PAN-OS 6.1 Administrator`s Guide

®
Palo Alto Networks
PAN-OS® 管理者ガイド
バージョン 6.1
連絡先情報
本社 :
Palo Alto Networks
4401 Great America Parkway
Santa Clara, CA 95054
http://www.paloaltonetworks.com/contact/contact/
このガイドについて
このガイドでは、Palo Alto Networks 次世代ファイアウォールの設定と管理方法について説明します。
詳細は、以下のリソースを参照してください。

追加の機能およびファイアウォールの機能の設定方法の詳細
(https://www.paloaltonetworks.com/documentation)

ナレッジ ベース、ドキュメント セット一式、ディスカッション フォーラム、および動画
(https://live.paloaltonetworks.com)

サポート窓口、サポート プログラムの詳細、アカウントまたはデバイスの管理
(https://support.paloaltonetworks.com)

最新のリリース ノート(https://support.paloaltonetworks.com/Updates/SoftwareUpdates のソフトウェア
のダウンロードページ)
ドキュメントのフィードバックは、以下の宛先までご送付ください。 [email protected]
Palo Alto Networks, Inc.
www.paloaltonetworks.com
© 2014 Palo Alto Networks. All rights reserved.
Palo Alto Networks および PAN-OS は Palo Alto Networks, Inc. の登録商標です。
改定日 : 2015 年 6 月 18 日
ii
目次
スタート ガイド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
管理ネットワークへのファイアウォールの統合 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
管理戦略の決定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
初期設定の実行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
外部サービスへのネットワーク アクセスのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
ファイアウォールの登録 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
ライセンスおよびサブスクリプションのアクティベーション . . . . . . . . . . . . . . . . . . . . . . . . 12
コンテンツ更新の管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
ソフトウェア更新のインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
ペリメータ セキュリティの確立 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
基本的なインターフェイスのデプロイメント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
セキュリティ ポリシーについて. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
デプロイメント計画 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
インターフェイスとゾーンの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
基本的なセキュリティ ポリシーのセットアップ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
基本的な脅威防御機能の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
WildFire の有効化. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
脅威を確認するためのトラフィックのスキャン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Web コンテンツへのアクセス制御 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
ファイアウォールのデプロイメントのベスト プラクティス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
デバイス管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
管理インターフェイス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Web インターフェイスの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
コマンド ライン インターフェイス (CLI) の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
XML API の使用. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
ファイアウォール管理者の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
管理ロール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
管理認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
管理アカウントの作成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
リファレンス : Web インターフェイス管理者のアクセス権限. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
Web インターフェイスのアクセス権限. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
Panorama Web インターフェイスのアクセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
リファレンス : Palo Alto Networks のデバイスが使用するポート番号 . . . . . . . . . . . . . . . . . . . . . 124
管理機能で使用するポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
HA で使用するポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
Panorama で使用するポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
User-ID で使用するポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
ファイアウォールの工場出荷時設定へのリセット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
PAN-OS 管理者ガイド
i
証明書の管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
キーおよび証明書 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
証明書の失効. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
証明書失効リスト (CRL) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
Open Certificate Status Protocol (OCSP). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
証明書のデプロイメント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
証明書失効状態の検証の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
OCSP レスポンダの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ユーザー/ デバイス認証に使用される証明書の失効状態検証の設定 . . . . . . . . . . . . . . . . .
SSL/TLS 復号化に使用する証明書の失効状態検証の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . .
138
138
140
141
マスター キーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
証明書の取得. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
自己署名ルート CA 証明書の作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ファイアウォールでの証明書の生成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
証明書および機密鍵のインポート. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
外部 CA からの証明書の取得 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
144
145
146
147
148
証明書プロファイルの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
SSL フォワード プロキシ サーバーの証明書の鍵のサイズの設定 . . . . . . . . . . . . . . . . . . . . . . . . 154
証明書の失効および更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
証明書の無効化. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
証明書の更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
ハードウェア セキュリティ モジュールによるキーの安全確保 . . . . . . . . . . . . . . . . . . . . . . . . . .
HSM との接続のセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
HSM を使用したマスター キーの暗号化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
HSM での秘密鍵の保存. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
HSM デプロイメントの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
157
158
165
167
169
高可用性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
HA 概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
HA の概念 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
HA モード. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
HA リンクおよびバックアップ リンク . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
デバイス優先度およびプリエンプション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
フェイルオーバーのトリガー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
HA タイマー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
173
173
174
176
177
178
アクティブ / パッシブ HA のセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
アクティブ / パッシブ HA の前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
アクティブ / パッシブ HA の設定ガイドライン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
アクティブ / パッシブ HA の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
フェイルオーバー条件の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
フェイルオーバーの確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
181
182
183
186
193
195
HA リソース . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196
ii
PAN-OS 管理者ガイド
レポートとログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
Dashboard の使用. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
アプリケーション コマンド センターの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
ACC リスク レベル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
ACC のチャート. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
ACC の詳細ページ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
ACC の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
アプリケーション スコープの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
サマリー レポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
変化モニター レポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
脅威モニター レポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
脅威マップ レポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
ネットワーク モニター レポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212
トラフィック マップ レポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213
パケット キャプチャの実行. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214
ファイアウォールのモニター . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217
アプリケーションと脅威のモニター . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218
ログ データのモニタリング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
ダッシュボードのモニタリング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
レポートの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225
外部サービスへのログの転送 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
リモート ログの宛先の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
ログ転送の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236
ログ転送プロファイル. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237
SNMP を使用したファイアウォールのモニター . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241
NetFlow を使用したファイアウォールのモニター . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244
NegFlow のテンプレート. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
外部モニタリング システムでのファイアウォール インターフェイスの識別 . . . . . . . . . . . . . 249
レポートの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251
レポートについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252
レポートの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
事前定義済みレポートを無効にする . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
カスタム レポートの生成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256
ボットネット レポートの生成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262
PDF サマリー レポートの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265
ユーザー/ グループ アクティビティ レポートの生成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
レポート グループの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
電子メールで配信するレポートのスケジュール設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269
Syslog フィールドの説明 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270
User-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285
User-ID の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286
User-ID の概念 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288
PAN-OS 管理者ガイド
iii
グループ マッピング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288
ユーザー マッピング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289
User-ID の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293
ユーザーとグループのマッピング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294
IP アドレス対ユーザーのマッピング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Windows User-ID エージェントを使用したユーザー マッピングの設定 . . . . . . . . . . . . . . .
PAN-OS 統合 User-ID エージェントを使用したユーザー マッピングの設定. . . . . . . . . . .
Syslog 送信元からユーザー マッピングを受信するための User-ID の設定 . . . . . . . . . . . . .
キャプティブ ポータルを使用した IP アドレス対ユーザー名のマッピング . . . . . . . . . . .
ターミナル サーバー ユーザー向けのユーザー マッピング設定 . . . . . . . . . . . . . . . . . . . . .
XML API を使用した User-ID へのユーザー マッピングの送信. . . . . . . . . . . . . . . . . . . . . . .
297
298
307
310
323
331
342
他のファイアウォールとユーザー マッピング データを共有するためのファイアウ
ォールの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343
ユーザーおよびグループ ベースのポリシーの有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346
User-ID 設定の確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349
App-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353
App-ID の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354
カスタム アプリケーションや不明なアプリケーションの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . 355
App-ID のポリシー内での使用のベスト プラクティス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357
暗黙的サポートを使用するアプリケーション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358
アプリケーション レベル ゲートウェイ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361
SIP アプリケーション レベル ゲートウェイ (ALG) を無効にする . . . . . . . . . . . . . . . . . . . . . . . . 362
脅威防御 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365
セキュリティ プロファイルとセキュリティ ポリシーのセットアップ . . . . . . . . . . . . . . . . . . .
アンチウイルス、アンチスパイウェア、および脆弱性防御のセットアップ . . . . . . . . . .
データ フィルタリングのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ファイル ブロッキングのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
366
367
370
375
ブルート フォース攻撃の防御 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378
ブルート フォース攻撃シグネチャとトリガー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379
ブルート フォース シグネチャのアクションとトリガー条件のカスタマイズ . . . . . . . . . 383
ネットワークをレイヤー 4 およびレイヤー 7 回避から保護するためのベスト
プラクティス. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387
パッシブ DNS 収集を有効にして脅威インテリジェンスを向上する . . . . . . . . . . . . . . . . . . . . . 390
DNS クエリを使用してネットワーク上の感染ホストを特定する . . . . . . . . . . . . . . . . . . . . . . . .
DNS シンクホール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DNS シンクホールの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
感染ホストの特定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
391
392
393
400
ダイナミック更新のためのコンテンツ配信ネットワーク インフラストラクチャ . . . . . . . . . 402
脅威防御リソース . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404
iv
PAN-OS 管理者ガイド
復号 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
復号化の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406
復号化の概念 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408
復号ポリシーのためのキーおよび証明書. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409
SSL フォワード プロキシ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411
SSL インバウンド インスペクション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413
SSH プロキシ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414
復号化の例外 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415
復号ポート ミラーリング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416
SSL フォワード プロキシの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417
SSL インバウンド インスペクションの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423
SSH プロキシの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425
復号化の例外の設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427
復号化からのトラフィックの除外 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427
復号化からのサーバーの除外 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 428
SSL 復号化からオプトアウトするユーザーを有効にする . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429
復号ポート ミラーリングの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432
SSL 復号化を一時的に無効にする . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435
URL フィルタリング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437
URL フィルタリングの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438
URL フィルタリング ベンダー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438
App-ID および URL カテゴリ間の相互作用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439
URL フィルタリングの概念 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440
URL カテゴリ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441
URL フィルタリング プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442
URL フィルタリング プロファイル アクション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443
ブロック リストと許可リスト. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444
セーフ サーチを適用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445
コンテナ ページ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 448
HTTP ヘッダのロギング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449
URL フィルタリング応答ページ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 450
ポリシー一致条件としての URL カテゴリ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 452
PAN-DB 分類ワークフロー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 454
PAN-DB URL 分類コンポーネント. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 454
PAN-DB URL 分類ワークフロー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456
URL フィルタリング ベンダーの有効化. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457
PAN-DB URL Filtering の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 458
BrightCloud URL フィルタリングの有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 460
URL フィルタリング ポリシーの要件の決定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463
Web アクティビティのモニター . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465
URL フィルタリング ログの解釈 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466
ACC を使用した Web アクティビティのモニター . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 467
PAN-OS 管理者ガイド
v
URL フィルタリング レポートの表示. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468
ユーザー アクティビティ レポートの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469
カスタム URL フィルタリング レポートの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 471
URL フィルタリングの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473
URL フィルタリング応答ページのカスタマイズ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 476
URL 管理オーバーライドの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 478
セーフ サーチの適用の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 482
厳密なセーフ サーチ設定を使用していない検索結果のブロック . . . . . . . . . . . . . . . . . . . . 482
透過的なセーフ サーチの適用の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 486
URL フィルタリングのユース ケースの例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 491
ユース ケース : Web アクセスの制御 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 492
ユース ケース : ポリシーでの URL カテゴリの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 496
URL フィルタリングのトラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
PAN-DB のアクティベーションに関する問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
PAN-DB クラウド接続の問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Not-Resolved に分類された URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
誤った分類 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
URL データベースが古い . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
499
499
500
501
502
504
Quality of Service (QoS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 505
QoS の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 506
QoS の概念 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
アプリケーションおよびユーザーの QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
QoS プロファイル. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
QoS クラス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
QoS ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
QoS 出力インターフェイス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
QoS のクリアテキストおよびトンネル対象トラフィック . . . . . . . . . . . . . . . . . . . . . . . . . . .
508
508
509
510
512
512
513
QoS の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 514
仮想システムの QoS の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 520
QoS のユース ケース例. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 527
ユース ケース : 単一ユーザーの場合の QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 528
音声およびビデオ アプリケーションの QoS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 531
VPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535
VPN デプロイメント. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 536
サイト間 VPN の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 538
サイト間 VPN の概念 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
IKE ゲートウェイ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
トンネル インターフェイス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
トンネル モニタ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
VPN 用の Internet Key Exchange (IKE) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
vi
539
539
539
540
541
PAN-OS 管理者ガイド
サイト間 VPN のセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 544
IKE ゲートウェイのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545
暗号プロファイルの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 548
IPSec トンネルのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 551
トンネル モニタリングのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 555
VPN 接続のテスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 557
VPN エラー メッセージの解釈 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 558
サイト間 VPN のクイック設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 559
スタティック ルーティングを使用したサイト間 VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 559
OSPF を使用したサイト間 VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 565
スタティック ルーティングおよびダイナミック ルーティングを使用
したサイト間 VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 571
大規模 VPN (LSVPN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 579
LSVPN の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 580
LSVPN のインターフェイスおよびゾーンの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 581
GlobalProtect LSVPN コンポーネント間の SSL の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 584
証明書のデプロイメントについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 584
GlobalProtect LSVPN コンポーネントへのサーバー証明書のデプロイ . . . . . . . . . . . . . . . . . 584
サテライトを認証するためのポータルの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 588
LSVPN の GlobalProtect ゲートウェイの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 591
前提となるタスク . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 591
ゲートウェイの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 591
LSVPN の GlobalProtect ポータルの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 596
前提となるタスク . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 596
ポータルの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 596
サテライト設定の定義. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 598
LSVPN に参加するためのサテライト デバイスの準備. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 602
LSVPN 設定の確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 606
LSVPN のクイック設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 607
スタティック ルーティングを使用した基本的な LSVPN 設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . 608
ダイナミック ルーティングを使用した高度な LSVPN 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 611
ネットワーク . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 615
インターフェイスのデプロイメント. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 616
バーチャル ワイヤー デプロイメント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 616
レイヤー 2 デプロイメント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 620
レイヤー 3 デプロイメント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 620
タップ モード デプロイメント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 621
仮想ルーター . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 622
スタティック ルート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 624
RIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 627
PAN-OS 管理者ガイド
vii
OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
OSPF の概念. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
OSPF の設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
OSPFv3 の設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
OSPF グレースフル リスタートの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
OSPF 動作の確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
629
629
632
639
642
643
BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 647
セッション設定とセッション タイムアウト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
トランスポート層のセッション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
TCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
UDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ICMP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
セッション タイムアウトの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
セッション設定の指定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
653
654
654
656
657
657
660
DHCP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DHCP の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DHCP メッセージ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DHCP アドレス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DHCP オプション. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Palo Alto Networks の DHCP の実装の制限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DHCP サーバーとしてインターフェイスを設定する. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DHCP クライアントとしてインターフェイスを設定する . . . . . . . . . . . . . . . . . . . . . . . . . . .
DHCP リレー エージェントとしてインターフェイスを設定する . . . . . . . . . . . . . . . . . . . .
DHCP のモニターおよびトラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
663
663
664
665
667
668
669
672
674
675
NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NAT の目的 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NAT ルールおよびセキュリティ ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
送信元 NAT と宛先 NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NAT ルールのキャパシティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ダイナミック IP およびポート NAT オーバーサブスクリプション . . . . . . . . . . . . . . . . . . .
データ プレーンの NAT メモリの統計情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NAT の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
677
677
678
679
680
681
682
684
LACP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 694
LACP 設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 694
LACP の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 698
ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 703
ポリシーのタイプ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 704
セキュリティ ポリシー. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 705
セキュリティ ポリシー ルールのコンポーネント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 706
セキュリティ ポリシーのベスト プラクティス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 709
ポリシー オブジェクト. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 710
セキュリティ プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 712
アンチウイルス プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 713
viii
PAN-OS 管理者ガイド
アンチスパイウェア プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 714
脆弱性防御プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 715
URL フィルタリング プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 716
データ フィルタリング プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 717
ファイル ブロッキング プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 719
DoS プロテクション プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 720
ゾーン プロテクション プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 721
セキュリティ プロファイル グループ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 722
ルールベース内のルールの列挙 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 727
タグを使用してオブジェクトを視覚的に識別する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 730
セキュリティ ポリシーでオブジェクトを検索するためのヒントとテクニック . . . . . . . . . . . . 732
セキュリティ プロファイルを含むセキュリティ ポリシー ルールの検索 . . . . . . . . . . . . . 732
セキュリティ ポリシー内の無効化されたルールの検索 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 736
セキュリティ ポリシー内のログ転送詳細の検索. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 736
セキュリティ ポリシー内のログ詳細の検索 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 737
セキュリティ ポリシー内のスケジュール設定されたルールの検索. . . . . . . . . . . . . . . . . . . 737
ポリシーでのダイナミック ブロック リストの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 739
ファイアウォール モデルの IP アドレス制限の確認. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 739
ダイナミック ブロック リストのフォーマットに関するガイドライン . . . . . . . . . . . . . . . . 740
ダイナミック ブロック リストによるポリシーの適用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 740
ダイナミック ブロック リストに含まれている IP アドレスの表示 . . . . . . . . . . . . . . . . . . . 742
Web サーバーからのダイナミック ブロック リストの取得 . . . . . . . . . . . . . . . . . . . . . . . . . . 742
IP アドレスとタグの動的登録. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 744
仮想環境における変更のモニタリング. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 745
VM をモニタリングして仮想ネットワーク上の変更を追跡する . . . . . . . . . . . . . . . . . . . . . . 746
AWS および VMware 環境でモニターされる属性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 749
ポリシー内でのダイナミック アドレス グループの使用. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 750
ダイナミック IP アドレスおよびタグを確認する CLI コマンド . . . . . . . . . . . . . . . . . . . . . . . . . . 755
プロキシ経由の HTTP/HTTPS 要求に使用するクライアント IP アドレスをログに
記録する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 757
X-Forwarded-For の値をトラフィック ログに記録する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 757
X-Forwarded-For の値を URL フィルタリング ログに記録する. . . . . . . . . . . . . . . . . . . . . . . . 758
ポリシー ベース フォワーディング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 760
PBF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 761
ポリシー ベース フォワーディング ルールの作成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 763
ユース ケース : デュアル ISP でのアウトバウンド アクセス用 PBF . . . . . . . . . . . . . . . . . . . 767
仮想システム . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 777
仮想システムの概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 778
仮想システムのコンポーネントとセグメンテーション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 778
仮想システムの利点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 779
仮想システムのユース ケース. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 780
仮想システムのプラットフォーム サポートおよびライセンス . . . . . . . . . . . . . . . . . . . . . . . 780
仮想システムでの制限. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 781
PAN-OS 管理者ガイド
ix
仮想システムの管理ロール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 781
仮想システムの共有オブジェクト. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 781
仮想システム間の通信 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ファイアウォールから離れる必要がある vsys 間トラフィック . . . . . . . . . . . . . . . . . . . . . . .
ファイアウォール内に残る vsys 間トラフィック. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
vsys 間通信で使用する 2 つのセッション. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
782
783
784
787
共有ゲートウェイ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 788
外部ゾーンと共有ゲートウェイ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 788
共有ゲートウェイでのネットワーキングに関する考慮事項 . . . . . . . . . . . . . . . . . . . . . . . . . 790
仮想システムの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 791
ファイアウォール内での仮想システム間通信の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 795
共有ゲートウェイの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 796
仮想システムのその他の機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 797
x
PAN-OS 管理者ガイド
スタート ガイド
以下のセクションでは、新しい Palo Alto Networks の次世代のファイアウォールをデプロイする
上で役立つ詳細な手順について説明します。新しいファイアウォールのネットワークへの統合
と基本的なセキュリティ ポリシーおよび脅威防御機能の設定の詳細を説明します。
ファイアウォールをネットワークに統合するために必要な基本的な設定手順を実行した後、こ
のガイドのその他のトピックを参照することで、ネットワーク セキュリティ ニーズに対処する
ために必要な、包括的なエンタープライズ セキュリティ プラットフォーム機能をデプロイでき
ます。

管理ネットワークへのファイアウォールの統合

ペリメータ セキュリティの確立

基本的な脅威防御機能の有効化

ファイアウォールのデプロイメントのベスト プラクティス
スタート ガイド
1
管理ネットワークへのファイアウォールの統合
スタート ガイド
管理ネットワークへのファイアウォールの統合
すべての Palo Alto Networks ファイアウォールにはアウトオブバンド管理ポート (MGT) が用意さ
れており、それを使用してファイアウォールの管理機能を実行できます。MGT ポートを使用す
ることによってファイアウォールの管理機能がデータ処理機能から分離されるため、ファイア
ウォールへのアクセスが安全に守られ、パフォーマンスが向上します。Web インターフェイス
を使用するときには、デバイスの管理でインバンド ポートを使用する予定の場合であっても、
MGT からすべての初期設定タスクを実行する必要があります。
ライセンスの取得や、ファイアウォールでの脅威シグネチャとアプリケーション シグネチャの
更新などの一部の管理タスクでは、インターネットへのアクセスが必要です。MGT ポートへの
外部アクセスを有効にしない場合は、必要な外部サービスにアクセスできるようにデータ ポー
トをセットアップするか、定期的に手動で更新をアップロードするように計画する必要があり
ます。
以下のトピックでは、新しいファイアウォールを管理ネットワークに統合し、基本的なセキュ
リティ設定をデプロイするために必要な初期設定手順の実行方法を説明します。

管理戦略の決定

初期設定の実行

外部サービスへのネットワーク アクセスのセットアップ

ファイアウォールの登録

ライセンスおよびサブスクリプションのアクティベーション

コンテンツ更新の管理

ソフトウェア更新のインストール
以下のトピックでは、単一の Palo Alto Networks の次世代ファイアウォールをネットワークに
統合する方法を説明します。ただし、冗長性を持たせるため、「高可用性」設定にファイア
ウォールのペアをデプロイすることを検討してください。
2
スタート ガイド
スタート ガイド
管理ネットワークへのファイアウォールの統合
管理戦略の決定
Palo Alto Networks のファイアウォールは、ローカルで設定および管理するか、Palo Alto Networks
の中央管理システムである Panorama を使用することによって一元管理することができます。
ネットワークにファイアウォールが 6 つ以上デプロイされている場合、Panorama を使用すると
以下のメリットがあります。

設定、ポリシー、ソフトウェア、および動的コンテンツ更新の管理で、煩雑さや管理上の負
荷を軽減できます。Panorama でデバイス グループとテンプレートを使用することにより、
デバイス固有の設定を各デバイスでローカルに管理したり、すべてのデバイスまたはデバイ
ス グループで共有ポリシーを適用したりすることで効果的に管理できます。

すべての管理対象ファイアウォールからデータを集約し、ネットワーク上のすべてのトラ
フィックを可視化します。Panorama のアプリケーション コマンド センター (ACC) にはファ
イアウォール全体の統一レポートの一括管理画面が表示され、ネットワーク トラフィック、
セキュリティ インシデント、および管理上の変更について一元的に分析と調査を行い、
レポートを作成することができます。
このドキュメントに示す手順は、ローカル Web インターフェイスを使用してファイアウォール
を管理する場合の方法を示しています。中央管理で Panorama を使用する場合は、このガイドの
「初期設定の実行」セクションに記載されている手順に従って設定を完了した後に、ファイア
ウォールから Panorama への接続を確立できることを確認してください。それ以降は、Panorama
を使用して一元的にファイアウォールを設定できます。
スタート ガイド
3
管理ネットワークへのファイアウォールの統合
スタート ガイド
初期設定の実行
ファイアウォールのデフォルトの IP アドレスは 192.168.1.1、ユーザー名は admin、パスワードは
admin です。セキュリティ上の理由により、他のファイアウォールの設定タスクを行う前に、
これらの設定値を変更する必要があります。初期設定タスクは、ファイアウォールの管理で
MGT インターフェイスを使用しない場合でもこのインターフェイスから実行するか、デバイス
のコンソール ポートへ直接シリアル接続を使用して実行する必要があります。
ファイアウォールへのネットワーク アクセスのセットアップ
ステップ 1
ネットワーク管理者から必要 • MGT ポートの IP アドレス
な情報を入手します。
• ネットマスク
• デフォルト ゲートウェイ
• DNS サーバーのアドレス
ステップ 2
コ ン ピ ュ ー タ を フ ァ イ ア 次のいずれかの方法でファイアウォールに接続できます。
ウォールに接続します。
• コンピュータからコンソール ポートにシリアル ケーブ
ルを接続し、ターミナル エミュレーション ソフトウェ
ア (9600-8-N-1) を使用してファイアウォールに接続しま
す。起動シーケンスが完了するまで 2、3 分待ちます。
デ バ イ ス の 準 備 が で き る と、プ ロ ン プ ト が フ ァ イ ア
ウォールの名前に変わり、たとえば「PA-500 login」
のように表示されます。
• コンピュータとファイアウォールの MGT ポートを RJ-45
Ethernet ケーブルで接続します。ブラウザで、
https://192.168.1.1 に移動します。この URL にア
ク セ ス す る に は、コ ン ピ ュ ー タ の IP ア ド レ ス を、
192.168.1.0 ネ ッ ト ワ ー ク で の ア ド レ ス(192.168.1.2 な
ど)に変更しなければならない場合があります。
ステップ 3
プロンプトが表示されたら、 ロ グ イ ン に は、デ フ ォ ル ト の ユ ー ザ ー 名 と パ ス ワ ー ド
ファイアウォールにログイン (admin/admin) を使用する必要があります。ファイアウォー
します。
ルの初期化が開始されます。
ステップ 4
MGT インターフェイスを設定 1.
します。
[Device] > [ セットアップ ] > [ 管理 ] の順に選択し、
[ 管理インターフェイス設定 ] を編集します。
2.
[IP アドレス ]、[ ネットマスク ]、および [ デフォルト
ゲートウェイ ] の値を入力します。
3.
[ 速度 ] を [auto-negotiate] に設定します。
4.
インターフェイスで許可する管理サービスを選択し
ます。
Telnet と HTTP が選択されていないことを確認
します。これは、これらのサービスでは平文が
使用され、他のサービスほど安全ではないから
です。
5.
4
[OK] をクリックします。
スタート ガイド
スタート ガイド
管理ネットワークへのファイアウォールの統合
ファイアウォールへのネットワーク アクセスのセットアップ(続き)
ステップ 5
ステップ 6
(任 意)全 般 的 な フ ァ イ ア 1.
ウォールの設定を行います。
[Device] > [ セットアップ ] > [ 管理 ] の順に選択し、
[ 一般設定 ] を編集します。
2.
ファイアウォールの [ ホスト名 ] を入力し、ネットワー
クの [ ドメイン ] 名を入力します。ドメイン名はラベル
にすぎず、ドメインに参加するために使用されること
はありません。
3.
[ 緯度 ] と [ 経度 ] を入力し、そのファイアウォールが
世界地図上の正確な場所に配置されるようにします。
4.
[OK] をクリックします。
DNS、時 刻、お よ び 日 付 の 設 1.
定を行います。
[Device] > [ セットアップ ] > [ サービス ] の順に選択
し、[ サービス ] を編集します。
2.
[ サービス ] タブで、[ プライマリ DNS サーバー] の IP
アドレス、および任意で [ セカンダリ DNS サーバー]
の IP アドレスを入力します。
3.
インターネット上のタイム サーバーの仮想クラスタを
使用するには、[ プライマリ NTP サーバー] にホスト名
「pool.ntp.org」を入力するか、または [ プライマリ NTP
サーバー] の IP アドレス、および任意で [ セカンダリ
NTP サーバー] の IP アドレスを追加します。
4.
NTP サーバーからの時間更新を認証するには、[NTP]
タブを選択し、[NTP サーバー アドレス ] を入力し、
ファイアウォールで使用する [ 認証タイプ ] を選択し
ます。
5.
[OK] をクリックして、設定を保存します。
ファイアウォールで少な
くとも 1 つの DNS サー
バーを手動で設定する必
要があり、設定しないと
ホスト名を解決すること
ができなくなります。そ
のファイアウォールは、
ISP などの別のソースか
らの DNS サーバー設定
を使用しません。
ステップ 7
ステップ 8
admin アカウントの安全なパ 1.
スワードを設定します。
2.
変更をコミットします。
設定の変更を保存する
と、IP アドレスが変更さ
れるため、Web インター
フェイスへの接続が遮断
されます。
ステップ 9
admin ロールを選択します。
3.
現在のデフォルト パスワードと新しいパスワードを入
力します。
4.
[OK] をクリックして、設定を保存します。
[ コミット ] をクリックします。デバイスでの変更の保存に
は、最長で 90 秒かかります。
フ ァ イ ア ウ ォ ー ル を ネ ッ ト 1.
ワークに接続します。
2.
スタート ガイド
[Device] > [ 管理者 ] の順に選択します。
コンピュータからファイアウォールを切断します。
RJ-45 Ethernet ケーブルを使用して、MGT ポートを管
理ネットワークのスイッチ ポートに接続します。ファ
イアウォールからケーブルで接続するスイッチ ポート
が auto-negotiation に設定されていることを確認します。
5
管理ネットワークへのファイアウォールの統合
スタート ガイド
ファイアウォールへのネットワーク アクセスのセットアップ(続き)
ステップ 10 ファイアウォールへの SSH 管理 PuTTY などの端末エミュレーション ソフトウェアを使用
セッションを開きます。
し、割り当てた新しい IP アドレスを使用してファイア
ウォールへの SSH セッションを開始します。
ステップ 11 次のいずれかの方法により、
ファイアウォール管理で必要な
Palo Alto Networks アップデート
サーバーなどの外部サービスへ
のネットワーク アクセスを確
認します。
• MGT インターフェイスへの
アクセスを外部ネットワーク
に許可しない場合は、必要な
サービス更新を取得するよう
にデータ ポートをセット
アップする必要があります。
「外部サービスへのネット
ワーク アクセスのセットアッ
プ」に進みます。
外部ネットワーク アクセス用に MGT ポートにケーブルを
接続した場合は、CLI から ping ユーティリティを使用して
ファイアウォールとの間で通信可能なことを確認します。
次の例に示すようにして、デフォルト ゲートウェイ、DNS
サーバー、および Palo Alto Networks 更新サーバーに接続可
能なことを確認してください。
admin@PA-200> ping host updates.paloaltonetworks.com
PING updates.paloaltonetworks.com (67.192.236.252) 56(84)
bytes of data.
64 bytes from 67.192.236.252 : icmp_seq=1 ttl=243 time=40.5 ms
64 bytes from 67.192.236.252 : icmp_seq=1 ttl=243 time=53.6 ms
64 bytes from 67.192.236.252 : icmp_seq=1 ttl=243 time=79.5 ms
接続を確認したら、Ctrl+C を押して ping を停止し
ます。
• MGT インターフェイスへの
アクセスを外部ネットワー
クに許可する場合は、接続
が確立されていることを確
認 し て か ら、「フ ァ イ ア
ウ ォ ー ル の 登 録」お よ び
「ライセンスおよびサブス
クリプションのアクティ
ベーション」に進みます。
6
スタート ガイド
スタート ガイド
管理ネットワークへのファイアウォールの統合
外部サービスへのネットワーク アクセスのセットアップ
ファイアウォールは、デフォルトで MGT インターフェイスを使用して、DNS サーバー、コン
テンツ更新、およびライセンス取得などのリモート サービスにアクセスします。外部ネット
ワークに管理ネットワークへのアクセスを有効にしない場合は、データ ポートをセットアップ
してこれらの必須外部サービスにアクセスできるようにする必要があります。
このタスクを行うには、ファイアウォールのインターフェイス、ゾーン、およびポリシーに精
通しておく必要があります。これらのトピックについての詳細は、「ペリメータ セキュリティ
の確立」を参照してください。
外部サービスへのアクセス用データ ポートのセットアップ
ステップ 1
外部サービスへのアクセスで使 使用するインターフェイスには、静的 IP アドレスが必要
用するポートを決定し、その です。
ポートをスイッチまたはルー
ターのポートに接続します。
ステップ 2
Web インターフェイスにログイ Web ブラウザから安全な接続 (https) を使用し、初期設定の
ンします。
ときに割り当てた新しい IP アドレスとパスワードを使用
してログインします (https://<IP address>)。証明書の警告
が表示されますが、問題ありません。そのまま続行して
Web ページを開きます。
ステップ 3
(任意)ファイアウォールは、
Ethernet 1/1 ポ ー ト と Ethernet
1/2 ポート(および対応するデ
フォルトのセキュリティ ポリ
シーとゾーン)の間のデフォ
ルトのバーチャル ワイヤー イ
ンターフェイスが事前設定さ
れて出荷されます。このバー
チャル ワイヤー設定を使用す
る予定がない場合は、定義す
る他のインターフェイスの設
定と干渉しないようにするた
め、その設定を手動で削除す
る必要があります。
スタート ガイド
設定は次の順序で削除する必要があります。
1. デフォルトのセキュリティ ポリシーを削除するには、
[Policies] > [ セキュリティ] の順に選択してルールを選
択し、[ 削除 ] をクリックします。
2.
次に、[Network] > [ バーチャル ワイヤー] の順に選択
し、バーチャル ワイヤーを選択して、[ 削除 ] をクリッ
クしてデフォルトのバーチャル ワイヤーを削除します。
3.
デフォルトの Trust ゾーンと Untrust ゾーンを削除する
には、[Network] > [ ゾーン ] の順に選択し、各ゾーン
を選択して [ 削除 ] をクリックします。
4.
最後に、[Network] > [ インターフェイス ] の順に選択
してから各インターフェイス(Ethernet1/1 と Ethernet1/2)
を選択し、[ 削除 ] をクリックしてインターフェイス設
定を削除します。
5.
変更を [ コミット ] します。
7
管理ネットワークへのファイアウォールの統合
スタート ガイド
外部サービスへのアクセス用データ ポートのセットアップ(続き)
ステップ 4
8
イ ン タ ー フ ェ イ ス を 設 定 し 1.
ます。
[Network] > [インターフェイス] の順に選択し、ステッ
プ 1 でケーブルを接続したポートに対応するインター
フェイスを選択します。
2.
[ インターフェイス タイプ ] を選択します。ここで選択
するタイプはご使用のネットワーク トポロジに応じて
異なりますが、この例では、[レイヤー 3] の場合の手順
を示します。
3.
[設定] タブで、[セキュリティ ゾーン] ドロップダウン
リストを展開して [新規ゾーン] を選択します。
4.
[ゾーン] ダイアログで、新規ゾーンの [名前](「L3-trust」
など)を定義して [OK] をクリックします。
5.
[IPv4] タブを選択し、[スタティック] ラジオ ボタンを
選択し、[IP] セクションの [追加] をクリックして、イ
ンターフェイスに割り当てる IP アドレスとネットワー
ク マスク(「192.168.1.254/24」など)を入力します。
6.
[詳細] > [その他の情報] の順に選択し、[管理プロファ
イル] ドロップダウン リストを展開して [新規管理プロ
ファイル] を選択します。
7.
プロファイルの [名前](「allow_ping」など)を入力し、
インターフェイスで許可するサービスを選択します。
許可するサービスにはデバイスへの管理アクセス権が
付与されるため、このインターフェイスで許可する管
理アクティビティに対応するサービスのみを選択して
ください。たとえば、Web インターフェイスまたは
CLI によるデバイス設定タスクで MGT インターフェイ
ス を 使 用 す る 場 合 は、HTTP、HTTPS、SSH、ま た は
Telnet を有効にしないことにより、このインターフェ
イスを介した無権限のアクセスを防止することができ
ます。外部サービスへのアクセスを許可する目的の場合
は、[Ping] のみをオンにして [OK] をクリックします。
8.
インターフェイス設定を保存するには、[OK] をクリッ
クします。
スタート ガイド
スタート ガイド
管理ネットワークへのファイアウォールの統合
外部サービスへのアクセス用データ ポートのセットアップ(続き)
ステップ 5
ファイアウォールではデフォ 1.
ルトで MGT インターフェイス
を使用して必要な外部サービ
スにアクセスするため、サー
ビス ルートを編集することに
より、これらの要求を送信す
るためにファイアウォールが
使用するインターフェイスを
変更する必要があります。
[Device] > [ セットアップ ] > [ サービス ] > [ サービス
ルートの設定 ] の順に選択します。
2.
[ カスタマイズ ] ラジオ ボタンをクリックし、以下のい
ずれかを選択します。
ライセンスをアクティベーションし、最新のコ
ンテンツ更新とソフトウェア更新を取得する場
合は、「DNS」、「Palo Alto Updates」、
「URL Updates」、および「WildFire」のサービ
ス ルートを変更できます。
• 事前定義されたサービスの場合は、[IPv4] または [IPv6]
を選択し、[ 送信元インターフェイス ] を変更する
サービスのリンクをクリックし、設定したインター
フェイスを選択します。
選択したインターフェイスに複数の IP アドレスが設
定されている場合、[ 送信元アドレス ] ドロップダウ
ン リストで IP アドレスを選択できます。
• カスタム宛先のサービス ルートを作成するには、[宛
先 ] を選択して、[ 追加 ] をクリックします。[ 宛先 ]
に宛先名を入力し、[ 送信元インターフェイス ] を選
択します。選択したインターフェイスに複数の IP ア
ドレスが設定されている場合、[ 送信元アドレス ] ド
ロップダウン リストで IP アドレスを選択できます。
スタート ガイド
3.
[OK] をクリックして設定を保存します。
4.
変更する各サービス ルートについて、上記のステップ
2 ~ 3 を繰り返します。
5.
変更を [ コミット ] します。
9
管理ネットワークへのファイアウォールの統合
スタート ガイド
外部サービスへのアクセス用データ ポートのセットアップ(続き)
ステップ 6
ステップ 7
外向きインターフェイスおよ 1.
び関連付けられたゾーンを設
定し、ファイアウォールが内
部ゾーンから外部ゾーンに
サービス要求を送信すること
を許可するようにセキュリ
テ ィ ル ー ル と NAT ポ リ シ ー
ルールを作成します。
2.
データ ポートから、デフォルト
ゲートウェイ、DNS サーバー、
お よ び Palo Alto Networks 更 新
サーバーなどの外部サービスに
接続できることを確認します。
[Network] > [ インターフェイス ] の順に選択して、外
向きのインターフェイスを選択します。[インターフェ
イス タイプ ] として [ レイヤー 3] を選択し、[IP] アド
レスを [ 追加 ] して([IPv4] または [IPv6] タブ)、
「l3-untrust」な どの 関連付 けら れた [ セキ ュリ ティ
ゾーン]([設定] タブ)を作成します。このインターフェ
イスでの管理サービスを設定する必要はありません。
内部ネットワークから Palo Alto Networks 更新サーバー
と外部 DNS サーバーへのトラフィックを許可するセ
キュリティ ルールをセットアップするには、[Policies] >
[ セキュリティ] の順に選択して [ 追加 ] をクリックし
ます。初期設定の場合は、次のようにして、l3-trust か
ら l3-untrust へのすべてのトラフィックを許可する簡単
なルールを作成できます。
3.
内向きインターフェイスでプライベート IP アドレスを
使用する場合は、そのアドレスをパブリックにルー
ティング可能なアドレスに変換する「送信元 NAT」
ルールを作成する必要があります。[Policies] > [NAT]
の順に選択して [追加] をクリックします。少なくと
も、ルールの名前を定義し([全般] タブ)、送信元と
宛先のゾーン(この場合は l3-trust から l3-intrust)を指定
し([元のパケット] タブ)、送信元アドレス変換の設
定項目を定義して([変換済みパケット] タブ)、[OK]
をクリックする必要があります。
4.
変更を [ コミット ] します。
CLI を起動し、ping ユーティリティを使用して接続が有効
なことを確認します。デフォルトでは ping は MGT イン
ターフェイスから送信されるため、この場合は、以下のよ
うに ping 要求の送信元インターフェイスを指定する必要が
あります。
admin@PA-200> ping source 192.168.1.254 host
必要なネットワーク接続が確立 updates.paloaltonetworks.com
PING updates.paloaltonetworks.com (67.192.236.252) from
されていることを確認してか 192.168.1.254 : 56(84) bytes of data.
64 bytes from 67.192.236.252: icmp_seq=1 ttl=242 time=56.7 ms
ら、「フ ァ イ ア ウ ォ ー ル の 登 64 bytes from 67.192.236.252: icmp_seq=2 ttl=242 time=47.7 ms
64 bytes from 67.192.236.252: icmp_seq=3 ttl=242 time=47.6 ms
録」と「ライセンスおよびサブ ^C
スクリプションのアクティベー 接続を確認したら、Ctrl+C を押して ping を停止します。
ション」に進みます。
10
スタート ガイド
スタート ガイド
管理ネットワークへのファイアウォールの統合
ファイアウォールの登録
ファイアウォールの登録
ステップ 1
Web インターフェイスにログイ Web ブラウザから安全な接続 (https) を使用し、初期設定の
ンします。
ときに割り当てた新しい IP アドレスとパスワードを使用
してログインします (https://<IP address>)。証明書の警告
が表示されますが、問題ありません。そのまま続行して
Web ページを開きます。
ステップ 2
シリアル番号を見つけ、クリッ [Dashboard] で、画面の [ 一般的な情報 ] セクションに表示
プボードにコピーします。
されている [ シリアル番号 ] を確認します。
ステップ 3
Palo Alto Networks サポート サイ 新しいブラウザのタブまたはウィンドウで、
トに移動します。
『https://support.paloaltonetworks.com』に移動します。
ステップ 4
デバイスを登録します。登録 • これが登録する最初の Palo Alto Networks デバイスであり、
まだログイン情報を登録していない場合は、ページの右
方法は、サポート サイトにす
側にある [ 登録 ] をクリックします。登録するには、発注
でにログイン情報が登録され
番号または顧客 ID を指定し、ファイアウォールのシリ
ているかどうかに応じて異な
アル番号(クリップボードから貼り付け可能)または購
ります。
入時に受け取った認証コードを入力する必要がありま
す。また、Palo Alto Networks サポート コミュニティへの
アクセス用に、ユーザー名とパスワードをセットアップ
するよう求めるプロンプトが表示されます。
• すでにサポート アカウントを持っている場合は、ログイ
ンしてから [My Devices] をクリックします。画面下部の
[Register Device] セクションまでスクロールし、ファイア
ウォールのシリアル番号(クリップボードから貼り付け
可能)、市区町村、および郵便番号を入力して、[デバイ
スの登録 ] をクリックします。
スタート ガイド
11
管理ネットワークへのファイアウォールの統合
スタート ガイド
ライセンスおよびサブスクリプションのアクティベーション
ファイアウォールを使用してネットワークのトラフィックを安全に保護することができるよう
にするには、まず、購入したサービスごとにライセンスをアクティベーションする必要があり
ます。次のようなライセンスとサブスクリプションを購入できます。

「脅威防御」— アンチウイルス、アンチスパイウェア、および脆弱性防御機能を提供します。

「復号ポート ミラーリング」— ファイアウォールからの復号化されたトラフィックのコピー
を作成してトラフィック収集ツールに送信できます。このツールは、NetWitness や Solera な
どの生パケット キャプチャを受信してアーカイブや分析を行うことができます。

「URL フィルタリング」— ダイナミック URL カテゴリに基づいてポリシー ルールを作成する
には、サポートされている URL フィルタリング データベース(PAN-DB または BrightCloud)の
いずれかのサブスクリプションを購入してインストールする必要があります。URL フィルタリ
ングについての詳細は、「Web コンテンツへのアクセス制御」を参照してください。

「仮想システム」— このライセンスは、PA-2000 および PA-3000 シリーズのファイアウォー
ルで複数の仮想システムのサポートを有効にするために必要です。また、PA-4000 シリー
ズ、PA-5000 シリーズ、PA-7050 ファイアウォールでのデフォルトの基本数(基本数はプラッ
トフォームごとに異なります)より多くの数の仮想システムを使用する場合は、仮想システ
ム ライセンスを 1 つ購入する必要があります。PA-500、PA-200、および VM シリーズのファ
イアウォールでは、仮想システムがサポートされていません。

「WildFire」— 基本 WildFire サポートは脅威防御ライセンスの一部として含まれていますが、
WildFire サブスクリプション サービスでは、直ちに脅威への対応が必要な組織を対象に強化
サービスを提供することにより、分単位の WildFire シグネチャ更新、高度なファイル タイプ
転送(APK、PDF、Microsoft Office、Java アプレット)、および WildFire API を使用したファ
イルのアップロード機能を有効にすることができます。WildFire サブスクリプションは、
ファイアウォールがプライベート WF-500 WildFire アプライアンスにファイルを転送する場合
にも必要です。

「GlobalProtect」— モビリティ ソリューションまたは大規模 VPN 機能を提供します。デフォル
トでは、ライセンスなしで 1 つの GlobalProtect ポータルとゲートウェイ(HIP チェックなし)
を導入できます。ただし、ゲートウェイを複数デプロイする場合は、ポータル ライセンス
(1 回限りの永続ライセンス)を購入する必要があります。ホスト チェックを使用する場合
は、ゲートウェイごとにゲートウェイ ライセンス(サブスクリプション)も必要になります。
ライセンスのアクティベーション
ステップ 1
12
購 入 し た ラ イ セ ン ス の ア ク サブスクリプションを購入した場合は、各サブスクリプ
ティベーション コードを探し ションに関連付けられているアクティベーション コードの
ます。
一覧を示した電子メールを Palo Alto Networks カスタマー サ
ポートから受信しています。この電子メールが見当たらな
い場合は、カスタマー サポートに連絡してアクティベー
ション コードを入手してから次に進んでください。
スタート ガイド
スタート ガイド
管理ネットワークへのファイアウォールの統合
ライセンスのアクティベーション(続き)
ステップ 2
Web インターフェイスを起動 [Device] > [ ライセンス ] の順に選択します。
し、ライセンス ページに移動
します。
ステップ 3
購入した各ライセンスをアク ライセンス / サブスクリプションを購入したら、次のいず
ティベーションします。
れかの方法でアクティベーションします。
• ライセンス サーバーからライセンス キーを取得 — サポー
ト ポータルでライセンスをアクティベーションした場
合は、このオプションを使用します。
• 認証コードを使用した機能のアクティベーション — ライ
センスの認証コードを使用して購入したサブスクリプ
ションを有効にする場合は、このオプションを使用しま
す。該当の認証コードがサポート ポータルで以前にアク
ティベーションされていないことが前提になります。プ
ロンプトが表示されたら、[ 認証コード ] を入力して [OK]
をクリックします。
• ライセンス キーの手動アップロード — デバイスから Palo
Alto Networks サポート サイトへの接続が確立されていな
い場合は、このオプションを使用します。この場合は、
インターネットに接続されたコンピュータでサポート
サイトからライセンス キーをダウンロードしてから、
そのデバイスにアップロードする必要があります。
ステップ 4
ライセンスが正常にアクティ [Device] > [ ライセンス ] ページで、ライセンスが正常にア
ベーションされたことを確認 クティベーションされたことを確認します。たとえば、
します。
WildFire ライセンスをアクティベーションした後、ライセ
ンスが有効なことを確認してください。
スタート ガイド
13
管理ネットワークへのファイアウォールの統合
スタート ガイド
コンテンツ更新の管理
変遷する脅威やアプリケーションより常に優位に立つため、Palo Alto Networks は、Palo Alto Networks
のデバイスにコンテンツの更新を提供するための CDN (Content Delivery Network) インフラスト
ラクチャを管理しています。このデバイスは CDN 内の Web リソースを利用してさまざまな
App-ID および Content-ID 機能を実行します。このデバイスは、デフォルトでは、アプリケー
ションの更新、脅威およびアンチウイルスのシグネチャの更新、BrightCloud および PAN-DB の
データベースの更新および検索、および Palo Alto Networks WildFire Cloud の利用のために、管理
ポートを使用して CDN インフラストラクチャにアクセスします。常に最新の脅威(まだ発見さ
れていない脅威を含む)から保護されるようにするため、Palo Alto Networks から公開される最新
の更新により、使用するデバイスが常に最新の状態に維持されるようにする必要があります。
所有しているサブスクリプションに応じて、以下のコンテンツ更新を利用できます。
コンテンツ更新はいつでも手動でダウンロードしてインストールできますが、ベスト プラク
ティスとして、「各更新をスケジュールします。」を行う必要があります。スケジュールされ
た更新は自動的に実行されます。

アンチウイルス — WildFire クラウド サービスによって発見されたシグネチャなどの新規およ
び更新されたアンチウイルス シグネチャを含みます。更新データを取得するには、脅威防御
サブスクリプションが必要です。新しいアンチウイルス シグネチャは毎日公開されます。

アプリケーション — 新規および更新されたアプリケーション シグネチャを含みます。この更
新に追加のサブスクリプションは不要ですが、有効なメンテナンス / サポートの連絡先が必
要です。新しいアプリケーション更新は週単位で公開されます。

アプリケーションおよび脅威 — 新規および更新されたアプリケーション シグネチャと脅威
シグネチャを含みます。この更新は、脅威防御サブスクリプションを購入している場合(お
よびアプリケーション更新の代わりに取得する場合)に入手できます。新しいアプリケー
ションおよび脅威の更新は、週単位で公開されます。

GlobalProtect データ ファイル — GlobalProtect エージェントによって返されるホスト情報プ
ロファイル (HIP) データを定義および評価するためのベンダー固有情報を含みます。更新を
受信するには、GlobalProtect ポータルと GlobalProtect ゲートウェイ ライセンスが必要です。
また、GlobalProtect が機能を開始する前に、それらの更新のスケジュールを作成する必要が
あります。

BrightCloud URL フィルタリング — BrightCloud URL フィルタリング データベースにのみ更
新を提供します。更新を取得するには、BrightCloud サブスクリプションが必要です。新しい
BrightCloud URL データベース更新は毎日公開されます。PAN-DB ライセンスを持っている場
合は、デバイスがサーバーと自動的に同期されるため、スケジュールされた更新は不要です。

WildFire — WildFire クラウド サービスで分析を実行し、その結果として作成したマルウェア
およびアンチウイルス シグネチャをほぼリアルタイムに提供します。このサブスクリプショ
ンがない場合、シグネチャがアプリケーションおよび脅威の更新に取り込まれるまで 24 ~
48 時間待つ必要があります。
14
スタート ガイド
スタート ガイド
管理ネットワークへのファイアウォールの統合
ファイアウォールで管理ポートからインターネットにアクセスできない場合は、『Palo Alto
Networks サポート』ポータルからコンテンツ更新をダウンロードして、ファイアウォールに
アップロードできます。
既存のファイアウォールまたはプロキシ サーバーの後ろにファイアウォールを導入した場合、
これらの外部リソースの利用は、1 つのホスト名または IP アドレスだけにアクセスすることを
許可するアクセス制御リストを使用して制限される場合があります。そのような場合、CDN
へのアクセスを許可するには、ホスト名 staticupdates.paloaltonetworks.com または
IP アドレス 199.167.52.15 を使用するように更新サーバーのアドレスを設定します。
最新データベースのダウンロード
ステップ 1
ファイアウォールが CDN イン [Device] > [ セットアップ ] > [ サービス ] の順に選択します。
フラストラクチャを指し示し • ベスト プラクティスとして、
ているかどうか確認します。
updates.paloaltonetworks.com にアクセスするよ
うに [ アップデート サーバー] を設定します。これに
よって、ファイアウォールは CDN インフラストラク
チャ内で最も近いサーバーからコンテンツの更新を受け
取ることができます。
• (任意)ファイアウォールでインターネットへのアク
セスが制限されている場合は、ホスト名
staticupdates.paloaltonetworks.com または IP
アドレス 199.167.52.15 を使用するように更新サー
バーのアドレスを設定します。
• セキュリティを強化するには、[ 更新サーバー ID の確認 ]
を選択します。ソフトウェアまたはコンテンツ パッ
ケージのダウンロード元サーバーが信頼された機関に
よって署名された SSL 証明書を持っていることをファイ
アウォールは確認します。
ステップ 2
Web インターフェイスを起動 [Device] >[ ダイナミック更新 ] の順に選択します。
し、[ ダイナミック更新 ] ペー
ジに移動します。
スタート ガイド
15
管理ネットワークへのファイアウォールの統合
スタート ガイド
最新データベースのダウンロード(続き)
ステップ 3
最新の更新があるかどうか確 [ 今すぐチェック ](ウィンドウの左下にある)をクリック
認します。
して最新の更新があるかどうか確認します。[ アクション ]
列のリンクは、更新が入手可能かどうかを示します。
• ダウンロード — 新しい更新ファイルが入手可能なことを
示します。リンクをクリックし、ファイアウォールへの
ファイルの直接ダウンロードを開始します。ダウンロー
ドが正常に完了すると、[ アクション ] 列のリンクが [ ダ
ウンロード ] から [ インストール ] に変化します。
アプリケーションおよび脅威データベースをイン
ストールするまでは、アンチウイルス データベー
スをダウンロードできません。
• アップグレード — 新しいバーションの BrightCloud デー
タベースが存在することを示します。リンクをクリック
してデータベースのダウンロードとインストールを開始
します。データベースのアップグレードがバックグラウ
ンドで開始され、完了すると [現在インストール済み] 列
にチェック マークが表示されます。URL フィルタリング
データベースとして PAN-DB を使用する場合はアップグ
レード リンクが表示されませんが、これは、PAN-DB
データベースとサーバーの同期が自動的に保たれるから
です。
アクションの状態を確認するには、[ タスク ]
(ウィンドウの右下に表示)をクリックし
ます。
• 元に戻す — 対応するソフトウェア バージョンがすでに
ダウンロードされていることを示します。以前にインス
トールした更新のバージョンに戻すことができます。
16
スタート ガイド
スタート ガイド
管理ネットワークへのファイアウォールの統合
最新データベースのダウンロード(続き)
[ アクション ] 列の [ インストール ] リンクをクリックしま
す。インストールが完了すると、[ 現在インストール済み ]
イ ン ス ト ー ル に は、
列にチェック マークが表示されます。
PA-200、PA-500、ま た は
PA-2000 デバイスの場合
には 最大 20 分、PA-3000
シリーズ、PA-4000 シリー
ズ、PA-5000 シ リ ー ズ、
PA-7050 または VM-Series
のファイアウォールの
場合には 最大 2 分かか
ります。
ステップ 4
更新をインストールします。
ステップ 5
各更新をスケジュールします。 1.
スケジュールする更新ごとに
この手順を繰り返します。
ファイアウォールが一
度 に ダ ウ ン ロ ー ド で き 2.
る更新は 1 つのみであ
る た め、ス ケ ジ ュ ー ル
が重ならないように調
整 し ま す。複 数 の 更 新
を同じ期間にダウン
ロードするようにスケ
ジ ュ ー ル す る と、最 初 3.
のダウンロードだけが
成功します。
スタート ガイド
[ なし ] リンクをクリックすることにより、各更新タイ
プのスケジュールを設定します。
[ 繰り返し ] ドロップダウンから値を選択することによ
り、更新の頻度を指定します。指定可能な値は、コン
テンツ タイプによって異なります(WildFire の更新
は、[15 分ごと ]、[30 分ごと ]、または [ 毎時間 ] の頻
度で実行可能であるのに対し、他のすべてのコンテン
ツ タイプの場合には [ 毎日 ] または [ 毎週 ] の頻度で更
新をスケジュールできます)。
[ 日時 ](または、WildFire の場合には 00 分からの経過
分数)、および該当する場合は、選択した [ 繰り返し ]
値に応じて更新する [ 曜日 ] を指定します。
4.
システムで [ ダウンロードのみ ] を実行するか、または
ベスト プラクティスとして更新を [ ダウンロードおよ
びインストール ] するかを指定します。
5.
まれに、コンテンツ更新の中でエラーが見つかること
があります。このため、リリースされてから一定の時
間が経過するまで、新しい更新のインストールを延期
することが可能です。リリースされてからコンテンツ
更新を実行するまでの時間は、[ しきい値(時間)]
フィールドに待つ時間の長さを入力することによって
指定できます。
6.
[OK] をクリックしてスケジュールの設定を保存します。
7.
[ コミット ] をクリックして、実行中の設定に対する設
定値を保存します。
17
管理ネットワークへのファイアウォールの統合
スタート ガイド
ソフトウェア更新のインストール
新しいファイアウォールのインストール時には、最新のソフトウェア更新(または、リセラー
や Palo Alto Networks システム エンジニアが推奨する更新バージョンにアップグレードするか、
または最新のフィックスとセキュリティの強化機能を活用するようお勧めします。ソフトウェ
アを更新する前に、まず、前のセクションで説明されている最新のコンテンツ更新があること
を確認してください(ソフトウェア更新のリリース ノートでは、そのリリースでサポートされ
ている最小バージョンのコンテンツ リリースが指定されています)。
PAN-OS の更新
ステップ 1
Web インターフェイスを起動 [Device] > [ ソフトウェア ] の順に選択します。
し、ソフトウェア ページに移
動します。
ステップ 2
ソフトウェア更新があるかど [ 今すぐチェック ] をクリックして最新の更新があるかどう
うか確認します。
か確認します。[ アクション ] 列の値が [ ダウンロード ] の
場合は、入手可能な更新があることを示します。
ステップ 3
更新をダウンロードします。
18
必要なバージョンを見つけて [ ダウンロード ] をクリック
します。ダウンロードが完了すると、[ アクション ] 列の値
ファイアウォールで管理
が [ インストール ] になります。
ポートからインターネッ
トにアクセスできない場
合は、『Palo Alto Networks』
ポータルからソフトウェ
ア更新をダウンロードで
きます。その後、ファイ
アウォールに手動で [アッ
プロード] することができ
ます。
スタート ガイド
スタート ガイド
管理ネットワークへのファイアウォールの統合
PAN-OS の更新(続き)
ステップ 4
更新をインストールします。
1.
[ インストール ] をクリックします。
2.
ファイアウォールを再起動します。
• 再起動のプロンプトが表示されたら、[はい] をクリッ
クします。
• 再 起 動 の プ ロ ン プ ト が 表 示 さ れ な い 場 合 は、
[Device] > [ セットアップ ] > [ 操作 ] の順に選択し、
画面の [ デバイスの操作 ] セクションの [ デバイスの
再起動 ] をクリックします。
スタート ガイド
19
ペリメータ セキュリティの確立
スタート ガイド
ペリメータ セキュリティの確立
ファイアウォールでトラフィックを管理および制御するには、そのファイアウォールをトラ
フィックが通過する必要があります。物理的には、トラフィックはインターフェイスを介して
ファイアウォールを出入りします。ファイアウォールでは、パケットがセキュリティ ポリシー
ルールと一致するかどうかに基づいてパケットの処理方法が決定されます。最も基本的なレベ
ルでは、各セキュリティ ポリシー ルールで、トラフィックの送信元と送信先を特定する必要が
あります。Palo Alto Networks の次世代ファイアウォールでは、セキュリティ ポリシー ルールが
ゾーン間で適用されます。ゾーンは(物理または仮想)インターフェイス グループの一種で、
信頼エリアを抽象化することにより、ポリシーの実施を簡略化します。たとえば、次のトポロ
ジ図では、「Trust」、「Untrust」、「DMZ」という 3 つのゾーンがあります。トラフィック
は、ゾーン内を自由に移動できますが、ゾーン間については、移動することを許可するセキュ
リティ ポリシー ルールが定義されない限り移動できません。
以下のトピックでは、ペリメータ セキュリティのコンポーネントについて説明するとともに、
ファイアウォール インターフェイスの設定、ゾーンの定義、および基本的なセキュリティ ポリ
シーのセットアップを行うことにより、内部ゾーンからインターネットや DMZ へトラフィッ
クを通過させるための手順について説明します。初めにこのような基本的セキュリティ ポリ
シー ルールベースを作成することにより、ネットワークを通過するトラフィックを分析し、そ
の情報を使用してより詳細なポリシーを定義して、あらゆる脅威を回避しながらアプリケー
ションを安全に有効にすることができます。

基本的なインターフェイスのデプロイメント

セキュリティ ポリシーについて

デプロイメント計画

インターフェイスとゾーンの設定

基本的なセキュリティ ポリシーのセットアップ
内部ネットワークでプライベート IP アドレスを使用する場合は、ネットワーク アドレス変換
(「NAT」)を設定することも必要になります。NAT の概念および設定タスクの詳細は、
「ネットワーク」を参照してください。
20
スタート ガイド
スタート ガイド
ペリメータ セキュリティの確立
基本的なインターフェイスのデプロイメント
Palo Alto Networks の次世代ファイアウォールでは、ダイナミック ルーティング、スイッチン
グ、および VPN 接続のサポートなど、柔軟なネットワーク アーキテクチャを提供し、さまざ
まなネットワーク環境でファイアウォールのデプロイを可能にします。ファイアウォールで
Ethernet ポートを設定する場合、バーチャル ワイヤー、レイヤー 2、レイヤー 3 の中からイン
ターフェイスのデプロイメントを選択できます。さらに、さまざまなネットワーク セグメント
に統合できるように、異なるポートでさまざまなインターフェイス タイプを設定できます。以
下のセクションでは、デプロイメントのタイプ別の基本情報について説明します。

バーチャル ワイヤー デプロイメント

レイヤー 2 デプロイメント

レイヤー 3 デプロイメント
デプロイメント情報の詳細は、『Designing Networks with Palo Alto Networks Firewalls』を参照して
ください。
バーチャル ワイヤー デプロイメント
バーチャル ワイヤー デプロイメントの場合、ファイアウォールは、2 つのポートを結合するこ
とによってネットワーク セグメント上に透過的にインストールされます。バーチャル ワイヤー
を使用することにより、隣接するデバイスを再設定しなくても、あらゆるネットワーク環境で
ファイアウォールをインストールできます。バーチャル ワイヤーでは、必要に応じて、仮想
LAN (VLAN) タグ値に基づいてトラフィックをブロックまたは許可することができます。ま
た、複数のサブインターフェイスを作成し、IP アドレス(アドレス単体、範囲、またはサブ
ネット)、VLAN、またはその両方の組み合わせに基づいてトラフィックを分類することもで
きます。
デフォルトでは(default-vwire という)バーチャル ワイヤーが Ethernet ポート 1 と 2 にバイン
ドされ、タグのないトラフィックをすべて許可します。シンプルな導入や設定、周辺ネット
ワーク デバイスの設定変更を避けたい場合はこの導入方法を選択してください。
バーチャル ワイヤーはデフォルトの設定であり、スイッチングまたはルーティングのいずれも
不要な場合にのみ使用する必要があります。デフォルトのバーチャル ワイヤーを使用する予定
がない場合は、定義する他のインターフェイス設定と干渉しないようにするため、その設定を
手動で削除してからインターフェイスの設定を続行する必要があります。デフォルトのバー
チャル ワイヤーとその関連セキュリティ ポリシーおよびゾーンを削除する方法の詳細は、「外
部サービスへのアクセス用データ ポートのセットアップ」のステップ 3 を参照してください。
スタート ガイド
21
ペリメータ セキュリティの確立
スタート ガイド
レイヤー 2 デプロイメント
レイヤー 2 デプロイメントの場合、ファイアウォールは複数インターフェイス間のスイッチン
グを行います。ファイアウォールでこのスイッチングを行うには、インターフェイスの各グ
ループが 1 つの VLAN オブジェクトに割り当てられている必要があります。レイヤー 2 サブイ
ンターフェイスが共通の VLAN オブジェクトに接続されていると、ファイアウォールで VLAN
タグのスイッチングが行われます。このオプションは、スイッチングが必要な場合に選択し
ます。
レイ ヤー 2 デプ ロイ メン トの 詳細は、『Layer 2 Networking Tech Note』また は『Securing Inter
VLAN Traffic Tech Note』を参照してください。
レイヤー 3 デプロイメント
レイヤー 3 デプロイメントの場合、ファイアウォールはポート間でトラフィックをルーティン
グします。トラフィックをルーティングするには、各インターフェイスに IP アドレスを割り当
て、仮想ルーターを定義する必要があります。このオプションは、ルーティングが必要な場合
に選択します。
設定するレイヤー 3 の物理インターフェイスごとに IP アドレスを割り当てる必要があります。
また、レイヤー 3 の物理インターフェイスごとに論理サブインターフェイスを作成することに
より、たとえばマルチテナンシーなどの場合は、VLAN タグ(VLAN トランクを使用している
場合)に基づいて、または IP アドレス単位で、インターフェイス上のトラフィックを分離する
ことも可能です。
さらに、レイヤー 3 デプロイメントではファイアウォールでのトラフィックをルーティングす
る必要があるため、仮想ルーターを設定する必要があります。スタティック ルートを追加する
のと同じように、動的ルーティング プロトコル(BGP、OSPF、RIP など)に参加するように仮
想ルーターを設定できます。また、複数の仮想ルーターを作成し、各ルーターが他のルーター
と共有しない独立したルートを保持することにより、インターフェイス間で異なるルーティン
グの動作を設定できます。
この章の設定例は、スタティック ルートを使用してファイアウォールをレイヤー 3 ネットワー
クに組み込む方法を表しています。その他のタイプのルーティングによる統合の詳細は、以下
のドキュメントを参照してください。

『How to Configure OSPF Tech Note』

『How to Configure BGP Tech Note』
22
スタート ガイド
スタート ガイド
ペリメータ セキュリティの確立
セキュリティ ポリシーについて
「セキュリティ ポリシー」により、ネットワーク資産を脅威や障害から保護し、ネットワーク
リソースの最適な割り当てを補助することで、ビジネス プロセスでの生産性や効率性を強化し
ます。Palo Alto Networks のファイアウォールでは、セキュリティ ポリシー ルールにより、送信
元および宛先のセキュリティ ゾーン、送信元および宛先の IP アドレス、アプリケーション、
ユーザー、サービスなどのトラフィック属性に基づいて、セッションをブロックするか許可す
るかが決定されます。
定義されたルールのいずれとも一致しないトラフィックには、デフォルト ルールが適用されま
す。セキュリティ ルールベースの下部に表示されるデフォルト ルールは、すべてのイントラ
ゾーン(ゾーン内)トラフィックを許可し、すべてのインターゾーン(ゾーン間)トラフィッ
クを拒否するよう事前定義されています。これらのルールは、事前定義済み設定に含まれ、デ
フォルトで読み取り専用になっていますが、オーバーライドして、タグ、アクション(許可ま
たは拒否)、ログ設定、セキュリティ プロファイルなど、限られた数の設定項目を変更するこ
とができます。
セキュリティ ポリシー ルールは、左から右に、および上から下の順に評価されます。定義済み
の基準を満たす最初のルールとパケットが一致すると、それが引き金となり、それ以降のルー
ルは評価されません。そのため、ベストマッチする基準を適用するには、個別のルールを一般
的なルールよりも優先的に評価する必要があります。トラフィックがルールと一致すると、そ
のルールでログが有効になっていれば、セッションの最後にログのエントリがトラフィック ロ
グに記録されます。ログのオプションはルールごとに設定可能で、セッションの最後ではなく
最初にログを記録するように設定したり、セッションの最初と最後の両方でログを記録するよ
うに設定することも可能です。

ポリシー オブジェクトについて

セキュリティ プロファイルについて
ポリシー オブジェクトについて
ポリシー オブジェクトは、単一のオブジェクトまたは集合単位で、IP アドレス、URL、アプリ
ケーション、ユーザーなどの個別の ID をグループ化するものです。集合単位である「ポリシー
オブジェクト」を使用することにより、複数のオブジェクトを一度に 1 つずつ手動で選択する
代わりに、セキュリティ ポリシーでそのオブジェクトを参照できます。一般的にポリシー オブ
ジェクトを作成する場合、ポリシーで同様のアクセス権限を必要とするオブジェクトをグルー
プ化します。たとえば、組織が一連のサーバーの IP アドレスを使用してユーザーを認証する場
合、それらのサーバーの IP アドレスをアドレス グループのポリシー オブジェクトとしてグ
ループ化し、そのアドレス グループをセキュリティ ポリシーで参照します。オブジェクトをグ
ループ化することにより、ポリシー作成時の管理者の負担が大幅に軽減されます。
アドレスおよびアプリケーション ポリシー オブジェクトの例のいくつかは、「セキュリティ
ルールの作成」での説明に含まれるセキュリティ ポリシーに示されています。その他のポリ
シー オブジェクトの詳細は、「基本的な脅威防御機能の有効化」を参照してください。
スタート ガイド
23
ペリメータ セキュリティの確立
スタート ガイド
セキュリティ プロファイルについて
セキュリティ ポリシーにより、ネットワーク上のトラフィックを許可または拒否できますが、
許可するがスキャンを実施するルールを定義する場合は、セキュリティ プロファイルが役に立
ちます。この場合、許可されたアプリケーションに対する脅威がスキャンされます。トラ
フィックがセキュリティ ポリシーで定義されている許可ルールと一致する場合は、そのルール
に関連付けられた「セキュリティ プロファイル」が、アンチウイルス チェックやデータ フィ
ルタリングなどのその他のコンテンツ検査ルールの場合に適用されます。
セキュリティ プロファイルは、トラフィック フローの一致基準には使用されません。セキュ
リティ プロファイルは、セキュリティ ポリシーでアプリケーションまたはカテゴリが許可さ
れた後に適用され、トラフィックをスキャンします。
さまざまなタイプのセキュリティ プロファイル(アンチウイルス、アンチスパイウェア、脆弱
性防御、URL フィルタリング、ファイル ブロッキング、データ フィルタリング)をセキュリ
ティ ポリシーに関連付けることができます。ファイアウォールでは、デフォルトのセキュリ
ティ プロファイルをそのまま使用して、すぐにネットワークを脅威から保護できます。デフォ
ルトのプロファイルをセキュリティ ポリシーで使用する方法の詳細は、「セキュリティ ルール
の作成」を参照してください。ネットワークに必要なセキュリティについて理解を深めると、
カスタム プロファイルを作成できます。詳細は、「脅威を確認するためのトラフィックのス
キャン」を参照してください。
24
スタート ガイド
スタート ガイド
ペリメータ セキュリティの確立
デプロイメント計画
インターフェイスおよびゾーンの設定を開始する前に、組織内でのさまざまな使用条件に基づ
き、必要なゾーンについて綿密に計画する必要があります。さらに、必要な設定情報をすべて
事前に収集する必要があります。基本レベルでは、どのインターフェイスがどのゾーンに属す
るかについて計画します。レイヤー 3 デプロイメントの場合、仮想ルーターの設定に必要な
ルーティング プロトコルまたはスタティック ルートの設定方法など、必要な IP アドレスおよ
びネットワーク設定情報も、ネットワーク管理者から入手する必要があります。本章の例は、
以下のトポロジに基づいています。
図 : レイヤー 3 トポロジの例
以下の表に、トポロジ例に示すレイヤー 3 インターフェイスとそれに対応するゾーンの設定に
使用する情報を示します。
ゾーン
デプロイメント タイプ
インターフェイス
設定
Untrust
L3
Ethernet1/3
IP アドレス : 203.0.113.100/24
仮想ルーター: デフォルト
デフォルト ルート : 0.0.0.0/0
ネクスト ホップ : 203.0.113.1
Trust
L3
Ethernet1/4
IP アドレス : 192.168.1.4/24
仮想ルーター: デフォルト
DMZ
L3
Ethernet1/13
IP アドレス : 10.1.1.1/24
仮想ルーター: デフォルト
スタート ガイド
25
ペリメータ セキュリティの確立
スタート ガイド
インターフェイスとゾーンの設定
ゾーンとそれに対応するインターフェイスを計画後、デバイスでそれらを設定できます。それ
ぞれのインターフェイスの設定方法は、ネットワーク トポロジにより異なります。
以下の手順は、「図 : レイヤー 3 トポロジの例」に示したレイヤー 3 デプロイメントの設定方法
を示しています。
ファイアウォールは、Ethernet 1/1 ポートと Ethernet 1/2(および対応するデフォルトのセキュ
リティ ポリシーと仮想ルーター)の間のデフォルトのバーチャル ワイヤー インターフェイス
が事前設定されて出荷されます。このデフォルトのバーチャル ワイヤーを使用する予定がない
場合は、定義する他の設定と干渉しないようにするため、手動でこの設定を削除してから設定
を続行する必要があります。デフォルトのバーチャル ワイヤーとその関連セキュリティ ポリ
シーおよびゾーンを削除する方法の詳細は、「外部サービスへのアクセス用データ ポートの
セットアップ」のステップ 3 を参照してください。
インターフェイスおよびゾーンの設定
ステップ 1
26
インターネット ルーターへのデ 1.
フォルト ルートを設定します。
[Network] > [ 仮想ルーター] の順に選択し、default リ
ンクを選択して [仮想ルーター] ダイアログを開きます。
2.
[ スタティック ルート ] タブを選択して [ 追加 ] をクリッ
クします。[ 名前 ] フィールドにルート名を入力し、[ 宛
先 ] フィールドにルートの宛先(例 : 0.0.0.0/0)を入力
します。
3.
[ ネクスト ホップ ] で [IP アドレス ] ラジオ ボタンをク
リックし、インターネット ゲートウェイの IP アドレ
スとネットマスク(例 : 203.00.113.1)を入力します。
4.
[OK] を 2 回クリックして仮想ルーターの設定を保存し
ます。
スタート ガイド
スタート ガイド
ペリメータ セキュリティの確立
インターフェイスおよびゾーンの設定(続き)
ステップ 2
ステップ 3
外部インターフェイス(イン 1.
ターネットに接続するインター
フェイス)を設定します。
[Network] > [ インターフェイス ] の順に選択し、設定
するインターフェイスを選択します。この例では、
Ethernet1/3 を外部インターフェイスとして設定します。
2.
[ インターフェイス タイプ ] を選択します。ここで選択
するタイプはご使用のネットワーク トポロジに応じて
異なりますが、この例では、[ レイヤー 3] の場合の手
順を示します。
3.
[ 設定 ] タブで、[ セキュリティ ゾーン ] ドロップダウ
ン リストから [ 新規ゾーン ] を選択します。[ ゾーン ]
ダイアログの [ 名前 ] で「Untrust」などの名前をつけて
新しいゾーンを定義し、[OK] をクリックします。
4.
[ 仮想ルーター] ドロップダウン リストで、[ デフォル
ト ] を選択します。
5.
IP アドレスをインターフェイスに割り当てるには、
[IPv4] タブを選択してから IP セクションで [ 追加 ] を
クリックし、インターフェイスに割り当てる IP アドレ
スとネットマスク(例 : 208.80.56.100/24)を入力します。
6.
インターフェイスの ping を有効にするには、[ 詳細 ] >
[ その他の情報 ] の順に選択し、[ 管理プロファイル ] ド
ロップダウンを展開して、[ 新規管理プロファイル ] を
選択します。[ 名前 ] フィールドにプロファイル名を入
力し、[Ping] を選択してから [OK] をクリックします。
7.
インターフェイス設定を保存するには、[OK] をクリッ
クします。
内部ネットワークに接続するイ 1.
ンターフェイスを設定します。
[Network] > [ インターフェイス ] の順に選択し、設定
するインターフェイスを選択します。この例では、
Ethernet1/4 を内部インターフェイスとして設定します。
この例のインターフェイ
スは、プライベート IP ア 2.
ドレスを使用するネット
ワーク セグメントに接 3.
続します。プライベート
IP アドレスは外部にルー
ティングできないため、
「NAT」を 設 定 す る 必 4.
要があります。
スタート ガイド
[ インターフェイス タイプ ] ドロップダウン リストから
[ レイヤー 3] を選択します。
[ 設定 ] タブで、[ セキュリティ ゾーン ] ドロップダウン
リストを展開して [ 新規ゾーン ] を選択します。[ ゾーン ]
ダイアログの [ 名前 ] で「Trust」などの名前をつけて新
しいゾーンを定義し、[OK] をクリックします。
ステップ 2 で使用したものと同じ仮想ルーター(この
例ではデフォルト)を選択します。
5.
IP アドレスをインターフェイスに割り当てるには、
[IPv4] タブを選択してから IP セクションで [ 追加 ] を
クリックし、インターフェイスに割り当てる IP アドレ
スとネットマスク(例 : 192.168.1.4/24)を入力します。
6.
インターフェイスの ping を有効にするには、ステップ 2-6
で作成した管理プロファイルを選択します。
7.
インターフェイス設定を保存するには、[OK] をクリッ
クします。
27
ペリメータ セキュリティの確立
スタート ガイド
インターフェイスおよびゾーンの設定(続き)
ステップ 4
DMZ に接続するインターフェ 1.
イスを設定します。
2.
設定するインターフェイスを選択します。
[ インターフェイス タイプ ] ドロップダウン リストから
[ レイヤー 3] を選択します。この例では、Ethernet1/13
を DMZ インターフェイスとして設定します。
3.
[ 設定 ] タブで、[ セキュリティ ゾーン ] ドロップダウン
リストを展開して [ 新規ゾーン ] を選択します。[ ゾーン ]
ダイアログの [ 名前 ] で「DMZ」などの名前をつけて新
しいゾーンを定義し、[OK] をクリックします。
4.
ステップ 2 で使用した仮想ルーター(この例ではデフォ
ルト)を選択します。
5.
IP アドレスをインターフェイスに割り当てるには、
[IPv4] タブを選択してから IP セクションで [ 追加 ] を
クリックし、インターフェイスに割り当てる IP アドレ
スとネットマスク(例 : 10.1.1.1/24)を入力します。
6.
インターフェイスの ping を有効にするには、ステッ
プ 2 - 6 で作成した管理プロファイルを選択します。
7.
インターフェイス設定を保存するには、[OK] をクリッ
クします。
ステップ 5
インターフェイスの設定を保 [ コミット ] をクリックします。
存します。
ステップ 6
フ ァ イ ア ウ ォ ー ル を 配 線 し ストレート ケーブルを使用して、設定したインターフェイ
ます。
スから対応するスイッチまたはルーターにネットワーク セ
グメントごとに接続します。
ステップ 7
インターフェイスがアクティ Web インターフェイスから、[Network] > [ インターフェイ
ブであることを確認します。 ス ] の順に選択し、[ リンク状態 ] 列のアイコンが緑になっ
ていることを確認します。また、[Dashboard] の [ インター
フェイス ] ウィジェットからリンク状態をモニタリングする
こともできます。
28
スタート ガイド
スタート ガイド
ペリメータ セキュリティの確立
基本的なセキュリティ ポリシーのセットアップ
ポリシーにより、ルールを適用してアクションを実行できます。セキュリティ、NAT、Quality
of Service (QoS)、ポリシー ベース フォワーディング (PBF)、復号、アプリケーション オーバーラ
イド、キャプティブ ポータル、サービス拒否 (DoS)、ゾーン プロテクションなど、さまざまな
タイプのポリシー ルールをファイアウォールで作成できます。これらのさまざまなポリシーが
連携することにより、許可、拒否、優先度の設定、転送、暗号化、復号、例外の作成、アクセ
スの認証、接続のリセットなど、必要に応じてネットワークを保護できます。ここでは、基本
的なセキュリティ ポリシーと、デフォルトのセキュリティ プロファイルについて説明します。

セキュリティ ルールの作成

セキュリティ ポリシーのテスト

ネットワーク上のトラフィックのモニタリング
セキュリティ ルールの作成
セキュリティ ポリシーによりセキュリティ ゾーンを参照することで、ネットワーク上のトラ
フィックを許可、制限、および追跡できるようになります。ゾーンごとに信頼度が異なるた
め、暗黙のルールにより 2 つの異なるゾーン間を通過するトラフィックは拒否され、ゾーン内
のトラフィックは許可されます。2 つの異なるゾーン間を通過するトラフィックを許可するに
は、このようなトラフィックに対するセキュリティ ルールを作成する必要があります。
企業のペリメータ セキュリティを確保するための基本的なフレームワークを設定する場合、制
約の少ない、異なるゾーン間のトラフィックを許可するシンプルなセキュリティ ポリシーから
作成すると良いでしょう。後述するように、目標はあくまでもネットワーク ユーザーがアクセ
スする必要のあるアプリケーションが中断してしまうリスクを最小限に抑えながら、ネット
ワーク上のアプリケーションや潜在的な脅威に可視性を与えることです。
ポリシーを定義する場合、すべての送信元ゾーンからすべての宛先ゾーンへのトラフィックを
すべて拒否するようなポリシーを作成すると、暗黙のうちに許可されているゾーン内トラ
フィックが中断してしまうため、そのようなポリシーは作成しないでください。ゾーン内トラ
フィックの場合、送信元ゾーンと宛先ゾーンが同じで、信頼度も同じレベルで共有されている
ため、デフォルトで許可されています。
スタート ガイド
29
ペリメータ セキュリティの確立
スタート ガイド
基本的なセキュリティ ルールの定義
ステップ 1
企業ネットワークのすべての 日常業務に必要なアプリケーションを安全に実行できるよ
ユー ザーに 対して、インタ ー うにするために、インターネットへのアクセスを許可する
ネット アクセスを許可します。 シンプルなルールを作成します。基本的な脅威から保護す
るために、ファイアウォールで使用できるデフォルトのセ
ゾーン : Trust から Untrust
キュリティ プロファイルを関連付けます。
デフォルトでは、「rule1」 1. [Policies] > [ セキュリティ] の順に選択し、[ 追加 ] をク
という名前のセキュリ
リックします。
ティ ルールがファイア 2. [ 全般 ] タブで、ルールの分かりやすい名前を入力し
ウォールに含まれていま
ます。
す。こ の ル ー ル で は、
3. [ 送信元 ] タブで [ 送信元ゾーン ] を [Trust] に設定し
Trust ゾーンから Untrust
ます。
ゾーンへのトラフィック
がすべて許可されていま 4. [ 宛先 ] タブで [ 宛先ゾーン ] を [Untrust] に設定します。
す。このルールを削除す
る、またはゾーンの命名
規則を反映するように
ルールを変更することも
できます。
ポリシー ルールをスキャンして、各ルールの
ゾーンを視覚的に識別するには、ゾーンと同じ
名前のタグを作成します。たとえば、Trust ゾー
ンを緑色で色分けするには、[Objects] > [ タグ ]
の順に選択し、[ 追加 ] をクリックし、[ 名前 ] で
タグに「Trust」という名前を指定し、[ カラー]
で緑色を選択します。
5.
[ サービス /URL カテゴリ ] タブで、ser vice-http と
service-https を選択します。
6.
[ アクション ] タブで以下の手順を実行します。
a. [ アクション設定 ] を [ 許可 ] に設定します。
b. [ プロファイル設定 ] で、[ アンチウイルス ]、[ アン
チスパイウェア ]、[ 脆弱性防御 ]、[URL フィルタリ
ング ] のデフォルト プロファイルを関連付けます。
7.
30
[ オプション ] でセッション終了時のログが有効である
ことを確認します。セキュリティ ルールと一致するト
ラフィックのみがログに記録されます。
スタート ガイド
スタート ガイド
ペリメータ セキュリティの確立
基本的なセキュリティ ルールの定義(続き)
ステップ 2
内部ネットワークのユーザー 1.
が DMZ のサーバーにアクセス
できるようにします。
2.
ゾーン : Trust から DMZ
3.
DMZ サーバーへのアク
セス設定に IP アドレスを
使用する場合、パケット 4.
の元の IP アドレス(NAT 5.
前のアドレス)と NAT 後
のゾーンを常に参照する
ようにしてください。
6.
7.
ステップ 3
[Policies] > [ セキュリティ] セクションで、[ 追加 ] を
クリックします。
[ 全般 ] タブで、ルールの分かりやすい名前を入力し
ます。
[ 送信元 ] タブで [ 送信元ゾーン ] を [Trust] に設定し
ます。
[ 宛先 ] タブで [ 宛先ゾーン ] を [DMZ] に設定します。
[ サービス /URL カテゴリ ] タブで、[ サービス ] が
[application-default] に設定されていることを確認し
ます。
[ アクション ] タブで、[ アクション設定 ] を「許可」に
設定します。
それ以外のオプションは、すべてデフォルト値にして
おきます。
インターネットから DMZ へのインバウンド アクセスを制
限するには、特定サーバーの IP アドレスと、アプリケー
ションで使用するデフォルトのポートのみを許可するルー
ルを設定します。
1. [ 追加 ] をクリックして新しいルールを追加し、分かり
たとえば、外部から webmail サー
やすい名前をつけます。
バーにアクセスするユーザー
2. [ 送信元 ] タブで [ 送信元ゾーン ] を [Untrust] に設定し
のみを許可します。
ます。
ゾーン : Untrust から DMZ
3. [ 宛先 ] タブで [ 宛先ゾーン ] を [DMZ] に設定します。
インターネットから DMZ サー
バ ー へ の ア ク セ ス を、特 定
サーバーの IP アドレスのみに
制限します。
4.
[宛先アドレス] を作成済みのパブリック Web サーバー
のアドレス オブジェクトに設定します。このパブリッ
ク Web サーバーのアドレス オブジェクトは、DMZ か
らアクセスできる Web サーバーのパブリック IP アドレ
ス (208.80.56.11/24) を参照します。
5.
[ アプリケーション ] タブで webmail アプリケーション
を選択します。
[サービス] はデフォルトで [application-default]
に設定されています。
6.
スタート ガイド
[ アクション設定 ] を [ 許可 ] に設定します。
31
ペリメータ セキュリティの確立
スタート ガイド
基本的なセキュリティ ルールの定義(続き)
ステップ 4
DMZ から内部ネットワーク
(Trust ゾーン)へのアクセス
を許可します。リスクを最小
限 に 抑 え る た め に、特 定 の
サーバーと宛先アドレスのト
ラフィックのみを許可しま
す。たとえば、Trust ゾーンの
特定のデータベース サーバー
と通信する必要のあるアプリ
ケーション サーバーが DMZ に
ある場合、特定の送信元と宛先
の間のトラフィックのみを許可
するルールを作成します。
1.
[ 追加 ] をクリックして新しいルールを追加し、分かり
やすい名前をつけます。
2.
[ 送信元ゾーン ] を [DMZ] に設定します。
3.
[ 宛先ゾーン ] を [Trust] に設定します。
4.
DMZ からアクセス可能な Trust ゾーンのサーバーを指
定するアドレス オブジェクトを作成します。
5.
セキュリティ ポリシー ルールの [ 宛先 ] タブで、[ 宛先
アドレス ] を作成済みのアドレス オブジェクトに設定
します。
6.
[ アクション ] タブで以下の手順を実行します。
ゾーン : DMZ から Trust
a. [ アクション設定 ] を [ 許可 ] に設定します。
b. [ プロファイル設定 ] で、[ アンチウイルス ]、[ アン
チスパイウェア ]、[ 脆弱性防御 ] のデフォルト プロ
ファイルを関連付けます。
c. [ その他の設定 ] セクションで、[ サーバー レスポン
ス検査の無効化 ] を選択します。この設定により、
サーバー側レスポンスのアンチウイルスおよびアン
チスパイウェアのスキャンが無効になり、ファイア
ウォールの負荷が軽減されます。
32
スタート ガイド
スタート ガイド
ペリメータ セキュリティの確立
基本的なセキュリティ ルールの定義(続き)
ステップ 5
DMZ サーバーがインターネッ
トから更新や修正プログラム
を入手できるようにします。
たとえば、Microsoft Update サー
ビスを許可します。
1.
新しいルールを追加し、分かりやすい名前をつけます。
2.
[ 送信元ゾーン ] を [DMZ] に設定します。
3.
[ 宛先ゾーン ] を [Untrust] に設定します。
4.
アプリケーション グループを作成し、許可するアプリ
ケーションを指定します。この例では、Microsoft Updates
(ms-updates) と DNS を許可します。
ゾーン : DMZ から Untrust
[サービス] はデフォルトで [application-default]
に設定されています。これにより、これらのア
プリケーションに関連付けられた標準ポートを
使用するアプリケーションのみをファイア
ウォールで許可できます。
ステップ 6
5.
[ アクション設定 ] を [ 許可 ] に設定します。
6.
[ プロファイル設定 ] で、[ アンチウイルス ]、[ アンチ
スパイウェア ]、[ 脆弱性防御 ] のデフォルト プロファ
イルを関連付けます。
デバイスで実行中の設定に対 [ コミット ] をクリックします。
するポリシーを保存します。
セキュリティ ポリシーのテスト
基本ポリシーを効果的に設定できていることを確認するために、セキュリティ ポリシーが評価
されているかどうかテストし、どのセキュリティ ルールがトラフィック フローに適用されてい
るかを判断します。
スタート ガイド
33
ペリメータ セキュリティの確立
スタート ガイド
ポリシーとフローの一致を確認する
フローと一致するポリシー ルールを確認す た と えば、IP ア ド レス が 208.90.56.11 の DMZ サ ー
るには、次の CLI コマンドを使用します。 バーから Microsoft Update サーバーにアクセスする場
test security-policy-match source
<IP_address> destination <IP_address>
destination port <port_number> protocol
<protocol_number>
合、この DMZ サーバーに適用されるポリシー ルール
を確認するには、次のコマンドを実行します。
test security-policy-match source 208.80.56.11
この CLI コマンドで指定する送信元と宛先 destination 176.9.45.70 destination-port 80
protocol 6
の IP アドレスに最も一致するルールが出力
されます。
"Updates-DMZ to Internet" {
from dmz;
source any;
source-region any;
to untrust;
destination any;
destination-region any;
user any;
category any;
application/service[ dns/tcp/any/53
dns/udp/any/53 dns/udp/any/5353
ms-update/tcp/any/80 ms-update/tcp/any/443];
action allow;
terminal yes;
ネットワーク上のトラフィックのモニタリング
基本セキュリティ ポリシーの配置はこれで完了です。次に、アプリケーション コマンド セン
ター (ACC) の統計およびデータ、トラフィック ログ、および脅威のログをレビューしてネット
ワークの動向を観察し、より詳細なポリシーを作成する必要のある場所を特定します。
ポートまたはプロトコルを使用してアプリケーションを識別する従来のファイアウォールとは
異なり、Palo Alto Networks のファイアウォールでは、アプリケーション シグネチャ(App-ID テ
クノロジー)を利用してアプリケーションをモニタリングします。アプリケーション シグネ
チャは、一意のアプリケーション プロパティと関連するトランザクションの特性、ポートまた
はプロトコルの組み合わせに基づいています。そのため、トラフィックで正しいポート/プロト
コルが使用されていても、アプリケーション シグネチャが一致しない場合は、ファイアウォー
ルによりコンテンツへのアクセスが拒否されます。この機能により、アプリケーションの一部
は許可しても、同じアプリケーション内の機能の一部をブロックまたは制限するなど、安全に
アプリケーションを実行できます。たとえば、アプリケーションの Web 参照を許可すると、
ユーザーはインターネット上のコンテンツにアクセスできます。次に、ユーザーが Facebook に
移動してから Facebook の Scrabble をプレイすると、ファイアウォールがアプリケーションのシ
フトを識別し、Facebook と Scrabble を それぞれ個別に認識します。そのため、Facebook アプリ
ケーションをブロックする特定のルールを作成すると、ユーザーは Scrabble へのアクセスが拒
否されますが、Facebook にはアクセスできます。
34
スタート ガイド
スタート ガイド
ペリメータ セキュリティの確立
ネットワーク トラフィックのモニタリング
• 「アプリケーション コマンド センター ACC で使用頻度が最も高いアプリケーションと、リスクの
の使用」。
高いネットワーク アプリケーションをレビューします。
ACC では、ログ情報をグラフィカルに要約され、ネット
ワークを通過するアプリケーションと、それらを使用する
(User-ID が有効な)ユーザー、およびコンテンツの潜在
的なセキュリティへの影響が強調表示されるため、ネット
ワークの状況をリアルタイムに識別できます。この情報を
利用して、不要なアプリケーションをブロックしながら、
安全にアプリケーションを許可し有効にする適切なセキュ
リティ ポリシーを作成できます。
• ネットワーク セキュリティ ルールのどの 例 :
部分を更新/修正し、変更を適用する必要 • スケジュール、ユーザー、またはグループに基づいて、
があるかを判断します。
コンテンツを許可するかどうかを評価します。
• 特定のアプリケーションまたはアプリケーション内の機
能を許可または制御します。
• コンテンツを復号化して検査します。
• 脅 威や 悪用 をス キャン して から コン テンツ を許 可し
ます。
セキュリティ ポリシーをさらに細かく設定し、カスタム
セキュリティ プロファイルを関連付ける方法の詳細は、
「基本的な脅威防御機能の有効化」を参照してください。
• 「ログ ファイルの表示」。
特 に、ト ラ フ ィ ッ ク お よ び 脅 威 の ロ グ を 表 示 し ま す
([Monitor] > [ ログ ])。
トラフィックのログは、セキュリティ ポリシーの定
義およびログ トラフィックの設定の方法により異な
ります。ただし ACC タブでは、ポリシーの設定に関
係なくアプリケーションおよび統計情報が記録され
ます。つまり、ネットワークで許可されているすべ
てのトラフィックが表示されるため、ポリシーで許
可されているゾーン間トラフィックと、暗黙のうち
に許可されているゾーン内トラフィックの両方が含
まれています。
• 「URL フィルタリング ログの解釈」。
スタート ガイド
URL フィルタリング ログをレビューして、アラートおよ
び拒否されたカテゴリ /URL をスキャンします。URL ログ
は、アラート、続行、オーバーライド、またはブロックと
いったアクションに関連付られている URL フィルタリン
グ プロファイルを含むセキュリティ ルールにトラフィッ
クが一致する場合に生成されます。
35
基本的な脅威防御機能の有効化
スタート ガイド
基本的な脅威防御機能の有効化
Palo Alto Networks の次世代ファイアウォールには独特の脅威防御機能が組み込まれており、こ
の機能により、回避、トンネリング、または迂回などの手法を用いた攻撃からネットワークを
保護することができます。ファイアウォールの脅威防御機能には、WildFire サービス、セキュ
リティ プロファイル(アンチウイルス、アンチスパイウェア、脆弱性防御、URL フィルタリン
グ、ファイル ブロッキング、データ フィルタリング機能をサポート)、サービス拒否 (DoS) お
よびゾーン プロテクション機能が含まれます。
脅威防御機能を適用するには、まず 1 つ以上の送信元インターフェイスまたは宛先インター
フェイスを識別するゾーンおよびセキュリティ ポリシーを設定する必要があります。脅威防御
機能を適用するために必要なインターフェイス、ゾーン、およびポリシーを設定する方法につ
いては、「インターフェイスとゾーンの設定」および「基本的なセキュリティ ポリシーのセッ
トアップ」を参照してください。
脅威からネットワークを保護するには、以下の作業から開始します。

WildFire の有効化

脅威を確認するためのトラフィックのスキャン

Web コンテンツへのアクセス制御
36
スタート ガイド
スタート ガイド
基本的な脅威防御機能の有効化
WildFire の有効化
WildFire サービスは、標準機能の一部として組み込まれています。WildFire サービスを使用する
と、ファイアウォールからサンドボックス環境(有害なアクティビティを検出するためのアプ
リケーションの実行環境)に添付ファイルを転送できます。WildFire システムが新しいマル
ウェアを検出すると、マルウェアのシグネチャが自動的に生成され、24 ~ 48 時間以内にアンチ
ウイルスのシグネチャのダウンロードに組み込まれます。脅威防御サブスクリプションがあれ
ば、アンチウイルス シグネチャを更新できます。これには、WildFire によって検出されたシグ
ネチャも含まれます。
WildFire サブスクリプション サービスを購入すると、以下のような利点も得られます。

分単位(15 分ごと)の WildFire シグネチャの更新

高度なファイル タイプ転送(APK、Flash、PDF、Microsoft Office、および Java Applet)

WildFire API を使用したファイルのアップロード

プライベート WF-500 WildFire アプライアンスへのファイルの転送
Portable Executable (PE) ファイルを WildFire クラウドに転送して分析できるように、ファイル
ブロッキング プロファイルを設定することは無料でできますが、プライベート WildFire アプ
ライアンスにファイルを転送するには、WildFire サブスクリプションが必要です。
WildFire の有効化
ステップ 1
デバイスが登録されており、有 1.
効なサポート アカウントと必
要なサブスクリプションを保有 2.
していることを確認します。
『Palo Alto Networks サポート サイト』に移動し、ログ
インして [My Devices] を選択します。
ファイアウォールがリストにあることを確認します。
リストにない場合は、「ファイアウォールの登録」を
参照してください。
3.
スタート ガイド
(任意)「ライセンスおよびサブスクリプションのア
クティベーション」。
37
基本的な脅威防御機能の有効化
スタート ガイド
WildFire の有効化(続き)
ステップ 2
WildFire 転送オプションを設定 1.
します。
[Device] > [セットアップ] > [WildFire] の順に選択し、
[一般設定] を編集します。
2.
(任意)ファイルを転送する [WildFire サーバー] を指
定します。デフォルトでは、ファイアウォールから、
米国でホストされているパブリック WildFire クラウド
にファイルが転送されます。別の WildFire クラウドに
ファイルを転送するには、以下のように新しい値を入
力します。
• プライベート WildFire クラウドに転送するには、
WF-500 WildFire アプライアンスの IP アドレスまたは
FQDN を入力します。
• 日本で稼働しているパブリック WildFire クラウドに
ファイルを転送するには、
「wildfire.paloaltonetworks.jp」と 入 力 し
ます。
ステップ 3
38
3.
WildFire サブスクリプショ
ンがない場合、実行可能
ファイルのみを転送でき
4.
ます。
(任意)ファイアウォールで転送できる特定のファイ
ル タイプの最大ファイル サイズを変更する場合、対応
するフィールドで値を変更します。
ファイルを WildFire に転送する 1.
ようにファイル ブロッキング
プロファイルをセットアップ
します。
2.
[Objects] > [ セキュリティ プロファイル ] > [ ファイル
ブロッキング ] の順に選択し、[ 追加 ] をクリックし
ます。
3.
[ 追加 ] をクリックして転送ルールを追加し、名前を入
力します。
4.
[ アクション ] 列で、[forward] を選択します。
5.
任意のアプリケーションのサポートされているすべて
の フ ァ イ ル タ イ プ が 転 送 さ れ る よ う に、そ の 他 の
フィールドは [any] のままにしておきます。
6.
[OK] をクリックしてプロファイルを保存します。
[OK] をクリックして、変更内容を保存します。
[ 名前 ] フィールドに名前を入力し、必要に応じて [ 説
明 ] フィールドにプロファイルの説明を入力します。
スタート ガイド
スタート ガイド
基本的な脅威防御機能の有効化
WildFire の有効化(続き)
ステップ 4
インターネットへのアクセス 1.
を許可するセキュリティ ポリ
シーにファイル ブロッキング
プロファイルを適用します。 2.
3.
「セキュリティ ルールの作成」の説明に従って、
[Policies] > [ セキュリティ] の順に選択し、既存のポリ
シーを選択するか、新しいポリシーを作成します。
セキュリティ ポリシー内の [アクション] タブをクリッ
クします。
[ プロファイル設定 ] セクションで、ドロップダウンを
クリックし、WildFire の転送のために作成したファイ
ル ブロッキング プロファイルを選択します。プロファ
イルを選択するためのドロップダウンが表示されない
場合、[ プロファイル タイプ ] ドロップダウンから [ プ
ロファイル ] を選択します。
[ コミット ] をクリックします。
ステップ 5
設定を保存します。
ステップ 6
ファイアウォールから WildFire 1.
にファイルが転送されている
ことを確認します。
2.
[Monitor] > [ ログ ] > [ データ フィルタリング ] の順に
選択します。
[ アクション ] 列で以下のアクションを確認します。
• forward — セキュリティ ポリシーに適用されている
ファイル ブロッキング プロファイルによってファ
イルが正常に転送されたことを示します。
• wildfire-upload-success — ファイルが WildFire に送
信されたことを示します。これは、ファイルが信頼
されるファイル署名者によって署名されておらず、
以前に WildFire で分析されていないことを示します。
• wildfire-upload-skip — ファイルがファイル ブロッ
キング プロファイル / セキュリティ ポリシーによっ
て WildFire に送信するのに適格であると識別された
ものの、すでに分析済みであり WildFire による分析
を必要としなかったことを示します。この場合、こ
のアクションは有効な転送アクションであるため、
[ データ フィルタリング ] ログには forward と表示さ
れますが、このファイルはすでに別のセッション
(場 合 に よ っ て は 別 の フ ァ イ ア ウ ォ ー ル)か ら
WildFire クラウドに送信されているため、WildFire に
送信されて分析されることはありません。
3.
スタート ガイド
WildFire ログを表示するには、[Monitor] > [ ログ ] >
[WildFire への送信 ] の順に選択します。新しい WildFire
ログが表示された場合、ファイアウォールは正常に
ファイルを WildFire に転送し、WildFire はファイル分析
レポートを返しています。
39
基本的な脅威防御機能の有効化
スタート ガイド
脅威を確認するためのトラフィックのスキャン
「セキュリティ プロファイル」は、セキュリティ ポリシーにより脅威から保護します。たとえ
ば、アンチウイルス プロファイルをセキュリティ ポリシーに適用し、そのセキュリティ ポリ
シーと一致するすべてのトラフィックにウイルスが存在しないかどうかスキャンすることができ
ます。
以下のセクションでは、基本的な脅威防御設定をセットアップする手順について説明します。

アンチウイルス、アンチスパイウェア、および脆弱性防御のセットアップ

ファイル ブロッキングのセットアップ
アンチウイルス、アンチスパイウェア、および脆弱性防御のセットアップ
すべての Palo Alto Networks の次世代ファイアウォールには、セキュリティ ポリシーに適用でき
る事前定義されたアンチウイルス、アンチスパイウェア、および脆弱性防御プロファイルが付
属します。事前定義されたアンチウイルス プロファイルは 1 つで、default と呼ばれ、プロトコ
ルごとにデフォルトのアクション(HTTP、FTP、および SMB トラフィックのブロック、およ
び SMTP、IMAP、POP3 トラフィックでアラート生成)を使用します。アンチスパイウェアお
よびゾーン プロテクションの事前定義されたプロファイルは以下の 2 つです。


default — デフォルトのアクションがクライアントおよびサーバーのすべてのスパイウェア /
脆弱性防御イベント(重大度 critical、high、および medium)に適用されます。low および
informational イベントは検出しません。
strict — ブロック応答がクライアントおよびサーバーのすべてのスパイウェア / 脆弱性防御
イベント(重大度 critical、high、medium)に適用され、low および informational イベントでは
デフォルトのアクションを使用します。
ネットワークに流れ込むトラフィックに脅威が含まれることのないようにするため、事前定義
されたプロファイルを基本 Web アクセス ポリシーに関連付けます。ネットワーク上のトラ
フィックをモニターしてポリシー ルールベースを拡張し、その後、特定のセキュリティ ニーズ
に対応する詳細なプロファイルを設計できます。
アンチウイルス / アンチスパイウェア / 脆弱性防御のセットアップ
ステップ 1
脅威防御ライセンスがあるこ • 脅威防御ライセンスでは、1 つのライセンスに、アンチウ
とを確認します。
イルス、アンチスパイウェア、および脆弱性防御の全機
能をバンドルしています。
• [Device] > [ ライセンス ] の順に選択して、[ 脅威防御 ] ラ
イセンスがインストールされていることを検証し、有効
期限を確認します。
40
スタート ガイド
スタート ガイド
基本的な脅威防御機能の有効化
アンチウイルス / アンチスパイウェア / 脆弱性防御のセットアップ(続き)
ステップ 2
ステップ 3
最新のアンチウイルス脅威シグ 1.
ネチャをダウンロードします。
[Device] > [ ダイナミック更新 ] の順に選択し、ページ
の下部にある [ 今すぐチェック ] をクリックして最新の
シグネチャを取得します。
2.
[ アクション ] 列で、[ ダウンロード ] をクリックして、
最新のアンチウイルス、アプリケーションおよび脅威
シグネチャをインストールします。
シグネチャの更新をスケジュー 1.
ルします。
[Device] > [ ダイナミック更新 ] の順に選択し、[ スケ
ジュール ] の右側にあるテキストをクリックして、[ ア
ンチウイルス ] と [ アプリケーションおよび脅威 ] のシ
グネチャ更新を自動的に取得します。
アンチウイルスの更新
の 場 合 に は 毎 日、ア プ
リ ケ ー シ ョ ン お よ び 脆 2.
弱性の更新の場合には
毎週 [ ダウンロードおよ
びインストール ] を実行
します。
スタート ガイド
更新の頻度とタイミングを指定し、更新ファイルをダ
ウンロードしてインストールするのか、またはダウン
ロードのみを行うのかを指定します。[ダウンロードの
み ] をオンにする場合は、手動でページを開き、[ アク
ション ] 列の [ インストール ] リンクをクリックしてシ
グネチャをインストールする必要があります。[OK] を
クリックすると、更新がスケジュールされます。コ
ミットは必要ありません。
3.
(任意)[ しきい値 ] フィールドに時間数を入力して、
ダウンロードが実行されるまでのシグネチャの最小存
続時間を指定することもできます。たとえば、「10」
と入力すると、そのシグネチャは、スケジュールに関
係なく、ダウンロードされるまでに少なくとも 10 時間
は存続する必要があります。
4.
HA 設定では、[ ピアと同期 ] オプションをクリックし
て、ダウンロード / インストールの後にコンテンツ更
新と HA ピアを同期することもできます。これによっ
てスケジュール設定がピア デバイスにプッシュされる
ことはないため、各デバイスでスケジュールを設定す
る必要があります。
41
基本的な脅威防御機能の有効化
スタート ガイド
アンチウイルス / アンチスパイウェア / 脆弱性防御のセットアップ(続き)
HA 設定の場合の推奨設定は次のとおりです。
• アクティブ / パッシブの HA — アンチウイルスのシグネチャのダウンロードで MGT ポートを使用す
る場合は、両方のデバイスでスケジュールを設定し、両方のデバイスが別々にダウンロード / インス
トールを実行するようにしてください。ダウンロードでデータ ポートを使用する場合、パッシブ デ
バイスはパッシブ状態になっている間ダウンロードを実行しません。この場合は、両方のデバイスで
スケジュールを設定して、[ ピアと同期 ] オプションを選択します。これにより、どちらのデバイスが
アクティブであっても更新処理が実行され、パッシブ デバイスにプッシュされるようにします。
• アクティブ / アクティブの HA — 両方のデバイスでアンチウイルスのシグネチャのダウンロードに
MGT ポートを使用する場合は、両方のデバイスでダウンロード / インストールをスケジュールします
が、[ ピアと同期 ] オプションは選択しません。データ ポートを使用する場合は、両方のデバイスでシ
グネチャのダウンロードをスケジュールし、[ ピアと同期 ] を選択します。これにより、アクティブ /
アクティブ設定の 1 つのデバイスがアクティブなセカンダリ状態になった場合でも、そのアクティブ
デバイスがシグネチャをダウンロード / インストールしてから、アクティブなセカンダリ デバイスに
シグネチャをプッシュするようにします。
ステップ 4
ステップ 5
42
セキュリティ プロファイルをセ 1.
キュリティ ポリシーに適用し
ます。
[Policies] > [ セキュリティ] の順に選択し、適切なポリ
シーを選択して変更し、[ アクション ] タブをクリック
します。
事前定義されたセキュリ 2.
ティ プロファイルのコ
ピーを基本セキュリティ
ポリシーに関連付けま
す。プロファイルをカス
タマイズする場合 c、こ
の方法により、読み取り
専用の事前定義された
strict または default プロ
ファイルを削除し、カス
タマイズされたプロファ
イルを関連付けることな
く、そのカスタマイズを
行うことができます。
[ プロファイル設定 ] で、有効にする各セキュリティ プ
ロファイルの横にあるドロップダウンをクリックしま
す。この例では、[ アンチウイルス ]、[ 脆弱性防御 ]、お
よび [アンチスパイウェア] のデフォルトを選択します。
設定を保存します。
プロファイルを選択するためのドロップダウン
が表示されない場合は、[ プロファイル タイプ ]
ドロップダウンから [ プロファイル ] を選択し
ます。
[ コミット ] をクリックします。
スタート ガイド
スタート ガイド
基本的な脅威防御機能の有効化
ファイル ブロッキングのセットアップ
「ファイル ブロッキング プロファイル」により、ブロックまたはモニタリングする特定のファ
イル タイプを識別できます。以下のワークフローは、ユーザーがインターネットから実行可能
ファイルをダウンロードできないようにする基本的なファイル ブロッキング プロファイルを
セットアップする方法を示しています。
ファイル ブロッキングの設定
ステップ 1
ファイル ブロッキング プロファ 1.
イルを作成します。
[Objects] > [ セキュリティ プロファイル ] > [ ファイ
ル ブロッキング ] の順に選択し、[ 追加 ] をクリック
します。
2.
ファイル ブロッキング プロファイルの [ 名前 ] に
「Block_EXE」などと入力します。
3.
必要に応じて [ 内容 ] に「ユーザーが Web サイトから
exe ファイルをダウンロードできないようにする」な
どと入力します。
スタート ガイド
43
基本的な脅威防御機能の有効化
スタート ガイド
ファイル ブロッキングの設定(続き)
ステップ 2
ファイル ブロッキングのオプ 1.
ションを設定します。
2.
[追加] をクリックしてプロファイル設定を定義します。
3.
ファイル ブロッキングを適用する [ アプリケーション ]
を設定するか、[any] に設定されたままにします。
4.
ブロックする [ ファイル タイプ ] を設定します。たと
えば、実行可能ファイルのダウンロードをブロックす
るには、[exe] を選択します。
5.
ファイルをブロックする [ 方向 ]([download]、
[upload]、または [both])を指定します。
6.
[ アクション ] を以下のいずれかに設定します。
[ 名前 ] に「BlockEXE」などと入力します。
• continue —(Web トラフィックのみ)選択された基
準に適合するファイルは、カスタマイズ可能な応答
ページをトリガーします。このページでユーザー
は、ダウンロード / アップロードを続行するため、
[ 続行 ] をクリックする必要があります。このオプ
ション(ステップ 4)を使用する場合は、関連付け
られたインターフェイスで応答ページを有効にする
必要があります。
forward および
continue-and-forward
アクションは、ファイル
を WildFire に転送する場
合に限定のアクション
です。
• block — 選択した条件に一致するファイルのダウン
ロード / アップロードがブロックされます。
• alert — 選択した条件に一致するファイルは許可され
ますが、データ フィルタリング ログにログ エント
リが生成されます。
7.
ステップ 3
コンテンツへのアクセスを許 1.
可するセキュリティ ポリシー
にファイル ブロッキング プロ
ファイルを適用します。
2.
3.
[OK] をクリックしてプロファイルを保存します。
「セキュリティ ルールの作成」の説明に従って、
[Policies] > [ セキュリティ] の順に選択し、既存のポリ
シーを選択するか、新しいポリシーを作成します。
セキュリティ ポリシー内の [アクション] タブをクリッ
クします。
[ プロファイル設定 ] セクションで、ドロップダウンを
クリックし、作成したファイル ブロッキング プロファ
イルを選択します。
プロファイルを選択するためのドロップダウン
が表示されない場合は、[ プロファイル タイプ ]
ドロップダウンから [ プロファイル ] を選択し
ます。
44
スタート ガイド
スタート ガイド
基本的な脅威防御機能の有効化
ファイル ブロッキングの設定(続き)
ステップ 4
ステップ 5
フ ァ イ ル ブ ロ ッ キ ン グ プ ロ 1.
ファイルを [continue] アクショ
ンに関連付ける各インターフェ
イスの管理プロファイルで、応
答ページを有効にします。
2.
[Network] > [ ネットワーク プロファイル ] > [ インター
フェイス管理 ] の順に選択します。次に、編集するイ
ンターフェイス プロファイルを選択するか、[ 追加 ] を
クリックし、新しいプロファイルを作成します。
3.
[OK] をクリックして、インターフェイス管理プロファ
イルを保存します。
4.
[Network] > [ インターフェイス ] の順に選択し、プロ
ファイルを適用するインターフェイスを選択します。
5.
[詳細] > [その他の情報] タブで、作成したインターフェ
イス管理プロファイルを選択します。
6.
[OK] をクリックして、インターフェイス設定を保存し
ます。
[ 応答ページ ] およびインターフェイスに必要な他の管
理サービスを選択します。
ファイル ブロッキング設定をテ ファイアウォールの Trust ゾーンのクライアント PC にアク
ストします。
セスし、Untrust ゾーンの Web サイトから .exe ファイルのダ
ウンロードを試みます。ファイル ブロッキング プロファ
イルで定義したアクションに基づいて、ファイルが予想ど
おりにブロックされることを確認します。
• アクションとして [alert] を選択した場合は、データ フィ
ルタリング ログを調べ、その要求のログ エントリがあ
ることを確認します。
• アクションとして [block] を選択した場合は、[ ファイ
ル ブロッキング ブロック ページ ] 応答ページが表示さ
れます。
• アクションとして [continue] を選択した場合は、[ ファ
イル ブロッキング続行ページ ] 応答ページが表示されま
す。[続行 ] をクリックしてファイルをダウンロードしま
す。以下に、デフォルトの [ ファイル ブロッキング続行
ページ ] を示します。
スタート ガイド
45
基本的な脅威防御機能の有効化
スタート ガイド
Web コンテンツへのアクセス制御
「URL フィルタリング」では、ネットワーク上の Web トラフィックを可視化し、制御すること
ができます。URL フィルタリングが有効になっていると、ファイアウォールは Web トラフィッ
ク情報を 1 つ以上のカテゴリに分類できます(カテゴリは約 60 個あります)。属するカテゴリ
に基づいて、トラフィックの処理(許可、ブロック、またはログへの記録(アラート))を指
定するポリシーを作成できます。以下のワークフローは、URL フィルタリングで PAN-DB を有
効にする方法、セキュリティ プロファイルを作成する方法、およびセキュリティ プロファイル
をセキュリティ ポリシーに適用して、基本的な URL フィルタリング ポリシーを適用する方法
を示しています。
URL フィルタリングの設定
ステップ 1
ステップ 2
46
URL フィルタリングのライセン 1.
ス情報を確認します。
URL フィルタリング ライセンスを取得してインストー
ルします。詳細は、「ライセンスおよびサブスクリプ
ションのアクティベーション」を参照してください。
2.
[Device] > [ ライセンス ] を選択し、URL フィルタリン
グ ライセンスが有効になっていることを確認します。
シード データベースをダウン 1.
ロードして、ライセンスをア
クティベーションします。
シード データベースをダウンロードするには、[ ライ
センス ] ページの [PAN-DB URL Filtering] セクションの
[ ダウンロードの状態 ] の横にある [ ダウンロード ] を
クリックします。
2.
地域(北アメリカ、ヨーロッパ、APAC、日本)を選択
し、[OK] をクリックしてダウンロードを開始します。
3.
ダウンロードが完了したら、[ アクティベーション ] を
クリックします。
スタート ガイド
スタート ガイド
基本的な脅威防御機能の有効化
URL フィルタリングの設定(続き)
ステップ 3
ステップ 4
URL フィルタリング プロファイ 1.
ルを作成します。
[Objects] > [ セキュリティ プロファイル ] > [URL フィ
ルタリング ] の順に選択します。
デフォルトの URL フィ 2.
ルタリング プロファイ
ル で は、リ ス ク が 高
く、脅 威 に な り や す い 3.
コンテンツがブロック
さ れ る た め、新 し い プ
ロファイルを作成する
場 合、デ フ ォ ル ト 設 定
を 保 持 す る た め に、こ
のプロファイルをコ
ピーします。
デフォルト プロファイルを選択し、[ コピー] をクリッ
クします。新しいプロファイルには default-1 という名
前が付けられます。
Web コンテンツへのアクセスを 1.
制御する方法を定義します。
以下のように、可視化または制御する各カテゴリで [ ア
クション ] 列から値を選択します。
どのトラフィックを制御すべ
きかが明確でない場合、カテ
ゴリ(デフォルトでブロック
されているカテゴリは除く)
にアラートを設定することを
検討してください。ファイア
ウォールの可視化ツール
(ACC やアプリケーション ス
コ ー プ な ど)を 使 用 し て、特
定のグループに制限する Web
カテゴリや、完全にブロック
する Web カテゴリを決定でき
ま す。そ の 後、戻 っ て プ ロ
ファイルを変更し、目的に合
わせてカテゴリをブロックま
たは許可できます。
• トラフィックのカテゴリは問題とならない場合(つ
まり、ブロックもログへの記録もしない場合)、
[allow] を選択します。
新しいプロファイルを選択して、名前を変更します。
• カテゴリ内のサイトへのトラフィックを可視化する
場合は、[alert] を選択します。
• 特定のカテゴリへのアクセスを試みるユーザーに対
して、アクセスしようとしているコンテンツは正常
に表示されない可能性があることを警告する応答
ページを表示するには、[continue] を選択します。
• 関連付けられたポリシーに適合するトラフィックに
アクセスできないようにするには、[block] を選択し
ます(この場合はログ エントリも生成されます)。
また、「URL フィルタリング」
プロファイルを定義するとき
に、カテゴリに関係なく常に許
可またはブロックする特定のサ
イ ト を 定 義 し た り、セ ー フ
サーチ オプションを有効にし
て検索結果をフィルタリングし
たりすることもできます。
2.
スタート ガイド
[OK] をクリックして、URL フィルタリング プロファイ
ルを保存します。
47
基本的な脅威防御機能の有効化
スタート ガイド
URL フィルタリングの設定(続き)
ステップ 5
ステップ 6
ステップ 7
48
URL フィルタリング プロファ 1.
イルをセキュリティ ポリシー 2.
に適用します。
[Policies] > [ セキュリティ] の順に選択します。
変更するポリシー名を選択し、次に [ アクション ] タブ
をクリックします。
3.
セキュリティ プロファイルを初めて定義する場合、
[ プロファイル タイプ ] ドロップダウンから [ プロファ
イル ] を選択します。
4.
[ プロファイル設定 ] リストで、作成したプロファイル
を [URL フィルタリング ] ドロップダウンから選択しま
す。プロファイルを選択するためのドロップダウンが
表示されない場合、[ プロファイル タイプ ] ドロップダ
ウンから [ プロファイル ] を選択します。
5.
[OK] をクリックしてプロファイルを保存します。
6.
設定を [ コミット ] します。
Web トラフィックをフィルタリ 1.
ングする各インターフェイス
の管理プロファイルの応答
ページを有効にします。
[Network] > [ ネットワーク プロファイル ] > [ インター
フェイス管理 ] の順に選択します。次に、編集するイ
ンターフェイス プロファイルを選択するか、[ 追加 ] を
クリックし、新しいプロファイルを作成します。
2.
[ 応答ページ ] およびインターフェイスに必要な他の管
理サービスを選択します。
3.
[OK] をクリックして、インターフェイス管理プロファ
イルを保存します。
4.
[Network] > [ インターフェイス ] の順に選択し、プロ
ファイルを適用するインターフェイスを選択します。
5.
[詳細] > [その他の情報] タブで、作成したインターフェ
イス管理プロファイルを選択します。
6.
[OK] をクリックして、インターフェイス設定を保存し
ます。
設定を保存します。
[ コミット ] をクリックします。
スタート ガイド
スタート ガイド
基本的な脅威防御機能の有効化
URL フィルタリングの設定(続き)
ステップ 8
URL フィルタリング設定をテス ファイアウォールの Trust ゾーンのクライアント PC にアク
トします。
セスし、ブロックされたカテゴリのサイトへのアクセスを
試みます。URL フィルタリング プロファイルで定義した
アクションに基づいて、URL フィルタリングが適用される
ことを確認します。
• アクションとして [alert] を選択した場合は、データ フィ
ルタリング ログを調べ、その要求のログ エントリがあ
ることを確認します。
• [continue] アクションを選択した場合は、[URL フィルタ
リング続行とオーバーライド ページ ] 応答ページが表示
されます。[ 続行 ] してサイトを開きます。
• アクションとして [block] を選択した場合は、以下のよう
に、[URL フィルタリングおよびカテゴリ一致ブロック
ページ ] 応答ページが表示されます。
詳細情報について
組織を脅威から保護する方法の詳細は、「脅威防御」を参照してください。暗号化された
(SSH または SSL)トラフィックをスキャンする方法の詳細は、「復号」を参照してください。
Palo Alto Networks 製品で識別可能な脅威およびアプリケーションについての詳細は、以下のリ
ンク先にアクセスしてください。

