PAN-OS 6.1 Administrator`s Guide

®
Palo Alto Networks
PAN-OS® 管理者ガイド
バージョン 6.1
連絡先情報
本社 :
Palo Alto Networks
4401 Great America Parkway
Santa Clara, CA 95054
http://www.paloaltonetworks.com/contact/contact/
このガイドについて
このガイドでは、Palo Alto Networks 次世代ファイアウォールの設定と管理方法について説明します。
詳細は、以下のリソースを参照してください。

追加の機能およびファイアウォールの機能の設定方法の詳細
(https://www.paloaltonetworks.com/documentation)

ナレッジベース、ドキュメントセット一式、ディスカッションフォーラム、および動画
(https://live.paloaltonetworks.com)

サポート窓口、サポートプログラムの詳細、アカウントまたはデバイスの管理
(https://support.paloaltonetworks.com)

最新のリリースノート（https://support.paloaltonetworks.com/Updates/SoftwareUpdates のソフトウェア
のダウンロードページ）
ドキュメントのフィードバックは、以下の宛先までご送付ください。 [email protected]
Palo Alto Networks, Inc.
www.paloaltonetworks.com
© 2014 Palo Alto Networks. All rights reserved.
Palo Alto Networks および PAN-OS は Palo Alto Networks, Inc. の登録商標です。
改定日 : 2015 年 6 月 18 日
ii
目次
スタートガイド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
管理ネットワークへのファイアウォールの統合 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
管理戦略の決定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
初期設定の実行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
外部サービスへのネットワークアクセスのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
ファイアウォールの登録 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
ライセンスおよびサブスクリプションのアクティベーション . . . . . . . . . . . . . . . . . . . . . . . . 12
コンテンツ更新の管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
ソフトウェア更新のインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
ペリメータセキュリティの確立 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
基本的なインターフェイスのデプロイメント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
セキュリティポリシーについて. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
デプロイメント計画 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
インターフェイスとゾーンの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
基本的なセキュリティポリシーのセットアップ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
基本的な脅威防御機能の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
WildFire の有効化. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
脅威を確認するためのトラフィックのスキャン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Web コンテンツへのアクセス制御 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
ファイアウォールのデプロイメントのベストプラクティス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
デバイス管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
管理インターフェイス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Web インターフェイスの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
コマンドラインインターフェイス (CLI) の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
XML API の使用. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
ファイアウォール管理者の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
管理ロール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
管理認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
管理アカウントの作成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
リファレンス : Web インターフェイス管理者のアクセス権限. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
Web インターフェイスのアクセス権限. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
Panorama Web インターフェイスのアクセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
リファレンス : Palo Alto Networks のデバイスが使用するポート番号 . . . . . . . . . . . . . . . . . . . . . 124
管理機能で使用するポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
HA で使用するポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
Panorama で使用するポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
User-ID で使用するポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
ファイアウォールの工場出荷時設定へのリセット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
PAN-OS 管理者ガイド
i
証明書の管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
キーおよび証明書 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
証明書の失効. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
証明書失効リスト (CRL) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
Open Certificate Status Protocol (OCSP). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
証明書のデプロイメント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
証明書失効状態の検証の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
OCSP レスポンダの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ユーザー/ デバイス認証に使用される証明書の失効状態検証の設定 . . . . . . . . . . . . . . . . .
SSL/TLS 復号化に使用する証明書の失効状態検証の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . .
138
138
140
141
マスターキーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
証明書の取得. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
自己署名ルート CA 証明書の作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ファイアウォールでの証明書の生成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
証明書および機密鍵のインポート. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
外部 CA からの証明書の取得 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
144
145
146
147
148
証明書プロファイルの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
SSL フォワードプロキシサーバーの証明書の鍵のサイズの設定 . . . . . . . . . . . . . . . . . . . . . . . . 154
証明書の失効および更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
証明書の無効化. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
証明書の更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
ハードウェアセキュリティモジュールによるキーの安全確保 . . . . . . . . . . . . . . . . . . . . . . . . . .
HSM との接続のセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
HSM を使用したマスターキーの暗号化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
HSM での秘密鍵の保存. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
HSM デプロイメントの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
157
158
165
167
169
高可用性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
HA 概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
HA の概念 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
HA モード. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
HA リンクおよびバックアップリンク . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
デバイス優先度およびプリエンプション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
フェイルオーバーのトリガー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
HA タイマー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
173
173
174
176
177
178
アクティブ / パッシブ HA のセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
アクティブ / パッシブ HA の前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
アクティブ / パッシブ HA の設定ガイドライン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
アクティブ / パッシブ HA の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
フェイルオーバー条件の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
フェイルオーバーの確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
181
182
183
186
193
195
HA リソース . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196
ii
PAN-OS 管理者ガイド
レポートとログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
Dashboard の使用. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
アプリケーションコマンドセンターの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
ACC リスクレベル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
ACC のチャート. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
ACC の詳細ページ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
ACC の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
アプリケーションスコープの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
サマリーレポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
変化モニターレポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
脅威モニターレポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
脅威マップレポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
ネットワークモニターレポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212
トラフィックマップレポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213
パケットキャプチャの実行. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214
ファイアウォールのモニター . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217
アプリケーションと脅威のモニター . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218
ログデータのモニタリング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
ダッシュボードのモニタリング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
レポートの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225
外部サービスへのログの転送 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
リモートログの宛先の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
ログ転送の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236
ログ転送プロファイル. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237
SNMP を使用したファイアウォールのモニター . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241
NetFlow を使用したファイアウォールのモニター . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244
NegFlow のテンプレート. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
外部モニタリングシステムでのファイアウォールインターフェイスの識別 . . . . . . . . . . . . . 249
レポートの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251
レポートについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252
レポートの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
事前定義済みレポートを無効にする . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
カスタムレポートの生成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256
ボットネットレポートの生成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262
PDF サマリーレポートの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265
ユーザー/ グループアクティビティレポートの生成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
レポートグループの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
電子メールで配信するレポートのスケジュール設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269
Syslog フィールドの説明 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270
User-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285
User-ID の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286
User-ID の概念 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288
PAN-OS 管理者ガイド
iii
グループマッピング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288
ユーザーマッピング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289
User-ID の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293
ユーザーとグループのマッピング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294
IP アドレス対ユーザーのマッピング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Windows User-ID エージェントを使用したユーザーマッピングの設定 . . . . . . . . . . . . . . .
PAN-OS 統合 User-ID エージェントを使用したユーザーマッピングの設定. . . . . . . . . . .
Syslog 送信元からユーザーマッピングを受信するための User-ID の設定 . . . . . . . . . . . . .
キャプティブポータルを使用した IP アドレス対ユーザー名のマッピング . . . . . . . . . . .
ターミナルサーバーユーザー向けのユーザーマッピング設定 . . . . . . . . . . . . . . . . . . . . .
XML API を使用した User-ID へのユーザーマッピングの送信. . . . . . . . . . . . . . . . . . . . . . .
297
298
307
310
323
331
342
他のファイアウォールとユーザーマッピングデータを共有するためのファイアウ
ォールの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343
ユーザーおよびグループベースのポリシーの有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346
User-ID 設定の確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349
App-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353
App-ID の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354
カスタムアプリケーションや不明なアプリケーションの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . 355
App-ID のポリシー内での使用のベストプラクティス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357
暗黙的サポートを使用するアプリケーション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358
アプリケーションレベルゲートウェイ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361
SIP アプリケーションレベルゲートウェイ (ALG) を無効にする . . . . . . . . . . . . . . . . . . . . . . . . 362
脅威防御 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365
セキュリティプロファイルとセキュリティポリシーのセットアップ . . . . . . . . . . . . . . . . . . .
アンチウイルス、アンチスパイウェア、および脆弱性防御のセットアップ . . . . . . . . . .
データフィルタリングのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ファイルブロッキングのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
366
367
370
375
ブルートフォース攻撃の防御 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378
ブルートフォース攻撃シグネチャとトリガー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379
ブルートフォースシグネチャのアクションとトリガー条件のカスタマイズ . . . . . . . . . 383
ネットワークをレイヤー 4 およびレイヤー 7 回避から保護するためのベスト
プラクティス. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387
パッシブ DNS 収集を有効にして脅威インテリジェンスを向上する . . . . . . . . . . . . . . . . . . . . . 390
DNS クエリを使用してネットワーク上の感染ホストを特定する . . . . . . . . . . . . . . . . . . . . . . . .
DNS シンクホール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DNS シンクホールの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
感染ホストの特定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
391
392
393
400
ダイナミック更新のためのコンテンツ配信ネットワークインフラストラクチャ . . . . . . . . . 402
脅威防御リソース . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404
iv
PAN-OS 管理者ガイド
復号 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
復号化の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406
復号化の概念 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408
復号ポリシーのためのキーおよび証明書. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409
SSL フォワードプロキシ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411
SSL インバウンドインスペクション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413
SSH プロキシ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414
復号化の例外 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415
復号ポートミラーリング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416
SSL フォワードプロキシの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417
SSL インバウンドインスペクションの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423
SSH プロキシの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425
復号化の例外の設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427
復号化からのトラフィックの除外 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427
復号化からのサーバーの除外 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 428
SSL 復号化からオプトアウトするユーザーを有効にする . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429
復号ポートミラーリングの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432
SSL 復号化を一時的に無効にする . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435
URL フィルタリング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437
URL フィルタリングの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438
URL フィルタリングベンダー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438
App-ID および URL カテゴリ間の相互作用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439
URL フィルタリングの概念 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440
URL カテゴリ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441
URL フィルタリングプロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442
URL フィルタリングプロファイルアクション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443
ブロックリストと許可リスト. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444
セーフサーチを適用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445
コンテナページ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 448
HTTP ヘッダのロギング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449
URL フィルタリング応答ページ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 450
ポリシー一致条件としての URL カテゴリ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 452
PAN-DB 分類ワークフロー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 454
PAN-DB URL 分類コンポーネント. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 454
PAN-DB URL 分類ワークフロー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456
URL フィルタリングベンダーの有効化. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457
PAN-DB URL Filtering の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 458
BrightCloud URL フィルタリングの有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 460
URL フィルタリングポリシーの要件の決定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463
Web アクティビティのモニター . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465
URL フィルタリングログの解釈 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466
ACC を使用した Web アクティビティのモニター . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 467
PAN-OS 管理者ガイド
v
URL フィルタリングレポートの表示. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468
ユーザーアクティビティレポートの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469
カスタム URL フィルタリングレポートの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 471
URL フィルタリングの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473
URL フィルタリング応答ページのカスタマイズ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 476
URL 管理オーバーライドの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 478
セーフサーチの適用の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 482
厳密なセーフサーチ設定を使用していない検索結果のブロック . . . . . . . . . . . . . . . . . . . . 482
透過的なセーフサーチの適用の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 486
URL フィルタリングのユースケースの例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 491
ユースケース : Web アクセスの制御 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 492
ユースケース : ポリシーでの URL カテゴリの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 496
URL フィルタリングのトラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
PAN-DB のアクティベーションに関する問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
PAN-DB クラウド接続の問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Not-Resolved に分類された URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
誤った分類 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
URL データベースが古い . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
499
499
500
501
502
504
Quality of Service (QoS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 505
QoS の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 506
QoS の概念 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
アプリケーションおよびユーザーの QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
QoS プロファイル. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
QoS クラス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
QoS ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
QoS 出力インターフェイス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
QoS のクリアテキストおよびトンネル対象トラフィック . . . . . . . . . . . . . . . . . . . . . . . . . . .
508
508
509
510
512
512
513
QoS の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 514
仮想システムの QoS の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 520
QoS のユースケース例. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 527
ユースケース : 単一ユーザーの場合の QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 528
音声およびビデオアプリケーションの QoS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 531
VPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535
VPN デプロイメント. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 536
サイト間 VPN の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 538
サイト間 VPN の概念 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
IKE ゲートウェイ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
トンネルインターフェイス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
トンネルモニタ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
VPN 用の Internet Key Exchange (IKE) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
vi
539
539
539
540
541
PAN-OS 管理者ガイド
サイト間 VPN のセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 544
IKE ゲートウェイのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545
暗号プロファイルの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 548
IPSec トンネルのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 551
トンネルモニタリングのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 555
VPN 接続のテスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 557
VPN エラーメッセージの解釈 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 558
サイト間 VPN のクイック設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 559
スタティックルーティングを使用したサイト間 VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 559
OSPF を使用したサイト間 VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 565
スタティックルーティングおよびダイナミックルーティングを使用
したサイト間 VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 571
大規模 VPN (LSVPN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 579
LSVPN の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 580
LSVPN のインターフェイスおよびゾーンの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 581
GlobalProtect LSVPN コンポーネント間の SSL の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 584
証明書のデプロイメントについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 584
GlobalProtect LSVPN コンポーネントへのサーバー証明書のデプロイ . . . . . . . . . . . . . . . . . 584
サテライトを認証するためのポータルの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 588
LSVPN の GlobalProtect ゲートウェイの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 591
前提となるタスク . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 591
ゲートウェイの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 591
LSVPN の GlobalProtect ポータルの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 596
前提となるタスク . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 596
ポータルの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 596
サテライト設定の定義. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 598
LSVPN に参加するためのサテライトデバイスの準備. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 602
LSVPN 設定の確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 606
LSVPN のクイック設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 607
スタティックルーティングを使用した基本的な LSVPN 設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . 608
ダイナミックルーティングを使用した高度な LSVPN 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 611
ネットワーク . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 615
インターフェイスのデプロイメント. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 616
バーチャルワイヤーデプロイメント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 616
レイヤー 2 デプロイメント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 620
レイヤー 3 デプロイメント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 620
タップモードデプロイメント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 621
仮想ルーター . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 622
スタティックルート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 624
RIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 627
PAN-OS 管理者ガイド
vii
OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
OSPF の概念. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
OSPF の設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
OSPFv3 の設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
OSPF グレースフルリスタートの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
OSPF 動作の確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
629
629
632
639
642
643
BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 647
セッション設定とセッションタイムアウト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
トランスポート層のセッション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
TCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
UDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ICMP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
セッションタイムアウトの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
セッション設定の指定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
653
654
654
656
657
657
660
DHCP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DHCP の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DHCP メッセージ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DHCP アドレス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DHCP オプション. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Palo Alto Networks の DHCP の実装の制限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DHCP サーバーとしてインターフェイスを設定する. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DHCP クライアントとしてインターフェイスを設定する . . . . . . . . . . . . . . . . . . . . . . . . . . .
DHCP リレーエージェントとしてインターフェイスを設定する . . . . . . . . . . . . . . . . . . . .
DHCP のモニターおよびトラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
663
663
664
665
667
668
669
672
674
675
NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NAT の目的 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NAT ルールおよびセキュリティポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
送信元 NAT と宛先 NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NAT ルールのキャパシティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ダイナミック IP およびポート NAT オーバーサブスクリプション . . . . . . . . . . . . . . . . . . .
データプレーンの NAT メモリの統計情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NAT の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
677
677
678
679
680
681
682
684
LACP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 694
LACP 設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 694
LACP の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 698
ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 703
ポリシーのタイプ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 704
セキュリティポリシー. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 705
セキュリティポリシールールのコンポーネント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 706
セキュリティポリシーのベストプラクティス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 709
ポリシーオブジェクト. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 710
セキュリティプロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 712
アンチウイルスプロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 713
viii
PAN-OS 管理者ガイド
アンチスパイウェアプロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 714
脆弱性防御プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 715
URL フィルタリングプロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 716
データフィルタリングプロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 717
ファイルブロッキングプロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 719
DoS プロテクションプロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 720
ゾーンプロテクションプロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 721
セキュリティプロファイルグループ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 722
ルールベース内のルールの列挙 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 727
タグを使用してオブジェクトを視覚的に識別する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 730
セキュリティポリシーでオブジェクトを検索するためのヒントとテクニック . . . . . . . . . . . . 732
セキュリティプロファイルを含むセキュリティポリシールールの検索 . . . . . . . . . . . . . 732
セキュリティポリシー内の無効化されたルールの検索 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 736
セキュリティポリシー内のログ転送詳細の検索. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 736
セキュリティポリシー内のログ詳細の検索 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 737
セキュリティポリシー内のスケジュール設定されたルールの検索. . . . . . . . . . . . . . . . . . . 737
ポリシーでのダイナミックブロックリストの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 739
ファイアウォールモデルの IP アドレス制限の確認. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 739
ダイナミックブロックリストのフォーマットに関するガイドライン . . . . . . . . . . . . . . . . 740
ダイナミックブロックリストによるポリシーの適用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 740
ダイナミックブロックリストに含まれている IP アドレスの表示 . . . . . . . . . . . . . . . . . . . 742
Web サーバーからのダイナミックブロックリストの取得 . . . . . . . . . . . . . . . . . . . . . . . . . . 742
IP アドレスとタグの動的登録. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 744
仮想環境における変更のモニタリング. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 745
VM をモニタリングして仮想ネットワーク上の変更を追跡する . . . . . . . . . . . . . . . . . . . . . . 746
AWS および VMware 環境でモニターされる属性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 749
ポリシー内でのダイナミックアドレスグループの使用. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 750
ダイナミック IP アドレスおよびタグを確認する CLI コマンド . . . . . . . . . . . . . . . . . . . . . . . . . . 755
プロキシ経由の HTTP/HTTPS 要求に使用するクライアント IP アドレスをログに
記録する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 757
X-Forwarded-For の値をトラフィックログに記録する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 757
X-Forwarded-For の値を URL フィルタリングログに記録する. . . . . . . . . . . . . . . . . . . . . . . . 758
ポリシーベースフォワーディング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 760
PBF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 761
ポリシーベースフォワーディングルールの作成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 763
ユースケース : デュアル ISP でのアウトバウンドアクセス用 PBF . . . . . . . . . . . . . . . . . . . 767
仮想システム . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 777
仮想システムの概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 778
仮想システムのコンポーネントとセグメンテーション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 778
仮想システムの利点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 779
仮想システムのユースケース. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 780
仮想システムのプラットフォームサポートおよびライセンス . . . . . . . . . . . . . . . . . . . . . . . 780
仮想システムでの制限. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 781
PAN-OS 管理者ガイド
ix
仮想システムの管理ロール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 781
仮想システムの共有オブジェクト. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 781
仮想システム間の通信 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ファイアウォールから離れる必要がある vsys 間トラフィック . . . . . . . . . . . . . . . . . . . . . . .
ファイアウォール内に残る vsys 間トラフィック. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
vsys 間通信で使用する 2 つのセッション. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
782
783
784
787
共有ゲートウェイ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 788
外部ゾーンと共有ゲートウェイ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 788
共有ゲートウェイでのネットワーキングに関する考慮事項 . . . . . . . . . . . . . . . . . . . . . . . . . 790
仮想システムの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 791
ファイアウォール内での仮想システム間通信の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 795
共有ゲートウェイの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 796
仮想システムのその他の機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 797
x
PAN-OS 管理者ガイド
スタートガイド
以下のセクションでは、新しい Palo Alto Networks の次世代のファイアウォールをデプロイする
上で役立つ詳細な手順について説明します。新しいファイアウォールのネットワークへの統合
と基本的なセキュリティポリシーおよび脅威防御機能の設定の詳細を説明します。
ファイアウォールをネットワークに統合するために必要な基本的な設定手順を実行した後、こ
のガイドのその他のトピックを参照することで、ネットワークセキュリティニーズに対処する
ために必要な、包括的なエンタープライズセキュリティプラットフォーム機能をデプロイでき
ます。

管理ネットワークへのファイアウォールの統合

ペリメータセキュリティの確立

基本的な脅威防御機能の有効化

ファイアウォールのデプロイメントのベストプラクティス
スタートガイド
1
管理ネットワークへのファイアウォールの統合
スタートガイド
管理ネットワークへのファイアウォールの統合
すべての Palo Alto Networks ファイアウォールにはアウトオブバンド管理ポート (MGT) が用意さ
れており、それを使用してファイアウォールの管理機能を実行できます。MGT ポートを使用す
ることによってファイアウォールの管理機能がデータ処理機能から分離されるため、ファイア
ウォールへのアクセスが安全に守られ、パフォーマンスが向上します。Web インターフェイス
を使用するときには、デバイスの管理でインバンドポートを使用する予定の場合であっても、
MGT からすべての初期設定タスクを実行する必要があります。
ライセンスの取得や、ファイアウォールでの脅威シグネチャとアプリケーションシグネチャの
更新などの一部の管理タスクでは、インターネットへのアクセスが必要です。MGT ポートへの
外部アクセスを有効にしない場合は、必要な外部サービスにアクセスできるようにデータポー
トをセットアップするか、定期的に手動で更新をアップロードするように計画する必要があり
ます。
以下のトピックでは、新しいファイアウォールを管理ネットワークに統合し、基本的なセキュ
リティ設定をデプロイするために必要な初期設定手順の実行方法を説明します。

管理戦略の決定

初期設定の実行

外部サービスへのネットワークアクセスのセットアップ

ファイアウォールの登録

ライセンスおよびサブスクリプションのアクティベーション

コンテンツ更新の管理

ソフトウェア更新のインストール
以下のトピックでは、単一の Palo Alto Networks の次世代ファイアウォールをネットワークに
統合する方法を説明します。ただし、冗長性を持たせるため、「高可用性」設定にファイア
ウォールのペアをデプロイすることを検討してください。
2
スタートガイド
スタートガイド
管理ネットワークへのファイアウォールの統合
管理戦略の決定
Palo Alto Networks のファイアウォールは、ローカルで設定および管理するか、Palo Alto Networks
の中央管理システムである Panorama を使用することによって一元管理することができます。
ネットワークにファイアウォールが 6 つ以上デプロイされている場合、Panorama を使用すると
以下のメリットがあります。

設定、ポリシー、ソフトウェア、および動的コンテンツ更新の管理で、煩雑さや管理上の負
荷を軽減できます。Panorama でデバイスグループとテンプレートを使用することにより、
デバイス固有の設定を各デバイスでローカルに管理したり、すべてのデバイスまたはデバイ
スグループで共有ポリシーを適用したりすることで効果的に管理できます。

すべての管理対象ファイアウォールからデータを集約し、ネットワーク上のすべてのトラ
フィックを可視化します。Panorama のアプリケーションコマンドセンター (ACC) にはファ
イアウォール全体の統一レポートの一括管理画面が表示され、ネットワークトラフィック、
セキュリティインシデント、および管理上の変更について一元的に分析と調査を行い、
レポートを作成することができます。
このドキュメントに示す手順は、ローカル Web インターフェイスを使用してファイアウォール
を管理する場合の方法を示しています。中央管理で Panorama を使用する場合は、このガイドの
「初期設定の実行」セクションに記載されている手順に従って設定を完了した後に、ファイア
ウォールから Panorama への接続を確立できることを確認してください。それ以降は、Panorama
を使用して一元的にファイアウォールを設定できます。
スタートガイド
3
管理ネットワークへのファイアウォールの統合
スタートガイド
初期設定の実行
ファイアウォールのデフォルトの IP アドレスは 192.168.1.1、ユーザー名は admin、パスワードは
admin です。セキュリティ上の理由により、他のファイアウォールの設定タスクを行う前に、
これらの設定値を変更する必要があります。初期設定タスクは、ファイアウォールの管理で
MGT インターフェイスを使用しない場合でもこのインターフェイスから実行するか、デバイス
のコンソールポートへ直接シリアル接続を使用して実行する必要があります。
ファイアウォールへのネットワークアクセスのセットアップ
ステップ 1
ネットワーク管理者から必要 • MGT ポートの IP アドレス
な情報を入手します。
• ネットマスク
• デフォルトゲートウェイ
• DNS サーバーのアドレス
ステップ 2
コンピュータをファイア次のいずれかの方法でファイアウォールに接続できます。
ウォールに接続します。
• コンピュータからコンソールポートにシリアルケーブ
ルを接続し、ターミナルエミュレーションソフトウェ
ア (9600-8-N-1) を使用してファイアウォールに接続しま
す。起動シーケンスが完了するまで 2、3 分待ちます。
デバイスの準備ができると、プロンプトがファイア
ウォールの名前に変わり、たとえば「PA-500 login」
のように表示されます。
• コンピュータとファイアウォールの MGT ポートを RJ-45
Ethernet ケーブルで接続します。ブラウザで、
https://192.168.1.1 に移動します。この URL にア
クセスするには、コンピュータの IP アドレスを、
192.168.1.0 ネットワークでのアドレス（192.168.1.2 な
ど）に変更しなければならない場合があります。
ステップ 3
プロンプトが表示されたら、ログインには、デフォルトのユーザー名とパスワード
ファイアウォールにログイン (admin/admin) を使用する必要があります。ファイアウォー
します。
ルの初期化が開始されます。
ステップ 4
MGT インターフェイスを設定 1.
します。
[Device] > [ セットアップ ] > [ 管理 ] の順に選択し、
[ 管理インターフェイス設定 ] を編集します。
2.
[IP アドレス ]、[ ネットマスク ]、および [ デフォルト
ゲートウェイ ] の値を入力します。
3.
[ 速度 ] を [auto-negotiate] に設定します。
4.
インターフェイスで許可する管理サービスを選択し
ます。
Telnet と HTTP が選択されていないことを確認
します。これは、これらのサービスでは平文が
使用され、他のサービスほど安全ではないから
です。
5.
4
[OK] をクリックします。
スタートガイド
スタートガイド
管理ネットワークへのファイアウォールの統合
ファイアウォールへのネットワークアクセスのセットアップ（続き）
ステップ 5
ステップ 6
（任意）全般的なファイア 1.
ウォールの設定を行います。
[Device] > [ セットアップ ] > [ 管理 ] の順に選択し、
[ 一般設定 ] を編集します。
2.
ファイアウォールの [ ホスト名 ] を入力し、ネットワー
クの [ ドメイン ] 名を入力します。ドメイン名はラベル
にすぎず、ドメインに参加するために使用されること
はありません。
3.
[ 緯度 ] と [ 経度 ] を入力し、そのファイアウォールが
世界地図上の正確な場所に配置されるようにします。
4.
[OK] をクリックします。
DNS、時刻、および日付の設 1.
定を行います。
[Device] > [ セットアップ ] > [ サービス ] の順に選択
し、[ サービス ] を編集します。
2.
[ サービス ] タブで、[ プライマリ DNS サーバー] の IP
アドレス、および任意で [ セカンダリ DNS サーバー]
の IP アドレスを入力します。
3.
インターネット上のタイムサーバーの仮想クラスタを
使用するには、[ プライマリ NTP サーバー] にホスト名
「pool.ntp.org」を入力するか、または [ プライマリ NTP
サーバー] の IP アドレス、および任意で [ セカンダリ
NTP サーバー] の IP アドレスを追加します。
4.
NTP サーバーからの時間更新を認証するには、[NTP]
タブを選択し、[NTP サーバーアドレス ] を入力し、
ファイアウォールで使用する [ 認証タイプ ] を選択し
ます。
5.
[OK] をクリックして、設定を保存します。
ファイアウォールで少な
くとも 1 つの DNS サー
バーを手動で設定する必
要があり、設定しないと
ホスト名を解決すること
ができなくなります。そ
のファイアウォールは、
ISP などの別のソースか
らの DNS サーバー設定
を使用しません。
ステップ 7
ステップ 8
admin アカウントの安全なパ 1.
スワードを設定します。
2.
変更をコミットします。
設定の変更を保存する
と、IP アドレスが変更さ
れるため、Web インター
フェイスへの接続が遮断
されます。
ステップ 9
admin ロールを選択します。
3.
現在のデフォルトパスワードと新しいパスワードを入
力します。
4.
[OK] をクリックして、設定を保存します。
[ コミット ] をクリックします。デバイスでの変更の保存に
は、最長で 90 秒かかります。
ファイアウォールをネット 1.
ワークに接続します。
2.
スタートガイド
[Device] > [ 管理者 ] の順に選択します。
コンピュータからファイアウォールを切断します。
RJ-45 Ethernet ケーブルを使用して、MGT ポートを管
理ネットワークのスイッチポートに接続します。ファ
イアウォールからケーブルで接続するスイッチポート
が auto-negotiation に設定されていることを確認します。
5
管理ネットワークへのファイアウォールの統合
スタートガイド
ファイアウォールへのネットワークアクセスのセットアップ（続き）
ステップ 10 ファイアウォールへの SSH 管理 PuTTY などの端末エミュレーションソフトウェアを使用
セッションを開きます。
し、割り当てた新しい IP アドレスを使用してファイア
ウォールへの SSH セッションを開始します。
ステップ 11 次のいずれかの方法により、
ファイアウォール管理で必要な
Palo Alto Networks アップデート
サーバーなどの外部サービスへ
のネットワークアクセスを確
認します。
• MGT インターフェイスへの
アクセスを外部ネットワーク
に許可しない場合は、必要な
サービス更新を取得するよう
にデータポートをセット
アップする必要があります。
「外部サービスへのネット
ワークアクセスのセットアッ
プ」に進みます。
外部ネットワークアクセス用に MGT ポートにケーブルを
接続した場合は、CLI から ping ユーティリティを使用して
ファイアウォールとの間で通信可能なことを確認します。
次の例に示すようにして、デフォルトゲートウェイ、DNS
サーバー、および Palo Alto Networks 更新サーバーに接続可
能なことを確認してください。
admin@PA-200> ping host updates.paloaltonetworks.com
PING updates.paloaltonetworks.com (67.192.236.252) 56(84)
bytes of data.
64 bytes from 67.192.236.252 : icmp_seq=1 ttl=243 time=40.5 ms
64 bytes from 67.192.236.252 : icmp_seq=1 ttl=243 time=53.6 ms
64 bytes from 67.192.236.252 : icmp_seq=1 ttl=243 time=79.5 ms
接続を確認したら、Ctrl+C を押して ping を停止し
ます。
• MGT インターフェイスへの
アクセスを外部ネットワー
クに許可する場合は、接続
が確立されていることを確
認してから、「ファイア
ウォールの登録」および
「ライセンスおよびサブス
クリプションのアクティ
ベーション」に進みます。
6
スタートガイド
スタートガイド
管理ネットワークへのファイアウォールの統合
外部サービスへのネットワークアクセスのセットアップ
ファイアウォールは、デフォルトで MGT インターフェイスを使用して、DNS サーバー、コン
テンツ更新、およびライセンス取得などのリモートサービスにアクセスします。外部ネット
ワークに管理ネットワークへのアクセスを有効にしない場合は、データポートをセットアップ
してこれらの必須外部サービスにアクセスできるようにする必要があります。
このタスクを行うには、ファイアウォールのインターフェイス、ゾーン、およびポリシーに精
通しておく必要があります。これらのトピックについての詳細は、「ペリメータセキュリティ
の確立」を参照してください。
外部サービスへのアクセス用データポートのセットアップ
ステップ 1
外部サービスへのアクセスで使使用するインターフェイスには、静的 IP アドレスが必要
用するポートを決定し、そのです。
ポートをスイッチまたはルー
ターのポートに接続します。
ステップ 2
Web インターフェイスにログイ Web ブラウザから安全な接続 (https) を使用し、初期設定の
ンします。
ときに割り当てた新しい IP アドレスとパスワードを使用
してログインします (https://<IP address>)。証明書の警告
が表示されますが、問題ありません。そのまま続行して
Web ページを開きます。
ステップ 3
（任意）ファイアウォールは、
Ethernet 1/1 ポートと Ethernet
1/2 ポート（および対応するデ
フォルトのセキュリティポリ
シーとゾーン）の間のデフォ
ルトのバーチャルワイヤーイ
ンターフェイスが事前設定さ
れて出荷されます。このバー
チャルワイヤー設定を使用す
る予定がない場合は、定義す
る他のインターフェイスの設
定と干渉しないようにするた
め、その設定を手動で削除す
る必要があります。
スタートガイド
設定は次の順序で削除する必要があります。
1. デフォルトのセキュリティポリシーを削除するには、
[Policies] > [ セキュリティ] の順に選択してルールを選
択し、[ 削除 ] をクリックします。
2.
次に、[Network] > [ バーチャルワイヤー] の順に選択
し、バーチャルワイヤーを選択して、[ 削除 ] をクリッ
クしてデフォルトのバーチャルワイヤーを削除します。
3.
デフォルトの Trust ゾーンと Untrust ゾーンを削除する
には、[Network] > [ ゾーン ] の順に選択し、各ゾーン
を選択して [ 削除 ] をクリックします。
4.
最後に、[Network] > [ インターフェイス ] の順に選択
してから各インターフェイス（Ethernet1/1 と Ethernet1/2）
を選択し、[ 削除 ] をクリックしてインターフェイス設
定を削除します。
5.
変更を [ コミット ] します。
7
管理ネットワークへのファイアウォールの統合
スタートガイド
外部サービスへのアクセス用データポートのセットアップ（続き）
ステップ 4
8
インターフェイスを設定し 1.
ます。
[Network] > [インターフェイス] の順に選択し、ステッ
プ 1 でケーブルを接続したポートに対応するインター
フェイスを選択します。
2.
[ インターフェイスタイプ ] を選択します。ここで選択
するタイプはご使用のネットワークトポロジに応じて
異なりますが、この例では、[レイヤー 3] の場合の手順
を示します。
3.
[設定] タブで、[セキュリティゾーン] ドロップダウン
リストを展開して [新規ゾーン] を選択します。
4.
[ゾーン] ダイアログで、新規ゾーンの [名前]（「L3-trust」
など）を定義して [OK] をクリックします。
5.
[IPv4] タブを選択し、[スタティック] ラジオボタンを
選択し、[IP] セクションの [追加] をクリックして、イ
ンターフェイスに割り当てる IP アドレスとネットワー
クマスク（「192.168.1.254/24」など）を入力します。
6.
[詳細] > [その他の情報] の順に選択し、[管理プロファ
イル] ドロップダウンリストを展開して [新規管理プロ
ファイル] を選択します。
7.
プロファイルの [名前]（「allow_ping」など）を入力し、
インターフェイスで許可するサービスを選択します。
許可するサービスにはデバイスへの管理アクセス権が
付与されるため、このインターフェイスで許可する管
理アクティビティに対応するサービスのみを選択して
ください。たとえば、Web インターフェイスまたは
CLI によるデバイス設定タスクで MGT インターフェイ
スを使用する場合は、HTTP、HTTPS、SSH、または
Telnet を有効にしないことにより、このインターフェ
イスを介した無権限のアクセスを防止することができ
ます。外部サービスへのアクセスを許可する目的の場合
は、[Ping] のみをオンにして [OK] をクリックします。
8.
インターフェイス設定を保存するには、[OK] をクリッ
クします。
スタートガイド
スタートガイド
管理ネットワークへのファイアウォールの統合
外部サービスへのアクセス用データポートのセットアップ（続き）
ステップ 5
ファイアウォールではデフォ 1.
ルトで MGT インターフェイス
を使用して必要な外部サービ
スにアクセスするため、サー
ビスルートを編集することに
より、これらの要求を送信す
るためにファイアウォールが
使用するインターフェイスを
変更する必要があります。
[Device] > [ セットアップ ] > [ サービス ] > [ サービス
ルートの設定 ] の順に選択します。
2.
[ カスタマイズ ] ラジオボタンをクリックし、以下のい
ずれかを選択します。
ライセンスをアクティベーションし、最新のコ
ンテンツ更新とソフトウェア更新を取得する場
合は、「DNS」、「Palo Alto Updates」、
「URL Updates」、および「WildFire」のサービ
スルートを変更できます。
• 事前定義されたサービスの場合は、[IPv4] または [IPv6]
を選択し、[ 送信元インターフェイス ] を変更する
サービスのリンクをクリックし、設定したインター
フェイスを選択します。
選択したインターフェイスに複数の IP アドレスが設
定されている場合、[ 送信元アドレス ] ドロップダウ
ンリストで IP アドレスを選択できます。
• カスタム宛先のサービスルートを作成するには、[宛
先 ] を選択して、[ 追加 ] をクリックします。[ 宛先 ]
に宛先名を入力し、[ 送信元インターフェイス ] を選
択します。選択したインターフェイスに複数の IP ア
ドレスが設定されている場合、[ 送信元アドレス ] ド
ロップダウンリストで IP アドレスを選択できます。
スタートガイド
3.
[OK] をクリックして設定を保存します。
4.
変更する各サービスルートについて、上記のステップ
2 ～ 3 を繰り返します。
5.
変更を [ コミット ] します。
9
管理ネットワークへのファイアウォールの統合
スタートガイド
外部サービスへのアクセス用データポートのセットアップ（続き）
ステップ 6
ステップ 7
外向きインターフェイスおよ 1.
び関連付けられたゾーンを設
定し、ファイアウォールが内
部ゾーンから外部ゾーンに
サービス要求を送信すること
を許可するようにセキュリ
ティルールと NAT ポリシー
ルールを作成します。
2.
データポートから、デフォルト
ゲートウェイ、DNS サーバー、
および Palo Alto Networks 更新
サーバーなどの外部サービスに
接続できることを確認します。
[Network] > [ インターフェイス ] の順に選択して、外
向きのインターフェイスを選択します。[インターフェ
イスタイプ ] として [ レイヤー 3] を選択し、[IP] アド
レスを [ 追加 ] して（[IPv4] または [IPv6] タブ）、
「l3-untrust」などの関連付けられた [ セキュリティ
ゾーン]（[設定] タブ）を作成します。このインターフェ
イスでの管理サービスを設定する必要はありません。
内部ネットワークから Palo Alto Networks 更新サーバー
と外部 DNS サーバーへのトラフィックを許可するセ
キュリティルールをセットアップするには、[Policies] >
[ セキュリティ] の順に選択して [ 追加 ] をクリックし
ます。初期設定の場合は、次のようにして、l3-trust か
ら l3-untrust へのすべてのトラフィックを許可する簡単
なルールを作成できます。
3.
内向きインターフェイスでプライベート IP アドレスを
使用する場合は、そのアドレスをパブリックにルー
ティング可能なアドレスに変換する「送信元 NAT」
ルールを作成する必要があります。[Policies] > [NAT]
の順に選択して [追加] をクリックします。少なくと
も、ルールの名前を定義し（[全般] タブ）、送信元と
宛先のゾーン（この場合は l3-trust から l3-intrust）を指定
し（[元のパケット] タブ）、送信元アドレス変換の設
定項目を定義して（[変換済みパケット] タブ）、[OK]
をクリックする必要があります。
4.
変更を [ コミット ] します。
CLI を起動し、ping ユーティリティを使用して接続が有効
なことを確認します。デフォルトでは ping は MGT イン
ターフェイスから送信されるため、この場合は、以下のよ
うに ping 要求の送信元インターフェイスを指定する必要が
あります。
admin@PA-200> ping source 192.168.1.254 host
必要なネットワーク接続が確立 updates.paloaltonetworks.com
PING updates.paloaltonetworks.com (67.192.236.252) from
されていることを確認してか 192.168.1.254 : 56(84) bytes of data.
64 bytes from 67.192.236.252: icmp_seq=1 ttl=242 time=56.7 ms
ら、「ファイアウォールの登 64 bytes from 67.192.236.252: icmp_seq=2 ttl=242 time=47.7 ms
64 bytes from 67.192.236.252: icmp_seq=3 ttl=242 time=47.6 ms
録」と「ライセンスおよびサブ ^C
スクリプションのアクティベー接続を確認したら、Ctrl+C を押して ping を停止します。
ション」に進みます。
10
スタートガイド
スタートガイド
管理ネットワークへのファイアウォールの統合
ファイアウォールの登録
ファイアウォールの登録
ステップ 1
Web インターフェイスにログイ Web ブラウザから安全な接続 (https) を使用し、初期設定の
ンします。
ときに割り当てた新しい IP アドレスとパスワードを使用
してログインします (https://<IP address>)。証明書の警告
が表示されますが、問題ありません。そのまま続行して
Web ページを開きます。
ステップ 2
シリアル番号を見つけ、クリッ [Dashboard] で、画面の [ 一般的な情報 ] セクションに表示
プボードにコピーします。
されている [ シリアル番号 ] を確認します。
ステップ 3
Palo Alto Networks サポートサイ新しいブラウザのタブまたはウィンドウで、
トに移動します。
『https://support.paloaltonetworks.com』に移動します。
ステップ 4
デバイスを登録します。登録 • これが登録する最初の Palo Alto Networks デバイスであり、
まだログイン情報を登録していない場合は、ページの右
方法は、サポートサイトにす
側にある [ 登録 ] をクリックします。登録するには、発注
でにログイン情報が登録され
番号または顧客 ID を指定し、ファイアウォールのシリ
ているかどうかに応じて異な
アル番号（クリップボードから貼り付け可能）または購
ります。
入時に受け取った認証コードを入力する必要がありま
す。また、Palo Alto Networks サポートコミュニティへの
アクセス用に、ユーザー名とパスワードをセットアップ
するよう求めるプロンプトが表示されます。
• すでにサポートアカウントを持っている場合は、ログイ
ンしてから [My Devices] をクリックします。画面下部の
[Register Device] セクションまでスクロールし、ファイア
ウォールのシリアル番号（クリップボードから貼り付け
可能）、市区町村、および郵便番号を入力して、[デバイ
スの登録 ] をクリックします。
スタートガイド
11
管理ネットワークへのファイアウォールの統合
スタートガイド
ライセンスおよびサブスクリプションのアクティベーション
ファイアウォールを使用してネットワークのトラフィックを安全に保護することができるよう
にするには、まず、購入したサービスごとにライセンスをアクティベーションする必要があり
ます。次のようなライセンスとサブスクリプションを購入できます。

「脅威防御」— アンチウイルス、アンチスパイウェア、および脆弱性防御機能を提供します。

「復号ポートミラーリング」— ファイアウォールからの復号化されたトラフィックのコピー
を作成してトラフィック収集ツールに送信できます。このツールは、NetWitness や Solera な
どの生パケットキャプチャを受信してアーカイブや分析を行うことができます。

「URL フィルタリング」— ダイナミック URL カテゴリに基づいてポリシールールを作成する
には、サポートされている URL フィルタリングデータベース（PAN-DB または BrightCloud）の
いずれかのサブスクリプションを購入してインストールする必要があります。URL フィルタリ
ングについての詳細は、「Web コンテンツへのアクセス制御」を参照してください。

「仮想システム」— このライセンスは、PA-2000 および PA-3000 シリーズのファイアウォー
ルで複数の仮想システムのサポートを有効にするために必要です。また、PA-4000 シリー
ズ、PA-5000 シリーズ、PA-7050 ファイアウォールでのデフォルトの基本数（基本数はプラッ
トフォームごとに異なります）より多くの数の仮想システムを使用する場合は、仮想システ
ムライセンスを 1 つ購入する必要があります。PA-500、PA-200、および VM シリーズのファ
イアウォールでは、仮想システムがサポートされていません。

「WildFire」— 基本 WildFire サポートは脅威防御ライセンスの一部として含まれていますが、
WildFire サブスクリプションサービスでは、直ちに脅威への対応が必要な組織を対象に強化
サービスを提供することにより、分単位の WildFire シグネチャ更新、高度なファイルタイプ
転送（APK、PDF、Microsoft Office、Java アプレット）、および WildFire API を使用したファ
イルのアップロード機能を有効にすることができます。WildFire サブスクリプションは、
ファイアウォールがプライベート WF-500 WildFire アプライアンスにファイルを転送する場合
にも必要です。

「GlobalProtect」— モビリティソリューションまたは大規模 VPN 機能を提供します。デフォル
トでは、ライセンスなしで 1 つの GlobalProtect ポータルとゲートウェイ（HIP チェックなし）
を導入できます。ただし、ゲートウェイを複数デプロイする場合は、ポータルライセンス
（1 回限りの永続ライセンス）を購入する必要があります。ホストチェックを使用する場合
は、ゲートウェイごとにゲートウェイライセンス（サブスクリプション）も必要になります。
ライセンスのアクティベーション
ステップ 1
12
購入したライセンスのアクサブスクリプションを購入した場合は、各サブスクリプ
ティベーションコードを探しションに関連付けられているアクティベーションコードの
ます。
一覧を示した電子メールを Palo Alto Networks カスタマーサ
ポートから受信しています。この電子メールが見当たらな
い場合は、カスタマーサポートに連絡してアクティベー
ションコードを入手してから次に進んでください。
スタートガイド
スタートガイド
管理ネットワークへのファイアウォールの統合
ライセンスのアクティベーション（続き）
ステップ 2
Web インターフェイスを起動 [Device] > [ ライセンス ] の順に選択します。
し、ライセンスページに移動
します。
ステップ 3
購入した各ライセンスをアクライセンス / サブスクリプションを購入したら、次のいず
ティベーションします。
れかの方法でアクティベーションします。
• ライセンスサーバーからライセンスキーを取得 — サポー
トポータルでライセンスをアクティベーションした場
合は、このオプションを使用します。
• 認証コードを使用した機能のアクティベーション — ライ
センスの認証コードを使用して購入したサブスクリプ
ションを有効にする場合は、このオプションを使用しま
す。該当の認証コードがサポートポータルで以前にアク
ティベーションされていないことが前提になります。プ
ロンプトが表示されたら、[ 認証コード ] を入力して [OK]
をクリックします。
• ライセンスキーの手動アップロード — デバイスから Palo
Alto Networks サポートサイトへの接続が確立されていな
い場合は、このオプションを使用します。この場合は、
インターネットに接続されたコンピュータでサポート
サイトからライセンスキーをダウンロードしてから、
そのデバイスにアップロードする必要があります。
ステップ 4
ライセンスが正常にアクティ [Device] > [ ライセンス ] ページで、ライセンスが正常にア
ベーションされたことを確認クティベーションされたことを確認します。たとえば、
します。
WildFire ライセンスをアクティベーションした後、ライセ
ンスが有効なことを確認してください。
スタートガイド
13
管理ネットワークへのファイアウォールの統合
スタートガイド
コンテンツ更新の管理
変遷する脅威やアプリケーションより常に優位に立つため、Palo Alto Networks は、Palo Alto Networks
のデバイスにコンテンツの更新を提供するための CDN (Content Delivery Network) インフラスト
ラクチャを管理しています。このデバイスは CDN 内の Web リソースを利用してさまざまな
App-ID および Content-ID 機能を実行します。このデバイスは、デフォルトでは、アプリケー
ションの更新、脅威およびアンチウイルスのシグネチャの更新、BrightCloud および PAN-DB の
データベースの更新および検索、および Palo Alto Networks WildFire Cloud の利用のために、管理
ポートを使用して CDN インフラストラクチャにアクセスします。常に最新の脅威（まだ発見さ
れていない脅威を含む）から保護されるようにするため、Palo Alto Networks から公開される最新
の更新により、使用するデバイスが常に最新の状態に維持されるようにする必要があります。
所有しているサブスクリプションに応じて、以下のコンテンツ更新を利用できます。
コンテンツ更新はいつでも手動でダウンロードしてインストールできますが、ベストプラク
ティスとして、「各更新をスケジュールします。」を行う必要があります。スケジュールされ
た更新は自動的に実行されます。

アンチウイルス — WildFire クラウドサービスによって発見されたシグネチャなどの新規およ
び更新されたアンチウイルスシグネチャを含みます。更新データを取得するには、脅威防御
サブスクリプションが必要です。新しいアンチウイルスシグネチャは毎日公開されます。

アプリケーション — 新規および更新されたアプリケーションシグネチャを含みます。この更
新に追加のサブスクリプションは不要ですが、有効なメンテナンス / サポートの連絡先が必
要です。新しいアプリケーション更新は週単位で公開されます。

アプリケーションおよび脅威 — 新規および更新されたアプリケーションシグネチャと脅威
シグネチャを含みます。この更新は、脅威防御サブスクリプションを購入している場合（お
よびアプリケーション更新の代わりに取得する場合）に入手できます。新しいアプリケー
ションおよび脅威の更新は、週単位で公開されます。

GlobalProtect データファイル — GlobalProtect エージェントによって返されるホスト情報プ
ロファイル (HIP) データを定義および評価するためのベンダー固有情報を含みます。更新を
受信するには、GlobalProtect ポータルと GlobalProtect ゲートウェイライセンスが必要です。
また、GlobalProtect が機能を開始する前に、それらの更新のスケジュールを作成する必要が
あります。

BrightCloud URL フィルタリング — BrightCloud URL フィルタリングデータベースにのみ更
新を提供します。更新を取得するには、BrightCloud サブスクリプションが必要です。新しい
BrightCloud URL データベース更新は毎日公開されます。PAN-DB ライセンスを持っている場
合は、デバイスがサーバーと自動的に同期されるため、スケジュールされた更新は不要です。

WildFire — WildFire クラウドサービスで分析を実行し、その結果として作成したマルウェア
およびアンチウイルスシグネチャをほぼリアルタイムに提供します。このサブスクリプショ
ンがない場合、シグネチャがアプリケーションおよび脅威の更新に取り込まれるまで 24 ～
48 時間待つ必要があります。
14
スタートガイド
スタートガイド
管理ネットワークへのファイアウォールの統合
ファイアウォールで管理ポートからインターネットにアクセスできない場合は、『Palo Alto
Networks サポート』ポータルからコンテンツ更新をダウンロードして、ファイアウォールに
アップロードできます。
既存のファイアウォールまたはプロキシサーバーの後ろにファイアウォールを導入した場合、
これらの外部リソースの利用は、1 つのホスト名または IP アドレスだけにアクセスすることを
許可するアクセス制御リストを使用して制限される場合があります。そのような場合、CDN
へのアクセスを許可するには、ホスト名 staticupdates.paloaltonetworks.com または
IP アドレス 199.167.52.15 を使用するように更新サーバーのアドレスを設定します。
最新データベースのダウンロード
ステップ 1
ファイアウォールが CDN イン [Device] > [ セットアップ ] > [ サービス ] の順に選択します。
フラストラクチャを指し示し • ベストプラクティスとして、
ているかどうか確認します。
updates.paloaltonetworks.com にアクセスするよ
うに [ アップデートサーバー] を設定します。これに
よって、ファイアウォールは CDN インフラストラク
チャ内で最も近いサーバーからコンテンツの更新を受け
取ることができます。
• （任意）ファイアウォールでインターネットへのアク
セスが制限されている場合は、ホスト名
staticupdates.paloaltonetworks.com または IP
アドレス 199.167.52.15 を使用するように更新サー
バーのアドレスを設定します。
• セキュリティを強化するには、[ 更新サーバー ID の確認 ]
を選択します。ソフトウェアまたはコンテンツパッ
ケージのダウンロード元サーバーが信頼された機関に
よって署名された SSL 証明書を持っていることをファイ
アウォールは確認します。
ステップ 2
Web インターフェイスを起動 [Device] >[ ダイナミック更新 ] の順に選択します。
し、[ ダイナミック更新 ] ペー
ジに移動します。
スタートガイド
15
管理ネットワークへのファイアウォールの統合
スタートガイド
最新データベースのダウンロード（続き）
ステップ 3
最新の更新があるかどうか確 [ 今すぐチェック ]（ウィンドウの左下にある）をクリック
認します。
して最新の更新があるかどうか確認します。[ アクション ]
列のリンクは、更新が入手可能かどうかを示します。
• ダウンロード — 新しい更新ファイルが入手可能なことを
示します。リンクをクリックし、ファイアウォールへの
ファイルの直接ダウンロードを開始します。ダウンロー
ドが正常に完了すると、[ アクション ] 列のリンクが [ ダ
ウンロード ] から [ インストール ] に変化します。
アプリケーションおよび脅威データベースをイン
ストールするまでは、アンチウイルスデータベー
スをダウンロードできません。
• アップグレード — 新しいバーションの BrightCloud デー
タベースが存在することを示します。リンクをクリック
してデータベースのダウンロードとインストールを開始
します。データベースのアップグレードがバックグラウ
ンドで開始され、完了すると [現在インストール済み] 列
にチェックマークが表示されます。URL フィルタリング
データベースとして PAN-DB を使用する場合はアップグ
レードリンクが表示されませんが、これは、PAN-DB
データベースとサーバーの同期が自動的に保たれるから
です。
アクションの状態を確認するには、[ タスク ]
（ウィンドウの右下に表示）をクリックし
ます。
• 元に戻す — 対応するソフトウェアバージョンがすでに
ダウンロードされていることを示します。以前にインス
トールした更新のバージョンに戻すことができます。
16
スタートガイド
スタートガイド
管理ネットワークへのファイアウォールの統合
最新データベースのダウンロード（続き）
[ アクション ] 列の [ インストール ] リンクをクリックしま
す。インストールが完了すると、[ 現在インストール済み ]
インストールには、
列にチェックマークが表示されます。
PA-200、PA-500、または
PA-2000 デバイスの場合
には最大 20 分、PA-3000
シリーズ、PA-4000 シリー
ズ、PA-5000 シリーズ、
PA-7050 または VM-Series
のファイアウォールの
場合には最大 2 分かか
ります。
ステップ 4
更新をインストールします。
ステップ 5
各更新をスケジュールします。 1.
スケジュールする更新ごとに
この手順を繰り返します。
ファイアウォールが一
度にダウンロードでき 2.
る更新は 1 つのみであ
るため、スケジュール
が重ならないように調
整します。複数の更新
を同じ期間にダウン
ロードするようにスケ
ジュールすると、最初 3.
のダウンロードだけが
成功します。
スタートガイド
[ なし ] リンクをクリックすることにより、各更新タイ
プのスケジュールを設定します。
[ 繰り返し ] ドロップダウンから値を選択することによ
り、更新の頻度を指定します。指定可能な値は、コン
テンツタイプによって異なります（WildFire の更新
は、[15 分ごと ]、[30 分ごと ]、または [ 毎時間 ] の頻
度で実行可能であるのに対し、他のすべてのコンテン
ツタイプの場合には [ 毎日 ] または [ 毎週 ] の頻度で更
新をスケジュールできます）。
[ 日時 ]（または、WildFire の場合には 00 分からの経過
分数）、および該当する場合は、選択した [ 繰り返し ]
値に応じて更新する [ 曜日 ] を指定します。
4.
システムで [ ダウンロードのみ ] を実行するか、または
ベストプラクティスとして更新を [ ダウンロードおよ
びインストール ] するかを指定します。
5.
まれに、コンテンツ更新の中でエラーが見つかること
があります。このため、リリースされてから一定の時
間が経過するまで、新しい更新のインストールを延期
することが可能です。リリースされてからコンテンツ
更新を実行するまでの時間は、[ しきい値（時間）]
フィールドに待つ時間の長さを入力することによって
指定できます。
6.
[OK] をクリックしてスケジュールの設定を保存します。
7.
[ コミット ] をクリックして、実行中の設定に対する設
定値を保存します。
17
管理ネットワークへのファイアウォールの統合
スタートガイド
ソフトウェア更新のインストール
新しいファイアウォールのインストール時には、最新のソフトウェア更新（または、リセラー
や Palo Alto Networks システムエンジニアが推奨する更新バージョンにアップグレードするか、
または最新のフィックスとセキュリティの強化機能を活用するようお勧めします。ソフトウェ
アを更新する前に、まず、前のセクションで説明されている最新のコンテンツ更新があること
を確認してください（ソフトウェア更新のリリースノートでは、そのリリースでサポートされ
ている最小バージョンのコンテンツリリースが指定されています）。
PAN-OS の更新
ステップ 1
Web インターフェイスを起動 [Device] > [ ソフトウェア ] の順に選択します。
し、ソフトウェアページに移
動します。
ステップ 2
ソフトウェア更新があるかど [ 今すぐチェック ] をクリックして最新の更新があるかどう
うか確認します。
か確認します。[ アクション ] 列の値が [ ダウンロード ] の
場合は、入手可能な更新があることを示します。
ステップ 3
更新をダウンロードします。
18
必要なバージョンを見つけて [ ダウンロード ] をクリック
します。ダウンロードが完了すると、[ アクション ] 列の値
ファイアウォールで管理
が [ インストール ] になります。
ポートからインターネッ
トにアクセスできない場
合は、『Palo Alto Networks』
ポータルからソフトウェ
ア更新をダウンロードで
きます。その後、ファイ
アウォールに手動で [アッ
プロード] することができ
ます。
スタートガイド
スタートガイド
管理ネットワークへのファイアウォールの統合
PAN-OS の更新（続き）
ステップ 4
更新をインストールします。
1.
[ インストール ] をクリックします。
2.
ファイアウォールを再起動します。
• 再起動のプロンプトが表示されたら、[はい] をクリッ
クします。
• 再起動のプロンプトが表示されない場合は、
[Device] > [ セットアップ ] > [ 操作 ] の順に選択し、
画面の [ デバイスの操作 ] セクションの [ デバイスの
再起動 ] をクリックします。
スタートガイド
19
ペリメータセキュリティの確立
スタートガイド
ペリメータセキュリティの確立
ファイアウォールでトラフィックを管理および制御するには、そのファイアウォールをトラ
フィックが通過する必要があります。物理的には、トラフィックはインターフェイスを介して
ファイアウォールを出入りします。ファイアウォールでは、パケットがセキュリティポリシー
ルールと一致するかどうかに基づいてパケットの処理方法が決定されます。最も基本的なレベ
ルでは、各セキュリティポリシールールで、トラフィックの送信元と送信先を特定する必要が
あります。Palo Alto Networks の次世代ファイアウォールでは、セキュリティポリシールールが
ゾーン間で適用されます。ゾーンは（物理または仮想）インターフェイスグループの一種で、
信頼エリアを抽象化することにより、ポリシーの実施を簡略化します。たとえば、次のトポロ
ジ図では、「Trust」、「Untrust」、「DMZ」という 3 つのゾーンがあります。トラフィック
は、ゾーン内を自由に移動できますが、ゾーン間については、移動することを許可するセキュ
リティポリシールールが定義されない限り移動できません。
以下のトピックでは、ペリメータセキュリティのコンポーネントについて説明するとともに、
ファイアウォールインターフェイスの設定、ゾーンの定義、および基本的なセキュリティポリ
シーのセットアップを行うことにより、内部ゾーンからインターネットや DMZ へトラフィッ
クを通過させるための手順について説明します。初めにこのような基本的セキュリティポリ
シールールベースを作成することにより、ネットワークを通過するトラフィックを分析し、そ
の情報を使用してより詳細なポリシーを定義して、あらゆる脅威を回避しながらアプリケー
ションを安全に有効にすることができます。

基本的なインターフェイスのデプロイメント

セキュリティポリシーについて

デプロイメント計画

インターフェイスとゾーンの設定

基本的なセキュリティポリシーのセットアップ
内部ネットワークでプライベート IP アドレスを使用する場合は、ネットワークアドレス変換
（「NAT」）を設定することも必要になります。NAT の概念および設定タスクの詳細は、
「ネットワーク」を参照してください。
20
スタートガイド
スタートガイド
ペリメータセキュリティの確立
基本的なインターフェイスのデプロイメント
Palo Alto Networks の次世代ファイアウォールでは、ダイナミックルーティング、スイッチン
グ、および VPN 接続のサポートなど、柔軟なネットワークアーキテクチャを提供し、さまざ
まなネットワーク環境でファイアウォールのデプロイを可能にします。ファイアウォールで
Ethernet ポートを設定する場合、バーチャルワイヤー、レイヤー 2、レイヤー 3 の中からイン
ターフェイスのデプロイメントを選択できます。さらに、さまざまなネットワークセグメント
に統合できるように、異なるポートでさまざまなインターフェイスタイプを設定できます。以
下のセクションでは、デプロイメントのタイプ別の基本情報について説明します。

バーチャルワイヤーデプロイメント

レイヤー 2 デプロイメント

レイヤー 3 デプロイメント
デプロイメント情報の詳細は、『Designing Networks with Palo Alto Networks Firewalls』を参照して
ください。
バーチャルワイヤーデプロイメント
バーチャルワイヤーデプロイメントの場合、ファイアウォールは、2 つのポートを結合するこ
とによってネットワークセグメント上に透過的にインストールされます。バーチャルワイヤー
を使用することにより、隣接するデバイスを再設定しなくても、あらゆるネットワーク環境で
ファイアウォールをインストールできます。バーチャルワイヤーでは、必要に応じて、仮想
LAN (VLAN) タグ値に基づいてトラフィックをブロックまたは許可することができます。ま
た、複数のサブインターフェイスを作成し、IP アドレス（アドレス単体、範囲、またはサブ
ネット）、VLAN、またはその両方の組み合わせに基づいてトラフィックを分類することもで
きます。
デフォルトでは（default-vwire という）バーチャルワイヤーが Ethernet ポート 1 と 2 にバイン
ドされ、タグのないトラフィックをすべて許可します。シンプルな導入や設定、周辺ネット
ワークデバイスの設定変更を避けたい場合はこの導入方法を選択してください。
バーチャルワイヤーはデフォルトの設定であり、スイッチングまたはルーティングのいずれも
不要な場合にのみ使用する必要があります。デフォルトのバーチャルワイヤーを使用する予定
がない場合は、定義する他のインターフェイス設定と干渉しないようにするため、その設定を
手動で削除してからインターフェイスの設定を続行する必要があります。デフォルトのバー
チャルワイヤーとその関連セキュリティポリシーおよびゾーンを削除する方法の詳細は、「外
部サービスへのアクセス用データポートのセットアップ」のステップ 3 を参照してください。
スタートガイド
21
ペリメータセキュリティの確立
スタートガイド
レイヤー 2 デプロイメント
レイヤー 2 デプロイメントの場合、ファイアウォールは複数インターフェイス間のスイッチン
グを行います。ファイアウォールでこのスイッチングを行うには、インターフェイスの各グ
ループが 1 つの VLAN オブジェクトに割り当てられている必要があります。レイヤー 2 サブイ
ンターフェイスが共通の VLAN オブジェクトに接続されていると、ファイアウォールで VLAN
タグのスイッチングが行われます。このオプションは、スイッチングが必要な場合に選択し
ます。
レイヤー 2 デプロイメントの詳細は、『Layer 2 Networking Tech Note』または『Securing Inter
VLAN Traffic Tech Note』を参照してください。
レイヤー 3 デプロイメント
レイヤー 3 デプロイメントの場合、ファイアウォールはポート間でトラフィックをルーティン
グします。トラフィックをルーティングするには、各インターフェイスに IP アドレスを割り当
て、仮想ルーターを定義する必要があります。このオプションは、ルーティングが必要な場合
に選択します。
設定するレイヤー 3 の物理インターフェイスごとに IP アドレスを割り当てる必要があります。
また、レイヤー 3 の物理インターフェイスごとに論理サブインターフェイスを作成することに
より、たとえばマルチテナンシーなどの場合は、VLAN タグ（VLAN トランクを使用している
場合）に基づいて、または IP アドレス単位で、インターフェイス上のトラフィックを分離する
ことも可能です。
さらに、レイヤー 3 デプロイメントではファイアウォールでのトラフィックをルーティングす
る必要があるため、仮想ルーターを設定する必要があります。スタティックルートを追加する
のと同じように、動的ルーティングプロトコル（BGP、OSPF、RIP など）に参加するように仮
想ルーターを設定できます。また、複数の仮想ルーターを作成し、各ルーターが他のルーター
と共有しない独立したルートを保持することにより、インターフェイス間で異なるルーティン
グの動作を設定できます。
この章の設定例は、スタティックルートを使用してファイアウォールをレイヤー 3 ネットワー
クに組み込む方法を表しています。その他のタイプのルーティングによる統合の詳細は、以下
のドキュメントを参照してください。

『How to Configure OSPF Tech Note』

『How to Configure BGP Tech Note』
22
スタートガイド
スタートガイド
ペリメータセキュリティの確立
セキュリティポリシーについて
「セキュリティポリシー」により、ネットワーク資産を脅威や障害から保護し、ネットワーク
リソースの最適な割り当てを補助することで、ビジネスプロセスでの生産性や効率性を強化し
ます。Palo Alto Networks のファイアウォールでは、セキュリティポリシールールにより、送信
元および宛先のセキュリティゾーン、送信元および宛先の IP アドレス、アプリケーション、
ユーザー、サービスなどのトラフィック属性に基づいて、セッションをブロックするか許可す
るかが決定されます。
定義されたルールのいずれとも一致しないトラフィックには、デフォルトルールが適用されま
す。セキュリティルールベースの下部に表示されるデフォルトルールは、すべてのイントラ
ゾーン（ゾーン内）トラフィックを許可し、すべてのインターゾーン（ゾーン間）トラフィッ
クを拒否するよう事前定義されています。これらのルールは、事前定義済み設定に含まれ、デ
フォルトで読み取り専用になっていますが、オーバーライドして、タグ、アクション（許可ま
たは拒否）、ログ設定、セキュリティプロファイルなど、限られた数の設定項目を変更するこ
とができます。
セキュリティポリシールールは、左から右に、および上から下の順に評価されます。定義済み
の基準を満たす最初のルールとパケットが一致すると、それが引き金となり、それ以降のルー
ルは評価されません。そのため、ベストマッチする基準を適用するには、個別のルールを一般
的なルールよりも優先的に評価する必要があります。トラフィックがルールと一致すると、そ
のルールでログが有効になっていれば、セッションの最後にログのエントリがトラフィックロ
グに記録されます。ログのオプションはルールごとに設定可能で、セッションの最後ではなく
最初にログを記録するように設定したり、セッションの最初と最後の両方でログを記録するよ
うに設定することも可能です。

ポリシーオブジェクトについて

セキュリティプロファイルについて
ポリシーオブジェクトについて
ポリシーオブジェクトは、単一のオブジェクトまたは集合単位で、IP アドレス、URL、アプリ
ケーション、ユーザーなどの個別の ID をグループ化するものです。集合単位である「ポリシー
オブジェクト」を使用することにより、複数のオブジェクトを一度に 1 つずつ手動で選択する
代わりに、セキュリティポリシーでそのオブジェクトを参照できます。一般的にポリシーオブ
ジェクトを作成する場合、ポリシーで同様のアクセス権限を必要とするオブジェクトをグルー
プ化します。たとえば、組織が一連のサーバーの IP アドレスを使用してユーザーを認証する場
合、それらのサーバーの IP アドレスをアドレスグループのポリシーオブジェクトとしてグ
ループ化し、そのアドレスグループをセキュリティポリシーで参照します。オブジェクトをグ
ループ化することにより、ポリシー作成時の管理者の負担が大幅に軽減されます。
アドレスおよびアプリケーションポリシーオブジェクトの例のいくつかは、「セキュリティ
ルールの作成」での説明に含まれるセキュリティポリシーに示されています。その他のポリ
シーオブジェクトの詳細は、「基本的な脅威防御機能の有効化」を参照してください。
スタートガイド
23
ペリメータセキュリティの確立
スタートガイド
セキュリティプロファイルについて
セキュリティポリシーにより、ネットワーク上のトラフィックを許可または拒否できますが、
許可するがスキャンを実施するルールを定義する場合は、セキュリティプロファイルが役に立
ちます。この場合、許可されたアプリケーションに対する脅威がスキャンされます。トラ
フィックがセキュリティポリシーで定義されている許可ルールと一致する場合は、そのルール
に関連付けられた「セキュリティプロファイル」が、アンチウイルスチェックやデータフィ
ルタリングなどのその他のコンテンツ検査ルールの場合に適用されます。
セキュリティプロファイルは、トラフィックフローの一致基準には使用されません。セキュ
リティプロファイルは、セキュリティポリシーでアプリケーションまたはカテゴリが許可さ
れた後に適用され、トラフィックをスキャンします。
さまざまなタイプのセキュリティプロファイル（アンチウイルス、アンチスパイウェア、脆弱
性防御、URL フィルタリング、ファイルブロッキング、データフィルタリング）をセキュリ
ティポリシーに関連付けることができます。ファイアウォールでは、デフォルトのセキュリ
ティプロファイルをそのまま使用して、すぐにネットワークを脅威から保護できます。デフォ
ルトのプロファイルをセキュリティポリシーで使用する方法の詳細は、「セキュリティルール
の作成」を参照してください。ネットワークに必要なセキュリティについて理解を深めると、
カスタムプロファイルを作成できます。詳細は、「脅威を確認するためのトラフィックのス
キャン」を参照してください。
24
スタートガイド
スタートガイド
ペリメータセキュリティの確立
デプロイメント計画
インターフェイスおよびゾーンの設定を開始する前に、組織内でのさまざまな使用条件に基づ
き、必要なゾーンについて綿密に計画する必要があります。さらに、必要な設定情報をすべて
事前に収集する必要があります。基本レベルでは、どのインターフェイスがどのゾーンに属す
るかについて計画します。レイヤー 3 デプロイメントの場合、仮想ルーターの設定に必要な
ルーティングプロトコルまたはスタティックルートの設定方法など、必要な IP アドレスおよ
びネットワーク設定情報も、ネットワーク管理者から入手する必要があります。本章の例は、
以下のトポロジに基づいています。
図 : レイヤー 3 トポロジの例
以下の表に、トポロジ例に示すレイヤー 3 インターフェイスとそれに対応するゾーンの設定に
使用する情報を示します。
ゾーン
デプロイメントタイプ
インターフェイス
設定
Untrust
L3
Ethernet1/3
IP アドレス : 203.0.113.100/24
仮想ルーター: デフォルト
デフォルトルート : 0.0.0.0/0
ネクストホップ : 203.0.113.1
Trust
L3
Ethernet1/4
IP アドレス : 192.168.1.4/24
仮想ルーター: デフォルト
DMZ
L3
Ethernet1/13
IP アドレス : 10.1.1.1/24
仮想ルーター: デフォルト
スタートガイド
25
ペリメータセキュリティの確立
スタートガイド
インターフェイスとゾーンの設定
ゾーンとそれに対応するインターフェイスを計画後、デバイスでそれらを設定できます。それ
ぞれのインターフェイスの設定方法は、ネットワークトポロジにより異なります。
以下の手順は、「図 : レイヤー 3 トポロジの例」に示したレイヤー 3 デプロイメントの設定方法
を示しています。
ファイアウォールは、Ethernet 1/1 ポートと Ethernet 1/2（および対応するデフォルトのセキュ
リティポリシーと仮想ルーター）の間のデフォルトのバーチャルワイヤーインターフェイス
が事前設定されて出荷されます。このデフォルトのバーチャルワイヤーを使用する予定がない
場合は、定義する他の設定と干渉しないようにするため、手動でこの設定を削除してから設定
を続行する必要があります。デフォルトのバーチャルワイヤーとその関連セキュリティポリ
シーおよびゾーンを削除する方法の詳細は、「外部サービスへのアクセス用データポートの
セットアップ」のステップ 3 を参照してください。
インターフェイスおよびゾーンの設定
ステップ 1
26
インターネットルーターへのデ 1.
フォルトルートを設定します。
[Network] > [ 仮想ルーター] の順に選択し、default リ
ンクを選択して [仮想ルーター] ダイアログを開きます。
2.
[ スタティックルート ] タブを選択して [ 追加 ] をクリッ
クします。[ 名前 ] フィールドにルート名を入力し、[ 宛
先 ] フィールドにルートの宛先（例 : 0.0.0.0/0）を入力
します。
3.
[ ネクストホップ ] で [IP アドレス ] ラジオボタンをク
リックし、インターネットゲートウェイの IP アドレ
スとネットマスク（例 : 203.00.113.1）を入力します。
4.
[OK] を 2 回クリックして仮想ルーターの設定を保存し
ます。
スタートガイド
スタートガイド
ペリメータセキュリティの確立
インターフェイスおよびゾーンの設定（続き）
ステップ 2
ステップ 3
外部インターフェイス（イン 1.
ターネットに接続するインター
フェイス）を設定します。
[Network] > [ インターフェイス ] の順に選択し、設定
するインターフェイスを選択します。この例では、
Ethernet1/3 を外部インターフェイスとして設定します。
2.
[ インターフェイスタイプ ] を選択します。ここで選択
するタイプはご使用のネットワークトポロジに応じて
異なりますが、この例では、[ レイヤー 3] の場合の手
順を示します。
3.
[ 設定 ] タブで、[ セキュリティゾーン ] ドロップダウ
ンリストから [ 新規ゾーン ] を選択します。[ ゾーン ]
ダイアログの [ 名前 ] で「Untrust」などの名前をつけて
新しいゾーンを定義し、[OK] をクリックします。
4.
[ 仮想ルーター] ドロップダウンリストで、[ デフォル
ト ] を選択します。
5.
IP アドレスをインターフェイスに割り当てるには、
[IPv4] タブを選択してから IP セクションで [ 追加 ] を
クリックし、インターフェイスに割り当てる IP アドレ
スとネットマスク（例 : 208.80.56.100/24）を入力します。
6.
インターフェイスの ping を有効にするには、[ 詳細 ] >
[ その他の情報 ] の順に選択し、[ 管理プロファイル ] ド
ロップダウンを展開して、[ 新規管理プロファイル ] を
選択します。[ 名前 ] フィールドにプロファイル名を入
力し、[Ping] を選択してから [OK] をクリックします。
7.
インターフェイス設定を保存するには、[OK] をクリッ
クします。
内部ネットワークに接続するイ 1.
ンターフェイスを設定します。
[Network] > [ インターフェイス ] の順に選択し、設定
するインターフェイスを選択します。この例では、
Ethernet1/4 を内部インターフェイスとして設定します。
この例のインターフェイ
スは、プライベート IP ア 2.
ドレスを使用するネット
ワークセグメントに接 3.
続します。プライベート
IP アドレスは外部にルー
ティングできないため、
「NAT」を設定する必 4.
要があります。
スタートガイド
[ インターフェイスタイプ ] ドロップダウンリストから
[ レイヤー 3] を選択します。
[ 設定 ] タブで、[ セキュリティゾーン ] ドロップダウン
リストを展開して [ 新規ゾーン ] を選択します。[ ゾーン ]
ダイアログの [ 名前 ] で「Trust」などの名前をつけて新
しいゾーンを定義し、[OK] をクリックします。
ステップ 2 で使用したものと同じ仮想ルーター（この
例ではデフォルト）を選択します。
5.
IP アドレスをインターフェイスに割り当てるには、
[IPv4] タブを選択してから IP セクションで [ 追加 ] を
クリックし、インターフェイスに割り当てる IP アドレ
スとネットマスク（例 : 192.168.1.4/24）を入力します。
6.
インターフェイスの ping を有効にするには、ステップ 2-6
で作成した管理プロファイルを選択します。
7.
インターフェイス設定を保存するには、[OK] をクリッ
クします。
27
ペリメータセキュリティの確立
スタートガイド
インターフェイスおよびゾーンの設定（続き）
ステップ 4
DMZ に接続するインターフェ 1.
イスを設定します。
2.
設定するインターフェイスを選択します。
[ インターフェイスタイプ ] ドロップダウンリストから
[ レイヤー 3] を選択します。この例では、Ethernet1/13
を DMZ インターフェイスとして設定します。
3.
[ 設定 ] タブで、[ セキュリティゾーン ] ドロップダウン
リストを展開して [ 新規ゾーン ] を選択します。[ ゾーン ]
ダイアログの [ 名前 ] で「DMZ」などの名前をつけて新
しいゾーンを定義し、[OK] をクリックします。
4.
ステップ 2 で使用した仮想ルーター（この例ではデフォ
ルト）を選択します。
5.
IP アドレスをインターフェイスに割り当てるには、
[IPv4] タブを選択してから IP セクションで [ 追加 ] を
クリックし、インターフェイスに割り当てる IP アドレ
スとネットマスク（例 : 10.1.1.1/24）を入力します。
6.
インターフェイスの ping を有効にするには、ステッ
プ 2 - 6 で作成した管理プロファイルを選択します。
7.
インターフェイス設定を保存するには、[OK] をクリッ
クします。
ステップ 5
インターフェイスの設定を保 [ コミット ] をクリックします。
存します。
ステップ 6
ファイアウォールを配線しストレートケーブルを使用して、設定したインターフェイ
ます。
スから対応するスイッチまたはルーターにネットワークセ
グメントごとに接続します。
ステップ 7
インターフェイスがアクティ Web インターフェイスから、[Network] > [ インターフェイ
ブであることを確認します。ス ] の順に選択し、[ リンク状態 ] 列のアイコンが緑になっ
ていることを確認します。また、[Dashboard] の [ インター
フェイス ] ウィジェットからリンク状態をモニタリングする
こともできます。
28
スタートガイド
スタートガイド
ペリメータセキュリティの確立
基本的なセキュリティポリシーのセットアップ
ポリシーにより、ルールを適用してアクションを実行できます。セキュリティ、NAT、Quality
of Service (QoS)、ポリシーベースフォワーディング (PBF)、復号、アプリケーションオーバーラ
イド、キャプティブポータル、サービス拒否 (DoS)、ゾーンプロテクションなど、さまざまな
タイプのポリシールールをファイアウォールで作成できます。これらのさまざまなポリシーが
連携することにより、許可、拒否、優先度の設定、転送、暗号化、復号、例外の作成、アクセ
スの認証、接続のリセットなど、必要に応じてネットワークを保護できます。ここでは、基本
的なセキュリティポリシーと、デフォルトのセキュリティプロファイルについて説明します。

セキュリティルールの作成

セキュリティポリシーのテスト

ネットワーク上のトラフィックのモニタリング
セキュリティルールの作成
セキュリティポリシーによりセキュリティゾーンを参照することで、ネットワーク上のトラ
フィックを許可、制限、および追跡できるようになります。ゾーンごとに信頼度が異なるた
め、暗黙のルールにより 2 つの異なるゾーン間を通過するトラフィックは拒否され、ゾーン内
のトラフィックは許可されます。2 つの異なるゾーン間を通過するトラフィックを許可するに
は、このようなトラフィックに対するセキュリティルールを作成する必要があります。
企業のペリメータセキュリティを確保するための基本的なフレームワークを設定する場合、制
約の少ない、異なるゾーン間のトラフィックを許可するシンプルなセキュリティポリシーから
作成すると良いでしょう。後述するように、目標はあくまでもネットワークユーザーがアクセ
スする必要のあるアプリケーションが中断してしまうリスクを最小限に抑えながら、ネット
ワーク上のアプリケーションや潜在的な脅威に可視性を与えることです。
ポリシーを定義する場合、すべての送信元ゾーンからすべての宛先ゾーンへのトラフィックを
すべて拒否するようなポリシーを作成すると、暗黙のうちに許可されているゾーン内トラ
フィックが中断してしまうため、そのようなポリシーは作成しないでください。ゾーン内トラ
フィックの場合、送信元ゾーンと宛先ゾーンが同じで、信頼度も同じレベルで共有されている
ため、デフォルトで許可されています。
スタートガイド
29
ペリメータセキュリティの確立
スタートガイド
基本的なセキュリティルールの定義
ステップ 1
企業ネットワークのすべての日常業務に必要なアプリケーションを安全に実行できるよ
ユーザーに対して、インターうにするために、インターネットへのアクセスを許可する
ネットアクセスを許可します。シンプルなルールを作成します。基本的な脅威から保護す
るために、ファイアウォールで使用できるデフォルトのセ
ゾーン : Trust から Untrust
キュリティプロファイルを関連付けます。
デフォルトでは、「rule1」 1. [Policies] > [ セキュリティ] の順に選択し、[ 追加 ] をク
という名前のセキュリ
リックします。
ティルールがファイア 2. [ 全般 ] タブで、ルールの分かりやすい名前を入力し
ウォールに含まれていま
ます。
す。このルールでは、
3. [ 送信元 ] タブで [ 送信元ゾーン ] を [Trust] に設定し
Trust ゾーンから Untrust
ます。
ゾーンへのトラフィック
がすべて許可されていま 4. [ 宛先 ] タブで [ 宛先ゾーン ] を [Untrust] に設定します。
す。このルールを削除す
る、またはゾーンの命名
規則を反映するように
ルールを変更することも
できます。
ポリシールールをスキャンして、各ルールの
ゾーンを視覚的に識別するには、ゾーンと同じ
名前のタグを作成します。たとえば、Trust ゾー
ンを緑色で色分けするには、[Objects] > [ タグ ]
の順に選択し、[ 追加 ] をクリックし、[ 名前 ] で
タグに「Trust」という名前を指定し、[ カラー]
で緑色を選択します。
5.
[ サービス /URL カテゴリ ] タブで、ser vice-http と
service-https を選択します。
6.
[ アクション ] タブで以下の手順を実行します。
a. [ アクション設定 ] を [ 許可 ] に設定します。
b. [ プロファイル設定 ] で、[ アンチウイルス ]、[ アン
チスパイウェア ]、[ 脆弱性防御 ]、[URL フィルタリ
ング ] のデフォルトプロファイルを関連付けます。
7.
30
[ オプション ] でセッション終了時のログが有効である
ことを確認します。セキュリティルールと一致するト
ラフィックのみがログに記録されます。
スタートガイド
スタートガイド
ペリメータセキュリティの確立
基本的なセキュリティルールの定義（続き）
ステップ 2
内部ネットワークのユーザー 1.
が DMZ のサーバーにアクセス
できるようにします。
2.
ゾーン : Trust から DMZ
3.
DMZ サーバーへのアク
セス設定に IP アドレスを
使用する場合、パケット 4.
の元の IP アドレス（NAT 5.
前のアドレス）と NAT 後
のゾーンを常に参照する
ようにしてください。
6.
7.
ステップ 3
[Policies] > [ セキュリティ] セクションで、[ 追加 ] を
クリックします。
[ 全般 ] タブで、ルールの分かりやすい名前を入力し
ます。
[ 送信元 ] タブで [ 送信元ゾーン ] を [Trust] に設定し
ます。
[ 宛先 ] タブで [ 宛先ゾーン ] を [DMZ] に設定します。
[ サービス /URL カテゴリ ] タブで、[ サービス ] が
[application-default] に設定されていることを確認し
ます。
[ アクション ] タブで、[ アクション設定 ] を「許可」に
設定します。
それ以外のオプションは、すべてデフォルト値にして
おきます。
インターネットから DMZ へのインバウンドアクセスを制
限するには、特定サーバーの IP アドレスと、アプリケー
ションで使用するデフォルトのポートのみを許可するルー
ルを設定します。
1. [ 追加 ] をクリックして新しいルールを追加し、分かり
たとえば、外部から webmail サー
やすい名前をつけます。
バーにアクセスするユーザー
2. [ 送信元 ] タブで [ 送信元ゾーン ] を [Untrust] に設定し
のみを許可します。
ます。
ゾーン : Untrust から DMZ
3. [ 宛先 ] タブで [ 宛先ゾーン ] を [DMZ] に設定します。
インターネットから DMZ サー
バーへのアクセスを、特定
サーバーの IP アドレスのみに
制限します。
4.
[宛先アドレス] を作成済みのパブリック Web サーバー
のアドレスオブジェクトに設定します。このパブリッ
ク Web サーバーのアドレスオブジェクトは、DMZ か
らアクセスできる Web サーバーのパブリック IP アドレ
ス (208.80.56.11/24) を参照します。
5.
[ アプリケーション ] タブで webmail アプリケーション
を選択します。
[サービス] はデフォルトで [application-default]
に設定されています。
6.
スタートガイド
[ アクション設定 ] を [ 許可 ] に設定します。
31
ペリメータセキュリティの確立
スタートガイド
基本的なセキュリティルールの定義（続き）
ステップ 4
DMZ から内部ネットワーク
（Trust ゾーン）へのアクセス
を許可します。リスクを最小
限に抑えるために、特定の
サーバーと宛先アドレスのト
ラフィックのみを許可しま
す。たとえば、Trust ゾーンの
特定のデータベースサーバー
と通信する必要のあるアプリ
ケーションサーバーが DMZ に
ある場合、特定の送信元と宛先
の間のトラフィックのみを許可
するルールを作成します。
1.
[ 追加 ] をクリックして新しいルールを追加し、分かり
やすい名前をつけます。
2.
[ 送信元ゾーン ] を [DMZ] に設定します。
3.
[ 宛先ゾーン ] を [Trust] に設定します。
4.
DMZ からアクセス可能な Trust ゾーンのサーバーを指
定するアドレスオブジェクトを作成します。
5.
セキュリティポリシールールの [ 宛先 ] タブで、[ 宛先
アドレス ] を作成済みのアドレスオブジェクトに設定
します。
6.
[ アクション ] タブで以下の手順を実行します。
ゾーン : DMZ から Trust
a. [ アクション設定 ] を [ 許可 ] に設定します。
b. [ プロファイル設定 ] で、[ アンチウイルス ]、[ アン
チスパイウェア ]、[ 脆弱性防御 ] のデフォルトプロ
ファイルを関連付けます。
c. [ その他の設定 ] セクションで、[ サーバーレスポン
ス検査の無効化 ] を選択します。この設定により、
サーバー側レスポンスのアンチウイルスおよびアン
チスパイウェアのスキャンが無効になり、ファイア
ウォールの負荷が軽減されます。
32
スタートガイド
スタートガイド
ペリメータセキュリティの確立
基本的なセキュリティルールの定義（続き）
ステップ 5
DMZ サーバーがインターネッ
トから更新や修正プログラム
を入手できるようにします。
たとえば、Microsoft Update サー
ビスを許可します。
1.
新しいルールを追加し、分かりやすい名前をつけます。
2.
[ 送信元ゾーン ] を [DMZ] に設定します。
3.
[ 宛先ゾーン ] を [Untrust] に設定します。
4.
アプリケーショングループを作成し、許可するアプリ
ケーションを指定します。この例では、Microsoft Updates
(ms-updates) と DNS を許可します。
ゾーン : DMZ から Untrust
[サービス] はデフォルトで [application-default]
に設定されています。これにより、これらのア
プリケーションに関連付けられた標準ポートを
使用するアプリケーションのみをファイア
ウォールで許可できます。
ステップ 6
5.
[ アクション設定 ] を [ 許可 ] に設定します。
6.
[ プロファイル設定 ] で、[ アンチウイルス ]、[ アンチ
スパイウェア ]、[ 脆弱性防御 ] のデフォルトプロファ
イルを関連付けます。
デバイスで実行中の設定に対 [ コミット ] をクリックします。
するポリシーを保存します。
セキュリティポリシーのテスト
基本ポリシーを効果的に設定できていることを確認するために、セキュリティポリシーが評価
されているかどうかテストし、どのセキュリティルールがトラフィックフローに適用されてい
るかを判断します。
スタートガイド
33
ペリメータセキュリティの確立
スタートガイド
ポリシーとフローの一致を確認する
フローと一致するポリシールールを確認すたとえば、IP アドレスが 208.90.56.11 の DMZ サー
るには、次の CLI コマンドを使用します。バーから Microsoft Update サーバーにアクセスする場
test security-policy-match source
<IP_address> destination <IP_address>
destination port <port_number> protocol
<protocol_number>
合、この DMZ サーバーに適用されるポリシールール
を確認するには、次のコマンドを実行します。
test security-policy-match source 208.80.56.11
この CLI コマンドで指定する送信元と宛先 destination 176.9.45.70 destination-port 80
protocol 6
の IP アドレスに最も一致するルールが出力
されます。
"Updates-DMZ to Internet" {
from dmz;
source any;
source-region any;
to untrust;
destination any;
destination-region any;
user any;
category any;
application/service[ dns/tcp/any/53
dns/udp/any/53 dns/udp/any/5353
ms-update/tcp/any/80 ms-update/tcp/any/443];
action allow;
terminal yes;
ネットワーク上のトラフィックのモニタリング
基本セキュリティポリシーの配置はこれで完了です。次に、アプリケーションコマンドセン
ター (ACC) の統計およびデータ、トラフィックログ、および脅威のログをレビューしてネット
ワークの動向を観察し、より詳細なポリシーを作成する必要のある場所を特定します。
ポートまたはプロトコルを使用してアプリケーションを識別する従来のファイアウォールとは
異なり、Palo Alto Networks のファイアウォールでは、アプリケーションシグネチャ（App-ID テ
クノロジー）を利用してアプリケーションをモニタリングします。アプリケーションシグネ
チャは、一意のアプリケーションプロパティと関連するトランザクションの特性、ポートまた
はプロトコルの組み合わせに基づいています。そのため、トラフィックで正しいポート/プロト
コルが使用されていても、アプリケーションシグネチャが一致しない場合は、ファイアウォー
ルによりコンテンツへのアクセスが拒否されます。この機能により、アプリケーションの一部
は許可しても、同じアプリケーション内の機能の一部をブロックまたは制限するなど、安全に
アプリケーションを実行できます。たとえば、アプリケーションの Web 参照を許可すると、
ユーザーはインターネット上のコンテンツにアクセスできます。次に、ユーザーが Facebook に
移動してから Facebook の Scrabble をプレイすると、ファイアウォールがアプリケーションのシ
フトを識別し、Facebook と Scrabble をそれぞれ個別に認識します。そのため、Facebook アプリ
ケーションをブロックする特定のルールを作成すると、ユーザーは Scrabble へのアクセスが拒
否されますが、Facebook にはアクセスできます。
34
スタートガイド
スタートガイド
ペリメータセキュリティの確立
ネットワークトラフィックのモニタリング
• 「アプリケーションコマンドセンター ACC で使用頻度が最も高いアプリケーションと、リスクの
の使用」。
高いネットワークアプリケーションをレビューします。
ACC では、ログ情報をグラフィカルに要約され、ネット
ワークを通過するアプリケーションと、それらを使用する
（User-ID が有効な）ユーザー、およびコンテンツの潜在
的なセキュリティへの影響が強調表示されるため、ネット
ワークの状況をリアルタイムに識別できます。この情報を
利用して、不要なアプリケーションをブロックしながら、
安全にアプリケーションを許可し有効にする適切なセキュ
リティポリシーを作成できます。
• ネットワークセキュリティルールのどの例 :
部分を更新/修正し、変更を適用する必要 • スケジュール、ユーザー、またはグループに基づいて、
があるかを判断します。
コンテンツを許可するかどうかを評価します。
• 特定のアプリケーションまたはアプリケーション内の機
能を許可または制御します。
• コンテンツを復号化して検査します。
• 脅威や悪用をスキャンしてからコンテンツを許可し
ます。
セキュリティポリシーをさらに細かく設定し、カスタム
セキュリティプロファイルを関連付ける方法の詳細は、
「基本的な脅威防御機能の有効化」を参照してください。
• 「ログファイルの表示」。
特に、トラフィックおよび脅威のログを表示します
（[Monitor] > [ ログ ]）。
トラフィックのログは、セキュリティポリシーの定
義およびログトラフィックの設定の方法により異な
ります。ただし ACC タブでは、ポリシーの設定に関
係なくアプリケーションおよび統計情報が記録され
ます。つまり、ネットワークで許可されているすべ
てのトラフィックが表示されるため、ポリシーで許
可されているゾーン間トラフィックと、暗黙のうち
に許可されているゾーン内トラフィックの両方が含
まれています。
• 「URL フィルタリングログの解釈」。
スタートガイド
URL フィルタリングログをレビューして、アラートおよ
び拒否されたカテゴリ /URL をスキャンします。URL ログ
は、アラート、続行、オーバーライド、またはブロックと
いったアクションに関連付られている URL フィルタリン
グプロファイルを含むセキュリティルールにトラフィッ
クが一致する場合に生成されます。
35
基本的な脅威防御機能の有効化
スタートガイド
基本的な脅威防御機能の有効化
Palo Alto Networks の次世代ファイアウォールには独特の脅威防御機能が組み込まれており、こ
の機能により、回避、トンネリング、または迂回などの手法を用いた攻撃からネットワークを
保護することができます。ファイアウォールの脅威防御機能には、WildFire サービス、セキュ
リティプロファイル（アンチウイルス、アンチスパイウェア、脆弱性防御、URL フィルタリン
グ、ファイルブロッキング、データフィルタリング機能をサポート）、サービス拒否 (DoS) お
よびゾーンプロテクション機能が含まれます。
脅威防御機能を適用するには、まず 1 つ以上の送信元インターフェイスまたは宛先インター
フェイスを識別するゾーンおよびセキュリティポリシーを設定する必要があります。脅威防御
機能を適用するために必要なインターフェイス、ゾーン、およびポリシーを設定する方法につ
いては、「インターフェイスとゾーンの設定」および「基本的なセキュリティポリシーのセッ
トアップ」を参照してください。
脅威からネットワークを保護するには、以下の作業から開始します。

WildFire の有効化

脅威を確認するためのトラフィックのスキャン

Web コンテンツへのアクセス制御
36
スタートガイド
スタートガイド
基本的な脅威防御機能の有効化
WildFire の有効化
WildFire サービスは、標準機能の一部として組み込まれています。WildFire サービスを使用する
と、ファイアウォールからサンドボックス環境（有害なアクティビティを検出するためのアプ
リケーションの実行環境）に添付ファイルを転送できます。WildFire システムが新しいマル
ウェアを検出すると、マルウェアのシグネチャが自動的に生成され、24 ～ 48 時間以内にアンチ
ウイルスのシグネチャのダウンロードに組み込まれます。脅威防御サブスクリプションがあれ
ば、アンチウイルスシグネチャを更新できます。これには、WildFire によって検出されたシグ
ネチャも含まれます。
WildFire サブスクリプションサービスを購入すると、以下のような利点も得られます。

分単位（15 分ごと）の WildFire シグネチャの更新

高度なファイルタイプ転送（APK、Flash、PDF、Microsoft Office、および Java Applet）

WildFire API を使用したファイルのアップロード

プライベート WF-500 WildFire アプライアンスへのファイルの転送
Portable Executable (PE) ファイルを WildFire クラウドに転送して分析できるように、ファイル
ブロッキングプロファイルを設定することは無料でできますが、プライベート WildFire アプ
ライアンスにファイルを転送するには、WildFire サブスクリプションが必要です。
WildFire の有効化
ステップ 1
デバイスが登録されており、有 1.
効なサポートアカウントと必
要なサブスクリプションを保有 2.
していることを確認します。
『Palo Alto Networks サポートサイト』に移動し、ログ
インして [My Devices] を選択します。
ファイアウォールがリストにあることを確認します。
リストにない場合は、「ファイアウォールの登録」を
参照してください。
3.
スタートガイド
（任意）「ライセンスおよびサブスクリプションのア
クティベーション」。
37
基本的な脅威防御機能の有効化
スタートガイド
WildFire の有効化（続き）
ステップ 2
WildFire 転送オプションを設定 1.
します。
[Device] > [セットアップ] > [WildFire] の順に選択し、
[一般設定] を編集します。
2.
（任意）ファイルを転送する [WildFire サーバー] を指
定します。デフォルトでは、ファイアウォールから、
米国でホストされているパブリック WildFire クラウド
にファイルが転送されます。別の WildFire クラウドに
ファイルを転送するには、以下のように新しい値を入
力します。
• プライベート WildFire クラウドに転送するには、
WF-500 WildFire アプライアンスの IP アドレスまたは
FQDN を入力します。
• 日本で稼働しているパブリック WildFire クラウドに
ファイルを転送するには、
「wildfire.paloaltonetworks.jp」と入力し
ます。
ステップ 3
38
3.
WildFire サブスクリプショ
ンがない場合、実行可能
ファイルのみを転送でき
4.
ます。
（任意）ファイアウォールで転送できる特定のファイ
ルタイプの最大ファイルサイズを変更する場合、対応
するフィールドで値を変更します。
ファイルを WildFire に転送する 1.
ようにファイルブロッキング
プロファイルをセットアップ
します。
2.
[Objects] > [ セキュリティプロファイル ] > [ ファイル
ブロッキング ] の順に選択し、[ 追加 ] をクリックし
ます。
3.
[ 追加 ] をクリックして転送ルールを追加し、名前を入
力します。
4.
[ アクション ] 列で、[forward] を選択します。
5.
任意のアプリケーションのサポートされているすべて
のファイルタイプが転送されるように、その他の
フィールドは [any] のままにしておきます。
6.
[OK] をクリックしてプロファイルを保存します。
[OK] をクリックして、変更内容を保存します。
[ 名前 ] フィールドに名前を入力し、必要に応じて [ 説
明 ] フィールドにプロファイルの説明を入力します。
スタートガイド
スタートガイド
基本的な脅威防御機能の有効化
WildFire の有効化（続き）
ステップ 4
インターネットへのアクセス 1.
を許可するセキュリティポリ
シーにファイルブロッキング
プロファイルを適用します。 2.
3.
「セキュリティルールの作成」の説明に従って、
[Policies] > [ セキュリティ] の順に選択し、既存のポリ
シーを選択するか、新しいポリシーを作成します。
セキュリティポリシー内の [アクション] タブをクリッ
クします。
[ プロファイル設定 ] セクションで、ドロップダウンを
クリックし、WildFire の転送のために作成したファイ
ルブロッキングプロファイルを選択します。プロファ
イルを選択するためのドロップダウンが表示されない
場合、[ プロファイルタイプ ] ドロップダウンから [ プ
ロファイル ] を選択します。
[ コミット ] をクリックします。
ステップ 5
設定を保存します。
ステップ 6
ファイアウォールから WildFire 1.
にファイルが転送されている
ことを確認します。
2.
[Monitor] > [ ログ ] > [ データフィルタリング ] の順に
選択します。
[ アクション ] 列で以下のアクションを確認します。
• forward — セキュリティポリシーに適用されている
ファイルブロッキングプロファイルによってファ
イルが正常に転送されたことを示します。
• wildfire-upload-success — ファイルが WildFire に送
信されたことを示します。これは、ファイルが信頼
されるファイル署名者によって署名されておらず、
以前に WildFire で分析されていないことを示します。
• wildfire-upload-skip — ファイルがファイルブロッ
キングプロファイル / セキュリティポリシーによっ
て WildFire に送信するのに適格であると識別された
ものの、すでに分析済みであり WildFire による分析
を必要としなかったことを示します。この場合、こ
のアクションは有効な転送アクションであるため、
[ データフィルタリング ] ログには forward と表示さ
れますが、このファイルはすでに別のセッション
（場合によっては別のファイアウォール）から
WildFire クラウドに送信されているため、WildFire に
送信されて分析されることはありません。
3.
スタートガイド
WildFire ログを表示するには、[Monitor] > [ ログ ] >
[WildFire への送信 ] の順に選択します。新しい WildFire
ログが表示された場合、ファイアウォールは正常に
ファイルを WildFire に転送し、WildFire はファイル分析
レポートを返しています。
39
基本的な脅威防御機能の有効化
スタートガイド
脅威を確認するためのトラフィックのスキャン
「セキュリティプロファイル」は、セキュリティポリシーにより脅威から保護します。たとえ
ば、アンチウイルスプロファイルをセキュリティポリシーに適用し、そのセキュリティポリ
シーと一致するすべてのトラフィックにウイルスが存在しないかどうかスキャンすることができ
ます。
以下のセクションでは、基本的な脅威防御設定をセットアップする手順について説明します。

アンチウイルス、アンチスパイウェア、および脆弱性防御のセットアップ

ファイルブロッキングのセットアップ
アンチウイルス、アンチスパイウェア、および脆弱性防御のセットアップ
すべての Palo Alto Networks の次世代ファイアウォールには、セキュリティポリシーに適用でき
る事前定義されたアンチウイルス、アンチスパイウェア、および脆弱性防御プロファイルが付
属します。事前定義されたアンチウイルスプロファイルは 1 つで、default と呼ばれ、プロトコ
ルごとにデフォルトのアクション（HTTP、FTP、および SMB トラフィックのブロック、およ
び SMTP、IMAP、POP3 トラフィックでアラート生成）を使用します。アンチスパイウェアお
よびゾーンプロテクションの事前定義されたプロファイルは以下の 2 つです。


default — デフォルトのアクションがクライアントおよびサーバーのすべてのスパイウェア /
脆弱性防御イベント（重大度 critical、high、および medium）に適用されます。low および
informational イベントは検出しません。
strict — ブロック応答がクライアントおよびサーバーのすべてのスパイウェア / 脆弱性防御
イベント（重大度 critical、high、medium）に適用され、low および informational イベントでは
デフォルトのアクションを使用します。
ネットワークに流れ込むトラフィックに脅威が含まれることのないようにするため、事前定義
されたプロファイルを基本 Web アクセスポリシーに関連付けます。ネットワーク上のトラ
フィックをモニターしてポリシールールベースを拡張し、その後、特定のセキュリティニーズ
に対応する詳細なプロファイルを設計できます。
アンチウイルス / アンチスパイウェア / 脆弱性防御のセットアップ
ステップ 1
脅威防御ライセンスがあるこ • 脅威防御ライセンスでは、1 つのライセンスに、アンチウ
とを確認します。
イルス、アンチスパイウェア、および脆弱性防御の全機
能をバンドルしています。
• [Device] > [ ライセンス ] の順に選択して、[ 脅威防御 ] ラ
イセンスがインストールされていることを検証し、有効
期限を確認します。
40
スタートガイド
スタートガイド
基本的な脅威防御機能の有効化
アンチウイルス / アンチスパイウェア / 脆弱性防御のセットアップ（続き）
ステップ 2
ステップ 3
最新のアンチウイルス脅威シグ 1.
ネチャをダウンロードします。
[Device] > [ ダイナミック更新 ] の順に選択し、ページ
の下部にある [ 今すぐチェック ] をクリックして最新の
シグネチャを取得します。
2.
[ アクション ] 列で、[ ダウンロード ] をクリックして、
最新のアンチウイルス、アプリケーションおよび脅威
シグネチャをインストールします。
シグネチャの更新をスケジュー 1.
ルします。
[Device] > [ ダイナミック更新 ] の順に選択し、[ スケ
ジュール ] の右側にあるテキストをクリックして、[ ア
ンチウイルス ] と [ アプリケーションおよび脅威 ] のシ
グネチャ更新を自動的に取得します。
アンチウイルスの更新
の場合には毎日、アプ
リケーションおよび脆 2.
弱性の更新の場合には
毎週 [ ダウンロードおよ
びインストール ] を実行
します。
スタートガイド
更新の頻度とタイミングを指定し、更新ファイルをダ
ウンロードしてインストールするのか、またはダウン
ロードのみを行うのかを指定します。[ダウンロードの
み ] をオンにする場合は、手動でページを開き、[ アク
ション ] 列の [ インストール ] リンクをクリックしてシ
グネチャをインストールする必要があります。[OK] を
クリックすると、更新がスケジュールされます。コ
ミットは必要ありません。
3.
（任意）[ しきい値 ] フィールドに時間数を入力して、
ダウンロードが実行されるまでのシグネチャの最小存
続時間を指定することもできます。たとえば、「10」
と入力すると、そのシグネチャは、スケジュールに関
係なく、ダウンロードされるまでに少なくとも 10 時間
は存続する必要があります。
4.
HA 設定では、[ ピアと同期 ] オプションをクリックし
て、ダウンロード / インストールの後にコンテンツ更
新と HA ピアを同期することもできます。これによっ
てスケジュール設定がピアデバイスにプッシュされる
ことはないため、各デバイスでスケジュールを設定す
る必要があります。
41
基本的な脅威防御機能の有効化
スタートガイド
アンチウイルス / アンチスパイウェア / 脆弱性防御のセットアップ（続き）
HA 設定の場合の推奨設定は次のとおりです。
• アクティブ / パッシブの HA — アンチウイルスのシグネチャのダウンロードで MGT ポートを使用す
る場合は、両方のデバイスでスケジュールを設定し、両方のデバイスが別々にダウンロード / インス
トールを実行するようにしてください。ダウンロードでデータポートを使用する場合、パッシブデ
バイスはパッシブ状態になっている間ダウンロードを実行しません。この場合は、両方のデバイスで
スケジュールを設定して、[ ピアと同期 ] オプションを選択します。これにより、どちらのデバイスが
アクティブであっても更新処理が実行され、パッシブデバイスにプッシュされるようにします。
• アクティブ / アクティブの HA — 両方のデバイスでアンチウイルスのシグネチャのダウンロードに
MGT ポートを使用する場合は、両方のデバイスでダウンロード / インストールをスケジュールします
が、[ ピアと同期 ] オプションは選択しません。データポートを使用する場合は、両方のデバイスでシ
グネチャのダウンロードをスケジュールし、[ ピアと同期 ] を選択します。これにより、アクティブ /
アクティブ設定の 1 つのデバイスがアクティブなセカンダリ状態になった場合でも、そのアクティブ
デバイスがシグネチャをダウンロード / インストールしてから、アクティブなセカンダリデバイスに
シグネチャをプッシュするようにします。
ステップ 4
ステップ 5
42
セキュリティプロファイルをセ 1.
キュリティポリシーに適用し
ます。
[Policies] > [ セキュリティ] の順に選択し、適切なポリ
シーを選択して変更し、[ アクション ] タブをクリック
します。
事前定義されたセキュリ 2.
ティプロファイルのコ
ピーを基本セキュリティ
ポリシーに関連付けま
す。プロファイルをカス
タマイズする場合ｃ、こ
の方法により、読み取り
専用の事前定義された
strict または default プロ
ファイルを削除し、カス
タマイズされたプロファ
イルを関連付けることな
く、そのカスタマイズを
行うことができます。
[ プロファイル設定 ] で、有効にする各セキュリティプ
ロファイルの横にあるドロップダウンをクリックしま
す。この例では、[ アンチウイルス ]、[ 脆弱性防御 ]、お
よび [アンチスパイウェア] のデフォルトを選択します。
設定を保存します。
プロファイルを選択するためのドロップダウン
が表示されない場合は、[ プロファイルタイプ ]
ドロップダウンから [ プロファイル ] を選択し
ます。
[ コミット ] をクリックします。
スタートガイド
スタートガイド
基本的な脅威防御機能の有効化
ファイルブロッキングのセットアップ
「ファイルブロッキングプロファイル」により、ブロックまたはモニタリングする特定のファ
イルタイプを識別できます。以下のワークフローは、ユーザーがインターネットから実行可能
ファイルをダウンロードできないようにする基本的なファイルブロッキングプロファイルを
セットアップする方法を示しています。
ファイルブロッキングの設定
ステップ 1
ファイルブロッキングプロファ 1.
イルを作成します。
[Objects] > [ セキュリティプロファイル ] > [ ファイ
ルブロッキング ] の順に選択し、[ 追加 ] をクリック
します。
2.
ファイルブロッキングプロファイルの [ 名前 ] に
「Block_EXE」などと入力します。
3.
必要に応じて [ 内容 ] に「ユーザーが Web サイトから
exe ファイルをダウンロードできないようにする」な
どと入力します。
スタートガイド
43
基本的な脅威防御機能の有効化
スタートガイド
ファイルブロッキングの設定（続き）
ステップ 2
ファイルブロッキングのオプ 1.
ションを設定します。
2.
[追加] をクリックしてプロファイル設定を定義します。
3.
ファイルブロッキングを適用する [ アプリケーション ]
を設定するか、[any] に設定されたままにします。
4.
ブロックする [ ファイルタイプ ] を設定します。たと
えば、実行可能ファイルのダウンロードをブロックす
るには、[exe] を選択します。
5.
ファイルをブロックする [ 方向 ]（[download]、
[upload]、または [both]）を指定します。
6.
[ アクション ] を以下のいずれかに設定します。
[ 名前 ] に「BlockEXE」などと入力します。
• continue —（Web トラフィックのみ）選択された基
準に適合するファイルは、カスタマイズ可能な応答
ページをトリガーします。このページでユーザー
は、ダウンロード / アップロードを続行するため、
[ 続行 ] をクリックする必要があります。このオプ
ション（ステップ 4）を使用する場合は、関連付け
られたインターフェイスで応答ページを有効にする
必要があります。
forward および
continue-and-forward
アクションは、ファイル
を WildFire に転送する場
合に限定のアクション
です。
• block — 選択した条件に一致するファイルのダウン
ロード / アップロードがブロックされます。
• alert — 選択した条件に一致するファイルは許可され
ますが、データフィルタリングログにログエント
リが生成されます。
7.
ステップ 3
コンテンツへのアクセスを許 1.
可するセキュリティポリシー
にファイルブロッキングプロ
ファイルを適用します。
2.
3.
[OK] をクリックしてプロファイルを保存します。
「セキュリティルールの作成」の説明に従って、
[Policies] > [ セキュリティ] の順に選択し、既存のポリ
シーを選択するか、新しいポリシーを作成します。
セキュリティポリシー内の [アクション] タブをクリッ
クします。
[ プロファイル設定 ] セクションで、ドロップダウンを
クリックし、作成したファイルブロッキングプロファ
イルを選択します。
プロファイルを選択するためのドロップダウン
が表示されない場合は、[ プロファイルタイプ ]
ドロップダウンから [ プロファイル ] を選択し
ます。
44
スタートガイド
スタートガイド
基本的な脅威防御機能の有効化
ファイルブロッキングの設定（続き）
ステップ 4
ステップ 5
ファイルブロッキングプロ 1.
ファイルを [continue] アクショ
ンに関連付ける各インターフェ
イスの管理プロファイルで、応
答ページを有効にします。
2.
[Network] > [ ネットワークプロファイル ] > [ インター
フェイス管理 ] の順に選択します。次に、編集するイ
ンターフェイスプロファイルを選択するか、[ 追加 ] を
クリックし、新しいプロファイルを作成します。
3.
[OK] をクリックして、インターフェイス管理プロファ
イルを保存します。
4.
[Network] > [ インターフェイス ] の順に選択し、プロ
ファイルを適用するインターフェイスを選択します。
5.
[詳細] > [その他の情報] タブで、作成したインターフェ
イス管理プロファイルを選択します。
6.
[OK] をクリックして、インターフェイス設定を保存し
ます。
[ 応答ページ ] およびインターフェイスに必要な他の管
理サービスを選択します。
ファイルブロッキング設定をテファイアウォールの Trust ゾーンのクライアント PC にアク
ストします。
セスし、Untrust ゾーンの Web サイトから .exe ファイルのダ
ウンロードを試みます。ファイルブロッキングプロファ
イルで定義したアクションに基づいて、ファイルが予想ど
おりにブロックされることを確認します。
• アクションとして [alert] を選択した場合は、データフィ
ルタリングログを調べ、その要求のログエントリがあ
ることを確認します。
• アクションとして [block] を選択した場合は、[ ファイ
ルブロッキングブロックページ ] 応答ページが表示さ
れます。
• アクションとして [continue] を選択した場合は、[ ファ
イルブロッキング続行ページ ] 応答ページが表示されま
す。[続行 ] をクリックしてファイルをダウンロードしま
す。以下に、デフォルトの [ ファイルブロッキング続行
ページ ] を示します。
スタートガイド
45
基本的な脅威防御機能の有効化
スタートガイド
Web コンテンツへのアクセス制御
「URL フィルタリング」では、ネットワーク上の Web トラフィックを可視化し、制御すること
ができます。URL フィルタリングが有効になっていると、ファイアウォールは Web トラフィッ
ク情報を 1 つ以上のカテゴリに分類できます（カテゴリは約 60 個あります）。属するカテゴリ
に基づいて、トラフィックの処理（許可、ブロック、またはログへの記録（アラート））を指
定するポリシーを作成できます。以下のワークフローは、URL フィルタリングで PAN-DB を有
効にする方法、セキュリティプロファイルを作成する方法、およびセキュリティプロファイル
をセキュリティポリシーに適用して、基本的な URL フィルタリングポリシーを適用する方法
を示しています。
URL フィルタリングの設定
ステップ 1
ステップ 2
46
URL フィルタリングのライセン 1.
ス情報を確認します。
URL フィルタリングライセンスを取得してインストー
ルします。詳細は、「ライセンスおよびサブスクリプ
ションのアクティベーション」を参照してください。
2.
[Device] > [ ライセンス ] を選択し、URL フィルタリン
グライセンスが有効になっていることを確認します。
シードデータベースをダウン 1.
ロードして、ライセンスをア
クティベーションします。
シードデータベースをダウンロードするには、[ ライ
センス ] ページの [PAN-DB URL Filtering] セクションの
[ ダウンロードの状態 ] の横にある [ ダウンロード ] を
クリックします。
2.
地域（北アメリカ、ヨーロッパ、APAC、日本）を選択
し、[OK] をクリックしてダウンロードを開始します。
3.
ダウンロードが完了したら、[ アクティベーション ] を
クリックします。
スタートガイド
スタートガイド
基本的な脅威防御機能の有効化
URL フィルタリングの設定（続き）
ステップ 3
ステップ 4
URL フィルタリングプロファイ 1.
ルを作成します。
[Objects] > [ セキュリティプロファイル ] > [URL フィ
ルタリング ] の順に選択します。
デフォルトの URL フィ 2.
ルタリングプロファイ
ルでは、リスクが高
く、脅威になりやすい 3.
コンテンツがブロック
されるため、新しいプ
ロファイルを作成する
場合、デフォルト設定
を保持するために、こ
のプロファイルをコ
ピーします。
デフォルトプロファイルを選択し、[ コピー] をクリッ
クします。新しいプロファイルには default-1 という名
前が付けられます。
Web コンテンツへのアクセスを 1.
制御する方法を定義します。
以下のように、可視化または制御する各カテゴリで [ ア
クション ] 列から値を選択します。
どのトラフィックを制御すべ
きかが明確でない場合、カテ
ゴリ（デフォルトでブロック
されているカテゴリは除く）
にアラートを設定することを
検討してください。ファイア
ウォールの可視化ツール
（ACC やアプリケーションス
コープなど）を使用して、特
定のグループに制限する Web
カテゴリや、完全にブロック
する Web カテゴリを決定でき
ます。その後、戻ってプロ
ファイルを変更し、目的に合
わせてカテゴリをブロックま
たは許可できます。
• トラフィックのカテゴリは問題とならない場合（つ
まり、ブロックもログへの記録もしない場合）、
[allow] を選択します。
新しいプロファイルを選択して、名前を変更します。
• カテゴリ内のサイトへのトラフィックを可視化する
場合は、[alert] を選択します。
• 特定のカテゴリへのアクセスを試みるユーザーに対
して、アクセスしようとしているコンテンツは正常
に表示されない可能性があることを警告する応答
ページを表示するには、[continue] を選択します。
• 関連付けられたポリシーに適合するトラフィックに
アクセスできないようにするには、[block] を選択し
ます（この場合はログエントリも生成されます）。
また、「URL フィルタリング」
プロファイルを定義するとき
に、カテゴリに関係なく常に許
可またはブロックする特定のサ
イトを定義したり、セーフ
サーチオプションを有効にし
て検索結果をフィルタリングし
たりすることもできます。
2.
スタートガイド
[OK] をクリックして、URL フィルタリングプロファイ
ルを保存します。
47
基本的な脅威防御機能の有効化
スタートガイド
URL フィルタリングの設定（続き）
ステップ 5
ステップ 6
ステップ 7
48
URL フィルタリングプロファ 1.
イルをセキュリティポリシー 2.
に適用します。
[Policies] > [ セキュリティ] の順に選択します。
変更するポリシー名を選択し、次に [ アクション ] タブ
をクリックします。
3.
セキュリティプロファイルを初めて定義する場合、
[ プロファイルタイプ ] ドロップダウンから [ プロファ
イル ] を選択します。
4.
[ プロファイル設定 ] リストで、作成したプロファイル
を [URL フィルタリング ] ドロップダウンから選択しま
す。プロファイルを選択するためのドロップダウンが
表示されない場合、[ プロファイルタイプ ] ドロップダ
ウンから [ プロファイル ] を選択します。
5.
[OK] をクリックしてプロファイルを保存します。
6.
設定を [ コミット ] します。
Web トラフィックをフィルタリ 1.
ングする各インターフェイス
の管理プロファイルの応答
ページを有効にします。
[Network] > [ ネットワークプロファイル ] > [ インター
フェイス管理 ] の順に選択します。次に、編集するイ
ンターフェイスプロファイルを選択するか、[ 追加 ] を
クリックし、新しいプロファイルを作成します。
2.
[ 応答ページ ] およびインターフェイスに必要な他の管
理サービスを選択します。
3.
[OK] をクリックして、インターフェイス管理プロファ
イルを保存します。
4.
[Network] > [ インターフェイス ] の順に選択し、プロ
ファイルを適用するインターフェイスを選択します。
5.
[詳細] > [その他の情報] タブで、作成したインターフェ
イス管理プロファイルを選択します。
6.
[OK] をクリックして、インターフェイス設定を保存し
ます。
設定を保存します。
[ コミット ] をクリックします。
スタートガイド
スタートガイド
基本的な脅威防御機能の有効化
URL フィルタリングの設定（続き）
ステップ 8
URL フィルタリング設定をテスファイアウォールの Trust ゾーンのクライアント PC にアク
トします。
セスし、ブロックされたカテゴリのサイトへのアクセスを
試みます。URL フィルタリングプロファイルで定義した
アクションに基づいて、URL フィルタリングが適用される
ことを確認します。
• アクションとして [alert] を選択した場合は、データフィ
ルタリングログを調べ、その要求のログエントリがあ
ることを確認します。
• [continue] アクションを選択した場合は、[URL フィルタ
リング続行とオーバーライドページ ] 応答ページが表示
されます。[ 続行 ] してサイトを開きます。
• アクションとして [block] を選択した場合は、以下のよう
に、[URL フィルタリングおよびカテゴリ一致ブロック
ページ ] 応答ページが表示されます。
詳細情報について
組織を脅威から保護する方法の詳細は、「脅威防御」を参照してください。暗号化された
（SSH または SSL）トラフィックをスキャンする方法の詳細は、「復号」を参照してください。
Palo Alto Networks 製品で識別可能な脅威およびアプリケーションについての詳細は、以下のリ
ンク先にアクセスしてください。

『Applipedia』— Palo Alto Networks で識別できるアプリケーションについて詳細に説明してい
ます。

『Threat Vault』— Palo Alto Networks 製品で識別可能な脅威の一覧が掲載されています。脆弱
性、スパイウェア、またはウイルスを条件にして検索できます。脅威についての詳細は、ID
番号の横にある詳細アイコンをクリックしてください。
スタートガイド
49
ファイアウォールのデプロイメントのベストプラクティス
スタートガイド
ファイアウォールのデプロイメントのベストプラクティス
これで、ネットワークにファイアウォールを統合し、基本的なセキュリティ機能を有効化す
ることができました。高度な機能の設定を開始できます。以下に、考慮すべき推奨事項を示
します。

使用可能なさまざまな「管理インターフェイス」と、管理インターフェイスへのアクセス
および使用方法について学習します。

「高可用性」の設定 — 高可用性 (HA) は、2 つのファイアウォールを 1 つのグループ内に配
置して、ネットワーク上の単一障害点を回避するために 2 つのファイアウォールの設定を
同期する設定です。ファイアウォールピア間のハートビート接続では、ピアがダウンした
場合シームレスにフェイルオーバーを実行できます。2 つのデバイスクラスタでファイア
ウォールを設定すると冗長性が得られるため、ビジネス継続性を確保できます。

「マスターキーの設定」— すべての Palo Alto Networks ファイアウォールには、ファイア
ウォール上の管理インターフェイスにアクセスする場合に、管理者を認証するために使用
する秘密鍵を暗号化するデフォルトのマスターキーがあります。キーの安全を保護するた
め、マスターキーはファイアウォールごとに一意に設定することをお勧めします。

「ファイアウォール管理者の管理」— すべての Palo Alto Networks ファイアウォールおよび
アプライアンスでは、デフォルトの管理アカウント (admin) が事前設定されています。この
アカウントでは、デバイスに対する読み取りと書き込みのフルアクセス権（スーパーユー
ザーアクセス権としても知られる）を提供します。ベストプラクティスとして、ファイア
ウォールの管理機能またはレポート機能へのアクセス権を必要とするユーザーごとに別個
の管理アカウントを作成します。これにより、無権限での設定（または変更）からデバイ
スを保護する能力を高め、個々の管理者のアクションをログに記録することができます。

User-ID の有効化 (User-ID) — User-ID は Palo Alto Networks の次世代のファイアウォールの機
能で、個々の IP アドレスの代わりにユーザーとグループに基づいてポリシーを作成し、レ
ポートを実行できます。

「復号」の有効化 — Palo Alto Networks ファイアウォールでは、可視化、制御、および詳細
なセキュリティのためにトラフィックを復号化および検査する機能を提供します。ファイ
アウォールで復号化を使用すると、悪意のあるコンテンツのネットワークへの侵入や、機
密コンテンツが暗号化されたトラフィックまたはトンネルされたトラフィックとして隠ぺ
いされ、ネットワーク外に流出することを防止することができます。

「パッシブ DNS 収集を有効にして脅威インテリジェンスを向上する」— ファイアウォール
が、パッシブ DNS センサーとして機能し、選択した DNS 情報を Palo Alto Networks に送信
して分析できるようにするには、このオプトイン機能を有効にします。これにより、脅威
インテリジェンスと脅威防御機能が向上します。

「ネットワークをレイヤー 4 およびレイヤー 7 回避から保護するためのベストプラクティ
ス」に従います。
50
スタートガイド
デバイス管理
管理者は、Web インターフェイス、CLI、および API 管理インターフェイスを使用して、Palo
Alto Networks のファイアウォールを設定、管理、およびモニタリングすることができます。特
定のタスクまたは許可を特定の管理者に委任するために、管理インターフェイスに対するロー
ルベースの管理アクセス権限をカスタマイズできます。管理インターフェイスの使用方法や管
理者ロールのカスタマイズ方法などのデバイス管理オプションの詳細は、以下のトピックを参
照してください。

管理インターフェイス

ファイアウォール管理者の管理

リファレンス : Web インターフェイス管理者のアクセス権限

リファレンス : Palo Alto Networks のデバイスが使用するポート番号

ファイアウォールの工場出荷時設定へのリセット
デバイス管理
51
管理インターフェイス
デバイス管理
管理インターフェイス
PAN-OS ファイアウォールおよび Panorama には、Web インターフェイス、コマンドラインイン
ターフェイス (CLI)、および XML ベースの管理 API という 3 つのユーザーインターフェイスが
用意されています。各デバイス管理インターフェイスへのアクセス方法とその使用開始法の詳
細は、以下のトピックを参照してください。

「Web インターフェイスの使用」: Web インターフェイスから、比較的簡単に管理タスクを実
行し、レポートを生成します。このグラフィカルインターフェイスでは、HTTPS を使用し
てファイアウォールにアクセスできます。これは、管理タスクを実行するための最適な方
法です。

「コマンドラインインターフェイス (CLI) の使用」: コマンドを連続して入力し一連のタス
クを実行します。CLI は、2 つのコマンドモードをサポートする必要最小限の機能を備えた
インターフェイスで、各モードにはコマンドとステートメントの独自の階層があります。コ
マンドのネスト構造と構文に慣れると、CLI による応答時間の短縮と、効率的な管理が可能
になります。

「XML API の使用」: 操作を合理化し、内部的に開発された既存のアプリケーションやリポ
ジトリと統合します。XML API は、HTTP/HTTPS 要求および応答を使用して実装される
Web サービスとして提供されます。
52
デバイス管理
デバイス管理
管理インターフェイス
Web インターフェイスの使用
以下のトピックでは、ファイアウォールの Web インターフェイスの使用を開始する方法につい
て説明します。Web インターフェイスで使用可能なタブおよびフィールドの詳細は、『Web イ
ンターフェイスリファレンスガイド』を参照してください。

Web インターフェイスの起動

Web インターフェイスのナビゲート

変更のコミット

設定ページの使用

必須フィールド

トランザクションのロック
Web インターフェイスの起動
PAN-OS ファイアウォールおよび Panorama の Web インターフェイスへのアクセスでは、以下の
Web ブラウザがサポートされています。

Internet Explorer 7+

Firefox 3.6+

Safari 5+

Chrome 11+
インターネットブラウザを起動し、ファイアウォールの IP アドレスを入力します。認証情報を
入力します。ファイアウォールに初めてログインする場合は、デフォルト値「admin」を [ 名前 ]
と [ パスワード ] の両方のフィールドに入力します。
特定のページの使用方法に関する情報やページ上のフィールドとオプションの説明を表示する
には、ページの右上領域にあるヘルプアイコン
をクリックしてオンラインヘルプシス
テムを開きます。ページの状況依存のヘルプが表示されます。さらにヘルプアイコンをクリッ
クすると、ヘルプのナビゲーションペインが表示されます。このペインにはすべてのヘルプの
コンテンツを参照および検索するオプションが表示されます。
Web インターフェイスのナビゲート
Web インターフェイスの使用時には、以下の規則が適用されます。

一般的な機能カテゴリのメニュー項目を表示するには、ブラウザウィンドウの上部近くにあ
る [Objects] や [Device] など、該当するタブをクリックします。
デバイス管理
53
管理インターフェイス
デバイス管理

パネルを表示するには、サイドメニューで項目をクリックします。

サブメニュー項目を表示するには、項目の左にある
アイコンをクリックします。サブメ
ニュー項目を非表示にするには、項目の左にある
アイコンをクリックします。




54
ほとんどの設定ページで、[ 追加 ] をクリックして新規項目を作成できます。
1 つ以上の項目を削除するには、項目のチェックボックスをオンにして [ 削除 ] をクリックし
ます。ほとんどの場合、[OK] をクリックして確認するか、[ キャンセル ] をクリックして削
除をキャンセルするよう求めるメッセージが表示されます。
一部の設定ページでは、項目のチェックボックスをオンにして [ コピー] をクリックすると、
選択した項目と同じ情報で新規項目を作成できます。
項目を変更するには、下線の付いたリンクをクリックします。
デバイス管理
デバイス管理

管理インターフェイス
タスクの現在のリストを表示するには、ページの右下隅の [タスク] アイコンをクリックしま
す。[ タスクマネージャ] ウィンドウが開き、ステータス、開始時刻、関連付けられたメッ
セージ、およびアクションと共にタスクのリストを表示します。[ 表示 ] ドロップダウンを使
用してタスクのリストをフィルタリングします。

Web インターフェイス言語は、特定の優先言語が定義されていない場合、デバイスを管理し
ているコンピュータの現在の言語に従います。たとえば、ファイアウォールの管理に使用す
るコンピュータのロケールがスペイン語の場合、そのファイアウォールにログインするとき
の Web インターフェイスはスペイン語で表示されます。

コンピュータのロケールに関係なく所定のアカウントでいつも使用する言語を指定するに
は、ページの右下にある [ 言語 ] アイコンをクリックして [ 言語設定 ] ウィンドウを開きます。
ドロップダウンをクリックして目的の言語を選択し、[OK] をクリックして変更を保存します。


変更できる情報を表示するページ（たとえば、[Device] タブの [セットアップ] ページ）で、
セクションの右上隅のアイコンをクリックして、設定を編集します。
設定を行った後は、[OK] または [Save] をクリックして変更を保存する必要があります。[OK]
をクリックすると、現在の「候補」設定が更新されます。
デバイス管理
55
管理インターフェイス
デバイス管理
変更のコミット
Web インターフェイスの上部で [ コミット ] をクリックして、[ コミット ] ダイアログボックス
を開きます。
[ コミット ] ダイアログボックスでは、以下のオプションを使用できます。必要な場合は、[ 詳細 ]
リンクをクリックして、以下のオプションを表示します。

デバイスとネットワーク設定を含める — コミット操作にデバイスおよびネットワークの設定
変更を含めます。

共有オブジェクト設定を含める —（マルチ仮想システムファイアウォールのみ）コミット操
作に共有オブジェクトの設定変更を含めます。

ポリシーとオブジェクト設定を含める —（非マルチ仮想システムファイアウォールのみ）コ
ミット操作にポリシーとオブジェクトの設定変更を含めます。

仮想システム設定を含める — すべての仮想システムを含めるか、[1 つ以上の仮想システムを
選択します ] を選択します。

変更内容の確認 — 候補設定で提案される変更点が現在の実行中の設定と比較表示される 2 ペ
インウィンドウを表示するには、このボタンをクリックします。表示する行数を選択する
か、すべての行を表示できます。変更点は、追加、修正、または削除された項目に応じて色
分けされます。
56
デバイス管理
デバイス管理
管理インターフェイス
設定ページの使用
設定ページのテーブルには、ソートおよび列を選択するオプションが含まれます。列ヘッダー
をクリックしてその列をソートしてから、もう一度クリックしてソート順序を変更します。任
意の列の右にある矢印をクリックし、表示する列を選択するために、チェックボックスをオン
にします。
必須フィールド
必須フィールドは、淡い黄色の背景で表示されます。フィールドの入力領域をポイントまたは
クリックすると、フィールドが必須であることを示すメッセージが表示されます。
トランザクションのロック
Web インターフェイスは複数の管理者に対応しており、ある管理者が現在の一連のトランザク
ションをロックすると、別の管理者はロックが解除されるまで設定変更やコミット操作ができ
なくなります。以下のタイプのロックがサポートされています。

コンフィグロック — 他の管理者が設定を変更できないようにブロックします。このタイプの
ロックは、グローバルに設定することも、1 つの仮想システムに設定することもできます。
このロックを解除できるのは、ロックを設定した管理者またはシステムのスーパーユーザー
だけです。

コミットロック — すべてのロックが解除されるまで他の管理者が変更をコミットできないよ
うにブロックします。このタイプのロックでは、2 人の管理者が同時に変更を行い、2 番目
の管理者が変更を完了させる前に最初の管理者が変更を完了させてコミットするときに生じ
る可能性がある競合を回避します。ロックは、ロックを適用した管理者によって現在の変更
がコミットされたときに解除されます。または手動で解除することもできます。
すべての管理者は、ロックウィンドウを開いて、ロックされている現在のトランザクションを
それぞれのタイムスタンプと共に表示できます。
デバイス管理
57
管理インターフェイス
デバイス管理
トランザクションをロックするには、上部のバーにあるロック解除アイコン
をクリックし
て [ ロック ] ダイアログボックスを開きます。[ ロック設定 ] をクリックし、ドロップダウンリ
ストからロックの範囲を選択して [OK] をクリックします。必要に応じてロックを追加し、[ 閉
じる ] をクリックして [ ロック ] ダイアログボックスを閉じます。
トランザクションがロックされて、上部のバーにあるアイコンがロックアイコンに変わり、
ロックされている項目の数がかっこ内に表示されます。
トランザクションのロックを解除するには、上部のバーにあるロックアイコンをクリック
して [ ロック ] ウィンドウを開きます。解除するロックの
アイコンをクリックし、[ はい ] を
クリックして確定します。[閉じる] をクリックして、[ロック] ダイアログボックスを閉じます。
コミットロックを自動実施するには、[Device] タブの [ セットアップ ] ページで、[ 管理 ] 領域
の [ コミットロックの自動実施 ] チェックボックスをオンにします。
58
デバイス管理
デバイス管理
管理インターフェイス
コマンドラインインターフェイス (CLI) の使用
PAN-OS CLI により、ファイアウォールおよび Panorama のデバイスにアクセスし、状態と設定
情報を表示し、設定を変更することができます。PAN-OS CLI には、SSH や Telnet によって、ま
たはコンソールから直接アクセスできます。
以下のトピックでは、PAN-OS CLI にアクセスする方法と PAN-OS CLI の使用方法を説明します。

PAN-OS CLI へのアクセス

操作モードと設定モード
CLI の詳細は、『PAN-OS Command Line Interface Reference Guide（PAN-OS コマンドラインインター
フェイスリファレンスガイド）』を参照してください。
PAN-OS CLI へのアクセス
操作を開始する前に、ファイアウォールがインストールされており、SSH、Telnet、またはコン
ソール直接接続が確立されていることを確認してください。
コンソール直接接続には、以下の設定を使用します。
• データ速度 : 9600
• データビット : 8
• パリティ: なし
• ストップビット : 1
• フロー制御 : なし
PAN-OS CLI へのアクセス
1.
コンソール接続を開きます。
2.
管理者のユーザー名を入力します。デフォルトは admin です。
3.
管理者のパスワードを入力します。デフォルトは admin です。
4.
PAN-OS CLI が操作モードで開き、CLI プロンプトが表示されます。
username@hostname>
デバイス管理
59
管理インターフェイス
デバイス管理
操作モードと設定モード
ログインすると、PAN-OS CLI は操作モードで開きます。操作モードと設定モードは、いつでも
切り替えることができます。システムの状態の表示、PAN-OS CLI への移動、設定モードへの切
り替えには、操作モードを使用します。設定階層の表示と変更には、設定モードを使用します。

操作モードから設定モードに切り替えるには、configure コマンドを使用します。
username@hostname> configure
Entering configuration mode
[edit]
username@hostname#

設定モードを終了して操作モードに戻るには、quit または exit コマンドを使用します。
username@hostname# quit
Exiting configuration mode
username@hostname>

設定モードの状態のまま操作モードのコマンドを入力するには、run コマンドを使用します。
例:
username@hostname# run ping host 1.1.1.2
PING 1.1.1.1 (1.1.1.1) 56(84) bytes of data
...
username@hostname#

操作モードコマンドを特定の VSYS に向けて発行するには、ターゲット VSYS を以下のコマ
ンドを使用して指定します。
username@hostname# set system setting target-vsys <vsys_name>
60
デバイス管理
デバイス管理
管理インターフェイス
XML API の使用
Palo Alto Networks XML API では、標準の HTTP 要求を使用してデータを送受信しており、デバ
イス上の複数のタイプのデータにアクセスできます。そのため容易に他のシステムと統合した
り、そのシステムで使用したりすることができます。ファイアウォールまたは Panorama の設定
の表示、XML 形式でのレポートデータの抽出、および操作コマンドの実行には、XML ベース
の管理 API を使用します。API 呼び出しは、cURL や wget などのコマンドラインユーティリ
ティから直接実行したり、RESTful サービスをサポートする任意のスクリプトまたはアプリ
ケーションフレームワークを使用して実行することができます。コマンドラインツールで API
を使用する場合は、HTTP GET と POST の両方のメソッドがサポートされます。
XML API を使用するには、API キーを生成する必要があります。API キーにより、ファイア
ウォール、アプリケーション、または Panorama に対してユーザーを認証します。API キーを生
成した後は、そのキーを使用して、デバイス設定と操作タスクを実行し、レポートおよびログ
を取得し、ファイルのインポートとエクスポートを行うことができます。API キーの生成ス
テップについては、「API キーの生成」を参照してください。
以下の表に、API 要求の URL 構造を示します。
PAN-OS バージョン
XML API の URL 構造
PAN-OS 4.1.0 より前
http(s)://hostname/esp/restapi.esp?request-parameters-values
PAN-OS 4.1.0 以降
http(s)://hostname/api/?request-parameters-values
URL 構造の項目の定義 :
• hostname — デバイスの IP アドレスまたはドメイン名。
• request-parameters-values — アンパサンド (&) で区切られた一連の複数の ‘parameter=value’ のペア。
これらの値は、標準または XML 形式のキーワードまたはデータ値のいずれかです（応答データ
は常に XML 形式です）。
PAN-OS、User-ID、および WildFire 製品用の API があります。API インターフェイスの使用方法
についての詳細は、『PAN-OS XML API Usage Guide』（英語）を参照してください。スクリプ
トを開発するためにオンラインコミュニティにアクセスするには、以下にアクセスしてくださ
い。『https://live.paloaltonetworks.com/community/devcenter』。
API キーの生成
API を使用してファイアウォールまたはアプリケーションを管理する場合は、すべての API 呼
び出しを認証するために API キーが必要です。API キーの生成には管理者アカウントの資格情
報が使用されます。
ベストプラクティスとして、XML ベースの管理用に別個の管理者アカウントを作成します。
デバイス管理
61
管理インターフェイス
デバイス管理
API キーの生成
ステップ 1
ステップ 2
管理者アカウントを作成し
ます。
API キーを要求します。
5.
Web インターフェイスの [Device] > [ 管理者 ] で、[ 追
加 ] をクリックします。
6.
管理者のログイン名を [ 名前 ] フィールドに入力し
ます。
7.
管理者のパスワードを [ パスワード ] フィールドに入力
し、確認します。
8.
[OK]、[ コミット ] の順にクリックします。
以下の URL の hostname、username、および password の各パ
ラメータを、管理者アカウントの資格情報の該当する値で
置き換えます。
http(s)://hostname/api/?type=keygen&user=username&pas
sword=password
API キーは XML ブロックに表示されます。例 :
<response status="success">
<result>
<key>0RgWc42Oi0vDx2WRUIUM6A</key>
</result>
</response>
ステップ 3
62
（任意）API キーを無効にする 1.
か、または変更します。
[Device] > [ 管理者 ] で、その API キーに関連付けられ
ている管理者アカウントを開きます。
PAN-OS 4.1.0 以降のリリースで 2.
は、同じ管理者アカウントの
認証情報を使用して API キー 3.
を生成すると、毎回一意の API
キーが返され、そのすべての
キーが有効になります。
管理者アカウントの新しい [ パスワード ] を入力して確
認します。
管理者アカウントに関連付け 4.
られているパスワードを変更
することにより、その管理者
アカウントに関連付けられて
いる API キーを無効にしてか
ら変更する方法を選択できま
す。以前の認証情報を使用し
て生成された API キーは、す
べて有効ではなくなります。
（任意）更新された管理者アカウントの認証情報を
使用して、新しい API キーを生成します。ステップ 2
を参照してください。
[OK]、[ コミット ] の順にクリックします。
パスワードの変更前に管理者アカウントに関連付けら
れていたすべての API キーは、コミットするときに無
効になります。
デバイス管理
デバイス管理
管理インターフェイス
API キーの生成（続き）
API キーを使用したワークフローの例 :
以下のように、Web ブラウザに適切な値を指定した URL を入力することにより、API キーを要求します。
https://10.xx.10.50/esp/restapi.esp?type=keygen&user=admin&password=admin
URL を入力すると、API キーが含まれる XML ブロックが表示されます。
<response status="success">
<result>
<key>0RgWc42Oi0vDx2WRUIUM6A</key>
</result>
</response>
引き続き API キーを使用して API 要求を作成します。たとえば、レポートを生成するには以下のように
指定します。
https://10.xx.10.50/esp/restapi.esp?type=report&reporttype=dynamic&reportname
=top-app-summary&period=last-hour&topn=5&key=0RgWc42Oi0vDx2WRUIUM6A=
デバイス管理
63
ファイアウォール管理者の管理
デバイス管理
ファイアウォール管理者の管理
すべての Palo Alto Networks ファイアウォールおよびアプライアンスには、デフォルトの管理アカ
ウント (admin) が事前設定されています。このアカウントには、デバイスに対する読み取りと書き
込みのフルアクセス権（スーパーユーザーアクセス権としても知られる）が付与されています。
ベストプラクティスとして、ファイアウォールの管理機能またはレポート機能へのアクセス権
を必要とするユーザーごとに別個の管理アカウントを作成します。これにより、無権限での設
定（または変更）からデバイスを保護する能力を高め、個々の管理者のアクションをログに記
録することができます。
以下のトピックでは、管理アカウントをセットアップするためのさまざまな方法について説明
し、基本的な管理アクセス権限のセットアップ手順を示します。

管理ロール

管理認証

管理アカウントの作成
管理ロール
管理者アカウントの設定方法は、組織内でのセキュリティ要件、統合可能な既存の認証サービ
スがあるかどうか、および必要な管理ロールの種類に応じて異なります。ロールにより、関連
付けられた管理者のシステムに対するアクセス権のタイプを定義します。次の 2 つのタイプの
ロールを割り当てることができます。

動的ロール —「スーパーユーザー」、「スーパーユーザー（読み取り専用）」、「デバイス
の管理者」、「デバイスの管理者（読み取り専用）」、「仮想システム管理者」、および
「仮想システム管理者（読み取り専用）」にファイアウォールへのアクセスを付与する組み
込みロール。ダイナミックロールの場合は自動的に更新されるため、新機能が追加されたと
きにロールの定義を更新することについて心配する必要がありません。

管理ロールプロファイル — Web インターフェイス、CLI、または XML API のさまざまな機
能領域へのアクセスをよりきめ細かく制御するため、独自のロール定義を作成できます。た
とえば、Web インターフェイスのデバイスとネットワークの設定領域へのアクセスを許可す
る管理ロールプロファイルを操作スタッフ用に、またセキュリティポリシー定義、ログ、
およびレポートへのアクセスを許可する別個のプロファイルをセキュリティ管理者用に作成
できます。管理ロールプロファイルを使用する場合は、製品に追加される新しい機能 / コン
ポーネントの特権を明示的に割り当てるため、プロファイルを更新する必要があることに注
意してください。カスタム管理者ロール用に設定可能な権限の詳細は、「リファレンス : Web
インターフェイス管理者のアクセス権限」を参照してください。
64
デバイス管理
デバイス管理
ファイアウォール管理者の管理
管理認証
管理ユーザーは次の 4 つの方法で認証できます。

ローカル認証によるローカル管理者アカウント — 管理者アカウント認証情報と認証方式の両
方がファイアウォールに対してローカルです。ローカル管理者アカウントは、パスワードの
有効期間を定義するパスワードプロファイルを作成し、デバイス全体でのパスワード複雑性
設定を行うことにより、安全性を高めることができます。

SSL ベース認証によるローカル管理者アカウント — このオプションでは、ファイアウォール
で管理者アカウントを作成しますが、認証は SSH 証明書（CLI アクセスの場合）またはクラ
イアント証明書 / 共通アクセスカード（Web インターフェイスの場合）に基づいて処理され
ます。このタイプの管理アクセス権の設定方法については、『How to Configure Certificate-based
Authentication for the WebUI』の記事を参照してください。

外部認証によるローカル管理者アカウント — この管理者アカウントはローカルファイアウォー
ルで管理されますが、認証機能の負荷は既存の LDAP、Kerberos、または RADIUS サービス
に割り振られます。このタイプのアカウントを設定するには、まず外部認証サービスへのア
クセス方法を定義する認証プロファイルを作成し、次にそのプロファイルを参照する管理者
ごとにアカウントを作成する必要があります。

外部管理者アカウントと認証 — アカウント管理者と認証は、外部 RADIUS サーバーによって
処理されます。このオプションを使用するには、RADIUS サーバーで、管理ロールにマップ
されるベンダー固有属性 (VSA)、および任意で、Palo Alto Networks デバイスで定義した仮想
システムオブジェクトを定義する必要があります。このタイプの管理アクセス権の設定方法
については、『Radius Vendor Specific Attributes (VSA)』の記事を参照してください。
管理アカウントの作成
管理アカウントを作成して、ファイアウォール管理者のアクセス権と管理権限を定義します。
一般的に、特定の管理タスクは、さまざまなロールを持つ特定の管理者に委任されるため、管
理者が、各自のジョブを実行するために必要な管理インターフェイスの領域のみにアクセスで
きるようにする管理者ロールプロファイルを作成することをお勧めします。作成したさまざま
なロールを個々の管理者アカウントに割り当て、各管理インターフェイス（Web インターフェ
イス、CLI（コマンドラインインターフェイス）、XML ベースの管理 API）へのアクセス権限
を指定できます。アクセス権限を詳細に指定した管理者ロールを作成することで、機密性の高
い企業データとエンドユーザーのプライバシーが保護されます。
以下の手順では、ローカル認証を含むローカル管理者アカウントを作成する方法を説明しま
す。各管理インターフェイスへの管理者アクセス権の設定方法も取り上げます。
デバイス管理
65
ファイアウォール管理者の管理
デバイス管理
ローカル管理者の作成
ステップ 1
管理者に割り当てる予定の管理
者ロールプロファイルを作成
します（これは、動的ロールを
使用する場合には適用されませ
ん）。管理者ロールプロファ
イルでは、ロールを割り当てる
管理者ごとに、Web インター
フェイス、CLI、および XML
API のさまざまなセクションに
対して付与するアクセス権限の
タイプを定義します。
作成するロールごとに以下の手順を実行します。
1. [Device] > [ 管理者ロール ] の順に選択して [ 追加 ] を
クリックします。
2.
[ 名前 ] フィールドに名前を入力し、必要に応じて [ 内
容 ] フィールドにロールの説明を入力します。
3.
[Web UI]、[ コマンドライン ]、および [XML API] タブで
は、各管理インターフェイスへのアクセス権を指定し
ます。
• [Web UI] または [XML API] タブで、アイコンをク
リックして必要な設定に切り替えることにより、イ
ンターフェイスの機能領域ごとにアクセスレベル
（[ 有効化 ]、[ 読み取り専用 ]、[ 無効化 ]）を設定し
ます。
このステップを使用して、Web
インターフェイスのユーザー
に付与する、特に詳細な権限
を設定することができます。
[Web UI] タブで有効になる特
定のオプションの詳細は、
「Web インターフェイスのア
クセス権限」を参照してくだ
さい。
• [ コマンドライン ] タブで、CLI に許可するアクセス
権限のタイプを指定します。たとえば、デバイスの
ロールの場合には [superreader]、[deviceadmin]、
または [devicereader] に、仮想システムのロールの
場合には [vsysadmin] または [vsysreader] に、CLI
アクセスを全体的に無効にする場合には [ なし ] に指
定します。
4.
[OK] をクリックしてプロファイルを保存します。
たとえば、XML API を使用したデバイスへの管理者フル
アクセス権を許可し、ファイルのインポートおよびエクス
ポートは除外する場合は、以下のように指定します。
66
デバイス管理
デバイス管理
ファイアウォール管理者の管理
ローカル管理者の作成（続き）
ステップ 2
（任意）ローカルのユーザー • パスワードプロファイルの作成 — 管理者がパスワード
定義パスワードの要件を設定
を変更しなければならない頻度を定義します。複数のパ
します。
スワードプロファイルを作成し、必要に応じて管理者ア
カウントに適用して必要なセキュリティを確保できま
す。パスワードプロファイルを作成するには、[Device] >
[ パスワードプロファイル ] の順に選択して、[ 追加 ] を
クリックします。
• パスワード複雑性の設定 — パスワードの複雑性を制御す
るルールを定義し、推測や解読が困難で、破られにくい
パスワードを管理者が作成するよう強制できます。個々
のアカウントに適用可能なパスワードプロファイルとは
異なり、これらのルールはデバイス全体に影響し、すべ
てのパスワードに適用されます。設定を行うには、
[Device] > [ セットアップ ] の順に選択し、[ パスワード複
雑性設定 ] セクションで [ 編集 ] をクリックします。
ステップ 3
デバイス管理
管理者ごとにアカウントを作 1.
成します。
[Device] > [ 管理者 ] の順に選択して [ 追加 ] をクリッ
クします。
2.
管理者ユーザーの [ 名前 ] と [ パスワード ] を入力する
か、外部の認証サーバーに対して管理ユーザーの資格
情報の有効性を確証するために使用する [ 認証プロファ
イル ] を作成します。認証プロファイルのセットアップ
方法の詳細は、ステップ 4 を参照してください。
3.
この管理者に割り当てる [ ロール ] を選択します。事前
定義の動的ロールのいずれかを選択するか、ステッ
プ 1 で作成した場合にはカスタムのロールベースのプ
ロファイルを選択できます。
4.
（任意）[ パスワードプロファイル ] を選択します。
5.
[OK] をクリックしてアカウントを保存します。
67
ファイアウォール管理者の管理
デバイス管理
ローカル管理者の作成（続き）
ステップ 4
（任意）外部サーバーに対する 1.
認証方式（LDAP、RADIUS、ま
たは Kerberos）を設定します。 2.
サーバープロファイルでは、
使用する予定の認証サービス 3.
にファイアウォールが接続す
る方法を指定します。
[Device] > [ 認証プロファイル ] の順に選択し、[ 追加 ]
をクリックします。
認証プロファイルの識別に使用するユーザーの [ 名前 ]
を入力します。
管理ユーザーのロックアウト条件を定義します。
a. [ ロックアウト時間 ] に値を入力します。これは、最
大許容ログイン回数に達した場合にユーザーをロッ
クアウトする時間（0 ～ 60 分、デフォルトは 0）で
す。0 を指定すると、手動でロック解除するまで
ロックアウト状態が続きます。
b. [ 許容ログイン回数 ] に値を入力します。これは、ア
カウントがロックアウトするまでの最大許容ログイ
ン回数です（1 ～ 10、デフォルトは 0）。デフォル
トの許容ログイン回数は 0 で、認証が繰り返し失敗
してもユーザーはロックアウトされません。
4.
認証を明示的に許可するユーザーとグループを指定し
ます。[ 許可リスト ] を認証プロファイルに追加するこ
とで、ユーザーグループ / ディレクトリ内の特定の
ユーザーにアクセスを制限できます。
• すべてのユーザーを許可するには、[All] チェックボッ
クスをオンにします。
• [ 追加 ] をクリックし、フィールドに名前の最初の数
文字を入力すると、その文字で始まるユーザーおよ
びユーザーグループがすべて表示されます。必要な
数のユーザー/ ユーザーグループの追加を繰り返し
ます。
5.
[ 認証 ] ドロップダウンで、ネットワークで使用する予
定の認証のタイプを選択します。
ローカルデータベース認証を使用する場合は、ローカ
ルデータベースを作成する必要があります。[Device] >
[ ローカルユーザーデータベース ] の順に選択し、認証
するユーザーおよびグループを追加します。
ステップ 5
68
変更をコミットします。
6.
外部の認証サーバー（ローカルデータベースではない）
へのアクセス用に、[ サーバープロファイル ] ドロップ
ダウンで適切なサーバープロファイルを選択します。
新しいサーバープロファイルを作成するには、[ 新規 ]
の横のリンクをクリックし、[LDAP]、[RADIUS]、
または [Kerberos] サーバーへのアクセスの設定に進み
ます。
7.
[OK] をクリックします。
1.
[ コミット ] をクリックします。
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
リファレンス : Web インターフェイス管理者のアクセス
権限
動的管理者ロールに関連付けられている権限が固定されている間は、カスタム管理者ロールの
詳細レベルで権限を設定することができます。詳細レベルで権限を設定することにより、下位
レベルの管理者が特定の情報にアクセスできないようにすることができます。ファイアウォー
ル管理者（「管理アカウントの作成」を参照）、Panorama 管理者、または [ デバイスグループ
とテンプレート ] 管理者（『Panorama 管理者ガイド』を参照）のカスタムロールを作成できま
す。以下のトピックでは、カスタム管理者ロールに設定可能な権限について説明します。

