ゾーンを選択します。[追加] をク
リックして、複数のインターフェイスまたはゾーンを指定します。
• [送信元アドレス] 設定を指定して、特定の送信元アドレスからのトラ
フィックにキャプティブ ポータル ポリシーを適用します。[上記以外]
チェック ボックスをオンにすると、設定したアドレス以外の任意のア
ドレスを指定したことになります。[追加] をクリックして、複数のイ
ンターフェイスまたはゾーンを指定します。
[宛先] タブ
[宛先] タブを使用して、宛先ゾーンまたは宛先アドレスを定義し、宛先へのトラフィックに
ポリシーを適用するように設定します。
フィールド
説明
宛先
以下の情報を指定します。
• 特定のゾーンにあるすべてのインターフェイスへのトラフィックにポ
リシーを適用する場合、宛先ゾーンを選択します。[追加] をクリック
して、複数のインターフェイスまたはゾーンを指定します。
• [宛先アドレス] 設定を指定して、特定の宛先アドレスへのトラフィック
にキャプティブ ポータル ポリシーを適用します。[上記以外] チェック
ボックスをオンにすると、設定したアドレス以外の任意のアドレスを
指定したことになります。[追加] をクリックして、複数のインター
フェイスまたはゾーンを指定します。
[サービス / URL カテゴリ] タブ
[サービス / URL カテゴリ] タブを使用して、特定の TCP/UDP ポート番号に基づいて、ポリ
シーがアクションを実行するように指定します。URL カテゴリは、ポリシーの属性としても
使用できます。
フィールド
説明
サービス
特定の TCP や UDP のポート番号に制限するには、サービスを選択しま
す。ドロップダウン リストから以下のいずれかを選択します。
• any — 選択したサービスがすべてのプロトコルやポートで許可または
拒否されます。
• default — 選択したサービスが、Palo Alto Networks によって定義さ
れたデフォルトのポートでのみ許可または拒否されます。これは、許
可ポリシーの推奨オプションです。
• Select — [追加] をクリックします。既存のサービスを選択するか、[サー
ビス] または [サービス グループ] を選択して新しいエントリを指定しま
す。「サービス」および「サービス グループ」を参照してください。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 283
Panorama でのポリシーの定義
フィールド
説明
URL カテゴリ
キャプティブ ポータル ルールを適用する URL カテゴリを選択します。
• URL カテゴリに関係なく [サービス / アクション] タブで指定したアク
ションを適用するには、[いずれか] を選択します。
• カテゴリを指定するには、[追加] をクリックし、ドロップダウン リス
トから特定のカテゴリ(カスタム カテゴリも含む)を選択します。複
数のカテゴリを追加できます。カスタム カテゴリの定義方法の詳細
は、「ダイナミック ブロック リスト」を参照してください。
[アクション] タブ
[アクション] タブを使用して、ユーザーに Web フォームおよびブラウザ チャレンジ ダイア
ログが表示されるかどうか、またはキャプティブ ポータル チャレンジを実行しないかどう
かを決定します。
フィールド
説明
アクション設定
実行するアクションを選択します。
• web-form — 明示的に認証情報を入力するためのキャプティブ ポータ
ル ページがユーザーに表示されます。
• no-captive-portal — 認証のためのキャプティブ ポータル ページを表示
することなくトラフィックの通過を許可します。
• browser-challenge — ユーザーの Web ブラウザへの NT LAN Manager
(NTLM) 認証要求を開きます。Web ブラウザは、ユーザーの現在のロ
グイン資格証明を使用して応答します。
DoS プロファイルの定義
[Policies] > [DoS プロテクション]
DoS プロテクション ポリシーでは、インターフェイス、ゾーン、アドレス、国の間のセッ
ション数を集約セッション、送信元 IP アドレス、宛先 IP アドレスに基づいて制御できま
す。たとえば、特定のアドレスまたはアドレス グループと送受信されるトラフィック、特定
のユーザーから受信するトラフィック、特定のサービスに使用するトラフィックを制御でき
ます。
DoS ポリシーには、攻撃を示すしきい値(セッション数またはパケット数 / 秒)を指定する
DoS プロファイルを含めることができます。ポリシーで、一致がトリガーされたときの保護
アクションを選択できます。
Panorama のポリシーの定義の詳細は、「Panorama でのポリシーの定義」を参照してくだ
さい。
このページを使用して、DoS プロテクション ポリシー ルールを追加、編集、または削除しま
す。ポリシー ルールを追加するには、[追加] をクリックし、以下のフィールドを入力します。
284 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
Panorama でのポリシーの定義
[全般] タブ
[全般] タブを使用して、DoS ポリシーの名前と説明を設定します。タグを設定すると、大量
のポリシーがある場合に、ポリシーのソートやフィルタリングにも使用できます。
フィールド
説明
名前
ルールを識別する名前を入力します。名前の大文字と小文字は区別され、
文字、数字、スペース、ハイフン、およびアンダースコアを含む最大 31
文字を指定できます。ルール名はファイアウォールおよび Panorama 上で
一意でなければなりません。また、デバイス グループとその先祖または
子孫デバイス グループ内でも一意でなければなりません。
説明
ルールの説明を入力します(最大 255 文字)。
タグ
ポリシーにタグを付ける場合、[追加] をクリックしてタグを指定します。
ポリシー タグとは、ポリシーをソートまたはフィルタリングできるキー
ワードや語句です。多数のポリシーを定義していて、特定のキーワード
でタグが付けられたポリシーを表示する場合に役立ちます。たとえば、
特定のセキュリティ ポリシーに DMZ へのインバウンドのタグを付けた
り、復号ポリシーに「復号」と「復号なし」というタグを付けたり、特
定のデータ センターに関するポリシーにその場所の名前を使用したりで
きます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 285
Panorama でのポリシーの定義
[送信元] タブ
[送信元] タブを使用して、送信元ゾーンまたは送信元アドレスを定義し、送信元から受信す
るトラフィックに DoS ポリシーを適用するように設定します。
フィールド
説明
ソース
以下の情報を指定します。
• [タイプ] ドロップダウン リストから [インターフェイス] を選択し、イ
ンターフェイスまたはインターフェイス グループからのトラフィック
に DoS ポリシーを適用します。特定のゾーンにあるすべてのインター
フェイスからのトラフィックに DoS ポリシーを適用する場合、[ゾーン]
を選択します。[追加] をクリックして、複数のインターフェイスまた
はゾーンを指定します。
• [送信元アドレス] 設定を指定して、特定の送信元アドレスからのトラ
フィックに DoS ポリシーを適用します。[上記以外] チェック ボックス
をオンにすると、設定したアドレス以外の任意のアドレスを指定した
ことになります。複数のアドレスを指定するには、[追加] をクリック
します。
• [送信元ユーザー] 設定を指定して、特定のユーザーからのトラフィック
に DoS ポリシーを適用します。以下の送信元ユーザー タイプがサポー
トされます。
– any — ユーザー データに関係なく任意のトラフィックが含
まれます。
– pre-logon — GlobalProtect を使用してネットワークに接続
しているが、自分のシステムにはログインしていないリ
モート ユーザーが含まれます。GlobalProtect クライアン
トのポータルに [ログオン前] オプションが設定されてい
る場合、自分のマシンに現在ログインしていないユー
ザーは、ユーザー名 pre-logon として識別されます。prelogon ユーザー用のポリシーを作成でき、また、ユーザー
が直接ログインしていなくても、そのマシンは完全にロ
グインしているかのようにドメインで認証されます。
– known-user — 認証されたすべてのユーザー(ユーザー デー
タがマップされた IP)が含まれます。このオプションは、
ドメインの「ドメイン ユーザー」グループに相当します。
– unknown — 認証されていないすべてのユーザー(ユーザー
にマップされていない IP アドレス)が含まれます。たと
えば、unknown をゲスト レベルのアクセスに対して使用
できます。これらのユーザーは、ネットワーク上の IP を
持っていますが、ドメインに認証されず、ファイアウォー
ル上に IP 対ユーザーのマッピング情報がないためです。
– select — このウィンドウで選択したユーザーが含まれます。
たとえば、1 人のユーザー、個々のユーザーのリスト、グ
ループを追加したり、手動でユーザーを追加する場合が
あります。
注:RADIUS サーバーを使用していて User-ID エージェントを使用して
いない場合、ユーザーのリストは表示されません。ユーザー情報を手動
で入力する必要があります。
286 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
Panorama でのポリシーの定義
[宛先] タブ
[宛先] タブを使用して、宛先ゾーンまたは宛先アドレスを定義し、宛先へのトラフィックに
ポリシーを適用するように設定します。
フィールド
説明
宛先
以下の情報を指定します。
• [タイプ] ドロップダウン リストから [インターフェイス] を選択し、イ
ンターフェイスまたはインターフェイス グループからのトラフィック
に DoS ポリシーを適用します。特定のゾーンにあるすべてのインター
フェイスからのトラフィックに DoS ポリシーを適用する場合、[ゾーン]
を選択します。[追加] をクリックして、複数のインターフェイスまた
はゾーンを指定します。
• [宛先アドレス] 設定を指定して、特定の宛先アドレスへのトラフィック
に DoS ポリシーを適用します。[上記以外] チェック ボックスをオンに
すると、設定したアドレス以外の任意のアドレスを指定したことにな
ります。複数のアドレスを指定するには、[追加] をクリックします。
[オプション / 保護] タブ
[オプション / 保護] タブを使用して、DoS ポリシーの追加のオプションを設定します。たと
えば、サービスのタイプ(http または https)、実行するアクション、一致したトラフィッ
クのログ転送をトリガーするかどうかなどを設定できます。また、ポリシーをアクティブに
するスケジュールを定義したり、[Aggregate] または [Classified] DoS プロファイルを選択し
て、DoS プロテクションの詳細な属性を定義することもできます。
フィールド
説明
サービス
ドロップダウン リストから選択し、設定したサービスにのみ DoS ポリ
シーを適用します。
アクション
ドロップダウン リストからアクションを選択します。
• 拒否 — すべてのトラフィックが廃棄されます。
• 許可 — すべてのトラフィックが許可されます。
• 保護 — このルールに適用される DoS プロファイルの一部として設定し
たしきい値による保護を適用します。
スケジュール
事前に設定したスケジュールをドロップダウン リストから選択し、特定
の日付 / 時間に DoS ルールを適用します。
ログの転送
脅威ログ エントリの外部サービス(Syslog サーバー、Panorama など)
への転送をトリガーする場合、ドロップダウンからログ転送プロファイ
ルを選択するか、[プロファイル] をクリックして新しいプロファイルを
作成します。ログに記録されて転送されるのは、ルール内のアクション
に一致するトラフィックのみです。
集約
ドロップダウン リストから DoS プロテクション プロファイルを選択
し、DoS 脅威に対してアクションを実行するトラフィック量を決定しま
す。[Aggregate] 設定は、指定した送信元から指定した宛先へのすべて
のトラフィックの合計に対して適用されます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 287
セキュリティ プロファイル
フィールド
説明
Classified
チェック ボックスをオンにして以下を指定します。
• プロファイル — ドロップダウン リストからプロファイルを選択します。
• Address — 送信元(送信元 IP アドレス)および宛先(宛先 IP アドレ
ス)にルールを適用するかどうかを選択します。
[Classified] プロファイルを指定すると、プロファイルの制限が送信元 IP
アドレス、宛先 IP アドレス、または送信元 IP アドレスと宛先 IP アドレ
スのペアに適用されます。たとえば、セッションの制限が 100 である分
類済みのプロファイルを指定し、ルールの「送信元」の [アドレス] 設定
を指定できます。この特定の送信元 IP アドレスのセッションが常に 100
に制限されます。
セキュリティ プロファイル
セキュリティ プロファイルでは、セキュリティ ポリシーで脅威から保護します。各セキュ
リティ ポリシーには、1 つ以上のセキュリティ プロファイルを含めることができます。
以下のタイプのプロファイルを使用できます。
• アンチウイルス プロファイル — ワーム、ウイルス、トロイの木馬から保護したり、スパ
イウェアのダウンロードをブロックしたりします。「アンチウイルス プロファイル」を
参照してください。
• アンチスパイウェア プロファイル — 侵入されたホストのスパイウェアから外部指揮統制
(C2) サーバーに対する phone-home 通信またはビーコン通信の試みをブロックします。
「アンチスパイウェア プロファイル」を参照してください。
• 脆弱性防御プロファイル — システムの脆弱性の悪用やシステムへの不正アクセスを防止
します。「脆弱性防御プロファイル」を参照してください。
• URL フィルタリング プロファイル — 特定の Web サイトや Web サイト カテゴリ(ショッ
ピングやギャンブルなど)へのユーザーのアクセスを制限します。「URL フィルタリン
グ プロファイル」を参照してください。
• ファイル ブロッキング プロファイル — 選択したファイル タイプの指定したセッション
フロー方向(インバウンド、アウトバウンド、両方)のトラフィックをブロックしま
す。「ファイル ブロッキング プロファイル」を参照してください。
• WildFire 分析プロファイル — WildFire アプライアンスまたは WildFire クラウドでロー
カルに実行されるファイル分析を指定します。「WildFire 分析プロファイル」を参照し
てください。
• データ フィルタリング プロファイル — クレジット カード番号や社会保障番号などの機
密情報が、保護されたネットワークから漏出するのを防ぎます。「データ フィルタリン
グ プロファイル」を参照してください。
個々のプロファイルの他に、いっしょに適用されることが多いプロファイルをまとめて、
[Objects] > [セキュリティ プロファイル グループ] でセキュリティ プロファイル グループを
作成することもできます。
288 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
セキュリティ プロファイル
セキュリティ プロファイルのアクション
アクションには、脅威イベントに対するファイアウォールの応答方法を指定します。Palo
Alto Networks で定義されている脅威やウイルス シグネチャには、デフォルト アクションが
用意されています。デフォルト アクションは通常、[アラート] または [両方のリセット] に設
定されています。前者は、通知用に有効にしたオプションを使用して通知されます。後者
は、接続の両側をリセットします。ただし、デフォルト アクションは、ファイアウォール上
で定義またはオーバーライドできます。アンチウイルス プロファイル、アンチスパイウェア
プロファイル、脆弱性防御プロファイル、カスタム スパイウェア オブジェクト、またはカ
スタム脆弱性オブジェクトを定義する際には、以下のアクションを適用できます。
アクション
説明
デフォルト
各脅威に対して内部
的に指定されている
デフォルト アクショ
ンが実行されます。
アンチ
ウイルス
プロファ
イル
アンチス
パイウェア
プロ
ファイル
脆弱性防
御プロ
ファイル
カスタム
オブジェ
クト —
スパイ
ウェアと
脆弱性




アンチウイルス プロファ
イ ル の 場 合、ウ イ ル ス
シグネチャのデフォル
ト アクションが実行さ
れます。
許可
アプリケーション ト
ラフィックが許可さ
れます。




アラート
各アプリケーション
トラフィック フロー
のアラートが生成さ
れ ま す。ア ラ ー ト は
脅威ログに保存され
ます。




ドロップ
アプリケーション ト
ラフィックが廃棄され
ます。




クライアント
のリセット
TCP の場 合、ク ラ イ
アント側の接続がリ
セットされます。




UDP の場合、接続が廃
棄されます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 289
セキュリティ プロファイル
アクション
説明
サーバーの
リセット
TCP の場合、サーバー
側の接続がリセットさ
れます。
アンチ
ウイルス
プロファ
イル
アンチス
パイウェア
プロ
ファイル
脆弱性防
御プロ
ファイル
カスタム
オブジェ
クト —
スパイ
ウェアと
脆弱性












UDP の場合、接続が廃
棄されます。
両方の
リセット
TCP の場 合、ク ラ イ
アント側とサーバー
側の両方の接続がリ
セットされます。
UDP の場合、接続が廃
棄されます。
ブロック IP
このアクションで
は、送 信 元 か ら の ト
ラフィックまたは送
信元と宛先のペアか
らのトラフィックが
指 定 し た 期 間(設 定
可 能)ブ ロ ッ ク さ れ
ます。
セキュリティ ポリシーで使用されているプロファイルは削除できませ
ん。最初にセキュリティ ポリシーからプロファイルを削除してから、削
除する必要があります。
290 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
セキュリティ プロファイル
アンチウイルス プロファイル
[Objects] > [セキュリティ プロファイル] > [アンチウイルス]
[アンチウイルス プロファイル] ページを使用して、定義されたトラフィックに対するファイ
アウォールのウイルス スキャンのオプションを設定します。ウイルス検査対象のアプリケー
ションと、ウイルス検出時に実行するアクションを設定します。デフォルトのプロファイル
では、表示されているすべてのプロトコル デコーダがウイルス検査の対象になります。
Simple Mail Transport Protocol (SMTP)、Internet Message Access Protocol (IMAP)、お よ び
Post Office Protocol Version 3 (POP3) ではアラートが生成され、他のアプリケーションでは
検出されたウイルスのタイプに応じてデフォルトのアクション(アラートまたは拒否)が実
行されます。プロファイルは、セキュリティ ポリシーに添付されて、検査対象となる、特定
のゾーンをトラバースするトラフィックを判別します。
カスタマイズしたプロファイルを使用して、信頼されたセキュリティ ゾーン間のトラフィッ
クに対するウイルス対策の検査を最小限に抑え、インターネットなどの信頼されていない
ゾーンから受信したトラフィックや、サーバー ファームなどの機密性の高い宛先に送信され
るトラフィックの検査を最大化できます。
すべてのセキュリティ プロファイル タイプのリストと、一致したトラフィックに対して実
行できるアクションについては、「セキュリティ プロファイル」を参照してください。
以下の表では、ポリシー ベース フォワーディング設定について説明します。
• 「[アンチウイルス プロファイル] ダイアログ」
• 「[アンチウイルス] タブ」
• 「[例外] タブ」
[アンチウイルス プロファイル] ダイアログ
このダイアログを使用して、プロファイルの名前と説明を定義します。
フィールド
説明
名前
プロファイル名(最大 31 文字)を入力します。この名前は、セキュリ
ティ ポリシーを定義するときにアンチウイルス プロファイルのリスト
に表示されます。名前の大文字と小文字は区別されます。また、一意の
名前にする必要があります。文字、数字、スペース、ハイフン、ピリオ
ド、およびアンダースコアのみを使用してください。
説明
プロファイルの説明を入力します(最大 255 文字)。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 291
セキュリティ プロファイル
フィールド
説明
共有
プロファイルを以下に対して公開するには、このチェック ボックスをオ
ンにします。
• multi-vsys ファイアウォールの各仮想システム (vsys)。このチェック
ボックスをオフにすると、プロファイルは [Objects] タブで選択され
た [仮想システム] に対してのみ公開されます。
• Panorama 上の各デバイス グループ。このチェック ボックスをオフに
すると、[Objects] タブで選択した [デバイス グループ] に対してのみ
プロファイルが公開されます。
オーバーライドの無効化
(Panorama のみ)
管理者が継承値をオーバーライドして子孫デバイス グループのプロファ
イルのローカル コピーを作成しないようにするには、このチェック
ボックスをオンにします。デフォルトでは、このチェック ボックスはオ
フ(オーバーライドが有効)になっています。
[アンチウイルス] タブ
[アンチウイルス] タブを使用して、検査するトラフィックのタイプ(ftp、http など)を定義
し、実行するアクションを指定します。標準のアンチウイルス シグネチャ([アクション]
列)と WildFire システムで生成されたシグネチャ([WildFire アクション] 列)にさまざまな
アクションを定義できます。環境によっては、アンチウイルス シグネチャに長めのソーク時
間を必要とするため、このオプションでは、Palo Alto Networks が提供する 2 つのアンチウ
イルス シグネチャ タイプに異なるアクションを設定できます。たとえば、標準のアンチウ
イルス シグネチャは、リリースされるまでのソーク時間がより長い(24 時間)のに対し、
WildFire シグネチャは脅威が検出されてから 15 分以内に生成されてリリースされます。こ
のため、アクションに block ではなく、WildFire シグネチャに基づく alert を選択する必要
が生じることもあります。
[アプリケーション例外] テーブルを使用して、検査対象外のアプリケーションを定義しま
す。たとえば、http は allow にし、一方で http 経由で動作する特定のアプリケーションから
のトラフィックは検査対象外にすることもできます。
フィールド
説明
パケット キャプチャ
識別されたパケットをキャプチャするには、このチェック ボックスをオ
ンにします。
デコーダとアクション
ウイルスを検査するトラフィックのタイプごとに、ドロップダウン リス
トからアクションを選択します。WireFire で作成されたシグネチャに基
づいて特定のアクションを実行することもできます。
292 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
セキュリティ プロファイル
フィールド
説明
アプリケーション例外と
アクション
アンチウイルス ルールの適用対象から除外するアプリケーションを指定
します。
たとえば、特定のアプリケーションを除くすべての HTTP トラフィック
をブロックするには、そのアプリケーションが例外になるようにアンチ
ウイルス プロファイルを定義します。[ブロック] は HTTP デコーダに対
するアクションで、[許可] はアプリケーションの例外です。
アプリケーションを検索するには、アプリケーション名をテキスト ボッ
クスに入力します。一致するアプリケーションのリストが表示され、選
択ができるようになります。アプリケーションが表に追加され、アク
ションを割り当てられるようになります。
アプリケーション例外ごとに、脅威の検出時に実行するアクションを選
択します。アクションの一覧については、「セキュリティ プロファイル
のアクション」を参照してください。
[例外] タブ
[例外] タブを使用して、アンチウイルス プロファイルで無視する脅威のリストを定義します。
フィールド
説明
脅威 ID
無視する特定の脅威を追加します。設定済みの例外のシグネチャが表示
されます。例外扱いにする脅威を追加するには、Threat ID を入力して
[追加] をクリックします。Threat ID は、Threat ログの情報の一部とし
て表示されます。「ログの表示」を参照してください。
アンチスパイウェア プロファイル
[Objects] > [セキュリティ プロファイル] > [アンチスパイウェア]
アンチスパイウェア プロファイルをセキュリティ ポリシーに関連付けることで、ネット
ワーク上のシステムにインストールされたスパイウェアを発信元とする「フォンホーム」接
続を検出できます。
セキュリティ ポリシー内の 2 つの事前定義済みアンチスパイウェア プロファイルのどちら
かを選択できます。これらの各プロファイルには、脅威の重大度別に整理された事前定義
ルールのセットが用意されています。各脅威シグネチャには、Palo Alto Networks によって
指定されたデフォルト アクションが含まれています。
• default — 各シグネチャのデフォルトのアクションを使用します。デフォルトのアクショ
ンは、シグネチャの作成時に Palo Alto Networks によって指定されます。
• strict — strict プロファイルは、重要、高、中の重大度の脅威のシグネチャ ファイルに定
義されているアクションをオーバーライドして、ブロック アクションに設定します。デ
フォルト アクションは、低および情報の重大度を持つ脅威とみなされます。
カスタムのプロファイルを作成することもできます。たとえば、信頼されたセキュリティ
ゾーン間のトラフィックのアンチスパイウェア検査における厳重度を軽減して、インター
ネットから受信したトラフィック、またはサーバー ファームなどの保護資産に送信されるト
ラフィックの検査の厳重度を最大化するといったことができます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 293
セキュリティ プロファイル
ルールの設定
[例外] 設定では、特定のシグネチャのアクションを変更できます。たとえば、特定のシグネ
チャ セットについてアラートを生成し、他のすべてのシグネチャに一致するすべてのパケッ
トをブロックできます。脅威例外は、通常、誤検出が発生したときに設定します。脅威例外
の管理を容易にするために、脅威例外を [Monitor] > [ログ] > [脅威] リストから直接追加でき
ます。新規の脅威から保護されるように、または誤検出に対する新しいシグネチャがインス
トールされるように、最新のコンテンツ更新を取得してください。
[DNS シグネチャ] 設定は、ネットワーク上の感染したホストを特定する追加方法です。これ
らのシグネチャでは、マルウェアに関連付けられたホスト名をルックアップする特定の DNS
ルックアップを検出します。DNS シグネチャは、通常のアンチウイルス シグネチャと同様
に、これらのクエリが観察されると許可、アラート、またはブロック(デフォルト)するよ
うに設定できます。さらに、マルウェア ドメインの DNS クエリを実行するホストはボット
ネット レポートに表示されます。DNS シグネチャは、アンチウイルス更新の一部としてダ
ウンロードされます。
[アンチスパイウェア] ページには、一連のデフォルト列が表示されます。列を選択するオプ
ションを使用すれば、その他の情報列を表示できます。列ヘッダーの右側にある矢印をク
リックし、[カラム] サブメニューから列を選択します。詳細は、「トランザクションのロッ
ク」を参照してください。
以下の表では、アンチスパイウェア プロファイル設定について説明します。
表 144. アンチスパイウェア プロファイル設定
フィールド
説明
名前
プロファイル名(最大 31 文字)を入力します。この名前は、セキュリ
ティ ポリシーを定義するときにアンチスパイウェア プロファイルのリ
ストに表示されます。名前の大文字と小文字は区別されます。また、一
意の名前にする必要があります。文字、数字、スペース、ハイフン、ピ
リオド、およびアンダースコアのみを使用してください。
説明
プロファイルの説明を入力します(最大 255 文字)。
共有
プロファイルを以下に対して公開するには、このチェック ボックスをオ
ンにします。
• multi-vsys ファイアウォールの各仮想システム (vsys)。このチェック
ボックスをオフにすると、プロファイルは [Objects] タブで選択され
た [仮想システム] に対してのみ公開されます。
• Panorama 上の各デバイス グループ。このチェック ボックスをオフに
すると、[Objects] タブで選択した [デバイス グループ] に対してのみ
プロファイルが公開されます。
オーバーライドの無効化
(Panorama のみ)
管理者が継承値をオーバーライドして子孫デバイス グループのプロファ
イルのローカル コピーを作成しないようにするには、このチェック
ボックスをオンにします。デフォルトでは、このチェック ボックスはオ
フ(オーバーライドが有効)になっています。
[ルール] タブ
ルール名
ルール名を指定します。
脅威名
すべてのシグネチャを照合する場合は「any」と入力します。または、
シグネチャ名の一部として入力されたテキストを含むすべてのシグネ
チャを照合するテキストを入力します。
重大度
重大度レベル([critical]、[high]、[medium]、[low]、または
[informational])を選択します。
294 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
セキュリティ プロファイル
表 144. アンチスパイウェア プロファイル設定 (続き)
フィールド
説明
アクション
各脅威のアクションを選択します。アクションの一覧については、「セ
キュリティ プロファイルのアクション」を参照してください。
パケット キャプチャ
識別されたパケットをキャプチャするには、このチェック ボックスをオ
ンにします。
脅威が検出されたときに 1 つのパケットをキャプチャするには、singlepacket、1 ~ 50 個のパケットをキャプチャするには、extended-capture
オプションを選択します。extended-capture では、脅威ログを分析する
ときに脅威についてより詳細なコンテキストを得られます。パケット
キャプチャを表示するには、[Monitor] > [ログ] > [脅威] に移動し、関心
のあるログ エントリを見つけて、第 2 列にある緑の下矢印をクリックし
ます。キャプチャするパケットの数を定義するには、[Device] > [セット
アップ] > [コンテンツ ID] に移動し、[コンテンツ ID 設定] セクション
を編集します。
パケット キャプチャは、アクションが allow または alert の場合にのみ
行われます。block アクションが設定されている場合、セッションは即
座に終了します。
[例外] タブ
例外
アクションを割り当てる各脅威の [有効化] チェック ボックスをオンに
するか、[すべて] を選択してリストにあるすべての脅威をオンにしま
す。このリストは、選択したホスト、カテゴリ、および重大度によって
異なります。リストが空の場合、現在の選択に対応する脅威がないこと
を表します。
[IP Address Exemptions] 列を使用して、脅威例外をフィルタリングする
IP アドレスを追加します。脅威例外に IP アドレスが追加されている場
合、そのシグネチャの脅威例外アクションは、送信元または宛先 IP の
いずれかが例外の IP に一致するセッションによってシグネチャがトリ
ガーされる場合にのみ、ルールのアクションよりも優先されます。シグ
ネチャあたり最大 100 個の IP アドレスを追加できます。このオプショ
ンでは、特定の IP アドレスの例外を作成するために新しいポリシー
ルールと新しい脆弱性プロファイルを作成する必要はありません。
[DNS シグネチャ] タブ
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 295
セキュリティ プロファイル
表 144. アンチスパイウェア プロファイル設定 (続き)
フィールド
説明
DNS クエリに対する
アクション
既知のマルウェア サイトに対して DNS ルックアップが実行されたとき
に実行するアクション([許可]、[ブロック]、[シンクホール]、[デフォ
ルト](アラート))を選択します。
DNS シンクホール アクションを使用すると、管理者は、ファイア
ウ ォ ー ルがローカル DNS サーバーよりもインターネット側にある
(ファイアウォールが DNS クエリの発行元を認識できない)場合も含
め、DNS トラフィックを使用してネットワーク上の感染ホストを識別
することができます。脅威防御ライセンスがインストールされていて、
セキュリティ プロファイルでアンチスパイウェア プロファイルが有効
な場合、DNS ベースのシグネチャが、マルウェア ドメインへの DNS ク
エリによってトリガーします。ファイアウォールがローカル DNS サー
バーよりもインターネット側にある通常のデプロイメントでは、脅威ロ
グは、実際の感染ホストではなくローカル DNS リゾルバをトラフィッ
クの送信元として識別します。マルウェア DNS クエリをシンクホール
すると、有害なドメインへのクエリに対する応答を偽装することで、こ
の可視性の問題が解決されます。そのため、悪意のあるドメイン(たと
えば、コマンドアンドコントロールなど)への接続を試みるクライアン
トは、代わりに管理者が指定した IP アドレスへに接続を試みることに
なります。こうすることで、感染ホストをトラフィック ログ内で容易に
特定できます。シンクホール IP への接続を試みるホストはすべて、マ
ルウェアに感染している可能性が高いためです。
シンクホール アクションを選択した後、シンクホールとして使用する
IPv4/IPv6 アドレスを指定します(デフォルトは、ループバック IP で、
ドメインをローカル ホストに解決します)。シンクホール IP アドレス
が設定されると、感染クライアントは、トラフィック ログをフィルタリ
ングするか、または指定された IP アドレスへのセッションがあるか
チェックするカスタム レポートを作成することで特定できます。セッ
ションがファイアウォールを経由してルーティングされ、ファイア
ウォールがセッションを認識できるように IP アドレスを選択することが
重要です。たとえば、別の内部ゾーン内の未使用 IP などを選択します。
以下は、シンクホール機能が有効な場合に発生するイベントの流れです。
1.
感染したクライアント コンピュータ上の有害なソフトウェア
が DNS クエリを送信して、インターネット上の有害なホス
トを解決します。
2.
クライアントの DNS クエリが内部 DNS サーバーに送信さ
れ、ファイアウォールの反対側にある公開 DNS サーバーを
クエリします。
3.
DNS クエリは、DNS シグネチャ データベース内の DNS エ
ントリと一致するため、シンクホール アクションがクエリ
に対して実行されます。
4.
感染したクライアントは、そのホストでセッションを開始し
ようとしますが、代わりに偽装 IP アドレスを使用します。
偽装 IP アドレスは、アンチスパイウェア プロファイルの
[DNS シグネチャ] タブでシンクホール アクションが選択さ
れたときに定義されたアドレスです。
5.
管理者は、脅威ログに有害な DNS クエリがあるというアラー
ト通知を受け取り、トラフィック ログ内のシンクホール IP
アドレスを検索して、シンクホール IP アドレスでセッショ
ンを開始しようとしているクライアント IP アドレスを容易
に特定できます。
296 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
セキュリティ プロファイル
表 144. アンチスパイウェア プロファイル設定 (続き)
フィールド
説明
パケット キャプチャ
識別されたパケットをキャプチャするには、このチェック ボックスをオ
ンにします。
パッシブ DNS モニタリ
ングを有効にする
これは、ファイアウォールがパッシブ DNS センサーとして機能し、選
択した DNS 情報を Palo Alto Networks に送信して分析できるようにし
て、脅威インテリジェンスと脅威防御機能の向上を図るオプトイン機能
です。収集されるデータとして、非再帰的(個々のクライアントではな
く、ローカルの再帰的リゾルバから発行される)DNS クエリや、応答
パケットのペイロードなどがあります。この情報は、Palo Alto Networks
の脅威調査チームで、DNS システムを悪用するマルウェアの伝播およ
び防御回避技法への洞察を得るために使用されます。このデータ収集に
よって集められた情報は、PAN-DB URL フィルタリング、DNS ベース
のコマンドアンドコントロール シグネチャ、および WildFire 内の精度
とマルウェア検出機能の向上に使用されます。この機能は、有効に設定
することをお勧めします。
ファイアウォールにカスタム サービス ルートが設定されている場合、
パッシブ DNS 機能は WildFire サービス ルートを使用して DNS 情報を
Palo Alto Networks に送信します。
このオプションはデフォルトで無効になっています。
脅威 ID
DNS シグネチャ例外を手動で入力します(範囲は 4000000 ~ 4999999)。
脆弱性防御プロファイル
[Objects] > [Security Profiles] > [Vulnerability Protection]
セキュリティ ポリシーでは脆弱性防御プロファイルを指定できます。このプロファイルで
は、システムの脆弱性を悪用するバッファ オーバーフローや不正コードの実行などに対する
保護レベルを定義します。脆弱性防御機能では、以下の 2 つの事前定義済みプロファイルを
使用できます。
• default プロファイルでは、default アクションがすべてのクライアントおよびサーバーの
重大度が critical、high、medium の脆弱性に適用されます。low および informational
の脆弱性防御イベントは検出されません。
• strict プロファイルでは、block 応答がすべてのクライアントおよびサーバーの重大度が
critical、high、medium のスパイウェア イベントに適用され、default アクションが low
および informational の脆弱性防御イベントに使用されます。
カスタマイズしたプロファイルを使用して、信頼されたセキュリティ ゾーン間のトラフィッ
クに対する脆弱性の検査を最小限に抑え、インターネットなどの信頼されていないゾーンか
ら受信したトラフィックや、サーバー ファームなどの機密性の高い宛先に送信されるトラ
フィックの保護を最大化できます。脆弱性防御プロファイルをセキュリティ ポリシーに適用
する方法については、「セキュリティ ポリシーの定義」を参照してください。
[ルール] 設定では、有効にする一連のシグネチャと、一連のシグネチャのいずれかがトリ
ガーされたときに実行するアクションを指定します。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 297
セキュリティ プロファイル
例外設定では、特定のシグネチャに対するレスポンスを変更できます。たとえば、シグネ
チャに一致するすべてのパケットをブロックするが選択したシグネチャに一致するパケット
はブロックしないでアラートを生成するということが可能です。[Exception] タブでは、フィ
ルタリング機能がサポートされています。
[脆弱性防御] ページには、一連のデフォルト列が表示されます。列を選択するオプションを
使用すれば、その他の情報列を表示できます。列ヘッダーの右側にある矢印をクリックし、
[カラム] サブメニューから列を選択します。詳細は、「トランザクションのロック」を参照
してください。
以下の表では、脆弱性防御プロファイル設定について説明します。
表 145. 脆弱性防御プロファイル設定
フィールド
説明
名前
プロファイル名(最大 31 文字)を入力します。この名前は、セキュリ
ティ ポリシーを定義するときに脆弱性防御プロファイルのリストに表示
されます。名前の大文字と小文字は区別されます。また、一意の名前に
する必要があります。文字、数字、スペース、ハイフン、ピリオド、お
よびアンダースコアのみを使用してください。
説明
プロファイルの説明を入力します(最大 255 文字)。
共有
プロファイルを以下に対して公開するには、このチェック ボックスをオ
ンにします。
• multi-vsys ファイアウォールの各仮想システム (vsys)。このチェック
ボックスをオフにすると、プロファイルは [Objects] タブで選択され
た [仮想システム] に対してのみ公開されます。
• Panorama 上の各デバイス グループ。このチェック ボックスをオフに
すると、[Objects] タブで選択した [デバイス グループ] に対してのみ
プロファイルが公開されます。
オーバーライドの無効化
(Panorama のみ)
管理者が継承値をオーバーライドして子孫デバイス グループのプロファ
イルのローカル コピーを作成しないようにするには、このチェック
ボックスをオンにします。デフォルトでは、このチェック ボックスはオ
フ(オーバーライドが有効)になっています。
[ルール] タブ
ルール名
ルールの識別に使用する名前を指定します。
脅威名
照合するテキスト文字列を指定します。ファイアウォールは、このテキ
スト文字列のシグネチャ名を検索して一連のシグネチャをルールに適用
します。
アクション
ルールがトリガーされたときに実行するアクションを選択します。アク
ションの一覧については、「セキュリティ プロファイルのアクション」
を参照してください。
[デフォルト] アクションは、Palo Alto Networks によって提供された各
シグネチャの一部である事前定義のアクションに基づきます。シグネ
チャのデフォルトのアクションを表示するには、[Objects] > [セキュリ
ティ プロファイル] > [脆弱性防御] に移動し、[追加] をクリックする
か、既存のプロファイルを選択します。[例外] タブをクリックし、[すべ
てのシグネチャの表示] をクリックします。すべてのシグネチャのリス
トが表示され、[アクション] 列が表示されます。
ホスト
ルールのシグネチャをクライアント側、サーバー側、またはいずれか
([any])に限定するかどうかを指定します。
298 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
セキュリティ プロファイル
表 145. 脆弱性防御プロファイル設定(続き)
フィールド
説明
パケット キャプチャ
識別されたパケットをキャプチャするには、このチェック ボックスをオ
ンにします。
脅威が検出されたときに 1 つのパケットをキャプチャするには、singlepacket、1 ~ 50 個のパケットをキャプチャするには、extended-capture
オプションを選択します。extended-capture では、脅威ログを分析する
ときに脅威についてより詳細なコンテキストを得られます。パケット
キャプチャを表示するには、[Monitor] > [ログ] > [脅威] に移動し、関心
のあるログ エントリを見つけて、第 2 列にある緑の下矢印をクリックし
ます。キャプチャするパケットの数を定義するには、[Device] > [セット
アップ] > [コンテンツ ID] に移動し、[コンテンツ ID 設定] セクション
を編集します。
パケット キャプチャは、アクションが allow または alert の場合にのみ
行われます。block アクションが設定されている場合、セッションは即
座に終了します。
カテゴリ
脆弱性のカテゴリに一致する場合にのみシグネチャを適用するには、脆
弱性のカテゴリを選択します。
CVE
指定した CVE に一致する場合にのみシグネチャを適用するには、CVE
(Common Vulnerabilities and Exposures) を指定します。
各 CVE の形式は CVE-yyyy-xxxx になります。ここで、yyyy は年、
xxxx は一意識別子です。このフィールドで文字列の照合を実行できま
す。たとえば、2011 年の脆弱性を検索するには「2011」と入力します。
ベンダー ID
指定したベンダー ID に一致する場合にのみシグネチャを適用するに
は、ベンダー ID を指定します。
たとえば、Microsoft のベンダー ID の形式は MSyy-xxx になります。こ
こで、yy は 2 桁の年で、xxx は一意識別子です。たとえば、2009 年の
Microsoft を照合するには「MS09」と入力します。
重大度
Palo Alto Networks
指定した重大度にも一致する場合にのみシグネチャを適用するには、照合
する重大度([informational]、[low]、[medium]、[high]、または [critical])
を選択します。
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 299
セキュリティ プロファイル
表 145. 脆弱性防御プロファイル設定(続き)
フィールド
説明
[例外] タブ
脅威
アクションを割り当てる各脅威の [有効化] チェック ボックスをオンに
するか、[すべて] を選択してリストにあるすべての脅威をオンにしま
す。このリストは、選択したホスト、カテゴリ、および重大度によって
異なります。リストが空の場合、現在の選択に対応する脅威がないこと
を表します。
各ドロップダウン リスト ボックスからアクションを選択するか、リス
トの上部にある [アクション] ドロップダウン リストからアクションを
選択してすべての脅威に同じアクションを適用します。[すべてのシグ
ネチャの表示] チェック ボックスがオンになっている場合、すべてのシ
グネチャが表示されます。[すべてのシグネチャの表示] チェック ボックス
がオンになっていない場合、例外となるシグネチャのみが表示されます。
識別されたパケットをキャプチャするには、[パケット キャプチャ]
チェック ボックスをオンにします。
脆弱性シグネチャ データベースには、総当たり攻撃を表すシグネチャが
格納されています。たとえば、Threat ID 40001 は FTP 総当たり攻撃で
トリガーされます。総当たり攻撃のシグネチャは、特定の時間のしきい
値で条件が発生した場合にトリガーされます。総当たり攻撃のシグネ
チャのしきい値は事前に設定されています。これは、([カスタム] オプ
ションが選択された状態で)[脆弱性] タブの脅威の名前の横にある鉛筆
アイコン
をクリックして変更できます。単位時間あたりのヒット数
やしきい値の適用先(送信元、宛先、または送信元と宛先の組み合わ
せ)を指定できます。
しきい値は、送信元 IP、宛先 IP、または送信元 IP と宛先 IP の組み合わ
せに適用できます。
デフォルトのアクションが、かっこに囲まれて表示されます。[CVE] 列
には、CVE (Common Vulnerabilities and Exposures) の識別子が表示さ
れます。これらは、公開されている情報セキュリティの脆弱性に対応す
る共通の一意の識別子です。
[IP Address Exemptions] 列を使用して、脅威例外をフィルタリングする
IP アドレスを追加します。脅威例外に IP アドレスが追加されている場
合、そのシグネチャの脅威例外アクションは、送信元または宛先 IP の
いずれかが例外の IP に一致するセッションによってシグネチャがトリ
ガーされる場合にのみ、ルールのアクションよりも優先されます。シグ
ネチャあたり最大 100 個の IP アドレスを追加できます。このオプショ
ンでは、特定の IP アドレスの例外を作成するために新しいポリシー
ルールと新しい脆弱性プロファイルを作成する必要はありません。
300 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
セキュリティ プロファイル
URL フィルタリング プロファイル
[Objects] > [セキュリティ プロファイル] > [URL フィルタリング]
セキュリティ ポリシーでは URL フィルタリング プロファイルを指定できます。このプロ
ファイルを使用して、特定の Web サイトおよび Web サイト カテゴリへのアクセスをブロッ
クしたり、セーフ サーチを適用したり、指定した Web サイトにアクセスした場合にアラー
トを生成したりします(URL フィルタリング ライセンスが必要)。また、常にブロック
(またはアラートを生成)する Web サイトの「ブロック リスト」や常に許可する Web サイ
トの「許可リスト」を定義することもできます。
URL フィルタリング プロファイルをセキュリティ ポリシーに適用する方法については、
「セキュリティ ポリシーの定義」を参照してください。独自の URL リストでカスタム URL
カテゴリを作成する方法については、「カスタム URL カテゴリ」を参照してください。
以下の表では、URL フィルタリング プロファイル設定について説明します。
表 146. URL フィルタリング プロファイル設定
フィールド
説明
名前
プロファイル名(最大 31 文字)を入力します。この名前は、セキュリ
ティ ポリシーを定義するときに URL フィルタリング プロファイルのリ
ストに表示されます。名前の大文字と小文字は区別されます。また、一
意の名前にする必要があります。文字、数字、スペース、ハイフン、お
よびアンダースコアのみを使用してください。
説明
プロファイルの説明を入力します(最大 255 文字)。
共有
プロファイルを以下に対して公開するには、このチェック ボックスをオ
ンにします。
• multi-vsys ファイアウォールの各仮想システム (vsys)。このチェック
ボックスをオフにすると、プロファイルは [Objects] タブで選択され
た [仮想システム] に対してのみ公開されます。
• Panorama 上の各デバイス グループ。このチェック ボックスをオフに
すると、[Objects] タブで選択した [デバイス グループ] に対してのみ
プロファイルが公開されます。
オーバーライドの無効化
(Panorama のみ)
Palo Alto Networks
管理者が継承値をオーバーライドして子孫デバイス グループのプロファ
イルのローカル コピーを作成しないようにするには、このチェック
ボックスをオンにします。デフォルトでは、このチェック ボックスはオ
フ(オーバーライドが有効)になっています。
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 301
セキュリティ プロファイル
表 146. URL フィルタリング プロファイル設定(続き)
フィールド
説明
カテゴリ
(BrightCloud のみに設
定可能)
URL フィルタリング ライセンスの有効期限が切れた場合に実行するア
クションを選択します。
ライセンスの有効期限時
のアクション
• ブロック — すべての Web サイトへのアクセスがブロックされます。
• 許可 — すべての Web サイトへのアクセスが許可されます。
注:BrightCloud データベースを使用していて、ライセンスの有効期限
がきれたときにこのオプションを [ブロック] に設定すると、ブロックに
設定された URL カテゴリだけでなく、すべての URL がブロックされま
す。[許可] に設定すると、すべての URL が許可されます。
PAN-DB を使用している場合、URL フィルタリングは引き続き機能
し、現在キャッシュに入っている URL カテゴリが設定に基づいてブ
ロックまたは許可に使用されます。
ブロック リスト
ブロックする、またはアラートを生成する Web サイトの IP アドレスま
たは URL パス名を入力します。1 行に 1 つの URL を入力します。
重要:リストに Web サイトを追加するときには、URL の「http」およ
び「https」部分を省略する必要があります。
ブロック リストのエントリは、完全一致で大文字と小文字が区別されま
す。たとえば、「www.paloaltonetworks.com」は
「paloaltonetworks.com」とは異なります。ドメイン全体をブロックす
るには、「*.paloaltonetworks.com」と「paloaltonetworks.com」の両
方を含める必要があります。
例:
• www.paloaltonetworks.com
• 198.133.219.25/en/US
ブロック リストと許可リストではワイルドカード パターンがサポート
されます。以下の文字は区切り文字とみなされます。
.
/
?
&
=
;
+
上記の文字で区切られた部分文字列はそれぞれトークンとみなされま
す。区切り文字が含まれていない任意の長さの ASCII 文字、または
「*」です。たとえば、以下のパターンは有効です。
*.yahoo.com
(Tokens are: "*", "yahoo" and "com")
www.*.com
(Tokens are: "www", "*" and "com")
www.yahoo.com/search=* (Tokens are: "www", "yahoo", "com", "search",
"*")
以下のパターンでは、「*」がトークンの唯一の文字でないため無効です。
ww*.yahoo.com
www.y*.com
302 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
セキュリティ プロファイル
表 146. URL フィルタリング プロファイル設定(続き)
フィールド
説明
アクション
ブロック リストの Web サイトにアクセスしたときに実行するアクショ
ンを選択します。
• alert — ユーザーは Web サイトにアクセスできますが、URL ログにア
ラートが追加されます。
• block — Web サイトへのアクセスがブロックされます。
• continue — ユーザーは、ブロックされたページの [Continue] をクリッ
クすればそのページにアクセスできます。
• override — ユーザーは、パスワードを入力すればブロックされたペー
ジにアクセスできます。パスワードおよびその他のオーバーライド設
定は、[設定] ページの [URL 管理オーバーライド] エリアで指定します
(「管理設定の定義」の管理設定表を参照してください)。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 303
セキュリティ プロファイル
表 146. URL フィルタリング プロファイル設定(続き)
フィールド
説明
許可リスト
許可する、またはアラートを生成する Web サイトの IP アドレスまたは
URL パス名を入力します。1 行に 1 つずつ IP アドレスまたは URL を入
力します。
重要:リストに Web サイトを追加するときには、URL の「http」およ
び「https」部分を省略する必要があります。
許可リストのエントリは、完全一致で大文字と小文字が区別されます。
たとえば、「www.paloaltonetworks.com」は
「paloaltonetworks.com」とは異なります。ドメイン全体を許可するに
は、「*.paloaltonetworks.com」と「paloaltonetworks.com」の両方を
含める必要があります。
例:
• www.paloaltonetworks.com
• 198.133.219.25/en/US
ブロック リストと許可リストではワイルドカード パターンがサポート
されます。以下の文字は区切り文字とみなされます。
.
/
?
&
=
;
+
上記の文字で区切られた部分文字列はそれぞれトークンとみなされま
す。区切り文字が含まれていない任意の長さの ASCII 文字、または
「*」です。たとえば、以下のパターンは有効です。
*.yahoo.com
(Tokens are: "*", "yahoo" and "com")
www.*.com
(Tokens are: "www", "*" and "com")
www.yahoo.com/search=* (Tokens are: "www", "yahoo", "com", "search",
"*")
以下のパターンでは、「*」がトークンの唯一の文字でないため無効です。
ww*.yahoo.com
www.y*.com
このリストは、選択した Web サイト カテゴリよりも優先されます。
304 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
セキュリティ プロファイル
表 146. URL フィルタリング プロファイル設定(続き)
フィールド
説明
カテゴリ / アクション
カテゴリごとに、そのカテゴリの Web サイトにアクセスしたときに実
行するアクションを選択します。
• alert — ユーザーは Web サイトにアクセスできますが、URL ログにア
ラートが追加されます。
• allow — ユーザーは Web サイトにアクセスできます。
• block — Web サイトへのアクセスがブロックされます。
• continue — ユーザーは、ブロックされたページの [Continue] をクリッ
クすればそのページにアクセスできます。
• override — ユーザーは、パスワードを入力すればブロックされたペー
ジにアクセスできます。パスワードおよびその他のオーバーライド設
定は、[設定] ページの [URL 管理オーバーライド] エリアで指定します
(「管理設定の定義」の管理設定表を参照してください)。
注:プロキシ サーバーを使用するように設定されているクライアント
マシンでは、[コンティニュー] および [オーバーライド] ページは正しく
表示されません。
URL カテゴリを
チェック
クリックすると、URL または IP アドレスを入力してカテゴリ情報を表
示できる Web サイトにアクセスできます。
ダイナミック URL フィ
ルタリング
デフォルト:無効
URL を分類するためのクラウド検索を有効にするには、選択します。
URL の分類にローカル データベースを使用できない場合、このオプ
ションが呼び出されます。
(BrightCloud のみに設
定可能)
5 秒のタイムアウト期間内に URL を解決できない場合、応答は「Not
resolved URL」として表示されます。
PAN-DB を 使 用 す る 場
合、このオプションはデ
フォルトで有効にされて
おり、設定できません。
コンテナ ページのみロ
ギング
指定したコンテンツ タイプに一致する URL のみを記録するには、この
チェック ボックスをオンにします。
デフォルト:有効
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 305
セキュリティ プロファイル
表 146. URL フィルタリング プロファイル設定(続き)
フィールド
説明
[ セ ー フ サ ー チ を 適 用]
の有効化
厳密なセーフ サーチ フィルタリングを適用するには、このチェック
ボックスをオンにします。
デフォルト:無効
こ の オ プションを有効にすると、検索プロバイダ (Bing、Google、
Yahoo、Yandex、YouTube) のいずれかを使用してインターネットを検
索するユーザーには、これらの検索エンジンに対してブラウザで最も高
い(厳密)セーフ サーチ オプションが設定されていない限り、検索結
果が表示されません。ユーザーが、このいずれかの検索エンジンを使用
して検索を実行し、そのブラウザまたは検索エンジン アカウントのセー
フ サーチ設定が、高(厳密)に設定されていない場合、検索結果は(プ
ロファイルに設定されたアクションに応じて)ブロックされ、ユーザー
には、セーフ サーチ設定を高(厳密)に設定するようにメッセージが表
示されます。
この機能を使用するため
に URL フィルタリング
ライセンスは必要ありま
せん。
注:Yahoo アカウントでログイン中に Yahoo Japan (yahoo.co.jp) で検索
を実行する場合は、検索設定のロック オプションも有効にする必要があ
ります。
セーフ サーチを適用するには、プロファイルをセキュリティ ポリシー
に追加する必要があります。また、暗号化されたサイト (HTTPS) で
セーフ サーチを有効にするには、プロファイルを復号ポリシーに添付す
る必要があります。
これら 3 つのプロバイダ内のセーフ サーチ設定を検出するファイア
ウォールの機能は、[アプリケーションおよび脅威] のシグネチャ更新を
使用して更新されます。Palo Alto Networks がセーフ サーチ設定の検出
に使用しているセーフ サーチ設定方法をこれらのプロバイダが変更した
場合、設定が正しく検出されるようにシグネチャ更新が更新されます。
また、サイトが安全かどうかを判定する評価は、Palo Alto Networks で
はなく各検索プロバイダが行います。
ユーザーが他の検索プロバイダを使用してこの機能を迂回しないように
するには、URL フィルタリング プロファイルで search-engines カテゴ
リ を ブ ロ ッ ク す る よ う に 設 定 し て か ら、Bing、Google、Yahoo、
Yandex、YouTube へのアクセスを許可します。
詳細は、『PAN-OS 管理者ガイド』を参照してください。
306 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
セキュリティ プロファイル
表 146. URL フィルタリング プロファイル設定(続き)
フィールド
説明
HTTP ヘッダのロギング
HTTP ヘッダーのロギングを有効にすると、サーバーに送信された
HTTP 要求に含まれる属性を表示できます。有効な場合、以下の属性-値
ペアの 1 つ以上が URL フィルタリング ログに記録されます。
• ユーザー エージェント — ユーザーが URL へのアクセスに使用する
Web ブラウザ。この情報は、HTTP 要求でサーバーに送信されます。
たとえば、ユーザー エージェントは Internet Explorer または Firefox
である可能性があります。ログ内のユーザー エージェント値は最大
1024 文字をサポートします。
• 参照 — ユーザーを別の Web ページにリンクした Web ページの URL。
要求された Web ページにユーザーをリダイレクト(参照)した送信
元です。ログ内の参照値は最大 256 文字をサポートします。
• x-forwarded-for — Web ページを要求したユーザーの IP アドレスを保
持するヘッダー フィールド オプション。特にネットワーク上にプロキ
シ サーバーがある場合や、送信元 NAT を実装している場合は、すべ
ての要求がプロキシ サーバーの IP アドレスまたは共通の IP アドレス
から送信されているかのようにユーザーの IP アドレスがマスクされて
しまうため、これによりユーザーの IP アドレスを識別できて役立ちま
す。ログ内の x-forwarded-for 値は最大 128 文字をサポートします。
ファイル ブロッキング プロファイル
[Objects] > [セキュリティ プロファイル] > [ファイル ブロッキング]
セキュリティ ポリシーではファイル ブロッキング プロファイルを指定できます。このプロ
ファイルを使用して、選択したファイル タイプのアップロードやダウンロードをブロックし
たり、指定したファイル タイプの検出時にアラートを生成したりします。[forward] アク
ションが選択されている場合、サポート対象ファイル タイプが WildFire に送信されて、有
害な動作がないか分析されます。表 148 は、このマニュアルの公開時点でのサポート対象
ファイル フォーマットの一覧です。ただし、新しいファイル タイプのサポートがコンテン
ツ更新で追加される場合があるため、最新の一覧は、[ファイル ブロッキング プロファイル]
ダイアログの [ファイル タイプ] フィールドで [追加] をクリックして参照してください。
ファイル ブロッキング プロファイルをセキュリティ ポリシーに適用する方法については、
「セキュリティ ポリシーの定義」を参照してください。
以下の表では、ファイル ブロッキング プロファイル設定について説明します。
表 147. ファイル ブロッキング プロファイル設定
フィールド
説明
名前
プロファイル名(最大 31 文字)を入力します。この名前は、セキュリ
ティ ポリシーを定義するときにファイル ブロッキング プロファイルの
リストに表示されます。名前の大文字と小文字は区別されます。また、
一意の名前にする必要があります。文字、数字、スペース、ハイフン、
およびアンダースコアのみを使用してください。
説明
プロファイルの説明を入力します(最大 255 文字)。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 307
セキュリティ プロファイル
表 147. ファイル ブロッキング プロファイル設定(続き)
フィールド
説明
共有
プロファイルを以下に対して公開するには、このチェック ボックスをオ
ンにします。
• multi-vsys ファイアウォールの各仮想システム (vsys)。このチェック
ボックスをオフにすると、プロファイルは [Objects] タブで選択され
た [仮想システム] に対してのみ公開されます。
• Panorama 上の各デバイス グループ。このチェック ボックスをオフに
すると、[Objects] タブで選択した [デバイス グループ] に対してのみ
プロファイルが公開されます。
オーバーライドの無効化
(Panorama のみ)
管理者が継承値をオーバーライドして子孫デバイス グループのプロファ
イルのローカル コピーを作成しないようにするには、このチェック
ボックスをオンにします。デフォルトでは、このチェック ボックスはオ
フ(オーバーライドが有効)になっています。
ルール
1 つ以上のルールを定義して、選択したファイル タイプで実行するアク
ション(存在する場合)を指定します。ルールを追加するには、以下を
指定して [追加] をクリックします。
• 名前 — ルール名(最大 31 文字)を入力します。
• アプリケーション — ルールを適用するアプリケーションを選択するか、
[any] を選択します。
• ファイル タイプ — ブロックするか、またはアラートを生成するファイ
ル タイプを選択します。
• 方向 — ファイル転送の方向([Upload]、[Download]、または [Both])
を選択します。
• Action — 選択したファイル タイプの検出時に実行するアクションを
選択します。
– alert — エントリが脅威ログに追加されます。
– block — ファイルがブロックされます。
– continue — ダウンロードがリクエストされたことを通知して、続行
するかどうかを確認するようにユーザーに求めるメッセージが表示
されます。この目的は、認識されないダウンロード(ドライブバイ
ダウンロードとも呼ばれる)の可能性があることをユーザーに警告
し、そのダウンロードの続行または停止をユーザーが選択できるよ
うにすることです。
[continue] または [continue-and-forward] のいずれかのアクション
(WildFire 転送に使用される)を使用してファイル ブロッキング プロ
ファイルを作成する場合、選択できるアプリケーションは web-browsing
のみです。その他のアプリケーションを選択すると、ユーザーには続行
ページのプロンプトが表示されないため、セキュリティ ポリシーに一致
するトラフィックはファイアウォールを通過しません。
– forward — ファイルが自動的に WildFire に送信されます。
– continue-and-forward — 続行ページが表示され、ファイルが WildFire
に送信されます([continue] と [forward] のアクションの組み合わ
せ)。このアクションは、Web ベースのトラフィックについてのみ
有効です。これは、ファイルを転送するには、ユーザーが [続行] を
クリックする必要があることと、続行応答ページ オプションは、
http/https でのみ使用可能であるためです。
308 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
セキュリティ プロファイル
表 148. ファイル ブロッキングでサポートされているファイル形式
フィールド
説明
apk
Android アプリケーション パッケージ ファイル
avi
Microsoft AVI (RIFF) ファイル形式に基づくビデオ ファイル
avi-divx
DivX コーデックでエンコードされた AVI ビデオ ファイル
avi-xvid
XviD コーデックでエンコードされた AVI ビデオ ファイル
bat
MS DOS バッチ ファイル
bmp-upload
ビットマップ イメージ ファイル(アップロードのみ)
cab
Microsoft Windows キャビネット アーカイブ ファイル
cdr
Corel Draw ファイル
クラス
Java バイトコード ファイル
cmd
Microsoft コマンド ファイル
dll
Microsoft Windows ダイナミック リンク ライブラリ
doc
Microsoft Office ドキュメント
docx
Microsoft Office 2007 ドキュメント
dpx
Digital Picture Exchange ファイル
dsn
Database Source Name ファイル
dwf
Autodesk Design Web Format ファイル
dwg
Autodesk AutoCAD ファイル
edif
Electronic Design Interchange Format ファイル
email-link
email-link ファイル タイプを転送することで、ファイアウォー ルは
SMTP および POP3 電子メール メッセージに含まれる HTTP/HTTPS リ
ンクを抽出して、分析のために WildFire クラウドに転送します(この機
能は WF-500 WildFire アプライアンスではサポートされていません)。
ファイアウォールが、通過する電子メール メッセージからリンクと関連
付けられたセッション情報(送信者、受信者、件名)を抽出するだけで
す。電子メール メッセージの受信、保存、転送、表示は行いません。
WildFire は、ファイアウォールから電子メール リンクを受信すると、そ
のリンクにアクセスして、対応する Web ページに脆弱性が含まれてい
ないか判定します。ページ自体が安全だと判定されると、ログ エントリ
はファイアウォールに送信されません。リンクが有害な場合、WildFire
の詳細な分析レポートがファイアウォールの WildFire 送信ログに生成さ
れ、URL が PAN-DB に追加されます。
encrypted-doc
暗号化された Microsoft Office ドキュメント
encrypted-docx
暗号化された Microsoft Office 2007 ドキュメント
encrypted-office2007
暗号化された Microsoft Office 2007 ファイル
encrypted-pdf
暗号化された Adobe PDF ドキュメント
encrypted-ppt
暗号化された Microsoft Office PowerPoint
encrypted-pptx
暗号化された Microsoft Office 2007 PowerPoint
encrypted-rar
暗号化された rar ファイル
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 309
セキュリティ プロファイル
表 148. ファイル ブロッキングでサポートされているファイル形式(続き)
フィールド
説明
encrypted-xls
暗号化された Microsoft Office Excel
encrypted-xlsx
暗号化された Microsoft Office 2007 Excel
encrypted-zip
暗号化された zip ファイル
exe
Microsoft Windows 実行ファイル
flash
Adobe Shockwave Flash SWF および SWC ファイル タイプが含まれま
す。SWF ファイルはインターネットを介してベクター グラフィック
ス、テキスト、ビデオ、音声を配信し、そのコンテンツは Adobe Flash
プレーヤーで表示できます。SWC ファイルは、SWF コンポーネントの
圧縮パッケージです。
flv
Adobe Flash ビデオ ファイル
gds
Graphics Data System ファイル
gif-upload
GIF イメージ ファイル(アップロードのみ)
gzip
gzip ユーティリティで圧縮されたファイル
hta
HTML アプリケーション ファイル
iso
ISO-9660 標準に基づくディスク イメージ ファイル
iwork-keynote
Apple iWork Keynote ドキュメント
iwork-numbers
Apple iWork Numbers ドキュメント
iwork-pages
Apple iWork Pages ドキュメント
jar
Java ARchive
jpeg-upload
JPG/JPEG イメージ ファイル(アップロードのみ)
lnk
Microsoft Windows ファイルのショートカット
lzh
lha/lzh ユーティリティ / アルゴリズムで圧縮されたファイル
mdb
Microsoft Access データベース ファイル
mdi
Microsoft Document Imaging ファイル
mkv
Matroska Video ファイル
mov
Apple Quicktime ムービー ファイル
mp3
MP3 オーディオ ファイル
mp4
MP4 オーディオ ファイル
mpeg
MPEG-1 または MPEG-2 で圧縮されたムービー ファイル
msi
Microsoft Windows インストーラ パッケージ ファイル
msoffice
Microsoft Office ファイル(doc、docx、ppt、pptx、pub、pst、rtf、xls、
xlsx)。
ファイアウォールで MS Office ファイルをブロック / 転送する場合、各
ファイル タイプを個々に選択するのではなく、すべてのサポート対象
MS Office ファイル タイプが識別されるように、この「msoffice」グ
ループを選択することをお勧めします。
310 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
セキュリティ プロファイル
表 148. ファイル ブロッキングでサポートされているファイル形式(続き)
フィールド
説明
Multi-Level-Encoding
5 回以上エンコードされたファイル。
複数レベルのファイル エンコーディングは、疑わしい動作の指標となる
ことがあります。元のファイル タイプを隠し、悪意のあるコンテンツが
検出されないように、ファイルを複数回圧縮することがあるからです。
デフォルトでは、ファイアウォールは、最大で 4 回まで、エンコードさ
れたファイルを復号化してファイルを特定します。このファイル タイプ
は、5 回以上エンコードされているためファイアウォールによって復号
化されないファイルをブロックする際にも使用できます。
ocx
Microsoft ActiveX ファイル
pdf
Adobe ポータブル ドキュメント ファイル
PE
Microsoft Windows Portable Executable(exe、dll、com、scr、ocx、cpl、
sys、drv、tlb)
pgp
PGP ソフトウェアで暗号化されたセキュリティ キーまたはデジタル署名
pif
実行命令が格納されている Windows プログラム情報ファイル
pl
Perl スクリプト ファイル
png-upload
PNG イメージ ファイル(アップロードのみ)
ppt
Microsoft Office PowerPoint プレゼンテーション
pptx
Microsoft Office 2007 PowerPoint プレゼンテーション
psd
Adobe Photoshop ドキュメント
rar
winrar で作成された圧縮ファイル
reg
Windows レジストリ ファイル
rm
RealNetworks リアル メディア ファイル
rtf
Windows リッチ テキスト形式ドキュメント ファイル
sh
Unix シェル スクリプト ファイル
stp
Standard for the Exchange of Product モデル データ 3D グラフィック
ファイル
tar
Unix tar アーカイブ ファイル
tdb
Tanner Database (www.tannereda.com)
tif
Windows タグ イメージ ファイル
torrent
BitTorrent ファイル
wmf
ベクター イメージを保存する Windows メタファイル
wmv
Windows メディア ビデオ ファイル
wri
Windows Write ドキュメント ファイル
wsf
Windows スクリプト ファイル
xls
Microsoft Office Excel
xlsx
Microsoft Office 2007 Excel
zcompressed
Unix の圧縮された Z ファイル(uncompress で解凍)
zip
Winzip/pkzip ファイル
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 311
セキュリティ プロファイル
WildFire 分析プロファイル
[Objects] > [セキュリティ プロファイル] > [WildFire 分析]
WildFire 分析プロファイルでは、WildFire アプライアンスまたは WildFire クラウドでロー
カルに実行される WildFire ファイル分析を指定します。ファイル タイプ、アプリケーショ
ン、またはファイルの送信方向(アップロードまたはダウンロード)に応じて、パブリック
クラウドまたはプライベート クラウドにトラフィックを転送するよう指定できます。作成し
た WildFire 分析プロファイルをポリシーに追加することによって([Policies] > [セキュリ
ティ])、そのプロファイルの設定をそのポリシーに一致する任意のトラフィック(たとえ
ば、そのポリシーに定義されている URL カテゴリ)に適用できるようになります。
表 149. WildFire 分析プロファイルの設定
フィールド
説明
名前
WildFire 分析プロファイルの分かりやすい名前(最大 31 文字)を入力
します。この名前は、セキュリティ ポリシーを定義する際に選択候補と
なる WildFire 分析プロファイルのリストに表示されます。名前の大文
字と小文字は区別されます。また、一意の名前にする必要があります。
文字、数字、スペース、ハイフン、およびアンダースコアのみを使用し
てください。
説明
(任意)プロファイル ルールまたはプロファイルの用途の説明です
(255 文字まで)。
共有
プロファイルを以下に対して公開するには、このチェック ボックスをオ
ンにします。
• multi-vsys ファイアウォールの各仮想システム (vsys)。このチェック
ボックスをオフにすると、プロファイルは [Objects] タブで選択され
た [仮想システム] に対してのみ公開されます。
• Panorama 上の各デバイス グループ。このチェック ボックスをオフに
すると、[Objects] タブで選択した [デバイス グループ] に対してのみ
プロファイルが公開されます。
ルール
WildFire パブリック クラウドまたは WildFire アプライアンス(プライ
ベート クラウド)にトラフィックを転送して分析するように指定する
1 つ以上のルールを定義します。
• プロファイルに追加する任意のルールの分かりやすい [名前](最大 31 文
字)を入力します。
• [アプリケーション] を追加して、任意のアプリケーション トラフィック
がルールと照合され、指定した分析宛先に転送されるようにします。
• ルールの定義済み分析宛先で分析される [ファイル タイプ] を選択し
ます。
• 送信の [方向] に応じてトラフィックにルールを適用します。アップロー
ド トラフィック、ダウンロード トラフィック、またはその両方にルー
ルを適用できます。
• トラフィックを転送して分析する [宛先] を選択します。
– ルールと照合されるすべてのトラフィックを WildFire パブリック ク
ラウドに転送して分析する場合は、public-cloud を選択します。
– ルールと照合されるすべてのトラフィックを WildFire アプライアン
スに転送して分析する場合は、private-cloud を選択します。
312 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
セキュリティ プロファイル
データ フィルタリング プロファイル
[Objects] > [セキュリティ プロファイル] > [データ フィルタリング]
セキュリティ ポリシーでは、クレジット カード番号や社会保障番号などの機密情報を識別
し、ファイアウォールで保護されているエリアから機密情報が外部に送信されるのを防止す
るデータ フィルタリング プロファイルを指定できます。
データ フィルタリング プロファイルをセキュリティ ポリシーに適用する方法については、
「セキュリティ ポリシーの定義」を参照してください。
以下の表では、データ フィルタリング プロファイル設定について説明します。
表 150. データ フィルタリング プロファイル設定
フィールド
説明
名前
プロファイル名(最大 31 文字)を入力します。この名前は、セキュリ
ティ ポリシーを定義するときにログ転送プロファイルのリストに表示さ
れます。名前の大文字と小文字は区別されます。また、一意の名前にす
る必要があります。文字、数字、スペース、ハイフン、およびアンダー
スコアのみを使用してください。
説明
プロファイルの説明を入力します(最大 255 文字)。
共有
プロファイルを以下に対して公開するには、このチェック ボックスをオ
ンにします。
• multi-vsys ファイアウォールの各仮想システム (vsys)。このチェック
ボックスをオフにすると、プロファイルは [Objects] タブで選択され
た [仮想システム] に対してのみ公開されます。
• Panorama 上の各デバイス グループ。このチェック ボックスをオフに
すると、[Objects] タブで選択した [デバイス グループ] に対してのみ
プロファイルが公開されます。
オーバーライドの無効化
(Panorama のみ)
管理者が継承値をオーバーライドして子孫デバイス グループのプロファ
イルのローカル コピーを作成しないようにするには、このチェック
ボックスをオンにします。デフォルトでは、このチェック ボックスはオ
フ(オーバーライドが有効)になっています。
データ キャプチャ
フィルタによってブロックされたデータを自動的に収集するには、この
チェック ボックスをオンにします。
[設定] ページの [データ保護の管理] にキャプチャしたデータを表示するた
めのパスワードを指定します。「管理設定の定義」を参照してください。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 313
セキュリティ プロファイル
データ パターンを追加するには、[新規] をクリックし、以下の情報を指定します。
表 151. データ パターン設定
フィールド
説明
データ パターン
[データ パターン] ドロップダウン リストから既存のデータ パターンを選
択するか、リストから [データ パターン] を選択して「データ パターンの
定義」に記述されている情報を指定し、新しいパターンを設定します。
アプリケーション
フィルタリング ルールに含めるアプリケーションを指定します。
• 表示されているすべてのアプリケーションにフィルタを適用するに
は、[いずれか] を選択します。これを選択してもすべてのアプリケー
ションがブロックされるわけではなく、表示されているアプリケー
ションのみがブロックされます。
• [追加] をクリックして個々のアプリケーションを指定します。
ファイル タイプ
フィルタリング ルールに含めるファイル タイプを指定します。
• 表示されているすべてのファイル タイプにフィルタを適用するには、
[いずれか] を選択します。これを選択してもすべてのファイル タイプ
がブロックされるわけではなく、表示されているファイル タイプのみ
がブロックされます。
• [追加] をクリックして個々のファイル タイプを指定します。
方向
フィルタを適用する方向(アップロード、ダウンロード、または両方)
を指定します。
アラートしきい値
アラートをトリガーする値を指定します。たとえば、SSN の重みが 5 でし
きい値が 100 の場合、ルールがトリガーされるにはルールで 20 個以上のパ
ターンが検出される必要があります(インスタンス 20 x 重み 5 = 100)。
ブロックしきい値
ブロックをトリガーする値を指定します。たとえば、SSN の重みが 5 でし
きい値が 100 の場合、ルールがトリガーされるにはルールで 20 個以上のパ
ターンが検出される必要があります(インスタンス 20 x 重み 5 = 100)。
DoS プロファイル
[Objects] > [セキュリティ プロファイル] > [DoS プロテクション]
DoS プロテクション プロファイルは、高精度のターゲット指定ができるように設計され、
ゾーン プロテクション プロファイルを補強します。DoS プロファイルでは、アクションの
タイプと、DoS 攻撃を検出するための一致条件を指定します。これらのプロファイルは DoS
プロテクション ポリシーに追加され、インターフェイス、ゾーン、アドレス、国の間のセッ
ションを集約セッションまたは固有の送信元 IP アドレスや宛先 IP アドレスに基づいて制御
できるようにします。DoS プロファイルを DoS ポリシーに適用する方法については、「DoS
プロファイルの定義」を参照してください。
314 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
セキュリティ プロファイル
複数の仮想システムがある環境で、以下を有効にしている場合は、
• 仮想システム間の通信が可能な外部ゾーン
• 仮想システムが外部通信に共通インターフェイスおよび 1 つの IP アドレスを共
有できる共有ゲートウェイ
以下のゾーンおよび DoS 保護メカニズムが、外部ゾーンで無効になります。
• SYN Cookie
• IP フラグメント
• ICMPv6
IP フラグメントと ICMPv6 防御を有効にするには、共有ゲートウェイ用のゾーン
プロテクション プロファイルを作成する必要があります。
共有ゲートウェイで SYN フラッドから保護するには、Random Early Drop または
SYN Cookie のいずれかを設定した SYN フラッド防御プロファイルを適用できます。
外部ゾーンでは、SYN フラッド防御に Random Early Drop のみを使用できます。
以下の表では、DoS 防御プロファイル設定について説明します。
表 152. DOS プロテクション プロファイルの設定
フィールド
説明
名前
プロファイル名(最大 31 文字)を入力します。この名前は、セキュリ
ティ ポリシーを定義するときにログ転送プロファイルのリストに表示さ
れます。名前の大文字と小文字は区別されます。また、一意の名前にす
る必要があります。文字、数字、スペース、ハイフン、およびアンダー
スコアのみを使用してください。
共有
プロファイルを以下に対して公開するには、このチェック ボックスをオ
ンにします。
• multi-vsys ファイアウォールの各仮想システム (vsys)。このチェック
ボックスをオフにすると、プロファイルは [Objects] タブで選択され
た [仮想システム] に対してのみ公開されます。
• Panorama 上の各デバイス グループ。このチェック ボックスをオフに
すると、[Objects] タブで選択した [デバイス グループ] に対してのみ
プロファイルが公開されます。
オーバーライドの無効化
(Panorama のみ)
管理者が継承値をオーバーライドして子孫デバイス グループのプロファ
イルのローカル コピーを作成しないようにするには、このチェック
ボックスをオンにします。デフォルトでは、このチェック ボックスはオ
フ(オーバーライドが有効)になっています。
説明
プロファイルの説明を入力します(最大 255 文字)。
タイプ
以下のいずれかのプロファイル タイプを指定します。
• aggregate — プロファイルで設定された DoS のしきい値がルール基準
(このルール基準に基づいてプロファイルが適用される)に一致する
すべてのパケットに適用されます。たとえば、SYN フラッドのしきい
値が 10000 パケット / 秒 (pps) である集約ルールでは、この特定の
DoS ルールに該当するすべてのパケットが計測されます。
• classified — プロファイルで設定された DoS のしきい値が、分類条件
(送信元 IP、宛先 IP、または送信元 IP と宛先 IP の組み合わせ)を満
たすすべてのパケットに適用されます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 315
その他のポリシー オブジェクト
表 152. DOS プロテクション プロファイルの設定(続き)
フィールド
説明
[フラッド防御] タブ
[SYN フラッド]
サブタブ
SYN フラッド防御を有効にするには、このチェック ボックスをオンに
して以下の情報を指定します。
[UDP フラッド]
サブタブ
• アクション —(SYN フラッドのみ)以下のオプションから選択します。
– Random Early Drop — DoS 全体の制限に達する前にランダムにパ
ケットを廃棄します。
[ICMP フラッド]
サブタブ
[ そ の 他 の IP フ ラ ッ ド]
サブタブ
– SYN cookie — SYN フラッド攻撃があっても接続を廃棄せずに済む
ように SYN Cookie を使用して受信確認を生成します。
• アラーム レート — DoS アラームが生成されるパケット / 秒 (pps) を
指定します(範囲は 0 ~ 2000000 pps、デフォルトは 10000 pps)。
• アクティベーション レート — DoS 応答がアクティベーションされる
パケット / 秒 (pps) を指定します(範囲は 0 ~ 2000000 pps、デフォル
トは 10000 pps)。
• 最大レート — パケットが廃棄またはブロックされるパケット / 秒を指
定します。
• ブロック期間 — 問題のあるパケットを拒否する期間(秒)を指定しま
す。ブロック期間中に受信したパケットは、アラートのトリガーには
影響しません。
注:ゾーン プロテクション プロファイルにパケット / 秒 (pps) のしきい
値制限を定義する場合、しきい値は以前に確立したセッションと一致し
ないパケット / 秒を基にしています。
[リソース保護] タブ
セッション
リソース保護を有効にするには、このチェック ボックスをオンにします。
最大同時制限
同時セッションの最大数を指定します。DoS プロファイル タイプが
[aggregate] の場合、DoS ルール(このルールに基づいて DoS プロファ
イルが適用される)に該当するトラフィック全体にこの制限が適用され
ます。DoS プロファイル タイプが [classified] の場合、分類(送信元
IP、宛先 IP、または送信元 IP と宛先 IP の組み合わせ)に基づいて、
DoS ルール(このルールに基づいて DoS プロファイルが適用される)
に該当するトラフィック全体にこの制限が適用されます。
その他のポリシー オブジェクト
ポリシー オブジェクトは、ポリシーの作成、スケジュール、および検索を可能にする要素で
す。以下のオブジェクト タイプがサポートされています。
• アドレスとアドレス グループ — ポリシーの範囲を決定します。「アドレス グループの
定義」を参照してください。
• アプリケーションとアプリケーション グループ — ポリシーでソフトウェア アプリケー
ションを処理する方法を指定できます。「アプリケーション」を参照してください。