『Applipedia』— Palo Alto Networks で識別できるアプリケーションについて詳細に説明してい
ます。

『Threat Vault』— Palo Alto Networks 製品で識別可能な脅威の一覧が掲載されています。脆弱
性、スパイウェア、またはウイルスを条件にして検索できます。脅威についての詳細は、ID
番号の横にある詳細アイコンをクリックしてください。
スタート ガイド
49
ファイアウォールのデプロイメントのベスト プラクティス
スタート ガイド
ファイアウォールのデプロイメントのベスト プラクティス
これで、ネットワークにファイアウォールを統合し、基本的なセキュリティ機能を有効化す
ることができました。高度な機能の設定を開始できます。以下に、考慮すべき推奨事項を示
します。

使用可能なさまざまな「管理インターフェイス」と、管理インターフェイスへのアクセス
および使用方法について学習します。

「高可用性」の設定 — 高可用性 (HA) は、2 つのファイアウォールを 1 つのグループ内に配
置して、ネットワーク上の単一障害点を回避するために 2 つのファイアウォールの設定を
同期する設定です。ファイアウォール ピア間のハートビート接続では、ピアがダウンした
場合シームレスにフェイルオーバーを実行できます。2 つのデバイス クラスタでファイア
ウォールを設定すると冗長性が得られるため、ビジネス継続性を確保できます。

「マスター キーの設定」— すべての Palo Alto Networks ファイアウォールには、ファイア
ウォール上の管理インターフェイスにアクセスする場合に、管理者を認証するために使用
する秘密鍵を暗号化するデフォルトのマスター キーがあります。キーの安全を保護するた
め、マスター キーはファイアウォールごとに一意に設定することをお勧めします。

「ファイアウォール管理者の管理」— すべての Palo Alto Networks ファイアウォールおよび
アプライアンスでは、デフォルトの管理アカウント (admin) が事前設定されています。この
アカウントでは、デバイスに対する読み取りと書き込みのフル アクセス権(スーパーユー
ザー アクセス権としても知られる)を提供します。ベスト プラクティスとして、ファイア
ウォールの管理機能またはレポート機能へのアクセス権を必要とするユーザーごとに別個
の管理アカウントを作成します。これにより、無権限での設定(または変更)からデバイ
スを保護する能力を高め、個々の管理者のアクションをログに記録することができます。

User-ID の有効化 (User-ID) — User-ID は Palo Alto Networks の次世代のファイアウォールの機
能で、個々の IP アドレスの代わりにユーザーとグループに基づいてポリシーを作成し、レ
ポートを実行できます。

「復号」の有効化 — Palo Alto Networks ファイアウォールでは、可視化、制御、および詳細
なセキュリティのためにトラフィックを復号化および検査する機能を提供します。ファイ
アウォールで復号化を使用すると、悪意のあるコンテンツのネットワークへの侵入や、機
密コンテンツが暗号化されたトラフィックまたはトンネルされたトラフィックとして隠ぺ
いされ、ネットワーク外に流出することを防止することができます。

「パッシブ DNS 収集を有効にして脅威インテリジェンスを向上する」— ファイアウォール
が、パッシブ DNS センサーとして機能し、選択した DNS 情報を Palo Alto Networks に送信
して分析できるようにするには、このオプトイン機能を有効にします。これにより、脅威
インテリジェンスと脅威防御機能が向上します。

「ネットワークをレイヤー 4 およびレイヤー 7 回避から保護するためのベスト プラクティ
ス」に従います。
50
スタート ガイド
デバイス管理
管理者は、Web インターフェイス、CLI、および API 管理インターフェイスを使用して、Palo
Alto Networks のファイアウォールを設定、管理、およびモニタリングすることができます。特
定のタスクまたは許可を特定の管理者に委任するために、管理インターフェイスに対するロー
ルベースの管理アクセス権限をカスタマイズできます。管理インターフェイスの使用方法や管
理者ロールのカスタマイズ方法などのデバイス管理オプションの詳細は、以下のトピックを参
照してください。

管理インターフェイス

ファイアウォール管理者の管理

リファレンス : Web インターフェイス管理者のアクセス権限

リファレンス : Palo Alto Networks のデバイスが使用するポート番号

ファイアウォールの工場出荷時設定へのリセット
デバイス管理
51
管理インターフェイス
デバイス管理
管理インターフェイス
PAN-OS ファイアウォールおよび Panorama には、Web インターフェイス、コマンド ライン イン
ターフェイス (CLI)、および XML ベースの管理 API という 3 つのユーザー インターフェイスが
用意されています。各デバイス管理インターフェイスへのアクセス方法とその使用開始法の詳
細は、以下のトピックを参照してください。

「Web インターフェイスの使用」: Web インターフェイスから、比較的簡単に管理タスクを実
行し、レポートを生成します。このグラフィカル インターフェイスでは、HTTPS を使用し
てファイアウォールにアクセスできます。これは、管理タスクを実行するための最適な方
法です。

「コマンド ライン インターフェイス (CLI) の使用」: コマンドを連続して入力し一連のタス
クを実行します。CLI は、2 つのコマンド モードをサポートする必要最小限の機能を備えた
インターフェイスで、各モードにはコマンドとステートメントの独自の階層があります。コ
マンドのネスト構造と構文に慣れると、CLI による応答時間の短縮と、効率的な管理が可能
になります。

「XML API の使用」: 操作を合理化し、内部的に開発された既存のアプリケーションやリポ
ジトリと統合します。XML API は、HTTP/HTTPS 要求および応答を使用して実装される
Web サービスとして提供されます。
52
デバイス管理
デバイス管理
管理インターフェイス
Web インターフェイスの使用
以下のトピックでは、ファイアウォールの Web インターフェイスの使用を開始する方法につい
て説明します。Web インターフェイスで使用可能なタブおよびフィールドの詳細は、『Web イ
ンターフェイス リファレンス ガイド』を参照してください。

Web インターフェイスの起動

Web インターフェイスのナビゲート

変更のコミット

設定ページの使用

必須フィールド

トランザクションのロック
Web インターフェイスの起動
PAN-OS ファイアウォールおよび Panorama の Web インターフェイスへのアクセスでは、以下の
Web ブラウザがサポートされています。

Internet Explorer 7+

Firefox 3.6+

Safari 5+

Chrome 11+
インターネット ブラウザを起動し、ファイアウォールの IP アドレスを入力します。認証情報を
入力します。ファイアウォールに初めてログインする場合は、デフォルト値「admin」を [ 名前 ]
と [ パスワード ] の両方のフィールドに入力します。
特定のページの使用方法に関する情報やページ上のフィールドとオプションの説明を表示する
には、ページの右上領域にあるヘルプアイコン
をクリックしてオンライン ヘルプ シス
テムを開きます。ページの状況依存のヘルプが表示されます。さらにヘルプアイコンをクリッ
クすると、ヘルプのナビゲーション ペインが表示されます。このペインにはすべてのヘルプの
コンテンツを参照および検索するオプションが表示されます。
Web インターフェイスのナビゲート
Web インターフェイスの使用時には、以下の規則が適用されます。

一般的な機能カテゴリのメニュー項目を表示するには、ブラウザ ウィンドウの上部近くにあ
る [Objects] や [Device] など、該当するタブをクリックします。
デバイス管理
53
管理インターフェイス
デバイス管理

パネルを表示するには、サイド メニューで項目をクリックします。

サブメニュー項目を表示するには、項目の左にある
アイコンをクリックします。サブメ
ニュー項目を非表示にするには、項目の左にある
アイコンをクリックします。




54
ほとんどの設定ページで、[ 追加 ] をクリックして新規項目を作成できます。
1 つ以上の項目を削除するには、項目のチェック ボックスをオンにして [ 削除 ] をクリックし
ます。ほとんどの場合、[OK] をクリックして確認するか、[ キャンセル ] をクリックして削
除をキャンセルするよう求めるメッセージが表示されます。
一部の設定ページでは、項目のチェック ボックスをオンにして [ コピー] をクリックすると、
選択した項目と同じ情報で新規項目を作成できます。
項目を変更するには、下線の付いたリンクをクリックします。
デバイス管理
デバイス管理

管理インターフェイス
タスクの現在のリストを表示するには、ページの右下隅の [タスク] アイコンをクリックしま
す。[ タスク マネージャ] ウィンドウが開き、ステータス、開始時刻、関連付けられたメッ
セージ、およびアクションと共にタスクのリストを表示します。[ 表示 ] ドロップダウンを使
用してタスクのリストをフィルタリングします。

Web インターフェイス言語は、特定の優先言語が定義されていない場合、デバイスを管理し
ているコンピュータの現在の言語に従います。たとえば、ファイアウォールの管理に使用す
るコンピュータのロケールがスペイン語の場合、そのファイアウォールにログインするとき
の Web インターフェイスはスペイン語で表示されます。

コンピュータのロケールに関係なく所定のアカウントでいつも使用する言語を指定するに
は、ページの右下にある [ 言語 ] アイコンをクリックして [ 言語設定 ] ウィンドウを開きます。
ドロップダウンをクリックして目的の言語を選択し、[OK] をクリックして変更を保存します。


変更できる情報を表示するページ(たとえば、[Device] タブの [セットアップ] ページ)で、
セクションの右上隅のアイコンをクリックして、設定を編集します。
設定を行った後は、[OK] または [Save] をクリックして変更を保存する必要があります。[OK]
をクリックすると、現在の「候補」設定が更新されます。
デバイス管理
55
管理インターフェイス
デバイス管理
変更のコミット
Web インターフェイスの上部で [ コミット ] をクリックして、[ コミット ] ダイアログ ボックス
を開きます。
[ コミット ] ダイアログ ボックスでは、以下のオプションを使用できます。必要な場合は、[ 詳細 ]
リンクをクリックして、以下のオプションを表示します。

デバイスとネットワーク設定を含める — コミット操作にデバイスおよびネットワークの設定
変更を含めます。

共有オブジェクト設定を含める —(マルチ仮想システム ファイアウォールのみ)コミット操
作に共有オブジェクトの設定変更を含めます。

ポリシーとオブジェクト設定を含める —(非マルチ仮想システム ファイアウォールのみ)コ
ミット操作にポリシーとオブジェクトの設定変更を含めます。

仮想システム設定を含める — すべての仮想システムを含めるか、[1 つ以上の仮想システムを
選択します ] を選択します。

変更内容の確認 — 候補設定で提案される変更点が現在の実行中の設定と比較表示される 2 ペ
イン ウィンドウを表示するには、このボタンをクリックします。表示する行数を選択する
か、すべての行を表示できます。変更点は、追加、修正、または削除された項目に応じて色
分けされます。
56
デバイス管理
デバイス管理
管理インターフェイス
設定ページの使用
設定ページのテーブルには、ソートおよび列を選択するオプションが含まれます。列ヘッダー
をクリックしてその列をソートしてから、もう一度クリックしてソート順序を変更します。任
意の列の右にある矢印をクリックし、表示する列を選択するために、チェックボックスをオン
にします。
必須フィールド
必須フィールドは、淡い黄色の背景で表示されます。フィールドの入力領域をポイントまたは
クリックすると、フィールドが必須であることを示すメッセージが表示されます。
トランザクションのロック
Web インターフェイスは複数の管理者に対応しており、ある管理者が現在の一連のトランザク
ションをロックすると、別の管理者はロックが解除されるまで設定変更やコミット操作ができ
なくなります。以下のタイプのロックがサポートされています。

コンフィグ ロック — 他の管理者が設定を変更できないようにブロックします。このタイプの
ロックは、グローバルに設定することも、1 つの仮想システムに設定することもできます。
このロックを解除できるのは、ロックを設定した管理者またはシステムのスーパーユーザー
だけです。

コミット ロック — すべてのロックが解除されるまで他の管理者が変更をコミットできないよ
うにブロックします。このタイプのロックでは、2 人の管理者が同時に変更を行い、2 番目
の管理者が変更を完了させる前に最初の管理者が変更を完了させてコミットするときに生じ
る可能性がある競合を回避します。ロックは、ロックを適用した管理者によって現在の変更
がコミットされたときに解除されます。または手動で解除することもできます。
すべての管理者は、ロック ウィンドウを開いて、ロックされている現在のトランザクションを
それぞれのタイムスタンプと共に表示できます。
デバイス管理
57
管理インターフェイス
デバイス管理
トランザクションをロックするには、上部のバーにあるロック解除アイコン
をクリックし
て [ ロック ] ダイアログ ボックスを開きます。[ ロック設定 ] をクリックし、ドロップダウン リ
ストからロックの範囲を選択して [OK] をクリックします。必要に応じてロックを追加し、[ 閉
じる ] をクリックして [ ロック ] ダイアログ ボックスを閉じます。
トランザクションがロックされて、上部のバーにあるアイコンがロック アイコンに変わり、
ロックされている項目の数がかっこ内に表示されます。
トランザクションのロックを解除するには、上部のバーにあるロック アイコン をクリック
して [ ロック ] ウィンドウを開きます。解除するロックの
アイコンをクリックし、[ はい ] を
クリックして確定します。[閉じる] をクリックして、[ロック] ダイアログ ボックスを閉じます。
コミット ロックを自動実施するには、[Device] タブの [ セットアップ ] ページで、[ 管理 ] 領域
の [ コミット ロックの自動実施 ] チェック ボックスをオンにします。
58
デバイス管理
デバイス管理
管理インターフェイス
コマンド ライン インターフェイス (CLI) の使用
PAN-OS CLI により、ファイアウォールおよび Panorama のデバイスにアクセスし、状態と設定
情報を表示し、設定を変更することができます。PAN-OS CLI には、SSH や Telnet によって、ま
たはコンソールから直接アクセスできます。
以下のトピックでは、PAN-OS CLI にアクセスする方法と PAN-OS CLI の使用方法を説明します。

PAN-OS CLI へのアクセス

操作モードと設定モード
CLI の詳細は、『PAN-OS Command Line Interface Reference Guide(PAN-OS コマンド ライン インター
フェイス リファレンス ガイド)』を参照してください。
PAN-OS CLI へのアクセス
操作を開始する前に、ファイアウォールがインストールされており、SSH、Telnet、またはコン
ソール直接接続が確立されていることを確認してください。
コンソール直接接続には、以下の設定を使用します。
• データ速度 : 9600
• データ ビット : 8
• パリティ: なし
• ストップ ビット : 1
• フロー制御 : なし
PAN-OS CLI へのアクセス
1.
コンソール接続を開きます。
2.
管理者のユーザー名を入力します。デフォルトは admin です。
3.
管理者のパスワードを入力します。デフォルトは admin です。
4.
PAN-OS CLI が操作モードで開き、CLI プロンプトが表示されます。
username@hostname>
デバイス管理
59
管理インターフェイス
デバイス管理
操作モードと設定モード
ログインすると、PAN-OS CLI は操作モードで開きます。操作モードと設定モードは、いつでも
切り替えることができます。システムの状態の表示、PAN-OS CLI への移動、設定モードへの切
り替えには、操作モードを使用します。設定階層の表示と変更には、設定モードを使用します。

操作モードから設定モードに切り替えるには、configure コマンドを使用します。
username@hostname> configure
Entering configuration mode
[edit]
username@hostname#

設定モードを終了して操作モードに戻るには、quit または exit コマンドを使用します。
username@hostname# quit
Exiting configuration mode
username@hostname>

設定モードの状態のまま操作モードのコマンドを入力するには、run コマンドを使用します。
例:
username@hostname# run ping host 1.1.1.2
PING 1.1.1.1 (1.1.1.1) 56(84) bytes of data
...
username@hostname#

操作モード コマンドを特定の VSYS に向けて発行するには、ターゲット VSYS を以下のコマ
ンドを使用して指定します。
username@hostname# set system setting target-vsys <vsys_name>
60
デバイス管理
デバイス管理
管理インターフェイス
XML API の使用
Palo Alto Networks XML API では、標準の HTTP 要求を使用してデータを送受信しており、デバ
イス上の複数のタイプのデータにアクセスできます。そのため容易に他のシステムと統合した
り、そのシステムで使用したりすることができます。ファイアウォールまたは Panorama の設定
の表示、XML 形式でのレポート データの抽出、および操作コマンドの実行には、XML ベース
の管理 API を使用します。API 呼び出しは、cURL や wget などのコマンドライン ユーティリ
ティから直接実行したり、RESTful サービスをサポートする任意のスクリプトまたはアプリ
ケーション フレームワークを使用して実行することができます。コマンド ライン ツールで API
を使用する場合は、HTTP GET と POST の両方のメソッドがサポートされます。
XML API を使用するには、API キーを生成する必要があります。API キーにより、ファイア
ウォール、アプリケーション、または Panorama に対してユーザーを認証します。API キーを生
成した後は、そのキーを使用して、デバイス設定と操作タスクを実行し、レポートおよびログ
を取得し、ファイルのインポートとエクスポートを行うことができます。API キーの生成ス
テップについては、「API キーの生成」を参照してください。
以下の表に、API 要求の URL 構造を示します。
PAN-OS バージョン
XML API の URL 構造
PAN-OS 4.1.0 より前
http(s)://hostname/esp/restapi.esp?request-parameters-values
PAN-OS 4.1.0 以降
http(s)://hostname/api/?request-parameters-values
URL 構造の項目の定義 :
• hostname — デバイスの IP アドレスまたはドメイン名。
• request-parameters-values — アンパサンド (&) で区切られた一連の複数の ‘parameter=value’ のペア。
これらの値は、標準または XML 形式のキーワードまたはデータ値のいずれかです(応答データ
は常に XML 形式です)。
PAN-OS、User-ID、および WildFire 製品用の API があります。API インターフェイスの使用方法
についての詳細は、『PAN-OS XML API Usage Guide』(英語)を参照してください。スクリプ
トを開発するためにオンライン コミュニティにアクセスするには、以下にアクセスしてくださ
い。『https://live.paloaltonetworks.com/community/devcenter』。
API キーの生成
API を使用してファイアウォールまたはアプリケーションを管理する場合は、すべての API 呼
び出しを認証するために API キーが必要です。API キーの生成には管理者アカウントの資格情
報が使用されます。
ベスト プラクティスとして、XML ベースの管理用に別個の管理者アカウントを作成します。
デバイス管理
61
管理インターフェイス
デバイス管理
API キーの生成
ステップ 1
ステップ 2
管理者アカウントを作成し
ます。
API キーを要求します。
5.
Web インターフェイスの [Device] > [ 管理者 ] で、[ 追
加 ] をクリックします。
6.
管理者のログイン名を [ 名前 ] フィールドに入力し
ます。
7.
管理者のパスワードを [ パスワード ] フィールドに入力
し、確認します。
8.
[OK]、[ コミット ] の順にクリックします。
以下の URL の hostname、username、および password の各パ
ラメータを、管理者アカウントの資格情報の該当する値で
置き換えます。
http(s)://hostname/api/?type=keygen&user=username&pas
sword=password
API キーは XML ブロックに表示されます。例 :
<response status="success">
<result>
<key>0RgWc42Oi0vDx2WRUIUM6A</key>
</result>
</response>
ステップ 3
62
(任意)API キーを無効にする 1.
か、または変更します。
[Device] > [ 管理者 ] で、その API キーに関連付けられ
ている管理者アカウントを開きます。
PAN-OS 4.1.0 以降のリリースで 2.
は、同じ管理者アカウントの
認証情報を使用して API キー 3.
を生成すると、毎回一意の API
キーが返され、そのすべての
キーが有効になります。
管理者アカウントの新しい [ パスワード ] を入力して確
認します。
管理者アカウントに関連付け 4.
られているパスワードを変更
することにより、その管理者
アカウントに関連付けられて
いる API キーを無効にしてか
ら変更する方法を選択できま
す。以前の認証情報を使用し
て生成された API キーは、す
べて有効ではなくなります。
(任意)更新された管理者アカウントの認証情報を
使用して、新しい API キーを生成します。ステップ 2
を参照してください。
[OK]、[ コミット ] の順にクリックします。
パスワードの変更前に管理者アカウントに関連付けら
れていたすべての API キーは、コミットするときに無
効になります。
デバイス管理
デバイス管理
管理インターフェイス
API キーの生成(続き)
API キーを使用したワークフローの例 :
以下のように、Web ブラウザに適切な値を指定した URL を入力することにより、API キーを要求します。
https://10.xx.10.50/esp/restapi.esp?type=keygen&user=admin&password=admin
URL を入力すると、API キーが含まれる XML ブロックが表示されます。
<response status="success">
<result>
<key>0RgWc42Oi0vDx2WRUIUM6A</key>
</result>
</response>
引き続き API キーを使用して API 要求を作成します。たとえば、レポートを生成するには以下のように
指定します。
https://10.xx.10.50/esp/restapi.esp?type=report&reporttype=dynamic&reportname
=top-app-summary&period=last-hour&topn=5&key=0RgWc42Oi0vDx2WRUIUM6A=
デバイス管理
63
ファイアウォール管理者の管理
デバイス管理
ファイアウォール管理者の管理
すべての Palo Alto Networks ファイアウォールおよびアプライアンスには、デフォルトの管理アカ
ウント (admin) が事前設定されています。このアカウントには、デバイスに対する読み取りと書き
込みのフル アクセス権(スーパーユーザー アクセス権としても知られる)が付与されています。
ベスト プラクティスとして、ファイアウォールの管理機能またはレポート機能へのアクセス権
を必要とするユーザーごとに別個の管理アカウントを作成します。これにより、無権限での設
定(または変更)からデバイスを保護する能力を高め、個々の管理者のアクションをログに記
録することができます。
以下のトピックでは、管理アカウントをセットアップするためのさまざまな方法について説明
し、基本的な管理アクセス権限のセットアップ手順を示します。

管理ロール

管理認証

管理アカウントの作成
管理ロール
管理者アカウントの設定方法は、組織内でのセキュリティ要件、統合可能な既存の認証サービ
スがあるかどうか、および必要な管理ロールの種類に応じて異なります。ロールにより、関連
付けられた管理者のシステムに対するアクセス権のタイプを定義します。次の 2 つのタイプの
ロールを割り当てることができます。

動的ロール —「スーパーユーザー」、「スーパーユーザー(読み取り専用)」、「デバイス
の管理者」、「デバイスの管理者(読み取り専用)」、「仮想システム管理者」、および
「仮想システム管理者(読み取り専用)」にファイアウォールへのアクセスを付与する組み
込みロール。ダイナミック ロールの場合は自動的に更新されるため、新機能が追加されたと
きにロールの定義を更新することについて心配する必要がありません。

管理ロール プロファイル — Web インターフェイス、CLI、または XML API のさまざまな機
能領域へのアクセスをよりきめ細かく制御するため、独自のロール定義を作成できます。た
とえば、Web インターフェイスのデバイスとネットワークの設定領域へのアクセスを許可す
る管理ロール プロファイルを操作スタッフ用に、またセキュリティ ポリシー定義、ログ、
およびレポートへのアクセスを許可する別個のプロファイルをセキュリティ管理者用に作成
できます。管理ロール プロファイルを使用する場合は、製品に追加される新しい機能 / コン
ポーネントの特権を明示的に割り当てるため、プロファイルを更新する必要があることに注
意してください。カスタム管理者ロール用に設定可能な権限の詳細は、「リファレンス : Web
インターフェイス管理者のアクセス権限」を参照してください。
64
デバイス管理
デバイス管理
ファイアウォール管理者の管理
管理認証
管理ユーザーは次の 4 つの方法で認証できます。

ローカル認証によるローカル管理者アカウント — 管理者アカウント認証情報と認証方式の両
方がファイアウォールに対してローカルです。ローカル管理者アカウントは、パスワードの
有効期間を定義するパスワード プロファイルを作成し、デバイス全体でのパスワード複雑性
設定を行うことにより、安全性を高めることができます。

SSL ベース認証によるローカル管理者アカウント — このオプションでは、ファイアウォール
で管理者アカウントを作成しますが、認証は SSH 証明書(CLI アクセスの場合)またはクラ
イアント証明書 / 共通アクセス カード(Web インターフェイスの場合)に基づいて処理され
ます。このタイプの管理アクセス権の設定方法については、『How to Configure Certificate-based
Authentication for the WebUI』の記事を参照してください。

外部認証によるローカル管理者アカウント — この管理者アカウントはローカル ファイアウォー
ルで管理されますが、認証機能の負荷は既存の LDAP、Kerberos、または RADIUS サービス
に割り振られます。このタイプのアカウントを設定するには、まず外部認証サービスへのア
クセス方法を定義する認証プロファイルを作成し、次にそのプロファイルを参照する管理者
ごとにアカウントを作成する必要があります。

外部管理者アカウントと認証 — アカウント管理者と認証は、外部 RADIUS サーバーによって
処理されます。このオプションを使用するには、RADIUS サーバーで、管理ロールにマップ
されるベンダー固有属性 (VSA)、および任意で、Palo Alto Networks デバイスで定義した仮想
システム オブジェクトを定義する必要があります。このタイプの管理アクセス権の設定方法
については、『Radius Vendor Specific Attributes (VSA)』の記事を参照してください。
管理アカウントの作成
管理アカウントを作成して、ファイアウォール管理者のアクセス権と管理権限を定義します。
一般的に、特定の管理タスクは、さまざまなロールを持つ特定の管理者に委任されるため、管
理者が、各自のジョブを実行するために必要な管理インターフェイスの領域のみにアクセスで
きるようにする管理者ロール プロファイルを作成することをお勧めします。作成したさまざま
なロールを個々の管理者アカウントに割り当て、各管理インターフェイス(Web インターフェ
イス、CLI(コマンドライン インターフェイス)、XML ベースの管理 API)へのアクセス権限
を指定できます。アクセス権限を詳細に指定した管理者ロールを作成することで、機密性の高
い企業データとエンド ユーザーのプライバシーが保護されます。
以下の手順では、ローカル認証を含むローカル管理者アカウントを作成する方法を説明しま
す。各管理インターフェイスへの管理者アクセス権の設定方法も取り上げます。
デバイス管理
65
ファイアウォール管理者の管理
デバイス管理
ローカル管理者の作成
ステップ 1
管理者に割り当てる予定の管理
者ロール プロファイルを作成
します(これは、動的ロールを
使用する場合には適用されませ
ん)。管理者ロール プロファ
イルでは、ロールを割り当てる
管理者ごとに、Web インター
フェイス、CLI、および XML
API のさまざまなセクションに
対して付与するアクセス権限の
タイプを定義します。
作成するロールごとに以下の手順を実行します。
1. [Device] > [ 管理者ロール ] の順に選択して [ 追加 ] を
クリックします。
2.
[ 名前 ] フィールドに名前を入力し、必要に応じて [ 内
容 ] フィールドにロールの説明を入力します。
3.
[Web UI]、[ コマンドライン ]、および [XML API] タブで
は、各管理インターフェイスへのアクセス権を指定し
ます。
• [Web UI] または [XML API] タブで、アイコンをク
リックして必要な設定に切り替えることにより、イ
ンターフェイスの機能領域ごとにアクセス レベル
([ 有効化 ]、[ 読み取り専用 ]、[ 無効化 ])を設定し
ます。
このステップを使用して、Web
インターフェイスのユーザー
に付与する、特に詳細な権限
を設定することができます。
[Web UI] タブで有効になる特
定 の オ プ シ ョ ン の 詳 細 は、
「Web インターフェイスのア
クセス権限」を参照してくだ
さい。
• [ コマンドライン ] タブで、CLI に許可するアクセス
権限のタイプを指定します。たとえば、デバイスの
ロールの場合には [superreader]、[deviceadmin]、
または [devicereader] に、仮想システムのロールの
場合には [vsysadmin] または [vsysreader] に、CLI
アクセスを全体的に無効にする場合には [ なし ] に指
定します。
4.
[OK] をクリックしてプロファイルを保存します。
たとえば、XML API を使用したデバイスへの管理者フル
アクセス権を許可し、ファイルのインポートおよびエクス
ポートは除外する場合は、以下のように指定します。
66
デバイス管理
デバイス管理
ファイアウォール管理者の管理
ローカル管理者の作成(続き)
ステップ 2
(任意)ローカ ルの ユーザ ー • パスワード プロファイルの作成 — 管理者がパスワード
定義パスワードの要件を設定
を変更しなければならない頻度を定義します。複数のパ
します。
スワード プロファイルを作成し、必要に応じて管理者ア
カウントに適用して必要なセキュリティを確保できま
す。パスワード プロファイルを作成するには、[Device] >
[ パスワード プロファイル ] の順に選択して、[ 追加 ] を
クリックします。
• パスワード複雑性の設定 — パスワードの複雑性を制御す
るルールを定義し、推測や解読が困難で、破られにくい
パスワードを管理者が作成するよう強制できます。個々
のアカウントに適用可能なパスワード プロファイルとは
異なり、これらのルールはデバイス全体に影響し、すべ
て の パ ス ワ ー ド に 適 用 さ れ ま す。設 定 を 行 う に は、
[Device] > [ セットアップ ] の順に選択し、[ パスワード複
雑性設定 ] セクションで [ 編集 ] をクリックします。
ステップ 3
デバイス管理
管理者ごとにアカウントを作 1.
成します。
[Device] > [ 管理者 ] の順に選択して [ 追加 ] をクリッ
クします。
2.
管理者ユーザーの [ 名前 ] と [ パスワード ] を入力する
か、外部の認証サーバーに対して管理ユーザーの資格
情報の有効性を確証するために使用する [ 認証プロファ
イル ] を作成します。認証プロファイルのセットアップ
方法の詳細は、ステップ 4 を参照してください。
3.
この管理者に割り当てる [ ロール ] を選択します。事前
定義の動的ロールのいずれかを選択するか、ステッ
プ 1 で作成した場合にはカスタムのロール ベースのプ
ロファイルを選択できます。
4.
(任意)[ パスワード プロファイル ] を選択します。
5.
[OK] をクリックしてアカウントを保存します。
67
ファイアウォール管理者の管理
デバイス管理
ローカル管理者の作成(続き)
ステップ 4
(任意)外部サーバーに対する 1.
認証方式(LDAP、RADIUS、ま
たは Kerberos)を設定します。 2.
サーバー プロファイルでは、
使用する予定の認証サービス 3.
にファイアウォールが接続す
る方法を指定します。
[Device] > [ 認証プロファイル ] の順に選択し、[ 追加 ]
をクリックします。
認証プロファイルの識別に使用するユーザーの [ 名前 ]
を入力します。
管理ユーザーのロックアウト条件を定義します。
a. [ ロックアウト時間 ] に値を入力します。これは、最
大許容ログイン回数に達した場合にユーザーをロッ
クアウトする時間(0 ~ 60 分、デフォルトは 0)で
す。0 を指定すると、手動でロック解除するまで
ロックアウト状態が続きます。
b. [ 許容ログイン回数 ] に値を入力します。これは、ア
カウントがロックアウトするまでの最大許容ログイ
ン回数です(1 ~ 10、デフォルトは 0)。デフォル
トの許容ログイン回数は 0 で、認証が繰り返し失敗
してもユーザーはロックアウトされません。
4.
認証を明示的に許可するユーザーとグループを指定し
ます。[ 許可リスト ] を認証プロファイルに追加するこ
とで、ユーザー グループ / ディレクトリ内の特定の
ユーザーにアクセスを制限できます。
• すべてのユーザーを許可するには、[All] チェック ボッ
クスをオンにします。
• [ 追加 ] をクリックし、フィールドに名前の最初の数
文字を入力すると、その文字で始まるユーザーおよ
びユーザー グループがすべて表示されます。必要な
数のユーザー/ ユーザー グループの追加を繰り返し
ます。
5.
[ 認証 ] ドロップダウンで、ネットワークで使用する予
定の認証のタイプを選択します。
ローカル データベース認証を使用する場合は、ローカ
ル データベースを作成する必要があります。[Device] >
[ ローカル ユーザー データベース ] の順に選択し、認証
するユーザーおよびグループを追加します。
ステップ 5
68
変更をコミットします。
6.
外部の認証サーバー(ローカル データベースではない)
へのアクセス用に、[ サーバー プロファイル ] ドロップ
ダウンで適切なサーバー プロファイルを選択します。
新しいサーバー プロファイルを作成するには、[ 新規 ]
の 横 の リ ン ク を ク リ ッ ク し、[LDAP]、[RADIUS]、
または [Kerberos] サーバーへのアクセスの設定に進み
ます。
7.
[OK] をクリックします。
1.
[ コミット ] をクリックします。
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
リファレンス : Web インターフェイス管理者のアクセス
権限
動的管理者ロールに関連付けられている権限が固定されている間は、カスタム管理者ロールの
詳細レベルで権限を設定することができます。詳細レベルで権限を設定することにより、下位
レベルの管理者が特定の情報にアクセスできないようにすることができます。ファイアウォー
ル管理者(「管理アカウントの作成」を参照)、Panorama 管理者、または [ デバイス グループ
とテンプレート ] 管理者(『Panorama 管理者ガイド』を参照)のカスタム ロールを作成できま
す。以下のトピックでは、カスタム管理者ロールに設定可能な権限について説明します。

Web インターフェイスのアクセス権限

Panorama Web インターフェイスのアクセス
Web インターフェイスのアクセス権限
ロールベース管理者が Web インターフェイスの特定のタブにアクセスできないようにする場合
は、そのタブを無効にし、管理者が自分に関連付けられているロールベースの管理アカウント
を使用してログインしたときにそのタブが表示されないようにすることができます。たとえ
ば、操作スタッフ用に [Device] および [Network] タブへのアクセスのみを許可する管理者ロー
ル プロファイルを作成し、セキュリティ管理者用に [Objects]、[Policy]、および [Monitor] タ
ブへのアクセスを許可する別の管理者ロール プロファイルを作成することができます。
以下の表に、管理者ロール プロファイルに割り当てることができるタブ レベルのアクセス権限
の説明を示します。また、タブ内でのより詳細な権限について詳しく説明した追加の表への相
互参照も示されています。管理者ロール プロファイルを設定してエンド ユーザーのプライバ
シーを守る方法の詳細は、「管理者ロール プロファイルでのユーザーのプライバシー設定の定
義」を参照してください。
アクセス レベル
説明
ダッシュボード
ACC
デバイス管理
有効化
読み取り
専用
無効化
[Dashboard] タブへのアクセスを制御します。こ はい
の権限を無効にすると、その管理者にはこのタ
ブが表示されなくなり、[Dashboard] ウィジェッ
トのいずれにもアクセスできません。
いいえ
はい
アプリケーション コマンド センター (ACC) へ はい
のアクセスを制御します。この権限を無効にす
ると、[ACC] タブが Web インターフェイスに表
示されなくなります。ACC へのアクセス権限
を与えると同時にユーザーのプライバシーを守
るには、[ 専用 ] > [ 完全 IP アドレスの表示 ] オ
プションまたは [ ログおよびレポート内のユー
ザー名の表示 ] オプションを無効にすることが
できます。
いいえ
はい
69
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス レベル
説明
モニター
デバイス管理
読み取り
専用
無効化
[Monitor] タブへのアクセスを制御します。こ はい
の 権 限 を 無 効 に す る と、そ の 管 理 者 に は
[Monitor] タグが表示されなくなり、ログ、パ
ケット キャプチャ、セッション情報、レポー
ト、またはアプリケーション スコープのいず
れにもアクセスできません。管理者が表示でき
るモニタリング情報をより詳細に制御するに
は、[ モニター] オプションを有効にしたまま
で、「[Monitor] タブに対する詳細なアクセス権
限の付与」での説明に従ってタブ上の特定の
ノードを有効または無効にします。
いいえ
はい
ポリシー
[Policies] タブへのアクセスを制御します。こ はい
の 権 限 を 無 効 に す る と、そ の 管 理 者 に は
[Policies] タブが表示されなくなり、どのポリ
シー情報にもアクセスできません。たとえば、
特定のタイプのポリシーへのアクセスを有効に
する、またはポリシー情報への読み取り専用ア
クセスを有効にするなど、管理者が表示できる
ポ リ シ ー 情 報 を よ り 詳 細 に 制 御 す る に は、
[Policies] オ プ シ ョ ン を 有 効 に し た ま ま で、
「[Policies] タブに対する詳細なアクセス権限の
付与」での説明に従ってタブ上の特定のノード
を有効または無効にします。
いいえ
はい
オブジェクト
[Objects] タブへのアクセスを制御します。こ はい
の 権 限 を 無 効 に す る と、そ の 管 理 者 に は
[Objects] タブが表示されなくなり、オブジェ
クト、セキュリティ プロファイル、ログ転送
プロファイル、復号プロファイル、またはスケ
ジュールのいずれにもアクセスできません。管
理者が表示できるオブジェクトをより詳細に制
御するには、[Objects] オプションを有効にし
たままで、「[Objects] タブに対する詳細なアク
セス権限の付与」での説明に従ってタブ上の特
定のノードを有効または無効にします。
いいえ
はい
70
有効化
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス レベル
説明
ネットワーク
デバイス
有効化
読み取り
専用
無効化
[Network] タブへのアクセスを制御します。こ はい
の 権 限 を 無 効 に す る と、そ の 管 理 者 に は
[Network] タブが表示されなくなり、インター
フ ェイ ス、ゾー ン、VLAN、バー チ ャ ル ワイ
ヤー、仮想ルーター、IPsec トンネル、DHCP、
DNS プロキシ、GlobalProtect、QoS 設定情報、
またはネットワーク プロファイルのいずれに
もアクセスできません。管理者が表示できるオ
ブ ジ ェ ク ト を よ り 詳 細 に 制 御 す る に は、
[Network] オプションを有効にしたままで、
「[Network] タブに対する詳細なアクセス権限
の付与」での説明に従ってタブ上の特定のノー
ドを有効または無効にします。
いいえ
はい
[Device] タブへのアクセスを制御します。この はい
権限を無効にすると、その管理者には [Device]
タ ブ が 表 示 さ れ な く な り、User-ID、高 可 用
性、サーバー プロファイル、または証明書設
定情報などのデバイス全体の設定情報のいずれ
にもアクセスできません。管理者が表示できる
オ ブ ジ ェ ク ト を よ り 詳 細 に 制 御 す る に は、
[Objects] オ プ シ ョ ン を 有 効 に し た ま ま で、
「[Device] タブに対する詳細なアクセス権限の
付与」での説明に従ってタブ上の特定のノード
を有効または無効にします。
いいえ
はい
[Device] タブへのフル アクセス権限を有
効にしていても、[ 管理者ロール ] または
[ 管理者 ] ノードに対するロールベース管
理者のアクセス権限を有効にすることは
できません。
[Monitor] タブに対する詳細なアクセス権限の付与
管理者が表示できる [Monitor] タブのエリアを、そのすべてではなく一部に制限したい場合もあ
ります。たとえば、管理者の操作を、機密性の高いユーザー データが含まれていない設定およ
びシステム ログのみに制限する場合などです。管理者ロール定義のこのセクションでは管理者
が表示できる [Monitor] タブのエリアを指定しますが、このセクションに含まれる権限を、ログ
やレポートでユーザー名を表示する権限を無効にするなどの [ 専用 ] の権限と組み合わせること
もできます。ただし、管理者ロールでユーザー名と IP アドレスの表示を無効にしても、システ
ム生成のレポートにはユーザー名と IP アドレスが表示されます。したがって、管理者がユー
ザーの個人情報を一切表示することができないようにする場合は、以下の表に示す詳細に従っ
て特定のレポートへのアクセス権限を無効にする必要があります。
デバイス管理
71
リファレンス : Web インターフェイス管理者のアクセス権限
デバイス管理
以下の表に、[Monitor] タブのアクセス レベル、およびそのレベルで設定可能な管理者ロール
の一覧を示します。
アクセス レベル
説明
設定可能な管理者ロール
有効化
読み取
りのみ
無効化
モニター
[Monitor] タブへのアクセス権限を有
効または無効にします。無効にする
と、その管理者には、このタブとこ
のタブに関連付けられているログま
たはレポートのすべてが表示されな
くなります。
ファイアウォール : はい
はい
いいえ
はい
はい
いいえ
はい
はい
いいえ
はい
はい
いいえ
はい
はい
いいえ
はい
管理者が WildFire ログを表示できる ファイアウォール : はい はい
かどうかを指定します。これらのロ Panorama: はい
グは、WildFire サブスクリプションを
デバイス グループ / テン
持っている場合にのみ表示できます。
プレート : はい
いいえ
はい
ログ
トラフィック
すべてのログ ファイルへのアクセス
権限を有効または無効にします。こ
の権限を有効にしたままで、管理者
に表示されないようにする特定のロ
グを無効にすることもできます。1 つ
以上のログに対するアクセス権限を
与えると同時にユーザーのプライバ
シーを守るには、[ 専用 ] > [ 完全 IP ア
ドレスの表示 ] オプションまたは [ ロ
グおよびレポート内のユーザー名の
表示 ] オプションを無効にすることが
できます。
Panorama: はい
デバイス グループ / テン
プレート : はい
ファイアウォール : はい
Panorama: はい
デバイス グループ / テン
プレート : はい
管理者がトラフィック ログを表示で ファイアウォール : はい
きるかどうかを指定します。
Panorama: はい
デバイス グループ / テン
プレート : はい
脅威
管理者が脅威ログを表示できるかど ファイアウォール : はい
うかを指定します。
Panorama: はい
デバイス グループ / テン
プレート : はい
URL
フィルタリング
管理者が URL フィルタリング ログを ファイアウォール : はい
表示できるかどうかを指定します。 Panorama: はい
デバイス グループ / テン
プレート : はい
WildFire への
送信
72
デバイス管理
デバイス管理
アクセス レベル
リファレンス : Web インターフェイス管理者のアクセス権限
説明
設定可能な管理者ロール
データ フィルタ 管理者がデータ フィルタリング ログ ファイアウォール : はい
リング
を表示できるかどうかを指定します。 Panorama: はい
有効化
読み取
りのみ
無効化
はい
いいえ
はい
はい
いいえ
はい
はい
いいえ
はい
はい
いいえ
はい
はい
いいえ
はい
はい
はい
はい
デバイス グループ / テン
プレート : はい
HIP マッチ
設定
管理者が HIP マッチ ログを表示でき
るかどうかを指定します。HIP マッ
チ ログは、GlobalProtect ポータル ラ
イセンスとゲートウェイ サブスクリ
プションを持っている場合にのみ表
示されます。
ファイアウォール : はい
Panorama: はい
デバイス グループ / テン
プレート : はい
管理者が設定ログを表示できるかど ファイアウォール : はい
うかを指定します。
Panorama: はい
デバイス グループ / テン
プレート : いいえ
システム
管理者がシステム ログを表示できる ファイアウォール : はい
かどうかを指定します。
Panorama: はい
デバイス グループ / テン
プレート : いいえ
アラーム
管理者がシステム生成のアラームを ファイアウォール : はい
表示できるかどうかを指定します。 Panorama: はい
デバイス グループ / テン
プレート : はい
パケット
キャプチャ
デバイス管理
管理者が [Monitor] タブでパケット
キャプチャ (pcap) を表示できるかど
うかを指定します。パケット キャプ
チャは生のフロー データであり、そ
のためユーザーの IP アドレスが含ま
れている可能性があることに注意して
ください。[ 完全 IP アドレスの表示 ]
権限を無効にしても pcap 内の IP アド
レスが識別不能になることはないた
め、ユーザーのプライバシーの侵害
が懸念される場合はパケット キャプ
チャ権限を無効にしてください。
ファイアウォール : はい
Panorama: いいえ
デバイス グループ / テン
プレート : いいえ
73
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス レベル
説明
デバイス管理
設定可能な管理者ロール
有効化
読み取
りのみ
無効化
アプリケーション 管理者がアプリケーション スコープ ファイアウォール : はい
スコープ
の可視化ツールと分析ツールを表示 Panorama: はい
はい
いいえ
はい
ファイアウォール : はい
はい
いいえ
はい
はい
はい
はい
できるかどうかを指定します。アプ
リケーション スコープを有効にする デバイス グループ / テン
プレート : はい
と、[ アプリケーション スコープ ] の
すべてのグラフに対するアクセス権
限が有効になります。
セッション
ブラウザ
ボットネット
74
ファイアウォール上で現在実行中の
セッションを管理者が参照および
フィルタリングできるかどうかを指
定します。セッション ブラウザには
生のフロー データが表示され、その
ためユーザーの IP アドレスが含まれ
ている可能性があることに注意して
ください。[ 完全 IP アドレスの表示 ]
権限を無効にしてもセッション ブラ
ウザ内の IP アドレスが識別不能にな
ることはないため、ユーザーのプラ
イバシーの侵害が懸念される場合は
[ セッション ブラウザ ] 権限を無効に
してください。
管理者がボットネット分析レポート
を生成および表示できるか、または
ボットネット レポートを読み取り専
用モードで表示できるかどうかを指
定します。[ 完全 IP アドレスの表示 ]
権限を無効にしてもスケジュール設
定されたボットネット レポート内の
IP アドレスが識別不能になることは
ないため、ユーザーのプライバシー
の侵害が懸念される場合は [ ボット
ネット ] 権限を無効にしてください。
Panorama: いいえ
デバイス グループ / テン
プレート : いいえ
ファイアウォール : はい
Panorama: いいえ
デバイス グループ / テン
プレート : いいえ
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス レベル
説明
設定可能な管理者ロール
有効化
読み取
りのみ
無効化
PDF レポート
すべての PDF レポートへのアクセス
権限を有効または無効にします。こ
の権限を有効にしたままで、管理者
に表示されないようにする特定の
PDF レポートを無効にすることもで
きます。1 つ以上のレポートに対する
アクセス権限を与えると同時にユー
ザーのプライバシーを守るには、[ 専
用 ] > [ 完全 IP アドレスの表示 ] オプ
ションまたは [ ログおよびレポート内
のユーザー名の表示 ] オプションを無
効にすることができます。
ファイアウォール : はい
はい
いいえ
はい
PDF サ マ リ ー の 管理者が、PDF サマリー レポートの ファイアウォール : はい
管理
定義を表示、追加、または削除でき Panorama: はい
はい
はい
はい
ファイアウォール : はい
はい
いいえ
はい
はい
はい
はい
Panorama: はい
デバイス グループ / テン
プレート : いいえ
るかどうかを指定します。読み取り
デバイス グループ / テン
専用アクセス権限を持っている場
合、管理者は、PDF サマリー レポー プレート : いいえ
トの定義を表示できますが、追加ま
たは削除することはできません。こ
のオプションを無効にすると、管理
者 は、レ ポ ー ト の 定 義 を 表 示 し た
り、それらの定義を追加/削除したり
することができなくなります。
PDF サマリー
レポート
ユーザー
アクティビティ
レポート
デバイス管理
管理者が生成された PDF サマリー レ
ポートを [Monitor] > [ レポート ] で表
示できるかどうかを指定します。この
オプションを無効にすると、[ レポー
ト ] ノードに [PDF サマリー レポート ]
カテゴリが表示されなくなります。
管理者が、ユーザー アクティビティ
レポートの定義を表示、追加、また
は 削 除 し、そ の レ ポ ー ト を ダ ウ ン
ロードすることができるかどうかを
指定します。読み取り専用アクセス
権限を持っている場合、管理者は、
ユーザー アクティビティ レポートの
定 義 を 表 示 で き ま す が、追 加、削
除、またはダウンロードすることは
できません。このオプションを無効
にすると、管理者はこのカテゴリの
PDF レポートを表示することができ
ません。
Panorama: はい
デバイス グループ / テン
プレート : いいえ
ファイアウォール : はい
Panorama: はい
デバイス グループ / テン
プレート : いいえ
75
リファレンス : Web インターフェイス管理者のアクセス権限
デバイス管理
アクセス レベル
説明
設定可能な管理者ロール
有効化
読み取
りのみ
無効化
レポート
グループ
管理者が、レポート グループの定義
を表示、追加、または削除できるか
どうかを指定します。読み取り専用
アクセス権限を持っている場合、管
理者は、レポート グループの定義を
表示できますが、追加または削除す
ることはできません。このオプショ
ンを無効にすると、管理者はこのカ
テゴリの PDF レポートを表示するこ
とができません。
ファイアウォール : はい
はい
はい
はい
管理者が電子メール用のレポート グ
ループをスケジュール設定できるかど
うかを指定します。電子メールで送信
される生成レポートには、[ 専用 ] >
[ 完全 IP アドレスの表示 ] オプション
または [ ログおよびレポート内のユー
ザー名の表示 ] オプションを無効にし
ても除外されないユーザーの機密
データが含まれている可能性があ
り、ま た 管 理 者 が ア ク セ ス 権 限 を
持っていないログ データが表示され
る可能性もあるため、ユーザーのプ
ライバシーの侵害が懸念される場合
は、[ 電子メール スケジューラ ] オプ
ションを無効にしてください。
ファイアウォール : はい
はい
はい
はい
電子メール
スケジューラ
76
Panorama: はい
デバイス グループ / テン
プレート : いいえ
Panorama: はい
デバイス グループ / テン
プレート : いいえ
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス レベル
説明
設定可能な管理者ロール
有効化
読み取
りのみ
無効化
カスタム
レポートの
管理
すべてのカスタム レポート機能への
アクセス権限を有効または無効にし
ま す。こ の 権 限 を 有 効 に し た ま ま
で、管理者が表示できないようにす
る特定のカスタム レポート カテゴリ
を無効にすることもできます。1 つ以
上のレポートに対するアクセス権限
を与えると同時にユーザーのプライ
バシーを守るには、[ 専用 ] > [ 完全 IP
アドレスの表示 ] オプションまたは
[ ログおよびレポート内のユーザー名
の表示 ] オプションを無効にすること
ができます。
ファイアウォール : はい
はい
いいえ
はい
アプリケーション 管 理 者 が、ア プ リ ケ ー シ ョ ン 統 計 ファイアウォール : はい
統計
データベースからのデータを含むカ Panorama: はい
はい
いいえ
はい
データ
管理者が、データ フィルタリング ロ ファイアウォール : はい
フ ィ ル タ リ ン グ グのデータを含むカスタム レポート
Panorama: はい
ログ
を作成できるかどうかを指定します。
はい
いいえ
はい
管理者が、脅威ログのデータを含む ファイアウォール : はい はい
カスタム レポートを作成できるかど Panorama: はい
うかを指定します。
デバイス グループ / テン
プレート : いいえ
いいえ
はい
Panorama: はい
デバイス グループ / テン
プレート : いいえ
要求時に実行されるレポート
ではなく、スケジュール設定
さ れ て い る レ ポ ー ト に は、IP
アドレスとユーザー情報が表
示 さ れ ま す。こ の 場 合 は、必
ず該当するレポート エリアへ
のアクセスを制限してくださ
い。また、カスタム レポート
機能では、管理者ロールから
除外されているログに含まれ
ているログ データを含むレポー
トの生成は制限されません。
スタム レポートを作成できるかどう
デバイス グループ / テン
かを指定します。
プレート : いいえ
デバイス グループ / テン
プレート : いいえ
脅威ログ
デバイス管理
77
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス レベル
説明
脅威サマリー
デバイス管理
設定可能な管理者ロール
読み取
りのみ
無効化
管理者が、脅威サマリー データベー ファイアウォール : はい はい
スのデータを含むカスタム レポート Panorama: はい
を作成できるかどうかを指定します。
デバイス グループ / テン
プレート : いいえ
いいえ
はい
トラフィック
ログ
管理者が、トラフィック ログのデー ファイアウォール : はい はい
タを含むカスタム レポートを作成で Panorama: はい
きるかどうかを指定します。
デバイス グループ / テン
プレート : いいえ
いいえ
はい
トラフィック
サマリー
管 理 者 が、ト ラ フ ィ ッ ク サ マ リ ー ファイアウォール : はい はい
データベースのデータを含むカスタ Panorama: はい
ム レポートを作成できるかどうかを
デバイス グループ / テン
指定します。
プレート : いいえ
いいえ
はい
URL ログ
管理者が、URL フィルタリング ログ ファイアウォール : はい はい
のデータを含むカスタム レポートを Panorama: はい
作成できるかどうかを指定します。
デバイス グループ / テン
プレート : いいえ
いいえ
はい
HIP マッチ
管理者が、HIP マッチ ログのデータ ファイアウォール : はい はい
を含むカスタム レポートを作成でき Panorama: はい
るかどうかを指定します。
デバイス グループ / テン
プレート : いいえ
いいえ
はい
スケジュール設
定したカスタム
レポートを表示
管 理 者 が、生 成 す る よ う に ス ケ ファイアウォール : はい はい
ジュール設定されているカスタム レ Panorama: はい
ポートを表示できるかどうかを使用
デバイス グループ / テン
します。
プレート : いいえ
いいえ
はい
いいえ
はい
事前定義済み
管理者がアプリケーション レポー ファイアウォール : はい
アプリケーション ト を 表 示 で き る か ど う か を 指 定 し
Panorama: はい
レポートを表示
ます。専用の権限は、[Monitor] > [レ
有効化
はい
ポート ] ノードに表示されるレポート デバイス グループ / テン
プレート : いいえ
に影響しないため、ユーザーのプラ
イバシーを守る必要がある場合はこ
のレポートへのアクセス権限を無効
にしてください。
78
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス レベル
説明
設定可能な管理者ロール
有効化
読み取
りのみ
無効化
事前定義済み
脅威レポートを
表示
管理者が脅威レポートを表示できる
かどうかを指定します。専用の権限
は、[Monitor] > [ レポート ] ノードに
表示されるレポートに影響しないた
め、ユーザーのプライバシーを守る
必要がある場合はこのレポートへの
アクセス権限を無効にしてください。
ファイアウォール : はい
はい
いいえ
はい
はい
いいえ
はい
はい
いいえ
はい
事前定義済み
URL
フィルタリング
レポートを表示
管理者が URL フィルタリング レポー
トを表示できるかどうかを指定し
ます。専用の権限は、[Monitor] > [レ
ポート ] ノードに表示されるレポート
に影響しないため、ユーザーのプラ
イバシーを守る必要がある場合はこ
のレポートへのアクセス権限を無効
にしてください。
事前定義済み
トラフィック
レポートを
表示
管理者がトラフィック レポートを表
示できるかどうかを指定します。専
用の権限は、[Monitor] > [ レポート ]
ノードに表示されるレポートに影響
し な い た め、ユ ー ザ ー の プ ラ イ バ
シーを守る必要がある場合はこのレ
ポートへのアクセス権限を無効にし
てください。
Panorama: はい
デバイス グループ / テン
プレート : いいえ
ファイアウォール : はい
Panorama: はい
デバイス グループ / テン
プレート : いいえ
ファイアウォール : はい
Panorama: はい
デバイス グループ / テン
プレート : いいえ
[Policies] タブに対する詳細なアクセス権限の付与
管理者ロール プロファイルで [ ポリシー] オプションを有効にすると、定義する管理者ロールに
対して、タブ内の特定のノードを有効または無効にしたり、読み取り専用アクセスを設定した
りできます。特定のポリシー タイプへのアクセス権限を有効にすることにより、ポリシー ルー
ルを表示、追加、または削除する権限を有効にできます。特定のポリシーに対する読み取り専
用アクセス権限を有効にすると、その管理者は対応するポリシー ルール ベースを表示できるよ
うになりますが、ルールを追加または削除することはできません。特定のタイプのポリシーに
対するアクセス権限を無効にすることにより、管理者がポリシー ルール ベースを表示できない
ようにします。
特定のユーザーに基づいた(ユーザー名または IP アドレス)ポリシーは明示的に定義する必要
があるため、完全な IP アドレスやユーザー名を表示する権限を無効にするプライバシーの設定
は [Policies] タブには適用されません。したがって、ユーザーのプライバシー制限から除外され
ている管理者に対してのみ、[Policies] タブへのアクセスを許可する必要があります。
デバイス管理
79
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス レベル
説明
セキュリティ
デバイス管理
有効化
読み取り
専用
無効化
管理者にセキュリティ ポリシー ルールの表 はい
示、追加、または削除を許可するには、この
権限を有効にします。管理者が、ルールを表
示できても変更できないようにする場合は、
この権限を読み取り専用に設定します。管理
者がセキュリティ ポリシー ルール ベースを表
示できないようにするには、この権限を無効
にします。
はい
はい
NAT
管理者に NAT ポリシー ルールの表示、追加、 はい
または削除を許可するには、この権限を有効に
します。管理者が、ルールを表示できても変更
できないようにする場合は、この権限を読み取
り専用に設定します。管理者が NAT ポリシー
ル ー ル ベ ー ス を 表 示 で き ない よ う に す る に
は、この権限を無効にします。
はい
はい
QoS
管理者に QoS ポリシー ルールの表示、追加、 はい
または削除を許可するには、この権限を有効に
します。管理者が、ルールを表示できても変更
できないようにする場合は、この権限を読み取
り専用に設定します。管理者が QoS ポリシー
ル ー ル ベ ー ス を 表 示 で き ない よ う に す る に
は、この権限を無効にします。
はい
はい
ポリシー ベース フォ 管 理 者 に ポ リ シ ー ベ ー ス フォ ワ ー デ ィ ン グ はい
ワーディング
(PBF) ポリシー ルールの表示、追加、または削
はい
はい
はい
はい
除を許可するには、この権限を有効にします。
管理者が、ルールを表示できても変更できない
ようにする場合は、この権限を読み取り専用に
設 定 し ま す。管 理 者 が PBF ポ リ シ ー ル ー ル
ベースを表示できないようにするには、この権
限を無効にします。
復号
80
管理者に復号ポリシー ルールの表示、追加、 はい
または削除を許可するには、この権限を有効に
します。管理者が、ルールを表示できても変更
できないようにする場合は、この権限を読み取
り専用に設定します。管理者が復号ポリシー
ル ー ル ベ ー ス を 表 示 で き ない よ う に す る に
は、この権限を無効にします。
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス レベル
説明
アプリケーション
オーバーライド
有効化
読み取り
専用
無効化
管理者にアプリケーション オーバーライド ポ はい
リシー ルールの表示、追加、または削除を許
可するには、この権限を有効にします。管理者
が、ルールを表示できても変更できないように
する場合は、この権限を読み取り専用に設定し
ます。管理者がアプリケーション オーバーラ
イド ポリシー ルール ベースを表示できないよ
うにするには、この権限を無効にします。
はい
はい
キャプティブ ポータル 管理者にキャプティブ ポータル ポリシー ルー はい
はい
はい
はい
はい
ルの表示、追加、または削除を許可するには、
この権限を有効にします。管理者が、ルールを
表示できても変更できないようにする場合は、
この権限を読み取り専用に設定します。管理者
がキャプティブ ポータル ポリシー ルール ベー
スを表示できないようにするには、この権限を
無効にします。
DoS プロテクション
管理者に DoS プロテクション ポリシー ルール はい
の表示、追加、または削除を許可するには、こ
の権限を有効にします。管理者が、ルールを表
示できても変更できないようにする場合は、こ
の権限を読み取り専用に設定します。管理者が
DoS プロテクション ポリシー ルール ベースを
表示できないようにするには、この権限を無効
にします。
[Objects] タブに対する詳細なアクセス権限の付与
オブジェクトは、ルール定義を簡素化するために、IP アドレス、URL、アプリケーション、ま
たはサービスなどの特定のポリシー フィルタ値をグループ化するコンテナです。たとえば、ア
ドレス オブジェクトには、DMZ ゾーン内の Web サーバーやアプリケーション サーバーに固有
の IP アドレスの定義が含まれています。
[Objects] タブ全体に対するアクセスを許可するかどうかを決定するときには、その管理者にポ
リシー定義の責任があるかどうかを判別してください。その責任がない場合、おそらくその管
理者はタブにアクセスする必要がありません。ただし、その管理者が今後ポリシーを作成する
必要がある場合は、このタブへのアクセス権限を有効にし、ノード レベルで詳細なアクセス権
限を付与することができます。
特定のノードへのアクセス権限を有効にすることにより、対応するオブジェクト タイプを表
示、追加、および削除する権限を管理者に付与します。読み取り専用アクセス権限が付与され
ると、管理者は、すでに定義済みのオブジェクトを表示できますが、オブジェクトを作成また
は削除することはできません。ノードを無効にすると、管理者は Web インターフェイスでその
ノードを表示することができません。
デバイス管理
81
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス レベル
説明
アドレス
デバイス管理
読み取り
専用
無効化
管理者が、セキュリティ ポリシーで使用する はい
アドレス オブジェクトを表示、追加、または
削除できるかどうかを指定します。
はい
はい
アドレス グループ
管理者が、セキュリティ ポリシーで使用する はい
アドレス グループ オブジェクトを表示、追
加、または削除できるかどうかを指定します。
はい
はい
地域
管理者が、セキュリティ、復号、または DoS はい
ポリシーで使用する地域オブジェクトを表示、
追 加、ま た は 削 除 で き る か ど う か を 指 定 し
ます。
はい
はい
アプリケーション
管理者が、ポリシーで使用するアプリケーショ はい
ン オブジェクトを表示、追加、または削除で
きるかどうかを指定します。
はい
はい
アプリケーション
グループ
管理者が、ポリシーで使用するアプリケーショ はい
ン グループ オブジェクトを表示、追加、また
は削除できるかどうかを指定します。
はい
はい
アプリケーション
フィルタ
管理者が、繰り返し検索を簡単にするためのア はい
プリケーション フィルタを表示、追加、また
は削除できるかどうかを指定します。
はい
はい
サービス
管理者が、アプリケーションで使用可能なポー はい
ト番号を制限するポリシーを作成するときに使
用するサービス オブジェクトを表示、追加、
または削除できるかどうかを指定します。
はい
はい
サービス グループ
管理者が、セキュリティ ポリシーで使用する はい
サービス グループ オブジェクトを表示、追
加、または削除できるかどうかを指定します。
はい
はい
タグ([Panorama]
のみ)
管理者が、デバイスで定義されているタグを表 はい
示、追加、または削除できるかどうかを指定し
ます。
はい
はい
GlobalProtect
管理者が、HIP オブジェクトと HIP プロファイ はい
ルを表示、追加、または削除できるかどうかを
指定します。両方のタイプのオブジェクトへの
アクセスを GlobalProtect レベルで制限できま
す。ま た は、GlobalProtect 権 限 を 有 効 に し て
HIP オブジェクトまたは HIP プロファイルへの
アクセスを制限することにより、より詳細な制
御を行うことができます。
いいえ
はい
82
有効化
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス レベル
説明
HIP オブジェクト
HIP プロファイル
有効化
読み取り
専用
無効化
管理者が、HIP プロファイルの定義で使用され はい
る HIP オブジェクトを表示、追加、または削除
できるかどうかを指定します。HIP オブジェク
トは、HIP マッチ ログも生成します。
はい
はい
管理者が、セキュリティ ポリシーで使用され はい
るか、または HIP マッチ ログの生成で使用さ
れる HIP プロファイルを表示、追加、または削
除できるかどうかを指定します。
はい
はい
ダイナミック ブロック 管理者が、セキュリティ ポリシーで使用する はい
リスト
ダイナミック ブロック リストを表示、追加、
はい
はい
いいえ
はい
または削除できるかどうかを指定します。
カスタム オブジェクト 管理者が、カスタム スパイウェアと脆弱性の はい
シグネチャを表示できるかどうかを指定しま
す。こ の レ ベ ル で す べ て の カ ス タ ム シ グ ネ
チャに対するアクセス権限を有効または無効に
してアクセスを制限できます。または、カスタ
ム オブジェクト権限を有効にして各タイプの
シグネチャへのアクセスを制限することによ
り、より詳細に制御することができます。
データ パターン
管理者が、カスタム脆弱性防御プロファイルの はい
作成に使用するカスタム データ パターン シグ
ネチャを表示、追加、または削除できるかどう
かを指定します。
はい
はい
スパイウェア
管理者が、カスタム脆弱性防御プロファイルの はい
作成に使用するカスタム スパイウェア シグネ
チャを表示、追加、または削除できるかどうか
を指定します。
はい
はい
脆弱性
管理者が、カスタム脆弱性防御プロファイルの はい
作成に使用するカスタム脆弱性シグネチャを表
示、追加、または削除できるかどうかを指定し
ます。
はい
はい
URL カテゴリ
管理者が、ポリシーで使用するカスタム URL はい
カテゴリを表示、追加、または削除できるかど
うかを指定します。
はい
はい
デバイス管理
83
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス レベル
説明
セキュリティ
プロファイル
デバイス管理
有効化
読み取り
専用
無効化
管理者がセキュリティ プロファイルを表示で はい
きるかどうかを指定します。このレベルですべ
てのセキュリティ プロファイルに対するアク
セス権限を有効または無効にしてアクセスを制
限できます。または、セキュリティ プロファ
イル権限を有効にして各タイプのプロファイル
へのアクセスを制限することにより、より詳細
に制御することができます。
いいえ
はい
アンチウイルス
管理者が、アンチウイルス プロファイルを表 はい
示、追加、または削除できるかどうかを指定し
ます。
はい
はい
アンチスパイウェア
管理者が、アンチスパイウェア プロファイル はい
を表示、追加、または削除できるかどうかを指
定します。
はい
はい
脆弱性防御
管理者が、脆弱性防御プロファイルを表示、追 はい
加、または削除できるかどうかを指定します。
はい
はい
URL フィルタリング
管理者が、URL フィルタリング プロファイル はい
を表示、追加、または削除できるかどうかを指
定します。
はい
はい
ファイル ブロッキング 管理者が、ファイル ブロッキング プロファイ はい
はい
はい
はい
はい
ルを表示、追加、または削除できるかどうかを
指定します。
データ フィルタリング 管理者が、データ フィルタリング プロファイ はい
ルを表示、追加、または削除できるかどうかを
指定します。
DoS プロテクション
管理者が、DoS プロテクション プロファイル はい
を表示、追加、または削除できるかどうかを指
定します。
はい
はい
セキュリティ
プロファイル
グループ
管理者が、セキュリティ プロファイル グルー はい
プを表示、追加、または削除できるかどうかを
指定します。
はい
はい
ログ転送
管理者が、ログ転送プロファイルを表示、追 はい
加、または削除できるかどうかを指定します。
はい
はい
復号プロファイル
管理者が、復号プロファイルを表示、追加、ま はい
たは削除できるかどうかを指定します。
はい
はい
スケジュール
管理者が、セキュリティ ポリシーを特定の日 はい
付または時刻範囲に制限するためのスケジュー
ルを表示、追加、または削除できるかどうかを
指定します。
はい
はい
84
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
[Network] タブに対する詳細なアクセス権限の付与
[Network] タブ全体に対するアクセスを許可するかどうかを決定するときには、その管理者に
GlobalProtect 管理を含むネットワーク管理の責任があるかどうかを判別してください。その責
任がない場合、おそらくその管理者はタブにアクセスする必要がありません。
[Network] タブへのアクセス権限は、ノード レベルで定義することもできます。特定のノード
へのアクセス権限を有効にすることにより、対応するネットワーク設定を表示、追加、および
削除する権限を管理者に付与します。読み取り専用アクセス権限が付与されると、管理者はす
でに定義済みの設定を表示できますが、オブジェクトを作成または削除することはできませ
ん。ノードを無効にすると、管理者は Web インターフェイスでそのノードを表示することがで
きません。
アクセス レベル
説明
インターフェイス
読み取り
専用
無効化
管理者が、インターフェイス設定を表示、追 はい
加、または削除できるかどうかを指定します。
はい
はい
ゾーン
管理者が、ゾーンを表示、追加、または削除で はい
きるかどうかを指定します。
はい
はい
VLAN
管理者が、VLAN を表示、追加、または削除で はい
きるかどうかを指定します。
はい
はい
バーチャル ワイヤー
管 理 者 が、バ ー チ ャ ル ワ イ ヤ ー を 表 示、追 はい
加、または削除できるかどうかを指定します。
はい
はい
仮想ルーター
管理者が、仮想ルーターを表示、追加、変更、 はい
または削除できるかどうかを指定します。
はい
はい
IPSec トンネル
管理者が、IPsec トンネル設定を表示、追加、 はい
変 更、ま た は 削 除 で き る か ど う か を 指 定 し
ます。
はい
はい
DHCP
管理者が、DHCP サーバー設定と DHCP リレー はい
設定を表示、追加、変更、または削除できるか
どうかを指定します。
はい
はい
DNS プロキシ
管理者が、DNS プロキシ設定を表示、追加、 はい
変 更、ま た は 削 除 で き る か ど う か を 指 定 し
ます。
はい
はい
GlobalProtect
管理者が、GlobalProtect のポータル設定とゲー はい
トウェイ設定を表示、追加、変更できるかどう
かを指定します。GlobalProtect 機能へのアクセ
ス 権 限 を 完 全 に 無 効 に で き ま す。ま た は、
GlobalProtect 権限を有効にして、ポータル 設定
エリアかゲートウェイ設定エリアのいずれかに
管理者ロールを制限することもできます。
いいえ
はい
デバイス管理
有効化
85
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス レベル
説明
ポータル
デバイス管理
読み取り
専用
無効化
管理者が、GlobalProtect ポータル設定を表示、 はい
追加、変更、または削除できるかどうかを指定
します。
はい
はい
ゲートウェイ
管理者が、GlobalProtect ゲートウェイ設定を表 はい
示、追加、変更、または削除できるかどうかを
指定します。
はい
はい
MDM
管理者が、GlobalProtect MDM サーバー設定を はい
表示、追加、変更、または削除できるかどうか
を指定します。
はい
はい
はい
はい
はい
QoS
有効化
ネットワーク
プロファイル
デフォルト状態を設定して、以下で説明する はい
ネットワークの設定すべてを有効または無効に
します。
いいえ
はい
IKE ゲートウェイ
[ネットワーク プロファイル] > [IKE ゲートウェ はい
イ ] ノードへのアクセスを制御します。この権
限を無効にすると、その管理者には [IKE ゲー
トウェイ ] ノードが表示されず、ピア ゲート
ウェイとの IKE プロトコル ネゴシエーション
を実行するために必要な設定情報を含め、ゲー
トウェイを定義することができません。
はい
はい
はい
はい
はい
はい
権限状態を読み取り専用に設定すると、管理者
は現在設定されている IKE ゲートウェイを表
示できますが、ゲートウェイを追加または編集
することはできません。
IPSec 暗号
[ネットワーク プロファイル] > [IPsec 暗号] ノー はい
ドへのアクセスを制御します。この権限を無効
にすると、その管理者には [ ネットワーク プロ
ファイル] > [IPSec 暗号] ノードが表示されず、
IPSec SA ネゴシエーションに基づいて VPN ト
ンネルでの識別、認証、および暗号化のための
プロトコルおよびアルゴリズムを指定すること
ができません。
権限状態を読み取り専用に設定すると、管理者
は現在設定されている IPSec 暗号設定を表示で
きますが、設定を追加または編集することはで
きません。
IKE 暗号
86
デバイス間の情報交換の方法を制御して、保護 はい
された通信を確保します。IPSec SA ネゴシエー
ション(IKEv1 フェーズ 1)に基づいて VPN ト
ンネルでの識別、認証、および暗号化のための
プロトコルおよびアルゴリズムを指定します。
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス レベル
説明
有効化
モニター
[ネットワーク プロファイル ] > [ モニター] ノー はい
ドへのアクセスを制御します。この権限を無効
にすると、その管理者には [ ネットワーク プロ
ファイル ] > [ モニター] ノードが表示されず、
IPSec トンネルのモニタリングに使用されるモ
ニター プロファイルを作成または編集してポ
リシーベース フォワーディング (PBF) ルールの
ネクスト ホップ デバイスをモニターすること
ができません。
読み取り
専用
無効化
はい
はい
はい
はい
はい
はい
権限状態を読み取り専用に設定すると、管理者
は現在設定されているモニター プロファイル
設定を表示できますが、設定を追加または編集
することはできません。
インターフェイス管理
[ ネットワーク プロファイル ] > [ インターフェ はい
イス管理 ] ノードへのアクセスを制御します。
こ の 権 限 を 無 効 に す る と、そ の 管 理 者 に は
[ ネットワーク プロファイル ] > [ インターフェイ
ス管理 ] ノードが表示されず、ファイアウォー
ルの管理で使用するプロトコルを指定すること
ができません。
権限状態を読み取り専用に設定すると、管理者
は現在設定されているインターフェイス管理プ
ロファイル設定を表示できますが、設定を追加
または編集することはできません。
ゾーン プロテクション [ ネットワーク プロファイル ] > [ ゾーン プロテ はい
クション ] ノードへのアクセスを制御します。
こ の 権 限 を 無 効 に す る と、そ の 管 理 者 に は
[ ネットワーク プロファイル ] > [ ゾーン プロテ
クション ] ノードが表示されず、指定したセ
キュリティ ゾーンからの攻撃に対するファイ
アウォールの防御方法を決めるプロファイルを
設定することができません。
権限状態を読み取り専用に設定すると、管理者
は現在設定されているゾーン プロテクション
プロファイル設定を表示できますが、設定を追
加または編集することはできません。
デバイス管理
87
リファレンス : Web インターフェイス管理者のアクセス権限
デバイス管理
アクセス レベル
説明
有効化
QoS プロファイル
[ ネットワーク プロファイル ] > [QoS] ノードへ はい
のアクセスを制御します。この権限を無効にす
ると、その管理者には [ ネットワーク プロファ
イル ] > [QoS] ノードが表示されず、QoS トラ
フィック クラスの処理方法を決める QoS プロ
ファイルを設定することができません。
読み取り
専用
無効化
はい
はい
読み取り
専用
無効化
はい
はい
権限状態を読み取り専用に設定すると、管理者
は現在設定されている QoS プロファイル設定
を表示できますが、設定を追加または編集する
ことはできません。
[Device] タブに対する詳細なアクセス権限の付与
アクセス レベル
説明
有効化
セットアップ
[セットアップ] ノードへのアクセスを制御しま はい
す。この権限を無効にすると、その管理者には
[ セットアップ ] ノードが表示されず、[ 管理 ]、
[ 操作 ]、[ サービス ]、[ コンテンツ ID]、
[Wildfire]、または [ セッション ] セットアップ情
報などのデバイス全体のセットアップ設定情報
にアクセスできません。
権限状態を読み取り専用に設定すると、管理者
は現在の設定を表示できますが、変更を加える
ことはできません。
設定監査
[設定監査] ノードへのアクセスを制御します。 はい
この権限を無効にすると、その管理者には [ 設
定監査 ] ノードが表示されず、デバイス全体の
設定情報にアクセスできません。
いいえ
はい
管理者ロール
[管理者ロール] ノードへのアクセスを制御しま いいえ
す。この機能は、読み取り専用アクセスでのみ
許可されます。
はい
はい
この権限を無効にすると、その管理者には [ 管
理者ロール ] ノードが表示されず、管理者ロー
ル設定に関係するデバイス全体の情報にアクセ
スできません。
この権限を読み取り専用に設定すると、管理者
はそのデバイスで設定されているすべての管理
者ロールの設定情報を表示できます。
88
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス レベル
説明
有効化
管理者
[管理者] ノードへのアクセスを制御します。こ いいえ
の機能は、読み取り専用アクセスでのみ許可さ
れます。
読み取り
専用
無効化
はい
はい
はい
はい
はい
はい
はい
はい
この権限を無効にすると、その管理者には [ 管
理者 ] ノードが表示されず、自分の管理者アカ
ウントに関する情報にアクセスできません。
この権限を読み取り専用に設定すると、管理
者は自分の管理者アカウントの設定情報を表
示できます。そのデバイスで設定されている
他の管理者アカウントに関する情報は表示さ
れません。
仮想システム
[仮想システム] ノードへのアクセスを制御しま はい
す。この権限を無効にすると、その管理者には
仮想システムが表示されず、仮想システムを設
定することができません。
権限状態を読み取り専用に設定すると、管理者
は現在設定されている仮想システムを表示でき
ますが、設定を追加または編集することはでき
ません。
共有ゲートウェイ
[共有ゲートウェイ] ノードへのアクセスを制御 はい
します。仮想システムは、共有ゲートウェイを
使用することによって共通の外部通信インター
フェイスを共有できます。
この権限を無効にすると、その管理者には共有
ゲートウェイが表示されず、共有ゲートウェイ
を設定することができません。
権限状態を読み取り専用に設定すると、管理者
は現在設定されている共有ゲートウェイを表示
できますが、設定を追加または編集することは
できません。
ユーザー ID
[ユーザー ID] ノードへのアクセスを制御しま はい
す。この権限を無効にすると、その管理者には
[ ユーザー ID] ノードが表示されず、[ ユーザー
マッピング ]、[ ユーザー ID エージェント ]、
[ サービス ]、[ ターミナル サービス エージェン
ト ]、[ グループ マッピング設定 ]、または [ キャ
プティブ ポータルの設定 ] などのデバイス全体
の User-ID 設定情報にアクセスできません。
この権限を読み取り専用に設定すると、管理者
はデバイスの設定情報を表示できますが、設定
手順を実行することは許可されません。
デバイス管理
89
リファレンス : Web インターフェイス管理者のアクセス権限
デバイス管理
アクセス レベル
説明
有効化
VM 情報ソース
VM インベントリを自動的に収集するファイア はい
ウォール /Windows User-ID エージェントを設定
することができる、[VM 情報ソース ] ノードへ
のアクセスを制御します。この権限を無効にす
ると、その管理者には [VM 情報ソース ] ノード
が表示されません。
読み取り
専用
無効化
はい
はい
はい
はい
この権限を読み取り専用に設定すると、管理者
は設定された VM 情報ソースを表示できます
が、ソースを追加、編集、または削除すること
はできません。
この権限は、[ デバイス グループとテン
プレート ] 管理者に付与することはでき
ません。
高可用性
[高可用性] ノードへのアクセスを制御します。 はい
この権限を無効にすると、その管理者には [ 高
可用性 ] ノードが表示されず、[ 全般 ] のセット
アップ情報や [ リンクおよびパスのモニタリン
グ ] などのデバイス全体の高可用性設定の情報
にアクセスできません。
この権限を読み取り専用に設定すると、管理者
はそのデバイスでの高可用性設定情報を表示で
きますが、設定手順を実行することは許可され
ません。
証明書の管理
デフォルト状態を設定して、以下で説明する証 はい
明書の設定すべてを有効または無効にします。
いいえ
はい
証明書
[証明書] ノードへのアクセスを制御します。こ はい
の権限を無効にすると、その管理者には [ 証明
書 ] ノードが表示されず、[ デバイス証明書 ] や
[ デフォルトの信頼された証明機関 ] に関連した
情報を設定したり、それらの情報にアクセスし
たりすることはできません。
はい
はい
この権限を読み取り専用に設定すると、管理者
はそのデバイスでの証明書設定情報を表示でき
ますが、設定手順を実行することは許可されま
せん。
90
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス レベル
説明
有効化
証明書プロファイル
[証明書プロファイル] ノードへのアクセスを制 はい
御します。この権限を無効にすると、その管理
者には [ 証明書プロファイル ] ノードが表示さ
れず、証明書プロファイルを作成できません。
読み取り
専用
無効化
はい
はい
はい
はい
はい
はい
いいえ
はい
この権限を読み取り専用に設定すると、管理
者はそのデバイスで現在設定されている証明
書プロファイルを表示できますが、証明書プ
ロファイルを作成または編集することは許可
されません。
OCSP レスポンダ
[OCSP レスポンダ ] ノードへのアクセスを制御 はい
します。この権限を無効にすると、その管理者
には [OCSP レスポンダ ] ノードが表示されず、
PAN-OS デバイスによって発行される証明書の
失効状態の検証に使用されるサーバーを定義す
ることはできません。
この権限を読み取り専用に設定すると、管理者
はそのデバイスでの [OCSP レスポンダ ] 設定を
表示できますが、OCSP レスポンダ設定を作成
または編集することは許可されません。
応答ページ
[応答ページ] ノードへのアクセスを制御します。 はい
この権限を無効にすると、その管理者には [ 応
答ページ ] ノードが表示されず、要求された
Web ページまたはファイルの代わりにダウン
ロードおよび表示されるカスタム HTML メッ
セージを定義することができません。
この権限を読み取り専用に設定すると、管理者
はそのデバイスでの [ 応答ページ ] 設定を表示
できますが、応答ページ設定を作成または編集
することは許可されません。
ログ設定
デバイス管理
デフォルト状態を設定して、以下で説明するロ はい
グの設定すべてを有効または無効にします。
91
リファレンス : Web インターフェイス管理者のアクセス権限
デバイス管理
アクセス レベル
説明
有効化
システム
[ ログ設定 ] > [ システム ] ノードへのアクセス はい
を制御します。この権限を無効にすると、その
管理者には [ ログ設定 ] > [ システム ] ノードが
表示されず、Panorama によってリモートでログ
に記録され、SNMP トラップ、Syslog メッセー
ジ、または電子メール通知として送信されるシ
ステム ログ エントリの重大度レベルを指定す
ることができません。
読み取り
専用
無効化
はい
はい
はい
はい
はい
はい
この権限を読み取り専用に設定すると、管理者
はそのデバイスでの [ ログ設定 ] > [ システム ]
設定を表示できますが、設定を作成または編集
することは許可されません。
設定
[ ログ設定 ] > [ 設定 ] ノードへのアクセスを制 はい
御します。この権限を無効にすると、その管理
者には [ ログ設定 ] > [ 設定 ] ノードが表示され
ず、Panorama によってリモートでログに記録さ
れて Syslog メッセージまたは電子メール通知と
して送信される設定ログ エントリを指定する
ことができません。
この権限を読み取り専用に設定すると、管理者
はそのデバイスでの [ ログ設定 ] > [ 設定 ] 設定
を表示できますが、設定を作成または編集する
ことは許可されません。
HIP マッチ
[ ログ設定 ] > [HIP マッチ ] ノードへのアクセス はい
を制御します。この権限を無効にすると、その
管理者には [ ログ設定 ] > [HIP マッチ ] ノード
が表示されず、GlobalProtect クライアントに適
用するセキュリティ ポリシーに関する情報を
提供するために使用されるホスト情報プロファ
イル (HIP) マッチのログ設定を指定することが
できません。
この権限を読み取り専用に設定すると、管理者
はそのデバイスでの [ ログ設定 ] > [HIP マッチ ]
設定を表示できますが、設定を作成または編集
することは許可されません。
92
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス レベル
説明
有効化
アラーム
[ ログ設定 ] > [ アラーム ] ノードへのアクセス はい
を制御します。この権限を無効にすると、その
管理者には [ ログ設定 ] > [ アラーム ] ノードが
表 示 さ れ ず、セ キ ュ リ テ ィ ル ー ル(ま た は
ルールのグループ)が一定期間に繰り返し適用
さた場合に生成される通知を設定することがで
きません。
読み取り
専用
無効化
はい
はい
はい
はい
いいえ
はい
はい
はい
この権限を読み取り専用に設定すると、管理者
はそのデバイスでの [ ログ設定 ] > [ アラーム ]
設定を表示できますが、設定を作成または編集
することは許可されません。
ログの管理
[ ログ設定 ] > [ ログの管理 ] ノードへのアクセ はい
スを制御します。この権限を無効にすると、そ
の管理者には [ ログ設定 ] > [ ログの管理 ] ノー
ドが表示されず、表示されたログをクリアする
ことができません。
この権限を読み取り専用に設定すると、管理者
は [ ログ設定 ] > [ ログの管理 ] 情報を表示でき
ますが、いずれのログもクリアすることはでき
ません。
サーバー プロファイル デフォルト状態を設定して、以下で説明する はい
サーバー プロファイルの設定すべてを有効ま
たは無効にします。
SNMP トラップ
[ サーバー プロファイル ] > [SNMP トラップ ] はい
ノードへのアクセスを制御します。この権限を
無効にすると、その管理者には [ サーバー プロ
ファイル ] > [SNMP トラップ ] ノードが表示さ
れず、システム ログ エントリで使用されるよ
うに 1 つ以上の SNMP トラップの宛先を指定す
ることができません。
この権限を読み取り専用に設定すると、管理者
は、[ サーバー プロファイル ] > [SNMP トラッ
プ ログ ] 情報を表示できますが、SNMP トラッ
プの宛先を指定することはできません。
デバイス管理
93
リファレンス : Web インターフェイス管理者のアクセス権限
デバイス管理
アクセス レベル
説明
有効化
Syslog
[ サーバー プロファイル ] > [Syslog] ノードへの はい
アクセスを制御します。この権限を無効にする
と、管理者には [ サーバー プロファイル ] >
[Syslog] ノードが表示されず、Syslog サーバー
を指定することができません。
読み取り
専用
無効化
はい
はい
はい
はい
はい
はい
はい
はい
この権限を読み取り専用に設定すると、管理者
は、[ サーバー プロファイル ] > [Syslog] 情報を
表示できますが、Syslog サーバーを指定するこ
とはできません。
電子メール
[ サーバー プロファイル ] > [ 電子メール ] ノード はい
へのアクセスを制御します。この権限を無効に
すると、管理者には [ サーバー プロファイル ] >
[電子メール] ノードが表示されず、システムお
よび設定ログ エントリの電子メール通知を有
効 に す る た め に 使 用 で きる 電 子 メ ー ル プ ロ
ファイルを設定することができません。
この権限を読み取り専用に設定すると、管理者
は、[ サーバー プロファイル ] > [ 電子メール ]
情報を表示できますが、プロファイルを設定し
て電子メールで送信することはできません。
Netflow
[ サーバー プロファイル ] > [Netflow] ノードへの はい
アクセスを制御します。この権限を無効にする
と、その管理者には [ サーバー プロファイル ] >
[Netflow] ノードが表示されず、NetFlow サー
バー プロファイルを定義することができませ
ん。このプロファイルでは、エクスポートされ
たデータを受信する NetFlow サーバーおよびエ
クスポートの頻度を指定します。
この権限を読み取り専用に設定すると、管理者
は [ サーバー プロファイル ] > [Netflow] 情報を
表示できますが、Netflow プロファイルを定義
することはできません。
RADIUS
[ サーバー プロファイル ] > [RADIUS] ノードへの はい
アクセスを制御します。この権限を無効にする
と、その管理者には [ サーバー プロファイル ] >
[RADIUS] ノードが表示されず、認証プロファ
イルで識別される RADIUS サーバーの設定を行
うことができません。
この権限を読み取り専用に設定すると、管理者
は [ サーバー プロファイル ] > [RADIUS] 情報を
表示できますが、RADIUS サーバーの設定を行
うことはできません。
94
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス レベル
説明
有効化
LDAP
[ サーバー プロファイル ] > [LDAP] ノードへの はい
アクセスを制御します。この権限を無効にする
と、その管理者には [ サーバー プロファイル ] >
[LDAP] ノードが表示されず、認証プロファイ
ルによる認証で使用する LDAP サーバーの設定
を行うことができません。
読み取り
専用
無効化
はい
はい
はい
はい
この権限を読み取り専用に設定すると、管理者
は [ サーバー プロファイル ] > [LDAP] 情報を表
示できますが、LDAP サーバーの設定を行うこ
とはできません。
Kerberos
[ サーバー プロファイル ] > [Kerberos] ノード はい
へのアクセスを制御します。この権限を無効に
すると、その管理者には [ サーバー プロファイ
ル ] > [Kerberos] ノードが表示されず、ユー
ザ ー が ド メ イ ン コ ン ト ロ ー ラに 対 し て ネ イ
ティブに認証できるようにする Kerberos サー
バーの設定を行うことができません。
この権限を読み取り専用に設定すると、管理者
は [ サーバー プロファイル ] > [Kerberos] 情報
を表示できますが、Kerberos サーバーの設定を
行うことはできません。
ローカル ユーザー
データベース
デフォルト状態を設定して、以下で説明する はい
ローカル ユーザー データベースの設定すべて
を有効または無効にします。
いいえ
はい
ユーザー
[ ローカル ユーザー データベース ] > [ ユーザー] はい
ノードへのアクセスを制御します。この権限を
無効にすると、その管理者には [ ローカル ユー
ザー データベース ] > [ ユーザー] ノードが表示
されず、リモート アクセス ユーザー、デバイ
ス管理者、およびキャプティブ ポータル ユー
ザ ー の 認 証 情 報 を 格 納 する ロ ー カ ル デ ー タ
ベースをファイアウォールにセットアップする
ことができません。
はい
はい
この権限を読み取り専用に設定すると、管理者
は [ ローカル ユーザー データベース ] > [ ユー
ザー] 情報を表示できますが、認証情報を格納
するローカル データベースをファイアウォー
ルにセットアップすることはできません。
デバイス管理
95
リファレンス : Web インターフェイス管理者のアクセス権限
デバイス管理
アクセス レベル
説明
有効化
ユーザー グループ
[ ローカル ユーザー データベース ] > [ ユーザー] はい
ノードへのアクセスを制御します。この権限を
無効にすると、その管理者には [ ローカル ユー
ザー データベース ] > [ ユーザー] ノードが表示
されず、ローカル データベースにユーザー グ
ループ情報を追加することができません。
読み取り
専用
無効化
はい
はい
はい
はい
はい
はい
はい
はい
この権限を読み取り専用に設定すると、管理者
は [ ローカル ユーザー データベース ] > [ ユー
ザー] 情報を表示できますが、ローカル データ
ベースにユーザー グループ情報を追加するこ
とはできません。
認証プロファイル
[認証プロファイル] ノードへのアクセスを制御 はい
します。この権限を無効にすると、その管理者
には [ 認証プロファイル ] ノードが表示されず、
管理者アカウントに割り当てることができる
ローカル データベース、RADIUS、LDAP、ま
たは Kerberos の設定を作成または編集すること
ができません。
この権限を読み取り専用に設定すると、管理者
は [認証プロファイル] 情報を表示できますが、
認証プロファイルを作成または編集することは
できません。
認証シーケンス
[認証シーケンス] ノードへのアクセスを制御し はい
ます。この権限を無効にすると、その管理者に
は [ 認証シーケンス ] ノードが表示されず、認証
シーケンスを作成または編集することができま
せん。
この権限を読み取り専用に設定すると、管理者
は [ 認証プロファイル ] 情報を表示できますが、
認証シーケンスを作成または編集することはで
きません。
アクセス ドメイン
[アクセス ドメイン] ノードへのアクセスを制御 はい
します。この権限を無効にすると、その管理者
には [アクセス ドメイン] ノードが表示されず、
アクセス ドメインを作成または編集すること
ができません。
この権限を読み取り専用に設定すると、[ アクセ
ス ドメイン ] の情報を表示できますが、アクセ
ス ドメインを作成または編集することはでき
ません。
96
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス レベル
説明
有効化
スケジュール
設定されたログの
エクスポート
[ スケジュール設定されたログのエクスポート ] はい
ノードへのアクセスを制御します。この権限を
無効にすると、その管理者には [ スケジュール
設定されたログのエクスポート ] ノードが表示
されず、ログのエクスポートをスケジュール設
定してそのログを CSV 形式で FTP (File Transfer
Protocol) サーバーに保存したり、または Secure
Copy (SCP) を使用してファイアウォールとリ
モート ホスト間でデータを安全に転送したり
することができません。
読み取り
専用
無効化
いいえ
はい
はい
はい
はい
はい
この権限を読み取り専用に設定すると、管理者
は [ スケジュール設定されたログのエクスポー
ト ] プロファイル情報を表示できますが、ログ
のエクスポートをスケジュール設定することは
できません。
ソフトウェア
[ソフトウェア] ノードへのアクセスを制御しま はい
す。この権限を無効にすると、その管理者には
[ ソフトウェア ] ノードが表示されず、Palo Alto
Networks が提供する最新バージョンの PAN-OS
ソフトウェアを表示し、各バージョンのリリー
ス ノートを読み、リリースを選択してダウン
ロードおよびインストールすることができま
せん。
この権限を読み取り専用に設定すると、管理者
は [ ソフトウェア ] 情報を表示できますが、ソ
フトウェアをダウンロードまたはインストール
することはできません。
GlobalProtect
クライアント
[GlobalProtect クライアント ] ノードへのアク はい
セスを制御します。この権限を無効にすると、
その管理者には [GlobalProtect クライアント ]
ノードが表示されず、使用可能な GlobalProtect
リリースを表示したり、コードをダウンロード
したり、GlobalProtect エージェントをアクティ
ブにしたりすることができません。
この権限を読み取り専用に設定すると、管理者
は [GlobalProtect クライアント ] リリースを表
示できますが、エージェント ソフトウェアを
ダウンロードまたはインストールすることはで
きません。
デバイス管理
97
リファレンス : Web インターフェイス管理者のアクセス権限
デバイス管理
アクセス レベル
説明
有効化
ダイナミック更新
[ダイナミック更新] ノードへのアクセスを制御 はい
します。この権限を無効にすると、管理者には
[ダイナミック更新] ノードが表示されず、最新
の更新を表示したり、各更新のリリース ノー
ト を 読 ん だ り、ア ッ プ ロ ー ド お よ び イ ン ス
トールする更新を選択したりすることができ
ません。
読み取り
専用
無効化
はい
はい
はい
はい
はい
はい
この権限を読み取り専用に設定すると、管理者
は使用可能な [ ダイナミック更新 ] リリースを
表示し、リリース ノートを読むことができま
すが、ソフトウェアをアップロードまたはイン
ストールすることはできません。
ライセンス
[ライセンス] ノードへのアクセスを制御します。 はい
この権限を無効にすると、その管理者には [ ラ
イセンス ] ノードが表示されず、インストール
済みのライセンスを表示したり、ライセンスを
アクティブにしたりすることができません。
この権限を読み取り専用に設定すると、管理者
はインストール済みの [ ライセンス ] を表示で
きますが、ライセンス管理機能を実行すること
はできません。
サポート
[サポート] ノードへのアクセスを制御します。 はい
この権限を無効にすると、その管理者には [ サ
ポート ] ノードが表示されず、Palo Alto Networks
か ら の 実 働 ア ラ ー ト お よび セ キ ュ リ テ ィ ア
ラートにアクセスしたり、テクニカル サポー
ト ファイルまたは Stats Dump ファイルを生成
したりすることができません。
この権限を読み取り専用に設定すると、管理者
は [ サポート ] ノードを表示し、実働アラート
およびセキュリティ アラートにアクセスする
ことができますが、テクニカル サポート ファ
イルまたは Stats Dump ファイルを生成すること
はできません。
98
デバイス管理
デバイス管理
アクセス レベル
リファレンス : Web インターフェイス管理者のアクセス権限
説明
有効化
マ ス タ ー キ ー お よ び [マスター キーおよび診断] ノードへのアクセス はい
診断
を制御します。この権限を無効にすると、その
読み取り
専用
無効化
はい
はい
読み取り
専用
無効化
管理者には [ マスター キーおよび診断 ] ノード
が表示されなくなり、ファイアウォールで秘密
鍵を暗号化するためのマスター キーを指定す
ることができません。
この権限を読み取り専用に設定すると、管理者
は [マスター キーおよび診断 ] ノードを表示し、
指定されているマスター キーに関する情報を
表示できますが、新しいマスター キー設定を
追加または編集することはできません。
管理者ロール プロファイルでのユーザーのプライバシー設定の定義
アクセス レベル
説明
有効化
専用
デフォルト状態を設定して、以下で説明するプ はい
ライバシー設定すべてを有効または無効にし
ます。
なし
はい
完全 IP アドレスの表示 無効に設定すると、Palo Alto ファイアウォール はい
なし
はい
を通過するトラフィックによって取得された完
全 IP アドレスは、ログまたはレポートに表示
されません。通常表示される IP アドレスの代
わりに、関連サブネットが表示されます。
[Monitor] > [レポート] を介してインター
フェイスに表示されるスケジュール設定
されたレポート、およびスケジュール設
定された電子メールで送信されるレポー
トには、この設定を無効にしても完全 IP
アドレスが表示されます。このような例
外があるため、[Monitor] タブに表示さ
れる、[ カスタム レポート ]、[ アプリケー
ション レポート]、[脅威レポート]、[URL
フィルタリング レポート ]、[トラフィック
レポート ]、および [ 電子メール スケジュー
ラ ] の各設定を無効に設定することをお
勧めします。
デバイス管理
99
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス レベル
説明
デバイス管理
有効化
ログおよびレポート内 無効に設定すると、Palo Alto Networks ファイア はい
でのユーザー名の表示 ウォールを通過するトラフィックによって得ら
読み取り
専用
無効化
なし
はい
なし
はい
読み取り
専用
無効化
なし
はい
読み取り
専用
無効化
なし
はい
れたユーザー名は、ログまたはレポートに表示
されません。通常ユーザー名が表示される列
は、空になります。
[Monitor] > [ レポート ] を介してインター
フェイスに表示されるスケジュール設定され
たレポート、または電子メール スケジューラ
経由で送信されるレポートには、その後も
ユーザー名が表示されます。このような例外
があるため、[Monitor] タブに表示される、[ カ
スタム レポート ]、[ アプリケーション レポー
ト ]、[ 脅威レポート ]、[URL フィルタリング
レポート ]、[トラフィック レポート]、および
[ 電子メール スケジューラ ] の各設定を無効に
設定することをお勧めします。
パケット キャプチャ
ファイルの表示
無効に設定すると、通常ならトラフィック ロ はい
グ、脅威ログ、およびデータ フィルタリング
ログに表示されるパケット キャプチャ ファイ
ルは表示されません。
コミット機能への管理者アクセスの制限
[ コミット ] の設定を使用したユーザー アクセスの制限
アクセス レベル
説明
有効化
コミット
無効に設定すると、管理者は設定に対する変更 はい
を何もコミットできません。
グローバル設定への詳細なアクセス権限の指定
[ グローバル ] の設定を使用したユーザー アクセスの制限
アクセス レベル
説明
グローバル
デフォルト状態を設定して、以下で説明するグ はい
ローバルの設定すべてを有効または無効にしま
す。事実上この設定は、この時点では [ システ
ム アラーム ] にのみ適用されます。
100
有効化
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス レベル
説明
有効化
システム アラーム
無効に設定すると、管理者は生成されるアラー はい
ムを表示または確認できません。
読み取り
専用
無効化
なし
はい
[Panorama] タブに対する詳細なアクセス権限の付与
以下 の 表 に、[Panorama] タ ブ のア ク セス レベ ル と、そ の レベ ル で設 定 可能 な カス タ ム
Panorama 管理者ロールの一覧を示します。ファイアウォール管理者は、これらの権限のいずれ
にもアクセスできません。
アクセス
レベル
説明
設定可能な
管理者ロール
セットアップ 管理者が、[ 管理 ]、[ 操作 ]、[ サービ Panorama: はい
有効化
読み取 無効化
り専用
はい
はい
はい
はい
はい
はい
ス ]、[WildFire]、または [HSM] など デバイス グループ /
の [Panorama] のセットアップ情報を テンプレート : いいえ
表示または編集できるかどうかを指
定します。
この権限を読み取り専用に設定する
と、管 理 者 は 情 報 を 表 示 で き ま す
が、編集することはできません。
この権限を無効にすると、管理者は
情報を表示または編集することがで
きません。
テンプレート 管理者が、テンプレートを表示、編 Panorama: はい
集、追加、または削除できるかどう デバイス グループ /
かを指定します。
テンプレート : はい
この権限を読み取り専用に設定する
と、管理者はテンプレートの設定を
表示できますが、管理することはで
きません。
([ デバイス
グループとテ
ンプレート ]
管理者の場合
は [ いいえ ])
この権限を無効にすると、管理者は
テンプレートの設定を表示または管
理することができません。
設定監査
デバイス管理
はい
管理者が Panorama 設定の監査を実行 Panorama: はい
できるかどうかを指定します。この権 デバイス グループ /
限を無効にすると、管理者は Panorama テンプレート : いいえ
設定の監査を実行できません。
いいえ はい
101
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス
レベル
説明
設定可能な
管理者ロール
管理対象
デバイス
管理者が、ファイアウォールを管理 Panorama: はい
対象デバイスとして表示、追加、編 デバイス グループ /
集、タグ付け、または削除できるか テンプレート : はい
ど う か、お よ び そ れ ら の フ ァ イ ア
ウォールでソフトウェアまたはコン
テンツの更新をインストールできる
かどうかを指定します。
デバイス管理
有効化
読み取 無効化
り専用
はい
はい
はい
はい
はい
([ デバイス
グループとテ
ンプレート ]
ロールの場合
は [ いいえ ])
この権限を読み取り専用に設定する
と、管 理 者 は、管 理 対 象 フ ァ イ ア
ウォールを表示できますが、それら
のファイアウォールで更新を追加、
削除、タグ付け、またはインストー
ルすることはできません。
こ の 権 限 を 無 効 に す る と、管 理 者
は、管理対象ファイアウォールで更
新を表示、追加、編集、タグ付け、
削除、またはインストールすること
ができません。
この権限は、[Panorama] > [管
理対象デバイス ] ページにのみ
適用 されます。「デバイスの
デプロイ」権限を持つ管理者
は、適用後も [Panorama] > [ デ
バイスのデプロイ ] ページを使
用して管理対象ファイア
ウォールに更新をインストー
ルできます。
デバイス
グループ
管 理 者 が、デ バ イ ス グ ル ー プ を 表 Panorama: はい
示、編集、追加、または削除できる デバイス グループ /
かどうかを指定します。
テンプレート : はい
この権限を読み取り専用に設定する
と、管理者はデバイス グループの設
定を表示できますが、管理すること
はできません。
はい
([ デバイス
グループとテ
ンプレート ]
ロールの場合
は [ いいえ ])
この権限を無効にすると、管理者は
デバイス グループの設定を表示また
は管理することができません。
102
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス
レベル
説明
設定可能な
管理者ロール
有効化
管理対象
コレクタ
はい
管 理 者 が、管 理 対 象 コ レ ク タ を 表 Panorama: はい
示、編集、追加、または削除できる デバイス グループ /
かどうかを指定します。
テンプレート : いいえ
この権限を読み取り専用に設定する
と、管理者は管理対象コレクタの設
定を表示できますが、管理すること
はできません。
読み取 無効化
り専用
はい
はい
はい
はい
この権限を無効にすると、管理者は
管理対象コレクタの設定を表示、編
集、追加、または削除することがで
きません。
この権限は、[Panorama] > [管
理対象コレクタ ] ページにのみ
適用 されます。「デバイスの
デプロイ」権限を持つ管理者
は、適用後も [Panorama] > [ デ
バイスのデプロイ ] ページを使
用してログ コレクタに更新を
インストールすることができ
ます。
コレクタ
グループ
はい
管 理 者 が、コ レ ク タ グ ル ー プ を 表 Panorama: はい
示、編集、追加、または削除できる デバイス グループ /
かどうかを指定します。
テンプレート : いいえ
この権限を読み取り専用に設定する
と、管理者はコレクタ グループを表
示できますが、管理することはでき
ません。
この権限を無効にすると、管理者は
コレクタ グループを表示または管理
することができません。
デバイス管理
103
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス
レベル
説明
設定可能な
管理者ロール
デバイス管理
有効化
読み取 無効化
り専用
いいえ
はい
はい
いいえ
管理者が Panorama 管理者のアカウン Panorama: はい
ト詳細を表示できるかどうかを指定 デバイス グループ /
します。
テンプレート : いいえ
この機能へのフル アクセスを有効に
することはできません。有効にでき
るのは、読み取り専用アクセス権だ
けです(動的ロールを持つ Panorama
管理者だけが、Panorama 管理者を追
加、編集、または削除できます)。
読み取り専用アクセス権限を持つ管
理者は、自分のアカウントに関する
情 報 を 表 示 で き ま す が、そ の 他 の
Panorama 管理者のアカウントを表示
することはできません。
はい
はい
管理者ロール 管理者が Panorama 管理者のロールを Panorama: はい
表示できるかどうかを指定します。
デバイス グループ /
この機能へのフル アクセスを有効に テンプレート : いいえ
することはできません。有効にでき
るのは、読み取り専用アクセス権だ
けです(動的ロールを持つ Panorama
管理者だけが、カスタム Panorama ロー
ルを追加、編集、または削除できま
す)。読み取り専用アクセス権限を
持つ管理者は、Panorama 管理者のロー
ルの設定を表示できますが、管理す
ることはできません。
この権限を無効にすると、Panorama
管理者のロールを表示または管理す
ることができません。
管理者
こ の 権 限 を 無 効 に す る と、管 理 者
は、自分のアカウントを含め、すべ
ての Panorama 管理者のアカウントに
関する情報を表示できません。
104
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス
レベル
説明
設定可能な
管理者ロール
有効化
高可用性
はい
管理者が、Panorama 管理サーバーの Panorama: はい
高可用性 (HA) 設定を表示および管理 デバイス グループ /
できるかどうかを指定します。
テンプレート : いいえ
この権限を読み取り専用に設定する
と、管理者は、Panorama 管理サーバー
の HA 設定情報を表示できますが、そ
の設定を管理することはできません。
読み取 無効化
り専用
はい
はい
はい
はい
こ の 権 限 を 無 効 に す る と、管 理 者
は、Panorama 管理サーバーの HA 設
定を表示または管理することができ
ません。
VMware
Service
Manager
はい
管理者が、VMware Service Manager の Panorama: はい
設定を表示および編集できるかどう デバイス グループ /
かを指定します。
テンプレート : いいえ
この権限を読み取り専用に設定する
と、管 理 者 は 設 定 を 表 示 で き ま す
が、関連する設定または操作手順を
実行することはできません。
この権限を無効にすると、管理者は
設定を表示したり、関連する設定ま
たは操作手順を実行したりすること
ができません。
証明書の管理 Panorama の [ 証明書の管理 ] 権限のす Panorama: はい
はい
いいえ はい
べてについて、デフォルト状態を設 デバイス グループ /
定([ 有効 ] または [ 無効 ])します。 テンプレート : いいえ
証明書
はい
管理者が、証明書を表示、編集、生 Panorama: はい
成、削 除、失 効、更 新、ま た は エ ク デバイス グループ /
スポートできるかどうかを指定しま テンプレート : いいえ
す。こ の 権 限 に よ り、管 理 者 が HA
キーをインポートまたはエクスポー
トできるかどうかも指定します。
はい
はい
この権限を読み取り専用に設定する
と、管理者は、Panorama の証明書を
表示できますが、証明書または HA
キーを管理することはできません。
この権限を無効にすると、管理者は
Panorama の証明書または HA キーを表
示、管理することができません。
デバイス管理
105
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス
レベル
説明
設定可能な
管理者ロール
証明書
管理者が、Panorama の証明書プロファ Panorama: はい
プロファイル イ ル を 表 示、追 加、編 集、削 除、ま
デバイス管理
有効化
読み取 無効化
り専用
はい
はい
はい
デバイス グループ /
たはコピーできるかどうかを指定し テンプレート : いいえ
ます。
この権限を読み取り専用に設定する
と、管理者は、Panorama の証明書プ
ロファイルを表示できますが、管理
することはできません。
この権限を無効にすると、管理者は
Panorama の証明書プロファイルを表示
または管理することができません。
ログ設定
はい
ログ設定の権限すべてについて、デ Panorama: はい
フォルト状態([有効 ] または [無効 ]) デバイス グループ /
を設定します。
テンプレート : いいえ
いいえ はい
システム
はい
管理者が、外部サービス(Syslog、電 Panorama: はい
子メール、または SNMP トラップ サー デバイス グループ /
バー)へのシステム ログの転送を制 テンプレート : いいえ
御する設定項目を表示および設定で
きるかどうかを指定します。
はい
はい
この権限を読み取り専用に設定する
と、管理者は、システム ログの転送
設定を表示できますが、管理するこ
とはできません。
この権限を無効にすると、管理者は
設定を表示または管理することがで
きません。
Panorama M-100 アプライアンス
の場合、この権限は、Panorama
で生成されるそれ自体のシス
テム ログにのみ関係します。
Panorama 仮想アプライアンス
の場合、この権限は、Panorama
で 生 成 さ れ る シ ステム ログ
と、Panorama がファイアウォー
ルから収集するシステム ログ
に適用されます。
106
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス
レベル
説明
設定可能な
管理者ロール
有効化
設定
はい
管理者が、外部サービス(Syslog、電 Panorama: はい
子メール、または SNMP トラップ サー デバイス グループ /
バー)への設定ログの転送を制御す テンプレート : いいえ
る設定項目を表示および設定できる
かどうかを指定します。
読み取 無効化
り専用
はい
はい
この権限を読み取り専用に設定する
と、管理者は、設定ログの転送設定
を表示できますが、管理することは
できません。
この権限を無効にすると、管理者は
設定を表示または管理することがで
きません。
Panorama M-100 アプライアンス
の場合、この権限は、Panorama
で生成されるそれ自体の設定ロ
グにのみ関係します。Panorama
仮想アプライアンスの場合、
この権限は、Panorama で生成
される設定ログと、Panorama が
ファイアウォールから収集する
設定ログに適用されます。
デバイス管理
107
リファレンス : Web インターフェイス管理者のアクセス権限
設定可能な
管理者ロール
デバイス管理
アクセス
レベル
説明
有効化
HIP マッチ
はい
管理者が、Panorama 仮想アプライア Panorama: はい
ンスから外部サービス(Syslog、電子 デバイス グループ /
メール、または SNMP トラップ サー テンプレート : いいえ
バー)への HIP マッチ ログの転送を
制御する設定項目を表示および設定
できるかどうかを指定します。
読み取 無効化
り専用
はい
はい
[Panorama] > [ コレクタ グルー
プ] ページでは、Panorama M-100
アプライアンスからの HIP マッ
チ ログの転送を制御します。
[Device] > [ ログ設定 ] > [HIP
マッチ ] ページでは、ファイア
ウォールから外部サービス
(Panorama で の 集 約 な し)へ
の HIP マッチ ログの直接転送
を制御します。
この権限を読み取り専用に設定する
と、管理者は、HIP マッチ ログの転
送設定を表示できますが、管理する
ことはできません。
この権限を無効にすると、管理者は
設定を表示または管理することがで
きません。
108
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス
レベル
説明
設定可能な
管理者ロール
有効化
トラフィック
はい
管理者が、Panorama 仮想アプライア Panorama: はい
ンスから外部サービス(Syslog、電子 デバイス グループ /
メール、または SNMP トラップ サー テンプレート : いいえ
バー)へのトラフィック ログの転送
を制御する設定項目を表示および設
定できるかどうかを指定します。
読み取 無効化
り専用
はい
はい
[Panorama] > [ コレクタ グルー
プ] ページでは、Panorama M-100
ア プ ラ イ ア ン ス か ら の トラ
フィック ログの転送を制御しま
す。[Objects] > [ ログ転送 ] ペー
ジでは、ファイアウォールから
外部サービス(Panorama での集
約なし)へのトラフィック ロ
グの直接転送を制御します。
この権限を読み取り専用に設定する
と、管理者は、トラフィック ログの
転送設定を表示できますが、管理す
ることはできません。
この権限を無効にすると、管理者は
設定を表示または管理することがで
きません。
デバイス管理
109
リファレンス : Web インターフェイス管理者のアクセス権限
設定可能な
管理者ロール
デバイス管理
アクセス
レベル
説明
有効化
脅威
はい
管理者が、Panorama 仮想アプライア Panorama: はい
ンスから外部サービス(Syslog、電子 デバイス グループ /
メール、または SNMP トラップ サー テンプレート : いいえ
バー)への脅威ログの転送を制御す
る設定項目を表示および設定できる
かどうかを指定します。
読み取 無効化
り専用
はい
はい
[Panorama] > [ コレクタ グルー
プ] ページでは、Panorama M-100
アプライアンス からの脅威
ロ グ の 転 送 を 制 御 し ま す。
[Objects] > [ ログ転送 ] ページ
では、ファイアウォールから
外部サービス(Panorama での
集約なし)への脅威ログの直
接転送を制御します。
この権限を読み取り専用に設定する
と、管理者は、脅威ログの転送設定
を表示できますが、管理することは
できません。
この権限を無効にすると、管理者は
設定を表示または管理することがで
きません。
110
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス
レベル
説明
設定可能な
管理者ロール
有効化
WildFire
はい
管理者が、Panorama 仮想アプライア Panorama: はい
ンスから外部サービス(Syslog、電子 デバイス グループ /
メール、または SNMP トラップ サー テンプレート : いいえ
バー)への WildFire ログの転送を制
御する設定項目を表示および設定で
きるかどうかを指定します。
読み取 無効化
り専用
はい
はい
[Panorama] > [ コレクタ グルー
プ] ページでは、Panorama M-100
アプライアンス からの WildFire
ロ グ の 転 送 を 制 御 し ま す。
[Objects] > [ ログ転送 ] ページで
は、ファイアウォールから外部
サービス(Panorama での集約な
し)への WildFire ログの直接転
送を制御します。
この権限を読み取り専用に設定する
と、管理者は、WildFire ログの転送設
定を表示できますが、管理すること
はできません。
この権限を無効にすると、管理者は
設定を表示または管理することがで
きません。
サーバー
サーバー プロファイルの権限すべて Panorama: はい
プロファイル について、デフォルト状態([ 有効 ]
または [ 無効 ])を設定します。
はい
いいえ はい
デバイス グループ /
テンプレート : いいえ
これらの権限は、Panorama が
生成またはファイアウォール
から収集するログの転送で使
用されるサーバー プロファイ
ルまたは Panorama 管理者の認
証に使用されるサーバー プロ
ファイルにのみ関係します。
[Device] > [ サーバー プロファ
イル ] ページでは、ファイア
ウォールから外部サービス
(Panorama で の 集 約 な し)へ
の ロ グ の 直 接 転 送、ま た は
ファイアウォール管理者の認
証で使用されるサーバー プロ
ファイルを制御します。
デバイス管理
111
リファレンス : Web インターフェイス管理者のアクセス権限
設定可能な
管理者ロール
デバイス管理
アクセス
レベル
説明
有効化
SNMP
トラップ
はい
管理者が、SNMP トラップ サーバー Panorama: はい
のプロファイルを表示および設定で デバイス グループ /
きるかどうかを指定します。
テンプレート : いいえ
この権限を読み取り専用に設定する
と、管理者は、SNMP トラップ サー
バーのプロファイルを表示できます
が、管理することはできません。
読み取 無効化
り専用
はい
はい
はい
はい
はい
はい
この権限を無効にすると、管理者は
SNMP トラップ サーバーのプロファ
イルを表示または管理することがで
きません。
Syslog
はい
管理者が、Syslog サーバーのプロファ Panorama: はい
イルを表示および設定できるかどう デバイス グループ /
かを指定します。
テンプレート : いいえ
この権限を読み取り専用に設定する
と、管理者は、Syslog サーバーのプロ
ファイルを表示できますが、管理す
ることはできません。
この権限を無効にすると、管理者は
Syslog サーバーのプロファイルを表示
または管理することができません。
電子メール
はい
管理者が、電子メール サーバーのプ Panorama: はい
ロファイルを表示および設定できる デバイス グループ /
かどうかを指定します。
テンプレート : いいえ
この権限を読み取り専用に設定する
と、管理者は、電子メール サーバー
のプロファイルを表示できますが、
管理することはできません。
この権限を無効にすると、管理者は
電子メール サーバーのプロファイル
を表示または管理することができま
せん。
112
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス
レベル
説明
設定可能な
管理者ロール
有効化
RADIUS
はい
管理者が、Panorama 管理者の認証に Panorama: はい
使用される RADIUS サーバーのプロ デバイス グループ /
ファイルを表示および設定できるか テンプレート : いいえ
どうかを指定します。
読み取 無効化
り専用
はい
はい
はい
はい
はい
はい
この権限を読み取り専用に設定する
と、管理 者は、RADIUS サ ーバー の
プロファイルを表示できますが、管
理することはできません。
この権限を無効にすると、管理者は
RADIUS サーバーのプロファイルを表
示または管理することができません。
LDAP
はい
管理者が、Panorama 管理者の認証に Panorama: はい
使用される LDAP サーバーのプロファ デバイス グループ /
イルを表示および設定できるかどう テンプレート : いいえ
かを指定します。
この権限を読み取り専用に設定する
と、管理者は、LDAP サーバ ーのプ
ロファイルを表示できますが、管理
することはできません。
この権限を無効にすると、管理者は
LDAP サーバーのプロファイルを表示
または管理することができません。
Kerberos
はい
管理者が、Panorama 管理者の認証に Panorama: はい
使用される Kerberos サーバーのプロ デバイス グループ /
ファイルを表示および設定できるか テンプレート : いいえ
どうかを指定します。
この権限を読み取り専用に設定する
と、管理 者は、Kerberos サー バー の
プロファイルを表示できますが、管
理することはできません。
この権限を無効にすると、管理者は
Kerberos サーバーのプロファイルを表
示または管理することができません。
デバイス管理
113
リファレンス : Web インターフェイス管理者のアクセス権限
設定可能な
管理者ロール
デバイス管理
アクセス
レベル
説明
有効化
認証
プロファイル
はい
管理者が、Panorama 管理者の認証プ Panorama: はい
ロファイルを表示、追加、編集、削 デバイス グループ /
除、またはコピーできるかどうかを テンプレート : いいえ
指定します。
読み取 無効化
り専用
はい
はい
はい
はい
はい
はい
この権限を読み取り専用に設定する
と、管理者は、Panorama の認証プロ
ファイルを表示できますが、管理す
ることはできません。
この権限を無効にすると、管理者は
Panorama の認証プロファイルを表示
または管理することができません。
認証
シーケンス
はい
管理者が、Panorama 管理者の認証シー Panorama: はい
ケンスを表示、追加、編集、削除、 デバイス グループ /
またはコピーできるかどうかを指定 テンプレート : いいえ
します。
この権限を読み取り専用に設定する
と、管理者は、Panorama の認証シー
ケンスを表示できますが、管理する
ことはできません。
この権限を無効にすると、管理者は
Panorama の認証シーケンスを表示ま
たは管理することができません。
アクセス
ドメイン
はい
管理者が、Panorama 管理者のアクセ Panorama: はい
ス ドメインを表示、追加、編集、削 デバイス グループ /
除、またはコピーできるかどうかを テンプレート : いいえ
指定します。
この権限を読み取り専用に設定する
と、管理者は、Panorama のアクセス
ドメインを表示できますが、管理す
ることはできません。
この権限を無効にすると、管理者は
Panorama のアクセス ドメインを表示
または管理することができません。
114
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス
レベル
説明
設定可能な
管理者ロール
有効化
スケジュール
設定された
設定の
エクスポート
はい
管理者が、Panorama のスケジュール Panorama: はい
された設定のエクスポートを表示、 デバイス グループ /
追加、編集、削除、またはコピーで テンプレート : いいえ
きるかどうかを指定します。
読み取 無効化
り専用
いいえ はい
この権限を読み取り専用に設定する
と、管理者は、スケジュールされた
エクスポートを表示できますが、管
理することはできません。
この権限を無効にすると、管理者はス
ケジュールされたエクスポートを表示
または管理することができません。
ソフトウェア
はい
管理者が、Panorama のソフトウェア Panorama: はい
更新に関する情報の表示、更新のダ デバイス グループ /
ウンロード、アップロード、または テンプレート : いいえ
インストール、および関連付けられ
ているリリース ノートの表示を実行
できるかどうかを指定します。
はい
はい
この権限を読み取り専用に設定する
と、管理者は、Panorama のソフトウェ
ア更新に関する情報を表示し、関連
付けられているリリース ノートを表
示できますが、関連する操作は何も
実行できません。
こ の 権 限 を 無 効 に す る と、管 理 者
は、Panorama のソフトウェア更新を
表示したり、関連付けられているリ
リース ノートを表示したり、関連す
る操作を実行したりすることができ
ません。
この権限は、Panorama 管理サー
バーにインストールされてい
るソフトウェアにのみ関係し
ます。[Panorama] > [デバイス
のデプロイ ] > [ ソフトウェア ]
ページでは、ファイアウォー
ル に デ プ ロ イ さ れ る PAN-OS
および専用のログ コレクタに
デプロイされる Panorama ソフ
トウェアへのアクセスを制御
します。
デバイス管理
115
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス
レベル
説明
設定可能な
管理者ロール
ダイナミック 管理者が、Panorama のコンテンツ更 Panorama: はい
更新
新(たとえば、WildFire の更新)に関
デバイス管理
有効化
読み取 無効化
り専用
はい
はい
はい
デバイス グループ /
する情報の表示、更新のダウンロー テンプレート : いいえ
ド、アップロード、インストール、
または更新を元に戻すこと、および
関連付けられているリリース ノート
の表示を実行できるかどうかを指定
します。
この権限を読み取り専用に設定する
と、管理者は、Panorama のコンテン
ツ更新に関する情報を表示し、関連
付けられているリリース ノートを表
示できますが、関連する操作は何も
実行できません。
こ の 権 限 を 無 効 に す る と、管 理 者
は、Panorama のコンテンツ更新を表
示 し た り、関 連 付 け ら れ て い る リ
リース ノートを表示したり、関連す
る操作を実行したりすることができ
ません。
この権限は、Panorama 管理サー
バーにインストールされるコ
ンテンツ更新にのみ関係しま
す。[Panorama] > [デバイスの
デプロイ ] > [ ダイナミック更新 ]
ページでは、ファイアウォール
と専用ログ コレクタにデプロ
イされるコンテンツ更新へのア
クセスを制御します。
116
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス
レベル
説明
設定可能な
管理者ロール
有効化
サポート
はい
管理者が、Panorama のサポート ライ Panorama: はい
セ ン ス 情 報、製 品 の ア ラ ー ト、セ デバイス グループ /
キュリティ アラートの表示、サポー テンプレート : いいえ
ト ライセンスのアクティベーショ
ン、テクニカル サポート ファイルの
生成、およびケースの管理を実行で
きるかどうかを指定します。
読み取 無効化
り専用
はい
はい
この権限を読み取り専用に設定する
と、管理者は、Panorama のサポート
情 報、製 品 の ア ラ ー ト、お よ び セ
キュリティ アラートを表示できます
が、サポート ライセンスをアクティ
ブ に し た り、テ ク ニ カ ル サ ポ ー ト
ファイルを生成したり、ケースを管
理したりすることはできません。
こ の 権 限 を 無 効 に す る と、管 理 者
は、Panorama のサポート情報、製品
のアラート、またはセキュリティ ア
ラートの表示、サポート ライセンス
のアクティベーション、テクニカル
サポート ファイルの生成、またはケー
スの管理を行うことができません。
デバイスの
デプロイ
デバイス管理
はい
デバイスのデプロイの権限すべてに Panorama: はい
ついて、デフォルト状態([ 有効 ] ま デバイス グループ /
たは [ 無効 ])を設定します。
テンプレート : はい
これらの権限は、Panorama の
管理者がファイアウォールお
よび専用ログ コレクタにデプ
ロイするソフトウェアおよび
コンテンツの更新にのみ関係
します。[Panorama] > [ソフト
ウェア ] および [Panorama] >
[ ダイナミック更新 ] ページで
は、Panorama 管理サーバーに
インストールされるソフト
ウェアおよびコンテンツ更新
を制御します。
いいえ はい
117
リファレンス : Web インターフェイス管理者のアクセス権限
設定可能な
管理者ロール
デバイス管理
アクセス
レベル
説明
有効化
ソフトウェア
はい
管理者が、ファイアウォールおよび Panorama: はい
ログ コレクタにインストールされる デバイス グループ /
ソフトウェア更新に関する情報の表 テンプレート : はい
示、更 新 の ダ ウ ン ロ ー ド、ア ッ プ
ロード、またはインストール、およ
び関連付けられているリリース ノー
トの表示を実行できるかどうかを指
定します。
読み取 無効化
り専用
はい
はい
はい
はい
この権限を読み取り専用に設定する
と、管理者は、ソフトウェア更新に
関する情報を表示し、関連付けられ
ているリリース ノートを表示できま
すが、ファイアウォールまたは専用
ログ コレクタに更新をデプロイする
ことはできません。
こ の 権 限 を 無 効 に す る と、管 理 者
は、ソフトウェア更新に関する情報
を表示したり、関連付けられている
リリース ノートを表示したり、ファ
イアウォールまたは専用ログ コレク
タに更新をデプロイしたりすること
ができません。
SSL VPN
クライアント
はい
管 理 者 が、フ ァ イ ア ウ ォ ー ル 上 の Panorama: はい
SSL VPN クライアント ソフトウェア デバイス グループ /
更新の表示、更新のダウンロード、 テンプレート : はい
アップロード、またはアクティベー
ション、および関連付けられている
リリース ノートの表示を実行できる
かどうかを指定します。
この権限を読み取り専用に設定する
と、管理者は、SSL VPN クライアン
トのソフトウェア更新に関する情報
を 表 示 し、関 連 付 け ら れ て い る リ
リ ー ス ノ ー ト を 表 示 で き ま す が、
ファイアウォール上の更新をアク
ティブにすることはできません。
この権限を無効に設定すると、管理
者は、SSL VPN クライアントのソフ
トウェア更新に関する情報を表示し
たり、関連付けられているリリース
ノ ー ト を 表 示 し た り、フ ァ イ ア
ウォール上の更新をアクティブにし
たりすることができません。
118
デバイス管理
デバイス管理
アクセス
レベル
リファレンス : Web インターフェイス管理者のアクセス権限
説明
設定可能な
管理者ロール
GlobalProtect 管 理 者 が、フ ァ イ ア ウ ォ ー ル 上 の Panorama: はい
クライアント GlobalProtect ク ラ イ ア ン ト ソ フ ト
有効化
読み取 無効化
り専用
はい
はい
はい
デバイス グループ /
ウ ェ ア 更 新 の 表 示、更 新 の ダ ウ ン テンプレート : はい
ロード、アップロード、またはアク
ティベーション、および関連付けら
れているリリース ノートの表示を実
行できるかどうかを指定します。
この権限を読み取り専用に設定する
と、管理者は、GlobalProtect クライア
ントのソフトウェア更新に関する情
報を表示し、関連付けられているリ
リ ー ス ノ ー ト を 表 示 で き ま す が、
ファイアウォール上の更新をアク
ティブにすることはできません。
この権限を無効に設定すると、管理
者は、GlobalProtect クライアントのソ
フトウェア更新に関する情報を表示
したり、関連付けられているリリー
ス ノ ー ト を 表 示 し た り、フ ァ イ ア
ウォール上の更新をアクティブにし
たりすることができません。
デバイス管理
119
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス
レベル
説明
設定可能な
管理者ロール
デバイス管理
有効化
読み取 無効化
り専用
はい
はい
はい
はい
管理者が、ファイアウォールのライ Panorama: はい
セ ン ス を 表 示、更 新、ま た は ア ク デバイス グループ /
ティブにすることができるかどうか テンプレート : はい
を指定します。
はい
はい
ダイナミック 管理者が、ファイアウォールおよび Panorama: はい
更新
専用ログ コレクタにインストールさ
デバイス グループ /
れるコンテンツ更新(たとえば、ア テンプレート : はい
プリケーション更新)に関する情報
の表示、更新のダウンロード、アッ
プロード、またはインストール、お
よび関連付けられているリリース
ノートの表示を実行できるかどうか
を指定します。
この権限を読み取り専用に設定する
と、管理者は、コンテンツ更新に関
する情報を表示し、関連付けられて
いるリリース ノートを表示できます
が、ファイアウォールまたは専用ロ
グ コレクタに更新をデプロイするこ
とはできません。
こ の 権 限 を 無 効 に す る と、管 理 者
は、コンテンツ更新に関する情報を
表示したり、関連付けられているリ
リース ノートを表示したり、ファイ
アウォールまたは専用ログ コレクタ
に更新をデプロイしたりすることが
できません。
ライセンス
この権限を読み取り専用に設定する
と、管理者は、ファイアウォールのラ
イセンスを表示できますが、それらの
ライセンスを更新したり、アクティ
ブにしたりすることはできません。
こ の 権 限 を 無 効 に す る と、管 理 者
は、ファイアウォールのライセンス
の表示、更新、またはアクティブに
することができません。
120
デバイス管理
デバイス管理
アクセス
レベル
リファレンス : Web インターフェイス管理者のアクセス権限
説明
設定可能な
管理者ロール
マスター キー 管理者が、Panorama で秘密鍵を暗号化 Panorama: はい
および診断
するためのマスター キーを表示およ
有効化
読み取 無効化
り専用
はい
はい
はい
デバイス グループ /
び設定できるかどうかを指定します。 テンプレート : いいえ
この権限を読み取り専用に設定する
と、管理者は、Panorama のマスター
キー設定を表示できますが、変更す
ることはできません。
この権限を無効にすると、管理者は
Panorama のマスター キー設定を表示
または編集することができません。
Panorama Web インターフェイスのアクセス
Panorama のカスタム管理者ロールにより、Panorama でのオプションへのアクセス権限、および
[ デバイス グループとテンプレート ]([Policies]、[Objects]、[Network]、[Device] タブ)への
アクセスのみを許可する権限を定義できます。
作成することができる管理者ロールは、[Panorama] と [ デバイス グループとテンプレート ] で
す。CLI アクセス権限を [ デバイス グループとテンプレート ] 管理者ロールに割り当てることは
できません。CLI のスーパーユーザー権限を Panorama 管理者ロールに割り当てると、その
ロールを持つ管理者は、割り当てる Web インターフェイスの権限に関係なく、すべての機能に
アクセスできます。
アクセス レベル
説明
ダッシュボード
ACC
デバイス管理
有効化
読み取り
専用
無効化
[Dashboard] タブへのアクセスを制御します。こ はい
の権限を無効にすると、その管理者にはこのタ
ブが表示されなくなり、[Dashboard] ウィジェッ
トのいずれにもアクセスできません。
いいえ
はい
アプリケーション コマンド センター (ACC) へ はい
のアクセスを制御します。この権限を無効にす
ると、[ACC] タブが Web インターフェイスに表
示されなくなります。ACC へのアクセス権限
を与えると同時にユーザーのプライバシーを守
るには、[ 専用 ] > [ 完全 IP アドレスの表示 ] オ
プションまたは [ ログおよびレポート内のユー
ザー名の表示 ] オプションを無効にすることが
できます。
いいえ
はい
121
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス レベル
説明
モニター
デバイス管理
読み取り
専用
無効化
[Monitor] タブへのアクセスを制御します。こ はい
の 権 限 を 無 効 に す る と、そ の 管 理 者 に は
[Monitor] タブが表示されなくなり、ログ、パ
ケット キャプチャ、セッション情報、レポー
ト、またはアプリケーション スコープのいず
れにもアクセスできません。管理者が表示でき
るモニタリング情報をより詳細に制御するに
は、[モニター] オプションを有効にしたままで、
「[Monitor] タブに対する詳細なアクセス権限の
付与」での説明に従ってタブ上の特定のノード
を有効または無効にします。
いいえ
はい
ポリシー
[Policies] タブへのアクセスを制御します。こ はい
の 権 限 を 無 効 に す る と、そ の 管 理 者 に は
[Policies] タブが表示されなくなり、どのポリ
シー情報にもアクセスできません。たとえば、
特定のタイプのポリシーへのアクセスを有効に
する、またはポリシー情報への読み取り専用ア
クセスを有効にするなど、管理者が表示できる
ポ リ シ ー 情 報 を よ り 詳 細 に 制 御 す る に は、
[Policies] オ プ シ ョ ン を 有 効 に し た ま ま で、
「[Policies] タブに対する詳細なアクセス権限の
付与」での説明に従ってタブ上の特定のノード
を有効または無効にします。
いいえ
はい
オブジェクト
[Objects] タブへのアクセスを制御します。こ はい
の 権 限 を 無 効 に す る と、そ の 管 理 者 に は
[Objects] タブが表示されなくなり、オブジェ
クト、セキュリティ プロファイル、ログ転送
プロファイル、復号プロファイル、またはスケ
ジュールのいずれにもアクセスできません。管
理者が表示できるオブジェクトをより詳細に制
御するには、[Objects] オプションを有効にし
たままで、「[Objects] タブに対する詳細なアク
セス権限の付与」での説明に従ってタブ上の特
定のノードを有効または無効にします。
いいえ
はい
122
有効化
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス レベル
説明
ネットワーク
デバイス
有効化
読み取り
専用
無効化
[Network] タブへのアクセスを制御します。こ はい
の 権 限 を 無 効 に す る と、そ の 管 理 者 に は
[Network] タブが表示されなくなり、インター
フ ェイ ス、ゾー ン、VLAN、バー チ ャ ル ワイ
ヤー、仮想ルーター、IPsec トンネル、DHCP、
DNS プロキシ、GlobalProtect、QoS 設定情報、
またはネットワーク プロファイルのいずれに
もアクセスできません。管理者が表示できるオ
ブ ジ ェ ク ト を よ り 詳 細 に 制 御 す る に は、
[Network] オプションを有効にしたままで、
「[Network] タブに対する詳細なアクセス権限
の付与」での説明に従ってタブ上の特定のノー
ドを有効または無効にします。
いいえ
はい
[Device] タブへのアクセスを制御します。この はい
権限を無効にすると、その管理者には [Device]
タ ブ が 表 示 さ れ な く な り、User-ID、高 可 用
性、サーバー プロファイル、または証明書設
定情報などのデバイス全体の設定情報のいずれ
にもアクセスできません。管理者が表示できる
オ ブ ジ ェ ク ト を よ り 詳 細 に 制 御 す る に は、
[Device] オ プ シ ョ ン を 有 効 に し た ま ま で、
「[Device] タブに対する詳細なアクセス権限の
付与」での説明に従ってタブ上の特定のノード
を有効または無効にします。
いいえ
はい
いいえ
はい
[Device] タブへのフル アクセス権限を有
効にしていても、[ 管理者ロール ] または
[ 管理者 ] ノードに対するロールベース管
理者のアクセス権限を有効にすることは
できません。
Panorama
[Panorama] タブへのアクセスを制御します。 はい
こ の 権 限 を 無 効 に す る と、そ の 管 理 者 に は
[Panorama] タブが表示されず、[ 管理対象デバ
イス ]、[ 管理対象コレクタ ]、または [ コレクタ
グループ ] などの Panorama 全体の設定情報にア
クセスできなくなります。
管理者が表示できるオブジェクトをより詳細
に制御するには、[Panorama] オプションを有
効にしたままにし、「[Panorama] タブに対する
詳細なアクセス権限の付与」での説明に従っ
てタブ上の特定のノードを有効または無効に
します。
デバイス管理
123
リファレンス : Palo Alto Networks のデバイスが使用するポート番号
デバイス管理
リファレンス : Palo Alto Networks のデバイスが使用する
ポート番号
以下の表に、Palo Alto Networks のデバイスが、相互の通信で、またはネットワーク上の他の
サービスとの通信で使用するポートの一覧を示します。