Web インターフェイスのアクセス権限

Panorama Web インターフェイスのアクセス
Web インターフェイスのアクセス権限
ロールベース管理者が Web インターフェイスの特定のタブにアクセスできないようにする場合
は、そのタブを無効にし、管理者が自分に関連付けられているロールベースの管理アカウント
を使用してログインしたときにそのタブが表示されないようにすることができます。たとえ
ば、操作スタッフ用に [Device] および [Network] タブへのアクセスのみを許可する管理者ロー
ルプロファイルを作成し、セキュリティ管理者用に [Objects]、[Policy]、および [Monitor] タ
ブへのアクセスを許可する別の管理者ロールプロファイルを作成することができます。
以下の表に、管理者ロールプロファイルに割り当てることができるタブレベルのアクセス権限
の説明を示します。また、タブ内でのより詳細な権限について詳しく説明した追加の表への相
互参照も示されています。管理者ロールプロファイルを設定してエンドユーザーのプライバ
シーを守る方法の詳細は、「管理者ロールプロファイルでのユーザーのプライバシー設定の定
義」を参照してください。
アクセスレベル
説明
ダッシュボード
ACC
デバイス管理
有効化
読み取り
専用
無効化
[Dashboard] タブへのアクセスを制御します。こはい
の権限を無効にすると、その管理者にはこのタ
ブが表示されなくなり、[Dashboard] ウィジェッ
トのいずれにもアクセスできません。
いいえ
はい
アプリケーションコマンドセンター (ACC) へはい
のアクセスを制御します。この権限を無効にす
ると、[ACC] タブが Web インターフェイスに表
示されなくなります。ACC へのアクセス権限
を与えると同時にユーザーのプライバシーを守
るには、[ 専用 ] > [ 完全 IP アドレスの表示 ] オ
プションまたは [ ログおよびレポート内のユー
ザー名の表示 ] オプションを無効にすることが
できます。
いいえ
はい
69
リファレンス : Web インターフェイス管理者のアクセス権限
アクセスレベル
説明
モニター
デバイス管理
読み取り
専用
無効化
[Monitor] タブへのアクセスを制御します。こはい
の権限を無効にすると、その管理者には
[Monitor] タグが表示されなくなり、ログ、パ
ケットキャプチャ、セッション情報、レポー
ト、またはアプリケーションスコープのいず
れにもアクセスできません。管理者が表示でき
るモニタリング情報をより詳細に制御するに
は、[ モニター] オプションを有効にしたまま
で、「[Monitor] タブに対する詳細なアクセス権
限の付与」での説明に従ってタブ上の特定の
ノードを有効または無効にします。
いいえ
はい
ポリシー
[Policies] タブへのアクセスを制御します。こはい
の権限を無効にすると、その管理者には
[Policies] タブが表示されなくなり、どのポリ
シー情報にもアクセスできません。たとえば、
特定のタイプのポリシーへのアクセスを有効に
する、またはポリシー情報への読み取り専用ア
クセスを有効にするなど、管理者が表示できる
ポリシー情報をより詳細に制御するには、
[Policies] オプションを有効にしたままで、
「[Policies] タブに対する詳細なアクセス権限の
付与」での説明に従ってタブ上の特定のノード
を有効または無効にします。
いいえ
はい
オブジェクト
[Objects] タブへのアクセスを制御します。こはい
の権限を無効にすると、その管理者には
[Objects] タブが表示されなくなり、オブジェ
クト、セキュリティプロファイル、ログ転送
プロファイル、復号プロファイル、またはスケ
ジュールのいずれにもアクセスできません。管
理者が表示できるオブジェクトをより詳細に制
御するには、[Objects] オプションを有効にし
たままで、「[Objects] タブに対する詳細なアク
セス権限の付与」での説明に従ってタブ上の特
定のノードを有効または無効にします。
いいえ
はい
70
有効化
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセスレベル
説明
ネットワーク
デバイス
有効化
読み取り
専用
無効化
[Network] タブへのアクセスを制御します。こはい
の権限を無効にすると、その管理者には
[Network] タブが表示されなくなり、インター
フェイス、ゾーン、VLAN、バーチャルワイ
ヤー、仮想ルーター、IPsec トンネル、DHCP、
DNS プロキシ、GlobalProtect、QoS 設定情報、
またはネットワークプロファイルのいずれに
もアクセスできません。管理者が表示できるオ
ブジェクトをより詳細に制御するには、
[Network] オプションを有効にしたままで、
「[Network] タブに対する詳細なアクセス権限
の付与」での説明に従ってタブ上の特定のノー
ドを有効または無効にします。
いいえ
はい
[Device] タブへのアクセスを制御します。このはい
権限を無効にすると、その管理者には [Device]
タブが表示されなくなり、User-ID、高可用
性、サーバープロファイル、または証明書設
定情報などのデバイス全体の設定情報のいずれ
にもアクセスできません。管理者が表示できる
オブジェクトをより詳細に制御するには、
[Objects] オプションを有効にしたままで、
「[Device] タブに対する詳細なアクセス権限の
付与」での説明に従ってタブ上の特定のノード
を有効または無効にします。
いいえ
はい
[Device] タブへのフルアクセス権限を有
効にしていても、[ 管理者ロール ] または
[ 管理者 ] ノードに対するロールベース管
理者のアクセス権限を有効にすることは
できません。
[Monitor] タブに対する詳細なアクセス権限の付与
管理者が表示できる [Monitor] タブのエリアを、そのすべてではなく一部に制限したい場合もあ
ります。たとえば、管理者の操作を、機密性の高いユーザーデータが含まれていない設定およ
びシステムログのみに制限する場合などです。管理者ロール定義のこのセクションでは管理者
が表示できる [Monitor] タブのエリアを指定しますが、このセクションに含まれる権限を、ログ
やレポートでユーザー名を表示する権限を無効にするなどの [ 専用 ] の権限と組み合わせること
もできます。ただし、管理者ロールでユーザー名と IP アドレスの表示を無効にしても、システ
ム生成のレポートにはユーザー名と IP アドレスが表示されます。したがって、管理者がユー
ザーの個人情報を一切表示することができないようにする場合は、以下の表に示す詳細に従っ
て特定のレポートへのアクセス権限を無効にする必要があります。
デバイス管理
71
リファレンス : Web インターフェイス管理者のアクセス権限
デバイス管理
以下の表に、[Monitor] タブのアクセスレベル、およびそのレベルで設定可能な管理者ロール
の一覧を示します。
アクセスレベル
説明
設定可能な管理者ロール
有効化
読み取
りのみ
無効化
モニター
[Monitor] タブへのアクセス権限を有
効または無効にします。無効にする
と、その管理者には、このタブとこ
のタブに関連付けられているログま
たはレポートのすべてが表示されな
くなります。
ファイアウォール : はい
はい
いいえ
はい
はい
いいえ
はい
はい
いいえ
はい
はい
いいえ
はい
はい
いいえ
はい
管理者が WildFire ログを表示できるファイアウォール : はいはい
かどうかを指定します。これらのロ Panorama: はい
グは、WildFire サブスクリプションを
デバイスグループ / テン
持っている場合にのみ表示できます。
プレート : はい
いいえ
はい
ログ
トラフィック
すべてのログファイルへのアクセス
権限を有効または無効にします。こ
の権限を有効にしたままで、管理者
に表示されないようにする特定のロ
グを無効にすることもできます。1 つ
以上のログに対するアクセス権限を
与えると同時にユーザーのプライバ
シーを守るには、[ 専用 ] > [ 完全 IP ア
ドレスの表示 ] オプションまたは [ ロ
グおよびレポート内のユーザー名の
表示 ] オプションを無効にすることが
できます。
Panorama: はい
デバイスグループ / テン
プレート : はい
ファイアウォール : はい
Panorama: はい
デバイスグループ / テン
プレート : はい
管理者がトラフィックログを表示でファイアウォール : はい
きるかどうかを指定します。
Panorama: はい
デバイスグループ / テン
プレート : はい
脅威
管理者が脅威ログを表示できるかどファイアウォール : はい
うかを指定します。
Panorama: はい
デバイスグループ / テン
プレート : はい
URL
フィルタリング
管理者が URL フィルタリングログをファイアウォール : はい
表示できるかどうかを指定します。 Panorama: はい
デバイスグループ / テン
プレート : はい
WildFire への
送信
72
デバイス管理
デバイス管理
アクセスレベル
リファレンス : Web インターフェイス管理者のアクセス権限
説明
設定可能な管理者ロール
データフィルタ管理者がデータフィルタリングログファイアウォール : はい
リング
を表示できるかどうかを指定します。 Panorama: はい
有効化
読み取
りのみ
無効化
はい
いいえ
はい
はい
いいえ
はい
はい
いいえ
はい
はい
いいえ
はい
はい
いいえ
はい
はい
はい
はい
デバイスグループ / テン
プレート : はい
HIP マッチ
設定
管理者が HIP マッチログを表示でき
るかどうかを指定します。HIP マッ
チログは、GlobalProtect ポータルラ
イセンスとゲートウェイサブスクリ
プションを持っている場合にのみ表
示されます。
ファイアウォール : はい
Panorama: はい
デバイスグループ / テン
プレート : はい
管理者が設定ログを表示できるかどファイアウォール : はい
うかを指定します。
Panorama: はい
デバイスグループ / テン
プレート : いいえ
システム
管理者がシステムログを表示できるファイアウォール : はい
かどうかを指定します。
Panorama: はい
デバイスグループ / テン
プレート : いいえ
アラーム
管理者がシステム生成のアラームをファイアウォール : はい
表示できるかどうかを指定します。 Panorama: はい
デバイスグループ / テン
プレート : はい
パケット
キャプチャ
デバイス管理
管理者が [Monitor] タブでパケット
キャプチャ (pcap) を表示できるかど
うかを指定します。パケットキャプ
チャは生のフローデータであり、そ
のためユーザーの IP アドレスが含ま
れている可能性があることに注意して
ください。[ 完全 IP アドレスの表示 ]
権限を無効にしても pcap 内の IP アド
レスが識別不能になることはないた
め、ユーザーのプライバシーの侵害
が懸念される場合はパケットキャプ
チャ権限を無効にしてください。
ファイアウォール : はい
Panorama: いいえ
デバイスグループ / テン
プレート : いいえ
73
リファレンス : Web インターフェイス管理者のアクセス権限
アクセスレベル
説明
デバイス管理
設定可能な管理者ロール
有効化
読み取
りのみ
無効化
アプリケーション管理者がアプリケーションスコープファイアウォール : はい
スコープ
の可視化ツールと分析ツールを表示 Panorama: はい
はい
いいえ
はい
ファイアウォール : はい
はい
いいえ
はい
はい
はい
はい
できるかどうかを指定します。アプ
リケーションスコープを有効にするデバイスグループ / テン
プレート : はい
と、[ アプリケーションスコープ ] の
すべてのグラフに対するアクセス権
限が有効になります。
セッション
ブラウザ
ボットネット
74
ファイアウォール上で現在実行中の
セッションを管理者が参照および
フィルタリングできるかどうかを指
定します。セッションブラウザには
生のフローデータが表示され、その
ためユーザーの IP アドレスが含まれ
ている可能性があることに注意して
ください。[ 完全 IP アドレスの表示 ]
権限を無効にしてもセッションブラ
ウザ内の IP アドレスが識別不能にな
ることはないため、ユーザーのプラ
イバシーの侵害が懸念される場合は
[ セッションブラウザ ] 権限を無効に
してください。
管理者がボットネット分析レポート
を生成および表示できるか、または
ボットネットレポートを読み取り専
用モードで表示できるかどうかを指
定します。[ 完全 IP アドレスの表示 ]
権限を無効にしてもスケジュール設
定されたボットネットレポート内の
IP アドレスが識別不能になることは
ないため、ユーザーのプライバシー
の侵害が懸念される場合は [ ボット
ネット ] 権限を無効にしてください。
Panorama: いいえ
デバイスグループ / テン
プレート : いいえ
ファイアウォール : はい
Panorama: いいえ
デバイスグループ / テン
プレート : いいえ
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセスレベル
説明
設定可能な管理者ロール
有効化
読み取
りのみ
無効化
PDF レポート
すべての PDF レポートへのアクセス
権限を有効または無効にします。こ
の権限を有効にしたままで、管理者
に表示されないようにする特定の
PDF レポートを無効にすることもで
きます。1 つ以上のレポートに対する
アクセス権限を与えると同時にユー
ザーのプライバシーを守るには、[ 専
用 ] > [ 完全 IP アドレスの表示 ] オプ
ションまたは [ ログおよびレポート内
のユーザー名の表示 ] オプションを無
効にすることができます。
ファイアウォール : はい
はい
いいえ
はい
PDF サマリーの管理者が、PDF サマリーレポートのファイアウォール : はい
管理
定義を表示、追加、または削除でき Panorama: はい
はい
はい
はい
ファイアウォール : はい
はい
いいえ
はい
はい
はい
はい
Panorama: はい
デバイスグループ / テン
プレート : いいえ
るかどうかを指定します。読み取り
デバイスグループ / テン
専用アクセス権限を持っている場
合、管理者は、PDF サマリーレポープレート : いいえ
トの定義を表示できますが、追加ま
たは削除することはできません。こ
のオプションを無効にすると、管理
者は、レポートの定義を表示した
り、それらの定義を追加/削除したり
することができなくなります。
PDF サマリー
レポート
ユーザー
アクティビティ
レポート
デバイス管理
管理者が生成された PDF サマリーレ
ポートを [Monitor] > [ レポート ] で表
示できるかどうかを指定します。この
オプションを無効にすると、[ レポー
ト ] ノードに [PDF サマリーレポート ]
カテゴリが表示されなくなります。
管理者が、ユーザーアクティビティ
レポートの定義を表示、追加、また
は削除し、そのレポートをダウン
ロードすることができるかどうかを
指定します。読み取り専用アクセス
権限を持っている場合、管理者は、
ユーザーアクティビティレポートの
定義を表示できますが、追加、削
除、またはダウンロードすることは
できません。このオプションを無効
にすると、管理者はこのカテゴリの
PDF レポートを表示することができ
ません。
Panorama: はい
デバイスグループ / テン
プレート : いいえ
ファイアウォール : はい
Panorama: はい
デバイスグループ / テン
プレート : いいえ
75
リファレンス : Web インターフェイス管理者のアクセス権限
デバイス管理
アクセスレベル
説明
設定可能な管理者ロール
有効化
読み取
りのみ
無効化
レポート
グループ
管理者が、レポートグループの定義
を表示、追加、または削除できるか
どうかを指定します。読み取り専用
アクセス権限を持っている場合、管
理者は、レポートグループの定義を
表示できますが、追加または削除す
ることはできません。このオプショ
ンを無効にすると、管理者はこのカ
テゴリの PDF レポートを表示するこ
とができません。
ファイアウォール : はい
はい
はい
はい
管理者が電子メール用のレポートグ
ループをスケジュール設定できるかど
うかを指定します。電子メールで送信
される生成レポートには、[ 専用 ] >
[ 完全 IP アドレスの表示 ] オプション
または [ ログおよびレポート内のユー
ザー名の表示 ] オプションを無効にし
ても除外されないユーザーの機密
データが含まれている可能性があ
り、また管理者がアクセス権限を
持っていないログデータが表示され
る可能性もあるため、ユーザーのプ
ライバシーの侵害が懸念される場合
は、[ 電子メールスケジューラ ] オプ
ションを無効にしてください。
ファイアウォール : はい
はい
はい
はい
電子メール
スケジューラ
76
Panorama: はい
デバイスグループ / テン
プレート : いいえ
Panorama: はい
デバイスグループ / テン
プレート : いいえ
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセスレベル
説明
設定可能な管理者ロール
有効化
読み取
りのみ
無効化
カスタム
レポートの
管理
すべてのカスタムレポート機能への
アクセス権限を有効または無効にし
ます。この権限を有効にしたまま
で、管理者が表示できないようにす
る特定のカスタムレポートカテゴリ
を無効にすることもできます。1 つ以
上のレポートに対するアクセス権限
を与えると同時にユーザーのプライ
バシーを守るには、[ 専用 ] > [ 完全 IP
アドレスの表示 ] オプションまたは
[ ログおよびレポート内のユーザー名
の表示 ] オプションを無効にすること
ができます。
ファイアウォール : はい
はい
いいえ
はい
アプリケーション管理者が、アプリケーション統計ファイアウォール : はい
統計
データベースからのデータを含むカ Panorama: はい
はい
いいえ
はい
データ
管理者が、データフィルタリングロファイアウォール : はい
フィルタリンググのデータを含むカスタムレポート
Panorama: はい
ログ
を作成できるかどうかを指定します。
はい
いいえ
はい
管理者が、脅威ログのデータを含むファイアウォール : はいはい
カスタムレポートを作成できるかど Panorama: はい
うかを指定します。
デバイスグループ / テン
プレート : いいえ
いいえ
はい
Panorama: はい
デバイスグループ / テン
プレート : いいえ
要求時に実行されるレポート
ではなく、スケジュール設定
されているレポートには、IP
アドレスとユーザー情報が表
示されます。この場合は、必
ず該当するレポートエリアへ
のアクセスを制限してくださ
い。また、カスタムレポート
機能では、管理者ロールから
除外されているログに含まれ
ているログデータを含むレポー
トの生成は制限されません。
スタムレポートを作成できるかどう
デバイスグループ / テン
かを指定します。
プレート : いいえ
デバイスグループ / テン
プレート : いいえ
脅威ログ
デバイス管理
77
リファレンス : Web インターフェイス管理者のアクセス権限
アクセスレベル
説明
脅威サマリー
デバイス管理
設定可能な管理者ロール
読み取
りのみ
無効化
管理者が、脅威サマリーデータベーファイアウォール : はいはい
スのデータを含むカスタムレポート Panorama: はい
を作成できるかどうかを指定します。
デバイスグループ / テン
プレート : いいえ
いいえ
はい
トラフィック
ログ
管理者が、トラフィックログのデーファイアウォール : はいはい
タを含むカスタムレポートを作成で Panorama: はい
きるかどうかを指定します。
デバイスグループ / テン
プレート : いいえ
いいえ
はい
トラフィック
サマリー
管理者が、トラフィックサマリーファイアウォール : はいはい
データベースのデータを含むカスタ Panorama: はい
ムレポートを作成できるかどうかを
デバイスグループ / テン
指定します。
プレート : いいえ
いいえ
はい
URL ログ
管理者が、URL フィルタリングログファイアウォール : はいはい
のデータを含むカスタムレポートを Panorama: はい
作成できるかどうかを指定します。
デバイスグループ / テン
プレート : いいえ
いいえ
はい
HIP マッチ
管理者が、HIP マッチログのデータファイアウォール : はいはい
を含むカスタムレポートを作成でき Panorama: はい
るかどうかを指定します。
デバイスグループ / テン
プレート : いいえ
いいえ
はい
スケジュール設
定したカスタム
レポートを表示
管理者が、生成するようにスケファイアウォール : はいはい
ジュール設定されているカスタムレ Panorama: はい
ポートを表示できるかどうかを使用
デバイスグループ / テン
します。
プレート : いいえ
いいえ
はい
いいえ
はい
事前定義済み
管理者がアプリケーションレポーファイアウォール : はい
アプリケーショントを表示できるかどうかを指定し
Panorama: はい
レポートを表示
ます。専用の権限は、[Monitor] > [レ
有効化
はい
ポート ] ノードに表示されるレポートデバイスグループ / テン
プレート : いいえ
に影響しないため、ユーザーのプラ
イバシーを守る必要がある場合はこ
のレポートへのアクセス権限を無効
にしてください。
78
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセスレベル
説明
設定可能な管理者ロール
有効化
読み取
りのみ
無効化
事前定義済み
脅威レポートを
表示
管理者が脅威レポートを表示できる
かどうかを指定します。専用の権限
は、[Monitor] > [ レポート ] ノードに
表示されるレポートに影響しないた
め、ユーザーのプライバシーを守る
必要がある場合はこのレポートへの
アクセス権限を無効にしてください。
ファイアウォール : はい
はい
いいえ
はい
はい
いいえ
はい
はい
いいえ
はい
事前定義済み
URL
フィルタリング
レポートを表示
管理者が URL フィルタリングレポー
トを表示できるかどうかを指定し
ます。専用の権限は、[Monitor] > [レ
ポート ] ノードに表示されるレポート
に影響しないため、ユーザーのプラ
イバシーを守る必要がある場合はこ
のレポートへのアクセス権限を無効
にしてください。
事前定義済み
トラフィック
レポートを
表示
管理者がトラフィックレポートを表
示できるかどうかを指定します。専
用の権限は、[Monitor] > [ レポート ]
ノードに表示されるレポートに影響
しないため、ユーザーのプライバ
シーを守る必要がある場合はこのレ
ポートへのアクセス権限を無効にし
てください。
Panorama: はい
デバイスグループ / テン
プレート : いいえ
ファイアウォール : はい
Panorama: はい
デバイスグループ / テン
プレート : いいえ
ファイアウォール : はい
Panorama: はい
デバイスグループ / テン
プレート : いいえ
[Policies] タブに対する詳細なアクセス権限の付与
管理者ロールプロファイルで [ ポリシー] オプションを有効にすると、定義する管理者ロールに
対して、タブ内の特定のノードを有効または無効にしたり、読み取り専用アクセスを設定した
りできます。特定のポリシータイプへのアクセス権限を有効にすることにより、ポリシールー
ルを表示、追加、または削除する権限を有効にできます。特定のポリシーに対する読み取り専
用アクセス権限を有効にすると、その管理者は対応するポリシールールベースを表示できるよ
うになりますが、ルールを追加または削除することはできません。特定のタイプのポリシーに
対するアクセス権限を無効にすることにより、管理者がポリシールールベースを表示できない
ようにします。
特定のユーザーに基づいた（ユーザー名または IP アドレス）ポリシーは明示的に定義する必要
があるため、完全な IP アドレスやユーザー名を表示する権限を無効にするプライバシーの設定
は [Policies] タブには適用されません。したがって、ユーザーのプライバシー制限から除外され
ている管理者に対してのみ、[Policies] タブへのアクセスを許可する必要があります。
デバイス管理
79
リファレンス : Web インターフェイス管理者のアクセス権限
アクセスレベル
説明
セキュリティ
デバイス管理
有効化
読み取り
専用
無効化
管理者にセキュリティポリシールールの表はい
示、追加、または削除を許可するには、この
権限を有効にします。管理者が、ルールを表
示できても変更できないようにする場合は、
この権限を読み取り専用に設定します。管理
者がセキュリティポリシールールベースを表
示できないようにするには、この権限を無効
にします。
はい
はい
NAT
管理者に NAT ポリシールールの表示、追加、はい
または削除を許可するには、この権限を有効に
します。管理者が、ルールを表示できても変更
できないようにする場合は、この権限を読み取
り専用に設定します。管理者が NAT ポリシー
ルールベースを表示できないようにするに
は、この権限を無効にします。
はい
はい
QoS
管理者に QoS ポリシールールの表示、追加、はい
または削除を許可するには、この権限を有効に
します。管理者が、ルールを表示できても変更
できないようにする場合は、この権限を読み取
り専用に設定します。管理者が QoS ポリシー
ルールベースを表示できないようにするに
は、この権限を無効にします。
はい
はい
ポリシーベースフォ管理者にポリシーベースフォワーディングはい
ワーディング
(PBF) ポリシールールの表示、追加、または削
はい
はい
はい
はい
除を許可するには、この権限を有効にします。
管理者が、ルールを表示できても変更できない
ようにする場合は、この権限を読み取り専用に
設定します。管理者が PBF ポリシールール
ベースを表示できないようにするには、この権
限を無効にします。
復号
80
管理者に復号ポリシールールの表示、追加、はい
または削除を許可するには、この権限を有効に
します。管理者が、ルールを表示できても変更
できないようにする場合は、この権限を読み取
り専用に設定します。管理者が復号ポリシー
ルールベースを表示できないようにするに
は、この権限を無効にします。
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセスレベル
説明
アプリケーション
オーバーライド
有効化
読み取り
専用
無効化
管理者にアプリケーションオーバーライドポはい
リシールールの表示、追加、または削除を許
可するには、この権限を有効にします。管理者
が、ルールを表示できても変更できないように
する場合は、この権限を読み取り専用に設定し
ます。管理者がアプリケーションオーバーラ
イドポリシールールベースを表示できないよ
うにするには、この権限を無効にします。
はい
はい
キャプティブポータル管理者にキャプティブポータルポリシールーはい
はい
はい
はい
はい
ルの表示、追加、または削除を許可するには、
この権限を有効にします。管理者が、ルールを
表示できても変更できないようにする場合は、
この権限を読み取り専用に設定します。管理者
がキャプティブポータルポリシールールベー
スを表示できないようにするには、この権限を
無効にします。
DoS プロテクション
管理者に DoS プロテクションポリシールールはい
の表示、追加、または削除を許可するには、こ
の権限を有効にします。管理者が、ルールを表
示できても変更できないようにする場合は、こ
の権限を読み取り専用に設定します。管理者が
DoS プロテクションポリシールールベースを
表示できないようにするには、この権限を無効
にします。
[Objects] タブに対する詳細なアクセス権限の付与
オブジェクトは、ルール定義を簡素化するために、IP アドレス、URL、アプリケーション、ま
たはサービスなどの特定のポリシーフィルタ値をグループ化するコンテナです。たとえば、ア
ドレスオブジェクトには、DMZ ゾーン内の Web サーバーやアプリケーションサーバーに固有
の IP アドレスの定義が含まれています。
[Objects] タブ全体に対するアクセスを許可するかどうかを決定するときには、その管理者にポ
リシー定義の責任があるかどうかを判別してください。その責任がない場合、おそらくその管
理者はタブにアクセスする必要がありません。ただし、その管理者が今後ポリシーを作成する
必要がある場合は、このタブへのアクセス権限を有効にし、ノードレベルで詳細なアクセス権
限を付与することができます。
特定のノードへのアクセス権限を有効にすることにより、対応するオブジェクトタイプを表
示、追加、および削除する権限を管理者に付与します。読み取り専用アクセス権限が付与され
ると、管理者は、すでに定義済みのオブジェクトを表示できますが、オブジェクトを作成また
は削除することはできません。ノードを無効にすると、管理者は Web インターフェイスでその
ノードを表示することができません。
デバイス管理
81
リファレンス : Web インターフェイス管理者のアクセス権限
アクセスレベル
説明
アドレス
デバイス管理
読み取り
専用
無効化
管理者が、セキュリティポリシーで使用するはい
アドレスオブジェクトを表示、追加、または
削除できるかどうかを指定します。
はい
はい
アドレスグループ
管理者が、セキュリティポリシーで使用するはい
アドレスグループオブジェクトを表示、追
加、または削除できるかどうかを指定します。
はい
はい
地域
管理者が、セキュリティ、復号、または DoS はい
ポリシーで使用する地域オブジェクトを表示、
追加、または削除できるかどうかを指定し
ます。
はい
はい
アプリケーション
管理者が、ポリシーで使用するアプリケーショはい
ンオブジェクトを表示、追加、または削除で
きるかどうかを指定します。
はい
はい
アプリケーション
グループ
管理者が、ポリシーで使用するアプリケーショはい
ングループオブジェクトを表示、追加、また
は削除できるかどうかを指定します。
はい
はい
アプリケーション
フィルタ
管理者が、繰り返し検索を簡単にするためのアはい
プリケーションフィルタを表示、追加、また
は削除できるかどうかを指定します。
はい
はい
サービス
管理者が、アプリケーションで使用可能なポーはい
ト番号を制限するポリシーを作成するときに使
用するサービスオブジェクトを表示、追加、
または削除できるかどうかを指定します。
はい
はい
サービスグループ
管理者が、セキュリティポリシーで使用するはい
サービスグループオブジェクトを表示、追
加、または削除できるかどうかを指定します。
はい
はい
タグ（[Panorama]
のみ）
管理者が、デバイスで定義されているタグを表はい
示、追加、または削除できるかどうかを指定し
ます。
はい
はい
GlobalProtect
管理者が、HIP オブジェクトと HIP プロファイはい
ルを表示、追加、または削除できるかどうかを
指定します。両方のタイプのオブジェクトへの
アクセスを GlobalProtect レベルで制限できま
す。または、GlobalProtect 権限を有効にして
HIP オブジェクトまたは HIP プロファイルへの
アクセスを制限することにより、より詳細な制
御を行うことができます。
いいえ
はい
82
有効化
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセスレベル
説明
HIP オブジェクト
HIP プロファイル
有効化
読み取り
専用
無効化
管理者が、HIP プロファイルの定義で使用されはい
る HIP オブジェクトを表示、追加、または削除
できるかどうかを指定します。HIP オブジェク
トは、HIP マッチログも生成します。
はい
はい
管理者が、セキュリティポリシーで使用されはい
るか、または HIP マッチログの生成で使用さ
れる HIP プロファイルを表示、追加、または削
除できるかどうかを指定します。
はい
はい
ダイナミックブロック管理者が、セキュリティポリシーで使用するはい
リスト
ダイナミックブロックリストを表示、追加、
はい
はい
いいえ
はい
または削除できるかどうかを指定します。
カスタムオブジェクト管理者が、カスタムスパイウェアと脆弱性のはい
シグネチャを表示できるかどうかを指定しま
す。このレベルですべてのカスタムシグネ
チャに対するアクセス権限を有効または無効に
してアクセスを制限できます。または、カスタ
ムオブジェクト権限を有効にして各タイプの
シグネチャへのアクセスを制限することによ
り、より詳細に制御することができます。
データパターン
管理者が、カスタム脆弱性防御プロファイルのはい
作成に使用するカスタムデータパターンシグ
ネチャを表示、追加、または削除できるかどう
かを指定します。
はい
はい
スパイウェア
管理者が、カスタム脆弱性防御プロファイルのはい
作成に使用するカスタムスパイウェアシグネ
チャを表示、追加、または削除できるかどうか
を指定します。
はい
はい
脆弱性
管理者が、カスタム脆弱性防御プロファイルのはい
作成に使用するカスタム脆弱性シグネチャを表
示、追加、または削除できるかどうかを指定し
ます。
はい
はい
URL カテゴリ
管理者が、ポリシーで使用するカスタム URL はい
カテゴリを表示、追加、または削除できるかど
うかを指定します。
はい
はい
デバイス管理
83
リファレンス : Web インターフェイス管理者のアクセス権限
アクセスレベル
説明
セキュリティ
プロファイル
デバイス管理
有効化
読み取り
専用
無効化
管理者がセキュリティプロファイルを表示ではい
きるかどうかを指定します。このレベルですべ
てのセキュリティプロファイルに対するアク
セス権限を有効または無効にしてアクセスを制
限できます。または、セキュリティプロファ
イル権限を有効にして各タイプのプロファイル
へのアクセスを制限することにより、より詳細
に制御することができます。
いいえ
はい
アンチウイルス
管理者が、アンチウイルスプロファイルを表はい
示、追加、または削除できるかどうかを指定し
ます。
はい
はい
アンチスパイウェア
管理者が、アンチスパイウェアプロファイルはい
を表示、追加、または削除できるかどうかを指
定します。
はい
はい
脆弱性防御
管理者が、脆弱性防御プロファイルを表示、追はい
加、または削除できるかどうかを指定します。
はい
はい
URL フィルタリング
管理者が、URL フィルタリングプロファイルはい
を表示、追加、または削除できるかどうかを指
定します。
はい
はい
ファイルブロッキング管理者が、ファイルブロッキングプロファイはい
はい
はい
はい
はい
ルを表示、追加、または削除できるかどうかを
指定します。
データフィルタリング管理者が、データフィルタリングプロファイはい
ルを表示、追加、または削除できるかどうかを
指定します。
DoS プロテクション
管理者が、DoS プロテクションプロファイルはい
を表示、追加、または削除できるかどうかを指
定します。
はい
はい
セキュリティ
プロファイル
グループ
管理者が、セキュリティプロファイルグルーはい
プを表示、追加、または削除できるかどうかを
指定します。
はい
はい
ログ転送
管理者が、ログ転送プロファイルを表示、追はい
加、または削除できるかどうかを指定します。
はい
はい
復号プロファイル
管理者が、復号プロファイルを表示、追加、まはい
たは削除できるかどうかを指定します。
はい
はい
スケジュール
管理者が、セキュリティポリシーを特定の日はい
付または時刻範囲に制限するためのスケジュー
ルを表示、追加、または削除できるかどうかを
指定します。
はい
はい
84
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
[Network] タブに対する詳細なアクセス権限の付与
[Network] タブ全体に対するアクセスを許可するかどうかを決定するときには、その管理者に
GlobalProtect 管理を含むネットワーク管理の責任があるかどうかを判別してください。その責
任がない場合、おそらくその管理者はタブにアクセスする必要がありません。
[Network] タブへのアクセス権限は、ノードレベルで定義することもできます。特定のノード
へのアクセス権限を有効にすることにより、対応するネットワーク設定を表示、追加、および
削除する権限を管理者に付与します。読み取り専用アクセス権限が付与されると、管理者はす
でに定義済みの設定を表示できますが、オブジェクトを作成または削除することはできませ
ん。ノードを無効にすると、管理者は Web インターフェイスでそのノードを表示することがで
きません。
アクセスレベル
説明
インターフェイス
読み取り
専用
無効化
管理者が、インターフェイス設定を表示、追はい
加、または削除できるかどうかを指定します。
はい
はい
ゾーン
管理者が、ゾーンを表示、追加、または削除ではい
きるかどうかを指定します。
はい
はい
VLAN
管理者が、VLAN を表示、追加、または削除ではい
きるかどうかを指定します。
はい
はい
バーチャルワイヤー
管理者が、バーチャルワイヤーを表示、追はい
加、または削除できるかどうかを指定します。
はい
はい
仮想ルーター
管理者が、仮想ルーターを表示、追加、変更、はい
または削除できるかどうかを指定します。
はい
はい
IPSec トンネル
管理者が、IPsec トンネル設定を表示、追加、はい
変更、または削除できるかどうかを指定し
ます。
はい
はい
DHCP
管理者が、DHCP サーバー設定と DHCP リレーはい
設定を表示、追加、変更、または削除できるか
どうかを指定します。
はい
はい
DNS プロキシ
管理者が、DNS プロキシ設定を表示、追加、はい
変更、または削除できるかどうかを指定し
ます。
はい
はい
GlobalProtect
管理者が、GlobalProtect のポータル設定とゲーはい
トウェイ設定を表示、追加、変更できるかどう
かを指定します。GlobalProtect 機能へのアクセ
ス権限を完全に無効にできます。または、
GlobalProtect 権限を有効にして、ポータル設定
エリアかゲートウェイ設定エリアのいずれかに
管理者ロールを制限することもできます。
いいえ
はい
デバイス管理
有効化
85
リファレンス : Web インターフェイス管理者のアクセス権限
アクセスレベル
説明
ポータル
デバイス管理
読み取り
専用
無効化
管理者が、GlobalProtect ポータル設定を表示、はい
追加、変更、または削除できるかどうかを指定
します。
はい
はい
ゲートウェイ
管理者が、GlobalProtect ゲートウェイ設定を表はい
示、追加、変更、または削除できるかどうかを
指定します。
はい
はい
MDM
管理者が、GlobalProtect MDM サーバー設定をはい
表示、追加、変更、または削除できるかどうか
を指定します。
はい
はい
はい
はい
はい
QoS
有効化
ネットワーク
プロファイル
デフォルト状態を設定して、以下で説明するはい
ネットワークの設定すべてを有効または無効に
します。
いいえ
はい
IKE ゲートウェイ
[ネットワークプロファイル] > [IKE ゲートウェはい
イ ] ノードへのアクセスを制御します。この権
限を無効にすると、その管理者には [IKE ゲー
トウェイ ] ノードが表示されず、ピアゲート
ウェイとの IKE プロトコルネゴシエーション
を実行するために必要な設定情報を含め、ゲー
トウェイを定義することができません。
はい
はい
はい
はい
はい
はい
権限状態を読み取り専用に設定すると、管理者
は現在設定されている IKE ゲートウェイを表
示できますが、ゲートウェイを追加または編集
することはできません。
IPSec 暗号
[ネットワークプロファイル] > [IPsec 暗号] ノーはい
ドへのアクセスを制御します。この権限を無効
にすると、その管理者には [ ネットワークプロ
ファイル] > [IPSec 暗号] ノードが表示されず、
IPSec SA ネゴシエーションに基づいて VPN ト
ンネルでの識別、認証、および暗号化のための
プロトコルおよびアルゴリズムを指定すること
ができません。
権限状態を読み取り専用に設定すると、管理者
は現在設定されている IPSec 暗号設定を表示で
きますが、設定を追加または編集することはで
きません。
IKE 暗号
86
デバイス間の情報交換の方法を制御して、保護はい
された通信を確保します。IPSec SA ネゴシエー
ション（IKEv1 フェーズ 1）に基づいて VPN ト
ンネルでの識別、認証、および暗号化のための
プロトコルおよびアルゴリズムを指定します。
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセスレベル
説明
有効化
モニター
[ネットワークプロファイル ] > [ モニター] ノーはい
ドへのアクセスを制御します。この権限を無効
にすると、その管理者には [ ネットワークプロ
ファイル ] > [ モニター] ノードが表示されず、
IPSec トンネルのモニタリングに使用されるモ
ニタープロファイルを作成または編集してポ
リシーベースフォワーディング (PBF) ルールの
ネクストホップデバイスをモニターすること
ができません。
読み取り
専用
無効化
はい
はい
はい
はい
はい
はい
権限状態を読み取り専用に設定すると、管理者
は現在設定されているモニタープロファイル
設定を表示できますが、設定を追加または編集
することはできません。
インターフェイス管理
[ ネットワークプロファイル ] > [ インターフェはい
イス管理 ] ノードへのアクセスを制御します。
この権限を無効にすると、その管理者には
[ ネットワークプロファイル ] > [ インターフェイ
ス管理 ] ノードが表示されず、ファイアウォー
ルの管理で使用するプロトコルを指定すること
ができません。
権限状態を読み取り専用に設定すると、管理者
は現在設定されているインターフェイス管理プ
ロファイル設定を表示できますが、設定を追加
または編集することはできません。
ゾーンプロテクション [ ネットワークプロファイル ] > [ ゾーンプロテはい
クション ] ノードへのアクセスを制御します。
この権限を無効にすると、その管理者には
[ ネットワークプロファイル ] > [ ゾーンプロテ
クション ] ノードが表示されず、指定したセ
キュリティゾーンからの攻撃に対するファイ
アウォールの防御方法を決めるプロファイルを
設定することができません。
権限状態を読み取り専用に設定すると、管理者
は現在設定されているゾーンプロテクション
プロファイル設定を表示できますが、設定を追
加または編集することはできません。
デバイス管理
87
リファレンス : Web インターフェイス管理者のアクセス権限
デバイス管理
アクセスレベル
説明
有効化
QoS プロファイル
[ ネットワークプロファイル ] > [QoS] ノードへはい
のアクセスを制御します。この権限を無効にす
ると、その管理者には [ ネットワークプロファ
イル ] > [QoS] ノードが表示されず、QoS トラ
フィッククラスの処理方法を決める QoS プロ
ファイルを設定することができません。
読み取り
専用
無効化
はい
はい
読み取り
専用
無効化
はい
はい
権限状態を読み取り専用に設定すると、管理者
は現在設定されている QoS プロファイル設定
を表示できますが、設定を追加または編集する
ことはできません。
[Device] タブに対する詳細なアクセス権限の付与
アクセスレベル
説明
有効化
セットアップ
[セットアップ] ノードへのアクセスを制御しまはい
す。この権限を無効にすると、その管理者には
[ セットアップ ] ノードが表示されず、[ 管理 ]、
[ 操作 ]、[ サービス ]、[ コンテンツ ID]、
[Wildfire]、または [ セッション ] セットアップ情
報などのデバイス全体のセットアップ設定情報
にアクセスできません。
権限状態を読み取り専用に設定すると、管理者
は現在の設定を表示できますが、変更を加える
ことはできません。
設定監査
[設定監査] ノードへのアクセスを制御します。はい
この権限を無効にすると、その管理者には [ 設
定監査 ] ノードが表示されず、デバイス全体の
設定情報にアクセスできません。
いいえ
はい
管理者ロール
[管理者ロール] ノードへのアクセスを制御しまいいえ
す。この機能は、読み取り専用アクセスでのみ
許可されます。
はい
はい
この権限を無効にすると、その管理者には [ 管
理者ロール ] ノードが表示されず、管理者ロー
ル設定に関係するデバイス全体の情報にアクセ
スできません。
この権限を読み取り専用に設定すると、管理者
はそのデバイスで設定されているすべての管理
者ロールの設定情報を表示できます。
88
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセスレベル
説明
有効化
管理者
[管理者] ノードへのアクセスを制御します。こいいえ
の機能は、読み取り専用アクセスでのみ許可さ
れます。
読み取り
専用
無効化
はい
はい
はい
はい
はい
はい
はい
はい
この権限を無効にすると、その管理者には [ 管
理者 ] ノードが表示されず、自分の管理者アカ
ウントに関する情報にアクセスできません。
この権限を読み取り専用に設定すると、管理
者は自分の管理者アカウントの設定情報を表
示できます。そのデバイスで設定されている
他の管理者アカウントに関する情報は表示さ
れません。
仮想システム
[仮想システム] ノードへのアクセスを制御しまはい
す。この権限を無効にすると、その管理者には
仮想システムが表示されず、仮想システムを設
定することができません。
権限状態を読み取り専用に設定すると、管理者
は現在設定されている仮想システムを表示でき
ますが、設定を追加または編集することはでき
ません。
共有ゲートウェイ
[共有ゲートウェイ] ノードへのアクセスを制御はい
します。仮想システムは、共有ゲートウェイを
使用することによって共通の外部通信インター
フェイスを共有できます。
この権限を無効にすると、その管理者には共有
ゲートウェイが表示されず、共有ゲートウェイ
を設定することができません。
権限状態を読み取り専用に設定すると、管理者
は現在設定されている共有ゲートウェイを表示
できますが、設定を追加または編集することは
できません。
ユーザー ID
[ユーザー ID] ノードへのアクセスを制御しまはい
す。この権限を無効にすると、その管理者には
[ ユーザー ID] ノードが表示されず、[ ユーザー
マッピング ]、[ ユーザー ID エージェント ]、
[ サービス ]、[ ターミナルサービスエージェン
ト ]、[ グループマッピング設定 ]、または [ キャ
プティブポータルの設定 ] などのデバイス全体
の User-ID 設定情報にアクセスできません。
この権限を読み取り専用に設定すると、管理者
はデバイスの設定情報を表示できますが、設定
手順を実行することは許可されません。
デバイス管理
89
リファレンス : Web インターフェイス管理者のアクセス権限
デバイス管理
アクセスレベル
説明
有効化
VM 情報ソース
VM インベントリを自動的に収集するファイアはい
ウォール /Windows User-ID エージェントを設定
することができる、[VM 情報ソース ] ノードへ
のアクセスを制御します。この権限を無効にす
ると、その管理者には [VM 情報ソース ] ノード
が表示されません。
読み取り
専用
無効化
はい
はい
はい
はい
この権限を読み取り専用に設定すると、管理者
は設定された VM 情報ソースを表示できます
が、ソースを追加、編集、または削除すること
はできません。
この権限は、[ デバイスグループとテン
プレート ] 管理者に付与することはでき
ません。
高可用性
[高可用性] ノードへのアクセスを制御します。はい
この権限を無効にすると、その管理者には [ 高
可用性 ] ノードが表示されず、[ 全般 ] のセット
アップ情報や [ リンクおよびパスのモニタリン
グ ] などのデバイス全体の高可用性設定の情報
にアクセスできません。
この権限を読み取り専用に設定すると、管理者
はそのデバイスでの高可用性設定情報を表示で
きますが、設定手順を実行することは許可され
ません。
証明書の管理
デフォルト状態を設定して、以下で説明する証はい
明書の設定すべてを有効または無効にします。
いいえ
はい
証明書
[証明書] ノードへのアクセスを制御します。こはい
の権限を無効にすると、その管理者には [ 証明
書 ] ノードが表示されず、[ デバイス証明書 ] や
[ デフォルトの信頼された証明機関 ] に関連した
情報を設定したり、それらの情報にアクセスし
たりすることはできません。
はい
はい
この権限を読み取り専用に設定すると、管理者
はそのデバイスでの証明書設定情報を表示でき
ますが、設定手順を実行することは許可されま
せん。
90
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセスレベル
説明
有効化
証明書プロファイル
[証明書プロファイル] ノードへのアクセスを制はい
御します。この権限を無効にすると、その管理
者には [ 証明書プロファイル ] ノードが表示さ
れず、証明書プロファイルを作成できません。
読み取り
専用
無効化
はい
はい
はい
はい
はい
はい
いいえ
はい
この権限を読み取り専用に設定すると、管理
者はそのデバイスで現在設定されている証明
書プロファイルを表示できますが、証明書プ
ロファイルを作成または編集することは許可
されません。
OCSP レスポンダ
[OCSP レスポンダ ] ノードへのアクセスを制御はい
します。この権限を無効にすると、その管理者
には [OCSP レスポンダ ] ノードが表示されず、
PAN-OS デバイスによって発行される証明書の
失効状態の検証に使用されるサーバーを定義す
ることはできません。
この権限を読み取り専用に設定すると、管理者
はそのデバイスでの [OCSP レスポンダ ] 設定を
表示できますが、OCSP レスポンダ設定を作成
または編集することは許可されません。
応答ページ
[応答ページ] ノードへのアクセスを制御します。はい
この権限を無効にすると、その管理者には [ 応
答ページ ] ノードが表示されず、要求された
Web ページまたはファイルの代わりにダウン
ロードおよび表示されるカスタム HTML メッ
セージを定義することができません。
この権限を読み取り専用に設定すると、管理者
はそのデバイスでの [ 応答ページ ] 設定を表示
できますが、応答ページ設定を作成または編集
することは許可されません。
ログ設定
デバイス管理
デフォルト状態を設定して、以下で説明するロはい
グの設定すべてを有効または無効にします。
91
リファレンス : Web インターフェイス管理者のアクセス権限
デバイス管理
アクセスレベル
説明
有効化
システム
[ ログ設定 ] > [ システム ] ノードへのアクセスはい
を制御します。この権限を無効にすると、その
管理者には [ ログ設定 ] > [ システム ] ノードが
表示されず、Panorama によってリモートでログ
に記録され、SNMP トラップ、Syslog メッセー
ジ、または電子メール通知として送信されるシ
ステムログエントリの重大度レベルを指定す
ることができません。
読み取り
専用
無効化
はい
はい
はい
はい
はい
はい
この権限を読み取り専用に設定すると、管理者
はそのデバイスでの [ ログ設定 ] > [ システム ]
設定を表示できますが、設定を作成または編集
することは許可されません。
設定
[ ログ設定 ] > [ 設定 ] ノードへのアクセスを制はい
御します。この権限を無効にすると、その管理
者には [ ログ設定 ] > [ 設定 ] ノードが表示され
ず、Panorama によってリモートでログに記録さ
れて Syslog メッセージまたは電子メール通知と
して送信される設定ログエントリを指定する
ことができません。
この権限を読み取り専用に設定すると、管理者
はそのデバイスでの [ ログ設定 ] > [ 設定 ] 設定
を表示できますが、設定を作成または編集する
ことは許可されません。
HIP マッチ
[ ログ設定 ] > [HIP マッチ ] ノードへのアクセスはい
を制御します。この権限を無効にすると、その
管理者には [ ログ設定 ] > [HIP マッチ ] ノード
が表示されず、GlobalProtect クライアントに適
用するセキュリティポリシーに関する情報を
提供するために使用されるホスト情報プロファ
イル (HIP) マッチのログ設定を指定することが
できません。
この権限を読み取り専用に設定すると、管理者
はそのデバイスでの [ ログ設定 ] > [HIP マッチ ]
設定を表示できますが、設定を作成または編集
することは許可されません。
92
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセスレベル
説明
有効化
アラーム
[ ログ設定 ] > [ アラーム ] ノードへのアクセスはい
を制御します。この権限を無効にすると、その
管理者には [ ログ設定 ] > [ アラーム ] ノードが
表示されず、セキュリティルール（または
ルールのグループ）が一定期間に繰り返し適用
さた場合に生成される通知を設定することがで
きません。
読み取り
専用
無効化
はい
はい
はい
はい
いいえ
はい
はい
はい
この権限を読み取り専用に設定すると、管理者
はそのデバイスでの [ ログ設定 ] > [ アラーム ]
設定を表示できますが、設定を作成または編集
することは許可されません。
ログの管理
[ ログ設定 ] > [ ログの管理 ] ノードへのアクセはい
スを制御します。この権限を無効にすると、そ
の管理者には [ ログ設定 ] > [ ログの管理 ] ノー
ドが表示されず、表示されたログをクリアする
ことができません。
この権限を読み取り専用に設定すると、管理者
は [ ログ設定 ] > [ ログの管理 ] 情報を表示でき
ますが、いずれのログもクリアすることはでき
ません。
サーバープロファイルデフォルト状態を設定して、以下で説明するはい
サーバープロファイルの設定すべてを有効ま
たは無効にします。
SNMP トラップ
[ サーバープロファイル ] > [SNMP トラップ ] はい
ノードへのアクセスを制御します。この権限を
無効にすると、その管理者には [ サーバープロ
ファイル ] > [SNMP トラップ ] ノードが表示さ
れず、システムログエントリで使用されるよ
うに 1 つ以上の SNMP トラップの宛先を指定す
ることができません。
この権限を読み取り専用に設定すると、管理者
は、[ サーバープロファイル ] > [SNMP トラッ
プログ ] 情報を表示できますが、SNMP トラッ
プの宛先を指定することはできません。
デバイス管理
93
リファレンス : Web インターフェイス管理者のアクセス権限
デバイス管理
アクセスレベル
説明
有効化
Syslog
[ サーバープロファイル ] > [Syslog] ノードへのはい
アクセスを制御します。この権限を無効にする
と、管理者には [ サーバープロファイル ] >
[Syslog] ノードが表示されず、Syslog サーバー
を指定することができません。
読み取り
専用
無効化
はい
はい
はい
はい
はい
はい
はい
はい
この権限を読み取り専用に設定すると、管理者
は、[ サーバープロファイル ] > [Syslog] 情報を
表示できますが、Syslog サーバーを指定するこ
とはできません。
電子メール
[ サーバープロファイル ] > [ 電子メール ] ノードはい
へのアクセスを制御します。この権限を無効に
すると、管理者には [ サーバープロファイル ] >
[電子メール] ノードが表示されず、システムお
よび設定ログエントリの電子メール通知を有
効にするために使用できる電子メールプロ
ファイルを設定することができません。
この権限を読み取り専用に設定すると、管理者
は、[ サーバープロファイル ] > [ 電子メール ]
情報を表示できますが、プロファイルを設定し
て電子メールで送信することはできません。
Netflow
[ サーバープロファイル ] > [Netflow] ノードへのはい
アクセスを制御します。この権限を無効にする
と、その管理者には [ サーバープロファイル ] >
[Netflow] ノードが表示されず、NetFlow サー
バープロファイルを定義することができませ
ん。このプロファイルでは、エクスポートされ
たデータを受信する NetFlow サーバーおよびエ
クスポートの頻度を指定します。
この権限を読み取り専用に設定すると、管理者
は [ サーバープロファイル ] > [Netflow] 情報を
表示できますが、Netflow プロファイルを定義
することはできません。
RADIUS
[ サーバープロファイル ] > [RADIUS] ノードへのはい
アクセスを制御します。この権限を無効にする
と、その管理者には [ サーバープロファイル ] >
[RADIUS] ノードが表示されず、認証プロファ
イルで識別される RADIUS サーバーの設定を行
うことができません。
この権限を読み取り専用に設定すると、管理者
は [ サーバープロファイル ] > [RADIUS] 情報を
表示できますが、RADIUS サーバーの設定を行
うことはできません。
94
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセスレベル
説明
有効化
LDAP
[ サーバープロファイル ] > [LDAP] ノードへのはい
アクセスを制御します。この権限を無効にする
と、その管理者には [ サーバープロファイル ] >
[LDAP] ノードが表示されず、認証プロファイ
ルによる認証で使用する LDAP サーバーの設定
を行うことができません。
読み取り
専用
無効化
はい
はい
はい
はい
この権限を読み取り専用に設定すると、管理者
は [ サーバープロファイル ] > [LDAP] 情報を表
示できますが、LDAP サーバーの設定を行うこ
とはできません。
Kerberos
[ サーバープロファイル ] > [Kerberos] ノードはい
へのアクセスを制御します。この権限を無効に
すると、その管理者には [ サーバープロファイ
ル ] > [Kerberos] ノードが表示されず、ユー
ザーがドメインコントローラに対してネイ
ティブに認証できるようにする Kerberos サー
バーの設定を行うことができません。
この権限を読み取り専用に設定すると、管理者
は [ サーバープロファイル ] > [Kerberos] 情報
を表示できますが、Kerberos サーバーの設定を
行うことはできません。
ローカルユーザー
データベース
デフォルト状態を設定して、以下で説明するはい
ローカルユーザーデータベースの設定すべて
を有効または無効にします。
いいえ
はい
ユーザー
[ ローカルユーザーデータベース ] > [ ユーザー] はい
ノードへのアクセスを制御します。この権限を
無効にすると、その管理者には [ ローカルユー
ザーデータベース ] > [ ユーザー] ノードが表示
されず、リモートアクセスユーザー、デバイ
ス管理者、およびキャプティブポータルユー
ザーの認証情報を格納するローカルデータ
ベースをファイアウォールにセットアップする
ことができません。
はい
はい
この権限を読み取り専用に設定すると、管理者
は [ ローカルユーザーデータベース ] > [ ユー
ザー] 情報を表示できますが、認証情報を格納
するローカルデータベースをファイアウォー
ルにセットアップすることはできません。
デバイス管理
95
リファレンス : Web インターフェイス管理者のアクセス権限
デバイス管理
アクセスレベル
説明
有効化
ユーザーグループ
[ ローカルユーザーデータベース ] > [ ユーザー] はい
ノードへのアクセスを制御します。この権限を
無効にすると、その管理者には [ ローカルユー
ザーデータベース ] > [ ユーザー] ノードが表示
されず、ローカルデータベースにユーザーグ
ループ情報を追加することができません。
読み取り
専用
無効化
はい
はい
はい
はい
はい
はい
はい
はい
この権限を読み取り専用に設定すると、管理者
は [ ローカルユーザーデータベース ] > [ ユー
ザー] 情報を表示できますが、ローカルデータ
ベースにユーザーグループ情報を追加するこ
とはできません。
認証プロファイル
[認証プロファイル] ノードへのアクセスを制御はい
します。この権限を無効にすると、その管理者
には [ 認証プロファイル ] ノードが表示されず、
管理者アカウントに割り当てることができる
ローカルデータベース、RADIUS、LDAP、ま
たは Kerberos の設定を作成または編集すること
ができません。
この権限を読み取り専用に設定すると、管理者
は [認証プロファイル] 情報を表示できますが、
認証プロファイルを作成または編集することは
できません。
認証シーケンス
[認証シーケンス] ノードへのアクセスを制御しはい
ます。この権限を無効にすると、その管理者に
は [ 認証シーケンス ] ノードが表示されず、認証
シーケンスを作成または編集することができま
せん。
この権限を読み取り専用に設定すると、管理者
は [ 認証プロファイル ] 情報を表示できますが、
認証シーケンスを作成または編集することはで
きません。
アクセスドメイン
[アクセスドメイン] ノードへのアクセスを制御はい
します。この権限を無効にすると、その管理者
には [アクセスドメイン] ノードが表示されず、
アクセスドメインを作成または編集すること
ができません。
この権限を読み取り専用に設定すると、[ アクセ
スドメイン ] の情報を表示できますが、アクセ
スドメインを作成または編集することはでき
ません。
96
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセスレベル
説明
有効化
スケジュール
設定されたログの
エクスポート
[ スケジュール設定されたログのエクスポート ] はい
ノードへのアクセスを制御します。この権限を
無効にすると、その管理者には [ スケジュール
設定されたログのエクスポート ] ノードが表示
されず、ログのエクスポートをスケジュール設
定してそのログを CSV 形式で FTP (File Transfer
Protocol) サーバーに保存したり、または Secure
Copy (SCP) を使用してファイアウォールとリ
モートホスト間でデータを安全に転送したり
することができません。
読み取り
専用
無効化
いいえ
はい
はい
はい
はい
はい
この権限を読み取り専用に設定すると、管理者
は [ スケジュール設定されたログのエクスポー
ト ] プロファイル情報を表示できますが、ログ
のエクスポートをスケジュール設定することは
できません。
ソフトウェア
[ソフトウェア] ノードへのアクセスを制御しまはい
す。この権限を無効にすると、その管理者には
[ ソフトウェア ] ノードが表示されず、Palo Alto
Networks が提供する最新バージョンの PAN-OS
ソフトウェアを表示し、各バージョンのリリー
スノートを読み、リリースを選択してダウン
ロードおよびインストールすることができま
せん。
この権限を読み取り専用に設定すると、管理者
は [ ソフトウェア ] 情報を表示できますが、ソ
フトウェアをダウンロードまたはインストール
することはできません。
GlobalProtect
クライアント
[GlobalProtect クライアント ] ノードへのアクはい
セスを制御します。この権限を無効にすると、
その管理者には [GlobalProtect クライアント ]
ノードが表示されず、使用可能な GlobalProtect
リリースを表示したり、コードをダウンロード
したり、GlobalProtect エージェントをアクティ
ブにしたりすることができません。
この権限を読み取り専用に設定すると、管理者
は [GlobalProtect クライアント ] リリースを表
示できますが、エージェントソフトウェアを
ダウンロードまたはインストールすることはで
きません。
デバイス管理
97
リファレンス : Web インターフェイス管理者のアクセス権限
デバイス管理
アクセスレベル
説明
有効化
ダイナミック更新
[ダイナミック更新] ノードへのアクセスを制御はい
します。この権限を無効にすると、管理者には
[ダイナミック更新] ノードが表示されず、最新
の更新を表示したり、各更新のリリースノー
トを読んだり、アップロードおよびインス
トールする更新を選択したりすることができ
ません。
読み取り
専用
無効化
はい
はい
はい
はい
はい
はい
この権限を読み取り専用に設定すると、管理者
は使用可能な [ ダイナミック更新 ] リリースを
表示し、リリースノートを読むことができま
すが、ソフトウェアをアップロードまたはイン
ストールすることはできません。
ライセンス
[ライセンス] ノードへのアクセスを制御します。はい
この権限を無効にすると、その管理者には [ ラ
イセンス ] ノードが表示されず、インストール
済みのライセンスを表示したり、ライセンスを
アクティブにしたりすることができません。
この権限を読み取り専用に設定すると、管理者
はインストール済みの [ ライセンス ] を表示で
きますが、ライセンス管理機能を実行すること
はできません。
サポート
[サポート] ノードへのアクセスを制御します。はい
この権限を無効にすると、その管理者には [ サ
ポート ] ノードが表示されず、Palo Alto Networks
からの実働アラートおよびセキュリティア
ラートにアクセスしたり、テクニカルサポー
トファイルまたは Stats Dump ファイルを生成
したりすることができません。
この権限を読み取り専用に設定すると、管理者
は [ サポート ] ノードを表示し、実働アラート
およびセキュリティアラートにアクセスする
ことができますが、テクニカルサポートファ
イルまたは Stats Dump ファイルを生成すること
はできません。
98
デバイス管理
デバイス管理
アクセスレベル
リファレンス : Web インターフェイス管理者のアクセス権限
説明
有効化
マスターキーおよび [マスターキーおよび診断] ノードへのアクセスはい
診断
を制御します。この権限を無効にすると、その
読み取り
専用
無効化
はい
はい
読み取り
専用
無効化
管理者には [ マスターキーおよび診断 ] ノード
が表示されなくなり、ファイアウォールで秘密
鍵を暗号化するためのマスターキーを指定す
ることができません。
この権限を読み取り専用に設定すると、管理者
は [マスターキーおよび診断 ] ノードを表示し、
指定されているマスターキーに関する情報を
表示できますが、新しいマスターキー設定を
追加または編集することはできません。
管理者ロールプロファイルでのユーザーのプライバシー設定の定義
アクセスレベル
説明
有効化
専用
デフォルト状態を設定して、以下で説明するプはい
ライバシー設定すべてを有効または無効にし
ます。
なし
はい
完全 IP アドレスの表示無効に設定すると、Palo Alto ファイアウォールはい
なし
はい
を通過するトラフィックによって取得された完
全 IP アドレスは、ログまたはレポートに表示
されません。通常表示される IP アドレスの代
わりに、関連サブネットが表示されます。
[Monitor] > [レポート] を介してインター
フェイスに表示されるスケジュール設定
されたレポート、およびスケジュール設
定された電子メールで送信されるレポー
トには、この設定を無効にしても完全 IP
アドレスが表示されます。このような例
外があるため、[Monitor] タブに表示さ
れる、[ カスタムレポート ]、[ アプリケー
ションレポート]、[脅威レポート]、[URL
フィルタリングレポート ]、[トラフィック
レポート ]、および [ 電子メールスケジュー
ラ ] の各設定を無効に設定することをお
勧めします。
デバイス管理
99
リファレンス : Web インターフェイス管理者のアクセス権限
アクセスレベル
説明
デバイス管理
有効化
ログおよびレポート内無効に設定すると、Palo Alto Networks ファイアはい
でのユーザー名の表示ウォールを通過するトラフィックによって得ら
読み取り
専用
無効化
なし
はい
なし
はい
読み取り
専用
無効化
なし
はい
読み取り
専用
無効化
なし
はい
れたユーザー名は、ログまたはレポートに表示
されません。通常ユーザー名が表示される列
は、空になります。
[Monitor] > [ レポート ] を介してインター
フェイスに表示されるスケジュール設定され
たレポート、または電子メールスケジューラ
経由で送信されるレポートには、その後も
ユーザー名が表示されます。このような例外
があるため、[Monitor] タブに表示される、[ カ
スタムレポート ]、[ アプリケーションレポー
ト ]、[ 脅威レポート ]、[URL フィルタリング
レポート ]、[トラフィックレポート]、および
[ 電子メールスケジューラ ] の各設定を無効に
設定することをお勧めします。
パケットキャプチャ
ファイルの表示
無効に設定すると、通常ならトラフィックロはい
グ、脅威ログ、およびデータフィルタリング
ログに表示されるパケットキャプチャファイ
ルは表示されません。
コミット機能への管理者アクセスの制限
[ コミット ] の設定を使用したユーザーアクセスの制限
アクセスレベル
説明
有効化
コミット
無効に設定すると、管理者は設定に対する変更はい
を何もコミットできません。
グローバル設定への詳細なアクセス権限の指定
[ グローバル ] の設定を使用したユーザーアクセスの制限
アクセスレベル
説明
グローバル
デフォルト状態を設定して、以下で説明するグはい
ローバルの設定すべてを有効または無効にしま
す。事実上この設定は、この時点では [ システ
ムアラーム ] にのみ適用されます。
100
有効化
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセスレベル
説明
有効化
システムアラーム
無効に設定すると、管理者は生成されるアラーはい
ムを表示または確認できません。
読み取り
専用
無効化
なし
はい
[Panorama] タブに対する詳細なアクセス権限の付与
以下の表に、[Panorama] タブのアクセスレベルと、そのレベルで設定可能なカスタム
Panorama 管理者ロールの一覧を示します。ファイアウォール管理者は、これらの権限のいずれ
にもアクセスできません。
アクセス
レベル
説明
設定可能な
管理者ロール
セットアップ管理者が、[ 管理 ]、[ 操作 ]、[ サービ Panorama: はい
有効化
読み取無効化
り専用
はい
はい
はい
はい
はい
はい
ス ]、[WildFire]、または [HSM] などデバイスグループ /
の [Panorama] のセットアップ情報をテンプレート : いいえ
表示または編集できるかどうかを指
定します。
この権限を読み取り専用に設定する
と、管理者は情報を表示できます
が、編集することはできません。
この権限を無効にすると、管理者は
情報を表示または編集することがで
きません。
テンプレート管理者が、テンプレートを表示、編 Panorama: はい
集、追加、または削除できるかどうデバイスグループ /
かを指定します。
テンプレート : はい
この権限を読み取り専用に設定する
と、管理者はテンプレートの設定を
表示できますが、管理することはで
きません。
（[ デバイス
グループとテ
ンプレート ]
管理者の場合
は [ いいえ ]）
この権限を無効にすると、管理者は
テンプレートの設定を表示または管
理することができません。
設定監査
デバイス管理
はい
管理者が Panorama 設定の監査を実行 Panorama: はい
できるかどうかを指定します。この権デバイスグループ /
限を無効にすると、管理者は Panorama テンプレート : いいえ
設定の監査を実行できません。
いいえはい
101
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス
レベル
説明
設定可能な
管理者ロール
管理対象
デバイス
管理者が、ファイアウォールを管理 Panorama: はい
対象デバイスとして表示、追加、編デバイスグループ /
集、タグ付け、または削除できるかテンプレート : はい
どうか、およびそれらのファイア
ウォールでソフトウェアまたはコン
テンツの更新をインストールできる
かどうかを指定します。
デバイス管理
有効化
読み取無効化
り専用
はい
はい
はい
はい
はい
（[ デバイス
グループとテ
ンプレート ]
ロールの場合
は [ いいえ ]）
この権限を読み取り専用に設定する
と、管理者は、管理対象ファイア
ウォールを表示できますが、それら
のファイアウォールで更新を追加、
削除、タグ付け、またはインストー
ルすることはできません。
この権限を無効にすると、管理者
は、管理対象ファイアウォールで更
新を表示、追加、編集、タグ付け、
削除、またはインストールすること
ができません。
この権限は、[Panorama] > [管
理対象デバイス ] ページにのみ
適用されます。「デバイスの
デプロイ」権限を持つ管理者
は、適用後も [Panorama] > [ デ
バイスのデプロイ ] ページを使
用して管理対象ファイア
ウォールに更新をインストー
ルできます。
デバイス
グループ
管理者が、デバイスグループを表 Panorama: はい
示、編集、追加、または削除できるデバイスグループ /
かどうかを指定します。
テンプレート : はい
この権限を読み取り専用に設定する
と、管理者はデバイスグループの設
定を表示できますが、管理すること
はできません。
はい
（[ デバイス
グループとテ
ンプレート ]
ロールの場合
は [ いいえ ]）
この権限を無効にすると、管理者は
デバイスグループの設定を表示また
は管理することができません。
102
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス
レベル
説明
設定可能な
管理者ロール
有効化
管理対象
コレクタ
はい
管理者が、管理対象コレクタを表 Panorama: はい
示、編集、追加、または削除できるデバイスグループ /
かどうかを指定します。
テンプレート : いいえ
この権限を読み取り専用に設定する
と、管理者は管理対象コレクタの設
定を表示できますが、管理すること
はできません。
読み取無効化
り専用
はい
はい
はい
はい
この権限を無効にすると、管理者は
管理対象コレクタの設定を表示、編
集、追加、または削除することがで
きません。
この権限は、[Panorama] > [管
理対象コレクタ ] ページにのみ
適用されます。「デバイスの
デプロイ」権限を持つ管理者
は、適用後も [Panorama] > [ デ
バイスのデプロイ ] ページを使
用してログコレクタに更新を
インストールすることができ
ます。
コレクタ
グループ
はい
管理者が、コレクタグループを表 Panorama: はい
示、編集、追加、または削除できるデバイスグループ /
かどうかを指定します。
テンプレート : いいえ
この権限を読み取り専用に設定する
と、管理者はコレクタグループを表
示できますが、管理することはでき
ません。
この権限を無効にすると、管理者は
コレクタグループを表示または管理
することができません。
デバイス管理
103
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス
レベル
説明
設定可能な
管理者ロール
デバイス管理
有効化
読み取無効化
り専用
いいえ
はい
はい
いいえ
管理者が Panorama 管理者のアカウン Panorama: はい
ト詳細を表示できるかどうかを指定デバイスグループ /
します。
テンプレート : いいえ
この機能へのフルアクセスを有効に
することはできません。有効にでき
るのは、読み取り専用アクセス権だ
けです（動的ロールを持つ Panorama
管理者だけが、Panorama 管理者を追
加、編集、または削除できます）。
読み取り専用アクセス権限を持つ管
理者は、自分のアカウントに関する
情報を表示できますが、その他の
Panorama 管理者のアカウントを表示
することはできません。
はい
はい
管理者ロール管理者が Panorama 管理者のロールを Panorama: はい
表示できるかどうかを指定します。
デバイスグループ /
この機能へのフルアクセスを有効にテンプレート : いいえ
することはできません。有効にでき
るのは、読み取り専用アクセス権だ
けです（動的ロールを持つ Panorama
管理者だけが、カスタム Panorama ロー
ルを追加、編集、または削除できま
す）。読み取り専用アクセス権限を
持つ管理者は、Panorama 管理者のロー
ルの設定を表示できますが、管理す
ることはできません。
この権限を無効にすると、Panorama
管理者のロールを表示または管理す
ることができません。
管理者
この権限を無効にすると、管理者
は、自分のアカウントを含め、すべ
ての Panorama 管理者のアカウントに
関する情報を表示できません。
104
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス
レベル
説明
設定可能な
管理者ロール
有効化
高可用性
はい
管理者が、Panorama 管理サーバーの Panorama: はい
高可用性 (HA) 設定を表示および管理デバイスグループ /
できるかどうかを指定します。
テンプレート : いいえ
この権限を読み取り専用に設定する
と、管理者は、Panorama 管理サーバー
の HA 設定情報を表示できますが、そ
の設定を管理することはできません。
読み取無効化
り専用
はい
はい
はい
はい
この権限を無効にすると、管理者
は、Panorama 管理サーバーの HA 設
定を表示または管理することができ
ません。
VMware
Service
Manager
はい
管理者が、VMware Service Manager の Panorama: はい
設定を表示および編集できるかどうデバイスグループ /
かを指定します。
テンプレート : いいえ
この権限を読み取り専用に設定する
と、管理者は設定を表示できます
が、関連する設定または操作手順を
実行することはできません。
この権限を無効にすると、管理者は
設定を表示したり、関連する設定ま
たは操作手順を実行したりすること
ができません。
証明書の管理 Panorama の [ 証明書の管理 ] 権限のす Panorama: はい
はい
いいえはい
べてについて、デフォルト状態を設デバイスグループ /
定（[ 有効 ] または [ 無効 ]）します。テンプレート : いいえ
証明書
はい
管理者が、証明書を表示、編集、生 Panorama: はい
成、削除、失効、更新、またはエクデバイスグループ /
スポートできるかどうかを指定しまテンプレート : いいえ
す。この権限により、管理者が HA
キーをインポートまたはエクスポー
トできるかどうかも指定します。
はい
はい
この権限を読み取り専用に設定する
と、管理者は、Panorama の証明書を
表示できますが、証明書または HA
キーを管理することはできません。
この権限を無効にすると、管理者は
Panorama の証明書または HA キーを表
示、管理することができません。
デバイス管理
105
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス
レベル
説明
設定可能な
管理者ロール
証明書
管理者が、Panorama の証明書プロファ Panorama: はい
プロファイルイルを表示、追加、編集、削除、ま
デバイス管理
有効化
読み取無効化
り専用
はい
はい
はい
デバイスグループ /
たはコピーできるかどうかを指定しテンプレート : いいえ
ます。
この権限を読み取り専用に設定する
と、管理者は、Panorama の証明書プ
ロファイルを表示できますが、管理
することはできません。
この権限を無効にすると、管理者は
Panorama の証明書プロファイルを表示
または管理することができません。
ログ設定
はい
ログ設定の権限すべてについて、デ Panorama: はい
フォルト状態（[有効 ] または [無効 ]）デバイスグループ /
を設定します。
テンプレート : いいえ
いいえはい
システム
はい
管理者が、外部サービス（Syslog、電 Panorama: はい
子メール、または SNMP トラップサーデバイスグループ /
バー）へのシステムログの転送を制テンプレート : いいえ
御する設定項目を表示および設定で
きるかどうかを指定します。
はい
はい
この権限を読み取り専用に設定する
と、管理者は、システムログの転送
設定を表示できますが、管理するこ
とはできません。
この権限を無効にすると、管理者は
設定を表示または管理することがで
きません。
Panorama M-100 アプライアンス
の場合、この権限は、Panorama
で生成されるそれ自体のシス
テムログにのみ関係します。
Panorama 仮想アプライアンス
の場合、この権限は、Panorama
で生成されるシステムログ
と、Panorama がファイアウォー
ルから収集するシステムログ
に適用されます。
106
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス
レベル
説明
設定可能な
管理者ロール
有効化
設定
はい
管理者が、外部サービス（Syslog、電 Panorama: はい
子メール、または SNMP トラップサーデバイスグループ /
バー）への設定ログの転送を制御すテンプレート : いいえ
る設定項目を表示および設定できる
かどうかを指定します。
読み取無効化
り専用
はい
はい
この権限を読み取り専用に設定する
と、管理者は、設定ログの転送設定
を表示できますが、管理することは
できません。
この権限を無効にすると、管理者は
設定を表示または管理することがで
きません。
Panorama M-100 アプライアンス
の場合、この権限は、Panorama
で生成されるそれ自体の設定ロ
グにのみ関係します。Panorama
仮想アプライアンスの場合、
この権限は、Panorama で生成
される設定ログと、Panorama が
ファイアウォールから収集する
設定ログに適用されます。
デバイス管理
107
リファレンス : Web インターフェイス管理者のアクセス権限
設定可能な
管理者ロール
デバイス管理
アクセス
レベル
説明
有効化
HIP マッチ
はい
管理者が、Panorama 仮想アプライア Panorama: はい
ンスから外部サービス（Syslog、電子デバイスグループ /
メール、または SNMP トラップサーテンプレート : いいえ
バー）への HIP マッチログの転送を
制御する設定項目を表示および設定
できるかどうかを指定します。
読み取無効化
り専用
はい
はい
[Panorama] > [ コレクタグルー
プ] ページでは、Panorama M-100
アプライアンスからの HIP マッ
チログの転送を制御します。
[Device] > [ ログ設定 ] > [HIP
マッチ ] ページでは、ファイア
ウォールから外部サービス
（Panorama での集約なし）へ
の HIP マッチログの直接転送
を制御します。
この権限を読み取り専用に設定する
と、管理者は、HIP マッチログの転
送設定を表示できますが、管理する
ことはできません。
この権限を無効にすると、管理者は
設定を表示または管理することがで
きません。
108
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス
レベル
説明
設定可能な
管理者ロール
有効化
トラフィック
はい
管理者が、Panorama 仮想アプライア Panorama: はい
ンスから外部サービス（Syslog、電子デバイスグループ /
メール、または SNMP トラップサーテンプレート : いいえ
バー）へのトラフィックログの転送
を制御する設定項目を表示および設
定できるかどうかを指定します。
読み取無効化
り専用
はい
はい
[Panorama] > [ コレクタグルー
プ] ページでは、Panorama M-100
アプライアンスからのトラ
フィックログの転送を制御しま
す。[Objects] > [ ログ転送 ] ペー
ジでは、ファイアウォールから
外部サービス（Panorama での集
約なし）へのトラフィックロ
グの直接転送を制御します。
この権限を読み取り専用に設定する
と、管理者は、トラフィックログの
転送設定を表示できますが、管理す
ることはできません。
この権限を無効にすると、管理者は
設定を表示または管理することがで
きません。
デバイス管理
109
リファレンス : Web インターフェイス管理者のアクセス権限
設定可能な
管理者ロール
デバイス管理
アクセス
レベル
説明
有効化
脅威
はい
管理者が、Panorama 仮想アプライア Panorama: はい
ンスから外部サービス（Syslog、電子デバイスグループ /
メール、または SNMP トラップサーテンプレート : いいえ
バー）への脅威ログの転送を制御す
る設定項目を表示および設定できる
かどうかを指定します。
読み取無効化
り専用
はい
はい
[Panorama] > [ コレクタグルー
プ] ページでは、Panorama M-100
アプライアンスからの脅威
ログの転送を制御します。
[Objects] > [ ログ転送 ] ページ
では、ファイアウォールから
外部サービス（Panorama での
集約なし）への脅威ログの直
接転送を制御します。
この権限を読み取り専用に設定する
と、管理者は、脅威ログの転送設定
を表示できますが、管理することは
できません。
この権限を無効にすると、管理者は
設定を表示または管理することがで
きません。
110
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス
レベル
説明
設定可能な
管理者ロール
有効化
WildFire
はい
管理者が、Panorama 仮想アプライア Panorama: はい
ンスから外部サービス（Syslog、電子デバイスグループ /
メール、または SNMP トラップサーテンプレート : いいえ
バー）への WildFire ログの転送を制
御する設定項目を表示および設定で
きるかどうかを指定します。
読み取無効化
り専用
はい
はい
[Panorama] > [ コレクタグルー
プ] ページでは、Panorama M-100
アプライアンスからの WildFire
ログの転送を制御します。
[Objects] > [ ログ転送 ] ページで
は、ファイアウォールから外部
サービス（Panorama での集約な
し）への WildFire ログの直接転
送を制御します。
この権限を読み取り専用に設定する
と、管理者は、WildFire ログの転送設
定を表示できますが、管理すること
はできません。
この権限を無効にすると、管理者は
設定を表示または管理することがで
きません。
サーバー
サーバープロファイルの権限すべて Panorama: はい
プロファイルについて、デフォルト状態（[ 有効 ]
または [ 無効 ]）を設定します。
はい
いいえはい
デバイスグループ /
テンプレート : いいえ
これらの権限は、Panorama が
生成またはファイアウォール
から収集するログの転送で使
用されるサーバープロファイ
ルまたは Panorama 管理者の認
証に使用されるサーバープロ
ファイルにのみ関係します。
[Device] > [ サーバープロファ
イル ] ページでは、ファイア
ウォールから外部サービス
（Panorama での集約なし）へ
のログの直接転送、または
ファイアウォール管理者の認
証で使用されるサーバープロ
ファイルを制御します。
デバイス管理
111
リファレンス : Web インターフェイス管理者のアクセス権限
設定可能な
管理者ロール
デバイス管理
アクセス
レベル
説明
有効化
SNMP
トラップ
はい
管理者が、SNMP トラップサーバー Panorama: はい
のプロファイルを表示および設定でデバイスグループ /
きるかどうかを指定します。
テンプレート : いいえ
この権限を読み取り専用に設定する
と、管理者は、SNMP トラップサー
バーのプロファイルを表示できます
が、管理することはできません。
読み取無効化
り専用
はい
はい
はい
はい
はい
はい
この権限を無効にすると、管理者は
SNMP トラップサーバーのプロファ
イルを表示または管理することがで
きません。
Syslog
はい
管理者が、Syslog サーバーのプロファ Panorama: はい
イルを表示および設定できるかどうデバイスグループ /
かを指定します。
テンプレート : いいえ
この権限を読み取り専用に設定する
と、管理者は、Syslog サーバーのプロ
ファイルを表示できますが、管理す
ることはできません。
この権限を無効にすると、管理者は
Syslog サーバーのプロファイルを表示
または管理することができません。
電子メール
はい
管理者が、電子メールサーバーのプ Panorama: はい
ロファイルを表示および設定できるデバイスグループ /
かどうかを指定します。
テンプレート : いいえ
この権限を読み取り専用に設定する
と、管理者は、電子メールサーバー
のプロファイルを表示できますが、
管理することはできません。
この権限を無効にすると、管理者は
電子メールサーバーのプロファイル
を表示または管理することができま
せん。
112
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス
レベル
説明
設定可能な
管理者ロール
有効化
RADIUS
はい
管理者が、Panorama 管理者の認証に Panorama: はい
使用される RADIUS サーバーのプロデバイスグループ /
ファイルを表示および設定できるかテンプレート : いいえ
どうかを指定します。
読み取無効化
り専用
はい
はい
はい
はい
はい
はい
この権限を読み取り専用に設定する
と、管理者は、RADIUS サーバーの
プロファイルを表示できますが、管
理することはできません。
この権限を無効にすると、管理者は
RADIUS サーバーのプロファイルを表
示または管理することができません。
LDAP
はい
管理者が、Panorama 管理者の認証に Panorama: はい
使用される LDAP サーバーのプロファデバイスグループ /
イルを表示および設定できるかどうテンプレート : いいえ
かを指定します。
この権限を読み取り専用に設定する
と、管理者は、LDAP サーバーのプ
ロファイルを表示できますが、管理
することはできません。
この権限を無効にすると、管理者は
LDAP サーバーのプロファイルを表示
または管理することができません。
Kerberos
はい
管理者が、Panorama 管理者の認証に Panorama: はい
使用される Kerberos サーバーのプロデバイスグループ /
ファイルを表示および設定できるかテンプレート : いいえ
どうかを指定します。
この権限を読み取り専用に設定する
と、管理者は、Kerberos サーバーの
プロファイルを表示できますが、管
理することはできません。
この権限を無効にすると、管理者は
Kerberos サーバーのプロファイルを表
示または管理することができません。
デバイス管理
113
リファレンス : Web インターフェイス管理者のアクセス権限
設定可能な
管理者ロール
デバイス管理
アクセス
レベル
説明
有効化
認証
プロファイル
はい
管理者が、Panorama 管理者の認証プ Panorama: はい
ロファイルを表示、追加、編集、削デバイスグループ /
除、またはコピーできるかどうかをテンプレート : いいえ
指定します。
読み取無効化
り専用
はい
はい
はい
はい
はい
はい
この権限を読み取り専用に設定する
と、管理者は、Panorama の認証プロ
ファイルを表示できますが、管理す
ることはできません。
この権限を無効にすると、管理者は
Panorama の認証プロファイルを表示
または管理することができません。
認証
シーケンス
はい
管理者が、Panorama 管理者の認証シー Panorama: はい
ケンスを表示、追加、編集、削除、デバイスグループ /
またはコピーできるかどうかを指定テンプレート : いいえ
します。
この権限を読み取り専用に設定する
と、管理者は、Panorama の認証シー
ケンスを表示できますが、管理する
ことはできません。
この権限を無効にすると、管理者は
Panorama の認証シーケンスを表示ま
たは管理することができません。
アクセス
ドメイン
はい
管理者が、Panorama 管理者のアクセ Panorama: はい
スドメインを表示、追加、編集、削デバイスグループ /
除、またはコピーできるかどうかをテンプレート : いいえ
指定します。
この権限を読み取り専用に設定する
と、管理者は、Panorama のアクセス
ドメインを表示できますが、管理す
ることはできません。
この権限を無効にすると、管理者は
Panorama のアクセスドメインを表示
または管理することができません。
114
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス
レベル
説明
設定可能な
管理者ロール
有効化
スケジュール
設定された
設定の
エクスポート
はい
管理者が、Panorama のスケジュール Panorama: はい
された設定のエクスポートを表示、デバイスグループ /
追加、編集、削除、またはコピーでテンプレート : いいえ
きるかどうかを指定します。
読み取無効化
り専用
いいえはい
この権限を読み取り専用に設定する
と、管理者は、スケジュールされた
エクスポートを表示できますが、管
理することはできません。
この権限を無効にすると、管理者はス
ケジュールされたエクスポートを表示
または管理することができません。
ソフトウェア
はい
管理者が、Panorama のソフトウェア Panorama: はい
更新に関する情報の表示、更新のダデバイスグループ /
ウンロード、アップロード、またはテンプレート : いいえ
インストール、および関連付けられ
ているリリースノートの表示を実行
できるかどうかを指定します。
はい
はい
この権限を読み取り専用に設定する
と、管理者は、Panorama のソフトウェ
ア更新に関する情報を表示し、関連
付けられているリリースノートを表
示できますが、関連する操作は何も
実行できません。
この権限を無効にすると、管理者
は、Panorama のソフトウェア更新を
表示したり、関連付けられているリ
リースノートを表示したり、関連す
る操作を実行したりすることができ
ません。
この権限は、Panorama 管理サー
バーにインストールされてい
るソフトウェアにのみ関係し
ます。[Panorama] > [デバイス
のデプロイ ] > [ ソフトウェア ]
ページでは、ファイアウォー
ルにデプロイされる PAN-OS
および専用のログコレクタに
デプロイされる Panorama ソフ
トウェアへのアクセスを制御
します。
デバイス管理
115
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス
レベル
説明
設定可能な
管理者ロール
ダイナミック管理者が、Panorama のコンテンツ更 Panorama: はい
更新
新（たとえば、WildFire の更新）に関
デバイス管理
有効化
読み取無効化
り専用
はい
はい
はい
デバイスグループ /
する情報の表示、更新のダウンローテンプレート : いいえ
ド、アップロード、インストール、
または更新を元に戻すこと、および
関連付けられているリリースノート
の表示を実行できるかどうかを指定
します。
この権限を読み取り専用に設定する
と、管理者は、Panorama のコンテン
ツ更新に関する情報を表示し、関連
付けられているリリースノートを表
示できますが、関連する操作は何も
実行できません。
この権限を無効にすると、管理者
は、Panorama のコンテンツ更新を表
示したり、関連付けられているリ
リースノートを表示したり、関連す
る操作を実行したりすることができ
ません。
この権限は、Panorama 管理サー
バーにインストールされるコ
ンテンツ更新にのみ関係しま
す。[Panorama] > [デバイスの
デプロイ ] > [ ダイナミック更新 ]
ページでは、ファイアウォール
と専用ログコレクタにデプロ
イされるコンテンツ更新へのア
クセスを制御します。
116
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス
レベル
説明
設定可能な
管理者ロール
有効化
サポート
はい
管理者が、Panorama のサポートライ Panorama: はい
センス情報、製品のアラート、セデバイスグループ /
キュリティアラートの表示、サポーテンプレート : いいえ
トライセンスのアクティベーショ
ン、テクニカルサポートファイルの
生成、およびケースの管理を実行で
きるかどうかを指定します。
読み取無効化
り専用
はい
はい
この権限を読み取り専用に設定する
と、管理者は、Panorama のサポート
情報、製品のアラート、およびセ
キュリティアラートを表示できます
が、サポートライセンスをアクティ
ブにしたり、テクニカルサポート
ファイルを生成したり、ケースを管
理したりすることはできません。
この権限を無効にすると、管理者
は、Panorama のサポート情報、製品
のアラート、またはセキュリティア
ラートの表示、サポートライセンス
のアクティベーション、テクニカル
サポートファイルの生成、またはケー
スの管理を行うことができません。
デバイスの
デプロイ
デバイス管理
はい
デバイスのデプロイの権限すべてに Panorama: はい
ついて、デフォルト状態（[ 有効 ] まデバイスグループ /
たは [ 無効 ]）を設定します。
テンプレート : はい
これらの権限は、Panorama の
管理者がファイアウォールお
よび専用ログコレクタにデプ
ロイするソフトウェアおよび
コンテンツの更新にのみ関係
します。[Panorama] > [ソフト
ウェア ] および [Panorama] >
[ ダイナミック更新 ] ページで
は、Panorama 管理サーバーに
インストールされるソフト
ウェアおよびコンテンツ更新
を制御します。
いいえはい
117
リファレンス : Web インターフェイス管理者のアクセス権限
設定可能な
管理者ロール
デバイス管理
アクセス
レベル
説明
有効化
ソフトウェア
はい
管理者が、ファイアウォールおよび Panorama: はい
ログコレクタにインストールされるデバイスグループ /
ソフトウェア更新に関する情報の表テンプレート : はい
示、更新のダウンロード、アップ
ロード、またはインストール、およ
び関連付けられているリリースノー
トの表示を実行できるかどうかを指
定します。
読み取無効化
り専用
はい
はい
はい
はい
この権限を読み取り専用に設定する
と、管理者は、ソフトウェア更新に
関する情報を表示し、関連付けられ
ているリリースノートを表示できま
すが、ファイアウォールまたは専用
ログコレクタに更新をデプロイする
ことはできません。
この権限を無効にすると、管理者
は、ソフトウェア更新に関する情報
を表示したり、関連付けられている
リリースノートを表示したり、ファ
イアウォールまたは専用ログコレク
タに更新をデプロイしたりすること
ができません。
SSL VPN
クライアント
はい
管理者が、ファイアウォール上の Panorama: はい
SSL VPN クライアントソフトウェアデバイスグループ /
更新の表示、更新のダウンロード、テンプレート : はい
アップロード、またはアクティベー
ション、および関連付けられている
リリースノートの表示を実行できる
かどうかを指定します。
この権限を読み取り専用に設定する
と、管理者は、SSL VPN クライアン
トのソフトウェア更新に関する情報
を表示し、関連付けられているリ
リースノートを表示できますが、
ファイアウォール上の更新をアク
ティブにすることはできません。
この権限を無効に設定すると、管理
者は、SSL VPN クライアントのソフ
トウェア更新に関する情報を表示し
たり、関連付けられているリリース
ノートを表示したり、ファイア
ウォール上の更新をアクティブにし
たりすることができません。
118
デバイス管理
デバイス管理
アクセス
レベル
リファレンス : Web インターフェイス管理者のアクセス権限
説明
設定可能な
管理者ロール
GlobalProtect 管理者が、ファイアウォール上の Panorama: はい
クライアント GlobalProtect クライアントソフト
有効化
読み取無効化
り専用
はい
はい
はい
デバイスグループ /
ウェア更新の表示、更新のダウンテンプレート : はい
ロード、アップロード、またはアク
ティベーション、および関連付けら
れているリリースノートの表示を実
行できるかどうかを指定します。
この権限を読み取り専用に設定する
と、管理者は、GlobalProtect クライア
ントのソフトウェア更新に関する情
報を表示し、関連付けられているリ
リースノートを表示できますが、
ファイアウォール上の更新をアク
ティブにすることはできません。
この権限を無効に設定すると、管理
者は、GlobalProtect クライアントのソ
フトウェア更新に関する情報を表示
したり、関連付けられているリリー
スノートを表示したり、ファイア
ウォール上の更新をアクティブにし
たりすることができません。
デバイス管理
119
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス
レベル
説明
設定可能な
管理者ロール
デバイス管理
有効化
読み取無効化
り専用
はい
はい
はい
はい
管理者が、ファイアウォールのライ Panorama: はい
センスを表示、更新、またはアクデバイスグループ /
ティブにすることができるかどうかテンプレート : はい
を指定します。
はい
はい
ダイナミック管理者が、ファイアウォールおよび Panorama: はい
更新
専用ログコレクタにインストールさ
デバイスグループ /
れるコンテンツ更新（たとえば、アテンプレート : はい
プリケーション更新）に関する情報
の表示、更新のダウンロード、アッ
プロード、またはインストール、お
よび関連付けられているリリース
ノートの表示を実行できるかどうか
を指定します。
この権限を読み取り専用に設定する
と、管理者は、コンテンツ更新に関
する情報を表示し、関連付けられて
いるリリースノートを表示できます
が、ファイアウォールまたは専用ロ
グコレクタに更新をデプロイするこ
とはできません。
この権限を無効にすると、管理者
は、コンテンツ更新に関する情報を
表示したり、関連付けられているリ
リースノートを表示したり、ファイ
アウォールまたは専用ログコレクタ
に更新をデプロイしたりすることが
できません。
ライセンス
この権限を読み取り専用に設定する
と、管理者は、ファイアウォールのラ
イセンスを表示できますが、それらの
ライセンスを更新したり、アクティ
ブにしたりすることはできません。
この権限を無効にすると、管理者
は、ファイアウォールのライセンス
の表示、更新、またはアクティブに
することができません。
120
デバイス管理
デバイス管理
アクセス
レベル
リファレンス : Web インターフェイス管理者のアクセス権限
説明
設定可能な
管理者ロール
マスターキー管理者が、Panorama で秘密鍵を暗号化 Panorama: はい
および診断
するためのマスターキーを表示およ
有効化
読み取無効化
り専用
はい
はい
はい
デバイスグループ /
び設定できるかどうかを指定します。テンプレート : いいえ
この権限を読み取り専用に設定する
と、管理者は、Panorama のマスター
キー設定を表示できますが、変更す
ることはできません。
この権限を無効にすると、管理者は
Panorama のマスターキー設定を表示
または編集することができません。
Panorama Web インターフェイスのアクセス
Panorama のカスタム管理者ロールにより、Panorama でのオプションへのアクセス権限、および
[ デバイスグループとテンプレート ]（[Policies]、[Objects]、[Network]、[Device] タブ）への
アクセスのみを許可する権限を定義できます。
作成することができる管理者ロールは、[Panorama] と [ デバイスグループとテンプレート ] で
す。CLI アクセス権限を [ デバイスグループとテンプレート ] 管理者ロールに割り当てることは
できません。CLI のスーパーユーザー権限を Panorama 管理者ロールに割り当てると、その
ロールを持つ管理者は、割り当てる Web インターフェイスの権限に関係なく、すべての機能に
アクセスできます。
アクセスレベル
説明
ダッシュボード
ACC
デバイス管理
有効化
読み取り
専用
無効化
[Dashboard] タブへのアクセスを制御します。こはい
の権限を無効にすると、その管理者にはこのタ
ブが表示されなくなり、[Dashboard] ウィジェッ
トのいずれにもアクセスできません。
いいえ
はい
アプリケーションコマンドセンター (ACC) へはい
のアクセスを制御します。この権限を無効にす
ると、[ACC] タブが Web インターフェイスに表
示されなくなります。ACC へのアクセス権限
を与えると同時にユーザーのプライバシーを守
るには、[ 専用 ] > [ 完全 IP アドレスの表示 ] オ
プションまたは [ ログおよびレポート内のユー
ザー名の表示 ] オプションを無効にすることが
できます。
いいえ
はい
121
リファレンス : Web インターフェイス管理者のアクセス権限
アクセスレベル
説明
モニター
デバイス管理
読み取り
専用
無効化
[Monitor] タブへのアクセスを制御します。こはい
の権限を無効にすると、その管理者には
[Monitor] タブが表示されなくなり、ログ、パ
ケットキャプチャ、セッション情報、レポー
ト、またはアプリケーションスコープのいず
れにもアクセスできません。管理者が表示でき
るモニタリング情報をより詳細に制御するに
は、[モニター] オプションを有効にしたままで、
「[Monitor] タブに対する詳細なアクセス権限の
付与」での説明に従ってタブ上の特定のノード
を有効または無効にします。
いいえ
はい
ポリシー
[Policies] タブへのアクセスを制御します。こはい
の権限を無効にすると、その管理者には
[Policies] タブが表示されなくなり、どのポリ
シー情報にもアクセスできません。たとえば、
特定のタイプのポリシーへのアクセスを有効に
する、またはポリシー情報への読み取り専用ア
クセスを有効にするなど、管理者が表示できる
ポリシー情報をより詳細に制御するには、
[Policies] オプションを有効にしたままで、
「[Policies] タブに対する詳細なアクセス権限の
付与」での説明に従ってタブ上の特定のノード
を有効または無効にします。
いいえ
はい
オブジェクト
[Objects] タブへのアクセスを制御します。こはい
の権限を無効にすると、その管理者には
[Objects] タブが表示されなくなり、オブジェ
クト、セキュリティプロファイル、ログ転送
プロファイル、復号プロファイル、またはスケ
ジュールのいずれにもアクセスできません。管
理者が表示できるオブジェクトをより詳細に制
御するには、[Objects] オプションを有効にし
たままで、「[Objects] タブに対する詳細なアク
セス権限の付与」での説明に従ってタブ上の特
定のノードを有効または無効にします。
いいえ
はい
122
有効化
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセスレベル
説明
ネットワーク
デバイス
有効化
読み取り
専用
無効化
[Network] タブへのアクセスを制御します。こはい
の権限を無効にすると、その管理者には
[Network] タブが表示されなくなり、インター
フェイス、ゾーン、VLAN、バーチャルワイ
ヤー、仮想ルーター、IPsec トンネル、DHCP、
DNS プロキシ、GlobalProtect、QoS 設定情報、
またはネットワークプロファイルのいずれに
もアクセスできません。管理者が表示できるオ
ブジェクトをより詳細に制御するには、
[Network] オプションを有効にしたままで、
「[Network] タブに対する詳細なアクセス権限
の付与」での説明に従ってタブ上の特定のノー
ドを有効または無効にします。
いいえ
はい
[Device] タブへのアクセスを制御します。このはい
権限を無効にすると、その管理者には [Device]
タブが表示されなくなり、User-ID、高可用
性、サーバープロファイル、または証明書設
定情報などのデバイス全体の設定情報のいずれ
にもアクセスできません。管理者が表示できる
オブジェクトをより詳細に制御するには、
[Device] オプションを有効にしたままで、
「[Device] タブに対する詳細なアクセス権限の
付与」での説明に従ってタブ上の特定のノード
を有効または無効にします。
いいえ
はい
いいえ
はい
[Device] タブへのフルアクセス権限を有
効にしていても、[ 管理者ロール ] または
[ 管理者 ] ノードに対するロールベース管
理者のアクセス権限を有効にすることは
できません。
Panorama
[Panorama] タブへのアクセスを制御します。はい
この権限を無効にすると、その管理者には
[Panorama] タブが表示されず、[ 管理対象デバ
イス ]、[ 管理対象コレクタ ]、または [ コレクタ
グループ ] などの Panorama 全体の設定情報にア
クセスできなくなります。
管理者が表示できるオブジェクトをより詳細
に制御するには、[Panorama] オプションを有
効にしたままにし、「[Panorama] タブに対する
詳細なアクセス権限の付与」での説明に従っ
てタブ上の特定のノードを有効または無効に
します。
デバイス管理
123
リファレンス : Palo Alto Networks のデバイスが使用するポート番号
デバイス管理
リファレンス : Palo Alto Networks のデバイスが使用する
ポート番号
以下の表に、Palo Alto Networks のデバイスが、相互の通信で、またはネットワーク上の他の
サービスとの通信で使用するポートの一覧を示します。

管理機能で使用するポート

HA で使用するポート

Panorama で使用するポート

User-ID で使用するポート
管理機能で使用するポート
宛先ポート
プロトコル
説明
22
TCP
クライアントシステムからファイアウォールの CLI インターフェイス
への通信で使用します。
80
TCP
ファイアウォールが、OCSP レスポンダとして機能するときに OCSP 更
新をリッスンするポート。
123
UDP
NTP 更新でファイアウォールが使用するポート。
443
TCP
クライアントシステムからファイアウォールの Web インターフェイス
への通信で使用します。このポートは、ファイアウォールまたは
User-ID エージェントが VM 情報ソースの更新をリッスンするポートで
もあります。AWS 環境をモニタリングする場合に使用される唯一のポー
トです。VMware vCenter/ESXi 環境をモニタリングする場合、デフォルト
のリッスンポートは 443 ですが、このポートは設定可能です。
162
UDP
ファイアウォール、Panorama、またはログコレクタが SNMP トラップ
を SNMP トラップレシーバに送信するために使用するポート。
Palo Alto Networks デバイスでこのポートを開く必要はありませ
ん。SNMP トラップレシーバは、このポートをリッスンするよ
うに設定する必要があります。
161
UDP
ファイアウォールが、NMS からの SNMP ポーリング要求をリッスンす
るポート。
514
TCP
514
UDP
6514
SSL
ファイアウォール、Panorama、またはログコレクタがログを Syslog
サーバーに送信するために使用するポート、および（ファイアウォー
ルまたは Windows サーバーの）User-ID エージェントが User-ID で使用
する認証 Syslog メッセージをリッスンするポート。
2055
UDP
124
ファイアウォールが NetFlow レコードの送信で使用するデフォルトの
ポート。ただし、設定可能です。
デバイス管理
デバイス管理
リファレンス : Palo Alto Networks のデバイスが使用するポート番号
宛先ポート
プロトコル
説明
5008
TCP
GlobalProtect モバイルセキュリティマネージャが、GlobalProtect ゲート
ウェイからの HIP 要求をリッスンするポート。
サードパーティの MDM システムを使用する場合は、MDM ベンダーで
必要とされるポートとは異なるポートを使用するようにゲートウェイ
を設定することができます。
6081
TCP
6082
TCP
キャプティブポータルで使用するポート。
HA で使用するポート
「高可用性」(HA) ピアとして設定されるファイアウォールには、相互に通信して状態情報
（HA1 制御リンク）を保持し、データを同期（HA2 データリンク）する機能が必要です。アク
ティブ / 非アクティブ HA のデプロイの場合、ピアファイアウォールは、セッションを所有す
る HA ピアにもパケットを転送する必要があります。HA3 リンクはレイヤー 2 (MAC-in-MAC) リ
ンクであり、レイヤー 3 アドレスまたは暗号化をサポートしていません。
宛先ポート
プロトコル
説明
28769
TCP
28260
TCP
HA ピアファイアウォール間のクリアテキスト通信用の HA1 制御リン
クで使用されます。HA1 リンクはレイヤー 3 リンクのため、IP アドレ
スが必要です。
28
TCP
HA ピアファイアウォール間の暗号化通信 (SSH over TCP) 用の HA1 制御
リンクで使用されます。
28770
TCP
HA1 バックアップリンク用のリッスンポート。
28771
TCP
ハートビートバックアップで使用します。Palo Alto Networks では、
HA1 または HA1 のバックアップリンクでインバンドポートを使用する
場合、MGT インターフェイスでハートビートバックアップを有効にす
ることをお勧めします。
99
IP
29281
UDP
セッションを同期するために HA2 リンクで使用して、HA ペア内のファ
イアウォール間で、テーブル、IPSec セキュリティの関連付け、および
ARP テーブルを転送します。HA2 リンクのデータフローは、（HA2
キープアライブを除いて）常に一方向であり、アクティブデバイス
（アクティブ / パッシブ）またはアクティブ - プライマリ（アクティブ /
アクティブ）からパッシブデバイス（アクティブ / パッシブ）またはア
クティブ - セカンダリ（アクティブ / アクティブ）の方向に流れます。
HA2 リンクはレイヤー 2 リンクなので、デフォルトで EtherType 0x7261
を使用します。
HA データリンクは、IP（プロトコル番号 99）または UDP（ポート
29281）のいずれかを転送ポートとして使用するように設定することも
できるため、HA データリンクはサブネットをまたぐことができます。
デバイス管理
125
リファレンス : Palo Alto Networks のデバイスが使用するポート番号
デバイス管理
Panorama で使用するポート
宛先ポート
プロトコル
説明
22
TCP
クライアントシステムから Panorama CLI インターフェイスへの通信
で使用します。
443
TCP
クライアントシステムから Panorama の Web インターフェイスへの通信
で使用します。
3978
TCP
Panorama と管理対象デバイスまたは管理対象ログコレクタの間の通
信、およびコレクタグループ内のログコレクタ間の通信で使用され
ます。
• Panorama と管理対象デバイスの間の通信は双方向の接続であり、管
理対象ファイアウォールがログを Panorama に転送し、これにより
Panorama は、設定の変更を管理対象デバイスにプッシュできます。
コンテキストの切り替えコマンドは、同じ接続を使用して送信され
ます。
• ログコレクタは、この宛先ポートを使用してログを Panorama に転送
します。
• Panorama モードの Panorama のデフォルトのログコレクタ間の通信、
および DLC アーキテクチャモードのログコレクタとの通信に使用
されます。
クリアテキスト通信を使用する Panorama HA ピア間の HA 接続および
同期に使用します。通信は、どちらかのピアによって開始できます。
28769（5.1 以降）
TCP
28260（5.0 以降）
TCP
49160（5.0 以前）
TCP
28
TCP
暗号化通信 (SSH over TCP) を使用する Panorama HA ピア間の HA 接続およ
び同期に使用します。通信は、どちらかのピアによって開始できます。
28270（6.0 以降）
TCP
ログ配信用のコレクタグループ内のログコレクタ間の通信で使用し
ます。
TCP
Panorama 仮想アプライアンスがログを NFS データストアに書き込むた
めに使用します。
49190（5.1 以前）
2049
126
デバイス管理
デバイス管理
リファレンス : Palo Alto Networks のデバイスが使用するポート番号
User-ID で使用するポート
「User-ID」は、ユーザーの IP アドレスとユーザー名およびグループメンバーシップをマッピ
ングできるようにする機能で、ユーザーまたはグループベースのポリシーを有効にし、ネット
ワークでのユーザーアクティビティを可視化することができます（たとえば、脅威の被害者に
なっている可能性があるユーザーまですばやくトラックダウンすることができます）。この
マッピングを実行するため、ファイアウォール、User-ID エージェント（Windows ベースシステ
ムにインストールされているエージェントか、ファイアウォールで実行されている PAN-OS 統
合エージェントのどちらか）、またはターミナルサービスエージェントは、「グループマッ
ピング」および「ユーザーマッピング」を実行するため、ネットワークのディレクトリサービ
スに接続できるようになっている必要があります。また、ファイアウォールの外部システムで
エージェントが実行されている場合、それらのエージェントでは、IP アドレスからユーザー名
へのマッピングをファイアウォールに通信するため、ファイアウォールに接続できるように
なっている必要があります。以下の表に、User-ID での通信要件と、接続を確立するために必要
なポート番号の一覧を示します。
宛先ポート
プロトコル
説明
389
TCP
「ユーザーとグループのマッピング」を行うため、ファイアウォール
が LDAP サーバーへの接続（プレーンテキストまたは StartTLS）に使用
するポート。
636
TCP
「ユーザーとグループのマッピング」を行うため、ファイアウォール
が LDAP サーバーへの接続 (LDAP over SSL) に使用するポート。LDAP
over SSL 接続で使用されます。
514
514
6514
TCP
UDP
SSL
User-ID エージェント（ファイアウォールまたは Windows サーバー上）
が User-ID で使用する認証 Syslog メッセージをリッスンするポート。
5007
TCP
ファイアウォールが、User-ID またはターミナルサーバーエージェン
トからのユーザーマッピング情報をリッスンするポート。エージェン
トは、新規または更新されたマッピングを検出するといつでも、IP ア
ドレスとユーザー名のマッピングをタイムスタンプと一緒に送信しま
す。また、定期的にファイアウォールに接続し、既知のマッピングを
更新します。
5006
TCP
User-ID エージェントが「User-ID XML API」要求をリッスンするポー
ト。この通信の送信元は、通常、API を呼び出すスクリプトを実行して
いるシステムです。
88
UDP
User-ID エージェントが Kerberos サーバーに対する認証で使用する
ポート。
1812
UDP
User-ID エージェントが RADIUS サーバーに対する認証で使用する
ポート。
デバイス管理
127
リファレンス : Palo Alto Networks のデバイスが使用するポート番号
デバイス管理
宛先ポート
プロトコル
説明
135
TCP
User-ID エージェントが、Microsoft Remote Procedure Call (RPC) エンドポ
イントマッパーとの TCP ベースの WMI 接続を確立するために使用す
るポート。エンドポイントマッパーは、49152 ～ 65535 のポート範囲で
ランダムに割り当てられたポートをエージェントに割り当てます。
エージェントは、この接続を使用して、Exchange Server または AD サー
バーのセキュリティログ、セッションテーブルに対する RPC クエリを
実行します。このポートは、ターミナルサービスへのアクセスにも使
用されます。
User-ID エージェントは、クライアントシステムに接続して WMI プ
ローブを実行する場合にも、このポートを使用します。
139
TCP
User-ID エージェントが、AD サーバーへの TCP ベースの NetBIOS 接続
を確立し、セキュリティログとセッション情報に対する RPC クエリを
送信できるようにするために使用するポート。
User-ID エージェントは、NetBIOS プローブ（Windows ベースの User-ID
エージェントでのみサポート）でクライアントシステムに接続する場
合にも、このポートを使用します。
445
128
TCP
User-ID エージェントが、ユーザーのログオン情報（印刷スプーラーお
よび Net Logon）にアクセスする場合に、AD サーバーへの TCP ベース
の SMB 接続を使用して Active Directory (AD) に接続する場合に使用する
ポート。
デバイス管理
デバイス管理
ファイアウォールの工場出荷時設定へのリセット
ファイアウォールの工場出荷時設定へのリセット
ファイアウォールを工場出荷時設定にリセットすると、すべての設定とログが失われます。
ファイアウォールの工場出荷時設定へのリセット
ステップ 1
ファイアウォールへのコンソー 1.
ル接続を設定します。
コンピュータからコンソールポートにシリアルケーブ
ルを接続し、ターミナルエミュレーションソフトウェ
ア (9600-8-N-1) を使用してファイアウォールに接続し
ます。
コンピュータが 9 ピンシリアルポートを装備し
ていない場合は、USB-シリアルポートコネクタ
を使用してください。
2.
ログイン認証情報を入力します。
3.
以下の CLI コマンドを入力します。
debug system maintenance-mode
ファイアウォールがメンテナンスモードで再起動し
ます。
ステップ 2
システムを工場出荷時設定に 1.
リセットします。
デバイスが再起動したら、Enter を押してメンテナンス
モードのメニューに進みます。
2.
Factory Reset
を選択し、Enter を押します。
3.
Factory Reset
を選択し、Enter をもう一度押します。
ファイアウォールが設定なしで再起動します。ファイ
アウォールにログインするためのデフォルトのユー
ザー名 / パスワードは、admin/admin です。
ファイアウォールで初期設定を実行し、ネットワーク
接続を設定する方法については、「管理ネットワーク
へのファイアウォールの統合」を参照してください。
デバイス管理
129
ファイアウォールの工場出荷時設定へのリセット
デバイス管理
130
デバイス管理
証明書の管理
以下のトピックでは、Palo Alto Networks デバイスで使用するさまざまなキーや証明書、および
それらの取得、管理方法を説明します。

キーおよび証明書

証明書の失効

証明書のデプロイメント

証明書失効状態の検証の設定

マスターキーの設定

証明書の取得

証明書プロファイルの設定

SSL フォワードプロキシサーバーの証明書の鍵のサイズの設定

証明書の失効および更新

ハードウェアセキュリティモジュールによるキーの安全確保
証明書の管理
131
キーおよび証明書
証明書の管理
キーおよび証明書
Palo Alto Networks デバイスでは、安全なコミュニケーションセッションでの両者間の信頼を確
保するために、デジタル証明書を使用します。各証明書には、平文を暗号化したり、暗号化テ
キストを復号化したりするための暗号化キーが含まれています。また、発行者の ID を認証する
ためのデジタル署名も含まれています。発行者は、認証する側の信頼された認証局 (CA) のリス
トに記載されている必要があります。必要に応じて、認証する側は発行者が証明書を無効化し
ていないことを検証します（「証明書の失効」を参照）。
Palo Alto Networks デバイスでは、以下のアプリケーションで証明書を使用します。

キャプティブポータル、GlobalProtect、モバイルセキュリティマネージャ、ファイアウォー
ル /Panorama Web インターフェイスアクセスでのユーザー認証。

GlobalProtect VPN（リモートユーザーとサイト間または大規模）のデバイス認証。

Internet Key Exchange (IKE) による IPSec サイト間 VPN のデバイス認証。

インバウンドおよびアウトバウンド SSL トラフィックの復号化。ファイアウォールでは、セ
キュリティポリシーおよびルールを適用するためにトラフィックを復号化してから、最終的
な宛先にトラフィックを転送する前にトラフィックを再暗号化します。アウトバウンドトラ
フィックの場合、ファイアウォールはフォワードプロキシサーバーとして機能し、宛先
サーバーとの SSL/TLS 接続を確立します。ファイアウォール自体とクライアント間の接続の
安全性を確保するため、ファイアウォールでは署名証明書を使用して宛先サーバーの証明書
のコピーを自動的に生成します。
以下の表では、Palo Alto Networks デバイスが使用するキーと証明書について説明します。使用
するたびに、異なるキー/ 証明書を使用することをお勧めします。
表 : Palo Alto Networks デバイスのキー/ 証明書
キー/ 証明書の用途
説明
管理アクセス
デバイスの管理インターフェイス（Web インターフェイスへの HTTPS アクセ
ス）への安全なアクセスには、MGT インターフェイス（またはデバイスが
MGT を使用していない場合は、データプレーン上の指定インターフェイス）
のサーバー証明書と、必要に応じて、管理者を認証する証明書が必要です。
キャプティブポータル
キャプティブポータルが HTTPS リソースにアクセスするユーザーを識別する
デプロイメントでは、キャプティブポータルインターフェイスのサーバー証
明書を指定します。（ユーザー/ パスワード資格情報の代わりにまたは、ユー
ザー/ パスワード資格情報に追加して）証明書を使用してユーザーを識別する
ようにキャプティブポータルを設定している場合は、ユーザー証明書も指定
します。キャプティブポータルの詳細は、「キャプティブポータルを使用し
た IP アドレス対ユーザー名のマッピング」を参照してください。
132
証明書の管理
証明書の管理
キーおよび証明書
キー/ 証明書の用途
説明
フォワードトラスト
アウトバウンド SSL/TLS トラフィックでは、フォワードプロキシとして機能
するファイアウォールが宛先サーバーの証明書に署名をした CA を信頼してい
る場合、ファイアウォールでは、フォワードトラスト CA 証明書を使用して、
クライアントに提示する宛先サーバー証明書のコピーを生成します。鍵のサイ
ズを設定するには、「SSL フォワードプロキシサーバーの証明書の鍵のサイ
ズの設定」を参照してください。セキュリティを強化するため、ハードウェア
セキュリティモジュールにキーを保存してください（詳細は、「ハードウェ
アセキュリティモジュールによるキーの安全確保」を参照してください）。
フォワードアントラスト
アウトバウンド SSL/TLS トラフィックでは、フォワードプロキシとして機能
するファイアウォールが宛先サーバーの証明書に署名をした CA を信頼しない
場合、ファイアウォールでは、フォワードアントラスト CA 証明書を使用し
て、クライアントに提示する宛先サーバー証明書のコピーを生成します。
SSL インバウンド
インスペクション
インスペクションおよびポリシー実施のためにインバウンド SSL/TLS トラ
フィックを復号化するキー。このアプリケーションでは、SSL/TLS インバウン
ドインスペクションの対象となるサーバーごとに秘密鍵をファイアウォール
にインポートします。「SSL インバウンドインスペクションの設定」を参照し
てください。
SSL 除外証明書
SSL/TLS 復号化から除外するサーバーの証明書。たとえば、SSL 復号化を有効
にしているが、ファイアウォールでトラフィックを復号化しないサーバー
（HR システムの Web サービスなど）がネットワークに含まれている場合、該
当する証明書をファイアウォールにインポートして、その証明書を SSL 除外証
明書として設定します。「復号化の例外の設定」を参照してください。
GlobalProtect
GlobalProtect のコンポーネント間のすべてのやり取りは、SSL/TLS 接続を介し
て実行されます。そのため、GlobalProtect デプロイメントの一環として、すべ
ての GlobalProtect ポータル、ゲートウェイ、モバイルセキュリティマネー
ジャのサーバー証明書をデプロイします。必要に応じて、ユーザーを認証する
ための証明書もデプロイします。
「大規模 VPN (LSVPN)」機能には、CA 署名証明書が必要です。
サイト間 VPN (IKE)
証明書の管理
サイト間 IPSec VPN デプロイメントでは、ピアデバイスは Internet Key Exchange
(IKE) ゲートウェイを使用して安全なチャネルを確立します。IKE ゲートウェ
イでは、証明書または事前共有鍵を使用して、ピア同士が相互に認証を行いま
す。ファイアウォールでの IKE ゲートウェイを定義する場合は、証明書また
はキーを設定して、割り当てます。「サイト間 VPN の概要」を参照してくだ
さい。
133
キーおよび証明書
証明書の管理
キー/ 証明書の用途
説明
マスターキー
ファイアウォールでは、マスターキーを使用して、すべての秘密鍵とパスワー
ドを暗号化します。ネットワークで秘密鍵を保存するための安全な場所が必要
な場合は、ハードウェアセキュリティモジュール (HSM) に保存されている暗号
化（ラッピング）キーを使用して、マスターキーを暗号化できます。詳細は、
「HSM を使用したマスターキーの暗号化」を参照してください。
保護された Syslog
ファイアウォールと syslog サーバー間の安全な接続を有効にするための証明
書。「Syslog サーバーに対して認証するためのファイアウォールの設定」を参
照してください。
信頼されたルート CA
ファイアウォールが信頼する CA が発行したルート証明書の名称。ファイア
ウォールは自己署名ルート CA 証明書を使用して、他のアプリケーション
（「SSL フォワードプロキシ」など）のための証明書を自動的に発行できます。
また、ファイアウォールが他のファイアウォールとの安全な接続を確立する必
要がある場合、証明書を発行するルート CA が信頼されたルート CA のリスト
に含まれている必要があります。
134
証明書の管理
証明書の管理
証明書の失効
証明書の失効
Palo Alto Networks デバイスでは、デジタル証明書を使用して、安全な通信セッションにおける
両者間の信頼を実現します。証明書の失効状態を確認するようにデバイスを設定することで、
セキュリティが強化されます。失効した証明書を提示する相手を信頼することはできません。
証明書がチェーンの一部である場合、デバイスで失効状態を検証できないルート CA 証明書を
除き、デバイスによりチェーンのすべての証明書の状態が確認されます。
さまざまな状況により、有効期限前に証明書が無効化されていることがあります。たとえば、
名前が変更された場合や、サブジェクトと認証局間の関連付けが変更された（従業員の雇用が
終了したなど）場合、秘密鍵の侵害が判明した、またはその疑いがある場合などです。このよ
うな状況では、証明書を発行した認証局が証明書を無効化する必要があります。
Palo Alto Networks デバイスでは、証明書の失効状態を検証するために以下の方法がサポートさ
れています。両方の方法を設定すると、デバイスではまず OCSP の方法を試します。OCSP サー
バーが使用できない場合は、CRL の方法を使用します。

証明書失効リスト (CRL)

Open Certificate Status Protocol (OCSP)
PAN-OS では、証明書の失効状態の検証は任意選択の機能です。キャプティブポータル、
GlobalProtect、サイト間 IPsec VPN、およびファイアウォール/Panorama Web インターフェ
イスアクセスでのユーザーおよびデバイス認証を定義する証明書プロファイルでは、この機能
を有効化することをお勧めします。
証明書失効リスト (CRL)
各認証局 (CA) では公開リポジトリに証明書失効リスト (CRL) を定期的に発行しています。CRL
では失効した証明書をシリアル番号で特定します。CA が証明書を無効化すると、次回の CRL
の更新にその証明書のシリアル番号が含まれます。
Palo Alto Networks ファイアウォールでは、ファイアウォールの信頼された認証局のリストに記
載されているすべての認証局の最新発行の CRL をダウンロードして、キャッシュします。
キャッシュは検証済みの証明書のみで実施されます。ファイアウォールで証明書の検証が行わ
れたことがない場合、ファイアウォールのキャッシュには発行認証局の CRL は保存されていま
せん。また、キャッシュが CRL を保存するのは、有効期限が切れるまでに限ります。
このファイアウォールでは、Distinguished Encoding Rules (DER) フォーマットの CRL のみがサ
ポートされています。ファイアウォールでその他のフォーマット（Privacy Enhanced Mail (PEM)
フォーマットなど）の CRL をダウンロードすると、その CRL を使用する失効検証プロセスは、
そのプロセスをトリガーするアクティビティ（アウトバウンド SSL データの送信など）を実行
するときに失敗します。ファイアウォールは、検証の失敗に関するシステムログを生成しま
す。それが SSL 証明書に関する検証であった場合は、ファイアウォールにより、[SSL 証明書エ
ラー通知ページ ] も表示されます。
証明書の管理
135
証明書の失効
証明書の管理
インバウンドおよびアウトバウンドの SSL/TLS トラフィックの復号化で使用される証明書の失
効状態を検証するために CRL を使用するには、「SSL/TLS 復号化に使用する証明書の失効状態
検証の設定」を参照してください。
ユーザーおよびデバイスを認証する証明書の失効状態を検証するために CRL を使用するには、
証明書プロファイルを設定して、キャプティブポータル、GlobalProtect（リモートユーザーと
サイト間または大規模）、サイト間 IPsec VPN、ファイアウォール /Panorama Web インターフェ
イスアクセスなどのアプリケーション固有のインターフェイスにその証明書プロファイルを割
り当てます。詳細は、「ユーザー/デバイス認証に使用される証明書の失効状態検証の設定」を
参照してください。
Open Certificate Status Protocol (OCSP)
クライアントは、SSL/TLS セッションを確立するときに、Online Certificate Status Protocol (OCSP)
を使用して、認証証明書の失効状態を確認できます。認証側のクライアントは OCSP レスポン
ダ（サーバー）に証明書のシリアル番号を含む要求を送信します。レスポンダは、証明書を発
行した認証局 (CA) のデータベースを検索して、状態（[ 正常 ]、[ 無効化 ]、または [ 不明 ]）を含
む応答をクライアントに返します。OCSP の方法のメリットは、CRL の発行頻度（毎時、日
次、週次）に依存することなく、状態をリアルタイムに検証できることです。
Palo Alto Networks ファイアウォールでは、ファイアウォールの信頼された認証局リストに記載
されているすべての認証局の OCSP 状態情報をダウンロードして、キャッシュします。キャッ
シュは検証済みの証明書のみで実施されます。ファイアウォールで証明書の検証が行われたこ
とがない場合、ファイアウォールのキャッシュには発行認証局の OCSP 情報は保存されていま
せん。組織に独自の公開鍵基盤 (PKI) がある場合、ファイアウォールを OCSP レスポンダとして
設定できます（「OCSP レスポンダの設定」を参照）。
ファイアウォールが SSL フォワードプロキシとして機能している場合、証明書の失効状態を検
証するために OCSP を使用するには、「SSL/TLS 復号化に使用する証明書の失効状態検証の設
定」に記載されている手順を実行します。
キャプティブポータル、GlobalProtect（リモートユーザーとサイト間または大規模）、サイト
間 IPsec VPN、ファイアウォール /Panorama Web インターフェイスアクセスなどのアプリケー
ションでは、ユーザーやデバイスを認証するために証明書を使用します。OCSP を使用して証
明書の失効状態を検証するには、以下の手順を実行します。

OCSP レスポンダを設定します。

ファイアウォールで HTTP OCSP サービスを有効化します。

アプリケーションごとに証明書を作成または取得します。

アプリケーションごとに証明書プロファイルを設定します。

該当するアプリケーションに証明書プロファイルを割り当てます。
OCSP レスポンダを使用できない状況に対処するには、CRL をフォールバック方法として設定
します。詳細は、「ユーザー/デバイス認証に使用される証明書の失効状態検証の設定」を参照
してください。
136
証明書の管理
証明書の管理
証明書のデプロイメント
証明書のデプロイメント
Palo Alto Networks デバイスの証明書をデプロイする基本的なアプローチは以下のとおりです。

信頼されたサードパーティ CA から証明書を取得する — VeriSign、GoDaddy などの信頼され
たサードパーティ証明書認証局 (CA) から証明書を取得するメリットは、一般的なブラウザ
には、信頼されたルート証明書ストア内にある既知の CA のルート CA 証明書が含まれてい
るため、エンドクライアントが証明書を信頼済みであることです。そのため、エンドクラ
イアントに Palo Alto Network デバイスとの安全な接続の確立を要求するアプリケーションで
は、エンドクライアントにルート CA 証明書を事前にデプロイする必要がないように、エン
ドクライアントが信頼する CA から証明書を購入します（このようなアプリケーションには
GlobalProtect ポータル、GlobalProtect モバイルセキュリティマネージャがあります）。ただ
し、ほとんどのサードパーティ CA は署名証明書を発行することができません。そのため、
このタイプの証明書は、ファイアウォールが証明書を発行する必要のあるアプリケーション
（SSL/TLS 復号化および大規模 VPN など）には適していません。「外部 CA からの証明書の
取得」を参照してください。

エンタープライズ CA から証明書を取得する — 独自の CA がある組織では、その CA を使用
してファイアウォールアプリケーションの証明書を発行し、その証明書をファイアウォール
にインポートできます。このメリットは、エンドクライアントがそのエンタープライズ CA
を信頼済みである可能性が高いことです。必要な証明書を生成してファイアウォールにイン
ポートするか、ファイアウォールで証明書署名要求 (CSR) を生成して、署名を得るためエン
タープライズ CA にその要求を送信します。この方法のメリットは、秘密鍵がファイア
ウォール外に出ないことです。また、エンタープライズ CA は、ファイアウォールが自動的
に証明書を生成するために使用する署名証明書を発行することもできます（GlobalProtect 大
規模 VPN または SSL/TLS 復号化を要求するサイトなど）。「証明書および機密鍵のイン
ポート」を参照してください。

自己署名証明書を生成 — ファイアウォールで「自己署名ルート CA 証明書の作成」を行い、
その証明書を使用して他のファイアウォールアプリケーションの証明書を自動的に発行でき
ます。この方法を使用してアプリケーションの証明書を作成し、アプリケーションでエンド
クライアントにその証明書を信頼することを要求する場合、ルート CA 証明書がエンドユー
ザーの信頼済みのルート証明書ストアにないため、エンドユーザーに証明書エラーが表示さ
れます。これを回避するには、すべてのエンドユーザーシステムに自己署名ルート CA 証明
書をデプロイします。手動で証明書をデプロイしたり、Active Directory Group Policy Object
(GPO) などの中央管理されたデプロイメント方法を使用したりできます。
証明書の管理
137
証明書失効状態の検証の設定
証明書の管理
証明書失効状態の検証の設定
証明書の失効状態を検証する場合、ファイアウォールは Open Certificate Status Protocol (OCSP) ま
たは証明書失効リスト (CRL)、あるいはその両方を使用します。これらの方法の詳細は、「証
明書の失効」を参照してください。両方の方法を設定する場合は、ファイアウォールではまず
OCSP を試行します。OCSP レスポンダを使用できない場合に限り、CRL 方法にフォールバック
します。組織に独自の公開鍵基盤 (PKI) がある場合、ファイアウォールを OCSP レスポンダとし
て機能するように設定できます。
以下のトピックでは、証明書の失効状態を検証するためのファイアウォールの設定方法を説明
します。

OCSP レスポンダの設定

ユーザー/ デバイス認証に使用される証明書の失効状態検証の設定

SSL/TLS 復号化に使用する証明書の失効状態検証の設定
OCSP レスポンダの設定
証明書の失効状態を検証するために Open Certificate Status Protocol (OCSP) を使用するには、OCSP
レスポンダ（サーバー）にアクセスできるようにファイアウォールを設定する必要がありま
す。OCSP レスポンダを管理するエンティティは、サードパーティ認証局 (CA)、または、組織
に独自の公開鍵基盤 (PKI) がある場合は、ファイアウォール自体でも構いません。OCSP の詳細
は、「証明書の失効」を参照してください。
138
証明書の管理
証明書の管理
証明書失効状態の検証の設定
OCSP レスポンダの設定
ステップ 1
OCSP レスポンダを定義します。 1.
ファイアウォールで、[Device] > [証明書の管理] > [OCSP
レスポンダ] の順に選択し、[追加] をクリックします。
Panorama で、[Device] > [ 証明書の管理 ] > [OCSP レス
ポンダ ] の順に選択し、[ テンプレート ] を選択して、
[ 追加 ] をクリックします。
2.
レスポンダの識別に使用する [ 名前 ]（最大 31 文字）
を入力します。名前では大文字と小文字を区別します。
英字、数字、スペース、ハイフン、およびアンダースコ
アのみを使用し、一意である必要があります。
3.
ファイアウォールで複数の仮想システムをサポートし
ている場合は、ダイアログに [ 場所 ] ドロップダウン
が表示されます。レスポンダを使用できる仮想システ
ムを選択するか、[ 共有 ] を選択して、すべての仮想シ
ステムで使用できるようにします。
4.
[ ホスト名 ] フィールドに、OCSP レスポンダのホスト
名（推奨）または IP アドレスを入力します。PAN-OS
はこの値から URL を自動的に導出し、検証する証明
書にその URL を追加します。
ファイアウォール自体を OCSP レスポンダとして設定
する場合、OCSP サービスでファイアウォールが使用
するインターフェイス（ステップ 3 で指定）でホスト
名を IP アドレスに解決する必要があります。
5.
ステップ 2
ファイアウォールで OCSP 通信 1.
を有効にします。
[OK] をクリックします。
ファイアウォールで、[Device] > [ セットアップ ] > [ 管
理 ] の順に選択します。
Panorama で、[Device] > [ セットアップ ] > [ 管理 ] の
順に選択し、[ テンプレート ] を選択します。
2.
証明書の管理
[ 管理インターフェイス設定 ] セクションで、[HTTP
OCSP] のチェックボックスをオンにし、[OK] をク
リックします。
139
証明書失効状態の検証の設定
証明書の管理
OCSP レスポンダの設定（続き）
ステップ 3
必要に応じて、OCSP レスポン 1.
ダとしてファイアウォール自体
を設定するために、OCSP サー 2.
ビスで使用するインターフェイ
スにインターフェイス管理プロ
3.
ファイルを追加します。
[Network] > [ ネットワークプロファイル ] > [ インター
フェイス管理 ] を選択します。
[ 追加 ] をクリックして新しいプロファイルを作成する
か、既存のプロファイル名をクリックします。
[HTTP OCSP] チェックボックスをオンにして [OK] を
クリックします。
4.
[Network] > [ インターフェイス ] の順に選択し、ファ
イアウォールが OCSP サービスに使用するインター
フェイスの名前をクリックします。ステップ 1 で指定
した OCSP の [ ホスト名 ] は、このインターフェイスの
IP アドレスに解決される必要があります。
5.
[ 詳細 ] > [ その他の情報 ] を選択し、設定したインター
フェイス管理プロファイルを選択します。
6.
[OK]、[ コミット ] の順にクリックします。
ユーザー/ デバイス認証に使用される証明書の失効状態検証の設定
キャプティブポータル、GlobalProtect、サイト間 IPsec VPN、ファイアウォール /Panorama Web
インターフェイスアクセスなどのアプリケーションでは、ファイアウォールは証明書を使用し
てユーザーおよびデバイスを認証します。セキュリティを向上させるため、デバイス/ユーザー
認証のために使用する証明書の失効状態を検証できるようにファイアウォールを設定すること
をお勧めします。
ユーザー/ デバイス認証に使用される証明書の失効状態検証の設定
ステップ 1
アプリケーションごとに「証 1 つ以上のルート CA 証明書をプロファイルに割り当て、
明書プロファイルの設定」をファイアウォールによる証明書の失効状態の検証方法を
行います。
選択します。証明書の共通名（FQDN または IP アドレ
ス）はステップ 2 のプロファイルの適用先のインターフェ
イスに一致する必要があります。
さまざまなアプリケーションが使用する証明書の詳細
は、「キーおよび証明書」を参照してください。
ステップ 2
140
関連アプリケーションに証明書証明書プロファイルを割り当てる手順は、証明書を必要
プロファイルを割り当てます。とするアプリケーションによって異なります。
証明書の管理
証明書の管理
証明書失効状態の検証の設定
SSL/TLS 復号化に使用する証明書の失効状態検証の設定
ファイアウォールでは、インバウントおよびアウトバウンドの SSL/TLS トラフィックを復号化
して、セキュリティポリシーとルールを適用し、転送する前にそのトラフィックを再暗号化し
ます。（詳細は、「SSL インバウンドインスペクション」および「SSL フォワードプロキシ」
を参照してください。）ファイアウォールは、以下のように、復号化で使用される証明書の失
効状態を検証するように設定できます。
SSL/TLS 復号化証明書の失効状態検証を有効にすると、セッションの確立プロセスにさらに時
間がかかります。セッションのタイムアウト前に検証が完了していない場合、サイトへの初回
のアクセスの試行が失敗する可能性があります。このような理由から、検証はデフォルトで無
効になっています。
SSL/TLS 復号化に使用する証明書の失効状態検証の設定
ステップ 1
[復号化証明書失効の設定] ペーファイアウォールで、[Device] > [ セットアップ ] > [ セッ
ジにアクセスします。
ション ] を選択し、[ セッション機能 ] 領域で、[ 復号化証
明書失効の設定 ] をクリックします。
Panorama で、[Device] > [ セットアップ ] > [ セッション ]
を選択し、[ テンプレート ] を選択して、[ セッション機能 ]
領域で、[ 復号化証明書失効の設定 ] をクリックします。
ステップ 2
失効状態要求のサービス固有ファイアウォールで、証明書の失効状態を検証するため
のタイムアウト間隔を定義しに「Open Certificate Status Protocol (OCSP)」と「証明書失効
ます。
リスト (CRL)」のどちらの方法が使用されているのかに応
じて、以下の手順のいずれかまたはその両方を実行しま
す。ファイアウォールが両方を使用している場合、ファ
イアウォールはまず OCSP を試行します。OCSP レスポン
ダを使用できない場合は、CRL の方法を試行します。
1. [CRL] セクションで、[ 有効化 ] チェックボックスをオ
ンにして [ 受信の有効期限 ] に入力します。これは、
ファイアウォールが CRL サービスからの応答を待機
する期間（1 ～ 60 秒）です。
2.
[OCSP] セクションで、[ 有効化 ] チェックボックスをオ
ンにして [ 受信の有効期限 ] に入力します。これは、
ファイアウォールが OCSP レスポンダからの応答を待
機する期間（1 ～ 60 秒）です。
ステップ 3 で指定した [ 証明書の有効期限 ] の値に応じ
て、ファイアウォールでは、一方または両方の [ 受信の有
効期限 ] 期間が経過するまでのタイムアウトを登録するこ
とができます。
証明書の管理
141
証明書失効状態の検証の設定
証明書の管理
SSL/TLS 復号化に使用する証明書の失効状態検証の設定（続き）
ステップ 3
失効状態要求の合計タイムア [ 証明書の有効期限 ] を入力します。これは、ファイア
ウト間隔を定義します。
ウォールが任意の証明書状態サービスからの応答を待機し、
ステップ 4でユーザーが必要に応じて定義したセッション
ブロックロジックを適用するまでの期間（1 ～ 60 秒）で
す。[ 証明書の有効期限 ] は、以下のように OCSP/CRL の
[ 受信の有効期限 ] に関連付けられます。
• OCSP および CRL の両方を有効化する場合 — ファイア
ウォールは、[ 証明書の有効期限 ] の値または 2 つの [ 受
信の有効期限 ] の値の合計のいずれか小さい方の期間の
経過後に、要求のタイムアウトを登録します。
• OCSP のみを有効化する場合 — ファイアウォールは、[証
明書の有効期限 ] の値または OCSP の [ 受信の有効期限 ]
の値のいずれか小さい方の期間の経過後に、要求のタ
イムアウトを登録します。
• CRL のみを有効化する場合 — ファイアウォールは、[ 証
明書の有効期限 ] 値または CRL の [ 受信の有効期限 ] 値
のいずれか小さい方の期間の経過後に、要求のタイム
アウトを登録します。
ステップ 4
証明書の状態が [ 不明 ] である
か、失効状態の要求がタイム
アウトの場合のブロック動作
を定義します。
OCSP または CRL サービスが [ 不明 ] という証明書の失効
状態を返すとき、ファイアウォールで SSL/TLS セッショ
ンをブロックする場合は、[ 証明書の状態が不明なセッ
ションをブロックします ] チェックボックスをオンにしま
す。その他の場合は、ファイアウォールはセッションを
続行します。
要求のタイムアウトが登録された後に、ファイアウォール
で SSL/TLS セッションをブロックする場合は、[ 証明書の
状態のチェックがタイムアウトしたセッションをブロッ
クします ] チェックボックスをオンにします。その他の場
合は、ファイアウォールはセッションを続行します。
ステップ 5
142
エントリを保存して、適用し [OK]、[ コミット ] の順にクリックします。
ます。
証明書の管理
証明書の管理
マスターキーの設定
マスターキーの設定
すべてのファイアウォールには、秘密鍵およびその他のシークレット（パスワード、共有鍵な
ど）を暗号化するデフォルトのマスターキーがあります。秘密鍵は、秘密鍵がファイアウォー
ルの管理インターフェイスにアクセスするときにユーザーを認証します。キーの安全を保護す
るため、マスターキーはファイアウォールごとに一意に設定し、定期的に変更することをお勧
めします。セキュリティを強化するため、ハードウェアセキュリティモジュール (HSM) に保存
されているラッピングキーを使用して、マスターキーを暗号化します。詳細は、「HSM を使
用したマスターキーの暗号化」を参照してください。
高可用性 (HA) 設定では、HA ペアの両方のデバイスが同一のマスターキーを使用して、秘密
鍵および証明書を暗号化できるようにします。マスターキーが異なると、HA 設定の同期は適
切に動作しません。
ファイアウォール設定をエクスポートすると、マスターキーは外部サーバー上で管理されてい
るユーザーのパスワードを暗号化します。ローカルで管理されているユーザーでは、ファイア
ウォールはパスワードをハッシュしますが、マスターキーはパスワードを暗号化しません。
マスターキーの設定
1.
ファイアウォールで、[Device ] > [ マスターキーおよび診断 ] を選択し、[ マスターキー] セクショ
ンで、編集アイコンをクリックします。
Panorama で、[Panorama] > [ マスターキーおよび診断 ] を選択し、[ マスターキー] セクションで、
編集アイコンをクリックします。
2.
すでにマスターキーがある場合は、[ 現在のマスターキー] に入力します。
3.
新しい [ 新規マスターキー] を定義し、次に、[ マスター鍵の確認 ] を定義します。キーは、厳密に
16 文字である必要があります。
4.
（任意）マスターキーの [ ライフタイム ] を指定するには、キーが期限切れになるまでの期間を [ 日 ]
数と [ 時間数 ] で指定します。ライフタイムを設定する場合、古いキーの有効期限が切れる前に新
しいマスターキーを作成します。
5.
（任意）キーのライフタイムを設定する場合は、ファイアウォールがリマインダーをユーザーに電
子メールで送信するときに前のマスターキーの有効期限の [ 日 ] 数および [ 時間数 ] を指定する [ リ
マインダーの時間 ] を入力します。
6.
（任意）マスターキーを暗号化するために [HSM] を使用するかどうかを選択します。詳細は、「HSM
を使用したマスターキーの暗号化」を参照してください。
7.
[OK]、[ コミット ] の順にクリックします。
証明書の管理
143
証明書の取得
証明書の管理
証明書の取得

自己署名ルート CA 証明書の作成

ファイアウォールでの証明書の生成

証明書および機密鍵のインポート

外部 CA からの証明書の取得
144
証明書の管理
証明書の管理
証明書の取得
自己署名ルート CA 証明書の作成
自己署名ルート認証局 (CA) 証明書は、証明書チェーンで最上位の証明書です。ファイアウォー
ルはこの証明書を使用して、他の用途のために証明書を自動的に発行できます。たとえば、
ファイアウォールは、SSL/TLS 復号化や、GlobalProtect 大規模 VPN での衛星機器のための証明
書を発行します。
ファイアウォールとの安全な接続が確立する場合、リモートクライアントは証明書を発行した
ルート CA を信頼する必要があります。信頼しない場合、証明書が無効であり（セキュリティ
設定に応じて）接続をブロックする可能性があるという警告がクライアントブラウザに表示さ
れます。これを回避するため、自己署名ルート CA 証明書の生成後、クライアントシステムに
この証明書をインポートします。
自己署名ルート CA 証明書の生成
1.
ファイアウォールで、[Device] > [証明書の管理] > [証明書] > [デバイス証明書] の順に選択します。
Panorama で、[Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス証明書 ] の順に選択し、[ テンプ
レート ] を選択します。
2.
デバイスで複数の仮想システムをサポートしている場合は、タブに [ 場所 ] ドロップダウンが表示さ
れます。証明書の仮想システムを選択します。すべての仮想システムで証明書を使用できるように
するには、ステップ 6 に記載されている [ 共有 ] オプションを選択します。
3.
[ 生成 ] をクリックします。
4.
[ 証明書名 ] に「GlobalProtect_CA」などの名前を入力します。名前は大文字小文字を区別し、最大 31
文字を使用できます。英字、数字、ハイフン、およびアンダースコアのみを使用し、一意である必
要があります。
5.
[ 共通名 ] フィールドに、証明書を使用するサービスを設定するインターフェイスの FQDN（推奨）
または IP アドレスを入力します。
6.
すべての仮想システムで証明書を使用できるようにするには、[ 共有 ] チェックボックスをオンにし
ます。このチェックボックスは、デバイスが複数の仮想システムをサポートしている場合に限り表
示されます。
7.
[ 署名者 ] フィールドは空白のままにし、証明書を自己署名として指定します。
8.
[ 認証局 ] チェックボックスをオンにします。
9.
[OCSP レスポンダ ] をオンにしないでください。証明書の失効状態検証はルート CA 証明書には適用
されません。
10. [ 生成 ]、[ コミット ] の順にクリックします。
証明書の管理
145
証明書の取得
証明書の管理
ファイアウォールでの証明書の生成
SSL/TLS 復号化、キャプティブポータル、GlobalProtect、サイト間 IPsec VPN、ファイアウォー
ル /Panorama Web インターフェイスアクセスを含む複数のアプリケーションでは、ファイア
ウォールは証明書を使用して、クライアント、サーバー、ユーザー、およびデバイスを認証し
ます。使用するたびに証明書を生成します。アプリケーション固有の証明書の詳細は、「キー
および証明書」を参照してください。
証明書を生成するには、まず、ルート CA 証明書を作成またはインポートして、署名する必要
があります。詳細は、「自己署名ルート CA 証明書の作成」または「証明書および機密鍵のイ
ンポート」を参照してください。
証明書の失効状態を検証するため、Open Certificate Status Protocol (OCSP) を使用するには、証明
書を生成する前に、「OCSP レスポンダの設定」を行います。状態の検証の詳細は、「証明書
の失効」を参照してください。
ファイアウォールでの証明書の生成
1.
ファイアウォールで、[Device] > [証明書の管理] > [証明書] > [デバイス証明書] の順に選択します。
Panorama で、[Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス証明書 ] の順に選択し、[ テンプ
レート ] を選択します。
2.
デバイスで複数の仮想システムをサポートしている場合は、タブに [ 場所 ] ドロップダウンが表示さ
れます。証明書の仮想システムを選択します。すべての仮想システムで証明書を使用できるように
するには、ステップ 6 に記載されている [ 共有 ] オプションを選択します。
3.
[ 生成 ] をクリックします。
4.
[ 証明書名 ] を入力します。名前は大文字小文字を区別し、最大 31 文字を使用できます。英字、数
字、ハイフン、およびアンダースコアのみを使用し、一意である必要があります。
5.
[ 共通名 ] フィールドに、証明書を使用するサービスを設定するインターフェイスの FQDN（推奨）
または IP アドレスを入力します。
6.
すべての仮想システムで証明書を使用できるようにするには、[ 共有 ] チェックボックスをオンにし
ます。このチェックボックスは、デバイスが複数の仮想システムをサポートしている場合に限り表
示されます。
7.
[ 署名者 ] フィールドで、証明書を発行するルート CA 証明書を選択します。
8.
該当する場合、[OCSP レスポンダ ] を選択します。
9.
（任意）必要に応じて、[ 暗号設定 ] を定義し、OCSP レスポンダに対して認証する必要のあるデバ
イスで機能する証明書を作成します。デフォルトかつ推奨の鍵のサイズ（[ ビット数 ]）は 2048 ビッ
トです。デフォルトかつ推奨の暗号化アルゴリズム（[ ダイジェスト ]）は SHA256 です。
10. （任意）証明書を使用するファイアウォールおよびサービスを一意に特定するための [ 証明書の属
性 ] を [ 追加 ] します。
[ ホスト名 ]（DNS 名）属性を追加する場合は、[ 共通名 ] に一致させることをお勧めします。
このホスト名が、証明書の [ サブジェクト代替名 ] フィールドに入力されます。
11. [ 生成 ] をクリックして、[ デバイス証明書 ] タブで証明書の [ 名前 ] をクリックします。
146
証明書の管理
証明書の管理
証明書の取得
ファイアウォールでの証明書の生成（続き）
12. ファイアウォールでの証明書の使用目的に該当するチェックボックスをオンにします。たとえば、
ファイアウォールで証明書を Web インターフェイスへのユーザーアクセスを認証するために使用す
る場合は、[ 保護された Web GUI の証明書 ] チェックボックスをオンにします。
13. [OK]、[ コミット ] の順にクリックします。
証明書および機密鍵のインポート
組織に独自の公開鍵基盤 (PKI) がある場合、組織の認証局 (CA) からファイアウォールに証明書
および公開鍵をインポートできます。エンタープライズ CA 証明書（信頼されたサードパー
ティ CA から購入した大半の証明書ではなく）では、SSL/TLS 復号化または大規模 VPN などの
アプリケーション用の CA 証明書を自動的に発行できます。
すべてのクライアントシステムに自己署名ルート CA 証明書をインポートするのではなく、
エンタープライズ CA から証明書をインポートすることをお勧めします。これは、クライア
ントにエンタープライズ CA との信頼関係がすでにあり、デプロイメントが簡略化されるた
めです。
インポートする証明書が証明書チェーンの一部である場合、チェーン全体をインポートするこ
とをお勧めします。
証明書および機密鍵のインポート
1.
エンタープライズ CA から、ファイアウォールが認証に使用する証明書と秘密鍵をエクスポートし
ます。
秘密鍵をエクスポートする場合、転送用のキーを暗号化するパスフレーズを入力する必要がありま
す。管理システムが証明書およびキーファイルにアクセスできることを確認します。キーをファイ
アウォールにインポートするときは、同一のパスフレーズを入力してキーを復号化します。
2.
ファイアウォールで、[Device] > [証明書の管理] > [証明書] > [デバイス証明書] の順に選択します。
Panorama で、[Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス証明書 ] の順に選択し、[ テンプ
レート ] を選択します。
3.
デバイスで複数の仮想システムをサポートしている場合は、タブに [ 場所 ] ドロップダウンが表示さ
れます。証明書の仮想システムを選択します。すべての仮想システムで証明書を使用できるように
するには、ステップ 6 に記載されている [ 共有 ] オプションを選択します。
4.
[ インポート ] をクリックします。
5.
[ 証明書名 ] を入力します。名前は大文字小文字を区別し、最大 31 文字を使用できます。英字、数
字、ハイフン、およびアンダースコアのみを使用し、一意である必要があります。
6.
すべての仮想システムで証明書を使用できるようにするには、[ 共有 ] チェックボックスをオンにし
ます。このチェックボックスは、デバイスが複数の仮想システムをサポートしている場合に限り表
示されます。
7.
CA から受信した [ 証明書ファイル ] のパスと名前を入力するか、[ 参照 ] してファイルを検索します。
証明書の管理
147
証明書の取得
証明書の管理
証明書および機密鍵のインポート（続き）
8.
以下の [ ファイルフォーマット ] を選択します。
• 暗号化された秘密鍵と証明書 (PKCS12) — これは、デフォルトで最も一般的な形式であり、キー
および証明書が単一のコンテナに（[ 証明書ファイル ]）格納されています。ハードウェアセキュ
リティモジュール (HSM) がこの証明書の秘密鍵を保存する場合、[ 秘密鍵はハードウェアセキュ
リティモジュール上にあります ] チェックボックスをオンにします。
• [Base64 エンコード済み証明書 (PEM)] — 証明書とは別にキーをインポートする必要があります。
ハードウェアセキュリティモジュール (HSM) がこの証明書の秘密鍵を保存する場合、[ 秘密鍵は
ハードウェアセキュリティモジュール上にあります ] チェックボックスをオンにして、ステップ 9
に進みます。その他の場合は、[秘密鍵のインポート] チェックボックスをオンにして、[キーファ
イル ] に入力するか、キーファイルを [ 参照 ] して、ステップ 9 を実行します。
9.
秘密鍵の暗号化に使用する [ パスフレーズ ] に入力して、再入力（確認）します。
10. [OK] をクリックします。[ デバイス証明書 ] タブにインポートされた証明書が表示されます。
外部 CA からの証明書の取得
外部認証局 (CA) から証明書を取得するメリットは、秘密鍵がファイアウォール外に出ないこと
です。外部 CA から証明書を取得するには、証明書署名要求 (CSR) を生成し、CA にその要求を
提出します。CA が指定の属性を持つ証明書を発行したら、その証明書をファイアウォールにイ
ンポートします。CA は、一般的な公開 CA またはエンタープライズ CA です。
証明書の失効状態を検証するため、Open Certificate Status Protocol (OCSP) を使用するには、CSR
を生成する前に、「OCSP レスポンダの設定」を行います。
148
証明書の管理
証明書の管理
証明書の取得
外部 CA からの証明書の取得
ステップ 1
外部 CA の証明書を要求します。 1.
ファイアウォールで、[Device] > [ 証明書の管理 ] > [ 証
明書 ] > [ デバイス証明書 ] の順に選択します。
Panorama で、[Device] > [ 証明書の管理 ] > [ 証明書 ] >
[ デバイス証明書 ] の順に選択し、[ テンプレート ] を
選択します。
2.
デバイスで複数の仮想システムをサポートしている場
合は、タブに [ 場所 ] ドロップダウンが表示されます。
証明書の仮想システムを選択します。すべての仮想シ
ステムで証明書を使用できるようにするには、ステッ
プ 6 に記載されている [共有] オプションを選択します。
3.
[ 生成 ] をクリックします。
4.
[ 証明書名 ] を入力します。名前は大文字小文字を区別
し、最大 31 文字を使用できます。英字、数字、ハイ
フン、およびアンダースコアのみを使用し、一意であ
る必要があります。
5.
[ 共通名 ] フィールドに、証明書を使用するサービスを
設定するインターフェイスの FQDN（推奨）または IP
アドレスを入力します。
6.
すべての仮想システムで証明書を使用できるようにす
るには、[ 共有 ] チェックボックスをオンにします。こ
のチェックボックスは、デバイスが複数の仮想システ
ムをサポートしている場合に限り表示されます。
7.
[ 署名者 ] フィールドで、[ 外部認証局 (CSR)] を選択し
ます。
8.
該当する場合、[OCSP レスポンダ ] を選択します。
9.
（任意）証明書を使用するファイアウォールおよび
サービスを一意に特定するための [ 証明書の属性 ] を
[ 追加 ] します。
[ ホスト名 ] 属性を追加する場合は、[ 共通名 ] に
一致させることをお勧めします（これは、
GlobalProtect では必須です）。このホスト名
が、証明書の [ サブジェクト代替名 ] フィールド
に入力されます。
10. [ 生成 ] をクリックします。[ デバイス証明書 ] タブに
状態が [ 保留 ] である CSR が表示されます。
ステップ 2
証明書の管理
CA に CSR を提出します。
1.
CSR を選択し、[ エクスポート ] をクリックして、ロー
カルコンピュータに .csr ファイルを保存します。
2.
CA に .csr ファイルをアップロードします。
149
証明書の取得
証明書の管理
外部 CA からの証明書の取得（続き）
ステップ 3
ステップ 4
150
証明書をインポートします。
証明書を設定します。
1.
CA が CSR に応答して署名証明書を送信した後、[ デバ
イス証明書 ] タブに戻り、[ インポート ] をクリックし
ます。
2.
ステップ 1 - 4 で CSR の生成に使用した [ 証明書名 ] を
入力します。
3.
CA が送信した PEM [ 証明書ファイル ] のパスと名前を
入力するか、[ 参照 ] してファイルを検索します。
4.
[OK] をクリックします。[ デバイス証明書 ] タブに状
態が [ 有効 ] になっている証明書が表示されます。
1.
証明書の [ 名前 ] をクリックします。
2.
ファイアウォールでの証明書の使用目的に該当する
チェックボックスをオンにします。たとえば、ファイ
アウォールで証明書を Web インターフェイスにアクセ
スする管理者を認証するために使用する場合は、[ 保
護された Web GUI の証明書 ] チェックボックスをオン
にします。
3.
[OK]、[ コミット ] の順にクリックします。
証明書の管理
証明書の管理
証明書プロファイルの設定
証明書プロファイルの設定
証明書プロファイルでは、キャプティブポータル、GlobalProtect、サイト間 IPSec VPN、モバイ
ルセキュリティマネージャ、ファイアウォール /Panorama Web インターフェイスアクセスのた
めのユーザーおよびデバイス認証を定義します。プロファイルでは、使用する証明書、証明書
の失効状態の検証方法、および状態によりアクセスを制限する方法を指定します。アプリケー
ションごとに証明書プロファイルを設定します。
証明書プロファイルの Open Certificate Status Protocol (OCSP) または証明書失効リスト (CRL)
の状態検証を有効化することをお勧めします。詳細は、「証明書の失効」を参照してください。
証明書プロファイルの設定
ステップ 1
割り当てる認証局 (CA) 証明書を以下のいずれかの手順を実行して、プロファイルに割り
取得します。
当てる CA 証明書を取得します。少なくとも 1 つを割り当
てる必要があります。
• 「ファイアウォールでの証明書の生成」。
• エンタープライズ CA から証明書をエクスポートして、
ファイアウォールにインポートします（ステップ 3 を
参照）。
ステップ 2
証明書プロファイルを特定し 1.
ます。
ファイアウォールで、[Device] > [ 証明書の管理 ] > [ 証
明書プロファイル ] の順に選択し、[ 追加 ] をクリック
します。
Panorama で、[Device] > [ 証明書の管理 ] > [ 証明書プ
ロファイル ] の順に選択し、[ テンプレート ] を選択し
て、[ 追加 ] をクリックします。
証明書の管理
2.
プロファイルの識別に使用する [名前] を入力します。
名前では大文字と小文字を区別します。英字、数字、
スペース、ハイフン、およびアンダースコアのみを使
用し、一意である必要があります。名前は最大 31 文
字を使用できます。
3.
ファイアウォールで複数の仮想システムをサポートし
ている場合は、ダイアログに [ 場所 ] ドロップダウン
が表示されます。プロファイルを使用できる仮想シス
テムを選択するか、[ 共有 ] を選択して、すべての仮想
システムで使用できるようにします。
151
証明書プロファイルの設定
証明書の管理
証明書プロファイルの設定（続き）
ステップ 3
1 つ以上の証明書を割り当て証明書ごとに以下の手順を実行します。
ます。
1. [CA 証明書 ] 表で、[ 追加 ] をクリックします。
2.
ステップ 1 の [CA 証明書 ] を選択するか、[ インポート ]
をクリックして、以下のサブ手順を実行します。
a. [ 証明書名 ] を入力します。
b. エンタープライズ CA からエクスポートした [ 証明
書ファイル ] のパスと名前を入力するか、[ 参照 ] し
てファイルを検索します。
c. [OK] をクリックします。
3.
必要に応じて、ファイアウォールで証明書の失効状態
を検証する場合は、以下のフィールドを設定して、デ
フォルトの動作をオーバーライドします。ほとんどの
デプロイメントでは、これらのフィールドは適用され
ません。
• デフォルトでは、ファイアウォールが手順「OCSP
レスポンダの設定」で設定した OCSP レスポンダの
URL を使用します。その設定をオーバーライドする
には、[ デフォルト OCSP URL]（http:// または https://
で開始）に入力します。
• デフォルトでは、ファイアウォールは [CA 証明書 ]
フィールドで選択した証明書を使用して、OCSP 応
答を検証します。検証に異なる証明書を使用するに
は、[OCSP 検証 CA 証明書 ] フィールドでその証明
書を選択します。
4.
152
[OK] をクリックします。[CA 証明書 ] 表に割り当てら
れた証明書が表示されます。
証明書の管理
証明書の管理
証明書プロファイルの設定
証明書プロファイルの設定（続き）
ステップ 4
証明書の失効状態および関連 1.
付けられているブロック動作
の検証の方法を定義します。
[CRL の使用 ] または [OCSP の使用 ]、あるいは両方を
選択します。両方を選択している場合、ファイア
ウォールはまず OCSP を試行し、OCSP レスポンダが
使用できない場合にのみ CRL を使用する方法にフォー
ルバックします。
2.
検証方法に応じて、[CRL 受信の有効期限] または [OCSP
受信の有効期限 ]、あるいはその両方に入力します。
これは、ファイアウォールが CRL/OCSP サービスから
の応答を待機する期間（1 ～ 60 秒）です。
3.
[ 証明書の有効期限 ] を入力します。これは、ファイア
ウォールが任意の証明書状態サービスからの応答を待
機し、定義したセッションブロックロジックを適用
するまでの期間（1 ～ 60 秒）です。[ 証明書の有効期
限 ] は、以下のように OCSP/CRL の [ 受信の有効期限 ]
に関連付けられます。
• OCSP および CRL の両方を有効化する場合 — ファ
イアウォールは、[ 証明書の有効期限 ] の値または 2
つの [ 受信の有効期限 ] の値の合計のいずれか小さ
い方の期間の経過後に、要求のタイムアウトを登録
します。
• OCSP のみを有効化する場合 — ファイアウォールは、
[ 証明書の有効期限 ] の値または OCSP の [ 受信の有
効期限 ] の値のいずれか小さい方の期間の経過後
に、要求のタイムアウトを登録します。
• CRL のみを有効化する場合 — ファイアウォールは、
[ 証明書の有効期限 ] 値または CRL の [ 受信の有効
期限 ] 値のいずれか小さい方の期間の経過後に、要
求のタイムアウトを登録します。
ステップ 5
証明書の管理
4.
OCSP または CRL サービスが [ 不明 ] という証明書失効
状態を返した場合にファイアウォールにセッションを
ブロックさせるときは、[ 証明書状態が不明な場合に
セッションをブロック ] チェックボックスをオンにし
ます。その他の場合は、ファイアウォールはセッショ
ンを続行します。
5.
OCSP または CRL 要求のタイムアウトが登録された後、
ファイアウォールでセッションをブロックする場合
は、[タイムアウト時間内に証明書状態を取得できない
場合にセッションをブロック ] チェックボックスをオン
にします。その他の場合は、ファイアウォールはセッ
ションを続行します。
エントリを保存して、適用し [OK]、[ コミット ] の順にクリックします。
ます。
153
SSL フォワードプロキシサーバーの証明書の鍵のサイズの設定
証明書の管理
SSL フォワードプロキシサーバーの証明書の鍵のサイズ
の設定
「SSL フォワードプロキシ」セッションでクライアントに応答する場合、ファイアウォールで
は、宛先サーバーによって提示される証明書のコピーを作成し、それを使用してクライアント
との接続を確立します。ファイアウォールでは、デフォルトで、宛先サーバーによって提示さ
れる証明書と鍵のサイズが同じ証明書を生成します。ただし、以下のようにして、ファイア
ウォールで使用する鍵のサイズを変更し、そのファイアウォール自体とクライアントの間の
セッションを確立するため証明書を生成することができます。
SSL フォワードプロキシサーバーの通信で使用される鍵のサイズの設定
ステップ 1
[Device] > [ セットアップ ] > [ セッション ] の順に選択し、[ 暗号設定 ] セクションで、[ フォー
ワードプロキシサーバーの証明書設定 ] をクリックします。
ステップ 2
[ 鍵のサイズ ] を選択します。
• 宛先ホストにより定義 — ファイアウォールは、生成する証明書での鍵のサイズを決定し、
宛先サーバーの証明書の鍵のサイズに基づいてクライアントとの SSL プロキシセッショ
ンを確立します。宛先サーバーが 1024 ビット RSA 鍵を使用する場合、ファイアウォー
ルは、その鍵のサイズと SHA-1 ハッシュアルゴリズムを使用して証明書を生成します。
宛先サーバーが 1024 ビットよりも大きい鍵サイズを使用する場合（2048 ビットや 4096
ビットなど）、ファイアウォールは、2048 ビットの RSA 鍵と SHA-256 アルゴリズムを使
用する証明書を生成します。これがデフォルトの設定です。
• 1024 ビット RSA — ファイアウォールは、宛先サーバーの証明書の鍵のサイズに関係な
く、1024 ビットの RSA 鍵と SHA-1 ハッシュアルゴリズムを使用する証明書を生成しま
す。2013 年 12 月 31 日以降、公開認証局 (CA) と一般的なブラウザでは、2048 ビット未満
の鍵を使用する X.509 証明書のサポートが制限されています。将来的にブラウザでは、
このような鍵が提示された場合、セキュリティの設定に応じて、ユーザーに警告を表示
したり、SSL/TLS セッション全体をブロックしたりする可能性があります。
• 2048 ビット RSA — ファイアウォールは、宛先サーバーの証明書の鍵のサイズに関係な
く、2048 ビットの RSA 鍵と SHA-256 ハッシュアルゴリズムを使用する証明書を生成し
ます。公開 CA と一般的なブラウザでは、1024 ビット鍵よりも強固なセキュリティを提
供する 2048 ビット鍵がサポートされています。
鍵のサイズの設定を変更すると、現在の証明書キャッシュがクリアされます。
ステップ 3
154
[OK]、[ コミット ] の順にクリックします。
証明書の管理
証明書の管理
証明書の失効および更新
証明書の失効および更新

証明書の無効化

証明書の更新
証明書の無効化
さまざまな状況により、有効期限前に証明書が無効化されていることがあります。たとえば、
名前が変更された場合や、サブジェクトと認証局間の関連付けが変更された（従業員の雇用が
終了したなど）場合、秘密鍵の侵害が判明した、またはその疑いがある場合などです。このよ
うな状況では、証明書を発行した認証局 (CA) が証明書を無効化する必要があります。以下のタ
スクでは、ファイアウォールが CA である証明書を無効化する方法を説明します。
証明書の無効化
1.
[Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス証明書 ] の順に選択します。
2.
デバイスで複数の仮想システムをサポートしている場合は、タブに [ 場所 ] ドロップダウンが表示さ
れます。証明書が属している仮想システムを選択します。
3.
無効化する証明書を選択します。
4.
[ 無効化 ] をクリックします。PAN-OS で直ちに証明書の状態が無効に設定され、Open Certificate
StatusProtocol (OCSP) レスポンダキャッシュまたは証明書失効リスト (CRL) にシリアル番号が追加さ
れます。コミットを実行する必要はありません。
証明書の管理
155
証明書の失効および更新
証明書の管理
証明書の更新
証明書の有効期限が切れた場合、または間もなく切れる場合、有効期間をリセットすることが
できます。外部認証局 (CA) が証明書に署名し、ファイアウォールが Open Certificate Status Protocol
(OCSP) を使用して証明書の失効状態を検証している場合、ファイアウォールは OCSP レスポン
ダ情報を使用して証明書の状態を更新します（「OCSP レスポンダの設定」を参照）。ファイ
アウォールが証明書を発行した CA である場合、ファイアウォールはその証明書を、古い証明
書と属性が同じでシリアル番号が異なる新しい証明書に置き換えます。
証明書の更新
1.
ファイアウォールで、[Device] > [証明書の管理] > [証明書] > [デバイス証明書] の順に選択します。
Panorama で、[Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス証明書 ] の順に選択し、[ テンプ
レート ] を選択します。
2.
デバイスで複数の仮想システムをサポートしている場合は、タブに [ 場所 ] ドロップダウンが表示さ
れます。証明書が属している仮想システムを選択します。
3.
更新する証明書を選択して、[ 更新 ] をクリックします。
4.
[ 新しい有効期限間隔 ]（日数単位）を入力します。
5.
[OK]、[ コミット ] の順にクリックします。
156
証明書の管理
証明書の管理
ハードウェアセキュリティモジュールによるキーの安全確保
ハードウェアセキュリティモジュールによるキーの安全
確保
ハードウェアセキュリティモジュール (HSM) はデジタルキーを管理する物理デバイスです。
HSM では、デジタルキーの安全な保存と生成を提供します。HSM では、不正利用や潜在的な
攻撃者からこれらを論理的および物理的に保護します。
Palo Alto Networks デバイスと統合されている HSM クライアントにより、SSL/TLS 復号化で使用
される秘密鍵のセキュリティが向上します（SSL フォワードプロキシおよび SSL インバウンド
インスペクション）。また、デバイスのマスターキーを暗号化するために HSM を使用できます。
以下のトピックでは、Palo Alto Networks デバイスと HSM を統合する方法を説明します。

HSM との接続のセットアップ

HSM を使用したマスターキーの暗号化

HSM での秘密鍵の保存

HSM デプロイメントの管理
証明書の管理
157
ハードウェアセキュリティモジュールによるキーの安全確保
証明書の管理
HSM との接続のセットアップ
HSM クライアントは、PA-3000 シリーズ、PA-4000 シリーズ、PA-5000 シリーズ、PA-7050、およ
び VM-Series のファイアウォールと統合されており、また、以下の HSM と併用するために、
Panorama（仮想アプライアンスおよび M-100 アプライアンス）上で統合されています。

SafeNet Luna SA 5.2.1 以降

Thales Nshield Connect 11.62 以降
HSM サーバーバージョンは、これらのクライアントバージョンと互換性がある必要がありま
す。クライアントサーバーバージョンの互換性マトリックスについては、HSM ベンダーのマ
ニュアルを参照してください。
以下のトピックでは、ファイアウォール /Panorama とサポートされている HSM の 1 つとの間で
接続をセットアップする方法を説明します。

SafeNet Luna SA HSM との接続のセットアップ

Thales Nshield Connect HSM との接続のセットアップ
SafeNet Luna SA HSM との接続のセットアップ
Palo Alto Networks デバイスおよび SafeNet Luna SA HSM 間の接続をセットアップするには、ファ
イアウォール設定で HSM サーバーに接続するための HSM サーバーのアドレスおよびパスワー
ドを指定する必要があります。また、HSM サーバーでファイアウォールを登録する必要があり
ます。設定を開始する前に、HSM サーバーで Palo Alto Networks デバイスのパーティションが作
成されていることを確認します。
HSM 設定は、高可用性ファイアウォールピア間では同期されません。そのため、ピアごとに
個別に HSM モジュールを設定する必要があります。
アクティブ/パッシブ HA デプロイメントでは、フェイルオーバーを 1 回手動で実行し、各 HA
ピアを設定して、HSM に対して個別に認証する必要があります。この手動のフェイルオー
バーが実行された後は、ファイルオーバー機能に関するユーザーの操作は不要です。
158
証明書の管理
証明書の管理
ハードウェアセキュリティモジュールによるキーの安全確保
SafeNet Luna SA HSM との接続のセットアップ
ステップ 1
SafeNet Luna SA HSM と通 1.
信するようにファイア
ウォールを設定します。 2.
ファイアウォール Web インターフェイスにログインして、
[Device] > [ セットアップ ] > [HSM] を選択します。
[ハードウェアセキュリティモジュールプロバイダ ] セクショ
ンを編集して、[ 設定プロバイダ ] として [Safenet Luna SA]
を選択します。
3.
[追加] をクリックし、[モジュール名] に入力します。これは、
31 文字以下の任意の ASCII 文字列を指定できます。
4.
[ サーバーアドレス ] として HSM モジュールの IPv4 アドレス
を入力します。
高可用性 HSM 設定を設定する場合は、追加 HSM デバイスの
モジュール名および IP アドレスを入力します。
5.
（任意）高可用性 HSM 設定を設定する場合は、[ 高可用性 ]
チェックボックスをオンにして、[ 自動回復の再試行 ] および
[ 高可用性グループ名 ] の値を追加します。
2 つの HSM サーバーが設定されている場合、高可用性を設定
する必要があります。設定しない場合は、2 番目の HSM サー
バーは使用されません。
6.
ステップ 2
（任意）ファイアウォー 1.
ルが HSM に接続できる 2.
ように、サービスルー
トを設定します。
3.
デフォルトでは、ファ
イアウォールが HSM と 4.
通信できるように管理
5.
インターフェイスを使
用します。異なるイン 6.
ターフェイスを使用す
るには、サービスルー
トを設定する必要があ
ります。
7.
証明書の管理
[OK] をクリックして、[ コミット ] をクリックします。
[Device] > [ セットアップ ] > [ サービス ] の順に選択します。
[ サービス機能 ] 領域から [ サービスルートの設定 ] を選択し
ます。
[ サービスルートの設定 ] 領域から、[ カスタマイズ ] を選択
します。
[IPv4] タブを選択します。
[ サービス ] 列から [HSM] を選択します。
[ 送信元インターフェイス ] ドロップダウンから HSM で使用す
るインターフェイスを選択します。
HSM のデータプレーン接続ポートを選択する場合、
clear session all CLI コマンドを発行すると、既存の
すべての HSM セッションがクリアされ、すべての HSM
がダウンした状態になり、その後起動します。HSM を
回復させるために必要な数秒の間は、すべての
SSL/TLS 操作が失敗します。
[OK] をクリックして、[ コミット ] をクリックします。
159
ハードウェアセキュリティモジュールによるキーの安全確保
証明書の管理
SafeNet Luna SA HSM との接続のセットアップ（続き）
ステップ 3
HSM を認証するように 1.
ファイアウォールを設 2.
定します。
[Device] > [ セットアップ ] > [HSM] の順に選択します。
[ハードウェアセキュリティ操作] 領域で [ハードウェアセキュ
リティモジュールのセットアップ ] を選択します。
3.
ドロップダウンから [ サーバー名 ] を選択します。
4.
ファイアウォールを HSM に対して認証するための [ 管理者パ
スワード ] を入力します。
5.
[OK] をクリックします。
ファイアウォールは HSM に関する認証の実行を試行し、
ステータスメッセージを表示します。
6.
ステップ 4
HSM でファイアウォール 1.
（HSM クライアント） 2.
を登録し、HSM のパー
ティションにファイア
ウォールを割り当て
ます。
HSM で同じ
<cl-name> が登録 3.
済みであるファ
イアウォールが
ある場合、登録
を続行する前
に、以下のコマ
ンドを使用して
重複する登録を
削除する必要が
あります。
[OK] をクリックします。
リモートシステムから HSM にログインします。
以下のコマンドを使用してファイアウォールを登録します。
client register -c <cl-name> -ip <fw-ip-addr>
ここで、<cl-name> は HSM で使用するためにファイアウォー
ルに割り当てる名前であり、<fw-ip-addr> は HSM クライア
ントとして構成されているファイアウォールの IP アドレス
です。
以下のコマンドを使用してファイアウォールにパーティショ
ンを割り当てます。
client assignpartition -c <cl-name> -p <partition-name>
ここで、<cl-name> は client register コマンドではファイア
ウォールに割り当てられている名前であり、<partition-name>
はファイアウォールに割り当てる必要のある前に設定された
パーティションの名前です。
client delete -client
<cl-name>
ここで、<cl-name> は削
除するクライアント
（ファイアウォール）
登録の名前です。
ステップ 5
160
HSM パーティションに 1.
接続するようにファイア 2.
ウォールを設定します。
3.
[Device] > [ セットアップ ] > [HSM] の順に選択します。
更新アイコンをクリックします。
[ ハードウェアセキュリティ操作 ] 領域で [HSM パーティショ
ンのセットアップ ] を選択します。
4.
HSM のパーティションに対するファイアウォールの認証を行
う [ パーティションパスワード ] を入力します。
5.
[OK] をクリックします。
証明書の管理
証明書の管理
ハードウェアセキュリティモジュールによるキーの安全確保
SafeNet Luna SA HSM との接続のセットアップ（続き）
ステップ 6
（任意）高可用性 (HA) 1.
を実現するため追加の
HSM を設定します。
高可用性 (HA) を実現するため、ステップ 1 からステップ 5 ま
で実行して HSM を追加します。
2.
設定から HSM を削除する場合は、ステップ 5 を繰り返し
ます。
このプロセスでは、新しい HSM を既存の HA グループに追加
します。
この操作により、HA グループから削除済みの HSM が削除さ
れます。
ステップ 7
HSM との接続を確認し 1.
ます。
2.
[Device] > [ セットアップ ] > [HSM] の順に選択します。
HSM 接続の [ 状態 ] を確認します。
緑 — HSM が認証され、接続されている。
赤 — HSM が認証されなかったか、HSM へのネットワーク接
続がダウンしている。
3.
[ ハードウェアセキュリティモジュール状態 ] 領域の以下の列
を確認して、認証状態を特定します。
[ シリアル番号 ] — HSM パーティションが正常に認証された
場合、その HSM パーティションのシリアル番号。
[パーティション] — ファイアウォールで割り当てられた HSM
のパーティション名。
[ モジュール状態 ] — HSM の現在の動作状態。HSM がこの表
に表示されている場合、この設定の値は [ 認証済み ] です。
Thales Nshield Connect HSM との接続のセットアップ
以下のトピックでは、ファイアウォールが Thales Nshield Connect HSM と通信するための設定方
法を説明します。この設定には、HSM を使用している組織のすべてのファイアウォールのキー
データを同期するためのハブとして使用するリモートファイルシステム (RFS) を設定する必要
があります。
HSM 設定は、高可用性ファイアウォールピア間では同期されません。そのため、ピアごとに
個別に HSM モジュールを設定する必要があります。
高可用性ファイアウォール設定がアクティブ/パッシブモードである場合、フェイルオーバー
を 1 回手動で実行し、各 HA ピアを設定して、HSM に対して個別に認証する必要があります。
この手動のフェイルオーバーが実行された後は、ファイルオーバー機能に関するユーザーの操
作は不要です。
証明書の管理
161
ハードウェアセキュリティモジュールによるキーの安全確保
証明書の管理
Thales Nshield Connect HSM との接続のセットアップ
ステップ 1
Thales Nshield
1.
Connect サーバー
をファイアウォー
ルの HSM プロバ 2.
イダとして設定し
3.
ます。
4.
ファイアウォール Web インターフェイスで、[Device] > [ セット
アップ ] > [HSM] を選択し、[ ハードウェアセキュリティモジュー
ルプロバイダ ] セクションを編集します。
[Thales Nshield Connect] を [ 設定プロバイダ ] として選択します。
[ 追加 ] をクリックし、[ モジュール名 ] に入力します。これは、
31 文字以下の任意の ASCII 文字列を指定できます。
HSM モジュールの [ サーバーアドレス ] として IPv4 アドレスを入
力します。
高可用性 HSM 設定を設定する場合は、追加 HSM デバイスのモ
ジュール名および IP アドレスを入力します。
ステップ 2
（任意）ファイア
ウォールが HSM
に接続できるよう
に、サービスルー
トを設定します。
5.
[ リモートファイルシステムのアドレス ] に IPv4 アドレスを入力し
ます。
6.
[OK]、[ コミット ] の順にクリックします。
1.
[Device] > [ セットアップ ] > [ サービス ] の順に選択します。
2.
[ サービス機能 ] 領域から [ サービスルートの設定 ] を選択します。
3.
[サービスルートの設定] 領域から、[カスタマイズ] を選択します。
4.
[IPv4] タブを選択します。
5.
デフォルトでは、
ファイアウォール 6.
が HSM と通信で
きるように管理イ
ンターフェイスを
使用します。異な
るインターフェイ
スを使用するに
は、サービス 7.
ルートを設定する
必要があります。
162
[ サービス ] 列から [HSM] を選択します。
[ 送信元インターフェイス ] ドロップダウンから HSM で使用するイ
ンターフェイスを選択します。
HSM のデータプレーン接続ポートを選択する場合、clear
session all CLI コマンドを発行すると、既存のすべての
HSM セッションがクリアされ、すべての HSM がダウンした
状態になり、その後起動します。HSM を回復させるために
必要な数秒の間は、すべての SSL/TLS 操作が失敗します。
[OK] をクリックして、[ コミット ] をクリックします。
証明書の管理
証明書の管理
ハードウェアセキュリティモジュールによるキーの安全確保
Thales Nshield Connect HSM との接続のセットアップ（続き）
ステップ 3
HSM サーバーで 1.
ファイアウォール
（HSM クライア 2.
ント）を設定し
ます。
この手順では、
Thales Nshield
Connect HSM のフ
ロントパネルイ
ンターフェイスを
使用する手順を簡
単に説明します。
詳細は、Thales の 3.
マニュアルを参照 4.
してください。
ステップ 4
ファイアウォール 1.
からの接続を受け
入れるリモート 2.
ファイルシステム
をセットアップし
ます。
Thales Nshield Connect HSM ユニットのフロントパネルディスプレ
イにログインします。
ユニットのフロントパネルで、右側のナビゲーションボタンを使用
して、[System] > [System configuration] > [Client config] > [New
client] を選択します。
ファイアウォールの IP アドレスを入力します。
[System] > [System configuration] > [Client config] > [Remote file
system] を選択して、リモートファイルシステムを設定するクラ
イアントコンピュータの IP アドレスを入力します。
Linux クライアントからリモートファイルシステム (RFS) にログイ
ンします。
電子シリアル番号 (ESN) および KNETI キーのハッシュを取得します。
KNETI キーでは、クライアントに対してモジュールを認証します。
anonkneti <ip-address>
ここで、<ip-address> は HSM の IP アドレスです。
以下に例を挙げます。
anonkneti 192.0.2.1
B1E2-2D4C-E6A2 5a2e5107e70d525615a903f6391ad72b1c03352c
この例では、B1E2-2D4C-E6A2 は、ESM であり、
5a2e5107e70d525615a903f6391ad72b1c03352c は、KNETI キーのハッ
シュです。
3.
スーパーユーザーアカウントから以下のコマンドを使用すると、リ
モートファイルシステムの設定を実行します。
rfs-setup --force <ip-address> <ESN> <hash-Kneti-key>
ここで、<ip-address> は HSM の IP アドレス、
<ESN>
は電子シリアル番号 (ESN) 、
<hash-Kneti-key>
は KNETI キーのハッシュです。
以下の例では、この手順で取得した値を使用します。
rfs-setup --force <192.0.2.1> <B1E2-2D4C-E6A2>
<5a2e5107e70d525615a903f6391ad72b1c03352c>
4.
以下のコマンドを使用すると、クライアントがリモートファイルシ
ステムでサブミットすることを許可します。
rfs-setup --gang-client --write-noauth <FW-IPaddress>
ここで、<FW-IPaddress> はファイアウォールの IP アドレスです。
証明書の管理
163
ハードウェアセキュリティモジュールによるキーの安全確保
証明書の管理
Thales Nshield Connect HSM との接続のセットアップ（続き）
ステップ 5
HSM を認証する 1.
ようにファイア
ウォールを設定し 2.
ます。
3.
ファイアウォール Web インターフェイスで、[Device] > [セットアッ
プ ] > [HSM] を選択します。
[ ハードウェアセキュリティ操作 ] 領域で [ ハードウェアセキュリ
ティモジュールのセットアップ ] を選択します。
[OK] をクリックします。
ファイアウォールは HSM に関する認証の実行を試行し、ステータ
スメッセージを表示します。
4.
ステップ 6
ステップ 7
ファイアウォール 1.
をリモートファ 2.
イルシステムと同
期します。
ファイアウォール 1.
が HSM に接続で 2.
きることを確認し
ます。
[OK] をクリックします。
[Device] > [ セットアップ ] > [HSM] の順に選択します。
[ ハードウェアセキュリティ操作 ] セクションで [ リモートファイ
ルシステムと同期 ] を選択します。
[Device] > [ セットアップ ] > [HSM] の順に選択します。
状態インジケータを確認して、ファイアウォールが HSM に接続さ
れていることを確認します。
緑 — HSM が認証され、接続されている。
赤 — HSM が認証されなかったか、HSM へのネットワーク接続がダ
ウンしている。
3.
[ ハードウェアセキュリティモジュール状態 ] セクションの以下の
列を確認して、認証状態を特定します。
名前 : 認証を試行している HSM の名前。
IP アドレス : ファイアウォールで割り当てられた HSM の IP アドレス。
モジュール状態 : HSM の現在の動作状態（[ 認証済み ] または [ 認証
されていません ]）。
164
証明書の管理
証明書の管理
ハードウェアセキュリティモジュールによるキーの安全確保
HSM を使用したマスターキーの暗号化
マスターキーは、Palo Alto Networks ファイアウォールで設定され、すべての秘密鍵およびパス
ワードを暗号化します。セキュリティ要件で秘密鍵を安全な場所に保存する必要がある場合
は、HSM 上に保存されている暗号化キーを使用してマスターキーを暗号化できます。その後、
ファイアウォールは、ファイアウォールでパスワードまたは秘密鍵の復号化が必要になるたび
に、HSM にマスターキーを復号化するように要求します。通常、HSM は、セキュリティを向
上させるため、ファイアウォールとは別の高度に安全な場所にあります。
HSM では、ラッピングキーを使用してマスターキーを暗号化します。セキュリティを維持す
るため、この暗号化キーは随時変更する必要があります。このため、マスターキーの暗号化を
変更するラッピングキーを循環させるために、コマンドがファイアウォールで提供されます。
このラッピングキーの変更頻度はアプリケーションによって異なります。
HSM を使用したマスターキーの暗号化では、FIPS モードまたは CC モードで設定されている
ファイアウォールではサポートされていません。
以下のトピックでは、初めにマスターキーを暗号化する方法とマスターキーの暗号化を更新す
る方法を説明します。

マスターキーの暗号化

マスターキーの暗号化の更新
マスターキーの暗号化
特定のデバイスでマスターキーがこれまで暗号化されていなかった場合、以下の手順を使用し
てマスターキーを暗号化します。キーの初回の暗号化時、または、新しいマスターキーを定義
するか、暗号化する場合に、この手順を使用します。以前に暗号化されたキーの暗号化を更新
する場合は、「マスターキーの暗号化の更新」を参照してください。
HSM を使用したマスターキーの暗号化
ステップ 1
[Device] > [ マスターキーおよび診断 ] を選択します。
ステップ 2
[ マスターキー] フィールドで、ファイアウォールでのすべての秘密鍵とパスワードを暗号
化するために現在使用されているキーを指定します。
ステップ 3
マスターキーを変更する場合、新しいマスターキーを入力して、確認します。
ステップ 4
[HSM に保管 ] チェックボックスをオンにします。
ライフタイム : マスターキーが期限切れになるまでの日数と時間数（1 ～ 730 日の範囲）。
リマインダーの時間 : 有効期限が迫っていることをユーザーに通知するときの、期限切れ
になるまでの日数と時間数（1 ～ 365 日の範囲）。
ステップ 5
証明書の管理
[OK] をクリックします。
165
ハードウェアセキュリティモジュールによるキーの安全確保
証明書の管理
マスターキーの暗号化の更新
HSM でマスターキーのラッピングキーを交換することによって、マスターキーの暗号化を定
期的に更新することをお勧めします。このコマンドは、SafeNet Luna SA および Thales Nshield
Connect HSM の両方で同じです。
マスターキーの暗号化の更新
1.
以下の CLI コマンドを使用して、HSM でマスターキーのラッピングキーを交換します。
> request hsm mkey-wrapping-key-rotation
HSM でマスターキーが暗号化されている場合、CLI コマンドでは、HSM で新しいラッピングキー
を生成し、その新しいラッピングキーを使用してマスターキーを暗号化します。
HSM でマスターキーが暗号化されていない場合、CLI コマンドでは、今後使用するために HSM で
新しいラッピングキーを生成します。
古いラッピングキーはこのコマンドでは削除されません。
166
証明書の管理
証明書の管理
ハードウェアセキュリティモジュールによるキーの安全確保
HSM での秘密鍵の保存
セキュリティを強化するため、SSL/TLS 復号化（SSL フォワードプロキシおよび SSL インバウ
ンドインスペクションの両方）の有効化に使用する秘密鍵は、以下のように HSM で安全を保
護することができます。

SSL フォワードプロキシ — SSL/TLS フォワードプロキシ操作での証明書の署名に使用する
CA 証明書の秘密鍵を HSM に保存できます。その後、ファイアウォールは、SSL/TLS フォ
ワードプロキシ操作中に生成する証明書を HSM に送信してから、署名を得るためクライア
ントにその証明書を転送します。

SSL インバウンドインスペクション — SSL/TLS インバウンドインスペクションを実行する
内部サーバーの秘密鍵を HSM に保存できます。
HSM に秘密鍵をインポートする方法の詳細は、HSM プロバイダのマニュアルを参照してくださ
い。必要なキーが HSM 上に保存された後は、以下のようにキーを配置するようにファイア
ウォールを設定できます。
HSM での秘密鍵の保存
ステップ 1
SSL フォワードプロキ HSM に秘密鍵をインポートする方法の詳細は、HSM プロバイダ
シデプロイメントまたのマニュアルを参照してください。
は SSL インバウンドイ
ンスペクションデプロ
イメント、あるいはそ
の両方で使用する秘密
鍵を HSM にインポート
します。
ステップ 2
（Thales Nshield Connect 1.
のみ）HSM リモートファ
イルシステムからファ 2.
イアウォールにキー
データを同期します。
ファイアウォール Web インターフェイスで、[Device] > [ セッ
トアップ ] > [HSM] を選択します。
HSM に保存する秘密鍵に 1.
該当する証明書をファ
イアウォールにイン 2.
ポートします。
3.
ファイアウォール Web インターフェイスで、[Device] > [ 証明
書の管理 ] > [ 証明書 ] > [ デバイス証明書 ] の順に選択します。
4.
HSM にインポートした [ 証明書ファイル ] のファイル名を入
力します。
5.
ドロップダウンから適切な [ ファイルフォーマット ] を選択し
ます。
6.
[ 秘密鍵はハードウェアセキュリティモジュール上にあります ]
チェックボックスをオンにします。
7.
[OK]、[ コミット ] の順にクリックします。
ステップ 3
証明書の管理
[ハードウェアセキュリティ操作] セクションで [リモートファ
イルシステムと同期 ] を選択します。
[ インポート ] をクリックします。
[ 証明書名 ] を入力します。
167
ハードウェアセキュリティモジュールによるキーの安全確保
証明書の管理
HSM での秘密鍵の保存（続き）
ステップ 4
ステップ 5
（フォワードトラスト 1.
証明書のみ）SSL/TLS
フォワードプロキシで 2.
使用する証明書を有効
3.
にします。
証明書がファイア
ウォールに正常にイン
ポートされたことを確
認します。
[Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス証明書 ] の
順に選択します。
ステップ 3 でインポートした証明書を確認します。
[ フォワードプロキシ用の信頼された証明書 ] チェックボック
スをオンにします。
4.
[OK]、[ コミット ] の順にクリックします。
1.
[Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス証明書 ] の
順に選択します。
2.
ステップ 3 でインポートした証明書を確認します。
3.
[ キー] 列で、以下を確認します。
ロックアイコンが表示されている場合は、HSM 上には証明書
の秘密鍵はありません。
エラーアイコンが表示されている場合は、秘密鍵は HSM に
インポートされていないか、HSM が適切に認証または接続さ
れていません。
168
証明書の管理
証明書の管理
ハードウェアセキュリティモジュールによるキーの安全確保
HSM デプロイメントの管理
HSM の管理
• HSM 設定を表示します。
[Device] > [ セットアップ ] > [HSM] の順に選択します。
• HSM の詳細情報を表示します。 [ ハードウェアセキュリティ操作 ] セクションで [ 詳細情報を表示 ]
を選択します。
HSM サーバーに関する情報、HSM HA 状態、および HSM ハード
ウェアが表示されます。
• サポートファイルをエクスポー [ ハードウェアセキュリティ操作 ] セクションで [ サポートファイル
トします。
のエクスポート ] を選択します。
カスタマーサポートがファイアウォールの HSM 設定に関する問題
に対処する上で役立つテストファイルが作成されます。
• HSM 設定をリセットします。
[ ハードウェアセキュリティ操作 ] セクションから [HSM 設定のリ
セット ] を選択します。
このオプションを選択すると、すべての HSM 接続が削除されま
す。このオプションを使用した後は、すべての認証手順を繰り返す
必要があります。
証明書の管理
169
ハードウェアセキュリティモジュールによるキーの安全確保
証明書の管理
170
証明書の管理
高可用性
高可用性 (HA) は、2 つのファイアウォールを 1 つのグループに配置して、ネットワーク上の単
一障害点を回避するために 2 つのファイアウォールの設定を同期する設定です。ファイア
ウォールピア間のハートビート接続では、ピアがダウンした場合シームレスにフェイルオー
バーを実行できます。2 つのデバイスクラスタでファイアウォールを設定すると冗長性が得ら
れるため、ビジネス継続性を確保できます。
Palo Alto Networks ファイアウォールでは、セッション同期および設定同期機能で、ステートフ
ルアクティブ / パッシブまたはアクティブ / アクティブ高可用性をサポートします。VM-Series
ファイアウォールおよび PA-200 など、ファイアウォールの一部のモデルでは、セッション同期
機能のない、『HA ライト』のみをサポートしています。以下のトピックでは、高可用性と使
用環境で高可用性を設定する方法の詳細を説明します。

HA 概要

HA の概念

アクティブ / パッシブ HA のセットアップ

HA リソース
高可用性
171
HA 概要
高可用性
HA 概要
Palo Alto Networks ファイアウォールでは、2 つのデバイスを HA ペアとして設定できます。HA
では、プライマリデバイスに障害が発生した場合に、代替デバイスを使用できるようにするこ
とで、ダウンタイムを最小限に抑えることができます。このデバイスでは、専用またはインバ
ンドの HA ポートをファイアウォール上で使用することにより、ネットワーク、オブジェク
ト、ポリシー設定などのデータを同期し、状態の情報を維持します。管理ポートの IP アドレス
や管理者プロファイルなどのデバイス固有の設定、HA 固有の設定、ログデータ、およびアプ
リケーションコマンドセンター (ACC) の情報は、デバイス間で共有されません。アプリケー
ションおよびログのビューを HA ペア間で統合したい場合、Panorama という Palo Alto Networks
の中央管理システムを使用する必要があります。
アクティブなデバイスで障害が発生した場合、パッシブデバイスがトラフィックの保護タスク
を引き継ぎますが、このイベントをフェイルオーバーといいます。フェイルオーバーが引き起
こされる条件は、次のとおりです。

モニター対象となる 1 つ以上のインターフェイスに障害が発生した場合。（リンクモニタリ
ング）

デバイスで指定する 1 つ以上の宛先に到達できない場合。（パスモニタリング）

デバイスがハートビートポーリングに応答しない場合。（ハートビートポーリングおよび
Hello メッセージ）
「HA の概念」を理解してから、「アクティブ / パッシブ HA のセットアップ」に進みます。
172
高可用性
高可用性
HA の概念
HA の概念
以下のトピックでは、Palo Alto Networks ファイアウォールでの HA の動作について、その概念
を中心に説明します。

HA モード

HA リンクおよびバックアップリンク

デバイス優先度およびプリエンプション

フェイルオーバーのトリガー

HA タイマー
HA モード
HA のファイアウォールは、次の 2 つのモードで設定できます。

アクティブ / パッシブ — 一方のデバイスではトラフィックをアクティブに管理し、もう一方
のデバイスでは同期を取り、障害が発生した場合のアクティブ状態への移行に備えます。こ
の設定では、両方のデバイスで同じ設定を共有し、パス、リンク、システム、またはネット
ワークに障害が発生するまでは、一方がアクティブにトラフィックを管理します。アクティ
ブなデバイスで障害が発生した場合、パッシブデバイスがシームレスに同じポリシーを引き
継いで実行し、ネットワークセキュリティを維持します。アクティブ / パッシブ HA は、
バーチャルワイヤーと、レイヤー 2 およびレイヤー 3 デプロイメントでサポートされていま
す。デバイスのアクティブ / パッシブ設定方法の詳細は、「アクティブ / パッシブ HA の設
定」を参照してください。
PA-200 および VM-Series ファイアウォールでは、アクティブ/パッシブ HA のライトバージョ
ンをサポートしています。HA のライトバージョンでは、設定を同期できるほか、IPSec
Security Associations (SA) など、いくつかの実行時データを同期できます。ただし、セッショ
ンの同期には対応していないため、HA ライトにはステートフルフェイルオーバー機能があり
ません。

アクティブ/アクティブ — ペアリングされた両方のデバイスがアクティブな状態でトラフィッ
クを処理し、同調してセッションのセットアップやオーナーシップを操作します。アクティ
ブ / アクティブデプロイメントは、バーチャルワイヤーおよびレイヤー 3 デプロイメントで
サポートされていますが、推奨されるのは非対称ルーティングのネットワークの場合のみで
す。デバイスのアクティブ / アクティブ設定方法の詳細は、『Active/ActiveHigh Availability
Tech Note』（英語）を参照してください。
高可用性
173
HA の概念
高可用性
HA リンクおよびバックアップリンク
HA ペアのデバイスでは、HA リンクを使用してデータを同期し、状態情報を管理します。ファ
イアウォールの一部のモデルには、コントロールリンク (HA1) とデータリンク (HA2) という専
用の HA ポートがありますが、それ以外のモデルでは、インバンドポートを HA リンクとして
使用する必要があります。
PA-3000 シリーズ、PA-4000 シリーズ、PA-5000 シリーズ、および PA-7050 ファイアウォール
（「PA-7050 ファイアウォール上の HA ポート」を参照）などの専用の HA ポートを持つデバイ
スでは、専用の HA ポートを使用して、デバイス間で通信および同期を管理します。PA-200 シ
リーズ、PA-500 シリーズ、PA-2000 シリーズのファイアウォールなど、専用の HA ポートがない
デバイスの場合、デバイスの管理プレーン間を直接接続できるようにするための HA1 リンク用
の管理ポートと、HA2 リンク用のインバンドポートを使用することをお勧めします。
HA1 および HA2 リンクでは、管理プレーンにある機能の同期を提供します。管理プレーンで
専用の HA インターフェイスを使用する方が、インバンドポートを使用するより効率的です。
これは、データプレーンを介して同期パケットを渡す必要がないためです。

コントロールリンク : HA1 リンクは、Hello、ハートビート、HA 状態、ルーティング用の管
理プレーンの同期、User-ID などの情報交換に使用します。またこのリンクを使用して、ア
クティブデバイスまたはパッシブデバイスの設定変更をピアデバイスと同期します。HA1
リンクはレイヤー 3 リンクのため、IP アドレスが必要です。
HA1 に使用するポート : クリアテキスト通信には TCP ポート 28769 と 28260、暗号化通信
(SSH over TCP) にはポート 28 を使用します。

データリンク : HA2 リンクを使用して、セッション、テーブルの転送、IPSec SA、および ARP
テーブルを HA ペアのデバイス間で同期します。HA2 リンクのデータフローは（HA2 キープ
アライブを除き）常に単向性なので、データはアクティブデバイスからパッシブデバイス
に流れます。HA2 リンクはレイヤー 2 リンクなので、デフォルトで EtherType 0x7261 を使用
します。
HA2 で使用するポート : HA データリンクは、IP（プロトコル番号 99）または UDP（ポート
29281）のいずれかを転送ポートとして使用するように設定できるため、HA データリンクは
サブネットをまたぐことができます。
さらに、HA3 リンクはアクティブ / アクティブ HA デプロイメントで使用されます。非対称
ルートがある場合、HA3 リンクはセッションを所有する HA ピアへのパケットの転送に使用
されます。HA3 リンクはレイヤー 2 リンクであり、レイヤー 3 アドレスまたは暗号化をサ
ポートしていません。
174
高可用性
高可用性

HA の概念
バックアップリンク : HA1 リンクと HA2 リンクの冗長性を実現します。インバンドポート
は、HA1 と HA2 の両方のバックアップリンクとして使用します。バックアップ HA リンク
を設定する場合は、次のガイドラインを考慮してください。
–
プライマリ HA リンクとバックアップ HA リンクの IP アドレスを重複させることはでき
ません。
–
HA バックアップリンクは、プライマリ HA リンクとは別のサブネット上になければな
りません。
–
HA1 バックアップと HA2 バックアップのポートは、異なる物理ポート上で設定する必
要があります。HA1 バックアップリンクでは、ポート 28770 と 28260 が使用されます。
Palo Alto Networks では、HA1 または HA1 のバックアップリンクにインバンドポートを使用
する場合、ハートビートバックアップ（MGT インターフェイスでポート 28771 を使用）を有
効にすることをお勧めします。
PA-7050 ファイアウォール上の HA ポート
PA-7050 上の HA 接続の詳細については、スイッチ管理カード (SMC) 上の必須ポートおよびネッ
トワーク処理カード (NPC) 上の最適なポートに関する詳細をまとめた以下の表を参照してくだ
さい。PA-7050 ファイアウォールのモジュールおよびインターフェイスカードの概要について
は、『PA-7050 Hardware Reference Guide』（英語）を参照してください。
SMC 上の以下のポートは、HA 接続用に設計されています。
HA リンク
および
バックアップ
リンク
SMC のポート
説明
コントロール HA1-A
HA 制御および同期に使用。ペアの 1 番目のデバイスの
リンク
速度 : Ethernet 10/100/1000 HA1-A ポートから 2 番目のデバイスの HA1-A にこのポート
を直接接続するか、スイッチまたはルーターを経由して
2 つのデバイスを相互に接続します。
NPC データポートまたは MGT ポートで HA1 を設定するこ
とはできません。
コントロール HA1-B
HA1-A のバックアップとして HA 制御および同期に使用。ペ
リンクのバッ速度 : Ethernet 10/100/1000 アの 1 番目のデバイスの HA1-B ポートから 2 番目のデバイス
クアップ
の HA1-B にこのポートを直接接続するか、スイッチまたは
ポート
ルーターを経由して 2 つのデバイスを相互に接続します。
NPC データポートまたは MGT ポートでは HA1 バックアッ
プは設定できません。
高可用性
175
HA の概念
HA リンク
および
バックアップ
リンク
高可用性
SMC のポート
説明
データリンク HSCI-A
HA 設定で 2 つの PA-7050 ファイアウォールを接続するため
（高速シャーシ相互接続）に使用する 4 ポート SFP (QSFP) インターフェイス。各ポー
トは、内部では 4 つの 10 ギガビットリンクで構成されてお
り、合わせて 40 ギガビットの速度を実現します。アクティ
ブ / パッシブ設定の HA2 データリンクに使用ます。アク
ティブ / アクティブモードでは、このポートは App-ID およ
び Content-ID のレイヤー 7 インスペクションを必要とする
非対称ルーティングセッションでの HA3 パケット転送にも
使用されます。
通常のインストールでは、1 番目のシャーシの HSCI-A は 2 番
目のシャーシの HSCI-A に直接接続され、1 番目のシャーシの
HSCI-B は 2 番目のシャーシの HSCI-B に接続されます。これ
により、完全な 80 ギガビットの転送速度が実現されます。
ソフトウェアでは、両方のポート（HSCI-A および HSCI-B）
は 1 つの HA インターフェイスとして処理されます。
HSCI ポートはルーティング可能ではないため、相互に直接
接続する必要があります。
HA2 接続および HA3 接続の両方で専用の HSCI ポートを使
用することをお勧めします。ただし、必要に応じて、NPC
データポート上で HA2 リンクおよび HA3 リンクを設定で
きます。
データリン
クのバック
アップ
HSCI-B
HSCI-B ポートの 4 ポート SFP (QSFP) インターフェイス（上
（高速シャーシ相互接続）記の説明を参照）は、HA2/HA3 用の帯域幅を拡大するため
に使用される。
HSCI ポートはルーティング可能ではないため、相互に直接
接続する必要があります。
HA2 接続および HA3 接続の両方で専用の HSCI-B ポートを使
用することをお勧めします。必要に応じて、NPC データ
ポート上で HA2/HA3 バックアップリンクを設定できます。
デバイス優先度およびプリエンプション
HA ペアのデバイスにデバイス優先度の値を割り当てることにより、どちらのデバイスにアク
ティブな役割を持たせて優先的にトラフィックを管理させるかを示すことができます。HA ペ
アの特定のデバイスを使用してアクティブにトラフィックを保護する必要がある場合、両方の
ファイアウォールでプリエンプティブ機能を有効にし、各デバイスに優先度の値を割り当てる
必要があります。数値の小さい方のデバイス、つまり優先度の高いデバイスがアクティブデバ
イスに指定され、ネットワーク上のすべてのトラフィックを管理します。もう一方のデバイス
はパッシブ状態となり、アクティブデバイスと設定情報や状態の情報を同期し、障害が発生し
た場合のアクティブ状態への移行に備えます。
176
高可用性
高可用性
HA の概念
デフォルトでは、ファイアウォールでプリエンプションが無効になっているため、両方のデバ
イスで有効にする必要があります。プリエンプティブの動作を有効にすると、優先度の高い
（数値の低い方の）ファイアウォールが障害から回復した後に、そのファイアウォールをアク
ティブファイアウォールとして再開させることができます。プリエンプションが発生すると、
そのイベントがシステムログに記録されます。
フェイルオーバーのトリガー
アクティブなデバイスで障害が発生した場合、パッシブデバイスがトラフィックの保護タスク
を引き継ぎますが、このイベントをフェイルオーバーといいます。アクティブデバイスのモニ
ター対象メトリックに障害が発生すると、フェイルオーバーが引き起こされます。デバイスの
障害を検出するための、モニター対象となるメトリックは、次のとおりです。

ハートビートポーリングおよび Hello メッセージ
ファイアウォールでは、Hello メッセージおよびハートビートを使用して、ピアの応答状態
と動作状態を確認します。設定した Hello 間隔で Hello メッセージがピアの一方からもう一方
へ送信され、デバイスの状態を検証します。ハートビートは、コントロールリンクを介した
HA ピアに対する ICMP ping の一種で、ピアがこの ping に応答することで、デバイスの接続
および応答状態を証明します。デフォルトでは、ハートビートの間隔は 1000 ミリ秒です。
フェイルオーバーをトリガーする HA タイマーの詳細は、「HA タイマー」を参照してくだ
さい。

リンクモニタリング
モニター対象の物理インターフェイスが 1 つのリンクグループに集約され、その状態（リン
クアップまたはリンクダウン）がモニタリングされます。リンクグループには、1 つ以上の
物理インターフェイスを含めることができます。グループ内のインターフェイスの一部また
はすべてに障害が発生すると、デバイスの障害が引き起こされます。デフォルトの動作で
は、グループ内のいずれかのリンクに障害が発生すると、デバイスの HA 状態が非稼働に変
わり、モニター対象オブジェクトの障害を示します。

パスモニタリング
ネットワーク全体でミッションクリティカルな IP アドレスへの全経路をモニタリングしま
す。ICMP ping を使用して、問題の IP アドレスに到達可能かどうかを検証します。デフォル
トの ping 間隔は 200 ミリ秒です。10 回（デフォルト値）連続で ping に失敗すると、その IP
アドレスに到達不可能とみなされ、対象の IP アドレスの一部またはすべてに到達不可能と
なった場合は、デバイスの障害が引き起こされます。デフォルトの動作では、IP アドレスの
いずれかに到達不可能となった場合、デバイスの HA 状態が not-functional に変わり、モニ
ター対象オブジェクトの障害を示します。
上記のフェイルオーバーのトリガー条件に加えて、管理者がデバイスを一時停止した場合、ま
たはプリエンプションが発生した場合も、フェイルオーバーが引き起こされます。
高可用性
177
HA の概念
高可用性
PA-3000 シリーズ、PA-5000 シリーズ、および PA-7050 のファイアウォールでは、内部ヘルス
チェックに失敗するとフェイルオーバーが引き起こされる場合があります。このヘルスチェッ
クは設定変更不可能で、有効時はファイアウォール内のすべてのコンポーネントに対して動作
状態を検証します。
HA タイマー
高可用性 (HA) タイマーは、ファイアウォール障害の検出およびフェイルオーバーのトリガーに
使用します。HA タイマーの設定時に煩雑さを軽減するため、追加された [ 推奨 ]、[ アグレッシ
ブ]、および [詳細] という 3 つのプロファイルから選択できます。これらのプロファイルでは、
特定のファイアウォールプラットフォームに最適な HA タイマー値が自動入力され、HA のデ
プロイメント速度を高めることができます。
通常のフェイルオーバータイマー設定には [ 推奨 ] プロファイルを使用し、高速なフェイルオー
バータイマー設定には [アグレッシブ] プロファイルを使用します。[詳細] プロファイルでは、
ネットワーク要件に合わせてタイマー値をカスタマイズできます。
以下の表に、プロファイルに含まれる各タイマーと、異なるハードウェアモデルでの現在の事
前設定値を示します。これらの値は、現時点でのものであり、以降のリリースでは変わる可能
性があります。
プラットフォーム別の推奨 / アグレッシブ HA タイマー値
タイマー
説明
PA-7050
PA-2000 シリーズ
Panorama VM
PA-5000 シリーズ
PA-500 シリーズ
M-100
PA-4000 シリーズ
PA-200 シリーズ
PA-3000 シリーズ
VM-Series
モニター障害時パスモニター障害または 0/0
ホールドアップリンクモニター障害の発
タイム
生後、ファイアウォール
がアクティブのままでい
る時間。隣接するデバイ
スが偶発的にフラッピン
グすることによる HA の
フェイルオーバーを回避
するためには、この設定
をお勧めします。
0/0
0/0
プリエンプションパッシブデバイスまたは 1/1
ホールドタイム
アクティブなセカンダリ
デバイスが、アクティブ
デバイスまたはアクティ
ブなプライマリデバイス
として引き継ぐまでに待
機する時間。
1/1
1/1
178
高可用性
高可用性
タイマー
HA の概念
説明
PA-7050
PA-2000 シリーズ
Panorama VM
PA-5000 シリーズ
PA-500 シリーズ
M-100
PA-4000 シリーズ
PA-200 シリーズ
PA-3000 シリーズ
VM-Series
ハートビート間隔 HA ピアが ICMP ping 形式 1000/1000
でハートビートメッセー
ジを交換する頻度。
2000/1000
2000/1000
プロモーションパッシブデバイス（アク 2000/500
ホールドタイム
ティブ / パッシブモードの
場合）またはアクティブな
セカンダリデバイス（ア
クティブ / アクティブモー
ドの場合）が、HA ピアと
の通信が失われた後でアク
ティブデバイスまたはア
クティブなプライマリデ
バイスとして引き継ぐまで
に待機する時間。このホー
ルドタイムは、ピアの障
害宣言が行われた後に開始
されます。
2000/500
2000/500
追加のマスターこの時間間隔は、Monitor 500/500
ホールドアップ Fail Hold Up Time と同じイ
タイム
ベントに適用されます
（範囲は 0 ～ 60000 ミリ
秒、デフォルトは 500 ミリ
秒）。追加の時間間隔
は、アクティブ / パッシブ
モードのアクティブデバ
イスとアクティブ / アク
ティブモードのアクティ
ブなプライマリデバイス
にのみ適用されます。両
方のデバイスで同じリン
ク /パスモニターの障害が
同時に発生した場合に
フェイルオーバーを回避
するためには、このタイ
マをお勧めします。
500/500
7000/5000
高可用性
179
HA の概念
タイマー
高可用性
説明
PA-7050
PA-2000 シリーズ
Panorama VM
PA-5000 シリーズ
PA-500 シリーズ
M-100
PA-4000 シリーズ
PA-200 シリーズ
PA-3000 シリーズ
VM-Series
Hello 間隔
もう一方のファイアウォー 8000/8000
ルの HA 機能が動作してい
ることを確認するための
hello パケットの送信間隔
（ミリ秒単位）。範囲は、
すべてのプラットフォーム
で 8000 ～ 60000 ミリ秒（デ
フォルトは 8000 ミリ秒）
です。
8000/8000
8000/8000
最大フラップ数
フラップは、ファイア 3/3
ウォールが前回の非アク
ティブ状態発生から 15 分
以内に再び非アクティブ
状態になるとカウントさ
れます。この値は、許容
する最大フラップ数を示
します（範囲は 0 ～ 16、
デフォルトは 3）。フラッ
プ数がこの最大数に達する
とファイアウォールがサス
ペンドしたと判断されて
パッシブファイアウォー
ルが引き継ぎます。
3/3
該当なし
180
高可用性
高可用性
アクティブ / パッシブ HA のセットアップ
アクティブ / パッシブ HA のセットアップ