• アプリケーション フィルタ — 検索を簡略化できます。「アプリケーション フィルタ」
を参照してください。
316 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
その他のポリシー オブジェクト
• サービスとサービス グループ — ポート番号を制限します。「サービス」を参照してく
ださい。
• オブジェクトのソートとフィルタリングを行うためのタグ。「タグ」を参照してください。
• データ パターン — データ フィルタリング ポリシー用に機密情報のカテゴリを定義しま
す。「データ パターン」を参照してください。
• カスタム URL カテゴリ — 独自の URL リストが含まれており、URL フィルタリング プ
ロファイルにグループとして追加できます。「カスタム URL カテゴリ」を参照してく
ださい。
• スパイウェアおよび脆弱性の脅威 — 詳細な脅威対策を可能にします。「セキュリティ プ
ロファイル グループ」を参照してください。
• ログ転送 — ログ設定を指定します。「ログの転送」を参照してください。
• スケジュール — ポリシーをアクティベーションするタイミングを指定します。「復号プ
ロファイルの SSL 復号化設定」を参照してください。
オブジェクトを移動またはコピーする方法については、「ポリシーまたはオブジェクトの移
動またはコピー」を参照してください。
定義アドレス オブジェクト
[Objects] > [Addresses]
アドレス オブジェクトには、IPv4 または IPv6 アドレス(単一 IP、範囲、サブネット)、
FQDN などが含まれる場合があります。アドレス オブジェクトを使用することで、同じオブ
ジェクトを毎回手動で追加することなく、すべてのポリシー ルールベースで送信元アドレス
または宛先アドレスとして再利用できます。アドレス オブジェクトは、Web インターフェ
イスまたは CLI を使用して設定され、設定に追加するにはコミット操作が必要です。
アドレス オブジェクトを追加するには、[追加] をクリックし、以下のフィールドを入力します。
表 153. 新しいアドレス設定
フィールド
説明
名前
定義するアドレスを表す名前(最大 63 文字)を入力します。この名前
は、セキュリティ ポリシーを定義するときにアドレスのリストに表示さ
れます。名前の大文字と小文字は区別されます。また、一意の名前にす
る必要があります。文字、数字、スペース、ハイフン、およびアンダー
スコアのみを使用してください。
共有
以下に対してアドレス オブジェクトを公開する場合は、このチェック
ボックスをオンにします。
• multi-vsys ファイアウォールの各仮想システム (vsys)。このチェック
ボックスをオフにすると、[Objects] タブで選択した [仮想システム]
に対してのみアドレス オブジェクトが公開されます。
• Panorama 上の各デバイス グループ。このチェック ボックスをオフに
すると、[Objects] タブで選択した [デバイス グループ] に対してのみ
アドレス オブジェクトが公開されます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 317
その他のポリシー オブジェクト
表 153. 新しいアドレス設定(続き)
フィールド
説明
オーバーライドの無効化
(Panorama のみ)
管理者が、継承した値を子孫デバイス グループでオーバーライドするこ
とによってアドレスのローカル コピーを作成するのを禁止する場合は、
このチェック ボックスをオンにします。デフォルトでは、このチェック
ボックスはオフ(オーバーライドが有効)になっています。
説明
オブジェクトの説明を入力します(最大 255 文字)。
タイプ
IPv4 アドレス、IPv6 アドレス、アドレス範囲、または FQDN を指定し
ます。
IP ネットマスク:
以下の形式で IPv4 アドレス、IPv6 アドレスまたは IP アドレス範囲を入
力します。
ip_address/mask または ip_address
ここで、mask は重要な意味を持つ 2 進数で、アドレスのネットワーク
部を表すために使用されます。
例:
「192.168.80.150/32」は 1 つのアドレスを表し、「192.168.80.0/24」は
192.168.80.0 ~ 192.168.80.255 のすべてのアドレスを表します。
例:
「2001:db8:123:1::1」または「2001:db8:123:1::/64」
IP 範囲:
アドレス範囲を指定するには、[IP 範囲] を選択してアドレス範囲を入力
します。形式は以下のとおりです。
ip_address–ip_address
ここで、各アドレスは IPv4 または IPv6 になります。
例:
「2001:db8:123:1::1 - 2001:db8:123:1::22」
タイプ(続き)
FQDN:
FQDN を使用してアドレスを指定するには、[FQDN] を選択してドメイ
ン名を入力します。
FQDN はコミット時に最初に解決されます。エントリはその後、ファイ
アウォールが 30 分間隔でチェックを行うと更新され、エントリの IP ア
ドレス内の変更はすべてその更新サイクルで収集されます。
FQDN は、システムの DNS サーバーまたは DNS プロキシ オブジェク
ト(プロキシが設定されている場合)によって解決されます。DNS プ
ロキシの詳細は、「DNS プロキシの設定」を参照してください。
タグ
このアドレス オブジェクトに適用するタグを選択または入力します。
ここでタグを定義することも、[Objects] > [タグ] タブを使用して新しい
タグを作成することもできます。タグの詳細は、「タグ」を参照してく
ださい。
318 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
その他のポリシー オブジェクト
アドレス グループの定義
[Objects] > [アドレス グループ]
セキュリティ ポリシーの作成を簡略化するには、同じセキュリティ設定が必要なアドレ
スをアドレス グループにまとめます。アドレス グループは、スタティックまたはダイナ
ミックにすることができます。
• ダイナミック アドレス グループ:ダイナミック アドレス グループには、タグの検索と
タグ ベースのフィルタを使用してメンバーをダイナミックが入力されます。ダイナミッ
ク アドレス グループは、広範囲に及ぶ仮想インフラストラクチャがあり、仮想マシンの
場所/IP アドレスが頻繁に変更される場合に非常に便利です。たとえば、高度なフェイ
ルオーバーで仮想マシンが頻繁にセットアップまたはプロビジョニングされていて、
ファイアウォールの設定 / ルールを変更せずに新しいマシンとの間で送受信されるトラ
フィックにポリシーを適用する場合などです。
ホストのネットワーク アドレスを指定するスタティック アドレス グループと異なり、
ダイナミック アドレス グループのメンバーは、定義した一致条件を使用して入力されま
す。一致条件では、and または or 論理演算子が使用されます。ダイナミック アドレス
グループに追加する各ホストには、一致条件で定義されたタグまたは属性が含まれてい
る必要があります。タグは、ファイアウォールまたは Panorama に直接定義すること
も、XML API を使用してダイナミックに定義し、ファイアウォールに登録することもで
きます。IP アドレスと対応するタグ(1 つ以上)が定義されている場合、各ダイナミッ
ク グループは、タグを評価し、そのグループ内のメンバーのリストを更新します。
新しい IP アドレスとタグ、または現在の IP アドレスとタグへの変更を登録する場合、
ファイアウォールの XML API をコールするスクリプトを使用する必要があります。
VMware を使用する仮想環境がある場合は、XML API をコールするスクリプトではな
く、VM 情報ソース機能([Device] > [VM 情報ソース] タブ)を使用して、ファイア
ウォールが ESX(i) ホストまたは vCenterServer をモニターし、これらの仮想マシンにデ
プロイされた新しいサーバー / ゲストの情報(ネットワーク アドレスと対応するタグ)
を取得するように設定できます。
ポリシーでダイナミック アドレス グループを使用するには、以下のタスクを実行する必
要があります。
– ダイナミック アドレス グループを定義し、ポリシー ルール内で参照します。
– ファイアウォールに IP アドレスと対応するタグを通知して、ダイナミック アドレス グ
ループのメンバーを構成できるようにします。これを行うには、ファイアウォール上
で XML API を使用する外部スクリプトを使用します。または、VMware ベースの環境
であれば、ファイアウォールの [Device] > [VM 情報ソース] タブで設定できます。
ダイナミック アドレス グループには、スタティックに定義したアドレス オブジェクトも含
めることができます。アドレス オブジェクトを作成し、ダイナミック アドレス グループに
割り当てたものと同じタグを適用すると、そのダイナミック アドレス グループには、その
タグに一致するすべてのスタティック オブジェクトとダイナミック オブジェクトが含まれ
ます。そのため、タグを使用してダイナミック オブジェクトとスタティック オブジェクト
の両方を同じアドレス グループにまとめることができます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 319
その他のポリシー オブジェクト
• スタティック アドレス グループ:スタティック アドレス グループには、スタティック
なアドレス オブジェクト、ダイナミック アドレス グループ、またはアドレス オブジェ
クトとダイナミック アドレス グループの両方の組み合わせを含めることができます。
アドレス オブジェクトを作成するには、[追加] をクリックし、以下のフィールドを入力
します。
表 154. アドレス グループ
フィールド
説明
名前
アドレス グループを表す名前(最大 63 文字)を入力します。この名前
は、セキュリティ ポリシーを定義するときにアドレスのリストに表示さ
れます。名前の大文字と小文字は区別されます。また、一意の名前にす
る必要があります。文字、数字、スペース、ハイフン、およびアンダー
スコアのみを使用してください。
共有
以下に対してアドレス グループを公開する場合は、このチェック ボッ
クスをオンにします。
• multi-vsys ファイアウォールの各仮想システム (vsys)。このチェック
ボックスをオフにすると、[Objects] タブで選択した [仮想システム]
に対してのみアドレス グループが公開されます。
• Panorama 上の各デバイス グループ。このチェック ボックスをオフに
すると、[Objects] タブで選択した [デバイス グループ] に対してのみ
アドレス グループが公開されます。
オーバーライドの無効化
(Panorama のみ)
管理者が、継承した値を子孫デバイス グループでオーバーライドするこ
とによってアドレス グループのローカル コピーを作成するのを禁止す
る場合は、このチェック ボックスをオンにします。デフォルトでは、こ
のチェック ボックスはオフ(オーバーライドが有効)になっています。
説明
オブジェクトの説明を入力します(最大 255 文字)。
タイプ
[スタティック] または [ダイナミック] を選択します。
ダイナミック アドレス グループを作成するには、一致条件を使用して
グループに含めるメンバーをまとめます。[AND] または [OR] 演算子を
使用して、[一致] 条件を定義します。
注:一致条件に使用する属性のリストを表示するには、送信元 / ホスト
にアクセスして属性を取得できるようにファイアウォールを設定してお
く必要があります。設定した情報送信元の各仮想マシンをファイア
ウォールに登録します。ファイアウォールは、マシンをポーリングし
て、ファイアウォールの変更なしに IP アドレスまたは設定の変更を取
得できます。
スタティック アドレス グループの場合、[追加] をクリックし、1 つ以上
のアドレスを選択します。[追加] をクリックし、オブジェクトまたはア
ドレス グループをアドレス グループに追加します。グループには、ア
ドレス オブジェクト、スタティックとダイナミックの両方のアドレス
グループを含めることができます。
タグ
このアドレス グループに適用するタグを選択または入力します。タグの
詳細は、「タグ」を参照してください。
320 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
その他のポリシー オブジェクト
地域の定義
[Objects] > [地域]
ファイアウォールでは、特定の国や他の地域に適用されるポリシー ルールを作成できます。
地域は、セキュリティ ポリシー、復号ポリシー、DoS ポリシーの送信元および宛先を指定す
るときにオプションとして利用できます。セキュリティ ポリシー ルールのオプションとし
て地域を含めるには、国の標準リストから選択するか、このセクションで説明されている地
域設定を使用してカスタム地域を定義します。
以下の表では、地域設定について説明します。
表 155. 新規領域の設定
フィールド
説明
名前
地域を表す名前(最大 31 文字)を入力します。この名前は、セキュリ
ティ ポリシーを定義するときにアドレスのリストに表示されます。名前
の大文字と小文字は区別されます。また、一意の名前にする必要があり
ます。文字、数字、スペース、ハイフン、およびアンダースコアのみを
使用してください。
デバイス稼働場所
緯度と経度を指定するには、このチェック ボックスをオンにして値
(xxx.xxxxxx 形式)を選択します。この情報は、App-Scope のトラフィッ
ク マップおよび脅威マップに使用されます。「アプリケーション ス
コープの使用」を参照してください。
アドレス
以下のいずれかの形式を使用して IP アドレス、IP アドレス範囲、また
は地域を識別するサブネットを指定します。
x.x.x.x
x.x.x.x-y.y.y.y
x.x.x.x/n
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 321
その他のポリシー オブジェクト
アプリケーション
[Objects] > [アプリケーション]
探している情報
以下を参照
[アプリケーション] ページに
表示されるアプリケーション
の設定と属性を理解する
「アプリケーションの概要」
新規アプリケーションを追加
す る か、既 存 の ア プ リ ケ ー
ションを変更する
「アプリケーションの定義」
アプリケーションの概要
[アプリケーション] ページには、アプリケーションの相対セキュリティ リスク(1 ~ 5)な
ど、各アプリケーション定義のさまざまな属性が表示されます。リスク値は、アプリケー
ションでファイルを共有できるか、誤用が起こりやすいか、ファイアウォールの回避を試行
するか、などの基準に基づいています。値が大きいほどリスクが大きくなります。
ページ上部のアプリケーション ブラウザエリアには、以下のように、表示内容のフィルタに
使用できる属性が表示されます。各エントリの左側にある数字は、その属性があるアプリ
ケーションの合計数を表しています。
週次のコンテンツ リリースには、新しいデコーダとシグネチャを開発す
るためのコンテキストが定期的に含まれています。
322 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
その他のポリシー オブジェクト
必要に応じて、このページで以下の機能を実行できます。
• アプリケーション フィルタを適用するには、フィルタリングの基準として使用する項目
をクリックします。たとえば、collaboration カテゴリのみをリストに表示するには、
[collaboration] をクリックします。すると、そのカテゴリのアプリケーションのみがリ
ストに表示されます。
• その他の列にフィルタを適用するには、列のエントリを選択します。フィルタリングは
連続的で、カテゴリ フィルタ、サブカテゴリ フィルタ、テクノロジ フィルタ、リスク
フィルタ、特徴フィルタの順に適用されます。たとえば、カテゴリ フィルタ、サブカテ
ゴリ フィルタ、リスク フィルタを適用すると、明示的にテクノロジのフィルタを適用し
ていなくても、自動的に [テクノロジ] 列が制限され、選択したカテゴリとサブ カテゴリ
に一致するテクノロジのみが表示されます。フィルタを適用するたびに、ページの下部
のアプリケーション リストが自動的に更新されます。保存したフィルタは、[Objects] >
[アプリケーション フィルタ] で表示できます。
• 特定のアプリケーションを検索するには、[検索] フィールドにアプリケーションの名前ま
たは説明を入力して Enter キーを押します。該当するアプリケーションが表示されま
す。また、フィルタ列が更新されて、検索条件に一致するアプリケーションの統計値が
表示されます。
検索は、文字列に部分的に一致します。セキュリティ ポリシーを定義すると、保存した
フィルタに一致するすべてのアプリケーションに適用されるルールを作成できます。こ
のようなルールは、フィルタに一致するコンテンツの更新によって新しいアプリケー
ションが追加されると動的に更新されます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 323
その他のポリシー オブジェクト
• 特定の(または複数の)アプリケーションを [無効化] すると、アプリケーション シグネ
チャがトラフィックと照合されなくなります。一致するアプリケーションをブロック、
許可、または実施するように定義されたセキュリティ ルールは、アプリケーションを無
効にすると、アプリケーション トラフィックに適用されません。新しいコンテンツ リ
リース バージョンに含まれるアプリケーションは無効にしたほうがよいことがありま
す。そうしたアプリケーションが一意に識別されると、アプリケーションのポリシーが
適用されるかどうかが変わる可能性があるからです。たとえば、Web ブラウジング ト
ラフィックとして識別されたアプリケーションが、新しいコンテンツ バージョンがイン
ストールされる前にはファイアウォールによって許可されていたとします。ところが、
コンテンツの更新をインストールした後、一意に識別されたアプリケーションが、Web
ブラウジング トラフィックを許可するセキュリティ ルールに一致しなくなってしまうこ
とがあります。このような場合は、アプリケーションを無効にして、そのアプリケー
ション シグネチャに一致したトラフィックが引き続き Web ブラウジング トラフィック
として分類され許可されるようにしたほうが適切です。
• 無効化されたアプリケーションを選択して [有効化] することにより、設定済みのセキュ
リティ ルールに従ってそのアプリケーションが実施されるようになります。
• アプリケーションをインポートするには、[インポート] をクリックします。ファイルを参照
して選択し、[宛先] ドロップダウン リストからターゲットの仮想システムを選択します。
• アプリケーションをエクスポートするには、アプリケーションのチェック ボックスをオン
にして [エクスポート] をクリックします。プロンプトに従ってファイルを保存します。
• [ポリシーのプレビュー] では、コンテンツ リリース バージョンのインストール前とイン
ストール後に、ポリシーベースのアプリケーションの実施を評価します。[ポリシーのプ
レビュー] ダイアログを使用すると、ダウンロードしたコンテンツ リリース バージョン
に含まれている新規アプリケーションによるポリシーへの影響を確認できます。[ポリ
シーのプレビュー] ダイアログでは、保留中のアプリケーションを、既存のセキュリ
ティ ポリシーに追加したり、既存のセキュリティ ポリシーから削除したりできます。保
留中のアプリケーションによるポリシーの変更は、対応するコンテンツ リリース バー
ジョンがインストールされるまで有効にはなりません。[ポリシーのプレビュー] ダイア
ログは、[Device] > [ダイナミック更新] ページでコンテンツ リリース バージョンをダウ
ンロードおよびインストールする際にも使用できます。
• 以下の表に示すように、アプリケーションに関するその他の詳細を表示する場合、また
は、リスクとタイムアウトの値をカスタマイズする場合、アプリケーション名をクリッ
クします。アプリケーション名の左にあるアイコンに黄色い鉛筆が表示されている場
合、そのアプリケーションはカスタム アプリケーションです。使用可能な設定は、アプ
リケーションによって異なります。
324 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
その他のポリシー オブジェクト
以下の表では、アプリケーション設定について説明します。
表 156. アプリケーションの詳細情報
項目
説明
名前
アプリケーションの名前です。
説明
アプリケーションの説明(最大 255 文字)。
追加情報
アプリケーションに関する追加情報が掲載されている Web ソース
(Wikipedia、Google、および Yahoo!)にリンクします。
標準ポート
アプリケーションがネットワークとの通信に使用するポートです。
依存
このアプリケーションの実行に必要な他のアプリケーションのリ
ストです。選択したアプリケーションを許可するポリシー ルール
を作成する場合は、そのアプリケーションが依存する他のすべて
のアプリケーションも許可することを確認する必要があります。
暗黙的に使用
選択したアプリケーションが依存しているが、暗黙にサポートさ
れているため、選択したアプリケーションを許可するためにセ
キュリティ ポリシー ルールに追加する必要のないその他のアプリ
ケーション。
以前の識別
新規の App-ID、または変更された App-ID について、そのアプリ
ケーションの以前の ID を表します。これにより、アプリケーショ
ンの変化に応じてポリシーを変更する必要があるかどうかを査定
できます。App-ID を無効にすると、そのアプリケーションに関連
付けられたセッションは、そのアプリケーションの以前の ID でポ
リシーと照合されます。同様に、無効にされた App-ID は、そのア
プリケーションの以前の ID でログに記録されます。
アクションの拒否
App-ID は、デフォルトの拒否アクションといっしょに作成されま
す。デフォルトの拒否アクションは、アプリケーションが拒否ア
クションの指定されたセキュリティ ルールに含まれているときの
ファイアウォールの応答方法を指定したものです。デフォルトの
拒否アクションとして、サイレント ドロップまたは TCP リセット
を指定できます。このデフォルト アクションはセキュリティ ポリ
シー内でオーバーライドできます。
特徴
セキュリティを回避する
ファイアウォールを通り抜けるために、ポートやプロトコルを本
来の用途とは異なる目的に使用すること。
帯域幅を消費する
通常の使用において 1 Mbps 以上の帯域幅を定常的に消費すること。
乱用されやすい
不正な目的に使用されることが多いこと。また、ユーザーの意図
を超えて攻撃されるように容易に設定できてしまうこと。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 325
その他のポリシー オブジェクト
表 156. アプリケーションの詳細情報(続き)
項目
SaaS
説明
ファイアウォールでは、Software as a Service (SaaS) を次のような
サービスとして分類します。すなわち、ソフトウェアとインフラ
ストラクチャはアプリケーション サービス プロバイダによって所
有および管理されているが、ユーザーがデータに対するフル コン
トロール(データの作成、アクセス、共有、転送の実行権限をど
のユーザーに付与するかも含む)を保有しているサービスです。
アプリケーションの特徴という観点から見ると、SaaS アプリケー
ションと Web サービスは異なります。Web サービスとは、ホスト
されたアプリケーションであり、ユーザーがデータを所有しない
サービス(Pandora など)と、多数の購読者が社交目的で投稿し
たデータの共有を主要機能とするサービス(LinkedIn、Twitter、
Facebook など)があります。
転送ファイル
ネットワークを介してシステム間でファイルを転送できること。
他のアプリケーションをすり
抜けさせる
他のアプリケーションを自分のプロトコル内で転送できること。
悪意のあるソフトウェアに利
用される
アプリケーションがマルウェアに感染した状態で配布されること
(マルウェアは、アプリケーションを利用して、配信、拡散、攻
撃、データの不正入手を行うことが知られている)。
脆弱性
一般に公表されている脆弱性があること。
広く使われている
ユーザーが 100 万人を超える可能性があること。
他のアプリケーションに対す
るスキャンを続行
他のアプリケーション シグネチャとの照合を続行するようにファ
イアウォールに指示します。このオプションをオフにすると、
ファイアウォールは、最初にシグネチャが一致した後、アプリ
ケーション シグネチャとの照合を停止します。
カテゴリ
以下のアプリケーション カテゴリがあります。
• business-system
• collaboration
• general-internet
• media
• networking
• unknown
サブカテゴリ
アプリケーションが分類されるサブカテゴリです。カテゴリが異
なると、関連付けられるサブカテゴリも異なります。たとえば、
collaboration カテゴリのサブカテゴリには、email、file-sharing、
instant-messaging、internet-conferencing、social-business、
social-networking、voip-video、web-posting があります。一方、
business-system カテゴリのサブカテゴリには、auth-service、
database、erp-crm、general-business、management、officeprograms、software-update、storage-backup があります。
テクノロジ
browser-based
Web ブラウザに依存して機能するアプリケーション。
326 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
その他のポリシー オブジェクト
表 156. アプリケーションの詳細情報(続き)
項目
説明
client-server
1 つ以上のクライアントがネットワーク上のサーバーと通信するク
ライアント / サーバー モデルを使用したアプリケーション。
network-protocol
一般に、システム間の通信に使用され、ネットワーク操作を容易
にするアプリケーション。大部分の IP プロトコルが含まれます。
peer-to-peer
通信の簡素化を図るため、中央のサーバーを介することなく他のク
ライアントと直接やり取りして情報を交換するアプリケーション。
リスク
アプリケーションに割り当てられたリスクです。
この設定をカスタマイズするには、[カスタマイズ] リンクをクリッ
クして値 (1 ~ 5) を入力し、[OK] をクリックします。
オプション
セッション タイムアウト
非アクティブ状態になってからアプリケーションがタイムアウト
するまでの時間(指定可能範囲は 1 ~ 604800 秒)です。このタイ
ムアウトは、TCP または UDP 以外のプロトコルに適用されます。
TCP と UDP は、この表の次の行を参照してください。
この設定をカスタマイズするには、[カスタマイズ] リンクをクリッ
クして値を入力し、[OK] をクリックします。
TCP アプリケーション フローを停止するタイムアウト(指定可能
範囲は 1 ~ 604800 秒)です。
TCP タイムアウト(秒)
UDP タイムアウト(秒)
TCP Half Closed(秒)
この設定をカスタマイズするには、[カスタマイズ] リンクをクリッ
クして値を入力し、[OK] をクリックします。
値 0 は、グローバル セッション タイマー(TCP の場合 3600 秒)
が使用されることを示します。
UDP アプリケーション フローを停止するタイムアウト(指定可能
範囲は 1 ~ 604800 秒)です。
この設定をカスタマイズするには、[カスタマイズ] リンクをクリッ
クして値を入力し、[OK] をクリックします。
最初の FIN パケットを受信してから、2 つ目の FIN パケットまた
は RST パケットを受信するまで、セッションがセッション テーブ
ル内に保持される最大時間(秒)。タイマーが期限切れになると
セッションが閉じられます(指定可能範囲は 1 ~ 604800 秒)。
デフォルト:このタイマーがアプリケーション レベルで設定され
ていない場合、グローバル設定が使用されます。
この値がアプリケーション レベルで設定されている場合、その値
でグローバル TCP Half Closed 設定がオーバーライドされます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 327
その他のポリシー オブジェクト
表 156. アプリケーションの詳細情報(続き)
項目
TCP Time Wait(秒)
説明
2 つ目の FIN パケットまたは RST パケットを受信してから、セッ
ションがセッション テーブル内に保持される最大時間(秒)。タ
イマーが期限切れになるとセッションが閉じられます(指定可能
範囲は 1 ~ 600 秒)。
デフォルト:このタイマーがアプリケーション レベルで設定され
ていない場合、グローバル設定が使用されます。
この値がアプリケーション レベルで設定されている場合、その値
でグローバル TCP Time Wait 設定がオーバーライドされます。
App-ID 対応
App-ID が有効か無効かを示します。App-ID を無効にすると、そ
のアプリケーションのトラフィックは、セキュリティ ポリシーと
ログの両方で、[以前の識別] に指定した App-ID で処理されます。
コンテンツ リリース バージョン 490 の後に追加されたアプリケー
ションの場合、新規アプリケーションのポリシーへの影響を確認
する際にアプリケーションを無効にすることができます。ポリ
シーをレビューした後、App-ID を [有効化] することも可能です。
以前有効にしたアプリケーションを [無効化] することもできま
す。multi-vsys ファイアウォールでは、各仮想システムで App-ID
を個別に無効化できます。
ファイアウォールで APP-ID を使用してアプリケーションを識別できない場合、トラフィッ
クは不明([unknown-tcp] または [unknown-udp])として分類されます。この動作は、完全
に HTTP をエミュレートするアプリケーションを除き、すべての不明なアプリケーションに
適用されます。詳細は、「ボットネット レポートの処理」を参照してください。
不明なアプリケーションの新しい定義を作成し、その新しいアプリケーション定義のセキュ
リティ ポリシーを定義できます。さらに、同じセキュリティ設定が必要なアプリケーション
をアプリケーション グループにまとめることで、セキュリティ ポリシーの作成を簡略化で
きます。
328 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
その他のポリシー オブジェクト
アプリケーションの定義
[Objects] > [アプリケーション]
ポリシーを適用するときにファイアウォールで評価する新しいアプリケーションを追加する
には、[アプリケーション] ページを使用します。
表 157. 新規アプリケーション設定
フィールド
説明
[設定] タブ
名前
アプリケーション名(最大 31 文字)を入力します。この名前は、セ
キュリティ ポリシーを定義するときにアプリケーションのリストに表示
されます。名前の大文字と小文字は区別されます。また、一意の名前に
する必要があります。文字、数字、スペース、ピリオド、ハイフン、お
よびアンダースコアのみを使用してください。先頭は文字にする必要が
あります。
共有
以下に対してアプリケーションを公開する場合は、このチェック ボック
スをオンにします。
• multi-vsys ファイアウォールの各仮想システム (vsys)。このチェック
ボックスをオフにすると、[Objects] タブで選択した [仮想システム]
に対してのみアプリケーションが公開されます。
• Panorama 上の各デバイス グループ。このチェック ボックスをオフに
すると、[Objects] タブで選択した [デバイス グループ] に対してのみ
アプリケーションが公開されます。
オーバーライドの無効化
(Panorama のみ)
管理者が、継承した値を子孫デバイス グループでオーバーライドするこ
とによってアプリケーションのローカル コピーを作成するのを禁止する
場合は、このチェック ボックスをオンにします。デフォルトでは、この
チェック ボックスはオフ(オーバーライドが有効)になっています。
説明
アプリケーションの一般的な説明を入力します(最大 255 文字)。
カテゴリ
アプリケーションのカテゴリ([email] や [database] など)を選択しま
す。このカテゴリは、[トップ 10 のアプリケーション カテゴリ] チャー
トの生成に使用され、フィルタリングに使用できます(「アプリケー
ション コマンド センターの使用」を参照)。
サブカテゴリ
アプリケーションのサブカテゴリ([email] や [database] など)を選択
します。このサブカテゴリは、[トップ 10 のアプリケーション カテゴリ]
チャートの生成に使用され、フィルタリングに使用できます(「アプリ
ケーション コマンド センターの使用」を参照)。
テクノロジ
アプリケーションのテクノロジを選択します。
親アプリケーション
このアプリケーションの親アプリケーションを指定します。この設定
は、セッションが親アプリケーションとカスタム アプリケーションの両
方に一致する場合に適用されます。ただし、カスタム アプリケーション
の方が詳細であるためカスタム アプリケーションがレポートされます。
リスク
アプリケーションに関連付けられているリスク レベル(1 = 最低 ~ 5 =
最高)を選択します。
特徴
アプリケーションを危険にさらす可能性のあるアプリケーションの特徴
を選択します。各特徴の詳細は、「特徴」を参照してください。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 329
その他のポリシー オブジェクト
表 157. 新規アプリケーション設定(続き)
フィールド
説明
[詳細] タブ
ポート
アプリケーションで使用するプロトコルが TCP や UDP の場合、[ポー
ト] を選択してプロトコルとポート番号の組み合わせを 1 つ以上入力し
ます(1 行ごとに 1 エントリ)。一般的な形式は以下のとおりです。
<protocol>/<port>
ここで、<port> は、1 つのポート番号または dynamic(ダイナミック
ポート割り当ての場合)になります。
例:TCP/dynamic または UDP/32
セキュリティ ルールの [サービス] 列に [app-default] を使用すると、こ
の設定が適用されます。
IP プロトコル
TCP や UDP 以外の IP プロトコルを指定するには、[IP プロトコル] を選
択してプロトコル番号 (1 ~ 255) を入力します。
ICMP タイプ
Internet Control Message Protocol バージョン 4 (ICMP) タイプを指定す
るには、[ICMP タイプ] を選択し、タイプの番号を入力します(範囲は
0 ~ 255)。
ICMP6 タイプ
Internet Control Message Protocol バージョン 6 (ICMPv6) タイプを指定
するには、[ICMP6 タイプ] を選択し、タイプの番号を入力します(範
囲は 0 ~ 255)。
なし
プロトコルに依存しないシグネチャを指定するには、[None] を選択し
ます。
タイムアウト
アイドル状態のアプリケーション フローが停止するまでの秒数(範囲は
0 ~ 604800 秒)を入力します。0 は、アプリケーションのデフォルトの
タイムアウトが使用されることを示します。この値は、すべてのケース
で TCP および UDP 以外のプロトコルに使用されます。また、TCP タイ
ムアウトと UDP タイムアウトが指定されていない場合は、TCP と UDP
のタイムアウトに使用されます。
TCP タイムアウト
アイドル状態の TCP アプリケーション フローが停止するまでの秒数
(範囲は 0 ~ 604800 秒)を入力します。0 は、アプリケーションのデ
フォルトのタイムアウトが使用されることを示します。
UDP タイムアウト
アイドル状態の UDP アプリケーション フローが停止するまでの秒数
(範囲は 0 ~ 604800 秒)を入力します。0 は、アプリケーションのデ
フォルトのタイムアウトが使用されることを示します。
TCP Half Closed
最初の FIN を受信してから、2 つ目の FIN または RST を受信するまで
の間、セッションがセッション テーブル内に保持される最大時間を入力
します。タイマーが期限切れになるとセッションが閉じられます。
デフォルト:このタイマーがアプリケーション レベルで設定されていな
い場合、グローバル設定が使用されます。範囲:1 ~ 604800 秒
この値がアプリケーション レベルで設定されている場合、その値でグ
ローバル TCP Half Closed 設定がオーバーライドされます。
330 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
その他のポリシー オブジェクト
表 157. 新規アプリケーション設定(続き)
フィールド
説明
TCP Time Wait
2 つ目の FIN または RST を受信してから、セッションがセッション
テーブル内に保持される最大時間を入力します。タイマーが期限切れに
なるとセッションが閉じられます。
デフォルト:このタイマーがアプリケーション レベルで設定されていな
い場合、グローバル設定が使用されます。範囲:1 ~ 600 秒
この値がアプリケーション レベルで設定されている場合、その値でグ
ローバル TCP Time Wait 設定がオーバーライドされます。
スキャン
セキュリティ プロファイル(ファイル タイプ、データ パターン、およ
びウイルス)に基づいて、許可するスキャン タイプのチェック ボック
スをオンにします。
[シグネチャ] タブ
シグネチャ
[追加] をクリックして新しいシグネチャを追加し、以下の情報を指定し
ます。
• シグネチャ名 — シグネチャの識別に使用する名前を入力します。
• コメント — 任意で説明を入力します。
• 範囲 — このシグネチャの適用対象(現在のトランザクションのみ、ま
たはユーザー セッション全体)を選択します。
• 順番が付けられた条件の一致 — シグネチャの条件の定義順序が重要で
ある場合に選択します。
以下のように条件を指定してシグネチャを定義します。
• [追加 And Condition] または [追加 Or Condition] をクリックして条件
を追加します。グループ内に条件を追加するには、グループを選択し
て [条件の追加] をクリックします。
• [パターン マッチ] と [等しい] のいずれかの演算子を選択します。[パ
ターン マッチ] の演算子を選択する際には、以下を指定します。
– コンテキスト — 使用可能なコンテキストから選択します。
– パターン — 正規表現を指定します。正規表現のパターンのルールの
詳細は、表 163を参照してください。
– 修飾子と値 — 任意で修飾子 / 値のペアを追加します。
• [等しい] の演算子を選択する際には、以下を指定します。
– コンテキスト — TCP または UDP の未知のリクエストまたは応答か
ら選択します。
– 位置 — ペイロードの最初の 4 バイトまたは 2 番目の 4 バイトのい
ずれかを選択します。
– マスク — 4 バイトの 16 進数値を指定します(たとえば、0xffffff00)。
– 値 — 4 バイトの 16 進数値を指定します(たとえば、0xaabbccdd)。
• グループ内で条件を移動するには、条件を選択して [上へ] または [下
へ] の矢印をクリックします。グループを移動するには、グループを
選択して [上へ] または [下へ] の矢印をクリックします。グループ間で
条件を移動することはできません。
アプリケーションの使用目的がアプリケーション オーバーライド ルールのみ
である場合、アプリケーションのシグネチャを指定する必要はありません。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 331
その他のポリシー オブジェクト
アプリケーションをインポートするには、[インポート] をクリックします。ファイルを参照
して選択し、[宛先] ドロップダウン リストからターゲットの仮想システムを選択します。
アプリケーションをエクスポートするには、アプリケーションのチェック ボックスをオンに
して [エクスポート] をクリックします。プロンプトに従ってファイルを保存します。
アプリケーション グループの定義
[Objects] > [アプリケーション グループ]
セキュリティ ポリシーの作成を簡略化するには、同じセキュリティ設定が必要なアプリケー
ションをアプリケーション グループにまとめます。(新しいアプリケーションを定義する方
法については、「アプリケーションの定義」を参照してください)。
表 158. 新しいアプリケーション グループ
フィールド
説明
名前
アプリケーション グループを表す名前(最大 31 文字)を入力します。
この名前は、セキュリティ ポリシーを定義するときにアプリケーション
のリストに表示されます。名前の大文字と小文字は区別されます。ま
た、一意の名前にする必要があります。文字、数字、スペース、ハイフ
ン、およびアンダースコアのみを使用してください。
共有
以下に対してアプリケーション グループを公開する場合は、このチェッ
ク ボックスをオンにします。
• multi-vsys ファイアウォールの各仮想システム (vsys)。このチェック
ボックスをオフにすると、[Objects] タブで選択した [仮想システム]
に対してのみアプリケーション グループが公開されます。
• Panorama 上の各デバイス グループ。このチェック ボックスをオフに
すると、[Objects] タブで選択した [デバイス グループ] に対してのみ
アプリケーション グループが公開されます。
オーバーライドの無効化
(Panorama のみ)
管理者が、継承した値を子孫デバイス グループでオーバーライドするこ
とによってアプリケーション グループのローカル コピーを作成するの
を禁止する場合は、このチェック ボックスをオンにします。デフォルト
では、このチェック ボックスはオフ(オーバーライドが有効)になって
います。
アプリケーション
[追加] をクリックし、このグループに含めるアプリケーション、アプリ
ケーション フィルタ、および他のアプリケーション グループを選択し
ます。
332 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
その他のポリシー オブジェクト
アプリケーション フィルタ
[Objects] > [アプリケーション フィルタ]
アプリケーション フィルタを定義して、繰り返し実行する検索を簡略化できます。アプリ
ケーション フィルタを定義して検索の繰り返しを簡略化するには、[追加] をクリックし、
フィルタの名前を入力します。
ウィンドウの上部で、フィルタリングの基準として使用する項目をクリックします。たとえ
ば、[Networking] カテゴリのみをリストに表示するには、[Networking] をクリックします。
その他の列にフィルタを適用するには、列のエントリを選択してチェック ボックスを表示し
ます。フィルタリングは連続的で、カテゴリ フィルタ、サブカテゴリ フィルタ、テクノロ
ジ フィルタ、リスク フィルタ、特性フィルタの順に適用されます。
たとえば、下図は、カテゴリ、サブカテゴリ、およびリスク フィルタを適用した結果を示し
ています。最初の 2 つのフィルタを適用すると、明示的にテクノロジのフィルタを適用して
いなくても、自動的に [テクノロジ] 列が制限され、選択したカテゴリとサブ カテゴリに一致
するテクノロジのみが表示されます。
図に示すように、オプションを選択するとページ下部のアプリケーションのリストが自動的
に更新されます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 333
その他のポリシー オブジェクト
サービス
[Objects] > [サービス]
特定のアプリケーションのセキュリティ ポリシーを定義する場合、1 つ以上のサービスを選
択して、アプリケーションで使用できるポート番号を制限できます。デフォルトのサービス
は、[any] で、すべての TCP ポートと UDP ポートが許可されます。
HTTP サービスと HTTPS サービスは事前に定義されていますが、他のサービスの定義を追
加することができます。一緒に割り当てられることが多いサービスをサービス グループにま
とめることで、セキュリティ ポリシーの作成を簡略化できます(「サービス グループ」を
参照)。
以下の表では、サービス設定について説明します。
表 159. サービス設定
フィールド
説明
名前
サービス名(最大 63 文字)を入力します。この名前は、セキュリティ
ポリシーを定義するときにサービスのリストに表示されます。名前の大
文字と小文字は区別されます。また、一意の名前にする必要がありま
す。文字、数字、スペース、ハイフン、およびアンダースコアのみを使
用してください。
説明
サービスの説明を入力します(最大 255 文字)。
共有
以下に対してサービス オブジェクトを公開する場合は、このチェック
ボックスをオンにします。
• multi-vsys ファイアウォールの各仮想システム (vsys)。このチェック
ボックスをオフにすると、[Objects] タブで選択した [仮想システム]
に対してのみサービス オブジェクトが公開されます。
• Panorama 上の各デバイス グループ。このチェック ボックスをオフに
すると、[Objects] タブで選択した [デバイス グループ] に対してのみ
サービス オブジェクトが公開されます。
オーバーライドの無効化
(Panorama のみ)
管理者が、継承した値を子孫デバイス グループでオーバーライドするこ
とによってサービス オブジェクトのローカル コピーを作成するのを禁
止する場合は、このチェック ボックスをオンにします。デフォルトで
は、このチェック ボックスはオフ(オーバーライドが有効)になってい
ます。
プロトコル
サービスで使用するプロトコル(TCP または UDP)を選択します。
宛先ポート
サービスで使用する宛先ポート番号 (0 ~ 65535) またはポート番号の範
囲(ポート 1 ~ ポート 2)を入力します。複数のポートまたはポートの
範囲はコンマで区切ります。宛先ポートは必須です。
送信元ポート
サービスで使用する送信元ポート番号 (0 ~ 65535) またはポート番号の
範囲(ポート 1 ~ ポート 2)を入力します。複数のポートまたはポート
の範囲はコンマで区切ります。送信元ポートは任意です。
334 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
その他のポリシー オブジェクト
サービス グループ
[Objects] > [サービス グループ]
セキュリティ ポリシーの作成を簡略化するには、セキュリティ設定が同じであることが多い
サービスをサービス グループにまとめます。新しいサービスを定義する方法については、
「サービス」を参照してください。
以下の表では、サービス グループ設定について説明します。
表 160. サービス グループ設定
フィールド
説明
名前
サービス グループ名(最大 63 文字)を入力します。この名前は、セ
キュリティ ポリシーを定義するときにサービスのリストに表示されま
す。名前の大文字と小文字は区別されます。また、一意の名前にする必
要があります。文字、数字、スペース、ハイフン、およびアンダースコ
アのみを使用してください。
共有
以下に対してサービス グループを公開する場合は、このチェック ボッ
クスをオンにします。
• multi-vsys ファイアウォールの各仮想システム (vsys)。このチェック
ボックスをオフにすると、[Objects] タブで選択した [仮想システム]
に対してのみサービス グループが公開されます。
• Panorama 上の各デバイス グループ。このチェック ボックスをオフに
すると、[Objects] タブで選択した [デバイス グループ] に対してのみ
サービス グループが公開されます。
オーバーライドの無効化
(Panorama のみ)
管理者が、継承した値を子孫デバイス グループでオーバーライドするこ
とによってサービス グループのローカル コピーを作成するのを禁止す
る場合は、このチェック ボックスをオンにします。デフォルトでは、こ
のチェック ボックスはオフ(オーバーライドが有効)になっています。
サービス
[追加] をクリックしてグループにサービスを追加します。ドロップダウ
ン リストから選択するか、ドロップダウン リストの下部にある [サービ
ス] ボタンをクリックして設定を指定します。設定の詳細は、「サービ
ス」を参照してください。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 335
その他のポリシー オブジェクト
タグ
[Objects] > [タグ]
タグを使用すると、キーワードまたは語句を使用してオブジェクトをグループ化できます。
タグは、アドレス オブジェクト、アドレス グループ(スタティックとダイナミック)、
ゾーン、サービス、サービス グループ、およびポリシー ルールに適用できます。タグを使
用すると、オブジェクトをソートまたはフィルタリングしたり、オブジェクトに色を付けて
視覚的に識別したりできます。タグごとに色分けすると、[ポリシー] タブに表示されるオブ
ジェクトに背景色が付けられます。
知りたい内容
以下を参照
タグの作成方法
「タグの作成」
タグ ブラウザについて
「タグ ブラウザの使用」
タグ付けされたルールを検索す
る方法
「タグの管理」
タグを使用してルールをグルー
プ分けする方法
ポリシーで使用されているタグ
を確認する方法
タグをポリシーに適用する方法
さらに詳細を知りたい
ポリシーを参照してください。
タグの作成
[Objects] > [タグ]
このタブを使用して、タグの作成、色の割り当て、タグの削除、名前の変更、コピーができ
ます。各オブジェクトには最大 64 個のタグを付けることができます。オブジェクトに複数
のタグがある場合、適用された最初のタグの色が表示されます。
ファイアウォールで、[Objects] > [タグ] タブを選択すると、ファイアウォール上でローカル
に定義したタグ、または Panorama からファイアウォールにプッシュされたタグが表示され
ます。Panorama では、Panorama 上で定義したタグが表示されます。このタブには、ファ
イアウォール上に定義された VM 情報の送信元から動的に取得されダイナミック アドレス
グループを形成するタグ、または XML API を使用して定義されたタグは表示されません。
新規のタグを作成すると、ファイアウォールまたは Panorama で現在選択されている仮想シ
ステムまたはデバイス グループで、そのタグが自動的に作成されます。
336 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
その他のポリシー オブジェクト
• タグの追加:新しいタグを追加するには、[追加] をクリックし、以下のフィールドを入力
します。
表 161. タグ設定
フィールド
説明
名前
一意のタグ名(最大 127 文字)を入力します。名前では大文字と小文字
は区別されません。
共有
以下に対してタグを公開する場合は、このチェック ボックスをオンにし
ます。
• multi-vsys ファイアウォールの各仮想システム (vsys)。このチェック
ボックスをオフにすると、[Objects] タブで選択した [仮想システム] に
対してのみタグが公開されます。
• Panorama 上の各デバイス グループ。このチェック ボックスをオフに
すると、[Objects] タブで選択した [デバイス グループ] に対してのみ
タグが公開されます。
オーバーライドの無効化
(Panorama のみ)
管理者が、継承した値を子孫デバイス グループでオーバーライドするこ
とによってタグのローカル コピーを作成するのを禁止する場合は、この
チェック ボックスをオンにします。デフォルトでは、このチェック
ボックスはオフ(オーバーライドが有効)になっています。
カラー
ドロップダウン リストのカラー パレットから、色を選択します。デ
フォルト値は [なし] です。
コメント
タグの用途を思い出せるように、ラベルまたは説明を追加します。
[Policies] タブでポリシーを作成または編集する際に、新規のタグを作成することもでき
ます。タグは、現在選択されているデバイス グループまたは仮想システムで自動的に作
成されます。
• タグの編集:タグの編集、名前の変更、色の割り当てを実行するには、リンクとして表
示されているタグ名をクリックして、設定を変更します。
• タグの削除:タグを削除するには、[削除] をクリックし、ウィンドウ内で目的のタグを選
択します。
• タグの移動またはコピー:タグを移動またはコピーするオプションを使用すると、複数
の仮想システムで有効になっているデバイス上の異なるデバイス グループまたは仮想シ
ステムにタグをコピーまたは移動できます。
[コピー] または [移動] をクリックして、ウィンドウ内で目的のタグを選択します。タグ
の [宛先] となる場所(デバイス グループまたは仮想システム)を選択します。検証プロ
セスで、エラーを表示する前にすべてのエラーを検出する場合は、[検証で最初に検出さ
れたエラーに起因するエラーが発生しました] チェック ボックスをオフにします。デ
フォルトでは、このチェック ボックスはオンになっているため、検証プロセスは、最初
のエラーが検出された時点で停止し、そのエラーのみを表示します。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 337
その他のポリシー オブジェクト
• タグをオーバーライドする / 元に戻す(Panorama のみ):タグの作成時に [オーバーラ
イドの無効化] オプションをオンにしていなければ、[オーバーライド] オプションが使用
できます。[オーバーライド] オプションを使用すると、共有または先祖デバイス グルー
プから継承したタグに割り当てられたカラーをオーバーライドできます。[場所] フィー
ルドに現在のデバイス グループが表示されます。[オーバーライドの無効化] を選択し
て、以降のオーバーライドを無効にすることもできます。
タグの変更を取り消すには、[元に戻す] をクリックします。タグを元に戻すと、[場所]
フィールドに、タグの継承元のデバイス グループまたは仮想システムが表示されます。
タグ ブラウザの使用
[Policies] > [ルールベース](セキュリティ、NAT、QoS、...)
タグ ブラウザには、ルールベース(ポリシー セット)内で使用されるすべてのタグの要約
が表示されます。タグ ブラウザを使用すると、すべてのタグのリストと、ルールベース内で
のタグの順序を確認できます。
特定のタグについて、ソート、参照、検索、フィルタリングを実行できます。また、ルール
ベース内の各ルールに適用される最初のタグのみを表示することもできます。
以下の表で、タグ ブラウザで使用可能なオプションを説明します。
表 162. タグ ブラウザの使用
フィールド
説明
タグ (#)
ラベルとルール番号、またはタグに割り当て可能な連続する番号の範囲
が表示されます。
ラベルにマウス カーソルを移動すると、ルールが定義された場所が表示
されます。場所は、共有場所、デバイス グループ、仮想システムから継
承できます。
ルール
タグに関連付けられたルール番号または番号の範囲がリストされます。
ルールの最初のタグで
フィルタ
このフィールドをオンにすると、ルールベースの各ルールに適用される
最初のタグのみ表示されます。
このオプションは、リストを絞り込んで、ルールベース全体に散在して
いる可能性のある関連するルールを表示する必要があるとき、特に便利
です。たとえば、各ルールの最初のタグが機能(管理、Web アクセス、
データセンター アクセス、プロキシ)を示している場合、機能に基づい
て結果を絞り込み、ルールをスキャンできます。
ルール順序
選択したルールベース内に現れる順序でタグをソートします。ルール
ベース内の順序で表示される場合、連続するルールで使用されるタグは
まとめて表示されます。タグに関連付けられているルール番号が、タグ
名といっしょに表示されます。
アルファベット順
選択したルールベース内のアルファベット順にタグをソートします。タ
グ名、カラー(割り当てられている場合)、ルールベース内での使用回
数がリストされます。
[None] というラベルは、タグのないルールを表します。タグのないルー
ルのルール番号は表示されません。[None] を選択すると、右側のペイン
がフィルタリングされ、タグの割り当てられていないルールが表示され
ます。
クリア
検索バーで現在選択されているタグのフィルタをクリアします。
338 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
その他のポリシー オブジェクト
表 162. タグ ブラウザの使用(続き)
フィールド
説明
検索バー
タグを検索できます。語句を入力して緑の矢印アイコンをクリックする
とフィルタが適用されます。
ルールベース内のタグの総数と選択したタグの数も表示されます。
その他のアクションについては、「タグの管理」を参照してください。
タグの管理
以下の表に、タグ ブラウザを使用して実行できるアクションを示します。
タグの管理
ルールにタグ付けする。
1.
右ペインでルールを選択します。
2.
以下のいずれかを実行します。
– タグ ブラウザでタグを選択し、ド
ロップダウン リストで、[選択対
象にタグを適用] を選択します。
– タグ ブラウザからルールのタグ列にタグをドラッ
グ アンド ドロップします。タグをドロップする
と、確認ダイアログが表示されます。
現在選択しているタグを表示する。
Palo Alto Networks
1.
タグ ブラウザで 1 つ以上のタグを選択します。
タグは OR 演算子を使用してフィルタリングされ
ます。
2.
右ペインが更新され、選択したいずれかのタグを
含むルールが表示されます。
3.
現在選択しているタグを表示するには、タグ ブラ
ウザの [クリア] ラベルにマウス カーソルを移動
します。
現在選択しているタグを表示するには、タグ ブラウザ
の [クリア] ラベルにマウス カーソルを移動します。
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 339
その他のポリシー オブジェクト
タグの管理
選択したタグに一致するルールを表示
する。
AND または OR 演算子を使用してタグに基
づいてルールをフィルタリングできます。
• OR フィルタ:個々のタグが付けられたルールを表示
するには、タグ ブラウザで 1 つ以上のタグを選択し
ます。右ペインが更新され、現在選択しているタグ
を含むルールのみが表示されます。
• AND フィルタ:選択しているすべてのタグが付けら
れたルールを表示するには、タグ ブラウザの [ルー
ル] 列の番号にマウス カーソルを移動して、ドロッ
プダウン リストで [フィルタ] を選択します。上記の
操作を繰り返して、タグを追加します。
右ペインの検索バーで
をクリックします。AND
演算子を使用して結果が表示されます。
ルールのタグを外す。
タグ ブラウザの [ルール] 列の番号にマウス カーソル
を移動して、ドロップダウン リストで [ルールのタグ
解除] を選択します。選択したタグをルールから削除
することを確認します。
タグを使用してルールを並べ替える。
1 つ以上のタグを選択し、タグ ブラウザの [ルール] 列
のルール番号にマウス カーソルを移動して、ドロップ
ダウン リストで [ルールの移動] を選択します。
[ルールの移動] ウィンドウのドロップダウン リストか
らタグを選択し、ドロップダウン リストで選択したタ
グの [前に移動] するのか、[後に移動] するのかを選択
します。
選択したタグに適用する新しいルールを
追加する。
1 つ以上のタグを選択し、タグ ブラウザの [ルール] 列
のルール番号にマウス カーソルを移動して、ドロップ
ダウン リストで [新しいルールの追加] を選択します。
新しいルールの番号順は、右ペインでルールを選択し
たかどうかによって異なります。右ペインでルールを
選択しなかった場合、新しいルールは、選択したタグ
が属するルールの後に追加されます。右ペインでルー
ルを選択した場合、新しいルールは、選択したルール
の後に追加されます。
タグを検索する。
タグ ブラウザで、検索するタグ名の最初の文字を入力
して、
をクリックします。入力内容に一致する
タグが表示されます。
340 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
その他のポリシー オブジェクト
データ パターン
データ パターンのサポートによって、データ フィルタリング セキュリティ ポリシーを使用
してフィルタリング対象とする機密情報のカテゴリを指定できます。データ パターンの設定
手順の詳細は、「データ パターンの定義」を参照してください。
新しいパターン(正規表現)を追加する場合、以下の一般的な要件が適用されます。
• パターンには、照合対象となる 7 バイト以上の文字列が含まれている必要があります。
7 バイトより多くの文字列を含めることができますが、それより少なくはできません。
• 文字列のマッチングで大文字と小文字を区別するかどうかは、使用するデコーダによっ
て異なります。大文字と小文字を区別する必要がある場合は、語のすべてのバリエー
ションに一致させるために考え得るすべての文字列を表すパターンを定義する必要があ
ります。たとえば、confidential(部外秘)と指定されたすべての文書に一致させるに
は、「confidential」、「Confidential」、お よ び「CONFIDENTIAL」の す べ て に 一 致
するパターンを作成する必要があります。
PAN-OS の正規表現の構文は、従来の正規表現エンジンと似ていますが、それぞれのエンジ
ンはすべて異なります。以下の表に、PAN-OS でサポートされている構文を示します。
表 163. パターンのルール
構文
説明
.
任意の 1 文字に一致します。
?
直前の文字または表現に 0 ~ 1 回一致します。一般式は、かっこのペア内にある必要
があります。
例:(abc)?
*
直前の文字または表現に 0 回以上一致します。一般式は、かっこのペア内にある必要
があります。
例:(abc)*
+
直前の文字または正規表現に 1 回以上一致します。一般式は、かっこのペア内にある
必要があります。
例:(abc)+
|
「または」に相当します。
例:((bif)|(scr)|(exe)) は、「bif」、「scr」または「exe」に一致します。代替の従属
文字列はかっこで囲む必要があります。
-
範囲を表すために使用します。
例:[c-z] は、c ~ z の任意の文字列に一致します。
[]
指定した任意の文字に一致します。
例:[abz] は a、b、または z に一致します。
^
指定以外の任意の文字に一致します。
例:[^abz] は a、b、または z 以外の任意の文字に一致します。
{}
最小バイト数 / 最大バイト数です。
例:{10-20} は、10 ~ 20 バイトの文字列に一致します。固定文字列の直前に使用する
必要があり、「-」のみがサポートされます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 341
その他のポリシー オブジェクト
表 163. パターンのルール(続き)
構文
説明
\
前述の特殊文字のいずれかにリテラル文字として一致させるには、特殊文字の前に
「\」(円記号)を使用してエスケープする必要があります。
&amp
& は特殊文字であるため、「&」を文字列として検索するには代わりに「&amp」を
使用する必要があります。
データ パターンの例
有効なカスタム パターンの例を以下に示します。
• .*((Confidential)|(CONFIDENTIAL))
– 任意の場所から「Confidential」または「CONFIDENTIAL」という言葉を検索します。
– 最初の「.*」は、ストリームの任意の場所を検索することを指定します。
– デ コ ー ダ が 大 文 字 小 文 字 を 区 別 す る か ど う か に 応 じ て、上 の パ タ ー ン は
「confidential」(すべて小文字)に一致しないことがあります。
• .*((Proprietary &amp Confidential)|(Proprietary and Confidential))
– 「Proprietary & Confidential」または「Proprietary and Confidential」を検索します。
– 「Confidential」の検索よりも詳細な検索です。
• .*(Press Release).*((Draft)|(DRAFT)|(draft))
– さまざまな形式の単語 draft が後に続く「Press Release」を検索します。これに一致
する場合は、プレス リリースの公開準備が整っていないことを示します。
• .*(Trinidad)
– 「Trinidad」などのプロジェクト コード名を検索します。
ダイナミック ブロック リスト
[Objects] > [Dynamic Block Lists]
インポートされた IP アドレスのリストに基づいてアドレス オブジェクトを作成するには、
[ダイナミック ブロック リスト] ページを使用します。このリストはテキスト ファイルとし
て作成し、ファイアウォールがアクセスおよびインポートできる Web サーバーに保存する
必要があります。ファイアウォールは、管理ポートを使用してこのリストを取得します。
デバイス上のリストを毎時、毎日、毎週、または毎月自動的に更新するようにファイア
ウォールを設定できます。ダイナミック ブロック リスト オブジェクトを作成したら、セキュ
リティ ポリシーの送信元および宛先フィールドでアドレス オブジェクトを使用できます。
大半のプラットフォームではダイナミック ブロック リストを 10 個までサポートしていま
す。例外は PA-5000 シリーズと PA-7000 シリーズで、同リストを 50 個までサポートしてい
ます。各リストは、IP 範囲、サブネットを含め、最大 5,000 個の IP アドレス(IPv4 および
IPv6)で構成されます。リストには、1 行に 1 つの IP アドレス、範囲、またはサブネットを
含める必要があります。以下に例を挙げます。
342 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
その他のポリシー オブジェクト
単一 IP アドレス:
IPv4: 192.168.80.150/32
IPv6: 2001:db8:123:1::1 または 2001:db8:123:1::/64
IP 範囲:
アドレス範囲を指定するには、[IP 範囲] を選択してアドレス範囲を入力します。形式は以下
のとおりです。
ip_address–ip_address
ここで、各アドレスは IPv4 または IPv6 になります。
IPv4: 「192.168.80.0/24」は、192.168.80.0 ~ 192.168.80.255 のすべてのアドレスを示します。
IPv6: 2001:db8:123:1::1 - 2001:db8:123:1::22
以下の表では、ダイナミック ブロック リスト設定について説明します。
表 164 ダイナミック ブロック リスト
フィールド
説明
名前
ダイナミック ブロック リストを識別する名前(最大 32 文字)
を入力します。この名前は、ポリシーで送信元または宛先を選
択するときに表示されます。
共有
以下に対してダイナミック ブロック リストを公開する場合は、
このチェック ボックスをオンにします。
• multi-vsys ファイアウォールの各仮想システム (vsys)。この
チェック ボックスをオフにすると、[Objects] タブで選択した
[仮想システム] に対してのみダイナミック ブロック リストが
公開されます。
• Panorama 上の各デバイス グループ。このチェック ボックスを
オフにすると、[Objects] タブで選択した [デバイス グループ]
に対してのみダイナミック ブロック リストが公開されます。
オーバーライドの無効化
(Panorama のみ)
管理者が、継承した値を子孫デバイス グループでオーバーライ
ドすることによってダイナミック ブロック リストのローカル コ
ピーを作成するのを禁止する場合は、このチェック ボックスを
オンにします。デフォルトでは、このチェック ボックスはオフ
(オーバーライドが有効)になっています。
説明
ダイナミック ブロック リストの説明を入力します(最大 255
文字)。
ソース
テキスト ファイルが含まれている HTTP または HTTPS URL パ
スを入力します。たとえば、「http://1.1.1.1/myfile.txt」のよ
うになります。
繰り返し
リストがインポートされる頻度を指定します。[毎時]、[毎日]、
[毎週] または [月次] を選択できます。リストは、指定した間隔
で設定にインポートされます。このタイプの更新が行われるた
めにフル コミットは必要ありません。
ソース URL のテスト(ファイア
ウォールのみ)
ソース URL またはサーバー パスが使用できるかどうかをテスト
します。このボタンはファイアウォール Web インターフェイス
でのみ使用可能です。Panorama では使用できません。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 343
その他のポリシー オブジェクト
カスタムのスパイウェア シグネチャと脆弱性シグネチャ
このセクションでは、カスタム脆弱性プロファイルの作成時に使用できるカスタムのスパイ
ウェア シグネチャと脆弱性シグネチャを作成するために使用可能なオプションについて説明
します。
[Objects] > [カスタム オブジェクト] > [データ パターン]
[Objects] > [カスタム オブジェクト] > [スパイウェア]
[Objects] > [カスタム オブジェクト] > [脆弱性]
[Objects] > [カスタム オブジェクト] > [URL カテゴリ]
データ パターンの定義
[Objects] > [カスタム オブジェクト] > [データ パターン]
データ フィルタリング セキュリティ ポリシーを使用してフィルタリング対象とする機密情
報のカテゴリを定義するには、[データ パターン] ページを使用します。データ フィルタリン
グ プロファイルの定義方法の詳細は、「データ フィルタリング プロファイル」を参照して
ください。
以下の表では、データ パターン設定について説明します。
表 165. データ パターン設定
フィールド
説明
名前
データ パターン名(最大 31 文字)を入力します。名前の大文字と小文字
は区別されます。また、一意の名前にする必要があります。文字、数字、
スペース、ハイフン、およびアンダースコアのみを使用してください。
説明
データ パターンの説明を入力します(最大 255 文字)。
共有
以下に対してデータ パターンを公開する場合は、このチェック ボック
スをオンにします。
• multi-vsys ファイアウォールの各仮想システム (vsys)。このチェック
ボックスをオフにすると、[Objects] タブで選択した [仮想システム]
に対してのみデータ パターンが公開されます。
• Panorama 上の各デバイス グループ。このチェック ボックスをオフに
すると、[Objects] タブで選択した [デバイス グループ] に対してのみ
データ パターンが公開されます。
オーバーライドの無効化
(Panorama のみ)
管理者が、継承した値を子孫デバイス グループでオーバーライドするこ
とによってデータ パターンのローカル コピーを作成するのを禁止する
場合は、このチェック ボックスをオンにします。デフォルトでは、この
チェック ボックスはオフ(オーバーライドが有効)になっています。
344 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
その他のポリシー オブジェクト
表 165. データ パターン設定(続き)
フィールド
説明
重み
事前に指定したパターン タイプの重みを入力します。この重みは、1 ~
255 の数値になります。データ フィルタリング プロファイルで指定する
[アラートしきい値] および [ブロックしきい値] は、この重みの関数です。
• クレジット番号 — クレジット カード フィールドの重みを指定します
(範囲は 0 ~ 255)。
• SSN 番号 — 123-45-6789 のようにダッシュが含まれている社会保障番
号フィールドの重みを指定します(範囲は 0 ~ 255、255 が最も高い
重み)。
• SSN 番号(ダッシュを除く)— 123456789 のようにエントリにダッシュ
が含まれていない社会保障番号フィールドの重みを指定します(範囲
は 0 ~ 255、255 が最も高い重み)。
カスタム パターン
事前に定義されているパターンには、クレジット カード番号 (CC#) と社
会保障番号(ダッシュ付き (SSN#) およびダッシュなし SSN# (without
dash))が含まれています。
[追加] をクリックして新しいパターンを追加します。パターンの名前を
指定して、パターンを定義する正規表現を入力し、パターンに割り当て
る重みを入力します。必要に応じて、パターンを追加します。
スパイウェア シグネチャと脆弱性シグネチャの定義
[Objects] > [カスタム オブジェクト] > [スパイウェア]
[Objects] > [カスタム オブジェクト] > [脆弱性]
ファイアウォールでは、ファイアウォールの脅威エンジンを使用してカスタムのスパイウェ
ア シグネチャと脆弱性シグネチャを作成する機能をサポートしています。スパイウェアの
フォンホーム通信や脆弱性の悪用を特定するためのカスタム正規表現パターンを記述できま
す。作成したスパイウェアと脆弱性のパターンは、カスタム脆弱性プロファイルで使用でき
ます。ファイアウォールは、カスタム定義されたパターンがネットワーク トラフィックに含
まれていないか検索し、脆弱性の悪用に対して指定されたアクションを実行します。
週次のコンテンツ リリースには、新しいデコーダとシグネチャを開発す
るためのコンテキストが定期的に含まれています。
カスタム シグネチャを定義するときに任意で時間属性を含めることができます。これを行う
には、攻撃に対してアクションをトリガーする間隔ごとにしきい値を指定します。しきい値
に達した場合にのみアクションが実行されます。
アンチスパイウェア プロファイルのシグネチャを定義するには、[カスタム スパイウェア シ
グネチャ] ページを使用します。脆弱性防御プロファイルのシグネチャを定義するには、[カ
スタム脆弱性シグネチャ] ページを使用します。
表 166. カスタム シグネチャ - 脆弱性およびスパイウェア
フィールド
説明
[設定] タブ
脅威 ID
Palo Alto Networks
設定の識別子を数値で入力します。スパイウェア シグネチャの範囲は
15000 ~ 18000、脆弱性シグネチャの範囲は 41000 ~ 45000 です。
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 345
その他のポリシー オブジェクト
表 166. カスタム シグネチャ - 脆弱性およびスパイウェア(続き)
フィールド
説明
名前
脅威の名前を指定します。
共有
以下に対してカスタム シグネチャを公開する場合は、このチェック
ボックスをオンにします。
• multi-vsys ファイアウォールの各仮想システム (vsys)。このチェック
ボックスをオフにすると、[Objects] タブで選択した [仮想システム]
に対してのみカスタム シグネチャが公開されます。
• Panorama 上の各デバイス グループ。このチェック ボックスをオフに
すると、[Objects] タブで選択した [デバイス グループ] に対してのみ
カスタム シグネチャが公開されます。
オーバーライドの無効化
(Panorama のみ)
管理者が、継承した値を子孫デバイス グループでオーバーライドするこ
とによってシグネチャのローカル コピーを作成するのを禁止する場合
は、このチェック ボックスをオンにします。デフォルトでは、この
チェック ボックスはオフ(オーバーライドが有効)になっています。
コメント
任意でコメントを入力します。
重大度
脅威の重大度を示すレベルを割り当てます。
デフォルト アクション
脅威の条件を満たしたときに実行されるデフォルトのアクションを割り
当てます。アクションの一覧については、「セキュリティ プロファイル
のアクション」を参照してください。
方向
脅威を評価する方向(クライアントからサーバー、サーバーからクライ
アント、その両方)を指定します。
影響を受けるシステム
脅威によって影響を受ける対象(クライアント、サーバー、そのどちら
か、その両方)を指定します。脆弱性シグネチャには適用されますが、
スパイウェア シグネチャには適用されません。
CVE
CVE (Common Vulnerability Enumeration) を、追加情報および分析の
ための外部参照として指定します。
ベンダー
脆弱性のベンダー識別子を、追加情報および分析のための外部参照とし
て指定します。
Bugtraq
Bugtraq(CVE と類似)を、追加情報および分析のための外部参照とし
て指定します。
リファレンス
必要に応じて、追加の分析または情報用にリンクを追加します。この情
報は、ユーザーが ACC、ログ、または脆弱性プロファイルから脅威を
クリックすると表示されます。
346 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
その他のポリシー オブジェクト
表 166. カスタム シグネチャ - 脆弱性およびスパイウェア(続き)
フィールド
説明
[シグネチャ] タブ
標準シグネチャ
[標準] ラジオ ボタンを選択して [追加] をクリックし、新しいシグネチャ
を追加します。以下の情報を指定します。
• シグネチャ名 — シグネチャの識別に使用する名前を入力します。
• コメント — 任意で説明を入力します。
• 順番が付けられた条件の一致 — シグネチャの条件の定義順序が重要で
ある場合に選択します。
• 範囲 — このシグネチャの適用対象(現在のトランザクションのみ、ま
たはユーザー セッション全体)を選択します。
[追加 And Condition] または [追加 Or Condition] をクリックして条件
を追加します。グループ内に条件を追加するには、グループを選択して
[条件の追加] をクリックします。シグネチャに条件を追加して、条件と
して定義したパラメータが真の場合にトラフィックのシグネチャが生成
されるようにします。ドロップダウン リストから [演算子] を選択しま
す。演算子によって、カスタム シグネチャがトラフィックと一致するた
めに真である必要がある条件のタイプが決まります。[未満]、[等しい]、
[超過]、または [パターン マッチ] 演算子を選択します。
• [パターン マッチ] 演算子を選択する際には、以下が真になるように指
定すると、シグネチャがトラフィックと一致します。
– コンテキスト — 使用可能なコンテキストから選択します。
– パターン — 正規表現を指定します。正規表現のパターンのルールの
詳細は、表 163を参照してください。
– 修飾子と値 — 任意で修飾子 / 値のペアを追加します。
– Negate — [Negate] チェック ボックスをオンにすると、定義済みの
パターン マッチ条件が真でない場合のみ、カスタム シグネチャが
トラフィックと一致します。これにより、特定の条件が満たされた
とき、カスタム シグネチャがトリガーされないようにできます。
注:Negate 条件だけのカスタム シグネチャを作成することはできませ
ん。Negate 条件を指定するには、少なくとも 1 つの肯定条件を含める
必要があります。また、シグネチャの範囲がセッションに設定されてい
る場合、トラフィックと一致させるには、Negate 条件を最後の条件に
設定しないようにしてください。
今リリースより、カスタムの脆弱性シグネチャまたはスパイウェア シグ
ネチャに例外を定義できるようになりました。それには、トラフィック
がシグネチャとシグネチャの例外の両方に一致したときシグネチャの生
成を否定する新しいオプションを使用します。このオプションを使用す
ると、通常ならスパイウェアまたは脆弱性攻撃として分類されるネット
ワーク内の特定のトラフィックを許可できます。その場合、パターンに
一致するトラフィックについてのみ、シグネチャが生成されます。パ
ターンには一致するが、パターンの例外にも一致するトラフィックは、
シグネチャ生成の対象から除外され、関連するポリシー アクション(ブ
ロックやドロップなど)も実行されません。たとえば、リダイレクトさ
れた URL に対して生成されるシグネチャを定義し、同時に、信頼され
たドメインにリダイレクトされた URL についてはシグネチャを生成し
ないという例外も作成できるようになりました。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 347
その他のポリシー オブジェクト
表 166. カスタム シグネチャ - 脆弱性およびスパイウェア(続き)
フィールド
説明
• [等しい]、[未満]、または [超過] 演算子を選択する際には、以下が真に
なるように指定すると、シグネチャがトラフィックと一致します。
– コンテキスト — TCP または UDP の未知のリクエストまたは応答か
ら選択します。
– 位置 — ペイロードの最初の 4 バイトまたは 2 番目の 4 バイトのい
ずれかを選択します。
– マスク — 4 バイトの 16 進数値を指定します(たとえば、0xffffff00)。
– 値 — 4 バイトの 16 進数値を指定します(たとえば、0xaabbccdd)。
組み合わせシグネチャ
[組み合わせ] ラジオ ボタンを選択します。サブタブの上部のエリアで、
以下の情報を指定します。
[組み合わせシグネチャ] サブタブで、以下のように条件を指定してシグ
ネチャを定義します。
• [追加 And Condition] または [追加 Or Condition] をクリックして条件
を追加します。グループ内に条件を追加するには、グループを選択し
て [条件の追加] をクリックします。
• グループ内で条件を移動するには、条件を選択して [上へ] または [下
へ] の矢印をクリックします。グループを移動するには、グループを
選択して [上へ] または [下へ] の矢印をクリックします。グループ間で
条件を移動することはできません。
[時間属性] サブタブで、以下の情報を指定します。
• ビット数 — ポリシーベースのアクションをトリガーするしきい値を、
指定した秒数 (1 ~ 3600) のヒット数 (1 ~ 1000) として指定します。
• 集約基準 — ヒットの追跡方法(送信元 IP アドレス、宛先 IP アドレ
ス、または送信元 IP アドレスと宛先 IP アドレスの組み合わせ)を指
定します。
• グループ内で条件を移動するには、条件を選択して [上へ] または [下
へ] の矢印をクリックします。グループを移動するには、グループを
選択して [上へ] または [下へ] の矢印をクリックします。グループ間で
条件を移動することはできません。
カスタム URL カテゴリ
[Objects] > [カスタム オブジェクト] > [URL カテゴリ]
カスタム URL カテゴリ機能を使用すると、任意の URL フィルタリング プロファイルで選択
できる独自の URL リストを作成できます。各カスタム カテゴリは別個に管理できます。ま
た、各 URL フ ィ ル タ リ ン グ プ ロ フ ァ イ ル 内 で ア ク シ ョ ン (allow、block、continue、
override、alert、none) を関連付けることができます。none アクションはカスタム URL カ
テゴリにのみ適用されます。none を選択するのは、複数の URL プロファイルが存在する場
合に、そのカスタム カテゴリが他のプロファイルに影響を与えないようにするためです。た
とえば、2 つの URL プロファイルがあり、カスタム URL カテゴリが一方のプロファイルで
block に設定されている場合、もう一方のプロファイルでは block が適用されないようにす
るにはアクションを none に設定する必要があります。
348 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
その他のポリシー オブジェクト
URL エントリは個別に追加することも、URL リストをインポートすることもできます。
URL リストを作成するには、テキスト ファイルを作成し、URL を 1 行に 1 つずつリストし
ます。各 URL の形式は、「www.example.com」にすることができ、「*.example.com」な
どのワイルドカードを使用できます。ワイルドカードの詳細は、「URL フィルタリング プ
ロファイル設定」表の [ブロック リスト] フィールドの説明を参照してください。
カスタム カテゴリに追加される URL エントリの大文字と小文字は区別さ
れます。また、カスタム カテゴリが URL プロファイルに追加されてアク
ションが設定された後にそのカスタム カテゴリを削除する場合、アク
ションを None に設定しないとカスタム カテゴリを削除できません。
URL フィルタリング プロファイルのセットアップ手順の詳細は、「URL フィルタリング プ
ロファイル」を参照してください。
以下の表では、カスタム URL 設定について説明します。
表 167. カスタム URL カテゴリ
フィールド
説明
名前
カスタム URL カテゴリの識別に使用する名前(最大 31 文字)を入力し
ます。この名前は、URL フィルタリング ポリシーを定義するときにカ
テゴリのリストに表示されます。名前の大文字と小文字は区別されま
す。また、一意の名前にする必要があります。文字、数字、スペース、
ハイフン、およびアンダースコアのみを使用してください。
説明
URL カテゴリの説明を入力します(最大 255 文字)。
共有
以下に対して URL カテゴリを公開する場合は、このチェック ボックス
をオンにします。
• multi-vsys ファイアウォールの各仮想システム (vsys)。このチェック
ボックスをオフにすると、[Objects] タブで選択した [仮想システム]
に対してのみ URL カテゴリが公開されます。
• Panorama 上の各デバイス グループ。このチェック ボックスをオフに
すると、[Objects] タブで選択した [デバイス グループ] に対してのみ
URL カテゴリが公開されます。
オーバーライドの無効化
(Panorama のみ)
管理者が、継承した値を子孫デバイス グループでオーバーライドするこ
とによって URL カテゴリのローカル コピーを作成するのを禁止する場
合は、このチェック ボックスをオンにします。デフォルトでは、この
チェック ボックスはオフ(オーバーライドが有効)になっています。
サイト
[サイト] エリアで、[追加] をクリックして URL を入力するか、[イン
ポート] をクリックし、URL リストが含まれるテキスト ファイルを参照
して選択します。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 349
その他のポリシー オブジェクト
セキュリティ プロファイル グループ
[Objects] > [セキュリティ プロファイル グループ]
ファイアウォールでは、セキュリティ プロファイルのセットを指定してセキュリティ プロ
ファイル グループを作成する機能がサポートされています。セキュリティ プロファイル グ
ループは、1 つの単位として処理でき、セキュリティ ポリシーに追加できます。たとえば、
「脅威」セキュリティ プロファイル グループを作成して、アンチウイルス、アンチスパイ
ウェア、および脆弱性防御の各プロファイルを追加し、その後、セキュリティ ポリシーを作
成してその「脅威」プロファイルを追加することができます。
同時に割り当てられることが多いアンチウイルス、アンチスパイウェア、脆弱性防御、URL
フィルタリング、およびファイル ブロッキングの各プロファイルをプロファイル グループ
にまとめることで、セキュリティ ポリシーの作成を簡略化できます。
新しいセキュリティ プロファイルを定義する方法については、「セキュリティ ポリシーの
定義」を参照してください。
以下の表では、セキュリティ プロファイル設定について説明します。
表 168. セキュリティ プロファイル グループ設定
フィールド
説明
名前
プロファイル グループ名(最大 31 文字)を入力します。この名前は、
セキュリティ ポリシーを定義するときにプロファイルのリストに表示さ
れます。名前の大文字と小文字は区別されます。また、一意の名前にす
る必要があります。文字、数字、スペース、ハイフン、およびアンダー
スコアのみを使用してください。
共有
以下に対してプロファイル グループを公開する場合は、このチェック
ボックスをオンにします。
• multi-vsys ファイアウォールの各仮想システム (vsys)。このチェック
ボックスをオフにすると、[Objects] タブで選択した [仮想システム]
に対してのみプロファイル グループが公開されます。
• Panorama 上の各デバイス グループ。このチェック ボックスをオフに
すると、[Objects] タブで選択した [デバイス グループ] に対してのみ
プロファイル グループが公開されます。
オーバーライドの無効化
(Panorama のみ)
管理者が、継承した値を子孫デバイス グループでオーバーライドするこ
とによってプロファイル グループのローカル コピーを作成するのを禁
止する場合は、このチェック ボックスをオンにします。デフォルトで
は、このチェック ボックスはオフ(オーバーライドが有効)になってい
ます。
プロファイル
グループに含めるアンチウイルス、アンチスパイウェア、脆弱性防御、
URL フィルタリング、およびファイル ブロッキングの各プロファイル
を選択します。データ フィルタリング プロファイルも、セキュリティ
プロファイル グループに指定できます。「データ フィルタリング プロ
ファイル」を参照してください。
350 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
その他のポリシー オブジェクト
ログの転送
[Objects] > [ログ転送]
セキュリティ ポリシーごとにログの転送プロファイルを指定できます。このプロファイルで
は、トラフィックおよび脅威のログ エントリを Panorama を使用してリモートでログに記録
するかどうかや、SNMP トラップ、Syslog メッセージ、または電子メール通知として送信す
るかどうかを定義します。デフォルトでは、ローカル ログのみが実行されます。
トラフィック ログには各トラフィック フローのレコード情報が記録され、脅威ログには
ネットワーク トラフィックの脅威または問題(ウイルスやスパイウェアの検出など)が記録
されます。各ルールに関連付けられているアンチウイルス、アンチスパイウェア、および脆
弱性防御のプロファイルによって、(ローカルまたはリモートで)ログに保存される脅威が
決まります。ログのプロファイルをセキュリティ ポリシーに適用する方法については、「セ
キュリティ ポリシーの定義」を参照してください。
PA-7000 シリーズのファイアウォールで、Syslog、電子メール、および
SNMP のログ タイプを転送するには、特殊なインターフェイス タイプ
(ログ カード)をファイアウォールに設定する必要があります。これ
は、WildFire へのファイル転送にも必要です。ポートを設定すると、特殊
な設定をせずに、ログ転送と WildFire 転送で自動的にこのポートが使用
されます。PA-7000 シリーズ NPC のいずれかでデータ ポートをインター
フェイス タイプ「ログ カード」として設定し、使用するネットワークが
ログ サーバーと通信できることを確認してください。WildFire 転送の場
合、ネットワークは WildFire クラウドまたは WildFire アプライアンス、
あるいはその両方と通信する必要があります。
このインターフェイスの設定の詳細は、「ログ カード インターフェイス
の設定」を参照してください。
以下の表では、ログ転送設定について説明します。
表 169.