管理機能で使用するポート

HA で使用するポート

Panorama で使用するポート

User-ID で使用するポート
管理機能で使用するポート
宛先ポート
プロトコル
説明
22
TCP
クライアント システムからファイアウォールの CLI インターフェイス
への通信で使用します。
80
TCP
ファイアウォールが、OCSP レスポンダとして機能するときに OCSP 更
新をリッスンするポート。
123
UDP
NTP 更新でファイアウォールが使用するポート。
443
TCP
クライアント システムからファイアウォールの Web インターフェイス
へ の 通 信 で 使 用 し ま す。こ の ポ ー ト は、フ ァ イ ア ウ ォ ー ル ま た は
User-ID エージェントが VM 情報ソースの更新をリッスンするポートで
もあります。AWS 環境をモニタリングする場合に使用される唯一のポー
トです。VMware vCenter/ESXi 環境をモニタリングする場合、デフォルト
のリッスン ポートは 443 ですが、このポートは設定可能です。
162
UDP
ファイアウォール、Panorama、またはログ コレクタが SNMP トラップ
を SNMP トラップ レシーバに送信するために使用するポート。
Palo Alto Networks デバイスでこのポートを開く必要はありませ
ん。SNMP トラップ レシーバは、このポートをリッスンするよ
うに設定する必要があります。
161
UDP
ファイアウォールが、NMS からの SNMP ポーリング要求をリッスンす
るポート。
514
TCP
514
UDP
6514
SSL
フ ァ イ ア ウ ォ ー ル、Panorama、ま た は ロ グ コ レ ク タ が ロ グ を Syslog
サーバーに送信するために使用するポート、および(ファイアウォー
ルまたは Windows サーバーの)User-ID エージェントが User-ID で使用
する認証 Syslog メッセージをリッスンするポート。
2055
UDP
124
ファイアウォールが NetFlow レコードの送信で使用するデフォルトの
ポート。ただし、設定可能です。
デバイス管理
デバイス管理
リファレンス : Palo Alto Networks のデバイスが使用するポート番号
宛先ポート
プロトコル
説明
5008
TCP
GlobalProtect モバイル セキュリティ マネージャが、GlobalProtect ゲート
ウェイからの HIP 要求をリッスンするポート。
サードパーティの MDM システムを使用する場合は、MDM ベンダーで
必要とされるポートとは異なるポートを使用するようにゲートウェイ
を設定することができます。
6081
TCP
6082
TCP
キャプティブ ポータルで使用するポート。
HA で使用するポート
「高可用性」(HA) ピアとして設定されるファイアウォールには、相互に通信して状態情報
(HA1 制御リンク)を保持し、データを同期(HA2 データリンク)する機能が必要です。アク
ティブ / 非アクティブ HA のデプロイの場合、ピア ファイアウォールは、セッションを所有す
る HA ピアにもパケットを転送する必要があります。HA3 リンクはレイヤー 2 (MAC-in-MAC) リ
ンクであり、レイヤー 3 アドレスまたは暗号化をサポートしていません。
宛先ポート
プロトコル
説明
28769
TCP
28260
TCP
HA ピア ファイアウォール間のクリア テキスト通信用の HA1 制御リン
クで使用されます。HA1 リンクはレイヤー 3 リンクのため、IP アドレ
スが必要です。
28
TCP
HA ピア ファイアウォール間の暗号化通信 (SSH over TCP) 用の HA1 制御
リンクで使用されます。
28770
TCP
HA1 バックアップ リンク用のリッスン ポート。
28771
TCP
ハートビート バックアップで使用します。Palo Alto Networks では、
HA1 または HA1 のバックアップ リンクでインバンド ポートを使用する
場合、MGT インターフェイスでハートビート バックアップを有効にす
ることをお勧めします。
99
IP
29281
UDP
セッションを同期するために HA2 リンクで使用して、HA ペア内のファ
イアウォール間で、テーブル、IPSec セキュリティの関連付け、および
ARP テーブルを転送します。HA2 リンクのデータ フローは、(HA2
キープアライブを除いて)常に一方向であり、アクティブ デバイス
(アクティブ / パッシブ)またはアクティブ - プライマリ(アクティブ /
アクティブ)からパッシブ デバイス(アクティブ / パッシブ)またはア
クティブ - セカンダリ(アクティブ / アクティブ)の方向に流れます。
HA2 リンクはレイヤー 2 リンクなので、デフォルトで EtherType 0x7261
を使用します。
HA データ リンクは、IP(プロトコル番号 99)または UDP(ポート
29281)のいずれかを転送ポートとして使用するように設定することも
できるため、HA データ リンクはサブネットをまたぐことができます。
デバイス管理
125
リファレンス : Palo Alto Networks のデバイスが使用するポート番号
デバイス管理
Panorama で使用するポート
宛先ポート
プロトコル
説明
22
TCP
クライアント システムから Panorama CLI インターフェイスへの通信
で使用します。
443
TCP
クライアント システムから Panorama の Web インターフェイスへの通信
で使用します。
3978
TCP
Panorama と管理対象デバイスまたは管理対象ログ コレクタの間の通
信、およびコレクタ グループ内のログ コレクタ間の通信で使用され
ます。
• Panorama と管理対象デバイスの間の通信は双方向の接続であり、管
理対象ファイアウォールがログを Panorama に転送し、これにより
Panorama は、設定の変更を管理対象デバイスにプッシュできます。
コンテキストの切り替えコマンドは、同じ接続を使用して送信され
ます。
• ログ コレクタは、この宛先ポートを使用してログを Panorama に転送
します。
• Panorama モードの Panorama のデフォルトのログ コレクタ間の通信、
および DLC アーキテクチャ モードのログ コレクタとの通信に使用
されます。
クリア テキスト通信を使用する Panorama HA ピア間の HA 接続および
同期に使用します。通信は、どちらかのピアによって開始できます。
28769(5.1 以降)
TCP
28260(5.0 以降)
TCP
49160(5.0 以前)
TCP
28
TCP
暗号化通信 (SSH over TCP) を使用する Panorama HA ピア間の HA 接続およ
び同期に使用します。通信は、どちらかのピアによって開始できます。
28270(6.0 以降)
TCP
ログ配信用のコレクタ グループ内のログ コレクタ間の通信で使用し
ます。
TCP
Panorama 仮想アプライアンスがログを NFS データストアに書き込むた
めに使用します。
49190(5.1 以前)
2049
126
デバイス管理
デバイス管理
リファレンス : Palo Alto Networks のデバイスが使用するポート番号
User-ID で使用するポート
「User-ID」は、ユーザーの IP アドレスとユーザー名およびグループ メンバーシップをマッピ
ングできるようにする機能で、ユーザーまたはグループベースのポリシーを有効にし、ネット
ワークでのユーザー アクティビティを可視化することができます(たとえば、脅威の被害者に
なっている可能性があるユーザーまですばやくトラックダウンすることができます)。この
マッピングを実行するため、ファイアウォール、User-ID エージェント(Windows ベース システ
ムにインストールされているエージェントか、ファイアウォールで実行されている PAN-OS 統
合エージェントのどちらか)、またはターミナル サービス エージェントは、「グループ マッ
ピング」および「ユーザー マッピング」を実行するため、ネットワークのディレクトリ サービ
スに接続できるようになっている必要があります。また、ファイアウォールの外部システムで
エージェントが実行されている場合、それらのエージェントでは、IP アドレスからユーザー名
へのマッピングをファイアウォールに通信するため、ファイアウォールに接続できるように
なっている必要があります。以下の表に、User-ID での通信要件と、接続を確立するために必要
なポート番号の一覧を示します。
宛先ポート
プロトコル
説明
389
TCP
「ユーザーとグループのマッピング」を行うため、ファイアウォール
が LDAP サーバーへの接続(プレーンテキストまたは StartTLS)に使用
するポート。
636
TCP
「ユーザーとグループのマッピング」を行うため、ファイアウォール
が LDAP サーバーへの接続 (LDAP over SSL) に使用するポート。LDAP
over SSL 接続で使用されます。
514
514
6514
TCP
UDP
SSL
User-ID エージェント(ファイアウォールまたは Windows サーバー上)
が User-ID で使用する認証 Syslog メッセージをリッスンするポート。
5007
TCP
ファイアウォールが、User-ID または ターミナル サーバー エージェン
トからのユーザー マッピング情報をリッスンするポート。エージェン
トは、新規または更新されたマッピングを検出するといつでも、IP ア
ドレスとユーザー名のマッピングをタイムスタンプと一緒に送信しま
す。また、定期的にファイアウォールに接続し、既知のマッピングを
更新します。
5006
TCP
User-ID エージェントが「User-ID XML API」要求をリッスンするポー
ト。この通信の送信元は、通常、API を呼び出すスクリプトを実行して
いるシステムです。
88
UDP
User-ID エージェントが Kerberos サーバーに対する認証で使用する
ポート。
1812
UDP
User-ID エージェントが RADIUS サーバーに対する認証で使用する
ポート。
デバイス管理
127
リファレンス : Palo Alto Networks のデバイスが使用するポート番号
デバイス管理
宛先ポート
プロトコル
説明
135
TCP
User-ID エージェントが、Microsoft Remote Procedure Call (RPC) エンドポ
イント マッパーとの TCP ベースの WMI 接続を確立するために使用す
るポート。エンドポイント マッパーは、49152 ~ 65535 のポート範囲で
ランダムに割り当てられたポートをエージェントに割り当てます。
エージェントは、この接続を使用して、Exchange Server または AD サー
バーのセキュリティ ログ、セッション テーブルに対する RPC クエリを
実行します。このポートは、ターミナル サービスへのアクセスにも使
用されます。
User-ID エージェントは、クライアント システムに接続して WMI プ
ローブを実行する場合にも、このポートを使用します。
139
TCP
User-ID エージェントが、AD サーバーへの TCP ベースの NetBIOS 接続
を確立し、セキュリティ ログとセッション情報に対する RPC クエリを
送信できるようにするために使用するポート。
User-ID エージェントは、NetBIOS プローブ(Windows ベースの User-ID
エージェントでのみサポート)でクライアント システムに接続する場
合にも、このポートを使用します。
445
128
TCP
User-ID エージェントが、ユーザーのログオン情報(印刷スプーラーお
よび Net Logon)にアクセスする場合に、AD サーバーへの TCP ベース
の SMB 接続を使用して Active Directory (AD) に接続する場合に使用する
ポート。
デバイス管理
デバイス管理
ファイアウォールの工場出荷時設定へのリセット
ファイアウォールの工場出荷時設定へのリセット
ファイアウォールを工場出荷時設定にリセットすると、すべての設定とログが失われます。
ファイアウォールの工場出荷時設定へのリセット
ステップ 1
ファイアウォールへのコンソー 1.
ル接続を設定します。
コンピュータからコンソール ポートにシリアル ケーブ
ルを接続し、ターミナル エミュレーション ソフトウェ
ア (9600-8-N-1) を使用してファイアウォールに接続し
ます。
コンピュータが 9 ピン シリアル ポートを装備し
ていない場合は、USB-シリアル ポート コネクタ
を使用してください。
2.
ログイン認証情報を入力します。
3.
以下の CLI コマンドを入力します。
debug system maintenance-mode
ファイアウォールがメンテナンス モードで再起動し
ます。
ステップ 2
システムを工場出荷時設定に 1.
リセットします。
デバイスが再起動したら、Enter を押してメンテナンス
モードのメニューに進みます。
2.
Factory Reset
を選択し、Enter を押します。
3.
Factory Reset
を選択し、Enter をもう一度押します。
ファイアウォールが設定なしで再起動します。ファイ
アウォールにログインするためのデフォルトのユー
ザー名 / パスワードは、admin/admin です。
ファイアウォールで初期設定を実行し、ネットワーク
接続を設定する方法については、「管理ネットワーク
へのファイアウォールの統合」を参照してください。
デバイス管理
129
ファイアウォールの工場出荷時設定へのリセット
デバイス管理
130
デバイス管理
証明書の管理
以下のトピックでは、Palo Alto Networks デバイスで使用するさまざまなキーや証明書、および
それらの取得、管理方法を説明します。

キーおよび証明書

証明書の失効

証明書のデプロイメント

証明書失効状態の検証の設定

マスター キーの設定

証明書の取得

証明書プロファイルの設定

SSL フォワード プロキシ サーバーの証明書の鍵のサイズの設定

証明書の失効および更新

ハードウェア セキュリティ モジュールによるキーの安全確保
証明書の管理
131
キーおよび証明書
証明書の管理
キーおよび証明書
Palo Alto Networks デバイスでは、安全なコミュニケーション セッションでの両者間の信頼を確
保するために、デジタル証明書を使用します。各証明書には、平文を暗号化したり、暗号化テ
キストを復号化したりするための暗号化キーが含まれています。また、発行者の ID を認証する
ためのデジタル署名も含まれています。発行者は、認証する側の信頼された認証局 (CA) のリス
トに記載されている必要があります。必要に応じて、認証する側は発行者が証明書を無効化し
ていないことを検証します(「証明書の失効」を参照)。
Palo Alto Networks デバイスでは、以下のアプリケーションで証明書を使用します。

キャプティブ ポータル、GlobalProtect、モバイル セキュリティ マネージャ、ファイアウォー
ル /Panorama Web インターフェイス アクセスでのユーザー認証。

GlobalProtect VPN(リモート ユーザーとサイト間または大規模)のデバイス認証。

Internet Key Exchange (IKE) による IPSec サイト間 VPN のデバイス認証。

インバウンドおよびアウトバウンド SSL トラフィックの復号化。ファイアウォールでは、セ
キュリティ ポリシーおよびルールを適用するためにトラフィックを復号化してから、最終的
な宛先にトラフィックを転送する前にトラフィックを再暗号化します。アウトバウンド トラ
フィックの場合、ファイアウォールはフォワード プロキシ サーバーとして機能し、宛先
サーバーとの SSL/TLS 接続を確立します。ファイアウォール自体とクライアント間の接続の
安全性を確保するため、ファイアウォールでは署名証明書を使用して宛先サーバーの証明書
のコピーを自動的に生成します。
以下の表では、Palo Alto Networks デバイスが使用するキーと証明書について説明します。使用
するたびに、異なるキー/ 証明書を使用することをお勧めします。
表 : Palo Alto Networks デバイスのキー/ 証明書
キー/ 証明書の用途
説明
管理アクセス
デバイスの管理インターフェイス(Web インターフェイスへの HTTPS アクセ
ス)への安全なアクセスには、MGT インターフェイス(またはデバイスが
MGT を使用していない場合は、データプレーン上の指定インターフェイス)
のサーバー証明書と、必要に応じて、管理者を認証する証明書が必要です。
キャプティブ ポータル
キャプティブ ポータルが HTTPS リソースにアクセスするユーザーを識別する
デプロイメントでは、キャプティブ ポータル インターフェイスのサーバー証
明書を指定します。(ユーザー/ パスワード資格情報の代わりにまたは、ユー
ザー/ パスワード資格情報に追加して)証明書を使用してユーザーを識別する
ようにキャプティブ ポータルを設定している場合は、ユーザー証明書も指定
します。キャプティブ ポータルの詳細は、「キャプティブ ポータルを使用し
た IP アドレス対ユーザー名のマッピング」を参照してください。
132
証明書の管理
証明書の管理
キーおよび証明書
キー/ 証明書の用途
説明
フォワード トラスト
アウトバウンド SSL/TLS トラフィックでは、フォワード プロキシとして機能
するファイアウォールが宛先サーバーの証明書に署名をした CA を信頼してい
る場合、ファイアウォールでは、フォワード トラスト CA 証明書を使用して、
クライアントに提示する宛先サーバー証明書のコピーを生成します。鍵のサイ
ズを設定するには、「SSL フォワード プロキシ サーバーの証明書の鍵のサイ
ズの設定」を参照してください。セキュリティを強化するため、ハードウェア
セキュリティ モジュールにキーを保存してください(詳細は、「ハードウェ
ア セキュリティ モジュールによるキーの安全確保」を参照してください)。
フォワード アントラスト
アウトバウンド SSL/TLS トラフィックでは、フォワード プロキシとして機能
するファイアウォールが宛先サーバーの証明書に署名をした CA を信頼しない
場合、ファイアウォールでは、フォワード アントラスト CA 証明書を使用し
て、クライアントに提示する宛先サーバー証明書のコピーを生成します。
SSL インバウンド
インスペクション
インスペクションおよびポリシー実施のためにインバウンド SSL/TLS トラ
フィックを復号化するキー。このアプリケーションでは、SSL/TLS インバウン
ド インスペクションの対象となるサーバーごとに秘密鍵をファイアウォール
にインポートします。「SSL インバウンド インスペクションの設定」を参照し
てください。
SSL 除外証明書
SSL/TLS 復号化から除外するサーバーの証明書。たとえば、SSL 復号化を有効
にしているが、ファイアウォールでトラフィックを復号化しないサーバー
(HR システムの Web サービスなど)がネットワークに含まれている場合、該
当する証明書をファイアウォールにインポートして、その証明書を SSL 除外証
明書として設定します。「復号化の例外の設定」を参照してください。
GlobalProtect
GlobalProtect のコンポーネント間のすべてのやり取りは、SSL/TLS 接続を介し
て実行されます。そのため、GlobalProtect デプロイメントの一環として、すべ
ての GlobalProtect ポータル、ゲートウェイ、モバイル セキュリティ マネー
ジャのサーバー証明書をデプロイします。必要に応じて、ユーザーを認証する
ための証明書もデプロイします。
「大規模 VPN (LSVPN)」機能には、CA 署名証明書が必要です。
サイト間 VPN (IKE)
証明書の管理
サイト間 IPSec VPN デプロイメントでは、ピア デバイスは Internet Key Exchange
(IKE) ゲートウェイを使用して安全なチャネルを確立します。IKE ゲートウェ
イでは、証明書または事前共有鍵を使用して、ピア同士が相互に認証を行いま
す。ファイアウォールでの IKE ゲートウェイを定義する場合は、証明書また
はキーを設定して、割り当てます。「サイト間 VPN の概要」を参照してくだ
さい。
133
キーおよび証明書
証明書の管理
キー/ 証明書の用途
説明
マスター キー
ファイアウォールでは、マスター キーを使用して、すべての秘密鍵とパスワー
ドを暗号化します。ネットワークで秘密鍵を保存するための安全な場所が必要
な場合は、ハードウェア セキュリティ モジュール (HSM) に保存されている暗号
化(ラッピング)キーを使用して、マスター キーを暗号化できます。詳細は、
「HSM を使用したマスター キーの暗号化」を参照してください。
保護された Syslog
ファイアウォールと syslog サーバー間の安全な接続を有効にするための証明
書。「Syslog サーバーに対して認証するためのファイアウォールの設定」を参
照してください。
信頼されたルート CA
ファイアウォールが信頼する CA が発行したルート証明書の名称。ファイア
ウォールは自己署名ルート CA 証明書を使用して、他のアプリケーション
(「SSL フォワード プロキシ」など)のための証明書を自動的に発行できます。
また、ファイアウォールが他のファイアウォールとの安全な接続を確立する必
要がある場合、証明書を発行するルート CA が信頼されたルート CA のリスト
に含まれている必要があります。
134
証明書の管理
証明書の管理
証明書の失効
証明書の失効
Palo Alto Networks デバイスでは、デジタル証明書を使用して、安全な通信セッションにおける
両者間の信頼を実現します。証明書の失効状態を確認するようにデバイスを設定することで、
セキュリティが強化されます。失効した証明書を提示する相手を信頼することはできません。
証明書がチェーンの一部である場合、デバイスで失効状態を検証できないルート CA 証明書を
除き、デバイスによりチェーンのすべての証明書の状態が確認されます。
さまざまな状況により、有効期限前に証明書が無効化されていることがあります。たとえば、
名前が変更された場合や、サブジェクトと認証局間の関連付けが変更された(従業員の雇用が
終了したなど)場合、秘密鍵の侵害が判明した、またはその疑いがある場合などです。このよ
うな状況では、証明書を発行した認証局が証明書を無効化する必要があります。
Palo Alto Networks デバイスでは、証明書の失効状態を検証するために以下の方法がサポートさ
れています。両方の方法を設定すると、デバイスではまず OCSP の方法を試します。OCSP サー
バーが使用できない場合は、CRL の方法を使用します。

証明書失効リスト (CRL)

Open Certificate Status Protocol (OCSP)
PAN-OS では、証明書の失効状態の検証は任意選択の機能です。キャプティブ ポータル、
GlobalProtect、サイト間 IPsec VPN、およびファイアウォール/Panorama Web インターフェ
イス アクセスでのユーザーおよびデバイス認証を定義する証明書プロファイルでは、この機能
を有効化することをお勧めします。
証明書失効リスト (CRL)
各認証局 (CA) では公開リポジトリに証明書失効リスト (CRL) を定期的に発行しています。CRL
では失効した証明書をシリアル番号で特定します。CA が証明書を無効化すると、次回の CRL
の更新にその証明書のシリアル番号が含まれます。
Palo Alto Networks ファイアウォールでは、ファイアウォールの信頼された認証局のリストに記
載されているすべての認証局の最新発行の CRL をダウンロードして、キャッシュします。
キャッシュは検証済みの証明書のみで実施されます。ファイアウォールで証明書の検証が行わ
れたことがない場合、ファイアウォールのキャッシュには発行認証局の CRL は保存されていま
せん。また、キャッシュが CRL を保存するのは、有効期限が切れるまでに限ります。
このファイアウォールでは、Distinguished Encoding Rules (DER) フォーマットの CRL のみがサ
ポートされています。ファイアウォールでその他のフォーマット(Privacy Enhanced Mail (PEM)
フォーマットなど)の CRL をダウンロードすると、その CRL を使用する失効検証プロセスは、
そのプロセスをトリガーするアクティビティ(アウトバウンド SSL データの送信など)を実行
するときに失敗します。ファイアウォールは、検証の失敗に関するシステム ログを生成しま
す。それが SSL 証明書に関する検証であった場合は、ファイアウォールにより、[SSL 証明書エ
ラー通知ページ ] も表示されます。
証明書の管理
135
証明書の失効
証明書の管理
インバウンドおよびアウトバウンドの SSL/TLS トラフィックの復号化で使用される証明書の失
効状態を検証するために CRL を使用するには、「SSL/TLS 復号化に使用する証明書の失効状態
検証の設定」を参照してください。
ユーザーおよびデバイスを認証する証明書の失効状態を検証するために CRL を使用するには、
証明書プロファイルを設定して、キャプティブ ポータル、GlobalProtect(リモート ユーザーと
サイト間または大規模)、サイト間 IPsec VPN、ファイアウォール /Panorama Web インターフェ
イス アクセスなどのアプリケーション固有のインターフェイスにその証明書プロファイルを割
り当てます。詳細は、「ユーザー/デバイス認証に使用される証明書の失効状態検証の設定」を
参照してください。
Open Certificate Status Protocol (OCSP)
クライアントは、SSL/TLS セッションを確立するときに、Online Certificate Status Protocol (OCSP)
を使用して、認証証明書の失効状態を確認できます。認証側のクライアントは OCSP レスポン
ダ(サーバー)に証明書のシリアル番号を含む要求を送信します。レスポンダは、証明書を発
行した認証局 (CA) のデータベースを検索して、状態([ 正常 ]、[ 無効化 ]、または [ 不明 ])を含
む応答をクライアントに返します。OCSP の方法のメリットは、CRL の発行頻度(毎時、日
次、週次)に依存することなく、状態をリアルタイムに検証できることです。
Palo Alto Networks ファイアウォールでは、ファイアウォールの信頼された認証局リストに記載
されているすべての認証局の OCSP 状態情報をダウンロードして、キャッシュします。キャッ
シュは検証済みの証明書のみで実施されます。ファイアウォールで証明書の検証が行われたこ
とがない場合、ファイアウォールのキャッシュには発行認証局の OCSP 情報は保存されていま
せん。組織に独自の公開鍵基盤 (PKI) がある場合、ファイアウォールを OCSP レスポンダとして
設定できます(「OCSP レスポンダの設定」を参照)。
ファイアウォールが SSL フォワード プロキシとして機能している場合、証明書の失効状態を検
証するために OCSP を使用するには、「SSL/TLS 復号化に使用する証明書の失効状態検証の設
定」に記載されている手順を実行します。
キャプティブ ポータル、GlobalProtect(リモート ユーザーとサイト間または大規模)、サイト
間 IPsec VPN、ファイアウォール /Panorama Web インターフェイス アクセスなどのアプリケー
ションでは、ユーザーやデバイスを認証するために証明書を使用します。OCSP を使用して証
明書の失効状態を検証するには、以下の手順を実行します。

OCSP レスポンダを設定します。

ファイアウォールで HTTP OCSP サービスを有効化します。

アプリケーションごとに証明書を作成または取得します。

アプリケーションごとに証明書プロファイルを設定します。

該当するアプリケーションに証明書プロファイルを割り当てます。
OCSP レスポンダを使用できない状況に対処するには、CRL をフォールバック方法として設定
します。詳細は、「ユーザー/デバイス認証に使用される証明書の失効状態検証の設定」を参照
してください。
136
証明書の管理
証明書の管理
証明書のデプロイメント
証明書のデプロイメント
Palo Alto Networks デバイスの証明書をデプロイする基本的なアプローチは以下のとおりです。

信頼されたサードパーティ CA から証明書を取得する — VeriSign、GoDaddy などの信頼され
たサードパーティ証明書認証局 (CA) から証明書を取得するメリットは、一般的なブラウザ
には、信頼されたルート証明書ストア内にある既知の CA のルート CA 証明書が含まれてい
るため、エンド クライアントが証明書を信頼済みであることです。そのため、エンド クラ
イアントに Palo Alto Network デバイスとの安全な接続の確立を要求するアプリケーションで
は、エンド クライアントにルート CA 証明書を事前にデプロイする必要がないように、エン
ド クライアントが信頼する CA から証明書を購入します(このようなアプリケーションには
GlobalProtect ポータル、GlobalProtect モバイル セキュリティ マネージャがあります)。ただ
し、ほとんどのサードパーティ CA は署名証明書を発行することができません。そのため、
このタイプの証明書は、ファイアウォールが証明書を発行する必要のあるアプリケーション
(SSL/TLS 復号化および大規模 VPN など)には適していません。「外部 CA からの証明書の
取得」を参照してください。

エンタープライズ CA から証明書を取得する — 独自の CA がある組織では、その CA を使用
してファイアウォール アプリケーションの証明書を発行し、その証明書をファイアウォール
にインポートできます。このメリットは、エンド クライアントがそのエンタープライズ CA
を信頼済みである可能性が高いことです。必要な証明書を生成してファイアウォールにイン
ポートするか、ファイアウォールで証明書署名要求 (CSR) を生成して、署名を得るためエン
タープライズ CA にその要求を送信します。この方法のメリットは、秘密鍵がファイア
ウォール外に出ないことです。また、エンタープライズ CA は、ファイアウォールが自動的
に証明書を生成するために使用する署名証明書を発行することもできます(GlobalProtect 大
規模 VPN または SSL/TLS 復号化を要求するサイトなど)。「証明書および機密鍵のイン
ポート」を参照してください。

自己署名証明書を生成 — ファイアウォールで「自己署名ルート CA 証明書の作成」を行い、
その証明書を使用して他のファイアウォール アプリケーションの証明書を自動的に発行でき
ます。この方法を使用してアプリケーションの証明書を作成し、アプリケーションでエンド
クライアントにその証明書を信頼することを要求する場合、ルート CA 証明書がエンドユー
ザーの信頼済みのルート証明書ストアにないため、エンド ユーザーに証明書エラーが表示さ
れます。これを回避するには、すべてのエンド ユーザー システムに自己署名ルート CA 証明
書をデプロイします。手動で証明書をデプロイしたり、Active Directory Group Policy Object
(GPO) などの中央管理されたデプロイメント方法を使用したりできます。
証明書の管理
137
証明書失効状態の検証の設定
証明書の管理
証明書失効状態の検証の設定
証明書の失効状態を検証する場合、ファイアウォールは Open Certificate Status Protocol (OCSP) ま
たは証明書失効リスト (CRL)、あるいはその両方を使用します。これらの方法の詳細は、「証
明書の失効」を参照してください。両方の方法を設定する場合は、ファイアウォールではまず
OCSP を試行します。OCSP レスポンダを使用できない場合に限り、CRL 方法にフォールバック
します。組織に独自の公開鍵基盤 (PKI) がある場合、ファイアウォールを OCSP レスポンダとし
て機能するように設定できます。
以下のトピックでは、証明書の失効状態を検証するためのファイアウォールの設定方法を説明
します。

OCSP レスポンダの設定

ユーザー/ デバイス認証に使用される証明書の失効状態検証の設定

SSL/TLS 復号化に使用する証明書の失効状態検証の設定
OCSP レスポンダの設定
証明書の失効状態を検証するために Open Certificate Status Protocol (OCSP) を使用するには、OCSP
レスポンダ(サーバー)にアクセスできるようにファイアウォールを設定する必要がありま
す。OCSP レスポンダを管理するエンティティは、サードパーティ認証局 (CA)、または、組織
に独自の公開鍵基盤 (PKI) がある場合は、ファイアウォール自体でも構いません。OCSP の詳細
は、「証明書の失効」を参照してください。
138
証明書の管理
証明書の管理
証明書失効状態の検証の設定
OCSP レスポンダの設定
ステップ 1
OCSP レスポンダを定義します。 1.
ファイアウォールで、[Device] > [証明書の管理] > [OCSP
レスポンダ] の順に選択し、[追加] をクリックします。
Panorama で、[Device] > [ 証明書の管理 ] > [OCSP レス
ポンダ ] の順に選択し、[ テンプレート ] を選択して、
[ 追加 ] をクリックします。
2.
レスポンダの識別に使用する [ 名前 ](最大 31 文字)
を入力します。名前では大文字と小文字を区別します。
英字、数字、スペース、ハイフン、およびアンダースコ
アのみを使用し、一意である必要があります。
3.
ファイアウォールで複数の仮想システムをサポートし
ている場合は、ダイアログに [ 場所 ] ドロップダウン
が表示されます。レスポンダを使用できる仮想システ
ムを選択するか、[ 共有 ] を選択して、すべての仮想シ
ステムで使用できるようにします。
4.
[ ホスト名 ] フィールドに、OCSP レスポンダのホスト
名(推奨)または IP アドレスを入力します。PAN-OS
はこの値から URL を自動的に導出し、検証する証明
書にその URL を追加します。
ファイアウォール自体を OCSP レスポンダとして設定
する場合、OCSP サービスでファイアウォールが使用
するインターフェイス(ステップ 3 で指定)でホスト
名を IP アドレスに解決する必要があります。
5.
ステップ 2
ファイアウォールで OCSP 通信 1.
を有効にします。
[OK] をクリックします。
ファイアウォールで、[Device] > [ セットアップ ] > [ 管
理 ] の順に選択します。
Panorama で、[Device] > [ セットアップ ] > [ 管理 ] の
順に選択し、[ テンプレート ] を選択します。
2.
証明書の管理
[ 管理インターフェイス設定 ] セクションで、[HTTP
OCSP] の チ ェ ッ ク ボ ッ ク ス を オ ン に し、[OK] を ク
リックします。
139
証明書失効状態の検証の設定
証明書の管理
OCSP レスポンダの設定(続き)
ステップ 3
必要に応じて、OCSP レスポン 1.
ダとしてファイアウォール自体
を設定するために、OCSP サー 2.
ビスで使用するインターフェイ
スにインターフェイス管理プロ
3.
ファイルを追加します。
[Network] > [ ネットワーク プロファイル ] > [ インター
フェイス管理 ] を選択します。
[ 追加 ] をクリックして新しいプロファイルを作成する
か、既存のプロファイル名をクリックします。
[HTTP OCSP] チェックボックスをオンにして [OK] を
クリックします。
4.
[Network] > [ インターフェイス ] の順に選択し、ファ
イアウォールが OCSP サービスに使用するインター
フェイスの名前をクリックします。ステップ 1 で指定
した OCSP の [ ホスト名 ] は、このインターフェイスの
IP アドレスに解決される必要があります。
5.
[ 詳細 ] > [ その他の情報 ] を選択し、設定したインター
フェイス管理プロファイルを選択します。
6.
[OK]、[ コミット ] の順にクリックします。
ユーザー/ デバイス認証に使用される証明書の失効状態検証の設定
キャプティブ ポータル、GlobalProtect、サイト間 IPsec VPN、ファイアウォール /Panorama Web
インターフェイス アクセスなどのアプリケーションでは、ファイアウォールは証明書を使用し
てユーザーおよびデバイスを認証します。セキュリティを向上させるため、デバイス/ユーザー
認証のために使用する証明書の失効状態を検証できるようにファイアウォールを設定すること
をお勧めします。
ユーザー/ デバイス認証に使用される証明書の失効状態検証の設定
ステップ 1
アプリケーションごとに「証 1 つ以上のルート CA 証明書をプロファイルに割り当て、
明書プロファイルの設定」を ファイアウォールによる証明書の失効状態の検証方法を
行います。
選択します。証明書の共通名(FQDN または IP アドレ
ス)はステップ 2 のプロファイルの適用先のインターフェ
イスに一致する必要があります。
さまざまなアプリケーションが使用する証明書の詳細
は、「キーおよび証明書」を参照してください。
ステップ 2
140
関連アプリケーションに証明書 証明書プロファイルを割り当てる手順は、証明書を必要
プロファイルを割り当てます。 とするアプリケーションによって異なります。
証明書の管理
証明書の管理
証明書失効状態の検証の設定
SSL/TLS 復号化に使用する証明書の失効状態検証の設定
ファイアウォールでは、インバウントおよびアウトバウンドの SSL/TLS トラフィックを復号化
して、セキュリティ ポリシーとルールを適用し、転送する前にそのトラフィックを再暗号化し
ます。(詳細は、「SSL インバウンド インスペクション」および「SSL フォワード プロキシ」
を参照してください。)ファイアウォールは、以下のように、復号化で使用される証明書の失
効状態を検証するように設定できます。
SSL/TLS 復号化証明書の失効状態検証を有効にすると、セッションの確立プロセスにさらに時
間がかかります。セッションのタイムアウト前に検証が完了していない場合、サイトへの初回
のアクセスの試行が失敗する可能性があります。このような理由から、検証はデフォルトで無
効になっています。
SSL/TLS 復号化に使用する証明書の失効状態検証の設定
ステップ 1
[復号化証明書失効の設定] ペー ファイアウォールで、[Device] > [ セットアップ ] > [ セッ
ジにアクセスします。
ション ] を選択し、[ セッション機能 ] 領域で、[ 復号化証
明書失効の設定 ] をクリックします。
Panorama で、[Device] > [ セットアップ ] > [ セッション ]
を選択し、[ テンプレート ] を選択して、[ セッション機能 ]
領域で、[ 復号化証明書失効の設定 ] をクリックします。
ステップ 2
失効状態要求のサービス固有 ファイアウォールで、証明書の失効状態を検証するため
のタイムアウト間隔を定義し に「Open Certificate Status Protocol (OCSP)」と「証明書失効
ます。
リスト (CRL)」のどちらの方法が使用されているのかに応
じて、以下の手順のいずれかまたはその両方を実行しま
す。ファイアウォールが両方を使用している場合、ファ
イアウォールはまず OCSP を試行します。OCSP レスポン
ダを使用できない場合は、CRL の方法を試行します。
1. [CRL] セクションで、[ 有効化 ] チェックボックスをオ
ンにして [ 受信の有効期限 ] に入力します。これは、
ファイアウォールが CRL サービスからの応答を待機
する期間(1 ~ 60 秒)です。
2.
[OCSP] セクションで、[ 有効化 ] チェックボックスをオ
ンにして [ 受信の有効期限 ] に入力します。これは、
ファイアウォールが OCSP レスポンダからの応答を待
機する期間(1 ~ 60 秒)です。
ステップ 3 で指定した [ 証明書の有効期限 ] の値に応じ
て、ファイアウォールでは、一方または両方の [ 受信の有
効期限 ] 期間が経過するまでのタイムアウトを登録するこ
とができます。
証明書の管理
141
証明書失効状態の検証の設定
証明書の管理
SSL/TLS 復号化に使用する証明書の失効状態検証の設定(続き)
ステップ 3
失効状態要求の合計タイムア [ 証明書の有効期限 ] を入力します。これは、ファイア
ウト間隔を定義します。
ウォールが任意の証明書状態サービスからの応答を待機し、
ステップ 4でユーザーが必要に応じて定義したセッション
ブロック ロジックを適用するまでの期間(1 ~ 60 秒)で
す。[ 証明書の有効期限 ] は、以下のように OCSP/CRL の
[ 受信の有効期限 ] に関連付けられます。
• OCSP および CRL の両方を有効化する場合 — ファイア
ウォールは、[ 証明書の有効期限 ] の値または 2 つの [ 受
信の有効期限 ] の値の合計のいずれか小さい方の期間の
経過後に、要求のタイムアウトを登録します。
• OCSP のみを有効化する場合 — ファイアウォールは、[証
明書の有効期限 ] の値または OCSP の [ 受信の有効期限 ]
の値のいずれか小さい方の期間の経過後に、要求のタ
イムアウトを登録します。
• CRL のみを有効化する場合 — ファイアウォールは、[ 証
明書の有効期限 ] 値または CRL の [ 受信の有効期限 ] 値
のいずれか小さい方の期間の経過後に、要求のタイム
アウトを登録します。
ステップ 4
証明書の状態が [ 不明 ] である
か、失効状態の要求がタイム
アウトの場合のブロック動作
を定義します。
OCSP または CRL サービスが [ 不明 ] という証明書の失効
状態を返すとき、ファイアウォールで SSL/TLS セッショ
ンをブロックする場合は、[ 証明書の状態が不明なセッ
ションをブロックします ] チェックボックスをオンにしま
す。その他の場合は、ファイアウォールはセッションを
続行します。
要求のタイムアウトが登録された後に、ファイアウォール
で SSL/TLS セッションをブロックする場合は、[ 証明書の
状態のチェックがタイムアウトしたセッションをブロッ
クします ] チェックボックスをオンにします。その他の場
合は、ファイアウォールはセッションを続行します。
ステップ 5
142
エントリを保存して、適用し [OK]、[ コミット ] の順にクリックします。
ます。
証明書の管理
証明書の管理
マスター キーの設定
マスター キーの設定
すべてのファイアウォールには、秘密鍵およびその他のシークレット(パスワード、共有鍵な
ど)を暗号化するデフォルトのマスター キーがあります。秘密鍵は、秘密鍵がファイアウォー
ルの管理インターフェイスにアクセスするときにユーザーを認証します。キーの安全を保護す
るため、マスター キーはファイアウォールごとに一意に設定し、定期的に変更することをお勧
めします。セキュリティを強化するため、ハードウェア セキュリティ モジュール (HSM) に保存
されているラッピング キーを使用して、マスター キーを暗号化します。詳細は、「HSM を使
用したマスター キーの暗号化」を参照してください。
高可用性 (HA) 設定では、HA ペアの両方のデバイスが同一のマスター キーを使用して、秘密
鍵および証明書を暗号化できるようにします。マスター キーが異なると、HA 設定の同期は適
切に動作しません。
ファイアウォール設定をエクスポートすると、マスター キーは外部サーバー上で管理されてい
るユーザーのパスワードを暗号化します。ローカルで管理されているユーザーでは、ファイア
ウォールはパスワードをハッシュしますが、マスター キーはパスワードを暗号化しません。
マスター キーの設定
1.
ファイアウォールで、[Device ] > [ マスター キーおよび診断 ] を選択し、[ マスター キー] セクショ
ンで、編集アイコンをクリックします。
Panorama で、[Panorama] > [ マスター キーおよび診断 ] を選択し、[ マスター キー] セクションで、
編集アイコンをクリックします。
2.
すでにマスター キーがある場合は、[ 現在のマスター キー] に入力します。
3.
新しい [ 新規マスター キー] を定義し、次に、[ マスター鍵の確認 ] を定義します。キーは、厳密に
16 文字である必要があります。
4.
(任意)マスター キーの [ ライフ タイム ] を指定するには、キーが期限切れになるまでの期間を [ 日 ]
数と [ 時間数 ] で指定します。ライフ タイムを設定する場合、古いキーの有効期限が切れる前に新
しいマスター キーを作成します。
5.
(任意)キーのライフ タイムを設定する場合は、ファイアウォールがリマインダーをユーザーに電
子メールで送信するときに前のマスター キーの有効期限の [ 日 ] 数および [ 時間数 ] を指定する [ リ
マインダーの時間 ] を入力します。
6.
(任意)マスター キーを暗号化するために [HSM] を使用するかどうかを選択します。詳細は、「HSM
を使用したマスター キーの暗号化」を参照してください。
7.
[OK]、[ コミット ] の順にクリックします。
証明書の管理
143
証明書の取得
証明書の管理
証明書の取得

自己署名ルート CA 証明書の作成

ファイアウォールでの証明書の生成

証明書および機密鍵のインポート

外部 CA からの証明書の取得
144
証明書の管理
証明書の管理
証明書の取得
自己署名ルート CA 証明書の作成
自己署名ルート認証局 (CA) 証明書は、証明書チェーンで最上位の証明書です。ファイアウォー
ルはこの証明書を使用して、他の用途のために証明書を自動的に発行できます。たとえば、
ファイアウォールは、SSL/TLS 復号化や、GlobalProtect 大規模 VPN での衛星機器のための証明
書を発行します。
ファイアウォールとの安全な接続が確立する場合、リモート クライアントは証明書を発行した
ルート CA を信頼する必要があります。信頼しない場合、証明書が無効であり(セキュリティ
設定に応じて)接続をブロックする可能性があるという警告がクライアント ブラウザに表示さ
れます。これを回避するため、自己署名ルート CA 証明書の生成後、クライアント システムに
この証明書をインポートします。
自己署名ルート CA 証明書の生成
1.
ファイアウォールで、[Device] > [証明書の管理] > [証明書] > [デバイス証明書] の順に選択します。
Panorama で、[Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス証明書 ] の順に選択し、[ テンプ
レート ] を選択します。
2.
デバイスで複数の仮想システムをサポートしている場合は、タブに [ 場所 ] ドロップダウンが表示さ
れます。証明書の仮想システムを選択します。すべての仮想システムで証明書を使用できるように
するには、ステップ 6 に記載されている [ 共有 ] オプションを選択します。
3.
[ 生成 ] をクリックします。
4.
[ 証明書名 ] に「GlobalProtect_CA」などの名前を入力します。名前は大文字小文字を区別し、最大 31
文字を使用できます。英字、数字、ハイフン、およびアンダースコアのみを使用し、一意である必
要があります。
5.
[ 共通名 ] フィールドに、証明書を使用するサービスを設定するインターフェイスの FQDN(推奨)
または IP アドレスを入力します。
6.
すべての仮想システムで証明書を使用できるようにするには、[ 共有 ] チェックボックスをオンにし
ます。このチェックボックスは、デバイスが複数の仮想システムをサポートしている場合に限り表
示されます。
7.
[ 署名者 ] フィールドは空白のままにし、証明書を自己署名として指定します。
8.
[ 認証局 ] チェックボックスをオンにします。
9.
[OCSP レスポンダ ] をオンにしないでください。証明書の失効状態検証はルート CA 証明書には適用
されません。
10. [ 生成 ]、[ コミット ] の順にクリックします。
証明書の管理
145
証明書の取得
証明書の管理
ファイアウォールでの証明書の生成
SSL/TLS 復号化、キャプティブ ポータル、GlobalProtect、サイト間 IPsec VPN、ファイアウォー
ル /Panorama Web インターフェイス アクセスを含む複数のアプリケーションでは、ファイア
ウォールは証明書を使用して、クライアント、サーバー、ユーザー、およびデバイスを認証し
ます。使用するたびに証明書を生成します。アプリケーション固有の証明書の詳細は、「キー
および証明書」を参照してください。
証明書を生成するには、まず、ルート CA 証明書を作成またはインポートして、署名する必要
があります。詳細は、「自己署名ルート CA 証明書の作成」または「証明書および機密鍵のイ
ンポート」を参照してください。
証明書の失効状態を検証するため、Open Certificate Status Protocol (OCSP) を使用するには、証明
書を生成する前に、「OCSP レスポンダの設定」を行います。状態の検証の詳細は、「証明書
の失効」を参照してください。
ファイアウォールでの証明書の生成
1.
ファイアウォールで、[Device] > [証明書の管理] > [証明書] > [デバイス証明書] の順に選択します。
Panorama で、[Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス証明書 ] の順に選択し、[ テンプ
レート ] を選択します。
2.
デバイスで複数の仮想システムをサポートしている場合は、タブに [ 場所 ] ドロップダウンが表示さ
れます。証明書の仮想システムを選択します。すべての仮想システムで証明書を使用できるように
するには、ステップ 6 に記載されている [ 共有 ] オプションを選択します。
3.
[ 生成 ] をクリックします。
4.
[ 証明書名 ] を入力します。名前は大文字小文字を区別し、最大 31 文字を使用できます。英字、数
字、ハイフン、およびアンダースコアのみを使用し、一意である必要があります。
5.
[ 共通名 ] フィールドに、証明書を使用するサービスを設定するインターフェイスの FQDN(推奨)
または IP アドレスを入力します。
6.
すべての仮想システムで証明書を使用できるようにするには、[ 共有 ] チェックボックスをオンにし
ます。このチェックボックスは、デバイスが複数の仮想システムをサポートしている場合に限り表
示されます。
7.
[ 署名者 ] フィールドで、証明書を発行するルート CA 証明書を選択します。
8.
該当する場合、[OCSP レスポンダ ] を選択します。
9.
(任意)必要に応じて、[ 暗号設定 ] を定義し、OCSP レスポンダに対して認証する必要のあるデバ
イスで機能する証明書を作成します。デフォルトかつ推奨の鍵のサイズ([ ビット数 ])は 2048 ビッ
トです。デフォルトかつ推奨の暗号化アルゴリズム([ ダイジェスト ])は SHA256 です。
10. (任意)証明書を使用するファイアウォールおよびサービスを一意に特定するための [ 証明書の属
性 ] を [ 追加 ] します。
[ ホスト名 ](DNS 名)属性を追加する場合は、[ 共通名 ] に一致させることをお勧めします。
このホスト名が、証明書の [ サブジェクト代替名 ] フィールドに入力されます。
11. [ 生成 ] をクリックして、[ デバイス証明書 ] タブで証明書の [ 名前 ] をクリックします。
146
証明書の管理
証明書の管理
証明書の取得
ファイアウォールでの証明書の生成(続き)
12. ファイアウォールでの証明書の使用目的に該当するチェックボックスをオンにします。たとえば、
ファイアウォールで証明書を Web インターフェイスへのユーザー アクセスを認証するために使用す
る場合は、[ 保護された Web GUI の証明書 ] チェックボックスをオンにします。
13. [OK]、[ コミット ] の順にクリックします。
証明書および機密鍵のインポート
組織に独自の公開鍵基盤 (PKI) がある場合、組織の認証局 (CA) からファイアウォールに証明書
および公開鍵をインポートできます。エンタープライズ CA 証明書(信頼されたサードパー
ティ CA から購入した大半の証明書ではなく)では、SSL/TLS 復号化または大規模 VPN などの
アプリケーション用の CA 証明書を自動的に発行できます。
すべてのクライアント システムに自己署名ルート CA 証明書をインポートするのではなく、
エンタープライズ CA から証明書をインポートすることをお勧めします。これは、クライア
ントにエンタープライズ CA との信頼関係がすでにあり、デプロイメントが簡略化されるた
めです。
インポートする証明書が証明書チェーンの一部である場合、チェーン全体をインポートするこ
とをお勧めします。
証明書および機密鍵のインポート
1.
エンタープライズ CA から、ファイアウォールが認証に使用する証明書と秘密鍵をエクスポートし
ます。
秘密鍵をエクスポートする場合、転送用のキーを暗号化するパスフレーズを入力する必要がありま
す。管理システムが証明書およびキー ファイルにアクセスできることを確認します。キーをファイ
アウォールにインポートするときは、同一のパスフレーズを入力してキーを復号化します。
2.
ファイアウォールで、[Device] > [証明書の管理] > [証明書] > [デバイス証明書] の順に選択します。
Panorama で、[Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス証明書 ] の順に選択し、[ テンプ
レート ] を選択します。
3.
デバイスで複数の仮想システムをサポートしている場合は、タブに [ 場所 ] ドロップダウンが表示さ
れます。証明書の仮想システムを選択します。すべての仮想システムで証明書を使用できるように
するには、ステップ 6 に記載されている [ 共有 ] オプションを選択します。
4.
[ インポート ] をクリックします。
5.
[ 証明書名 ] を入力します。名前は大文字小文字を区別し、最大 31 文字を使用できます。英字、数
字、ハイフン、およびアンダースコアのみを使用し、一意である必要があります。
6.
すべての仮想システムで証明書を使用できるようにするには、[ 共有 ] チェックボックスをオンにし
ます。このチェックボックスは、デバイスが複数の仮想システムをサポートしている場合に限り表
示されます。
7.
CA から受信した [ 証明書ファイル ] のパスと名前を入力するか、[ 参照 ] してファイルを検索します。
証明書の管理
147
証明書の取得
証明書の管理
証明書および機密鍵のインポート(続き)
8.
以下の [ ファイル フォーマット ] を選択します。
• 暗号化された秘密鍵と証明書 (PKCS12) — これは、デフォルトで最も一般的な形式であり、キー
および証明書が単一のコンテナに([ 証明書ファイル ])格納されています。ハードウェア セキュ
リティ モジュール (HSM) がこの証明書の秘密鍵を保存する場合、[ 秘密鍵はハードウェア セキュ
リティ モジュール上にあります ] チェックボックスをオンにします。
• [Base64 エンコード済み証明書 (PEM)] — 証明書とは別にキーをインポートする必要があります。
ハードウェア セキュリティ モジュール (HSM) がこの証明書の秘密鍵を保存する場合、[ 秘密鍵は
ハードウェア セキュリティ モジュール上にあります ] チェックボックスをオンにして、ステップ 9
に進みます。その他の場合は、[秘密鍵のインポート] チェックボックスをオンにして、[キー ファ
イル ] に入力するか、キー ファイルを [ 参照 ] して、ステップ 9 を実行します。
9.
秘密鍵の暗号化に使用する [ パスフレーズ ] に入力して、再入力(確認)します。
10. [OK] をクリックします。[ デバイス証明書 ] タブにインポートされた証明書が表示されます。
外部 CA からの証明書の取得
外部認証局 (CA) から証明書を取得するメリットは、秘密鍵がファイアウォール外に出ないこと
です。外部 CA から証明書を取得するには、証明書署名要求 (CSR) を生成し、CA にその要求を
提出します。CA が指定の属性を持つ証明書を発行したら、その証明書をファイアウォールにイ
ンポートします。CA は、一般的な公開 CA またはエンタープライズ CA です。
証明書の失効状態を検証するため、Open Certificate Status Protocol (OCSP) を使用するには、CSR
を生成する前に、「OCSP レスポンダの設定」を行います。
148
証明書の管理
証明書の管理
証明書の取得
外部 CA からの証明書の取得
ステップ 1
外部 CA の証明書を要求します。 1.
ファイアウォールで、[Device] > [ 証明書の管理 ] > [ 証
明書 ] > [ デバイス証明書 ] の順に選択します。
Panorama で、[Device] > [ 証明書の管理 ] > [ 証明書 ] >
[ デバイス証明書 ] の順に選択し、[ テンプレート ] を
選択します。
2.
デバイスで複数の仮想システムをサポートしている場
合は、タブに [ 場所 ] ドロップダウンが表示されます。
証明書の仮想システムを選択します。すべての仮想シ
ステムで証明書を使用できるようにするには、ステッ
プ 6 に記載されている [共有] オプションを選択します。
3.
[ 生成 ] をクリックします。
4.
[ 証明書名 ] を入力します。名前は大文字小文字を区別
し、最大 31 文字を使用できます。英字、数字、ハイ
フン、およびアンダースコアのみを使用し、一意であ
る必要があります。
5.
[ 共通名 ] フィールドに、証明書を使用するサービスを
設定するインターフェイスの FQDN(推奨)または IP
アドレスを入力します。
6.
すべての仮想システムで証明書を使用できるようにす
るには、[ 共有 ] チェックボックスをオンにします。こ
のチェックボックスは、デバイスが複数の仮想システ
ムをサポートしている場合に限り表示されます。
7.
[ 署名者 ] フィールドで、[ 外部認証局 (CSR)] を選択し
ます。
8.
該当する場合、[OCSP レスポンダ ] を選択します。
9.
(任意)証明書を使用するファイアウォールおよび
サービスを一意に特定するための [ 証明書の属性 ] を
[ 追加 ] します。
[ ホスト名 ] 属性を追加する場合は、[ 共通名 ] に
一 致 さ せ る こ と を お 勧 め し ま す(こ れ は、
GlobalProtect で は 必 須 で す)。こ の ホ ス ト 名
が、証明書の [ サブジェクト代替名 ] フィールド
に入力されます。
10. [ 生成 ] をクリックします。[ デバイス証明書 ] タブに
状態が [ 保留 ] である CSR が表示されます。
ステップ 2
証明書の管理
CA に CSR を提出します。
1.
CSR を選択し、[ エクスポート ] をクリックして、ロー
カル コンピュータに .csr ファイルを保存します。
2.
CA に .csr ファイルをアップロードします。
149
証明書の取得
証明書の管理
外部 CA からの証明書の取得(続き)
ステップ 3
ステップ 4
150
証明書をインポートします。
証明書を設定します。
1.
CA が CSR に応答して署名証明書を送信した後、[ デバ
イス証明書 ] タブに戻り、[ インポート ] をクリックし
ます。
2.
ステップ 1 - 4 で CSR の生成に使用した [ 証明書名 ] を
入力します。
3.
CA が送信した PEM [ 証明書ファイル ] のパスと名前を
入力するか、[ 参照 ] してファイルを検索します。
4.
[OK] をクリックします。[ デバイス証明書 ] タブに状
態が [ 有効 ] になっている証明書が表示されます。
1.
証明書の [ 名前 ] をクリックします。
2.
ファイアウォールでの証明書の使用目的に該当する
チェックボックスをオンにします。たとえば、ファイ
アウォールで証明書を Web インターフェイスにアクセ
スする管理者を認証するために使用する場合は、[ 保
護された Web GUI の証明書 ] チェックボックスをオン
にします。
3.
[OK]、[ コミット ] の順にクリックします。
証明書の管理
証明書の管理
証明書プロファイルの設定
証明書プロファイルの設定
証明書プロファイルでは、キャプティブ ポータル、GlobalProtect、サイト間 IPSec VPN、モバイ
ル セキュリティ マネージャ、ファイアウォール /Panorama Web インターフェイス アクセスのた
めのユーザーおよびデバイス認証を定義します。プロファイルでは、使用する証明書、証明書
の失効状態の検証方法、および状態によりアクセスを制限する方法を指定します。アプリケー
ションごとに証明書プロファイルを設定します。
証明書プロファイルの Open Certificate Status Protocol (OCSP) または証明書失効リスト (CRL)
の状態検証を有効化することをお勧めします。詳細は、「証明書の失効」を参照してください。
証明書プロファイルの設定
ステップ 1
割り当てる認証局 (CA) 証明書を 以下のいずれかの手順を実行して、プロファイルに割り
取得します。
当てる CA 証明書を取得します。少なくとも 1 つを割り当
てる必要があります。
• 「ファイアウォールでの証明書の生成」。
• エンタープライズ CA から証明書をエクスポートして、
ファイアウォールにインポートします(ステップ 3 を
参照)。
ステップ 2
証明書プロファイルを特定し 1.
ます。
ファイアウォールで、[Device] > [ 証明書の管理 ] > [ 証
明書プロファイル ] の順に選択し、[ 追加 ] をクリック
します。
Panorama で、[Device] > [ 証明書の管理 ] > [ 証明書プ
ロファイル ] の順に選択し、[ テンプレート ] を選択し
て、[ 追加 ] をクリックします。
証明書の管理
2.
プロファイルの識別に使用する [名前] を入力します。
名前では大文字と小文字を区別します。英字、数字、
スペース、ハイフン、およびアンダースコアのみを使
用し、一意である必要があります。名前は最大 31 文
字を使用できます。
3.
ファイアウォールで複数の仮想システムをサポートし
ている場合は、ダイアログに [ 場所 ] ドロップダウン
が表示されます。プロファイルを使用できる仮想シス
テムを選択するか、[ 共有 ] を選択して、すべての仮想
システムで使用できるようにします。
151
証明書プロファイルの設定
証明書の管理
証明書プロファイルの設定(続き)
ステップ 3
1 つ以上の証明書を割り当て 証明書ごとに以下の手順を実行します。
ます。
1. [CA 証明書 ] 表で、[ 追加 ] をクリックします。
2.
ステップ 1 の [CA 証明書 ] を選択するか、[ インポート ]
をクリックして、以下のサブ手順を実行します。
a. [ 証明書名 ] を入力します。
b. エンタープライズ CA からエクスポートした [ 証明
書ファイル ] のパスと名前を入力するか、[ 参照 ] し
てファイルを検索します。
c. [OK] をクリックします。
3.
必要に応じて、ファイアウォールで証明書の失効状態
を検証する場合は、以下のフィールドを設定して、デ
フォルトの動作をオーバーライドします。ほとんどの
デプロイメントでは、これらのフィールドは適用され
ません。
• デフォルトでは、ファイアウォールが手順「OCSP
レスポンダの設定」で設定した OCSP レスポンダの
URL を使用します。その設定をオーバーライドする
には、[ デフォルト OCSP URL](http:// または https://
で開始)に入力します。
• デフォルトでは、ファイアウォールは [CA 証明書 ]
フィールドで選択した証明書を使用して、OCSP 応
答を検証します。検証に異なる証明書を使用するに
は、[OCSP 検証 CA 証明書 ] フィールドでその証明
書を選択します。
4.
152
[OK] をクリックします。[CA 証明書 ] 表に割り当てら
れた証明書が表示されます。
証明書の管理
証明書の管理
証明書プロファイルの設定
証明書プロファイルの設定(続き)
ステップ 4
証明書の失効状態および関連 1.
付けられているブロック動作
の検証の方法を定義します。
[CRL の使用 ] または [OCSP の使用 ]、あるいは両方を
選 択 し ま す。両 方 を 選 択 し て い る 場 合、フ ァ イ ア
ウォールはまず OCSP を試行し、OCSP レスポンダが
使用できない場合にのみ CRL を使用する方法にフォー
ルバックします。
2.
検証方法に応じて、[CRL 受信の有効期限] または [OCSP
受信の有効期限 ]、あるいはその両方に入力します。
これは、ファイアウォールが CRL/OCSP サービスから
の応答を待機する期間(1 ~ 60 秒)です。
3.
[ 証明書の有効期限 ] を入力します。これは、ファイア
ウォールが任意の証明書状態サービスからの応答を待
機し、定義したセッション ブロック ロジックを適用
するまでの期間(1 ~ 60 秒)です。[ 証明書の有効期
限 ] は、以下のように OCSP/CRL の [ 受信の有効期限 ]
に関連付けられます。
• OCSP および CRL の両方を有効化する場合 — ファ
イアウォールは、[ 証明書の有効期限 ] の値または 2
つの [ 受信の有効期限 ] の値の合計のいずれか小さ
い方の期間の経過後に、要求のタイムアウトを登録
します。
• OCSP のみを有効化する場合 — ファイアウォールは、
[ 証明書の有効期限 ] の値または OCSP の [ 受信の有
効期限 ] の値のいずれか小さい方の期間の経過後
に、要求のタイムアウトを登録します。
• CRL のみを有効化する場合 — ファイアウォールは、
[ 証明書の有効期限 ] 値または CRL の [ 受信の有効
期限 ] 値のいずれか小さい方の期間の経過後に、要
求のタイムアウトを登録します。
ステップ 5
証明書の管理
4.
OCSP または CRL サービスが [ 不明 ] という証明書失効
状態を返した場合にファイアウォールにセッションを
ブロックさせるときは、[ 証明書状態が不明な場合に
セッションをブロック ] チェックボックスをオンにし
ます。その他の場合は、ファイアウォールはセッショ
ンを続行します。
5.
OCSP または CRL 要求のタイムアウトが登録された後、
ファイアウォールでセッションをブロックする場合
は、[タイムアウト時間内に証明書状態を取得できない
場合にセッションをブロック ] チェックボックスをオン
にします。その他の場合は、ファイアウォールはセッ
ションを続行します。
エントリを保存して、適用し [OK]、[ コミット ] の順にクリックします。
ます。
153
SSL フォワード プロキシ サーバーの証明書の鍵のサイズの設定
証明書の管理
SSL フォワード プロキシ サーバーの証明書の鍵のサイズ
の設定
「SSL フォワード プロキシ」セッションでクライアントに応答する場合、ファイアウォールで
は、宛先サーバーによって提示される証明書のコピーを作成し、それを使用してクライアント
との接続を確立します。ファイアウォールでは、デフォルトで、宛先サーバーによって提示さ
れる証明書と鍵のサイズが同じ証明書を生成します。ただし、以下のようにして、ファイア
ウォールで使用する鍵のサイズを変更し、そのファイアウォール自体とクライアントの間の
セッションを確立するため証明書を生成することができます。
SSL フォワード プロキシ サーバーの通信で使用される鍵のサイズの設定
ステップ 1
[Device] > [ セットアップ ] > [ セッション ] の順に選択し、[ 暗号設定 ] セクションで、[ フォー
ワード プロキシ サーバーの証明書設定 ] をクリックします。
ステップ 2
[ 鍵のサイズ ] を選択します。
• 宛先ホストにより定義 — ファイアウォールは、生成する証明書での鍵のサイズを決定し、
宛先サーバーの証明書の鍵のサイズに基づいてクライアントとの SSL プロキシ セッショ
ンを確立します。宛先サーバーが 1024 ビット RSA 鍵を使用する場合、ファイアウォー
ルは、その鍵のサイズと SHA-1 ハッシュ アルゴリズムを使用して証明書を生成します。
宛先サーバーが 1024 ビットよりも大きい鍵サイズを使用する場合(2048 ビットや 4096
ビットなど)、ファイアウォールは、2048 ビットの RSA 鍵と SHA-256 アルゴリズムを使
用する証明書を生成します。これがデフォルトの設定です。
• 1024 ビット RSA — ファイアウォールは、宛先サーバーの証明書の鍵のサイズに関係な
く、1024 ビットの RSA 鍵と SHA-1 ハッシュ アルゴリズムを使用する証明書を生成しま
す。2013 年 12 月 31 日以降、公開認証局 (CA) と一般的なブラウザでは、2048 ビット未満
の鍵を使用する X.509 証明書のサポートが制限されています。将来的にブラウザでは、
このような鍵が提示された場合、セキュリティの設定に応じて、ユーザーに警告を表示
したり、SSL/TLS セッション全体をブロックしたりする可能性があります。
• 2048 ビット RSA — ファイアウォールは、宛先サーバーの証明書の鍵のサイズに関係な
く、2048 ビットの RSA 鍵と SHA-256 ハッシュ アルゴリズムを使用する証明書を生成し
ます。公開 CA と一般的なブラウザでは、1024 ビット鍵よりも強固なセキュリティを提
供する 2048 ビット鍵がサポートされています。
鍵のサイズの設定を変更すると、現在の証明書キャッシュがクリアされます。
ステップ 3
154
[OK]、[ コミット ] の順にクリックします。
証明書の管理
証明書の管理
証明書の失効および更新
証明書の失効および更新

証明書の無効化

証明書の更新
証明書の無効化
さまざまな状況により、有効期限前に証明書が無効化されていることがあります。たとえば、
名前が変更された場合や、サブジェクトと認証局間の関連付けが変更された(従業員の雇用が
終了したなど)場合、秘密鍵の侵害が判明した、またはその疑いがある場合などです。このよ
うな状況では、証明書を発行した認証局 (CA) が証明書を無効化する必要があります。以下のタ
スクでは、ファイアウォールが CA である証明書を無効化する方法を説明します。
証明書の無効化
1.
[Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス証明書 ] の順に選択します。
2.
デバイスで複数の仮想システムをサポートしている場合は、タブに [ 場所 ] ドロップダウンが表示さ
れます。証明書が属している仮想システムを選択します。
3.
無効化する証明書を選択します。
4.
[ 無効化 ] をクリックします。PAN-OS で直ちに証明書の状態が無効に設定され、Open Certificate
StatusProtocol (OCSP) レスポンダ キャッシュまたは証明書失効リスト (CRL) にシリアル番号が追加さ
れます。コミットを実行する必要はありません。
証明書の管理
155
証明書の失効および更新
証明書の管理
証明書の更新
証明書の有効期限が切れた場合、または間もなく切れる場合、有効期間をリセットすることが
できます。外部認証局 (CA) が証明書に署名し、ファイアウォールが Open Certificate Status Protocol
(OCSP) を使用して証明書の失効状態を検証している場合、ファイアウォールは OCSP レスポン
ダ情報を使用して証明書の状態を更新します(「OCSP レスポンダの設定」を参照)。ファイ
アウォールが証明書を発行した CA である場合、ファイアウォールはその証明書を、古い証明
書と属性が同じでシリアル番号が異なる新しい証明書に置き換えます。
証明書の更新
1.
ファイアウォールで、[Device] > [証明書の管理] > [証明書] > [デバイス証明書] の順に選択します。
Panorama で、[Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス証明書 ] の順に選択し、[ テンプ
レート ] を選択します。
2.
デバイスで複数の仮想システムをサポートしている場合は、タブに [ 場所 ] ドロップダウンが表示さ
れます。証明書が属している仮想システムを選択します。
3.
更新する証明書を選択して、[ 更新 ] をクリックします。
4.
[ 新しい有効期限間隔 ](日数単位)を入力します。
5.
[OK]、[ コミット ] の順にクリックします。
156
証明書の管理
証明書の管理
ハードウェア セキュリティ モジュールによるキーの安全確保
ハードウェア セキュリティ モジュールによるキーの安全
確保
ハードウェア セキュリティ モジュール (HSM) はデジタル キーを管理する物理デバイスです。
HSM では、デジタル キーの安全な保存と生成を提供します。HSM では、不正利用や潜在的な
攻撃者からこれらを論理的および物理的に保護します。
Palo Alto Networks デバイスと統合されている HSM クライアントにより、SSL/TLS 復号化で使用
される秘密鍵のセキュリティが向上します(SSL フォワード プロキシおよび SSL インバウンド
インスペクション)。また、デバイスのマスター キーを暗号化するために HSM を使用できます。
以下のトピックでは、Palo Alto Networks デバイスと HSM を統合する方法を説明します。

HSM との接続のセットアップ

HSM を使用したマスター キーの暗号化

HSM での秘密鍵の保存

HSM デプロイメントの管理
証明書の管理
157
ハードウェア セキュリティ モジュールによるキーの安全確保
証明書の管理
HSM との接続のセットアップ
HSM クライアントは、PA-3000 シリーズ、PA-4000 シリーズ、PA-5000 シリーズ、PA-7050、およ
び VM-Series のファイアウォールと統合されており、また、以下の HSM と併用するために、
Panorama(仮想アプライアンスおよび M-100 アプライアンス)上で統合されています。

SafeNet Luna SA 5.2.1 以降

Thales Nshield Connect 11.62 以降
HSM サーバー バージョンは、これらのクライアント バージョンと互換性がある必要がありま
す。クライアント サーバー バージョンの互換性マトリックスについては、HSM ベンダーのマ
ニュアルを参照してください。
以下のトピックでは、ファイアウォール /Panorama とサポートされている HSM の 1 つとの間で
接続をセットアップする方法を説明します。

SafeNet Luna SA HSM との接続のセットアップ

Thales Nshield Connect HSM との接続のセットアップ
SafeNet Luna SA HSM との接続のセットアップ
Palo Alto Networks デバイスおよび SafeNet Luna SA HSM 間の接続をセットアップするには、ファ
イアウォール設定で HSM サーバーに接続するための HSM サーバーのアドレスおよびパスワー
ドを指定する必要があります。また、HSM サーバーでファイアウォールを登録する必要があり
ます。設定を開始する前に、HSM サーバーで Palo Alto Networks デバイスのパーティションが作
成されていることを確認します。
HSM 設定は、高可用性ファイアウォール ピア間では同期されません。そのため、ピアごとに
個別に HSM モジュールを設定する必要があります。
アクティブ/パッシブ HA デプロイメントでは、フェイルオーバーを 1 回手動で実行し、各 HA
ピアを設定して、HSM に対して個別に認証する必要があります。この手動のフェイルオー
バーが実行された後は、ファイルオーバー機能に関するユーザーの操作は不要です。
158
証明書の管理
証明書の管理
ハードウェア セキュリティ モジュールによるキーの安全確保
SafeNet Luna SA HSM との接続のセットアップ
ステップ 1
SafeNet Luna SA HSM と通 1.
信するようにファイア
ウォールを設定します。 2.
ファイアウォール Web インターフェイスにログインして、
[Device] > [ セットアップ ] > [HSM] を選択します。
[ハードウェア セキュリティ モジュール プロバイダ ] セクショ
ンを編集して、[ 設定プロバイダ ] として [Safenet Luna SA]
を選択します。
3.
[追加] をクリックし、[モジュール名] に入力します。これは、
31 文字以下の任意の ASCII 文字列を指定できます。
4.
[ サーバー アドレス ] として HSM モジュールの IPv4 アドレス
を入力します。
高可用性 HSM 設定を設定する場合は、追加 HSM デバイスの
モジュール名および IP アドレスを入力します。
5.
(任意)高可用性 HSM 設定を設定する場合は、[ 高可用性 ]
チェックボックスをオンにして、[ 自動回復の再試行 ] および
[ 高可用性グループ名 ] の値を追加します。
2 つの HSM サーバーが設定されている場合、高可用性を設定
する必要があります。設定しない場合は、2 番目の HSM サー
バーは使用されません。
6.
ステップ 2
(任意)ファイアウォー 1.
ルが HSM に接続できる 2.
ように、サービス ルー
トを設定します。
3.
デ フ ォ ル ト で は、フ ァ
イアウォールが HSM と 4.
通信できるように管理
5.
インターフェイスを使
用 し ま す。異 な る イ ン 6.
ターフェイスを使用す
るには、サービス ルー
トを設定する必要があ
ります。
7.
証明書の管理
[OK] をクリックして、[ コミット ] をクリックします。
[Device] > [ セットアップ ] > [ サービス ] の順に選択します。
[ サービス機能 ] 領域から [ サービス ルートの設定 ] を選択し
ます。
[ サービス ルートの設定 ] 領域から、[ カスタマイズ ] を選択
します。
[IPv4] タブを選択します。
[ サービス ] 列から [HSM] を選択します。
[ 送信元インターフェイス ] ドロップダウンから HSM で使用す
るインターフェイスを選択します。
HSM のデータプレーン接続ポートを選択する場合、
clear session all CLI コマンドを発行すると、既存の
すべての HSM セッションがクリアされ、すべての HSM
がダウンした状態になり、その後起動します。HSM を
回 復 さ せ る た め に 必 要 な 数 秒 の 間 は、す べ て の
SSL/TLS 操作が失敗します。
[OK] をクリックして、[ コミット ] をクリックします。
159
ハードウェア セキュリティ モジュールによるキーの安全確保
証明書の管理
SafeNet Luna SA HSM との接続のセットアップ(続き)
ステップ 3
HSM を認証するように 1.
ファイアウォールを設 2.
定します。
[Device] > [ セットアップ ] > [HSM] の順に選択します。
[ハードウェア セキュリティ操作] 領域で [ハードウェア セキュ
リティ モジュールのセットアップ ] を選択します。
3.
ドロップダウンから [ サーバー名 ] を選択します。
4.
ファイアウォールを HSM に対して認証するための [ 管理者パ
スワード ] を入力します。
5.
[OK] をクリックします。
ファイアウォールは HSM に関する認証の実行を試行し、
ステータス メッセージを表示します。
6.
ステップ 4
HSM でファイアウォール 1.
(HSM クライアント) 2.
を登録し、HSM のパー
ティションにファイア
ウォールを割り当て
ます。
HSM で同じ
<cl-name> が 登 録 3.
済みであるファ
イアウォールが
あ る 場 合、登 録
を続行する前
に、以 下 の コ マ
ンドを使用して
重複する登録を
削除する必要が
あります。
[OK] をクリックします。
リモート システムから HSM にログインします。
以下のコマンドを使用してファイアウォールを登録します。
client register -c <cl-name> -ip <fw-ip-addr>
ここで、<cl-name> は HSM で使用するためにファイアウォー
ルに割り当てる名前であり、<fw-ip-addr> は HSM クライア
ントとして構成されているファイアウォールの IP アドレス
です。
以下のコマンドを使用してファイアウォールにパーティショ
ンを割り当てます。
client assignpartition -c <cl-name> -p <partition-name>
ここで、<cl-name> は client register コマンドではファイア
ウォールに割り当てられている名前であり、<partition-name>
はファイアウォールに割り当てる必要のある前に設定された
パーティションの名前です。
client delete -client
<cl-name>
ここで、<cl-name> は削
除するクライアント
(フ ァ イ ア ウ ォ ー ル)
登録の名前です。
ステップ 5
160
HSM パーティションに 1.
接続するようにファイア 2.
ウォールを設定します。
3.
[Device] > [ セットアップ ] > [HSM] の順に選択します。
更新 アイコンをクリックします。
[ ハードウェア セキュリティ操作 ] 領域で [HSM パーティショ
ンのセットアップ ] を選択します。
4.
HSM のパーティションに対するファイアウォールの認証を行
う [ パーティション パスワード ] を入力します。
5.
[OK] をクリックします。
証明書の管理
証明書の管理
ハードウェア セキュリティ モジュールによるキーの安全確保
SafeNet Luna SA HSM との接続のセットアップ(続き)
ステップ 6
(任意)高可用性 (HA) 1.
を実現するため追加の
HSM を設定します。
高可用性 (HA) を実現するため、ステップ 1 からステップ 5 ま
で実行して HSM を追加します。
2.
設定から HSM を削除する場合は、ステップ 5 を繰り返し
ます。
このプロセスでは、新しい HSM を既存の HA グループに追加
します。
この操作により、HA グループから削除済みの HSM が削除さ
れます。
ステップ 7
HSM との接続を確認し 1.
ます。
2.
[Device] > [ セットアップ ] > [HSM] の順に選択します。
HSM 接続の [ 状態 ] を確認します。
緑 — HSM が認証され、接続されている。
赤 — HSM が認証されなかったか、HSM へのネットワーク接
続がダウンしている。
3.
[ ハードウェア セキュリティ モジュール状態 ] 領域の以下の列
を確認して、認証状態を特定します。
[ シリアル番号 ] — HSM パーティションが正常に認証された
場合、その HSM パーティションのシリアル番号。
[パーティション] — ファイアウォールで割り当てられた HSM
のパーティション名。
[ モジュール状態 ] — HSM の現在の動作状態。HSM がこの表
に表示されている場合、この設定の値は [ 認証済み ] です。
Thales Nshield Connect HSM との接続のセットアップ
以下のトピックでは、ファイアウォールが Thales Nshield Connect HSM と通信するための設定方
法を説明します。この設定には、HSM を使用している組織のすべてのファイアウォールのキー
データを同期するためのハブとして使用するリモート ファイルシステム (RFS) を設定する必要
があります。
HSM 設定は、高可用性ファイアウォール ピア間では同期されません。そのため、ピアごとに
個別に HSM モジュールを設定する必要があります。
高可用性ファイアウォール設定がアクティブ/パッシブ モードである場合、フェイルオーバー
を 1 回手動で実行し、各 HA ピアを設定して、HSM に対して個別に認証する必要があります。
この手動のフェイルオーバーが実行された後は、ファイルオーバー機能に関するユーザーの操
作は不要です。
証明書の管理
161
ハードウェア セキュリティ モジュールによるキーの安全確保
証明書の管理
Thales Nshield Connect HSM との接続のセットアップ
ステップ 1
Thales Nshield
1.
Connect サ ー バ ー
をファイアウォー
ル の HSM プ ロ バ 2.
イダとして設定し
3.
ます。
4.
ファイアウォール Web インターフェイスで、[Device] > [ セット
アップ ] > [HSM] を選択し、[ ハードウェア セキュリティ モジュー
ル プロバイダ ] セクションを編集します。
[Thales Nshield Connect] を [ 設定プロバイダ ] として選択します。
[ 追加 ] をクリックし、[ モジュール名 ] に入力します。これは、
31 文字以下の任意の ASCII 文字列を指定できます。
HSM モジュールの [ サーバー アドレス ] として IPv4 アドレスを入
力します。
高可用性 HSM 設定を設定する場合は、追加 HSM デバイスのモ
ジュール名および IP アドレスを入力します。
ステップ 2
(任意)ファイア
ウォールが HSM
に接続できるよう
に、サービス ルー
トを設定します。
5.
[ リモート ファイルシステムのアドレス ] に IPv4 アドレスを入力し
ます。
6.
[OK]、[ コミット ] の順にクリックします。
1.
[Device] > [ セットアップ ] > [ サービス ] の順に選択します。
2.
[ サービス機能 ] 領域から [ サービス ルートの設定 ] を選択します。
3.
[サービス ルートの設定] 領域から、[カスタマイズ] を選択します。
4.
[IPv4] タブを選択します。
5.
デフォルトでは、
ファイアウォール 6.
が HSM と通信で
きるように管理イ
ンターフェイスを
使用します。異な
るインターフェイ
スを使用するに
は、サ ー ビ ス 7.
ルートを設定する
必要があります。
162
[ サービス ] 列から [HSM] を選択します。
[ 送信元インターフェイス ] ドロップダウンから HSM で使用するイ
ンターフェイスを選択します。
HSM のデータプレーン接続ポートを選択する場合、clear
session all CLI コ マ ン ド を 発 行 す る と、既 存 の す べ て の
HSM セッションがクリアされ、すべての HSM がダウンした
状態になり、その後起動します。HSM を回復させるために
必要な数秒の間は、すべての SSL/TLS 操作が失敗します。
[OK] をクリックして、[ コミット ] をクリックします。
証明書の管理
証明書の管理
ハードウェア セキュリティ モジュールによるキーの安全確保
Thales Nshield Connect HSM との接続のセットアップ(続き)
ステップ 3
HSM サーバーで 1.
ファイアウォール
(HSM クライア 2.
ン ト)を 設 定 し
ます。
こ の 手 順 で は、
Thales Nshield
Connect HSM のフ
ロント パネル イ
ンターフェイスを
使用する手順を簡
単に説明します。
詳細は、Thales の 3.
マニュアルを参照 4.
してください。
ステップ 4
ファイアウォール 1.
からの接続を受け
入 れ る リ モ ー ト 2.
ファイルシステム
をセットアップし
ます。
Thales Nshield Connect HSM ユニットのフロント パネル ディスプレ
イにログインします。
ユニットのフロントパネルで、右側のナビゲーション ボタンを使用
し て、[System] > [System configuration] > [Client config] > [New
client] を選択します。
ファイアウォールの IP アドレスを入力します。
[System] > [System configuration] > [Client config] > [Remote file
system] を選択して、リモート ファイル システムを設定するクラ
イアント コンピュータの IP アドレスを入力します。
Linux クライアントからリモート ファイルシステム (RFS) にログイ
ンします。
電子シリアル番号 (ESN) および KNETI キーのハッシュを取得します。
KNETI キーでは、クライアントに対してモジュールを認証します。
anonkneti <ip-address>
ここで、<ip-address> は HSM の IP アドレスです。
以下に例を挙げます。
anonkneti 192.0.2.1
B1E2-2D4C-E6A2 5a2e5107e70d525615a903f6391ad72b1c03352c
この例では、B1E2-2D4C-E6A2 は、ESM であり、
5a2e5107e70d525615a903f6391ad72b1c03352c は、KNETI キーのハッ
シュです。
3.
スーパーユーザー アカウントから以下のコマンドを使用すると、リ
モート ファイル システムの設定を実行します。
rfs-setup --force <ip-address> <ESN> <hash-Kneti-key>
ここで、<ip-address> は HSM の IP アドレス、
<ESN>
は電子シリアル番号 (ESN) 、
<hash-Kneti-key>
は KNETI キーのハッシュです。
以下の例では、この手順で取得した値を使用します。
rfs-setup --force <192.0.2.1> <B1E2-2D4C-E6A2>
<5a2e5107e70d525615a903f6391ad72b1c03352c>
4.
以下のコマンドを使用すると、クライアントがリモート ファイルシ
ステムでサブミットすることを許可します。
rfs-setup --gang-client --write-noauth <FW-IPaddress>
ここで、<FW-IPaddress> はファイアウォールの IP アドレスです。
証明書の管理
163
ハードウェア セキュリティ モジュールによるキーの安全確保
証明書の管理
Thales Nshield Connect HSM との接続のセットアップ(続き)
ステップ 5
HSM を認証する 1.
ようにファイア
ウォールを設定し 2.
ます。
3.
ファイアウォール Web インターフェイスで、[Device] > [セットアッ
プ ] > [HSM] を選択します。
[ ハードウェア セキュリティ操作 ] 領域で [ ハードウェア セキュリ
ティ モジュールのセットアップ ] を選択します。
[OK] をクリックします。
ファイアウォールは HSM に関する認証の実行を試行し、ステータ
ス メッセージを表示します。
4.
ステップ 6
ステップ 7
ファイアウォール 1.
を リ モ ー ト フ ァ 2.
イルシステムと同
期します。
ファイアウォール 1.
が HSM に接続で 2.
きることを確認し
ます。
[OK] をクリックします。
[Device] > [ セットアップ ] > [HSM] の順に選択します。
[ ハードウェア セキュリティ操作 ] セクションで [ リモート ファイ
ルシステムと同期 ] を選択します。
[Device] > [ セットアップ ] > [HSM] の順に選択します。
状態インジケータを確認して、ファイアウォールが HSM に接続さ
れていることを確認します。
緑 — HSM が認証され、接続されている。
赤 — HSM が認証されなかったか、HSM へのネットワーク接続がダ
ウンしている。
3.
[ ハードウェア セキュリティ モジュール状態 ] セクションの以下の
列を確認して、認証状態を特定します。
名前 : 認証を試行している HSM の名前。
IP アドレス : ファイアウォールで割り当てられた HSM の IP アドレス。
モジュール状態 : HSM の現在の動作状態([ 認証済み ] または [ 認証
されていません ])。
164
証明書の管理
証明書の管理
ハードウェア セキュリティ モジュールによるキーの安全確保
HSM を使用したマスター キーの暗号化
マスター キーは、Palo Alto Networks ファイアウォールで設定され、すべての秘密鍵およびパス
ワードを暗号化します。セキュリティ要件で秘密鍵を安全な場所に保存する必要がある場合
は、HSM 上に保存されている暗号化キーを使用してマスター キーを暗号化できます。その後、
ファイアウォールは、ファイアウォールでパスワードまたは秘密鍵の復号化が必要になるたび
に、HSM にマスター キーを復号化するように要求します。通常、HSM は、セキュリティを向
上させるため、ファイアウォールとは別の高度に安全な場所にあります。
HSM では、ラッピング キーを使用してマスター キーを暗号化します。セキュリティを維持す
るため、この暗号化キーは随時変更する必要があります。このため、マスター キーの暗号化を
変更するラッピング キーを循環させるために、コマンドがファイアウォールで提供されます。
このラッピング キーの変更頻度はアプリケーションによって異なります。
HSM を使用したマスター キーの暗号化では、FIPS モードまたは CC モードで設定されている
ファイアウォールではサポートされていません。
以下のトピックでは、初めにマスター キーを暗号化する方法とマスター キーの暗号化を更新す
る方法を説明します。

マスター キーの暗号化

マスター キーの暗号化の更新
マスター キーの暗号化
特定のデバイスでマスター キーがこれまで暗号化されていなかった場合、以下の手順を使用し
てマスター キーを暗号化します。キーの初回の暗号化時、または、新しいマスター キーを定義
するか、暗号化する場合に、この手順を使用します。以前に暗号化されたキーの暗号化を更新
する場合は、「マスター キーの暗号化の更新」を参照してください。
HSM を使用したマスター キーの暗号化
ステップ 1
[Device] > [ マスター キーおよび診断 ] を選択します。
ステップ 2
[ マスター キー] フィールドで、ファイアウォールでのすべての秘密鍵とパスワードを暗号
化するために現在使用されているキーを指定します。
ステップ 3
マスター キーを変更する場合、新しいマスター キーを入力して、確認します。
ステップ 4
[HSM に保管 ] チェックボックスをオンにします。
ライフ タイム : マスター キーが期限切れになるまでの日数と時間数(1 ~ 730 日の範囲)。
リマインダーの時間 : 有効期限が迫っていることをユーザーに通知するときの、期限切れ
になるまでの日数と時間数(1 ~ 365 日の範囲)。
ステップ 5
証明書の管理
[OK] をクリックします。
165
ハードウェア セキュリティ モジュールによるキーの安全確保
証明書の管理
マスター キーの暗号化の更新
HSM でマスター キーのラッピング キーを交換することによって、マスター キーの暗号化を定
期的に更新することをお勧めします。このコマンドは、SafeNet Luna SA および Thales Nshield
Connect HSM の両方で同じです。
マスター キーの暗号化の更新
1.
以下の CLI コマンドを使用して、HSM でマスター キーのラッピング キーを交換します。
> request hsm mkey-wrapping-key-rotation
HSM でマスター キーが暗号化されている場合、CLI コマンドでは、HSM で新しいラッピング キー
を生成し、その新しいラッピング キーを使用してマスター キーを暗号化します。
HSM でマスター キーが暗号化されていない場合、CLI コマンドでは、今後使用するために HSM で
新しいラッピング キーを生成します。
古いラッピング キーはこのコマンドでは削除されません。
166
証明書の管理
証明書の管理
ハードウェア セキュリティ モジュールによるキーの安全確保
HSM での秘密鍵の保存
セキュリティを強化するため、SSL/TLS 復号化(SSL フォワード プロキシおよび SSL インバウ
ンド インスペクションの両方)の有効化に使用する秘密鍵は、以下のように HSM で安全を保
護することができます。

SSL フォワード プロキシ — SSL/TLS フォワード プロキシ操作での証明書の署名に使用する
CA 証明書の秘密鍵を HSM に保存できます。その後、ファイアウォールは、SSL/TLS フォ
ワード プロキシ操作中に生成する証明書を HSM に送信してから、署名を得るためクライア
ントにその証明書を転送します。

SSL インバウンド インスペクション — SSL/TLS インバウンド インスペクションを実行する
内部サーバーの秘密鍵を HSM に保存できます。
HSM に秘密鍵をインポートする方法の詳細は、HSM プロバイダのマニュアルを参照してくださ
い。必要なキーが HSM 上に保存された後は、以下のようにキーを配置するようにファイア
ウォールを設定できます。
HSM での秘密鍵の保存
ステップ 1
SSL フォワード プロキ HSM に秘密鍵をインポートする方法の詳細は、HSM プロバイダ
シ デプロイメントまた のマニュアルを参照してください。
は SSL インバウンド イ
ンスペクション デプロ
イ メ ン ト、あ る い は そ
の両方で使用する秘密
鍵を HSM にインポート
します。
ステップ 2
(Thales Nshield Connect 1.
のみ)HSM リモート ファ
イル システムからファ 2.
イアウォールにキー
データを同期します。
ファイアウォール Web インターフェイスで、[Device] > [ セッ
トアップ ] > [HSM] を選択します。
HSM に保存する秘密鍵に 1.
該当する証明書をファ
イ ア ウ ォ ー ル に イ ン 2.
ポートします。
3.
ファイアウォール Web インターフェイスで、[Device] > [ 証明
書の管理 ] > [ 証明書 ] > [ デバイス証明書 ] の順に選択します。
4.
HSM にインポートした [ 証明書ファイル ] のファイル名を入
力します。
5.
ドロップダウンから適切な [ ファイル フォーマット ] を選択し
ます。
6.
[ 秘密鍵はハードウェア セキュリティ モジュール上にあります ]
チェックボックスをオンにします。
7.
[OK]、[ コミット ] の順にクリックします。
ステップ 3
証明書の管理
[ハードウェア セキュリティ操作] セクションで [リモート ファ
イルシステムと同期 ] を選択します。
[ インポート ] をクリックします。
[ 証明書名 ] を入力します。
167
ハードウェア セキュリティ モジュールによるキーの安全確保
証明書の管理
HSM での秘密鍵の保存(続き)
ステップ 4
ステップ 5
(フォワード トラスト 1.
証 明 書 の み)SSL/TLS
フォワード プロキシで 2.
使用する証明書を有効
3.
にします。
証明書がファイア
ウォールに正常にイン
ポートされたことを確
認します。
[Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス証明書 ] の
順に選択します。
ステップ 3 でインポートした証明書を確認します。
[ フォワード プロキシ用の信頼された証明書 ] チェックボック
スをオンにします。
4.
[OK]、[ コミット ] の順にクリックします。
1.
[Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス証明書 ] の
順に選択します。
2.
ステップ 3 でインポートした証明書を確認します。
3.
[ キー] 列で、以下を確認します。
ロック アイコンが表示されている場合は、HSM 上には証明書
の秘密鍵はありません。
エラー アイコンが表示されている場合は、秘密鍵は HSM に
インポートされていないか、HSM が適切に認証または接続さ
れていません。
168
証明書の管理
証明書の管理
ハードウェア セキュリティ モジュールによるキーの安全確保
HSM デプロイメントの管理
HSM の管理
• HSM 設定を表示します。
[Device] > [ セットアップ ] > [HSM] の順に選択します。
• HSM の詳細情報を表示します。 [ ハードウェア セキュリティ操作 ] セクションで [ 詳細情報を表示 ]
を選択します。
HSM サーバーに関する情報、HSM HA 状態、および HSM ハード
ウェアが表示されます。
• サポート ファイルをエクスポー [ ハードウェア セキュリティ操作 ] セクションで [ サポート ファイル
トします。
のエクスポート ] を選択します。
カスタマー サポートがファイアウォールの HSM 設定に関する問題
に対処する上で役立つテスト ファイルが作成されます。
• HSM 設定をリセットします。
[ ハードウェア セキュリティ操作 ] セクションから [HSM 設定のリ
セット ] を選択します。
このオプションを選択すると、すべての HSM 接続が削除されま
す。このオプションを使用した後は、すべての認証手順を繰り返す
必要があります。
証明書の管理
169
ハードウェア セキュリティ モジュールによるキーの安全確保
証明書の管理
170
証明書の管理
高可用性
高可用性 (HA) は、2 つのファイアウォールを 1 つのグループに配置して、ネットワーク上の単
一障害点を回避するために 2 つのファイアウォールの設定を同期する設定です。ファイア
ウォール ピア間のハートビート接続では、ピアがダウンした場合シームレスにフェイルオー
バーを実行できます。2 つのデバイス クラスタでファイアウォールを設定すると冗長性が得ら
れるため、ビジネス継続性を確保できます。
Palo Alto Networks ファイアウォールでは、セッション同期および設定同期機能で、ステートフ
ル アクティブ / パッシブまたはアクティブ / アクティブ高可用性をサポートします。VM-Series
ファイアウォールおよび PA-200 など、ファイアウォールの一部のモデルでは、セッション同期
機能のない、『HA ライト』のみをサポートしています。以下のトピックでは、高可用性と使
用環境で高可用性を設定する方法の詳細を説明します。

HA 概要

HA の概念

アクティブ / パッシブ HA のセットアップ

HA リソース
高可用性
171
HA 概要
高可用性
HA 概要
Palo Alto Networks ファイアウォールでは、2 つのデバイスを HA ペアとして設定できます。HA
では、プライマリ デバイスに障害が発生した場合に、代替デバイスを使用できるようにするこ
とで、ダウンタイムを最小限に抑えることができます。このデバイスでは、専用またはインバ
ンドの HA ポートをファイアウォール上で使用することにより、ネットワーク、オブジェク
ト、ポリシー設定などのデータを同期し、状態の情報を維持します。管理ポートの IP アドレス
や管理者プロファイルなどのデバイス固有の設定、HA 固有の設定、ログ データ、およびアプ
リケーション コマンド センター (ACC) の情報は、デバイス間で共有されません。アプリケー
ションおよびログのビューを HA ペア間で統合したい場合、Panorama という Palo Alto Networks
の中央管理システムを使用する必要があります。
アクティブなデバイスで障害が発生した場合、パッシブ デバイスがトラフィックの保護タスク
を引き継ぎますが、このイベントをフェイルオーバーといいます。フェイルオーバーが引き起
こされる条件は、次のとおりです。