アクティブ / パッシブ HA の前提条件

アクティブ / パッシブ HA の設定ガイドライン

アクティブ / パッシブ HA の設定

フェイルオーバー条件の定義

フェイルオーバーの確認
高可用性
181
アクティブ / パッシブ HA のセットアップ
高可用性
アクティブ / パッシブ HA の前提条件
Palo Alto Networks ファイアウォールで高可用性をセットアップするには、次の前提条件を満た
すファイアウォールのペアが必要です。

同じモデル — ペアの両方のデバイスが同じハードウェアまたは仮想マシンのモデルでなけれ
ばなりません。

同じバージョンの PAN OS — 両方のデバイスで同じバージョンの PAN OS を実行していて、
両方のアプリケーション、URL、および脅威データベースで最新の状態を保つ必要がありま
す。また、同じ複数の仮想システム（シングルまたはマルチ vsys）機能を備えている必要が
あります。

同タイプのインターフェイス — 専用の HA リンク、またはインターフェイスタイプを HA
に設定した管理ポートとインバンドポートの組み合わせです。
–
デバイスペア間の HA1（コントロールリンク）接続の IP アドレスを決定します。ピア
が直結されている場合、または同じスイッチに接続されている場合は、両方の HA1 IP
アドレスが同じサブネット上になければなりません。
専用の HA ポートを持たないデバイスでは、管理ポートをコントロールリンクの接続に使
用できます。管理ポートを使用すると、両方のデバイスで管理プレーン間の通信を直接接
続できます。ただし、管理ポートはデバイス間で直結できないため、ネットワーク全体で
これら 2 つのインターフェイスを接続するルートがあることを確認してください。
–

レイヤー 3 を HA2（データ）接続の転送方法として使用する場合、HA2 リンクの IP ア
ドレスを決定する必要があります。経路指定されたネットワークを介して HA2 接続の
通信を行う必要がある場合は、レイヤー 3 のみを使用します。HA2 リンクの IP サブネッ
トは、HA1 リンクのサブネットまたはファイアウォール上のデータポートに割り当て
られたその他のサブネットと重複してはなりません。
同一ライセンス — ライセンスはデバイス固有のものであるため、ほかのデバイスと共有する
ことはできません。そのため、両方のデバイスで同一のライセンスを取得する必要があり
ます。両方のデバイスに同一のライセンスがない場合、設定情報を同期する、または等価
性を管理してシームレスにフェイルオーバーを発生させることができません。
既存のファイアウォールがあり、HA 用に新しいファイアウォールを追加する場合、その新し
いファイアウォールに既存の設定が存在する場合は、新しいファイアウォールで「ファイア
ウォールの工場出荷時設定へのリセット」に記載された手順を実行することをお勧めします。
これにより、新しいファイアウォールをクリーンな設定にすることができます。HA を設定し
たら、クリーンな設定を使用して、プライマリデバイスで新しく導入したデバイスに設定を同
期します。
182
高可用性
高可用性
アクティブ / パッシブ HA のセットアップ
アクティブ / パッシブ HA の設定ガイドライン
アクティブ (PeerA) およびパッシブ (PeerB) のペアを HA でセットアップするには、いくつかのオ
プションを両方のデバイスで同一の設定にし、それ以外のオプションを各デバイスで個別に
（一致しないように）設定する必要があります。これらの HA 設定は、デバイス間で同期され
ません。同期されるものと、されないものの詳細は、『HA Synchronization』（英語）を参照し
てください。
HA でデバイスを設定する手順については、「アクティブ / パッシブ HA の設定」を参照してく
ださい。
次の表に、両方のデバイスで同一にする必要のある設定を示します。
高可用性
183
アクティブ / パッシブ HA のセットアップ
高可用性
PeerA と PeerB で同一にする設定
• HA は両方のデバイスで有効にする必要があります。
• 両方のデバイスに同じグループ ID の値を割り当てる必要があります。グループ ID の値は、設定した
すべてのインターフェイスに対する仮想 MAC アドレスの作成に使用します。仮想 MAC アドレスの形
式は「00-1B-17:00: xx: yy」で、次のような意味を持ちます。
00-1B-17: ベンダー ID: 00: 固定、xx: HA グループ ID: yy: インターフェイス ID。
新しいアクティブデバイスがタスクを引き継ぐ場合、接続された新しいアクティブメンバーの各イン
ターフェイスから Gratuitous ARP が送信され、接続されたレイヤー 2 スイッチに仮想 MAC アドレスの
新しい場所が通知されます。
• インバンドポートを使用する場合、HA1 リンクと HA2 リンクのインターフェイスタイプを HA に設
定する必要があります。
• HA モードを [ アクティブ / パッシブ ] に設定する必要があります。
• 必要に応じて、両方のデバイスでプリエンプションを有効にする必要があります。ただし、デバイス
優先度は異なる値にする必要があります。
• 必要に応じて、HA1 リンク（HA ピア間の通信用）の暗号化を両方のデバイスで設定する必要があり
ます。
• 使用中の HA1 と HA1 のバックアップポートの組み合わせに応じて、次の推奨事項に基づき、ハート
ビートバックアップを有効にするかどうかを判断してください。
• HA1: 専用の HA1 ポート
HA1 バックアップ : インバンドポート
推奨 : ハートビートバックアップの有効化
• HA1: 専用の HA1 ポート
HA1 バックアップ : 管理ポート
推奨 : ハートビートバックアップを有効にしない
• HA1: インバンドポート
HA1 バックアップ : インバンドポート
推奨 : ハートビートバックアップの有効化
• HA1: 管理ポート
HA1 バックアップ : インバンドポート
推奨 : ハートビートバックアップを有効にしない
以下の表に、各デバイスで個別に設定する必要のある項目を示します。
個別の設定
PeerA
PeerB
コントロールリンクこのデバイス (PeerA) で設定されている HA1 このデバイス (PeerB) で設定されてい
リンクの IP アドレス。
る HA1 リンクの IP アドレス。
専用の HA ポートを持たないデバイスでは、管理ポートをコントロールリンクの
IP アドレスに使用します。
184
高可用性
高可用性
個別の設定
アクティブ / パッシブ HA のセットアップ
PeerA
PeerB
デフォルトでは、HA2 リンクでレイヤー 2 デフォルトでは、HA2 リンクでレイ
ヤー 2 の Ethernet が使用されます。
データリンク情報の Ethernet が使用されます。
は、HA を有効にしレイヤー 3 接続を使用する場合、このデバレイヤー 3 接続を使用する場合、こ
てデバイス間のコイス (PeerA) のデータリンクの IP アドレスのデバイス (PeerB) のデータリンクの
IP アドレスを設定します。
ントロールリンクを設定します。
を有効にした後
に、デバイス間で
同期されます。
データリンク
デバイス優先度（必アクティブにするデバイスの数値を、ピア PeerB がパッシブの場合、デバイス優
須、プリエンプショよりも小さくする必要があります。そのた先度の値を PeerA よりも大きく設定
ンが有効な場合）
め、PeerA をアクティブデバイスとして機します。たとえば、優先度の値を
能させる場合、デフォルト値の 100 をその 110 に設定します。
ままにしておき、PeerB の値をこれよりも
大きくします。
リンクモニタリン
グ — このデバイス
の主要トラフィッ
クを処理する 1 つ以
上の物理インター
フェイスをモニタ
リングし、失敗条
件を定義します。
モニタリングするファイアウォール上の物
理インターフェイスを選択し、フェイル
オーバーを引き起こす失敗条件（[ いずれか ]
または [ すべて ]）を定義します。
このファイアウォール上でモニタリ
ングする同様の物理インターフェイ
ス群を選択し、フェイルオーバーを
引き起こす失敗条件（[ すべて ] また
は [ いずれか ]）を定義します。
パスモニタリング
— ファイアウォー
ルで ICMP ping を使
用して応答状態を
確認できる、1 つ以
上の宛先 IP アドレ
スをモニタリング
します。
失敗条件（[ すべて ] または [ いずれか ]）、
ping 間隔、および ping の実行回数を定義し
ます。相互接続されたネットワークデバイ
スの可用性をモニタリングする場合は、特
にこれらの定義が役に立ちます。たとえ
ば、サーバーに接続されたルーターの可用
性、サーバー自体への接続状態、またはト
ラフィックフロー中に存在するその他いく
つかの主要デバイスへの接続状態をモニタ
リングする場合などです。
PeerB でも、モニタリングしてフェイ
ルオーバーのトリガー条件を判断で
きる同様のデバイス群または宛先 IP
アドレス群を選択します。失敗条件
（[すべて] または [いずれか ]）、ping
間隔、および ping の実行回数を定義
します。
モニタリング中のノード / デバイスが応答
していない可能性がある場合、特に負荷を
受けている場合は、パスモニタリングの障
害の原因となり、フェイルオーバーが引き
起こされるため、このような状態がないか
どうかを確認します。
高可用性
185
アクティブ / パッシブ HA のセットアップ
高可用性
アクティブ / パッシブ HA の設定
以下の手順は、下のトポロジの例に示すようなアクティブ / パッシブデプロイメントで、ファ
イアウォールのペアを設定する方法を示したものです。
デバイスの接続および設定
ステップ 1
HA ポートを接続して、デバイ • 専用の HA ポートを持つデバイスの場合、Ethernet ケー
ス間の物理的な接続をセット
ブルを使用して、デバイスペアの専用の HA1 ポートと
アップします。
HA2 ポートを接続します。デバイス同士を直結する場合
は、クロスオーバーケーブルを使用します。
• 専用の HA ポートを持たないデバイスの場合、HA2 リン
ク用とバックアップ HA1 リンク用に 2 つのデータイン
ターフェイスを選択します。次に、Ethernet ケーブルを
使用して、両デバイス間でこれらのインバンド HA イン
ターフェイスを接続します。HA1 リンク用の管理ポート
を使用して、ネットワーク全体を通じて管理ポート同士
を接続できることを確認します。
ペアのうちどちらかのデバイスを選択して、次のタスクを完了します。
ステップ 2
ping を管理ポートで有効にし 1.
ます。
ping を有効にすることで、管
理ポートをハートビートバッ 2.
クアップの情報交換に使用で
きます。
186
[Device] > [ セットアップ ]> [ 管理 ] の順に選択して、
画面上にある [ 管理インターフェイス設定 ] セクション
で編集アイコンをクリックします。
インターフェイスで許可されるサービスとして [Ping]
を選択します。
高可用性
高可用性
アクティブ / パッシブ HA のセットアップ
デバイスの接続および設定（続き）
ステップ 3
ステップ 4
デバイスに専用の HA ポートが 1.
ない場合、データポートを HA 2.
ポートとして機能するように
設定します。
3.
専用の HA ポートを持つデバ
イスの場合、ステップ 4 に進
みます。
4.
[Network] > [ インターフェイス ] の順に選択します。
コントロールリンクの接続を 1.
セットアップします。
[Device] > [ 高可用性 ] > [ 全般 ] の順に選択し、[ コン
トロールリンク (HA1)] セクションを編集します。
次の例は、インターフェイス 2.
タイプを HA に設定したインバ
ンドポートを示しています。
[ ポート ] ドロップダウンメニューから、HA1 リンクと
して使用するために配線したインターフェイスを選択し
ます。IP アドレスおよびネットマスクを設定します。
管理ポートをコントロールリ
ンクとして使用するデバイス
の場合、IP アドレス情報が自
動的に入力されています。
高可用性
使用するポート上でリンクがアップになっていること
を確認します。
インターフェイスを選択してタイプを HA に指定し
ます。
[ リンク速度 ] および [ リンクデュプレックス ] を必要
に応じて設定します。
HA1 インターフェイスがそれぞれ別のサブネット上に
ある場合のみ、ゲートウェイの IP アドレスを入力しま
す。デバイス同士を直結している場合は、ゲートウェ
イを追加しないでください。
187
アクティブ / パッシブ HA のセットアップ
高可用性
デバイスの接続および設定（続き）
ステップ 5
ステップ 6
188
（任意）コントロールリンク接 1.
続の暗号化を有効にします。
HA キーをデバイスからエクスポートして、ピアデバ
イスにインポートします。
一般的に、2 つのデバイスが直
接接続されていない場合、す
なわちポートがスイッチまた
はルーターに接続されている
場合に、リンクを保護するた
めにこの設定を使用します。
a. [Device] > [ 証明書の管理 ] > [ 証明書 ] の順に選択し
ます。
b. [HA キーのエクスポート ] を選択します。ピアデバ
イスがアクセスできるネットワーク上の場所に、
HA キーを保存します。
c. ピアデバイスで [Device] > [ 証明書の管理 ] > [ 証明
書 ] の順に選択し、[HA キーのインポート ] を選択し
てキーを保存した場所を検索し、そのキーをピアデ
バイスにインポートします。
2.
[Device] > [ 高可用性 ] > [ 全般 ] の順に選択し、[ コン
トロールリンク (HA1)] セクションを編集します。
3.
[ 暗号化を有効 ] を選択します。
バックアップコントロールリ 1.
ンクの接続をセットアップし
ます。
[Device] > [ 高可用性 ] > [ 全般 ] の順に選択し、[ コン
トロールリンクのバックアップ ] セクションを編集し
ます。
2.
HA1 バックアップインターフェイスを選択し、IP アド
レスとネットマスクを設定します。
高可用性
高可用性
アクティブ / パッシブ HA のセットアップ
デバイスの接続および設定（続き）
ステップ 7
デバイス間のデータリンク接続 1.
(HA2) とバックアップ HA2 接
続をセットアップします。
2.
[Device] > [ 高可用性 ] > [ 全般 ] の順に選択し、[ デー
タリンク (HA2)] セクションを編集します。
データリンク接続のインターフェイスを選択します。
3.
[転送 ] の方法を選択します。デフォルトでは [ethernet]
が選択されており、HA ペアが直結されている場合、
またはスイッチ経由で接続されている場合に機能しま
す。ネットワーク経由でデータリンクトラフィックを
ルーティングする必要がある場合は、[IP] または [UDP]
を転送方法に指定します。
4.
転送方法として [ip] または [udp] を使用する場合は、IP
アドレスとネットマスクを入力します。
5.
[ セッション同期を有効にする ] が選択されていること
を確認します。
6.
HA ピア間で HA2 データリンク上のモニタリングを有
効にするには、[HA2 キープアライブ ] を選択します。
設定されているしきい値（デフォルトは 10000 ミリ
秒）に基づいて障害が発生した場合、定義されている
アクションが発生します。アクティブ / パッシブ設定
の場合、HA2 キープアライブの障害が発生すると、
「critical」レベルのシステムログメッセージが生成さ
れます。
[HA2 キープアライブ ] オプションは、HA ペアの
両方のデバイス、または一方のデバイスに設定
できます。このオプションが一方のデバイスで
のみ有効な場合、そのデバイスのみからキープ
アライブメッセージが送信されます。もう一方
のデバイスには、障害が発生したかどうかが通
知されます。
7.
高可用性
[ データリンクのバックアップ ] セクションを編集し、
インターフェイスを選択し、IP アドレスとネットマス
クを追加します。
189
アクティブ / パッシブ HA のセットアップ
高可用性
デバイスの接続および設定（続き）
ステップ 8
コントロールリンクで専用 HA 1.
ポートまたはインバンドポー
トを使用している場合は、 2.
ハートビートバックアップを
有効にします。
管理ポートをコントロールリ
ンクに使用している場合は、
ハートビートバックアップを
有効にする必要はありません。
ステップ 9
[Device] > [ 高可用性 ] > [ 全般 ] の順に選択し、[ 選択
設定 ] セクションを編集します。
[ ハートビートバックアップ ] を選択します。
ハートビートをデバイス間で送信できるようにするに
は、ピア同士で管理ポートをルーティングできること
を確認する必要があります。
ハートビートバックアップを有効にすると、ス
プリットブレインを防ぐこともできます。HA1
リンクがダウンしてファイアウォールがハート
ビートを受信しなくなるとスプリットブレイン
が発生しますが、デバイスはまだ機能していま
す。このような状況になると、各ピアは相手が
ダウンしていると判断して、実行中のサービス
を開始しようとするため、スプリットブレイン
状態になります。ハートビートバックアップリ
ンクが有効にされていると、冗長なハートビー
トおよび hello メッセージが管理ポート経由で送
信されるため、スプリットブレインを防ぐこと
ができます。
デバイス優先度を設定してプリ 1.
エンプションを有効にします。
[Device] > [ 高可用性 ] > [ 全般 ] の順に選択し、[ 選択
設定 ] セクションを編集します。
特定のデバイスがアクティブ 2.
デバイスに指定されていること
を確認する場合のみ、この設定
が必要です。詳細は、「デバイ
ス優先度およびプリエンプショ
ン」を参照してください。
[ デバイス優先度 ] で優先度の数値を設定します。優先
度を高くするデバイスの数値を小さく設定する必要が
あります。
3.
両方のファイアウォールで優先度の値が同じ場
合、HA1 コントロールリンクで MAC アドレス
が最も小さいファイアウォールがアクティブデ
バイスとなります。
[ プリエンプティブ ] を選択します。
アクティブデバイスとパッシブデバイスの両方でプリ
エンプティブを有効にする必要があります。
ステップ 10 （任意）フェイルオーバータイ 1.
マーを変更します。
[Device] > [ 高可用性 ] > [ 全般 ] の順に選択し、[ 選択
設定 ] セクションを編集します。
デフォルトでは、HA タイマー 2.
プロファイルが、ほとんどの
HA デプロイメントに適してい
る [ 推奨 ] プロファイルに設定
されています。
フェイルオーバーを高速でトリガーするには [ アグレッ
シブ ] プロファイルを選択し、設定でフェイルオー
バーのトリガーにカスタム値を定義するには [ 詳細 ] を
選択します。
190
プロファイルに含まれる個々のタイマーの事前
設定値を表示するには、[ 詳細 ] を選択して [ 推
奨をロード ] または [ アグレッシブをロード ] を
クリックします。お使いのハードウェアモデル
の事前設定値が画面に表示されます。
高可用性
高可用性
アクティブ / パッシブ HA のセットアップ
デバイスの接続および設定（続き）
ステップ 11 （任意、パッシブデバイスで
設定している場合のみ）パッシ
ブデバイスで HA ポートのリン
クステータスを変更します。
リンク状態を [ 自動 ] に設定すると、フェイルオーバーが発
生した場合にパッシブデバイスがタスクを引き継ぐまでの
時間を短縮できます。また、リンク状態をモニタリングす
ることもできます。
パッシブリンクの状態
はデフォルトで [ シャッ
トダウン ] が選択されて
います。HA を有効にす
ると、アクティブデバ
イスの HA ポートのリン
ク状態が緑に変わり、
パッシブデバイスの HA
ポートが停止して赤く表
示されます。
パッシブデバイスでリンク状態をアップにして、物理イン
ターフェイスの稼働状態および配線状態を保つには、次の
手順を実行します。
1. [Device] > [ 高可用性 ] > [ 全般 ] の順に選択し、[ アク
ティブ / パッシブ設定 ] セクションを編集します。
2.
[ パッシブリンク状態 ] を [ 自動 ] に設定します。
[ 自動 ] オプションを設定すると、フェイルオーバーが
発生した場合にパッシブデバイスがタスクを引き継ぐ
までの時間を短縮できます。
インターフェイスの表示は（配線されていて稼
働していることを示す）緑になっていますが、
フェイルオーバーが引き起こされるまでは、す
べてのトラフィックが破棄されます。
パッシブリンク状態を変更する場合、デバイス
のリンク状態のみに基づいて、隣接するデバイス
からパッシブファイアウォールにトラフィック
が転送されていないことを確認してください。
高可用性
191
アクティブ / パッシブ HA のセットアップ
高可用性
デバイスの接続および設定（続き）
ステップ 12 HA を有効にします。
1.
[Device] > [ 高可用性 ] > [ 全般 ] の順に選択し、[ セッ
トアップ ] セクションを編集します。
2.
[HA の有効化 ] を選択します。
3.
[ グループ ID] を設定します。この ID は、ネットワー
ク上の HA ペアを一意に識別するもので、複数の HA
ペアでネットワーク上の同じブロードキャストドメイ
ンを共有する場合に必要となります。
4.
モードを [ アクティブパッシブ ] に設定します。
5.
[ 設定の同期化の有効化 ] を選択します。この設定によ
り、アクティブデバイスとパッシブデバイスの間で設
定を同期できるようになります。
6.
[ ピア HA IP アドレス ] で、ピアデバイスのコントロー
ルリンクに割り当てられた IP アドレスを入力します。
専用の HA ポートを持たないデバイスにおいて、ピア
が HA1 リンクとして管理ポートを使用している場合、
ピアの管理ポートの IP アドレスを入力します。
7.
ステップ 13 設定の変更を保存します。
[ バックアップ側ピア HA IP アドレス ] を入力します。
[ コミット ] をクリックします。
ステップ 14 HA ペアのもう一方のデバイス
でステップ 2 ～ステップ 13 を
実行します。
ステップ 15 両方のデバイスで設定が完了し 1.
たら、アクティブ/パッシブ HA
でそれらのデバイスがペアに 2.
なっていることを確認します。
両方のデバイスで [Dashboard] にアクセスして、[ 高
可用性 ] ウィジェットを表示します。
3.
下に示すように、デバイスがペアになっていて同期さ
れていることを確認します。
192
アクティブデバイスで、[ ピアと同期 ] リンクをクリッ
クします。
高可用性
高可用性
アクティブ / パッシブ HA のセットアップ
デバイスの接続および設定（続き）
パッシブデバイス : ローカルデバイスの状アクティブデバイス : ローカルデバイスの状態が [active]、
態が [passive]、設定が [synchronized] と表設定が [synchronized] と表示されます。
示されます。
フェイルオーバー条件の定義
フェイルオーバーのトリガーの設定
ステップ 1
ステップ 2
リンクモニタリングを設定す 1.
るには、モニタリングするイ
ンターフェイスを定義しま 2.
す。これらのインターフェイ
スでリンク状態を変更する
3.
と、フェイルオーバーが引き
起こされます。
（任意）デバイスで（前の手 1.
順で）設定したリンクグルー 2.
プの失敗条件を変更します。
[Device] > [ 高可用性 ] > [ リンクおよびパスのモニタリ
ング ] の順に選択します。
[ リンクグループ ] セクションで [ 追加 ] をクリックし
ます。
[ リンクグループ ] 画面で [ 名前 ] を指定して、モニタ
リングするインターフェイスを追加し、そのグループ
の [ 失敗条件 ] を選択します。定義するリンクグルー
プが [ リンクグループ ] セクションに追加されます。
[ リンクモニタリング ] セクションを選択します。
[ 失敗条件 ] を [ すべて ] に設定します。
デフォルトの設定は [ いずれか ] です。
デフォルトでは、モニタリン
グ対象のリンクのいずれかに
障害が発生すると、デバイス
でフェイルオーバーが引き起
こされます。
高可用性
193
アクティブ / パッシブ HA のセットアップ
高可用性
フェイルオーバーのトリガーの設定（続き）
ステップ 3
ステップ 4
パスモニタリングを設定する 1.
には、ファイアウォールで
ping を実行してネットワーク
接続を確認するための宛先 IP
アドレスを定義します。
[Device] > [ 高可用性 ] > [ リンクおよびパスのモニタリ
ング ] タブの順に選択すると表示される [ パスグルー
プ] セクションで、[バーチャルワイヤーパスの追加]、
[VLAN パスの追加 ]、[ 仮想ルーターパスの追加 ] のい
ずれかを選択します。
2.
[名前] ドロップダウンリストから適切な項目を選択し、
モニターする送信元 IP と宛先 IP のアドレスを画面の
指示に従って [ 追加 ] します。次に、グループの [ 失敗
条件 ] を選択します。定義するパスグループが [ パス
グループ ] セクションに追加されます。
（任意）デバイスで設定した [ 失敗条件 ] を [ すべて ] に設定します。
すべてのパスグループの失敗デフォルトの設定は [ いずれか ] です。
条件を変更します。
デフォルトでは、モニター対
象のいずれかのパスに障害が
発生すると、デバイスでフェ
イルオーバーが引き起こされ
ます。
ステップ 5
変更を保存します。
[ コミット ] をクリックします。
SNMPv3 を使用してファイアウォールをモニターする場合は、SNMPv3 エンジン ID は各デバイスで一意にな
るため、エンジン ID は HA ペア間で同期されません。そのため、HA ペアの各デバイスを個別にモニターでき
ます。SNMP の設定手順の詳細は、「SNMP トラップの宛先のセットアップ」を参照してください。
エンジン ID は、VM-Series ファイアウォールでデバイスの一意のシリアル番号を使用して生成されるため、
各ファイアウォールに一意のエンジン ID を取得するには有効なライセンスを適用する必要があります。
194
高可用性
高可用性
アクティブ / パッシブ HA のセットアップ
フェイルオーバーの確認
HA の設定が正しく動作することをテストするには、手動でフェイルオーバーを引き起こし
て、デバイスの状態が正しく移行することを確認します。
フェイルオーバーの確認
ステップ 1
アクティブデバイスをサスペ [Device] > [ 高可用性 ] > [ 操作コマンド ] タブの順に選択す
ンドにします。
ると表示される [ ローカルデバイスをサスペンド ] リンク
をクリックします。
ステップ 2
パッシブデバイスがアクティブ [Dashboard] の [ 高可用性 ] ウィジェットで、パッシブデ
デバイスとしてタスクを引き継バイスの状態が [ アクティブ ] に変わっていることを確認
します。
いでいることを確認します。
ステップ 3
サスペンドされたデバイスを 1.
稼働状態に戻します。プリエ
ンプティブを有効にしている
場合は、しばらく待ってから
プリエンプションが発生して
いることを確認します。
前にサスペンドにしたデバイスで、[Device] > [ 高可用
性 ] > [ 操作コマンド ] タブの順に選択して、[ ローカル
デバイスを稼働状態にする ] リンクを選択します。
2.
[Dashboard] の [ 高可用性 ] ウィジェットで、デバイス
がアクティブデバイスとしてタスクを引き継いでいる
ことと、ピアがパッシブ状態に変わっていることを確
認します。
高可用性
195
HA リソース
高可用性
HA リソース
HA の詳細は、以下の資料を参照してください。

『Active/Active HA（英語）』

『High Availability Synchronization（英語）』

『High Availability Failover Optimization（英語）』

『Upgrading an HA pair（英語）』

『Examples: Deploying HA（英語）』
196
高可用性
レポートとログ
このファイアウォールには、ネットワークでのアクティビティのモニタリングに役立つレポー
ト機能とログ機能があります。ログをモニタリングして情報をフィルタリングし、事前定義さ
れたビューまたはカスタマイズされたビューで構成されるレポートを生成できます。たとえ
ば、事前定義されたテンプレートを使用してユーザーのアクティビティに関するレポートを生
成したり、レポートとログを分析して、ネットワーク上での異常な振る舞いの意味を解釈した
り、トラフィックのパターンに関するカスタムレポートを生成したりすることができます。以
下のトピックでは、ファイアウォールでレポートおよびログを表示、管理、カスタマイズ、お
よび生成する方法について説明します。

Dashboard の使用

アプリケーションコマンドセンターの使用

アプリケーションスコープの使用

パケットキャプチャの実行

ファイアウォールのモニター

外部サービスへのログの転送

SNMP を使用したファイアウォールのモニター

NetFlow を使用したファイアウォールのモニター

NegFlow のテンプレート

外部モニタリングシステムでのファイアウォールインターフェイスの識別

レポートの管理

Syslog フィールドの説明
レポートとログ
197
Dashboard の使用
レポートとログ
Dashboard の使用
[Dashboard] タブのウィジットには、ソフトウェアのバージョン、各インターフェイスの動作
状態、リソース使用状況、脅威の最新エントリ（最大 10 個）、設定、システムログなどのデバ
イスの一般的な情報が表示されます。使用可能なウィジットすべてがデフォルトで表示されま
すが、各管理者は必要に応じて個々のウィジットを削除および追加できます。
Dashboard や個々のウィジェットを更新するには、更新アイコン
をクリックします。自動更
新間隔を変更するには、ドロップダウンリストから間隔（[1 分 ]、[2 分 ]、[5 分 ]、または [ 手
動 ]）を選択します。[Dashboard] にウィジットを追加するには、[ ウィジット ] ドロップダウンを
クリックしてカテゴリを選択し、次にウィジット名を選択します。ウィジットを削除するに
は、タイトルバーの
をクリックします。
以下の表に、[Dashboard] のウィジットの説明を示します。
Dashboard のチャート
説明
上位アプリケーション
セッション数が最も多いアプリケーションが表示されます。ブロックサ
イズでセッションの相対数を示し（マウスカーソルをブロックの上に移
動すると数が表示されます）、色でセキュリティのリスクを示します（緑
（リスク低）～赤（リスク高））。アプリケーションをクリックして、プ
ロファイルを表示します。
上位のハイリスク
アプリケーション
[ 上位アプリケーション ] と似ていますが、ここにはセッション数が最も多
いハイリスクアプリケーションが表示されます。
一般的な情報
デバイス名、モデル、PAN-OS ソフトウェアのバージョン、アプリケー
ション、脅威、URL フィルタリング定義のバージョン、現在の日時、お
よび最後に再起動したときからの経過時間が表示されます。
Interface Status
各インターフェイスが、有効（緑）、無効（赤）、または不明な状態
（灰）であることを示します。
脅威ログ
最新 10 エントリの脅威の ID、アプリケーション、および日時が表示され
ます。脅威の ID は、マルウェアに関する説明、または URL フィルタリン
グプロファイルに違反する URL を示します。
設定ログ
最新 10 エントリの管理者のユーザー名、クライアント（Web または
CLI）、および日時が表示されます。
データフィルタリングログ直近 60 分間に生成されたログの説明と日時が表示されます。
URL フィルタリングログ直近 60 分間に生成されたログの説明と日時が表示されます。
システムログ
最新 10 エントリの説明と日時が表示されます。
Config installed
エントリは、設定の変更が正常にコミットされた
ことを示します。
198
レポートとログ
レポートとログ
Dashboard の使用
Dashboard のチャート
説明
システムリソース
管理 CPU 使用率、データプレーン使用率、およびファイアウォールで確
立されたセッションの数を示すセッション数が表示されます。
ログインしている管理者
現在ログインしている各管理者の送信元 IP アドレス、セッションタイプ
（Web または CLI）、およびセッションの開始時刻が表示されます。
ACC リスクファクタ
この 1 週間に処理されたネットワークトラフィックの平均リスクファク
タ (1 ～ 5) が表示されます。値が大きいほどリスクが大きくなります。
高可用性
[ 高可用性 (HA)] を有効にすると、ローカルおよびピアデバイスの HA 状態
（緑（アクティブ）、黄（パッシブ）、黒（その他））が表示されます。
HA についての詳細は、「高可用性」を参照してください。
ロック
管理者によって設定された設定ロックが表示されます。
レポートとログ
199
アプリケーションコマンドセンターの使用
レポートとログ
アプリケーションコマンドセンターの使用
[ACC] タブには、ネットワーク上のトラフィックの傾向および履歴が視覚的に表示されます。

ACC リスクレベル

ACC のチャート

ACC の詳細ページ

ACC の使用
200
レポートとログ
レポートとログ
アプリケーションコマンドセンターの使用
ACC リスクレベル
[ACC] タブには、すべてのネットワークトラフィックの全体的なリスクレベル、ネットワーク
で最もアクティブで最高リスクのアプリケーションについて検出された脅威のリスクレベルと
数、および使用回数が最も多いアプリケーションカテゴリと各リスクレベルのすべてのアプリ
ケーションで検出された脅威の数が表示されます。ACC を使用して、過去の時間、日、週、月、
または任意のカスタム定義の期間におけるアプリケーションデータを表示します。[ リスク ] レベ
ル（1 = 最低～ 5 = 最高）は、アプリケーションがファイルを共有しているか、誤用が起こりや
すいか、ファイアウォールを回避しようとしているかなどの基準に基づき、アプリケーション
の相対セキュリティリスクを示します。
レポートとログ
201
アプリケーションコマンドセンターの使用
レポートとログ
ACC のチャート
[ACC]（アプリケーションコマンドセンター）タブには、以下の 5 つのチャートが表示されます。

アプリケーション

URL フィルタリング

脅威防御

データフィルタリング

HIP マッチ
ACC チャート
説明
アプリケーション
以下の属性別にグループ化してアプリケーションの情報を表示します。
• アプリケーション
• 高リスクアプリケーション
• カテゴリ
• サブカテゴリ
• テクノロジ
• リスク
該当する場合、各チャートには、セッションの数、送受信されたバイト
数、脅威の数、アプリケーションカテゴリ、アプリケーションサブカテ
ゴリ、アプリケーションテクノロジ、およびリスクレベルを含めること
ができます。
URL フィルタリング
以下の属性別にグループ化して URL/ カテゴリ情報を表示します。
• URL カテゴリ
• URL
• ブロックされた URL カテゴリ
• ブロックされた URL
各チャートには、URL、URL カテゴリ、繰り返し回数（アクセスが試行さ
れた回数、該当する場合）を含めることができます。
202
レポートとログ
レポートとログ
アプリケーションコマンドセンターの使用
ACC チャート
説明
脅威防御
以下の属性別にグループ化して脅威情報を表示します。
• 脅威
• タイプ
• スパイウェア
• スパイウェアフォンホーム
• スパイウェアダウンロード
• 脆弱性
• ウイルス
該当する場合、各チャートには、脅威 ID、カウント（発生回数）、セッ
ションの数、およびサブタイプ（[vulnerability] など）を含めることができ
ます。
データフィルタリング
以下の属性別にグループ化して、ファイアウォールでフィルタリングされ
たデータに関する情報を表示します。
• コンテンツ / ファイルタイプ
• タイプ
• ファイル名
HIP マッチ
以下の属性別にグループ化して、ファイウォールによって収集されたホス
ト情報を表示します。
• HIP オブジェクト
• HIP プロファイル
レポートとログ
203
アプリケーションコマンドセンターの使用
レポートとログ
ACC の詳細ページ
詳細な情報を表示するには、ACC チャート上のリンクのいずれかをクリックします。詳細ペー
ジが開き、最上位の項目の情報とそれに関連する項目の詳細なリストが表示されます。たとえ
ば、[ アプリケーション ] チャートで [web-browsing] リンクをクリックすると、web-browsing の
[ アプリケーション情報 ] ページが開きます。
204
レポートとログ
レポートとログ
アプリケーションコマンドセンターの使用
ACC の使用
以下に、[ACC] タブの使用方法とビューのカスタマイズ方法を示します。
ACC の使用
ステップ 1
[ACC] タブで、ページの上部にある設定の 1 つ以上を変更します。
• ドロップダウンを使用し、[ アプリケーション ]、[URL カテゴリ ]、[ 脅威 ]、[ コンテンツ /
ファイルタイプ ]、および [HIP オブジェクト ] を選択して表示します。
• 仮想システムを使用している場合は、必要に応じて仮想システムを選択します。
• [ 日時 ] ドロップダウンから対象期間を選択します。デフォルトは、[ 過去 1 時間 ] です。
• [ ソート基準 ] ドロップダウンからソート方法を選択します。セッション数別、バイト数
別、脅威数別の降順でチャートをソートできます。デフォルトは、セッション数別です。
• 選択したソート方法で、[ トップ ] ドロップダウンから、それぞれのチャートに表示する
上位のアプリケーションおよびアプリケーションカテゴリの数を選択します。サブミッ
トアイコンをクリックして、選択した設定を適用します。
ステップ 2
このページの情報に関連するログページを開くには、以下に示すように、ページの右上隅
のログのリンクを使用します。ログのコンテキストは、ページの情報に一致しています。
ステップ 3
リストをフィルタリングするには、いずれかの列の項目をクリックします。ログ列名の上
にあるフィルタバーにその項目が追加されます。目的のフィルタを追加した後に、[ フィル
タの適用 ] アイコンをクリックします。
レポートとログ
205
アプリケーションスコープの使用
レポートとログ
アプリケーションスコープの使用
アプリケーションスコープレポートには、問題の振る舞いを特定することができる可視化ツー
ルと分析ツールが組み込まれており、アプリケーションの使用状況とユーザーアクティビティ
における変化、およびネットワークの帯域幅の大部分を使用しているユーザーとアプリケー
ションを把握し、ネットワークの脅威を特定することができます。
アプリケーションスコープレポートを使用すると、異常な挙動または予期しない挙動が容易に
確認できます。各レポートには、ネットワークの状況を示す、ユーザーがカスタマイズ可能な
動的ウィンドウがあります。ACC でチャートの線や棒にポインターを置くかクリックすると、
その特定のアプリケーション、アプリケーションカテゴリ、ユーザー、または送信元に関する
詳細情報を示したウィンドウが開きます。アプリケーションスコープのチャートには、以下の
機能があります。

レビュー対象のチャートの詳細のみを表示するように、凡例の属性を切り替えます。データ
をチャートに含めるか、またはチャートから除外する機能により、尺度を変更したり、情報
をより詳細にレビューしたりすることができます。

棒グラフ内の属性をクリックし、ACC の関連セッションまでドリルダウンします。任意の棒
グラフで、アプリケーション名、アプリケーションカテゴリ、脅威名、脅威カテゴリ、送信
元 IP アドレス、または宛先 IP アドレスをクリックして属性に基づいてフィルタリングし、
ACC で関連セッションを表示します。

チャートまたはマップを PDF にエクスポートするか、またはイメージとしてエクスポートし
ます。移植性を高め、オフライン表示を可能にするため、チャートおよびマップを PDF ま
たは PNG イメージとしてエクスポートすることができます。
以下のアプリケーションスコープレポートを使用できます。

サマリーレポート

変化モニターレポート

脅威モニターレポート

脅威マップレポート

ネットワークモニターレポート

トラフィックマップレポート
206
レポートとログ
レポートとログ
アプリケーションスコープの使用
サマリーレポート
アプリケーションスコープサマリーレポートには、使用量が増加した、減少した、および帯
域幅の占有量が多い上位 5 つのアプリケーション、アプリケーションカテゴリ、ユーザー、お
よび送信元のチャートが表示されます。
レポートとログ
207
アプリケーションスコープの使用
レポートとログ
変化モニターレポート
アプリケーションスコープ変化モニターレポートには、指定した期間の変化が表示されます。
たとえば、以下のチャートは、過去 24 時間と比較して直前の 1 時間に使用量が増加した上位の
アプリケーションを示しています。上位のアプリケーションはセッション数によって決定さ
れ、パーセント別にソートされます。
変化モニターレポートには、以下のボタンとオプションが表示されます。
ボタン
説明
上位からいくつの項目を表に表示するかを指定します。
報告される項目のタイプ（[ アプリケーション ]、[ アプリケー
ションカテゴリ ]、[ 送信元 ]、または [ 宛先 ]）を決定します。
指定期間を比較し増加した項目を表示します。
指定期間を比較し減少した項目を表示します。
指定期間を比較し新たに検出された項目を表示します。
指定期間を比較し検出されなくなった項目を表示します。
208
レポートとログ
レポートとログ
ボタン
アプリケーションスコープの使用
説明
フィルタを適用して、選択した項目のみを表示します。[ なし ]
を選択すると、すべてのエントリが表示されます。
セッション情報またはバイト情報のどちらを表示するかを指
定します。
パーセンテージまたは実増加のどちらでエントリをソートす
るかを指定します。
グラフを .png イメージまたは PDF としてエクスポートします。
変化モニターの比較対象期間を指定します。
レポートとログ
209
アプリケーションスコープの使用
レポートとログ
脅威モニターレポート
アプリケーションスコープ脅威モニターレポートには、選択した期間にわたって上位を占める
脅威の数が表示されます。たとえば、以下の図は、過去 6 時間における上位 10 件の脅威タイプ
を示しています。
チャートの下の凡例のように、各タイプの脅威が色分けして示されます。脅威モニターレポー
トには、以下のボタンとオプションが表示されます。
ボタン
説明
上位からいくつの項目を表に表示するかを指定します。
測定する項目のタイプ（[ 脅威 ]、[ 脅威カテゴリ ]、[ 送信元 ]、
または [ 宛先 ]）を決定します。
フィルタを適用して、選択した種別の項目のみを表示し
ます。
情報を表示するグラフ（積み重ね棒グラフまたは積み重ね
面グラフ）を指定します。
グラフを .png イメージまたは PDF としてエクスポートし
ます。
表示対象期間を指定します。
210
レポートとログ
レポートとログ
アプリケーションスコープの使用
脅威マップレポート
アプリケーションスコープ脅威マップレポートには、重大度を含めた脅威の地理的ビューが表
示されます。チャートの下の凡例のように、各タイプの脅威が色分けして示されます。
ファイアウォールでは、脅威マップを作成する場合にデバイス稼働場所を使用します。ファイ
アウォールでデバイス稼働場所の座標を指定していない場合（[Device] > [ セットアップ ] > [ 管
理 ] の [ 一般設定 ] セクション）、そのファイアウォールは脅威マップ画面の最下部に配置され
ます。
脅威マップレポートには、以下のボタンとオプションが表示されます。
ボタン
説明
上位からいくつの項目を表に表示するかを指定します。
インバウンド方向（外部から）の脅威を示します。
アウトバウンド方向（外部へ）の脅威を示します。
フィルタを適用して、選択した種別の項目のみを表示し
ます。
マップを拡大および縮小します。
グラフを .png イメージまたは PDF としてエクスポートし
ます。
表示対象期間を指定します。
レポートとログ
211
アプリケーションスコープの使用
レポートとログ
ネットワークモニターレポート
アプリケーションスコープネットワークモニターレポートには、指定した期間にわたって複数
のネットワークアプリケーションによって占有されていた帯域幅が表示されます。図の下の凡
例のように、各タイプのネットワークアプリケーションが色分けして示されます。たとえば、
以下の図は、セッション情報に基づく過去 7 日間のアプリケーション帯域幅を示しています。
ネットワークモニターレポートには、以下のボタンとオプションがあります。
ボタン
説明
上位からいくつの項目を表に表示するかを指定します。
報告される項目のタイプ（[アプリケーション]、[アプリケー
ションカテゴリ]、[送信元]、または [宛先]）を決定します。
フィルタを適用して、選択した項目のみを表示します。[ な
し ] を選択すると、すべてのエントリが表示されます。
セッション情報またはバイト情報のどちらを表示するかを
指定します。
グラフを .png イメージまたは PDF としてエクスポートし
ます。
情報を表示するグラフ（積み重ね棒グラフまたは積み重ね
面グラフ）を指定します。
表示対象期間を指定します。
212
レポートとログ
レポートとログ
アプリケーションスコープの使用
トラフィックマップレポート
アプリケーションスコープトラフィックマップレポートには、セッション数またはフロー数
に応じて、トラフィックフローの地理的ビューが表示されます。
ファイアウォールでは、トラフィックマップを作成する場合にデバイス稼働場所を使用しま
す。ファイアウォールでデバイス稼働場所の座標を指定していない場合（[Device] > [ セット
アップ ] > [ 管理 ] の [ 一般設定 ] セクション）、そのファイアウォールはトラフィックマップ画
面の最下部に配置されます。
チャートの下の凡例のように、各タイプのトラフィックが色分けして示されます。トラフィッ
クマップレポートには、以下のボタンとオプションがあります。
ボタン
説明
上位からいくつの項目を表に表示するかを指定します。
インバウンド方向（外部から）の脅威を示します。
アウトバウンド方向（外部へ）の脅威を示します。
セッション情報またはバイト情報のどちらを表示するかを
指定します。
マップを拡大および縮小します。
グラフを .png イメージまたは PDF としてエクスポートし
ます。
表示対象期間を指定します。
レポートとログ
213
パケットキャプチャの実行
レポートとログ
パケットキャプチャの実行
PAN-OS は、トラブルシューティングまたは不明なアプリケーションの検出を行うために、パ
ケットキャプチャをサポートしています。フィルタを定義して、そのフィルタと一致するパ
ケットのみがキャプチャされるようにすることができます。パケットキャプチャはデバイスで
ローカルに保存され、使用するローカルコンピュータにダウンロードすることができます。
パケットキャプチャは、トラブルシューティングにのみ使用してください。この機能を使用す
ると、システムパフォーマンスが下がる可能性があるため、必要な場合しか使用しないでくだ
さい。パケットキャプチャが完了したら、この機能を忘れずに無効にしてください。
以下の表に、[Monitor] > [パケットキャプチャ] でのパケットキャプチャの設定項目の説明を示
します。
フィールド
説明
フィルタの管理
[フィルタの管理] をクリックしてから、[追加] をクリックして新しいフィ
ルタを追加し、以下の情報を指定します。
• ID — フィルタの ID を入力または選択します。
• 入力インターフェイス — ファイアウォールインターフェイスを選択し
ます。
• 送信元 — 送信元 IP アドレスを指定します。
• 宛先 — 宛先 IP アドレスを指定します。
• 送信元ポート — 送信元ポートを指定します。
• 宛先ポート — 宛先ポートを指定します。
• プロトコル — フィルタリングするプロトコルを指定します。
• 非 IP — 非 IP トラフィックの処理方法を選択します（すべての IP トラ
フィックを除外する、すべての IP トラフィックを含める、IP トラ
フィックのみを含める、または IP フィルタを含めない）。
• IPv6 — IPv6 パケットをフィルタに入れる場合は、このチェックボック
スをオンにします。
フィルタリング
214
クリックすると、フィルタリングの選択がオンまたはオフに切り替えられ
ます。
レポートとログ
レポートとログ
パケットキャプチャの実行
フィールド
説明
事前解析一致
クリックすると、[ 事前解析一致 ] オプションがオンまたはオフに切り替え
られます。
[ 事前解析一致 ] オプションは、トラブルシューティングを詳細に行うために
追加されています。パケットが入力ポートに入ると、いくつかの処理ステッ
プを経て、事前設定されたフィルタと一致するかどうか解析されます。
何らかの障害によって、パケットがフィルタリング段階に到達しない場合
があります。たとえば、ルート検索に失敗した場合などに起こります。
[ 事前解析一致 ] 設定を [ON] にセットすると、システムに入力されるすべ
てのパケットに対して肯定一致がエミュレートされます。これにより、
ファイアウォールはフィルタリングプロセスに到達していないパケット
もキャプチャできるようになります。パケットがフィルタリング段階に到
達できれば、フィルタ設定に応じて処理され、フィルタリング基準と一致
しなければ破棄されます。
パケットキャプチャ
クリックすると、パケットキャプチャがオンまたはオフに切り替えられ
ます。
アンチスパイウェアおよび脆弱性防御のプロファイルの場合は、プロファ
イルで定義されているルールおよび例外に対して拡張パケットキャプ
チャを有効にすることができます。この機能により、ファイアウォールで
は 1 ～ 50 のパケットをキャプチャすることができ、脅威ログの分析時に
コンテキストを増やすことができます。
拡張パケットキャプチャ長を定義するには、以下の手順を実行します。
1. [Device] > [ セットアップ ] > [ コンテンツ ID] の順に選択します。
2.
[ 脅威検出設定 ] セクションを編集して、キャプチャするパケットの数
の [ キャプチャ長 ] を指定します。
3.
[Monitor] > [ ログ ] > [ 脅威 ] でパケットキャプチャを表示します。
脅威ログエントリを見つけ、対応する行の緑の矢印（パケットキャ
プチャ）アイコンをクリックしてキャプチャを表示します。
レポートとログ
215
パケットキャプチャの実行
レポートとログ
フィールド
説明
パケットキャプチャ
ステージ
[ 追加 ] を選択し、以下を指定します。
• ステージ — パケットをキャプチャする時点を示します。
• drop — パケット処理でエラーが生じ、パケットが破棄される時点。
• firewall — パケットにセッション一致があるか、セッションの最初のパ
ケットが正常に作成される時点。
• receive — データプレーンプロセッサでパケットが受け取られる時点。
• transmit — データプレーンプロセッサでパケットが送信される時点。
• ファイル — キャプチャファイル名を指定します。ファイル名は文字で
始める必要があります。また、文字、数字、ピリオド、アンダースコ
ア、またはハイフンを使用できます。
• パケット数 — キャプチャが停止するまでのパケット数を指定します。
• バイト数 — キャプチャが停止するまでのバイト数を指定します。
キャプチャされたファイルキャプチャされたファイルを表示するリストからパケットキャプチャ
ファイルを削除するには、[ 削除 ] を選択します。
すべての設定をクリア
216
すべてのパケットキャプチャ設定をクリアするには、[ すべての設定をク
リア ] を選択します。
レポートとログ
レポートとログ
ファイアウォールのモニター
ファイアウォールのモニター
以下のセクションでは、ファイアウォールをモニタリングするときに使用可能な手法と基本的
なセットアップ手順について説明します。

アプリケーションと脅威のモニター

ログデータのモニタリング

ダッシュボードのモニタリング

レポートの表示
ファイアウォール（PA-4000 シリーズと PA-7050 のファイアウォールを除く）は、分析とレ
ポート用にフローデータを NetFlow コレクタにエクスポートするように設定することもでき
ます。NetFlow を設定する場合は、『PAN-OS Web インターフェイスリファレンスガイド』
を参照してください。
レポートとログ
217
ファイアウォールのモニター
レポートとログ
アプリケーションと脅威のモニター
Palo Alto Networks のすべての次世代ファイアウォールには、プロトコル、暗号化、または秘匿
技術に関係なくネットワークを通過するアプリケーションを識別する「App-ID」テクノロジー
が組み込まれています。また、「アプリケーションコマンドセンターの使用」により、アプリ
ケーションをモニタリングすることができます。ACC はログデータベースをグラフィカルに要
約し、ネットワークを通過するアプリケーション、アプリケーションの使用者、および潜在的
なセキュリティへの影響を強調表示します。また ACC は、App-ID が実行する連続的なトラ
フィック分類機能を使用して動的に更新されます。App-ID は、アプリケーションがポートまた
は動作を変更した場合でもそのトラフィックを識別し続け、ACC に結果を表示します。
ACC に表示される新しい、リスクの高い、または見慣れないアプリケーションについては、ア
プリケーションの説明、その主な特徴、動作特性、および使用者を 1 回のクリックで表示して
素早く調べることができます。さらに、URL カテゴリ、脅威、およびデータも視覚的に表示さ
れるため、ネットワークアクティビティの全体像を把握できます。ACC により、ネットワーク
を通過するトラフィックについての詳細な情報をごく短時間で収集し、その情報が反映され
た、より情報に則したセキュリティポリシーを作成することができます。
218
レポートとログ
レポートとログ
ファイアウォールのモニター
ログデータのモニタリング
Palo Alto Networks のすべての次世代ファイアウォールでは、ファイアウォールでのアクティビ
ティとイベントの監査証跡を示すログファイルを生成できます。アクティビティおよびイベン
トのタイプ別に別々のログが記録されます。たとえば、脅威ログにはファイアウォールでセ
キュリティアラームが生成される原因となったすべてのトラフィックが記録されており、URL
フィルタリングログにはセキュリティポリシーに関連付けられた URL フィルタリングプロ
ファイルに適合するすべてのトラフィックが記録され、設定ログにはファイアウォール設定に
対する変更すべてが記録されます。
これで、「外部サービスへのログの転送」を行うか、以下のようにしてデバイスのログをロー
カルで表示することができます。

ログファイルの表示

ログデータのフィルタリング
ログファイルの表示
このファイアウォールでは、WildFire、設定、システム、アラーム、トラフィックフロー、脅
威、URL フィルタリング、データフィルタリング、およびホスト情報プロファイル (HIP) の一
致に関するログが管理されます。現在のログはいつでも表示できます。特定のエントリを検索
するには、ログフィールドにフィルタを適用します。
ファイアウォールのログは、ロールベースの管理権限に基づいて情報が表示されます。ログを
表示すると、表示権限のある情報のみが表示されます。管理者権限の詳細は、「管理ロール」
を参照してください。
レポートとログ
219
ファイアウォールのモニター
レポートとログ
デフォルトでは、すべてのログファイルがファイアウォールで生成されてローカルに保存され
ます。それらのログファイルは直接表示することができます（[Monitor] > [ ログ ]）。
ログの詳細を表示する場合、ログエントリ左側にある拡大鏡アイコン
220
をクリックします。
レポートとログ
レポートとログ
ファイアウォールのモニター
以下の表に、各ログタイプに関する情報を示します。
ログの説明チャート
説明
トラフィック
各セッションの開始と終了のエントリが表示されます。各エントリには、
日時、送信元ゾーン、宛先ゾーン、アドレスおよびポート、アプリケー
ション名、フローに適用されるセキュリティルール名、ルールアクション
（allow、deny、または drop）、入力 / 出力インターフェイス、バイト
数、およびセッション終了理由などが記載されます。
エントリの横の
をクリックすると、セッションに関する詳細な情報
（ICMP エントリを使用して同じ送信元と宛先間の複数のセッションを集
約するかどうかなど）が表示されます（[ 繰り返し回数 ] 値は 1 より大きく
なります）。
[ タイプ ] 列は、そのエントリがセッションの開始または終了のどちらのエ
ントリなのか、またはセッションが拒否または廃棄されたのかどうかを示
します。[drop] は、トラフィックをブロックしたセキュリティルールが適
用されて [ いずれか ] のアプリケーションが指定されたことを示し、[deny]
はルールが適用されてある特定のアプリケーションが識別されたことを示
します。
アプリケーションが識別される前にトラフィックが廃棄された場合（ある
ルールにより特定のサービスのトラフィックがすべて廃棄された場合な
ど）、そのアプリケーションは [not-applicable] として表示されます。
脅威
ファイアウォールでセキュリティポリシーに添付されるセキュリティプロ
ファイル（アンチウイルス、アンチスパイウェア、脆弱性、URL フィルタ
リング、ファイルブロック、データフィルタリング、または DoS プロテ
クション）にトラフィックが適合する場合に、エントリを表示します。各
エントリには、日時、脅威の名前または URL、送信元および宛先ゾーン、
アドレス、ポート、アプリケーション名、およびアラームアクション
（「allow」または「block」）と重大度が含まれています。
エントリの横の
をクリックすると、脅威に関する詳細な情報（そのエ
ントリを使用して同じ送信元と宛先間の同じタイプの複数の脅威を集約す
るかどうかなど）が表示されます（[ 繰り返し回数 ] 値は 1 より大きくなり
ます）。
[ タイプ ] 列は、脅威のタイプ（「virus」、「spyware」など）を示します。
[ 名前 ] 列は、脅威の説明または URL を、および [ カテゴリ ] 列は脅威のカ
テゴリ（「keylogger」など）または URL のカテゴリを示します。
ローカルパケットキャプチャが有効な場合は、エントリの横の
をク
リックして、キャプチャされたパケットを表示します。ローカルパケット
キャプチャを有効にする方法については、「パケットキャプチャの実行」
を参照してください。
レポートとログ
221
ファイアウォールのモニター
レポートとログ
ログの説明チャート
説明
URL フィルタリング
セキュリティポリシーに添付された URL フィルタリングプロファイルに
適合するすべてのトラフィックのログを表示します。たとえば、ポリシー
によって特定の Web サイトまたは Web サイトカテゴリへのアクセスがブ
ロックされる場合か、Web サイトへのアクセスがあったときにアラートを
生成するようにポリシーが設定されている場合です。URL フィルタリング
プロファイルの定義方法の詳細は、「URL フィルタリング」を参照してく
ださい。
WildFire への送信
WildFire クラウドによってアップロードおよび分析されるファイルのログ
が表示されます。ログデータは、分析後に分析結果と共にデバイスに返送
されます。
データフィルタリング
クレジットカード番号や社会保障番号などの機密情報が、ファイアウォー
ルによって保護されているエリアから流出するのを防止するのに役立つセ
キュリティポリシーのログが表示されます。データフィルタリングプロ
ファイルの定義方法の詳細は、「データフィルタリングのセットアップ」
を参照してください。
このログには、ファイルブロッキングプロファイルの情報も表示されま
す。たとえば、.exe ファイルをブロックしている場合、ログにはブロックさ
れたファイルが表示されます。ファイルを WildFire に転送すると、そのアク
ションの結果が表示されます。たとえば、PE ファイルを WildFire に転送し
た場合、ログにファイルを転送したことが表示され、さらにそのファイル
が WildFire に正常にアップロードされたかどうかの状態も表示されます。
設定
設定変更操作に関するエントリが表示されます。各エントリには、日時、
管理者のユーザー名、変更を行ったユーザーの IP アドレス、クライアント
のタイプ（XML、Web または CLI）、実行されたコマンドのタイプ、コマ
ンドが成功したか失敗したか、設定パス、および変更前後の値が含まれて
います。
システム
各システムイベントのエントリが表示されます。各エントリには、日時、
イベントの重大度、およびイベントの説明が含まれています。
HIP マッチ
設定した HIP オブジェクトまたは HIP プロファイルに適合するトラフィッ
クフローが表示されます。
222
レポートとログ
レポートとログ
ファイアウォールのモニター
ログデータのフィルタリング
各ログページの上部にはフィルタエリアがあります。
以下のようにして、フィルタエリアを使用します。


ログリストの下線の付いたリンクのいずれかをクリックし、その項目をログフィルタオプショ
ンとして追加します。たとえば、10.0.0.252 のログエントリの [ホスト] リンクと [Web Browsing]
をクリックすると、両方の項目が追加され、AND 検索を使用して両方に一致するエントリが検
索されます。
その他の検索基準を定義するには、[ ログフィルタの追加 ] をクリックします。必要に応じて、
検索のタイプ (AND/OR)、検索に含める属性、マッチング演算子、および照合に使用する値
を選択します。[Add] をクリックして基準を [Log] ページのフィルタエリアに追加し、[Close]
をクリックしてポップアップウィンドウを閉じます。[フィルタの適用] をクリックすると、
フィルタリングされたリストが表示されます。
[Log] ページに追加されたフィルタ式と [Expression] ポップアップウィンドウで定義した式を
組み合わせることができます。各フィルタは、1 つのエントリとして [Log] ページの [Filter] 行
に追加されます。[受信日時] を [含む] フィルタを [過去 60 秒] に設定した場合、ログビューア
の一部のページリンクで結果が表示されない場合があります。これは、選択した時間が動的性
質を持つため、ページ数が増加または減少することがあるからです。


フィルタを消去してフィルタリングされていないリストを再度表示するには、[フィルタのク
リア ] をクリックします。
設定したフィルタを新しいフィルタとして保存するには、[ フィルタの保存 ] をクリックして
フィルタ名を入力し、[OK] をクリックします。

現在のログリスト（適用されたすべてのフィルタと共にページに表示されます）をエクスポー
トするには、[ フィルタの保存 ] をクリックします。ファイルを開くのか、ディスクに保存す
るのかを選択します。常に同じオプションを使用する場合はチェックボックスをオンにしま
す。[OK] をクリックします。

現在のログ一覧を CSV フォーマットでエクスポートするには、CSV にエクスポートアイコン
をクリックします。デフォルトでは、ログリストを CSV フォーマットにエクスポートする
と、最大で 2,000 行のログを含む CSV レポートが生成されます。CSV レポートに表示される
行数の制限を変更するには、[ログのエクスポートとレポート] タブ（[Device] > [セットアッ
プ ] > [ 管理 ] > [ ロギングおよびレポート設定 ] の順に選択）の [CSV エクスポートの最大行
数 ] フィールドを使用します。
自動更新間隔を変更するには、ドロップダウンリストから間隔を選択します（[1 分 ]、[30 秒 ]、
[10 秒 ]、または [ 手動 ]）。
ページあたりのログエントリの数を変更するには、[ 行 ] ドロップダウンで行数を選択します。
ログエントリは、10 ページのブロック単位で取得されます。ページの下部にあるページ送り機
能を使用して、ログリスト内を移動します。[ ホスト名の解決 ] チェックボックスをオンにする
と、外部 IP アドレスがドメイン名に解決されます。
レポートとログ
223
ファイアウォールのモニター
レポートとログ
ダッシュボードのモニタリング
ローカルのログデータは、関連付けられたウィジェットを追加することにより、[Dashboard]
から直接モニタリングすることもできます。
224
レポートとログ
レポートとログ
ファイアウォールのモニター
レポートの表示
ファイアウォールでは、ログデータも使用して、ログデータを表または図の形式で表示したレ
ポートも生成します（[Monitor] > [レポート]）。ファイアウォールで使用可能な定義済みレポー
トとカスタムレポートの詳細は、「レポートについて」を参照してください。
レポートとログ
225
外部サービスへのログの転送
レポートとログ
外部サービスへのログの転送
ログファイルのタイプおよび重大度に応じて、注意を必要とする重大イベントについてアラー
トが送信されるようにしたり、ファイアウォールに保存可能な期間より長くデータをアーカイ
ブするよう求めるポリシーが存在したりするかも知れません。そのような場合は、ログデータ
を外部サービスに転送して、アーカイブ、通知、または分析することができます。
ログデータを外部サービスに転送するには、以下のタスクを実行する必要があります。

ログを受信するリモートサービスにアクセスするようにファイアウォールを設定します。「リ
モートログの宛先の定義」を参照してください。


転送されるように各ログタイプを設定します。「ログ転送の有効化」を参照してください。
226
トラフィックログと脅威ログの場合、ログ転送を有効にするには、ログ転送プロファイルを
設定するか、デフォルトのログ転送プロファイルを使用します。詳細は、「ログ転送プロ
ファイル」を参照してください。
レポートとログ
レポートとログ
外部サービスへのログの転送
リモートログの宛先の定義
Syslog サーバーや SNMP トラップマネージャなどの外部サービスに到達するため、ファイア
ウォールでは、アクセス方法の詳細を認識し、必要であればそのサービスに対して認証される
ようにする必要があります。この情報は、ファイアウォールの [ サーバープロファイル ] で定義
します。ファイアウォールが通信する外部サービスごとにサーバープロファイルを作成する必
要があります。セットアップする必要があるログの宛先タイプおよび転送するログのタイプ
は、必要に応じて異なります。いくつかの一般的なログ転送シナリオには、以下の操作が含ま
れます。

注意を必要とする重大なシステムイベントまたは脅威に関する即時通知の場合は、SNMP ト
ラップを生成するか、電子メールアラートを送信することができます。「電子メールアラー
トのセットアップ」または「SNMP トラップの宛先のセットアップ」を参照してください。

データの長期保管とアーカイブの場合、および中央管理のデバイスモニタリングの場合には、
ログデータを Syslog サーバーに送信することができます。「Syslog サーバーの定義」を参照
してください。これにより、Splunk! や ArcSight などのサードパーティのセキュリティモニ
タリングツールとの統合が可能になります。ファイアウォールと Syslog サーバー間のチャ
ネルを保護することができます。「Syslog サーバーに対して認証するためのファイアウォー
ルの設定」を参照してください。

複数の Palo Alto Networks ファイアウォールからログデータを集約してレポートを作成する
場合は、Panorama マネージャまたは Panorama ログコレクタにログを転送できます。「ログ
転送の有効化」を参照してください。
サーバープロファイルは必要なだけ定義できます。たとえば、別々のサーバープロファイルを
使用して、トラフィックログを Syslog サーバーに、システムログを別のサーバーに送信するこ
とができます。あるいは、複数のサーバーエントリを単一のサーバープロファイルに含め、複
数の Syslog サーバーにログを記録して冗長性を高めることもできます。
デフォルトでは、すべてのログデータが MGT インターフェイスを介して転送されます。MGT
以外のインターフェイスを使用する予定の場合は、「外部サービスへのネットワークアクセス
のセットアップ」のステップ 5 の説明に従って、ログの転送先となるサービスごとにサービス
ルートを設定する必要があります。
レポートとログ
227
外部サービスへのログの転送
レポートとログ
電子メールアラートのセットアップ
電子メールアラートのセットアップ
ステップ 1
使用している電子メールサー 1.
バーのサーバープロファイル
を作成します。
2.
[Device] > [ サーバープロファイル ] > [ 電子メール ] の
順に選択します。
[ 追加 ] をクリックし、プロファイルの [ 名前 ] を入力し
ます。
3.
（任意）[ 場所 ] ドロップダウンリストから、このプロ
ファイルの適用先となる仮想システムを選択します。
4.
[ 追加 ] をクリックして新しい電子メールサーバーエ
ントリを追加し、SMTP (Simple Mail Transport Protocol)
サーバーに接続して電子メールを送信するために必要
な情報を入力します（プロファイルには電子メール
サーバーを 4 つまで追加できます）。
• サーバー — 電子メールサーバーを識別する名前（1 ～
31 文字）。このフィールドは単なるラベルであり、
既存の SMTP サーバーのホスト名である必要はあり
ません。
• 表示名 — 電子メールの [ 差出人 ] フィールドに表示
される名前。
• 送信者 — 電子メール通知の送信元の電子メールアド
レス。
• 宛先 — 電子メール通知の送信先の電子メールアド
レス。
• 追加の受信者 — 通知が 2 番目のアカウントに送信さ
れるようにする場合は、ここに追加のアドレスを入
力します。追加できるのは 1 名の受信者のみです。
複数の受信者を追加するには、配布リストの電子
メールアドレスを追加します。
• ゲートウェイ — 電子メールの送信に使用する SMTP
ゲートウェイの IP アドレスまたはホスト名。
5.
[ カスタムログフォーマット ] タブを選択します。さまざ
まなログタイプでのカスタムフォーマットの作成方法に
ついては、『Common Event Format Configuration Guide』を
参照してください。
ステップ 2
（任意）ファイアウォールが
送信する電子メールメッセー
ジのフォーマットをカスタマ
イズします。
ステップ 3
サーバープロファイルを保存 1.
し、変更をコミットします。 2.
228
[OK] をクリックしてサーバープロファイルを保存し
ます。
[OK] をクリックしてプロファイルを保存します。
[ コミット ] をクリックして実行中の設定に対する変更
を保存します。
レポートとログ
レポートとログ
外部サービスへのログの転送
SNMP トラップの宛先のセットアップ
SNMP (Simple Network Management Protocol) は、ネットワーク上のデバイスをモニターする標準
ファシリティです。SNMP 管理ソフトウェアに SNMP トラップを送信するようにファイア
ウォールを設定し、迅速な対応が求められる重大なシステムイベントや脅威に対して注意が喚
起されるようにすることができます。
SNMP を使用してファイアウォールをモニタリングすることもできます。この場合は、ファイ
アウォールでトラップをマネージャに送信するのではなく（または、そうすることに加え
て）、ファイアウォールから統計データを取得するように SNMP マネージャを設定する必要
があります。詳細は、「Syslog サーバーに対して認証するためのファイアウォールの設定」を
参照してください。
SNMP トラップの宛先のセットアップ
ステップ 1
（ S N M P v 3 のみ）ファイアファイアウォールのエンジン ID を確認するには、SNMP
ウォールのエンジン ID を取得 v3 用にファイアウォールを設定し、SNMP マネージャまた
は MIB ブラウザから以下のように GET メッセージを送信
します。
する必要があります。
多くの場合、MIB ブラウ
1. インターフェイスがインバウンド SNMP 要求を許可で
ザまたは SNMP マネー
きるようにします。
ジャは、ファイアウォー
• MGT インターフェイスで SNMP GET メッセージを
ルの SNMP エージェント
受信する場合は、[Device] > [ セットアップ ] > [ 管理 ]
に正常に接続すると、自
の順に選択し、画面の [ 管理インターフェイス設定 ]
動的にエンジン ID を検
セクションで [ 編集 ] をクリックします。[ サービス ]
出します。通常、この情
セクションで、[SNMP]
チェックボックスをオンに
報はインターフェイスの
して [OK] をクリックします。
エージェント設定セク
ションにあります。エー
ジェント情報の検出手順
については、各製品のド
キュメントを参照してく
ださい。
レポートとログ
• 別のインターフェイスで SNMP GET メッセージを受
信する場合は、管理プロファイルとそのインター
フェイスを関連付け、SNMP 管理を有効にする必要
があります。
2.
「SNMP モニタリングのセットアップ」のステップ 2 の
説明に従って、ファイアウォールを SNMP v3 用に設定
します。ファイアウォールを SNMP v3 用に設定しない
と、MIB ブラウザで GET によるエンジン ID の取得が
許可されません。
3.
MIB ブラウザまたは SNMP マネージャをファイアウォー
ルに接続し、OID 1.3.6.1.6.3.10.2.1.1.0 を取得する GET
を実行します。返される値は、ファイアウォールの一
意のエンジン ID です。
229
外部サービスへのログの転送
レポートとログ
SNMP トラップの宛先のセットアップ（続き）
ステップ 2
SNMP マネージャに接続して認証されるために必要な情報を含んだサーバープロファイル
を作成します。
1. [Device] > [ サーバープロファイル ] > [SNMP トラップ ] の順に選択します。
2. [ 追加 ] をクリックし、プロファイルの [ 名前 ] を入力します。
3. （任意）[ 場所 ] ドロップダウンリストから、このプロファイルの適用先となる仮想シス
テムを選択します。
4. 使用中の SNMP のバージョン（[V2c] または [V3]）を指定します。
5. [ 追加 ] をクリックして新しい [SNMP トラップレシーバ ] エントリを追加します（サー
バープロファイルあたりトラップレシーバを 4 つまで追加できます）。必須の値は、
SNMP V2c と V3 のどちらを使用中なのかによって決まります。
SNMP V2c の場合
• サーバー — SNMP マネージャを識別する名前（1 ～ 31 文字）。このフィールドは単な
るラベルであり、既存の SNMP サーバーのホスト名である必要はありません。
• マネージャ — トラップの送信先 SNMP マネージャの IP アドレス。
• コミュニティ — SNMP マネージャに対して認証するために必要なコミュニティ名。
SNMP V3 の場合
• サーバー — SNMP マネージャを識別する名前（1 ～ 31 文字）。このフィールドは単な
るラベルであり、既存の SNMP サーバーのホスト名である必要はありません。
• マネージャ — トラップの送信先 SNMP マネージャの IP アドレス。
• ユーザー — SNMP マネージャに対して認証するために必要なユーザー名。
• エンジン ID — ステップ 1 で識別された、ファイアウォールのエンジン ID。これは、
0x プレフィックスが付いた 5 ～ 64 バイトの 16 進数値です。各ファイアウォールに
は、一意のエンジン ID があります。
• 認証パスワード — SNMP マネージャに対する authNoPriv レベルのメッセージで使用さ
れるパスワード。このパスワードは Secure Hash Algorithm (SHA-1) を使用してハッシュ
されますが、暗号化はされません。
• 専用パスワード — SNMP マネージャに対する authPriv レベルのメッセージで使用され
るパスワード。このパスワードは SHA を使用してハッシュされ、Advanced Encryption
Standard (AES 128) を使用して暗号化されます。
6. [OK] をクリックしてサーバープロファイルを保存します。
ステップ 3
（任意）SNMP トラップのサーデフォルトでは、SNMP トラップは MGT インターフェイ
ビスルートをセットアップしスを介して送信されます。SNMP トラップに別のインター
ます。
フェイスを使用する場合は、ファイアウォールが SNMP マ
ネージャに到達できるようにサービスルートを編集する必
要があります。方法については、「外部サービスへのネッ
トワークアクセスのセットアップ」を参照してください。
ステップ 4
変更をコミットします。
ステップ 5
ファイアウォールから受信する『PAN-OS MIB ファイル』を SNMP 管理ソフトウェアに
トラップを SNMP マネージャがロードして、コンパイルします。この処理の具体的な方法
解釈できるようにします。
については、ご使用の SNMP マネージャのドキュメントを
参照してください。
230
[ コミット ] をクリックします。デバイスでの変更の保存に
は、最長で 90 秒かかります。
レポートとログ
レポートとログ
外部サービスへのログの転送
Syslog サーバーの定義
Syslog は標準のログ転送メカニズムで、ルーター、ファイアウォール、プリンターなどのさま
ざまなベンダーのさまざまなネットワークデバイスからアーカイブと分析そしてレポート作成
のために、ログデータを集約できるようにします。
ファイアウォールは、外部 Syslog サーバーに転送することができる 6 つのタイプのログ（トラ
フィック、脅威、WildFire、ホスト情報プロファイル (HIP) マッチ、設定、およびシステム）を
生成します。これらのログのすべてまたは一部を外部サービスに転送して長期保管および分析
する場合、ログを信頼できる保護された方法で転送するには TCP または SSL を、保護されない
方法で転送するには UDP を使用できます。
レポートとログ
231
外部サービスへのログの転送
レポートとログ
Syslog 転送のセットアップ
ステップ 1
Syslog サーバーに接続するため 1.
に必要な情報を含んだサーバー
プロファイルを作成します。
2.
[Device] > [ サーバープロファイル ] > [Syslog] の順に
選択します。
[ 追加 ] をクリックし、プロファイルの [ 名前 ] を入力
します。
3.
（任意）[ 場所 ] ドロップダウンリストから、このプロ
ファイルの適用先となる仮想システムを選択します。
4.
[ 追加 ] をクリックして新しい Syslog サーバーエントリ
を追加し、Syslog サーバーに接続するために必要な情
報を入力します（同じプロファイルに Syslog サーバー
を 4 つまで追加できます）。
• 名前 — サーバープロファイルの一意の名前。
• サーバー — Syslog サーバーの IP アドレスまたは完全
修飾ドメイン名 (FQDN)。
• 転送 — Syslog サーバーとの通信方法として、TCP、
UDP、または SSL を選択します。
• ポート — Syslog メッセージを送信するときに経由す
るポート番号（デフォルトはポート 514 の UDP）。
ファイアウォールと Syslog サーバーで同じポート番
号を使用する必要があります。
• フォーマット — 使用する Syslog メッセージフォー
マットとして、BSD または IETF を選択します。従
来、UDP 経由の場合は BSD フォーマット、TCP/SSL
経由の場合は IETF フォーマットが使用されていま
す。クライアント認証による保護された Syslog 転送
のセットアップについての詳細は、「Syslog サー
バーに対して認証するためのファイアウォールの設
定」を参照してください。
• ファシリティ — Syslog の標準値のいずれかを選択し
ます。実装されている Syslog サーバーの優先度 (PRI)
フィールドの計算で使用されます。PRI フィールド
を使用して Syslog メッセージを管理する方法に対応
する値を選択してください。
232
5.
（任意）ファイアウォールが送信する Syslog メッセージ
のフォーマットをカスタマイズするには、[ カスタム
ログフォーマット ] タブを選択します。さまざまなロ
グタイプでのカスタムフォーマットの作成方法につい
ては、『Common Event Format Configuration Guide』を
参照してください。
6.
[OK] をクリックしてサーバープロファイルを保存し
ます。
レポートとログ
レポートとログ
外部サービスへのログの転送
Syslog 転送のセットアップ（続き）
ステップ 2
（任意）Syslog メッセージ内の 1.
ヘッダーフォーマットを設定
します。ヘッダーフォーマッ
トを選択することで、一部の 2.
SIEM のログデータをより柔軟
3.
にフィルタリングおよびレ
ポートできます。
[Device] > [ セットアップ ] > [ 管理 ] の順に選択し、
[ ロギングおよびレポート設定 ] セクションの編集アイ
コンをクリックします。
[ ログのエクスポートとレポート ] を選択します。
[Syslog メッセージ内にホスト名を含める ] ドロップダウ
ンから、以下のオプションのいずれかを選択します。
• FQDN —（デフォルト）送信デバイスで定義されてい
るホスト名とドメイン名を連結します。
• hostname — 送信デバイスで定義されているホスト
名を使用します。
• ipv4-address — 送信デバイスでログを送信するため
に使用されるインターフェイスの IPv4 アドレスを使
用します。デフォルトでは、デバイスの MGT イン
ターフェイスです。
これは、グローバル設定
であるため、アプライア
ンスで設定されている
すべての Syslog サーバー
プロファイルに適用さ
4.
れます。
• ipv6-address — 送信デバイスでログを送信するため
に使用されるインターフェイスの IPv6 アドレスを使
用します。デフォルトでは、デバイスの MGT イン
ターフェイスです。
• none — デバイスのホスト名フィールドを設定されな
いままにします。ログを送信したデバイスの ID は
ありません。
[OK]、[ コミット ] の順にクリックします。
ステップ 3
変更をコミットします。
[ コミット ] をクリックします。デバイスでの変更の保存に
は、最長で 90 秒かかります。
ステップ 4
ログ転送を有効にします。
「ログ転送の有効化」を参照してください。
転送する各ログタイプを設定し、イベントをログに記録す
る場合の重大度を指定する必要があります。
WildFire ログは脅威ログの一種ですが、脅威ログと一
緒に記録および転送されません。WildFire ログでは脅
威ログと同じ Syslog フォーマットを使用しますが、
WildFire には脅威サブタイプが事前設定されていま
す。したがって、WildFire ログのロギング / 転送は、
脅威ログから明確に有効にする必要があります。
ステップ 5
Syslog サーバーでログを確認しログを解析するには、「Syslog フィールドの説明」を参照
ます。
してください。
レポートとログ
233
外部サービスへのログの転送
レポートとログ
Syslog サーバーに対して認証するためのファイアウォールの設定
SSL を使用した Syslog のクライアント認証を有効にするには、信頼された CA または自己署名
CA を使用して、保護された Syslog 通信で使用可能な証明書を生成できます。保護された Syslog
通信用の証明書を生成する場合は、以下の点を確認してください。

送信デバイスで秘密鍵が使用できるようになっている必要があります。秘密鍵は、ハード
ウェアセキュリティモジュール (HSM) で保管できません。

証明書の被認証者と発行者を同じにすることはできません。

証明書は、信頼される CA と証明書署名要求 (CSR) のどちらでもありません。これらのタイ
プの証明書はどれも、保護された Syslog 通信で有効にすることはできません。
234
レポートとログ
レポートとログ
外部サービスへのログの転送
Syslog サーバーに対して認証するためのファイアウォールの設定
ステップ 1
Syslog サーバーでクライアン送信デバイスが Syslog サーバーと通信できることを確認する
ト認証が必要な場合、保護ために、以下を実行する必要があります。
された通信用の証明書を生 • サーバーおよび送信デバイスには、エンタープライズ CA に
成します。証明書の詳細
よって署名された証明書が必要です。また、ファイア
は、「証明書の管理」を参
ウォールで自己署名証明書を生成し、ファイアウォールか
照してください。
ら CA ルート証明書をエクスポートして、Syslog サーバー
にインポートすることもできます。
• エンタープライズ CA または自己署名証明書を使用して証
明書を生成します。この証明書には、（共通名として）送
信デバイスの IP アドレスが含まれており、保護された
Syslog 通信で使用できます。Syslog サーバーは、この証明
書を使用して、ファイアウォールに Syslog サーバーと通信
する権限があることを確認します。
以下の手順を使用して、ファイアウォールまたは Panorama
で証明書を生成します。
1.
[Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス証明書 ]
の順に選択します。
2.
[生成] をクリックして、信頼された認証局または自己署名
認証局によって署名される新しい証明書を作成します。
3.
[ 証明書名 ] に証明書の名前を入力します。
4.
[ 共通名 ] に、Syslog サーバーにログを送信するデバイス
の IP アドレスを入力します。
5.
証明書を Panorama の共有証明書にする場合や、複数の仮
想システムのファイアウォールのすべての仮想システム
で共有する場合、[ 共有 ] を選択します。
6.
[ 署名者 ] で、信頼された認証局、または Syslog サーバー
と送信デバイスの両方で信頼されている自己署名認証局
を選択します。
7.
[ 生成 ] をクリックします。証明書とキーペアが生成され
ます。
8.
証明書名のリンクをクリックし、[保護された Syslog の証
明書 ] オプションを有効にして、Syslog サーバーに安全に
アクセスできるようにします。
9.
変更を [ コミット ] します。
10. 証明書の詳細を確認し、[ 用途 ] に [ 保護された Syslog の
証明書 ] とマークされていることを確認します。
レポートとログ
235
外部サービスへのログの転送
レポートとログ
ログ転送の有効化
ログの送信先を定義したサーバープロファイルを作成したら（「リモートログの宛先の定義」
を参照）、ログ転送を有効にする必要があります。ログタイプごとに、Syslog、電子メール、
SNMP トラップレシーバ、または Panorama のどれに転送するかを指定できます。
Panorama マネージャまたは Panorama ログコレクタにログファイルを転送できるようにするに
は、まず、ファイアウォールを管理対象デバイスとして設定する必要があります。その後、ログ
のタイプごとに Panorama へのログ転送を有効にすることができます。Panorama に転送される
ログの場合、外部 Syslog サーバーへの中央管理されたログ転送がサポートされます。
転送を有効にする方法は、ログタイプによって異なります。

トラフィックログ — トラフィックログの転送を有効にするには、ログ転送プロファイルを
作成し（[Objects] > [ ログ転送 ]）、ログ転送をトリガーするセキュリティポリシーにそのプ
ロファイルを追加します。セキュリティポリシー内の特定のルールに一致するトラフィック
のみがログに記録され、転送されます。ログ転送プロファイルの詳細は、「ログ転送プロ
ファイル」を参照してください。

脅威ログ — 脅威ログの転送を有効にするには、転送する重大度レベルを指定したログ転送プ
ロファイルを作成し（[Objects] > [ ログ転送 ]）、ログ転送をトリガーするセキュリティポリ
シーにそのプロファイルを追加します。脅威ログのエントリは、関連付けられたトラフィッ
クがセキュリティプロファイル（アンチウイルス、アンチスパイウェア、脆弱性防御、URL
フィルタリング、ファイルブロッキング、データフィルタリング、または DoS プロテク
ション）と一致する場合にのみ作成（したがって転送）されます。ログ転送プロファイルの
詳細は、「ログ転送プロファイル」を参照してください。以下の表に脅威の重大度レベルを
要約して示します。
重大度
説明
重要
広範囲にデプロイされたソフトウェアのデフォルトインストー
ルに影響するような深刻な脅威。サーバーの root が悪用され、
弱点のあるコードが広範囲の攻撃者の手に渡ることになりま
す。攻撃者は通常、特殊な認証資格証明や個々の被害者に関す
る知識を必要としません。また、標的がなんらかの特殊な機能
を実行するように操作する必要もありません。
高
重大度が Critical に変わる可能性があるものの、軽減要因が存在
する脅威。たとえば、悪用するのが困難であったり、上位の特
権が与えられることがなかったり、被害サーバー数が多くな
かったりする場合です。
中
影響が最小限に抑えられる小さな脅威。たとえば、標的に侵入
することのない DoS 攻撃や、攻撃者が被害サーバーと同じ
LAN 上に存在する必要があり、標準以外の設定や隠れたアプ
リケーションにのみ影響するか、アクセスがごく限られている
悪用などです。さらに、マルウェア判定を含む WildFire 送信ロ
グエントリは、Medium としてログに記録されます。
236
レポートとログ
レポートとログ
外部サービスへのログの転送
重大度
説明
低
組織のインフラストラクチャへの影響がわずかな警告レベルの
脅威。通常、ローカルまたは物理的なシステムへのアクセスが
必要であり、被害者のプライバシーや DoS の問題、情報漏洩な
どが発生することがあります。データフィルタリングプロ
ファイルの一致は、「低」としてログに記録されます。
情報
直ちに脅威とはならなくても、存在する可能性がある深層の問
題に注意を引くために報告される、疑わしいイベント。URL
フィルタリングログエントリと安全判定の WildFire 送信ログ
エントリは Informational としてログに記録されます。

設定ログ — 設定ログの転送を有効にするには、ログ設定でサーバープロファイルを指定しま
す（[Device] > [ ログ設定 ] > [ 設定ログ ]）。

システムログ — システムログの転送を有効にするには、ログ設定でサーバープロファイル
を指定します（[Device] > [ ログ設定 ] > [ システムログ ]）。転送する重大度レベルごとに
サーバープロファイルを選択する必要があります。システムログメッセージとそれに対応
する重大度レベルの部分的なリストについては、『System Log Reference』を参照してくださ
い。以下の表にシステムログの重大度レベルを要約して示します。
重大度
説明
重要
HA フェイルオーバーやリンク障害などのハードウェア障害。
高
外部デバイス（LDAP サーバーや RADIUS サーバーなど）との
接続の切断などの深刻な問題。
中
アンチウイルスパッケージのアップグレードなどの中レベルの
通知。
低
ユーザーパスワードの変更などそれほど重要ではない通知。
情報
ログイン / ログオフ、管理者名やパスワードの変更、設定の変
更、および重大度レベルに含まれない他のすべてのイベント。
ログ転送プロファイル
ログ転送プロファイルにより、トラフィックログと脅威ログを Panorama または外部システムに
転送することができます。ログ転送プロファイルは、セキュリティゾーンに追加してゾーンプ
ロテクションログを転送するか、セキュリティポリシーに追加してそのポリシーに適合するト
ラフィックのログを転送することができます。また、デフォルトのログ転送プロファイルを設
定することもできます。デフォルトプロファイルでの設定は、新しいセキュリティゾーンと新
しいセキュリティポリシーのデフォルトのログ転送設定として使用されます。これにより、組
織で優先されるログ転送設定を新しいポリシーおよびゾーンに自動的に含めることができ、そ
れらの設定を管理者が毎回手動で追加する必要がなくなります。
レポートとログ
237
外部サービスへのログの転送
レポートとログ
以下のセクションでは、ログ転送プロファイルの作成方法、および新しいセキュリティポリ
シーまたはセキュリティゾーンのデフォルトのログ転送設定として使用されるプロファイルを
有効にする方法について説明します。

ログ転送プロファイルの作成

デフォルトのログ転送プロファイルのセットアップまたはオーバーライド
ログ転送プロファイルの作成
トラフィックログと脅威ログを Panorama または外部システムに転送するため、セキュリティ
ポリシーとセキュリティゾーンに追加することができるログ転送プロファイルを作成します。
転送されるログは、SNMP トラップ、Syslog メッセージ、または電子メール通知として送信する
ことができます。
ログ転送プロファイルの有効化
ステップ 1
ログ転送プロファイルを追加 1.
します。
[Object] > [ ログ転送プロファイル ] の順に選択し、新
しいセキュリティプロファイルグループを [ 追加 ] し
ます。
2.
プロファイルグループに分かりやすい [名前] を付け、
セキュリティポリシーまたはセキュリティゾーンに追
加するときに識別しやすいようにします。
3.
ファイアウォールがマルチ仮想システムモードになっ
ている場合は、プロファイルをすべての仮想システム
で [ 共有 ] 可能にします。
4.
トラフィックログ、脅威ログ、および WildFire ログの
設定を追加します。
• Panorama に転送するトラフィックログ、脅威ログ、
または WildFire ログの重大度に応じて、[Panorama]
チェックボックスをオンにします。
• 追加の宛先（[SNMP トラップ ] の宛先、[ 電子メー
ル ] サーバー、または [Syslog] サーバー）に転送す
るログを指定します。
5.
238
[OK] をクリックしてログ転送プロファイルを保存し
ます。
レポートとログ
レポートとログ
外部サービスへのログの転送
ログ転送プロファイルの有効化（続き）
ステップ 2
ログ転送プロファイルをセ 1.
キュリティポリシーに追加し
ます。
2.
セキュリティポリシーおよび
ログ転送プロファイルに適合
するトラフィックは、プロ
ファイルで定義した宛先に転
送されます。
ステップ 3
ステップ 4
[Policies] > [ セキュリティ] の順に選択し、セキュリ
ティポリシーを [ 追加 ] または変更します。
[ アクション ] と、[ ログ転送プロファイル ] ドロップダ
ウンで作成したログ転送プロファイルを選択します。
脅威ログのエントリは、ログ転送プロファイル
で定義した設定に加えて、設定したセキュリ
ティプロファイルに従って生成されます。セ
キュリティプロファイルの詳細は、「セキュリ
ティプロファイル」を参照してください。
セキュリティポリシーの詳細
は、「セキュリティポリシー」 3.
を参照してください。
[OK] をクリックしてセキュリティポリシーを保存し
ます。
ログ転送プロファイルをセキュ 1.
リティゾーンに追加します。
[Network] > [ ゾーン ] の順に選択し、セキュリティゾー
ンを [ 追加 ] または変更します。
セキュリティゾーンのセット 2.
アップの詳細は、「インター
フェイスとゾーンの設定」を 3.
参照してください。
[ ログ設定 ] ドロップダウンから、ログ転送プロファイ
ルを選択します。
変更を保存します。
[OK] をクリックしてセキュリティゾーンを保存します。
[ コミット ] します。
デフォルトのログ転送プロファイルのセットアップまたはオーバーライド
新しいログ転送プロファイルを追加するか、既存のログ転送プロファイルを変更して、新しい
セキュリティポリシールールまたは新しいセキュリティゾーンのデフォルトのログ転送設定
として使用します。管理者が新しいセキュリティポリシーまたは新しいセキュリティゾーンを
作成すると、ポリシーまたはゾーンのログ転送設定としてデフォルトのログ転送プロファイル
が自動的に選択されます（管理者は、必要に応じて、別のログ転送設定を手動で選択すること
もできます）。以下のオプションを使用してデフォルトのログ転送プロファイルをセットアッ
プするか、デフォルトの設定をオーバーライドすることができます。
デフォルトのセキュリティプロファイルが存在しない場合、新規のセキュリティポリシーの
プロファイル設定は、デフォルトで [なし] に設定されます。
レポートとログ
239
外部サービスへのログの転送
レポートとログ
デフォルトのログ転送プロファイルのセットアップまたはオーバーライド
• デフォルトのログ転送プロファイルを 1.
セットアップします。
[Object] > [ ログ転送 ] の順に選択し、新しいログ転送
プロファイルを [ 追加 ] するか、既存のプロファイルを
変更します。
2.
セキュリティプロファイルグループに「default」とい
う [ 名前 ] を付けます。
3.
[OK]、[ コミット ] の順にクリックします。
4.
デフォルトのログ転送プロファイルが、新しいセキュ
リティプロファイルにデフォルトで含まれていること
を確認します。
a. [Policies] > [ セキュリティ] の順に選択して、新規の
セキュリティポリシーを [ 追加 ] します。
b. [ アクション ] タブを選択し、[ ログ転送 ] フィールド
でデフォルトのプロファイルが選択されていること
を確認します。
5.
デフォルトのログ転送プロファイルが、新しいセキュ
リティゾーンにデフォルトで含まれていることを確認
します。
a. [Network] > [ ゾーン ] の順に選択し、新しいセキュ
リティゾーンを [ 追加 ] します。
b. [ ログ設定 ] フィールドで、デフォルトのログ転送プ
ロファイルが選択されることを確認します。
• デフォルトのログ転送プロファイルをデフォルトのログ転送プロファイルがすでに存在し、新し
オーバーライドします。
いセキュリティポリシーまたは新しいセキュリティゾーン
に適用されるプロファイルでログ転送設定が定義されない
ようにする場合は、ポリシーまたはゾーンでの [ ログ設定 ]
フィールドの変更に進み、優先設定に従って変更します。
240
レポートとログ
レポートとログ
SNMP を使用したファイアウォールのモニター
SNMP を使用したファイアウォールのモニター
すべての Palo Alto Networks ファイアウォールは、標準の SNMP 管理情報ベース (MIB) モジュール
とともに、専用のエンタープライズ MIB モジュールをサポートしています。SNMP マネージャ
は、ファイアウォールから統計情報を取得するように設定できます。たとえば、使用する SNMP
マネージャを設定して、ファイアウォールのインターフェイス、アクティブなセッション、同
時セッション、セッション利用率、温度、またはシステム稼働時間をモニターできます。
Palo Alto Networks のファイアウォールは、SNMP GET 要求のみをサポートしており、SNMP
SET 要求はサポートしていません。
SNMP モニタリングのセットアップ
ステップ 1
インターフェイスがインバウ • MGT インターフェイスで SNMP GET メッセージを受信
ンド SNMP 要求を許可できる
する場合は、[Device] > [ セットアップ ] > [ 管理 ] の順に
ようにします。
選択し、画面の [ 管理インターフェイス設定 ] セクション
を [ 編集 ] します。[ サービス ] セクションで、[SNMP]
チェックボックスをオンにして [OK] をクリックします。
• 別のインターフェイスで SNMP GET メッセージを受信す
る場合は、管理プロファイルとそのインターフェイスを
関連付け、SNMP 管理を有効にする必要があります。
レポートとログ
241
SNMP を使用したファイアウォールのモニター
レポートとログ
SNMP モニタリングのセットアップ（続き）
ステップ 2
ファイアウォールの Web イン 1.
ターフェイスから、ファイア
ウォールの SNMP エージェント 2.
が SNMP マネージャから受信し
た GET 要求に応答することを
3.
許可するように設定します。
[Device] > [ セットアップ ] > [ 操作 ] > [SNMP のセット
アップ ] の順に選択します。
ファイアウォールの [ 場所 ] と管理上の [ 連絡先 ] の名
前または電子メールアドレスを指定します。
SNMP の [ バージョン ] を選択し、設定の詳細を（使用
している SNMP バージョンに応じて）以下のように入
力し、[OK] をクリックします。
• V2c — SNMP マネージャにファイアウォールの SNMP
エージェントへのアクセスを許可する [SNMP コミュ
ニティ名 ] を入力します。デフォルト値は public で
すが、これは一般的なコミュニティ名であるため、
ベストプラクティスとして、容易に推測できない値
を使用するようお勧めします。
• V3 — SNMPv3 を使用するには、表示とユーザーをそ
れぞれ少なくとも 1 つ作成する必要があります。表
示には、マネージャがアクセス権を持つ管理情報を
指定します。すべての管理情報へのアクセスを許可
するには、最上位 OID「.1.3.6.1」のみを入力し、[ オ
プション ] に [include] を指定します（特定のオブジェ
クトを除外する表示を作成することもできます）。
[ マスク ] として「0xf0」を使用します。ユーザーを
作成するとき、上記で作成した表示を [ 表示 ] で選択
し、[ 認証パスワード ] と [ 専用パスワード ] を指定
します。
ファイアウォールに設定した認証設定（V2c のコミュ
ニティ名または V3 のユーザー名とパスワード）は、
SNMP マネージャに設定した値と一致する必要があり
ます。
4.
[OK] をクリックして設定を保存します。
5.
[Commit] をクリックして SNMP 設定を保存します。
ステップ 3
SNMP マネージャでファイア『PAN-OS MIB ファイル』を SNMP 管理ソフトウェアに
ウォールの統計情報を解釈でロードし、必要に応じてコンパイルします。この処理の具
きるようにします。
体的な方法については、ご使用の SNMP マネージャのド
キュメントを参照してください。
ステップ 4
モニター対象の統計情報を確 MIB ブラウザを使用して PAN-OS MIB ファイルを開き、モ
認します。
ニター対象の統計情報に対応するオブジェクト ID (OID) を
確認します。たとえば、ファイアウォールのセッション利
用率をモニタリングするとします。この場合は、MIB ブラウ
ザを使用して、この統計情報が PAN-COMMON-MIB の OID
1.3.6.1.4.1.25461.2.1.2.3.1.0 に対応することを確認できます。
242
レポートとログ
レポートとログ
SNMP を使用したファイアウォールのモニター
SNMP モニタリングのセットアップ（続き）
ステップ 5
関心対象の OID をモニタリングこの処理の具体的な方法については、ご使用の SNMP マ
するように SNMP 管理ソフトネージャのドキュメントを参照してください。
ウェアを設定します。
ステップ 6
ファイアウォールと SNMP マ以下に、SNMP マネージャに表示される、モニター対象の
ネージャ両方の設定が完了し PA-500 ファイアウォールのリアルタイムセッション利用
たら、SNMP 管理ソフトウェア率統計情報の例を示します。
からファイアウォールのモニ
タリングを開始できます。
レポートとログ
243
NetFlow を使用したファイアウォールのモニター
レポートとログ
NetFlow を使用したファイアウォールのモニター
NetFlow は業界標準プロトコルの 1 つで、これによりファイアウォールでは、インターフェイス
間を通過する IP トラフィックの統計情報を記録することができます。ファイアウォールは、そ
の統計を NetFlow フィールドとして NetFlow コレクタにエクスポートします。NetFlow コレクタ
は、セキュリティ、管理、アカウント管理、およびトラブルシューティングの目的でネット
ワークトラフィックを分析するために使用するサーバーです。PA-4000 シリーズと PA-7050 を除
く、すべてのファイアウォールで、NetFlow バージョン 9 をサポートしています。このファイア
ウォールでは、双方向ではなく、一方向の NetFlow のみをサポートします。NetFlow のエクス
ポートは、HA、ログカード、または復号化ミラーを除いて、すべてのインターフェイスタイ
プで有効にすることができます。NetFlow コレクタでファイアウォールインターフェイスを識
別する方法については、「外部モニタリングシステムでのファイアウォールインターフェイス
の識別」を参照してください。
ファイアウォールでは、標準およびエンタープライズ（PAN-OS 固有）の NetFlow テンプレート
をサポートしています。NetFlow コレクタには、エクスポートされたフィールドを解読するた
めのテンプレートが必要です。ファイアウォールでは、エクスポートするデータのタイプ
（IPv4 または IPv6 トラフィック、NAT を使用するかどうか、標準またはエンタープライズ固有
のフィールド）に基づいてテンプレートを選択します。サポートされるテンプレートとフィー
ルドの定義の一覧については、「NegFlow のテンプレート」を参照してください。ファイア
ウォールは、テンプレートを定期的に更新して、変更をテンプレートに適用します。更新頻度
は、使用する特定の NetFlow コレクタの要件に従って設定します。
NetFlow を使用したファイアウォールのモニター
ステップ 1
ステップ 2
NetFlow サーバープロファイル 1.
を作成します。
2.
[Device] > [ サーバープロファイル ] > [NetFlow] の順
に選択し、[ 追加 ] をクリックします。
3.
ファイアウォールでテンプレートを更新する頻度
（[ 分 ] または [ パケット ] 単位）を指定し、レコード
（分単位の [アクティブタイムアウト]）をエクスポー
トします。
4.
ファイアウォールで [App-ID] フィールドと [User-ID]
フィールドをエクスポートする場合は、[PAN-OS
フィールドタイプ] チェックボックスをオンにします。
5.
フィールドを受信する NetFlow コレクタごと（プロファ
イルあたり 2 つまで）に、[ 追加 ] をクリックして、識
別サーバーの [ 名前 ]、ホスト名または IP アドレス
（[NetFlow サーバー]）、およびアクセス [ ポート ]（デ
フォルトは 2055）を入力します。
6.
[OK] をクリックしてプロファイルを保存します。
NetFlow サーバープロファイル 1.
を、分析するトラフィックを
伝送するインターフェイスに
割り当てます。
2.
この例では、プロファイルを
既存のレイヤー 3 インターフェ
3.
イスに割り当てます。
244
プロファイルの [ 名前 ] を入力します。
[Network] > [ インターフェイス ] > [Ethernet] の順に
選択し、[ インターフェイス ] 名をクリックして編集し
ます。
[NetFlow プロファイル ] ドロップダウンで、NetFlow
サーバープロファイルを選択し、[OK] をクリックし
ます。
[ コミット ] をクリックし、[OK] をクリックします。
レポートとログ
レポートとログ
NegFlow のテンプレート
NegFlow のテンプレート
Palo Alto Networks ファイアウォールでは、以下の NetFlow テンプレートをサポートしています。
テンプレート
ID
IPv4 標準
256
IPv4 エンタープライズ
257
IPv6 標準
258
IPv6 エンタープライズ
259
NAT を使用する IPv4 標準 260
NAT を使用する IPv4 エン 261
タープライズ
以下の表に、ファイアウォールで送信できる NetFlow のフィールド、およびそれらを定義する
テンプレートの一覧を示します。
値
フィールド
説明
テンプレート
1
IN_BYTES
IP フローに関連付けられているバイトすべてのテンプレート
数を示す、長さ N * 8 ビットの受信カ
ウンタ。デフォルトで、N は 4 です。
2
IN_PKTS
IP フローに関連付けられているパケッすべてのテンプレート
ト数を示す、長さ N * 8 ビットの受信カ
ウンタ。デフォルトで、N は 4 です。
4
PROTOCOL
IP プロトコルバイト。
5
TOS
受信インターフェイスに入るときのすべてのテンプレート
Type of Service バイトの設定。
6
TCP_FLAGS
このフローでのすべての TCP フラグのすべてのテンプレート
合計。
7
L4_SRC_PORT
TCP/UDP 送信元ポート番号（たとえすべてのテンプレート
ば、FTP、Telnet、または同等のポー
ト）。
8
IPV4_SRC_ADDR
IPv4 送信元アドレス。
すべてのテンプレート
IPv4 標準
IPv4 エンタープライズ
NAT を使用する IPv4
標準
NAT を使用する IPv4
エンタープライズ
レポートとログ
245
NegFlow のテンプレート
レポートとログ
値
フィールド
説明
テンプレート
10
INPUT_SNMP
インターフェイスのインデックスを入すべてのテンプレート
力します。値の長さはデフォルトで 2
バイトですが、それより大きな値にな
ることもあります。Palo Alto Networks
ファイアウォールでインターフェイス
のインデックスを生成する方法の詳細
は、「外部モニタリングシステムでの
ファイアウォールインターフェイスの
識別」を参照してください。
11
L4_DST_PORT
TCP/UDP 宛先ポート番号（たとえすべてのテンプレート
ば、FTP、Telnet、または同等のポー
ト）。
12
IPV4_DST_ADDR
IPv4 宛先アドレス。
IPv4 標準
IPv4 エンタープライズ
NAT を使用する IPv4
標準
NAT を使用する IPv4
エンタープライズ
14
OUTPUT_SNMP
インターフェイスのインデックスを出すべてのテンプレート
力します。値の長さはデフォルトで 2
バイトですが、それより大きな値にな
ることもあります。Palo Alto Networks
ファイアウォールでインターフェイス
のインデックスを生成する方法の詳細
は、「外部モニタリングシステムでの
ファイアウォールインターフェイスの
識別」を参照してください。
21
LAST_SWITCHED
このフローの最後のパケットが切り替すべてのテンプレート
えられたときのシステムのアップタイ
ム（ミリ秒単位）。
22
FIRST_SWITCHED
このフローの最初のパケットが切り替すべてのテンプレート
えられたときのシステムのアップタイ
ム（ミリ秒単位）。
27
IPV6_SRC_ADDR
IPv6 送信元アドレス。
IPv6 標準
IPv6 エンタープライズ
28
IPV6_DST_ADDR
IPv6 宛先アドレス。
IPv6 標準
IPv6 エンタープライズ
246
レポートとログ
レポートとログ
NegFlow のテンプレート
値
フィールド
説明
テンプレート
32
ICMP_TYPE
ICMP (Internet Control Message Protocol) すべてのテンプレート
パケットタイプ。以下のように報告さ
れます。
ICMP タイプ * 256 + ICMP コード
61
DIRECTION
フロー方向 :
• 0 = ingress
すべてのテンプレート
• 1 = egress
148
flowId
観察ドメイン内で一意のフローの ID。すべてのテンプレート
IP アドレスやポート番号などのフロー
キーが報告されないか、別個のレコー
ドで報告される場合は、この情報要素
を使用して、異なるフローを区別する
ことができます。
233
firewallEvent
以下のファイアウォールイベントを示すべてのテンプレート
します。
• 0 = 無視（無効）
• 1 = 作成されたフロー
• 2 = 削除されたフロー
• 3 = 拒否されたフロー
• 4 = フローアラート
• 5 = フロー更新
225
226
227
postNATSourceIPv4Address
postNATDestinationIPv4Address
postNAPTSourceTransportPort
レポートとログ
この情報要素の定義は、パケットが観
察ポイントを通過した後に NAT の
middlebox 機能によって変更された値を
報告する点を除いて、sourceIPv4Address
の定義と同一です。
NAT を使用する IPv4
標準
この情報要素の定義は、パケットが
観察ポイントを通過した後に NAT の
middlebox 機能によって変更された値を報
告する点を除いて、destinationIPv4Address
の定義と同一です。
NAT を使用する IPv4
標準
この情報要素の定義は、パケットが
観察ポイントを通過した後にネット
ワークアドレスポート変換 (NAPT) の
middlebox 機能によって変更された値を
報告する点を除いて、sourceTransportPort
の定義と同一です。
NAT を使用する IPv4
標準
NAT を使用する IPv4
エンタープライズ
NAT を使用する IPv4
エンタープライズ
NAT を使用する IPv4
エンタープライズ
247
NegFlow のテンプレート
レポートとログ
値
フィールド
228
postNAPTDestinationTransportPort この情報要素の定義は、パケットが
観察ポイントを通過した後にネット
ワークアドレスポート変換 (NAPT) の
middlebox 機能によって変更された値を報
告する点を除いて、destinationTransportPort
の定義と同一です。
346
privateEnterpriseNumber
説明
テンプレート
NAT を使用する IPv4
標準
NAT を使用する IPv4
エンタープライズ
これは、Palo Alto Networks を識別する IPv4 エンタープライズ
一意のプライベートエンタープライズ NAT を使用する IPv4
番号 (25461) です。
エンタープライズ
IPv6 エンタープライズ
56701 App-ID
App-ID によって特定されるアプリケー IPv4 エンタープライズ
ションの名前。名前の最大長は 32 バイ NAT を使用する IPv4
トです。
エンタープライズ
IPv6 エンタープライズ
56702 User-ID
User-ID によって特定されるユーザー IPv4 エンタープライズ
名。名前の最大長は 64 バイトです。
NAT を使用する IPv4
エンタープライズ
IPv6 エンタープライズ
248
レポートとログ
レポートとログ
外部モニタリングシステムでのファイアウォールインターフェイスの識別
外部モニタリングシステムでのファイアウォールイン
ターフェイスの識別
NetFlow コレクタ（「NetFlow を使用したファイアウォールのモニター」を参照）または SNMP
マネージャ（「SNMP を使用したファイアウォールのモニター」を参照）を使用してトラ
フィックフローをモニタリングする場合は、インターフェイスインデックス（SNMP ifindex オ
ブジェクト）によって、特定のフローを伝送したファイアウォールインターフェイスを識別し
ます。インターフェイスインデックスを計算するために Palo Alto Networks が使用する式は、プ
ラットフォームごとに、およびインターフェイスが物理的か論理的かに応じて異なります。
SNMP を使用して論理インターフェイスをモニタリングすることはできません。物理インター
フェイスのみをモニタリングできます。NetFlow を使用して、論理または物理インターフェイ
スをモニタリングできます。
ほとんどの NetFlow コレクタは、SNMP を使用し、SNMP インターフェイスインデックスに
基づいて物理インターフェイスの名前を判別します。
物理インターフェイスのインデックスの範囲は 1 ～ 9999 で、ファイアウォールでは以下のよう
にして計算します。
ファイアウォールのプラット
フォーム
計算
インターフェイスインデックスの例
MGT ポート + 物理ポートのオフセット PA-5000 シリーズのファイアウォー
VM-Series、PA-200、PA-500、 • MGT ポート — これは、プラットル、Eth1/4 =
フォームに依存する定数です。
2（MGT ポート）+ 4（物理ポー
PA-2000 シリーズ、PA-3000 シ
ト）=
6
リーズ、PA-4000 シリーズ、
• ハードウェアベースのファイア
PA-5000 シリーズ
ウォール（たとえば、PA-5000
非シャーシベース :
シリーズのファイアウォール）
PA-4000 シリーズのプ
の場合は 2
ラットフォームでは、
SNMP をサポートして
• VM-Series ファイアウォールの場
いますが、NetFlow
合は 1
はサポートしていま
• 物理ポートのオフセット — これは
せん。
物理ポート番号です。
（最大ポート数 * スロット）+ 物理 PA-7050 ファイアウォール、
Eth3/9 =
ポート
オフセット + MGT ポート
PA-7050 のファイアウォール
• 最大ポート数 — これは定数の 64 [64（最大ポート数）* 3（スロッ
このプラットフォーム
です。
ト）] + 9（物理ポート）+ 5（MGT
は、SNMP をサポート
していますが、 • スロット — これは、ネットワークポート）= 206
シャーシベース :
NetFlow はサポートし
ていません。
インターフェイスカードのシャー
シのスロット番号です。
• 物理ポートのオフセット — これは
物理ポート番号です。
• MGT ポート — これは、PA-7050 の
ファイアウォールの場合、定数の 5
です。
レポートとログ
249
外部モニタリングシステムでのファイアウォールインターフェイスの識別
レポートとログ
すべてのプラットフォームにおいて、論理インターフェイスのインデックスは、ファイア
ウォールが以下のようにして計算する 9 桁の数字です。
インター
フェイス
タイプ
範囲
9桁
7～8桁
5～6桁
1～4桁
インターフェイスイン
デックスの例
サブインター
フェイス :
サフィックス
1 ～ 9999
(0001 ～ 9999)
Eth1/5.22 = 100000000
( タイプ ) + 100000 ( スロッ
ト ) + 50000 ( ポート ) +
22 ( サフィックス ) =
101050022
1～9
1～9
(01 ～ 09) (01 ～ 09)
サブインター
フェイス :
サフィックス
1 ～ 9999
(0001 ～ 9999)
Eth2/3.6 = 100000000
( タイプ ) + 200000 ( スロッ
ト ) + 30000 ( ポート ) +
6 ( サフィックス ) =
102030006
vwire サブ
インター
フェイス
101010001 ～タイプ: 1 インターインター
199999999
フェイスフェイス
スロット: ポート :
1～9
1～9
(01 ～ 09) (01 ～ 09)
サブインター
フェイス :
サフィックス
1 ～ 9999
(0001 ～ 9999)
Eth4/2.312 = 100000000
( タイプ ) + 400000 ( スロッ
ト ) + 20000 ( ポート ) +
312 ( サフィックス ) =
104020312
VLAN
200000001 ～タイプ: 2 00
200009999
00
VLAN の
サフィックス :
1 ～ 9999
(0001 ～ 9999)
VLAN.55 = 200000000
( タイプ ) + 55 ( サフィッ
クス ) = 200000055
ループバック 300000001 ～タイプ: 3 00
00
ループバックの Loopback.55 = 300000000
サフィックス : ( タイプ ) + 55 ( サフィッ
1 ～ 9999
クス ) = 300000055
(0001 ～ 9999)
00
トンネルの
サフィックス :
1 ～ 9999
(0001 ～ 9999)
Tunnel.55 = 400000000
( タイプ ) + 55 ( サフィッ
クス ) = 400000055
AE
サフィックス :
1～8
(01 ～ 08)
サブインター
フェイス :
サフィックス
1 ～ 9999
(0001 ～ 9999)
AE5.99 = 500000000
( タイプ ) + 50000 (AE サ
フィックス ) + 99 ( サ
フィックス ) = 500050099
レイヤー 3
101010001 ～タイプ: 1 インターインター
サブインター 199999999
フェイスフェイス
フェイス
スロット: ポート :
1～9
1～9
(01 ～ 09) (01 ～ 09)
レイヤー 2
101010001 ～タイプ: 1 インターインター
サブインター 199999999
フェイスフェイス
フェイス
スロット: ポート :
300009999
トンネル
400000001 ～タイプ: 4 00
400009999
集約グループ 500010001 ～タイプ: 5 00
500089999
250
レポートとログ
レポートとログ
レポートの管理
レポートの管理
ファイアウォールのレポート機能により、ネットワークの状態の把握やポリシーの評価を行う
ことができ、ネットワークのセキュリティを保持してユーザーの安全性と生産性を確保するこ
とに注力できます。

レポートについて

レポートの表示

事前定義済みレポートを無効にする

カスタムレポートの生成

ボットネットレポートの生成

PDF サマリーレポートの管理

ユーザー/ グループアクティビティレポートの生成

レポートグループの管理

電子メールで配信するレポートのスケジュール設定
レポートとログ
251
レポートの管理
レポートとログ
レポートについて
ファイアウォールには、事前定義済みレポートが組み込まれており、そのまま使用したり、特
定のデータや実行可能なタスク用に、ニーズに合わせてカスタマイズしたり、事前定義済みレ
ポートとカスタムレポートを組み合わせて必要な情報を編成したりできます。ファイアウォー
ルでは、以下のタイプのレポートを作成できます。

事前定義済みレポート — ネットワーク上のトラフィックのサマリーを簡単に表示できます。
一式の事前定義済みレポートには、アプリケーション、トラフィック、脅威、および URL
フィルタリングの 4 つのカテゴリがあります。「レポートの表示」を参照してください。

ユーザーまたはグループアクティビティレポート — 特定のユーザーまたはユーザーグルー
プのアプリケーション使用率および URL アクティビティに関するレポートをスケジュール
設定するか、またはオンデマンドで作成できます。レポートには、URL のカテゴリと、個々
のユーザーの推定ブラウズ時間の計算結果が含まれます。「ボットネットレポートの生成」
を参照してください。

カスタムレポート — 含まれる条件と列に基づいてフィルタリングしたときの情報をそのまま
表示するカスタムレポートを作成およびスケジュール設定します。また、クエリビルダー
を組み込み、レポートデータについてより具体的にドリルダウンすることもできます。「カ
スタムレポートの生成」を参照してください。

PDF サマリーレポート — 脅威、アプリケーション、傾向、トラフィック、および URL フィ
ルタリングカテゴリからの最大で 18 件の事前定義済みまたはカスタムのレポート / グラフ
を、1 つの PDF ドキュメントに集約します。「PDF サマリーレポートの管理」を参照してく
ださい。

ボットネットレポート — 挙動ベースのメカニズムを使用して、ネットワーク内でボットネッ
トに感染した可能性のあるホストを特定することができます。「ボットネットレポートの生
成」を参照してください。

レポートグループ — カスタムレポートと事前定義済みレポートをレポートグループにまと
め、1 人以上の受信者に電子メールで送信される単一の PDF にまとめます。「レポートグ
ループの管理」を参照してください。
レポートは、要求時や定期的なスケジュールで生成できます。また、電子メール配信用にスケ
ジュール設定することもできます。
252
レポートとログ
レポートとログ
レポートの管理
レポートの表示
ファイアウォールでは、40 種類を超えるさまざまな事前定義済みレポートが毎日生成され、そ
れらのレポートは、ファイアウォールで直接表示できます。これらのレポートのほかに、「ス
ケジュール設定された」カスタムレポートとサマリーレポートを表示できます。
ファイアウォールでは、レポートを保存するために約 200 MB のストレージが割り当てられま
す。このストレージ領域はユーザーが設定可能ではなく、古いレポートは新しいレポートを保
存するために消去されます。そのため、レポートを長期間保持する場合は、そのレポートをエ
クスポートするか、レポートの電子メール配信をスケジュール設定できます。選択したレポー
トを無効にしてファイアウォールのシステムリソースを節約するには、「事前定義済みレポー
トを無効にする」を参照してください。
ユーザー/グループアクティビティレポートは、オンデマンドで生成するか、電子メールで配
信するようにスケジュール設定する必要があります。その他のレポートとは異なり、これらの
レポートはファイアウォール上に保存できません。
レポートの表示
ステップ 1
[Monitor] > [ レポート ] の順に選択します。
レポート（[ カスタムレポート ]、[ アプリケーションレポート ]、[ トラフィックレポート ]、
[ 脅威レポート ]、[URL フィルタリングレポート ]、および [PDF サマリーレポート ]）は、
ウィンドウの右側にある各セクションにまとめられています。
ステップ 2
表示するレポートを選択します。レポートを選択すると、前日のレポートが画面に表示さ
れます。
過去のいずれかの日のレポートを表示するには、ページの下部にあるカレンダーから選択
可能な日付を選択し、同じセクション内のレポートを選択します。セクションを切り替え
ると、時間選択はリセットされます。
レポートとログ
253
レポートの管理
レポートとログ
レポートの表示（続き）
ステップ 3
254
レポートをオフラインで表示するには、レポートを PDF、CSV、または XML 形式にエクス
ポートします。ページの下部で、[PDF にエクスポート]、[CSV にエクスポート]、または [XML
にエクスポート ] をクリックします。次にファイルを印刷または保存します。
レポートとログ
レポートとログ
レポートの管理
事前定義済みレポートを無効にする
ファイアウォールにはおよそ 40 種類の事前定義済みレポートが用意されており、それらが毎日
自動的に生成されます。これらの事前定義済みレポートの一部またはすべてを使用しない場合
は、選択したレポートを無効にして、ファイアウォールのシステムリソースを節約できます。
1 つ以上の事前定義済みレポートを無効にする前に、グループレポートまたは PDF レポートに
そのレポートが含まれていないことを確認してください。グループレポートまたは PDF レポー
トに無効にされた事前定義済みレポートが含まれている場合は、そのグループ /PDF レポート
はデータなしで表示されます。
事前定義済みレポートを無効にする
1.
[Device] > [ セットアップ ] > [ 管理 ] の順に選択します。
2.
[ ロギングおよびレポート設定 ] セクションで編集アイコンをクリックし、[ ログのエクスポートとレ
ポート ] タブを選択します。
3.
レポートを無効にするには、以下の手順を実行します。
• 削除する各レポートに対応するチェックボックスをクリアします。
• [ すべての選択を解除 ] を選択して、事前定義済みレポートをすべて無効にします。
4.
[OK] をクリックし、変更をコミットします。
レポートとログ
255
レポートの管理
レポートとログ
カスタムレポートの生成
目的に合ったカスタムレポートを作成するため、取得および分析する情報の属性や重要な項目
について検討する必要があります。検討の結果を踏まえて、カスタムレポートで以下の選択を
行います。
選択対象
説明
データ送信元
レポートの生成に使用するデータファイル。ファイアウォールでは、サ
マリーデータベースと詳細ログの 2 つのタイプのデータ送信元を選択でき
ます。
• サマリーデータベースは、トラフィック、脅威、およびアプリケーショ
ン統計のために利用できます。ファイアウォールは、トラフィック、
アプリケーション、および脅威に関する詳細ログを 15 分間隔で集約し
ます。データは、レポート生成時の応答時間を高速化できるよう集約
されます（重複セッションはグループ化され、繰り返し回数が増えま
す。また、一部の属性や列はサマリーに含まれません）。
• 詳細ログは、項目別に記録された、ログエントリに関係するすべての属
性（または列）の完全なリストです。詳細ログに基づいたレポートは実
行に時間がかかるため、絶対に必要な場合にのみ使用してください。
属性
一致条件として使用する列。属性は、レポートで選択可能な列です。[ 使
用可能な列] のリストから、データを照合し、詳細情報を集約する（[選択
した列 ]）ために選択基準を追加することができます。
ソート基準/グループ化 [ ソート基準 ] および [ グループ化基準 ] により、レポートのデータを整理 /
基準
セグメント化できます。使用可能なソートおよびグループ化の属性は、選
択したデータソースに応じて異なります。
[ ソート基準 ] オプションでは、集約で使用する属性を指定します。ソート
基準にする属性を選択しないと、レポートには集約情報なしで最初の
N 件の結果が返されます。
[ グループ化基準 ] オプションにより、属性を選択し、その属性をデータを
グループ化する場合のアンカーとして使用できます。レポート内のすべて
のデータは、トップ 5、10、25、または 50 件のグループのセットで表示さ
れます。たとえば、[ グループ化基準 ] として [ 時間 ] を選択し、24 時間に
おけるトップ 25 件のグループを表示する場合、レポートの結果は 24 時間
にわたり 1 時間単位で生成されます。レポートの最初の列は時間、それ以
降の列は、管理者が選択したその他のレポート列です。
256
レポートとログ
レポートとログ
選択対象
レポートの管理
説明
以下の例は、レポートを生成するときに、[ 選択した列 ] および [ ソート基
準 ] / [ グループ化基準 ] の基準がどのように関係するのかを示しています。
赤い円（上図）で囲まれた列は選択された列を示しています。これらの列
は、レポートの生成で照合される属性です。データソースの各ログエン
トリが解析され、これらの列が照合されます。選択した列について複数の
セッションが同じ値を示す場合、それらのセッションは集約され、繰り返
し回数（またはセッション数）が増えます。
青の円で囲まれた列は、選択されたソート順序を示します。ソート順序
（[ ソート基準 ]）を指定すると、データは選択した属性を基準にしてソー
ト（および集約）されます。
緑の円で囲まれた列は、[グループ化基準] の選択を示し、レポートのアン
カーとして使用されます。[ グループ化基準 ] 列は、トップ N 件のグルー
プをフィルタリングするための適合基準として使用されます。次に、トッ
プ N 件のグループのそれぞれについて、他のすべての選択した列の値が
レポートに列挙されます。
レポートとログ
257
レポートの管理
選択対象
レポートとログ
説明
たとえば、レポートで以下のように選択されているとします。
出力は以下のように表示されます。
レポートは [ 日 ] によってアンカーされ、[ セッション ] 別にソートされます。5 日分（[5 グループ ]）
がリストに表示され、[ 過去 7 日間 ] の期間における最大トラフィックが表示されます。データは、
選択した列（[ カテゴリの追加 ]、[ サプリケーションサブカテゴリ ]、および [ リスク ]）について、
各日の [ トップ 5] セッション別に列挙されます
期間
データを分析するときの日付範囲。カスタム範囲を定義するか、過去
15 分～過去 30 日の範囲で期間を選択できます。レポート生成は、オンデ
マンドで実行するか、スケジュール設定して毎日または毎週単位で実行で
きます。
クエリビルダー
クエリビルダーにより、特定のクエリを定義して、選択した属性をさら
に絞り込むことができます。[and] および [or] 演算子を使用してレポート
で必要なもののみを表示し、次に、レポートのクエリに適合する、または
クエリを否定するデータを、含めたり除外したりできます。クエリを使用
することで、より焦点を絞り込んだレポートを生成できます。
258
レポートとログ
レポートとログ
レポートの管理
カスタムレポートの生成
1.
2.
3.
[Monitor] > [ カスタムレポートの管理 ] の順に選択します。
[ 追加 ] をクリックし、レポートの [ 名前 ] を入力します。
事前定義済みテンプレートに基づいてレポートを作成するには、[ テンプレートのロード ] を
クリックして、テンプレートを選択します。そのテンプレートを編集し、カスタムレポートと
して保存できます。
レポートで使用するデータベースを選択します。
カスタムレポートを作成するごとに、ログビューレポートが自動的に生成されます。このレポー
トには、カスタムレポートを作成するのに使用されたログが表示されます。ログビューレポート
では、カスタムレポートと同じ名前が使用されますが、フレーズ（「ログビュー」）がレポート名
に付加されます。
レポートグループを作成するときに、カスタムレポートと一緒にログビューレポートを含める
ことができます。詳細は、「レポートグループの管理」を参照してください。
レポートを毎晩実行する場合は、[ スケジュール設定 ] チェックボックスをオンにします。サイドの
[ レポート ] 列でレポートが表示可能になります。
5. フィルタリング基準を定義します。[ 期間 ]、[ ソート基準 ] の順序、[ グループ化基準 ] の設定を選
択し、レポートに表示する列を選択します。
6. （任意）選択基準をさらに絞り込む場合は、[ クエリビルダー ] 属性を選択します。レポートクエリ
を作成するには、以下を指定して、[ 追加 ] をクリックします。クエリが完成するまで、繰り返します。
• 結合子 — 追加する式の前に置く結合子 (and/or) を選択します。
• Negate — クエリを否定（除外）として解釈させるには、このチェックボックスをオンにします。
たとえば、過去 24 時間のエントリまたは Untrust ゾーンからのエントリを照合するように選択する
場合に、[Negate] オプションを有効にすると、過去 24 時間以内ではなく、かつ Untrust ゾーンから
ではないエントリが一致します。
• 属性 — データ要素を選択します。使用可能なオプションは、選択したデータベースによって異な
ります。
• 演算子 — 属性が適用されるかどうかを決定する基準を選択します（= など）。使用可能なオプショ
ンは、選択したデータベースによって異なります。
• 値 — 照合する属性値を指定します。
たとえば、（トラフィックログデータベースに基づいた）以下の図は、トラフィックログエント
リが過去 24 時間以内に「untrust」ゾーンから受け取られた場合に一致するクエリを示しています。
4.
7.
8.
レポート設定をテストするには、[ 今すぐ実行 ] を選択します。必要に応じて設定を変更し、レポー
トに表示する情報を変更します。
[OK] をクリックしてカスタムレポートを保存します。
レポートとログ
259
レポートの管理
レポートとログ
カスタムレポートの生成（続き）
カスタムレポートの例
ここで、過去 30 日間のトラフィックサマリーデータベースを使用する簡単なレポートをセッ
トアップするとします。トップ 10 件のセッションごとにデータをソートし、これらのセッショ
ンを週の曜日ごとに 5 つのグループにグループ化します。この場合、以下のようにカスタムレ
ポートをセットアップします。
また、レポートの PDF 出力は以下のようになります。
260
レポートとログ
レポートとログ
レポートの管理
カスタムレポートの生成（続き）
クエリビルダーを使用して、
ユーザーグループ内のネットワークリソースの上位消費ユーザー
を表示するカスタムレポートを生成する場合は、以下のようにカスタムレポートをセットアッ
プします。
このレポートには、製品管理ユーザーグループ内の上位ユーザーが、以下のようにバイト数を
基準にソートされて表示されます。
レポートとログ
261
レポートの管理
レポートとログ
ボットネットレポートの生成
ボットネットレポート機能により、振る舞いベースのメカニズムを使用して、ネットワーク内
でボットネットに感染した可能性のあるホストを特定することができます。脅威を評価するた
め、ファイアウォールでは、ユーザー/ ネットワークのアクティビティに関するデータを記録し
た、脅威、URL、およびデータフィルタリングの各ログを使用し、PAN-DB のマルウェア URL、
既知のダイナミック DNS プロバイダ、および最近登録されたドメインのリストに照会します。
ファイアウォールでは、これらのデータ送信元を使用して、マルウェアサイトおよびダイナ
ミック DNS サイトを訪問したホスト、最近（過去 30 日以内）登録されたドメイン、および使
用された不明なアプリケーションを解析して識別し、IRC (Internet Relay Chat) トラフィックを探
します。
基準に適合するホストには、1 から 5 の確度スコアが割り当てられ、ボットネット感染の確度が
示されます（1 は最低の感染確度、5 は最高の感染確度）。振る舞いベースの検出メカニズムで
は、24 時間、複数のログ間でトラフィックを解析する必要があるため、ファイアウォールは、
スコアに基づいてソートされたホストのリストを含むレポートを 24 時間ごとに生成します。

ボットネットレポートの設定

ボットネットレポートの生成
ボットネットレポートの設定
これらの設定を使用して、ボットネットのアクティビティを示唆する可能性がある疑わしいト
ラフィックのタイプを指定します。
ボットネットレポートの設定
1.
[Monitor] > [ボットネット] の順に選択し、ページの右側にある [設定] ボタンをクリックします。
2.
HTTP トラフィックの場合は、レポートに含めるイベントの [ 有効化 ] チェックボックスをオンにし
ます。
• マルウェア URL へのアクセス — マルウェアおよびボットネットの URL のフィルタリングカテゴ
リに基づき、既知のマルウェア URL に対して通信しているユーザーを特定します。
• 動的 DNS の使用 — ボットネット通信を示す可能性のある動的 DNS クエリトラフィックを検索し
ます。
• IP ドメインを参照 — URL ではなく、IP ドメインを参照するユーザーを特定します。
• 最近登録されたドメインを参照 — 過去 30 日以内に登録されたドメイン名を持つサイトへのトラ
フィックを検索します。
• 不明サイトからの実行可能ファイル — 未知の URL サイトから実行形式のファイルをダウンロード
された通信を特定します。
262
レポートとログ
レポートとログ
レポートの管理
ボットネットレポートの設定（続き）
3.
[ 不明なアプリケーション ] の場合は、[Unknown TCP] または [Unknown UDP] のアプリケーションを
「疑わしい」として選択し、以下の情報を指定します。
• 1 時間あたりのセッション — 不明なアプリケーションによる 1 時間あたりのアプリケーションセッ
ション数。
• 1 時間あたりの宛先数 — 不明なアプリケーションによる 1 時間あたりの宛先数。
• 最小バイト — 最小ペイロードサイズ。
• 最大バイト — 最大ペイロードサイズ。
4.
IRC サーバーを疑わしいものとして対象に含める場合、このチェックボックスをオンにします。IRC
サーバーは、多くの場合、自動化機能でボットを使用します。
ボットネットレポートの生成
ボットネットレポートを設定後、レポートクエリを指定してボットネット分析レポートを生成
します。クエリビルダーにより、送信元または宛先の IP アドレス、ユーザー、ゾーン、イン
ターフェイス、領域、または国などの属性を含めたり、または除外したりして、レポートの結
果をフィルタリングできます。
ボットネットレポートは、自動スケジュールにより 1 日に 1 回自動的に生成されます。また、
レポートクエリを定義するウィンドウで、[ 今すぐ実行 ] をクリックして、過去 24 時間または
前日（24 時間）のレポートを生成および表示することもできます。生成されたレポートは、
[Monitor] > [ ボットネット ] に表示されます。
ボットネットレポートを管理するには、画面の右側にある [ レポート設定 ] ボタンをクリックし
ます。
レポートをエクスポートするには、レポートを選択して、[PDF にエクスポート] または [CSV に
エクスポート ] をクリックします。
ボットネットレポートの生成
1.
[ ランタイムフレームのテスト ] で、レポートの時間間隔を選択します（過去 24 時間または前日
の 1 日）。
2.
レポートに含める [ 行数 ] を選択します。
3.
レポートを毎日実行するには、[ スケジュール設定 ] を選択します。あるいは、[ ボットネットレ
ポート ] ウィンドウの上部にある [ 今すぐ実行 ] ボタンをクリックしてレポートを手動で実行す
ることもできます。
レポートとログ
263
レポートの管理
レポートとログ
ボットネットレポートの生成（続き）
4.
以下を指定してレポートクエリを作成し、[ 追加 ] をクリックして、設定した式をクエリ（レポー
ト作成フィルタ条件）に追加します。クエリが完成するまで繰り返します。
• 結合子 — 論理結合子 (AND/OR) を指定します。
• 属性 — 送信元または宛先のゾーン、アドレス、またはユーザーを指定します。
• 演算子 — 属性を値に関連付ける演算子を指定します。
• 値 — 照合する値を指定します。
5.
指定したクエリ条件の否定を適用するには、[Negate] を選択します。これによりレポートには、
定義したクエリの結果以外のすべての情報が含まれます。
6.
変更を [ コミット ] します。
264
レポートとログ
レポートとログ
レポートの管理
PDF サマリーレポートの管理
PDF サマリーレポートには、各カテゴリの上位 5 件（上位 50 件ではない）のデータに基づき、
既存のレポートから集められた情報が含まれています。このレポートには、別のレポートでは
表示されないトレンドチャートも表示されます。
PDF サマリーレポートの生成
ステップ 1
[PDF サマリーレポート] をセッ 1.
トアップします。
[Monitor] > [PDF レポート ] > [PDF サマリーの管理 ] の
順に選択します。
2.
[追加] をクリックし、レポートの [名前] を入力します。
3.
各レポートグループのドロップダウンを使用し、1 つ
以上の要素を選択して、PDF サマリーレポートを設計
します。最大 18 個のレポート要素を含めることができ
ます。
• レポートから要素を削除するには、x アイコンをク
リックするか、該当するレポートグループのドロッ
プダウンから選択をクリアします。
• レポートを再配列するには、アイコンをレポートの
別のエリアにドラッグしてドロップします。
レポートとログ
4.
[OK] をクリックしてレポートを保存します。
5.
変更を [ コミット ] します。
265
レポートの管理
レポートとログ
PDF サマリーレポートの生成（続き）
ステップ 2
266
レポートを表示します。
PDF サマリーレポートをダウンロードして表示するに
は、「レポートの表示」を参照してください。
レポートとログ
レポートとログ
レポートの管理
ユーザー/ グループアクティビティレポートの生成
ユーザー/ グループアクティビティレポートには、個々のユーザーまたはユーザーグループの
Web アクティビティが要約されます。両方のレポートには同じ情報が含まれています。ただ
し、いくつかの例外があり、[URL カテゴリ別ブラウザサマリー] および [Browse time
calculations] はユーザーアクティビティレポートに含まれていますが、グループアクティビ
ティレポートには含まれていません。
ユーザー/ ユーザーグループのリストにアクセスするため、ファイアウォールで「User-ID」を
設定する必要があります。
ユーザー/ グループアクティビティレポートの生成
1.
[Monitor] > [PDF レポート ] > [ ユーザーアクティビティレポート ] の順に選択します。
2.
[ 追加 ] をクリックし、レポートの [ 名前 ] を入力します。
3.
レポートを作成します。
• ユーザーアクティビティレポートの場合 : [ ユーザー] を選択し、レポートの対象となるユーザー
の [ ユーザー名 ] または [IP アドレス ]（IPv4 または IPv6）を入力します。
• グループアクティビティレポートの場合 : [ グループ ] を選択し、レポートでユーザーグループ情
報を取得する対象の [ グループ名 ] を選択します。
4.
ドロップダウンからレポートの期間を選択します。
ユーザーアクティビティレポートで分析されるログの数は、[Device] > [ セットアップ ] > [ 管
理 ] の [ ロギングおよびレポート設定 ] セクションの [ ユーザーアクティビティレポートの最
大行数 ] で定義される行数によって決まります。
5.
レポートに詳細な URL ログを含めるには、[Include Detailed Browsing] をオンにします。
詳細な閲覧情報には、選択したユーザーまたはユーザーグループの大量の（何千もの）ログが含ま
れる可能性があり、その結果、レポートが非常に大きくなる可能性があります。
6.
オンデマンドでレポートを実行するには、[ 今すぐ実行 ] をクリックします。
7.
レポートを保存するには、[OK] をクリックします。ユーザー/ グループアクティビティレポートを
ファイアウォールに保存することはできません。レポートの電子メール配信をスケジュール設定す
るには、「電子メールで配信するレポートのスケジュール設定」を参照してください。
レポートグループの管理
レポートグループを使用すると、レポートのセットを作成できます。システムはそのレポート
のセットをまとめ、オプションのタイトルページとすべての構成レポートが含まれる 1 つの集
約された PDF レポートを送信することができます。
レポートとログ
267
レポートの管理
レポートとログ
レポートグループのセットアップ
ステップ 1
レポートグループをセットアッ 1.
プします。
レポートを電子メールで 2.
送信するためのレポート
グループをセットアップ
する必要があります。
使用している電子メールサーバーのサーバープロファ
イルを作成します。
[ レポートグループ ] を定義します。レポートグルー
プでは、事前定義済みレポート、PDF サマリーレポー
ト、カスタムレポート、およびログビューレポート
を 1 つの PDF にまとめることができます。
a. [Monitor] > [レポートグループ] の順に選択します。
b. [ 追加 ] をクリックし、レポートグループの [ 名前 ]
を入力します。
c. （任意）[ タイトルページ ] を選択して、PDF 出力
の [ タイトル ] を追加します。
d. レポートグループに含めるレポートを左側の列から
選択して [ 追加 ] をクリックし、各レポートを右側の
レポートグループに移動します。
ログビューレポートは、カスタムレポートを作成
するたびに自動的に作成されるレポートタイプで、
カスタムレポートと同じ名前が使用されます。この
レポートには、カスタムレポートの内容を作成する
ために使用されたログが表示されます。
ログビューデータを含めるには、レポートグルー
プを作成するときに [ カスタムレポート ] リストに
カスタムレポートを追加し、次に [ ログビュー] リ
ストから一致するレポート名を選択してログビュー
レポートを追加します。レポートには、カスタムレ
ポートデータと、カスタムレポートの生成に使用
されたログデータが含まれています。
e. [OK] をクリックして設定を保存します。
f. レポートグループを使用するには、「電子メールで
配信するレポートのスケジュール設定」を参照して
ください。
268
レポートとログ
レポートとログ
レポートの管理
電子メールで配信するレポートのスケジュール設定
レポートは、毎日配信されるか、特定の曜日に毎週配信されるようにスケジュール設定するこ
とができます。スケジュール設定されたレポートの実行は午前 2 時に開始され、スケジュール
設定されたすべてのレポートが生成された後に電子メール配信が開始されます。
電子メールで配信するレポートのスケジュール設定
1.
[Monitor] > [PDF レポート ] > [ 電子メールスケジューラ ] を選択します。
2.
電子メールで配信する [ レポートグループ ] を選択します。レポートグループをセットアップする
には、「レポートグループの管理」を参照してください。
3.
[ 繰り返し ] では、レポートを生成して送信する頻度を選択します。
4.
レポートの配信時に使用する電子メールサーバープロファイルを選択します。電子メールサーバー
プロファイルをセットアップするには、「使用している電子メールサーバーのサーバープロファイ
ルを作成します。」を参照してください。
5.
[ 受信者電子メールアドレスのオーバーライド ] フィールドには、独占的にレポートを送信する受信
者を指定できます。[ 受信者電子メールアドレスのオーバーライド ] に受信者を追加すると、そのレ
ポートは、電子メールサーバープロファイルで設定されている受信者には送信されません。このオ
プションは、電子メールサーバープロファイルで定義されている管理者または受信者以外の受信者
の注意を喚起する場合に使用します。
レポートとログ
269
Syslog フィールドの説明
レポートとログ
Syslog フィールドの説明
以下は、外部サーバーに転送される 5 つのログタイプそれぞれの標準的なフィールドの一覧で
す。解析しやすくするため、カンマを区切り文字としており、各フィールドはカンマ区切り値
(CSV) の文字列になっています。FUTURE_USE タグは、デバイスで現在実装されていない
フィールドに適用されます。
WildFire ログは、脅威ログのサブタイプで、同じ Syslog フォーマットを使用します。

トラフィックログ

脅威ログ

HIP マッチログ

設定ログ

システムログ

Syslog の重大度

カスタムログ / イベントのフォーマット

エスケープシーケンス
トラフィックログ
フォーマット : FUTURE_USE、受信日時、シリアル番号、タイプ、サブタイプ、FUTURE_USE、
生成日時、送信元 IP、宛先 IP、NAT 送信元 IP、NAT 宛先 IP、ルール名、送信元ユーザー、宛
先ユーザー、アプリケーション、仮想システム、送信元ゾーン、宛先ゾーン、入力インター
フェイス、出力インターフェイス、ログ転送プロファイル、FUTURE_USE、セッション ID、繰
り返し回数、送信元ポート、宛先ポート、NAT 送信元ポート、NAT 宛先ポート、フラグ、プロ
トコル、アクション、バイト、送信済みバイト、受信済みバイト、パケット、開始時間、経過
時間、カテゴリ、FUTURE_USE、シーケンス番号、アクションフラグ、送信元の場所、宛先の
場所、FUTURE_USE、送信したパケット、受信したパケット、セッション終了理由 *
フィールド名
説明
受信時間 (receive_time)
管理プレーンでログが受信された時間。
シリアル番号 (serial)
ログを生成したデバイスのシリアル番号。
タイプ (type)
ログのタイプを指定します。値は、「traffic」、「threat」、「config」、
「system」、「hip-match」です。
270
レポートとログ
レポートとログ
Syslog フィールドの説明
フィールド名
説明
サブタイプ (subtype)
トラフィックログのサブタイプ。値は、「start」、「end」、「drop」、
「deny」です。
• start — セッションが開始しました
• end — セッションが終了しました
• drop — アプリケーションが特定される前にセッションが廃棄され、
そのセッションを許可するルールがありません。
• deny — アプリケーションが特定された後にセッションが廃棄され、
そのセッションをブロックするルールがあるか、セッションを許
可するルールがありません。
生成日時 (time_generated)
データプレーンでログが生成された日時
送信元 IP (src)
元のセッションの送信元 IP アドレス
宛先 IP (dst)
元のセッションの宛先 IP アドレス
NAT 送信元 IP (natsrc)
送信元 NAT が実行された場合は、NAT 後の送信元 IP アドレス
NAT 宛先 IP (natdst)
宛先 NAT が実行された場合は、NAT 後の宛先 IP アドレス
ルール名 (rule)
セッションで一致したルールの名前
送信元ユーザー (srcuser)
セッションを開始したユーザーのユーザー名
宛先ユーザー (dstuser)
セッションの宛先となったユーザーのユーザー名
アプリケーション (app)
セッションに関連付けられたアプリケーション
仮想システム (vsys)
セッションに関連付けられた仮想システム
送信元ゾーン (from)
セッションの送信元となったゾーン
宛先ゾーン (to)
セッションの宛先となったゾーン
入力インターフェイス (inbound_if) セッションの送信元となったインターフェイス
出力インターフェイス (outbound_if) セッションの宛先となったインターフェイス
ログ転送プロファイル (logset)
セッションに適用されたログ転送プロファイル
セッション ID (sessionid)
各セッションに適用された内部の数値識別子
繰り返し回数 (repeatcnt)
5 秒以内に開始された、送信元 IP、宛先 IP、アプリケーション、サ
ブタイプが同じになっているログの数。ICMP のみで使用されます。
送信元ポート (sport)
セッションで使用された送信元ポート
宛先ポート (dport)
セッションで使用された宛先ポート
NAT 送信元ポート (natsport)
NAT 後の送信元ポート
NAT 宛先ポート (natdport)
NAT 後の宛先ポート
レポートとログ
271
Syslog フィールドの説明
レポートとログ
フィールド名
説明
フラグ (flags)
セッションに関する詳細を示す 32 ビットフィールド。このフィール
ドは、以下のように、その値とログに記録されている値を AND 演算
することによってデコードできます。
• 0x80000000 — セッションにパケットキャプチャがあります (PCAP)
• 0x02000000 — IPv6 セッション
• 0x01000000 — SSL セッションが復号化された（SSL プロキシ）
• 0x00800000 — セッションが URL フィルタリングによって拒否され
ました
• 0x00400000 — セッションで NAT 変換が実行されました (NAT)
• 0x00200000 — セッションのユーザー情報がキャプティブポータル
によってキャプチャされました（キャプティブポータル）
• 0x00080000 — プロキシからの X-Forwarded-For 値は送信元ユーザー
フィールドにあります
• 0x00040000 — ログは http プロキシセッション内のトランザクショ
ンに対応します（プロキシトランザクション）
• 0x00008000 — セッションはコンテナページアクセスです（コンテ
ナページ）
• 0x00002000 — セッションに、暗黙的なアプリケーションの依存関係
処理のルールでの一時的な一致があります。PAN-OS 5.0.0 以降で
使用できます
• 0x00000800 — このセッションのトラフィックを転送するために対称
リターンが使用されました
プロトコル (proto)
セッションに関連付けられた IP プロトコル
アクション (action)
セッションで実行されたアクション。値は「allow」または「deny」
です
• allow — セッションはポリシーによって許可されました
• deny — セッションはポリシーによって拒否されました
バイト (bytes)
セッションの合計バイト数（送受信）
送信済みバイト (bytes_sent)
セッションのクライアントからサーバー方向へのバイト数
PA-4000 シリーズ以外のすべてのモデルで使用できます
受信済みバイト (bytes_received)
セッションのサーバーからクライアント方向へのバイト数
PA-4000 シリーズ以外のすべてのモデルで使用できます
パケット (packets)
セッションの合計パケット数（送受信）
開始時間 (start)
セッションの開始日時
経過時間 (elapsed)
セッションの経過時間
カテゴリ (category)
セッションに関連付けられた URL カテゴリ（該当する場合）
272
レポートとログ
レポートとログ
Syslog フィールドの説明
フィールド名
説明
シーケンス番号 (seqno)
順次増分される 64 ビットのログエントリ識別子。各ログタイプに
は、一意の番号空間があります。このフィールドは、PA-7050 のファ
イアウォールではサポートされていません。
アクションフラグ (actionflags)
ログが Panorama に転送されたかどうかを示すビットフィールド
送信元の場所 (srcloc)
プライベートアドレスの送信元の国または内部領域。最大長は 32 バ
イトです
宛先の場所 (dstloc)
プライベートアドレスの宛先の国または国内地域。最大長は 32 バイ
トです
送信されたパケット (pkts_sent)
セッションのクライアントからサーバーへのパケットの数
PA-4000 シリーズ以外のすべてのモデルで使用できます
受信したパケット (pkts_received)
セッションのサーバーからクライアントへのパケットの数
PA-4000 シリーズ以外のすべてのモデルで使用できます
レポートとログ
273
Syslog フィールドの説明
レポートとログ
フィールド名
説明
セッション終了理由
(session_end_reason)
セッションが終了した理由。複数の原因で終了した場合、この
フィールドには優先度が最も高い理由のみが表示されます。有効な
セッション終了理由の値は、優先度の高い順に以下のとおりです。
v6.1 での新機能
• threat — ファイアウォールが、リセット、ドロップ、またはブロック
（IP アドレス）アクションに関連付けられた脅威を検出しました。
• policy-deny — セッションが、拒否またはドロップアクションが指定
されたセキュリティポリシーと一致しました。
• tcp-rst-from-client — クライアントが TCP リセットをサーバーに送
信しました。
• tcp-rst-from-server — サーバーが TCP リセットをクライアントに送
信しました。
• resources-unavailable — システムリソース制限が原因でセッションが
ドロップしました。たとえば、セッションの順序外パケット数
が、フローまたはグローバル順序外パケットキューごとに許容さ
れる数を超えた場合などが考えられます。
• tcp-fin — 接続の一方または両方のホストが TCP FIN メッセージを
送信してセッションを閉じました。
• tcp-reuse — セッションが再利用され、ファイアウォールが前のセッ
ションを閉じました。
• decoder — デコーダがプロトコル内で新しい接続を検出し（HTTP-Proxy
など）、前の接続を終了しました。
• aged-out — セッションがエージアウトしました。
• unknown — この値は、以下の状況に適用されます。
• 上記の理由が適用されないセッションの終了（たとえば、
clear session all コマンド）。
• セッション終了理由フィールドをサポートしない PAN-OS リリー
ス（PAN-OS 6.1 より前のリリース）で生成されたログの場
合、最新の PAN-OS リリースへのアップグレード後、またはロ
グがファイアウォールにロードされると、値は unknown になり
ます。
• Panorama では、セッション終了理由をサポートしない PAN-OS
バージョンのファイアウォールから受信したログの値は、
unknown になります。
• n/a — この値は、トラフィックログのタイプが end 以外の場合に適
用されます。
274
レポートとログ
レポートとログ
Syslog フィールドの説明
脅威ログ
フォーマット : FUTURE_USE、受信日時、シリアル番号、タイプ、サブタイプ、FUTURE_USE、
生成日時、送信元 IP、宛先 IP、NAT 送信元 IP、NAT 宛先 IP、ルール名、送信元ユーザー、宛先
ユーザー、アプリケーション、仮想システム、送信元ゾーン、宛先ゾーン、入力インターフェ
イス、出力インターフェイス、ログ転送プロファイル、FUTURE_USE、セッション ID、繰り返
し回数、送信元ポート、宛先ポート、NAT 送信元ポート、NAT 宛先ポート、フラグ、プロトコ
ル、アクション、その他、脅威 ID、カテゴリ、重大度、方向、シーケンス番号、アクションフ
ラグ、送信元の場所、宛先の場所、FUTURE_USE、コンテンツタイプ、PCAP_id、Filedigest、ク
ラウド、FUTURE_USE、ユーザーエージェント *、ファイルタイプ *、X-Forwarded-For*、
Referer*、送信者 *、サブジェクト *、受信者 *、レポート ID*
フィールド名
説明
受信時間 (receive_time)
管理プレーンでログが受信された時間。
シリアル番号 (serial)
ログを生成したデバイスのシリアル番号。
タイプ (type)
ログのタイプを指定します。値は、「traffic」、「threat」、「config」、
「system」、「hip-match」です
サブタイプ (subtype)
脅威ログのサブタイプ。値は「URL」、「virus」、「spyware」、
「vulnerability」、「file」、「scan」、「flood」、「data」、「wildfire」です。
• url — URL フィルタリングログ
• virus — ウイルス検出
• spyware — スパイウェア検出
• vulnerability — 脆弱性悪用検出
• file — ファイルタイプログ
• scan — ゾーンプロテクションプロファイルによって検出されたスキャン
• flood — ゾーンプロテクションプロファイルによって検出されたフラッド
• data — データフィルタリングプロファイルから検出されたデータパ
ターン
• wildfire — WildFire ログ
生成日時 (time_generated)
データプレーンでログが生成された日時
送信元 IP (src)
元のセッションの送信元 IP アドレス
宛先 IP (dst)
元のセッションの宛先 IP アドレス
NAT 送信元 IP (natsrc)
送信元 NAT が実行された場合は、NAT 後の送信元 IP アドレス
NAT 宛先 IP (natdst)
宛先 NAT が実行された場合は、NAT 後の宛先 IP アドレス
ルール名 (rule)
セッションで一致したルールの名前
送信元ユーザー (srcuser)
セッションを開始したユーザーのユーザー名
宛先ユーザー (dstuser)
セッションの宛先となったユーザーのユーザー名
レポートとログ
275
Syslog フィールドの説明
レポートとログ
フィールド名
説明
アプリケーション (app)
セッションに関連付けられたアプリケーション
仮想システム (vsys)
セッションに関連付けられた仮想システム
送信元ゾーン (from)
セッションの送信元となったゾーン
宛先ゾーン (to)
セッションの宛先となったゾーン
入力インターフェイス
セッションの送信元となったインターフェイス
(inbound_if)
出力インターフェイス
セッションの宛先となったインターフェイス
(outbound_if)
ログ転送プロファイル
セッションに適用されたログ転送プロファイル
(logset)
セッション ID (sessionid)
各セッションに適用された内部の数値識別子
繰り返し回数 (repeatcnt)
5 秒以内に開始された、送信元 IP、宛先 IP、アプリケーション、サブタイ
プが同じになっているログの数。ICMP のみで使用されます。
送信元ポート (sport)
セッションで使用された送信元ポート
宛先ポート (dport)
セッションで使用された宛先ポート
NAT 送信元ポート (natsport) NAT 後の送信元ポート
NAT 宛先ポート (natdport)
276
NAT 後の宛先ポート
レポートとログ
レポートとログ
Syslog フィールドの説明
フィールド名
説明
フラグ (flags)
セッションに関する詳細を示す 32 ビットフィールド。このフィールド
は、以下のように、その値とログに記録されている値を AND 演算するこ
とによってデコードできます。
• 0x80000000 — セッションにパケットキャプチャがあります (PCAP)
• 0x02000000 — IPv6 セッション
• 0x01000000 — SSL セッションが復号化された（SSL プロキシ）
• 0x00800000 — セッションが URL フィルタリングによって拒否されました
• 0x00400000 — セッションで NAT 変換が実行されました (NAT)
• 0x00200000 — セッションのユーザー情報がキャプティブポータルによっ
てキャプチャされました（キャプティブポータル）
• 0x00080000 — プロキシからの X-Forwarded-For 値は送信元ユーザーフィー
ルドにあります
• 0x00040000 — ログは http プロキシセッション内のトランザクションに
対応します（プロキシトランザクション）
• 0x00008000 — セッションはコンテナページアクセスです（コンテナ
ページ）
• 0x00002000 — セッションに、暗黙的なアプリケーションの依存関係処理
のルールでの一時的な一致があります。PAN-OS 5.0.0 以降で使用できます
• 0x00000800 — このセッションのトラフィックを転送するために対称リター
ンが使用されました
プロトコル (proto)
セッションに関連付けられた IP プロトコル
アクション (action)
セッションで実行されたアクション。値は、「alert」、「allow」、
「deny」、「drop」、「drop-all-packets」、「reset-client」、「reset-server」、
「reset-both」、「block-url」です。
• alert — 脅威または URL が検出されましたが、ブロックされていません
• allow — フラッド検出アラート
• deny — フラッド検出メカニズムがアクティブにされ、設定に基づいてト
ラフィックを拒否します
• drop — 脅威が検出され、関連付けられたセッションが廃棄されました
• drop-all-packets — 脅威が検出されてセッションは残されましたが、すべ
てのパケットを破棄します
• reset-client — 脅威が検出され、TCP RST がクライアントに送信されました
• reset-server — 脅威が検出され、TCP RST がサーバーに送信されました
• reset-both — 脅威が検出され、TCP RST がクライアントとサーバーの両
方に送信されました
• block-url — ブロックするように設定された URL カテゴリで照合が行われ
たため、URL 要求がブロックされました
レポートとログ
277
Syslog フィールドの説明
レポートとログ
フィールド名
説明
その他 (misc)
変数長が最大で 1023 文字のフィールド
サブタイプが url の場合の実際の URI
サブタイプが file の場合のファイル名またはファイルタイプ
サブタイプが virus の場合のファイル名
サブタイプが wildfire の場合のファイル名
脅威 ID (threatid)
脅威の Palo Alto Networks 識別子。一部のサブタイプでは、説明の文字列に
かっこで囲んだ 64 ビットの数値識別子が続きます。
• 8000 ～ 8099 — スキャン検出
• 8500 ～ 8599 — フラッド検出
• 9999 — URL フィルタリングログ
• 10000 ～ 19999 — スパイウェアフォンホーム検出
• 20000 ～ 29999 — スパイウェアダウンロード検出
• 30000 ～ 44999 — 脆弱性悪用検出
• 52000 ～ 52999 — ファイルタイプ検出
• 60000 ～ 69999 — データフィルタリング検出
• 100000 ～ 2999999 — ウイルス検出
• 3000000 ～ 3999999 — WildFire シグネチャフィード
• 4000000 ～ 4999999 — DNS ボットネットシグネチャ
カテゴリ (category)
URL サブタイプの場合は URL カテゴリ、WildFire サブタイプの場合はファ
イルの判定（「malicious」または「benign」）です。その他のサブタイプ
の場合、値は「any」です。
重大度 (severity)
脅威に関連付けられた重大度。値は、「informational」、「low」、
「medium」、「high」、「critical」です。
方向 (direction)
攻撃の方向（「クライアントからサーバーへ」、または「サーバーからク
ライアントへ」）を示します
• 0 — 脅威の方向はクライアントからサーバーへ
• 1 — 脅威の方向はサーバーからクライアントへ
シーケンス番号 (seqno)
順次増分される 64 ビットのログエントリ識別子。各ログタイプには、一
意の番号空間があります。このフィールドは、PA-7050 のファイアウォー
ルではサポートされていません。
アクションフラグ (actionflags) ログが Panorama に転送されたかどうかを示すビットフィールド。
送信元の場所 (srcloc)
プライベートアドレスの送信元の国または国内地域最大長は 32 バイト
です。
宛先の場所 (dstloc)
プライベートアドレスの宛先の国または国内地域。最大長は 32 バイト
です。
278
レポートとログ
レポートとログ
Syslog フィールドの説明
フィールド名
説明
現在のタイプ (contenttype)
サブタイプが URL の場合にのみ適用されます。
HTTP 応答データのコンテンツタイプ。最大長は 32 バイトです。
PCAP ID (pcap_id)
Pcap-ID は、脅威 pcap ファイルをそのフローの一部として取得された拡張
pcap と相関させるための 64 ビット未署名整数です。すべての脅威ログに
は、値が 0 の pcap_id（関連付けられた pcap なし）か、拡張 pcap ファイル
を指す ID のどちらかが含められます。
ファイルダイジェスト
(filedigest)
WildFire サブタイプの場合のみ。それ以外のすべてのタイプではこの
フィールドを使用しません。
ファイルダイジェスト文字列には、WildFire サービスによって分析される
ために送信されたファイルのバイナリハッシュを示します。
クラウド (cloud)
WildFire サブタイプの場合のみ。それ以外のすべてのタイプではこの
フィールドを使用しません。
クラウド文字列には、分析用ファイルのアップロード元となった WildFire
アプライアンス（プライベート）と WildFire クラウド（パブリック）のい
ずれかの FQDN が示されます。
v6.1 での新機能
ユーザーエージェント
(user_agent)
v6.1 での新機能
ファイルタイプ
(filetype)
v6.1 での新機能
X-Forwarded-For (xff)
URL フィルタリングサブタイプの場合のみ。それ以外のすべてのタイプ
ではこのフィールドを使用しません。
ユーザーエージェントフィールドでは、ユーザーが URL へのアクセスに
使用した Web ブラウザ（Internet Explorer など）を指定します。この情報
は、HTTP 要求でサーバーに送信されます。
WildFire サブタイプの場合のみ。それ以外のすべてのタイプではこの
フィールドを使用しません。
WildFire 分析のためにファイアウォールが転送したファイルのタイプを指
定します。
URL フィルタリングサブタイプの場合のみ。それ以外のすべてのタイプ
ではこのフィールドを使用しません。
HTTP ヘッダーの X-Forwarded-For フィールドには、Web ページを要求した
ユーザーの IP アドレスが保持されています。これによりユーザーの IP ア
ドレスを特定することができ、特に、パケットヘッダーの送信元 IP アド
レスフィールドのユーザー IP アドレスを独自のアドレスで置き換えるプ
ロキシサーバーがネットワーク上に存在する場合に役立ちます。
v6.1 での新機能 Referer (referer) URL フィルタリングサブタイプの場合のみ。それ以外のすべてのタイプ
ではこのフィールドを使用しません。
HTTP ヘッダーの Referer フィールドには、ユーザーを別の Web ページにリ
ンクした Web ページの URL が含まれています。これは、要求された Web
ページにユーザーをリダイレクト（参照）した送信元です。
レポートとログ
279
Syslog フィールドの説明
レポートとログ
フィールド名
説明
v6.1 での新機能送信者 (sender) WildFire サブタイプの場合のみ。それ以外のすべてのタイプではこの
フィールドを使用しません。
ファイアウォールによって転送された電子メールのリンクを分析中に、
WildFire が悪意のある電子メールと判定した電子メールの送信者の名前を
指定します。
サブジェクト (subject)
WildFire サブタイプの場合のみ。それ以外のすべてのタイプではこの
フィールドを使用しません。
v6.1 での新機能
ファイアウォールによって転送された電子メールのリンクを分析中に、
WildFire が悪意のある電子メールと判定した電子メールのサブジェクトを
指定します。
受信者 (recipient)
WildFire サブタイプの場合のみ。それ以外のすべてのタイプではこの
フィールドを使用しません。
v6.1 での新機能
ファイアウォールによって転送された電子メールのリンクを分析中に、
WildFire が悪意のある電子メールと判定した電子メールの受信者の名前を
指定します。
レポート ID (reportid)
WildFire サブタイプの場合のみ。それ以外のすべてのタイプではこの
フィールドを使用しません。
v6.1 での新機能
WildFire クラウドまたは WildFire アプライアンスでの分析要求を識別し
ます。
HIP マッチログ
フォーマット : FUTURE_USE、受信日時、シリアル番号、タイプ、サブタイプ、FUTURE_USE、
生成日時、送信元ユーザー、仮想システム、マシン名、OS、送信元アドレス、HIP、繰り返し
回数、HIP タイプ、FUTURE_USE、FUTURE_USE、シーケンス番号、アクションフラグ
フィールド名
説明
受信時間 (receive_time)
管理プレーンでログが受信された時間
シリアル番号 (serial)
ログを生成したデバイスのシリアル番号
タイプ (type)
ログのタイプ。値は、「traffic」、「threat」、「config」、「system」、「hip-match」
です
サブタイプ (subtype)
HIP マッチログのサブタイプ。未使用
生成日時 (time_generated) データプレーンでログが生成された日時
送信元ユーザー (srcuser) セッションを開始したユーザーのユーザー名
仮想システム (vsys)
HIP マッチログに関連付けられた仮想システム
マシン名 (machinename)
ユーザーのマシンの名前です
280
レポートとログ
レポートとログ
Syslog フィールドの説明
フィールド名
説明
OS
ユーザーのマシンまたはデバイス（またはクライアントシステム）にインス
トールされているオペレーティングシステム
送信元アドレス (src)
送信元ユーザーの IP アドレス
HIP (matchname)
HIP オブジェクトまたはプロファイルの名前
繰り返し回数 (repeatcnt) HIP プロファイルが一致した回数
HIP タイプ (matchtype)
hip フィールドが HIP オブジェクトまたは HIP プロファイルを表すかどうか
シーケンス番号 (seqno)
順次増分される 64 ビットのログエントリ識別子。各ログタイプには、一意の
番号空間があります。このフィールドは、PA-7050 のファイアウォールではサ
ポートされていません。
アクションフラグ
(actionflags)
ログが Panorama に転送されたかどうかを示すビットフィールド
設定ログ
フォーマット : FUTURE_USE、受信日時、シリアル番号、タイプ、サブタイプ、FUTURE_USE、
生成日時、ホスト、仮想システム、コマンド、管理者、クライアント、結果、設定パス、シー
ケンス番号、アクションフラグ、変更前の詳細 *、変更後の詳細 *
フィールド名
説明
受信時間 (receive_time)
管理プレーンでログが受信された時間
シリアル番号 (serial)
ログを生成したデバイスのシリアル番号
タイプ (type)
ログのタイプ。値は、「traffic」、「threat」、「config」、「system」、「hip-match」
です
サブタイプ (subtype)
設定ログのサブタイプ。未使用
生成日時 (time_generated) データプレーンでログが生成された日時
ホスト (host)
クライアントマシンのホスト名または IP アドレス
仮想システム (vsys)
設定ログに関連付けられた仮想システム
コマンド (cmd)
管理者によって実行されたコマンド。値は、「add」、「clone」、「commit」、
「delete」、「edit」、「move」、「rename」、「set」、「validate」です。
管理者 (admin)
設定を実行する管理者のユーザー名
クライアント (client)
管理者によって使用されるクライアント。値は「Web」と「CLI」です
結果 (result)
設定アクションの結果。値は、「Submitted」、「Succeeded」、「Failed」、
「Unauthorized」です
設定パス (path)
発行された設定コマンドのパス。最大長 512 バイト
レポートとログ
281
Syslog フィールドの説明
レポートとログ
フィールド名
説明
シーケンス番号 (seqno)
順次増分される 64 ビットのログエントリ識別子。各ログタイプには、一意の
番号空間があります。このフィールドは、PA-7050 のファイアウォールではサ
ポートされていません。
アクションフラグ
(actionflags)
ログが Panorama に転送されたかどうかを示すビットフィールド。
変更前の詳細
(before_change_detail)
このフィールドはカスタムログの場合のみです。デフォルトのフォーマット
には含まれません。
v6.1 での新機能
設定の変更前の完全な xpath が保持されています。
変更後詳細
(after_change_detail)
このフィールドはカスタムログの場合のみです。デフォルトのフォーマット
には含まれません。
v6.1 での新機能
設定の変更後の完全な xpath が保持されています。
282
レポートとログ
レポートとログ
Syslog フィールドの説明
システムログ
フォーマット : FUTURE_USE、受信日時、シリアル番号、タイプ、サブタイプ、FUTURE_USE、
生成日時、仮想システム、イベント ID、オブジェクト、FUTURE_USE、FUTURE_USE、モ
ジュール、重大度、説明、シーケンス番号、アクションフラグ
フィールド名
説明
受信時間 (receive_time)
管理プレーンでログが受信された時間
シリアル番号 (serial)
ログを生成したデバイスのシリアル番号
タイプ (type)
ログのタイプ。値は、「traffic」、「threat」、「config」、「system」、
「hip-match」です
サブタイプ (subtype)
システムログのサブタイプ。ログを生成するシステムデーモンを参照
します。値は、「crypto」、「dhcp」、「dnsproxy」、「dos」、「general」、
「global-protect」、「ha」、「hw」、「nat」、「ntpd」、「pbf」、「port」、
「pppoe」、「ras」、「routing」、「satd」、「sslmgr」、「sslvpn」、「userid」、
「url-filtering」、「vpn」です
生成日時 (time_generated)
データプレーンでログが生成された日時
仮想システム (vsys)
設定ログに関連付けられた仮想システム
イベント ID (eventid)
イベントの名前を示す文字列
オブジェクト (object)
システムイベントに関連付けられてたオブジェクトの名前
モジュール (module)
このフィールドは、subtype フィールドの値が general の場合にのみ有効ですロ
グを生成するサブシステムに関する補足情報を提供します。値は、
「general」、[management」、「auth」、「ha」、「upgrade」、「chassis」です
重大度 (severity)
イベントに関連付けられた重大度。値は、「informational」、「low」、
「medium」、「high」、「critical」です。
説明 (opaque)
イベントの詳細な説明。最大 512 バイト
シーケンス番号 (seqno)
順次増分される 64 ビットのログエントリ識別子。各ログタイプには、一意
の番号空間があります。このフィールドは、PA-7050 のファイアウォールで
はサポートされていません。
アクションフラグ
(actionflags)
ログが Panorama に転送されたかどうかを示すビットフィールド
レポートとログ
283
Syslog フィールドの説明
レポートとログ
Syslog の重大度
Syslog の重大度は、ログタイプとコンテンツに基づいて設定されます。
ログタイプ / 重大度
Syslog の重大度
トラフィック
情報
設定
情報
脅威 / システム — Informational
情報
脅威 / システム — Low
通知
脅威 / システム — Medium
警告
脅威 / システム — High
エラー
脅威 / システム — Critical
重要
カスタムログ / イベントのフォーマット
外部のログ解析システムと統合しやすくするため、ファイアウォールでは、ログフォーマットを
カスタマイズすることができます。また、カスタムの Key: Value 属性ペアを追加することもでき
ます。カスタムメッセージのフォーマットは、[Device] > [ サーバープロファイル ] > [Syslog] >
[Syslog サーバープロファイル ] > [ カスタムログフォーマット ] で設定できます。
ArcSight Common Event Format (CEF) 準拠のログフォーマットを設定するには、『CEF Configuration
Guide』を参照してください。
エスケープシーケンス
カンマまたは二重引用符を含むフィールドは、二重引用符で囲みます。さらに、二重引用符が
1 つのフィールド内に含まれる場合は、別の二重引用符を前に付けてエスケープします。下位
互換性を維持するため、脅威ログの「その他」フィールドは常に二重引用符で囲みます。
284
レポートとログ
User-ID
User-ID は Palo Alto Networks の次世代のファイアウォール機能で、個々の IP アドレスの代わり
にユーザーとグループに基づいてポリシーを作成し、レポートを実行できます。ここでは、
Palo Alto Networks の User-ID 機能と、ユーザーおよびグループベースのアクセスを設定する方法
について説明します。

User-ID の概要

User-ID の概念

User-ID の有効化

ユーザーとグループのマッピング

IP アドレス対ユーザーのマッピング

他のファイアウォールとユーザーマッピングデータを共有するためのファイアウォールの設定

ユーザーおよびグループベースのポリシーの有効化

User-ID 設定の確認
User-ID
285
User-ID の概要
User-ID
User-ID の概要
User-ID は、Palo Alto Networks のファイアウォールとさまざまな企業ディレクトリおよび端末
サービスをシームレスに統合することにより、アプリケーションの動作とセキュリティポリ
シーを、IP アドレスだけでなくユーザーおよびグループに結合させることができます。さら
に、User-ID を有効にすると、アプリケーションコマンドセンター (ACC)、アプリケーション
スコープ、レポート、およびログのすべてにユーザーの IP アドレスに加えてユーザー名が含ま
れます。
Palo Alto Networks の次世代ファイアウォールでは、以下の企業向けサービスのモニタリングを
サポートしています。

Microsoft Active Directory

Lightweight Directory Access Protocol (LDAP)

Novell eDirectory

Citrix Metaframe Presentation Server または XenApp

Microsoft Terminal Services
ユーザーおよびグループに基づいてポリシーを作成できるようにするには、ファイアウォール
で、ポリシーを定義するときに使用可能なすべてのユーザーと対応するグループを選択できる
マッピングのリストが必要です。このリストでは、LDAP ディレクトリサーバーに直接接続し
て「グループマッピング」情報を取得します。
ユーザーおよびグループベースのポリシーを実施できるようにするには、ファイアウォールで
受信するパケットの IP アドレスをユーザー名にマッピングできる必要があります。User-ID
は、この IP アドレスからユーザー名へのマッピングを実現するさまざまなメカニズムを提供し
ます。たとえば、サーバーログのログオンイベントをモニターするエージェント、クライアン
トのプローブ、認証サービスからの Syslog メッセージのリッスンなどを使用します。エージェ
ントメカニズムを使用してマッピングされていない IP アドレスのマッピングを識別するには、
HTTP 要求をキャプティブポータルのログインにリダイレクトするようにファイアウォールを
設定できます。「ユーザーマッピング」に使用するメカニズムを環境に合わせて変更できま
す。さらに異なるサイトの異なるメカニズムを使用することもできます。
286
User-ID
User-ID
User-ID の概要
図 : User-ID
User-ID の仕組みは「User-ID の概念」、ファイアウォールでの User-ID のセットアップ手順は
「User-ID の有効化」を参照してください。
User-ID
287
User-ID の概念
User-ID
User-ID の概念

グループマッピング

ユーザーマッピング
グループマッピング
ユーザーまたはグループに基づいてセキュリティポリシーを定義するには、ファイアウォール
でディレクトリサーバーからグループのリストおよび対応するメンバーのリストを取得する必
要があります。この機能を有効にして「ユーザーとグループのマッピング」を行うには、LDAP
サーバープロファイルを作成する必要があります。このプロファイルからファイアウォールに
対して、サーバーへの接続および認証方法と、ディレクトリでユーザーおよびグループの情報
を検索する方法に関する命令が行われます。LDAP サーバーに接続し、ユーザー識別のための
グループマッピング機能を設定すると、セキュリティポリシーを定義するときにユーザーまた
はグループを選択できるようになります。ファイアウォールは、Microsoft Active Directory
(AD)、Novell eDirectory、Sun ONE Directory Server を含む、さまざまな LDAP ディレクトリサー
バーをサポートしています。
その後、個々のユーザーではなくグループメンバーシップに基づいてポリシーを定義すること
で、管理を簡略化できます。たとえば、以下のセキュリティポリシーは、グループメンバー
シップに基づいて特定の内部アプリケーションへのアクセスを許可します。
288
User-ID
User-ID
User-ID の概念
ユーザーマッピング
ユーザーおよびグループに名前がついているだけでは、パズルの 1 ピースにすぎません。ファ
イアウォールでは、セキュリティポリシーを正しく実施するためにも、どの IP アドレスがどの
ユーザーにマッピングされるかを知る必要があります。「図 : User-ID」は、ネットワーク上の
ユーザーおよびグループを識別するために使用されるさまざまな方法と、ユーザーマッピング
とグループマッピングが連携してユーザーベースおよびグループベースのセキュリティの実施
と可視化を可能にする仕組みを示しています。
以下のトピックでは、ユーザーマッピングのさまざまな方法について説明します。

サーバーモニタリング

クライアントによるプローブ

ポートマッピング

Syslog

キャプティブポータル

GlobalProtect

User-ID XML API
サーバーモニタリング
サーバーモニタリングを使用すると、User-ID エージェント（ネットワーク内のドメインサー
バー上で実行される Windows ベースのエージェント、またはファイアウォール上で実行される
PAN-OS User-ID エージェント）は、指定された Microsoft Exchange Server、ドメインコントロー
ラ、または Novell eDirectory サーバーのセキュリティイベントログのログオンイベントをモニ
ターします。たとえば、AD 環境では、User-ID エージェントを設定して、Kerberos チケットの
付与または更新、Exchange サーバーアクセス（設定されている場合）、およびファイルと印刷
サービスの接続のセキュリティログをモニターできます。これらのイベントをセキュリティロ
グに記録するには、アカウントのログオン完了イベントを記録するように AD ドメインを設定
する必要があります。さらに、ユーザーはドメイン内の任意のサーバーにログインできるた
め、すべてのユーザーログオンイベントをキャプチャするには、全てのサーバーに対してサー
バーモニタリングをセットアップする必要があります。
サーバーモニタリングは、必要なオーバーヘッドが非常に小さく、ユーザーの大部分は通常、
この方法を使用してマッピングできるため、ほとんどの User-ID デプロイメントで標準ユー
ザーマッピング方法として推奨されます。詳細は、「Windows User-ID エージェントを使用した
ユーザーマッピングの設定」または「PAN-OS 統合 User-ID エージェントを使用したユーザー
マッピングの設定」を参照してください。
User-ID
289
User-ID の概念
User-ID
クライアントによるプローブ
Microsoft Windows 環境では、Windows Management Instrumentation (WMI) を使用してクライアント
システムをプローブするように User-ID エージェントを設定できます。また、Windows ベースの
User-ID エージェントは、NetBIOS プローブも実行できます（PAN-OS 統合 User-ID エージェン
トではサポートされていません）。プローブは、IP アドレスのターンオーバーが高い環境で特
に役立ちます。これは、変更がファイアウォールにより早く反映され、ユーザーベースのポリ
シーがより正確に実施できるようになるためです。ただし、IP アドレスとユーザーの相関関係
が非常に固定的な場合は、クライアントプローブは必要ありません。プローブは大量のネット
ワークトラフィックを生成する場合がある（マッピングされた IP アドレスの総数による）た
め、プローブを開始するエージェントは、エンドクライアントにできるだけ近いところに置く
必要があります。
プローブが有効になっていると、同じユーザーがまだログインしていることを確認するため、取
得された各 IP アドレスがエージェントで定期的（デフォルトでは 20分ごとですが、これは設定可
能です）にプローブされます。また、ユーザーマッピングが存在しない IP アドレスがファイア
ウォールで発生すると、アドレスがエージェントに送信されてプローブが直ちに行われます。
詳細は、「Windows User-ID エージェントを使用したユーザーマッピングの設定」または「PAN-OS
統合 User-ID エージェントを使用したユーザーマッピングの設定」を参照してください。
ポートマッピング
Microsoft Terminal Server や Citrix 環境など、マルチユーザーシステム環境の場合、多くのユー
ザーが同じ IP アドレスを共有します。このような場合、ユーザー対 IP アドレスのマッピング
プロセスで、クライアントごとの送信元ポートの情報が必要となります。このタイプのマッピ
ングを実行するには、Windows Terminal Server/Citrix のターミナルサーバー自体に Palo Alto
Networks Terminal Services Agent をインストールし、さまざまなユーザープロセスに対する送信
元ポートの割り当てを仲介する必要があります。Linux ターミナルサーバーのようにターミナ
ルサービスエージェントをサポートしないターミナルサーバーの場合、XML API を使用し
て、ユーザーマッピング情報をログインイベントおよびログアウトイベントから User-ID に送
信できます。設定の詳細については、「ターミナルサーバーユーザー向けのユーザーマッピ
ング設定」を参照してください。
290
User-ID
User-ID
User-ID の概念
Syslog
ワイヤレスコントローラ、802.1x デバイス、Apple Open Directory サーバー、プロキシサー
バー、その他のネットワークアクセス制御 (NAC) メカニズムなど、ユーザーを認証する既存の
ネットワークサービスが存在する環境では、ファイアウォールの User-ID エージェント（ファ
イアウォール上の Windows エージェントまたは PAN-OS 統合エージェント）で、それらのサー
ビスから認証 Syslog メッセージをリッスンできます。コンテンツ更新で提供される Syslog の
フィルタ（統合された User-ID エージェントの場合のみ）か、手動で設定された Syslog のフィル
タでは、User-ID エージェントが、外部サービスで生成された認証 syslog イベントからユーザー
名と IP アドレスを解析および抽出し、ファイアウォールで管理される User-ID の IP アドレスか
らユーザー名のマッピングにその情報を追加できます。設定の詳細については、「Syslog 送信
元からユーザーマッピングを受信するための User-ID の設定」を参照してください。
図 : User-ID の Syslog との統合
User-ID
291
User-ID の概念
User-ID
キャプティブポータル
ユーザーがログインしていない場合や、ドメインサーバーでサポートされていない Linux など
のオペレーティングシステムを使用している場合など、User-ID エージェントのファイア
ウォールで IP アドレスとユーザーをマッピングできない場合、キャプティブポータルを設定で
きます。キャプティブポータルを設定すると、キャプティブポータルのポリシーと一致する
Web トラフィック（HTTP または HTTPS）でユーザー認証が必要となります。ユーザー認証
は、NT LAN Manager (NTLM) からブラウザへの認証チャレンジを透過的に行うか、またはユー
ザーを Web 認証フォームにリダイレクトして RADIUS、LDAP、Kerberos、またはローカル認証
データベースに対する認証をアクティブに行うか、またはクライアント証明書による認証を使
用して行います。詳細は、「キャプティブポータルを使用した IP アドレス対ユーザー名のマッ
ピング」を参照してください。
GlobalProtect
モバイルユーザーやローミングユーザーの場合、GlobalProtect クライアントからユーザーマッ
ピング情報がファイアウォールに直接提供されます。この場合、すべての GlobalProtect ユー
ザーは、ファイアウォールへの VPN アクセスのためのログイン認証情報を入力する必要がある
エージェントまたはアプリケーションをクライアント上で実行しています。その後、このログ
イン情報は、可視化およびユーザーベースセキュリティポリシーの実施のために、ファイア
ウォール上の User-ID ユーザーマッピングテーブルに追加されます。GlobalProtect ユーザーが
ネットワークにアクセスするには認証が必要なため、IP アドレス対ユーザー名のマッピングは
明確に分かります。これは、アプリケーションやサービスへのアクセスを許可するためにユー
ザーが誰であるかを知る必要がある機密環境では最適なソリューションです。GlobalProtect の
セットアップの詳細は、『GlobalProtect 管理者ガイド』を参照してください。
User-ID XML API
たとえば、サードパーティ VPN ソリューションから接続しているユーザーや 802.1x 対応無線
ネットワークに接続しているユーザーのマッピングの追加など、標準的なユーザーマッピング
手法やキャプティブポータルを使用してマッピングできない他のタイプのユーザーアクセスに
は、User-ID XML API を使用してログインイベントをキャプチャし、User-ID または直接ファイ
アウォールに送信できます。詳細は、「XML API を使用した User-ID へのユーザーマッピング
の送信」を参照してください。
292
User-ID
User-ID
User-ID の有効化
User-ID の有効化
ポリシー適用、ロギング、レポートでユーザーおよびグループを使用するようにファイア
ウォールをセットアップするには、以下のタスクを実行する必要があります。