ログ転送プロファイル設定
フィールド
説明
名前
プロファイル名(最大 31 文字)を入力します。この名前は、セキュリ
ティ ポリシーを定義するときにログ転送プロファイルのリストに表示さ
れます。名前の大文字と小文字は区別されます。また、一意の名前にす
る必要があります。文字、数字、スペース、ハイフン、およびアンダー
スコアのみを使用してください。
共有
プロファイルを以下に対して公開するには、このチェック ボックスをオ
ンにします。
• multi-vsys ファイアウォールの各仮想システム (vsys)。このチェック
ボックスをオフにすると、プロファイルは [Objects] タブで選択され
た [仮想システム] に対してのみ公開されます。
• Panorama 上の各デバイス グループ。このチェック ボックスをオフに
すると、[Objects] タブで選択した [デバイス グループ] に対してのみ
プロファイルが公開されます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 351
その他のポリシー オブジェクト
表 169.
ログ転送プロファイル設定(続き)
フィールド
説明
オーバーライドの無効化
(Panorama のみ)
管理者が継承値をオーバーライドして子孫デバイス グループのプロファ
イルのローカル コピーを作成しないようにするには、このチェック
ボックスをオンにします。デフォルトでは、このチェック ボックスはオ
フ(オーバーライドが有効)になっています。
トラフィック設定
Panorama
トラフィック ログ エントリを Panorama 中央管理システムに送信でき
るようにするには、このチェック ボックスをオンにします。Panorama
サーバーのアドレスを定義する方法については、「管理設定の定義」を
参照してください。
SNMP トラップ
電子メール
Syslog
SNMP、Syslog、および電子メールの設定を選択します。この設定で
は、トラフィック ログ エントリの追加の宛先を指定します。新しい宛
先を定義する方法については、以下のセクションを参照してください。
• 「SNMP トラップの宛先の設定」。
• 「電子メール通知設定の指定」
• 「Syslog サーバーの設定」
Threat Log Settings
Panorama
各重大度レベルの脅威ログ エントリが Panorama に送信されるようにす
るには、このチェック ボックスをオンにします。以下の重大度レベルが
あります。
• Critical — 脅威のセキュリティ エンジンで検出された非常に深刻な攻
撃です。
• High — 脅威のセキュリティ エンジンで検出された重大な攻撃です。
• Medium — 脅威のセキュリティ エンジンで検出されたそれほど深刻
ではない攻撃です(URL ブロックなど)。
• Low — 脅威のセキュリティ エンジンで検出された警告レベルの攻撃
です。
• Informational — 他の重大度レベルに含まれないすべてのイベントです
(情報攻撃対象の一致など)。
SNMP トラップ
電子メール
Syslog
重大度レベルごとに SNMP、Syslog、および電子メールの設定を選択しま
す。この設定では、脅威のログ エントリの追加の送信先を指定します。
復号プロファイル
[Objects] > [復号プロファイル]
復号プロファイルを使用して、SSL フォワード プロキシ、SSL インバウンド インスペクショ
ン、および SSH トラフィックの特定の側面をブロックまたは制御することができます。作成
した復号プロファイルは復号ポリシーに追加できます。この復号ポリシーに一致するすべて
のトラフィックがプロファイル設定に従って処理されるようになります。
また、デバイスが信頼する証明機関を制御することもできます。詳細は、「デフォルトの信
頼された証明機関の管理」を参照してください。
352 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
その他のポリシー オブジェクト
ファイアウォールにはデフォルトの復号プロファイルが設定されており、新規の復号ポリ
シーに自動的に含められます(デフォルトの復号プロファイルを変更することはできませ
ん)。[追加] をクリックして新規の復号プロファイルを作成するか、既存のプロファイルを
選択し、それを [コピー] または変更してください。
以下のセクションでは、復号ポリシーに一致したトラフィックに一般的に適用される設定
と、復号化された SSL トラフィック、復号化された SSH トラフィック、および [復号なし]
ポリシー(復号化の例外)に一致したトラフィックに個別に適用できる設定の詳細について
説明します。
• 「復号プロファイルの一般設定」
• 「復号プロファイルの SSL 復号化設定」
• 「復号プロファイルの復号化なし設定」
• 「復号プロファイルの SSH プロキシ設定」
復号ポート ミラーリングを有効にするには、復号化ポート ミラー ライセ
ンスを取得およびインストールして、ファイアウォールを再起動する必要
があります。
表 170. 復号プロファイルの一般設定
フィールド
説明
名前
プロファイル名(最大 31 文字)を入力します。この名前は、復号ポリシーを
定義するときに復号プロファイルのリストに表示されます。名前の大文字と
小文字は区別されます。また、一意の名前にする必要があります。文字、数
字、スペース、ハイフン、およびアンダースコアのみを使用してください。
共有
プロファイルを以下に対して公開するには、このチェック ボックスをオンに
します。
• multi-vsys ファイアウォールの各仮想システム (vsys)。このチェック ボッ
クスをオフにすると、プロファイルは [Objects] タブで選択された [仮想シ
ステム] に対してのみ公開されます。
• Panorama 上の各デバイス グループ。このチェック ボックスをオフにする
と、[Objects] タブで選択した [デバイス グループ] に対してのみプロファイ
ルが公開されます。
オーバーライドの
無効化(Panorama
のみ)
管理者が継承値をオーバーライドして子孫デバイス グループのプロファイル
のローカル コピーを作成しないようにするには、このチェック ボックスをオ
ンにします。デフォルトでは、このチェック ボックスはオフ(オーバーライ
ドが有効)になっています。
復号化ミラー
インターフェイス
復号ポート ミラーリングに使用する [インターフェイス] を選択します。
(PA-3000 シリー
ズ、PA-5000 シ
リーズ、PA-7000
シリーズのファイ
アウォールのみ)
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 353
その他のポリシー オブジェクト
表 170. 復号プロファイルの一般設定(続き)
フィールド
説明
転送のみ
セキュリティ ポリシーの適用後のみ、復号化されたトラフィックをミラーリ
ングする必要がある場合は、[転送のみ] チェック ボックスをオンにします。
このオプションを指定すると、ファイアウォール内を転送されたトラフィッ
クのみ がミラーリングされます。このオプションは、復号化されたトラ
フィックを他の脅威検出デバイス(DLP デバイスや他の侵入防止システム
(IPS)など)に転送する場合に役立ちます。このチェックボックスをオフに
すると(デフォルトではオフ)、ファイアウォールは、インターフェイスへ
のすべての復号化されたトラフィックをセキュリティ ポリシー検索の前にミ
ラーリングします。これにより、イベントを再生して、脅威を生成するトラ
フィックやドロップ アクションをトリガーするトラフィックを分析できます。
(PA-3000 シリー
ズ、PA-5000 シ
リーズ、PA-7000
シリーズのファイ
アウォールのみ)
[SSL 復号化]、[復号
化なし]、および
[SSH プロキシ] タブ
[SSL 復号化]、[復号化なし]、および [SSH プロキシ] による追加プロファイル
設定の詳細については、以下を参照してください。
• 「[SSL 復号化] タブの設定」
• 「[復号化なし] タブの設定」
• 「[SSH プロキシ] タブの設定」
復号プロファイルの SSL 復号化設定
以下の表で、SSL フォワード プロキシまたは SSL インバウンド インスペクションを使用し
て復号化された SSL トラフィックを制御するための設定について説明します。これらの設定
を使用して、外部サーバー証明書の状態、サポートされていない暗号スイートやプロトコル
バージョンの使用、復号を処理するためのシステム リソースの可用性といった基準に基づい
て SSL セッションを制限またはブロックできます。
表 171. [SSL 復号化] タブの設定
フィールド
[SSL フォワード プロキ
シ] サブタブ
説明
SSL フォワード プロキシ復号化では、ファイアウォールは、内部クライ
アントと外部サーバー間セッションのプロキシとして機能します。この
機能により、クライアントに提示する外部サーバーのフォワード トラス
ト証明書(元のサーバー証明書が信頼された認証局によって署名されて
いない場合は、フォワード アントラスト証明書)が生成されます。ファ
イアウォールは、セッションに対する信頼されたサードパーティとして
確立されます。
SSL フォワード プロキシを使用して復号化された SSL トラフィックを制
限またはブロックするための各種オプションを選択します。
サーバー証明書の検証
復号化された SSL トラフィックのサーバー証明書を制御するオプション
を選択できます。
証明書が期限切れのセッ
ションをブロック
サーバー証明書の期限が切れている場合、SSL 接続を終了します。これ
により、ユーザーは期限切れの証明書を受け入れて SSL セッションを続
行することができなくなります。
発行者が信頼されていな
いセッションをブロック
サーバー証明書の発行者が信頼されていない場合、SSL 接続を終了し
ます。
証明書の状態が不明な
セッションをブロックし
ます
サーバーが証明書失効状態として「不明」を返す場合に、SSL セッショ
ンを終了します。証明書失効状態は、証明書の信頼性が失効しているか
どうかを示します。
354 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
その他のポリシー オブジェクト
表 171. [SSL 復号化] タブの設定(続き)
フィールド
説明
証明書の状態のチェック
がタイムアウトしたセッ
ションをブロックします
ファイアウォールが証明書の状態サービスからの応答を待機するよう設
定された時間内に証明書の状態を取得できない場合、SSL セッションを
終了します。[証明書の有効期限] の値は、証明書プロファイルを作成ま
たは変更する際に設定できます([Device] > [証明書の管理] > [証明書プ
ロファイル])。
証明書の延長を制限
動的なサーバー証明書で使用される証明書の拡張を、鍵の用途および拡
張鍵の用途に制限します。
サポートされていない
モード チェック
サポートされていない SSL アプリケーションを制御するオプションを選
択します。
バージョンがサポートさ
れていないセッションを
ブロック
PAN-OS が「client hello」メッセージをサポートしていない場合にセッ
ションを終了します。PAN-OS では、SSLv3、TLS1.0、TLS1.1、および
TLS1.2 をサポートしています。
暗号スイートがサポート
されていないセッション
をブロック
SSL ハンドシェークで暗号スイートが指定されていて、PAN-OS でサ
ポートされていない場合、セッションを終了します。
クライアント認証を使
用するセッションをブ
ロック
SSL フォワード プロキシ トラフィックのクライアント認証を使用する
セッションを終了します。
失敗のチェック
復号化を処理するためのシステム リソースが使用できない場合に実行す
るアクションを選択します。
リソースを使用できない
場合にセッションをブ
ロック
復号化を処理するためのシステム リソースが使用できない場合、セッ
ションを終了します。
HSM を使用できない場
合にセッションをブ
ロック
証明書の署名にハードウェア セキュリティ モジュール (HSM) を使用で
きない場合は、セッションを終了します。
注:サポートされていないモードおよび失敗モードについては、セッション情報が 12 時間キャッ
シュされます。このため、同じホストとサーバー ペア間の以降のセッションは復号化されません。
代わりにこれらのセッションをブロックするには、チェック ボックスをオンにします。
[SSL インバウンド イン
スペクション] サブタブ
SSL インバウンド インスペクションでは、ファイアウォールが、クライ
アントとターゲット サーバーの間に設置され、ターゲット サーバー証
明書とキーがファイアウォールにインポートされます。これにより、
ファイアウォールは、ターゲット サーバーとクライアント間の SSL
セッションに透過的にアクセスできます。SSL フォワード プロキシ復号
化の場合のように、ファイアウォールをプロキシとして動作させる必要
はありません。
SSL フォワード プロキシを使用して復号化された SSL トラフィックを制
限またはブロックするための各種オプションを選択します。
サポートされていない
モード チェック
サポートされていないモードが SSL トラフィックで検出された場合に
セッションを制御するオプションを選択します。
サポートされていない
バージョンのセッション
をブロック
PAN-OS が「client hello」メッセージをサポートしていない場合にセッ
ションを終了します。PAN-OS では、SSLv3、TLS1.0、TLS1.1、および
TLS1.2 をサポートしています。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 355
その他のポリシー オブジェクト
表 171. [SSL 復号化] タブの設定(続き)
フィールド
説明
暗号スイートがサポート
されていないセッション
をブロック
暗号スイートが PAN-OS でサポートされていない場合、セッションを
終了します。
失敗のチェック
システム リソースが使用できない場合に実行するアクションを選択し
ます。
リソースを使用できない
場合にセッションをブ
ロック
復号化を処理するためのシステム リソースが使用できない場合、セッ
ションを終了します。
HSM を使用できない場
合にセッションをブ
ロック
セッション キーの復号化にハードウェア セキュリティ モジュール
(HSM) を使用できない場合は、セッションを終了します。
[SSL プロトコル設定] サ
ブタブ
SSL セッション トラフィックのプロトコル バージョンと暗号スイート
を適用する以下の各設定を選択します。
プロトコル バージョン
SSL セッションでの最小 / 最大プロトコル バージョンの使用を強制し
ます。
最小バージョン
SSL 接続の確立に使用できる最小プロトコル バージョンを設定します。
最大バージョン
SSL 接続の確立に使用できる最大プロトコル バージョンを設定します。
最大 オプションを選択して、最大バージョンを指定しない場合もありま
す。その場合、選択した最小バージョンと等しいかそれ以降のバージョ
ンがサポートされます。
暗号化アルゴリズム
SSL セッションでの選択した暗号化アルゴリズムの使用を適用します。
認証アルゴリズム
SSL セッションでの選択した認証アルゴリズムの使用を適用します。
復号プロファイルの復号化なし設定
[復号化なし] タブを使用して、[復号なし] アクション([Policies] > [復号] > [アクション])
が設定された復号ポリシーに一致したトラフィックをブロックする設定を有効にできます。
以下のオプションを使用すると、セッションのサーバー証明書を制御できます。ただし、
ファイアウォールはセッション トラフィックを復号化および検査しません。
表 172. [復号化なし] タブの設定
フィールド
説明
証明書が期限切れのセッ
ションをブロック
サーバー証明書の期限が切れている場合、SSL 接続を終了します。これ
により、ユーザーは期限切れの証明書を受け入れて SSL セッションを続
行することができなくなります。
発行者が信頼されていな
いセッションをブロック
サーバー証明書の発行者が信頼されていない場合、SSL 接続を終了し
ます。
356 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
その他のポリシー オブジェクト
復号プロファイルの SSH プロキシ設定
以下の表に、復号化されたインバウンドおよびアウトバウンド SSH トラフィックを制御する
ための設定を説明します。これらの設定を使用すると、未サポートのアルゴリズムの使用、
SSH エラーの検出、SSH プロキシ復号化を処理するためのリソースの可用性など、さまざま
な基準に基づいて、SSH トンネル トラフィックを制限またはブロックできます。
表 173. [SSH プロキシ] タブの設定
フィールド
説明
サポートされていな
いモード チェック
サポートされていないモードが SSH トラフィックで検出された場合にセッ
ションを制御するオプション。サポートされている SSH バージョンは、SSH
バージョン 2 です。
サポートされてい
ないバージョンの
セッションをブ
ロック
「client hello」メッセージが PAN-OS でサポートされていない場合、セッ
ションを終了します。
アルゴリズムがサ
ポートされていな
いセッションをブ
ロック
クライアントまたはサーバーで指定されたアルゴリズムが PAN-OS でサポー
トされていない場合、セッションを終了します。
失敗のチェック
SSH アプリケーション エラーが発生したり、システム リソースが使用できな
い場合に実行するアクションを選択します。
SSH エラー時にセッ
ションをブロック
SSH エラーが発生した場合、セッションを終了します。
リソースを使用で
きない場合にセッ
ションをブロック
復号化を処理するためのシステム リソースが使用できない場合、セッション
を終了します。
スケジュール
[Objects] > [スケジュール]
デフォルトでは、各セキュリティ ポリシーはすべての日時に適用されます。セキュリティ
ポリシーを特定の時間に制限するには、スケジュールを定義して該当するポリシーに適用し
ます。スケジュールごとに、固定の日時範囲、あるいは日次または週次の定期スケジュール
を指定できます。スケジュールをセキュリティ ポリシーに適用する方法については、「セ
キュリティ ポリシーの定義」を参照してください。
定義したスケジュールでセキュリティ ポリシーが起動された場合、適用
されたセキュリティ ポリシーは新しいセッションにのみ影響します。既
存のセッションはスケジュールされたポリシーの影響を受けません。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 357
その他のポリシー オブジェクト
以下の表では、スケジュール設定について説明します。
表 174. スケジュール設定
フィールド
説明
名前
スケジュール名(最大 31 文字)を入力します。この名前は、セキュリ
ティ ポリシーを定義するときにスケジュールのリストに表示されます。
名前の大文字と小文字は区別されます。また、一意の名前にする必要が
あります。文字、数字、スペース、ハイフン、およびアンダースコアの
みを使用してください。
共有
以下に対してスケジュールを公開する場合は、このチェック ボックスを
オンにします。
• multi-vsys ファイアウォールの各仮想システム (vsys)。このチェック
ボックスをオフにすると、[Objects] タブで選択した [仮想システム]
に対してのみスケジュールが公開されます。
• Panorama 上の各デバイス グループ。このチェック ボックスをオフに
すると、[Objects] タブで選択した [デバイス グループ] に対してのみ
スケジュールが公開されます。
オーバーライドの無効化
(Panorama のみ)
管理者が、継承した値を子孫デバイス グループでオーバーライドするこ
とによってスケジュールのローカル コピーを作成するのを禁止する場合
は、このチェック ボックスをオンにします。デフォルトでは、この
チェック ボックスはオフ(オーバーライドが有効)になっています。
繰り返し
スケジュールのタイプ([毎日]、[毎週]、または [1 回限り])を選択し
ます。
毎日
[追加] をクリックし、開始時刻と終了時刻を 24 時間形式 (HH:MM) で指
定します。
毎週
[追加] をクリックし、曜日を選択して開始時刻と終了時刻を 24 時間形
式 (HH:MM) で指定します。
1 回限り
[追加] をクリックし、開始日 / 時間と終了日 / 時間を指定します。
358 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
第6章
レポートとログ
以下のトピックでは、ファイアウォールでダッシュボード、アプリケーション コマンド セ
ンター (ACC)、レポート、およびログを使用してネットワーク上のアクティビティを監視す
る方法について説明します。
• 「ダッシュボードの使用」
• 「アプリケーション コマンド センターの使用」
• 「アプリケーション スコープの使用」
• 「ログの表示」
• 「自動相関エンジンの使用」
• 「ボットネット レポートの処理」
• 「PDF サマリー レポートの管理」
• 「ユーザー / グループ アクティビティ レポートの管理」
• 「レポート グループの管理」
• 「電子メールで配信するレポートのスケジューリング」
• 「レポートの表示」
• 「カスタムレポートの生成」
• 「パケット キャプチャの実行」
このセクションの大部分のレポートでは、ページ上部のドロップダウン
リストから仮想システムをオプションで選択することができます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 359
ダッシュボードの使用
ダッシュボードの使用
ダッシュボード
[Dashboard] ページのウィジットには、ソフトウェア バージョン、各インターフェイスの動
作状態、リソース使用率、脅威の最大 10 個のエントリ、設定、システム ログなど、デバイ
スの一般的な情報が表示されます。過去 60 分間のログ エントリが表示されます。使用可能
なウィジットがデフォルトですべて表示されますが、個々のウィジットを必要に応じて追加
および削除できます。
ダッシュボードや個々のウィジットを更新するには、更新アイコン
をクリックします。
自動更新間隔を変更するには、ドロップダウン リストから間隔を選択します([1 分]、[2 分]、
[5 分]、または[手動])。[Dashboard] にウィジットを追加するには、[ウィジット] ドロップ
ダウンをクリックしてカテゴリを選択し、次にウィジット名を選択します。ウィジットを削
除するには、タイトル バーの
をクリックします。
表 175. ダッシュボードのチャート
チャート
説明
上位のアプリケーション
セッション数が最も多いアプリケーションが表示されます。ブロック サ
イズでセッションの相対数を示し(マウス カーソルをブロックの上に移
動すると数が表示されます)、色でセキュリティのリスクを示します
(緑(リスク低)~ 赤(リスク高))。アプリケーションをクリックし
て、プロファイルを表示します。
上位のハイリスク
アプリケーション
[上位アプリケーション] と似ていますが、ここにはセッション数が最も
多いハイリスク アプリケーションが表示されます。
一般的な情報
デバイス名、モデル、PAN-OS ソフトウェアのバージョン、アプリケー
ション、脅威、URL フィルタリング定義のバージョン、現在の日時、お
よび最後に再起動したときからの経過時間が表示されます。
Interface Status
各インターフェイスが、有効(緑)、無効(赤)、または不明な状態
(灰)であることを示します。
脅威ログ
最新 10 エントリの脅威の ID、アプリケーション、および日時が表示さ
れます。脅威の ID は、マルウェアに関する説明、または URL フィルタ
リング プロファイルに違反する URL を示します。過去 60 分間のエント
リのみが表示されます。
設定ログ
最新 10 エントリの管理者のユーザー名、クライアント(Web または
CLI)、および日時が表示されます。過去 60 分間のエントリのみが表示
されます。
データ フィルタリング
ログ
過去 60 分間に生成されたログの説明と日時が表示されます。
URL フィルタリング
ログ
過去 60 分間に生成されたログの説明と日時が表示されます。
システム ログ
最新 10 エントリの説明と日時が表示されます。「Config installed」エン
トリは、設定の変更が正常にコミットされたことを示します。過去 60 分間
のエントリのみが表示されます。
システム リソース
管理 CPU 使用率、データ プレーン使用率、およびファイアウォールで
確立されたセッションの数を示すセッション数が表示されます。
360 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
アプリケーション コマンド センターの使用
表 175. ダッシュボードのチャート(続き)
チャート
説明
ログインしている管理者
現在ログインしている各管理者の送信元 IP アドレス、セッション タイ
プ(Web または CLI)、およびセッションの開始時刻が表示されます。
ACC リスク ファクタ
この 1 週間に処理されたネットワーク トラフィックの平均リスク ファク
タ (1 ~ 5) が表示されます。値が大きいほどリスクが大きくなります。
高可用性
[高可用性 (HA)] を有効にすると、ローカルおよびピア デバイスの HA
状態(緑(アクティブ)、黄(パッシブ)、黒(その他))が表示され
ます。HA の詳細は、「ファイアウォールの HA の有効化」を参照して
ください。
ロック
管理者によって設定された設定ロックが表示されます。
アプリケーション コマンド センターの使用
ACC
アプリケーション コマンド センター (ACC) は、ネットワーク内のアクティビティに関する
実用的なインテリジェンスを提供する分析ツールです。ACC は、ファイアウォール ログを
使用してネットワーク上のトラフィック トレンドをグラフィカルに表現します。このグラ
フィカル表現を使用して、データにアクセスし、ネットワークの使用パターン、トラフィッ
ク パターン、疑わしいアクティビティ、異常を含め、ネットワーク上のイベント間の関係を
視覚化できます。
知りたい内容
以下を参照
ACC を使用するには?
「ACC の画面」
「表示」
「ウィジット」
「アクション」
ACC を操作するには?
「フィルタの処理」
さらに詳細を知りたい
探している情報が見つか
らない
Palo Alto Networks
「アプリケーション コマンド センターの使用」を
参照してください
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 361
アプリケーション コマンド センターの使用
ACC の画面
1
タブ
ACC には事前定義済みの 3 つのタブまたは表示があり、ネットワーク トラ
フィック、脅威のアクティビティ、ブロックされたアクティビティが視覚
的に示されます。各表示の詳細は、「表示」を参照してください。
2
ウィジット
各タブには、タブに関連付けられたイベントとトレンドを最適に表現す
る、デフォルトのウィジット セットが含まれます。ウィジットで、バイト
数(入力および出力)、セッション、コンテンツ(ファイルおよびデー
タ)、URL カテゴリ、脅威(有害および安全)、およびカウントのフィル
タを使用してデータを調べることができます。各ウィジットの詳細は、
「ウィジット」を参照してください。
3
日時
各ウィジットのチャートとグラフにはリアルタイム表示と履歴表示が用意
されています。カスタム範囲を選択するか、過去 15 分~過去 30 日または
過去 30 暦日の範囲で事前定義済みの期間を選択できます。
データの表示に使用するデフォルトの期間は過去 1 時間です。画面に日付
と時間の間隔が表示されます。例:
01/12 10:30:00-01/12 11:29:59
4
グローバル
フィルタ
グローバル フィルタを使用すると、フィルタをすべてのタブに設定できま
す。選択されたフィルタがチャートとグラフに適用された後にデータが表
示されます。フィルタの使用方法の詳細は、「アクション」を参照してく
ださい。
362 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
アプリケーション コマンド センターの使用
ACC の画面
5
リスク
メーター
リスク メーター(1 = 最低 ~ 5 = 最高)は、ネットワーク上の相対的なセ
キュリティ リスクを示します。リスク メーターではさまざまな要因が使用
されます。たとえば、ネットワーク上で確認されたアプリケーションのタ
イプ、そのアプリケーションに関連付けられるリスク レベル、ブロックさ
れた脅威数によって確認される脅威のアクティビティとマルウェア、侵入
されたホスト、マルウェアのホストまたはドメインへのトラフィックがあ
ります。
6
ソース
ファイアウォールと Panorama では、表示に使用するデータ ソースが異な
ります。
ファイアウォールでは、複数の仮想システムが有効になっている場合、[仮
想システム] ドロップダウンを使用して、ACC の表示にすべての仮想シス
テムを含めるか、選択した仮想システムのみを含めるかを変更できます。
Panorama では、表示に Panorama を使用するか、リモート デバイス デー
タを使用するかを変更できます。データ ソースが Panorama の場合、特定
のデバイス グループに応じて表示をフィルタリングできます。
7
エクスポート
現在のタブに表示されているウィジットを PDF としてエクスポートできます。
表示
• ネットワーク アクティビティ — このタブには、ネットワーク上のトラフィックおよびユー
ザー アクティビティの概要が表示されます。このタブは、使用されている上位のアプリ
ケーション、トラフィックを生成した上位のユーザーとそのユーザーがアクセスしたバ
イト数、コンテンツ、脅威、または URL の詳細、およびトラフィックと一致したセ
キュリティ ルールのうち最も多く使用されたセキュリティ ルールに焦点を当てます。ま
た、ネットワーク アクティビティを送信元または宛先のゾーン、領域、または IP アド
レス別に表示したり、入力インターフェイスまたは出力インターフェイス別に表示した
り、ホスト情報(ネットワーク上で最もよく使用されたデバイスのオペレーティング シ
ステムなど)別に表示したりできます。
• 脅威アクティビティ — このタブには、ネットワーク上の脅威の概要が表示されます。この
タブは上位の脅威に焦点を当てます。たとえば、脆弱性、スパイウェア、ウイルス、有
害なドメインまたは URL にアクセスしているホスト、上位の WildFire 送信(ファイル
タイプ別およびアプリケーション別)、非標準ポートを使用しているアプリケーション
です。[侵入されたホスト] ウィジットは、すぐれた可視化技術を使用して検出を補完し
ます。これは、[相関されたイベント] タブ([自動相関エンジン] > [相関されたイベント])
からの情報を使用して、ネットワーク上の侵入されたホストを送信元ユーザーまたは IP
アドレス別に重大度の順番で集約して表示します。
• ブロックされたアクティビティ — このタブは、ネットワークに入ることができなかった
トラフィックに焦点を当てます。このタブのウィジットでは、アプリケーション名、
ユーザー名、脅威名、コンテンツ(ファイルおよびデータ)、および上位のセキュリ
ティ ルールによって拒否されたアクティビティと、トラフィックをブロックした拒否ア
クションを確認できます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 363
アプリケーション コマンド センターの使用
ウィジット
各タブのウィジットを操作できます。フィルタを設定し、表示をドリルダウンしてカスタマ
イズし、必要な情報に焦点を当てることができます。
各ウィジットは以下の要素を表示するように構成されています。
1
表示
バイト、セッション、脅威、カウント、コンテンツ、URL、有害、安全、
ファイル、データ、プロファイル、オブジェクトでデータをソートできま
す。使用できるオプションはウィジットによって異なります。
2
グラフ
グラフィック表示オプションには、ツリーマップ、線グラフ、横棒グラフ、
積み重ね面グラフ、積み重ね棒グラフ、およびマップがあります。使用でき
るオプションはウィジットによって異なります。また、対話操作もグラフ
タイプによって異なります。たとえば、非標準ポートを使用するアプリケー
ションのウィジットでは、ツリーマップと線グラフを選択できます。
表示をドリルダウンするには、グラフをクリックします。クリックした領
域がフィルタになり、選択対象が拡大し、選択対象のより詳細な情報を表
示できます。
364 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
アプリケーション コマンド センターの使用
3
表
グラフの作成に使用されたデータの詳細がグラフの下の表に表示されます。
表内の要素に対して、ローカル フィルタまたはグローバル フィルタをク
リックして設定できます。ローカル フィルタを使用した場合、グラフが更
新され、表がフィルタでソートされます。
グローバル フィルタを使用した場合、フィルタに関連する情報のみを表示
するように ACC 全体の表示が切り替わります。
4
アクション
表示の最大化 — ウィジットを拡大し、より大きな画面領域にウィジットを
表示できます。表示を最大化すると、ウィジットのデフォルトの画面幅で
表示されるトップ 10 アイテムよりも多くの情報を表示できます。
ローカル フィルタの設定 — フィルタを追加して、ウィジット内の表示を絞
り込むことができます。「フィルタの処理 — ローカル フィルタおよびグ
ローバル フィルタ」を参照してください。
ログにジャンプ — ログに直接移動できます([Monitor] > [ログ] > ログ タ
イプ タブ)。グラフの作成に使用された期間によってログはフィルタリン
グされます。
ローカル フィルタとグローバル フィルタを設定した場合、ログ クエリでは
期間とフィルタが連結され、設定したフィルタに一致するログのみが表示
されます。
エクスポート — グラフを PDF としてエクスポートできます。
各ウィジットの詳細は、「ACC の使用」を参照してください。
アクション
ACC 表示のカスタマイズおよび絞り込みを行うには、タブの追加と削除、ウィジットの追
加と削除、ローカルおよびグローバル フィルタの設定、ウィジットの操作ができます。
• 「タブおよびウィジットの処理」
• 「フィルタの処理 — ローカル フィルタおよびグローバル フィルタ」
タブおよびウィジットの処理
タブおよびウィジットの処理
• タブを追加する。
1.
タブ リストの横にある
します。
アイコンを選択
2.
[名前の表示] を追加します。この名前は、タ
ブの名前として使用されます。
最大 5 個のタブを追加できます。
• タブを編集する。
1.
タブを選択し、タブ名の横にある鉛筆アイ
コンをクリックして、タブを編集します。
例:
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 365
アプリケーション コマンド センターの使用
タブおよびウィジットの処理
• 表示にどのウィジットが含まれて 1. 表示を選択し、鉛筆アイコンをクリックし
て、表示を編集します。
いるかを確認する。
• ウィジットまたはウィジット
2.
[ウィジットの追加] ドロップダウンを選択し、
チェック ボックスがオンになっているウィ
ジットを確認します。
1.
新しいタブを追加するか、事前定義済みの
タブを編集します。
2.
[ウィジットの追加] を選択し、追加するウィ
ジットに対応するチェック ボックスをオン
にします。最大 12 個のウィジットを選択で
きます。
3.
(任意)2 列レイアウトを作成するには、
[ウィジット グループの追加] を選択します。
ウィジットを 2 列表示画面にドラッグ アンド
ドロップできます。ウィジットをレイアウト
にドラッグすると、ウィジットをドロップす
るためのプレースホルダが表示されます。
グループを追加する。
注:ウィジット グループに名前を付けることはできま
せん。
• タブまたはウィジット グループ / 1. カスタム タブを削除するには、タブを選択し
て [X] アイコンをクリックします。
ウィジットを削除する。
注:事前定義済みのタブを削除することはできません。
2.
ウィジット グループ / ウィジットを削除する
には、タブを編集し、右側の [X] アイコンを
クリックします。削除を取り消すことはできま
せん。
• デフォルト表示をリセットする。
事前定義済みの表示([ブロックされたアクティ
ビ テ ィ] 表 示 な ど)で、1 つ ま た は 複 数 の ウ ィ
ジットを削除できます。レイアウトをリセット
し、タブに含まれるウィジット セットをデフォ
ル ト に戻 す 場合、タブ を 編集 し、[ ビュ ー のリ
セット] をクリックします。
フィルタの処理 — ローカル フィルタおよびグローバル フィルタ
詳細情報に焦点を合わせて、ACC に表示する情報を細かく制御するには、フィルタを使用
します。
ローカル フィルタ:ローカル フィルタは特定のウィジットに適用されます。ローカル フィ
ルタを使用すると、グラフを操作し、表示をカスタマイズできるため、情報を詳細まで掘り
下げて、監視する必要がある情報に特定のウィジットでアクセスできます。ローカル フィル
タを適用する方法は 2 つあります。グラフまたは表内で属性をクリックする方法と、ウィ
ジット内で [フィルタの設定] アイコン
を使用する方法です。[フィルタの設定] アイコン
を使用すると、再起動後も持続するローカル フィルタを設定できます。
366 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
アプリケーション コマンド センターの使用
グローバル フィルタ:グローバル フィルタは ACC 全体に適用されます。グローバル フィル
タを使用すると、現在関心のある詳細を中心にして表示を切り替えることができ、関連のない
情報を現在の表示から除外できます。たとえば、特定のユーザーとアプリケーションに関連す
るすべてのイベントを表示するには、ユーザーの IP アドレスとアプリケーションをグローバ
ル フィルタとして適用することができます。これで、そのユーザーとアプリケーションに関連
する情報のみを ACC 上のすべてのタブとウィジットに表示できます。グローバル フィルタは
持続しません。
グローバル フィルタは次の 3 つの方法で適用できます。
• 表からグローバル フィルタを設定する:任意のウィジット内の表から属性を選択し、そ
の属性をグローバル フィルタとして適用します。
• ローカル フィルタをプロモートしてグローバル フィルタとして使用する:このオプショ
ンでは、ローカル フィルタとして設定した属性をプロモートしてグローバル フィルタに
することができます。ローカル フィルタをグローバル フィルタにプロモートすると、
ACC 上のすべての表示が変わります。
• グローバル フィルタを定義する:ACC の [グローバル フィルタ] ペインを使用してフィ
ルタを定義します。
フィルタの処理
• ローカル フィルタを設定する。
1.
注:グラフの下の表で、属性をクリック
し、その属性をローカル フィルタとして
適用することもできます。
ウィジットを選択し、
します。
2.
アイコンをクリックして、適用するフィル
タを追加します。
3.
[Apply] をクリックします。このフィルタは、
再起動後も持続します。
アイコンをクリック
注:ウィジットに適用されているローカル フィルタの
数がウィジット名の横に示されます。
• 表からグローバル フィルタを設定 1. チャートの下の表で、属性にカーソルを合わ
せて、ドロップ ダウンをクリックします。
する。
2.
• [グローバル フィルタ] ペインを使
用して、グローバル フィルタを
設定する。
Palo Alto Networks
[フィルタ] をクリックし、属性をグローバル
フィルタとして追加します。
アイコンをクリックして、適用するフィルタ
を追加します。
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 367
アプリケーション コマンド センターの使用
フィルタの処理
• ローカル フィルタをグローバル
1.
ウィジット内の任意の表で、属性のリンク
を ク リ ッ ク し ま す。こ れ に よ り、属 性 が
ローカル フィルタとして設定されます。
2.
フィルタをプロモートしてグローバル フィル
タにするには、フィルタの左にある矢印を
選択します。
フィルタにプロモートする。
• フィルタを削除する。
アイコンをクリックして、フィルタを削除し
ます。
• グローバル フィルタの場合:このアイコンは
[グローバル フィルタ] ペインにあります。
• ローカル フィルタの場合:
アイコンをク
リックすると、[ローカル フィルタの設定] ダ
イアログが表示されます。ここで、フィルタ
を選択し、削除アイコンをクリックします。
• すべてのフィルタをクリアする
• グローバル フィルタの場合:[グローバル フィ
ルタ] の下にある [すべてクリア] ボタンをク
リックします。
• ローカル フィルタの場合:ウィジットを選択
し、 アイコンをクリックします。次に、
[ローカル フィルタの設定] ウィジットで [す
べてクリア] ボタンをクリックします。
• フィルタの条件を否定する
属性を選択し、
アイコンをクリックして、
フィルタの条件を否定します。
• グローバル フィルタの場合:このアイコンは
[グローバル フィルタ] ペインにあります。
• ローカル フィルタの場合:
アイコンをク
リックすると、[ローカル フィルタの設定]
ダイアログが表示されます。ここで、フィ
ルタを追加し、否定アイコンをクリックし
ます。
368 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
アプリケーション スコープの使用
フィルタの処理
• 使用中のフィルタを表示する。
• グローバル フィルタの場合:適用されている
グ ロ ー バ ル フ ィ ル タ の 数 が [グ ロ ー バ ル
フィルタ] の下の左ペインに表示されます。
• ローカル フィルタの場合:ウィジットに適用
されているローカル フィルタの数がウィ
ジット名の横に表示されます。フィルタを
表示するには、[ローカル フィルタの設定] ア
イコンをクリックします。
アプリケーション スコープの使用
[Monitor] > [アプリケーション スコープ]
アプリケーション スコープのレポートには、ネットワークの以下の内容がグラフ表示されます。
• アプリケーション使用状況とユーザー アクティビティの変化
• ネットワーク帯域幅の大部分を占有しているユーザーやアプリケーション
• ネットワークの脅威
アプリケーション スコープのレポートを使用すると、異常な動作や予期しない動作をすばや
く見つけて、問題のある動作を特定できます。レポートはそれぞれ、ネットワークに関する
ダイナミックでユーザーがカスタマイズ可能なウィンドウに表示されます。レポートには、
表示するデータや範囲を選択するオプションがあります。Panorama では、表示される情報
のデータ ソースを選択することもできます。デフォルトのデータ ソース(新しい Panorama
インストールの場合)では、管理対象デバイスによって転送されたログを格納している
Panorama のローカル データベースが使用されます。アップグレードの場合、デフォルトの
データ ソースはリモート デバイス データになります。管理対象デバイスから直接データの
集約ビューを取得および表示するには、ソースを [Panorama] から [リモート デバイス デー
タ] に切り替える必要があります。
チャートの線や棒にポインタを置くかクリックすると、ACC に切り替わり、特定のアプリ
ケーション、アプリケーション カテゴリ、ユーザー、またはソースに関する詳しい情報が示
されます。
表 176. アプリケーション コマンド センターのチャート
チャート
説明
サマリー
「サマリー レポート」
変化モニター
「変化モニター レポート」
脅威モニター
「脅威モニター レポート」
脅威マップ
「脅威マップ レポート」
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 369
アプリケーション スコープの使用
表 176. アプリケーション コマンド センターのチャート(続き)
チャート
説明
ネットワーク モニター
「ネットワーク モニター レポート」
トラフィック マップ
「トラフィック マップ レポート」
サマリー レポート
サマリー レポート(図 7)には、使用率が増加または減少している、および帯域幅を占有して
いる上位 5 つのアプリケーション、アプリケーション カテゴリ、ユーザー、および送信元の
チャートが表示されます。
サマリー レポートのチャートを PDF としてエクスポートするには、
ます。各チャートが 1 ページの PDF として出力に保存されます。
をクリックし
図 7. アプリケーション スコープのサマリー レポート
370 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
アプリケーション スコープの使用
変化モニター レポート
変化モニター レポート(図 8)には、指定した期間の変化が表示されます。たとえば、図 8
は、過去 24 時間と比較して、直前の 1 時間に使用量が増加した上位のアプリケーションを
示しています。上位アプリケーションはセッション数によって決定され、パーセント別に
ソートされます。
図 8. アプリケーション スコープの変化モニター レポート
このレポートには、以下のボタンとオプションが表示されます。
表 177. 変化モニター レポートのオプション
項目
説明
上部バー
上位からいくつの項目を表に表示するかを指定し
ます。
報告される項目のタイプ([アプリケーション]、[アプ
リケーション カテゴリ]、[送信元]、または [宛先])を
決定します。
指定期間を比較し増加した項目を表示します。
指定期間を比較し減少した項目を表示します。
指定期間を比較しあらたに検出された項目を表示し
ます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 371
アプリケーション スコープの使用
表 177. 変化モニター レポートのオプション(続き)
項目
説明
指定期間を比較し検出されなくなった項目を表示し
ます。
フィルタを適用して、選択した項目のみを表示しま
す。[なし] を選択すると、すべてのエントリが表示
されます。
セッション情報またはバイト情報のどちらを表示す
るかを指定します。
パーセンテージまたは実増加のどちらでエントリを
ソートするかを指定します。
グラフを .png イメージまたは PDF としてエクス
ポートします。
下部バー
変化モニターの比較対象期間を指定します。
脅威モニター レポート
脅威モニター レポート(図 9)には、選択した期間にわたって上位を占める脅威の数が表示さ
れます。たとえば、図 9 は、過去 6 時間の上位 10 の脅威タイプを示しています。
図 9. アプリケーション スコープの脅威モニター レポート
372 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
アプリケーション スコープの使用
チャートの下の凡例のように、各タイプの脅威が色分けして示されます。このレポートに
は、以下のボタンとオプションが表示されます。
表 178. 脅威モニター レポートのボタン
ボタン
説明
上部バー
上位からいくつの項目を表に表示するかを指定します。
測定する項目のタイプ([脅威]、[脅威カテゴリ]、[送信元]、
または [宛先])を決定します。
フィルタを適用して、選択した種別の項目のみを表示し
ます。
情報を表示するグラフ(積み重ね棒グラフまたは積み重ね
面グラフ)を指定します。
グラフを .png イメージまたは PDF としてエクスポートし
ます。
下部バー
表示対象期間を指定します。
脅威マップ レポート
脅威マップ レポート(図 10)は、脅威とその重大度をグラフィックで表示します。
図 10. アプリケーション スコープの脅威マップ レポート
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 373
アプリケーション スコープの使用
チャートの下の凡例のように、各タイプの脅威が色分けして示されます。地図で国をクリッ
クすると拡大されます。縮小するには、画面の右下隅の [Zoom Out] ボタンをクリックしま
す。このレポートには、以下のボタンとオプションが表示されます。
表 179. 脅威マップ レポートのボタン
ボタン
説明
上部バー
上位からいくつの項目を表に表示するかを指定します。
インバウンド方向(外部から)の脅威を示します。
アウトバウンド方向(外部へ)の脅威を示します。
フィルタを適用して、選択した種別の項目のみを表示し
ます。
マップを拡大および縮小します。
グラフを .png イメージまたは PDF としてエクスポートし
ます。
下部バー
表示対象期間を指定します。
ネットワーク モニター レポート
ネットワーク モニター レポート(図 11)には、指定した期間にわたって複数のネットワー
ク アプリケーションに占有されている帯域幅が表示されます。図の下の凡例のように、各タ
イプのネットワーク アプリケーションが色分けして示されます。たとえば、図 11 は、セッ
ション情報に基づいた、過去 7 日間のアプリケーション帯域幅を示しています。
374 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
アプリケーション スコープの使用
図 11. アプリケーション スコープのネットワーク モニター レポート
このレポートには、以下のボタンとオプションが表示されます。
表 180. ネットワーク モニター レポートのボタン
ボタン
説明
上部バー
上位からいくつの項目を表に表示するかを指定します。
報告される項目のタイプ([アプリケーション]、[アプリケー
ション カテゴリ]、[送信元]、または [宛先])を決定します。
フィルタを適用して、選択した項目のみを表示します。[なし]
を選択すると、すべてのエントリが表示されます。
セッション情報またはバイト情報のどちらを表示するかを指
定します。
情報を表示するグラフ(積み重ね棒グラフまたは積み重ね面
グラフ)を指定します。
グラフを .png イメージまたは PDF としてエクスポートします。
下部バー
表示対象期間を指定します。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 375
アプリケーション スコープの使用
トラフィック マップ レポート
トラフィック マップ レポート(図 12)は、セッション数またはフロー数に応じて、トラ
フィック フローをグラフィックで表示します。
図 12. アプリケーション スコープのトラフィック マップ レポート
チャートの下の凡例のように、各タイプのトラフィックが色分けして示されます。このレ
ポートには、以下のボタンとオプションが表示されます。
表 181. 脅威マップ レポートのボタン
ボタン
説明
上部バー
上位からいくつの項目を表に表示するかを指定
します。
インバウンド方向(外部から)の脅威を示し
ます。
アウトバウンド方向(外部へ)の脅威を示し
ます。
セッション情報またはバイト情報のどちらを表
示するかを指定します。
マップを拡大および縮小します。
グラフを .png イメージまたは PDF としてエク
スポートします。
376 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ログの表示
表 181. 脅威マップ レポートのボタン(続き)
ボタン
説明
下部バー
表示対象期間を指定します。
ログの表示
[Monitor] > [ログ]
このファイアウォールでは、WildFire、設定、システム、アラーム、トラフィック フロー、
脅威、URL フィルタリング、データ フィルタリング、およびホスト情報プロファイル (HIP)
の一致に関するログが管理されます。現在のログはいつでも表示できます。特定のエントリ
を検索するには、ログ フィールドにフィルタを適用します。
ファイアウォールのログは、ロールベースの管理権限に基づいて情報が表
示されます。ログを表示すると、表示権限のある情報のみが表示されま
す。管理者権限の詳細は、「管理者ロールの定義」を参照してください。
ログを表示するには、[Monitor] タブで、ページの左側にあるログ タイプをクリックし
ます。
表 182. ログの説明
チャート
説明
トラフィック
各セッションの開始と終了のエントリが表示されます。各エントリには、日
時、送信元および宛先ゾーン、アドレスおよびポート、アプリケーション名、
フローに適用されるセキュリティ ルール名、ルール アクション(「allow」、
「deny」、または「drop」)、ingress/egress インターフェイス、バイト数、
およびセッション終了理由などが記載されます。
エ ン ト リ の横の
をクリックすると、セッションに関する詳細な情報
(ICMP エントリを使用して同じ送信元と宛先間の複数のセッションを集約する
かどうかなど)が表示されます([繰り返し回数] 値は 1 より大きくなります)。
[タイプ] 列は、エントリがセッションの開始または終了のいずれのエントリで
あるか、またはセッションが拒否されたか廃棄されたかを示します。「drop」
は、トラフィックをブロックしたセキュリティ ルールが適用されて「いずれ
か」のアプリケーションが指定されたことを示し、「deny」はルールが適用さ
れてある特定のアプリケーションが識別されたことを示します。
アプリケーションが識別される前にトラフィックが廃棄された場合(あるルー
ルにより特定のサービスのトラフィックがすべて廃棄された場合など)、その
アプリケーションは「not-applicable」として表示されます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 377
ログの表示
表 182. ログの説明(続き)
チャート
説明
脅威
ファイアウォールで生成された各セキュリティ アラームのエントリが表示され
ます。各エントリには、日時、脅威の名前または URL、送信元および宛先ゾー
ン、アドレス、ポート、アプリケーション名、およびアラーム アクション
(「allow」 または 「block」)と重大度が含まれています。
エントリの横の
をクリックすると、脅威に関する詳細な情報(そのエント
リを使用して同じ送信元と宛先間の同じタイプの複数の脅威を集約するかどう
かなど)が表示されます([繰り返し回数] 値は 1 より大きくなります)。
[タイプ] 列は、脅威の種別(「virus」、「spyware」など)を示します。[名前]
列は脅威に関する説明または URL を示し、[カテゴリ] 列は脅威のカテゴリ
(「keylogger」など)または URL のカテゴリを示します。
ローカル パケット キャプチャが有効な場合は、以下の図に示すように、エント
リの横の
をクリックして、キャプチャされたパケットを表示します。ロー
カル パケット キャプチャを有効にするには、「セキュリティ プロファイル」
のサブセクションを参照してください。
URL フィルタリ
ング
特定の Web サイトおよび Web サイト カテゴリへのアクセスをブロックする、
または Web サイトにアクセスしたときに警告を生成する URL フィルタのログ
が表示されます。URL の HTTP ヘッダー オプションをログに記録することが
できます。URL フィルタリング プロファイルの定義方法の詳細は、「URL
フィルタリング プロファイル」を参照してください。
WildFire への
送信
WildFire サーバーでアップロードおよび分析されるファイルのログが表示され
ます(ログ データは分析後に分析結果とともにデバイスに返されます)。
データ フィルタ
リング
クレジット カード番号や社会保障番号などの機密情報が、ファイアウォールに
よって保護されているエリアから流出するのを防止するのに役立つセキュリ
ティ ポリシーのログが表示されます。データ フィルタリング プロファイルの定
義方法の詳細は、「データ フィルタリング プロファイル」を参照してください。
ログ エントリの詳細情報にアクセスする場合のパスワード保護を設定するに
は、 アイコンをクリックします。そこで、パスワードを入力して [OK] をク
リックします。データ保護パスワードの変更方法または削除方法の手順の詳細
は、「カスタム応答ページの定義」を参照してください。
注:各セッションで 1 回のみ、システムから入力を要求されます。
このログには、ファイル ブロッキング プロファイルの情報も表示されます。た
とえば、.exe ファイルをブロックしている場合、ログにはブロックされたファ
イルが表示されます。ファイルを WildFire に転送すると、そのアクションの結
果が表示されます。たとえば、PE ファイルを WildFire に転送した場合、ログに
ファイルを転送したことが表示され、さらにそのファイルが WildFire に正常に
アップロードされたかどうかの状態も表示されます。
設定
設定変更操作に関するエントリが表示されます。各エントリには、日時、管理
者のユーザー名、変更を行ったユーザーの IP アドレス、クライアントのタイプ
(Web または CLI)、実行されたコマンドのタイプ、コマンドが成功したか失
敗したか、設定パス、および変更前後の値が含まれています。
システム
各システム イベントのエントリが表示されます。各エントリには、日時、イベ
ントの重大度、およびイベントの説明が含まれています。
HIP マッチ
GlobalProtect クライアントに適用されるセキュリティ ポリシーに関する情報を
表示します。詳細は、「GlobalProtect ポータルのセットアップ」を参照してく
ださい。
378 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ログの表示
表 182. ログの説明(続き)
チャート
説明
アラーム
アラーム ログは、システムによって生成されたアラームの詳細情報を記録しま
す。このログの情報は、[アラーム] ウィンドウでも報告されます。「アラーム
設定の定義」を参照してください。
ログの操作
• フィルタを使用する:フィルタを使用すると、ニーズに合せてログ ファイルを解析できま
す。たとえば、特定の期間の特定の属性(IP アドレスなど)のログのみを表示できます。
各ログ ページの上部にはフィルタエリアがあります。
– ログ リストの下線の付いたリンクのいずれかをクリックし、その項目をログ フィルタ
オプションとして追加します。たとえば、10.0.0.252 のログ エントリの [Host] リンク
と [Web Browsing] をクリックすると、両方の項目が追加され、AND 検索を使用し
て両方に一致するエントリが検索されます。
– その他の検索基準を定義するには、[ログ フィルタの追加] アイコンをクリックします。
必要に応じて、検索のタイプ (AND/OR)、検索に含める属性、マッチング演算子、
および照合に使用する値を選択します。[Add] をクリックして基準を [Log] ページの
フィルタエリアに追加し、[Close] をクリックしてポップアップ ウィンドウを閉じま
す。[フィルタの適用] アイコンをクリックすると、フィルタリングされたリストが表
示されます。
[Log] ページに追加されたフィルタ式と [Expression] ポップアップ ウィンドウで
定義した式を組み合わせることができます。各フィルタは、1 つのエントリとし
て [Log] ページの [Filter] 行に追加されます。
[受信日時] を [含む] フィルタを [過去 60 秒] に設定した場合、ログ ビューアの一
部のページ リンクで結果が表示されない場合があります。これは、選択した時間
が動的性質を持つため、ページ数が増加または減少した可能性があるためです。
– フィルタを消去してフィルタリングされていないリストを再度表示するには、[ フィル
タのクリア] ボタンをクリックします。
– 設定したフィルタを新しいフィルタとして保存するには、[フィルタの保存] ボタンを
クリックしてフィルタ名を入力し、[OK] をクリックします。
– 現在のログ リスト(適用されたすべてのフィルタと共にページに表示されます)をエ
クスポートするには、[フィルタの保存] ボタンをクリックします。ファイルを開くの
か、ディスクに保存するのかを選択します。常に同じオプションを使用する場合は
チェック ボックスをオンにします。[OK] をクリックします。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 379
ログの表示
• ログをエクスポートする:現在のログ リストを CSV フォーマットでエクスポートするに
は、[CSV にエクスポート] アイコン
をクリックします。デフォルトでは、ログ リス
トを CSV フォーマットでエクスポートすると、最大 2,000 行のログを含む CSV レポー
トが生成されます。CSV レポートに表示される行数の制限を変更するには、[CSV エク
スポートの最大行数] フィールド([Device] > [セットアップ] > [管理] > [ロギングおよび
レポート設定] > [ログのエクスポートとレポート] の順に選択、または「管理設定の定
義」を参照)を使用します。
• 自動更新間隔を変更する:ドロップダウンから間隔を選択します([1 分]、[30 秒]、[10 秒]、
または [手動])。
• 1 ページに表示するエントリ数を変更する:ログ エントリは、10 ページのブロック単位
で取得されます。ページの下部にあるページ送り機能を使用して、ログ リスト内を移動
します。ページあたりのログ エントリの数を変更するには、[行] ドロップダウンで行数
を選択します。結果を昇順または降順でソートするには、[ASC] または [DESC] ドロッ
プダウンを使用します。
• IP アドレスをドメイン名に解決する:[ホスト名の解決] チェック ボックスをオンにする
と、外部 IP アドレスがドメイン名に解決されます。
• ログの詳細を表示する:ログの詳細を表示する場合、ログ エントリ左側にある拡大鏡ア
イコン
をクリックします。
[アドレス] ページで、送信元または宛先の IP アドレスから名前へのマッピングを定義してい
る場合、IP アドレスの代わりにその名前が表示されます。関連付けられている IP アドレス
を表示するには、名前の上にカーソルを移動します。
380 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
自動相関エンジンの使用
セッション情報の表示
[Monitor] > [セッション ブラウザ]
[セッション ブラウザ] ページを開いて、ファイアウォール上で現在実行中のセッションを参
照して、フィルタリングします。このページのフィルタリング オプションの詳細は、「ログ
の表示」を参照してください。
自動相関エンジンの使用
自動相関エンジンは、ネットワーク上のパターンを追跡し、疑わしい動作への拡散を示して
いるイベントや、有害なアクティブティに達したイベントの相関付けを行います。このエン
ジンは、個人のセキュリティ アナリストの役割を果たすものであり、ファイアウォール上の
さまざまなログ セットに分離されたイベントを調査し、特定のパターンがないかデータをク
エリして、点を結んで全体像を作り上げます。これにより、実用的な情報を得ることができ
ます。
相関エンジンは、相関されたイベントを生成する相関オブジェクトを使用します。相関された
イベントによって証拠が照合されます。これにより、関連がないように見えるいくつかのネッ
トワーク イベント間の共通点を追跡できるため、インシデント対応の機会が与えられます。
自動相関エンジンは以下のプラットフォームでのみサポートされます。
• Panorama — M シリーズおよびバーチャル アプライアンス
• PA-3000 シリーズ ファイアウォール
• PA-5000 シリーズ ファイアウォール
• PA-7000 シリーズ ファイアウォール
知りたい内容
以下を参照
相関オブジェクトとは何ですか?
「相関オブジェクトの表示」
相関されたイベントとは何で
すか?
「相関されたイベントの表示」
相関一致での一致の証拠をどこ
で確認できますか?
相関一致のグラフィック表示を
どのように表示できますか?
「アプリケーション コマンド センターの使用」で [浸
入されたホスト] ウィジットを参照してください。
さらに詳細を知りたい
探している情報が見つか
らない
「Automated Correlation Engine の使用」を参照して
ください。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 381
自動相関エンジンの使用
相関オブジェクトの表示
[Monitor] > [自動相関エンジン] > [相関オブジェクト]
エクスプロイトおよびマルウェアの拡散方法の進歩に対抗するため、相関オブジェクトは
ファイアウォールでのシグネチャベースのマルウェア検出機能を拡張します。相関オブジェ
クトは、各種ログ セット全体にわたって疑わしい動作パターンを識別するためのインテリ
ジェンスを提供し、調査に必要な証拠を収集して、イベントにすばやく応答します。
相関オブジェクトは、マッチング パターンや、検索を実行するために使用するデータ ソー
ス、パターン検索の対象期間を指定する定義ファイルです。パターンは、データソースをク
エリする Boolean 型の条件構造です。各パターンに重大度およびしきい値が割り当てられま
す。しきい値は、定義された期間内にパターン マッチが発生する回数です。パターン マッ
チが発生すると、相関イベントがログに記録されます。
検索を実行するために使用するデータ ソースには、アプリケーション統計、トラフィック、
トラフィック サマリー、脅威サマリー、脅威、データ フィルタリング、URL フィルタリン
グの各ログを含めることができます。たとえば、相関オブジェクトの定義には、感染したホ
ストの証拠やマルウェア パターンの証拠がないかログをクエリするための一連のパターンの
ほか、トラフィック内でのマルウェアの横方向の移動、URL フィルタリング、および脅威ロ
グのパターンを含めることができます。
相関オブジェクトは Palo Alto Networks により定義され、コンテンツ更新と共にパッケージ
化されます。コンテンツ更新を取得するには、有効な脅威防御ライセンスが必要です。
相関オブジェクトには、以下のフィールドが含まれます。
フィールド
説明
名前およびタ
イトル
ラベルは、相関オジェクトで検出するアクティビティのタイプを示します。
ID
一意の番号を使用して相関オブジェクトを識別します。この番号は、6000 番台
です。
カテゴリ
ネットワーク、ユーザー、またはホストに与える脅威または損害の種類を要約し
たもの。
状態
状態は、相関オブジェクトが有効(アクティブ)か無効(非アクティブ)かを示
します。
説明
これには、ファイアウォールまたは Panorama でログを分析するための対象となる
一致条件を指定します。これは、有害なアクティビティまたはホストの疑わしい動
作を識別するために使用する拡散パターンまたは進捗パスを記述するものです。
デフォルトでは、すべての相関オブジェクトが有効になっています。オブジェクトを無効にす
るには、オブジェクトの横にあるチェック ボックスをオンにして [無効化] をクリックします。
382 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
自動相関エンジンの使用
相関されたイベントの表示
[Monitor] > [自動相関エンジン] > [相関されたイベント]
相関されたイベントはファイアウォールおよび Panorama での脅威検出機能を拡張し、ネッ
トワーク上のユーザーやホストの疑わしい動作や異常な動作の証拠を収集します。
相関オブジェクトを使用すると、特定の条件または動作を中心にして、複数のログ ソースに
わたって共通点を追跡できます。相関オブジェクトに指定した一連の条件がネットワーク上
で確認されると、各一致が、相関されたイベントとしてログに記録されます。
相関されたイベントには、以下の詳細情報が含まれます。
フィールド
説明
一致時間
相関オブジェクトが一致をトリガーした時間。
更新時間
一致が最後に更新されたタイムスタンプ。
オブジェクト名
一致をトリガーした相関オブジェクトの名前。
送信元アドレス
トラフィックの送信元ユーザーの IP アドレス。
送信元ユーザー
ディレクトリ サーバーからのユーザーおよびユーザー グループの情報(ユー
ザーが有効な場合)。
重大度
発生した損害の程度に基づいてリスクを分類するレベル。
サマリー
相関されたイベントに関して収集された証拠を要約する説明。
詳細を表示するには、エントリの [詳細ログ ビュー]
ビュー] には、一致に関するすべての証拠が含まれます。
をクリックします。[詳細ログ
タブ
説明
一致情報
オブジェクトの詳細:一致をトリガーした相関オブジェクトに関する情報を提供
します。相関ログの詳細は、「相関オブジェクトの表示」を参照してください。
一致の詳細:一致時間、一致の証拠の最終更新時間、イベントの重大度、イベン
トのサマリーを含む、一致の詳細のサマリー。
一致の根拠
このタブには、相関されたイベントを裏付けるすべての証拠が含まれます。セッ
ションごとに収集された証拠に関する詳細情報が表示されます。
[相関されたイベント] タブで、情報のグラフィック表示を参照してください。[ACC] > [脅威
アクティビティ] タブで、[侵入されたホスト] ウィジットを参照してください。[侵入された
ホスト] ウィジットでは、表示が送信元ユーザーと IP アドレスによって集約され、重大度で
ソートされます。
相関されたイベントがログに記録されたときの通知を設定するには、[Device] > [ログ設定]
タブまたは [Panorama] > [ログ設定] タブに移動します。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 383
ボットネット レポートの処理
ボットネット レポートの処理
ボットネット レポート機能により、振る舞いベースのメカニズムを使用して、ネットワーク
内でボットネットに感染した可能性のあるホストを特定することができます。ファイア
ウォールは、ネットワーク、脅威、URL、およびデータ フィルタリング ログを使用して、
マルウェア サイトおよび Dynamic DNS サイトへのアクセス、最近登録された(過去 30 日以
内に登録された)ドメインへのアクセス、不明なアプリケーションの使用、およびインター
ネット リレー チャット (IRC) トラフィックの存在などの基準に基づいて脅威を評価します。
ファイアウォールは、ボットネットに感染した場合の動作と一致するホストを判別した後、
感染した可能性のある各ホストに 1 ~ 5 までのスコアを割り当て、ボットネット感染の可能
性の高さを示します(感染の可能性は、1 が最も低く、5 が最も高い)。振る舞いベースの
検出メカニズムでは、24 時間、複数のログ間でトラフィックを解析する必要があるため、
ファイアウォールは、スコアに基づいてソートされたホストのリストを含むレポートを 24
時間ごとに生成します。
ボットネット レポートの設定
[Monitor] > [ボットネット]
これらの設定を使用して、疑わしいトラフィック(ボットネットの活動を示す可能性のある
トラフィック)のタイプを指定します。設定を定義するには、[ボットネット] ページの右側
にある [設定] ボタンをクリックします。
表 183. ボットネットの設定
フィールド
説明
HTTP トラフィック
レポートの対象とするイベントの [有効化] チェック ボックスをオンにし
ます。
• マルウェア URL へのアクセス — マルウェアおよびボットネット URL
のフィルタリング カテゴリに基づき、既知のマルウェア URL に対し
て通信しているユーザーを特定します。
• 動的 DNS の使用 — ボットネット通信を示す可能性のある動的 DNS
クエリ トラフィックを検索します。
• IP ドメインを参照 — URL ではなく、IP ドメインを参照するユーザーを
特定します。
• 最近登録されたドメインを参照 — 過去 30 日以内に登録されたドメイ
ン名を持つサイトへのトラフィックを検索します。
• 不明サイトからの実行可能ファイル — 未知の URL サイトから実行形
式のファイルをダウンロードされた通信を特定します。
384 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ボットネット レポートの処理
表 183. ボットネットの設定(続き)
フィールド
説明
不明なアプリケーション
疑わしい通信の可能性がある Uknown TCP または Unknown UDP のア
プリケーションをチェック対象に含める場合、このチェック ボックスを
オンにします。さらに、以下の情報を指定します。
• 1 時間あたりのセッション — 不明なアプリケーションによる 1 時間あ
たりのアプリケーション セッション数。
• 1 時間あたりの宛先数 — 不明なアプリケーションによる 1 時間あたり
の宛先数。
• 最小バイト — 最小ペイロード サイズ。
• 最大バイト — 最大ペイロード サイズ。
IRC
IRC サーバーを疑わしいものとして対象に含める場合、このチェック
ボックスをオンにします。
ボットネット レポートの管理
[Monitor] > [ボットネット] > [レポート設定]
レポート クエリを指定してから、ボットネット分析レポートを生成して表示することができ
ます。このレポートは、ボットネット設定に基づいて生成されます(「ボットネット レポー
トの設定」を参照)。レポートの設定により送信元または宛先 IP アドレス、ユーザー、ゾー
ン、インターフェイス、地域または国を含めたり、除外したりすることができます。
ボットネット レポートは、自動スケジュールにより 1 日に 1 回自動的に生成されます。ま
た、レポート クエリを定義するウィンドウで、[今すぐ実行] をクリックして、過去 24 時間
または前日(24 時間)のレポートを生成および表示することもできます。生成されたレポー
トは、[ボットネット] ページに表示されます。
ボットネット レポートを管理するには、[ボットネット] ページの右側にある [レポート設定]
ボタンをクリックします。
レポートをエクスポートするには、レポートを選択して、[PDF にエクスポート] または
[CSV にエクスポート] をクリックします。
表 184. ボットネット レポートの設定
フィールド
説明
ランタイム フレームの
テスト
レポートの期間を選択します(過去 24 時間、前日の一日間)。
行数
レポート内の行数を指定します。
スケジュール設定
レポートを毎日自動で生成する場合は、このチェック ボックスをオンに
します。レポートを手動で生成する場合、これをオフにして、[ボット
ネット レポート] ウィンドウの上部にある [今すぐ実行] ボタンをクリッ
クします。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 385
ボットネット レポートの処理
表 184. ボットネット レポートの設定(続き)
フィールド
説明
クエリ ビルダー
以下を指定してレポート クエリを作成し、[追加] をクリックして、設定
した式をクエリ(レポート作成フィルタ条件)に追加します。クエリが
完成するまで繰り返します。
• 結合子 — 論理結合子 (AND/OR) を指定します。
• 属性 — ソースまたは宛先のゾーン、アドレス、またはユーザーを指定
します。
• 演算子 — 属性を値に関連付ける演算子を指定します。
• 値 — 照合する値を指定します。
Negate
指定したクエリ条件を除外する場合、このチェック ボックスをオンにし
ます。レポートには、定義したクエリ条件の結果にないすべての情報が
含まれます。
386 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
PDF サマリー レポートの管理
PDF サマリー レポートの管理
[Monitor] > [PDF レポート] > [PDF サマリーの管理]
PDF サマリー レポートには、各カテゴリの上位 5 件(上位 50 件ではない)のデータに基づ
き、既存のレポートから集められた情報が含まれています。このレポートには、別のレポー
トでは表示されないトレンド チャートも表示されます。
図 13. PDF サマリー レポート
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 387
PDF サマリー レポートの管理
PDF サマリー レポートを作成するには、[追加] をクリックします。[PDF サマリー レポート]
ページが開き、使用可能なすべてのレポート項目が表示されます。
図 14. PDF レポートの管理
以下のオプションを 1 つ以上使用してレポートを設計します。
• レポートから項目を削除するには、各項目のアイコン ボックスの右上隅にある
アイ
コンをクリックするか、またはページの上部付近にある該当するドロップダウン リスト
ボックス内の項目のチェック ボックスをオフにします。
• 追加の項目を選択するには、このページの上部付近にあるドロップダウン リスト ボック
スから項目を選択します。
• 項目のアイコン ボックスをドラッグ アンド ドロップして、レポートの別のエリアに移
動します。
最大 18 個のレポート要素が使用できます。既存の項目を削除して、別の
項目を追加する場合もあります。
[保存] をクリックし、入力を要求された場合は、レポートの名前を入力して [OK] をクリッ
クします。
PDF レポートを表示するには、[PDF サマリー レポート] を選択し、ページ下部のドロップ
ダウン リストからレポート タイプを選択し、そのタイプで生成されたレポートを表示しま
す。下線の付いたレポート リンクをクリックしてレポートを開くか、レポートを保存します。
388 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ユーザー / グループ アクティビティ レポートの管理
ユーザー / グループ アクティビティ レポートの管理
[Monitor] > [PDF レポート] > [ユーザー アクティビティ レポート]
個々のユーザーまたはユーザー グループのアクティビティの概要を示すレポートを作成する
には、このページを使用します。[新規] をクリックし、以下の情報を指定します。
表 185. ユーザー / グループ アクティビティ レポート設定
フィールド
説明
名前
レポート名を入力します(最大 31 文字)。名前の大文字と小文字は区別
されます。また、一意の名前にする必要があります。文字、数字、スペー
ス、ハイフン、およびアンダースコアのみを使用してください。
タイプ
ユーザー アクティビティ レポート:[ユーザー] を選択し、レポートの対
象 と なるユーザーの [ ユーザー名] または [IP アドレス](IPv4 または
IPv6)を入力します。
Panorama では、レポートの生成に必要なユーザー グループ情報を取得す
るため、各デバイス グループにマスター デバイスをセットアップする必
要があります。
グループ アクティビティ レポート:[グループ] を選択し、[グループ名]
を入力します。
Panorama では、ユーザーをグループにマッピングするための情報がない
ため、グループ アクティビティ レポートを生成できません。
期間
ドロップダウン リストからレポートの期間を選択します。
Include Detailed
Browsing
レポートに詳細な URL ログを含める場合にのみ、このオプションを選択
します。
詳細な閲覧情報には、選択したユーザーまたはユーザー グループの大量
の(何千もの)ログが含まれる可能性があり、その結果、レポートが非常
に大きくなる可能性があります。
グループ アクティビティ レポートには、URL カテゴリ別ブラウザ サマリーは含まれませ
ん。その他すべての情報は、ユーザー アクティビティ レポートとグループ アクティビティ
レポートで共通です。
レポートをすぐに実行するには、[今すぐ実行] をクリックします。レポートに表示される最
大行数を変更する方法については、「ロギングおよびレポート設定」を参照してください。
レポートを保存するには、[OK] をクリックします。保存したら、レポートの電子メール配
信をスケジューリングできます(「電子メールで配信するレポートのスケジューリング」を
参照)。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 389
レポート グループの管理
レポート グループの管理
[Monitor] > [PDF レポート] > [レポート グループ]
レポート グループを使用すると、レポートのセットを作成できます。システムはそのレポー
トのセットを集め、オプションのタイトル ページと構成するすべてのレポートを含めた 1 つ
の集約 PDF レポートとして電子メールなどを通じて送信することができます。
表 186.