モニター対象となる 1 つ以上のインターフェイスに障害が発生した場合。(リンク モニタリ
ング)

デバイスで指定する 1 つ以上の宛先に到達できない場合。(パス モニタリング)

デバイスがハートビート ポーリングに応答しない場合。(ハートビート ポーリングおよび
Hello メッセージ)
「HA の概念」を理解してから、「アクティブ / パッシブ HA のセットアップ」に進みます。
172
高可用性
高可用性
HA の概念
HA の概念
以下のトピックでは、Palo Alto Networks ファイアウォールでの HA の動作について、その概念
を中心に説明します。

HA モード

HA リンクおよびバックアップ リンク

デバイス優先度およびプリエンプション

フェイルオーバーのトリガー

HA タイマー
HA モード
HA のファイアウォールは、次の 2 つのモードで設定できます。

アクティブ / パッシブ — 一方のデバイスではトラフィックをアクティブに管理し、もう一方
のデバイスでは同期を取り、障害が発生した場合のアクティブ状態への移行に備えます。こ
の設定では、両方のデバイスで同じ設定を共有し、パス、リンク、システム、またはネット
ワークに障害が発生するまでは、一方がアクティブにトラフィックを管理します。アクティ
ブなデバイスで障害が発生した場合、パッシブ デバイスがシームレスに同じポリシーを引き
継いで実行し、ネットワーク セキュリティを維持します。アクティブ / パッシブ HA は、
バーチャル ワイヤーと、レイヤー 2 およびレイヤー 3 デプロイメントでサポートされていま
す。デバイスのアクティブ / パッシブ設定方法の詳細は、「アクティブ / パッシブ HA の設
定」を参照してください。
PA-200 および VM-Series ファイアウォールでは、アクティブ/パッシブ HA のライト バージョ
ンをサポートしています。HA のライト バージョンでは、設定を同期できるほか、IPSec
Security Associations (SA) など、いくつかの実行時データを同期できます。ただし、セッショ
ンの同期には対応していないため、HA ライトにはステートフル フェイルオーバー機能があり
ません。

アクティブ/アクティブ — ペアリングされた両方のデバイスがアクティブな状態でトラフィッ
クを処理し、同調してセッションのセットアップやオーナーシップを操作します。アクティ
ブ / アクティブ デプロイメントは、バーチャル ワイヤーおよびレイヤー 3 デプロイメントで
サポートされていますが、推奨されるのは非対称ルーティングのネットワークの場合のみで
す。デバイスのアクティブ / アクティブ設定方法の詳細は、『Active/ActiveHigh Availability
Tech Note』(英語)を参照してください。
高可用性
173
HA の概念
高可用性
HA リンクおよびバックアップ リンク
HA ペアのデバイスでは、HA リンクを使用してデータを同期し、状態情報を管理します。ファ
イアウォールの一部のモデルには、コントロール リンク (HA1) とデータ リンク (HA2) という専
用の HA ポートがありますが、それ以外のモデルでは、インバンド ポートを HA リンクとして
使用する必要があります。
PA-3000 シリーズ、PA-4000 シリーズ、PA-5000 シリーズ、および PA-7050 ファイアウォール
(「PA-7050 ファイアウォール上の HA ポート」を参照)などの専用の HA ポートを持つデバイ
スでは、専用の HA ポートを使用して、デバイス間で通信および同期を管理します。PA-200 シ
リーズ、PA-500 シリーズ、PA-2000 シリーズのファイアウォールなど、専用の HA ポートがない
デバイスの場合、デバイスの管理プレーン間を直接接続できるようにするための HA1 リンク用
の管理ポートと、HA2 リンク用のインバンド ポートを使用することをお勧めします。
HA1 および HA2 リンクでは、管理プレーンにある機能の同期を提供します。管理プレーンで
専用の HA インターフェイスを使用する方が、インバンド ポートを使用するより効率的です。
これは、データプレーンを介して同期パケットを渡す必要がないためです。

コントロール リンク : HA1 リンクは、Hello、ハートビート、HA 状態、ルーティング用の管
理プレーンの同期、User-ID などの情報交換に使用します。またこのリンクを使用して、ア
クティブ デバイスまたはパッシブ デバイスの設定変更をピア デバイスと同期します。HA1
リンクはレイヤー 3 リンクのため、IP アドレスが必要です。
HA1 に使用するポート : クリア テキスト通信には TCP ポート 28769 と 28260、暗号化通信
(SSH over TCP) にはポート 28 を使用します。

データ リンク : HA2 リンクを使用して、セッション、テーブルの転送、IPSec SA、および ARP
テーブルを HA ペアのデバイス間で同期します。HA2 リンクのデータ フローは(HA2 キープ
アライブを除き)常に単向性なので、データはアクティブ デバイスからパッシブ デバイス
に流れます。HA2 リンクはレイヤー 2 リンクなので、デフォルトで EtherType 0x7261 を使用
します。
HA2 で使用するポート : HA データ リンクは、IP(プロトコル番号 99)または UDP(ポート
29281)のいずれかを転送ポートとして使用するように設定できるため、HA データ リンクは
サブネットをまたぐことができます。
さらに、HA3 リンクはアクティブ / アクティブ HA デプロイメントで使用されます。非対称
ルートがある場合、HA3 リンクはセッションを所有する HA ピアへのパケットの転送に使用
されます。HA3 リンクはレイヤー 2 リンクであり、レイヤー 3 アドレスまたは暗号化をサ
ポートしていません。
174
高可用性
高可用性

HA の概念
バックアップ リンク : HA1 リンクと HA2 リンクの冗長性を実現します。インバンド ポート
は、HA1 と HA2 の両方のバックアップ リンクとして使用します。バックアップ HA リンク
を設定する場合は、次のガイドラインを考慮してください。
–
プライマリ HA リンクとバックアップ HA リンクの IP アドレスを重複させることはでき
ません。
–
HA バックアップ リンクは、プライマリ HA リンクとは別のサブネット上になければな
りません。
–
HA1 バックアップと HA2 バックアップのポートは、異なる物理ポート上で設定する必
要があります。HA1 バックアップ リンクでは、ポート 28770 と 28260 が使用されます。
Palo Alto Networks では、HA1 または HA1 のバックアップ リンクにインバンド ポートを使用
する場合、ハートビート バックアップ(MGT インターフェイスでポート 28771 を使用)を有
効にすることをお勧めします。
PA-7050 ファイアウォール上の HA ポート
PA-7050 上の HA 接続の詳細については、スイッチ管理カード (SMC) 上の必須ポートおよびネッ
トワーク処理カード (NPC) 上の最適なポートに関する詳細をまとめた以下の表を参照してくだ
さい。PA-7050 ファイアウォールのモジュールおよびインターフェイス カードの概要について
は、『PA-7050 Hardware Reference Guide』(英語)を参照してください。
SMC 上の以下のポートは、HA 接続用に設計されています。
HA リンク
および
バックアップ
リンク
SMC のポート
説明
コントロール HA1-A
HA 制御 および同期 に使用。ペ アの 1 番目 のデバイ スの
リンク
速度 : Ethernet 10/100/1000 HA1-A ポートから 2 番目のデバイスの HA1-A にこのポート
を直接接続するか、スイッチまたはルーターを経由して
2 つのデバイスを相互に接続します。
NPC データ ポートまたは MGT ポートで HA1 を設定するこ
とはできません。
コントロール HA1-B
HA1-A のバックアップとして HA 制御および同期に使用。ペ
リンクのバッ 速度 : Ethernet 10/100/1000 アの 1 番目のデバイスの HA1-B ポートから 2 番目のデバイス
クアップ
の HA1-B にこのポートを直接接続するか、スイッチまたは
ポート
ルーターを経由して 2 つのデバイスを相互に接続します。
NPC データ ポートまたは MGT ポートでは HA1 バックアッ
プは設定できません。
高可用性
175
HA の概念
HA リンク
および
バックアップ
リンク
高可用性
SMC のポート
説明
データ リンク HSCI-A
HA 設定で 2 つの PA-7050 ファイアウォールを接続するため
(高速シャーシ相互接続) に使用する 4 ポート SFP (QSFP) インターフェイス。各ポー
トは、内部では 4 つの 10 ギガビット リンクで構成されてお
り、合わせて 40 ギガビットの速度を実現します。アクティ
ブ / パッシブ設定の HA2 データ リンクに使用ます。アク
ティブ / アクティブ モードでは、このポートは App-ID およ
び Content-ID のレイヤー 7 インスペクションを必要とする
非対称ルーティング セッションでの HA3 パケット転送にも
使用されます。
通常のインストールでは、1 番目のシャーシの HSCI-A は 2 番
目のシャーシの HSCI-A に直接接続され、1 番目のシャーシの
HSCI-B は 2 番目のシャーシの HSCI-B に接続されます。これ
により、完全な 80 ギガビットの転送速度が実現されます。
ソフトウェアでは、両方のポート(HSCI-A および HSCI-B)
は 1 つの HA インターフェイスとして処理されます。
HSCI ポートはルーティング可能ではないため、相互に直接
接続する必要があります。
HA2 接続および HA3 接続の両方で専用の HSCI ポートを使
用することをお勧めします。ただし、必要に応じて、NPC
データ ポート上で HA2 リンクおよび HA3 リンクを設定で
きます。
データ リン
クのバック
アップ
HSCI-B
HSCI-B ポートの 4 ポート SFP (QSFP) インターフェイス(上
(高速シャーシ相互接続) 記の説明を参照)は、HA2/HA3 用の帯域幅を拡大するため
に使用される。
HSCI ポートはルーティング可能ではないため、相互に直接
接続する必要があります。
HA2 接続および HA3 接続の両方で専用の HSCI-B ポートを使
用することをお勧めします。必要に応じて、NPC データ
ポート上で HA2/HA3 バックアップ リンクを設定できます。
デバイス優先度およびプリエンプション
HA ペアのデバイスにデバイス優先度の値を割り当てることにより、どちらのデバイスにアク
ティブな役割を持たせて優先的にトラフィックを管理させるかを示すことができます。HA ペ
アの特定のデバイスを使用してアクティブにトラフィックを保護する必要がある場合、両方の
ファイアウォールでプリエンプティブ機能を有効にし、各デバイスに優先度の値を割り当てる
必要があります。数値の小さい方のデバイス、つまり優先度の高いデバイスがアクティブ デバ
イスに指定され、ネットワーク上のすべてのトラフィックを管理します。もう一方のデバイス
はパッシブ状態となり、アクティブ デバイスと設定情報や状態の情報を同期し、障害が発生し
た場合のアクティブ状態への移行に備えます。
176
高可用性
高可用性
HA の概念
デフォルトでは、ファイアウォールでプリエンプションが無効になっているため、両方のデバ
イスで有効にする必要があります。プリエンプティブの動作を有効にすると、優先度の高い
(数値の低い方の)ファイアウォールが障害から回復した後に、そのファイアウォールをアク
ティブ ファイアウォールとして再開させることができます。プリエンプションが発生すると、
そのイベントがシステム ログに記録されます。
フェイルオーバーのトリガー
アクティブなデバイスで障害が発生した場合、パッシブ デバイスがトラフィックの保護タスク
を引き継ぎますが、このイベントをフェイルオーバーといいます。アクティブ デバイスのモニ
ター対象メトリックに障害が発生すると、フェイルオーバーが引き起こされます。デバイスの
障害を検出するための、モニター対象となるメトリックは、次のとおりです。

ハートビート ポーリングおよび Hello メッセージ
ファイアウォールでは、Hello メッセージおよびハートビートを使用して、ピアの応答状態
と動作状態を確認します。設定した Hello 間隔で Hello メッセージがピアの一方からもう一方
へ送信され、デバイスの状態を検証します。ハートビートは、コントロール リンクを介した
HA ピアに対する ICMP ping の一種で、ピアがこの ping に応答することで、デバイスの接続
および応答状態を証明します。デフォルトでは、ハートビートの間隔は 1000 ミリ秒です。
フェイルオーバーをトリガーする HA タイマーの詳細は、「HA タイマー」を参照してくだ
さい。

リンク モニタリング
モニター対象の物理インターフェイスが 1 つのリンク グループに集約され、その状態(リン
ク アップまたはリンク ダウン)がモニタリングされます。リンク グループには、1 つ以上の
物理インターフェイスを含めることができます。グループ内のインターフェイスの一部また
はすべてに障害が発生すると、デバイスの障害が引き起こされます。デフォルトの動作で
は、グループ内のいずれかのリンクに障害が発生すると、デバイスの HA 状態が非稼働に変
わり、モニター対象オブジェクトの障害を示します。

パス モニタリング
ネットワーク全体でミッション クリティカルな IP アドレスへの全経路をモニタリングしま
す。ICMP ping を使用して、問題の IP アドレスに到達可能かどうかを検証します。デフォル
トの ping 間隔は 200 ミリ秒です。10 回(デフォルト値)連続で ping に失敗すると、その IP
アドレスに到達不可能とみなされ、対象の IP アドレスの一部またはすべてに到達不可能と
なった場合は、デバイスの障害が引き起こされます。デフォルトの動作では、IP アドレスの
いずれかに到達不可能となった場合、デバイスの HA 状態が not-functional に変わり、モニ
ター対象オブジェクトの障害を示します。
上記のフェイルオーバーのトリガー条件に加えて、管理者がデバイスを一時停止した場合、ま
たはプリエンプションが発生した場合も、フェイルオーバーが引き起こされます。
高可用性
177
HA の概念
高可用性
PA-3000 シリーズ、PA-5000 シリーズ、および PA-7050 のファイアウォールでは、内部ヘルス
チェックに失敗するとフェイルオーバーが引き起こされる場合があります。このヘルス チェッ
クは設定変更不可能で、有効時はファイアウォール内のすべてのコンポーネントに対して動作
状態を検証します。
HA タイマー
高可用性 (HA) タイマーは、ファイアウォール障害の検出およびフェイルオーバーのトリガーに
使用します。HA タイマーの設定時に煩雑さを軽減するため、追加された [ 推奨 ]、[ アグレッシ
ブ]、および [詳細] という 3 つのプロファイルから選択できます。これらのプロファイルでは、
特定のファイアウォール プラットフォームに最適な HA タイマー値が自動入力され、HA のデ
プロイメント速度を高めることができます。
通常のフェイルオーバー タイマー設定には [ 推奨 ] プロファイルを使用し、高速なフェイルオー
バー タイマー設定には [アグレッシブ] プロファイルを使用します。[詳細] プロファイルでは、
ネットワーク要件に合わせてタイマー値をカスタマイズできます。
以下の表に、プロファイルに含まれる各タイマーと、異なるハードウェア モデルでの現在の事
前設定値を示します。これらの値は、現時点でのものであり、以降のリリースでは変わる可能
性があります。
プラットフォーム別の推奨 / アグレッシブ HA タイマー値
タイマー
説明
PA-7050
PA-2000 シリーズ
Panorama VM
PA-5000 シリーズ
PA-500 シリーズ
M-100
PA-4000 シリーズ
PA-200 シリーズ
PA-3000 シリーズ
VM-Series
モ ニ タ ー 障 害 時 パス モニター障害または 0/0
ホ ー ル ド ア ッ プ リンク モニター障害の発
タイム
生 後、フ ァ イ ア ウ ォ ー ル
がアクティブのままでい
る 時 間。隣 接 す る デ バ イ
スが偶発的にフラッピン
グ す る こ と に よ る HA の
フェイルオーバーを回避
す る た め に は、こ の 設 定
をお勧めします。
0/0
0/0
プリエンプション パッシブ デバイスまたは 1/1
ホールド タイム
アクティブなセカンダリ
デ バ イ ス が、ア ク テ ィ ブ
デバイスまたはアクティ
ブなプライマリ デバイス
として引き継ぐまでに待
機する時間。
1/1
1/1
178
高可用性
高可用性
タイマー
HA の概念
説明
PA-7050
PA-2000 シリーズ
Panorama VM
PA-5000 シリーズ
PA-500 シリーズ
M-100
PA-4000 シリーズ
PA-200 シリーズ
PA-3000 シリーズ
VM-Series
ハートビート間隔 HA ピアが ICMP ping 形式 1000/1000
でハートビート メッセー
ジを交換する頻度。
2000/1000
2000/1000
プ ロ モ ー シ ョ ン パッシブ デバイス(アク 2000/500
ホールド タイム
ティブ / パッシブ モードの
場合)またはアクティブな
セカンダリ デバイス(ア
クティブ / アクティブ モー
ドの場合)が、HA ピアと
の通信が失われた後でアク
ティブ デバイスまたはア
クティブなプライマリ デ
バイスとして引き継ぐまで
に待機する時間。このホー
ルド タイムは、ピアの障
害宣言が行われた後に開始
されます。
2000/500
2000/500
追 加 の マ ス タ ー こ の 時 間 間 隔 は、Monitor 500/500
ホ ー ル ド ア ッ プ Fail Hold Up Time と同じイ
タイム
ベントに適用されます
(範 囲 は 0 ~ 60000 ミ リ
秒、デフォルトは 500 ミリ
秒)。追 加 の 時 間 間 隔
は、アクティブ / パッシブ
モードのアクティブ デバ
イスとアクティブ / アク
ティブ モードのアクティ
ブなプライマリ デバイス
に の み 適 用 さ れ ま す。両
方のデバイスで同じリン
ク /パス モニターの障害が
同時に発生した場合に
フェイルオーバーを回避
す る た め に は、こ の タ イ
マをお勧めします。
500/500
7000/5000
高可用性
179
HA の概念
タイマー
高可用性
説明
PA-7050
PA-2000 シリーズ
Panorama VM
PA-5000 シリーズ
PA-500 シリーズ
M-100
PA-4000 シリーズ
PA-200 シリーズ
PA-3000 シリーズ
VM-Series
Hello 間隔
もう一方のファイアウォー 8000/8000
ルの HA 機能が動作してい
ることを確認するための
hello パケットの送信間隔
(ミリ秒単位)。範囲は、
すべてのプラットフォーム
で 8000 ~ 60000 ミリ秒(デ
フォルトは 8000 ミリ秒)
です。
8000/8000
8000/8000
最大フラップ数
フ ラ ッ プ は、フ ァ イ ア 3/3
ウォールが前回の非アク
ティブ状態発生から 15 分
以内に再び非アクティブ
状態になるとカウントさ
れ ま す。こ の 値 は、許 容
する最大フラップ数を示
し ま す(範 囲 は 0 ~ 16、
デフォルトは 3)。フラッ
プ数がこの最大数に達する
とファイアウォールがサス
ペンドしたと判断されて
パッシブ ファイアウォー
ルが引き継ぎます。
3/3
該当なし
180
高可用性
高可用性
アクティブ / パッシブ HA のセットアップ
アクティブ / パッシブ HA のセットアップ

アクティブ / パッシブ HA の前提条件

アクティブ / パッシブ HA の設定ガイドライン

アクティブ / パッシブ HA の設定

フェイルオーバー条件の定義

フェイルオーバーの確認
高可用性
181
アクティブ / パッシブ HA のセットアップ
高可用性
アクティブ / パッシブ HA の前提条件
Palo Alto Networks ファイアウォールで高可用性をセットアップするには、次の前提条件を満た
すファイアウォールのペアが必要です。

同じモデル — ペアの両方のデバイスが同じハードウェアまたは仮想マシンのモデルでなけれ
ばなりません。

同じバージョンの PAN OS — 両方のデバイスで同じバージョンの PAN OS を実行していて、
両方のアプリケーション、URL、および脅威データベースで最新の状態を保つ必要がありま
す。また、同じ複数の仮想システム(シングルまたはマルチ vsys)機能を備えている必要が
あります。

同タイプのインターフェイス — 専用の HA リンク、またはインターフェイス タイプを HA
に設定した管理ポートとインバンド ポートの組み合わせです。
–
デバイス ペア間の HA1(コントロール リンク)接続の IP アドレスを決定します。ピア
が直結されている場合、または同じスイッチに接続されている場合は、両方の HA1 IP
アドレスが同じサブネット上になければなりません。
専用の HA ポートを持たないデバイスでは、管理ポートをコントロール リンクの接続に使
用できます。管理ポートを使用すると、両方のデバイスで管理プレーン間の通信を直接接
続できます。ただし、管理ポートはデバイス間で直結できないため、ネットワーク全体で
これら 2 つのインターフェイスを接続するルートがあることを確認してください。
–

レイヤー 3 を HA2(データ)接続の転送方法として使用する場合、HA2 リンクの IP ア
ドレスを決定する必要があります。経路指定されたネットワークを介して HA2 接続の
通信を行う必要がある場合は、レイヤー 3 のみを使用します。HA2 リンクの IP サブネッ
トは、HA1 リンクのサブネットまたはファイアウォール上のデータ ポートに割り当て
られたその他のサブネットと重複してはなりません。
同一ライセンス — ライセンスはデバイス固有のものであるため、ほかのデバイスと共有する
ことはできません。そのため、両方のデバイスで同一のライセンスを取得する必要があり
ます。両方のデバイスに同一のライセンスがない場合、設定情報を同期する、または等価
性を管理してシームレスにフェイルオーバーを発生させることができません。
既存のファイアウォールがあり、HA 用に新しいファイアウォールを追加する場合、その新し
いファイアウォールに既存の設定が存在する場合は、新しいファイアウォールで「ファイア
ウォールの工場出荷時設定へのリセット」に記載された手順を実行することをお勧めします。
これにより、新しいファイアウォールをクリーンな設定にすることができます。HA を設定し
たら、クリーンな設定を使用して、プライマリ デバイスで新しく導入したデバイスに設定を同
期します。
182
高可用性
高可用性
アクティブ / パッシブ HA のセットアップ
アクティブ / パッシブ HA の設定ガイドライン
アクティブ (PeerA) およびパッシブ (PeerB) のペアを HA でセットアップするには、いくつかのオ
プションを両方のデバイスで同一の設定にし、それ以外のオプションを各デバイスで個別に
(一致しないように)設定する必要があります。これらの HA 設定は、デバイス間で同期され
ません。同期されるものと、されないものの詳細は、『HA Synchronization』(英語)を参照し
てください。
HA でデバイスを設定する手順については、「アクティブ / パッシブ HA の設定」を参照してく
ださい。
次の表に、両方のデバイスで同一にする必要のある設定を示します。
高可用性
183
アクティブ / パッシブ HA のセットアップ
高可用性
PeerA と PeerB で同一にする設定
• HA は両方のデバイスで有効にする必要があります。
• 両方のデバイスに同じグループ ID の値を割り当てる必要があります。グループ ID の値は、設定した
すべてのインターフェイスに対する仮想 MAC アドレスの作成に使用します。仮想 MAC アドレスの形
式は「00-1B-17:00: xx: yy」で、次のような意味を持ちます。
00-1B-17: ベンダー ID: 00: 固定、xx: HA グループ ID: yy: インターフェイス ID。
新しいアクティブ デバイスがタスクを引き継ぐ場合、接続された新しいアクティブ メンバーの各イン
ターフェイスから Gratuitous ARP が送信され、接続されたレイヤー 2 スイッチに仮想 MAC アドレスの
新しい場所が通知されます。
• インバンド ポートを使用する場合、HA1 リンクと HA2 リンクのインターフェイス タイプを HA に設
定する必要があります。
• HA モードを [ アクティブ / パッシブ ] に設定する必要があります。
• 必要に応じて、両方のデバイスでプリエンプションを有効にする必要があります。ただし、デバイス
優先度は異なる値にする必要があります。
• 必要に応じて、HA1 リンク(HA ピア間の通信用)の暗号化を両方のデバイスで設定する必要があり
ます。
• 使用中の HA1 と HA1 のバックアップ ポートの組み合わせに応じて、次の推奨事項に基づき、ハート
ビート バックアップを有効にするかどうかを判断してください。
• HA1: 専用の HA1 ポート
HA1 バックアップ : インバンド ポート
推奨 : ハートビート バックアップの有効化
• HA1: 専用の HA1 ポート
HA1 バックアップ : 管理ポート
推奨 : ハートビート バックアップを有効にしない
• HA1: インバンド ポート
HA1 バックアップ : インバンド ポート
推奨 : ハートビート バックアップの有効化
• HA1: 管理ポート
HA1 バックアップ : インバンド ポート
推奨 : ハートビート バックアップを有効にしない
以下の表に、各デバイスで個別に設定する必要のある項目を示します。
個別の設定
PeerA
PeerB
コントロール リンク このデバイス (PeerA) で設定されている HA1 このデバイス (PeerB) で設定されてい
リンクの IP アドレス。
る HA1 リンクの IP アドレス。
専用の HA ポートを持たないデバイスでは、管理ポートをコントロール リンクの
IP アドレスに使用します。
184
高可用性
高可用性
個別の設定
アクティブ / パッシブ HA のセットアップ
PeerA
PeerB
デフォルトでは、HA2 リンクでレイヤー 2 デフォルトでは、HA2 リンクでレイ
ヤー 2 の Ethernet が使用されます。
データ リンク情報 の Ethernet が使用されます。
は、HA を有効にし レイヤー 3 接続を使用する場合、このデバ レイヤー 3 接続を使用する場合、こ
て デ バ イ ス 間 の コ イス (PeerA) のデータ リンクの IP アドレス のデバイス (PeerB) のデータ リンクの
IP アドレスを設定します。
ントロール リンク を設定します。
を有効にした後
に、デ バ イ ス 間 で
同期されます。
データ リンク
デバイス優先度(必 アクティブにするデバイスの数値を、ピア PeerB がパッシブの場合、デバイス優
須、プリエンプショ よりも小さくする必要があります。そのた 先度の値を PeerA よりも大きく設定
ンが有効な場合)
め、PeerA をアクティブ デバイスとして機 し ま す。た と え ば、優 先 度 の 値 を
能させる場合、デフォルト値の 100 をその 110 に設定します。
ままにしておき、PeerB の値をこれよりも
大きくします。
リンク モニタリン
グ — このデバイス
の主要トラフィッ
クを処理する 1 つ以
上の物理インター
フェイスをモニタ
リ ン グ し、失 敗 条
件を定義します。
モニタリングするファイアウォール上の物
理インターフェイスを選択し、フェイル
オーバーを引き起こす失敗条件([ いずれか ]
または [ すべて ])を定義します。
このファイアウォール上でモニタリ
ングする同様の物理インターフェイ
ス群を選択し、フェイルオーバーを
引き起こす失敗条件([ すべて ] また
は [ いずれか ])を定義します。
パス モニタリング
— ファイアウォー
ルで ICMP ping を使
用して応答状態を
確認できる、1 つ以
上の宛先 IP アドレ
スをモニタリング
します。
失敗条件([ すべて ] または [ いずれか ])、
ping 間隔、および ping の実行回数を定義し
ます。相互接続されたネットワーク デバイ
スの可用性をモニタリングする場合は、特
にこれらの定義が役に立ちます。たとえ
ば、サーバーに接続されたルーターの可用
性、サーバー自体への接続状態、またはト
ラフィック フロー中に存在するその他いく
つかの主要デバイスへの接続状態をモニタ
リングする場合などです。
PeerB でも、モニタリングしてフェイ
ルオーバーのトリガー条件を判断で
きる同様のデバイス群または宛先 IP
アドレス群を選択します。失敗条件
([すべて] または [いずれか ])、ping
間隔、および ping の実行回数を定義
します。
モニタリング中のノード / デバイスが応答
していない可能性がある場合、特に負荷を
受けている場合は、パス モニタリングの障
害の原因となり、フェイルオーバーが引き
起こされるため、このような状態がないか
どうかを確認します。
高可用性
185
アクティブ / パッシブ HA のセットアップ
高可用性
アクティブ / パッシブ HA の設定
以下の手順は、下のトポロジの例に示すようなアクティブ / パッシブ デプロイメントで、ファ
イアウォールのペアを設定する方法を示したものです。
デバイスの接続および設定
ステップ 1
HA ポートを接続して、デバイ • 専用の HA ポートを持つデバイスの場合、Ethernet ケー
ス間の物理的な接続をセット
ブルを使用して、デバイス ペアの専用の HA1 ポートと
アップします。
HA2 ポートを接続します。デバイス同士を直結する場合
は、クロスオーバー ケーブルを使用します。
• 専用の HA ポートを持たないデバイスの場合、HA2 リン
ク用とバックアップ HA1 リンク用に 2 つのデータ イン
ターフェイスを選択します。次に、Ethernet ケーブルを
使用して、両デバイス間でこれらのインバンド HA イン
ターフェイスを接続します。HA1 リンク用の管理ポート
を使用して、ネットワーク全体を通じて管理ポート同士
を接続できることを確認します。
ペアのうちどちらかのデバイスを選択して、次のタスクを完了します。
ステップ 2
ping を管理ポートで有効にし 1.
ます。
ping を 有効にす ることで、管
理ポートをハートビート バッ 2.
クアップの情報交換に使用で
きます。
186
[Device] > [ セットアップ ]> [ 管理 ] の順に選択して、
画面上にある [ 管理インターフェイス設定 ] セクション
で編集アイコン をクリックします。
インターフェイスで許可されるサービスとして [Ping]
を選択します。
高可用性
高可用性
アクティブ / パッシブ HA のセットアップ
デバイスの接続および設定(続き)
ステップ 3
ステップ 4
デバイスに専用の HA ポートが 1.
ない場合、データ ポートを HA 2.
ポートとして機能するように
設定します。
3.
専用の HA ポートを持つデバ
イスの場合、ステップ 4 に進
みます。
4.
[Network] > [ インターフェイス ] の順に選択します。
コントロール リンクの接続を 1.
セットアップします。
[Device] > [ 高可用性 ] > [ 全般 ] の順に選択し、[ コン
トロール リンク (HA1)] セクションを編集します。
次の例は、インターフェイス 2.
タイプを HA に設定したインバ
ンド ポートを示しています。
[ ポート ] ドロップダウン メニューから、HA1 リンクと
して使用するために配線したインターフェイスを選択し
ます。IP アドレスおよびネットマスクを設定します。
管理ポートをコントロール リ
ンクとして使用するデバイス
の場合、IP アドレス情報が自
動的に入力されています。
高可用性
使用するポート上でリンクがアップになっていること
を確認します。
インターフェイスを選択してタイプを HA に指定し
ます。
[ リンク速度 ] および [ リンク デュプレックス ] を必要
に応じて設定します。
HA1 インターフェイスがそれぞれ別のサブネット上に
ある場合のみ、ゲートウェイの IP アドレスを入力しま
す。デバイス同士を直結している場合は、ゲートウェ
イを追加しないでください。
187
アクティブ / パッシブ HA のセットアップ
高可用性
デバイスの接続および設定(続き)
ステップ 5
ステップ 6
188
(任意)コントロール リンク接 1.
続の暗号化を有効にします。
HA キーをデバイスからエクスポートして、ピア デバ
イスにインポートします。
一般的に、2 つのデバイスが直
接接続されていない場合、す
なわちポートがスイッチまた
はルーターに接続されている
場合に、リンクを保護するた
めにこの設定を使用します。
a. [Device] > [ 証明書の管理 ] > [ 証明書 ] の順に選択し
ます。
b. [HA キーのエクスポート ] を選択します。ピア デバ
イスがアクセスできるネットワーク上の場所に、
HA キーを保存します。
c. ピア デバイスで [Device] > [ 証明書の管理 ] > [ 証明
書 ] の順に選択し、[HA キーのインポート ] を選択し
てキーを保存した場所を検索し、そのキーをピア デ
バイスにインポートします。
2.
[Device] > [ 高可用性 ] > [ 全般 ] の順に選択し、[ コン
トロール リンク (HA1)] セクションを編集します。
3.
[ 暗号化を有効 ] を選択します。
バックアップ コントロール リ 1.
ンクの接続をセットアップし
ます。
[Device] > [ 高可用性 ] > [ 全般 ] の順に選択し、[ コン
トロールリンクのバックアップ ] セクションを編集し
ます。
2.
HA1 バックアップ インターフェイスを選択し、IP アド
レスとネットマスクを設定します。
高可用性
高可用性
アクティブ / パッシブ HA のセットアップ
デバイスの接続および設定(続き)
ステップ 7
デバイス間のデータ リンク接続 1.
(HA2) とバックアップ HA2 接
続をセットアップします。
2.
[Device] > [ 高可用性 ] > [ 全般 ] の順に選択し、[ デー
タ リンク (HA2)] セクションを編集します。
データ リンク接続のインターフェイスを選択します。
3.
[転送 ] の方法を選択します。デフォルトでは [ethernet]
が選択されており、HA ペアが直結されている場合、
またはスイッチ経由で接続されている場合に機能しま
す。ネットワーク経由でデータ リンク トラフィックを
ルーティングする必要がある場合は、[IP] または [UDP]
を転送方法に指定します。
4.
転送方法として [ip] または [udp] を使用する場合は、IP
アドレスとネットマスクを入力します。
5.
[ セッション同期を有効にする ] が選択されていること
を確認します。
6.
HA ピア間で HA2 データ リンク上のモニタリングを有
効にするには、[HA2 キープアライブ ] を選択します。
設定されているしきい値(デフォルトは 10000 ミリ
秒)に基づいて障害が発生した場合、定義されている
アクションが発生します。アクティブ / パッシブ設定
の場合、HA2 キープアライブの障害が発生すると、
「critical」レベルのシステム ログ メッセージが生成さ
れます。
[HA2 キープアライブ ] オプションは、HA ペアの
両方のデバイス、または一方のデバイスに設定
できます。このオプションが一方のデバイスで
のみ有効な場合、そのデバイスのみからキープ
アライブ メッセージが送信されます。もう一方
のデバイスには、障害が発生したかどうかが通
知されます。
7.
高可用性
[ データ リンクのバックアップ ] セクションを編集し、
インターフェイスを選択し、IP アドレスとネットマス
クを追加します。
189
アクティブ / パッシブ HA のセットアップ
高可用性
デバイスの接続および設定(続き)
ステップ 8
コントロール リンクで専用 HA 1.
ポートまたはインバンド ポー
ト を 使 用 し て い る 場 合 は、 2.
ハートビート バックアップを
有効にします。
管理ポートをコントロール リ
ンクに使用している場合は、
ハートビート バックアップを
有効にする必要はありません。
ステップ 9
[Device] > [ 高可用性 ] > [ 全般 ] の順に選択し、[ 選択
設定 ] セクションを編集します。
[ ハートビート バックアップ ] を選択します。
ハートビートをデバイス間で送信できるようにするに
は、ピア同士で管理ポートをルーティングできること
を確認する必要があります。
ハートビート バックアップを有効にすると、ス
プリット ブレインを防ぐこともできます。HA1
リンクがダウンしてファイアウォールがハート
ビートを受信しなくなるとスプリット ブレイン
が発生しますが、デバイスはまだ機能していま
す。このような状況になると、各ピアは相手が
ダウンしていると判断して、実行中のサービス
を開始しようとするため、スプリット ブレイン
状態になります。ハートビート バックアップ リ
ンクが有効にされていると、冗長なハートビー
トおよび hello メッセージが管理ポート経由で送
信されるため、スプリット ブレインを防ぐこと
ができます。
デバイス優先度を設定してプリ 1.
エンプションを有効にします。
[Device] > [ 高可用性 ] > [ 全般 ] の順に選択し、[ 選択
設定 ] セクションを編集します。
特定のデバイスがアクティブ 2.
デバイスに指定されていること
を確認する場合のみ、この設定
が必要です。詳細は、「デバイ
ス優先度およびプリエンプショ
ン」を参照してください。
[ デバイス優先度 ] で優先度の数値を設定します。優先
度を高くするデバイスの数値を小さく設定する必要が
あります。
3.
両方のファイアウォールで優先度の値が同じ場
合、HA1 コントロール リンクで MAC アドレス
が最も小さいファイアウォールがアクティブ デ
バイスとなります。
[ プリエンプティブ ] を選択します。
アクティブ デバイスとパッシブ デバイスの両方でプリ
エンプティブを有効にする必要があります。
ステップ 10 (任意)フェイルオーバー タイ 1.
マーを変更します。
[Device] > [ 高可用性 ] > [ 全般 ] の順に選択し、[ 選択
設定 ] セクションを編集します。
デフォルトでは、HA タイマー 2.
プロファイルが、ほとんどの
HA デプロイメントに適してい
る [ 推奨 ] プロファイルに設定
されています。
フェイルオーバーを高速でトリガーするには [ アグレッ
シブ ] プロファイルを選択し、設定でフェイルオー
バーのトリガーにカスタム値を定義するには [ 詳細 ] を
選択します。
190
プロファイルに含まれる個々のタイマーの事前
設定値を表示するには、[ 詳細 ] を選択して [ 推
奨をロード ] または [ アグレッシブをロード ] を
クリックします。お使いのハードウェア モデル
の事前設定値が画面に表示されます。
高可用性
高可用性
アクティブ / パッシブ HA のセットアップ
デバイスの接続および設定(続き)
ステップ 11 (任意、パッシブ デバイスで
設定している場合のみ)パッシ
ブ デバイスで HA ポートのリン
ク ステータスを変更します。
リンク状態を [ 自動 ] に設定すると、フェイルオーバーが発
生した場合にパッシブ デバイスがタスクを引き継ぐまでの
時間を短縮できます。また、リンク状態をモニタリングす
ることもできます。
パッシブ リンクの状態
はデフォルトで [ シャッ
トダウン ] が選択されて
います。HA を有効にす
る と、ア ク テ ィ ブ デ バ
イスの HA ポートのリン
ク 状 態 が 緑 に 変 わ り、
パッシブ デバイスの HA
ポートが停止して赤く表
示されます。
パッシブ デバイスでリンク状態をアップにして、物理イン
ターフェイスの稼働状態および配線状態を保つには、次の
手順を実行します。
1. [Device] > [ 高可用性 ] > [ 全般 ] の順に選択し、[ アク
ティブ / パッシブ設定 ] セクションを編集します。
2.
[ パッシブ リンク状態 ] を [ 自動 ] に設定します。
[ 自動 ] オプションを設定すると、フェイルオーバーが
発生した場合にパッシブ デバイスがタスクを引き継ぐ
までの時間を短縮できます。
インターフェイスの表示は(配線されていて稼
働していることを示す)緑になっていますが、
フェイルオーバーが引き起こされるまでは、す
べてのトラフィックが破棄されます。
パッシブ リンク状態を変更する場合、デバイス
のリンク状態のみに基づいて、隣接するデバイス
からパッシブ ファイアウォールにトラフィック
が転送されていないことを確認してください。
高可用性
191
アクティブ / パッシブ HA のセットアップ
高可用性
デバイスの接続および設定(続き)
ステップ 12 HA を有効にします。
1.
[Device] > [ 高可用性 ] > [ 全般 ] の順に選択し、[ セッ
トアップ ] セクションを編集します。
2.
[HA の有効化 ] を選択します。
3.
[ グループ ID] を設定します。この ID は、ネットワー
ク上の HA ペアを一意に識別するもので、複数の HA
ペアでネットワーク上の同じブロードキャスト ドメイ
ンを共有する場合に必要となります。
4.
モードを [ アクティブ パッシブ ] に設定します。
5.
[ 設定の同期化の有効化 ] を選択します。この設定によ
り、アクティブ デバイスとパッシブ デバイスの間で設
定を同期できるようになります。
6.
[ ピア HA IP アドレス ] で、ピア デバイスのコントロー
ル リンクに割り当てられた IP アドレスを入力します。
専用の HA ポートを持たないデバイスにおいて、ピア
が HA1 リンクとして管理ポートを使用している場合、
ピアの管理ポートの IP アドレスを入力します。
7.
ステップ 13 設定の変更を保存します。
[ バックアップ側 ピア HA IP アドレス ] を入力します。
[ コミット ] をクリックします。
ステップ 14 HA ペアのもう一方のデバイス
でステップ 2 ~ ステップ 13 を
実行します。
ステップ 15 両方のデバイスで設定が完了し 1.
たら、アクティブ/パッシブ HA
でそれらのデバイスがペアに 2.
なっていることを確認します。
両方のデバイスで [Dashboard] にアクセスして、[ 高
可用性 ] ウィジェットを表示します。
3.
下に示すように、デバイスがペアになっていて同期さ
れていることを確認します。
192
アクティブ デバイスで、[ ピアと同期 ] リンクをクリッ
クします。
高可用性
高可用性
アクティブ / パッシブ HA のセットアップ
デバイスの接続および設定(続き)
パッシブ デバイス : ローカル デバイスの状 アクティブ デバイス : ローカル デバイスの状態が [active]、
態が [passive]、設定が [synchronized] と表 設定が [synchronized] と表示されます。
示されます。
フェイルオーバー条件の定義
フェイルオーバーのトリガーの設定
ステップ 1
ステップ 2
リンク モニタリングを設定す 1.
るには、モニタリングするイ
ン タ ー フ ェ イ ス を 定 義 し ま 2.
す。これらのインターフェイ
スでリンク状態を変更する
3.
と、フェイルオーバーが引き
起こされます。
(任 意)デ バ イ ス で(前 の 手 1.
順で)設定したリンク グルー 2.
プの失敗条件を変更します。
[Device] > [ 高可用性 ] > [ リンクおよびパスのモニタリ
ング ] の順に選択します。
[ リンク グループ ] セクションで [ 追加 ] をクリックし
ます。
[ リンク グループ ] 画面で [ 名前 ] を指定して、モニタ
リングするインターフェイスを追加し、そのグループ
の [ 失敗条件 ] を選択します。定義するリンク グルー
プが [ リンク グループ ] セクションに追加されます。
[ リンク モニタリング ] セクションを選択します。
[ 失敗条件 ] を [ すべて ] に設定します。
デフォルトの設定は [ いずれか ] です。
デフォルトでは、モニタリン
グ対象のリンクのいずれかに
障害が発生すると、デバイス
でフェイルオーバーが引き起
こされます。
高可用性
193
アクティブ / パッシブ HA のセットアップ
高可用性
フェイルオーバーのトリガーの設定(続き)
ステップ 3
ステップ 4
パス モニタリングを設定する 1.
に は、フ ァ イ ア ウ ォ ー ル で
ping を実行してネットワーク
接続を確認するための宛先 IP
アドレスを定義します。
[Device] > [ 高可用性 ] > [ リンクおよびパスのモニタリ
ング ] タブの順に選択すると表示される [ パス グルー
プ] セクションで、[バーチャル ワイヤーパスの追加]、
[VLAN パスの追加 ]、[ 仮想ルーターパスの追加 ] のい
ずれかを選択します。
2.
[名前] ドロップダウン リストから適切な項目を選択し、
モニターする送信元 IP と宛先 IP のアドレスを画面の
指示に従って [ 追加 ] します。次に、グループの [ 失敗
条件 ] を選択します。定義するパス グループが [ パス
グループ ] セクションに追加されます。
(任意)デバイ スで 設定し た [ 失敗条件 ] を [ すべて ] に設定します。
すべてのパス グループの失敗 デフォルトの設定は [ いずれか ] です。
条件を変更します。
デフォルトでは、モニター対
象のいずれかのパスに障害が
発生すると、デバイスでフェ
イルオーバーが引き起こされ
ます。
ステップ 5
変更を保存します。
[ コミット ] をクリックします。
SNMPv3 を使用してファイアウォールをモニターする場合は、SNMPv3 エンジン ID は各デバイスで一意にな
るため、エンジン ID は HA ペア間で同期されません。そのため、HA ペアの各デバイスを個別にモニターでき
ます。SNMP の設定手順の詳細は、「SNMP トラップの宛先のセットアップ」を参照してください。
エンジン ID は、VM-Series ファイアウォールでデバイスの一意のシリアル番号を使用して生成されるため、
各ファイアウォールに一意のエンジン ID を取得するには有効なライセンスを適用する必要があります。
194
高可用性
高可用性
アクティブ / パッシブ HA のセットアップ
フェイルオーバーの確認
HA の設定が正しく動作することをテストするには、手動でフェイルオーバーを引き起こし
て、デバイスの状態が正しく移行することを確認します。
フェイルオーバーの確認
ステップ 1
アクティブ デバイスをサスペ [Device] > [ 高可用性 ] > [ 操作コマンド ] タブの順に選択す
ンドにします。
ると表示される [ ローカルデバイスをサスペンド ] リンク
をクリックします。
ステップ 2
パッシブ デバイスがアクティブ [Dashboard] の [ 高可用性 ] ウィジェットで、パッシブ デ
デバイスとしてタスクを引き継 バイスの状態が [ アクティブ ] に変わっていることを確認
します。
いでいることを確認します。
ステップ 3
サスペンドされたデバイスを 1.
稼働状態に戻します。プリエ
ンプティブを有効にしている
場合は、しばらく待ってから
プリエンプションが発生して
いることを確認します。
前にサスペンドにしたデバイスで、[Device] > [ 高可用
性 ] > [ 操作コマンド ] タブの順に選択して、[ ローカル
デバイスを稼働状態にする ] リンクを選択します。
2.
[Dashboard] の [ 高可用性 ] ウィジェットで、デバイス
がアクティブ デバイスとしてタスクを引き継いでいる
ことと、ピアがパッシブ状態に変わっていることを確
認します。
高可用性
195
HA リソース
高可用性
HA リソース
HA の詳細は、以下の資料を参照してください。

『Active/Active HA(英語)』

『High Availability Synchronization(英語)』

『High Availability Failover Optimization(英語)』

『Upgrading an HA pair(英語)』

『Examples: Deploying HA(英語)』
196
高可用性
レポートとログ
このファイアウォールには、ネットワークでのアクティビティのモニタリングに役立つレポー
ト機能とログ機能があります。ログをモニタリングして情報をフィルタリングし、事前定義さ
れたビューまたはカスタマイズされたビューで構成されるレポートを生成できます。たとえ
ば、事前定義されたテンプレートを使用してユーザーのアクティビティに関するレポートを生
成したり、レポートとログを分析して、ネットワーク上での異常な振る舞いの意味を解釈した
り、トラフィックのパターンに関するカスタム レポートを生成したりすることができます。以
下のトピックでは、ファイアウォールでレポートおよびログを表示、管理、カスタマイズ、お
よび生成する方法について説明します。

Dashboard の使用

アプリケーション コマンド センターの使用

アプリケーション スコープの使用

パケット キャプチャの実行

ファイアウォールのモニター

外部サービスへのログの転送

SNMP を使用したファイアウォールのモニター

NetFlow を使用したファイアウォールのモニター

NegFlow のテンプレート

外部モニタリング システムでのファイアウォール インターフェイスの識別

レポートの管理

Syslog フィールドの説明
レポートとログ
197
Dashboard の使用
レポートとログ
Dashboard の使用
[Dashboard] タブのウィジットには、ソフトウェアのバージョン、各インターフェイスの動作
状態、リソース使用状況、脅威の最新エントリ(最大 10 個)、設定、システム ログなどのデバ
イスの一般的な情報が表示されます。使用可能なウィジットすべてがデフォルトで表示されま
すが、各管理者は必要に応じて個々のウィジットを削除および追加できます。
Dashboard や個々のウィジェットを更新するには、更新アイコン
をクリックします。自動更
新間隔を変更するには、ドロップダウン リストから間隔([1 分 ]、[2 分 ]、[5 分 ]、または [ 手
動 ])を選択します。[Dashboard] にウィジットを追加するには、[ ウィジット ] ドロップダウンを
クリックしてカテゴリを選択し、次にウィジット名を選択します。ウィジットを削除するに
は、タイトル バーの
をクリックします。
以下の表に、[Dashboard] のウィジットの説明を示します。
Dashboard のチャート
説明
上位アプリケーション
セッション数が最も多いアプリケーションが表示されます。ブロック サ
イズでセッションの相対数を示し(マウス カーソルをブロックの上に移
動すると数が表示されます)、色でセキュリティのリスクを示します(緑
(リスク低)~赤(リスク高))。アプリケーションをクリックして、プ
ロファイルを表示します。
上位のハイリスク
アプリケーション
[ 上位アプリケーション ] と似ていますが、ここにはセッション数が最も多
いハイリスク アプリケーションが表示されます。
一般的な情報
デバイス名、モデル、PAN-OS ソフトウェアのバージョン、アプリケー
ション、脅威、URL フィルタリング定義のバージョン、現在の日時、お
よび最後に再起動したときからの経過時間が表示されます。
Interface Status
各 イ ン タ ー フ ェ イ ス が、有 効(緑)、無 効(赤)、ま た は 不 明 な 状 態
(灰)であることを示します。
脅威ログ
最新 10 エントリの脅威の ID、アプリケーション、および日時が表示され
ます。脅威の ID は、マルウェアに関する説明、または URL フィルタリン
グ プロファイルに違反する URL を示します。
設定ログ
最 新 10 エ ン ト リ の 管 理 者 の ユ ー ザ ー 名、ク ラ イ ア ン ト(Web ま た は
CLI)、および日時が表示されます。
データ フィルタリング ログ 直近 60 分間に生成されたログの説明と日時が表示されます。
URL フィルタリング ログ 直近 60 分間に生成されたログの説明と日時が表示されます。
システム ログ
最新 10 エントリの説明と日時が表示されます。
Config installed
エントリは、設定の変更が正常にコミットされた
ことを示します。
198
レポートとログ
レポートとログ
Dashboard の使用
Dashboard のチャート
説明
システム リソース
管理 CPU 使用率、データ プレーン使用率、およびファイアウォールで確
立されたセッションの数を示すセッション数が表示されます。
ログインしている管理者
現在ログインしている各管理者の送信元 IP アドレス、セッション タイプ
(Web または CLI)、およびセッションの開始時刻が表示されます。
ACC リスク ファクタ
この 1 週間に処理されたネットワーク トラフィックの平均リスク ファク
タ (1 ~ 5) が表示されます。値が大きいほどリスクが大きくなります。
高可用性
[ 高可用性 (HA)] を有効にすると、ローカルおよびピア デバイスの HA 状態
(緑(アクティブ)、黄(パッシブ)、黒(その他))が表示されます。
HA についての詳細は、「高可用性」を参照してください。
ロック
管理者によって設定された設定ロックが表示されます。
レポートとログ
199
アプリケーション コマンド センターの使用
レポートとログ
アプリケーション コマンド センターの使用
[ACC] タブには、ネットワーク上のトラフィックの傾向および履歴が視覚的に表示されます。

ACC リスク レベル

ACC のチャート

ACC の詳細ページ

ACC の使用
200
レポートとログ
レポートとログ
アプリケーション コマンド センターの使用
ACC リスク レベル
[ACC] タブには、すべてのネットワーク トラフィックの全体的なリスク レベル、ネットワーク
で最もアクティブで最高リスクのアプリケーションについて検出された脅威のリスク レベルと
数、および使用回数が最も多いアプリケーション カテゴリと各リスク レベルのすべてのアプリ
ケーションで検出された脅威の数が表示されます。ACC を使用して、過去の時間、日、週、月、
または任意のカスタム定義の期間におけるアプリケーション データを表示します。[ リスク ] レベ
ル(1 = 最低 ~ 5 = 最高)は、アプリケーションがファイルを共有しているか、誤用が起こりや
すいか、ファイアウォールを回避しようとしているかなどの基準に基づき、アプリケーション
の相対セキュリティ リスクを示します。
レポートとログ
201
アプリケーション コマンド センターの使用
レポートとログ
ACC のチャート
[ACC](アプリケーション コマンド センター)タブには、以下の 5 つのチャートが表示されます。

アプリケーション

URL フィルタリング

脅威防御

データ フィルタリング

HIP マッチ
ACC チャート
説明
アプリケーション
以下の属性別にグループ化してアプリケーションの情報を表示します。
• アプリケーション
• 高リスク アプリケーション
• カテゴリ
• サブ カテゴリ
• テクノロジ
• リスク
該当する場合、各チャートには、セッションの数、送受信されたバイト
数、脅威の数、アプリケーション カテゴリ、アプリケーション サブカテ
ゴリ、アプリケーション テクノロジ、およびリスク レベルを含めること
ができます。
URL フィルタリング
以下の属性別にグループ化して URL/ カテゴリ情報を表示します。
• URL カテゴリ
• URL
• ブロックされた URL カテゴリ
• ブロックされた URL
各チャートには、URL、URL カテゴリ、繰り返し回数(アクセスが試行さ
れた回数、該当する場合)を含めることができます。
202
レポートとログ
レポートとログ
アプリケーション コマンド センターの使用
ACC チャート
説明
脅威防御
以下の属性別にグループ化して脅威情報を表示します。
• 脅威
• タイプ
• スパイウェア
• スパイウェア フォンホーム
• スパイウェア ダウンロード
• 脆弱性
• ウイルス
該当する場合、各チャートには、脅威 ID、カウント(発生回数)、セッ
ションの数、およびサブタイプ([vulnerability] など)を含めることができ
ます。
データ フィルタリング
以下の属性別にグループ化して、ファイアウォールでフィルタリングされ
たデータに関する情報を表示します。
• コンテンツ / ファイル タイプ
• タイプ
• ファイル名
HIP マッチ
以下の属性別にグループ化して、ファイウォールによって収集されたホス
ト情報を表示します。
• HIP オブジェクト
• HIP プロファイル
レポートとログ
203
アプリケーション コマンド センターの使用
レポートとログ
ACC の詳細ページ
詳細な情報を表示するには、ACC チャート上のリンクのいずれかをクリックします。詳細ペー
ジが開き、最上位の項目の情報とそれに関連する項目の詳細なリストが表示されます。たとえ
ば、[ アプリケーション ] チャートで [web-browsing] リンクをクリックすると、web-browsing の
[ アプリケーション情報 ] ページが開きます。
204
レポートとログ
レポートとログ
アプリケーション コマンド センターの使用
ACC の使用
以下に、[ACC] タブの使用方法とビューのカスタマイズ方法を示します。
ACC の使用
ステップ 1
[ACC] タブで、ページの上部にある設定の 1 つ以上を変更します。
• ドロップダウンを使用し、[ アプリケーション ]、[URL カテゴリ ]、[ 脅威 ]、[ コンテンツ /
ファイル タイプ ]、および [HIP オブジェクト ] を選択して表示します。
• 仮想システムを使用している場合は、必要に応じて仮想システムを選択します。
• [ 日時 ] ドロップダウンから対象期間を選択します。デフォルトは、[ 過去 1 時間 ] です。
• [ ソート基準 ] ドロップダウンからソート方法を選択します。セッション数別、バイト数
別、脅威数別の降順でチャートをソートできます。デフォルトは、セッション数別です。
• 選択したソート方法で、[ トップ ] ドロップダウンから、それぞれのチャートに表示する
上位のアプリケーションおよびアプリケーション カテゴリの数を選択します。サブミッ
ト アイコンをクリックして、選択した設定を適用します。
ステップ 2
このページの情報に関連するログ ページを開くには、以下に示すように、ページの右上隅
のログのリンクを使用します。ログのコンテキストは、ページの情報に一致しています。
ステップ 3
リストをフィルタリングするには、いずれかの列の項目をクリックします。ログ列名の上
にあるフィルタ バーにその項目が追加されます。目的のフィルタを追加した後に、[ フィル
タの適用 ] アイコンをクリックします。
レポートとログ
205
アプリケーション スコープの使用
レポートとログ
アプリケーション スコープの使用
アプリケーション スコープ レポートには、問題の振る舞いを特定することができる可視化ツー
ルと分析ツールが組み込まれており、アプリケーションの使用状況とユーザー アクティビティ
における変化、およびネットワークの帯域幅の大部分を使用しているユーザーとアプリケー
ションを把握し、ネットワークの脅威を特定することができます。
アプリケーション スコープ レポートを使用すると、異常な挙動または予期しない挙動が容易に
確認できます。各レポートには、ネットワークの状況を示す、ユーザーがカスタマイズ可能な
動的ウィンドウがあります。ACC でチャートの線や棒にポインターを置くかクリックすると、
その特定のアプリケーション、アプリケーション カテゴリ、ユーザー、または送信元に関する
詳細情報を示したウィンドウが開きます。アプリケーション スコープのチャートには、以下の
機能があります。

レビュー対象のチャートの詳細のみを表示するように、凡例の属性を切り替えます。データ
をチャートに含めるか、またはチャートから除外する機能により、尺度を変更したり、情報
をより詳細にレビューしたりすることができます。

棒グラフ内の属性をクリックし、ACC の関連セッションまでドリルダウンします。任意の棒
グラフで、アプリケーション名、アプリケーション カテゴリ、脅威名、脅威カテゴリ、送信
元 IP アドレス、または宛先 IP アドレスをクリックして属性に基づいてフィルタリングし、
ACC で関連セッションを表示します。

チャートまたはマップを PDF にエクスポートするか、またはイメージとしてエクスポートし
ます。移植性を高め、オフライン表示を可能にするため、チャートおよびマップを PDF ま
たは PNG イメージとしてエクスポートすることができます。
以下のアプリケーション スコープ レポートを使用できます。

サマリー レポート

変化モニター レポート

脅威モニター レポート

脅威マップ レポート

ネットワーク モニター レポート

トラフィック マップ レポート
206
レポートとログ
レポートとログ
アプリケーション スコープの使用
サマリー レポート
アプリケーション スコープ サマリー レポートには、使用量が増加した、減少した、および帯
域幅の占有量が多い上位 5 つのアプリケーション、アプリケーション カテゴリ、ユーザー、お
よび送信元のチャートが表示されます。
レポートとログ
207
アプリケーション スコープの使用
レポートとログ
変化モニター レポート
アプリケーション スコープ変化モニター レポートには、指定した期間の変化が表示されます。
たとえば、以下のチャートは、過去 24 時間と比較して直前の 1 時間に使用量が増加した上位の
アプリケーションを示しています。上位のアプリケーションはセッション数によって決定さ
れ、パーセント別にソートされます。
変化モニター レポートには、以下のボタンとオプションが表示されます。
ボタン
説明
上位からいくつの項目を表に表示するかを指定します。
報告される項目のタイプ([ アプリケーション ]、[ アプリケー
ション カテゴリ ]、[ 送信元 ]、または [ 宛先 ])を決定します。
指定期間を比較し増加した項目を表示します。
指定期間を比較し減少した項目を表示します。
指定期間を比較し新たに検出された項目を表示します。
指定期間を比較し検出されなくなった項目を表示します。
208
レポートとログ
レポートとログ
ボタン
アプリケーション スコープの使用
説明
フィルタを適用して、選択した項目のみを表示します。[ なし ]
を選択すると、すべてのエントリが表示されます。
セッション情報またはバイト情報のどちらを表示するかを指
定します。
パーセンテージまたは実増加のどちらでエントリをソートす
るかを指定します。
グラフを .png イメージまたは PDF としてエクスポートします。
変化モニターの比較対象期間を指定します。
レポートとログ
209
アプリケーション スコープの使用
レポートとログ
脅威モニター レポート
アプリケーション スコープ脅威モニター レポートには、選択した期間にわたって上位を占める
脅威の数が表示されます。たとえば、以下の図は、過去 6 時間における上位 10 件の脅威タイプ
を示しています。
チャートの下の凡例のように、各タイプの脅威が色分けして示されます。脅威モニター レポー
トには、以下のボタンとオプションが表示されます。
ボタン
説明
上位からいくつの項目を表に表示するかを指定します。
測定する項目のタイプ([ 脅威 ]、[ 脅威カテゴリ ]、[ 送信元 ]、
または [ 宛先 ])を決定します。
フィルタを適用して、選択した種別の項目のみを表示し
ます。
情報を表示するグラフ(積み重ね棒グラフまたは積み重ね
面グラフ)を指定します。
グラフを .png イメージまたは PDF としてエクスポートし
ます。
表示対象期間を指定します。
210
レポートとログ
レポートとログ
アプリケーション スコープの使用
脅威マップ レポート
アプリケーション スコープ脅威マップ レポートには、重大度を含めた脅威の地理的ビューが表
示されます。チャートの下の凡例のように、各タイプの脅威が色分けして示されます。
ファイアウォールでは、脅威マップを作成する場合にデバイス稼働場所を使用します。ファイ
アウォールでデバイス稼働場所の座標を指定していない場合([Device] > [ セットアップ ] > [ 管
理 ] の [ 一般設定 ] セクション)、そのファイアウォールは脅威マップ画面の最下部に配置され
ます。
脅威マップ レポートには、以下のボタンとオプションが表示されます。
ボタン
説明
上位からいくつの項目を表に表示するかを指定します。
インバウンド方向(外部から)の脅威を示します。
アウトバウンド方向(外部へ)の脅威を示します。
フィルタを適用して、選択した種別の項目のみを表示し
ます。
マップを拡大および縮小します。
グラフを .png イメージまたは PDF としてエクスポートし
ます。
表示対象期間を指定します。
レポートとログ
211
アプリケーション スコープの使用
レポートとログ
ネットワーク モニター レポート
アプリケーション スコープ ネットワーク モニター レポートには、指定した期間にわたって複数
のネットワーク アプリケーションによって占有されていた帯域幅が表示されます。図の下の凡
例のように、各タイプのネットワーク アプリケーションが色分けして示されます。たとえば、
以下の図は、セッション情報に基づく過去 7 日間のアプリケーション帯域幅を示しています。
ネットワーク モニター レポートには、以下のボタンとオプションがあります。
ボタン
説明
上位からいくつの項目を表に表示するかを指定します。
報告される項目のタイプ([アプリケーション]、[アプリケー
ション カテゴリ]、[送信元]、または [宛先])を決定します。
フィルタを適用して、選択した項目のみを表示します。[ な
し ] を選択すると、すべてのエントリが表示されます。
セッション情報またはバイト情報のどちらを表示するかを
指定します。
グラフを .png イメージまたは PDF としてエクスポートし
ます。
情報を表示するグラフ(積み重ね棒グラフまたは積み重ね
面グラフ)を指定します。
表示対象期間を指定します。
212
レポートとログ
レポートとログ
アプリケーション スコープの使用
トラフィック マップ レポート
アプリケーション スコープ トラフィック マップ レポートには、セッション数またはフロー数
に応じて、トラフィック フローの地理的ビューが表示されます。
ファイアウォールでは、トラフィック マップを作成する場合にデバイス稼働場所を使用しま
す。ファイアウォールでデバイス稼働場所の座標を指定していない場合([Device] > [ セット
アップ ] > [ 管理 ] の [ 一般設定 ] セクション)、そのファイアウォールはトラフィック マップ画
面の最下部に配置されます。
チャートの下の凡例のように、各タイプのトラフィックが色分けして示されます。トラフィッ
ク マップ レポートには、以下のボタンとオプションがあります。
ボタン
説明
上位からいくつの項目を表に表示するかを指定します。
インバウンド方向(外部から)の脅威を示します。
アウトバウンド方向(外部へ)の脅威を示します。
セッション情報またはバイト情報のどちらを表示するかを
指定します。
マップを拡大および縮小します。
グラフを .png イメージまたは PDF としてエクスポートし
ます。
表示対象期間を指定します。
レポートとログ
213
パケット キャプチャの実行
レポートとログ
パケット キャプチャの実行
PAN-OS は、トラブルシューティングまたは不明なアプリケーションの検出を行うために、パ
ケット キャプチャをサポートしています。フィルタを定義して、そのフィルタと一致するパ
ケットのみがキャプチャされるようにすることができます。パケット キャプチャはデバイスで
ローカルに保存され、使用するローカル コンピュータにダウンロードすることができます。
パケット キャプチャは、トラブルシューティングにのみ使用してください。この機能を使用す
ると、システム パフォーマンスが下がる可能性があるため、必要な場合しか使用しないでくだ
さい。パケット キャプチャが完了したら、この機能を忘れずに無効にしてください。
以下の表に、[Monitor] > [パケット キャプチャ] でのパケット キャプチャの設定項目の説明を示
します。
フィールド
説明
フィルタの管理
[フィルタの管理] をクリックしてから、[追加] をクリックして新しいフィ
ルタを追加し、以下の情報を指定します。
• ID — フィルタの ID を入力または選択します。
• 入力インターフェイス — ファイアウォール インターフェイスを選択し
ます。
• 送信元 — 送信元 IP アドレスを指定します。
• 宛先 — 宛先 IP アドレスを指定します。
• 送信元ポート — 送信元ポートを指定します。
• 宛先ポート — 宛先ポートを指定します。
• プロトコル — フィルタリングするプロトコルを指定します。
• 非 IP — 非 IP トラフィックの処理方法を選択します(すべての IP トラ
フィ ッ クを 除外 す る、す べて の IP ト ラ フィ ッ クを 含め る、IP ト ラ
フィックのみを含める、または IP フィルタを含めない)。
• IPv6 — IPv6 パケットをフィルタに入れる場合は、このチェック ボック
スをオンにします。
フィルタリング
214
クリックすると、フィルタリングの選択がオンまたはオフに切り替えられ
ます。
レポートとログ
レポートとログ
パケット キャプチャの実行
フィールド
説明
事前解析一致
クリックすると、[ 事前解析一致 ] オプションがオンまたはオフに切り替え
られます。
[ 事前解析一致 ] オプションは、トラブルシューティングを詳細に行うために
追加されています。パケットが入力ポートに入ると、いくつかの処理ステッ
プを経て、事前設定されたフィルタと一致するかどうか解析されます。
何らかの障害によって、パケットがフィルタリング段階に到達しない場合
があります。たとえば、ルート検索に失敗した場合などに起こります。
[ 事前解析一致 ] 設定を [ON] にセットすると、システムに入力されるすべ
てのパケットに対して肯定一致がエミュレートされます。これにより、
ファイアウォールはフィルタリング プロセスに到達していないパケット
もキャプチャできるようになります。パケットがフィルタリング段階に到
達できれば、フィルタ設定に応じて処理され、フィルタリング基準と一致
しなければ破棄されます。
パケット キャプチャ
クリックすると、パケット キャプチャがオンまたはオフに切り替えられ
ます。
アンチスパイウェアおよび脆弱性防御のプロファイルの場合は、プロファ
イルで定義されているルールおよび例外に対して拡張パケット キャプ
チャを有効にすることができます。この機能により、ファイアウォールで
は 1 ~ 50 のパケットをキャプチャすることができ、脅威ログの分析時に
コンテキストを増やすことができます。
拡張パケット キャプチャ長を定義するには、以下の手順を実行します。
1. [Device] > [ セットアップ ] > [ コンテンツ ID] の順に選択します。
2.
[ 脅威検出設定 ] セクションを編集して、キャプチャするパケットの数
の [ キャプチャ長 ] を指定します。
3.
[Monitor] > [ ログ ] > [ 脅威 ] でパケット キャプチャを表示します。
脅威ログ エントリを見つけ、対応する行の緑の矢印(パケット キャ
プチャ)アイコンをクリックしてキャプチャを表示します。
レポートとログ
215
パケット キャプチャの実行
レポートとログ
フィールド
説明
パケット キャプチャ
ステージ
[ 追加 ] を選択し、以下を指定します。
• ステージ — パケットをキャプチャする時点を示します。
• drop — パケット処理でエラーが生じ、パケットが破棄される時点。
• firewall — パケットにセッション一致があるか、セッションの最初のパ
ケットが正常に作成される時点。
• receive — データプレーン プロセッサでパケットが受け取られる時点。
• transmit — データプレーン プロセッサでパケットが送信される時点。
• ファイル — キャプチャ ファイル名を指定します。ファイル名は文字で
始める必要があります。また、文字、数字、ピリオド、アンダースコ
ア、またはハイフンを使用できます。
• パケット数 — キャプチャが停止するまでのパケット数を指定します。
• バイト数 — キャプチャが停止するまでのバイト数を指定します。
キャプチャされたファイル キャプチャされたファイルを表示するリストからパケット キャプチャ
ファイルを削除するには、[ 削除 ] を選択します。
すべての設定をクリア
216
すべてのパケット キャプチャ設定をクリアするには、[ すべての設定をク
リア ] を選択します。
レポートとログ
レポートとログ
ファイアウォールのモニター
ファイアウォールのモニター
以下のセクションでは、ファイアウォールをモニタリングするときに使用可能な手法と基本的
なセットアップ手順について説明します。

アプリケーションと脅威のモニター

ログ データのモニタリング

ダッシュボードのモニタリング

レポートの表示
ファイアウォール(PA-4000 シリーズと PA-7050 のファイアウォールを除く)は、分析とレ
ポート用にフロー データを NetFlow コレクタにエクスポートするように設定することもでき
ます。NetFlow を設定する場合は、『PAN-OS Web インターフェイス リファレンス ガイド』
を参照してください。
レポートとログ
217
ファイアウォールのモニター
レポートとログ
アプリケーションと脅威のモニター
Palo Alto Networks のすべての次世代ファイアウォールには、プロトコル、暗号化、または秘匿
技術に関係なくネットワークを通過するアプリケーションを識別する「App-ID」テクノロジー
が組み込まれています。また、「アプリケーション コマンド センターの使用」により、アプリ
ケーションをモニタリングすることができます。ACC はログ データベースをグラフィカルに要
約し、ネットワークを通過するアプリケーション、アプリケーションの使用者、および潜在的
なセキュリティへの影響を強調表示します。また ACC は、App-ID が実行する連続的なトラ
フィック分類機能を使用して動的に更新されます。App-ID は、アプリケーションがポートまた
は動作を変更した場合でもそのトラフィックを識別し続け、ACC に結果を表示します。
ACC に表示される新しい、リスクの高い、または見慣れないアプリケーションについては、ア
プリケーションの説明、その主な特徴、動作特性、および使用者を 1 回のクリックで表示して
素早く調べることができます。さらに、URL カテゴリ、脅威、およびデータも視覚的に表示さ
れるため、ネットワーク アクティビティの全体像を把握できます。ACC により、ネットワーク
を通過するトラフィックについての詳細な情報をごく短時間で収集し、その情報が反映され
た、より情報に則したセキュリティ ポリシーを作成することができます。
218
レポートとログ
レポートとログ
ファイアウォールのモニター
ログ データのモニタリング
Palo Alto Networks のすべての次世代ファイアウォールでは、ファイアウォールでのアクティビ
ティとイベントの監査証跡を示すログ ファイルを生成できます。アクティビティおよびイベン
トのタイプ別に別々のログが記録されます。たとえば、脅威ログにはファイアウォールでセ
キュリティ アラームが生成される原因となったすべてのトラフィックが記録されており、URL
フィルタリング ログにはセキュリティ ポリシーに関連付けられた URL フィルタリング プロ
ファイルに適合するすべてのトラフィックが記録され、設定ログにはファイアウォール設定に
対する変更すべてが記録されます。
これで、「外部サービスへのログの転送」を行うか、以下のようにしてデバイスのログをロー
カルで表示することができます。

ログ ファイルの表示

ログ データのフィルタリング
ログ ファイルの表示
このファイアウォールでは、WildFire、設定、システム、アラーム、トラフィック フロー、脅
威、URL フィルタリング、データ フィルタリング、およびホスト情報プロファイル (HIP) の一
致に関するログが管理されます。現在のログはいつでも表示できます。特定のエントリを検索
するには、ログ フィールドにフィルタを適用します。
ファイアウォールのログは、ロールベースの管理権限に基づいて情報が表示されます。ログを
表示すると、表示権限のある情報のみが表示されます。管理者権限の詳細は、「管理ロール」
を参照してください。
レポートとログ
219
ファイアウォールのモニター
レポートとログ
デフォルトでは、すべてのログ ファイルがファイアウォールで生成されてローカルに保存され
ます。それらのログ ファイルは直接表示することができます([Monitor] > [ ログ ])。
ログの詳細を表示する場合、ログ エントリ左側にある拡大鏡アイコン
220
をクリックします。
レポートとログ
レポートとログ
ファイアウォールのモニター
以下の表に、各ログ タイプに関する情報を示します。
ログの説明チャート
説明
トラフィック
各セッションの開始と終了のエントリが表示されます。各エントリには、
日時、送信元ゾーン、宛先ゾーン、アドレスおよびポート、アプリケー
ション名、フローに適用されるセキュリティ ルール名、ルール アクション
(allow、deny、または drop)、入力 / 出力インターフェイス、バイト
数、およびセッション終了理由などが記載されます。
エントリの横の
をクリックすると、セッションに関する詳細な情報
(ICMP エントリを使用して同じ送信元と宛先間の複数のセッションを集
約するかどうかなど)が表示されます([ 繰り返し回数 ] 値は 1 より大きく
なります)。
[ タイプ ] 列は、そのエントリがセッションの開始または終了のどちらのエ
ントリなのか、またはセッションが拒否または廃棄されたのかどうかを示
します。[drop] は、トラフィックをブロックしたセキュリティ ルールが適
用されて [ いずれか ] のアプリケーションが指定されたことを示し、[deny]
はルールが適用されてある特定のアプリケーションが識別されたことを示
します。
アプリケーションが識別される前にトラフィックが廃棄された場合(ある
ルールにより特定のサービスのトラフィックがすべて廃棄された場合な
ど)、そのアプリケーションは [not-applicable] として表示されます。
脅威
ファイアウォールでセキュリティ ポリシーに添付されるセキュリティ プロ
ファイル(アンチウイルス、アンチスパイウェア、脆弱性、URL フィルタ
リング、ファイル ブロック、データ フィルタリング、または DoS プロテ
クション)にトラフィックが適合する場合に、エントリを表示します。各
エントリには、日時、脅威の名前または URL、送信元および宛先ゾーン、
アドレス、ポート、アプリケーション名、およびアラーム アクション
(「allow」または「block」)と重大度が含まれています。
エントリの横の
をクリックすると、脅威に関する詳細な情報(そのエ
ントリを使用して同じ送信元と宛先間の同じタイプの複数の脅威を集約す
るかどうかなど)が表示されます([ 繰り返し回数 ] 値は 1 より大きくなり
ます)。
[ タイプ ] 列は、脅威のタイプ(「virus」、「spyware」など)を示します。
[ 名前 ] 列は、脅威の説明または URL を、および [ カテゴリ ] 列は脅威のカ
テゴリ(「keylogger」など)または URL のカテゴリを示します。
ローカル パケット キャプチャが有効な場合は、エントリの横の
をク
リックして、キャプチャされたパケットを表示します。ローカル パケット
キャプチャを有効にする方法については、「パケット キャプチャの実行」
を参照してください。
レポートとログ
221
ファイアウォールのモニター
レポートとログ
ログの説明チャート
説明
URL フィルタリング
セキュリティ ポリシーに添付された URL フィルタリング プロファイルに
適合するすべてのトラフィックのログを表示します。たとえば、ポリシー
によって特定の Web サイトまたは Web サイト カテゴリへのアクセスがブ
ロックされる場合か、Web サイトへのアクセスがあったときにアラートを
生成するようにポリシーが設定されている場合です。URL フィルタリング
プロファイルの定義方法の詳細は、「URL フィルタリング」を参照してく
ださい。
WildFire への送信
WildFire クラウドによってアップロードおよび分析されるファイルのログ
が表示されます。ログ データは、分析後に分析結果と共にデバイスに返送
されます。
データ フィルタリング
クレジット カード番号や社会保障番号などの機密情報が、ファイアウォー
ルによって保護されているエリアから流出するのを防止するのに役立つセ
キュリティ ポリシーのログが表示されます。データ フィルタリング プロ
ファイルの定義方法の詳細は、「データ フィルタリングのセットアップ」
を参照してください。
このログには、ファイル ブロッキング プロファイルの情報も表示されま
す。たとえば、.exe ファイルをブロックしている場合、ログにはブロックさ
れたファイルが表示されます。ファイルを WildFire に転送すると、そのアク
ションの結果が表示されます。たとえば、PE ファイルを WildFire に転送し
た場合、ログにファイルを転送したことが表示され、さらにそのファイル
が WildFire に正常にアップロードされたかどうかの状態も表示されます。
設定
設定変更操作に関するエントリが表示されます。各エントリには、日時、
管理者のユーザー名、変更を行ったユーザーの IP アドレス、クライアント
のタイプ(XML、Web または CLI)、実行されたコマンドのタイプ、コマ
ンドが成功したか失敗したか、設定パス、および変更前後の値が含まれて
います。
システム
各システム イベントのエントリが表示されます。各エントリには、日時、
イベントの重大度、およびイベントの説明が含まれています。
HIP マッチ
設定した HIP オブジェクトまたは HIP プロファイルに適合するトラフィッ
ク フローが表示されます。
222
レポートとログ
レポートとログ
ファイアウォールのモニター
ログ データのフィルタリング
各ログ ページの上部にはフィルタエリアがあります。
以下のようにして、フィルタエリアを使用します。


ログ リストの下線の付いたリンクのいずれかをクリックし、その項目をログ フィルタ オプショ
ンとして追加します。たとえば、10.0.0.252 のログ エントリの [ホスト] リンクと [Web Browsing]
をクリックすると、両方の項目が追加され、AND 検索を使用して両方に一致するエントリが検
索されます。
その他の検索基準を定義するには、[ ログ フィルタの追加 ] をクリックします。必要に応じて、
検索のタイプ (AND/OR)、検索に含める属性、マッチング演算子、および照合に使用する値
を選択します。[Add] をクリックして基準を [Log] ページのフィルタエリアに追加し、[Close]
をクリックしてポップアップ ウィンドウを閉じます。[フィルタの適用] をクリックすると、
フィルタリングされたリストが表示されます。
[Log] ページに追加されたフィルタ式と [Expression] ポップアップ ウィンドウで定義した式を
組み合わせることができます。各フィルタは、1 つのエントリとして [Log] ページの [Filter] 行
に追加されます。[受信日時] を [含む] フィルタを [過去 60 秒] に設定した場合、ログ ビューア
の一部のページ リンクで結果が表示されない場合があります。これは、選択した時間が動的性
質を持つため、ページ数が増加または減少することがあるからです。


フィルタを消去してフィルタリングされていないリストを再度表示するには、[フィルタのク
リア ] をクリックします。
設定したフィルタを新しいフィルタとして保存するには、[ フィルタの保存 ] をクリックして
フィルタ名を入力し、[OK] をクリックします。

現在のログ リスト(適用されたすべてのフィルタと共にページに表示されます)をエクスポー
トするには、[ フィルタの保存 ] をクリックします。ファイルを開くのか、ディスクに保存す
るのかを選択します。常に同じオプションを使用する場合はチェック ボックスをオンにしま
す。[OK] をクリックします。

現在のログ一覧を CSV フォーマットでエクスポートするには、CSV にエクスポート アイコン
をクリックします。デフォルトでは、ログ リストを CSV フォーマットにエクスポートする
と、最大で 2,000 行のログを含む CSV レポートが生成されます。CSV レポートに表示される
行数の制限を変更するには、[ログのエクスポートとレポート] タブ([Device] > [セットアッ
プ ] > [ 管理 ] > [ ロギングおよびレポート設定 ] の順に選択)の [CSV エクスポートの最大行
数 ] フィールドを使用します。
自動更新間隔を変更するには、ドロップダウン リストから間隔を選択します([1 分 ]、[30 秒 ]、
[10 秒 ]、または [ 手動 ])。
ページあたりのログ エントリの数を変更するには、[ 行 ] ドロップダウンで行数を選択します。
ログ エントリは、10 ページのブロック単位で取得されます。ページの下部にあるページ送り機
能を使用して、ログ リスト内を移動します。[ ホスト名の解決 ] チェック ボックスをオンにする
と、外部 IP アドレスがドメイン名に解決されます。
レポートとログ
223
ファイアウォールのモニター
レポートとログ
ダッシュボードのモニタリング
ローカルのログ データは、関連付けられたウィジェットを追加することにより、[Dashboard]
から直接モニタリングすることもできます。
224
レポートとログ
レポートとログ
ファイアウォールのモニター
レポートの表示
ファイアウォールでは、ログ データも使用して、ログ データを表または図の形式で表示したレ
ポートも生成します([Monitor] > [レポート])。ファイアウォールで使用可能な定義済みレポー
トとカスタム レポートの詳細は、「レポートについて」を参照してください。
レポートとログ
225
外部サービスへのログの転送
レポートとログ
外部サービスへのログの転送
ログ ファイルのタイプおよび重大度に応じて、注意を必要とする重大イベントについてアラー
トが送信されるようにしたり、ファイアウォールに保存可能な期間より長くデータをアーカイ
ブするよう求めるポリシーが存在したりするかも知れません。そのような場合は、ログ データ
を外部サービスに転送して、アーカイブ、通知、または分析することができます。
ログ データを外部サービスに転送するには、以下のタスクを実行する必要があります。

ログを受信するリモート サービスにアクセスするようにファイアウォールを設定します。「リ
モート ログの宛先の定義」を参照してください。


転送されるように各ログ タイプを設定します。「ログ転送の有効化」を参照してください。
226
トラフィック ログと脅威ログの場合、ログ転送を有効にするには、ログ転送プロファイルを
設定するか、デフォルトのログ転送プロファイルを使用します。詳細は、「ログ転送プロ
ファイル」を参照してください。
レポートとログ
レポートとログ
外部サービスへのログの転送
リモート ログの宛先の定義
Syslog サーバーや SNMP トラップ マネージャなどの外部サービスに到達するため、ファイア
ウォールでは、アクセス方法の詳細を認識し、必要であればそのサービスに対して認証される
ようにする必要があります。この情報は、ファイアウォールの [ サーバー プロファイル ] で定義
します。ファイアウォールが通信する外部サービスごとにサーバー プロファイルを作成する必
要があります。セットアップする必要があるログの宛先タイプおよび転送するログのタイプ
は、必要に応じて異なります。いくつかの一般的なログ転送シナリオには、以下の操作が含ま
れます。

注意を必要とする重大なシステム イベントまたは脅威に関する即時通知の場合は、SNMP ト
ラップを生成するか、電子メール アラートを送信することができます。「電子メール アラー
トのセットアップ」または「SNMP トラップの宛先のセットアップ」を参照してください。

データの長期保管とアーカイブの場合、および中央管理のデバイス モニタリングの場合には、
ログ データを Syslog サーバーに送信することができます。「Syslog サーバーの定義」を参照
してください。これにより、Splunk! や ArcSight などのサードパーティのセキュリティ モニ
タリング ツールとの統合が可能になります。ファイアウォールと Syslog サーバー間のチャ
ネルを保護することができます。「Syslog サーバーに対して認証するためのファイアウォー
ルの設定」を参照してください。

複数の Palo Alto Networks ファイアウォールからログ データを集約してレポートを作成する
場合は、Panorama マネージャまたは Panorama ログ コレクタにログを転送できます。「ログ
転送の有効化」を参照してください。
サーバー プロファイルは必要なだけ定義できます。たとえば、別々のサーバー プロファイルを
使用して、トラフィック ログを Syslog サーバーに、システム ログを別のサーバーに送信するこ
とができます。あるいは、複数のサーバー エントリを単一のサーバー プロファイルに含め、複
数の Syslog サーバーにログを記録して冗長性を高めることもできます。
デフォルトでは、すべてのログ データが MGT インターフェイスを介して転送されます。MGT
以外のインターフェイスを使用する予定の場合は、「外部サービスへのネットワーク アクセス
のセットアップ」のステップ 5 の説明に従って、ログの転送先となるサービスごとにサービス
ルートを設定する必要があります。
レポートとログ
227
外部サービスへのログの転送
レポートとログ
電子メール アラートのセットアップ
電子メール アラートのセットアップ
ステップ 1
使用している電子メール サー 1.
バーのサーバー プロファイル
を作成します。
2.
[Device] > [ サーバー プロファイル ] > [ 電子メール ] の
順に選択します。
[ 追加 ] をクリックし、プロファイルの [ 名前 ] を入力し
ます。
3.
(任意)[ 場所 ] ドロップダウン リストから、このプロ
ファイルの適用先となる仮想システムを選択します。
4.
[ 追加 ] をクリックして新しい電子メール サーバー エ
ン トリ を追加 し、SMTP (Simple Mail Transport Protocol)
サーバーに接続して電子メールを送信するために必要
な情報を入力します(プロファイルには電子メール
サーバーを 4 つまで追加できます)。
• サーバー — 電子メール サーバーを識別する名前(1 ~
31 文字)。このフィールドは単なるラベルであり、
既存の SMTP サーバーのホスト名である必要はあり
ません。
• 表示名 — 電子メールの [ 差出人 ] フィールドに表示
される名前。
• 送信者 — 電子メール通知の送信元の電子メール アド
レス。
• 宛先 — 電子メール通知の送信先の電子メール アド
レス。
• 追加の受信者 — 通知が 2 番目のアカウントに送信さ
れるようにする場合は、ここに追加のアドレスを入
力します。追加できるのは 1 名の受信者のみです。
複数の受信者を追加するには、配布リストの電子
メール アドレスを追加します。
• ゲートウェイ — 電子メールの送信に使用する SMTP
ゲートウェイの IP アドレスまたはホスト名。
5.
[ カスタム ログ フォーマット ] タブを選択します。さまざ
まなログ タイプでのカスタム フォーマットの作成方法に
ついては、『Common Event Format Configuration Guide』を
参照してください。
ステップ 2
(任意)ファイ アウ ォール が
送信する電子メール メッセー
ジのフォーマットをカスタマ
イズします。
ステップ 3
サーバー プロファイルを保存 1.
し、変更をコミットします。 2.
228
[OK] をクリックしてサーバー プロファイルを保存し
ます。
[OK] をクリックしてプロファイルを保存します。
[ コミット ] をクリックして実行中の設定に対する変更
を保存します。
レポートとログ
レポートとログ
外部サービスへのログの転送
SNMP トラップの宛先のセットアップ
SNMP (Simple Network Management Protocol) は、ネットワーク上のデバイスをモニターする標準
ファシリティです。SNMP 管理ソフトウェアに SNMP トラップを送信するようにファイア
ウォールを設定し、迅速な対応が求められる重大なシステム イベントや脅威に対して注意が喚
起されるようにすることができます。
SNMP を使用してファイアウォールをモニタリングすることもできます。この場合は、ファイ
アウォールでトラップをマネージャに送信するのではなく(または、そうすることに加え
て)、ファイアウォールから統計データを取得するように SNMP マネージャを設定する必要
があります。詳細は、「Syslog サーバーに対して認証するためのファイアウォールの設定」を
参照してください。
SNMP トラップの宛先のセットアップ
ステップ 1
( S N M P v 3 の み ) フ ァ イ ア ファイアウォールのエンジン ID を確認するには、SNMP
ウォールのエンジン ID を取得 v3 用にファイアウォールを設定し、SNMP マネージャまた
は MIB ブラウザから以下のように GET メッセージを送信
します。
する必要があります。
多くの場合、MIB ブラウ
1. インターフェイスがインバウンド SNMP 要求を許可で
ザ ま た は SNMP マ ネ ー
きるようにします。
ジャは、ファイアウォー
• MGT インターフェイスで SNMP GET メッセージを
ルの SNMP エージェント
受信する場合は、[Device] > [ セットアップ ] > [ 管理 ]
に正常に接続すると、自
の順に選択し、画面の [ 管理インターフェイス設定 ]
動的にエンジン ID を検
セクションで [ 編集 ] をクリックします。[ サービス ]
出します。通常、この情
セクションで、[SNMP]
チェック ボックスをオンに
報はインターフェイスの
して [OK] をクリックします。
エージェント設定セク
ションにあります。エー
ジェント情報の検出手順
については、各製品のド
キュメントを参照してく
ださい。
レポートとログ
• 別のインターフェイスで SNMP GET メッセージを受
信する場合は、管理プロファイルとそのインター
フェイスを関連付け、SNMP 管理を有効にする必要
があります。
2.
「SNMP モニタリングのセットアップ」のステップ 2 の
説明に従って、ファイアウォールを SNMP v3 用に設定
します。ファイアウォールを SNMP v3 用に設定しない
と、MIB ブラウザで GET によるエンジン ID の取得が
許可されません。
3.
MIB ブラウザまたは SNMP マネージャをファイアウォー
ルに接続し、OID 1.3.6.1.6.3.10.2.1.1.0 を取得する GET
を実行します。返される値は、ファイアウォールの一
意のエンジン ID です。
229
外部サービスへのログの転送
レポートとログ
SNMP トラップの宛先のセットアップ(続き)
ステップ 2
SNMP マネージャに接続して認証されるために必要な情報を含んだサーバー プロファイル
を作成します。
1. [Device] > [ サーバー プロファイル ] > [SNMP トラップ ] の順に選択します。
2. [ 追加 ] をクリックし、プロファイルの [ 名前 ] を入力します。
3. (任意)[ 場所 ] ドロップダウン リストから、このプロファイルの適用先となる仮想シス
テムを選択します。
4. 使用中の SNMP のバージョン([V2c] または [V3])を指定します。
5. [ 追加 ] をクリックして新しい [SNMP トラップ レシーバ ] エントリを追加します(サー
バー プロファイルあたりトラップ レシーバを 4 つまで追加できます)。必須の値は、
SNMP V2c と V3 のどちらを使用中なのかによって決まります。
SNMP V2c の場合
• サーバー — SNMP マネージャを識別する名前(1 ~ 31 文字)。このフィールドは単な
るラベルであり、既存の SNMP サーバーのホスト名である必要はありません。
• マネージャ — トラップの送信先 SNMP マネージャの IP アドレス。
• コミュニティ — SNMP マネージャに対して認証するために必要なコミュニティ名。
SNMP V3 の場合
• サーバー — SNMP マネージャを識別する名前(1 ~ 31 文字)。このフィールドは単な
るラベルであり、既存の SNMP サーバーのホスト名である必要はありません。
• マネージャ — トラップの送信先 SNMP マネージャの IP アドレス。
• ユーザー — SNMP マネージャに対して認証するために必要なユーザー名。
• エンジン ID — ステップ 1 で識別された、ファイアウォールのエンジン ID。これは、
0x プレフィックスが付いた 5 ~ 64 バイトの 16 進数値です。各ファイアウォールに
は、一意のエンジン ID があります。
• 認証パスワード — SNMP マネージャに対する authNoPriv レベルのメッセージで使用さ
れるパスワード。このパスワードは Secure Hash Algorithm (SHA-1) を使用してハッシュ
されますが、暗号化はされません。
• 専用パスワード — SNMP マネージャに対する authPriv レベルのメッセージで使用され
るパスワード。このパスワードは SHA を使用してハッシュされ、Advanced Encryption
Standard (AES 128) を使用して暗号化されます。
6. [OK] をクリックしてサーバー プロファイルを保存します。
ステップ 3
(任意)SNMP トラップのサー デフォルトでは、SNMP トラップは MGT インターフェイ
ビス ルートをセットアップし スを介して送信されます。SNMP トラップに別のインター
ます。
フェイスを使用する場合は、ファイアウォールが SNMP マ
ネージャに到達できるようにサービス ルートを編集する必
要があります。方法については、「外部サービスへのネッ
トワーク アクセスのセットアップ」を参照してください。
ステップ 4
変更をコミットします。
ステップ 5
ファイアウォールから受信する 『PAN-OS MIB ファイル』を SNMP 管理ソフトウェアに
トラップを SNMP マネージャが ロードして、コンパイルします。この処理の具体的な方法
解釈できるようにします。
については、ご使用の SNMP マネージャのドキュメントを
参照してください。
230
[ コミット ] をクリックします。デバイスでの変更の保存に
は、最長で 90 秒かかります。
レポートとログ
レポートとログ
外部サービスへのログの転送
Syslog サーバーの定義
Syslog は標準のログ転送メカニズムで、ルーター、ファイアウォール、プリンターなどのさま
ざまなベンダーのさまざまなネットワーク デバイスからアーカイブと分析そしてレポート作成
のために、ログ データを集約できるようにします。
ファイアウォールは、外部 Syslog サーバーに転送することができる 6 つのタイプのログ(トラ
フィック、脅威、WildFire、ホスト情報プロファイル (HIP) マッチ、設定、およびシステム)を
生成します。これらのログのすべてまたは一部を外部サービスに転送して長期保管および分析
する場合、ログを信頼できる保護された方法で転送するには TCP または SSL を、保護されない
方法で転送するには UDP を使用できます。
レポートとログ
231
外部サービスへのログの転送
レポートとログ
Syslog 転送のセットアップ
ステップ 1
Syslog サーバーに接続するため 1.
に必要な情報を含んだサーバー
プロファイルを作成します。
2.
[Device] > [ サーバー プロファイル ] > [Syslog] の順に
選択します。
[ 追加 ] をクリックし、プロファイルの [ 名前 ] を入力
します。
3.
(任意)[ 場所 ] ドロップダウン リストから、このプロ
ファイルの適用先となる仮想システムを選択します。
4.
[ 追加 ] をクリックして新しい Syslog サーバー エントリ
を追加し、Syslog サーバーに接続するために必要な情
報を入力します(同じプロファイルに Syslog サーバー
を 4 つまで追加できます)。
• 名前 — サーバー プロファイルの一意の名前。
• サーバー — Syslog サーバーの IP アドレスまたは完全
修飾ドメイン名 (FQDN)。
• 転送 — Syslog サーバーとの通信方法として、TCP、
UDP、または SSL を選択します。
• ポート — Syslog メッセージを送信するときに経由す
るポート番号(デフォルトはポート 514 の UDP)。
ファイアウォールと Syslog サーバーで同じポート番
号を使用する必要があります。
• フォーマット — 使用する Syslog メッセージ フォー
マットとして、BSD または IETF を選択します。従
来、UDP 経由の場合は BSD フォーマット、TCP/SSL
経由の場合は IETF フォーマットが使用されていま
す。クライアント認証による保護された Syslog 転送
の セ ッ ト ア ッ プ に つ い て の 詳 細 は、「Syslog サ ー
バーに対して認証するためのファイアウォールの設
定」を参照してください。
• ファシリティ — Syslog の標準値のいずれかを選択し
ます。実装されている Syslog サーバーの優先度 (PRI)
フィールドの計算で使用されます。PRI フィールド
を使用して Syslog メッセージを管理する方法に対応
する値を選択してください。
232
5.
(任意)ファイアウォールが送信する Syslog メッセージ
のフォーマットをカスタマイズするには、[ カスタム
ログ フォーマット ] タブを選択します。さまざまなロ
グ タイプでのカスタム フォーマットの作成方法につい
て は、『Common Event Format Configuration Guide』を
参照してください。
6.
[OK] をクリックしてサーバー プロファイルを保存し
ます。
レポートとログ
レポートとログ
外部サービスへのログの転送
Syslog 転送のセットアップ(続き)
ステップ 2
(任意)Syslog メッセージ内の 1.
ヘッダー フォーマットを設定
します。ヘッダー フォーマッ
トを選択することで、一部の 2.
SIEM のログ データをより柔軟
3.
にフィルタリングおよびレ
ポートできます。
[Device] > [ セットアップ ] > [ 管理 ] の順に選択し、
[ ロギングおよびレポート設定 ] セクションの編集アイ
コンをクリックします。
[ ログのエクスポートとレポート ] を選択します。
[Syslog メッセージ内にホスト名を含める ] ドロップダウ
ンから、以下のオプションのいずれかを選択します。
• FQDN —(デフォルト)送信デバイスで定義されてい
るホスト名とドメイン名を連結します。
• hostname — 送信デバイスで定義されているホスト
名を使用します。
• ipv4-address — 送信デバイスでログを送信するため
に使用されるインターフェイスの IPv4 アドレスを使
用します。デフォルトでは、デバイスの MGT イン
ターフェイスです。
これは、グローバル設定
であるため、アプライア
ンスで設定されている
すべての Syslog サーバー
プロファイルに適用さ
4.
れます。
• ipv6-address — 送信デバイスでログを送信するため
に使用されるインターフェイスの IPv6 アドレスを使
用します。デフォルトでは、デバイスの MGT イン
ターフェイスです。
• none — デバイスのホスト名フィールドを設定されな
いままにします。ログを送信したデバイスの ID は
ありません。
[OK]、[ コミット ] の順にクリックします。
ステップ 3
変更をコミットします。
[ コミット ] をクリックします。デバイスでの変更の保存に
は、最長で 90 秒かかります。
ステップ 4
ログ転送を有効にします。
「ログ転送の有効化」を参照してください。
転送する各ログ タイプを設定し、イベントをログに記録す
る場合の重大度を指定する必要があります。
WildFire ログは脅威ログの一種ですが、脅威ログと一
緒に記録および転送されません。WildFire ログでは脅
威ログと同じ Syslog フォーマットを使用しますが、
WildFire には脅威サブタイプが事前設定されていま
す。したがって、WildFire ログのロギング / 転送は、
脅威ログから明確に有効にする必要があります。
ステップ 5
Syslog サーバーでログを確認し ログを解析するには、「Syslog フィールドの説明」を参照
ます。
してください。
レポートとログ
233
外部サービスへのログの転送
レポートとログ
Syslog サーバーに対して認証するためのファイアウォールの設定
SSL を使用した Syslog のクライアント認証を有効にするには、信頼された CA または自己署名
CA を使用して、保護された Syslog 通信で使用可能な証明書を生成できます。保護された Syslog
通信用の証明書を生成する場合は、以下の点を確認してください。

送信デバイスで秘密鍵が使用できるようになっている必要があります。秘密鍵は、ハード
ウェア セキュリティ モジュール (HSM) で保管できません。

証明書の被認証者と発行者を同じにすることはできません。

証明書は、信頼される CA と証明書署名要求 (CSR) のどちらでもありません。これらのタイ
プの証明書はどれも、保護された Syslog 通信で有効にすることはできません。
234
レポートとログ
レポートとログ
外部サービスへのログの転送
Syslog サーバーに対して認証するためのファイアウォールの設定
ステップ 1
Syslog サーバーでクライアン 送信デバイスが Syslog サーバーと通信できることを確認する
ト認証が必要な場合、保護 ために、以下を実行する必要があります。
された通信用の証明書を生 • サーバーおよび送信デバイスには、エンタープライズ CA に
成 し ま す。証 明 書 の 詳 細
よ っ て 署 名 さ れ た 証 明 書 が 必 要 で す。ま た、フ ァ イ ア
は、「証明書の管理」を参
ウォールで自己署名証明書を生成し、ファイアウォールか
照してください。
ら CA ルート証明書をエクスポートして、Syslog サーバー
にインポートすることもできます。
• エンタープライズ CA または自己署名証明書を使用して証
明書を生成します。この証明書には、(共通名として)送
信デバイスの IP アドレスが含まれており、保護された
Syslog 通信で使用できます。Syslog サーバーは、この証明
書を使用して、ファイアウォールに Syslog サーバーと通信
する権限があることを確認します。
以下の手順を使用して、ファイアウォールまたは Panorama
で証明書を生成します。
1.
[Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス証明書 ]
の順に選択します。
2.
[生成] をクリックして、信頼された認証局または自己署名
認証局によって署名される新しい証明書を作成します。
3.
[ 証明書名 ] に証明書の名前を入力します。
4.
[ 共通名 ] に、Syslog サーバーにログを送信するデバイス
の IP アドレスを入力します。
5.
証明書を Panorama の共有証明書にする場合や、複数の仮
想システムのファイアウォールのすべての仮想システム
で共有する場合、[ 共有 ] を選択します。
6.
[ 署名者 ] で、信頼された認証局、または Syslog サーバー
と送信デバイスの両方で信頼されている自己署名認証局
を選択します。
7.
[ 生成 ] をクリックします。証明書とキー ペアが生成され
ます。
8.
証明書名のリンクをクリックし、[保護された Syslog の証
明書 ] オプションを有効にして、Syslog サーバーに安全に
アクセスできるようにします。
9.
変更を [ コミット ] します。
10. 証明書の詳細を確認し、[ 用途 ] に [ 保護された Syslog の
証明書 ] とマークされていることを確認します。
レポートとログ
235
外部サービスへのログの転送
レポートとログ
ログ転送の有効化
ログの送信先を定義したサーバー プロファイルを作成したら(「リモート ログの宛先の定義」
を参照)、ログ転送を有効にする必要があります。ログ タイプごとに、Syslog、電子メール、
SNMP トラップ レシーバ、または Panorama のどれに転送するかを指定できます。
Panorama マネージャまたは Panorama ログ コレクタにログ ファイルを転送できるようにするに
は、まず、ファイアウォールを管理対象デバイスとして設定する必要があります。その後、ログ
のタイプごとに Panorama へのログ転送を有効にすることができます。Panorama に転送される
ログの場合、外部 Syslog サーバーへの中央管理されたログ転送がサポートされます。
転送を有効にする方法は、ログ タイプによって異なります。

トラフィック ログ — トラフィック ログの転送を有効にするには、ログ転送プロファイルを
作成し([Objects] > [ ログ転送 ])、ログ転送をトリガーするセキュリティ ポリシーにそのプ
ロファイルを追加します。セキュリティ ポリシー内の特定のルールに一致するトラフィック
のみがログに記録され、転送されます。ログ転送プロファイルの詳細は、「ログ転送プロ
ファイル」を参照してください。

脅威ログ — 脅威ログの転送を有効にするには、転送する重大度レベルを指定したログ転送プ
ロファイルを作成し([Objects] > [ ログ転送 ])、ログ転送をトリガーするセキュリティ ポリ
シーにそのプロファイルを追加します。脅威ログのエントリは、関連付けられたトラフィッ
クがセキュリティ プロファイル(アンチウイルス、アンチスパイウェア、脆弱性防御、URL
フィルタリング、ファイル ブロッキング、データ フィルタリング、または DoS プロテク
ション)と一致する場合にのみ作成(したがって転送)されます。ログ転送プロファイルの
詳細は、「ログ転送プロファイル」を参照してください。以下の表に脅威の重大度レベルを
要約して示します。
重大度
説明
重要
広範囲にデプロイされたソフトウェアのデフォルト インストー
ルに影響するような深刻な脅威。サーバーの root が悪用され、
弱点のあるコードが広範囲の攻撃者の手に渡ることになりま
す。攻撃者は通常、特殊な認証資格証明や個々の被害者に関す
る知識を必要としません。また、標的がなんらかの特殊な機能
を実行するように操作する必要もありません。
高
重大度が Critical に変わる可能性があるものの、軽減要因が存在
する脅威。たとえば、悪用するのが困難であったり、上位の特
権が与えられることがなかったり、被害サーバー数が多くな
かったりする場合です。
中
影響が最小限に抑えられる小さな脅威。たとえば、標的に侵入
することのない DoS 攻撃や、攻撃者が被害サーバーと同じ
LAN 上に存在する必要があり、標準以外の設定や隠れたアプ
リケーションにのみ影響するか、アクセスがごく限られている
悪用などです。さらに、マルウェア判定を含む WildFire 送信ロ
グ エントリは、Medium としてログに記録されます。
236
レポートとログ
レポートとログ
外部サービスへのログの転送
重大度
説明
低
組織のインフラストラクチャへの影響がわずかな警告レベルの
脅威。通常、ローカルまたは物理的なシステムへのアクセスが
必要であり、被害者のプライバシーや DoS の問題、情報漏洩な
どが発生することがあります。データ フィルタリング プロ
ファイルの一致は、「低」としてログに記録されます。
情報
直ちに脅威とはならなくても、存在する可能性がある深層の問
題に注意を引くために報告される、疑わしいイベント。URL
フィルタリング ログ エントリと安全判定の WildFire 送信ログ
エントリは Informational としてログに記録されます。

設定ログ — 設定ログの転送を有効にするには、ログ設定でサーバー プロファイルを指定しま
す([Device] > [ ログ設定 ] > [ 設定ログ ])。

システム ログ — システム ログの転送を有効にするには、ログ設定でサーバー プロファイル
を指定します([Device] > [ ログ設定 ] > [ システム ログ ])。転送する重大度レベルごとに
サーバー プロファイルを選択する必要があります。システム ログ メッセージとそれに対応
する重大度レベルの部分的なリストについては、『System Log Reference』を参照してくださ
い。以下の表にシステム ログの重大度レベルを要約して示します。
重大度
説明
重要
HA フェイルオーバーやリンク障害などのハードウェア障害。
高
外部デバイス(LDAP サーバーや RADIUS サーバーなど)との
接続の切断などの深刻な問題。
中
アンチウイルス パッケージのアップグレードなどの中レベルの
通知。
低
ユーザー パスワードの変更などそれほど重要ではない通知。
情報
ログイン / ログオフ、管理者名やパスワードの変更、設定の変
更、および重大度レベルに含まれない他のすべてのイベント。
ログ転送プロファイル
ログ転送プロファイルにより、トラフィック ログと脅威ログを Panorama または外部システムに
転送することができます。ログ転送プロファイルは、セキュリティ ゾーンに追加してゾーン プ
ロテクション ログを転送するか、セキュリティ ポリシーに追加してそのポリシーに適合するト
ラフィックのログを転送することができます。また、デフォルトのログ転送プロファイルを設
定することもできます。デフォルト プロファイルでの設定は、新しいセキュリティ ゾーンと新
しいセキュリティ ポリシーのデフォルトのログ転送設定として使用されます。これにより、組
織で優先されるログ転送設定を新しいポリシーおよびゾーンに自動的に含めることができ、そ
れらの設定を管理者が毎回手動で追加する必要がなくなります。
レポートとログ
237
外部サービスへのログの転送
レポートとログ
以下のセクションでは、ログ転送プロファイルの作成方法、および新しいセキュリティ ポリ
シーまたはセキュリティ ゾーンのデフォルトのログ転送設定として使用されるプロファイルを
有効にする方法について説明します。