ユーザーとグループのマッピング

IP アドレス対ユーザーのマッピング

ユーザーおよびグループベースのポリシーの有効化

User-ID 設定の確認
User-ID
293
ユーザーとグループのマッピング
User-ID
ユーザーとグループのマッピング
以下の手順により LDAP ディレクトリに接続し、ファイアウォールでユーザー対グループの
マッピング情報を取得できるようにします。
Active Directory 環境でのグループマッピングのベストプラクティス
294
•
ドメインが 1 つの場合、ファイアウォールを接続性が最も良いドメインコントローラに接続する LDAP
サーバープロファイルが 1 つだけ必要です。フォールトトレランスのために別のドメインコント
ローラを追加することもできます。
•
複数のドメインや複数のフォレストがある場合には、各ドメイン / フォレストのドメインサーバーに
接続するためのサーバープロファイルを作成する必要があります。異なるフォレスト内のユーザー名
が一意になるようにする必要があります。
•
ユニバーサルグループがある場合、グローバルカタログサーバーに接続するサーバープロファイル
を作成します。
User-ID
ユーザーとグループのマッピング
User-ID
ユーザー対グループのマッピング
ステップ 1
LDAP サーバープロファイルを作成し、ファイアウォールがグループのマッピング情報の
取得に使用する、ディレクトリサーバーへの接続方法を指定します。
1. [Device] > [ サーバープロファ
イル ] > [LDAP] の順に選択し
ます。
2. [ 追加 ] をクリックし、プロファ
イルの [ 名前 ] を入力します。
3. （任意）[ 場所 ] ドロップダウン
リストから、このプロファイ
ルの適用先となる仮想システ
ムを選択します。
4. [ 追加 ] をクリックして新しい
LDAP サーバーのエントリを追
加し、[ サーバー] フィールドにサーバーを識別できる名前（1-31 文字）を入力し、IP ア
ドレスを [ アドレス ] フィールドに、ポート番号を [ ポート ] フィールドにそれぞれ入力
します。ファイアウォールでは、これらの情報を使用して LDAP サーバーに接続します
（LDAP のデフォルトのポート番号は 389、LDAP over SSL は 636 です）。プロファイルに
追加できる LDAP サーバーは最大 4 つですが、プロファイルに追加するサーバーは、す
べて同じタイプのものでなければなりません。冗長性を確保するために、2 つ以上の
サーバーを追加することをお勧めします。
5. LDAP のドメイン名を [ ドメイン ] フィールドに入力すると、サーバーから取得したすべ
てのオブジェクトの先頭にこのドメイン名が追加されます。ここで入力する値は、デプ
ロイメントタイプにより異なります。
• Active Directory を使用している場合は、FQDN ではなく NetBIOS のドメイン名（例 :
acme.com ではなく acme）を入力する必要があります。データを複数のドメインから収
集する必要がある場合は、サーバープロファイルを個別に作成する必要があります。
• グローバルカタログサーバーを使用している場合、このフィールドは空白のままにし
ておきます。
6. [ タイプ ] フィールドで接続先となる LDAP サーバーを選択します。選択したタイプに基
づき、グループマッピング設定に正しい LDAP 属性が自動的に入力されます。ただし、
LDAP スキーマをカスタマイズしている場合、デフォルトの設定を変更する必要があり
ます。
7. [ ベース ] フィールドで、ファイアウォールが LDAP ツリー内でユーザーおよびグループ
の情報検索を開始するポイントに対応する DN を選択します。
8. LDAP ツリーにバインドする認証情報を、[ バインド DN]、[ バインドパスワード ]、[ 再
入力バインドパスワード ] の各フィールドに入力します。バインド DN には、ユーザー
プリンシパル名 (UPN) の形式
（[email protected] など）または完全修飾 LDAP 名
（cn=administrator,cn=users,dc=acme,dc=local など）を指定できます。
9. ファイアウォールから安全な接続を介して LDAP サーバーとの通信を行う場合は、[SSL]
チェックボックスをオンにします。[SSL] を有効にする場合は、適切なポート番号が指定
されていることを確認する必要があります。
10. [OK] をクリックしてプロファイルを保存します。
User-ID
295
ユーザーとグループのマッピング
User-ID
ユーザー対グループのマッピング（続き）
ステップ 2
LDAP サーバープロファイルを User-ID のグループマッピング設定に追加します。
1. [Device] > [ ユーザー ID] > [ グルー
プマッピング設定 ] の順に選択し、
[ 追加 ] をクリックします。
2. グループマッピング設定の識別に使
用する一意の [ 名前 ] を入力します。
3. [サーバープロファイル] で、ステッ
プ 1 で作成したプロファイルを選択
します。
4. （任意）User-ID で追跡する、グルー
プマッピングのグループをフィル
タリングするには、[ グループオブ
ジェクト] セクションで、[検索フィ
ルタ]（LDAP クエリ）を入力し、
[ オブジェクトクラス ]（グループ
定義）、[ グループ名 ]、および [ グ
ループメンバー] を指定します。
5. （任意）User-ID で追跡する、グルー
プマッピングのユーザーをフィル
タリングするには、[ ユーザーオブ
ジェクト ] セクションで、[ 検索フィルタ ]（LDAP クエリ）を入力し、[ オブジェクトク
ラス ]（ユーザー定義）および [ ユーザー名 ] を指定します。
6. （任意）リンクで識別される電子メールのヘッダー情報と WildFire に送信される電子メー
ルの添付ファイルを使用して、User-ID 情報を照合するには、[ メールドメイン ] セクショ
ンの [ドメインリスト] フィールドに組織の電子メールドメインのリストを入力します。
カンマを使用して複数のドメインを区切ります（最大 256 文字）。[OK] をクリックした
ら（ステップ 9）、LDAP サーバータイプ（Sun/RFC、Active Directory、または Novell）に
基づいて、[ メール属性 ] フィールドが自動的に入力されます。一致すると、ユーザーま
たはユーザーグループによってフィルタリングされた状態で、WildFire ログの電子メー
ルヘッダーセクションのユーザー名に、[ACC] タブを開くリンクが表示されます。
7. [ 有効 ] チェックボックスがオンになっていることを確認します。
8. （任意）セキュリティポリシーに表示されるグループを制限するには、[許可リストのグ
ループ化 ] タブを選択し、LDAP ツリーを参照して目的のグループを特定します。含める
各グループを [ 使用可能なグループ ] リストで選択し、追加アイコンをクリックして
[ 含まれたグループ ] リストに移動します。
9. [OK] をクリックして設定を保存します。
ステップ 3
296
設定を [ コミット ] します。
User-ID
User-ID
IP アドレス対ユーザーのマッピング
IP アドレス対ユーザーのマッピング
IP アドレスとユーザー名のマッピングを実行するのに必要なタスクは、ネットワーク上のクラ
イアントシステムのタイプや場所により異なります。以下のタスクの中から、クライアントシ
ステムでマッピングを有効にするのに必要なものを実行します。

Exchange サーバー、ドメインコントローラ、eDirectory サーバー、または直接プローブでき
る Windows クライアントにログインしたときにユーザーをマッピングするには、User-ID
エージェントを設定してサーバーログをモニターしたりクライアントシステムをプローブ
する必要があります。モニターするサーバーおよびクライアントを含むドメイン内の 1 台
以上のメンバーサーバーにスタンドアロン Windows User-ID エージェントをインストールす
るか（「Windows User-ID エージェントを使用したユーザーマッピングの設定」を参照）、
PAN-OS と統合されたファイアウォール上の User-ID エージェントを設定できます
（「PAN-OS 統合 User-ID エージェントを使用したユーザーマッピングの設定」を参照）。
ネットワークに適したエージェント設定の指針、および必要なエージェントの数と配置に
ついては、『Architecting User Identification Deployments』（英語）を参照してください。

Microsoft Terminal Server、または Citrix Metaframe Presentation Server や XenApp などのマルチ
ユーザーシステムを実行しているクライアントがある場合、Windows サーバー上でのエー
ジェントのインストールおよび設定方法については「Palo Alto Networks ターミナルサー
バーエージェントのユーザーマッピング設定」を参照してください。Windows 上で実行し
ていないマルチユーザーシステムがある場合は、User-ID XML API を使用して IP アドレス対
ユーザー名のマッピングを直接ファイアウォールに送信できます。「User-ID XML API を使
用したターミナルサーバーからのユーザーマッピングの取得」を参照してください。

ワイヤレスコントローラ、802.1x デバイス、Apple Open Directory サーバー、プロキシサー
バー、その他のネットワークアクセス制御 (NAC) メカニズムなど、ユーザーを認証する既
存のネットワークサービスからユーザーマッピングを取得するには、User-ID エージェン
ト（Windows エージェントまたはファイアウォール上のエージェントレスユーザーマッピ
ング機能）を設定して、それらのサービスから認証 Syslog メッセージをリッスンできます。
「Syslog 送信元からユーザーマッピングを受信するための User-ID の設定」を参照してくだ
さい。

ドメインにログインしていない Linux クライアントを実行するユーザーなど、ドメインサー
バーにログインしていないクライアントシステムのユーザーの場合は、「キャプティブ
ポータルを使用した IP アドレス対ユーザー名のマッピング」を参照してください。

前述の方法でマッピングできないその他のクライアントについては、User-ID XML API を使
用してユーザーマッピングを直接ファイアウォールに追加できます。「XML API を使用し
た User-ID へのユーザーマッピングの送信」を参照してください。

ポリシーは各ファイアウォールでローカルなため、セキュリティポリシーをグループまた
はユーザーに基づいて正確に実施するためには、各ファイアウォールが IP アドレス対ユー
ザー名のマッピングの最新リストを持つ必要があります。ただし、1 台のファイアウォール
がすべてのユーザーマッピングを収集し、他のファイアウォールに配布するように設定で
きます。詳細は、「他のファイアウォールとユーザーマッピングデータを共有するための
ファイアウォールの設定」を参照してください。
User-ID
297
IP アドレス対ユーザーのマッピング
User-ID
Windows User-ID エージェントを使用したユーザーマッピングの設定
多くの場合、ネットワークユーザーの大部分がモニタリング対象のドメインサービスにログイ
ンできます。これらのユーザーに対して、Palo Alto Networks User-ID エージェントはサーバーの
ログインおよびログアウトイベントをモニターし、IP アドレス対ユーザーのマッピングを実行
します。User-ID エージェントを設定する方法は、環境の規模やドメインサーバーの場所によ
り異なります。ベストプラクティスとして、User-ID エージェントはモニター対象のサーバー
の近くに配置します（つまり、モニター対象のサーバーと Windows User-ID エージェントの間に
WAN リンクをはさまないようにします）。これは、ユーザーマッピングのトラフィックが
エージェントとモニタリング対象サーバーの間で発生し、エージェントとファイアウォール間
のトラフィック（最終更新以降の IP アドレスマッピングの差分情報）の量もごくわずかなため
です。
以下のトピックでは、User-ID エージェントのインストールと設定の方法、およびファイア
ウォールがエージェントからユーザーマッピング情報を取得するための設定方法について説明
します。

User-ID エージェントのインストール

ユーザーマッピングのための User-ID エージェントの設定
User-ID エージェントのインストール
以下の手順では、User-ID エージェントをドメイン内のメンバーサーバー上にインストール
し、必要な権限が設定されたサービスアカウントをセットアップする方法を示します。アップ
グレードする場合、インストーラは古いバージョンを自動的に削除しますが、インストーラを
実行する前に config.xml ファイルをバックアップしておくことをお勧めします。
Windows ベースの User-ID エージェントをインストールするためのシステム要件の詳細、およ
びサポートされているサーバー OS バージョンに関する情報は、Palo Alto Networks の『ソフ
トウェア更新』ページから入手できる『User-ID エージェントリリースノート』の「User-ID
エージェントのオペレーティングシステム (OS) 互換性」を参照してください。
298
User-ID
IP アドレス対ユーザーのマッピング
User-ID
Windows User-ID エージェントのインストール
ステップ 1
User-ID エージェントをインス • User-ID エージェントは、サポートされているいずれかの
OS バージョンを実行しているシステムにインストール
トールする場所を決定します。
する必要があります。『User-ID エージェントリリース
User-ID エージェントはドメイ
ノート』の「User-ID エージェントのオペレーティング
ンコントローラおよび Exchange
システム (OS) 互換性」を参照してください。
サーバーのログに対して
Microsoft Remote Procedure Call • User-ID エージェントをインストールしようとしているシ
ステムが、モニター対象のサーバーが属しているドメイ
(MSRPC) を使用してクエリを
ンのメンバーであることを確認します。
実行します。これには、各ク
エリでログ全体の完全な転送 • ベストプラクティスとして、User-ID エージェントはモニ
が必要です。したがって、モニ
ター対象のサーバーの近くにインストールします
ター対象のサーバーがあるサイ
（User-ID エージェントとモニター対象のサーバーの間の
トのそれぞれに必ず 1 つ以上の
トラフィックは User-ID とファイアウォールの間のトラ
User-ID エージェントをインス
フィックより大きくなるため、エージェントをモニター
トールする必要があります。
対象のサーバーの近くに配置することで帯域幅使用が最
適化されます）。
User-ID エージェントを
インストールする場所の • ユーザーのマッピングを最も包括的なものにするために
詳細は、以下の文書を参
は、ユーザーログオン情報が含まれるすべてのサーバー
照してください。
をモニターする必要があります。すべてのリソースを効
『Architecting User
率的にモニターするために複数の User-ID エージェント
Identification (User-ID)
をインストールする必要がある場合もあります。
Deployments』（英語）
ステップ 2
User-ID エージェントインス 1.
トーラをダウンロードします。 2.
ベストプラクティスとして、
ファイアウォール上で実行さ
れている PAN-OS と同じバー 3.
ジョンの User-ID エージェント
をインストールします。
4.
User-ID
『Palo Alto Networks サポート』サイトにログインします。
[Manage Devices（デバイスの管理）] セクションの
[Software Updates（ソフトウェア更新）] を選択し
ます。
画面の [User Identification Agent（User-ID エージェント）]
セクションまでスクロールし、インストールする
User-ID エージェントのバージョンをダウンロードし
ます。
エージェントをインストールするシステムに
UaInstall-x.x.x-xx.msi ファイルを保存します。
299
IP アドレス対ユーザーのマッピング
User-ID
Windows User-ID エージェントのインストール（続き）
ステップ 3
管理者としてインストーラを 1.
実行します。
管理者としてコマンドプロンプトを起動するには、
[ スタート ] をクリックし、[ コマンドプロンプト ] を
右クリックして [ 管理者として実行 ] を選択します。
2.
コマンドラインから、ダウンロードした .msi ファイル
を実行します。たとえば、.msi ファイルをデスクトッ
プに保存した場合、以下のように入力します。
C:\Users\administrator.acme>cd Desktop
C:\Users\administrator.acme\Desktop>UaInstall-6.0.
0-1.msi
3.
デフォルトの設定を使用してエージェントをインス
トールするには、セットアッププロンプトに従いしま
す。デフォルトでは、エージェントは C:\Program Files
(x86)\Palo Alto Networks\User-ID Agent フォルダにイ
ンストールされますが、[ 参照 ] をクリックして別の場
所を指定することもできます。
4.
インストールの完了後、[ 閉じる ] をクリックしてセッ
トアップウィンドウを閉じます。
ステップ 4
User-ID エージェントアプリ 1.
ケーションを起動します。
[ スタート ] をクリックし、[User-ID エージェント ] を
選択します。
ステップ 5
（任意）User-ID エージェントデフォルトでは、エージェントは .msi ファイルのインス
がログインに使用するサービトールに使用された管理者アカウントを使用します。ただ
スアカウントを変更します。し、以下の手順で、制限されたアカウントに切り替えるこ
ともできます。
1. [ ユーザー ID] > [ セットアップ ] の順に選択し、[ 編集 ]
をクリックします。
300
2.
[ 認証 ] タブを選択し、User-ID エージェントが使用する
サービスアカウント名を [Active Directory 用のユー
ザー名 ] フィールドに入力します。
3.
指定したアカウントの [ パスワード ] を入力します。
User-ID
IP アドレス対ユーザーのマッピング
User-ID
Windows User-ID エージェントのインストール（続き）
ステップ 6
（任意）インストールフォル 1.
ダにアカウントの権限を割り
当てます。
User-ID エージェントに設定し
たサービスアカウントがドメ
インの管理者グループのメン
バーまたは Server Operators と
Event Log Readers グループの両
方のメンバーでない場合の
み、この手順を実行する必要
があります。
インストールフォルダにサービスアカウントの権限を
割り当てます。
a. Windows Explorer で、 C:\Program Files\Palo Alto
Networks に移動し、フォルダを右クリックして [プロ
パティ] を選択します。
b. [ セキュリティ] タブで、User-ID エージェントサー
ビスアカウントを [ 追加 ] し、[ 変更 ]、[ 読み取り
と実行 ]、[ フォルダの内容の一覧表示 ]、および [ 読
み取り ] の権限を割り当て、[OK] をクリックしてア
カウント設定を保存します。
2.
User-ID エージェントのレジストリサブツリーにサー
ビスアカウント権限を割り当てます。
a. regedit32 を実行し、以下のいずれかの場所にある
Palo Alto Networks サブツリーに移動します。
– 32- ビットシステム —
HKEY_LOCAL_MACHINE\Software\Palo Alto Networks
– 64- ビットシステム —
HKEY_LOCAL_MACHINE\Software\WOW6432Node\Palo
Alto Networks
b. [Palo Alto Networks] ノードを右クリックし、[ アクセ
ス許可 ] を選択します。
c. User-ID サービスアカウントに [ フルコントロール ] を
割り当て、[OK] をクリックして設定を保存します。
3.
ドメインコントローラ上で、サービスアカウントをビ
ルトイングループに追加することにより、セキュリ
ティログイベントの読み取り（Event Log Reader グ
ループ）およびセッションの開始（Server Operator グ
ループ）の権限を有効にします。
a. MMC を実行し、[Active Directory ユーザーとコンピュー
ター] スナップインを実行します。
b. ドメインのビルトインフォルダに移動し、編集する
グループ（Event Log Reader およびServer Operator）の
それぞれを右クリックして [ グループに追加 ] を選択
してプロパティダイアログを開きます。
c. [ 追加 ] をクリックし、User-ID サービスが使用するよ
うに設定したサービスアカウントの名前を入力し、
[ 名前の確認 ] をクリックして正しいオブジェクト名
であることを検証します。
d. [OK] を 2 回クリックして設定を保存します。
User-ID
301
IP アドレス対ユーザーのマッピング
User-ID
ユーザーマッピングのための User-ID エージェントの設定
Palo Alto Networks User-ID エージェントは、Active Directory サーバー、Microsoft Exchange サー
バー、および Novell eDirectory サーバーなど、ネットワーク上のサーバーに接続し、ログオンお
よびログオフイベントのログをモニターする Windows サービスです。エージェントはこの情報
を使用して IP アドレスをユーザー名にマッピングします。Palo Alto Networks のファイアウォー
ルは User-ID エージェントに接続してこのユーザーマッピング情報を取得します。これによ
り、IP アドレスではなくユーザー名でのユーザーアクティビティへの可視性が得られ、ユー
ザーベースおよびグループベースのセキュリティ実施が可能になります。
User-ID エージェントでサポートされるサーバー OS のバージョンの詳細は、Palo Alto Networks
の『ソフトウェア更新』ページから入手できる『User-ID エージェントリリースノート』の
「User-ID エージェントのオペレーティングシステム (OS) 互換性」を参照してください。
User-ID エージェントを使用した IP アドレス対ユーザーのマッピング
ステップ 1
302
User-ID エージェントアプリ 1.
ケーションを起動します。
Windows の [ スタート ] メニューから [ ユーザー ID エー
ジェント ] を選択します。
User-ID
IP アドレス対ユーザーのマッピング
User-ID
User-ID エージェントを使用した IP アドレス対ユーザーのマッピング（続き）
ステップ 2
IP アドレス対ユーザーのマッピ 1.
ング情報を収集するために 2.
User-ID エージェントがモニタ
リングするサーバーを定義し
3.
ます。
User-ID エージェントは最大
100 台のサーバーをモニタリン 4.
グでき、最大 100 個の Syslog 送
信元からの Syslog メッセージを
リッスンできます。
必要なマッピング情報をすべ
て収集するには、ユーザーが 5.
ログインするすべてのサー
バーに接続し、ログオンイベ
ントを含むすべてのサーバー
のセキュリティログファイル
をモニタリングできるように
する必要があります。
6.
User-ID
[ ユーザー ID] > [ 検出 ] の順に選択します。
画面の [ サーバー] セクションで [ 追加 ] をクリックし
ます。
モニター対象のサーバーの [ 名前 ] と [ サーバーアドレ
ス ] を入力します。ネットワークアドレスには、
FQDN または IP アドレスを指定できます。
[ サーバータイプ ]（[Microsoft Active Directory]、
[Microsoft Exchange]、[Novell eDirectory]、または
[Syslog Sender]）を選択し、[OK] をクリックして
サーバーエントリを保存します。モニター対象の各
サーバーに対してこの手順を繰り返します。
（任意）DNS 検索を使用してファイアウォールで自動
的にネットワークのドメインコントローラを検出でき
るようにするには、[ 自動検出 ] をクリックします。
自動検出で検出できるのはローカルドメイン内
のドメインコントローラのみです。Exchange
サーバー、eDirectory サーバー、および Syslog 送
信元は手動で追加する必要があります。
（任意）ファイアウォールが設定済みサーバーに対し
てマッピング情報をポーリングする頻度を調整するに
は、[ ユーザー ID] > [ セットアップ ] の順に選択し、
[ セットアップ ] セクションの [ 編集 ] を選択します。
[ サーバーモニタ ] タブで、[ サーバーログのモニター
頻度（秒）] フィールドの値を変更します。ドメイン
コントローラが古い環境やリンクの遅延が大きな環境
の場合、このフィールドの値を 5 秒に増やすことをお
勧めします。[OK] をクリックして変更を保存します。
303
IP アドレス対ユーザーのマッピング
User-ID
User-ID エージェントを使用した IP アドレス対ユーザーのマッピング（続き）
ステップ 3
（任意）エージェントが Novell 1.
eDirectory サーバーに接続する
ように設定した場合、エー
ジェントがディレクトリを検 2.
索する方法を指定する必要が
あります。
[ ユーザー ID] > [ セットアップ ] の順に選択し、ウィン
ドウの [ セットアップ ] セクションの [ 編集 ] をクリッ
クします。
[eDirectory] タブを選択し、以下のフィールドを入力し
ます。
• 検索ベース — エージェントによるクエリの開始点ま
たはルートコンテキスト。例 : dc=domain1, dc=example,
dc=com
• 識別名のバインド — ディレクトリにバインドする
ために使用するアカウント。例 : cn=admin, ou=IT,
dc=domain1, dc=example, dc=com
• バインドパスワード — バインドアカウントのパス
ワード。エージェントは暗号化したパスワードを設
定ファイルに保存します。
• 検索フィルタ — ユーザーエントリの検索クエリ（デ
フォルトは objectClass=Person）。
• サーバードメインプレフィックス — ユーザーを一
意に識別するためのプレフィックス。これは、名前
空間に重複がある場合（たとえば他のディレクトリ
からの同じ名前の異なるユーザーなど）にのみ必要
です。
• SSL の使用 — eDirectory バインドに SSL を使用する
には、このチェックボックスをオンにします。
• Verify Server Certificate — SSL 使用時に eDirectory
サーバー証明書を検証する場合はこのチェックボッ
クスをオンにします。
304
User-ID
IP アドレス対ユーザーのマッピング
User-ID
User-ID エージェントを使用した IP アドレス対ユーザーのマッピング（続き）
ステップ 4
（任意）クライアントプローブ 1.
を有効にします。
クライアントプローブは、IP
アドレスがユーザー強くバイ 2.
ンドされていない環境で有用
です。クライアントプローブ
により、以前にマッピングし
たアドレスがまだ有効である
ことが確認されるためです。
ただし、取得した IP アドレス
の数が大きくなると、生成さ
れるトラフィックの量も増大
します。ベストプラクティス
として、IP アドレスのターン
オーバーが高いネットワーク
セグメントのみプローブを有
効にします。
[クライアントによるプローブ] タブで、[WMI プローブ
の有効化 ] チェックボックスまたは [NetBIOS プローブ
の有効化 ] チェックボックスをオンにします。
Windows ファイアウォールで、プローブ対象のクライア
ントごとにリモート管理の例外を追加することによ
り、クライアントのプローブを許可します。
NetBIOS によるプローブを効果的に行うには、
プローブされる各クライアント PC の Windows
ファイアウォールでポート 139 を許可し、ファ
イルやプリンタの共有サービスを有効にする必
要があります。可能な場合は常に NetBIOS プ
ローブではなく WMI プローブを使用することを
お勧めします。
クライアントプローブを使用す
る User-ID エージェントの配置
の詳細は、以下の文書を参照し
てください。『Architecting User
Identification (User-ID) Deployments』
（英語）
ステップ 5
設定を保存します。
[OK] をクリックして User-ID エージェントのセットアップ
設定を保存し、[コミット] をクリックして User-ID エージェ
ントを再起動し、新しい設定をロードします。
ステップ 6
（任意）サービスアカウント
や kiosk アカウントなど、IP ア
ドレス対ユーザー名のマッピ
ングが不要な一連のユーザー
を定義します。
ignore_user_list.txt
ファイルを作成し、エージェントが
インストールされているドメインサーバーの User-ID エー
ジェントフォルダに保存します。
無視するユーザーアカウントをリストします。リストに追
加するアカウント数に制限はありません。各ユーザーアカ
ウント名は、1
行ずつ指定する必要があります。例 :
また ignore-user リスト
を使用して、キャプティ SPAdmin
ブポータルを使用した SPInstall
認証の実施が必要なユー TFSReport
ザーを識別することもで
きます。
User-ID
305
IP アドレス対ユーザーのマッピング
User-ID
User-ID エージェントを使用した IP アドレス対ユーザーのマッピング（続き）
ステップ 7
ステップ 8
306
ファイアウォールが User-ID エーユーザーマッピングの取得のために User-ID エージェント
ジェントと接続するように設に接続する各ファイアウォールで、以下の手順を実行し
定します。
ます。
1. [Device] > [ ユーザー ID] > [User-ID エージェント ] の
順に選択し、[ 追加 ] をクリックします。
2.
[名前] に、User-ID エージェントの名前を入力します。
3.
[ ホスト ] に、User-ID エージェントがインストールされ
ている Windows ホストの IP アドレスを入力します。
4.
エージェントがユーザーマッピング要求をリッスンす
る [ ポート ] 番号を入力します。この値は、User-ID エー
ジェント上で設定された値と一致する必要がありま
す。ファイアウォールおよび新しいバージョンの
User-ID エージェントでは、ポートはデフォルトで
5007 に設定されます。ただし、一部の古いバージョン
の User-ID エージェントはデフォルトで 2010 を使用し
ます。
5.
設定が [ 有効 ] になっていることを確認し、[OK] をク
リックします。
6.
変更を [ コミット ] します。
7.
[ 接続済み ] の状態が接続済み（緑色のライト）と表示
されていることを確認します。
User-ID エージェントが IP アド 1.
レスをユーザー名に正しく
マッピングしていることと、 2.
ファイアウォールがエージェ
ントに接続できることを確認
します。
3.
User-ID エージェントを起動し、[ ユーザー ID] を選択し
ます。
エージェントの状態が、[エージェントは実行中です] に
なっていることを確認します。エージェントが実行さ
れていない場合は、[ 開始 ] をクリックします。
User-ID エージェントがモニター対象のサーバーに接続
できることを確認するには、各サーバーの状態が[接続
済み ] になっていることを確認します。
4.
ファイアウォールが User-ID エージェントに接続でき
ることを確認するには、接続済みデバイスそれぞれの
状態が [ 接続済み ] になっていることを確認します。
5.
User-ID エージェントが IP アドレスをユーザー名にマッ
ピングしていることを確認するには、[ モニタリング ]
を選択し、マッピングテーブルにデータが入力されて
いることを確認します。特定のユーザーを [ 検索 ] した
り、ユーザーマッピングをリストから [ 削除 ] したり
できます。
User-ID
IP アドレス対ユーザーのマッピング
User-ID
PAN-OS 統合 User-ID エージェントを使用したユーザーマッピングの設定
以下の手順では、ファイアウォール上の PAN-OS 統合エージェントをユーザーマッピングのた
めに設定する方法を示します。統合 User-ID エージェントは、Windows ベースのエージェントと
同じタスクを実行しますが、例外として NetBIOS クライアントプローブはサポートされていま
せん（WMI プローブはサポートされています）。
統合 User-ID エージェントを使用した IP アドレス対ユーザーのマッピング
ステップ 1
ユーザーマッピングデータを • Windows 2008 以降のドメインサーバー —「Event Log
Readers」グループにアカウントを追加します。オンデバ
収集するためにモニターする
イスの User-ID エージェントを使用している場合、アカ
各サービスまたはホストにロ
ウントが「Distributed COM Users」グループのメンバーに
グインする権限を持つ Active
もなっている必要があります。
Directory (AD) アカウントを
ファイアウォールエージェン
• Windows 2003 ドメインサーバー —「監査とセキュリティ
トに作成します。
ログの管理」許可がグループポリシーに割り当てられ
ます。
• WMI プローブ — CIMV2 名前空間を読み取る権限を持つ
アカウントが必要です。デフォルトでは、ドメイン管理
者アカウントとサーバーオペレーターアカウントにこの
権限があります。
• NTLM 認証 — オンデバイス User-ID エージェントによる
NTLM 認証を使用する場合、ファイアウォールがドメイ
ンに参加する必要があるため、NTLM アクセス用に作成
する Windows アカウントに管理者権限が必要となりま
す。複数の仮想システムを設定している場合、同じホス
トで実行される仮想システムで AD の制約があるため、
vsys1 のみがドメインに参加できます。
User-ID
307
IP アドレス対ユーザーのマッピング
User-ID
統合 User-ID エージェントを使用した IP アドレス対ユーザーのマッピング（続き）
ステップ 2
1.
[Device] > [User-ID] > [ ユーザーマッピング ] の順に選
択します。
2.
画面の [ サーバーモニタリング ] セクションで [ 追加 ]
をクリックします。
3.
サーバーの [ 名前 ] と [ ネットワークアドレス ] を入力
します。ネットワークアドレスには、FQDN または IP
アドレスを指定できます。
4.
[ タイプ ] フィールドで、サーバーのタイプを選択し
ます。
必要なマッピング情報をすべ
5.
て収集するには、ユーザーが
ログインしているすべての
サーバーに接続し、ログオン 6.
イベントを含むすべてのサー
バーのセキュリティログファ
イルをファイアウォールでモ
ニタリングできるようにする
必要があります。
[ 有効 ] チェックボックスがオンになっていることを確
認し、[OK] をクリックします。
ファイアウォールでモニタリ
ングするサーバーを定義し、
IP アドレス対ユーザーマッピ
ングの情報を収集します。
ネットワークで最大 100 個の
Microsoft Active Directory、Microsoft
Exchange、または Novell eDirectory
サーバーのエントリを定義で
きます。
（任意）DNS 検索を使用してファイアウォールで自動
的にネットワークのドメインコントローラを検出でき
るようにするには、[ 検出 ] をクリックします。
自動検出機能は、ドメインコントローラの場合
のみ有効です。Exchange Server や eDirectory サー
バーをモニタリングする場合、手動でそれらを
追加する必要があります。
7.
308
（任意）ファイアウォールが設定済みサーバーに対し
てマッピング情報をポーリングする頻度を調整するに
は、画面の [Palo Alto Networks ユーザー ID エージェン
ト設定 ] セクションを編集して [ サーバーモニタ ] タブ
を選択します。[ サーバーログのモニター頻度（秒）]
フィールドで値を変更します。DC が古い環境やリン
クの遅延が大きな環境の場合、このフィールドの値を
5 秒に増やすことをお勧めします。[OK] をクリックし
て変更を保存します。
User-ID
IP アドレス対ユーザーのマッピング
User-ID
統合 User-ID エージェントを使用した IP アドレス対ユーザーのマッピング（続き）
ステップ 3
ステップ 4
ステップ 5
ステップ 6
ファイアウォールで Windows リ 1.
ソースへのアクセスに使用す
る、アカウントのドメイン認証 2.
情報を設定します。この設定は
Exchange サーバーとドメインコ
ントローラのモニター、および
WMI プローブに必要です。
画面の [Palo Alto Networks ユーザー ID エージェント設
定 ] セクションを編集します。
（任意）WMI プローブを有効に 1.
します。
[ クライアントによるプローブ ] タブで、[ プローブの
有効化 ] チェックボックスをオンにします。
オンデバイスエージェ 2.
ントでは NetBIOS プ
ローブがサポートされて
おらず、Windows ベース 3.
の User-ID エージェント
でのみサポートされてい
ます。
（任意）必要に応じて [ プローブ間隔 ] の値を変更し、
取得した IP アドレスをすべてプローブするのに十分な
時間を確保します。
1.
[OK] をクリックして、User-ID エージェントの設定を
保存します。
2.
設定を保存するには [ コミット ] をクリックします。
設定を保存します。
（任意）サービスアカウントや 1.
kiosk アカウントなど、IP アド 2.
レス対ユーザー名のマッピン
グが不要な一連のユーザーを
定義します。
また ignore-user リスト
を使用して、キャプティ
ブポータルを使用した
認証の実施が必要なユー
ザーを識別することもで
きます。
Windows ファイアウォールでは、プローブ対象のクライ
アントごとにリモート管理の例外を追加することで、
クライアントのプローブが許可されます。
ファイアウォールに対する CLI セッションを開きます。
ファイアウォールでのマッピングが不要なユーザーア
カウントのリストを追加するには、以下のコマンドを
実行します。
set user-id-collector ignore-user <value>
<value> は無視するユーザーアカウントのリストで、
リストに追加するアカウント数に制限はありません。
エントリをスペースで区切ります。ユーザー名にはド
メイン名を含めません。例 :
set user-id-collector ignore-user SPAdmin SPInstall
TFSReport
3.
User-ID
[WMI 認証 ] タブで、[ ユーザー名 ] と [ パスワード ]
フィールドに、クライアントのプローブとサーバーの
モニタリングに使用するアカウントの名前とパスワー
ドを入力します。domain\username 構文を使用してユー
ザー名を入力します。
変更を [ コミット ] します。
309
IP アドレス対ユーザーのマッピング
User-ID
統合 User-ID エージェントを使用した IP アドレス対ユーザーのマッピング（続き）
ステップ 7
設定を確認します。
1.
CLI から以下のコマンドを入力します。
show user server-monitor state all
2.
Web インターフェイスで [Device] > [User-ID] > [ ユー
ザーマッピング ] の順に選択して、サーバーのモニタ
リング用に設定したサーバーごとに、[ 状態 ] が [ 接続
済み ] になっていることを確認します。
Syslog 送信元からユーザーマッピングを受信するための User-ID の設定
以下のトピックでは、User-ID エージェント（Windows エージェントまたはファイアウォール上
の統合エージェント）を「Syslog」リスナーとして設定する方法を説明します。

Syslog リスナーとしての統合 User-ID エージェントの設定

Syslog リスナーとしての Windows User-ID エージェントの設定
Syslog リスナーとしての統合 User-ID エージェントの設定
以下のワークフローは、PAN-OS 統合 User-ID エージェントが認証サービスから Syslog メッセー
ジを受信するように設定する方法を示しています。
PAN-OS 統合 User-ID エージェントは、SSL および UDP 上でのみ Syslog を受け入れます。
310
User-ID
IP アドレス対ユーザーのマッピング
User-ID
Syslog 送信元からのユーザーマッピングの収集
ステップ 1
対象の Syslog 送信元に対する事 1.
前定義された Syslog フィルタが
あるかどうかを確認します。
アプリケーションデータベース、またはアプリケーショ
ンおよび脅威データベースが最新であることを確認し
ます。
Palo Alto Networks では、いくつ
かの事前定義済みフィルタを
提供しています。これらはア
プリケーションコンテンツの
更新として配信されるため、
新しいフィルタが開発される
と動的に更新されます。事前 2.
定義済みフィルタはファイア
ウォールでグローバルに適用
されます。一方、手動で定義
されたフィルタは 1 つの仮想シ
ステムのみに適用されます。
a. [Device] > [ ダイナミック更新 ] の順に選択します。
特定のコンテンツリリー
スに含まれている新しい
Syslog フィルタには、対
応するリリースノート内
に説明があり、フィルタ
を定義するために使用す
る具体的な正規表現も記
載されています。
User-ID
b. [ 今すぐチェック ]（ウィンドウの左下にある）をク
リックして最新の更新があるかどうか確認します。
c. 新しい更新が入手可能な場合、[ ダウンロード ] およ
び [ インストール ] します。
使用可能な事前定義フィルタを確認します。
a. [Device] > [User-ID] > [ ユーザーマッピング ] の順に
選択します。
b. 画面の [ サーバーモニタリング ] セクションで [ 追加 ]
をクリックします。
c. サーバーの [ タイプ ] として [Syslog Sender] を選択
します。
d. [ フィルタ ] ドロップダウンを選択し、Syslog の転送
元にする予定の製造元や製品に対するフィルタがあ
るかどうかを確認します。必要なフィルタがある場
合、ステップ 5 のサーバーを定義する手順に進みま
す。必要なフィルタがない場合、ステップ 2 に進み
ます。
311
IP アドレス対ユーザーのマッピング
User-ID
Syslog 送信元からのユーザーマッピングの収集（続き）
ステップ 2
Syslog メッセージから User-ID の 1.
IP アドレス対ユーザー名マッ
ピング情報を抽出するための
Syslog フィルタを手動で定義し
ます。
User-ID エージェントで解析す
るためには、Syslog メッセージ
は以下の条件を満たす必要が
あります。
• 各 Syslog メッセージは 1 行の
文字列であること。改行は 2.
キャリッジリターンとニュー
ライン (\r\n) またはニュー
ライン (\n) で区切られてい 3.
ること。
• 個々の Syslog メッセージの最 4.
大許容サイズは 2048 バイト。 5.
• UDP 上で送信された Syslog
メッセージは 1 つのパケッ
トに含まれること。SSL 上で
送信されたメッセージは複
数パケットにまたがること
ができる。
• 1 つのパケットは複数の Syslog
メッセージを含むことがで
きる。
312
認証サービスが生成した Syslog をレビューし、ログイン
イベントの構文を特定する。これにより、ファイア
ウォールが Syslog から認証イベントを識別および抽出す
るための照合パターンを作成できるようになります。
Syslog をレビュー中に、ログエントリにドメイ
ン名が含まれているかどうかも確認します。認
証ログにドメイン情報が含まれていない場合
は、ステップ 5 でモニター対象サーバーリスト
に Syslog 送信元を追加するときにデフォルトの
ドメイン名を定義することを検討します。
[Device] > [ ユーザー ID] > [ ユーザーマッピング ] の順
に選択し、[Palo Alto Networks User-ID エージェント設
定 ] セクションを編集します。
[Syslog のフィルタ ] タブで、新しい Syslog 解析プロファ
イルを [ 追加 ] します。
[Syslog 解析プロファイル ] の名前を入力します。
以下のオプションのいずれかを選択して、ユーザー
マッピング情報をフィルタ抽出するために使用する解
析の [ タイプ ] を指定します。
• 正規表現の識別子 — このタイプの解析では、Syslog
メッセージのユーザーマッピング情報を識別して抽
出するための検索パターンを示す正規表現を指定し
ます。ステップ 3 の正規表現の識別子を作成する手
順に進みます。
• フィールド識別子 — このタイプの解析では、Syslog
内の認証イベントに一致する文字列を指定し、ユー
ザーマッピング情報を識別するプレフィックス、お
よびサフィックスの文字列を指定します。ステップ 4
のフィールド識別子を作成する手順に進みます。
User-ID
IP アドレス対ユーザーのマッピング
User-ID
Syslog 送信元からのユーザーマッピングの収集（続き）
ステップ 3
解析の [ タイプ ] として [ 正規 1.
表現の識別子 ] を選択した場
合、認証イベントを識別し、
ユーザーマッピング情報を抽
出するための正規表現照合パ
ターンを作成します。
下の例は、以下の形式の Syslog
メッセージを照合する正規表
現設定を示しています。
[Tue Jul 5 13:15:04 2005 CDT] Administrator
authentication success User:johndoe1
Source:192.168.3.212
2.
Syslog で単独のスペース
またはタブが区切り文字
として使用されている場 3.
合、エージェントが
Syslog を解析するには、
\s（スペース）または \t
（タブ）を使用する必要
があります。
4.
User-ID
[ イベントの正規表現 ] フィールドに照合パターンを入
力して、Syslog 内の成功した認証イベントの照合方法を
指定します。たとえば、例の Syslog メッセージに対し
て照合する場合、以下の正規表現は、ファイアウォー
ルで文字列 authentication success の最初の {1} インス
タンスを抽出することを指示します。スペースの前の
円記号は、スペースを特殊文字として扱わないように
正規表現エンジンに指示する標準の正規表現エスケー
プ文字です : (authentication\ success){1}
[ ユーザー名の正規表現 ] フィールドに認証成功メッ
セージ内のユーザー名の先頭を識別するための正
規表現を入力します。たとえば、正規表現
User:([a-zA-Z0-9\\\._]+) は例のメッセージの文字列
User:johndoe1 に一致し、acme\johndoe1 を User-ID と
して抽出します。
Syslog にドメイン情報が含まれておらず、ユー
ザーマッピングにドメイン名が必要な場合は、
ステップ 5 でモニター対象サーバーエントリを
定義するときに必ず [ デフォルトドメイン名 ] を
入力します。
[ アドレスの正規表現 ] フィールドに認証成功メッ
セージの IP アドレス部分を識別するための正規表
現を入力します。たとえば、正規表現 Source:([0-9]
{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}) は、IPv4
アドレス（例の Syslog 内の Source:192.168.0.212）に
一致します。
[OK] をクリックします。
313
IP アドレス対ユーザーのマッピング
User-ID
Syslog 送信元からのユーザーマッピングの収集（続き）
ステップ 4
解析の [タイプ] として [フィー 1.
ルド識別子 ] を選択した場合、
認証イベントを識別し、ユー
ザーマッピング情報を抽出す
るための文字列照合パターン
を定義します。
2.
下の例は、以下の形式の Syslog
メッセージを照合するフィール
ド識別子設定を示しています。
[Tue Jul 5 13:15:04 2005 CDT] Administrator
authentication success User:johndoe1
Source:192.168.3.212
[ユーザー名のプレフィックス] フィールドに認証 Syslog
メッセージ内のユーザー名フィールドの先頭を識別す
るために照合する文字列を入力します。たとえば、文
字列 User: は、例の Syslog 内のユーザー名フィールド
の先頭を識別します。
3.
認証 Syslog メッセージ内のユーザー名フィールドの終
了を示す [ ユーザー名の区切り文字 ] を入力します。た
とえば、ユーザー名の後にスペースがある場合、\s を
入力して例のログ内のユーザー名フィールドが単独ス
ペースで区切られていることを示します。
4.
[ アドレスプレフィックス ] フィールドに認証イベント
ログ内の IP アドレスフィールドの先頭を識別するた
めに照合する文字列を入力します。たとえば、文字列
Source: は、例のログ内のアドレスフィールドの先頭
を識別します。
Syslog で単独のスペース
5.
またはタブが区切り文字
として使用されている場
合、エージェントが
Syslog を解析するには、
\s（スペース）または \t
（タブ）を使用する必要 6.
があります。
314
[ イベントの文字列 ] フィールドに照合パターンを入力
して、Syslog 内の成功した認証イベントの照合方法を
指定します。たとえば、例の Syslog メッセージに照合
させる場合、Syslog 内の認証イベントを識別するには
文字列 authentication success を入力します。
認証成功メッセージ内の IP アドレスフィールドの終
了を示す [ アドレスの区切り文字 ] を入力します。たと
えば、アドレスの後に改行がある場合、\n を入力して
アドレスフィールドが改行で区切られていることを示
します。
[OK] をクリックします。
User-ID
IP アドレス対ユーザーのマッピング
User-ID
Syslog 送信元からのユーザーマッピングの収集（続き）
ステップ 5
ユーザーマッピングのために 1.
ファイアウォールに Syslog メッ
セージを送信するサーバーを 2.
定義します。
仮想システムごとに最大 50 個
の Syslog 送信元、合計で最大
100 台のモニター対象サーバー
（Syslog 送信元、Microsoft Active
Directory、Microsoft Exchange、
Novell eDirectory サーバーを含
む）を定義できます。ファイア
ウォールは、このリストにない
サーバーから受信した Syslog
メッセージは破棄します。
画面の [ サーバーモニタリング ] セクションで [ 追加 ]
をクリックします。
3.
サーバーの [ 名前 ] と [ ネットワークアドレス ] を入力
します。
4.
サーバーの [ タイプ ] として [Syslog Sender] を選択し
ます。
5.
[ 有効 ] チェックボックスがオンになっていることを確
認します。
6.
（任意）認証デバイスが送信する Syslog のログインイ
ベントログにドメイン情報が含まれていない場合、
ユーザーマッピングに追加する [ デフォルトドメイン
名 ] を入力します。
SSL を使用して接続して
7.
いる Syslog 送信元は、ア
クティブな SSL 接続があ
るときに [ 状態 ] に [ 接
続済み ] とだけ表示され
ます。UDP を使用して
いる Syslog 送信元は、
[状態] の値が表示されま
せん。
User-ID
[Device] > [User-ID] > [ ユーザーマッピング ] の順に選
択します。
[OK] をクリックして設定を保存します。
315
IP アドレス対ユーザーのマッピング
User-ID
Syslog 送信元からのユーザーマッピングの収集（続き）
ステップ 6
ユーザーマッピングに使用する 1.
インターフェイスに関連付け
られた管理プロファイル内で
Syslog リスナーサービスを有効
にします。
2.
[Network] > [ ネットワークプロファイル ] > [ インター
フェイス管理 ] の順に選択します。次に、編集するイ
ンターフェイスプロファイルを選択するか、[ 追加 ] を
クリックし、新しいプロファイルを作成します。
サーバーモニターリスト内の Syslog 送信元をセット
アップしたときに定義したプロトコルに応じて
[User-ID Syslog リスナー SSL] または [User-ID Syslog
リスナー UDP] を選択します。
Windows User-ID エージェント上では、UDP また
は TCP 上の Syslog に対するデフォルトのリスニ
ングポートは 514 ですが、ポート値は設定可能
です。ファイアウォール上のエージェントレス
ユーザーマッピング機能では、UDP および SSL
上の Syslog のみがサポートされており、リスニ
ングポート（UDP は 514、SSL は 6514）は設定
可能ではありません。リスニングポートは管理
サービスを通じてのみ有効にできます。
3.
[OK] をクリックして、インターフェイス管理プロファ
イルを保存します。
インターフェイス上で User-ID Syslog リスナー
サービスを有効にした後でも、インターフェイス
が Syslog 接続を受けつけるのは、User-ID のモニ
ター対象サーバー設定内に対応するエントリがあ
るサーバーからのみです。リスト上にないサー
バーからの接続やメッセージは破棄されます。
ステップ 7
316
設定を保存します。
設定を保存するには [ コミット ] をクリックします。
User-ID
IP アドレス対ユーザーのマッピング
User-ID
Syslog 送信元からのユーザーマッピングの収集（続き）
ステップ 8
ファイアウォールへの SSH コネクションを開き、以下の CLI コマンドを実行することに
よって設定を確認します。
特定の Syslog 送信元の状態を表示するには、以下のコマンドを実行します。
admin@PA-5050> show user server-monitor state Syslog2
UDP Syslog Listener Service is enabled
SSL Syslog Listener Service is enabled
Proxy: Syslog2(vsys: vsys1)
Host: Syslog2(10.5.204.41)
number of log messages
:
number of auth. success messages
:
number of active connections
:
total connections made
:
1000
1000
0
4
Syslog 送信元から受信したログメッセージの数およびマッピングに成功したエントリの数を表示するには、以下の
コマンドを実行します。
admin@PA-5050> show user server-monitor statistics
Directory Servers:
Name
TYPE
Host
Vsys
Status
----------------------------------------------------------------------------AD
AD
10.2.204.43
vsys1
Connected
Syslog Servers:
Name
Connection Host
Vsys
Status
----------------------------------------------------------------------------Syslog1
UDP
10.5.204.40
vsys1
N/A
Syslog2
SSL
10.5.204.41
vsys1
Not connected
Syslog 送信元を通じて検出されたユーザーマッピングの数を表示するには、以下のコマンドを実行します。
admin@PA-5050> show user ip-user-mapping all type SYSLOG
IP
axTimeout(s)
--------------192.168.3.8
476
192.168.5.39
480
192.168.2.147
476
192.168.2.175
476
192.168.4.196
480
192.168.4.103
480
192.168.2.193
476
192.168.2.119
476
192.168.3.176
478
Vsys
From
User
IdleTimeout(s) M
------ ------- -------------------------------- -------------- vsys1 SYSLOG acme\jreddick
2476
2
vsys1
SYSLOG
acme\jdonaldson
2480
2
vsys1
SYSLOG
acme\ccrisp
2476
2
vsys1
SYSLOG
acme\jjaso
2476
2
vsys1
SYSLOG
acme\jblevins
2480
2
vsys1
SYSLOG
acme\bmoss
2480
2
vsys1
SYSLOG
acme\esogard
2476
2
vsys1
SYSLOG
acme\acallaspo
2476
2
vsys1
SYSLOG
acme\jlowrie
2478
2
Total: 9 users
Syslog リスナーとしての Windows User-ID エージェントの設定
以下のワークフローは、Windows ベースの User-ID エージェントが認証サービスからの Syslog を
リッスンするように設定する方法を示しています。
Windows User-ID エージェントは、TCP および UDP 上でのみ Syslog を受け入れます。
User-ID
317
IP アドレス対ユーザーのマッピング
User-ID
Windows User-ID エージェントが Syslog 送信元からユーザーマッピングを収集するための設定
ステップ 1
User-ID エージェントアプリケー 1.
ションを起動します。
[ スタート ] をクリックし、[User-ID エージェント ] を
選択します。
ステップ 2
Syslog メッセージから User-ID の 1.
IP アドレス対ユーザー名マッ
ピング情報を抽出するための
Syslog フィルタを手動で定義し
ます。
認証サービスが生成した Syslog をレビューし、ログイン
イベントの構文を特定する。これにより、ファイア
ウォールが Syslog から認証イベントを識別および抽出す
るための照合パターンを作成できるようになります。
User-ID エージェントで解析す
るためには、Syslog メッセージ
は以下の条件を満たす必要が
あります。
• 各 Syslog メッセージは 1 行の
文字列であること。改行は 2.
キャリッジリターンとニュー
ライン (\r\n) またはニュー
ライン (\n) で区切られてい 3.
ること。
• 個々の Syslog メッセージの最 4.
大許容サイズは 2048 バイト。 5.
• UDP 上で送信された Syslog
メッセージは 1 つのパケッ
トに含まれること。SSL 上で
送信されたメッセージは複
数パケットにまたがること
ができる。
• 1 つのパケットは複数の Syslog
メッセージを含むことがで
きる。
318
Syslog をレビュー中に、ログエントリにドメイ
ン名が含まれているかどうかも確認します。認
証ログにドメイン情報が含まれていない場合
は、ステップ 5 でモニター対象サーバーリスト
に Syslog 送信元を追加するときにデフォルトの
ドメイン名を定義することを検討します。
[ ユーザー ID] > [ セットアップ ] の順に選択し、ダイア
ログの [ セットアップ ] セクションの [ 編集 ] をクリッ
クします。
[Syslog] タブで、新しい Syslog 解析プロファイルを [追
加 ] します。
[ プロファイル名 ] と [ 内容 ] を入力します。
以下のオプションのいずれかを選択して、ユーザー
マッピング情報をフィルタ抽出するために使用する解
析の [ タイプ ] を指定します。
• 正規表現 — このタイプの解析では、Syslog メッセー
ジのユーザーマッピング情報を識別して抽出するた
めの検索パターンを示す正規表現を指定します。ス
テップ 3 の正規表現の識別子を作成する手順に進み
ます。
• フィールド — このタイプの解析では、Syslog 内の認
証イベントに一致する文字列を指定し、ユーザー
マッピング情報を識別するプレフィックス、および
サフィックスの文字列を指定します。ステップ 4 の
フィールド識別子を作成する手順に進みます。
User-ID
IP アドレス対ユーザーのマッピング
User-ID
Windows User-ID エージェントが Syslog 送信元からユーザーマッピングを収集するための設定（続き）
ステップ 3
解析の [ タイプ ] として [ 正規 1.
表現 ] を選択した場合、認証イ
ベントを識別し、ユーザー
マッピング情報を抽出するた
めの正規表現照合パターンを
作成します。
下の例は、以下の形式の Syslog
メッセージを照合する正規表
現設定を示しています。
[Tue Jul 5 13:15:04 2005 CDT] Administrator
authentication success User:johndoe1
Source:192.168.3.212
2.
[ イベントの正規表現 ] フィールドに照合パターンを入
力して、Syslog 内の成功した認証イベントの照合方法
を指定します。たとえば、例の Syslog メッセージに対
して照合する場合、以下の正規表現は、ファイア
ウォールで文字列 authentication success の最初の {1}
インスタンスを抽出することを指示します。スペース
の前の円記号は、スペースを特殊文字として扱わない
ように正規表現エンジンに指示する標準の正規表現エ
スケープ文字です : (authentication\ success){1}
[ ユーザー名の正規表現 ] フィールドに認証成功メッセー
ジ内のユーザー名の先頭を識別するための正規表現を入
力します。たとえば、正規表現 User:([a-zA-Z0-9\\\._]+)
は例のメッセージの文字列 User:johndoe1 に一致し、
acme\johndoe1 を User-ID として抽出します。
Syslog にドメイン情報が含まれておらず、ユー
ザーマッピングにドメイン名が必要な場合は、
ステップ 5 でモニター対象サーバーエントリを
定義するときに必ず [ デフォルトドメイン名 ] を
入力します。
3.
Syslog で単独のスペース
またはタブが区切り文字
として使用されている場
合、エージェントが
Syslog を解析するには、
\s（スペース）または \t 4.
（タブ）を使用する必要
があります。
User-ID
[ アドレスの正規表現 ] フィールドに認証成功メッセー
ジの IP アドレス部分を識別するための正規表現を入力
します。たとえば、正規表現 Source:([0-9]
{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}) は、IPv4
アドレス（例の Syslog 内の Source:192.168.0.212）に
一致します。
[OK] をクリックしてプロファイルを保存します。
319
IP アドレス対ユーザーのマッピング
User-ID
Windows User-ID エージェントが Syslog 送信元からユーザーマッピングを収集するための設定（続き）
ステップ 4
解析の [タイプ] として [フィー 1.
ルド識別子 ] を選択した場合、
認証イベントを識別し、ユー
ザーマッピング情報を抽出す
るための文字列照合パターン
を定義します。
2.
下の例は、以下の形式の Syslog
メッセージを照合するフィール
ド識別子設定を示しています。
[Tue Jul 5 13:15:04 2005 CDT] Administrator
authentication success User:johndoe1
Source:192.168.3.212
ステップ 5
320
[ イベントの文字列 ] フィールドに照合パターンを入力
して、Syslog 内の成功した認証イベントの照合方法を
指定します。たとえば、例の Syslog メッセージに照合
させる場合、Syslog 内の認証イベントを識別するには
文字列 authentication success を入力します。
[ ユーザー名のプレフィックス ] フィールドに認証 Syslog
メッセージ内のユーザー名フィールドの先頭を識別す
るために照合する文字列を入力します。たとえば、文
字列 User: は、例の Syslog 内のユーザー名フィールド
の先頭を識別します。
3.
認証 Syslog メッセージ内のユーザー名フィールドの終
了を示す [ ユーザー名の区切り文字 ] を入力します。た
とえば、ユーザー名の後にスペースがある場合、\s を
入力して例のログ内のユーザー名フィールドが単独ス
ペースで区切られていることを示します。
4.
[ アドレスプレフィックス ] フィールドに認証イベント
ログ内の IP アドレスフィールドの先頭を識別するた
めに照合する文字列を入力します。たとえば、文字列
Source: は、例のログ内のアドレスフィールドの先頭
を識別します。
Syslog で単独のスペース 5.
またはタブが区切り文字
として使用されている場
合、エージェントが
Syslog を解析するには、
\s（スペース）または \t 6.
（タブ）を使用する必要
があります。
認証成功メッセージ内の IP アドレスフィールドの終
了を示す [ アドレスの区切り文字 ] を入力します。たと
えば、アドレスの後に改行がある場合、\n を入力して
アドレスフィールドが改行で区切られていることを示
します。
エージェント上でリスニング 1.
サービスを有効にします。
[Syslog サービスを有効にする ] チェックボックスをオ
ンにします。
2.
（任意）[Syslog サービスポート ] 番号を Syslog 送信元
で使用されているポート番号と一致するように変更し
ます（デフォルトは 514）。
3.
エージェントの Syslog 設定を保存するには、[OK] をク
リックします。
[OK] をクリックしてプロファイルを保存します。
User-ID
IP アドレス対ユーザーのマッピング
User-ID
Windows User-ID エージェントが Syslog 送信元からユーザーマッピングを収集するための設定（続き）
ステップ 6
ステップ 7
User-ID
User-ID エージェントに Syslog 1.
メッセージを送信するサー 2.
バーを定義します。
[ ユーザー ID] > [ 検出 ] の順に選択します。
最大 100 個の Syslog 送信元を定 3.
義できます。User-ID エージェ
ントは、このリストにない 4.
サーバーから受信した Syslog
メッセージは破棄します。
5.
エージェントに Syslog を送信するサーバーの [ 名前 ] と
[ サーバーアドレス ] を入力します。
6.
（任意）認証デバイスが送信する Syslog のログインイ
ベントログにドメイン情報が含まれていない場合、
ユーザーマッピングに追加する [ デフォルトドメイン
名 ] を入力します。
7.
[OK] をクリックして設定を保存します。
設定を保存します。
画面の [ サーバー] セクションで [ 追加 ] をクリックし
ます。
[ サーバータイプ ] として [Syslog Sender] を選択し
ます。
ステップ 2 で定義した [ フィルタ ] を選択します。
設定を保存するには [ コミット ] をクリックします。
321
IP アドレス対ユーザーのマッピング
User-ID
Windows User-ID エージェントが Syslog 送信元からユーザーマッピングを収集するための設定（続き）
ステップ 8
ファイアウォールへの SSH コネクションを開き、以下の CLI コマンドを実行することによっ
て設定を確認します。
特定の Syslog 送信元の状態を表示するには、以下のコマンドを実行します。
admin@PA-5050> show user server-monitor state Syslog2
UDP Syslog Listener Service is enabled
SSL Syslog Listener Service is enabled
Proxy: Syslog2(vsys: vsys1)
Host: Syslog2(10.5.204.41)
number of log messages
:
number of auth. success messages
:
number of active connections
:
total connections made
:
1000
1000
0
4
Syslog 送信元から受信したログメッセージの数およびマッピングに成功したエントリの数を表示するには、以下の
コマンドを実行します。
admin@PA-5050> show user server-monitor statistics
Directory Servers:
Name
TYPE
Host
Vsys
Status
----------------------------------------------------------------------------AD
AD
10.2.204.43
vsys1
Connected
Syslog Servers:
Name
Connection Host
Vsys
Status
----------------------------------------------------------------------------Syslog1
UDP
10.5.204.40
vsys1
N/A
Syslog2
SSL
10.5.204.41
vsys1
Not connected
Syslog 送信元を通じて検出されたユーザーマッピングの数を表示するには、以下のコマンドを実行します。
admin@PA-5050> show user ip-user-mapping all type SYSLOG
IP
axTimeout(s)
--------------192.168.3.8
476
192.168.5.39
480
192.168.2.147
476
192.168.2.175
476
192.168.4.196
480
192.168.4.103
480
192.168.2.193
476
192.168.2.119
476
192.168.3.176
478
Vsys
From
User
IdleTimeout(s) M
------ ------- -------------------------------- -------------- vsys1 SYSLOG acme\jreddick
2476
2
vsys1
SYSLOG
acme\jdonaldson
2480
2
vsys1
SYSLOG
acme\ccrisp
2476
2
vsys1
SYSLOG
acme\jjaso
2476
2
vsys1
SYSLOG
acme\jblevins
2480
2
vsys1
SYSLOG
acme\bmoss
2480
2
vsys1
SYSLOG
acme\esogard
2476
2
vsys1
SYSLOG
acme\acallaspo
2476
2
vsys1
SYSLOG
acme\jlowrie
2478
2
Total: 9 users
322
User-ID
IP アドレス対ユーザーのマッピング
User-ID
キャプティブポータルを使用した IP アドレス対ユーザー名のマッピング
User-ID が有効になっていて送信元 IP アドレスにユーザーデータが関連付けられていないゾー
ンからの要求をファイアウォールが受信した場合、そのキャプティブポータルポリシーで一致
をチェックして認証を実行するかどうかを決定します。これは、Linux クライアントなど、ドメ
インサーバーにログインしていないクライアントがある環境で役立ちます。このユーザーマッ
ピング方法は、セキュリティルール / ポリシーに一致し、別の方法を使用してマッピングされ
ていない Web トラフィック（HTTP または HTTPS）でのみトリガーされます。

キャプティブポータルの認証方法

キャプティブポータルのモード

キャプティブポータルの設定
キャプティブポータルの認証方法
キャプティブポータルでは、要求がキャプティブポータルのポリシーと一致すると、以下の方
法によりユーザーデータをクライアントから取得します。
認証方法
説明
NTLM 認証
ファイアウォールでは、暗号化されたチャレンジレスポンス機構を使
用して、ユーザーの認証情報をブラウザから入手します。適切に設定
されている場合、ブラウザはユーザーに入力を求めずに透過的にファ
イアウォールに認証情報を提供しますが、必要に応じて認証情報の入
力を求めるメッセージが表示されます。ブラウザが NTLM を実行でき
ない場合、または NTLM 認証に失敗した場合、キャプティブポータル
設定に応じてファイアウォールは Web フォームまたはクライアント証
明書の認証に戻ります。
デフォルトでは、IE で NTLM がサポートされています。Firefox と
Chrome は、NLTM を使用するように設定できます。Windows 以外のク
ライアントの認証には NTLM を使用できません。
Web フォーム
要求が Web フォームにリダイレクトされ認証されます。ローカルユー
ザーデータベース、RADIUS、LDAP、または Kerberos を使用してユー
ザーを認証するようにキャプティブポータルを設定できます。ユー
ザーは常に認証情報を要求されますが、この認証方法は、すべてのブ
ラウザおよびオペレーティングシステムと連動します。
クライアント証明書の認証
有効なクライアント証明書をブラウザに要求してユーザーを認証しま
す。この方法を使用するには、各ユーザーシステムのクライアント証
明書をプロビジョニングし、ファイアウォールでそれらの証明書を発
行するために使用する信頼された CA 証明書をインストールする必要が
あります。これは、Mac OS および Linux クライアントでメッセージを
表示しない認証を有効にする唯一の認証方法です。
User-ID
323
IP アドレス対ユーザーのマッピング
User-ID
キャプティブポータルのモード
キャプティブポータルのモードにより、Web 要求をキャプチャして認証を行う方法が定義され
ます。
モード
説明
メッセージを表示しない
キャプティブポータルルールに従い、ファイアウォールがブラウザの
トラフィックを遮断して元の宛先 URL になりすまし、HTTP 401 を発行
して認証を呼び出します。ただし、ファイアウォールには宛先 URL の
実際の証明書がないため、保護されたサイトへのアクセスを試みる
ユーザーのブラウザには証明書エラーが表示されます。したがって、
このモードはレイヤー 2 やバーチャルワイヤーのデプロイメントな
ど、絶対に必要な場合にのみ使用してください。
リダイレクト
ファイアウォールが不明な HTTP または HTTPS セッションを遮断し、
認証を実行するための HTTP 302 リダイレクトにより、それらのセッ
ションをファイアウォールのレイヤー 3 インターフェイスにリダイレ
クトします。より優れたエンドユーザー体験（証明書エラーなし）が
提供されるため、このモードの使用をお勧めします。ただし、追加の
レイヤー 3 設定が必要です。[ リダイレクト ] モードのもう 1 つの利点は
セッション Cookie を使用できることで、タイムアウトが発生するたび
に再度マッピングする必要なしに、ユーザーが継続して認証済みサイ
トを閲覧できます。ある IP アドレスから別の IP アドレス（企業 LAN
から無線ネットワークなど）にローミングするユーザーは、セッショ
ンが開かれている限り IP アドレスが変化しても再認証する必要がない
ため、このモードが特に役立ちます。さらに、NTLM 認証を使用する
場合、ブラウザは信頼されたサイトにのみ認証情報を提供するため、
[ リダイレクト ] モードを使用する必要があります。
キャプティブポータルの設定
以下の手順では、PAN-OS 統合 User-ID エージェントを使用するキャプティブポータルを設定
し、キャプティブポータルポリシーに一致する要求を、ファイアウォールのレイヤー 3 イン
ターフェイスにリダイレクトする方法を示します。
他の User-ID 機能（ユーザーマッピングおよびグループマッピング）を使用せずにキャプ
ティブポータルを使用する場合は、エージェントを設定する必要はありません。
324
User-ID
IP アドレス対ユーザーのマッピング
User-ID
PAN-OS 統合 User-ID エージェントを使用したキャプティブポータルの設定
今回の製品のリリースでは、ファイアウォールが MGT イ
ンターフェイスを介してサーバーと通信する必要があるた
め、このインターフェイスからディレクトリサーバーが存
在するネットワークにアクセスできることを確認する必要
があります。お使いの環境でこの設定が機能しない場合、
Windows ベースの User-ID エージェントを使用してキャプ
ティブポータルを設定する必要があります。
ステップ 1
ファイアウォールに、ユーザー
データを収集するためにモニタ
リングするサーバー（ドメイン
コントローラ、Exchange Server
など）へのルートが存在するこ
とを確認します。
ステップ 2
ドメインコントローラのアド正しく名前が解決されていることを確認するには、サー
レスを解決するように DNS がバーの FQDN を ping します。例 :
設定されていることを確認し admin@PA-200> ping host dc1.acme.com
ます。
ステップ 3
（リダイレクトモードのみ） 1.
キャプティブポータルの要求を
リダイレクトするレイヤー 3 イ
ンターフェイスを作成します。
管理プロファイルを作成して、インターフェイスに
キャプティブポータルの応答ページを表示できるよう
にします。
a. [Network] > [ インターフェイス管理 ] の順に選択し、
[ 追加 ] をクリックします。
b. [ 名前 ] フィールドにプロファイル名を入力し、[ 応
答ページ ] を選択してから [OK] をクリックします。
User-ID
2.
レイヤー 3 インターフェイスを作成します。作成した管
理プロファイルが関連付けられていることを確認しま
す（[Ethernet インターフェイス ] ダイアログの [ 詳細 ] >
[ その他の情報 ] タブ）。
3.
レイヤー 3 インターフェイスで設定した IP アドレスと
イントラネットのホスト名（ntlmhost など、名前に
ドットが含まれないホスト名）をマッピングする DNS
の「A」レコードを作成します。
325
IP アドレス対ユーザーのマッピング
User-ID
PAN-OS 統合 User-ID エージェントを使用したキャプティブポータルの設定（続き）
ステップ 4
自己署名証明書を使用するには、以下のとおり、まずルー
ト CA の証明書を作成してから、その CA を使用してキャ
プティブポータルに使用する証明書に署名する必要があり
ます。
1. ルート CA 証明書を作成するには、[Device] > [ 証明書
の管理 ] > [ 証明書 ] > [ デバイス証明書 ] の順に選択し、
[ 生成 ] をクリックします。[ 証明書名 ] テキストボッ
クスに「RootCA」などの名前を入力します。[ 署名者 ]
フィールドの値を選択すると、その証明書が自己署名
証明書であることを示すため、この値は選択しないで
ください。[ 認証局 ] チェックボックスがオンになって
キャプティブポータル
いることを確認してから [ 生成 ] をクリックすると、証
を初めてセットアップす
明書が生成されます。
る場合、インポートされ
た証明書は機能しませ 2. キャプティブポータルに使用する証明書を作成するに
は、[ 生成 ] をクリックします。[ 証明書名 ] に名前を
ん。インポートされた証
入力し、インターフェイスのイントラネットホストの
明書を使用するには、
DNS 名前を [ 共通名 ] フィールドに入力します。[ 署名
[サーバー証明書] を指定
者
] フィールドで、前の手順で作成した CA を選択しま
せずに初期設定を完了し
す。IP アドレスの属性を追加し、要求のリダイレクト
ます。これでキャプティ
先となるレイヤー3 インターフェイスの IP アドレスを
ブポータルを有効にす
指定します。証明書を [ 生成 ] します。
れば、インポートされた
（リダイレクトモードのみ）証
明書エラーを表示せずにユー
ザーを透過的にリダイレクト
するには、要求をリダイレク
トする IP アドレスに一致する
証明書をインストールしま
す。自己署名証明書を生成す
るか、外部 CA によって証明さ
れた証明書をインポートでき
ます。
証明書に戻って切り替え
ることができます。
3.
326
クライアントが証明書を信頼するように設定するに
は、[ デバイス証明書 ] タブで CA 証明書を選択し、[ エ
クスポート ] をクリックします。次に、証明書を信頼
されたルート CA としてすべてのクライアントブラウ
ザにインポートする必要があります。インポートはブ
ラウザで手動で設定するか、または証明書を Active
Directory のグループポリシーオブジェクト (GPO) の信
頼されたルートに追加します。
User-ID
IP アドレス対ユーザーのマッピング
User-ID
PAN-OS 統合 User-ID エージェントを使用したキャプティブポータルの設定（続き）
ステップ 5
Web フォームが呼び出された場 1.
合に使用する認証方式を設定
します。NTLM を使用する場合
でも、NTLM 認証に失敗した場
合や、ユーザーエージェント
で NTLM 認証がサポートされ
ていない場合に使用できる、
二次的な認証方式として設定
する必要があります。
使用する予定の認証サービスに接続して認証情報にアク
セスできるように、ファイアウォールを設定します。
ベストプラクティス :
• ローカルデータベース認証を使用する場合、まず
ローカルデータベースを作成する必要があります。
[Device] > [ ローカルユーザーデータベース ] の順に
選択し、認証するユーザーおよびグループを追加し
ます。
•RADIUS を使用してユー
ザーを Web フォームから
認証する場合、RADIUS
ドメインを入力する必要
があります。このドメイ 2.
ンは、ユーザーがログイ
ン時にドメインを指定し
ない場合のデフォルトと
して使用されます。
•AD を使用してユーザー
を Web フォームから認
証する場合、
[sAMAccountName] を
[LogonAttribute] として入
力する必要があります。
User-ID
• LDAP、Kerberos または RADIUS を使用して認証を行
う場合、サービスへの接続方法と、ユーザーの認証
情報にアクセスする方法をファイアウォールに指示
するサーバープロファイルを作成する必要がありま
す。[Device] > [ サーバープロファイル ] の順に選択
し、アクセスする特定サービスの新しいプロファイ
ルを追加します。
サーバープロファイルまたは先ほど作成したローカル
ユーザーデータベースを参照する認証プロファイルを
作成します。[Device] > [ 認証プロファイル ] の順に選
択し、キャプティブポータルで使用する新しいプロ
ファイルを追加します。特定のタイプの認証プロファ
イル作成の詳細は、オンラインヘルプを参照してくだ
さい。
327
IP アドレス対ユーザーのマッピング
User-ID
PAN-OS 統合 User-ID エージェントを使用したキャプティブポータルの設定（続き）
ステップ 6
（任意）クライアント証明書 1.
の認証を設定します。認証プ
ロファイルとクライアント証 2.
明書のプロファイルを両方設
3.
定しなくても、キャプティブ
ポータルは使用できます。両
方設定する場合は、両方の認
証方式でユーザーを認証する
必要があります。
キャプティブポータルを使用して認証を行うユーザー
ごとに証明書を生成します。
Base64 形式で CA 証明書をダウンロードします。
クライアント証明書を生成した CA からファイアウォー
ルに、ルート CA 証明書をインポートします。
a. [Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス
証明書 ] の順に選択し、[ インポート ] をクリックし
ます。
b. [ 証明書名 ] フィールドに、クライアント CA 証明書
であることを識別できる名前を入力します。
CRL と OCSP のどちらを
使用するかなど、その他
の証明書プロファイル
フィールドの詳細は、オ
ンラインヘルプを参照
してください。
c. [ 参照 ] をクリックして、CA からダウンロードした
証明書ファイルを選択します。
d. [Base64 エンコード済み証明書 (PEM)] を [ ファイル
フォーマット ] フィールドで選択し、[OK] をクリッ
クします。
e. [ デバイス証明書 ] タブで、先ほどインポートした証
明書を選択して開きます。
f. [ 信頼されたルート CA] を選択して [OK] をクリック
します。
4.
キャプティブポータルの設定に使用する、クライアン
トの証明書プロファイルを作成します。
a. [Device] > [ 証明書 ] > [ 証明書の管理 ] > [ 証明書プ
ロファイル ] の順に選択し、[ 追加 ] をクリックして
[ 名前 ] フィールドにプロファイル名を入力します。
b. [ユーザー名フィールド] ドロップダウンリストから、
User-ID の情報を含む証明書を選択します。
c. [CA 証明書 ] フィールドで [ 追加 ] をクリックし、イ
ンポートした「信頼されたルート CA」の証明書を
選択してから [OK] をクリックします。
328
User-ID
IP アドレス対ユーザーのマッピング
User-ID
PAN-OS 統合 User-ID エージェントを使用したキャプティブポータルの設定（続き）
ステップ 7
NTLM 認証を有効にします。
1.
デバイス上の User-ID エー
ジェントを使用する場
合、ファイアウォールが 2.
ドメインに参加するに
は、ファイアウォールで 3.
ドメインコントローラの
DNS 名を正常に解決でき
るようにする必要があり 4.
ます。以下で指定する認
証情報が使用され、DNS
の名前が解決された時点
でファイアウォールがド
メインに参加します。
User-ID
[Device] > [ ユーザー ID] > [ ユーザーマッピング ] の順
に選択し、画面の [Palo Alto Networks ユーザー ID エー
ジェント設定 ] セクションを編集します。
[NTLM] タブで [NTLM 認証処理の有効化 ] チェックボッ
クスをオンにします。
ファイアウォールの User-ID エージェントが NTLM 認
証情報を確認する対象となる NTLM ドメインを入力し
ます。
「統合 User-ID エージェントを使用した IP アドレス対
ユーザーのマッピング」のステップ 1で NTLM 認証用に
作成した Active Directory アカウントのユーザー名とパス
ワードを入力します。
329
IP アドレス対ユーザーのマッピング
User-ID
PAN-OS 統合 User-ID エージェントを使用したキャプティブポータルの設定（続き）
ステップ 8
キャプティブポータルを設定し 1.
ます。
[Device] > [ ユーザー ID] > [ キャプティブポータルの設
定 ] の順に選択し、画面の [ キャプティブポータル ] セ
クションを編集します。
2.
[ 有効 ] チェックボックスがオンになっていることを確
認します。
3.
[ モード ] を設定します。この例では、[ リダイレクト ]
モードの設定方法について説明します。
4.
（リダイレクトモードのみ）[ サーバー証明書 ] で、
ファイアウォールが SSL 経由で要求のリダイレクトに
使用する証明書を選択します。この証明書は、ステッ
プ 4 で作成した証明書です。
5.
（リダイレクトモードのみ）[ ホストのリダイレクト ]
フィールドでホストを指定します。これは、ステッ
プ 3 で指定したように要求のリダイレクトに使用する
レイヤー 3 インターフェイスの IP アドレスに解決され
るイントラネットのホスト名です。
6.
NTLM が失敗した場合（または NTLM を使用しない場
合）に使用する認証方式を選択します。
• LDAP、Kerberos、RADIUS、またはローカルデータ
ベース認証を使用する場合、[ 認証プロファイル ]
フィールドで、ステップ 5 で作成したプロファイル
を選択します。
• クライアント証明書の認証を使用する場合、[ 証明書
プロファイル ] フィールドで、ステップ 6 で作成し
た証明書を選択します。
330
7.
[OK] をクリックして、設定を保存します。
8.
[Commit] をクリックしてキャプティブポータルの設定
を保存します。
User-ID
IP アドレス対ユーザーのマッピング
User-ID
ターミナルサーバーユーザー向けのユーザーマッピング設定
個々のターミナルサーバーユーザーは同じ IP アドレスを持っているように見えるため、IP ア
ドレスからユーザー名へのマッピングは、特定のユーザーを識別するのに十分ではありませ
ん。Windows ベースのターミナルサーバー上の特定のユーザーを識別できるようにするため、
Palo Alto Networks ターミナルサービスエージェント（TS エージェント）は各ユーザーにポート
範囲を割り当てます。その後、接続されているすべてのファイアウォールに、割り当てたポー
ト範囲について通知します。これにより、ファイアウォールは IP アドレス対ポート対ユーザー
のマッピングテーブルを作成し、ユーザーベースおよびグループベースのセキュリティポリ
シーを実施できるようになります。Windows 以外のターミナルサーバーに対しては、User-ID
XML API を設定してユーザーマッピング情報を抽出できます。
以下のセクションでは、ターミナルサーバーユーザーのユーザーマッピング設定方法につい
て説明します。

Palo Alto Networks ターミナルサーバーエージェントのユーザーマッピング設定

User-ID XML API を使用したターミナルサーバーからのユーザーマッピングの取得
Palo Alto Networks ターミナルサーバーエージェントのユーザーマッピング設定
TS エージェントをターミナルサーバーにインストールするには、以下の手順を実行します。す
べてのユーザーを正しくマッピングするには、ユーザーがログインするすべてのターミナル
サーバー上に TS エージェントをインストールする必要があります。
TS エージェントでサポートされるターミナルサーバーの詳細は、Palo Alto Networks の『ソフ
トウェア更新』ページから入手できる『ターミナルサービスエージェントリリースノート』
の「TS エージェントのオペレーティングシステム (OS) 互換性」を参照してください。
Windows ターミナルサーバーエージェントのインストール
ステップ 1
User-ID
TS エージェントインストーラ 1.
をダウンロードします。
2.
『Palo Alto Networks サポート』サイトにログインします。
[Manage Devices（デバイスの管理）] セクションの
[Software Updates（ソフトウェア更新）] を選択します。
3.
[ ターミナルサービスエージェント ] セクションまで
スクロールし、インストールするエージェントのバー
ジョンを [ ダウンロード ] します。
4.
エージェントをンストールするシステム上に
TaInstall64.x64-x.x.x-xx.msi ファイルまたは
TaInstall-x.x.x-xx.msi ファイルを保存します
（Windows システムが 32 ビット OS または 64 ビット
OS のどちらを実行しているかによって適切なバー
ジョンを選択する必要があります）。
331
IP アドレス対ユーザーのマッピング
User-ID
Windows ターミナルサーバーエージェントのインストール（続き）
ステップ 2
管理者としてインストーラを 1.
実行します。
管理者としてコマンドプロンプトを起動するには、[ ス
タート ] をクリックし、[ コマンドプロンプト ] を右ク
リックして [ 管理者として実行 ] を選択します。
2.
コマンドラインから、ダウンロードした .msi ファイル
を実行します。たとえば、.msi ファイルをデスクトッ
プに保存した場合、以下のように入力します。
C:\Users\administrator.acme>cd Desktop
C:\Users\administrator.acme\Desktop>TaInstall-6.0.
0-1.msi
3.
デフォルトの設定を使用してエージェントをインス
トールするには、セットアッププロンプトに従いしま
す。デフォルトでは、エージェントは C:\Program Files
(x86)\Palo Alto Networks\Terminal Server Agent フォ
ルダにインストールされますが、[ 参照 ] をクリックし
て別の場所を指定することもできます。
4.
インストールの完了後、[ 閉じる ] をクリックしてセッ
トアップウィンドウを閉じます。
既存の TS エージェントよりもドライバが新しい
TS エージェントにアップグレードする場合、新
しいドライバを使用するにはアップグレード後
にシステムを再起動する必要があることを示す
プロンプトがインストールウィザードで表示さ
れます。
ステップ 3
332
ターミナルサーバーエージェ [ スタート ] をクリックし、[ ターミナルサーバーエージェ
ントアプリケーションを起動ント ] を選択します。
します。
User-ID
IP アドレス対ユーザーのマッピング
User-ID
Windows ターミナルサーバーエージェントのインストール（続き）
ステップ 4
TS エージェントがエンドユー 1.
ザーに割り当てるポートの範 2.
囲を定義します。
[ 送信元ポート割り当て範囲 ] を設定します（デフォル
トは 20000-39999）。これは、TS エージェントがユー
ザーマッピングに割り当てるポート番号の全範囲で
す。指定するポート範囲は [ システム送信元ポート割り
当て範囲 ] と重複しないようにする必要があります。
3.
（任意）送信元ポート割り当て内で TS エージェント
がユーザーセッションに割り当てないようにするポー
トまたはポート範囲を指定するには、[予約済み送信元
ポート ] として指定します。複数の範囲を含めるに
は、スペースを入れずにカンマを使用します。例 :
2000-3000,3500,4000-5000。
4.
[ ユーザーごとのポート割り当て開始サイズ ] フィール
ドに、ターミナルサーバーにログインしたときに各個
人ユーザーに割り当てるポート数を指定します（デ
フォルトは 200）。
[ システム送信元ポート
割り当て範囲 ] フィール
ドおよび [システム予約済 5.
み送信元ポート] フィール
ドは、非ユーザーセッ
ションに割り当てられる 6.
ポートの範囲を指定しま
す。これらのフィールド
に指定した値がユーザー
トラフィックに指定する
ポートと重複しないよう
にします。これらの値
は、対応する Windows の
レジストリ設定を編集す
ることによってのみ変更
できます。
User-ID
[ 設定 ] を選択します。
[ ユーザーごとのポート割り当て最大サイズ ] を指定し
ます。これは、ターミナルサーバーエージェントが個
人ユーザーに割り当てられる最大ポート数です。
ユーザーが割り当てられたポートを使い果たした場合
に、そのユーザーからのトラフィックの処理を続行す
るかどうかを指定します。デフォルトでは、[使用可能
なポートを使い果たすとポートバインドに失敗する ]
が選択されています。これは、すべてのポートが使用
された場合には、アプリケーションはトラフィックの
送信に失敗することを示します。ポートを使い果たし
たときにもユーザーがアプリケーションを使用し続け
られるようにするには、このチェックボックスをオフ
にします。このトラフィックは User-ID では識別でき
ない可能性があります。
333
IP アドレス対ユーザーのマッピング
User-ID
Windows ターミナルサーバーエージェントのインストール（続き）
ステップ 5
ステップ 6
334
ファイアウォールがターミナユーザーマッピングの取得のためにターミナルサーバー
ルサーバーエージェントと接エージェントに接続する各ファイアウォールで、以下の手
続するように設定します。
順を実行します。
1. [Device] > [ ユーザー ID] > [ ターミナルサーバーエー
ジェント ] の順に選択し、[ 追加 ] をクリックします。
2.
[ 名前 ] に、ターミナルサーバーエージェントの名前
を入力します。
3.
[ ホスト ] に、ターミナルサーバーエージェントがイ
ンストールされている Windows ホストの IP アドレスを
入力します。
4.
エージェントがユーザーマッピング要求をリッスンす
る [ ポート ] 番号を入力します。この値は、ターミナル
サーバーエージェント上で設定された値と一致する必
要があります。デフォルトでは、ポートは、ファイア
ウォールおよびエージェントで 5009 に設定されます。
これを変更した場合には、ターミナルサーバーエー
ジェントの [ 設定 ] 画面の [ リスニングポート ] フィー
ルドも変更する必要があります。
5.
設定が [ 有効 ] になっていることを確認し、[OK] をク
リックします。
6.
変更を [ コミット ] します。
7.
[ 接続済み ] の状態が接続済み（緑色のライト）と表示
されていることを確認します。
ターミナルサーバーエージェ 1.
ントが IP アドレスをユーザー
名に正しくマッピングしてい
ることと、ファイアウォール
がエージェントに接続できる 2.
ことを確認します。
ターミナルサーバーエージェントを起動し、接続リス
ト内の各デバイスの [ 接続状態 ] が [ 接続済み ] になっ
ていることを確認することにより、ファイアウォール
が接続できることを確認します。
ターミナルサーバーエージェントがポート範囲をユー
ザー名に正しくマッピングしていることを確認するに
は、[ モニタリング ] を選択し、マッピングテーブルに
データが入力されていることを確認します。
User-ID
User-ID
IP アドレス対ユーザーのマッピング
User-ID XML API を使用したターミナルサーバーからのユーザーマッピングの取得
User-ID XML API は、標準 HTTP 要求を使用してデータを送受信する RESTful API です。API 呼
び出しは、cURL などのコマンドラインユーティリティから直接行ったり、RESTful サービスを
サポートする任意のスクリプトまたはアプリケーションフレームワークを使用して行うことが
できます。
非 Windows ターミナルサーバーがユーザーマッピング情報をファイアウォールに直接送信でき
るようにするには、ユーザーのログインおよびログアウトイベントを抽出するスクリプトを作
成し、それを使用して User-ID XML API 要求フォーマットに入力します。その後、cURL または
wget を使用して XML API 要求をファイアウォールに送信するメカニズムおよび、安全な通信の
ためにファイアウォールの API キーを提供するメカニズムを定義します。ターミナルサーバー
などのマルチユーザーシステムからユーザーマッピングを作成するには、以下の API メッセー
ジを使用する必要があります。

<multiusersystem> — ファイアウォール上で XML API マルチユーザーシステムの設定を
セットアップします。このメッセージにより、ターミナルサーバーの IP アドレスの定義が可
能になります（これがそのターミナルサーバー上のすべてのユーザーの送信元アドレスにな
ります）。さらに、<multiusersystem> セットアップメッセージは、ユーザーマッピングに割り
当てる送信元ポート番号の範囲と各個人ユーザーにログイン時に割り当てるポート数（ブロッ
クサイズといいます）を指定します。デフォルトの送信元ポート割り当て範囲 (1025-65534) お
よびブロックサイズ (200) を使用する場合は、ファイアウォールに <multiusersystem> セットアッ
プイベントを送信する必要はありません。ファイアウォールは最初のユーザーログインイベ
ントメッセージを受信したときに自動的にデフォルト設定を使用して XML API マルチユー
ザーシステム設定を生成します。

<blockstart> — <login> および <logout> メッセージと共に使用され、ユーザーに割り当て
られる開始送信元ポート番号を示します。その後、ファイアウォールはブロックサイズを使
用して、ログインメッセージ内の IP アドレスおよびユーザー名にマップする実際のポート
番号範囲を決定します。たとえば、<blockstart> の値が 13200 で、マルチユーザーシステム
に設定されたブロックサイズが 300 の場合、ユーザーに割り当てられる実際の送信元ポート
範囲は 13200 から 13499 までです。ユーザーが開始した各接続は、割り当てられた範囲内で
一意の送信元ポート番号を使用する必要があります。これにより、ファイアウォールは、IP
アドレス対ポート対ユーザーのマッピングに基づいてユーザーを識別し、ユーザーベース、
およびグループベースのセキュリティポリシールールを実施できます。ユーザーが割り当
てられたポートをすべて使い果たした場合、ターミナルサーバーは新しい <login> メッセー
ジを送信する必要があります。これにより新しいポート範囲がユーザーに割り当てられ、
ファイアウォールが IP アドレス対ポート対ユーザーのマッピングを更新できます。さら
に、1 つのユーザー名に同時に複数のポートブロックをマップすることもできます。ファイ
アウォールは、<blockstart> パラメータを含む <logout> メッセージを受信すると、対応する
IP アドレス対ポート対ユーザーのマッピングをマッピングテーブルから削除します。ファ
イアウォールは、ユーザー名と IP アドレスを含み <blockstart> を含まない <logout> メッセー
ジを受信すると、ユーザーをテーブルから削除します。そして、ファイアウォールは、IP ア
ドレスのみを含む <logout> メッセージを受信すると、マルチユーザーシステムとそれに関連
付けられたすべてのマッピングを削除します。
User-ID
335
IP アドレス対ユーザーのマッピング
User-ID
ターミナルサーバーがファイアウォールに送信する XML ファイルには、複数のメッセージタ
イプを含めることができます。メッセージはファイル内で特定の順序である必要はありませ
ん。ただし、複数のメッセージタイプを含む XML ファイルを受信すると、ファイアウォール
は、マルチユーザーシステム要求を最初に処理し、次にログイン、その後にログアウトの順で
処理します。
以下のワークフローは、User-ID XML API を使用してユーザーマッピングを非 Windows ターミ
ナルサーバーからファイアウォールに送信する方法の例を示しています。
User-ID XML API を使用した非 Windows ターミナルサービスユーザーのマッピング
ステップ 1
ファイアウォールと
ターミナルサーバー
の間の API 通信を認
証するために使用さ
れる API キーを生成
します。キーを生成
するには、管理アカ
ウントのログイン認
証情報を提供する必
要があります。すべ
ての管理者（X M L
API 権限を有効にし
たロールベースの管
理者を含む）が API
を使用できます。
パスワード内の
特殊文字は、
URL/ パーセン
トエンコード
にする必要があ
ります。
336
ブラウザから、ファイアウォールにログインします。その後、ファ
イアウォールの API キーを生成するために、新しいブラウザウィン
ドウを開き、以下の URL を入力します。
https://<Firewall-IPaddress>/api/?type=keygen&user=<username>&
password=<password>
ここで、<Firewall-IPaddress> はファイアウォールの IP アドレスま
たは FQDN で、<username> および <password> は、ファイアウォー
ル上の管理ユーザーアカウントの認証情報です。例 :
https://10.1.2.5/api/?type=keygen&user=admin&password=admin
ファイアウォールはキーを含むメッセージで応答します。以下に例
を示します。
<response status="success">
<result>
<key>k7J335J6hI7nBxIqyfa62sZugWx7ot%2BgzEA9UOnlZRg=</key>
</result>
</response>
User-ID
IP アドレス対ユーザーのマッピング
User-ID
User-ID XML API を使用した非 Windows ターミナルサービスユーザーのマッピング（続き）
ステップ 2
（任意）ターミナル以下に、サンプルセットアップメッセージを示します。
サービスエージェン <uid-message>
<payload>
トが使用するポート
<multiusersystem>
範囲およびユーザー
<entry ip="10.1.1.23" startport="20000"
ごとのポートのブ
endport="39999" blocksize="100">
ロックサイズを指
</multiusersystem>
定するためにターミ
</payload>
ナルサーバーが送
<type>update</type>
信するセットアップ
<version>1.0</version>
メッセージを生成し </uid-message>
ます。
ここで、entry ip はターミナルサーバーユーザーに割り当てられる
ターミナルサービス IP アドレスを指定し、startport および endport はポートを個別ユー
エージェントがセッザーに割り当てるときに使用するポートの範囲を指定し、blocksize
トアップメッセージは各ユーザーに割り当てるポート数を指定します。最大ブロックサ
を送信しない場合、イズは 4000 で、各マルチユーザーシステムは最大 1000 個のブロッ
ファイアウォールクを割り当てられます。
は、最初のログインカスタムのブロックサイズやポート範囲を定義する場合、範囲内の
メッセージの受信時すべてのポートが割り当てられ、ギャップや使用されないポートが
に以下のデフォルトないような値を設定する必要があります。たとえば、ポート範囲を
設定を使用して自動 1000-1499 に設定すると、ブロックサイズを 100 に設定することはで
的にターミナルサーきますが、200 に設定することはできません。200 に設定した場合、
バーエージェント設範囲の最後に使用されないポートがあるためです。
定を作成します。
• デフォルトポート
範囲 : 1025 ～ 65534
• ユーザーあたりの
ブロックサイズ: 200
• マルチユーザーシ
ステムの最大数 :
1000
User-ID
337
IP アドレス対ユーザーのマッピング
User-ID
User-ID XML API を使用した非 Windows ターミナルサービスユーザーのマッピング（続き）
ステップ 3
ログインイベントを
抽出するスクリプト
を作成し、ファイア
ウォールに送信する
XML インプットファ
イルを作成します。
スクリプトで実施す
る割り当てのポート
番号範囲が固定され
た境界を持ち、ポー
トの重複がないよう
にします。たとえ
ば、ポート範囲が
1000-1999 でブロック
サイズが 200 の場
合、許容できる
blockstart 値は 1000、
1200、1400、1600、
または 1800 です。
blockstart 値に 1001、
1300、1850 は許容で
きません。これらの
値を使用すると、範
囲内に使用されない
ポート番号が残るた
めです。
以下に、User-ID XML ログインイベントの入力ファイル形式を示し
ます。
<uid-message>
<payload>
<login>
<entry name="acme\jjaso" ip="10.1.1.23" blockstart="20000">
<entry name="acme\jparker" ip="10.1.1.23" blockstart="20100">
<entry name="acme\ccrisp" ip="10.1.1.23" blockstart="21000">
</login>
</payload>
<type>update</type>
<version>1.0</version>
</uid-message>
ファイアウォールはこの情報を使用してユーザーマッピングテー
ブルにデータを入力します。上の例で抽出されたマッピングに基づ
くと、ファイアウォールがソースアドレスおよびポートが
10.1.1.23:20101 のパケットを受信した場合、その要求はポリシー実施
のためにユーザー jparker にマッピングされます。
各マルチユーザーシステムは、最大 1000 個のポートブロッ
クを割り当てられます。
ターミナル
サーバーがファ
イアウォールに
送信するログイ
ンイベントペ
イロードには、
複数のログイン
イベントを含
めることがで
きます。
338
User-ID
IP アドレス対ユーザーのマッピング
User-ID
User-ID XML API を使用した非 Windows ターミナルサービスユーザーのマッピング（続き）
ステップ 4
ログアウトイベント
を抽出するスクリプ
トを作成し、ファイ
アウォールに送信す
る XML インプット
ファイルを作成し
ます。
ファイアウォール
は、blockstart パラ
メータを含む logout
イベントメッセージ
を受信すると、対応
する IP アドレス対
ポート対ユーザーの
マッピングを削除し
ます。logout メッセー
ジにユーザー名と IP
アドレスが含まれ、
blockstart パラメー
タが含まれていない
場合、ファイア
ウォールはそのユー
ザーに対するすべて
のマッピングを削除
します。logout メッ
セージに IP アドレス
のみが含まれている
場合、ファイア
ウォールはそのマル
チユーザーシステム
とすべての関連付け
られたマッピングを
削除します。
User-ID
以下に、User-ID XML ログアウトイベントの入力ファイル形式を示
します。
<uid-message>
<payload>
<logout>
<entry name="acme\jjaso" ip="10.1.1.23"
blockstart="20000">
<entry name="acme\ccrisp" ip="10.1.1.23">
<entry ip="10.2.5.4">
</logout>
</payload>
<type>update</type>
<version>1.0</version>
</uid-message>
また、ファイアウォールから clear xml-api multiusersystem
CLI コマンドを使用してマルチユーザーシステムエントリを
クリアすることもできます。
339
IP アドレス対ユーザーのマッピング
User-ID
User-ID XML API を使用した非 Windows ターミナルサービスユーザーのマッピング（続き）
ステップ 5
ステップ 6
XML API を使用して
割り当てられたポー
トブロック範囲を実
際にターミナルサー
バーでユーザーに割
り当てられた送信元
ポートに一致させ、
ユーザーがログアウ
トしたりポート割り
当てが変更されたと
きにこのマッピング
が削除されるよう
に、動的に実行する
方法が作成したスク
リプトに含まれるよ
うにします。
これを行う方法の 1 つは、Netfilter NAT ルールを使用してユーザー
セッションを XML API を通じて uid に基づいて割り当てられた特定の
ポート範囲に隠すことです。たとえば、User-ID が jjaso のユーザーが
送信元ネットワークアドレス変換 (SNAT) 値 10.1.1.23:20000-20099 に
マッピングされるようにするには、作成したスクリプトに以下が含
まれている必要があります。
セットアップ、ログ
イン、およびログア
ウトイベントを含む
XML 入力ファイルを
ファイアウォールに
送信するために wget
または cURL メッセー
ジにパッケージする
方法を定義します。
wget を使用してファイルをファイアウォールに適用するには、以下
のコマンドを実行します。
[root@ts1 ~]# iptables -t nat -A POSTROUTING -m owner --uid-owner jjaso
-p tcp -j SNAT --to-source 10.1.1.23:20000-20099
同様に、作成したスクリプトによって、ユーザーがログアウトした
ときやポート割り当てが変更されたときに IP テーブルルーティン
グ設定がダイナミックに SNAT マッピングを削除するようにする必
要があります。
[root@ts1 ~]# iptables -t nat -D POSTROUTING 1
> wget --post file <filename>
“https://<Firewall-IPaddress>/api/?type=user-id&key=<key>&file-name=<inp
ut_filename.xml>&client=wget&vsys=<VSYS_name>”
たとえば、wget を使用して、login.xml という名前の入力ファイルを
10.2.5.11 のファイアウォールにキー
k7J335J6hI7nBxIqyfa62sZugWx7ot%2BgzEA9UOnlZRg を使用して送信す
る構文は以下のようになります。
> wget --post file login.xml
“https://10.2.5.11/api/?type=user-id&key=k7J335J6hI7nBxIqyfa62sZugWx
7ot%2BgzEA9UOnlZRg&file-name=login.xml&client=wget&vsys=vsys1”
cURL を使用してファイルをファイアウォールに適用するには、以
下のコマンドを実行します。
> curl --form file=@<filename>
https://<Firewall-IPaddress>/api/?type=user-id&key=<key>&vsys=<VSYS_name
>
たとえば、cURL を使用して、login.xml という名前の入力ファイルを
10.2.5.11 のファイアウォールにキー
k7J335J6hI7nBxIqyfa62sZugWx7ot%2BgzEA9UOnlZRg を使用して送信す
る構文は以下のようになります。
> curl --form [email protected]
“https://10.2.5.11/api/?type=user-id&key=k7J335J6hI7nBxIqyfa62sZugWx7ot%
2BgzEA9UOnlZRg&vsys=vsys1”
340
User-ID
IP アドレス対ユーザーのマッピング
User-ID
User-ID XML API を使用した非 Windows ターミナルサービスユーザーのマッピング（続き）
ステップ 7
ファイアウォールが
ターミナルサーバー
からのログインイベ
ントを正しく受信し
ていることを確認し
ます。
ファイアウォールへの SSH コネクションを開き、以下の CLI コマン
ドを実行することによって設定を確認します。
ターミナルサーバーが XML を介してファイアウォールに接続して
いることを確認するには、以下のコマンドを実行します。
admin@PA-5050> show user xml-api multiusersystem
Host
Vsys
Users
Blocks
---------------------------------------10.5.204.43
vsys1
5
2
ファイアウォールが XML を介してターミナルサーバーからマッピ
ングを受信していることを確認するには、以下のコマンドを実行し
ます。
admin@PA-5050> show user ip-port-user-mapping all
Global max host index 1, host hash count 1
XML API Multi-user System 10.5.204.43
Vsys 1, Flag 3
Port range: 20000 - 39999
Port size: start 200; max 2000
Block count 100, port count 20000
20000-20199: acme\administrator
Total host: 1
User-ID
341
IP アドレス対ユーザーのマッピング
User-ID
XML API を使用した User-ID へのユーザーマッピングの送信
User-ID 機能には、そのままで使用できるユーザーマッピング情報取得手法が多く提供されて
いますが、ユーザー情報をキャプチャするアプリケーションやデバイスの中にはネイティブに
は User-ID に統合できないものもあります。その場合、User-ID XML API を使用してカスタムス
クリプトを作成することにより、既存のユーザーデータを活用して、それを User-ID エージェ
ントまたは直接ファイアウォールに送信することができます。
User-ID XML API は、標準 HTTP 要求を使用してデータを送受信する RESTful API です。API 呼
び出しは、cURL などのコマンドラインユーティリティから直接行ったり、RESTful サービスを
サポートする任意のスクリプトまたはアプリケーションフレームワークを使用して行うことが
できます。既存のシステム（内部で開発されたカスタムアプリケーションや既存のユーザー
マッピングメカニズムではサポートされないデバイスなど）からのユーザーデータを活用する
には、XML API を使用してカスタムスクリプトを作成することにより、データを抽出し、それ
をファイアウォールまたは User-ID エージェントに送信できます。
外部システムがユーザーマッピング情報を User-ID エージェントまたは直接ファイアウォール
に送信できるようにするには、ユーザーのログインおよびログアウトイベントを抽出するスク
リプトを作成し、それを使用して User-ID XML API 要求フォーマットに入力できます。次に、
安全な通信のためにファイアウォールの API キーを使用し、cURL または wget を使用して XML
API 要求をファイアウォールに送信するメカニズムを定義します。詳細は、『PAN-OS XML API
使用ガイド』を参照してください。
342
User-ID
User-ID
他のファイアウォールとユーザーマッピングデータを共有するためのファイアウォールの設定
他のファイアウォールとユーザーマッピングデータを共
有するためのファイアウォールの設定
ポリシーは各ファイアウォールでローカルなため、セキュリティポリシーをグループまたは
ユーザーに基づいて正確に実施するためには、各ファイアウォールが IP アドレス対ユーザー名
のマッピングの最新リストを持つ必要があります。ただし、1 台のファイアウォールがすべて
のユーザーマッピングを収集し、他のファイアウォールに再配布するように設定できます。再
配信ファイアウォールは、任意の方法でユーザーマッピングとグループマッピングを収集する
ことができ、この情報を他のファイアウォールと共有するために User-ID エージェントとして
動作します。受信側のファイアウォールは、再配信ファイアウォールからマッピング情報を直
接プルするように設定する必要があり、ドメインサーバーと直接通信する必要はありません。
以下の手順では、User-ID 情報の再配布をセットアップする方法を説明します。
ユーザーマッピングを再配布するためのファイアウォールの設定
ステップ 1
再配布ファイアウォールを設 1.
定します。
User-ID 設定は 1 つの仮想
システムにのみ適用され
ます。複数の仮想システ
ムからの User-ID マッピ
ングを再配布するには、
各仮想システム上で個別
にユーザーマッピング設
定を行い、各設定内で一
意の事前共有鍵を使用す
る必要があります。
User-ID
[Device] > [ ユーザー ID] > [ ユーザーマッピング ] の順
に選択し、[Palo Alto Networks User-ID エージェント設
定 ] セクションを編集します。
2.
[ 再配信 ] を選択します。
3.
[ コレクタ名 ] を入力します。
4.
[事前共有鍵] に、他のファイアウォールがユーザーマッ
ピング情報を取得するためにこのファイアウォール
に接続できるようにする事前共有鍵を入力し、確認
します。
5.
[OK] をクリックして、再配信設定を保存します。
343
他のファイアウォールとユーザーマッピングデータを共有するためのファイアウォールの設定
User-ID
ユーザーマッピングを再配布するためのファイアウォールの設定（続き）
ステップ 2
ステップ 3
User-ID サービスを有効にする 1.
インターフェイス管理プロ
ファイルを作成し、他のファ
イアウォールがユーザーマッ 2.
ピング取得のために接続する
インターフェイスに関連付け
ます。
3.
[Network] > [ ネットワークプロファイル ] > [ イン
ターフェイス管理 ] の順に選択し、[ 追加 ] をクリッ
クします。
プロファイルの [ 名前 ] を入力し、[Permitted Services] を
選択します。少なくとも [User-ID] サービスと [HTTPS]
は選択します。
[OK] をクリックしてプロファイルを保存します。
4.
[Network] > [ インターフェイス ] > [Ethernet] の順に
選択し、再配布に使用する予定のインターフェイスを
選択します。
5.
[ 詳細 ] > [ その他の情報 ] タブで、作成した [ 管理プロ
ファイル ] を選択します。
6.
[OK]、[ コミット ] の順にクリックします。
他のファイアウォールが再配ユーザーマッピングを取得できるようにする各ファイア
布ファイアウォールからユーウォールで、以下の手順を実行します。
ザーマッピングを取得するよ 1. [Device] > [ ユーザー ID] > [User-ID エージェント ] の
うに設定します。
順に選択します。
再配布ファイアウォール
に再配布用に設定されて
いる仮想システムが複数
ある場合、このファイア
ウォールが User-ID マッ
ピングを取得する仮想シ
ステムに対応した事前共
有鍵を使用していること
を確認します。
2.
[ 追加 ] をクリックし、[ 名前 ] に再配布用の User-ID エー
ジェント名を入力します。
3.
再配布用に設定したファイアウォールのインターフェ
イスのホスト名または IP アドレスを [ ホスト ] フィー
ルドに入力します。
4.
再配布ファイアウォールが User-ID 要求をリッスンする
[ ポート ] 番号として 5007 を入力します。
5.
再配布ファイアウォール設定（ステップ 1～3）で指定
した [ コレクタ名 ] を入力します。
6.
[ コレクタの事前共有鍵 ] を入力し、確認します。ここ
で入力したキー値は再配布ファイアウォール上で設定
した値（ステップ 1～4）と一致する必要があります。
7.
（任意）再配布ファイアウォールを使用して、ユー
ザーマッピングに加えてグループマッピングも取得す
る場合、[LDAP プロキシとして使用 ] チェックボック
スをオンにします。
8.
（任意）再配布ファイアウォールをキャプティブポー
タル認証に使用している場合、[NTLM 認証用に使用 ]
チェックボックスをオンにします。
9.
設定が [ 有効 ] になっていることを確認し、[OK] をク
リックします。
10. 変更を [ コミット ] します。
344
User-ID
User-ID
他のファイアウォールとユーザーマッピングデータを共有するためのファイアウォールの設定
ユーザーマッピングを再配布するためのファイアウォールの設定（続き）
ステップ 4
設定を確認します。
[User-ID エージェント ] タブで、今追加した再配布ファイ
アウォールエントリの [ 接続済み ] 列に緑のアイコンが表
示されていることを確認します。
赤いアイコンが表示される場合は、トラフィックログ
（[Monitor] > [ ログ ] > [ トラフィック ]）をチェックして
問題を特定します。CLI から以下の操作コマンドを実行す
ることによって、ユーザーマッピングデータが取得され
ているかどうかを確認することもできます。
show user ip-user-mapping（データプレーン上のユーザー
マッピング情報を表示）
show user ip-user-mapping-mp（管理プレーン上のマッピン
グを表示）
User-ID
345
ユーザーおよびグループベースのポリシーの有効化
User-ID
ユーザーおよびグループベースのポリシーの有効化
ユーザーおよびグループに基づくセキュリティポリシーを有効にするには、識別するユーザー
を含むゾーンごとに User-ID を有効にする必要があります。そうすることで、ユーザー名また
はグループのメンバーシップに基づいてトラフィックを許可または拒否するポリシーを定義で
きます。さらにキャプティブポータルのポリシーを作成することで、ユーザーデータが関連付
けらていない IP アドレスを識別することもできます。
ユーザーおよびグループベースのポリシーの有効化
ステップ 1
346
ユーザーベースのアクセス制御 1.
を必要とする要求を送信する 2.
ユーザーを含む送信元ゾーン
で、User-ID を有効にします。
3.
[Network] > [ ゾーン ] の順に選択します。
[ 名前 ] フィールドで User-ID を有効にするゾーンをク
リックすると、[ ゾーン ] ダイアログが開きます。
[ ユーザー ID の有効化 ] チェックボックスをオンにして
から [OK] をクリックします。
User-ID
ユーザーおよびグループベースのポリシーの有効化
User-ID
ユーザーおよびグループベースのポリシーの有効化（続き）
ステップ 2
ユーザーまたはグループに基 1.
づくセキュリティポリシーを
作成します。
User-ID を設定すると、セキュリティルールの送信元お
よび宛先を定義するときに、ユーザー名またはグルー
プ名を選択できるようになります。
a. [Policies] > [ セキュリティ] の順に選択し、新しいポリ
シーを作成するために [ 追加 ] をクリックするか、ま
たは既存のポリシールール名をクリックすると、[ セ
キュリティポリシールール ] ダイアログが開きます。
ベストプラクティスとし
て、できる限りユーザー
ではなくグループに基づ
いてポリシーを作成しま
す。これにより、ユー
ザーベースが変更するた
びにポリシーを更新（コ
ミットが必要）し続ける
必要がなくなります。
b. 以下のいずれかの方法で、ポリシーで一致する
ユーザーまたはグループあるいはその両方を指定
します。
– 一致基準としてユーザー/グループを指定する場合
は、[ ユーザー] タブを選択し、[ 送信元ユーザー]
セクションで [ 追加 ] ボタンをクリックすると、
ファイアウォールのグループマッピング機能によ
り検出されたユーザーおよびグループのリストが
表示されます。ポリシーに追加するユーザーまた
はグループを選択します。
– 正常に認証されたかどうかに関係なくポリシーで
任意のユーザーと一致し、特定のユーザー名また
はグループ名を把握する必要がない場合は、[ 送信
元ユーザー] リストの上にあるドロップダウンから
[known-user] または [unknown] を選択します。
2.
User-ID
必要に応じてポリシーのその他の部分を設定し、[OK]
をクリックして設定を保存します。セキュリティポリ
シーのその他のフィールドの詳細は、「基本的なセ
キュリティポリシーのセットアップ」を参照してくだ
さい。
347
ユーザーおよびグループベースのポリシーの有効化
User-ID
ユーザーおよびグループベースのポリシーの有効化（続き）
ステップ 3
キャプティブポータルポリシー 1.
を作成します。
2.
[Policies] > [キャプティブポータル] の順に選択します。
3.
[ 送信元 ]、[ 宛先 ]、および [ サービス /URL カテゴリ ]
タブで、必要に応じて認証するトラフィックと一致す
る情報を入力し、ルールの一致基準を定義します。こ
れらのタブの一致基準は、セキュリティポリシーの作
成時に定義する基準と同じです。詳細は、「基本的な
セキュリティポリシーのセットアップ」を参照してく
ださい。
4.
[ アクション ] タブで、ルールと一致するトラフィック
に対するアクションを定義します。選択肢は以下のと
おりです。
[ 追加 ] をクリックし、[ 名前 ] にポリシー名を入力し
ます。
• no-captive-portal — キャプティブポータルのページ
を表示せずに、トラフィックの通過を許可します。
• web-form — キャプティブポータルのページを表示
して、ユーザーに認証情報の入力またはクライアン
ト証明書認証の使用を要求します。
• browser-challenge — NTLM 認証要求をユーザーの
Web ブラウザで開きます。Web ブラウザは、ユー
ザーの現在のログイン資格証明を使用して応答しま
す。ログインの認証情報を使用できない場合、ユー
ザーに認証情報の提示を要求します。
5.
[OK] をクリックします。
以下の例では、Web フォームを表示して、Trust ゾーンから
Untrust ゾーンに HTTP 要求を送信する不明なユーザーを認
証するようファイアウォールに指示する、キャプティブ
ポータルのポリシーを示します。
ステップ 4
348
ポリシーの設定を保存します。 [ コミット ] をクリックします。
User-ID
User-ID 設定の確認
User-ID
User-ID 設定の確認
グループマッピングとユーザーマッピングを設定してセキュリティポリシーおよびキャプ
ティブポータルポリシーの User-ID を有効にしたら、それらが正しく動作していることを確認
する必要があります。
User-ID 設定の確認
ステップ 1
グループマッピングの動作を CLI から以下のコマンドを入力します。
確認します。
show user group-mapping statistics
ステップ 2
ユーザーマッピングの動作をオンデバイス User-ID エージェントを使用している場合、
確認します。
CLI から以下のコマンドを実行すれば確認できます。
show user ip-user-mapping-mp all
IP
(sec)
Vsys
From
User
Timeout
-----------------------------------------------------192.168.201.1
vsys1 UIA
acme\george
210
192.168.201.11
vsys1 UIA
acme\duane
210
192.168.201.50
vsys1 UIA
acme\betsy
210
192.168.201.10
vsys1 UIA
acme\administrator
210
acme\administrator
748
192.168.201.100 vsys1 AD
Total: 5 users
*: WMI probe succeeded
User-ID
349
User-ID 設定の確認
User-ID
User-ID 設定の確認（続き）
ステップ 3
セキュリティポリシーをテスト • User-ID が有効なゾーンのマシンからサイトやアプリケー
します。
ションにアクセスして、ポリシーで定義したルールをテ
ストし、トラフィックが予想通りに許可または拒否され
ていることを確認します。
• また、test security-policy-match コマンドを使用して、
ポリシーが正しく設定されているかどうかを確認しま
す。たとえば、World of Warcraft をプレイする Duane とい
うユーザーをブロックするルールがある場合、以下の手
順でポリシーをテストできます。
test security-policy-match application
worldofwarcraft source-user acme\duane source any
destination any destination-port any protocol 6
"deny worldofwarcraft" {
from corporate;
source any;
source-region any;
to internet;
destination any;
destination-region any;
user acme\duane;
category any;
application/service worldofwarcraft;
action deny;
terminal no;
}
350
User-ID
User-ID 設定の確認
User-ID
User-ID 設定の確認（続き）
ステップ 4
キャプティブポータルの設定 1.
をテストします。
先ほどと同じゾーンから、Mac OS システムなど、ディ
レクトリのメンバーでないマシンより、ゾーン外部の
システムを ping します。ping は認証しなくても動作し
ます。
2.
同じマシンからブラウザを開き、定義したキャプティ
ブポータルポリシーと一致する宛先ゾーンの Web サ
イトに移動します。キャプティブポータルの Web
フォームが表示されます。
3.
正しい認証情報を使用してログインし、要求したペー
ジにリダイレクトされていることを確認します。
4.
また、以下の test cp-policy-match コマンドを使用し
てキャプティブポータルポリシーをテストすることも
できます。
test cp-policy-match from corporate to internet
source 192.168.201.10 destination 8.8.8.8
Matched rule: 'captive portal' action: web-form
ステップ 5
User-ID
ログファイル（[Monitor] > [ ログ ]）にユーザー名が表示されていることを確認します。
351
User-ID 設定の確認
User-ID
User-ID 設定の確認（続き）
ステップ 6
352
レポート（[Monitor] > [レポート]）にユーザー名が表示されていることを確認します。たと
えば、以下の例に示すように、[ 拒否されるアプリケーション ] レポートまでドリルダウンす
ると、そのアプリケーションにアクセスしようとしたユーザーのリストを確認できます。
User-ID
App-ID
ネットワーク上のアプリケーションを安全に有効にするため、Palo Alto Networks の次世代ファ
イアウォールは、App-ID と URL フィルタリングによってアプリケーションと Web の両方の視
点から、法律、規制、生産性、およびリソース使用に関するあらゆるリスクから保護します。
App-ID によってネットワーク上のアプリケーションに対する可視性が高まるため、アプリケー
ションの仕組みを知り、動作特性や相対リスクについて理解できます。このアプリケーション
の知識を利用して、セキュリティポリシーを作成および適用することにより、望ましいアプリ
ケーションを有効にして、検査およびシェーピングを行い、望ましくないアプリケーションを
ブロックします。トラフィックの許可を開始するようにポリシーを定義すると、App-ID は追加
の設定なしでトラフィックの分類を開始します。

App-ID の概要

カスタムアプリケーションや不明なアプリケーションの管理

App-ID のポリシー内での使用のベストプラクティス

暗黙的サポートを使用するアプリケーション

アプリケーションレベルゲートウェイ

SIP アプリケーションレベルゲートウェイ (ALG) を無効にする
App-ID
353
App-ID の概要
App-ID
App-ID の概要
App-ID は、Palo Alto Networks のファイアウォールだけで使用できる特許取得済みのトラフィッ
ク分類システムで、アプリケーションで使用されるポート、プロトコル、暗号化（SSH または
SSL）、その他のあらゆる秘匿技術に関係なく、アプリケーションが何であるかを判断します。
App-ID は、複数の分類メカニズム（アプリケーションシグネチャ、アプリケーションプロト
コルデコード、ヒューリスティクス）をネットワークトラフィックストリームに適用して、
アプリケーションを正確に識別します。
App-ID は、ネットワークを通過するアプリケーションを以下のように識別します。

トラフィックがポリシーに一致するかどうかによって、ネットワーク上で許可されるかが確
認されます。

次に、一意のアプリケーションプロパティおよび関連するトランザクションの特性に基づい
てトラフィックがアプリケーションを識別できるようにシグネチャが適用されます。シグネ
チャは、アプリケーションがデフォルトポートで使用されているか、標準以外のポートを使
用しているかも特定します。ポリシーによってトラフィックが許可された場合、トラフィッ
クは次に脅威がないかをスキャンされ、アプリケーションをより詳細に識別するためにさら
に分析されます。

App-ID が暗号化（SSL または SSH）が使用されていると判断し、復号ポリシーが設定されて
いる場合、セッションは復号化され、アプリケーションシグネチャが復号化されたフローに
再び適用されます。

次に、既知のプロトコルに対するデコーダによって、追加のコンテキストベースのシグネ
チャが適用され、プロトコルの内部にトンネリングしている可能性のある別のアプリケー
ション（たとえば、HTTP 上で使用される Yahoo! インスタントメッセンジャーなど）を検出
します。デコーダはトラフィックがプロトコルの仕様に準拠していることを検証し、SIP や
FTP などのアプリケーションのためにダイナミックピンホールを開くことや NAT トラバー
サルをサポートします。

特に回避的で、高度なシグネチャやプロトコル分析では識別できないアプリケーションに対
しては、ヒューリスティクスや動作分析を使用してアプリケーションを識別する場合があり
ます。
アプリケーションが識別されると、ポリシーチェックによってアプリケーションの処理方法が決
定されます。たとえば、ブロックする、許可して脅威をスキャンする、無権限のファイル転送お
よびデータパターンを検査する、QoS を使用してシェーピングを行うなどの処理があります。
354
App-ID
App-ID
カスタムアプリケーションや不明なアプリケーションの管理
カスタムアプリケーションや不明なアプリケーションの
管理
Palo Alto Networks は、新しいアプリケーションを識別するため、App-ID の更新を毎週提供して
います。デフォルトでは、App-ID はファイアウォール上で常に有効になっており、一般的なア
プリケーションを識別するために一連のシグネチャを有効にする必要はありません。通常、
ACC およびトラフィックログで不明トラフィック（tcp、udp、non-syn-tcp）として分類されるの
は、App-ID にまだ追加されていない市販のアプリケーション、ネットワーク上の内部アプリ
ケーションやカスタムアプリケーション、または潜在的な脅威のみです。
時折、ファイアウォールは以下の理由でアプリケーションを不明であるとレポートする場合が
あります。

Incomplete data — ハンドシェークは行われたが、タイムアウト前にデータパケットが送信さ
れなかった。

Insufficient data — ハンドシェークの後に 1 つ以上のデータパケットが送信されたが、アプリ
ケーションを識別するのに十分なデータパケットが交換されなかった。
不明なアプリケーションの処理方法には以下の選択肢があります。

Unknown TCP、Unknown UDP、または送信元ゾーン、宛先ゾーン、および IP アドレスの組み
合わせによって不明なアプリケーションを制御するセキュリティポリシーを作成する。

Palo Alto Networks に App-ID を要求する — 不明なトラフィックに対して、ネットワークを通
過するアプリケーションを検査および制御するには、パケットキャプチャを記録できます。
パケットキャプチャによってアプリケーションが商用アプリケーションであることが判明し
た場合、このパケットキャプチャを App-ID 開発のために Palo Alto Networks に提出できま
す。内部アプリケーションである場合は、カスタム App-ID を作成したり、アプリケーショ
ンオーバーライドポリシーを定義できます。

シグネチャを含むカスタム App-ID を作成し、それをセキュリティポリシーに関連付ける、ま
たはカスタム App-ID を作成し、アプリケーションオーバーライドポリシーを定義する —
カスタム App-ID を使用すると、内部アプリケーションの定義（特性、カテゴリ、サブカテ
ゴリ、リスク、ポート、タイムアウト）をカスタマイズでき、ネットワーク上の不明なトラ
フィックの範囲を最小化するために詳細なポリシーコントロールを実施できます。また、カ
スタム App-ID を作成すると、ACC やトラフィックログ内でアプリケーションを正しくし識
別でき、ネットワーク上のアプリケーションの監査やレポートに役立ちます。カスタムアプ
リケーションには、一意にアプリケーションを識別するシグネチャおよびパターンを指定
し、アプリケーションを許可または拒否するセキュリティポリシーに関連付けられます。
App-ID
355
カスタムアプリケーションや不明なアプリケーションの管理
App-ID
カスタムアプリケーションシグネチャを作成するための正しいデータを収集するには、パ
ケットキャプチャとデータグラム生成についてよく理解しておく必要があります。作成された
シグネチャが大まかすぎる場合、他の類似のトラフィックも含まれてしまう可能性がありま
す。定義が細かすぎる場合は、トラフィックがパターンに厳密に一致しないと検出を回避され
てしまいます。
カスタム App-ID はファイアウォール上の別個のデータベースに保存され、このデータベース
は毎週の App-ID の更新に影響されません。
プロトコルの内部にトンネリングされている可能性のあるアプリケーションをファイアウォール
が検出できるようにするアプリケーションプロトコルデコーダとしては、コンテンツ更新 424
の時点で、HTTP、HTTPS、DNS、FTP、IMAP SMTP、Telnet、IRC（Internet Relay Chat）、
Oracle、RTMP、RTSP、SSH、GNU-Debugger、GIOP（Global Inter-ORB Protocol）、Microsoft
RPC、Microsoft SMB（別名 CIFS）などがサポートされています。さらに、PAN-OS の 4.0 リ
リースでは、このカスタム App-ID 機能が拡張され、Unknown TCP および Unknown UDP を含む
ようになっています。
または、ファイアウォールが高速パスを使用してカスタムアプリケーションを処理する
（App-ID を使用したレイヤー 7 検査ではなくレイヤー 4 検査）ようにするには、アプリケー
ションオーバーライドポリシー内でカスタム App-ID を参照できます。カスタムアプリケー
ションをアプリケーションオーバーライドに含めることによって、レイヤー 7 検査である
App-ID エンジンによるセッションが処理されなくなります。ファイアウォールは、通常の
ステートフルインスペクションファイアウォールとしてレイヤー 4 でセッションを処理し、
アプリケーション処理時間を削減します。
たとえば、ホストヘッダー www.mywebsite.com をトリガーとするカスタムアプリケーションを作成し
た場合、パケットは最初に web-browsing と識別され、次にカスタムアプリケーション（web-browsing
を親アプリケーションとする）に一致します。親アプリケーションが web-browsing であるた
め、カスタムアプリケーションはレイヤー 7 で検査され、コンテンツおよび脆弱性をスキャ
ンされます。
アプリケーションオーバーライドを定義すると、ファイアウォールはレイヤー 4 での処理を
停止します。ログ内での識別に役立つカスタムアプリケーション名がセッションに割り当て
られ、トラフィックは脅威をスキャンされません。
詳細は、以下の記事を参照してください。

『Identifying Unknown Applications（英語）』

『ビデオ : How to Configure a Custom App-ID（英語）』

『Custom Application Signatures（英語）』
356
App-ID
App-ID
App-ID のポリシー内での使用のベストプラクティス
App-ID のポリシー内での使用のベストプラクティス

ACC で、ネットワーク上のアプリケーションのリストをレビューし、許可するアプリケーショ
ンと拒否するアプリケーションを決定します。ポートベースのルールを定義したファイア
ウォールから移行している場合、所定のポート上で実行するアプリケーションのリストを取
得するには、Palo Alto Networks のファイアウォールのアプリケーションブラウザ（[Objects] >
[ アプリケーション ]）または『Applipedia』で、ポート番号で検索します。

[サービス] には [application-default] を使用します。ファイアウォールは、使用されている
ポートとそのアプリケーションのデフォルトポートのリストを比較します。使用されてい
るポートがアプリケーションのデフォルトポートでない場合、ファイアウォールはセッ
ションを破棄し、メッセージ「appid policy lookup deny」をログに記録します。多くの
ポート上でアクセスされているアプリケーションがあり、アプリケーションが使用される
ポートを制限する場合は、ポリシーで [ サービス ] または [ サービスグループ ] オブジェク
トを指定します。

新しいアプリケーションを既存のポリシールールにダイナミックに含めるにはアプリケー
ションフィルタを使用します。『例』を参照してください。
App-ID
357
暗黙的サポートを使用するアプリケーション
App-ID
暗黙的サポートを使用するアプリケーション
特定のアプリケーションを許可するポリシーを作成する場合、そのアプリケーションが依存す
る他のアプリケーションもすべて許可する必要があります。多くの場合、トラフィックが通過
できるように依存アプリケーションへのアクセスを明示的に許可する必要はありません。ファ
イアウォールは依存関係を判断し、暗黙的にそれらを許可できるためです。この暗黙的サポー
トは、HTTP、SSL、MS-RPC、または RTSP に基づく『カスタムアプリケーション』にも適用さ
れます。ファイアウォールが依存アプリケーションを時間内に判断できないアプリケーション
に対しては、ポリシーを定義する際に依存アプリケーションを明示的に許可する必要がありま
す。アプリケーションの依存関係は、『Applipedia』で指定できます。
以下の表に、ファイアウォールが暗示的サポートに対応しているアプリケーションのリストを
示します（『コンテンツ更新』469 の時点）。
表 : 暗黙的サポートを使用するアプリケーション
アプリケーション
暗黙的サポート
360-safeguard-update
http
apple-update
http
apt-get
http
as2
http
avg-update
http
avira-antivir-update
http, ssl
blokus
rtmp
bugzilla
http
clubcooee
http
corba
http
cubby
http, ssl
dropbox
ssl
esignal
http
evernote
http, ssl
ezhelp
http
facebook
http, ssl
facebook-chat
jabber
facebook-social-plugin
http
fastviewer
http, ssl
forticlient-update
http
gmail
http
358
App-ID
暗黙的サポートを使用するアプリケーション
App-ID
アプリケーション
暗黙的サポート
good-for-enterprise
http, ssl
google-cloud-print
http, ssl, jabber
google-desktop
http
google-drive-web
http
google-talk
jabber
google-update
http
gotomypc-desktop-sharing
citrix-jedi
gotomypc-file-transfer
citrix-jedi
gotomypc-printing
citrix-jedi
hipchat
http
iheartradio
ssl, http, rtmp
infront
http
instagram
http, ssl
issuu
http, ssl
java-update
http
jepptech-updates
http
kerberos
rpc
kik
http, ssl
lastpass
http, ssl
logmein
http, ssl
mcafee-update
http
megaupload
http
metatrader
http
mocha-rdp
t_120
mount
rpc
ms-frs
msrpc
ms-rdp
t_120
ms-scheduler
msrpc
ms-service-controller
msrpc
nfs
rpc
oovoo
http, ssl
paloalto-updates
ssl
App-ID
359
暗黙的サポートを使用するアプリケーション
App-ID
アプリケーション
暗黙的サポート
panos-global-protect
http
panos-web-interface
http
pastebin
http
pastebin-posting
http
pinterest
http, ssl
portmapper
rpc
prezi
http, ssl
rdp2tcp
t_120
renren-im
jabber
roboform
http, ssl
salesforce
http
stumbleupon
http
supremo
http
symantec-av-update
http
trendmicro
http
trillian
http, ssl
twitter
http
whatsapp
http, ssl
xm-radio
rtsp
360
App-ID
App-ID
アプリケーションレベルゲートウェイ
アプリケーションレベルゲートウェイ
Palo Alto Networks のファイアウォールはトラフィックをポートやプロトコルによって分類せ
ず、App-ID テクノロジーを使用してアプリケーションを一意のプロパティやトランザクション
の特性に基づいて識別します。ただし、一部のアプリケーションでは接続を確立するために
ファイアウォールがダイナミックにピンホールを開き、セッションのパラメータを決定し、
データ転送に使用するポートをネゴシエートする必要があります。これらのアプリケーション
はアプリケーションレイヤーのペイロードを使用して、アプリケーションがデータ接続を開く
ダイナミック TCP または UDP ポートを通信します。そのようなアプリケーションに対して、
ファイアウォールはアプリケーションレベルゲートウェイ (ALG) として機能し、時間を限定し
て転送データまたは制御トラフィックのみのためにピンホールを開きます。また、ファイア
ウォールは必要に応じてペイロードの NAT 書き換えを実行します。
コンテンツリリースバージョン 464 の時点で、Palo Alto Networks のファイアウォールは、FTP、
H.225、H.248、MGCP、MySQL、Oracle/SQLNet/TNS、RPC、RTSP、SCCP、SIP、および UNIStim
の各アプロトコルで NAT ALG をサポートしています。
ファイアウォールが SIP (Session Initiation Protocol) に対して ALG として機能する場合、デ
フォルトではペイロードに対して NAT を実行し、メディアポートのためにダイナミックピン
ホールを開きます。環境で使用されている SIP アプリケーションによっては、SIP エンドポイ
ントでクライアントに NAT インテリジェンスが組み込まれている場合があります。そのよう
な場合、ファイアウォールがシグナリングセッションを変更しないように SIP ALG 機能を無
効にする必要がある場合があります。SIP ALG を無効にした場合、App-ID がセッションを SIP
と判断すると、ペイロードは変換されず、ダイナミックピンホールは開きません。「SIP アプ
リケーションレベルゲートウェイ (ALG) を無効にする」を参照してください。
App-ID
361
SIP アプリケーションレベルゲートウェイ (ALG) を無効にする
App-ID
SIP アプリケーションレベルゲートウェイ (ALG) を無効
にする
Palo Alto Networks のファイアウォールは、SIP (Session Initiation Protocol) アプリケーションレベル
ゲートウェイ (ALG) を使用して、NAT が有効になっているファイアウォールにダイナミックピ
ンホールを開きます。ただし、VoIP など一部のアプリケーションではクライアントアプリケー
ションに NAT インテリジェンスが組み込まれています。これらの場合、ファイアウォールの
SIP ALG がシグナリングセッションと干渉し、クライアントアプリケーションが動作しなくな
ることがあります。
この問題に対する 1 つの解決策は、SIP に対してアプリケーションオーバーライドポリシーを
定義することですが、このアプローチでは、App-ID および脅威検出機能が無効になります。
もっと良い方法は SIP ALG を無効にすることです。このアプローチでは App-ID や脅威検出は無
効になりません。
SIP ALG を無効にするには以下の手順を実行します。
SIP ALG を無効にする
1.
[Objects] > [ アプリケーション ] を選択します。
2.
[sip] アプリケーションを選択します。
[ 検索 ] ボックスに「sip」と入力して sip アプリケーションを検索できます。
3.
362
[ アプリケーション ] ダイアログボックスの [ オプション ] セクションで [ALG] の
[ カスタマイズ ...] を選択します。
App-ID
App-ID
SIP アプリケーションレベルゲートウェイ (ALG) を無効にする
SIP ALG を無効にする（続き）
4.
[ アプリケーション - sip] ダイアログボックスで [ALG の無効化 ] チェックボックス
をオンにし、[OK] をクリックします。
5.
[ アプリケーション ] ダイアログボックスを閉じて、変更を [ コミット ] します。
App-ID
363
SIP アプリケーションレベルゲートウェイ (ALG) を無効にする
App-ID
364
App-ID
脅威防御
Palo Alto Networks の次世代ファイアウォールは、ネットワークをコモディティ脅威および持続
的標的型攻撃 (APT) から保護および防御します。ファイアウォールの多面的な検出メカニズム
には、シグネチャベース（IPS/ コマンドアンドコントロール / アンチウイルス）アプローチ、
ヒューリスティクスベース（ボット検出）アプローチ、サンドボックスベース (WildFire) アプ
ローチ、およびレイヤー 7 プロトコル分析ベース (App-ID) アプローチが含まれています。
コモディティ脅威はそれほど高度ではない悪用で、ファイアウォールのアンチウイルス、アン
チスパイウェア、脆弱性防御、および URL フィルタリング / アプリケーション識別機能の組み
合わせにより比較的容易に検出および防止できます。
高度な脅威は、サイバー犯罪組織や悪意あるグループによって継続され、高度な攻撃ベクトル
を使用し、一般的に知的財産や財務データの窃盗のためにネットワークを標的とします。これ
らの脅威はより回避的で、マルウェアに関する詳細なホストおよびネットワークのフォレン
ジックのためのインテリジェントなモニタリングメカニズムが必要です。Palo Alto Networks の
次世代ファイアウォールと WildFire および Panorama を組み合わせることで、攻撃チェーンをイ
ンターセプトして断ち切る包括的なソリューションを提供し、ネットワーク（モバイルおよび
仮想も含む）インフラストラクチャ上のセキュリティ侵害を防止するための可視性を実現でき
ます。

セキュリティプロファイルとセキュリティポリシーのセットアップ

ブルートフォース攻撃の防御

ネットワークをレイヤー 4 およびレイヤー 7 回避から保護するためのベストプラクティス

パッシブ DNS 収集を有効にして脅威インテリジェンスを向上する

DNS クエリを使用してネットワーク上の感染ホストを特定する

ダイナミック更新のためのコンテンツ配信ネットワークインフラストラクチャ

脅威防御リソース
脅威防御
365
セキュリティプロファイルとセキュリティポリシーのセットアップ
脅威防御
セキュリティプロファイルとセキュリティポリシーの
セットアップ
以下のセクションでは、基本的な脅威防御設定の例を示します。

アンチウイルス、アンチスパイウェア、および脆弱性防御のセットアップ

データフィルタリングのセットアップ

ファイルブロッキングのセットアップ
脅威防御戦略の一部としての Web アクセス制御については、「URL フィルタリング」を参照し
てください。
366
脅威防御
脅威防御
セキュリティプロファイルとセキュリティポリシーのセットアップ
アンチウイルス、アンチスパイウェア、および脆弱性防御のセットアップ
ここでは、アンチウイルス、アンチスパイウェア、および脆弱性防御のデフォルト「セキュリ
ティプロファイル」をセットアップするために必要な手順について説明します。
アンチスパイウェアと脆弱性防御のすべてのシグネチャには、Palo Alto Networks によってデ
フォルトのアクションが定義されています。デフォルトのアクションを確認するには、
[Objects] > [セキュリティプロファイル] > [アンチスパイウェア] または [Objects] >
[セキュリティプロファイル] > [脆弱性防御] の順に移動し、プロファイルを選択します。
[例外] タブをクリックして [すべてのシグネチャの表示] をオンにすると、[アクション] 列
にデフォルトアクションを表示したシグネチャのリストが表示されます。デフォルトアクショ
ンを変更するには、新しいプロファイルを作成してから、デフォルト以外のアクションが設定
されたルールを作成するか、プロファイルの [例外] で個々のシグネチャ例外を追加します。
アンチウイルス / アンチスパイウェア / 脆弱性防御のセットアップ
ステップ 1
脅威防御ライセンスがあるこ • 脅威防御ライセンスでは、1 つのライセンスに、アンチウ
とを確認します。
イルス、アンチスパイウェア、および脆弱性防御の全機
能をバンドルしています。
• [Device] > [ ライセンス ] の順に選択して、[ 脅威防御 ] ラ
イセンスがインストールされていることを検証し、有効
期限を確認します。
ステップ 2
最新のアンチウイルス脅威シグ 1.
ネチャをダウンロードします。
[Device] > [ ダイナミック更新 ] の順に選択し、ページ
の下部にある [ 今すぐチェック ] をクリックして最新の
シグネチャを取得します。
[ アクション ] 列で、[ ダウンロード ] をクリックして、最
新のアンチウイルス、アプリケーションおよび脅威シグネ
チャをインストールします。
脅威防御
367
セキュリティプロファイルとセキュリティポリシーのセットアップ
脅威防御
アンチウイルス / アンチスパイウェア / 脆弱性防御のセットアップ（続き）
ステップ 3
シグネチャの更新をスケ
ジュールします。
1.
[Device] > [ ダイナミック更新 ] の順に選択し、[ スケ
ジュール ] の右側にあるテキストをクリックして、[ ア
ンチウイルス ] と [ アプリケーションおよび脅威 ] のシ
グネチャ更新を自動的に取得します。
2.
更新の頻度とタイミングを指定し、更新ファイルをダ
ウンロードしてインストールするのか、またはダウン
ロードのみを行うのかを指定します。[ダウンロードの
み ] をオンにする場合は、手動でページを開き、[ アク
ション ] 列の [ インストール ] リンクをクリックしてシ
グネチャをインストールする必要があります。[OK] を
クリックすると、更新がスケジュールされます。コ
ミットは必要ありません。
3.
（任意）[ しきい値 ] フィールドに時間数を入力して、
ダウンロードが実行されるまでのシグネチャの最小存
続時間を指定することもできます。たとえば、「10」
と入力すると、そのシグネチャは、スケジュールに関
係なく、ダウンロードされるまでに少なくとも 10 時間
は存続する必要があります。
4.
HA 設定では、[ ピアと同期 ] オプションをクリックし
て、ダウンロード / インストールの後にコンテンツ更
新と HA ピアを同期することもできます。これによっ
てスケジュール設定がピアデバイスにプッシュされる
ことはないため、各デバイスでスケジュールを設定す
る必要があります。
アンチウイルススケジュールのベストプラクティス
アンチウイルスシグネチャの更新スケジュールとして一般的な推奨設定は、アンチウイルスの場合には
毎日、アプリケーションおよび脆弱性の場合には毎週、[download-and-install] を実行することです。
HA 設定の場合の推奨設定は次のとおりです。
• アクティブ / パッシブの HA — アンチウイルスのシグネチャのダウンロードで MGT ポートを使用す
る場合は、両方のデバイスでスケジュールを設定し、両方のデバイスが別々にダウンロード / インス
トールを実行するようにしてください。ダウンロードでデータポートを使用する場合、パッシブデ
バイスはパッシブ状態になっている間ダウンロードを実行しません。この場合は、両方のデバイスで
スケジュールを設定して、[ ピアと同期 ] オプションを選択します。これにより、どちらのデバイスが
アクティブであっても更新処理が実行され、パッシブデバイスにプッシュされるようにします。
• アクティブ / アクティブの HA — 両方のデバイスでアンチウイルスのシグネチャのダウンロードに MGT
ポートを使用する場合は、両方のデバイスでダウンロード / インストールをスケジュールしますが、
[ ピアと同期 ] オプションは選択しません。データポートを使用する場合は、両方のデバイスでシグネ
チャのダウンロードをスケジュールし、[ ピアと同期 ] を選択します。これにより、アクティブ / アク
ティブ設定の 1 つのデバイスがアクティブなセカンダリ状態になった場合でも、そのアクティブデバ
イスがシグネチャをダウンロード / インストールしてから、アクティブなセカンダリデバイスにシグ
ネチャをプッシュするようにします。
368
脅威防御
脅威防御
セキュリティプロファイルとセキュリティポリシーのセットアップ
アンチウイルス / アンチスパイウェア / 脆弱性防御のセットアップ（続き）
ステップ 4
セキュリティプロファイルをセ 1.
キュリティポリシーに適用し
ます。
[Policies] > [ セキュリティ] の順に選択し、適切なポリ
シーを選択して変更し、[ アクション ] タブをクリック
します。
2.
[ プロファイル設定 ] で、有効にする各セキュリティプ
ロファイルの横にあるドロップダウンをクリックしま
す。この例では、[ アンチウイルス ]、[ 脆弱性防御 ]、お
よび [アンチスパイウェア] のデフォルトを選択します。
以前に定義されているセキュリティプロファイ
ルがない場合、[ プロファイルタイプ ] ドロップ
ダウンから [プロファイル] を選択します。セキュ
リティプロファイルを選択するためのオプ
ションの一覧が表示されます。
ステップ 5
脅威防御
設定を保存します。
[ コミット ] をクリックします。
369
セキュリティプロファイルとセキュリティポリシーのセットアップ
脅威防御
データフィルタリングのセットアップ
ここでは、社会保障番号を検出するデータフィルタリングプロファイルと .doc および .docx ド
キュメントで識別されるカスタムパターンを設定するために必要な手順について説明します。
データフィルタリングの設定例
ステップ 1
データフィルタリングのセキュ 1.
リティプロファイルを作成し
ます。
2.
3.
[Objects] > [ セキュリティプロファイル ] > [ データフィ
ルタリング ] の順に選択し、[ 追加 ] をクリックします。
プロファイルの [ 名前 ] と [ 説明 ] を入力します。この
例での名前は「DF_Profile1」、説明は「Detect Social Security
Numbers」です。
（任意）フィルタによってブロックされるデータを収
集する場合は、[ データキャプチャ] チェックボックス
をオンにします。
データキャプチャ機能を使用する場合は、ス
テップ 2 の説明に従って、パスワードを設定す
る必要があります。
ステップ 2
370
（任意）データフィルタリン 1.
グログへのアクセスをセキュ
リティ保護し、他の管理者が 2.
機密データを表示できないよ
うにします。
3.
このオプションを有効にする
と、[Monitor] > [ ログ ] > [ デー
タフィルタリング ] でログを表
示するときにパスワードを求め
るプロンプトが表示されます。
[Device] > [ セットアップ ] > [ コンテンツ ID] の順に選
択します。
[ コンテンツ ID 機能 ] セクションで [ データ保護の管
理 ] をクリックします。
データフィルタリングログを表示するために必要なパ
スワードを設定します。
脅威防御
脅威防御
セキュリティプロファイルとセキュリティポリシーのセットアップ
データフィルタリングの設定例（続き）
ステップ 3
データフィルタリングプロ 1.
ファイルで使用されるデータ
パターンを定義します。
この例では、キーワードとし
て「confidential」を使用し、
ダッシュ付きの SSN 番号（例 - 2.
987-654-4320）を検索するオプ
ションを設定します。
3.
適切なしきい値を設定
し、ドキュメント内の
キーワードを定義する
と、誤検知を減らすのに
有効です。
4.
脅威防御
[ データフィルタリング ] プロファイルページで [ 追加 ]
をクリックし、[ データパターン ] ドロップダウンから
[ 新規 ] を選択します。[Objects] > [ カスタムシグネ
チャ] > [ データパターン ] からデータパターンを設定
することもできます。
この例では、データパターンシグネチャに「Detect SS
Numbers」という名前を付け、「Data Pattern to detect
Social Security numbers」という説明を追加します。
[ 重み ] セクションの [SSN 番号 ] に「3」と入力します。
詳細は、「重み値としきい値」を参照してください。
（任意）このプロファイルが適用される [ カスタムパ
ターン ] を設定することもできます。この場合は、カ
スタムパターンの [ 正規表現 ] フィールドでパターン
を指定し、重みを設定します。照合する正規表現を同
じデータパターンプロファイルに複数追加できます。
この例では、カスタムパターンが「confidential」（パ
ターンの大文字と小文字は区別されます）で
「SSN_Custom」という名前の [ カスタムパターン ] を
作成し、重みとして「20」を使用します。この例で
「confidential」という語を使用するのは、社会保障の
Word ドキュメントにこの語が含まれているからです。
そのため、この語を特に定義します。
371
セキュリティプロファイルとセキュリティポリシーのセットアップ
脅威防御
データフィルタリングの設定例（続き）
ステップ 4
ステップ 5
フィルタリングするアプリ 1.
ケーションを指定し、ファイ
ルタイプを設定します。
[ アプリケーション ] を [ いずれか ] に設定します。こ
れにより、web-browsing、FTP、SMTP などのサポート
されているアプリケーションすべてが検出されます。
アプリケーションを絞り込むには、リストから対象を
選択します。SSL を使用する Microsoft Outlook Web App
などのアプリケーションの場合は、復号化を有効にす
る必要があります。また、各アプリケーションの表示
名について理解しておくことも必要です。たとえば、
Outlook Web App はこのアプリケーションの Microsoft
名ですが、PAN-OS のアプリケーションリストでは
outlook-web アプリケーションとして示されます。所
定のアプリケーションのログを調べ、PAN-OS で定義
されている名前を識別できます。
2.
doc ファイルおよび docx ファイルのみをスキャンする
には、[ ファイルタイプ ] を [doc] および [docx] に設
定します。
フィルタリングするトラ 1.
フィックの方向としきい値を
指定します。
2.
[ 方向 ] を [both] に設定します。アップロードまたはダ
ウンロードされるファイルがスキャンされます。
3.
372
アラートしきい値を 35 に設定します。35. この場合、
社会保障番号が 5 インスタンス、confidential という単
語が 1 インスタンス存在するとアラートがトリガーさ
れます。式に当てはめると、重みが 3 の SSN インスタ
ンスが 5 つで 15、重みが 20 の単語 confidential のインス
タンスが 1 つで 20 となり、合計で 35 となります。
[ ブロックしきい値 ] を「50」に設定します。ファイル
での SSN インスタンスまたは単語 confidential のインス
タンスの合計数がしきい値の 50 になると、そのファイ
ルはブロックされます。たとえば、doc 内に重みが 20
の単語 confidential が 1 インスタンス含まれ（しきい値
の 20 に相当）、重みが 3 の社会保障番号が 15 インス
タンス含まれ（しきい値の 45 に相当）ているとしま
す。この場合は、20 と 45 を加算して 65 となり、ブ
ロックしきい値 50 を超えます。
脅威防御
脅威防御
セキュリティプロファイルとセキュリティポリシーのセットアップ
データフィルタリングの設定例（続き）
ステップ 6
ステップ 7
脅威防御
データフィルタリングプロファ 1.
イルをセキュリティルールに適
用します。
2.
[Policies] > [ セキュリティ] の順に選択し、プロファイル
を適用するセキュリティポリシールールを選択します。
セキュリティプロファイルルールをクリックして変更
し、次に [ アクション ] タブをクリックします。[ デー
タフィルタリング ] ドロップダウンで、作成した新し
いデータフィルタリングプロファイルを選択し、
[OK] をクリックして保存します。この例でのデータ
フィルタリングルール名は「DF_Profile1」です。
設定を [ コミット ] します。
373
セキュリティプロファイルとセキュリティポリシーのセットアップ
脅威防御
データフィルタリングの設定例（続き）
ステップ 8
データフィルタリング設定をテテストでは、実際の社会保障番号を使用し、各番号は一意
である必要があります。また、この例で単語 confidential
ストします。
を使用してカスタムパターンを定義したのと同様に、パ
データフィルタリングが正常
ターンでは大文字と小文字が区別されます。テストを簡易
に機能しない場合は、データ
に保つため、最初はデータパターンだけを使用してテスト
フィルタリングログまたはト
し、次に SSN をテストすることができます。
ラフィックログを調べてテス
1. ファイアウォールの Trust ゾーン内のクライアント PC
ト対象のアプリケーションを
にアクセスし、フィルタリングに定義したとおりの情
検証し、テストドキュメント
報を含む .doc ファイルまたは .docx ファイルをアップ
に適切な数の一意の社会保障
ロードする HTTP 要求を送信します。
番号インスタンスが含まれてい
ることを確認してください。た 2. 単語 confidential を 1 インスタンスと、ダッシュ付き社
会保障番号を 5 インスタンス含んだ Microsoft Word ド
とえば、Microsoft Outlook Web
キュメントを作成します。
App のようなアプリケーショ
ンは web-browsing として識別さ 3.
れているように思われても、
ログを見ると、そのアプリ
ケーションは outlook-web に 4.
なっています。また、SSN の
数やカスタムパターンを増や
5.
し、必ずしきい値に到達する
ようにしてください。
374
ファイルを Web サイトにアップロードします。復号化
を設定していない場合を除いて HTTP を使用します。
設定していない場合は HTTPS を使用できます。
[Monitor] > [ ログ ] > [ データフィルタリング ] ログを
選択します。
今アップロードしたファイルに対応するログを見つけ
ます。送信元のクライアント PC と宛先の Web サー
バーを使用するとログをフィルタリングするのに役立
ちます。ログの [ アクション ] 列に [reset-both] と表示
されます。これで、ドキュメント内の社会保障番号の
数を増やしてブロックしきい値をテストできます。
脅威防御
脅威防御
セキュリティプロファイルとセキュリティポリシーのセットアップ
ファイルブロッキングのセットアップ
この例を使用して、ファイルブロッキングおよび転送のセットアップに必要な基本手順につい
て説明します。この設定では、Web サイトから .exe ファイルをダウンロードする前に続行する
よう求めるプロンプトをユーザーに表示するために必要なオプションを設定します。この例の
テストでは、送信元との間にコンテンツをブロックしている他のシステムが存在する可能性が
あることに注意してください。
ファイルブロッキングの設定
ステップ 1
ステップ 2
脅威防御
ファイルブロッキングプロ 1.
ファイルを作成します。
[Objects] > [ セキュリティプロファイル ] > [ ファイルブ
ロッキング ] の順に選択し、[ 追加 ] をクリックします。
2.
ファイルブロッキングプロファイルの [ 名前 ] に
「Block_EXE」などと入力します。必要に応じて [ 内容 ]
に「ユーザーが Web サイトから exe ファイルをダウン
ロードできないようにする」などと入力します。
ファイルブロッキングのオプ 1.
ションを設定します。
2.
[追加] をクリックしてプロファイル設定を定義します。
[ 名前 ] に「BlockEXE」などと入力します。
3.
フィルタリングする [ アプリケーション ] を、たとえば
[web-browsing] に設定します。
4.
[ ファイルタイプ ] を [exe] に設定します。
5.
[ 方向 ] を [download] に設定します。
6.
[ アクション ] を [continue] に設定します。[continue] オ
プションを選択することにより、応答ページで、ファ
イルをダウンロードするために [ 続行 ] をクリックする
ようユーザーに求めるプロンプトが表示されます。
7.
[OK] をクリックしてプロファイルを保存します。
375
セキュリティプロファイルとセキュリティポリシーのセットアップ
脅威防御
ファイルブロッキングの設定（続き）
ステップ 3
ファイルブロッキングプロファ 1.
イルをセキュリティポリシー
に適用します。
「基本的なセキュリティポリシーのセットアップ」の
説明に従って、[Policies] > [ セキュリティ] の順に選択
し、既存のポリシーを選択するか、新しいポリシーを
作成します。
2.
セキュリティポリシー内の [アクション] タブをクリッ
クします。
3.
[ プロファイル設定 ] セクションで、ドロップダウンを
クリックし、設定したファイルブロッキングプロファ
イルを選択します。この例でのプロファイル名は
Block_EXE です。
4.
設定を [ コミット ] します。
前にセキュリティプロファイルを定義したことがない場合
は、[ プロファイルタイプ ] ドロップダウンを選択し、[ プ
ロファイル ] を選択します。セキュリティプロファイルを
選択するためのオプションの一覧が表示されます。
ステップ 4
ファイルブロッキング設定をテストするには、ファイアウォールの Trust ゾーンのクライア
ント PC にアクセスし、Untrust ゾーンの Web サイトから .exe ファイルのダウンロードを試
みます。応答ページが表示されます。[ 続行 ] をクリックしてファイルをダウンロードしま
す。[alert]、[forward]（WildFire に転送する）、[block]（ユーザーに続行ページが表示されな
い）などの他のアクションを設定することもできます。以下に、ファイルブロッキングの
デフォルト応答ページを示します。
例 : デフォルトのファイルブロッキング応答ページ
376
脅威防御
脅威防御
セキュリティプロファイルとセキュリティポリシーのセットアップ
ファイルブロッキングの設定（続き）
ステップ 5
（任意）カスタムファイルブロッキング応答ページを定義します（[Device] > [ 応答ペー
ジ ]）。これにより、応答ページに表示される情報量を増やすことができます。会社のポリ
シーの情報やヘルプデスクの連絡先情報などを含めることができます。
[continue] または [continue-and-forward]（WildFire 転送に使用される）のいずれかのアク
ションを使用してファイルブロッキングプロファイルを作成する場合、選択できる
アプリケーションは web-browsing のみです。その他のアプリケーションを選択する
と、ユーザーには続行ページのプロンプトが表示されないため、セキュリティポリ
シーに一致するトラフィックはファイアウォールを通過しません。また、Web サイ
トで HTTPS を使用している場合は、復号ポリシーを設定する必要があります。
ログを調べ、この機能をテストするときに使用中のアプリケーションを確認することができます。たと
えば、Microsoft Sharepoint を使用してファイルをダウンロードする場合は、Web ブラウザを使用してその
サイトにアクセスするとしても、実際のアプリケーションは sharepoint-base または sharepoint-document
です。テストでは、アプリケーションタイプは [ いずれか ] に設定できます。
脅威防御
377
ブルートフォース攻撃の防御
脅威防御
ブルートフォース攻撃の防御
ブルートフォース攻撃は、同じ送信元または宛先 IP アドレスで大量の要求 / 応答を使用してシ
ステムに侵入します。攻撃者は試行錯誤を繰り返す方法によって、チャレンジまたは要求に対
する応答を推測します。
ファイアウォールの脆弱性防御プロファイルにはブルートフォース攻撃から保護するシグネ
チャも含まれています。各シグネチャには ID、脅威名、重大度が設定されており、パターンが
記録されるとトリガーされます。パターンは、トラフィックがブルートフォース攻撃と識別さ
れる条件と間隔を指定します。一部のシグネチャは、重大度がより低く、一致パターンを指定
する別の子シグネチャと関連付けられています。パターンがシグネチャや子シグネチャと一致
すると、シグネチャのデフォルトアクションがトリガーされます。
防御を適用するには、以下の手順を実行します。

脆弱性プロファイルをセキュリティルールに関連付けます。「アンチウイルス、アンチスパ
イウェア、および脆弱性防御のセットアップ」を参照してください。

新しいシグネチャを含むコンテンツ更新をインストールし、新たに出現した脅威から防御し
ます。「コンテンツ更新の管理」を参照してください。

ブルートフォース攻撃シグネチャとトリガー

ブルートフォースシグネチャのアクションとトリガー条件のカスタマイズ
378
脅威防御
脅威防御
ブルートフォース攻撃の防御
ブルートフォース攻撃シグネチャとトリガー
以下の表に、いくつかのブルートフォース攻撃シグネチャおよびそれをトリガーをする条件の
リストを示します。
シグネチャ ID 脅威名
40001
40003
40004
40005
40006
脅威防御
子シグネチャ ID
トリガー条件
FTP: Login Brute Force 40000
Attempt
頻度 : 60 秒間に 10 回
DNS: Spoofing Cache
Record Attempt
40002
頻度 : 60 秒間に 100 回
SMB: User Password
Brute-force Attempt
31696
LDAP: User Login
Brute-force Attempt
31706
HTTP: User
Authentication
Brute-force Attempt
31708
パターン子シグネチャ 40000 は、エラー
コード 430 を含む FTP 応答メッセージを
記録して、pass コマンドの後、無効な
ユーザー名またはパスワードが送信され
たことを示します。
パターン子シグネチャ 40002 は、
Question、Answer、Authority、および
Additional リソースレコードフィールド
のカウントが 1 になっている DNS 応答
ヘッダーを記録します。
頻度 : 60 秒間に 14 回
パターン子シグネチャ 31696 は、任意の
SMB コマンドの応答エラーコード
0x50001 およびエラーコード 0xc000006d
を記録します。
頻度 : 60 秒間に 20 回
パターン子シグネチャ 31706 は LDAP
bindResponse(27) の結果コード 49 を探し
ます。結果コード 49 は無効な認証情報
を示します。
頻度 : 60 秒間に 100 回
パターン子シグネチャ 31708 は応答ヘッ
ダーフィールドが WWW-Authenticate の
HTTP ステータスコード 401 を探しま
す。ステータスコード 401 は認証失敗を
示します。
379
ブルートフォース攻撃の防御
脅威防御
シグネチャ ID 脅威名
子シグネチャ ID
トリガー条件
40007
31709
頻度 : 60 秒間に 10 回
MAIL: User Login
Brute-force Attempt
パターン子シグネチャ 31709 は、SMTP、
POP3、および IMAP アプリケーションに
対応しています。以下に各アプリケー
ションのトリガー条件を示します。
SMTP: 応答コード 535
imap: No/bad logon/login failure
POP3: POP3 の PASS コマンドでの ERR
40008
40009
40010
40011
40012
40013
40014
40015
380
MySQL Authentication
Brute-force Attempt
31719
Telnet Authentication
Brute-force Attempt
31732
Microsoft SQL Server
User Authentication
Brute-force Attempt
31753
Postgres Database User
Authentication
Brute-force Attempt
31754
Oracle Database User
Authentication
Brute-force Attempt
31761
Sybase Database User
Authentication
Brute-force Attempt
31763
DB2 Database User
Authentication
Brute-force Attempt
31764
頻度 : 60 秒間に 25 回
パターン子シグネチャ 31719 は、mysql
clientauth ステージでのエラーコード 1045
を探します。
頻度 : 60 秒間に 10 回
パターン子シグネチャ 31732 は、応答パ
ケット内の login incorrect を探します。
頻度 : 60 秒間に 20 回
パターン子シグネチャ 31753 は、応答パ
ケット内の Login failed for user を探します。
頻度 : 60 秒間に 10 回
パターン子シグネチャ 31754 は、応答パ
ケット内の password authentication failed for user
を探します。
頻度 : 60 秒間に 7 回
パターン子シグネチャ 31761 は、応答パ
ケット内の password authentication failed for user
を探します。
頻度 : 60 秒間に 10 回
パターン子シグネチャ 31763 は、応答パ
ケット内の Login failed を探します。
SSH User Authentication 31914
Brute-force Attempt
頻度 : 60 秒間に 20 回
パターン子シグネチャ 31764 は、重大度
コード 8 およびセキュリティチェック
コード 0xf の 0x1219 コードポイントを探
します。
頻度 : 60 秒間に 20 回
パターン子シグネチャ 31914 は、SSH
サーバーへのすべての接続でアラートに
なります。
脅威防御
脅威防御
ブルートフォース攻撃の防御
シグネチャ ID 脅威名
子シグネチャ ID
トリガー条件
40016
SIP INVITE Method
Request Flood Attempt
31993
頻度 : 60 秒間に 20 回
VPN: PAN BOX SSL
VPN Authentication
Brute-force Attempt
32256
HTTP: Apache Denial
Of Service Attempt
32452
HTTP: IIS Denial Of
Service Attempt
32513
40017
40018
40019
40020
40021
40022
40023
40028
脅威防御
パターン子シグネチャ 31993 は、SIP
セッションの INVITE メソッドを探しま
す。これは、クライアントが通話への参
加に招待されたことを示します。
頻度 : 60 秒間に 10 回
パターン子シグネチャ 32256 は、HTTP
応答ヘッダー内の x-private-pan-sslvpn:
auth-failed を探します。
頻度 : 60 秒間に 40 回
パターン子シグネチャ 32452 は、応答内
に content-length があって \r\n\r\n を含ま
ないものを探します。
頻度 : 20 秒間に 10 回
パターン子シグネチャ 32513 は、.aspx を
含む HTTP URI パス上の %3f を探します。
Digium Asterisk IAX2
32785
Call Number Exhaustion
Attempt
頻度 : 30 秒間に 10 回
MS-RDP: MS Remote
Desktop Connect
Attempt
33020
頻度 : 100 秒間に 8 回
HTTP: Microsoft
ASP.Net Information
Leak brute force
Attempt
33435
SIP: SIP Register
Request Attempt
33592
SIP: SIP Bye Message
Brute Force Attack
34520
パターン子シグネチャ 32785 は、Asterisk
メッセージ内の通話番号フィールドを探
します。
パターン子シグネチャ 33020 は、ms-rdp
要求内の CONNECT アクションを探し
ます。
頻度 : 60 秒間に 30 回
パターン子シグネチャ 33435 は、応答
コード 500 および \nX-Powered-By: ASP\.NET
を含む応答ヘッダーを探します。
頻度 : 60 秒間に 60 回
パターン子シグネチャ 33592 は、
REGISTER SIP メソッドを探します。こ
のメソッドは、To ヘッダーフィールド
にリストされているアドレスを SIP サー
バーに登録するものです。
頻度 : 60 秒間に 20 回
パターン子シグネチャ 34520 は、通話を
終了するために使用される SIP BYE 要求
を探します。
381
ブルートフォース攻撃の防御
脅威防御
シグネチャ ID 脅威名
子シグネチャ ID
トリガー条件
40030
HTTP: HTTP NTLM
Authentication Brute
Force Attack
34548
頻度 : 60 秒間に 20 回
HTTP: HTTP
Forbidden Brute Force
Attack
34556
HTTP: HOIC Tool
Brute Force Attack
34767
40031
40032
40033
40034
382
パターン子シグネチャ 34548 は HTTP ス
テータスコード 407 および NTLM プロ
キシサーバーによる認証の失敗を探し
ます。
パターン子シグネチャ 34556 は、HTTP
403 応答を探します。これは、サーバー
が有効な HTTP 要求を拒否したことを示
します。
頻度 : 60 秒間に 100 回
パターン子シグネチャ 34767 は、HOIC
(High Orbit Ion Cannon) DDoS ツールから
の HTTP 要求を探します。
DNS: ANY Queries
34842
Brute Force DOS Attack
SMB: Microsoft
Windows SMB NTLM
Authentication Lack of
Entropy Vulnerability
頻度 : 60 秒間に 100 回
35364
頻度 : 60 秒間に 60 回
パターン子シグネチャ 34842 は、DNS
ANY レコードクエリを探します。
頻度 : 60 秒間に 60 回
パターン子シグネチャ 35364 は、SMB
Negotiate (0x72) 要求を探します。短い時
間に複数の要求がある場合は、
CVE-2010-0231 に対する攻撃を示してい
る可能性があります。
脅威防御
脅威防御
ブルートフォース攻撃の防御
ブルートフォースシグネチャのアクションとトリガー条件のカスタマイズ
ファイアウォールには、2 種類の事前定義されたブルートフォースシグネチャが含まれていま
す。親シグネチャと子シグネチャです。子シグネチャはシグネチャに一致するトラフィックパ
ターンの 1 回の発生です。親シグネチャは子シグネチャに関連付けられ、子シグネチャで定義
されたトラフィックパターンに一致するイベントが一定時間内に複数回発生した場合にトリ
ガーされます。
通常、子シグネチャのデフォルトアクションは allow です。1 回のイベントだけで攻撃されたこ
とにはならないためです。多くの場合、子シグネチャのアクションは、正当なトラフィックが
ブロックされないように、また、注目に値しないイベントに対して脅威ログが生成されないよ
うに、allow に設定されています。そのため、デフォルトアクションを変更する場合は、慎重に
検討することをお勧めします。
多くの場合、ブルートフォースシグネチャが注目に値するイベントであるのは、その繰り返し
パターンのためです。ブルートフォースシグネチャのアクションをカスタマイズするには、以
下のいずれかを実行します。

ブルートフォースカテゴリ内のすべてのシグネチャのデフォルトアクションを変更するルー
ルを作成します。トラフィックを許可、アラート、ブロック、リセット、または破棄するア
クションを定義できます。

特定のシグネチャに例外を定義します。たとえば、CVE を検索して、それに例外を定義でき
ます。
親シグネチャの場合、トリガー条件およびアクションの両方を変更できます。子シグネチャ
の場合は、アクションのみが変更できます。
効果的に攻撃を軽減するには、ほとんどのブルートフォースシグネチャで drop アクションや
reset アクションよりも block-ip address アクションをお勧めします。
シグネチャのしきい値およびアクションのカスタマイズ
ステップ 1
脅威防御
新しい脆弱性防御プロファイ 1.
ルを作成します。
[Objects] > [ セキュリティプロファイル ] > [ 脆弱性防
御 ] の順に選択します。
2.
[ 追加 ] をクリックし、脆弱性防御プロファイルの [ 名
前 ] を入力します。
383
ブルートフォース攻撃の防御
脅威防御
シグネチャのしきい値およびアクションのカスタマイズ（続き）
ステップ 2
384
カテゴリ内のすべてのシグネ 1.
チャのアクションを定義する
ルールを作成します。
2.
[ ルール ] を選択し、[ 追加 ] をクリックして [ ルール名 ]
を入力します。
[ アクション ] を設定します。この例では、[ ブロック ]
に設定されています。
3.
[ カテゴリ ] を [brute-force] に設定します。
4.
（任意）ブロックする場合、サーバーとクライアント
のどちらをブロックするかを指定します。デフォルト
は [any] です。
5.
特定のシグネチャのアクションをカスタマイズする方
法については、ステップ 3 を参照してください。
6.
親シグネチャのトリガーしきい値をカスタマイズする
方法については、ステップ 4 を参照してください。
7.
[OK] をクリックしてルールおよびプロファイルを保存
します。
脅威防御
脅威防御
ブルートフォース攻撃の防御
シグネチャのしきい値およびアクションのカスタマイズ（続き）
ステップ 3
（任意）特定のシグネチャの 1.
アクションをカスタマイズし
ます。
[ 例外 ] を選択し、[ すべてのシグネチャの表示 ] をク
リックして、変更するシグネチャを見つけます。
ブルートフォースカテゴリのすべてのシグネチャを表示
するには、「category contains 'brute-force'」と検索します。
2.
特定のシグネチャを編集するには、[ アクション ] 列の事
前定義されたデフォルトアクションをクリックします。
3.
アクションを [allow]、[alert]、または [block-ip] に設
定します。
4.
[block-ip] を選択した場合、以下の追加タスクを実行し
ます。
a. [ 日時 ] にアクションをトリガーするまでの時間を秒
数で指定します。
b. [ 追跡 ] フィールドで、IP アドレスを [IP ソース ] ま
たは [IP ソースおよび宛先 ] のどちらによってブロッ
クするかを定義します。
脅威防御
5.
[OK] をクリックします。
6.
変更したシグネチャのそれぞれに対して、[ 有効化 ] 列
のチェックボックスをオンにします。
7.
[OK] をクリックします。
385
ブルートフォース攻撃の防御
脅威防御
シグネチャのしきい値およびアクションのカスタマイズ（続き）
ステップ 4
親シグネチャのトリガー条件 1.
をカスタマイズします。
をクリックし、シグネチャの時間属性および集約条
件を編集します。
編集可能な親シグネチャには
このアイコン
がついてい
ます。
この例では、検索条件はブ
ルートフォースカテゴリおよ
び CVE-2008-1447 です。
ステップ 5
この新しいプロファイルをセ
キュリティルールに関連付け
ます。
ステップ 6
変更を保存します。
386
2.
トリガーしきい値を変更するには、[ ビット数 ] [per] x
[seconds] を指定します。
3.
ヒット数を [source]、[destination]、または[source and
destination] のいずれで集約するかを指定します。
4.
[OK] をクリックします。
1.
[ コミット ] をクリックします。
脅威防御
脅威防御
ネットワークをレイヤー 4 およびレイヤー 7 回避から保護するためのベストプラクティス
ネットワークをレイヤー 4 およびレイヤー 7 回避から保護
するためのベストプラクティス
以下に、ほとんどのレイヤー 4 攻撃およびレイヤー 7 攻撃をモニタリングし、ネットワークを
保護するための推奨事項を示します。

最新の PAN-OS ソフトウェアバージョンおよびコンテンツリリースバージョンにアップグ
レードして、最新のセキュリティ更新を使用してください。「コンテンツ更新の管理」お
よび「ソフトウェア更新のインストール」を参照してください。

Web サーバーについては、サーバーが対応しているプロトコルのみを許可するセキュリティ
ポリシーを作成します。たとえば、Web サーバーには HTTP トラフィックのみが許可され
るようにしてください。カスタムアプリケーション用のアプリケーションオーバーライド
ポリシーを定義した場合、特定の送信元ゾーンまたは IP アドレス群にアクセスを制限する
ようにしてください。

以下のセキュリティプロファイルをセキュリティポリシーに関連付けて、シグネチャベー
スの防御を提供します。
–
脆弱性防御プロファイルを作成して、重大度が「low」以上の脆弱性をすべてブロック
します。
–
アンチスパイウェアプロファイルを作成して、すべてのスパイウェアをブロックします。
–
アンチウイルスプロファイルを作成して、アンチウイルスシグネチャに一致するコン
テンツをすべてブロックします。

セキュリティポリシーを使用してすべての不明なアプリケーション/トラフィックをブロッ
クします。通常、不明なトラフィックに分類されるのは、ネットワーク上の内部アプリ
ケーションまたはカスタムアプリケーション、すなわち潜在的な脅威です。不明なトラ
フィックは、変則的で異常な非準拠のアプリケーションまたはプロトコル、または非標準
ポートを使用する不明なアプリケーションの可能性があるため、ブロックする必要がありま
す。「カスタムアプリケーションや不明なアプリケーションの管理」を参照してください。

ファイルブロッキングプロファイルを作成し、インターネットベースの SMB (Server Message
Block) トラフィックの Portable Executable (PE) ファイルタイプが Trust ゾーンから Untrust
ゾーンに通過するのをブロックします（ms-ds-smb アプリケーション）。
さらに防御を強化するには、アンチウイルスポリシーを作成して、既知の悪意ある DDL
ファイルをすべて検出し、ブロックします。
脅威防御
387
ネットワークをレイヤー 4 およびレイヤー 7 回避から保護するためのベストプラクティス


脅威防御
ゾーンプロテクションプロファイルを作成して、パケットベースの攻撃を防御します。
–
ファイアウォールが SYN パケットを転送する前に、パケットの TCP タイムスタンプを
削除します。SYN パケットの TCP タイムスタンプオプションを削除すると、TCP 接続
の両端の TCP スタックで TCP タイムスタンプがサポートされなくなります。したがっ
て、SYN パケットの TCP タイムスタンプを無効にすることで、同じシーケンス番号の
複数のパケットに異なるタイムスタンプを使用する攻撃を阻止できます。
–
不正な形式のパケットをドロップします。
–
一致しない重複 TCP セグメントのドロップ — 重複するが一致しないデータを故意に使
用して接続を構築することにより、攻撃者は接続の意図を間違って解釈させることがで
きます。これは故意に誤検知または検出もれを引き起こすために使用できます。攻撃者
は、IP スプーフィングとシーケンス番号予測を利用してユーザー接続をインターセプト
し、自身のデータを接続に注入します。PAN-OS は、このフィールドを使用して、不一
致かつ重複するデータを含むフレームを破棄します。受信したセグメントが破棄される
のは、受信したセグメントが別のセグメントに含まれている場合、受信したセグメント
がセグメントの別の部分と重複する場合、またはセグメントが別のセグメントを完全に
含む場合です。
IPv6 アドレスをネットワークホスト上に設定している場合、IPv6 のサポートが有効になっ
ていることを確認します。（[Network] > [ インターフェイス ] > [Ethernet] > [IPv6]）
これにより、IPv6 ホストにアクセスし、IPv4 内にカプセル化された IPv6 パケットをフィル
タリングできるようになります。IPv6 のサポートを有効にすることにより、IPv6 over IPv4
マルチキャストアドレスがネットワーク偵察に利用されるのを防ぎます。

マルチキャストトラフィックのサポートを有効にして、ファイアウォールがマルチキャス
トトラフィックにポリシーを適用できるようにします。（[Network] > [ 仮想ルーター] >
[ マルチキャスト ]）

以下の CLI コマンドを有効にして、TCP ヘッダー内の URG ビットフラグをオフにし、パ
ケットのアウトオブバンド処理を禁止します。
TCP ヘッダー内の緊急ポインターは、パケットを処理キューから削除し、ホストの TCP/IP
スタックで迅速に処理することによって、パケットが即時に処理されるようにします。こ
の処理はアウトオブバンド処理と呼ばれます。緊急ポインターの実装はホストによって異
なるため、あいまいさを排除するため、以下の CLI コマンドを使用してアウトオブバンド
処理を禁止してください。ペイロード内のアウトオブバンドバイトはペイロードの一部と
なるため、パケットは緊急で処理されません。この変更によって、ファイアウォールおよ
びホストでのパケットの処理方法にあいまいさをなくすことができるため、ファイア
ウォールは、プロトコルスタック内でパケットの宛先ホストとまったく同じストリームが
見えるようになります。
set deviceconfig setting tcp urgent-data clear
388
脅威防御
脅威防御

ネットワークをレイヤー 4 およびレイヤー 7 回避から保護するためのベストプラクティス
URG フラグをクリアして、パケットの TCP ヘッダーにその他のフラグが設定されないよう
にファイアウォールを設定する場合は、次の CLI コマンドを使用してフラグの設定されて
いないパケットをドロップするようファイアウォールを設定します。
set deviceconfig setting tcp drop-zero-flag yes

以下の CLI コマンドを有効にして、bypass-exceed-queue を無効にします。
超過キューのバイパスは、順序の乱れたパケットのために必要です。このシナリオは、
ファイアウォールが順序の乱れたパケットを受信する非対称環境で最も一般的です。特定
のアプリケーションの識別 (App-ID) のために、ファイアウォールはヒューリスティクス分
析を実行します。受信したパケットの順序が乱れている場合、アプリケーションの分析を
完了するためには、データをキューにコピーする必要があります。
set deviceconfig setting application bypass-exceed-queue no

以下の CLI コマンドを有効にして、順序外パケットが制限に達した場合にパケットの検査を
無効にします。Palo Alto Networks のファイアウォールはセッションごとに最大 32 個の順序
外パケットを収集できます。このカウンターは、32 個のパケット制限を超えたことを識別
します。バイパス設定が no に設定されている場合、デバイスは 32 個の制限を超えた順序外
パケットを破棄します。コミットが必要です。
set deviceconfig setting tcp bypass-exceed-oo-queue no
set deviceconfig setting ctd tcp-bypass-exceed-queue no
set deviceconfig setting ctd udp-bypass-exceed-queue no

以下の CLI コマンドを有効にして、TCP タイムスタンプを確認します。TCP タイムスタン
プは、セグメントがいつ送信されたかを記録します。ファイアウォールはタイムスタンプ
がセッションに対して有効であることを確認できます。この設定を有効にすると、タイム
スタンプが無効なパケットはドロップされます。
set deviceconfig setting tcp check-timestamp-option yes
脅威防御
389
パッシブ DNS 収集を有効にして脅威インテリジェンスを向上する
脅威防御
パッシブ DNS 収集を有効にして脅威インテリジェンスを
向上する
パッシブ DNS は、ファイアウォールがパッシブ DNS センサーとして機能し、選択した DNS 情
報を Palo Alto Networks に送信して分析できるようにして、脅威インテリジェンスと脅威防御機
能の向上を図るオプトイン機能です。収集されるデータとして、非再帰的（個々のクライアン
トではなく、ローカルの再帰的リゾルバから発行される）DNS クエリや、応答パケットのペイ
ロードなどがあります。パッシブ DNS モニタリング機能によって送信されるデータは、ドメイ
ン名から IP アドレスへの単なるマッピングです。Palo Alto Networks はこのデータの送信元の記
録を保持していないため、後でこのデータを送信元に関連付ける機能を備えていません。
Palo Alto Networks の脅威調査チームは、DNS システムを悪用するマルウェアの増殖およびセ
キュリティ回避の技法を正確に深く理解するために、この情報を使用します。このデータ収集
によって集められた情報は、PAN-DB URL フィルタリング、DNS ベースのコマンドアンドコン
トロールシグネチャ、および WildFire 内の精度とマルウェア検出機能の向上に使用されます。
DNS 応答は Palo Alto Networks にのみ転送され、次の要件が満たされた場合のみ生成されます。

DNS 応答ビットが設定されている

DNS 切り捨てビットが設定されていない

DNS 再帰ビットが設定されていない

DNS 応答コードが 0 または 3 (NX) である

DNS 質問数が 0 より大きい

DNS 回答 RR 数が 0 より大きいか、0 の場合はフラグが 3 (NX) である必要がある

DNS クエリレコードタイプが A、NS、CNAME、AAAA、MX である
パッシブ DNS モニタリングはデフォルトで無効になっていますが、脅威インテリジェンスの向
上を容易に実現するために有効にすることをお勧めします。パッシブ DNS を有効化するには、
以下の手順を実行します。
パッシブ DNS の有効化
1.
[Objects] > [ セキュリティプロファイル ] > [ アンチスパイウェア ] の順に選択し
ます。
2.
既存のプロファイルを選択して変更するか、新規のプロファイルを作成します。
このアンチスパイウェアプロファイルは、お使いの DNS サーバーの外部
DNS トラフィックを管理するセキュリティポリシーに添付する必要があり
ます。
3.
[DNS シグネチャ] タブで [ パッシブ DNS モニタリングを有効にする ] チェックボッ
クスをオンにします。
4.
[OK] をクリックし、[ コミット ] をクリックします。
390
脅威防御
脅威防御
DNS クエリを使用してネットワーク上の感染ホストを特定する
DNS クエリを使用してネットワーク上の感染ホストを特
定する
アンチスパイウェアプロファイルの DNS シンクホールアクションは、既知の悪意あるドメイ
ンの DNS クエリに対する応答をファイアウォールが偽装して、悪意あるドメイン名を、管理者
が定義した IP アドレスに解決できるようにします。これにより、ネットワーク上のマルウェア
に感染したホストを特定できます。以下のトピックでは、DNS シンクホールアクションについ
て説明し、同アクションを有効にして、ログをモニターし、感染ホストを特定する手順を示し
ます。