レポート グループの設定
フィールド
説明
名前
レポート グループ名を入力します(最大 31 文字)。名前の大文字と小文
字は区別されます。また、一意の名前にする必要があります。文字、数
字、スペース、ハイフン、およびアンダースコアのみを使用してください。
タイトル ページ
レポートにタイトル ページを追加するには、このチェック ボックスをオ
ンにします。
タイトル
レポート タイトルとして表示される名前を入力します。
レポートの選択
レポートグループに含めるレポートを左側の列から選択して [追加] をク
リックし、各レポートを右側のレポート グループに移動します。[事前定
義済み]、[カスタム]、[PDF サマリー]、[ログ ビュー] のレポート タイプ
を選択できます。
ログ ビュー レポートは、カスタム レポートを作成するたびに自動的に作
成されるレポート タイプで、カスタム レポートと同じ名前が使用されま
す。このレポートには、カスタム レポートの内容を作成するために使用
されたログが表示されます。
ログ ビュー データを含めるには、レポート グループを作成するときに [カ
スタム レポート] リストにカスタム レポートを追加し、次に [ログ ビュー]
リストから一致するレポート名を選択してログ ビュー レポートを追加し
ます。受信するレポートには、カスタム レポート データの後に、カスタ
ム レポートを作成するために使用されたログ データが表示されます。
レポート グループを使用する方法については、「電子メールで配信するレポートのスケ
ジューリング」を参照してください。
電子メールで配信するレポートのスケジューリング
[Monitor] > [PDF レポート] > [電子メール スケジューラ]
レポートの電子メール配信をスケジューリングするには、電子メール スケジューラを使用し
ます。この設定を追加する前に、あらかじめレポート グループと電子メール プロファイル
を定義しておく必要があります。「レポート グループの管理」および「電子メール通知設定
の指定」を参照してください。
390 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
レポートの表示
スケジューリングされたレポートは午前 2 時にレポートの生成処理を開始し、スケジューリ
ングされたすべてのレポートの生成が完了した後、電子メールが転送されます。
表 187. 電子メール スケジューラ設定
フィールド
説明
名前
スケジュール名を入力します(最大 31 文字)。名前の大文字と小文字は
区別されます。また、一意の名前にする必要があります。文字、数字、ス
ペース、ハイフン、およびアンダースコアのみを使用してください。
レポート グループ
レポート グループを選択します(「レポート グループの管理」を参照)。
繰り返し
レポートを生成して送信する頻度(毎日、毎週月・火・水・木・金・土・
日曜日、無効)を選択します。
電子メール プロファ
イル
電子メール設定を定義するプロファイルを選択します。電子メール プロ
ファイルの定義方法の詳細は、「電子メール通知設定の指定」を参照して
ください。
Override Recipient
Email(s)
電子メール プロファイルで指定したメール受信者の代わりに使用する別
の電子メール アドレスを入力します。
レポートの表示
[Monitor] > [レポート]
このファイアウォールでは、前日、または前の週の指定した日のトラフィック統計情報のさ
まざまな「上位 50」レポートを作成できます。
レポートを表示するには、ページの右側にあるレポート名をクリックします([カスタム レ
ポート]、[アプリケーション レポート]、[トラフィック レポート]、[脅威レポート]、[URL
フィルタリング レポート]、[PDF サマリー レポート])。
デフォルトでは、各レポートに前日分の情報が表示されます。過去のいずれかの日のレポー
トを表示するには、ページの最下位の [Select] ドロップダウン リストからレポートの生成日
を選択します。
レポートはいくつかのセクションに表示されます。各レポートに、選択した期間の情報を表
示することができます。ログを CSV フォーマットでエクスポートするには、[CSV にエクス
ポート] をクリックします。ログ情報を PDF フォーマットで開くには、[PDF にエクスポー
ト] をクリックします。新しいウィンドウで PDF ファイルが開きます。ウィンドウ上部のア
イコンをクリックして、ファイルを印刷するかまたは保存します。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 391
カスタムレポートの生成
カスタムレポートの生成
[Monitor] > [カスタム レポートの管理]
オプションで、既存のレポート テンプレートに基づくカスタム レポートを作成できます。
レポートは、オンデマンドで生成することも、毎晩自動的に生成するようにスケジューリン
グすることもできます。以前に定義したレポートを表示するには、サイド メニューで [レ
ポート] を選択します。
[追加] をクリックして、新しいカスタム レポートを作成します。既存のテンプレートに基づ
いてレポートを作成するには、[テンプレートのロード] をクリックして、テンプレートを選
択します。
以下の設定を指定して、レポートを定義します。
表 188. カスタム レポートの設定
フィールド
名前
説明
レポート名を入力します(最大 31 文字)。名前の大文字と小文字は区別
されます。また、一意の名前にする必要があります。文字、数字、ス
ペース、ハイフン、およびアンダースコアのみを使用してください。
データベース
レポートのデータ ソースとして使用するデータベースを選択します。
期間
規定の時間枠を選択するか、[カスタム] を選択して、日時の範囲を指定
します。
ソート基準
ソート オプションを選択して、レポートに含める情報の 量 などを決定
し、レポートの編成を行います。使用可能なオプションは、選択した
データベースによって異なります。
グループ化基準
グループ分けオプションを選択して、レポートに含める情報の量などを
決定し、レポートの編成を行います。使用可能なオプションは、選択し
たデータベースによって異なります。
スケジュール設定
レポートを毎晩実行する場合は、このチェック ボックスをオンにしま
す。サイド メニューで [レポート] を選択すると、レポートは使用可能に
なります。
列
[使用可能な列] からカスタム レポートに含める列を選択し、プラス記号
アイコン
を使用して、列を [選択した列] に移動します。選択した列
の順番を入れ替えるには上矢印および下矢印を使用し、事前に選択した
列を削除するにはマイナス記号アイコン を使用します。
392 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
パケット キャプチャの実行
表 188. カスタム レポートの設定(続き)
フィールド
説明
クエリ ビルダー
レポート クエリを作成するには、以下を指定して、[追加] をクリックし
ます。クエリが完成するまで、繰り返します。
• 結合子 — 追加する式の前に置く結合子 (and/or) を選択します。
• Negate — クエリを否定(除外)として解釈させるには、このチェック
ボックスをオンにします。前述の例で、否定のオプションを選択する
と、過去 24 時間以内に受け取られていないエントリ、または「untrust」
ゾーンから受け取られていないエントリに対する照合が行われます。
• 属性 — データ要素を選択します。使用可能なオプションは、選択した
データベースによって異なります。
• 演算子 — 属性が適用されるかどうかを決定する基準を選択します(= な
ど)。使用可能なオプションは、選択したデータベースによって異な
ります。
• 値 — 照合する属性値を指定します。
たとえば、(トラフィック ログ データベースを基にした)以下の図
は、トラフィック ログ エントリが過去 24 時間以内に「untrust」ゾーン
から受け取られた場合に一致するクエリを示しています。
詳細は、「カスタム レポートの生成」を参照してください。
パケット キャプチャの実行
[Monitor] > [パケット キャプチャ]
すべての Palo Alto Networks ファイアウォールにパケット キャプチャ (pcap) 機能が組み込
まれており、これを使用して、ファイアウォールのネットワーク インターフェイスを通過す
るパケットをキャプチャできます。その後、キャプチャしたデータをトラブルシューティン
グの目的で使用したり、キャプチャしたデータを使用してカスタム アプリケーション シグ
ネチャを作成したりできます。
パケット キャプチャ機能を使用すると CPU に大きな負荷がかかるため、
ファイアウォールのパフォーマンスが低下する可能性があります。必要な
場合にのみ、この機能を使用してください。また、必要なパケットを収集
した後は、この機能を必ずオフにしてください。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 393
パケット キャプチャの実行
知りたい内容
以下を参照
ファイアウォールでパケットを
キャプチャするために使用でき
る他の方法は?
「パケット キャプチャの概要」
カスタム パケット キャプチャを
生成するには?
「カスタム パケット キャプチャの構成要素」
ファイアウォールで脅威が検出
されたときにパケット キャプ
チャを生成するには?
「脅威パケット キャプチャの有効化」
パケット キャプチャをダウン
ロードする場所は?
「パケット キャプチャの概要」
さらに詳細を知りたい
探している情報が見つか
らない
セキュリティ プロファイルに対して拡張パケット
キャプチャを有効にするには?「Content-ID 設定の定
義」を参照してください。
パケット キャプチャを使用してカスタム アプリケー
ション シグネチャを記述するには?「Doc-2015」を参照
してください。この例では、サードパーティのアプリケー
ションを使用していますが、ファイアウォールを使用して
必要なパケットをキャプチャすることができます。
パケット キャプチャをファイアウォール管理者が表
示することを禁止するには?「Web インターフェイス管理
者のアクセス権限」の定義を参照してください。
例については、「パケット キャプチャの実行」を参
照してください。
パケット キャプチャの概要
[Monitor] > [パケット キャプチャ]
カスタム パケット キャプチャや脅威パケット キャプチャを実行するように Palo Alto Networks
ファイアウォールを設定できます。
• カスタム パケット キャプチャ — すべてのトラフィックのパケットをキャプチャしたり、
定義したフィルタに基づいてトラフィックのパケットをキャプチャしたりできます。た
とえば、特定の送信元および宛先の IP アドレスまたはポートに対するパケットのみを
キャプチャするようにファイアウォールを設定できます。このパケット キャプチャを使
用して、ネットワーク トラフィック関連の問題をトラブルシューティングしたり、アプ
リケーション属性を収集してカスタム アプリケーション シグネチャを記述したりしま
す。このタイプのパケット キャプチャは、[Monitor] > [パケット キャプチャ] で設定し
ます。ステージ(ドロップ、ファイアウォール、送受信)に基づいてファイル名を定義
し、pcap が完了したら、[キャプチャされたファイル] セクションで pcap をダウンロー
ドします。
394 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
パケット キャプチャの実行
• 脅威パケット キャプチャ — ファイアウォールでウイルス、スパイウェア、または脆弱性
が検出された場合にパケットをキャプチャします。この機能は、アンチウイルス、アン
チスパイウェア、および脆弱性防御のセキュリティ プロファイルで有効にします。これ
らのパケット キャプチャによって、脅威を取り巻く状況が提供されるため、攻撃が成功
したかどうかを判断したり、攻撃者が使用した方法について詳細を確認したりできま
す。脅威に対するアクションを許可または通知するように設定する必要があります。こ
れを設定しない場合、脅威がブロックされ、パケットをキャプチャできません。このタ
イプのパケット キャプチャは、[Objects] > [セキュリティ プロファイル] で設定しま
す。pcap をダウンロードするには、[Monitor] > [脅威] を選択します。脅威ログの 2 番
目の列に pcap ダウンロード アイコン
が表示されています。
カスタム パケット キャプチャの構成要素
[Monitor] > [パケット キャプチャ]
以下の表で、[Monitor] > [パケット キャプチャ] ページの構成要素について説明します。こ
れらを使用して、パケット キャプチャの設定、パケット キャプチャの有効化、パケット
キャプチャ ファイルのダウンロードを行います。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 395
パケット キャプチャの実行
表 189. カスタム パケット キャプチャの構成要素
フィールド
設定場所
説明
フィルタの管理
フィルタリングの設定
カスタム パケット キャプチャを有効にする場合、フィルタ
を定義して、そのフィルタと一致するパケットのみをキャ
プチャする必要があります。これにより、pcap 内で必要
な情報を容易に見つけることができます。また、ファイア
ウォールでパケット キャプチャを実行するために必要とさ
れる処理能力を低減できます。
[追加] をクリックし、新しいフィルタを追加して、以下の
フィールドを設定します。
• ID — フィルタの ID を入力または選択します。
• 入力インターフェイス — どの入力インターフェイス上で
トラフィックをキャプチャするかを選択します。
• 送信元 — キャプチャするトラフィックの送信元 IP アド
レスを指定します。
• 宛先 — キャプチャするトラフィックの宛先 IP アドレス
を指定します。
• 送信元ポート — キャプチャするトラフィックの送信元ポー
トを指定します。
• 宛先ポート — キャプチャするトラフィックの宛先ポート
を指定します。
• プロトコル — フィルタリングするプロトコル番号を指定
します (1 ~ 255)。たとえば、ICMP のプロトコル番号は
1 です。
• 非 IP — 非 IP トラフィックの処理方法を選択します(すべ
ての IP トラフィックを除外する、すべての IP トラフィッ
クを含める、IP トラフィックのみを含める、または IP
フィルタを含めない)。非 IP トラフィックの例として、
ブロードキャストや AppleTalk があります。
• IPv6 — IPv6 パケットをフィルタに入れる場合は、この
チェック ボックスをオンにします。
フィルタリング
フィルタリングの設定
フィルタの定義が終了したら、[フィルタリング] を [オン]
に設定します。フィルタリングが [オフ] の場合、すべての
トラフィックがキャプチャされます。
396 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
パケット キャプチャの実行
表 189. カスタム パケット キャプチャの構成要素
フィールド
設定場所
説明
事前解析一致
フィルタリングの設定
このオプションの目的は、トラブルシューティングを詳細
に行うことです。パケットが入力ポートに入ると、いくつ
かの処理ステップを経て、事前設定されたフィルタと一致
するかどうか解析されます。
何らかの障害によって、パケットがフィルタリング段階に
到達しない場合があります。たとえば、ルート検索に失敗
した場合などに起こります。
[事前解析一致] 設定を [オン] に設定すると、システムに入
力されるすべてのパケットに対して肯定一致がエミュレー
トされます。これにより、ファイアウォールはフィルタリ
ング プロセスに到達していないパケットをキャプチャでき
るようになります。パケットがフィルタリング段階に到達
できれば、フィルタ設定に応じて処理され、フィルタリン
グ基準と一致しなければ破棄されます。
パケット キャプ
チャ
キャプチャの設定
• パケット キャプチャ — 切り替えスイッチをクリックし
て、パケット キャプチャを [オン] または [オフ] にします。
少なくとも 1 つのキャプチャ ステージを選択する必要があ
ります[追加] をクリックし、以下を指定します。
• ステージ — パケットをキャプチャする時点を示します。
– drop — パケット処理でエラーが生じ、パケットが破棄
される時点。
– firewall — パケットにセッション一致があるか、セッ
ションの最初のパケットが正常に作成される時点。
– receive — データプレーン プロセッサでパケットが受
け取られる時点。
– transmit — データプレーン プロセッサでパケットが送
信される時点。
• ファイル — キャプチャ ファイル名を指定します。ファイ
ル名は文字で始める必要があります。また、文字、数
字、ピリオド、アンダースコア、またはハイフンを使用
できます。
• バイト数 — キャプチャが停止するまでの最大バイト数を
指定します。
• パケット数 — キャプチャが停止するまでの最大パケット
数を指定します。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 397
パケット キャプチャの実行
表 189. カスタム パケット キャプチャの構成要素
フィールド
設定場所
説明
キャプチャされ
たファイル
キャプチャされたファイル
ファイアウォールで以前に生成されたカスタム パケット
キャプチャのリストが含まれます。ファイルをクリックす
ると、ファイルがコンピュータにダウンロードされます。
パケット キャプチャを削除するには、ファイルの左にある
チェック ボックスをオンにして、ウィンドウの下部にある
[削除] をクリックします。
• ファイル名 — パケット キャプチャ ファイルのリストが
表示されます。ファイル名は、キャプチャ ステージに対
して指定したファイル名に基づきます。
• 日付 — ファイルが生成された日付。
• サイズ (MB) — キャプチャ ファイルのサイズ。
パケット キャプチャをオンに切り替えて、その後オフに切
り替えた場合、このリストに新しいすべての pcap ファイ
ルを表示するには、[キャプチャされたファイル] セクショ
ンの上にある更新アイコン
をクリックする必要があり
ます。
すべての設定を
クリア
設定
パケット キャプチャをオフにして、すべてのパケット
キャプチャ設定をクリアするには、[すべての設定をクリ
ア] をクリックします。これを行っても、セキュリティ プ
ロファイルに設定されたパケット キャプチャはオフになり
ません。セキュリティ プロファイルでパケット キャプ
チャを有効にする方法の詳細は、「脅威パケット キャプ
チャの有効化」を参照してください。
脅威パケット キャプチャの有効化
[Monitor] > [セキュリティ プロファイル]
ファイアウォールで脅威を検出したときにパケットをキャプチャできるようにするには、セ
キュリティ プロファイルでパケット キャプチャ オプションを有効にします。
まず、[Monitor] > [セキュリティ プロファイル] を選択し、以下の表の説明に従って目的の
プロファイルを変更します。
セキュリ
ティ プロ
ファイル
パケット キャプチャ オプション
アンチウイルス
カスタムのアンチウイルス プロファイルを選択し、[アンチウイルス] タブで [パ
ケット キャプチャ] チェック ボックスをオンにします。
アンチスパイ
ウェア
カスタムのアンチスパイウェア プロファイルを選択し、[DNS シグネチャ] タブ
をクリックします。[パケット キャプチャ] ドロップダウンで [single-packet] ま
たは [extended-capture] を選択します。
脆弱性防御
カスタムの脆弱性防御プロファイルを選択し、[ルール] タブで、[追加] をクリッ
クして新しいルールを追加するか、既存のルールを選択します。次に、[パケッ
ト キャプチャ] ドロップダウンで [single-packet] または [extended-capture] を
選択します。
398 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
パケット キャプチャの実行
アンチスパイウェアおよび脆弱性防御のプロファイルでは、例外時のパ
ケット キャプチャを有効にすることもできます。[例外] タブをクリック
し、シグネチャの [パケット キャプチャ] 列でドロップダウンをクリック
し、[single-packet] または [extended-capture] を選択します。
(任意)キャプチャした(およびグローバル設定に基づく)パケット数に基づいて脅威パ
ケット キャプチャの長さを定義するには、[Device] > [セットアップ] > [コンテンツ ID] を選
択し、[コンテンツ-ID 設定] セクションで [拡張パケット キャプチャ長](パケット フィール
ド)を変更します(1 ~ 50 の範囲、デフォルトは 5)。
セキュリティ プロファイルでパケット キャプチャを有効にしたら、プロファイルがセキュ
リティ ルールに含まれていることを確認する必要があります。セキュリティ プロファイル
をセキュリティ ルールに追加する方法の詳細は、「セキュリティ ポリシーの概要」を参照
してください。
セキュリティ プロファイルでパケット キャプチャが有効になっている場合、ファイア
ウォールで脅威が検出されるたびに、ログの 2 番目の列にある [パケット キャプチャ] アイコ
ン ( ) をクリックすることで、パケット キャプチャの表示またはエクスポートができます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 399
パケット キャプチャの実行
400 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
第7章
ファイアウォールへのユーザー ID の
設定
• 「ファイアウォールへのユーザー ID の設定」
• 「[ユーザー マッピング] タブ」
• 「[User-ID エージェント] タブ」
• 「[ターミナル サービス エージェント] タブ」
• 「[グループ マッピング設定] タブ」
• 「[キャプティブ ポータルの設定] タブ」
ファイアウォールへのユーザー ID の設定
[Device] > [ユーザー ID]
ユーザー ID (User-ID) サービスは Palo Alto Networks の次世代のファイアウォール機能で、
個々の IP アドレスの代わりにユーザーとグループに基づいてポリシーを作成し、レポートを
実行できます。複数の仮想システムでファイアウォールを設定している場合、各仮想システ
ムに個別の User-ID 設定を作成する必要があります。ユーザー マッピング情報は仮想システ
ム間で共有されません。[ユーザー ID] ページの上部にある [場所] ドロップダウンから、
User-ID を設定する仮想システムを選択します。
仮想システムを選択したら(該当する場合)、このページの設定を使用してユーザー ID を
設定します。
• 「[ユーザー マッピング] タブ」
• 「[User-ID エージェント] タブ」
• 「[ターミナル サービス エージェント] タブ」
• 「[グループ マッピング設定] タブ」
• 「[キャプティブ ポータルの設定] タブ」
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 401
ファイアウォールへのユーザー ID の設定
[ユーザー マッピング] タブ
[ユーザー マッピング] タブを使用して、ドメイン サーバーから直接 IP アドレス - ユーザー
名間マッピング データを取得するようにファイアウォールを設定します。この機能では、
User-ID エージェントをドメイン サーバーにインストールする必要はありません。ファイア
ウォールは、ユーザー マッピング情報を他のファイアウォールに再配信するように設定する
こともできます。
表 190. ユーザー マッピング設定
フィールド
説明
Palo Alto Networks ユーザー ID エージェント設定
画面のこのセクションには、ファイアウォールで IP アドレス - ユーザー
間マッピングを実行するために使用する設定が表示されます。設定を行
うには、編集
アイコンをクリックして [設定] ダイアログを開きま
す。このダイアログには以下のサブタブがあります。
• 「[WMI 認証] タブ」
• 「[サーバー モニタ] タブ」
• 「[Client Probing] タブ」
• 「[キャッシュ] タブ」
• 「[NTLM] タブ」
• 「[再配信] タブ」
• 「[Syslog のフィルタ] タブ」
[WMI 認証] タブ
このサブタブを使用して、ファイアウォールで Windows リソースにア
クセスするために使用するアカウントのドメイン認証情報を設定しま
す。こ の設定は Exchange サーバーとドメイン コントローラのモニ
ター、および WMI プローブに必要です。
ユーザー名 — クライアント コンピュータとサーバー モニタリングで WMI
クエリを実行する権限を持つアカウントを指定します。domain\username
構文を使用してユーザー名を入力します。
パスワード / パスワード再入力 — アカウントのパスワードを指定します。
402 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ファイアウォールへのユーザー ID の設定
表 190. ユーザー マッピング設定(続き)
フィールド
説明
[サーバー モニタ] タブ
セキュリティ ログの有効化 — Windows サーバーでセキュリティ ログ
モニターを有効にするには、このチェック ボックスをオンにします。セ
キュリティ ログに対するクエリは、[サーバー モニタリング] リストで
指定されているサーバー上の IP アドレス - ユーザー名間マッピング情報
を見つけるために実行されます。
サーバー ログのモニター頻度(秒)— ファイアウォールが Windows
サーバーに IP アドレス - ユーザー名間マッピング情報を問い合わせる頻
度を指定します(デフォルトは 2 秒、指定可能範囲は 1 ~ 3600 秒)。
この値は、ファイアウォールが前回のクエリの処理を終了してから次の
クエリを開始するまでの間隔です。
セッションの有効化 — [サーバー モニタリング] リストで指定されてい
るサーバー上のユーザー セッションのモニターを有効にするには、この
チェック ボックスをオンにします。ユーザーがサーバーに接続するたび
にセッションが作成されます。この情報を使用して、ユーザーの IP ア
ドレスを特定することもできます。
サーバー セッションの読み取り頻度(秒)— ファイアウォールが
Windows サーバーのユーザー セッションに IP アドレス - ユーザー名
マッピング情報を問い合わせる頻度を指定します(デフォルトは 10 秒、
指定可能範囲は 1 ~ 3600 秒)。この値は、ファイアウォールが前回の
クエリの処理を終了してから次のクエリを開始するまでの間隔です。
Novell eDirectory クエリ間隔(秒)— ファイアウォールが Novell
eDirectory サーバーに IP アドレス - ユーザー名間マッピング情報を問い
合わせる頻度を指定します(デフォルトは 30 秒、指定可能範囲は 1 ~
3600 秒)。この値は、ファイアウォールが前回のクエリの処理を終了し
てから次のクエリを開始するまでの間隔です。
Syslog サービス プロファイル — SSL/TLS サービス プロファイルを選択
します。このプロファイルには、証明書および許可されている SSL/TLS
バージョンが指定されており、User-ID サービスがモニターするファイ
アウォールと任意の Syslog Sender 間の通信に使用されます。詳細は、
「SSL/TLS サービス プロファイルの管理」を参照してくださ い。
[none] を選択した場合、デバイスは、事前設定の自己署名証明書を使用
します。
警告:Windows Server ログ、Windows Server セッション、または
eDirectoryeDirectory サーバーでクエリの負荷が大きい場合は、クエリ
間の遅延の観測値が、指定された頻度または間隔を大きく超える可能性
があります。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 403
ファイアウォールへのユーザー ID の設定
表 190. ユーザー マッピング設定(続き)
フィールド
説明
[Client Probing] タブ
プローブの有効化 — ユーザー マッピング プロセスによって識別される
各クライアント PC に対して WMI/NetBIOS プローブを有効にするに
は、このチェック ボックスをオンにします。プローブにより、正確な
ユーザー - IP 間の情報を提供するため、確実に同じユーザーがクライア
ント PC にログインし続けているかを把握できるようにすることができ
ます。
プローブ間隔(分)— クライアント PC のプローブ間隔を指定します
(デフォルトは 20 分、指定可能範囲は 1 ~ 1440 分)。この値は、ファ
イアウォールが前回のリクエストの処理を終了してから次のリクエスト
を開始するまでの間隔です。
大規模な導入では、識別されている各クライアントをプローブするため
の時間を確保するため、プローブ間隔を適切に設定することが重要で
す。たとえば、ユーザーが 6,000 人で間隔が 10 分の場合は、各クライア
ントから 1 秒あたり 10 WMI 要求が必要になります。
注:プローブ リクエストの負荷が大きい場合は、リクエスト間の遅延の
観測値が、指定された間隔を大きく超える可能性があります。
注:WMI によるポーリングを効果的に行うには、ドメイン管理者アカ
ウントにユーザー マッピングプロファイルを設定し、プローブされる各
クライアント PC の Windows ファイアウォールにリモート管理例外を
設定しておく必要があります。NetBIOS によるプローブを効果的に行う
には、プローブされる各クライアント PC の Windows ファイアウォー
ルでポート 139 を許可し、ファイルやプリンタの共有サービスを有効に
する必要があります。
[キャッシュ] タブ
ユーザー ID タイムアウトを有効にする — IP アドレス - ユーザー名間
マッピングのエントリのタイムアウト値を有効にするには、このチェッ
ク ボックスをオンにします。タイムアウト値に達すると、その IP アド
レス - ユーザー名間マッピングはクリアされ、新しいマッピングが収集
されます。これにより、ユーザーがローミングして新しい IP アドレス
を取得するときに、ファイアウォールに最新の情報が存在するようにし
ます。
ユーザー ID タイムアウト(分)— IP アドレス - ユーザー名間マッピン
グのエントリのタイムアウト値を設定します(デフォルトは 45 分、1 ~
1440 分の範囲)。
404 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ファイアウォールへのユーザー ID の設定
表 190. ユーザー マッピング設定(続き)
フィールド
説明
[NTLM] タブ
NTLM 認証処理の有効化 — NT LAN Manager (NTLM) 認証処理を有効
にするには、このチェック ボックスをオンにします。キャプティブ
ポータル ルールに、ユーザー マッピング情報をキャプチャするために
browser-challenge(「キャプティブ ポータル ポリシーの定義」を参
照)に設定されたアクションが存在する場合、NTLM チャレンジによっ
てクライアントが透過的に認証されます。このオプションを有効にする
と、ファイアウォールは NTLM ドメインからこの情報を収集します。
他の PAN-OS ファイアウォールと User-ID 情報を共有するようにファ
イアウォールを設定した場合(「[再配信] タブ」 を参照)、ファイア
ウォールは User-ID エージェントの機能を実行することで他の PAN-OS
ファイアウォールからの着信 NTLM 要求を処理します。
注:Windows ベースのユーザー ID エージェントを使用している場合
は、エージェントがインストールされたドメイン コントローラに、
NTLM 応答が直接転送されます。
NTLM ドメイン — NTLM ドメイン名を入力します。
管理ユーザー名 — NTLM ドメインへのアクセス権を持っている管理者
アカウントを入力します。
警告:[管理ユーザー名] フィールドにドメインを含めないでください。
含めた場合、ファイアウォールが、そのドメインを参加させることがで
きなくなります。
パスワード / パスワード再入力 — NTLM ドメインへのアクセス権を
持っている管理者アカウントのパスワードを入力します。
注:NTLM 認証処理は 1 つの仮想システムでのみ有効にできます(ペー
ジの上部にある [場所] ドロップダウンから仮想システムを選択)。
[再配信] タブ
コレクタ名 — このファイアウォールを、ネットワーク上の他のファイ
アウォールのユーザー マッピング再配信元として使用する場合は、コレ
クタ名を指定します。
コレクタ名と事前共有鍵は、ユーザー マッピング情報をプルするファイ
アウォールで User-ID エージェントを設定するときに使用されます。
フ ァ イ ア ウ ォ ー ル が 再 配 信 ポ イ ン ト と し て 動 作 す る た め に は、
[Network] > [ネットワーク プロファイル] > [インターフェイス管理] で
[User-ID サービス] も有効にする必要があります。
事前共有鍵 / 再入力 事前共有鍵 — ユーザー マッピング転送で安全な接
続を確立するために他のファイアウォールが使用する事前共有鍵を入力
します。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 405
ファイアウォールへのユーザー ID の設定
表 190. ユーザー マッピング設定(続き)
フィールド
説明
[Syslog のフィルタ] タブ
このサブタブを使用して、ファイアウォールで受信した Syslog メッ
セージを解析してメッセージからユーザー マッピング情報(IP アドレ
スとユーザー名)を抽出する方法を指定します。Syslog のフィルタを追
加するには、[追加] をクリックし、以下のフィールドに入力します。異
なる Syslog Sender からのメッセージに対して個別のフィルタを作成で
きます。Sender をモニター対象サーバーのリストに追加するときに、
使用するフィルタを指定する必要があります。さらに、Syslog メッセー
ジがインターフェイスで受け入れられる前に、インターフェイスに関連
付けられた管理プロファイルで Syslog リスナー サービスを有効にする
必要があります。
Syslog 解析プロファイル — 解析プロファイルの名前を入力します(最
大 63 文字の英数字)。Palo Alto Networks では、いくつかの事前定義
済みフィルタを提供しています。これらはアプリケーション コンテンツ
の更新として配信されるため、新しいフィルタが開発されると動的に更
新されます。事前定義済みフィルタはファイアウォールでグローバルに
適用されます。一方、手動で定義されたフィルタは 1 つの仮想システム
のみに適用されます。
内容 — プロファイルの説明を入力します(最大 255 文字の英数字)。
タイプ — ユーザー マッピング情報のフィルタに使用する解析のタイプ
を指定します。[正規表現の識別子] と [フィールド識別子] の 2 つのタイ
プがあります。フィルタを作成するには、Syslog 内の認証メッセージの
フォーマットを把握する必要があります。以下のフィールドの説明は、
以下のフォーマットの Syslog メッセージのフィルタを作成する場合の
例です。
[Tue Jul 5 13:15:04 2005 CDT] Administrator authentication
success User:domain\johndoe_4 Source:192.168.0.212
• 正規表現の識別子 — このタイプの解析では、Syslog メッセージのユー
ザー マッピング情報を識別して抽出するための検索パターンを示す正
規表現を指定します。このオプションを選択した場合、Syslog メッ
セージ内の認証イベントを照合し、一致するメッセージ内のユーザー
名フィールドと IP アドレス フィールドを照合するために使用する正
規表現を指定する必要があります。
• イベントの正規表現 — Syslog メッセージ内の成功した認証イベントを
識別する正規表現を指定する場合、このフィールドを使用します。た
とえば、上記の例の Syslog メッセージに対して照合する場合、以下の
正規表現は、ファイアウォールで文字列 authentication success の
最初の \{1\} インスタンスを照合することを示します。スペースの前
の円記号は、スペースを特殊文字として扱わないように正規表現エン
ジンに指示する標準の正規表現エスケープ文字です:
(authentication\ success)\{1\}
406 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ファイアウォールへのユーザー ID の設定
表 190. ユーザー マッピング設定(続き)
フィールド
[Syslog のフィルタ] タブ
(続き)
説明
– ユーザー名の正規表現 — 認証成功メッセージ内のユーザー名の先頭
を識別するための正規表現を入力します。たとえば、正規表現
User:([a-zA-Z0-9\\\._]+) は例のメッセージの文字列
User:johndoe_4 に一致し、acme\johndoe1 をユーザー名として抽
出します。認証成功メッセージ内のユーザー名フィールドを識別す
る正規表現を指定する場合、このフィールドを使用します。
– アドレスの正規表現 — 認証成功メッセージ内の IP アドレス フィー
ルドを識別する正規表現を指定する場合、このフィールドを使用し
ます。たとえば、Source:([0-9]{1,3}\.[0-9]){1,3}\.[09]{1,3}\.0-9]{1,3}) という正規表現は例のメッセージ内の文字列
Source:192.168.0.212 と一致し、作成されるユーザー名マッピン
グの IP アドレスとして 192.168.0.212 が抽出されて追加されます。
• フィールド識別子 — このタイプの解析では、Syslog 内のユーザー マッ
ピング情報を識別するために、認証イベント、プレフィックス、およ
びサフィックスの文字列を照合する文字列を以下のように指定します。
– イベントの文字列 — ユーザー マッピング情報を抽出するイベント
ログ タイプを識別する文字列を指定します。たとえば、上記の例の
Syslog フォーマットでは、文字列 authentication success を入力
してログ内の成功した認証イベントと照合します。
– ユーザー名のプレフィックス — 認証 Syslog メッセージ内のユーザー
名フィールドの先頭を識別するために照合する文字列を入力しま
す。たとえば、上記の例の Syslog フォーマットでは、文字列 User:
を入力してユーザー名の先頭を識別します。
– ユーザー名の区切り文字 — 認証ログ メッセージ内のユーザー名
フィールドの終了を示すために使用される区切り文字を入力しま
す。たとえば、例のログ メッセージ フォーマットでは、ユーザー
名の後にスペースがあるため、\s を入力してユーザー名フィール
ドがスペースで区切られていることを指定します。
– アドレス プレフィックス — ログ メッセージから IP アドレスを抽
出するために照合する文字列を指定します。たとえば、上記の例の
Syslog フォーマットでは、文字列 Source: を入力して、アドレス
を抽出するログ フィールドを識別します。
– アドレスの区切り文字 — 認証成功メッセージ内の IP アドレス
フィールドの終了を示すために使用される照合文字列を入力しま
す。たとえば、例のログ メッセージ フォーマットでは、アドレス
の後に改行があるため、\n を入力してアドレス フィールドが改行
で区切られていることを指定します。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 407
ファイアウォールへのユーザー ID の設定
表 190. ユーザー マッピング設定(続き)
フィールド
説明
サーバー モニタリ
ング
画面のこのセクションを使用して、ログオン イベントをモニターする
Microsoft Exchange サーバー、ドメイン コントローラ、Novell eDirectory
サーバー、または Syslog Sender を定義します。たとえば、AD 環境で
は、Kerberos チケットの付与または更新、Exchange サーバー アクセス
(設定されている場合)、およびファイルと印刷サービスの(モニター
対象サーバーに対する)接続のセキュリティ ログをエージェントでモニ
ターします。仮想システムごとに最大 50 個の Syslog Sender、合計で最大
100 台のモニター対象サーバー(Syslog Sender、Microsoft Active
Directory、Microsoft Exchange、Novell eDirectory サーバーを含む)のエ
ントリを定義できます。ユーザー マッピング情報の検出には、ファイア
ウォールでは Syslog Sender としてセットアップして直接モニターするこ
とができない、ワイヤレス コントローラ、802.1 デバイス、Network
Access Control (NAC) サービスなどの他のタイプのデバイスを追加できま
す。別のデバイスがすでにエンド ユーザーの認証に設定されている環境
でこれが役立ちます。これを実行するには、ファイアウォールを Syslog
リスナーとして設定し(「インターフェイス管理プロファイルの定義」
を参照)、受信 Syslog メッセージをフィルタリングしてユーザー マッピ
ング情報を抽出する方法も定義する(「[Syslog のフィルタ] タブ」を参
照)必要があります。DNS を介して Microsoft Active Directory ドメイン
コントローラを自動的に検出するには、[検出] をクリックします。ファイ
アウォールは、[Device] > [セットアップ] > [管理] > [一般設定] ページの
[ドメイン] フィールドに入力されたドメイン名に基づいてドメイン コン
トローラを検出します。次に、ユーザー マッピング情報を取得するため
に使用するサーバーを有効にできます。
注:検出機能はドメイン コントローラのみに使用できます。Exchange
サーバーや eDirectory サーバーの自動検出には使用できません。
注:Active Directory (AD)
イベントをセキュリティ
ログに記録するには、ア
カウントのログオン完了
イベントを記録するよう
に AD ドメインを設定す
る必要があります。
モニターする新しいサーバーやリッスンする Syslog Sender を手動で定
義するには、[追加] をクリックし、以下のフィールドに入力します。
• 名前 — サーバーの名前を入力します。
• 内容 — モニターするサーバーの説明を入力します。
• 有効 — このサーバーのログ モニターを有効にするには、このチェッ
ク ボックスをオンにします。
• タイプ — モニターするサーバーのタイプを選択します。選択したサー
バーのタイプに応じて、以下の 1 つ以上のフィールドが表示されます。
– ネットワーク アドレス — モニターする Exchange または Active
Directory サーバーの IP アドレスまたは完全修飾ドメイン名
(FQDN) を入力します。
– サーバー プロファイル — Novell eDirectory サーバーへの接続に使
用する LDAP サーバー プロファイルを選択します。
– 接続タイプ — ファイアウォール エージェントで Syslog メッセージ
を [UDP] ポート (514) と [SSL] ポート (6514) のどちらでリッスンす
るのかを指定します。[SSL] を選択すると、[ユーザー ID エージェ
ント設定] で選択した [Syslog サービス プロファイル] によって
(「[サーバー モニタ] タブ」を参照)、許可される SSL/TLS の
バージョン、および Syslog Sender とファイアウォール間の接続を
確立するために使用される証明書が決まります。
– フィルタ — このサーバーから受信した Syslog メッセージからユー
ザー名と IP アドレスを抽出するために使用する Syslog のフィルタ
を選択します。
– デフォルト ドメイン名 —(任意)ログ エントリにドメイン名が存在
しない場合、ユーザー名の先頭に追加するドメイン名を指定します。
サーバーの追加を完了するには、[OK] をクリックします。ファイア
ウォールがサーバーへの接続を試行します。接続に成功したら、[状態]
に [接続済み] と表示されます。ファイアウォールから接続できなかった
場合、[状態] には [接続が拒否されました] や [接続タイムアウト] などの
エラー状態が表示されます。
408 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ファイアウォールへのユーザー ID の設定
表 190. ユーザー マッピング設定(続き)
フィールド
説明
包含 / 除外ネットワーク
デフォルトでは、このリストにサブネットワークを指定しないと、ユー
ザー ID エージェントが、[サーバー モニタリング] リストに登録されて
いるサーバーのすべてのサブネットワークについて、IP アドレス - ユー
ザー名間マッピング(検出)を実行します。特定のサブネットワークの
検出を制限するには、[追加] をクリックして、[名前]、サブネットワーク
IP アドレス範囲([ネットワーク アドレス])、[検出] オプション([包含]
または [除外])、[有効] オプション(プロファイルの有効化または無効
化)で構成されるプロファイルを指定します。ユーザー ID エージェン
トは、すべてを除外という暗黙のルールをリストに適用します。たとえ
ば、サブネットワーク 10.0.0.0/8 を [包含] オプションを指定して追加す
ると、ユーザー ID エージェントは、その他すべてのサブネットワーク
を、たとえリストに追加しなくても除外します。[除外] オプションを指
定してエントリを追加するのは、明示的に包含したサブネットワークの
一部を除外する場合だけです。たとえば、[包含] オプションを指定して
10.0.0.0/8 を、[除外] オプションを指定して 10.2.50.0/22 を追加すると、
ユーザー ID エージェントは、10.0.0.0/8 内のサブネットワークのうち
10.2.50.0/22 を除くすべてを検出し、10.0.0.0/8 外のすべてのサブネット
ワークを除外します。[包含] プロファイルを一切追加せずに [除外] プロ
ファイルを追加すると、ユーザー ID エージェントは、追加したサブ
ネットワークだけでなく、すべてのサブネットワークを除外します。
デフォルトでは、ユーザー ID エージェントは、追加された順(上から
下)にプロファイルを評価します。評価順を変更するには、[許可 / 除外
ネットワーク カスタム シーケンス] をクリックします。ダイアログが開
いたら、プロファイルに対して [追加]、[削除]、[上へ]、[下へ] の各コマ
ンドを実行して、カスタムの評価順を作成します。
他のファイアウォールにユーザー マッピング情報を配布するようにファ
イアウォールを構成すると、[包含 / 除外ネットワーク] リストで指定し
た検出制限が配布情報に適用されます。
ユーザー マッピング情報をファイアウォール トラフィックに適用して
ログ、レポート、およびポリシーで使用できるようにするには、各セ
キュリティ ゾーンで [User-ID の有効化] をオンにする必要があります
(「セキュリティ ゾーンの定義」を参照)。
[User-ID エージェント] タブ
[User-ID エージェント] タブを使用して、ネットワーク上のディレクトリ サーバーにインス
トールされたユーザー ID エージェント(User-ID エージェント)、または IP アドレス - ユー
ザー間マッピング情報を交換するためにエージェントレス User-ID に設定されたファイア
ウォールを操作するようにファイアウォールを設定します。
User-ID エージェントは、IP アドレス - ユーザー名間マッピング情報をネットワーク リソー
スから収集してファイアウォールに提供し、セキュリティ ポリシーとログに使用できるよう
にします。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 409
ファイアウォールへのユーザー ID の設定
User-ID マッピングでは、ファイアウォールがユーザーの送信元 IP アドレ
スを NAT で変換される前に取得する必要があります。NAT またはプロキ
シ デバイスの使用が原因で複数のユーザーの送信元アドレスが同じにな
る場合は、ユーザーを正確に識別することはできません。
他のネットワーク デバイスがすでにユーザーを認証している環境では、
Syslog を使用してイベント ログを User-ID エージェントに転送するよう
に認証サービスを設定できます。これにより、エージェントは Syslog か
ら認証イベントを抽出し、IP アドレス - ユーザー名間マッピングに追加で
きます。
このファイアウォールが通信するエージェントのリストに User-ID エージェントを追加する
には、[追加] をクリックし、以下のフィールドに入力します。
表 191. User-ID エージェント設定
フィールド
説明
名前
User-ID エージェントの識別に使用する名前を入力します(最大 31 文
字)。名前の大文字と小文字は区別されます。また、一意の名前にする
必要があります。文字、数字、スペース、ハイフン、およびアンダース
コアのみを使用してください。
ホスト
User-ID エージェントをインストールする Windows ホストの IP アドレ
スを入力します。
ポート
User-ID エージェントがファイアウォールからの要求をリッスンする
ポート番号を入力します。デフォルトの Windows User-ID エージェン
ト サービスのポート番号は 5007 ですが、ファイアウォールと User-ID
エージェントで使用する値が同じであれば任意のポートを使用できま
す。さらに、異なるエージェントには異なるポート番号を使用できます。
注:一部の旧バージョンの User-ID エージェントでは、デフォルト ポー
トとして 2010 を使用します。
コレクタ名
このファイアウォールが、再配信用に設定された別のファイアウォール
からユーザー マッピング情報を受信する場合、ユーザー マッピング
データを収集するファイアウォールで設定されたコレクタ名([Device] >
[ユーザー ID] > [ユーザー マッピング] タブに表示)を指定します。
コレクタの事前共有鍵 /
再入力 コレクタの事前
共有鍵
User-ID エージェントと、ユーザー マッピングの再配信元として動作す
るファイアウォールの間の SSL 接続を許可するために使用される、事前
共有鍵を入力します。
LDAP プロキシとして
使用
(ファイアウォールからディレクトリ サービスに直接接続せずに)
LDAP サーバーにクエリを行う LDAP プロキシとしてこの User-ID エー
ジェントを使用するには、このチェック ボックスをオンにします。この
オプションは、キャッシングが望ましい環境、またはファイアウォール
からディレクトリ サーバーに直接アクセスできない環境で役立ちます。
410 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ファイアウォールへのユーザー ID の設定
表 191. User-ID エージェント設定(続き)
フィールド
説明
NTLM 認証用に使用
Active Directory ドメインによるキャプティブ ポータルからの NTLM ク
ライアント認証を検証するように設定した User-ID エージェントを使用
するには、このチェック ボックスをオンにします。
有効
ファイアウォールがこの User-ID エージェントと通信できるようにする
には、このチェック ボックスをオンにします。
User-ID エージェント エントリの追加を完了するには、[OK] をクリッ
クします。新しい User-ID エージェントがエージェント リストに表示さ
れます。[接続済み] 列のアイコンが緑であることを確認します。緑のア
イコンは、ファイアウォールがエージェントと正常に通信できることを
示します。設定されたエージェントへの再接続を試みるには、[接続対
象の更新] をクリックします。ファイアウォールに対するエージェント
の近接度や、エージェントがバックアップであるかプライマリであるか
など、特定の順序でファイアウォールからエージェントに接続する場
合、[カスタム エージェント シーケンス] をクリックし、目的の順序で
エージェントを並べ替えます。
[ターミナル サービス エージェント] タブ
[ターミナル サービス エージェント] タブを使用して、ネットワークにインストールされた
ターミナル サービス エージェント(TS エージェント)を操作するようにファイアウォール
を設定します。TS エージェントは、同じターミナル サーバーでサポートされていて同じ IP
アドレスを持つ個々のユーザーを識別します。ターミナル サーバーの TS エージェントは、
各ユーザーに特定のポート範囲を割り当てることで個々のユーザーを識別します。特定の
ユーザーにポートの範囲が割り当てられると、ユーザーおよびユーザー グループに基づいて
ポリシーを適用できるように、ターミナル サービス エージェントによって、割り当てられ
たポートの範囲がすべての接続されているファイアウォールに通知されます。
ファイアウォール設定に TS エージェントを追加するには、[追加] をクリックし、以下の
フィールドに入力します。
表 192. ターミナル サービス エージェント設定
フィールド
説明
名前
TS エージェントの識別に使用する名前を入力します(最大 31 文字)。
名前の大文字と小文字は区別されます。また、一意の名前にする必要が
あります。文字、数字、スペース、ハイフン、およびアンダースコアの
みを使用してください。
ホスト
TS エージェントがインストールされているターミナル サーバーの IP ア
ドレスを入力します。
ポート
TS エージェント サービスがファイアウォールと通信するポート番号を
入力します。デフォルト ポートは 5009 です。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 411
ファイアウォールへのユーザー ID の設定
表 192. ターミナル サービス エージェント設定(続き)
フィールド
説明
代替 IP アドレス
TS エージェントがインストールされているターミナル サーバーに、送
信トラフィックの送信元 IP アドレスとして表示される可能性がある複数
の IP アドレスがある場合、[追加] をクリックし、最大 8 個の IP アドレ
スを入力します。
有効
ファイアウォールがこの User-ID エージェントと通信できるようにする
には、このチェック ボックスをオンにします。
TS エージェント エントリの追加を完了するには、[OK] をクリックしま
す。新しい TS エージェントがエージェント リストに表示されます。[接
続済み] 列のアイコンが緑であることを確認します。緑のアイコンは、
ファイアウォールがエージェントと正常に通信できることを示します。
設定されたエージェントへの再接続を試みるには、[接続対象の更新] を
クリックします。
[グループ マッピング設定] タブ
ユーザーまたはグループに基づいてセキュリティ ポリシーを定義するには、ファイアウォー
ルでディレクトリ サーバーからグループのリストおよび対応するメンバーのリストを取得す
る必要があります。この機能を有効にするには、ファイアウォールに LDAP ディレクトリ
サーバーへの接続と認証方法を指示する LDAP サーバー プロファイル(「LDAP サーバー
の設定」)を作成する必要があります。ファイアウォールは、Microsoft Active Directory
(AD)、Novell eDirectory、Sun ONE Directory Server を含む、さまざまな LDAP ディレクト
リ サーバーをサポートしています。サーバー プロファイルを作成したら、[グループ マッピ
ング] タブを使用して、ディレクトリでユーザーとグループの情報を検索する方法を定義し
ます。[カスタム グループ] タブを使用すると、LDAP フィルタに基づいてカスタム グループ
を作成できます。
グループ マッピング設定を追加するには、[追加] をクリックし、設定を識別する一意の [名
前] を入力します。名前の大文字と小文字は区別され、文字、数字、スペース、ハイフン、
およびアンダースコアを含む最大 31 文字を指定できます。次に、以下のサブタブのフィー
ルドに入力する必要があります。
• 「[サーバー プロファイル] サブタブ」
• 「[許可リストのグループ化] サブタブ」
• 「[カスタム グループ] サブタブ」
412 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ファイアウォールへのユーザー ID の設定
[サーバー プロファイル] サブタブ
[サーバー プロファイル] サブタブを使用して、グループ マッピングに使用する LDAP サー
バー プロファイルを選択し、ディレクトリでユーザーとグループの情報を含む特定のオブ
ジェクトを検索する方法を指定します。
表 193. グループ マッピングのサーバー プロファイル設定
フィールド
説明
サーバー プロファイル
このファイアウォールのグループ マッピングに使用する LDAP サー
バー プロファイルを選択します。
更新間隔
ファイアウォールから LDAP ディレクトリ サーバーに接続し、ファイ
アウォール ポリシーで使用されるグループへの更新を取得する間隔
(秒)を指定します(範囲は 60 ~ 86,400 秒)。
ユーザー ドメイン
デフォルトでは、[ユーザー ドメイン] フィールドは空白になっていま
す。空白のままにすると、ファイアウォールが、Active Directory サー
バーのドメイン名を自動的に検出します。このフィールドに値を入力す
ると、デバイスが LDAP ソースから取得したドメイン名がオーバーライ
ドされます。入力値には NetBIOS 名を指定する必要があります。
注:このフィールドは、LDAP ソースから取得したユーザー名とグルー
プ名のみに影響を与えます。ユーザー認証の場合に、ユーザー名に関連
付けられたドメインをオーバーライドするには、そのユーザーに割り当
てられている認証プロファイルの [ユーザー ドメイン] および [ユーザー
名修飾子] フィールドを設定します(「認証プロファイルのセットアッ
プ」を参照)。
グループ オブジェクト
• 検索フィルタ — 取得および追跡対象グループの管理に使用できる LDAP
クエリを指定します。
• オブジェクト クラス — グループの定義を指定します。たとえば、デ
フォルトの objectClass=group で取得されるのは、ディレクトリに含
まれていて、グループ フィルタに一致し、objectClass=group が設定
されているすべてのオブジェクトです。
• グループ名 — グループ名を指定する属性を入力します。たとえば、
Active Directory の場合、この属性は「CN」(一般名)になります。
• グループ メンバー — このグループのメンバを含む属性を指定します。
たとえば、Active Directory の場合、この属性は「member」になります。
User Objects
• 検索フィルタ — 取得および追跡対象ユーザーの管理に使用できる LDAP
クエリを指定します。
• オブジェクト クラス — ユーザー オブジェクトの定義を指定します。た
とえば、Active Directory の場合、objectClass は「user」になります。
• ユーザー名 — ユーザー名の属性を指定します。たとえば、Active
Directory の場合、デフォルトのユーザー名属性は「samAccountName」
になります。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 413
ファイアウォールへのユーザー ID の設定
表 193. グループ マッピングのサーバー プロファイル設定(続き)
フィールド
説明
メール ドメイン
ファイアウォールが有害な電子メールに関する WildFire ログを受信す
ると、ログの電子メール受信者情報が、User-ID によって収集された
ユーザー マッピング情報と照合されます。ログにはユーザーへのリンク
が含まれます。このリンクをクリックすると ACC が表示され、ユー
ザー別にフィルタリングされます。電子メールが配信リストに送信され
た場合は、ACC がリストに記載されているメンバー別にフィルタリン
グされます。
電子メールのヘッダーやユーザー マッピング情報から、電子メールを受
信したユーザーを簡単に識別できるため、電子メール経由で受け取った
脅威をすばやく突き止めて阻止できます。
• メール属性 — このフィールドは、LDAP サーバー タイプ (Sun/RFC、
Active Directory、Novell) に基づいて自動的に入力されます。
• ドメイン リスト — 最大 256 文字のカンマ区切りリストを使用して、組
織の電子メール ドメインのリストを入力します。
有効
グループ マッピングでこのサーバー プロファイルを有効にするには、
このチェック ボックスをオンにします。
[許可リストのグループ化] サブタブ
[許可リストのグループ化] サブタブを使用して、セキュリティ ポリシーの作成時に表示され
るグループ数を制限します。LDAP ツリーを探索して、ポリシーで使用するグループを見つ
けます。
グループを包含するには、[使用可能なグループ] リストでそのグループを選択して、追加
アイコンをクリックします。グループ マッピング構成に追加できるグループの総数([許可
リストのグループ化] サブタブと [カスタム グループ] サブタブの合計)は、仮想システムあ
たり 640 です。
リストからグループを削除するには、そのグループを [含まれたグループ] リストで選択し
て、削除
アイコンをクリックします。
[OK] をクリックして含まれたグループのリストを保存します。
[カスタム グループ] サブタブ
[カスタム グループ] サブタブを使用すると、LDAP フィルタに基づいてカスタム グループを
作成できます。これにより、Active Directory (AD) などの LDAP ベースのサービスの既存の
ユーザー グループには一致しないユーザー属性に基づいてファイアウォール ポリシーを決
定できます。User-ID サービスは、フィルタに一致するすべての LDAP ディレクトリ ユー
ザーをカスタム グループにマッピングします。既存の AD グループ ドメイン名と同じ識別
名 (DN) のカスタム グループを作成すると、ファイアウォールは、その名前が参照されるす
べての場所(たとえば、ポリシーやログ内)でカスタム グループを使用します。
ファイアウォールは、LDAP フィルタを検証しません。
カスタム グループを作成またはコピーしたら、ポリシーやオブジェクト
で使えるように、コミットを実行する必要があります。
414 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ファイアウォールへのユーザー ID の設定
カスタム グループを作成するには、[追加] をクリックし、グループの [名前](現在のファイ
アウォールまたは仮想システムのグループ マッピング設定で一意な名前)を入力して、
[LDAP フィルタ](最大 2,048 文字)を指定してから、[OK] をクリックします。グループ
マッピング設定に追加できるグループの総数([許可リストのグループ化] サブタブと [カス
タム グループ] サブタブの合計)は、仮想システムあたり 640 です。
LDAP 検索を高速化して、LDAP ディレクトリ サーバーのパフォーマン
スの低下を最小限に抑えるには、索引付けされた属性のみをフィルタに使
用するのがベスト プラクティスです。
カスタム グループを削除するには、グループを選択して [削除] をクリックします。
カスタム グループのコピーを作成するには、そのグループを選択し、[コピー] をクリックし
て、[名前] および [LDAP フィルタ] を編集してから [OK] をクリックします。
[キャプティブ ポータルの設定] タブ
[キャプティブ ポータルの設定] タブを使用して、ファイアウォールにキャプティブ ポータル
認証を設定します。User-ID サービスが有効になっていて送信元 IP アドレスにユーザー デー
タが関連付けられていないゾーンからの要求をファイアウォールが受信した場合、そのキャ
プティブ ポータル ポリシーで一致をチェックして認証を実行するかどうかを決定します。
これは、Linux クライアントなど、ドメイン サーバーにログインしていないクライアントが
ある環境で役立ちます。このユーザー マッピング方法は、セキュリティ ルール / ポリシー
に一致し、別の方法を使用してマッピングされていない Web トラフィック(HTTP または
HTTPS)でのみトリガーされます。Web ベースではないトラフィック、またはキャプティ
ブ ポータル ポリシーに一致しないトラフィックの場合、ファイアウォールはユーザー ベー
スのポリシーの代わりに IP ベースのセキュリティ ポリシーを使用します。
キャプティブ ポータル設定を定義または編集するには、編集
下のフィールドに入力します。
アイコンをクリックし、以
表 194. キャプティブ ポータルの設定
フィールド
説明
キャプティブ ポータル
の有効化
ユーザー ID のキャプティブ ポータル オプションを有効にするには、こ
のチェック ボックスをオンにします。
アイドル タイマー
(分)
キ ャ プティブ ポータル セッションのユーザー有効期間(ユーザー
TTL)設定。このタイマーは、キャプティブ ポータル ユーザーのアク
ティビティが発生するたびにリセットされます。ユーザーがアイドル状
態である期間がアイドル タイマーを超えると、キャプティブ ポータル
のユーザー マッピングが削除され、ユーザーは再度ログインする必要が
あります(1 ~ 1440 分、デフォルトは 15 分)。
タイマー(分)
キャプティブ ポータル セッションのマッピングを保持できる最大期間
(最大 TTL)。有効期間が経過すると、マッピングが削除され、セッ
ションがアクティブな場合でもユーザーは再認証が必要になります。こ
のタイマーは、期限切れのマッピングを防ぐために使用され、ここで設
定した値はアイドル タイムアウトをオーバーライドします。したがっ
て、ベスト プラクティスとして、有効期限をアイドル タイマーよりも
高い値に設定します(範囲は 1 ~ 1440 分、デフォルトは 60 分)。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 415
ファイアウォールへのユーザー ID の設定
表 194. キャプティブ ポータルの設定(続き)
フィールド
説明
SSL/TLS サービス プロ
ファイル
リダイレクト要求をセキュリティ保護するための証明書と許可されたプ
ロトコルを指定するには、SSL/TLS サービス プロファイルを選択しま
す。詳細は、「SSL/TLS サービス プロファイルの管理」を参照してく
ださい。[None] を選択した場合、ファイアウォールは SSL 接続にロー
カルのデフォルト証明書を使用します。
証明書エラーを表示せずに透過的にユーザーをリダイレクトするには、
要求のリダイレクト先となるインターフェイスの IP アドレスと一致す
る証明書に関連付けられたプロファイルを割り当てる必要があります。
認証プロファイル
認証用 Web フォームにリダイレクトされたユーザーを認証するための
認証プロファイルを選択します。認証に NTLM を使用する場合でも、
NTLM 認証に失敗した場合、またはクライアントやブラウザでサポート
されていないため NTLM が使用できない場合は、ユーザーを認証する
ために認証プロファイルまたは証明書プロファイルのいずれかを設定す
る必要があります。
モード
以下のいずれかのモードを選択して、Web 要求がキャプチャされ認証を
受ける方法を定義します。
• メッセージを表示しない — ファイアウォールがキャプティブ ポータ
ルのルールごとにブラウザのトラフィックをインターセプトし、元の
宛先を偽装して HTTP 401 を発行し、認証を起動します。ただし、
ファイアウォールには宛先 URL の実際の証明書がないため、保護さ
れたサイトへのアクセスを試みるユーザーのブラウザには証明書エ
ラーが表示されます。したがって、このモードはレイヤー 2 やバー
チャル ワイヤーのデプロイメントなど、絶対に必要な場合にのみ使用
してください。
• リダイレクト — ファイアウォールは不明な HTTP または HTTPS セッ
ションをインターセプトし、認証を実行するために HTTP 302 リダイ
レクトを使用してファイアウォールのレイヤー 3 インターフェイスに
リダイレクトします。より優れたエンドユーザー体験(証明書エラー
なし)が提供されるため、このモードの使用をお勧めします。ただ
し、追加のレイヤー 3 設定が必要です。[リダイレクト] モードのもう
1 つの利点はセッション Cookie を使用できることで、タイムアウトが
発生するたびに再度マッピングする必要なしに、ユーザーが継続して
認証済みサイトを閲覧できます。ある IP アドレスから別の IP アドレス
(企業 LAN から無線ネットワークなど)にローミングするユーザー
は、セッションが開かれている限り IP アドレスが変化しても再認証す
る必要がないため、このモードが特に役立ちます。さらに、NTLM 認
証を使用する場合、ブラウザは信頼されたサイトにのみ認証情報を提
供するため、[リダイレクト] モードを使用する必要があります。
注:[リダイレクト] モードでキャプティブ ポータルを使用するには、ア
クティブなポータルをリダイレクトするレイヤー 3 インターフェイスに
割り当てられたインターフェイス管理プロファイルの応答ページを有効
にする必要があります。「インターフェイス管理プロファイルの定義」
および「レイヤー 3 インターフェイスの設定」を参照してください。
416 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ファイアウォールへのユーザー ID の設定
表 194. キャプティブ ポータルの設定(続き)
フィールド
説明
セッション Cookie(リダ
イレクト モードのみ)
• 有効化 — セッション Cookie を有効にするには、このチェック ボック
スをオンにします。
• タイムアウト — セッション Cookie が有効になっている場合、このタ
イマーでセッション Cookie の有効期間(分)を指定します(範囲は
60 ~ 10080 分、デフォルトは 1440 分)。
• ローミング — セッションがアクティブな間に IP アドレスが変化して
も Cookie を保持する場合(クライアントが有線ネットワークから無
線ネットワークに移動した場合など)は、このチェック ボックスをオ
ンにします。ユーザーは、Cookie がタイムアウトになった場合または
ブラウザを閉じた場合にのみ再認証する必要があります。
ホストのリダイレクト
(リダイレクト モード
のみ)
要求をリダイレクトするレイヤー 3 インターフェイスの IP アドレスに
解決されるイントラネット ホスト名を指定します。
証明書の認証
キャプティブ ポータル ユーザーの認証に使用する [証明書プロファイル]
を選択します。このタイプの認証を使用する場合、キャプティブ ポータ
ルはユーザーを認証するためにブラウザに有効なクライアント証明書の
提示を求めます。この方法を使用するには、各ユーザー システムのクラ
イアント証明書をプロビジョニングし、ファイアウォールでそれらの証
明書を発行するために使用する信頼された CA 証明書をインストールす
る必要があります。これは、Mac OS および Linux クライアントでメッ
セージを表示しない認証を有効にする唯一の認証方法です。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 417
ファイアウォールへのユーザー ID の設定