ログ転送プロファイルの作成

デフォルトのログ転送プロファイルのセットアップま たはオーバーライド
ログ転送プロファイルの作成
トラフィック ログと脅威ログを Panorama または外部システムに転送するため、セキュリティ
ポリシーとセキュリティ ゾーンに追加することができるログ転送プロファイルを作成します。
転送されるログは、SNMP トラップ、Syslog メッセージ、または電子メール通知として送信する
ことができます。
ログ転送プロファイルの有効化
ステップ 1
ログ転送プロファイルを追加 1.
します。
[Object] > [ ログ転送プロファイル ] の順に選択し、新
しいセキュリティ プロファイル グループを [ 追加 ] し
ます。
2.
プロファイル グループに分かりやすい [名前] を付け、
セキュリティ ポリシーまたはセキュリティ ゾーンに追
加するときに識別しやすいようにします。
3.
ファイアウォールがマルチ仮想システム モードになっ
ている場合は、プロファイルをすべての仮想システム
で [ 共有 ] 可能にします。
4.
トラフィック ログ、脅威ログ、および WildFire ログの
設定を追加します。
• Panorama に転送するトラフィック ログ、脅威ログ、
または WildFire ログの重大度に応じて、[Panorama]
チェック ボックスをオンにします。
• 追加の宛先([SNMP トラップ ] の宛先、[ 電子メー
ル ] サーバー、または [Syslog] サーバー)に転送す
るログを指定します。
5.
238
[OK] をクリックしてログ転送プロファイルを保存し
ます。
レポートとログ
レポートとログ
外部サービスへのログの転送
ログ転送プロファイルの有効化(続き)
ステップ 2
ロ グ 転 送 プ ロ フ ァ イ ル を セ 1.
キュリティ ポリシーに追加し
ます。
2.
セキュリティ ポリシーおよび
ログ転送プロファイルに適合
す る ト ラ フ ィ ッ ク は、プ ロ
ファイルで定義した宛先に転
送されます。
ステップ 3
ステップ 4
[Policies] > [ セキュリティ] の順に選択し、セキュリ
ティ ポリシーを [ 追加 ] または変更します。
[ アクション ] と、[ ログ転送プロファイル ] ドロップダ
ウンで作成したログ転送プロファイルを選択します。
脅威ログのエントリは、ログ転送プロファイル
で定義した設 定に加えて、設 定したセキュリ
ティ プロファイルに従って生成されます。セ
キュリティ プロファイルの詳細は、「セキュリ
ティ プロファイル」を参照してください。
セキュリティ ポリシーの詳細
は、「セキュリティ ポリシー」 3.
を参照してください。
[OK] をクリックしてセキュリティ ポリシーを保存し
ます。
ログ転送プロファイルをセキュ 1.
リティ ゾーンに追加します。
[Network] > [ ゾーン ] の順に選択し、セキュリティ ゾー
ンを [ 追加 ] または変更します。
セキュリティ ゾーンのセット 2.
ア ップの 詳細 は、「インタ ー
フェイスとゾーンの設定」を 3.
参照してください。
[ ログ設定 ] ドロップダウンから、ログ転送プロファイ
ルを選択します。
変更を保存します。
[OK] をクリックしてセキュリティ ゾーンを保存します。
[ コミット ] します。
デフォルトのログ転送プロファイルのセットアップまたはオーバーライド
新しいログ転送プロファイルを追加するか、既存のログ転送プロファイルを変更して、新しい
セキュリティ ポリシー ルールまたは新しいセキュリティ ゾーンのデフォルトのログ転送設定
として使用します。管理者が新しいセキュリティ ポリシーまたは新しいセキュリティ ゾーンを
作成すると、ポリシーまたはゾーンのログ転送設定としてデフォルトのログ転送プロファイル
が自動的に選択されます(管理者は、必要に応じて、別のログ転送設定を手動で選択すること
もできます)。以下のオプションを使用してデフォルトのログ転送プロファイルをセットアッ
プするか、デフォルトの設定をオーバーライドすることができます。
デフォルトのセキュリティ プロファイルが存在しない場合、新規のセキュリティ ポリシーの
プロファイル設定は、デフォルトで [なし] に設定されます。
レポートとログ
239
外部サービスへのログの転送
レポートとログ
デフォルトのログ転送プロファイルのセットアップまたはオーバーライド
• デフ ォ ルト のロ グ 転送 プロ フ ァイ ルを 1.
セットアップします。
[Object] > [ ログ転送 ] の順に選択し、新しいログ転送
プロファイルを [ 追加 ] するか、既存のプロファイルを
変更します。
2.
セキュリティ プロファイル グループに「default」とい
う [ 名前 ] を付けます。
3.
[OK]、[ コミット ] の順にクリックします。
4.
デフォルトのログ転送プロファイルが、新しいセキュ
リティ プロファイルにデフォルトで含まれていること
を確認します。
a. [Policies] > [ セキュリティ] の順に選択して、新規の
セキュリティ ポリシーを [ 追加 ] します。
b. [ アクション ] タブを選択し、[ ログ転送 ] フィールド
でデフォルトのプロファイルが選択されていること
を確認します。
5.
デフォルトのログ転送プロファイルが、新しいセキュ
リティ ゾーンにデフォルトで含まれていることを確認
します。
a. [Network] > [ ゾーン ] の順に選択し、新しいセキュ
リティ ゾーンを [ 追加 ] します。
b. [ ログ設定 ] フィールドで、デフォルトのログ転送プ
ロファイルが選択されることを確認します。
• デフ ォ ルト のロ グ 転送 プロ フ ァイ ルを デフォルトのログ転送プロファイルがすでに存在し、新し
オーバーライドします。
いセキュリティ ポリシーまたは新しいセキュリティ ゾーン
に適用されるプロファイルでログ転送設定が定義されない
ようにする場合は、ポリシーまたはゾーンでの [ ログ設定 ]
フィールドの変更に進み、優先設定に従って変更します。
240
レポートとログ
レポートとログ
SNMP を使用したファイアウォールのモニター
SNMP を使用したファイアウォールのモニター
すべての Palo Alto Networks ファイアウォールは、標準の SNMP 管理情報ベース (MIB) モジュール
とともに、専用のエンタープライズ MIB モジュールをサポートしています。SNMP マネージャ
は、ファイアウォールから統計情報を取得するように設定できます。たとえば、使用する SNMP
マネージャを設定して、ファイアウォールのインターフェイス、アクティブなセッション、同
時セッション、セッション利用率、温度、またはシステム稼働時間をモニターできます。
Palo Alto Networks のファイアウォールは、SNMP GET 要求のみをサポートしており、SNMP
SET 要求はサポートしていません。
SNMP モニタリングのセットアップ
ステップ 1
インターフェイスがインバウ • MGT インターフェイスで SNMP GET メッセージを受信
ンド SNMP 要求を許可できる
する場合は、[Device] > [ セットアップ ] > [ 管理 ] の順に
ようにします。
選択し、画面の [ 管理インターフェイス設定 ] セクション
を [ 編集 ] します。[ サービス ] セクションで、[SNMP]
チェック ボックスをオンにして [OK] をクリックします。
• 別のインターフェイスで SNMP GET メッセージを受信す
る場合は、管理プロファイルとそのインターフェイスを
関連付け、SNMP 管理を有効にする必要があります。
レポートとログ
241
SNMP を使用したファイアウォールのモニター
レポートとログ
SNMP モニタリングのセットアップ(続き)
ステップ 2
ファイアウォールの Web イン 1.
ターフェイスから、ファイア
ウォールの SNMP エージェント 2.
が SNMP マネージャから受信し
た GET 要求に応答することを
3.
許可するように設定します。
[Device] > [ セットアップ ] > [ 操作 ] > [SNMP のセット
アップ ] の順に選択します。
ファイアウォールの [ 場所 ] と管理上の [ 連絡先 ] の名
前または電子メール アドレスを指定します。
SNMP の [ バージョン ] を選択し、設定の詳細を(使用
している SNMP バージョンに応じて)以下のように入
力し、[OK] をクリックします。
• V2c — SNMP マネージャにファイアウォールの SNMP
エージェントへのアクセスを許可する [SNMP コミュ
ニティ名 ] を入力します。デフォルト値は public で
すが、これは一般的なコミュニティ名であるため、
ベスト プラクティスとして、容易に推測できない値
を使用するようお勧めします。
• V3 — SNMPv3 を使用するには、表示とユーザーをそ
れぞれ少なくとも 1 つ作成する必要があります。表
示には、マネージャがアクセス権を持つ管理情報を
指定します。すべての管理情報へのアクセスを許可
するには、最上位 OID「.1.3.6.1」のみを入力し、[ オ
プション ] に [include] を指定します(特定のオブジェ
クトを除外する表示を作成することもできます)。
[ マスク ] として「0xf0」を使用します。ユーザーを
作成するとき、上記で作成した表示を [ 表示 ] で選択
し、[ 認証パスワード ] と [ 専用パスワード ] を指定
します。
ファイアウォールに設定した認証設定(V2c のコミュ
ニティ名または V3 のユーザー名とパスワード)は、
SNMP マネージャに設定した値と一致する必要があり
ます。
4.
[OK] をクリックして設定を保存します。
5.
[Commit] をクリックして SNMP 設定を保存します。
ステップ 3
SNMP マネージャでファイア 『PAN-OS MIB ファイル』を SNMP 管理ソフトウェアに
ウォールの統計情報を解釈で ロードし、必要に応じてコンパイルします。この処理の具
きるようにします。
体的な方法については、ご使用の SNMP マネージャのド
キュメントを参照してください。
ステップ 4
モニター対象の統計情報を確 MIB ブラウザを使用して PAN-OS MIB ファイルを開き、モ
認します。
ニター対象の統計情報に対応するオブジェクト ID (OID) を
確認します。たとえば、ファイアウォールのセッション利
用率をモニタリングするとします。この場合は、MIB ブラウ
ザを使用して、この統計情報が PAN-COMMON-MIB の OID
1.3.6.1.4.1.25461.2.1.2.3.1.0 に対応することを確認できます。
242
レポートとログ
レポートとログ
SNMP を使用したファイアウォールのモニター
SNMP モニタリングのセットアップ(続き)
ステップ 5
関心対象の OID をモニタリング この処理の具体的な方法については、ご使用の SNMP マ
するように SNMP 管理ソフト ネージャのドキュメントを参照してください。
ウェアを設定します。
ステップ 6
ファイアウォールと SNMP マ 以下に、SNMP マネージャに表示される、モニター対象の
ネージャ両方の設定が完了し PA-500 ファイアウォールのリアルタイム セッション利用
たら、SNMP 管理ソフトウェア 率統計情報の例を示します。
からファイアウォールのモニ
タリングを開始できます。
レポートとログ
243
NetFlow を使用したファイアウォールのモニター
レポートとログ
NetFlow を使用したファイアウォールのモニター
NetFlow は業界標準プロトコルの 1 つで、これによりファイアウォールでは、インターフェイス
間を通過する IP トラフィックの統計情報を記録することができます。ファイアウォールは、そ
の統計を NetFlow フィールドとして NetFlow コレクタにエクスポートします。NetFlow コレクタ
は、セキュリティ、管理、アカウント管理、およびトラブルシューティングの目的でネット
ワーク トラフィックを分析するために使用するサーバーです。PA-4000 シリーズと PA-7050 を除
く、すべてのファイアウォールで、NetFlow バージョン 9 をサポートしています。このファイア
ウォールでは、双方向ではなく、一方向の NetFlow のみをサポートします。NetFlow のエクス
ポートは、HA、ログ カード、または復号化ミラーを除いて、すべてのインターフェイス タイ
プで有効にすることができます。NetFlow コレクタでファイアウォール インターフェイスを識
別する方法については、「外部モニタリング システムでのファイアウォール インターフェイス
の識別」を参照してください。
ファイアウォールでは、標準およびエンタープライズ(PAN-OS 固有)の NetFlow テンプレート
をサポートしています。NetFlow コレクタには、エクスポートされたフィールドを解読するた
めのテンプレートが必要です。ファイアウォールでは、エクスポートするデータのタイプ
(IPv4 または IPv6 トラフィック、NAT を使用するかどうか、標準またはエンタープライズ固有
のフィールド)に基づいてテンプレートを選択します。サポートされるテンプレートとフィー
ルドの定義の一覧については、「NegFlow のテンプレート」を参照してください。ファイア
ウォールは、テンプレートを定期的に更新して、変更をテンプレートに適用します。更新頻度
は、使用する特定の NetFlow コレクタの要件に従って設定します。
NetFlow を使用したファイアウォールのモニター
ステップ 1
ステップ 2
NetFlow サーバー プロファイル 1.
を作成します。
2.
[Device] > [ サーバー プロファイル ] > [NetFlow] の順
に選択し、[ 追加 ] をクリックします。
3.
ファイアウォールでテンプレートを更新する頻度
([ 分 ] または [ パケット ] 単位)を指定し、レコード
(分単位の [アクティブ タイムアウト])をエクスポー
トします。
4.
ファイアウォールで [App-ID] フィールドと [User-ID]
フ ィ ー ル ド を エ ク ス ポ ー ト す る 場 合 は、[PAN-OS
フィールド タイプ] チェック ボックスをオンにします。
5.
フィールドを受信する NetFlow コレクタごと(プロファ
イルあたり 2 つまで)に、[ 追加 ] をクリックして、識
別サーバーの [ 名前 ]、ホスト名または IP アドレス
([NetFlow サーバー])、およびアクセス [ ポート ](デ
フォルトは 2055)を入力します。
6.
[OK] をクリックしてプロファイルを保存します。
NetFlow サーバー プロファイル 1.
を、分析するトラフィックを
伝送するインターフェイスに
割り当てます。
2.
この例では、プロファイルを
既存のレイヤー 3 インターフェ
3.
イスに割り当てます。
244
プロファイルの [ 名前 ] を入力します。
[Network] > [ インターフェイス ] > [Ethernet] の順に
選択し、[ インターフェイス ] 名をクリックして編集し
ます。
[NetFlow プロファイル ] ドロップダウンで、NetFlow
サーバー プロファイルを選択し、[OK] をクリックし
ます。
[ コミット ] をクリックし、[OK] をクリックします。
レポートとログ
レポートとログ
NegFlow のテンプレート
NegFlow のテンプレート
Palo Alto Networks ファイアウォールでは、以下の NetFlow テンプレートをサポートしています。
テンプレート
ID
IPv4 標準
256
IPv4 エンタープライズ
257
IPv6 標準
258
IPv6 エンタープライズ
259
NAT を使用する IPv4 標準 260
NAT を使用する IPv4 エン 261
タープライズ
以下の表に、ファイアウォールで送信できる NetFlow のフィールド、およびそれらを定義する
テンプレートの一覧を示します。
値
フィールド
説明
テンプレート
1
IN_BYTES
IP フローに関連付けられているバイト すべてのテンプレート
数を示す、長さ N * 8 ビットの受信カ
ウンタ。デフォルトで、N は 4 です。
2
IN_PKTS
IP フローに関連付けられているパケッ すべてのテンプレート
ト数を示す、長さ N * 8 ビットの受信カ
ウンタ。デフォルトで、N は 4 です。
4
PROTOCOL
IP プロトコル バイト。
5
TOS
受信イ ンターフ ェイスに入 るときの すべてのテンプレート
Type of Service バイトの設定。
6
TCP_FLAGS
このフローでのすべての TCP フラグの すべてのテンプレート
合計。
7
L4_SRC_PORT
TCP/UDP 送信元ポート番号(たとえ すべてのテンプレート
ば、FTP、Telnet、ま た は 同 等 の ポ ー
ト)。
8
IPV4_SRC_ADDR
IPv4 送信元アドレス。
すべてのテンプレート
IPv4 標準
IPv4 エンタープライズ
NAT を 使 用 す る IPv4
標準
NAT を 使 用 す る IPv4
エンタープライズ
レポートとログ
245
NegFlow のテンプレート
レポートとログ
値
フィールド
説明
テンプレート
10
INPUT_SNMP
インターフェイスのインデックスを入 すべてのテンプレート
力します。値の長さはデフォルトで 2
バイトですが、それより大きな値にな
ることもあります。Palo Alto Networks
ファイアウォールでインターフェイス
のインデックスを生成する方法の詳細
は、「外部モニタリング システムでの
ファイアウォール インターフェイスの
識別」を参照してください。
11
L4_DST_PORT
TCP/UDP 宛 先 ポ ー ト 番 号(た と え すべてのテンプレート
ば、FTP、Telnet、ま た は 同 等 の ポ ー
ト)。
12
IPV4_DST_ADDR
IPv4 宛先アドレス。
IPv4 標準
IPv4 エンタープライズ
NAT を 使 用 す る IPv4
標準
NAT を 使 用 す る IPv4
エンタープライズ
14
OUTPUT_SNMP
インターフェイスのインデックスを出 すべてのテンプレート
力します。値の長さはデフォルトで 2
バイトですが、それより大きな値にな
ることもあります。Palo Alto Networks
ファイアウォールでインターフェイス
のインデックスを生成する方法の詳細
は、「外部モニタリング システムでの
ファイアウォール インターフェイスの
識別」を参照してください。
21
LAST_SWITCHED
このフローの最後のパケットが切り替 すべてのテンプレート
えられたときのシステムのアップタイ
ム(ミリ秒単位)。
22
FIRST_SWITCHED
このフローの最初のパケットが切り替 すべてのテンプレート
えられたときのシステムのアップタイ
ム(ミリ秒単位)。
27
IPV6_SRC_ADDR
IPv6 送信元アドレス。
IPv6 標準
IPv6 エンタープライズ
28
IPV6_DST_ADDR
IPv6 宛先アドレス。
IPv6 標準
IPv6 エンタープライズ
246
レポートとログ
レポートとログ
NegFlow のテンプレート
値
フィールド
説明
テンプレート
32
ICMP_TYPE
ICMP (Internet Control Message Protocol) すべてのテンプレート
パケット タイプ。以下のように報告さ
れます。
ICMP タイプ * 256 + ICMP コード
61
DIRECTION
フロー方向 :
• 0 = ingress
すべてのテンプレート
• 1 = egress
148
flowId
観察ドメイン内で一意のフローの ID。 すべてのテンプレート
IP アドレスやポート番号などのフロー
キーが報告されないか、別個のレコー
ドで報告される場合は、この情報要素
を使用して、異なるフローを区別する
ことができます。
233
firewallEvent
以下のファイアウォール イベントを示 すべてのテンプレート
します。
• 0 = 無視(無効)
• 1 = 作成されたフロー
• 2 = 削除されたフロー
• 3 = 拒否されたフロー
• 4 = フロー アラート
• 5 = フロー更新
225
226
227
postNATSourceIPv4Address
postNATDestinationIPv4Address
postNAPTSourceTransportPort
レポートとログ
この情報要素の定義は、パケットが観
察 ポ イ ン ト を 通 過 し た 後 に NAT の
middlebox 機能によって変更された値を
報告する点を除いて、sourceIPv4Address
の定義と同一です。
NAT を 使 用 す る IPv4
標準
こ の 情 報 要 素 の 定 義 は、パ ケ ッ ト が
観 察 ポイントを通過した後に NAT の
middlebox 機能によって変更された値を報
告する点を除いて、destinationIPv4Address
の定義と同一です。
NAT を 使 用 す る IPv4
標準
こ の 情 報 要 素 の 定 義 は、パ ケ ッ ト が
観 察ポイントを通過した後にネット
ワーク アドレス ポート変換 (NAPT) の
middlebox 機能によって変更された値を
報告する点を除いて、sourceTransportPort
の定義と同一です。
NAT を 使 用 す る IPv4
標準
NAT を 使 用 す る IPv4
エンタープライズ
NAT を 使 用 す る IPv4
エンタープライズ
NAT を 使 用 す る IPv4
エンタープライズ
247
NegFlow のテンプレート
レポートとログ
値
フィールド
228
postNAPTDestinationTransportPort こ の 情 報 要 素 の 定 義 は、パ ケ ッ ト が
観察ポイントを通過した後にネット
ワーク アドレス ポート変換 (NAPT) の
middlebox 機能によって変更された値を報
告する点を除いて、destinationTransportPort
の定義と同一です。
346
privateEnterpriseNumber
説明
テンプレート
NAT を 使 用 す る IPv4
標準
NAT を 使 用 す る IPv4
エンタープライズ
これは、Palo Alto Networks を識別する IPv4 エンタープライズ
一意のプライベート エンタープライズ NAT を 使 用 す る IPv4
番号 (25461) です。
エンタープライズ
IPv6 エンタープライズ
56701 App-ID
App-ID によって特定されるアプリケー IPv4 エンタープライズ
ションの名前。名前の最大長は 32 バイ NAT を 使 用 す る IPv4
トです。
エンタープライズ
IPv6 エンタープライズ
56702 User-ID
User-ID によって特定されるユーザー IPv4 エンタープライズ
名。名前の最大長は 64 バイトです。
NAT を 使 用 す る IPv4
エンタープライズ
IPv6 エンタープライズ
248
レポートとログ
レポートとログ
外部モニタリング システムでのファイアウォール インターフェイスの識別
外部モニタリング システムでのファイアウォール イン
ターフェイスの識別
NetFlow コレクタ(「NetFlow を使用したファイアウォールのモニター」を参照)または SNMP
マネージャ(「SNMP を使用したファイアウォールのモニター」を参照)を使用してトラ
フィック フローをモニタリングする場合は、インターフェイス インデックス(SNMP ifindex オ
ブジェクト)によって、特定のフローを伝送したファイアウォール インターフェイスを識別し
ます。インターフェイス インデックスを計算するために Palo Alto Networks が使用する式は、プ
ラットフォームごとに、およびインターフェイスが物理的か論理的かに応じて異なります。
SNMP を使用して論理インターフェイスをモニタリングすることはできません。物理インター
フェイスのみをモニタリングできます。NetFlow を使用して、論理または物理インターフェイ
スをモニタリングできます。
ほとんどの NetFlow コレクタは、SNMP を使用し、SNMP インターフェイス インデックスに
基づいて物理インターフェイスの名前を判別します。
物理インターフェイスのインデックスの範囲は 1 ~ 9999 で、ファイアウォールでは以下のよう
にして計算します。
ファイアウォールのプラット
フォーム
計算
インターフェイス インデックスの例
MGT ポート + 物理ポートのオフセット PA-5000 シリーズのファイアウォー
VM-Series、PA-200、PA-500、 • MGT ポート — これは、プラット ル、Eth1/4 =
フォームに依存する定数です。
2(MGT ポート)+ 4(物理 ポー
PA-2000 シリーズ、PA-3000 シ
ト)=
6
リーズ、PA-4000 シリーズ、
• ハードウェアベースのファイア
PA-5000 シリーズ
ウ ォ ー ル(た と え ば、PA-5000
非シャーシ ベース :
シリーズのファイアウォール)
PA-4000 シリーズのプ
の場合は 2
ラットフォームでは、
SNMP をサポートして
• VM-Series ファイアウォールの場
い ま す が、NetFlow
合は 1
はサポートしていま
• 物理ポートのオフセット — これは
せん。
物理ポート番号です。
(最大ポート数 * スロット)+ 物理 PA-7050 ファイアウォール、
Eth3/9 =
ポート
オフセット + MGT ポート
PA-7050 のファイアウォール
• 最大ポート数 — これは定数の 64 [64(最大ポート数)* 3(スロッ
このプラットフォーム
です。
ト)] + 9(物理ポート)+ 5(MGT
は、SNMP をサポート
し て い ま す が、 • スロット — これは、ネットワーク ポート)= 206
シャーシ ベース :
NetFlow はサポートし
ていません。
インターフェイス カードのシャー
シのスロット番号です。
• 物理ポートのオフセット — これは
物理ポート番号です。
• MGT ポート — これは、PA-7050 の
ファイアウォールの場合、定数の 5
です。
レポートとログ
249
外部モニタリング システムでのファイアウォール インターフェイスの識別
レポートとログ
すべてのプラットフォームにおいて、論理インターフェイスのインデックスは、ファイア
ウォールが以下のようにして計算する 9 桁の数字です。
インター
フェイス
タイプ
範囲
9桁
7~8桁
5~6桁
1~4桁
インターフェイス イン
デックスの例
サブインター
フェイス :
サフィックス
1 ~ 9999
(0001 ~ 9999)
Eth1/5.22 = 100000000
( タイプ ) + 100000 ( スロッ
ト ) + 50000 ( ポート ) +
22 ( サフィックス ) =
101050022
1~9
1~9
(01 ~ 09) (01 ~ 09)
サブインター
フェイス :
サフィックス
1 ~ 9999
(0001 ~ 9999)
Eth2/3.6 = 100000000
( タイプ ) + 200000 ( スロッ
ト ) + 30000 ( ポート ) +
6 ( サフィックス ) =
102030006
vwire サブ
インター
フェイス
101010001 ~ タイプ: 1 インター インター
199999999
フェイス フェイス
スロット: ポート :
1~9
1~9
(01 ~ 09) (01 ~ 09)
サブインター
フェイス :
サフィックス
1 ~ 9999
(0001 ~ 9999)
Eth4/2.312 = 100000000
( タイプ ) + 400000 ( スロッ
ト ) + 20000 ( ポート ) +
312 ( サフィックス ) =
104020312
VLAN
200000001 ~ タイプ: 2 00
200009999
00
VLAN の
サフィックス :
1 ~ 9999
(0001 ~ 9999)
VLAN.55 = 200000000
( タイプ ) + 55 ( サフィッ
クス ) = 200000055
ループバック 300000001 ~ タイプ: 3 00
00
ループバックの Loopback.55 = 300000000
サフィックス : ( タイプ ) + 55 ( サフィッ
1 ~ 9999
クス ) = 300000055
(0001 ~ 9999)
00
トンネルの
サフィックス :
1 ~ 9999
(0001 ~ 9999)
Tunnel.55 = 400000000
( タイプ ) + 55 ( サフィッ
クス ) = 400000055
AE
サフィックス :
1~8
(01 ~ 08)
サブインター
フェイス :
サフィックス
1 ~ 9999
(0001 ~ 9999)
AE5.99 = 500000000
( タイプ ) + 50000 (AE サ
フィックス ) + 99 ( サ
フィックス ) = 500050099
レイヤー 3
101010001 ~ タイプ: 1 インター インター
サブインター 199999999
フェイス フェイス
フェイス
スロット: ポート :
1~9
1~9
(01 ~ 09) (01 ~ 09)
レイヤー 2
101010001 ~ タイプ: 1 インター インター
サブインター 199999999
フェイス フェイス
フェイス
スロット: ポート :
300009999
トンネル
400000001 ~ タイプ: 4 00
400009999
集約グループ 500010001 ~ タイプ: 5 00
500089999
250
レポートとログ
レポートとログ
レポートの管理
レポートの管理
ファイアウォールのレポート機能により、ネットワークの状態の把握やポリシーの評価を行う
ことができ、ネットワークのセキュリティを保持してユーザーの安全性と生産性を確保するこ
とに注力できます。

レポートについて

レポートの表示

事前定義済みレポートを無効にする

カスタム レポートの生成

ボットネット レポートの生成

PDF サマリー レポートの管理

ユーザー/ グループ アクティビティ レポートの生成

レポート グループの管理

電子メールで配信するレポートのスケジュール設定
レポートとログ
251
レポートの管理
レポートとログ
レポートについて
ファイアウォールには、事前定義済みレポートが組み込まれており、そのまま使用したり、特
定のデータや実行可能なタスク用に、ニーズに合わせてカスタマイズしたり、事前定義済みレ
ポートとカスタム レポートを組み合わせて必要な情報を編成したりできます。ファイアウォー
ルでは、以下のタイプのレポートを作成できます。

事前定義済みレポート — ネットワーク上のトラフィックのサマリーを簡単に表示できます。
一式の事前定義済みレポートには、アプリケーション、トラフィック、脅威、および URL
フィルタリングの 4 つのカテゴリがあります。「レポートの表示」を参照してください。

ユーザーまたはグループ アクティビティ レポート — 特定のユーザーまたはユーザー グルー
プのアプリケーション使用率および URL アクティビティに関するレポートをスケジュール
設定するか、またはオンデマンドで作成できます。レポートには、URL のカテゴリと、個々
のユーザーの推定ブラウズ時間の計算結果が含まれます。「ボットネット レポートの生成」
を参照してください。

カスタム レポート — 含まれる条件と列に基づいてフィルタリングしたときの情報をそのまま
表示するカスタム レポートを作成およびスケジュール設定します。また、クエリ ビルダー
を組み込み、レポート データについてより具体的にドリルダウンすることもできます。「カ
スタム レポートの生成」を参照してください。

PDF サマリー レポート — 脅威、アプリケーション、傾向、トラフィック、および URL フィ
ルタリング カテゴリからの最大で 18 件の事前定義済みまたはカスタムのレポート / グラフ
を、1 つの PDF ドキュメントに集約します。「PDF サマリー レポートの管理」を参照してく
ださい。

ボットネット レポート — 挙動ベースのメカニズムを使用して、ネットワーク内でボットネッ
トに感染した可能性のあるホストを特定することができます。「ボットネット レポートの生
成」を参照してください。

レポート グループ — カスタム レポートと事前定義済みレポートをレポート グループにまと
め、1 人以上の受信者に電子メールで送信される単一の PDF にまとめます。「レポート グ
ループの管理」を参照してください。
レポートは、要求時や定期的なスケジュールで生成できます。また、電子メール配信用にスケ
ジュール設定することもできます。
252
レポートとログ
レポートとログ
レポートの管理
レポートの表示
ファイアウォールでは、40 種類を超えるさまざまな事前定義済みレポートが毎日生成され、そ
れらのレポートは、ファイアウォールで直接表示できます。これらのレポートのほかに、「ス
ケジュール設定された」カスタム レポートとサマリー レポートを表示できます。
ファイアウォールでは、レポートを保存するために約 200 MB のストレージが割り当てられま
す。このストレージ領域はユーザーが設定可能ではなく、古いレポートは新しいレポートを保
存するために消去されます。そのため、レポートを長期間保持する場合は、そのレポートをエ
クスポートするか、レポートの電子メール配信をスケジュール設定できます。選択したレポー
トを無効にしてファイアウォールのシステム リソースを節約するには、「事前定義済みレポー
トを無効にする」を参照してください。
ユーザー/グループ アクティビティ レポートは、オンデマンドで生成するか、電子メールで配
信するようにスケジュール設定する必要があります。その他のレポートとは異なり、これらの
レポートはファイアウォール上に保存できません。
レポートの表示
ステップ 1
[Monitor] > [ レポート ] の順に選択します。
レポート([ カスタム レポート ]、[ アプリケーション レポート ]、[ トラフィック レポート ]、
[ 脅威レポート ]、[URL フィルタリング レポート ]、および [PDF サマリー レポート ])は、
ウィンドウの右側にある各セクションにまとめられています。
ステップ 2
表示するレポートを選択します。レポートを選択すると、前日のレポートが画面に表示さ
れます。
過去のいずれかの日のレポートを表示するには、ページの下部にあるカレンダーから選択
可能な日付を選択し、同じセクション内のレポートを選択します。セクションを切り替え
ると、時間選択はリセットされます。
レポートとログ
253
レポートの管理
レポートとログ
レポートの表示(続き)
ステップ 3
254
レポートをオフラインで表示するには、レポートを PDF、CSV、または XML 形式にエクス
ポートします。ページの下部で、[PDF にエクスポート]、[CSV にエクスポート]、または [XML
にエクスポート ] をクリックします。次にファイルを印刷または保存します。
レポートとログ
レポートとログ
レポートの管理
事前定義済みレポートを無効にする
ファイアウォールにはおよそ 40 種類の事前定義済みレポートが用意されており、それらが毎日
自動的に生成されます。これらの事前定義済みレポートの一部またはすべてを使用しない場合
は、選択したレポートを無効にして、ファイアウォールのシステム リソースを節約できます。
1 つ以上の事前定義済みレポートを無効にする前に、グループ レポートまたは PDF レポートに
そのレポートが含まれていないことを確認してください。グループ レポートまたは PDF レポー
トに無効にされた事前定義済みレポートが含まれている場合は、そのグループ /PDF レポート
はデータなしで表示されます。
事前定義済みレポートを無効にする
1.
[Device] > [ セットアップ ] > [ 管理 ] の順に選択します。
2.
[ ロギングおよびレポート設定 ] セクションで編集アイコンをクリックし、[ ログのエクスポートとレ
ポート ] タブを選択します。
3.
レポートを無効にするには、以下の手順を実行します。
• 削除する各レポートに対応するチェック ボックスをクリアします。
• [ すべての選択を解除 ] を選択して、事前定義済みレポートをすべて無効にします。
4.
[OK] をクリックし、変更をコミットします。
レポートとログ
255
レポートの管理
レポートとログ
カスタム レポートの生成
目的に合ったカスタム レポートを作成するため、取得および分析する情報の属性や重要な項目
について検討する必要があります。検討の結果を踏まえて、カスタム レポートで以下の選択を
行います。
選択対象
説明
データ送信元
レポートの生成に使用するデータ ファイル。ファイアウォールでは、サ
マリー データベースと詳細ログの 2 つのタイプのデータ送信元を選択でき
ます。
• サマリー データベースは、トラフィック、脅威、およびアプリケーショ
ン統計のために利用できます。ファイアウォールは、トラフィック、
アプリケーション、および脅威に関する詳細ログを 15 分間隔で集約し
ます。データは、レポート生成時の応答時間を高速化できるよう集約
されます(重複セッションはグループ化され、繰り返し回数が増えま
す。また、一部の属性や列はサマリーに含まれません)。
• 詳細ログは、項目別に記録された、ログ エントリに関係するすべての属
性(または列)の完全なリストです。詳細ログに基づいたレポートは実
行に時間がかかるため、絶対に必要な場合にのみ使用してください。
属性
一致条件として使用する列。属性は、レポートで選択可能な列です。[ 使
用可能な列] のリストから、データを照合し、詳細情報を集約する([選択
した列 ])ために選択基準を追加することができます。
ソート基準/グループ化 [ ソート基準 ] および [ グループ化基準 ] により、レポートのデータを整理 /
基準
セグメント化できます。使用可能なソートおよびグループ化の属性は、選
択したデータ ソースに応じて異なります。
[ ソート基準 ] オプションでは、集約で使用する属性を指定します。ソート
基準にする属性を選択しないと、レポートには集約情報なしで最初の
N 件の結果が返されます。
[ グループ化基準 ] オプションにより、属性を選択し、その属性をデータを
グループ化する場合のアンカーとして使用できます。レポート内のすべて
のデータは、トップ 5、10、25、または 50 件のグループのセットで表示さ
れます。たとえば、[ グループ化基準 ] として [ 時間 ] を選択し、24 時間に
おけるトップ 25 件のグループを表示する場合、レポートの結果は 24 時間
にわたり 1 時間単位で生成されます。レポートの最初の列は時間、それ以
降の列は、管理者が選択したその他のレポート列です。
256
レポートとログ
レポートとログ
選択対象
レポートの管理
説明
以下の例は、レポートを生成するときに、[ 選択した列 ] および [ ソート基
準 ] / [ グループ化基準 ] の基準がどのように関係するのかを示しています。
赤い円(上図)で囲まれた列は選択された列を示しています。これらの列
は、レポートの生成で照合される属性です。データ ソースの各ログ エン
トリが解析され、これらの列が照合されます。選択した列について複数の
セッションが同じ値を示す場合、それらのセッションは集約され、繰り返
し回数(またはセッション数)が増えます。
青の円で囲まれた列は、選択されたソート順序を示します。ソート順序
([ ソート基準 ])を指定すると、データは選択した属性を基準にしてソー
ト(および集約)されます。
緑の円で囲まれた列は、[グループ化基準] の選択を示し、レポートのアン
カーとして使用されます。[ グループ化基準 ] 列は、トップ N 件のグルー
プをフィルタリングするための適合基準として使用されます。次に、トッ
プ N 件のグループのそれぞれについて、他のすべての選択した列の値が
レポートに列挙されます。
レポートとログ
257
レポートの管理
選択対象
レポートとログ
説明
たとえば、レポートで以下のように選択されているとします。
出力は以下のように表示されます。
レポートは [ 日 ] によってアンカーされ、[ セッション ] 別にソートされます。5 日分([5 グループ ])
がリストに表示され、[ 過去 7 日間 ] の期間における最大トラフィックが表示されます。データは、
選択した列([ カテゴリの追加 ]、[ サプリケーション サブカテゴリ ]、および [ リスク ])について、
各日の [ トップ 5] セッション別に列挙されます
期間
データを分析するときの日付範囲。カスタム範囲を定義するか、過去
15 分~過去 30 日の範囲で期間を選択できます。レポート生成は、オンデ
マンドで実行するか、スケジュール設定して毎日または毎週単位で実行で
きます。
クエリ ビルダー
クエリ ビルダーにより、特定のクエリを定義して、選択した属性をさら
に絞り込むことができます。[and] および [or] 演算子を使用してレポート
で必要なもののみを表示し、次に、レポートのクエリに適合する、または
クエリを否定するデータを、含めたり除外したりできます。クエリを使用
することで、より焦点を絞り込んだレポートを生成できます。
258
レポートとログ
レポートとログ
レポートの管理
カスタム レポートの生成
1.
2.
3.
[Monitor] > [ カスタム レポートの管理 ] の順に選択します。
[ 追加 ] をクリックし、レポートの [ 名前 ] を入力します。
事前定義済みテンプレートに基づいてレポートを作成するには、[ テンプレートのロード ] を
クリックして、テンプレートを選択します。そのテンプレートを編集し、カスタム レポートと
して保存できます。
レポートで使用するデータベースを選択します。
カスタム レポートを作成するごとに、ログ ビュー レポートが自動的に生成されます。このレポー
トには、カスタム レポートを作成するのに使用されたログが表示されます。ログ ビュー レポート
では、カスタム レポートと同じ名前が使用されますが、フレーズ(「ログ ビュー」)がレポート名
に付加されます。
レポート グループを作成するときに、カスタム レポートと一緒にログ ビュー レポートを含める
ことができます。詳細は、「レポート グループの管理」を参照してください。
レポートを毎晩実行する場合は、[ スケジュール設定 ] チェック ボックスをオンにします。サイドの
[ レポート ] 列でレポートが表示可能になります。
5. フィルタリング基準を定義します。[ 期間 ]、[ ソート基準 ] の順序、[ グループ化基準 ] の設定を選
択し、レポートに表示する列を選択します。
6. (任意)選択基準をさらに絞り込む場合は、[ クエリ ビルダー ] 属性を選択します。レポート クエリ
を作成するには、以下を指定して、[ 追加 ] をクリックします。クエリが完成するまで、繰り返します。
• 結合子 — 追加する式の前に置く結合子 (and/or) を選択します。
• Negate — クエリを否定(除外)として解釈させるには、このチェック ボックスをオンにします。
たとえば、過去 24 時間のエントリまたは Untrust ゾーンからのエントリを照合するように選択する
場合に、[Negate] オプションを有効にすると、過去 24 時間以内ではなく、かつ Untrust ゾーンから
ではないエントリが一致します。
• 属性 — データ要素を選択します。使用可能なオプションは、選択したデータベースによって異な
ります。
• 演算子 — 属性が適用されるかどうかを決定する基準を選択します(= など)。使用可能なオプショ
ンは、選択したデータベースによって異なります。
• 値 — 照合する属性値を指定します。
たとえば、(トラフィック ログ データベースに基づいた)以下の図は、トラフィック ログ エント
リが過去 24 時間以内に「untrust」ゾーンから受け取られた場合に一致するクエリを示しています。
4.
7.
8.
レポート設定をテストするには、[ 今すぐ実行 ] を選択します。必要に応じて設定を変更し、レポー
トに表示する情報を変更します。
[OK] をクリックしてカスタム レポートを保存します。
レポートとログ
259
レポートの管理
レポートとログ
カスタム レポートの生成(続き)
カスタム レポートの例
ここで、過去 30 日間のトラフィック サマリー データベースを使用する簡単なレポートをセッ
トアップするとします。トップ 10 件のセッションごとにデータをソートし、これらのセッショ
ンを週の曜日ごとに 5 つのグループにグループ化します。この場合、以下のようにカスタム レ
ポートをセットアップします。
また、レポートの PDF 出力は以下のようになります。
260
レポートとログ
レポートとログ
レポートの管理
カスタム レポートの生成(続き)
クエリ ビルダーを使用して、
ユーザー グループ内のネットワーク リソースの上位消費ユーザー
を表示するカスタム レポートを生成する場合は、以下のようにカスタム レポートをセットアッ
プします。
このレポートには、製品管理ユーザー グループ内の上位ユーザーが、以下のようにバイト数を
基準にソートされて表示されます。
レポートとログ
261
レポートの管理
レポートとログ
ボットネット レポートの生成
ボットネット レポート機能により、振る舞いベースのメカニズムを使用して、ネットワーク内
でボットネットに感染した可能性のあるホストを特定することができます。脅威を評価するた
め、ファイアウォールでは、ユーザー/ ネットワークのアクティビティに関するデータを記録し
た、脅威、URL、およびデータ フィルタリングの各ログを使用し、PAN-DB のマルウェア URL、
既知のダイナミック DNS プロバイダ、および最近登録されたドメインのリストに照会します。
ファイアウォールでは、これらのデータ送信元を使用して、マルウェア サイトおよびダイナ
ミック DNS サイトを訪問したホスト、最近(過去 30 日以内)登録されたドメイン、および使
用された不明なアプリケーションを解析して識別し、IRC (Internet Relay Chat) トラフィックを探
します。
基準に適合するホストには、1 から 5 の確度スコアが割り当てられ、ボットネット感染の確度が
示されます(1 は最低の感染確度、5 は最高の感染確度)。振る舞いベースの検出メカニズムで
は、24 時間、複数のログ間でトラフィックを解析する必要があるため、ファイアウォールは、
スコアに基づいてソートされたホストのリストを含むレポートを 24 時間ごとに生成します。

ボットネット レポートの設定

ボットネット レポートの生成
ボットネット レポートの設定
これらの設定を使用して、ボットネットのアクティビティを示唆する可能性がある疑わしいト
ラフィックのタイプを指定します。
ボットネット レポートの設定
1.
[Monitor] > [ボットネット] の順に選択し、ページの右側にある [設定] ボタンをクリックします。
2.
HTTP トラフィックの場合は、レポートに含めるイベントの [ 有効化 ] チェック ボックスをオンにし
ます。
• マルウェア URL へのアクセス — マルウェアおよびボットネットの URL のフィルタリング カテゴ
リに基づき、既知のマルウェア URL に対して通信しているユーザーを特定します。
• 動的 DNS の使用 — ボットネット通信を示す可能性のある動的 DNS クエリ トラフィックを検索し
ます。
• IP ドメインを参照 — URL ではなく、IP ドメインを参照するユーザーを特定します。
• 最近登録されたドメインを参照 — 過去 30 日以内に登録されたドメイン名を持つサイトへのトラ
フィックを検索します。
• 不明サイトからの実行可能ファイル — 未知の URL サイトから実行形式のファイルをダウンロード
された通信を特定します。
262
レポートとログ
レポートとログ
レポートの管理
ボットネット レポートの設定(続き)
3.
[ 不明なアプリケーション ] の場合は、[Unknown TCP] または [Unknown UDP] のアプリケーションを
「疑わしい」として選択し、以下の情報を指定します。
• 1 時間あたりのセッション — 不明なアプリケーションによる 1 時間あたりのアプリケーション セッ
ション数。
• 1 時間あたりの宛先数 — 不明なアプリケーションによる 1 時間あたりの宛先数。
• 最小バイト — 最小ペイロード サイズ。
• 最大バイト — 最大ペイロード サイズ。
4.
IRC サーバーを疑わしいものとして対象に含める場合、このチェック ボックスをオンにします。IRC
サーバーは、多くの場合、自動化機能でボットを使用します。
ボットネット レポートの生成
ボットネット レポートを設定後、レポート クエリを指定してボットネット分析レポートを生成
します。クエリ ビルダーにより、送信元または宛先の IP アドレス、ユーザー、ゾーン、イン
ターフェイス、領域、または国などの属性を含めたり、または除外したりして、レポートの結
果をフィルタリングできます。
ボットネット レポートは、自動スケジュールにより 1 日に 1 回自動的に生成されます。また、
レポート クエリを定義するウィンドウで、[ 今すぐ実行 ] をクリックして、過去 24 時間または
前日(24 時間)のレポートを生成および表示することもできます。生成されたレポートは、
[Monitor] > [ ボットネット ] に表示されます。
ボットネット レポートを管理するには、画面の右側にある [ レポート設定 ] ボタンをクリックし
ます。
レポートをエクスポートするには、レポートを選択して、[PDF にエクスポート] または [CSV に
エクスポート ] をクリックします。
ボットネット レポートの生成
1.
[ ランタイム フレームのテスト ] で、レポートの時間間隔を選択します(過去 24 時間または前日
の 1 日)。
2.
レポートに含める [ 行数 ] を選択します。
3.
レポートを毎日実行するには、[ スケジュール設定 ] を選択します。あるいは、[ ボットネット レ
ポート ] ウィンドウの上部にある [ 今すぐ実行 ] ボタンをクリックしてレポートを手動で実行す
ることもできます。
レポートとログ
263
レポートの管理
レポートとログ
ボットネット レポートの生成(続き)
4.
以下を指定してレポート クエリを作成し、[ 追加 ] をクリックして、設定した式をクエリ(レポー
ト作成フィルタ条件)に追加します。クエリが完成するまで繰り返します。
• 結合子 — 論理結合子 (AND/OR) を指定します。
• 属性 — 送信元または宛先のゾーン、アドレス、またはユーザーを指定します。
• 演算子 — 属性を値に関連付ける演算子を指定します。
• 値 — 照合する値を指定します。
5.
指定したクエリ条件の否定を適用するには、[Negate] を選択します。これによりレポートには、
定義したクエリの結果以外のすべての情報が含まれます。
6.
変更を [ コミット ] します。
264
レポートとログ
レポートとログ
レポートの管理
PDF サマリー レポートの管理
PDF サマリー レポートには、各カテゴリの上位 5 件(上位 50 件ではない)のデータに基づき、
既存のレポートから集められた情報が含まれています。このレポートには、別のレポートでは
表示されないトレンド チャートも表示されます。
PDF サマリー レポートの生成
ステップ 1
[PDF サマリー レポート] をセッ 1.
トアップします。
[Monitor] > [PDF レポート ] > [PDF サマリーの管理 ] の
順に選択します。
2.
[追加] をクリックし、レポートの [名前] を入力します。
3.
各レポート グループのドロップダウンを使用し、1 つ
以上の要素を選択して、PDF サマリー レポートを設計
します。最大 18 個のレポート要素を含めることができ
ます。
• レポートから要素を削除するには、x アイコンをク
リックするか、該当するレポート グループのドロッ
プダウンから選択をクリアします。
• レポートを再配列するには、アイコンをレポートの
別のエリアにドラッグしてドロップします。
レポートとログ
4.
[OK] をクリックしてレポートを保存します。
5.
変更を [ コミット ] します。
265
レポートの管理
レポートとログ
PDF サマリー レポートの生成(続き)
ステップ 2
266
レポートを表示します。
PDF サマリー レポートをダウンロードして表示するに
は、「レポートの表示」を参照してください。
レポートとログ
レポートとログ
レポートの管理
ユーザー/ グループ アクティビティ レポートの生成
ユーザー/ グループ アクティビティ レポートには、個々のユーザーまたはユーザー グループの
Web アクティビティが要約されます。両方のレポートには同じ情報が含まれています。ただ
し、い く つ かの 例 外が あ り、[URL カ テ ゴリ 別 ブラ ウ ザ サマ リ ー] お よび [Browse time
calculations] はユーザー アクティビティ レポートに含まれていますが、グループ アクティビ
ティ レポートには含まれていません。
ユーザー/ ユーザー グループのリストにアクセスするため、ファイアウォールで「User-ID」を
設定する必要があります。
ユーザー/ グループ アクティビティ レポートの生成
1.
[Monitor] > [PDF レポート ] > [ ユーザー アクティビティ レポート ] の順に選択します。
2.
[ 追加 ] をクリックし、レポートの [ 名前 ] を入力します。
3.
レポートを作成します。
• ユーザー アクティビティ レポートの場合 : [ ユーザー] を選択し、レポートの対象となるユーザー
の [ ユーザー名 ] または [IP アドレス ](IPv4 または IPv6)を入力します。
• グループ アクティビティ レポートの場合 : [ グループ ] を選択し、レポートでユーザー グループ情
報を取得する対象の [ グループ名 ] を選択します。
4.
ドロップダウンからレポートの期間を選択します。
ユーザー アクティビティ レポートで分析されるログの数は、[Device] > [ セットアップ ] > [ 管
理 ] の [ ロギングおよびレポート設定 ] セクションの [ ユーザー アクティビティ レポートの最
大行数 ] で定義される行数によって決まります。
5.
レポートに詳細な URL ログを含めるには、[Include Detailed Browsing] をオンにします。
詳細な閲覧情報には、選択したユーザーまたはユーザー グループの大量の(何千もの)ログが含ま
れる可能性があり、その結果、レポートが非常に大きくなる可能性があります。
6.
オンデマンドでレポートを実行するには、[ 今すぐ実行 ] をクリックします。
7.
レポートを保存するには、[OK] をクリックします。ユーザー/ グループ アクティビティ レポートを
ファイアウォールに保存することはできません。レポートの電子メール配信をスケジュール設定す
るには、「電子メールで配信するレポートのスケジュール設定」を参照してください。
レポート グループの管理
レポート グループを使用すると、レポートのセットを作成できます。システムはそのレポート
のセットをまとめ、オプションのタイトル ページとすべての構成レポートが含まれる 1 つの集
約された PDF レポートを送信することができます。
レポートとログ
267
レポートの管理
レポートとログ
レポート グループのセットアップ
ステップ 1
レポート グループをセットアッ 1.
プします。
レポートを電子メールで 2.
送信するためのレポート
グループをセットアップ
する必要があります。
使用している電子メール サーバーのサーバー プロファ
イルを作成します。
[ レポート グループ ] を定義します。レポート グルー
プでは、事前定義済みレポート、PDF サマリー レポー
ト、カスタム レポート、およびログ ビュー レポート
を 1 つの PDF にまとめることができます。
a. [Monitor] > [レポート グループ] の順に選択します。
b. [ 追加 ] をクリックし、レポート グループの [ 名前 ]
を入力します。
c. (任意)[ タイトル ページ ] を選択して、PDF 出力
の [ タイトル ] を追加します。
d. レポートグループに含めるレポートを左側の列から
選択して [ 追加 ] をクリックし、各レポートを右側の
レポート グループに移動します。
ログ ビュー レポートは、カスタム レポートを作成
するたびに自動的に作成されるレポート タイプで、
カスタム レポートと同じ名前が使用されます。この
レポートには、カスタム レポートの内容を作成する
ために使用されたログが表示されます。
ログ ビュー データを含めるには、レポート グルー
プを作成するときに [ カスタム レポート ] リストに
カスタム レポートを追加し、次に [ ログ ビュー] リ
ストから一致するレポート名を選択してログ ビュー
レポートを追加します。レポートには、カスタム レ
ポート データと、カスタム レポートの生成に使用
されたログ データが含まれています。
e. [OK] をクリックして設定を保存します。
f. レポート グループを使用するには、「電子メールで
配信するレポートのスケジュール設定」を参照して
ください。
268
レポートとログ
レポートとログ
レポートの管理
電子メールで配信するレポートのスケジュール設定
レポートは、毎日配信されるか、特定の曜日に毎週配信されるようにスケジュール設定するこ
とができます。スケジュール設定されたレポートの実行は午前 2 時に開始され、スケジュール
設定されたすべてのレポートが生成された後に電子メール配信が開始されます。
電子メールで配信するレポートのスケジュール設定
1.
[Monitor] > [PDF レポート ] > [ 電子メール スケジューラ ] を選択します。
2.
電子メールで配信する [ レポート グループ ] を選択します。レポート グループをセットアップする
には、「レポート グループの管理」を参照してください。
3.
[ 繰り返し ] では、レポートを生成して送信する頻度を選択します。
4.
レポートの配信時に使用する電子メール サーバー プロファイルを選択します。電子メール サーバー
プロファイルをセットアップするには、「使用している電子メール サーバーのサーバー プロファイ
ルを作成します。」を参照してください。
5.
[ 受信者電子メール アドレスのオーバーライド ] フィールドには、独占的にレポートを送信する受信
者を指定できます。[ 受信者電子メール アドレスのオーバーライド ] に受信者を追加すると、そのレ
ポートは、電子メール サーバー プロファイルで設定されている受信者には送信されません。このオ
プションは、電子メール サーバー プロファイルで定義されている管理者または受信者以外の受信者
の注意を喚起する場合に使用します。
レポートとログ
269
Syslog フィールドの説明
レポートとログ
Syslog フィールドの説明
以下は、外部サーバーに転送される 5 つのログ タイプそれぞれの標準的なフィールドの一覧で
す。解析しやすくするため、カンマを区切り文字としており、各フィールドはカンマ区切り値
(CSV) の文字列になっています。FUTURE_USE タグは、デバイスで現在実装されていない
フィールドに適用されます。
WildFire ログは、脅威ログのサブタイプで、同じ Syslog フォーマットを使用します。

トラフィック ログ

脅威ログ

HIP マッチ ログ

設定ログ

システム ログ

Syslog の重大度

カスタム ログ / イベントのフォーマット

エスケープ シーケンス
トラフィック ログ
フォーマット : FUTURE_USE、受信日時、シリアル番号、タイプ、サブタイプ、FUTURE_USE、
生成日時、送信元 IP、宛先 IP、NAT 送信元 IP、NAT 宛先 IP、ルール名、送信元ユーザー、宛
先ユーザー、アプリケーション、仮想システム、送信元ゾーン、宛先ゾーン、入力インター
フェイス、出力インターフェイス、ログ転送プロファイル、FUTURE_USE、セッション ID、繰
り返し回数、送信元ポート、宛先ポート、NAT 送信元ポート、NAT 宛先ポート、フラグ、プロ
トコル、アクション、バイト、送信済みバイト、受信済みバイト、パケット、開始時間、経過
時間、カテゴリ、FUTURE_USE、シーケンス番号、アクション フラグ、送信元の場所、宛先の
場所、FUTURE_USE、送信したパケット、受信したパケット、セッション終了理由 *
フィールド名
説明
受信時間 (receive_time)
管理プレーンでログが受信された時間。
シリアル番号 (serial)
ログを生成したデバイスのシリアル番号。
タイプ (type)
ログのタイプを指定します。値は、「traffic」、「threat」、「config」、
「system」、「hip-match」です。
270
レポートとログ
レポートとログ
Syslog フィールドの説明
フィールド名
説明
サブタイプ (subtype)
トラフィック ログのサブタイプ。値は、「start」、「end」、「drop」、
「deny」です。
• start — セッションが開始しました
• end — セッションが終了しました
• drop — アプリケーションが特定される前にセッションが廃棄され、
そのセッションを許可するルールがありません。
• deny — アプリケーションが特定された後にセッションが廃棄され、
そのセッションをブロックするルールがあるか、セッションを許
可するルールがありません。
生成日時 (time_generated)
データプレーンでログが生成された日時
送信元 IP (src)
元のセッションの送信元 IP アドレス
宛先 IP (dst)
元のセッションの宛先 IP アドレス
NAT 送信元 IP (natsrc)
送信元 NAT が実行された場合は、NAT 後の送信元 IP アドレス
NAT 宛先 IP (natdst)
宛先 NAT が実行された場合は、NAT 後の宛先 IP アドレス
ルール名 (rule)
セッションで一致したルールの名前
送信元ユーザー (srcuser)
セッションを開始したユーザーのユーザー名
宛先ユーザー (dstuser)
セッションの宛先となったユーザーのユーザー名
アプリケーション (app)
セッションに関連付けられたアプリケーション
仮想システム (vsys)
セッションに関連付けられた仮想システム
送信元ゾーン (from)
セッションの送信元となったゾーン
宛先ゾーン (to)
セッションの宛先となったゾーン
入力インターフェイス (inbound_if) セッションの送信元となったインターフェイス
出力インターフェイス (outbound_if) セッションの宛先となったインターフェイス
ログ転送プロファイル (logset)
セッションに適用されたログ転送プロファイル
セッション ID (sessionid)
各セッションに適用された内部の数値識別子
繰り返し回数 (repeatcnt)
5 秒以内に開始された、送信元 IP、宛先 IP、アプリケーション、サ
ブタイプが同じになっているログの数。ICMP のみで使用されます。
送信元ポート (sport)
セッションで使用された送信元ポート
宛先ポート (dport)
セッションで使用された宛先ポート
NAT 送信元ポート (natsport)
NAT 後の送信元ポート
NAT 宛先ポート (natdport)
NAT 後の宛先ポート
レポートとログ
271
Syslog フィールドの説明
レポートとログ
フィールド名
説明
フラグ (flags)
セッションに関する詳細を示す 32 ビット フィールド。このフィール
ドは、以下のように、その値とログに記録されている値を AND 演算
することによってデコードできます。
• 0x80000000 — セッションにパケット キャプチャがあります (PCAP)
• 0x02000000 — IPv6 セッション
• 0x01000000 — SSL セッションが復号化された(SSL プロキシ)
• 0x00800000 — セッションが URL フィルタリングによって拒否され
ました
• 0x00400000 — セッションで NAT 変換が実行されました (NAT)
• 0x00200000 — セッションのユーザー情報がキャプティブ ポータル
によってキャプチャされました(キャプティブ ポータル)
• 0x00080000 — プロキシからの X-Forwarded-For 値は送信元ユーザー
フィールドにあります
• 0x00040000 — ログは http プロキシ セッション内のトランザクショ
ンに対応します(プロキシ トランザクション)
• 0x00008000 — セッションはコンテナ ページ アクセスです(コンテ
ナ ページ)
• 0x00002000 — セッションに、暗黙的なアプリケーションの依存関係
処理のルールでの一時的な一致があります。PAN-OS 5.0.0 以降で
使用できます
• 0x00000800 — このセッションのトラフィックを転送するために対称
リターンが使用されました
プロトコル (proto)
セッションに関連付けられた IP プロトコル
アクション (action)
セッションで実行されたアクション。値は「allow」または「deny」
です
• allow — セッションはポリシーによって許可されました
• deny — セッションはポリシーによって拒否されました
バイト (bytes)
セッションの合計バイト数(送受信)
送信済みバイト (bytes_sent)
セッションのクライアントからサーバー方向へのバイト数
PA-4000 シリーズ以外のすべてのモデルで使用できます
受信済みバイト (bytes_received)
セッションのサーバーからクライアント方向へのバイト数
PA-4000 シリーズ以外のすべてのモデルで使用できます
パケット (packets)
セッションの合計パケット数(送受信)
開始時間 (start)
セッションの開始日時
経過時間 (elapsed)
セッションの経過時間
カテゴリ (category)
セッションに関連付けられた URL カテゴリ(該当する場合)
272
レポートとログ
レポートとログ
Syslog フィールドの説明
フィールド名
説明
シーケンス番号 (seqno)
順次増分される 64 ビットのログ エントリ識別子。各ログ タイプに
は、一意の番号空間があります。このフィールドは、PA-7050 のファ
イアウォールではサポートされていません。
アクション フラグ (actionflags)
ログが Panorama に転送されたかどうかを示すビット フィールド
送信元の場所 (srcloc)
プライベート アドレスの送信元の国または内部領域。最大長は 32 バ
イトです
宛先の場所 (dstloc)
プライベート アドレスの宛先の国または国内地域。最大長は 32 バイ
トです
送信されたパケット (pkts_sent)
セッションのクライアントからサーバーへのパケットの数
PA-4000 シリーズ以外のすべてのモデルで使用できます
受信したパケット (pkts_received)
セッションのサーバーからクライアントへのパケットの数
PA-4000 シリーズ以外のすべてのモデルで使用できます
レポートとログ
273
Syslog フィールドの説明
レポートとログ
フィールド名
説明
セッション終了理由
(session_end_reason)
セ ッ シ ョ ン が 終 了 し た 理 由。複 数 の 原 因 で 終 了 し た 場 合、こ の
フィールドには優先度が最も高い理由のみが表示されます。有効な
セッション終了理由の値は、優先度の高い順に以下のとおりです。
v6.1 での新機能
• threat — ファイアウォールが、リセット、ドロップ、またはブロック
(IP アドレス)アクションに関連付けられた脅威を検出しました。
• policy-deny — セッションが、拒否またはドロップ アクションが指定
されたセキュリティ ポリシーと一致しました。
• tcp-rst-from-client — クライアントが TCP リセットをサーバーに送
信しました。
• tcp-rst-from-server — サーバーが TCP リセットをクライアントに送
信しました。
• resources-unavailable — システム リソース制限が原因でセッションが
ドロップしました。たとえば、セッションの順序外パケット数
が、フローまたはグローバル順序外パケット キューごとに許容さ
れる数を超えた場合などが考えられます。
• tcp-fin — 接続の一方または両方のホストが TCP FIN メッセージを
送信してセッションを閉じました。
• tcp-reuse — セッションが再利用され、ファイアウォールが前のセッ
ションを閉じました。
• decoder — デコーダがプロトコル内で新しい接続を検出し(HTTP-Proxy
など)、前の接続を終了しました。
• aged-out — セッションがエージアウトしました。
• unknown — この値は、以下の状況に適用されます。
• 上記の理由が適用されないセッションの終了(たとえば、
clear session all コマンド)。
• セッション終了理由フィールドをサポートしない PAN-OS リリー
ス(PAN-OS 6.1 よ り前 の リリ ー ス)で 生成 さ れた ロ グ の場
合、最新の PAN-OS リリースへのアップグレード後、またはロ
グがファイアウォールにロードされると、値は unknown になり
ます。
• Panorama では、セッション終了理由をサポートしない PAN-OS
バージョンのファイアウォールから受信したログの値は、
unknown になります。
• n/a — この値は、トラフィック ログのタイプが end 以外の場合に適
用されます。
274
レポートとログ
レポートとログ
Syslog フィールドの説明
脅威ログ
フォーマット : FUTURE_USE、受信日時、シリアル番号、タイプ、サブタイプ、FUTURE_USE、
生成日時、送信元 IP、宛先 IP、NAT 送信元 IP、NAT 宛先 IP、ルール名、送信元ユーザー、宛先
ユーザー、アプリケーション、仮想システム、送信元ゾーン、宛先ゾーン、入力インターフェ
イス、出力インターフェイス、ログ転送プロファイル、FUTURE_USE、セッション ID、繰り返
し回数、送信元ポート、宛先ポート、NAT 送信元ポート、NAT 宛先ポート、フラグ、プロトコ
ル、アクション、その他、脅威 ID、カテゴリ、重大度、方向、シーケンス番号、アクション フ
ラグ、送信元の場所、宛先の場所、FUTURE_USE、コンテンツ タイプ、PCAP_id、Filedigest、ク
ラウド、FUTURE_USE、ユーザー エージェント *、ファイル タイプ *、X-Forwarded-For*、
Referer*、送信者 *、サブジェクト *、受信者 *、レポート ID*
フィールド名
説明
受信時間 (receive_time)
管理プレーンでログが受信された時間。
シリアル番号 (serial)
ログを生成したデバイスのシリアル番号。
タイプ (type)
ログのタイプを指定します。値は、「traffic」、「threat」、「config」、
「system」、「hip-match」です
サブタイプ (subtype)
脅 威 ロ グ の サ ブ タ イ プ。値 は「URL」、「virus」、「spyware」、
「vulnerability」、「file」、「scan」、「flood」、「data」、「wildfire」です。
• url — URL フィルタリング ログ
• virus — ウイルス検出
• spyware — スパイウェア検出
• vulnerability — 脆弱性悪用検出
• file — ファイル タイプ ログ
• scan — ゾーン プロテクション プロファイルによって検出されたスキャン
• flood — ゾーン プロテクション プロファイルによって検出されたフラッド
• data — データ フィルタリング プロファイルから検出されたデータ パ
ターン
• wildfire — WildFire ログ
生成日時 (time_generated)
データプレーンでログが生成された日時
送信元 IP (src)
元のセッションの送信元 IP アドレス
宛先 IP (dst)
元のセッションの宛先 IP アドレス
NAT 送信元 IP (natsrc)
送信元 NAT が実行された場合は、NAT 後の送信元 IP アドレス
NAT 宛先 IP (natdst)
宛先 NAT が実行された場合は、NAT 後の宛先 IP アドレス
ルール名 (rule)
セッションで一致したルールの名前
送信元ユーザー (srcuser)
セッションを開始したユーザーのユーザー名
宛先ユーザー (dstuser)
セッションの宛先となったユーザーのユーザー名
レポートとログ
275
Syslog フィールドの説明
レポートとログ
フィールド名
説明
アプリケーション (app)
セッションに関連付けられたアプリケーション
仮想システム (vsys)
セッションに関連付けられた仮想システム
送信元ゾーン (from)
セッションの送信元となったゾーン
宛先ゾーン (to)
セッションの宛先となったゾーン
入力インターフェイス
セッションの送信元となったインターフェイス
(inbound_if)
出力インターフェイス
セッションの宛先となったインターフェイス
(outbound_if)
ログ転送プロファイル
セッションに適用されたログ転送プロファイル
(logset)
セッション ID (sessionid)
各セッションに適用された内部の数値識別子
繰り返し回数 (repeatcnt)
5 秒以内に開始された、送信元 IP、宛先 IP、アプリケーション、サブタイ
プが同じになっているログの数。ICMP のみで使用されます。
送信元ポート (sport)
セッションで使用された送信元ポート
宛先ポート (dport)
セッションで使用された宛先ポート
NAT 送信元ポート (natsport) NAT 後の送信元ポート
NAT 宛先ポート (natdport)
276
NAT 後の宛先ポート
レポートとログ
レポートとログ
Syslog フィールドの説明
フィールド名
説明
フラグ (flags)
セッションに関する詳細を示す 32 ビット フィールド。このフィールド
は、以下のように、その値とログに記録されている値を AND 演算するこ
とによってデコードできます。
• 0x80000000 — セッションにパケット キャプチャがあります (PCAP)
• 0x02000000 — IPv6 セッション
• 0x01000000 — SSL セッションが復号化された(SSL プロキシ)
• 0x00800000 — セッションが URL フィルタリングによって拒否されました
• 0x00400000 — セッションで NAT 変換が実行されました (NAT)
• 0x00200000 — セッションのユーザー情報がキャプティブ ポータルによっ
てキャプチャされました(キャプティブ ポータル)
• 0x00080000 — プロキシからの X-Forwarded-For 値は送信元ユーザー フィー
ルドにあります
• 0x00040000 — ログは http プロキシ セッション内のトランザクションに
対応します(プロキシ トランザクション)
• 0x00008000 — セッションはコンテナ ページ アクセスです(コンテナ
ページ)
• 0x00002000 — セッションに、暗黙的なアプリケーションの依存関係処理
のルールでの一時的な一致があります。PAN-OS 5.0.0 以降で使用できます
• 0x00000800 — このセッションのトラフィックを転送するために対称リター
ンが使用されました
プロトコル (proto)
セッションに関連付けられた IP プロトコル
アクション (action)
セ ッ シ ョ ン で 実 行 さ れ た ア ク シ ョ ン。値 は、「alert」、「allow」、
「deny」、「drop」、「drop-all-packets」、「reset-client」、「reset-server」、
「reset-both」、「block-url」です。
• alert — 脅威または URL が検出されましたが、ブロックされていません
• allow — フラッド検出アラート
• deny — フラッド検出メカニズムがアクティブにされ、設定に基づいてト
ラフィックを拒否します
• drop — 脅威が検出され、関連付けられたセッションが廃棄されました
• drop-all-packets — 脅威が検出されてセッションは残されましたが、すべ
てのパケットを破棄します
• reset-client — 脅威が検出され、TCP RST がクライアントに送信されました
• reset-server — 脅威が検出され、TCP RST がサーバーに送信されました
• reset-both — 脅威が検出され、TCP RST がクライアントとサーバーの両
方に送信されました
• block-url — ブロックするように設定された URL カテゴリで照合が行われ
たため、URL 要求がブロックされました
レポートとログ
277
Syslog フィールドの説明
レポートとログ
フィールド名
説明
その他 (misc)
変数長が最大で 1023 文字のフィールド
サブタイプが url の場合の実際の URI
サブタイプが file の場合のファイル名またはファイル タイプ
サブタイプが virus の場合のファイル名
サブタイプが wildfire の場合のファイル名
脅威 ID (threatid)
脅威の Palo Alto Networks 識別子。一部のサブタイプでは、説明の文字列に
かっこで囲んだ 64 ビットの数値識別子が続きます。
• 8000 ~ 8099 — スキャン検出
• 8500 ~ 8599 — フラッド検出
• 9999 — URL フィルタリング ログ
• 10000 ~ 19999 — スパイウェア フォンホーム検出
• 20000 ~ 29999 — スパイウェア ダウンロード検出
• 30000 ~ 44999 — 脆弱性悪用検出
• 52000 ~ 52999 — ファイルタイプ検出
• 60000 ~ 69999 — データ フィルタリング検出
• 100000 ~ 2999999 — ウイルス検出
• 3000000 ~ 3999999 — WildFire シグネチャ フィード
• 4000000 ~ 4999999 — DNS ボットネット シグネチャ
カテゴリ (category)
URL サブタイプの場合は URL カテゴリ、WildFire サブタイプの場合はファ
イルの判定(「malicious」または「benign」)です。その他のサブタイプ
の場合、値は「any」です。
重大度 (severity)
脅 威 に 関 連 付 け ら れ た 重 大 度。値 は、「informational」、「low」、
「medium」、「high」、「critical」です。
方向 (direction)
攻撃の方向(「クライアントからサーバーへ」、または「サーバーからク
ライアントへ」)を示します
• 0 — 脅威の方向はクライアントからサーバーへ
• 1 — 脅威の方向はサーバーからクライアントへ
シーケンス番号 (seqno)
順次増分される 64 ビットのログ エントリ識別子。各ログ タイプには、一
意の番号空間があります。このフィールドは、PA-7050 のファイアウォー
ルではサポートされていません。
アクション フラグ (actionflags) ログが Panorama に転送されたかどうかを示すビット フィールド。
送信元の場所 (srcloc)
プライベート アドレスの送信元の国または国内地域 最大長は 32 バイト
です。
宛先の場所 (dstloc)
プライベート アドレスの宛先の国または国内地域。最大長は 32 バイト
です。
278
レポートとログ
レポートとログ
Syslog フィールドの説明
フィールド名
説明
現在のタイプ (contenttype)
サブタイプが URL の場合にのみ適用されます。
HTTP 応答データのコンテンツ タイプ。最大長は 32 バイトです。
PCAP ID (pcap_id)
Pcap-ID は、脅威 pcap ファイルをそのフローの一部として取得された拡張
pcap と相関させるための 64 ビット未署名整数です。すべての脅威ログに
は、値が 0 の pcap_id(関連付けられた pcap なし)か、拡張 pcap ファイル
を指す ID のどちらかが含められます。
ファイル ダイジェスト
(filedigest)
WildFire サ ブタ イプ の場合 のみ。それ 以外 のすべ ての タイ プで はこの
フィールドを使用しません。
ファイルダイジェスト文字列には、WildFire サービスによって分析される
ために送信されたファイルのバイナリ ハッシュを示します。
クラウド (cloud)
WildFire サ ブタ イプ の場合 のみ。それ 以外 のすべ ての タイ プで はこの
フィールドを使用しません。
クラウド文字列には、分析用ファイルのアップロード元となった WildFire
アプライアンス(プライベート)と WildFire クラウド(パブリック)のい
ずれかの FQDN が示されます。
v6.1 での新機能
ユーザー エージェント
(user_agent)
v6.1 での新機能
ファイル タイプ
(filetype)
v6.1 での新機能
X-Forwarded-For (xff)
URL フィルタリング サブタイプの場合のみ。それ以外のすべてのタイプ
ではこのフィールドを使用しません。
ユーザー エージェント フィールドでは、ユーザーが URL へのアクセスに
使用した Web ブラウザ(Internet Explorer など)を指定します。この情報
は、HTTP 要求でサーバーに送信されます。
WildFire サ ブタ イプ の場合 のみ。それ 以外 のすべ ての タイ プで はこの
フィールドを使用しません。
WildFire 分析のためにファイアウォールが転送したファイルのタイプを指
定します。
URL フィルタリング サブタイプの場合のみ。それ以外のすべてのタイプ
ではこのフィールドを使用しません。
HTTP ヘッダーの X-Forwarded-For フィールドには、Web ページを要求した
ユーザーの IP アドレスが保持されています。これによりユーザーの IP ア
ドレスを特定することができ、特に、パケット ヘッダーの送信元 IP アド
レス フィールドのユーザー IP アドレスを独自のアドレスで置き換えるプ
ロキシ サーバーがネットワーク上に存在する場合に役立ちます。
v6.1 での新機能 Referer (referer) URL フィルタリング サブタイプの場合のみ。それ以外のすべてのタイプ
ではこのフィールドを使用しません。
HTTP ヘッダーの Referer フィールドには、ユーザーを別の Web ページにリ
ンクした Web ページの URL が含まれています。これは、要求された Web
ページにユーザーをリダイレクト(参照)した送信元です。
レポートとログ
279
Syslog フィールドの説明
レポートとログ
フィールド名
説明
v6.1 での新機能 送信者 (sender) WildFire サ ブタ イプ の場合 のみ。それ 以外の すべ ての タイ プで はこの
フィールドを使用しません。
ファイアウォールによって転送された電子メールのリンクを分析中に、
WildFire が悪意のある電子メールと判定した電子メールの送信者の名前を
指定します。
サブジェクト (subject)
WildFire サ ブタ イプ の場合 のみ。それ 以外の すべ ての タイ プで はこの
フィールドを使用しません。
v6.1 での新機能
ファイアウォールによって転送された電子メールのリンクを分析中に、
WildFire が悪意のある電子メールと判定した電子メールのサブジェクトを
指定します。
受信者 (recipient)
WildFire サ ブタ イプ の場合 のみ。それ 以外の すべ ての タイ プで はこの
フィールドを使用しません。
v6.1 での新機能
ファイアウォールによって転送された電子メールのリンクを分析中に、
WildFire が悪意のある電子メールと判定した電子メールの受信者の名前を
指定します。
レポート ID (reportid)
WildFire サ ブタ イプ の場合 のみ。それ 以外の すべ ての タイ プで はこの
フィールドを使用しません。
v6.1 での新機能
WildFire クラウドまたは WildFire アプライアンスでの分析要求を識別し
ます。
HIP マッチ ログ
フォーマット : FUTURE_USE、受信日時、シリアル番号、タイプ、サブタイプ、FUTURE_USE、
生成日時、送信元ユーザー、仮想システム、マシン名、OS、送信元アドレス、HIP、繰り返し
回数、HIP タイプ、FUTURE_USE、FUTURE_USE、シーケンス番号、アクション フラグ
フィールド名
説明
受信時間 (receive_time)
管理プレーンでログが受信された時間
シリアル番号 (serial)
ログを生成したデバイスのシリアル番号
タイプ (type)
ログのタイプ。値は、「traffic」、「threat」、「config」、「system」、「hip-match」
です
サブタイプ (subtype)
HIP マッチ ログのサブタイプ。未使用
生成日時 (time_generated) データプレーンでログが生成された日時
送信元ユーザー (srcuser) セッションを開始したユーザーのユーザー名
仮想システム (vsys)
HIP マッチ ログに関連付けられた仮想システム
マシン名 (machinename)
ユーザーのマシンの名前です
280
レポートとログ
レポートとログ
Syslog フィールドの説明
フィールド名
説明
OS
ユーザーのマシンまたはデバイス(またはクライアント システム)にインス
トールされているオペレーティング システム
送信元アドレス (src)
送信元ユーザーの IP アドレス
HIP (matchname)
HIP オブジェクトまたはプロファイルの名前
繰り返し回数 (repeatcnt) HIP プロファイルが一致した回数
HIP タイプ (matchtype)
hip フィールドが HIP オブジェクトまたは HIP プロファイルを表すかどうか
シーケンス番号 (seqno)
順次増分される 64 ビットのログ エントリ識別子。各ログ タイプには、一意の
番号空間があります。このフィールドは、PA-7050 のファイアウォールではサ
ポートされていません。
アクション フラグ
(actionflags)
ログが Panorama に転送されたかどうかを示すビット フィールド
設定ログ
フォーマット : FUTURE_USE、受信日時、シリアル番号、タイプ、サブタイプ、FUTURE_USE、
生成日時、ホスト、仮想システム、コマンド、管理者、クライアント、結果、設定パス、シー
ケンス番号、アクション フラグ、変更前の詳細 *、変更後の詳細 *
フィールド名
説明
受信時間 (receive_time)
管理プレーンでログが受信された時間
シリアル番号 (serial)
ログを生成したデバイスのシリアル番号
タイプ (type)
ログのタイプ。値は、「traffic」、「threat」、「config」、「system」、「hip-match」
です
サブタイプ (subtype)
設定ログのサブタイプ。未使用
生成日時 (time_generated) データプレーンでログが生成された日時
ホスト (host)
クライアント マシンのホスト名または IP アドレス
仮想システム (vsys)
設定ログに関連付けられた仮想システム
コマンド (cmd)
管理者によって実行されたコマンド。値は、「add」、「clone」、「commit」、
「delete」、「edit」、「move」、「rename」、「set」、「validate」です。
管理者 (admin)
設定を実行する管理者のユーザー名
クライアント (client)
管理者によって使用されるクライアント。値は「Web」と「CLI」です
結果 (result)
設 定 ア ク シ ョ ン の 結 果。値 は、「Submitted」、「Succeeded」、「Failed」、
「Unauthorized」です
設定パス (path)
発行された設定コマンドのパス。最大長 512 バイト
レポートとログ
281
Syslog フィールドの説明
レポートとログ
フィールド名
説明
シーケンス番号 (seqno)
順次増分される 64 ビットのログ エントリ識別子。各ログ タイプには、一意の
番号空間があります。このフィールドは、PA-7050 のファイアウォールではサ
ポートされていません。
アクション フラグ
(actionflags)
ログが Panorama に転送されたかどうかを示すビット フィールド。
変更前の詳細
(before_change_detail)
このフィールドはカスタム ログの場合のみです。デフォルトのフォーマット
には含まれません。
v6.1 での新機能
設定の変更前の完全な xpath が保持されています。
変更後詳細
(after_change_detail)
このフィールドはカスタム ログの場合のみです。デフォルトのフォーマット
には含まれません。
v6.1 での新機能
設定の変更後の完全な xpath が保持されています。
282
レポートとログ
レポートとログ
Syslog フィールドの説明
システム ログ
フォーマット : FUTURE_USE、受信日時、シリアル番号、タイプ、サブタイプ、FUTURE_USE、
生成 日 時、仮想 シ ステ ム、イベ ン ト ID、オ ブジ ェ クト、FUTURE_USE、FUTURE_USE、モ
ジュール、重大度、説明、シーケンス番号、アクション フラグ
フィールド名
説明
受信時間 (receive_time)
管理プレーンでログが受信された時間
シリアル番号 (serial)
ログを生成したデバイスのシリアル番号
タイプ (type)
ロ グ の タ イ プ。値 は、「traffic」、「threat」、「config」、「system」、
「hip-match」です
サブタイプ (subtype)
システム ログのサブタイプ。ログを生成するシステム デーモンを参照
します。値は、「crypto」、「dhcp」、「dnsproxy」、「dos」、「general」、
「global-protect」、「ha」、「hw」、「nat」、「ntpd」、「pbf」、「port」、
「pppoe」、「ras」、「routing」、「satd」、「sslmgr」、「sslvpn」、「userid」、
「url-filtering」、「vpn」です
生成日時 (time_generated)
データプレーンでログが生成された日時
仮想システム (vsys)
設定ログに関連付けられた仮想システム
イベント ID (eventid)
イベントの名前を示す文字列
オブジェクト (object)
システム イベントに関連付けられてたオブジェクトの名前
モジュール (module)
このフィールドは、subtype フィールドの値が general の場合にのみ有効です ロ
グ を 生 成 す る サ ブ シ ス テ ム に 関 す る 補 足 情 報 を 提 供 し ま す。値 は、
「general」、[management」、「auth」、「ha」、「upgrade」、「chassis」です
重大度 (severity)
イ ベ ン ト に 関 連 付 け ら れ た 重 大 度。値 は、「informational」、「low」、
「medium」、「high」、「critical」です。
説明 (opaque)
イベントの詳細な説明。最大 512 バイト
シーケンス番号 (seqno)
順次増分される 64 ビットのログ エントリ識別子。各ログ タイプには、一意
の番号空間があります。このフィールドは、PA-7050 のファイアウォールで
はサポートされていません。
アクション フラグ
(actionflags)
ログが Panorama に転送されたかどうかを示すビット フィールド
レポートとログ
283
Syslog フィールドの説明
レポートとログ
Syslog の重大度
Syslog の重大度は、ログ タイプとコンテンツに基づいて設定されます。
ログ タイプ / 重大度
Syslog の重大度
トラフィック
情報
設定
情報
脅威 / システム — Informational
情報
脅威 / システム — Low
通知
脅威 / システム — Medium
警告
脅威 / システム — High
エラー
脅威 / システム — Critical
重要
カスタム ログ / イベントのフォーマット
外部のログ解析システムと統合しやすくするため、ファイアウォールでは、ログ フォーマットを
カスタマイズすることができます。また、カスタムの Key: Value 属性ペアを追加することもでき
ます。カスタム メッセージのフォーマットは、[Device] > [ サーバー プロファイル ] > [Syslog] >
[Syslog サーバー プロファイル ] > [ カスタム ログ フォーマット ] で設定できます。
ArcSight Common Event Format (CEF) 準拠のログ フォーマットを設定するには、『CEF Configuration
Guide』を参照してください。
エスケープ シーケンス
カンマまたは二重引用符を含むフィールドは、二重引用符で囲みます。さらに、二重引用符が
1 つのフィールド内に含まれる場合は、別の二重引用符を前に付けてエスケープします。下位
互換性を維持するため、脅威ログの「その他」フィールドは常に二重引用符で囲みます。
284
レポートとログ
User-ID
User-ID は Palo Alto Networks の次世代のファイアウォール機能で、個々の IP アドレスの代わり
にユーザーとグループに基づいてポリシーを作成し、レポートを実行できます。ここでは、
Palo Alto Networks の User-ID 機能と、ユーザーおよびグループ ベースのアクセスを設定する方法
について説明します。

User-ID の概要

User-ID の概念

User-ID の有効化

ユーザーとグループのマッピング

IP アドレス対ユーザーのマッピング

他のファイアウォールとユーザー マッピング データを共有するためのファイアウォールの設定

ユーザーおよびグループ ベースのポリシーの有効化

User-ID 設定の確認
User-ID
285
User-ID の概要
User-ID
User-ID の概要
User-ID は、Palo Alto Networks のファイアウォールとさまざまな企業ディレクトリおよび端末
サービスをシームレスに統合することにより、アプリケーションの動作とセキュリティ ポリ
シーを、IP アドレスだけでなくユーザーおよびグループに結合させることができます。さら
に、User-ID を有効にすると、アプリケーション コマンド センター (ACC)、アプリケーション
スコープ、レポート、およびログのすべてにユーザーの IP アドレスに加えてユーザー名が含ま
れます。
Palo Alto Networks の次世代ファイアウォールでは、以下の企業向けサービスのモニタリングを
サポートしています。

Microsoft Active Directory

Lightweight Directory Access Protocol (LDAP)

Novell eDirectory

Citrix Metaframe Presentation Server または XenApp

Microsoft Terminal Services
ユーザーおよびグループに基づいてポリシーを作成できるようにするには、ファイアウォール
で、ポリシーを定義するときに使用可能なすべてのユーザーと対応するグループを選択できる
マッピングのリストが必要です。このリストでは、LDAP ディレクトリ サーバーに直接接続し
て「グループ マッピング」情報を取得します。
ユーザーおよびグループ ベースのポリシーを実施できるようにするには、ファイアウォールで
受信するパケットの IP アドレスをユーザー名にマッピングできる必要があります。User-ID
は、この IP アドレスからユーザー名へのマッピングを実現するさまざまなメカニズムを提供し
ます。たとえば、サーバー ログのログオン イベントをモニターするエージェント、クライアン
トのプローブ、認証サービスからの Syslog メッセージのリッスンなどを使用します。エージェ
ント メカニズムを使用してマッピングされていない IP アドレスのマッピングを識別するには、
HTTP 要求をキャプティブ ポータルのログインにリダイレクトするようにファイアウォールを
設定できます。「ユーザー マッピング」に使用するメカニズムを環境に合わせて変更できま
す。さらに異なるサイトの異なるメカニズムを使用することもできます。
286
User-ID
User-ID
User-ID の概要
図 : User-ID
User-ID の仕組みは「User-ID の概念」、ファイアウォールでの User-ID のセットアップ手順は
「User-ID の有効化」を参照してください。
User-ID
287
User-ID の概念
User-ID
User-ID の概念

グループ マッピング

ユーザー マッピング
グループ マッピング
ユーザーまたはグループに基づいてセキュリティ ポリシーを定義するには、ファイアウォール
でディレクトリ サーバーからグループのリストおよび対応するメンバーのリストを取得する必
要があります。この機能を有効にして「ユーザーとグループのマッピング」を行うには、LDAP
サーバー プロファイルを作成する必要があります。このプロファイルからファイアウォールに
対して、サーバーへの接続および認証方法と、ディレクトリでユーザーおよびグループの情報
を検索する方法に関する命令が行われます。LDAP サーバーに接続し、ユーザー識別のための
グループ マッピング機能を設定すると、セキュリティ ポリシーを定義するときにユーザーまた
はグ ル ープ を 選択 で き るよ う にな り ます。フ ァイ ア ウォ ー ルは、Microsoft Active Directory
(AD)、Novell eDirectory、Sun ONE Directory Server を含む、さまざまな LDAP ディレクトリ サー
バーをサポートしています。
その後、個々のユーザーではなくグループ メンバーシップに基づいてポリシーを定義すること
で、管理を簡略化できます。たとえば、以下のセキュリティ ポリシーは、グループ メンバー
シップに基づいて特定の内部アプリケーションへのアクセスを許可します。
288
User-ID
User-ID
User-ID の概念
ユーザー マッピング
ユーザーおよびグループに名前がついているだけでは、パズルの 1 ピースにすぎません。ファ
イアウォールでは、セキュリティ ポリシーを正しく実施するためにも、どの IP アドレスがどの
ユーザーにマッピングされるかを知る必要があります。「図 : User-ID」は、ネットワーク上の
ユーザーおよびグループを識別するために使用されるさまざまな方法と、ユーザー マッピング
とグループ マッピングが連携してユーザーベースおよびグループベースのセキュリティの実施
と可視化を可能にする仕組みを示しています。
以下のトピックでは、ユーザーマッピングのさまざまな方法について説明します。

サーバー モニタリング

クライアントによるプローブ

ポート マッピング

Syslog

キャプティブ ポータル

GlobalProtect

User-ID XML API
サーバー モニタリング
サーバー モニタリングを使用すると、User-ID エージェント(ネットワーク内のドメイン サー
バー上で実行される Windows ベースのエージェント、またはファイアウォール上で実行される
PAN-OS User-ID エージェント)は、指定された Microsoft Exchange Server、ドメイン コントロー
ラ、または Novell eDirectory サーバーのセキュリティ イベント ログのログオン イベントをモニ
ターします。たとえば、AD 環境では、User-ID エージェントを設定して、Kerberos チケットの
付与または更新、Exchange サーバー アクセス(設定されている場合)、およびファイルと印刷
サービスの接続のセキュリティ ログをモニターできます。これらのイベントをセキュリティ ロ
グに記録するには、アカウントのログオン完了イベントを記録するように AD ドメインを設定
する必要があります。さらに、ユーザーはドメイン内の任意のサーバーにログインできるた
め、すべてのユーザー ログオン イベントをキャプチャするには、全てのサーバーに対してサー
バー モニタリングをセットアップする必要があります。
サーバー モニタリングは、必要なオーバーヘッドが非常に小さく、ユーザーの大部分は通常、
この方法を使用してマッピングできるため、ほとんどの User-ID デプロイメントで標準ユー
ザー マッピング方法として推奨されます。詳細は、「Windows User-ID エージェントを使用した
ユーザー マッピングの設定」または「PAN-OS 統合 User-ID エージェントを使用したユーザー
マッピングの設定」を参照してください。
User-ID
289
User-ID の概念
User-ID
クライアントによるプローブ
Microsoft Windows 環境では、Windows Management Instrumentation (WMI) を使用してクライアント
システムをプローブするように User-ID エージェントを設定できます。また、Windows ベースの
User-ID エージェントは、NetBIOS プローブも実行できます(PAN-OS 統合 User-ID エージェン
トではサポートされていません)。プローブは、IP アドレスのターンオーバーが高い環境で特
に役立ちます。これは、変更がファイアウォールにより早く反映され、ユーザーベースのポリ
シーがより正確に実施できるようになるためです。ただし、IP アドレスとユーザーの相関関係
が非常に固定的な場合は、クライアント プローブは必要ありません。プローブは大量のネット
ワーク トラフィックを生成する場合がある(マッピングされた IP アドレスの総数による)た
め、プローブを開始するエージェントは、エンド クライアントにできるだけ近いところに置く
必要があります。
プローブが有効になっていると、同じユーザーがまだログインしていることを確認するため、取
得された各 IP アドレスがエージェントで定期的(デフォルトでは 20分ごとですが、これは設定可
能です)にプローブされます。また、ユーザー マッピングが存在しない IP アドレスがファイア
ウォールで発生すると、アドレスがエージェントに送信されてプローブが直ちに行われます。
詳細は、「Windows User-ID エージェントを使用したユーザー マッピングの設定」または「PAN-OS
統合 User-ID エージェントを使用したユーザー マッピングの設定」を参照してください。
ポート マッピング
Microsoft Terminal Server や Citrix 環境など、マルチ ユーザー システム環境の場合、多くのユー
ザーが同じ IP アドレスを共有します。このような場合、ユーザー対 IP アドレスのマッピング
プロセスで、クライアントごとの送信元ポートの情報が必要となります。このタイプのマッピ
ングを実行するには、Windows Terminal Server/Citrix のターミナル サーバー自体に Palo Alto
Networks Terminal Services Agent をインストールし、さまざまなユーザー プロセスに対する送信
元ポートの割り当てを仲介する必要があります。Linux ターミナル サーバーのようにターミナ
ル サービス エージェントをサポートしないターミナル サーバーの場合、XML API を使用し
て、ユーザー マッピング情報をログイン イベントおよびログアウト イベントから User-ID に送
信できます。設定の詳細については、「ターミナル サーバー ユーザー向けのユーザー マッピ
ング設定」を参照してください。
290
User-ID
User-ID
User-ID の概念
Syslog
ワイヤレス コントローラ、802.1x デバイス、Apple Open Directory サーバー、プロキシ サー
バー、その他のネットワーク アクセス制御 (NAC) メカニズムなど、ユーザーを認証する既存の
ネットワーク サービスが存在する環境では、ファイアウォールの User-ID エージェント(ファ
イアウォール上の Windows エージェントまたは PAN-OS 統合エージェント)で、それらのサー
ビスから認証 Syslog メッセージをリッスンできます。コンテンツ更新で提供される Syslog の
フィルタ(統合された User-ID エージェントの場合のみ)か、手動で設定された Syslog のフィル
タでは、User-ID エージェントが、外部サービスで生成された認証 syslog イベントからユーザー
名と IP アドレスを解析および抽出し、ファイアウォールで管理される User-ID の IP アドレスか
らユーザー名のマッピングにその情報を追加できます。設定の詳細については、「Syslog 送信
元からユーザー マッピングを受信するための User-ID の設定」を参照してください。
図 : User-ID の Syslog との統合
User-ID
291
User-ID の概念
User-ID
キャプティブ ポータル
ユーザーがログインしていない場合や、ドメイン サーバーでサポートされていない Linux など
のオペレーティング システムを使用している場合など、User-ID エージェントのファイア
ウォールで IP アドレスとユーザーをマッピングできない場合、キャプティブ ポータルを設定で
きます。キャプティブ ポータルを設定すると、キャプティブ ポータルのポリシーと一致する
Web トラフィック(HTTP または HTTPS)でユーザー認証が必要となります。ユーザー認証
は、NT LAN Manager (NTLM) からブラウザへの認証チャレンジを透過的に行うか、またはユー
ザーを Web 認証フォームにリダイレクトして RADIUS、LDAP、Kerberos、またはローカル認証
データベースに対する認証をアクティブに行うか、またはクライアント証明書による認証を使
用して行います。詳細は、「キャプティブ ポータルを使用した IP アドレス対ユーザー名のマッ
ピング」を参照してください。
GlobalProtect
モバイル ユーザーやローミング ユーザーの場合、GlobalProtect クライアントからユーザー マッ
ピング情報がファイアウォールに直接提供されます。この場合、すべての GlobalProtect ユー
ザーは、ファイアウォールへの VPN アクセスのためのログイン認証情報を入力する必要がある
エージェントまたはアプリケーションをクライアント上で実行しています。その後、このログ
イン情報は、可視化およびユーザーベース セキュリティ ポリシーの実施のために、ファイア
ウォール上の User-ID ユーザー マッピング テーブルに追加されます。GlobalProtect ユーザーが
ネットワークにアクセスするには認証が必要なため、IP アドレス対ユーザー名のマッピングは
明確に分かります。これは、アプリケーションやサービスへのアクセスを許可するためにユー
ザーが誰であるかを知る必要がある機密環境では最適なソリューションです。GlobalProtect の
セットアップの詳細は、『GlobalProtect 管理者ガイド』を参照してください。
User-ID XML API
たとえば、サードパーティ VPN ソリューションから接続しているユーザーや 802.1x 対応無線
ネットワークに接続しているユーザーのマッピングの追加など、標準的なユーザー マッピング
手法やキャプティブ ポータルを使用してマッピングできない他のタイプのユーザー アクセスに
は、User-ID XML API を使用してログイン イベントをキャプチャし、User-ID または直接ファイ
アウォールに送信できます。詳細は、「XML API を使用した User-ID へのユーザー マッピング
の送信」を参照してください。
292
User-ID
User-ID
User-ID の有効化
User-ID の有効化
ポリシー適用、ロギング、レポートでユーザーおよびグループを使用するようにファイア
ウォールをセットアップするには、以下のタスクを実行する必要があります。

ユーザーとグループのマッピング

IP アドレス対ユーザーのマッピング

ユーザーおよびグループ ベースのポリシーの有効化

User-ID 設定の確認
User-ID
293
ユーザーとグループのマッピング
User-ID
ユーザーとグループのマッピング
以下の手順により LDAP ディレクトリに接続し、ファイアウォールでユーザー対グループの
マッピング情報を取得できるようにします。
Active Directory 環境でのグループ マッピングのベスト プラクティス
294
•
ドメインが 1 つの場合、ファイアウォールを接続性が最も良いドメイン コントローラに接続する LDAP
サーバー プロファイルが 1 つだけ必要です。フォールト トレランスのために別のドメイン コント
ローラを追加することもできます。
•
複数のドメインや複数のフォレストがある場合には、各ドメイン / フォレストのドメイン サーバーに
接続するためのサーバー プロファイルを作成する必要があります。異なるフォレスト内のユーザー名
が一意になるようにする必要があります。
•
ユニバーサル グループがある場合、グローバル カタログ サーバーに接続するサーバー プロファイル
を作成します。
User-ID
ユーザーとグループのマッピング
User-ID
ユーザー対グループのマッピング
ステップ 1
LDAP サーバー プロファイルを作成し、ファイアウォールがグループのマッピング情報の
取得に使用する、ディレクトリ サーバーへの接続方法を指定します。
1. [Device] > [ サーバー プロファ
イル ] > [LDAP] の順に選択し
ます。
2. [ 追加 ] をクリックし、プロファ
イルの [ 名前 ] を入力します。
3. (任意)[ 場所 ] ドロップダウン
リストから、このプロファイ
ルの適用先となる仮想システ
ムを選択します。
4. [ 追加 ] をクリックして新しい
LDAP サーバーのエントリを追
加し、[ サーバー] フィールドにサーバーを識別できる名前(1-31 文字)を入力し、IP ア
ドレスを [ アドレス ] フィールドに、ポート番号を [ ポート ] フィールドにそれぞれ入力
します。ファイアウォールでは、これらの情報を使用して LDAP サーバーに接続します
(LDAP のデフォルトのポート番号は 389、LDAP over SSL は 636 です)。プロファイルに
追加できる LDAP サーバーは最大 4 つですが、プロファイルに追加するサーバーは、す
べて同じタイプのものでなければなりません。冗長性を確保するために、2 つ以上の
サーバーを追加することをお勧めします。
5. LDAP のドメイン名を [ ドメイン ] フィールドに入力すると、サーバーから取得したすべ
てのオブジェクトの先頭にこのドメイン名が追加されます。ここで入力する値は、デプ
ロイメント タイプにより異なります。
• Active Directory を使用している場合は、FQDN ではなく NetBIOS のドメイン名(例 :
acme.com ではなく acme)を入力する必要があります。データを複数のドメインから収
集する必要がある場合は、サーバー プロファイルを個別に作成する必要があります。
• グローバル カタログ サーバーを使用している場合、このフィールドは空白のままにし
ておきます。
6. [ タイプ ] フィールドで接続先となる LDAP サーバーを選択します。選択したタイプに基
づき、グループ マッピング設定に正しい LDAP 属性が自動的に入力されます。ただし、
LDAP スキーマをカスタマイズしている場合、デフォルトの設定を変更する必要があり
ます。
7. [ ベース ] フィールドで、ファイアウォールが LDAP ツリー内でユーザーおよびグループ
の情報検索を開始するポイントに対応する DN を選択します。
8. LDAP ツリーにバインドする認証情報を、[ バインド DN]、[ バインド パスワード ]、[ 再
入力バインド パスワード ] の各フィールドに入力します。バインド DN には、ユーザー
プリンシパル名 (UPN) の形式
([email protected] など)または完全修飾 LDAP 名
(cn=administrator,cn=users,dc=acme,dc=local など)を指定できます。
9. ファイアウォールから安全な接続を介して LDAP サーバーとの通信を行う場合は、[SSL]
チェックボックスをオンにします。[SSL] を有効にする場合は、適切なポート番号が指定
されていることを確認する必要があります。
10. [OK] をクリックしてプロファイルを保存します。
User-ID
295
ユーザーとグループのマッピング
User-ID
ユーザー対グループのマッピング(続き)
ステップ 2
LDAP サーバー プロファイルを User-ID のグループ マッピング設定に追加します。
1. [Device] > [ ユーザー ID] > [ グルー
プ マッピング設定 ] の順に選択し、
[ 追加 ] をクリックします。
2. グループ マッピング設定の識別に使
用する一意の [ 名前 ] を入力します。
3. [サーバー プロファイル] で、ステッ
プ 1 で作成したプロファイルを選択
します。
4. (任意)User-ID で追跡する、グルー
プ マッピングのグループをフィル
タリングするには、[ グループ オブ
ジェクト] セクションで、[検索フィ
ルタ](LDAP クエリ)を入力し、
[ オブジェクト クラス ](グループ
定義)、[ グループ名 ]、および [ グ
ループ メンバー] を指定します。
5. (任意)User-ID で追跡する、グルー
プ マッピングのユーザーをフィル
タリングするには、[ ユーザー オブ
ジェクト ] セクションで、[ 検索フィルタ ](LDAP クエリ)を入力し、[ オブジェクト ク
ラス ](ユーザー定義)および [ ユーザー名 ] を指定します。
6. (任意)リンクで識別される電子メールのヘッダー情報と WildFire に送信される電子メー
ルの添付ファイルを使用して、User-ID 情報を照合するには、[ メール ドメイン ] セクショ
ンの [ドメイン リスト] フィールドに組織の電子メール ドメインのリストを入力します。
カンマを使用して複数のドメインを区切ります(最大 256 文字)。[OK] をクリックした
ら(ステップ 9)、LDAP サーバー タイプ(Sun/RFC、Active Directory、または Novell)に
基づいて、[ メール属性 ] フィールドが自動的に入力されます。一致すると、ユーザーま
たはユーザー グループによってフィルタリングされた状態で、WildFire ログの電子メー
ル ヘッダー セクションのユーザー名に、[ACC] タブを開くリンクが表示されます。
7. [ 有効 ] チェックボックスがオンになっていることを確認します。
8. (任意)セキュリティ ポリシーに表示されるグループを制限するには、[許可リストのグ
ループ化 ] タブを選択し、LDAP ツリーを参照して目的のグループを特定します。含める
各グループを [ 使用可能なグループ ] リストで選択し、追加 アイコンをクリックして
[ 含まれたグループ ] リストに移動します。
9. [OK] をクリックして設定を保存します。
ステップ 3
296
設定を [ コミット ] します。
User-ID
User-ID
IP アドレス対ユーザーのマッピング
IP アドレス対ユーザーのマッピング
IP アドレスとユーザー名のマッピングを実行するのに必要なタスクは、ネットワーク上のクラ
イアント システムのタイプや場所により異なります。以下のタスクの中から、クライアント シ
ステムでマッピングを有効にするのに必要なものを実行します。

Exchange サーバー、ドメイン コントローラ、eDirectory サーバー、または直接プローブでき
る Windows クライアントにログインしたときにユーザーをマッピングするには、User-ID
エージェントを設定してサーバー ログをモニターしたりクライアント システムをプローブ
する必要があります。モニターするサーバーおよびクライアントを含むドメイン内の 1 台
以上のメンバー サーバーにスタンドアロン Windows User-ID エージェントをインストールす
るか(「Windows User-ID エージェントを使用したユーザー マッピングの設定」を参照)、
PAN-OS と 統 合さ れ たフ ァ イア ウ ォー ル 上の User-ID エー ジ ェン ト を設 定 でき ま す
(「PAN-OS 統合 User-ID エージェントを使用したユーザー マッピングの設定」を参照)。
ネットワークに適したエージェント設定の指針、および必要なエージェントの数と配置に
ついては、『Architecting User Identification Deployments』(英語)を参照してください。

Microsoft Terminal Server、または Citrix Metaframe Presentation Server や XenApp などのマルチ
ユーザー システムを実行しているクライアントがある場合、Windows サーバー上でのエー
ジェントのインストールおよび設定方法については「Palo Alto Networks ターミナル サー
バー エージェントのユーザー マッピング設定」を参照してください。Windows 上で実行し
ていないマルチユーザー システムがある場合は、User-ID XML API を使用して IP アドレス対
ユーザー名のマッピングを直接ファイアウォールに送信できます。「User-ID XML API を使
用したターミナル サーバーからのユーザー マッピングの取得」を参照してください。

ワイヤレス コントローラ、802.1x デバイス、Apple Open Directory サーバー、プロキシ サー
バー、その他のネットワーク アクセス制御 (NAC) メカニズムなど、ユーザーを認証する既
存のネットワーク サービスからユーザー マッピングを取得するには、User-ID エージェン
ト(Windows エージェントまたはファイアウォール上のエージェントレス ユーザー マッピ
ング機能)を設定して、それらのサービスから認証 Syslog メッセージをリッスンできます。
「Syslog 送信元からユーザー マッピングを受信するための User-ID の設定」を参照してくだ
さい。

ドメインにログインしていない Linux クライアントを実行するユーザーなど、ドメイン サー
バーにログインしていないクライアント システムのユーザーの場合は、「キャプティブ
ポータルを使用した IP アドレス対ユーザー名のマッピング」を参照してください。

前述の方法でマッピングできないその他のクライアントについては、User-ID XML API を使
用してユーザー マッピングを直接ファイアウォールに追加できます。「XML API を使用し
た User-ID へのユーザー マッピングの送信」を参照してください。

ポリシーは各ファイアウォールでローカルなため、セキュリティ ポリシーをグループまた
はユーザーに基づいて正確に実施するためには、各ファイアウォールが IP アドレス対ユー
ザー名のマッピングの最新リストを持つ必要があります。ただし、1 台のファイアウォール
がすべてのユーザー マッピングを収集し、他のファイアウォールに配布するように設定で
きます。詳細は、「他のファイアウォールとユーザー マッピング データを共有するための
ファイアウォールの設定」を参照してください。
User-ID
297
IP アドレス対ユーザーのマッピング
User-ID
Windows User-ID エージェントを使用したユーザー マッピングの設定
多くの場合、ネットワーク ユーザーの大部分がモニタリング対象のドメイン サービスにログイ
ンできます。これらのユーザーに対して、Palo Alto Networks User-ID エージェントはサーバーの
ログインおよびログアウト イベントをモニターし、IP アドレス対ユーザーのマッピングを実行
します。User-ID エージェントを設定する方法は、環境の規模やドメイン サーバーの場所によ
り異なります。ベスト プラクティスとして、User-ID エージェントはモニター対象のサーバー
の近くに配置します(つまり、モニター対象のサーバーと Windows User-ID エージェントの間に
WAN リンクをはさまないようにします)。これは、ユーザー マッピングのトラフィックが
エージェントとモニタリング対象サーバーの間で発生し、エージェントとファイアウォール間
のトラフィック(最終更新以降の IP アドレス マッピングの差分情報)の量もごくわずかなため
です。
以下のトピックでは、User-ID エージェントのインストールと設定の方法、およびファイア
ウォールがエージェントからユーザー マッピング情報を取得するための設定方法について説明
します。

User-ID エージェントのインストール

ユーザー マッピングのための User-ID エージェントの設定
User-ID エージェントのインストール
以下の手順では、User-ID エージェントをドメイン内のメンバー サーバー上にインストール
し、必要な権限が設定されたサービス アカウントをセットアップする方法を示します。アップ
グレードする場合、インストーラは古いバージョンを自動的に削除しますが、インストーラを
実行する前に config.xml ファイルをバックアップしておくことをお勧めします。
Windows ベースの User-ID エージェントをインストールするためのシステム要件の詳細、およ
びサポートされているサーバー OS バージョンに関する情報は、Palo Alto Networks の『ソフ
トウェア更新』ページから入手できる『User-ID エージェント リリース ノート』の「User-ID
エージェントのオペレーティング システム (OS) 互換性」を参照してください。
298
User-ID
IP アドレス対ユーザーのマッピング
User-ID
Windows User-ID エージェントのインストール
ステップ 1
User-ID エージェントをインス • User-ID エージェントは、サポートされているいずれかの
OS バージョンを実行しているシステムにインストール
トールする場所を決定します。
する必要があります。『User-ID エージェント リリース
User-ID エージェントはドメイ
ノート』の「User-ID エージェントのオペレーティング
ン コントローラおよび Exchange
システム (OS) 互換性」を参照してください。
サーバーのログに対して
Microsoft Remote Procedure Call • User-ID エージェントをインストールしようとしているシ
ステムが、モニター対象のサーバーが属しているドメイ
(MSRPC) を使用してクエリを
ンのメンバーであることを確認します。
実 行 し ま す。こ れ に は、各 ク
エリでログ全体の完全な転送 • ベスト プラクティスとして、User-ID エージェントはモニ
が必要です。したがって、モニ
ター対象のサーバーの近くにインストールします
ター対象のサーバーがあるサイ
(User-ID エージェントとモニター対象のサーバーの間の
トのそれぞれに必ず 1 つ以上の
トラフィックは User-ID とファイアウォールの間のトラ
User-ID エージェントをインス
フィックより大きくなるため、エージェントをモニター
トールする必要があります。
対象のサーバーの近くに配置することで帯域幅使用が最
適化されます)。
User-ID エージェントを
インストールする場所の • ユーザーのマッピングを最も包括的なものにするために
詳細は、以下の文書を参
は、ユーザー ログオン情報が含まれるすべてのサーバー
照してください。
をモニターする必要があります。すべてのリソースを効
『Architecting User
率的にモニターするために複数の User-ID エージェント
Identification (User-ID)
をインストールする必要がある場合もあります。
Deployments』(英語)
ステップ 2
User-ID エージェント インス 1.
トーラをダウンロードします。 2.
ベスト プラクティスとして、
ファイアウォール上で実行さ
れている PAN-OS と同じバー 3.
ジョンの User-ID エージェント
をインストールします。
4.
User-ID
『Palo Alto Networks サポート』サイトにログインします。
[Manage Devices(デバイスの管理)] セクションの
[Software Updates(ソフトウェア更新)] を選択し
ます。
画面の [User Identification Agent(User-ID エージェント)]
セ ク シ ョ ン ま で ス ク ロ ー ル し、イ ン ス ト ー ル す る
User-ID エージェントのバージョンをダウンロードし
ます。
エージェントをインストールするシステムに
UaInstall-x.x.x-xx.msi ファイルを保存します。
299
IP アドレス対ユーザーのマッピング
User-ID
Windows User-ID エージェントのインストール(続き)
ステップ 3
管理者としてインストーラを 1.
実行します。
管理者としてコマンド プロンプトを起動するには、
[ スタート ] をクリックし、[ コマンド プロンプト ] を
右クリックして [ 管理者として実行 ] を選択します。
2.
コマンド ラインから、ダウンロードした .msi ファイル
を実行します。たとえば、.msi ファイルをデスクトッ
プに保存した場合、以下のように入力します。
C:\Users\administrator.acme>cd Desktop
C:\Users\administrator.acme\Desktop>UaInstall-6.0.
0-1.msi
3.
デフォルトの設定を使用してエージェントをインス
トールするには、セットアップ プロンプトに従いしま
す。デフォルトでは、エージェントは C:\Program Files
(x86)\Palo Alto Networks\User-ID Agent フォルダにイ
ンストールされますが、[ 参照 ] をクリックして別の場
所を指定することもできます。
4.
インストールの完了後、[ 閉じる ] をクリックしてセッ
トアップ ウィンドウを閉じます。
ステップ 4
User-ID エージェント アプリ 1.
ケーションを起動します。
[ スタート ] をクリックし、[User-ID エージェント ] を
選択します。
ステップ 5
(任意)User-ID エージェント デフォルトでは、エージェントは .msi ファイルのインス
がログインに使用するサービ トールに使用された管理者アカウントを使用します。ただ
ス アカウントを変更します。 し、以下の手順で、制限されたアカウントに切り替えるこ
ともできます。
1. [ ユーザー ID] > [ セットアップ ] の順に選択し、[ 編集 ]
をクリックします。
300
2.
[ 認証 ] タブを選択し、User-ID エージェントが使用する
サービス アカウント名を [Active Directory 用のユー
ザー名 ] フィールドに入力します。
3.
指定したアカウントの [ パスワード ] を入力します。
User-ID
IP アドレス対ユーザーのマッピング
User-ID
Windows User-ID エージェントのインストール(続き)
ステップ 6
(任意)インストール フォル 1.
ダにアカウントの権限を割り
当てます。
User-ID エージェントに設定し
たサービス アカウントがドメ
インの管理者グループのメン
バ ー ま た は Server Operators と
Event Log Readers グループの両
方のメンバーでない場合の
み、この手順を実行する必要
があります。
インストール フォルダにサービス アカウントの権限を
割り当てます。
a. Windows Explorer で、 C:\Program Files\Palo Alto
Networks に移動し、フォルダを右クリックして [プロ
パティ] を選択します。
b. [ セキュリティ] タブで、User-ID エージェント サー
ビス アカウントを [ 追加 ] し、[ 変更 ]、[ 読み取り
と実行 ]、[ フォルダの内容の一覧表示 ]、および [ 読
み取り ] の権限を割り当て、[OK] をクリックしてア
カウント設定を保存します。
2.
User-ID エージェントのレジストリ サブツリーにサー
ビス アカウント権限を割り当てます。
a. regedit32 を実行し、以下のいずれかの場所にある
Palo Alto Networks サブツリーに移動します。
– 32- ビット システム —
HKEY_LOCAL_MACHINE\Software\Palo Alto Networks
– 64- ビット システム —
HKEY_LOCAL_MACHINE\Software\WOW6432Node\Palo
Alto Networks
b. [Palo Alto Networks] ノードを右クリックし、[ アクセ
ス許可 ] を選択します。
c. User-ID サービス アカウントに [ フル コントロール ] を
割り当て、[OK] をクリックして設定を保存します。
3.
ドメイン コントローラ上で、サービス アカウントをビ
ルトイン グループに追加することにより、セキュリ
テ ィ ロ グ イ ベ ン ト の 読 み 取 り(Event Log Reader グ
ループ)およびセッションの開始(Server Operator グ
ループ)の権限を有効にします。
a. MMC を実行し、[Active Directory ユーザーとコンピュー
ター] スナップインを実行します。
b. ドメインのビルトイン フォルダに移動し、編集する
グループ(Event Log Reader およびServer Operator)の
それぞれを右クリックして [ グループに追加 ] を選択
してプロパティ ダイアログを開きます。
c. [ 追加 ] をクリックし、User-ID サービスが使用するよ
うに設定したサービス アカウントの名前を入力し、
[ 名前の確認 ] をクリックして正しいオブジェクト名
であることを検証します。
d. [OK] を 2 回クリックして設定を保存します。
User-ID
301
IP アドレス対ユーザーのマッピング
User-ID
ユーザー マッピングのための User-ID エージェントの設定
Palo Alto Networks User-ID エージェントは、Active Directory サーバー、Microsoft Exchange サー
バー、および Novell eDirectory サーバーなど、ネットワーク上のサーバーに接続し、ログオンお
よびログオフ イベントのログをモニターする Windows サービスです。エージェントはこの情報
を使用して IP アドレスをユーザー名にマッピングします。Palo Alto Networks のファイアウォー
ルは User-ID エージェントに接続してこのユーザー マッピング情報を取得します。これによ
り、IP アドレスではなくユーザー名でのユーザー アクティビティへの可視性が得られ、ユー
ザーベースおよびグループベースのセキュリティ実施が可能になります。
User-ID エージェントでサポートされるサーバー OS のバージョンの詳細は、Palo Alto Networks
の『ソフトウェア更新』ページから入手できる『User-ID エージェント リリース ノート』の
「User-ID エージェントのオペレーティング システム (OS) 互換性」を参照してください。
User-ID エージェントを使用した IP アドレス対ユーザーのマッピング
ステップ 1
302
User-ID エージェント アプリ 1.
ケーションを起動します。
Windows の [ スタート ] メニューから [ ユーザー ID エー
ジェント ] を選択します。
User-ID
IP アドレス対ユーザーのマッピング
User-ID
User-ID エージェントを使用した IP アドレス対ユーザーのマッピング(続き)
ステップ 2
IP アドレス対ユーザーのマッピ 1.
ン グ 情 報 を 収 集 す る た め に 2.
User-ID エージェントがモニタ
リングするサーバーを定義し
3.
ます。
User-ID エージェントは最大
100 台のサーバーをモニタリン 4.
グでき、最大 100 個の Syslog 送
信元からの Syslog メッセージを
リッスンできます。
必要なマッピング情報をすべ
て収集するには、ユーザーが 5.
ログインするすべてのサー
バーに接続し、ログオン イベ
ントを含むすべてのサーバー
のセキュリティ ログ ファイル
をモニタリングできるように
する必要があります。
6.
User-ID
[ ユーザー ID] > [ 検出 ] の順に選択します。
画面の [ サーバー] セクションで [ 追加 ] をクリックし
ます。
モニター対象のサーバーの [ 名前 ] と [ サーバー アドレ
ス ] を 入 力 し ま す。ネ ッ ト ワ ー ク ア ド レ ス に は、
FQDN または IP アドレスを指定できます。
[ サーバー タイプ ]([Microsoft Active Directory]、
[Microsoft Exchange]、[Novell eDirectory]、または
[Syslog Sender])を 選 択 し、[OK] を ク リ ッ ク し て
サーバー エントリを保存します。モニター対象の各
サーバーに対してこの手順を繰り返します。
(任意)DNS 検索を使用してファイアウォールで自動
的にネットワークのドメイン コントローラを検出でき
るようにするには、[ 自動検出 ] をクリックします。
自動検出で検出できるのはローカル ドメイン内
の ド メ イ ン コ ン ト ロ ー ラ の み で す。Exchange
サーバー、eDirectory サーバー、および Syslog 送
信元は手動で追加する必要があります。
(任意)ファイアウォールが設定済みサーバーに対し
てマッピング情報をポーリングする頻度を調整するに
は、[ ユーザー ID] > [ セットアップ ] の順に選択し、
[ セットアップ ] セクションの [ 編集 ] を選択します。
[ サーバー モニタ ] タブで、[ サーバー ログのモニター
頻度(秒)] フィールドの値を変更します。ドメイン
コントローラが古い環境やリンクの遅延が大きな環境
の場合、このフィールドの値を 5 秒に増やすことをお
勧めします。[OK] をクリックして変更を保存します。
303
IP アドレス対ユーザーのマッピング
User-ID
User-ID エージェントを使用した IP アドレス対ユーザーのマッピング(続き)
ステップ 3
(任意)エージェントが Novell 1.
eDirectory サーバーに接続する
よ う に 設 定 し た 場 合、エ ー
ジェントがディレクトリを検 2.
索する方法を指定する必要が
あります。
[ ユーザー ID] > [ セットアップ ] の順に選択し、ウィン
ドウの [ セットアップ ] セクションの [ 編集 ] をクリッ
クします。
[eDirectory] タブを選択し、以下のフィールドを入力し
ます。
• 検索ベース — エージェントによるクエリの開始点ま
たはルート コンテキスト。例 : dc=domain1, dc=example,
dc=com
• 識別名のバインド — ディレクトリにバインドする
ために使用するアカウント。例 : cn=admin, ou=IT,
dc=domain1, dc=example, dc=com
• バインド パスワード — バインド アカウントのパス
ワード。エージェントは暗号化したパスワードを設
定ファイルに保存します。
• 検索フィルタ — ユーザー エントリの検索クエリ(デ
フォルトは objectClass=Person)。
• サーバー ドメイン プレフィックス — ユーザーを一
意に識別するためのプレフィックス。これは、名前
空間に重複がある場合(たとえば他のディレクトリ
からの同じ名前の異なるユーザーなど)にのみ必要
です。
• SSL の使用 — eDirectory バインドに SSL を使用する
には、このチェック ボックスをオンにします。
• Verify Server Certificate — SSL 使用時に eDirectory
サーバー証明書を検証する場合はこのチェック ボッ
クスをオンにします。
304
User-ID
IP アドレス対ユーザーのマッピング
User-ID
User-ID エージェントを使用した IP アドレス対ユーザーのマッピング(続き)
ステップ 4
(任意)クライアント プローブ 1.
を有効にします。
クライアント プローブは、IP
アドレスがユーザー強くバイ 2.
ンドされていない環境で有用
です。クライアント プローブ
により、以前にマッピングし
たアドレスがまだ有効である
ことが確認されるためです。
ただし、取得した IP アドレス
の数が大きくなると、生成さ
れるトラフィックの量も増大
します。ベスト プラクティス
として、IP アドレスのターン
オーバーが高いネットワーク
セグメントのみプローブを有
効にします。
[クライアントによるプローブ] タブで、[WMI プローブ
の有効化 ] チェック ボックスまたは [NetBIOS プローブ
の有効化 ] チェック ボックスをオンにします。
Windows ファイアウォールで、プローブ対象のクライア
ントごとにリモート管理の例外を追加することによ
り、クライアントのプローブを許可します。
NetBIOS によるプローブを効果的に行うには、
プローブされる各クライアント PC の Windows
ファイアウォールでポート 139 を許可し、ファ
イルやプリンタの共有サービスを有効にする必
要 が あ り ま す。可 能 な 場 合 は 常 に NetBIOS プ
ローブではなく WMI プローブを使用することを
お勧めします。
クライアント プローブを使用す
る User-ID エージェントの配置
の詳細は、以下の文書を参照し
てください。『Architecting User
Identification (User-ID) Deployments』
(英語)
ステップ 5
設定を保存します。
[OK] をクリックして User-ID エージェントのセットアップ
設定を保存し、[コミット] をクリックして User-ID エージェ
ントを再起動し、新しい設定をロードします。
ステップ 6
(任意)サービス アカウント
や kiosk アカウントなど、IP ア
ドレス対ユーザー名のマッピ
ングが不要な一連のユーザー
を定義します。
ignore_user_list.txt
ファイルを作成し、エージェントが
インストールされているドメイン サーバーの User-ID エー
ジェント フォルダに保存します。
無視するユーザー アカウントをリストします。リストに追
加するアカウント数に制限はありません。各ユーザー アカ
ウント名は、1
行ずつ指定する必要があります。例 :
また ignore-user リスト
を使用して、キャプティ SPAdmin
ブ ポータルを使用した SPInstall
認証の実施が必要なユー TFSReport
ザーを識別することもで
きます。
User-ID
305
IP アドレス対ユーザーのマッピング
User-ID
User-ID エージェントを使用した IP アドレス対ユーザーのマッピング(続き)
ステップ 7
ステップ 8
306
ファイアウォールが User-ID エー ユーザー マッピングの取得のために User-ID エージェント
ジェントと接続するように設 に接続する各ファイアウォールで、以下の手順を実行し
定します。
ます。
1. [Device] > [ ユーザー ID] > [User-ID エージェント ] の
順に選択し、[ 追加 ] をクリックします。
2.
[名前] に、User-ID エージェントの名前を入力します。
3.
[ ホスト ] に、User-ID エージェントがインストールされ
ている Windows ホストの IP アドレスを入力します。
4.
エージェントがユーザー マッピング要求をリッスンす
る [ ポート ] 番号を入力します。この値は、User-ID エー
ジェント上で設定された値と一致する必要がありま
す。フ ァ イ ア ウ ォ ー ル お よ び 新 し い バ ー ジ ョ ン の
User-ID エ ー ジ ェ ン ト で は、ポ ー ト は デ フ ォ ル ト で
5007 に設定されます。ただし、一部の古いバージョン
の User-ID エージェントはデフォルトで 2010 を使用し
ます。
5.
設定が [ 有効 ] になっていることを確認し、[OK] をク
リックします。
6.
変更を [ コミット ] します。
7.
[ 接続済み ] の状態が接続済み(緑色のライト)と表示
されていることを確認します。
User-ID エージェントが IP アド 1.
レスをユーザー名に正しく
マッピングしていることと、 2.
ファイアウォールがエージェ
ントに接続できることを確認
します。
3.
User-ID エージェントを起動し、[ ユーザー ID] を選択し
ます。
エージェントの状態が、[エージェントは実行中です] に
なっていることを確認します。エージェントが実行さ
れていない場合は、[ 開始 ] をクリックします。
User-ID エージェントがモニター対象のサーバーに接続
できることを確認するには、各サーバーの状態が[接続
済み ] になっていることを確認します。
4.
ファイアウォールが User-ID エージェントに接続でき
ることを確認するには、接続済みデバイスそれぞれの
状態が [ 接続済み ] になっていることを確認します。
5.
User-ID エージェントが IP アドレスをユーザー名にマッ
ピングしていることを確認するには、[ モニタリング ]
を選択し、マッピング テーブルにデータが入力されて
いることを確認します。特定のユーザーを [ 検索 ] した
り、ユーザー マッピングをリストから [ 削除 ] したり
できます。
User-ID
IP アドレス対ユーザーのマッピング
User-ID
PAN-OS 統合 User-ID エージェントを使用したユーザー マッピングの設定
以下の手順では、ファイアウォール上の PAN-OS 統合エージェントをユーザー マッピングのた
めに設定する方法を示します。統合 User-ID エージェントは、Windows ベースのエージェントと
同じタスクを実行しますが、例外として NetBIOS クライアント プローブはサポートされていま
せん(WMI プローブはサポートされています)。
統合 User-ID エージェントを使用した IP アドレス対ユーザーのマッピング
ステップ 1
ユーザー マッピング データを • Windows 2008 以降のドメイン サーバー —「Event Log
Readers」グループにアカウントを追加します。オンデバ
収集するためにモニターする
イスの User-ID エージェントを使用している場合、アカ
各サービスまたはホストにロ
ウントが「Distributed COM Users」グループのメンバーに
グ イ ン す る 権 限 を 持 つ Active
もなっている必要があります。
Directory (AD) ア カ ウ ン ト を
ファイアウォール エージェン
• Windows 2003 ドメイン サーバー —「監査とセキュリティ
トに作成します。
ログの管理」許可がグループ ポリシーに割り当てられ
ます。
• WMI プローブ — CIMV2 名前空間を読み取る権限を持つ
アカウントが必要です。デフォルトでは、ドメイン管理
者アカウントとサーバー オペレーター アカウントにこの
権限があります。
• NTLM 認証 — オンデバイス User-ID エージェントによる
NTLM 認証を使用する場合、ファイアウォールがドメイ
ンに参加する必要があるため、NTLM アクセス用に作成
する Windows アカウントに管理者権限が必要となりま
す。複数の仮想システムを設定している場合、同じホス
トで実行される仮想システムで AD の制約があるため、
vsys1 のみがドメインに参加できます。
User-ID
307
IP アドレス対ユーザーのマッピング
User-ID
統合 User-ID エージェントを使用した IP アドレス対ユーザーのマッピング(続き)
ステップ 2
1.
[Device] > [User-ID] > [ ユーザー マッピング ] の順に選
択します。
2.
画面の [ サーバー モニタリング ] セクションで [ 追加 ]
をクリックします。
3.
サーバーの [ 名前 ] と [ ネットワーク アドレス ] を入力
します。ネットワーク アドレスには、FQDN または IP
アドレスを指定できます。
4.
[ タイプ ] フィールドで、サーバーのタイプを選択し
ます。
必要なマッピング情報をすべ
5.
て収集するには、ユーザーが
ログインしているすべての
サーバーに接続し、ログオン 6.
イベントを含むすべてのサー
バーのセキュリティ ログ ファ
イルをファイアウォールでモ
ニタリングできるようにする
必要があります。
[ 有効 ] チェックボックスがオンになっていることを確
認し、[OK] をクリックします。
ファイアウォールでモニタリ
ングするサーバーを定義し、
IP アドレス対ユーザー マッピ
ン グ の 情 報 を 収 集 し ま す。
ネットワークで最大 100 個の
Microsoft Active Directory、Microsoft
Exchange、または Novell eDirectory
サーバーのエントリを定義で
きます。
(任意)DNS 検索を使用してファイアウォールで自動
的にネットワークのドメイン コントローラを検出でき
るようにするには、[ 検出 ] をクリックします。
自動検出機能は、ドメイン コントローラの場合
のみ有効です。Exchange Server や eDirectory サー
バーをモニタリングする場合、手動でそれらを
追加する必要があります。
7.
308
(任意)ファイアウォールが設定済みサーバーに対し
てマッピング情報をポーリングする頻度を調整するに
は、画面の [Palo Alto Networks ユーザー ID エージェン
ト設定 ] セクションを編集して [ サーバー モニタ ] タブ
を選択します。[ サーバー ログのモニター頻度(秒)]
フィールドで値を変更します。DC が古い環境やリン
クの遅延が大きな環境の場合、このフィールドの値を
5 秒に増やすことをお勧めします。[OK] をクリックし
て変更を保存します。
User-ID
IP アドレス対ユーザーのマッピング
User-ID
統合 User-ID エージェントを使用した IP アドレス対ユーザーのマッピング(続き)
ステップ 3
ステップ 4
ステップ 5
ステップ 6
ファイアウォールで Windows リ 1.
ソースへのアクセスに使用す
る、アカウントのドメイン認証 2.
情報を設定します。この設定は
Exchange サーバーとドメイン コ
ントローラのモニター、および
WMI プローブに必要です。
画面の [Palo Alto Networks ユーザー ID エージェント設
定 ] セクションを編集します。
(任意)WMI プローブを有効に 1.
します。
[ クライアントによるプローブ ] タブで、[ プローブの
有効化 ] チェックボックスをオンにします。
オンデバイス エージェ 2.
ン ト で は NetBIOS プ
ローブがサポートされて
おらず、Windows ベース 3.
の User-ID エージェント
でのみサポートされてい
ます。
(任意)必要に応じて [ プローブ間隔 ] の値を変更し、
取得した IP アドレスをすべてプローブするのに十分な
時間を確保します。
1.
[OK] をクリックして、User-ID エージェントの設定を
保存します。
2.
設定を保存するには [ コミット ] をクリックします。
設定を保存します。
(任意)サービス アカウントや 1.
kiosk アカウントなど、IP アド 2.
レス対ユーザー名のマッピン
グが不要な一連のユーザーを
定義します。
また ignore-user リスト
を使用して、キャプティ
ブ ポータルを使用した
認証の実施が必要なユー
ザーを識別することもで
きます。
Windows ファイアウォールでは、プローブ対象のクライ
アントごとにリモート管理の例外を追加することで、
クライアントのプローブが許可されます。
ファイアウォールに対する CLI セッションを開きます。
ファイアウォールでのマッピングが不要なユーザー ア
カウントのリストを追加するには、以下のコマンドを
実行します。
set user-id-collector ignore-user <value>
<value> は無視するユーザー アカウントのリストで、
リストに追加するアカウント数に制限はありません。
エントリをスペースで区切ります。ユーザー名にはド
メイン名を含めません。例 :
set user-id-collector ignore-user SPAdmin SPInstall
TFSReport
3.
User-ID
[WMI 認証 ] タブで、[ ユーザー名 ] と [ パスワード ]
フィールドに、クライアントのプローブとサーバーの
モニタリングに使用するアカウントの名前とパスワー
ドを入力します。domain\username 構文を使用してユー
ザー名を入力します。
変更を [ コミット ] します。
309
IP アドレス対ユーザーのマッピング
User-ID
統合 User-ID エージェントを使用した IP アドレス対ユーザーのマッピング(続き)
ステップ 7
設定を確認します。
1.
CLI から以下のコマンドを入力します。
show user server-monitor state all
2.
Web インターフェイスで [Device] > [User-ID] > [ ユー
ザー マッピング ] の順に選択して、サーバーのモニタ
リング用に設定したサーバーごとに、[ 状態 ] が [ 接続
済み ] になっていることを確認します。
Syslog 送信元からユーザー マッピングを受信するための User-ID の設定
以下のトピックでは、User-ID エージェント(Windows エージェントまたはファイアウォール上
の統合エージェント)を「Syslog」リスナーとして設定する方法を説明します。