DNS シンクホール

DNS シンクホールの設定

感染ホストの特定
脅威防御
391
DNS クエリを使用してネットワーク上の感染ホストを特定する
脅威防御
DNS シンクホール
DNS シンクホール機能を使用すると、ファイアウォールが感染クライアントの DNS クエリを
見ることができない状況（つまり、ファイアウォールが DNS クエリの発信元を確認できない状
況）で、DNS トラフィックを使用して保護されたネットワーク上の感染ホストを特定できま
す。ファイアウォールがローカル DNS サーバーよりもインターネット側にある通常のデプロイ
メントでは、脅威ログは、実際の感染ホストではなくローカル DNS リゾルバをトラフィックの
送信元として識別します。マルウェア DNS クエリのシンクホール処理では、この可視性の問題
を次のようにして解決します。すなわち、クライアントホストによる悪意あるドメインへのク
エリに対する応答を偽装することで、悪意あるドメイン（たとえば、コマンドアンドコント
ロールなど）への接続を試みるクライアントが、管理者が定義したシンクホール IP アドレスに
接続を試みるように仕向けます（「DNS シンクホールの設定」を参照）。こうすることで、ト
ラフィックログを調べて感染ホストを容易に特定できます。シンクホール IP への接続を試みる
ホストはすべて、マルウェアに感染している可能性が高いためです。
図 : DNS シンクホールの例
392
脅威防御
脅威防御
DNS クエリを使用してネットワーク上の感染ホストを特定する
DNS シンクホールの設定
DNS シンクホールを有効にするには、アンチスパイウェアプロファイルで DNS シンクホール
アクションを有効にして、そのプロファイルをセキュリティルールに添付する必要がありま
す。クライアントホストが悪意あるドメインにアクセスを試みると、ファイアウォールは、管
理者が DNS シンクホールアドレスとして設定した IP アドレスを使用して、パケットの宛先 IP
アドレスを偽装します。
DNS シンクホールの設定
ステップ 1
シンクホール IP アドレスとし以下に示す設定手順では、次の DNS シンクホールアドレ
て使用する IPv4 および IPv6 アスを使用します。
ドレスを取得します。
IPv4 DNS シンクホールアドレス — 10.15.0.20
シンクホール IP アドレスと IPv6 DNS シンクホールアドレス — fd97:3dec:4d27:e37c:5:5:5:5
セッションの開始を試みた感
染ホストがファイアウォール
経由でルーティングされるよ
うに、DNS シンクホールアド
レスは、クライアントホスト
と異なるゾーンに属している
必要があります。IPv4 と IPv6
の両方のアドレスが必要とな
るのは、悪意あるソフトウェ
アが、IPv4 と IPv6 のどちらか
一方または両方のプロトコル
を使用して DNS クエリを実行
する可能性があるからです。
このシンクホールアド
レスは、この目的のた
めに予約する必要があ
ります。このアドレス
を物理ホストに割り当
てる必要はありませ
ん。また、ハニーポッ
トサーバーを物理ホス
トとして使用すること
で、悪意あるトラ
フィックをさらに詳し
く分析することもでき
ます。
脅威防御
393
DNS クエリを使用してネットワーク上の感染ホストを特定する
脅威防御
DNS シンクホールの設定（続き）
ステップ 2
シンクホールインターフェイス 1.
とゾーンを設定します。
クライアントホストが存在す
るゾーンからのトラフィック 2.
はシンクホール IP アドレスが
定義されているゾーンにルー 3.
ティングする必要がありま
す。これにより、トラフィッ
クがログに記録されます。
シンクホールトラフィッ 4.
クには専用のゾーンを
使用します。このゾー
ンに、感染ホストから
のトラフィックが送信 5.
されます。
6.
[Network] > [ インターフェイス ] の順に選択し、シン
クホールインターフェイスとして設定するインター
フェイスを選択します。
[インターフェイスタイプ] ドロップダウンリストで、
[ レイヤー 3] を選択します。
IPv4 アドレスを追加するには、[IPv4] タブで [ スタ
ティック ] を選択して、[ 追加 ] をクリックします。こ
の例では、192.168.2.0/24 が IPv4 DNS シンクホールア
ドレスになります。
[IPv6] タブで [ スタティック ] を選択し、[ 追加 ] をク
リックして、IPv6 アドレスとサブネットマスクを入力
します。この例では、fd97:3dec:4d27:e37c::/64 が IPv6 シ
ンクホールアドレスになります。
[OK] をクリックして保存します。
シンクホールのゾーンを追加するには、[Network] >
[ゾーン ] の順に選択して、[追加 ] をクリックします。
7.
ゾーンの [ 名前 ] を入力します。
8.
[ タイプ ] ドロップダウンリストで、[ レイヤー 3] を選
択します。
9.
[ インターフェイス ] セクションで、[ 追加 ] をクリック
して、先ほど設定したインターフェイスを追加します。
10. [OK] をクリックします。
394
脅威防御
脅威防御
DNS クエリを使用してネットワーク上の感染ホストを特定する
DNS シンクホールの設定（続き）
ステップ 3
アンチスパイウェアプロファイ 1.
ルで DNS シンクホールを有効
化します。
2.
[Objects] > [ セキュリティプロファイル ] > [ アンチス
パイウェア ] の順に選択します。
3.
プロファイルの [ 名前 ] を入力し、[DNS シグネチャ] タ
ブを選択します。
4.
[DNS クエリに対するアクション ] ドロップダウンリス
トで、[ シンクホール ] を選択します。
5.
[シンクホール IPv4] フィールドに、ステップ 2 で設定し
た IPv4 シンクホールアドレス（この例では 10.15.0.20）
を入力します。
6.
[ シンクホール IPv6] フィールドに、ステップ 2 で設定
した IPv6 シンクホールアドレス（この例では
fd97:3dec:4d27:e37c:5:5:5:5）を入力します。
既存のプロファイルを変更するか、既存のデフォルト
プロファイルの 1 つを選択してコピーします。
デフォルトのシンクホールアドレスは、ループ
バックアドレス（IPv4 の場合は 127.0.0.1、IPv6
の場合は ::1）です。
脅威防御
7.
（任意）[ パケットキャプチャ] ドロップダウンリスト
で、[single-packet] または [extended-capture] を選
択します。single-packet オプションを選択するとセッ
ションの最初のパケットがキャプチャされます。
extended-capture は 1 ～ 50 パケットの間に設定できま
す。パケットキャプチャを使用して、さらに詳しい分
析を行うことができます。
8.
[OK] をクリックしてプロファイルを保存します。
395
DNS クエリを使用してネットワーク上の感染ホストを特定する
脅威防御
DNS シンクホールの設定（続き）
ステップ 4
Trust ゾーンのクライアントホ
ストから Untrust ゾーンへのト
ラフィックを許可するセキュ
リティポリシールールを編集
して、シンクホールゾーンを
宛先に含め、アンチスパイ
ウェアプロファイルを添付し
ます。
1.
[Policies] > [ セキュリティ] の順に選択します。
2.
クライアントホストゾーンから Untrust ゾーンへのト
ラフィックを許可する既存のルールを選択します。
3.
[ 宛先 ] タブで、シンクホールゾーンを [ 追加 ] します。
これにより、クライアントホストトラフィックがシン
クホールゾーンに流れるようになります。
4.
[アクション] タブで、[セッション開始時にログ] チェッ
クボックスをオンにして、ログを有効にします。これ
により、Trust ゾーンのクライアントホストからのトラ
フィックが、Untrust ゾーンまたはシンクホールゾーン
へのアクセス時にログに記録されるようになります。
感染ホストからのトラフィッ
クを識別しようとしているこ
とを明確にするため、上記の
変更は、Trust ゾーンのクライ
5.
アントホストから Untrust ゾー
ンへのトラフィックを許可す
るセキュリティルールに対し
て行います。シンクホール 6.
ゾーンをルールに宛先として
追加することで、感染クライ
アントが偽の DNS クエリを
DNS シンクホールに送信する
ようになります。
396
[ プロファイル設定 ] セクションで、DNS シンクホール
を有効にした [ アンチスパイウェア ] プロファイルを選
択します。
[OK] をクリックしてセキュリティルールを保存してか
ら、[ コミット ] します。
脅威防御
脅威防御
DNS クエリを使用してネットワーク上の感染ホストを特定する
DNS シンクホールの設定（続き）
ステップ 5
感染ホストを確実に特定でき 1.
るようにするために、Trust
ゾーンのクライアントホスト
から新しいシンクホールゾー
ンへのトラフィックがログに
記録されていることを確認し
ます。
この例では、感染ホストは
192.168.2.10、シンクホールの
IPv4 アドレスは 10.15.0.20 です。
Trust ゾーンのクライアントホストでコマンドプロン
プトを開き、以下のコマンドを実行します。
C:\>ping <sinkhole address>
以下の出力例は、DNS シンクホールアドレス 10.15.0.2
に対して Ping 要求を送信したときの結果です。この例
では、シンクホール IP アドレスが物理ホストに割り当
てられていないため、結果は、Request timed out に
なっています。
C:\>ping 10.15.0.20
Pinging 10.15.0.20 with 32 bytes of data:
Request timed out.
Request timed out.
Ping statistics for 10.15.0.20:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss)
2.
ファイアウォール上で、[Monitor] > [ ログ ] > [ トラ
フィック] の順に選択して、送信元が 192.168.2.10、宛先
が 10.15.0.20 のログエントリを探します。これにより、
シンクホール IP アドレスへのトラフィックがファイア
ウォールゾーンを通過していることを確認できます。
ログを検索またはフィルタリングして、宛先が
10.15.0.20 のログのみ表示することもできます。
それには、[ 宛先 ] 列で IP アドレス (10.15.0.20) を
クリックします。すると、検索フィールドに
フィルタ (addr.dst in 10.15.0.20) が追加されます。
検索フィールドの右側の [ フィルタの適用 ] アイ
コンをクリックして、フィルタを適用します。
脅威防御
397
DNS クエリを使用してネットワーク上の感染ホストを特定する
脅威防御
DNS シンクホールの設定（続き）
ステップ 6
DNS シンクホール機能が正しくテストに使用する悪意あるドメインを検索するには、以下
設定されていることを確認すの手順を実行します。
るために使用する悪意あるド 1. [Device] > [ ダイナミック更新 ] の順に選択し、[ アンチ
メインを特定します。
ウイルス ] セクションの [ リリースノート ] リンクをク
リックして、インストール済みの最新のアンチウイル
この機能をテストするには、
ス DB を表示します。アンチウイルスリリースノート
ファイアウォールの現在のア
は、ダイナミック更新のサポートサイトにも置いてあ
ンチウイルスシグネチャデー
ります。多くの場合、シグネチャ更新では追加分のみ
タベースに登録されている悪
が更新されるため、新規のウイルスと DNS シグネチャ
意あるドメインを使用する必
のみが表示されます。（本書の執筆時点ではまだです
要があります。悪意あるドメ
が）これからファイアウォールにインストールされる
インを特定するために使用す
と思われるアンチウイルスシグネチャおよび DNS シ
る DNS シグネチャは、アンチ
グネチャも多数あります。
ウイルスシグネチャデータ
ベースに登録されている数十 2. リリースノートの 2 列目で、特定のドメイン拡張子（た
とえば、com、edu、net など）を持つ行項目を探しま
万のシグネチャのごく一部に
す。左側の列にドメイン名が表示されます。たとえ
過ぎません。
ば、アンチウイルスリリース 1117-1560 には、左側の
列が "tbsbana" で、右側の列が "net" になっている項目
があります。
以下に、リリースノートのこの項目の内容を示します。
conficker:tbsbana1 variants: net
このドメインは現在のデータベースに表示されている
ので、テスト用に使用できます。
398
脅威防御
脅威防御
DNS クエリを使用してネットワーク上の感染ホストを特定する
DNS シンクホールの設定（続き）
ステップ 7
シンクホールアクションをテス 1.
トします。
2.
ここでは、クライアントホス
トが感染して、悪意あるアプ
リケーションが DNS クエリを
使用してハッカーのサーバー
にアクセスしようとしている
場合に実行するアクションを
示します。
クライアントホストでコマンドプロンプトを開きます。
ステップ 6 で、既知の悪意あるドメインとして特定し
た URL に対して、NSLOOKUP を実行します。
以下の例では、track.bidtrk.com という URL を使用し
ています。
C:\>nslookup track.bidtrk.com
Server: my-local-dns.local
Address: 10.0.0.222
Non-authoritative answer:
Name: track.bidtrk.com.org
Addresses: fd97:3dec:4d27:e37c:5:5:5:5
10.15.0.20
悪意あるドメインに対する NSLOOKUP が、設定した
シンクホール IP アドレス (10.15.0.20) を使用して偽造さ
れている点に注目してください。このドメインは悪意
ある DNS シグネチャと一致したため、シンクホール
アクションが実行されています。
脅威防御
3.
[Monitor] > [ ログ ] > [ 脅威 ] の順に選択して、対応す
る脅威ログエントリを探し、NSLOOKUP 要求に対し
て正しいアクションが実行されたことを確認します。
4.
に対して Ping を実行します。シンク
ホールアドレスに対するネットワークトラフィックが
生成されます。
track.bidtrk.com
399
DNS クエリを使用してネットワーク上の感染ホストを特定する
脅威防御
感染ホストの特定
DNS シンクホールを設定して、悪意あるドメインへのトラフィックがシンクホールアドレスに
向けて送信されることを確認したら、シンクホールアドレスへのトラフィックを定期的にモニ
ターして、感染ホストを突き止め、脅威を排除する必要があります。
DNS シンクホールの確認とレポートの生成
ステップ 1
アプリケーションスコープを使 1.
用して感染したクライアント
ホストを特定します。
2.
3.
[Monitor] > [ アプリケーションスコープ ] の順に選択
して、[ 脅威モニター] をクリックします。
表示ページの上部にある [ スパイウェアの表示 ] ボタン
をクリックします。
時間範囲を選択します。
以下のスクリーンショットでは、疑わしい 3 つの DNS
クエリが表示されています。これらは、テストクライ
アントホストが既知の悪意あるドメインに対して
NSLOOKUP を実行したときに生成されたクエリで
す。グラフをクリックして、イベントの詳細情報を表
示します。
400
脅威防御
脅威防御
DNS クエリを使用してネットワーク上の感染ホストを特定する
DNS シンクホールの確認とレポートの生成（続き）
ステップ 2 シンクホール IP アドレス（この
例では 10.15.0.20）に対してトラ
フィックを送信したすべてのク
ライアントホストを明示するカ
スタムレポートを設定します。
SNMP マネージャ、Syslog
サーバー、および（また
は）Panorama に転送して、
これらのイベントのアラー
トを有効にしてください。
この例では、感染したクライアン
トホストが、Palo Alto Networks
DNS シグネチャデータベースに
登録されている既知の悪意ある
ドメインに対して NSLOOKUP
を実行します。すると、ローカ
ルの DNS サーバーにクエリが送
信され、その要求がファイア
ウォール経由で外部の DNS サー
バーに転送されます。アンチス
パイウェアプロファイルが設定
されたファイアウォールセキュ
リティポリシーによって、この
クエリが DNS シグネチャデー
タベースと照合され、シンク
ホールアドレス 10.15.0.20 および
fd97:3dec:4d27:e37c:5:5:5:5 を使用
して応答が偽造されます。クラ
イアントがセッションを開始する
と、アクティビティが送信元ホス
トおよび宛先アドレスといっしょ
にトラフィックログに記録され
ます。この時点で、宛先アドレス
は偽造されたシンクホールアド
レスに置き換わっています。
ファイアウォール上のトラフィッ
クログを確認することによっ
て、シンクホールアドレスにト
ラフィックを送信しているクライ
アントホストをすべて特定でき
ます。この例では、送信元アドレ
ス 192.168.2.10 から悪意ある DNS
クエリが送信されたことがログか
ら分かります。これで、感染ホス
トを見つけて排除できます。DNS
シンクホールオプションがなけ
れば、管理者には、クエリを実行
したシステムとしてローカルの
DNS サーバーしか見えず、感染
したクライアントホストは分か
りません。仮にシンクホールア
クションを使用して脅威ログに対
するレポートを実行したとした
ら、ログには、感染ホストではな
く、ローカルの DNS サーバーが
表示されます。
脅威防御
1.
[Monitor] > [ カスタムレポートの管理 ] の順に選択し
ます。
2.
[追加] をクリックして、レポートに [名前] をつけます。
3.
以下のとおり、シンクホールアドレスへのトラフィッ
クをキャプチャするカスタムレポートを定義します。
• データベース — [ トラフィックログ ] を選択します。
• スケジュール設定 — [ スケジュール設定 ] をオンに
すると、レポートが毎晩実行されます。
• 期間 — 30 日
• 選択した列 — [ 送信元アドレス ] または [ 送信元ユー
ザー]（User-ID を設定している場合）、および [ 宛
先アドレス ] を選択します。前者はレポート内の感
染したクライアントホストを識別します。後者はシ
ンクホールアドレスです。
• 画面下部のセクションで、シンクホールアドレス
（この例では、10.15.0.20）へのトラフィックに対す
るカスタムクエリを作成します。[ クエリビルダー]
ウィンドウに宛先アドレスを入力するか (addr.dst in
10.15.0.20）、各列で、結合子 = and、属性 = 宛先ア
ドレス、演算子 = 含む、値 = 10.15.0.20 を選択して、
[ 追加 ] をクリックします。[ 追加 ] をクリックして
クエリを追加します。
4.
[ 今すぐ実行 ] をクリックしてレポートを生成します。
シンクホールアドレスに対してトラフィックを送信し
たすべてのクライアントホストがレポートに表示され
ます。これらは、感染している可能性が極めて高いホ
ストです。これで、ホストを突き止めて、スパイウェ
アに感染していないかチェックできます。
5.
スケジュール設定された実行済みレポートを表示する
には、[Monitor] > [ レポート ] を選択します。
401
ダイナミック更新のためのコンテンツ配信ネットワークインフラストラクチャ
脅威防御
ダイナミック更新のためのコンテンツ配信ネットワーク
インフラストラクチャ
Palo Alto Networks は、Palo Alto Networks のデバイスにコンテンツの更新を提供するために CDN
(Content Delivery Network) を利用しています。デバイスは CDN 内に保管された App-ID および
Content-ID コンテンツをダウンロードします。コンテンツの更新の許可とスケジュール設定に
ついては、「コンテンツ更新の管理」を参照してください。
以下の表に、ファイアウォールがコンテンツ更新時にアクセスする更新サーバーリソース情報
を示します。
リソース
URL
スタティックアドレス（スタティックサー
バーが必要な場合）
アプリケーションデー • updates.paloaltonetworks.com:443
タベース
staticupdates.paloaltonetworks.com または
199.167.52.15（IP アドレス）
脅威 / アンチウイルス • updates.paloaltonetworks.com:443
データベース
• downloads.paloaltonetworks.com:443
staticupdates.paloaltonetworks.com または
199.167.52.15（IP アドレス）
更新サーバーを
updates.paloaltonetworks.com に設定
することをお勧めします。この設
定では、Palo Alto Networks デバイ
スが CDN インフラストラクチャ
内の最も近いサーバーからコンテ
ンツの更新を受け取ることができ
ます。
PAN-DB URL Filtering
*.urlcloud.paloaltonetworks.com
スタティック IP アドレスは使用できま
せん。ただし、手動で URL を IP アドレ
プライマリ URL
スに解決して、地域サーバー
IP アドレ
s0000.urlcloud.paloaltonetworks.com に
解決され、デバイスに最も近い地域スへのアクセスを許可することはでき
のクラウド上のサーバーにリダイレます。
クトされます。
• s0100.urlcloud.paloaltonetworks.com
• s0200.urlcloud.paloaltonetworks.com
• s0300.urlcloud.paloaltonetworks.com
• s0500.urlcloud.paloaltonetworks.com
BrightCloud URL フィル • database.brightcloud.com:443/80
タリング
• service.brightcloud.com:80
402
BrightCloud のカスタマーサポートに連
絡してください。
脅威防御
脅威防御
ダイナミック更新のためのコンテンツ配信ネットワークインフラストラクチャ
リソース
URL
スタティックアドレス（スタティックサー
バーが必要な場合）
WildFire
• beta.wildfire.paloaltonetworks.com:443/ • mail.wildfire.paloaltonetworks.com:25
80
または 54.241.16.83（IP アドレス）
• beta-s1.wildfire.paloaltonetworks.com:443/ • wildfire.paloaltonetworks.com:443/80
80
または 54.241.8.199
ベータサイトは、ベータリ • 各地域毎の URL/IP アドレスは以下の
リースバージョンを実行し
とおりです。
ているファイアウォールのみ • ca-s1.wildfire.paloaltonetworks.com:44
利用することが可能です。
または 54.241.34.71
• mail.wildfire.paloaltonetworks.com:25
• va-s1.wildfire.paloaltonetworks.com:443
• wildfire.paloaltonetworks.com:443/80
または 174.129.24.252
• ca-s1.wildfire.paloaltonetworks.com:443
または 54.246.95.247
• sg-s1.wildfire.paloaltonetworks.com:443
または 54.251.33.241
• jp-s1.wildfire.paloaltonetworks.com:443
または 54.238.53.161
• portal3.wildfire.paloaltonetworks.com:443/80
または 54.241.8.199
• ca-s3.wildfire.paloaltonetworks.com:443
または 54.241.34.71
• va-s3.wildfire.paloaltonetworks.com:443
または 23.21.208.35
• eu-s3.wildfire.paloaltonetworks.com:443
または 54.246.95.247
• sg-s3.wildfire.paloaltonetworks.com:443
または 54.251.33.241
• jp-s3.wildfire.paloaltonetworks.com:443
または 54.238.53.161
• wildfire.paloaltonetworks.com.jp:443/80
または 180.37.183.53
• wf1.wildfire.paloaltonetowrks.jp:443 または
180.37.180.37
• wf2.wildfire.paloaltonetworks.jp:443 または
180.37.181.18
• portal3.wildfire.paloaltonetworks.jp:443/80
または 180.37.183.53
脅威防御
403
脅威防御リソース
脅威防御
脅威防御リソース
脅威防御の詳細は、以下の資料を参照してください。

『Creating Custom Threat Signatures（英語）』

『Threat Prevention Deployment（英語）』

『Understanding DoS Protection（英語）』
Palo Alto Networks 製品で識別可能な脅威およびアプリケーションのリストを参照するには、
以下のリンクを使用してください。

『Applipedia』— Palo Alto Networks で識別できるアプリケーションについて詳細に説明してい
ます。

『Threat Vault』— Palo Alto Networks 製品で識別可能な脅威の一覧が掲載されています。脆弱
性、スパイウェア、またはウイルスを条件にして検索できます。脅威についての詳細は、ID
番号の横にある詳細アイコンをクリックしてください。
404
脅威防御
復号
Palo Alto Networks のファイアウォールには、可視性、制御、および詳細なセキュリティのため
にトラフィックを復号化および検査する機能があります。Palo Alto Networks のファイアウォー
ルの復号化には、暗号化されたトラフィックにセキュリティポリシーを適用する機能が含まれ
ます。この機能がない場合、暗号化されたトラフィックがセキュリティ設定に基づいてブロッ
クおよびシェーピングされない可能性があります。ファイアウォール上の復号化を使用するこ
とにより、暗号化されたトラフィックに隠れて悪意あるコンテンツがネットワークに侵入した
り、機密コンテンツがネットワークから流出するのを防ぐことができます。Palo Alto Networks
のファイアウォールで復号化を有効にする手順には、復号化に必要な鍵および証明書の用意、
復号ポリシーの作成、復号ポートミラーリングの設定が含まれます。復号化の詳細および設定
方法については以下のトピックを参照してください。

復号化の概要

復号化の概念

SSL フォワードプロキシの設定

SSL インバウンドインスペクションの設定

SSH プロキシの設定

復号化の例外の設定

SSL 復号化からオプトアウトするユーザーを有効にする

復号ポートミラーリングの設定

SSL 復号化を一時的に無効にする
復号
405
復号化の概要
復号
復号化の概要
SSL (Secure Sockets Layer) および SSH (Secure Shell) は 2 つのエンティティ間（Web サーバーとクラ
イアントなど）のトラフィックを安全に保護するために使用される暗号化プロトコルです。SSL
および SSH はトラフィックをカプセル化し、データを暗号化します。これにより、データをデ
コードするキーおよびデバイス間の信頼を確認する証明書を持つクライアントとサーバー以外
のエンティティにとってデータは意味のないものになります。SSL および SSH プロトコルを使
用して暗号化されたトラフィックは復号化して、これらのプロトコルが意図した目的のみに使
用されており、不要なアクティビティや悪意あるコンテンツを隠すために使用されていないこ
とを確認できます。
Palo Alto Networks のファイアウォールは暗号化されたトラフィックを復号化します。文字列を
変換するキー（パスワードおよび共有秘密）を使用して、暗号化テキストをプレーンテキスト
に変換し（復号化）、プレーンテキストを再び暗号化テキストに変換します（デバイスを出る
トラフィックの再暗号化）。証明書はファイアウォールが信頼されるサードパーティであるこ
とを証明し、安全な接続を作成するために使用されます。SSL 復号化（フォワードプロキシと
インバウンドインスペクションの両方）では、SSL/TLS 接続を安全に保護するために証明書を
使用して 2 つのエンティティ間の信頼を確立する必要があります。また証明書は、SSL 復号化
からサーバーを除外するときにも使用されます。ハードウェアセキュリティモジュール (HSM)
をファイアウォールと統合すると、SSL フォワードプロキシ復号化および SSL インバウンドイ
ンスペクション復号化で使用される秘密鍵のセキュリティを強化できます。HSM を使用した
キーの保存と生成、および HSM とファイアウォールの統合については、「ハードウェアセ
キュリティモジュールによるキーの安全確保」を参照してください。SSH 復号化では証明書は
必要ありません。
Palo Alto Networks のファイアウォールの復号化はポリシーベースで、インバウンドとアウトバ
ウンド両方の SSL および SSH 接続の復号化、検査、制御に使用できます。復号ポリシーを使用
すると、宛先、送信元、または URL カテゴリに基づいて復号化するトラフィックを指定し、指
定したトラフィックをセキュリティ設定に基づいてブロックまたは制限できます。ファイア
ウォールは、証明書とキーを使用してポリシーで指定されたトラフィックを復号化し、次に
App-ID およびセキュリティ設定（復号化、アンチウイルス、脆弱性、アンチスパイウェア、
URL フィルタリング、およびファイルブロッキングなどのプロファイル）をプレーンテキスト
トラフィックに適用します。ファイアウォールでトラフィックが復号化され、検査された後、
プレーンテキストトラフィックはファイアウォールを出るときに再暗号化され、プライバシー
とセキュリティが確保されます。ファイアウォールでポリシーベースの復号化を使用すること
により、以下のような結果を達成できます。

暗号化されたトラフィックに隠れたマルウェアが企業ネットワークに侵入するのを防ぐ。

企業の機密情報が企業ネットワークの外部に流出するのを防ぐ。

安全なネットワーク上で適切なアプリケーションが実行されていることを確認する。

選択的にトラフィックを復号化する。たとえば、復号化の例外を設定することにより、金融
サイトや医療サイトのトラフィックを復号化から除外します。
406
復号
復号
復号化の概要
ファイアウォール上で使用できる 3 つの復号ポリシー、「SSL フォワードプロキシ」、「SSL イ
ンバウンドインスペクション」、および「SSH プロキシ」はそれぞれ特に SSL アウトバウンド
トラフィック、SSL インバウンドトラフィック、および SSH トラフィックを対象として検査す
る手法を提供します。復号ポリシーの設定によって復号化するトラフィックを指定できます。
ポリシー作成時に復号プロファイルを選択すると、サーバー証明書、サポートされていない
モード、および障害のチェックなどのより詳細なセキュリティ設定を復号化されたトラフィッ
クに適用できます。ファイアウォール上のこのポリシーベースの復号化により、設定可能なパ
ラメータに基づいて SSL および SSH の暗号化されたトラフィックに対する可視性を得て、制御
することができます。
また、ファイアウォールの復号機能を拡張した「復号ポートミラーリング」を利用することも
できます。これにより、復号化されたトラフィックをプレーンテキストとして、さらに分析お
よびアーカイブを行うためにサードパーティソリューションに転送できます。
復号
407
復号化の概念
復号
復号化の概念
復号化のキーおよび証明書、復号ポリシー、および復号ポートミラーリングについての詳細は
以下のトピックを参照してください。

復号ポリシーのためのキーおよび証明書

SSL フォワードプロキシ

SSL インバウンドインスペクション

SSH プロキシ

復号化の例外

復号ポートミラーリング
408
復号
復号
復号化の概念
復号ポリシーのためのキーおよび証明書
キーは数字列で、通常、ランダムな数字と大きな素数を使用した数学演算によって生成されま
す。キーは他の文字列（パスワードや共有秘密など）を変換するために使用されます。プレー
ンテキストから暗号化テキストへの変換を暗号化といい、暗号化テキストからプレーンテキス
トへの変換を復号化といいます。キーには対称キー（暗号化と復号化に同じキーを使用）と非
対称キー（1 つのキーを暗号化に使用し、数学的に関連するキーを復号化に使用）がありま
す。キーはあらゆるシステムで生成できます。
SSL 接続を確立するために、X.509 証明書を使用してクライアントとサーバーの間の信頼が確立
されます。サーバーを認証するクライアント（またはクライアントを認証するサーバー）は、
X.509 証明書の構造を知っているため、証明書内のフィールドから、FQDN または IP アドレス
（証明書内では共通名または CN と呼ばれます）や証明書が発行された組織、部門、ユーザー
の名前など、サーバーに関する識別情報を抽出する方法を知っています。すべての証明書は認
証局 (CA) が発行する必要があります。CA はクライアントまたはサーバーを確認した後、証明
書を発行し、秘密鍵を使用して署名します。
復号ポリシーが設定されている場合は、サーバーの証明書に署名した CA をファイアウォール
が信頼する場合のみ、クライアントとサーバーの間で SSL/TLS セッションが確立されます。信
頼を確立するには、サーバーのルート CA 証明書がファイアウォールの証明書信頼リスト (CTL)
内にあり、ファイアウォールがそのルート CA 証明書に含まれる公開鍵を使用して署名を確認
する必要があります。その後、ファイアウォールは、フォワードトラスト証明書によって署名
されたサーバー証明書のコピーを認証のためにクライアントに提示します。また、SSL フォ
ワードプロキシのフォワードトラスト証明書としてエンタープライズ CA を使用するように
ファイアウォールを設定することもできます。ファイアウォールの CTL にサーバーのルート
CA 証明書が含まれていない場合、ファイアウォールは、フォワードアントラスト証明書に
よって署名されたサーバー証明書のコピーをクライアントに提示します。フォワードアントラ
スト証明書を使用すると、信頼されない証明書を持つサーバーがホストするサイトにクライア
ントがアクセスしたときに、サーバー証明書の警告画面が表示されます。
証明書の詳細は、「証明書の管理」を参照してください。
デバイスが信頼する CA を管理するには、ファイアウォールの Web インターフェイスで、
[Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デフォルトの信頼された証明機関 ] タブを
使用します。
「表 : Palo Alto Networks のデバイスが使用するキーおよび証明書」では、Palo Alto Networks のデ
バイスで復号化に使用されるさまざまなキーや証明書について説明しています。ベストプラク
ティスとして、各用途に異なるキーおよび証明書を使用します。
復号
409
復号化の概念
復号
表 : Palo Alto Networks のデバイスが使用するキーおよび証明書
キー/ 証明書の用途
説明
フォワードトラスト
クライアントが接続しようとしているサイトの証明書がファイアウォール
が信頼する CA によって署名されている場合に、ファイアウォールが復号
化通信開始時にクライアントに提示する証明書。ファイアウォール上の
フォワードトラスト証明書を設定するには、「SSL フォワードプロキシ
の設定」のタスクのステップ 2 を参照してください。ファイアウォール
は、デフォルトで、宛先サーバーの鍵のサイズに基づいてクライアント証
明書で使用する鍵のサイズを決定します。ただし、使用するファイア
ウォールの具体的な鍵のサイズを設定することもできます。「SSL フォ
ワードプロキシサーバーの証明書の鍵のサイズの設定」を参照してくだ
さい。セキュリティを強化するため、フォワードトラスト証明書をハー
ドウェアセキュリティモジュール (HSM) に保存する場合は「HSM での秘
密鍵の保存」を参照してください。
フォワードアントラスト
クライアントが接続しようとしているサイトの証明書がファイアウォール
が信頼しない CA によって署名されている場合に、ファイアウォールが復
号化中にクライアントに提示する証明書。ファイアウォール上のフォワー
ドアントラスト証明書を設定するには、「SSL フォワードプロキシの設
定」のタスクのステップ 3 を参照してください。
SSL 除外証明書
SSL 復号化から除外するサーバーの証明書。たとえば、SSL 復号化を有効
にしているが、SSL 復号化に含めたくない特定のサーバー（HR システム
の Web サービスなど）がある場合、対応する証明書をファイアウォール
にインポートして、それを SSL 除外証明書として設定します。「復号化か
らのサーバーの除外」を参照してください。
SSL インバウンドインスインバウンド SSL トラフィックを検査およびポリシー適用のために復号化
ペクション
する際に使用される証明書。この用途には、SSL インバウンドインスペク
ションを実行するサーバーのサーバー証明書をインポートするか、または
HSM にそれらを保存します（「HSM での秘密鍵の保存」を参照）。
410
復号
復号
復号化の概念
SSL フォワードプロキシ
SSL フォワードプロキシ復号ポリシーを使用すると、内部ユーザーから Web への SSL/TLS トラ
フィックを復号化および検査できます。SSL フォワードプロキシ復号化は、SSL の暗号化され
たトラフィックに隠れたマルウェアが企業ネットワークに侵入するのを防ぎます。たとえば、
従業員が企業オフィスから Gmail アカウントを使用しており、ウイルスを含んだ電子メール添
付を開いた場合、SSL フォワードプロキシ復号化はウイルスがクライアントシステムに感染
し、企業ネットワークに侵入するのを防ぎます。
SSL フォワードプロキシ復号化を使用する場合、ファイアウォールは内部クライアントの外部
サーバーの間に配置します。ファイアウォールは、フォワードトラスト証明書またはフォワー
ドアントラスト証明書を使用し、それ自体をクライアントとサーバーの間のセッションに対す
る信頼されたサードパーティであることを証明します（証明書の詳細は、「復号ポリシーのた
めのキーおよび証明書」を参照）。クライアントがサーバーとの SSL セッションを開始する
と、ファイアウォールはクライアントの SSL 要求をインターセプトし、その SSL 要求をサー
バーに転送します。サーバーはクライアントに向けた証明書を送信し、ファイアウォールがそ
れをインターセプトします。サーバーの証明書が、ファイアウォールが信頼する CA によって
署名されていた場合、ファイアウォールはフォワードトラスト証明書によって署名されたサー
バーの証明書のコピーを作成し、その証明書をクライアントが認証するために送信します。
サーバーの証明書が、ファイアウォールが信頼しない CA によって署名されていた場合、ファ
イアウォールはサーバーの証明書のコピーを作成してフォワードアントラスト証明書によって
署名し、クライアントに送信します。この場合、クライアントでは、接続しようとしているサ
イトが信頼されていないというブロックページ警告が表示され、クライアントはアクセスを続
行するかセッションを終了するかを選択できます。クライアントが証明書を認証すると、SSL
セッションが確立され、ファイアウォールはクライアントがアクセスしているサイトへの信頼
されたフォワードプロキシとして機能します。
SSL セッションの確立後、ファイアウォールは継続してサーバーからクライアントへ向けた SSL
トラフィックを受信し、SSL トラフィックをクリアテキストトラフィックに復号化して、トラ
フィックにセキュリティポリシーを適用します。その後、ファイアウォールはトラフィックを
再暗号化し、クライアントに暗号化されたトラフィックを転送します。
「図 : SSL フォワードプロキシ」にこのプロセスの詳細を示します。
復号
411
復号化の概念
復号
図 : SSL フォワードプロキシ
SSL フォワードプロキシの設定の詳細は、「SSL フォワードプロキシの設定」を参照してくだ
さい。
412
復号
復号
復号化の概念
SSL インバウンドインスペクション
SSL インバウンドインスペクションを使用すると、クライアントからターゲットサーバー（証
明書があり、証明書をファイアウォールにインポートできる任意のサーバー）へのインバウン
ド SSL トラフィックを復号化および検査できます。たとえば、従業員が企業ネットワークでホ
ストされている Web サーバーにリモート接続されており、制限されている内部ドキュメントを
Dropbox フォルダに追加しようとする場合（データ転送には SSL を使用）は、SSL インバウンド
インスペクションを使用し、セッションをブロックまたは制限することによって、機密データ
が安全な企業ネットワークの外部に流出しないようにすることができます。
SSL インバウンドインスペクションの設定では、ターゲットサーバーの証明書およびキーを
ファイアウォールへインポートします。ターゲットサーバーの証明書およびキーがファイア
ウォール上にインポートされるため、ファイアウォールはプロキシとして機能するのではな
く、サーバーとクライアントの間の SSL セッションにアクセスし、トラフィックを透過的に復
号化および検査できます。ファイアウォールは復号化されたトラフィックにセキュリティポリ
シーを適用できるため、悪意あるコンテンツを検出し、この安全なチャネル上で実行されるア
プリケーションを制御できます。
「図 : SSL インバウンドインスペクション」にこのプロセスの詳細を示します。
図 : SSL インバウンドインスペクション
SSL インバウンドインスペクションの設定の詳細は、「SSL インバウンドインスペクションの
設定」を参照してください。
復号
413
復号化の概念
復号
SSH プロキシ
SSH プロキシにより、ファイアウォールを通過するインバウンドおよびアウトバウンドの SSH
接続を復号化し、SSH が不要なアプリケーションやコンテンツのトンネリングに使用されてい
ないことを確認できます。SSH 復号化には証明書は必要なく、SSH 復号化に使用されるキーは
ファイウォールシステムの起動時に自動的に生成されます。システムの起動中、ファイア
ウォールは既存のキーがあるかどうかを確認し、存在しない場合はキーが自動的に生成されま
す。このキーは、デバイス上に設定されるすべての仮想システムの SSH セッションの復号化に
使用されます。すべての SSH v2 セッションの復号化にも同一のキーが使用されます。
SSH プロキシ機能では、ファイアウォールはクライアントとサーバーの間に配置します。クラ
イアントがサーバーに SSH 接続要求を送信すると、ファイアウォールは要求をインターセプト
し、SSH 要求をサーバーに転送します。その後、ファイアウォールはサーバーの応答をイン
ターセプトし、応答をクライアントに転送することにより、ファイアウォールとクライアント
の間に SSH トンネルを確立し、ファイアウォールとサーバーの間にも SSH トンネルを確立し、
ファイアウォールは透過的なプロキシとして機能します。トラフィックがクライアントとサー
バーの間を通過すると、ファイアウォールは SSH トラフィックが通常の方法でルーティングさ
れているか、それとも SSH トンネリング（ポートフォワーディング）を使用しているかを識別
できます。SSH トンネル上でコンテンツと脅威の検査は実行されませんが、SSH トンネルが
ファイアウォールによって識別されると、その SSH トンネルトラフィックは設定されたセキュ
リティポリシーに基づいてブロックおよび制限されます。
「図 : SSH プロキシ復号化」にこのプロセスの詳細を示します。
図 : SSH プロキシ復号化
SSH プロキシポリシーの設定の詳細は、「SSH プロキシの設定」を参照してください。
414
復号
復号
復号化の概念
復号化の例外
トラフィックは一致条件に基づいて復号化から除外することもできます（復号ポリシーを使
用）。ターゲットサーバーのトラフィックを復号化から除外することもできます（証明書を使
用）。さらに、一部のアプリケーションはデフォルトで復号化から除外されています。
ファイアウォールによって復号化されると正しく機能しなくなるアプリケーションは、自動的
に SSL 復号化から除外されます。デフォルトで SSL 復号化から除外されるアプリケーション
は、SSL フォワードプロキシに対して生成された証明書には存在しない特定の詳細が証明書内
に必要であり、復号化すると失敗することがあるために除外されています。ファイアウォール
上の SSL 復号化からデフォルトで除外されているアプリケーションの最新リストについては、
KB 記事『List of Applications Excluded from SSL Decryption』（英語）を参照してください。
復号化が有効になっていると正しく動作しない場合や、法律またはプライバシー上の目的な
ど、その他の任意の理由により、特定の URL カテゴリやアプリケーションに対して復号化の例
外を設定できます。復号ポリシーを使用して、送信元、宛先、サービス、および URL カテゴリ
に基づいてトラフィックを復号化から除外することができます。たとえば、SSL 復号化が有効
になっているときに URL カテゴリ選択を使用して金融や医療関連に分類されているトラフィッ
クを復号化処理の対象から除外できます。
また、サーバーの証明書の共通名 (CN) に基づいてサーバーを SSL 復号化から除外することもで
きます。たとえば、SSL 復号化を有効にしているが、SSL 復号化に含めたくない特定のサーバー
（HR システムの Web サービスなど）がある場合、サーバー証明書をファイアウォールにイン
ポートして、その証明書を SSL 除外証明書に変更することで、それらのサーバーを復号化から
除外できます。
送信元、宛先、サービス、URL カテゴリに基づいてトラフィックを復号化から除外する、また
は特定のサーバーのトラフィックを復号化から除外するには、「復号化の例外の設定」を参照
してください。
復号
415
復号化の概念
復号
復号ポートミラーリング
復号ポートミラー機能を使用すると、ファイアウォールからの復号化されたトラフィックのコ
ピーを作成し、パケットキャプチャによるトラフィック収集ツール（NetWitness や Solera な
ど）に送信してフォレンジックデータとしてのアーカイブや分析を行えます。この機能は、
フォレンジックや履歴調査または DLP（情報漏洩対策）機能用の包括的なデータキャプチャが
必要な組織にとって不可欠な機能と言えます。復号ポートミラーリングは、PA-7050、PA-5000
シリーズ、および PA-3000 シリーズプラットフォームでのみ使用可能です。この機能を利用す
る場合は無償で提供されているライセンスをインストールする必要があります。
なお、一部の国では、SSL トラフィックの復号化、保存、検査、または使用が規制されてい
て、復号ポートミラー機能を使用するにはユーザーの同意が必要な場合があります。さらに、
ファイアウォールへの管理アクセス権を持つ悪意あるユーザーがこの機能を使用すると、暗号
化されたチャンネルを使用して送信されたユーザー名、パスワード、社会保障番号、クレジッ
トカード番号などの機密情報を収集できる可能性があります。運用環境でこの機能を利用する
場合は事前に、企業の審議会と協議することをお勧めします。
「図 : 復号ポートミラーリング」に復号ポートミラーリングのプロセスを示し、セクション
「復号ポートミラーリングの設定」ではこの機能のライセンスと使用について説明します。
図 : 復号ポートミラーリング
416
復号
復号
SSL フォワードプロキシの設定
SSL フォワードプロキシの設定
ファイアウォールでの「SSL フォワードプロキシ」復号を設定するには、SSL フォワードプロ
キシ復号に必要な証明書をセットアップし、SSL フォワードプロキシ復号ポリシーを作成する
必要があります。ファイアウォールは、自己署名証明書またはエンタープライズ CA が署名し
た証明書を使用して SSL フォワードプロキシ復号化処理を実行できます。
ファイアウォールは、デフォルトで、宛先サーバー証明書の鍵のサイズに基づいて生成するク
ライアント証明書で使用する鍵のサイズを決定しますが、オプションで宛先サーバーの証明書
の鍵のサイズに関係なく、静的鍵のサイズを設定することができます。「SSL フォワードプ
ロキシサーバーの証明書の鍵のサイズの設定」を参照してください。
証明書のセットアップおよび復号ポリシーの作成を含め、SSL フォワードプロキシ機能を利用
するには、以下の設定操作を行います。
SSL フォワードプロキシの設定
ステップ 1
復号
使用するインターフェイスが
バーチャルワイヤー、レイ
ヤー 2、またはレイヤー 3 イン
ターフェイスのいずれかとし
て設定されていることを確認
します。
[Network] > [ インターフェイス ] > [Ethernet] タブで設定
されているインターフェイスを確認します。[ インター
フェイスタイプ ] 列にはインターフェイスが [ バーチャル
ワイヤー]、[ レイヤー 2]、または [ レイヤー 3] インター
フェイスとして設定されているかが表示されます。イン
ターフェイスを選択して、インターフェイスのタイプなど
の設定を変更できます。
417
SSL フォワードプロキシの設定
復号
SSL フォワードプロキシの設定（続き）
ステップ 2
フォワードトラスト証明書を設自己署名証明書を使用するには、以下の手順を実行し
定します。自己署名証明書またます。
はエンタープライズ CA が署名 1. [Device] > [ 証明書の管理 ] > [ 証明書 ] の順に選択し
した証明書を使用します。
ます。
自己署名証明書を使用する場合 2.
3.
クライアントが接続するサー
バーの証明書に署名した CA が 4.
ファイアウォールの信頼され
た CA リストにある場合、ファ
イアウォールはサーバーの証
明書のコピーに自己署名フォ
ワードトラスト証明書を使用 5.
して署名し、クライアントに 6.
認証のために提示します。こ
の場合、クライアントがファ
イアウォールを信頼された CA
と認識するように、自己署名
証明書を各クライアントシス
テムにインポートする必要が
7.
あります。
8.
SSL フォワードプロキシ復号
化で、エンタープライズ CA を
9.
使用しない場合や、限られた
数のクライアントシステムに
復号化を実行する予定の場合
（または、中央管理デプロイ
メントの使用を計画している
場合）には、自己署名証明書
を使用します。
ウィンドウの下部にある [ 生成 ] をクリックします。
[ 証明書名 ] に「my-fwd-trust」などの名前を入力します。
[共通名] に、「192.168.2.1」などの名前を入力します。
これは、証明書に表示される IP または FQDN にする
必要があります。この場合は、信頼できるインター
フェイスの IP を使用します。このフィールドではス
ペースを使用しないでください。
[ 署名者 ] フィールドは空白のままにします。
[ 認証局 ] チェックボックスをオンにして、ファイア
ウォールが証明書を発行できるようにします。この
チェックボックスをオンにすると、ファイアウォール
で認証局 (CA) が作成されてクライアントのブラウザに
インポートできるようになるため、クライアントはそ
のファイアウォールを CA として信頼できます。
[ 生成 ] をクリックして証明書を生成します。
新しい証明書「my-fwd-trust」をクリックして変更し、[ フォ
ワードトラスト証明書 ] オプションを有効にします。
クライアントシステムにインポートするためのフォ
ワードトラスト証明書を強調表示してウィンドウの下
部にある [ エクスポート ] をクリックし、証明書をエク
スポートします。PEM フォーマットを選択し、[ 秘密
鍵のエクスポート ] オプションは選択しません。この
証明書は自己署名であるため、クライアントがこの証
明書を信頼するには、クライアントシステム上のブラ
ウザの信頼されたルート CA リストにインポートしま
す。クライアントブラウザにインポートするときは、
証明書を [ 信頼されたルート証明機関 ] 証明書ストアに
追加します。Windows システム上では、デフォルトの
インポート場所は [ 個人 ] 証明書ストアです。また、
Active Directory グループポリシーオブジェクト (GPO)
などの中央管理デプロイメントを使用することによっ
てこのプロセスを簡略化することもできます。
フォワードトラスト証明書がクライアントシス
テム上にインポートされていない場合、ユー
ザーがアクセスする SSL サイトごとに証明書警
告が表示されます。
10. [OK] をクリックして保存します。
418
復号
復号
SSL フォワードプロキシの設定
SSL フォワードプロキシの設定（続き）
エンタープライズ CA を使用すエンタープライズ CA が署名した証明書を使用するには、
以下の手順を実行して CSR を生成します。
る場合
1. [Device] > [ 証明書の管理 ] > [ 証明書 ] の順に選択し、
エンタープライズ CA は署名証
[ 生成 ] をクリックします。
明書を発行できます。ファイ
2. [ 証明書名 ] に「my-fwd-proxy」などの名前を入力します。
アウォールは署名証明書を使
用して SSL 復号化が必要なサ 3. [ 署名者 ] ドロップダウンリストで、[External Authority
(CSR)] を選択します。
イトの証明書に署名できま
す。エンタープライズ CA が署 4. （任意）エンタープライズ CA に必要な場合は、[ 証明
書の属性] を追加して、国や部門など、ファイアウォー
名し、検証するための証明書
ルの詳細をさらに指定します。
署名要求 (CSR) を送信します。
5.
[OK] をクリックして CSR を保存します。これで、保留
その後、ファイアウォールは
中の証明書が
[ デバイス証明書 ] タブに表示されます。
署名されたエンタープライズ
CA 証明書を SSL フォワードプ 6. CSR をエクスポートします。
ロキシ復号化に使用できま
a. [ デバイス証明書 ] タブに表示されている保留中の証
明書を選択します。
す。エンタープライズ CA はす
でにクライアントシステムに
b. [ エクスポート ] をクリックして証明書ファイルをダ
信頼されているため、このオ
ウンロードおよび保存します。
プションでは、復号化を設定
ファイアウォール内で秘密鍵の安全を確実に保
する前にクライアントシステ
持するため、[ 秘密鍵のエクスポート ] は選択し
ムに証明書を配布する必要は
ないままにします。
ありません。
c. [OK] をクリックします。
d. エンタープライズ CA に証明書ファイルを提供しま
す。エンタープライズ CA から、署名されたエン
タープライズ CA 証明書を受信した後、ファイア
ウォール上にインポートするために、署名されたエ
ンタープライズ CA 証明書を保存します。
7.
署名されたエンタープライズ CA をファイアウォールに
インポートします。
a. [Device] > [ 証明書の管理 ] > [ 証明書 ] の順に選択
し、[ インポート ] をクリックします。
b. 保留中の証明書の [ 証明書名 ] を正確に入力します
（ここでは my-fwd-trust）。保留中の証明書が検証さ
れるためには、入力する [ 証明書名 ] が保留中の証明
書の名前と正確に一致する必要があります。
c. エンタープライズ CA から受信した、署名された [ 証
明書ファイル ] を選択します。
d. [OK] をクリックします。キーおよび CA のチェック
ボックスがオンの状態で、証明書が有効として表示
されます。
e. 検証された証明書（ここでは my-fwd-proxy）を選択し、
[ フォワードトラスト証明書 ] として有効にすること
で、SSL フォワードプロキシ復号化に使用できるよ
うにします。
f. [OK] をクリックします。
復号
419
SSL フォワードプロキシの設定
復号
SSL フォワードプロキシの設定（続き）
ステップ 3
フォワードアントラスト証明 1.
書を設定します。
2.
SSL フォワードプロキシ復号
化では、クライアントが接続
しようとしているサイトが使
用する証明書に署名した CA が
ファイアウォールの信頼され
た CA リストにない場合、ファ
イアウォールはクライアント
にフォワードアントラスト証
明書を提示します。フォワー
ドアントラスト証明書を使用
すると、信頼されない証明書
を持つサイトにクライアント
がアクセスしようとしたとき
に、証明書警告のプロンプト
が表示されます。
[ 共通名 ] を、たとえば「192.168.2.1」に設定します。[ 署
名者 ] は空白のままにします。
4.
[ 認証局 ] チェックボックスをオンにして、ファイア
ウォールが証明書を発行できるようにします。
5.
[ 生成 ] をクリックして証明書を生成します。
6.
[OK] をクリックして保存します。
7.
新しい「my-ssl-fw-untrust」証明書をクリックして変更
し、[ フォワードアントラスト証明書 ] オプションを有
効にします。
フォワードアントラスト証明書をクライアント
システムにインポートするためにエクスポート
しないでください。フォワードトラスト証明書
がクライアントシステム上にインポートされて
いる場合、信頼されない証明書を持つ SSL サイ
トにユーザーがアクセスしても証明書警告が表
示されません。
（任意）ファイアウォールが 1.
クライアントに提示する SSL
フォワードプロキシ証明書の
鍵のサイズを設定します。
2.
鍵のサイズを変更する
と、現在の証明書
キャッシュがクリアさ
れます。
420
[証明書名 ] に、「my-fwd-untrust」などの名前を入力し
ます。
3.
8.
ステップ 4
証明書ページの下部にある [ 生成 ] をクリックします。
[OK] をクリックして保存します。
[Device] > [ セットアップ ] > [ セッション ] の順に選択
し、[ 暗号設定 ] セクションで、[ フォーワードプロキ
シサーバーの証明書設定 ] をクリックします。
[ 鍵のサイズ ] で、[ 宛先ホストにより定義 ]（任意）、
[1024-bit RSA]、または [2048-bit RSA] を選択します。
復号
復号
SSL フォワードプロキシの設定
SSL フォワードプロキシの設定（続き）
ステップ 5
ステップ 6
（任意）復号プロファイルを 1.
作成します。
[Objects] > [ 復号プロファイル ] の順に選択し、[ 追加 ]
をクリックします。
復号プロファイルを復号ポリ 2.
シーに関連付けることによ
り、ファイアウォールは復号
化するトラフィックのさまざ
まな状況をブロックおよび制
御できます。SSL フォワード
プロキシ復号プロファイルを 3.
使用すると、サーバー証明
書、サポートされていない
モード、および障害のチェッ
クを実行し、それに基づいて
トラフィックをブロックまた
は制限できます。実行できる
チェックの完全なリストにつ
いては、ファイアウォールで
[Objects] > [ 復号プロファイル ]
の順に選択し、ヘルプアイコ
ンをクリックします。
[SSL フォワードプロキシ ] タブを選択し、特定の状況
の SSL トンネルトラフィックをブロックおよび制御し
ます。たとえば、[リソースを使用できない場合にセッ
ションをブロック ] を選択することにより、システム
リソースが復号化の処理に使用できない場合にセッ
ションを終了することを選択できます。
1.
[Policies] > [ 復号 ] の順に選択し、[ 追加 ] をクリックし
ます。
2.
[ 全般 ] タブの [ 名前 ] に分かりやすい名前を入力し
ます。
3.
[ 送信元 ] タブおよび [ 宛先 ] タブで、[ 送信元ゾーン ]
および [ 宛先ゾーン ] に [ いずれか ] を選択すると、外部
サーバーを宛先とするすべての SSL トラフィックを復号
化します。特定の送信元または宛先を指定してトラ
フィックを復号化するには、[追加] をクリックします。
4.
[URL カテゴリ ] タブで、[ いずれか ] のままにすると、
すべてのトラフィックを復号化します。このプロファ
イルを特定の Web サイトカテゴリに適用するには、
[ 追加 ] をクリックします。
復号ポリシーを設定します。
[OK] をクリックしてプロファイルを保存します。
特定のサイトを復号化から除外する場合、URL
カテゴリの選択が役立ちます。「復号化の例外
の設定」を参照してください。
復号
5.
[ オプション ] タブで、[ 復号 ] を選択し、実行する復
号化の [ タイプ ] として [SSL フォワードプロキシ ] を
選択します。
6.
（任意）復号化されたトラフィックに追加の設定を適
用するには、[ 復号プロファイル ] を選択します（ス
テップ 5 参照）。
7.
[OK] をクリックして保存します。
421
SSL フォワードプロキシの設定
復号
SSL フォワードプロキシの設定（続き）
ステップ 7
422
設定を [ コミット ] します。
SSL フォワードプロキシ復号ポリシーが有効になっている
場合は、ポリシーによって特定されるすべてのトラフィッ
クが復号化されます。復号化されたトラフィックは、ファ
イアウォール上で設定されているプロファイル（ポリシー
に関連付けられている復号プロファイルや、アンチウイル
ス、脆弱性、アンチスパイウェア、URL フィルタリング、
およびファイルブロッキングプロファイルなど）に基づ
いてブロックおよび制限されます。トラフィックは、ファ
イアウォールから出力される際にに再暗号化されます。
復号
復号
SSL インバウンドインスペクションの設定
SSL インバウンドインスペクションの設定
「SSL インバウンドインスペクション」を設定するには、ターゲットサーバーの証明書をファイ
アウォールにインストールし、SSL インバウンドインスペクション復号ポリシーを作成します。
以下のタスクを使用して SSL インバウンドインスペクションを設定します。
SSL インバウンドインスペクションの設定
ステップ 1
使用するインターフェイスが
バーチャルワイヤー、レイ
ヤー 2、またはレイヤー 3 イン
ターフェイスのいずれかとし
て設定されていることを確認
します。
[Network] > [ インターフェイス ] > [Ethernet] タブで設定
されているインターフェイスを確認します。[ インター
フェイスタイプ ] 列にはインターフェイスが [ バーチャル
ワイヤー]、[ レイヤー 2]、または [ レイヤー 3] インター
フェイスとして設定されているかが表示されます。イン
ターフェイスを選択して、インターフェイスのタイプなど
の設定を変更できます。
ステップ 2
ターゲットサーバーの証明書
がファイアウォールにインス
トールされていることを確認
します。
Web インターフェイスで、[Device] > [ 証明書の管理 ] > [ 証明
書 ] > [ デバイス証明書 ] の順に選択すると、ファイアウォー
ル上にインストールされている証明書が表示されます。
ステップ 3
復号
ターゲットサーバーの証明書をファイアウォールにイン
ポートするには、以下の手順を実行します。
1. [デバイス証明書] タブで、[インポート] を選択します。
2.
分かりやすい名前を [ 証明書名 ] に入力します。
3.
[証明書ファイル] で、ターゲットサーバーの証明書ファ
イルを参照し、選択します。
4.
[OK] をクリックします。
（任意）復号プロファイルを 1.
作成します。
[Objects] > [ 復号プロファイル ] の順に選択し、[ 追加 ]
をクリックします。
復号プロファイルを復号ポリ 2.
シーに関連付けることによ
り、ファイアウォールは復号
化するトラフィックのさまざ
まな状況をブロックおよび制
御できます。SSL インバウンド
インスペクション復号プロ 3.
ファイルを使用すると、サ
ポートされていないモードお
よび障害のチェックを実行
し、それに基づいてトラ
フィックをブロックまたは制
限できます。実行できるチェッ
クの完全なリストについては、
[Objects] > [ 復号プロファイル ]
の順に選択し、ヘルプアイコ
ンをクリックします。
[SSL インバウンドインスペクション ] タブを選択し、
特定の状況の SSL トラフィックをブロックおよび制御
します。たとえば、[リソースを使用できない場合にセッ
ションをブロック ] を選択することにより、システムリ
ソースが復号化の処理に使用できない場合にセッショ
ンを終了することを選択できます。
[OK] をクリックしてプロファイルを保存します。
423
SSL インバウンドインスペクションの設定
復号
SSL インバウンドインスペクションの設定（続き）
ステップ 4
復号ポリシーを設定します。
1.
[Policies] > [ 復号 ] の順に選択し、[ 追加 ] をクリック
します。
2.
[全般] タブの [名前] に分かりやすい名前を入力します。
3.
[ 宛先 ] タブで、ターゲットサーバーの [ 宛先アドレス ]
を [ 追加 ] します。
4.
[URL カテゴリ ] タブで、[ いずれか ] のままにすると、
すべてのトラフィックを復号化します。このプロファ
イルを特定の Web サイトカテゴリに適用するには、
[ 追加 ] をクリックします。
特定のサイトを復号化から除外する場合、URL
カテゴリの選択が役立ちます。「復号化の例外
の設定」を参照してください。
5.
[ オプション ] タブで、[ 復号 ] を選択し、実行する復
号化の [ タイプ ] として [SSL インバウンドインスペク
ション ] を選択します。
インバウンド SSL トラフィックの宛先となる内部サー
バーの [ 証明書 ] を選択します。
ステップ 5
424
設定を [ コミット ] します。
6.
（任意）復号化されたトラフィックに追加の設定を適
用するには、[ 復号プロファイル ] を選択します。
7.
[OK] をクリックして保存します。
SSL インバウンドインスペクション復号ポリシーが有効に
なっている場合、ポリシーによって識別されるすべての
SSL トラフィックが復号化され、検査されます。復号化さ
れたトラフィックは、ファイアウォール上で設定されてい
るプロファイル（ポリシーに関連付けられている復号プロ
ファイルや、アンチウイルス、脆弱性、アンチスパイウェ
ア、URL フィルタリング、およびファイルブロッキング
プロファイルなど）に基づいてブロックおよび制限されま
す。トラフィックは、ファイアウォールから出力される際
に再暗号化されます。
復号
復号
SSH プロキシの設定
SSH プロキシの設定
「SSH プロキシ」の設定には証明書は必要なく、SSH セッションの復号化に使用されるキーは
ファイアウォールの起動中に自動的に生成されます。
以下のタスクを使用して SSH プロキシ復号化を設定します。
SSH プロキシ復号化の設定
[Network] > [ インターフェイス ] > [Ethernet] タブで設定
されているインターフェイスを確認します。[ インター
フェイスタイプ ] 列にはインターフェイスが [ バーチャル
ワイヤー]、[ レイヤー 2]、または [ レイヤー 3] インター
フェイスとして設定されているかが表示されます。イン
ターフェイスを選択して、インターフェイスのタイプなど
の設定を変更できます。
ステップ 1
使用するインターフェイスが
バーチャルワイヤー、レイ
ヤー 2、またはレイヤー 3 イン
ターフェイスのいずれかとし
て設定されていることを確認
します。復号化は、バーチャ
ルワイヤー、レイヤー 2、ま
たはレイヤー 3 インターフェ
イスのみで実行できます。
ステップ 2
（任意）復号プロファイルを 1.
作成します。
[Objects] > [ 復号プロファイル ] の順に選択し、[ 追加 ]
をクリックします。
復号プロファイルを復号ポリ 2.
シーに関連付けることによ
り、ファイアウォールは復号
化するトラフィックのさまざ
まな状況をブロックおよび制
御できます。復号プロファイ
ルを使用すると、サーバー証 3.
明書、サポートされていない
モード、および障害のチェッ
クを実行し、それに基づいて
トラフィックをブロックまた
は制限できます。実行できる
チェックの完全なリストにつ
いては、ファイアウォールで
[Objects] > [ 復号プロファイル ]
の順に選択し、ヘルプアイコ
ンをクリックします。
[SSH] タブを選択し、特定の状況の SSH トンネルトラ
フィックをブロックおよび制御します。たとえば、[リ
ソースを使用できない場合にセッションをブロック ]
を選択することにより、システムリソースが復号化の
処理に使用できない場合にセッションを終了すること
を選択できます。
復号
[OK] をクリックしてプロファイルを保存します。
425
SSH プロキシの設定
復号
SSH プロキシ復号化の設定（続き）
ステップ 3
ステップ 4
426
復号ポリシーを設定します。
設定を [ コミット ] します。
1.
[Policies] > [ 復号 ] の順に選択し、[ 追加 ] をクリック
します。
2.
[ 全般 ] タブの [ 名前 ] に分かりやすい名前を入力し
ます。
3.
[ 送信元 ] タブおよび [ 宛先 ] タブで、[ いずれか ] を選
択するとすべての SSH トラフィックを復号化します。
4.
[URL カテゴリ ] タブで、[ いずれか ] を選択すると、す
べての SSH トラフィックを復号化します。
5.
[ オプション ] タブで、[ 復号 ] を選択し、復号化するト
ラフィックの [ タイプ ] として [SSH プロキシ ] を選択し
ます。
6.
（任意）復号化されたトラフィックに追加の設定を適
用するには、[ 復号プロファイル ] を選択します。
7.
[OK] をクリックして保存します。
SSH プロキシ復号ポリシーが有効になっている場合、ポリ
シーによって識別されるすべての SSH トラフィックが復号
化され、通常 SSH トラフィックまたは SSH トンネルトラ
フィックとして識別されます。SSH トンネルトラフィック
は、ファイアウォールで設定されたプロファイルに基づい
てブロックおよび制限されます。トラフィックは、ファイ
アウォールから出力される際に再暗号化されます。
復号
復号
復号化の例外の設定
復号化の例外の設定
トラフィックの送信元、宛先、URL カテゴリ、またはサービスなどの一致条件に基づいて、復
号化からトラフィックを意図的に除外できます。また、特定のサーバーのトラフィックを復号
化から除外することもできます。「復号化の例外」を設定するには、以下のトピックを参照し
てください。

復号化からのトラフィックの除外

復号化からのサーバーの除外
復号化からのトラフィックの除外
アプリケーションや特定のトラフィックを意図的にその他の既存の SSL または SSH 復号ポリ
シーから除外するため、新しい復号ポリシーを作成し、ポリシーで [ 復号なし ] アクションが選
択されている場合に復号化から除外するトラフィックを定義することができます。送信元、宛
先、URL カテゴリ、またはサービス（ポートまたはプロトコル）などの一致条件に従って、ポ
リシーベースで除外するトラフィックを定義できます。復号化からトラフィックを除外する復
号ポリシーは、復号ポリシーリストの中で他の復号ポリシーよりも上になるようにドラッグア
ンドドロップして、必ずリストの先頭になるようにしてください。
SSL または SSH 復号化からトラフィックを除外する復号ポリシーを設定するには、以下の手順
を参照してください。
復号ポリシーからのトラフィックの除外
ステップ 1
復号ポリシーを作成します。
1.
復号ポリシーを使用して、ト
ラフィックの送信元ゾーンお 2.
よび宛先ゾーンまたはアドレ
スおよび URL カテゴリに基づ 3.
いて復号からトラフィックを
除外します。この例では、金
融または医療関連と分類され
るトラフィックを SSL フォワー 4.
ドプロキシ復号化から除外す
る方法を示します。
復号
[Policies] > [ 復号 ] の順に選択し、[ 追加 ] をクリック
します。
[ 名前 ] に、ポリシーの分かりやすい名前（たとえば
No-Decrypt-Finance-Health など）を入力します。
[ 送信元 ] タブおよび [ 宛先 ] タブで、[ 送信元ゾーン ]
および [ 宛先ゾーン ] に [ いずれか ] を選択すると、外
部サーバーを宛先とするすべての SSL トラフィックに
No-Decrypt-Finance-Health ルールが適用されます。
[URL カテゴリ ] タブで、[ 追加 ] をクリックして、
[financial-services] および [health-and-medicine] の URL カ
テゴリをポリシーに追加し、これらのカテゴリに一致
したトラフィックは復号化しないように指定します。
5.
[オプション] タブで、[復号なし] を選択し、トラフィッ
クを除外する復号ポリシーの [ タイプ ] を選択します。
たとえば、金融または医療に分類されるトラフィック
を、個別に設定された SSL フォワードプロキシ復号ポ
リシーから除外するには、[ タイプ ] に [SSL フォワード
プロキシ ] を選択します。
6.
[OK] をクリックして No-Decrypt-Finance-Health 復号ポリシー
を保存します。
427
復号化の例外の設定
復号
復号ポリシーからのトラフィックの除外（続き）
ステップ 2
復号ポリシーを復号ポリシー [Policies] > [ 復号 ] ページで、No-Decrypt-Finance-Health ポリシー
リストの先頭に移動します。を選択し、リストの先頭に表示されるまで [上へ] をクリッ
クします（またはドラッグアンドドロップすることもでき
ます）。
復号ポリシーは、リストされている順にネットワークトラ
フィックに適用されます。[ 復号なし ] アクションを適用し
たポリシーをリストの先頭に移動することにより、指定し
たトラフィックが設定されている他のポリシーに基づいて
復号化されないようになります。
ステップ 3
設定を [ コミット ] します。
[ 復号なし ] を有効にした復号ポリシーにより、指定された
トラフィックがファイアウォールを通過するときに暗号化
されたままになり、[Policies] > [ 復号 ] ページで設定およ
びリストされている他の復号ポリシーに基づいて復号化さ
れないようになります。
復号化からのサーバーの除外
サーバーの証明書の共通名 (CN) に基づいてターゲットサーバーのトラフィックを SSL 復号化か
ら除外できます。たとえば、SSL 復号化を有効にしている場合に、企業ネットワーク上で HR シ
ステムの Web サービスをホストするサーバーに復号化の例外を設定できます。ターゲットサー
バーのトラフィックが復号化から除外されるようにサーバーの証明書を設定するには、以下の
手順を参照してください。
復号化からのサーバーの除外
ステップ 1
ターゲットサーバーの証明書をファイアウォールにインポートします。
1. [Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス証明書 ] タブで、[ インポート ] を選
択します。
2. 分かりやすい名前を [ 証明書名 ] に入力します。
3. [ 証明書ファイル ] で、ターゲットサーバーの証明書ファイルを参照し、選択します。
4. [OK] をクリックします。
ステップ 2
[ デバイス証明書 ] タブで、ターゲットサーバーの証明書を選択し、SSL 除外証明書として
有効にします。
ターゲットサーバーの証明書がファイアウォールにインポートされ、SSL 除外証明書に指定
されている場合、サーバーのトラフィックはファイアウォール通過時に復号化されません。
428
復号
復号
SSL 復号化からオプトアウトするユーザーを有効にする
SSL 復号化からオプトアウトするユーザーを有効にする
場合によっては、特定の Web トラフィックが復号化されるという事実についてユーザーにア
ラートを送信し、検査されることを望まないセッションをユーザーが終了できるようにする必
要があります。SSL オプトアウトが有効になっている場合、ファイアウォールは、復号ポリ
シーに適合する HTTPS サイトまたはアプリケーションをユーザーが初めて参照しようとすると
きに、ユーザーに対してセッションが復号化されることを通知する応答ページを表示します。
ユーザーは、[ はい ] をクリックして復号化を許可し、続行してページに進むか、または復号化
をオプトアウトし、[ いいえ ] をクリックしてセッションを終了することができます。SSL 復号
化をオプトアウトするユーザーは、要求した Web ページ、または次の 24 時間の期間にアクセス
を試みるその他のすべての HTTPS サイトに進むことを許可されません。
ファイアウォールには、有効にすることができる事前定義された [SSL 復号オプトアウトページ ]
が用意されてます。任意で、独自のテキストまたはイメージによってそのページをカスタマイ
ズできます。
復号
429
SSL 復号化からオプトアウトするユーザーを有効にする
復号
SSL 復号化からオプトアウトするユーザーを有効にする
ステップ 1
（任意）[SSL 復号オプトアウ 1.
トページ ] をカスタマイズし 2.
ます。
3.
[Device] > [ 応答ページ ] の順に選択します。
[SSL 復号オプトアウトページ ] リンクを選択します。
[ 事前定義済み ] ページを選択し、[ エクスポート ] を
クリックします。
4.
任意の HTML テキストエディタを使用して、ページ
を編集します。
5.
イメージを追加する必要がある場合は、エンドユーザー
システムからアクセス可能な Web サーバーでそのイ
メージをホストします。
6.
そのイメージを指し示すように、HTML に行を追加し
ます。例 :
<img src="http://cdn.slidesharecdn.com/
Acme-logo-96x96.jpg?1382722588"/>
7.
編集したページを新しいファイル名で保存します。
ページが UTF-8 エンコーディングのままであることを
確認してください。
8.
ファイアウォールに戻り、[Device] > [ 応答ページ ] の
順に選択します。
9.
[SSL 復号オプトアウトページ ] リンクを選択します。
10. [ インポート ] をクリックし、[ インポートファイル ]
フィールドにパスとファイル名を入力するか、[ 参照 ]
をクリックしてファイルを指定します。
11. （任意）[ 宛先 ] ドロップダウンリストから、このロ
グインページが使用される仮想システムを選択する
か、すべての仮想システムから利用できるように共有
を選択します。
12. [OK] をクリックしてファイルをインポートします。
13. インポートした応答ページを選択し、[閉じる] をクリッ
クします。
ステップ 2
430
SSL 復号オプトアウトを有効に 1.
します。
[Device] > [ 応答ページ ] ページで、[ 無効 ] リンクを
クリックします。
2.
[ 有効化 SSL オプトアウトページ ] をオンにし、[OK]
をクリックします。
3.
変更を [ コミット ] します。
復号
復号
SSL 復号化からオプトアウトするユーザーを有効にする
SSL 復号化からオプトアウトするユーザーを有効にする（続き）
ステップ 3
復号
サイトを参照しようとすると
きに、そのオプトアウトペー
ジが表示されることを確認し
ます。
ブラウザから、復号ポリシーと一致する暗号化されたサイ
トに移動します。
SSL 復号オプトアウトの応答ページが表示されることを確
認します。
431
復号ポートミラーリングの設定
復号
復号ポートミラーリングの設定
復号ポートミラーリングを有効にする前に、復号ポートミラーライセンスを取得し、インス
トールする必要があります。ライセンスは無料で、以下の手順によってサポートポータルから
アクティベーションできます。復号ポートミラーライセンスをインストールしてファイア
ウォールを再起動した後、復号ポートミラーリングを有効にできます。
復号ポートミラーリングを有効にするには、復号化されたトラフィックの転送を有効にし、復
号ミラーインターフェイスを設定します。その後、インターフェイスを指定する復号プロファ
イルを作成し、それを復号ポリシーに関連付けます。復号ポートミラーリングの実装について
の詳細は、「復号ポートミラーリング」を参照してください。
復号ポートミラーライセンスを取得してインストールし、復号ポートミラーリングを設定す
るには、以下の手順を使用します。
復号ポートミラーリングの設定
ステップ 1
432
復号ポートミラーリングを有効 1.
にするデバイスごとにライセ
ンスを要求します。
2.
『Palo Alto Networks のサポート』サイトにログイン
し、[Assets（アセット）] タブに移動します。
3.
[Decryption Port Mirror（復号ポートミラー）] を選択
します。法的通知が表示されます。
4.
潜在的な法的意味および要件を十分理解した上で、
[I understand and wish to proceed（理解しました。続
行します。）] をクリックします。
5.
[Activate（アクティベーション）] をクリックします。
ライセンスを取得するデバイスのデバイスエントリを
選択し、[Actions（アクション）] を選択します。
復号
復号
復号ポートミラーリングの設定
復号ポートミラーリングの設定（続き）
ステップ 2
ステップ 3
復号ポートミラーライセンス 1.
をファイアウォールにインス
トールします。
2.
ファイアウォールの Web インターフェイスから、
[Device] > [ ライセンス ] の順に選択します。
[ ライセンスサーバーからライセンスキーを取得 ] をク
リックします。
3.
ライセンスがファイアウォール上でアクティベーショ
ンされていることを確認します。
4.
ファイアウォールを再起動します（[Device] > [ セット
アップ ] > [ 操作 ]）。この機能は、PAN-OS を再ロード
するまで設定できません。
復号化されたトラフィックを仮想システムが 1 つのファイアウォールの場合 :
ミラーリングする機能を有効 1. [Device] > [ セットアップ ] > [ コンテンツ ID] の順に選
にします。この手順を実行す
択します。
るにはスーパーユーザーの権 2. [ 復号化されたコンテンツの転送を許可 ] チェックボッ
限が必要です。
クスをオンにします。
3.
[OK] をクリックして保存します。
仮想システムが複数あるファイアウォールの場合 :
1. [Device] > [ 仮想システム ] の順に選択します。
ステップ 4
2.
編集する仮想システムを選択するか、または [ 追加 ] を
選択して新しい仮想システムを作成します。
3.
[ 復号化されたコンテンツの転送を許可 ] チェックボッ
クスをオンにします。
4.
[OK] をクリックして保存します。
復号ミラーインターフェイスを 1.
設定します。
[Network] > [ インターフェイス ] > [Ethernet] の順に
選択します。
2.
復号ポートミラーリング用に設定する Ethernet イン
ターフェイスを選択します。
3.
[ インターフェイスタイプ ] に [ 復号化ミラー] を選択
します。
このインターフェイスタイプは復号ポートミラーラ
イセンスがインストールされている場合にのみ表示さ
れます。
4.
復号
[OK] をクリックして保存します。
433
復号ポートミラーリングの設定
復号
復号ポートミラーリングの設定（続き）
ステップ 5
復号プロファイルを設定して 1.
復号ポートミラーリングを有 2.
効にします。
[Objects] > [ 復号プロファイル ] の順に選択します。
[ 復号化ミラーリング ] に使用する [ インターフェイス ]
を選択します。
[ インターフェイス ] ドロップダウンには、[ 復号化ミ
ラー] タイプとして定義されているすべての Ethernet イ
ンターフェイスが含まれています。
3.
復号化されたトラフィックをポリシー適用の前または
後のどちらにミラーリングするかを指定します。
デフォルトでは、ファイアウォールは、インターフェ
イスへのすべての復号化されたトラフィックをセキュ
リティポリシー検索の前にミラーリングします。これ
により、イベントを再生して脅威を生成したりドロッ
プアクションのトリガーとなったトラフィックを分析
できます。セキュリティポリシー適用の後の復号化さ
れたトラフィックをミラーリングするには、[ 転送のみ ]
チェックボックスをオンにします。このオプションを
指定すると、ファイアウォール内を転送されたトラ
フィックのみがミラーリングされます。このオプショ
ンは、復号化されたトラフィックを他の脅威検出デバ
イス（DLP デバイスや他の侵入防止システム (IPS) な
ど）に転送する場合に役立ちます。
4.
ステップ 6
ステップ 7
434
復号ポートミラーリングの復号 1.
ポリシーを設定します。
2.
設定を保存します。
[OK] をクリックして復号プロファイルを保存します。
[Policies] > [ 復号 ] の順に選択します。
[ 追加 ] をクリックして復号ポリシーを設定するか、ま
たは既存の復号ポリシーを選択して編集します。
3.
[オプション] タブで、[復号] を選択し、ステップ 4 で
作成した [ 復号プロファイル ] を選択します。
4.
[OK] をクリックしてポリシーを保存します。
[ コミット ] をクリックします。
復号
復号
SSL 復号化を一時的に無効にする
SSL 復号化を一時的に無効にする
場合によっては、SSL 復号化を一時的に無効にすることができます。たとえば、ユーザーが暗
号化されたサイトまたはアプリケーションへのアクセスで問題を抱えている場合は、問題のト
ラブルシューティングのために SSL 復号化を無効にすることができます。関連付けられている
復号ポリシーを無効にすることができますが、ポリシーの変更は、コミットが必要とされる設
定変更です。代わりに、以下のコマンドを使用して SSL 復号化を一時的に無効にし、トラブル
シューティングの終了後に再び有効にします。このコマンドにはコミットが不要であり、再起
動後も設定に残ることはありません。
SSL 復号化を一時的に無効にする
• SSL 復号化を無効にする
set system setting ssl-decrypt skip-ssl-decrypt yes
• SSL 復号化を再び有効にする set system setting ssl-decrypt skip-ssl-decrypt no
復号
435
SSL 復号化を一時的に無効にする
復号
436
復号
URL フィルタリング
Palo Alto Networks URL フィルタリングソリューションは強力な PAN-OS 機能であり、ユーザー
が HTTP および HTTPS を介して Web にアクセスする方法を監視および制御するために使用され
ます。以下のトピックでは、URL フィルタリングの概要、設定およびトラブルシューティング
の情報、この機能を最大限に活用するためのベストプラクティスについて説明します。

URL フィルタリングの概要

URL フィルタリングの概念

PAN-DB 分類ワークフロー

URL フィルタリングベンダーの有効化

URL フィルタリングポリシーの要件の決定

Web アクティビティのモニター

URL フィルタリングの設定

URL フィルタリング応答ページのカスタマイズ

URL 管理オーバーライドの設定

セーフサーチの適用の有効化

URL フィルタリングのユースケースの例

URL フィルタリングのトラブルシューティング
URL フィルタリング
437
URL フィルタリングの概要
URL フィルタリング
URL フィルタリングの概要
Palo Alto Networks の URL フィルタリング機能は、Web（HTTP および HTTPS）トラフィックへ
のアクセスを識別および制御するようにユーザーがファイアウォールを設定できるようにする
ことで、「App-ID」機能を補う機能です。セキュリティポリシーで URL フィルタリングプロ
ファイルを実装し、ポリシーの一致条件として URL カテゴリ（[ キャプティブポータル ]、[ 復
号 ]、[ セキュリティ]、および [QoS]）を使用することにより、ファイアウォールを通過するトラ
フィックを詳細に把握して制御したり、Web への安全なユーザーアクセスを可能にして制御し
たりすることができます。
Palo Alto Networks URL フィルタリングソリューションでは、URL フィルタリングデータベース
を活用します。このデータベースには数百万の Web サイトが含まれており、各 Web サイトは約
60 種類のカテゴリの 1 つに分類されています。次に、これらのカテゴリのリストを含む URL
フィルタリングプロファイルが、内部ユーザーからインターネットへの Web トラフィック
(HTTP/HTTPS) を許可するセキュリティポリシーに適用されます。URL フィルタリングプロ
ファイルを適用して、カテゴリにアラートアクションまたはブロックアクションが設定される
と、ユーザーがアクセスする Web サイトを詳細に把握できるようになり、許可、ブロックまた
はログを記録する必要がある Web サイトまたは Web カテゴリを特定することができます。常に
ブロックまたは許可する URL のリストを URL フィルタリングプロファイルで定義することも
できます。また、URL のリストを含むカスタム URL カテゴリを作成できます。このリストは、
デフォルトのカテゴリリストと同じように使用できます。これらの同じ URL カテゴリは、キャ
プティブポータル、復号、および QoS など、他のポリシーで一致条件として使用することもで
きます。

URL フィルタリングベンダー

App-ID および URL カテゴリ間の相互作用
URL フィルタリングベンダー
Palo Alto Networks ファイアウォールでは、URL フィルタリングで以下の 2 つのベンダーをサ
ポートしています。

PAN-DB — PAN-OS と緊密に統合されている Palo Alto Networks が開発した URL フィルタリン
グデータベース。高パフォーマンスのローカルキャシングを活用して、URL 検索において最
大のインラインパフォーマンスを実現すると同時に、分散クラウドアーキテクチャにより最
新の Web サイトも網羅します。また、PAN-DB は WildFire と緊密に統合されているため、URL
フィルタリングプロファイルがセキュリティポリシールールに関連付けられている限り、
WildFire が有害サイトだと判断すると、対応する PAN-DB URL カテゴリを malware に更新し、
そのサイトへの今後のすべてのアクセスをすぐにブロックします。PAN-DB URL Filtering カテ
ゴリのリストを表示するには、『https://urlfiltering.paloaltonetworks.com/CategoryList.aspx』を参
照してください。

BrightCloud — Webroot, Inc. が所有するサードパーティ URL データベース。PAN-OS ファイア
ウォールに統合されます。BrightCloud URL データベースの詳細は、『http://brightcloud.com』
にアクセスしてください。
438
URL フィルタリング
URL フィルタリング
URL フィルタリングの概要
サポートされているいずれかの URL フィルタリングベンダーを使用するようにファイアウォー
ルを設定する手順は、「URL フィルタリングベンダーの有効化」を参照してください。
App-ID および URL カテゴリ間の相互作用
Palo Alto Networks の URL フィルタリング機能は、アプリケーション識別機能 (App-ID) と併用す
ることで、法律、規制、生産性およびリソース使用状況のそれぞれに関するリスク全般に対し
てこれまでにない保護が提供されます。App-ID ではアプリケーションユーザーがアクセスでき
る対象を制御することが可能で、URL フィルタリングでは関連する Web アクティビティを制御
できます。User-ID と併用すると、これらの制御をユーザーおよびグループに基づいて適用する
こともできます。
現在のアプリケーションを取り巻く状況や、多くのアプリケーションによる HTTP および
HTTPS の使用状況を考慮し、包括的な Web アクセスポリシーを定義するため、状況に応じて
App-ID と URL フィルタリングを的確に活用する必要があります。App-ID シグネチャが存在する
ときは、ほとんどの場合、App-ID を使用してアプリケーションレベルでコンテンツを制御する
ことをお勧めします。たとえば、URL フィルタリングを使用すると Facebook または LinkedIn、あ
るいはその両方へのアクセスを制御できますが、この場合、電子メール、チャットなどの関連
アプリケーション、およびポリシーを実装後に導入される新しいアプリケーションの使用はブ
ロックされません。
URL フィルタリングと App-ID の両方を使用する必要がある場合もありますが、複数のポリ
シーで競合が発生しないようにするため、これらの機能がどのように連携しているかを把握す
ることが重要です。Palo Alto Networks では、多くのアプリケーションのシグネチャが生成され
ます。それらのシグネチャは、Web ベースアプリケーション内のさまざまな機能に関して極め
て細かく設定できます。一方、URL フィルタリングは特定の Web サイトまたは URL カテゴリに
基づいてのみアクションを適用します。たとえば、通常はソーシャルネットワーキングサイト
をブロックするが、そのカテゴリのいくつかのサイトへのアクセスを特定の部門に許可し、さ
らに許可されたユーザーが使用できる Web サイトの機能を制御する場合などがあります。詳細
は、「URL フィルタリングのユースケースの例」を参照してください。
URL フィルタリング
439
URL フィルタリングの概念
URL フィルタリング
URL フィルタリングの概念

URL カテゴリ

URL フィルタリングプロファイル

URL フィルタリングプロファイルアクション

ブロックリストと許可リスト

セーフサーチを適用

コンテナページ

HTTP ヘッダのロギング

URL フィルタリング応答ページ

ポリシー一致条件としての URL カテゴリ
440
URL フィルタリング
URL フィルタリング
URL フィルタリングの概念
URL カテゴリ
URL フィルタリングデータベースで定義されている各 Web サイトは、約 60 種類の URL カテゴ
リの 1 つに割り当てられます。ファイアウォールで URL 分類を使用するには、以下の 2 つの方
法があります。

URL カテゴリに基づいてトラフィックをブロックまたは許可する — 各 URL カテゴリのアク
ションを指定し、プロファイルをポリシーに関連付ける URL フィルタリングプロファイル
を作成できます。その後、ポリシーに一致するトラフィックにプロファイルの URL フィル
タリング設定が適用されます。たとえば、すべてのゲーム Web サイトをブロックするには、
URL プロファイルで games という URL カテゴリのブロックアクションを設定し、Web アクセ
スを許可するセキュリティポリシールールに関連付けます。詳細は「URL フィルタリング
の設定」を参照してください。

URL カテゴリに基づいてトラフィックを照合してポリシーを適用する — 特定のカテゴリの
サイトへの Web トラフィックにのみ特定のポリシールールを適用する場合、ポリシールール
の作成時に一致条件としてカテゴリを追加します。たとえば、QoS ポリシーで streaming-media と
いう URL カテゴリを使用して、ストリーミングメディアとして分類されているすべての
Web サイトに対して帯域幅の制御を適用できます。詳細は「ポリシー一致条件としての URL
カテゴリ」を参照してください。
Web サイトをカテゴリにグループ分類することで、Web サイトの特定のタイプに基づいたアク
ションをより簡単に定義できます。標準の URL カテゴリの他に、以下の 3 つの追加カテゴリが
あります。
Not-resolved
Web サイトがローカル URL フィルタリングデータベースで見つからず、
ファイアウォールがカテゴリを確認するためにクラウドデータベースに
接続できなかったことを示します。URL カテゴリ検索を実行する場合、
ファイアウォールでは、まず、その URL のデータプレーンキャッシュを
確認します。一致がない場合、管理プレーンキャッシュを確認し、そこ
にも一致がない場合は、クラウドの URL データベースにクエリを実行し
ます。
not-resolved として分類されているトラフィックに対して実行するアクション
を決定する場合、このアクションをブロックに設定すると、ユーザー操作
を大幅に妨げることになる可能性があります。
検索に関する問題のトラブルシューティングの詳細は、「URL フィルタ
リングのトラブルシューティング」を参照してください。
Private-ip-addresses
URL フィルタリング
Web サイトが単一のドメイン（サブドメインを含まない）であり、その IP
アドレスがプライベート IP の範囲内にあるか、クラウドでその URL ルー
トドメインが不明であることを示します。
441
URL フィルタリングの概念
Unknown
URL フィルタリング
Web サイトが分類されていないため、その Web サイトがファイアウォール
の URL フィルタリングデータベースまたは URL クラウドのデータベース
に存在しません。
unknown として分類されているトラフィックに対して実行するアクション
を決定する場合、このアクションをブロックに設定すると、URL データ
ベースにまだ含まれていない有効なサイトが大量にある可能性があるた
め、ユーザー操作を大幅に妨げることになる可能性があります。極めて厳
しいポリシーが必要な場合は、URL データベースに存在しない Web サイ
トにはアクセスできないように、このカテゴリをブロックすることができ
ます。
「URL フィルタリングの設定」を参照してください。
URL フィルタリングプロファイル
URL フィルタリングプロファイルは、Web アクセスポリシーを実装するために個々のセキュリ
ティポリシールールに適用される URL フィルタリングコントロールの集合です。ファイア
ウォールには、脅威になりやすいカテゴリ（malware、phishing、adult など）をブロックするよ
うに設定されているデフォルトプロファイルが付属しています。このデフォルトプロファイル
は、セキュリティポリシーで使用したり、コピーして新しい URL フィルタリングプロファイ
ルを作成するときに利用したりできます。また、ネットワーク上のトラフィックを可視化でき
るように、すべてのカテゴリを許可に設定する新しい URL プロファイルを追加することもでき
ます。新しく追加されたこの URL プロファイルをカスタマイズして、常にブロックまたは許可
する必要のある特定の Web サイトのリストを追加できます。これにより、URL カテゴリをより
細かく制御することができます。たとえば、ソーシャルネットワーキングサイトをブロックす
るが、ソーシャルネットワーキングのカテゴリに含まれる一部の Web サイトを許可する場合な
どです。
以下のトピックでは、URL フィルタリングプロファイルのコンポーネントについて説明します。

URL フィルタリングプロファイルアクション

ブロックリストと許可リスト

セーフサーチを適用

コンテナページ

HTTP ヘッダのロギング
442
URL フィルタリング
URL フィルタリング
URL フィルタリングの概念
URL フィルタリングプロファイルアクション
URL フィルタリングプロファイルでは、既知の各 URL カテゴリのアクションを指定します。
デフォルトでは、新しい URL フィルタリングプロファイルを作成するときに、アクションがす
べてのカテゴリに対して [allow] に設定されています。これは、ユーザーはすべてのサイトを
自由に閲覧でき、ログに記録されないことを意味しています。
デフォルトの URL フィルタリングプロファイルは、すべての URL カテゴリへのアクセスを許可す
るように設定されています。ただし、例外として、脅威になりやすいカテゴリ（abused-drugs、
adult、gambling、hacking、malware、phishing、questionable、および weapons）はブロック
されます。カスタム URL フィルタリングプロファイルが必要な場合、新しいプロファイルを
作成するのではなく、デフォルトプロファイルをコピーして、これらの設定を保持することを
お勧めします。
アクション
説明
alert
Web サイトが許可され、URL フィルタリングログにログエントリが生成され
ます。
allow
Web サイトが許可され、ログエントリは生成されません。
block
Web サイトがブロックされ、応答ページが表示されます。Web サイトへのアク
セスを続行することはできません。URL フィルタリングログでログエントリ
が生成されます。
continue
会社のポリシーによりサイトがブロックされたことを示す応答ページが表示
され、Web サイトへのアクセスを続行するオプションが表示されます。
[continue] アクションは、通常、無害とみなされるカテゴリで使用され、ユー
ザーがサイトが正しく分類されていないと感じる場合に、操作を続行するた
めのオプションを提供することで、ユーザーの操作性を向上させるために使
用されます。応答ページのメッセージをカスタマイズして、自社専用の詳細
情報を含めることができます。URL フィルタリングログでログエントリが生
成されます。
プロキシサーバーを使用するように設定されているクライアントマシ
ンでは、続行ページは正しく表示されません。
override
特定のカテゴリの Web サイトへのアクセスを許可するためにパスワードが必
要であることを示す応答ページが表示されます。このオプションを使用し
て、セキュリティ管理者またはヘルプデスク担当者は、特定のカテゴリのす
べての Web サイトに一時的なアクセスを付与するパスワードを提供します。
URL フィルタリングログでログエントリが生成されます。「URL 管理オー
バーライドの設定」を参照してください。
プロキシサーバーを使用するように設定されているクライアントマシ
ンでは、オーバーライドページは正しく表示されません。
URL フィルタリング
443
URL フィルタリングの概念
URL フィルタリング
アクション
説明
none
none アクションはカスタム URL カテゴリにのみ適用されます。[none] を選択
し、複数の URL プロファイルが存在する場合に、そのカスタムカテゴリが他
のプロファイルに影響を与えないようにするためです。たとえば、2 つの URL
プロファイルがあり、カスタム URL カテゴリが一方のプロファイルで [block]
に設定されている場合、もう一方のプロファイルでは [block] が適用されない
ようにするにはアクションを [none] に設定する必要があります。
また、カスタム URL カテゴリを削除するには、使用されるプロファイルで
[none] に設定されている必要があります。
ブロックリストと許可リスト
ブロックリストおよび許可リストを使用すると、URL カテゴリで定義されているアクションに
かかわらず、常に許可または常にブロックされる特定の URL または IP アドレスを URL フィル
タリングプロファイルで定義できます。[ ブロックリスト ] または [ 許可リスト ] に URL を入力
するときは、各 URL または IP アドレスは、1 行ごとに改行で区切って入力します。URL でワイ
ルドカードを使用する場合は、以下のルールに従います。

URL を定義するときは、HTTP や HTTPS を含めないでください。たとえば、
https://www.paloaltonetworks.com ではなく、www.paloaltonetworks.com または
paloaltonetworks.com と入力します。

ブロックリストのエントリは、完全一致である必要があり、大文字と小文字は区別されま
せん。
例 : ドメイン paloaltonetworks.com 内の Web サイトにアクセスできないようにする場合は、
*.paloaltonetworks.com も追加し、アドレスにどのようなドメインのプレフィックス（http://、
www、または mail.paloaltonetworks.com などのサブドメインのプレフィックス）が追加された
場合でも、指定のアクションが実行されるようにします。同じことがサブドメインのサ
フィックスにも該当します。paloaltonetworks.com/en/US をブロックする必要がある場合は、
paloaltonetworks.com/* も追加する必要があります。
ブロックリストと許可リストではワイルドカードパターンがサポートされます。以下の文
字は区切り文字とみなされます。
.
/
?
&
=
;
+
444
URL フィルタリング
URL フィルタリング
URL フィルタリングの概念
上記の文字で区切られた部分文字列はそれぞれトークンとみなされます。区切り文字が含ま
れていない任意の長さの ASCII 文字、または「*」です。たとえば、以下のパターンは有効
です。
*.yahoo.com（トークンは「*」、「yahoo」、および「com」）
www.*.com（トークンは「www」、「*」、および「com」）
www.yahoo.com/search=*（トークンは「www」、「yahoo」、「com」、「search」、および
「*」）
以下のパターンでは、「*」がトークンの唯一の文字でないため無効です。
ww*.yahoo.com
www.y*.com
セーフサーチを適用
多くの検索エンジンには、検索クエリリターントラフィックでアダルト画像やアダルト動画を
除外するセーフサーチ設定が備わっています。ファイアウォールで「セーフサーチの適用の有
効化」を行うことで、エンドユーザーが検索クエリで最も厳密なセーフサーチ設定を使用して
いない場合に、ファイアウォールで検索結果をブロックできます。ファイアウォールは、
Google、Yahoo、Bing、Yandex、および YouTube の検索プロバイダのセーフサーチを適用できま
す。これは、ベストエフォート設定であり、すべての Web サイトで機能することを検索プロバ
イダが保証しているわけではありません。
この機能を使用するには、URL フィルタリングプロファイルで [ セーフサーチを適用 ] オプショ
ンを有効にし、セキュリティポリシーに関連付ける必要があります。その後、ファイアウォー
ルは、最も厳密なセーフサーチ設定を使用していない、一致する検索クエリリターントラ
フィックをブロックします。検索結果をブロックするには、以下の 2 つの方法があります。

「厳密なセーフサーチ設定を使用していない検索結果のブロック」— エンドユーザーが最
も厳密なセーフサーチ設定を有効にする前に検索を実行しようとすると、ファイアウォール
で検索クエリ結果がブロックされ、URL フィルタリングセーフサーチのブロックページが
表示されます。デフォルトでは、セーフサーチを設定できるように、このページに検索プロ
バイダ設定への URL が表示されます。

「透過的なセーフサーチの適用の有効化」— エンドユーザーが厳密なセーフサーチ設定を
有効にする前に検索を実行しようとすると、ファイアウォールで検索結果がブロックされて
HTTP 503 ステータスコードが表示され、セーフサーチパラメータがある URL に検索クエリ
がリダイレクトされます。この機能を有効にするには、厳密なセーフサーチパラメータが
含まれるように検索 URL を書き換える Javascript を備える新しい URL フィルタリングセーフ
サーチのブロックページをインポートします。この設定では、ユーザーにブロックページ
は表示されませんが、代わりに、最も厳密なセーフサーチオプションを適用する検索クエ
リに自動的にリダイレクトされます。このセーフサーチの適用方法では、コンテンツリ
リースバージョン 475 以降が必要で、Google、Yahoo、および Bing の検索でのみサポートさ
れます。
URL フィルタリング
445
URL フィルタリングの概念
URL フィルタリング
現在、大部分の検索プロバイダでは、SSL を使用して検索結果を返すようになっているため、
ファイアウォールで検索トラフィックを調べてセーフサーチを適用できるように、検索トラ
フィックの「復号」ポリシーも設定する必要があります。
新しい検索プロバイダのセーフサーチの適用の拡張機能およびサポートは、定期的にコンテン
ツリリースに追加されます。この情報の詳細は、アプリケーションおよび脅威コンテンツのリ
リースノートを参照してください。サイトが安全かどうかを判定するのは、Palo Alto Networks
ではなく各検索プロバイダです。
セーフサーチ設定は、検索プロバイダごとに異なります。詳細は、「表 : 検索プロバイダの
セーフサーチ設定」を参照してください。
表 : 検索プロバイダのセーフサーチ設定
検索プロバイダ
セーフサーチ設定の説明
Google/YouTube
個々のコンピュータまたはネットワーク全体（Google のセーフサーチ仮想 IP アド
レスを使用）でセーフサーチを提供します。
個々のコンピュータでの Google 検索のセーフサーチの適用
『Google の [ 検索の設定 ]』の [ 不適切な検索結果を除外する。] 設定で、セーフ
サーチ機能を有効にします。有効にした設定はブラウザの Cookie に FF= として保
存され、ユーザーが Google の検索を実行するたびにサーバーに渡されます。
safe=active を Google の検索クエリ URL に追加して、最も厳密なセーフサーチ設
定を有効にすることもできます。
仮想 IP アドレスを使用した Google および YouTube 検索のセーフサーチの適用
Google が提供するサーバー (forcesafesearch.google.com) では、すべての Google
および YouTube 検索で、『セーフサーチをロック』するように設定できます。
forcesafesearch.google.com を指し示す CNAME レコードを含む、
www.google.com と www.youtube.com（および Google や YouTube に関連する
その他のサブドメイン）の DNS エントリを DNS サーバー設定に追加すると、ネッ
トワーク上のすべてのユーザーが Google または YouTube 検索を実行するときに必
ず厳密なセーフサーチ設定を使用するようになります。
または、DNS プロキシ（[Network] > [DNS プロキシ ]）を設定し、DHCP を
介してサービスプロバイダからファイアウォールに DNS 設定を送信すると
きに使用するレイヤー 3 インターフェイスとして継承ソースを設定します。
forcesafesearch.google.com サーバーのローカル IP アドレスを使用して、
www.google.com と www.youtube.com の [ スタティックエントリ ] で DNS プロ
キシを設定します。
446
URL フィルタリング
URL フィルタリング
URL フィルタリングの概念
検索プロバイダ
セーフサーチ設定の説明
Yahoo
個々のコンピュータでのみセーフサーチを提供します。『Yahoo の [ 検索設定 ]』に
は、[ 強 ]、[ 中 ]、または [ 弱 ] のセーフサーチ設定があります。有効にした設定は
ブラウザの Cookie に vm= として保存され、ユーザーが Yahoo の検索を実行するた
びにサーバーに渡されます。
を Yahoo の検索クエリ URL に追加して、最も厳密なセーフサーチ設定を有効
にすることもできます。
vm=r
Yahoo アカウントでログイン中に Yahoo Japan (yahoo.co.jp) で検索を実行する
場合、エンドユーザーは [ チャイルドロック ] オプションも有効にする必要
があります。
Bing
個々のコンピュータまたは『Bing in the Classroom』プログラムでセーフサーチを提
供します。『Bing の [ 設定 ]』には、[ 高レベル ]、[ 標準 ]、または [ オフ ] のセー
フサーチ設定があります。有効にした設定はブラウザの Cookie に adlt= として保
存され、ユーザーが Bing の検索を実行するたびにサーバーに渡されます。
adlt=strict を Bing の検索クエリ URL に追加して、最も厳密なセーフサーチ設定
を有効にすることもできます。
Bing SSL 検索エンジンでは、セーフサーチ URL パラメータが適用されないため、
完全なセーフサーチを適用するために SSL 経由の Bing をブロックすることを検討
してください。
URL フィルタリング
447
URL フィルタリングの概念
URL フィルタリング
コンテナページ
コンテナページは、Web サイトを訪れるときにユーザーがアクセスするメインのページです。
ただし、メインのページ内に追加の Web サイトがロードされる場合があります。[ コンテナ
ページのみロギング ] オプションを URL フィルタリングプロファイルで有効にすると、メイン
のコンテナページのみがログに記録されます。コンテナページ内にロードされる可能性のある
後続のページは記録されません。URL フィルタリングではログエントリが多数生成される可能
性があるため、要求されたページファイル名が特定の MIME タイプに一致する URI のみがログ
エントリに格納されるように、このオプションを有効にすることをお勧めします。デフォルト
のセットには、以下の MIME タイプが含まれています。

application/pdf

application/soap+xml

application/xhtml+xml

text/html

text/plain

text/xml
[コンテナページのみロギング] オプションが有効になっている場合、アンチウイルスまた
は脆弱性防御によって検出される脅威に関連する URL ログエントリが含まれない場合もあり
ます。
448
URL フィルタリング
URL フィルタリング
URL フィルタリングの概念
HTTP ヘッダのロギング
URL フィルタリングでは、ネットワーク上の Web トラフィックを可視化および制御できます。
Web コンテンツの可視化を向上させるために、Web 要求に含まれる HTTP ヘッダー属性をログ
に記録するように URL フィルタリングプロファイルを設定できます。クライアントが Web
ページを要求すると、ユーザー、エージェント、Referer、x-forwarded-for フィールドが属性 - 値
ペアとして HTTP ヘッダーに格納され、Web サーバーに転送されます。ファイアウォールで
HTTP ヘッダーのロギングが有効になっている場合、以下の属性 - 値ペアが URL フィルタリング
ログに記録されます。
属性
説明
ユーザーエージェント
ユーザーが URL へのアクセスに使用した Web ブラウザ（Internet
Explorer など）。この情報は、HTTP 要求でサーバーに送信され
ます。
Referer
ユーザーを別の Web ページにリンクした Web ページの URL。要求
された Web ページにユーザーをリダイレクト（参照）した送信元
です。
X-Forwarded-For
Web ページを要求したユーザーの IP アドレスを保持するヘッダー
フィールドオプション。特にネットワーク上にプロキシサーバー
がある場合（すべての要求がプロキシサーバーの IP アドレスから
送信されているようにみえる可能性があります）、ユーザーの IP
アドレスを識別できます。
URL フィルタリング
449
URL フィルタリングの概念
URL フィルタリング
URL フィルタリング応答ページ
ファイアウォールには、「URL フィルタリングプロファイル」のいずれかのブロックアクショ
ン（block、continue、または override）で設定されたカテゴリのサイトをユーザーが閲覧しよう
としたとき、または「セーフサーチを適用」が有効になっているときに、デフォルトで表示さ
れる事前定義済みの 3 つの応答ページが用意されています。

[URL フィルタリングおよびカテゴリ一致ブロックページ ] — URL フィルタリングプロファ
イルが原因で、または URL カテゴリがセキュリティポリシーにブロックされているため、
アクセスがブロックされたことを示します。

[URL フィルタリングの続行とオーバーライドページ ] — ユーザーがブロックをバイパスで
きるよう一旦ブロックさせておくページです。オーバーライドページでは、ユーザーは [ 続
行 ] をクリックした後でパスワードを入力し、URL をブロックするポリシーをオーバーライ
ドする必要があります。

[URL フィルタリングセーフサーチのブロックページ ] — [ セーフサーチを適用 ] オプション
が有効になっている URL フィルタリングプロファイルを使用したセキュリティポリシーに
よって、アクセスがブロックされたことを示します。Google、Bing、Yahoo、または Yandex
を使用して検索が実行され、ブラウザまたは検索エンジンアカウント設定でセーフサーチ
が厳密に設定されていない場合、このページが表示されます。
450
URL フィルタリング
URL フィルタリング
URL フィルタリングの概念
事前定義済みのページを使用することも、特定の利用規定やコーポレートブランディングに合
わせて「URL フィルタリング応答ページのカスタマイズ」を行うこともできます。また、ブ
ロックイベント時に代わりに「URL フィルタリング応答ページの変数」を使用したり、サポー
トされているいずれかの「応答ページのリファレンス」を外部のイメージ、サウンド、または
スタイルシートに追加したりできます。
URL フィルタリング応答ページの変数
変数
用途
<user/>
ファイアウォールは、応答ページを表示するときにこの変数をユーザー名
（User-ID を介して使用可能な場合）またはユーザーの IP アドレスに置き
換えます。
<url/>
ファイアウォールは、応答ページを表示するときにこの変数を、要求され
た URL に置き換えます。
<category/>
ファイアウォールは、この変数を、ブロックされた要求の URL フィルタ
リングカテゴリに置き換えます。
<pan_form/>
[URL フィルタリングの続行とオーバーライドページ ] に [ 続行 ] ボタンを
表示する HTML コード。
ユーザーがアクセスしようとしている URL カテゴリに基づいて異なるメッセージを表示するよ
うにファイアウォールをトリガーするコードを追加することもできます。たとえば、URL カテ
ゴリが games の場合は Message 1、カテゴリが travel の場合は Message 2、カテゴリが kids の場合は
Message 3 を表示するように応答ページを設定するには、以下の例のようなコードを使用します。
var cat = "<category/>";
switch(cat)
{
case 'games':
document.getElementById("warningText").innerHTML = "Message 1";
break;
case 'travel':
document.getElementById("warningText").innerHTML = "Message 2";
break;
case 'kids':
document.getElementById("warningText").innerHTML = "Message 3";
break;
}
各仮想システムにロードできるのは、ブロックページのタイプごとに 1 つの HTML ページのみ
です。ただし、イメージ、サウンド、カスケードスタイルシート（CSS ファイル）などの他の
リソースは、ブラウザに応答ページが表示されるときに他のサーバーからロードできます。す
べてのリファレンスに完全修飾 URL が含まれている必要があります。
URL フィルタリング
451
URL フィルタリングの概念
URL フィルタリング
応答ページのリファレンス
リファレンスタイプ
HTML コードの例
イメージ
<img src="http://virginiadot.org/images/Stop-Sign-gif.gif">
サウンド
<embed src="http://simplythebest.net/sounds/WAV/WAV_files/
movie_WAV_files/ do_not_go.wav" volume="100" hidden="true"
autostart="true">
スタイルシート
<link href="http://example.com/style.css" rel="stylesheet"
type="text/css" />
ハイパーリンク
<a href="http://en.wikipedia.org/wiki/Acceptable_use_policy">View
Corporate
Policy</a>
ポリシー一致条件としての URL カテゴリ
URL カテゴリは、ポリシーでさらなる細分性を提供するために、ポリシーの一致条件として使
用することができます。たとえば、復号ポリシーを定義しているが、特定の Web サイトには、
復号をバイパスさせる必要があるとします。このためには、復号ポリシーに [ 復号なし ] アク
ションを設定して、ポリシールールの一致条件として URL カテゴリを定義し、指定したカテゴ
リに属する Web サイトへのトラフィックフローのみでポリシーが一致するようにします。
以下の表に、URL カテゴリを活用できるポリシーのタイプを示します。
ポリシーのタイプ
説明
キャプティブポータル
特定のカテゴリへのアクセスが許可される前に、ユーザーが確実に認証され
るようにするために、キャプティブポータルポリシーを一致条件として URL
を関連付けることができます。
復号
復号ポリシーでは、URL カテゴリを一致条件として使用して、指定の Web サイ
トを復号化するかどうかを特定することができます。たとえば、2 つのゾーン
間のすべてのトラフィックに対して復号アクションを設定した復号ポリシーを
使用している場合に、復号化してはならない financial-services、health-and-medicine など
の特定の Web サイトのカテゴリがあるとします。この場合、復号ポリシーの
前に実行される [ 復号なし ] アクションが設定された新しい復号ポリシーを作
成し、ポリシーの一致条件として URL カテゴリのリストを定義します。これ
を実行することにより、復号なしポリシーに含まれている各 URL カテゴリは
復号化されません。また、カスタム URL カテゴリを設定して、復号なしポリ
シーで使用する独自の URL リストを定義することもできます。
QoS
QoS ポリシーでは、URL カテゴリを使用して、特定の Web サイトのカテゴリ
のスループットレベルを特定することができます。たとえば、streaming-media
カテゴリを許可するが、QoS ポリシーに一致条件として URL カテゴリを追加
することでスループットを制限できます。
452
URL フィルタリング
URL フィルタリング
URL フィルタリングの概念
ポリシーのタイプ
説明
セキュリティ
URL カテゴリをセキュリティポリシーで直接定義して [ サービス /URL カテゴ
リ ] タブの一致条件として使用したり、URL フィルタリングプロファイルを
[ アクション ] タブで設定することができます。
たとえば、社内のセキュリティ部門は、hacking カテゴリにアクセスできる必要が
ありますが、その他すべてのユーザーはこれらのサイトにアクセスできないよう
にする必要があるとします。このためには、Web アクセスに使用されるゾーン間
でアクセスが許可されるセキュリティルールを作成し、[ サービス /URL カテゴ
リ ] タブに hacking カテゴリを含め、ポリシーの [ ユーザー] タブでセキュリティ
部門を定義します。すべてのユーザーに一般的な Web アクセスを許可するメ
インのセキュリティルールに、すべてのハッキングサイトをブロックする
URL フィルタリングプロファイルを含めます。hacking をブロックするポリ
シーの前に hacking へのアクセスを許可するポリシーを配置します。この場
合、セキュリティ部門に含まれるユーザーがハッキングサイトへのアクセス
を試行すると、ポリシーはアクセスを許可し、その後はルール処理が停止し
ます。
セキュリティポリシーを作成するときに、ブロックルールが処理の最後では
なく、許可ルールが最後になることを理解することが重要です。つまり、ブ
ロックルールを設定し、そのルールに一致するトラフィックがある場合、ブ
ロックルールの後続の他のルールについて一致があるかどうかが確認されま
す。処理の最後である許可ルールでは、ルールに一致するトラフィックがあ
る場合、そのトラフィックが許可され、後続の他のルールは確認されませ
ん。たとえば、すべてのユーザーに対して shopping カテゴリをブロックするよ
うに設定したブロックルールがあるが、特定のユーザーグループには
shopping を許可するルールもあるとします。この例では、許可されるグループ
のユーザーは、ほとんどの場合、すべてのユーザーが含まれるグループにも
含まれています。このため、トラフィックに一致があり、許可アクションが
実行された後ルール処理が停止するように、ブロックルールの前の許可ルー
ルをより具体的に設定することが推奨されます。
URL フィルタリング
453
PAN-DB 分類ワークフロー
URL フィルタリング
PAN-DB 分類ワークフロー
このセクションでは、PAN-DB コンポーネントについて説明し、ファイアウォール経由でユー
ザーがさまざまな URL にアクセスする際に発生する URL 分類の解決ワークフローについて説
明します。

PAN-DB URL 分類コンポーネント

PAN-DB URL 分類ワークフロー
PAN-DB URL 分類コンポーネント
以下の表に、PAN-DB コンポーネントについて詳細に説明します。BrightCloud システムも同様
に機能しますが、初期シードデータベースは使用しません。
コンポーネント
説明
URL フィルタリングシーファイアウォールにダウンロードされた初期シードデータベースは Palo
ドデータベース
Alto Networks URL のクラウドサーバーで保持されているデータベースの
ほんの一部です。これは、完全なデータベースには数百万の URL が含ま
れているものの、これらの URL の多くはユーザーによってまったくアク
セスされないためです。初期シードデータベースをダウンロードすると
きは、地域（北米、ヨーロッパ、APAC、日本）を選択します。各地域に
はその特定の地域で最も多くアクセスされている URL のサブセットが含
まれています。初期シードデータベースを使用することにより、ファイア
ウォールでは、はるかに容量の小さい URL データベースを保存するた
め、検索パフォーマンスが大幅に向上します。ローカル URL データベー
ス内に含まれていない Web サイトにユーザーがアクセスすると、クラウ
ドデータベースに対してクエリが実行され、ファイアウォールではロー
カルデータベースにその新しい URL を追加します。つまり、ファイア
ウォール上のローカルデータベースは、ユーザーアクティビティに基づ
いて継続的に更新 / カスタマイズされます。PAN-DB シードデータベース
が再ダウンロードされるか、または URL データベースのベンダーが
PAN-DB から BrightCloud に変更されると、ローカルのカスタマイズされた
URL データベースはクリアされます。
454
URL フィルタリング
URL フィルタリング
PAN-DB 分類ワークフロー
コンポーネント
説明
クラウドサービス
PAN-DB クラウドサービスは、Amazon Web Services (AWS) を使用します。
AWS により、Palo Alto Networks ファイアウォールのシードデータベース
のダウンロードおよび URL の検索のための分散型の高パフォーマンスお
よび安定した環境が提供され、通信は SSL を介して実行されます。AWS ク
ラウドシステムでは PAN-DB 全体を保持しており、新しい URL が識別さ
れると更新されます。PAN-DB クラウドサービスでは、URL データベー
スのバージョンが一致しない場合、ファイアウォールのローカル URL
データベースを更新する自動化メカニズムをサポートしています。ファイ
アウォールは、クラウドサーバーに対してクエリを実行して URL を検索
するたびに、重要な更新も確認します。クラウドサーバーに対するクエ
リが 30 分以上ない場合、ファイアウォールはクラウドシステムの更新を
確認します。
また、クラウドシステムでは、URL カテゴリ変更要求を提出するメカニ
ズムを提供します。これは、test-a-site サービスを介して実行され、デバイ
ス（URL フィルタリングプロファイルセットアップ）から直接または、
Palo Alto Networks の『Test A Site』Web サイトで利用できます。また、[ ロ
グ詳細 ] セクションのファイアウォールの URL フィルタリングログから直
接 URL 分類変更要求を提出することもできます。
管理プレーン (MP) の
URL キャッシュ
ファイアウォールで PAN-DB がアクティベーションされている場合、
PAN-DB クラウドサーバーの 1 つからシードデータベースがダウンロード
され、ローカルキャッシュに初期入力が行われます。これは、検索パ
フォーマンス向上のために実行されます。各地域のシードデータベース
にはその地域の上位の URL が含まれており、シードデータベースの容量
（URL エントリの数）もデバイスプラットフォームに応じて異なりま
す。URL MP キャッシュは、8 時間ごと、ファイアウォールが再起動され
る前、またはクラウドがファイアウォール上の URL データベースのバー
ジョンをアップグレードするときに、ファイアウォールのローカルドラ
イブに自動的に書き込まれます。ファイアウォールの再起動後は、ローカ
ルドライブに保存されたファイルは MP キャッシュにロードされます。ま
た、キャッシュがいっぱいの場合に備えて、URL MP キャッシュでは、
LRU（least recently used: 最も使われていない）メカニズムが実装されてい
ます。キャッシュがいっぱいになると、最もアクセスの少ない URL は新
しい URL に置き換えられます。
データプレーン (DP) のこれは MP キャッシュの一部です。データプレーン (DP) に保存されてい
URL キャッシュ
るカスタマイズされたダイナミック URL データベースであり、URL 検索
のパフォーマンス向上のために使用されます。URL DP キャッシュはファ
イアウォールを再起動するたびにクリアされます。URL DP キャッシュに
保存されている URL 数は、ハードウェアプラットフォームおよび TRIE
に保存されている現在の URL（データ構造）に応じて異なります。ま
た、キャッシュがいっぱいの場合に備えて、DP キャッシュでは、LRU メ
カニズムが実装されています。キャッシュがいっぱいになると、最もアク
セスの少ない URL は新しい URL に置き換えられます。URL DP キャッ
シュのエントリは、指定期間の経過後、有効期限が切れます。管理者は、
この有効期限を変更することはできません。
URL フィルタリング
455
PAN-DB 分類ワークフロー
URL フィルタリング
PAN-DB URL 分類ワークフロー
ユーザーが URL へのアクセスを試行し、URL カテゴリを特定する必要がある場合は、ファイア
ウォールでは、一致が見つかるまで、その URL を以下のコンポーネントと順番に比較します。
URL クエリが URL DP キャッシュの期限切れのエントリに一致した場合、キャッシュは期限切
れのカテゴリで応答しますが、管理プレーンにも URL 分類クエリを送信します。これは、カテ
ゴリの変更頻度が低いことを想定して、DP での不要な遅延を回避するために行われます。同様
に、URL MP キャッシュでは、DP からの URL クエリが MP の期限切れのエントリに一致した場
合は、MP は DP に期限切れのカテゴリで応答し、クラウドサービスにも URL 分類要求を送信
します。クラウドから応答が得られると、ファイアウォールは DP に更新された応答を再送信
します。
新しい URL およびカテゴリが定義されるか、重要な更新が必要な場合は、クラウドデータベー
スが更新されます。ファイアウォールがクラウドに対してクエリを実行して URL を検索するた
び、またはクラウドの検索が 30 分間実行されないとき、ファイアウォールのデータベースの
バージョンが比較され、一致しない場合は増分更新が実行されます。
456
URL フィルタリング
URL フィルタリング
URL フィルタリングベンダーの有効化
URL フィルタリングベンダーの有効化
ファイアウォールで URL フィルタリングを有効にするには、サポートされているいずれかの
「URL フィルタリングベンダー」の URL フィルタリングライセンスを購入してアクティベー
ションし、データベースをインストールする必要があります。ファイアウォールで URL フィル
タリングライセンスを有効にして、データベースをセットアップするには、以下のいずれかの
手順を実行します。1 つのファイアウォールでアクティブにできる URL フィルタリングライセ
ンスは 1 つのみです。
PAN-OS 6.0 以降では、Panorama によって管理されているファイアウォールで、Panorama で
設定されているのと同じ URL フィルタリングベンダーを実行する必要はなくなりました。
PAN-OS 6.0 以降を実行しているファイアウォールの場合、ファイアウォールで有効になって
いるベンダーと Panorama で有効になっているベンダーが一致していないことが検出される
と、ファイアウォールによって、URL カテゴリや URL プロファイルが、有効になっているベ
ンダーと合致する（1 つ以上の）カテゴリに自動的に移行されます。異なるバージョンの
PAN-OS を実行しているファイアウォールを管理する場合に Panorama で URL フィルタリン
グを設定する方法は、『Panorama 管理者ガイド』を参照してください。
PAN-DB と BrightCloud の両方の有効なライセンスがある場合、PAN-DB ライセンスをアクティ
ベーションすると、自動的に BrightCloud ライセンスのアクティベーションが解除されます（逆
の場合も同様）。

PAN-DB URL Filtering の有効化

BrightCloud URL フィルタリングの有効化
URL フィルタリング
457
URL フィルタリングベンダーの有効化
URL フィルタリング
PAN-DB URL Filtering の有効化
PAN-DB URL Filtering の有効化
ステップ 1
PAN-DB URL Filtering ライセン 1.
スを取得してインストール
し、このライセンスがインス
トールされていることを確認
します。
ライセンスの有効期限が
切れても、PAN-DB URL
Filtering は、引き続きデー 2.
タプレーンキャッシュ
および管理プレーン
キャッシュに存在する
URL カテゴリ情報に基づ
いて機能します。ただ
し、URL クラウド検索お
よびその他のクラウド
ベースの更新は、有効な
ライセンスがインストー
ルされるまで機能しま
せん。
ステップ 2
初期シードデータベースをダ 1.
ウンロードし、PAN-DB URL
Filtering をアクティベーション
します。
2.
ファイアウォールはイン
ターネットにアクセスで 3.
きる必要があります。
PAN-DB を手動でアップ
ロードすることはできま
せん。
458
[Device] > [ ライセンス ] の順に選択し、[ ライセンス
管理 ] セクションで、ライセンスのインストール方法
を選択します。
• 認証コードを使用した機能のアクティベーション
• ライセンスサーバーからライセンスキーを取得
• ライセンスキーの手動アップロード
ライセンスをインストールしたら、[PAN-DB URL Filtering]
セクションの [ 有効期限 ] フィールドに有効な日付が
表示されていることを確認します。
[PAN-DB URL Filtering] セクションの [ ダウンロードの
状態 ] フィールドで、[ 今すぐダウンロード ] をクリッ
クします。
地域（北アメリカ、ヨーロッパ、APAC、日本）を選択
し、[OK] をクリックしてダウンロードを開始します。
ダウンロードが完了したら、[ アクティベーション ] を
クリックします。
PAN-DB がすでにアクティブな URL フィルタリ
ングベンダーであるときに [再ダウンロード] を
クリックすると、データプレーンと管理プレー
ンのキャッシュがクリアされて、新しいシード
データベースのコンテンツで置き換えられるこ
とにより、PAN-DB が再アクティベーションさ
れます。ユーザーアクティビティに基づいてこ
れまでファイアウォールを通過してきた Web ト
ラフィックに基づいてカスタマイズされている
キャッシュを失うことになるため、必要時以外
はこの操作を行わないでください。
URL フィルタリング
URL フィルタリング
URL フィルタリングベンダーの有効化
PAN-DB URL Filtering の有効化（続き）
ステップ 3
アプリケーションおよび脅威の 1.
ダイナミック更新をダウンロー 2.
ドするようにファイアウォール
をスケジュールします。
アンチウイルス、アプリ
ケーションおよび脅威を
含むコンテンツの更新を
受信するには、脅威防御
ライセンスが必要です。
[Device] > [ ダイナミック更新 ] の順に選択します。
[ アプリケーションおよび脅威 ] セクションの [ スケ
ジュール] フィールドで、[なし ] リンクをクリックし、
定期的な更新をスケジュールします。
ファイアウォールからインターネットに直接ア
クセスできる場合、ダイナミック更新のみをス
ケジュールできます。セクションで更新がすで
にスケジュールされている場合、リンクテキス
トにスケジュール設定が表示されます。
[ アプリケーションおよび脅威 ] の更新には、URL フィ
ルタリングプロファイル（[Objects] > [ セキュリティ
プロファイル ] > [URL フィルタリング ]）の [ セーフ
サーチを適用 ] オプションに関連する URL フィルタリ
ングの更新が含まれている可能性があります。たとえ
ば、Palo Alto Networks が新しい検索プロバイダのサ
ポートを追加した場合や、既存のベンダーのセーフ
サーチ設定を検出するために使用する方法が変わった
場合は、[ アプリケーションおよび脅威 ] の更新にその
更新が含まれています。
URL フィルタリング
459
URL フィルタリングベンダーの有効化
URL フィルタリング
BrightCloud URL フィルタリングの有効化
BrightCloud URL フィルタリングの有効化
ステップ 1
BrightCloud URL フィルタリング 1.
ライセンスを取得してインス
トールし、このライセンスが
インストールされていること
を確認します。
BrightCloud にはライセン
スの有効期限が切れた場
合に、すべてのカテゴリ 2.
を許可またはブロックす
るオプションが URL フィ
ルタリングプロファイル
（[Objects] > [ セキュリ
ティプロファイル] > [URL
フィルタリング ]）にあり
ます。
460
[Device] > [ ライセンス ] の順に選択し、[ ライセンス
管理 ] セクションで、ライセンスのインストール方法
を選択します。
• 認証コードを使用した機能のアクティベーション
• ライセンスサーバーからライセンスキーを取得
• ライセンスキーの手動アップロード
ライセンスをインストールしたら、[BrightCloud URL
フィルタリング ] セクションの [ 有効期限 ] フィールド
に有効な日付が表示されていることを確認します。
URL フィルタリング
URL フィルタリング
URL フィルタリングベンダーの有効化
BrightCloud URL フィルタリングの有効化（続き）
ステップ 2
BrightCloud データベースをインインターネットに直接アクセスできるファイアウォール
ストールします。
[Device] > [ ライセンス ] ページにある [BrightCloud URL フィ
これを行う方法は、ファイアルタリング ] セクションの [ アクティブ ] フィールドで、
ウォールからインターネット [ アクティベーション ] リンクをクリックし、BrightCloud デー
に直接アクセスできるかどうタベースをインストールします。この操作により、シス
テムのリセットが自動的に開始されます。
かによって異なります。
インターネットに直接アクセスできないファイアウォール
1. インターネットにアクセスできるホストに BrightCloud
データベースをダウンロードします。ファイアウォー
ルはそのホストにアクセスできる必要があります。
a. インターネットにアクセスできるホストで、Palo Alto
サポート Web サイト『https://support.paloaltonetworks.com』
に移動して、ログインします。
b. [ リソース ] セクションで、[ ダイナミック更新 ] を
クリックします。
c. [BrightCloud データベース ] セクションで、[ ダウン
ロード ] をクリックし、ファイルをホストに保存し
ます。
2.
データベースをファイアウォールにアップロードし
ます。
a. ファイアウォールにログインし、[Device] > [ダイナ
ミック更新 ] の順に選択して、[ アップロード ] をク
リックします。
b. [タイプ] で、[URL フィルタリング] を選択します。
c. ホストのファイルへのパスを入力するか、[参照] を
クリックしてファイルを見つけ、[OK] をクリック
します。[ 状態 ] が [ 完了 ] となっている場合、[ 閉じ
る ] をクリックします。
3.
データベースをインストールします。
a. [Device] > [ ダイナミック更新 ] ページで、[ ファイ
ルからインストール ] をクリックします。
b. [タイプ] で、[URL フィルタリング] を選択します。
アップロードしたファイルがファイアウォールに
よって自動的に選択されます。
c. [OK] をクリックし、結果が [ 成功 ] になっている場
合、[ 閉じる ] をクリックします。
ステップ 3
ローカル BrightCloud データベー 1.
スでカテゴリを利用できない 2.
場合は、URL を動的に分類す
るためにクラウド検索を有効
にします。
ファイアウォール CLI にアクセスします。
以下の CLI コマンドを入力してダイナミック URL フィ
ルタリングを有効にします。
configure
set deviceconfig setting url dynamic-url yes
commit
URL フィルタリング
461
URL フィルタリングベンダーの有効化
URL フィルタリング
BrightCloud URL フィルタリングの有効化（続き）
ステップ 4
アプリケーションおよび脅威 1.
シグネチャと URL フィルタリ 2.
ングのダイナミック更新をダ
ウンロードするようにファイ
アウォールをスケジュールし
3.
ます。
ファイアウォールからインター
ネットに直接アクセスできる場
合、ダイナミック更新のみをス
ケジュールできます。
[Device] > [ ダイナミック更新 ] の順に選択します。
[ アプリケーションおよび脅威 ] セクションの [ スケ
ジュール ] フィールドで、[ なし ] リンクをクリック
し、定期的な更新をスケジュールします。
[URL フィルタリング ] セクションの [ スケジュール ]
フィールドで、[ なし ] リンクをクリックし、定期的な
更新をスケジュールします。
セクションで更新がすでにスケジュールされて
いる場合、リンクテキストにスケジュール設定
が表示されます。
[ アプリケーションおよび脅威 ]
の更新には、URL フィルタリ
ングプロファイルの [ セーフ
サーチを適用 ] オプションに関
連する URL フィルタリングの
更新が含まれている可能性が
あります。たとえば、Palo Alto
Networks が新しい検索プロバ
イダのサポートを追加した場
合や、既存のベンダーのセー
フサーチ設定を検出するため
に使用する方法が変わった場
合は、[ アプリケーションおよ
び脅威 ] の更新にその更新が含
まれています。
BrightCloud の更新には、ファイ
アウォールドライブに保存さ
れている約 2000 万の Web サイ
トのデータベースが含まれて
います。データベースの更新
を受信するように URL フィル
タリングの更新をスケジュー
ルする必要があります。
アンチウイルス、アプリ
ケーションおよび脅威を
含むコンテンツの更新を
受信するには、脅威防御
ライセンスが必要です。
462
URL フィルタリング
URL フィルタリング
URL フィルタリングポリシーの要件の決定
URL フィルタリングポリシーの要件の決定
組織で URL フィルタリングをデプロイする場合、ほとんどのカテゴリでアラートを送信する
パッシブ URL フィルタリングプロファイルから開始することをお勧めします。このアラート
アクションを設定した後、ユーザーの Web アクティビティを数日間モニターして、Web トラ
フィックのパターンを特定できます。これにより、制御する必要のある Web サイトおよび Web
サイトカテゴリを判断できます。
その後の手順で、脅威になりやすいサイトにブロックを設定し、その他のカテゴリにアラート
を設定します。これにより、すべての Web サイトのトラフィックがログに記録されます。この
場合、大容量のログファイルが作成される可能性があります。そのため、この設定は、ユー
ザーがアクセスする Web サイトのタイプを特定するための初期モニタリングの場合に実行する
ことをお勧めします。組織で許可しているカテゴリを特定したら、これらのカテゴリに許可を
設定します。これにより、ログは生成されなくなります。また、URL フィルタリングプロファ
イルで [ コンテナページのみロギング ] オプションを有効にすると、カテゴリに一致するメイン
ページのみがログに記録され、コンテナページ内にロードされる可能性のある後続のページ /
カテゴリは記録されないため、URL フィルタリングログを削減できます。
パッシブ URL フィルタリングプロファイルの設定および適用
ステップ 1
新しい URL フィルタリングプ 1.
ロファイルを作成します。
[Objects] > [ セキュリティプロファイル ] > [URL フィ
ルタリング ] の順に選択します。
2.
デフォルトプロファイルを選択し、[コピー] をクリッ
クします。新しいプロファイルには default-1 という
名前が付けられます。
3.
default-1 プロファイルを選択して、名前を変更します。
たとえば、URL-Monitoring と名前を変更します。
URL フィルタリング
463
URL フィルタリングポリシーの要件の決定
URL フィルタリング
パッシブ URL フィルタリングプロファイルの設定および適用（続き）
ステップ 2
ブロック状態を維持する 1.
threat-prone カテゴリを除き、
すべてのカテゴリのアクショ 2.
ンを [alert] に設定します。
Windows システムからカ
テゴリリストの項目を
すべて選択するには、
最初のカテゴリをク
リックして、Shift キー
を押した状態で、最後
のカテゴリをクリック
します。この操作によ
りすべてのカテゴリが
選択されます。Ctrl キー
を押した状態で、選択解 3.
除する項目をクリックし
ます。Mac では、Shift
キーとコマンドキーを
使用して同じ操作を実行
4.
します。また、すべての
カテゴリをアラートに設
定し、推奨カテゴリを手
動でブロックに戻すこと
もできます。
ステップ 3
ユーザーの Web トラフィックを 1.
許可するセキュリティポリシー
ルールに URL フィルタリング 2.
プロファイルを適用します。
3.
すべての URL カテゴリをリストするセクションで、す
べてのカテゴリを選択します。
[ アクション ] 列のヘッダーの右にマウスを重ね、下向
き矢印を選択して、[ 選択したアクションの設定 ] を選
択し、[alert] を選択します。
脅威になりやすいサイトをブロックするには、
abused-drugs、adult、gambling、hacking、malware、
phishing、questionable、weapons のカテゴリを選択し、
アクションを [block] に設定します。
[OK] をクリックしてプロファイルを保存します。
[Policies] > [ セキュリティ] の順に選択し、適切なセ
キュリティポリシーを選択して変更します。
[ アクション ] タブを選択して、[ プロファイル設定 ] セ
クションで、[URL フィルタリング ] のドロップダウン
をクリックし、新しいプロファイルを選択します。
[OK] をクリックして保存します。
ステップ 4
設定を保存します。
[ コミット ] をクリックします。
ステップ 5
URL フィルタリングログを表
示して、ユーザーがアクセス
しているすべての Web サイト
のカテゴリを特定します。こ
の例では、一部のカテゴリが
[block] に設定されているた
め、それらのカテゴリはログ
にも表示されます。
[Monitor] > [ ログ ] > [URL フィルタリング ] の順に選択し
ます。アクションが [allow] 以外に設定されているカテゴ
リに含まれる URL フィルタリングデータベースに存在す
るすべての Web サイトでログエントリが作成されます。
ログの表示およびレポートの生
成の詳細は、「Web アクティビ
ティのモニター」を参照してく
ださい。
464
URL フィルタリング
URL フィルタリング
Web アクティビティのモニター
Web アクティビティのモニター
URL フィルタリングログおよびレポートには、[alert]、[block]、[continue]、[override] に設
定されている URL カテゴリのすべてのユーザーの Web アクティビティが表示されます。ログを
モニターすることにより、Web アクセスポリシーを特定するためのユーザーベースの Web アク
ティビティをより詳しく理解することができます。
以下のトピックでは、Web アクティビティをモニターする方法を説明します。

URL フィルタリングログの解釈

ACC を使用した Web アクティビティのモニター

URL フィルタリングレポートの表示

カスタム URL フィルタリングレポートの設定
URL フィルタリング
465
Web アクティビティのモニター
URL フィルタリング
URL フィルタリングログの解釈
以下に、URL フィルタリングログ（[Monitor] > [ ログ ] > [URL フィルタリング ]）の例を示し
ます。

アラートログ — このログでは、カテゴリは shopping であり、アクションは [alert] です。

ブロックログ — このログでは、カテゴリ alcohol-and-tobacco がブロックに設定されています。
そのため、アクションは block-url であり、Web サイトがブロックされていることを示す応答
ページが表示されます。

暗号化された Web サイトのアラートログ — この例では、カテゴリは social-networking であり、
アプリケーションは facebook-base です。facebook-base は、Facebook Web サイトおよびその他
の Facebook アプリケーションにアクセスするために必要です。faceboook.com は常に SSL を使
用して暗号化されているため、トラフィックはファイアウォールによって復号化されていま
す。このため、必要に応じて Web サイトを認識および制御することができます。
また、送信元ゾーンと宛先ゾーン、コンテンツタイプ、およびパケットキャプチャを実行する
かどうかなどの複数の列を URL フィルタリングのログビューに追加することもできます。表示
する列を変更するには、任意の列の下向き矢印をクリックし、表示する属性を選択します。
466
URL フィルタリング
URL フィルタリング
Web アクティビティのモニター
特定の URL の完全なログの詳細またはカテゴリ変更要求、あるいはその両方を表示するには、
ログの最初の列のログ詳細アイコンをクリックします。
ACC を使用した Web アクティビティのモニター
環境でアクセスされている使用頻度の高いカテゴリをすばやく確認するには、ACC タブを選択
して、[URL フィルタリング ] セクションまでスクロールダウンします。このウィンドウの上側
では、期間や [ ソート基準 ] オプションを設定したり、表示する結果数を定義したりできます。
ここには、ユーザーのアクセスが多い順にソートされたカテゴリが表示されます。最もアクセ
スの多いカテゴリがリストの一番上に表示されています。この例では、computer-and-internet-info
が最もアクセスの多いカテゴリであり、private-ip-addresses（内部サーバー）、search-engines と続き
ます。右上の統計情報のドロップダウンで、[URL カテゴリ ]、[ ブロックされた URL カテゴリ ]、
[ ブロックされた URL] ごとのリストを選択することもできます。
URL フィルタリング
467
Web アクティビティのモニター
URL フィルタリング
URL フィルタリングレポートの表示
デフォルトの URL フィルタリングレポートを表示するには、[Monitor] > [ レポート ] を選択し
て、[URL フィルタリングレポート ] セクションで、レポートの 1 つを選択します。[URL カテゴ
リ ]、[URL ユーザー]、アクセスされた [Web サイト ]、[ ブロックされたカテゴリ ] などに基づい
てレポートを生成することができます。レポートは 24 時間が基準となっており、カレンダーセ
クションで特定の日を選択するとレポートの対象となる日が選択されます。レポートを PDF、
CSV、または XML にエクスポートすることもできます。
468
URL フィルタリング
URL フィルタリング
Web アクティビティのモニター
ユーザーアクティビティレポートの表示
このレポートでは、ユーザーアクティビティ、グループアクティビティを迅速に表示し、閲覧
時のアクティビティを表示するオプションを提供します。
ユーザーアクティビティレポートの生成
ステップ 1
ユーザーアクティビティレ 1.
ポートの設定。
[Monitor] > [PDF レポート ] > [ ユーザーアクティビティ
レポート ] の順に選択します。
2.
レポートの [ 名前 ] を入力し、レポートのタイプを選択
します。特定の人物のレポートを生成する場合は
[ ユーザー] を選択し、ユーザーグループのレポートを
生成する場合は、[ グループ ] を選択します。
ユーザー名またはグループ名を選択するために
は「User-ID の有効化」を行う必要があります。
User-ID が設定されていない場合は、[ ユーザー]
タイプを選択して、ユーザーのコンピュータの
IP アドレスを入力します。
URL フィルタリング
3.
ユーザーレポートのユーザー名または IP アドレスを
入力するか、ユーザーグループレポートのグループ名
を入力します。
4.
[Time Period] を選択します。既存の期間または、[ カス
タム ] を選択できます。
5.
閲覧情報をレポートに表示できるように [Include Detailed
Browsing] チェックボックスをオンにします。
469
Web アクティビティのモニター
URL フィルタリング
ユーザーアクティビティレポートの生成（続き）
ステップ 2
ユーザーアクティビティレポー 1.
トを実行して、レポートをダウ 2.
ンロードします。
3.
[ 今すぐ実行 ] をクリックします。
レポートの生成後、[ ユーザーアクティビティレポート
のダウンロード ] リンクをクリックします。
レポートをダウンロードした後、[キャンセル] をクリッ
クし、[OK] をクリックしてレポートを保存します。
ステップ 3
ダウンロードされた PDF ファイルを開いて、ユーザーアクティビティレポートを確認しま
す。レポートの上部には、以下のような目次が含まれています。
ステップ 4
目次の項目をクリックして、詳細を表示します。たとえば、[URL カテゴリ別トラフィック
サマリー] をクリックして、選択されたユーザーまたはグループの統計情報を表示します。
470
URL フィルタリング
URL フィルタリング
Web アクティビティのモニター
カスタム URL フィルタリングレポートの設定
スケジュール可能な詳細レポートを生成するには、カスタムレポートを設定し、すべての使用
可能な URL フィルタリングログフィールドのリストから選択します。
カスタム URL フィルタリングレポートの設定
ステップ 1
ステップ 2
新しいカスタムレポートを追加 1.
します。
[Monitor] > [カスタムレポートの管理 ] を選択して、
[ 追加 ] をクリックします。
2.
レポートの [ 名前 ]（My-URL-Custom-Report など）を入
力します。
3.
[ データベース ] ドロップダウンで、[URL Log] を選択
します。
レポートオプションを設定し 1.
ます。
2.
[期間] ドロップダウンを選択して、範囲を選択します。
3.
（任意）レポートをソートおよびグループ分類する方
法をカスタマイズするには、[ソート基準] を選択して、
表示する項目数（[トップ 25] など）を選択し、[グルー
プ化基準 ] を選択し、[Category] などのオプションを
選択してから、多くのグループを定義する方法を選択
します。
[ 使用可能な列 ] リストで、レポートに含めるフィール
ドを選択します。以下の列は、通常、URL レポートで
使用します。
• アクション
• Category
• Destination Country
• Source User
• URL
URL フィルタリング
471
Web アクティビティのモニター
URL フィルタリング
カスタム URL フィルタリングレポートの設定（続き）
ステップ 3
ステップ 4
472
レポートを実行して結果を確 1.
認します。満足な結果が得ら
れた場合は、レポートが自動 2.
的に実行されるようにスケ
ジュールを設定します。
設定を保存します。
新しいタブに表示されるレポートをすぐに生成するに
は、今すぐ実行アイコンをクリックします。
（任意）レポートを 1 日に 1 回実行するには、この [ ス
ケジュール設定 ] チェックボックスをオンにします。
直近の 24 時間の Web アクティビティの詳細に関する日
次レポートが作成されます。レポートにアクセスする
には、[Monitor] > [ レポート ] の順に選択し、右列の [ カ
スタムレポート ] を展開して、レポートを選択します。
[ コミット ] をクリックします。
URL フィルタリング
URL フィルタリング
URL フィルタリングの設定
URL フィルタリングの設定
「URL フィルタリングポリシーの要件の決定」を行うと、ユーザーがアクセスしている Web サ
イトおよび Web サイトのカテゴリのタイプについて基本的な情報を把握できます。この情報に
より、カスタム URL フィルタリングプロファイルを作成し、Web アクセスを許可するセキュリ
ティポリシールールに関連付ける準備が整います。
Web サイト制御の設定
ステップ 1
URL フィルタリングプロファ 1.
イルを作成するか、既存の
URL フィルタリングプロファ
イルを選択します。
デフォルトの URL フィ
ルタリングプロファイ 2.
ルでは、リスクが高
く、脅威になりやすい
コンテンツがブロック
されるため、新しいプ
ロファイルを作成する
のではなく、このプロ
ファイルをコピーし
て、これらのデフォル
ト設定を保持すること
をお勧めします。
ステップ 2
[Objects] > [ セキュリティプロファイル ] > [URL フィ
ルタリング ] の順に選択します。
デフォルトプロファイルを選択し、[コピー] をクリッ
クします。新しいプロファイルには default-1 という名
前が付けられます。
新しいプロファイルを選択して、名前を変更します。
Web コンテンツへのアクセスを以下のように、[ カテゴリ ] タブで、可視化または制御す
制御する方法を定義します。
るカテゴリごとに [ アクション ] 列から値を選択します。
• トラフィックのカテゴリは問題とならない場合（つま
り、ブロックもログへの記録もしない場合）、[allow]
を選択します。
• カテゴリ内のサイトへのトラフィックを可視化する場
合は、[alert] を選択します。
• カテゴリに一致するトラフィックへのアクセスを拒否
し、ブロックされたトラフィックのロギングを有効に
するには、[block] を選択します。
• 疑わしいサイトへのアクセスを続行する場合、ユー
ザーに [ 続行 ] をクリックするように要求するには、
[continue] を選択します。
• ユーザーが設定されたパスワードを入力した場合にの
みアクセスを許可するには、[override] を選択します。
この設定の詳細は、「URL 管理オーバーライドの設
定」を参照してください。
URL フィルタリング
473
URL フィルタリングの設定
URL フィルタリング
Web サイト制御の設定（続き）
ステップ 3
常にブロックまたは許可する 1.
必要のある Web サイトを定義
します。
[URL フィルタリングプロファイル ] で、[ ブロックリ
スト ] に URL または IP アドレスを入力して、以下の
アクションを選択します。
たとえば、URL フィルタリン
グログを削減するためには、
許可リストに会社の Web サイ
トを追加して、それらのサイ
トのログが生成されないよう
にします。または、過剰に使用
されている Web サイトや業務に
まったく関係がない Web サイト
がある場合は、それをブロック 2.
リストに追加できます。
• block — URL がブロックされます。
ブロックリストの項目は、関
連付けられたカテゴリのアク 3.
ションにかかわらず、常にブ
ロックされ、許可リストの
URL は常に許可されます。
• continue — Web ページへのアクセスを続行する場
合、[ 続行 ] をクリックするように要求されます。
• override — Web サイトへのアクセスを続行するため
のパスワードの入力が要求されます。
• alert — Web サイトにアクセスできますが、URL ロ
グにアラートログエントリが追加されます。
[ 許可リスト ] で、常に許可する必要のある IP アドレ
スまたは URL を入力します。各行は改行で区切る必
要があります。
（任意）「セーフサーチの適用の有効化」。
正しいフォーマットおよびワイ
ルドカードの使用の詳細は、
「ブロックリストと許可リス
ト」を参照してください。
ステップ 4
「コンテナページ」のみがログデフォルトでは、[コンテナページのみロギング] オプショ
に記録されるように設定を変ンが有効になっており、カテゴリに一致するメインペー
更します。
ジのみがログに記録されます。コンテナページ内にロー
ドされる可能性のある後続のページ / カテゴリは記録され
ません。すべてのページ / カテゴリのロギングを有効にす
るには、[ コンテナページのみロギング ] チェックボック
スをオフにします。
ステップ 5
サポートされている 1 つ以上の
HTTP ヘッダーフィールドで
「HTTP ヘッダのロギング」を
有効にします。
HTTP ヘッダーフィールドをログに記録するには、ログに
記録する以下のフィールドを 1 つ以上選択します。
• ユーザーエージェント
• Referer
• X-Forwarded-For
ステップ 6
474
URL フィルタリングプロファイ [OK] をクリックします。
ルを保存します。
URL フィルタリング
URL フィルタリング
URL フィルタリングの設定
Web サイト制御の設定（続き）
ステップ 7
ステップ 8
（任意）入力インターフェイ 1.
ス（ユーザーのトラフィック
を最初に受信するインター
フェイス）で応答ページを有 2.
効にする必要があります。
[Network] > [ ネットワークプロファイル ] > [ インター
フェイス管理 ] の順に選択し、新しいプロファイルを
追加するか、既存のプロファイルを編集します。
このオプションは、任意の 3.
URL カテゴリで [continue] ま 4.
たは [override] アクションを
有効にする場合に必要になり
ます。
5.
また、「URL フィルタリ
ング応答ページのカスタ 6.
マイズ」を行うこともで
きます。
[OK] をクリックしてプロファイルを保存します。
設定を保存します。
[ 応答ページ ] チェックボックスをオンにして、有効に
します。
[Network] > [ インターフェイス ] の順に選択し、入力
インターフェイスであるレイヤー 3 インターフェイス
または VLAN インターフェイスを編集します。
[ 詳細 ] タブで、[ 応答ページ ] オプションが有効になって
いるインターフェイス管理プロファイルを選択します。
[OK] をクリックして、インターフェイス設定を保存し
ます。
[ コミット ] をクリックします。
URL フィルタリング設
定をテストするには、ブ
ロックまたは続行に設定
されているカテゴリの
Web サイトにアクセスし
て、適切なアクションが
実行されるかどうかを確
認します。
URL フィルタリング
475
URL フィルタリング応答ページのカスタマイズ
URL フィルタリング
URL フィルタリング応答ページのカスタマイズ
ファイアウォールには、「URL フィルタリング応答ページ」のいずれかのブロックアクション
（block、continue、または override）で設定されたカテゴリのサイトをユーザーが閲覧しようと
したときや「URL フィルタリングプロファイル」で検索の試行をブロックするときにデフォル
トで表示される事前定義済みの 3 つの「セーフサーチを適用」が用意されています。ただし、
以下のように、コーポレートブランディング、利用規定、内部リソースへのリンクを使用して
独自のカスタム応答ページを作成できます。
URL フィルタリング応答ページのカスタマイズ
ステップ 1
ステップ 2
デフォルト応答ページをエク 1.
スポートします。
2.
[Device] > [ 応答ページ ] の順に選択します。
変更する URL フィルタリング応答ページのリンクを選
択します。
3.
応答ページ（[ 事前定義済み ] または [ 共有 ]）をクリッ
クして、[エクスポート ] リンクをクリックし、そのファ
イルをデスクトップに保存します。
エクスポートしたページを編 1.
集します。
任意の HTML テキストエディタを使用して、ページを
編集します。
• ブロックされた特定のユーザー、URL、またはカテ
ゴリに関するカスタム情報を応答ページに表示する
場合、サポートされている 1 つ以上の「 URL フィル
タリング応答ページの変数」を追加します。
• カスタムイメージ（企業のロゴなど）、サウンド、
スタイルシート、または別の URL（Web の利用規定
の詳細が記載されたドキュメントなど）へのリンク
を含める場合、サポートされている 1 つ以上の「応
答ページのリファレンス」を追加します。
2.
ステップ 3
476
カスタマイズした応答ページ 1.
をインポートします。
2.
編集したページを新しいファイル名で保存します。
ページが UTF-8 エンコーディングのままであることを
確認してください。たとえば、メモ帳の [ 名前を付け
て保存 ] ダイアログで、[ 文字コード ] ドロップダウン
から [UTF-8] を選択すします。
[Device] > [ 応答ページ ] の順に選択します。
編集した URL フィルタリング応答ページに対応するリ
ンクを選択します。
3.
[ インポート ] をクリックし、[ インポートファイル ]
フィールドにパスとファイル名を入力するか、[ 参照 ]
をクリックしてファイルを指定します。
4.
（任意）[宛先] ドロップダウンから、このログインペー
ジが使用される仮想システムを選択するか、すべての仮
想システムから利用できるように [共有] を選択します。
5.
[OK] をクリックしてファイルをインポートします。
URL フィルタリング
URL フィルタリング
URL フィルタリング応答ページのカスタマイズ
URL フィルタリング応答ページのカスタマイズ（続き）
ステップ 4
新しい応答ページを保存し変更を [ コミット ] します。
ます。
ステップ 5
新しい応答ページが表示されブラウザから、応答ページをトリガーする URL に移動しま
ることを確認します。
す。たとえば、変更した URL フィルタリングおよびカテゴ
リ一致応答ページを表示するには、URL フィルタリングポ
リシーが [block] に設定されている URL を閲覧します。
URL フィルタリング
477
URL 管理オーバーライドの設定
URL フィルタリング
URL 管理オーバーライドの設定
ブロックする URL カテゴリはあるが、必要に応じて特定のユーザーに閲覧を許可する場合もあ
ります。この場合、カテゴリアクションを [override] に設定し、ファイアウォールの [ コンテ
ンツ ID] 設定で URL 管理オーバーライドパスワードを定義します。ユーザーがこのカテゴリを
閲覧しようとすると、サイトへのアクセスが許可される前に、オーバーライドパスワードの入
力が要求されます。URL 管理オーバーライドを設定するには、以下の手順を実行します。
URL 管理オーバーライドの設定
ステップ 1
URL 管理オーバーライドパス 1.
ワードを設定します。
[Device ] > [ セットアップ ] > [ コンテンツ ID] の順に
選択します。
2.
[URL 管理オーバーライド ] セクションで、[ 追加 ] を
クリックします。
3.
[ 場所 ] フィールドで、このパスワードを適用する仮想
システムを選択します。
4.
[ パスワード ] と [ パスワードの確認 ] を入力します。
5.
オーバーライドが設定されたサイトが HTTPS サイト
の場合に、ファイアウォールからユーザーに提供され
る [ サーバー証明書 ] を選択します。
6.
ユーザーにパスワードを要求する [ モード ] を選択し
ます。
• メッセージを表示しない — ファイアウォールは、
オーバーライドするように設定した URL カテゴリ
のサイト宛てのブラウザのトラフィックをインター
セプトし、元の宛先 URL を偽装して HTTP 401 を発
行し、パスワードを要求します。証明書が信頼され
ていない場合、クライアントブラウザに証明書エ
ラーが表示されます。
• リダイレクト — ファイアウォールは、オーバーライ
ドするように設定した URL カテゴリへの HTTP ま
たは HTTPS トラフィックをインターセプトし、
オーバーライドパスワードを要求するために HTTP
302 リダイレクトを使用してファイアウォールのレ
イヤー 3 インターフェイスに要求をリダイレクトし
ます。このオプションを選択する場合、トラフィッ
クをリダイレクトする [ アドレス ]（IP アドレスま
たは DNS ホスト名）を入力する必要があります。
7.
478
[OK] をクリックします。
URL フィルタリング
URL フィルタリング
URL 管理オーバーライドの設定
URL 管理オーバーライドの設定（続き）
ステップ 2
ステップ 3
（任意）カスタムオーバーライ 1.
ド期間を設定します。
2.
[URL フィルタリング ] セクションを編集します。
ユーザーがオーバーライドパスワードを正しく入力し
たカテゴリのサイトを閲覧できる時間を変更するに
は、[URL 管理オーバーライドタイムアウト] フィール
ドに新しい値を入力します。デフォルトでは、ユー
ザーがカテゴリのサイトにアクセスできる時間は
15 分間です。この時間を経過すると、パスワードを
再入力する必要があります。
3.
ユーザーがオーバーライドパスワードの入力に 3 回失
敗した場合に、オーバーライドするように設定された
サイトにアクセスできなくなる時間を変更するには、
[URL 管理ロックアウトタイムアウト] フィールドに新
しい値を入力します。デフォルトでは、ユーザーは
30 分間ブロックされます。
4.
[OK] をクリックします。
（リダイレクトモードのみ） 1.
オーバーライド用に設定したカ
テゴリのサイトに Web 要求をリ
ダイレクトするレイヤー 3 イン
ターフェイスを作成します。
管理プロファイルを作成して、インターフェイスに
URL フィルタリングの続行とオーバーライドページ
の応答ページを表示できるようにします。
a. [Network] > [インターフェイス管理] の順に選択し、
[ 追加 ] をクリックします。
b. [ 名前 ] フィールドにプロファイル名を入力し、[ 応
答ページ ] を選択してから [OK] をクリックします。
2.
URL フィルタリング
レイヤー 3 インターフェイスを作成します。作成した管
理プロファイルが関連付けられていることを確認しま
す（[Ethernet インターフェイス ] ダイアログの [ 詳細 ] >
[ その他の情報 ] タブ）。
479
URL 管理オーバーライドの設定
URL フィルタリング
URL 管理オーバーライドの設定（続き）
ステップ 4
ステップ 5
480
（リダイレクトモードのみ）証
明書エラーを表示せずにユー
ザーを透過的にリダイレクト
するには、オーバーライド用
に設定した URL カテゴリのサ
イトに Web 要求をリダイレク
トするインターフェイスの IP
アドレスに一致する証明書を
インストールします。自己署
名証明書を生成するか、外部
CA によって証明された証明書
をインポートできます。
自己署名証明書を使用するには、以下のとおり、まず
ルート CA の証明書を作成してから、その CA を使用して
URL 管理オーバーライドに使用する証明書に署名する必
要があります。
1. ルート CA 証明書を作成するには、[Device] > [ 証明書
の管理 ] > [ 証明書 ] > [ デバイス証明書 ] の順に選択
し、[ 生成 ] をクリックします。[ 証明書名 ] テキスト
ボックスに「RootCA」などの名前を入力します。[ 署名
者 ] フィールドの値を選択すると、その証明書が自己署
名証明書であることを示すため、この値は選択しない
でください。[ 認証局 ] チェックボックスがオンになっ
ていることを確認してから [生成] をクリックすると、
証明書が生成されます。
2.
URL 管理オーバーライドに使用する証明書を作成する
には、[ 生成 ] をクリックします。[ 証明書名 ] に名前
を入力し、インターフェイスの DNS ホスト名または
IP アドレスを [ 共通名 ] として入力します。[ 署名者 ]
フィールドで、前の手順で作成した CA を選択しま
す。IP アドレスの属性を追加し、override アクション
が設定されている URL カテゴリに Web 要求をリダイ
レクトするレイヤー 3 インターフェイスの IP アドレス
を指定します。
3.
証明書を [ 生成 ] します。
4.
クライアントが証明書を信頼するように設定するには、
[ デバイス証明書 ] タブで CA 証明書を選択し、[ エク
スポート ] をクリックします。次に、証明書を信頼され
たルート CA としてすべてのクライアントブラウザに
インポートする必要があります。インポートはブラウ
ザで手動で設定するか、または証明書を Active Directory
のグループポリシーオブジェクト (GPO) の信頼され
たルートに追加します。
アクセスを有効にするために 1.
オーバーライドパスワードが
必要な URL カテゴリを指定し
ます。
[Objects] > [URL フィルタリング ] の順に選択し、既存
の URL フィルタリングプロファイルを選択するか、
新しい URL フィルタリングプロファイルを [ 追加 ] し
ます。
2.
[ カテゴリ ] タブで、パスワードを必要とする各カテゴ
リの [ アクション ] を [override] に設定します。
3.
URL フィルタリングプロファイルの残りのセクション
を完成させ、[OK] をクリックしてプロファイルを保
存します。
URL フィルタリング
URL フィルタリング
URL 管理オーバーライドの設定
URL 管理オーバーライドの設定（続き）
ステップ 6
ステップ 7
アクセスを続行するためのオー 1.
バーライドパスワードを要求
するサイトへのアクセスを許可 2.
するセキュリティポリシー
ルールに URL フィルタリング
プロファイルを適用します。
3.
設定を保存します。
URL フィルタリング
[Policies] > [ セキュリティ] の順に選択し、適切なセ
キュリティポリシーを選択して変更します。
[ アクション ] タブを選択して、[ プロファイル設定 ] セ
クションで、[URL フィルタリング ] のドロップダウン
をクリックし、プロファイルを選択します。
[OK] をクリックして保存します。
[ コミット ] をクリックします。
481
セーフサーチの適用の有効化
URL フィルタリング
セーフサーチの適用の有効化
多くの検索エンジンには、検索クエリリターントラフィックでアダルト画像やアダルト動画を
除外するセーフサーチ設定が備わっています。Palo Alto Networks 次世代ファイアウォールに
「セーフサーチを適用」を設定し、最も厳密なセーフサーチ設定が検索結果で有効になってい
ないという事態を回避できます。
ファイアウォールでセーフサーチを適用するには、以下の 2 つの方法があります。

厳密なセーフサーチ設定を使用していない検索結果のブロック

透過的なセーフサーチの適用の有効化
厳密なセーフサーチ設定を使用していない検索結果のブロック
デフォルトでは、セーフサーチの適用を有効にしている場合、ユーザーが最も厳密なセーフ
サーチ設定を有効にしないで検索を実行しようとすると、ファイアウォールで検索クエリ結果
がブロックされ、URL フィルタリングセーフサーチのブロックページが表示されます。この
ページには、対応する検索プロバイダの検索設定ページへのリンクがあるため、エンドユー
ザーはセーフサーチ設定を有効にできます。このデフォルトの方法を使用して、セーフサーチ
を適用する場合、ポリシーをデプロイする前にエンドユーザーにポリシーを伝える必要があり
ます。各検索プロバイダでセーフサーチを実装する方法の詳細は、「表 : 検索プロバイダの
セーフサーチ設定」を参照してください。デフォルトの URL フィルタリングセーフサーチの
ブロックページには、対応する検索プロバイダの検索設定へのリンクがあります。必要に応じ
て、「URL フィルタリング応答ページのカスタマイズ」を行うこともできます。
また、エンドユーザーに透過的にセーフサーチの適用を有効にするには、「透過的なセーフ
サーチの適用の有効化」を行うようにファイアウォールを設定します。
482
URL フィルタリング
URL フィルタリング
セーフサーチの適用の有効化
セーフサーチの適用の有効化
ステップ 1
URL フィルタリングプロファ 1.
イルでセーフサーチの適用を
有効にします。
2.
[Objects] > [ セキュリティプロファイル ] > [URL フィ
ルタリング ] の順に選択します。
3.
[ 設定 ] タブで、[ セーフサーチを適用 ] チェックボッ
クスをオンにして有効にします。
4.
（任意）ユーザーが特定の検索エンジンにしかアクセ
スできないようにします。
既存のプロファイルを選択して変更するか、デフォル
トプロファイルをコピーして新しいプロファイルを作
成します。
a. [ カテゴリ ] タブで、[search-engines] カテゴリを
[block] に設定します。
b. ユーザーにアクセスを許可する各検索エンジンの
Web アドレスを [ 許可リスト ] テキストボックスに
入力します。たとえば、Google および Bing 検索へ
のアクセスのみをユーザーに許可する場合、以下の
ように入力します。
www.google.com
www.bing.com
5.
必要に応じて、その他の設定を指定します。
• 「Web コンテンツへのアクセスを制御する方法を定
義します。」
• 「常にブロックまたは許可する必要のある Web サ
イトを定義します。」
6.
ステップ 2
ステップ 3
Trust ゾーンのクライアントから 1.
インターネットへのトラフィッ
クを許可するセキュリティポリ
シールールに URL フィルタリ 2.
ングプロファイル追加します。
[OK] をクリックしてプロファイルを保存します。
[Policies] > [ セキュリティ] の順に選択し、セーフサー
チの適用を有効にした URL フィルタリングプロファ
イルを適用するルールを選択します。
[アクション] タブで、[URL フィルタリング ] プロファ
イルを選択します。
3.
[OK] をクリックしてセキュリティポリシールールを
保存します。
SSL フォワードプロキシ復号化 1.
を有効にします。
「SSL フォワードプロキシの設定」を行うには、以下
大部分の検索エンジンでは検索 2.
結果が暗号化されるため、ファ
イアウォールで検索トラフィッ
クを調べてセーフサーチ設定
を検出できるように、SSL フォ
ワードプロキシ復号化を有効
にする必要があります。
復号ポリシールールの [URL カテゴリ ] タブで、復号
化する以下のカテゴリを設定します。
• search-engines
URL フィルタリング
の手順を実行します。
• streaming-media
• internet-portals
483
セーフサーチの適用の有効化
URL フィルタリング
セーフサーチの適用の有効化（続き）
ステップ 4
（任意、ただし推奨）SSL 経由 1.
で実行される Bing 検索トラ
フィックをブロックします。
Bing SSL 検索エンジンは、セー
フサーチ設定に従わないため、
完全なセーフサーチを適用す
るために、SSL 経由で実行され
るすべての Bing セッションを拒
否する必要があります。
Bing のカスタム URL カテゴリを追加します。
a. [Objects] > [ カスタムオブジェクト ] > [URL カテゴ
リ ] の順に選択し、カスタムカテゴリを [ 追加 ] し
ます。
b. カテゴリの [ 名前 ]（EnableBingSafeSearch など）を入
力します。
c. 以下を [ サイト ] リストに [ 追加 ] します。
www.bing.com/images/*
www.bing.com/videos/*
d. [OK] をクリックしてカスタム URL カテゴリオブジェ
クトを保存します。
2.
作成したカスタムカテゴリをブロックする別の URL
フィルタリングプロファイルを作成します。
a. [Objects] > [ セキュリティプロファイル ] > [URL
フィルタリング ] の順に選択します。
b. 新しいプロファイルを [ 追加 ] し、分かりやすい [ 名
前 ] をつけます。
c. [ カテゴリ ] リストでカスタムカテゴリを見つけて、
[block] に設定します。
d. [OK] をクリックして、URL フィルタリングプロファ
イルを保存します。
3.
Bing SSL トラフィックをブロックするセキュリティポ
リシールールを追加します。
a. [Policies] > [ セキュリティ] の順に選択し、Trust ゾー
ンからインターネットへのトラフィックを許可する
ポリシールールを [ 追加 ] します。
b. [ アクション ] タブで、作成した URL フィルタリン
グプロファイルを関連付け、カスタム Bing カテゴ
リをブロックします。
c. [ サービス /URL カテゴリ ] タブで、新しいサービス
を [ 追加 ] し、分かりやすい [ 名前 ]（bingssl など）
をつけます。
d. [ プロトコル ] として [TCP] を選択し、[ 宛先ポート ]
を 443 に設定します。
e. [OK] をクリックしてルールを保存します。
f. [ 移動 ] オプションを使用して、セーフサーチの適用
が有効になっている URL フィルタリングプロファ
イルが設定されたルールの下にこのルールがくるよ
うにします。
484
URL フィルタリング
URL フィルタリング
セーフサーチの適用の有効化
セーフサーチの適用の有効化（続き）
[ コミット ] をクリックします。
ステップ 5
設定を保存します。
ステップ 6
[ セーフサーチを適用 ] 設定を 1.
確認します。
この確認手順は、ブロッ
クページを使用してセー
フサーチを適用してい
る場合にのみ機能しま
す。透過的なセーフ
サーチの適用を使用して 2.
いる場合、ファイア
ウォールのブロック 3.
ページでは、クエリ文字
列のセーフサーチパラ
メータで URL が書き換
えられます。
URL フィルタリング
ファイアウォールの背後にあるコンピュータから、サ
ポートされているいずれかの検索プロバイダの厳密な
検索設定を無効にします。たとえば、bing.com で、
Bing メニューバーの設定アイコンをクリックします。
[ セーフサーチ ] オプションを [ 標準 ] または [ オフ ] に
設定し、[ 保存 ] をクリックします。
Bing 検索を実行し、検索結果ではなく、URL フィルタ
リングセーフサーチのブロックページが表示される
ことを確認します。
4.
ブロックページのリンクを使用して、検索プロバイダ
の検索設定に移動し、セーフサーチ設定を最も厳密な
設定（Bing の場合は [ 高レベル ]）に戻し、[ 保存 ] を
クリックします。
5.
Bing から再度検索を実行し、ブロックページではなく、
フィルタリングされた検索結果が表示されることを確
認します。
485
セーフサーチの適用の有効化
URL フィルタリング
透過的なセーフサーチの適用の有効化
最も厳密なセーフサーチフィルタで検索クエリ結果をフィルタリングするが、エンドユー
ザーが手動で設定する必要がないようにする場合、以下のように透過的なセーフサーチの適用
を有効にできます。この機能は、Google、Yahoo、および Bing 検索エンジンでのみサポートさ
れており、コンテンツリリースバージョン 475 以降が必要です。
透過的なセーフサーチの適用の有効化
ステップ 1
ステップ 1
ファイアウォールでコンテン 1.
ツリリースバージョン 475 以 2.
降が実行されていることを確
認します。
3.
[Device] > [ ダイナミック更新 ] の順に選択します。
[ アプリケーションおよび脅威 ] セクションを確認し、
現在どの更新が実行されているのかを特定します。
ファイアウォールで必要なバージョン（またはそれ以
降）の更新が実行されていない場合、[ 今すぐチェック ]
をクリックし、使用可能な更新のリストを取得します。
4.
必要な更新を見つけて [ ダウンロード ] をクリックし
ます。
5.
ダウンロードが完了したら、[ インストール ] をクリッ
クします。
URL フィルタリングプロファ 1.
イルでセーフサーチの適用を
有効にします。
2.
[Objects] > [ セキュリティプロファイル ] > [URL フィ
ルタリング ] の順に選択します。
3.
[ 設定 ] タブで、[ セーフサーチを適用 ] チェックボッ
クスをオンにして有効にします。
4.
（任意）特定の検索エンジンへのアクセスのみを許可
します。
既存のプロファイルを選択して変更するか、デフォル
トプロファイルをコピーして新しいプロファイルを作
成します。
a. [ カテゴリ ] タブで、[search-engines] カテゴリを
[block] に設定します。
b. ユーザーにアクセスを許可する各検索エンジンの
Web アドレスを [ 許可リスト ] テキストボックスに
入力します。たとえば、Google および Bing 検索へ
のアクセスのみをユーザーに許可する場合、以下の
ように入力します。
www.google.com
www.bing.com
5.
必要に応じて、その他の設定を指定します。
• 「Web コンテンツへのアクセスを制御する方法を定
義します。」
• 「常にブロックまたは許可する必要のある Web サイ
トを定義します。」
6.
486
[OK] をクリックしてプロファイルを保存します。
URL フィルタリング
URL フィルタリング
セーフサーチの適用の有効化
透過的なセーフサーチの適用の有効化（続き）
ステップ 2
Trust ゾーンのクライアントから 1.
インターネットへのトラ
フィックを許可するセキュリ
ティポリシールールに URL 2.
フィルタリングプロファイル
追加します。
3.
URL フィルタリング
[Policies] > [ セキュリティ] の順に選択し、セーフサー
チの適用を有効にした URL フィルタリングプロファ
イルを適用するルールを選択します。
[アクション] タブで、[URL フィルタリング ] プロファ
イルを選択します。
[OK] をクリックしてセキュリティポリシールールを
保存します。
487
セーフサーチの適用の有効化
URL フィルタリング
透過的なセーフサーチの適用の有効化（続き）
ステップ 3
（任意、ただし推奨）SSL 経由 1.
で実行される Bing 検索トラ
フィックをブロックします。
Bing SSL 検索エンジンは、セー
フサーチ設定に従わないた
め、完全なセーフサーチを適
用するために、SSL 経由で実行
されるすべての Bing セッション
を拒否する必要があります。
Bing のカスタム URL カテゴリを追加します。
a. [Objects] > [ カスタムオブジェクト ] > [URL カテゴ
リ ] の順に選択し、カスタムカテゴリを [ 追加 ] し
ます。
b. カテゴリの [ 名前 ]（EnableBingSafeSearch など）を入
力します。
c. 以下を [ サイト ] リストに [ 追加 ] します。
www.bing.com/images/*
www.bing.com/videos/*
d. [OK] をクリックしてカスタム URL カテゴリオブジェ
クトを保存します。
2.
作成したカスタムカテゴリをブロックする別の URL
フィルタリングプロファイルを作成します。
a. [Objects] > [ セキュリティプロファイル ] > [URL
フィルタリング ] の順に選択します。
b. 新しいプロファイルを [ 追加 ] し、分かりやすい [ 名
前 ] をつけます。
c. [ カテゴリ ] リストで、作成したカスタムカテゴリを
見つけ、[block] に設定します。
d. [OK] をクリックして、URL フィルタリングプロファ
イルを保存します。
3.
Bing SSL トラフィックをブロックするセキュリティポ
リシールールを [ 追加 ] します。
a. [Policies] > [セキュリティ] の順に選択し、Trust ゾー
ンからインターネットへのトラフィックを許可する
ポリシールールを [ 追加 ] します。
b. [ アクション ] タブで、作成した URL フィルタリン
グプロファイルを関連付け、カスタム Bing カテゴ
リをブロックします。
c. [ サービス /URL カテゴリ ] タブで、新しいサービス
を [ 追加 ] し、分かりやすい [ 名前 ]（bingssl など）
をつけます。
d. [ プロトコル ] として [TCP] を選択し、[ 宛先ポート ]
を 443 に設定します。
e. [OK] をクリックしてルールを保存します。
f. [ 移動 ] オプションを使用して、セーフサーチの適用
が有効になっている URL フィルタリングプロファ
イルが設定されたルールの下にこのルールがくるよ
うにします。
488
URL フィルタリング
URL フィルタリング
セーフサーチの適用の有効化
透過的なセーフサーチの適用の有効化（続き）
ステップ 4
URL フィルタリングセーフサー 1.
チのブロックページを編集
し、既存のコードを、検索ク 2.
エリ URL を書き換えて透過的
にセーフサーチを適用する
3.
Javascript に置き換えます。
[Device] > [ 応答ページ ] > [URL フィルタリングセー
フサーチのブロックページ ] の順に選択します。
[ 事前定義済み ] を選択し、[ エクスポート ] をクリッ
クして、ファイルをローカルに保存します。
HTML エディタを使用して、既存のすべてのブロック
ページテキストを以下のテキストに置き換えて、ファ
イルを保存します。
<html>
<head>
<script>
var s_u = location.href;
//bing
b_n = s_u.search("www.bing.com/")
if (b_n > 0) {
s_u = s_u + "&adlt=strict";
}
//google
g_n = s_u.search("www.google.com/")
if (g_n > 0) {
s_u = s_u + "&safe=active";
}
// yahoo
y_n = s_u.search("search.yahoo.com")
if (y_n > 0) {
s_u = s_u.replace(/&vm=p/ig,"");
s_u = s_u + "&vm=r";
}
window.location.replace(s_u);
document.getElementById("java_off").innerHTML = 'You are
being redirected to a safer search!';
</script>
<title>Search Blocked</title>
<meta http-equiv="Content-Type" content="text/html;
charset=utf-8">
<META HTTP-EQUIV="PRAGMA" CONTENT="NO-CACHE">
<meta name="viewport" content="initial-scale=1.0">
</head>
<body bgcolor="#e7e8e9" id="java_off">
Your search is not safesearch enforced!
Please enable Java script in your browser.
</body>
</html>
ステップ 5
編集した URL フィルタリング 1.
セーフサーチのブロックペー
ジをファイアウォールにイン
ポートします。
2.
URL フィルタリング
編集したブロックページをインポートするには、
[Device] > [ 応答ページ ] > [URL フィルタリングセー
フサーチのブロックページ ] の順に選択します。
[ インポート ] をクリックし、[ インポートファイル ]
フィールドにパスとファイル名を入力するか、[ 参照 ]
をクリックしてファイルを指定します。
3.
（任意）[宛先] ドロップダウンから、このログインペー
ジが使用される仮想システムを選択するか、すべての
仮想システムから利用できるように [ 共有 ] を選択し
ます。
4.
[OK] をクリックしてファイルをインポートします。
489
セーフサーチの適用の有効化
URL フィルタリング
透過的なセーフサーチの適用の有効化（続き）
ステップ 6
ステップ 7
490
SSL フォワードプロキシ復号化 1.
を有効にします。
「SSL フォワードプロキシの設定」を行うには、以下
の手順を実行します。
大部分の検索エンジンでは検 2.
索結果が暗号化されるため、
ファイアウォールで検索トラ
フィックを調べてセーフサー
チ設定を検出できるように、
SSL フォワードプロキシ復号化
を有効にする必要があります。
復号ポリシールールの [URL カテゴリ ] タブで、復号
化する以下のカテゴリを設定します。
• search-engines
設定を保存します。
• streaming-media
• internet-portals
[ コミット ] をクリックします。
URL フィルタリング
URL フィルタリング
URL フィルタリングのユースケースの例
URL フィルタリングのユースケースの例
以下のユースケースでは App-ID を使用して、特定の Web ベースのアプリケーションのセット
を制御する方法と URL カテゴリをポリシーで一致条件として使用する方法について説明しま
す。App-ID を使用する場合、各 App-ID シグネチャには、アプリケーションを完全に制御する
ために必要な依存性があることを理解することが重要です。たとえば、Facebook アプリケー
ションでは、Facebook Web サイトにアクセスして、他の Facebook アプリケーションを制御する
ためには、App-ID facebook-base が必要です。たとえば、Facebook 電子メールを制御するように
ファイアウォールを設定するには、App-ID facebook-base および facebook-mail を許可する必要が
あります。また、LinkedIn について『Applipedia』（App-ID データベース）を検索すると、
LinkedIn メールを制御するためには、linkedin-base と linkedin-mail の両方の App-ID に同じアク
ションを適用する必要があることが分かります。App-ID シグネチャのアプリケーションの依存
性を特定するには、『Applipedia』にアクセスし、特定のアプリケーションを検索して、そのア
プリケーションをクリックして、詳細を確認します。
「User-ID」機能は、ユーザーおよびグループに基づくポリシーを実装するために必要です。
また、「復号」ポリシーは、SSL を使用して暗号化される Web サイトを特定および制御する
ために必要です。
このセクションは、以下の 2 つのユースケースで構成されています。