表 194. キャプティブ ポータルの設定(続き)
フィールド
説明
NTLM 認証
キャプティブ ポータルが NTLM 認証に設定されている場合、ファイア
ウォールは暗号化されたチャレンジ レスポンス機構を使用して、ブラウ
ザからユーザーの認証情報を取得します。適切に設定されている場合、
ブラウザはユーザーに入力を求めずに透過的にファイアウォールに認証
情報を提供しますが、必要に応じて認証情報の入力を求めるメッセージ
が 表 示 されます。ブラウザが NTLM を実行できない場合、または
NTLM 認証に失敗した場合、キャプティブ ポータル設定に応じてファ
イアウォールは Web フォームまたはクライアント証明書の認証に戻り
ます。
デフォルトでは、IE で NTLM がサポートされています。Firefox と Chrome
は、NLTM を使用するように設定できます。Windows 以外のクライア
ントの認証には NTLM を使用できません。Windows ベースの User-ID
エージェントで NTLM を使用するように設定するには、以下を指定し
ます。
• 試行回数 — NTLM 認証が失敗するまでの試行回数を指定します(範囲
は 1 ~ 60、デフォルトは 1)。
• タイムアウト — NTLM 認証がタイムアウトするまでの秒数を指定しま
す(範囲は 1 ~ 60 秒、デフォルトは 2 秒)。
• 復帰時間 — エージェントが使用できなくなってから User-ID エージェ
ント リストの最初のエージェントに対してファイアウォールが交信を
再試行するまでの時間を指定します(指定可能範囲は 60 ~ 3600 秒、
デフォルトは 300 秒)。
注:これらのオプションは、ドメイン サーバーにインストールされた
User-ID エージェントにのみ適用されます。デバイス上の User-ID エー
ジェントを使用する場合、ファイアウォールがドメインに参加するに
は、ファイアウォールでドメイン コントローラの DNS 名を正常に解決
できるようにする必要があります。その後、[ユーザー マッピング] タブ
で NTLM 認証処理を有効にし、ファイアウォールにドメインに参加す
る認証情報を入力できます。手順を追った詳しい説明については、
『PAN-OS 管理者ガイド』を参照してください。
418 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
第8章
IPSec トンネルの設定
このセクションでは、仮想プライベート ネットワーク (VPN) の基本的なテクノロジについ
て述べ、Palo Alto Networks ファイアウォールで IP Security (IPSec) VPN を設定および管理
する方法について詳しく説明します。
以下のトピックを参照してください。
• 「IKE ゲートウェイの定義」
• 「IPSec トンネルのセットアップ」
• 「IKE 暗号プロファイルの定義」
• 「IPSec 暗号プロファイルの定義」
• 「GlobalProtect の IPSec 暗号プロファイルの定義」
IKE ゲートウェイの定義
[Network] > [ネットワーク プロファイル] > [IKE ゲートウェイ]
このページを使用して、ゲートウェイを管理または定義します。このページには、ピア ゲー
トウェイに対して Internet Key Exchange (IKE) プロトコル ネゴシエーションを実行するため
に必要な設定情報が含まれています。これは、IKE/IPSec VPN セットアップのフェーズ 1 の
部分です。
IKE ゲートウェイを管理、設定、再起動、または更新する方法については、以下を参照して
ください。
• 「IKE ゲートウェイの管理」
• 「IKE ゲートウェイの [全般] タブ」
• 「IKE ゲートウェイの [詳細オプション] タブ」
• 「IKE ゲートウェイの再起動または更新」
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 419
IKE ゲートウェイの定義
IKE ゲートウェイの管理
[Network] > [ネットワーク プロファイル] > [IKE ゲートウェイ]
以下の表は、IKE ゲートウェイの管理方法を示しています。
表 195 IKE ゲートウェイの管理
フィールド
説明
追加
新しい IKE ゲートウェイを作成するには、[追加] をクリックします。新
しいゲートウェイの設定手順については、「IKE ゲートウェイの [全般]
タブ」および「IKE ゲートウェイの [詳細オプション] タブ」を参照して
ください。
削除
ゲートウェイを削除するには、ゲートウェイを選択して [削除] をクリッ
クします。
有効化
無効になっているゲートウェイを有効にするには、ゲートウェイを選択
して [有効化] をクリックします。デフォルト設定では、ゲートウェイは
有効になっています。
無効化
ゲートウェイを無効にするには、ゲートウェイを選択して [無効化] をク
リックします。
IKE ゲートウェイの [全般] タブ
[Network] > [ネットワーク プロファイル] > [IKE ゲートウェイ]
以下の表は、IKE ゲートウェイの設定方法における最初の手順を示しています。IKE は、
IKE/IPSec VPN プロセスのフェーズ 1 です。これらの手順を実行した後、「IKE ゲートウェ
イの [詳細オプション] タブ」を参照してください。
表 196. IKE ゲートウェイの一般設定
フィールド
説明
名前
ゲートウェイを識別する名前を入力します(最大 31 文字)。名前の大文
字と小文字は区別されます。また、一意の名前にする必要があります。
文字、数字、スペース、ハイフン、およびアンダースコアのみを使用し
てください。
バージョン
IKE のバージョンを選択します。このバージョンは、ゲートウェイでサ
ポートされ、ゲートウェイがピア ゲートウェイと使用することに合意す
る 必 要 があります。[IKEv1 only mode]、[IKEv2 only mode]、または
[IKEv2 preferred mode] から選択します。[IKEv2 preferred mode] を選
択すると、ゲートウェイは、IKEv2 を使用してよいかどうかをネゴシ
エートします。ピアも IKEv2 をサポートしている場合は、IKEv2 が使用
されます。それ以外の場合、ゲートウェイは IKEv1 を使用します。
IPv4 / IPv6
ゲートウェイが使用する IP アドレスのタイプを選択します。
420 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
IKE ゲートウェイの定義
表 196. IKE ゲートウェイの一般設定(続き)
フィールド
説明
インターフェイス
VPN トンネルに対する出力ファイアウォール インターフェイスを選択
します。
ローカル IP アドレス
トンネルのエンドポイントとなるローカル インターフェイスの IP アド
レスを選択または入力します。
ピア IP タイプ
トンネルの反対側の終端にあるピアについて、[スタティック] または [ダ
イナミック] を選択します。
ピア IP アドレス
[ピア IP タイプ] に [スタティック] を選択した場合は、トンネルの遠端
にあるピアの IP アドレスを指定します。
認証
ピア ゲートウェイで実行される認証のタイプとして、[事前共有鍵] また
は [証明書] を選択します。選択した項目に応じて、「事前共有鍵 フィー
ルド」または「証明書フィールド」を参照してください。
事前共有鍵
フィールド
事前共有鍵
再入力 事前共有鍵
ローカル ID
[事前共有鍵] を選択した場合は、トンネル間の対称認証に使用される単
一のセキュリティ キーを入力します。[事前共有鍵] の値は、管理者が作
成する文字列です。
ローカル ゲートウェイのフォーマットと ID を定義します。このフォー
マットと ID は、IKEv1 フェーズ 1 SA および IKEv2 SA の両方を確立す
るために、事前共有鍵とともに使用されます。
[FQDN(ホスト名)]、[IP アドレス]、[KEYID(HEX のバイナリ フォー
マット ID ストリング)]、[ユーザー FQDN(電子メール アドレス)] の
いずれかのタイプを選択し、その値を入力します。
値を指定しないと、ローカル IP アドレスがローカル ID の値として使用
されます。
ピア ID
ピア ゲートウェイのタイプと ID を定義します。このタイプと ID は、
IKEv1 フェーズ 1 SA および IKEv2 SA の確立時に、事前共有鍵とともに
使用されます。
[FQDN(ホスト名)]、[IP アドレス]、[KEYID(HEX のバイナリ フォー
マット ID ストリング)]、[ユーザー FQDN(電子メール アドレス)] の
いずれかのタイプを選択し、その値を入力します。
値を指定しないと、ピア IP アドレスが [ピア ID] の値として使用されます。
証明書フィールド
ローカル証明書
[認証] のタイプとして [証明書] をドロップダウンから選択した場合は、
ファイアウォール上にすでに存在する証明書を選択します。
以下の方法で証明書をインポートしたり、新しい証明書を生成したりす
ることもできます。
インポートする場合
• 証明書名 — インポートする証明書の名前を入力します。
• 共有 — この証明書を複数の仮想システムで共有する場合にクリックし
ます。
• 証明書ファイル — [参照] ボタンをクリックし、証明書ファイルが配置
されている場所に移動します。ファイルをクリックして [開く] を選択
すると、[証明書ファイル] フィールドに証明書ファイルが設定されます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 421
IKE ゲートウェイの定義
表 196. IKE ゲートウェイの一般設定(続き)
フィールド
説明
• ファイル フォーマット — 以下のいずれかを選択します。
– Base64 エンコード済み証明書 (PEM) — 鍵ではなく、証明書が含ま
れます。クリアテキストです。
– 暗号化された秘密鍵と証明書 (PKCS12) — 証明書と鍵の両方が含ま
れます。
• 秘密鍵はハードウェア セキュリティ モジュール上にあります — ファ
イアウォールが、鍵が存在する HSM サーバーのクライアントである
場合にクリックします。
• 秘密鍵のインポート — 証明書ファイルとは別のファイル内にあるため
に秘密鍵をインポートする必要がある場合にクリックします。
– キー ファイル — キー ファイルを参照し、インポートするキー ファ
イルに移動します。このエントリは、[ファイル フォーマット] とし
て [PEM] を選択した場合に使用可能です。
– パスフレーズおよびパスフレーズの確認 — 鍵にアクセスするために
入力します。
生成する場合
• 証明書名 — 作成する証明書の名前を入力します。
• 共通名 — 共通名を入力します。これは、証明書に表記される IP アド
レスまたは FQDN です。
• 共有 — この証明書を複数の仮想システムで共有する場合にクリックし
ます。
• 署名者 — [外部認証局 (CSR)] を選択するか、ファイアウォールの IP ア
ドレスを入力します。このエントリは、CA である必要があります。
• 認証局 — ファイアウォールがルート CA の場合にクリックします。
• OCSP レスポンダ — 証明書が有効かどうかを追跡する OCSP を入力し
ます。
• アルゴリズム — 証明書の鍵を生成するために [RSA] または [Elliptic
Curve DSA] を選択します。
• ビット数 — 鍵のビット数として [512]、[1024]、[2048]、または [3072]
を選択します。
• ダイジェスト — ハッシュからの文字列を元に戻す方法として、[MD5]、
[SHA1]、[SHA256]、[SHA384]、または [SHA512] を選択します。
• 有効期限(日)— 証明書が有効である日数を入力します。
• 証明書の属性:タイプ — 必要に応じて、証明書に追加で含める属性タ
イプをドロップダウンから選択します。
• 値 — 属性の値を入力します。
HTTP 証明書の交換
ハッシュ & URL 方式を使用して証明書の取得場所をピアに通知するに
は、[HTTP 証明書の交換] をクリックし、[証明書 URL] を入力します。[証
明書 URL] は、証明書を保存したリモート サーバーの URL です。
ピアもハッシュ & URL をサポートしていることがわかった場合は、
SHA1 ハッシュ & URL 交換を通じて証明書が交換されます。
IKE 証明書ペイロードを受信すると、ピアは HTTP URL を参照し、その
サーバーから証明書を取得します。ピアは、証明書ペイロードに指定さ
れたハッシュを使用して、HTTP サーバーからダウンロードした証明書
をチェックします。
422 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
IKE ゲートウェイの定義
表 196. IKE ゲートウェイの一般設定(続き)
フィールド
説明
ローカル ID
ローカル ピアが証明書でどのように識別されるかを指定します。
[Distinguished Name (Subject)]、[FQDN (hostname)]、[IP address]、
[User FQDN (email address)] のいずれかのタイプを選択し、その値を入
力します。
ピア ID
リモート ピアが証明書でどのように識別されるかを指定します。
[Distinguished Name (Subject)]、[FQDN (hostname)]、[IP address]、
[User FQDN (email address)] のいずれかのタイプを選択し、その値を入
力します。
ピア ID チェック
[完全] または [ワイルドカード] を選択します。この設定は、証明書の検
証 のために検査されるピア ID に適用されます。ピア ID の名前が
domain.com であったと仮定します。[完全] を選択した場合、IKE ID ペ
イロードの証明書に指定されたピア ID の名前が mail.domain2.com で
あったとすると、IKE ネゴシエーションは失敗します。しかし、[ワイル
ドカード] を選択した場合、名前文字列の * の前の文字はすべて一致する
必要がありますが、* の後の文字は異なっていてもかまいません。
ピ ア ID と 証 明 書 ペ イ
ロード ID の不一致を許
可する
ピア ID が証明書ペイロードに一致しなくても IKE SA を正常に確立でき
るように柔軟性を持たせる場合は、このオプションを選択します。
証明書プロファイル
プロファイルを選択するか、新しい証明書プロファイルを作成します。
このプロファイルにより、ローカル ゲートウェイからピア ゲートウェ
イへと送信される証明書に適用される証明書オプションが設定されま
す。「証明書プロファイルの作成」を参照してください。
ピアの拡張鍵使用の厳密
な検証を有効にする
鍵の使用方法を厳密に制御する場合は、このオプションを選択します。
IKE ゲートウェイの [詳細オプション] タブ
[Network] > [ネットワーク プロファイル] > [IKE ゲートウェイ]
このタブを使用して、IKE ゲートウェイの詳細設定を設定します。
表 197. IKE ゲートウェイの [詳細オプション]
フィールド
説明
パッシブ モードを有効
にする
クリックすると、ファイアウォールは IKE 接続に応答するのみで、IKE
接続を開始しなくなります。
NAT トラバーサルを
有効にする
クリックすると、IKE および UDP プロトコルで UDP カプセル化が使用
され、中間 NAT デバイスを通過できるようになります。
IPSec VPN 端点の間のデバイスでネットワーク アドレス変換(NAT) が
設定されている場合は、NAT トラバーサルを有効にします。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 423
IKE ゲートウェイの定義
表 197. IKE ゲートウェイの [詳細オプション](続き)
フィールド
説明
[IKEv1] サブタブ
交換モード
[自動]、[アグレッシブ]、または [メイン] を選択します。[自動] モード
(デフォルト)の場合、デバイスは、[メイン] モードと [アグレッシブ]
モードの両方のネゴシエーション要求を受け入れることができますが、
可能なときはいつでもネゴシエーションを開始し、[メイン] モードで鍵
交換を行えます。ピア デバイスは同じ鍵交換モードで設定し、最初のデ
バイスから開始されたネゴシエーション要求を受け入れられるようにす
る必要があります。
IKE 暗号プロファイル
既存のプロファイルを選択するか、デフォルト プロファイルを維持する
か、新しいプロファイルを作成します。IKEv1 と IKEv2 用に選択したプ
ロファイルは異なる場合があります。
IKE 暗号プロファイルの詳細は、「IKE 暗号プロファイルの定義」を参
照してください。
フラグメンテーションを
有効にする
クリックすると、ローカル ゲートウェイが IKE フラグメント パケット
を受信できるようになります。最大フラグメント パケット サイズは 576
バイトです。
デッド ピア検出
クリックして有効にし、間隔(2 ~ 100 秒)と、再試行までの遅延時間
(2 ~ 100 秒)を入力します。デッドピア検出 (DPD) は、非アクティブ
または使用不能な IKE ピアを識別します。ピアが使用不能になった場合
の失われたリソースの復元に役立ちます。
[IKEv2] サブタブ
IKE 暗号プロファイル
既存のプロファイルを選択するか、デフォルト プロファイルを維持する
か、新しいプロファイルを作成します。IKEv1 と IKEv2 用に選択したプ
ロファイルは異なる場合があります。
IKE 暗号プロファイルの詳細は、「IKE 暗号プロファイルの定義」を参
照してください。
Cookie の厳密な検証
クリックすると、IKE ゲートウェイで [Cookie の厳密な検証] が有効に
なります。
• [Cookie の厳密な検証] を有効にすると、IKEv2 Cookie が常に検証され
るようになります。イニシエータは、Cookie を含む IKE_SA_INIT を
送信する必要があります。
• [Cookie の厳密な検証] を無効にすると(デフォルト設定)、VPN セッ
ションの設定であるグローバルな [Cookie アクティベーションのしき
い値] と照らして、ハーフオープン SA の数が確認されます。ハーフ
オープン SA の数が [Cookie アクティベーションのしきい値] を超えた
場合、イニシエータは、Cookie を含む IKE_SA_INIT を送信する必要
があります。
424 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
IKE ゲートウェイの定義
表 197. IKE ゲートウェイの [詳細オプション](続き)
フィールド
説明
ライブネス チェック
IKEv2 の [ライブネス チェック] は常にオンになっています。すべての
IKEv2 パケットは、ライブネス チェックのために使用されます。この
ボックスをクリックすると、ピアがアイドル状態になって所定の秒数が
経過したときに、空の情報パケットが送信されます。範囲:2 ~ 100。デ
フォルト:5。
必要な場合、IKEv2 パケットを送信しようとする側は、ライブネス チェッ
クを最大 10 回試行します(すべての IKEv2 パケットがリトランスミッ
ション設定に影響します)。応答が得られない場合、送信側は IKE_SA と
CHILD_SA を閉じて削除します。送信側は、別の IKE_SA_INIT を送信し
て、もう一度やり直します。
IKE ゲートウェイの再起動または更新
[Network] > [IPSec トンネル]
[IPSec トンネル] ページを開くと、トンネルの状態が表示されます。2 番目の [状態] 列に
は、[IKE 情報] へのリンクがあります。再起動または更新するゲートウェイのリンクをク
リックします。[IKE 情報] ページが開きます。リストのエントリのいずれかをクリックし、[再
起動] または [更新] をクリックします。
表 198 IKE ゲートウェイの再起動または更新
フィールド
説明
再起動
選択したゲートウェイを再起動します。再起動すると、トラフィックのトン
ネル通過が中断されます。IKEv1 と IKEv2 の再起動の動作は、以下のように
異なります。
• IKEv1 — フェーズ 1 SA またはフェーズ 2 SA は、別々に再起動(クリア)
でき、その SA のみが影響を受けます。
• IKEv2 — IKEv2 SA を再起動すると、子 SA(IPSec トンネル)がすべてク
リアされます。
– IKEv2 SA を再起動すると、基礎となる IPSec トンネルもすべてクリアさ
れます。
– IKEv2 SA に関連付けられている IPSec トンネル(子 SA)を再起動して
も、その IKEv2 SA には影響が及びません。
更新
Palo Alto Networks
IKE SA の現在の状態を表示します。
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 425
IPSec トンネルのセットアップ
IPSec トンネルのセットアップ
[Network] > [IPSec トンネル]
[IPSec トンネル] ページを使用して、ファイアウォール間の IPSec VPN トンネルを設定およ
び管理します。これは、IKE/IPSec VPN セットアップのフェーズ 2 の部分です。
IPSec VPN トンネルを管理する方法については、以下を参照してください。
• 「IPSec VPN トンネルの管理」
IPSec トンネルを設定するには、以下の 2 つのタブを使用します。
• 「IPSec トンネルの [全般] タブ」
• 「IPSec トンネルの [プロキシ ID] タブ」
IPSec トンネルの状態を表示する方法については、以下を参照してください。
• 「ファイアウォールの IPSec トンネル状態の表示」
IPSec トンネルを再起動または更新する方法については、以下を参照してください。
• 「IPSec トンネルの再起動または更新」
IPSec VPN トンネルの管理
[Network] > [IPSec トンネル]
以下の表は、IPSec VPN トンネルの管理方法を示しています。
表 199 IPSec VPN トンネルの管理
フィールド
説明
追加
新しい IPSec VPN トンネルを作成するには、[追加] をクリックします。
新しいトンネルの設定手順については、「IPSec トンネルの [全般] タ
ブ」を参照してください。
削除
トンネルを削除するには、トンネルを選択して [削除] をクリックします。
有効化
無効になっているトンネルを有効にするには、トンネルを選択して [有
効化] をクリックします。デフォルト設定では、トンネルは有効になっ
ています。
無効化
トンネルを無効にするには、トンネルを選択して [無効化] をクリックし
ます。
426 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
IPSec トンネルのセットアップ
IPSec トンネルの [全般] タブ
表 200. IPSec トンネルの [全般] タブ設定
フィールド
説明
名前
トンネルを識別する名前を入力します(最大 63 文字)。名前の大文字
と小文字は区別されます。また、一意の名前にする必要があります。文
字、数字、スペース、ハイフン、およびアンダースコアのみを使用して
ください。
このフィールドの制限文字数の 63 文字には、プロキシ ID およびトンネ
ル名が含まれ、コロンで区切られています。
トンネル インターフェ
イス
既存のトンネル インターフェイスを選択するか、[新規トンネル イン
ターフェイス] をクリックします。トンネル インターフェイスの作成の
詳細は、「トンネル インターフェイスの設定」を参照してください。
IPv4 / IPv6
[IPv4] または [IPv6] を選択し、トンネルのエンドポイントの IP アドレ
ス タイプを設定します。
タイプ
自動的に生成されるセキュリティ キーを使用するのか、手動で入力する
セキュリティ キーを使用するのかを選択します。[自動キー] を使用する
ことをお勧めします。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 427
IPSec トンネルのセットアップ
表 200. IPSec トンネルの [全般] タブ設定(続き)
フィールド
説明
自動キー
[自動キー] を選択する場合、以下の内容を指定します。
• IKE ゲートウェイ — IKE ゲートウェイの設定の詳細は、「IKE ゲート
ウェイの定義」を参照してください。
• IPSec 暗号プロファイル — 既存のプロファイルを選択するか、デフォ
ルトのプロファイルを使用します。新しいプロファイルを定義するに
は、[新規] をクリックして「IPSec 暗号プロファイルの定義」の手順
を実行します。
• [詳細オプションの表示] をクリックすると、残りのフィールドにアクセ
スできます。
• リプレイ プロテクションを有効にする — リプレイ攻撃から保護するに
は、このオプションを選択します。
• TOS ヘッダーのコピー — 元の TOS 情報を保持するため、カプセル化
されたパケットの内部 IP ヘッダーから外部 IP ヘッダーに TOS (Type
of Service) フィールドをコピーします。このオプションでは、ECN
(Explicit Congestion Notification) フィールドもコピーされます。
• トンネル モニター — デバイス管理者にトンネルの障害についてアラー
トを送信し、別のインターフェイスへの自動フェイルオーバーを実行す
るには、このオプションを選択します。モニタニングする場合は、トン
ネル インターフェイスに IP アドレスを割り当てる必要があります。
– 宛先 IP — トンネルが正常に動作しているかどうかを判別するために
トンネル モニターが使用する、トンネルの反対側の IP アドレスを
指定します。
– プロファイル — トンネルで障害が発生した場合に実行されるアクショ
ンを決める、既存のプロファイルを選択します。モニター プロファ
イルに指定されたアクションが待機 / 回復の場合、ファイアウォー
ルは、トンネルが機能するようになるまで待機し、ルート テーブル
で代替パスを探すことはしません。フェイルオーバー アクションを
使用する場合、ファイアウォールはルート テーブルを調べ、宛先に
到達するために使用できる代替ルートがないか確認します。詳細
は、「モニター プロファイルの定義」を参照してください。
428 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
IPSec トンネルのセットアップ
表 200. IPSec トンネルの [全般] タブ設定(続き)
フィールド
説明
手動キー
[手動キー] を選択する場合、以下の内容を指定します。
• ローカル SPI — ローカル ファイアウォールからピアへのパケット ト
ラバーサルのローカル セキュリティ パラメータ インデックス (SPI) を
指定します。SPI は、IPSec トラフィック フローの区別を支援するために
IPSec トンネルのヘッダーに追加されている 16 進インデックスです。
• インターフェイス — トンネルの終端であるインターフェイスを選択し
ます。
• ローカル アドレス — トンネルの終端となるローカル インターフェイ
スの IP アドレスを選択します。
• リモート SPI — リモート ファイアウォールからピアへのパケット ト
ラバーサルのリモート セキュリティ パラメータ インデックス (SPI) を
指定します。
• プロトコル — トンネルを経由するトラフィックのプロトコルを選択し
ます(ESP または AH)。
• 認証 — トンネル アクセスの認証タイプを選択します(SHA1、
SHA256、SHA384、SHA512、MD5、または なし)。
• キー / 再入力 キー — 認証鍵を入力して確認します。
• 暗号化 — トンネル トラフィックの暗号化オプションとして、[3des]、
[aes-128-cbc]、[aes-192-cbc]、[aes-256-cbc]、または [null] [ 暗号 化な
し] を選択します。
• キー / 再入力 キー — 暗号化鍵を入力して確認します。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 429
IPSec トンネルのセットアップ
表 200. IPSec トンネルの [全般] タブ設定(続き)
フィールド
説明
GlobalProtect サテラ
イト
[GlobalProtect サテライト] を選択する場合は、以下の設定項目を指定し
ます。
• 名前 — トンネルを識別する名前を入力します(最大 31 文字)。名前
の大文字と小文字は区別されます。また、一意の名前にする必要があ
ります。文字、数字、スペース、ハイフン、およびアンダースコアの
みを使用してください。
• トンネル インターフェイス — 既存のトンネル インターフェイスを選
択するか、[新規トンネル インターフェイス] をクリックします。
• ポータル アドレス — GlobalProtect ポータルの IP アドレスを入力し
ます。
• インターフェイス — ドロップダウンから、GlobalProtect ポータルに
到達するための出力インターフェイスを選択します。
• ローカル IP アドレス — GlobalProtect ポータルに接続する出力インター
フェイスの IP アドレスを入力します。
詳細オプション
• 静的なすべての接続済みルートをゲートウェイに公開 — サテライト デ
バイスから、このサテライトが接続されている GlobalProtect ゲートウェ
イにすべてのルートを公開するには、このオプションを選択します。
• サブネット — [追加] をクリックして、サテライトの場所のローカル サ
ブネットを手動で追加します。他のサテライトが同じサブネット情報
を使用している場合は、すべてのトラフィックをそのトンネル イン
ターフェイス IP に NAT を行う必要があります。また、この場合はサ
テライトがルートを共有することはできないため、すべてのルーティ
ングはトンネル IP を介して行われます。
• 外部認証局 — 外部 CA を使用して証明書を管理する場合は、このオプ
ションを選択します。証明書を生成した後は、それらの証明書をデバ
イスにインポートし、使用する [ローカル証明書] および [証明書プロ
ファイル] を選択することが必要になります。
IPSec トンネルの [プロキシ ID] タブ
IPSec トンネルの [プロキシ ID] タブは、[IPv4] および [IPv6] という 2 つのタブに分かれて
います。どちらのタイプもヘルプは同様の内容です。[IPv4] と [IPv6] の違いは、以下の表の
[ローカル] フィールドと [リモート] フィールドに示されています。
IPSec トンネルの [プロキシ ID] タブは、IKEv2 のトラフィック セレクタを指定する場合に
も使用されます。
表 201. IPSec トンネルの [プロキシ ID] の [IPv4] タブと [IPv6] タブの設定
フィールド
説明
プロキシ ID
[追加] をクリックし、プロキシを識別する名前を入力します。
IKEv2 トラフィック セレクタの場合、このフィールドは名前として使用
されます。
430 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
IPSec トンネルのセットアップ
表 201. IPSec トンネルの [プロキシ ID] の [IPv4] タブと [IPv6] タブの設定(続き)
フィールド
説明
ローカル
IPv4 の場合:IP アドレスまたはサブネットを x.x.x.x/mask 形式で入力
します(たとえば、10.1.2.0/24 のように入力します)。
IPv6 の場合:IP アドレスとプレフィックス長を
xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx/prefix-length 形式で入力しま
す(つまり、IPv6 の規則に従い、たとえば、2001:DB8:0::/48 のように入
力します)。
IPv6 アドレッシングでは、すべてのゼロを記述する必要はありません。
先行するゼロは省略でき、連続するゼロの 1 つのグループは隣り合う 2 つ
のコロン (::) で置き換えることができます。
IKEv2 トラフィック セレクタの場合、このフィールドは送信元 IP アド
レスに変換されます。
リモート
ピアで必要な場合は、以下のようにします。
IPv4 の場合は、IP アドレスまたはサブネットを x.x.x.x/mask 形式で入
力します(たとえば、10.1.1.0/24 のように入力します)。
IPv6 の場合は、IP アドレスとプレフィックス長を
xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx/prefix-length 形式で入力しま
す(つまり、IPv6 の規則に従い、たとえば、2001:DB8:55::/48 のように
入力します)。
IKEv2 トラフィック セレクタの場合、このフィールドは宛先 IP アドレ
スに変換されます。
プロトコル
ローカルおよびリモート ポートのプロトコルとポート番号を指定します。
• 番号 — プロトコル番号(サードパーティ デバイスとの相互運用性を
実現するために使用)を指定します。
• any — TCP や UDP トラフィックを許可します。
• TCP — ローカルおよびリモートの TCP ポート番号を指定します。
• UDP — ローカルおよびリモートの UDP ポート番号を指定します。
設定された各プロキシ ID は、ファイアウォールの IPSec VPN トンネル
容量に影響しません。
このフィールドは、IKEv2 トラフィック セレクタとしても使用されます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 431
IKE 暗号プロファイルの定義
ファイアウォールの IPSec トンネル状態の表示
[Network] > [IPSec トンネル]
現在定義されている IPSec VPN トンネルの状態を表示するには、[IPSec トンネル] ページを
開きます。このページには、以下の状態情報が表示されます。
• トンネルの状態(最初の [状態] 列)— 緑は、IPSec フェーズ 2 セキュリティ アソシエー
ション (SA) トンネルを表します。赤は、IPSec フェーズ 2 SA が使用できないか、有効
期限が切れていることを表します。
• IKE ゲートウェイの状態 — 緑は、IKE フェーズ 1 SA または IKEv2 IKE SA が有効である
ことを表します。赤は、IKE フェーズ 1 SA が使用できないか、有効期限が切れているこ
とを表します。
• トンネル インターフェイスの状態 — 緑は、(トンネル モニターが無効であるか、また
はトンネル モニターの状態がアップで、モニタリング IP アドレスにアクセス可能であ
るため)トンネル インターフェイスがアップしていることを表します。赤は、トンネル
モニターが有効で、リモート トンネル モニタリング IP アドレスがアクセス不可である
ために、トンネル インターフェイスがダウンしていることを表します。
IPSec トンネルの再起動または更新
[Network] > [IPSec トンネル]
[IPSec トンネル] ページを開くと、トンネルの状態が表示されます。最初の [状態] 列には、[ト
ンネル情報] へのリンクがあります。再起動または更新するトンネルのリンクをクリックし
ます。そのトンネルの [トンネル情報] ページが開きます。リストのエントリのいずれかをク
リックし、[再起動] または [更新] をクリックします。
表 202 IPSec トンネルの再起動または更新
フィールド
説明
再起動
選択したトンネルを再起動します。再起動すると、トラフィックのトンネル
通過が中断されます。
更新
IPSec SA の現在の状態を表示します。
IKE 暗号プロファイルの定義
[Network] > [ネットワーク プロファイル] > [IKE 暗号]
[IKE 暗号プロファイル] ページを使用して、識別、認証、および暗号化のプロトコルとアル
ゴリズムを指定します(IKEv1 または IKEv2、フェーズ 1)。
アルゴリズムまたはグループのリスト順序を変更するには、項目を選択して、上へアイコン
または下へアイコンをクリックします。この順序によって、リモート ピアと設定をネゴシ
エートするときに最初に選択される設定が決まります。リストの 1 番上にある設定から試行
され、成功するまでその下にある設定が順次試行されていきます。
432 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
IKE 暗号プロファイルの定義
表 203. IKE 暗号プロファイル設定
フィールド
説明
名前
プロファイルの名前を入力します。
DH グループ
DH (Diffie-Hellman) グループの優先度を選択します。[追加] をクリックし、
[group1]、[group2]、[group5]、[group14]、[group19]、または [group20] の
いずれかのグループを選択します。セキュリティを最大限に高めるた
め、項目を選択し、[上へ] または [下へ] アイコンをクリックして、数値
ID が高いほうのグループがリストの上位になるように移動します。たと
えば、group14 を group2 よりも上に移動します。
認証
ハッシュ アルゴリズムの優先度を指定します。[追加] をクリックしてア
ルゴリズムを選択します。セキュリティを最大限に高めるため、項目を
選択して上へアイコンまたは下へアイコンをクリックし、順序が(高い
順から)[sha512]、[sha384]、[sha256]、[sha1]、[md5] になるように変
更します。
暗号化
目的の Encapsulating Security Payload (ESP) 認証オプションのチェック
ボックスをオンにします。[追加] をクリックしてアルゴリズムを選択し
ます。セキュリティを最大限に高めるため、項目を選択して上へアイコ
ンまたは下へアイコンをクリックし、順序が(高い順から)[aes-256cbc]、[aes-192-cbc]、[aes-128-cbc]、[3des] になるように変更します。
キーの有効期間
単位を選択し、ネゴシエートされた IKE フェーズ 1 キーの有効期間を選
択します。デフォルト設定は 8 時間です。
• IKEv2 — キーの有効期間が切れる前に、SA のキーを再生成する必要が
あります。そうしないと、有効期限が切れたときに、SA は新しい
フェーズ 1 キー ネゴシエーションを開始する必要があります。
• IKEv1 — 有効期限が切れないうちに前もってフェーズ 1 キーを再生成
することはありません。IKEv1 IPSec SA の有効期限が切れてはじめ
て、IKEv1 フェーズ 1 キー再生成が起動されます。
IKEv2 多重認証
Palo Alto Networks
認証カウントを決定するために、キーの有効期間で乗算される値を指定
します(0 ~ 50 の範囲、デフォルト設定は 0)。認証カウントは、ゲート
ウェイが IKEv2 IKE SA キー再生成を実行できる回数で、この回数だけ
実行した後は、IKEv2 再認証をやり直す必要があります。値として 0 を
指定すると、再認証機能が無効になります。
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 433
IPSec 暗号プロファイルの定義
IPSec 暗号プロファイルの定義
[Network] > [ネットワーク プロファイル] > [IPSec 暗号]
IPSec SA ネゴシエーション(フェーズ 2)に基づいて、VPN トンネルでの認証および暗号化
のプロトコルとアルゴリズムを指定するには、[IPSec 暗号プロファイル] ページを使用します。
GlobalProtect ゲートウェイとクライアント間の VPN トンネルについては、
「GlobalProtect の IPSec 暗号プロファイルの定義」を参照してください。
表 204. IPSec 暗号プロファイル設定
フィールド
説明
名前
プロファイルを識別する名前を入力します(最大 31 文字)。名前の大
文字と小文字は区別されます。また、一意の名前にする必要がありま
す。文字、数字、スペース、ハイフン、およびアンダースコアのみを使
用してください。
IPSec プロトコル
VPN トンネルを横断するデータを保護するためのプロトコルを選択し
ます。
• ESP — Encapsulating Security Payload (ESP) プロトコルは、データの
暗号化、ソースの認証、およびデータ整合性の検証を行います。
• AH — Authentication Header (AH) プロトコルは、ソースの認証とデー
タ整合性の検証を行います。
暗号化(ESP プロトコル
のみ)
[追加] をクリックし、目的の暗号化アルゴリズムを選択します。セキュ
リティを最大限に高めるため、[上へ] ボタンと [下へ] ボタンを使用し
て、順序が(高い順から)[aes-256-gcm]、[aes-256-cbc]、[aes-192-cbc]、
[aes-128-gcm]、[aes-128-ccm](VM-Series ファイアウォールでは、この
オプションはサポートされません)、[aes-128-cbc]、[3des] になるよう
に変更します。null(暗号化なし)を選択することもできます。
認証
[追加] をクリックし、目的の認証アルゴリズムを選択します。セキュリ
ティを最大限に高めるため、[上へ] ボタンと [下へ] ボタンを使用して、
順序が(高い順から)[sha512]、[sha384]、[sha256]、[sha1]、[md5] に
なるように変更します。[IPSec プロトコル] が [ESP] の場合は、[なし]
(認証なし)を選択することもできます。
DH グループ
Internet Key Exchange (IKE) の Diffie-Hellman (DH) グループとして、
[group1]、[group2]、[group5]、[group14]、[group19]、または [group20]
を選択します。セキュリティを最も強化するには、数値が最も大きいグ
ループを選択します。IKE フェーズ 1 でファイアウォールが作成する鍵
を更新しない場合は、[no-pfs] (no perfect forward secrecy) を選択しま
す。ファイアウォールは、IPSec セキュリティ アソシエーション (SA) ネ
ゴシエーションで現在の鍵を再利用します。
ライフタイム
単位を選択し、ネゴシエートされた鍵の有効期間を入力します(デフォ
ルト設定は 1 時間)。
ライフサイズ
任意の単位を選択し、鍵が暗号化に使用できるデータ サイズを入力し
ます。
434 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
GlobalProtect の IPSec 暗号プロファイルの定義
GlobalProtect の IPSec 暗号プロファイルの定義
[Network] > [ネットワーク プロファイル] > [GlobalProtect の IPSec 暗号]
GlobalProtect の [IPSec Crypto Profiles] ページを使用して、GlobalProtect ゲートウェイと
クライアント間の VPN トンネルで認証および暗号化を行うためのアルゴリズムを指定しま
す。アルゴリズムを追加する順序は、デバイスがアルゴリズムを適用する順序であり、トン
ネルのセキュリティとパフォーマンスに影響する場合があります。順序を変更するには、[上
へ] ボタンと [下へ] ボタンを使用します。
GlobalProtect ゲートウェイとサテライト デバイス(ファイアウォール)
間の VPN トンネルについては、「IPSec 暗号プロファイルの定義」を参
照してください。
表 205. GlobalProtect の IPSec 暗号プロファイル設定
フィールド
説明
名前
プロファイルの識別に使用する名前を入力します。名前は大文字小文字
を区別し、一意の名前にする必要があります。最大 31 文字を使用でき
ます。文字、数字、スペース、ハイフン、およびアンダースコアのみを
使用してください。
暗号化
[追加] をクリックし、目的の暗号化アルゴリズムを選択します。セキュ
リ テ ィ を 最 も 強 化 す る に は、順 序 が(高 い 順 か ら)[aes-256-gcm]、
[aes-128-gcm]、[aes-128-cbc] になるように変更します。
認証
[追加] をクリックし、認証アルゴリズムを選択します。現在のオプショ
ンは、[sha1] のみです。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 435
GlobalProtect の IPSec 暗号プロファイルの定義
436 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
第9章
GlobalProtect の設定
GlobalProtect ポータルのセットアップ
[Network] > [GlobalProtect] > [ポータル]
このページを使用して、GlobalProtect ポータル設定をセットアップし、管理します。この
ポータルは、GlobalProtect インフラストラクチャの管理機能を提供します。GlobalProtect
ネットワークに参加するすべてのクライアント システムは、ポータルから設定情報を受信し
ます。これには、使用可能なゲートウェイ、ゲートウェイへの接続に必要になる可能性のあ
るクライアント証明書などの情報が含まれます。さらに、ポータルは、Mac と Windows 両
方のノートパソコンに対する GlobalProtect エージェント ソフトウェアの動作と配布を制御
します(モバイル デバイスの場合、GlobalProtect アプリケーションは、iOS デバイスへは
Apple App Store、Android デバイスへは Google Play から配布されます)。
ポータル設定を追加するには、[追加] をクリックして [GlobalProtect ポータル] ダイアログを
開きます。ダイアログの各タブに含まれるフィールドの詳細は、以下のセクションを参照し
てください。
• 「[ポータル設定] タブ」
• 「[クライアントの設定] タブ」
• 「[サテライト設定] タブ」
ポータルのセットアップ手順の詳細は、『GlobalProtect Administrator’s Guide
(GlobalProtect 管理者ガイド)』の「Configure a GlobalProtect Portal(GlobalProtect ポー
タルの設定)」を参照してください。
[ポータル設定] タブ
[ポータル設定] タブを使用して、ネットワーク設定を定義してエージェントがポータルに接
続できるようにし、ポータルがエンド クライアントを認証する方法を指定します。
さらに、このタブを使用し、必要に応じてカスタムの GlobalProtect ポータル ログイン ペー
ジとヘルプ ページを指定できます。こうしたカスタム ページを作成およびインポートする
方法の詳細は、『GlobalProtect Administrator’s Guide(GlobalProtect 管理者ガイド)』の
「Customize the Portal Login, Welcome, and Help Pages(ポータル ログイン ページ、ウェ
ルカム ページ、ヘルプ ページのカスタマイズ)」を参照してください。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 437
GlobalProtect ポータルのセットアップ
表 206. GlobalProtect ポータルの設定
フィールド
説明
名前
ポータルの名前を入力します(最大 31 文字)。名前の大文字と小文字は
区別されます。また、一意の名前にする必要があります。文字、数字、
スペース、ハイフン、およびアンダースコアのみを使用してください。
場所
マルチ仮想システム モードになっているファイアウォールの場合、[場
所] は GlobalProtect ポータルを使用できる仮想システム (vsys) になりま
す。マルチ仮想システム モードになっていないファイアウォールの場
合、[場所] フィールドは [GlobalProtect ポータル] ダイアログに表示され
ません。ポータルを保存すると、その [場所] を変更できなくなります。
ネットワーク設定
インターフェイス
リモートのクライアント / ファイアウォールで入力として使用される
ファイアウォール インターフェイスを選択します。
IP アドレス
GlobalProtect ポータル Web サービスが実行される IP アドレスを指定し
ます。
SSL/TLS サービス プロ
ファイル
GlobalProtect ポータルを保護するための証明書および許可されたプロ
トコルを指定するには、SSL/TLS サービス プロファイルを選択しま
す。詳細は、「SSL/TLS サービス プロファイルの管理」を参照してく
ださい。
プロファイルに関連付けられている証明書の共通名 (CN) フィールド
と、該当する場合は、サブジェクト代替名 (SAN) フィールドが、選択し
た [ イ ンターフェイス] の IP アドレスまたは完全修飾ドメイン名
(FQDN) と完全に一致する必要があります。
GlobalProtect の VPN 設定では、信頼できるサードパーティ CA の証明
書または内部のエンタープライズ CA が生成した証明書に関連付けられ
ているプロファイルを使用することをお勧めします。
認証
認証プロファイル
ポータルにアクセスするクライアント / サテライトを認証するための認
証プロファイルを選択します。LSVPN を設定している場合は、認証プ
ロファイルを選択しない限り、設定を保存できません。シリアル番号を
使用してサテライトを認証する予定であっても、このポータルでは、シ
リアル番号が見つからない場合または検証できない場合にフォールバッ
クする認証プロファイルが必要です。
「認証プロファイルのセットアップ」を参照してください。
認証メッセージ
ポータルへのログインにどの認証情報を使用するかをエンド ユーザーに
説明するメッセージを入力するか、デフォルトのメッセージを使用しま
す。メッセージの最大長は 50 文字です。
クライアント証明書
(任意)SSL 相互認証を使用する予定の場合は、クライアントがゲート
ウェイに提示する証明書を選択します。このクライアント証明書は、
エージェントの対応するクライアント設定に別のクライアント証明書が
含まれていない限り、ポータルで正常に認証されたすべてのエージェン
トに配布されます。内部 CA を使用して証明書をクライアントに配布す
る場合、このフィールドは空白のまま残します。
438 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
GlobalProtect ポータルのセットアップ
表 206. GlobalProtect ポータルの設定(続き)
フィールド
説明
証明書プロファイル
(任意)ポータルでユーザーを認証するために使用する証明書プロファ
イルを選択します。エンド ポイントに、内部の公開鍵インフラストラク
チャ (PKI) を使用して事前にデプロイされたクライアント証明書がすで
にある場合のみ、このオプションを使用します。
Appearance
ログイン ページを無効
にする
Web ブラウザから GlobalProtect ポータルのログイン ページへのアクセ
スを無効にする場合は、このオプションを選択します。
カスタム ログイン
ページ
ユーザーがポータルにアクセスするための、オプションのカスタム ログ
イン ページを選択します。
カスタム ヘルプ ページ
GlobalProtect を使用するユーザーを支援するオプションのカスタム ヘ
ルプ ページを選択します。
[クライアントの設定] タブ
[クライアントの設定] タブを使用して、正常に接続して認証されたエージェント / アプリケー
ションにポータルがデプロイする GlobalProtect クライアントの設定を定義します。
このタブでは、これらのコンポーネントでエンド クライアントが信頼していないサーバー証
明書が使用されている場合に、エンド クライアントがゲートウェイや GlobalProtect Mobile
Security Manager との HTTPS 接続を確立するために必要な信頼されたルート CA 証明書と
中間証明書を自動的にデプロイすることもできます。ここで追加した証明書は、クライアン
ト設定を使用してクライアントにプッシュされます。信頼されたルート CA 証明書を追加す
るには、[追加] をクリックしてリストから証明書を選択するか、[インポート] をクリックし
て証明書を参照し、ファイアウォールにインポートします。
別のクラスのユーザーに異なる設定が必要な場合は、それぞれに対して別個にクライアント
設定を作成できます。ポータルは、ユーザー名 / グループ名やクライアントの OS を使用し
て、デプロイするクライアント設定を判別します。セキュリティ ルール評価によって、ポー
タルはリストの先頭から一致を検索します。一致が見つかると、ポータルは対応する設定を
エージェント / アプリケーションに配信します。そのため、複数のクライアント設定がある
場合、設定を具体的なもの(つまり、特定のユーザーまたはオペレーティング システムの設
定)から汎用的なものへと並べることが重要です。設定を並べるには、[上へ] および [下へ]
ボタンを使用します。[追加] をクリックして、[設定] ダイアログを開き、新しいクライアン
ト 設 定 を 作 成 し ま す。ポ ー タ ル の 設 定 方 法 と ク ラ イ ア ン ト 設 定 の 作 成 方 法 の 詳 細 は、
『GlobalProtect Administrator’s Guide(GlobalProtect 管理者ガイド)』の「Configure the
GlobalProtect Portal(GlobalProtect ポータルの設定)」を参照してください。
[設定] ダイアログは、以下の表で説明する 5 つのタブで構成されます。
• [全般] タブ
• [ユーザー / ユーザー グループ] タブ
• [ゲートウェイ] タブ
• [エージェント] タブ
• [データ収集] タブ
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 439
GlobalProtect ポータルのセットアップ
表 207. GlobalProtect ポータルのクライアント設定
フィールド
説明
[全般] タブ
名前
このクライアント設定を識別する名前を入力します。
シングル サインオンの
使用
GlobalProtect がユーザーの Windows ログイン認証情報を使用して
GlobalProtect ポータルとゲートウェイに透過的に接続して認証できるよ
うにするには、このチェック ボックスをオンにします。ユーザーには、
エージェントの [設定] タブでユーザー名とパスワードの入力は要求され
ません。
設定の間隔更新(時間)
GlobalProtect エージェント設定を更新する間隔を時間数で指定します
(デフォルト:24 時間、有効範囲:1 ~ 168 時間)。
認証修飾子
• なし — ポータルは常に指定された認証プロファイルや証明書プロファ
イルを使用してエージェントを認証し、認証情報をゲートウェイに送
信します。これがデフォルトの設定です。
• 設定更新のための Cookie 認証 — ポータルに対する Cookie ベースの
エージェント認証を許可して、キャッシュされたクライアント設定を
更新できるようにします。
• Cookie 有効期間(日数)— このオプションは、[認証識別子] フィール
ドで [設定更新のための Cookie 認証] を選択した場合にのみ表示され
ます。このオプションを使用して、エージェントが設定更新を目的と
するポータルへの認証に Cookie を使用できる日数を指定します。値 0
(デフォルト)は、Cookie に期限がないことを示します。
• 外部ゲートウェイ用の別のパスワード — ポータルとゲートウェイが異
なる認証情報を使用していることを示します。ポータル認証が成功し
た後、ユーザーにはゲートウェイ パスワードの入力を要求するメッ
セージが表示されます。デフォルトでは、ポータルは、エージェント
がポータルへの認証に使用したものと同じパスワードをゲートウェイ
に送信します。
• 手動ゲートウェイのみ — このオプションは、[認証識別子] フィールド
で [外部ゲートウェイ用の別のパスワード] を選択した場合にのみ表示
されます。手動ゲートウェイとして設定されている別のゲートウェイ
では異なる認証メカニズムを使用できるようにする場合、このチェッ
ク ボックスをオンにします。たとえば、あるゲートウェイ セットには
常時接続用の Active Directory 認証情報を使用し、より機密度の高い
リソースを保護している別のゲートウェイ セットには、2 要素 OTP 認
証など、より強い認証メカニズムを使用することができます。
440 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
GlobalProtect ポータルのセットアップ
表 207. GlobalProtect ポータルのクライアント設定(続き)
フィールド
説明
接続方式
• On demand — ユーザーが要求に応じて接続を確立できるようにするに
は、このオプションを選択します。このオプションでは、ユーザーは
接続を明示的に開始する必要があります。この機能は、主にリモート
アクセス接続に使用されます。
• user-logon — このオプションを設定すると、GlobalProtect エージェン
トは、ユーザーがコンピュータにログインした後に自動的に接続を確
立します。[シングル サインオンの使用] を選択すると、Windows へ
のログインに使用したユーザー名とパスワードが GlobalProtect エー
ジェントによってキャプチャされ、認証で使用されます。
• ログオン前 — ユーザーがマシンにログインする前に、エージェントが
プリインストールされたマシン証明書を使用して GlobalProtect ゲート
ウェイへの認証を受け、VPN トンネルを確立できるようにします。ロ
グオン前接続方式を使用する場合、ログオン前を送信元ユーザーとし
て指定する GlobalProtect クライアント設定とセキュリティ ポリシー
を作成し、DHCP、DNS、Active Directory、アンチウイルスおよびオ
ペレーティング システムの更新サービスのような基本サービスのみへ
のアクセスを可能にして、ユーザーのログイン プロセスを更に高速化
することができます。この機能を使用するには、独自の公開鍵インフ
ラストラクチャ (PKI) を使用して証明書を発行し、エンド ユーザー シ
ステムに配布する必要があります。その後で、マシン証明書の発行に
使用したルート CA 証明書をファイアウォール(ポータルとゲート
ウェイの両方)にインポートしてから、対応する証明書プロファイル
を作成する必要があります。
クライアント証明書
SSL 相互認証を使用する場合、クライアントがゲートウェイに提示する
証明書を選択します。このクライアント証明書は、このクライアント設
定に一致するすべてのエージェントに配布されます。[ポータル設定] タ
ブで指定されたクライアント証明書も存在する場合、代わりにこの証明
書が使用されます。内部 PKI を使用して固有の証明書をエンド ポイン
トにデプロイしている場合、このフィールドは空白のまま残します。
Mobile Security
Manager
モバイル デバイス管理に GlobalProtect Mobile Security Manager を使用
している場合、GP-100 アプライアンス上のデバイス チェックイン / 登録
インターフェイスの IP アドレスまたは FQDN を入力します。
登録ポート
モバイル デバイスが登録のために GlobalProtect Mobile Security Manager
に 接 続 す る と き に 使 用 す る ポ ー ト 番 号。デ フ ォ ル ト で は、Mobile
Security Manager はポート 443 でリスンします。ベスト プラクティスと
して、登録プロセス中にモバイル デバイス ユーザーにクライアント証
明書の入力を要求するメッセージが表示されないように、この値のまま
にすることをお勧めします(デフォルト:443、有効値:443、7443、
8443)。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 441
GlobalProtect ポータルのセットアップ
表 207. GlobalProtect ポータルのクライアント設定(続き)
フィールド
説明
内部ホスト検出
このオプションを指定すると、GlobalProtect は、指定された IP アドレ
スに対する指定されたホスト名の DNS リバース ルックアップを実行し
ます。一致しない場合、GlobalProtect はエンド ポイントが企業ネット
ワーク外に存在すると見なし、[ゲートウェイ] タブに設定された使用可
能な任意の外部ゲートウェイとのトンネルを確立します。一致した場
合、エージェントは、エンド ポイントがネットワーク内にあると見な
し、内部ゲートウェイ(設定されている場合)に接続します。この場
合、外部ゲートウェイへの VPN 接続は作成しません。
DNS ルックアップを使用した内部ホスト検出を有効にするには、この
チェック ボックスをオンにします。以下を指定します。
• IP アドレス — 内部ホスト検出用の内部 IP アドレスを入力します。
• ホスト名 — 内部ネットワーク内で上記の IP アドレスに解決するホス
ト名を入力します。
[ユーザー / ユーザー グループ] タブ
クライアント設定を適用するユーザー / ユーザー グループまたはクライ
アント オペレーティング システム、あるいはその両方を指定します。
• ユーザー / ユーザー グループ — [追加] をクリックして、この設定を適
用する特定のユーザーまたはユーザー グループをリストから選択しま
す(表示するユーザーおよびグループのリストに対してグループ マッ
ピングが設定されている必要があります)。ログオン前モード(ユー
ザーがシステムにログオンする前)のエージェントにデプロイする設
定、または任意のユーザーに適用する設定を作成することもできます。
• OS — エンド システム上で実行されている特定のオペレーティング シ
ステムに基づいて設定をデプロイするには、ウィンドウの OS セク
ションで [追加] をクリックしてから、該当するオペレーティング シス
テム(Android、iOS、Mac、Windows のいずれか)を選択します。
または、設定をユーザー / グループのみに基づいてデプロイするに
は、このセクションの値を [いずれか] のままにします。
[ゲートウェイ] タブ
カットオフ時間
エージェントがゲートウェイの応答を待機する時間(秒)を指定しま
す。この時間が経過すると、最適な接続先のゲートウェイを判別しま
す。エージェントは、指定したカットオフ時間内に応答したゲートウェ
イにのみ接続を試みます。デフォルト値は 5 です。値 0 は、カットオフ
時間がないことを示し、エージェントは TCP のタイムアウトまで待機
します(有効範囲:0 ~ 10)。
内部ゲートウェイ
エージェントが認証され、HIP レポートを提供する内部ファイアウォー
ルを指定します。
442 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
GlobalProtect ポータルのセットアップ
表 207. GlobalProtect ポータルのクライアント設定(続き)
フィールド
説明
外部ゲートウェイ
企業ネットワーク上にない場合に、エージェントがトンネルの確立を試
みるファイアウォールのリストを指定します。[追加] をクリックし、外
部ゲートウェイごとに以下の情報を入力します。
• 名前 — ゲートウェイを識別するラベル(最大 31 文字)を入力します。
名前の大文字と小文字は区別されます。また、一意の名前にする必要
があります。文字、数字、スペース、ハイフン、およびアンダースコ
アのみを使用してください。
• アドレス — ゲートウェイが設定されているファイアウォール インター
フェイスの IP アドレスまたは FQDN。この値は、ゲートウェイ サー
バー証明書の CN(および指定されている場合は SAN)フィールドと
一致する必要があります(たとえば、FQDN を使用して証明書を生成
した場合、ここにも FQDN を入力する必要があります)。
• 優先順位 — エージェントが接続先のゲートウェイを判別しやすいよう
に値(最高、高、中、低、最低、手動のみ のいずれか)を選択 しま
す。エージェントはすべてのゲートウェイ(優先順位が [手動のみ] の
場合を除く)に接続し、最も応答が速く、優先順位が高い値を提供す
るファイアウォールとのトンネルを確立します。
• 手動 — ユーザーが手動でゲートウェイに接続(または切り替え)でき
るようにする場合は、このチェック ボックスをオンにします。
GlobalProtect エージェントは、[手動] 選択として設定されている外部
ゲートウェイであれば、どのゲートウェイにも接続することができま
す。新しいゲートウェイへの接続時には、既存のトンネルが切断さ
れ、新しいトンネルが確立されます。手動ゲートウェイでは、プライ
マリ ゲートウェイとは異なる認証方式を使用することもできます。ク
ライアント システムが再起動された場合や、再検出が実行された場
合、GlobalProtect エージェントはプライマリ ゲートウェイに接続しま
す。この機能は、ネットワークの保護されたセグメントにアクセスす
るため、特定のゲートウェイに一時的に接続する必要があるユーザー
グループが存在する場合に役立ちます。
[エージェント] タブ
このタブの設定では、ユーザーがシステム上にインストールされた
GlobalProtect エージェントをどのように操作するかを指定します。作成
したさまざまな GlobalProtect クライアント設定ごとに異なるエージェ
ント設定を定義できます。
パスコード / パスコー
ドの再入力
エージェントをオーバーライドするためにエンド ユーザーが入力する必
要があるパスコードを入力します。このフィールドは、[エージェント
ユーザーのオーバーライド] フィールドが [パスコード付き] に設定され
ている場合にのみ、必須です。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 443
GlobalProtect ポータルのセットアップ
表 207. GlobalProtect ポータルのクライアント設定(続き)
フィールド
説明
エージェント ユーザー
のオーバーライド
以下のオーバーライド オプションを選択します。
• 無効 — エンド ユーザーは GlobalProtect エージェントを無効できません。
• コメント付き — GlobalProtect エージェントを無効にするときに、ユー
ザーにコメントの入力を求めるメッセージが表示されます。
• パスコード付き — このオプションを指定すると、ユーザーが
GlobalProtect エージェントをオーバーライドするためのパスコードを
入力できます。このオプションを選択した場合は、[パスコード] およ
び [パスコードの再入力] フィールドにも値を入力する必要がありま
す。エージェントをオーバーライドするには、ユーザーがこの値を入
力する必要があります。
• チケット付き — このオプションを指定すると、クライアント側で
GlobalProtect エージェントの無効化を許可するためのチャレンジ-レ
スポンス メカニズムを有効にできます。このオプションが選択された
場合、ユーザーは GlobalProtec を無効にするときにチャレンジのプロ
ンプトが表示されます。その後、チャレンジが電話やメールなどの方
法でファイアウォール管理者に伝えられ、管理者はファイアウォール
管理インターフェイスを通じてチャレンジを検証できます。ファイア
ウォールはレスポンスを生成し、それがユーザーに伝えられます。
ユーザーは GlobalProtect エージェントからメッセージが表示された
ら、そのレスポンスを入力することで GlobalProtect を無効にすること
ができます。このオプションを使用する場合は、[クライアントの設定]
タブの最上位レベルで [エージェント ユーザーのオーバーライド キー]
フィールドにチケットを復号化するためのキーを入力する必要もあり
ます。
最大エージェント ユー
ザーのオーバーライド
ユーザーが GlobalProtect を無効にできる最大回数を指定します。この
回数に達すると、ファイアウォールへの正常な接続が必要になります。
値 0(デフォルト)は、エージェントのオーバーライドが無制限である
ことを示します。
エージェント ユーザー
のオーバーライド タイ
ムアウト
GlobalProtect がオーバーライド後に無効になる最長時間(分)を指定し
ます。指定時間が経過した後、エージェントは再接続します。値 0(デ
フォルト)は、オーバーライド期間が無制限であることを示します。
エージェントのアップグ
レード
以下のいずれかのオプションを選択して、GlobalProtect エージェント ソ
フトウェアのダウンロード / アップグレードを行う方法を指定します。
• 無効 — ユーザーはエージェントをアップグレードできません。
• 手動 — ユーザーは手動でアップグレードがあるか確認し、エージェン
トの [バージョン チェック] オプションを選択してアップグレードを開
始できます。
• メッセージを表示 — ファイアウォールで新しいエージェント バージョ
ンがアクティブ化されたら常にエンド ユーザーにアップグレードを要
求するメッセージを表示します。これがデフォルトの設定です。
• メッセージを表示しない — ポータルで新しいバージョンが使用可能に
なったら常にエージェント ソフトウェアを自動的にアップグレードし
ます。
ウェルカム ページ
GlobalProtect に正常に接続したらエンド ユーザーに表示されるウェル
カム ページを選択します。[出荷時のデフォルト] ページを選択するか、
カスタム ページをインポートできます。デフォルトでは、このフィール
ドは [なし] になっています。
444 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
GlobalProtect ポータルのセットアップ
表 207. GlobalProtect ポータルのクライアント設定(続き)
フィールド
説明
サードパーティ VPN
[追加] をクリックして、エンド ポイント上に存在する可能性があるサー
ドパーティ リモート アクセス VPN クライアントのリストを追加しま
す。設定されている場合、GlobalProtect はこれらの VPN クライアント
とそのルート設定を無視して、干渉したり、衝突しないようにします。
詳細ビューの有効化
クライアント側のユーザー インターフェイスを基本的な最小限のビュー
に制限するには、このチェック ボックスをオフにします。デフォルトで
は、詳細ビュー設定が有効になっています。
GlobalProtect アイコン
を表示
クライアント システムで GlobalProtect アイコンを非表示にするには、
このチェック ボックスをオフにします。非表示にすると、ユーザーは、
パスワードの変更、ネットワークの再検出、ホスト情報の再送信、トラ
ブルシューティング情報の表示、要求時接続の実行など、他のタスクを
実行できません。ただし、HIP 通知メッセージ、ログイン プロンプト、
証明書ダイアログは、エンド ユーザーの操作に必要であれば、引き続き
表示されます。
ポータル アドレスの変
更をユーザーに許可する
このチェック ボックスをオフにすると、GlobalProtect エージェントの
[設定] タブの [ポータル] フィールドが無効になります。その場合、ユー
ザーは接続先のポータルを指定できなくなるため、デフォルトのポータ
ル アドレスを Windows レジストリ
(HKEY_LOCAL_MACHINE\SOFTWARE\Palo Alto Networks\
GlobalProtect\PanSetup にキー Portal を指定)
または Mac plist(/Library/Preferences/com.