Syslog リスナーとしての統合 User-ID エージェントの設定

Syslog リスナーとしての Windows User-ID エージェントの設定
Syslog リスナーとしての統合 User-ID エージェントの設定
以下のワークフローは、PAN-OS 統合 User-ID エージェントが認証サービスから Syslog メッセー
ジを受信するように設定する方法を示しています。
PAN-OS 統合 User-ID エージェントは、SSL および UDP 上でのみ Syslog を受け入れます。
310
User-ID
IP アドレス対ユーザーのマッピング
User-ID
Syslog 送信元からのユーザー マッピングの収集
ステップ 1
対象の Syslog 送信元に対する事 1.
前定義された Syslog フィルタが
あるかどうかを確認します。
アプリケーション データベース、またはアプリケーショ
ンおよび脅威データベースが最新であることを確認し
ます。
Palo Alto Networks では、いくつ
かの事前定義済みフィルタを
提供しています。これらはア
プリケーション コンテンツの
更新として配信されるため、
新しいフィルタが開発される
と動的に更新されます。事前 2.
定義済みフィルタはファイア
ウォールでグローバルに適用
さ れ ま す。一 方、手 動 で 定 義
されたフィルタは 1 つの仮想シ
ステムのみに適用されます。
a. [Device] > [ ダイナミック更新 ] の順に選択します。
特定のコンテンツ リリー
スに含まれている新しい
Syslog フィルタには、対
応するリリース ノート内
に説明があり、フィルタ
を定義するために使用す
る具体的な正規表現も記
載されています。
User-ID
b. [ 今すぐチェック ](ウィンドウの左下にある)をク
リックして最新の更新があるかどうか確認します。
c. 新しい更新が入手可能な場合、[ ダウンロード ] およ
び [ インストール ] します。
使用可能な事前定義フィルタを確認します。
a. [Device] > [User-ID] > [ ユーザー マッピング ] の順に
選択します。
b. 画面の [ サーバー モニタリング ] セクションで [ 追加 ]
をクリックします。
c. サーバーの [ タイプ ] として [Syslog Sender] を選択
します。
d. [ フィルタ ] ドロップダウンを選択し、Syslog の転送
元にする予定の製造元や製品に対するフィルタがあ
るかどうかを確認します。必要なフィルタがある場
合、ステップ 5 のサーバーを定義する手順に進みま
す。必要なフィルタがない場合、ステップ 2 に進み
ます。
311
IP アドレス対ユーザーのマッピング
User-ID
Syslog 送信元からのユーザー マッピングの収集(続き)
ステップ 2
Syslog メッセージから User-ID の 1.
IP アドレス対ユーザー名マッ
ピング情報を抽出するための
Syslog フィルタを手動で定義し
ます。
User-ID エージェントで解析す
るためには、Syslog メッセージ
は以下の条件を満たす必要が
あります。
• 各 Syslog メッセージは 1 行の
文 字 列 で ある こ と。改 行 は 2.
キャリッジ リターンとニュー
ライン (\r\n) またはニュー
ライン (\n) で区切られてい 3.
ること。
• 個々の Syslog メッセージの最 4.
大許容サイズは 2048 バイト。 5.
• UDP 上で送信された Syslog
メッセージは 1 つのパケッ
トに含まれること。SSL 上で
送信されたメッセージは複
数パケットにまたがること
ができる。
• 1 つのパケットは複数の Syslog
メッセージを含むことがで
きる。
312
認証サービスが生成した Syslog をレビューし、ログイン
イベントの構文を特定する。これにより、ファイア
ウォールが Syslog から認証イベントを識別および抽出す
るための照合パターンを作成できるようになります。
Syslog をレビュー中に、ログ エントリにドメイ
ン名が含まれているかどうかも確認します。認
証ログにドメイン情報が含まれていない場合
は、ステップ 5 でモニター対象サーバー リスト
に Syslog 送信元を追加するときにデフォルトの
ドメイン名を定義することを検討します。
[Device] > [ ユーザー ID] > [ ユーザー マッピング ] の順
に選択し、[Palo Alto Networks User-ID エージェント設
定 ] セクションを編集します。
[Syslog のフィルタ ] タブで、新しい Syslog 解析プロファ
イルを [ 追加 ] します。
[Syslog 解析プロファイル ] の名前を入力します。
以下のオプションのいずれかを選択して、ユーザー
マッピング情報をフィルタ抽出するために使用する解
析の [ タイプ ] を指定します。
• 正規表現の識別子 — このタイプの解析では、Syslog
メッセージのユーザー マッピング情報を識別して抽
出するための検索パターンを示す正規表現を指定し
ます。ステップ 3 の正規表現の識別子を作成する手
順に進みます。
• フィールド識別子 — このタイプの解析では、Syslog
内の認証イベントに一致する文字列を指定し、ユー
ザー マッピング情報を識別するプレフィックス、お
よびサフィックスの文字列を指定します。ステップ 4
のフィールド識別子を作成する手順に進みます。
User-ID
IP アドレス対ユーザーのマッピング
User-ID
Syslog 送信元からのユーザー マッピングの収集(続き)
ステップ 3
解析の [ タイプ ] として [ 正規 1.
表現の識別子 ] を選択した場
合、認証イ ベン トを識 別し、
ユーザー マッピング情報を抽
出するための正規表現照合パ
ターンを作成します。
下の例は、以下の形式の Syslog
メッセージを照合する正規表
現設定を示しています。
[Tue Jul 5 13:15:04 2005 CDT] Administrator
authentication success User:johndoe1
Source:192.168.3.212
2.
Syslog で単独のスペース
またはタブが区切り文字
として使用されている場 3.
合、エ ー ジ ェ ン ト が
Syslog を解析するには、
\s(スペース)または \t
(タブ)を使用する必要
があります。
4.
User-ID
[ イベントの正規表現 ] フィールドに照合パターンを入
力して、Syslog 内の成功した認証イベントの照合方法を
指定します。たとえば、例の Syslog メッセージに対し
て照合する場合、以下の正規表現は、ファイアウォー
ルで文字列 authentication success の最初の {1} インス
タンスを抽出することを指示します。スペースの前の
円記号は、スペースを特殊文字として扱わないように
正規表現エンジンに指示する標準の正規表現エスケー
プ文字です : (authentication\ success){1}
[ ユーザー名の正規表現 ] フィールドに認証成功メッ
セージ内のユーザー名の先頭を識別するための正
規 表 現 を 入 力 し ま す。た と え ば、正 規 表 現
User:([a-zA-Z0-9\\\._]+) は例のメッセージの文字列
User:johndoe1 に一致し、acme\johndoe1 を User-ID と
して抽出します。
Syslog にドメイン情報が含まれておらず、ユー
ザー マッピングにドメイン名が必要な場合は、
ステップ 5 でモニター対象サーバー エントリを
定義するときに必ず [ デフォルト ドメイン名 ] を
入力します。
[ アドレスの正規表現 ] フィールドに認証成功メッ
セージの IP アドレス部分を識別するための正規表
現 を 入 力 します。たとえば、正規表現 Source:([0-9]
{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}) は、IPv4
アドレス(例の Syslog 内の Source:192.168.0.212)に
一致します。
[OK] をクリックします。
313
IP アドレス対ユーザーのマッピング
User-ID
Syslog 送信元からのユーザー マッピングの収集(続き)
ステップ 4
解析の [タイプ] として [フィー 1.
ルド識別子 ] を選択した場合、
認証イベントを識別し、ユー
ザー マッピング情報を抽出す
るための文字列照合パターン
を定義します。
2.
下の例は、以下の形式の Syslog
メッセージを照合するフィール
ド識別子設定を示しています。
[Tue Jul 5 13:15:04 2005 CDT] Administrator
authentication success User:johndoe1
Source:192.168.3.212
[ユーザー名のプレフィックス] フィールドに認証 Syslog
メッセージ内のユーザー名フィールドの先頭を識別す
るために照合する文字列を入力します。たとえば、文
字列 User: は、例の Syslog 内のユーザー名フィールド
の先頭を識別します。
3.
認証 Syslog メッセージ内のユーザー名フィールドの終
了を示す [ ユーザー名の区切り文字 ] を入力します。た
とえば、ユーザー名の後にスペースがある場合、\s を
入力して例のログ内のユーザー名フィールドが単独ス
ペースで区切られていることを示します。
4.
[ アドレス プレフィックス ] フィールドに認証イベント
ログ内の IP アドレス フィールドの先頭を識別するた
めに照合する文字列を入力します。たとえば、文字列
Source: は、例のログ内のアドレス フィールドの先頭
を識別します。
Syslog で単独のスペース
5.
またはタブが区切り文字
として使用されている場
合、エ ー ジ ェ ン ト が
Syslog を解析するには、
\s(スペース)または \t
(タブ)を使用する必要 6.
があります。
314
[ イベントの文字列 ] フィールドに照合パターンを入力
して、Syslog 内の成功した認証イベントの照合方法を
指定します。たとえば、例の Syslog メッセージに照合
させる場合、Syslog 内の認証イベントを識別するには
文字列 authentication success を入力します。
認証成功メッセージ内の IP アドレス フィールドの終
了を示す [ アドレスの区切り文字 ] を入力します。たと
えば、アドレスの後に改行がある場合、\n を入力して
アドレス フィールドが改行で区切られていることを示
します。
[OK] をクリックします。
User-ID
IP アドレス対ユーザーのマッピング
User-ID
Syslog 送信元からのユーザー マッピングの収集(続き)
ステップ 5
ユーザー マッピングのために 1.
ファイアウォールに Syslog メッ
セージを送信するサーバーを 2.
定義します。
仮想システムごとに最大 50 個
の Syslog 送 信 元、合 計 で 最 大
100 台のモニター対象サーバー
(Syslog 送信元、Microsoft Active
Directory、Microsoft Exchange、
Novell eDirectory サーバーを含
む)を定義できます。ファイア
ウォールは、このリストにない
サーバーから受信した Syslog
メッセージは破棄します。
画面の [ サーバー モニタリング ] セクションで [ 追加 ]
をクリックします。
3.
サーバーの [ 名前 ] と [ ネットワーク アドレス ] を入力
します。
4.
サーバーの [ タイプ ] として [Syslog Sender] を選択し
ます。
5.
[ 有効 ] チェックボックスがオンになっていることを確
認します。
6.
(任意)認証デバイスが送信する Syslog のログイン イ
ベント ログにドメイン情報が含まれていない場合、
ユーザー マッピングに追加する [ デフォルト ドメイン
名 ] を入力します。
SSL を使用して接続して
7.
いる Syslog 送信元は、ア
クティブな SSL 接続があ
るときに [ 状態 ] に [ 接
続済み ] とだけ表示され
ま す。UDP を 使 用 し て
いる Syslog 送信元は、
[状態] の値が表示されま
せん。
User-ID
[Device] > [User-ID] > [ ユーザー マッピング ] の順に選
択します。
[OK] をクリックして設定を保存します。
315
IP アドレス対ユーザーのマッピング
User-ID
Syslog 送信元からのユーザー マッピングの収集(続き)
ステップ 6
ユーザー マッピングに使用する 1.
インターフェイスに関連付け
られた管理プロファイル内で
Syslog リスナー サービスを有効
にします。
2.
[Network] > [ ネットワーク プロファイル ] > [ インター
フェイス管理 ] の順に選択します。次に、編集するイ
ンターフェイス プロファイルを選択するか、[ 追加 ] を
クリックし、新しいプロファイルを作成します。
サーバー モニター リスト内の Syslog 送信元をセット
アップしたときに定義したプロトコルに応じて
[User-ID Syslog リスナー SSL] または [User-ID Syslog
リスナー UDP] を選択します。
Windows User-ID エージェント上では、UDP また
は TCP 上の Syslog に対するデフォルトのリスニ
ング ポートは 514 ですが、ポート値は設定可能
です。ファイアウォール上のエージェントレス
ユーザー マッピング機能では、UDP および SSL
上の Syslog のみがサポートされており、リスニ
ング ポート(UDP は 514、SSL は 6514)は設定
可能ではありません。リスニング ポートは管理
サービスを通じてのみ有効にできます。
3.
[OK] をクリックして、インターフェイス管理プロファ
イルを保存します。
インターフェイス上で User-ID Syslog リスナー
サービスを有効にした後でも、インターフェイス
が Syslog 接続を受けつけるのは、User-ID のモニ
ター対象サーバー設定内に対応するエントリがあ
るサーバーからのみです。リスト上にないサー
バーからの接続やメッセージは破棄されます。
ステップ 7
316
設定を保存します。
設定を保存するには [ コミット ] をクリックします。
User-ID
IP アドレス対ユーザーのマッピング
User-ID
Syslog 送信元からのユーザー マッピングの収集(続き)
ステップ 8
ファイアウォールへの SSH コネクションを開き、以下の CLI コマンドを実行することに
よって設定を確認します。
特定の Syslog 送信元の状態を表示するには、以下のコマンドを実行します。
admin@PA-5050> show user server-monitor state Syslog2
UDP Syslog Listener Service is enabled
SSL Syslog Listener Service is enabled
Proxy: Syslog2(vsys: vsys1)
Host: Syslog2(10.5.204.41)
number of log messages
:
number of auth. success messages
:
number of active connections
:
total connections made
:
1000
1000
0
4
Syslog 送信元から受信したログメッセージの数およびマッピングに成功したエントリの数を表示するには、以下の
コマンドを実行します。
admin@PA-5050> show user server-monitor statistics
Directory Servers:
Name
TYPE
Host
Vsys
Status
----------------------------------------------------------------------------AD
AD
10.2.204.43
vsys1
Connected
Syslog Servers:
Name
Connection Host
Vsys
Status
----------------------------------------------------------------------------Syslog1
UDP
10.5.204.40
vsys1
N/A
Syslog2
SSL
10.5.204.41
vsys1
Not connected
Syslog 送信元を通じて検出されたユーザー マッピングの数を表示するには、以下のコマンドを実行します。
admin@PA-5050> show user ip-user-mapping all type SYSLOG
IP
axTimeout(s)
--------------192.168.3.8
476
192.168.5.39
480
192.168.2.147
476
192.168.2.175
476
192.168.4.196
480
192.168.4.103
480
192.168.2.193
476
192.168.2.119
476
192.168.3.176
478
Vsys
From
User
IdleTimeout(s) M
------ ------- -------------------------------- -------------- vsys1 SYSLOG acme\jreddick
2476
2
vsys1
SYSLOG
acme\jdonaldson
2480
2
vsys1
SYSLOG
acme\ccrisp
2476
2
vsys1
SYSLOG
acme\jjaso
2476
2
vsys1
SYSLOG
acme\jblevins
2480
2
vsys1
SYSLOG
acme\bmoss
2480
2
vsys1
SYSLOG
acme\esogard
2476
2
vsys1
SYSLOG
acme\acallaspo
2476
2
vsys1
SYSLOG
acme\jlowrie
2478
2
Total: 9 users
Syslog リスナーとしての Windows User-ID エージェントの設定
以下のワークフローは、Windows ベースの User-ID エージェントが認証サービスからの Syslog を
リッスンするように設定する方法を示しています。
Windows User-ID エージェントは、TCP および UDP 上でのみ Syslog を受け入れます。
User-ID
317
IP アドレス対ユーザーのマッピング
User-ID
Windows User-ID エージェントが Syslog 送信元からユーザー マッピングを収集するための設定
ステップ 1
User-ID エージェント アプリケー 1.
ションを起動します。
[ スタート ] をクリックし、[User-ID エージェント ] を
選択します。
ステップ 2
Syslog メッセージから User-ID の 1.
IP アドレス対ユーザー名マッ
ピング情報を抽出するための
Syslog フィルタを手動で定義し
ます。
認証サービスが生成した Syslog をレビューし、ログイン
イベントの構文を特定する。これにより、ファイア
ウォールが Syslog から認証イベントを識別および抽出す
るための照合パターンを作成できるようになります。
User-ID エージェントで解析す
るためには、Syslog メッセージ
は以下の条件を満たす必要が
あります。
• 各 Syslog メッセージは 1 行の
文 字 列 で あ る こ と。改 行 は 2.
キャリッジ リターンとニュー
ライン (\r\n) またはニュー
ライン (\n) で区切られてい 3.
ること。
• 個々の Syslog メッセージの最 4.
大許容サイズは 2048 バイト。 5.
• UDP 上で送信された Syslog
メ ッセージは 1 つのパケッ
トに含まれること。SSL 上で
送信されたメッセージは複
数パケットにまたがること
ができる。
• 1 つのパケットは複数の Syslog
メッセージを含むことがで
きる。
318
Syslog をレビュー中に、ログ エントリにドメイ
ン名が含まれているかどうかも確認します。認
証ログにドメイン情報が含まれていない場合
は、ステップ 5 でモニター対象サーバー リスト
に Syslog 送信元を追加するときにデフォルトの
ドメイン名を定義することを検討します。
[ ユーザー ID] > [ セットアップ ] の順に選択し、ダイア
ログの [ セットアップ ] セクションの [ 編集 ] をクリッ
クします。
[Syslog] タブで、新しい Syslog 解析プロファイルを [追
加 ] します。
[ プロファイル名 ] と [ 内容 ] を入力します。
以下のオプションのいずれかを選択して、ユーザー
マッピング情報をフィルタ抽出するために使用する解
析の [ タイプ ] を指定します。
• 正規表現 — このタイプの解析では、Syslog メッセー
ジのユーザー マッピング情報を識別して抽出するた
めの検索パターンを示す正規表現を指定します。ス
テップ 3 の正規表現の識別子を作成する手順に進み
ます。
• フィールド — このタイプの解析では、Syslog 内の認
証イベントに一致する文字列を指定し、ユーザー
マッピング情報を識別するプレフィックス、および
サフィックスの文字列を指定します。ステップ 4 の
フィールド識別子を作成する手順に進みます。
User-ID
IP アドレス対ユーザーのマッピング
User-ID
Windows User-ID エージェントが Syslog 送信元からユーザー マッピングを収集するための設定(続き)
ステップ 3
解析の [ タイプ ] として [ 正規 1.
表現 ] を選択した場合、認証イ
ベ ン ト を 識 別 し、ユ ー ザ ー
マッピング情報を抽出するた
めの正規表現照合パターンを
作成します。
下の例は、以下の形式の Syslog
メッセージを照合する正規表
現設定を示しています。
[Tue Jul 5 13:15:04 2005 CDT] Administrator
authentication success User:johndoe1
Source:192.168.3.212
2.
[ イベントの正規表現 ] フィールドに照合パターンを入
力して、Syslog 内の成功した認証イベントの照合方法
を指定します。たとえば、例の Syslog メッセージに対
し て 照 合 す る 場 合、以 下 の 正 規 表 現 は、フ ァ イ ア
ウォールで文字列 authentication success の最初の {1}
インスタンスを抽出することを指示します。スペース
の前の円記号は、スペースを特殊文字として扱わない
ように正規表現エンジンに指示する標準の正規表現エ
スケープ文字です : (authentication\ success){1}
[ ユーザー名の正規表現 ] フィールドに認証成功メッセー
ジ内のユーザー名の先頭を識別するための正規表現を入
力します。たとえば、正規表現 User:([a-zA-Z0-9\\\._]+)
は例のメッセージの文字列 User:johndoe1 に一致し、
acme\johndoe1 を User-ID として抽出します。
Syslog にドメイン情報が含まれておらず、ユー
ザー マッピングにドメイン名が必要な場合は、
ステップ 5 でモニター対象サーバー エントリを
定義するときに必ず [ デフォルト ドメイン名 ] を
入力します。
3.
Syslog で単独のスペース
またはタブが区切り文字
として使用されている場
合、エ ー ジ ェ ン ト が
Syslog を解析するには、
\s(スペース)または \t 4.
(タブ)を使用する必要
があります。
User-ID
[ アドレスの正規表現 ] フィールドに認証成功メッセー
ジの IP アドレス部分を識別するための正規表現を入力
します。たとえば、正規表現 Source:([0-9]
{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}) は、IPv4
アドレス(例の Syslog 内の Source:192.168.0.212)に
一致します。
[OK] をクリックしてプロファイルを保存します。
319
IP アドレス対ユーザーのマッピング
User-ID
Windows User-ID エージェントが Syslog 送信元からユーザー マッピングを収集するための設定(続き)
ステップ 4
解析の [タイプ] として [フィー 1.
ルド識別子 ] を選択した場合、
認証イベントを識別し、ユー
ザー マッピング情報を抽出す
るための文字列照合パターン
を定義します。
2.
下の例は、以下の形式の Syslog
メッセージを照合するフィール
ド識別子設定を示しています。
[Tue Jul 5 13:15:04 2005 CDT] Administrator
authentication success User:johndoe1
Source:192.168.3.212
ステップ 5
320
[ イベントの文字列 ] フィールドに照合パターンを入力
して、Syslog 内の成功した認証イベントの照合方法を
指定します。たとえば、例の Syslog メッセージに照合
させる場合、Syslog 内の認証イベントを識別するには
文字列 authentication success を入力します。
[ ユーザー名のプレフィックス ] フィールドに認証 Syslog
メッセージ内のユーザー名フィールドの先頭を識別す
るために照合する文字列を入力します。たとえば、文
字列 User: は、例の Syslog 内のユーザー名フィールド
の先頭を識別します。
3.
認証 Syslog メッセージ内のユーザー名フィールドの終
了を示す [ ユーザー名の区切り文字 ] を入力します。た
とえば、ユーザー名の後にスペースがある場合、\s を
入力して例のログ内のユーザー名フィールドが単独ス
ペースで区切られていることを示します。
4.
[ アドレス プレフィックス ] フィールドに認証イベント
ログ内の IP アドレス フィールドの先頭を識別するた
めに照合する文字列を入力します。たとえば、文字列
Source: は、例のログ内のアドレス フィールドの先頭
を識別します。
Syslog で単独のスペース 5.
またはタブが区切り文字
として使用されている場
合、エ ー ジ ェ ン ト が
Syslog を解析するには、
\s(スペース)または \t 6.
(タブ)を使用する必要
があります。
認証成功メッセージ内の IP アドレス フィールドの終
了を示す [ アドレスの区切り文字 ] を入力します。たと
えば、アドレスの後に改行がある場合、\n を入力して
アドレス フィールドが改行で区切られていることを示
します。
エージェント上でリスニング 1.
サービスを有効にします。
[Syslog サービスを有効にする ] チェック ボックスをオ
ンにします。
2.
(任意)[Syslog サービス ポート ] 番号を Syslog 送信元
で使用されているポート番号と一致するように変更し
ます(デフォルトは 514)。
3.
エージェントの Syslog 設定を保存するには、[OK] をク
リックします。
[OK] をクリックしてプロファイルを保存します。
User-ID
IP アドレス対ユーザーのマッピング
User-ID
Windows User-ID エージェントが Syslog 送信元からユーザー マッピングを収集するための設定(続き)
ステップ 6
ステップ 7
User-ID
User-ID エージェントに Syslog 1.
メ ッ セ ー ジ を 送 信 す る サ ー 2.
バーを定義します。
[ ユーザー ID] > [ 検出 ] の順に選択します。
最大 100 個の Syslog 送信元を定 3.
義できます。User-ID エージェ
ン ト は、こ の リ ス ト に な い 4.
サ ー バ ー か ら 受 信 し た Syslog
メッセージは破棄します。
5.
エージェントに Syslog を送信するサーバーの [ 名前 ] と
[ サーバー アドレス ] を入力します。
6.
(任意)認証デバイスが送信する Syslog のログイン イ
ベント ログにドメイン情報が含まれていない場合、
ユーザー マッピングに追加する [ デフォルト ドメイン
名 ] を入力します。
7.
[OK] をクリックして設定を保存します。
設定を保存します。
画面の [ サーバー] セクションで [ 追加 ] をクリックし
ます。
[ サーバー タイプ ] として [Syslog Sender] を選択し
ます。
ステップ 2 で定義した [ フィルタ ] を選択します。
設定を保存するには [ コミット ] をクリックします。
321
IP アドレス対ユーザーのマッピング
User-ID
Windows User-ID エージェントが Syslog 送信元からユーザー マッピングを収集するための設定(続き)
ステップ 8
ファイアウォールへの SSH コネクションを開き、以下の CLI コマンドを実行することによっ
て設定を確認します。
特定の Syslog 送信元の状態を表示するには、以下のコマンドを実行します。
admin@PA-5050> show user server-monitor state Syslog2
UDP Syslog Listener Service is enabled
SSL Syslog Listener Service is enabled
Proxy: Syslog2(vsys: vsys1)
Host: Syslog2(10.5.204.41)
number of log messages
:
number of auth. success messages
:
number of active connections
:
total connections made
:
1000
1000
0
4
Syslog 送信元から受信したログメッセージの数およびマッピングに成功したエントリの数を表示するには、以下の
コマンドを実行します。
admin@PA-5050> show user server-monitor statistics
Directory Servers:
Name
TYPE
Host
Vsys
Status
----------------------------------------------------------------------------AD
AD
10.2.204.43
vsys1
Connected
Syslog Servers:
Name
Connection Host
Vsys
Status
----------------------------------------------------------------------------Syslog1
UDP
10.5.204.40
vsys1
N/A
Syslog2
SSL
10.5.204.41
vsys1
Not connected
Syslog 送信元を通じて検出されたユーザー マッピングの数を表示するには、以下のコマンドを実行します。
admin@PA-5050> show user ip-user-mapping all type SYSLOG
IP
axTimeout(s)
--------------192.168.3.8
476
192.168.5.39
480
192.168.2.147
476
192.168.2.175
476
192.168.4.196
480
192.168.4.103
480
192.168.2.193
476
192.168.2.119
476
192.168.3.176
478
Vsys
From
User
IdleTimeout(s) M
------ ------- -------------------------------- -------------- vsys1 SYSLOG acme\jreddick
2476
2
vsys1
SYSLOG
acme\jdonaldson
2480
2
vsys1
SYSLOG
acme\ccrisp
2476
2
vsys1
SYSLOG
acme\jjaso
2476
2
vsys1
SYSLOG
acme\jblevins
2480
2
vsys1
SYSLOG
acme\bmoss
2480
2
vsys1
SYSLOG
acme\esogard
2476
2
vsys1
SYSLOG
acme\acallaspo
2476
2
vsys1
SYSLOG
acme\jlowrie
2478
2
Total: 9 users
322
User-ID
IP アドレス対ユーザーのマッピング
User-ID
キャプティブ ポータルを使用した IP アドレス対ユーザー名のマッピング
User-ID が有効になっていて送信元 IP アドレスにユーザー データが関連付けられていないゾー
ンからの要求をファイアウォールが受信した場合、そのキャプティブ ポータル ポリシーで一致
をチェックして認証を実行するかどうかを決定します。これは、Linux クライアントなど、ドメ
イン サーバーにログインしていないクライアントがある環境で役立ちます。このユーザー マッ
ピング方法は、セキュリティ ルール / ポリシーに一致し、別の方法を使用してマッピングされ
ていない Web トラフィック(HTTP または HTTPS)でのみトリガーされます。

キャプティブ ポータルの認証方法

キャプティブ ポータルのモード

キャプティブ ポータルの設定
キャプティブ ポータルの認証方法
キャプティブ ポータルでは、要求がキャプティブ ポータルのポリシーと一致すると、以下の方
法によりユーザー データをクライアントから取得します。
認証方法
説明
NTLM 認証
ファイアウォールでは、暗号化されたチャレンジ レスポンス機構を使
用して、ユーザーの認証情報をブラウザから入手します。適切に設定
されている場合、ブラウザはユーザーに入力を求めずに透過的にファ
イアウォールに認証情報を提供しますが、必要に応じて認証情報の入
力を求めるメッセージが表示されます。ブラウザが NTLM を実行でき
ない場合、または NTLM 認証に失敗した場合、キャプティブ ポータル
設定に応じてファイアウォールは Web フォームまたはクライアント証
明書の認証に戻ります。
デ フ ォ ル ト で は、IE で NTLM が サ ポ ー ト さ れ て い ま す。Firefox と
Chrome は、NLTM を使用するように設定できます。Windows 以外のク
ライアントの認証には NTLM を使用できません。
Web フォーム
要求が Web フォームにリダイレクトされ認証されます。ローカル ユー
ザー データベース、RADIUS、LDAP、または Kerberos を使用してユー
ザーを認証するようにキャプティブ ポータルを設定できます。ユー
ザーは常に認証情報を要求されますが、この認証方法は、すべてのブ
ラウザおよびオペレーティング システムと連動します。
クライアント証明書の認証
有効なクライアント証明書をブラウザに要求してユーザーを認証しま
す。この方法を使用するには、各ユーザー システムのクライアント証
明書をプロビジョニングし、ファイアウォールでそれらの証明書を発
行するために使用する信頼された CA 証明書をインストールする必要が
あります。これは、Mac OS および Linux クライアントでメッセージを
表示しない認証を有効にする唯一の認証方法です。
User-ID
323
IP アドレス対ユーザーのマッピング
User-ID
キャプティブ ポータルのモード
キャプティブ ポータルのモードにより、Web 要求をキャプチャして認証を行う方法が定義され
ます。
モード
説明
メッセージを表示しない
キャプティブ ポータル ルールに従い、ファイアウォールがブラウザの
トラフィックを遮断して元の宛先 URL になりすまし、HTTP 401 を発行
して認証を呼び出します。ただし、ファイアウォールには宛先 URL の
実際の証明書がないため、保護されたサイトへのアクセスを試みる
ユーザーのブラウザには証明書エラーが表示されます。したがって、
このモードはレイヤー 2 やバーチャル ワイヤーのデプロイメントな
ど、絶対に必要な場合にのみ使用してください。
リダイレクト
ファイアウォールが不明な HTTP または HTTPS セッションを遮断し、
認証を実行するための HTTP 302 リダイレクトにより、それらのセッ
ションをファイアウォールのレイヤー 3 インターフェイスにリダイレ
クトします。より優れたエンドユーザー体験(証明書エラーなし)が
提供されるため、このモードの使用をお勧めします。ただし、追加の
レイヤー 3 設定が必要です。[ リダイレクト ] モードのもう 1 つの利点は
セッション Cookie を使用できることで、タイムアウトが発生するたび
に再度マッピングする必要なしに、ユーザーが継続して認証済みサイ
トを閲覧できます。ある IP アドレスから別の IP アドレス(企業 LAN
から無線ネットワークなど)にローミングするユーザーは、セッショ
ンが開かれている限り IP アドレスが変化しても再認証する必要がない
ため、このモードが特に役立ちます。さらに、NTLM 認証を使用する
場合、ブラウザは信頼されたサイトにのみ認証情報を提供するため、
[ リダイレクト ] モードを使用する必要があります。
キャプティブ ポータルの設定
以下の手順では、PAN-OS 統合 User-ID エージェントを使用するキャプティブ ポータルを設定
し、キャプティブ ポータル ポリシーに一致する要求を、ファイアウォールのレイヤー 3 イン
ターフェイスにリダイレクトする方法を示します。
他の User-ID 機能(ユーザー マッピングおよびグループ マッピング)を使用せずにキャプ
ティブ ポータルを使用する場合は、エージェントを設定する必要はありません。
324
User-ID
IP アドレス対ユーザーのマッピング
User-ID
PAN-OS 統合 User-ID エージェントを使用したキャプティブ ポータルの設定
今回の製品のリリースでは、ファイアウォールが MGT イ
ンターフェイスを介してサーバーと通信する必要があるた
め、このインターフェイスからディレクトリ サーバーが存
在するネットワークにアクセスできることを確認する必要
があります。お使いの環境でこの設定が機能しない場合、
Windows ベースの User-ID エージェントを使用してキャプ
ティブ ポータルを設定する必要があります。
ステップ 1
ファイアウォールに、ユーザー
データを収集するためにモニタ
リングするサーバー(ドメイン
コントローラ、Exchange Server
など)へのルートが存在するこ
とを確認します。
ステップ 2
ドメイン コントローラのアド 正しく名前が解決されていることを確認するには、サー
レスを解決するように DNS が バーの FQDN を ping します。例 :
設定されていることを確認し admin@PA-200> ping host dc1.acme.com
ます。
ステップ 3
(リダイレクト モードのみ) 1.
キャプティブ ポータルの要求を
リダイレクトするレイヤー 3 イ
ンターフェイスを作成します。
管理プロファイルを作成して、インターフェイスに
キャプティブ ポータルの応答ページを表示できるよう
にします。
a. [Network] > [ インターフェイス管理 ] の順に選択し、
[ 追加 ] をクリックします。
b. [ 名前 ] フィールドにプロファイル名を入力し、[ 応
答ページ ] を選択してから [OK] をクリックします。
User-ID
2.
レイヤー 3 インターフェイスを作成します。作成した管
理プロファイルが関連付けられていることを確認しま
す([Ethernet インターフェイス ] ダイアログの [ 詳細 ] >
[ その他の情報 ] タブ)。
3.
レイヤー 3 インターフェイスで設定した IP アドレスと
イントラネットのホスト名(ntlmhost など、名前に
ドットが含まれないホスト名)をマッピングする DNS
の「A」レコードを作成します。
325
IP アドレス対ユーザーのマッピング
User-ID
PAN-OS 統合 User-ID エージェントを使用したキャプティブ ポータルの設定(続き)
ステップ 4
自己署名証明書を使用するには、以下のとおり、まずルー
ト CA の証明書を作成してから、その CA を使用してキャ
プティブ ポータルに使用する証明書に署名する必要があり
ます。
1. ルート CA 証明書を作成するには、[Device] > [ 証明書
の管理 ] > [ 証明書 ] > [ デバイス証明書 ] の順に選択し、
[ 生成 ] をクリックします。[ 証明書名 ] テキストボッ
クスに「RootCA」などの名前を入力します。[ 署名者 ]
フィールドの値を選択すると、その証明書が自己署名
証明書であることを示すため、この値は選択しないで
ください。[ 認証局 ] チェックボックスがオンになって
キャプティブ ポータル
いることを確認してから [ 生成 ] をクリックすると、証
を初めてセットアップす
明書が生成されます。
る場合、インポートされ
た 証 明 書 は 機 能 し ま せ 2. キャプティブ ポータルに使用する証明書を作成するに
は、[ 生成 ] をクリックします。[ 証明書名 ] に名前を
ん。インポートされた証
入力し、インターフェイスのイントラネット ホストの
明 書 を 使 用 す る に は、
DNS 名前を [ 共通名 ] フィールドに入力します。[ 署名
[サーバー証明書] を指定
者
] フィールドで、前の手順で作成した CA を選択しま
せずに初期設定を完了し
す。IP アドレスの属性を追加し、要求のリダイレクト
ます。これでキャプティ
先となるレイヤー3 インターフェイスの IP アドレスを
ブ ポータルを有効にす
指定します。証明書を [ 生成 ] します。
れば、インポートされた
(リダイレクト モードのみ)証
明書エラーを表示せずにユー
ザーを透過的にリダイレクト
するには、要求をリダイレク
トする IP アドレスに一致する
証明書をインストールしま
す。自己署名証明書を生成す
るか、外部 CA によって証明さ
れた証明書をインポートでき
ます。
証明書に戻って切り替え
ることができます。
3.
326
クライアントが証明書を信頼するように設定するに
は、[ デバイス証明書 ] タブで CA 証明書を選択し、[ エ
クスポート ] をクリックします。次に、証明書を信頼
されたルート CA としてすべてのクライアント ブラウ
ザにインポートする必要があります。インポートはブ
ラ ウ ザ で 手動 で 設 定す る か、ま た は 証明 書 を Active
Directory のグループ ポリシー オブジェクト (GPO) の信
頼されたルートに追加します。
User-ID
IP アドレス対ユーザーのマッピング
User-ID
PAN-OS 統合 User-ID エージェントを使用したキャプティブ ポータルの設定(続き)
ステップ 5
Web フォームが呼び出された場 1.
合に使用する認証方式を設定
します。NTLM を使用する場合
でも、NTLM 認証に失敗した場
合や、ユーザー エージェント
で NTLM 認証がサポートされ
ていない場合に使用できる、
二次的な認証方式として設定
する必要があります。
使用する予定の認証サービスに接続して認証情報にアク
セスできるように、ファイアウォールを設定します。
ベスト プラクティス :
• ローカル データベース認証を使用する場合、まず
ローカル データベースを作成する必要があります。
[Device] > [ ローカル ユーザー データベース ] の順に
選択し、認証するユーザーおよびグループを追加し
ます。
•RADIUS を使用してユー
ザーを Web フォームから
認証する場合、RADIUS
ドメインを入力する必要
があります。このドメイ 2.
ンは、ユーザーがログイ
ン時にドメインを指定し
ない場合のデフォルトと
して使用されます。
•AD を使用してユーザー
を Web フ ォ ー ム か ら 認
証する場合、
[sAMAccountName] を
[LogonAttribute] として入
力する必要があります。
User-ID
• LDAP、Kerberos または RADIUS を使用して認証を行
う場合、サービスへの接続方法と、ユーザーの認証
情報にアクセスする方法をファイアウォールに指示
するサーバー プロファイルを作成する必要がありま
す。[Device] > [ サーバー プロファイル ] の順に選択
し、アクセスする特定サービスの新しいプロファイ
ルを追加します。
サーバー プロファイルまたは先ほど作成したローカル
ユーザー データベースを参照する認証プロファイルを
作成します。[Device] > [ 認証プロファイル ] の順に選
択し、キャプティブ ポータルで使用する新しいプロ
ファイルを追加します。特定のタイプの認証プロファ
イル作成の詳細は、オンライン ヘルプを参照してくだ
さい。
327
IP アドレス対ユーザーのマッピング
User-ID
PAN-OS 統合 User-ID エージェントを使用したキャプティブ ポータルの設定(続き)
ステップ 6
(任意)クライ アン ト証明 書 1.
の認証を設定します。認証プ
ロファイルとクライアント証 2.
明書のプロファイルを両方設
3.
定しなくても、キャプティブ
ポータルは使用できます。両
方設定する場合は、両方の認
証方式でユーザーを認証する
必要があります。
キャプティブ ポータルを使用して認証を行うユーザー
ごとに証明書を生成します。
Base64 形式で CA 証明書をダウンロードします。
クライアント証明書を生成した CA からファイアウォー
ルに、ルート CA 証明書をインポートします。
a. [Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス
証明書 ] の順に選択し、[ インポート ] をクリックし
ます。
b. [ 証明書名 ] フィールドに、クライアント CA 証明書
であることを識別できる名前を入力します。
CRL と OCSP のどちらを
使用するかなど、その他
の証明書プロファイル
フィールドの詳細は、オ
ンライン ヘルプを参照
してください。
c. [ 参照 ] をクリックして、CA からダウンロードした
証明書ファイルを選択します。
d. [Base64 エンコード済み証明書 (PEM)] を [ ファイル
フォーマット ] フィールドで選択し、[OK] をクリッ
クします。
e. [ デバイス証明書 ] タブで、先ほどインポートした証
明書を選択して開きます。
f. [ 信頼されたルート CA] を選択して [OK] をクリック
します。
4.
キャプティブ ポータルの設定に使用する、クライアン
トの証明書プロファイルを作成します。
a. [Device] > [ 証明書 ] > [ 証明書の管理 ] > [ 証明書プ
ロファイル ] の順に選択し、[ 追加 ] をクリックして
[ 名前 ] フィールドにプロファイル名を入力します。
b. [ユーザー名フィールド] ドロップダウン リストから、
User-ID の情報を含む証明書を選択します。
c. [CA 証明書 ] フィールドで [ 追加 ] をクリックし、イ
ンポートした「信頼されたルート CA」の証明書を
選択してから [OK] をクリックします。
328
User-ID
IP アドレス対ユーザーのマッピング
User-ID
PAN-OS 統合 User-ID エージェントを使用したキャプティブ ポータルの設定(続き)
ステップ 7
NTLM 認証を有効にします。
1.
デバイス上の User-ID エー
ジェントを使用する場
合、ファイアウォールが 2.
ドメインに参加するに
は、ファイアウォールで 3.
ドメイン コントローラの
DNS 名を正常に解決でき
るようにする必要があり 4.
ます。以下で指定する認
証情報が使用され、DNS
の名前が解決された時点
でファイアウォールがド
メインに参加します。
User-ID
[Device] > [ ユーザー ID] > [ ユーザー マッピング ] の順
に選択し、画面の [Palo Alto Networks ユーザー ID エー
ジェント設定 ] セクションを編集します。
[NTLM] タブで [NTLM 認証処理の有効化 ] チェックボッ
クスをオンにします。
ファイアウォールの User-ID エージェントが NTLM 認
証情報を確認する対象となる NTLM ドメインを入力し
ます。
「統合 User-ID エージェントを使用した IP アドレス対
ユーザーのマッピング」のステップ 1で NTLM 認証用に
作成した Active Directory アカウントのユーザー名とパス
ワードを入力します。
329
IP アドレス対ユーザーのマッピング
User-ID
PAN-OS 統合 User-ID エージェントを使用したキャプティブ ポータルの設定(続き)
ステップ 8
キャプティブ ポータルを設定し 1.
ます。
[Device] > [ ユーザー ID] > [ キャプティブ ポータルの設
定 ] の順に選択し、画面の [ キャプティブ ポータル ] セ
クションを編集します。
2.
[ 有効 ] チェックボックスがオンになっていることを確
認します。
3.
[ モード ] を設定します。この例では、[ リダイレクト ]
モードの設定方法について説明します。
4.
(リダイレクト モードのみ)[ サーバー証明書 ] で、
ファイアウォールが SSL 経由で要求のリダイレクトに
使用する証明書を選択します。この証明書は、ステッ
プ 4 で作成した証明書です。
5.
(リダイレクト モードのみ)[ ホストのリダイレクト ]
フィールドでホストを指定します。これは、ステッ
プ 3 で指定したように要求のリダイレクトに使用する
レイヤー 3 インターフェイスの IP アドレスに解決され
るイントラネットのホスト名です。
6.
NTLM が失敗した場合(または NTLM を使用しない場
合)に使用する認証方式を選択します。
• LDAP、Kerberos、RADIUS、またはローカル データ
ベース認証を使用する場合、[ 認証プロファイル ]
フィールドで、ステップ 5 で作成したプロファイル
を選択します。
• クライアント証明書の認証を使用する場合、[ 証明書
プロファイル ] フィールドで、ステップ 6 で作成し
た証明書を選択します。
330
7.
[OK] をクリックして、設定を保存します。
8.
[Commit] をクリックしてキャプティブ ポータルの設定
を保存します。
User-ID
IP アドレス対ユーザーのマッピング
User-ID
ターミナル サーバー ユーザー向けのユーザー マッピング設定
個々のターミナル サーバー ユーザーは同じ IP アドレスを持っているように見えるため、IP ア
ドレスからユーザー名へのマッピングは、特定のユーザーを識別するのに十分ではありませ
ん。Windows ベースのターミナル サーバー上の特定のユーザーを識別できるようにするため、
Palo Alto Networks ターミナル サービス エージェント(TS エージェント)は各ユーザーにポート
範囲を割り当てます。その後、接続されているすべてのファイアウォールに、割り当てたポー
ト範囲について通知します。これにより、ファイアウォールは IP アドレス対ポート対ユーザー
のマッピング テーブルを作成し、ユーザーベースおよびグループベースのセキュリティポリ
シーを実施できるようになります。Windows 以外のターミナル サーバーに対しては、User-ID
XML API を設定してユーザー マッピング情報を抽出できます。
以下のセクションでは、ターミナル サーバー ユーザーのユーザー マッピング設定方法につい
て説明します。

Palo Alto Networks ターミナル サーバー エージェントのユーザー マッピング設定

User-ID XML API を使用したターミナル サーバーからのユーザー マッピングの取得
Palo Alto Networks ターミナル サーバー エージェントのユーザー マッピング設定
TS エージェントをターミナルサーバーにインストールするには、以下の手順を実行します。す
べてのユーザーを正しくマッピングするには、ユーザーがログインするすべてのターミナル
サーバー上に TS エージェントをインストールする必要があります。
TS エージェントでサポートされるターミナル サーバーの詳細は、Palo Alto Networks の『ソフ
トウェア更新』ページから入手できる『ターミナル サービス エージェント リリース ノート』
の「TS エージェントのオペレーティング システム (OS) 互換性」を参照してください。
Windows ターミナル サーバー エージェントのインストール
ステップ 1
User-ID
TS エージェント インストーラ 1.
をダウンロードします。
2.
『Palo Alto Networks サポート』サイトにログインします。
[Manage Devices(デバイスの管理)] セクションの
[Software Updates(ソフトウェア更新)] を選択します。
3.
[ ターミナル サービス エージェント ] セクションまで
スクロールし、インストールするエージェントのバー
ジョンを [ ダウンロード ] します。
4.
エージェントをンストールするシステム上に
TaInstall64.x64-x.x.x-xx.msi ファイルまたは
TaInstall-x.x.x-xx.msi ファイルを保存します
(Windows システムが 32 ビット OS または 64 ビット
OS のどちらを実行しているかによって適切なバー
ジョンを選択する必要があります)。
331
IP アドレス対ユーザーのマッピング
User-ID
Windows ターミナル サーバー エージェントのインストール(続き)
ステップ 2
管理者としてインストーラを 1.
実行します。
管理者としてコマンド プロンプトを起動するには、[ ス
タート ] をクリックし、[ コマンド プロンプト ] を右ク
リックして [ 管理者として実行 ] を選択します。
2.
コマンド ラインから、ダウンロードした .msi ファイル
を実行します。たとえば、.msi ファイルをデスクトッ
プに保存した場合、以下のように入力します。
C:\Users\administrator.acme>cd Desktop
C:\Users\administrator.acme\Desktop>TaInstall-6.0.
0-1.msi
3.
デフォルトの設定を使用してエージェントをインス
トールするには、セットアップ プロンプトに従いしま
す。デフォルトでは、エージェントは C:\Program Files
(x86)\Palo Alto Networks\Terminal Server Agent フォ
ルダにインストールされますが、[ 参照 ] をクリックし
て別の場所を指定することもできます。
4.
インストールの完了後、[ 閉じる ] をクリックしてセッ
トアップ ウィンドウを閉じます。
既存の TS エージェントよりもドライバが新しい
TS エージェントにアップグレードする場合、新
しいドライバを使用するにはアップグレード後
にシステムを再起動する必要があることを示す
プロンプトがインストール ウィザードで表示さ
れます。
ステップ 3
332
ターミナル サーバー エージェ [ スタート ] をクリックし、[ ターミナル サーバー エージェ
ント アプリケーションを起動 ント ] を選択します。
します。
User-ID
IP アドレス対ユーザーのマッピング
User-ID
Windows ターミナル サーバー エージェントのインストール(続き)
ステップ 4
TS エージェントがエンド ユー 1.
ザーに割り当てるポートの範 2.
囲を定義します。
[ 送信元ポート割り当て範囲 ] を設定します(デフォル
トは 20000-39999)。これは、TS エージェントがユー
ザー マッピングに割り当てるポート番号の全範囲で
す。指定するポート範囲は [ システム送信元ポート割り
当て範囲 ] と重複しないようにする必要があります。
3.
(任意)送信元ポート割り当て内で TS エージェント
がユーザー セッションに割り当てないようにするポー
トまたはポート範囲を指定するには、[予約済み送信元
ポート ] として指定します。複数の範囲を含めるに
は、ス ペ ー ス を 入 れ ず に カ ン マ を 使 用 し ま す。例 :
2000-3000,3500,4000-5000。
4.
[ ユーザーごとのポート割り当て開始サイズ ] フィール
ドに、ターミナル サーバーにログインしたときに各個
人ユーザーに割り当てるポート数を指定します(デ
フォルトは 200)。
[ システム送信元ポート
割り当て範囲 ] フィール
ドおよび [システム予約済 5.
み送信元ポート] フィール
ドは、非ユーザー セッ
ションに割り当てられる 6.
ポートの範囲を指定しま
す。これらのフィールド
に指定した値がユーザー
トラフィックに指定する
ポートと重複しないよう
に し ま す。こ れ ら の 値
は、対応する Windows の
レジストリ設定を編集す
ることによってのみ変更
できます。
User-ID
[ 設定 ] を選択します。
[ ユーザーごとのポート割り当て最大サイズ ] を指定し
ます。これは、ターミナル サーバー エージェントが個
人ユーザーに割り当てられる最大ポート数です。
ユーザーが割り当てられたポートを使い果たした場合
に、そのユーザーからのトラフィックの処理を続行す
るかどうかを指定します。デフォルトでは、[使用可能
なポートを使い果たすとポート バインドに失敗する ]
が選択されています。これは、すべてのポートが使用
された場合には、アプリケーションはトラフィックの
送信に失敗することを示します。ポートを使い果たし
たときにもユーザーがアプリケーションを使用し続け
られるようにするには、このチェック ボックスをオフ
にします。このトラフィックは User-ID では識別でき
ない可能性があります。
333
IP アドレス対ユーザーのマッピング
User-ID
Windows ターミナル サーバー エージェントのインストール(続き)
ステップ 5
ステップ 6
334
ファイアウォールがターミナ ユーザー マッピングの取得のためにターミナル サーバー
ル サーバー エージェントと接 エージェントに接続する各ファイアウォールで、以下の手
続するように設定します。
順を実行します。
1. [Device] > [ ユーザー ID] > [ ターミナル サーバー エー
ジェント ] の順に選択し、[ 追加 ] をクリックします。
2.
[ 名前 ] に、ターミナル サーバー エージェントの名前
を入力します。
3.
[ ホスト ] に、ターミナル サーバー エージェントがイ
ンストールされている Windows ホストの IP アドレスを
入力します。
4.
エージェントがユーザー マッピング要求をリッスンす
る [ ポート ] 番号を入力します。この値は、ターミナル
サーバー エージェント上で設定された値と一致する必
要があります。デフォルトでは、ポートは、ファイア
ウォールおよびエージェントで 5009 に設定されます。
これを変更した場合には、ターミナル サーバー エー
ジェントの [ 設定 ] 画面の [ リスニング ポート ] フィー
ルドも変更する必要があります。
5.
設定が [ 有効 ] になっていることを確認し、[OK] をク
リックします。
6.
変更を [ コミット ] します。
7.
[ 接続済み ] の状態が接続済み(緑色のライト)と表示
されていることを確認します。
ターミナル サーバー エージェ 1.
ントが IP アドレスをユーザー
名に正しくマッピングしてい
ることと、ファイアウォール
がエージェントに接続できる 2.
ことを確認します。
ターミナル サーバー エージェントを起動し、接続リス
ト内の各デバイスの [ 接続状態 ] が [ 接続済み ] になっ
ていることを確認することにより、ファイアウォール
が接続できることを確認します。
ターミナル サーバー エージェントがポート範囲をユー
ザー名に正しくマッピングしていることを確認するに
は、[ モニタリング ] を選択し、マッピング テーブルに
データが入力されていることを確認します。
User-ID
User-ID
IP アドレス対ユーザーのマッピング
User-ID XML API を使用したターミナル サーバーからのユーザー マッピングの取得
User-ID XML API は、標準 HTTP 要求を使用してデータを送受信する RESTful API です。API 呼
び出しは、cURL などのコマンドライン ユーティリティから直接行ったり、RESTful サービスを
サポートする任意のスクリプトまたはアプリケーション フレームワークを使用して行うことが
できます。
非 Windows ターミナル サーバーがユーザー マッピング情報をファイアウォールに直接送信でき
るようにするには、ユーザーのログインおよびログアウト イベントを抽出するスクリプトを作
成し、それを使用して User-ID XML API 要求フォーマットに入力します。その後、cURL または
wget を使用して XML API 要求をファイアウォールに送信するメカニズムおよび、安全な通信の
ためにファイアウォールの API キーを提供するメカニズムを定義します。ターミナル サーバー
などのマルチユーザー システムからユーザー マッピングを作成するには、以下の API メッセー
ジを使用する必要があります。

<multiusersystem> — ファイアウォール上で XML API マルチユーザー システムの設定を
セットアップします。このメッセージにより、ターミナル サーバーの IP アドレスの定義が可
能になります(これがそのターミナル サーバー上のすべてのユーザーの送信元アドレスにな
ります)。さらに、<multiusersystem> セットアップ メッセージは、ユーザー マッピングに割り
当てる送信元ポート番号の範囲と各個人ユーザーにログイン時に割り当てるポート数(ブロッ
ク サイズ といいます)を指定します。デフォルトの送信元ポート割り当て範囲 (1025-65534) お
よびブロックサイズ (200) を使用する場合は、ファイアウォールに <multiusersystem> セットアッ
プ イベントを送信する必要はありません。ファイアウォールは最初のユーザー ログイン イベ
ント メッセージを受信したときに自動的にデフォルト設定を使用して XML API マルチユー
ザー システム設定を生成します。

<blockstart> — <login> および <logout> メッセージと共に使用され、ユーザーに割り当て
られる開始送信元ポート番号を示します。その後、ファイアウォールはブロック サイズを使
用して、ログイン メッセージ内の IP アドレスおよびユーザー名にマップする実際のポート
番号範囲を決定します。たとえば、<blockstart> の値が 13200 で、マルチユーザー システム
に設定されたブロック サイズが 300 の場合、ユーザーに割り当てられる実際の送信元ポート
範囲は 13200 から 13499 までです。ユーザーが開始した各接続は、割り当てられた範囲内で
一意の送信元ポート番号を使用する必要があります。これにより、ファイアウォールは、IP
アドレス対ポート対ユーザーのマッピングに基づいてユーザーを識別し、ユーザーベース、
およびグループベースのセキュリティ ポリシー ルールを実施できます。ユーザーが割り当
てられたポートをすべて使い果たした場合、ターミナル サーバーは新しい <login> メッセー
ジを送信する必要があります。これにより新しいポート範囲がユーザーに割り当てられ、
ファイアウォールが IP アドレス対ポート対ユーザーのマッピングを更新できます。さら
に、1 つのユーザー名に同時に複数のポート ブロックをマップすることもできます。ファイ
アウォールは、<blockstart> パラメータを含む <logout> メッセージを受信すると、対応する
IP アドレス対ポート対ユーザーのマッピングをマッピング テーブルから削除します。ファ
イアウォールは、ユーザー名と IP アドレスを含み <blockstart> を含まない <logout> メッセー
ジを受信すると、ユーザーをテーブルから削除します。そして、ファイアウォールは、IP ア
ドレスのみを含む <logout> メッセージを受信すると、マルチユーザー システムとそれに関連
付けられたすべてのマッピングを削除します。
User-ID
335
IP アドレス対ユーザーのマッピング
User-ID
ターミナル サーバーがファイアウォールに送信する XML ファイルには、複数のメッセージ タ
イプを含めることができます。メッセージはファイル内で特定の順序である必要はありませ
ん。ただし、複数のメッセージ タイプを含む XML ファイルを受信すると、ファイアウォール
は、マルチユーザー システム要求を最初に処理し、次にログイン、その後にログアウトの順で
処理します。
以下のワークフローは、User-ID XML API を使用してユーザー マッピングを非 Windows ターミ
ナル サーバーからファイアウォールに送信する方法の例を示しています。
User-ID XML API を使用した非 Windows ターミナル サービス ユーザーのマッピング
ステップ 1
ファイアウォールと
ターミナル サーバー
の間の API 通信を認
証するために使用さ
れる API キーを生成
します。キーを生成
するには、管理アカ
ウントのログイン認
証情報を提供する必
要があります。すべ
て の 管 理 者(X M L
API 権限を有効にし
たロールベースの管
理 者 を 含 む)が API
を使用できます。
パスワード内の
特 殊 文 字 は、
URL/ パーセン
ト エンコード
にする必要があ
ります。
336
ブラウザから、ファイアウォールにログインします。その後、ファ
イアウォールの API キーを生成するために、新しいブラウザ ウィン
ドウを開き、以下の URL を入力します。
https://<Firewall-IPaddress>/api/?type=keygen&user=<username>&
password=<password>
ここで、<Firewall-IPaddress> はファイアウォールの IP アドレスま
たは FQDN で、<username> および <password> は、ファイアウォー
ル上の管理ユーザー アカウントの認証情報です。例 :
https://10.1.2.5/api/?type=keygen&user=admin&password=admin
ファイアウォールはキーを含むメッセージで応答します。以下に例
を示します。
<response status="success">
<result>
<key>k7J335J6hI7nBxIqyfa62sZugWx7ot%2BgzEA9UOnlZRg=</key>
</result>
</response>
User-ID
IP アドレス対ユーザーのマッピング
User-ID
User-ID XML API を使用した非 Windows ターミナル サービス ユーザーのマッピング(続き)
ステップ 2
(任 意)タ ーミ ナ ル 以下に、サンプル セットアップ メッセージを示します。
サービス エージェン <uid-message>
<payload>
トが使用するポート
<multiusersystem>
範囲およびユーザー
<entry ip="10.1.1.23" startport="20000"
ごとのポートのブ
endport="39999" blocksize="100">
ロック サイズを指
</multiusersystem>
定するためにターミ
</payload>
ナル サーバーが送
<type>update</type>
信するセットアップ
<version>1.0</version>
メッセージを生成し </uid-message>
ます。
ここで、entry ip はターミナル サーバー ユーザーに割り当てられる
ターミナル サービス IP アドレスを指定し、startport および endport はポートを個別ユー
エージェントがセッ ザーに割り当てるときに使用するポートの範囲を指定し、blocksize
トアップ メッセージ は各ユーザーに割り当てるポート数を指定します。最大ブロック サ
を送信しない場合、 イズは 4000 で、各マルチユーザー システムは最大 1000 個のブロッ
フ ァ イ ア ウ ォ ー ル クを割り当てられます。
は、最初のログイン カスタムのブロック サイズやポート範囲を定義する場合、範囲内の
メッセージの受信時 すべてのポートが割り当てられ、ギャップや使用されないポートが
に以下のデフォルト ないような値を設定する必要があります。たとえば、ポート範囲を
設定を使用して自動 1000-1499 に設定すると、ブロック サイズを 100 に設定することはで
的にターミナル サー きますが、200 に設定することはできません。200 に設定した場合、
バー エージェント設 範囲の最後に使用されないポートがあるためです。
定を作成します。
• デフォルト ポート
範囲 : 1025 ~ 65534
• ユーザーあたりの
ブロック サイズ: 200
• マルチユーザー シ
ステムの最大数 :
1000
User-ID
337
IP アドレス対ユーザーのマッピング
User-ID
User-ID XML API を使用した非 Windows ターミナル サービス ユーザーのマッピング(続き)
ステップ 3
ログイン イベントを
抽出するスクリプト
を作成し、ファイア
ウォールに送信する
XML インプット ファ
イルを作成します。
スクリプトで実施す
る割り当てのポート
番号範囲が固定され
た境界を持ち、ポー
トの重複がないよう
に し ま す。た と え
ば、ポ ー ト 範 囲 が
1000-1999 でブロック
サ イ ズ が 200 の 場
合、許 容 で き る
blockstart 値 は 1000、
1200、1400、1600、
ま た は 1800 で す。
blockstart 値に 1001、
1300、1850 は 許 容 で
きません。これらの
値を使用すると、範
囲内に使用されない
ポート番号が残るた
めです。
以下に、User-ID XML ログイン イベントの入力ファイル形式を示し
ます。
<uid-message>
<payload>
<login>
<entry name="acme\jjaso" ip="10.1.1.23" blockstart="20000">
<entry name="acme\jparker" ip="10.1.1.23" blockstart="20100">
<entry name="acme\ccrisp" ip="10.1.1.23" blockstart="21000">
</login>
</payload>
<type>update</type>
<version>1.0</version>
</uid-message>
ファイアウォールはこの情報を使用してユーザー マッピング テー
ブルにデータを入力します。上の例で抽出されたマッピングに基づ
く と、フ ァ イ ア ウ ォ ー ル が ソ ー ス ア ド レ ス お よ び ポ ー ト が
10.1.1.23:20101 のパケットを受信した場合、その要求はポリシー実施
のためにユーザー jparker にマッピングされます。
各マルチユーザー システムは、最大 1000 個のポート ブロッ
クを割り当てられます。
タ ー ミ ナ ル
サーバーがファ
イアウォールに
送信するログイ
ン イベント ペ
イロードには、
複数のログイン
イベントを含
めることがで
きます。
338
User-ID
IP アドレス対ユーザーのマッピング
User-ID
User-ID XML API を使用した非 Windows ターミナル サービス ユーザーのマッピング(続き)
ステップ 4
ログアウト イベント
を抽出するスクリプ
トを作成し、ファイ
アウォールに送信す
る XML インプット
ファイルを作成し
ます。
ファイアウォール
は、blockstart パ ラ
メータを含む logout
イベント メッセージ
を受信すると、対応
す る IP ア ド レ ス 対
ポート対ユーザーの
マッピングを削除し
ます。logout メッセー
ジにユーザー名と IP
アドレスが含まれ、
blockstart パラメ ー
タが含まれていない
場 合、フ ァ イ ア
ウォールはそのユー
ザーに対するすべて
のマッピングを削除
します。logout メッ
セージに IP アドレス
のみが含まれている
場 合、フ ァ イ ア
ウォールはそのマル
チユーザー システム
とすべての関連付け
られたマッピングを
削除します。
User-ID
以下に、User-ID XML ログアウト イベントの入力ファイル形式を示
します。
<uid-message>
<payload>
<logout>
<entry name="acme\jjaso" ip="10.1.1.23"
blockstart="20000">
<entry name="acme\ccrisp" ip="10.1.1.23">
<entry ip="10.2.5.4">
</logout>
</payload>
<type>update</type>
<version>1.0</version>
</uid-message>
また、ファイアウォールから clear xml-api multiusersystem
CLI コマンドを使用してマルチユーザー システム エントリを
クリアすることもできます。
339
IP アドレス対ユーザーのマッピング
User-ID
User-ID XML API を使用した非 Windows ターミナル サービス ユーザーのマッピング(続き)
ステップ 5
ステップ 6
XML API を使用して
割り当てられたポー
ト ブロック範囲を実
際にターミナル サー
バーでユーザーに割
り当てられた送信元
ポートに一致させ、
ユーザーがログアウ
トしたりポート割り
当てが変更されたと
きにこのマッピング
が削除されるよう
に、動的に実行する
方法が作成したスク
リプトに含まれるよ
うにします。
これを行う方法の 1 つは、Netfilter NAT ルールを使用してユーザー
セッションを XML API を通じて uid に基づいて割り当てられた特定の
ポート範囲に隠すことです。たとえば、User-ID が jjaso のユーザーが
送信元ネットワーク アドレス変換 (SNAT) 値 10.1.1.23:20000-20099 に
マッピングされるようにするには、作成したスクリプトに以下が含
まれている必要があります。
セ ット アッ プ、ロ グ
イ ン、お よび ログ ア
ウト イベントを含む
XML 入力ファイルを
ファイアウォールに
送信するために wget
または cURL メッセー
ジにパッケージする
方法を定義します。
wget を使用してファイルをファイアウォールに適用するには、以下
のコマンドを実行します。
[root@ts1 ~]# iptables -t nat -A POSTROUTING -m owner --uid-owner jjaso
-p tcp -j SNAT --to-source 10.1.1.23:20000-20099
同様に、作成したスクリプトによって、ユーザーがログアウトした
ときやポート割り当てが変更されたときに IP テーブル ルーティン
グ設定がダイナミックに SNAT マッピングを削除するようにする必
要があります。
[root@ts1 ~]# iptables -t nat -D POSTROUTING 1
> wget --post file <filename>
“https://<Firewall-IPaddress>/api/?type=user-id&key=<key>&file-name=<inp
ut_filename.xml>&client=wget&vsys=<VSYS_name>”
たとえば、wget を使用して、login.xml という名前の入力ファイルを
10.2.5.11 のファイアウォールにキー
k7J335J6hI7nBxIqyfa62sZugWx7ot%2BgzEA9UOnlZRg を使用して送信す
る構文は以下のようになります。
> wget --post file login.xml
“https://10.2.5.11/api/?type=user-id&key=k7J335J6hI7nBxIqyfa62sZugWx
7ot%2BgzEA9UOnlZRg&file-name=login.xml&client=wget&vsys=vsys1”
cURL を使用してファイルをファイアウォールに適用するには、以
下のコマンドを実行します。
> curl --form file=@<filename>
https://<Firewall-IPaddress>/api/?type=user-id&key=<key>&vsys=<VSYS_name
>
たとえば、cURL を使用して、login.xml という名前の入力ファイルを
10.2.5.11 のファイアウォールにキー
k7J335J6hI7nBxIqyfa62sZugWx7ot%2BgzEA9UOnlZRg を使用して送信す
る構文は以下のようになります。
> curl --form [email protected]
“https://10.2.5.11/api/?type=user-id&key=k7J335J6hI7nBxIqyfa62sZugWx7ot%
2BgzEA9UOnlZRg&vsys=vsys1”
340
User-ID
IP アドレス対ユーザーのマッピング
User-ID
User-ID XML API を使用した非 Windows ターミナル サービス ユーザーのマッピング(続き)
ステップ 7
ファイアウォールが
ターミナル サーバー
からのログイン イベ
ントを正しく受信し
ていることを確認し
ます。
ファイアウォールへの SSH コネクションを開き、以下の CLI コマン
ドを実行することによって設定を確認します。
ターミナル サーバーが XML を介してファイアウォールに接続して
いることを確認するには、以下のコマンドを実行します。
admin@PA-5050> show user xml-api multiusersystem
Host
Vsys
Users
Blocks
---------------------------------------10.5.204.43
vsys1
5
2
ファイアウォールが XML を介してターミナル サーバーからマッピ
ングを受信していることを確認するには、以下のコマンドを実行し
ます。
admin@PA-5050> show user ip-port-user-mapping all
Global max host index 1, host hash count 1
XML API Multi-user System 10.5.204.43
Vsys 1, Flag 3
Port range: 20000 - 39999
Port size: start 200; max 2000
Block count 100, port count 20000
20000-20199: acme\administrator
Total host: 1
User-ID
341
IP アドレス対ユーザーのマッピング
User-ID
XML API を使用した User-ID へのユーザー マッピングの送信
User-ID 機能には、そのままで使用できるユーザー マッピング情報取得手法が多く提供されて
いますが、ユーザー情報をキャプチャするアプリケーションやデバイスの中にはネイティブに
は User-ID に統合できないものもあります。その場合、User-ID XML API を使用してカスタム ス
クリプトを作成することにより、既存のユーザー データを活用して、それを User-ID エージェ
ントまたは直接ファイアウォールに送信することができます。
User-ID XML API は、標準 HTTP 要求を使用してデータを送受信する RESTful API です。API 呼
び出しは、cURL などのコマンドライン ユーティリティから直接行ったり、RESTful サービスを
サポートする任意のスクリプトまたはアプリケーション フレームワークを使用して行うことが
できます。既存のシステム(内部で開発されたカスタム アプリケーションや既存のユーザー
マッピング メカニズムではサポートされないデバイスなど)からのユーザー データを活用する
には、XML API を使用してカスタム スクリプトを作成することにより、データを抽出し、それ
をファイアウォールまたは User-ID エージェントに送信できます。
外部システムがユーザー マッピング情報を User-ID エージェントまたは直接ファイアウォール
に送信できるようにするには、ユーザーのログインおよびログアウト イベントを抽出するスク
リプトを作成し、それを使用して User-ID XML API 要求フォーマットに入力できます。次に、
安全な通信のためにファイアウォールの API キーを使用し、cURL または wget を使用して XML
API 要求をファイアウォールに送信するメカニズムを定義します。詳細は、『PAN-OS XML API
使用ガイド』を参照してください。
342
User-ID
User-ID
他のファイアウォールとユーザー マッピング データを共有するためのファイアウォールの設定
他のファイアウォールとユーザー マッピング データを共
有するためのファイアウォールの設定
ポリシーは各ファイアウォールでローカルなため、セキュリティ ポリシーをグループまたは
ユーザーに基づいて正確に実施するためには、各ファイアウォールが IP アドレス対ユーザー名
のマッピングの最新リストを持つ必要があります。ただし、1 台のファイアウォールがすべて
のユーザー マッピングを収集し、他のファイアウォールに再配布するように設定できます。再
配信ファイアウォールは、任意の方法でユーザー マッピングとグループ マッピングを収集する
ことができ、この情報を他のファイアウォールと共有するために User-ID エージェントとして
動作します。受信側のファイアウォールは、再配信ファイアウォールからマッピング情報を直
接プルするように設定する必要があり、ドメイン サーバーと直接通信する必要はありません。
以下の手順では、User-ID 情報の再配布をセットアップする方法を説明します。
ユーザー マッピングを再配布するためのファイアウォールの設定
ステップ 1
再配布ファイアウォールを設 1.
定します。
User-ID 設定は 1 つの仮想
システムにのみ適用され
ます。複数の仮想システ
ムからの User-ID マッピ
ングを再配布するには、
各仮想システム上で個別
にユーザー マッピング設
定を行い、各設定内で一
意の事前共有鍵を使用す
る必要があります。
User-ID
[Device] > [ ユーザー ID] > [ ユーザー マッピング ] の順
に選択し、[Palo Alto Networks User-ID エージェント設
定 ] セクションを編集します。
2.
[ 再配信 ] を選択します。
3.
[ コレクタ名 ] を入力します。
4.
[事前共有鍵] に、他のファイアウォールがユーザー マッ
ピング情報を取得するためにこのファイアウォール
に接続できるようにする事前共有鍵を入力し、確認
します。
5.
[OK] をクリックして、再配信設定を保存します。
343
他のファイアウォールとユーザー マッピング データを共有するためのファイアウォールの設定
User-ID
ユーザー マッピングを再配布するためのファイアウォールの設定(続き)
ステップ 2
ステップ 3
User-ID サービスを有効にする 1.
インターフェイス管理プロ
ファイルを作成し、他のファ
イアウォールがユーザー マッ 2.
ピング取得のために接続する
インターフェイスに関連付け
ます。
3.
[Network] > [ ネットワーク プロファイル ] > [ イン
ターフェイス管理 ] の順に選択し、[ 追加 ] をクリッ
クします。
プロファイルの [ 名前 ] を入力し、[Permitted Services] を
選択します。少なくとも [User-ID] サービスと [HTTPS]
は選択します。
[OK] をクリックしてプロファイルを保存します。
4.
[Network] > [ インターフェイス ] > [Ethernet] の順に
選択し、再配布に使用する予定のインターフェイスを
選択します。
5.
[ 詳細 ] > [ その他の情報 ] タブで、作成した [ 管理プロ
ファイル ] を選択します。
6.
[OK]、[ コミット ] の順にクリックします。
他のファイアウォールが再配 ユーザー マッピングを取得できるようにする各ファイア
布ファイアウォールからユー ウォールで、以下の手順を実行します。
ザー マッピングを取得するよ 1. [Device] > [ ユーザー ID] > [User-ID エージェント ] の
うに設定します。
順に選択します。
再配布ファイアウォール
に再配布用に設定されて
いる仮想システムが複数
ある場合、このファイア
ウォールが User-ID マッ
ピングを取得する仮想シ
ステムに対応した事前共
有鍵を使用していること
を確認します。
2.
[ 追加 ] をクリックし、[ 名前 ] に再配布用の User-ID エー
ジェント名を入力します。
3.
再配布用に設定したファイアウォールのインターフェ
イスのホスト名または IP アドレスを [ ホスト ] フィー
ルドに入力します。
4.
再配布ファイアウォールが User-ID 要求をリッスンする
[ ポート ] 番号として 5007 を入力します。
5.
再配布ファイアウォール設定(ステップ 1~3)で指定
した [ コレクタ名 ] を入力します。
6.
[ コレクタの事前共有鍵 ] を入力し、確認します。ここ
で入力したキー値は再配布ファイアウォール上で設定
した値(ステップ 1~4)と一致する必要があります。
7.
(任意)再配布ファイアウォールを使用して、ユー
ザー マッピングに加えてグループ マッピングも取得す
る場合、[LDAP プロキシとして使用 ] チェック ボック
スをオンにします。
8.
(任意)再配布ファイアウォールをキャプティブ ポー
タル認証に使用している場合、[NTLM 認証用に使用 ]
チェックボックスをオンにします。
9.
設定が [ 有効 ] になっていることを確認し、[OK] をク
リックします。
10. 変更を [ コミット ] します。
344
User-ID
User-ID
他のファイアウォールとユーザー マッピング データを共有するためのファイアウォールの設定
ユーザー マッピングを再配布するためのファイアウォールの設定(続き)
ステップ 4
設定を確認します。
[User-ID エージェント ] タブで、今追加した再配布ファイ
アウォール エントリの [ 接続済み ] 列に緑のアイコンが表
示されていることを確認します。
赤いアイコンが表示される場合は、トラフィック ログ
([Monitor] > [ ログ ] > [ トラフィック ])をチェックして
問題を特定します。CLI から以下の操作コマンドを実行す
ることによって、ユーザー マッピング データが取得され
ているかどうかを確認することもできます。
show user ip-user-mapping(データプレーン上のユーザー
マッピング情報を表示)
show user ip-user-mapping-mp(管理プレーン上のマッピン
グを表示)
User-ID
345
ユーザーおよびグループ ベースのポリシーの有効化
User-ID
ユーザーおよびグループ ベースのポリシーの有効化
ユーザーおよびグループに基づくセキュリティ ポリシーを有効にするには、識別するユーザー
を含むゾーンごとに User-ID を有効にする必要があります。そうすることで、ユーザー名また
はグループのメンバーシップに基づいてトラフィックを許可または拒否するポリシーを定義で
きます。さらにキャプティブ ポータルのポリシーを作成することで、ユーザー データが関連付
けらていない IP アドレスを識別することもできます。
ユーザーおよびグループ ベースのポリシーの有効化
ステップ 1
346
ユーザーベースのアクセス制御 1.
を必要とする要求を送信する 2.
ユーザーを含む送信元ゾーン
で、User-ID を有効にします。
3.
[Network] > [ ゾーン ] の順に選択します。
[ 名前 ] フィールドで User-ID を有効にするゾーンをク
リックすると、[ ゾーン ] ダイアログが開きます。
[ ユーザー ID の有効化 ] チェックボックスをオンにして
から [OK] をクリックします。
User-ID
ユーザーおよびグループ ベースのポリシーの有効化
User-ID
ユーザーおよびグループ ベースのポリシーの有効化(続き)
ステップ 2
ユーザーまたはグループに基 1.
づくセキュリティ ポリシーを
作成します。
User-ID を設定すると、セキュリティ ルールの送信元お
よび宛先を定義するときに、ユーザー名またはグルー
プ名を選択できるようになります。
a. [Policies] > [ セキュリティ] の順に選択し、新しいポリ
シーを作成するために [ 追加 ] をクリックするか、ま
たは既存のポリシー ルール名をクリックすると、[ セ
キュリティ ポリシー ルール ] ダイアログが開きます。
ベスト プラクティスとし
て、できる限りユーザー
ではなくグループに基づ
いてポリシーを作成しま
す。こ れ に よ り、ユ ー
ザー ベースが変更するた
びにポリシーを更新(コ
ミットが必要)し続ける
必要がなくなります。
b. 以 下 の い ず れ か の 方 法 で、ポ リ シ ー で 一 致 す る
ユーザーまたはグループあるいはその両方を指定
します。
– 一致基準としてユーザー/グループを指定する場合
は、[ ユーザー] タブを選択し、[ 送信元ユーザー]
セクションで [ 追加 ] ボタンをクリックすると、
ファイアウォールのグループ マッピング機能によ
り検出されたユーザーおよびグループのリストが
表示されます。ポリシーに追加するユーザーまた
はグループを選択します。
– 正常に認証されたかどうかに関係なくポリシーで
任意のユーザーと一致し、特定のユーザー名また
はグループ名を把握する必要がない場合は、[ 送信
元ユーザー] リストの上にあるドロップダウンから
[known-user] または [unknown] を選択します。
2.
User-ID
必要に応じてポリシーのその他の部分を設定し、[OK]
をクリックして設定を保存します。セキュリティ ポリ
シーのその他のフィールドの詳細は、「基本的なセ
キュリティ ポリシーのセットアップ」を参照してくだ
さい。
347
ユーザーおよびグループ ベースのポリシーの有効化
User-ID
ユーザーおよびグループ ベースのポリシーの有効化(続き)
ステップ 3
キャプティブ ポータル ポリシー 1.
を作成します。
2.
[Policies] > [キャプティブ ポータル] の順に選択します。
3.
[ 送信元 ]、[ 宛先 ]、および [ サービス /URL カテゴリ ]
タブで、必要に応じて認証するトラフィックと一致す
る情報を入力し、ルールの一致基準を定義します。こ
れらのタブの一致基準は、セキュリティ ポリシーの作
成時に定義する基準と同じです。詳細は、「基本的な
セキュリティ ポリシーのセットアップ」を参照してく
ださい。
4.
[ アクション ] タブで、ルールと一致するトラフィック
に対するアクションを定義します。選択肢は以下のと
おりです。
[ 追加 ] をクリックし、[ 名前 ] にポリシー名を入力し
ます。
• no-captive-portal — キャプティブ ポータルのページ
を表示せずに、トラフィックの通過を許可します。
• web-form — キャプティブ ポータルのページを表示
して、ユーザーに認証情報の入力またはクライアン
ト証明書認証の使用を要求します。
• browser-challenge — NTLM 認証要求をユーザーの
Web ブラウザで開きます。Web ブラウザは、ユー
ザーの現在のログイン資格証明を使用して応答しま
す。ログインの認証情報を使用できない場合、ユー
ザーに認証情報の提示を要求します。
5.
[OK] をクリックします。
以下の例では、Web フォームを表示して、Trust ゾーンから
Untrust ゾーンに HTTP 要求を送信する不明なユーザーを認
証するようファイアウォールに指示する、キャプティブ
ポータルのポリシーを示します。
ステップ 4
348
ポリシーの設定を保存します。 [ コミット ] をクリックします。
User-ID
User-ID 設定の確認
User-ID
User-ID 設定の確認
グループ マッピングとユーザー マッピングを設定してセキュリティ ポリシーおよびキャプ
ティブ ポータル ポリシーの User-ID を有効にしたら、それらが正しく動作していることを確認
する必要があります。
User-ID 設定の確認
ステップ 1
グループ マッピングの動作を CLI から以下のコマンドを入力します。
確認します。
show user group-mapping statistics
ステップ 2
ユーザー マッピングの動作を オンデバイス User-ID エージェントを使用している場合、
確認します。
CLI から以下のコマンドを実行すれば確認できます。
show user ip-user-mapping-mp all
IP
(sec)
Vsys
From
User
Timeout
-----------------------------------------------------192.168.201.1
vsys1 UIA
acme\george
210
192.168.201.11
vsys1 UIA
acme\duane
210
192.168.201.50
vsys1 UIA
acme\betsy
210
192.168.201.10
vsys1 UIA
acme\administrator
210
acme\administrator
748
192.168.201.100 vsys1 AD
Total: 5 users
*: WMI probe succeeded
User-ID
349
User-ID 設定の確認
User-ID
User-ID 設定の確認(続き)
ステップ 3
セキュリティ ポリシーをテスト • User-ID が有効なゾーンのマシンからサイトやアプリケー
します。
ションにアクセスして、ポリシーで定義したルールをテ
ストし、トラフィックが予想通りに許可または拒否され
ていることを確認します。
• また、test security-policy-match コマンドを使用して、
ポリシーが正しく設定されているかどうかを確認しま
す。たとえば、World of Warcraft をプレイする Duane とい
うユーザーをブロックするルールがある場合、以下の手
順でポリシーをテストできます。
test security-policy-match application
worldofwarcraft source-user acme\duane source any
destination any destination-port any protocol 6
"deny worldofwarcraft" {
from corporate;
source any;
source-region any;
to internet;
destination any;
destination-region any;
user acme\duane;
category any;
application/service worldofwarcraft;
action deny;
terminal no;
}
350
User-ID
User-ID 設定の確認
User-ID
User-ID 設定の確認(続き)
ステップ 4
キャプティブ ポータルの設定 1.
をテストします。
先ほどと同じゾーンから、Mac OS システムなど、ディ
レクトリのメンバーでないマシンより、ゾーン外部の
システムを ping します。ping は認証しなくても動作し
ます。
2.
同じマシンからブラウザを開き、定義したキャプティ
ブ ポータル ポリシーと一致する宛先ゾーンの Web サ
イ ト に 移 動 し ま す。キ ャ プ テ ィ ブ ポ ー タ ル の Web
フォームが表示されます。
3.
正しい認証情報を使用してログインし、要求したペー
ジにリダイレクトされていることを確認します。
4.
また、以下の test cp-policy-match コマンドを使用し
てキャプティブ ポータル ポリシーをテストすることも
できます。
test cp-policy-match from corporate to internet
source 192.168.201.10 destination 8.8.8.8
Matched rule: 'captive portal' action: web-form
ステップ 5
User-ID
ログ ファイル([Monitor] > [ ログ ])にユーザー名が表示されていることを確認します。
351
User-ID 設定の確認
User-ID
User-ID 設定の確認(続き)
ステップ 6
352
レポート([Monitor] > [レポート])にユーザー名が表示されていることを確認します。たと
えば、以下の例に示すように、[ 拒否されるアプリケーション ] レポートまでドリルダウンす
ると、そのアプリケーションにアクセスしようとしたユーザーのリストを確認できます。
User-ID
App-ID
ネットワーク上のアプリケーションを安全に有効にするため、Palo Alto Networks の次世代ファ
イアウォールは、App-ID と URL フィルタリングによってアプリケーションと Web の両方の視
点から、法律、規制、生産性、およびリソース使用に関するあらゆるリスクから保護します。
App-ID によってネットワーク上のアプリケーションに対する可視性が高まるため、アプリケー
ションの仕組みを知り、動作特性や相対リスクについて理解できます。このアプリケーション
の知識を利用して、セキュリティ ポリシーを作成および適用することにより、望ましいアプリ
ケーションを有効にして、検査およびシェーピングを行い、望ましくないアプリケーションを
ブロックします。トラフィックの許可を開始するようにポリシーを定義すると、App-ID は追加
の設定なしでトラフィックの分類を開始します。

App-ID の概要

カスタム アプリケーションや不明なアプリケーションの管理

App-ID のポリシー内での使用のベスト プラクティス

暗黙的サポートを使用するアプリケーション

アプリケーション レベル ゲートウェイ

SIP アプリケーション レベル ゲートウェイ (ALG) を無効にする
App-ID
353
App-ID の概要
App-ID
App-ID の概要
App-ID は、Palo Alto Networks のファイアウォールだけで使用できる特許取得済みのトラフィッ
ク分類システムで、アプリケーションで使用されるポート、プロトコル、暗号化(SSH または
SSL)、その他のあらゆる秘匿技術に関係なく、アプリケーションが何であるかを判断します。
App-ID は、複数の分類メカニズム(アプリケーション シグネチャ、アプリケーション プロト
コル デコード、ヒューリスティクス)をネットワーク トラフィック ストリームに適用して、
アプリケーションを正確に識別します。
App-ID は、ネットワークを通過するアプリケーションを以下のように識別します。

トラフィックがポリシーに一致するかどうかによって、ネットワーク上で許可されるかが確
認されます。

次に、一意のアプリケーション プロパティおよび関連するトランザクションの特性に基づい
てトラフィックがアプリケーションを識別できるようにシグネチャが適用されます。シグネ
チャは、アプリケーションがデフォルト ポートで使用されているか、標準以外のポートを使
用しているかも特定します。ポリシーによってトラフィックが許可された場合、トラフィッ
クは次に脅威がないかをスキャンされ、アプリケーションをより詳細に識別するためにさら
に分析されます。

App-ID が暗号化(SSL または SSH)が使用されていると判断し、復号ポリシーが設定されて
いる場合、セッションは復号化され、アプリケーション シグネチャが復号化されたフローに
再び適用されます。

次に、既知のプロトコルに対するデコーダによって、追加のコンテキストベースのシグネ
チャが適用され、プロトコルの内部にトンネリングしている可能性のある別のアプリケー
ション(たとえば、HTTP 上で使用される Yahoo! インスタント メッセンジャーなど)を検出
します。デコーダはトラフィックがプロトコルの仕様に準拠していることを検証し、SIP や
FTP などのアプリケーションのためにダイナミック ピンホールを開くことや NAT トラバー
サルをサポートします。

特に回避的で、高度なシグネチャやプロトコル分析では識別できないアプリケーションに対
しては、ヒューリスティクスや動作分析を使用してアプリケーションを識別する場合があり
ます。
アプリケーションが識別されると、ポリシー チェックによってアプリケーションの処理方法が決
定されます。たとえば、ブロックする、許可して脅威をスキャンする、無権限のファイル転送お
よびデータ パターンを検査する、QoS を使用してシェーピングを行うなどの処理があります。
354
App-ID
App-ID
カスタム アプリケーションや不明なアプリケーションの管理
カスタム アプリケーションや不明なアプリケーションの
管理
Palo Alto Networks は、新しいアプリケーションを識別するため、App-ID の更新を毎週提供して
います。デフォルトでは、App-ID はファイアウォール上で常に有効になっており、一般的なア
プリケーションを識別するために一連のシグネチャを有効にする必要はありません。通常、
ACC およびトラフィックログで不明トラフィック(tcp、udp、non-syn-tcp)として分類されるの
は、App-ID にまだ追加されていない市販のアプリケーション、ネットワーク上の内部アプリ
ケーションやカスタム アプリケーション、または潜在的な脅威のみです。
時折、ファイアウォールは以下の理由でアプリケーションを不明であるとレポートする場合が
あります。

Incomplete data — ハンドシェークは行われたが、タイムアウト前にデータ パケットが送信さ
れなかった。

Insufficient data — ハンドシェークの後に 1 つ以上のデータ パケットが送信されたが、アプリ
ケーションを識別するのに十分なデータ パケットが交換されなかった。
不明なアプリケーションの処理方法には以下の選択肢があります。

Unknown TCP、Unknown UDP、または送信元ゾーン、宛先ゾーン、および IP アドレスの組み
合わせによって不明なアプリケーションを制御するセキュリティ ポリシーを作成する。

Palo Alto Networks に App-ID を要求する — 不明なトラフィックに対して、ネットワークを通
過するアプリケーションを検査および制御するには、パケット キャプチャを記録できます。
パケット キャプチャによってアプリケーションが商用アプリケーションであることが判明し
た場合、このパケット キャプチャを App-ID 開発のために Palo Alto Networks に提出できま
す。内部アプリケーションである場合は、カスタム App-ID を作成したり、アプリケーショ
ン オーバーライド ポリシーを定義できます。

シグネチャを含むカスタム App-ID を作成し、それをセキュリティ ポリシーに関連付ける、ま
たはカスタム App-ID を作成し、アプリケーション オーバーライド ポリシーを定義する —
カスタム App-ID を使用すると、内部アプリケーションの定義(特性、カテゴリ、サブカテ
ゴリ、リスク、ポート、タイムアウト)をカスタマイズでき、ネットワーク上の不明なトラ
フィックの範囲を最小化するために詳細なポリシー コントロールを実施できます。また、カ
スタム App-ID を作成すると、ACC やトラフィック ログ内でアプリケーションを正しくし識
別でき、ネットワーク上のアプリケーションの監査やレポートに役立ちます。カスタム アプ
リケーションには、一意にアプリケーションを識別するシグネチャおよびパターンを指定
し、アプリケーションを許可または拒否するセキュリティ ポリシーに関連付けられます。
App-ID
355
カスタム アプリケーションや不明なアプリケーションの管理
App-ID
カスタム アプリケーション シグネチャを作成するための正しいデータを収集するには、パ
ケット キャプチャとデータグラム生成についてよく理解しておく必要があります。作成された
シグネチャが大まかすぎる場合、他の類似のトラフィックも含まれてしまう可能性がありま
す。定義が細かすぎる場合は、トラフィックがパターンに厳密に一致しないと検出を回避され
てしまいます。
カスタム App-ID はファイアウォール上の別個のデータベースに保存され、このデータベース
は毎週の App-ID の更新に影響されません。
プロトコルの内部にトンネリングされている可能性のあるアプリケーションをファイアウォール
が検出できるようにするアプリケーション プロトコル デコーダとしては、コンテンツ更新 424
の時点で、HTTP、HTTPS、DNS、FTP、IMAP SMTP、Telnet、IRC(Internet Relay Chat)、
Oracle、RTMP、RTSP、SSH、GNU-Debugger、GIOP(Global Inter-ORB Protocol)、Microsoft
RPC、Microsoft SMB(別名 CIFS)などがサポートされています。さらに、PAN-OS の 4.0 リ
リースでは、このカスタム App-ID 機能が拡張され、Unknown TCP および Unknown UDP を含む
ようになっています。
または、ファイアウォールが高速パスを使用してカスタム アプリケーションを処理する
(App-ID を使用したレイヤー 7 検査ではなくレイヤー 4 検査)ようにするには、アプリケー
ション オーバーライド ポリシー内でカスタム App-ID を参照できます。カスタム アプリケー
ションをアプリケーション オーバーライドに含めることによって、レイヤー 7 検査である
App-ID エンジンによるセッションが処理されなくなります。ファイアウォールは、通常の
ステートフル インスペクション ファイアウォールとしてレイヤー 4 でセッションを処理し、
アプリケーション処理時間を削減します。
たとえば、ホスト ヘッダー www.mywebsite.com をトリガーとするカスタム アプリケーションを作成し
た場合、パケットは最初に web-browsing と識別され、次にカスタム アプリケーション(web-browsing
を親アプリケーションとする)に一致します。親アプリケーションが web-browsing であるた
め、カスタム アプリケーションはレイヤー 7 で検査され、コンテンツおよび脆弱性をスキャ
ンされます。
アプリケーション オーバーライドを定義すると、ファイアウォールはレイヤー 4 での処理を
停止します。ログ内での識別に役立つカスタム アプリケーション名がセッションに割り当て
られ、トラフィックは脅威をスキャンされません。
詳細は、以下の記事を参照してください。

『Identifying Unknown Applications(英語)』

『ビデオ : How to Configure a Custom App-ID(英語)』

『Custom Application Signatures(英語)』
356
App-ID
App-ID
App-ID のポリシー内での使用のベスト プラクティス
App-ID のポリシー内での使用のベスト プラクティス

ACC で、ネットワーク上のアプリケーションのリストをレビューし、許可するアプリケーショ
ンと拒否するアプリケーションを決定します。ポートベースのルールを定義したファイア
ウォールから移行している場合、所定のポート上で実行するアプリケーションのリストを取
得するには、Palo Alto Networks のファイアウォールのアプリケーション ブラウザ([Objects] >
[ アプリケーション ])または『Applipedia』で、ポート番号で検索します。

[サービス] には [application-default] を使用します。ファイアウォールは、使用されている
ポートとそのアプリケーションのデフォルト ポートのリストを比較します。使用されてい
るポートがアプリケーションのデフォルト ポートでない場合、ファイアウォールはセッ
ションを破棄し、メッセージ「appid policy lookup deny」をログに記録します。多くの
ポート上でアクセスされているアプリケーションがあり、アプリケーションが使用される
ポートを制限する場合は、ポリシーで [ サービス ] または [ サービス グループ ] オブジェク
トを指定します。

新しいアプリケーションを既存のポリシー ルールにダイナミックに含めるにはアプリケー
ション フィルタを使用します。『例』を参照してください。
App-ID
357
暗黙的サポートを使用するアプリケーション
App-ID
暗黙的サポートを使用するアプリケーション
特定のアプリケーションを許可するポリシーを作成する場合、そのアプリケーションが依存す
る他のアプリケーションもすべて許可する必要があります。多くの場合、トラフィックが通過
できるように依存アプリケーションへのアクセスを明示的に許可する必要はありません。ファ
イアウォールは依存関係を判断し、暗黙的にそれらを許可できるためです。この暗黙的サポー
トは、HTTP、SSL、MS-RPC、または RTSP に基づく『カスタム アプリケーション』にも適用さ
れます。ファイアウォールが依存アプリケーションを時間内に判断できないアプリケーション
に対しては、ポリシーを定義する際に依存アプリケーションを明示的に許可する必要がありま
す。アプリケーションの依存関係は、『Applipedia』で指定できます。
以下の表に、ファイアウォールが暗示的サポートに対応しているアプリケーションのリストを
示します(『コンテンツ更新』469 の時点)。
表 : 暗黙的サポートを使用するアプリケーション
アプリケーション
暗黙的サポート
360-safeguard-update
http
apple-update
http
apt-get
http
as2
http
avg-update
http
avira-antivir-update
http, ssl
blokus
rtmp
bugzilla
http
clubcooee
http
corba
http
cubby
http, ssl
dropbox
ssl
esignal
http
evernote
http, ssl
ezhelp
http
facebook
http, ssl
facebook-chat
jabber
facebook-social-plugin
http
fastviewer
http, ssl
forticlient-update
http
gmail
http
358
App-ID
暗黙的サポートを使用するアプリケーション
App-ID
アプリケーション
暗黙的サポート
good-for-enterprise
http, ssl
google-cloud-print
http, ssl, jabber
google-desktop
http
google-drive-web
http
google-talk
jabber
google-update
http
gotomypc-desktop-sharing
citrix-jedi
gotomypc-file-transfer
citrix-jedi
gotomypc-printing
citrix-jedi
hipchat
http
iheartradio
ssl, http, rtmp
infront
http
instagram
http, ssl
issuu
http, ssl
java-update
http
jepptech-updates
http
kerberos
rpc
kik
http, ssl
lastpass
http, ssl
logmein
http, ssl
mcafee-update
http
megaupload
http
metatrader
http
mocha-rdp
t_120
mount
rpc
ms-frs
msrpc
ms-rdp
t_120
ms-scheduler
msrpc
ms-service-controller
msrpc
nfs
rpc
oovoo
http, ssl
paloalto-updates
ssl
App-ID
359
暗黙的サポートを使用するアプリケーション
App-ID
アプリケーション
暗黙的サポート
panos-global-protect
http
panos-web-interface
http
pastebin
http
pastebin-posting
http
pinterest
http, ssl
portmapper
rpc
prezi
http, ssl
rdp2tcp
t_120
renren-im
jabber
roboform
http, ssl
salesforce
http
stumbleupon
http
supremo
http
symantec-av-update
http
trendmicro
http
trillian
http, ssl
twitter
http
whatsapp
http, ssl
xm-radio
rtsp
360
App-ID
App-ID
アプリケーション レベル ゲートウェイ
アプリケーション レベル ゲートウェイ
Palo Alto Networks のファイアウォールはトラフィックをポートやプロトコルによって分類せ
ず、App-ID テクノロジーを使用してアプリケーションを一意のプロパティやトランザクション
の特性に基づいて識別します。ただし、一部のアプリケーションでは接続を確立するために
ファイアウォールがダイナミックにピンホールを開き、セッションのパラメータを決定し、
データ転送に使用するポートをネゴシエートする必要があります。これらのアプリケーション
はアプリケーション レイヤーのペイロードを使用して、アプリケーションがデータ接続を開く
ダイナミック TCP または UDP ポートを通信します。そのようなアプリケーションに対して、
ファイアウォールはアプリケーション レベル ゲートウェイ (ALG) として機能し、時間を限定し
て転送データまたは制御トラフィックのみのためにピンホールを開きます。また、ファイア
ウォールは必要に応じてペイロードの NAT 書き換えを実行します。
コンテンツ リリース バージョン 464 の時点で、Palo Alto Networks のファイアウォールは、FTP、
H.225、H.248、MGCP、MySQL、Oracle/SQLNet/TNS、RPC、RTSP、SCCP、SIP、および UNIStim
の各アプロトコルで NAT ALG をサポートしています。
ファイアウォールが SIP (Session Initiation Protocol) に対して ALG として機能する場合、デ
フォルトではペイロードに対して NAT を実行し、メディア ポートのためにダイナミック ピン
ホールを開きます。環境で使用されている SIP アプリケーションによっては、SIP エンドポイ
ントでクライアントに NAT インテリジェンスが組み込まれている場合があります。そのよう
な場合、ファイアウォールがシグナリング セッションを変更しないように SIP ALG 機能を無
効にする必要がある場合があります。SIP ALG を無効にした場合、App-ID がセッションを SIP
と判断すると、ペイロードは変換されず、ダイナミック ピンホールは開きません。「SIP アプ
リケーション レベル ゲートウェイ (ALG) を無効にする」を参照してください。
App-ID
361
SIP アプリケーション レベル ゲートウェイ (ALG) を無効にする
App-ID
SIP アプリケーション レベル ゲートウェイ (ALG) を無効
にする
Palo Alto Networks のファイアウォールは、SIP (Session Initiation Protocol) アプリケーション レベル
ゲートウェイ (ALG) を使用して、NAT が有効になっているファイアウォールにダイナミック ピ
ンホールを開きます。ただし、VoIP など一部のアプリケーションではクライアント アプリケー
ションに NAT インテリジェンスが組み込まれています。これらの場合、ファイアウォールの
SIP ALG がシグナリング セッションと干渉し、クライアント アプリケーションが動作しなくな
ることがあります。
この問題に対する 1 つの解決策は、SIP に対してアプリケーション オーバーライド ポリシーを
定義することですが、このアプローチでは、App-ID および脅威検出機能が無効になります。
もっと良い方法は SIP ALG を無効にすることです。このアプローチでは App-ID や脅威検出は無
効になりません。
SIP ALG を無効にするには以下の手順を実行します。
SIP ALG を無効にする
1.
[Objects] > [ アプリケーション ] を選択します。
2.
[sip] アプリケーションを選択します。
[ 検索 ] ボックスに「sip」と入力して sip アプリケーションを検索できます。
3.
362
[ アプリケーション ] ダイアログ ボックスの [ オプション ] セクションで [ALG] の
[ カスタマイズ ...] を選択します。
App-ID
App-ID
SIP アプリケーション レベル ゲートウェイ (ALG) を無効にする
SIP ALG を無効にする(続き)
4.
[ アプリケーション - sip] ダイアログ ボックスで [ALG の無効化 ] チェックボックス
をオンにし、[OK] をクリックします。
5.
[ アプリケーション ] ダイアログ ボックスを閉じて、変更を [ コミット ] します。
App-ID
363
SIP アプリケーション レベル ゲートウェイ (ALG) を無効にする
App-ID
364
App-ID
脅威防御
Palo Alto Networks の次世代ファイアウォールは、ネットワークをコモディティ脅威および持続
的標的型攻撃 (APT) から保護および防御します。ファイアウォールの多面的な検出メカニズム
には、シグネチャベース(IPS/ コマンド アンド コントロール / アンチウイルス)アプローチ、
ヒューリスティクスベース(ボット検出)アプローチ、サンドボックスベース (WildFire) アプ
ローチ、およびレイヤー 7 プロトコル分析ベース (App-ID) アプローチが含まれています。
コモディティ脅威はそれほど高度ではない悪用で、ファイアウォールのアンチウイルス、アン
チスパイウェア、脆弱性防御、および URL フィルタリング / アプリケーション識別機能の組み
合わせにより比較的容易に検出および防止できます。
高度な脅威は、サイバー犯罪組織や悪意あるグループによって継続され、高度な攻撃ベクトル
を使用し、一般的に知的財産や財務データの窃盗のためにネットワークを標的とします。これ
らの脅威はより回避的で、マルウェアに関する詳細なホストおよびネットワークのフォレン
ジックのためのインテリジェントなモニタリング メカニズムが必要です。Palo Alto Networks の
次世代ファイアウォールと WildFire および Panorama を組み合わせることで、攻撃チェーンをイ
ンターセプトして断ち切る包括的なソリューションを提供し、ネットワーク(モバイルおよび
仮想も含む)インフラストラクチャ上のセキュリティ侵害を防止するための可視性を実現でき
ます。

セキュリティ プロファイルとセキュリティ ポリシーのセットアップ

ブルート フォース攻撃の防御

ネットワークをレイヤー 4 およびレイヤー 7 回避から保護するためのベスト プラクティス

パッシブ DNS 収集を有効にして脅威インテリジェンスを向上する

DNS クエリを使用してネットワーク上の感染ホストを特定する

ダイナミック更新のためのコンテンツ配信ネットワーク インフラストラクチャ

脅威防御リソース
脅威防御
365
セキュリティ プロファイルとセキュリティ ポリシーのセットアップ
脅威防御
セキュリティ プロファイルとセキュリティ ポリシーの
セットアップ
以下のセクションでは、基本的な脅威防御設定の例を示します。

アンチウイルス、アンチスパイウェア、および脆弱性防御のセットアップ

データ フィルタリングのセットアップ

ファイル ブロッキングのセットアップ
脅威防御戦略の一部としての Web アクセス制御については、「URL フィルタリング」を参照し
てください。
366
脅威防御
脅威防御
セキュリティ プロファイルとセキュリティ ポリシーのセットアップ
アンチウイルス、アンチスパイウェア、および脆弱性防御のセットアップ
ここでは、アンチウイルス、アンチスパイウェア、および脆弱性防御のデフォルト「セキュリ
ティ プロファイル」をセットアップするために必要な手順について説明します。
アンチスパイウェアと脆弱性防御のすべてのシグネチャには、Palo Alto Networks によってデ
フォルトのアクションが定義されています。デフォルトのアクションを確認するには、
[Objects] > [セキュリティ プロファイル] > [アンチスパイウェア] または [Objects] >
[セキュリティ プロファイル] > [脆弱性防御] の順に移動し、プロファイルを選択します。
[例外] タブをクリックして [すべてのシグネチャの表示] をオンにすると、[アクション] 列
にデフォルト アクションを表示したシグネチャのリストが表示されます。デフォルト アクショ
ンを変更するには、新しいプロファイルを作成してから、デフォルト以外のアクションが設定
されたルールを作成するか、プロファイルの [例外] で個々のシグネチャ例外を追加します。
アンチウイルス / アンチスパイウェア / 脆弱性防御のセットアップ
ステップ 1
脅威防御ライセンスがあるこ • 脅威防御ライセンスでは、1 つのライセンスに、アンチウ
とを確認します。
イルス、アンチスパイウェア、および脆弱性防御の全機
能をバンドルしています。
• [Device] > [ ライセンス ] の順に選択して、[ 脅威防御 ] ラ
イセンスがインストールされていることを検証し、有効
期限を確認します。
ステップ 2
最新のアンチウイルス脅威シグ 1.
ネチャをダウンロードします。
[Device] > [ ダイナミック更新 ] の順に選択し、ページ
の下部にある [ 今すぐチェック ] をクリックして最新の
シグネチャを取得します。
[ アクション ] 列で、[ ダウンロード ] をクリックして、最
新のアンチウイルス、アプリケーションおよび脅威シグネ
チャをインストールします。
脅威防御
367
セキュリティ プロファイルとセキュリティ ポリシーのセットアップ
脅威防御
アンチウイルス / アンチスパイウェア / 脆弱性防御のセットアップ(続き)
ステップ 3
シグネチャの更新をスケ
ジュールします。
1.
[Device] > [ ダイナミック更新 ] の順に選択し、[ スケ
ジュール ] の右側にあるテキストをクリックして、[ ア
ンチウイルス ] と [ アプリケーションおよび脅威 ] のシ
グネチャ更新を自動的に取得します。
2.
更新の頻度とタイミングを指定し、更新ファイルをダ
ウンロードしてインストールするのか、またはダウン
ロードのみを行うのかを指定します。[ダウンロードの
み ] をオンにする場合は、手動でページを開き、[ アク
ション ] 列の [ インストール ] リンクをクリックしてシ
グネチャをインストールする必要があります。[OK] を
クリックすると、更新がスケジュールされます。コ
ミットは必要ありません。
3.
(任意)[ しきい値 ] フィールドに時間数を入力して、
ダウンロードが実行されるまでのシグネチャの最小存
続時間を指定することもできます。たとえば、「10」
と入力すると、そのシグネチャは、スケジュールに関
係なく、ダウンロードされるまでに少なくとも 10 時間
は存続する必要があります。
4.
HA 設定では、[ ピアと同期 ] オプションをクリックし
て、ダウンロード / インストールの後にコンテンツ更
新と HA ピアを同期することもできます。これによっ
てスケジュール設定がピア デバイスにプッシュされる
ことはないため、各デバイスでスケジュールを設定す
る必要があります。
アンチウイルス スケジュールのベスト プラクティス
アンチウイルス シグネチャの更新スケジュールとして一般的な推奨設定は、アンチウイルスの場合には
毎日、アプリケーションおよび脆弱性の場合には毎週、[download-and-install] を実行することです。
HA 設定の場合の推奨設定は次のとおりです。
• アクティブ / パッシブの HA — アンチウイルスのシグネチャのダウンロードで MGT ポートを使用す
る場合は、両方のデバイスでスケジュールを設定し、両方のデバイスが別々にダウンロード / インス
トールを実行するようにしてください。ダウンロードでデータ ポートを使用する場合、パッシブ デ
バイスはパッシブ状態になっている間ダウンロードを実行しません。この場合は、両方のデバイスで
スケジュールを設定して、[ ピアと同期 ] オプションを選択します。これにより、どちらのデバイスが
アクティブであっても更新処理が実行され、パッシブ デバイスにプッシュされるようにします。
• アクティブ / アクティブの HA — 両方のデバイスでアンチウイルスのシグネチャのダウンロードに MGT
ポートを使用する場合は、両方のデバイスでダウンロード / インストールをスケジュールしますが、
[ ピアと同期 ] オプションは選択しません。データ ポートを使用する場合は、両方のデバイスでシグネ
チャのダウンロードをスケジュールし、[ ピアと同期 ] を選択します。これにより、アクティブ / アク
ティブ設定の 1 つのデバイスがアクティブなセカンダリ状態になった場合でも、そのアクティブ デバ
イスがシグネチャをダウンロード / インストールしてから、アクティブなセカンダリ デバイスにシグ
ネチャをプッシュするようにします。
368
脅威防御
脅威防御
セキュリティ プロファイルとセキュリティ ポリシーのセットアップ
アンチウイルス / アンチスパイウェア / 脆弱性防御のセットアップ(続き)
ステップ 4
セキュリティ プロファイルをセ 1.
キュリティ ポリシーに適用し
ます。
[Policies] > [ セキュリティ] の順に選択し、適切なポリ
シーを選択して変更し、[ アクション ] タブをクリック
します。
2.
[ プロファイル設定 ] で、有効にする各セキュリティ プ
ロファイルの横にあるドロップダウンをクリックしま
す。この例では、[ アンチウイルス ]、[ 脆弱性防御 ]、お
よび [アンチスパイウェア] のデフォルトを選択します。
以前に定義されているセキュリティ プロファイ
ルがない場合、[ プロファイル タイプ ] ドロップ
ダウンから [プロファイル] を選択します。セキュ
リティ プロファイルを選択するためのオプ
ションの一覧が表示されます。
ステップ 5
脅威防御
設定を保存します。
[ コミット ] をクリックします。
369
セキュリティ プロファイルとセキュリティ ポリシーのセットアップ
脅威防御
データ フィルタリングのセットアップ
ここでは、社会保障番号を検出するデータ フィルタリング プロファイルと .doc および .docx ド
キュメントで識別されるカスタム パターンを設定するために必要な手順について説明します。
データ フィルタリングの設定例
ステップ 1
データ フィルタリングのセキュ 1.
リティ プロファイルを作成し
ます。
2.
3.
[Objects] > [ セキュリティ プロファイル ] > [ データ フィ
ルタリング ] の順に選択し、[ 追加 ] をクリックします。
プロファイルの [ 名前 ] と [ 説明 ] を入力します。この
例での名前は「DF_Profile1」、説明は「Detect Social Security
Numbers」です。
(任意)フィルタによってブロックされるデータを収
集する場合は、[ データ キャプチャ] チェック ボックス
をオンにします。
データ キャプチャ機能を使用する場合は、ス
テップ 2 の説明に従って、パスワードを設定す
る必要があります。
ステップ 2
370
(任意)データ フィルタリン 1.
グ ログへのアクセスをセキュ
リティ保護し、他の管理者が 2.
機密データを表示できないよ
うにします。
3.
このオプションを有効にする
と、[Monitor] > [ ログ ] > [ デー
タ フィルタリング ] でログを表
示するときにパスワードを求め
るプロンプトが表示されます。
[Device] > [ セットアップ ] > [ コンテンツ ID] の順に選
択します。
[ コンテンツ ID 機能 ] セクションで [ データ保護の管
理 ] をクリックします。
データ フィルタリング ログを表示するために必要なパ
スワードを設定します。
脅威防御
脅威防御
セキュリティ プロファイルとセキュリティ ポリシーのセットアップ
データ フィルタリングの設定例(続き)
ステップ 3
データ フィルタリング プロ 1.
ファイルで使用されるデータ
パターンを定義します。
この例では、キーワードとし
て「confidential」を 使 用 し、
ダッシュ付きの SSN 番号(例 - 2.
987-654-4320)を検索するオプ
ションを設定します。
3.
適切なしきい値を設定
し、ド キ ュ メ ン ト 内 の
キーワードを定義する
と、誤検知を減らすのに
有効です。
4.
脅威防御
[ データ フィルタリング ] プロファイル ページで [ 追加 ]
をクリックし、[ データ パターン ] ドロップダウンから
[ 新規 ] を選択します。[Objects] > [ カスタム シグネ
チャ] > [ データ パターン ] からデータ パターンを設定
することもできます。
この例では、データ パターン シグネチャに「Detect SS
Numbers」という名前を付け、「Data Pattern to detect
Social Security numbers」という説明を追加します。
[ 重み ] セクションの [SSN 番号 ] に「3」と入力します。
詳細は、「重み値としきい値」を参照してください。
(任意)このプロファイルが適用される [ カスタム パ
ターン ] を設定することもできます。この場合は、カ
スタム パターンの [ 正規表現 ] フィールドでパターン
を指定し、重みを設定します。照合する正規表現を同
じデータ パターン プロファイルに複数追加できます。
この例では、カスタム パターンが「confidential」(パ
タ ー ン の 大 文 字 と 小 文 字 は 区 別 さ れ ま す)で
「SSN_Custom」という名前の [ カスタム パターン ] を
作 成 し、重 み と し て「20」を 使 用 し ま す。こ の 例 で
「confidential」という語を使用するのは、社会保障の
Word ドキュメントにこの語が含まれているからです。
そのため、この語を特に定義します。
371
セキュリティ プロファイルとセキュリティ ポリシーのセットアップ
脅威防御
データ フィルタリングの設定例(続き)
ステップ 4
ステップ 5
フ ィ ル タ リ ン グ す る ア プ リ 1.
ケーションを指定し、ファイ
ル タイプを設定します。
[ アプリケーション ] を [ いずれか ] に設定します。こ
れにより、web-browsing、FTP、SMTP などのサポート
されているアプリケーションすべてが検出されます。
アプリケーションを絞り込むには、リストから対象を
選択します。SSL を使用する Microsoft Outlook Web App
などのアプリケーションの場合は、復号化を有効にす
る必要があります。また、各アプリケーションの表示
名について理解しておくことも必要です。たとえば、
Outlook Web App はこのアプリケーションの Microsoft
名ですが、PAN-OS のアプリケーション リストでは
outlook-web アプリケーションとして示されます。所
定のアプリケーションのログを調べ、PAN-OS で定義
されている名前を識別できます。
2.
doc ファイルおよび docx ファイルのみをスキャンする
には、[ ファイル タイプ ] を [doc] および [docx] に設
定します。
フ ィ ル タ リ ン グ す る ト ラ 1.
フィックの方向としきい値を
指定します。
2.
[ 方向 ] を [both] に設定します。アップロードまたはダ
ウンロードされるファイルがスキャンされます。
3.
372
アラートしきい値 を 35 に設定します。35. この場合、
社会保障番号が 5 インスタンス、confidential という単
語が 1 インスタンス存在するとアラートがトリガーさ
れます。式に当てはめると、重みが 3 の SSN インスタ
ンスが 5 つで 15、重みが 20 の単語 confidential のインス
タンスが 1 つで 20 となり、合計で 35 となります。
[ ブロックしきい値 ] を「50」に設定します。ファイル
での SSN インスタンスまたは単語 confidential のインス
タンスの合計数がしきい値の 50 になると、そのファイ
ルはブロックされます。たとえば、doc 内に重みが 20
の単語 confidential が 1 インスタンス含まれ(しきい値
の 20 に相当)、重みが 3 の社会保障番号が 15 インス
タンス含まれ(しきい値の 45 に相当)ているとしま
す。この場合は、20 と 45 を加算して 65 となり、ブ
ロックしきい値 50 を超えます。
脅威防御
脅威防御
セキュリティ プロファイルとセキュリティ ポリシーのセットアップ
データ フィルタリングの設定例(続き)
ステップ 6
ステップ 7
脅威防御
データ フィルタリング プロファ 1.
イルをセキュリティ ルールに適
用します。
2.
[Policies] > [ セキュリティ] の順に選択し、プロファイル
を適用するセキュリティ ポリシー ルールを選択します。
セキュリティ プロファイル ルールをクリックして変更
し、次に [ アクション ] タブをクリックします。[ デー
タ フィルタリング ] ドロップダウンで、作成した新し
いデータ フィルタリング プロファイルを選択し、
[OK] をクリックして保存します。この例でのデータ
フィルタリング ルール名は「DF_Profile1」です。
設定を [ コミット ] します。
373
セキュリティ プロファイルとセキュリティ ポリシーのセットアップ
脅威防御
データ フィルタリングの設定例(続き)
ステップ 8
データ フィルタリング設定をテ テストでは、実際の社会保障番号を使用し、各番号は一意
である必要があります。また、この例で単語 confidential
ストします。
を使用してカスタム パターンを定義したのと同様に、パ
データ フィルタリングが正常
ターンでは大文字と小文字が区別されます。テストを簡易
に機能しない場合は、データ
に保つため、最初はデータ パターンだけを使用してテスト
フィルタリング ログまたはト
し、次に SSN をテストすることができます。
ラフィック ログを調べてテス
1. ファイアウォールの Trust ゾーン内のクライアント PC
ト対象のアプリケーションを
にアクセスし、フィルタリングに定義したとおりの情
検証し、テスト ドキュメント
報を含む .doc ファイルまたは .docx ファイルをアップ
に適切な数の一意の社会保障
ロードする HTTP 要求を送信します。
番号インスタンスが含まれてい
ることを確認してください。た 2. 単語 confidential を 1 インスタンスと、ダッシュ付き社
会保障番号を 5 インスタンス含んだ Microsoft Word ド
と え ば、Microsoft Outlook Web
キュメントを作成します。
App のようなアプリケーショ
ンは web-browsing として識別さ 3.
れているように思われても、
ロ グ を 見 る と、そ の ア プ リ
ケーションは outlook-web に 4.
な っ て い ま す。ま た、SSN の
数やカスタム パターンを増や
5.
し、必ずしきい値に到達する
ようにしてください。
374
ファイルを Web サイトにアップロードします。復号化
を設定していない場合を除いて HTTP を使用します。
設定していない場合は HTTPS を使用できます。
[Monitor] > [ ログ ] > [ データ フィルタリング ] ログを
選択します。
今アップロードしたファイルに対応するログを見つけ
ます。送信元のクライアント PC と宛先の Web サー
バーを使用するとログをフィルタリングするのに役立
ちます。ログの [ アクション ] 列に [reset-both] と表示
されます。これで、ドキュメント内の社会保障番号の
数を増やしてブロックしきい値をテストできます。
脅威防御
脅威防御
セキュリティ プロファイルとセキュリティ ポリシーのセットアップ
ファイル ブロッキングのセットアップ
この例を使用して、ファイル ブロッキングおよび転送のセットアップに必要な基本手順につい
て説明します。この設定では、Web サイトから .exe ファイルをダウンロードする前に続行する
よう求めるプロンプトをユーザーに表示するために必要なオプションを設定します。この例の
テストでは、送信元との間にコンテンツをブロックしている他のシステムが存在する可能性が
あることに注意してください。
ファイル ブロッキングの設定
ステップ 1
ステップ 2
脅威防御
ファイル ブロッキング プロ 1.
ファイルを作成します。
[Objects] > [ セキュリティ プロファイル ] > [ ファイル ブ
ロッキング ] の順に選択し、[ 追加 ] をクリックします。
2.
ファイル ブロッキング プロファイルの [ 名前 ] に
「Block_EXE」などと入力します。必要に応じて [ 内容 ]
に「ユーザーが Web サイトから exe ファイルをダウン
ロードできないようにする」などと入力します。
ファイル ブロッキングのオプ 1.
ションを設定します。
2.
[追加] をクリックしてプロファイル設定を定義します。
[ 名前 ] に「BlockEXE」などと入力します。
3.
フィルタリングする [ アプリケーション ] を、たとえば
[web-browsing] に設定します。
4.
[ ファイル タイプ ] を [exe] に設定します。
5.
[ 方向 ] を [download] に設定します。
6.
[ アクション ] を [continue] に設定します。[continue] オ
プションを選択することにより、応答ページで、ファ
イルをダウンロードするために [ 続行 ] をクリックする
ようユーザーに求めるプロンプトが表示されます。
7.
[OK] をクリックしてプロファイルを保存します。
375
セキュリティ プロファイルとセキュリティ ポリシーのセットアップ
脅威防御
ファイル ブロッキングの設定(続き)
ステップ 3
ファイル ブロッキング プロファ 1.
イルをセキュリティ ポリシー
に適用します。
「基本的なセキュリティ ポリシーのセットアップ」の
説明に従って、[Policies] > [ セキュリティ] の順に選択
し、既存のポリシーを選択するか、新しいポリシーを
作成します。
2.
セキュリティ ポリシー内の [アクション] タブをクリッ
クします。
3.
[ プロファイル設定 ] セクションで、ドロップダウンを
クリックし、設定したファイル ブロッキング プロファ
イ ル を 選 択 し ま す。こ の 例 で の プ ロ フ ァ イ ル 名 は
Block_EXE です。
4.
設定を [ コミット ] します。
前にセキュリティ プロファイルを定義したことがない場合
は、[ プロファイル タイプ ] ドロップダウンを選択し、[ プ
ロファイル ] を選択します。セキュリティ プロファイルを
選択するためのオプションの一覧が表示されます。
ステップ 4
ファイル ブロッキング設定をテストするには、ファイアウォールの Trust ゾーンのクライア
ント PC にアクセスし、Untrust ゾーンの Web サイトから .exe ファイルのダウンロードを試
みます。応答ページが表示されます。[ 続行 ] をクリックしてファイルをダウンロードしま
す。[alert]、[forward](WildFire に転送する)、[block](ユーザーに続行ページが表示されな
い)などの他のアクションを設定することもできます。以下に、ファイル ブロッキングの
デフォルト応答ページを示します。
例 : デフォルトのファイル ブロッキング応答ページ
376
脅威防御
脅威防御
セキュリティ プロファイルとセキュリティ ポリシーのセットアップ
ファイル ブロッキングの設定(続き)
ステップ 5
(任意)カスタム ファイル ブロッキング応答ページを定義します([Device] > [ 応答ペー
ジ ])。これにより、応答ページに表示される情報量を増やすことができます。会社のポリ
シーの情報やヘルプデスクの連絡先情報などを含めることができます。
[continue] または [continue-and-forward](WildFire 転送に使用される)のいずれかのアク
ションを使用してファイル ブロッキング プロファイルを作成する場合、選択できる
アプリケーションは web-browsing のみです。その他のアプリケーションを選択する
と、ユーザーには続行ページのプロンプトが表示されないため、セキュリティ ポリ
シーに一致するトラフィックはファイアウォールを通過しません。また、Web サイ
トで HTTPS を使用している場合は、復号ポリシーを設定する必要があります。
ログを調べ、この機能をテストするときに使用中のアプリケーションを確認することができます。たと
えば、Microsoft Sharepoint を使用してファイルをダウンロードする場合は、Web ブラウザを使用してその
サイトにアクセスするとしても、実際のアプリケーションは sharepoint-base または sharepoint-document
です。テストでは、アプリケーション タイプは [ いずれか ] に設定できます。
脅威防御
377
ブルート フォース攻撃の防御
脅威防御
ブルート フォース攻撃の防御
ブルート フォース攻撃は、同じ送信元または宛先 IP アドレスで大量の要求 / 応答を使用してシ
ステムに侵入します。攻撃者は試行錯誤を繰り返す方法によって、チャレンジまたは要求に対
する応答を推測します。
ファイアウォールの脆弱性防御プロファイルにはブルート フォース攻撃から保護するシグネ
チャも含まれています。各シグネチャには ID、脅威名、重大度が設定されており、パターンが
記録されるとトリガーされます。パターンは、トラフィックがブルート フォース攻撃と識別さ
れる条件と間隔を指定します。一部のシグネチャは、重大度がより低く、一致パターンを指定
する別の子シグネチャと関連付けられています。パターンがシグネチャや子シグネチャと一致
すると、シグネチャのデフォルト アクションがトリガーされます。
防御を適用するには、以下の手順を実行します。