ユースケース : Web アクセスの制御

ユースケース : ポリシーでの URL カテゴリの使用
URL フィルタリング
491
URL フィルタリングのユースケースの例
URL フィルタリング
ユースケース : Web アクセスの制御
URL フィルタリングを使用してユーザーの Web サイトのアクセスを制御する場合、特定の Web
サイトで細かい制御が必要な場合があります。このユースケースでは、URL フィルタリングポ
リシーがユーザーの Web アクセスを許可するセキュリティポリシーに適用され、social-networking
URL カテゴリはブロックに設定されているが、URL プロファイルの許可リストはソーシャル
ネットワーキングサイト Facebook を許可するように設定されています。Facebook をさらに制御
するため、会社の規定でも、マーケティング部門のみが Facebook にフルにアクセスすることが
可能で、社内の他のすべてのユーザーは Facebook の投稿の閲覧のみが可能であり、電子メー
ル、投稿、チャット、ファイル共有などのその他の Facebook アプリケーションを使用できない
と示されています。この要件を実現するためには、App-ID を使用して Facebook をより細かく制
御する必要があります。
最初のセキュリティルールで、マーケティング部門に Facebook Web サイトおよびすべての
Facebook アプリケーションへのアクセスを許可します。この許可ルールによりインターネット
へのアクセスも可能になるため、脅威防御プロファイルがこのルールに適用されます。した
がって、ポリシーに一致するトラフィックに脅威を確認するためのスキャンが実行されます。
これは、許可ルールが処理の最後であり、トラフィックに一致がある場合でも他のルールが引
き続き確認されることがないため重要です。
Web アクセスの制御
ステップ 1
ステップ 2
URL フィルタリングがライセン 1.
スされていることを確認し
ます。
[Device] > [ ライセンス ] を選択し、使用する URL フィル
タリングデータベースで有効な日付が表示されているこ
とを確認します。これは、PAN-DB または BrightCloud の
いずれかです。
2.
有効なライセンスがインストールされていない場合
は、「PAN-DB URL Filtering の有効化」を参照してくだ
さい。
User-ID が機能していることを 1.
確認します。User-ID は、ユー
ザーおよびグループに基づい
てポリシーを作成するために 2.
必要です。
グループマッピングを確認するには、CLI から以下の
コマンドを入力します。
show user group-mapping statistics
ユーザーマッピングを確認するには、CLI から以下の
コマンドを入力します。
show user ip-user-mapping-mp all
ステップ 3
3.
統計情報が表示されていないか、IP、ユーザー間の
マッピング情報が表示されていない場合は、
「User-ID」を参照してください。
デフォルトプロファイルをコ 1.
ピーして URL フィルタリング
プロファイルをセットアップ
します。
2.
[Objects] > [ セキュリティプロファイル ] > [URL フィ
ルタリング ] の順に選択し、[default] プロファイルを
選択します。
3.
492
コピーアイコンをクリックします。default-1 という名
前の新しいプロファイルが表示されます。
新しいプロファイルを選択して、名前を変更します。
URL フィルタリング
URL フィルタリング
URL フィルタリングのユースケースの例
Web アクセスの制御（続き）
ステップ 4
ステップ 5
social-networking をブロックし、 1.
Facebook を許可するように URL
フィルタリングプロファイル
を設定します。
新しい URL フィルタリングプロファイルを変更して、
[カテゴリ] リストで [social-networking] までスクロー
ルして、[ アクション ] 列で、[allow] をクリックして
アクションを [block] に変更します。
2.
[ 許可リスト ] ボックスに facebook.com と入力し
て、Enter キーを押して改行し、*.facebook.com
と入力します。facebook.com、www.facebook.com、
https://facebook.com などユーザーが使用する可能性の
あるすべての URL のバリエーションを特定できるよう
にするには、これら両方のフォーマットが必要です。
3.
[OK] をクリックしてプロファイルを保存します。
ユーザーネットワークからイ 1.
ンターネットへの Web アクセ
スを許可するセキュリティポ 2.
リシールールに新しい URL
フィルタリングプロファイル
を適用します。
3.
URL フィルタリング
[Policies] > [ セキュリティ] の順に選択して、Web アク
セスを許可するポリシールールをクリックします。
[アクション ] タブで、先ほど作成した URL プロファイ
ルを [URL フィルタリング ] ドロップダウンから選択し
ます。
[OK] をクリックして保存します。
493
URL フィルタリングのユースケースの例
URL フィルタリング
Web アクセスの制御（続き）
ステップ 6
マーケティング部門に 1.
Facebook Web サイトおよびす
べての Facebook アプリケーショ 2.
ンへのアクセスを許可するセ
キュリティポリシーを作成し
3.
ます。
[Policies] > [ セキュリティ] の順に選択し、[ 追加 ] を
クリックします。
このルールは、その他のポリ 4.
シーより具体的であり、ま
た、トラフィックに一致があ
5.
る場合は処理が終了する許可
ルールであるため、その他の
ルールの前に処理されます。 6.
[ ユーザー] タブの [ 送信元ユーザー] セクションで [ 追
加 ] をクリックします。
[ 名前 ] を入力し、必要に応じて [ 内容 ] および [ タグ ]
に入力します。
[ 送信元 ] タブでユーザーが接続するゾーンを追加し
ます。
marketing ユーザーを含むディレクトリグループを選択
します。
[ 宛先 ] タブでインターネットに接続されるゾーンを選
択します。
7.
[ アプリケーション ] タブで、[ 追加 ] をクリックして、
facebook の App-ID シグネチャを追加します。
8.
[ アクション ] タブで、[ アンチウイルス ]、[ 脆弱性防
御 ]、[ アンチスパイウェア ] のデフォルトのプロファ
イルを追加します。
9.
[OK] をクリックしてセキュリティプロファイルを保存
します。
このポリシーで使用される facebook App-ID シグネチャ
は、facebook-base、facebook-chat、facebook-mail などの
すべての Facebook アプリケーションを含んでいます。
そのため、これがこのルールで必要な唯一の App-ID
シグネチャです。
このポリシーを適用すると、マーケティング部門の従
業員が Facebook Web サイトまたはいずれかの Facebook
アプリケーションへのアクセスを試みると、マーケ
ティング部門の一員であるユーザーに基づいて、ルー
ルと一致します。マーケティング部門以外のユーザー
からのトラフィックでは、トラフィックに一致がない
ため、このルールはスキップされ、ルールの処理が続
行します。
494
URL フィルタリング
URL フィルタリング
URL フィルタリングのユースケースの例
Web アクセスの制御（続き）
ステップ 7
その他すべてのユーザーの、単 1.
なる Web 閲覧以外の Facebook
アプリケーションの使用がブ
ロックされるように、セキュ 2.
リティポリシーを設定しま
す。この設定を最も簡単に行
3.
うには、マーケティング部門
の許可ポリシーをコピーして
変更します。
4.
5.
[Policies] > [ セキュリティ] で、先ほど作成したマーケ
ティング部門の Facebook 許可ポリシーをクリックし
て、強調表示し、コピーアイコンをクリックします。
[ 名前 ] を入力し、必要に応じて [ 内容 ] および [ タグ ]
に入力します。
[ ユーザー] タブで、マーケティンググループを強調表
示して、削除し、ドロップダウンで、[any] を選択し
ます。
[ アプリケーション ] タブで、facebook の App-ID シグネ
チャをクリックして、削除します。
[ 追加 ] をクリックして、以下の App-ID シグネチャを
追加します。
• facebook-apps
• facebook-chat
• facebook-file-sharing
• facebook-mail
• facebook-posting
• facebook-social-plugin
URL フィルタリング
6.
[ アクション ] タブの [ アクション設定 ] で [ 拒否 ] を
選択します。このルールはコピーされているため、プ
ロファイル設定はすでに適切になっています。
7.
[OK] をクリックしてセキュリティプロファイルを保存
します。
8.
ルール処理が正しい順序で行われ、マーケティング部
門のユーザーを許可して、その他のユーザーが拒否 /
制限されるようにするため、この新しい拒否ルールが
マーケティングの許可ルールの後に表示されているこ
とを確認してください。
9.
設定を保存するには [ コミット ] をクリックします。
495
URL フィルタリングのユースケースの例
URL フィルタリング
これらのポリシーを適用すると、マーケティング部門の一員であるユーザーにはすべての
Facebook アプリケーションへのフルアクセスが付与されますが、マーケティング部門の一員で
はないその他のユーザーには、Facebook Web サイトの読み取り専用アクセスのみが付与される
ため、投稿、チャット、電子メール、ファイル共有などの Facebook の機能を使用することはで
きません。
ユースケース : ポリシーでの URL カテゴリの使用
また、キャプティブポータル、復号、セキュリティおよび QoS といったポリシータイプで、
URL カテゴリを一致条件として使用することができます。このユースケースでは、復号ポリ
シーで URL カテゴリを使用して復号化する Web カテゴリと復号化しない Web カテゴリを制御し
ます。最初のルールは、Web カテゴリが financial-services または health-and-medicine である場合、ユー
ザートラフィックの復号化を行わない復号なしルールで、2 番目のルールではすべてのトラ
フィックを復号化します。復号ポリシーのタイプは ssl-forward-proxy です。これは、ユーザーが実
行するすべてのアウトバウント接続の復号化を制御するために使用します。
URL カテゴリに基づく復号ポリシーの設定
ステップ 1
496
復号ポリシーリストに最初 1.
に表示される復号なしルール
を作成します。このルールに 2.
より、financial-services または
health-and-medicine URL カテゴリ
3.
のすべての Web サイトは復号
化されません。
4.
[Policies] > [ 復号 ] の順に選択し、[ 追加 ] をクリック
します。
5.
[URL カテゴリ ] タブで、[ 追加 ] をクリックして、
[financial-services] および [health-and-medicine] URL カテゴリを
選択します。
6.
[ オプション ] タブで、アクションを [ 復号なし ] に、
[タイプ] を [SSL フォワードプロキシ] に設定します。
7.
[OK] をクリックしてポリシーを保存します。
[ 名前 ] を入力し、必要に応じて [ 内容 ] および [ タグ ]
に入力します。
[ 送信元 ] タブで、ユーザーが接続するゾーンを追加し
ます。
[ 宛先 ] タブで、インターネットに接続されるゾーンを
入力します。
URL フィルタリング
URL フィルタリング
URL フィルタリングのユースケースの例
URL カテゴリに基づく復号ポリシーの設定（続き）
ステップ 2
ステップ 3
その他すべてのトラフィック 1.
を復号化する復号ポリシーを
作成します。このポリシー 2.
は、復号なしポリシーの後に
リストされます。
3.
先ほど作成した復号なしポリシーを選択し、[コピー] を
クリックします。
[ 名前 ] を入力し、必要に応じて [ 内容 ] および [ タグ ]
に入力します。
[URL カテゴリ ] タブで、[financial-services] および
[health-and-medicine] を選択し、削除アイコンをクリックし
ます。
4.
[ オプション ] タブで、アクションを [ 復号 ] に、[ タイ
プ ] を [SSL フォワードプロキシ ] に設定します。
5.
スクリーンキャプチャに示すように、この新しい復号
ルールが復号なしルールの後にリストされていること
を確認します。これにより、ルール処理が確実に正し
い順序で実行され、financial-services および health-and-medicine
の Web サイトは復号化されません。
6.
[OK] をクリックしてポリシーを保存します。
（BrightCloud のみ）ファイア 1.
ウォール上のローカルデータ 2.
ベースでカテゴリを利用でき
ない場合は、URL を動的に分
類するためにクラウド検索を
有効にします。
ファイアウォールで CLI にアクセスします。
以下の CLI コマンドを入力してダイナミック URL フィ
ルタリングを有効にします。
a. configure
b. set deviceconfig setting url dynamic-url yes
c. commit
ステップ 4
設定を保存します。
URL フィルタリング
[ コミット ] をクリックします。
497
URL フィルタリングのユースケースの例
URL フィルタリング
これら 2 つの復号ポリシーが適用されると、financial-services または health-and-medicine URL カテゴリを
宛先とするすべてのトラフィックは復号化されません。その他すべてのトラフィックは復号化
されます。
また、サーバー証明書の確認、期限切れの証明書を使用しているセッションのブロックなどの
確認を実行するために使用する復号プロファイルを定義して、復号ポリシーに対するより細か
い制御を定義することもできます。プロファイルは、復号ポリシーの [ オプション ] タブに追加
されます。実行できるチェックの詳細なリストについては、ファイアウォールから [Objects] >
[ 復号プロファイル ] を選択し、ヘルプアイコンをクリックします。
これで、URL フィルタリング、App-ID、および User-ID といった強力な機能の基本を理解でき
ました。同様のポリシーをファイアウォールに適用し、Palo Alto Networks の App-ID シグネチャ
データベースで任意のアプリケーションを制御したり、URL フィルタリングデータベースに含
まれる Web サイトを制御したりできます。
URL フィルタリングに関する問題のトラブルシューティングについては、「URL フィルタリン
グのトラブルシューティング」を参照してください。
498
URL フィルタリング
URL フィルタリング
URL フィルタリングのトラブルシューティング
URL フィルタリングのトラブルシューティング
以下のトピックでは、一般的な URL フィルタリングの問題を診断および解決するためのトラブ
ルシューティングのガイドラインを説明します。

PAN-DB のアクティベーションに関する問題

PAN-DB クラウド接続の問題

Not-Resolved に分類された URL

誤った分類

URL データベースが古い
PAN-DB のアクティベーションに関する問題
以下の表では、PAN-DB のアクティベーションに関する問題を解決するために実行できる手順
を説明します。
PAN-DB のアクティベーションの問題のトラブルシューティング
1.
ファイアウォールで CLI にアクセスします。
2.
以下のコマンドを実行して、PAN-DB がアクティベーションされているかどうかを確認します。
admin@PA-200> show system setting url-database
応答が paloaltonetworks である場合、PAN-DB がアクティブベンダーです。
3.
以下のコマンドを実行して、ファイアウォールに有効な PAN-DB ライセンスがあることを確認します。
admin@PA-200> request license info
ライセンスエントリ [Feature: PAN_DB URL Filtering] を確認してください。ライセンスがインストー
ルされていない場合は、ライセンスを取得しインストールする必要があります。「URL フィルタリ
ングの設定」を参照してください。
4.
ライセンスをインストールしたら、以下のコマンドを実行して新しい PAN-DB シードデータベース
をダウンロードします。
admin@PA-200> request url-filtering download paloaltonetworks region <region>
5.
以下のコマンドを実行して、ダウンロードの状態を確認します。
admin@PA-200> request url-filtering download status vendor paloaltonetworks
• メッセージが PAN-DB download: Finished successfully 以外の場合は、ここで停止します。クラウ
ドの接続に問題がある可能性があります。ファイアウォールおよびインターネット間の基本的な
ネットワークのトラブルシューティングを実行して、接続の問題の解決を試みてください。詳細
は、「PAN-DB クラウド接続の問題」を参照してください。
• メッセージが PAN-DB download: Finished successfully である場合は、ファイアウォールが URL
シードデータベースを正常にダウンロードしました。以下のコマンドを実行して、再度 PAN-DB
を有効にします。
admin@PA-200> set system setting url-database paloaltonetworks
URL フィルタリング
499
URL フィルタリングのトラブルシューティング
URL フィルタリング
PAN-DB のアクティベーションの問題のトラブルシューティング（続き）
6.
問題が解決しない場合は、Palo Alto Networks サポートまでお問い合わせください。
PAN-DB クラウド接続の問題
クラウドの接続を確認するには、以下のコマンドを実行します。
admin@pa-200> show url-cloud status
クラウドにアクセスできる場合は、以下のような応答が予測されます。
admin@PA-200> show url-cloud status
PAN-DB URL Filtering
License :
Current cloud server :
Cloud connection :
URL database version - device :
URL database version - cloud :
2013/11/19
13:20:51 )
URL database status :
URL protocol version - device :
URL protocol version - cloud :
Protocol compatibility status :
valid
s0000.urlcloud.paloaltonetworks.com
connected
2013.11.18.000
2013.11.18.000 ( last update time
good
pan/0.0.2
pan/0.0.2
compatible
クラウドにアクセスできない場合は、以下のような応答が予測されます。
admin@PA-200> show url-cloud status
PAN-DB URL Filtering
License :
valid
Cloud connection :
not connected
URL database version - device :
2013.11.18.000
URL database version - cloud :
2013.11.18.000
2013/11/19
13:20:51 )
URL database status :
good
URL protocol version - device :
pan/0.0.2
URL protocol version - cloud :
pan/0.0.2
Protocol compatibility status :
compatible
500
( last update time
URL フィルタリング
URL フィルタリング
URL フィルタリングのトラブルシューティング
以下の表では、show url-cloud status コマンドの出力に基づいて問題を解決するために実行できる
手順、URL のクラウドサーバーに ping する方法、およびファイアウォールが高可用性 (HA) 設
定の場合に何を確認すべきかを説明します。
クラウド接続の問題のトラブルシューティング
• PAN-DB URL Filtering license フィールドに invalid と表示されている場合は、有効な PAN-DB ライセンス
を取得して、インストールします。
• URL データベースの状態が古い場合、以下のコマンドを実行して新しいシードデータベースをダウン
ロードします。
admin@pa-200> request url-filtering download paloaltonetworks region <region>
• URL プロトコルのバージョンが not compatible と表示されている場合、PAN-OS を最新バージョンに
アップグレードします。
• 以下のコマンドを実行して、ファイアウォールから PAN-DB クラウドサーバーに ping します。
admin@pa-200> ping source <ip-address> host s0000.urlcloud.paloaltonetworks.com
たとえば、管理インターフェイス IP アドレスが 10.1.1.5 の場合、以下のコマンドを実行します。
admin@pa-200> ping source 10.1.1.5 host s0000.urlcloud.paloaltonetworks.com
• ファイアウォールが HA 設定である場合、デバイスの HA 状態でクラウドシステムへの接続がサポー
トされていることを確認します。以下のコマンドを実行すると、HA 状態を特定できます。
admin@pa-200> show high-availability state
ファイアウォールが以下のいずれかの状態にない場合、クラウドへの接続はブロックされます。
• active
• active-primary
• active-secondary
問題が解決しない場合は、Palo Alto Networks サポートまでお問い合わせください。
Not-Resolved に分類された URL
以下の表では、PAN-DB で識別される一部またはすべての URL が Not-resolved に分類される問題
を解決するために使用できる手順を説明します。
Not-Resolved に分類された URL のトラブルシューティング
1.
以下のコマンドを実行して、PAN-DB のクラウド接続を確認します。
admin@PA-200> show url-cloud status
Cloud connection: フィールドに connected と表示されます。connected 以外が表示されている場合、管
理プレーンキャッシュに存在しないすべての URL は、not-resolved に分類されます。この問題を
解決する方法については、「PAN-DB クラウド接続の問題」を参照してください。
URL フィルタリング
501
URL フィルタリングのトラブルシューティング
URL フィルタリング
Not-Resolved に分類された URL のトラブルシューティング（続き）
2.
クラウド接続の状態が connected と表示されている場合、ファイアウォールの現在の使用率を確
認します。ファイアウォールのパフォーマンスがスパイク状態である場合、URL 要求はド
ロップ（管理プレーンに到達することができない）され、not-resolved として分類されます。
システムリソースを表示するには、以下のコマンドを実行し、%CPU および %MEM 列を表示
します。
admin@PA-200> show system resources
また、ファイアウォールの Web インターフェイスからシステムリソースを表示することもで
きます。これを行うには、[Dashboard] タブをクリックし、[ システムリソース ] セクション
を表示します。
3.
問題が解決しない場合は、Palo Alto Networks サポートまでお問い合わせください。
誤った分類
正しい分類が設定されていない URL を識別する場合に実行できる手順を以下で説明します。た
とえば、URL paloaltonetworks.com が alcohol-and-tobacco に分類されている場合、分類が誤っており、こ
のカテゴリは computer-and-internet-info である必要があります。
誤った分類の問題のトラブルシューティング
1.
以下のコマンドを実行して、データプレーンのカテゴリを確認します。
admin@PA-200> show running url <URL>
たとえば、Palo Alto Networks Web サイトのカテゴリを表示するには、以下のコマンドを実行します。
admin@PA-200> show running url paloaltonetworks.com
データプレーンキャッシュに保存されている URL のカテゴリが正しい場合（この例では、
computer-and-internet-info）、分類は正しく、さらに対策を実行する必要はありません。カテゴリが
正しくない場合は、次の手順に進みます。
2.
以下のコマンドを実行して、管理プレーンのカテゴリを確認します
admin@PA-200> test url-info-host <URL>
例:
admin@PA-200> test url-info-host paloaltonetworks.com
管理プレーンキャッシュに保存されている URL のカテゴリが正しい場合、以下の CLI コマンドを実
行して、データプレーンキャッシュから URL を削除します。
admin@PA-200> clear url-cache url <URL>
次回、この URL のカテゴリをデバイスが要求すると、要求は管理プレーンに転送されます。この処
理により問題は解決し、さらに対策を実行する必要はありません。この処理で問題が解決しない場
合は、次の手順に進み、クラウドシステムの URL カテゴリを確認します。
3.
以下のコマンドを実行して、クラウドのカテゴリを確認します。
admin@PA-200> test url-info-cloud <URL>
502
URL フィルタリング
URL フィルタリング
URL フィルタリングのトラブルシューティング
誤った分類の問題のトラブルシューティング（続き）
4.
クラウドに保存されている URL のカテゴリが正しい場合、データプレーンおよび管理プレーンキャッ
シュから URL を削除します。
データプレーンキャッシュから URL を削除するには、以下のコマンドを実行します。
admin@PA-200> clear url-cache url <URL>
管理プレーンキャッシュから URL を削除するには、以下のコマンドを実行します。
admin@PA-200> delete url-database url <URL>
次回、所定の URL のカテゴリをデバイスがクエリすると、要求は管理プレーンに転送され、さら
に、クラウドに転送されます。これで、カテゴリ検索に関する問題は解決します。問題が解決しな
い場合は、次の手順を参照して、分類変更要求を提出します。
5.
Web インターフェイスから変更要求を提出するには、URL ログに移動して、変更する URL のログエ
ントリを選択します。
6.
[ 分類の変更要求 ] リンクをクリックして、以下の手順を実行します。URL を検索し、変更要求アイ
コンをクリックして、Palo Alto Networks の『Test A Site』Web サイトからカテゴリ変更を要求するこ
ともできます。すべての使用可能なカテゴリのリストと各カテゴリの説明を表示する方法について
は、『https://urlfiltering.paloaltonetworks.com/CategoryList.aspx』を参照してください。
変更要求が承認されると、電子メール通知が送信されます。その後、2 つの方法で、ファイア
ウォールで URL カテゴリが更新されたことを確認できます。
• キャッシュ内の URL の有効期限が切れるまで待機します。次回ユーザーが URL にアクセスする
ときに、新しい分類の更新がキャッシュに配置されます。
• 以下のコマンドを実行して、キャッシュの更新を強制的に行います。
admin@PA-200> request url-filtering update url
URL フィルタリング
<URL>
503
URL フィルタリングのトラブルシューティング
URL フィルタリング
URL データベースが古い
PAN-DB が古いことを syslog または CLI で確認した場合は、ファイアウォールから URL クラウ
ドへの接続がブロックされることを意味します。これは、通常、ファイアウォール上の URL
データベースが古すぎる（バージョンの違いが 3 か月を上回る）場合に発生します。クラウド
はファイアウォールを自動的に更新することはできません。この問題を解決するには、初期
シードデータベースをクラウドから再ダウンロードする必要があります（この操作はブロック
されません）。これにより、PAN-DB が自動的に再アクティベーションされます。
データベースを手動で更新するには、以下のいずれかの手順を実行します。


Web インターフェイスから、[Device] > [ライセンス] の順に選択し、[PAN-DB URL Filtering]
セクションで、[ 再ダウンロード ] リンクをクリックします。
CLI から以下のコマンドを実行します。
admin@PA-200> request url-filtering download paloaltonetworks region
<region_name>
シードデータベースを再ダウンロードすると、管理プレーンおよびデータプレーンの URL
キャッシュが消去されます。その後、管理プレーンキャッシュは、新しいシードデータベー
スの内容で再入力されます。
504
URL フィルタリング
Quality of Service (QoS)
Quality of Service (QoS) とは、限りあるネットワーク容量で優先順位の高いアプリケーションお
よびトラフィックを処理するときの信頼性を保証するため、ネットワーク上で機能する一式の
テクノロジです。QoS テクノロジでは、ネットワークトラフィックの特定のフローごとに異な
る処理方法と容量を割り当てることによって、QoS を実現します。これによりネットワーク管
理者は、トラフィックの処理順位およびトラフィックに振り分ける帯域幅を割り当てることが
できます。
Palo Alto Networks のアプリケーション Quality of Service (QoS) により、基本的な QoS をネットワー
クに適用し、それを拡張してアプリケーションとユーザーに QoS を適用することができます。
以下のトピックを読んで Palo Alto Networks のアプリケーション QoS について理解し、設定を
行ってください。

QoS の概要

QoS の概念

QoS の設定

仮想システムの QoS の設定

QoS のユースケース例
•
Palo Alto Networks の『製品比較ツール』を使用して、お使いのファイアウォールプラット
フォームでサポートされている QoS 機能を確認できます。2 つ以上の製品プラットフォー
ムを選択して、[Compare Now（今すぐ比較する）] をクリックすると、各プラット
フォームでサポートされている QoS 機能が表示されます（たとえば、お使いのプラット
フォームのサブインターフェイスでの QoS のサポートの有無を確認し、サポートされてい
る場合は、QoS を有効化できるサブインターフェイスの最大数をチェックできます）。
•
PA-7050 ファイアウォールは、PAN-OS 6.0.0. 時点で、Ethernet の集約 (AE) インターフェイ
スでの QoS をサポートしています。
Quality of Service（QoS）
505
QoS の概要
Quality of Service (QoS)
QoS の概要
QoS を使用し、ネットワークトラフィックの品質に優先順位を設定して調整を図ります。パケッ
トを処理する順序と帯域幅を割り当て、選択したトラフィック、アプリケーション、およびユー
ザーにとって望ましい処理方法と最適レベルのパフォーマンスが確保されるようにします。
QoS の実装に関係するサービス品質の測定量は、帯域幅（最大転送速度）、スループット（実
転送速度）、遅延（待ち時間）、およびジッター（遅延の変動）です。これらのサービス品質
測定量をシェーピングおよび制御する QoS の能力は、VoIP (Voice over IP)、ビデオ会議、および
遅延やジッターの影響を受けやすいビデオオンデマンドなど、高帯域幅のリアルタイムトラ
フィックの場合に特に重要です。また、QoS を使用して、以下を実現できます。

ネットワークおよびアプリケーショントラフィックの優先順位を指定して、重要なトラフィッ
クに高い優先順位が指定されるよう保証したり、重要度の低いトラフィックを制限したりし
ます。

同じネットワーク内のさまざまなサブネット、クラス、またはユーザー間で、帯域幅を均等
に共有します。

外部、内部、またはその両方で帯域幅を割り当て、アップロードとダウンロードの両方のト
ラフィックに QoS を適用するか、または一方のトラフィックにのみ適用します。

企業環境における顧客および収益に関係するトラフィックで低遅延が確保されるようにし
ます。

アプリケーションのトラフィックプロファイリングを実行して帯域幅の使用量を最適化し
ます。
Palo Alto Networks ファイアウォールで QoS を実装するには、完全な QoS ソリューションをサ
ポートする 3 つの主要なコンポーネント、すなわち、「QoS プロファイル」、「QoS ポリ
シー」、および「QoS 出力インターフェイス」の設定から始めます。QoS 設定タスクにおける
これらの各オプションによって広範なプロセスを円滑に処理し、これによりトラフィックフ
ローの最適化と優先順位付けを行い、設定可能なパラメータに応じた帯域幅を割り当てて確保
します。
「図 : QoS トラフィックフロー」は、送信元から送信され、QoS が有効なファイアウォールに
よってシェーピングされ、最終的に優先順位付けされて宛先に配信されるトラフィックフロー
を示しています。
506
Quality of Service（QoS）
Quality of Service (QoS)
QoS の概要
図 : QoS トラフィックフロー
QoS 設定オプションにより、トラフィックフローを制御し、フローのさまざまな位置で定義す
ることができます。「図 : QoS トラフィックフロー」は、設定可能なオプションによってトラ
フィックフローを定義できる場所を示しています。QoS プロファイルを使用して QoS クラスを
定義し、QoS ポリシーを使用して QoS クラスを選択したトラフィックに関連付けます。イン
ターフェイスで QoS プロファイルを有効にし、ネットワークを流れるトラフィックを QoS 設定
に従ってシェーピングします。
QoS プロファイルと QoS ポリシーは、管理者の必要に応じて、個別に設定するか、または任意
の順序で設定できます。QoS 設定の各オプションには他のオプションの定義に影響するコン
ポーネントが含まれており、QoS 設定の各オプションは、全体的で詳細な QoS ポリシーを作成
するために使用するか、最小限の管理者アクションで限定的に使用することができます。
各ファイアウォールモデルは、QoS で設定可能な最大ポート数をサポートしています。お使い
の『ファイアウォールモデル』の仕様シートをご覧ください。または、『製品比較ツール』を
使用すれば、2 つ以上のファイアウォールでサポートされている QoS 機能を単一ページで確認で
きます。
Quality of Service（QoS）
507
QoS の概念
Quality of Service (QoS)
QoS の概念
以下のトピックを読み、Palo Alto Networks ファイアウォールにおける QoS 設定のさまざまなコ
ンポーネントおよびメカニズムについて学習してください。

アプリケーションおよびユーザーの QoS

QoS プロファイル

QoS クラス

QoS ポリシー

QoS 出力インターフェイス

QoS のクリアテキストおよびトンネル対象トラフィック
アプリケーションおよびユーザーの QoS
Palo Alto Networks ファイアウォールには、ネットワークまたはサブネットに応じてファイア
ウォールから送出されるトラフィックを制御する基本的な QoS 機能があり、QoS の機能を拡張
して、アプリケーションおよびユーザーに応じてトラフィックの分類とシェーピングも実行し
ます。Palo Alto Networks ファイアウォールは、App-ID と User-ID の機能を QoS 設定と統合する
ことによってこの機能を実現します。ネットワーク内の特定のアプリケーションとユーザーを
識別するための App-ID および User-ID エントリは QoS 設定に含まれているため、QoS を適用す
るアプリケーションとユーザーを容易に指定することができます。
Web インターフェイスで QoS ポリシーを使用し（[Policies] > [QoS]）、アプリケーションのト
ラフィックを指定して QoS を適用することができます。
508
Quality of Service（QoS）
Quality of Service (QoS)
QoS の概念
またはユーザーのトラフィックを指定して適用することもできます。
これらの機能の詳細は、「App-ID」および「User-ID」を参照してください。
QoS プロファイル
QoS プロファイルを使用して、1 つのプロファイル内に含まれる最大 8 つの QoS の値を定義し
ます（[Network] > [ ネットワークプロファイル ] > [QoS プロファイル ]）。
QoS を有効にするには、ネットワーク、アプリケーション、またはユーザートラフィック（具
体的には、クリアテキストまたはトンネル対象トラフィック）の出力インターフェイスに QoS
プロファイルを適用します。QoS が設定されているインターフェイスは、QoS プロファイルク
ラスの定義、および QoS ポリシーでそれらのクラスに関連付けられているトラフィックに応じ
て、トラフィックをシェーピングします。
ファイアウォールでは、デフォルトの QoS プロファイルを使用できます。プロファイルで定義
されているデフォルトのプロファイルおよびクラスには、最大帯域幅または保証帯域幅の制限
が事前定義されていません。
Quality of Service（QoS）
509
QoS の概念
Quality of Service (QoS)
帯域幅制限は、1 つの QoS プロファイルについて、または QoS プロファイル内の個々の QoS ク
ラスについて設定できます。QoS プロファイルに含まれる 8 つすべての QoS クラスの保証帯域
幅制限の合計を QoS プロファイルに割り当てる合計帯域幅より大きくすることはできません。
物理インターフェイスで QoS を有効にすることには、このインターフェイスを介してファイア
ウォールから送出されるトラフィックの最大帯域幅を設定することが含まれます。QoS プロ
ファイルの保証帯域幅（[ 最低保証帯域出力側 ] フィールド）は、QoS が有効になっている物理
インターフェイスに割り当てられている帯域幅を超えないようにする必要があります。
詳細は、「QoS プロファイルを作成します。」を参照してください。
QoS クラス
QoS クラスにより、割り当てられているトラフィックの優先順位と帯域幅が決まります。Web イ
ンターフェイスで、QoS プロファイルを使用して QoS クラスを定義します（[Network] > [ ネッ
トワークプロファイル ] > [QoS プロファイル ]）。
QoS クラスの定義には、クラスの優先順位、最大帯域幅（[ 最大保証帯域出力側 ]）、および保
証帯域幅（[ 最低保証帯域出力側 ]）が含まれます。
リアルタイム優先順位は、通常、音声およびビデオアプリケーションなど、遅延の影響を受け
やすいアプリケーションで使用されます。
QoS ポリシーを使用して、指定したトラフィックに QoS クラスを割り当てます（[Policies] >
[QoS]）。
単一の QoS プロファイルには、定義可能な QoS クラスが 8 つあります。特に設定しない限り、
QoS クラスに一致しないトラフィックには class 4 が割り当てられます。
510
Quality of Service（QoS）
Quality of Service (QoS)
QoS の概念
QoS 設定の基本的なメカニズムである QoS の優先キューイングおよび帯域幅管理は、QoS クラ
ス定義内で設定されます（ステップ 3 を参照）。キューイング優先順位は、QoS クラスに設定
された優先順位によって決まります。帯域幅管理は、QoS クラスに設定された最大帯域幅と保
証帯域幅に応じて決まります。
キューイングおよび帯域幅管理メカニズムにより、トラフィックの順序と、ネットワークを出
入りするときのトラフィックの処理方法が決まります。

QoS 優先順位 : QoS クラスでは、4 つの QoS 優先順位（real-time、high、medium、および low）
のいずれかを定義できます。QoS を特定のトラフィックに関連付けると、その QoS クラスに
定義されている優先順位がトラフィックに割り当てられます。その後、トラフィックフロー
内のパケットは、ネットワーク側で処理する準備ができるまで、それぞれの優先順位に従っ
てキューに格納されます。この優先キューイング方法では、重要なトラフィック、アプリ
ケーション、またはユーザーが確実に優先されるようにすることができます。

QoS クラスの帯域幅管理 : QoS クラスの帯域幅管理では、トラフィックがネットワークの容
量を超過しないようにネットワークのトラフィックフローを制御して、ネットワークで輻輳
が発生しないようにすることができます。また、トラフィック、アプリケーション、または
ユーザーに特定の帯域幅制限を割り当てることができます。QoS プロファイルを使用して帯
域幅全体に制限を設定するか、個々の QoS クラスに制限を設定することができます。QoS プ
ロファイルとそのプロファイル内の QoS クラスには、保証帯域幅制限と最大帯域幅制限があ
ります。保証帯域幅制限（[ 最低保証帯域出力側 ]）により、設定された帯域幅制限内の任意
の量のトラフィックが確実に処理されるようにします。最大帯域幅制限（[ 最大保証帯域出
力側 ]）では、QoS プロファイルまたは QoS クラスのいずれかに割り当てる合計帯域幅の上
限値を設定します。最大帯域幅制限を超える部分のトラフィックはドロップされます。1 つ
の QoS プロファイルに含まれる各 QoS クラスの合計帯域幅制限および保証帯域幅制限を、
その QoS プロファイルの帯域幅制限より大きくすることはできません。
Quality of Service（QoS）
511
QoS の概念
Quality of Service (QoS)
QoS ポリシー
QoS 設定では、QoS ポリシーにより、1 つの定義済みパラメータまたは複数のパラメータを使
用して QoS 処理（優先処理または帯域幅制限）を必要とするトラフィックを識別し、それを
1 つのクラスに割り当てます。
セキュリティポリシーに似た QoS ポリシーを使用して、トラフィックを識別する以下の基準を
設定します。

アプリケーションとアプリケーショングループ。

送信元ゾーン、送信元アドレス、および送信元ユーザー。

宛先ゾーンと宛先アドレス。

特定の TCP や UDP のポート番号に制限されるサービスまたはサービスグループ。

カスタム URL カテゴリを含む URL カテゴリ。
Web インターフェイスの QoS ポリシー（[Policies] > [QoS]）により、トラフィックを指定する
ために使用される基準を QoS クラスに関連付けることができます。
QoS 出力インターフェイス
QoS 処理対象として識別されたトラフィックの出力インターフェイスで QoS プロファイルを有
効にすれば、QoS 設定が完了します。QoS トラフィックの入力インターフェイスは、トラ
フィックがファイアウォールに入るときのインターフェイスです。QoS トラフィックの出力イ
ンターフェイスは、トラフィックがファイアウォールから出るときのインターフェイスです。
QoS は常時有効で、トラフィックフローの出力インターフェイスで適用されます。QoS 設定の
出力インターフェイスは、ファイアウォールの外向きまたは内向きのインターフェイスであ
り、QoS 処理の対象となるトラフィックのフローに応じて決まります。
たとえば、企業ネットワークで特定の Web サイトからの従業員のダウンロードトラフィックを制
限する場合、QoS 設定での出力インターフェイスはファイアウォールの内部インターフェイスと
なります。これは、インターネット側から出発してファイアウォールを通過し、企業ネットワー
クに送信されるトラフィックフローだからです。一方、同じ Web サイトに向かう従業員のアップ
ロードトラフィックを制限する場合、QoS 設定での出力インターフェイスはファイアウォールの
外部インターフェイスです。これは、制限対象のトラフィックが、企業ネットワークから出発し
てファイアウォールを通過し、インターネット側に送信されるフローだからです。
512
Quality of Service（QoS）
Quality of Service (QoS)
QoS の概念
「QoS 処理が必要であると確認されたアプリケーションの出力インターフェイスを特定しま
す。」については、ステップ 3 を参照してください。
QoS のクリアテキストおよびトンネル対象トラフィック
QoS の物理インターフェイス設定内では、インターフェイスが送信元となるクリアテキストト
ラフィックとトンネル対象トラフィックの QoS 設定をより詳細に行うことができます。個々の
トンネルインターフェイスには、別々の QoS プロファイルを割り当てることができます。クリ
アテキストトラフィックには、トラフィックの送信元インターフェイスと送信元サブネットに
応じてさまざまな QoS プロファイルを割り当てることができます。この場合、送信元インター
フェイスと送信元サブネットは、1 つの QoS プロファイルに関連付けることができます。特定
の QoS 処理の対象とするクリアテキストまたはトンネル対象トラフィックを選択しないように
する場合、インターフェイスで QoS を有効にするには、デフォルトの QoS プロファイルを選択
して、特定のトンネルインターフェイスのトラフィックをシェーピングする方法、またはクリ
アテキストトラフィックの場合には送信元インターフェイスと送信元サブネットを決定する必
要があります。
Palo Alto Networks ファイアウォールでの「トンネル対象トラフィック」は、特にトンネル
モードの IPSec トラフィックなどのトンネルインターフェイスのトラフィックを指します。
Quality of Service（QoS）
513
QoS の設定
Quality of Service (QoS)
QoS の設定
以下のタスクを実行して Quality of Service (QoS) を設定します。このタスクには、QoS プロファ
イルの作成方法、QoS ポリシーの作成方法、およびインターフェイスで QoS を有効にする方法
なども含まれます。
QoS の設定
ステップ 1
514
QoS を適用するトラフィックを [ACC] を選択して [ アプリケーションコマンドセンター]
ページを表示します。[ACC] ページの設定項目およびグラ
特定します。
フを使用して、アプリケーション、URL フィルタリング、
この例では、QoS を使用して
脅威防御、データフィルタリング、および HIP マッチに
Web 閲覧を制限する方法を示
関連した傾向およびトラフィックを表示します。
します。
任意のアプリケーション名をクリックして、詳細なアプリ
ケーション情報を表示します。
Quality of Service（QoS）
Quality of Service (QoS)
QoS の設定
QoS の設定（続き）
ステップ 2
QoS 処理が必要であると確認さ [Monitor] > [ ログ ] > [ トラフィック ] の順に選択して、デ
れたアプリケーションの出力イバイスのトラフィックログを表示します。
ンターフェイスを特定します。フィルタリングして特定のアプリケーションのログのみを
ヒント : トラフィックの出力イ表示するには、以下の手順を実行します。
ンターフェイスは、トラ
フィックフローによって決ま
ります。受信トラフィックを
シェーピングする場合、出力
インターフェイスは内向きイ
ンターフェイスです。送信ト
ラフィックをシェーピングす
る場合、出力インターフェイ
スは外向きインターフェイス
です。
• アプリケーションのエントリが表示された場合は、[ アプ
リケーション ] 列の下線の付いたリンクをクリックし、
[ サブミット ] アイコンをクリックします。
• アプリケーションのエントリが表示されない場合は、ロ
グの追加アイコンをクリックして、アプリケーションを
検索します。
トラフィックログの [ 出力インターフェイス ] には、各ア
プリケーションの出力インターフェイスが表示されます。
デフォルトで表示されていない場合に [ 出力インターフェ
イス ] 列を表示するには、以下の手順を実行します。
• 任意の列ヘッダーをクリックして、ログに列を追加し
ます。
• 任意のエントリの左側にある拡大鏡アイコンをクリック
して、詳細ログを表示します。[ 宛先 ] セクションのリス
トにアプリケーションの出力インターフェイスが表示さ
れます。
この例の場合、web-browsing トラフィックの出力インター
フェイスは ethernet 1/1 です。
Quality of Service（QoS）
515
QoS の設定
Quality of Service (QoS)
QoS の設定（続き）
ステップ 3
Q o S プロファイルを作成し 1.
ます。
QoS プロファイル名をクリッ
クすることにより、デフォル 2.
トを含む任意の既存 QoS プロ 3.
ファイルを編集できます。
4.
[Network] > [ ネットワークプロファイル ] > [QoS プロ
ファイル ] の順に選択し、[ 追加 ] をクリックして [QoS
プロファイル ] ダイアログを開きます。
分かりやすい [ プロファイル名 ] を入力します。
[ 最大保証帯域出力側 ] を入力して、QoS プロファイル
の全体的な帯域幅割り当てを設定します。
[ 最低保証帯域出力側 ] を入力して、QoS プロファイル
の保証帯域幅を設定します。
QoS プロファイルの出力保証制限を超えるトラ
フィックは、ベストエフォートであり、保証さ
れません。
5.
[ クラス ] セクションで、最大で 8 つの個々の QoS クラ
スの処理方法を指定します。
a. [ 追加 ] をクリックして、クラスを QoS プロファイル
に追加します。
b. クラスの [ 優先順位 ] を選択します。
c. クラスの [ 最大保証帯域出力側 ] を入力して、個々
のクラスの全体の帯域幅制限を設定します。
d. クラスの [ 最低保証帯域出力側 ] を入力して、個々
のクラスの保証帯域幅を設定します。
6.
[OK] をクリックして QoS プロファイルを閉じます。
以下の例において、Limit Web Browsing という名前の QoS プ
ロファイルでは、class 2 トラフィックとして指定されたト
ラフィックの最大帯域幅を 50 Mbps に、保証帯域幅を 2
Mbps に制限しています。QoS ポリシーで class 2 に関連付け
られているトラフィック（ステップ 4）は、すべてこれら
の制限値に制限されます。
516
Quality of Service（QoS）
QoS の設定
Quality of Service (QoS)
QoS の設定（続き）
ステップ 4
QoS ポリシーを作成します。
1.
[Policies] > [QoS] の順に選択し、[ 追加 ] をクリックし
て [QoS ポリシールール ] ダイアログを開きます。
2.
[ 全般 ] タブで、QoS ポリシールールに分かりやすい
[ 名前 ] を付けます。
3.
QoS ポリシールールを適用するトラフィックを指定しま
す。[ 送信元 ]、[ 宛先 ]、[ アプリケーション ]、および
[ サービス /URL カテゴリ ] タブを使用して、トラフィッ
クを識別するための照合パラメータを定義します。
たとえば、[ アプリケーション ] タブを選択して [ 追加 ]
をクリックし、web-browsing を選択して、QoS ポリシー
ルールをそのアプリケーションに適用します。
（任意）追加のパラメータを定義します。たとえば、
[ 送信元 ] タブで [ 追加 ] をクリックして、特定のユー
ザー（この場合は user1）の web-browsing を制限します。
Quality of Service（QoS）
4.
[ その他の設定 ] タブで、QoS ポリシールールに割り当
てる QoS クラスを選択します。たとえば、user1 の
web-browsing トラフィックを class 2 に割り当てます。
5.
[OK] をクリックして QoS ポリシールールを保存します。
517
QoS の設定
Quality of Service (QoS)
QoS の設定（続き）
ステップ 5
物理インターフェイスで QoS プ 1.
ロファイルを有効にします。
2.
物理インターフェイスの QoS
の設定に加え、クリアテキス
トおよびトンネル対象トラ
フィックを選択して、特定の
QoS 処理を設定できます。
[Network] > [QoS] の順に選択し、[ 追加 ] をクリック
して [QoS インターフェイス ] ダイアログを開きます。
物理インターフェイスで QoS を有効にします。
a. [ 物理インターフェイス ] タブで、QoS プロファイル
を適用するインターフェイスの [ インターフェイス
名 ] を選択します。
この例の場合、web-browsing トラフィックの出力イ
ンターフェイスは ethernet 1/1 です（ステップ 2 を
参照）。
トラフィックの送信元イン
ターフェイスと送信元サブ
b. [ このインターフェイスの QoS 機能をオンにする ] を
ネットを QoS の識別と処理
選択します。
の条件として使用して、クリ
アテキストトラフィックに 3. [ 物理インターフェイス ] タブで、すべての [ クリアテ
キスト ] トラフィックにデフォルトで適用する QoS プ
特定の設定を行うには、ス
ロファイルを選択します。
テップ 5 - 4 を実行します。
（任意）[ トンネルインターフェイス ] フィールドを使
QoS プロファイルを特定のト
用して、QoS プロファイルをすべてのトンネル対象ト
ンネル対象トラフィックに
ラフィックにデフォルトで適用します。
適用するには、ステップ 5 - 5 たとえば、ethernet 1/1 で QoS を有効にし、クリアテキスト
を実行します。
トラフィックのデフォルト QoS プロファイルとして Limit
Web
Browsing という名前の QoS プロファイルを適用します。
詳細は、「QoS のクリアテ
キストおよびトンネル対象
トラフィック」を参照して
ください。
『製品仕様』のサマリー
を参照して、使用してい
るプラットフォームでサ
ブインターフェイスでの
QoS の有効化がサポート
されているかどうか確認
4.
してください。
QoS インターフェイスの
[ 最大保証帯域出力側 ]
値は、常に定義しておく
ことをお勧めします。
（任意）[クリアテキストトラフィック] タブで、クリア
テキストトラフィックの QoS をより詳細に設定します。
• クリアテキストトラフィックの [ 最低保証帯域出力側 ]
および [ 最大保証帯域出力側 ] の帯域幅を設定します。
• [ 追加 ] をクリックして、選択したクリアテキストト
ラフィックに QoS プロファイルを適用し、さらに、
送信元インターフェイスと送信元サブネット（QoS
ノードを作成）に従って QoS 処理を行うトラフィッ
クを選択します。
5.
（任意）[ トンネル対象トラフィック ] タブで、トンネ
ルインターフェイスの QoS をより詳細に設定します。
• トンネル対象トラフィックの [最低保証帯域出力側] お
よび [ 最大保証帯域出力側 ] の帯域幅を設定します。
• [追加] をクリックし、選択したトンネルインターフェ
イスに QoS プロファイルを関連付けます。
6.
7.
518
[OK] をクリックして QoS プロファイルを閉じます。
Commit 変更を [ コミット ] して、インターフェイスで
その QoS プロファイルを有効にします。
Quality of Service（QoS）
Quality of Service (QoS)
QoS の設定
QoS の設定（続き）
ステップ 6
QoS 設定を確認します。
[Network] > [QoS] の順に選択して [QoS ポリシー] ページ
を表示し、[ 統計 ] リンクをクリックして、QoS 帯域幅、選
択した QoS ノードまたはクラスのアクティブなセッショ
ン、および選択した QoS ノードまたはクラスのアクティブ
なアプリケーションを表示します。
たとえば、QoS が有効な ethernet 1/1 の統計を表示します。
class 2 のトラフィックの保証帯域幅は 2 Mbps に、最大帯域
幅は 50 Mbps に制限されています。
続けて該当するタブをクリックし、アプリケーション、送
信元ユーザー、宛先ユーザー、セキュリティルール、およ
び QoS ルールに関する詳細を表示します。
[QoS 統計情報 ] ウィンドウに表示される帯域幅制限
には、ハードウェアの調整ファクタが含まれます。
Quality of Service（QoS）
519
仮想システムの QoS の設定
Quality of Service (QoS)
仮想システムの QoS の設定
QoS は、Palo Alto Networks ファイアウォール内の 1 つの仮想システム、または複数の仮想システム
に対して設定できます。仮想システムは独立ファイアウォールであるため、1 つの仮想システム
に対して QoS を個別に設定し、QoS 設定をその仮想システムにのみ適用する必要があります。
仮想システムに QoS を設定する方法は、物理ファイアウォールに QoS を設定する方法と類似し
ています。異なるのは、仮想システムに QoS を設定する場合は、トラフィックフローの送信元
と宛先のゾーン、および送信元と宛先のインターフェイスを指定する必要がある点です。仮想
システムでは、トラフィックフローが通過する物理的境界（物理インターフェイスなど）が設
定されていません。トラフィックフローの範囲は仮想環境内の複数の仮想システムに及ぶた
め、トラフィックフローの送信元と宛先のゾーンおよびインターフェイスを指定することで、
その仮想システムのみでトラフィックを制御およびシェーピングすることができます。
以下の例は、ファイアウォール内に設定された 2 つの仮想システムを示しています。VSYS 1
（紫）および VSYS 2（赤）のそれぞれに、2 つの明確なトラフィックフローの優先順位を設定
するか制限する目的で QoS が設定されており、それぞれの対応する紫 (VSYS 1) および赤 (VSYS 2)
の線で表示されています。QoS ノードは、各仮想システムで QoS トラフィックが識別されて
シェーピングされる位置を示します。
仮想システムとその設定方法の詳細は、『Virtual Systems (VSYS) Tech Note』を参照してください。
520
Quality of Service（QoS）
Quality of Service (QoS)
仮想システムの QoS の設定
仮想システム環境での QoS の設定
ステップ 1
各仮想システムに、適切なイ • 設定されているインターフェイスを表示するには、
[Network] > [ インターフェイス ] の順に選択します。
ンターフェイス、仮想ルー
ター、およびセキュリティ
• 設定されているゾーンを表示するには、[Network] > [ ゾー
ゾーンが関連付けられている
ン ] の順に選択します。
ことを確認します。
• 定義されている仮想ルーターの情報を表示するには、
[Network] > [ 仮想ルーター] の順に選択します。
ステップ 2
QoS を適用するトラフィックを [ACC] を選択して [ アプリケーションコマンドセンター]
指定します。
ページを表示します。[ACC] ページの設定項目およびグラ
フを使用して、アプリケーション、URL フィルタリング、
脅威防御、データフィルタリング、および HIP マッチに
関連した傾向およびトラフィックを表示します。
特定の仮想システムの情報を表示するには、[ 仮想システム ]
ドロップダウンから仮想システムを選択します。
任意のアプリケーション名をクリックして、詳細なアプリ
ケーション情報を表示します。
Quality of Service（QoS）
521
仮想システムの QoS の設定
Quality of Service (QoS)
仮想システム環境での QoS の設定（続き）
ステップ 3
QoS 処理が必要であると確認さ [Monitor] > [ ログ ] > [ トラフィック ] の順に選択して、デ
れたアプリケーションの出力イバイスのトラフィックログを表示します。各エントリに
ンターフェイスを特定します。は、仮想システム環境で QoS を設定するために必要な情報
を含む列を表示するオプションがあります。
仮想システム環境では、仮想
システム上のトラフィックの • 仮想システム
出力点で、トラフィックに • 出力インターフェイス
QoS が適用されます。仮想シ
• 入力インターフェイス
ステムの設定および QoS ポリ
シーに応じて、QoS トラフィッ • 送信元ゾーン
クの出力点は、物理インター • 宛先ゾーン
フェイスに関連付けるか、設
定されたゾーンにすることがデフォルトで表示されていない場合にその列を表示するに
は、以下の手順を実行します。
できます。
• 任意の列ヘッダーをクリックして、ログに列を追加し
この例は、vsys 1 での
ます。
web-browsing トラフィックの制
限方法を示しています。
• 任意のエントリの左側にある拡大鏡アイコンをクリックし
てアプリケーションの出力インターフェイスを含む詳細ロ
グを表示します。同時に [ 送信元 ] と [ 宛先 ] のセクション
には、送信元ゾーンと宛先ゾーンが表示されます。
たとえば、VSYS 1 からの web-browsing トラフィックの場合
は、入力インターフェイスが ethernet 1/2、出力インター
フェイスが ethernet 1/1、送信元ゾーンが trust、および宛先
ゾーンが untrust です。
522
Quality of Service（QoS）
仮想システムの QoS の設定
Quality of Service (QoS)
仮想システム環境での QoS の設定（続き）
ステップ 4
Q o S プロファイルを作成し 1.
ます。
プロファイル名をクリックす
ることにより、デフォルトを 2.
含む任意の既存 QoS プロファ 3.
イルを編集できます。
4.
[Network] > [ ネットワークプロファイル ] > [QoS プロ
ファイル ] の順に選択し、[ 追加 ] をクリックして [QoS
プロファイル ] ダイアログを開きます。
分かりやすい [ プロファイル名 ] を入力します。
[ 最大保証帯域出力側 ] を入力して、QoS プロファイル
の全体的な帯域幅割り当てを設定します。
[ 最低保証帯域出力側 ] を入力して、QoS プロファイル
の保証帯域幅を設定します。
QoS プロファイルの出力保証制限を超えるトラ
フィックは、ベストエフォートであり、保証さ
れません。
5.
[QoS プロファイル ] の [ クラス ] セクションで、最大で
8 つの個々の QoS クラスの処理方法を指定します。
a. [ 追加 ] をクリックして、クラスを QoS プロファイル
に追加します。
b. クラスの [ 優先順位 ] を選択します。
c. クラスの [ 最大保証帯域出力側 ] を入力して、個々
のクラスの全体の帯域幅制限を設定します。
d. クラスの [ 最低保証帯域出力側 ] を入力して、個々
のクラスの保証帯域幅を設定します。
6.
Quality of Service（QoS）
[OK] をクリックして QoS プロファイルを閉じます。
523
仮想システムの QoS の設定
Quality of Service (QoS)
仮想システム環境での QoS の設定（続き）
ステップ 5
QoS ポリシーを作成します。
1.
マルチ VSYS 環境では、トラ
フィックの範囲が、QoS を設 2.
定する仮想システム上の入力
点より前の複数の仮想システ 3.
ムに及ぶ可能性があります。
QoS トラフィックの送信元ゾー
ンと宛先ゾーンを指定する
と、特定の仮想システム（こ
の例では vsys 1）を通過すると
きにトラフィックが正しく識
別され、指定された仮想シス
テムの場合にのみトラフィッ
クに QoS が適用されます（設
定されているその他の仮想シ
ステムのトラフィックには適
用されません）。
524
[Policies] > [QoS] の順に選択し、[ 追加 ] をクリックし
て [QoS ポリシールール ] ダイアログを開きます。
[ 全般 ] タブで、QoS ポリシールールに分かりやすい
[ 名前 ] を付けます。
QoS ポリシールールを適用するトラフィックを指定しま
す。[ 送信元 ]、[ 宛先 ]、[ アプリケーション ]、および
[ サービス /URL カテゴリ ] タブを使用して、トラフィッ
クを識別するための照合パラメータを定義します。
たとえば、[ アプリケーション ] タブを選択して [ 追加 ]
をクリックし、web-browsing を選択して、QoS ポリ
シールールをそのアプリケーションに適用します。
4.
[ 送信元 ] タブで [ 追加 ] をクリックして、vsys 1 の
web-browsing トラフィックの送信元ゾーンを選択します。
5.
[ 宛先 ] タブで [ 追加 ] をクリックして、vsys 1 の
web-browsing トラフィックの宛先ゾーンを選択します。
6.
[ その他の設定 ] タブで、その QoS ポリシールールに
割り当てる [QoS クラス ] を選択します。たとえば、
vsys 1 の web-browsing トラフィックにクラス 2 を割り当
てます。
7.
[OK] をクリックして QoS ポリシールールを保存し
ます。
Quality of Service（QoS）
仮想システムの QoS の設定
Quality of Service (QoS)
仮想システム環境での QoS の設定（続き）
ステップ 6
物理インターフェイスで QoS プ 1.
ロファイルを有効にします。
QoS インターフェイスの 2.
[ 最大保証帯域出力側 ]
値は、常に定義しておく
ことをお勧めします。
[Network] > [QoS] の順に選択し、[ 追加 ] をクリックし
て [QoS インターフェイス ] ダイアログを開きます。
物理インターフェイスで QoS を有効にします。
a. [ 物理インターフェイス ] タブで、QoS プロファイルを
適用するインターフェイスの [ インターフェイス名 ]
を選択します。
この例の場合、vsys 1 での web-browsing トラフィック
の出力インターフェイスは ethernet 1/1 です（ステッ
プ 2 を参照）。
b. [ このインターフェイスの QoS 機能をオンにする ] を
選択します。
3.
[ 物理インターフェイス ] タブで、すべての [ クリアテ
キスト ] トラフィックに適用するデフォルトの QoS プ
ロファイルを選択します。
（任意）[ トンネルインターフェイス ] フィールドを使
用して、デフォルトの QoS プロファイルをすべてのト
ンネル対象トラフィックに適用します。
4.
（任意）[クリアテキストトラフィック] タブで、クリア
テキストトラフィックの追加の QoS 設定を行います。
• クリアテキストトラフィックの [ 最低保証帯域出力
側 ] および [ 最大保証帯域出力側 ] の帯域幅を設定
します。
• [ 追加 ] をクリックして、選択したクリアテキストト
ラフィックに QoS プロファイルを適用し、さらに、
送信元インターフェイスと送信元サブネット（QoS
ノードを作成）に従って QoS 処理を行うトラフィッ
クを選択します。
5.
（任意）[ トンネル対象トラフィック ] タブで、トンネ
ルインターフェイスの追加の QoS 設定を行います。
• トンネル対象トラフィックの [ 最低保証帯域出力側 ]
および [最大保証帯域出力側] の帯域幅を設定します。
• [追加] をクリックし、選択したトンネルインターフェ
イスに QoS プロファイルを関連付けます。
Quality of Service（QoS）
6.
[OK] をクリックして、変更を保存します。
7.
Commit 変更を [ コミット ] します。
525
仮想システムの QoS の設定
Quality of Service (QoS)
仮想システム環境での QoS の設定（続き）
ステップ 7
QoS 設定を確認します。
• [Network] > [QoS] の順に選択して、[QoS ポリシー] ペー
ジを表示します。[QoS ポリシー] ページで、QoS が有効
になっており、[ 統計 ] リンクが含まれることを確認しま
す。[ 統計 ] リンクをクリックして、QoS 帯域幅、選択し
た QoS ノードまたはクラスのアクティブなセッション、
および選択した QoS ノードまたはクラスのアクティブな
アプリケーションを表示します。
• マルチ VSYS 環境では、セッションが複数のシステムをま
たぐことはできません。トラフィックが複数の仮想システ
ムを通過する場合は、1 つのトラフィックフローについて
複数のセッションが作成されます。ファイアウォール上で
実行されているセッションを参照し、適用されている QoS
ルールと QoS クラスを表示するには、[Monitor] > [ セッ
ションブラウザ ] の順に選択します。
526
Quality of Service（QoS）
Quality of Service (QoS)
QoS のユースケース例
QoS のユースケース例
以下のユースケースは、一般的なシナリオでの QoS の使用方法を示しています。

ユースケース : 単一ユーザーの場合の QoS

音声およびビデオアプリケーションの QoS
Quality of Service（QoS）
527
QoS のユースケース例
Quality of Service (QoS)
ユースケース : 単一ユーザーの場合の QoS
ある企業の CEO が、ネットワーク使用量が多い時間帯になると、アプリケーションにアクセス
できなくなり、重要な業務連絡に十分に応答できないことに気付きました。IT 管理者は、CEO
が送受信するすべてのトラフィックが他の従業員のトラフィックよりも優先的に処理されるよ
うにして、CEO が重要なネットワークリソースにアクセスできることはもとより、アクセス時
のパフォーマンスも十分に得られることを保証する必要があります。
単一ユーザーへの QoS の適用
ステップ 1
管理者は、QoS プロファイル CEO_traffic を作成して、CEO が送信するトラフィックが企業
ネットワークから出るときの処理とシェーピングの方法を定義します。
管理者は、50 Mbps を保証帯域（[ 最低保証帯域出力側 ]）として割り当て、ネットワークの
輻輳状態に関係なく常にその帯域幅（CEO の必要量を超える）が CEO に割り当てられる
ように保証します。
管理者は、次に class1 トラフィックの優先順位を high に指定し、プロファイルの最大帯域
幅使用量（[ 最大保証帯域出力側 ]）を、管理者が QoS を有効にするインターフェイスの最
大帯域幅と同じ 1000 Mbps に設定します。管理者は、いかなる場合でも CEO の帯域幅使用
量が制約されないような設定を選択しています。
ベストプラクティスでは、プロファイルの最大帯域幅がインターフェイスの最大帯
域幅と一致する場合でも、QoS プロファイルの [ 最大保証帯域出力側 ] フィールドに
値を入力します。QoS プロファイルの最大帯域幅は、QoS を有効にする予定のイン
ターフェイスの最大帯域幅を決して超えないようにする必要があります。
528
Quality of Service（QoS）
Quality of Service (QoS)
QoS のユースケース例
単一ユーザーへの QoS の適用（続き）
ステップ 2
管理者は、QoS ポリシーを作成して CEO のトラフィックを識別し（[Policies] > [QoS]）、
QoS プロファイルで定義したクラスをそのトラフィックに割り当てます（ステップ 1 を参
照）。User-ID が設定されるため、管理者は QoS ポリシーの [ 送信元 ] タブを使用すること
により、企業ネットワークユーザー名によって CEO のトラフィックを個別に識別します。
（User-ID が設定されていない場合、管理者は [ 送信元アドレス ] の下に CEO の IP アドレ
スを [ 追加 ] できます。「User-ID」を参照してください）。
管理者は、CEO のトラフィックを class1 と関連付け（[ その他の設定 ] タブ）、続けて残り
の必須フィールドに値を入力します。つまり管理者は、ポリシーに分かりやすい [ 名前 ]
（[ 全般 ] タブ）を付け、[ 送信元ゾーン ]（[ 送信元 ] タブ）と [ 宛先ゾーン ]（[ 宛先 ] タ
ブ）で [ いずれか ] を選択します。
ステップ 3
これで CEO のトラフィックに class1 が関連付けられたので、管理者は、[ このインターフェ
イスの QoS 機能をオンにする ] をオンにし、トラフィックフローの出力インターフェイス
を選択して、QoS を有効にします。CEO のトラフィックフローの出力インターフェイスは
外向きインターフェイスで、この場合は ethernet 1/2 です。
管理者は、作成した QoS プロファイルと関連 QoS ポリシーによって CEO が送信するすべ
てのトラフィックが保証されるようにするため、CEO_traffic を選択して ethernet 1/2 からの
[ クリアテキスト ] トラフィックに適用します。
Quality of Service（QoS）
529
QoS のユースケース例
Quality of Service (QoS)
単一ユーザーへの QoS の適用（続き）
ステップ 4
QoS 設定のコミット後、管理者は [Network] > [QoS] ページに移動して、外向きインターフェ
イス ethernet 1/2 で QoS プロファイル CEO_traffic が有効になっていることを確認します。
[ 統計 ] をクリックして、CEO が発信するトラフィック (class 1) が ethernet 1/2 から出て行く
ときにどのようにシェーピングされているかを確認します。
このケースでは、単一の送信元ユーザーからのトラフィックに QoS を適用する方法を示します。
ただし、宛先ユーザーへのトラフィックの保証およびシェーピングも行う場合は、同様の QoS
セットアップを設定できます。このワークフローの代わりに、またはそれに加えて、（ステッ
プ 2 で示されているユーザーの送信元情報を指定する代わりに）[Policies] > [QoS] ページで [宛先
アドレス ] としてユーザーの IP アドレスを指定し、次に [Network] > [QoS] ページで、（ステッ
プ 3 で示されている外向きインターフェイスの代わりに）ネットワークの内向きインターフェイ
スで QoS を有効にします。
530
Quality of Service（QoS）
Quality of Service (QoS)
QoS のユースケース例
音声およびビデオアプリケーションの QoS
音声およびビデオトラフィックは、QoS 機能でシェーピングおよび制御する測定量（特に遅延
およびジッター）の影響を大きく受けます。音声およびビデオ送信情報が聞き取り可能で明瞭
であるためには、音声およびビデオパケットがドロップされたり、遅れたり、または不均一に
配信されたりしないようにする必要があります。音声およびビデオアプリケーションの場合の
ベストプラクティスは、帯域幅を保証することのほかに、音声およびビデオトラフィックが優
先されるように保証することです。
この例では、企業の支社の従業員が、ビデオ会議や Voice-over-IP (VoIP) テクノロジを利用して
行われる他の支社、パートナー企業、および顧客との間のビジネス通信で困難を経験してお
り、信頼性を確立することができていません。IT 管理者は、これらの問題に対処するために
QoS を実装し、支社の従業員によるビジネス通信の効果性と信頼性を高めようとしています。
管理者は、送受信両方のネットワークトラフィックに対して QoS を保証するため、ファイア
ウォールの内向きと外向きの両方のインターフェイスで QoS を有効にします。
音声およびビデオアプリケーションの品質保証
ステップ 1
管理者は QoA プロファイルを作成して class 2 を定義します。これにより、class2 に関連付
けられているすべてのトラフィックに優先順位 real-time が設定され、最大帯域幅が 1000 Mbps
のインターフェイスでは、ネットワーク使用量のピーク期間を含め、250 Mbps の帯域幅が
常時保証されます。
real-time 優先順位は、通常、遅延の影響を受けやすいアプリケーションの場合に推奨され、
特に音声およびビデオアプリケーションのパフォーマンスおよび品質を保証する場合に役
立ちます。
管理者は、[Network] > [ ネットワークプロファイル ] > [Qos プロファイル ] ページで [ 追
加 ] をクリックし、[ プロファイル名 ] に「ensure voip-video traffic」と入力し、[ クラス ] で class2
トラフィックを定義します。
Quality of Service（QoS）
531
QoS のユースケース例
Quality of Service (QoS)
音声およびビデオアプリケーションの品質保証（続き）
ステップ 2
管理者は、QoS ポリシーを作成して、音声およびビデオトラフィックを識別します。この
企業には音声およびビデオ用の 1 つの標準アプリケーションがないため、管理者は、他の
支社、パートナー企業、および顧客との通信で一般的な従業員が通常使用するいくつかの
アプリケーションに、確実に QoS が適用されるようにします。管理者は、[Policies] >
[QoS] > [QoS ポリシールール ] > [ アプリケーション ] タブで [ 追加 ] をクリックして、[ ア
プリケーションフィルタ ] ウィンドウを開きます。次に管理者は、QoS を適用するアプリ
ケーションをフィルタするための基準を選択し、サブカテゴリとして voip-video を選択し、
low-risk と widely-used の両方が当てはまる viop-video アプリケーションのみを指定すること
によって対象を絞り込みます。
アプリケーションフィルタは動的なツールであり、QoS ポリシーでアプリケーションの
フィルタリングに使用すると、任意の時点で voip-video、low risk、および widely used の基準を満
たすすべてのアプリケーションに QoS が適用されるようにできます。
管理者は、この [ アプリケーションフィルタ ] に「voip-video-low-risk」という名前を付け、QoS
ポリシーに含めます。
管理者は、この QoS ポリシーに「Voice-Video」という名前を付け、voip-video-low-risk アプリ
ケーションフィルタを class 2 のトラフィック（ステップ 1 で定義）と関連付けます。管理
者は、送受信両方の QoS トラフィックで Voice-Video QoS ポリシーを使用するため、[ 送信元 ]
と [ 宛先 ] の両方の情報を [ いずれか ] に設定します。
532
Quality of Service（QoS）
Quality of Service (QoS)
QoS のユースケース例
音声およびビデオアプリケーションの品質保証（続き）
ステップ 3
管理者は、音声およびビデオ通信の送受信の両方で QoS を確保するため、ネットワークの
外向きインターフェイス（QoS を送信の通信に適用する）と内向きインターフェイス
（QoS を受信の通信に適用する）で QoS を有効にします。
管理者はまず、外向きインターフェイス（この場合は ethernet 1/2）についてステップ 1 で
作成した QoS プロファイル ensure voice-video traffic（このプロファイルで、class1 はステップ 2 で
作成したポリシー Voice-Video と関連付けられます）を有効にします。
次に、内向きインターフェイス（この場合は ethernet 1/1）で同じ QoS プロファイル ensure
voip-video traffic を有効にします。
ステップ 4
管理者は、送受信両方の音声およびビデオトラフィックで QoS が有効になっていることを
確認します。
管理者は、ネットワークの内向きと外向きの両方のインターフェイスで QoS を有効にすることができま
した。これで、ネットワークを出入りする両方向で音声およびビデオアプリケーショントラフィックに
対して real-time 優先順位が保証され、特に遅延およびジッターの影響を受けやすいそれらの通信を使用
して企業内外のビジネス上の通信を行うときの信頼性と効果性が確保されます。
Quality of Service（QoS）
533
QoS のユースケース例
534
Quality of Service (QoS)
Quality of Service（QoS）
VPN
仮想プライベートネットワーク (VPN) は、ユーザー/ システムをローカルエリアネットワーク
(LAN) で接続している場合と同様に、パブリックネットワークでも安全に接続することができ
るトンネルを作成します。VPN トンネルをセットアップするには、互いに認証し、両者間の情
報の流れを暗号化できるデバイスのペアが必要です。デバイスとして使用できるのは、Palo
Alto Networks ファイアウォールのペア、または Palo Alto Networks ファイアウォールと他ベン
ダーの VPN 対応デバイスです。

VPN デプロイメント

サイト間 VPN の概要

サイト間 VPN の概念

サイト間 VPN のセットアップ

サイト間 VPN のクイック設定
仮想プライベートネットワーク
535
VPN デプロイメント
VPN
VPN デプロイメント
Palo Alto Networks ファイアウォールでは、以下の VPN デプロイメントをサポートしています。

サイト間 VPN — 中央サイトとリモートサイトを接続する簡易 VPN、または中央サイトと複
数のリモートサイトを接続するハブアンドスポーク VPN。ファイアウォールはプロトコル
の IP Security (IPSec) セットを使用して、2 つのサイト間のトラフィックの安全なトンネルを
セットアップします。「サイト間 VPN の概要」を参照してください。

リモートユーザーからサイトへの VPN — GlobalProtect エージェントを使用してリモートユー
ザーがファイアウォール経由で安全な接続を確立できるようにするソリューション。このソ
リューションは、SSL および IPSec を使用してユーザーとサイト間の安全な接続を確立しま
す。『GlobalProtect 管理者ガイド』を参照してください。

大規模 VPN — Palo Alto Networks の GlobalProtect 大規模 VPN (LSVPN) は、最大 1024 のサテラ
イトオフィスまで拡張可能なハブアンドスポーク VPN を展開するための簡略化されたメカ
ニズムを提供します。このソリューションを使用するには、Palo Alto Networks ファイア
ウォールをハブおよびすべてのスポークでデプロイする必要があります。デバイスの認証に
証明書を、すべてのコンポーネント間の安全な通信のために SSL を、データの保護のために
IPSec を使用します。「大規模 VPN (LSVPN)」を参照してください。
536
仮想プライベートネットワーク
VPN
VPN デプロイメント
図 : VPN デプロイメント
仮想プライベートネットワーク
537
サイト間 VPN の概要
VPN
サイト間 VPN の概要
2 つのローカルエリアネットワーク (LAN) を接続できるようにする VPN 接続はサイト間 VPN
と呼ばれます。ルートベースの VPN を設定すると、2 つのサイトに設置された Palo Alto
Networks ファイアウォール間、または Palo Alto Networks ファイアウォールと別の場所に設置さ
れたサードパーティのセキュリティデバイスを接続できます。ファイアウォールは、サード
パーティのポリシーベースの VPN デバイスとの相互運用性も確保しています。Palo Alto
Networks ファイアウォールはルートベースの VPN をサポートしています。
Palo Alto Networks ファイアウォールはルートベースの VPN をセットアップし、ファイアウォー
ルは宛先 IP アドレスに基づいてルーティングの判断を行います。トラフィックが VPN トンネ
ル経由で特定の宛先にルーティングされた場合は、VPN トラフィックとして処理されます。
プロトコルの IP Security (IPSec) セットを使用して VPN トラフィックに安全なトンネルをセット
アップすると、TCP/IP パケットの情報の安全が確保されます（トンネルタイプが ESP の場合
は暗号化されます）。IP パケット（ヘッダーおよびペイロード）は別の IP ペイロードに埋め込
まれ、新しいヘッダーが適用され、IPSec トンネルを経由して送信されます。新しいヘッダーの
送信元 IP アドレスはローカル VPN ピアのアドレスであり、宛先 IP アドレスはトンネルの反対
側の VPN ピアのアドレスです。パケットがリモート VPN ピア（トンネルの反対側のファイア
ウォール）に達すると、外部ヘッダーが削除され、元のパケットがその宛先に送信されます。
VPN トンネルをセットアップするには、最初にピアを認証する必要があります。認証に成功し
たら、ピアは暗号化メカニズムおよびアルゴリズムをネゴシエートして、通信を安全にしま
す。Internet Key Exchange (IKE) プロセスが VPN ピアの認証に使用され、VPN 通信を保護するた
めに IPSec Security Associations (SA) がトンネルの両端で定義されます。IKE はデジタル証明書ま
たは事前共有鍵、および Diffie Hellman 鍵を使用して IPSec トンネル用の SA をセットアップしま
す。SA は Security Parameter Index (SPI)、セキュリティプロトコル、暗号化キー、宛先 IP アドレ
スなどの安全な伝送に必要なすべてのパラメータ、暗号化、データ認証、データ整合性、エン
ドポイント認証を指定します。
以下の図は、2 つのサイト間の VPN トンネルを示しています。VPN ピア A によって保護された
クライアントが他のサイトに設置されたサーバーのコンテンツを必要とする場合、VPN ピア A
は VPN ピア B への接続要求を開始します。セキュリティポリシーによって接続が許可される
場合、VPN ピア A は IKE 暗号のプロファイルパラメータ（IKE フェーズ 1）を使用して安全な
接続を確立し、VPN ピア B を認証します。次に、VPN ピア A は IPSec 暗号のプロファイルを使
用して VPN トンネルを確立し、これによって IKE フェーズ 2 パラメータを定義して、2 つのサ
イト間の安全なデータ転送を可能にします。
図 : サイト間 VPN
538
仮想プライベートネットワーク
VPN
サイト間 VPN の概念
サイト間 VPN の概念
VPN 接続により、2 つ以上のサイト間で安全に情報にアクセスできるようになります。リソー
スへの安全なアクセスを可能にして接続の信頼性を高めるために、VPN 接続には以下のコン
ポーネントが必要です。

IKE ゲートウェイ

トンネルインターフェイス

トンネルモニタ

VPN 用の Internet Key Exchange (IKE)
IKE ゲートウェイ
Palo Alto Networks ファイアウォール同士、またはファイアウォールと別のセキュリティデバイ
スが 2 つのネットワーク間で VPN 接続を開始して終了する場合、これらは IKE ゲートウェイと
呼ばれます。VPN トンネルをセットアップして IKE ゲートウェイ間でトラフィックを送信する
には、各ピアにスタティックまたはダイナミックな IP アドレスまたは FQDN が必要です。
VPN ピアは事前共有鍵または証明書を使用して相互に認証します。
ピアは、VPN トンネルをセットアップするためのモード（main または aggressive）と IKE フェー
ズ 1 における SA のライフタイムをネゴシエートする必要があります。main モードはピアの ID
を保護し、トンネルをセットアップするときにより多くのパケットが交換されるため安全性が
高いモードです。両方のピアでサポートされている場合、IKE ネゴシエーションのための推奨
モードは main モードです。aggressive モードは VPN トンネルをセットアップするために使用す
るパケットが少ないため、高速ですが VPN トンネルをセットアップする場合に安全性が劣る選
択肢です。
設定の詳細については、「IKE ゲートウェイのセットアップ」を参照してください。
トンネルインターフェイス
VPN トンネルをセットアップするには、両端のレイヤー 3 インターフェイスに VPN トンネルを
接続して確立するためのファイアウォール用の論理トンネルインターフェイスが必要です。ト
ンネルインターフェイスとは、2 つのエンドポイント間でトラフィックを配信するために使用
される論理（仮想）インターフェイスです。各トンネルインターフェイスの IPSec トンネル数
の上限は 10 個です。つまり、最大 10 個のネットワークにファイアウォール上の同じトンネル
インターフェイスを関連付けられます。
トンネルインターフェイスはポリシーを適用するセキュリティゾーンに属する必要があり、既
存のルーティングインフラストラクチャを使用するには仮想ルーターに割り当てる必要があり
ます。ファイアウォールがルート検索を実行して、使用する適切なトンネルを判断できるよう
に、トンネルインターフェイスと物理インターフェイスが同じ仮想ルーターに割り当てられる
ようにします。
仮想プライベートネットワーク
539
サイト間 VPN の概念
VPN
一般に、トンネルインターフェイスが接続されたレイヤー 3 インターフェイスは、たとえば
Untrust ゾーンなどの外部ゾーンに属します。トンネルインターフェイスは物理インターフェイ
スと同じセキュリティゾーンに配置できますが、安全性と可視性を高めるため、トンネルイン
ターフェイス用に別個のゾーンを作成することができます。トンネルインターフェイス用に、
たとえば VPN ゾーンなどの個別のゾーンを作成する場合、VPN ゾーンと Trust ゾーン間でトラ
フィックが流れるようにセキュリティポリシーを作成する必要があります。
サイト間のトラフィックのルーティングでは、トンネルインターフェイスに IP アドレスは必要
ありません。IP アドレスが必要になるのは、トンネルモニタリングを有効にする場合か、トン
ネル間のトラフィックをルーティングするためにダイナミックルーティングプロトコルを使用
している場合のみです。ダイナミックルーティングでは、トンネル IP アドレスは VPN トンネ
ルへのトラフィックをルーティングするためのネクストホップ IP アドレスとして機能します。
ポリシーベースの VPN を実行する VPN ピアで Palo Alto Networks ファイアウォールを設定して
いる場合、IPSec トンネルをセットアップするときにローカルおよびリモートのプロキシ ID を
設定する必要があります。各ピアは、IKE フェーズ 2 ネゴシエーションを成功させるために、
ここで設定したプロキシ ID をパケットで実際に受信する ID と比較します。複数のトンネルが
必要な場合、各トンネルインターフェイスに一意のプロキシ ID を設定します。1 つのトンネル
インターフェイスに最大 250 個のプロキシ ID を設定できます。各プロキシ ID はファイア
ウォールの IPSec VPN トンネル容量にカウントされます。トンネル容量はファイアウォールの
モデルごとに異なります。
設定の詳細については、「IPSec トンネルのセットアップ」を参照してください。
トンネルモニタ
VPN トンネルでは、トンネルを経由して宛先 IP アドレスへの接続を確認できます。ファイア
ウォールでネットワークモニタリングプロファイルを使用することで、宛先 IP アドレスへの
接続（ICMP を使用）または指定したポーリング間隔でネクストホップを確認し、モニタリン
グ対象 IP アドレスへのアクセスで障害が発生した場合のアクションを指定できます。
宛先 IP にアクセスできない場合、トンネルが回復するのを待機するようにファイアウォールを
設定するか、別のトンネルへの自動フェイルオーバーを設定できます。どちらの場合も、ファ
イアウォールはトンネル障害を警告するシステムログを生成し、IPSec 鍵を再ネゴシエートし
て回復を加速させます。
デフォルトのモニタリングプロファイルは、トンネルが回復するのを待機するように設定され
ています。ポーリング間隔は 3 秒間で、障害しきい値は 5 です。
設定の詳細については、「トンネルモニタリングのセットアップ」を参照してください。
540
仮想プライベートネットワーク
VPN
サイト間 VPN の概念
VPN 用の Internet Key Exchange (IKE)
IKE プロセスにより、トンネル両端の VPN ピアは、相互に合意したキーまたは証明書、および
暗号化方法を使用して、パケットを暗号化および復号化することができます。IKE プロセス
は、IKE フェーズ 1 と IKE フェーズ 2 の 2 つのフェーズで行われます。各フェーズは、暗号プ
ロファイル（IKE プロファイルおよび IPSec 暗号プロファイル）を使用して定義されたキーと暗
号化アルゴリズムを使用し、IKE ネゴシエーションの結果が Security Association (SA) です。SA は
相互に合意されたキーとアルゴリズムのセットで、VPN トンネルでのデータのフローを許可す
るため両方の VPN ピアによって使用されます。以下の図は、VPN トンネルをセットアップす
るための鍵交換プロセスを示しています。
IKE フェーズ 1
このフェーズでは、ファイアウォールは IKE ゲートウェイ設定で定義されたパラメータおよび
IKE 暗号プロファイルを使用して相互に認証し、安全な制御チャネルをセットアップします。
IKE フェーズは、VPN ピアの相互認証に事前共有鍵またはデジタル証明書（公開鍵インフラス
トラクチャ (PKI) を使用）の使用をサポートしています。事前共有鍵は PKI インフラストラク
チャのサポートを必要としないため、小規模なネットワークを保護するための単純なソリュー
ションです。大規模なネットワーク、またはより堅牢な認証セキュリティが必要な実装では、
デジタル証明書の方が適しています。
証明書を使用する場合、証明書を発行する CA が両方のゲートウェイピアによって信頼されて
おり、証明書チェーン内の証明書の最大長が 5 以下であることを確認します。IKE フラグメン
テーションを有効にすると、ファイアウォールは証明書チェーン内の最大 5 個の証明書で IKE
メッセージを再アセンブルし、正常に VPN トンネルを確立できます。
IKE 暗号プロファイルは、IKE SA ネゴシエーションで使用される以下のオプションを定義し
ます。
仮想プライベートネットワーク
541
サイト間 VPN の概念
VPN

IKE 用の対象鍵を生成するための Diffie-Hellman (DH) グループ。Diffie Hellman アルゴリズム
は、一方の秘密鍵ともう一方の公開鍵を使用して共有のシークレットを作成します。これ
は、両方の VPN トンネルピアによって共有される暗号化鍵です。ファイアウォールでサ
ポートされる DH グループは、グループ 1 — 768 ビット、グループ 2 — 1024 ビット（デフォ
ルト）、グループ 5 — 1536 ビット、グループ 14 — 2048 ビットです。

認証オプション — sha1、sha 256、sha 384、sha 512、md5

暗号化アルゴリズム — 3des、aes128、aes192、aes256
IKE フェーズ 2
トンネルが保護されて認証されると、フェーズ 2 では、ネットワーク間でのデータ送受信のた
めにチャネルがさらに保護されます。IKE フェーズ 2 では、プロセスのフェーズ 1 で確立され
たキーと、IKE フェーズ 2 で使用する IPSec プロトコルとキーを定義する IPSec 暗号プロファイ
ルを使用します。
IPSEC は、以下のプロトコルを使用して安全な通信を可能にします。

Encapsulating Security Payload (ESP) — IP パケット全体を暗号化し、送信元を認証してデータの
整合性を確認できます。ESP ではパケットを暗号化して認証する必要がありますが、暗号化
オプションを [ ヌル ] に設定することで暗号化のみまたは認証のみを行うように設定できま
す。認証をせずに暗号化を使用するのは推奨されません。

Authentication Header (AH) — パケットの送信元を認証し、データの整合性を確認します。AH
はデータペイロードを暗号化しないため、データ保護が重要なデプロイメントには適してい
ません。AH は、データ保護が必要でなく、主な懸念がピアの正当性を確認することである
場合によく使用されます。
表 : IPSEC 認証および暗号化でサポートされるアルゴリズム
ESP
AH
サポートされる Diffie Hellman 交換オプション
• グループ 1 — 768 ビット
• グループ 2 — 1024 ビット（デフォルト）
• グループ 5 — 1536 ビット
• グループ 14 — 2048 ビット
• no-pfs — デフォルトでは、Perfect Forward Secrecy (pfs) が有効です。PFS が有効の場合、上
記のグループのいずれかを使用して新しい DH 鍵が IKE フェーズ 2 で生成されます。この
キーは IKE フェーズ 1 で交換されるキーと関係ないため、より安全にデータを送受信でき
ます。
No-pfs は、フェーズ 1 で作成された DH 鍵が更新されず、1 つのキーが IPSEC SA ネゴシ
エーションに使用されることを示しています。両方の VPN ピアを Perfect Forward Secrecy に
ついて有効化または無効化する必要があります。
542
仮想プライベートネットワーク
サイト間 VPN の概念
VPN
ESP
AH
サポートされる暗号化アルゴリズム
• トリプル DES 暗号化
• aes128
• aes192
• aes256
• aes128ccm16
• ヌル
サポートされる認証アルゴリズム
• md5
• md5
• sha 1
• sha 1
• sha 256
• sha 256
• sha 384
• sha 384
• sha512
• sha 512
• none
IPSec VPN トンネルを保護するための方法（IKE フェーズ 2）
IPSec VPN トンネルは、手動キーまたは自動キーを使用して保護できます。さらに、IPSec の設
定オプションには、Diffie-Hellman グループによる鍵共有、暗号化アルゴリズム、およびメッ
セージ認証のためのハッシュなどがあります。

手動キー — 手動キーは一般に、Palo Alto Networks ファイアウォールがレガシーデバイスと
の VPN トンネルを確立しているか、セッションキーを生成するオーバーヘッドを軽減する
場合に使用されます。手動キーを使用する場合、同じキーを両方のピアで設定する必要があ
ります。
ピア間でキー情報をリレーする際にセッションキーが解読されるおそれがあるため、VPN
トンネルを確立する場合、手動キーは推奨されません。キーが解読されると、データの送受
信が保護されなくなります。

自動キー — 自動キーを使用すると、IPSec 暗号プロファイルで定義されたアルゴリズムに基
づいて IPSec トンネルをセットアップしてメンテナンスするためにキーを自動的に生成でき
ます。
仮想プライベートネットワーク
543
サイト間 VPN のセットアップ
VPN
サイト間 VPN のセットアップ
サイト間 VPN をセットアップするには、以下の手順を実行します。

Ethernet インターフェイス、仮想ルーター、およびゾーンが正しく設定されていることを確認
してください。詳細は、「インターフェイスおよびゾーンの設定」を参照してください。

トンネルインターフェイスを作成します。トンネルインターフェイスを別のゾーンに置き、
トンネル対象トラフィックで異なるポリシーを使用できるようにするのが理想的です。

スタティックルートをセットアップするか、またはルーティングプロトコルを割り当て、
VPN トンネルにトラフィックを転送します。ダイナミックルーティング（OSPF、BGP、
RIP がサポートされます）をサポートするには、IP アドレスをトンネルインターフェイス
に割り当てる必要があります。

VPN トンネルの両端にあるピア間の通信を確立するために IKE ゲートウェイを定義します。
また、IKEv1 フェーズ 1 で VPN トンネルをセットアップするために使用する ID、認証、暗
号化のプロトコルおよびアルゴリズムを指定する暗号プロファイルも定義します。「IKE ゲー
トウェイのセットアップ」および「IKE 暗号プロファイルの定義」を参照してください。

VPN を経由してデータを転送する IPSec 接続を確立するために必要なパラメータを設定しま
す。「IPSec トンネルのセットアップ」を参照してください。IKEv1 フェーズ 2 について
は、「IPSec 暗号プロファイルの定義」を参照してください。

（任意）ファイアウォールによる IPSec トンネルのモニター方法を指定します。「トンネル
モニタリングのセットアップ」を参照してください。

セキュリティポリシーを定義し、トラフィックのフィルタリングおよび検証を行います。
セキュリティルールベースの最後に拒否ルールがある場合、許可されていない限りゾーン内の
トラフィックはブロックされます。IKE および IPSec アプリケーションを許可するルールは、
上記の拒否ルールに明示的に含まれている必要があります。
以上の作業を実行すると、トンネルを使用できるようになります。ポリシーで定義されるゾー
ン / アドレスを宛先とするトラフィックは、ルーティングテーブルの宛先ルートに基づいて自
動的に適切にルーティングされ、VPN トラフィックとして処理されます。サイト間 VPN の例
は、「サイト間 VPN のクイック設定」を参照してください。
544
仮想プライベートネットワーク
サイト間 VPN のセットアップ
VPN
IKE ゲートウェイのセットアップ
VPN トンネルをセットアップするには、VPN ピアまたはゲートウェイが事前共有鍵またはデジ
タル証明書を使用して相互に認証し、安全なチャネルを確立して、両側のホスト間でトラ
フィックを保護するために使用される IPSec Security Association (SA) をネゴシエートします。
IKE ゲートウェイのセットアップ
ステップ 1
ステップ 2
ステップ 3
新しい「IKE ゲートウェイ」 1.
を定義します。
[Network] > [ ネットワークプロファイル ] > [IKE ゲー
トウェイ ] の順に選択し、[ 名前 ] フィールドに新しい
ゲートウェイ設定の名前を入力します。
2.
ファイアウォールで発信 [ インターフェイス ] を選択し
ます。
3.
[ ローカル IP アドレス ] ドロップダウンリストから、
VPN 接続のエンドポイントとして使用する IP アドレ
スを選択します。これは、ファイアウォールでパブ
リックにルーティング可能な IP アドレスが設定されて
いる外向きのインターフェイスです。
トンネルの反対側のピアの設 1.
定を定義します。
[ ピア IP タイプ ] でピアが使用する IP アドレスを [ ス
タティック ] と [ ダイナミック ] から選択します。
2.
[ ピア IP アドレス ] がスタティックな場合、ピアの IP
アドレスを入力します。
ピア認証方法を選択します。
• [事前共有鍵] の設定は、ステップ 4 を参照してください。
これは、スタティックなピア • デジタル [証明書] の設定は、ステップ 5 を参照してくだ
さい。
でもダイナミックなピアでも
必要です。
ステップ 4
事前共有鍵を設定します。
1.
トンネル間の認証に使用されるセキュリティキーを入
力します。このキーは、両方のピアで同じである必要
があります。
辞書攻撃で解読されにくいキーを生成します。必要に
応じて、事前共有鍵生成プログラムを使用します。
2.
仮想プライベートネットワーク
ステップ 6 に進みます。
545
サイト間 VPN のセットアップ
VPN
IKE ゲートウェイのセットアップ（続き）
ステップ 5
証明書ベースの認証を設定し 1.
ます。
証明書ベースの認証の前
提条件は以下のようにな
ります。
– 署名付き証明書の取得 : 詳細
は、「ファイアウォールでの
証明書の生成」または「外部
CA からの証明書の取得」を参 2.
照してください。
– 証明書プロファイルの設定 : 証
明書プロファイルでは、IKE
3.
ゲートウェイがそのピアとの
証明書認証をネゴシエートお
よび検証する場合に使用する
設定が定義されています。
「証明書プロファイルの設 4.
定」を参照してください。
5.
546
[ 認証 ] 方法として [ 証明書 ] を選択し、[ ローカル証明
書 ] ドロップダウンリストから署名付き証明書を選択
します。
デバイスが複数の仮想システムで使用できるように
なっており、証明書が 1 つの仮想システムに属してい
る場合、その証明書は、IKE ゲートウェイで使用され
るインターフェイスと同じ仮想システムに存在する必
要があります。
[ ローカル ID] ドロップダウンリストから、[IP address]、
[FQDN (hostname)]、[User FQDN (email address)]、
[Distinguished Name (subject)] のいずれかのタイプを選択
し、その値を入力します。
[ ピア ID] ドロップダウンリストから、[IP address]、
[FQDN (hostname)]、[User FQDN (email address)]、
[Distinguished Name (subject)] のいずれかのタイプを選択
して値を入力します。
使用する [ 証明書プロファイル ] を選択します。
ステップ 6 に進みます。
仮想プライベートネットワーク
サイト間 VPN のセットアップ
VPN
IKE ゲートウェイのセットアップ（続き）
ステップ 6
IKE フェーズ 1 ネゴシエーショ 1.
ンの追加パラメータを設定しま
す — 交換モード、暗号プロ
ファイル、IKE フラグメンテー 2.
ション、デッドピア検出。
[Network] > [ ネットワークプロファイル ] > [IKE ゲー
トウェイ ] の順に選択し、[ 詳細フェーズ 1 のオプショ
ン ] タブを選択します。
[ 交換モード ] として auto、aggressive、または main
を選択します。
デバイスが auto の鍵交換モードを使用するように設定
されている場合、main モードと aggressive モードの両方
のネゴシエーション要求を受け入れることができます
が、可能な場合は常にネゴシエーションを開始して
main モードで鍵交換ができるようにします。
交換モードを auto に設定していない場合、両方
の VPN ピアを同じ交換モードで設定し、各ピア
がネゴシエーション要求を受け入れるようにで
きます。
3.
[IKE 暗号プロファイル ] ドロップダウンリストから既
存のプロファイルを選択するか、デフォルトプロファ
イルのままにします。IKE 暗号プロファイルの詳細
は、「IKE 暗号プロファイルの定義」を参照してくだ
さい。
4.
ファイアウォールが KE 接続に応答するのみで、IKE
接続を開始しないようにするには、[ パッシブモードヲ
有効にする ] をオンにします。
5.
IKE および UDP プロトコルで UDP カプセル化が使用さ
れ、中間 NAT デバイスを通過できるようにするには、
[NAT トラバーサルを有効にする ] をオンにします。
6.
（証明書ベースの認証を使用していて交換モードが
aggressive モードに設定されていない場合のみ）ファ
イアウォールが IKE フラグメンテーションで動作する
ようにするには、[ フラグメンテーションを有効にする ]
をオンにします。
7.
[ デッドピア検出 ] チェックボックスをオンにして、[ 間
隔 ] を入力します（2 ～ 100 秒）。可用性を再確認する
前に、[ 再試行 ] で遅延する時間（2 ～ 100 秒）を定義
します。
デッドピア検出は、IKE フェーズ 1 通知ペイロードを
ピアに送信して確認を待機することで、無効または使
用できない IKE ピアを識別します。
ステップ 7
変更を保存します。
仮想プライベートネットワーク
[OK]、[ コミット ] の順にクリックします。
547
サイト間 VPN のセットアップ
VPN
暗号プロファイルの定義
暗号プロファイルは、2 つの IKE ピア間の認証や暗号化に使用される暗号と、キーのライフタ
イムを指定します。各再ネゴシエーション間の期間はライフタイムとして知られます。指定し
た時間が経過すると、ファイアウォールは新しいキーのセットを再ネゴシエートします。
VPN トンネルを経由した通信を保護するため、ファイアウォールでは、IKE フェーズ 1 とフェー
ス 2 のネゴシエーションの完了に、それぞれ IKE と IPSec 暗号プロファイルが必要です。ファ
イアウォールにはデフォルトの IKE 暗号プロファイルとデフォルトの IPSec 暗号プロファイル
が含まれており、すぐに使用できます。

IKE 暗号プロファイルの定義

IPSec 暗号プロファイルの定義
IKE 暗号プロファイルの定義
IKE 暗号プロファイルは、IKE フェーズ 1 の鍵交換プロセスに使用される暗号化および認証アル
ゴリズムと、キーが有効な期間を指定するキーのライフタイムをセットアップするために使用
されます。プロファイルを呼び出すには、IKE ゲートウェイ設定に関連付ける必要があります。
同じインターフェイスまたはローカル IP アドレスで設定されたすべての IKE ゲートウェイ
は、同じ暗号プロファイルを使用する必要があります。
IKE 暗号プロファイルの定義
ステップ 1
新しい IKE プロファイルを作成 1.
します。
[Network] > [ ネットワークプロファイル ] > [IKE 暗号 ]
の順に選択し、[ 追加 ] をクリックします。
2.
[ 名前 ] フィールドに新しいプロファイルの名前を入力
します。
ステップ 2
鍵交換をセットアップするた [ 追加 ] をクリックし、DH グループに使用するキーの強度
めに使用する DH グループをを選択します。
選択します。
VPN が何をサポートしているか不明な場合、複数の DH グ
ループを選択します。強度の最も高い暗号がトンネルの
セットアップに使用されるように、強度によって暗号のリ
ストを優先順位付けします。
ステップ 3
認証および暗号化アルゴリズ [ 追加 ] をクリックし、IKE ピア間の通信に使用する [ 認証 ]
ムを選択します。
および [ 暗号化 ] アルゴリズムを選択します。
複数のアルゴリズムを選択すると、ピアは両方の IKE ピア
でサポートされている強度の最も高い暗号 / アルゴリズム
を使用できます。
ステップ 4
548
キーが有効な期間を指定しキーが有効な [ ライフタイム ] を選択します。各再ネゴシ
ます。
エーション間の期間はライフタイムとして知られます。指
定した時間が経過すると、ファイアウォールは新しいキー
のセットを再ネゴシエートします。
仮想プライベートネットワーク
サイト間 VPN のセットアップ
VPN
IKE 暗号プロファイルの定義（続き）
ステップ 5
IKE 暗号プロファイルを保存し [OK] をクリックし、[Commit] をクリックします。
ます。
ステップ 6
IKE 暗号プロファイルを IKE 「IKE ゲートウェイのセットアップ」のステップ 6 を参照
ゲートウェイ設定に関連付けしてください。
ます。
IPSec 暗号プロファイルの定義
IPSec 暗号プロファイルは IKE フェーズ 2 で呼び出されます。IKE SA のキーを自動的に生成す
るために自動キー IKE を使用する場合にトンネル内でデータを保護する方法を指定します。
IPSec 暗号プロファイルの定義
ステップ 1
新しい IPSec プロファイルを作 1.
成します。
[Network] > [ ネットワークプロファイル ] > [IPSec 暗
号 ] の順に選択し、[ 追加 ] をクリックします。
2.
[ 名前 ] フィールドに新しいプロファイルの名前を入力
します。
3.
トンネルを通過するデータを保護するために適用する
[IPSec プロトコル ] を ESP と AH から選択します。
4.
[ 追加 ] をクリックし、ESP の [ 認証 ] および [ 暗号化 ]
アルゴリズム、AH の [ 認証 ] アルゴリズムを選択し、
トンネルを経由するデータの転送を保護するために
IKE ピアがキーをネゴシエートできるようにします。
複数のアルゴリズムを選択すると、ピアは両方の IKE
ピアでサポートされている強度の最も高い暗号 / アル
ゴリズムを使用できます。
ステップ 2
IKE フェーズ 2 で IPSec SA に使 1.
用する DH グループを選択し
ます。
[DH グループ ] ドロップダウンから、使用するキーの強
度を選択します。
2.
フェーズ 1 で作成されたキーを更新しない場合、[no-pfs]
を選択すると、現在のキーが IPSEC SA ネゴシエーショ
ンに再利用されます。
仮想プライベートネットワーク
反対側のピアがどのキーの強度をサポートしているか
不明な場合、複数の DH グループを選択します。トン
ネルをセットアップするために最も強度の高い暗号が
使用されます。
549
サイト間 VPN のセットアップ
VPN
IPSec 暗号プロファイルの定義（続き）
ステップ 3
キーの期間、つまり時間とトラ時間とトラフィック量の組み合わせを使用すると、データ
フィックの量を指定します。
の安全性を確保できます。
キーが有効な [ ライフタイム ] または期間を選択します。指
定した時間が経過すると、ファイアウォールは新しいキー
のセットを再ネゴシエートします。
[ライフサイズ]、つまりそれを過ぎるとキーを再ネゴシエー
トする必要のあるデータの量を選択します。
ステップ 4
IPSec プロファイルを保存し [OK] をクリックし、[Commit] をクリックします。
ます。
ステップ 5
IPSec プロファイルを IPSec トステップ 4 を参照してください。
ンネル設定に関連付けます。
550
仮想プライベートネットワーク
サイト間 VPN のセットアップ
VPN
IPSec トンネルのセットアップ
IPSec トンネル設定により、データ（IP パケット）がトンネルを通過するときに、データの認証
や暗号化を行うことができます。
ポリシーベースの VPN をサポートするピアと連携するように Palo Alto Networks ファイアウォー
ルをセットアップしている場合、プロキシ ID を定義する必要があります。ポリシーベースの
VPN をサポートするデバイスは、興味のあるトラフィックが IPSec トンネルを通過するのを許
可するために特定のセキュリティルール / ポリシーまたはアクセスリスト（送信元アドレス、
宛先アドレス、およびポート）を使用します。これらのルールはクイックモード /IKE フェー
ズ 2 ネゴシエーション中に参照され、プロセスの最初または 2 番目のメッセージのプロキシ ID
として交換されます。そのため、ポリシーベースの VPN ピアと連携するように Palo Alto
Networks ファイアウォールを設定している場合、フェーズ 2 ネゴシエーションを成功させるに
は、両方のピアで設定がまったく同じになるようにプロキシ ID を定義する必要があります。
Palo Alto Networks ファイアウォールでルートベース VPN がサポートされているためにプロキシ
ID が設定されていない場合、プロキシ ID として使用されるデフォルト値は、送信元 IP が
0.0.0.0/0、宛先 IP が 0.0.0.0/0、およびアプリケーションが any です。これらの値がピアとの間で
交換されると、VPN 接続のセットアップで障害が発生します。
IPSec トンネルのセットアップ
ステップ 1
[Network] > [IPSec トンネル ] > [ 全般 ] の順に選択し、[ 名前 ] フィールドに新しいトンネ
ルの名前を入力します。
ステップ 2
IPSec トンネルをセットアップするために使用する [ トンネルインターフェイス ] を選択し
ます。
– 新しいトンネルインターフェイスを作成するには、以下の手順を実行します。
1. [Network] > [インターフェイス] > [トンネル] の順に選択し、[追加] をクリックします。
2. [ インターフェイス名 ] フィールドで、「.2」などの数値のサフィックスを指定します。
3. [ 設定 ] タブで、[ セキュリティゾーン ] ドロップダウンリストを展開して以下のように
ゾーンを定義します。
• トンネルの終端点として Trust ゾーンを使用するには、ドロップダウンリストからゾー
ンを選択します。トンネルインターフェイスをパケットがファイアウォールに入る外向
きのインターフェイスとして同じゾーン（および仮想ルーター）に関連付けると、ゾー
ン間ルーティングを作成する必要性が低くなります。
•（推奨）VPN トンネル終端のために個別のゾーンを作成するには、[ 新規 - ゾーン ] をク
リックします。[ ゾーン ] ダイアログの [ 名前 ] で「vpn-corp」などの名前を付けて新しい
ゾーンを定義し、[OK] をクリックします。
4. [ 仮想ルーター] ドロップダウンリストで、[ デフォルト ] を選択します。
5. （任意）IPv4 アドレスをトンネルインターフェイスに割り当てるには、[IPv4] タブを選
択してから [IP] セクションで [ 追加 ] をクリックし、インターフェイスに割り当てる IP ア
ドレスとネットマスク（例 : 10.31.32.1/32）を入力します。
6. IPv6 アドレスをトンネルインターフェイスに割り当てる場合は、ステップ 3 を参照して
ください。
7. インターフェイス設定を保存するには、[OK] をクリックします。
仮想プライベートネットワーク
551
サイト間 VPN のセットアップ
VPN
IPSec トンネルのセットアップ（続き）
ステップ 3
（任意）インターフェイスで 1.
IPv6 を有効化します。
[Network] > [ インターフェイス ] > [ トンネル ] > [IPv6]
の順に選択し、[IPv6] タブを選択します。
2.
[ インターフェイスでの IPv6 の有効化 ] チェックボッ
クスをオンにします。
このオプションを使用すると、IPv6 トラフィックを
IPv4 IPSec トンネル経由でルーティングでき、IPv6 ネッ
トワーク間の機密性が確保されます。IPv6 トラフィッ
クは、IPv4 でカプセル化された後で ESP でカプセル化
されます。IPv6 トラフィックをトンネルにルーティン
グするには、トンネルへのスタティックルートを使用
するか、OSPFv3 を使用するか、ポリシーベースフォ
ワーディング (PBF) ルールを使用してトラフィックを
トンネルに導くことができます。
3.
64 ビット拡張一意 [ インターフェイス ID] を 16 進数形式
で入力します（たとえば、00:26:08:FF:FE:DE:4E:29）。
デフォルトでは、物理インターフェイスの MAC アド
レスから生成された EUI-64 がファイアウォールで使用
されます。
4.
IPv6 の [ アドレス ] を入力するには、[ 追加 ] をクリッ
クして IPv6 アドレスおよびプレフィックス長を入力し
ます（2001:400:f00::1/64 など）。[プレフィックス] が選
択されていない場合、インターフェイスに割り当てる
IPv6 アドレスをアドレステキストボックスですべて指
定します。
a. インターフェイス ID をアドレスのホスト部分に使用
するインターフェイスに IPv6 アドレスを割り当てる
には、[ ホスト部分にインターフェイス ID を使用 ] を
選択します。
b. 最も近いノードを経由するルーティングを含めるに
は [ エニーキャスト ] を選択します。
ステップ 4
552
IPSec トンネルを保護するために使用するキー交換のタイプに応じて、以下のいずれかの手
使用するキーのタイプを選択順に進みます。
します。
• 自動キー交換をセットアップします。
• 自動キー交換をセットアップします。 1.
IKE ゲートウェイを選択します。IKE ゲートウェイを
セットアップするには、「IKE ゲートウェイのセット
アップ」を参照してください。
2.
（任意）デフォルトの IPSec 暗号プロファイルを選択し
ます。新しい IPSec プロファイルを作成するには、
「IPSec 暗号プロファイルの定義」を参照してください。
仮想プライベートネットワーク
サイト間 VPN のセットアップ
VPN
IPSec トンネルのセットアップ（続き）
• 手動キー交換をセットアップします。 1.
ローカルファイアウォールのパラメータをセットアッ
プします。
a. ローカルファイアウォールの [SPI] を指定します。
SPI とは、IPSec トラフィックフロー間の差をアシス
トするためにトンネルする IPSec のヘッダーに追加さ
れる 32 ビット 16 進数です。VPN トンネルを確立す
るために必要な SA を作成するために使用されます。
b. トンネルエンドポイントとなる [ インターフェイス ]
を選択し、任意でトンネルのエンドポイントである
ローカルインターフェイスの IP アドレスを選択し
ます。
c. 使用するプロトコルを [AH] または [ESP] から選択
します。
d. [AH] を選択した場合、ドロップダウンリストから
[ 認証 ] 方法を選択し、[ キー] に続いて [ 再入力キー]
を入力します。
e. [ESP] を選択した場合、ドロップダウンリストから
[ 認証 ] 方法を選択し、[ キー] に続いて [ 再入力キー]
を入力します。次に、[暗号化] 方法を選択して必要に
応じて [ キー] に続いて [ 再入力キー] を入力します。
2.
リモート VPN ピアに関連するパラメータをセットアッ
プします。
a. リモートピアの [SPI] を指定します。
b. [ リモートアドレス ]、つまりリモートピアの IP ア
ドレスを入力します。
ステップ 5
リプレイ攻撃に対して保護し [詳細オプションの表示] チェックボックスをオンにして、
[ リプレイプロテクションを有効にする ] を選択してリプレ
ます。
イ攻撃を検出して無力化します。
リプレイ攻撃は、パケットが
悪意を持って傍受され、再送
信されることによって行われ
ます。
ステップ 6
IP パケットの優先順位または処 [ 詳細オプションの表示 ] セクションで、[TOS ヘッダーの
置について Type of Service ヘッコピー] を選択します。これにより、元の TOS (Type of
Service) 情報を保持するため、カプセル化されたパケット
ダーを保持します。
の内部 IP ヘッダーから外部 IP ヘッダーに TOS ヘッダーを
コピーします。
仮想プライベートネットワーク
553
サイト間 VPN のセットアップ
VPN
IPSec トンネルのセットアップ（続き）
ステップ 7
トンネルモニタリングを有効化デバイス管理者にトンネルの障害についてアラートを送信
し、別のトンネルインターフェイスへの自動フェイルオー
します。
バーを実行するには、このオプションを選択します。
モニタニングする場合
1. トンネルが正常に動作しているかどうかを判別するた
は、トンネルインター
めに、トンネルの反対側の [ 宛先 IP] アドレスを指定し
フェイスに IP アドレス
ます。
を割り当てる必要があり
2. [ プロファイル ] を選択してトンネル障害時のアクショ
ます。
ンを決定します。新しいプロファイルを作成する方法
については、「トンネルモニタリングプロファイルの
定義」を参照してください。
ステップ 8
（VPN ピアがポリシーベースの 1.
VPN を使用する場合のみ必
要）。VPN ピアを識別するため 2.
のプロキシ ID を作成します。
ステップ 9
554
変更を保存します。
[Network] > [IPSec トンネル ] > [ プロキシ ID] の順に
選択します。
[ 追加 ] をクリックして VPN ゲートウェイピアの IP ア
ドレスを入力します。
[OK]、[ コミット ] の順にクリックします。
仮想プライベートネットワーク
サイト間 VPN のセットアップ
VPN
トンネルモニタリングのセットアップ
VPN サービスが中断されないようにするために、ファイアウォールでトンネルモニタリング機
能と一緒にデッドピア検出機能を使用できます。トンネルのステータスをモニタリングするこ
ともできます。これらのモニタリングタスクについては、以下のセクションで説明します。

トンネルモニタリングプロファイルの定義

トンネルの状態の表示
トンネルモニタリングプロファイルの定義
トンネルモニタリングプロファイルにより、VPN ピア間の接続を確認できます。トンネルイ
ンターフェイスが指定した間隔で宛先 IP アドレスに ping を送信するように設定し、トンネル間
の通信が切断された場合のアクションを指定できます。
トンネルモニタリングプロファイルの定義
ステップ 1
[Network] > [ ネットワークプロファイル ] > [ モニター] の順に選択します。デフォルトの
トンネルモニタリングプロファイルが使用できます。
ステップ 2
[ 追加 ] をクリックし、プロファイルの [ 名前 ] を入力します。
ステップ 3
宛先 IP アドレスに到達できない場合の [ アクション ] を選択します。
• 回復を待機 — ファイアウォールはトンネルが回復するのを待機します。ファイアウォー
ルでは、トンネルがまだアクティブであるかのようにして、そのトンネルインターフェ
イスをルーティング決定で使用し続けます。
• フェイルオーバー — バックアップパスが使用できる場合、強制的にトラフィックをバッ
クアップパスに誘導します。ファイアウォールはトンネルインターフェイスを無効化
し、それによってそのインターフェイスを使用するルーティングテーブルのルートが無
効になります。
いずれの場合でも、ファイアウォールは新しい IPSec キーをネゴシエートすることで回復を
早めようとします。
ステップ 4
指定したアクションのトリガーとなる [ 間隔 ] と [ しきい値 ] を指定します。
しきい値は、指定したアクションを行う前に待機するハートビート数を指定します。範囲
は 2 ～ 100、デフォルトは 5 です。
間隔は、ハートビート間の時間を測定します。範囲は 2 ～ 10、デフォルトは 3 秒です。
ステップ 5
モニタリングプロファイルを IPsec トンネル設定に関連付けます。「トンネルモニタリン
グを有効化します。」を参照してください。
仮想プライベートネットワーク
555
サイト間 VPN のセットアップ
VPN
トンネルの状態の表示
トンネルの状態から、有効な IKE フェーズ 1 およびフェーズ 2 SA が確立されているかどうか、
トンネルインターフェイスが起動していてトラフィックを通過させることができるかどうかが
分かります。
トンネルインターフェイスは論理インターフェイスであるため、物理リンクの状態を示すこと
はできません。したがって、トンネルモニタリングを有効にして、トンネルインターフェイス
で IP アドレスへの接続を確認し、パスが使用できるかどうかを判断できるようにする必要があ
ります。IP アドレスに到達できない場合、ファイアウォールはトンネルが回復するのを待機す
るか、フェイルオーバーします。フェイルオーバーが行われると、既存のトンネルはダウンし
て、ルーティング変更がもたらされ、新しいトンネルがセットアップされてトラフィックが転
送されます。
トンネル状態の表示
1.
[Network] > [IPSec トンネル ] の順に選択します。
2.
トンネルの [ 状態 ] を確認します。
• 緑は、有効な IPSec SA トンネルがあることを表します。
• 赤は、IPSec SA が使用できないか、有効期限が切れていることを表します。
3.
IKE ゲートウェイの [ 状態 ] を確認します。
• 緑は、有効な IKE フェーズ 1 SA があることを表します。
• 赤は、IKE フェーズ 1 SA が使用できないか、有効期限が切れていることを表します。
4.
トンネルインターフェイスの [ 状態 ] を確認します。
• 緑は、トンネルインターフェイスが起動していることを表します。
• 赤は、トンネルインターフェイスがダウンしている（トンネルモニタリングが有効になっていて
状態がダウンであるため）ことを表します。
まだ起動していない VPN トンネルのトラブルシューティングを行う方法については、「VPN
エラーメッセージの解釈」を参照してください。
556
仮想プライベートネットワーク
サイト間 VPN のセットアップ
VPN
VPN 接続のテスト
接続のテスト
• トンネルを経由してホストに ping を送信するか、以下の CLI コマンドを使用して IKE フェーズ 1 を開
始します。
test vpn ike-sa gateway gateway_name
• 次に、以下のコマンドを入力して IKE フェーズ 1 がセットアップされているかどうかをテストします。
show vpn ike-sa gateway
gateway_name
出力で、Security Association が表示されているかどうかを確認します。表示されていない場合、システ
ムログメッセージを確認して失敗の理由を見直します。
• トンネルを経由してホストに ping を送信するか、以下の CLI コマンドを使用して IKE フェーズ 2 を開
始します。
test vpn ipsec-sa tunnel
tunnel_name
• 次に、以下のコマンドを入力して IKE フェーズ 1 がセットアップされているかどうかをテストします。
show vpn ipsec-sa tunnel
tunnel_name
出力で、Security Association が表示されているかどうかを確認します。表示されていない場合、システ
ムログメッセージを確認して失敗の理由を見直します。
• トラフィックフロー情報を表示するには、以下のコマンドを使用します。
show vpn-flow
admin@PA-500> show vpn flow
total tunnels configured:
filter - type IPSec, state any
1
total IPSec tunnel configured:
total IPSec tunnel shown:
1
1
name
id
state
local-ip
peer-ip
tunnel-i/f
----------------------------------------------------------------------------vpn-to-siteB
5
active
100.1.1.1
200.1.1.1
tunnel.41
仮想プライベートネットワーク
557
サイト間 VPN のセットアップ
VPN
VPN エラーメッセージの解釈
以下の表に、システムログに記録される一般的な VPN エラーメッセージの一部を示します。
表 : VPN に問題がある場合の Syslog エラーメッセージ
エラーの内容
対処法
IKE phase-1 negotiation
is failed as initiator,
main mode. Failed SA:
x.x.x.x[500]-y.y.y.y[50
0]
cookie:84222f276c2fa2e9
:0000000000000000 due to
timeout.
• IKE ゲートウェイ設定で各 VPN ピアのパブリック IP アドレスが正しい
ことを確認します。
• IP アドレスに ping を送信可能であり、接続の失敗の原因がルーティング
の問題ではないことを確認します。
or
IKE phase 1 negotiation
is failed. Couldn’t find
configuration for IKE
phase-1 request for peer
IP x.x.x.x[1929]
Received unencrypted
notify payload (no
proposal chosen) from IP
x.x.x.x[500] to
y.y.y.y[500], ignored...
IKE 暗号プロファイル設定で、両側のプロポーザルに共通の暗号化、認
証、および DH グループプロポーザルがあることを確認します。
or
IKE phase-1 negotiation
is failed. Unable to
process peer’s SA
payload.
pfs group mismatched:my:
2peer: 0
or
IKE phase-2 negotiation
failed when processing
SA payload. No suitable
proposal found in peer’s
SA payload.
IKE phase-2 negotiation
failed when processing
Proxy ID. Received local
id x.x.x.x/x type IPv4
address protocol 0 port
0, received remote id
y.y.y.y/y type IPv4
address protocol 0 port
0.
558
IPSec 暗号プロファイル設定で、以下を確認します。
• pfs が両方の VPN ピアで有効または無効のいずれかであること
• 各ピアによって提案される DH グループに少なくとも 1 つ共通の DH グ
ループがあること
一方の VPN ピアがポリシーベースの VPN を使用しています。Palo Alto
Networks ファイアウォールでプロキシ ID を設定する必要があります。ス
テップ 8 を参照してください。
仮想プライベートネットワーク
VPN
サイト間 VPN のクイック設定
サイト間 VPN のクイック設定
以下のセクションでは、一般的な VPN デプロイメントのための手順を説明します。

スタティックルーティングを使用したサイト間 VPN

OSPF を使用したサイト間 VPN

スタティックルーティングおよびダイナミックルーティングを使用したサイト間 VPN
スタティックルーティングを使用したサイト間 VPN
以下の例は、スタティックルートを使用する 2 つのサイト間の VPN 接続を示しています。ダイ
ナミックルーティングを使用しない場合、VPN ピア A および VPN ピア B のトンネルインター
フェイスに IP アドレスは必要ありません。これは、ファイアウォールが、サイト間のトラ
フィックのルーティングのために自動的にトンネルインターフェイスをネクストホップとして
使用するためです。ただし、トンネルモニタリングを有効化するために、スタティック IP アド
レスが各トンネルインターフェイスに割り当てられています。
仮想プライベートネットワーク
559
サイト間 VPN のクイック設定
VPN
クイック設定 : スタティックルーティングを使用したサイト間 VPN
ステップ 1
レイヤー 3 インターフェイスを 1.
設定します。
このインターフェイスが IKE
フェーズ 1 トンネルに使用され 2.
ます。
3.
[Network] > [ インターフェイス ] > [Ethernet] の順に
選択し、VPN について設定するインターフェイスを選
択します。
[ インターフェイスタイプ ] ドロップダウンリストから
[ レイヤー 3] を選択します。
[設定] タブでインターフェイスが属する [セキュリティ
ゾーン ] を選択します。
• インターフェイスは、信頼されるネットワークの外部
のゾーンからアクセスできる必要があります。VPN
トラフィックを可視化して制御するために、専用の
VPN ゾーンを作成することを検討してください。
• まだゾーンを作成していない場合は、[ セキュリティ
ゾーン ] ドロップダウンリストから [ 新規 - ゾーン ] を
選択し、新しいゾーンの [ 名前 ] を定義してから [OK]
をクリックします。
4.
使用する [ 仮想ルーター] を選択します。
5.
IP アドレスをインターフェイスに割り当てるには、[IPv4]
タブを選択してから IP セクションで [ 追加 ] をクリッ
クし、インターフェイスに割り当てる IP アドレスと
ネットマスク（例 : 192.168.210.26/24）を入力します。
6.
インターフェイス設定を保存するには、[OK] をクリッ
クします。
この例では、VPN ピア A の設定は以下のようにな
ります。
•
•
•
•
インターフェイス — ethernet1/7
セキュリティゾーン — Untrust
仮想ルーター — デフォルト
IPv4 — 192.168.210.26/24
VPN ピア B の設定は以下のようになります。
•
•
•
•
560
インターフェイス — ethernet1/11
セキュリティゾーン — Untrust
仮想ルーター — デフォルト
IPv4 — 192.168.210.120/24
仮想プライベートネットワーク
サイト間 VPN のクイック設定
VPN
クイック設定 : スタティックルーティングを使用したサイト間 VPN（続き）
ステップ 2
トンネルインターフェイスを作 1.
成し、仮想ルーターおよびセ
キュリティゾーンに関連付け 2.
ます。
3.
[Network] > [ インターフェイス ] > [ トンネル ] の順に
選択し、[ 追加 ] をクリックします。
[インターフェイス名] フィールドで、「.1」などの数値
のサフィックスを指定します。
[ 設定 ] タブで、[ セキュリティゾーン ] ドロップダウン
リストを展開して以下のようにゾーンを定義します。
• トンネルの終端点として Trust ゾーンを使用するには、
ドロップダウンリストからゾーンを選択します。
• （推奨）VPN トンネルの終端のゾーンを別に作成す
るには、[ 新規ゾーン ] をクリックします。[ ゾーン ]
ダイアログの [ 名前 ] で「vpn-tun」などの名前を付け
て新しいゾーンを定義し、[OK] をクリックします。
4.
[ 仮想ルーター] を選択します。
5.
（任意）トンネルインターフェイスに IP アドレスを
割り当て、[IPv4] タブまたは [IPv6] タブを選択してか
ら [IP] セクションで [追加] をクリックし、インターフェ
イスに割り当てる IP アドレスとネットマスクを入力し
ます。
スタティックルートでは、トンネルインターフェイスに
IP アドレスは必要ありません。指定したサブネット /IP
アドレスを宛先とするトラフィックでは、トンネルイ
ンターフェイスが自動的にネクストホップになりま
す。トンネルモニタリングを有効化する場合、IP アド
レスの追加を検討してください。
6.
インターフェイス設定を保存するには、[OK] をクリッ
クします。
この例では、VPN ピア A の設定は以下のようになり
ます。
•
•
•
•
インターフェイス — tunnel.11
セキュリティゾーン — vpn_tun
仮想ルーター — デフォルト
IPv4 — 172.19.9.2/24
VPN ピア B の設定は以下のようになります。
•
•
•
•
仮想プライベートネットワーク
インターフェイス — tunnel.12
セキュリティゾーン — vpn_tun
仮想ルーター — デフォルト
IPv4 — 192.168.69.2/24
561
サイト間 VPN のクイック設定
VPN
クイック設定 : スタティックルーティングを使用したサイト間 VPN（続き）
ステップ 3
仮想ルーターで宛先サブネッ 1.
トへのスタティックルートを
設定します。
2.
[Network] > [ 仮想ルーター] の順に選択し、上記のス
テップ 4 で定義したルーターをクリックします。
[ スタティックルート ] を選択し、追加をクリックして、
トンネルの反対側にあるサブネットにアクセスする新
しいルートを入力します。
この例では、VPN ピア A の設定は以下のようになり
ます。
• 宛先 — 192.168.69.0/24
• インターフェイス — tunnel.11
VPN ピア B の設定は以下のようになります。
• 宛先 — 172.19.9.0/24
• インターフェイス — tunnel.12
ステップ 4
暗号プロファイル（フェーズ 1 1.
では IKE 暗号プロファイル、
フェーズ 2 では IPSec 暗号プロ
ファイル）をセットアップし
ます。
両方のピアでこのタスクを実行
し、必ず同じ値を設定します。 2.
562
[Network] > [ ネットワークプロファイル ] > [IKE 暗号 ]
の順に選択します。この例では、デフォルトのプロ
ファイルを使用します。
[Network] > [ ネットワークプロファイル ] > [IPSec 暗
号 ] の順に選択します。この例では、デフォルトのプ
ロファイルを使用します。
仮想プライベートネットワーク
サイト間 VPN のクイック設定
VPN
クイック設定 : スタティックルーティングを使用したサイト間 VPN（続き）
ステップ 5
IKE ゲートウェイをセットアッ 1.
プします。
[Network] > [ ネットワークプロファイル ] > [IKE ゲー
トウェイ ] の順に選択します。
2.
[ 追加 ] をクリックして、[ 全般 ] タブでオプションを設
定します。
この例では、VPN ピア A の設定は以下のようになり
ます。
• インターフェイス — ethernet1/7
• ローカル IP アドレス — 192.168.210.26/24
• ピア IP タイプ / アドレス — スタティック
/192.168.210.120
• 事前共有鍵 — 値を入力
• ローカル ID — なし。ローカル ID 値としてロー
カル IP アドレスが使用されます。
VPN ピア B の設定は以下のようになります。
• インターフェイス — ethernet1/11
• ローカル IP アドレス — 192.168.210.120/24
• ピア IP タイプ / アドレス — スタティック
/192.168.210.26
3.
仮想プライベートネットワーク
• 事前共有鍵 — ピア A と同じ値を入力
• ローカル ID — なし
[ 詳細フェーズ 1 のオプション ] を選択し、IKE フェー
ズ 1 で使用するために以前に作成した IKE 暗号プロ
ファイルを選択します。
563
サイト間 VPN のクイック設定
VPN
クイック設定 : スタティックルーティングを使用したサイト間 VPN（続き）
ステップ 6
IPSec トンネルをセットアップし 1.
ます。
2.
[Network] > [IPSec トンネル ] の順に選択します。
[ 追加 ] をクリックして、[ 全般 ] タブでオプションを設
定します。
この例では、VPN ピア A の設定は以下のようになり
ます。
• トンネルインターフェイス — tunnel.11
• タイプ — 自動キー
• IKE ゲートウェイ — 上で定義した IKE ゲートウェ
イを選択します。
• IPSec 暗号プロファイル — ステップ 4 で定義し
た IPSec 暗号プロファイルを選択します。
VPN ピア B の設定は以下のようになります。
3.
4.
ステップ 7
トラフィックをサイト（サブ 1.
ネット）間で許可するための 2.
ポリシーを作成します。
• トンネルインターフェイス — tunnel.12
• タイプ — 自動キー
• IKE ゲートウェイ — 上で定義した IKE ゲート
ウェイを選択します。
• IPSec 暗号プロファイル — ステップ 4 で定義し
た IPSec 暗号を選択します。
（任意）[ 詳細オプションの表示 ] をオンにし、[ トン
ネルモニター] をオンにして、接続を確認するために
ping を送信する宛先 IP アドレスを指定します。一般
に、VPN ピアのトンネルインターフェイス IP アドレ
スが使用されます。
（任意）接続の確立に失敗した場合のアクションを定
義する方法については、「トンネルモニタリングプロ
ファイルの定義」を参照してください。
[Policies] > [ セキュリティ] の順に選択します。
指定した送信元および宛先 IP アドレスから発信される
トラフィックについて、トラフィックを Uuntrust ゾー
ンと vpn-tun ゾーン間および vpn-tun ゾーンと Untrust
ゾーン間で許可するためのルールを作成します。
ステップ 8
保留中の設定の変更をすべて [ コミット ] をクリックします。
保存します。
ステップ 9
VPN 接続をテストします。
564
「トンネルの状態の表示」を参照してください。
仮想プライベートネットワーク
VPN
サイト間 VPN のクイック設定
OSPF を使用したサイト間 VPN
この例では、各サイトはトラフィックのダイナミックルーティングに OSPF を使用します。各
ピアのトンネル IP アドレスは静的に割り当てられ、2 つのサイト間でトラフィックをルーティ
ングするためのネクストホップとして機能します。
仮想プライベートネットワーク
565
サイト間 VPN のクイック設定
VPN
クイック設定 : OSPF を使用したダイナミックルーティングによるサイト間 VPN
ステップ 1
各ファイアウォールでレイ 1.
ヤー 3 インターフェイスを設
定します。
[Network] > [ インターフェイス ] > [Ethernet] の順に
選択し、VPN について設定するインターフェイスを選
択します。
2.
[ インターフェイスタイプ ] ドロップダウンリストから
[ レイヤー 3] を選択します。
3.
[設定] タブでインターフェイスが属する [セキュリティ
ゾーン ] を選択します。
• インターフェイスは、信頼されるネットワークの外部
のゾーンからアクセスできる必要があります。VPN
トラフィックを可視化して制御するために、専用の
VPN ゾーンを作成することを検討してください。
• まだゾーンを作成していない場合は、[ セキュリティ
ゾーン ] ドロップダウンリストから [ 新規 - ゾーン ] を
選択し、新しいゾーンの [ 名前 ] を定義してから [OK]
をクリックします。
4.
使用する [ 仮想ルーター] を選択します。
5.
IP アドレスをインターフェイスに割り当てるには、
[IPv4] タブを選択してから IP セクションで [ 追加 ] をク
リックし、インターフェイスに割り当てる IP アドレス
とネットマスク（例 : 192.168.210.26/24）を入力します。
6.
インターフェイス設定を保存するには、[OK] をクリッ
クします。
この例では、VPN ピア A の設定は以下のようになり
ます。
•
•
•
•
インターフェイス — ethernet1/7
セキュリティゾーン — Untrust
仮想ルーター — デフォルト
IPv4 — 100.1.1.1/24
VPN ピア B の設定は以下のようになります。
•
•
•
•
566
インターフェイス — ethernet1/11
セキュリティゾーン — Untrust
仮想ルーター — デフォルト
IPv4 — 200.1.1.1/24
仮想プライベートネットワーク
サイト間 VPN のクイック設定
VPN
クイック設定 : OSPF を使用したダイナミックルーティングによるサイト間 VPN（続き）
ステップ 2
トンネルインターフェイスを 1.
作成し、仮想ルーターおよび
セキュリティゾーンに関連付 2.
けます。
3.
[Network] > [ インターフェイス ] > [ トンネル ] の順に
選択し、[ 追加 ] をクリックします。
[ インターフェイス名 ] フィールドで、.11 などの数値の
サフィックスを指定します。
[ 設定 ] タブで、[ セキュリティゾーン ] ドロップダウン
リストを展開して以下のようにゾーンを定義します。
• トンネルの終端点として Trust ゾーンを使用するには、
ドロップダウンリストからゾーンを選択します。
• （推奨）VPN トンネルの終端のゾーンを別に作成す
るには、[ 新規ゾーン ] をクリックします。[ ゾーン ]
ダイアログの [ 名前 ] で「vpn-tun」などの名前を付け
て新しいゾーンを定義し、[OK] をクリックします。
4.
[ 仮想ルーター] を選択します。
5.
IP アドレスをトンネルインターフェイスに割り当て、
[IPv4] または [IPv6] タブを選択します。[IP] セクショ
ンで [ 追加 ] をクリックし、インターフェイスに割り当
てる IP アドレスとネットワークマスク / プレフィック
ス（例 : 172.19.9.2/24）を入力します。
この IP アドレスは、トンネルにトラフィックをルー
ティングするためにネクストホップ IP アドレスとし
て使用され、トンネルの状態をモニタリングするため
に使用することもできます。
6.
インターフェイス設定を保存するには、[OK] をクリッ
クします。
この例では、VPN ピア A の設定は以下のようになり
ます。
•
•
•
•
インターフェイス — tunnel.41
セキュリティゾーン — vpn_tun
仮想ルーター — デフォルト
IPv4 — 2.1.1.141/24
VPN ピア B の設定は以下のようになります。
•
•
•
•
仮想プライベートネットワーク
インターフェイス — tunnel.40
セキュリティゾーン — vpn_tun
仮想ルーター — デフォルト
IPv4 — 2.1.1.140/24
567
サイト間 VPN のクイック設定
VPN
クイック設定 : OSPF を使用したダイナミックルーティングによるサイト間 VPN（続き）
ステップ 3
暗号プロファイル（フェーズ 1 1.
では IKE 暗号プロファイル、
フェーズ 2 では IPSec 暗号プロ
ファイル）をセットアップし
ます。
両方のピアでこのタスクを実行
し、必ず同じ値を設定します。 2.
ステップ 4
仮想ルーターで OSPF 設定を 1.
セットアップし、OSPF エリア
をファイアウォール上の適切 2.
なインターフェイスに関連付
けます。
3.
ファイアウォールで使用可能
な OSPF オプションの詳細は、
「OSPF の設定」を参照してく
ださい。
ルーティング情報を交換する
必要がある OSPF ルートが 2 つ
以上ある場合、リンクタイプ
として [ ブロードキャスト ] を
使用します。
[Network] > [ ネットワークプロファイル ] > [IKE 暗号 ]
の順に選択します。この例では、デフォルトのプロ
ファイルを使用します。
[Network] > [ ネットワークプロファイル ] > [IPSec 暗
号 ] の順に選択します。この例では、デフォルトのプ
ロファイルを使用します。
[Network] > [ 仮想ルーター] の順に選択し、デフォルト
のルーターを選択するか新しいルーターを追加します。
[OSPF]（IPv4 の場合）または [OSPFv3]（IPv6 の場合）
を選択し、[ 有効化 ] をオンにします。
この例では、VPN ピア A の OSPF 設定は以下のように
なります。
– ルーター ID: 192.168.100.141
– エリア ID: 0.0.0.0 — リンクタイプ「p2p」で、
インターフェイス tunnel.1 に割り当てられて
いる
– エリア ID: 0.0.0.10 — インターフェイス Ethernet1/1
に割り当てられ、リンクタイプは「ブロード
キャスト」
VPN ピア B の OSPF 設定は以下のようになります。
– ルーター ID: 192.168.100.140
– エリア ID: 0.0.0.0 — リンクタイプ「p2p」で、
インターフェイス tunnel.1 に割り当てられて
いる
– エリア ID: 0.0.0.20 — インターフェイス
Ethernet1/15 に割り当てられ、リンクタイプ
は「ブロードキャスト」
568
仮想プライベートネットワーク
サイト間 VPN のクイック設定
VPN
クイック設定 : OSPF を使用したダイナミックルーティングによるサイト間 VPN（続き）
ステップ 5
IKE ゲートウェイをセットアッ 1.
プします。
[Network] > [ ネットワークプロファイル ] > [IKE ゲー
トウェイ ] の順に選択します。
この例では、両方の VPN ピア 2.
についてスタティック IP アド
レスを使用します。一般に、
企業オフィスでは静的に設定
された IP アドレスを使用し、
支社側をダイナミック IP アド
レスにできます。ダイナミッ
ク IP アドレスは、VPN などの
安定したサービスの設定には
適しません。
[ 追加 ] をクリックして、[ 全般 ] タブでオプションを
設定します。
3.
ステップ 6
IPSec トンネルをセットアップし 1.
ます。
2.
この例では、VPN ピア A の設定は以下のようになり
ます。
• インターフェイス — ethernet1/7
• ローカル IP アドレス — 100.1.1.1/24
• ピア IP アドレス — 200.1.1.1/24
• 事前共有鍵 — 値を入力
VPN ピア B の設定は以下のようになります。
• インターフェイス — ethernet1/11
• ローカル IP アドレス — 200.1.1.1/24
• ピア IP アドレス — 100.1.1.1/24
• 事前共有鍵 — ピア A と同じ値を入力
IKE フェーズ 1 で使用するために以前に作成した IKE
暗号プロファイルを選択します。
[Network] > [IPSec トンネル ] の順に選択します。
[ 追加 ] をクリックして、[ 全般 ] タブでオプションを
設定します。
この例では、VPN ピア A の設定は以下のようになり
ます。
• トンネルインターフェイス — tunnel.41
• タイプ — 自動キー
• IKE ゲートウェイ — 上で定義した IKE ゲート
ウェイを選択します。
• IPSec 暗号プロファイル — 上で定義した IKE
ゲートウエィを選択します。
VPN ピア B の設定は以下のようになります。
3.
4.
仮想プライベートネットワーク
• トンネルインターフェイス — tunnel.40
• タイプ — 自動キー
• IKE ゲートウェイ — 上で定義した IKE ゲート
ウェイを選択します。
• IPSec 暗号プロファイル — 上で定義した IKE ゲー
トウエィを選択します。
[ 詳細オプションの表示 ] をオンにし、[ トンネルモニ
ター] をオンにして、接続を確認するために ping を送
信する宛先 IP アドレスを指定します。
接続の確立に失敗した場合のアクションを定義する方
法については、「トンネルモニタリングプロファイル
の定義」を参照してください。
569
サイト間 VPN のクイック設定
VPN
クイック設定 : OSPF を使用したダイナミックルーティングによるサイト間 VPN（続き）
ステップ 7
ステップ 8
トラフィックをサイト（サブ 1.
ネット）間で許可するための 2.
ポリシーを作成します。
[Policies] > [ セキュリティ] の順に選択します。
指定した送信元および宛先 IP アドレスから発信される
トラフィックについて、トラフィックを Uuntrust ゾー
ンと vpn-tun ゾーン間および vpn-tun ゾーンと Untrust
ゾーン間で許可するためのルールを作成します。
OSPF 隣接および CLI からの両方のファイアウォールが互いにネイバーとして完全な状
ルートを確認します。
態で表示できることを確認します。また、VPN ピアのトン
ネルインターフェイスの IP アドレスおよび OSPF ルー
ター ID も確認します。各 VPN ピアで以下の CLI コマンド
を使用します。
• show routing protocol ospf neighbor
• show routing route type ospf
ステップ 9
570
VPN 接続をテストします。
「トンネルモニタリングのセットアップ」および「トンネ
ルの状態の表示」を参照してください。
仮想プライベートネットワーク
VPN
サイト間 VPN のクイック設定
スタティックルーティングおよびダイナミックルーティングを使用したサ
イト間 VPN
この例では、1 つのサイトでスタティックルートを使用し、もう一方のサイトで OSPF を使用
しています。ルーティングプロトコルが場所間で同じでない場合、各ファイアウォールのトン
ネルインターフェイスはスタティック IP アドレスで設定する必要があります。次に、ルーティ
ング情報の交換を可能にするために、スタティックルーティングとダイナミックルーティング
の両方のプロセスに参加するファイアウォールを再配信プロファイルで設定する必要がありま
す。再配信プロファイルを設定すると、仮想ルーターはプロトコル間のルート（スタティック
ルート、接続済みルート、ホスト）をスタティック Autonomous System から OSPF Autonomous
System に再配信してフィルタリングできます。この再配信プロファイルがない場合、各プロト
コルは独自に機能し、同じ仮想ルーターを実行している他のプロトコルとルート情報を交換し
ません。
この例では、サテライトオフィスはスタティックルートを持ち、192.168.x.x ネットワークを宛
先とするすべてのトラフィックは tunnel.41 にルーティングされます。VPN ピア B の仮想ルー
ターはスタティックルーティングとダイナミックルーティングの両方のプロセスに参加し、ス
タティックルートを OSPF Autonomous System に伝搬（エクスポート）するために再配信プロ
ファイルで設定されます。
仮想プライベートネットワーク
571
サイト間 VPN のクイック設定
VPN
クイック設定 : スタティックルーティングおよびダイナミックルーティングを使用したサイト間 VPN
ステップ 1
各ファイアウォールでレイ 1.
ヤー 3 インターフェイスを設
定します。
[Network] > [ インターフェイス ] > [Ethernet] の順に
選択し、VPN について設定するインターフェイスを選
択します。
2.
[ インターフェイスタイプ ] ドロップダウンリストから
[ レイヤー 3] を選択します。
3.
[設定] タブでインターフェイスが属する [セキュリティ
ゾーン ] を選択します。
• インターフェイスは、信頼されるネットワークの外
部のゾーンからアクセスできる必要があります。
VPN トラフィックを可視化して制御するために、
専用の VPN ゾーンを作成することを検討してくだ
さい。
• まだゾーンを作成していない場合は、[ セキュリティ
ゾーン ] ドロップダウンリストから [ 新規 - ゾーン ] を
選択し、新しいゾーンの [ 名前 ] を定義してから [OK]
をクリックします。
4.
使用する [ 仮想ルーター] を選択します。
5.
IP アドレスをインターフェイスに割り当てるには、
[IPv4] タブを選択してから IP セクションで [ 追加 ] をク
リックし、インターフェイスに割り当てる IP アドレス
とネットマスク（例 : 192.168.210.26/24）を入力します。
6.
インターフェイス設定を保存するには、[OK] をクリッ
クします。
この例では、VPN ピア A の設定は以下のようになり
ます。
•
•
•
•
インターフェイス — ethernet1/7
セキュリティゾーン — Untrust
仮想ルーター — デフォルト
IPv4 — 100.1.1.1/24
VPN ピア B の設定は以下のようになります。
•
•
•
•
572
インターフェイス — ethernet1/11
セキュリティゾーン — Untrust
仮想ルーター — デフォルト
IPv4 — 200.1.1.1/24
仮想プライベートネットワーク
サイト間 VPN のクイック設定
VPN
クイック設定 : スタティックルーティングおよびダイナミックルーティングを使用したサイト間 VPN（続き）
ステップ 2
暗号プロファイル（フェーズ 1 1.
では IKE 暗号プロファイル、
フェーズ 2 では IPSec 暗号プロ
ファイル）をセットアップし
ます。
両方のピアでこのタスクを実行
し、必ず同じ値を設定します。 2.
ステップ 3
[Network] > [ ネットワークプロファイル ] > [IKE 暗号 ]
の順に選択します。この例では、デフォルトのプロ
ファイルを使用します。
[Network] > [ ネットワークプロファイル ] > [IPSec 暗
号 ] の順に選択します。この例では、デフォルトのプ
ロファイルを使用します。
IKE ゲートウェイをセットアッ 1.
プします。
[Network] > [ ネットワークプロファイル ] > [IKE ゲー
トウェイ ] の順に選択します。
IKE フェーズ 1 トンネルをセッ 2.
トアップするときに認証の精
度を高めるために事前共有鍵
を使用すると、ローカルおよ
びピア ID 属性、および IKE ネ
ゴシエーションプロセスで照
合される対応する値をセット
アップできます。
[ 追加 ] をクリックして、[ 全般 ] タブでオプションを設
定します。
この例では、VPN ピア A の設定は以下のようになり
ます。
•
•
•
•
•
インターフェイス — ethernet1/7
ローカル IP アドレス — 100.1.1.1/24
ピア IP タイプ — ダイナミック
事前共有鍵 — 値を入力
ローカル ID — [FQDN (hostname)] を選択し、
VPN ピア A の値を入力します。
• ピア ID — [FQDN (hostname)] を選択し、VPN
ピア B の値を入力します。
VPN ピア B の設定は以下のようになります。
•
•
•
•
•
3.
仮想プライベートネットワーク
インターフェイス — ethernet1/11
ローカル IP アドレス — 200.1.1.1/24
ピア IP アドレス — ダイナミック
事前共有鍵 — ピア A と同じ値を入力
ローカル ID — [FQDN (hostname)] を選択し、
VPN ピア B の値を入力します。
• ピア ID — [FQDN (hostname)] を選択し、VPN
ピア A の値を入力します。
IKE フェーズ 1 で使用するために以前に作成した IKE
暗号プロファイルを選択します。
573
サイト間 VPN のクイック設定
VPN
クイック設定 : スタティックルーティングおよびダイナミックルーティングを使用したサイト間 VPN（続き）
ステップ 4
トンネルインターフェイスを作 1.
成し、仮想ルーターおよびセ
キュリティゾーンに関連付け 2.
ます。
3.
[Network] > [ インターフェイス ] > [ トンネル ] の順に
選択し、[ 追加 ] をクリックします。
[インターフェイス名] フィールドで、.41 などの数値の
サフィックスを指定します。
[ 設定 ] タブで、[ セキュリティゾーン ] ドロップダウン
リストを展開して以下のようにゾーンを定義します。
• トンネルの終端点として Trust ゾーンを使用する
には、ドロップダウンリストからゾーンを選択し
ます。
• （推奨）VPN トンネルの終端のゾーンを別に作成す
るには、[ 新規ゾーン ] をクリックします。[ ゾーン ]
ダイアログの [ 名前 ] で「vpn-tun」などの名前を付け
て新しいゾーンを定義し、[OK] をクリックします。
4.
[ 仮想ルーター] を選択します。
5.
IP アドレスをトンネルインターフェイスに割り当て、
[IPv4] または [IPv6] タブを選択します。[IP] セクショ
ンで [ 追加 ] をクリックし、インターフェイスに割り当
てる IP アドレスとネットワークマスク / プレフィック
ス（例 : 172.19.9.2/24）を入力します。
この IP アドレスは、トンネルにトラフィックをルー
ティングするため、およびトンネルの状態をモニタリ
ングするために使用されます。
6.
インターフェイス設定を保存するには、[OK] をクリッ
クします。
この例では、VPN ピア A の設定は以下のようになり
ます。
•
•
•
•
インターフェイス — tunnel.41
セキュリティゾーン — vpn_tun
仮想ルーター — デフォルト
IPv4 — 2.1.1.141/24
VPN ピア B の設定は以下のようになります。
•
•
•
•
ステップ 5
574
192.168.x.x ネットワーク上の宛 1.
先にトラフィックをルーティ 2.
ングするインターフェイスを
指定します。
インターフェイス — tunnel.42
セキュリティゾーン — vpn_tun
仮想ルーター — デフォルト
IPv4 — 2.1.1.140/24
VPN ピア A で、仮想ルーターを選択します。
[スタティックルート] を選択し、192.168.x.x ネットワー
クを [ 宛先 ] とするトラフィックをルーティングするた
めに [ インターフェイス ] として tunnel.41 を [ 追加 ] し
ます。
仮想プライベートネットワーク
サイト間 VPN のクイック設定
VPN
クイック設定 : スタティックルーティングおよびダイナミックルーティングを使用したサイト間 VPN（続き）
ステップ 6
仮想ルーターでスタティック 1.
ルートと OSPF 設定をセット
アップし、OSPF エリアをファ
イアウォール上の適切なイン 2.
ターフェイスに関連付けます。
VPN ピア B で [Network] > [ 仮想ルーター] の順に選択
し、デフォルトのルーターを選択するか新しいルー
ターを追加します。
[スタティックルート] を選択し、172.168.x.x. ネットワー
クでトラフィックのネクストホップとしてトンネル IP
アドレスを [ 追加 ] します。
目的のルートメトリックを割り当てます。低い値を使
用すると、テーブルの転送におけるルート選択で優先
順位が高くなります。
3.
[OSPF]（IPv4 の場合）または [OSPFv3]（IPv6 の場
合）を選択し、[ 有効化 ] をオンにします。
4.
この例では、VPN ピア B の OSPF 設定は以下のように
なります。
• ルーター ID: 192.168.100.140
• エリア ID: 0.0.0.0 — リンクタイプ「ブロードキャス
ト」で、インターフェイス Ethernet 1/12 に割り当て
られている
• エリア ID: 0.0.0.10 — インターフェイス Ethernet1/1 に割
り当てられ、リンクタイプは「ブロードキャスト」
• エリア ID: 0.0.0.20 — インターフェイス Ethernet1/15 に割
り当てられ、リンクタイプは「ブロードキャスト」
仮想プライベートネットワーク
575
サイト間 VPN のクイック設定
VPN
クイック設定 : スタティックルーティングおよびダイナミックルーティングを使用したサイト間 VPN（続き）
ステップ 7
スタティックルートを OSPF 1.
Autonomous System に注入する
ための再配信プロファイルを
作成します。
VPN ピア B で再配信プロファイルを作成します。
a. [Network] > [ 仮想ルーター] の順に選択し、上で使
用したルーターを選択します。
b. [ 再配信プロファイル ] を選択し、[ 追加 ] をクリッ
クします。
c. [ 名前 ] フィールドにプロファイル名を入力し、[ 再
配信あり ] を選択して [ 優先順位 ] の値を割り当てま
す。複数のプロファイルを設定している場合、優先
順位の最も低い値を持つプロファイルが最初に一致
されます。
d. [ 送信元タイプ ] を static に設定し、[OK] をクリック
します。ステップ 6 - 2 で定義したスタティックルー
トが再配信に使用されます。
2.
スタティックルートを OSPF システムに注入します。
a. [OSPF] > [ ルールのエクスポート ]（IPv4 の場合）ま
たは [OSPFv3] > [ ルールのエクスポート ]（ IPv6 の
場合）の順に選択します。
b. [ 追加 ] をクリックし、作成した再配信プロファイル
を選択します。
c. 外部ルートを OSPF システムに誘導する方法を選択
します。デフォルトオプションである [Ext2] は、
外部メトリックのみを使用したルートの総コストを
計算します。内部と外部の両方の OSPF メトリック
を使用するには、[Ext1] を使用します。
d. OSPF システムに注入されるルートについて、[ メト
リック] コスト値）を割り当てます。このオプション
を使用すると、注入されたルートが OSPF システム
に到達したときにそのメトリックを変更できます。
e. [OK] をクリックして変更を保存します。
576
仮想プライベートネットワーク
サイト間 VPN のクイック設定
VPN
クイック設定 : スタティックルーティングおよびダイナミックルーティングを使用したサイト間 VPN（続き）
ステップ 8
IPSec トンネルをセットアップし 1.
ます。
2.
[Network] > [IPSec トンネル ] の順に選択します。
[ 追加 ] をクリックして、[ 全般 ] タブでオプションを設
定します。
この例では、VPN ピア A の設定は以下のようになり
ます。
• トンネルインターフェイス — tunnel.41
• タイプ — 自動キー
• IKE ゲートウェイ — 上で定義した IKE ゲート
ウェイを選択します。
• IPSec 暗号プロファイル — 上で定義した IKE ゲー
トウエィを選択します。
VPN ピア B の設定は以下のようになります。
3.
4.
ステップ 9
トラフィックをサイト（サブ 1.
ネット）間で許可するための 2.
ポリシーを作成します。
仮想プライベートネットワーク
• トンネルインターフェイス — tunnel.40
• タイプ — 自動キー
• IKE ゲートウェイ — 上で定義した IKE ゲートウェ
イを選択します。
• IPSec 暗号プロファイル — 上で定義した IKE ゲー
トウエィを選択します。
[ 詳細オプションの表示 ] をオンにし、[ トンネルモニ
ター] をオンにして、接続を確認するために ping を送
信する宛先 IP アドレスを指定します。
接続の確立に失敗した場合のアクションを定義する方
法については、「トンネルモニタリングプロファイル
の定義」を参照してください。
[Policies] > [ セキュリティ] の順に選択します。
指定した送信元および宛先 IP アドレスから発信される
トラフィックについて、トラフィックを Uuntrust ゾー
ンと vpn-tun ゾーン間および vpn-tun ゾーンと Untrust
ゾーン間で許可するためのルールを作成します。
577
サイト間 VPN のクイック設定
VPN
クイック設定 : スタティックルーティングおよびダイナミックルーティングを使用したサイト間 VPN（続き）
ステップ 10 OSPF 隣接および CLI からの両方のファイアウォールが互いにネイバーとして完全な状
ルートを確認します。
態で表示できることを確認します。また、VPN ピアのトン
ネルインターフェイスの IP アドレスおよび OSPF ルー
ター ID も確認します。各 VPN ピアで以下の CLI コマンド
を使用します。
• show routing protocol ospf neighbor
• show routing route
以下は、各 VPN ピアの出力例です。
ステップ 11 VPN 接続をテストします。
578
「トンネルモニタリングのセットアップ」および「トンネ
ルの状態の表示」を参照してください。
仮想プライベートネットワーク
大規模 VPN (LSVPN)
Palo Alto Networks 次世代ファイアウォールに搭載された GlobalProtect 大規模 VPN (LSVPN) 機能
により、従来のハブアンドスポーク VPN のデプロイメントが簡略化され、リモートサテライ
トデバイスでの設定を最小限に抑えて複数の支社がある企業ネットワークを素早くデプロイで
きます。このソリューションでは、データの安全性を高めるためにデバイス認証と IPSec に証
明書を使用します。
LSVPN により、Palo Alto Networks ファイアウォール同士のサイト間 VPN が実現されます。
Palo Alto Networks ファイアウォールと別のデバイスとのサイト間 VPN をセットアップする方
法については、「VPN」を参照してください。
以下のトピックでは、LSVPN コンポーネントと、Palo Alto Networks ファイアウォール同士のサ
イト間 VPN サービスを実現するためのセットアップ方法について説明します。

LSVPN の概要

LSVPN のインターフェイスおよびゾーンの作成

GlobalProtect LSVPN コンポーネント間の SSL の有効化

サテライトを認証するためのポータルの設定

LSVPN の GlobalProtect ゲートウェイの設定

LSVPN の GlobalProtect ポータルの設定

LSVPN に参加するためのサテライトデバイスの準備

LSVPN 設定の確認

LSVPN のクイック設定
大規模 VPN
579
LSVPN の概要
大規模 VPN (LSVPN)
LSVPN の概要
GlobalProtect には、リモートサイトから企業リソースへの安全なアクセスを管理するための十
分なインフラストラクチャが用意されています。このインフラストラクチャには、以下のコン
ポーネントが含まれています。

GlobalProtect ポータル — GlobalProtect LSVPN インフラストラクチャの管理機能を提供しま
す。GlobalProtect LSVPN に参加するすべてのサテライトは、サテライト（スポーク）をゲー
トウェイ（ハブ）に接続するための設定情報など、設定情報をポータルから受信します。
ポータルは、Palo Alto Networks 次世代ファイアウォールのインターフェイスで設定します。

GlobalProtect ゲートウェイ — サテライト接続のトンネルエンドポイントを提供する Palo Alto
Networks ファイアウォールです。サテライトアクセスがゲートウェイのセキュリティポリ
シーによって保護されるリソース。個別のポータルとゲートウェイは必要ありません。1 つ
のファイアウォールがポータルおよびゲートウェイの両方として機能できます。

GlobalProtect サテライト — リモートサイトにある Palo Alto Networks ファイアウォールで、
企業オフィスにあるゲートウェイとの IPSec トンネルを確立し、一元管理されたリソースに
安全にアクセスできるようにします。サテライトファイアウォールでの設定は最小限で済
み、新しいサイトを追加したときに素早く安全に VPN の規模を拡大できます。
以下の図は、GlobalProtect LSVPN コンポーネントの連携を示しています。
580
大規模 VPN
大規模 VPN (LSVPN)
LSVPN のインターフェイスおよびゾーンの作成
LSVPN のインターフェイスおよびゾーンの作成
LSVPN インフラストラクチャでは、以下のインターフェイスおよびゾーンを作成する必要があ
ります。

GlobalProtect ポータル — GlobalProtect サテライトが接続するためにはレイヤー 3 インターフェ
イスが必要です。ポータルおよびゲートウェイが同じファイアウォールにある場合、同一の
インターフェイスを使用することができます。ポータルは、支社からアクセスできるゾーン
にある必要があります。

GlobalProtect ゲートウェイ — リモートサテライトからアクセスできるゾーンのレイヤー 3 イ
ンターフェイス、保護されたリソースに接続する Trust ゾーンの内部インターフェイス、サ
テライトから VPN トンネルを終端するための論理トンネルインターフェイスの 3 つのイン
ターフェイスが必要です。他のサイト間 VPN ソリューションとは異なり、GlobalProtect ゲー
トウェイで必要なのは 1 つのトンネルインターフェイスのみです。すべてのリモートサテラ
イトとのトンネル接続に使用します（ポイントツーマルチポイント）。ダイナミックルー
ティングを使用する予定の場合、IP アドレスをトンネルインターフェイスに割り当てる必
要があります。

GlobalProtect サテライト — リモートゲートウェイとの VPN を確立するために単一のトンネ
ルインターフェイスが必要です（最大 25 個のゲートウェイ）。ダイナミックルーティング
を使用する予定の場合、IP アドレスをトンネルインターフェイスに割り当てる必要があり
ます。
ポータル、ゲートウェイ、サテライトの詳細は、「LSVPN の概要」を参照してください。
大規模 VPN
581
LSVPN のインターフェイスおよびゾーンの作成
大規模 VPN (LSVPN)
GlobalProtect LSVPN のインターフェイスおよびゾーンのセットアップ
ステップ 1
レイヤー 3 インターフェイスを 1.
設定します。
ポータル、各ゲートウェイ、
およびサテライトは、いずれ 2.
もトラフィックがサイト間を
ルーティングされるようにレ 3.
イヤー 3 インターフェイスが必
要です。
ゲートウェイとポータルが同
じファイアウォールにある場
合、1 つのインターフェイスを
両方のコンポーネントに使用
できます。
[ インターフェイスタイプ ] ドロップダウンリストから
[ レイヤー 3] を選択します。
[設定] タブでインターフェイスが属する [セキュリティ
ゾーン ] を選択します。
• インターフェイスは、信頼されるネットワークの外部
のゾーンからアクセスできる必要があります。VPN
トラフィックを可視化して制御するために、専用の
VPN ゾーンを作成することを検討してください。
• まだゾーンを作成していない場合は、[ セキュリティ
ゾーン ] ドロップダウンリストから [ 新規 - ゾーン ] を
選択し、新しいゾーンの [ 名前 ] を定義してから [OK]
をクリックします。
IPv6 アドレスは LSVPN で
はサポートされません。
582
[Network] > [ インターフェイス ] > [Ethernet] の順に
選択し、GlobalProtect LSVPN について設定するイン
ターフェイスを選択します。
4.
使用する [ 仮想ルーター] を選択します。
5.
IP アドレスをインターフェイスに割り当てるには、
[IPv4] タブを選択してから IP セクションで [ 追加 ] をク
リックし、インターフェイスに割り当てる IP アドレス
とネットマスク（例 : 203.0.11.100/24）を入力します。
6.
インターフェイス設定を保存するには、[OK] をクリッ
クします。
大規模 VPN
大規模 VPN (LSVPN)
LSVPN のインターフェイスおよびゾーンの作成
GlobalProtect LSVPN のインターフェイスおよびゾーンのセットアップ（続き）
ステップ 2
GlobalProtect ゲートウェイをホ 1.
ストするファイアウォールで、
GlobalProtect サテライトによっ 2.
て確立される VPN トンネルを
終端する論理トンネルイン
3.
ターフェイスを設定します。
ダイナミックルーティン
グを使用する予定がなけ
れば、トンネルインター
フェイスに IP アドレス
は必要ありません。ただ
し、IP アドレスをトンネ
ルインターフェイスに割
り当てると、接続の問題
をトラブルシューティン 4.
グするときに役立つ場合 5.
があります。
VPN トンネルの終端とな
るゾーンで必ず User-ID
を有効にしてください。
6.
[Network] > [ インターフェイス ] > [ トンネル ] の順に
選択し、[ 追加 ] をクリックします。
[ インターフェイス名 ] フィールドで、「.2」などの数値
のサフィックスを指定します。
[ 設定 ] タブで、[ セキュリティゾーン ] ドロップダウン
リストを展開して以下のようにゾーンを定義します。
• トンネルの終端点として Trust ゾーンを使用するには、
ドロップダウンリストからゾーンを選択します。
• （推奨）VPN トンネルの終端のゾーンを別に作成す
るには、[ 新規ゾーン ] をクリックします。[ ゾーン ]
ダイアログの [ 名前 ] で新しいゾーンを定義し（たと
えば、lsvpn-tun）、[ ユーザー ID の有効化 ] チェック
ボックスをオンにしてから [OK] をクリックします。
[ 仮想ルーター] を選択します。
（任意）IP アドレスをトンネルインターフェイスに割
り当てるには、[IPv4] タブを選択してから [IP] セクショ
ンで [ 追加 ] をクリックし、インターフェイスに割り当
てる IP アドレスとネットマスク（例 : 203.0.11.33/24）を
入力します。
インターフェイス設定を保存するには、[OK] をクリッ
クします。
ステップ 3
VPN 接続のトンネルの終端のために別のゾーンを作成した場合、VPN ゾーンと Trust ゾー
ンの間をトラフィックが通過できるセキュリティポリシーを作成します。たとえば、以下
のポリシールールにより、lsvpn-tun ゾーンと L3-Trust ゾーン間のトラフィックを有効にでき
ます。
ステップ 4
設定を保存します。
大規模 VPN
[ コミット ] をクリックします。
583
GlobalProtect LSVPN コンポーネント間の SSL の有効化
大規模 VPN (LSVPN)
GlobalProtect LSVPN コンポーネント間の SSL の有効化
GlobalProtect コンポーネント間のすべての相互作用は SSL 接続を介して行われます。したがっ
て、各コンポーネントを設定する前に必要な証明書を生成してインストールしないと、各コン
ポーネントの設定で適切な証明書や証明書プロファイルを参照できません。以下のセクション
では、サポートされる証明書のデプロイ方法、説明、さまざまな GlobalProtect 証明書のベスト
プラクティスガイドラインについて説明し、必要な証明書を生成してデプロイする手順を紹介
します。

証明書のデプロイメントについて

GlobalProtect LSVPN コンポーネントへのサーバー証明書のデプロイ
証明書のデプロイメントについて
GlobalProtect LSVPN の証明書をデプロイする基本的な方法は 2 つあります。

企業認証局 — すでに自分の企業認証局がある場合、この内部 CA を使用して GlobalProtect ポー
タルの中間 CA 証明書を発行し、証明書を GlobalProtect ゲートウェイおよびサテライトに発
行できるようにします。

自己署名証明書 — ファイアウォールで自己署名ルート CA 証明書を生成し、それを使用して
ポータル、ゲートウェイ、サテライトのサーバー証明書を発行できます。ベストプラクティ
スとしては、ポータルで自己署名ルート CA 証明書を作成し、それを使用してゲートウェイ
およびサテライトのサーバー証明書を発行します。この方法では、証明書の署名に使用され
る秘密鍵はポータルにとどまります。
GlobalProtect LSVPN コンポーネントへのサーバー証明書のデプロイ
GlobalProtect LSVPN コンポーネントは相互認証に SSL/TLS を使用します。LSVPN をデプロイす
る前に、ポータルおよびゲートウェイにサーバー証明書を発行する必要があります。ポータル
は最初に接続するときに各サテライトのサーバー証明書を発行するため、サテライトデバイス
のサーバー証明書を作成する必要はありません。
さらに、ゲートウェイまたはサテライトとしてホストする予定の各ファイアウォールにサー
バー証明書を発行するために使用されるルート CA 証明書をインポートする必要があります。
最後に、LSVPN に参加する各ゲートウェイおよびサテライトで、相互認証を使用して SSL/TLS
接続を確立できるようにする証明書プロファイルを設定する必要があります。
以下のワークフローは、GlobalProtect LSVPN コンポーネントに SSL 証明書をデプロイするため
のベストプラクティスの手順を示しています。
サテライトデバイスのサーバー証明書を発行する必要はありません。ポータルによりサテライ
ト登録プロセスの一環として発行されます。
584
大規模 VPN
大規模 VPN (LSVPN)
GlobalProtect LSVPN コンポーネント間の SSL の有効化
GlobalProtect コンポーネントへの SSL サーバー証明書のデプロイ
ステップ 1
ステップ 2
ポータルをホストするファイ
アウォールで、GlobalProtect コ
ンポーネントの自己署名証明
書を発行するためにルート CA
証明書を作成します。
自己署名証明書を作成するには、以下の手順に従い、
GlobalProtect コンポーネントの証明書を署名するために使用
されるルート CA 証明書を最初に作成する必要があります。
1. ルート CA 証明書を作成するには、[Device] > [ 証明書
の管理 ] > [ 証明書 ] > [ デバイス証明書 ] の順に選択し、
[ 生成 ] をクリックします。
2.
[証明書名] に「LSVPN_CA」などの名前を入力します。
証明書名にスペースを含めることはできません。
3.
[ 署名者 ] フィールドの値を選択すると、その証明書が
自己署名証明書であることを示すため、この値は選択
しないでください。
4.
[ 認証局 ] チェックボックスをオンにしてから [OK] をク
リックすると、証明書が生成されます。
GlobalProtect ポータルおよびゲーポータルでルート CA を使用し、デプロイする予定の各
トウェイのサーバー証明書をゲートウェイのサーバー証明書を生成します。
生成します。
1. [Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス証明
書 ] の順に選択し、[ 生成 ] をクリックします。
ポータルおよび各 GlobalProtect
ゲートウェイの一意の自己署 2.
名サーバー証明書を発行する
必要があります。ベストプラ 3.
クティスとして、ポータルで
必要なすべての証明書を発行
し、署名付き証明書（秘密鍵 4.
を含む）をエクスポートする
必要がないようにします。
5.
GlobalProtect ポータルと
ゲートウェイが同じファ
イアウォールインター
フェイスにある場合、両
方のコンポーネントにつ 6.
いて同じサーバー証明書
を使用できます。
大規模 VPN
[ 証明書名 ] を入力します。証明書名にスペースを含め
ることはできません。
[ 共通名 ] フィールドに、ゲートウェイを設定するイン
ターフェイスの FQDN（推奨）または IP アドレスを入
力します。
[ 署名者 ] フィールドで、前に作成した「LSVPN_CA」
を選択します。
[ 証明書の属性 ] セクションで、[ 追加 ] をクリックして
ゲートウェイを一意に識別する属性を定義します。[ホ
スト名 ] 属性（証明書の SAN フィールドに入力され
る）を追加する場合、この値は [ 共通名 ] に定義した値
と完全に一致する必要があります。
証明書を [ 生成 ] します。
585
GlobalProtect LSVPN コンポーネント間の SSL の有効化
大規模 VPN (LSVPN)
GlobalProtect コンポーネントへの SSL サーバー証明書のデプロイ（続き）
ステップ 3
自己署名サーバー証明書をゲー 1.
トウェイにデプロイします。
ベストプラクティス :
• ルート CA によって発行され
2.
た自己署名サーバー証明書
をポータルからエクスポー
トし、ゲートウェイにイン 3.
ポートします。
• 各ゲートウェイに対して一
意のサーバー証明書を発行
4.
します。
• 証明書の [共通名] (CN) フィー
ルドと、該当する場合は、
[サブジェクトの代替名] (SAN) 5.
フィールドが、ゲートウェ 6.
イを設定するインターフェ
イスの IP アドレスまたは完
全修飾ドメイン名 (FQDN)
7.
と完全に一致する必要があ
ります。
8.
9.
586
ポータルで、[Device] > [ 証明書の管理 ] > [ 証明書 ] >
[ デバイス証明書 ] の順に選択し、デプロイするゲート
ウェイ証明書を選択して [ エクスポート ] をクリックし
ます。
[ ファイルフォーマット ] ドロップダウンリストから [ 暗
号化された秘密鍵と証明書 (PKCS12)] を選択します。
[ パスフレーズ ] を入力（および再入力）して証明書に
関連付けられた秘密鍵を暗号化し、[OK] をクリックし
て PKCS12 ファイルをコンピュータにダウンロードし
ます。
ゲートウェイで、[Device] > [ 証明書の管理 ] > [ 証明書 ] >
[デバイス証明書] の順に選択し、[インポート] をクリッ
クします。
[ 証明書名 ] を入力します。
[証明書ファイル ] にポータルからダウンロードしたファ
イルのパスと名前を入力するか、[ 参照 ] をクリックし
てファイルを探します。
[ ファイルフォーマット ] に [ 暗号化された秘密鍵と証
明書 (PKCS12)] を選択します。
[ キーファイル ] に PKCS12 ファイルのパスと名前を入力
するか、[ 参照 ] でファイルを見つけます。
ポータルからエクスポートしたときに秘密鍵の暗号化
に使用した [ パスフレーズ ] を 2 回入力した後に、[OK]
をクリックして証明書と秘密鍵をインポートします。
大規模 VPN
大規模 VPN (LSVPN)
GlobalProtect LSVPN コンポーネント間の SSL の有効化
GlobalProtect コンポーネントへの SSL サーバー証明書のデプロイ（続き）
ステップ 4
LSVPN コンポーネントのサー 1.
バー証明書を発行するために
使用するルート CA 証明書をイ
ンポートします。
ルート CA 証明書をすべての
ゲートウェイおよびサテライ
トにインポートする必要があ
ります。セキュリティ上の理
由により、必ず証明書のみを
エクスポートし、関連付けら
れた秘密鍵はエクスポートし
2.
ないでください。
ルート CA 証明書をポータルからダウンロードします。
a. [Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス
証明書 ] の順に選択します。
b. LSVPN コンポーネントの証明書を発行するために使
用するルート CA 証明書を選択し、[ エクスポート ]
をクリックします。
c. [ ファイルフォーマット ] ドロップダウンリストから
[Base64 エンコード済み証明書 (PEM)] を選択し、
[OK] をクリックして証明書をダウンロードします
（秘密鍵はエクスポートしないでください）。
ゲートウェイおよびサテライトをホストするファイア
ウォールで、ルート CA 証明書をインポートします。
a. [Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス
証明書 ] の順に選択し、[ インポート ] をクリックし
ます。
b. [ 証明書名 ] フィールドに、クライアント CA 証明書
であることを識別できる名前を入力します。
c. [ 参照 ] をクリックして、CA からダウンロードした
証明書ファイルを選択します。
d. [Base64 エンコード済み証明書 (PEM)] を [ ファイル
フォーマット ] フィールドで選択し、[OK] をクリッ
クします。
e. [ デバイス証明書 ] タブで、先ほどインポートした証
明書を選択して開きます。
f. [ 信頼されたルート CA] を選択して [OK] をクリック
します。
g. 変更を [ コミット ] します。
ステップ 5
証明書プロファイルを作成し 1.
ます。
GlobalProtect LSVPN ポータル
および各ゲートウェイには、 2.
サテライトの認証に使用する
証明書を指定する証明書プロ 3.
ファイルが必要です。
ステップ 6
大規模 VPN
設定を保存します。
[Device] > [ 証明書の管理 ] > [ 証明書プロファイル ] の
順に選択して [ 追加 ] をクリックし、[ 名前 ] フィールド
にプロファイル名を入力します。
[ ユーザー名フィールド ] が [None] に設定されているこ
とを確認します。
[CA 証明書] フィールドで [追加] をクリックし、ステッ
プ 4 でインポートした信頼されたルート CA 証明書を選
択します。
4.
（任意、ただし推奨）CRL や OCSP の使用を有効にし
て、証明書の状態を検証できるようにします。
5.
[OK] をクリックしてプロファイルを保存します。
[ コミット ] をクリックします。
587
サテライトを認証するためのポータルの設定
大規模 VPN (LSVPN)
サテライトを認証するためのポータルの設定
LSVPN に登録するには、各サテライトとポータルとの SSL/TLS 接続を確立する必要がありま
す。接続の確立後、ポータルはサテライトデバイスを認証し、LSVPN に参加する権限があるこ
とを確認します。サテライトの認証に成功すると、ポータルはそのサテライトのサーバー証明
書を発行し、サテライトが接続できるゲートウェイと、ゲートウェイとの SSL 接続を確立する
ために必要なルート CA 証明書を指定する LSVPN 設定をプッシュします。
最初に接続したときにサテライトがポータルの認証を受ける方法は 2 つあります。

シリアル番号 — LSVPN に参加することを認証されたサテライトファイアウォールのシリア
ル番号を使用してポータルを設定できます。ポータルへの最初のサテライト接続中に、サテ
ライトはそのポータルへのシリアル番号を表示し、ポータルの設定にそのシリアル番号があ
る場合、サテライトは正常に認証されます。認証済みサテライトのシリアル番号は、ポータ
ルを設定するときに追加します。「ポータルの設定」を参照してください。

ユーザー名とパスワード — サテライトデバイスのシリアル番号を手動でポータル設定に入
力せずにサテライトをプロビジョニングする方が望ましい場合は、ポータルへの最初の接続
を確立したときにサテライト管理者が認証を受ける必要があります。ポータルはサテライト
からの最初の要求で必ずシリアル番号を検索しますが、シリアル番号を識別できない場合、
サテライト管理者はポータルの認証を受けるためにユーザー名とパスワードを指定する必要
があります。ポータルは必ずこの形式の認証にフォールバックするため、ポータル設定をコ
ミットするには認証プロファイルを作成する必要があります。このためには、シリアル番号
を使用してサテライトを認証する予定であっても、ポータル LSVPN 設定の認証プロファイ
ルをセットアップする必要があります。
588
大規模 VPN
大規模 VPN (LSVPN)
サテライトを認証するためのポータルの設定
以下のワークフローは、既存の認証サービスに対してサテライトを認証するためにポータルを
セットアップする方法を示しています。GlobalProtect LSVPN は、ローカルデータベース、
LDAP（Active Directory を含む）、Kerberos、または RADIUS を使用した外部認証をサポートし
ています。
サテライトの認証のセットアップ
ステップ 1
ポータルでサーバープロファイ 1.
ルを作成します。
サーバープロファイルはファ
イアウォールに対して、外部 2.
認証サービスに接続する方法
を指示し、サテライト管理者 3.
によって提供された認証情報
を検証します。
4.
ローカル認証を使用している場
合、この手順をスキップして、
代わりにサテライト管理者を認 5.
証するためのローカルユー
ザー設定を追加できます。
Active Directory (AD) への
接続に LDAP を使用して
いる場合、すべての AD
ドメインに対して個別の
LDAP サーバープロファ
6.
イルを作成する必要があ
ります。
[Device] > [ サーバープロファイル ] の順に選択し、プ
ロファイルタイプ（[LDAP]、[Kerberos]、または
[RADIUS]）を選択します。
[ 追加 ] をクリックし、[ 名前 ] フィールドに
「LSVPN-Auth」などのプロファイル名を入力します。
（LDAP のみ）[ タイプ ] フィールドで接続先となる
LDAP サーバーを選択します。
[サーバー] セクションで [追加] をクリックし、認証サー
ビスへの接続に必要な情報（[名前]、[IP アドレス]（ま
たは FQDN）、および [ ポート ]）を入力します。
（RADIUS および LDAP のみ）ファイアウォールで認
証サービスによる認証を可能にする設定を以下のよう
に指定します。
• RADIUS — [ シークレット ] にサーバーエントリ追加
時の共有シークレットを入力します。
• LDAP — [ バインド DN] および [ バインドパスワー
ド ] を入力します。
（LDAP と Kerberos のみ）ディレクトリサービスで認
証情報を検索する場所を指定します。
• LDAP — [ ベース ] DN で、LDAP ツリーがユーザー
とグループの検索を開始する場所を指定します。こ
のフィールドは、サーバーアドレスおよびポートを
入力するときに自動的に入力されます。入力されな
い場合、LDAP サーバーまでのサービスルートを確
認してください。
• Kerberos — [ レルム ] に Kerberos のレルム名を入力し
ます。
大規模 VPN
7.
[ ドメイン ] にドメイン名をドットなしで指定します。
たとえば acme.com ではなく acme と指定します。
8.
[OK] をクリックしてサーバープロファイルを保存し
ます。
589
サテライトを認証するためのポータルの設定
大規模 VPN (LSVPN)
サテライトの認証のセットアップ（続き）
ステップ 2
ステップ 3
590
認証プロファイルを作成し 1.
ます。
[Device] > [ 認証プロファイル ] の順に選択し、[ 追加 ]
をクリックします。
認証プロファイルは、認証サ 2.
テライトを使用するサーバー
プロファイルを指定します。
3.
[ 名前 ] にプロファイル名を入力し、[ 認証 ] でタイプ
（[ ローカルデータベース ]、[LDAP]、[Kerberos]、ま
たは [RADIUS]）を選択します。
設定を保存します。
[サーバープロファイル] で、ステップ 1 で作成したプ
ロファイルを選択します。
4.
(LDAP AD) [ ログイン属性 ] に「sAMAccountName」と
入力します。
5.
[OK] をクリックします。
[ コミット ] をクリックします。
大規模 VPN
大規模 VPN (LSVPN)
LSVPN の GlobalProtect ゲートウェイの設定
LSVPN の GlobalProtect ゲートウェイの設定
ポータルがサテライトに配信する GlobalProtect 設定にはサテライトが接続できるゲートウェイの
リストが含まれているため、ポータルを設定する前にゲートウェイを設定すると良いでしょう。

前提となるタスク

ゲートウェイの設定
前提となるタスク
GlobalProtect ゲートウェイを設定する前に、以下のタスクを完了している必要があります。

各ゲートウェイを設定するインターフェイス用のインターフェイス（およびゾーン）を作
成している。物理インターフェイスと仮想トンネルインターフェイスの両方を設定する必
要があります。「LSVPN のインターフェイスおよびゾーンの作成」を参照してください。

GlobalProtect サテライトおよびゲートウェイで相互の SSL/TLS 接続を確立できるようにする
ために必要なゲートウェイサーバー証明書および証明書プロファイルのセットアップ。
「GlobalProtect LSVPN コンポーネント間の SSL の有効化」を参照してください。
ゲートウェイの設定
「前提となるタスク」を完了したら、以下のように LSVPN に参加する各 GlobalProtect ゲート
ウェイを設定します。
LSVPN のゲートウェイの設定
ステップ 1
大規模 VPN
ゲートウェイを追加します。
1.
[Network] > [GlobalProtect] > [ ゲートウェイ ] の順に
選択し、[ 追加 ] をクリックします。
2.
[ 全般 ] タブで、[ 名前 ] フィールドにゲートウェイ名を
入力します。ゲートウェイ名にスペースを含めること
はできません。ゲートウェイを識別しやすくするため
に場所などの情報を含めることをお勧めします。
3.
（任意）[ 場所 ] フィールドから、このゲートウェイが
属する仮想システムを選択します。
591
LSVPN の GlobalProtect ゲートウェイの設定
大規模 VPN (LSVPN)
LSVPN のゲートウェイの設定（続き）
ステップ 2
サテライトがゲートウェイに 1.
接続できるようにネットワー
ク情報を指定します。
2.
ゲートウェイ用のネットワー
クインターフェイスをまだ作 3.
成していない場合は、
「LSVPN のインターフェイス
およびゾーンの作成」の手順
を参照してください。ゲート
ウェイ用のサーバー証明書を
まだ作成していない場合は、
「GlobalProtect LSVPN コンポー
ネントへのサーバー証明書のデ
プロイ」を参照してください。
ステップ 3
サテライトがゲートウェイへの入力アクセスに使用す
る [ インターフェイス ] を選択します。
ゲートウェイアクセス用の [IP アドレス ] を選択し
ます。
[ サーバー証明書 ] ドロップダウンリストから、ゲート
ウェイのサーバー証明書を選択します。
トンネルを確立しようとして LSVPN コンポーネント間の SSL 通信用に作成した [ 証明書
いるサテライトの認証に使用プロファイル ] を選択します。
するゲートウェイの証明書プ
ロファイルを選択します。
証明書プロファイルをまだセッ
トアップしていない場合、手順
については「GlobalProtect
LSVPN コンポーネント間の SSL
の有効化」を参照してくださ
い。
ステップ 4
592
トンネルパラメータを設定し 1.
てトンネルを有効にします。
[GlobalProtect ゲートウェイ ] ダイアログで、[ サテライ
ト設定 ] > [ トンネル設定 ] の順に選択します。
2.
[ トンネル設定 ] チェックボックスをオンにして、トン
ネルを有効にします。
3.
[トンネルインターフェイス] で、「LSVPN のインター
フェイスおよびゾーンの作成」のステップ 2 で定義し
たトンネルインターフェイスを選択します。
4.
（任意）カプセル化されたパケットで ToS (Type of
Service）情報を保持する場合、[TOS のコピー] チェッ
クボックスをオンにします。
大規模 VPN
大規模 VPN (LSVPN)
LSVPN の GlobalProtect ゲートウェイの設定
LSVPN のゲートウェイの設定（続き）
ステップ 5
ステップ 6
（任意）トンネルモニタリング 1.
を有効化します。
[ トンネルモニタリング ] チェックボックスをオンにし
ます。
トンネルモニタリングによっ 2.
て、サテライトデバイスはそ
のゲートウェイトンネル接続
を監視でき、接続に失敗した
場合にバックアップゲート
ウェイにフェイルオーバーで
きるようになります。別の
ゲートウェイへのフェイル 3.
オーバーは、LSVPN でサポー
トされている唯一のトンネル
モニタリングプロファイルの
タイプです。
[ 宛先 IP] フィールドで、ゲートウェイがアクティブか
どうかをサテライトデバイスが判断するために使用す
るアドレスを指定します。または、トンネルインター
フェイスに IP アドレスを設定した場合はこのフィール
ドを空白のままにでき、トンネルモニターは代わりに
トンネルインターフェイスを使用して接続がアクティ
ブかどうかを判断します。
[トンネルモニターのプロファイル] ドロップダウンリ
ストから [ フェイルオーバー] を選択します（これは、
サポートされる唯一の LSVPN のトンネルモニターの
プロファイルです）。
トンネル接続を確立するとき [IPSec 暗号プロファイル ] ドロップダウンリストから
に使用する [ 暗号プロファイル ] [default] を選択するか、必要に応じて、[ 新規 - IPSec 暗号
を選択します。
プロファイル ] を選択して新しいプロファイルを定義しま
す。暗号プロファイルの認証および暗号化のオプションの
暗号プロファイルは、トンネ
詳細は、オンラインヘルプを参照してください。
ルを通過するデータを安全に
するための IPSec 暗号化や認証
方法のタイプを指定します。
LSVPN の両方のトンネルエン
トポイントが組織内の信頼さ
れるファイアウォールである
ため、一般に、SHA-1 暗号化を
含む ESP-DH group2-AES 128 を
使用するデフォルトのプロ
ファイルを使用できます。
ただし、暗号化と認証メカニ
ズムの異なる組み合わせが必
要な場合、必要に応じてカス
タム IPSec 暗号プロファイルを
作成できます。
大規模 VPN
593
LSVPN の GlobalProtect ゲートウェイの設定
大規模 VPN (LSVPN)
LSVPN のゲートウェイの設定（続き）
ステップ 7
IPSec トンネルの確立中に、ネッ 1.
トワークを設定しサテライト
を割り当てます。
2.
サテライトをホストする
ファイアウォールに
DHCP サーバーを設定す
ることで、DNS 設定を
そのローカルクライア
ントにプッシュするよう
にサテライトデバイス
を設定することもできま
す。この設定では、サテ
ライトはゲートウェイか
ら収集する DNS 設定を
3.
DHCP クライアントに
プッシュします。
4.
[GlobalProtect ゲートウェイ ] ダイアログで、[ サテライ
ト設定 ] > [ ネットワーク設定 ] の順に選択します。
（任意）サテライトデバイスにローカルなクライアント
が企業ネットワーク上の FQDN を解決する必要がある
場合、以下のいずれかの方法で、ゲートウェイが DNS
設定をサテライトにプッシュするように設定します。
• [プライマリ DNS]、[セカンダリ DNS]、[DNS サフィッ
クス ] 設定を、サテライトにプッシュするように手
動で定義します。
• ゲートウェイに DHCP クライアントとして設定され
たインターフェイスがある場合、そのインターフェ
イスへの [ 継承ソース ] を設定すると、GlobalProtect
サテライトは DHCP クライアントによって受信され
るのと同じ設定に割り当てられます。
VPN の確立時に、サテライトデバイスのトンネルイ
ンターフェイスに割り当てるアドレスの [IP プール ] を
指定するには、[ 追加 ] をクリックして使用する IP ア
ドレス範囲を指定します。ダイナミックルーティング
を使用している場合、サテライトについて指定した IP
アドレスが、ゲートウェイおよびサテライトでトンネ
ルインターフェイスに手動で割り当てた IP アドレス
と重複しないようにしてください。
トンネルを経由してルーティングする宛先サブネット
を定義するには、[ アクセスルート ] 領域で [ 追加 ] を
クリックして以下のようにルートを入力します。
• サテライトからのすべてのトラフィックをトンネル
を経由してルーティングする場合、このフィールド
は空白のままにします。その場合、ローカルサブ
ネット宛てのトラフィックを除くすべてのトラ
フィックはゲートウェイにトンネリングされます。
• 一部のトラフィックのみをゲートウェイ経由でルー
ティングするには（スプリットトンネルと呼ばれま
す）、トンネルする必要のある宛先サブネットを指
定します。この場合、サテライトは独自のルーティ
ングテーブルを使用して、指定したアクセスルー
トの宛先になっていないトラフィックをルーティン
グします。たとえば、企業ネットワークの宛先に
なっているトラフィックのみをトンネルし、ローカ
ルサテライトを使用して安全にインターネットア
クセスを有効にすることができます。
• サテライト間のルーティングを有効にするには、各
サテライトによって保護されたネットワークのサマ
リールートを入力します。
594
大規模 VPN
大規模 VPN (LSVPN)
LSVPN の GlobalProtect ゲートウェイの設定
LSVPN のゲートウェイの設定（続き）
ステップ 8
ステップ 9
（任意）ゲートウェイがサテ 1.
ライトから受け入れるルート
（ある場合）を定義します。
ゲートウェイがサテライトによって通知されたルート
を受け入れるようにするには、[ サテライト設定 ] >
[ ルートフィルタ ] の順に選択します。
デフォルトでは、ゲートウェ 2.
イはサテライトが通知した
ルートをルーティングテーブ 3.
ルに追加しません。ゲート
ウェイがサテライトからの
ルートを受け入れないように
する場合、この手順を実行す
る必要はありません。
[ 公開されたルートの受け入れ ] チェックボックスをオ
ンにします。
ゲートウェイの設定を保存し 1.
ます。
2.
大規模 VPN
サテライトによって通知されたルートのうちゲート
ウェイルーティングテーブルに追加するものをフィル
タリングするには、[ 追加 ] をクリックして含めるサブ
ネットを定義します。たとえば、すべてのサテライト
が LAN 側のサブネット 192.168.x.0/24 で設定されてい
る場合、許可されたルートの 192.168.0.0/16 を設定する
と、ゲートウェイはサテライトが 192.168.0.0/16 サブ
ネットにある場合のみサテライトからのルートを受け
入れます。
[OK] をクリックして設定を保存し、[GlobalProtect ゲー
トウェイ ] ダイアログを閉じます。
設定を [ コミット ] します。
595
LSVPN の GlobalProtect ポータルの設定
大規模 VPN (LSVPN)
LSVPN の GlobalProtect ポータルの設定
GlobalProtect ポータルでは、GlobalProtect LSVPN の管理機能を提供します。LSVPN に参加する
すべてのサテライトシステムは、ポータルから設定情報を受信します。これには、使用可能な
ゲートウェイ、ゲートウェイへの接続に必要な証明書などの情報が含まれます。
以下のセクションでは、ポータルのセットアップの手順について説明します。