paloaltonetworks.GlobalProtect.pansetup.plist にキー Portal を指定)
に指定する必要があります。
[今後、このウェルカム
ページを表示しない]
チェックボックスの有
効化
ユーザーが接続を開始するたびに [ウェルカム ページ] を表示するに
は、このチェック ボックスをオフにします。これにより、コンプライア
ンスを維持するために組織から求められる可能性のある利用規約などの
重要な情報をユーザーが忘れてしまうことを回避できます。
パスワードの保存を許可
ユーザーがパスワードをエージェントに保存できないようにするには、
このチェック ボックスをオフにします(ユーザーが接続するたびに、ク
ライアントを介して透過的に、または手動入力によって、強制的にパス
ワードを指定させます)。
[ネットワークの再検出]
オプションを有効にする
ユーザーが手動でネットワークの再検出を実行できないようにするに
は、このチェック ボックスをオフにします。
[ホスト プロファイルの
再送信] オプションを有
効にする
ユーザーが手動で最新 HIP の再送信をトリガーできないようにするに
は、このチェック ボックスをオフにします。
ポータル サーバー証明
書が無効な場合に続行を
許可
ポータル証明書が無効な場合に、エージェントがポータルとの接続を確
立できないようにするには、このチェック ボックスをオフにします。
[データ収集] タブ
最大待機時間
Palo Alto Networks
このサブタブを使用して、エージェントが HIP レポートでクライアント
から収集するデータを定義します。
エージェントが HIP データを検索する時間を指定します。この時間が経
過すると、使用可能な情報が送信されます(範囲は 10 ~ 60 秒、デフォ
ルトは 20 秒)。
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 445
GlobalProtect ポータルのセットアップ
表 207. GlobalProtect ポータルのクライアント設定(続き)
フィールド
説明
カテゴリの除外
このサブタブを使用して、HIP データ収集の対象ではないホスト情報カ
テゴリを定義します。HIP コレクションから除外する [カテゴリ] を選択
します。カテゴリを選択したら、必要に応じて [追加] をクリックし、特
定の [ベンダー] を選択して、除外対象を絞り込みます。ダイアログの [製
品] セクションで [追加] をクリックし、ベンダーから製品を選択します。
[OK] をクリックして、設定を保存します。
カスタム チェック
このサブタブを使用して、エージェントで収集するカスタム ホスト情報
を定義します。たとえば、HIP オブジェクト作成対象の [ベンダー] リス
トや [製品] リストに含まれていない必須アプリケーションがある場合、
カスタム チェックを作成して、アプリケーションがインストールされて
いるか(対応するレジストリ キーまたは plist キーがある)、実行中か
(対応する実行中プロセスがある)を判定できるようにします。
• Windows — [追加] をクリックして、特定のレジストリ キーやキー値
のチェックを追加します。
• Mac — [追加] をクリックして、特定の plist やキー値のチェックを追
加します。
• プロセス リスト — [追加] をクリックして、エンド ユーザー システム
で実行されているかどうかをチェックするプロセスのリストを指定し
ます。たとえば、ソフトウェア アプリケーションが実行しているかど
うかを判別するには、実行可能ファイルの名前をプロセス リストに追
加します。[プロセス リスト] を [Windows] タブまたは [Mac] タブに
追加できます。
[サテライト設定] タブ
サテライト デバイスとは、GlobalProtect エージェントとして機能して GlobalProtect ゲート
ウェイへの VPN 接続を確立できるようにする、Palo Alto Networks ファイアウォール(通
常は支社に設置)です。GlobalProtect エージェントと同様に、サテライトは、初期設定を
ポータルから受信します。これには、すべての設定済みゲートウェイに接続して VPN 接続
を確立できるようにする証明書と VPN 設定ルーティング情報が含まれます。
支社ファイアウォールに GlobalProtect サテライト設定を定義する前に、まず WAN 接続と
のインターフェイスを設定し、セキュリティ ゾーンとポリシーをセットアップして支社
LAN がイ ンター ネットと 通信で きるよ うにしま す。その 後、以下 の表に 示すよう に、
GlobalProtect サテライト設定をポータルに設定できます。
表 208. GlobalProtect ポータルのサテライト設定
フィールド
説明
[全般] サブタブ
[追加] をクリックしてサブタブを表示し、[GlobalProtect サテライト] >
[全般] サブタブで以下を指定します。
• 名前 — GlobalProtect サテライト デバイス プロファイルを識別する名
前を入力します。
• 設定の更新間隔(時間)— サテライト デバイスが設定の更新がある
かどうかについてポータルを調べる間隔を指定します(デフォルトで
24 時間、1 ~ 48 時間の範囲)。
446 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
GlobalProtect ポータルのセットアップ
表 208. GlobalProtect ポータルのサテライト設定(続き)
フィールド
説明
[デバイス] サブタブ
[追加] をクリックし、デバイスのシリアル番号を使用してサテライト デ
バイスを手動で追加します。このオプションを使用する場合は、サテラ
イト デバイスが最初に接続して認証証明書と初期設定を受信するとき
に、ユーザー ログイン プロンプトが不要になります。サテライト デバ
イスの認証後、[名前](ホスト名)がポータルに自動的に追加されます。
[登録ユーザー / ユー
ザー グループ] サブタブ
ポータルは [登録ユーザー / 登録ユーザー グループ] 設定または [デバイ
ス] シリアル番号を使用してサテライトと設定を照合します。
以下のようにサテライト設定の一致基準を指定します。
• この設定を特定のシリアル番号を持つサテライト デバイスに制限する
には、[デバイス] タブを選択して [追加] をクリックし、シリアル番号
を入力します(サテライト ホスト名はサテライトが接続したときに自
動的に追加されるため、入力する必要はありません)。この設定を受
信するサテライトごとにこの手順を繰り返します。
• [登録ユーザー / 登録ユーザー グループ] タブを選択して [追加] をクリッ
クし、この設定を受信するユーザーまたはグループを選択します。シ
リアル番号に一致しないサテライトは、ここで指定したユーザー(個
人ユーザーまたはグループ メンバー)として認証する必要があります。
注:設定を特定のグループに制限するには、グループ マッピングを有効
にしておく必要があります。
[ゲートウェイ] サブタブ
[追加] をクリックして、この設定のサテライトが IPSec トンネルを確立
できるゲートウェイの IP アドレスまたはホスト名を入力します。ゲート
ウェイを設定するインターフェイスの FQDN または IP アドレスを [ゲー
トウェイ] フィールドに入力します。
(任意)設定に 2 つ以上のゲートウェイを追加している場合、[ルーター
の優先順位] を使用するとサテライトが優先するゲートウェイを選択で
きます。1 ~ 25 の範囲で値を入力します。小さい数値の方が優先順位が
高くなります(つまり、すべてのゲートウェイが使用できる場合、サテ
ライトが接続するゲートウェイとなります)。サテライトは、ルーティ
ング メトリックを算出するためにルーティングの優先順位を 10 倍します。
注:ゲートウェイによって公開されたルートはスタティック ルートとし
てサテライトにインストールされます。スタティック ルートのメトリッ
クは、ルーティングの優先順位の 10 倍です。複数のゲートウェイがある
場合、必ずルーティングの優先順位も設定して、バックアップ ゲート
ウェイによって通知されるルートがプライマリ ゲートウェイによって通
知される同じルートよりも高いメトリックになるようにしてください。
たとえば、プライマリ ゲートウェイとバックアップ ゲートウェイの
ルーターの優先順位をそれぞれ 1 と 10 に設定した場合、サテライトは
10 をプライマリ ゲートウェイのメトリックとして使用し、100 をバック
アップ ゲートウェイのメトリックとして使用します。
また、[静的なすべての接続済みルートをゲートウェイに公開]
([Network] > [IPSec トンネル] > [詳細] タブでそのサテライトについて
設定)オプションが選択されている場合、サテライトはネットワークお
よびルーティング情報もゲートウェイと共有します。詳細については、
「GlobalProtect サテライト」を参照してください。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 447
GlobalProtect ゲートウェイのセットアップ
表 208. GlobalProtect ポータルのサテライト設定(続き)
フィールド
説明
信頼されたルート CA
[追加] をクリックしてからゲートウェイ サーバー証明書を発行するため
に使用する CA 証明書を選択します。すべてのゲートウェイで同じ発行
者を使用することをお勧めします。
注:ゲートウェイ サーバー証明書を発行するために使用するルート CA
証明書がポータルにない場合、ここでインポートできます。
証明書の発行
認証に成功したときにポータルが証明書をサテライトに発行するために
使用するルート CA 証明書を選択します。
有効期間(日)
発行される GlobalProtect サテライト証明書の有効期間(デフォルトで
7 日間、7 ~ 365 日の範囲)を指定します。
証明書の更新期間(日)
GlobalProtect サテライト証明書の更新期間(デフォルトで 3 日、3 ~ 30 日
の範囲)を指定します。これにより、証明書の更新頻度が決まります。
OCSP レスポンダ
ポータルおよびゲートウェイが提示した証明書の無効状態を検証するた
めに使用するサテライトの OCSP レスポンダを選択します。
GlobalProtect ゲートウェイのセットアップ
[Network] > [GlobalProtect] > [ゲートウェイ]
このページを使用して、GlobalProtect ゲートウェイを設定します。ゲートウェイを使用して、
GlobalProtect エージェント / アプリケーションまたは GlobalProtect サテライト デバイスに
VPN 接続を提供できます。
ゲートウェイ設定を追加するには、[追加] をクリックして [GlobalProtect ポータル] ダイアロ
グを開きます。ダイアログの各タブに含まれるフィールドの詳細は、以下のセクションを参
照してください。
• 「[全般] タブ」
• 「[クライアントの設定] タブ」
• 「[サテライト設定] タブ」
ゲートウェイのセットアップ手順の詳細は、『GlobalProtect Administrator’s Guide
(GlobalProtect 管 理 者 ガ イ ド)』の「Configure a GlobalProtect Gateway(GlobalProtect
ゲートウェイの設定)」を参照してください。
448 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
GlobalProtect ゲートウェイのセットアップ
[全般] タブ
[全般] タブを使用して、エージェント / アプリケーションが接続するゲートウェイ インター
フェイスを定義し、ゲートウェイがエンド クライアントを認証する方法を指定します。
表 209. GlobalProtect ゲートウェイの一般設定
フィールド
説明
名前
ゲートウェイの名前を入力します(最大 31 文字)。名前の大文字と小文字
は区別されます。また、一意の名前にする必要があります。文字、数字、
スペース、ハイフン、およびアンダースコアのみを使用してください。
場所
マルチ仮想システム モードになっているファイアウォールの場合、[場
所] は GlobalProtect ゲートウェイを使用できる仮想システム (vsys) にな
ります。マルチ仮想システム モードになっていないファイアウォールの
場合、[場所] フィールドは [GlobalProtect ゲートウェイ] ダイアログに
表示されません。ゲートウェイを保存すると、その [場所] を変更できな
くなります。
ネットワーク設定
インターフェイス
リモートのエージェント / サテライトで ingress として使用されるファイ
アウォール インターフェイスを選択します。
IP アドレス
ゲートウェイ アクセス用の IP アドレスを指定します。
SSL/TLS サービス プロ
ファイル
GlobalProtect ゲートウェイを保護するための証明書および許可された
プロトコルを指定するには、SSL/TLS サービス プロファイルを選択し
ます。詳細は、「SSL/TLS サービス プロファイルの管理」を参照して
ください。
認証
認証プロファイル
ゲートウェイへのアクセスを認証する認証プロファイルまたはシーケン
スを選択します。「認証プロファイルのセットアップ」を参照してくだ
さい。
認証メッセージ
ゲートウェイへのログインにどの認証情報を使用するかをエンド ユー
ザーに説明するためのメッセージを入力するか、デフォルトのメッセー
ジを使用します。メッセージの最大長は 50 文字です。
証明書プロファイル
クライアント認証用の証明書プロファイルを選択します。
[クライアントの設定] タブ
[クライアントの設定] タブを使用して、トンネル設定を定義し、エージェント / アプリケー
ションがゲートウェイとの VPN トンネルを確立できるようにします。さらに、このタブを
使用して、セキュリティ ポリシーに添付された HIP プロファイルに一致 / 不一致の場合にエ
ンド ユーザーに表示する HIP 通知メッセージを定義します。
このタブは、以下の表で説明する 3 つのサブタブで構成されます。
• 「[トンネル設定] サブタブ」
• 「[ネットワーク設定] サブタブ」
• 「[Network Services] サブタブ」
• 「[HIP 通知] サブタブ」
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 449
GlobalProtect ゲートウェイのセットアップ
[トンネル設定] サブタブ
このサブタブを使用して、トンネル パラメータを設定し、トンネルを有効にします。
外部ゲートウェイをセットアップする場合、トンネル パラメータは必須です。内部ゲート
ウェイを設定する場合、トンネル パラメータはオプションです。
表 210. GlobalProtect ゲートウェイ クライアントのトンネル モード設定
フィールド
説明
トンネル モード
トンネル モードを有効にするには、このチェック ボックスをオンにし
て、以下の設定を指定します。
• トンネル インターフェイス — ゲートウェイへのアクセス用のトンネル
インターフェイスを選択します。
• 最大ユーザー — 認証、HIP 更新、および GlobalProtect エージェント
更新のために同時にゲートウェイにアクセスできるユーザーの最大数
を指定します。ユーザーの最大数に到達したら、ユーザーの最大数に
達したことを示すエラー メッセージが表示されて、後続のユーザーは
アクセスを拒否されます。デフォルトでは、制限は設定されていませ
ん(有効範囲:1 ~1024 ユーザー)。
• IPSec の有効化 — クライアント トラフィックで IPSec モードを使用可能
にし、IPSec をプライマリにして、SSL-VPN をフォールバック方式に
するには、このチェック ボックスをオンにします。
• GlobalProtect の IPSec 暗号 — VPN トンネルの認証および暗号化アル
ゴリズムを指定する GlobalProtect の IPSec 暗号プロファイルを選択し
ます。デフォルト プロファイルでは、aes-128-cbc 暗号化と sha1 認証
が使用されます。詳細は、「GlobalProtect の IPSec 暗号プロファイル
の定義」を参照してください。
• X-Auth サポートの有効化 — IPSec が有効になっているときに
GlobalProtect ゲートウェイの Extended Authentication (X-Auth) サ
ポートを有効にするには、このチェック ボックスをオンにします。XAuth サポートにより、X-Auth をサポートするサード パーティ IPSec
VPN クライアント(Apple iOS および Android デバイスの IPSec VPN
クライアント、Linux の VPNC クライアントなど)は、GlobalProtect
ゲートウェイとの VPN トンネルを確立できます。X-Auth オプション
により、VPN クライアントから特定の GlobalProtect ゲートウェイへ
のリモート アクセスが可能になります。X-Auth アクセスで利用でき
る GlobalProtect 機能は限定されるため、GlobalProtect アプリケー
ションを使用することで、GlobalProtect が iOS および Android デバイ
スに提供するセキュリティ機能セットすべてへのアクセスを簡略化す
ることを検討してください。
450 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
GlobalProtect ゲートウェイのセットアップ
表 210. GlobalProtect ゲートウェイ クライアントのトンネル モード設定(続き)
フィールド
説明
[X-Auth サポートの有効化] チェック ボックスをオンにすると、[グルー
プ名] および [グループ パスワード] オプションが有効になります。
– グループ名とグループのパスワードが指定されている場合、最初の
認証フェーズでは、双方がこの資格証明を使用して認証する必要が
あります。第 2 フェーズでは有効なユーザー名とパスワードが必要
です。認証セクションで設定された認証プロファイルを通じて検証
されます。
– グループ名とグループ パスワードが定義されていない場合、最初の
認証フェーズは、サードパーティ VPN クライアントによって提示さ
れた有効な証明書に基づきます。その後この証明書は、認証セク
ションで設定された証明書プロファイルを通じて検証されます。
– デフォルトでは、IPSec トンネルの確立に使用されたキーの有効期限
が切れたときに、ユーザーに再認証は要求されません。ユーザーに
再認証を要求するには、[IKE キー再生成での認証をスキップ] チェッ
ク ボックスをオフにします。
タイムアウト設定
以下のタイムアウト設定を指定します。
• ログイン ライフタイム — 1 回のゲートウェイ ログイン セッションに
許可される日数、時間数、または分数を指定します。
• アイドル タイムアウト — 未通信状態のセッションが自動的にログアウ
トされるまでの日数、時間数、または分数を指定します。
• アイドル状態で切断 — 指定された時間内に GlobalProtect アプリが VPN
トンネルを介してトラフィックを送信しなかった場合に、クライアント
が GlobalProtect からログアウトされるまでの時間(分)を指定します。
[ネットワーク設定] サブタブ
[ネットワーク設定] オプションは、[トンネル設定] タブで [トンネル モード] を有効にし、[ト
ンネル インターフェイス] を定義した場合にのみ指定できます。
ここで定義したネットワーク設定は、エージェントがゲートウェイとのトンネルを確立する
ときに、クライアント システムの仮想ネットワーク アダプタに割り当てられます。
表 211. GlobalProtect ゲートウェイ クライアントのネットワーク設定
フィールド
説明
[ユーザー / ユー
ザー グループ]
サブタブ
クライアント設定を適用するユーザー / ユーザー グループまたはクライ
アント オペレーティング システム、あるいはその両方を指定します。
ユーザー / ユーザー
グループ
[追加] をクリックして、この設定を適用する特定のユーザーまたはユー
ザー グループをリストから選択します(表示するユーザーおよびグルー
プのリストに対してグループ マッピングが設定されている必要がありま
す)。ログオン前モード(ユーザーがシステムにログオンする前)の
エージェントにデプロイする設定、または任意のユーザーに適用する設
定を作成することもできます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 451
GlobalProtect ゲートウェイのセットアップ
表 211. GlobalProtect ゲートウェイ クライアントのネットワーク設定(続き)
フィールド
説明
OS
エンド システム上で実行されている特定のオペレーティング システムに
基づいて設定をデプロイするには、ウィンドウの OS セクションで [追加]
をクリックしてから、該当するオペレーティング システム(Android、
iOS、Mac、Windows のいずれか)を選択します。または、設定をユー
ザー / グループのみに基づいてデプロイするには、このセクションの値
を [いずれか] のままにします。
[ネットワーク設定]
サブタブ
認証サーバーからの
Framed-IP-Address 属性
の取得
GlobalProtect ゲートウェイを有効にし、外部認証サーバーを使用して固
定 IP アドレスを割り当てるには、このチェック ボックスをオンにしま
す。有 効になると、GlobalProtect ゲートウェイは、認証サーバーの
Framed-IP 属性を使用して IP アドレスを接続デバイスに割り当てます。
認証サーバー IP プール
このセクションは、[認証サーバーからの Framed-IP-Address 属性の取
得] オプションが有効になっている場合にのみ使用できます。
[追加] をクリックして、認証サーバーの IP プール設定を指定します。
このセクションを使用して、リモート ユーザーに割り当てる IP アドレ
スのサブネットまたは範囲を作成します。トンネルが確立されると、
GlobalProtect ゲートウェイは、認証サーバーの Framed-IP 属性を使用
してこの範囲の IP アドレスを接続デバイスに割り当てます。
注:認証サーバーの IP プールには、すべての同時接続ユーザーをサ
ポートするのに十分な IP アドレスが含まれている必要があります。IP
アドレスは固定的に割り当てられ、ユーザーの接続が切断された後も保
持されます。異なるサブネットの複数の範囲を設定することにより、シ
ステムは、クライアントの他のインターフェイスと衝突しないように IP
アドレスを割り当てることができます。
ネットワーク内のサーバー / ルータは、この IP プールからファイア
ウォールにトラフィックをルーティングする必要があります。
た と え ば、ネットワーク 192.168.0.0/16 では、リモート ユーザーに
192.168.0.10 といったアドレスを割り当てることができます。
IP プール
[追加] をクリックして、IP プール設定を指定します。
このセクションを使用して、リモート ユーザーに割り当てる IP アドレス
の範囲を作成します。トンネルが確立されると、この範囲のアドレスを
使用してリモート ユーザーのコンピュータにインターフェイスが作成さ
れます。
注:競合を回避するには、IP プールには、すべての同時接続ユーザーを
サポートするのに十分な IP アドレスが含まれている必要があります。
ゲートウェイでは、クライアントと IP アドレスのインデックスが保持
されるため、次回接続時に自動的に同じ IP アドレスがクライアントに
割り当てられます。異なるサブネットの複数の範囲を設定することによ
り、システムは、クライアントの他のインターフェイスと衝突しないよ
うに IP アドレスを割り当てることができます。
ネットワーク内のサーバー / ルータは、この IP プールからファイア
ウォールにトラフィックをルーティングする必要があります。
た と え ば、ネットワーク 192.168.0.0/16 では、リモート ユーザーに
192.168.0.10 といったアドレスを割り当てることができます。
452 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
GlobalProtect ゲートウェイのセットアップ
表 211. GlobalProtect ゲートウェイ クライアントのネットワーク設定(続き)
フィールド
説明
ローカル ネットワーク
への直接アクセスなし
Windows および Mac OS システムのローカル ネットワークへの直接ア
クセスを含むスプリット トンネルを無効にするには、このチェック
ボックスをオンにします。これにより、ユーザーがトラフィックをプロ
キシまたはローカル リソース(ホーム プリンタなど)に送信すること
を回避できます。トンネルが確立されると、すべてのトラフィックはト
ンネル経由でルーティングされ、ファイアウォールのポリシーが適用さ
れます。
アクセス ルート
[追加] をクリックしてアクセス ルート オプションを指定します。
このセクションを使用して、リモート ユーザーのコンピュータにプッ
シュするルートを追加し、ユーザーのコンピュータから VPN 接続を介
して送信する内容を決定します。
たとえば、スプリット トンネルを設定し、リモート ユーザーが VPN ト
ンネルを経由せずにインターネットに直接アクセスできるようにするこ
とができます。
ルートを追加しないと、すべてのリクエストはトンネル経由でルーティ
ングされます(スプリット トンネルなしの場合)。この場合、インター
ネットのリクエストはすべてファイアウォールを通過して、ネットワー
クに出ていきます。この方法により、部外者がユーザーのコンピュータ
にアクセスし、そのコンピュータをブリッジとして利用して社内ネット
ワークに侵入するのを防ぐことができます。
[Network Services] サブタブ
[Network Services] オプションは、[トンネル設定] タブで [トンネル モード] を有効にし、[トン
ネル インターフェイス] を定義した場合にのみ指定できます。
このタブでは、エージェントがゲートウェイとのトンネルを確立するときに、クライアント
システムの仮想ネットワーク アダプタに割り当てられる DNS 設定を指定できます。
表 212. GlobalProtect ゲートウェイ クライアントのネットワーク サービス設定
フィールド
説明
継承ソース
選択された DHCP クライアントまたは PPPoE クライアント インター
フェイスから GlobalProtect エージェントの設定に、DNS サーバーやそ
の他の設定を配信する継承ソースを選択します。この設定により、DNS
サーバーや WINS サーバーなどのすべてのクライアント ネットワーク設
定は、[継承ソース] で選択されたインターフェイスの設定から継承され
ます。
継承ソース状態の
チェック
リンクをクリックして、クライアント インターフェイスに現在割り当て
られているサーバー設定を参照します。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 453
GlobalProtect ゲートウェイのセットアップ
表 212. GlobalProtect ゲートウェイ クライアントのネットワーク サービス設定
フィールド
説明
プライマリ DNS
クライアントに DNS を提供するプライマリ サーバーおよびセカンダリ
サーバーの IP アドレスを入力します。
セカンダリ DNS
プライマリ WINS
セカンダリ WINS
クライアントに Windows Internet Naming Service (WINS) を提供するプ
ライマリ サーバーおよびセカンダリ サーバーの IP アドレスを入力します。
DNS サフィックス
[追加] をクリックして、解決できない非修飾ホスト名が入力されたとき
にクライアントがローカルで使用するサフィックスを入力します。複数
のサフィックスをカンマで区切って入力できます。
DNS サフィックスの
継承
継承ソースから DNS サフィックスを継承するには、このチェック ボック
スをオンにします。
[HIP 通知] サブタブ
このサブタブを使用して、ホスト情報プロファイル (HIP) を含むセキュリティ ルールが適用
されるとエンド ユーザーに表示される通知メッセージを定義します。
このステップは、ホスト情報プロファイルを作成して、セキュリティ ポリシーに追加した場
合にのみ適用されます。
表 213. GlobalProtect ゲートウェイ クライアントの HIP 通知設定
フィールド
説明
HIP 通知
[追加] をクリックして通知オプションを指定します。[有効化] を選択し
て、[メッセージが一致] または [一致しないメッセージ] あるいはその両
方を有効にします。
[通知の表示方法] セクションから通知オプションを選択し、[システム ト
レイ バルーン] または [ポップアップ メッセージ] のラジオ ボタンを選択
してから、一致または不一致のメッセージを指定します。これらの設定
を使用して、エンド ユーザーにマシンの状態を通知します。たとえば、
ホスト システムに必須のアプリケーションがインストールされていない
ことを示す警告メッセージを表示できます。[メッセージが一致] の場
合、[一致したアプリケーションのリストをメッセージに含めるかどうか]
オプションを有効にして、HIP マッチをトリガーしたアプリケーション
を示すこともできます。
注:HIP 通知メッセージは、リッチ HTML 形式にして、外部の Web サ
イトやリソースへのリンクを含めることができます。リッチ テキスト設
定ツールバーのリンク アイコン
を使用して、リンクを追加します。
[サテライト設定] タブ
サテライト デバイスとは、GlobalProtect エージェントとして機能して GlobalProtect ゲート
ウェイへの VPN 接続を確立できるようにする、Palo Alto Networks ファイアウォール(通
常は支社に設置)です。[サテライト設定] タブを使用して、ゲートウェイ トンネル設定およ
びネットワーク設定を定義し、サテライト デバイスが VPN 接続を確立できるようにしま
す。また、このタブを使用して、サテライトによって通知されるルートを制御することもで
きます。
454 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
GlobalProtect ゲートウェイのセットアップ
このタブは、以下の表で説明する 3 つのサブタブで構成されます。
• [トンネル設定] サブタブ
• [ネットワーク設定] サブタブ
• [ルート フィルタ] サブタブ
表 214. GlobalProtect ゲートウェイのサテライト設定
フィールド
説明
[トンネル設定] サブ
タブ
トンネル設定
[トンネル設定] チェック ボックスをオンにし、既存の [トンネル イン
ターフェイス] を選択するか、[新規トンネル インターフェイス] をク
リックします。詳細は、「トンネル インターフェイスの設定」を参照し
てください。
リプレイ攻撃の検出 — リプレイ攻撃から保護します。
TOS のコピー — 元の ToS (Type of Service) 情報を保持するため、カプ
セル化されたパケットの内部 IP ヘッダーから外部 IP ヘッダーに ToS
ヘッダーをコピーします。
設定の更新間隔(時間)— サテライト デバイスがポータルに設定の更
新があるかどうかチェックする間隔を指定します(デフォルトは 2 時
間、範囲は 1 ~ 48 時間)。
トンネル モニタ
サテライト デバイスがゲートウェイ トンネル接続をモニターし、接続
に失敗した場合にバックアップ ゲートウェイにフェイルオーバーできる
ようにするには、[トンネル モニタリング] チェック ボックスをオンに
します。
宛先 IP — ゲートウェイへの接続があるかどうかを判断するために使用
するトンネル モニターの IP アドレスを指定します(例:ゲートウェイ
で保護されるネットワークの IP アドレス)。または、トンネル イン
ターフェイスに IP アドレスを設定した場合はこのフィールドを空白の
ままにでき、トンネル モニターは代わりにトンネル インターフェイス
を使用して接続がアクティブかどうかを判断します。
トンネル モニター プロファイル — 別のゲートウェイへのフェイルオー
バーは、LSVPN でサポートされている唯一のトンネル モニタリング プ
ロファイルのタイプです。
暗号プロファイル
Palo Alto Networks
[IPSec 暗号プロファイル] を選択するか、新しいプロファイルを作成し
ます。これにより、VPN トンネルでの識別、認証、および暗号化のた
めのプロトコルとアルゴリズムが決まります。LSVPN の両方のトンネ
ル エントポイントが組織内の信頼されるファイアウォールであるため、
一般に、ESP プロトコル、DH group2、AES 128 CVC 暗号化、および
SHA-1 認証を使用するデフォルトのプロファイルを使用できます。詳細
については、「IPSec 暗号プロファイルの定義」を参照してください。
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 455
GlobalProtect ゲートウェイのセットアップ
表 214. GlobalProtect ゲートウェイのサテライト設定(続き)
フィールド
説明
[ネットワーク設定]
サブタブ
継承ソース
選択された DHCP クライアントまたは PPPoE クライアント インター
フェイスから GlobalProtect サテライト設定に、DNS サーバーやその他
の設定を配信する継承ソースを選択します。この設定により、DNS
サーバーなどのすべてのネットワーク設定は、[継承ソース] で選択した
インターフェイスの設定から継承されます。
プライマリ DNS
サテライトに DNS を提供するプライマリ サーバーおよびセカンダリ
サーバーの IP アドレスを入力します。
セカンダリ DNS
DNS サフィックス
[追加] をクリックして、解決できない非修飾ホスト名が入力されたとき
にサテライトがローカルで使用するサフィックスを入力します。複数の
サフィックスをカンマで区切って入力できます。
DNS サフィックスの
継承
解決できない非修飾ホスト名が入力されたときに、DNS サフィックス
をサテライト デバイスに送信してローカルで使用するには、このチェッ
ク ボックスをオンにします。
IP プール
[追加] をクリックして、IP プール設定を指定します。
このセクションを使用して、VPN トンネルの確立時にサテライト デバ
イスのトンネル インターフェイスに割り当てる IP アドレスの範囲を作
成します。
注:IP プールには、すべての同時接続ユーザーをサポートするのに十分
な IP アドレスが含まれている必要があります。IPアドレスはダイナ
ミックに割り当てられ、サテライトの接続が切断された後は保持されま
せん。異なるサブネットの複数の範囲を設定することにより、システム
は、デバイスの他のインターフェイスと競合しない IP アドレスをサテ
ライトに割り当てることができます。
ネットワーク内のサーバー / ルータは、この IP プールからファイア
ウォールにトラフィックをルーティングする必要があります。
たとえば、ネットワーク 192.168.0.0/16 では、サテライトに 192.168.0.10
といったアドレスを割り当てることができます。
ダイナミック ルーティングを使用している場合、サテライトについて指
定した IP アドレスが、ゲートウェイおよびサテライトでトンネル イン
ターフェイスに手動で割り当てた IP アドレスと重複しないようにして
ください。
456 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
Mobile Security Manager へのゲートウェイ アクセスのセットアップ
表 214. GlobalProtect ゲートウェイのサテライト設定(続き)
フィールド
説明
アクセス ルート
[追加] をクリックして、ルートを以下のように入力します。
• サテライトからのすべてのトラフィックをトンネル経由でルーティン
グする場合は、このフィールドは空白のままにします。
• 一部のトラフィックのみをゲートウェイ経由でルーティングする場合
は(スプリットトンネルといいます)、トンネルする必要のある宛先
サブネットを指定します。この場合、サテライトは独自のルーティン
グ テーブルを使用して、指定したアクセス ルートの宛先になっていな
いトラフィックをルーティングします。たとえば、企業ネットワーク
の宛先になっているトラフィックのみをトンネルし、ローカル サテラ
イトを使用して安全にインターネット アクセスを有効にすることがで
きます。
• サテライト間のルーティングを有効にするには、各サテライトによっ
て保護されたネットワークのサマリー ルートを入力します。
[ルート フィルタ]
サブタブ
サテライトによって通知されたルートをゲートウェイのルーティング
テーブルに受け入れるには、[公開されたルートの受け入れ] チェック
ボックスをオンにします。このオプションを選択しないと、ゲートウェ
イは、サテライトによって通知されたルートを受け入れません。
サテライトによって通知されるルートの受け入れをさらに制限する場合
は、[許可されたサブネット] セクションで [追加] をクリックして、ゲート
ウェイがルートを受け入れるサブネットを定義します。サテライトに
よって通知されたサブネットのうち、リストに含まれないものは除外さ
れます。たとえば、LAN 側ですべてのサテライトが、192.168.x.0/24 サブ
ネットで設定されている場合、ゲートウェイでは許可されたルート
192.168.0.0/16 を設定できます。これにより、ゲートウェイは 192.168.0.0/
16 サブネットにあるサテライトからのみ、ルートを受け入れます。
Mobile Security Manager へのゲートウェイ アクセスのセッ
トアップ
[Network] > [GlobalProtect] > [MDM]
Mobile Security Manager を使用してエンド ユーザーのモバイル デバイスを管理していて、
HIP が有効なポリシーを適用している場合、Mobile Security Manager と通信して管理対象デ
バイスの HIP レポートを取得するようにゲートウェイを設定する必要があります。このペー
ジを使用して、ゲートウェイが Mobile Security Manager にアクセスできるようにします。
Mobile Security Manager の情報を追加するには、[追加] をクリックします。以下の表では、
GlobalProtect MDM ダ イ ア ロ グ の 各 フ ィ ー ル ド に 入 力 す る 内 容 に つ い て 説 明 し ま す。
GlobalProtect Mobile Security Manager サービスのセットアップの詳細は、『GlobalProtect
Administrator’s Guide(GlobalProtect 管理者ガイド)』の「Set Up the GlobalProtect Mobile
Device Manager(GlobalProtect Mobile Device Manager のセットアップ)」を参照してくだ
さい。GlobalProtect Mobile Security Manager の HIP レポートを取得するようにゲートウェ
イをセットアップする手順の詳細は、「Enable Gateway Access to the GlobalProtect Mobile
Security Manager(GlobalProtect Mobile Security Manager へのゲートウェイ アクセスの有
効化)」を参照してください。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 457
Mobile Security Manager へのゲートウェイ アクセスのセットアップ
表 215. GlobalProtect MDM 設定
フィールド
説明
名前
Mobile Security Manager の名前(最大 31 文字)を入力します。名前の
大文字と小文字は区別されます。また、一意の名前にする必要がありま
す。文字、数字、スペース、ハイフン、およびアンダースコアのみを使
用してください。
場所
マルチ仮想システム モードになっているファイアウォールの場合、[場
所] は Mobile Security Manager を使用できる仮想システム (vsys) になり
ます。マルチ仮想システム モードになっていないファイアウォールの場
合、[場所] フィールドは [MDM] ダイアログに表示されません。Mobile
Security Manager を保存すると、その [場所] を変更できなくなります。
接続設定
サーバー
ゲートウェイが HIP レポートを取得するために接続する、Mobile Security
Manager のインターフェイスの IP アドレスまたは FQDN を入力しま
す。このインターフェイスへのサービス ルートがあることを確認します。
接続ポート
Mobile Security Manager が HIP レポート要求をリスンするポート。デ
フォルト ポートは 5008 です。GlobalProtect Mobile Security Manager は
このポートでリスンします。サードパーティの Mobile Security Manager
を使用する場合、サーバーが HIP レポート要求をリスンするポートの番
号を入力します。
クライアント証明書
HTTPS 接続を確立するときにゲートウェイが Mobile Security Manager に提
示するクライアント証明書を選択します。これは、Mobile Security Manager
が相互認証を使用するように設定されている場合にのみ必要です。
信頼されたルート CA
[追加] をクリックし、ゲートウェイが HIP レポートを取得するために接
続するインターフェイスの証明書を発行するために使用されたルート
CA 証明書を選択します(これは、Mobile Security Manager のデバイス
チェックイン インターフェイスに発行された証明書とは異なるサーバー
証明書である可能性があります)。ルート CA 証明書をインポートして
このリストに追加する必要があります。
458 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
HIP オブジェクトの作成
HIP オブジェクトの作成
[Objects] > [GlobalProtect] > [HIP オブジェクト]
このページを使用して、ホスト情報プロファイル (HIP) オブジェクトを定義します。HIP オ
ブジェクトでは、一致条件によって、エージェント / アプリケーションからレポートされた
生データから、関心のあるホスト情報のみを抽出して、ポリシーを適用するために使用でき
ます。たとえば、生ホスト データに、クライアントにインストールされている複数のアンチ
ウイルス パッケージに関する情報が含まれていて、関心のあるのは、組織内で必要とする特
定の 1 つのアプリケーションである場合があります。この場合は、適用において関心のある
特定のアプリケーションに一致する HIP オブジェクトを作成します。
必要な HIP オブジェクトを判別する最良の方法は、収集したホスト情報をどのように使用し
てポリシーを適用するかを判別することです。HIP オブジェクト自体は、セキュリティ ポリ
シーで使用される HIP プロファイルを作成できるようにする構成要素にすぎません。そのた
め、オブジェクトをシンプルにし、たとえば、特定のタイプの必須ソフトウェアがあるか、
特定のドメインのメンバーか、特定のクライアント OS があるかなど、1 つの条件にのみ一
致させることが必要になる場合があります。こうすることで、非常に粒度の細かい HIP で補
完されたポリシーを柔軟に作成することができます。
HIP オブジェクトを作成するには、[追加] をクリックして[HIP オブジェクト] ダイアログを
開きます。各フィールドへの入力内容の説明については、以下の表を参照してください。
• 「[全般] タブ」
• 「[モバイル デバイス] タブ」
• 「[パッチ管理] タブ」
• 「[ファイアウォール] タブ」
• 「[アンチウイルス] タブ」
• 「[アンチスパイウェア] タブ」
• 「[ディスク バックアップ] タブ」
• 「[ディスク暗号化] タブ」
• 「[データ損失防止] タブ」
• 「[カスタム チェック] タブ」
HIP で補完されたセキュリティ ポリシーを作成する方法の詳細は、『GlobalProtect
Administrator’s Guide(GlobalProtect 管 理 者 ガ イ ド)』の「Configure HIP-Based Policy
Enforcement(HIP ベースのポリシー適用の設定)」を参照してください。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 459
HIP オブジェクトの作成
[全般] タブ
[全般] タブを使用して、新しい HIP オブジェクトの名前を指定したり、ドメイン、オペレー
ティング システム、ネットワーク接続のタイプなど、一般的なホスト情報と照合するための
オブジェクトを設定したりします。
表 216. HIP オブジェクトの一般設定
フィールド
説明
名前
HIP オブジェクトの名前を入力します(最大 31 文字)。名前の大文字
と小文字は区別されます。また、一意の名前にする必要があります。文
字、数字、スペース、ハイフン、およびアンダースコアのみを使用して
ください。
共有
以下で HIP オブジェクトを使用できるようにするには、このチェック
ボックスをオンにします。
• ファイアウォールのすべての仮想システム (vsys)(マルチ仮想システ
ム モードになっているファイアウォールにログインしている場合)。
このチェック ボックスをオフにする場合、そのオブジェクトは、
[Objects] タブの [仮想システム] ドロップダウンで選択した vsys でし
か使用できなくなります。マルチ仮想システム モードになっていない
ファイアウォールの場合、このチェック ボックスは [HIP オブジェク
ト] ダイアログに表示されません。
• Panorama のすべてのデバイス グループ。このチェック ボックスをオ
フにする場合、そのオブジェクトは、[Objects] タブの [デバイス グ
ループ] ドロップダウンで選択したデバイス グループでしか使用でき
なくなります。
オブジェクトを保存すると、その [共有] 設定を変更できなくなります。
[Objects] > [GlobalProtect] > [HIP オブジェクト] ページには、[場所]
フィールドの現在の設定が表示されます。
オーバーライドの無効化
このチェック ボックスは、Panorama にのみ表示されます。このチェッ
ク ボックスを使用して、[Objects] タブで選択した [デバイス グループ]
の子孫デバイス グループの HIP オブジェクトへのオーバーライド アク
セスを制御します。管理者が継承値をオーバーライドして子孫デバイス
グループのオブジェクトのローカル コピーを作成しないようにするに
は、このチェック ボックスをオンにします。デフォルトでは、この
チェック ボックスはオフ(オーバーライドが有効)になっています。
説明
任意の説明を入力します。
ホスト情報
ホスト情報フィールドによるフィルタリングを有効にするには、この
チェック ボックスをオンにします。
ドメイン
ドメイン名による照合を行うには、ドロップダウン リストから演算子を
選択して、照合文字列を入力します。
OS
ホスト OS による照合を行うには、最初のドロップダウンから [含む] を
選択し、2 つ目のドロップダウンからベンダーを選択してから、3 つ目
のドロップダウンで特定の OS バージョンを選択するか、[すべて] を選
択して、選択したベンダーのすべての OS バージョンで照合を行います。
クライアント バージョン
特定のバージョン番号による照合を行うには、ドロップダウンから演算
子を選択して、テキスト ボックスに照合する(または除外する)文字列
を入力します。
460 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
HIP オブジェクトの作成
表 216. HIP オブジェクトの一般設定(続き)
フィールド
説明
ホスト名
特定のホスト名の全体または一部による照合を行うには、ドロップダウ
ンから演算子を選択して、テキスト ボックスに照合する(または、選択
した演算子によっては除外する)文字列を入力します。
ネットワーク
このフィールドを使用して、特定のモバイル デバイス ネットワーク設
定によるフィルタリングを有効にします。この一致基準はモバイル デバ
イスのみに適用されます。
ドロップダウンから演算子を選択し、2 つ目のドロップダウンからフィ
ル タ リ ン グ 基 準 に す る ネ ッ ト ワ ー ク 接 続 の タ イ プ を 選 択 し ま す。
[WiFi]、[モバイル]、[Ethernet]([ではない] フィルタでのみ使用可
能)、または [不明] を選択できます。ネットワーク タイプを選択した
ら、指定可能な場合は、追加の照合文字列を入力します。たとえば、モ
バイル「通信事業者」や WiFi「SSID」などを指定できます。
[モバイル デバイス] タブ
[モバイル デバイス] タブを使用して、GlobalProtect アプリケーションを実行するモバイル
デバイスから収集されたデータによる HIP 照合を有効にします。
表 217. HIP オブジェクトのモバイル デバイス設定
フィールド
説明
モバイル デバイス
GlobalProtect アプリケーションを実行するモバイル デバイスから収集
されたホスト データによるフィルタリングを有効にするには、この
チェック ボックスをオンにします。このチェック ボックスをオンにす
ると、[デバイス]、[設定]、および [アプリケーション] サブタブが編集可
能になります。
[デバイス] サブタブ
• シリアル番号 — デバイス シリアル番号の全体または一部による照合を
行うには、ドロップダウンから演算子を選択し、照合文字列を入力し
ます。
• モデル — 特定のデバイス モデルによる照合を行うには、ドロップダウ
ンから演算子を選択し、照合文字列を入力します。
• タグ — GlobalProtect Mobile Security Manager に定義されたタグ値によ
る照合を行うには、最初のドロップダウンから演算子を選択し、2 つ
目のドロップダウンからタグを選択します。
• 電話番号 — デバイスの電話番号の全体または一部による照合を行うに
は、ドロップダウンから演算子を選択し、照合文字列を入力します。
• IMEI — IMEI (International Mobile Equipment Identity) による照合を
行うには、ドロップダウンから演算子を選択し、照合文字列を入力し
ます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 461
HIP オブジェクトの作成
表 217. HIP オブジェクトのモバイル デバイス設定(続き)
フィールド
説明
[設定] サブタブ
• パスコード — デバイスにパスコードが設定されているかどうかに基づ
いてフィルタリングします。パスコードが設定されているデバイスを
照合するには、[はい] を選択します。パスコードが設定されていない
デバイスを照合するには、[いいえ] を選択します。
• 管理対象デバイス — デバイスが MDM によって管理されているかどう
かに基づいてフィルタリングします。管理対象のデバイスを照合する
には、[はい] を選択します。管理対象以外のデバイスを照合するに
は、[いいえ] を選択します。
• root 化 / jailbreak — デバイスが root 化または jailbreak されているか
どうかに基づいてフィルタリングします。root 化 / jailbreak されてい
るデバイスを照合するには、[はい] を選択します。root 化 / jailbreak
されていないデバイスを照合するには、[いいえ] を選択します。
• ディスク暗号化 — デバイス データが暗号化されているかどうかに基づ
いてフィルタリングします。ディスク暗号化が有効なデバイスを照合
するには、[はい] を選択します。ディスク暗号化が有効ではないデバ
イスを照合するには、[いいえ] を選択します。
• 最後のチェックインからの経過時間 — デバイスが最後に MDM にチェッ
クインした日時に基づいてフィルタリングします。ドロップダウンか
ら演算子を選択し、チェックイン期間の日数を指定します。たとえ
ば、過去 5 日以内にチェックインされていないデバイスを照合するた
めのオブジェクトを定義できます。
[アプリケーション]
サブタブ
• アプリケーション —(Android デバイスのみ)デバイスにインストー
ルされているアプリケーションに基づいて、また、マルウェアに感染
したアプリケーションがデバイスにインストールされているかどうか
に基づいたフィルタリングを有効にするには、このチェック ボックス
をオンにします。
• [基準] サブタブ
– マルウェアあり — マルウェアに感染したアプリケーションがインス
トールされているデバイスを照合するには、[はい] を選択します。マ
ルウェアに感染したアプリケーションがインストールされていないデ
バイスを照合するには、[いいえ] を選択します。[マルウェアあり] を
一致条件として使用しない場合は、[なし] を選択します。
• [包含] サブタブ
– パッケージ — 特定のアプリケーションがインストールされているデ
バイスを照合するには、[追加] をクリックしてから、一意のアプリ
ケーション名を(com.netflix.mediaclient など、DNS の逆フォーマッ
トで)[パッケージ] フィールドに入力し、対応するアプリケーション
の [ハッシュ] を入力します。ハッシュは、GlobalProtect アプリケー
ションが計算し、デバイス HIP レポートとともに送信します。
462 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
HIP オブジェクトの作成
[パッチ管理] タブ
[パッチ管理] タブを使用して、GlobalProtect クライアントのパッチ管理状態による HIP 照合
を有効にします。
表 218. HIP オブジェクトのパッチ管理設定
フィールド
説明
パッチ管理
ホストのパッチ管理状態による照合を有効にするには、このチェック
ボックスをオンにします。このチェック ボックスをオンにすると、[基
準] および [ベンダー] サブタブが編集可能になります。
[基準] サブタブ
このサブタブで、以下の設定を指定します。
• 有効 — パッチ管理ソフトウェアがホストで有効かどうかによって照合
します。[有効] チェック ボックスがオフの場合、このフィールドは自
動的に「なし」に設定され、編集ができなくなります。
• インストール済み — パッチ管理ソフトウェアがホストにインストール
されているかどうかによって照合します。
• 重大度 — 指定された重大度のパッチがホストに欠落しているかどうか
によって照合します。
• チェック — ホストにパッチが欠落しているかどうかによって照合し
ます。
• パッチ — ホストに特定のパッチが適用されているかどうかによって照
合します。[追加] をクリックし、有無をチェックする特定のパッチ名
のファイル名を入力します。
[ベンダー] サブタブ
このサブタブを使用して、ホスト上で検索して照合する特定のパッチ管
理ソフトウェア ベンダー / 製品を定義します。[追加] をクリックして、
ドロップダウン リストからベンダーを選択します。必要に応じて、[追
加] をクリックして、特定の製品を選択します。[OK] をクリックして設
定を保存します。
[ファイアウォール] タブ
[ファイアウォール] タブを使用して、GlobalProtect クライアントのファイアウォール ソフト
ウェア状態に基づく HIP 照合を有効にします。
表 219. HIP オブジェクトのファイアウォール設定
フィールド
説明
ファイアウォール
ホストのファイアウォール ソフトウェア状態による照合を有効にするに
は、[ファイアウォール] チェック ボックスをオンにします。
• 有効 — ファイアウォール ソフトウェアがホストで有効かどうかによっ
て照合します。[有効] チェック ボックスがオフの場合、このフィール
ドは自動的に「なし」に設定され、編集ができなくなります。
• インストール済み — ファイアウォール ソフトウェアがホストにイン
ストールされているかどうかによって照合します。
• ベンダーおよび製品 — ホスト上で検索して照合する特定のファイア
ウォール ソフトウェア ベンダー / 製品を定義します。[追加] をクリッ
クして、ドロップダウン リストからベンダーを選択します。必要に応
じて、[追加] をクリックして、特定の製品を選択します。[OK] をク
リックして設定を保存します。
• ベンダーの除外 — 特定のベンダーのソフトウェアがないホストを照合
するには、このチェック ボックスをオンにします。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 463
HIP オブジェクトの作成
[アンチウイルス] タブ
[アンチウイルス] タブを使用して、GlobalProtect クライアントのアンチウイルス対象範囲に
基づく HIP 照合を有効にします。
表 220. HIP オブジェクトのアンチウイルス設定
フィールド
説明
アンチウイルス
ホストのアンチウイルス対象範囲による照合を有効にするには、この
チェック ボックスをオンにします。
• リアルタイム保護 — リアルタイムのアンチウイルス保護がホストで有
効かどうかによって照合します。[有効] チェック ボックスがオフの場
合、このフィールドは自動的に「なし」に設定され、編集ができなく
なります。
• インストール済み — アンチウイルス ソフトウェアがホストにインス
トールされているかどうかによって照合します。
• ウイルス定義バージョン — 指定された日数内にウイルス定義が更新さ
れたかどうか、またはリリース バージョンのどちらに基づいて照合を
行うかを指定します。
• 製品バージョン — アンチウイルス ソフトウェアの特定のバージョンに
対して照合を行うには、このオプションを使用します。検索するバー
ジョンを指定するには、ドロップダウンから演算子を選択して、製品
バージョンを表す文字列を入力します。
• 最終スキャン時間 — 最後にアンチウイルス スキャンが実行された時間
に基づいて照合を行うかどうかを指定します。ドロップダウンから演
算子を選択し、照合する日数または時間数を指定します。
• ベンダーおよび製品 — ホスト上で検索して照合する特定のアンチウイ
ルス ソフトウェア ベンダー / 製品を定義します。[追加] をクリックし
て、ドロップダウン リストからベンダーを選択します。必要に応じ
て、[追加] をクリックして、特定の製品を選択します。[OK] をクリッ
クして設定を保存します。
• ベンダーの除外 — 特定のベンダーのソフトウェアがないホストを照合
するには、このチェック ボックスをオンにします。
464 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
HIP オブジェクトの作成
[アンチスパイウェア] タブ
[アンチスパイウェア] タブを使用して、GlobalProtect クライアントのアンチスパイウェア対
象範囲に基づく HIP 照合を有効にします。
表 221. HIP オブジェクトのアンチスパイウェア設定
フィールド
説明
アンチスパイウェア
ホストのアンチスパイウェア対象範囲による照合を有効にするには、こ
のチェック ボックスをオンにし、追加の照合条件を以下のように定義し
ます。
• リアルタイム保護 — リアルタイムのアンチスパイウェア保護がホスト
で有効かどうかによって照合します。[有効] チェック ボックスがオフ
の場合、このフィールドは自動的に「なし」に設定され、編集ができ
なくなります。
• インストール済み — アンチスパイウェア ソフトウェアがホストにイン
ストールされているかどうかによって照合します。
• ウイルス定義バージョン — 指定された日数内にウイルス定義が更新さ
れたかどうか、またはリリース バージョンのどちらに基づいて照合を
行うかを指定します。
• 製品バージョン — アンチスパイウェア ソフトウェアの特定のバージョ
ンに対して照合を行うには、このオプションを使用します。検索する
バージョンを指定するには、ドロップダウンから演算子を選択して、
製品バージョンを表す文字列を入力します。
• 最終スキャン時間 — 最後にアンチスパイウェア スキャンが実行され
た時間に基づいて照合を行うかどうかを指定します。ドロップダウン
から演算子を選択し、照合する日数または時間数を指定します。
• ベンダーおよび製品 — ホスト上で検索して照合する特定のアンチスパ
イウェア ソフトウェア ベンダー / 製品を定義します。[追加] をクリッ
クして、ドロップダウン リストからベンダーを選択します。必要に応
じて、[追加] をクリックして、特定の製品を選択します。[OK] をク
リックして設定を保存します。
• ベンダーの除外 — 特定のベンダーのソフトウェアがないホストを照合
するには、このチェック ボックスをオンにします。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 465
HIP オブジェクトの作成
[ディスク バックアップ] タブ
[ディスク バックアップ] タブを使用して、GlobalProtect クライアントのディスク バック
アップ状態に基づく HIP 照合を有効にします。
表 222. HIP オブジェクトのディスク バックアップ設定
フィールド
説明
ディスク バックアップ
ホストのディスク バックアップ状態による照合を有効にするには、この
チェック ボックスをオンにし、追加の照合条件を以下のように定義し
ます。
• インストール済み — ディスク バックアップ ソフトウェアがホストに
インストールされているかどうかによって照合します。
• 最終スキャン時間 — 最後にディスク バックアップが実行された時間
に基づいて照合を行うかどうかを指定します。ドロップダウンから演
算子を選択し、照合する日数または時間数を指定します。
• ベンダーおよび製品 — ホスト上で検索して照合する特定のディスク バッ
クアップ ソフトウェア ベンダー / 製品を定義します。[追加] をクリッ
クして、ドロップダウン リストからベンダーを選択します。必要に応
じて、[追加] をクリックして、特定の製品を選択します。[OK] をク
リックして設定を保存します。
• ベンダーの除外 — 特定のベンダーのソフトウェアがないホストを照合
するには、このチェック ボックスをオンにします。
[ディスク暗号化] タブ
[ディスク暗号化] タブを使用して、GlobalProtect クライアントのディスク暗号化状態に基づ
く HIP 照合を有効にします。
表 223. HIP オブジェクトのディスク暗号化設定
フィールド
説明
ディスク暗号化
ホストのディスク暗号化状態による照合を有効にするには、このチェッ
ク ボックスをオンにします。
466 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
HIP オブジェクトの作成
表 223. HIP オブジェクトのディスク暗号化設定(続き)
フィールド
説明
基準
このサブタブで、以下の設定を指定します。
• インストール済み — ディスク暗号化ソフトウェアがホストにインストー
ルされているかどうかによって照合します。
• 暗号化された場所 — [追加] をクリックして、照合時にディスクが暗号
化されているかチェックするドライブまたはパスを指定します。
– 暗号化された場所 — 暗号化されているかどうかをチェックするホス
ト上の特定の場所を入力します。
– 状態 — 暗号化された場所の状態を照合する方法を指定します。ドロッ
プダウンから演算子を選択し、有効な状態(フル、なし、一部、使
用不可)を選択します。
[OK] をクリックして設定を保存します。
ベンダー
このサブタブを使用して、ホスト上で検索して照合する特定のディスク
暗号化ソフトウェア ベンダー / 製品を定義します。[追加] をクリックし
て、ドロップダウン リストからベンダーを選択します。必要に応じて、
[追加] をクリックして、特定の製品を選択します。[OK] をクリックして
設定を保存し、[ディスク暗号化] タブに戻ります。
[データ損失防止] タブ
[データ損失防止] タブを使用して、GlobalProtect クライアントがデータ損失防止ソフトウェ
アを実行しているかどうかに基づく HIP 照合を有効にします。
表 224. HIP オブジェクトのデータ損失防止設定
フィールド
説明
データ損失防止
ホスト(Windows ホストのみ)のデータ損失防止 (DLP) による照合を
有効にするには、このチェック ボックスをオンにし、追加の照合条件を
以下のように定義します。
• 有効 — DLP ソフトウェアがホストで有効かどうかによって照合します。
[インストール済み] チェック ボックスがオフの場合、このフィールド
は自動的に「なし」に設定され、編集ができなくなります。
• インストール済み — DLP ソフトウェアがホストにインストールされて
いるかどうかによって照合します。
• ベンダーおよび製品 — ホスト上で検索して照合する特定の DLP ソフ
トウェア ベンダー / 製品を定義します。[追加] をクリックして、ド
ロップダウン リストからベンダーを選択します。必要に応じて、[追加]
をクリックして、特定の製品を選択します。[OK] をクリックして設定
を保存します。
• ベンダーの除外 — 特定のベンダーのソフトウェアがないホストを照合
するには、このチェック ボックスをオンにします。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 467
HIP プロファイルのセットアップ
[カスタム チェック] タブ
[カスタム チェック] タブを使用して、GlobalProtect ポータルに定義されているカスタム
チェックに基づく HIP 照合を有効にします。HIP 収集にカスタム チェックを追加する方法の詳細
は、「GlobalProtect ポータルのセットアップ」を参照してください。
表 225. HIP オブジェクトのカスタム チェック設定
フィールド
説明
カスタム チェック
GlobalProtect ポータルに定義されているカスタム チェックによる HIP 照
合を有効にするには、このチェック ボックスをオンにします。
プロセス リスト
ホスト システムに特定のプロセスがあるかチェックするには、[追加] を
クリックし、プロセス名を入力します。デフォルトでは、エージェント
は実行中のプロセスがあるかチェックします。特定のプロセスがシステ
ムに存在するかどうかだけをチェックする場合は、[実行中] チェック
ボックスをオフにします。
レジストリ キー
Windows ホストに特定のレジストリ キーがあるかチェックするには、[追
加] をクリックし、照合する [レジストリ キー] を入力します。指定した
レジストリ キーがないホストのみを照合するには、[キーが存在しない
か、指定した値データと一致しない] チェック ボックスをオンにします。
特定の値を照合するには、[追加] をクリックし、[レジストリ値] と [値
データ] を入力します。指定された値または値データを明示的に持たな
いホストを照合するには、[Negate] チェック ボックスをオンにします。
[OK] をクリックして設定を保存します。
Plist
Mac ホストに特定のプロパティ リスト (plist) があるかチェックするに
は、[追加] をクリックし、[Plist] 名を入力します。指定した plist がない
ホストのみを照合するには、[Plist がありません] チェック ボックスをオ
ンにします。
plist 内の特定のキー / 値ペアによって照合するには、[追加] をクリック
し、照合する [キー] と対応する [値] を入力します。指定されたキー / 値
を明示的に持たないホストを照合するには、[Negate] チェック ボックス
をオンにします。
[OK] をクリックして設定を保存します。
HIP プロファイルのセットアップ
[Objects] > [GlobalProtect] > [HIP プロファイル]
このページを使用して、HIP が有効なセキュリティ ポリシーのセットアップに使用する HIP
プロファイルを作成します。HIP オブジェクトのコレクションは、モニタリングまたはセ
キュリティ ポリシー適用のために、まとめて評価されます。HIP プロファイルを作成する
と、Boolean ロジックを使用して、以前に作成した HIP オブジェクト(と他の HIP プロファ
イル)を組み合わせることができます。たとえば、作成した HIP プロファイルに対してトラ
フィック フローを評価し、一致か不一致かを判定することができます。一致があれば、対応
するポリシー ルールが適用されます。一致がなければ、他のポリシー照合条件と同様に、フ
ローは次のルールに対して評価されます。
468 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
HIP プロファイルのセットアップ
HIP プロファイルを作成するには、[追加] をクリックします。以下の表では、[HIP プロファ
イル] ダイアログの各フィールドに入力する内容について説明します。HIP で補完されたセ
キュリティ ポリシーを作成するために GlobalProtect とワークフローをセットアップする方
法 の 詳 細 は、『GlobalProtect Administrator’s Guide(GlobalProtect 管 理 者 ガ イ ド)』の
「Configure HIP-Based Policy Enforcement(HIP ベースのポリシー適用の設定)」を参照し
てください。
表 226. HIP プロファイル設定
フィールド
説明
名前
プロファイルの名前を入力します(最大 31 文字)。名前の大文字と小文字
は区別されます。また、一意の名前にする必要があります。文字、数字、
スペース、ハイフン、およびアンダースコアのみを使用してください。
説明
任意の説明を入力します。
共有
以下で HIP プロファイルを使用可能にするには、このチェック ボックス
をオンにします。
• ファイアウォールのすべての仮想システム (vsys) (マルチ仮想システム
モードになっているファイアウォールにログインしている場合)。この
チェック ボックスをオフにする場合、そのプロファイルは、[Objects]
タブの [仮想システム] ドロップダウンで選択した vsys でしか使用でき
なくなります。マルチ仮想システム モードになっていないファイア
ウォールの場合、このチェック ボックスは [HIP プロファイル] ダイア
ログに表示されません。
• Panorama のすべてのデバイス グループ。このチェック ボックスをオ
フにする場合、そのプロファイルは、[Objects] タブの [デバイス グ
ループ] ドロップダウンで選択したデバイス グループでしか使用でき
なくなります。
プロファイルを保存すると、その [共有] 設定を変更できなくなります。
[Objects] > [GlobalProtect] > [HIP プロファイル] ページには、[ 場所]
フィールドの現在の設定が表示されます。
オーバーライドの無効化
Palo Alto Networks
このチェック ボックスは、Panorama にのみ表示されます。このチェッ
ク ボックスを使用して、[Objects] タブで選択した [デバイス グループ]
の子孫デバイス グループの HIP プロファイルへのオーバーライド アク
セスを制御します。管理者が継承値をオーバーライドして子孫デバイス
グループのプロファイルのローカル コピーを作成しないようにするに
は、このチェック ボックスをオンにします。デフォルトでは、この
チェック ボックスはオフ(オーバーライドが有効)になっています。
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 469
GlobalProtect エージェントのセットアップとアクティベーション
表 226. HIP プロファイル設定(続き)
フィールド
説明
一致
[条件の追加] をクリックして、[HIP オブジェクト / プロファイル ビル
ダー] を開きます。
一致条件として使用する最初の HIP オブジェクトまたはプロファイルを
選択し、次に [追加]
をクリックして、[HIP プロファイル] ダイアロ
グの [一致] テキスト ボックスに移動させます。オブジェクトの条件がフ
ローに当てはまらない場合にのみ HIP プロファイルでオブジェクトを一
致として評価する場合、オブジェクトを追加する前に、[NOT] チェック
ボックスをオンにします。
続けて、作成するプロファイルに必要なだけ一致条件を追加して、追加
した条件の間に適切な Boolean 演算子ラジオ ボタン([AND] または
[OR])を選択します(ここでも必要に応じて [NOT] チェック ボックス
を使用します)。
複雑な Boolean 式を作成する場合は、[一致] テキスト ボックス内の適切
な位置に手動でかっこを追加して、HIP プロファイルが意図したロジッ
クを使用して評価されるようにします。たとえば、以下の式は、HIP プ
ロファイルが、FileVault ディスク暗号化(Mac OS システム)または
TrueCrypt ディスク暗号化(Windows システム)があり、必要な Domain
に属し、Symantec アンチウイルス クライアントがインストールされて
いるホストからのトラフィックを照合することを示します。
((“MacOS” and “FileVault”) or (“Windows” and
“TrueCrypt”)) and “Domain” and “SymantecAV”
新しい HIP プロファイルへのオブジェクト / プロファイルの追加が終了
したら、[OK] をクリックします。
GlobalProtect エージェントのセットアップとアクティベー
ション
[Device] > [GlobalProtect クライアント]
このページを使用して、GlobalProtect エージェント ソフトウェアを、ポータルをホストする
ファイアウォールにダウンロードして、ポータルに接続するクライアントがダウンロードで
きるようにアクティブ化します。ポータルに定義したクライアント設定に、いつどのように
ソフトウェア ダウンロードを行うかを定義します(エージェントが接続したら自動的にアッ
プグレードする、エンド ユーザーにアップグレードを要求するメッセージを表示する、特定
のユーザーのセットにはアップグレードを無条件で許可する、など)。ポータルについて説
明するセクション 「[クライアントの設定] タブ」の [エージェントのアップグレード] フィー
ルドに関する説明を参照してください。GlobalProtect エージェント ソフトウェアのさまざま
な配布オプションとソフトウェアのデプロイ手順の詳細は、『GlobalProtect Administrator’s
Guide(GlobalProtect 管理者ガイド)』の「Deploy the GlobalProtect Client Software
(GlobalProtect クライアント ソフトウェアのデプロイ)」を参照してください。
GlobalProtect エージェントを初めてダウンロードしてインストールする場
合、クライアント システムのユーザーは管理者権限でログインする必要が
あります。その後のアップグレードでは、管理者権限は必要ありません。
470 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
GlobalProtect エージェントのセットアップとアクティベーション
以下の表に、この画面の使用方法を示します。エージェント ソフトウェアのデプロイの詳細
は、『GlobalProtect Administrator’s Guide(GlobalProtect 管理者ガイド)』を参照してく
ださい。
表 227. GlobalProtect クライアントの設定
フィールド
説明
バージョン
Palo Alto Networks 更新サーバーで入手可能な GlobalProtect エージェン
ト ソフトウェアのバージョン番号。Palo Alto Networks から新しいエー
ジェント ソフトウェア リリースを入手可能かどうかチェックするに
は、[今すぐチェック] をクリックします。ファイアウォールはそのサー
ビス ルートを使用して更新サーバーに接続し、新しいバージョンがある
かどうか、入手可能な更新があるかどうかをチェックし、リストの先頭
に表示します。
サイズ
エージェント ソフトウェア バンドルのサイズ。
リリース日
Palo Alto Networks がリリースを公開した日時。
ダウンロード済み
この列にチェック マークがある場合、対応するエージェント ソフト
ウェア パッケージのバージョンがファイアウォールにダウンロード済み
であることを示します。
現在アクティベーション
済み
この列にチェック マークがある場合、対応するエージェント ソフトウェ
ア パッケージのバージョンがファイアウォールでアクティブ化済みであ
り、エージェントを接続するとダウンロードできることを示します。一
度にアクティブ化できるソフトウェアのバージョンは 1 つのみです。
アクション
現在、対応するエージェント ソフトウェア パッケージに対して以下の
アクションを実行できることを示します。
• ダウンロード — 対応するエージェント ソフトウェアのバージョンを
Palo Alto Networks 更新サーバーから入手可能です。リンクをクリッ
クしてダウンロードを開始します。ファイアウォールがインターネッ
トにアクセスできない場合、インターネットに接続されたコンピュー
タでソフトウェア更新サイトにアクセスし、新しいエージェント ソフ
トウェア バージョンを検索してローカル コンピュータにダウンロード
します。次に、GlobalProtect クライアント画面の [アップロード] ボタ
ンをクリックして、手動でエージェント ソフトウェアをファイア
ウォールにアップロードします。
• アクティベーション — 対応するエージェント ソフトウェア バージョ
ンはファイアウォールにダウンロード済みですが、エージェントはま
だダウンロードできません。リンクをクリックしてソフトウェアをア
クティブ化し、エージェントがアップグレードできるようにします。
[アップロード] ボタンを使用して手動でファイアウォールにアップ
ロードしたソフトウェア更新をアクティブ化するには、[ファイルから
アクティベーション] ボタンをクリックして、アクティブ化するバー
ジョンをドロップダウンから選択します([現在アクティベーション済
み] として表示するには画面の更新が必要になる場合があります)。
• 再アクティブ化 — 対応するエージェント ソフトウェアはアクティブ
化済みで、クライアントがダウンロードできる状態です。ファイア
ウォール上で一度にアクティブ化できる GlobalProtect エージェント
ソフトウェアのバージョンは 1 つのみであるため、エンド ユーザーが
現在アクティブなバージョン以外のバージョンにアクセスする必要が
ある場合、その別のバージョンをアクティベーションして現在アク
ティベーション済みバージョンにする必要があります。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 471
GlobalProtect エージェントのセットアップ
表 227. GlobalProtect クライアントの設定(続き)
フィールド
説明
リリース ノート
対応するエージェント バージョンの GlobalProtect リリース ノートへの
リンクを提供します。
以前にダウンロードしたエージェント ソフトウェア イメージをファイ
アウォールから削除します。
GlobalProtect エージェントのセットアップ
GlobalProtect エージェント(PanGP エージェント)は、クライアント システム(通常、
ノートパソコン)にインストールされるアプリケーションであり、ポータルとゲートウェイ
を使用して GlobalProtect 接続をサポートし、GlobalProtect サービス(PanGP サービス)に
よってサポートされます。
ホストのオペレーティング システムで正しいインストール オプション
(32 ビットまたは 64 ビット)を選択するようにしてください。64 ビット
のホストにインストールする場合は、初期インストールで 64 ビット ブラ
ウザとJavaの組み合わせを使用してください。
エージェントをインストールするには、インストーラ ファイルを開いて、画面に表示される
指示に従います。
エージェントを設定するには、以下の手順を実行します。
1.
[スタート] > [すべてのプログラム] > [Palo Alto Networks] > [GlobalProtect] >
[GlobalProtect] の順に選択します。
クライアント インターフェイスが開き、[Settings] タブが表示されます。
2.
GlobalProtect 認証に使用するユーザー名とパスワードを指定し、オプションで
[Remember Me] チェック ボックスをオンにします。
3.
GlobalProtect ポータルとして機能するファイアウォールの IP アドレスを入力します。
4.
[Apply] をクリックします。
GlobalProtect エージェントの使用
GlobalProtect エージェントのタブには、状態および設定に関する有用な情報が含まれてお
り、接続問題のトラブルシューティングに役立つ情報が提供されます。
• [Status] タブ — 現在の接続状態を表示し、警告またはエラーを一覧表示します。
• [Details] タブ — ポータル IP アドレスおよびプロトコルなど、現在の接続に関する情報
を表示し、ネットワーク接続に関するバイトおよびパケット統計を示します。
• [Host State] タブ — HIP に保存されている情報を表示します。ウィンドウの左側のカテ
ゴリをクリックすると、ウィンドウの右側に、そのカテゴリの設定済み情報が表示され
ます。
472 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
GlobalProtect エージェントのセットアップ
• [Troubleshooting] タブ — トラブルシューティングに役立つ情報を表示します。
– Network Configurations — 現在のクライアント システム設定を表示します。
– Routing Table — GlobalProtect 接続の現在のルート指定方法についての情報を表示し
ます。
– Sockets — 現在アクティブな接続のソケット情報を表示します。
– Logs — GlobalProtect エージェント(PanGP エージェント)およびサービス(PanGP
サービス)のログを表示できるようにします。ログ タイプとデバッグ レベルを選択
します。[Start] をクリックするとログが開始し、[Stop] をクリックするとログが停止
します。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 473
GlobalProtect エージェントのセットアップ
474 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
第 10 章
Quality of Services (QoS) の設定
このセクションでは、ファイアウォールに Quality of Services (QoS) を設定する方法につい
て説明します。QoS の完全な実装をサポートする構成要素の設定の詳細は、以下の表の各ト
ピックを参照してください。QoS をセットアップした後、QoS 処理を受信するトラフィック
をモニターすることもできます。
探している情報
以下を参照
QoS 処理を受信するトラフィッ
クを定義し、それにサービスの
QoS クラスを割り当てる。
「QoS ポリシーの定義」
各クラスの帯域幅制限と優先度
を設定し、サービスの QoS クラ
スを定義する。
「QoS プロファイルの定義」
インターフェイスで QoS を有効
にする。
「ファイアウォール インターフェイスの QoS の有
効化」
QoS 処理を受信するトラフィッ
クをモニターする。
「QoS インターフェイスのモニタリング」
その他の情報をお探しで
すか?
Palo Alto Networks
「Quality of Service」を参照してください。
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 475
QoS プロファイルの定義
QoS プロファイルの定義
[Network] > [ネットワーク プロファイル] > [QoS プロファイル]
インターフェイスごとに、QoS トラフィック クラスの処理方法を決定する QoS プロファイ
ルを定義できます。クラスに関係なく帯域幅全体に対する制限を設定できます。また、個々
のクラスごとに制限を設定することもできます。個々のクラスに優先順位を割り当てること
もできます。優先順位によって、競合がある場合のトラフィックの処理方法が決まります。
QoS プロファイルを定義するには、[追加] をクリックし、以下の表の説明に従ってフィール
ドに入力します。
ファイアウォール インターフェイスに QoS を設定する方法の詳細は
「ファイアウォール インターフェイスの QoS の有効化」 を、QoS 制限を
アクティベーションするポリシーを設定する方法の詳細は「QoS 統計情
報」 を参照してください。
表 228. QoS プロファイル設定
フィールド
説明
プロファイル名
プロファイルの識別に使用する名前を入力します(最大 31 文字)。名前
の大文字と小文字は区別されます。また、一意の名前にする必要があり
ます。文字、数字、スペース、ハイフン、およびアンダースコアのみを
使用してください。
最大保証帯域 出力側
このプロファイルで許容される最大帯域幅 (Mbps) を入力します。
QoS プロファイルの [最低保証帯域 出力側] の値は、QoS が有効になっ
ている物理インターフェイスに定義された [最低保証帯域 出力側] の値以
下でなければなりません。「ファイアウォール インターフェイスの QoS
の有効化」 を参照してください。
注:[最大保証帯域 出力側] は必須フィールドではありませんが、QoS
プロファイルのこの値は常に定義しておくことをお勧めします。
最低保証帯域 出力側
このプロファイルで保証する帯域幅 (Mbps) を入力します。
476 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
QoS ポリシーの定義
表 228. QoS プロファイル設定(続き)
フィールド
説明
クラス
[追加] をクリックして、個々の QoS クラスの処理方法を指定します。設
定する 1 つ以上のクラスを選択できます。
• クラス — クラスを設定しなくても、QoS ポリシーにクラスを含めるこ
とができます。その場合、トラフィックは QoS 全体に対する制限の対
象になります。QoS ポリシーに一致していないトラフィックはクラス
4 に割り当てられます。
• 優先順位 — クラスに割り当てる優先度を選択します。
– real-time
– high
– medium
– low
• 最大保証帯域 出力側 — このクラスの帯域幅制限 (Mbps) を入力します。
QoS クラスの [最低保証帯域 出力側] の値は、QoS プロファイルに定義
された [最低保証帯域 出力側] の値以下でなければなりません。
注:[最大保証帯域 出力側] は必須フィールドではありませんが、QoS
プロファイルのこの値は常に定義しておくことをお勧めします。
最低保証帯域 出力側 — このクラスの保障帯域幅 (Mbps) を入力します。
競合が発生すると、優先順位の低いトラフィックが破棄されます。優先
順位 [Real-time] では、固有のキューが使用されます。
QoS ポリシーの定義
[Policies] > [QoS]
QoS ポリシーは、QoS が有効になっているインターフェイスを通過するときのトラフィック
の処理を分類する方法を決定します。各ルールには、8 つのクラスのうちのいずれか 1 つを
指定します。アクティベーションするルールを指定するスケジュールを割り当てることもで
きます。未分類トラフィックは、自動的にクラス 4 に割り当てられます。
Panorama のポリシーの定義の詳細は、「Panorama でのポリシーの定義」を参照してくだ
さい。
[追加] をクリックして [QoS ポリシー ルール] ダイアログを開きます。[QoS ポリシー ルール] ダ
イアログには、表 229 に示すように 6 つのサブタブがあります。
• 「[全般] タブ」
• 「[送信元] タブ」
• 「[宛先] タブ」
• 「[アプリケーション] タブ」
• 「[サービス / [URL カテゴリ] タブ」
• 「[DSCP/TOS] タブ」
• 「[その他の設定] タブ」
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 477
QoS ポリシーの定義
ファイアウォール インターフェイスに QoS を設定する方法の詳細は
「ファイアウォール インターフェイスの QoS の有効化」を、サービス ク
ラスを設定する方法の詳細は「QoS 統計情報」を参照してください。
QoS ポリシー ページを使用して、以下のようないくつかのアクションを実行できます。
• 特定の仮想システムのルールを表示するには、[仮想システム] ドロップダウン リストか
らそのシステムを選択して [実行] をクリックします。
• リストにフィルタを適用するには、[フィルタ ルール] ドロップダウン リストから選択し
ます。
• 特定のゾーンのルールのみを表示するには、[送信元ゾーン] ドロップダウン リストや
[宛先ゾーン] ドロップダウン リストからそのゾーンを選択し、[ゾーンによるフィルタ]
をクリックします。
Panorama からプッシュされた共有ポリシーは緑色で表示され、デバイス
上からは編集することができません。
• 新しい QoS ルールを追加するには、以下のいずれかを実行します。
– ページの下部にある [追加] をクリックしてルールを設定します。新しいルールがリス
トの下部に追加されます。
– [ルールのコピー] を選択するか、ルールの余白部分をクリックしてルールを選択し、
ページ下部の [コピー] をクリックします(ルールを選択すると背景が青色になりま
す)。コピーされたルールが選択したルールの下に挿入されます。
表 229. QoS ルール設定
フィールド
説明
[全般] タブ
名前
ルールの識別に使用する名前(最大 31 文字)を入力します。名前の大文
字と小文字は区別されます。また、一意の名前にする必要があります。
文字、数字、スペース、ハイフン、およびアンダースコアのみを使用し
てください。
説明
任意の説明を入力します。
タグ
ポリシーにタグを付ける場合、[追加] をクリックしてタグを指定します。
ポリシー タグとは、ポリシーをソートまたはフィルタリングできるキー
ワードや語句です。多数のポリシーを定義していて、特定のキーワード
でタグが付けられたポリシーを表示する場合に役立ちます。たとえば、
特定のセキュリティ ポリシーに DMZ へのインバウンドのタグを付けた
り、復号ポリシーに「復号」と「復号なし」というタグを付けたり、特
定のデータ センターに関するポリシーにその場所の名前を使用したりで
きます。
[送信元] タブ
送信元ゾーン
1 つ以上の送信元ゾーンを選択します(デフォルトは [any])。ゾーンは
同じタイプ([レイヤー 2]、[レイヤー 3]、[バーチャル ワイヤー])であ
る必要があります。
478 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
QoS ポリシーの定義
表 229. QoS ルール設定(続き)
フィールド
説明
送信元アドレス
IPv4 または IPv6 アドレスの送信元の組み合わせを指定します。識別さ
れたアプリケーションの送信元アドレス情報は、これらのアドレスで
オーバーライドされます。特定のアドレスを選択するには、ドロップダ
ウン リストから [select] を選択して、以下のいずれかを実行します。
• [使用可能な列] で該当するアドレス
やアドレス グループ
の
横にあるチェック ボックスをオンにし、[追加] をクリックして選択内
容を [選択した列] に追加します。
• 名前の最初の数文字を [検索] フィールドに入力します。入力した文字
で始まるすべてのアドレスおよびアドレス グループが一覧表示されま
す。一覧の項目を選択すると、[使用可能な列] のチェック ボックスが
オンになります。この操作を必要な回数だけ繰り返し、次に [追加] を
クリックします。
• 1 つ以上の IP アドレスを(1 行ごとに 1 つ)入力します。ネットワー
ク マスクは指定してもしなくてもかまいません。一般的な形式は以下
のとおりです。
<ip_address>/<mask>
• アドレスを削除するには、[選択済み] 列で該当するチェック ボックス
をオンにして [削除] をクリックするか、[いずれか] を選択して、すべ
てのアドレスおよびアドレス グループをクリアします。
このポリシーまたは別のポリシーで使用できる新しいアドレスを追加す
るには、[新規アドレス] をクリックします。新しいアドレス グループを
定義する方法については、「アドレス グループの定義」 を参照してく
ださい。
送信元ユーザー
QoS ポリシーが適用される送信元のユーザーおよびグループを指定し
ます。
Negate
このタブで指定した情報が一致しない場合にポリシーを適用するには、
このチェック ボックスをオンにします。
[宛先] タブ
宛先ゾーン
Palo Alto Networks
1 つ以上の宛先ゾーンを選択します(デフォルトは [any])。ゾーンは同
じタイプ([レイヤー 2]、[レイヤー 3]、[バーチャル ワイヤー])である
必要があります。
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 479
QoS ポリシーの定義
表 229. QoS ルール設定(続き)
フィールド
説明
宛先アドレス
IPv4 または IPv6 アドレスの送信元の組み合わせを指定します。識別さ
れたアプリケーションの送信元アドレス情報は、これらのアドレスで
オーバーライドされます。特定のアドレスを選択するには、ドロップダ
ウン リストから [select] を選択して、以下のいずれかを実行します。
• [使用可能な列] で該当するアドレス
やアドレス グループ
の
横にあるチェック ボックスをオンにし、[追加] をクリックして選択内
容を [選択した列] に追加します。
• 名前の最初の数文字を [検索] フィールドに入力します。入力した文字
で始まるすべてのアドレスおよびアドレス グループが一覧表示されま
す。一覧の項目を選択すると、[使用可能な列] のチェック ボックスが
オンになります。この操作を必要な回数だけ繰り返し、次に [追加] を
クリックします。
• 1 つ以上の IP アドレスを(1 行ごとに 1 つ)入力します。ネットワー
ク マスクは指定してもしなくてもかまいません。一般的な形式は以下
のとおりです。
<ip_address>/<mask>
• アドレスを削除するには、[選択済み] 列で該当するチェック ボックス
をオンにして [削除] をクリックするか、[いずれか] を選択して、すべ
てのアドレスおよびアドレス グループをクリアします。
このポリシーまたは別のポリシーで使用できる新しいアドレスを追加す
るには、[新規アドレス] をクリックします(「アプリケーションの定
義」 を参照)。新しいアドレス グループを定義する方法については、
「アドレス グループの定義」 を参照してください。
Negate
このタブで指定した情報が一致しない場合にポリシーを適用するには、
このチェック ボックスをオンにします。
[アプリケーション]
タブ
アプリケーション
QoS ルールを適用する特定のアプリケーションを選択します。新しいア
プリケーションを定義する方法については、「アプリケーションの定
義」 を参照してください。アプリケーション グループを定義する方法に
ついては、「アプリケーション グループの定義」 を参照してください。
アプリケーションに複数の機能がある場合、アプリケーション全体また
は個別の機能を選択できます。アプリケーション全体を選択した場合、
すべての機能が含まれ、将来、機能が追加されるとアプリケーション定
義が自動的に更新されます。
QoS ルールでアプリケーション グループ、フィルタ、またはコンテナを
使用している場合は、[アプリケーション] 列のオブジェクトの上にマウ
スを置き、下向き矢印をクリックして [値] を選択すると、オブジェクト
の詳細が表示されます。これにより、[Object] タブに移動しなくても、
ポリシーから直接アプリケーション メンバーを簡単に表示できます。
480 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
QoS ポリシーの定義
表 229. QoS ルール設定(続き)
フィールド
説明
[サービス /
[URL カテゴリ] タブ
サービス
特定の TCP や UDP のポート番号に制限するには、サービスを選択しま
す。ドロップダウン リストから以下のいずれかを選択します。
• any — 選択したアプリケーションがすべてのプロトコルやポートで許可
または拒否されます。
• application-default — 選択したアプリケーションが、Palo Alto Networks
によって定義されたデフォルトのポートでのみ許可または拒否されま
す。これは、許可ポリシーの推奨オプションです。
• Select — [追加] をクリックします。既存のサービスを選択するか、[サー
ビス] または [サービス グループ] を選択して新しいエントリを指定し
ます。「サービス」 および「サービス グループ」 を参照してください。
URL カテゴリ
QoS ルールを適用する URL カテゴリを選択します。
• URL カテゴリに関係なくセッションでこの QoS ルールを照合できるよ
うにするには、[いずれか] を選択します。
• カテゴリを指定するには、[追加] をクリックし、ドロップダウン リス
トから特定のカテゴリ(カスタム カテゴリも含む)を選択します。複
数のカテゴリを追加できます。カスタム カテゴリの定義方法の詳細
は、「ダイナミック ブロック リスト」 を参照してください。
[DSCP/TOS] タブ
任意の DSCP マーキング / 分類が設定されたトラフィックに対して QoS
ルールを照合するか、トラフィックに照合する特定のコードポイントを
選択します。
any
[any] オプション(デフォルト設定)を選択すると、トラフィックに定義
された Differentiated Services Code Point (DSCP) 値または IP 優先度 / Type
of Service (ToS) にかかわらず、ポリシーをトラフィックに照合できます。
コードポイント
[コードポイント] を選択すると、トラフィックは、パケットの IP ヘッダー
に定義された DSCP 値または ToS 値に基づいて QoS 処理を受信できま
す。DSCP 値と ToS 値は、トラフィックに要求されるサービス レベル
(最優先、ベスト エフォート配信など)を示すために使用されます。
コードポイントを QoS ポリシーの一致基準として使用すると、セッショ
ンは、セッション開始時に検出されたコードポイントに基づいて QoS 処
理を受信できます。
QoS ポリシーにトラフィックを照合させるには、引き続きコードポイン
トを [追加] します。
• コードポイント エントリに分かりやすい [名前] を付けます。
• QoS ポリシーの一致条件として使用するコードポイントの [タイプ] を
選択し、特定の [コードポイント] 値を選択します。[コードポイント名]
と [バイナリ値] を入力することにより、[カスタム コードポイント] を
作成することもできます。
[その他の設定] タブ
クラス
ルールに割り当てる QoS クラスを選択して、[OK] をクリックします。
クラス特性は、QoS プロファイルで定義します。QoS クラスの設定方法
の詳細は、「QoS 統計情報」を参照してください。
スケジュール
適用する QoS ポリシーのスケジュールを設定するには、カレンダー ア
イコンを選択します。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 481
ファイアウォール インターフェイスの QoS の有効化
ファイアウォール インターフェイスの QoS の有効化
[Network] > [QoS]
[QoS] ページでは、インターフェイスの帯域幅制限を設定し、インターフェイスでの出力ト
ラフィックの Quality of Service (QoS) を有効にします。QoS インターフェイスを有効にする
には、QoS プロファイルをインターフェイスに追加する必要があります。
探している情報
以下を参照
Palo Alto Networks の次世代ファ
イアウォールの QoS について。
「QoS の概要」
インターフェイスで QoS を有効
にする前にすべきこと。
トラフィックの送信元、宛先、アプリケーション、DSCP 値に
基づいてサービスの QoS クラスを受信するようにトラフィック
を定義します。
「QoS ポリシーの定義」
サービスの QoS クラスを定義します。これには、サービスの各
クラスの最大 / 保証帯域幅や優先度(リアルタイム、高、中、
低)の設定が含まれます。
「QoS プロファイルの定義」
インターフェイスで QoS を有効
にするために使用可能なフィー
ルド。
「インターフェイスでの QoS の有効化」
QoS インターフェイスをセット
アップした後、QoS 処理を受信
するトラフィックを引き続きモ
ニターする方法。
「QoS インターフェイスのモニタリング」
その他の情報をお探しで
すか?