脆弱性プロファイルをセキュリティ ルールに関連付けます。「アンチウイルス、アンチスパ
イウェア、および脆弱性防御のセットアップ」を参照してください。

新しいシグネチャを含むコンテンツ更新をインストールし、新たに出現した脅威から防御し
ます。「コンテンツ更新の管理」を参照してください。

ブルート フォース攻撃シグネチャとトリガー

ブルート フォース シグネチャのアクションとトリガー条件のカスタマイズ
378
脅威防御
脅威防御
ブルート フォース攻撃の防御
ブルート フォース攻撃シグネチャとトリガー
以下の表に、いくつかのブルート フォース攻撃シグネチャおよびそれをトリガーをする条件の
リストを示します。
シグネチャ ID 脅威名
40001
40003
40004
40005
40006
脅威防御
子シグネチャ ID
トリガー条件
FTP: Login Brute Force 40000
Attempt
頻度 : 60 秒間に 10 回
DNS: Spoofing Cache
Record Attempt
40002
頻度 : 60 秒間に 100 回
SMB: User Password
Brute-force Attempt
31696
LDAP: User Login
Brute-force Attempt
31706
HTTP: User
Authentication
Brute-force Attempt
31708
パターン 子シグネチャ 40000 は、エラー
コード 430 を含む FTP 応答メッセージを
記 録 し て、pass コ マ ン ド の 後、無 効 な
ユーザー名またはパスワードが送信され
たことを示します。
パ タ ー ン 子 シ グ ネ チ ャ 40002 は、
Question、Answer、Authority、および
Additional リソース レコード フィールド
のカウントが 1 になっている DNS 応答
ヘッダーを記録します。
頻度 : 60 秒間に 14 回
パターン 子シグネチャ 31696 は、任意の
SMB コ マ ン ド の 応 答 エ ラ ー コ ー ド
0x50001 およびエラーコード 0xc000006d
を記録します。
頻度 : 60 秒間に 20 回
パターン 子シグネチャ 31706 は LDAP
bindResponse(27) の結果コード 49 を探し
ます。結果コード 49 は無効な認証情報
を示します。
頻度 : 60 秒間に 100 回
パターン 子シグネチャ 31708 は応答ヘッ
ダ ー フ ィ ー ル ド が WWW-Authenticate の
HTTP ステータス コード 401 を探しま
す。ステータス コード 401 は認証失敗を
示します。
379
ブルート フォース攻撃の防御
脅威防御
シグネチャ ID 脅威名
子シグネチャ ID
トリガー条件
40007
31709
頻度 : 60 秒間に 10 回
MAIL: User Login
Brute-force Attempt
パターン 子シグネチャ 31709 は、SMTP、
POP3、および IMAP アプリケーションに
対応しています。以下に各アプリケー
ションのトリガー条件を示します。
SMTP: 応答コード 535
imap: No/bad logon/login failure
POP3: POP3 の PASS コマンドでの ERR
40008
40009
40010
40011
40012
40013
40014
40015
380
MySQL Authentication
Brute-force Attempt
31719
Telnet Authentication
Brute-force Attempt
31732
Microsoft SQL Server
User Authentication
Brute-force Attempt
31753
Postgres Database User
Authentication
Brute-force Attempt
31754
Oracle Database User
Authentication
Brute-force Attempt
31761
Sybase Database User
Authentication
Brute-force Attempt
31763
DB2 Database User
Authentication
Brute-force Attempt
31764
頻度 : 60 秒間に 25 回
パターン 子シグネチャ 31719 は、mysql
clientauth ステージでのエラーコード 1045
を探します。
頻度 : 60 秒間に 10 回
パターン 子シグネチャ 31732 は、応答パ
ケット内の login incorrect を探します。
頻度 : 60 秒間に 20 回
パターン 子シグネチャ 31753 は、応答パ
ケット内の Login failed for user を探します。
頻度 : 60 秒間に 10 回
パターン 子シグネチャ 31754 は、応答パ
ケット内の password authentication failed for user
を探します。
頻度 : 60 秒間に 7 回
パターン 子シグネチャ 31761 は、応答パ
ケット内の password authentication failed for user
を探します。
頻度 : 60 秒間に 10 回
パターン 子シグネチャ 31763 は、応答パ
ケット内の Login failed を探します。
SSH User Authentication 31914
Brute-force Attempt
頻度 : 60 秒間に 20 回
パターン 子シグネチャ 31764 は、重大度
コード 8 およびセキュリティ チェック
コード 0xf の 0x1219 コード ポイントを探
します。
頻度 : 60 秒間に 20 回
パ タ ー ン 子 シ グ ネ チ ャ 31914 は、SSH
サーバーへのすべての接続でアラートに
なります。
脅威防御
脅威防御
ブルート フォース攻撃の防御
シグネチャ ID 脅威名
子シグネチャ ID
トリガー条件
40016
SIP INVITE Method
Request Flood Attempt
31993
頻度 : 60 秒間に 20 回
VPN: PAN BOX SSL
VPN Authentication
Brute-force Attempt
32256
HTTP: Apache Denial
Of Service Attempt
32452
HTTP: IIS Denial Of
Service Attempt
32513
40017
40018
40019
40020
40021
40022
40023
40028
脅威防御
パ タ ー ン 子 シ グ ネ チ ャ 31993 は、SIP
セッションの INVITE メソッドを探しま
す。これは、クライアントが通話への参
加に招待されたことを示します。
頻度 : 60 秒間に 10 回
パターン 子シグネチャ 32256 は、HTTP
応 答 ヘ ッ ダ ー 内 の x-private-pan-sslvpn:
auth-failed を探します。
頻度 : 60 秒間に 40 回
パターン 子シグネチャ 32452 は、応答内
に content-length があって \r\n\r\n を含ま
ないものを探します。
頻度 : 20 秒間に 10 回
パターン 子シグネチャ 32513 は、.aspx を
含む HTTP URI パス上の %3f を探します。
Digium Asterisk IAX2
32785
Call Number Exhaustion
Attempt
頻度 : 30 秒間に 10 回
MS-RDP: MS Remote
Desktop Connect
Attempt
33020
頻度 : 100 秒間に 8 回
HTTP: Microsoft
ASP.Net Information
Leak brute force
Attempt
33435
SIP: SIP Register
Request Attempt
33592
SIP: SIP Bye Message
Brute Force Attack
34520
パターン 子シグネチャ 32785 は、Asterisk
メッセージ内の通話番号フィールドを探
します。
パターン 子シグネチャ 33020 は、ms-rdp
要求内の CONNECT アクションを探し
ます。
頻度 : 60 秒間に 30 回
パターン 子シグネチャ 33435 は、応答
コード 500 および \nX-Powered-By: ASP\.NET
を含む応答ヘッダーを探します。
頻度 : 60 秒間に 60 回
パ タ ー ン 子 シ グ ネ チ ャ 33592 は、
REGISTER SIP メソッドを探します。こ
のメソッドは、To ヘッダー フィールド
にリストされているアドレスを SIP サー
バーに登録するものです。
頻度 : 60 秒間に 20 回
パターン 子シグネチャ 34520 は、通話を
終了するために使用される SIP BYE 要求
を探します。
381
ブルート フォース攻撃の防御
脅威防御
シグネチャ ID 脅威名
子シグネチャ ID
トリガー条件
40030
HTTP: HTTP NTLM
Authentication Brute
Force Attack
34548
頻度 : 60 秒間に 20 回
HTTP: HTTP
Forbidden Brute Force
Attack
34556
HTTP: HOIC Tool
Brute Force Attack
34767
40031
40032
40033
40034
382
パターン 子シグネチャ 34548 は HTTP ス
テータス コード 407 および NTLM プロ
キシ サーバーによる認証の失敗を探し
ます。
パターン 子シグネチャ 34556 は、HTTP
403 応答を探します。これは、サーバー
が有効な HTTP 要求を拒否したことを示
します。
頻度 : 60 秒間に 100 回
パターン 子シグネチャ 34767 は、HOIC
(High Orbit Ion Cannon) DDoS ツールから
の HTTP 要求を探します。
DNS: ANY Queries
34842
Brute Force DOS Attack
SMB: Microsoft
Windows SMB NTLM
Authentication Lack of
Entropy Vulnerability
頻度 : 60 秒間に 100 回
35364
頻度 : 60 秒間に 60 回
パターン 子シグネチャ 34842 は、DNS
ANY レコード クエリを探します。
頻度 : 60 秒間に 60 回
パターン 子シグネチャ 35364 は、SMB
Negotiate (0x72) 要求を探します。短い時
間 に 複 数 の 要 求 が あ る 場 合 は、
CVE-2010-0231 に対する攻撃を示してい
る可能性があります。
脅威防御
脅威防御
ブルート フォース攻撃の防御
ブルート フォース シグネチャのアクションとトリガー条件のカスタマイズ
ファイアウォールには、2 種類の事前定義されたブルート フォース シグネチャが含まれていま
す。親シグネチャと子シグネチャです。子シグネチャはシグネチャに一致するトラフィック パ
ターンの 1 回の発生です。親シグネチャは子シグネチャに関連付けられ、子シグネチャで定義
されたトラフィック パターンに一致するイベントが一定時間内に複数回発生した場合にトリ
ガーされます。
通常、子シグネチャのデフォルト アクションは allow です。1 回のイベントだけで攻撃されたこ
とにはならないためです。多くの場合、子シグネチャのアクションは、正当なトラフィックが
ブロックされないように、また、注目に値しないイベントに対して脅威ログが生成されないよ
うに、allow に設定されています。そのため、デフォルト アクションを変更する場合は、慎重に
検討することをお勧めします。
多くの場合、ブルート フォース シグネチャが注目に値するイベントであるのは、その繰り返し
パターンのためです。ブルート フォース シグネチャのアクションをカスタマイズするには、以
下のいずれかを実行します。

ブルート フォース カテゴリ内のすべてのシグネチャのデフォルト アクションを変更するルー
ルを作成します。トラフィックを許可、アラート、ブロック、リセット、または破棄するア
クションを定義できます。

特定のシグネチャに例外を定義します。たとえば、CVE を検索して、それに例外を定義でき
ます。
親シグネチャの場合、トリガー条件およびアクションの両方を変更できます。子シグネチャ
の場合は、アクションのみが変更できます。
効果的に攻撃を軽減するには、ほとんどのブルート フォース シグネチャで drop アクションや
reset アクションよりも block-ip address アクションをお勧めします。
シグネチャのしきい値およびアクションのカスタマイズ
ステップ 1
脅威防御
新しい脆弱性防御プロファイ 1.
ルを作成します。
[Objects] > [ セキュリティ プロファイル ] > [ 脆弱性防
御 ] の順に選択します。
2.
[ 追加 ] をクリックし、脆弱性防御プロファイルの [ 名
前 ] を入力します。
383
ブルート フォース攻撃の防御
脅威防御
シグネチャのしきい値およびアクションのカスタマイズ(続き)
ステップ 2
384
カテゴリ内のすべてのシグネ 1.
チャのアクションを定義する
ルールを作成します。
2.
[ ルール ] を選択し、[ 追加 ] をクリックして [ ルール名 ]
を入力します。
[ アクション ] を設定します。この例では、[ ブロック ]
に設定されています。
3.
[ カテゴリ ] を [brute-force] に設定します。
4.
(任意)ブロックする場合、サーバーとクライアント
のどちらをブロックするかを指定します。デフォルト
は [any] です。
5.
特定のシグネチャのアクションをカスタマイズする方
法については、ステップ 3 を参照してください。
6.
親シグネチャのトリガーしきい値をカスタマイズする
方法については、ステップ 4 を参照してください。
7.
[OK] をクリックしてルールおよびプロファイルを保存
します。
脅威防御
脅威防御
ブルート フォース攻撃の防御
シグネチャのしきい値およびアクションのカスタマイズ(続き)
ステップ 3
(任意)特定の シグ ネチャ の 1.
アクションをカスタマイズし
ます。
[ 例外 ] を選択し、[ すべてのシグネチャの表示 ] をク
リックして、変更するシグネチャを見つけます。
ブルート フォース カテゴリのすべてのシグネチャを表示
するには、「category contains 'brute-force'」と検索します。
2.
特定のシグネチャを編集するには、[ アクション ] 列の事
前定義されたデフォルト アクションをクリックします。
3.
アクションを [allow]、[alert]、または [block-ip] に設
定します。
4.
[block-ip] を選択した場合、以下の追加タスクを実行し
ます。
a. [ 日時 ] にアクションをトリガーするまでの時間を秒
数で指定します。
b. [ 追跡 ] フィールドで、IP アドレスを [IP ソース ] ま
たは [IP ソースおよび宛先 ] のどちらによってブロッ
クするかを定義します。
脅威防御
5.
[OK] をクリックします。
6.
変更したシグネチャのそれぞれに対して、[ 有効化 ] 列
のチェックボックスをオンにします。
7.
[OK] をクリックします。
385
ブルート フォース攻撃の防御
脅威防御
シグネチャのしきい値およびアクションのカスタマイズ(続き)
ステップ 4
親シグネチャのトリガー条件 1.
をカスタマイズします。
をクリックし、シグネチャの時間属性および集約条
件を編集します。
編集可能な親シグネチャには
このアイコン
がついてい
ます。
こ の 例 で は、検 索 条 件 は ブ
ルート フォース カテゴリおよ
び CVE-2008-1447 です。
ステップ 5
この新しいプロファイルをセ
キュリティ ルールに関連付け
ます。
ステップ 6
変更を保存します。
386
2.
トリガーしきい値を変更するには、[ ビット数 ] [per] x
[seconds] を指定します。
3.
ヒット数を [source]、[destination]、または[source and
destination] のいずれで集約するかを指定します。
4.
[OK] をクリックします。
1.
[ コミット ] をクリックします。
脅威防御
脅威防御
ネットワークをレイヤー 4 およびレイヤー 7 回避から保護するためのベスト プラクティス
ネットワークをレイヤー 4 およびレイヤー 7 回避から保護
するためのベスト プラクティス
以下に、ほとんどのレイヤー 4 攻撃およびレイヤー 7 攻撃をモニタリングし、ネットワークを
保護するための推奨事項を示します。

最新の PAN-OS ソフトウェア バージョンおよびコンテンツ リリース バージョンにアップグ
レードして、最新のセキュリティ更新を使用してください。「コンテンツ更新の管理」お
よび「ソフトウェア更新のインストール」を参照してください。

Web サーバーについては、サーバーが対応しているプロトコルのみを許可するセキュリティ
ポリシーを作成します。たとえば、Web サーバーには HTTP トラフィックのみが許可され
るようにしてください。カスタム アプリケーション用のアプリケーション オーバーライド
ポリシーを定義した場合、特定の送信元ゾーンまたは IP アドレス群にアクセスを制限する
ようにしてください。

以下のセキュリティ プロファイルをセキュリティ ポリシーに関連付けて、シグネチャベー
スの防御を提供します。
–
脆弱性防御プロファイルを作成して、重大度が「low」以上の脆弱性をすべてブロック
します。
–
アンチスパイウェア プロファイルを作成して、すべてのスパイウェアをブロックします。
–
アンチウイルス プロファイルを作成して、アンチウイルス シグネチャに一致するコン
テンツをすべてブロックします。

セキュリティ ポリシーを使用してすべての不明なアプリケーション/トラフィックをブロッ
クします。通常、不明なトラフィックに分類されるのは、ネットワーク上の内部アプリ
ケーションまたはカスタム アプリケーション、すなわち潜在的な脅威です。不明なトラ
フィックは、変則的で異常な非準拠のアプリケーションまたはプロトコル、または非標準
ポートを使用する不明なアプリケーションの可能性があるため、ブロックする必要がありま
す。「カスタム アプリケーションや不明なアプリケーションの管理」を参照してください。

ファイル ブロッキング プロファイルを作成し、インターネットベースの SMB (Server Message
Block) トラフィックの Portable Executable (PE) ファイル タイプが Trust ゾーンから Untrust
ゾーンに通過するのをブロックします(ms-ds-smb アプリケーション)。
さらに防御を強化するには、アンチウイルス ポリシーを作成して、既知の悪意ある DDL
ファイルをすべて検出し、ブロックします。
脅威防御
387
ネットワークをレイヤー 4 およびレイヤー 7 回避から保護するためのベスト プラクティス


脅威防御
ゾーン プロテクション プロファイルを作成して、パケットベースの攻撃を防御します。
–
ファイアウォールが SYN パケットを転送する前に、パケットの TCP タイムスタンプを
削除します。SYN パケットの TCP タイムスタンプ オプションを削除すると、TCP 接続
の両端の TCP スタックで TCP タイムスタンプがサポートされなくなります。したがっ
て、SYN パケットの TCP タイムスタンプを無効にすることで、同じシーケンス番号の
複数のパケットに異なるタイムスタンプを使用する攻撃を阻止できます。
–
不正な形式のパケットをドロップします。
–
一致しない重複 TCP セグメントのドロップ — 重複するが一致しないデータを故意に使
用して接続を構築することにより、攻撃者は接続の意図を間違って解釈させることがで
きます。これは故意に誤検知または検出もれを引き起こすために使用できます。攻撃者
は、IP スプーフィングとシーケンス番号予測を利用してユーザー接続をインターセプト
し、自身のデータを接続に注入します。PAN-OS は、このフィールドを使用して、不一
致かつ重複するデータを含むフレームを破棄します。受信したセグメントが破棄される
のは、受信したセグメントが別のセグメントに含まれている場合、受信したセグメント
がセグメントの別の部分と重複する場合、またはセグメントが別のセグメントを完全に
含む場合です。
IPv6 アドレスをネットワーク ホスト上に設定している場合、IPv6 のサポートが有効になっ
ていることを確認します。([Network] > [ インターフェイス ] > [Ethernet] > [IPv6])
これにより、IPv6 ホストにアクセスし、IPv4 内にカプセル化された IPv6 パケットをフィル
タリングできるようになります。IPv6 のサポートを有効にすることにより、IPv6 over IPv4
マルチキャスト アドレスがネットワーク偵察に利用されるのを防ぎます。

マルチキャスト トラフィックのサポートを有効にして、ファイアウォールがマルチキャス
ト トラフィックにポリシーを適用できるようにします。([Network] > [ 仮想ルーター] >
[ マルチキャスト ])

以下の CLI コマンドを有効にして、TCP ヘッダー内の URG ビット フラグをオフにし、パ
ケットのアウトオブバンド処理を禁止します。
TCP ヘッダー内の緊急ポインターは、パケットを処理キューから削除し、ホストの TCP/IP
スタックで迅速に処理することによって、パケットが即時に処理されるようにします。こ
の処理はアウトオブバンド処理と呼ばれます。緊急ポインターの実装はホストによって異
なるため、あいまいさを排除するため、以下の CLI コマンドを使用してアウトオブバンド
処理を禁止してください。ペイロード内のアウトオブバンド バイトはペイロードの一部と
なるため、パケットは緊急で処理されません。この変更によって、ファイアウォールおよ
びホストでのパケットの処理方法にあいまいさをなくすことができるため、ファイア
ウォールは、プロトコル スタック内でパケットの宛先ホストとまったく同じストリームが
見えるようになります。
set deviceconfig setting tcp urgent-data clear
388
脅威防御
脅威防御

ネットワークをレイヤー 4 およびレイヤー 7 回避から保護するためのベスト プラクティス
URG フラグをクリアして、パケットの TCP ヘッダーにその他のフラグが設定されないよう
にファイアウォールを設定する場合は、次の CLI コマンドを使用してフラグの設定されて
いないパケットをドロップするようファイアウォールを設定します。
set deviceconfig setting tcp drop-zero-flag yes

以下の CLI コマンドを有効にして、bypass-exceed-queue を無効にします。
超過キューのバイパスは、順序の乱れたパケットのために必要です。このシナリオは、
ファイアウォールが順序の乱れたパケットを受信する非対称環境で最も一般的です。特定
のアプリケーションの識別 (App-ID) のために、ファイアウォールはヒューリスティクス分
析を実行します。受信したパケットの順序が乱れている場合、アプリケーションの分析を
完了するためには、データをキューにコピーする必要があります。
set deviceconfig setting application bypass-exceed-queue no

以下の CLI コマンドを有効にして、順序外パケットが制限に達した場合にパケットの検査を
無効にします。Palo Alto Networks のファイアウォールはセッションごとに最大 32 個の順序
外パケットを収集できます。このカウンターは、32 個のパケット制限を超えたことを識別
します。バイパス設定が no に設定されている場合、デバイスは 32 個の制限を超えた順序外
パケットを破棄します。コミットが必要です。
set deviceconfig setting tcp bypass-exceed-oo-queue no
set deviceconfig setting ctd tcp-bypass-exceed-queue no
set deviceconfig setting ctd udp-bypass-exceed-queue no

以下の CLI コマンドを有効にして、TCP タイムスタンプを確認します。TCP タイムスタン
プは、セグメントがいつ送信されたかを記録します。ファイアウォールはタイムスタンプ
がセッションに対して有効であることを確認できます。この設定を有効にすると、タイム
スタンプが無効なパケットはドロップされます。
set deviceconfig setting tcp check-timestamp-option yes
脅威防御
389
パッシブ DNS 収集を有効にして脅威インテリジェンスを向上する
脅威防御
パッシブ DNS 収集を有効にして脅威インテリジェンスを
向上する
パッシブ DNS は、ファイアウォールがパッシブ DNS センサーとして機能し、選択した DNS 情
報を Palo Alto Networks に送信して分析できるようにして、脅威インテリジェンスと脅威防御機
能の向上を図るオプトイン機能です。収集されるデータとして、非再帰的(個々のクライアン
トではなく、ローカルの再帰的リゾルバから発行される)DNS クエリや、応答パケットのペイ
ロードなどがあります。パッシブ DNS モニタリング機能によって送信されるデータは、ドメイ
ン名から IP アドレスへの単なるマッピングです。Palo Alto Networks はこのデータの送信元の記
録を保持していないため、後でこのデータを送信元に関連付ける機能を備えていません。
Palo Alto Networks の脅威調査チームは、DNS システムを悪用するマルウェアの増殖およびセ
キュリティ回避の技法を正確に深く理解するために、この情報を使用します。このデータ収集
によって集められた情報は、PAN-DB URL フィルタリング、DNS ベースのコマンドアンドコン
トロール シグネチャ、および WildFire 内の精度とマルウェア検出機能の向上に使用されます。
DNS 応答は Palo Alto Networks にのみ転送され、次の要件が満たされた場合のみ生成されます。

DNS 応答ビットが設定されている

DNS 切り捨てビットが設定されていない

DNS 再帰ビットが設定されていない

DNS 応答コードが 0 または 3 (NX) である

DNS 質問数が 0 より大きい

DNS 回答 RR 数が 0 より大きいか、0 の場合はフラグが 3 (NX) である必要がある

DNS クエリ レコード タイプが A、NS、CNAME、AAAA、MX である
パッシブ DNS モニタリングはデフォルトで無効になっていますが、脅威インテリジェンスの向
上を容易に実現するために有効にすることをお勧めします。パッシブ DNS を有効化するには、
以下の手順を実行します。
パッシブ DNS の有効化
1.
[Objects] > [ セキュリティ プロファイル ] > [ アンチスパイウェア ] の順に選択し
ます。
2.
既存のプロファイルを選択して変更するか、新規のプロファイルを作成します。
このアンチスパイウェア プロファイルは、お使いの DNS サーバーの外部
DNS トラフィックを管理するセキュリティ ポリシーに添付する必要があり
ます。
3.
[DNS シグネチャ] タブで [ パッシブ DNS モニタリングを有効にする ] チェックボッ
クスをオンにします。
4.
[OK] をクリックし、[ コミット ] をクリックします。
390
脅威防御
脅威防御
DNS クエリを使用してネットワーク上の感染ホストを特定する
DNS クエリを使用してネットワーク上の感染ホストを特
定する
アンチスパイウェア プロファイルの DNS シンクホール アクションは、既知の悪意あるドメイ
ンの DNS クエリに対する応答をファイアウォールが偽装して、悪意あるドメイン名を、管理者
が定義した IP アドレスに解決できるようにします。これにより、ネットワーク上のマルウェア
に感染したホストを特定できます。以下のトピックでは、DNS シンクホール アクションについ
て説明し、同アクションを有効にして、ログをモニターし、感染ホストを特定する手順を示し
ます。

DNS シンクホール

DNS シンクホールの設定

感染ホストの特定
脅威防御
391
DNS クエリを使用してネットワーク上の感染ホストを特定する
脅威防御
DNS シンクホール
DNS シンクホール機能を使用すると、ファイアウォールが感染クライアントの DNS クエリを
見ることができない状況(つまり、ファイアウォールが DNS クエリの発信元を確認できない状
況)で、DNS トラフィックを使用して保護されたネットワーク上の感染ホストを特定できま
す。ファイアウォールがローカル DNS サーバーよりもインターネット側にある通常のデプロイ
メントでは、脅威ログは、実際の感染ホストではなくローカル DNS リゾルバをトラフィックの
送信元として識別します。マルウェア DNS クエリのシンクホール処理では、この可視性の問題
を次のようにして解決します。すなわち、クライアント ホストによる悪意あるドメインへのク
エリに対する応答を偽装することで、悪意あるドメイン(たとえば、コマンドアンドコント
ロールなど)への接続を試みるクライアントが、管理者が定義したシンクホール IP アドレスに
接続を試みるように仕向けます(「DNS シンクホールの設定」を参照)。こうすることで、ト
ラフィック ログを調べて感染ホストを容易に特定できます。シンクホール IP への接続を試みる
ホストはすべて、マルウェアに感染している可能性が高いためです。
図 : DNS シンクホールの例
392
脅威防御
脅威防御
DNS クエリを使用してネットワーク上の感染ホストを特定する
DNS シンクホールの設定
DNS シンクホールを有効にするには、アンチスパイウェア プロファイルで DNS シンクホール
アクションを有効にして、そのプロファイルをセキュリティ ルールに添付する必要がありま
す。クライアント ホストが悪意あるドメインにアクセスを試みると、ファイアウォールは、管
理者が DNS シンクホール アドレスとして設定した IP アドレスを使用して、パケットの宛先 IP
アドレスを偽装します。
DNS シンクホールの設定
ステップ 1
シンクホール IP アドレスとし 以下に示す設定手順では、次の DNS シンクホール アドレ
て使用する IPv4 および IPv6 ア スを使用します。
ドレスを取得します。
IPv4 DNS シンクホール アドレス — 10.15.0.20
シ ン ク ホ ー ル IP ア ド レ ス と IPv6 DNS シンクホール アドレス — fd97:3dec:4d27:e37c:5:5:5:5
セッションの開始を試みた感
染ホストがファイアウォール
経由でルーティングされるよ
うに、DNS シンクホール アド
レスは、クライアント ホスト
と異なるゾーンに属している
必要があります。IPv4 と IPv6
の両方のアドレスが必要とな
るのは、悪意あるソフトウェ
アが、IPv4 と IPv6 のどちらか
一方または両方のプロトコル
を使用して DNS クエリを実行
する可能性があるからです。
このシンクホール アド
レ ス は、こ の 目 的 の た
めに予約する必要があ
り ま す。こ の ア ド レ ス
を物理ホストに割り当
てる必要はありませ
ん。ま た、ハ ニ ー ポ ッ
ト サーバーを物理ホス
トとして使用すること
で、悪 意 あ る ト ラ
フィックをさらに詳し
く分析することもでき
ます。
脅威防御
393
DNS クエリを使用してネットワーク上の感染ホストを特定する
脅威防御
DNS シンクホールの設定(続き)
ステップ 2
シンクホール インターフェイス 1.
とゾーンを設定します。
クライアント ホストが存在す
るゾーンからのトラフィック 2.
はシンクホール IP アドレスが
定義されているゾーンにルー 3.
ティングする必要がありま
す。こ れ に よ り、ト ラ フ ィ ッ
クがログに記録されます。
シンクホール トラフィッ 4.
クには専用のゾーンを
使 用 し ま す。こ の ゾ ー
ン に、感 染 ホ ス ト か ら
の ト ラ フ ィ ッ ク が 送 信 5.
されます。
6.
[Network] > [ インターフェイス ] の順に選択し、シン
クホール インターフェイスとして設定するインター
フェイスを選択します。
[インターフェイス タイプ] ドロップダウン リストで、
[ レイヤー 3] を選択します。
IPv4 アドレスを追加するには、[IPv4] タブで [ スタ
ティック ] を選択して、[ 追加 ] をクリックします。こ
の例では、192.168.2.0/24 が IPv4 DNS シンクホール ア
ドレスになります。
[IPv6] タブで [ スタティック ] を選択し、[ 追加 ] をク
リックして、IPv6 アドレスとサブネット マスクを入力
します。この例では、fd97:3dec:4d27:e37c::/64 が IPv6 シ
ンクホール アドレスになります。
[OK] をクリックして保存します。
シンクホールのゾーンを追加するには、[Network] >
[ゾーン ] の順に選択して、[追加 ] をクリックします。
7.
ゾーンの [ 名前 ] を入力します。
8.
[ タイプ ] ドロップダウン リストで、[ レイヤー 3] を選
択します。
9.
[ インターフェイス ] セクションで、[ 追加 ] をクリック
して、先ほど設定したインターフェイスを追加します。
10. [OK] をクリックします。
394
脅威防御
脅威防御
DNS クエリを使用してネットワーク上の感染ホストを特定する
DNS シンクホールの設定(続き)
ステップ 3
アンチスパイウェア プロファイ 1.
ルで DNS シンクホールを有効
化します。
2.
[Objects] > [ セキュリティ プロファイル ] > [ アンチス
パイウェア ] の順に選択します。
3.
プロファイルの [ 名前 ] を入力し、[DNS シグネチャ] タ
ブを選択します。
4.
[DNS クエリに対するアクション ] ドロップダウン リス
トで、[ シンクホール ] を選択します。
5.
[シンクホール IPv4] フィールドに、ステップ 2 で設定し
た IPv4 シンクホール アドレス(この例では 10.15.0.20)
を入力します。
6.
[ シンクホール IPv6] フィールドに、ステップ 2 で設定
した IPv6 シンクホール アドレス(この例では
fd97:3dec:4d27:e37c:5:5:5:5)を入力します。
既存のプロファイルを変更するか、既存のデフォルト
プロファイルの 1 つを選択してコピーします。
デフォルトのシンクホール アドレスは、ループ
バック アドレス(IPv4 の場合は 127.0.0.1、IPv6
の場合は ::1)です。
脅威防御
7.
(任意)[ パケット キャプチャ] ドロップダウン リスト
で、[single-packet] ま た は [extended-capture] を 選
択します。single-packet オプションを選択するとセッ
シ ョ ン の 最 初 の パ ケ ッ ト が キ ャ プ チ ャ さ れ ま す。
extended-capture は 1 ~ 50 パケットの間に設定できま
す。パケット キャプチャを使用して、さらに詳しい分
析を行うことができます。
8.
[OK] をクリックしてプロファイルを保存します。
395
DNS クエリを使用してネットワーク上の感染ホストを特定する
脅威防御
DNS シンクホールの設定(続き)
ステップ 4
Trust ゾーンのクライアント ホ
ストから Untrust ゾーンへのト
ラフィックを許可するセキュ
リティ ポリシー ルールを編集
して、シンクホール ゾーンを
宛 先 に 含 め、ア ン チ ス パ イ
ウェア プロファイルを添付し
ます。
1.
[Policies] > [ セキュリティ] の順に選択します。
2.
クライアント ホスト ゾーンから Untrust ゾーンへのト
ラフィックを許可する既存のルールを選択します。
3.
[ 宛先 ] タブで、シンクホール ゾーンを [ 追加 ] します。
これにより、クライアント ホスト トラフィックがシン
クホール ゾーンに流れるようになります。
4.
[アクション] タブで、[セッション開始時にログ] チェッ
クボックスをオンにして、ログを有効にします。これ
により、Trust ゾーンのクライアント ホストからのトラ
フィックが、Untrust ゾーンまたはシンクホール ゾーン
へのアクセス時にログに記録されるようになります。
感染ホストからのトラフィッ
クを識別しようとしているこ
とを明確にするため、上記の
変更は、Trust ゾーンのクライ
5.
アント ホストから Untrust ゾー
ンへのトラフィックを許可す
るセキュリティ ルールに対し
て 行 い ま す。シ ン ク ホ ー ル 6.
ゾーンをルールに宛先として
追加することで、感染クライ
ア ン ト が 偽 の DNS ク エ リ を
DNS シンクホールに送信する
ようになります。
396
[ プロファイル設定 ] セクションで、DNS シンクホール
を有効にした [ アンチスパイウェア ] プロファイルを選
択します。
[OK] をクリックしてセキュリティ ルールを保存してか
ら、[ コミット ] します。
脅威防御
脅威防御
DNS クエリを使用してネットワーク上の感染ホストを特定する
DNS シンクホールの設定(続き)
ステップ 5
感染ホストを確実に特定でき 1.
る よ う に す る た め に、Trust
ゾーンのクライアント ホスト
から新しいシンクホール ゾー
ンへのトラフィックがログに
記録されていることを確認し
ます。
こ の 例 で は、感 染 ホ ス ト は
192.168.2.10、シ ン ク ホ ー ル の
IPv4 アドレスは 10.15.0.20 です。
Trust ゾーンのクライアント ホストでコマンド プロン
プトを開き、以下のコマンドを実行します。
C:\>ping <sinkhole address>
以下の出力例は、DNS シンクホール アドレス 10.15.0.2
に対して Ping 要求を送信したときの結果です。この例
では、シンクホール IP アドレスが物理ホストに割り当
てられていないため、結果は、Request timed out に
なっています。
C:\>ping 10.15.0.20
Pinging 10.15.0.20 with 32 bytes of data:
Request timed out.
Request timed out.
Ping statistics for 10.15.0.20:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss)
2.
ファイアウォール上で、[Monitor] > [ ログ ] > [ トラ
フィック] の順に選択して、送信元が 192.168.2.10、宛先
が 10.15.0.20 のログ エントリを探します。これにより、
シンクホール IP アドレスへのトラフィックがファイア
ウォール ゾーンを通過していることを確認できます。
ログを検索またはフィルタリングして、宛先が
10.15.0.20 のログのみ表示することもできます。
それには、[ 宛先 ] 列で IP アドレス (10.15.0.20) を
ク リ ッ ク し ま す。す る と、検 索 フ ィ ー ル ド に
フィルタ (addr.dst in 10.15.0.20) が追加されます。
検索フィールドの右側の [ フィルタの適用 ] アイ
コンをクリックして、フィルタを適用します。
脅威防御
397
DNS クエリを使用してネットワーク上の感染ホストを特定する
脅威防御
DNS シンクホールの設定(続き)
ステップ 6
DNS シンクホール機能が正しく テストに使用する悪意あるドメインを検索するには、以下
設定されていることを確認す の手順を実行します。
るために使用する悪意あるド 1. [Device] > [ ダイナミック更新 ] の順に選択し、[ アンチ
メインを特定します。
ウイルス ] セクションの [ リリース ノート ] リンクをク
リックして、インストール済みの最新のアンチウイル
この機能をテストするには、
ス DB を表示します。アンチウイルス リリース ノート
ファイアウォールの現在のア
は、ダイナミック更新のサポート サイトにも置いてあ
ンチウイルス シグネチャ デー
ります。多くの場合、シグネチャ更新では追加分のみ
タベースに登録されている悪
が更新されるため、新規のウイルスと DNS シグネチャ
意あるドメインを使用する必
のみが表示されます。(本書の執筆時点ではまだです
要があります。悪意あるドメ
が)これからファイアウォールにインストールされる
インを特定するために使用す
と思われるアンチウイルス シグネチャおよび DNS シ
る DNS シグネチャは、アンチ
グネチャも多数あります。
ウイルス シグネチャ データ
ベースに登録されている数十 2. リリース ノートの 2 列目で、特定のドメイン拡張子(た
とえば、com、edu、net など)を持つ行項目を探しま
万のシグネチャのごく一部に
す。左側の列にドメイン名が表示されます。たとえ
過ぎません。
ば、アンチウイルス リリース 1117-1560 には、左側の
列が "tbsbana" で、右側の列が "net" になっている項目
があります。
以下に、リリース ノートのこの項目の内容を示します。
conficker:tbsbana1 variants: net
このドメインは現在のデータベースに表示されている
ので、テスト用に使用できます。
398
脅威防御
脅威防御
DNS クエリを使用してネットワーク上の感染ホストを特定する
DNS シンクホールの設定(続き)
ステップ 7
シンクホール アクションをテス 1.
トします。
2.
ここでは、クライアント ホス
トが感染して、悪意あるアプ
リケーションが DNS クエリを
使用してハッカーのサーバー
にアクセスしようとしている
場合に実行するアクションを
示します。
クライアント ホストでコマンド プロンプトを開きます。
ステップ 6 で、既知の悪意あるドメインとして特定し
た URL に対して、NSLOOKUP を実行します。
以下の例では、track.bidtrk.com という URL を使用し
ています。
C:\>nslookup track.bidtrk.com
Server: my-local-dns.local
Address: 10.0.0.222
Non-authoritative answer:
Name: track.bidtrk.com.org
Addresses: fd97:3dec:4d27:e37c:5:5:5:5
10.15.0.20
悪意あるドメインに対する NSLOOKUP が、設定した
シンクホール IP アドレス (10.15.0.20) を使用して偽造さ
れている点に注目してください。このドメインは悪意
ある DNS シグネチャと一致したため、シンクホール
アクションが実行されています。
脅威防御
3.
[Monitor] > [ ログ ] > [ 脅威 ] の順に選択して、対応す
る脅威ログ エントリを探し、NSLOOKUP 要求に対し
て正しいアクションが実行されたことを確認します。
4.
に対して Ping を実行します。シンク
ホール アドレスに対するネットワーク トラフィックが
生成されます。
track.bidtrk.com
399
DNS クエリを使用してネットワーク上の感染ホストを特定する
脅威防御
感染ホストの特定
DNS シンクホールを設定して、悪意あるドメインへのトラフィックがシンクホール アドレスに
向けて送信されることを確認したら、シンクホール アドレスへのトラフィックを定期的にモニ
ターして、感染ホストを突き止め、脅威を排除する必要があります。
DNS シンクホールの確認とレポートの生成
ステップ 1
アプリケーション スコープを使 1.
用して感染したクライアント
ホストを特定します。
2.
3.
[Monitor] > [ アプリケーション スコープ ] の順に選択
して、[ 脅威モニター] をクリックします。
表示ページの上部にある [ スパイウェアの表示 ] ボタン
をクリックします。
時間範囲を選択します。
以下のスクリーンショットでは、疑わしい 3 つの DNS
クエリが表示されています。これらは、テスト クライ
アント ホストが既知の悪意あるドメインに対して
NSLOOKUP を 実 行 し た と き に 生 成 さ れ た ク エ リ で
す。グラフをクリックして、イベントの詳細情報を表
示します。
400
脅威防御
脅威防御
DNS クエリを使用してネットワーク上の感染ホストを特定する
DNS シンクホールの確認とレポートの生成(続き)
ステップ 2 シンクホール IP アドレス(この
例では 10.15.0.20)に対してトラ
フィックを送信したすべてのク
ライアント ホストを明示するカ
スタム レポートを設定します。
SNMP マネージャ、Syslog
サ ー バ ー、お よ び(ま た
は)Panorama に転送して、
これらのイベントのアラー
トを有効にしてください。
この例では、感染したクライアン
ト ホストが、Palo Alto Networks
DNS シグネチャ データベースに
登録されている既知の悪意ある
ド メ イ ン に 対 し て NSLOOKUP
を実行します。すると、ローカ
ルの DNS サーバーにクエリが送
信 さ れ、そ の 要 求 が フ ァ イ ア
ウォール経由で外部の DNS サー
バーに転送されます。アンチス
パイウェア プロファイルが設定
されたファイアウォール セキュ
リティ ポリシーによって、この
クエリが DNS シグネチャ デー
タ ベ ー ス と 照 合 さ れ、シ ン ク
ホール アドレス 10.15.0.20 および
fd97:3dec:4d27:e37c:5:5:5:5 を 使 用
して応答が偽造されます。クラ
イアントがセッションを開始する
と、アクティビティが送信元ホス
トおよび宛先アドレスといっしょ
にトラフィック ログに記録され
ます。この時点で、宛先アドレス
は偽造されたシンクホール アド
レスに置き換わっています。
ファイアウォール上のトラフィッ
ク ログを確認することによっ
て、シンクホール アドレスにト
ラフィックを送信しているクライ
アント ホストをすべて特定でき
ます。この例では、送信元アドレ
ス 192.168.2.10 から悪意ある DNS
クエリが送信されたことがログか
ら分かります。これで、感染ホス
トを見つけて排除できます。DNS
シンクホール オプションがなけ
れば、管理者には、クエリを実行
したシステムとしてローカルの
DNS サーバーしか見えず、感染
したクライアント ホストは分か
りません。仮にシンクホール ア
クションを使用して脅威ログに対
するレポートを実行したとした
ら、ログには、感染ホストではな
く、ローカルの DNS サーバーが
表示されます。
脅威防御
1.
[Monitor] > [ カスタム レポートの管理 ] の順に選択し
ます。
2.
[追加] をクリックして、レポートに [名前] をつけます。
3.
以下のとおり、シンクホール アドレスへのトラフィッ
クをキャプチャするカスタム レポートを定義します。
• データベース — [ トラフィック ログ ] を選択します。
• スケジュール設定 — [ スケジュール設定 ] をオンに
すると、レポートが毎晩実行されます。
• 期間 — 30 日
• 選択した列 — [ 送信元アドレス ] または [ 送信元ユー
ザー](User-ID を設定している場合)、および [ 宛
先アドレス ] を選択します。前者はレポート内の感
染したクライアント ホストを識別します。後者はシ
ンクホール アドレスです。
• 画面下部のセクションで、シンクホール アドレス
(この例では、10.15.0.20)へのトラフィックに対す
るカスタム クエリを作成します。[ クエリ ビルダー]
ウィンドウに宛先アドレスを入力するか (addr.dst in
10.15.0.20)、各列で、結合子 = and、属性 = 宛先ア
ドレス、演算子 = 含む、値 = 10.15.0.20 を選択して、
[ 追加 ] をクリックします。[ 追加 ] をクリックして
クエリを追加します。
4.
[ 今すぐ実行 ] をクリックしてレポートを生成します。
シンクホール アドレスに対してトラフィックを送信し
たすべてのクライアント ホストがレポートに表示され
ます。これらは、感染している可能性が極めて高いホ
ストです。これで、ホストを突き止めて、スパイウェ
アに感染していないかチェックできます。
5.
スケジュール設定された実行済みレポートを表示する
には、[Monitor] > [ レポート ] を選択します。
401
ダイナミック更新のためのコンテンツ配信ネットワーク インフラストラクチャ
脅威防御
ダイナミック更新のためのコンテンツ配信ネットワーク
インフラストラクチャ
Palo Alto Networks は、Palo Alto Networks のデバイスにコンテンツの更新を提供するために CDN
(Content Delivery Network) を利用しています。デバイスは CDN 内に保管された App-ID および
Content-ID コンテンツをダウンロードします。コンテンツの更新の許可とスケジュール設定に
ついては、「コンテンツ更新の管理」を参照してください。
以下の表に、ファイアウォールがコンテンツ更新時にアクセスする更新サーバーリソース情報
を示します。
リソース
URL
スタティック アドレス(スタティック サー
バーが必要な場合)
アプリケーション デー • updates.paloaltonetworks.com:443
タベース
staticupdates.paloaltonetworks.com または
199.167.52.15(IP アドレス)
脅威 / アンチウイルス • updates.paloaltonetworks.com:443
データベース
• downloads.paloaltonetworks.com:443
staticupdates.paloaltonetworks.com または
199.167.52.15(IP アドレス)
更新サーバーを
updates.paloaltonetworks.com に設定
することをお勧めします。この設
定では、Palo Alto Networks デバイ
スが CDN インフラストラクチャ
内の最も近いサーバーからコンテ
ンツの更新を受け取ることができ
ます。
PAN-DB URL Filtering
*.urlcloud.paloaltonetworks.com
スタティック IP アドレスは使用できま
せん。ただし、手動で URL を IP アドレ
プライマリ URL
スに解決して、地域サーバー
IP アドレ
s0000.urlcloud.paloaltonetworks.com に
解決され、デバイスに最も近い地域 スへのアクセスを許可することはでき
のクラウド上のサーバーにリダイレ ます。
クトされます。
• s0100.urlcloud.paloaltonetworks.com
• s0200.urlcloud.paloaltonetworks.com
• s0300.urlcloud.paloaltonetworks.com
• s0500.urlcloud.paloaltonetworks.com
BrightCloud URL フ ィル • database.brightcloud.com:443/80
タリング
• service.brightcloud.com:80
402
BrightCloud のカスタマー サポートに連
絡してください。
脅威防御
脅威防御
ダイナミック更新のためのコンテンツ配信ネットワーク インフラストラクチャ
リソース
URL
スタティック アドレス(スタティック サー
バーが必要な場合)
WildFire
• beta.wildfire.paloaltonetworks.com:443/ • mail.wildfire.paloaltonetworks.com:25
80
または 54.241.16.83(IP アドレス)
• beta-s1.wildfire.paloaltonetworks.com:443/ • wildfire.paloaltonetworks.com:443/80
80
または 54.241.8.199
ベータ サイトは、ベータ リ • 各地域毎の URL/IP アドレスは以下の
リース バージョンを実行し
とおりです。
ているファイアウォールのみ • ca-s1.wildfire.paloaltonetworks.com:44
利用することが可能です。
または 54.241.34.71
• mail.wildfire.paloaltonetworks.com:25
• va-s1.wildfire.paloaltonetworks.com:443
• wildfire.paloaltonetworks.com:443/80
または 174.129.24.252
• ca-s1.wildfire.paloaltonetworks.com:443
または 54.246.95.247
• sg-s1.wildfire.paloaltonetworks.com:443
または 54.251.33.241
• jp-s1.wildfire.paloaltonetworks.com:443
または 54.238.53.161
• portal3.wildfire.paloaltonetworks.com:443/80
または 54.241.8.199
• ca-s3.wildfire.paloaltonetworks.com:443
または 54.241.34.71
• va-s3.wildfire.paloaltonetworks.com:443
または 23.21.208.35
• eu-s3.wildfire.paloaltonetworks.com:443
または 54.246.95.247
• sg-s3.wildfire.paloaltonetworks.com:443
または 54.251.33.241
• jp-s3.wildfire.paloaltonetworks.com:443
または 54.238.53.161
• wildfire.paloaltonetworks.com.jp:443/80
または 180.37.183.53
• wf1.wildfire.paloaltonetowrks.jp:443 または
180.37.180.37
• wf2.wildfire.paloaltonetworks.jp:443 または
180.37.181.18
• portal3.wildfire.paloaltonetworks.jp:443/80
または 180.37.183.53
脅威防御
403
脅威防御リソース
脅威防御
脅威防御リソース
脅威防御の詳細は、以下の資料を参照してください。

『Creating Custom Threat Signatures(英語)』

『Threat Prevention Deployment(英語)』

『Understanding DoS Protection(英語)』
Palo Alto Networks 製品で識別可能な脅威およびアプリケーションのリストを参照するには、
以下のリンクを使用してください。

『Applipedia』— Palo Alto Networks で識別できるアプリケーションについて詳細に説明してい
ます。

『Threat Vault』— Palo Alto Networks 製品で識別可能な脅威の一覧が掲載されています。脆弱
性、スパイウェア、またはウイルスを条件にして検索できます。脅威についての詳細は、ID
番号の横にある詳細アイコンをクリックしてください。
404
脅威防御
復号
Palo Alto Networks のファイアウォールには、可視性、制御、および詳細なセキュリティのため
にトラフィックを復号化および検査する機能があります。Palo Alto Networks のファイアウォー
ルの復号化には、暗号化されたトラフィックにセキュリティ ポリシーを適用する機能が含まれ
ます。この機能がない場合、暗号化されたトラフィックがセキュリティ設定に基づいてブロッ
クおよびシェーピングされない可能性があります。ファイアウォール上の復号化を使用するこ
とにより、暗号化されたトラフィックに隠れて悪意あるコンテンツがネットワークに侵入した
り、機密コンテンツがネットワークから流出するのを防ぐことができます。Palo Alto Networks
のファイアウォールで復号化を有効にする手順には、復号化に必要な鍵および証明書の用意、
復号ポリシーの作成、復号ポート ミラーリングの設定が含まれます。復号化の詳細および設定
方法については以下のトピックを参照してください。

復号化の概要

復号化の概念

SSL フォワード プロキシの設定

SSL インバウンド インスペクションの設定

SSH プロキシの設定

復号化の例外の設定

SSL 復号化からオプトアウトするユーザーを有効にする

復号ポート ミラーリングの設定

SSL 復号化を一時的に無効にする
復号
405
復号化の概要
復号
復号化の概要
SSL (Secure Sockets Layer) および SSH (Secure Shell) は 2 つのエンティティ間(Web サーバーとクラ
イアントなど)のトラフィックを安全に保護するために使用される暗号化プロトコルです。SSL
および SSH はトラフィックをカプセル化し、データを暗号化します。これにより、データをデ
コードするキーおよびデバイス間の信頼を確認する証明書を持つクライアントとサーバー以外
のエンティティにとってデータは意味のないものになります。SSL および SSH プロトコルを使
用して暗号化されたトラフィックは復号化して、これらのプロトコルが意図した目的のみに使
用されており、不要なアクティビティや悪意あるコンテンツを隠すために使用されていないこ
とを確認できます。
Palo Alto Networks のファイアウォールは暗号化されたトラフィックを復号化します。文字列を
変換するキー(パスワードおよび共有秘密)を使用して、暗号化テキストをプレーンテキスト
に変換し(復号化)、プレーンテキストを再び暗号化テキストに変換します(デバイスを出る
トラフィックの再暗号化)。証明書はファイアウォールが信頼されるサード パーティであるこ
とを証明し、安全な接続を作成するために使用されます。SSL 復号化(フォワード プロキシと
インバウンド インスペクションの両方)では、SSL/TLS 接続を安全に保護するために証明書を
使用して 2 つのエンティティ間の信頼を確立する必要があります。また証明書は、SSL 復号化
からサーバーを除外するときにも使用されます。ハードウェア セキュリティ モジュール (HSM)
をファイアウォールと統合すると、SSL フォワード プロキシ復号化および SSL インバウンド イ
ンスペクション復号化で使用される秘密鍵のセキュリティを強化できます。HSM を使用した
キーの保存と生成、および HSM とファイアウォールの統合については、「ハードウェア セ
キュリティ モジュールによるキーの安全確保」を参照してください。SSH 復号化では証明書は
必要ありません。
Palo Alto Networks のファイアウォールの復号化はポリシーベースで、インバウンドとアウトバ
ウンド両方の SSL および SSH 接続の復号化、検査、制御に使用できます。復号ポリシーを使用
すると、宛先、送信元、または URL カテゴリに基づいて復号化するトラフィックを指定し、指
定したトラフィックをセキュリティ設定に基づいてブロックまたは制限できます。ファイア
ウォールは、証明書とキーを使用してポリシーで指定されたトラフィックを復号化し、次に
App-ID およびセキュリティ設定(復号化、アンチウイルス、脆弱性、アンチスパイウェア、
URL フィルタリング、およびファイル ブロッキングなどのプロファイル)をプレーンテキスト
トラフィックに適用します。ファイアウォールでトラフィックが復号化され、検査された後、
プレーンテキスト トラフィックはファイアウォールを出るときに再暗号化され、プライバシー
とセキュリティが確保されます。ファイアウォールでポリシーベースの復号化を使用すること
により、以下のような結果を達成できます。

暗号化されたトラフィックに隠れたマルウェアが企業ネットワークに侵入するのを防ぐ。

企業の機密情報が企業ネットワークの外部に流出するのを防ぐ。

安全なネットワーク上で適切なアプリケーションが実行されていることを確認する。

選択的にトラフィックを復号化する。たとえば、復号化の例外を設定することにより、金融
サイトや医療サイトのトラフィックを復号化から除外します。
406
復号
復号
復号化の概要
ファイアウォール上で使用できる 3 つの復号ポリシー、「SSL フォワード プロキシ」、「SSL イ
ンバウンド インスペクション」、および「SSH プロキシ」はそれぞれ特に SSL アウトバウンド
トラフィック、SSL インバウンド トラフィック、および SSH トラフィックを対象として検査す
る手法を提供します。復号ポリシーの設定によって復号化するトラフィックを指定できます。
ポリシー作成時に復号プロファイルを選択すると、サーバー証明書、サポートされていない
モード、および障害のチェックなどのより詳細なセキュリティ設定を復号化されたトラフィッ
クに適用できます。ファイアウォール上のこのポリシーベースの復号化により、設定可能なパ
ラメータに基づいて SSL および SSH の暗号化されたトラフィックに対する可視性を得て、制御
することができます。
また、ファイアウォールの復号機能を拡張した「復号ポート ミラーリング」を利用することも
できます。これにより、復号化されたトラフィックをプレーンテキストとして、さらに分析お
よびアーカイブを行うためにサード パーティ ソリューションに転送できます。
復号
407
復号化の概念
復号
復号化の概念
復号化のキーおよび証明書、復号ポリシー、および復号ポート ミラーリングについての詳細は
以下のトピックを参照してください。

復号ポリシーのためのキーおよび証明書

SSL フォワード プロキシ

SSL インバウンド インスペクション

SSH プロキシ

復号化の例外

復号ポート ミラーリング
408
復号
復号
復号化の概念
復号ポリシーのためのキーおよび証明書
キーは数字列で、通常、ランダムな数字と大きな素数を使用した数学演算によって生成されま
す。キーは他の文字列(パスワードや共有秘密など)を変換するために使用されます。プレー
ンテキストから暗号化テキストへの変換を暗号化といい、暗号化テキストからプレーンテキス
トへの変換を復号化といいます。キーには対称キー(暗号化と復号化に同じキーを使用)と非
対称キー(1 つのキーを暗号化に使用し、数学的に関連するキーを復号化に使用)がありま
す。キーはあらゆるシステムで生成できます。
SSL 接続を確立するために、X.509 証明書を使用してクライアントとサーバーの間の信頼が確立
されます。サーバーを認証するクライアント(またはクライアントを認証するサーバー)は、
X.509 証明書の構造を知っているため、証明書内のフィールドから、FQDN または IP アドレス
(証明書内では共通名または CN と呼ばれます)や証明書が発行された組織、部門、ユーザー
の名前など、サーバーに関する識別情報を抽出する方法を知っています。すべての証明書は認
証局 (CA) が発行する必要があります。CA はクライアントまたはサーバーを確認した後、証明
書を発行し、秘密鍵を使用して署名します。
復号ポリシーが設定されている場合は、サーバーの証明書に署名した CA をファイアウォール
が信頼する場合のみ、クライアントとサーバーの間で SSL/TLS セッションが確立されます。信
頼を確立するには、サーバーのルート CA 証明書がファイアウォールの証明書信頼リスト (CTL)
内にあり、ファイアウォールがそのルート CA 証明書に含まれる公開鍵を使用して署名を確認
する必要があります。その後、ファイアウォールは、フォワード トラスト証明書によって署名
されたサーバー証明書のコピーを認証のためにクライアントに提示します。また、SSL フォ
ワード プロキシのフォワード トラスト証明書としてエンタープライズ CA を使用するように
ファイアウォールを設定することもできます。ファイアウォールの CTL にサーバーのルート
CA 証明書が含まれていない場合、ファイアウォールは、フォワード アントラスト証明書に
よって署名されたサーバー証明書のコピーをクライアントに提示します。フォワード アントラ
スト証明書を使用すると、信頼されない証明書を持つサーバーがホストするサイトにクライア
ントがアクセスしたときに、サーバー証明書の警告画面が表示されます。
証明書の詳細は、「証明書の管理」を参照してください。
デバイスが信頼する CA を管理するには、ファイアウォールの Web インターフェイスで、
[Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デフォルトの信頼された証明機関 ] タブを
使用します。
「表 : Palo Alto Networks のデバイスが使用するキーおよび証明書」では、Palo Alto Networks のデ
バイスで復号化に使用されるさまざまなキーや証明書について説明しています。ベスト プラク
ティスとして、各用途に異なるキーおよび証明書を使用します。
復号
409
復号化の概念
復号
表 : Palo Alto Networks のデバイスが使用するキーおよび証明書
キー/ 証明書の用途
説明
フォワード トラスト
クライアントが接続しようとしているサイトの証明書がファイアウォール
が信頼する CA によって署名されている場合に、ファイアウォールが復号
化通信開始時にクライアントに提示する証明書。ファイアウォール上の
フォワード トラスト証明書を設定するには、「SSL フォワード プロキシ
の設定」のタスクのステップ 2 を参照してください。ファイアウォール
は、デフォルトで、宛先サーバーの鍵のサイズに基づいてクライアント証
明書で使用する鍵のサイズを決定します。ただし、使用するファイア
ウォールの具体的な鍵のサイズを設定することもできます。「SSL フォ
ワード プロキシ サーバーの証明書の鍵のサイズの設定」を参照してくだ
さい。セキュリティを強化するため、フォワード トラスト証明書をハー
ドウェア セキュリティ モジュール (HSM) に保存する場合は「HSM での秘
密鍵の保存」を参照してください。
フォワード アントラスト
クライアントが接続しようとしているサイトの証明書がファイアウォール
が信頼しない CA によって署名されている場合に、ファイアウォールが復
号化中にクライアントに提示する証明書。ファイアウォール上のフォワー
ド アントラスト証明書を設定するには、「SSL フォワード プロキシの設
定」のタスクのステップ 3 を参照してください。
SSL 除外証明書
SSL 復号化から除外するサーバーの証明書。たとえば、SSL 復号化を有効
にしているが、SSL 復号化に含めたくない特定のサーバー(HR システム
の Web サービスなど)がある場合、対応する証明書をファイアウォール
にインポートして、それを SSL 除外証明書として設定します。「復号化か
らのサーバーの除外」を参照してください。
SSL インバウンド インス インバウンド SSL トラフィックを検査およびポリシー適用のために復号化
ペクション
する際に使用される証明書。この用途には、SSL インバウンド インスペク
ションを実行するサーバーのサーバー証明書をインポートするか、または
HSM にそれらを保存します(「HSM での秘密鍵の保存」を参照)。
410
復号
復号
復号化の概念
SSL フォワード プロキシ
SSL フォワード プロキシ復号ポリシーを使用すると、内部ユーザーから Web への SSL/TLS トラ
フィックを復号化および検査できます。SSL フォワード プロキシ復号化は、SSL の暗号化され
たトラフィックに隠れたマルウェアが企業ネットワークに侵入するのを防ぎます。たとえば、
従業員が企業オフィスから Gmail アカウントを使用しており、ウイルスを含んだ電子メール添
付を開いた場合、SSL フォワード プロキシ復号化はウイルスがクライアント システムに感染
し、企業ネットワークに侵入するのを防ぎます。
SSL フォワード プロキシ復号化を使用する場合、ファイアウォールは内部クライアントの外部
サーバーの間に配置します。ファイアウォールは、フォワード トラスト証明書またはフォワー
ド アントラスト証明書を使用し、それ自体をクライアントとサーバーの間のセッションに対す
る信頼されたサード パーティであることを証明します(証明書の詳細は、「復号ポリシーのた
めのキーおよび証明書」を参照)。クライアントがサーバーとの SSL セッションを開始する
と、ファイアウォールはクライアントの SSL 要求をインターセプトし、その SSL 要求をサー
バーに転送します。サーバーはクライアントに向けた証明書を送信し、ファイアウォールがそ
れをインターセプトします。サーバーの証明書が、ファイアウォールが信頼する CA によって
署名されていた場合、ファイアウォールはフォワード トラスト証明書によって署名されたサー
バーの証明書のコピーを作成し、その証明書をクライアントが認証するために送信します。
サーバーの証明書が、ファイアウォールが信頼しない CA によって署名されていた場合、ファ
イアウォールはサーバーの証明書のコピーを作成してフォワード アントラスト証明書によって
署名し、クライアントに送信します。この場合、クライアントでは、接続しようとしているサ
イトが信頼されていないというブロック ページ警告が表示され、クライアントはアクセスを続
行するかセッションを終了するかを選択できます。クライアントが証明書を認証すると、SSL
セッションが確立され、ファイアウォールはクライアントがアクセスしているサイトへの信頼
されたフォワード プロキシとして機能します。
SSL セッションの確立後、ファイアウォールは継続してサーバーからクライアントへ向けた SSL
トラフィックを受信し、SSL トラフィックをクリア テキスト トラフィックに復号化して、トラ
フィックにセキュリティ ポリシーを適用します。その後、ファイアウォールはトラフィックを
再暗号化し、クライアントに暗号化されたトラフィックを転送します。
「図 : SSL フォワード プロキシ」にこのプロセスの詳細を示します。
復号
411
復号化の概念
復号
図 : SSL フォワード プロキシ
SSL フォワード プロキシの設定の詳細は、「SSL フォワード プロキシの設定」を参照してくだ
さい。
412
復号
復号
復号化の概念
SSL インバウンド インスペクション
SSL インバウンド インスペクションを使用すると、クライアントからターゲット サーバー(証
明書があり、証明書をファイアウォールにインポートできる任意のサーバー)へのインバウン
ド SSL トラフィックを復号化および検査できます。たとえば、従業員が企業ネットワークでホ
ストされている Web サーバーにリモート接続されており、制限されている内部ドキュメントを
Dropbox フォルダに追加しようとする場合(データ転送には SSL を使用)は、SSL インバウンド
インスペクションを使用し、セッションをブロックまたは制限することによって、機密データ
が安全な企業ネットワークの外部に流出しないようにすることができます。
SSL インバウンド インスペクションの設定では、ターゲット サーバーの証明書およびキーを
ファイアウォールへインポートします。ターゲット サーバーの証明書およびキーがファイア
ウォール上にインポートされるため、ファイアウォールはプロキシとして機能するのではな
く、サーバーとクライアントの間の SSL セッションにアクセスし、トラフィックを透過的に復
号化および検査できます。ファイアウォールは復号化されたトラフィックにセキュリティ ポリ
シーを適用できるため、悪意あるコンテンツを検出し、この安全なチャネル上で実行されるア
プリケーションを制御できます。
「図 : SSL インバウンド インスペクション」にこのプロセスの詳細を示します。
図 : SSL インバウンド インスペクション
SSL インバウンド インスペクションの設定の詳細は、「SSL インバウンド インスペクションの
設定」を参照してください。
復号
413
復号化の概念
復号
SSH プロキシ
SSH プロキシにより、ファイアウォールを通過するインバウンドおよびアウトバウンドの SSH
接続を復号化し、SSH が不要なアプリケーションやコンテンツのトンネリングに使用されてい
ないことを確認できます。SSH 復号化には証明書は必要なく、SSH 復号化に使用されるキーは
ファイウォール システムの起動時に自動的に生成されます。システムの起動中、ファイア
ウォールは既存のキーがあるかどうかを確認し、存在しない場合はキーが自動的に生成されま
す。このキーは、デバイス上に設定されるすべての仮想システムの SSH セッションの復号化に
使用されます。すべての SSH v2 セッションの復号化にも同一のキーが使用されます。
SSH プロキシ機能では、ファイアウォールはクライアントとサーバーの間に配置します。クラ
イアントがサーバーに SSH 接続要求を送信すると、ファイアウォールは要求をインターセプト
し、SSH 要求をサーバーに転送します。その後、ファイアウォールはサーバーの応答をイン
ターセプトし、応答をクライアントに転送することにより、ファイアウォールとクライアント
の間に SSH トンネルを確立し、ファイアウォールとサーバーの間にも SSH トンネルを確立し、
ファイアウォールは透過的なプロキシとして機能します。トラフィックがクライアントとサー
バーの間を通過すると、ファイアウォールは SSH トラフィックが通常の方法でルーティングさ
れているか、それとも SSH トンネリング(ポート フォワーディング)を使用しているかを識別
できます。SSH トンネル上でコンテンツと脅威の検査は実行されませんが、SSH トンネルが
ファイアウォールによって識別されると、その SSH トンネル トラフィックは設定されたセキュ
リティ ポリシーに基づいてブロックおよび制限されます。
「図 : SSH プロキシ復号化」にこのプロセスの詳細を示します。
図 : SSH プロキシ復号化
SSH プロキシ ポリシーの設定の詳細は、「SSH プロキシの設定」を参照してください。
414
復号
復号
復号化の概念
復号化の例外
トラフィックは一致条件に基づいて復号化から除外することもできます(復号ポリシーを使
用)。ターゲット サーバーのトラフィックを復号化から除外することもできます(証明書を使
用)。さらに、一部のアプリケーションはデフォルトで復号化から除外されています。
ファイアウォールによって復号化されると正しく機能しなくなるアプリケーションは、自動的
に SSL 復号化から除外されます。デフォルトで SSL 復号化から除外されるアプリケーション
は、SSL フォワード プロキシに対して生成された証明書には存在しない特定の詳細が証明書内
に必要であり、復号化すると失敗することがあるために除外されています。ファイアウォール
上の SSL 復号化からデフォルトで除外されているアプリケーションの最新リストについては、
KB 記事『List of Applications Excluded from SSL Decryption』(英語)を参照してください。
復号化が有効になっていると正しく動作しない場合や、法律またはプライバシー上の目的な
ど、その他の任意の理由により、特定の URL カテゴリやアプリケーションに対して復号化の例
外を設定できます。復号ポリシーを使用して、送信元、宛先、サービス、および URL カテゴリ
に基づいてトラフィックを復号化から除外することができます。たとえば、SSL 復号化が有効
になっているときに URL カテゴリ選択を使用して金融や医療関連に分類されているトラフィッ
クを復号化処理の対象から除外できます。
また、サーバーの証明書の共通名 (CN) に基づいてサーバーを SSL 復号化から除外することもで
きます。たとえば、SSL 復号化を有効にしているが、SSL 復号化に含めたくない特定のサーバー
(HR システムの Web サービスなど)がある場合、サーバー証明書をファイアウォールにイン
ポートして、その証明書を SSL 除外証明書に変更することで、それらのサーバーを復号化から
除外できます。
送信元、宛先、サービス、URL カテゴリに基づいてトラフィックを復号化から除外する、また
は特定のサーバーのトラフィックを復号化から除外するには、「復号化の例外の設定」を参照
してください。
復号
415
復号化の概念
復号
復号ポート ミラーリング
復号ポート ミラー機能を使用すると、ファイアウォールからの復号化されたトラフィックのコ
ピーを作成し、パケット キャプチャによるトラフィック収集ツール(NetWitness や Solera な
ど)に送信してフォレンジック データとしてのアーカイブや分析を行えます。この機能は、
フォレンジックや履歴調査または DLP(情報漏洩対策)機能用の包括的なデータ キャプチャが
必要な組織にとって不可欠な機能と言えます。復号ポート ミラーリングは、PA-7050、PA-5000
シリーズ、および PA-3000 シリーズ プラットフォームでのみ使用可能です。この機能を利用す
る場合は無償で提供されている ライセンスをインストールする必要があります。
なお、一部の国では、SSL トラフィックの復号化、保存、検査、または使用が規制されてい
て、復号ポート ミラー機能を使用するにはユーザーの同意が必要な場合があります。さらに、
ファイアウォールへの管理アクセス権を持つ悪意あるユーザーがこの機能を使用すると、暗号
化されたチャンネルを使用して送信されたユーザー名、パスワード、社会保障番号、クレジッ
ト カード番号などの機密情報を収集できる可能性があります。運用環境でこの機能を利用する
場合は事前に、企業の審議会と協議することをお勧めします。
「図 : 復号ポート ミラーリング」に復号ポート ミラーリングのプロセスを示し、セクション
「復号ポート ミラーリングの設定」ではこの機能のライセンスと使用について説明します。
図 : 復号ポート ミラーリング
416
復号
復号
SSL フォワード プロキシの設定
SSL フォワード プロキシの設定
ファイアウォールでの「SSL フォワード プロキシ」復号を設定するには、SSL フォワード プロ
キシ復号に必要な証明書をセットアップし、SSL フォワード プロキシ復号ポリシーを作成する
必要があります。ファイアウォールは、自己署名証明書またはエンタープライズ CA が署名し
た証明書を使用して SSL フォワード プロキシ復号化処理を実行できます。
ファイアウォールは、デフォルトで、宛先サーバー証明書の鍵のサイズに基づいて生成するク
ライアント証明書で使用する鍵のサイズを決定しますが、オプションで宛先サーバーの証明書
の鍵のサイズに関係なく、静的鍵のサイズを設定することができます。「SSL フォワード プ
ロキシ サーバーの証明書の鍵のサイズの設定」を参照してください。
証明書のセットアップおよび復号ポリシーの作成を含め、SSL フォワード プロキシ機能を利用
するには、以下の設定操作を行います。
SSL フォワード プロキシの設定
ステップ 1
復号
使用するインターフェイスが
バ ー チ ャ ル ワ イ ヤ ー、レ イ
ヤー 2、またはレイヤー 3 イン
ターフェイスのいずれかとし
て設定されていることを確認
します。
[Network] > [ インターフェイス ] > [Ethernet] タブで設定
されているインターフェイスを確認します。[ インター
フェイス タイプ ] 列にはインターフェイスが [ バーチャル
ワイヤー]、[ レイヤー 2]、または [ レイヤー 3] インター
フェイスとして設定されているかが表示されます。イン
ターフェイスを選択して、インターフェイスのタイプなど
の設定を変更できます。
417
SSL フォワード プロキシの設定
復号
SSL フォワード プロキシの設定(続き)
ステップ 2
フォワード トラスト証明書を設 自 己 署 名 証 明 書 を 使 用 す る に は、以 下 の 手 順 を 実 行 し
定します。自己署名証明書また ます。
はエンタープライズ CA が署名 1. [Device] > [ 証明書の管理 ] > [ 証明書 ] の順に選択し
した証明書を使用します。
ます。
自己署名証明書を使用する場合 2.
3.
クライアントが接続するサー
バーの証明書に署名した CA が 4.
ファイアウォールの信頼され
た CA リストにある場合、ファ
イアウォールはサーバーの証
明書のコピーに自己署名フォ
ワード トラスト証明書を使用 5.
して署名し、クライアントに 6.
認証のために提示します。こ
の場合、クライアントがファ
イアウォールを信頼された CA
と認識するように、自己署名
証明書を各クライアント シス
テムにインポートする必要が
7.
あります。
8.
SSL フォワード プロキシ復号
化で、エンタープライズ CA を
9.
使用しない場合や、限られた
数のクライアント システムに
復号化を実行する予定の場合
(また は、中央 管理 デプロ イ
メントの使用を計画している
場 合)に は、自 己 署 名 証 明 書
を使用します。
ウィンドウの下部にある [ 生成 ] をクリックします。
[ 証明書名 ] に「my-fwd-trust」などの名前を入力します。
[共通名] に、「192.168.2.1」などの名前を入力します。
これは、証明書に表示される IP または FQDN にする
必要があります。この場合は、信頼できるインター
フェイスの IP を使用します。このフィールドではス
ペースを使用しないでください。
[ 署名者 ] フィールドは空白のままにします。
[ 認証局 ] チェック ボックスをオンにして、ファイア
ウ ォールが証明書を発行できるようにします。この
チェック ボックスをオンにすると、ファイアウォール
で認証局 (CA) が作成されてクライアントのブラウザに
インポートできるようになるため、クライアントはそ
のファイアウォールを CA として信頼できます。
[ 生成 ] をクリックして証明書を生成します。
新しい証明書「my-fwd-trust」をクリックして変更し、[ フォ
ワード トラスト証明書 ] オプションを有効にします。
クライアント システムにインポートするためのフォ
ワード トラスト証明書を強調表示してウィンドウの下
部にある [ エクスポート ] をクリックし、証明書をエク
スポートします。PEM フォーマットを選択し、[ 秘密
鍵のエクスポート ] オプションは選択しません。この
証明書は自己署名であるため、クライアントがこの証
明書を信頼するには、クライアント システム上のブラ
ウザの信頼されたルート CA リストにインポートしま
す。クライアント ブラウザにインポートするときは、
証明書を [ 信頼されたルート証明機関 ] 証明書ストアに
追加します。Windows システム上では、デフォルトの
インポート場所は [ 個人 ] 証明書ストアです。また、
Active Directory グループ ポリシー オブジェクト (GPO)
などの中央管理デプロイメントを使用することによっ
てこのプロセスを簡略化することもできます。
フォワード トラスト証明書がクライアント シス
テ ム 上に イ ン ポ ート さ れ て い ない 場 合、ユ ー
ザーがアクセスする SSL サイトごとに証明書警
告が表示されます。
10. [OK] をクリックして保存します。
418
復号
復号
SSL フォワード プロキシの設定
SSL フォワード プロキシの設定(続き)
エンタープライズ CA を使用す エンタープライズ CA が署名した証明書を使用するには、
以下の手順を実行して CSR を生成します。
る場合
1. [Device] > [ 証明書の管理 ] > [ 証明書 ] の順に選択し、
エンタープライズ CA は署名証
[ 生成 ] をクリックします。
明書を発行できます。ファイ
2. [ 証明書名 ] に「my-fwd-proxy」などの名前を入力します。
アウォールは署名証明書を使
用して SSL 復号化が必要なサ 3. [ 署名者 ] ドロップダウン リストで、[External Authority
(CSR)] を選択します。
イトの証明書に署名できま
す。エンタープライズ CA が署 4. (任意)エンタープライズ CA に必要な場合は、[ 証明
書の属性] を追加して、国や部門など、ファイアウォー
名し、検証するための証明書
ルの詳細をさらに指定します。
署名要求 (CSR) を送信します。
5.
[OK] をクリックして CSR を保存します。これで、保留
その後、ファイアウォールは
中の証明書が
[ デバイス証明書 ] タブに表示されます。
署名されたエンタープライズ
CA 証明書を SSL フォワード プ 6. CSR をエクスポートします。
ロキシ復号化に使用できま
a. [ デバイス証明書 ] タブに表示されている保留中の証
明書を選択します。
す。エンタープライズ CA はす
でにクライアント システムに
b. [ エクスポート ] をクリックして証明書ファイルをダ
信頼されているため、このオ
ウンロードおよび保存します。
プションでは、復号化を設定
ファイアウォール内で秘密鍵の安全を確実に保
する前にクライアント システ
持するため、[ 秘密鍵のエクスポート ] は選択し
ムに証明書を配布する必要は
ないままにします。
ありません。
c. [OK] をクリックします。
d. エンタープライズ CA に証明書ファイルを提供しま
す。エンタ ープラ イズ CA から、署 名され たエン
タープライズ CA 証明書を受信した後、ファイア
ウォール上にインポートするために、署名されたエ
ンタープライズ CA 証明書を保存します。
7.
署名されたエンタープライズ CA をファイアウォールに
インポートします。
a. [Device] > [ 証明書の管理 ] > [ 証明書 ] の順に選択
し、[ インポート ] をクリックします。
b. 保留中の証明書の [ 証明書名 ] を正確に入力します
(ここでは my-fwd-trust)。保留中の証明書が検証さ
れるためには、入力する [ 証明書名 ] が保留中の証明
書の名前と正確に一致する必要があります。
c. エンタープライズ CA から受信した、署名された [ 証
明書ファイル ] を選択します。
d. [OK] をクリックします。キーおよび CA のチェック
ボックスがオンの状態で、証明書が有効として表示
されます。
e. 検証された証明書(ここでは my-fwd-proxy)を選択し、
[ フォワード トラスト証明書 ] として有効にすること
で、SSL フォワード プロキシ復号化に使用できるよ
うにします。
f. [OK] をクリックします。
復号
419
SSL フォワード プロキシの設定
復号
SSL フォワード プロキシの設定(続き)
ステップ 3
フォワード アントラスト証明 1.
書を設定します。
2.
SSL フォワード プロキシ復号
化では、クライアントが接続
しようとしているサイトが使
用する証明書に署名した CA が
ファイアウォールの信頼され
た CA リストにない場合、ファ
イアウォールはクライアント
にフォワード アントラスト証
明書を提示します。フォワー
ド アントラスト証明書を使用
すると、信頼されない証明書
を持つサイトにクライアント
がアクセスしようとしたとき
に、証明書警告のプロンプト
が表示されます。
[ 共通名 ] を、たとえば「192.168.2.1」に設定します。[ 署
名者 ] は空白のままにします。
4.
[ 認証局 ] チェック ボックスをオンにして、ファイア
ウォールが証明書を発行できるようにします。
5.
[ 生成 ] をクリックして証明書を生成します。
6.
[OK] をクリックして保存します。
7.
新 し い「my-ssl-fw-untrust」証 明 書 を ク リ ッ ク し て 変 更
し、[ フォワード アントラスト証明書 ] オプションを有
効にします。
フォワード アントラスト証明書をクライアント
システムにインポートするためにエクスポート
しないでください。フォワード トラスト証明書
がクライアント システム上にインポートされて
いる場合、信頼されない証明書を持つ SSL サイ
トにユーザーがアクセスしても証明書警告が表
示されません。
(任意)ファイ アウ ォール が 1.
ク ラ イ ア ン ト に 提 示 す る SSL
フォワード プロキシ証明書の
鍵のサイズを設定します。
2.
鍵のサイズを変更する
と、現 在 の 証 明 書
キャッシュがクリアさ
れます。
420
[証明書名 ] に、「my-fwd-untrust」などの名前を入力し
ます。
3.
8.
ステップ 4
証明書ページの下部にある [ 生成 ] をクリックします。
[OK] をクリックして保存します。
[Device] > [ セットアップ ] > [ セッション ] の順に選択
し、[ 暗号設定 ] セクションで、[ フォーワード プロキ
シ サーバーの証明書設定 ] をクリックします。
[ 鍵のサイズ ] で、[ 宛先ホストにより定義 ](任意)、
[1024-bit RSA]、または [2048-bit RSA] を選択します。
復号
復号
SSL フォワード プロキシの設定
SSL フォワード プロキシの設定(続き)
ステップ 5
ステップ 6
(任意)復号プ ロフ ァイル を 1.
作成します。
[Objects] > [ 復号プロファイル ] の順に選択し、[ 追加 ]
をクリックします。
復号プロファイルを復号ポリ 2.
シーに関連付けることによ
り、ファイアウォールは復号
化するトラフィックのさまざ
まな状況をブロックおよび制
御 で き ま す。SSL フ ォ ワ ー ド
プロキシ復号プロファイルを 3.
使 用 す る と、サ ー バ ー 証 明
書、サ ポ ー ト さ れ て い な い
モード、および障害のチェッ
クを実行し、それに基づいて
トラフィックをブロックまた
は制限できます。実行できる
チェックの完全なリストにつ
いては、ファイアウォールで
[Objects] > [ 復号プロファイル ]
の順に選択し、ヘルプ アイコ
ンをクリックします。
[SSL フォワード プロキシ ] タブを選択し、特定の状況
の SSL トンネル トラフィックをブロックおよび制御し
ます。たとえば、[リソースを使用できない場合にセッ
ションをブロック ] を選択することにより、システム
リソースが復号化の処理に使用できない場合にセッ
ションを終了することを選択できます。
1.
[Policies] > [ 復号 ] の順に選択し、[ 追加 ] をクリックし
ます。
2.
[ 全般 ] タブの [ 名前 ] に分かりやすい名前を入力し
ます。
3.
[ 送信元 ] タブおよび [ 宛先 ] タブで、[ 送信元ゾーン ]
および [ 宛先ゾーン ] に [ いずれか ] を選択すると、外部
サーバーを宛先とするすべての SSL トラフィックを復号
化します。特定の送信元または宛先を指定してトラ
フィックを復号化するには、[追加] をクリックします。
4.
[URL カテゴリ ] タブで、[ いずれか ] のままにすると、
すべてのトラフィックを復号化します。このプロファ
イルを特定の Web サイト カテゴリに適用するには、
[ 追加 ] をクリックします。
復号ポリシーを設定します。
[OK] をクリックしてプロファイルを保存します。
特定のサイトを復号化から除外する場合、URL
カテゴリの選択が役立ちます。「復号化の例外
の設定」を参照してください。
復号
5.
[ オプション ] タブで、[ 復号 ] を選択し、実行する復
号化の [ タイプ ] として [SSL フォワード プロキシ ] を
選択します。
6.
(任意)復号化されたトラフィックに追加の設定を適
用するには、[ 復号プロファイル ] を選択します(ス
テップ 5 参照)。
7.
[OK] をクリックして保存します。
421
SSL フォワード プロキシの設定
復号
SSL フォワード プロキシの設定(続き)
ステップ 7
422
設定を [ コミット ] します。
SSL フォワード プロキシ復号ポリシーが有効になっている
場合は、ポリシーによって特定されるすべてのトラフィッ
クが復号化されます。復号化されたトラフィックは、ファ
イアウォール上で設定されているプロファイル(ポリシー
に関連付けられている復号プロファイルや、アンチウイル
ス、脆弱性、アンチスパイウェア、URL フィルタリング、
および ファイルブロッキング プロファイルなど)に基づ
いてブロックおよび制限されます。トラフィックは、ファ
イアウォールから出力される際にに再暗号化されます。
復号
復号
SSL インバウンド インスペクションの設定
SSL インバウンド インスペクションの設定
「SSL インバウンド インスペクション」を設定するには、ターゲット サーバーの証明書をファイ
アウォールにインストールし、SSL インバウンド インスペクション復号ポリシーを作成します。
以下のタスクを使用して SSL インバウンド インスペクションを設定します。
SSL インバウンド インスペクションの設定
ステップ 1
使用するインターフェイスが
バ ー チ ャ ル ワ イ ヤ ー、レ イ
ヤー 2、またはレイヤー 3 イン
ターフェイスのいずれかとし
て設定されていることを確認
します。
[Network] > [ インターフェイス ] > [Ethernet] タブで設定
されているインターフェイスを確認します。[ インター
フェイス タイプ ] 列にはインターフェイスが [ バーチャル
ワイヤー]、[ レイヤー 2]、または [ レイヤー 3] インター
フェイスとして設定されているかが表示されます。イン
ターフェイスを選択して、インターフェイスのタイプなど
の設定を変更できます。
ステップ 2
ターゲット サーバーの証明書
がファイアウォールにインス
トールされていることを確認
します。
Web インターフェイスで、[Device] > [ 証明書の管理 ] > [ 証明
書 ] > [ デバイス証明書 ] の順に選択すると、ファイアウォー
ル上にインストールされている証明書が表示されます。
ステップ 3
復号
ターゲット サーバーの証明書をファイアウォールにイン
ポートするには、以下の手順を実行します。
1. [デバイス証明書] タブで、[インポート] を選択します。
2.
分かりやすい名前を [ 証明書名 ] に入力します。
3.
[証明書ファイル] で、ターゲット サーバーの証明書ファ
イルを参照し、選択します。
4.
[OK] をクリックします。
(任意)復号プ ロフ ァイル を 1.
作成します。
[Objects] > [ 復号プロファイル ] の順に選択し、[ 追加 ]
をクリックします。
復号プロファイルを復号ポリ 2.
シーに関連付けることによ
り、ファイアウォールは復号
化するトラフィックのさまざ
まな状況をブロックおよび制
御できます。SSL インバウンド
イ ン ス ペ ク シ ョ ン 復 号 プ ロ 3.
フ ァ イ ル を 使 用 す る と、サ
ポートされていないモードお
よび障害のチェックを実行
し、そ れ に 基 づ い て ト ラ
フィックをブロックまたは制
限できます。実行できるチェッ
クの完全なリストについては、
[Objects] > [ 復号プロファイル ]
の順に選択し、ヘルプ アイコ
ンをクリックします。
[SSL インバウンド インスペクション ] タブを選択し、
特定の状況の SSL トラフィックをブロックおよび制御
します。たとえば、[リソースを使用できない場合にセッ
ションをブロック ] を選択することにより、システム リ
ソースが復号化の処理に使用できない場合にセッショ
ンを終了することを選択できます。
[OK] をクリックしてプロファイルを保存します。
423
SSL インバウンド インスペクションの設定
復号
SSL インバウンド インスペクションの設定(続き)
ステップ 4
復号ポリシーを設定します。
1.
[Policies] > [ 復号 ] の順に選択し、[ 追加 ] をクリック
します。
2.
[全般] タブの [名前] に分かりやすい名前を入力します。
3.
[ 宛先 ] タブで、ターゲット サーバーの [ 宛先アドレス ]
を [ 追加 ] します。
4.
[URL カテゴリ ] タブで、[ いずれか ] のままにすると、
すべてのトラフィックを復号化します。このプロファ
イルを特定の Web サイト カテゴリに適用するには、
[ 追加 ] をクリックします。
特定のサイトを復号化から除外する場合、URL
カテゴリの選択が役立ちます。「復号化の例外
の設定」を参照してください。
5.
[ オプション ] タブで、[ 復号 ] を選択し、実行する復
号化の [ タイプ ] として [SSL インバウンド インスペク
ション ] を選択します。
インバウンド SSL トラフィックの宛先となる内部サー
バーの [ 証明書 ] を選択します。
ステップ 5
424
設定を [ コミット ] します。
6.
(任意)復号化されたトラフィックに追加の設定を適
用するには、[ 復号プロファイル ] を選択します。
7.
[OK] をクリックして保存します。
SSL インバウンド インスペクション復号ポリシーが有効に
なっている場合、ポリシーによって識別されるすべての
SSL トラフィックが復号化され、検査されます。復号化さ
れたトラフィックは、ファイアウォール上で設定されてい
るプロファイル(ポリシーに関連付けられている復号プロ
ファイルや、アンチウイルス、脆弱性、アンチスパイウェ
ア、URL フィルタリング、および ファイルブロッキング
プロファイルなど)に基づいてブロックおよび制限されま
す。トラフィックは、ファイアウォールから出力される際
に再暗号化されます。
復号
復号
SSH プロキシの設定
SSH プロキシの設定
「SSH プロキシ」の設定には証明書は必要なく、SSH セッションの復号化に使用されるキーは
ファイアウォールの起動中に自動的に生成されます。
以下のタスクを使用して SSH プロキシ復号化を設定します。
SSH プロキシ復号化の設定
[Network] > [ インターフェイス ] > [Ethernet] タブで設定
されているインターフェイスを確認します。[ インター
フェイス タイプ ] 列にはインターフェイスが [ バーチャル
ワイヤー]、[ レイヤー 2]、または [ レイヤー 3] インター
フェイスとして設定されているかが表示されます。イン
ターフェイスを選択して、インターフェイスのタイプなど
の設定を変更できます。
ステップ 1
使用するインターフェイスが
バ ー チ ャ ル ワ イ ヤ ー、レ イ
ヤー 2、またはレイヤー 3 イン
ターフェイスのいずれかとし
て設定されていることを確認
し ま す。復 号 化 は、バ ー チ ャ
ル ワ イ ヤ ー、レ イ ヤ ー 2、ま
たはレイヤー 3 インターフェ
イスのみで実行できます。
ステップ 2
(任意)復号プ ロフ ァイル を 1.
作成します。
[Objects] > [ 復号プロファイル ] の順に選択し、[ 追加 ]
をクリックします。
復号プロファイルを復号ポリ 2.
シーに関連付けることによ
り、ファイアウォールは復号
化するトラフィックのさまざ
まな状況をブロックおよび制
御できます。復号プロファイ
ルを使用すると、サーバー証 3.
明書、サポートされていない
モード、および障害のチェッ
クを実行し、それに基づいて
トラフィックをブロックまた
は制限できます。実行できる
チェックの完全なリストにつ
いては、ファイアウォールで
[Objects] > [ 復号プロファイル ]
の順に選択し、ヘルプ アイコ
ンをクリックします。
[SSH] タブを選択し、特定の状況の SSH トンネル トラ
フィックをブロックおよび制御します。たとえば、[リ
ソースを使用できない場合にセッションをブロック ]
を選択することにより、システム リソースが復号化の
処理に使用できない場合にセッションを終了すること
を選択できます。
復号
[OK] をクリックしてプロファイルを保存します。
425
SSH プロキシの設定
復号
SSH プロキシ復号化の設定(続き)
ステップ 3
ステップ 4
426
復号ポリシーを設定します。
設定を [ コミット ] します。
1.
[Policies] > [ 復号 ] の順に選択し、[ 追加 ] をクリック
します。
2.
[ 全般 ] タブの [ 名前 ] に分かりやすい名前を入力し
ます。
3.
[ 送信元 ] タブおよび [ 宛先 ] タブで、[ いずれか ] を選
択するとすべての SSH トラフィックを復号化します。
4.
[URL カテゴリ ] タブで、[ いずれか ] を選択すると、す
べての SSH トラフィックを復号化します。
5.
[ オプション ] タブで、[ 復号 ] を選択し、復号化するト
ラフィックの [ タイプ ] として [SSH プロキシ ] を選択し
ます。
6.
(任意)復号化されたトラフィックに追加の設定を適
用するには、[ 復号プロファイル ] を選択します。
7.
[OK] をクリックして保存します。
SSH プロキシ復号ポリシーが有効になっている場合、ポリ
シーによって識別されるすべての SSH トラフィックが復号
化され、通常 SSH トラフィックまたは SSH トンネル トラ
フィックとして識別されます。SSH トンネル トラフィック
は、ファイアウォールで設定されたプロファイルに基づい
てブロックおよび制限されます。トラフィックは、ファイ
アウォールから出力される際に再暗号化されます。
復号
復号
復号化の例外の設定
復号化の例外の設定
トラフィックの送信元、宛先、URL カテゴリ、またはサービスなどの一致条件に基づいて、復
号化からトラフィックを意図的に除外できます。また、特定のサーバーのトラフィックを復号
化から除外することもできます。「復号化の例外」を設定するには、以下のトピックを参照し
てください。

復号化からのトラフィックの除外

復号化からのサーバーの除外
復号化からのトラフィックの除外
アプリケーションや特定のトラフィックを意図的にその他の既存の SSL または SSH 復号ポリ
シーから除外するため、新しい復号ポリシーを作成し、ポリシーで [ 復号なし ] アクションが選
択されている場合に復号化から除外するトラフィックを定義することができます。送信元、宛
先、URL カテゴリ、またはサービス(ポートまたはプロトコル)などの一致条件に従って、ポ
リシーベースで除外するトラフィックを定義できます。復号化からトラフィックを除外する復
号ポリシーは、復号ポリシー リストの中で他の復号ポリシーよりも上になるようにドラッグア
ンドドロップして、必ずリストの先頭になるようにしてください。
SSL または SSH 復号化からトラフィックを除外する復号ポリシーを設定するには、以下の手順
を参照してください。
復号ポリシーからのトラフィックの除外
ステップ 1
復号ポリシーを作成します。
1.
復号ポリシーを使用して、ト
ラフィックの送信元ゾーンお 2.
よび宛先ゾーンまたはアドレ
スおよび URL カテゴリに基づ 3.
いて復号からトラフィックを
除 外 し ま す。こ の 例 で は、金
融または医療関連と分類され
るトラフィックを SSL フォワー 4.
ド プロキシ復号化から除外す
る方法を示します。
復号
[Policies] > [ 復号 ] の順に選択し、[ 追加 ] をクリック
します。
[ 名前 ] に、ポリシーの分かりやすい名前(たとえば
No-Decrypt-Finance-Health など)を入力します。
[ 送信元 ] タブおよび [ 宛先 ] タブで、[ 送信元ゾーン ]
および [ 宛先ゾーン ] に [ いずれか ] を選択すると、外
部サーバーを宛先とするすべての SSL トラフィックに
No-Decrypt-Finance-Health ルールが適用されます。
[URL カテゴリ ] タブで、[ 追加 ] をクリックして、
[financial-services] および [health-and-medicine] の URL カ
テゴリをポリシーに追加し、これらのカテゴリに一致
したトラフィックは復号化しないように指定します。
5.
[オプション] タブで、[復号なし] を選択し、トラフィッ
クを除外する復号ポリシーの [ タイプ ] を選択します。
たとえば、金融または医療に分類されるトラフィック
を、個別に設定された SSL フォワード プロキシ復号ポ
リシーから除外するには、[ タイプ ] に [SSL フォワード
プロキシ ] を選択します。
6.
[OK] をクリックして No-Decrypt-Finance-Health 復号ポリシー
を保存します。
427
復号化の例外の設定
復号
復号ポリシーからのトラフィックの除外(続き)
ステップ 2
復号ポリシーを復号ポリシー [Policies] > [ 復号 ] ページで、No-Decrypt-Finance-Health ポリシー
リストの先頭に移動します。 を選択し、リストの先頭に表示されるまで [上へ] をクリッ
クします(またはドラッグアンドドロップすることもでき
ます)。
復号ポリシーは、リストされている順にネットワーク トラ
フィックに適用されます。[ 復号なし ] アクションを適用し
たポリシーをリストの先頭に移動することにより、指定し
たトラフィックが設定されている他のポリシーに基づいて
復号化されないようになります。
ステップ 3
設定を [ コミット ] します。
[ 復号なし ] を有効にした復号ポリシーにより、指定された
トラフィックがファイアウォールを通過するときに暗号化
されたままになり、[Policies] > [ 復号 ] ページで設定およ
びリストされている他の復号ポリシーに基づいて復号化さ
れないようになります。
復号化からのサーバーの除外
サーバーの証明書の共通名 (CN) に基づいてターゲット サーバーのトラフィックを SSL 復号化か
ら除外できます。たとえば、SSL 復号化を有効にしている場合に、企業ネットワーク上で HR シ
ステムの Web サービスをホストするサーバーに復号化の例外を設定できます。ターゲット サー
バーのトラフィックが復号化から除外されるようにサーバーの証明書を設定するには、以下の
手順を参照してください。
復号化からのサーバーの除外
ステップ 1
ターゲット サーバーの証明書をファイアウォールにインポートします。
1. [Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス証明書 ] タブで、[ インポート ] を選
択します。
2. 分かりやすい名前を [ 証明書名 ] に入力します。
3. [ 証明書ファイル ] で、ターゲット サーバーの証明書ファイルを参照し、選択します。
4. [OK] をクリックします。
ステップ 2
[ デバイス証明書 ] タブで、ターゲット サーバーの証明書を選択し、SSL 除外証明書として
有効にします。
ターゲット サーバーの証明書がファイアウォールにインポートされ、SSL 除外証明書に指定
されている場合、サーバーのトラフィックはファイアウォール通過時に復号化されません。
428
復号
復号
SSL 復号化からオプトアウトするユーザーを有効にする
SSL 復号化からオプトアウトするユーザーを有効にする
場合によっては、特定の Web トラフィックが復号化されるという事実についてユーザーにア
ラートを送信し、検査されることを望まないセッションをユーザーが終了できるようにする必
要があります。SSL オプトアウトが有効になっている場合、ファイアウォールは、復号ポリ
シーに適合する HTTPS サイトまたはアプリケーションをユーザーが初めて参照しようとすると
きに、ユーザーに対してセッションが復号化されることを通知する応答ページを表示します。
ユーザーは、[ はい ] をクリックして復号化を許可し、続行してページに進むか、または復号化
をオプトアウトし、[ いいえ ] をクリックしてセッションを終了することができます。SSL 復号
化をオプトアウトするユーザーは、要求した Web ページ、または次の 24 時間の期間にアクセス
を試みるその他のすべての HTTPS サイトに進むことを許可されません。
ファイアウォールには、有効にすることができる事前定義された [SSL 復号オプトアウト ページ ]
が用意されてます。任意で、独自のテキストまたはイメージによってそのページをカスタマイ
ズできます。
復号
429
SSL 復号化からオプトアウトするユーザーを有効にする
復号
SSL 復号化からオプトアウトするユーザーを有効にする
ステップ 1
(任意)[SSL 復号オプトアウ 1.
ト ページ ] をカスタマイズし 2.
ます。
3.
[Device] > [ 応答ページ ] の順に選択します。
[SSL 復号オプトアウト ページ ] リンクを選択します。
[ 事前定義済み ] ページを選択し、[ エクスポート ] を
クリックします。
4.
任意の HTML テキスト エディタを使用して、ページ
を編集します。
5.
イメージを追加する必要がある場合は、エンド ユーザー
システムからアクセス可能な Web サーバーでそのイ
メージをホストします。
6.
そのイメージを指し示すように、HTML に行を追加し
ます。例 :
<img src="http://cdn.slidesharecdn.com/
Acme-logo-96x96.jpg?1382722588"/>
7.
編集したページを新しいファイル名で保存します。
ページが UTF-8 エンコーディングのままであることを
確認してください。
8.
ファイアウォールに戻り、[Device] > [ 応答ページ ] の
順に選択します。
9.
[SSL 復号オプトアウト ページ ] リンクを選択します。
10. [ インポート ] をクリックし、[ インポート ファイル ]
フィールドにパスとファイル名を入力するか、[ 参照 ]
をクリックしてファイルを指定します。
11. (任意)[ 宛先 ] ドロップダウン リストから、このロ
グイン ページが使用される仮想システムを選択する
か、すべての仮想システムから利用できるように共有
を選択します。
12. [OK] をクリックしてファイルをインポートします。
13. インポートした応答ページを選択し、[閉じる] をクリッ
クします。
ステップ 2
430
SSL 復号オプトアウトを有効に 1.
します。
[Device] > [ 応答ページ ] ページで、[ 無効 ] リンクを
クリックします。
2.
[ 有効化 SSL オプトアウト ページ ] をオンにし、[OK]
をクリックします。
3.
変更を [ コミット ] します。
復号
復号
SSL 復号化からオプトアウトするユーザーを有効にする
SSL 復号化からオプトアウトするユーザーを有効にする(続き)
ステップ 3
復号
サイトを参照しようとすると
きに、そのオプトアウト ペー
ジが表示されることを確認し
ます。
ブラウザから、復号ポリシーと一致する暗号化されたサイ
トに移動します。
SSL 復号オプトアウトの応答ページが表示されることを確
認します。
431
復号ポート ミラーリングの設定
復号
復号ポート ミラーリングの設定
復号ポート ミラーリングを有効にする前に、復号ポート ミラー ライセンスを取得し、インス
トールする必要があります。ライセンスは無料で、以下の手順によってサポート ポータルから
アクティベーションできます。復号ポート ミラー ライセンスをインストールしてファイア
ウォールを再起動した後、復号ポート ミラーリングを有効にできます。
復号ポート ミラーリングを有効にするには、復号化されたトラフィックの転送を有効にし、復
号ミラー インターフェイスを設定します。その後、インターフェイスを指定する復号プロファ
イルを作成し、それを復号ポリシーに関連付けます。復号ポート ミラーリングの実装について
の詳細は、「復号ポート ミラーリング」を参照してください。
復号ポート ミラー ライセンスを取得してインストールし、復号ポート ミラーリングを設定す
るには、以下の手順を使用します。
復号ポート ミラーリングの設定
ステップ 1
432
復号ポート ミラーリングを有効 1.
にするデバイスごとにライセ
ンスを要求します。
2.
『Palo Alto Networks のサポート』サイトにログイン
し、[Assets(アセット)] タブに移動します。
3.
[Decryption Port Mirror(復号ポート ミラー)] を選択
します。法的通知が表示されます。
4.
潜在的な法的意味および要件を十分理解した上で、
[I understand and wish to proceed(理解しました。続
行します。)] をクリックします。
5.
[Activate(アクティベーション)] をクリックします。
ライセンスを取得するデバイスのデバイス エントリを
選択し、[Actions(アクション)] を選択します。
復号
復号
復号ポート ミラーリングの設定
復号ポート ミラーリングの設定(続き)
ステップ 2
ステップ 3
復号ポート ミラー ライセンス 1.
をファイアウォールにインス
トールします。
2.
ファイアウォールの Web インターフェイスから、
[Device] > [ ライセンス ] の順に選択します。
[ ライセンス サーバーからライセンス キーを取得 ] をク
リックします。
3.
ライセンスがファイアウォール上でアクティベーショ
ンされていることを確認します。
4.
ファイアウォールを再起動します([Device] > [ セット
アップ ] > [ 操作 ])。この機能は、PAN-OS を再ロード
するまで設定できません。
復号化されたトラフィックを 仮想システムが 1 つのファイアウォールの場合 :
ミラーリングする機能を有効 1. [Device] > [ セットアップ ] > [ コンテンツ ID] の順に選
にします。この手順を実行す
択します。
るにはスーパーユーザーの権 2. [ 復号化されたコンテンツの転送を許可 ] チェック ボッ
限が必要です。
クスをオンにします。
3.
[OK] をクリックして保存します。
仮想システムが複数あるファイアウォールの場合 :
1. [Device] > [ 仮想システム ] の順に選択します。
ステップ 4
2.
編集する仮想システムを選択するか、または [ 追加 ] を
選択して新しい仮想システムを作成します。
3.
[ 復号化されたコンテンツの転送を許可 ] チェック ボッ
クスをオンにします。
4.
[OK] をクリックして保存します。
復号ミラー インターフェイスを 1.
設定します。
[Network] > [ インターフェイス ] > [Ethernet] の順に
選択します。
2.
復号ポート ミラーリング用に設定する Ethernet イン
ターフェイスを選択します。
3.
[ インターフェイス タイプ ] に [ 復号化ミラー] を選択
します。
このインターフェイス タイプは復号ポート ミラー ラ
イセンスがインストールされている場合にのみ表示さ
れます。
4.
復号
[OK] をクリックして保存します。
433
復号ポート ミラーリングの設定
復号
復号ポート ミラーリングの設定(続き)
ステップ 5
復号プロファイルを設定して 1.
復号ポート ミラーリングを有 2.
効にします。
[Objects] > [ 復号プロファイル ] の順に選択します。
[ 復号化ミラーリング ] に使用する [ インターフェイス ]
を選択します。
[ インターフェイス ] ドロップダウンには、[ 復号化ミ
ラー] タイプとして定義されているすべての Ethernet イ
ンターフェイスが含まれています。
3.
復号化されたトラフィックをポリシー適用の前または
後のどちらにミラーリングするかを指定します。
デフォルトでは、ファイアウォールは、インターフェ
イスへのすべての復号化されたトラフィックをセキュ
リティ ポリシー検索の前にミラーリングします。これ
により、イベントを再生して脅威を生成したりドロッ
プ アクションのトリガーとなったトラフィックを分析
できます。セキュリティ ポリシー適用の後の復号化さ
れたトラフィックをミラーリングするには、[ 転送のみ ]
チェック ボックスをオンにします。このオプションを
指定すると、ファイアウォール内を転送されたトラ
フィックのみがミラーリングされます。このオプショ
ンは、復号化されたトラフィックを他の脅威検出デバ
イス(DLP デバイスや他の侵入防止システム (IPS) な
ど)に転送する場合に役立ちます。
4.
ステップ 6
ステップ 7
434
復号ポート ミラーリングの復号 1.
ポリシーを設定します。
2.
設定を保存します。
[OK] をクリックして復号プロファイルを保存します。
[Policies] > [ 復号 ] の順に選択します。
[ 追加 ] をクリックして復号ポリシーを設定するか、ま
たは既存の復号ポリシーを選択して編集します。
3.
[オプション] タブで、[復号] を選択し、ステップ 4 で
作成した [ 復号プロファイル ] を選択します。
4.
[OK] をクリックしてポリシーを保存します。
[ コミット ] をクリックします。
復号
復号
SSL 復号化を一時的に無効にする
SSL 復号化を一時的に無効にする
場合によっては、SSL 復号化を一時的に無効にすることができます。たとえば、ユーザーが暗
号化されたサイトまたはアプリケーションへのアクセスで問題を抱えている場合は、問題のト
ラブルシューティングのために SSL 復号化を無効にすることができます。関連付けられている
復号ポリシーを無効にすることができますが、ポリシーの変更は、コミットが必要とされる設
定変更です。代わりに、以下のコマンドを使用して SSL 復号化を一時的に無効にし、トラブル
シューティングの終了後に再び有効にします。このコマンドにはコミットが不要であり、再起
動後も設定に残ることはありません。
SSL 復号化を一時的に無効にする
• SSL 復号化を無効にする
set system setting ssl-decrypt skip-ssl-decrypt yes
• SSL 復号化を再び有効にする set system setting ssl-decrypt skip-ssl-decrypt no
復号
435
SSL 復号化を一時的に無効にする
復号
436
復号
URL フィルタリング
Palo Alto Networks URL フィルタリング ソリューションは強力な PAN-OS 機能であり、ユーザー
が HTTP および HTTPS を介して Web にアクセスする方法を監視および制御するために使用され
ます。以下のトピックでは、URL フィルタリングの概要、設定およびトラブルシューティング
の情報、この機能を最大限に活用するためのベスト プラクティスについて説明します。

URL フィルタリングの概要

URL フィルタリングの概念

PAN-DB 分類ワークフロー

URL フィルタリング ベンダーの有効化

URL フィルタリング ポリシーの要件の決定

Web アクティビティのモニター

URL フィルタリングの設定

URL フィルタリング応答ページのカスタマイズ

URL 管理オーバーライドの設定

セーフ サーチの適用の有効化

URL フィルタリングのユース ケースの例

URL フィルタリングのトラブルシューティング
URL フィルタリング
437
URL フィルタリングの概要
URL フィルタリング
URL フィルタリングの概要
Palo Alto Networks の URL フィルタリング機能は、Web(HTTP および HTTPS)トラフィックへ
のアクセスを識別および制御するようにユーザーがファイアウォールを設定できるようにする
ことで、「App-ID」機能を補う機能です。セキュリティ ポリシーで URL フィルタリング プロ
ファイルを実装し、ポリシーの一致条件として URL カテゴリ([ キャプティブ ポータル ]、[ 復
号 ]、[ セキュリティ]、および [QoS])を使用することにより、ファイアウォールを通過するトラ
フィックを詳細に把握して制御したり、Web への安全なユーザー アクセスを可能にして制御し
たりすることができます。
Palo Alto Networks URL フィルタリング ソリューションでは、URL フィルタリング データベース
を活用します。このデータベースには数百万の Web サイトが含まれており、各 Web サイトは約
60 種類のカテゴリの 1 つに分類されています。次に、これらのカテゴリのリストを含む URL
フィルタリング プロファイルが、内部ユーザーからインターネットへの Web トラフィック
(HTTP/HTTPS) を許可するセキュリティ ポリシーに適用されます。URL フィルタリング プロ
ファイルを適用して、カテゴリにアラート アクションまたはブロック アクションが設定される
と、ユーザーがアクセスする Web サイトを詳細に把握できるようになり、許可、ブロックまた
はログを記録する必要がある Web サイトまたは Web カテゴリを特定することができます。常に
ブロックまたは許可する URL のリストを URL フィルタリング プロファイルで定義することも
できます。また、URL のリストを含むカスタム URL カテゴリを作成できます。このリストは、
デフォルトのカテゴリ リストと同じように使用できます。これらの同じ URL カテゴリは、キャ
プティブ ポータル、復号、および QoS など、他のポリシーで一致条件として使用することもで
きます。