前提となるタスク

ポータルの設定

サテライト設定の定義
前提となるタスク
GlobalProtect ポータルを設定するには、以下のタスクを完了しておく必要があります。

ポータルを設定する予定のファイアウォールインターフェイスのためのインターフェイス（お
よびゾーン）の作成。「LSVPN のインターフェイスおよびゾーンの作成」を参照してくだ
さい。

ポータルサーバー証明書、ゲートウェイサーバー証明書の発行と、サテライトのサーバー
証明書を発行するためのポータルのセットアップ。「GlobalProtect LSVPN コンポーネント
間の SSL の有効化」を参照してください。

シリアル番号が使用できない場合に GlobalProtect サテライトを認証するために使用される認
証プロファイルの定義。「サテライトを認証するためのポータルの設定」を参照してくだ
さい。

GlobalProtect ゲートウェイを設定しておきます。「LSVPN の GlobalProtect ゲートウェイの設
定」を参照してください。
ポータルの設定
「前提となるタスク」を完了したら、以下のように GlobalProtect ポータルを設定します。
LSVPN のポータルの設定
ステップ 1
596
ポータルを追加します。
1.
[Network] > [GlobalProtect] > [ ポータル ] の順に選択
し、[ 追加 ] をクリックします。
2.
[ ポータル設定 ] タブで、ポータルの [ 名前 ] を入力し
ます。ポータル名にスペースを含めることはできま
せん。
3.
（任意）[ 場所 ] フィールドから、このポータルが属す
る仮想システムを選択します。
大規模 VPN
大規模 VPN (LSVPN)
LSVPN の GlobalProtect ポータルの設定
LSVPN のポータルの設定（続き）
ステップ 2
サテライトがポータルに接続 1.
できるようにネットワーク情
報を指定します。
2.
ポータルのネットワークイン
ターフェイスをまだ作成して 3.
いない場合、作成手順は、
「LSVPN のインターフェイス
およびゾーンの作成」を参照
してください。ポータルの
サーバー証明書の作成とゲー
トウェイ証明書の発行がまだの
場合は、「GlobalProtect LSVPN
コンポーネントへのサーバー証
明書のデプロイ」を参照してく
ださい。
サテライトがポータルへの入力アクセスに使用する
[ インターフェイス ] を選択します。
ポータルへのサテライトアクセスの [IP アドレス ] を
選択します。
サテライトがポータルとの SSL 接続を確立できるよう
に、生成した [ サーバー証明書 ] を選択します。
ステップ 3
サテライトデバイスを認証す • サテライトを認証するために定義した [ 認証プロファイル ]
を選択します。
るための認証プロファイルを
指定します。
• 認証プロファイルをまだセットアップしていない場合、
[ 新規 - 認証プロファイル ] を選択してここで作成します。
サテライトのシリアル番
方法については、「サテライトを認証するためのポータ
号を使用して手動でポー
ルの設定」を参照してください。ポータルが接続するサ
タルを設定する予定で
テライトのシリアル番号を検証できない場合、この認証
あっても、認証プロファ
プロファイルにフォールバックするため、ポータル設定
イルを定義する必要があ
を保存するために認証プロファイルを設定する必要があ
り、定義しないと設定
ります。
を保存することができ
ません。
ステップ 4
サテライトにプッシュするた [OK] をクリックしてポータル設定を保存するか、「サテ
めの設定の定義を続行するライト設定の定義」を続行します。
か、すでにサテライト設定を
作成している場合は、ポータ
ル設定を保存します。
大規模 VPN
597
LSVPN の GlobalProtect ポータルの設定
大規模 VPN (LSVPN)
サテライト設定の定義
GlobalProtect サテライトが GlobalProtect ポータルに接続して認証に成功すると、ポータルはサテ
ライト設定を配信し、これによってサテライトが接続できるゲートウェイが指定されます。す
べてのサテライトで同じゲートウェイおよび証明書設定を使用する場合、1 つのサテライト設
定を作成しておき、認証が成功したときにすべてのサテライトにそれを配信することができま
す。ただし、たとえばサテライトの 1 つのグループを 1 つのゲートウェイに接続し、サテライ
トの別のグループを別のゲートウェイに接続するなど、異なるサテライト設定が必要な場合、
それぞれについて個別のサテライト設定を作成できます。ポータルは、ユーザー名/グループ名
の登録またはサテライトデバイスのシリアル番号を使用して、デプロイするサテライト設定を
決定します。セキュリティルール評価によって、ポータルはリストの先頭から一致を検索しま
す。一致が見つかると、ポータルは対応する設定をサテライトに配信します。
たとえば、以下の図は、一部の支社ではペリメータファイアウォールによって保護された企業
アプリケーションへの VPN アクセスが必要で、別の支社ではデータセンターへの VPN アクセ
スが必要なネットワークを示しています。
以下の手順に従って、1 つ以上のサテライト設定を作成します。
598
大規模 VPN
大規模 VPN (LSVPN)
LSVPN の GlobalProtect ポータルの設定
GlobalProtect サテライト設定の作成
ステップ 1
サテライトが LSVPN に参加す 1.
るために必要な証明書を指定
します。
[Network] > [GlobalProtect] > [ ポータル ] の順に選択
し、サテライト設定を追加するポータル設定を選択し
てから [ サテライト設定 ] タブを選択します。
2.
[信頼されたルート CA] フィールドで、[追加] をクリッ
クしてからゲートウェイサーバー証明書を発行するた
めに使用する CA 証明書を選択します。ポータルは、
ここで追加したルート CA 証明書を設定の一部として
すべてのサテライトにデプロイするため、サテライト
はゲートウェイとの SSL 接続を確立できます。すべて
のゲートウェイで同じ発行者を使用することをお勧め
します。
ゲートウェイサーバー証明書を発行するために
使用するルート CA 証明書がポータルにない場
合、ここで [ インポート ] できます。ルート CA 証
明書のインポート方法の詳細は、「GlobalProtect
LSVPN コンポーネント間の SSL の有効化」を参照
してください。
3.
[ 証明書の発行 ] ドロップダウンリストから、認証に成
功したときにポータルが証明書をサテライトに発行す
るために使用するルート CA 証明書を選択します。
ステップ 2
サテライト設定を追加します。 [ サテライト設定 ] セクションで、[ 追加 ] をクリックして、
設定の [ 名前 ] を入力します。
サテライト設定は、接続元サ
テライトにデプロイする複数の設定を作成する予定の場合、それぞれについて分か
GlobalProtect LSVPN 設定を指りやすい名前を定義し、区別できるようにしてください。
定します。少なくとも 1 つのサ
テライト設定を定義する必要
があります。
大規模 VPN
599
LSVPN の GlobalProtect ポータルの設定
大規模 VPN (LSVPN)
GlobalProtect サテライト設定の作成（続き）
ステップ 3
この設定をデプロイするサテ以下のようにサテライト設定の一致基準を指定します。
ライトを指定します。設定を • この設定を特定のシリアル番号を持つサテライトデバ
取得するサテライトを指定す
イスに制限するには、[ デバイス ] タブを選択して [ 追加 ]
る方法には、ユーザー/ グルー
をクリックし、シリアル番号を入力します（サテライト
プ名を登録する方法とサテライ
ホスト名はサテライトが接続したときに自動的に追加さ
トデバイスのシリアル番号を使
れるため、入力する必要はありません）。この設定を受
用する方法の 2 つがあります。
信するサテライトごとにこの手順を繰り返します。
ポータルは [ 登録ユーザー/ 登 • [ 登録ユーザー/ 登録ユーザーグループ ] タブを選択して
録ユーザーグループ ] 設定また
[追加 ] をクリックし、この設定を受信するユーザーまた
は [ デバイス ] シリアル番号を
はグループを選択します。シリアル番号に一致しないサ
使用してサテライトと設定を
テライトは、ここで指定したユーザー（個人ユーザーまた
照合します。したがって、複
はグループメンバー）として認証する必要があります。
数の設定がある場合、適切に
設定を特定のグループに制限するには、「ユー
順序付けする必要がありま
ザーとグループのマッピング」を有効にしておく
す。ポータルが一致を認める
必要があります。
とすぐに、設定が配信されま
す。そのため、より具体的な
設定が、一般的な設定よりも
優先される必要があります。
サテライト設定のリストの順序
付けの手順については、ステッ
プ 6 を参照してください。
600
大規模 VPN
大規模 VPN (LSVPN)
LSVPN の GlobalProtect ポータルの設定
GlobalProtect サテライト設定の作成（続き）
ステップ 4
この設定を持つサテライトが 1.
VPN トンネルを確立できるゲー 2.
トウェイを指定します。
ゲートウェイによって公
開されたルートはスタ
ティックルートとしてサ 3.
テライトにインストール
されます。スタティック
ルートのメトリックは、
ルーティングの優先順位
の 10 倍です。複数の
4.
ゲートウェイがある場
合、必ずルーティングの
優先順位も設定して、
バックアップゲートウェ
イによって通知される
ルートがプライマリゲー
トウェイによって通知さ
れる同じルートよりも高
いメトリックになるよう
にしてください。たとえ
ば、プライマリゲート
ウェイとバックアップ
ゲートウェイのルーター
の優先順位をそれぞれ 1
と 10 に設定した場合、
サテライトは 10 をプラ
イマリゲートウェイのメ
トリックとして使用し、
100 をバックアップゲー
トウェイのメトリックと
して使用します。
ステップ 5
サテライトの設定を保存し 1.
ます。
2.
[ ゲートウェイ ] タブで [ 追加 ] をクリックします。
[ 名前 ] フィールドに、分かりやすいゲートウェイ名を
入力します。ここで入力する名前は、ゲートウェイを
設定したときに定義した名前と一致し、ゲートウェイ
の場所を識別できるように分かりやすい名前にする必
要があります。
ゲートウェイを設定するインターフェイスの FQDN ま
たは IP アドレスを [ ゲートウェイ ] フィールドに入力
します。指定するアドレスは、ゲートウェイサーバー
証明書に記載された共通名 (CN) と完全に一致する必要
があります。
（任意）設定に 2 つ以上のゲートウェイを追加してい
る場合、[ ルーターの優先順位 ] を使用するとサテライ
トが優先するゲートウェイを選択できます。1 ～ 25 の
範囲で値を入力します。小さい数値の方が優先順位が
高くなります（つまり、すべてのゲートウェイが使用
できる場合、サテライトが接続するゲートウェイとなり
ます）。サテライトは、ルーティングメトリックを算出
するためにルーティングの優先順位を 10 倍します。
[OK] をクリックして、サテライト設定を保存します。
別のサテライト設定を追加する場合、ステップ 2 から
ステップ 5 を繰り返します。
ステップ 6
適切な設定が各サテライトに • サテライト設定をリストの上位に移動するには、設定を
デプロイされるように、サテ
選択して [ 上へ ] をクリックします。
ライト設定を並べ替えます。
• サテライト設定をリストの下位に移動するには、設定を
選択して [ 下へ ] をクリックします。
ステップ 7
ポータルの設定を保存します。 1.
2.
大規模 VPN
[OK] をクリックして設定を保存し、[GlobalProtect ポー
タル ] ダイアログを閉じます。
変更を [ コミット ] します。
601
LSVPN に参加するためのサテライトデバイスの準備
大規模 VPN (LSVPN)
LSVPN に参加するためのサテライトデバイスの準備
サテライトデバイスが LSVPN に参加するために必要なのは最小限の設定です。必要な設定は
最小限であるため、インストールのために支社に配送する前にデバイスを事前設定できます。
GlobalProtect LSVPN に参加するためのサテライトデバイスの準備
ステップ 1
レイヤー 3 インターフェイスをこれは、サテライトがポータルおよびゲートウェイに接続
設定します。
するために使用する物理インターフェイスです。このイン
ターフェイスは、ローカルの信頼されるネットワークの外
部からのアクセスが可能なゾーンにある必要があります。
ベストプラクティスとして、企業ゲートウェイを宛先とす
るトラフィックを可視化して制御するために、VPN 接続専
用のゾーンを作成します。
ステップ 2
GlobalProtect ゲートウェイとの 1.
VPN トンネルを確立するため
に使用するトンネルの論理ト 2.
ンネルインターフェイスを設
定します。
3.
ダイナミックルーティン
グを使用する予定がなけ
れば、トンネルインター
フェイスに IP アドレス
は必要ありません。ただ 4.
し、IP アドレスをトンネ
ルインターフェイスに割
5.
り当てると、接続の問題
をトラブルシューティン
グするときに役立つ場合
があります。
6.
602
[Network] > [ インターフェイス ] > [ トンネル ] の順に
選択し、[ 追加 ] をクリックします。
[ インターフェイス名 ] フィールドで、「.2」などの数値
のサフィックスを指定します。
[ 設定 ] タブで [ セキュリティゾーン ] ドロップダウン
リストを展開し、既存のゾーンを選択するか、[ 新規ゾーン ] をクリックして [ 名前 ] フィールドで新しい
ゾーンの名前（「lsvpnsat」など）を定義して VPN トン
ネルトラフィック用の個別のゾーンを作成します。
[ 仮想ルーター] ドロップダウンリストで、[ デフォルト ]
を選択します。
（任意）IP アドレスをトンネルインターフェイスに割
り当てるには、[IPv4] タブを選択してから [IP] セク
ションで [ 追加 ] をクリックし、インターフェイスに割
り当てる IP アドレスとネットマスク（例 : 2.2.2.11/24）
を入力します。
インターフェイス設定を保存するには、[OK] をクリッ
クします。
大規模 VPN
大規模 VPN (LSVPN)
LSVPN に参加するためのサテライトデバイスの準備
GlobalProtect LSVPN に参加するためのサテライトデバイスの準備（続き）
ステップ 3
サテライトによって信頼され 1.
ないルート CA を使用してポー
タルサーバー証明書を生成し
た場合（たとえば、自己署名
証明書を使用した場合）、
ポータルサーバー証明書を発行
するために使用するルート CA
証明書をインポートします。
ルート CA 証明書は、サテライ
トデバイスがポータルとの最
初の接続を確立して LSVPN 設
定を取得できるようにするた
めに必要です。
ポータルサーバー証明書を生成するために使用された
CA 証明書をダウンロードします。自己署名証明書を
使用している場合、以下のようにルート CA 証明書を
ポータルからエクスポートします。
a. [Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス
証明書 ] の順に選択します。
b. [CA 証明書 ] を選択して [ エクスポート ] をクリック
します。
c. [ ファイルフォーマット ] ドロップダウンリストから
[Base64 エンコード済み証明書 (PEM)] を選択し、
[OK] をクリックして証明書をダウンロードします
（秘密鍵をエクスポートする必要はありません）
2.
以下のように、エクスポートしたルート CA 証明書を
各サテライトにインポートします。
a. [Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス
証明書 ] の順に選択し、[ インポート ] をクリックし
ます。
b. [ 証明書名 ] フィールドに、クライアント CA 証明書
であることを識別できる名前を入力します。
c. [ 参照 ] をクリックして、CA からダウンロードした
証明書ファイルを選択します。
d. [Base64 エンコード済み証明書 (PEM)] を [ ファイル
フォーマット ] フィールドで選択し、[OK] をクリッ
クします。
e. [ デバイス証明書 ] タブで、先ほどインポートした証
明書を選択して開きます。
f. [ 信頼されたルート CA] を選択して [OK] をクリック
します。
大規模 VPN
603
LSVPN に参加するためのサテライトデバイスの準備
大規模 VPN (LSVPN)
GlobalProtect LSVPN に参加するためのサテライトデバイスの準備（続き）
ステップ 4
ステップ 5
ステップ 6
604
IPSec トンネル設定を設定し 1.
ます。
[Network] > [IPSec トンネル ] の順に選択して [ 追加 ]
をクリックします。
2.
[ 全般 ] タブの [ 名前 ] フィールドに IPSec 設定の分か
りやすい名前を入力します。
3.
サテライトについて作成した [ トンネルインターフェイ
ス ] を選択します。
4.
[ タイプ ] として [GlobalProtect サテライト ] を選択し
ます。
5.
ポータルの IP アドレスまたは FQDN を [ ポータルアド
レス ] として入力します。
6.
サテライト用に設定したレイヤー 3 の [インターフェイ
ス ] を選択します。
7.
選択したインターフェイスで使用する [ ローカル IP ア
ドレス ] を選択します。
（任意）ゲートウェイにロー 1.
カルルートを公開するように
サテライトを設定します。
サテライトがルートをゲートウェイにプッシュできる
ようにするには、[ 詳細 ] タブで [ 静的なすべての接続
済みルートをゲートウェイに公開 ] をオンにします。
ルートをゲートウェイにプッ 2.
シュすると、サテライトに
ローカルなサブネットへのト
ラフィックがゲートウェイを
経由できるようになります。
ただし、ゲートウェイでも
ルートを受け入れるように設
定する必要があります。
（任意）すべてのルートではなく特定のサブネットの
ルートのみをプッシュするには、[ サブネット ] セク
ションで [ 追加 ] をクリックして公開するサブネット
ルートを指定します。
サテライトの設定を保存し 1.
ます。
2.
[OK] をクリックして、IPSec トンネル設定を保存します。
[ コミット ] をクリックします。
大規模 VPN
大規模 VPN (LSVPN)
LSVPN に参加するためのサテライトデバイスの準備
GlobalProtect LSVPN に参加するためのサテライトデバイスの準備（続き）
ステップ 7
必要に応じて、認証情報を入 1.
力し、サテライトがポータル
の認証を受けられるようにし
ます。
2.
この手順は、ポータルが設定
内に一致するシリアル番号を
検出できなかった場合、また
はシリアル番号が機能しな
かった場合のみ必要になりま
す。この場合、サテライトは
ゲートウェイとのトンネルを
確立できません。
大規模 VPN
[Network] > [IPSec トンネル ] の順に選択し、LSVPN
用に作成したトンネル設定の [ 状態 ] 列で [ ゲートウェ
イ情報 ] リンクをクリックします。
[ ポータル状態 ] フィールドで [ 資格情報の入力 ] リン
クをクリックし、サテライトがポータルの認証を受け
られるようにするために必要なユーザー名とパスワー
ドを入力します。
サテライトがポータルの認証を受けると、その署名付
き証明書と設定を受信し、それを使用してゲートウェ
イに接続します。トンネルが確立され [ 状態 ] が [ アク
ティブ ] に変更されます。
605
LSVPN 設定の確認
大規模 VPN (LSVPN)
LSVPN 設定の確認
ポータル、ゲートウェイ、サテライトデバイスを設定したら、サテライトがポータルおよび
ゲートウェイに接続して、ゲートウェイとの VPN トンネルを確立できることを確認します。
LSVPN 設定の確認
ステップ 1
サテライトとポータルの接続ポータルをホストするファイアウォールから、[Network] >
を確認します。
[GlobalProtect] > [ ポータル ] の順に選択してポータル設定
エントリの [ 情報 ] 列で [ サテライト情報 ] をクリックし
て、サテライトが接続に成功したことを確認します。
ステップ 2
サテライトとゲートウェイのゲートウェイをホストするファイアウォールから、
接続を確認します。
[Network] > [GlobalProtect] > [ ゲートウェイ ] の順に選択
してゲートウェイ設定エントリの [ 情報 ] 列で [ サテライト
情報 ] をクリックして、サテライトが VPN トンネルを確立
できることを確認します。ゲートウェイとのトンネルを正
常に確立したサテライトが [ アクティブサテライト ] タブ
に表示されます。
ステップ 3
サテライトでの LSVPN トンネサテライトをホストする各ファイアウォールで、
ルの状態を確認します。
[Network] > [IPSec トンネル ] の順に選択することによっ
てトンネルの状態を確認し、緑色のアイコンでアクティブ
な状態が示されていることを確認します。
606
大規模 VPN
大規模 VPN (LSVPN)
LSVPN のクイック設定
LSVPN のクイック設定
以下のセクションでは、一般的な GlobalProtect LSVPN のデプロイメント設定のための手順を説
明します。

スタティックルーティングを使用した基本的な LSVPN 設定

ダイナミックルーティングを使用した高度な LSVPN 設定
大規模 VPN
607
スタティックルーティングを使用した基本的な LSVPN 設定
大規模 VPN (LSVPN)
スタティックルーティングを使用した基本的な LSVPN 設定
このクイック設定では、最短時間で LSVPN を起動して実行する方法を示します。この例では、
企業の本社側で 1 つのファイアウォールをポータルおよびゲートウェイの両方として設定しま
す。サテライトデバイスは、最小限の設定で素早く簡単にデプロイすることができ、最適な拡
張性が得られます。
以下のワークフローは、この基本的な設定をセットアップするための手順を示しています。
クイック設定 : スタティックルーティングを使用した基本的な LSVPN
ステップ 1
レイヤー 3 インターフェイスをこの例では、ポータル / ゲートウェイのレイヤー 3 イン
設定します。
ターフェイスで以下の設定が必要です。
• インターフェイス — ethernet1/11
• セキュリティゾーン — lsvpn-unt
• IPv4 — 203.0.113.11/24
ステップ 2
GlobalProtect ゲートウェイをホス
トするファイアウォールで、
GlobalProtect サテライトによって
確立される VPN トンネルを終端
する論理トンネルインターフェ
イスを設定します。
この例では、ポータル / ゲートウェイのトンネルインター
フェイスで以下の設定が必要です。
• インターフェイス — tunnel.1
• セキュリティゾーン — lsvpn-tun
VPN を経由して接続す
るユーザーおよびグルー
プを可視化するために
は、VPN トンネルが終
端するゾーンで User-ID
を有効にしてください。
608
大規模 VPN
大規模 VPN (LSVPN)
スタティックルーティングを使用した基本的な LSVPN 設定
クイック設定 : スタティックルーティングを使用した基本的な LSVPN（続き）
ステップ 3
セキュリティポリシールールを作成して、トンネルが終端する VPN ゾーン (lsvpn-tun) と企
業アプリケーションが存在する Trust ゾーン (L3-Trust) 間でトラフィックをやり取りできる
ようにします。
ステップ 4
ポータル / ゲートウェイの自己 1.
署名サーバー証明書を発行し
ます。
証明書のサブジェクト名は、
ポータル / ゲートウェイについ
て作成したレイヤー 3 インター
フェイスの FQDN または IP ア
ドレスに一致する必要があり 2.
ます。
ポータルをホストするファイアウォールで、
GlobalProtect コンポーネントの自己署名証明書を発行
するためにルート CA 証明書を作成します。この例で
は、ルート CA 証明書「lsvpn-CA」がポータル / ゲート
ウェイのサーバー証明書を発行するために使用されま
す。さらに、ポータルはこのルート CA 証明書を使用
してサテライトデバイスからの CSR に署名します。
GlobalProtect ポータルおよびゲートウェイのサーバー証
明書を生成します。
この例ではポータルとゲートウェイが同じインター
フェイス上にあるため、サーバー証明書を共有できま
す。この例では、サーバー証明書の名前は「lsvpnserver」
です。
ステップ 5
証明書プロファイルを作成しこの例では、証明書プロファイル「lsvpn-profile」がルート
ます。
CA 証明書「isvpn-CA」を参照します。ゲートウェイはこの
証明書プロファイルを使用して、VPN トンネルの確立を試
みるサテライトを認証します。
ステップ 6
サテライトのシリアル番号が 1.
使用できない場合に使用する 2.
ポータルの認証プロファイル
を設定します。
ステップ 7
ポータルでサーバープロファイルを作成します。
認証プロファイルを作成します。この例では、プロファ
イル「lsvpn-sat」がサテライトの認証に使用されます。
LSVPN のゲートウェイの設定。 [Network] > [GlobalProtect] > [ ゲートウェイ ] の順に選択
し、設定を [追加] します。この例では、以下のゲートウェ
イ設定が必要です。
• インターフェイス — ethernet1/11
• IP アドレス — 203.0.113.11/24
• サーバー証明書 — lsvpnserver
• 証明書プロファイル — lsvpn-profile
• トンネルインターフェイス — tunnel.1
• プライマリ DNS/ セカンダリ DNS — 4.2.2.1/4.2.2.2
• IP プール — 2.2.2.111-2.2.2.120
• アクセスルート — 10.2.10.0/24
大規模 VPN
609
スタティックルーティングを使用した基本的な LSVPN 設定
大規模 VPN (LSVPN)
クイック設定 : スタティックルーティングを使用した基本的な LSVPN（続き）
ステップ 8
LSVPN のポータルの設定。
[Network] > [GlobalProtect] > [ ポータル ] の順に選択し、
設定を [ 追加 ] します。この例では、以下のポータル設定
が必要です。
• インターフェイス — ethernet1/11
• IP アドレス — 203.0.113.11/24
• サーバー証明書 — lsvpnserver
• 認証プロファイル設定 — lsvpn-sat
ステップ 9
GlobalProtect サテライト設定のポータル設定の [ サテライト設定 ] タブで、サテライト設
作成。
定および信頼されたルート CA を [ 追加 ] し、ポータルがサ
テライトの証明書の発行に使用する CA を指定します。こ
の例では、必要な設定は以下のようになります。
• ゲートウェイ — 203.0.113.11
• 証明書の発行 — lsvpn-CA
• 信頼されたルート CA — lsvpn-CA
ステップ 10 LSVPN に参加するためのサテこの例のサテライト設定では、以下の設定が必要です。
ライトデバイスの準備。
インターフェイス設定
• レイヤー 3 インターフェイス — ethernet1/1、203.0.113.13/24
• トンネルインターフェイス — tunnel.2
• ゾーン — lsvpnsat
ポータルからのルート CA 証明書
• lsvpn-CA
IPSec トンネル設定
• トンネルインターフェイス — tunnel.2
• ポータルアドレス — 203.0.113.11
• インターフェイス — ethernet1/1
• ローカル IP アドレス — 203.0.113.13/24
• 静的なすべての接続済みルートをゲートウェイに公開 —
オン
610
大規模 VPN
大規模 VPN (LSVPN)
ダイナミックルーティングを使用した高度な LSVPN 設定
ダイナミックルーティングを使用した高度な LSVPN 設定
複数のゲートウェイと多数のサテライト大規模な LSVPN のデプロイメントでは、初期設定に少
し時間をかけてダイナミックルーティングをセットアップすることで、アクセスルートが動的
に更新されるようになるため、ゲートウェイ設定のメンテナンスが簡略化されます。以下の設
定例では、基本的な LSVPN 設定を拡張して OSPF をダイナミックルーティングプロトコルと
して設定する方法を示しています。
ダイナミックルーティングに OSPF を使用するように LSVPN をセットアップするには、ゲート
ウェイおよびサテライトで以下の追加手順が必要です。

すべてのゲートウェイおよびサテライトでインターフェイスをトンネルするために IP アドレ
スを手動で割り当てる。

すべてのゲートウェイおよびサテライトで仮想ルーターの OSPF ポイントツーマルチポイン
ト (P2MP) を設定する。さらに、各ゲートウェイでの OSPF 設定の一環として、各サテライト
のトンネル IP アドレスを OSPF ネイバーとして手動で定義する必要があります。同様に、各
サテライトで、各ゲートウェイのトンネル IP アドレスを OSPF ネイバーとして手動で定義す
る必要があります。
ダイナミックルーティングでは LSVPN の初期設定中に追加のセットアップが必要ですが、こ
れにより、ネットワークでトポロジが変更されたときにルートを最新の状態に保つためのメン
テナンスタスクが軽減されます。
以下の図は、LSVPN ダイナミックルーティング設定を示しています。この例は、OSPF を VPN
のダイナミックルーティングプロトコルとして設定する方法を示しています。
LSVPN の基本的なセットアップは、「スタティックルーティングを使用した基本的な LSVPN
設定」の手順に従って行います。基本的なセットアップを行った後で、以下のワークフローの
手順を実行して、スタティックルーティングではなくダイナミックルーティングを使用するよ
うに設定を拡張できます。
大規模 VPN
611
ダイナミックルーティングを使用した高度な LSVPN 設定
大規模 VPN (LSVPN)
クイック設定 : ダイナミックルーティングを使用した LSVPN
ステップ 1
IP アドレスを各ゲートウェイお各ゲートウェイおよび各サテライトで以下の手順を実行し
よび各サテライトのトンネルます。
インターフェイス設定に追加 1. [Network] > [ インターフェイス ] > [ トンネル ] の順に
します。
選択し、LSVPN 用に作成したトンネル設定を選択して
[ トンネルインターフェイス ] ダイアログを開きます。
重要 :
トンネルインターフェイスをまだ作成していない場
サテライトトンネルインター
合、「クイック設定 : スタティックルーティングを使
フェイスに割り当てる IP アド
用した基本的な LSVPN」のステップ 2 を参照してくだ
レスは、ゲートウェイトンネ
さい。
ルインターフェイスに割り当
2. [IPv4] タブで [ 追加 ] をクリックして、IP アドレスとサ
てる IP アドレスとは異なるサ
ブネットマスクを入力します。たとえば、ゲートウェ
ブネットにある必要がありま
イトンネルインターフェイスの IP アドレスを追加す
す。さらに、サテライトに割
るには「2.2.2.100/24」と入力します。
り当てる IP アドレスは、ゲー
トウェイ設定で定義した指名 3. [OK] をクリックして設定を保存します。
IP プールと重複しないように
する必要があります。重複す
ると、デバイスは隣接を確立
できなくなります。
ステップ 2
ゲートウェイでダイナミックゲートウェイで OSPF を設定するには、以下の手順を実行
ルーティングプロトコルを設します。
定します。
1. [Network] > [ 仮想ルーター] の順に選択し、VPN イン
ターフェイスに関連付けられた仮想ルーターを選択し
ます。
612
2.
[ エリア ] タブで [ 追加 ] をクリックしてバックボーン
エリアを作成するか、すでに設定している場合は、エ
リア ID をクリックして編集します。
3.
新しいエリアを作成している場合、[ エリア ID] を [ タ
イプ ] タブに入力します。
4.
[インターフェイス] タブで [追加] をクリックし、LSVPN
について作成したトンネルの [ インターフェイス ] を選
択します。
5.
[ リンクタイプ ] として [P2mp] を選択します。
6.
[ ネイバー] セクションで [ 追加 ] をクリックし、各サテ
ライトデバイスのトンネルインターフェイスの IP ア
ドレスを「2.2.2.111」のように入力します。
7.
[OK] を 2 回クリックして仮想ルーター設定を保存して
から、[コミット ] をクリックして変更内容をゲートウェ
イにコミットします。
8.
この手順を、新しいサテライトを LSVPN に追加するご
とに繰り返します。
大規模 VPN
大規模 VPN (LSVPN)
ダイナミックルーティングを使用した高度な LSVPN 設定
クイック設定 : ダイナミックルーティングを使用した LSVPN（続き）
ステップ 3
大規模 VPN
サテライトでダイナミックサテライトで OSPF を設定するには、以下の手順を実行し
ルーティングプロトコルを設ます。
定します。
1. [Network] > [ 仮想ルーター] の順に選択し、VPN イン
ターフェイスに関連付けられた仮想ルーターを選択し
ます。
2.
[ エリア ] タブで [ 追加 ] をクリックしてバックボーン
エリアを作成するか、すでに設定している場合は、エ
リア ID をクリックして編集します。
3.
新しいエリアを作成している場合、[ エリア ID] を [ タ
イプ ] タブに入力します。
4.
[インターフェイス] タブで [追加] をクリックし、LSVPN
について作成したトンネルの [ インターフェイス ] を選
択します。
5.
[ リンクタイプ ] として [P2mp] を選択します。
6.
[ ネイバー] セクションで [ 追加 ] をクリックし、各
GlobalProtect ゲートウェイのトンネルインターフェイ
スの IP アドレスを「2.2.2.100」のように入力します。
7.
[OK] を 2 回クリックして仮想ルーター設定を保存して
から、[コミット ] をクリックして変更内容をゲートウェ
イにコミットします。
8.
この手順を、新しいゲートウェイを追加するごとに繰
り返します。
613
ダイナミックルーティングを使用した高度な LSVPN 設定
大規模 VPN (LSVPN)
クイック設定 : ダイナミックルーティングを使用した LSVPN（続き）
ステップ 4
ゲートウェイとサテライトがルーターに隣接できることを確認します。
• 各サテライトおよび各ゲートウェイで、ピア隣接が形成され、ルーティングテーブルエ
ントリがピアについて作成されていることを確認します（つまり、サテライトにゲート
ウェイへのルートがあり、ゲートウェイにサテライトへのルートがある）。[Network] >
[ 仮想ルーター] の順に選択し、LSVPN について使用している仮想ルーターの [ 詳細ラン
ライム状態 ] リンクをクリックします。[ ルーティング ] タブで、LSVPN ピアにルートが
あることを確認します。
• [OSPF] > [ インターフェイス ] タブで、[ タイプ ] が [p2mp] であることを確認します。
• [OSPF] > [ ネイバー] タブで、ゲートウェイをホストするファイアウォールがサテライト
をホストするファイアウォールとルーター隣接を確立し、その逆の隣接も確立している
ことを確認します。また、[ 状態 ] が [ フル ] であり、フル隣接が確立されていることも
確認します。
614
大規模 VPN
ネットワーク
Palo Alto Networks の次世代ファイアウォールでは、ダイナミックルーティング、スイッチン
グ、および VPN 接続のサポートなど、柔軟なネットワークアーキテクチャを提供し、さまざ
まなネットワーク環境でファイアウォールのデプロイを可能にします。ファイアウォールで
Ethernet ポートを設定する場合、バーチャルワイヤー、レイヤー 2、レイヤー 3 の中からイン
ターフェイスのデプロイメントを選択できます。さらに、さまざまなネットワークセグメント
に統合できるように、異なるポートでさまざまなインターフェイスタイプを設定できます。
「インターフェイスのデプロイメント」セクションでは、デプロイメントのタイプ別の基本情
報について説明します。デプロイメント情報の詳細は、『Designing Networks with Palo Alto
Networks Firewalls』を参照してください。
以下のトピックでは、ネットワークの概念や、Palo Alto Networks 次世代ファイアウォールを
ネットワークに統合する方法について説明します。

インターフェイスのデプロイメント

仮想ルーター

スタティックルート

RIP

OSPF

BGP

セッション設定とセッションタイムアウト

DHCP

NAT

LACP
ルート配信の詳細は、『Understanding Route Redistribution and Filtering』（英語）を参照してくだ
さい。
ネットワークへの統合
615
インターフェイスのデプロイメント
ネットワーク
インターフェイスのデプロイメント
デプロイメントはインターフェイスレベルで発生するため、Palo Alto Networks ファイアウォー
ルは複数のデプロイメントを同時に稼動させることができます。以下のセクションでは、デプ
ロイメントについて説明します。

バーチャルワイヤーデプロイメント

レイヤー 2 デプロイメント

レイヤー 3 デプロイメント

タップモードデプロイメント
バーチャルワイヤーデプロイメント
バーチャルワイヤーデプロイメントの場合、ファイアウォールは 2 つのポートを結合すること
によってネットワークセグメント上に透過的にインストールされ、スイッチングまたはルー
ティングのいずれも不要な場合にのみ使用する必要があります。
バーチャルワイヤーデプロイメントにより、以下の利点が得られます。

インストールと設定を簡略化します。

周囲のまたは隣接するネットワークデバイスの設定を変更する必要がありません。
工場出荷時のデフォルト設定である「default-vwire」は、Ethernet ポート 1 と 2 を結合し、タグの
ないトラフィックをすべて許可します。ただし、バーチャルワイヤーを使用して任意の 2 つの
ポートを接続し、仮想 LAN (VLAN) タグに基づいてトラフィックをブロックまたは許可するよ
うに設定できます。VLAN タグ「0」はタグのないトラフィックを指します。また、複数のサブ
インターフェイスを作成して異なるゾーンに追加し、VLAN タグ、または VLAN タグと IP 分類
子（アドレス、範囲、またはサブネット）の組み合わせに基づいてトラフィックを分類して、
特定の VLAN タグまたは特定の IP アドレス、範囲、またはサブネットからの VLAN タグにきめ
細かいポリシー制御を適用することもできます。
図 : バーチャルワイヤーデプロイメント
616
ネットワークへの統合
ネットワーク
インターフェイスのデプロイメント
バーチャルワイヤーサブインターフェイス
複数の顧客のネットワークからのトラフィックを管理する必要がある場合、バーチャルワイヤー
サブインターフェイスを使用すると、個別のポリシーを適用するときの柔軟性が高まります。
バーチャルワイヤーサブインターフェイスでは、以下の基準を使用してトラフィックを異なる
ゾーン（必要に応じて別々の仮想システムに属することができる）に区別して分類できます。

VLAN タグ —「図 : サブインターフェイスを持つバーチャルワイヤーデプロイメント（VLAN
タグのみ）」の例は、バーチャルワイヤーサブインターフェイスを使用して、VLAN タグで 2
つの異なる顧客のトラフィックを区別するインターネットサービスプロバイダ (ISP) を示して
います。

VLAN タグと IP 分類子（アドレス、範囲、またはサブネット）との組み合わせ — 以下の例
は、2 つの異なる顧客のトラフィックを管理する 1 つのファイアウォール上に、2 つの異なる
仮想システムを持つ ISP を示しています。この例では、各仮想システムで、VLAN タグおよ
び IP 分類子を持つバーチャルワイヤーサブネットを使用してトラフィックを個別のゾーン
に分類し、各ネットワークの顧客に関連するポリシーを適用する方法を示しています。
バーチャルワイヤーサブインターフェイスのワークフロー
1.
2 つの Ethernet インターフェイスをバーチャルワイヤータイプとして設定し、これらのインターフェ
イスを 1 つのバーチャルワイヤーに割り当てます。
2.
親バーチャルワイヤーにサブインターフェイスを作成し、CustomerA と CustomerB のトラフィックを
区別します。バーチャルワイヤーとして設定されたサブインターフェイスの各ペアに定義する
VLAN タグは同一にします。バーチャルワイヤーは VLAN タグを切り替えないため、このようにす
る必要があります。
3.
新しいサブインターフェイスを作成して IP 分類子を定義します。このタスクは任意であり、VLAN
タグと特定のソース IP アドレス、範囲、またはサブネットの組み合わせに基づいて顧客からのトラ
フィックをさらに管理するために追加のサブインターフェイスと IP 分類子を追加する場合のみ必要
です。
タグのないトラフィックを管理するために IP 分類子を使用することもできます。そのためには、
VLAN タグ「0」を持つサブインターフェイスを作成し、IP 分類子を使用してタグのないトラフィッ
クを管理するために IP 分類子を持つサブインターフェイスを定義する必要があります。
IP 分類は、片側のバーチャルワイヤーに関連付けられているサブインターフェイスでのみ使
用できます。対応する側のバーチャルワイヤーで定義されたサブインターフェイスは同じ
VLAN タグを使用する必要がありますが、IP 分類子を含めることはできません。
図 : サブインターフェイスを持つバーチャルワイヤーデプロイメント（VLAN タグのみ）
ネットワークへの統合
617
インターフェイスのデプロイメント
ネットワーク
「図 : サブインターフェイスを持つバーチャルワイヤーデプロイメント（VLAN タグのみ）」
は、バーチャルワイヤーとして設定された入力インターフェイスである物理インターフェイス
ethernet1/1 経由でファイアウォールに接続された CustomerA と CustomerB を示しています。2 つ
目の物理インターフェイス ethernet1/2 もバーチャルワイヤーの一部であり、インターネットへ
のアクセスを提供する出力インターフェイスです。CustomerA には、サブインターフェイス
ethernet1/1.1（入力）と ethernet1/2.1（出力）もあります。CustomerB には、サブインターフェイ
ス ethernet1/1.2（入力）と ethernet1/2.2（出力）があります。顧客ごとにポリシーを適用するた
め、サブインターフェイスの設定時に適切な VLAN タグとゾーンを割り当てる必要がありま
す。この例の場合、CustomerA のポリシーは Zone1 と Zone2 の間で作成され、CustomerB のポリ
シーは Zone3 と Zone4 の間で作成されます。
トラフィックが CustomerA または CustomerB からファイアウォールに入ると、受信パケットの
VLAN タグは最初に、入力サブインターフェイスで定義された VLAN タグに対して照合されま
す。この例では、1 つのサブインターフェイスが受信パケットにの VLAN タグに一致するた
め、そのサブインターフェイスが選択されます。ゾーンに定義されたポリシーは、パケットが
対応するサブインターフェイスから出る前に評価され、適用されます。
親バーチャルワイヤーインターフェイスとサブインターフェイスで同じ VLAN タグを定義し
ないでください。親バーチャルワイヤーインターフェイスの [タグを許可] リストで定義される
VLAN タグ（[Network] > [バーチャルワイヤー]）がサブインターフェイスに含まれてい
ないことを確認します。
「図 : サブインターフェイスを持つバーチャルワイヤーデプロイメント（VLAN タグおよび IP
分類子）」は、デフォルトの仮想システム (vsys1) に加えて 2 つの仮想システム (vsys) を持つ 1 つ
の物理ファイアウォールに接続された CustomerA および CustomerB を示しています。各仮想シ
ステムは、各顧客について個別に管理される独立した仮想ファイアウォールです。各 vsys には
インターフェイス/サブインターフェイスが接続されており、独立して管理されるセキュリティ
ゾーンがあります。
図 : サブインターフェイスを持つバーチャルワイヤーデプロイメント（VLAN タグおよび IP 分類子）
618
ネットワークへの統合
ネットワーク
インターフェイスのデプロイメント
vsys1 は物理インターフェイス ethernet1/1 および ethernet1/2 をバーチャルワイヤーとして使用す
るようにセットアップされます。ethernet1/1 は入力インターフェイスで、ethernet1/2 はイン
ターネットへのアクセスを提供する出力インターフェイスです。このバーチャルワイヤーは、
サブインターフェイスに割り当てられた VLAN タグ 100 および 200 を除いてすべてのタグあり
およびタグなしのトラフィックを受け入れるように設定されています。
CustomerA は vsys2 で管理され、CustomerB は vsys3 で管理されます。vsys2 および vsys3 で、以下
の vwire サブインターフェイスが適切な VLAN タグおよびゾーンを使用して作成され、ポリ
シー指定を適用します。
顧客
Vsys
vwire サブイン
ターフェイス
ゾーン
VLAN タグ
IP 分類子
A
2
e1/1.1（入力）
Zone3
100
なし
e1/2.1（出力）
Zone4
100
e1/1.2（入力）
Zone5
100
IP サブネット
e1/2.2（出力）
Zone6
100
192.1.0.0/16
e1/1.3（入力）
Zone7
100
IP サブネット
e1/2.3（出力）
Zone8
100
192.2.0.0/16
e1/1.4（入力）
Zone9
200
なし
e1/2.4（出力）
Zone10
200
2
2
B
3
トラフィックが CustomerA または CustomerB からファイアウォールに入ると、受信パケットの
VLAN タグは最初に、入力サブインターフェイスで定義された VLAN タグに対して照合されま
す。この場合、CustomerA には、同じ VLAN タグを使用するサブインターフェイスが複数存在
します。そのため、ファイアウォールは最初にパケット内のソース IP アドレスに基づいて 1 つ
のサブインターフェイスに分類を制限します。ゾーンに定義されたポリシーは、パケットが対
応するサブインターフェイスから出る前に評価され、適用されます。
戻りのトラフィックに対しては、ファイアウォールは顧客側サブインターフェイスの IP 分類子
で定義された宛先 IP アドレスを比較し、適切なバーチャルワイヤーを選択して正確なサブイン
ターフェイス経由でトラフィックをルーティングします。
親バーチャルワイヤーインターフェイスとサブインターフェイスで同じ VLAN タグを定義し
ないでください。親バーチャルワイヤーインターフェイスの [タグを許可] リストで定義される
VLAN タグ（[Network] > [バーチャルワイヤー]）がサブインターフェイスに含まれてい
ないことを確認します。
ネットワークへの統合
619
インターフェイスのデプロイメント
ネットワーク
レイヤー 2 デプロイメント
レイヤー 2 デプロイメントの場合、ファイアウォールは複数ネットワーク間のスイッチングを
行います。ファイアウォールでこのスイッチングを行うには、インターフェイスの各グループ
が 1 つの VLAN オブジェクトに割り当てられている必要があります。レイヤー 2 サブインター
フェイスが共通の VLAN オブジェクトに接続されていると、ファイアウォールで VLAN タグの
スイッチングが行われます。このオプションは、スイッチングが必要な場合に選択します。
図 : レイヤー 2 デプロイメント
レイヤー 3 デプロイメント
レイヤー 3 デプロイメントの場合、ファイアウォールは複数のポート間でトラフィックをルー
ティングします。トラフィックをルーティングするには、各インターフェイスに IP アドレスを
割り当て、仮想ルーターを定義する必要があります。このオプションは、ルーティングが必要
な場合に選択します。
図 : レイヤー 3 デプロイメント
さらに、レイヤー 3 デプロイメントではファイアウォールでのトラフィックをルーティングす
る必要があるため、仮想ルーターを設定する必要があります。「仮想ルーター」を参照してく
ださい。
620
ネットワークへの統合
ネットワーク
インターフェイスのデプロイメント
PPPoE のサポート
ファイアウォールを PPPoE (Point-to-Point Protocol over Ethernet) 終端点として設定し、デジタル
加入者線 (DSL) モデムはあるが、それ以外に接続を終端する PPPoE デバイスがない DSL 環境を
サポートすることができます。
PPPoE オプションを選択し、関連設定を行うことができるのは、インターフェイスがレイ
ヤー 3 インターフェイスとして定義されている場合です。
HA アクティブ/アクティブモードでは、PPPoE はサポートされていません。
DHCP クライアント
DHCP クライアントとして機能し、動的に割り当てられた IP アドレスを受信するようにファイ
アウォールインターフェイスを設定できます。ファイアウォールには、DHCP クライアントイ
ンターフェイスから受信した設定をファイアウォールで稼働中の DHCP サーバーに伝搬する機
能も備えられています。これは一般的に、インターネットサービスプロバイダから提供される
DNS サーバー設定を、ファイアウォールで保護されているネットワークで稼働中のクライアン
トマシンに伝搬する場合に使用されます。
HA アクティブ/アクティブモードでは、DHCP クライアントはサポートされていません。
詳細は、「DHCP」を参照してください。
タップモードデプロイメント
ネットワークタップは、コンピュータネットワーク間を流れるデータにアクセスするためのデ
バイスです。タップモードデプロイメントでは、スイッチの SPAN またはミラーポートを介し
てネットワーク内のトラフィックフローをパッシブにモニターできます。
SPAN ポートまたはミラーポートでは、スイッチの他のポートからトラフィックをコピーする
ことが許可されています。ファイアウォールの 1 つのインターフェイスをタップモード専用イ
ンターフェイスとして割り当て、スイッチの SPAN ポートに接続すると、スイッチの SPAN
ポートからファイアウォールにミラーリングされたトラフィックが提供されます。これによ
り、ネットワークトラフィックフローが通過しないネットワーク内でアプリケーションを可視
化できます。
ファイアウォールをタップモードでデプロイすると、トラフィックのブロック、QoS トラ
フィック制御の適用などのアクションを実行することはできません。
ネットワークへの統合
621
仮想ルーター
ネットワーク
仮想ルーター
ファイアウォールは仮想ルーターを使用して、ルート（スタティックルート）を手動で定義す
るか、レイヤー 3 ルーティングプロトコル（ダイナミックルート）への参加を通じて他のサブ
ネットへのルートを取得します。この方法で取得された最適なルートは、ファイアウォールの
IP ルートテーブルに使用されます。パケットの宛先が異なるサブネットの場合、仮想ルーター
は最適なルートをこの IP ルートテーブルから取得し、パケットをテーブルで定義されたネクス
トホップルーターに転送します。
ファイアウォールで定義された Ethernet インターフェイスおよび VLAN インターフェイスで
は、レイヤー 3 トラフィックが送受信されます。宛先ゾーンは転送基準に基づいた発信イン
ターフェイスによって決定され、ポリシールールに従って適用するセキュリティポリシーが識
別されます。仮想ルーターでは、他のネットワークデバイスにルーティングする以外に、同じ
ファイアウォール内にある他の仮想ルーターにルーティングすることもできます（別の仮想
ルーターがネクストホップとして指定されている場合）。
スタティックルートを追加するのと同じように、動的ルーティングプロトコル（BGP、
OSPF、RIP など）に参加するように仮想ルーターを設定できます。また、複数の仮想ルーター
を作成し、各ルーターが他のルーターと共有しない独立したルートを保持することにより、イ
ンターフェイス間で異なるルーティングの動作を設定できます。
ファイアウォールに定義されたレイヤー 3 インターフェイス、ループバックインターフェイ
ス、および VLAN インターフェイスはそれぞれ、仮想ルーターに関連付けられている必要があ
ります。各インターフェイスは 1 つの仮想ルーターにしか属すことができませんが、1 つの仮想
ルーターに複数のルーティングプロトコルおよびスタティックルートを設定できます。仮想
ルーターに設定されたスタティックルートおよびダイナミックルーティングプロトコルに関
係なく、共通の全般的な設定が必要です。ファイアウォールは Ethernet スイッチングを使用し
て同じ IP サブネット上の他のデバイスにアクセスします。
以下のレイヤー 3 ルーティングプロトコルが仮想ルーターからサポートされます。

RIP

OSPF

OSPFv3

BGP
622
ネットワークへの統合
ネットワーク
仮想ルーター
仮想ルーターの全般的な設定の定義
ステップ 1
ネットワーク管理者から必要 • ルーティングするインターフェイス
な情報を入手します。
• スタティック、OSPF 内部、OSPF 外部、IBGP、EBGP、
RIP の管理上の距離
ステップ 2
仮想ルーターを作成して名前 1.
を付けます。
2.
ステップ 3
ステップ 4
[Network] > [ 仮想ルーター] の順に選択します。
[ 追加 ] をクリックし、仮想ルーターの名前を入力し
ます。
3.
仮想ルーターに適用するインターフェイスを選択し
ます。
4.
[OK] をクリックします。
仮想ルーターに適用するイン 1.
ターフェイスを選択します。
[ インターフェイス ] ボックスで [ 追加 ] をクリックし
ます。
2.
ドロップダウンリストから定義済みのインターフェイ
スを選択します。
3.
仮想ルーターに追加するすべてのインターフェイスに
ついてステップ 2 を繰り返します。
スタティックおよびダイナ 1.
ミックルーティングの管理上
の距離を設定します。
必要に応じて管理上の距離を設定します。
• スタティック — 範囲 : 10 ～ 240。デフォルト : 10
• OSPF 内部 — 範囲 : 10 ～ 240。デフォルト : 30
• OSPF 外部 — 範囲 : 10 ～ 240。デフォルト : 110
• IBGP — 範囲 : 10 ～ 240。デフォルト : 200
• EBGP — 範囲 : 10 ～ 240。デフォルト : 20
• RIP — 範囲 : 10 ～ 240。デフォルト : 120
ステップ 5
仮想ルーターの全般的な設定 [OK] をクリックして、設定を保存します。
を保存します。
ステップ 6
変更をコミットします。
ネットワークへの統合
[ コミット ] をクリックします。デバイスでの変更の保存に
は、最長で 90 秒かかります。
623
スタティックルート
ネットワーク
スタティックルート
以下の手順は、スタティックルーティングを使用してファイアウォールをネットワークに統合
する方法を示しています。
インターフェイスおよびゾーンの設定
ステップ 1
ステップ 2
624
インターネットルーターへのデ 1.
フォルトルートを設定します。
[Network] > [ 仮想ルーター] の順に選択し、default リン
クを選択して [ 仮想ルーター] ダイアログを開きます。
2.
[ スタティックルート ] タブを選択して [ 追加 ] をクリッ
クします。[ 名前 ] フィールドにルート名を入力し、[ 宛
先 ] フィールドにルートの宛先（例 : 0.0.0.0/0）を入力
します。
3.
[ ネクストホップ ] で [IP アドレス ] ラジオボタンをク
リックし、インターネットゲートウェイの IP アドレ
スとネットマスク（例 : 208.80.56.1）を入力します。
4.
[OK] を 2 回クリックして仮想ルーターの設定を保存し
ます。
外部インターフェイス（イン 1.
ターネットに接続するインター
フェイス）を設定します。
[Network] > [ インターフェイス ] の順に選択し、設定
するインターフェイスを選択します。この例では、
Ethernet1/3 を外部インターフェイスとして設定します。
2.
[ インターフェイスタイプ ] を選択します。ここで選択
するタイプはご使用のネットワークトポロジに応じて
異なりますが、この例では、[ レイヤー 3] の場合の手
順を示します。
3.
[ 仮想ルーター] ドロップダウンリストで、[ デフォル
ト ] を選択します。
4.
[ 設定 ] タブで、[ セキュリティゾーン ] ドロップダウ
ンリストから [ 新規ゾーン ] を選択します。[ ゾーン ]
ダイアログの [ 名前 ] で「Untrust」などの名前をつけて
新しいゾーンを定義し、[OK] をクリックします。
5.
IP アドレスをインターフェイスに割り当てるには、
[IPv4] タブと [ スタティック ] ラジオボタンを選択し
ます。[IP] セクションの [ 追加 ] をクリックして、イン
ターフェイスに割り当てる IP アドレスとネットワーク
マスク（例 : 208.80.56.100/24）を入力します。
6.
インターフェイスの ping を有効にするには、[ 詳細 ] >
[ その他の情報 ] の順に選択し、[ 管理プロファイル ] ド
ロップダウンを展開して、[ 新規管理プロファイル ] を
選択します。[ 名前 ] フィールドにプロファイル名を入
力し、[Ping] を選択してから [OK] をクリックします。
7.
インターフェイス設定を保存するには、[OK] をクリッ
クします。
ネットワークへの統合
ネットワーク
スタティックルート
インターフェイスおよびゾーンの設定（続き）
ステップ 3
内部ネットワークに接続するイ 1.
ンターフェイスを設定します。
この例のインターフェイ
スは、プライベート IP
アドレスを使用するネッ
トワークセグメントに
接続します。プライベー
ト IP アドレスは外部に
ルーティングできないた
め、NAT を設定する必
要があります。詳細は、
「NAT の設定」を参照
してください。
ステップ 4
ステップ 5
[Network] > [ インターフェイス ] の順に選択し、設定
するインターフェイスを選択します。この例では、
Ethernet1/4 を内部インターフェイスとして設定します。
2.
[ インターフェイスタイプ ] ドロップダウンリストから
[ レイヤー 3] を選択します。
3.
[ 設定 ] タブで、[ セキュリティゾーン ] ドロップダウ
ンリストを展開して [新規ゾーン] を選択します。[ゾー
ン ] ダイアログの [ 名前 ] で「Trust」などの名前をつけ
て新しいゾーンを定義し、[OK] をクリックします。
4.
ステップ 2 で使用したものと同じ仮想ルーター（この
例ではデフォルト）を選択します。
5.
IP アドレスをインターフェイスに割り当てるには、
[IPv4] タブと [スタティック ] ラジオボタンを選択し、
[IP] セクションで [ 追加 ] をクリックして、インター
フェイスに割り当てる IP アドレスとネットワークマ
スク（例 : 192.168.1.4/24）を入力します。
6.
インターフェイスの ping を有効にするには、ステッ
プ 2 - 6 で作成した管理プロファイルを選択します。
7.
インターフェイス設定を保存するには、[OK] をクリッ
クします。
DMZ に接続するインターフェ 1.
イスを設定します。
2.
設定するインターフェイスを選択します。
[ インターフェイスタイプ ] ドロップダウンリストから
[ レイヤー 3] を選択します。この例では、Ethernet1/13
を DMZ インターフェイスとして設定します。
3.
[ 設定 ] タブで、[ セキュリティゾーン ] ドロップダウ
ンリストを展開して [ 新規ゾーン ] を選択します。[ ゾー
ン ] ダイアログの [ 名前 ] で「DMZ」などの名前をつけ
て新しいゾーンを定義し、[OK] をクリックします。
4.
ステップ 2で使用した仮想ルーター（この例ではデフォ
ルト）を選択します。
5.
IP アドレスをインターフェイスに割り当てるには、
[IPv4] タブと [スタティック ] ラジオボタンを選択し、
[IP] セクションで [追加] をクリックして、インターフェ
イスに割り当てる IP アドレスとネットワークマスク
（例 : 10.1.1.1/24）を入力します。
6.
インターフェイスの ping を有効にするには、ステッ
プ 2 - 6 で作成した管理プロファイルを選択します。
7.
インターフェイス設定を保存するには、[OK] をクリッ
クします。
インターフェイスの設定を保 [ コミット ] をクリックします。
存します。
ネットワークへの統合
625
スタティックルート
ネットワーク
インターフェイスおよびゾーンの設定（続き）
ステップ 6
ファイアウォールを配線しストレートケーブルを使用して、設定したインターフェイ
ます。
スから対応するスイッチまたはルーターにネットワークセ
グメントごとに接続します。
ステップ 7
インターフェイスがアクティ Web インターフェイスから、[Network] > [ インターフェイ
ブであることを確認します。ス ] の順に選択し、[ リンク状態 ] 列のアイコンが緑になっ
ていることを確認します。また、[Dashboard] の [ イン
ターフェイス ] ウィジェットからリンク状態をモニタリン
グすることもできます。
626
ネットワークへの統合
ネットワーク
RIP
RIP
Routing Information Protocol (RIP) は、小規模 IP ネットワーク用に設計された interior gateway
protocol (IGP) です。RIP は、ホップカウントに基づいてルートを決定します。ホップ数が最も
少ないルートが最適ルートになります。RIP は UDP 上で動作し、ルートの更新にポート 520 を
使用します。ルートを最大 15 ホップに制限すると、プロトコルによりルーティングループの発
生が回避され、サポートされるネットワークサイズも制限されます。15 を超えるホップが必要
な場合、トラフィックはルーティングされません。RIP は、OSPF やその他のルーティングプロ
トコルよりも収束に時間がかかる場合があります。ファイアウォールでは RIP v2 がサポートさ
れています。
RIP を設定するには、以下の手順を実行します。
RIP の設定
ステップ 1
全般的な仮想ルーターの設定詳細は、「仮想ルーター」を参照してください。
を設定します。
ステップ 2
全般的な RIP の設定を設定し 1.
ます。
2.
ステップ 3
[RIP] タブを選択します。
RIP プロトコルを有効にするには、[ 有効化 ] チェック
ボックスをオンにします。
3.
RIP 経由でデフォルトルートを学習しない場合は、[ デ
フォルトルートの拒否 ] チェックボックスをオンにし
ます。これが推奨されるデフォルトの設定です。
4.
RIP 経由でデフォルトルートを再配信するのを許可す
る場合は、[ デフォルトルートの拒否 ] チェックボッ
クスをオフにします。
RIP プロトコルのインターフェ 1.
イスを設定します。
[ インターフェイス ] タブで、[ インターフェイス設定 ]
セクションのドロップダウンからインターフェイスを
選択します。
2.
ドロップダウンリストから定義済みのインターフェイ
スを選択します。
3.
[ 有効化 ] チェックボックスをオンにします。
4.
指定したメトリック値でデフォルトルートを RIP ピア
に通知するには、[ 通知 ] チェックボックスをオンにし
ます。
5.
必要に応じて、[ 認証プロファイル ] ドロップダウンリ
ストからプロファイルを選択することもできます。詳
細は、ステップ 5 を参照してください。
6.
[ モード ] ドロップダウンリストから normal、passive、
または send-only を選択します。
7.
[OK] をクリックします。
ネットワークへの統合
627
ネットワーク
RIP
RIP の設定（続き）
ステップ 4
ステップ 5
RIP タイマーを設定します。
1.
[ タイマー] タブで、[ 間隔（秒）] ボックスに値を入力
します。この設定では、タイマー間隔を秒単位で定義
します。この時間は、他の RIP タイミングのフィール
ドで使用されます。デフォルト : 1。範囲 : 1 ～ 60。
2.
[ 更新間隔 ] を入力し、ルートの更新アナウンス間の間
隔を定義します。デフォルト : 30。範囲 : 1 ～ 3600。
3.
[ 削除間隔 ] を指定し、ルートの有効期限が切れてから
削除されるまでの間隔を定義します。デフォルト :
180。範囲 : 1 ～ 3600。
4.
[ 失効の間隔 ] を指定し、ルートが最後に更新されてか
ら失効するまでの間隔を定義します。デフォルト :
120。範囲 : 1 ～ 3600。
（任意）認証プロファイルをデフォルトでは、ファイアウォールは RIP ネイバー間の交
設定します。
換に RIP 認証を使用しません。必要に応じて、簡易パス
ワードまたは MD5 認証を使用して RIP ネイバー間の RIP
認証を設定できます。
簡易パスワード RIP 認証
1. [ 認証プロファイル ] を選択し、[ 追加 ] をクリックし
ます。
2.
RIP メッセージを認証するための認証プロファイル名を
入力します。
3.
[ パスワードタイプ ] として [ 簡易パスワード ] を選択
します。
4.
簡易パスワードを入力してから確認します。
MD5 RIP 認証
1. [ 認証プロファイル ] を選択し、[ 追加 ] をクリックし
ます。
2.
RIP メッセージを認証するための認証プロファイル名を
入力します。
3.
[ パスワードタイプ ] として [MD5] を選択します。
4.
[ 追加 ] をクリックします。
5.
以下を含む 1 つ以上のパスワードエントリを入力し
ます。
• 鍵 ID 範囲 0 ～ 255
• キー
628
6.
必要に応じて [ 優先 ] 状態を選択できます。
7.
[OK] をクリックし、発信するメッセージを認証するた
めに使用するキーを指定します。
8.
[ 仮想ルーター - RIP - 認証プロファイル ] ダイアログ
ボックスで再び [OK] をクリックします。
ネットワークへの統合
ネットワーク
OSPF
OSPF
Open Shortest Path First (OSPF) は、大規模な企業ネットワークでネットワークルートを動的に管
理するために最もよく使用されている interior gateway protocol (IGP) です。OSPF は、Link State
Advertisement (LSA) を経由して別のルーターから情報を取得し、他のルーターにルートを通知す
ることにより、動的にルートを決定します。LSA から収集される情報は、ネットワークのトポ
ロジマップを作成するために使用されます。このトポロジマップはネットワーク内のルー
ター間で共有され、使用可能なルートで IP ルーティングテーブルを入力するために使用され
ます。
ネットワークトポロジの変更は動的に検出され、数秒以内に新しいトポロジマップを生成する
ために使用されます。最短経路のツリーが各ルートについて計算されます。各ルーティングイ
ンターフェイスに関連付けられたメトリックが最適なルートを計算するために使用されます。
これらには距離、ネットワークスループット、リンク可用性などが含まれます。さらに、これ
らのメトリックを静的に設定して、OSPF トポロジマップの結果を誘導することができます。
Palo Alto Networks の OSPF の実装では、以下の RFC を完全にサポートしています。

RFC 2328（IPv4 用）

RFC 5340（IPv6 用）
以下のトピックでは、OSPF の詳細と、ファイアウォールで OSPF を設定する手順を説明します。

OSPF の概念

OSPF の設定

OSPFv3 の設定

OSPF グレースフルリスタートの設定

OSPF 動作の確認
『How to Configure OSPF Tech Note』（英語）も参照してください。
OSPF の概念
以下のトピックでは、ファイアウォールを OSPF ネットワークに参加するように設定するため
に理解しておく必要のある OSPF の概念を紹介します。

OSPFv3

OSPF ネイバー

OSPF エリア

OSPF ルーターのタイプ
ネットワークへの統合
629
OSPF
ネットワーク
OSPFv3
OSPFv3 は、IPv6 ネットワーク内で OSPF ルーティングプロトコルをサポートします。これによ
り、IPv6 アドレスおよびプレフィックスをサポートします。OSPFv2（IPv4 用）の構造および機
能はほとんど保持されますが、わずかながら変更点があります。以下は、OSPFv3 での追加およ
び変更点の一部です。

リンクごとに複数のインスタンスのサポート — OSPFv3 では、1 つのリンクで OSPF プロト
コルの複数のインスタンスを実行できます。これは、OSPFv3 インスタンス ID 番号を割り当
てることで実現されます。インスタンス ID に割り当てられたインターフェイスは、異なる
ID を持つパケットをドロップします。

リンクごとのプロトコル処理 — OSPFv3 は、IP ごとだった OSPFv2 とは異なり、リンクごと
に動作します。

アドレス処理の変更 — リンク状態更新パケット内の LSA ペイロードを除き、IPv6 アドレス
は OSPFv3 パケットに存在しません。隣接するルートはルーター ID によって識別されます。

認証の変更 — OSPFv3 には認証機能が含まれていません。ファイアウォールで OSPFv3 を設
定するには、Encapsulating Security Payload (ESP) または IPv6 Authentication Header (AH) を指定す
る認証プロファイルが必要です。RFC 4552 で指定されているキーの再生成手順はこのリリー
スではサポートされません。

リンクごとに複数のインスタンスをサポート — 各インスタンスは、OSPFv3 パケットヘッダー
に含まれるインスタンス ID に対応します。

新しい LSA タイプ — OSPFv3 は、2 つの新しい LSA タイプである Link LSA と Intra Area Prefix
LSA をサポートしています。
すべての追加の変更点は、RFC 5340 に詳しく記述されています。
OSPF ネイバー
共通のネットワークで接続され、同じ OSPF エリアに存在する 2 つの OSPF が有効なルーターが
関係を築いている場合、これらは OSPF ネイバーです。これらのルーター間の接続は、共通の
ブロードキャストドメインを経由する場合もあれば、ポイントツーポイント接続による場合も
あります。この接続は、hello OSPF プロトコルパケットの交換を通じて確立されます。これら
のネイバー関係は、ルーター間でルーティング更新を交換するために使用されます。
630
ネットワークへの統合
ネットワーク
OSPF
OSPF エリア
OSPF は、1 つの AS (Autonomous System) 内で動作します。ただし、この 1 つの AS 内のネットワー
クは、多数のエリアに分割できます。デフォルトでは、エリア 0 が作成されます。エリア 0 は、
単独で機能することも、多数のエリアの OSPF バックボーンとして機能することもできます。各
OSPF エリアは、ほとんどの場合、IP4 アドレスと同じドット区切りの表記法で記述される
32 ビット識別子を使用して名前が付けられます。たとえば、エリア 0 は通常 0.0.0.0 と記述さ
れます。
エリアのトポロジは独自のリンク状態データベースでメンテナンスされ、他のエリアからは非
表示になるため、OSPF によって必要なトラフィックルーティングが削減されます。トポロジ
は、ルーターを接続することによってエリア間の要約された形式で共有されます。
表 : OSPF エリアのタイプ
エリアタイプ
説明
バックボーンエリア
バックボーンエリア（エリア 0）とは、OSPF ネットワークの中心です。
その他のすべてのエリアはこのエリアに接続され、エリア間のすべてのト
ラフィックはこのエリアを通過する必要があります。エリア間のすべての
ルーティングは、バックボーンエリアを通じて分配されます。その他の
すべての OSPF エリアはバックボーンエリアに接続する必要があります
が、この接続は直接的である必要はなく、仮想リンクを通じて行うことも
できます。
通常の OSPF エリア
通常の OSPF エリアには制限はありません。エリアではすべてのタイプの
ルートを使用できます。
スタブ OSPF エリア
スタブエリアは他の AS からのルートを受信しません。デフォルトルート
を通じてバックボーンエリアまでのスタブエリアからのルーティングが
可能です。
NSSA エリア
Not So Stubby Area (NSSA) とは、いくつかの例外はあるものの、外部ルート
をインポートできるスタブエリアの一種です。
ネットワークへの統合
631
ネットワーク
OSPF
OSPF ルーターのタイプ
OSPF エリア内で、ルーターは以下のカテゴリに分割できます。

内部ルーター — 同じエリアのデバイスのみと OSPF ネイバー関係を持つルーター。

Area Border Router (ABR) — 複数のエリアのデバイスと OSPF ネイバー関係を持つルーター。
ABR は接続されたエリアからトポロジ情報を収集し、バックボーンエリアに分配します。

バックボーンルーター — バックボーンルーターは、OSPF バックボーンに接続された OSPF
ルーターです。ABR は必ずバックボーンに接続されているため、必ずバックボーンルー
ターとして分類されます。

Autonomous System Boundary Router (ASBR) — ASBR とは、複数のルーティングプロトコル
に接続され、その間でルーティング情報を交換するルーターです。
OSPF の設定
OSPF は、Link State Advertisement (LSA) を経由して別のルーターから情報を取得し、他のルー
ターにルートを通知することにより、動的にルートを決定します。ルーターには宛先との間の
リンク情報が保存されているため、より効率的なルート決定を行うことができます。各ルー
ターインターフェイスには 1 つのコストが割り当てられます。経由するすべてのルーターの出
力インターフェイスと LSA を受信したインターフェイスを総和したときコストが最低のルート
となるよう、最適なルートは決定されます。
階層手法を使用して、通知する必要があるルートと関連する LSA の数を制限します。OSPF で
はかなりの量のルート情報が動的に処理されるため、RIP の場合より大規模なプロセッサとメ
モリが必要になります。
OSPF の設定
ステップ 1
全般的な仮想ルーターの設定詳細は、「仮想ルーター」を参照してください。
を設定します。
ステップ 2
全般的な OSPF の設定を設定し 1.
ます。
2.
[OSPF] タブを選択します。
OSPF プロトコルを有効にするには、[ 有効化 ] チェッ
クボックスをオンにします。
3.
必要に応じて、[ ルーター ID] を入力します。
4.
OSPF 経由でデフォルトルートを学習しない場合は、
[ デフォルトルートの拒否 ] チェックボックスをオン
にします。これが推奨されるデフォルトの設定です。
OSPF 経由でデフォルトルートを再配信するのを許可す
る場合は、[ デフォルトルートの拒否 ] チェックボック
スをオフにします。
632
ネットワークへの統合
ネットワーク
OSPF
OSPF の設定（続き）
ステップ 3
OSFP プロトコルの [ エリア ] - 1.
[ タイプ ] を設定します。
2.
3.
[ エリア ] タブで [ 追加 ] をクリックします。
[ エリア ID] を x.x.x.x の形式で入力します。この識別子
を受け入れたネイバーのみが同じエリアに属します。
[ タイプ ] タブで、エリアの [ タイプ ] ドロップダウン
から以下のいずれかを選択します。
• 通常 — 制限はありません。エリアではすべてのタイ
プのルートを使用できます。
• スタブ — エリアからの出口はありません。エリア外
にある宛先に到達するには、別のエリアに接続され
ている境界を通過する必要があります。このオプ
ションを選択する場合、以下を設定します。
– サマリーの受け入れ — Link State Advertisement (LSA)
は他のエリアから受け入れられます。スタブエリ
アのエリアボーダールーター (ABR) インターフェ
イスでこのオプションが無効になっていると、
OSPF エリアは Totally Stubby Area (TSA) として動作
し、ABR はサマリー LSA を伝搬しません。
– デフォルトルートの通知 — デフォルトルート LSA
は、設定された範囲 (1 ～ 255) の設定されたメトリッ
ク値とともにスタブエリアへの通知に含まれます。
• NSSA (Not-So-Stubby Area) — ファイアウォールは、
OSPF ルート以外のルートでのみエリアを出ること
ができます。選択した場合、[ スタブ ] について説明
したように [ サマリーの受け入れ ] および [ デフォル
トルートの通知 ] を設定します。このオプションを
選択する場合、以下を設定します。
– タイプ — デフォルト LSA を通知する [Ext 1] また
は [Ext 2] ルートタイプを選択します。
– Ext 範囲 — セクション内の [ 追加 ] をクリックし、
通知を有効化または停止する外部ルートの範囲を
入力します。
4.
優先順位 — このインターフェイスの OSPF 優先度を入
力します (0 ～ 255)。OSPF プロトコルでは、この優先
順位に基づいて、ルーターが指名ルーター (DR) または
バックアップ DR (BDR) として選択されます。値が 0 の
場合、ルーターが DR または BDR として選択されるこ
とはありません。
• 認証プロファイル — 以前に定義した認証プロファイ
ルを選択します。
• タイミング — デフォルトのタイミング設定のまま使
用することをお勧めします。
• ネイバー — p2pmp インターフェイスの場合、このイ
ンターフェイスを介して到達可能なすべてのネイ
バーに対するネイバー IP アドレスを入力します。
ネットワークへの統合
5.
[ モード ] として [normal]、[passive]、または [send-only]
を選択します。
6.
[OK] をクリックします。
633
ネットワーク
OSPF
OSPF の設定（続き）
ステップ 4
634
OSFP プロトコルの [ エリア ] - 1.
[ 範囲 ] を設定します。
[ 範囲 ] タブで、[ 追加 ] をクリックし、エリア内の LSA
宛先アドレスをサブネットに集約します。
2.
サブネットと一致する LSA の通知を [ 通知 ] または [ 抑
制 ] して、[OK] をクリックします。別の範囲を追加す
る場合は、この操作を繰り返します。
ネットワークへの統合
ネットワーク
OSPF
OSPF の設定（続き）
ステップ 5
OSFP プロトコルの [ エリア ] - 1.
[ インターフェイス ] を設定し
ます。
[ インターフェイス ] タブで、[ 追加 ] をクリックし、エ
リアに含めるインターフェイスごとに以下の情報を入
力します。
• インターフェイス — ドロップダウンボックスから
インターフェイスを選択します。
• 有効化 — OSPF インターフェイス設定を有効にする
にはこのオプションをオンにします。
• パッシブ — OSPF インターフェイスで OSPF パケッ
トを送受信しない場合は、このチェックボックスを
オンにします。このオプションをオンにすると
OSPF パケットは送受信されませんが、インター
フェイスは LSA データベースに追加されます。
• リンクタイプ — このインターフェイスを経由して
アクセス可能なすべてのネイバーを、OSPF hello メッ
セージのマルチキャストによって自動的に検出する
には、[ ブロードキャスト ] を選択します（Ethernet イ
ンターフェイスなど）。自動的にネイバーを検出す
る場合は、[P2p]（ポイントツーポイント）を選択
します。ネイバーを手動で定義する必要がある場合
は、[P2mp]（ポイントツーマルチポイント）を選
択します。ネイバーを手動で定義できるのは、
P2mp モードの場合のみです。
• メトリック — このインターフェイスの OSPF メトリッ
クを入力します。デフォルト : 10。範囲 : 0 ～ 65535。
• 優先順位 — このインターフェイスの OSPF 優先順位
を入力します。この優先度に基づいて、ルーターが
指名ルーター (DR) またはバックアップ DR (BDR) と
して選択されます。デフォルト : 1。範囲 : 0 ～ 255。
0 に設定すると、ルーターが DR または BDR として
選択されることはありません。
• 認証プロファイル — 以前に定義した認証プロファイ
ルを選択します。
• タイミング — 以下の OSPF タイミング設定を指定で
きます。Palo Alto Networks では、デフォルトのタイ
ミング設定を保持することを推奨します。
– Hello 間隔（秒）— OSPF プロセスが直接接続さ
れているネイバーに Hello パケットを送信する間隔
です。デフォルト : 10 秒。範囲 : 0 ～ 3600 秒。
– 失敗許容回数 — Hello 間隔の試行回数で、この回
数を超えても OSPF がネイバーから Hello パケット
を受信しない場合、OSPF はネイバーがダウンして
いるものとみなします。[Hello 間隔 ] に [ 失敗許容
回数 ] を乗じた数が、失敗タイマーの値になりま
す。デフォルト : 4。範囲 : 3 ～ 20。
ネットワークへの統合
635
ネットワーク
OSPF
OSPF の設定（続き）
– リトランスミット間隔（秒）— OSPF がネイバー
から link state advertisement (LSA) を待機する時間で
す。この時間を過ぎると、OSPF が LSA を再送信
します。デフォルト : 10 秒。範囲 : 0 ～ 3600 秒。
– トランジット遅延（秒）— LSA の遅延時間です。
この時間を過ぎると、インターフェイスから送信
されます。デフォルト : 1 秒。範囲 : 0 ～ 3600 秒。
– グレースフルリスタート Hello パケット遅延（秒）—
アクティブ/パッシブ高可用性が設定されている場
合に、OSPF インターフェイスに適用されます。
[ グレースフルリスタート Hello パケット遅延 ]
は、ファイアウォールが 1 秒間隔でグレース LSA
パケットを送信する期間です。この期間は、リス
タート中のファイアウォールから Hello パケットが
送信されません。リスタート中は、失敗タイマー
（[Hello 間隔 ] に [ 失敗許容回数 ] を乗じた数）も
カウントダウンされます。失敗タイマーの時間が
短かすぎる場合は、Hello パケットが遅延したとき
に、グレースフルリスタート中に隣接がダウンし
ます。そのため、失敗タイマーを [ グレースフル
リスタート Hello パケット遅延 ] の値の 4 倍以上に
することをお勧めします。たとえば、[Hello 間隔 ]
が 10 秒で、[ 失敗許容回数 ] が 4 回の場合、失敗タ
イマーは 40 秒になります。[ グレースフルリス
タート Hello パケット遅延 ] が 10 秒に設定されて
いれば、10 秒遅延しても失敗タイマーの 40 秒以内
に十分に収まるため、グレースフルリスタート中
に隣接がタイムアウトになることがありません。
デフォルト : 10 秒。範囲 : 1 ～ 10 秒。
• [ リンクタイプ ] に [P2mp] を選択した場合、このイ
ンターフェイスを通じてアクセスできるすべてのネ
イバーのネイバー IP アドレスを入力します。
2.
636
[OK] をクリックします。
ネットワークへの統合
ネットワーク
OSPF
OSPF の設定（続き）
ステップ 6
[ エリア ] - [ 仮想リンク ] を設定 1.
します。
[ 仮想リンク ] タブで、[ 追加 ] をクリックし、バック
ボーンエリアに含める仮想リンクごとに以下の情報を
入力します。
• 名前 — 仮想リンクの名前を入力します。
• ネイバー ID — 仮想リンクの反対側のルーター（ネ
イバー）のルーター ID を入力します。
• トランジットエリア — 仮想リンクが物理的に含ま
れる中継エリアのエリア ID を入力します。
• 有効化 — 仮想リンクを有効にするには、オンにし
ます。
• タイミング — デフォルトのタイミング設定のまま
使用することをお勧めします。
• 認証プロファイル — 以前に定義した認証プロファ
イルを選択します。
2.
ネットワークへの統合
[OK] をクリックします。
637
ネットワーク
OSPF
OSPF の設定（続き）
ステップ 7
（任意）認証プロファイルをデフォルトでは、ファイアウォールは OSPF ネイバー間の
設定します。
交換に OSPF 認証を使用しません。任意で、簡易パスワー
ドまたは MD5 認証を使用して OSPF ネイバー間の OSPF 認
証を設定できます。
簡易パスワード OSPF 認証
1. [認証プロファイル] タブで [追加] をクリックします。
2.
OSPF メッセージを認証するための認証プロファイル名
を入力します。
3.
[ パスワードタイプ ] として [ 簡易パスワード ] を選択
します。
4.
簡易パスワードを入力してから確認します。
MD5 OSPF 認証
1. [認証プロファイル] タブで [追加] をクリックします。
2.
OSPF メッセージを認証するための認証プロファイル名
を入力します。
3.
[ パスワードタイプ ] として [MD5] を選択します。
4.
[ 追加 ] をクリックします。
5.
以下を含む 1 つ以上のパスワードエントリを入力し
ます。
• 鍵 ID 範囲 0 ～ 255
• キー
• [ 優先 ] オプションを選択して、発信メッセージの認
証に使用するキーを指定します。
ステップ 8
6.
[OK] をクリックします。
7.
[ 仮想ルーター - OSPF - 認証プロファイル ] ダイアログ
ボックスで再び [OK] をクリックします。
詳細な OSPF オプションを設定 1.
します。
RFC 1583 への準拠を確保するには、[ 詳細 ] タブで、
[RFC 1583 の互換性 ] チェックボックスをオンにし
ます。
2.
[SPF 計算遅延 ]（秒）タイマーの値を設定します。
このタイマーにより、新しいトポロジ情報の受信と
SPF 計算の情報間で遅延時間を調整できます。低い値
を指定すると、OSPF の再収束が速くなります。ファイ
アウォールとピアリングしているルーターは、収束時
間の最適化と同様の方法で調整する必要があります。
3.
638
[LSA 間隔（秒）] タイマーの値を設定します。このタイ
マーは、同一 LSA（同一ルーター、同一タイプ、同一
LSA ID）の 2 つのインスタンスの伝送間の最小時間を
指定します。RFC 2328 の MinLSInterval と同等です。低
い値を指定すると、トポロジが変更された場合の再収
束時間が短縮されます。
ネットワークへの統合
ネットワーク
OSPF
OSPFv3 の設定
OSPFv3 の設定
ステップ 1
全般的な仮想ルーターの設定詳細は、「仮想ルーター」を参照してください。
を設定します。
ステップ 2
全般的な OSPF の設定を設定し 1.
ます。
2.
ステップ 3
[OSPF] タブを選択します。
OSPF プロトコルを有効にするには、[有効化] チェック
ボックスをオンにします。
3.
OSPF 経由でデフォルトルートを学習しない場合は、
[ デフォルトルートの拒否 ] チェックボックスをオン
にします。これが推奨されるデフォルトの設定です。
4.
OSPF 経由でデフォルトルートを再配信するのを許可
する場合は、[デフォルトルートの拒否] チェックボッ
クスをオフにします。
全般的な OSPFv3 の設定を設定 1.
します。
2.
3.
[OSPFv3] タブを選択します。
OSPF プロトコルを有効にするには、[ 有効化 ] チェッ
クボックスをオンにします。
OSPFv3 経由でデフォルトルートを学習しない場合は、
[ デフォルトルートの拒否 ] チェックボックスをオンに
します。これが推奨されるデフォルトの設定です。
OSPFv3 経由でデフォルトルートを再配信するのを許
可する場合は、[デフォルトルートの拒否] チェックボッ
クスをオフにします。
ステップ 4
OSPFv3 プロトコルの認証プロ認証プロファイルを設定する場合、Encapsulating Security
Payload (ESP) または IPv6 Authentication Header (AH) を使用す
ファイルを設定します。
る必要があります。
OSPFv3 には独自の認証機能が
含まれていませんが、ネイバー ESP OSPFv3 認証
間の通信を安全にするために全 1. [認証プロファイル] タブで [追加] をクリックします。
面的に IPsec に依存します。
2. OSPFv3 メッセージを認証するための認証プロファイル
名を入力します。
3.
Security Policy Index ([SPI]) を指定します。SPI は、OSPFv3
隣接の両端間で一致する必要があります。SPI 番号は
00000000 から FFFFFFFF までの 16 進数である必要があ
ります。
4.
[ プロトコル ] に [ESP] を選択します。
5.
ドロップダウンリストから [ 暗号化アルゴリズム ] を選
択します。
アルゴリズムは、なし、または SHA1、SHA256、
SHA384、SHA512、MD5 のいずれかを入力できます。
6.
ネットワークへの統合
「なし」以外の [暗号化アルゴリズム] を選択した場合、
[ キー] の値を入力して確認します。
639
ネットワーク
OSPF
OSPFv3 の設定（続き）
AH OSPFv3 認証
1. [認証プロファイル] タブで [追加] をクリックします。
2.
OSPFv3 メッセージを認証するための認証プロファイル
名を入力します。
3.
Security Policy Index ([SPI]) を指定します。SPI は、OSPFv3
隣接の両端間で一致する必要があります。SPI 番号は
00000000 から FFFFFFFF までの 16 進数である必要があ
ります。
4.
[ プロトコル ] に [AH] を選択します。
5.
ドロップダウンリストから [ 暗号化アルゴリズム ] を
選択します。
アルゴリズムは、SHA1、SHA256、SHA384、SHA512、
MD5 のいずれかを入力する必要があります。
ステップ 5
6.
[ キー] の値を入力して確認します。
7.
[OK] をクリックします。
8.
[ 仮想ルーター - OSPF - 認証プロファイル ] ダイアログ
で再び [OK] をクリックします。
OSFP プロトコルの [ エリア ] - 1.
[ タイプ ] を設定します。
2.
3.
[ エリア ] タブで [ 追加 ] をクリックします。
エリア ID を入力します。この識別子を受け入れたネイ
バーのみが同じエリアに属します。
[ 全般 ] タブで、エリアの [ タイプ ] ドロップダウンから
以下のいずれかを選択します。
• 通常 — 制限はありません。エリアではすべてのタイ
プのルートを使用できます。
• スタブ — エリアからの出口はありません。エリア外
にある宛先に到達するには、別のエリアに接続され
ている境界を通過する必要があります。このオプ
ションを選択する場合、以下を設定します。
– サマリーの受け入れ — Link State Advertisement (LSA)
は他のエリアから受け入れられます。スタブエリ
アのエリアボーダールーター (ABR) インターフェ
イスでこのオプションが無効になっていると、
OSPF エリアは Totally Stubby Area (TSA) として動作
し、ABR はサマリー LSA を伝搬しません。
– デフォルトルートの通知 — デフォルトルート LSA
は、設定された範囲 (1 ～ 255) の設定されたメト
リック値とともにスタブエリアへの通知に含まれ
ます。
640
ネットワークへの統合
ネットワーク
OSPF
OSPFv3 の設定（続き）
• NSSA (Not-So-Stubby Area) — ファイアウォールは、
OSPF ルート以外のルートでのみエリアを出ること
ができます。選択した場合、[ スタブ ] について説明
したように [ サマリーの受け入れ ] および [ デフォル
トルートの通知 ] を設定します。このオプションを
選択する場合、以下を設定します。
– タイプ — デフォルト LSA を通知する [Ext 1] また
は [Ext 2] ルートタイプを選択します。
– Ext 範囲 — セクション内の [ 追加 ] をクリックし、
通知を有効化または停止する外部ルートの範囲を
入力します。
ステップ 6
OSPFv3 認証プロファイルをエエリアに関連付けるには、以下の手順を実行します。
リアまたはインターフェイス 1. [ エリア ] タブで、表から既存のエリアを選択します。
に関連付けます。
2. [ 全般 ] タブで、[ 認証 ] ドロップダウンから、以前に
定義した [ 認証プロファイル ] を選択します。
3.
[OK] をクリックします。
インターフェイスに関連付けるには、以下の手順を実行し
ます。
1. [ エリア ] タブで、表から既存のエリアを選択します。
ステップ 7
2.
[ インターフェイス ] タブを選択し、[ 追加 ] をクリック
します。
3.
OSPF インターフェイスに関連付ける認証プロファイル
を [ 認証プロファイル ] ドロップダウンから選択し
ます。
（任意）エクスポートルールの 1.
設定。
2.
ネットワークへの統合
[ エクスポート ] タブで [ 追加 ] をクリックします。
OSPFv3 経由でデフォルトルートを再配信するのを許
可する場合は、[ デフォルトルートの再配信を許可 ]
チェックボックスをオンにします。
3.
再配信プロファイルの名前を選択します。値には IP サ
ブネットまたは有効な再配信プロファイル名を指定す
る必要があります。
4.
[新規パスタイプ] に適用するメトリックを選択します。
5.
32 ビット値を持つ一致したルートの [ 新規タグ ] を指
定します。
6.
新しいルールのメトリックを適用します。範囲 : 1 ～
65535。
7.
[OK] をクリックします。
641
ネットワーク
OSPF
OSPFv3 の設定（続き）
ステップ 8
詳細な OSPFv3 オプションを設 1.
定します。
2.
トランジットトラフィックの送受信に使用せずにファ
イアウォールを OSPF トポロジ配信に参加させる場合
は、[ 詳細 ] タブで、[SPF 計算用トランジットルーティ
ングを無効にする ] チェックボックスをオンにします。
[SPF 計算遅延 ]（秒）タイマーの値を設定します。
このタイマーにより、新しいトポロジ情報の受信と
SPF 計算の情報間で遅延時間を調整できます。低い値
を指定すると、OSPF の再収束が速くなります。ファイ
アウォールとピアリングしているルーターは、収束時
間の最適化と同様の方法で調整する必要があります。
3.
[LSA 間隔（秒）] 時間の値を設定します。このタイマー
は、同一 LSA（同一ルーター、同一タイプ、同一 LSA
ID）の 2 つのインスタンスの伝送間の最小時間を指定
します。RFC 2328 の MinLSInterval と同等です。低い値
を指定すると、トポロジが変更された場合の再収束時
間が短縮されます。
4.
必要に応じて、「OSPF グレースフルリスタートの設
定」を行います。
OSPF グレースフルリスタートの設定
OSPF グレースフルリスタートにより、OSPF ネイバーは障害が発生した場合の短い移行中にデ
バイスを経由してルートを使用し続けます。この動作により、短期間のダウンタイム中に発生
するおそれのあるルーティングテーブルの再設定および関連するルートフラッピングが少なく
なるため、ネットワークの安定性が高まります。
Palo Alto Networks ファイアウォールの OSPF グレースフルリスタートでは、以下の動作が伴い
ます。

ファイアウォールがリスタートするデバイスの場合 — ファイアウォールが短期間ダウンする
場合や短期間使用できなくなる状況になると、グレース LSA をその OSPF ネイバーに送信し
ます。ネイバーは、グレースフルリスタートヘルパーモードで実行するように設定する必
要があります。ヘルパーモードでは、ネイバーはファイアウォールが [ グレースピリオド ]
として定義した指定された期間内にグレースフルリスタートを実行することを通知するグ
レース LSA を受信します。グレースピリオド中、ネイバーはファイアウォール経由でルー
トを送受信し続け、ファイアウォール経由でルートを通知する LSA を送信し続けます。グ
レースピリオドの失効前にファイアウォールが動作を再開すると、トラフィックの送受信は
ネットワーク障害が発生する前と同じように行われます。グレースピリオドが失効した後も
ファイアウォールが動作を再開しない場合、ネイバーはヘルパーモードを終了し、ファイア
ウォールをバイパスするルーティングテーブルの再設定を伴う通常の動作を再開します。
642
ネットワークへの統合
ネットワーク

OSPF
ファイアウォールがグレースフルリスタートヘルパーになる場合 — 隣接するルーターが短
期間ダウンするおそれがある場合、ファイアウォールはグレースフルリスタートヘルパー
モードで動作するように設定できます。このモードで設定すると、ファイアウォールには
[ネイバー再起動の最大時間] が設定されます。ファイアウォールがグレース LSA をその OSPF
ネイバーから受信すると、グレースピリオドまたはネイバー再起動の最大時間が経過するま
で、トラフィックをネイバーにルーティングし続け、ネイバーを経由したルートを通知し続
けます。ネイバーが復帰する前にどちら時間も経過しなければ、トラフィックの送受信は
ネットワーク障害が発生する前と同じように行われます。ネイバーが復帰する前にどちらか
の期間が経過すると、ファイアウォールはヘルパーモードを終了し、ネイバーをバイパスす
るルーティングテーブルの再設定を伴う通常の動作を再開します。
OSPF グレースフルリスタートの設定
1.
[Network] > [ 仮想ルーター] の順に選択し、設定する仮想ルーターを選択します。
2.
[OSPF] > [ 詳細 ] の順に選択します。
3.
以下のチェックボックスがオンになっていることを確認します（デフォルトではオンになってい
ます）。
• グレースフルリスタートを有効にする
• ヘルパーモードを有効にする
• 厳密な LSA チェックを有効化にする
トポロジで必要がない限り、これらのチェックボックスはオンのままにしておく必要があります。
4.
[ グレースピリオド ] を秒単位で設定します。
5.
[ ネイバー再起動の最大時間 ] を秒単位で設定します。
OSPF 動作の確認
OSPF 設定をコミットしたら、その OSPF が動作することを確認するために以下の操作を実行で
きます。

ルーティングテーブルの表示

OSPF 隣接の確認

OSPF 接続の確立の確認
ネットワークへの統合
643
OSPF
ネットワーク
ルーティングテーブルの表示
ルーティングテーブルを表示することで、OSPF ルートが確立されたかどうかを確認できま
す。ルーティングテーブルは、Web インターフェイスまたは CLI からアクセスできます。CLI
を使用する場合、以下のコマンドを使用します。

show routing route

show routing fib
以下の手順では、Web インターフェイスを使用してルーティングテーブルを表示する方法を説
明します。
ルーティングテーブルの表示
1.
[Network] > [ 仮想ルーター] の順に選択します。
2.
[ ルーティング ] タブを選択し、OSPF によって学習されたルートのルーティングテーブルの [ フラグ ]
列を調べます。
644
ネットワークへの統合
ネットワーク
OSPF
OSPF 隣接の確認
以下の手順で説明するように [ネイバー] タブを表示することで、OSPF 隣接が確立されたことを
確認できます。
OSPF 隣接を確認するための [ ネイバー] タブの表示
1.
[Network] > [ 仮想ルーター] の順に選択します。
2.
[OSPF] > [ ネイバー] の順に選択し、[ 状態 ] 列を調べて OSPF 隣接が確立されたかどうかを判断し
ます。
OSPF 接続の確立の確認
システムログを表示することで、以下の手順で説明しているように OSPF 接続が確立されたこ
とを確認できます。
システムログの調査
1.
[Monitor] > [ システム ] の順に選択し、OSPF 隣接が確立されたことを確認するメッセージを探します。
ネットワークへの統合
645
OSPF
ネットワーク
システムログの調査（続き）
2.
646
[OSPF] > [ ネイバー] の順に選択し、[ 状態 ] 列を調べて OSPF 隣接が確立されたかどうかを判断します。
ネットワークへの統合
ネットワーク
BGP
BGP
Border Gateway Protocol (BGP) は、インターネットルーティングプロトコルの主流となっていま
す。BGP は、AS (Autonomous System) 内で使用可能な IP プレフィックスに基づいてネットワー
クが到達可能かどうかを判断します。AS とは、ネットワークプロバイダによって指定された、
同じルーティングポリシーに属する IP プレフィックスのセットです。
ルーティングプロセスでは、接続は BGP ピア（ネイバー）間で確立されます。ルートは、ポリ
シーによって許可されると、RIB (Routing Information Base) に保存されます。ローカルファイア
ウォール RIB が更新されるたびに、ファイアウォールは最適なルートを判断し、エクスポート
が有効な場合は更新情報を外部 RIB に送信します。
BGP ルートの通知方法の制御には条件付き通知が使用されます。条件付き通知ルールに適合し
た BGP ルートのみがピアに通知されます。
BGP では、集約を指定して複数ルートを 1 つのルートに結合することができます。集約プロセ
スではまず、他の集約ルールのプレフィックス値を持つ受信ルートを比較し、最も長いルート
を見つけることによって、対応する集約ルールを特定します。
BGP の詳細は、『How to Configure BGP Tech Note』（英語）を参照してください。
このファイアウォールでは、以下の機能を含む、完全な BGP 実装が可能です。

仮想ルーターごとに 1 つの BGP ルーティングインスタンスを指定

ルートマップに基づいたルーティングポリシーによるインポート、エクスポート、および通
知の制御、プレフィックスに基づいたフィルタリング、アドレス集約

ルートリフレクタ、AS コンフェデレーション、ルートフラップダンプニング、グレースフ
ルリスタートなどの高度な BGP 機能

IGP と BGP の相互作用による、再配信プロファイルを使用した BGP へのルートの注入
BGP 設定は、以下の要素で構成されます。

ルーティングインスタンス毎の設定。これには、ローカルルート ID やローカル AS などの
基本パラメータと、パス選択、ルートリフレクタ、AS コンフェデレーション、ルートフ
ラップ、ダンプニングのプロファイルなどの高度なオプションがあります。

認証プロファイル。BGP 接続のための MD5 認証鍵を指定します。

ピアグループおよびネイバー設定。ネイバーアドレスやリモート AS に加え、ネイバー属性
やネイバー接続などの高度なオプションが含まれます。

ルーティングポリシー。ピアグループとピアがインポート、エクスポート、条件付き通知、
およびアドレス集約制御の実装に使用するルールセットを指定します。
BGP を設定するには、以下の手順を実行します。
ネットワークへの統合
647
ネットワーク
BGP
BGP の設定
ステップ 1
全般的な仮想ルーターの設定詳細は、「仮想ルーター」を参照してください。
を設定します。
ステップ 2
標準的な BGP の設定を設定し 1.
ます。
2.
ステップ 3
[BGP] タブを選択します。
BGP プロトコルを有効にするには、[ 有効化 ] チェック
ボックスをオンにします。
3.
[ ルーター ID] ボックスで、IP アドレスを仮想ルーター
に割り当てます。
4.
ルーター ID に基づいて、仮想ルーターが属する AS の
番号を [AS 番号 ] に入力します。範囲 : 1 ～ 4294967295
全般的な BGP の設定を設定し 1.
ます。
2.
[BGP] > [ 全般 ] の順に選択します。
BGP ピアから通知されるデフォルトルートを無視する
には、[ デフォルトルートの拒否 ] チェックボックス
をオンにします。
3.
グローバルルーティングテーブルに BGP ルートをイ
ンストールするには、[ ルートのインストール ] チェッ
クボックスをオンにします。
4.
ルートの MED (Multi-Exit Discriminator) 値が異なる場合
でもルート集約を有効にするには、[MED の集約 ]
チェックボックスをオンにします。
5.
さまざまなパスの中から優先するパスを判断するため
に使用できる値を指定する [ デフォルトのローカル設
定 ] の値を入力します。
6.
相互運用性の目的で、AS 形式として以下のいずれかの
値を選択します。
• 2 バイト（デフォルト値）
• 4 バイト
7.
[ パス選択 ] の以下のそれぞれの値を有効化または無効
化します。
• 常に MED を比較 — 別の AS 内のネイバーから受け
取ったパスを選択するには、この比較を有効にし
ます。
• 決定論的 MED 比較 — IBGP ピア（同じ AS 内の BGP
ピア）から通知されたルートの中からルートを選択
するには、この比較を有効にします。
8.
[ 追加 ] をクリックして新しい認証プロファイルを追加
し、以下の設定を指定します。
• プロファイル名 — プロファイルの識別に使用する
名前を入力します。
• シークレット / 再入力シークレット — BGP ピア通信
に使用するパスフレーズを入力し、確認します。
648
ネットワークへの統合
ネットワーク
BGP
BGP の設定（続き）
ステップ 4
BGP の詳細設定の設定（任意） 1.
[ 詳細 ] タブで、[ グレースフルリスタート ] をオンに
して以下のタイマーを設定します。
• ステージルート時間（秒）— ルートが接続期限切れ
状態を維持できる時間の長さを秒単位で指定しま
す。範囲 : 1 ～ 3600 秒。デフォルト : 120 秒。
• ローカル再起動時間（秒）— ローカルデバイスが再
起動するために単位する時間の長さを秒単位で指定
します。この値は、ピアに通知されます。範囲 : 1 ～
3600 秒。デフォルト : 120 秒。
• 最大ピア再起動時間（秒）— ローカルデバイスがグ
レースピリオド中のピアデバイスの再起動時間と
して受け入れる時間の最大長を秒単位で指定しま
す。範囲 : 1 ～ 3600 秒。デフォルト : 120 秒。
2.
リフレクタクラスタを表す IPv4 識別子を [ リフレクタ
クラスタ ID] ボックスで指定します。
3.
AS コンフェデレーションを 1 つの AS として外部 BGP ピ
アに示すための使用する識別子を [ コンフェデレーショ
ンメンバー AS] ボックスで指定します。
4.
[ 追加 ] をクリックし、設定する各ダンプニングのプロ
ファイルについて以下の情報を入力し、[ 有効化 ] をオ
ンにして [OK] をクリックします。
• プロファイル名 — プロファイルの識別に使用する名
前を入力します。
• カットオフ — ルート停止のしきい値を指定します。
この値を超えるとルート通知が停止します。範囲 :
0.0 ～ 1000.0。デフォルト : 1.25。
• 再利用 — ルート停止のしきい値を指定します。この
値を下回るとルートは再度使用されます。範囲 : 0.0 ～
1000.0。デフォルト : 5。
• 最大ホールドタイム（秒）— どれだけ不安定である
かに関係なく、ルートを停止できる時間の最大長を
秒単位で指定します。範囲 : 0 ～ 3600 秒。デフォルト :
900 秒。
• Decay Half Life 到達可能（秒）— ルートが到達可能と
みなされた場合、ルートの安定性メトリックを 1/2 に
するまでの時間を指定します。範囲 : 0 ～ 3600 秒。デ
フォルト : 300 秒。
• Decay Half Life を半分に減少（秒）— ルートが到達
不可能とみなされた場合、ルートの安定性メトリッ
クを 1/2 にするまでの時間を指定します。範囲 : 0 ～
3600 秒。デフォルト : 300 秒。
5.
ネットワークへの統合
[OK] をクリックします。
649
ネットワーク
BGP
BGP の設定（続き）
ステップ 5
BGP ピアグループを設定し 1.
ます。
[ ピアグループ ] タブを選択し、[ 追加 ] をクリックし
ます。
2.
[ 名前 ] フィールドにピアグループ名を入力して [ 有効
化 ] をオンにします。
3.
設定した集約済みコンフェデレーション AS へのパス
を含めるには、[ 集約済みコンフェデレーション AS パ
ス ] チェックボックスをオンにします。
4.
ピア設定の更新後にファイアウォールのソフトリセッ
トを実行するには、[ 保存した情報を使用したソフトリ
セット ] チェックボックスをオンにします。
5.
[ タイプ ] ドロップダウンからピアまたはグループのタ
イプを指定し、関連設定（この表に後述されている
[ ネクストホップのインポート ] および [ ネクストホッ
プのエクスポート ] の説明を参照）を指定します。
• IBGP — ネクストホップのエクスポート : [ 元 ] また
は [ 自己の使用 ] を指定します。
• EBGP コンフェデレーション — ネクストホップのエ
クスポート: [元] または [自己の使用] を指定します。
• EBGP コンフェデレーション — ネクストホップのエ
クスポート: [元] または [自己の使用] を指定します。
• EBGP — ネクストホップのインポート : [ 元 ] または
[ 自己の使用 ] を指定します。Export Next Hop: [ 解
決 ] または [ 自己の使用 ] を指定します。BGP でプライ
ベート AS 番号を強制的に削除する場合は、[ プライ
ベート AS の削除 ] チェックボックスをオンにします。
6.
650
[OK] をクリックして保存します。
ネットワークへの統合
ネットワーク
BGP
BGP の設定（続き）
ステップ 6
インポートおよびエクスポー 1.
トのルールを設定します。
インポート/エクスポートルー
ルは、他のルーターとのイン 2.
ポート / エクスポートに使用さ
れます。たとえば、デフォル 3.
トルートをインターネット
サービスプロバイダからイン
ポートする場合です。
ステップ 7
条件付き通知機能を設定しま
す。これにより、ピアリング
または到達の失敗を含め、
ローカル BGP ルーティング
テーブル (LocRIB) で異なるルー
トを使用できない場合に通知
するルートを制御できます。
これは、1 つの AS を別の AS よ
り優先してルートを強制する
場合に便利です。たとえば、
インターネットに対して複数
の ISP を経由するリンクがあ
り、優先プロバイダへの接続
が失われない限り、他のプロ
バイダではなく優先プロバイ
ダにトラフィックをルーティ
ングする場合に効果的です。
ネットワークへの統合
[ インポート ] タブを選択してから [ 追加 ] をクリック
し、[ ルール ] フィールドに名前を入力して [ 有効化 ]
チェックボックスをオンにします。
[ 追加 ] をクリックし、ルーターのインポート元となる
[ ピアグループ ] を選択します。
[ 一致 ] タブをクリックし、ルーティング情報をフィル
タリングするために使用するオプションを定義しま
す。ルートフィルタリングのためにルーターまたはサ
ブネットへの MED (Multi-Exit Discriminator）値とネク
ストホップ値を定義することもできます。MED オプ
ションは、ネイバーに AS への優先パスを知らせるた
めの外部メトリックです。低い値が高い値に優先され
ます。
4.
[ アクション ] タブをクリックし、[ 一致 ] タブで定義
したフィルタリングオプションに基づいて行うべきア
クション（許可 / 拒否）を定義します。[ 拒否 ] を選択
すると、それ以上オプションを定義する必要はありま
せん。[ 許可 ] アクションを選択した場合、他の属性を
定義します。
5.
[ エクスポート ] タブをクリックしてエクスポート属性
を定義します。これは [ インポート ] 設定に似ています
が、ファイアウォールからネイバーにエクスポートさ
れるルート情報を制御するために使用されます。
6.
[OK] をクリックして保存します。
1.
[ 条件付き通知 ] タブを選択し、[ 追加 ] をクリックして
[ ポリシー] フィールドに名前を入力します。
2.
[ 有効化 ] チェックボックスをオンにします。
3.
[ 追加 ] をクリックして [ 使用者 ] セクションに条件付き
通知ポリシーを使用するピアグループを入力します。
4.
[ 非存在フィルタ ] タブを選択し、優先ルートのネット
ワークプレフィックスを定義します。このタブは、
ローカル BGP ルーティングテーブルで使用可能な場
合に通知するルートを指定します。プレフィックスが
通知されようとするときに非存在フィルタと一致する
と、通知が停止します。
5.
[フィルタの通知 ] タブを選択し、非存在フィルタのルー
トがローカルルーティングテーブルで使用できない場
合に通知する、ローカル RIB ルーティングテーブルの
ルートのプレフィックスを定義します。プレフィック
スが通知されようとするときに非存在フィルタと一致
しないと、通知が行われます。
651
ネットワーク
BGP
BGP の設定（続き）
ステップ 8
BGP 設定にルートを集約するた 1.
めに集約オプションを設定し
ます。
2.
BGP ルート集約は、BGP がア
ドレスを集約する方法を制御
するために使用されます。 3.
テーブルの各エントリによ
り、1 つの集約アドレスが作成 4.
されることになります。これ
により、指定したアドレスに
一致する少なくとも 1 つ以上の
特定のルートが学習された場
合に、ルーティングテーブル
の集約エントリになります。
ステップ 9
再配信ルールを設定します。
1.
このルールは、ホストルート
およびローカル RIB にない不明 2.
なルートをピアルーターに再
配信するために使用されます。
652
[Aggregate] タブを選択し、[ 追加 ] をクリックして集
約アドレスの名前を入力します。
[プレフィックス] フィールドで、集約されたプレフィッ
クスのプライマリプレフィックスになるネットワーク
プレフィックスを入力します。
[ フィルタの抑制 ] タブを選択し、一致したルートを停
止する属性を定義します。
[ フィルタの通知 ] タブを選択し、一致したルートを必
ずピアに通知する属性を定義します。
[ ルールの再配信 ] タブを選択し、[ 追加 ] をクリック
します。
[ 名前 ] フィールドに、IP サブネットを入力するか、再
配信プロファイルを選択します。必要に応じて、ド
ロップダウンから新しい再配信プロファイルを設定す
ることもできます。
3.
ルールを有効にするには、[ 有効化 ] チェックボックス
をオンにします。
4.
[ メトリック ] フィールドに、ルールに使用されるルー
トメトリックを入力します。
5.
[発信元の設定] ドロップダウンから incomplete、igp、
または egp を選択します。
6.
任意で、MED、ローカル設定、AS パス制限、コミュニ
ティの値を設定します。
ネットワークへの統合
ネットワーク
セッション設定とセッションタイムアウト
セッション設定とセッションタイムアウト
このセクションでは、TCP、UDP、ICMPv6 セッション、および IPv6、NAT64、NAT オーバー
サブスクリプション、ジャンボフレームサイズ、MTU、セッション保持時間短縮、キャプティ
ブポータル認証に影響するグローバル設定について説明します。また、新しく設定されたセ
キュリティポリシーをすでに処理中のセッションに適用できるようにする設定（[セッションの
再マッチング ]）もあります。
これらのセッション設定およびセッションタイムアウトは、[Device] > [ セットアップ ] > [ セッ
ション ] タブで設定します。
以下の最初のいくつかのトピックでは、OSI モデル、TCP、UDP、および ICMP のトランスポー
ト層の概要について説明します。プロトコルの詳細は、それぞれの RFC を参照してください。
残りのトピックでは、セッションのタイムアウトおよび設定について説明します。

トランスポート層のセッション

TCP

UDP

ICMP

セッションタイムアウトの設定

セッション設定の指定
ネットワークへの統合
653
セッション設定とセッションタイムアウト
ネットワーク
トランスポート層のセッション
ネットワークセッションとは、複数の通信デバイス間で発生し、一定期間継続するやり取りで
す。確立されたセッションは、セッションが終了すると削除されます。OSI モデルの 3 つの層
（トランスポート層、セッション層、アプリケーション層）では、異なるタイプのセッション
が発生します。
トランスポート層は、OSI モデルのレイヤー 4 で動作し、信頼性の高いまたは信頼性の低い、
エンドツーエンドのデータ配信およびデータフロー制御を提供します。トランスポート層で
セッションを実装するインターネットプロトコルには、Transmission Control Protocol (TCP) や
User Datagram Protocol (UDP) などがあります。
TCP
Transmission Control Protocol (TCP) (RFC 793) は、Internet Protocol (IP) スイートの主要プロトコルの
1 つです。このプロトコルは広く普及しており、IP と一緒に TCP/IP と呼ばれることが一般的で
す。TCP は、セグメントの送受信中にエラーをチェックして、受信したセグメントの確認応答
を行い、送信元デバイスから順不同で到着するセグメントの順序を並べ替えることができるた
め、信頼性の高いトランスポートプロトコルだと考えられています。また、TCP では、ドロッ
プされたセグメントの再送信を要求および提供できます。セッションの期間中に送信者と受信
者間の接続が確立されるという点で、TCP はステートフルな接続指向プロトコルです。TCP で
は、パケットのフロー制御が行われるため、ネットワークの輻輳を処理できます。
TCP では、セッションのセットアップ時にスリーウェイハンドシェークが実行され、セッション
の開始および確認応答が行われます。データの転送後、セッションは正しい手順で終了します。
TCP をトランスポートプロトコルとして使用するアプリケーションには、Hypertext Transfer
Protocol (HTTP)、Hypertext Transfer Protocol Secure (HTTPS)、File Transfer Protocol (FTP)、Simple
Mail Transfer Protocol (SMTP)、Telnet、Post Office Protocol version 3 (POP3)、Internet Message Access
Protocol (IMAP)、Secure Shell (SSH) などがあります。
以下のトピックでは、PAN-OS の TCP の実装の詳細ついて説明します。

TCP Half Closed および TCP Time Wait タイマー

Unverified RST タイマー
TCP Half Closed および TCP Time Wait タイマー
TCP 接続の終了手順では、TCP Half Closed タイマーが使用されます。このタイマーは、セッ
ション中にファイアウォールで最初に確認される FIN によってトリガーされます。接続の一方
でのみ FIN が送信されているため、このタイマーは TCP Half Closed という名前になっていま
す。2 番目のタイマー TCP Time Wait は、2 番目の FIN または RST でトリガーされます。
654
ネットワークへの統合
ネットワーク
セッション設定とセッションタイムアウト
最初の FIN で 1 つのタイマーのみがトリガーされるファイアウォールの場合、設定が短すぎる
と、half-closed セッションの終了が早くなりすぎる可能性があります。反対に、設定が長すぎる
と、セッションテーブルが大きくなりすぎて、すべてのセッションを使い果たしてしまう可能
性があります。タイマーが 2 つあることで、比較的長い TCP Half Closed タイマーと短い TCP
Time Wait タイマーを設定できます。これにより、完全に終了したセッションの保持時間短縮を
迅速に行い、セッションテーブルのサイズを制御できます。
以下の図は、TCP 接続の終了手順でファイアウォールの 2 つのタイマーがトリガーされるとき
の様子を示しています。
TCP Time Wait タイマーには、TCP Half Closed タイマーよりも小さい値を設定する必要がありま
す。この理由は以下のとおりです。

最初の FIN が確認されてからの許容時間が長いほど、接続の反対側でセッションを完全に終
了できる時間を確保できます。

Time Wait 時間が短いのは、2 番目の FIN または RST が確認されてから長時間セッションを開
いたままにしておく必要がないためです。Time Wait 時間を短くすることで、すぐにリソース
を解放できます。ただし、ファイアウォールで最後の ACK を確認する時間と、他のデータ
グラムの再送信のための時間は確保しておきます。
TCP Time Wait タイマーに TCP Half Closed タイマーよりも大きな値を設定しても、コミットは受
け入れられます。ただし、実際には TCP Time Wait タイマーは TCP Half Closed の値を超えること
はありません。
ネットワークへの統合
655
セッション設定とセッションタイムアウト
ネットワーク
タイマーは、グローバルまたはアプリケーション単位で設定できます。デフォルトでは、すべ
てのアプリケーションを対象にグローバル設定が使用されます。アプリケーションレベルで
TCP Time Wait タイマーを設定すると、グローバル設定がオーバーライドされます。
Unverified RST タイマー
（TCP ウィンドウ内にあるが予期しないシーケンス番号が付けられているか、非対称パスから
送信されていることが原因で）検証できない Reset (RST) パケットをファイアウォールで受信す
る場合、Unverified RST タイマーでセッション保持時間を制御します。デフォルトは 30 秒で、範
囲は 1 ～ 600 秒です。Unverified RST タイマーには、以下の 2 番目の箇条書きで説明されている
追加のセキュリティ対策があります。
RST パケットの結果は、以下の 3 つのいずれかになります。

TCP ウィンドウ外の RST パケットはドロップされます。

TCP ウィンドウ内にあるが、期待されるシーケンス番号がない RST パケットは、検証されず、
Unverified RST タイマー設定が適用されます。この動作により、ランダムな RST パケットを
ファイアウォールに送信して、既存のセッションを中断させようとするサービス拒否 (DoS)
攻撃を回避できます。

TCP ウィンドウ内に収まり、期待されるシーケンス番号がある RST パケットは、TCP Time
Wait タイマー設定が適用されます。
UDP
User Datagram Protocol (UDP) (RFC 768) は、IP スイートの別の主要プロトコルで、TCP の代替手
段です。セッションをセットアップするためのハンドシェークや、送信者と受信者間の接続が
ないという点で、UDP はステートレスなコネクションレス型プロトコルです。各パケットは異
なるルートを経由して 1 つの宛先に到達する場合があります。UDP は、データグラムの確認応
答、エラーチェック、再送信、並べ替えを行わないため、信頼性の低いプロトコルだと考えら
れています。UDP では、これらの機能を提供するために必要な負担がなくなるため、遅延が減
少し、TCP よりも高速になります。UDP は、データが宛先に到達するためのメカニズムや保証
がないため、ベストエフォートプロトコルと呼ばれます。
UDP では、チェックサムを使用してデータの整合性が確保されますが、ネットワークインター
フェイスレベルでエラーチェックは実行されません。エラーチェックは、UDP 自体ではなく
アプリケーションで実行されるか、不要であるということを前提としています。UDP には、パ
ケットのフロー制御を処理するメカニズムがありません。
UDP は、Voice over IP (VoIP)、ストリーミングオーディオおよびビデオ、オンラインゲームな
ど、時間的制約のある高速なリアルタイム配信を必要とするアプリケーションで主に使用され
ます。UDP は、トランザクション指向のプロトコルであるため、Domain Name System (DNS) や
Trivial File Transfer Protocol (TFTP) など、多数のクライアントからの小さなクエリに応答するアプ
リケーションでも使用されます。
656
ネットワークへの統合
ネットワーク
セッション設定とセッションタイムアウト
ICMP
Internet Control Message Protocol (ICMP) (RFC 792) も Internet Protocol スイートの主要プロトコルの
1 つで、OSI モデルのネットワーク層で動作します。ICMP は、診断および制御のために使用さ
れ、IP 操作に関するエラーメッセージや、ホストまたはルーターの要求されたサービスや到達
可能性に関するメッセージを送信します。traceroute や ping などのネットワークユーティリティ
は、さまざまな ICMP メッセージを使用して実装されます。
ICMP は、実際のセッションを開いたり、保持したりしないコネクションレス型プロトコルで
す。ただし、2 つのデバイス間の ICMP メッセージをセッションとして考えることもできます。
Palo Alto Networks ファイアウォールでは、ICMPv4 および ICMPv6 をサポートしています。
ICMPv4 および ICMPv6 エラーパケットを制御するには、ゾーンにセキュリティポリシーを設
定し、そのポリシーで icmp または ipv6-icmp アプリケーションを選択します。また、ICMPv6
エラーパケットレートを制御するには、セッション設定を使用します。詳細は、「セッション
設定の指定」セクションを参照してください。
ICMPv6 レート制限
ICMPv6 レート制限は、フラッド攻撃や DDoS 攻撃を回避するためのスロットリングメカニズ
ムです。この実装では、エラーパケット速度とトークンバケットが使用されます。これらが連
携することで、スロットリングが有効になり、ファイアウォールによって保護されているネッ
トワークセグメントに ICMP パケットが大量に送信されることを回避できます。
まず、グローバル ICMPv6 エラーパケット速度を使用して、ファイアウォールで許可される
ICMP エラーパケット速度を制御します。デフォルトは 100 パケット / 秒で、範囲は 10 ～ 65535
パケット / 秒です。ファイアウォールが ICMP エラーパケット速度に達した場合、以下のよう
に、トークンバケットが始動して、スロットリングが発生します。
論理トークンバケットの概念で、ICMP メッセージを送信できる速度を制御します。バケット
のトークン数は設定可能で、各トークンは、送信できる ICMP メッセージを表しています。
トークン数は ICMP メッセージが送信されるたびに減少し、バケットのトークンがゼロになる
と、別のトークンがバケットに追加されるまで ICMP メッセージを送信できなくなります。
トークンバケットのデフォルトサイズは 100 トークン（パケット）で、範囲は 10 ～ 65535 トー
クンです。
デフォルトのトークンバケットサイズまたはエラーパケット速度を変更する方法について
は、「セッション設定の指定」セクションを参照してください。
セッションタイムアウトの設定
セッションタイムアウトには、ファイアウォール上でセッションが非アクティブになってから
PAN-OS がそのセッションを保持する期間を定義します。デフォルトでは、プロトコルのセッ
ションタイムアウト期間が切れると、PAN-OS がセッションを閉じます。
ネットワークへの統合
657
セッション設定とセッションタイムアウト
ネットワーク
ファイアウォールでは、特に TCP、UDP、および ICMP セッションに対して複数のタイムアウ
トを定義できます。他のすべてのタイプのセッションには、デフォルトのタイムアウトが適用
されます。これらのタイムアウトはすべてグローバルです。つまり、ファイアウォール上にあ
るそのタイプのすべてのセッションに適用されます。
グローバル設定に加え、[Objects] > [ アプリケーション ] タブでは個々のアプリケーションのタ
イムアウトを柔軟に定義できます。ファイアウォールは、アプリケーションのタイムアウトを
確立済み状態のアプリケーションに適用します。アプリケーションのタイムアウトが設定され
ると、グローバルな TCP または UDP セッションタイムアウトがオーバーライドされます。
TCP、UDP、ICMP、キャプティブポータル認証、または他のタイプのセッションのグローバル
セッションタイムアウト設定のデフォルト値を変更する必要がある場合、グローバル設定に戻
り、以下の任意のタスクを実行します。すべての値は秒単位です。
デフォルトは、最適値です。ただし、ネットワークのニーズに合わせてこれらの値を変更でき
ます。低すぎる値を設定すると、わずかなネットワーク遅延に反応してファイアウォールとの
接続の確立に失敗する可能性があります。高すぎる値を設定すると、エラーの検出が遅れる可
能性があります。
セッションタイムアウトの変更
ステップ 1
ステップ 2
セッション設定にアクセ 1.
スします。
2.
[Device] > [セットアップ] > [セッション] の順に選択します。
[ セッションタイムアウト ] セクションで、編集アイコンを
クリックします。
（任意）その他のタイム • デフォルト — TCP/UDP 以外、または ICMP 以外のセッショ
アウトを変更します。
ンが応答なしで開いた状態を維持できる最大時間。デフォル
ト : 30。範囲 : 1 ～ 1599999。
• デフォルトの破棄 — ファイアウォールに設定されたセキュリ
ティポリシーに基づいて PAN-OS でセッションが拒否されて
から、TCP/UDP 以外のセッションが開いた状態を維持する
最大時間。デフォルト : 60。範囲 : 1 ～ 1599999。
• スキャン — 非アクティブだと判断されてから、セッションが
開いた状態を維持する最大時間。アプリケーションは、その
アプリケーションに定義されたアプリケーショントリクルし
きい値を超えたときに非アクティブと見なされます。デフォ
ルト : 10。範囲 : 5 ～ 30。
• キャプティブポータル — キャプティブポータル Web フォー
ムの認証セッションタイムアウト。要求されたコンテンツに
ユーザーがアクセスするには、このフォームに認証資格情報
を入力して正常に認証される必要があります。デフォルト :
30。範囲 : 1 ～ 1599999。
アイドルタイマー、ユーザーの再認証が必要になるまでの有
効期限などのその他のキャプティブポータルタイムアウトを
定義するには、[Device] > [ ユーザー ID] > [ キャプティブポー
タルの設定 ] の順に選択します。「キャプティブポータルの
設定」を参照してください。
658
ネットワークへの統合
ネットワーク
セッション設定とセッションタイムアウト
セッションタイムアウトの変更（続き）
ステップ 3
（任意）TCP タイムアウト • TCP の破棄 — ファイアウォールに設定されたセキュリティポ
を変更します。
リシーに基づいて TCP セッションが拒否されてから、TCP
セッションが開いた状態を維持する最大時間。デフォルト :
90。範囲 : 1 ～ 1599999。
• TCP — TCP セッションが確立済み状態になってから（ハンド
シェークが完了し、必要に応じてデータが送信されてから）応
答なしで開いた状態を維持する最大時間。デフォルト : 3600。
範囲 : 1 ～ 1599999。
• TCP ハンドシェーク — SYN-ACK を受信してからそれに続く
ACK を送信してセッションを完全に確立するまでに許可され
た最大時間。デフォルト : 10。範囲 : 1 ～ 60。
• TCP init — SYN を受信してから、TCP ハンドシェークタイ
マーの開始前に SYN-ACK を送信するまでに許可された最大
時間。デフォルト : 5。範囲 : 1 ～ 60。
• TCP Half Closed — 最初の FIN を受信してから、2 つ目の FIN
または RST を受信するまでの最大時間。デフォルト : 120。範
囲 : 1 ～ 604800。
• TCP Time Wait — 2 つ目の FIN または RST を受信してからの
最大時間。デフォルト : 15。範囲 : 1 ～ 600。
• Unverified RST — 検証できない RST（RST が TCP ウィンドウ
内にあるが予期しないシーケンス番号が付けられているか、
RST が非対称パスから送信されている）を受信してからの最
大時間。デフォルト : 30。範囲 : 1 ～ 600。
• 「（任意）その他のタイムアウトを変更します。」セクショ
ンの [ スキャン ] タイムアウトも参照してください。
ステップ 4
（任意）UDP タイムアウ • UDP の破棄 — ファイアウォールに設定されたセキュリティポ
トを変更します。
リシーに基づいて UDP セッションが拒否されてから、UDP
セッションが開いた状態を維持する最大時間。デフォルト :
60。範囲 : 1 ～ 1599999。
• UDP — UDP セッションが UDP 応答なしで開いた状態を維持
する最大時間。デフォルト : 30。範囲 : 1 ～ 1599999。
• 「（任意）その他のタイムアウトを変更します。」セクショ
ンの [ スキャン ] タイムアウトも参照してください。
ステップ 5
（任意）ICMP タイムアウ • ICMP — ICMP セッションが ICMP 応答なしで開いた状態を維
トを変更します。
持できる最大時間。デフォルト : 6。範囲 : 1 ～ 1599999。
• 「（任意）その他のタイムアウトを変更します。」セクショ
ンの [ デフォルトの破棄 ] および [ スキャン ] タイムアウトも
参照してください。
ステップ 6
変更をコミットします。
ネットワークへの統合
[OK] をクリックし、変更を [ コミット ] します。
659
セッション設定とセッションタイムアウト
ネットワーク
セッション設定の指定
このトピックでは、タイムアウト値以外のセッションのさまざまな設定について説明します。
デフォルト設定を変更する必要がある場合、以下の任意のタスクを実行します。
セッション設定の変更
ステップ 1
660
セッション設定にア 1.
クセスします。
2.
[Device] > [ セットアップ ] > [ セッション ] の順に選択します。
[ セッション設定 ] セクションで、編集アイコンをクリックし
ます。
ネットワークへの統合
ネットワーク
セッション設定とセッションタイムアウト
セッション設定の変更（続き）
ステップ 2
（任意）セッション • セッションの再マッチング — ファイアウォールで、新しく設定され
設定を変更します。
たセキュリティポリシーがすでに進行中のセッションに適用され
ます。この機能はデフォルトで有効になっています。この設定が
無効な場合、ポリシー変更は、ポリシー変更がコミットされた後
に開始されたセッションにのみ適用されます。
たとえば、Telnet を許可する関連ポリシーが設定されているときに
Telnet セッションを開始し、その後、Telnet を拒否するポリシー変
更をコミットした場合、ファイアウォールは変更されたポリシー
を現在のセッションに適用してブロックします。
• ICMPv6 トークンバケットサイズ — デフォルト : 100 トークン。
「ICMPv6 レート制限」セクションを参照してください。
• ICMPv6 エラーパケット速度（秒あたり）— デフォルト : 100。
「ICMPv6 レート制限」セクションを参照してください。
• IPv6 ファイアウォールの有効化 — IPv6 のファイアウォール機能を
有効にします。IPv6 が有効になっていないと、IPv6 ベースの設定
はすべて無視されます。インターフェイスで IPv6 が有効な場合で
も、IPv6 が機能するためには [IPv6 ファイアウォール設定 ] 設定も
有効にする必要があります。
• Jumbo Frame を有効にする — Ethernet インターフェイスでジャン
ボフレームのサポートを有効にします。ジャンボフレームの最大
伝送単位 (MTU) は 9216 バイトで、特定のプラットフォームで使用
できます。
グローバル MTU — グローバルに使用できる最大転送ユニット
(MTU) を確立します。このフィールドは、[Jumbo Frame を有効に
する ] フィールドに関係します。
• [Jumbo Frame を有効にする ] をオフにすると、[ グローバル
MTU] がデフォルトの 1500 バイトになり、範囲は 576 ～ 1500 バ
イトになります。
• [Jumbo Frame を有効にする ] をオンにすると、[ グローバル
MTU] がデフォルトの 9192 バイトになり、範囲は 9192 ～ 9216
バイトになります。
ジャンボフレームが有効で、インターフェイスに具体的な
MTU が設定されていない場合、それらのインターフェイスで
は自動的にジャンボフレームのサイズが継承されます。その
ため、ジャンボフレームを有効にする前に、ジャンボフレー
ムを使用しないインターフェイスがある場合、その MTU を
1500 バイトか別の値に設定する必要があります。
• NAT64 IPv6 最小 MTU — IPv6 変換済みトラフィックのグローバル
MTU を設定します。デフォルトの 1280 バイトは、IPv6 トラフィッ
クの標準の最小 MTU に基づきます。
ネットワークへの統合
661
セッション設定とセッションタイムアウト
ネットワーク
セッション設定の変更（続き）
• NAT オーバーサブスクリプション率 — NAT がダイナミック IP お
よびポート (DIPP) 変換として設定されている場合、オーバーサブ
スクリプション率を設定し、同じ変換後 IP アドレスとポートのペ
アを同時に使用できる回数を乗算できます。オーバーサブスクリ
プション率は、1、2、4、または 8 です。デフォルト設定は、ファ
イアウォールプラットフォームに基づいています。
• オーバーサブスクリプション率が 1 の場合、オーバーサブスク
リプションは行われず、変換後の IP アドレスとポートのペア
は、それぞれ一時点に 1 回のみ使用できます。
• 設定が [ プラットフォームのデフォルト ] の場合、オーバーサ
ブスクリプション率のユーザー設定は無効になり、プラット
フォームのデフォルトのオーバーサブスクリプション率が適
用されます。
オーバーサブスクリプション率を小さくすると、送信元デバイス
変換数が少なくなりますが、提供される NAT ルールのキャパシ
ティは大きくなります。
• セッション保持時間自動短縮 — アイドル状態のセッションの保持
時間短縮を有効にします。セッション保持時間短縮を有効にし
て、必要に応じて、しきい値 (%) と倍率を変更するには、この
チェックボックスをオンにします。
• セッション保持時間短縮の開始しきい値 — セッションテーブ
ルのパーセント。このパーセントに達すると、セッション保
持時間短縮が開始されます。デフォルトは 80% です。セッ
ションテーブルがこのしきい値（% フル）に達すると、
PAN-OS により [セッション保持時間短縮倍率] がすべてのセッ
ションの保持時間の計算に適用されます。
• セッション保持時間短縮倍率 — セッション保持時間短縮の計
算に使用される倍率。デフォルトの短縮倍率は 2 で、保持時間
短縮が設定されているアイドル時間の 2 倍の速さで行われま
す。設定されているアイドル時間を 2 で除算すると、タイムア
ウト時間が 1/2 に短縮されます。セッションの保持時間短縮を
計算するために、PAN-OS では、（そのセッションタイプに）
設定されているアイドル時間を短縮倍率で除算して、短縮さ
れたタイムアウトを決定します。
たとえば、短縮倍率が 10 の場合、通常は 3600 秒後にタイムア
ウトするセッションが、10 倍速い 360 秒（1/10 の時間）でタ
イムアウトします。
ステップ 3
662
変更をコミットし [OK] をクリックし、変更を [ コミット ] します。
ます。
ネットワークへの統合
ネットワーク
DHCP
DHCP
このセクションでは、Dynamic Host Configuration Protocol (DHCP) について説明します。また、
DHCP サーバー、クライアント、リレーエージェントとして機能するように、Palo Alto
Networks ファイアウォールのインターフェイスを設定するために必要なタスクについても説明
します。これらの役割を異なるインターフェイスに割り当てることで、ファイアウォールで複
数の役割を実行できます。

DHCP の概要

DHCP メッセージ

DHCP アドレス

DHCP オプション

Palo Alto Networks の DHCP の実装の制限

DHCP サーバーとしてインターフェイスを設定する

DHCP クライアントとしてインターフェイスを設定する

DHCP リレーエージェントとしてインターフェイスを設定する

DHCP のモニターおよびトラブルシューティング
DHCP の概要
DHCP は、『RFC 2131』、『Dynamic Host Configuration Protocol』（英語）で定義されている、
標準化プロトコルです。DHCP の主な目的は 2 つあります。1 つは、TCP/IP およびリンク層の
設定パラメータを提供することで、もう 1 つは、TCP/IP ネットワーク上に動的に設定されるホ
ストにネットワークアドレスを提供することです。
DHCP では、通信のクライアント-サーバーモデルが使用されます。このモデルは、デバイスで
実行できる 3 つの役割（DHCP クライアント、DHCP サーバー、DHCP リレーエージェント）
で構成されます。

DHCP クライアント（ホスト）として機能するデバイスは、DHCP サーバーに IP アドレスや
その他の設定を要求できます。クライアントデバイスのユーザーは、設定の時間と手間を省
くことができます。また、DHCP サーバーから継承されるネットワークのアドレス計画やそ
の他のリソースおよびオプションを把握する必要もありません。

DHCP サーバーとして機能するデバイスは、クライアントにサービスを提供できます。3 つ
の「DHCP アドレス」メカニズムのいずれかを使用することで、ネットワーク管理者は設定
時間を節約でき、クライアントでネットワーク接続が不要になったときに、限られた数の IP
アドレスを再利用できます。サーバーは、IP アドレスや多くの DHCP オプションを多数のク
ライアントに配信できます。

DHCP リレーエージェントとして機能するデバイスは、DHCP クライアントと DHCP サー
バー間で DHCP メッセージを送信できます。
ネットワークへの統合
663
ネットワーク
DHCP
DHCP は、トランスポートプロトコルとして、『User Datagram Protocol (UDP)』、『RFC 768』を使
用します。クライアントからサーバーに送信される DHCP メッセージは、ウェルノウンポート 67
（UDP — ブートストラッププロトコルおよび DHCP）に送信されます。サーバーからクライア
ントに送信される「DHCP メッセージ」は、ポート 68 に送信されます。
Palo Alto Networks ファイアウォールのインターフェイスは、DHCP サーバー、クライアント、
またはリレーエージェントの役割を担うことができます。DHCP サーバーまたはリレーエー
ジェントのインターフェイスは、レイヤー 3 Ethernet、集約された Ethernet、レイヤー 3 VLAN
インターフェイスである必要があります。ネットワーク管理者は、役割の組み合わせに合った
適切な設定で、ファイアウォールのインターフェイスを設定します。このドキュメントには、
各役割の設定タスクが記載されています。
DHCP メッセージ
DHCP では、DHCP メッセージのオプションタイプ番号で識別される 8 個の標準メッセージタ
イプが使用されます。たとえば、クライアントが DHCP サーバーを検索する場合、そのローカ
ル物理サブネットワークで DHCPDISCOVER メッセージをブロードキャストします。そのサブ
ネットに DHCP サーバーがない場合、DHCP ヘルパーや DHCP リレーが適切に設定されていれ
ば、メッセージが別の物理サブネットの DHCP サーバーに転送されます。そうでない場合、メッ
セージは送信元のサブネットまでしか進みません。1 つ以上の DHCP サーバーが DHCPOFFER
メッセージで応答します。このメッセージには、使用可能なネットワークアドレスとその他の
設定パラメータが含まれています。
クライアントで IP アドレスが必要になると、DHCPREQUEST を 1 つ以上のサーバーに送信しま
す。クライアントが IP アドレスを要求する場合、まだ IP アドレスは割り当てられていないた
め、『RFC 2131』では、クライアントが送信するブロードキャストメッセージに、IP ヘッダー
が 0 の送信元アドレスを設定することが求められています。
クライアントがサーバーに設定パラメータを要求する場合、複数のサーバーから応答を受信す
る可能性があります。クライアントがその IP アドレスを受信すると、少なくとも IP アドレス
が（場合によってはその他の設定パラメータも）クライアントにバインドされます。DHCP
サーバーは、このようなクライアントへの設定パラメータのバインドを管理します。
以下の表に、DHCP メッセージを示します。
DHCP メッセージ
説明
DHCPDISCOVER
使用可能な DHCP サーバーを検索するクライアントブロードキャスト。
DHCPOFFER
クライアントの DHCPDISCOVER へのサーバー応答。設定パラメータを提
供します。
664
ネットワークへの統合
ネットワーク
DHCP
DHCP メッセージ
説明
DHCPREQUEST
1 つ以上のサーバーへのクライアントメッセージで、以下のいずれかを実
行します。
• 1 つのサーバーにパラメータを要求し、暗黙的にその他のサーバーから
のオファーを拒否します。
• システムの再起動後などに、以前に割り当てられたアドレスが正しい
ことを確認します。
• ネットワークアドレスのリースを延長します。
DHCPACK
確認済みのネットワークアドレスなどの設定パラメータが含まれてい
る、サーバーからクライアントへの確認応答メッセージ。
DHCPNAK
クライアントのネットワークアドレスの認識が正しくない（クライアン
トが新しいサブネットに移動した場合など）、またはクライアントのリー
スの有効期限が切れていることを示す、サーバーからクライアントへの否
定応答。
DHCPDECLINE
ネットワークアドレスがすでに使用されていることを示す、クライアン
トからサーバーへのメッセージ。
DHCPRELEASE
ネットワークアドレスのユーザーを放棄し、リースの残り時間をキャン
セルする、クライアントからサーバーへのメッセージ。
DHCPINFORM
ローカル設定パラメータのみを要求する、クライアントからサーバーへの
メッセージ。クライアントには、外部で設定されたネットワークアドレ
スが割り当てられます。
DHCP アドレス
DHCP サーバーからクライアントへの IP アドレスの割り当てまたは送信を行う方法は 3 つあり
ます。


自動割り当て — DHCP サーバーは、その [IP プール ] から永久的な IP アドレスをクライアン
トに割り当てます。ファイアウォールで [ リース ] が [ 無制限 ] として指定されている場合、
永久的な割り当てになります。
動的な割り当て — DHCP サーバーは、リースと呼ばれる最大期間で、アドレスの [IP プール ]
の再利用可能な IP アドレスをクライアントに割り当てます。このアドレス割り当て方法
は、顧客の IP アドレス数が限られている場合に便利です。この方法では、ネットワークへ
の一時的なアクセスのみが必要なクライアントに IP アドレスを割り当てることができま
す。「DHCP のリース」セクションを参照してください。
ネットワークへの統合
665
ネットワーク
DHCP

静的な割り当て — ネットワーク管理者はクライアントに割り当てる IP アドレスを選択し、
DHCP サーバーはその IP アドレスをクライアントに送信します。静的な DHCP 割り当ては
永久的です。これを行うには、DHCP サーバーを設定し、クライアントデバイスの [MAC ア
ドレス ] に対応するように [ 予約済みアドレス ] を選択します。DHCP の割り当ては、クライ
アントがログオフまたは再起動したり、停電が発生したりしても、そのまま保持されます。
たとえば、LAN 上にプリンタがあり、DNS で LAN のプリンタの名前と IP アドレスが関連付
けられているために、その IP アドレスが頻繁に変わらないようにする場合、IP アドレスの
静的な割り当てが役立ちます。また、クライアントデバイスが何か重要な用途で使用されて
いて、デバイスがオフになったり、再起動したり、プラグが抜かれたり、停電が発生したり
しても、同じ IP アドレスを保持する必要がある場合にも便利です。
[ 予約済みアドレス ] を設定する場合、以下の点に注意してください。
–
これは、[IP プール ] のアドレスです。複数の予約済みアドレスを設定できます。
–
[ 予約済みアドレス ] を設定していない場合、サーバーのクライアントは、リースの有効
期限が切れたり、再起動したりすると、プールから新しい DHCP の割り当てを受信しま
す（[ リース ] を [ 無制限 ] に設定している場合は除く）。
–
[IP プール ] のすべてのアドレスを [ 予約済みアドレス ] として割り当てると、アドレス
を要求する次の DHCP クライアントに自由に割り当てることができる動的なアドレスが
なくなります。
–
[MAC アドレス ] を設定せずに [ 予約済みアドレス ] を設定できます。この場合、DHCP
サーバーは、どのデバイスにも [予約済みアドレス] を割り当てません。プールのいくつ
かのアドレスを予約し、DHCP を使用せずに FAX やプリンタなどに静的に割り当てるこ
とができます。
DHCP のリース
リースは、DHCP サーバーがネットワークアドレスをクライアントに割り当てる期間として定
義されます。リースは、後続の要求で延長（更新）できます。クライアントでアドレスが不要
になった場合、リース期間が終了する前にアドレスをサーバーにリリースすることができま
す。その後、サーバーは、未割り当てアドレスがなくなった場合に、別のクライアントにその
アドレスを自由に割り当てることができます。
DHCP サーバーに設定されたリース期間は、単一の DHCP サーバー（インターフェイス）がク
ライアントに動的に割り当てるすべてのアドレスに適用されます。つまり、動的に割り当てら
れるすべてのインターフェイスのアドレスは、[ 無制限 ] の期間または同じ [ タイムアウト ] 値
になります。ファイアウォールに設定された別の DHCP サーバーに、異なるクライアントリー
ス期間を割り当てることができます。[予約済みアドレス] は、静的なアドレス割り当てで、リー
ス期間は適用されません。
DHCP 標準、『RFC 2131』に準拠して、DHCP クライアントはリースの有効期限が切れるまで
待機しません。これは、新しいアドレスが割り当てられるリスクがあるためです。代わりに、
DHCP クライアントがリース期間の半分に達すると、同じ IP アドレスを保持できるようにその
リースを延長しようとします。そのため、リース期間は変動期間のようになります。
666
ネットワークへの統合
ネットワーク
DHCP
通常、IP アドレスがデバイスに割り当てられた後に、デバイスがネットワークから切断された
場合、そのリースが延長されていないと、DHCP サーバーはそのリースを使い切ります。クラ
イアントがネットワークから切断されて、そのアドレスが不要になるため、サーバーのリース
期間に達すると、リースは [ 失効 ] 状態になります。
ファイアウォールには、有効期限の切れた IP アドレスがすぐに再割り当てされないようにする
保留タイマーがあります。この動作では、デバイスがネットワークに戻った場合に備えてデバ
イスのアドレスが一時的に予約されます。ただし、アドレスプールのアドレスがなくなると、
保留タイマーの有効期限が切れる前に、サーバーはこの有効期限の切れたアドレスを再割り当
てします。有効期限の切れたアドレスは、システムで追加のアドレスが必要になったときや、
保留タイマーでリリースされたときに自動的にクリアされます。
割り当てられた IP アドレスに関するリース情報を表示するには、CLI で show dhcp server
lease 操作コマンドを使用します。有効期限の切れたリースが自動的にリリースされるまで待
機しないようにする場合は、clear dhcp lease interface value expired-only コマ
ンドを使用して、有効期限の切れたリースをクリアします。これにより、それらのアドレスが
プールで再度使用できるようになります。特定の IP アドレスをリリースするには、clear
dhcp lease interface value ip ip コマンドを使用します。特定の MAC アドレスをリ
リースするには、clear dhcp lease interface value mac mac_address コマンドを
使用します。
DHCP オプション
DHCP および DHCP オプションの歴史は、ブートストラッププロトコル (BOOTP) まで遡りま
す。BOOTP は、ホストの起動手順でホスト自体を動的に設定するために使用されていました。
ホストは、サーバーから起動プログラムをダウンロードするための IP アドレスとファイル、お
よびサーバーのアドレスとインターネットゲートウェイのアドレスを受信できました。
BOOTP パケットには、ベンダー情報フィールドがあり、さまざまなタイプの情報（サブネット
マスク、BOOTP ファイルサイズ、およびその他の多くの値など）が含まれる、タグ付けされた
多数のフィールドを格納することができました。『RFC 1497』には、『BOOTP Vendor Information
Extensions』（英語）が記載されています。
これらの拡張は拡大していき、最終的には DHCP および DHCP ホスト設定パラメータ（オプ
ションとも呼ばれる）が使用されるようになりました。ベンダー拡張と同じように、DHCP オ
プションは、DHCP クライアントに情報を提供する、タグ付けされたデータ項目です。オプ
ションは、DHCP メッセージの最後に可変長フィールドで送信されます。たとえば、DHCP
メッセージタイプがオプション 53 で、値が 1 の場合、DHCPDISCOVER メッセージを示しま
す。DHCP オプションは、『RFC 2132』、『DHCP Options and BOOTP Vendor Extensions』（英
語）で定義されています。
DHCP クライアントは、サーバーとネゴシエートし、クライアントが要求するオプションのみ
をサーバーが送信するように制限できます。
ネットワークへの統合
667
ネットワーク
DHCP
Palo Alto Networks ファイアウォールは、DHCP サーバーの実装に対応する標準 DHCP オプショ
ンのサブセットをサポートしています。このようなオプションは、DHCP サーバーで設定さ
れ、DHCPREQUEST をサーバーに送信したクライアントに送信されます。クライアントは、受
け入れるようにプログラムされたオプションを継承して実装します。ファイアウォールは、
DHCP サーバーの以下の事前定義済みオプションをサポートしています。（[DHCP サーバー]
設定画面に表示される順序で記載）。
DHCP オプ
ション
DHCP オプション名
51
リース期間
3
ゲートウェイ
1
IP プールサブネット（マスク）
6
Domain Name System (DNS) サーバーアドレス（プライマリおよびセカンダリ）
44
Windows Internet Name Service (WINS) サーバーアドレス（プライマリおよびセカンダリ）
41
Network Information Service (NIS) サーバーアドレス（プライマリおよびセカンダリ）
42
Network Time Protocol (NTP) サーバーアドレス（プライマリおよびセカンダリ）
70
Post Office Protocol Version 3 (POP3) サーバーアドレス
69
Simple Mail Transfer Protocol (SMTP) サーバーアドレス
15
DNS サフィックス
Palo Alto Networks の DHCP の実装の制限

DHCP 標準、『RFC 2131』は、IPv4 および IPv6 アドレスをサポートするように設計されていま
す。Palo Alto Networks の DHCP サーバーおよび DHCP クライアントの実装では、IPv4 アドレス
のみをサポートしています。DHCP リレーの実装では、IPv4 と IPv6 をサポートしています。

高可用性アクティブ/アクティブモードでは、DHCP クライアントはサポートされていません。

ファイアウォールでは、DHCPv4 サーバーと DHCPv6 リレーがサポートされています。ただ
し、単一のインターフェイスで DHCPv4 サーバーと DHCPv6 リレーの両方をサポートするこ
とはできません。

BOOTP は DHCP に置き換わっているため、BOOTP はサポートされません。
668
ネットワークへの統合
ネットワーク
DHCP
DHCP サーバーとしてインターフェイスを設定する
このタスクの前提条件は以下のようになります。

レイヤー 3 Ethernet またはレイヤー 3 VLAN インターフェイスを設定している。

インターフェイスが仮想ルーターおよびゾーンに割り当てられている。

DHCP サーバーからクライアントに割り当てるように設計できる、ネットワーク計画の有効
な IP アドレスプールを把握している。
DHCP サーバーとして機能するようにファイアウォールのインターフェイスを設定するには、
以下のタスクを実行します。複数の DHCP サーバーを設定できます。
DHCP サーバーとしてインターフェイスを設定する
ステップ 1
DHCP サーバーにするインター 1.
フェイスを選択します。
[Network] > [DHCP] > [DHCP サーバー] の順に選択し、
[ 追加 ] をクリックします。
2.
[ インターフェイス ] の名前を入力するか、ドロップダ
ウンから選択します。
3.
[ モード ] で、[ 有効 ] または [ 自動 ] モードを選択しま
す。[ 自動 ] モードでは、サーバーが有効になります
が、ネットワークで別の DHCP サーバーが検出された
場合は無効になります。[無効 ] 設定を指定すると、サー
バーが無効になります。
4.
サーバーがクライアントに IP アドレスを割り当てる前
に IP アドレスを ping する場合、必要に応じて [ 新しい
IP を割り当てるときに IP に Ping する ] チェックボッ
クスをオンにします。
ping が応答を受信した場合は、すでに
別のデバイスにそのアドレスが設定さ
れているため、使用できないことを意
味します。サーバーがプールから次の
アドレスを割り当てます。この動作
は、『Optimistic Duplicate Address Detection
(DAD) for IPv6、RFC 4429』（英語）に似
ています。
オプションを設定して [DHCP サーバー]
タブに戻ると、インターフェイスの
[ プローブ IP] 列に、このチェックボッ
クスがオンになっているかどうかが表
示されます。
ネットワークへの統合
669
ネットワーク
DHCP
DHCP サーバーとしてインターフェイスを設定する（続き）
ステップ 2
サーバーがクライアントに送 • [ オプション ] セクションで、[ リース ] タイプを選択し
信する「DHCP オプション」
ます。
を設定します。
• [ 無制限 ] を指定すると、サーバーは [IP プール ] か
ら動的に IP アドレスを選択し、クライアントに永久
的に割り当てます。
• [ タイムアウト ] により、リースの継続時間が決まり
ます。[ 日 ] および [ 時間 ] の数値を入力し、必要に
応じて [ 分 ] の数値を入力します。
• 継承ソース — [ なし ] のままにするか、各種サーバーの
設定を DHCP サーバーに配信するソースの DHCP クライ
アントインターフェイスまたは PPPoE クライアントイ
ンターフェイスを選択します。[ 継承ソース ] を指定する
場合は、このソースから継承する以下のオプションを
1 つ以上選択します。
継承ソースを指定する利点は、ソース DHCP クライアン
トのアップストリームサーバーから DHCP オプションを
すばやく追加できることです。また、ソースでオプショ
ンが変更されても、クライアントのオプションを最新の
状態にしておくことができる点も挙げられます。たとえ
ば、ソースで NTP サーバー（プライマリ NTP サーバー
として識別されているサーバー）を置き換えると、クラ
イアントは自動的にプライマリ NTP サーバーとして新し
いアドレスを継承します。
• 継承ソース状態のチェック — [ 継承ソース ] を選択した
場合、このリンクをクリックすると、[ ダイナミック IP
インターフェイス状態 ] ウィンドウが開き、DHCP クラ
イアントから継承されたオプションが表示されます。
• ゲートウェイ — この DHCP サーバーと同じ LAN 上には
ないデバイスに到達するために使用するネットワーク
ゲートウェイ（ファイアウォールのインターフェイス）
の IP アドレス。
• IP プールサブネット — [IP プール ] のアドレスに適用さ
れるネットワークマスク。
670
ネットワークへの統合
ネットワーク
DHCP
DHCP サーバーとしてインターフェイスを設定する（続き）
以下のフィールドの下向き矢印をクリックし、[ なし ] また
は [ 継承済み ] を選択するか、そのサービスにアクセスす
るために DHCP サーバーがクライアントに送信するリモー
トサーバーの IP アドレスを入力します。[ 継承済み ] を選
択すると、DHCP サーバーはソース DHCP クライアントか
ら、[ 継承ソース ] として指定された値を継承します。
DHCP サーバーはこれらの設定をクライアントに送信し
ます。
• プライマリ DNS、セカンダリ DNS — 優先および代替
Domain Name System (DNS) サーバーの IP アドレス。
• プライマリ WINS、セカンダリ WINS — 優先および代替
Windows Internet Naming Service (WINS) サーバーの IP アド
レス。
• プライマリ NIS、セカンダリ NIS — 優先および代替
Network Information Service (NIS) サーバーの IP アドレス。
• プライマリ NTP、セカンダリ NTP — 使用可能な Network
Time Protocol サーバーの IP アドレス。
• POP3 サーバー — Post Office Protocol (POP3) サーバーの
IP アドレス。
• SMTP サーバー — Simple Mail Transfer Protocol (SMTP) サー
バーの IP アドレス。
• DNS サフィックス — 解決できない非修飾ホスト名が入
力されたときにクライアントがローカルで使用するサ
フィックス。
ステップ 3
DHCP サーバーがアドレスを選 1.
択するために使用する IP アド
レスのステートフルプールを
特定し、DHCP クライアント
に割り当てます。
該当のネットワークの
ネットワーク管理者で 2.
ない場合、DHCP サー
バーで割り当てるよう
に設計できる、ネット
ワーク計画の有効な IP
アドレスプールをネッ
トワーク管理者に問い
合わせてください。
ネットワークへの統合
[IP プール ] フィールドで、[ 追加 ] をクリックし、こ
のサーバーがクライアントに割り当てる IP アドレスの
範囲を入力します。IP サブネットとサブネットマスク
（たとえば、192.168.1.0/24）、または IP アドレスの範
囲（たとえば、192.168.1.10-192.168.1.20）を入力しま
す。少なくとも 1 つの IP プールが必要です。
必要に応じて、ステップ 1 を繰り返し、別の IP アドレ
スプールを指定します。
671
ネットワーク
DHCP
DHCP サーバーとしてインターフェイスを設定する（続き）
ステップ 4
ステップ 5
（任意）動的に割り当てない、 1.
IP プールの IP アドレスを指定
します。[MAC アドレス ] も指 2.
定すると、デバイスが DHCP
を使用して IP アドレスを要求
3.
したときに [ 予約済みアドレス ]
がそのデバイスに割り当てら
れます。
4.
[ 予約済みアドレス ] の
割り当ての説明は、
「DHCP アドレス」セ
クションを参照してく
ださい。
設定を保存します。
[ 予約済みアドレス ] フィールドで、[ 追加 ] をクリック
します。
[IP プール ] から、DHCP サーバーに動的に割り当てな
い IP アドレス（x.x.x.x の形式）を入力します。
必要に応じて、ステップ 2 で指定した IP アドレスを永久的
に割り当てるデバイスの [MAC アドレス ]（xx:xx:xx:xx:xx:xx
の形式）を入力します。
必要に応じて、ステップ 2 ～ 3 を繰り返し、別のアド
レスを予約します。
[OK] をクリックし、変更を [ コミット ] します。
DHCP クライアントとしてインターフェイスを設定する
DHCP クライアントとしてファイアウォールインターフェイスを設定する前に、レイヤー 3
Ethernet またはレイヤー 3 VLAN インターフェイスが設定されていることと、インターフェイス
が仮想ルーターおよびゾーンに割り当てられていることを確認します。このタスクは、DHCP
を使用してファイアウォールのインターフェイスの IPv4 アドレスを要求する必要がある場合に
実行します。
672
ネットワークへの統合
ネットワーク
DHCP
DHCP クライアントとしてインターフェイスを設定する
ステップ 1
DHCP クライアントとしてイン 1.
ターフェイスを設定します。
2.
[Network] > [ インターフェイス ] の順に選択します。
[Ethernet] タブまたは [VLAN] タブで、[ 追加 ] をク
リックし、DHCP クライアントにするインターフェイ
スを入力するか、設定済みのインターフェイスをク
リックします。
以下に、[Ethernet インターフェイス ] 画面を示します。
ステップ 2
設定を保存します。
3.
[IPv4] タブをクリックし、[ タイプ ] で [DHCP クライ
アント ] を選択します。
4.
[ 有効化 ] チェックボックスをオンにします。
5.
必要に応じて、[ サーバー提供のデフォルトゲートウェ
イを指すデフォルトルートを自動的に作成 ] チェック
ボックスをオンにします。このチェックボックスをオ
ンにすると、ファイアウォールはデフォルトゲート
ウェイへのスタティックルートを作成します。これ
は、ファイアウォールのルーティングテーブルにルー
トを保持する必要がないため、クライアントが多数の
宛先にアクセスする場合に便利です。
6.
必要に応じて、ファイアウォールと DHCP サーバー間
のルートの [ デフォルトルートメトリック ]（優先順
位レベル）を入力します。数値の低いルートほど、
ルート選択時の優先順位が高くなります。たとえば、
メトリックが 10 のルートは、メトリックが 100 のルー
トよりも前に使用されます。範囲は 1 ～ 65535 です。
デフォルトのメトリックはありません。
7.
必要に応じて、[DHCP クライアントランタイム情報の
表示 ] をクリックし、クライアントが DHCP サーバー
から継承したすべての設定を確認します。
[OK] をクリックし、変更を [ コミット ] します。
これで、Ethernet インターフェイスの [Ethernet] タブにあ
る [IP アドレス ] フィールドに [ ダイナミック - DHCP クラ
イアント ] と表示されます。
ネットワークへの統合
673
ネットワーク
DHCP
DHCP クライアントとしてインターフェイスを設定する（続き）
ステップ 3
（任意）ファイアウォールの 1.
どのインターフェイスが DHCP
クライアントとして設定され
ているのかを確認します。
[Network] > [ インターフェイス ] > [Ethernet] の順に
選択し、[IP アドレス ] フィールドを調べて、どのイン
ターフェイスが DHCP クライアントとして表示されて
いるのかを確認します。
2.
[Network] > [ インターフェイス ] > [VLAN] の順に選択
し、[IP アドレス ] フィールドを調べて、どのインター
フェイスが DHCP クライアントとして表示されている
のかを確認します。
DHCP リレーエージェントとしてインターフェイスを設定する
DHCP リレーエージェントとしてファイアウォールインターフェイスを設定する前に、レイ
ヤー 3 Ethernet またはレイヤー 3 VLAN インターフェイスが設定されていることと、インター
フェイスが仮想ルーターおよびゾーンに割り当てられていることを確認します。そのインター
フェイスでクライアントとサーバー間の DHCP メッセージを渡すことができるようにします。
インターフェイスでは、最大 4 個の外部 DHCP サーバーにメッセージを転送できます。クライ
アントの DHCPDISCOVER メッセージは、設定されたすべてのサーバーに送信され、最初に応
答したサーバーの DHCPOFFER メッセージは、要求したクライアントにリレーされます。
DHCP リレーエージェントとして機能するようにファイアウォールのインターフェイスを設定
するには、以下のタスクを実行します。
DHCP リレーエージェントとしてインターフェイスを設定する
[Network] > [DHCP] > [DHCP リレー] の順に選択します。
ステップ 1
DHCP リレーを選択します。
ステップ 2
DHCP リレーエージェントと 1.
通信する各 DHCP サーバーの
IP アドレスを指定します。
[ インターフェイス ] フィールドで、DHCP リレーエー
ジェントにするインターフェイスをドロップダウンか
ら選択します。
2.
[IPv4] または [IPv6] チェックボックスのいずれかをオ
ンにし、指定する DHCP サーバーアドレスのタイプを
示します。
3.
[IPv4] をオンにした場合、[DHCP サーバー IP アドレス ]
フィールドで、[ 追加 ] をクリックします。DHCP メッ
セージのリレー先およびリレー元の DHCP サーバーの
アドレスを入力します。
4.
[IPv6] をオンにした場合、[DHCP サーバー IPv6 アドレ
ス ] フィールドで、[ 追加 ] をクリックします。DHCP
メッセージのリレー先およびリレー元の DHCP サー
バーのアドレスを入力します。マルチキャストアドレス
を指定した場合、発信インターフェイスも指定します。
5.
必要に応じて、ステップ 2 ～ 4 を繰り返し、最大 4 個
の DHCP サーバーアドレスを入力します。
ステップ 3
674
設定を保存します。
[OK] をクリックし、変更を [ コミット ] します。
ネットワークへの統合
ネットワーク
DHCP
DHCP のモニターおよびトラブルシューティング
CLI からコマンドを発行して、DHCP サーバーが割り当てた、または DHCP クライアントに割
り当てられた動的なアドレスリースの状態を表示できます。また、タイムアウトして自動的に
リリースされる前にリースをクリアすることもできます。完全なコマンドの構文は、『PAN-OS
Command Line Interface Reference Guide（PAN-OS コマンドラインインターフェイスリファレンスガイ
ド）』を参照してください。

DHCP サーバー情報の表示

自動的に有効期限が切れる前のリースのクリア

DHCP クライアント情報の表示

DHCP に関するデバッグ出力の収集
DHCP サーバー情報の表示
DHCP プールの統計情報、サーバーが割り当てた IP アドレス、対応する MAC アドレス、リースの
状態や期間、リースの開始時間を表示するには、以下のコマンドを使用します。アドレスが [ 予約
済みアドレス ] として設定されている場合、state 列には reserved と表示され、duration また
は lease_time は表示されません。リースが [ 無制限 ] として設定されている場合、duration
列には、0 の値が表示されます。
admin@PA-200> show dhcp server
interface: "ethernet1/2"
Allocated IPs: 1, Total number of
ip
mac
192.168.3.11
f0:2f:af:42:70:cf
admin@PA-200>
lease all
IPs in pool: 5. 20.0000% used
state
duration
lease_time
committed 0
Wed Jul 2 08:10:56 2014
DHCP サーバーがクライアントに割り当てたオプションを表示するには、以下のコマンドを使
用します。
admin@PA-200> show dhcp server settings all
Interface
GW
DNS1
DNS2
DNS-Suffix
Inherit source
------------------------------------------------------------------------------------ethernet1/2
192.168.3.1
10.43.2.10
10.44.2.10
ethernet1/3
admin@PA-200>
ネットワークへの統合
675
ネットワーク
DHCP
自動的に有効期限が切れる前のリースのクリア
以下の例は、保留タイマーによって自動的にリリースされる前に、有効期限が切れたインター
フェイス（サーバー）の「DHCP のリース」をリリースする方法を示したものです。これらの
アドレスは、IP プールで再度使用できるようになります。
admin@PA-200> clear dhcp lease interface ethernet1/2 expired-only
以下の例は、特定の IP アドレスのリースをリリースする方法を示したものです。
admin@PA-200> clear dhcp lease interface ethernet1/2 ip 192.168.3.1
以下の例は、特定の MAC アドレスのリースをリリースする方法を示したものです。
admin@PA-200> clear dhcp lease interface ethernet1/2 mac f0:2c:ae:29:71:34
DHCP クライアント情報の表示
ファイアウォールが DHCP クライアントとして機能している場合、ファイアウォールに送信され
た IP アドレスのリースの状態を表示するには、show dhcp client state interface_name
コマンドまたは以下のコマンドを使用します。
admin@PA-200> show dhcp client state all
Interface
State
IP
Gateway
Leased-until
--------------------------------------------------------------------------ethernet1/1
Bound
10.43.14.80
10.43.14.1
70315
admin@PA-200>
DHCP に関するデバッグ出力の収集
DHCP に関するデバッグ出力を収集するには、以下のいずれかのコマンドを使用します。
admin@PA-200> debug dhcpd
admin@PA-200> debug management-server dhcpd
676
ネットワークへの統合
ネットワーク
NAT
NAT
このセクションでは、ネットワークアドレス変換 (NAT) と、NAT のルールおよび機能の設定方
法について説明します。

NAT の目的

NAT ルールおよびセキュリティポリシー

送信元 NAT と宛先 NAT

NAT ルールのキャパシティ

ダイナミック IP およびポート NAT オーバーサブスクリプション

データプレーンの NAT メモリの統計情報

NAT の設定
NAT の目的
NAT は、Internet Assigned Numbers Authority (IANA) または地域インターネットレジストリによっ
て割り当てられるパブリック IPv4 アドレス（グローバルにルーティングできるアドレス）が不
足している組織の問題を解決するために導入されました。NAT では、ルーティングできないプ
ライベート IPv4 アドレスをグローバルにルーティングできる 1 つ以上の IPv4 アドレスに変換す
るため、組織のルーティング可能な IP アドレスを節約できます。
NAT が誕生してから、その用途は拡張されてきました。たとえば、パブリックアドレスにアク
セスする必要があるホストの実際の IP アドレスを非公開にする方法として NAT が使用されま
す。また、ポートフォワーディングを実行してトラフィックを管理する場合にも使用されま
す。『NAT64』オプションでは、IPv6 - IPv4 間で変換を行うことで、異なるアドレッシングス
キームを使用しているネットワーク間で、相互接続を可能にし、IPv6 アドレス体系への移行パ
スを提供します。
内部ネットワークでプライベート IP アドレスを使用する場合、プライベートアドレスを外部
ネットワークにルーティングできるパブリックアドレスに変換するために、NAT を使用する必
要があります。PAN-OS では、変換が必要なパケットアドレスおよび変換後アドレスについて
ファイアウォールに指示する NAT ポリシールールを作成します。
ネットワークへの統合
677
NAT
ネットワーク
NAT ルールおよびセキュリティポリシー
少なくとも、パケットの送信元ゾーンと宛先ゾーンを照合する NAT ルールを設定します。ゾー
ンの他に、パケットの宛先インターフェイス、送信元アドレス、宛先アドレス、およびサービ
スに基づいて、照合基準を設定できます。複数の NAT ルールを設定できます。ファイアウォー
ルは、上から下にルールを評価します。パケットが 1 つの NAT ルールの基準に一致すると、そ
のパケットにはその他の NAT ルールは適用されません。そのため、NAT ルールのリストは、
最も具体的なルールから最も一般的なルールの順序になっている必要があります。こうするこ
とで、作成した中で最も具体的なルールがパケットに適用されます。
ファイアウォールで NAT ルールおよびセキュリティポリシーを適用する場合、定義したゾー
ンに応じて必要なルールを決定できるように、ファイアウォールのフローロジックを理解する
ことが重要です。
ファイアウォールは、入力時にパケットを調査して、ルート検索を行い、出力インターフェイ
スおよびゾーンを決定します。その後、ファイアウォールは、送信元ゾーンや宛先ゾーンに基
づいて、そのパケットが定義済みの NAT ルールのいずれかと一致するかどうかを検査します。
次に、NAT 後のゾーンではなく、元の（NAT 前の）送信元アドレスと宛先アドレスに基づい
て、パケットと一致するセキュリティポリシーを評価および適用します。最後に、ファイア
ウォールは、一致する NAT ルールで出力時に送信元アドレスや宛先アドレスおよびポート番号
を変換します。
IP アドレスおよびポートの変換は、パケットがファイアウォールから送信されるまで行われま
せん。NAT ルールおよびセキュリティポリシーは、元の IP アドレス（NAT 前の IP アドレス）
に適用されます。NAT ルールは、NAT 前の IP アドレスに関連付けられたゾーンに基づいて設
定されます。
セキュリティポリシーは、NAT 後のゾーンを調査して、パケットを許可するかどうかを決定す
るため、NAT ルールとは異なります。NAT の本質は、送信元 IP アドレスまたは宛先 IP アドレ
スを変更することにあります。そのため、パケットの発信インターフェイスおよびゾーンが変
更される可能性があるので、セキュリティポリシーは NAT 後のゾーンに適用されます。
アドレスオブジェクトとして識別されるアドレスプール
通常、NAT IP アドレスプールを設定する場合、アドレスオブジェクトとして識別されます。
これは、ホスト IP アドレス、IP アドレス範囲、または IP サブネットになります。アドレスオ
ブジェクトは、NAT ルールとセキュリティポリシーの両方で使用されるため、NAT で使用さ
れるアドレスオブジェクトの名前に「NAT-name」などのプレフィックスを付けて、これらを区
別することをお勧めします。
678
ネットワークへの統合
ネットワーク
NAT
送信元 NAT と宛先 NAT
ファイアウォールでは、送信元アドレスとポートの変換、宛先アドレスとポートの変換のどち
らにも対応します。さまざまなタイプの NAT ルールの詳細は、『Understanding and Configuring
NAT Tech Note』を参照してください。
送信元 NAT
通常、送信元 NAT は内部ユーザーがインターネットに接続するために使用します。送信元アドレ
スは変換されるため、非公開にしておくことができます。送信元 NAT のタイプは 3 つあります。

ダイナミック IP およびポート (DIPP) — 複数のホストの送信元 IP アドレスを同じパブリッ
ク IP アドレス（ポート番号は異なる）に変換できます。[ 変換後アドレス ] プール（IP アド
レス、アドレスの範囲、サブネット、またはこれらの組み合わせ）として設定した NAT ア
ドレスプールの次に使用可能なアドレスに動的に変換されます。
DIPP では、NAT アドレスプールの次のアドレスの代わりに [ インターフェイス ] 自体のア
ドレスを指定できます。NAT ルールでインターフェイスを指定することの利点は、インター
フェイスで後で取得されるアドレスを使用するように NAT ルールが自動的に更新されるこ
とです。
DIPP には、デフォルトの NAT オーバーサブスクリプション率があります。これは、同じ変
換後 IP アドレスとポートのペアを同時に使用できる回数です。詳細は、「ダイナミック IP
およびポート NAT オーバーサブスクリプション」および「DIPP NAT のオーバーサブスクリ
プション率の変更」を参照してください。

ダイナミック IP — 送信元 IP アドレスのみ（ポート番号なし）を NAT アドレスプールの次
に使用可能なアドレスに 1 対 1 で動的に変換できます。デフォルトでは、送信元アドレス
プールが NAT アドレスプールよりも大きく、最終的にすべての NAT アドレスが割り当てら
れると、アドレス変換を必要とする新しい接続はドロップされます。デフォルトの動作を変
更するには、[詳細（ダイナミック IP ポートのフォールバック）] をクリックします。これに
より、必要に応じて DIPP アドレスが使用されます。セッションが停止するか、プールのア
ドレスが使用可能になると、新しい接続を変換するためにアドレスを割り当てることができ
ます。

スタティック IP — 送信元 IP アドレスを 1 対 1 で静的に変換できます。ただし、送信元ポー
トはそのまま変わりません。スタティック IP 変換の一般的なシナリオは、インターネット
で使用可能にする必要がある内部サーバーです。
ネットワークへの統合
679
ネットワーク
NAT
宛先 NAT
宛先 NAT は、ファイアウォールがパブリック宛先アドレスをプライベートアドレスに変換す
るときに着信パケットで実行されます。宛先 NAT では、アドレスプールやアドレス範囲は使
用されません。これは、ポートフォワーディングやポート変換を実行できる 1 対 1 の静的な変
換です。

スタティック IP — 宛先 IP アドレスと必要に応じてポート番号を 1 対 1 で静的に変換できます。
宛先 NAT の一般的な用途の 1 つは、いくつかの NAT ルールを設定し、単一のパブリック宛先
アドレスを、サーバーまたはサービスに割り当てられているいくつかのプライベート宛先アド
レスにマッピングすることです。例 :
–
ポートフォワーディング — パブリック宛先アドレスとポート番号をプライベート宛先ア
ドレスに変換できます。ただし、ポート番号はそのまま変わりません。
–
ポート変換 — パブリック宛先アドレスとポート番号をプライベート宛先アドレスと別の
ポート番号に変換できます。したがって、実際のポート番号を非公開にしておくことが
できます。これを設定するには、NAT ポリシールールの [ 変換済みパケット ] タブで、
[ 変換済みポート ] を入力します。
NAT ルールのキャパシティ
許可される NAT ルールの数は、ファイアウォールプラットフォームに基づいています。個々
のルールの制限は、スタティック、ダイナミック IP (DIP)、ダイナミック IP およびポート
(DIPP) NAT で設定されます。これらの NAT タイプで使用されるルールの合計数は、NAT ルー
ルの合計キャパシティを超えることはできません。DIPP の場合、ルールの制限は、デバイスの
オーバーサブスクリプション設定（8、4、2、1）と、ルールごとに 1 つの変換後 IP アドレスと
いう前提に基づいています。プラットフォーム固有の NAT ルールの制限および変換後 IP アド
レスの制限を確認するには、『Compare Firewalls』（英語）ツールを使用します。
NAT ルールを処理する場合、以下の事項を考慮します。

プールのリソースがなくなった場合、プラットフォームの最大ルール数に達していなくて
も、それ以上 NAT ルールを作成することはできません。

NAT ルールを統合すると、ログとレポートも統合されます。統計情報は、ルール内のすべて
のアドレスごとではなく、ルールごとに提供されます。詳細なログおよびレポートが必要な
場合は、ルールを統合しないでください。
680
ネットワークへの統合
ネットワーク
NAT
ダイナミック IP およびポート NAT オーバーサブスクリプション
ダイナミック IP およびポート (DIPP) NAT では、変換後 IP アドレスとポートの各ペアを同時
セッションで複数回（8、4、2）使用できます。この IP アドレスおよびポートの再利用可能性
（オーバーサブスクリプションと呼ばれる）により、パブリック IP アドレスが少なすぎる顧客
に拡張性を提供できます。この設計は、異なる宛先にホストが接続されていて、セッションを
一意に識別でき、競合がほとんど発生しないという前提に基づいています。実際には、オー
バーサブスクリプション率でアドレス / ポートプールの元のサイズを乗算して、8、4、2 倍のサ
イズにします。たとえば、許可される同時セッション数のデフォルトの制限が 64,000 の場合、
オーバーサブスクリプション率 8 で乗算すると、許可される同時セッション数は 512,000 になり
ます。
許可されるオーバーサブスクリプション率は、プラットフォームによって異なります。オー
バーサブスクリプション率は、グローバルにデバイスに適用されます。このオーバーサブスク
リプション率は、デフォルトで設定されていて、オーバーサブスクリプションが必要ないほど
十分なパブリック IP アドレスがあってもメモリを消費します。オーバーサブスクリプション率
をデフォルト設定からより低い設定または 1（オーバーサブスクリプションなし）に減らすこ
とができます。オーバーサブスクリプション率を減らすと、送信元デバイスの変換可能数は減
少しますが、DIP および DIPP NAT ルールキャパシティは増加します。デフォルトのオーバー
サブスクリプション率を変更する方法については、「DIPP NAT のオーバーサブスクリプショ
ン率の変更」を参照してください。
[ プラットフォームのデフォルト ] を選択すると、オーバーサブスクリプションの明示的な設定
はオフになり、以下の表に示すように、プラットフォームのデフォルトのオーバーサブスクリ
プション率が適用されます。[ プラットフォームのデフォルト ] 設定では、ソフトウェアリリー
スのアップグレードまたはダウングレードを行うことができます。
以下の表に、各プラットフォームのデフォルト（最高）のオーバーサブスクリプション率を示
します。
プラットフォーム
デフォルトのオーバーサブスクリプ
ション率
PA-200
2
PA-500
2
PA-2020
2
PA-2050
2
PA-3020
2
PA-3050
2
PA-3060
2
PA-4020
4
PA-4050
8
PA-4060
8
ネットワークへの統合
681
ネットワーク
NAT
プラットフォーム
デフォルトのオーバーサブスクリプ
ション率
PA-5020
4
PA-5050
8
PA-5060
8
PA-7050
8
VM-100
1
VM-200
1
VM-300
2
VM-1000-HV
2
ファイアウォールでは、NAT ルールごとに最大 256 個の変換後 IP アドレスがサポートされてい
ます。また、各プラットフォームでは、（統合されたすべての NAT ルールの）変換後 IP アド
レスの最大数がサポートされています。オーバーサブスクリプションが原因で、ルールごとの
変換後 IP アドレスの最大数 (256) を超える場合、ファイアウォールは、コミットが成功するよ
うに自動的にオーバーサブスクリプション率を下げます。ただし、NAT ルールによる変換で、
プラットフォームの変換後アドレスの最大数を超える場合、コミットは失敗します。
データプレーンの NAT メモリの統計情報
show running global-ippool コマンドを実行すると、プールの NAT メモリ消費量に関す
る統計情報が表示されます。Size 列には、リソースプールで使用しているメモリのバイト数が
表示されます。Ratio 列には、オーバーサブスクリプション率が表示されます（DIPP プールの
み）。プールおよびメモリの統計情報の行については、以下のサンプル出力で説明します。
682
ネットワークへの統合
ネットワーク
NAT
仮想システムの NAT プールの統計情報の場合、show running ippool コマンドの列には、
使用されている NAT ルールごとのメモリサイズとオーバーサブスクリプション率（DIPP ルー
ルの場合）が表示されます。以下は、このコマンドのサンプル出力です。
show running nat-rule-ippool rule コマンドの出力のフィールドには、使用されている
NAT ルールごとのメモリ（バイト）が表示されます。以下は、このコマンドのサンプル出力で
す（囲まれた部分がルールのメモリ使用量です）。
ネットワークへの統合
683
ネットワーク
NAT
NAT の設定
NAT のさまざまな機能を設定するには、以下の手順を実行します。

内部クライアントの IP アドレスからパブリック IP アドレスへの変換

内部ネットワークのクライアントからパブリックサーバーへのアクセスを有効にする

パブリックフェイシングサーバーの双方向アドレス変換を有効にする

DIPP NAT のオーバーサブスクリプション率の変更

特定のホストまたはインターフェイスの NAT の無効化
このセクションの NAT の例は、以下のトポロジに基づいています。このトポロジは、インター
フェイスおよびゾーンをセットアップするために「スタートガイド」でも使用しました。
最初に「スタートガイド」でインターフェイスおよびゾーンの作成に使用したサンプルトポロ
ジを元に、以下の 3 つの NAT ポリシーを作成する必要があります。
684
ネットワークへの統合
ネットワーク
NAT

内部ネットワークのクライアントからインターネット上のリソースにアクセスできるように
するには、内部アドレス 192.168.1.0 をルーティング可能なパブリックアドレスに変換する必
要があります。この場合、出力インターフェイスアドレス 203.0.113.100 を使用して、内部
ゾーンからファイアウォールを通過するすべてのパケットの送信元アドレスとして、送信元
NAT を設定します。方法については、「内部クライアントの IP アドレスからパブリック IP
アドレスへの変換」を参照してください。

内部ネットワークのクライアントから DMZ ゾーンのパブリック Web サーバーにアクセスで
きるようにするには、外部ネットワークからのパケットをリダイレクトする NAT ルールを
設定する必要があります。この場合、元のルーティングテーブルを検索することにより、パ
ケット内の宛先アドレス 203.0.113.11 に基づき、DMZ ネットワーク上の Web サーバーが持つ
実際のアドレス 10.1.1.11 に移動する必要があると判断します。このような変換を行うには、
宛先アドレスを DMZ ゾーンのアドレスに変換するための、Trust ゾーン（パケットの送信元
アドレスが存在する場所）から Untrust ゾーン（元の宛先アドレスが存在する場所）への
NAT ルールを作成する必要があります。このタイプの宛先 NAT を「U ターン NAT」といい
ます。方法については、「内部ネットワークのクライアントからパブリックサーバーへのア
クセスを有効にする」を参照してください。