「Quality of Service」を参照してください。
QoS の概要
Quality of Service (QoS) により、ネットワーク トラフィックの特定のフローに対して帯域幅
と優先度を保証できます。Palo Alto Networks の次世代ファイアウォールに QoS を実装する
には、以下の 3 つの構成要素が必要です。
• QoS ポリシー ルール — トラフィックの送信元、宛先、アプリケーション、Differentiated
Services Codepoint (DSCP) に基づいてトラフィックに照合するように QoS ポリシー
ルールを定義します。QoS ポリシー ルールに照合されたトラフィックには、受信する
サービスの QoS クラスが割り当てられます([ポリシー] > [QoS])。
• QoS プロファイル — サービスの各 QoS クラスの帯域幅と優先度を定義するために QoS
プロファイルを作成します([Network] > [ネットワーク プロファイル] > [QoS プロファ
イル])。サービスのクラスごとに保証帯域幅または最大帯域幅を定義できます。また、
リアルタイム、高、中、低の優先度を受信するようにクラスを定義することもできます。
482 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ファイアウォール インターフェイスの QoS の有効化
• QoS インターフェイス — インターフェイスで QoS を有効にし、そのインターフェイスか
らの出力時にトラフィックのシェーピングと優先順位付けを行えるようにします
([Network] > [QoS])。インターフェイスの帯域幅を制限または保証するためにインター
フェイスで QoS を有効にすることもできます。
インターフェイスでの QoS の有効化
[Network] > [QoS]
QoS インターフェイスを [追加] または変更します。QoS は物理インターフェイスでサポート
されますが、ファイアウォール プラットフォームによっては、サブインターフェイスや
Ethernet の集約(AE) インターフェイスでもサポートされます。お使いのファイアウォール
プラットフォームでサポートされている QoS 機能を確認するには、Palo Alto Networks の製
品比較ツールを参照してください。
表 230. QoS インターフェイス設定
フィールド
設定場所
説明
インターフェイ
ス名
[Qos インター
フェイス] >
[物理インター
フェイス]
QoS を有効にするファイアウォール インターフェイスを選択します。
最大保証帯域 出
力側 (Mbps)
このインターフェイスを介してファイアウォールから出力されるトラ
フィックの制限値を入力します。
注:[最大保証帯域 出力側] は必須フィールドではありませんが、QoS イ
ンターフェイスのこの値は常に定義しておくことをお勧めします。
このチェック ボックスをオンにすると、選択したインターフェイスで
QoS が有効になります。
このインター
フェイスの
QoS 機能をオ
ンにする
クリア テキスト
トンネル イン
ターフェイス
トンネル イン
ターフェイス
最低保証帯域
出力側 (Mbps)
最大保証帯域
出力側 (Mbps)
Palo Alto Networks
[Qos インター
フェイス] >
[物理インター
フェイス] >
[デフォルト
プロファイル]
クリア テキスト トラフィックおよびトンネル トラフィックのデフォル
トの QoS プロファイルを選択します。それぞれにデフォルトのプロファ
イルを指定する必要があります。クリア テキスト トラフィックの場
合、デフォルトのプロファイルはすべてのクリア テキスト トラフィッ
クに一括適用されます。トンネル トラフィックの場合、デフォルトのプ
ロファイルは、詳細設定セクションで特定のプロファイルが割り当てら
れていない各トンネルに個別に適用されます。QoS プロファイルの定義
手順の詳細は、「QoS 統計情報」を参照してください。
[QoS インター
フェイス] >
[クリア テキス
ト トラフィック /
トンネル対象
トラフィック]
このインターフェイスからのクリア テキストまたはトンネル対象トラ
フィックに保証される帯域幅を入力します。
このインターフェイスを介してファイアウォールから出力されるクリア
テキストまたはトンネル対象トラフィックの制限値を入力します。
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 483
ファイアウォール インターフェイスの QoS の有効化
表 230. QoS インターフェイス設定(続き)
フィールド
追加
設定場所
説明
• クリア テキスト トラフィックの処理に対する追加詳細を定義するには、
[クリア テキスト トラフィック] タブで [追加] をクリックします。個々
のエントリをクリックして、以下の設定を指定します。
– 名前 — ここでの設定の識別に使用する名前を入力します。
– QoS プロファイル — 指定したインターフェイスとサブネットに適用
する QoS プロファイルを選択します。QoS プロファイルの定義手順
の詳細は、「QoS 統計情報」 を参照してください。
– 送信元インターフェイス — 送信元側のファイアウォール インター
フェイスを選択します。
– 送信元サブネット — 送信元のサブネットを選択すると、そのサブネッ
トからのトラフィックのみに各設定が適用されます。デフォルト値
の [any] をそのまま使用すると、指定したインターフェイスからの
すべてのトラフィックに対して各設定が適用されます。
• 特定のトンネルに対するデフォルト プロファイルの割り当てをオーバー
ライドするには、[トンネル対象トラフィック] タブで [追加] をクリッ
クし、以下の設定を指定します。
– トンネル インターフェイス — ファイアウォールのトンネル インター
フェイスを選択します。
– QoS プロファイル — 指定したトンネル インターフェイスに適用す
る QoS プロファイルを選択します。
たとえば、ファイアウォールに対して 45 Mbps で接続するサイトと T1
で接続するサイトを設定するとします。このとき、T1 サイトには接続が
過負荷状態にならないように制限の厳しい QoS 設定を適用する一方で、
45 Mbps で接続するサイトにはより柔軟な設定を適用できます。
クリア テキストまたはトンネル対象トラフィックのエントリを削除する
には、エントリのチェック ボックスをオンにして [削除] をクリックし
ます。
[クリア テキスト] または [トンネル対象トラフィック] セクションが空白
のままの場合、[物理インターフェイス] タブの [デフォルト プロファイ
ル] セクションで指定した値が使用されます。
484 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ファイアウォール インターフェイスの QoS の有効化
QoS インターフェイスのモニタリング
[Network] > [QoS]
[統計] リンクを選択すると、設定した QoS インターフェイスの帯域幅、セッション、および
アプリケーションの情報が表示されます。左パネルには、QoS ツリー テーブル、右パネルに
は、以下のタブにデータが表示されます。
表 231. QoS 統計情報
フィールド
説明
帯域幅
選択したノードとクラスの帯域幅チャートがリアルタイムで表示されます。こ
の情報は 2 秒ごとに更新されます。
注:QoS クラスに設定された [最大保証帯域 出力側] と [最低保証帯域 出力側]
の制限は、[QoS 統計情報] 画面では若干異なる値が表示される場合がありま
す。これは、ハードウェア エンジンが帯域幅の制限とカウンタを集約する方法
によって発生する正常動作です。帯域幅の使用率グラフにはリアルタイムの値
と数量が表示されるため、運用上の問題はありません。
アプリケー
ション
選択した QoS ノードやクラスのアクティブなアプリケーションすべてのリスト
が表示されます。
送信元ユー
ザー
選択した QoS ノードやクラスのアクティブな送信元ユーザーすべてのリストが
表示されます。
宛先ユーザー
選択した QoS ノードやクラスのアクティブな宛先ユーザーすべてのリストが表
示されます。
セキュリティ
ルール
選択した QoS ノードやクラスに一致し、それを適用するセキュリティ ルールの
リストが表示されます。
QoS ルール
選択した QoS ノードやクラスに一致し、それを適用する QoS ルールのリストが
表示されます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 485
ファイアウォール インターフェイスの QoS の有効化
486 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
第 11 章
Panorama を使用したデバイス中央管理
Panorama は次世代ファイアウォールの Palo Alto Networks ファミリ用の中央管理システム
であり、専用ハードウェア プラットフォームとして、および VMware バーチャル アプライ
アンスとして使用できます。Web ベースのインターフェイスの外観や操作感が個々のファイ
アウォールと同じであるため、ファイアウォールの中央管理にシームレスに移行でき、複数
のファイアウォールを管理する作業を削減できます。
このセクションは、Panorama Web インターフェイスを使用してネットワーク上のファイア
ウォールを管理するためのフィールド リファレンスとして役立ちます。Panorama の設定、
Panorama の概念およびワークフローの詳細は、『Panorama 管理者ガイド』を参照してく
ださい。
• 「[Panorama] タブ」
• 「デバイス コンテキストの切り替え」
• 「ストレージ パーティションのセットアップ」
• 「高可用性 (HA) の設定」
• 「デバイスの管理」
• 「ファイアウォール設定のバックアップ」
• 「デバイス グループの定義」
• 「Panorama 管理者ロールの定義」
• 「Panorama 管理アカウントの作成」
• 「管理者の Panorama アクセス ドメインの指定」
• 「Panorama での変更のコミット」
• 「テンプレートおよびテンプレート スタックの管理」
• 「ログおよびレポート」
• 「ログ転送の有効化」
• 「ログ コレクタの管理」
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 487
[Panorama] タブ
• 「ログ コレクタ グループの定義」
• 「ユーザー アクティビティ レポートの生成」
• 「デバイスの更新およびライセンスの管理」
• 「ダイナミック更新のスケジュール」
• 「設定のエクスポートのスケジューリング」
• 「Panorama ソフトウェアのアップグレード」
• 「NSX Manager 上のサービスとしての VM-Series ファイアウォールの登録」
[Panorama] タブ
Panorama
[Panorama] タブはファイアウォールの [Device] タブとほぼ同じですが、設定は Panorama
サーバーに適用され、管理対象ファイアウォールには適用されません。以下の表は、このタ
ブの各ページについて説明します。ページにアクセスするには、サイド メニューにあるペー
ジ名リンクをクリックします。
表 232. Panorama のページの要約
ページ
説明
セットアップ
Panorama ホスト名、管理インターフェイスのネットワーク設定、およびネッ
トワーク サーバー(DNS および NTP)のアドレスを指定できます。「管理
設定の定義」を参照してください。
テンプレート
[Device] および [Network] タブに基づいて設定オプションを管理するための
テンプレートとテンプレート スタックを作成できます。「テンプレートおよ
びテンプレート スタックの管理」に従ってテンプレートとテンプレート ス
タックを管理することで、よく似た設定の複数のファイアウォールを導入す
る場合の管理作業を削減できます。
設定監査
設定ファイルの表示や比較ができます。「操作設定の定義」および「デバイス
コンテキストの切り替え」を参照してください。
管理対象デバイス
Panorama の管理対象ファイアウォールを追加し、管理対象ファイアウォー
ルに共有設定をプッシュして、ファイアウォールまたはデバイス グループ全
体の包括的な設定監査を実行できます。「デバイスの管理」を参照してくだ
さい。
488 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
[Panorama] タブ
表 232. Panorama のページの要約(続き)
ページ
説明
デバイス グループ
機能、ネットワーク セグメント、または地理的な場所に基づいてファイア
ウォールをグループ化できます。デバイス グループには、物理ファイア
ウォール、仮想ファイアウォール、および仮想システムを含めることができ
ます。
通常、デバイス グループ内のファイアウォールには、類似のポリシー設定が
必要です。デバイス グループでは、Panorama の [Policies] および [Objects]
タブを使用して、管理対象ファイアウォールのネットワーク全体のポリシー
を管理する階層的な手段を実装できます。デバイス グループを最大 4 レベル
のツリー階層でネストできます。子孫グループは、先祖グループおよび共有
場所のポリシーおよびオブジェクトを自動的に継承します。「デバイス グ
ループの定義」を参照してください。
管理対象コレクタ
ログ コレクタの設定と管理ができます。ログ コレクタを Panorama モードの
M シリーズ アプライアンスに対してローカルとしたり(デフォルトのログ
コレクタ)、ログ コレクタ モードの M シリーズアプライアンス(専用のロ
グ コレクタ)としたりすることができます。
ログ コレクタは、Panorama モードの M シリーズ アプライアンスまたは
Panorama バーチャル アプライアンスで管理できます。Panorama を使用し
てログ コレクタを設定するため、ログ コレクタのことを管理対象コレクタ
と呼ぶこともあります。PAN-OS 5.0 以降のリリースを実行している管理対
象ファイアウォールのみが管理対象ログ コレクタにログを送信できます。
このタブを使用してログ コレクタのソフトウェアをアップグレードすること
もできます。そのためには、まず、最新の Panorama ソフトウェアをダウン
ロードし、[管理対象コレクタ] ページで [インストール] をクリックして、ダ
ウンロードした Panorama ソフトウェアをログ コレクタにプッシュします。
注:M シリーズ アプライアンスは、Panorama 管理サーバー、ログ コレク
タ、またはその両方である可能性があります。M シリーズ アプライアンスの
モ ー ド を変更する操作コマンドは、request system system-mode
[panorama | logger] です。現在のモードを表示するには、show
system info | match system-mode を実行します。
M シリーズ アプライアンスがログ コレクタ モードの場合、管理に使用でき
るのは CLI のみです。
詳細は、「ログ コレクタの管理」を参照してください。
コレクタ グループ
最大 8 つのログ コレクタを論理的にグループ化して、コレクタ グループ内の
すべてのログ コレクタに同じ設定を適用してから、ファイアウォールをその
ログ コレクタに割り当てることができます。Panorama はログをログ コレク
タ内のすべてのディスクおよびコレクタ グループ内のすべてのメンバーに均
一に分散します。Panorama ごとに最大 16 個のコレクタ グループを持たせ
ることができます。詳細は、「ログ コレクタ グループの定義」を参照して
ください。
管理者ロール
Panorama にアクセスする必要があるユーザーに割り当てられる権限と役割
を定義します。「Panorama 管理者ロールの定義」を参照してください。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 489
[Panorama] タブ
表 232. Panorama のページの要約(続き)
ページ
説明
パスワード プロ
ファイル
Panorama 管理者に適用できるパスワード プロファイルを定義できます。以
下のプロファイル オプションを設定できます。
• パスワード変更が必要になる期間(日)
• 失効の警告期間(日)
• 失効後の管理者ログイン回数
• 失効後の猶予期間(日)
管理者
Panorama にアクセスする必要があるユーザーのアカウントを定義できま
す。「Panorama 管理アカウントの作成」を参照してください。
注:ユーザー アカウントがロックアウトされている場合、[管理者] ページの
[ロックされたユーザー] 列にロック アイコンが表示されます。このアイコン
をクリックしてアカウントのロックを解除できます。
高可用性
Panorama デバイスのペアを設定して、高可用性 (HA) を構成することがで
きます。「高可用性 (HA) の設定」を参照してください。
証明書の管理
証明書、証明書プロファイル、鍵を設定および管理できます。「デバイス証
明書の管理」を参照してください。
ログ設定
SNMP (Simple Network Management Protocol) トラップ レシーバ、Syslog
サーバー、およびログ メッセージの配布先電子メール アドレスを定義でき
ます。
サーバー プロファ
イル
Panorama にサービスを提供するサーバーのプロファイルを指定できます。
以下のセクションを参照してください。
• 「電子メール通知設定の指定」
• 「SNMP トラップの宛先の設定」
• 「Syslog サーバーの設定」
• 「RADIUS サーバーの設定」
• 「TACACS+ サーバーの設定」
• 「LDAP サーバーの設定」
• 「Kerberos サーバーの設定」。
認証プロファイル
Panorama へのアクセスを認証するプロファイルを指定できます。「認証プ
ロファイルのセットアップ」を参照してください。
認証シーケンス
Panorama へのアクセスを許可するために使用する一連の認証プロファイル
を指定できます。「認証シーケンスのセットアップ」を参照してください。
アクセス ドメイン
アクセス ドメインを使用すると、デバイス グループ、テンプレート、テン
プレート スタック、およびデバイスの Web インターフェイス(「デバイス
コンテキストの切り替え」)への管理者アクセスを制御できます。「管理者
の Panorama アクセス ドメインの指定」を参照してください。
スケジュール設定
された設定のエク
スポート
Panorama および管理対象ファイアウォールから実行中の設定を収集して
File Transfer Protocol (FTP) サーバーに毎日送信することや、Secure Copy
(SCP) を使用して Panorama サーバーとリモート ホスト間でデータを安全に
転送することができます。「設定のエクスポートのスケジューリング」を参
照してください。
ソフトウェア
Panorama ソフトウェアの使用可能なリリースを表示し、選択されたバー
ジョンをダウンロードおよびインストールできます。「Panorama ソフト
ウェアのアップグレード」を参照してください。
490 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
デバイス コンテキストの切り替え
表 232. Panorama のページの要約(続き)
ページ
説明
ダイナミック更新
最新のアプリケーション定義やウイルス対策シグネチャ(脅威防御ライセン
スが必要)などの新しいセキュリティ上の脅威に関する情報を表示し、新し
い定義で Panorama を更新できます。「脅威およびアプリケーションの定義
の更新」を参照してください。
サポート
Palo Alto Networks 社の製品およびセキュリティ警告にアクセスできます。
「サポート情報の表示」を参照してください。
デバイスの
デプロイ
管理対象ファイアウォールの現在のライセンス情報を表示し、管理対象ファ
イアウォールおよび管理対象コレクタにソフトウェア、クライアント、およ
びダイナミック コンテンツをインストールできます。「デバイスの更新およ
びライセンスの管理」を参照してください。
ダイナミック更新のダウンロードとインストールのプロセスを自動化する方
法については、「ダイナミック更新のスケジュール」を参照してください。
マスター キー
および診断
ファイアウォールで秘密鍵を暗号化するためのマスター鍵を指定できます。
秘密鍵は、新しいマスター鍵が指定されていない場合でも、デフォルトで暗
号化形式を使用して保存されます。「ファイアウォールでの秘密鍵とパス
ワードの暗号化」を参照してください。
デバイス コンテキストの切り替え
デバイス コンテキストを切り替えることで、Panorama Web インターフェイスから管理対象
ファイアウォールの Web インターフェイスを起動し、ファイアウォール固有の設定(ファ
イアウォール固有のポリシー、ネットワーク設定、デバイス セットアップなど)に直接アク
セスして、その設定を管理できます。
個々のファイアウォールや Panorama 全体を選択するには、サイド メニューの上にある [コン
テキスト] ドロップダウンを使用します。ファイアウォールを選択すると、Web インター
フェイスが更新され、選択したファイアウォールのすべての [Device] タブとオプションが表
示されます。ドロップダウンには、管理アクセス権のあるファイアウォール(「Panorama
管理アカウントの作成」を参照)のうち、Panorama に接続されているファイアウォールの
みが表示されます。フィルタを使用して、検索基準を絞り込みます。
高可用性 (HA) モードにあるファイアウォールのアイコンは、HA 状態を示す色付きの背景
で表示されます。
• 緑 — アクティブ。
• 黄色 — パッシブ、またはファイアウォールが開始中(起動後、開始中状態が最大 60 秒継
続します)。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 491
ストレージ パーティションのセットアップ
• 赤 — ファイアウォールが非稼働状態(エラー状態)、サスペンド状態(管理者がファイ
アウォールを無効にした)、または仮の状態(アクティブ / アクティブ HA 設定におけ
るリンクまたはパスのモニタリング イベント用)である。
図 15. コンテキストの選択
ストレージ パーティションのセットアップ
[Panorama] > [セットアップ] > [操作] > [ストレージ パーティションの設定]
デフォルトで、Panorama はログ ファイルおよび統計データ用の内部ストレージを保持しま
す。デフォルトの Panorama インストールでは、すべてのデータ用に 1 つのディスク パー
ティションがセットアップされます。このパーティションには、ログ保存エリアとして 10 GB
が割り当てられます。
Panorama 仮想マシンをより大きなパーティションにインストールしても、ログ用のスペー
スは 10 GB より大きくなりません。これ以上の保存スペースが必要な環境をサポートするた
めに、ESX または ESXi の場合は最大 2 TB のカスタム仮想ディスクを作成するか、外部 NFS
データ ストアを設定できます。
492 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
高可用性 (HA) の設定
外部 NFS データ ストアを設定するには、[Panorama ] > [セットアップ] > [操作] の順に選択し、
[その他] セクションで [ストレージ パーティションの設定] をクリックします。
表 233.
ストレージ パーティション設定
フィールド
説明
内部
Panorama デバイスのログ ファイルおよび統計データ用の内部ストレージ
スペースを保持します。
NFS v3
ストレージ用の外部 NFS サーバー マウント ポイントを指定します。以
下の設定を指定します。
• サーバー — NFS サーバーの完全修飾ドメイン名 (FQDN) または IP ア
ドレスを指定します。
• ログ ディレクトリ — ログが保存されるディレクトリの完全パス名を指
定します。
• プロトコル — NFS サーバーとの通信用プロトコルを指定します(UDP
または TCP)。
• ポート — NFS サーバーとの通信用ポートを指定します。
• 読み取りサイズ — NFS 読み取り操作の最大サイズ(バイト)を指定し
ます(範囲は 256 ~ 32768)。
• 書き込みサイズ — NFS 書き込み操作の最大サイズ(バイト)を指定し
ます(範囲は 256 ~ 32768)。
• セットアップ時にコピー — Panorama デバイスが起動したときに、NFS
パーティションをマウントし、既存のすべてのログをサーバー上の宛
先ディレクトリにコピーする場合に、このチェック ボックスをオンに
します。
• ロギング パーティションのテスト — クリックすると、NFS パーティショ
ンをマウントし、成功メッセージまたは失敗メッセージを表示するテ
ストが実行されます。
ストレージ パーティションの設定後に Panorama サーバーを再起動する
必要があります。
高可用性 (HA) の設定
[Panorama] > [高可用性]
高可用性 (HA) では、障害が発生した場合に備えて冗長が許可されます。HA を確保するた
め、各管理対象ファイアウォールへの同期接続が行える HA ピア設定で、ハードウェア ベー
スの Panorama アプライアンスまたは Panorama バーチャル アプライアンスのペアを導入し
ます。HA 設定のピアでは、1 つのデバイスをプライマリ、もう一方のデバイスをセカンダ
リに指定する必要があります。モニター対象メトリックに障害が発生するまで、プライマリ
デバイスがアクティブ状態になり、セカンダリ デバイスがパッシブ状態になります。ピアで
は、動作ステータスを確認するためハートビートまたは定期的な ICMP ping が保持されま
す。アクティブな Panorama サーバーが使用できなくなると、パッシブ サーバーが一時的に
引き継ぎます。プリエンプションが有効になっている(デフォルト設定)場合、アクティブ
な Panorama サーバーが再度使用可能になると、パッシブ サーバーは制御を放棄し、パッシ
ブ状態に戻ります。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 493
高可用性 (HA) の設定
Panorama バーチャル アプライアンスの HA ペアを設定するには、仮想イ
ンスタンスごとに一意のシリアル番号を持つ 2 つの Panorama ライセンス
が必要です。
Panorama で HA を有効にするには、以下のように設定します。
表 234. Panorama HA 設定
フィールド
説明
セットアップ
HA の有効化
HA を有効にするには、このチェック ボックスをオンにします。
ピア HA IP アドレス
ピアの MGT インターフェイスの IP アドレスを入力します。
暗号化を有効
HA キーを HA ピアからエクスポートしてこのデバイスにインポートした
後で、暗号化を有効にします。このデバイスの HA キーは、このデバイス
からエクスポートして HA ピアにインポートする必要もあります。MGT イ
ンターフェイスが有効になると、HA ピア間の通信が暗号化されます。
キーのインポート / エクスポートは [証明書] ページで実行します。「デバ
イス証明書の管理」を参照してください。
注:HA 接続には、暗号化が有効になっている場合は TCP ポート 28 が使用
され、有効になっていない場合は 28769 が使用されます。
ホールド タイムのモ
ニター(ミリ秒)
制御リンク障害に対処するまでにシステムが待機する時間(ミリ秒)を入
力します(1000 ~ 60000 ミリ秒、デフォルトは 3000 ミリ秒)。
選択設定
優先順位
(仮想 Panorama で
のみ必要)
プリエンプティブ
各ペアで、一方のデバイスをプライマリとして割り当て、もう一方のデバ
イスをセカンダリとして割り当てます。
このプライマリまたはセカンダリの設定により、管理対象ファイアウォー
ルから送信されるログを受け取るプライマリ ピアが決まります。Panorama
を設定して、割り当てられたプライマリ デバイスおよびセカンダリ デバイ
スに同じログ用の外部ストレージ機能(Network File System または NFS
オプション)が使用されるようにしたり、ログを内部で設定したりするこ
とができます。NFS オプションを使用すると、プライマリ デバイスのみ
が、管理対象ファイアウォールから送信されたログを受け取ります。ただ
し、ローカル ログが有効に設定されていれば、デフォルトによりログはプ
ライマリ デバイスとセカンダリ デバイスの両方に送信されます。
Panorama のプライマリ デバイスが障害から回復した後にアクティブな動
作を再開できるようにするには、このチェック ボックスをオンにします。
これがオフに設定されている場合、優先度の高いデバイスが障害から回復
した後も、セカンダリ デバイスがアクティブのまま動作します。
494 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
高可用性 (HA) の設定
表 234. Panorama HA 設定(続き)
フィールド
説明
プリエンプション
ホールド タイム
(分)
パッシブ デバイスがアクティブ デバイスとして引き継ぐまでに待機する時
間を入力します(範囲は 1 ~ 60 分、デフォルトは 1 分)。
プロモーション ホー
ルド タイム
(ミリ秒)
セカンダリ デバイスが引き継ぐまでに待機する時間を入力します(範囲は
0 ~ 60000 ミリ秒、デフォルトは 2000 ミリ秒)。
Hello 間隔
(ミリ秒)
hello パケットを送信してもう一方のデバイスが動作していることを確認す
る間隔をミリ秒で入力します(範囲は 8000 から 60000 ミリ秒、デフォルト
は 8000 ミリ秒)。
ハートビート間隔
(ミリ秒)
Panorama が ICMP ping を HA ピアに送信する頻度を指定します(範囲は
1000 ~ 60000 ミリ秒、デフォルトは 1000 ミリ秒)。
モニター障害時ホー
ルド アップ タイム
(ミリ秒)
Panorama が、パス モニターの障害が発生した後に待機する時間を指定し
ます(デフォルトは 0 ミリ秒)。この時間を経過すると、Panorama はパッ
シブ状態に戻ろうとします。この間、障害が発生してもデバイスはアク
ティブ デバイスを引き継ぐことができません。
追加のマスター ホー
ルド アップ タイム
(ミリ秒)
優先度の高いデバイスがパッシブ状態を維持する時間を指定します(デ
フォルトは 7000 ミリ秒)。この時間が経過すると、そのデバイスはアク
ティブ デバイスとして引き継ぎます。
パス モニタリング
有効
パスのモニタリングを有効にするには、このチェック ボックスをオンにし
ます。パスのモニタリングをオンにすると、Panorama は、ICMP ping メッ
セージを送信してレスポンスがあることを確認することで、指定した宛先
IP アドレスをモニターします。
失敗条件
モニターしているパス グループの一部またはすべてで応答できない場合に
フェイルオーバーを発生させるかどうかを選択します。
Path Groups
特定の宛先アドレスをモニターする 1 つ以上のパス グループを定義します。
パス グループを追加するには、以下を指定して [追加] をクリックします。
• 名前 — パス グループの名前を指定します。
• 有効 — パス グループを有効にする場合、このチェック ボックスをオンに
します。
• 失敗条件 — 指定した宛先アドレスの一部またはすべてが応答できない場合
に、エラーを発生させるかどうかを選択します。
• Ping 間隔 — ICMP エコー メッセージによってパスが有効であることを確
認する間隔を指定します(範囲は 1000 ~ 60000 ミリ秒、デフォルトは
5000 ミリ秒)。
• 宛先 IP — モニター対象となる 1 つ以上の宛先アドレスを入力します(複
数アドレスを指定する場合はコンマ区切りで入力します)。
• Ping 間隔 — 宛先アドレスに送信される ping 間の間隔を指定します(範
囲は 1000 ~ 60000 ミリ秒、デフォルトは 5000 ミリ秒)。
• Ping 数 — 失敗が宣言されるまでの失敗した ping 数を指定します(範囲
は 3 ~ 10、デフォルトは 3)。
パス グループを削除するには、グループを選択して [削除] をクリックし
ます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 495
デバイスの管理
デバイスの管理
[Panorama] > [管理対象デバイス]
Panorama が管理する Palo Alto Networks ファイアウォールを管理対象デバイスといいま
す。[管理対象デバイス] ページでは、ファイアウォールに対する管理タスクを実行し、その
状態情報を表示できます。
Panorama では、同じメジャー リリースまたはサポートされている以前の
バージョンを実行中の PAN-OS ファイアウォールを管理できますが、より
新しいリリース バージョンを実行中のファイアウォールは管理できませ
ん。たとえば、Panorama 5.0 では、PAN-OS 5.0 またはそれ以前のサポート
されているバージョンを実行しているファイアウォールを管理できます
が、PAN-OS 5.1 を実行しているファイアウォールを管理できません。
[管理対象デバイス] ページを使用して、以下のタスクを実行します。
• 管理対象デバイスの追加 — [追加] をクリックし、1 つ以上のファイアウォールのシリアル
番号を入力します。1 行当たり 1 つのシリアル番号のみを入力します。ファイアウォー
ルを管理対象デバイスとして追加した後、Panorama でそのデバイスに接続し、そのデ
バイスを管理できるようにするには、Panorama 管理サーバーでファイアウォールのシ
リアル番号を追加し、ファイアウォールで Panorama 管理サーバーの IP アドレスを追加
する必要があります(「管理設定の定義」を参照)。
• 管理対象デバイスの削除 — Panorama が管理するファイアウォールのリストからファイ
アウォールを削除するには、1 つ以上のファイアウォールのチェック ボックスをオンに
して、[削除] をクリックします。
• デバイスのタグ付け — 1 つ以上のファイアウォールのチェック ボックスを選択し、[タグ]
をクリックして、最大 31 文字のテキスト文字列を入力するか、既存のタグを選択しま
す。空白は使用できません。Web インターフェイスに多くのファイアウォールのリスト
が表示される場所(ソフトウェアのインストール用のダイアログなど)では、タグを使
用してリストをフィルタリングできます。たとえば、「branch office」というタグを追
加すると、ネットワーク全体から支店のファイアウォールすべてを検索できます。
• HA ピアのグループ化 — 高可用性 (HA) 設定のピアであるファイアウォールを [管理対象
デバイス] ページでグル-プ化する場合は、[HA ピアのグループ化] チェック ボックス
をオンにします。これにより、各 HA ペアに 1 つのチェック ボックスが提供されます。
アクティブ-パッシブ HA 設定の場合、両方のファイアウォール ピアまたはピアの仮想
システム(複数の仮想システム モードの場合)を同じデバイス グループに追加すること
を検討してください。これにより、両方の HA ピア ファイアウォールに設定を同時に
プッシュできます。
496 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
デバイスの管理
• ソフトウェアまたはコンテンツ更新のインストール — [インストール] をクリックし、以
下のオプションを選択します。
表 235 管理対象デバイスのソフトウェア / コンテンツの更新
フィールド
説明
タイプ
インストールする更新のタイプ(PAN-OS ソフトウェア、
GlobalProtect クライアント ソフトウェア、アプリケーションおよ
び脅威のシグネチャ、アンチウイルス シグネチャ、WildFire、または
URL フィルタリング)を選択します。
ファイル
更新イメージを選択します。ドロップ ダウンには、[Panorama] > [デ
バイスのデプロイ] ページを使用して Panorama にダウンロードまた
はアップロードしたイメージのみが表示されます。
デバイス
イメージをインストールするファイアウォールを選択するには、
フィルタを使用します。
デバイスにのみアップロード
(インストールは行わない)
ファイアウォールにイメージをアップロードするが、ファイアウォー
ルの再起動を後で行う場合は、このオプションを選択します。
再起動するまで、PAN-OS はイメージをインストールしません。
インストールの後にデバイ
スを再起動
ソフトウェア イメージをアップロードしてインストールする場合
は、このオプションを選択します。PAN-OS はファイアウォールを
再起動します。
HA ピアのグループ化
HA 設定のピアであるファイアウォールを [デバイス] リストでグル
-プ化する場合は、このオプションを選択します。
フィルタが選択されています
[デバイス] リストに特定のファイアウォールのみを表示する場合、
対応する [デバイス名] チェック ボックスをオンにして、[フィルタ
が選択されています] チェック ボックスをオンにします。
管理対象ファイアウォールごとに [管理対象デバイス] ページに以下の情報が表示されます。
表 236. 管理対象デバイスの状態
フィールド
説明
デバイス グループ
ファイアウォールがメンバーとなっているデバイス グループの名
前が表示されます。デフォルトではこの列は非表示ですが、任意
の列ヘッダーのドロップダウンを選択し、[列] > [デバイス グルー
プ] を選択することでこの列を表示できます。
この列が表示されているかどうかに関係なく、デバイス グループ
に応じて、ページにクラスタ内のデバイスが表示されます。各ク
ラスタにヘッダー行があり、デバイス グループ名、割り当てられ
たデバイスの合計数、接続されたデバイスの数、階層内のデバイ
スグループのパスが表示されます。たとえば、「データセンター
(2/4 接続済みデバイス):共有 > ヨーロッパ > データセンター」
は、「データセンター」というデバイス グループに 4 つのメン
バー ファイアウォールが存在し(そのうち 2 つは接続されてお
り)、そのデバイス グループは「ヨーロッパ」というデバイス グ
ループの子であることを示します。任意のデバイス グループを折
りたたんだり展開したりすることで、そのファイアウォールを非
表示にしたり表示したりできます。
デバイス名
Palo Alto Networks
ファイアウォールのホスト名またはシリアル番号が表示されます。
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 497
デバイスの管理
表 236. 管理対象デバイスの状態(続き)
フィールド
説明
仮想システム
[複数の仮想システム] モードになっているファイアウォール上で利
用できる仮想システムが一覧表示されます。
タグ
各ファイアウォール / 仮想システムに定義されているタグが表示
されます。
シリアル番号
ファイアウォールのシリアル番号が表示されます。
IP アドレス
ファイアウォール / 仮想システムの IP アドレスが表示されます。
テンプレート
ファイアウォールが属するテンプレートまたはテンプレート ス
タックが表示されます。
状態
デバイス状態 — Panorama とファイアウォール間の接続の状態
(接続済みまたは切断)が示されます。
VM-Series のファイアウォールには別の 2 つの状態が存在する可能
性があります。
• 非アクティブ化済み — ファイアウォール上で仮想マシンが直接非
アクティブ化されたか、[Panorama] > [デバイスのデプロイ] > [ラ
イセンス] ページの [VM の非アクティブ化] リンクを使用して仮
想マシンが非アクティブ化され、ファイアウォールですべてのラ
イセンス / 登録が削除されたことを示します。非アクティブ化プ
ロセスによって VM-Series ファイアウォールのシリアル番号が削
除 さ れ る た め、非 ア ク テ ィ ブ 化 さ れ た フ ァ イ ア ウ ォ ー ル は
Panorama から切断されます。
• 部分的に非アクティブ化済み — Panorama からライセンスの非ア
クティブ化プロセスが開始されたが、ファイアウォールがオフラ
インであり、Panorama がファイアウォールと通信できないため
プロセスがすべて完了していないことを示します。
HA 状態 — ファイアウォールがアクティブ状態(通常のトラフィッ
ク処理操作状態)、パッシブ状態(通常のバックアップ状態)、
開始中状態(起動後にデバイスは最大 60 秒間この状態になる)、
非稼働状態(エラー状態)、サスペンド状態(管理者がファイア
ウォールを無効にした)、または仮の状態(アクティブ / アク
ティブ設定におけるリンクまたはパスのモニタリング イベント
用)のどれであるかを示します。
共有ポリシー — ファイアウォールのポリシーとオブジェクト設定
が Panorama と同期しているかどうかを示します。
テンプレート — ファイアウォールのネットワークとデバイス設定が
Panorama と同期しているかどうかを示します。
最終コミット状態 — ファイアウォールで最後のコミットが失敗し
たか、成功したかを示します。
498 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ファイアウォール設定のバックアップ
表 236. 管理対象デバイスの状態(続き)
フィールド
説明
ソフトウェア バージョン |
アプリケーションおよび脅威 |
アンチウイルス | URL フィル
タリング | GlobalProtect クラ
イアント | WildFire
ファイアウォールに現在インストールされているソフトウェアと
コンテンツのバージョンが表示されます。
バックアップ
コミットごとに管理対象ファイアウォールの設定のバックアップが
PAN-OS によって Panorama に自動的に送信されます。[管理中...]
リンクを使用して、使用可能な設定のバックアップを表示できま
す。保存された設定ファイルのリストからバージョンをロードす
るには、[ロード] をクリックします。
ファイアウォール設定のバックアップ
[Panorama] > [管理対象デバイス]
Panorama では、設定の変更を管理対象ファイアウォールにコミットするたびにその変更が
自動的に保存されます。Panorama デバイスにいくつかのバージョンを保存するように構成
するには、[Panorama] > [セットアップ] > [管理] の順に選択し、[ロギングおよびレポート設
定] を編集します。次に、[ログのエクスポートとレポート] タブを選択して、[設定バック
アップのバージョン数] フィールドに値(デフォルトは 100)を入力します。
Panorama のバックアップを管理するには、[Panorama] > [管理対象デバイス] を選択して、デ
バイスの [バックアップ] 列にある [管理] をクリックします。ウィンドウが開き、そのデバイス
の保存およびコミットされた設定が表示されます。[ロード] リンクをクリックして候補設定へ
のバックアップを復元し、目的の変更を行った後、[コミット] をクリックしてロードした設定
をデバイスに復元します。保存された設定を削除するには、
アイコンをクリックします。
デバイス グループの定義
[Panorama] > [デバイス グループ]
デバイス グループは、1 つのグループとして管理するファイアウォールや仮想システムで構
成されます。たとえば、会社内の支店または個々の部門によるグループを管理するファイア
ウォールなどが考えられます。Panorama はポリシーを適用するときに、各グループを 1 つ
の単位として処理します。ファイアウォールは、1 つのデバイス グループにのみ属すること
ができます。Panorama では仮想システムが個別のエンティティになるため、ファイア
ウォール内の仮想マシンを異なるデバイス グループに割り当てることができます。
デバイス グループを最大 4 レベルのツリー階層でネストすることで、ファイアウォールの
ネットワーク全体でポリシーを管理する階層的な手段を実装できます。一番下のレベルのデ
バイス グループは、連続する上位レベルとして親、祖父母、曽祖父母のデバイス グループ
を持つことができます。これらをまとめて先祖と呼び、一番下のレベルのデバイス グループ
はこれらからポリシーとオブジェクトを継承します。一番上のレベルのデバイス グループ
は、子、孫、曾孫のデバイス グループを持つことができます。これらをまとめて子孫と呼び
ます。[デバイス グループ] ページの [名前] 列は階層を反映しています。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 499
デバイス グループの定義
[デバイス グループ] ページを使用して、デバイス グループを追加(最大 256 個)、編集、削
除、または表示します。デバイス グループを作成、編集、または削除した後は、変更を
Panorama とデバイス グループにコミットする必要があります。変更をコミットすると、
Paorama は、そのデバイス グループに割り当てられているファイアウォールに設定変更を
プッシュします。詳細は、「Panorama での変更のコミット」を参照してください。
デバイス グループを編集するには、その名前をクリックし、以下の表の説明に従ってフィー
ルドを変更します。
デバイス グループを追加するには、[追加] をクリックし、以下の表の説明に従ってフィール
ドに入力します。
デバイス グループを削除するには、その名前の横にあるチェック ボックスをオンにして、
[削除] をクリックします。
表 237. デバイス グループ設定
フィールド
説明
名前
グループの識別に使用する名前(最大 31 文字)を入力します。名
前の大文字と小文字は区別されます。また、デバイス グループ階
層全体で一意の名前にする必要があります。文字、数字、スペー
ス、ハイフン、およびアンダースコアのみを使用してください。
説明
デバイス グループの説明を入力します。
デバイス
デバイス グループに追加する各ファイアウォールのチェック ボッ
クスをオンにします。リストに多くのファイアウォールが表示され
る場合、[デバイス状態]、[プラットフォーム]、[テンプレート]、ま
たは [タグ] でリストをフィルタリングできます。[フィルタ] セク
ションのかっこの中には、これらの各カテゴリの管理対象ファイ
アウォールの数が表示されます。
デバイス グループの目的が純粋に組織化(つまり、他のデバイス
グループを含めること)である場合 、デバイスをそのデバイス グ
ループに割り当てる必要はありません。
親デバイス グループ
定義しているデバイス グループを基準として、階層内でその真上
のデバイス グループ(または共有場所)を選択します。デバイス
グループの割り当てを統制するルールについては、『Panorama 管
理者ガイド』を参照してください。
マスター デバイス
ポリシー内で使用するユーザー ID 情報の収集元であるデバイス グ
ループ内のファイアウォールを 1 つ選択します。収集されたこの
ユーザーとグループのマッピング情報は、デバイス グループに固
有のものです。
500 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
デバイス グループの定義
表 237. デバイス グループ設定(続き)
フィールド
説明
HA ピアのグループ化
高可用性 (HA) 設定のピアであるファイアウォールをグループ化す
るには、このチェック ボックスをオンにします。これにより、リ
ストには、アクティブ(アクティブ / アクティブ設定ではアク
ティブ-プライマリ)のファイアウォールが最初に表示されます。
パッシブ(アクティブ / アクティブ設定ではアクティブ-セカンダ
リ)のファイアウォールはかっこ内に表示されます。これで、HA
モードのファイアウォールを簡単に識別できます。共有ポリシー
をプッシュする場合に、個々のピアではなくグループ化されたペ
アにプッシュできます。
アクティブ / パッシブ設定の HA ピアの場合は、両方のファイア
ウォールまたはそれらの仮想システムを同じデバイス グループに
追加することを検討してください。これにより、両方のピアに設
定を同時にプッシュできます。
フィルタが選択されています
[デバイス] リストに特定のファイアウォールのみを表示する場合、
対応するファイアウォール名のチェック ボックスをオンにして、
[フィルタが選択されています] チェック ボックスをオンにします。
共有オブジェクトと共有ポリシー
デバイス グループは、共有場所および先祖デバイス グループのポリシーおよびオブジェク
トを自動的に継承します。
• 共有ポリシーを作成するには、[Policies] タブの上部にある [デバイス グループ] ドロップ
ダウンで [共有] を選択し、ポリシーのタイプ(たとえば、[セキュリティ] > [プレ ルール])
を選択して、[追加] をクリックします。特定のデバイス グループとその子孫デバイス グ
ループに固有のポリシーを作成するには、ドロップダウンから該当する [デバイス グ
ループ] を選択した後、[追加] をクリックします。
• 共有オブジェクトを作成するには、[Objects] タブで、[追加] をクリックし、[共有] チェッ
ク ボックスをオンにします。特定のデバイス グループとその子孫デバイス グループに
固有のオブジェクトを作成するには、ドロップダウンから該当する [デバイス グループ]
を選択した後、[追加] をクリックします([共有])をクリックしないでください。デ
フォルトでは、新しいオブジェクトについては、先祖の設定のオーバーライドが有効に
なっています。このオブジェクトのオーバーライドを無効にするには、[オーバーライド
の無効化] チェック ボックスをオンにします。
同じ名前の複数のオブジェクトがあり、あるオブジェクトは継承されてお
り、別のオブジェクトはデバイス グループ固有である場合、デフォルトで
は、そのデバイス グループ内のすべての設定には、デバイス グループ固有
のオブジェクトの値が使用されます。このシナリオの構成で、継承された
オブジェクトの値を使用する場合は、[Panorama] > [セットアップ] > [管理]
の順に選択し、[Panorama 設定] を編集して、[上位オブジェクトが優先され
ます] チェック ボックスをオンにします。
子孫のデバイス グループのオブジェクトに、そのオブジェクトの継承元の
先祖デバイス グループとは異なる設定を持たせる場合、先祖の設定をオー
バーライドできます(「オブジェクトをオーバーライドする / 元に戻す」
を参照)ただし、共有オブジェクトまたはデフォルト(事前定義済み)オ
ブジェクトをオーバーライドすることはできません。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 501
Panorama 管理者ロールの定義
デバイス グループ内の特定デバイスへのポリシーの適用
デフォルトでは、ポリシー ルールの割り当て先であるデバイス グループ内のすべてのファイ
アウォールにそのルールが適用されます。デバイス グループ内のターゲット ファイアウォー
ルのみにルールを適用する場合は、[Policies] タブでポリシーのタイプを選択し、目的のルー
ルの [ターゲット] 列エントリをクリックして、[任意(すべてのデバイスをターゲットに設
定)] チェック ボックスをオフにした後、ターゲット ファイアウォールのチェック ボックス
をオンにします。ターゲット ファイアウォールを除く、デバイス グループ内のすべてのファ
イアウォールにルールを適用するには、[これらの指定されたデバイスのみをターゲットに設
定する] チェック ボックスをオンにします。リストに多くのファイアウォールが表示される場
合、[デバイス状態]、[プラットフォーム]、[デバイス グループ]、[テンプレート]、[タグ]、お
よび [HA 状態] でリストをフィルタリングできます。高可用性 (HA) 設定のファイアウォール
の場合、[HA ピアのグループ化] もできます。選択したファイアウォールのみを表示する場
合、[フィルタが選択されています] チェック ボックスをオンにします。
Panorama 管理者ロールの定義
[Panorama] > [管理者ロール]
管理ユーザーが行使可能なアクセス権と役割を決めるロール プロファイルを定義するには、
[管理者ロール] ページを使用します。各ロールのアクセス権を機能ごとに設定できます。設
定で使用できる機能セットはロールの範囲によって異なります。カスタムの「Panorama」
ロールの場合、「デバイス グループとテンプレート」ロールよりもセット(CLI アクセスな
ど)が大きくなります。「デバイス グループとテンプレート」管理者は、各ロールをアクセ
ス ドメインと関連付けます。ロールとアクセス ドメインの割り当ての詳細は、「Panorama
管理アカウントの作成」を参照してください。アクセス ドメインの詳細は、「管理者の
Panorama アクセス ドメインの指定」を参照してください。
Radius サーバーを使用して管理者を認証する場合、管理者のロールとア
クセス ドメインを Radius ベンダー固有の属性 (VSA) にマッピングしてく
ださい。
表 238. Panorama 管理者ロール設定
フィールド
説明
名前
管理者ロールの識別に使用する名前を入力します(最大 31 文字)。名
前の大文字と小文字は区別されます。また、一意の名前にする必要があ
ります。文字、数字、スペース、ハイフン、およびアンダースコアのみ
を使用してください。
説明
ロールの説明(省略可)を入力します。
ロール
管理役割の適用範囲([Panorama] または [デバイス グループとテンプ
レート])を選択します。各ロールで使用できるアクセス権限の一覧に
ついては、『PAN-OS 管理者ガイド』を参照してください。
Web UI
Web インターフェイス ページのアイコンをクリックして、Panorama コ
ンテキスト(Web UI リスト)とデバイス コンテキスト(コンテキスト
の切り替え UI リスト)で許可されるアクセスのタイプを指定します。
• 読み取り / 書き込み(有効化)
• 読み取り専用
• アクセス不可(無効化)
502 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
Panorama 管理アカウントの作成
表 238. Panorama 管理者ロール設定(続き)
フィールド
説明
XML API
XML API のアクセスのタイプを選択します。
(Panorama ロールのみ)
• レポート — ファイアウォール レポートにアクセスできます。
• ログ — ファイアウォール ログにアクセスできます。
• 設定 — ファイアウォール設定の取得または変更が許可されます。
• 操作要求 — 操作コマンドの実行が許可されます。
• コミット — 設定のコミットが許可されます。
• User-ID エージェント — User-ID エージェントにアクセスできます。
• エクスポート — 設定、ブロック ページまたは応答ページ、証明書、鍵
などのファイルのファイアウォールからのエクスポートが許可され
ます。
• インポート — ソフトウェア、コンテンツ、ライセンス、設定、証明書、
ブロック ページ、カスタム ログなどのファイルのファイアウォールへ
のインポートが許可されます。
コマンドライン
CLI アクセスのロールのタイプを選択します。
(Panorama ロールのみ)
• なし — ファイアウォールの CLI にアクセスできません。
• superuser — 現在のファイアウォールにフル アクセスできます。
• superreader — 現在のファイアウォールに読み取り専用でアクセスでき
ます。
• panorama-admin — 新しいアカウントまたは仮想システムの定義を除き、
選択したファイアウォールにフル アクセスできます。
Panorama 管理アカウントの作成
[Panorama] > [管理者]
管理者アカウントはロールおよび認証パラメータを定義します。これらのパラメーターに
よって、Panorama へのアクセスが制御されます。また、コンテキストの切り替えによっ
て、管理対象ファイアウォールへのアクセスも制御されます。事前定義済みの管理者アカウ
ントは、Panorama および管理対象ファイアウォールにフル アクセスできます。ロールの詳
細は、「Panorama 管理者ロールの定義」を参照してください。
Panorama では、以下の認証オプションがサポートされています。
• パスワード認証 — 管理者がユーザー名とパスワードを入力してログインします。この認
証では証明書が不要です。認証プロファイル(「認証プロファイルのセットアップ」を
参照)または認証シーケンス(「認証シーケンスのセットアップ」を参照)と併用する
ことや、ローカル データベースの認証に使用することができます。
• クライアント証明書認証 (Web) — この認証はユーザー名やパスワードが不要で、証明書
だけで Panorama へのアクセスが認証されます。「証明書の使用」を参照してください。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 503
Panorama 管理アカウントの作成
• 公開鍵認証 (SSH) — Panorama へのアクセスを必要とするマシン上で管理者が公開 / 秘
密鍵のペアを生成し、公開鍵を Panorama にアップロードして、管理者がユーザー名と
パスワードを入力しなくても安全にアクセスできるようにします。
表 239. 管理者アカウント設定
フィールド
説明
名前
管理者のログイン ユーザー名(最大 15 文字)を入力します。名前
の大文字と小文字は区別されます。また、一意の名前にする必要
があります。文字、数字、ハイフン、およびアンダースコアのみ
を使用してください。
認証プロファイル
この管理者を認証する認証プロファイルまたは認証シーケンスを
選 択 し ま す。こ の 設 定 は、RADIUS、TACACS+、LDAP、
Kerberos、またはローカル データベース認証に使用できます。
クライアント証明書認証のみ
を使用 (Web)
Web アクセスのクライアント証明書認証を使用するには、この
チェック ボックスをオンにします。このチェック ボックスをオンに
すると、ユーザー名([名前])とパスワード([パスワード])は必要
なく、Panorama へのアクセス認証には証明書で十分になります。
パスワード / パスワード再入力
管理者のパスワード(最大 15 文字)を入力し、確認のためにパス
ワードを再入力します。このパスワードは大文字と小文字を区別
します。セキュリティを確保するために、管理者がパスワードを
定期的に変更することをお勧めします。パスワードには、小文字、
大文字、および数字を組み合わせてください。パスワードの有効期
限を設定することもできます。有効期限を設定するには、[パス
ワード プロファイル] をの選択してと [パスワード複雑性設定] パラ
メータをの設定するか、の両方またはそのどちらいずれかを行い
ます(「管理設定の定義」 を参照)。
特定のロール プロファイルを持つ Panorama 管理者は、[Panorama] >
[管理者] ページにアクセスできません。この管理者のローカル パ
スワードを変更するには、管理者は Web インターフェイス下部の
[ログアウト] リンクの横にあるユーザー名をクリックします。
公開鍵認証 (SSH) の使用
SSH 公開キーの認証を使用するには、このチェック ボックスをオ
ンにします。[キーのインポート]、[参照]の順にクリックし、公開
キー ファイルを選択します。[管理者] ダイアログの読み取り専用
テキスト エリアに、アップロードした鍵が表示されます。
サポート対象の鍵ファイルのフォーマットは、IETF SECSH と
OpenSSH です。サポート対象の鍵アルゴリズムは、DSA(1024 ビッ
ト)と RSA (768 ~ 4096 ビット)です。
注:公開キーの認証が失敗すると、ログインとパスワード プロン
プトが表示されます。
504 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
Panorama 管理アカウントの作成
表 239. 管理者アカウント設定(続き)
フィールド
説明
管理者タイプ
タイプの選択によって、管理者ロールのオプションが決まります。
• ダイナミック — Panorama および管理対象デバイスへのアクセ
ス権を付与します。新しい機能が追加されると、Panorama に
よってダイナミック ロールの定義が自動的に更新されます。
ユーザーが手動で更新する必要はありません。
• カスタム Panorama 管理 — これは設定可能なロールであり、
Panorama 機能に対する読み書きアクセス権または読み取り専用
アクセス権を設定できます。また、Panorama 機能に対するアク
セス権を一切与えない(アクセス権なし)ように設定することも
できます。
• デバイス グループおよびテンプレート管理 — これは設定可能な
ロールであり、この管理者に対して選択したアクセス ドメイン
に割り当てたデバイス グループとテンプレートの各機能に対す
る読み書きアクセス権または読み取り専用アクセス権を設定でき
ます。また、これらの各機能に対するアクセス権を一切与えない
(アクセス権なし)ように設定することもできます。
管理者ロール
事前構成済みのロールを選択します。
([ダイナミック] 管理者
タイプ)
• スーパーユーザー — Panorama とすべてのデバイス グループ、
テンプレート、管理対象ファイアウォールに対する読み取り / 書
き込みのフル アクセス権が付与されます。
• スーパーユーザー(読み取り専用)— Panorama とすべてのデバ
イス グループ、テンプレート、管理対象ファイアウォールに読
み取り専用でアクセスできます。
• Panorama 管理者 — Panorama に対するフル アクセス権が付与さ
れます。ただし、以下のアクションを除きます。
– Panorama またはデバイスの管理者およびロールを作成、変更、
削除する。
– [Device] > [セットアップ] > [操作] ページから設定をエクスポー
ト、検証、保存、ロード、インポートする、または設定を元
に戻す操作を実行する。
– [Panorama] タブで、[スケジュール設定された設定のエクスポー
ト] 機能を設定する。
プロファイル
([カスタム Panorama 管理者]
管理者タイプ)
Palo Alto Networks
カスタム Panorama ロールを選択します(「Panorama 管理者ロール
の定義」を参照)。
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 505
管理者の Panorama アクセス ドメインの指定
表 239. 管理者アカウント設定(続き)
フィールド
説明
管理者ロールに対する
アクセス ドメイン
アクセス ドメイン(最大 25 個)ごとに管理者に割り当てるには、
[追加] をクリックし、ドロップダウンから [アクセス ドメイン] を
選択します(「管理者の Panorama アクセス ドメインの指定」を
参照)。次に、隣にある [管理者ロール] セルをクリックし、ド
ロップダウンからカスタムの [デバイス グループとテンプレート]
管理者ロールを選択します(「Panorama 管理者ロールの定義」を
参照)。管理者が Panorama にログインすると、Web インター
フェイスのフッターに [アクセス ドメイン] ドロップダウンが表示
されます。管理者は、割り当てられた任意の [アクセス ドメイン]
を選択し、Panorama に表示する、モニタリングおよび設定データ
をフィルタリングできます。
([デバイス グループおよび
テンプレート管理] 管理者タ
イプ)
注:Radius サーバーを使用して管理者を認証する場合、管理者の
ロールとアクセス ドメインを Radius ベンダー固有の属性 (VSA) に
マッピングする必要があります。VSA 文字列の文字数には制限が
あるため、管理者に対してアクセス ドメインとロールのペアの最
大数 (25) を構成する場合、各アクセス ドメインと各ロールの名前
値を平均で 9 文字以下とする必要があります。
パスワード プロファイル
パスワード プロファイルを選択します(「パスワード プロファイ
ルの定義」を参照)(該当する場合)。
Panorama の [管理者] ページでは、アカウントがロックアウトされている
と [ロックされたユーザー] 列にロック アイコンが表示されます。スー
パーユーザーまたは Panorama 管理者は、このアイコンをクリックしてア
カウントのロックを解除できます。
管理者の Panorama アクセス ドメインの指定
[Panorama] > [アクセス ドメイン]
[アクセス ドメイン] ページを使用して、[デバイス グループとテンプレート] 管理者アクセス権
を以下に対して付与します。
• デバイス グループ — 管理者は、アクセス ドメインに追加されたデバイス グループ内の
ファイアウォールのポリシーとオブジェクトを管理し、そのファイアウォールのレポー
トとログをモニタリングできます。
• テンプレート — 管理者は、アクセス ドメインに追加されたテンプレートに割り当てられ
たファイアウォールのデバイスとネットワーク設定を管理できます。
• ファイアウォールの Web インターフェイス — 管理者は、アクセス ドメインに追加された
ファイアウォールのデバイス コンテキストに切り替えることができます。
506 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
管理者の Panorama アクセス ドメインの指定
複数のアクセス ドメインを持つ管理者は、Web インターフェイスに表示する設定およびモ
ニタリング データをフィルタリングできます。これを行うには、インターフェイスの下部に
あるドロップダウンから [アクセス ドメイン] を選択します。最大で 4,000 個のアクセス ドメ
インを定義してローカルで管理できます。また、RADIUS ベンダー固有属性 (VSA) を使用し
てそれらを管理することもできます。
Radius サーバーを使用して管理者を認証する場合、管理者のロールとア
クセス ドメインを Radius ベンダー固有の属性 (VSA) にマッピングする必
要があります。
表 240.
アクセス ドメイン設定
フィールド
説明
名前
アクセス ドメインの名前(最大 31 文字)を入力します。名前の大
文字と小文字は区別されます。また、一意の名前にする必要があ
ります。文字、数字、ハイフン、およびアンダースコアのみを使
用してください。
共有オブジェクト
共有場所からこのアクセス ドメイン内のデバイス グループに継承
されるオブジェクトに対するアクセス権限を次のうちから 1 つ選
択します。権限に関係なく、管理者は共有オブジェクトまたはデ
フォルト(事前定義済み)オブジェクトをオーバーライドできま
せん。
• 読み取り — 管理者は共有オブジェクトの表示とコピーができます
が、共有オブジェクトに対してその他の操作を実行することはで
きません。非共有オブジェクトの追加または共有オブジェクトの
コピーを行う場合、宛先を、共有ではなく、アクセス ドメイン
内のデバイス グループにする必要があります。
• 書き込み — 管理者は共有オブジェクトに対してすべての操作を実
行できます。これがデフォルトの値です。
• 共有のみ — 管理者はオブジェクトを共有にのみ追加できます。管
理者は、共有オブジェクトの表示、編集、および削除もできます
が、共有オブジェクトの移動とコピーはできません。これを選択
すると、管理者は、非共有オブジェクトに対して表示以外のどの
操作も実行できなくなります。
デバイス グループ
アクセス ドメイン内のデバイス グループに対して読み書きアクセ
ス権を有効にするには、そのデバイス グループのアイコンをク
リックします。[すべて有効化] または [すべて無効化] をクリック
することもできます。あるデバイス グループに対して読み書きア
クセス権を有効にすると、その子孫のデバイス グループに対して
同じアクセス権が自動的に有効になります。子孫のデバイス グ
ループを手動で無効にすると、その最上位の先祖のデバイス グ
ループに対するアクセス権が読み取り専用に自動的に変更されま
す。デフォルトでは、すべてのデバイス グループに対してアクセ
ス権は無効になっています。
注:[共有オブジェクト] に対するアクセス権を [共有のみ] に設定
した場合、読み書きアクセス権を指定したすべてのデバイス グ
ループに読み取り専用アクセス権が割り当てられます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 507
管理者の Panorama アクセス ドメインの指定
表 240.
アクセス ドメイン設定 (続き)
フィールド
説明
テンプレート
割り当てるテンプレートまたはテンプレート スタックごとに、[追
加] をクリックし、ドロップダウンからテンプレートまたはテンプ
レート スタックを選択します。
デバイス コンテキスト
ローカル設定を編集するために管理者がどのファイアウォールに
コンテキストを切り替えることができるかを、チェック ボックス
を使用して選択します。リストに多くのファイアウォールが表示
される場合、[デバイス状態]、[プラットフォーム]、[デバイス グ
ループ]、[テンプレート]、[タグ]、および [HA 状態] でリストを
フィルタリングできます。
Panorama での変更のコミット
Panorama 設定の変更をコミットするには、コミット アイコン / リンクをクリックして [コミッ
ト] ダイアログを開きます。このダイアログでは、Panorama 環境の特定のエリアをコミット
できます。
変更をコミットするときは、設定の変更を管理対象ファイアウォールやロ
グ コレクタにコミットする前に、変更を Panorama にコミットする必要
があります。
図 16. Panorama の [コミット] ダイアログ
508 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
管理者の Panorama アクセス ドメインの指定
[コミット] ダイアログには、以下のオプションがあります。
• コミット タイプ
– Panorama — Panorama の現在の候補設定をコミットします。
– テンプレート — Panorama でのテンプレートの変更を、選択したファイアウォールに
コミットします。テンプレートをコミットする場合、必要に応じてファイアウォール
のサブセットを選択できます。
– デバイス グループ — Panorama でのファイアウォール設定の変更を、選択したファイ
アウォール / 仮想システムにコミットします。
– コレクタ グループ — 変更のみを Panorama ログ コレクタ グループにコミットします。
これは、[Panorama] > [コレクタ グループ] ページで加えた変更をコミットし、その
変更をログ コレクタ アプライアンスに適用します。
• フィルタ — [コミット タイプ] が [デバイス グループ] または [テンプレート] の場合、ファ
イアウォールのリストをフィルタリングできます。
• ファイアウォール名と状態 — [コミット タイプ] が [デバイス グループ] または [テンプ
レート] の場合、デバイス グループまたはテンプレートの [名前]、[最終コミット状態]、
または [HA 状態] 列(高可用性設定のファイアウォール ピアの場合)のヘッダーをク
リックすると、それらの列でリストをソートできます。[コミット タイプ] が [デバイス
グループ] の場合、[名前] 列には、ファイアウォールおよび仮想システム (vsys) の名前
を含め、デバイス グループの完全なツリー階層が表示されます。
• 変更内容の確認 — [コミット タイプ] が [デバイス グループ]、[テンプレート]、または
[Panorama] の場合、候補設定で提案された変更と現在の実行中の設定を比較する設定監
査ウィンドウを開くことができます。表示するコンテキストの行数を選択したり、追加、
変更、削除された項目に基づいて [すべて] の行を表示したりできます。[Device] > [設定監
査] でも同じ機能が実行されます(「設定ファイルの比較」を参照)。
• HA ピアのグループ化 — [コミット タイプ] が [デバイス グループ] または [テンプレート]
の場合、このチェック ボックスをオンにすることで、ファイアウォールの HA ピアの各
ペアを 1 つのエントリとして表示できます。
• フィルタが選択されています — [コミット タイプ] が [デバイス グループ] または [テンプ
レート] の場合、特定のファイアウォールを選択し、[フィルタが選択されています]
チェックボックスをオンにすることで、選択したファイアウォールのみを表示するよう
にリストをフィルタリングできます。
• 候補設定とのマージ — このオプションは、[コミットタイプ] が [デバイス グループ] また
は [テンプレート] の場合に使用できます。このチェック ボックスをオンにすると、コ
ミットが Panorama から実施された場合に、ファイアウォールにそのローカルの候補設
定が含まれます。このチェック ボックスをオフにすると、ファイアウォールはそのロー
カルの候補設定を除外します。ローカル管理者がファイアウォールに変更を加え、設定
を Panorama からプッシュするときにそれらの変更を除外する場合は、このチェック
ボックスをオフにすることが重要です。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 509
テンプレートの定義
• デバイスおよびネットワーク テンプレートを含める — このオプションは、[コミットタ
イプ] が [デバイス グループ] の場合に使用できます。コミットを行うと、選択したファ
イアウォールの割り当て先であるテンプレートまたはテンプレート スタックのデバイス
設定とネットワーク設定が含まれます(「テンプレートおよびテンプレート スタックの
管理」を参照)。また、[コミット タイプ] として [テンプレート] を選択し、テンプレー
トをファイアウォールにコミットすることもできます。
• テンプレートの値を適用 — [コミット タイプ] が [デバイス グループ] または [テンプレー
ト] の場合、このチェック ボックスを選択すると、ファイアウォールまたは仮想システ
ムのローカル設定で管理者がテンプレートをオーバーライドしている場合に、そのテン
プレートの対象のオブジェクトを削除できます(「テンプレート設定のオーバーライ
ド」を参照)。[コミット タイプ] が [デバイス グループ] の場合に [テンプレートの値を
適用] チェック ボックスを有効にするには、[デバイスおよびネットワーク テンプレート
を含める] チェック ボックスをオンにする必要があります。
コミットが完了すると、「コミットに成功しました」というメッセージが表示されます。コ
ミット中に警告が生成された場合は、「コミットに成功しましたが警告があります」と表示
されます。成功メッセージまたは警告メッセージの詳細を表示するには、[Panorama] > [管
理対象デバイス] ページで、[最終コミット状態] 列のテキストをクリックします。
テンプレートおよびテンプレート スタックの管理
[Panorama] > [テンプレート]
以下のトピックでは、テンプレートとテンプレート スタックの管理方法について説明します。
• 「テンプレートの定義」
• 「テンプレート スタックの定義」
• 「テンプレート設定のオーバーライド」
• 「テンプレートおよびテンプレート スタックのコピー」
• 「テンプレートおよびテンプレート スタックの削除または無効化」
テンプレートの定義
[Device] タブおよび [Network] タブで、テンプレートを使用して、類似の設定を必要とする
複数のファイアウォールに共通の基本設定をデプロイできます。Panorama でファイア
ウォール設定を管理する場合、デバイス グループ とテンプレートの組み合わせを使用しま
す。デバイス グループでは、共有するポリシーおよびオブジェクトを管理し、テンプレート
では、共有するデバイスおよびネットワーク設定を管理します。Panorama はこれらの機能
を別々に管理します。ポリシーおよびオブジェクト設定を共有するファイアウォールのデバ
イスおよびネットワーク設定が必ずしも同じではないためです。
Panorama では、最大 128 個のテンプレートがサポートされます。「テンプレート スタック
の定義」によって、複数のテンプレートの設定を組み合わせることができます。
510 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
テンプレートの定義
Panorama テンプレートを作成するには、[追加] をクリックし、以下の表の説明に従って
フィールドに入力します。最初のテンプレートを追加すると、[Device] タブと [Network] タ
ブに [テンプレート] ドロップダウンが表示されます。次に、ドロップダウンで選択したテン
プレートに対してデバイスとネットワークを設定できます。
表 241 テンプレート設定 (Panorama)
フィールド
説明
名前
テンプレート名(最大 31 文字)を入力します。文字、数字、スペース、ハイ
フン、ピリオド、およびアンダースコアのみを使用してください。名前の大
文字と小文字は区別されます。また、一意の名前にする必要があります。
この名前は、[Device] タブと [Network] タブの [テンプレート] ドロップダウン
に表示されます。これらのタブで変更した設定は、選択したテンプレートに
のみ適用されます。
デフォルト VSYS
複数の仮想システムを持たないファイアウォールに、特定の仮想システム
(vsys) 固有の設定(インターフェイスなど)を Panorama でプッシュする場
合、その仮想システム (vsys) を選択します。
説明
テンプレートの説明を入力します。
デバイス
テンプレートに追加する各ファイアウォールのチェック ボックスをオンにし
ます。テンプレートをスタック内でのみ使用する場合は、ファイアウォール
をテンプレートに割り当てないで、スタックにのみ割り当ててください
(「テンプレート スタックの定義」を参照)。
リストに多くのファイアウォールが表示される場合、[プラットフォーム]、[デ
バイス グループ]、[タグ]、および [HA 状態] でリストをフィルタリングでき
ます。これらの各カテゴリのダイアログに管理対象ファイアウォールの数が
表示されます。
注:モード(VPN モード、マルチ vsys モード、または操作モード)が一致し
ていない複数のファイアウォールを同じテンプレートに割り当てることができ
ます。Panorama は、モード固有の設定を、そのモードをサポートするファイ
アウォールにのみプッシュします。たとえば、Panorama は、IPSec トンネル
を、VPN モードを有効にしているファイアウォールにのみプッシュします。
HA ピアのグルー
プ化
高可用性 (HA) ピアであるファイアウォールをグループ化するには、この
チェック ボックスをオンにします。これにより、リストには、アクティブ
(アクティブ / アクティブ設定ではアクティブ-プライマリ)のファイア
ウォールが最初に表示されます。パッシブ(アクティブ / アクティブ設定で
はアクティブ-セカンダリ)のファイアウォールはかっこ内に表示されます。
このオプションを使用すると、HA に設定されたファイアウォールを簡単に
識別できます。テンプレート設定をプッシュする場合に、個々のファイア
ウォールではなくグループ化されたペアにプッシュできます。
フィルタが選択さ
れています
特定のファイアウォールのみを表示するには、対応するファイアウォールの
チェック ボックスをオンにして、[フィルタが選択されています] チェック
ボックスをオンにします。
テンプレートを設定したら、Panorama のコミットとテンプレートのコミットを実行し、そ
のテンプレートに割り当てられているファイアウォールに設定の変更をプッシュする必要が
あります。詳細は、「Panorama での変更のコミット」を参照してください。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 511
テンプレート スタックの定義
テンプレート スタックの定義
テンプレート スタックとはテンプレートを組み合わせたものです。スタックにファイア
ウォールを割り当てることで、すべての必要な設定をそれらのファイアウォールに割り当て
ることができます。すべてのテンプレートにすべての設定を追加する冗長な作業がなくなり
ます。Panorama では、最大 128 個のスタックがサポートされます。
Panorama では、テンプレートの組み合わせが検証されないため、無効な関係が生
じるようなテンプレートの順序付けが回避されます。たとえば、テンプレート_A
の Ethernet1/1 インターフェイスがレイヤー 3 、テンプレート_B の Ethernet1/1 イ
ンターフェイスが、VLAN に関連付けられたレイヤー 2 であるとします。テンプ
レート_A の優先順位が高い場合、Panorama は Ethernet1/1 を、VLAN に割り当
てられたレイヤー 3 タイプとしてプッシュします。
2 つのテンプレートが同じスタック内にある場合でも、1 つのテンプレートの設
定が別のテンプレートの設定を参照することはできません。たとえば、テンプ
レート_A とテンプレート_B が同じスタック内にある場合でも、テンプレート_A
のゾーン設定が、テンプレート_B に定義されたゾーン プロテクション プロファ
イルを参照することはできません。
スタックを作成するには、[Panorama] > [テンプレート] ページで、[スタックの追加] をクリッ
クし、以下の表の説明に従ってフィールドに入力します。
表 242 スタック設定 (Panorama)
フィールド
説明
名前
スタック名(最大 31 文字)を入力します。文字、数字、およびアンダースコ
アのみを使用してください。先頭は文字にする必要があります。名前の大文
字と小文字は区別されます。また、一意の名前にする必要があります。
スタック名および割り当てられたテンプレートは、[Device] タブと [Network]
タブの [テンプレート] ドロップダウンに表示されます。
説明
スタックの説明を入力します。
テンプレート
スタックに含めるテンプレート(最大 16 個)ごとに、[追加] をクリックし、
テンプレートを選択します。
テンプレートに重複した設定がある場合、Panorama は、リスト内で上位にあ
るテンプレートの設定のみを、割り当てられたファイアウォールにプッシュ
します。たとえば、テンプレート_A がリスト内でテンプレート_B よりも上に
あり、この 2 つのテンプレートで Ethernet1/1 インターフェイスが定義されて
いるとします。この場合、Panorama は Ethernet1/1 の定義をテンプレート_A
からプッシュし、テンプレート_B からはプッシュしません。この順番を変更
するには、テンプレートを選択して [上へ] または [下へ] をクリックします。
デバイス
スタックに追加する各ファイアウォールのチェック ボックスをオンにします。
リストに多くのファイアウォールが表示される場合、[プラットフォーム]、[デ
バイス グループ]、[タグ]、および [HA 状態] でリストをフィルタリングでき
ます。
注:モード(VPN モード、マルチ vsys モード、または操作モード)が一致し
ていない複数のファイアウォールを同じスタックに割り当てることができま
す。Panorama は、モード固有の設定を、そのモードをサポートするファイア
ウォールにのみプッシュします。たとえば、Panorama は、IPSec トンネル
を、VPN モードを有効にしているファイアウォールにのみプッシュします。
512 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
テンプレート設定のオーバーライド
表 242 スタック設定 (Panorama)(続き)
フィールド
説明
HA ピアのグルー
プ化
高可用性 (HA) ピアであるファイアウォールをグループ化するには、この
チェック ボックスをオンにします。このオプションを使用すると、HA に設
定されたファイアウォールを簡単に識別できます。設定をプッシュする場合
に、個々のファイアウォールではなくグループ化されたペアにプッシュでき
ます。
フィルタが選択さ
れています
特定のファイアウォールのみを表示するには、該当のファイアウォールの
チェック ボックスをオンにして、[フィルタが選択されています] チェック
ボックスをオンにします。
テンプレート設定のオーバーライド
テンプレートまたはテンプレート スタックを適用してファイアウォール上のデバイスおよび
ネットワーク設定を制御する場合でも、一部の設定をオーバーライドしてローカルのファイ
アウォール設定を使用することができます。たとえば、基本設定をファイアウォールのグ
ローバル グループにデプロイし、オーバーライドを使用して特定のタイム ゾーン設定を
ファイアウォールに直接設定することができます。
設定にテンプレートが適用されていることを識別するためのアイコンが Web インターフェ
イスに表示されます(図 17 を参照)。
図 17. テンプレートのインジケータ
緑のアイコン は、テンプレートが適用されており、設定にオーバーライドがないことを示
します。緑にオレンジが重なっているアイコン は、テンプレートが適用されており、一部
の設定にオーバーライドがあることを示します。
テンプレートからプッシュされるデバイス設定またはネットワーク設定をオーバーライドす
るには、以下の手順を実行します。
1.
[コンテキスト] をファイアウォールに切り替えるか、ファイアウォールの Web インター
フェイスに直接アクセスします。
2.
該当の設定に移動します。
3.
ページのテーブルに該当の設定が表示されている場合は、その設定の行を選択し、[ オー
バーライド] ボタンをクリックします。それ以外の場合は、設定が表示されているセク
ションを編集し(図 17 を参照)、その設定の緑のアイコン をクリックします。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 513
テンプレートおよびテンプレート スタックのコピー
4.
オーバーライド値を入力し、[OK] をクリックします。
ファイアウォールのローカル設定に設定がコピーされ、この設定はテンプレートによって制
御されなくなります。変更を元に戻すには、[復元] ボタンをクリックします。これにより、
ファイアウォールは設定をテンプレートから再び継承します。オーバーライドを含む管理対
象ファイアウォールに Panorama からコミットを実行する場合、[テンプレートの値を適用]
チェック ボックスをオンにすると、オーバーライドされたオブジェクトよりも Panorama テ
ンプレートが優先されます。
[Device] > [高可用性] の設定をオーバーライドする場合、オーバーライドは設定ツリー内の
個々の値およびパラメータを対象とします。ツリー設定全体にオーバーライドが適用される
わけではありません。これには、DNS サーバー、管理 IP、NTP サーバー設定が含まれま
す。インターフェイスや RADIUS サーバー プロファイルなどの項目については、内部値で
はなくオブジェクト全体にオーバーライドを適用します。
テンプレートおよびテンプレート スタックのコピー
テンプレートまたはテンプレート スタックをコピーするには、[Panorama] > [テンプレート]
ページでテンプレートまたはテンプレート スタックを選択し、[コピー] をクリックします。
テンプレートおよびテンプレート スタックの削除または
無効化
テンプレートまたはテンプレート スタックを削除するには、[Panorama] > [テンプレート] ペー
ジでテンプレートまたはテンプレート スタックを選択し、[削除] をクリックします。テンプ
レートまたはテンプレート スタックを削除したり、テンプレートまたはテンプレート スタッ
クからファイアウォールを削除したりしても、Panorama によってファイアウォールにプッ
シュされた値は削除されません。テンプレートまたはテンプレート スタックからファイア
ウォールを削除すると、新しい更新はそのファイアウォールにプッシュされなくなります。
ファイアウォールに対してテンプレートまたはテンプレート スタックを無効にするには、その
ファイアウォールの Web インターフェイスにアクセスし、[Device] > [セットアップ] > [管理]
の順に選択して、[Panorama 設定] を編集し、[デバイスとネットワーク テンプレートを無効に
する] ボタンをクリックします。
ログおよびレポート
Panorama は、(ファイアウォールと Panorama 自体の)設定およびログ収集の 2 つの機能を
実行します。
大規模な導入におけるスケーラビリティに容易に対応するため、M シリーズ アプライアンス
を使用して管理機能とログ収集機能を Panorama で分離することができます。M シリーズ ア
プライアンスには、Palo Alto Networks ファイアウォール用の包括的なログ収集ソリュー
ションが備えられています。このログ収集ソリューションにより、トラフィックが集中する
ログ収集処理が Panorama 管理サーバーからオフロードされます。これを導入すると、ログ
コレクタとして設定された M シリーズ アプライアンスにログを送信するように各ファイア
ウォールを設定できます。分散ログ収集アーキテクチャのデプロイや、Panorama サーバーを
使用したログ コレクタの設定および管理の詳細は、『Panorama 管理者ガイド』を参照して
ください。
514 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
テンプレートおよびテンプレート スタックの削除または無効化
Panorama のログおよびレポート(ACC、AppScope、PDF レポート、およびログ ビューア)
は、管理対象ネットワーク上のユーザー アクティビティに関する情報を提供します。
Panorama でユーザー / ネットワーク アクティビティを表示する場合、明示的なログ転送を
設定する必要ありません。ログ転送は、長期的にログを保存する場合や、Panorama にロー
カルに保存されたログを使用してレポートを生成する場合に必要になります。ログ転送が有
効な場合、デフォルトでログはファイアウォール上にバッファされ、事前定義された間隔で
Panorama に送信されます。
デフォルトでは、Panorama の [ACC] タブには、Panorama にローカルに保存された情報が
表示されます。ただし、接続されているファイアウォールの情報に Panorama がアクセスす
るようにデータ ソースを変更できます。すべてのテーブルで情報が動的に取得され、ネット
ワーク上のトラフィックの集約ビューが表示されます。
Panorama では、カスタム レポートを生成およびスケジューリングできます。スケジューリ
ングされ、事前に定義されているカスタム レポートの場合、15 分ごとに集約されたレポー
ト統計が Panorama に 1 時間おきに転送されます。
ログ転送の有効化
[Panorama] > [ログ設定]
このページを使用して、Panorama からのログ転送を有効にします。Panorama では、ファイ
アウォールと管理対象コレクタのログを集約し、SNMP トラップ、Syslog メッセージ、および
電子メール通知の形式で、設定された宛先に転送できます。宛先を定義するためのサーバー プ
ロファイルをまだセットアップしてしていない場合は、「SNMP トラップの宛先の設定」、
「Syslog サーバーの設定」、および「電子メール通知設定の指定」を参照してください。
Panorama バーチャル アプライアンスで、[Panorama] > [ログ設定] ページを使用して、ファ
イアウォール ログ、管理対象コレクタのログ、およびローカルの Panorama ログの転送を有
効にします。管理対象コレクタのログとローカルの Panorama ログの転送を有効にするに
は、Panorama モードの M シリーズ アプライアンスで [Panorama] > [ログ設定] ページを使
用しますが、ファイアウォール ログの転送を有効にするには、コレクタ グループを設定し
ます(「ログ コレクタ グループの定義」を参照)。
以下の表で、[Panorama] > [ログ設定] ページにあるログおよび転送オプションについて説明
します。
相 関、HIP マ ッ チ、ト ラ フィ ッ ク、脅 威、お よ び WildFire の 各 ロ グは
ファイアウォールのみに適用されるため、M シリーズ アプライアンスを
Panorama モードで使用した場合、これらはこのページに表示されませ
ん。Panorama バーチャル アプライアンスでは、すべてのログ タイプが
表示されます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 515
テンプレートおよびテンプレート スタックの削除または無効化
表 243.
ログ設定
セクション
説明
システム
特定の重大度レベルに対してログ転送を有効にするには、[重大度]
列の対応するリンクをクリックし、目的のサーバー プロファイル
を選択します。[すべて削除] ボタンを使用すると、選択内容をデ
フォルトにリセットできます。重大度は、システム イベントの緊
急性と影響を示します。
• 重要 — 障害が発生しており、すぐに処置が必要であることを示し
ます(HA フェイルオーバーやリンク障害を含むハードウェア障
害など)。
• 高 — ファイアウォールの操作効率やセキュリティを損なうおそ
れのある障害または状況が差し迫っていることを示します
(LDAP サーバーや RADIUS サーバーなどの外部サーバーとの
接続切断など)。
• 中 — より深刻な問題に発展しかねない状況を示します。たとえ
ば、アンチウイルス パッケージのアップグレードを完了できな
かった場合などです。
• 低 — 問題が疑われるか、今後問題になるおそれのある状況を示
します。たとえば、ユーザー パスワードの変更などです。
• 情報 — 処置は不要です。システムの通常操作時に役立つ情報を
提供します。このレベルでは、設定の変更や、他の重大度レベル
には含まれないその他すべてのイベントが含まれます。
516 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
テンプレートおよびテンプレート スタックの削除または無効化
表 243.
ログ設定(続き)
セクション
説明
相関
相関ログは、相関オブジェクトの定義がネットワーク上のトラ
フィック パターンと一致した場合に作成されます。相関ログの詳
細は、「自動相関エンジンの使用」を参照してください。
Panorama は、相関オブジェクトを使用して、集約されたログ(管
理対象ファイアウォールとログ コレクタから転送されたログ)に
クエリを発行し、一致がないかどうかを確認して、相関イベント
をログに記録します。この相関イベントを Syslog メッセージ、電
子メール通知、または SNMP トラップとして送信できます。特定
の重大度レベルに対してログ転送を有効にするには、[重大度] 列の
対応するリンクをクリックし、目的のサーバー プロファイルを選
択します。
重大度は、一致の緊急度や影響を示し、損害の程度、確認された
拡散パターン、発生頻度を大まかに評価します。相関オブジェク
トは脅威の検出を重視しているため、通常、相関イベントは、
ネットワーク上の侵入されたホストの識別に関連し、重大度は以
下の意味を持ちます。
• 重要 — 拡散パターンを示す相関イベントに基づいて、ホストが侵
入されたことが確認されました。たとえば、WildFire によって
有害と判定されたファイルをホストが受信し、WildFire サンド
ボックスでその有害ファイルのコマンドアンドコントロール活動
として確認されたものと同じ活動がホストで示された場合、重要
イベントがログに記録されます。
• 高 — 複数の脅威イベント間の相関に基づいて、ホストが侵入され
た可能性が高いことを示します。たとえば、ネットワーク上の任
意の場所で検出されたマルウェアが、特定のホストから生成され
ているコマンドアンドコントロール活動と一致する場合です。
• 中 — 1 つまたは複数の疑わしいイベントの検出に基づいて、ホス
トが侵入された可能性があることを示します。たとえば、スクリ
プト化されたコマンドアンドコントロール活動を示している既知
の有害な URL への頻繁なアクセスがある場合です。
• 低 — 1 つまたは複数の疑わしいイベントの検出に基づいて、ホス
トが侵入されたと考えられることを示します。たとえば、有害な
URL やダイナミック DNS ドメインへのアクセスがあった場合
です。
• 情報 — 疑わしい活動を識別するための集約で役立つ可能性がある
イベントを検出します。各イベントはそれ自体が必ずしも重要で
はありません。
設定
設定ログには、デバイス設定へのすべての変更が記録されます。
転送を有効にするには、編集アイコンをクリックし、目的のサー
バー プロファイルを選択します。
HIP マッチ
HIP マッチ ログは、GlobalProtect のホスト情報プロファイル (HIP)
マッチ リクエストを表示します。転送を有効にするには、編集アイ
コンをクリックし、目的のサーバー プロファイルを選択します。
トラフィック
トラフィック ログは、ポリシーに一致するトラフィックの詳細
(発信元や宛先など)をキャプチャします。転送を有効にするに
は、編集アイコンをクリックし、目的のサーバー プロファイルを
選択します。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 517
テンプレートおよびテンプレート スタックの削除または無効化
表 243.
ログ設定(続き)
セクション
説明
脅威
特定の重大度レベルに対してログ転送を有効にするには、[重大度]
列の対応するリンクをクリックし、目的のサーバー プロファイル
を選択します。重大度は、脅威の緊急性と影響を示します。
• 重要 — 深刻な脅威。たとえば、広くデプロイされているソフト
ウェアのデフォルト インストールに影響を与える、結果的に
サーバーのルートが侵害される、コードを悪用するなどの脅威が
あり、攻撃者がよく使用する手口です。攻撃者は通常、特殊な認
証資格証明や個々の被害者に関する知識を必要としません。ま
た、標的がなんらかの特殊な機能を実行するように操作する必要
もありません。
• 高 — 重要になる可能性があるが、緩和する要素のある脅威。たと
えば、悪用が難しい、高い権限が侵害されない、大規模な被害者
が発生しない場合などです。
• 中 — 影響が最小限に抑えられている軽微な脅威。たとえば、DoS
攻撃で標的が侵害されない、侵入で攻撃者が被害者と同じ LAN
上に存在する必要がある、標準以外の設定や目立たないアプリ
ケーションにのみ影響を与える、アクセスが非常に限定的である
場合などです。さらに、マルウェア判定を含む WildFire ログ エ
ントリは、「中」としてログに記録されます。
• 低 — 組織のインフラストラクチャにほとんど影響を与えない、警
告レベルの脅威。通常、ローカルまたは物理的なシステムへのア
クセスが必要であり、被害者のプライバシーや DoS の問題、情
報漏洩などが発生する可能性があります。データ フィルタリン
グ プロファイルの一致は、「低」としてログに記録されます。
• 情報 — 差し迫った脅威は引き起こさないが、潜在的なより深い問
題への注意を喚起するために報告される不審なイベント。情報ロ
グの例として、URL フィルタリング ログ エントリ、安全判定を
含む WildFire ログ エントリ、データ フィルタリング ログなどが
あります。
WildFire
WildFire はファイルをスキャンし、判定を割り当てます。特定の
判定に対してログ転送を有効にするには、[判定] 列の対応するリン
クをクリックし、目的のサーバー プロファイルを選択します。以
下の判定があります。
• 安全 — ファイルが安全であることを示します。
• グレイウェア — ファイルの品質や動作が疑わしいものの、ファイ
ルは有害ではないことを示します。
• 有害 — ファイルに有害なコードが含まれていることを示します。
518 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ログ コレクタの追加
ログ コレクタの管理
[Panorama] > [管理対象コレクタ]
[管理対象コレクタ] ページを使用して、ログ コレクタ デバイスを設定、管理、更新します。
• ログ コレクタを追加する方法については、「ログ コレクタの追加」を参照してください。
• ソフトウェアの更新をインストールする方法については、「ログ コレクタへのソフトウェ
アの更新のインストール」を参照してください。
ログ コレクタの追加
ログ コレクタを追加するには、[追加] をクリックし、以下のフィールドを入力します。
表 244. [管理対象コレクタ] ページ
フィールド
説明
[全般] タブ
コレクタ シリアル番号
ログ コレクタ デバイスのシリアル番号を入力します。
コレクタ名
このログ コレクタの識別に使用する名前を入力します(最大 31 文
字)。名前の大文字と小文字は区別されます。また、一意の名前に
する必要があります。文字、数字、スペース、ハイフン、およびア
ンダースコアのみを使用してください。
この名前は、ログ コレクタのホスト名として表示されます。
デバイス ログ収集
ファイアウォールのログ収集に使用するインターフェイスを選択し
ます。デフォルトでは、管理インターフェイス (MGT) がこの機能を
実行します。Eth1 または Eth2 を選択するには、最初にこれらのイ
ンターフェイスを有効にして設定する必要があります([Panorama] >
[セットアップ]、Eth1/Eth2 インターフェイスの設定)。
コレクタ グループ通信
コレクタ グループ内の通信に使用するインターフェイスを選択しま
す。デフォルトでは、管理インターフェイス (MGT) がこの機能を実行
します。Eth1 または Eth2 を選択するには、最初にこれらのインター
フェイスを有効にして設定する必要があります([Panorama] > [セット
アップ]、Eth1/Eth2 インターフェイスの設定)。
保護された Syslog の証明書
Syslog を外部の Syslog サーバーに安全に転送するための証明書を選
択します。証明書の [保護された Syslog の証明書] オプションが選
択 さ れ て い る 必 要 が あ り ま す(「デ バ イ ス 証 明 書 の 管 理」を 参
照)。このログ コレクタが含まれるコレクタ グループに Syslog
サーバー プロファイルを割り当てる場合、サーバー プロファイルの
[転送] プロトコルが SSL である必要があります(「Syslog サーバー
の設定」を参照)。
Panorama サーバー IP
このコレクタの管理に使用する Panorama サーバーの IP アドレスを指
定します。
Panorama サーバー IP 2
Panorama 管理サーバーが HA モードの場合、セカンダリ デバイスの
IP アドレスを指定します。
ドメイン
ログ コレクタのドメイン名を入力します。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 519
ログ コレクタの追加
表 244. [管理対象コレクタ] ページ
フィールド
説明
プライマリ DNS サーバー
プライマリ DNS サーバーの IP アドレスを入力します。ログ コレクタ
はこのサーバーを使用して DNS クエリ(Panorama サーバーの検索
など)を実行します。
セカンダリ DNS サーバー
プライマリ サーバーを使用できない場合は、使用するセカンダリ
DNS サーバーの IP アドレスを入力します(任意)。
プライマリ NTP サーバー
プライマリ NTP サーバーの IP アドレスまたはホスト名を入力します
(存在する場合)。NTP サーバーを使用しない場合は、ログ コレク
タの時刻を手動で設定できます。
セカンダリ NTP サーバー
プライマリ サーバーを使用できない場合、使用するセカンダリ NTP
サーバーの IP アドレスまたはホスト名を入力します。(任意)
時間帯
ログ コレクタのタイム ゾーンを選択します。
緯度
アプリケーション スコープのトラフィック マップおよび脅威マップ
で使用するログ コレクタの緯度(-90.0 ~ 90.0)を入力します。
経度
アプリケーション スコープのトラフィック マップおよび脅威マップ
で使用するログ コレクタの経度(-180.0 ~ 180.0)を入力します。
[Authentication] タブ
ユーザー
このフィールドは常に admin と表示され、ログ コレクタでのロー
カル CLI ログイン名に使用されます。
モード
[パスワード] を選択して認証に使用するパスワードを手動で入力し
て確認するか、[パスワード ハッシュ] を選択してハッシュ値を入力
します。
Panorama 管理サーバー CLI からパスワード ハッシュを作成するに
は、以下を実行します。
request password-hash password password123
パスワード password123 のハッシュ値が返されます(例:
$1$urlishri$aLP2by.u2A1IQ/Njh5TFy9)。
ハッシュ値を CLI からコピーし、[パスワード ハッシュ] フィールド
に貼り付けます。変更内容をコミットすると、新しいハッシュがロ
グ コレクタにプッシュされ、ローカル管理者の新しいログイン パス
ワードが password123 になります。
許容ログイン回数
Web インターフェイスと CLI の最大ログイン試行回数 (1 ~ 10) を指
定します。この回数を超えるとアカウントがロックされます。デ
フォルトの 0 にすると、無制限になります。
ロックアウト時間(分)
最大試行回数に達したときのユーザーのロックアウト時間(0 ~ 60 分)
を指定します。デフォルトは 0 で、試行回数に上限はありません。
520 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ログ コレクタの追加
表 244. [管理対象コレクタ] ページ
フィールド
説明
[管理] タブ
このタブは、Panorama バーチャル アプライアンスではなく、M シリーズ アプライアンスにのみ適
用されます。デフォルトで、M シリーズ アプライアンスは、設定、ログ収集、コレクタ グループの
通信に管理 (MGT) ポートを使用します。ただし、ログ収集やコレクタ グループの通信に Eth1 また
は Eth2 を設定する場合は、Eth1 や Eth2 よりも秘密性が高い MGT インターフェイスのサブネット
を別途定義することをお勧めします。[ネットマスク](IPv4 の場合)または[IPv6 アドレス](プレ
フィックスを定義)フィールドでサブネットを定義します。
注:管理インターフェイスの設定を完了するには、IP アドレス、ネットマスク(IPv4 の場合)、プ
レフィックス長(IPv6 の場合)のいずれかと、デフォルト ゲートウェイを指定する必要がありま
す。設定を部分的にコミットした場合(たとえば、デフォルト ゲートウェイを省略するなど)、そ
の後設定を変更するときには、コンソール ポート経由でしか M シリーズ アプライアンスにアクセ
スできません。完全な設定をコミットすることをお勧めします。
速度とデュプレックス
Mbps 単位のインターフェイス速度(10、100、または 1000)を選択
し、インターフェイスの伝送モードをフル デュプレックス([フル])、
ハーフ デュプレックス([ハーフ])、オート ネゴシエーション([自
動])から選択します。
IP アドレス
ネットワークで IPv4 を使用する場合は、ログ コレクタの管理ポー
トに IPv4 アドレス(デフォルトは 192.168.1.1)を割り当てます。
ネットマスク
IPv4 アドレスを管理ポートに割り当てた場合は、ネットワーク マス
ク(例:255.255.255.0)を入力します。
デフォルト ゲートウェイ
IPv4 アドレスを管理ポートに割り当てた場合は、デフォルト ルー
ターに IPv4 アドレスを割り当てます(管理ポートと同じサブネット
にする必要があります)。
IPv6 アドレス
ネットワークで IPv6 を使用する場合は、ログ コレクタの管理ポー
トに IPv6 アドレスを割り当てます。ネットマスクを示すには、IPv6
プレフィックス長を入力します(例:2001:400:f00::1/64)。
IPv6 デフォルト ゲートウェイ
IPv6 アドレスを管理ポートに割り当てた場合は、デフォルト ルー
ターに IPv6 アドレスを割り当てます(管理ポートと同じサブネット
にする必要があります)。
MTU
このインターフェイスで送信されるパケットの最大転送単位 (MTU)
をバイト数で入力します(576 ~ 1500、デフォルトは 1500)。
管理インターフェイス サー
ビス
ログ コレクタ デバイスの管理インターフェイスで有効にするサービ
スを選択します。
• SSH
• ping
• SNMP (Simple Network Managed Protocol)
アクセス許可 IP アドレス
[追加] をクリックして、このインターフェイスで管理が許可される
IP アドレスのリストを入力します。
[Eth1] タブ
このタブは、Panorama バーチャル アプライアンスではなく、M シリーズ アプライアンスにのみ適
用されます。このタブを使用できるのは、[Panorama] 管理設定([Panorama] > [セットアップ] > [管
理] 、Eth1 インターフェイス設定)に Eth1 を設定している場合のみです。
注:IP アドレス、ネットマスク(IPv4 の場合)、プレフィックス長(IPv6 の場合)のいずれかと、
デフォルト ゲートウェイを指定しない場合は、Eth1 設定をコミットできません。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 521
ログ コレクタの追加
表 244. [管理対象コレクタ] ページ
フィールド
説明
Ethernet 1
このインターフェイスを有効にするには、このチェック ボックスを
オンにします。
速度とデュプレックス
Mbps 単位のインターフェイス速度(10、100、または 1000)を選択
し、インターフェイスの伝送モードをフル デュプレックス([フル])、
ハーフ デュプレックス([ハーフ])、オート ネゴシエーション([自
動])から選択します。
IP アドレス
ネットワークで IPv4 を使用する場合は、Eth1 に IPv4 アドレスを割
り当てます。
ネットマスク
IPv4 アドレスを Eth1 に割り当てた場合は、ネットワーク マスク
(例:255.255.255.0)を入力します。
デフォルト ゲートウェイ
IPv4 アドレスを Eth1 に割り当てた場合は、デフォルト ルーターに
IPv4 アドレスを割り当てます(Eth1 と同じサブネットにする必要が
あります)。
IPv6 アドレス
ネットワークで IPv6 を使用する場合は、Eth1 に IPv6 アドレスを割
り当てます。ネットマスクを示すには、IPv6 プレフィックス長を入
力します(例:2001:400:f00::1/64)。
IPv6 デフォルト ゲートウェイ
IPv6 アドレスを Eth1 に割り当てた場合は、デフォルト ルーターに
IPv6 アドレスを割り当てます(Eth1 と同じサブネットにする必要が
あります)。
MTU
このインターフェイスで送信されるパケットの最大転送単位 (MTU)
をバイト数で入力します(576 ~ 1500、デフォルトは 1500)。
ping
Eth1 インターフェイスで Ping を有効にするには、この チェック
ボックスをオンにします。
アクセス許可 IP アドレス
[追加] をクリックして、このインターフェイスで管理が許可される
IP アドレスのリストを入力します。
[Eth2] タブ
このタブは、Panorama バーチャル アプライアンスではなく、M シリーズ アプライアンスにのみ適
用されます。このタブを使用できるのは、[Panorama] 管理設定([Panorama] > [セットアップ] > [管
理] 、Eth2 インターフェイス設定)に Eth2 を設定している場合のみです。
注:IP アドレス、ネットマスク(IPv4 の場合)、プレフィックス長(IPv6 の場合)のいずれかと、
デフォルト ゲートウェイを指定しない場合は、Eth2 設定をコミットできません。
Eth2
このインターフェイスを有効にするには、このチェック ボックスをオ
ンにします。
速度とデュプレックス
Mbps 単位のインターフェイス速度(10、100、または 1000)を選択
し、インターフェイスの伝送モードをフル デュプレックス([フル])、
ハーフ デュプレックス([ハーフ])、オート ネゴシエーション([自
動])から選択します。
IP アドレス
ネットワークで IPv4 を使用する場合は、Eth2 に IPv4 アドレスを割
り当てます。
ネットマスク
IPv4 アドレスを Eth2 に割り当てた場合は、ネットワーク マスク
(例:255.255.255.0)を入力します。
デフォルト ゲートウェイ
IPv4 アドレスを Eth2 に割り当てた場合は、デフォルト ルーターに
IPv4 アドレスを割り当てます(Eth2 と同じサブネットにする必要が
あります)。
522 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ログ コレクタの追加
表 244. [管理対象コレクタ] ページ
フィールド
説明
IPv6 アドレス
ネットワークで IPv6 を使用する場合は、Eth2 に IPv6 アドレスを割
り当てます。ネットマスクを示すには、IPv6 プレフィックス長を入
力します(例:2001:400:f00::1/64)。
IPv6 デフォルト ゲートウェイ
IPv6 アドレスを Eth2 に割り当てた場合は、デフォルト ルーターに
IPv6 アドレスを割り当てます(Eth2 と同じサブネットにする必要が
あります)。
MTU
このインターフェイスで送信されるパケットの最大転送単位 (MTU)
をバイト数で入力します(576 ~ 1500、デフォルトは 1500)。
ping
Eth2 インターフェイスで Ping を有効にするには、この チェック
ボックスをオンにします。
アクセス許可 IP アドレス
[追加] をクリックして、このインターフェイスで管理が許可される IP
アドレスのリストを入力します。
[ディスク] タブ
[追加] をクリックして、コレクタがログの保存に使用する RAID 1 ディスク ペアを選択します。必
要に応じてディスク ペアを追加して、ストレージ容量を拡張できます。追加したディスク ペアをロ
グ コレクタで使用できるようにするには、チェック ボックスをオンにします。追加したすべての
ディスク ペアを使用できるようにするには、[ディスク ペアの有効化]チェック ボックスをオンにし
ます。
デフォルトでは、最初の RAID 1 ペアが有効になっており、A1/A2 ベイにインストールされた状態
で M シリーズ が出荷されます。ストレージ容量を増やすには、さらに RAID 1 ペアを 3 つまでベイ
B1/B2、C1/C2、D1/D2 に追加できます。ソフトウェアでは、A1/A2 ベイにある RAID 1 ペアに
「ディスク ペア A」という名前が付けられます。
新しいディスク ペアを有効にすると、ログ コレクタはその既存のログをすべてのディスクに再配信
します。この処理には、ログ 1 テラバイトごとに数時間かかる可能性があります。再配信プロセス
中は、最大ロギング率が低くなります。[Panorama] > [管理対象コレクタ] ページの [再配信状態] 列
はプロセスの状態を示します。
ログ コレクタを追加した後、各コレクタの [統計] リンクをクリックして、[コレクタ統計]
ウィンドウを開きます。このウィンドウには、ディスク情報、CPU のパフォーマンス数値、
および平均ログ数 / 秒が表示されます。確認するログ範囲をさらに理解するために、コレク
タが受信した最も古いログに関する情報を表示することもできます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 523
ログ コレクタへのソフトウェアの更新のインストール
ログ コレクタへのソフトウェアの更新のインストール
ログ コレクタ(ログ コレクタ モードの M シリーズ アプライアンス)にソフトウェア イメー
ジをインストールするには、Panorama にイメージをダウンロードまたはアップロードし
(「デバイスの更新およびライセンスの管理」を参照)、[Panorama] > [管理対象コレクタ]
ページで [インストール] をクリックして、以下の詳細を入力します。
表 245 ログ コレクタのソフトウェアの更新
フィールド
説明
ファイル
ソフトウェア イメージ ファイルを選択します。[Panorama] > [デバ
イスのデプロイ] > [ソフトウェア] ページを使用してファイルをダウ
ンロードまたはアップロードしている必要があります。
デバイス
イメージのインストール先であるログ コレクタを選択します。
デバイスにのみアップロード
(インストールは行わない)
ログ コレクタにイメージをアップロードするが、ログ コレクタの再
起動を後で行う場合は、このオプションを選択します。
再起動するまで、ソフトウェア イメージはインストールされません。
インストールの後にデバイ
スを再起動
ソフトウェア イメージをアップロードしてインストールする場合
は、このオプションを選択します。インストール プロセスによって
再起動がトリガーされます。
ログ コレクタ グループの定義
[Panorama] > [コレクタ グループ]
コレクタ グループ内で、管理対象ファイアウォールをログ コレクタに割り当てます。ログ
コレクタを確立してファイアウォールを設定すると、PAN-OS がファイアウォール ログをロ
グ コレクタに送信します。その後、Panorama が集約ログの表示または調査の目的で、ログ
コレクタをクエリします。
コレクタ グループを設定するには、[追加] をクリックし、以下のパラメータを入力します。
表 246. コレクタ グループ設定
フィールド
説明
[全般] タブ
名前
このコレクタ グループを識別する名前を入力します(最大 31 文
字)。名前の大文字と小文字は区別されます。また、一意の名前に
する必要があります。文字、数字、スペース、ハイフン、およびア
ンダースコアのみを使用してください。
524 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ログ コレクタへのソフトウェアの更新のインストール
表 246. コレクタ グループ設定(続き)
フィールド
説明
ログ保存エリア
コレクタ グループが受信したファイアウォール ログの現在のスト
レージ割り当てを示します。
容量テキストをクリックすると、[ログ保存設定] ダイアログが開き
ます。ここで、ストレージの [割り当て] と有効期間([最大日数])
をログ タイプ、ログ サマリータイプ、拡張脅威 PCAP ごとに設定で
きます。割り当てと有効期間の詳細は、「管理設定の定義」 の「ロ
ギングおよびレポート設定」を参照してください。
また、[デフォルトの復元] をクリックして、デフォルト設定を使用
することもできます。
最小保持期間(日)
コレクタ グループ内のすべてのログ コレクタで Panorama がログを
保持する最小期間(1 ~ 2000 日)を指定します。この期間を経過す
るとアラートが生成されます。現在の日付から最も古いログの日付
を引いた値が、定義した最小保持期間よりも小さくなる場合に、
Panorama はシステム ログの形式でアラート違反を生成します。
コレクタ間のログ冗長性の
有効化
このチェック ボックスを選択した場合、コレクタ グループ内の各ロ
グのコピーが 2 つ作成され、それぞれ異なるログ コレクタに保存さ
れます。この冗長性により、いずれかのログ コレクタが利用不可に
なってもログは失われません。すべてのログがコレクタ グループに
転送されていることを確認でき、すべてのログ データに関するレ
ポートを実行できます。ログ冗長性を利用できるのは、コレクタ グ
ループに複数のログ コレクタがあり、各ログ コレクタのディスク数
が同じ場合のみです。
冗長性を有効にすると、Panorama は既存のログをすべてのログ コ
レクタに再配信します。この処理には、ログ 1 テラバイトごとに数
時間かかる可能性があります。再配信プロセス中は、最大ロギング
率が低くなります。[Panorama] > [コレクタ グループ] ページの [再
配信状態] 列は、プロセスの状態を示します。特定のコレクタ グ
ループのすべてのログ コレクタが、同じプラットフォームである必
要があります(すべて M-100 アプライアンス、またはすべて M-500
アプライアンス)。
注:冗長性を有効にすると、作成されるログが多くなるため、この
設定には、より大きなストレージ容量が必要です。コレクタ グルー
プの容量が不足すると、古いログが削除されます。冗長性を有効に
すると、コレクタ グループ内のログ処理トラフィックが 2 倍にな
り、最大ロギング率が半分になります。各ログ コレクタが、受信す
る各ログのコピーを配信する必要があるためです。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 525
ログ コレクタへのソフトウェアの更新のインストール
表 246. コレクタ グループ設定(続き)
フィールド
説明
[モニタリング] タブ
SNMP
SNMP オプションを使用すると、接続状態、ディスク ドライブ統
計、ソフトウェア バージョン、平均 CPU、平均ログ / 秒、DB タイプ
別の保存期間(分、時間、日、週など)などのログ コレクタに関す
る情報を収集できます。SNMP 情報は、コレクタ グループごとに利
用できます。
SNMP 設定を指定します。
• 場所 — ログ コレクタ デバイスの場所を指定します。
• 連絡先 — このコレクタの電子メール連絡先を指定します。
• アクセス設定 — Panorama 管理サーバーとの通信に使用する SNMP
バージョンを指定します(V2c または V3)。
V3 を選択する場合は、以下を指定します。
– 表示 — [追加] をクリックして、以下の設定を指定します。
›
表示 — 表示の名前を指定します。
›
OID — オブジェクト識別子 (OID) を指定します。
›
オプション(含有または除外)— OID を表示に含めるの
か、表示から除外するのかを選択します。
›
マスク — OID に適用するフィルタのマスク値を 16 進数
形式で指定します(たとえば、0xf0)。
– ユーザー — [追加] をクリックして、以下の設定を指定します。
›
ユーザー — ログ コレクタと SNMP 管理サーバー間で認
証に使用するユーザー名を指定します。
›
表示 — ユーザーの表示のグループを指定します。
›
認証パスワード — ユーザーの認証パスワードを指定しま
す(最少 8 文字)。Secure Hash Algorithm (SHA) のみ
がサポートされています。
›
専用パスワード — ユーザーの暗号化パスワードを指定し
ます(最少 8 文字)。Advanced Encryption Standard
(AES) のみがサポートされています。
• SNMP コミュニティ — SNMP 管理環境で使用する SNMP コミュニ
ティ文字列を指定します。SNMPv2c 専用(デフォルトは public)
です。
526 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ログ コレクタへのソフトウェアの更新のインストール
表 246. コレクタ グループ設定(続き)
フィールド
説明
[デバイス ログ転送] タブ
コレクター グループのメン
バー
[追加] をクリックし、ドロップダウンから、このグループに属する
ログ コレクタ(最大 8 個)を選択します。ドロップダウンには、
[Panorama] > [管理対象コレクタ] ページで使用できるすべてのログ
コレクタが表示されます。
ログ コレクタを既存のコレクタ グループに追加すると、Panorama
はその既存のログをすべてのログ コレクタに再配信します。この処
理には、ログ 1 テラバイトごとに数時間かかる可能性があります。
再配信プロセス中は、最大ロギング率が低くなります。[Panorama] >
[コレクタ グループ] ページの [再配信状態] 列はプロセスの状態を示
します。特定のコレクタ グループのすべてのログ コレクタが、同じ
プラットフォームである必要があります(すべて M-100 アプライア
ンス、またはすべて M-500 アプライアンス)。
デバイス
ファイアウォールをコレクタ グループに追加できるようにするに
は、コレクタ グループのメンバーを追加する必要があります。
ファイアウォールを追加するには、[追加] をクリックし、デバイス
リストで [変更] をクリックして、管理対象ファイアウォールを選択
し、[OK] をクリックします。ファイアウォールをログ コレクタに
割り当ててログの転送を行うには、コレクタ リストで [追加] をク
リックし、ログ コレクタを選択します。最初に指定するログ コレク
タは、ファイアウォールのプライマリ ログ コレクタになります。プ
ライマリ ログ コレクタで障害が発生すると、ファイアウォールはセ
カンダリ ログ コレクタにログを送信します。セカンダリで障害が発
生すると、ファイアウォールは第 3 ログ コレクタにログを送信しま
す(以下同様)。この順番を変更するには、ログ コレクタを選択し
て [上へ] ボタンまたは [下へ] ボタンをクリックします。すべてのロ
グ コレクタを目的の順序で割り当てたら、[OK] をクリックします。
[コレクタ ログ転送] タブ
システム
設定
HIP マッチ
トラフィック
脅威
このコレクタ グループにログを転送するすべての管理対象ファイア
ウォールについて、どのログとイベントを集約して SNMP トラップ
サーバー、電子メール サーバー、および Syslog サーバーに送信する
かを重大度別に選択します。
宛先のサーバー プロファイルをまだ設定していない場合は、
「SNMP トラップの宛先の設定」、「Syslog サーバーの設定」、お
よび「電子メール通知設定の指定」を参照してください。
WildFire
相関
ユーザー アクティビティ レポートの生成
[Monitor] > [PDF レポート] > [ユーザー アクティビティ レポート]
Panorama ユーザー アクティビティ レポートとは、すべての管理対象ファイアウォール間の
ユーザー アクティビティをまとめたものです。これは、Panorama に転送されたファイア
ウォール データに基づいています。ユーザー アクティビティ レポートの作成についての一般
的な情報は、「ユーザー / グループ アクティビティ レポートの管理」を参照してください。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 527
ログ コレクタへのソフトウェアの更新のインストール
デバイスの更新およびライセンスの管理
[Panorama] > [デバイスのデプロイ]
[デバイスのデプロイ] ページには、管理対象ファイアウォールの現在のデプロイメント情報
が表示されます。また、管理対象ファイアウォールとログ コレクタ上で、ソフトウェアとコ
ンテンツ更新の管理、ライセンスの管理、更新のスケジュール設定もできます。
表 247. Panorama の [デバイスのデプロイ] タブ
ページ
説明
[デバイスのデプロイ] >
[ソフトウェア]
管理対象ファイアウォールとログ コレクタにインストールできるソフト
ウェア更新が一覧表示されます。
[デバイスのデプロイ] >
[SSL VPN クライアント]
管理対象ファイアウォールにインストールできる SSL VPN クライアン
ト ソフトウェアの更新が一覧表示されます。
[デバイスのデプロイ] >
[GlobalProtect クライア
ント]
管理対象ファイアウォールにインストールできる GlobalProtect クライ
アント ソフトウェアの更新が一覧表示されます。
[デバイスのデプロイ] >
[ダイナミック更新]
管理対象ファイアウォールとログ コレクタにデプロイできる動的コンテ
ンツの更新が一覧表示されます。Palo Alto Networks は、新規または改
訂されたアプリケーションおよび脅威の定義や、アンチウイルス シグネ
チャ、URL フィルタリング カテゴリ、GlobalProtect データ、WildFire
シグネチャなどが含まれた更新ファイルを定期的に公開しています。更
新を受け取るには、対応するサブスクリプションが必要です。
ダイナミック更新のダウンロードとインストールのプロセスを自動化す
る方法については、「ダイナミック更新のスケジュール」を参照してく
ださい。
528 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ログ コレクタへのソフトウェアの更新のインストール
表 247. Panorama の [デバイスのデプロイ] タブ
ページ
説明
管理対象の各ファイアウォールと、現在のライセンス状態が一覧表示さ
れます。各エントリは、ライセンスがアクティブ(
アイコン)また
は非アクティブ(
アイコン)のいずれであるかということと、アク
ティブなライセンスの有効期限を示します。
必要に応じて、このページで以下のアクションを実行します。
• リストを手動で更新するには、[更新] をクリックします。Panorama は、
ライセンス サーバーに毎日チェックインし、ライセンスの変更(更新
または非アクティブ化)を取得して、管理対象ファイアウォールおよ
びログ コレクタにライセンスの変更をプッシュします。
[デバイスのデプロイ] >
[ライセンス]
• ライセンスを有効にするには、[アクティベーション] をクリックしま
す。アクティベーションする管理対象ファイアウォールを選択し、そ
のファイアウォールに Palo Alto Networks が割り当てた認証コードを
入力します。
• VM-SeriesVM-Series のファイアウォールにインストールされたすべて
のライセンスおよびサブスクリプション / 登録を非アクティブにする
には、[VM の非アクティブ化] をクリックします。ライセンスをどの
VM-Series ファイアウォールから非アクティブにするかを選択しま
す。PAN-OS 7.0 よりも前のバージョンを実行しているファイアウォー
ルは表示されません。
– ライセンスを非アクティブにして、変更をライセンス サーバーに自動
的に登録するには、[続行] をクリックします。ライセンスのクレジッ
トがアカウントに戻されて、ライセンスが再利用可能になります。
– トークン ファイルを生成するには、[手動で実行] をクリックします。
Panorama からインターネットに直接アクセスできない場合、この
オプションを使用します。非アクティブ化プロセスを完了するに
は、サポート ポータルにログインし、生成されたトークン ファイ
ルをアップロードする必要があります。非アクティブ化プロセスが
完了すると、ライセンスのクレジットがアカウントに戻されて、ラ
イセンスが再利用可能になります。
[ソフトウェア]、[SSL VPN クライアント]、[GlobalProtect クライアント]、または
[Dynamic Updates] ページで、以下のいずれかのアクションを実行します。
• Palo Alto Networks からの更新に関する最新情報を表示するには、[今すぐチェック] を
クリックします。
• バージョンの変更内容の説明を表示するには、[リリース ノート] をクリックします
(アップロードされたソフトウェアの場合、これを利用できません)。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 529
ログ コレクタへのソフトウェアの更新のインストール
• Palo Alto Networks の更新サーバーから新しいバージョンをダウンロードするには、[ダ
ウンロード] をクリックします。ダウンロードが完了すると、[使用可能な列] に「ダウン
ロード済み」と表示されます。タイプに基づき、以下の手順に従って更新のインストー
ルまたはアクティベーションを行います。
– PAN-OS ソフトウェア — [アクション] 列で [インストール] をクリックし、ファイア
ウォールを選択します。[インストールの後にデバイスを再起動] チェック ボックスを
オンにすると、インストール中にファイアウォールが再起動します。ファイアウォー
ルが再起動するまでインストールを完了できません。
– SSL VPN クライアントまたは GlobalProtect クライアント ソフトウェア — [アクショ
ン] 列で [アクティベーション] をクリックし、ファイアウォールを選択します。
– ダイナミック更新 — [アクション] 列で [インストール] をクリックし、ファイアウォー
ルを選択します。
• 更新を別のコンピューターから Panorama にアップロードするには、[アップロード] を
クリックします。ソフトウェア更新のサイトから該当のコンピュータに更新をすでにダ
ウンロードしている必要があります。アップロードが完了すると、[使用可能な列] に
「Uploaded」と表示されます。タイプに基づき、以下の手順に従って更新のインストー
ルまたはアクティベーションを行います。
– PAN-OS ソフトウェア — [アクション] 列で [インストール] をクリックし、ファイア
ウォールを選択します。[インストールの後にデバイスを再起動] チェック ボックスを
オンにすると、インストール中にファイアウォールが再起動します。インストール
は、デバイスを再起動するまで完了しません。
– SSL VPN クライアントまたは GlobalProtect クライアント ソフトウェア — [ファイル
からアクティベーション] をクリックし、アップロードした [ファイル名] を選択し
て、ファイアウォールを選択します。
– ダイナミック更新 — [ファイルからインストール] をクリックし、コンテンツの [タイ
プ] を選択して、アップロードした [ファイル名] を選択し、ファイアウォールを選択
します。
• ダウンロードまたはアップロードした古いリリースを削除するには、[削除]
アイコン
をクリックします。
ダイナミック更新のスケジュール
[Panorama] > [デバイスのデプロイ] > [ダイナミック更新]
管理対象ファイアウォールと管理対象ログ コレクタの自動更新をスケジュールするには、[ス
ケジュール] リンクをクリックします。更新の頻度とタイミング、および更新をダウンロー
ドしてインストールするか、または更新のダウンロードのみを行うかを指定します。
スケジュールを作成するには、[追加] をクリックし、以下の詳細を入力します。
530 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ログ コレクタへのソフトウェアの更新のインストール
表 248.
ダイナミック更新のスケジュール
フィールド
説明
名前
スケジュールするジョブを識別する名前を入力します(最大 31 文
字)。名前の大文字と小文字は区別されます。また、一意の名前
にする必要があります。文字、数字、ハイフン、およびアンダー
スコアのみを使用してください。
無効
スケジュールしたジョブを無効にするには、チェック ボックスをオ
ンにします。
タイプ
スケジュールするダイナミック更新のタイプ(アプリケーション
と脅威、アンチウイルス、WildFire、URL データベース)を選択
します。
アクション
ダウンロードのみ:スケジュールした更新が選択したファイア
ウォール / ログ コレクタにダウンロードされます。
ダウンロード後、適宜、[ダイナミック更新] ページの [アクション]
列の [インストール] リンクをクリックしてダウンロードした更新
をインストールできます。
ダウンロードおよびインストール:スケジュールした更新がダウ
ンロードされてインストールされます。インストールを完了する
ために、各ファイアウォール / ログ コレクタが再起動されます。
繰り返し
Panorama が更新サーバーにチェックインする間隔を選択します。
繰り返しオプションは、更新のタイプによって異なります。
日時
[毎日] 更新の場合、24 時間形式で [時刻] を選択します。
[毎週] 更新の場合、[曜日] と、24 時間形式の [時刻] を選択します。
適格なデバイス
ダイナミック更新をスケジュールするファイアウォール / ログ コレ
クタを選択するには、フィルタを使用します。
設定のエクスポートのスケジューリング
[Panorama] > [スケジュール設定された設定のエクスポート]
Panorama は、それ自体が実行中の設定だけでなく、すべての管理対象ファイアウォールが
実行中の設定のバックアップを保存します。[スケジュール設定された設定のエクスポート]
ページを使用して、Panorama およびすべての管理対象ファイアウォールから実行中の設定
を収集して 1 つの gzip ファイルにパッケージ化し、そのパッケージが FTP サーバーに毎日
送信されるようにスケジュール設定したり、Secure Copy (SCP) を使用してリモート ホスト
に安全にデータを転送したりします。ファイルは XML 形式で、ファイル名はファイア
ウォールのシリアル番号に基づきます。
Panorama で高可用性 (HA) が設定されている場合は、各ピアで設定のエクスポートをスケ
ジュールし、フェイルオーバー後もエクスポートが継続して実行されるようにする必要があ
ります。Panorama は、スケジュール設定されたエクスポートを HA ピア間で同期しません。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 531
ログ コレクタへのソフトウェアの更新のインストール
表 249.
設定の一括エクスポートのスケジューリング
フィールド
説明
名前
設定の一括エクスポート ジョブを識別する名前を入力します(最
大 31 文字)。名前の大文字と小文字は区別されます。また、一意
の名前にする必要があります。文字、数字、ハイフン、およびア
ンダースコアのみを使用してください。
説明
任意の説明を入力します。
有効化
設定エクスポート ジョブを有効にするには、このチェック ボック
スをオンにします。
ログ タイプ
エクスポートするログのタイプ ([traffic]、[threat]、[url]、[data]、
[hipmatch]) を選択します。
エクスポートの開始予定時刻
(毎日)
エクスポートを開始する時間を指定します(24 時間形式、HH:MM
形式)。
プロトコル
ファイアウォールからリモート ホストへのログのエクスポートに
使用するプロトコルを選択します。SCP を使用すると、ログを安
全にエクスポートできますが、安全なプロトコルではない FTP も
使用できます。
ホスト名
ファイル転送先 FTP サーバーの IP アドレスまたはホスト名を入力
します。
ポート
ファイル転送先 FTP サーバーのポート番号を入力します。
パス
エクスポートした情報が保存される FTP または SCP サーバー上の
フォルダやディレクトリへのパスを指定します。
設定情報が最上位フォルダ Panorama 内の exported_config フォル
ダに保存される場合:
SCP サーバー パスの構文:/Panorama/exported_config
FTP サーバー パスの構文://Panorama/exported_config
FTP パッシブ モードを有効に
する
FTP パッシブ モードを使用するには、このチェック ボックスをオ
ンにします。
ユーザー名
ターゲット システムのユーザー名を指定します。
パスワード
ターゲット システムのユーザーのパスワードを指定します。
パスワード再入力
SCP サーバー接続のテスト
Panorama と SCP ホスト / サーバー間の通信をテストするには、こ
のボタンをクリックします。
データの安全な転送を有効にするには、SCP サーバーのホスト
キーを確認して受け入れる必要があります。ホスト キーを受け入
れるまで、接続は確立されません。Panorama で HA が設定されて
いる場合は、各 HA ピアでこの検証を実行し、それぞれが SCP
サーバーのホスト キーを受け入れるようにする必要があります。
532 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ログ コレクタへのソフトウェアの更新のインストール
Panorama ソフトウェアのアップグレード
[Panorama] > [ソフトウェア]
Panorama ソフトウェアの新しいバージョンにアップグレードする場合、[Panorama] > [ソフ
トウェア] ページを使用して、Palo Alto Networks から入手可能な最新バージョンの表示、
関連するリリース ノートの確認、ダウンロードおよびインストールするバージョンの選択
(サポートライセンスが必要)ができます。Panorama から外部ネットワークにアクセスで
きない場合は、別のコンピュータからリリース イメージをアップロードできます。
Panorama バーチャル アプライアンスを 64 ビット Panorama バージョン(Panorama 5.1 以降)
にアップグレードする場合は、リリース ノートを参照し、最小システム要件に関する推奨事
項と、アップグレード後に仮想マシン設定を変更する手順を確認してください。
デフォルトでは、ソフトウェアのバージョンが Panorama 管理サーバーに
最大 5 個保存されます。新しいバージョンをダウンロードするための空き
領域を確保するために、サーバーは最も古いバージョンを自動的に削除し
ます。Panorama によって保存されるソフトウェア イメージの数を変更し
て、イメージを手動で削除し、空き領域を確保できます。
新しいリリースにアップグレードするには、以下の手順を実行します。
1.
以下のどちらかの手順を実行し、Palo Alto Networks から入手可能なソフトウェアの最
新リリースを表示します。
– Panorama から外部ネットワークにアクセスできる場合 — [Panorama] > [ソフトウェア]
ページで、[今すぐチェック] をクリックします。
– Panorama から外部ネットワークにアクセスできない場合 — 外部ネットワークにアク
セスできるコンピュータで、ブラウザを使用して Software Update サイトにアクセス
します。
2.
以下のどちらかの手順を実行し、目的のソフトウェア バージョンのリリース ノートを参
照して、リリースの変更、修正、既知の問題、互換性の問題、およびデフォルト動作の
変更を確認します。
– Panorama から外部ネットワークにアクセスできる場合 — [Panorama] > [ソフトウェア]
ページで、該当のバージョンの [リリース ノート] リンクをクリックします。
– Panorama から外部ネットワークにアクセスできない場合 — Software Update サイト
で、目的のリリースの [リリース ノート] 列内のリンクをクリックします。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 533
ログ コレクタへのソフトウェアの更新のインストール
3.
以下のどちらかの手順を実行し、ソフトウェア イメージを Panorama にインポートします。
– Panorama から外部ネットワークにアクセスできる場合 — [Panorama] > [ソフトウェア]
ページで、目的のリリースの [アクション] 列の [ダウンロード] をクリックします。ダ
ウンロードが完了すると、[使用可能な列] に「ダウンロード済み」と表示されます。
– Panorama から外部ネットワークにアクセスできない場合は、以下の手順を実行します。
i. ソフトウェア更新のサイトで、目的のリリースの [ダウンロード] 列内のリンクを
クリックし、Panorama からアクセスできるコンピュータにソフトウェア イメー
ジをダウンロードします。
ii. [Panorama] > [ソフトウェア] ページで、[アップロード] ボタンをクリックし、ソ
フトウェア イメージを [参照] して、[OK] をクリックします。アップロードが完
了すると、[使用可能な列] に「Uploaded」と表示されます。
4.
[Panorama] > [ソフトウェア] ページで、ダウンロードまたはアップロードしたリリース
の [アクション] 列内にある [インストール] をクリックします。インストールが完了する
と、自動的にログアウトされ、Panorama システムが再起動します。
Panorama システム ファイルの破損を回避するため、Panorama では定期
的にファイル システムの整合性チェック (FSCK) が実行されます。この
チェックは、再起動を 8 回行った後、または Panorama により最後の FSCK
が実行されてから 90 日経過した後の再起動で実行されます。Panorama で
FSCK が実行されていると、FSCK が進行中であり完了するまでログインで
きないことを示す警告が Web インターフェイスと SSH ログイン画面に表示
されます。この処理が終了する時間は、ストレージ システムのサイズに
よって異なり、Panorama にログインできるようになるまで数時間かかるこ
ともあります。進捗状況を表示するには、Panorama へのコンソール アク
セスをセットアップします。
古いリリースのソフトウェア イメージを Panorama から削除するには、[Panorama] > [ソフ
トウェア] ページで、そのリリースの
をクリックします。
NSX Manager 上のサービスとしての VM-Series ファ
イアウォールの登録
[Panorama] > [VMware Service Manager]
VM-Series ファイアウォールのプロビジョニングを自動化するには、以下の設定を使用し
て、NSX Manager と Panorama 間の通信を有効にします。Panorama が VM-Series ファイア
ウォールを NSX Manage 上のサービスとして登録すると、NSX Manager には、新しい VMSeries ファイアウォールをクラスタ内の各 ESX(i) ホストにプロビジョニングするために必要
な設定が作成されます。
ダイナミック アドレス グループを使用する場合、この機能によって最小限の管理負担で仮
想ネットワークを保護できます。新しい仮想マシンがプロビジョニングされたり、既存のマ
シンが変更されたりすると、仮想ネットワークの変更が自動的に更新として Panorama に提
供され、その後、Panorama から管理対象ファイアウォールにプッシュされます。こうした
オブジェクトを(ダイナミック アドレス グループを介して)参照するすべてのポリシー
ルールは、仮想環境の変更を反映して更新され、セキュリティ ポリシーが常にすべてのネッ
トワークに適用されるようになります。
534 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
ログ コレクタへのソフトウェアの更新のインストール
表 250.
VMware Service Manager の設定
フィールド
説明
サービス マネージャ名
VM-Series ファイアウォールをサービスとして識別するための名前
を入力します。この名前は、NSX Manager に表示され、VMSeries ファイアウォールを要求に応じてデプロイするために使用さ
れます。
63 文字以内で指定し、英字、数字、ハイフン、およびアンダース
コアのみを使用してください。
説明
(任意)このサービスの目的または機能を説明するラベルを入力
します。
NSX Manager URL
Panorama が NSX Manager との接続を確立するために使用できる
URL を指定します。
NSX Manager ログイン
NSX Manager に設定されている認証情報(ユーザー名とパスワー
ド)を入力します。Panorama は、これらの認証情報を使用して認
証を受け、NSX Manager との接続を確立します。
NSX Manager パスワード
NSX Manager パスワードの
再入力
VM-Series の OVF URL
NSX Manager が、新しい VM-Series ファイアウォールをプロビ
ジョニングするためのファイル (.ovf) にアクセスできる URL(IP
アドレスまたはホスト名とパス)を入力します。
認証コード
VM-Series ファイアウォールを購入すると、受注処理電子メールが
送られてきます。この注文確認電子メールに記載されている認証
コードを入力します。
テンプレート
(任意)これらの VM-Series ファイアウォールが割り当てられるテ
ンプレートまたはテンプレート スタックを選択します。詳細は、
「テンプレートおよびテンプレート スタックの管理」を参照して
ください。
デバイス グループ
これらの VM-Series ファイアウォールを割り当てるデバイス グ
ループを選択します。詳細は、「デバイス グループの定義」を参
照してください。
デバイス グループに通知
ネットワークにデプロイされた仮想マシンへの追加または変更に
ついて通知を受ける必要があるデバイス グループを選択します。
この設定を行うと、Panorama が指定したデバイス グループ内の
ファイアウォールに値を入力し、登録した IP アドレスへの変更を
更新します。
この通知プロセスによって、コンテキストが認識され、ネット
ワーク上のアプリケーション セキュリティが維持されます。たと
えば、ハードウェア ベースの境界ファイアウォールのグループが
あり、新しいアプリケーションまたは Web サーバーがデプロイさ
れたら通知を受ける必要がある場合、このプロセスは、指定され
たデバイス グループについてダイナミック アドレス グループの自
動更新を開始します。さらに、ダイナミック アドレス オブジェク
トを参照するすべてのポリシー ルールには、新しくデプロイまた
は変更されたアプリケーションまたは Web サーバーが自動的に追
加され、基準に基づいてセキュアに有効にすることができます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 535
ログ コレクタへのソフトウェアの更新のインストール
表 250.
VMware Service Manager の設定(続き)
フィールド
説明
状態
Panorama と NSX Manager 間の接続状態が表示されます。接続が
成功すると、状態は以下のように表示されます。
• 登録済み:Panorama および NSX Manager は同期され、VM-Series
ファイアウォールは NSX Manager 上のサービスとして登録され
ています。
失敗した状態では、以下のメッセージが表示されます。
• 接続されていません:NSX Manager に到達できないか、NSX
Manager へのネットワーク接続を確立できません。
• 認証されていません:アクセス資格証明(ユーザー名 / パスワー
ド)が正しくありません。
• 登録されていません:サービス、サービス マネージャ、または
サービス プロファイルが NSX Manager で使用できないか、削除
されています。
• 同期していません:Panorama に定義されている設定が、NSX
Manager に定義されている設定と異なります。
• サービス / サービス プロファイルがありません:NSX Manager
の設定が不完全であることを示します。
最後のダイナミック更新
Panorama が NSX Manager からダイナミック アドレス グループ情
報を取得した日時が表示されます。
VMware Service Manager からの情報の更新
Panoramaでは、以下のアクションを実行できます。
• ダイナミック オブジェクトを同期 — NSX Manager からのダイナミック オブジェクト情
報の更新を開始します。ダイナミック オブジェクトを同期すると、仮想環境の変更に関
するコンテキストを維持できます。また、ポリシー内のオブジェクト参照を自動的に更
新して、アプリケーションを安全に有効にできます。
注:Panorama では、NSX Manager からダイナミックに登録された IP アドレスのみを表示できます。
ファイアウォールに直接登録されたダイナミック IP アドレスは表示されません。VM モニタリング機
能を使用している場合または XML API を使用して IP アドレスをダイナミックにファイアウォールに
登録している場合は、各ファイアウォールにログインして、Panorama からプッシュされ、ファイア
ウォールにローカルに登録されたダイナミック アドレスの完全なリストを表示する必要があります。
• VMware Service Manager の削除 — NSX Manager へのアクセス方法および Panorama
と NSX Manager 間の通信を確立する方法に関する設定を削除します。
536 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
付録 A
CC EAL4+/FIPS140-2 のサポート
標準のセキュリティ保証と機能の確保に対するセキュリティ認証である、情報セキュリティ
国際評価基準 (CC) と連邦情報処理標準 140-2 (FIPS 140-2) をサポートするようにファイア
ウォールを設定できます。これらの認証は、多くの場合米国の政府機関や政府請負業者に
よって取得されます。
CC/FIPS モードの有効化
CC/FIPS をサポートしているソフトウェア バージョンで CC/FIPS モードを有効にするに
は、以下の手順を実行します。CC/FIPS を有効にした場合、デバイスは工場出荷時のデフォ
ルト設定にリセットされ、すべての設定が削除されます。
1.
以下の手順でファイアウォールを管理モードで起動します。
a. ファイアウォールのコンソール ポートとのシリアル接続を確立します。
b. 以下の CLI コマンドを入力します。
debug system maintenance-mode
注:ファイアウォールを再起動し、メンテナンス モードのプロンプトで「maint」
と入力することもできます。
c. ファイアウォールがメンテナンス モードで起動します。Enter を押して、続行します。
2.
メニューから [Set CCEAL4 Mode] を選択します。
3.
メニューから [Enable CCEAL4 Mode] を選択します。
4.
プロンプトが表示されたら、[Reboot] を選択します。
CC/FIPS モードの切り替えが正常に行われると、以下のメッセージが表示されます。
「CCEAL4 mode enabled successfully.」さらに、Web インターフェイスの下部にあ
るステータス バーに常に「CC」と表示されます。また、コンソール ポートがステータ
ス出力ポートのみとして使用できるようになります。デフォルトの管理者ログイン資格
証明は admin/paloalto に変更されます。
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 537
CC/FIPS セキュリティ機能
CC/FIPS セキュリティ機能
CC/FIPS が有効になると、次の要件が適用されます。
• ファイアウォールにログインするには、ブラウザに TLS 1.0 との互換性が必要です。
• ファイアウォールのすべてのパスワードは、6 文字以上で指定する必要があります。
• ログイン試行の失敗回数が [Device] > [セットアップ] > [管理] ページで設定された回数
を超えると、アカウントがロックされます。ファイアウォールが CC/FIPS モードでは
ない場合はロックアウトされないように設定できますが、CC/FIPS モードではロックア
ウト時間を設定する必要があります。
• ファイアウォールは適切な自己テストレベルを自動的に判断し、暗号化アルゴリズムと
暗号スイートに適切なレベルの強度を適用します。
• CC/FIPS で承認されていないアルゴリズムは復号化されないため、復号化で無視され
ます。
• IPSec の設定時に、通常使用可能な暗号スイートの一部を使用できます。
• 自己生成証明書およびインポートされた証明書には、2048 ビット以上の公開鍵が含まれ
ている必要があります。
• シリアル ポートは無効になります。
• Telnet、TFTP、および HTTP 管理接続は使用できません。
• サーフ制御はサポートされません。
• 高可用性 (HA) 暗号化が必要です。
• PAP 認証は無効になります。
538 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
索引
B
I
BGP
仮想ルーター 171, 174, 175, 176, 179, 180, 181
BrightCloud サービス 305
ICMP フラッド 229
IKE
暗号プロファイル設定 433
暗号プロファイルの定義 432
交換モード 424
デッド ピア対策 424
IKE ゲートウェイ
設定 420, 423
セットアップ 419
IPSec
暗号プロファイル設定 434
暗号プロファイルの定義 434
トンネルのセットアップ 426
IPv6 226
IPv6 アドレス 318
C
Content-ID 設定 45
CPU 使用状況 360
D
DAD (Duplicate Address Detection) 137, 143, 159
DH (Diffie-Hellman) グループ 433
DNS プロキシ
設定 219
DoS
プロテクション プロファイル 284
プロファイル 284
F
FIPS 537
FTP サーバー、ログの保存 86
G
GlobalProtect
エージェントの使用 472
エージェントのセットアップ 472
応答ページ 121
クライアントのダウンロードおよびアクティ
ブ化 470
ゲートウェイのセットアップ 448
H
K
Kerberos
サーバーの設定 84
L
L3 インターフェイス
共有ゲートウェイ 120
LDAP
サーバーの設定 83
認証 70
logs 378
M
MD5 174
MIB 37
HA1 ポートと HA2 ポート 108
hello インターバル、HA 495
539 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
索引
N
R
NAT
NAT64 263
タイプ 260, 267
ポリシー 258
ポリシーの定義 267
ポリシーの例 262
NFS 492
Panorama の高可用性 494
外部ログ保存エリア 492
ストレージ パーティション 492
NSSA (Not So Stub Area) 172, 177
NT LAN Manager (NTLM) 284
RADIUS
サーバー設定の定義 81
認証 70
Representational State Transfer (REST) 3
P
Panorama
IP アドレスの設定 19
アクセスの有効化 19
管理者アカウントの作成 503
管理者ロール 502
高可用性 493
コミット 508
設定バンドルのエクスポート 531
ソフトウェアのアップグレード 533
タブ 488
デバイスの追加 496
テンプレート 510
テンプレート、構成 511
ユーザー アカウントのロックアウト 490, 506
PAN-OS ソフトウェア
アップグレード 63, 75, 506
バージョン 360
PDF サマリー レポート
作成 388, 390
設計 388
表示 387, 388
Q
QoS
クラス 477
出力設定 477
設定 254
ポリシー 477
マーキング 254
優先度設定 477
S
SNMP
MIB のセットアップ 37
コミュニティ名 38, 94
SNMP トラップの宛先
定義 93
ログ プロファイル 352
SSL
テクニカル ノートの参照 275
復号ポリシー 350
復号ポリシーの定義 275
SSL VPN
概要 475
確認ページ 121
スプリット トンネル 453
ローカル ユーザー データベース 79
SYN フラッド 228
Syslog サーバー
定義 95
ログ プロファイル 352
T
TLS (Transport Layer Security) 84
U
UDP フラッド 229
URL フィルタリング
オーバーライド設定 46
応答ページ 121
応答ページの続行とオーバーライド 121
セーフ サーチ 306
ダイナミック分類 305
プロファイル設定 301
プロファイルの定義 301
ログの表示 378
User-ID エージェント
キャプティブ ポータル設定 415
ファイアウォールの設定 401
540 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
索引
V
VPN
SSL、概要 475
VPN トンネル
セットアップ 426
W
Web インターフェイス
サポート対象のブラウザ 13
テーブルの使用 8
必須フィールド 7
変更のコミット 9
X
XML API 3
あ
アカウント
ユーザー名とパスワードの要件 73
アクセス ドメイン
ファイアウォール 70, 75
アクティブ/アクティブの高可用性 108
アクティブ/パッシブの高可用性 108
アクティブ コンフィグ、更新 29, 39
アップグレード
Panorama ソフトウェア 533
PAN-OS ソフトウェア 63, 75, 506
脅威およびアプリケーションの定義 66
スケジュール 530
アドレス
アドレス グループの定義 319
グループの定義 319
アドレス グループ、定義 319
アプリケーション
アプリケーション オーバーライドを指定した
カスタム 279
カテゴリ 329
脅威の定義の更新 66, 528
グループの定義 332
検索 323
サブ カテゴリ 329
詳細 324
定義 329
特徴 329
フィルタ 323
フィルタの定義 333
Palo Alto Networks
例外 293
アプリケーション オーバーライド ポリシー
概要 279
アプリケーション グループ、定義 332
アプリケーション コマンド センター (ACC)、使
用 361
アプリケーション スコープ レポート
脅威マップ レポート 373, 376
サマリー レポート 370
ネットワーク モニター レポート 374
表示 369
変化モニター レポート 371
アプリケーション例外 293
アプリケーション例外ポリシー 350
アラーム
アイコンの認識 91
アラーム アイコン 91
しきい値 229
承認済み 91
表示 91
未承認 91
ログの設定 91
アラームの承認 91
暗号化ポリシー 352
暗号プロファイル 432, 434
アンチウイルス プロファイル
定義 291
い
緯度と経度 18
インターフェイス
状態の表示 360
インターフェイス管理プロファイル 225
え
エージェント
GlobalProtect の使用 472
GlobalProtect のセットアップ 472
User-ID 409
エクスポート
証明書 99
設定バンドル 531
ログのスケジュール設定 86
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 541
索引
お
応答ページ
GlobalProtect ポータルのヘルプ 121
GlobalProtect ポータルのログイン 121
SSL 証明書エラー通知ページ 121
SSL 復号オプトアウト 121
URL フィルタリングの続行とオーバーライ
ド 121
アプリケーション ブロック 120
アンチウイルス 120
キャプティブ ポータル 120
タイプ 104, 120
定義 120
ファイル ブロッキング 121
ファイル ブロッキング続行 121
オブジェクト
概要 316
か
カスタム グループ レポート 390
カスタム シグネチャ
概要 345
スパイウェア 345
脆弱性 345
カスタム レポート 392
仮想システム
概要 118
セキュリティ ゾーン 118
定義 117, 118, 120
複数 118
複数を定義 118
複数を有効化 18
ポリシー 118
有効化 18
仮想ルーター
設定 166, 191
ネクスト ホップ 167
監査設定 57
管理インターフェイス
CLI 3
Panorama 3
Web 3
オプション 3
設定 16, 57
管理者
認証オプション 70
ページのロックアウト 490, 506
ロール、定義 70
[管理者] ページでのロックアウト 490, 506
き
機能と利点 2
機密情報、保護 47
キャプティブ ポータル
確認ページ 120
ファイアウォールの設定 415
ポリシーの定義 282
脅威
定義の更新 66, 528
脅威のログ 352
脅威ログ
表示 378
リモート ログの定義 350
共有ゲートウェイ
L3 インターフェイス 120
設定 120
許可リスト
URL フィルタリング プロファイル 304
ワイルドカード パターン 302
く
クライアント
GlobalProtect のダウンロードとアクティブ
化 470
ボットネット感染 384
グループ
サービスの定義 335
デバイス 499
クロック、設定 16, 57
け
ゲートウェイ
GlobalProtect のセットアップ 448
こ
高可用性
Panorama 493
Panorama での設定 493
アクティブ/アクティブ 108
アクティブ/パッシブ 108
542 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
索引
概要 108
設定 108
動作とフェイルオーバーのルール 108
交換モード 424
候補設定
概要 29, 39
保存およびロールバック 29, 39
候補設定の保存 29, 39
候補設定のロールバック 29, 39
コミット
Panorama 508
オプション 9
変更 9
システム ログ
表示 378
証明書
インポート 102
エクスポート 102
さ
セーフ サーチ 306
正規表現、データ パターン 341
脆弱性防御プロファイル 297, 301
セキュリティ
プロファイル グループ 350
プロファイル グループの定義 350
セキュリティ ゾーン
NAT ポリシー 269
定義 196
セキュリティ プロファイル
定義 350
セキュリティ プロファイル グループ、定義 350
セキュリティ ポリシー
定義 244, 245
セッション ブラウザ 381
設定監査 57
設定テンプレートの定義 533
設定の管理 29, 39
設定の比較 57
設定バンドルのエクスポート 531
設定ログ
表示 378
リモート ログの定義 87, 91, 92
サーバー
Kerberos の定義 84
LDAP の定義 83
RADIUS の定義 81
Syslog の定義 95
サービス、定義 334
サービス拒否 (DoS)、プロファイル 284
サービス グループ
定義 335
サービス グループ、定義 335
最短パス ツリー (SPT) 195
サブ カテゴリ
アプリケーション 329
フィルタリング 323
サポート情報 122
サポート情報、表示 122
サポート対象のブラウザ 13
サポートの依頼 122
し
時間
ゾーン 17
しきい値、アラーム 229
シグネチャ
カスタム 345
スパイウェア 345
脆弱性 345
時刻
設定 16, 57
システム設定 120
Palo Alto Networks
す
スケジュール
設定バンドルのエクスポート 531
定義 350, 357
ストレージ パーティション 492
Panorama 492
せ
そ
ゾーン
NAT ポリシー 269
プロテクション プロファイル 60, 227
送信元特定マルチキャスト (SSM) 195
速度、リンク 129, 146, 148, 149, 151, 154, 155
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 543
索引
ソフトウェア
Panorama のアップグレード 533
アップグレード 63, 75, 506, 533
バージョン 360
た
ダイナミック URL のタイムアウト 45
ダイナミック更新
概要 66
スケジュール 530
ダイナミック ブロック リスト 342
タグ
バーチャル ワイヤー 124
ダッシュボード
ファイアウォール 360
ち
地域
概要 321
ポリシー 321
て
データ パターン
新規追加 341
データ フィルタリング プロファイル 314
定義 344
ルール 341
データ フィルタリング
データ パターン 344
パターン設定 314
プロファイル 313
プロファイル設定 312, 313, 315
プロファイルとパターン 314
プロファイルの定義 313
ログの表示 378
データ保護
追加 47
パスワードの変更 47
テーブル、Web インターフェイスの使用 8
ディスク使用状況 360
デコーダとアクション 292
デッド ピア対策 424
デバイス
追加 496
マスター 500
デバイス グループ
追加 499
デバイスの再起動 16, 33, 57
デバイス優先度、HA 494
デプロイメント、情報の表示 528
デュプレックス設定 129, 146, 148, 149, 151, 154,
155
電子メール
レポート配信のスケジューリング 390
電子メール通知設定
定義 96, 97
ログ プロファイル 352
と
ドメイン名 17
トラフィック ログ 352
表示 377
リモート ログの定義 350
トンネル
SSL VPN 用の分割 453
セットアップ 426
トンネル インターフェイス 427
トンネル モニター
回復を待機 227
フェイルオーバー 227
プロファイル 226
な
ナレッジ ベース 122
に
認証
LDAP 70
RADIUS 70
管理者のオプション 70
シーケンス 85
リモート 16, 57
ローカル データベース 70
認証プロファイル
Kerberos 設定 84
LDAP 設定 83
RADIUS 設定 81
セットアップ 76
544 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
索引
ね
ネクスト ホップ 167
ネットワーク設定 16, 57
は
バージョン、ソフトウェア 360
バーチャル ワイヤー
定義 124
廃棄オプション、DOS プロファイル 231
パケット キャプチャ 378
アクセス 378
キャプチャの実行 393, 394, 395
キャプチャの設定 393, 394, 395
ファイルのキャプチャ 393, 394, 395
プロファイル設定 292, 300
パス グループ、HA 495
パスワード
暗号化 107
データ保護 47
パスワード複雑性設定 28
プロファイル 71
パッシブ/アクティブの高可用性 108
パッシブ ホールド タイム、HA 495
ひ
ピア ID 421
必須フィールド 7
秘密鍵、暗号化 107
秘密鍵とパスワードの暗号化 107
表示
セッション情報 381
セッション ブラウザ 381
ログ 377
フィルタ
アプリケーション 323, 333
サブ カテゴリ 323
フェイルオーバー 227
ブラウザ、サポート対象 13
フラグメントなし (DF) 233
フラッド、ゾーン プロテクション設定 227, 228,
230, 231, 233, 234, 476
ブロッキング、ファイル プロファイル 307
ブロック リスト
URL フィルタリング プロファイル 302
ワイルドカード パターン 302
プロファイル
IKE 暗号 432
IKE 暗号プロファイル設定 433
IPSec 暗号 434
IPSec 暗号プロファイル設定 434
URL フィルタリング 301
アンチウイルス 291
アンチウイルス、アプリケーション例外 293
アンチウイルス、デコーダとアクション 292
インターフェイス管理 225
脆弱性防御 297, 301
セキュリティ グループ 350
ゾーン プロテクション 60, 227
データ フィルタリング 313
トンネル モニター 226
ファイル ブロッキング 307, 350
モニターについて 226
ログ 350
ログ転送の定義 351
プロファイル グループ、定義 350
へ
ふ
ファイアウォール
User-ID エージェント 401
緯度と経度 18
機能と利点 2
はじめに 1
ファイアウォール設定のバックアップ 499
ファイル ブロッキング
設定 307
プロファイル、定義 350
プロファイルの定義 307
Palo Alto Networks
ページ上の設定の変更 7
ページ上の設定の編集 7
ほ
ホスト情報プロファイル (HIP)
HIP マッチ ログの設定 91
オブジェクトのセットアップ 459
セットアップ 468
マッチ ログ 378
ホスト名、定義 16, 57
ホスト名の解決 380
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 545
索引
ボットネット
概要 384
レポート 384
ボットネットに感染したクライアント 384
ポリシー
NATの概要 258
NAT の定義 267
QoS 477
概要 237
仮想システム 118
キャプティブ ポータルの定義 282
その他のポリシー オブジェクト 316
タイプ 237
データ パターン 344
復号の定義 275
ポリシー ベース フォワーディングの概要 271
ユーザーとアプリケーションの指定 242
ポリシー ベース フォワーディング (PBF)
概要 271
定義 271
モニター プロファイル 226
保留時間 495
ま
[マスター キーおよび診断] ページ 107
マスター デバイス 500
マルチ仮想システム 18, 118
め
メモリ使用率 360
も
モニター プロファイル 226
ゆ
ユーザー アカウントのロックアウト 506
ユーザー データベース、SSL VPN 79
ユーザー名とパスワードの要件 73
ら
ライセンス
インストール 57
ランダム早期ドロップ 228
ランデブー ポイント 192
り
リモート認証 16, 57
リンク グループ、HA 114
リンク状態
設定 129, 146, 148, 149, 151, 154, 155
表示 360
リンク速度とデュプレックス 129, 146, 148, 149,
151, 154, 155
る
ルーティング プロトコル
BGP 171, 174, 175, 176, 179, 180, 181
ルール
アプリケーション例外ポリシー 350
セキュリティ ポリシー 244, 245
れ
レスポンスしきい値 229
レポート
PDF サマリー 387
カスタム 392
カスタム グループの作成 390
上位 50 391
電子メール配信のスケジューリング 390
表示 391
ユーザー アクティビティ 389, 527
レポートとログ
PDF サマリー レポートの表示 387
アプリケーション コマンド センターの使
用 361
アプリケーション スコープ レポートの表
示 369
カスタム レポート 392
ダッシュボードの使用 360
レポートの表示 391, 392
ろ
ローカル ID 421
ロール
管理者の定義 70
ログ
FTP サーバーへの保存 86
HIP マッチ 378
HIP マッチの設定 91
URL フィルタリングの表示 378
アラーム 91
546 • Web インターフェイス リファレンス ガイド、バージョン 7.0
Palo Alto Networks
索引
エクスポートのスケジュール設定 86
管理 92
クリア 92
設定 88
表示 377
ホスト名の解決 380
リモート ログの定義
脅威ログとトラフィック ログ 350
設定用 87, 91, 92
ログ転送
プロファイル設定 351
プロファイルの定義 351
ログの宛先
SNMP トラップ 93
Syslog 95
電子メール 96, 97
ログのエクスポート 86
わ
ワイルドカード
カスタム URL カテゴリ 349
許可リストとブロック リストのパターン 302
Palo Alto Networks
Web インターフェイス リファレンス ガイド、バージョン 7.0 • 547