DMZ ネットワークのプライベート IP アドレスと、外部ユーザーがアクセスするパブリック
フェイシングアドレスの両方を持つ Web サーバーで、要求を送受信できるようにするに
は、ファイアウォールでパブリック IP アドレスからプライベート IP アドレスに着信するパ
ケットを、プライベート IP アドレスからパブリック IP アドレスに発信するパケットに変換
する必要があります。ファイアウォールで双方向の静的な送信元 NAT のポリシーを 1 つ作
成すれば、このような変換を実現できます。「パブリックフェイシングサーバーの双方向ア
ドレス変換を有効にする」を参照してください。
ネットワークへの統合
685
ネットワーク
NAT
内部クライアントの IP アドレスからパブリック IP アドレスへの変換
内部ネットワークのクライアントから要求を送信する場合、パケットの送信元アドレスにその
内部ネットワーククライアントの IP アドレスが含まれます。プライベート IP アドレスの範囲
を内部で使用している場合、ネットワークから発信されるパケットの送信元 IP アドレスをルー
ティング可能なパブリックアドレスに変換しない限り、クライアントのパケットをインター
ネットにルーティングできません。
送信元アドレスと送信元ポート（任意）とをパブリックアドレスに変換する送信元 NAT のポ
リシーをファイアウォールで設定すれば、このような変換を実現できます。その方法の 1 つと
して、以下の手順に示すように、すべてのパケットの送信元アドレスをファイアウォールの出
力インターフェイスに変換する方法があります。
送信元 NAT の設定
ステップ 1
使用する外部 IP アドレスのオ 1.
ブジェクトを作成します。
[Objects] > [アドレス] の順に選択して [追加] をクリッ
クします。
2.
[ 名前 ] フィールドに名前を入力し、必要に応じて [ 内
容 ] フィールドにオブジェクトの説明を入力します。
3.
[ タイプ ] ドロップダウンから [IP ネットマスク ] を選
択し、ファイアウォールの外部インターフェイスの IP
アドレス（この例では 203.0.113.100）を入力します。
4.
アドレスオブジェクトを保存するには、[OK] をクリッ
クします。
ポリシーでアドレスオブジェクトを使用する必要が
ない場合でも、アドレスオブジェクトを作成してお
けば、アドレスの参照基準となるポリシーを個別で
はなく一括で更新できるなど、管理者の負担が軽減
されるため、作成しておくのがベストプラクティス
です。
686
ネットワークへの統合
ネットワーク
NAT
送信元 NAT の設定（続き）
ステップ 2
ステップ 3
NAT ポリシーを作成します。
設定を保存します。
ネットワークへの統合
1.
[Policies] > [NAT] の順に選択して [ 追加 ] をクリック
します。
2.
[ 全般 ] タブの [ 名前 ] にポリシーの分かりやすい名前
を入力します。
3.
[ 元のパケット ] タブの [ 送信元ゾーン ] セクションで
内部ネットワーク用に作成したゾーンを、[ 宛先ゾーン ]
ドロップダウンで外部ネットワーク用に作成したゾー
ンを、それぞれ選択します（[追加] をクリックしてゾー
ンを選択します）。
4.
[ 変換済みパケット ] タブの [ 送信元アドレスの変換 ]
セクションで、[ 変換タイプ ] ドロップダウンリストか
ら [ ダイナミック IP およびポート ] を選択し、[ 追加 ]
をクリックします。
5.
作成したアドレスオブジェクトを選択します。
6.
[OK] をクリックして NAT ポリシーを保存します。
[ コミット ] をクリックします。
687
ネットワーク
NAT
内部ネットワークのクライアントからパブリックサーバーへのアクセスを有効にする
内部ネットワークのユーザーが、DMZ にある企業 Web サーバーへのアクセス要求を送信する
場合、DNS サーバーがパブリック IP アドレスを解決します。要求を処理する際に、ファイア
ウォールではパケットの元の宛先（パブリック IP アドレス）を使用して、Untrust ゾーンの出力
インターフェイスにパケットをルーティングします。Trust ゾーンのユーザーから要求を受信し
たときに、ファイアウォールで Web サーバーのパブリック IP アドレスを DMZ ネットワークの
アドレスに変換する必要があると判断するには、次のように、ファイアウォールから DMZ
ゾーンの出力インターフェイスに要求を送信できるようにするための、宛先 NAT のルールを作
成する必要があります。
U ターン NAT の設定
ステップ 1
688
Web サーバーのアドレスオブ 1.
ジェクトを作成します。
[Objects] > [アドレス] の順に選択して [追加] をクリッ
クします。
2.
[ 名前 ] フィールドに名前を入力し、必要に応じて [ 内
容 ] フィールドにオブジェクトの説明を入力します。
3.
[ タイプ ] ドロップダウンから [IP ネットマスク ] を選
択し、Web サーバーのパブリック IP アドレス（この例
では 203.0.113.11）を入力します。
4.
[OK] をクリックします。
ネットワークへの統合
ネットワーク
NAT
U ターン NAT の設定（続き）
ステップ 2
ステップ 3
NAT ポリシーを作成します。
設定を保存します。
ネットワークへの統合
1.
[Policies] > [NAT] の順に選択して [ 追加 ] をクリック
します。
2.
[ 全般 ] タブの [ 名前 ] に NAT ルールの分かりやすい名
前を入力します。
3.
[ 元のパケット ] タブの [ 送信元ゾーン ] セクションで
内部ネットワーク用に作成したゾーンを、[ 宛先ゾーン ]
ドロップダウンで外部ネットワーク用に作成したゾー
ンを、それぞれ選択します（[追加] をクリックしてゾー
ンを選択します）。
4.
[ 宛先アドレス ] セクションで [ 追加 ] をクリックし、
パブリック Web サーバー用に作成したアドレスオブ
ジェクトを選択します。
5.
[変換済みパケット] タブで [宛先アドレスの変換] チェッ
クボックスをオンにしてから、DMZ ネットワーク上の
Web サーバーインターフェイスに割り当てられた IP ア
ドレス（この例では 10.1.1.11）を入力します。
6.
[OK] をクリックして NAT ポリシーを保存します。
[ コミット ] をクリックします。
689
ネットワーク
NAT
パブリックフェイシングサーバーの双方向アドレス変換を有効にする
パブリックフェイシングサーバーで、そのサーバーが実際に存在するネットワークセグメント
のプライベート IP アドレスが割り当てられている場合、出力時にサーバーの送信元アドレスを
外部アドレスに変換する送信元 NAT のルールが必要となります。内部の送信元アドレス
10.1.1.11 を外部 Web サーバーのアドレス（この例では 203.0.113.11）に変換する静的 NAT ルール
を作成します。
ただし、パブリックフェイシングサーバーはパケットを送受信できる必要があります。パブ
リックアドレス（インターネットユーザーからの着信パケットの宛先 IP アドレス）をプライ
ベートアドレスに変換し、ファイアウォールから DMZ ネットワークへパケットをルーティン
グできるようにするための、相互ポリシーが必要となります。以下の手順に示すとおり、双方
向の静的 NAT ルールを作成します。
双方向 NAT の設定
ステップ 1
Web サーバーの内部 IP アドレス 1.
のオブジェクトを作成します。
[Objects] > [アドレス] の順に選択して [追加] をクリッ
クします。
2.
[ 名前 ] フィールドに名前を入力し、必要に応じて [ 内
容 ] フィールドにオブジェクトの説明を入力します。
3.
[ タイプ ] ドロップダウンから [IP ネットマスク ] を選
択し、DMZ ネットワークの Web サーバーの IP アドレ
ス（この例では 10.1.1.11）を入力します。
4.
[OK] をクリックします。
Web サーバーのパブリックアドレスに対するア
ドレスオブジェクトを作成していない場合は、
そのオブジェクトも今すぐ作成する必要があり
ます。
690
ネットワークへの統合
ネットワーク
NAT
双方向 NAT の設定（続き）
ステップ 2
ステップ 3
NAT ポリシーを作成します。
設定を保存します。
ネットワークへの統合
1.
[Policies] > [NAT] の順に選択して [ 追加 ] をクリック
します。
2.
[ 全般 ] タブの [ 名前 ] に NAT ルールの分かりやすい名
前を入力します。
3.
[ 元のパケット ] タブの [ 送信元ゾーン ] セクションで
DMZ 用に作成したゾーンを、[ 宛先ゾーン ] ドロップ
ダウンで外部ネットワーク用に作成したゾーンを、そ
れぞれ選択します（[ 追加 ] をクリックしてゾーンを選
択します）。
4.
[送信元アドレス] セクションで [追加] をクリックし、
内部 Web サーバーのアドレス用に作成したアドレスオ
ブジェクトを選択します。
5.
[ 変換済みパケット ] タブの [ 送信元アドレスの変換 ]
セクションで、[ 変換タイプ ] ドロップダウンから [ ス
タティック IP] を選択し、[ 変換後アドレス ] ドロップ
ダウンから、外部 Web サーバーのアドレス用に作成し
たアドレスオブジェクトを選択します。
6.
[ 双方向 ] フィールドで [ はい ] を選択します。
7.
[OK] をクリックして NAT ポリシーを保存します。
[ コミット ] をクリックします。
691
ネットワーク
NAT
DIPP NAT のオーバーサブスクリプション率の変更
DIPP NAT のオーバーサブスクリプションを使用する必要のない十分なパブリック IP アドレス
がある場合、オーバーサブスクリプション率を減らして、許可される DIP および DIPP NAT
ルールを増やすことができます。
NAT オーバーサブスクリプションの設定
ステップ 1
DIPP NAT オーバーサブスクリ 1.
プション率を表示します。
[Device] > [ セットアップ ] > [ セッション ] > [ セッショ
ン設定 ] の順に選択します。[NAT オーバーサブスクリ
プション率 ] 設定を表示します。
ステップ 2
DIPP NAT オーバーサブスクリ 1.
プション率を設定します。
[ セッション設定 ] セクションの編集アイコンをクリッ
クします。
2.
[NAT オーバーサブスクリプション率 ] ドロップダウン
で、目的のオーバーサブスクリプション率に応じて、
[1x]、[2x]、[4x]、または [8x] を選択します。
[ プラットフォームのデフォルト ] 設定がプラット
フォームのデフォルトのオーバーサブスクリプ
ション設定に適用されます。オーバーサブスクリ
プションが不要な場合は、[1x] を選択します。
3.
[OK] をクリックし、変更を [ コミット ] します。
特定のホストまたはインターフェイスの NAT の無効化
サブネットの特定のホスト、または特定のインターフェイスから送信されるトラフィックで
NAT が実行されないようにする例外を設定できます。このような場合に変換を無効にする送信
元 NAT および宛先 NAT ルールを設定できます。以下の手順は、ホストの送信元 NAT を無効に
する方法を示しています。
692
ネットワークへの統合
ネットワーク
NAT
適用除外の送信元 NAT の作成
ステップ 1
ステップ 2
NAT ポリシーを作成します。
設定を保存します。
ネットワークへの統合
1.
[Policies] > [NAT] の順に選択して [ 追加 ] をクリックし
ます。
2.
[ 名前 ] フィールドに分かりやすいポリシー名を入力し
ます。
3.
[ 元のパケット ] タブの [ 送信元ゾーン ] セクションで
内部ネットワーク用に作成したゾーンを、[ 宛先ゾーン ]
ドロップダウンで外部ネットワーク用に作成したゾー
ンを、それぞれ選択します（[追加] をクリックしてゾー
ンを選択します）。
4.
[ 送信元アドレス ] で、[ 追加 ] をクリックして、ホス
トのアドレスを入力します。[OK] をクリックします。
5.
[ 変換済みパケット ] タブで、画面の [ 送信元アドレス
の変換 ] セクションの [ 変換タイプ ] ドロップダウンか
ら [ なし ] を選択します。
6.
[OK] をクリックして NAT ポリシーを保存します。
[ コミット ] をクリックします。
693
LACP
ネットワーク
LACP
これで、ファイアウォールは、Link Aggregation Control Protocol (LACP) を使用して、ファイア
ウォール自体と接続デバイス（ピア）間の物理インターフェイスを検出し、単一の仮想イン
ターフェイス（集約グループ）としてこれらのインターフェイスを管理できます。集約グルー
プを使用すると、ピア間の帯域幅が増えます。LACP を有効にすると、グループ内の冗長性を
確保できます。このプロトコルは、インターフェイスの障害を自動的に検出し、スタンバイイ
ンターフェイスへのフェイルオーバーを実行します。LACP を使用しないと、物理層より上ま
たは直接接続されていないピア間で発生したインターフェイスの障害を手動で特定する必要が
あります。
LACP をサポートしている Palo Alto Networks ファイアウォールは、PA-500、PA-3000 シリーズ、
PA-4000 シリーズ、PA-5000 シリーズ、および PA-7050 です。これらのファイアウォールでは、
HA3（PA-500、PA-3000 シリーズ、PA-4000 シリーズ、PA-5000 シリーズのみ）、レイヤー 2、レ
イヤー 3 インターフェイスの LACP がサポートされています。
以下のトピックでは、LACP について、また集約グループ用に設定する方法について説明し
ます。

LACP 設定

LACP の設定
LACP 設定
LACP を実装するには、このプロトコルを使用する LACP ピアごとに集約グループを設定する必
要があります。「LACP の設定」を実行する前に、以下のトピックで説明されているように、
各ピアに最適な設定を判断します。

モード

トランスミッション率

高速フェールオーバー

ポート優先順位およびシステム優先度
モード
LACP アクティブモードでは、デバイスがアクティブにネットワークでピアを検索し、それら
の状態（使用可能または応答なし）をクエリします。パッシブモードでは、デバイスはアク
ティブピアからのクエリに応答するだけです。2 つのピア間では、一方をアクティブ、もう一
方をパッシブにすることをお勧めします。両方ともパッシブの場合は LACP が機能しません。
694
ネットワークへの統合
ネットワーク
LACP
トランスミッション率
短い間隔（毎秒）または長い間隔（30 秒）でピアおよび個々のインターフェイスの状態（使用
可能または応答なし）を検出するようにデバイスを設定できます。デバイスは、トランスミッ
ション率の 3 倍（3 秒または 90 秒）の期間内にピアから LACP の更新を受信しないと、応答な
しのフラグをピアに設定します。そのため、ネットワークを処理する LACP のサポート範囲
や、デバイスでインターフェイスの障害を検出して解決する速度に応じて、トランスミッショ
ン率を設定します。
たとえば、ピアに多数の冗長性リンクがあるネットワークの場合、1 つのインターフェイスに
障害が発生してもトラフィックは中断されません。この場合、それほど早く障害を検出する必
要はないので、迅速な対応に伴う追加の処理を行わずに済みます。追加の処理に対応でき、高
可用性を必要とするネットワークの場合（重要なビジネス上の処理に対応するデータセンター
など）、高いトランスミッション率により、ファイアウォールは障害の発生したインターフェ
イスをすばやく置き換えることができます。
各デバイスのトランスミッション率が異なる場合、そのピアのトランスミッション率が使用さ
れます。
高速フェールオーバー
インターフェイスがダウンすると、スタンバイインターフェイスにフェイルオーバーします。
LACP を定義している IEEE 802.1ax 標準では、3 秒以上かかるフェイルオーバープロセスが規定
されています。迅速なフェイルオーバーが必要なネットワークのために、ファイアウォールに
は、1 秒以内に高速フェイルオーバーを実行するオプションが用意されています。このオプ
ションは、標準的なフェイルオーバー間隔では重要なデータが失われる可能性のあるデプロイ
メントの場合に推奨されます。たとえば、ピア間のトラフィック量が、アクティブなインター
フェイスで対応できる最大トラフィック量に近い場合、1 つのインターフェイスに障害が発生
すると、スタンバイインターフェイスがアクティブになっている間にデータが失われる可能性
があります。高速フェイルオーバーでは、標準フェイルオーバーよりもこのリスクを大幅に低
減できます。
インターフェイスがダウンすると、両方のピアでフェイルオーバーが実行されるため、同じ期
間内でプロセスが完了するように両方のピアで高速フェイルオーバーを設定することをお勧め
します。
ネットワークへの統合
695
ネットワーク
LACP
ポート優先順位およびシステム優先度
集約グループを設定する場合、[ 最大ポート ] パラメータにより、任意の時点でアクティブにで
きるインターフェイス数が決定します。グループに割り当てるインターフェイス数が [ 最大
ポート ] を超えると、残りのインターフェイスはスタンバイモードになります。アクティブな
インターフェイスに障害が発生すると、スタンバイインターフェイスがアクティブになりま
す。LACP は、各インターフェイスに割り当てられた [LACP ポート優先順位 ] を使用して、最初
にアクティブになるインターフェイスと、フェイルオーバー時にスタンバイインターフェイス
がアクティブになる順序を決定します（ポート優先順位は、集約グループを設定するときでは
なく、個々のインターフェイスを設定するときに設定します）。
集約グループの各インターフェイスに一意の優先順位番号を割り当てることをお勧めします。
ただし、複数のインターフェイスに同じ優先順位番号が割り当てられている場合、最も小さい
ポート番号のインターフェイスの優先順位が最も高くなります。
2 つのピア間の LACP を有効にするには、それぞれに集約グループの設定が必要です。メンバー
インターフェイスのポート優先順位の値が各ピアで異なる場合、アクティブインターフェイス
およびスタンバイインターフェイスを決定するときに、[ システム優先度 ] の高いピアの値がも
う一方のピアよりも優先されます。
ポート優先順位とシステム優先度の場合、優先順位レベルがその数値の逆になります。優先順
位が 1 の場合、優先順位レベルが最も高くなり、値が 65535 の場合、優先順位レベルが最も低
くなります。デフォルトは 32768 です。
以下の図は、ファイアウォールおよびスイッチに設定された集約グループインスタンスを示し
ています。グループには 4 つのインターフェイスがあり、[ 最大ポート ] パラメータは 3 に設定
されています。つまり、3 つのインターフェイスはアクティブになり、1 つのインターフェイス
がスタンバイになります。ファイアウォール管理者は、ポート優先順位 12、64、128、および
258 を各インターフェイスに割り当てました。スイッチ管理者は、ポート優先順位 22、54、
158、および 228 を各インターフェイスに割り当てました。ファイアウォールの [ システム優先
度 ] がスイッチのシステム優先度よりも高いため、LACP はファイアウォールインスタンスの
ポート優先順位を使用します。
696
ネットワークへの統合
ネットワーク
LACP
図 : LACP システム優先度
一意のシステム優先度を各ピアに割り当てることをお勧めします。ただし、ピアに同じ値が割
り当てられる場合もあります。これは、異なる管理者が各ピアの集約グループを設定した場合
に発生することがあります。このような場合、ポート優先順位に関して、システム ID の数値が
小さいピアがもう一方のピアよりも優先されます。LACP は、システム優先度およびシステム
の MAC アドレスから自動的にシステム ID を導出します。MAC アドレスの数値が小さいと、生
成されるシステム ID の数値も小さくなります。
以下の図は、「図 : LACP システム優先度」と同じピアを示していますが、同じシステム優先度
が設定されています。この場合、LACP はシステム ID を使用して、ポート優先順位を決定する
ため、ファイアウォールよりもスイッチが優先されます。
図 : LACP システム ID
ネットワークへの統合
697
ネットワーク
LACP
高可用性 (HA) ペアのファイアウォールに、システムと同一の優先度の値が設定されます。ただ
し、アクティブ / パッシブデプロイメントでは、同一の MAC アドレスを割り当てるかどうかに
より、それぞれのシステム ID が同じこともあれば、異なることもあります。（アクティブ /
パッシブデプロイメントのファイアウォールは、PAN-OS が自動的に割り当てられるように一
意の MAC アドレスが必要です）。LACP ピア（この場合も HA モード）が仮想化されている場
合は（ネットワークに 1 つのデバイスとして表示される）、ファイアウォールの [ アクティブ /
パッシブ HA に同じシステム MAC アドレスを使用する ] オプションを選択すると、フェイル
オーバー時の遅延が最小限に抑えられます。LACP ピアが仮想化されていない場合は、ファイ
アウォールごとに一意の MAC アドレスすると、フェイルオーバーの遅延が最小限に抑えられま
す。後者の場合、HA ファイアウォールペアと LACP ピアデバイスのシステム優先度がすべて
同じでも、HA ペアの各ファイアウォールに一意のシステム ID があると、一方のファイア
ウォールのシステム ID が LACP ピアよりも小さくなり、もう一方のファイアウォールのシステ
ム ID が LACP ピアよりも大きくなる可能性があります。この場合は、ファイアウォールでフェ
イルオーバーが発生したときに、LACP ピアとアクティブになるファイアウォール間のポート
優先順位が切り替わります。
LACP の設定
この手順を開始する前に、以下の作業を行います。

LACP ピアに接続する物理インターフェイスを決定します。この手順では、配線が完了して
いることを前提としています。

ピアの最適な「LACP 設定」を決定します。
この手順では、Palo Alto Networks ファイアウォールの LACP ピアの設定手順についてのみ説
明します。その他のデバイスには、専用の LACP 設定方法があります。
ファイアウォールに LACP を設定するには、以下の手順を実行します。高可用性デプロイメン
トの場合、プライマリ（アクティブ / アクティブの場合）またはアクティブ（アクティブ / パッ
シブの場合）ファイアウォールを設定します。セカンダリまたはパッシブファイアウォールは
自動的に同期します。
698
ネットワークへの統合
ネットワーク
LACP
LACP の設定
ステップ 1
LACP が有効になっている集約 1.
グループを追加します。
2.
3.
[Network] > [ インターフェイス ] > [Ethernet] の順に
選択し、[ 集約グループの追加 ] をクリックします。
読み取り専用の [インターフェイス名] に隣接したフィー
ルドで、グループを識別する数値 (1 ～ 8) を入力します。
[ インターフェイスタイプ ] で、[HA]、[ レイヤー 2]、
または [ レイヤー 3] を選択します。
[HA] は、インターフェイスがアクティブ / アク
ティブデプロイメントの 2 つのファイアウォール
間の HA3 リンクである場合にのみ選択します。
[LACP] タブで、[LACP を有効化 ] を選択します。
LACP の [ モード ] で、ファイアウォールが [ パッシブ ]
（デフォルト）か [ アクティブ ] かを選択します。
6. [ トランスミッション率 ] で、[ 高速 ] または [ 低速 ] を選
択します。
7. 必要に応じて、インターフェイスがダウンしたときの
ために [ 高速フェールオーバー]（1 秒以下）を選択しま
す。それ以外の場合は、標準フェイルオーバー（3 秒以
上）が適用されます。
8. [ システム優先度 ] の数値（1 ～ 65535、デフォルトは
32768）を入力します。この数値により、ポート優先
順位に関して、ファイアウォールまたはピアがもう一
方よりも優先されるかどうかが決まります。番号が小
さいほど優先度が高くなります。
9. [ 最大ポート ] で、アクティブとなるインターフェイス
数 (1 ～ 8) を入力します。この値を、グループに割り
当てるインターフェイスの数より大きくすることはで
きません。割り当てられたインターフェイスの数がア
クティブなインターフェイスの数を上回ると、残りの
インターフェイスはスタンバイモードになります。
10. デフォルトでは、HA ペアの各ファイアウォールに一
意の MAC アドレスが割り当てられます。[ アクティブ /
パッシブ HA に同じシステム MAC アドレスを使用する ]
設定は、LACP ピアが仮想化されている（ネットワー
クに 1 つのデバイスとして表示される）場合にのみ推
奨されます。そのような場合、このチェックボック
スをオンにして、自動生成された [MAC アドレス ] を
選択するか、独自の MAC アドレスを入力します。ア
ドレスがグローバルに一意であることを確認します。
ファイアウォールがアクティブ / パッシブ HA
モードではない場合、PAN-OS はこれらのフィー
ルドの選択を無視します。アクティブ/ パッシブ
デプロイメントのファイアウォールは、PAN-OS
が自動的に割り当てられるように一意の MAC ア
ドレスが必要です。[ インターフェイスタイプ ]
が [HA] の場合、これらのフィールドは表示され
ません。
11.[OK] をクリックします。
4.
5.
ネットワークへの統合
699
ネットワーク
LACP
LACP の設定（続き）
ステップ 2
ステップ 3
700
インターフェイスを集約グ集約グループに属する物理インターフェイス (1 ～ 8) ごと
ループに割り当てます。
に以下の手順を実行します。
1.
通常の動作中に、複数のインターフェイスを割り当
てます。トラブルシューティング手順で必要な場合
は、1 つのインターフェイスのみを割り当てます。
[Network] > [ インターフェイス ] の順に選択し、イ
ンターフェイス名を選択します。集約グループと同じ
タイプ（HA、レイヤー 2、またはレイヤー 3）である
必要があります。
2.
[ インターフェイスタイプ ] を [Ethernet の集約 ] に変
更します。
3.
定義した [ 集約グループ ] を選択します。
4.
[ リンク速度 ]、[ リンクデュプレックス ]、および [ リ
ンク状態 ] を選択します。グループの各インターフェ
イスに同じリンク速度とデュプレックスの値を設定す
ることをお勧めします。値が一致していない場合は、
コミット操作時に警告が表示され、PAN-OS がデフォ
ルトのより高い速度およびフルデュプレックスを設
定します。
5.
[LACP ポート優先順位 ]（1 ～ 65535、デフォルトは
32768）を入力します。割り当てるインターフェイス
数が、グループに設定した [ 最大ポート ] の値を超え
る場合、ポート優先順位により、どのインターフェイ
スがアクティブまたはスタンバイになるのかが決まり
ます。番号が小さいほど優先度が高くなります。
6.
[OK]、[ コミット ] の順にクリックします。
集約グループの状態を確認し 1.
ます。
[Network] > [ インターフェイス ] > [Ethernet] の順に
選択します。
2.
[ 機能 ] 列に、集約グループの LACP 有効アイコンが表
示されていることを確認します。
3.
[ リンク状態 ] 列に、集約グループの緑色のアイコンが
表示されていることを確認します。緑色のアイコン
は、すべてのメンバーインターフェイスがアップに
なっていることを示します。アイコンが黄色だと、少
なくとも 1 つのメンバー（すべてのメンバーではな
い）がダウンしています。アイコンが赤色だと、すべ
てのメンバーがダウンしています。
4.
集約グループのリンク状態アイコンが黄色または赤色
の場合、[Monitor] > [ ログ ] > [ システム ] の順に選択
し、LACP サブタイプのログを確認して、インター
フェイスの障害の原因を調べます。
ネットワークへの統合
ネットワーク
LACP
LACP の設定（続き）
ステップ 4
（任意）集約グループの [ イン 1.
ターフェイスタイプ ] として
[HA] を選択した場合、HA3 リ
ンクを介したパケットの転送 2.
を有効にします。
3.
ネットワークへの統合
[Device] > [ 高可用性 ] > [ アクティブ / アクティブ設定 ]
の順に選択し、[ パケット転送 ] セクションを編集し
ます。
[HA3 インターフェイス ] で、設定した集約グループを
選択します。
[OK]、[ コミット ] の順にクリックします。
701
LACP
702
ネットワーク
ネットワークへの統合
ポリシー
ポリシーにより、ルールを適用してアクションを実行できます。ファイアウォール上にはさま
ざまなタイプのポリシーを作成できます。具体的には、セキュリティ、NAT、Quality of Service
(QoS)、ポリシーベースフォワーディング (PBF)、復号、アプリケーションオーバーライド、
キャプティブポータル、サービス拒否 (DOS)、ゾーンプロテクションなどです。これらのさま
ざまなポリシーが連携することにより、許可、拒否、優先度の設定、転送、暗号化、復号、例
外の作成、アクセスの認証、接続のリセットなど、必要に応じてネットワークを保護できま
す。以下のトピックでは、ポリシーの使用方法を説明します。

ポリシーのタイプ

セキュリティポリシー

ポリシーオブジェクト

セキュリティプロファイル

ルールベース内のルールの列挙

タグを使用してオブジェクトを視覚的に識別する

セキュリティポリシーでオブジェクトを検索するためのヒントとテクニック

ポリシーでのダイナミックブロックリストの使用

IP アドレスとタグの動的登録

仮想環境における変更のモニタリング

ダイナミック IP アドレスおよびタグを確認する CLI コマンド

プロキシ経由の HTTP/HTTPS 要求に使用するクライアント IP アドレスをログに記録する

ポリシーベースフォワーディング
ポリシー
703
ポリシーのタイプ
ポリシー
ポリシーのタイプ
Palo Alto Networks の次世代ファイウォールは、さまざまなタイプのポリシーの組み合わせをサ
ポートしており、ネットワーク上でアプリケーションを安全に有効化できます。
ポリシーのタイプ
説明
セキュリティ
送信元および宛先のセキュリティゾーン、送信元および宛先の IP アドレ
ス、アプリケーション、ユーザー、サービスなどのトラフィック属性に基
づいて、セッションをブロックするか許可するかが決定されます。詳細
は、「セキュリティポリシー」を参照してください。
NAT
変換が必要なパケットおよび変換方法についてファイアウォールに指示し
ます。ファイアウォールでは、送信元アドレスとポートの変換、宛先アド
レスとポートの変換のどちらにも対応します。詳細は、「NAT」を参照し
てください。
QoS
1 つの定義済みパラメータまたは複数のパラメータを使用して QoS 処理
（優先処理または帯域幅制限）を必要とするトラフィックを識別し、クラ
スに分類します。詳細は、「Quality of Service (QoS)」を参照してください。
ポリシーベースフォワールーティングテーブルに基づいて、通常とは異なる出力インターフェイ
ディング
スを使用する必要があるトラフィックを識別します。詳細は、「ポリシー
ベースフォワーディング」を参照してください。
復号
可視化、管理、および詳細なセキュリティを調べる必要がある暗号化トラ
フィックを識別します。詳細は、「復号」を参照してください。
アプリケーションオーバーレイヤー 7 検査である App-ID エンジンによる処理が不要なセッションを
ライド
識別します。アプリケーションオーバーライドポリシーに一致するトラ
フィックによって、ファイアウォールは、通常のステートフルインスペ
クションファイアウォールとしてレイヤー 4 でセッションを処理するよう
になります。詳細は、「カスタムアプリケーションや不明なアプリケー
ションの管理」を参照してください。
キャプティブポータル
ユーザー認証が必要なトラフィックを識別します。キャプティブポータ
ルポリシーは、User-ID メカニズムによって、送信元 IP アドレスに関連付
けるユーザーが特定されなかった場合にのみトリガーされます。詳細は、
「キャプティブポータル」を参照してください。
DoS プロテクション
サービス拒否 (DoS) 攻撃を特定し、一致したルールに対応する保護アク
ションを実行します。「DoS プロテクションプロファイル」。
704
ポリシー
ポリシー
セキュリティポリシー
セキュリティポリシー
セキュリティポリシーにより、ネットワーク資産を脅威や障害から保護し、ネットワークリ
ソースの最適な割り当てを補助することで、ビジネスプロセスでの生産性や効率性を強化しま
す。Palo Alto Networks のファイアウォールでは、セキュリティポリシーにより、送信元および
宛先のセキュリティゾーン、送信元および宛先の IP アドレス、アプリケーション、ユーザー、
サービスなどのトラフィック属性に基づいて、セッションをブロックするか許可するかが決定
されます。
ファイアウォールを通過するすべてのトラフィックはセッションと照合され、各セッションは
セキュリティポリシーと照合されます。セッションと一致した場合は、そのセッションの双方
向トラフィック（クライアントからサーバー、およびサーバーからクライアントへの両トラ
フィック）にセキュリティポリシーが適用されます。定義されたルールのいずれとも一致しな
いトラフィックには、デフォルトルールが適用されます。セキュリティルールベースの下部に
表示されるデフォルトルールは、すべてのイントラゾーン（ゾーン内）トラフィックを許可
し、すべてのインターゾーン（ゾーン間）トラフィックを拒否するよう事前定義されていま
す。これらのルールは、事前定義済み設定に含まれ、デフォルトで読み取り専用になっていま
すが、オーバーライドして、タグ、アクション（許可または拒否）、ログ設定、セキュリティ
プロファイルなど、限られた数の設定項目を変更することができます。
セキュリティポリシーの評価は、左から右、上から下の順に行われます。定義済みの基準を満
たす最初のルールとパケットが一致すると、それが引き金となり、それ以降のルールは評価さ
れません。そのため、ベストマッチする基準を適用するには、個別のルールを一般的なルール
よりも優先的に評価する必要があります。トラフィックがルールと一致すると、そのルールで
ログが有効になっていれば、セッションの最後にログのエントリがトラフィックログに記録さ
れます。ログのオプションはルールごとに設定可能で、セッションの最後ではなく最初にログ
を記録するように設定したり、セッションの最初と最後の両方でログを記録するように設定す
ることも可能です。

セキュリティポリシールールのコンポーネント

セキュリティポリシーのベストプラクティス
ポリシー
705
セキュリティポリシー
ポリシー
セキュリティポリシールールのコンポーネント
セキュリティポリシールールの構文では、必須フィールドとオプションフィールドを組み合
わせることができます。以下の表に詳細を示します。

必須フィールド

オプションフィールド
必須フィールド
必須フィールド
説明
名前
31 文字まで対応可能なラベルで、ルールの識別に使用します。
ルールタイプ
ルールがゾーン内、ゾーン間、その両方のどれに適用されるかを指定します。
• universal（デフォルト）— 指定された送信元ゾーンおよび宛先ゾーン内の一
致するすべてのインターゾーントラフィックとイントラゾーントラフィッ
クにルールを適用します。たとえば、送信元ゾーンが A と B で、宛先ゾーン
が A と B のユニバーサルルールを作成するとします。ルールは、ゾーン A 内
のすべてのトラフィック、ゾーン B 内のすべてのトラフィック、ゾーン A か
らゾーン B へのすべてのトラフィック、ゾーン B からゾーン A へのすべての
トラフィックに適用されます。
• intrazone — 指定された送信元ゾーン内の一致するすべてのトラフィックに
ルールを適用します（イントラゾーンルールには宛先ゾーンを指定できませ
ん）。たとえば、送信元ゾーンを A と B に設定するとします。ルールは、
ゾーン A 内のすべてのトラフィック、ゾーン B 内のすべてのトラフィックに
適用されますが、ゾーン A とゾーン B 間のトラフィックに適用されません。
• interzone — 指定された送信元ゾーンおよび宛先ゾーン間の一致するすべての
トラフィックにルールを適用します。たとえば、送信元ゾーンを A、B、C、
宛先ゾーンを A、B に設定したとします。ルールは、ゾーン A からゾーン B、
ゾーン B からゾーン A、ゾーン C からゾーン A、ゾーン C からゾーン B への
トラフィックには適用されますが、ゾーン A、B、または C 内のトラフィッ
クには適用されません。
送信元ゾーン
トラフィックの送信元となるゾーン。
宛先ゾーン
トラフィックの宛先となるゾーン。NAT を使用している場合、常に NAT 後の
ゾーンを参照するようにしてください。
アプリケーション
制御するアプリケーション。ファイアウォールでは、トラフィックの分類テク
ノロジーである App-ID を使用して、ネットワーク上のトラフィックを識別しま
す。App-ID により、作成されたセキュリティポリシーの中でアプリケーション
を制御および可視化し、不明なアプリケーションをブロックすると同時に、許
可されるアプリケーションを有効化、検査、およびシェーピングできます。
アクション
ルールで定義する基準に基づいて、トラフィックのアクションを [ 許可 ] または
[ 拒否 ] に指定します。
706
ポリシー
ポリシー
セキュリティポリシー
オプションフィールド
オプションフィールド
説明
タグ
セキュリティルールをフィルタリングできるようにするための、キーワードま
たはフレーズ。多数のルールを定義していて、Inbound to DMZ など、特定のキー
ワードによりタグ付けされているルールをレビューする場合には、これらのタ
グが便利です。
説明
255 文字以下のテキストフィールドで、ルールの説明に使用します。
送信元 IP アドレス
ホスト IP または FQDN、サブネット、名前付きグループ、または国ベースの適
用を定義します。NAT を使用している場合、常にパケットの元の IP アドレス
（NAT 前の IP アドレスなど）を参照するようにしてください。
宛先 IP アドレス
トラフィックの場所または宛先。NAT を使用している場合、常にパケットの元
の IP アドレス（NAT 前の IP アドレスなど）を参照するようにしてください。
ユーザー
ポリシーの適用対象となるユーザーまたはユーザーグループ。ゾーンで
User-ID を有効にする必要があります。User-ID を有効にするには、「User-ID の
概要」を参照してください。
URL カテゴリ
一致条件として [URL カテゴリ ] を使用すると、URL カテゴリ単位にセキュリ
ティプロファイル（アンチウイルス、アンチスパイウェア、脆弱性、ファイル
ブロッキング、データフィルタリング、DoS）をカスタマイズできます。たと
えば、危険度の高いことを示す URL カテゴリの .exe ファイルをダウンロード /
アップロードできないようにし、それ以外のカテゴリのファイルを許可するこ
とが可能です。この機能では、特定の URL カテゴリにスケジュールを関連付け
ること（昼休み中または勤務時間外のソーシャルメディア Web サイトを許可す
る）や、特定の URL カテゴリを QoS でマークすること（金融、医療、ビジネ
ス）、URL カテゴリ単位に異なるログ転送プロファイルを選択することもでき
ます。
URL カテゴリはデバイスで手動設定できますが、Palo Alto Networks ファイア
ウォールで提供される URL カテゴリの動的更新を利用するには、URL フィルタ
リングライセンスを購入する必要があります。
URL カテゴリに基づいてトラフィックをブロックまたは許可するには、
セキュリティポリシールールに URL フィルタリングプロファイルを適
用する必要があります。[URL カテゴリ ] を [Any] として定義し、セキュリ
ティポリシーに URL フィルタリングプロファイルを関連付けます。デ
フォルトのプロファイルをセキュリティポリシーで使用する方法につい
ては、「基本的なセキュリティポリシーのセットアップ」を参照してく
ださい。詳細は、「Web コンテンツへのアクセス制御」を参照してくだ
さい。
ポリシー
707
セキュリティポリシー
ポリシー
オプションフィールド
説明（続き）
サービス
レイヤー 4（TCP または UDP）のポートをアプリケーション用に選択することも
できます。[any] を選択するか、ポートを指定するか、または application-default を使用
して、アプリケーションの標準ベースのポートの使用を許可できます。たとえば
DNS など、既知のポート番号を持つアプリケーションの場合、[application-default] オ
プションを選択すると、TCP ポート 53 上でのみ DNS トラフィックを照合しま
す。カスタムアプリケーションを追加して、そのアプリケーションで使用可能
なポートを定義することもできます。
インバウンド許可ルールの場合（たとえば Untrust から Trust など）、
application-default を使用すると、アプリケーションを標準以外のポートやプ
ロトコルで実行できなくなります。application-default はデフォルトのオプ
ションです。デバイスは引き続きすべてのポートのすべてのアプリケー
ションをチェックしますが、この設定にすることで、アプリケーション
は標準のポート / プロトコルでのみ許可されます。
セキュリティ
プロファイル
脅威、脆弱性、データの漏洩などから、さらにシステムを保護します。セキュ
リティプロファイルは、許可のアクションを含むルールに対してのみ評価され
ます。
HIP プロファイル
ホストインフォメーションプロファイル (HIP) を持つクライアントを識別して
（GlobalProtect の場合）から、アクセス権を適用できます。
オプション
708
セッションのログの定義、ログの転送設定、ルールに一致するパケットの
Quality of Service (QoS) マーキングの変更、およびセキュリティルールを有効に
するタイミング（日時）のスケジュールなどの設定が可能です。
ポリシー
ポリシー
セキュリティポリシー
セキュリティポリシーのベストプラクティス
安全なインターネットアクセスを可能にし、Web アクセス権の誤使用、脆弱性や攻撃を受ける
ことを回避するタスクは、継続的なプロセスです。Palo Alto Networks のファイアウォールでポ
リシーを定義する場合の主原則は、ポジティブエンフォースメントアプローチを用いることで
す。ポジティブエンフォースメントとは、日常業務に必要なものを選択的に許可することで、
これに対してネガティブエンフォースメントアプローチの場合、許可されないものをすべて選
択的にブロックすることです。ポリシーを作成する場合、以下の事項を考慮します。

セキュリティ要件が同じゾーンに複数ある場合、それらを 1 つのセキュリティルールにま
とめます。

ベストマッチする基準を確保するには、ルールの順序が重要です。ポリシーはトップダウ
ン方式で評価されるため、個別のルールを一般的なルールよりも優先する必要がありま
す。つまり、個別のルールをシャドウしないことです。「シャドウ」という用語は、ポリ
シーリストの下位に配置されているために評価されない、または省略されるルールのこと
です。ルールが下位に配置されていると、先行する別のルールが一致基準を満たすことに
より、下位のルールはポリシーの評価からシャドウされます。

インバウンドアプリケーションへのアクセスを制御および制限するには、サービス/アプリ
ケーションがリッスンするポートをセキュリティポリシーで明示的に定義します。

DNS のような既知のサーバーへのアクセスなど、広範な許可ルールをログに記録すると、た
くさんのトラフィックが発生します。そのため、絶対的に必要な場合を除き、この方法は
推奨されません。

デフォルトでは、セッションの終了時にファイアウォールでログのエントリが作成されま
す。ただし、このデフォルトの動作を変更して、セッションの開始時にファイアウォール
でログを記録するように設定することもできます。セッション開始時にログを記録するよ
うに設定すると、ログの量が大幅に増えるため、問題のトラブルシューティングを行う場
合にのみ推奨されます。セッション開始時のログを有効にしなくても、トラブルシュー
ティングを行える別の方法として、セッションブラウザ（[Monitor] > [ セッションブラウ
ザ ]）を使用してリアルタイムでセッションを表示する方法があります。
ポリシー
709
ポリシーオブジェクト
ポリシー
ポリシーオブジェクト
ポリシーオブジェクトは、単一のオブジェクトまたは集合単位で、IP アドレス、URL、アプリ
ケーション、ユーザーなどの個別の ID をグループ化するものです。ポリシーオブジェクトが
集合単位の場合、複数のオブジェクトを手動で 1 つずつ選択しなくても、セキュリティポリ
シーでそのオブジェクトを参照できます。一般的にポリシーオブジェクトを作成する場合、ポ
リシーで同様のアクセス権限を必要とするオブジェクトをグループ化します。たとえば、組織
が一連のサーバーの IP アドレスを使用してユーザーを認証する場合、それらのサーバーの IP
アドレスをアドレスグループのポリシーオブジェクトとしてグループ化し、そのアドレスグ
ループをセキュリティポリシーで参照します。オブジェクトをグループ化することにより、ポ
リシー作成時の管理者の負担が大幅に軽減されます。
以下のポリシーオブジェクトをファイアウォールで作成できます。
ポリシーオブジェクト
説明
アドレス / アドレス
グループ、地域
同じポリシーを実施する必要のある特定の送信元アドレスまたは宛先アド
レスをグループ化できます。アドレスオブジェクトには、IPv4 または
IPv6 のアドレス（単一 IP、範囲、サブネット）または FQDN を含めるこ
とができます。または、緯度と経度の座標で地域を定義したり、国を選択
して IP アドレスまたは IP の範囲を定義したりできます。こうすること
で、アドレスオブジェクトのコレクションをグループ化し、アドレスグ
ループオブジェクトを作成できます。
また、ダイナミックアドレスグループの使用も可能です。このグ
ループは、ホスト IP アドレスが頻繁に変わる環境で動的に IP アド
レスを更新します。
ユーザー/ ユーザーグループローカルデータベースまたは外部データベースからユーザーのリストを
作成し、それらをグループ化できます。
アプリケーショングループアプリケーションフィルタにより、アプリケーションを動的にフィルタ
およびアプリケーションリングでき、ファイアウォールのアプリケーションデータベースで定義
フィルタ
した属性を使用して、一連のアプリケーションをフィルタリングおよび保
存できます。たとえば、カテゴリ、サブカテゴリ、テクノロジー、リス
ク、特性など、1 つ以上の属性によるフィルタリングが可能で、独自のア
プリケーションフィルタを保存できます。アプリケーションフィルタが
あれば、PAN-OS コンテンツの更新が発生した場合に、フィルタ基準を満
たす新規アプリケーションが自動的に保存されているアプリケーション
フィルタに追加されます。
アプリケーショングループにより、あるユーザーグループまたは特定の
サービスに対してグループ化したい特定のアプリケーションの静的グルー
プを作成できます。
710
ポリシー
ポリシー
ポリシーオブジェクト
ポリシーオブジェクト
説明
サービス / サービスグループ送信元ポートと宛先ポート、およびサービスで使用できるプロトコルを指
定できます。ファイアウォールには、service-http と service-https という 2 つ
の事前定義サービスが含まれています。これらのサービスでは、TCP ポー
ト 80 および 8080 を HTTP に、TCP ポート 443 を HTTPS に使用します。た
だし、カスタムサービスを任意の TCP/UDP ポートで自由に作成して、ア
プリケーションの使用をネットワーク上の特定のポートに制限できます
（つまり、アプリケーションのデフォルトポートを定義できます）。
アプリケーションで使用する標準ポートを表示するには、[Objects] >
[ アプリケーション ] の順に選択してアプリケーションを検索し、リ
ンクをクリックします。簡単な説明が表示されます。
ポリシー
711
セキュリティプロファイル
ポリシー
セキュリティプロファイル
セキュリティポリシーにより、ネットワーク上のトラフィックを許可または拒否できますが、
セキュリティプロファイルを使用すると、許可するがスキャンを実施するルールを定義できま
す。このルールでは、許可されたアプリケーションに、ウイルス、マルウェア、スパイウェ
ア、DDOS 攻撃などの脅威が潜んでいないかスキャンされます。トラフィックがセキュリティ
ポリシーで定義した許可ルールと一致する場合、そのルールに添付されたセキュリティプロ
ファイルが、アンチウイルスチェックやデータフィルタリングなどのコンテンツ検査ルールに
追加適用されます。
セキュリティプロファイルは、トラフィックフローの一致基準には使用されません。セキュリ
ティプロファイルは、セキュリティポリシーでアプリケーションまたはカテゴリが許可され
た後に適用され、トラフィックをスキャンします。
ファイアウォールでは、デフォルトのセキュリティプロファイルをそのまま使用して、すぐに
ネットワークを脅威から保護できます。デフォルトのプロファイルをセキュリティポリシーで使
用する方法の詳細は、「基本的なセキュリティポリシーのセットアップ」を参照してください。
ネットワークに必要なセキュリティについて理解を深めると、カスタムプロファイルを作成でき
ます。詳細は、「脅威を確認するためのトラフィックのスキャン」を参照してください。
いっしょに適用することが多いセキュリティプロファイルはセキュリティプロファイルグ
ループとしてまとめておくことができます。セキュリティプロファイルグループは 1 つの単位
として扱うことができるプロファイルのセットであり、セキュリティポリシーに 1 ステップで
追加できます（デフォルトのセキュリティプロファイルグループを設定した場合は、デフォル
トでセキュリティポリシーに追加されます）。
以下のトピックでは、セキュリティプロファイルの各タイプと、セキュリティプロファイル
グループの設定方法について詳しく説明します。

アンチウイルスプロファイル

アンチスパイウェアプロファイル

脆弱性防御プロファイル

URL フィルタリングプロファイル

データフィルタリングプロファイル

ファイルブロッキングプロファイル

DoS プロテクションプロファイル

ゾーンプロテクションプロファイル

セキュリティプロファイルグループ
712
ポリシー
ポリシー
セキュリティプロファイル
アンチウイルスプロファイル
アンチウイルスプロファイルは、ウイルス、ワーム、トロイの木馬、およびスパイウェアダウ
ンロードからの保護を実現します。Palo Alto Networks アンチウイルスソリューションでは、パ
ケットを最初に受信する瞬間にトラフィックを検査するストリームベースのマルウェア防御エ
ンジンを使用して、ファイアウォールのパフォーマンスに大きな影響を与えることなくクライ
アントを保護することができます。このプロファイルは、実行ファイル、PDF ファイル、
HTML ウイルス、および JavaScript ウイルスに含まれるさまざまなマルウェアをスキャンしま
す。また、圧縮ファイルとデータエンコードスキームの内部スキャンもサポートしています。
ファイアウォールで「復号」を有効にしている場合は、復号化されたコンテンツのスキャンも
可能です。
デフォルトプロファイルでは、ウイルスが含まれていないかどうかについてリストにあるプロ
トコルデコーダすべてを検査し、FTP、HTTP、および SMB プロトコルの場合にはブロック
し、SMTP、IMAP、および POP3 プロトコルの場合にはアラートを生成します。カスタマイズ
したプロファイルを使用して、信頼されたセキュリティゾーン間のトラフィックに対するウイ
ルス対策の検査を最小限に抑え、インターネットなどの信頼されていないゾーンから受信した
トラフィックや、サーバーファームなどの機密性の高い宛先に送信されるトラフィックの検査
を最大化できます。
Palo Alto Networks WildFire システムは、捕えるのが難しく、他のアンチウイルスソリューション
によってまだ検出されていない脅威のシグネチャも生成できます。WildFire によって脅威が検
出されると、シグネチャが素早く作成され、脅威防御ライセンスの加入者は毎日（WildFire ラ
イセンスの加入者の場合は 1 時間以内の間隔で）ダウンロードされる標準のアンチウイルスシ
グネチャに組み込まれます。
ポリシー
713
セキュリティプロファイル
ポリシー
アンチスパイウェアプロファイル
アンチスパイウェアプロファイルは、ホストに侵入したスパイウェアが、C&C (C2) サーバーに
対して phone-home 通信またはビーコン通信を試行するのをブロックします。これにより、感染
クライアントからネットワーク外に送出される悪意あるトラフィックを検出できます。ゾーン
間では、さまざまなレベルで保護機能を適用できます。たとえば、信頼されたゾーン間での検
査を最小限に抑えるアンチスパイウェアプロファイルを作成する一方で、インターネット側
ゾーンなどの信頼されないゾーンから受信するトラフィックでの検査を最大化することができ
ます。
アンチスパイウェアをセキュリティポリシーに適用するには、独自のアンチスパイウェアプ
ロファイルを定義する方法と、以下のどちらかの事前定義プロファイルを選択する方法があり
ます。


default — 各シグネチャのデフォルトのアクションを使用します。デフォルトのアクションは、
シグネチャの作成時に Palo Alto Networks によって指定されます。
strict — シグネチャファイルで定義されているアクションに関係なく、重大度が「critical」、
「high」、および「medium」の脅威のデフォルトのアクションがすべてブロックアクション
でオーバーライドされます。重大度が「medium」および「informational」のシグネチャの場
合にはデフォルトアクションが実行されます。
また、アンチスパイウェアプロファイル内では、「DNS シンクホール」アクションを有効にす
ることができます。これにより、ファイアウォールが、既知の悪意あるドメインに問い合わせ
る DNS クエリに対する応答を偽装して、悪意あるドメイン名を、管理者が定義した IP アドレ
スに解決できます。この機能により、保護されたネットワーク上の感染ホストを DNS トラ
フィックを使用して特定できます。シンクホール IP アドレスへの接続を試みるホストは、マル
ウェアに感染している可能性が高いため、感染ホストはトラフィックログおよび脅威ログ内で
容易に特定できます。
アンチスパイウェアプロファイルと脆弱性防御プロファイルは同様の方法で設定されます。
714
ポリシー
ポリシー
セキュリティプロファイル
脆弱性防御プロファイル
脆弱性防御プロファイルは、システムの脆弱性の悪用やシステムへの不正アクセスを防止しま
す。アンチスパイウェアプロファイルでは、ネットワークから流出するトラフィックにより感
染したホストを検出するのに役立ちますが、脆弱性防御プロファイルではネットワークに入っ
てくる脅威から保護します。この機能は、たとえば、バッファオーバーフロー、不正なコード
実行、およびシステムの脆弱性を悪用するその他の試みからシステムを防御します。デフォル
トの脆弱性防御プロファイルでは、重大度が「critical」、「high」、および「medium」のすべて
の既知の脅威からクライアントとサーバーを保護します。また、特定のシグネチャに対するレ
スポンスの変更を可能にする例外を作成することもできます。
ポリシー
715
セキュリティプロファイル
ポリシー
URL フィルタリングプロファイル
「URL フィルタリング」プロファイルを使用すると、ユーザーが HTTP および HTTPS を介して
Web にアクセスする方法をモニターおよび制御できます。ファイアウォールには、既知のマル
ウェアサイト、フィッシングサイト、アダルトコンテンツサイトなどの Web サイトをブロッ
クするように設定されているデフォルトプロファイルが付属しています。このデフォルトプロ
ファイルは、セキュリティポリシーで使用したり、コピーして新しい URL フィルタリングプ
ロファイルを作成するときに利用したりできます。また、ネットワーク上のトラフィックを可
視化できるように、すべてのカテゴリを許可に設定する新しい URL プロファイルを追加するこ
ともできます。新しく追加されたこの URL プロファイルをカスタマイズして、常にブロックま
たは許可する必要のある特定の Web サイトのリストを追加できます。これにより、URL カテゴ
リをより細かく制御することができます。
716
ポリシー
ポリシー
セキュリティプロファイル
データフィルタリングプロファイル
データフィルタリングプロファイルは、クレジットカード番号や社会保障番号などの機密情
報が、保護されたネットワークから漏出するのを防ぎます。また、重要なプロジェクト名や秘
密の言葉などのキーワードに基づいてフィルタリングすることもできます。プロファイルの焦
点を適切なファイルタイプに合わせ、誤検知を削減することが重要です。たとえば、Word ド
キュメントまたは Excel スプレッドシートのみを検索することができます。また、web-browsing
トラフィック、または FTP のみをスキャンすることも可能です。
デフォルトのプロファイルを作成したり、カスタムデータパターンを作成したりすることがで
きます。デフォルトプロファイルには次の 2 つがあります。

CC 番号（クレジットカード番号）— ハッシュアルゴリズムを使用してクレジットカード番
号を識別します。データをクレジットカード番号として検出するには、コンテンツがハッ
シュアルゴリズムと一致する必要があります。この方法により、誤検知が減少します。

SSN 番号（社会保障番号）— アルゴリズムを使用して、フォーマットに関係なく 9 桁の番号
を検出します。[SSN 番号 ] と [SSN 番号（ダッシュを除く）] の 2 つのフィールドがあります。
重み値としきい値
フィルタリングしようとする条件の適切なしきい値を設定するには、オブジェクト（SSN、CC
番号、パターン）の重みの計算方法を理解することが重要です。アクションしきい値（アラー
トまたはブロック）に到達するまで、各値に重み値を乗算して合計されます。
例 : 社会保障番号専用のフィルタ
簡単に説明するため、社会保障番号 (SSN) が書き込まれているファイルをフィルタリングし、
[SSN 番号 ] の重みを 3 と定義するとします。使用する式は、SSN のインスタンス x 重み = しき
い値と比較する値です。このとき、Word ドキュメントに 10 件社会保障番号がある場合は、そ
の件数に重みの 3 を乗算 (10 x 3) して 30 となります。よって、10 件の社会保障番号を含んだファ
イルでアクションを起こすには、しきい値を 30 に設定することになります。この場合は、ア
ラートは 30 で、ブロックは 60 で実行されるように設定することができます。また、[SSN 番号
（ダッシュを除く）] フィールドで、ダッシュを含まない社会保障番号の重みを設定することも
できます。複数の設定を使用する場合は、指定されたしきい値になるまで累積されます。
ポリシー
717
セキュリティプロファイル
ポリシー
例 : 社会保障番号とカスタムパターンのフィルタ
この例では、社会保障番号とカスタムパターン confidential を含むファイルをフィルタリングし
ます。言い換えると、ファイルに「confidential」という単語に加えて社会保障番号が書き込ま
れており、それらの項目の合計インスタンス数がしきい値に到達すると、アクション設定に応
じて、そのファイルでアラートまたはブロックがトリガーされます。
SSN 番号の重み = 3
Custom Pattern confidential weight = 20
カスタムパターンでは大文字と小文字が区別されます。
ファイルに 20 件の社会保障番号が含まれ、重みが 3 に設定されている場合、値は 20 x 3 = 60 と
なります。そのファイルに confidential という単語のインスタンスが 1 つ含まれ、重みが 20 に設
定されている場合は、値が 1 x 20 = 20 で、合計で 80 となります。ブロックのしきい値が 80 に設
定されていれば、このシナリオの場合にはファイルがブロックされます。アラートまたはブ
ロックアクションは、しきい値に到達するとすぐにトリガーされます。
718
ポリシー
ポリシー
セキュリティプロファイル
ファイルブロッキングプロファイル
ファイアウォールのファイルブロッキングプロファイルには 2 つの目的があります。1 つは、
ファイルを WildFire に転送して分析すること、もう 1 つは、指定したアプリケーション経由
で、指定したセッションフロー方向（インバウンド、アウトバウンド、両方）に送信される指
定したファイルタイプをブロックすることです。アップロードまたはダウンロードでアラート
送信またはブロックするプロファイルを設定し、ファイルブロッキングプロファイルの適用対
象となるアプリケーションを指定できます。また、指定したファイルタイプのダウンロードを
ユーザーが試みるときに表示される、カスタムブロックページを設定することもできます。これ
によりユーザーは、ファイルをダウンロードするかどうか考える時間を持つことができます。
ファイルブロッキングプロファイルには、以下のアクションを設定できます。





alert — 指定したファイルタイプが検出されると、データフィルタリングログでログが生成
されます。
block — 指定したファイルタイプが検出されると、そのファイルはブロックされ、ユーザー
に対してカスタマイズ可能なブロックページが表示されます。データフィルタリングログ
でログも生成されます。
continue — 指定したファイルタイプが検出されると、ユーザーに対して応答ページが表示さ
れます（この応答ページはカスタマイズ可能です）。ユーザーはページをクリックスルーし
てファイルをダウンロードすることができます。データフィルタリングログでログも生成
されます。このタイプの転送アクションは、ユーザーとのやり取りが必要になるため、Web
トラフィックにのみ使用可能です。
forward — 指定したタイプが検出されると、ファイルが WildFire に送信されて分析されます。
データフィルタリングログでログも生成されます。
continue-and-forward — 指定したファイルタイプが検出されると、ユーザーに対してカス
タマイズ可能な続行ページが表示されます。ユーザーはページをクリックスルーしてファイ
ルをダウンロードすることができます。ユーザーが続行ページをクリックスルーしてファイ
ルをダウンロードすると、ファイルは WildFire に送信されて分析されます。データフィルタ
リングログでログも生成されます。
ポリシー
719
セキュリティプロファイル
ポリシー
DoS プロテクションプロファイル
DOS プロテクションプロファイルでは、サービス拒否 (DoS) 防御ポリシーの詳細を制御できま
す。DoS ポリシーでは、インターフェイス、ゾーン、アドレス、国に対するセッション数を、
セッション総数、送信元 IP アドレスおよび宛先 IP アドレスに基づいて制御できます。Palo Alto
Networks のファイアウォールでサポートされる DoS 防御メカニズムは次の 2 つです。

フラッド防御 — ネットワークがパケットでフラッドされたために、ハーフオープンセッショ
ンの数が非常に多くなったり、サービスが各要求に応答できなくなる攻撃を検出および防御
します。この場合、攻撃の送信元アドレスは通常なりすましされています。

リソース保護 — セッション消耗攻撃を検出および防御します。このタイプの攻撃では、大量
数のホスト（ボット）を使用して完全に確立されたセッションを可能な限り多く確立し、シ
ステムリソースのすべてを消費します。
1 つの DOS プロテクションプロファイルで、これら両方の防御メカニズムを有効にできます。
DoS プロファイルを使用して、実行するアクションのタイプと DoS ポリシーの照合基準の詳細
を指定します。DoS プロファイルでは、SYN、UDP、および ICMP フラッドの設定項目を定義
し、リソースの保護を有効にし、最大同時接続数を定義します。DoS 防御プロファイルを設定
したら、DoS ポリシーに適用します。
DoS 防御の設定時には、適正なしきい値を設定するため、使用環境を分析することが重要です。
また、DoS 防御ポリシーの定義にはいくつかの複雑な設定が関係しているため、このガイドでは
詳細な例は示しません。詳細は、『Threat Prevention Tech Note』（英語）を参照してください。
720
ポリシー
ポリシー
セキュリティプロファイル
ゾーンプロテクションプロファイル
ゾーンプロテクションプロファイルでは、ゾーンを攻撃から保護するため、特定のネットワー
クゾーン間の保護を強化します。プロファイルはゾーン全体に適用する必要があるため、各
ゾーンを通過する通常のトラフィックによって問題が発生しないようにするため、慎重にプロ
ファイルをテストすることが重要です。ゾーンプロテクションプロファイルにパケット / 秒
(pps) のしきい値制限を定義する場合、しきい値は以前に確立したセッションと一致しないパ
ケット / 秒を基にしています。詳細は、『Threat Prevention Tech Note』（英語）を参照してくだ
さい。
ポリシー
721
セキュリティプロファイル
ポリシー
セキュリティプロファイルグループ
セキュリティプロファイルグループは、セキュリティプロファイルのセットとして、1 つの単
位として処理でき、セキュリティポリシーに追加できます。同時に割り当てられることが多い
プロファイルをプロファイルグループにまとめることで、セキュリティポリシーの作成を簡略
化できます。また、デフォルトのセキュリティプロファイルグループを設定することもできま
す。新規のセキュリティポリシーは、デフォルトのプロファイルグループに定義されている設
定を使用して、セキュリティポリシーに一致するトラフィックをチェックおよび制御できま
す。セキュリティプロファイルグループに「default」という名前を付けると、そのグループに
属するプロファイルをデフォルトで新規のセキュリティポリシーに追加できます。これによ
り、組織の優先プロファイル設定が新規のポリシーにいつでも自動的に追加されるようになる
ため、新規ポリシーを作成するたびに優先プロファイルを手動で追加する手間が省けます。
以下のセクションでは、セキュリティプロファイルグループの作成方法、およびプロファイル
グループをデフォルトで新規のセキュリティポリシーに追加する方法を説明します。

セキュリティプロファイルグループの作成

デフォルトのセキュリティプロファイルグループの設定またはオーバーライド
セキュリティプロファイルグループの作成
セキュリティプロファイルグループを作成して、セキュリティポリシーに追加するには、以
下の手順を実行します。
722
ポリシー
ポリシー
セキュリティプロファイル
セキュリティプロファイルグループの作成
ステップ 1
ステップ 2
ステップ 3
ポリシー
セキュリティプロファイルグ 1.
ループを作成します。
[Objects] > [ セキュリティプロファイルグループ ] を
選択して、新規のセキュリティプロファイルグループ
を [ 追加 ] します。
2.
プロファイルグループに分かりやすい [ 名前 ]（たとえ
ば、「脅威」）をつけます。
3.
ファイアウォールがマルチ仮想システムモードになっ
ている場合は、プロファイルをすべての仮想システム
で [ 共有 ] 可能にします。
4.
既存のプロファイルをグループに追加します。
5.
[OK] をクリックしてプロファイルグループを保存し
ます。
セキュリティプロファイルグ 1.
ループをセキュリティポリ
シーに追加します。
2.
[Policies] > [ セキュリティ] の順に選択して、セキュリ
ティポリシールールを [ 追加 ] または変更します。
変更を保存します。
[ アクション ] タブを選択します。
3.
[ プロファイル設定 ] セクションで、[ プロファイルタ
イプ ] として [ グループ ] を選択します。
4.
[ グループプロファイル ] ドロップダウンリストで、作
成したグループ（たとえば、脅威グループ）を選択し
ます。
5.
[OK] をクリックしてポリシーを保存し、変更を [ コミッ
ト ] します。
[ コミット ] をクリックします。
723
セキュリティプロファイル
ポリシー
デフォルトのセキュリティプロファイルグループの設定またはオーバーライド
新規のセキュリティポリシーで使用するデフォルトのセキュリティプロファイルグループの
設定、または既存のデフォルトグループのオーバーライドを実行するには、以下の手順を実行
します。新規のセキュリティポリシーを作成する際には、デフォルトのプロファイルグループ
が自動的に新規ポリシーのプロファイル設定として選択され、そのポリシーに一致するトラ
フィックが、プロファイルグループに定義された設定に従ってチェックされます（必要に応じ
て、デフォルトとは異なるプロファイル設定を手動で選択することもできます）。デフォルト
のセキュリティプロファイルグループの設定、またはデフォルトの設定のオーバーライドを実
行するには、以下の手順を実行します。
デフォルトのセキュリティプロファイルが存在しない場合、新規のセキュリティポリシーの
プロファイル設定は、デフォルトで [なし] に設定されます。
724
ポリシー
ポリシー
セキュリティプロファイル
デフォルトのセキュリティプロファイルグループの設定またはオーバーライド
• セキュリティプロファイルグループを作 1.
成します。
[Objects] > [ セキュリティプロファイルグループ ] を
選択して、新規のセキュリティプロファイルグループ
を [ 追加 ] します。
2.
プロファイルグループに分かりやすい [ 名前 ]（たとえ
ば、「脅威」）をつけます。
3.
ファイアウォールがマルチ仮想システムモードになっ
ている場合は、プロファイルをすべての仮想システム
で [ 共有 ] 可能にします。
4.
既存のプロファイルをグループに追加します。プロ
ファイルの作成の詳細は、「セキュリティプロファイ
ル」を参照してください。
5.
[OK] をクリックしてプロファイルグループを保存し
ます。
6. セキュリティプロファイルグループをセキュリティポ
リシーに追加します。
7. セキュリティポリシールールを [ 追加 ] または変更し
て、[ アクション ] タブを選択します。
8.
[ プロファイルタイプ ] として [ グループ ] を選択し
ます。
9.
[ グループプロファイル ] ドロップダウンリストで、作
成したグループ（たとえば、脅威グループ）を選択し
ます。
10. [OK] をクリックしてポリシーを保存し、変更を [ コミッ
ト ] します。
ポリシー
725
セキュリティプロファイル
ポリシー
デフォルトのセキュリティプロファイルグループの設定またはオーバーライド（続き）
• デフォルトのセキュリティプロファイルグ 1.
ループを設定します。
[Objects] > [ セキュリティプロファイルグループ ] を
選択して、新規のセキュリティプロファイルグループ
を追加するか、既存のセキュリティプロファイルグ
ループを変更します。
2.
セキュリティプロファイルグループに「default」とい
う [ 名前 ] を付けます。
3.
[OK]、[ コミット ] の順にクリックします。
4.
default というセキュリティプロファイルグループが新
規のセキュリティポリシーにデフォルトで含まれてい
ることを確認します。
a. [Policies] > [ セキュリティ] の順に選択して、新規の
セキュリティポリシーを [ 追加 ] します。
b. [ アクション ] タブを選択して、[ プロファイル設定 ]
フィールドを表示します。
デフォルトでは、新規のセキュリティポリシーの [プロファ
イルタイプ ] が [ グループ ] に設定されており、[ グループ
プロファイル ] として default が選択されています。
• デフォルトのセキュリティプロファイル既存のデフォルトセキュリティプロファイルグループの
グループをオーバーライドします。
プロファイルセットを新規のセキュリティポリシーに適用
しない場合は、自分の好みに合わせてプロファイル設定を
変更してください。その場合は、まずポリシーのプロファ
イルタイプを選択するところから始めます（[Policies] >
[ セキュリティ] > [ セキュリティポリシールール ] > [ アク
ション ]）。
726
ポリシー
ポリシー
ルールベース内のルールの列挙
ルールベース内のルールの列挙
ルールベース内の各ルールは自動的に付番され、ルールの移動や並べ替えを行うと、それに応
じてルール番号も変更されます。ルールをフィルタリングして指定したフィルタに一致する
ルールを検索すると、各ルールはルールベース内の全ルールのコンテキストで番号が振られ、
評価順に従って並べられます。
Panorama では、プレルールとポストルールは別々に付番されます。Panorama から管理対象ファ
イアウォールにルールをプッシュすると、付番の際に、ルールベース内のプレルール、デバイ
スルール、およびポストルールの階層が考慮され、その番号がルールの並びと評価順に反映さ
れます。Panorama の [ プレビュー] オプションには、管理対象デバイスの全ルールの順序付きリ
ストのビューが表示されます。。
ルールベース内のルールの順序付きリストの表示
• ファイアウォール上のルールの番号付きリストを表示します。
[Policies] を選択し、その配下のルールベースを選択します。たとえば、[Policies] > [QoS] を選択しま
す。表の最左端の列にルール番号が表示されます。
ポリシー
727
ルールベース内のルールの列挙
ポリシー
ルールベース内のルールの順序付きリストの表示（続き）
• Panorama 上のルールの番号付きリストを表示します。
[Policies] を選択し、その配下のルールベースを選択します。たとえば、[Policies] > [ セキュリティ] >
[ プレルール ] を選択します。
728
ポリシー
ポリシー
ルールベース内のルールの列挙
ルールベース内のルールの順序付きリストの表示（続き）
• Panorama からルールをプッシュすると、管理対象デバイス上の番号の付いたルールの全リストが表示
されます。
管理対象デバイスの Web インターフェイスで [Policies] を選択して、その配下の任意のルールベース
を選択します。たとえば、[Policies] > [ セキュリティ] を選択すると、デバイス上で評価されるすべて
の番号付きルールが表示されます。
ポリシー
729
タグを使用してオブジェクトを視覚的に識別する
ポリシー
タグを使用してオブジェクトを視覚的に識別する
オブジェクトにタグ付けし、タグに色を追加すれば、タグ付けしたオブジェクトを視覚的に区
別できます。タグを追加できるオブジェクトは、アドレスオブジェクト、アドレスグループ、
ゾーン、サービスグループ、ポリシールールです。
ファイアウォールと Panorama ではスタティックタグとダイナミックタグの両方をサポートし
ていますが、ダイナミックタグはさまざまなソースから登録されます。ダイナミックタグはデ
バイス設定の一部ではないため、スタティックタグとは一緒に表示されません。タグを動的に
登録する方法については、「IP アドレスとタグの動的登録」を参照してください。このセク
ションで説明するタグは、静的に追加され、デバイス設定に含まれます。
オブジェクトやポリシールールには 1 つ以上のタグを適用でき、1 つのオブジェクトには最大
64 個のタグを適用できます。Panorama は最大 10,000 個のタグをサポートしており、タグは
Panorama 全体（共有およびデバイスグループ）と管理対象デバイス（複数の仮想システムを持
つデバイスを含む）に分配できます。
タグオブジェクト
ステップ 1
タグを作成します。
1.
ゾーンにタグを付けるに 2.
は、ゾーンと同じ名前の
タグを作成する必要があ
ります。ゾーンがポリ 3.
シールールに関連付け
られている場合は、タグ 4.
の色がゾーン名の背景色
として自動的に表示され
ます。
730
[Objects] > [ タグ ] の順に選択します。
Panorama または複数の仮想システムファイアウォール
で、[ デバイスグループ ] またはこのオブジェクトが属
する [ 仮想システム ] を選択します。
[ 追加 ] をクリックして、タグを識別する [ 名前 ] を入
力します。最大長は 127 文字です。
（任意）オブジェクトを共有場所に作成して、Panorama
で共有オブジェクトとしてアクセス可能にしたり、複
数の仮想システムファイアウォールのすべての仮想シ
ステムで使用できるようにするには、[ 共有 ] を選択し
ます。
5.
（任意）事前定義済みの 16 色の中の 1 つ選んでタグに
割り当てます。デフォルトでは、色は選択されていま
せん。
6.
[OK] をクリックして変更内容を [ コミット ] します。
ポリシー
ポリシー
タグを使用してオブジェクトを視覚的に識別する
タグオブジェクト（続き）
ステップ 2
ステップ 3
ポリシーにタグを表示します。 1.
[Policies] を選択し、その配下のルールベースを選択し
ます。
2.
[追加] をクリックし、ステップ 1 で作成したタグ付きオ
ブジェクトを使用してポリシールールを作成します。
3.
タグが使用されていることを確認します。
タグを使用します。
• [Objects] > [ タグ ] を選択し、タグに対して以下のいずれ
かの操作を実行します。
• [名前] 列のリンクをクリックして、タグのプロパティ
を編集します。
• 表からタグを選択し、[ 削除 ] をクリックしてファイ
アウォールからタグを削除します。
• [ コピー] をクリックして、同じプロパティを持つ重
複タグを作成します。タグ名には数字の番号が追加
されます（例 : FTP-1）。
• タグを、アドレスオブジェクト、アドレスグループ、
サービス、またはサービスグループに追加するには、以
下の手順を実行します。
• オブジェクトを作成します。[ 追加 ] をクリックしま
す。たとえば、サービスグループを作成するには、
[Objects] > [ サービスグループ ] > [ 追加 ] の順に選択
します。
• [タグ] ドロップダウンリストからタグを選択するか、
フレーズを入力して新規タグを作成します。
タグを編集するか、タグに色を追加するには、
[Objects] > [ タグ ] の順に選択します。
ポリシー
731
セキュリティポリシーでオブジェクトを検索するためのヒントとテクニック
ポリシー
セキュリティポリシーでオブジェクトを検索するための
ヒントとテクニック
ポリシーフィルタリングの仕組みは、非常に複雑なセキュリティポリシールールベースであっ
ても、その内部のオブジェクトを簡単に検索できる強力なツールです。以下の各トピックで
は、いくつか例を挙げて、セキュリティポリシールールベース（[Policies] > [ セキュリティ]）
を効率的に検索し、管理タスクを軽減する方法を学習します。

セキュリティプロファイルを含むセキュリティポリシールールの検索

セキュリティポリシー内の無効化されたルールの検索

セキュリティポリシー内のログ転送詳細の検索

セキュリティポリシー内のログ詳細の検索

セキュリティポリシー内のスケジュール設定されたルールの検索
セキュリティプロファイルを含むセキュリティポリシールールの検索

アンチウイルスプロファイルの検索

個々の URL フィルタリングプロファイルの検索

アンチスパイウェアプロファイルの検索

脆弱性防御プロファイルの検索

ファイルブロッキングプロファイルの検索

データフィルタリングプロファイルの検索
アンチウイルスプロファイルの検索
アンチウイルスセキュリティプロファイルを検索するには、
profile-setting/profiles/virus/member 構文を使用します。たとえば、FTP、HTTP、
IMAP、POP3、SMB、および SMTP の各アプリケーショントラフィックに含まれるウイルスを
ブロックする BlockAll という名前のアンチウイルスプロファイルがあるとします。このアンチ
ウイルスプロファイルを含むすべてのセキュリティポリシールールを検索するには、
[Policies] タブのフィルタテキストボックス内に以下の文字列を入力します。
profile-setting/profiles/virus/member eq BlockAll
検索フィルタでは大文字と小文字が区別されます。したがって、フィルタリングを実行する際
には、[Objects] タブに表示されるとおりにオブジェクト名を入力する必要があります。上の
例では、blockall または Blockall でフィルタリングしても何も一致しません。大文字/小
文字の違いも意識して正確に BlockAll と入力する必要があります。
732
ポリシー
ポリシー
セキュリティポリシーでオブジェクトを検索するためのヒントとテクニック
この検索フィルタを適用すると、次のように、BlockAll アンチウイルスセキュリティプロファ
イルが添付されているセキュリティポリシールールのみがルールベースに表示されるようにな
ります。
個々の URL フィルタリングプロファイルの検索
URL フィルタリングプロファイルを検索するには、
profile-setting/profiles/url-filtering/member 構文を使用します。block malware
という名前の URL フィルタリングプロファイルを含むすべてのセキュリティポリシールール
を検索するには、フィルタテキストボックス内に以下の文字列を入力します。
profile-setting/profiles/url-filtering/member eq “block malware”
この例では、プロファイル名にスペースが含まれているため、「block malware」URL フィル
タリングプロファイルが添付されたポリシールールにフィルタが一致するように、プロファ
イル名を引用符で囲む必要があります。
この検索フィルタを適用すると、「block malware」URL フィルタリングプロファイルが添付さ
れたセキュリティポリシールールのみがルールベースに表示されるようになります。
ポリシー
733
セキュリティポリシーでオブジェクトを検索するためのヒントとテクニック
ポリシー
アンチスパイウェアプロファイルの検索
アンチスパイウェアセキュリティプロファイルを検索するには、
profile-setting/profiles/spyware/member 構文を使用します。default という名前の
アンチスパイウェアセキュリティプロファイルが添付されたすべてのセキュリティポリシー
ルールを検索するには、フィルタテキストボックス内に以下の文字列を入力します。
profile-setting/profiles/spyware/member eq default
この検索フィルタを適用すると、次のように、default アンチスパイウェアプセキュリティプロ
ファイルが添付されているセキュリティポリシールールのみがルールベースに表示されるよう
になります。
脆弱性防御プロファイルの検索
脆弱性防御セキュリティプロファイルを検索するには、
profile-setting/profiles/vulnerability/member 構文を使用します。strict という
名前の脆弱性防御セキュリティプロファイルが添付されたすべてのセキュリティポリシー
ルールを検索するには、フィルタテキストボックス内に以下の文字列を入力します。
profile-setting/profiles/vulnerability/member eq strict
この検索フィルタを適用すると、次のように、strict 脆弱性防御セキュリティプロファイルが添
付されているセキュリティポリシールールのみがルールベースに表示されるようになります。
734
ポリシー
ポリシー
セキュリティポリシーでオブジェクトを検索するためのヒントとテクニック
ファイルブロッキングプロファイルの検索
ファイルブロッキングセキュリティプロファイルを検索するには、
profile-setting/profiles/file-blocking/member 構文を使用します。たとえば、す
べての PE ファイルを WildFire に転送して分析するために使用する、WildFire という名前のファ
イルブロッキングプロファイルを作成したとします。フィルタテキストボックス内に以下の
文字列を入力して WildFire という名前のファイルブロッキングセキュリティプロファイルが
添付されたすべてのセキュリティポリシールールを検索することで、このファイルブロッキン
グプロファイルが添付されたすべてのセキュリティポリシールールをすばやく確認できます。
profile-setting/profiles/file-blocking/member eq Wildfire
この検索フィルタを適用すると、次のように、WildFire ファイルブロッキングセキュリティプ
ロファイルが添付されているすべてのセキュリティポリシールールがルールベースに表示され
るようになります。
データフィルタリングプロファイルの検索
特定のデータフィルタリングセキュリティプロファイルが添付されたセキュリティポリシー
ルールを検索するには、profile-setting/profiles/data-filtering/member 構文を
使用します。たとえば、credit cards という名前のデータフィルタリングプロファイルを作成
したとします。フィルタテキストボックス内に以下の文字列を入力して credit cards という名
前のデータフィルタリングセキュリティプロファイルが添付されたすべてのセキュリティポ
リシールールを検索することで、このプロファイルが添付されたすべてのセキュリティポリ
シールールを検索できます。
profile-setting/profiles/data-filtering/member eq “credit cards”
ここでもプロファイル名にスペースが含まれているため、プロファイル名を引用符で囲む必要
があります。
この検索フィルタを適用すると、次のように、credit cards データフィルタリングセキュリティ
プロファイルが添付されているセキュリティポリシールールのみがルールベースに表示される
ようになります。
ポリシー
735
セキュリティポリシーでオブジェクトを検索するためのヒントとテクニック
ポリシー
セキュリティポリシー内の無効化されたルールの検索
ポリシー内で現在無効化されているすべてのセキュリティルールをすばやく確認する必要があ
る場合は、セキュリティポリシーの検索バーに次のコマンドを入力します。
disabled eq yes
セキュリティポリシー内のログ転送詳細の検索
特定のログ転送プロファイルを使用して現在ログを送信しているすべてのセキュリティルール
をすばやく確認する必要がある場合は、logsetting パラメータを使用してルールベースを
フィルタリングします。たとえば、panorama という名前のログ転送プロファイルを使用して
ログを転送しているすべてのルールをフィルタリングするには、[Policies] > [ セキュリティ]
ページの検索バーに次のコマンドを入力します。
logsetting eq panorama
736
ポリシー
ポリシー
セキュリティポリシーでオブジェクトを検索するためのヒントとテクニック
セキュリティポリシー内のログ詳細の検索
現在ログを送信しているすべてのセキュリティルールをすばやく確認する必要がある場合は、
ログ終了およびログ開始フィルタを使用してフィルタリングします。たとえば、セッションの
終了時にログを生成するすべてのポリシールールを確認するには、次のフィルタを使用して
ルールベースをフィルタリングします。
log-end eq yes
同様に、セッションの開始時と終了時にログを生成するすべてのポリシールールを確認するに
は、次のようにルールベースをフィルタリングします。
log-start eq yes
セキュリティポリシー内のスケジュール設定されたルールの検索
特定の時間スケジュール（たとえば昼食時など）に基づいてアクティブに設定されるすべての
セキュリティルールをすばやく確認する必要がある場合は、[Policies] > [ セキュリティ] ページ
の検索バーに次のコマンドを入力します。
schedule eq “Lunch time”
検索フィールドでは大文字と小文字を区別するため、ファイアウォールの設定に表示されると
おりにオブジェクト名を入力する必要があります。また、オブジェクト名にスペースが含まれ
る場合は、そのオブジェクト名を引用符で囲む必要があります。
ポリシー
737
セキュリティポリシーでオブジェクトを検索するためのヒントとテクニック
ポリシー
738
ポリシー
ポリシー
ポリシーでのダイナミックブロックリストの使用
ポリシーでのダイナミックブロックリストの使用
ファイアウォールまたは Panorama では、通常、送信元または宛先 IP アドレスに対してポリシー
を適用しますが、これらのアドレスはファイアウォール上ではスタティックなオブジェクトと
して定義されます。動的に出現する送信元 / 宛先 IP アドレスのリストに対してポリシーを適用
する敏捷性が必要な場合は、ダイナミックブロックリストを使用します。
ダイナミックブロックリストは、IP アドレス、IP 範囲、または IP サブネットのリストが記述
されたテキストファイルで、Web サーバー上でホストされます。ダイナミックブロックリスト
を使用すると、リストに含まれている IP アドレス（IPv4 と IPv6）に対するアクセスを許可また
は拒否できます。たとえば、IP アドレスのセットに対するアクセスを許可するホワイトリスト
として、または指定した IP アドレスに対するアクセスを拒否するブラックリストとして使用で
きます。ファイアウォールは、設定された間隔で、リストを動的にインポートし、リストに含
まれている IP アドレスのポリシーを適用します。リストを変更すると、ファイアウォールはそ
の変更を受信します。ファイアウォール側で構成の変更やコミットを行う必要はありません。
リストをホストしている Web サーバーが到達不能な場合、ファイアウォールまたは Panorama
は、Web サーバーとの接続が回復するまで、最後に正常に受信したリストを使用してポリシー
を適用します。

ファイアウォールモデルの IP アドレス制限の確認

ダイナミックブロックリストのフォーマットに関するガイドライン

ダイナミックブロックリストによるポリシーの適用

ダイナミックブロックリストに含まれている IP アドレスの表示

Web サーバーからのダイナミックブロックリストの取得
ファイアウォールモデルの IP アドレス制限の確認
ファイアウォールモデルに関係なく、各ファイアウォールは、最大 10 個のダイナミックブ
ロックリストを使用できます。
お使いのファイアウォールモデルで、アドレス、アドレスグループ、およびグループあたりの
IP アドレスについて最大数を確認するには、次の CLI コマンドを使用します。
show system state | match cfg.general.max-address
例:
admin@PA-7050> show system state | match cfg.general.max-address
cfg.general.max-address: 80000
cfg.general.max-address-group: 8000
cfg.general.max-address-per-group: 500
ポリシー
739
ポリシーでのダイナミックブロックリストの使用
ポリシー
各リストには、お使いのファイアウォールモデルでサポートされているアドレスの最大
数が表示されます。ファイアウォールでは最大 300 個の IP アドレスが内部用に予約され
ているため、使用可能な上限から 300 が差し引かれます。したがって、上の例では使用
可能な IP アドレスの最大数は 79,700 個になります。
ダイナミックブロックリストのフォーマットに関するガイドライン
ダイナミックブロックリストには、個々の IP アドレス、サブネットアドレス（アドレス / マ
スク）、または IP アドレスの範囲を指定できます。また、コメントや特殊文字（*、:、、#、/
など）も指定できます。リスト内の各行の構文は次のとおりです。[IP address, IP/Mask,
or IP start range-IP end range] [space] [comment]
ファイアウォールはフォーマットが間違っている行を無視するため、リストを定義する際には
以下のガイドラインを守るようにしてください。

1 行に 1 つの IP アドレス、IP 範囲、または IP サブネットを指定します。URL は指定できま
せん。

コメントを追加する場合は、IP アドレス、IP 範囲、IP サブネットと同じ行に指定する必要があ
ります。IP アドレスの末尾のスペースは、IP アドレスとコメントを分ける区切り文字です。
次に例を示します。
192.168.20.10/32
2001:db8:123:1::1 #test IPv6 address
192.168.20.0/24 ; test internal subnet
2001:db8:123:1::/64 test internal IPv6 range
192.168.20.40-192.168.20.50
IP アドレスをブロックする場合は、プロトコルが HTTP の場合のみ、通知ページを表示でき
ます。
ダイナミックブロックリストによるポリシーの適用
ダイナミックブロックリストによるポリシーの適用
ステップ 1
740
ダイナミックブロックリスト 1.
を作成し、Web サーバーでホ
ストして、ファイアウォール
がリストを取得してポリシー
を評価できるようにします。
テキストファイルを作成し、ポリシーを適用する IP
アドレスを入力します。構文については、「ダイナ
ミックブロックリストのフォーマットに関するガイド
ライン」を参照してください。
ポリシー
ポリシー
ポリシーでのダイナミックブロックリストの使用
ダイナミックブロックリストによるポリシーの適用（続き）
ステップ 2
ステップ 3
ファイアウォール上にダイナ 1.
ミックブロックリストオブ
ジェクトを作成します。
2.
[ 追加 ] をクリックして、リストの分かりやすい [ 名前 ]
を入力します。
3.
（任意）複数の仮想システム上で有効になっているデ
バイス上のすべての仮想システムとリストを共有する
には、[ 共有 ] を選択します。デフォルトでは、[ 仮想シ
ステム ] ドロップダウンリストで現在選択されている
仮想システム上にオブジェクトが作成されます。
4.
Web サーバー上に作成したリストの [ 送信元 ] URL（ホ
スト名または IP アドレスとパス）を入力します。例 :
https://1.2.3.4/DBL_2014
5.
[ソース URL のテスト] をクリックして、ファイアウォー
ルまたは Panorama が Web サーバーに接続できることを
確認します。
6.
（任意）ファイアウォールまたは Panorama がリストを
取得する [ 繰り返し ] 頻度を指定します。デフォルトで
は、1 時間ごとに取得されます。
7.
[OK] をクリックして変更を保存します。
ダイナミックブロックリスト 1.
を、ポリシー内で、送信元ま 2.
たは宛先アドレスオブジェク
トとして使用します。
3.
特定の IP アドレスにつ 4.
いて、許可または拒否
アクションを指定する
5.
必要がある場合は、別
のダイナミックブロッ
クリストを作成してく
6.
ださい。
リストは、任意のポリシータ
7.
イプで参照できます。たとえ
ば、セキュリティポリシーで
宛先オブジェクトとして関連 8.
9.
付けることができます。
ポリシー
[Objects] > [ ダイナミックブロックリスト ] を選択し
ます。
[Policies] > [ セキュリティ] の順に選択します。
[ 追加 ] をクリックして、[ 全般 ] タブで、ルールの分
かりやすい名前を入力します。
[ 送信元 ] タブで、[ 送信元ゾーン ] を選択します。
[ 宛先 ] タブで [ 宛先ゾーン ] を選択し、[ 宛先アドレス ]
としてダイナミックブロックリストを選択します。
[ サービス /URL カテゴリ ] タブで、[ サービス ] が
[application-default] に設定されていることを確認し
ます。
[ アクション ] タブで、[ アクション設定 ] を [ 許可 ] ま
たは [ 拒否 ] に設定します。
それ以外のオプションは、すべてデフォルト値にして
おきます。
[OK] をクリックして変更を保存します。
変更を [ コミット ] します。
741
ポリシーでのダイナミックブロックリストの使用
ポリシー
ダイナミックブロックリストによるポリシーの適用（続き）
ステップ 4
ポリシーアクションが適用され 1.
ているかどうかテストします。
ダイナミックブロックリストに含まれる IP アドレス
にアクセスして、定義したアクションが適用されるこ
とを確認します。
2.
[Monitor] > [ ログ ] > [ トラフィック ] の順に選択して、
セッションのログエントリを表示します。
3.
フローと一致するポリシールールを確認するには、次
の CLI コマンドを使用します。
test security-policy-match source <IP_address>
destination <IP_address> destination port <port_number>
protocol <protocol_number>
ダイナミックブロックリストに含まれている IP アドレスの表示
ダイナミックブロックリストに含まれている IP アドレスの表示
ファイアウォールが Web サーバーから取得した IP アドレスのリストを確認するには、次の CLI コマン
ドを入力します。
request system external-list show name <name>
たとえば、DBL_2014 という名前のリストの場合、出力は次のようになります。
vsys1/DBL_2014:
Next update at: Wed Aug 27 16:00:00 2014
IPs:
1.1.1.1
1.2.2.2/20 #test China
192.168.255.0; test internal
192.168.254.0/24 test internal range
Web サーバーからのダイナミックブロックリストの取得
ファイアウォールまたは Panorama は、毎時、毎日、毎週、または毎月の間隔で、Web サーバー
からダイナミックブロックリストを取得するように設定できます。ダイナミックブロックリ
ストの IP アドレスを追加または削除したため、即座にダイナミックブロックリストの更新処
理を起動する必要がある場合は、コマンドラインインターフェイスを使用します。
742
ポリシー
ポリシー
ポリシーでのダイナミックブロックリストの使用
ダイナミックブロックリストの取得
1.
次のコマンドを入力します。request system external-list refresh name <name>
例 : request system external-list refresh name DBL_2014
2.
CLI コマンドを使用して更新ジョブのジョブ ID を取得します。show jobs all
リスト内で最後の EBL 更新ジョブを検索します。
3.
見つかったジョブ ID の詳細を表示します。次のコマンドを使用します。show jobs id <number>
成功または失敗を示すメッセージが表示されます。例 :
admin@PA-200> show jobs id 55
Enqueued
ID
Type
Status Result Completed
-------------------------------------------------------------------------2014/08/26 15:34:14
55
EBLRefresh
FIN
OK 15:34:40
Warnings:
Details:
ポリシー
743
IP アドレスとタグの動的登録
ポリシー
IP アドレスとタグの動的登録
スケール、および柔軟性とパフォーマンスの低下に関する問題を軽減するため、最近のネット
ワークアーキテクチャでは、クライアント、サーバー、およびアプリケーションをオンデマン
ドでプロビジョニング、変更、削除できます。しかし、こうした敏捷性と引き替えに、動的に
プロビジョニングされたクライアント、サーバー、およびこれらの仮想リソース上で有効化で
きる大量のアプリケーションの IP アドレスを完全に把握することが難しくなるため、セキュリ
ティ管理者は難題を突きつけられています。
弊社のファイアウォール（ハードウェアベースのプラットフォームおよび VM-Series）では、IP
アドレスとタグを動的に登録する機能をサポートしています。IP アドレスとタグは、ファイア
ウォールに直接登録するか、Panorama を介してファイアウォールに登録できます。この動的な
登録プロセスを有効にするには、次のいずれかの方法を使用します。

Windows の User-ID エージェント — User-ID エージェントがデプロイされている環境では、
User-ID エージェントを使用して、VMware ESXi および（または）vCenter Server を 100 台まで
モニターできます。これらの VMware サーバー上の仮想マシンをプロビジョニングまたは変
更すると、エージェントが、IP アドレスの変更を取得し、その情報をファイアウォールと共
有します。

VM 情報ソース — VMware ESXi、vCenter Server、および AWS-VPC をモニターして、ユーザー
がこれらのソース上の仮想マシンをプロビジョニングまたは変更したとき、IP アドレスの変
更を取得できます。VM 情報ソースでは、事前定義済みの属性のセットをポーリングするた
め、XML API を介して IP アドレスを登録する外部スクリプトは必要ありません。「仮想環
境における変更のモニタリング」を参照してください。

VMware Service Manager（統合化 NSX ソリューションでのみ使用可能）— 統合化 NSX ソ
リューションは、Palo Alto Networks の次世代セキュリティサービスのプロビジョニングと配
信の自動化、および Panorama による動的なコンテキストベースのセキュリティポリシーの
適用を実現するよう設計されています。NSX Manager は、この統合化ソリューションでデプ
ロイされた仮想マシンに関連付けられた IP アドレスとタグに関する最新情報で Panorama を
更新します。このソリューションについての詳細は、「VM-Series NSX エディションのファ
イアウォールの設定」. を参照してください。

XML API — ファイアウォールと Panorama では、標準の HTTP 要求を使用してデータの送受
信を行う XML API をサポートしています。XML API を使用して、IP アドレスとタグをファ
イアウォールまたは Panorama に登録できます。API 呼び出しは、cURL などのコマンドライ
ンユーティリティから直接実行できます。また、REST ベースのサービスをサポートする任
意のスクリプトやアプリケーションフレームワークを使用して実行することもできます。詳
細は、『PAN-OS XML API Usage Guide』（英語）を参照してください。
ダイナミックアドレスグループの作成と使用に関する詳細は、「ポリシー内でのダイナミック
アドレスグループの使用」を参照してください。
タグを動的に登録する CLI コマンドについては、「ダイナミック IP アドレスおよびタグを確認
する CLI コマンド」を参照してください。
744
ポリシー
ポリシー
仮想環境における変更のモニタリング
仮想環境における変更のモニタリング
新しいユーザーとサーバーが次々に現れる環境でアプリケーションのセキュリティを保護し脅
威を防ぐには、セキュリティポリシーの敏捷性を高める必要あがります。敏捷性を高めるに
は、ファイアウォールが新規の IP アドレスまたは変更された IP アドレスを学習して、常に確
実にポリシーを適用できなければなりません。しかも、こうした操作をファイアウォールの設
定を変更することなく実行できる必要があります。
これは、ファイアウォールの [VM 情報ソース ] 機能と [ ダイナミックアドレスグループ ] 機能
を組み合わせることによって実現できます。弊社のファイアウォールと Panorama では、モニ
ター対象の各ソース上の仮想マシン（またはゲスト）インベントリに関する情報の自動収集機
能を用意しており、ネットワーク上の動的な変更と同期されたポリシーオブジェクトを作成し
ます。

VM をモニタリングして仮想ネットワーク上の変更を追跡する

AWS および VMware 環境でモニターされる属性

ポリシー内でのダイナミックアドレスグループの使用
ポリシー
745
仮想環境における変更のモニタリング
ポリシー
VM をモニタリングして仮想ネットワーク上の変更を追跡する
VM 情報ソースを使用すると、モニター対象の各ソース（ホスト）上の仮想マシン (VM) インベ
ントリに関する情報を自動的に収集できます。これにより、ファイアウォールは、VMware
ESXi、vCenter Server、および AWS-VPC をモニターできます。仮想マシン（ゲスト）がデプロイ
または移行されると、ファイアウォールはタグとして事前定義済みの属性（またはメタデータ
要素）のセットを収集します。これらのタグを使用してダイナミックアドレスグループ（「ポ
リシー内でのダイナミックアドレスグループの使用」を参照）を定義し、ポリシー内の情報と
照合できます。
VM 情報ソースは最大 10 個までファイアウォールに構成できます。また、Panorama テンプレー
トを使用してプッシュすることもできます。デフォルトでは、ファイアウォールとモニター対
象ソース間のトラフィックに、ファイアウォール上の管理 (MGT) ポートを使用します。
VM 情報ソースは設定が容易で、事前定義済みの 16 のメタデータ要素または属性のセットを
モニターできます。詳細は、「AWS および VMware 環境でモニターされる属性」を参照して
ください。
746
ポリシー
ポリシー
仮想環境における変更のモニタリング
VM モニタリングエージェントの設定
ステップ 1
VM モニタリングエージェン 1.
トを有効化します。
2.
各ファイアウォール、ま
たはマルチ仮想システム
対応ファイアウォールの
各仮想システムについ
て、最大 10 個の送信元
を設定できます。
高可用性設定でファイア
ウォールが設定されている場
合、以下が適用されます。
• アクティブ / パッシブセッ
トアップでは、アクティブ
なファイアウォールのみが
VM 情報ソースをモニター
します。
• アクティブ/アクティブセッ
トアップでは、優先度の値
が「プライマリ」のファイ
アウォールのみが VM 情報
ソースをモニターします。
[Device] > [VM 情報ソース ] を選択します。
[ 追加 ] をクリックして、次の情報を入力します。
• モニターする VMware ESX(i) または vCenter Server を
識別する [ 名前 ] を入力します。
• [ サーバーのホスト情報 ] — ホスト名または IP アド
レス、およびリッスンする [ ポート ] を入力します。
• [ タイプ ] を選択して、ソースが [VMware ESX(i)] サー
バーまたは [VMware VCenter] サーバーのどちらな
のかを指定します。
• 上記のサーバーの認証を受けるため、認証情報
（[ ユーザー名 ] と [ パスワード ]）を追加します。
• 管理ユーザーの認証情報を使用してアクセスを有効
化します。
• （任意）[ 更新間隔 ] を 5 ～ 600 秒の間の値に変更し
ます。デフォルトでは、ファイアウォールは 5 秒ご
とにポーリングします。API 呼び出しは毎回 60 秒以
内にキューに登録され取得されるため、更新の最大
所要時間は 60 秒に設定ポーリング間隔を加えた値と
なります。
• （任意）モニター対象送信元ホストが応答しない場
合、そのホストへの接続を閉じるまでの間隔（時）
を入力します（デフォルト : 2 時間、範囲は 2 ～ 10 時
間）。デフォルト値を変更するには、[ 送信元切断
時のタイムアウトを有効にする ] チェックボックス
をオンにして値を指定します。指定した時間に達し
た場合、またはホストがアクセス不能か応答しない
場合、ファイアウォールによって送信元への接続が
閉じられます。
• [OK] をクリックし、変更をコミットします。
• 接続 [ 状態 ] が
（接続済み）と表示されているこ
とを確認します。
ポリシー
747
仮想環境における変更のモニタリング
ポリシー
VM モニタリングエージェントの設定（続き）
ステップ 2
接続状態を確認します。
接続 [ 状態 ] が
認します。
（接続済み）と表示されていることを確
接続状態が保留または切断の場合は、送信元が動作してお
り、ファイアウォールが送信元にアクセスできることを確
認します。モニター対象送信元ソースとの通信に MGT
ポート以外のポートを使用する場合は、サービスルートを
変更する必要があります（[Device] > [ セットアップ ] >
[ サービス ] の順に選択し、[ サービスルートの設定 ] リン
クをクリックして、[VM モニター] サービスの [ 送信元イン
ターフェイス ] を変更します）。
748
ポリシー
ポリシー
仮想環境における変更のモニタリング
AWS および VMware 環境でモニターされる属性
モニター対象の ESXi サーバーまたは vCenter サーバーの各 VM に VMware Tools がインストール
されていて実行中である必要があります。VMware Tools を使用して、各 VM に割り当てられた
IP アドレスとその他の値を収集できます。
モニター対象 VM に割り当てられた値を収集するには、ファイアウォールで以下の事前定義済
み属性セットをモニターする必要があります。
VMware ソースでモニターされる属性
AWS-VPC でモニターされる属性
• UUID
• アーキテクチャ
• 名前
• ゲスト OS
• ゲスト OS
• イメージ ID
• VM の状態 — 電源状態は「poweredOff」、 • インスタンス ID
「poweredOn」、「standBy」、「unknown」
のいずれかです。
• 注釈
• インスタンスの状態
• バージョン
• インスタンスタイプ
• ネットワーク — 仮想スイッチ名、ポートグ • キー名
ループ名、VLAN ID
• コンテナ名 — vCenter 名、データセンター • 配置 — テナンシー、グループ名、可用性ゾーン
オブジェクト名、リソースプール名、クラ
スタ名、ホスト、ホスト IP アドレス。
• プライベート DNS 名
• パブリック DNS 名
• サブネット ID
• タグ（キー、値）（インスタンスごとに最大 5 個
のタグをサポート）
• VPC ID
ポリシー
749
仮想環境における変更のモニタリング
ポリシー
ポリシー内でのダイナミックアドレスグループの使用
ダイナミックアドレスグループは、ポリシー内で使用します。ダイナミックアドレスグルー
プを使用すると、サーバーの追加、移動、削除といった変更に自動的に適応するポリシーを作
成できます。また、ネットワーク、オペレーティングシステム、またはオペレーティングシス
テムが処理するさまざまな種類のトラフィックのロールを定義するタグに基づいて異なるルー
ルを同じサーバーに適用する柔軟性も実現できます。
ダイナミックアドレスグループは、グループのメンバーを決定するためのフィルタリング基準
としてタグを使用します。フィルタでは、論理演算子 and および or を使用します。フィルタリ
ング基準に一致するすべての IP アドレスまたはアドレスグループがダイナミックアドレスグ
ループのメンバーになります。タグはファイアウォール上に静的に定義することもできます
し、ファイアウォールに動的に登録することもできます。スタティックタグとダイナミックタ
グの違いは、スタティックタグがデバイス設定の一部であるのに対して、ダイナミックタグは
ランタイム設定の一部である点です。したがって、ダイナミックタグを更新するためにコミッ
トは必要ありません。ただし、ダイナミックアドレスグループによって使用されるタグはポリ
シーによって参照されるため、ポリシーをデバイスにコミットする必要があります。
タグを動的に登録するには、ファイアウォール上または User-ID エージェント上で XML API ま
たは VM モニタリングを使用します。各タグは、ファイアウォールまたは Panorama に登録され
るメタデータ要素または属性値のペアです。たとえば、IP1 {tag1, tag2,.....tag32} では、IP アドレ
スと関連タグがリストとして保持されています。登録済みの各 IP アドレスには、オペレーティ
ングシステム、データセンター、またはその所属先仮想スイッチなど最大 32 個のタグを付ける
ことができます。ファイアウォールは、API 呼び出しから 60 秒以内に、IP アドレスと関連タグ
を登録し、ダイナミックアドレスグループのメンバー情報を自動的に更新します。
登録可能な IP アドレスの最大個数はプラットフォームによって異なります。以下の表で、お使
いのプラットフォームの数字を確認してください。
プラットフォーム
動的に登録可能な IP アドレスの最大個数
PA-7050、PA-5060、VM-1000-HV
100,000
PA-5050
50,000
PA-5020
25,000
PA-4000 シリーズ、PA-3000 シリーズ
5000
PA-2000 シリーズ、PA-500、PA-200、VM-300、 1000
VM-200、VM-100
以下の例に、ダイナミックアドレスグループによってネットワークセキュリティの実施を簡素
化する方法を示します。この例のワークフローは、以下の操作を実行する方法を示しています。

ファイアウォール上で VM モニタリングエージェントを有効にして、VMware ESX(i) ホスト
または vCenter Server をモニターし、VM IP アドレスと関連タグを登録します。
750
ポリシー
ポリシー
仮想環境における変更のモニタリング

ダイナミックアドレスグループを作成し、フィルタリング用のタグを定義します。この例
では、2 つのアドレスグループを作成します。1 つはダイナミックタグのみを使用してグ
ループのメンバーを決定するアドレスグループ、もう 1 つは、スタティックタグとダイナ
ミックタグの両方を使用してグループのメンバーを決定するアドレスグループです。

ファイアウォール上で、ダイナミックアドレスグループのメンバーが決定されていること
を確認します。

ポリシー内でダイナミックアドレスグループを使用します。この例では、次の 2 つの異なる
セキュリティポリシーを使用します。

–
FTP サーバーとしてデプロイされたすべての Linux サーバーのセキュリティポリシー。
このルールは、動的に登録されたタグに基づいてマッチングを行います。
–
Web サーバーとしてデプロイされたすべての Linux サーバーのセキュリティポリシー。
このルールは、スタティックタグとダイナミックタグを使用しているダイナミックア
ドレスグループに基づいてマッチングを行います。
新規の FTP サーバーまたは Web サーバーをデプロイすると、ダイナミックアドレスグルー
プのメンバーが更新されることを確認します。これにより、セキュリティルールが、これら
の新しい仮想マシンにも適用されます。
ポリシー内でのダイナミックアドレスグループの使用
ステップ 1
ポリシー
VM 送信元モニタリングを有効「VM をモニタリングして仮想ネットワーク上の変更を追
化します。
跡する」を参照してください。
751
仮想環境における変更のモニタリング
ポリシー
ポリシー内でのダイナミックアドレスグループの使用（続き）
ステップ 2
ファイアウォール上にダイナ 1.
ミックアドレスグループを作
成します。
2.
ファイアウォールの Web インターフェイスにログイン
します。
この機能の概略を把握す 3.
るために、チュートリア
ルを参照してください。 4.
[ 追加 ] をクリックし、アドレスグループの [ 名前 ] お
よび [ 説明 ] を入力します。
[Object] > [ アドレスグループ ] を選択します。
[ タイプ ] で [ ダイナミック ] を選択します。
5.
一致条件を指定します。グループのメンバーを決定す
る一致条件として、スタティックタグとダイナミック
タグを選択できます。[ 条件の追加 ] をクリックして、
[AND] または [OR] 演算子を選択し、フィルタリングま
たは照合に使用する属性を選択して [OK] をクリック
します。
6.
[ コミット ] をクリックします。
この例の各ダイナミックアドレスグループの一致条件は次のとおりです。
ftp_server: ゲストオペレーティングシステム「Linux 64-bit」に一致し、「ftp」という注釈が付いている
('guestos.Ubuntu Linux 64-bit' and 'annotation.ftp')
web-servers: 次の 2 つの条件に一致する。すなわち、タグが黒色か、またはゲストオペレーティングシス
テムが Linux 64 ビットでなおかつサーバー名が Web_server_Corp ('guestos.Ubuntu Linux 64-bit' and
'vmname.WebServer_Corp' or 'black')
752
ポリシー
ポリシー
仮想環境における変更のモニタリング
ポリシー内でのダイナミックアドレスグループの使用（続き）
ステップ 3
ポリシー内でダイナミックアド 1.
レスグループを使用します。
2.
チュートリアルを参照し
3.
てください。
[Policies] > [ セキュリティ] の順に選択します。
[ 追加 ] をクリックし、ポリシーの [ 名前 ] および [ 説
明 ] を入力します。
[ 送信元ゾーン ] を追加して、トラフィックの送信元と
なるゾーンを指定します。
4.
トラフィックが終端する [ 宛先ゾーン ] を追加します。
5.
宛先アドレスで、上記のステップ 2 で作成したダイナ
ミックアドレスグループを選択します。
6.
トラフィックに対するアクション（[ 許可 ] または [ 拒
否 ]）を指定し、必要に応じてデフォルトセキュリ
ティプロファイルをルールに関連付けます。
7.
上記のステップ 1 から 6 を繰り返し、もう 1 つポリシー
ルールを作成します。
8.
[ コミット ] をクリックします。
この例では、2 つのポリシー、すなわち、FTP サーバーにアクセスするためのポリシーと Web サーバー
にアクセスするためのポリシーを作成する方法を示します。
ポリシー
753
仮想環境における変更のモニタリング
ポリシー
ポリシー内でのダイナミックアドレスグループの使用（続き）
ステップ 4
ファイアウォール上で、ダイ 1.
ナミックアドレスグループの
メンバーが決定されているこ 2.
とを確認します。
3.
[Policies] > [ セキュリティ] の順に選択し、ルールを選
択します。
アドレスグループのリンクの隣にあるドロップダウン
の矢印を選択し、[ 検査 ] をクリックします。一致基準
が正確であるか確認することもできます。
[ 詳細 ] リンクをクリックし、登録された IP アドレスの
リストが表示されることを確認します。
このアドレスグループに属し、ここに表示される
すべての IP アドレスについてポリシーが適用され
ます。
754
ポリシー
ポリシー
ダイナミック IP アドレスおよびタグを確認する CLI コマンド
ダイナミック IP アドレスおよびタグを確認する CLI コマ
ンド
弊社ファイアウォールおよび Panorama のコマンドラインインターフェイスを使用すると、タ
グおよび IP アドレスの動的登録元となるさまざまなソースの詳細を確認できます。また、タグ
の登録と登録解除を監査することもできます。以下に、CLI の機能を例を挙げて説明します。
例
CLI コマンド
すべての登録済み IP アドレスのうち、 show log iptag tag_name equal state.poweredOn
state.poweredOn タグに一致するか、 show log iptag tag_name not-equal switch.vSwitch0
vSwitch0 というタグの付いていないもの
を表示します。
VM 情報ソースによって取得された動的に show vm-monitor source source-name vmware1 tag
登録された IP アドレスのうち、vmware1 state.poweredOn registered-ip all
という名前で、poweredOn というタグの付
registered IP
Tags
いているものを表示します。
----------------------------- ----------------fe80::20c:29ff:fe69:2f76
"state.poweredOn"
10.1.22.100
"state.poweredOn"
2001:1890:12f2:11:20c:29ff:fe69:2f76
"state.poweredOn"
fe80::20c:29ff:fe69:2f80
"state.poweredOn"
192.168.1.102
"state.poweredOn"
10.1.22.105
"state.poweredOn"
2001:1890:12f2:11:2cf8:77a9:5435:c0d
"state.poweredOn"
fe80::2cf8:77a9:5435:c0d
"state.poweredOn"
特定の VM モニタリング送信元から学習し debug vm-monitor clear source-name <name>
たすべての IP アドレスとタグを、同送信元
から切断せずにクリアします。
すべての送信元から登録された IP アドレス show object registered-ip all
を表示します。
すべての送信元から登録された IP アドレス show object registered-ip all option count
の数を表示します。
すべての送信元から登録された IP アドレス debug object registered-ip clear all
をクリアします。
XML API を使用して登録された特定の IP ア debug object test registered-ip
[<register/unregister>] <ip/netmask> <tag>
ドレスのタグを追加または削除します。
ポリシー
755
ダイナミック IP アドレスおよびタグを確認する CLI コマンド
例
ポリシー
CLI コマンド
特定の情報ソースから登録されたすべての show vm-monitor source source-name vmware1
tag all
タグを表示します。
vlanId.4095
vswitch.vSwitch1
host-ip.10.1.5.22
portgroup.TOBEUSED
hostname.panserver22
portgroup.VM Network 2
datacenter.ha-datacenter
vlanId.0
state.poweredOn
vswitch.vSwitch0
vmname.Ubuntu22-100
vmname.win2k8-22-105
resource-pool.Resources
vswitch.vSwitch2
guestos.Ubuntu Linux 32-bit
guestos.Microsoft Windows Server 2008 32-bit
annotation.
version.vmx-08
portgroup.VM Network
vm-info-source.vmware1
uuid.564d362c-11cd-b27f-271f-c361604dfad7
uuid.564dd337-677a-eb8d-47db-293bd6692f76
Total: 22
ファイアウォール上の VM モニタリング • CLI から登録されたタグを表示するには、以下のコマンド
を実行します。
エージェント、XML API、Windows User-ID
エージェント、CLI など、特定のデータ送
show log iptag datasource_type equal unknown
信元から登録されたすべてのタグを表示し
• XML API から登録されたタグを表示するには、以下のコ
ます。
マンドを実行します。
show log iptag datasource_type equal xml-api
• VM 情報ソースから登録されたタグを表示するには、以下
のコマンドを実行します。
show log iptag datasource_type equal vm-monitor
• Windows User-ID エージェントから登録されたタグを表示
するには、以下のコマンドを実行します。
show log iptag datasource_type equal xml-api
datasource_subtype equal user-id-agent
（すべての送信元について）特定の IP アド debug object registered-ip show tag-source ip
レスから登録されたすべてのタグを表示し ip_address tag all
ます。
756
ポリシー
ポリシー
プロキシ経由の HTTP/HTTPS 要求に使用するクライアント IP アドレスをログに記録する
プロキシ経由の HTTP/HTTPS 要求に使用するクライアン
ト IP アドレスをログに記録する
ネットワーク上のユーザーとファイアウォールの間にプロキシサーバーがデプロイされている
場合、ファイアウォールは、プロキシサーバーの IP アドレスを、コンテンツを要求したクライ
アントの IP アドレスではなく、プロキシが転送するトラフィックの送信元 IP アドレスと見な
すことがあります。多くの場合、プロキシサーバーは、送信元クライアントの実際の IP アドレ
スが含まれているパケットに、X-Forwarded-For ヘッダを追加します。このような場合に、コン
テンツを要求したクライアントを特定する必要がある場合は、パケットの X-Forwarded-For ヘッ
ダフィールドの値をログに記録するようにファイアウォールを設定する必要があります。
X-Forwarded-For の値をログに記録することにより、クライアントの IP アドレスまたはユーザー
名（利用可能な場合）、プロキシチェーン内で最後にトラバースされたプロキシサーバーの IP
アドレス、または同フィールドに含まれている任意の文字列を取得できます。管理者は、この
情報を使用してレポートを生成し、社内ネットワークからの Web アクセスをモニターして、社
内ネットワークからの Web アクセスを安全に有効化するセキュリティポリシーを作成 / 変更で
きます。
プロキシ経由の Web 要求の X-Forwarded-For フィールドに含まれているクライアント IP アドレ
スをログに記録するには、次のどちらかの方法でファイアウォールを設定します。

X-Forwarded-For の値をトラフィックログに記録する

X-Forwarded-For の値を URL フィルタリングログに記録する
X-Forwarded-For の値をトラフィックログに記録する
X-Forwarded-For フィールドの値をトラフィックログに記録するように設定すると、ファイア
ウォールによって、トラフィックログの送信元 IP アドレスフィールドの値が X-Forwarded-For
ヘッダフィールドに格納されている IP アドレスで置換されます。また、パケットがファイア
ウォールを出て外部サーバーからコンテンツを取得する際に、X-Forwarded-For フィールドから
IP アドレスを削除するようにファイアウォールを設定することもできます。この機能により、
コンテンツを要求したユーザーの IP アドレスを記録し、リクエストがインターネットに出て行
く前にユーザーの IP アドレスをパケットから削除できます。
ポリシー
757
プロキシ経由の HTTP/HTTPS 要求に使用するクライアント IP アドレスをログに記録する
ポリシー
X-Forwarded-For の値をトラフィックログに記録する
ステップ 1
X-Forwarded-For フィールドの 1.
URL フィルタリングログへの
記録を有効にします。
2.
このフィールドの値は、要求
の送信元クライアントの IP ア
ドレス、またはプロキシ
チェーン内で最後に要求を処
理したプロキシサーバーの IP
アドレスです。
ステップ 2
発信 Web 要求の X-Forwarded-For 1.
フィールドから IP アドレスを
削除します。
2.
[Device] > [ セットアップ ] > [ コンテンツ ID] の順に選
択します。
[URL フィルタリング ] セクションで、[x-forwarded-for
ヘッダ情報の記録 ] チェックボックスをオンにしま
す。X-Forwarded-For フィールドの IP アドレスがトラ
フィックログの送信元 IP アドレスフィールドに記録
されます。
[Device] > [ セットアップ ] > [ コンテンツ ID] の順に選
択します。
[URL フィルタリング ] セクションで、[x-forwarded-for
除去 ] チェックボックスをオンにします。要求がサー
バーに転送される前に、ファイアウォールによって、
X-Forwarded-For フィールドから IP アドレスが削除され
ます。
X-Forwarded-For の値を URL フィルタリングログに記録する
Web 要求の X-Forwarded-For フィールドの値を URL フィルタリングログに記録するようにファ
イアウォールを設定できます。この場合、ログの X-Forwarded-For フィールドの値は、クライア
ントの IP アドレス、ユーザー名（利用可能な場合）、または同フィールドに格納されている最
大 128 文字の任意の文字列になります。この設定は URL フィルタリングプロファイルで行うた
め、出力は URL フィルタリングログの一部になります。ただし、X-Forwarded-For 値は URL
フィルタリングログの一部であっても、URL フィルタリングログをクリックしてログ内に入っ
たら、関連するログエントリをクリックスルーして、脅威ログや WildFire ログの相関データを
参照することもできます。
X-Forwarded-For の値を URL フィルタリングログに記録する
1.
[Objects] > [ セキュリティプロファイル ] > [URL フィルタリング ] の順に選択します。
2.
新規のプロファイルを [ 追加 ] して分かりやすい [ 名前 ] を入力するか、既存のプロファイル（デ
フォルトプロファイルなどの事前定義済みのプロファイルを除く）を選択します。
3.
[ カテゴリ ] タブで、Web コンテンツに対するアクセスを制御する方法を定義します。可視化ま
たは制御する各カテゴリで、以下のように [ アクション ] 列から値を選択します。
• トラフィックのカテゴリは問題とならない場合（つまり、ブロックもログへの記録もしない
場合）、[allow] を選択します。
• カテゴリ内のサイトへのトラフィックを可視化する場合は、[alert] を選択します。
• カテゴリに一致するトラフィックへのアクセスを拒否して、ブロックされたトラフィックの
ログ記録を有効にするには、[block] を選択します。
758
ポリシー
ポリシー
プロキシ経由の HTTP/HTTPS 要求に使用するクライアント IP アドレスをログに記録する
X-Forwarded-For の値を URL フィルタリングログに記録する（続き）
4.
[ 設定 ] タブで、[X-Forwarded-For] チェックボックスをオンにして、X-Forwarded-For 値の URL
フィルタリングログへの記録を有効にします。
5.
URL フィルタリングプロファイルをポリシールールに適用します。
6.
設定の変更を [ コミット ] します。
ポリシー
759
ポリシーベースフォワーディング
ポリシー
ポリシーベースフォワーディング
ファイアウォールは通常、パケットの宛先 IP アドレスを使用して発信インターフェイスを決定
します。具体的には、発信インターフェイスに接続されている仮想ルーターに関連付けられた
ルーティングテーブルを使用してルート検索を実行します。ポリシーベースフォワーディン
グ (PBF) では、ルーティングテーブルをオーバーライドして、送信元と宛先の IP アドレスやト
ラフィックタイプなどの個々のパラメータに基づいて、発信または egress（出力）インターフェ
イスを指定できます。

PBF

ポリシーベースフォワーディングルールの作成

ユースケース : デュアル ISP でのアウトバウンドアクセス用 PBF

ユースケース : PBF により仮想システム経由でトラフィックをルーティングする
760
ポリシー
ポリシー
ポリシーベースフォワーディング
PBF
PBF ルールを使用すると、ルーティングテーブルに指定されたネクストホップからの代替経路
を選択させることができます。これは通常、セキュリティまたはパフォーマンス上の理由で出
力インターフェイスを指定するときに使用します。たとえば、本社と支店が、安価なインター
ネットと高価な専用線の 2 つのリンクで接続されているとします。専用線は帯域幅が広く、低
レイテンシ－の（遅延の少ない）リンクです。セキュリティを高める場合は、PBF を使用し
て、FTP などのアプリケーションによって生成される非暗号化トラフィックは専用線を介して
送信し、その他のトラフィックはインターネット経由で送信します。また、パフォーマンスを高
める場合は、基幹業務アプリケーションのトラフィックは専用線を通すようにルーティングし、
Web ブラウジングなど、その他のすべてのトラフィックは安価なリンクを介して送信します。
出力パスと対称リターン
PBF を使用すると、トラフィックを特定のインターフェイスに向ける、トラフィックを破棄す
る、（マルチ仮想システムが有効になっているシステムで）トラフィックを別の仮想システム
に向けるといった操作を実行できます。
デュアル ISP 環境など、非対称ルートのあるネットワークで
は、ファイアウォール上のトラフィック着信インターフェイス
と発信インターフェイスが異なっていると接続の問題が発生し
ます。ルートが非対称の場合、すなわち、フォワード（SYN パ
ケット）パスとリターン (SYN/ACK) パスが異なる場合、ファ
イアウォールはセッション全体の状態を追跡できないため、接
続エラーが発生します。トラフィックが対称パスを通過するよ
うにするには、つまり、トラフィックの発信および着信イン
ターフェイスと、セッションが作成されたインターフェイスを
一致させるには、対称リターンオプションを有効にします。
対称リターンでは、仮想ルーターがリターントラフィックの
ルーティング検索をオーバーライドして、自分が SYN パケット
（または最初のパケット）を受信した MAC アドレスに向けて
トラフィックを戻します。ただし、宛先 IP アドレスが入力 / 出
力インターフェイスの IP アドレスと同じサブネット上に存在す
る場合は、ルート検索が実行され、対称リターンは実施されま
せん。これにより、トラフィックがブラックホールに入ってし
まうのを防ぎます。
対称リターンのネクストホップを決定するために、ファイアウォールはアドレス解決プ
ロトコル (ARP) テーブルを使用します。ARP テーブルの最大エントリ数は、ファイア
ウォールのモデルによって制限されており、ユーザーが設定することはできません。お
使いのモデルの制限値を確認するには、CLI コマンド show pbf return-mac all を
使用します。
ポリシー
761
ポリシーベースフォワーディング
ポリシー
パスモニタリング
パスモニタリングでは、IP アドレスへの接続を確認し、必要に応じてファイアウォールが代替
ルート経由でトラフィックを送信できるようにします。ファイアウォールでは、ICMP ping を
ハートビートとして使用して、指定された IP アドレスが到達可能かどうかを確認します。
モニタリングプロファイルを使用すると、ハートビートのしきい値を指定して、IP アドレスが
到達可能かどうかを確認できます。モニター対象の IP アドレスが到達不可能な場合は、PBF
ルールを無効化するか、フェイルオーバーまたは回復を待機アクションを指定します。PBF
ルールを無効化すると、仮想ルーターがルーティング決定を引き受けます。
以下の表に、新規セッションと確立済みセッションとで、パスモニタリングエラーが発生した
ときの動作の違いを示します。
モニタリングエラー発生時
のセッションの動作
モニター対象 IP アドレスが到達不能なモニター対象 IP アドレスが到達不能な場合
場合もルールを有効なままにする
はルールを無効にする
確立済みセッションの場合
回復を待機 — PBF ルールに指定さ回復を待機 — PBF ルールに指定された
れた出力インターフェイスを引き出力インターフェイスを引き続き使用
します
続き使用します
フェイルオーバー — ルーティングフェイルオーバー — ルーティングテー
テーブルによって決定したパスをブルによって決定したパスを使用しま
す（PBF なし）
使用します（PBF なし）
新規セッションの場合
回復を待機 — ルーティングテーブ回復を待機 — 残りの PBF ルールを確認
ルによって決定したパスを使用しします。一致するルールがなければ、
ます（PBF なし）
ルーティングテーブルを使用します。
フェイルオーバー — ルーティングフェイルオーバー — 残りの PBF ルール
テーブルによって決定したパスをを確認します。一致するルールがなけ
使用します（PBF なし）
れば、ルーティングテーブルを使用し
ます。
PBF におけるサービスとアプリケーション
PBF ルールは、最初のパケット (SYN) または最初のパケットに対する応答 (SYN/ACK) に適用さ
れます。つまり、アプリケーションを確認できる十分な情報をファイアウォールが取得する前
に、PBF ルールが適用される可能性があります。このため、アプリケーション固有のルールを
PBF で使用することはお勧めできません。できるかぎり、サービスオブジェクト（プロトコル
またはアプリケーションによって使用されるレイヤー 4 ポート（TCP または UDP））を使用し
てください。
PBF ルールにアプリケーションを指定すると、ファイアウォールは App-ID キャッシングを実行
します。アプリケーションが初めてファイアウォールを通過するとき、ファイアウォールには
そのアプリケーションを識別するだけの十分な情報がないため、PBF ルールを適用できませ
ん。着信パケットの数が増えてくると、ファイアウォールはアプリケーションを特定し、
762
ポリシー
ポリシー
ポリシーベースフォワーディング
App-ID キャッシュにエントリを作成して、この App-ID をセッション期間中保持します。同じ
宛先 IP アドレス、宛先ポート、およびプロトコル ID で新規のセッションが作成された場合、
ファイアウォールは、そのアプリケーションを（App-ID キャッシュに基づいて）最初のセッ
ションと同じアプリケーションとして識別し、PBF ルールを適用します。したがって、完全一致
ではない、同じアプリケーションではないセッションは、PBF ルールに基づいて転送できます。
また、アプリケーションには依存性があり、アプリケーションの ID は、ファイアウォールが受
信するパケット数が増えてくると変化する可能性があります。PBF はセッションの開始時に
ルーティングを決定するため、ファイアウォールは、アプリケーション ID の変化に対応できま
せん。たとえば、YouTube は、Web ブラウジングとして開始されますが、その後、ページに含
まれているさまざまなリンクや動画に応じて、Flash、RTSP、YouTube などに変化します。とこ
ろが、PBF を使用すると、ファイアウォールはセッションの開始時に YouTube アプリケーショ
ンを Web ブラウジングとして識別するため、その後アプリケーション ID が変化しても認識さ
れません。
PBF ルールにはドメイン名を使用できません。ルールに使用できるのは IP アドレスのみです。また、カスタムアプリ
ケーション、アプリケーションフィルタ、アプリケーショングループも使用できません。
ポリシーベースフォワーディングルールの作成
「PBF」ルールを使用すると、トラフィックをファイアウォール上の特定の出力インターフェ
イスに向けることで、そのトラフィックのデフォルトのパスをオーバーライドできます。
ポリシー
763
ポリシーベースフォワーディング
ポリシー
PBF ルールの作成
ステップ 1
PBF ルールを作成します。
1.
PBF ルールを作成する際には、
ルールの名前、送信元ゾーン 2.
またはインターフェイス、お
よび出力インターフェイスを 3.
指定する必要があります。そ
の他のコンポーネントはすべ
て、任意指定になっている
か、デフォルト値が設定され
ています。
[Policies] > [ ポリシーベースフォワーディング ] の順
に選択し、[ 追加 ] をクリックします。
[ 全般 ] タブで、ルールの分かりやすい名前を入力し
ます。
[ 送信元 ] タブで、以下を選択します。
a. [ タイプ ]（[ ゾーン ] または [ インターフェイス ]）を
選択します（フォワーディングポリシーの適用先、
および該当するゾーンまたはインターフェイス）。
PBF は、レイヤー 3 インターフェイスでのみサ
ポートされます。
b. （任意）PBF が適用される [ 送信元アドレス ] を指定し
ます。たとえば、このルールで指定したインターフェ
イスまたはゾーンへのトラフィックの送信元となる IP
アドレスまたはサブネット IP アドレスなどです。
[Negate] オプションを使用して、1 つまたは複
数の送信元 IP アドレスを PBF ルールから除外し
ます。たとえば、特定のゾーンからのすべての
トラフィックをインターネットに向ける PBF ルー
ルを記述している場合、[Negate] を使用して PBF
ルールから内部 IP アドレスを除外できます。
ルールは上から順に評価されます。定義済みの
基準を満たす最初のルールとパケットが一致す
ると、それが引き金となり、それ以降のルール
は評価されません。
c. （任意）[ 追加 ] をクリックして、[ 送信元ユーザー]
またはポリシーが適用されるユーザーのグループを
選択します。
4.
[ 宛先 / アプリケーション / サービス ] タブで、以下を
選択します。
a. [ 宛先アドレス ]。デフォルトでは、ルールは、any
IP アドレスに適用されます。[Negate] オプションを
使用して、1 つまたは複数の宛先 IP アドレスを PBF
ルールから除外します。
b. PBF を使用して制御する必要があるアプリケーショ
ンまたはサービスを選択します。
アプリケーション固有のルールを PBF で使用す
ることはお勧めできません。できるかぎり、
サービスオブジェクト（プロトコルまたはアプ
リケーションによって使用されるレイヤー 4
ポート（TCP または UDP））を使用してくださ
い。詳細は、「PBF におけるサービスとアプリ
ケーション」を参照してください。
764
ポリシー
ポリシー
ポリシーベースフォワーディング
PBF ルールの作成（続き）
5.
[ 転送 ] タブで、以下を選択します。
a. [ アクション ] を選択します。次のオプションがあり
ます。
– 転送 — パケットを特定の [ 出力インターフェイス ]
に向けます。パケットの [ ネクストホップ ] IP ア
ドレスを入力します。
– VSYS に転送 —（マルチ仮想システムが有効化さ
れているデバイスで）パケットの転送先仮想シス
テムを選択します。
– 破棄 — パケットを廃棄します。
– PBF なし — ルールに定義された送信元 / 宛先 / ア
プリケーション/サービスの条件に一致するパケッ
トを除外します。パケットの照合には、PBF の代
わりにルーティングテーブルを使用します。ファ
イアウォールは、ルーティングテーブルを使用し
て、一致したトラフィックをリダイレクトポート
から除外します。
指定したアクションを毎日、毎週、または 1 回
限りの頻度でトリガーするには、[スケジュール]
を作成して関連付けます。
b. （任意）モニタリングを有効にして、ターゲット IP
アドレスまたはネクストホップ IP アドレスとの接
続を確認します。[ モニター] を選択して、IP アドレ
スが到達不能な場合のアクションを指定した（デ
フォルトまたはカスタムの）モニタリング [ プロ
ファイル ] を関連付けます。
c. （任意。ただし、非対称ルーティング環境では必
須）[ 対称リターンの適用 ] を選択して、[ ネクスト
ホップアドレスリスト ] に 1 つまたは複数の IP アド
レスを入力します。
対称リターンを有効にすると、リターントラフィッ
ク（たとえば、LAN 上の Trust ゾーンからインター
ネットへのトラフィック）が、インターネットから
の入力トラフィックを受信したのと同じインター
フェイスを介して外向きに転送されます。
ポリシー
765
ポリシーベースフォワーディング
ポリシー
PBF ルールの作成（続き）
ステップ 2
766
デバイス上で使用中の設定に [ コミット ] をクリックします。
ポリシーを保存します。
PBF ルールが有効になります。
ポリシー
ポリシー
ポリシーベースフォワーディング
ユースケース : デュアル ISP でのアウトバウンドアクセス用 PBF
このユースケースでは、支店にデュアル ISP が構成されており、PBF による冗長なインター
ネットアクセスを実装しています。バックアップ用の ISP は、クライアントから Web サーバー
へのトラフィックのデフォルトルートになっています。BGP などのネットワーク間プロトコル
を使用せずに冗長なインターネットアクセスを実現するために、ここでは、宛先インターフェ
イスベースの送信元 NAT とスタティックルートに PBF を使用して、以下のようにファイア
ウォールを設定します。

プライマリ ISP 経由でトラフィックをルーティングする PBF ルールを有効化し、そのルール
にモニタリングプロファイルを関連付けます。プライマリ ISP が使用できない場合は、モニ
タリングプロファイルによって、バックアップ ISP 経由のデフォルトルートを使用するよう
指示するトリガーがファイアウォールに対して起動されます。

プライマリ ISP とバックアップ ISP の両方について、対応する ISP の出力インターフェイス
に関連付けられた送信元 IP アドレスを使用するようファイアウォールに指示する送信元
NAT ルールを定義します。これにより、アウトバウンドトラフィックに正しい送信元 IP ア
ドレスが設定されるようになります。

バックアップ ISP にスタティックルートを追加します。これにより、プライマリ ISP が使用
不可になった場合に、デフォルトルートが有効になり、トラフィックがバックアップ ISP 経
由でルーティングされるようになります。
ポリシー
767
ポリシーベースフォワーディング
ポリシー
デュアル ISP でのアウトバウンドアクセス用 PBF
ステップ 1
ファイアウォール上で入力お 1.
よび出力インターフェイスを
設定します。
[Network] > [ インターフェイス ] の順に選択し、設
定するインターフェイス（たとえば、Ethernet1/1 と
Ethernet1/3）を選択します。
出力インターフェイスは同じ
ゾーン内に存在していてもか
まいません。この例では、出
力インターフェイスを異なる
ゾーンに割り当てています。
この例で使用するファイアウォール上のインターフェ
イス設定を以下に示します。
• Ethernet 1/1 をプライマリ ISP に接続 :
– ゾーン : ISP-East
– IP アドレス :1.1.1.2/30
– 仮想ルーター: デフォルト
• Ethernet 1/3 をバックアップ ISP に接続 :
– ゾーン : ISP-West
– IP アドレス :2.2.2.2/30
– 仮想ルーター: デフォルト
• Ethernet 1/2 は、ネットワーククライアントがイン
ターネットに接続するために使用する入力インター
フェイスです。
– ゾーン : Trust
– IP アドレス : 192.16854.1/24
– 仮想ルーター: デフォルト
2.
768
インターフェイス設定を保存するには、[OK] をクリッ
クします。
ポリシー
ポリシー
ポリシーベースフォワーディング
デュアル ISP でのアウトバウンドアクセス用 PBF（続き）
ステップ 2
ポリシー
仮想ルーター上で、バック 1.
アップ ISP に対するスタティッ
クルートを追加します。
2.
[Network] > [ 仮想ルーター] の順に選択し、default リン
クを選択して [ 仮想ルーター] ダイアログを開きます。
[ スタティックルート] タブを選択して [ 追加 ] をクリッ
クします。[ 名前 ] フィールドにルート名を入力し、
[宛先] フィールドにスタティックルートを定義する IP
アドレスの宛先を入力します。この例では、すべての
トラフィックに 0.0.0.0/0 を使用しています。
3.
[IP アドレス ] ラジオボタンを選択し、バックアップ
インターネットゲートウェイに接続するルーターの
[ネクストホップ ] IP アドレスを設定します。この例で
は、2.2.2.1 です。
4.
ルートのコストメトリックを指定します。この例では、
10 を使用しています。
5.
[OK] を 2 回クリックして仮想ルーターの設定を保存し
ます。
769
ポリシーベースフォワーディング
ポリシー
デュアル ISP でのアウトバウンドアクセス用 PBF（続き）
ステップ 3
プライマリ ISP に接続されたイ 1.
ンターフェイスにトラフィッ
クを向ける PBF ルールを作成 2.
します。
3.
PBF から内部サーバー/IP アド
レス宛てのトラフィックを除 4.
外します。Negate ルールを定
義して、内部 IP アドレスを宛
先とするトラフィックが、PBF
ルールに定義された出力イン
ターフェイス経由でルーティ
ングされないようにします。
[Policies] > [ ポリシーベースフォワーディング ] の順
に選択し、[ 追加 ] をクリックします。
[ 全般 ] タブで、ルールの分かりやすい [ 名前 ] を入力
します。
[ 送信元 ] タブで [ 送信元ゾーン ] を [Trust] に設定し
ます。
[ 宛先 / アプリケーション / サービス ] タブで、以下を
設定します。
a. [ 宛先アドレス ] セクションで、内部ネットワークの
サーバーの IP アドレスまたはアドレス範囲を [ 追加 ]
するか、内部サーバーのアドレスオブジェクトを作
成します。[Negate] を選択して、上記の IP アドレ
スまたはアドレスオブジェクトをこのルールから除
外します。
b. [ サービス ] セクションで、service-http および
service-https サービスを [ 追加 ] して、HTTP およ
び HTTPS トラフィックがデフォルトポートを使用
するのを許可します。セキュリティポリシーで許可
されているその他のすべてのトラフィックについて
は、デフォルトルートが使用されます。
PBF を使用してすべてのトラフィックを転送
するには、[サービス] を [any] に設定します。
5.
770
[ 転送 ] タブで、トラフィックの転送先インターフェイ
スを指定して、パスモニタリングを有効にします。
a. トラフィックを転送するには、[ アクション ] を [ 転
送 ] に設定し、[ 出力インターフェイス ] を選択し
て、[ ネクストホップ ] を指定します。この例では、
出力インターフェイスは ethernet1/1、ネクストホッ
プ IP アドレスは 1.1.1.1 です。
ポリシー
ポリシー
ポリシーベースフォワーディング
デュアル ISP でのアウトバウンドアクセス用 PBF（続き）
b. [ モニター] を有効にして、デフォルトのモニタリン
グプロファイルを関連付け、バックアップ ISP への
フェイルオーバーをトリガーします。この例では、
モニターするターゲット IP アドレスを指定していま
せん。ファイアウォールはネクストホップ IP アド
レスをモニターします。ネクストホップ IP アドレ
スが到達不能な場合、ファイアウォールは、仮想
ルーターに指定されたデフォルトルートに向けてト
ラフィックを送信します。
c. （非対称ルートがある場合は必須）[対称リターンの
適用 ] を選択して、Trust ゾーンからインターネット
へのリターントラフィックが、インターネットから
の入力トラフィックを受信したのと同じインターフェ
イスを介して外向きに転送されるようにします。
NAT を使用すると、インターネットからのトラフィッ
クがファイアウォール上の正しいインターフェイ
ス /IP アドレスに返されます。
d. [OK] をクリックして変更を保存します。
ポリシー
771
ポリシーベースフォワーディング
ポリシー
デュアル ISP でのアウトバウンドアクセス用 PBF（続き）
ステップ 4
出力インターフェイスと ISP に 1.
基づいて NAT ルールを作成し
ます。NAT ルールを使用する 2.
と、アウトバウンド接続時に
正しい送信元 IP アドレスが使
用されます。
[Policies] > [NAT] の順に選択して [ 追加 ] をクリック
します。
この例では、各 ISP について、以下の NAT ルールを作
成します。
プライマリ ISP の NAT
[ 元のパケット ] タブで、以下を選択します。
• 送信元ゾーン : Trust
• 宛先ゾーン : ISP-West
[ 変換済みパケット ] タブの [ 送信元アドレスの変換 ]
で、以下を選択します。
• 変換タイプ : ダイナミック IP およびポート
• アドレスタイプ : インターフェイスアドレス
• インターフェイス : ethernet1/1
• IP アドレス : 1.1.1.2/30
バックアップ ISP の NAT
[ 元のパケット ] タブで、以下を選択します。
• 送信元ゾーン : Trust
• 宛先ゾーン : ISP-East
[ 変換済みパケット ] タブの [ 送信元アドレスの変換 ]
で、以下を選択します。
• 変換タイプ : ダイナミック IP およびポート
• アドレスタイプ : インターフェイスアドレス
• インターフェイス : ethernet1/3
• IP アドレス : 2.2.2.2/30
772
ポリシー
ポリシー
ポリシーベースフォワーディング
デュアル ISP でのアウトバウンドアクセス用 PBF（続き）
ステップ 5
インターネットへのアウトバ
ウンドアクセスを許可するセ
キュリティポリシーを作成し
ます。
アプリケーションを安全に有効化するには、インターネッ
トへのアクセスを許可する簡単なルールを作成し、ファイ
アウォール上で利用可能なセキュリティプロファイルを関
連付けます。
1. [Policies] > [ セキュリティ] の順に選択し、[ 追加 ] を
クリックします。
2.
[ 全般 ] タブで、ルールの分かりやすい [ 名前 ] を入力
します。
3.
[ 送信元 ] タブで [ 送信元ゾーン ] を [Trust] に設定し
ます。
4.
[ 宛先 ] タブで [ 宛先ゾーン ] を ISP-East と ISP-West に
設定します。
5.
[ サービス /URL カテゴリ ] タブで、デフォルト値
application-default をそのまま使用します。
6.
[ アクション ] タブで以下の手順を実行します。
a. [ アクション設定 ] を [ 許可 ] に設定します。
b. [ プロファイル設定 ] で、[ アンチウイルス ]、[ アン
チスパイウェア ]、[ 脆弱性防御 ]、[URL フィルタリ
ング ] のデフォルトプロファイルを関連付けます。
7.
ステップ 6
ポリシー
[オプション ] で、セッション終了時のログが有効になっ
ていることを確認します。セキュリティルールに一致
するトラフィックのみログに記録されます。
デバイス上で使用中の設定に [ コミット ] をクリックします。
ポリシーを保存します。
773
ポリシーベースフォワーディング
ポリシー
デュアル ISP でのアウトバウンドアクセス用 PBF（続き）
ステップ 7
PBF ルールがアクティブで、プ 1.
ライマリ ISP がインターネット
アクセスに使用されているこ
とを確認します。
Web ブラウザを起動して、Web サーバーにアクセスし
ます。ファイアウォール上で、Web ブラウジングアク
ティビティのトラフィックログをチェックします。
2.
ネットワーク上のクライアントから、ping ユーティリ
ティを使用して、インターネット上の Web サーバーと
の接続を確認し、ファイアウォール上のトラフィック
ログをチェックします。
C:\Users\pm-user1>ping 4.2.2.1
Pinging 4.2.2.1 with 32 bytes of data:
Reply from 4.2.2.1: bytes=32 time=34ms TTL=117
Reply from 4.2.2.1: bytes=32 time=13ms TTL=117
Reply from 4.2.2.1: bytes=32 time=25ms TTL=117
Reply from 4.2.2.1: bytes=32 time=3ms TTL=117
Ping statistics for 4.2.2.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 3ms, Maximum = 34ms, Average = 18ms
3.
PBF ルールがアクティブであることを確認するには、CLI
コマンド show pbf rule all を使用します。
admin@PA-NGFW> show pbf rule all
Rule
ID
Rule State Action
Egress IF/VSYS NextHop
========== === ========== ====== ============== =======
Use ISP-Pr 1
Active
Forward ethernet1/1
1.1.1.1
ステップ 8
バックアップ ISP へのフェイル 1.
オーバーが発生すること、およ 2.
び送信元 NAT が正しく適用さ
れていることを確認します。
3.
774
プライマリ ISP との接続を切断します。
CLI コマンド show pbf rule all を使用して、PBF
ルールが非アクティブであることを確認します。
admin@PA-NGFW> show pbf rule all
Rule
ID
Rule State Action
Egress IF/VSYS NextHop
========== === ========== ====== ============== =======
Use ISP-Pr 1
Disabled
Forward
ethernet1/1
1.1.1.1
Web サーバーにアクセスし、トラフィックログをチェッ
クして、トラフィックがバックアップ ISP 経由で転送
されていることを確認します。
ポリシー
ポリシー
ポリシーベースフォワーディング
デュアル ISP でのアウトバウンドアクセス用 PBF（続き）
4.
セッションの詳細を表示して、NAT ルールが正しく機
能していることを確認します。
admin@PA-NGFW> show session all
--------------------------------------------------------ID Application
State
Type Flag Src[Sport]/Zone/Proto
(translated IP[Port]) Vsys Dst[Dport]/Zone (translated
IP[Port])
--------------------------------------------------------87212 ssl ACTIVE FLOW NS
192.168.54.56[53236]/Trust/6
(2.2.2.2[12896]) vsys1 204.79.197.200[443]/ISP-East
(204.79.197.200[443])
5.
出力からセッション識別番号を取得して、セッション
の詳細を表示します。PBF ルールは使用されていない
ため、出力に表示されない点に注意してください。
admin@PA-NGFW> show session id 87212
Session
87212
c2s flow:
source:
dst:
proto:
sport:
state:
src user:
dst user:
192.168.54.56 [Trust]
204.79.197.200
6
53236
dport:
ACTIVE
type:
unknown
unknown
443
FLOW
s2c flow:
source:
204.79.197.200 [ISP-East]
dst:
2.2.2.2
proto:
6
sport:
443
dport:
12896
state:
ACTIVE
type:
FLOW
src user:
unknown
dst user:
unknown
start time
: Wed Nov5 11:16:10 2014
timeout
: 1800 sec
time to live
: 1757 sec
total byte count(c2s)
: 1918
total byte count(s2c)
: 4333
layer7 packet count(c2s)
: 10
layer7 packet count(s2c)
: 7
vsys
: vsys1
application
: ssl
rule
: Trust2ISP
session to be logged at end
: True
session in session ager
: True
session synced from HA peer
: False
address/port translation
: source
nat-rule
: NAT-Backup ISP(vsys1)
layer7 processing
: enabled
URL filtering enabled
: True
URL category
: search-engines
session via syn-cookies
: False
session terminated on host
: False
session traverses tunnel
: False
captive portal session
: False
ingress interface
: ethernet1/2
egress interface
: ethernet1/3
session QoS rule
: N/A (class 4)
ポリシー
775
ポリシーベースフォワーディング
ポリシー
776
ポリシー
仮想システム
このトピックでは、仮想システムとその利点、一般的なユースケース、および仮想システムの
設定方法について説明します。また、仮想システムを他の機能と併用する場合の説明が記載さ
れた、他のトピックへのリンクも含まれています。

仮想システムの概要

仮想システム間の通信

共有ゲートウェイ

仮想システムの設定

ファイアウォール内での仮想システム間通信の設定

共有ゲートウェイの設定

仮想システムのその他の機能
仮想システム
777
仮想システムの概要
仮想システム
仮想システムの概要
仮想システムは、単一の物理 Palo Alto Networks ファイアウォール内に存在する別個の論理ファ
イアウォールインスタンスです。管理サービスプロバイダやエンタープライズは、複数のファ
イアウォールを使用するのではなく、（可用性を高めるために）ファイアウォールの 1 組のペ
アを使用し、それらのファイアウォールで仮想システムを有効にすることができます。各仮想
システム (vsys) は、個別に管理される独立したファイアウォールで、そのトラフィックは他の
仮想システムのトラフィックから分離された状態で維持されます。
このトピックには、以下の内容が含まれています。

仮想システムのコンポーネントとセグメンテーション

仮想システムの利点

仮想システムのユースケース

仮想システムのプラットフォームサポートおよびライセンス

仮想システムでの制限

仮想システムの管理ロール

仮想システムの共有オブジェクト
仮想システムのコンポーネントとセグメンテーション
仮想システムは、以下の図に示すように、管理上の境界を作成する 1 つのオブジェクトです。
778
仮想システム
仮想システム
仮想システムの概要
仮想システムは、物理的および論理的な一連のインターフェイスとサブインターフェイス
（VLAN やバーチャルワイヤーなど）、仮想ルーター、およびセキュリティゾーンで構成され
ます。仮想システムごとに、デプロイメントモード（バーチャルワイヤー、レイヤー 2、また
はレイヤー 3 の任意の組み合わせ）を選択します。仮想システムを使用することにより、以下
の処理をセグメント化することができます。

管理アクセス

すべてのポリシーの管理（セキュリティ、NAT、QoS、ポリシーベースフォワーディング、
復号、アプリケーションオーバーライド、キャプティブポータル、および DoS プロテク
ション）

すべてのオブジェクト（アドレスオブジェクト、アプリケーショングループとフィルター、
ダイナミックブロックリスト、セキュリティプロファイル、復号プロファイル、カスタム
オブジェクトなど）

User-ID

証明書の管理

サーバープロファイル

ロギング、レポート作成、および可視化機能
仮想システムはファイアウォールのセキュリティ機能に影響しますが、仮想システム単独で、
スタティックおよびダイナミックルーティングなどのネットワーク機能に影響を与えることは
ありません。以下のユースケースのように、仮想システムごとに 1 つ以上の仮想ルーターを作
成することにより、仮想システムごとにルーティングをセグメント化することができます。

1 つの組織の各部門に複数の仮想システムを設定しており、すべての部門のネットワークト
ラフィックが共通のネットワーク内を通過する場合は、複数の仮想システム用に 1 つの仮想
ルーターを作成することができます。

ルーティングセグメンテーションを行い、各仮想システムのトラフィックを他の仮想システ
ムから隔離する必要がある場合は、仮想システムごとに 1 つ以上の仮想ルーターを作成でき
ます。
仮想システムの利点
仮想システムには、物理ファイアウォールと同じ基本的な機能を提供することのほかに、以下
のような利点があります。

セグメント化された管理 — さまざまな組織（または顧客や事業単位）が別個のファイアウォー
ルインスタンスを制御（およびモニタリング）することができるため、同じ物理デバイス上
の別のファイアウォールインスタンスのトラフィックまたはポリシーと干渉することなく、
その組織自体のトラフィックを制御することができます。
仮想システム
779
仮想システムの概要
仮想システム

拡張性 — 物理ファイアウォールの設定後は、顧客または業務単位を効率よく追加または削除
することができます。ISP、セキュリティ管理サービスプロバイダ、またはエンタープライ
ズは、各顧客に異なるセキュリティサービスを提供することができます。

設備投資と運用費の削減 — 仮想システムは 1 つのファイアウォール上に共存できるため、
1 か所に複数のファイアウォールを設置する必要がありません。ファイアウォールを複数購
入する必要がないため、組織では、ハードウェアの経費、電気代、およびラックスペースを
節約することができ、メンテナンスと管理の費用を削減できます。
仮想システムのユースケース
仮想システムは、ネットワークにおいてさまざまな方法で使用できます。一般的なユースケー
スの 1 つは ISP やセキュリティ管理サービスプロバイダ (MSSP) によるもので、1 つのファイア
ウォールで複数の顧客にサービスを提供します。顧客は、簡単に無効または有効にすることが
可能な数多くのサービスの中から、サービスを選択することができます。ファイアウォールの
ロールベース管理により、ISP や MSSP では、ロギングやレポート作成などの機能への各顧客の
アクセスを制御しつつ、他の機能を非表示、あるいは読み取り専用にできます。
別の一般的なユースケースは、技術的な要件や機密保持の要件が異なるために複数の部門間で
別々のファイアウォールインスタンスが必要とされる、大規模なエンタープライズの場合で
す。上のケース同様、さまざまなグループに異なるレベルのアクセス権を付与しつつ、IT 部門
ではファイアウォール自体を管理します。サービスを部門まで遡って追跡または請求すること
ができるため、1 つの組織内で別々に財務処理を行うことができます。
仮想システムのプラットフォームサポートおよびライセンス
仮想システムは、PA-2000、PA-3000、PA-4000、PA-5000、および PA-7050 シリーズのファイア
ウォールでサポートされています。ファイアウォールのそれぞれのシリーズは基本数の仮想シ
ステムをサポートしており、その数はプラットフォームによって異なります。仮想システムの
ライセンスは、以下の場合に必要になります。

PA-2000 および PA-3000 シリーズのファイアウォールで複数の仮想システムをサポートする。

プラットフォームでサポートされている基本数より多くの仮想システムを作成する。
ライセンスの詳細は、「ライセンスおよびサブスクリプションのアクティベーション」を参照
してください。サポートされる仮想システムの基本数と最大数の詳細は、「Compare Firewalls」
（英語）ツールを参照してください。
PA-200、PA-500、または VM-Series のファイアウォールでは、複数の仮想システムはサポートさ
れていません。
780
仮想システム
仮想システム
仮想システムの概要
仮想システムでの制限

Palo Alto Networks のファイアウォール内では、仮想システムから別の仮想システム、または
共有ゲートウェイに、パケットがホップする可能性があります。3 つ以上の仮想システムま
たは共有ゲートウェイにかけてパケットが横断することはありません。たとえばパケット
は、1 つの仮想システムから共有ゲートウェイに移動し、さらにファイアウォール内の 2 番
目の仮想システムに移動することはできません。

ファイアウォールでは、1 つの「共有ゲートウェイ」のみが許可されます。
仮想システムの管理ロール
スーパーユーザー管理者は、仮想システムを作成し、デバイスの管理者、vsysadmin、または
vsysreader を追加することができます。デバイスの管理者は、すべての仮想システムにアクセス
できますが、管理者を追加することはできません。仮想システムの管理ロールには、以下の
2 種類があります。

vsysadmin — 仮想システムへのフルアクセス権が付与されます。

vsysreader — 仮想システムへの読み取り専用アクセス権が付与されます。
仮想システム管理者は、管理者に割り当てられている仮想システムについてのみ、そのログを
表示できます。スーパーユーザーまたはデバイスの管理者の権限を持つユーザーは、ログのすべて
を表示するか、表示する仮想システムを選択することができます。
vsysadmin 権限を持つユーザーは、自分に割り当てられている仮想システムについてのみ、その
設定をコミットすることができます。
仮想システムの共有オブジェクト
管理者アカウントが複数の仮想システムを包含する場合は、特定の仮想システムのオブジェク
ト（アドレスオブジェクトなど）およびポリシーを共有オブジェクトとして設定することを選
択できます。共有オブジェクトは、ファイアウォール上の仮想システムすべてに適用されま
す。仮想システムで、既存のオブジェクトと同じ名前およびタイプの共有オブジェクトを作成
しようとすると、その仮想システムオブジェクトが使用されます。
仮想システム
781
仮想システム間の通信
仮想システム
仮想システム間の通信
仮想システム間の通信（vsys 間トラフィック）が望ましいとされる一般的なシナリオは 2 つあ
ります。まずマルチテナンシー環境では、トラフィックがファイアウォールから離れ、イン
ターネットを通過し、再びファイアウォールに戻ってくることによって、仮想システム間の通
信が発生します。単一組織の環境では、ファイアウォール内で仮想システム間の通信が行われ
ます。このセクションでは、両方のシナリオについて説明します。

ファイアウォールから離れる必要がある vsys 間トラフィック

ファイアウォール内に残る vsys 間トラフィック

vsys 間通信で使用する 2 つのセッション
782
仮想システム
仮想システム
仮想システム間の通信
ファイアウォールから離れる必要がある vsys 間トラフィック
1 つのファイアウォール上で複数の顧客にサービスを提供する（マルチテナンシー）ISP は、顧
客ごとに 1 つの仮想システムを使用し、それにより各顧客がその仮想システム設定を制御でき
るようにすることができます。この場合 ISP は、vsysadmin 権限を顧客に付与します。各顧客の
トラフィックおよび管理は、他の顧客から分離されます。各仮想システムは、トラフィックお
よびシステム専用のインターネット接続を管理するため、固有の IP アドレスと 1 つの以上の仮
想ルーターを指定して設定する必要があります。
仮想システムが相互に通信する必要がある場合、そのトラフィックは、仮想システムが以下の
図のように同じ物理ファイアウォール上に存在するとしても、ファイアウォールから出て別の
レイヤー 3 ルーティングデバイスに向かい、再びファイアウォールに戻ります。
仮想システム
783
仮想システム間の通信
仮想システム
ファイアウォール内に残る vsys 間トラフィック
上記のマルチテナンシーのシナリオとは異なり、1 つのファイアウォール上に設定されている
すべての仮想システムは、1 つの組織の制御下に置くことができます。組織では、仮想システ
ム間のトラフィックを隔離すると同時に、仮想システム間の通信を許可する必要があります。
このような一般的なユースケースは、組織において、部門間を分離しつつ、各部門が相互に通
信したり、同じネットワークに接続したりできるようにする場合に当てはまります。このシナ
リオでは、以下のトピックで説明するように、vsys 間通信がファイアウォール内で行われます。

外部ゾーン

ファイアウォール内のトラフィック用の外部ゾーンとセキュリティポリシー
外部ゾーン
上記のユースケースにおいて適切な通信は、外部ゾーンを指し示すか、または外部ゾーンから
指し示されるセキュリティポリシーを設定することによって実現できます。外部ゾーンは、到
達可能な特定の仮想システムに関連付けられるセキュリティオブジェクトで、その仮想システ
ムの外部に存在します。1 つの仮想システムには、その仮想システム内に存在するセキュリ
ティゾーンの数に関係なく、外部ゾーンを 1 つだけ関連付けることができます。外部ゾーン
は、別々の仮想システム内のゾーン間におけるトラフィックを許可し、トラフィックがファイ
アウォールを離れないようにするために必要です。
仮想システム管理者は、2 つの仮想システム間のトラフィックを許可するために必要なセキュ
リティポリシーを設定します。セキュリティゾーンとは異なり、外部ゾーンはインターフェイ
スとは関連付けられず、仮想システムと関連付けられます。セキュリティポリシーにより、セ
キュリティ（内部）ゾーンと外部ゾーンの間のトラフィックを許可または拒否します。
外部ゾーンでは、それに関連付けられているインターフェイスまたは IP アドレスが存在しない
ため、一部のゾーンプロテクションプロファイルがサポートされません。
各仮想システムは 1 つのファイアウォールの別々のインスタンスであるため、仮想システム間
を移動する各パケットは、セキュリティポリシーと App-ID 評価に基づいて検査されます。
784
仮想システム
仮想システム
仮想システム間の通信
ファイアウォール内のトラフィック用の外部ゾーンとセキュリティポリシー
以下の例において、エンタープライズには、departmentA および departmentB 仮想システムとい
う 2 つの別個の管理グループがあります。以下の図は、各仮想システムに関連付けられている
外部ゾーンを示しています。図では、1 つの Trust ゾーンからのトラフィックフローが外部ゾー
ンから出て、別の仮想システムの外部ゾーンに入り、さらにその仮想システムの Trust ゾーンに
入っています。
外部ゾーンを作成するため、デバイス管理者は、相互に認識できるように仮想システムを設定
する必要があります。外部ゾーンの仮想システムは相互に存在を認識することができるため、
外部ゾーン間のセキュリティポリシーはありません。
仮想システム間の通信のため、ファイアウォール上の入力および出力インターフェイスは、単
一の仮想ルーターに割り当てられるか、または仮想ルーター間スタティックルートを使用して
接続されます。これら 2 つのアプローチのうちで簡単なのは、相互に通信する必要があるすべ
ての仮想システムを 1 つの仮想ルーターに割り当てるアプローチのほうです。
仮想システムにそれ専用の仮想ルーターを指定する必要があるのは、たとえば、仮想システム
で使用する IP アドレス範囲が重複している場合です。トラフィックは仮想システム間でルー
ティング可能ですが、各仮想ルーターには、ネクストホップとして他の仮想ルーターを指し示
すスタティックルートを指定しておく必要があります。
上の図のシナリオの場合であれば、エンタープライズには、departmentA および departmentB と
いう 2 つの管理グループがあります。departmentA グループは、ローカルネットワークと DMZ
リソースを管理します。departmentB グループは、ネットワークの営業セグメントを出入りする
トラフィックを管理します。すべてのトラフィックが 1 つのローカルネットワーク上に存在す
るため、1 つの仮想ルーターを使用しています。2 つの仮想システム間の通信のために、2 つの外
部ゾーンが設定されています。departmentA 仮想システムには、セキュリティポリシーで使用さ
れる、deptA-DMZ、deptA-trust、および deptA-External の 3 つのゾーンがあります。departmentB の
仮想システムにも、deptB-DMZ、deptB-trust、および deptB-External の 3 つのゾーンがありま
す。両方のグループが、それぞれの仮想システムを通過するトラフィックを制御できます。
仮想システム
785
仮想システム間の通信
仮想システム
deptA-trust から deptB-trust へのトラフィックを許可するため、2 つのセキュリティポリシーが必
要です。以下の図において、2 つの垂直矢印は、セキュリティポリシー（図の下で説明）に
よってトラフィックを制御している場所を示しています。

セキュリティポリシー 1: 上の図において、トラフィックが向かう先は deptB-trust ゾーンで
す。トラフィックは deptA-trust ゾーンを離れ、deptA-External ゾーンに入ります。セキュリ
ティポリシーでは、送信元ゾーン (deptA-trust) から宛先ゾーン (deptA-External) へのトラ
フィックを許可する必要があります。仮想システムでは、このトラフィックの場合に、NAT
を含むすべてのポリシータイプを使用できます。
外部ゾーンに送信されるトラフィックは、元の外部ゾーンで認識可能な他の外部ゾーンで認
識され、自動的にアクセスできるため、外部ゾーン間にポリシーは必要ありません。

セキュリティポリシー 2: 上の図において、deptB-External からのトラフィックはさらに
deptB-trust ゾーンに向かいます。セキュリティポリシーは、それを許可するように設定する必
要があります。そのポリシーでは、送信元ゾーン (deptB-External) から宛先ゾーン (deptB-trust) へ
のトラフィックを許可する必要があります。
departmentB 仮想システムを departmentA 仮想システムからのトラフィックをブロックするよう
に設定したり、その逆の設定をしたりすることが可能です。他のゾーンから出力されるトラ
フィックの場合と同様、外部ゾーンから出力されるトラフィックが仮想システム内の他のゾー
ンに到達するには、ポリシーで明示的に許可されている必要があります。
ファイアウォールから離れない仮想システム間のトラフィックで必要とされる外部ゾーンに加
えて、トラフィックがファイアウォールを離れることになる「共有ゲートウェイ」を設定する
場合にも、外部ゾーンが必要とされます。
786
仮想システム
仮想システム
仮想システム間の通信
vsys 間通信で使用する 2 つのセッション
1 つの仮想システムの場合にはセッションが 1 つ使用されるのとは異なり、2 つの仮想システム
間の通信では、2 つのセッションが使用されることを理解しておく必要があります。シナリオ
を比較してみましょう。
シナリオ 1 — vsys1 には、trust1 と untrust1 の 2 つのゾーンがあります。trust1 ゾーンのホスト
は、untrust1 ゾーンのデバイスとの通信が必要になると、トラフィックを開始します。ホストは
ファイアウォールにトラフィックを送信し、そのファイアウォールは、送信元ゾーン trust1 か
ら宛先ゾーン untrust1 への新しいセッションを作成します。このトラフィックに必要なセッ
ションは 1 つだけです。
シナリオ 2 — vsys1 からのホストが vsys2 上のサーバーにアクセスする必要があります。trust1
ゾーンのホストはファイアウォールへのトラフィックを開始し、そのファイアウォールは、送
信元ゾーン trust1 から宛先ゾーン untrust1 への最初のセッションを作成します。トラフィック
は、内部で、または外部を介して、vsys2 にルーティングされます。次にファイアウォールは、
送信元ゾーン untrust2 から宛先ゾーン trust2 への 2 番目のセッションを作成します。この vsys 間
トラフィックでは、2 つのセッションが必要です。
仮想システム
787
共有ゲートウェイ
仮想システム
共有ゲートウェイ
このトピックには、共有ゲートウェイに関する以下の情報が含まれています。

外部ゾーンと共有ゲートウェイ

共有ゲートウェイでのネットワーキングに関する考慮事項
外部ゾーンと共有ゲートウェイ
共有ゲートウェイは、インターネットを介して通信するために複数の仮想システムが共有する
インターフェイスです。仮想システムの内部ゾーンから共有ゲートウェイへのトラフィックを
許可または拒否するセキュリティポリシーを設定する場合、各仮想システムでは、中間ゾーン
として機能する「外部ゾーン」が必要です。
共有ゲートウェイは、1 つの仮想ルーターを使用してすべての仮想システムのトラフィックを
ルーティングします。共有ゲートウェイは、インターフェイスがその周辺で完全な管理の境界
を必要としない場合、または複数の仮想システムで 1 つのインターネット接続を共有する必要
がある場合に使用されます。この 2 番目のケースは、ISP から組織に提供された IP アドレス
（インターフェイス）が 1 つしかないときに、複数の仮想システムが外部通信を必要とする場
合に発生します。
仮想システム間での動作とは異なり、セキュリティポリシーと App-ID の評価は、仮想システ
ムと共有ゲートウェイの間では実行されません。そのため、共有ゲートウェイを使用してイン
ターネットにアクセスする場合は、別の仮想システムを作成してアクセスする場合よりも負担
が少なくて済みます。
以下の図では 3 人の顧客がファイアウォールを共有していますが、インターネットにアクセス
可能なインターフェイスは 1 つしかありません。別の仮想システムを作成すると、追加した仮
想システム経由でインターネットに送信されるトラフィックについて、App-ID およびセキュリ
ティポリシーの評価の負担が増加します。別の仮想システムを追加しないで済ませるには、以
下の図に示すように、共有ゲートウェイを設定します。
788
仮想システム
仮想システム
共有ゲートウェイ
共有ゲートウェイには、外部との通信に使用されるグローバルにルーティング可能な IP アドレス
が 1 つ割り当てられています。仮想システム内のインターフェイスにも IP アドレスが割り当てら
れていますが、それらはプライベート IP アドレスであり、ルーティング可能ではありません。
管理者は、任意の仮想システムが、他の仮想システムによって認識されるかどうかを指定する
必要があります。仮想システムとは異なり、共有ゲートウェイは、ファイアウォール上のすべ
ての仮想システムによって常に認識されます。
共有ゲートウェイの ID 番号は、Web インターフェイスに sg<ID> として表示されます。共有
ゲートウェイには、その ID 番号を含めた名前を付けることをお勧めします。
共有ゲートウェイにゾーンやインターフェイスなどのオブジェクトを追加すると、その共有ゲー
トウェイは、選択可能な仮想システムとして vsys ドロップダウンメニューに表示されます。
共有ゲートウェイは、仮想システムの限定バージョンです。NAT、ポリシーベースフォワー
ディング (PBF)、および DoS ポリシーをサポートしますが、セキュリティ、QoS、復号、アプリ
ケーションオーバーライド、またはキャプティブポータルポリシーはサポートしません。
仮想システム
789
共有ゲートウェイ
仮想システム
共有ゲートウェイでのネットワーキングに関する考慮事項
共有ゲートウェイの設定時には、以下の点を考慮してください。

共有ゲートウェイのシナリオにおける仮想システムは、1 つの IP アドレスを使用して、共有
ゲートウェイの物理インターフェイスを介してインターネットにアクセスします。仮想シス
テムの IP アドレスをグローバルにルーティングできない場合は、送信元 NAT を設定して、
それらのアドレスをグローバルにルーティング可能な IP アドレスに変換します。

仮想ルーターは、すべての仮想システムのトラフィックを、共有ゲートウェイを介してルー
ティングします。

仮想システムのデフォルトルートは、共有ゲートウェイを指し示すようにする必要があり
ます。

内部ゾーンと外部ゾーンの間のトラフィックを許可するには、共有ゲートウェイで認識可能
な仮想システムごとにセキュリティポリシーを設定する必要があります。

デバイス管理者が仮想ルーターを制御し、仮想システムのメンバーが他の仮想システムのト
ラフィックに影響を与えることのないようにします。
設定の時間と手間を省くため、共通ゲートウェイの以下の利点を考慮してください。

1 つの共有ゲートウェイに関連付けられている複数の仮想システムで NAT を設定するのでは
なく、その共通ゲートウェイで NAT を設定することができます。

1 つの共有ゲートウェイに関連付けられている複数の仮想システムでポリシーベースルーティ
ング (PBR) を設定するのではなく、その共通ゲートウェイで PBR を設定することができます。
790
仮想システム
仮想システム
仮想システムの設定
仮想システムの設定
仮想システムを作成するには、以下が必要です。

スーパーユーザー管理ロール。

インターフェイスが設定されている。

仮想システムのライセンス（PA-2000 または PA-3000 シリーズのファイアウォールを設定す
る場合、またはプラットフォームでサポートされている基本数より多くの仮想システムを
作成する場合）。「仮想システムのプラットフォームサポートおよびライセンス」を参照
してください。
仮想システムを作成および設定するには、以下の手順を実行します。
仮想システムの設定
ステップ 1
仮想システムを有効にします。 1.
[Device] > [ セットアップ ] > [ 管理 ] の順に選択し、
[ 一般設定 ] を編集します。
2.
[ マルチ仮想システム機能 ] チェックボックスをオンに
して、[OK] をクリックします。承認すると、このアク
ションによってコミットがトリガーされます。
ステップ 1 が完了した後にのみ、[Device] タブに [仮想
システム ] オプションと [ 共有ゲートウェイ ] オプショ
ンが表示されます。
ステップ 2
仮想システムを作成します。
1.
[Device] > [ 仮想システム ] の順に選択し、[ 追加 ] をク
リックして、「vsys」に付加される仮想システムの
[ID] を入力します。範囲 : 1 ～ 255。
デフォルト ID は 1 です。よってデフォルトの仮
想システムは、vsys1 となります。このデフォ
ルト ID は、複数の仮想システムをサポートしな
いプラットフォームであっても表示されます。
仮想システム
2.
復号化されたコンテンツをファイアウォールから外部
のサービスに転送できるようにする場合は、[復号化さ
れたコンテンツの転送を許可 ] チェックボックスをオ
ンにします。たとえば、ファイアウォールから
WildFire に復号化されたコンテンツを送信して分析で
きるようにするには、このオプションを有効にする必
要があります。
3.
仮想システムの分かりやすい [ 名前 ] を入力します。合
計で最大 31 文字の英数字、スペース、アンダースコア
を使用できます。
791
仮想システムの設定
仮想システム
仮想システムの設定（続き）
ステップ 3
仮想システムにインターフェ 1.
イスを割り当てます。
仮想ルーター、vwire、または
VLAN は、すでに設定されて 2.
いるか、または後で設定する
かのどちらかです。後で設定
する場合は、その時点で、関
連付ける仮想システムを指定
します。仮想ルーターの設定 3.
手順の例は、以下のステップ 6
に示されています。
DNS プロキシルールをインターフェイスに適用する場
合は、[ 全般 ] タブで [DNS プロキシ ] プロファイルを
選択します。
[ インターフェイス ] フィールドで [ 追加 ] をクリック
し、仮想システムに割り当てるインターフェイスまた
はサブインターフェイスを入力します。インターフェ
イスは、1 つの仮想ルーターにのみ属することができ
ます。
その仮想システムで必要なデプロイメントタイプに基
づいて、以下のいずれかの操作を行います。
• [VLAN] フィールドで [ 追加 ] をクリックし、vsys に
割り当てる VLAN を入力します。
• [バーチャルワイヤー] フィールドで [追加] をクリッ
クし、vsys に割り当てるバーチャルワイヤーを入力
します。
• [仮想ルーター] フィールドで [追加] をクリックし、
vsys に割り当てる仮想ルーターを入力します。
4.
[ 認識可能な仮想システム ] フィールドで、設定中の仮
想システムで認識できるようにするすべての仮想シス
テムを選択します。これは、相互に通信する必要があ
る仮想システムにおいて必要な操作です。
管理境界を厳密に設定する必要があるマルチテナン
シーシナリオの場合、選択する仮想システムはありま
せん。
5.
792
[OK] をクリックします。
仮想システム
仮想システム
仮想システムの設定
仮想システムの設定（続き）
ステップ 4
（任意）仮想システムで許可さ 1.
れる、セッション、ルール、お
よび VPN トンネルのリソース
割り当てを制限します。仮想シ
ステムあたりの割り当てを柔軟
に制限できるため、デバイスの
リソースを効率よく制御するこ
とができます。
[ リソース ] タブで、仮想システムの制限を必要に応じ
て設定します。デフォルト値はありません。
• セッション制限 — 範囲 : 1 ～ 262144
• セキュリティルール — 範囲 : 0 ～ 2500
• NAT ルール — 範囲 : 0 ～ 3000
• 復号ルール — 範囲 : 0 ～ 250
• QoS ルール — 範囲 : 0 ～ 1000
• アプリケーションオーバーライドルール — 範囲 :
0 ～ 250
• ポリシーベースフォワーディングルール — 範囲 :
0 ～ 500
• キャプティブポータルのルール — 範囲 : 0 ～ 1000
• DoS プロテクションルール — 範囲 : 0 ～ 1000
• サイト間 VPN トンネル — 範囲 : 0 ～ 1024
• 同時 SSL VPN トンネル — 範囲 : 0 ～ 1024
2.
[OK] をクリックします。
[ コミット ] をクリックし、[OK] をクリックします。これ
で仮想システムは、[Objects] タブからアクセス可能なオ
ブジェクトになります。
ステップ 5
設定を保存します。
ステップ 6
仮想システムでスタティック 1.
およびダイナミックルーティ
ングなどのネットワーク機能 2.
を使用できるようにするた
め、その仮想システム用に少
3.
なくとも 1 つの仮想ルーターを
作成します。
[Network] > [ 仮想ルーター] の順に選択し、[ 名前 ] を
入力して [ 仮想ルーター] を [ 追加 ] します。
仮想ルーターに属する [ インターフェイス ] を [ 追加 ]
します。
[OK] をクリックします。
あるいは、デプロイメントに
応じて、仮想システムで VLAN
またはバーチャルワイヤーを
使用することもできます。
ステップ 7
仮想システムのインターフェ少なくとも 1 つのインターフェイスについて、1 つのレイ
イスごとにセキュリティゾーヤー 3 セキュリティゾーンを作成します。「インターフェ
ンを設定します。
イスおよびゾーンの設定」を参照してください。
ステップ 8
仮想システムの各ゾーンとの「基本的なセキュリティポリシーのセットアップ」を参照
間のトラフィックを許可またしてください。
は拒否するセキュリティポリ
シーを設定します。
仮想システム
793
仮想システムの設定
仮想システム
仮想システムの設定（続き）
ステップ 9
設定を保存します。
[ コミット ] をクリックし、[OK] をクリックします。
仮想システムを作成した後、デバイス管理者は、
CLI を使用して特定の仮想システムについてのみ設
定をコミットすることができます。
PA-5060> commit partial vsys vsys<id>
ステップ 10 （任意）仮想システムに設定 CLI を使用する SSH セッションを開きます。仮想システム
されているセキュリティポリのセキュリティポリシーを表示するには、操作モードで以
シーを表示します。
下のコマンドを使用します。
PA-5060> set system setting target-vsys
<vsys-id>
PA-5060> show running security-policy
794
仮想システム
仮想システム
ファイアウォール内での仮想システム間通信の設定
ファイアウォール内での仮想システム間通信の設定
このタスクを行うのは、単一の企業内において、ファイアウォール内の各仮想システムが相互
に通信できるようにするユースケースの場合です。そのようなシナリオについては、「ファイ
アウォール内に残る vsys 間トラフィック」で説明されています。このタスクでは、以下を想定
しています。

「仮想システムの設定」タスクを完了している。

仮想システムの設定時に、[ 認識可能な仮想システム ] フィールドで、相互通信のために相互に
認識可能にする必要があるすべての仮想システムのチェックボックスをオンにしている。
ファイアウォール内での仮想システム間通信の設定
ステップ 1
仮想システムごとに外部ゾー 1.
ンを設定します。
[Network] > [ ゾーン ] の順に選択し、[ 名前 ] を入力し
て新しいゾーンを [ 追加 ] します。
2.
[ 場所 ] として、作成する外部ゾーンの対象仮想システ
ムを選択します。
3.
[ タイプ ] として、[ 外部 ] を選択します。
4.
[ 仮想システム ] として、外部ゾーンで到達可能な仮想
システムを入力します。
5.
[ ゾーンプロテクションプロファイル ] — 任意で、フ
ラッド、偵察行為、またはパケットベースの攻撃から
保護するためのゾーンプロテクションプロファイルを
選択します（または、後で設定します）。
6.
[ ログ設定 ] — 必要に応じて、ゾーンプロテクション
ログを外部システムに転送するためのログ転送プロ
ファイルを選択します。
7.
必要に応じて、[ ユーザー ID の有効化 ] チェックボッ
クスをオンにして、外部ゾーンの User-ID を有効にし
ます。
8.
[OK] をクリックします。
ステップ 2
仮想システムの内部ゾーンか • 「基本的なセキュリティポリシーのセットアップ」を参
ら外部ゾーンへのトラフィッ
照してください。
ク、およびその逆方向のトラ
• 「ファイアウォール内に残る vsys 間トラフィック」を参
フィックを許可または拒否す
照してください。
るためのセキュリティポリ
シーを設定します。
ステップ 3
設定を保存します。
仮想システム
[ コミット ] をクリックします。
795
共有ゲートウェイの設定
仮想システム
共有ゲートウェイの設定
このタスクを行うのは、複数の仮想システムでインターネットへの接続のために 1 つのイン
ターフェイス（共有ゲートウェイ）を共有する必要がある場合です。このタスクでは、以下を
想定しています。

グローバルにルーティング可能な IP アドレスを使用して、共有ゲートウェイとなるインター
フェイスを設定している。

前述の「仮想システムの設定」タスクを完了している。インターフェイスとして、グロー
バルにルーティング可能な IP アドレスが設定されている外向きのインターフェイスが選択
されている。

仮想システムの設定時に、[ 認識可能な仮想システム ] フィールドで、通信のために相互に認
識可能にする必要があるすべての仮想システムのチェックボックスをオンにしている。
共有ゲートウェイの設定
ステップ 1
ステップ 2
「共有ゲートウェイ」の設定。 1.
[Device] > [ 共有ゲートウェイ ] の順に選択し、[ID] を
入力します。
2.
できるならゲートウェイの [ID] を含めて分かりやすい
[ 名前 ] を入力します。
3.
DNS プロキシルールをインターフェイスに適用する場
合は、[DNS プロキシ ] フィールドで DNS プロキシプ
ロファイルを選択します。
4.
外部に接続する [インターフェイス] を [追加] します。
5.
[OK] をクリックします。
共有ゲートウェイのゾーンを 1.
設定します。
[Network] > [ ゾーン ] の順に選択し、[ 名前 ] を入力し
て新しいゾーンを [ 追加 ] します。
2.
[ 場所 ] として、作成するゾーンの対象共有ゲートウェ
イを選択します。
3.
[ タイプ ] として、[ レイヤー 3] を選択します。
4.
[ ゾーンプロテクションプロファイル ] — 任意で、フ
ラッド、偵察行為、またはパケットベースの攻撃から
保護するためのゾーンプロテクションプロファイルを
選択します（または、後で設定します）。
5.
[ログ設定] — 必要に応じて、ゾーンプロテクションロ
グを外部システムに転送するためのログ転送プロファ
イルを選択します。
6.
必要に応じて、[ ユーザー ID の有効化 ] チェックボック
スをオンにし、共有ゲートウェイの User-ID を有効に
します。
7.
[OK] をクリックします。
共有ゲートウェイに
ゾーンやインターフェ
イスなどのオブジェク
トを追加すると、その
共有ゲートウェイ自体
が、[VSYS] ドロップダ
ウンメニューに選択可
能な vsys として表示さ
れます。
ステップ 3
796
設定を保存します。
[ コミット ] をクリックします。
仮想システム
仮想システム
仮想システムのその他の機能
仮想システムのその他の機能
ファイアウォールの機能の多くでは、仮想システムごとに、設定、表示、ロギング、またはレ
ポート作成することができます。したがって、ドキュメントの他の関連するセクションでも仮
想システムについて説明しているため、ここではそれらの情報は割愛します。関連する章のい
くつかを以下に示します。

アクティブ / パッシブ HA を設定する場合、2 つのファイアウォールの仮想システム機能は等
しくする必要があります（単一または複数の仮想システム機能）。「高可用性」を参照して
ください。

仮想システムの QoS 設定の詳細は、「仮想システムの QoS の設定」を参照してください。

サブインターフェイス（および VLAN タグ）を使用するバーチャルワイヤーデプロイメン
トでの、仮想システムを含むファイアウォールの設定の詳細は、ネットワーキングのセク
ションの「バーチャルワイヤーサブインターフェイス」を参照してください。
仮想システム
797
仮想システムのその他の機能
仮想システム
798
仮想システム

Download Report