URL フィルタリング ベンダー

App-ID および URL カテゴリ間の相互作用
URL フィルタリング ベンダー
Palo Alto Networks ファイアウォールでは、URL フィルタリングで以下の 2 つのベンダーをサ
ポートしています。

PAN-DB — PAN-OS と緊密に統合されている Palo Alto Networks が開発した URL フィルタリン
グ データベース。高パフォーマンスのローカル キャシングを活用して、URL 検索において最
大のインライン パフォーマンスを実現すると同時に、分散クラウド アーキテクチャにより最
新の Web サイト も網羅します。また、PAN-DB は WildFire と緊密に統合されているため、URL
フィルタリング プロファイルがセキュリティ ポリシー ルールに関連付けられている限り、
WildFire が有害サイトだと判断すると、対応する PAN-DB URL カテゴリを malware に更新し、
そのサイトへの今後のすべてのアクセスをすぐにブロックします。PAN-DB URL Filtering カテ
ゴリのリストを表示するには、『https://urlfiltering.paloaltonetworks.com/CategoryList.aspx』を参
照してください。

BrightCloud — Webroot, Inc. が所有するサードパーティ URL データベース。PAN-OS ファイア
ウォールに統合されます。BrightCloud URL データベースの詳細は、『http://brightcloud.com』
にアクセスしてください。
438
URL フィルタリング
URL フィルタリング
URL フィルタリングの概要
サポートされているいずれかの URL フィルタリング ベンダーを使用するようにファイアウォー
ルを設定する手順は、「URL フィルタリング ベンダーの有効化」を参照してください。
App-ID および URL カテゴリ間の相互作用
Palo Alto Networks の URL フィルタリング機能は、アプリケーション識別機能 (App-ID) と併用す
ることで、法律、規制、生産性およびリソース使用状況のそれぞれに関するリスク全般に対し
てこれまでにない保護が提供されます。App-ID ではアプリケーション ユーザーがアクセスでき
る対象を制御することが可能で、URL フィルタリングでは関連する Web アクティビティを制御
できます。User-ID と併用すると、これらの制御をユーザーおよびグループに基づいて適用する
こともできます。
現在のアプリケーションを取り巻く状況や、多くのアプリケーションによる HTTP および
HTTPS の使用状況を考慮し、包括的な Web アクセス ポリシーを定義するため、状況に応じて
App-ID と URL フィルタリングを的確に活用する必要があります。App-ID シグネチャが存在する
ときは、ほとんどの場合、App-ID を使用してアプリケーション レベルでコンテンツを制御する
ことをお勧めします。たとえば、URL フィルタリングを使用すると Facebook または LinkedIn、あ
るいはその両方へのアクセスを制御できますが、この場合、電子メール、チャットなどの関連
アプリケーション、およびポリシーを実装後に導入される新しいアプリケーションの使用はブ
ロックされません。
URL フィルタリングと App-ID の両方を使用する必要がある場合もありますが、複数のポリ
シーで競合が発生しないようにするため、これらの機能がどのように連携しているかを把握す
ることが重要です。Palo Alto Networks では、多くのアプリケーションのシグネチャが生成され
ます。それらのシグネチャは、Web ベース アプリケーション内のさまざまな機能に関して極め
て細かく設定できます。一方、URL フィルタリングは特定の Web サイトまたは URL カテゴリに
基づいてのみアクションを適用します。たとえば、通常はソーシャル ネットワーキング サイト
をブロックするが、そのカテゴリのいくつかのサイトへのアクセスを特定の部門に許可し、さ
らに許可されたユーザーが使用できる Web サイトの機能を制御する場合などがあります。詳細
は、「URL フィルタリングのユース ケースの例」を参照してください。
URL フィルタリング
439
URL フィルタリングの概念
URL フィルタリング
URL フィルタリングの概念

URL カテゴリ

URL フィルタリング プロファイル

URL フィルタリング プロファイル アクション

ブロック リストと許可リスト

セーフ サーチを適用

コンテナ ページ

HTTP ヘッダのロギング

URL フィルタリング応答ページ

ポリシー一致条件としての URL カテゴリ
440
URL フィルタリング
URL フィルタリング
URL フィルタリングの概念
URL カテゴリ
URL フィルタリング データベースで定義されている各 Web サイトは、約 60 種類の URL カテゴ
リの 1 つに割り当てられます。ファイアウォールで URL 分類を使用するには、以下の 2 つの方
法があります。

URL カテゴリに基づいてトラフィックをブロックまたは許可する — 各 URL カテゴリのアク
ションを指定し、プロファイルをポリシーに関連付ける URL フィルタリング プロファイル
を作成できます。その後、ポリシーに一致するトラフィックにプロファイルの URL フィル
タリング設定が適用されます。たとえば、すべてのゲーム Web サイトをブロックするには、
URL プロファイルで games という URL カテゴリのブロック アクションを設定し、Web アクセ
スを許可するセキュリティ ポリシー ルールに関連付けます。詳細は「URL フィルタリング
の設定」を参照してください。

URL カテゴリに基づいてトラフィックを照合してポリシーを適用する — 特定のカテゴリの
サイトへの Web トラフィックにのみ特定のポリシー ルールを適用する場合、ポリシー ルール
の作成時に一致条件としてカテゴリを追加します。たとえば、QoS ポリシーで streaming-media と
いう URL カテゴリを使用して、ストリーミング メディアとして分類されているすべての
Web サイトに対して帯域幅の制御を適用できます。詳細は「ポリシー一致条件としての URL
カテゴリ」を参照してください。
Web サイトをカテゴリにグループ分類することで、Web サイトの特定のタイプに基づいたアク
ションをより簡単に定義できます。標準の URL カテゴリの他に、以下の 3 つの追加カテゴリが
あります。
Not-resolved
Web サイトがローカル URL フィルタリング データベースで見つからず、
ファイアウォールがカテゴリを確認するためにクラウド データベースに
接続できなかったことを示します。URL カテゴリ検索を実行する場合、
ファイアウォールでは、まず、その URL のデータプレーン キャッシュを
確認します。一致がない場合、管理プレーン キャッシュを確認し、そこ
にも一致がない場合は、クラウドの URL データベースにクエリを実行し
ます。
not-resolved として分類されているトラフィックに対して実行するアクション
を決定する場合、このアクションをブロックに設定すると、ユーザー操作
を大幅に妨げることになる可能性があります。
検索に関する問題のトラブルシューティングの詳細は、「URL フィルタ
リングのトラブルシューティング」を参照してください。
Private-ip-addresses
URL フィルタリング
Web サイトが単一のドメイン(サブドメインを含まない)であり、その IP
アドレスがプライベート IP の範囲内にあるか、クラウドでその URL ルー
ト ドメインが不明であることを示します。
441
URL フィルタリングの概念
Unknown
URL フィルタリング
Web サイトが分類されていないため、その Web サイトがファイアウォール
の URL フィルタリング データベースまたは URL クラウドのデータベース
に存在しません。
unknown として分類されているトラフィックに対して実行するアクション
を決定する場合、このアクションをブロックに設定すると、URL データ
ベースにまだ含まれていない有効なサイトが大量にある可能性があるた
め、ユーザー操作を大幅に妨げることになる可能性があります。極めて厳
しいポリシーが必要な場合は、URL データベースに存在しない Web サイ
トにはアクセスできないように、このカテゴリをブロックすることができ
ます。
「URL フィルタリングの設定」を参照してください。
URL フィルタリング プロファイル
URL フィルタリング プロファイルは、Web アクセス ポリシーを実装するために個々のセキュリ
ティ ポリシー ルールに適用される URL フィルタリング コントロールの集合です。ファイア
ウォールには、脅威になりやすいカテゴリ(malware、phishing、adult など)をブロックするよ
うに設定されているデフォルト プロファイルが付属しています。このデフォルト プロファイル
は、セキュリティ ポリシーで使用したり、コピーして新しい URL フィルタリング プロファイ
ルを作成するときに利用したりできます。また、ネットワーク上のトラフィックを可視化でき
るように、すべてのカテゴリを許可に設定する新しい URL プロファイルを追加することもでき
ます。新しく追加されたこの URL プロファイルをカスタマイズして、常にブロックまたは許可
する必要のある特定の Web サイトのリストを追加できます。これにより、URL カテゴリをより
細かく制御することができます。たとえば、ソーシャル ネットワーキング サイトをブロックす
るが、ソーシャル ネットワーキングのカテゴリに含まれる一部の Web サイトを許可する場合な
どです。
以下のトピックでは、URL フィルタリング プロファイルのコンポーネントについて説明します。

URL フィルタリング プロファイル アクション

ブロック リストと許可リスト

セーフ サーチを適用

コンテナ ページ

HTTP ヘッダのロギング
442
URL フィルタリング
URL フィルタリング
URL フィルタリングの概念
URL フィルタリング プロファイル アクション
URL フィルタリング プロファイルでは、既知の各 URL カテゴリのアクションを指定します。
デフォルトでは、新しい URL フィルタリング プロファイルを作成するときに、アクションがす
べてのカテゴリに対して [allow] に設定されています。これは、ユーザーはすべてのサイトを
自由に閲覧でき、ログに記録されないことを意味しています。
デフォルトの URL フィルタリング プロファイルは、すべての URL カテゴリへのアクセスを許可す
るように設定されています。ただし、例外として、脅威になりやすいカテゴリ(abused-drugs、
adult、gambling、hacking、malware、phishing、questionable、および weapons)はブロック
されます。カスタム URL フィルタリング プロファイルが必要な場合、新しいプロファイルを
作成するのではなく、デフォルト プロファイルをコピーして、これらの設定を保持することを
お勧めします。
アクション
説明
alert
Web サイトが許可され、URL フィルタリング ログにログ エントリが生成され
ます。
allow
Web サイトが許可され、ログ エントリは生成されません。
block
Web サイトがブロックされ、応答ページが表示されます。Web サイトへのアク
セスを続行することはできません。URL フィルタリング ログでログ エントリ
が生成されます。
continue
会社のポリシーによりサイトがブロックされたことを示す応答ページが表示
さ れ、Web サ イ ト へ の ア ク セ ス を 続 行 す る オ プ シ ョ ン が 表 示 さ れ ま す。
[continue] アクションは、通常、無害とみなされるカテゴリで使用され、ユー
ザーがサイトが正しく分類されていないと感じる場合に、操作を続行するた
めのオプションを提供することで、ユーザーの操作性を向上させるために使
用されます。応答ページのメッセージをカスタマイズして、自社専用の詳細
情報を含めることができます。URL フィルタリング ログでログ エントリが生
成されます。
プロキシ サーバーを使用するように設定されているクライアント マシ
ンでは、続行ページは正しく表示されません。
override
特定のカテゴリの Web サイトへのアクセスを許可するためにパスワードが必
要であることを示す応答ページが表示されます。このオプションを使用し
て、セキュリティ管理者またはヘルプデスク担当者は、特定のカテゴリのす
べての Web サイトに一時的なアクセスを付与するパスワードを提供します。
URL フィルタリング ログでログ エントリが生成されます。「URL 管理オー
バーライドの設定」を参照してください。
プロキシ サーバーを使用するように設定されているクライアント マシ
ンでは、オーバーライド ページは正しく表示されません。
URL フィルタリング
443
URL フィルタリングの概念
URL フィルタリング
アクション
説明
none
none アクションはカスタム URL カテゴリにのみ適用されます。[none] を選択
し、複数の URL プロファイルが存在する場合に、そのカスタム カテゴリが他
のプロファイルに影響を与えないようにするためです。たとえば、2 つの URL
プロファイルがあり、カスタム URL カテゴリが一方のプロファイルで [block]
に設定されている場合、もう一方のプロファイルでは [block] が適用されない
ようにするにはアクションを [none] に設定する必要があります。
また、カスタム URL カテゴリを削除するには、使用されるプロファイルで
[none] に設定されている必要があります。
ブロック リストと許可リスト
ブロック リストおよび許可リストを使用すると、URL カテゴリで定義されているアクションに
かかわらず、常に許可または常にブロックされる特定の URL または IP アドレスを URL フィル
タリング プロファイルで定義できます。[ ブロック リスト ] または [ 許可リスト ] に URL を入力
するときは、各 URL または IP アドレスは、1 行ごとに改行で区切って入力します。URL でワイ
ルドカードを使用する場合は、以下のルールに従います。

URL を定義するときは、HTTP や HTTPS を含めないでください。たとえば、
https://www.paloaltonetworks.com ではなく、www.paloaltonetworks.com または
paloaltonetworks.com と入力します。

ブロック リストのエントリは、完全一致である必要があり、大文字と小文字は区別されま
せん。
例 : ドメイン paloaltonetworks.com 内の Web サイトにアクセスできないようにする場合は、
*.paloaltonetworks.com も追加し、アドレスにどのようなドメインのプレフィックス(http://、
www、または mail.paloaltonetworks.com などのサブドメインのプレフィックス)が追加された
場合でも、指定のアクションが実行されるようにします。同じことがサブドメインのサ
フィックスにも該当します。paloaltonetworks.com/en/US をブロックする必要がある場合は、
paloaltonetworks.com/* も追加する必要があります。
ブロック リストと許可リストではワイルドカード パターンがサポートされます。以下の文
字は区切り文字とみなされます。
.
/
?
&
=
;
+
444
URL フィルタリング
URL フィルタリング
URL フィルタリングの概念
上記の文字で区切られた部分文字列はそれぞれトークンとみなされます。区切り文字が含ま
れていない任意の長さの ASCII 文字、または「*」です。たとえば、以下のパターンは有効
です。
*.yahoo.com(トークンは「*」、「yahoo」、および「com」)
www.*.com(トークンは「www」、「*」、および「com」)
www.yahoo.com/search=*(ト ー ク ン は「www」、「yahoo」、「com」、「search」、お よ び
「*」)
以下のパターンでは、「*」がトークンの唯一の文字でないため無効です。
ww*.yahoo.com
www.y*.com
セーフ サーチを適用
多くの検索エンジンには、検索クエリ リターン トラフィックでアダルト画像やアダルト動画を
除外するセーフ サーチ設定が備わっています。ファイアウォールで「セーフ サーチの適用の有
効化」を行うことで、エンド ユーザーが検索クエリで最も厳密なセーフ サーチ設定を使用して
いない場合に、ファイアウォールで検索結果をブロックできます。ファイアウォールは、
Google、Yahoo、Bing、Yandex、および YouTube の検索プロバイダのセーフ サーチを適用できま
す。これは、ベスト エフォート設定であり、すべての Web サイトで機能することを検索プロバ
イダが保証しているわけではありません。
この機能を使用するには、URL フィルタリング プロファイルで [ セーフ サーチを適用 ] オプショ
ンを有効にし、セキュリティ ポリシーに関連付ける必要があります。その後、ファイアウォー
ルは、最も厳密なセーフ サーチ設定を使用していない、一致する検索クエリ リターン トラ
フィックをブロックします。検索結果をブロックするには、以下の 2 つの方法があります。

「厳密なセーフ サーチ設定を使用していない検索結果のブロック」— エンド ユーザーが最
も厳密なセーフ サーチ設定を有効にする前に検索を実行しようとすると、ファイアウォール
で検索クエリ結果がブロックされ、URL フィルタリング セーフ サーチのブロック ページが
表示されます。デフォルトでは、セーフ サーチを設定できるように、このページに検索プロ
バイダ設定への URL が表示されます。

「透過的なセーフ サーチの適用の有効化」— エンド ユーザーが厳密なセーフ サーチ設定を
有効にする前に検索を実行しようとすると、ファイアウォールで検索結果がブロックされて
HTTP 503 ステータス コードが表示され、セーフ サーチ パラメータがある URL に検索クエリ
がリダイレクトされます。この機能を有効にするには、厳密なセーフ サーチ パラメータが
含まれるように検索 URL を書き換える Javascript を備える新しい URL フィルタリング セーフ
サーチのブロック ページをインポートします。この設定では、ユーザーにブロック ページ
は表示されませんが、代わりに、最も厳密なセーフ サーチ オプションを適用する検索クエ
リに自動的にリダイレクトされます。このセーフ サーチの適用方法では、コンテンツ リ
リース バージョン 475 以降が必要で、Google、Yahoo、および Bing の検索でのみサポートさ
れます。
URL フィルタリング
445
URL フィルタリングの概念
URL フィルタリング
現在、大部分の検索プロバイダでは、SSL を使用して検索結果を返すようになっているため、
ファイアウォールで検索トラフィックを調べてセーフ サーチを適用できるように、検索トラ
フィックの「復号」ポリシーも設定する必要があります。
新しい検索プロバイダのセーフ サーチの適用の拡張機能およびサポートは、定期的にコンテン
ツ リリースに追加されます。この情報の詳細は、アプリケーションおよび脅威コンテンツのリ
リース ノートを参照してください。サイトが安全かどうかを判定するのは、Palo Alto Networks
ではなく各検索プロバイダです。
セーフ サーチ設定は、検索プロバイダごとに異なります。詳細は、「表 : 検索プロバイダの
セーフ サーチ設定」を参照してください。
表 : 検索プロバイダのセーフ サーチ設定
検索プロバイダ
セーフ サーチ設定の説明
Google/YouTube
個々のコンピュータまたはネットワーク全体(Google のセーフ サーチ仮想 IP アド
レスを使用)でセーフ サーチを提供します。
個々のコンピュータでの Google 検索のセーフ サーチの適用
『Google の [ 検索の設定 ]』の [ 不適切な検索結果を除外する。] 設定で、セーフ
サーチ機能を有効にします。有効にした設定はブラウザの Cookie に FF= として保
存され、ユーザーが Google の検索を実行するたびにサーバーに渡されます。
safe=active を Google の検索クエリ URL に追加して、最も厳密なセーフ サーチ設
定を有効にすることもできます。
仮想 IP アドレスを使用した Google および YouTube 検索のセーフ サーチの適用
Google が提供するサーバー (forcesafesearch.google.com) では、すべての Google
および YouTube 検索で、『セーフサーチをロック』するように設定できます。
forcesafesearch.google.com を 指 し 示 す CNAME レ コ ー ド を 含 む、
www.google.com と www.youtube.com(および Google や YouTube に関連する
その他のサブドメイン)の DNS エントリを DNS サーバー設定に追加すると、ネッ
トワーク上のすべてのユーザーが Google または YouTube 検索を実行するときに必
ず厳密なセーフ サーチ設定を使用するようになります。
または、DNS プロキシ([Network] > [DNS プロキシ ])を設定し、DHCP を
介してサービス プロバイダからファイアウォールに DNS 設定を送信すると
きに使用するレイヤー 3 インターフェイスとして継承ソースを設定します。
forcesafesearch.google.com サ ー バ ー の ロ ー カ ル IP ア ド レ ス を 使 用 し て、
www.google.com と www.youtube.com の [ スタティック エントリ ] で DNS プロ
キシを設定します。
446
URL フィルタリング
URL フィルタリング
URL フィルタリングの概念
検索プロバイダ
セーフ サーチ設定の説明
Yahoo
個々のコンピュータでのみセーフ サーチを提供します。『Yahoo の [ 検索設定 ]』に
は、[ 強 ]、[ 中 ]、または [ 弱 ] のセーフサーチ設定があります。有効にした設定は
ブラウザの Cookie に vm= として保存され、ユーザーが Yahoo の検索を実行するた
びにサーバーに渡されます。
を Yahoo の検索クエリ URL に追加して、最も厳密なセーフ サーチ設定を有効
にすることもできます。
vm=r
Yahoo アカウントでログイン中に Yahoo Japan (yahoo.co.jp) で検索を実行する
場合、エンド ユーザーは [ チャイルドロック ] オプションも有効にする必要
があります。
Bing
個々のコンピュータまたは『Bing in the Classroom』プログラムでセーフ サーチを提
供します。『Bing の [ 設定 ]』には、[ 高レベル ]、[ 標準 ]、または [ オフ ] のセー
フサーチ設定があります。有効にした設定はブラウザの Cookie に adlt= として保
存され、ユーザーが Bing の検索を実行するたびにサーバーに渡されます。
adlt=strict を Bing の検索クエリ URL に追加して、最も厳密なセーフ サーチ設定
を有効にすることもできます。
Bing SSL 検索エンジンでは、セーフ サーチ URL パラメータが適用されないため、
完全なセーフ サーチを適用するために SSL 経由の Bing をブロックすることを検討
してください。
URL フィルタリング
447
URL フィルタリングの概念
URL フィルタリング
コンテナ ページ
コンテナ ページは、Web サイトを訪れるときにユーザーがアクセスするメインのページです。
ただし、メインのページ内に追加の Web サイトがロードされる場合があります。[ コンテナ
ページのみロギング ] オプションを URL フィルタリング プロファイルで有効にすると、メイン
のコンテナ ページのみがログに記録されます。コンテナ ページ内にロードされる可能性のある
後続のページは記録されません。URL フィルタリングではログ エントリが多数生成される可能
性があるため、要求されたページ ファイル名が特定の MIME タイプに一致する URI のみがログ
エントリに格納されるように、このオプションを有効にすることをお勧めします。デフォルト
のセットには、以下の MIME タイプが含まれています。

application/pdf

application/soap+xml

application/xhtml+xml

text/html

text/plain

text/xml
[コンテナページのみロギング] オプションが有効になっている場合、アンチウイルスまた
は脆弱性防御によって検出される脅威に関連する URL ログ エントリが含まれない場合もあり
ます。
448
URL フィルタリング
URL フィルタリング
URL フィルタリングの概念
HTTP ヘッダのロギング
URL フィルタリングでは、ネットワーク上の Web トラフィックを可視化および制御できます。
Web コンテンツの可視化を向上させるために、Web 要求に含まれる HTTP ヘッダー属性をログ
に記録するように URL フィルタリング プロファイルを設定できます。クライアントが Web
ページを要求すると、ユーザー、エージェント、Referer、x-forwarded-for フィールドが属性 - 値
ペアとして HTTP ヘッダーに格納され、Web サーバーに転送されます。ファイアウォールで
HTTP ヘッダーのロギングが有効になっている場合、以下の属性 - 値ペアが URL フィルタリング
ログに記録されます。
属性
説明
ユーザー エージェント
ユーザーが URL へのアクセスに使用した Web ブラウザ(Internet
Explorer など)。この情報は、HTTP 要求でサーバーに送信され
ます。
Referer
ユーザーを別の Web ページにリンクした Web ページの URL。要求
された Web ページにユーザーをリダイレクト(参照)した送信元
です。
X-Forwarded-For
Web ページを要求したユーザーの IP アドレスを保持するヘッダー
フィールド オプション。特にネットワーク上にプロキシ サーバー
がある場合(すべての要求がプロキシ サーバーの IP アドレスから
送信されているようにみえる可能性があります)、ユーザーの IP
アドレスを識別できます。
URL フィルタリング
449
URL フィルタリングの概念
URL フィルタリング
URL フィルタリング応答ページ
ファイアウォールには、「URL フィルタリング プロファイル」のいずれかのブロック アクショ
ン(block、continue、または override)で設定されたカテゴリのサイトをユーザーが閲覧しよう
としたとき、または「セーフ サーチを適用」が有効になっているときに、デフォルトで表示さ
れる事前定義済みの 3 つの応答ページが用意されています。

[URL フィルタリングおよびカテゴリ一致ブロック ページ ] — URL フィルタリング プロファ
イルが原因で、または URL カテゴリがセキュリティ ポリシーにブロックされているため、
アクセスがブロックされたことを示します。

[URL フィルタリングの続行とオーバーライド ページ ] — ユーザーがブロックをバイパスで
きるよう一旦ブロックさせておくページです。オーバーライド ページでは、ユーザーは [ 続
行 ] をクリックした後でパスワードを入力し、URL をブロックするポリシーをオーバーライ
ドする必要があります。

[URL フィルタリング セーフ サーチのブロック ページ ] — [ セーフ サーチを適用 ] オプション
が有効になっている URL フィルタリング プロファイルを使用したセキュリティ ポリシーに
よって、アクセスがブロックされたことを示します。Google、Bing、Yahoo、または Yandex
を使用して検索が実行され、ブラウザまたは検索エンジン アカウント設定でセーフ サーチ
が厳密に設定されていない場合、このページが表示されます。
450
URL フィルタリング
URL フィルタリング
URL フィルタリングの概念
事前定義済みのページを使用することも、特定の利用規定やコーポレート ブランディングに合
わせて「URL フィルタリング応答ページのカスタマイズ」を行うこともできます。また、ブ
ロック イベント時に代わりに「URL フィルタリング応答ページの変数」を使用したり、サポー
トされているいずれかの「応答ページのリファレンス」を外部のイメージ、サウンド、または
スタイル シートに追加したりできます。
URL フィルタリング応答ページの変数
変数
用途
<user/>
ファイアウォールは、応答ページを表示するときにこの変数をユーザー名
(User-ID を介して使用可能な場合)またはユーザーの IP アドレスに置き
換えます。
<url/>
ファイアウォールは、応答ページを表示するときにこの変数を、要求され
た URL に置き換えます。
<category/>
ファイアウォールは、この変数を、ブロックされた要求の URL フィルタ
リング カテゴリに置き換えます。
<pan_form/>
[URL フィルタリングの続行とオーバーライド ページ ] に [ 続行 ] ボタンを
表示する HTML コード。
ユーザーがアクセスしようとしている URL カテゴリに基づいて異なるメッセージを表示するよ
うにファイアウォールをトリガーするコードを追加することもできます。たとえば、URL カテ
ゴリが games の場合は Message 1、カテゴリが travel の場合は Message 2、カテゴリが kids の場合は
Message 3 を表示するように応答ページを設定するには、以下の例のようなコードを使用します。
var cat = "<category/>";
switch(cat)
{
case 'games':
document.getElementById("warningText").innerHTML = "Message 1";
break;
case 'travel':
document.getElementById("warningText").innerHTML = "Message 2";
break;
case 'kids':
document.getElementById("warningText").innerHTML = "Message 3";
break;
}
各仮想システムにロードできるのは、ブロック ページのタイプごとに 1 つの HTML ページのみ
です。ただし、イメージ、サウンド、カスケード スタイル シート(CSS ファイル)などの他の
リソースは、ブラウザに応答ページが表示されるときに他のサーバーからロードできます。す
べてのリファレンスに完全修飾 URL が含まれている必要があります。
URL フィルタリング
451
URL フィルタリングの概念
URL フィルタリング
応答ページのリファレンス
リファレンス タイプ
HTML コードの例
イメージ
<img src="http://virginiadot.org/images/Stop-Sign-gif.gif">
サウンド
<embed src="http://simplythebest.net/sounds/WAV/WAV_files/
movie_WAV_files/ do_not_go.wav" volume="100" hidden="true"
autostart="true">
スタイル シート
<link href="http://example.com/style.css" rel="stylesheet"
type="text/css" />
ハイパーリンク
<a href="http://en.wikipedia.org/wiki/Acceptable_use_policy">View
Corporate
Policy</a>
ポリシー一致条件としての URL カテゴリ
URL カテゴリは、ポリシーでさらなる細分性を提供するために、ポリシーの一致条件として使
用することができます。たとえば、復号ポリシーを定義しているが、特定の Web サイトには、
復号をバイパスさせる必要があるとします。このためには、復号ポリシーに [ 復号なし ] アク
ションを設定して、ポリシー ルールの一致条件として URL カテゴリを定義し、指定したカテゴ
リに属する Web サイトへのトラフィック フローのみでポリシーが一致するようにします。
以下の表に、URL カテゴリを活用できるポリシーのタイプを示します。
ポリシーのタイプ
説明
キャプティブ ポータル
特定のカテゴリへのアクセスが許可される前に、ユーザーが確実に認証され
るようにするために、キャプティブ ポータル ポリシーを一致条件として URL
を関連付けることができます。
復号
復号ポリシーでは、URL カテゴリを一致条件として使用して、指定の Web サイ
トを復号化するかどうかを特定することができます。たとえば、2 つのゾーン
間のすべてのトラフィックに対して復号アクションを設定した復号ポリシーを
使用している場合に、復号化してはならない financial-services、health-and-medicine など
の特定の Web サイトのカテゴリがあるとします。この場合、復号ポリシーの
前に実行される [ 復号なし ] アクションが設定された新しい復号ポリシーを作
成し、ポリシーの一致条件として URL カテゴリのリストを定義します。これ
を実行することにより、復号なしポリシーに含まれている各 URL カテゴリは
復号化されません。また、カスタム URL カテゴリを設定して、復号なしポリ
シーで使用する独自の URL リストを定義することもできます。
QoS
QoS ポリシーでは、URL カテゴリを使用して、特定の Web サイトのカテゴリ
のスループット レベルを特定することができます。たとえば、streaming-media
カテゴリを許可するが、QoS ポリシーに一致条件として URL カテゴリを追加
することでスループットを制限できます。
452
URL フィルタリング
URL フィルタリング
URL フィルタリングの概念
ポリシーのタイプ
説明
セキュリティ
URL カテゴリをセキュリティ ポリシーで直接定義して [ サービス /URL カテゴ
リ ] タブの一致条件として使用したり、URL フィルタリング プロファイルを
[ アクション ] タブで設定することができます。
たとえば、社内のセキュリティ部門は、hacking カテゴリにアクセスできる必要が
ありますが、その他すべてのユーザーはこれらのサイトにアクセスできないよう
にする必要があるとします。このためには、Web アクセスに使用されるゾーン間
でアクセスが許可されるセキュリティ ルールを作成し、[ サービス /URL カテゴ
リ ] タブに hacking カテゴリを含め、ポリシーの [ ユーザー] タブでセキュリティ
部門を定義します。すべてのユーザーに一般的な Web アクセスを許可するメ
インのセキュリティ ルールに、すべてのハッキング サイトをブロックする
URL フィルタリング プロファイルを含めます。hacking をブロックするポリ
シーの前に hacking へのアクセスを許可するポリシーを配置します。この場
合、セキュリティ部門に含まれるユーザーがハッキング サイトへのアクセス
を試行すると、ポリシーはアクセスを許可し、その後はルール処理が停止し
ます。
セキュリティ ポリシーを作成するときに、ブロック ルールが処理の最後では
なく、許可ルールが最後になることを理解することが重要です。つまり、ブ
ロック ルールを設定し、そのルールに一致するトラフィックがある場合、ブ
ロック ルールの後続の他のルールについて一致があるかどうかが確認されま
す。処理の最後である許可ルールでは、ルールに一致するトラフィックがあ
る場合、そのトラフィックが許可され、後続の他のルールは確認されませ
ん。たとえば、すべてのユーザーに対して shopping カテゴリをブロックするよ
う に 設 定 し た ブ ロ ッ ク ル ー ル が あ る が、特 定 の ユ ー ザ ー グ ル ー プ に は
shopping を許可するルールもあるとします。この例では、許可されるグループ
のユーザーは、ほとんどの場合、すべてのユーザーが含まれるグループにも
含まれています。このため、トラフィックに一致があり、許可アクションが
実行された後ルール処理が停止するように、ブロック ルールの前の許可ルー
ルをより具体的に設定することが推奨されます。
URL フィルタリング
453
PAN-DB 分類ワークフロー
URL フィルタリング
PAN-DB 分類ワークフロー
このセクションでは、PAN-DB コンポーネントについて説明し、ファイアウォール経由でユー
ザーがさまざまな URL にアクセスする際に発生する URL 分類の解決ワークフローについて説
明します。

PAN-DB URL 分類コンポーネント

PAN-DB URL 分類ワークフロー
PAN-DB URL 分類コンポーネント
以下の表に、PAN-DB コンポーネントについて詳細に説明します。BrightCloud システムも同様
に機能しますが、初期シード データベースは使用しません。
コンポーネント
説明
URL フィルタリング シー ファイアウォールにダウンロードされた初期シード データベースは Palo
ド データベース
Alto Networks URL のクラウド サーバーで保持されているデータベースの
ほんの一部です。これは、完全なデータベースには数百万の URL が含ま
れているものの、これらの URL の多くはユーザーによってまったくアク
セスされないためです。初期シード データベースをダウンロードすると
きは、地域(北米、ヨーロッパ、APAC、日本)を選択します。各地域に
はその特定の地域で最も多くアクセスされている URL のサブセットが含
まれています。初期シードデータベースを使用することにより、ファイア
ウォールでは、はるかに容量の小さい URL データベースを保存するた
め、検索パフォーマンスが大幅に向上します。ローカル URL データベー
ス内に含まれていない Web サイトにユーザーがアクセスすると、クラウ
ド データベースに対してクエリが実行され、ファイアウォールではロー
カル データベースにその新しい URL を追加します。つまり、ファイア
ウォール上のローカル データベースは、ユーザー アクティビティに基づ
いて継続的に更新 / カスタマイズされます。PAN-DB シード データベース
が 再 ダ ウ ン ロ ー ド さ れ る か、ま た は URL デ ー タ ベ ー ス の ベ ン ダ ー が
PAN-DB から BrightCloud に変更されると、ローカルのカスタマイズされた
URL データベースはクリアされます。
454
URL フィルタリング
URL フィルタリング
PAN-DB 分類ワークフロー
コンポーネント
説明
クラウド サービス
PAN-DB クラウド サービスは、Amazon Web Services (AWS) を使用します。
AWS により、Palo Alto Networks ファイアウォールのシード データベース
のダウンロードおよび URL の検索のための分散型の高パフォーマンスお
よび安定した環境が提供され、通信は SSL を介して実行されます。AWS ク
ラウド システムでは PAN-DB 全体を保持しており、新しい URL が識別さ
れると更新されます。PAN-DB クラウド サービスでは、URL データベー
スのバージョンが一致しない場合、ファイアウォールのローカル URL
データベースを更新する自動化メカニズムをサポートしています。ファイ
アウォールは、クラウド サーバーに対してクエリを実行して URL を検索
するたびに、重要な更新も確認します。クラウド サーバーに対するクエ
リが 30 分以上ない場合、ファイアウォールはクラウド システムの更新を
確認します。
また、クラウド システムでは、URL カテゴリ変更要求を提出するメカニ
ズムを提供します。これは、test-a-site サービスを介して実行され、デバイ
ス(URL フィルタリング プロファイル セットアップ)から直接または、
Palo Alto Networks の『Test A Site』Web サイトで利用できます。また、[ ロ
グ詳細 ] セクションのファイアウォールの URL フィルタリング ログから直
接 URL 分類変更要求を提出することもできます。
管理プレーン (MP) の
URL キャッシュ
ファイアウォールで PAN-DB がアクティベーションされている場合、
PAN-DB クラウド サーバーの 1 つからシード データベースがダウンロード
され、ローカル キャッシュに初期入力が行われます。これは、検索パ
フォーマンス向上のために実行されます。各地域のシード データベース
にはその地域の上位の URL が含まれており、シード データベースの容量
(URL エントリの数)もデバイス プラットフォームに応じて異なりま
す。URL MP キャッシュは、8 時間ごと、ファイアウォールが再起動され
る前、またはクラウドがファイアウォール上の URL データベースのバー
ジョンをアップグレードするときに、ファイアウォールのローカル ドラ
イブに自動的に書き込まれます。ファイアウォールの再起動後は、ローカ
ル ドライブに保存されたファイルは MP キャッシュにロードされます。ま
た、キャッシュがいっぱいの場合に備えて、URL MP キャッシュでは、
LRU(least recently used: 最も使われていない)メカニズムが実装されてい
ます。キャッシュがいっぱいになると、最もアクセスの少ない URL は新
しい URL に置き換えられます。
デ ー タ プ レ ー ン (DP) の これは MP キャッシュの一部です。データプレーン (DP) に保存されてい
URL キャッシュ
るカスタマイズされたダイナミック URL データベースであり、URL 検索
のパフォーマンス向上のために使用されます。URL DP キャッシュはファ
イアウォールを再起動するたびにクリアされます。URL DP キャッシュに
保存されている URL 数は、ハードウェア プラットフォームおよび TRIE
に保存されている現在の URL(データ構造)に応じて異なります。ま
た、キャッシュがいっぱいの場合に備えて、DP キャッシュでは、LRU メ
カニズムが実装されています。キャッシュがいっぱいになると、最もアク
セスの少ない URL は新しい URL に置き換えられます。URL DP キャッ
シュのエントリは、指定期間の経過後、有効期限が切れます。管理者は、
この有効期限を変更することはできません。
URL フィルタリング
455
PAN-DB 分類ワークフロー
URL フィルタリング
PAN-DB URL 分類ワークフロー
ユーザーが URL へのアクセスを試行し、URL カテゴリを特定する必要がある場合は、ファイア
ウォールでは、一致が見つかるまで、その URL を以下のコンポーネントと順番に比較します。
URL クエリが URL DP キャッシュの期限切れのエントリに一致した場合、キャッシュは期限切
れのカテゴリで応答しますが、管理プレーンにも URL 分類クエリを送信します。これは、カテ
ゴリの変更頻度が低いことを想定して、DP での不要な遅延を回避するために行われます。同様
に、URL MP キャッシュでは、DP からの URL クエリが MP の期限切れのエントリに一致した場
合は、MP は DP に期限切れのカテゴリで応答し、クラウド サービスにも URL 分類要求を送信
します。クラウドから応答が得られると、ファイアウォールは DP に更新された応答を再送信
します。
新しい URL およびカテゴリが定義されるか、重要な更新が必要な場合は、クラウド データベー
スが更新されます。ファイアウォールがクラウドに対してクエリを実行して URL を検索するた
び、またはクラウドの検索が 30 分間実行されないとき、ファイアウォールのデータベースの
バージョンが比較され、一致しない場合は増分更新が実行されます。
456
URL フィルタリング
URL フィルタリング
URL フィルタリング ベンダーの有効化
URL フィルタリング ベンダーの有効化
ファイアウォールで URL フィルタリングを有効にするには、サポートされているいずれかの
「URL フィルタリング ベンダー」の URL フィルタリング ライセンスを購入してアクティベー
ションし、データベースをインストールする必要があります。ファイアウォールで URL フィル
タリング ライセンスを有効にして、データベースをセットアップするには、以下のいずれかの
手順を実行します。1 つのファイアウォールでアクティブにできる URL フィルタリング ライセ
ンスは 1 つのみです。
PAN-OS 6.0 以降では、Panorama によって管理されているファイアウォールで、Panorama で
設定されているのと同じ URL フィルタリング ベンダーを実行する必要はなくなりました。
PAN-OS 6.0 以降を実行しているファイアウォールの場合、ファイアウォールで有効になって
いるベンダーと Panorama で有効になっているベンダーが一致していないことが検出される
と、ファイアウォールによって、URL カテゴリや URL プロファイルが、有効になっているベ
ンダーと合致する(1 つ以上の)カテゴリに自動的に移行されます。異なるバージョンの
PAN-OS を実行しているファイアウォールを管理する場合に Panorama で URL フィルタリン
グを設定する方法は、『Panorama 管理者ガイド』を参照してください。
PAN-DB と BrightCloud の両方の有効なライセンスがある場合、PAN-DB ライセンスをアクティ
ベーションすると、自動的に BrightCloud ライセンスのアクティベーションが解除されます(逆
の場合も同様)。

PAN-DB URL Filtering の有効化

BrightCloud URL フィルタリングの有効化
URL フィルタリング
457
URL フィルタリング ベンダーの有効化
URL フィルタリング
PAN-DB URL Filtering の有効化
PAN-DB URL Filtering の有効化
ステップ 1
PAN-DB URL Filtering ライセン 1.
スを取得してインストール
し、このライセンスがインス
トールされていることを確認
します。
ライセンスの有効期限が
切れても、PAN-DB URL
Filtering は、引き続きデー 2.
タプレーン キャッシュ
および管理プレーン
キャッシュに存在する
URL カテゴリ情報に基づ
い て 機 能 し ま す。た だ
し、URL クラウド検索お
よびその他のクラウド
ベースの更新は、有効な
ライセンスがインストー
ルされるまで機能しま
せん。
ステップ 2
初期シード データベースをダ 1.
ウ ン ロ ー ド し、PAN-DB URL
Filtering をアクティベーション
します。
2.
ファイアウォールはイン
ターネットにアクセスで 3.
き る 必 要 が あ り ま す。
PAN-DB を手動でアップ
ロードすることはできま
せん。
458
[Device] > [ ライセンス ] の順に選択し、[ ライセンス
管理 ] セクションで、ライセンスのインストール方法
を選択します。
• 認証コードを使用した機能のアクティベーション
• ライセンス サーバーからライセンス キーを取得
• ライセンス キーの手動アップロード
ライセンスをインストールしたら、[PAN-DB URL Filtering]
セクションの [ 有効期限 ] フィールドに有効な日付が
表示されていることを確認します。
[PAN-DB URL Filtering] セクションの [ ダウンロードの
状態 ] フィールドで、[ 今すぐダウンロード ] をクリッ
クします。
地域(北アメリカ、ヨーロッパ、APAC、日本)を選択
し、[OK] をクリックしてダウンロードを開始します。
ダウンロードが完了したら、[ アクティベーション ] を
クリックします。
PAN-DB がすでにアクティブな URL フィルタリ
ング ベンダーであるときに [再ダウンロード] を
クリックすると、データプレーンと管理プレー
ンのキャッシュがクリアされて、新しいシード
データベースのコンテンツで置き換えられるこ
とにより、PAN-DB が再アクティベーションさ
れます。ユーザー アクティビティに基づいてこ
れまでファイアウォールを通過してきた Web ト
ラフィックに基づいてカスタマイズされている
キャッシュを失うことになるため、必要時以外
はこの操作を行わないでください。
URL フィルタリング
URL フィルタリング
URL フィルタリング ベンダーの有効化
PAN-DB URL Filtering の有効化(続き)
ステップ 3
アプリケーションおよび脅威の 1.
ダイナミック更新をダウンロー 2.
ドするようにファイアウォール
をスケジュールします。
アンチウイルス、アプリ
ケーションおよび脅威を
含むコンテンツの更新を
受信するには、脅威防御
ライセンスが必要です。
[Device] > [ ダイナミック更新 ] の順に選択します。
[ アプリケーションおよび脅威 ] セクションの [ スケ
ジュール] フィールドで、[なし ] リンクをクリックし、
定期的な更新をスケジュールします。
ファイアウォールからインターネットに直接ア
クセスできる場合、ダイナミック更新のみをス
ケジュールできます。セクションで更新がすで
にスケジュールされている場合、リンク テキス
トにスケジュール設定が表示されます。
[ アプリケーションおよび脅威 ] の更新には、URL フィ
ルタリング プロファイル([Objects] > [ セキュリティ
プロファイル ] > [URL フィルタリング ])の [ セーフ
サーチを適用 ] オプションに関連する URL フィルタリ
ングの更新が含まれている可能性があります。たとえ
ば、Palo Alto Networks が新しい検索プロバイダのサ
ポートを追加した場合や、既存のベンダーのセーフ
サーチ設定を検出するために使用する方法が変わった
場合は、[ アプリケーションおよび脅威 ] の更新にその
更新が含まれています。
URL フィルタリング
459
URL フィルタリング ベンダーの有効化
URL フィルタリング
BrightCloud URL フィルタリングの有効化
BrightCloud URL フィルタリングの有効化
ステップ 1
BrightCloud URL フィルタリング 1.
ライセンスを取得してインス
トールし、このライセンスが
インストールされていること
を確認します。
BrightCloud にはライセン
スの有効期限が切れた場
合に、すべてのカテゴリ 2.
を許可またはブロックす
るオプションが URL フィ
ルタリング プロファイル
([Objects] > [ セキュリ
ティ プロファイル] > [URL
フィルタリング ])にあり
ます。
460
[Device] > [ ライセンス ] の順に選択し、[ ライセンス
管理 ] セクションで、ライセンスのインストール方法
を選択します。
• 認証コードを使用した機能のアクティベーション
• ライセンス サーバーからライセンス キーを取得
• ライセンス キーの手動アップロード
ライセンスをインストールしたら、[BrightCloud URL
フィルタリング ] セクションの [ 有効期限 ] フィールド
に有効な日付が表示されていることを確認します。
URL フィルタリング
URL フィルタリング
URL フィルタリング ベンダーの有効化
BrightCloud URL フィルタリングの有効化(続き)
ステップ 2
BrightCloud データベースをイン インターネットに直接アクセスできるファイアウォール
ストールします。
[Device] > [ ライセンス ] ページにある [BrightCloud URL フィ
これを行う方法は、ファイア ルタリング ] セクションの [ アクティブ ] フィールドで、
ウォールからインターネット [ アクティベーション ] リンクをクリックし、BrightCloud デー
に直接アクセスできるかどう タベースをインストールします。この操作により、シス
テムのリセットが自動的に開始されます。
かによって異なります。
インターネットに直接アクセスできないファイアウォール
1. インターネットにアクセスできるホストに BrightCloud
データベースをダウンロードします。ファイアウォー
ルはそのホストにアクセスできる必要があります。
a. インターネットにアクセスできるホストで、Palo Alto
サポート Web サイト『https://support.paloaltonetworks.com』
に移動して、ログインします。
b. [ リソース ] セクションで、[ ダイナミック更新 ] を
クリックします。
c. [BrightCloud データベース ] セクションで、[ ダウン
ロード ] をクリックし、ファイルをホストに保存し
ます。
2.
データベースをファイアウォールにアップロードし
ます。
a. ファイアウォールにログインし、[Device] > [ダイナ
ミック更新 ] の順に選択して、[ アップロード ] をク
リックします。
b. [タイプ] で、[URL フィルタリング] を選択します。
c. ホストのファイルへのパスを入力するか、[参照] を
クリックしてファイルを見つけ、[OK] をクリック
します。[ 状態 ] が [ 完了 ] となっている場合、[ 閉じ
る ] をクリックします。
3.
データベースをインストールします。
a. [Device] > [ ダイナミック更新 ] ページで、[ ファイ
ルからインストール ] をクリックします。
b. [タイプ] で、[URL フィルタリング] を選択します。
アップロードしたファイルがファイアウォールに
よって自動的に選択されます。
c. [OK] をクリックし、結果が [ 成功 ] になっている場
合、[ 閉じる ] をクリックします。
ステップ 3
ローカル BrightCloud データベー 1.
スでカテゴリを利用できない 2.
場合は、URL を動的に分類す
るためにクラウド検索を有効
にします。
ファイアウォール CLI にアクセスします。
以下の CLI コマンドを入力してダイナミック URL フィ
ルタリングを有効にします。
configure
set deviceconfig setting url dynamic-url yes
commit
URL フィルタリング
461
URL フィルタリング ベンダーの有効化
URL フィルタリング
BrightCloud URL フィルタリングの有効化(続き)
ステップ 4
アプリケーションおよび脅威 1.
シグネチャと URL フィルタリ 2.
ングのダイナミック更新をダ
ウンロードするようにファイ
アウォールをスケジュールし
3.
ます。
ファイアウォールからインター
ネットに直接アクセスできる場
合、ダイナミック更新のみをス
ケジュールできます。
[Device] > [ ダイナミック更新 ] の順に選択します。
[ アプリケーションおよび脅威 ] セクションの [ スケ
ジュール ] フィールドで、[ なし ] リンクをクリック
し、定期的な更新をスケジュールします。
[URL フィルタリング ] セクションの [ スケジュール ]
フィールドで、[ なし ] リンクをクリックし、定期的な
更新をスケジュールします。
セクションで更新がすでにスケジュールされて
いる場合、リンク テキストにスケジュール設定
が表示されます。
[ アプリケーションおよび脅威 ]
の更新には、URL フィルタリ
ング プロファイルの [ セーフ
サーチを適用 ] オプションに関
連する URL フィルタリングの
更新が含まれている可能性が
あります。たとえば、Palo Alto
Networks が新しい検索プロバ
イダのサポートを追加した場
合や、既存のベンダーのセー
フ サーチ設定を検出するため
に使用する方法が変わった場
合は、[ アプリケーションおよ
び脅威 ] の更新にその更新が含
まれています。
BrightCloud の更新には、ファイ
アウォール ドライブに保存さ
れている約 2000 万の Web サイ
トのデータベースが含まれて
います。データベースの更新
を受信するように URL フィル
タリングの更新をスケジュー
ルする必要があります。
アンチウイルス、アプリ
ケーションおよび脅威を
含むコンテンツの更新を
受信するには、脅威防御
ライセンスが必要です。
462
URL フィルタリング
URL フィルタリング
URL フィルタリング ポリシーの要件の決定
URL フィルタリング ポリシーの要件の決定
組織で URL フィルタリングをデプロイする場合、ほとんどのカテゴリでアラートを送信する
パッシブ URL フィルタリング プロファイルから開始することをお勧めします。このアラート
アクションを設定した後、ユーザーの Web アクティビティを数日間モニターして、Web トラ
フィックのパターンを特定できます。これにより、制御する必要のある Web サイトおよび Web
サイト カテゴリを判断できます。
その後の手順で、脅威になりやすいサイトにブロックを設定し、その他のカテゴリにアラート
を設定します。これにより、すべての Web サイトのトラフィックがログに記録されます。この
場合、大容量のログ ファイルが作成される可能性があります。そのため、この設定は、ユー
ザーがアクセスする Web サイトのタイプを特定するための初期モニタリングの場合に実行する
ことをお勧めします。組織で許可しているカテゴリを特定したら、これらのカテゴリに許可を
設定します。これにより、ログは生成されなくなります。また、URL フィルタリング プロファ
イルで [ コンテナ ページのみロギング ] オプションを有効にすると、カテゴリに一致するメイン
ページのみがログに記録され、コンテナ ページ内にロードされる可能性のある後続のページ /
カテゴリは記録されないため、URL フィルタリング ログを削減できます。
パッシブ URL フィルタリング プロファイルの設定および適用
ステップ 1
新しい URL フィルタリング プ 1.
ロファイルを作成します。
[Objects] > [ セキュリティ プロファイル ] > [URL フィ
ルタリング ] の順に選択します。
2.
デフォルト プロファイルを選択し、[コピー] をクリッ
クします。新しいプロファイルには default-1 という
名前が付けられます。
3.
default-1 プロファイルを選択して、名前を変更します。
たとえば、URL-Monitoring と名前を変更します。
URL フィルタリング
463
URL フィルタリング ポリシーの要件の決定
URL フィルタリング
パッシブ URL フィルタリング プロファイルの設定および適用(続き)
ステップ 2
ブ ロ ッ ク 状 態 を 維 持 す る 1.
threat-prone カ テ ゴ リ を 除 き、
すべてのカテゴリのアクショ 2.
ンを [alert] に設定します。
Windows システムからカ
テゴリ リストの項目を
す べ て 選 択 す る に は、
最初のカテゴリをク
リ ッ ク し て、Shift キ ー
を 押 し た 状 態 で、最 後
のカテゴリをクリック
し ま す。こ の 操 作 に よ
りすべてのカテゴリが
選択されます。Ctrl キー
を押した状態で、選択解 3.
除する項目をクリックし
ま す。Mac で は、Shift
キーとコマンド キーを
使用して同じ操作を実行
4.
します。また、すべての
カテゴリをアラートに設
定し、推奨カテゴリを手
動でブロックに戻すこと
もできます。
ステップ 3
ユーザーの Web トラフィックを 1.
許可するセキュリティ ポリシー
ルールに URL フィルタリング 2.
プロファイルを適用します。
3.
すべての URL カテゴリをリストするセクションで、す
べてのカテゴリを選択します。
[ アクション ] 列のヘッダーの右にマウスを重ね、下向
き矢印を選択して、[ 選択したアクションの設定 ] を選
択し、[alert] を選択します。
脅 威 に な り や す い サ イ ト を ブ ロ ッ ク す る に は、
abused-drugs、adult、gambling、hacking、malware、
phishing、questionable、weapons のカテゴリを選択し、
アクションを [block] に設定します。
[OK] をクリックしてプロファイルを保存します。
[Policies] > [ セキュリティ] の順に選択し、適切なセ
キュリティ ポリシーを選択して変更します。
[ アクション ] タブを選択して、[ プロファイル設定 ] セ
クションで、[URL フィルタリング ] のドロップダウン
をクリックし、新しいプロファイルを選択します。
[OK] をクリックして保存します。
ステップ 4
設定を保存します。
[ コミット ] をクリックします。
ステップ 5
URL フィルタリング ログを表
示して、ユーザーがアクセス
しているすべての Web サイト
のカテゴリを特定します。こ
の例では、一部のカテゴリが
[block] に 設 定 さ れ て い る た
め、それらのカテゴリはログ
にも表示されます。
[Monitor] > [ ログ ] > [URL フィルタリング ] の順に選択し
ます。アクションが [allow] 以外に設定されているカテゴ
リに含まれる URL フィルタリング データベースに存在す
るすべての Web サイトでログ エントリが作成されます。
ログの表示およびレポートの生
成の詳細は、「Web アクティビ
ティのモニター」を参照してく
ださい。
464
URL フィルタリング
URL フィルタリング
Web アクティビティのモニター
Web アクティビティのモニター
URL フィルタリング ログおよびレポートには、[alert]、[block]、[continue]、[override] に設
定されている URL カテゴリのすべてのユーザーの Web アクティビティが表示されます。ログを
モニターすることにより、Web アクセス ポリシーを特定するためのユーザー ベースの Web アク
ティビティをより詳しく理解することができます。
以下のトピックでは、Web アクティビティをモニターする方法を説明します。

URL フィルタリング ログの解釈

ACC を使用した Web アクティビティのモニター

URL フィルタリング レポートの表示

カスタム URL フィルタリング レポートの設定
URL フィルタリング
465
Web アクティビティのモニター
URL フィルタリング
URL フィルタリング ログの解釈
以下に、URL フィルタリング ログ([Monitor] > [ ログ ] > [URL フィルタリング ])の例を示し
ます。

アラート ログ — このログでは、カテゴリは shopping であり、アクションは [alert] です。

ブロック ログ — このログでは、カテゴリ alcohol-and-tobacco がブロックに設定されています。
そのため、アクションは block-url であり、Web サイトがブロックされていることを示す応答
ページが表示されます。

暗号化された Web サイトのアラート ログ — この例では、カテゴリは social-networking であり、
アプリケーションは facebook-base です。facebook-base は、Facebook Web サイトおよびその他
の Facebook アプリケーションにアクセスするために必要です。faceboook.com は常に SSL を使
用して暗号化されているため、トラフィックはファイアウォールによって復号化されていま
す。このため、必要に応じて Web サイトを認識および制御することができます。
また、送信元ゾーンと宛先ゾーン、コンテンツ タイプ、およびパケット キャプチャを実行する
かどうかなどの複数の列を URL フィルタリングのログ ビューに追加することもできます。表示
する列を変更するには、任意の列の下向き矢印をクリックし、表示する属性を選択します。
466
URL フィルタリング
URL フィルタリング
Web アクティビティのモニター
特定の URL の完全なログの詳細またはカテゴリ変更要求、あるいはその両方を表示するには、
ログの最初の列のログ詳細アイコンをクリックします。
ACC を使用した Web アクティビティのモニター
環境でアクセスされている使用頻度の高いカテゴリをすばやく確認するには、ACC タブを選択
して、[URL フィルタリング ] セクションまでスクロール ダウンします。このウィンドウの上側
では、期間や [ ソート基準 ] オプションを設定したり、表示する結果数を定義したりできます。
ここには、ユーザーのアクセスが多い順にソートされたカテゴリが表示されます。最もアクセ
スの多いカテゴリがリストの一番上に表示されています。この例では、computer-and-internet-info
が最もアクセスの多いカテゴリであり、private-ip-addresses(内部サーバー)、search-engines と続き
ます。右上の統計情報のドロップダウンで、[URL カテゴリ ]、[ ブロックされた URL カテゴリ ]、
[ ブロックされた URL] ごとのリストを選択することもできます。
URL フィルタリング
467
Web アクティビティのモニター
URL フィルタリング
URL フィルタリング レポートの表示
デフォルトの URL フィルタリング レポートを表示するには、[Monitor] > [ レポート ] を選択し
て、[URL フィルタリング レポート ] セクションで、レポートの 1 つを選択します。[URL カテゴ
リ ]、[URL ユーザー]、アクセスされた [Web サイト ]、[ ブロックされたカテゴリ ] などに基づい
てレポートを生成することができます。レポートは 24 時間が基準となっており、カレンダー セ
クションで特定の日を選択するとレポートの対象となる日が選択されます。レポートを PDF、
CSV、または XML にエクスポートすることもできます。
468
URL フィルタリング
URL フィルタリング
Web アクティビティのモニター
ユーザー アクティビティ レポートの表示
このレポートでは、ユーザー アクティビティ、グループ アクティビティを迅速に表示し、閲覧
時のアクティビティを表示するオプションを提供します。
ユーザー アクティビティ レポートの生成
ステップ 1
ユーザー アクティビティ レ 1.
ポートの設定。
[Monitor] > [PDF レポート ] > [ ユーザー アクティビティ
レポート ] の順に選択します。
2.
レポートの [ 名前 ] を入力し、レポートのタイプを選択
します。特定の人物のレポートを生成する場合は
[ ユーザー] を選択し、ユーザー グループのレポートを
生成する場合は、[ グループ ] を選択します。
ユーザー名またはグループ名を選択するために
は「User-ID の有効化」を行う必要があります。
User-ID が設定されていない場合は、[ ユーザー]
タイプを選択して、ユーザーのコンピュータの
IP アドレスを入力します。
URL フィルタリング
3.
ユーザー レポートのユーザー名または IP アドレスを
入力するか、ユーザー グループ レポートのグループ名
を入力します。
4.
[Time Period] を選択します。既存の期間または、[ カス
タム ] を選択できます。
5.
閲覧情報をレポートに表示できるように [Include Detailed
Browsing] チェックボックスをオンにします。
469
Web アクティビティのモニター
URL フィルタリング
ユーザー アクティビティ レポートの生成(続き)
ステップ 2
ユーザー アクティビティ レポー 1.
トを実行して、レポートをダウ 2.
ンロードします。
3.
[ 今すぐ実行 ] をクリックします。
レポートの生成後、[ ユーザー アクティビティ レポート
のダウンロード ] リンクをクリックします。
レポートをダウンロードした後、[キャンセル] をクリッ
クし、[OK] をクリックしてレポートを保存します。
ステップ 3
ダウンロードされた PDF ファイルを開いて、ユーザー アクティビティ レポートを確認しま
す。レポートの上部には、以下のような目次が含まれています。
ステップ 4
目次の項目をクリックして、詳細を表示します。たとえば、[URL カテゴリ別トラフィック
サマリー] をクリックして、選択されたユーザーまたはグループの統計情報を表示します。
470
URL フィルタリング
URL フィルタリング
Web アクティビティのモニター
カスタム URL フィルタリング レポートの設定
スケジュール可能な詳細レポートを生成するには、カスタム レポートを設定し、すべての使用
可能な URL フィルタリング ログ フィールドのリストから選択します。
カスタム URL フィルタリング レポートの設定
ステップ 1
ステップ 2
新しいカスタム レポートを追加 1.
します。
[Monitor] > [カスタム レポートの管理 ] を選択して、
[ 追加 ] をクリックします。
2.
レポートの [ 名前 ](My-URL-Custom-Report など)を入
力します。
3.
[ データベース ] ドロップダウンで、[URL Log] を選択
します。
レポート オプションを設定し 1.
ます。
2.
[期間] ドロップダウンを選択して、範囲を選択します。
3.
(任意)レポートをソートおよびグループ分類する方
法をカスタマイズするには、[ソート基準] を選択して、
表示する項目数([トップ 25] など)を選択し、[グルー
プ化基準 ] を選択し、[Category] などのオプションを
選択してから、多くのグループを定義する方法を選択
します。
[ 使用可能な列 ] リストで、レポートに含めるフィール
ドを選択します。以下の列は、通常、URL レポートで
使用します。
• アクション
• Category
• Destination Country
• Source User
• URL
URL フィルタリング
471
Web アクティビティのモニター
URL フィルタリング
カスタム URL フィルタリング レポートの設定(続き)
ステップ 3
ステップ 4
472
レポートを実行して結果を確 1.
認します。満足な結果が得ら
れた場合は、レポートが自動 2.
的に実行されるようにスケ
ジュールを設定します。
設定を保存します。
新しいタブに表示されるレポートをすぐに生成するに
は、今すぐ実行アイコンをクリックします。
(任意)レポートを 1 日に 1 回実行するには、この [ ス
ケジュール設定 ] チェックボックスをオンにします。
直近の 24 時間の Web アクティビティの詳細に関する日
次レポートが作成されます。レポートにアクセスする
には、[Monitor] > [ レポート ] の順に選択し、右列の [ カ
スタム レポート ] を展開して、レポートを選択します。
[ コミット ] をクリックします。
URL フィルタリング
URL フィルタリング
URL フィルタリングの設定
URL フィルタリングの設定
「URL フィルタリング ポリシーの要件の決定」を行うと、ユーザーがアクセスしている Web サ
イトおよび Web サイトのカテゴリのタイプについて基本的な情報を把握できます。この情報に
より、カスタム URL フィルタリング プロファイルを作成し、Web アクセスを許可するセキュリ
ティ ポリシー ルールに関連付ける準備が整います。
Web サイト制御の設定
ステップ 1
URL フィルタリング プロファ 1.
イ ル を 作 成 す る か、既 存 の
URL フィルタリング プロファ
イルを選択します。
デフォルトの URL フィ
ルタリング プロファイ 2.
ル で は、リ ス ク が 高
く、脅 威 に な り や す い
コンテンツがブロック
さ れ る た め、新 し い プ
ロファイルを作成する
の で は な く、こ の プ ロ
ファイルをコピーし
て、こ れ ら の デ フ ォ ル
ト設定を保持すること
をお勧めします。
ステップ 2
[Objects] > [ セキュリティ プロファイル ] > [URL フィ
ルタリング ] の順に選択します。
デフォルト プロファイルを選択し、[コピー] をクリッ
クします。新しいプロファイルには default-1 という名
前が付けられます。
新しいプロファイルを選択して、名前を変更します。
Web コンテンツへのアクセスを 以下のように、[ カテゴリ ] タブで、可視化または制御す
制御する方法を定義します。
るカテゴリごとに [ アクション ] 列から値を選択します。
• トラフィックのカテゴリは問題とならない場合(つま
り、ブロックもログへの記録もしない場合)、[allow]
を選択します。
• カテゴリ内のサイトへのトラフィックを可視化する場
合は、[alert] を選択します。
• カテゴリに一致するトラフィックへのアクセスを拒否
し、ブロックされたトラフィックのロギングを有効に
するには、[block] を選択します。
• 疑 わ しい サイ ト への アク セ スを 続行 す る場 合、ユ ー
ザーに [ 続行 ] をクリックするように要求するには、
[continue] を選択します。
• ユーザーが設定されたパスワードを入力した場合にの
みアクセスを許可するには、[override] を選択します。
こ の設 定の詳 細は、「URL 管 理オー バーラ イドの 設
定」を参照してください。
URL フィルタリング
473
URL フィルタリングの設定
URL フィルタリング
Web サイト制御の設定(続き)
ステップ 3
常にブロックまたは許可する 1.
必要のある Web サイトを定義
します。
[URL フィルタリング プロファイル ] で、[ ブロック リ
スト ] に URL または IP アドレスを入力して、以下の
アクションを選択します。
たとえば、URL フィルタリン
グ ログを削減するためには、
許可リストに会社の Web サイ
トを追加して、それらのサイ
トのログが生成されないよう
にします。または、過剰に使用
されている Web サイトや業務に
まったく関係がない Web サイト
がある場合は、それをブロック 2.
リストに追加できます。
• block — URL がブロックされます。
ブロック リストの項目は、関
連付けられたカテゴリのアク 3.
ションにかかわらず、常にブ
ロ ッ ク さ れ、許 可 リ ス ト の
URL は常に許可されます。
• continue — Web ページへのアクセスを続行する場
合、[ 続行 ] をクリックするように要求されます。
• override — Web サイトへのアクセスを続行するため
のパスワードの入力が要求されます。
• alert — Web サイトにアクセスできますが、URL ロ
グにアラート ログ エントリが追加されます。
[ 許可リスト ] で、常に許可する必要のある IP アドレ
スまたは URL を入力します。各行は改行で区切る必
要があります。
(任意)「セーフ サーチの適用の有効化」。
正しいフォーマットおよびワイ
ルドカードの使用の詳細は、
「ブロック リストと許可リス
ト」を参照してください。
ステップ 4
「コンテナ ページ」のみがログ デフォルトでは、[コンテナ ページのみロギング] オプショ
に記録されるように設定を変 ンが有効になっており、カテゴリに一致するメイン ペー
更します。
ジのみがログに記録されます。コンテナ ページ内にロー
ドされる可能性のある後続のページ / カテゴリは記録され
ません。すべてのページ / カテゴリのロギングを有効にす
るには、[ コンテナ ページのみロギング ] チェック ボック
スをオフにします。
ステップ 5
サポートされている 1 つ以上の
HTTP ヘッダー フィールドで
「HTTP ヘッダのロギング」を
有効にします。
HTTP ヘッダー フィールドをログに記録するには、ログに
記録する以下のフィールドを 1 つ以上選択します。
• ユーザー エージェント
• Referer
• X-Forwarded-For
ステップ 6
474
URL フィルタリング プロファイ [OK] をクリックします。
ルを保存します。
URL フィルタリング
URL フィルタリング
URL フィルタリングの設定
Web サイト制御の設定(続き)
ステップ 7
ステップ 8
(任意)入力イ ンタ ーフェ イ 1.
ス(ユーザーのトラフィック
を最初に受信するインター
フェイス)で応答ページを有 2.
効にする必要があります。
[Network] > [ ネットワーク プロファイル ] > [ インター
フェイス管理 ] の順に選択し、新しいプロファイルを
追加するか、既存のプロファイルを編集します。
こ の オ プ シ ョ ン は、任 意 の 3.
URL カテゴリで [continue] ま 4.
たは [override] アクションを
有効にする場合に必要になり
ます。
5.
また、「URL フィルタリ
ング応答ページのカスタ 6.
マイズ」を行うこともで
きます。
[OK] をクリックしてプロファイルを保存します。
設定を保存します。
[ 応答ページ ] チェックボックスをオンにして、有効に
します。
[Network] > [ インターフェイス ] の順に選択し、入力
インターフェイスであるレイヤー 3 インターフェイス
または VLAN インターフェイスを編集します。
[ 詳細 ] タブで、[ 応答ページ ] オプションが有効になって
いるインターフェイス管理プロファイルを選択します。
[OK] をクリックして、インターフェイス設定を保存し
ます。
[ コミット ] をクリックします。
URL フ ィ ル タ リ ン グ 設
定をテストするには、ブ
ロックまたは続行に設定
されているカテゴリの
Web サイトにアクセスし
て、適切なアクションが
実行されるかどうかを確
認します。
URL フィルタリング
475
URL フィルタリング応答ページのカスタマイズ
URL フィルタリング
URL フィルタリング応答ページのカスタマイズ
ファイアウォールには、「URL フィルタリング応答ページ」のいずれかのブロック アクション
(block、continue、または override)で設定されたカテゴリのサイトをユーザーが閲覧しようと
したときや「URL フィルタリング プロファイル」で検索の試行をブロックするときにデフォル
トで表示される事前定義済みの 3 つの「セーフ サーチを適用」が用意されています。ただし、
以下のように、コーポレート ブランディング、利用規定、内部リソースへのリンクを使用して
独自のカスタム応答ページを作成できます。
URL フィルタリング応答ページのカスタマイズ
ステップ 1
ステップ 2
デフォルト応答ページをエク 1.
スポートします。
2.
[Device] > [ 応答ページ ] の順に選択します。
変更する URL フィルタリング応答ページのリンクを選
択します。
3.
応答ページ([ 事前定義済み ] または [ 共有 ])をクリッ
クして、[エクスポート ] リンクをクリックし、そのファ
イルをデスクトップに保存します。
エクスポートしたページを編 1.
集します。
任意の HTML テキスト エディタを使用して、ページを
編集します。
• ブロックされた特定のユーザー、URL、またはカテ
ゴリに関するカスタム情報を応答ページに表示する
場合、サポートされている 1 つ以上の「 URL フィル
タリング応答ページの変数」を追加します。
• カスタム イメージ(企業のロゴなど)、サウンド、
スタイル シート、または別の URL(Web の利用規定
の詳細が記載されたドキュメントなど)へのリンク
を含める場合、サポートされている 1 つ以上の「応
答ページのリファレンス」を追加します。
2.
ステップ 3
476
カスタマイズした応答ページ 1.
をインポートします。
2.
編集したページを新しいファイル名で保存します。
ページが UTF-8 エンコーディングのままであることを
確認してください。たとえば、メモ帳の [ 名前を付け
て保存 ] ダイアログで、[ 文字コード ] ドロップダウン
から [UTF-8] を選択すします。
[Device] > [ 応答ページ ] の順に選択します。
編集した URL フィルタリング応答ページに対応するリ
ンクを選択します。
3.
[ インポート ] をクリックし、[ インポート ファイル ]
フィールドにパスとファイル名を入力するか、[ 参照 ]
をクリックしてファイルを指定します。
4.
(任意)[宛先] ドロップダウンから、このログイン ペー
ジが使用される仮想システムを選択するか、すべての仮
想システムから利用できるように [共有] を選択します。
5.
[OK] をクリックしてファイルをインポートします。
URL フィルタリング
URL フィルタリング
URL フィルタリング応答ページのカスタマイズ
URL フィルタリング応答ページのカスタマイズ(続き)
ステップ 4
新 し い 応 答 ペ ー ジ を 保 存 し 変更を [ コミット ] します。
ます。
ステップ 5
新しい応答ページが表示され ブラウザから、応答ページをトリガーする URL に移動しま
ることを確認します。
す。たとえば、変更した URL フィルタリングおよびカテゴ
リ一致応答ページを表示するには、URL フィルタリング ポ
リシーが [block] に設定されている URL を閲覧します。
URL フィルタリング
477
URL 管理オーバーライドの設定
URL フィルタリング
URL 管理オーバーライドの設定
ブロックする URL カテゴリはあるが、必要に応じて特定のユーザーに閲覧を許可する場合もあ
ります。この場合、カテゴリ アクションを [override] に設定し、ファイアウォールの [ コンテ
ンツ ID] 設定で URL 管理オーバーライド パスワードを定義します。ユーザーがこのカテゴリを
閲覧しようとすると、サイトへのアクセスが許可される前に、オーバーライド パスワードの入
力が要求されます。URL 管理オーバーライドを設定するには、以下の手順を実行します。
URL 管理オーバーライドの設定
ステップ 1
URL 管理オーバーライド パス 1.
ワードを設定します。
[Device ] > [ セットアップ ] > [ コンテンツ ID] の順に
選択します。
2.
[URL 管理オーバーライド ] セクションで、[ 追加 ] を
クリックします。
3.
[ 場所 ] フィールドで、このパスワードを適用する仮想
システムを選択します。
4.
[ パスワード ] と [ パスワードの確認 ] を入力します。
5.
オーバーライドが設定されたサイトが HTTPS サイト
の場合に、ファイアウォールからユーザーに提供され
る [ サーバー証明書 ] を選択します。
6.
ユーザーにパスワードを要求する [ モード ] を選択し
ます。
• メッセージを表示しない — ファイアウォールは、
オーバーライドするように設定した URL カテゴリ
のサイト宛てのブラウザのトラフィックをインター
セプトし、元の宛先 URL を偽装して HTTP 401 を発
行し、パスワードを要求します。証明書が信頼され
ていない場合、クライアント ブラウザに証明書エ
ラーが表示されます。
• リダイレクト — ファイアウォールは、オーバーライ
ドするように設定した URL カテゴリへの HTTP ま
たは HTTPS トラフィックをインターセプトし、
オーバーライド パスワードを要求するために HTTP
302 リダイレクトを使用してファイアウォールのレ
イヤー 3 インターフェイスに要求をリダイレクトし
ます。このオプションを選択する場合、トラフィッ
クをリダイレクトする [ アドレス ](IP アドレスま
たは DNS ホスト名)を入力する必要があります。
7.
478
[OK] をクリックします。
URL フィルタリング
URL フィルタリング
URL 管理オーバーライドの設定
URL 管理オーバーライドの設定(続き)
ステップ 2
ステップ 3
(任意)カスタム オーバーライ 1.
ド期間を設定します。
2.
[URL フィルタリング ] セクションを編集します。
ユーザーがオーバーライド パスワードを正しく入力し
たカテゴリのサイトを閲覧できる時間を変更するに
は、[URL 管理オーバーライド タイムアウト] フィール
ドに新しい値を入力します。デフォルトでは、ユー
ザーがカテゴリのサイトにアクセスできる時間は
15 分間です。この時間を経過すると、パスワードを
再入力する必要があります。
3.
ユーザーがオーバーライド パスワードの入力に 3 回失
敗した場合に、オーバーライドするように設定された
サイトにアクセスできなくなる時間を変更するには、
[URL 管理ロックアウト タイムアウト] フィールドに新
しい値を入力します。デフォルトでは、ユーザーは
30 分間ブロックされます。
4.
[OK] をクリックします。
(リダイレクト モードのみ) 1.
オーバーライド用に設定したカ
テゴリのサイトに Web 要求をリ
ダイレクトするレイヤー 3 イン
ターフェイスを作成します。
管理プロファイルを作成して、インターフェイスに
URL フィルタリングの続行とオーバーライド ページ
の応答ページを表示できるようにします。
a. [Network] > [インターフェイス管理] の順に選択し、
[ 追加 ] をクリックします。
b. [ 名前 ] フィールドにプロファイル名を入力し、[ 応
答ページ ] を選択してから [OK] をクリックします。
2.
URL フィルタリング
レイヤー 3 インターフェイスを作成します。作成した管
理プロファイルが関連付けられていることを確認しま
す([Ethernet インターフェイス ] ダイアログの [ 詳細 ] >
[ その他の情報 ] タブ)。
479
URL 管理オーバーライドの設定
URL フィルタリング
URL 管理オーバーライドの設定(続き)
ステップ 4
ステップ 5
480
(リダイレクト モードのみ)証
明書エラーを表示せずにユー
ザーを透過的にリダイレクト
するには、オーバーライド用
に設定した URL カテゴリのサ
イトに Web 要求をリダイレク
トするインターフェイスの IP
アドレスに一致する証明書を
インストールします。自己署
名証明書を生成するか、外部
CA によって証明された証明書
をインポートできます。
自 己 署 名 証 明 書 を 使 用 す る に は、以 下 の と お り、ま ず
ルート CA の証明書を作成してから、その CA を使用して
URL 管理オーバーライドに使用する証明書に署名する必
要があります。
1. ルート CA 証明書を作成するには、[Device] > [ 証明書
の管理 ] > [ 証明書 ] > [ デバイス証明書 ] の順に選択
し、[ 生成 ] をクリックします。[ 証明書名 ] テキスト
ボックスに「RootCA」などの名前を入力します。[ 署名
者 ] フィールドの値を選択すると、その証明書が自己署
名証明書であることを示すため、この値は選択しない
でください。[ 認証局 ] チェックボックスがオンになっ
ていることを確認してから [生成] をクリックすると、
証明書が生成されます。
2.
URL 管理オーバーライドに使用する証明書を作成する
には、[ 生成 ] をクリックします。[ 証明書名 ] に名前
を入力し、インターフェイスの DNS ホスト名または
IP アドレスを [ 共通名 ] として入力します。[ 署名者 ]
フィールドで、前の手順で作成した CA を選択しま
す。IP アドレスの属性を追加し、override アクション
が設定されている URL カテゴリに Web 要求をリダイ
レクトするレイヤー 3 インターフェイスの IP アドレス
を指定します。
3.
証明書を [ 生成 ] します。
4.
クライアントが証明書を信頼するように設定するには、
[ デバイス証明書 ] タブで CA 証明書を選択し、[ エク
スポート ] をクリックします。次に、証明書を信頼され
たルート CA としてすべてのクライアント ブラウザに
インポートする必要があります。インポートはブラウ
ザで手動で設定するか、または証明書を Active Directory
のグループ ポリシー オブジェクト (GPO) の信頼され
たルートに追加します。
アクセスを有効にするために 1.
オーバーライド パスワードが
必要な URL カテゴリを指定し
ます。
[Objects] > [URL フィルタリング ] の順に選択し、既存
の URL フィルタリング プロファイルを選択するか、
新しい URL フィルタリング プロファイルを [ 追加 ] し
ます。
2.
[ カテゴリ ] タブで、パスワードを必要とする各カテゴ
リの [ アクション ] を [override] に設定します。
3.
URL フィルタリング プロファイルの残りのセクション
を完成させ、[OK] をクリックしてプロファイルを保
存します。
URL フィルタリング
URL フィルタリング
URL 管理オーバーライドの設定
URL 管理オーバーライドの設定(続き)
ステップ 6
ステップ 7
アクセスを続行するためのオー 1.
バーライド パスワードを要求
するサイトへのアクセスを許可 2.
するセキュリティ ポリシー
ルールに URL フィルタリング
プロファイルを適用します。
3.
設定を保存します。
URL フィルタリング
[Policies] > [ セキュリティ] の順に選択し、適切なセ
キュリティ ポリシーを選択して変更します。
[ アクション ] タブを選択して、[ プロファイル設定 ] セ
クションで、[URL フィルタリング ] のドロップダウン
をクリックし、プロファイルを選択します。
[OK] をクリックして保存します。
[ コミット ] をクリックします。
481
セーフ サーチの適用の有効化
URL フィルタリング
セーフ サーチの適用の有効化
多くの検索エンジンには、検索クエリ リターン トラフィックでアダルト画像やアダルト動画を
除外するセーフ サーチ設定が備わっています。Palo Alto Networks 次世代ファイアウォールに
「セーフ サーチを適用」を設定し、最も厳密なセーフ サーチ設定が検索結果で有効になってい
ないという事態を回避できます。
ファイアウォールでセーフ サーチを適用するには、以下の 2 つの方法があります。

厳密なセーフ サーチ設定を使用していない検索結果のブロック

透過的なセーフ サーチの適用の有効化
厳密なセーフ サーチ設定を使用していない検索結果のブロック
デフォルトでは、セーフ サーチの適用を有効にしている場合、ユーザーが最も厳密なセーフ
サーチ設定を有効にしないで検索を実行しようとすると、ファイアウォールで検索クエリ結果
がブロックされ、URL フィルタリング セーフ サーチのブロック ページが表示されます。この
ページには、対応する検索プロバイダの検索設定ページへのリンクがあるため、エンド ユー
ザーはセーフ サーチ設定を有効にできます。このデフォルトの方法を使用して、セーフ サーチ
を適用する場合、ポリシーをデプロイする前にエンド ユーザーにポリシーを伝える必要があり
ます。各検索プロバイダでセーフ サーチを実装する方法の詳細は、「表 : 検索プロバイダの
セーフ サーチ設定」を参照してください。デフォルトの URL フィルタリング セーフ サーチの
ブロック ページには、対応する検索プロバイダの検索設定へのリンクがあります。必要に応じ
て、「URL フィルタリング応答ページのカスタマイズ」を行うこともできます。
また、エンド ユーザーに透過的にセーフ サーチの適用を有効にするには、「透過的なセーフ
サーチの適用の有効化」を行うようにファイアウォールを設定します。
482
URL フィルタリング
URL フィルタリング
セーフ サーチの適用の有効化
セーフ サーチの適用の有効化
ステップ 1
URL フィルタリング プロファ 1.
イルでセーフ サーチの適用を
有効にします。
2.
[Objects] > [ セキュリティ プロファイル ] > [URL フィ
ルタリング ] の順に選択します。
3.
[ 設定 ] タブで、[ セーフ サーチを適用 ] チェック ボッ
クスをオンにして有効にします。
4.
(任意)ユーザーが特定の検索エンジンにしかアクセ
スできないようにします。
既存のプロファイルを選択して変更するか、デフォル
ト プロファイルをコピーして新しいプロファイルを作
成します。
a. [ カテゴリ ] タブで、[search-engines] カテゴリを
[block] に設定します。
b. ユーザーにアクセスを許可する各検索エンジンの
Web アドレスを [ 許可リスト ] テキスト ボックスに
入力します。たとえば、Google および Bing 検索へ
のアクセスのみをユーザーに許可する場合、以下の
ように入力します。
www.google.com
www.bing.com
5.
必要に応じて、その他の設定を指定します。
• 「Web コンテンツへのアクセスを制御する方法を定
義します。」
• 「常にブロックまたは許可する必要のある Web サ
イトを定義します。」
6.
ステップ 2
ステップ 3
Trust ゾーンのクライアントから 1.
インターネットへのトラフィッ
クを許可するセキュリティ ポリ
シー ルールに URL フィルタリ 2.
ング プロファイル追加します。
[OK] をクリックしてプロファイルを保存します。
[Policies] > [ セキュリティ] の順に選択し、セーフ サー
チの適用を有効にした URL フィルタリング プロファ
イルを適用するルールを選択します。
[アクション] タブで、[URL フィルタリング ] プロファ
イルを選択します。
3.
[OK] をクリックしてセキュリティ ポリシー ルールを
保存します。
SSL フォワード プロキシ復号化 1.
を有効にします。
「SSL フォワード プロキシの設定」を行うには、以下
大部分の検索エンジンでは検索 2.
結果が暗号化されるため、ファ
イアウォールで検索トラフィッ
クを調べてセーフ サーチ設定
を検出できるように、SSL フォ
ワード プロキシ復号化を有効
にする必要があります。
復号ポリシー ルールの [URL カテゴリ ] タブで、復号
化する以下のカテゴリを設定します。
• search-engines
URL フィルタリング
の手順を実行します。
• streaming-media
• internet-portals
483
セーフ サーチの適用の有効化
URL フィルタリング
セーフ サーチの適用の有効化(続き)
ステップ 4
(任意、ただし推奨)SSL 経由 1.
で 実 行 さ れ る Bing 検 索 ト ラ
フィックをブロックします。
Bing SSL 検索エンジンは、セー
フ サーチ設定に従わないため、
完全なセーフ サーチを適用す
るために、SSL 経由で実行され
るすべての Bing セッションを拒
否する必要があります。
Bing のカスタム URL カテゴリを追加します。
a. [Objects] > [ カスタム オブジェクト ] > [URL カテゴ
リ ] の順に選択し、カスタム カテゴリを [ 追加 ] し
ます。
b. カテゴリの [ 名前 ](EnableBingSafeSearch など)を入
力します。
c. 以下を [ サイト ] リストに [ 追加 ] します。
www.bing.com/images/*
www.bing.com/videos/*
d. [OK] をクリックしてカスタム URL カテゴリ オブジェ
クトを保存します。
2.
作成したカスタム カテゴリをブロックする別の URL
フィルタリング プロファイルを作成します。
a. [Objects] > [ セキュリティ プロファイル ] > [URL
フィルタリング ] の順に選択します。
b. 新しいプロファイルを [ 追加 ] し、分かりやすい [ 名
前 ] をつけます。
c. [ カテゴリ ] リストでカスタム カテゴリを見つけて、
[block] に設定します。
d. [OK] をクリックして、URL フィルタリング プロファ
イルを保存します。
3.
Bing SSL トラフィックをブロックするセキュリティ ポ
リシー ルールを追加します。
a. [Policies] > [ セキュリティ] の順に選択し、Trust ゾー
ンからインターネットへのトラフィックを許可する
ポリシー ルールを [ 追加 ] します。
b. [ アクション ] タブで、作成した URL フィルタリン
グ プロファイルを関連付け、カスタム Bing カテゴ
リをブロックします。
c. [ サービス /URL カテゴリ ] タブで、新しいサービス
を [ 追加 ] し、分かりやすい [ 名前 ](bingssl など)
をつけます。
d. [ プロトコル ] として [TCP] を選択し、[ 宛先ポート ]
を 443 に設定します。
e. [OK] をクリックしてルールを保存します。
f. [ 移動 ] オプションを使用して、セーフ サーチの適用
が有効になっている URL フィルタリング プロファ
イルが設定されたルールの下にこのルールがくるよ
うにします。
484
URL フィルタリング
URL フィルタリング
セーフ サーチの適用の有効化
セーフ サーチの適用の有効化(続き)
[ コミット ] をクリックします。
ステップ 5
設定を保存します。
ステップ 6
[ セーフ サーチを適用 ] 設定を 1.
確認します。
この確認手順は、ブロッ
ク ページを使用してセー
フ サーチを適用してい
る場合にのみ機能しま
す。透 過 的 な セ ー フ
サーチの適用を使用して 2.
い る 場 合、フ ァ イ ア
ウ ォ ー ル の ブ ロ ッ ク 3.
ページでは、クエリ文字
列のセーフ サーチ パラ
メータで URL が書き換
えられます。
URL フィルタリング
ファイアウォールの背後にあるコンピュータから、サ
ポートされているいずれかの検索プロバイダの厳密な
検 索 設 定 を 無 効 にし ま す。た と え ば、bing.com で、
Bing メニュー バーの設定アイコンをクリックします。
[ セーフサーチ ] オプションを [ 標準 ] または [ オフ ] に
設定し、[ 保存 ] をクリックします。
Bing 検索を実行し、検索結果ではなく、URL フィルタ
リング セーフ サーチのブロック ページが表示される
ことを確認します。
4.
ブロック ページのリンクを使用して、検索プロバイダ
の検索設定に移動し、セーフ サーチ設定を最も厳密な
設定(Bing の場合は [ 高レベル ])に戻し、[ 保存 ] を
クリックします。
5.
Bing から再度検索を実行し、ブロック ページではなく、
フィルタリングされた検索結果が表示されることを確
認します。
485
セーフ サーチの適用の有効化
URL フィルタリング
透過的なセーフ サーチの適用の有効化
最も厳密なセーフ サーチ フィルタで検索クエリ結果をフィルタリングするが、エンド ユー
ザーが手動で設定する必要がないようにする場合、以下のように透過的なセーフ サーチの適用
を有効にできます。この機能は、Google、Yahoo、および Bing 検索エンジンでのみサポートさ
れており、コンテンツ リリース バージョン 475 以降が必要です。
透過的なセーフ サーチの適用の有効化
ステップ 1
ステップ 1
ファイアウォールでコンテン 1.
ツ リリース バージョン 475 以 2.
降が実行されていることを確
認します。
3.
[Device] > [ ダイナミック更新 ] の順に選択します。
[ アプリケーションおよび脅威 ] セクションを確認し、
現在どの更新が実行されているのかを特定します。
ファイアウォールで必要なバージョン(またはそれ以
降)の更新が実行されていない場合、[ 今すぐチェック ]
をクリックし、使用可能な更新のリストを取得します。
4.
必要な更新を見つけて [ ダウンロード ] をクリックし
ます。
5.
ダウンロードが完了したら、[ インストール ] をクリッ
クします。
URL フィルタリング プロファ 1.
イルでセーフ サーチの適用を
有効にします。
2.
[Objects] > [ セキュリティ プロファイル ] > [URL フィ
ルタリング ] の順に選択します。
3.
[ 設定 ] タブで、[ セーフ サーチを適用 ] チェック ボッ
クスをオンにして有効にします。
4.
(任意)特定の検索エンジンへのアクセスのみを許可
します。
既存のプロファイルを選択して変更するか、デフォル
ト プロファイルをコピーして新しいプロファイルを作
成します。
a. [ カテゴリ ] タブで、[search-engines] カテゴリを
[block] に設定します。
b. ユーザーにアクセスを許可する各検索エンジンの
Web アドレスを [ 許可リスト ] テキスト ボックスに
入力します。たとえば、Google および Bing 検索へ
のアクセスのみをユーザーに許可する場合、以下の
ように入力します。
www.google.com
www.bing.com
5.
必要に応じて、その他の設定を指定します。
• 「Web コンテンツへのアクセスを制御する方法を定
義します。」
• 「常にブロックまたは許可する必要のある Web サイ
トを定義します。」
6.
486
[OK] をクリックしてプロファイルを保存します。
URL フィルタリング
URL フィルタリング
セーフ サーチの適用の有効化
透過的なセーフ サーチの適用の有効化(続き)
ステップ 2
Trust ゾーンのクライアントから 1.
インターネットへのトラ
フィックを許可するセキュリ
テ ィ ポ リ シ ー ル ー ル に URL 2.
フィルタリング プロファイル
追加します。
3.
URL フィルタリング
[Policies] > [ セキュリティ] の順に選択し、セーフ サー
チの適用を有効にした URL フィルタリング プロファ
イルを適用するルールを選択します。
[アクション] タブで、[URL フィルタリング ] プロファ
イルを選択します。
[OK] をクリックしてセキュリティ ポリシー ルールを
保存します。
487
セーフ サーチの適用の有効化
URL フィルタリング
透過的なセーフ サーチの適用の有効化(続き)
ステップ 3
(任意、ただし推奨)SSL 経由 1.
で 実 行 さ れ る Bing 検 索 ト ラ
フィックをブロックします。
Bing SSL 検索エンジンは、セー
フ サーチ設定に従わないた
め、完全なセーフ サーチを適
用するために、SSL 経由で実行
されるすべての Bing セッション
を拒否する必要があります。
Bing のカスタム URL カテゴリを追加します。
a. [Objects] > [ カスタム オブジェクト ] > [URL カテゴ
リ ] の順に選択し、カスタム カテゴリを [ 追加 ] し
ます。
b. カテゴリの [ 名前 ](EnableBingSafeSearch など)を入
力します。
c. 以下を [ サイト ] リストに [ 追加 ] します。
www.bing.com/images/*
www.bing.com/videos/*
d. [OK] をクリックしてカスタム URL カテゴリ オブジェ
クトを保存します。
2.
作成したカスタム カテゴリをブロックする別の URL
フィルタリング プロファイルを作成します。
a. [Objects] > [ セキュリティ プロファイル ] > [URL
フィルタリング ] の順に選択します。
b. 新しいプロファイルを [ 追加 ] し、分かりやすい [ 名
前 ] をつけます。
c. [ カテゴリ ] リストで、作成したカスタム カテゴリを
見つけ、[block] に設定します。
d. [OK] をクリックして、URL フィルタリング プロファ
イルを保存します。
3.
Bing SSL トラフィックをブロックするセキュリティ ポ
リシー ルールを [ 追加 ] します。
a. [Policies] > [セキュリティ] の順に選択し、Trust ゾー
ンからインターネットへのトラフィックを許可する
ポリシー ルールを [ 追加 ] します。
b. [ アクション ] タブで、作成した URL フィルタリン
グ プロファイルを関連付け、カスタム Bing カテゴ
リをブロックします。
c. [ サービス /URL カテゴリ ] タブで、新しいサービス
を [ 追加 ] し、分かりやすい [ 名前 ](bingssl など)
をつけます。
d. [ プロトコル ] として [TCP] を選択し、[ 宛先ポート ]
を 443 に設定します。
e. [OK] をクリックしてルールを保存します。
f. [ 移動 ] オプションを使用して、セーフ サーチの適用
が有効になっている URL フィルタリング プロファ
イルが設定されたルールの下にこのルールがくるよ
うにします。
488
URL フィルタリング
URL フィルタリング
セーフ サーチの適用の有効化
透過的なセーフ サーチの適用の有効化(続き)
ステップ 4
URL フィルタリング セーフ サー 1.
チのブロック ページを編集
し、既 存 の コ ー ド を、検 索 ク 2.
エリ URL を書き換えて透過的
にセーフ サーチを適用する
3.
Javascript に置き換えます。
[Device] > [ 応答ページ ] > [URL フィルタリング セー
フ サーチのブロック ページ ] の順に選択します。
[ 事前定義済み ] を選択し、[ エクスポート ] をクリッ
クして、ファイルをローカルに保存します。
HTML エディタを使用して、既存のすべてのブロック
ページ テキストを以下のテキストに置き換えて、ファ
イルを保存します。
<html>
<head>
<script>
var s_u = location.href;
//bing
b_n = s_u.search("www.bing.com/")
if (b_n > 0) {
s_u = s_u + "&adlt=strict";
}
//google
g_n = s_u.search("www.google.com/")
if (g_n > 0) {
s_u = s_u + "&safe=active";
}
// yahoo
y_n = s_u.search("search.yahoo.com")
if (y_n > 0) {
s_u = s_u.replace(/&vm=p/ig,"");
s_u = s_u + "&vm=r";
}
window.location.replace(s_u);
document.getElementById("java_off").innerHTML = 'You are
being redirected to a safer search!';
</script>
<title>Search Blocked</title>
<meta http-equiv="Content-Type" content="text/html;
charset=utf-8">
<META HTTP-EQUIV="PRAGMA" CONTENT="NO-CACHE">
<meta name="viewport" content="initial-scale=1.0">
</head>
<body bgcolor="#e7e8e9" id="java_off">
Your search is not safesearch enforced!
Please enable Java script in your browser.
</body>
</html>
ステップ 5
編集した URL フィルタリング 1.
セーフ サーチのブロック ペー
ジをファイアウォールにイン
ポートします。
2.
URL フィルタリング
編集したブロック ページをインポートするには、
[Device] > [ 応答ページ ] > [URL フィルタリング セー
フ サーチのブロック ページ ] の順に選択します。
[ インポート ] をクリックし、[ インポート ファイル ]
フィールドにパスとファイル名を入力するか、[ 参照 ]
をクリックしてファイルを指定します。
3.
(任意)[宛先] ドロップダウンから、このログイン ペー
ジが使用される仮想システムを選択するか、すべての
仮想システムから利用できるように [ 共有 ] を選択し
ます。
4.
[OK] をクリックしてファイルをインポートします。
489
セーフ サーチの適用の有効化
URL フィルタリング
透過的なセーフ サーチの適用の有効化(続き)
ステップ 6
ステップ 7
490
SSL フォワード プロキシ復号化 1.
を有効にします。
「SSL フォワード プロキシの設定」を行うには、以下
の手順を実行します。
大部分の検索エンジンでは検 2.
索結果が暗号化されるため、
ファイアウォールで検索トラ
フィックを調べてセーフ サー
チ設定を検出できるように、
SSL フォワード プロキシ復号化
を有効にする必要があります。
復号ポリシー ルールの [URL カテゴリ ] タブで、復号
化する以下のカテゴリを設定します。
• search-engines
設定を保存します。
• streaming-media
• internet-portals
[ コミット ] をクリックします。
URL フィルタリング
URL フィルタリング
URL フィルタリングのユース ケースの例
URL フィルタリングのユース ケースの例
以下のユース ケースでは App-ID を使用して、特定の Web ベースのアプリケーションのセット
を制御する方法と URL カテゴリをポリシーで一致条件として使用する方法について説明しま
す。App-ID を使用する場合、各 App-ID シグネチャには、アプリケーションを完全に制御する
ために必要な依存性があることを理解することが重要です。たとえば、Facebook アプリケー
ションでは、Facebook Web サイトにアクセスして、他の Facebook アプリケーションを制御する
ためには、App-ID facebook-base が必要です。たとえば、Facebook 電子メールを制御するように
ファイアウォールを設定するには、App-ID facebook-base および facebook-mail を許可する必要が
あり ま す。また、LinkedIn につ い て『Applipedia』(App-ID デ ータ ベ ース)を 検索 す ると、
LinkedIn メールを制御するためには、linkedin-base と linkedin-mail の両方の App-ID に同じアク
ションを適用する必要があることが分かります。App-ID シグネチャのアプリケーションの依存
性を特定するには、『Applipedia』にアクセスし、特定のアプリケーションを検索して、そのア
プリケーションをクリックして、詳細を確認します。
「User-ID」機能は、ユーザーおよびグループに基づくポリシーを実装するために必要です。
また、「復号」ポリシーは、SSL を使用して暗号化される Web サイトを特定および制御する
ために必要です。
このセクションは、以下の 2 つのユース ケースで構成されています。

ユース ケース : Web アクセスの制御

ユース ケース : ポリシーでの URL カテゴリの使用
URL フィルタリング
491
URL フィルタリングのユース ケースの例
URL フィルタリング
ユース ケース : Web アクセスの制御
URL フィルタリングを使用してユーザーの Web サイトのアクセスを制御する場合、特定の Web
サイトで細かい制御が必要な場合があります。このユース ケースでは、URL フィルタリング ポ
リシーがユーザーの Web アクセスを許可する セキュリティ ポリシーに適用され、social-networking
URL カテゴリはブロックに設定されているが、URL プロファイルの許可リストはソーシャル
ネットワーキング サイト Facebook を許可するように設定されています。Facebook をさらに制御
するため、会社の規定でも、マーケティング部門のみが Facebook にフルにアクセスすることが
可能で、社内の他のすべてのユーザーは Facebook の投稿の閲覧のみが可能であり、電子メー
ル、投稿、チャット、ファイル共有などのその他の Facebook アプリケーションを使用できない
と示されています。この要件を実現するためには、App-ID を使用して Facebook をより細かく制
御する必要があります。
最初のセキュリティ ルールで、マーケティング部門に Facebook Web サイトおよびすべての
Facebook アプリケーションへのアクセスを許可します。この許可ルールによりインターネット
へのアクセスも可能になるため、脅威防御プロファイルがこのルールに適用されます。した
がって、ポリシーに一致するトラフィックに脅威を確認するためのスキャンが実行されます。
これは、許可ルールが処理の最後であり、トラフィックに一致がある場合でも他のルールが引
き続き確認されることがないため重要です。
Web アクセスの制御
ステップ 1
ステップ 2
URL フィルタリングがライセン 1.
スされていることを確認し
ます。
[Device] > [ ライセンス ] を選択し、使用する URL フィル
タリング データベースで有効な日付が表示されているこ
とを確認します。これは、PAN-DB または BrightCloud の
いずれかです。
2.
有効なライセンスがインストールされていない場合
は、「PAN-DB URL Filtering の有効化」を参照してくだ
さい。
User-ID が機能していることを 1.
確認します。User-ID は、ユー
ザーおよびグループに基づい
てポリシーを作成するために 2.
必要です。
グループ マッピングを確認するには、CLI から以下の
コマンドを入力します。
show user group-mapping statistics
ユーザー マッピングを確認するには、CLI から以下の
コマンドを入力します。
show user ip-user-mapping-mp all
ステップ 3
3.
統計情報が表示されていないか、IP、ユーザー間の
マ ッ ピ ン グ 情 報 が 表 示 さ れ て い な い 場 合 は、
「User-ID」を参照してください。
デフォルト プロファイルをコ 1.
ピーして URL フィルタリング
プロファイルをセットアップ
します。
2.
[Objects] > [ セキュリティ プロファイル ] > [URL フィ
ルタリング ] の順に選択し、[default] プロファイルを
選択します。
3.
492
コピー アイコンをクリックします。default-1 という名
前の新しいプロファイルが表示されます。
新しいプロファイルを選択して、名前を変更します。
URL フィルタリング
URL フィルタリング
URL フィルタリングのユース ケースの例
Web アクセスの制御(続き)
ステップ 4
ステップ 5
social-networking をブロックし、 1.
Facebook を許可するように URL
フィルタリング プロファイル
を設定します。
新しい URL フィルタリング プロファイルを変更して、
[カテゴリ] リストで [social-networking] までスクロー
ルして、[ アクション ] 列で、[allow] をクリックして
アクションを [block] に変更します。
2.
[ 許可リスト ] ボックスに facebook.com と入力し
て、Enter キーを押して改行し、*.facebook.com
と 入 力 し ま す。facebook.com、www.facebook.com、
https://facebook.com などユーザーが使用する可能性の
あるすべての URL のバリエーションを特定できるよう
にするには、これら両方のフォーマットが必要です。
3.
[OK] をクリックしてプロファイルを保存します。
ユーザー ネットワークからイ 1.
ンターネットへの Web アクセ
スを許可するセキュリティ ポ 2.
リ シ ー ル ー ル に 新 し い URL
フィルタリング プロファイル
を適用します。
3.
URL フィルタリング
[Policies] > [ セキュリティ] の順に選択して、Web アク
セスを許可するポリシー ルールをクリックします。
[アクション ] タブで、先ほど作成した URL プロファイ
ルを [URL フィルタリング ] ドロップダウンから選択し
ます。
[OK] をクリックして保存します。
493
URL フィルタリングのユース ケースの例
URL フィルタリング
Web アクセスの制御(続き)
ステップ 6
マ ー ケ テ ィ ン グ 部 門 に 1.
Facebook Web サ イ ト お よ び す
べての Facebook アプリケーショ 2.
ンへのアクセスを許可するセ
キュリティ ポリシーを作成し
3.
ます。
[Policies] > [ セキュリティ] の順に選択し、[ 追加 ] を
クリックします。
このルールは、その他のポリ 4.
シ ー よ り 具 体 的 で あ り、ま
た、トラフィックに一致があ
5.
る場合は処理が終了する許可
ルールであるため、その他の
ルールの前に処理されます。 6.
[ ユーザー] タブの [ 送信元ユーザー] セクションで [ 追
加 ] をクリックします。
[ 名前 ] を入力し、必要に応じて [ 内容 ] および [ タグ ]
に入力します。
[ 送信元 ] タブでユーザーが接続するゾーンを追加し
ます。
marketing ユーザーを含むディレクトリ グループを選択
します。
[ 宛先 ] タブでインターネットに接続されるゾーンを選
択します。
7.
[ アプリケーション ] タブで、[ 追加 ] をクリックして、
facebook の App-ID シグネチャを追加します。
8.
[ アクション ] タブで、[ アンチウイルス ]、[ 脆弱性防
御 ]、[ アンチスパイウェア ] のデフォルトのプロファ
イルを追加します。
9.
[OK] をクリックしてセキュリティ プロファイルを保存
します。
このポリシーで使用される facebook App-ID シグネチャ
は、facebook-base、facebook-chat、facebook-mail な ど の
すべての Facebook アプリケーションを含んでいます。
そのため、これがこのルールで必要な唯一の App-ID
シグネチャです。
このポリシーを適用すると、マーケティング部門の従
業員が Facebook Web サイトまたはいずれかの Facebook
アプリケーションへのアクセスを試みると、マーケ
ティング部門の一員であるユーザーに基づいて、ルー
ルと一致します。マーケティング部門以外のユーザー
からのトラフィックでは、トラフィックに一致がない
ため、このルールはスキップされ、ルールの処理が続
行します。
494
URL フィルタリング
URL フィルタリング
URL フィルタリングのユース ケースの例
Web アクセスの制御(続き)
ステップ 7
その他すべてのユーザーの、単 1.
なる Web 閲覧以外の Facebook
アプリケーションの使用がブ
ロックされるように、セキュ 2.
リティ ポリシーを設定しま
す。この設定を最も簡単に行
3.
うには、マーケティング部門
の許可ポリシーをコピーして
変更します。
4.
5.
[Policies] > [ セキュリティ] で、先ほど作成したマーケ
ティング部門の Facebook 許可ポリシーをクリックし
て、強調表示し、コピー アイコンをクリックします。
[ 名前 ] を入力し、必要に応じて [ 内容 ] および [ タグ ]
に入力します。
[ ユーザー] タブで、マーケティング グループを強調表
示して、削除し、ドロップダウンで、[any] を選択し
ます。
[ アプリケーション ] タブで、facebook の App-ID シグネ
チャをクリックして、削除します。
[ 追加 ] をクリックして、以下の App-ID シグネチャを
追加します。
• facebook-apps
• facebook-chat
• facebook-file-sharing
• facebook-mail
• facebook-posting
• facebook-social-plugin
URL フィルタリング
6.
[ アクション ] タブの [ アクション設定 ] で [ 拒否 ] を
選択します。このルールはコピーされているため、プ
ロファイル設定はすでに適切になっています。
7.
[OK] をクリックしてセキュリティ プロファイルを保存
します。
8.
ルール処理が正しい順序で行われ、マーケティング部
門のユーザーを許可して、その他のユーザーが拒否 /
制限されるようにするため、この新しい拒否ルールが
マーケティングの許可ルールの後に表示されているこ
とを確認してください。
9.
設定を保存するには [ コミット ] をクリックします。
495
URL フィルタリングのユース ケースの例
URL フィルタリング
これらのポリシーを適用すると、マーケティング部門の一員であるユーザーにはすべての
Facebook アプリケーションへのフル アクセスが付与されますが、マーケティング部門の一員で
はないその他のユーザーには、Facebook Web サイトの読み取り専用アクセスのみが付与される
ため、投稿、チャット、電子メール、ファイル共有などの Facebook の機能を使用することはで
きません。
ユース ケース : ポリシーでの URL カテゴリの使用
また、キャプティブ ポータル、復号、セキュリティおよび QoS といったポリシー タイプで、
URL カテゴリを一致条件として使用することができます。このユース ケースでは、復号ポリ
シーで URL カテゴリを使用して復号化する Web カテゴリと復号化しない Web カテゴリを制御し
ます。最初のルールは、Web カテゴリが financial-services または health-and-medicine である場合、ユー
ザー トラフィックの復号化を行わない復号なしルールで、2 番目のルールではすべてのトラ
フィックを復号化します。復号ポリシーのタイプは ssl-forward-proxy です。これは、ユーザーが実
行するすべてのアウトバウント接続の復号化を制御するために使用します。
URL カテゴリに基づく復号ポリシーの設定
ステップ 1
496
復 号 ポ リ シ ー リ ス ト に 最 初 1.
に表示される復号なしルール
を 作成します。このルールに 2.
より、financial-services または
health-and-medicine URL カ テ ゴ リ
3.
のすべての Web サイトは復号
化されません。
4.
[Policies] > [ 復号 ] の順に選択し、[ 追加 ] をクリック
します。
5.
[URL カテゴリ ] タブで、[ 追加 ] をクリックして、
[financial-services] および [health-and-medicine] URL カテゴリを
選択します。
6.
[ オプション ] タブで、アクションを [ 復号なし ] に、
[タイプ] を [SSL フォワード プロキシ] に設定します。
7.
[OK] をクリックしてポリシーを保存します。
[ 名前 ] を入力し、必要に応じて [ 内容 ] および [ タグ ]
に入力します。
[ 送信元 ] タブで、ユーザーが接続するゾーンを追加し
ます。
[ 宛先 ] タブで、インターネットに接続されるゾーンを
入力します。
URL フィルタリング
URL フィルタリング
URL フィルタリングのユース ケースの例
URL カテゴリに基づく復号ポリシーの設定(続き)
ステップ 2
ステップ 3
その他すべてのトラフィック 1.
を復号化する復号ポリシーを
作 成 し ま す。こ の ポ リ シ ー 2.
は、復号なしポリシーの後に
リストされます。
3.
先ほど作成した復号なしポリシーを選択し、[コピー] を
クリックします。
[ 名前 ] を入力し、必要に応じて [ 内容 ] および [ タグ ]
に入力します。
[URL カテゴリ ] タブで、[financial-services] および
[health-and-medicine] を選択し、削除アイコンをクリックし
ます。
4.
[ オプション ] タブで、アクションを [ 復号 ] に、[ タイ
プ ] を [SSL フォワード プロキシ ] に設定します。
5.
スクリーン キャプチャに示すように、この新しい復号
ルールが復号なしルールの後にリストされていること
を確認します。これにより、ルール処理が確実に正し
い順序で実行され、financial-services および health-and-medicine
の Web サイトは復号化されません。
6.
[OK] をクリックしてポリシーを保存します。
(BrightCloud のみ)ファイア 1.
ウォール上のローカル データ 2.
ベースでカテゴリを利用でき
ない場合は、URL を動的に分
類するためにクラウド検索を
有効にします。
ファイアウォールで CLI にアクセスします。
以下の CLI コマンドを入力してダイナミック URL フィ
ルタリングを有効にします。
a. configure
b. set deviceconfig setting url dynamic-url yes
c. commit
ステップ 4
設定を保存します。
URL フィルタリング
[ コミット ] をクリックします。
497
URL フィルタリングのユース ケースの例
URL フィルタリング
これら 2 つの復号ポリシーが適用されると、financial-services または health-and-medicine URL カテゴリを
宛先とするすべてのトラフィックは復号化されません。その他すべてのトラフィックは復号化
されます。
また、サーバー証明書の確認、期限切れの証明書を使用しているセッションのブロックなどの
確認を実行するために使用する復号プロファイルを定義して、復号ポリシーに対するより細か
い制御を定義することもできます。プロファイルは、復号ポリシーの [ オプション ] タブに追加
されます。実行できるチェックの詳細なリストについては、ファイアウォールから [Objects] >
[ 復号プロファイル ] を選択し、ヘルプ アイコンをクリックします。
これで、URL フィルタリング、App-ID、および User-ID といった強力な機能の基本を理解でき
ました。同様のポリシーをファイアウォールに適用し、Palo Alto Networks の App-ID シグネチャ
データベースで任意のアプリケーションを制御したり、URL フィルタリング データベースに含
まれる Web サイトを制御したりできます。
URL フィルタリングに関する問題のトラブルシューティングについては、「URL フィルタリン
グのトラブルシューティング」を参照してください。
498
URL フィルタリング
URL フィルタリング
URL フィルタリングのトラブルシューティング
URL フィルタリングのトラブルシューティング
以下のトピックでは、一般的な URL フィルタリングの問題を診断および解決するためのトラブ
ルシューティングのガイドラインを説明します。

PAN-DB のアクティベーションに関する問題

PAN-DB クラウド接続の問題

Not-Resolved に分類された URL

誤った分類

URL データベースが古い
PAN-DB のアクティベーションに関する問題
以下の表では、PAN-DB のアクティベーションに関する問題を解決するために実行できる手順
を説明します。
PAN-DB のアクティベーションの問題のトラブルシューティング
1.
ファイアウォールで CLI にアクセスします。
2.
以下のコマンドを実行して、PAN-DB がアクティベーションされているかどうかを確認します。
admin@PA-200> show system setting url-database
応答が paloaltonetworks である場合、PAN-DB がアクティブ ベンダーです。
3.
以下のコマンドを実行して、ファイアウォールに有効な PAN-DB ライセンスがあることを確認します。
admin@PA-200> request license info
ライセンス エントリ [Feature: PAN_DB URL Filtering] を確認してください。ライセンスがインストー
ルされていない場合は、ライセンスを取得しインストールする必要があります。「URL フィルタリ
ングの設定」を参照してください。
4.
ライセンスをインストールしたら、以下のコマンドを実行して新しい PAN-DB シード データベース
をダウンロードします。
admin@PA-200> request url-filtering download paloaltonetworks region <region>
5.
以下のコマンドを実行して、ダウンロードの状態を確認します。
admin@PA-200> request url-filtering download status vendor paloaltonetworks
• メッセージが PAN-DB download: Finished successfully 以外の場合は、ここで停止します。クラウ
ドの接続に問題がある可能性があります。ファイアウォールおよびインターネット間の基本的な
ネットワークのトラブルシューティングを実行して、接続の問題の解決を試みてください。詳細
は、「PAN-DB クラウド接続の問題」を参照してください。
• メッセージが PAN-DB download: Finished successfully である場合は、ファイアウォールが URL
シード データベースを正常にダウンロードしました。以下のコマンドを実行して、再度 PAN-DB
を有効にします。
admin@PA-200> set system setting url-database paloaltonetworks
URL フィルタリング
499
URL フィルタリングのトラブルシューティング
URL フィルタリング
PAN-DB のアクティベーションの問題のトラブルシューティング(続き)
6.
問題が解決しない場合は、Palo Alto Networks サポートまでお問い合わせください。
PAN-DB クラウド接続の問題
クラウドの接続を確認するには、以下のコマンドを実行します。
admin@pa-200> show url-cloud status
クラウドにアクセスできる場合は、以下のような応答が予測されます。
admin@PA-200> show url-cloud status
PAN-DB URL Filtering
License :
Current cloud server :
Cloud connection :
URL database version - device :
URL database version - cloud :
2013/11/19
13:20:51 )
URL database status :
URL protocol version - device :
URL protocol version - cloud :
Protocol compatibility status :
valid
s0000.urlcloud.paloaltonetworks.com
connected
2013.11.18.000
2013.11.18.000 ( last update time
good
pan/0.0.2
pan/0.0.2
compatible
クラウドにアクセスできない場合は、以下のような応答が予測されます。
admin@PA-200> show url-cloud status
PAN-DB URL Filtering
License :
valid
Cloud connection :
not connected
URL database version - device :
2013.11.18.000
URL database version - cloud :
2013.11.18.000
2013/11/19
13:20:51 )
URL database status :
good
URL protocol version - device :
pan/0.0.2
URL protocol version - cloud :
pan/0.0.2
Protocol compatibility status :
compatible
500
( last update time
URL フィルタリング
URL フィルタリング
URL フィルタリングのトラブルシューティング
以下の表では、show url-cloud status コマンドの出力に基づいて問題を解決するために実行できる
手順、URL のクラウド サーバーに ping する方法、およびファイアウォールが高可用性 (HA) 設
定の場合に何を確認すべきかを説明します。
クラウド接続の問題のトラブルシューティング
• PAN-DB URL Filtering license フィールドに invalid と表示されている場合は、有効な PAN-DB ライセンス
を取得して、インストールします。
• URL データベースの状態が古い場合、以下のコマンドを実行して新しいシード データベースをダウン
ロードします。
admin@pa-200> request url-filtering download paloaltonetworks region <region>
• URL プロトコルのバージョンが not compatible と表示されている場合、PAN-OS を最新バージョンに
アップグレードします。
• 以下のコマンドを実行して、ファイアウォールから PAN-DB クラウド サーバーに ping します。
admin@pa-200> ping source <ip-address> host s0000.urlcloud.paloaltonetworks.com
たとえば、管理インターフェイス IP アドレスが 10.1.1.5 の場合、以下のコマンドを実行します。
admin@pa-200> ping source 10.1.1.5 host s0000.urlcloud.paloaltonetworks.com
• ファイアウォールが HA 設定である場合、デバイスの HA 状態でクラウド システムへの接続がサポー
トされていることを確認します。以下のコマンドを実行すると、HA 状態を特定できます。
admin@pa-200> show high-availability state
ファイアウォールが以下のいずれかの状態にない場合、クラウドへの接続はブロックされます。
• active
• active-primary
• active-secondary
問題が解決しない場合は、Palo Alto Networks サポートまでお問い合わせください。
Not-Resolved に分類された URL
以下の表では、PAN-DB で識別される一部またはすべての URL が Not-resolved に分類される問題
を解決するために使用できる手順を説明します。
Not-Resolved に分類された URL のトラブルシューティング
1.
以下のコマンドを実行して、PAN-DB のクラウド接続を確認します。
admin@PA-200> show url-cloud status
Cloud connection: フィールドに connected と表示されます。connected 以外が表示されている場合、管
理プレーン キャッシュに存在しないすべての URL は、not-resolved に分類されます。この問題を
解決する方法については、「PAN-DB クラウド接続の問題」を参照してください。
URL フィルタリング
501
URL フィルタリングのトラブルシューティング
URL フィルタリング
Not-Resolved に分類された URL のトラブルシューティング(続き)
2.
クラウド接続の状態が connected と表示されている場合、ファイアウォールの現在の使用率を確
認します。ファイアウォールのパフォーマンスがスパイク状態である場合、URL 要求はド
ロップ(管理プレーンに到達することができない)され、not-resolved として分類されます。
システム リソースを表示するには、以下のコマンドを実行し、%CPU および %MEM 列を表示
します。
admin@PA-200> show system resources
また、ファイアウォールの Web インターフェイスからシステム リソースを表示することもで
きます。これを行うには、[Dashboard] タブをクリックし、[ システム リソース ] セクション
を表示します。
3.
問題が解決しない場合は、Palo Alto Networks サポートまでお問い合わせください。
誤った分類
正しい分類が設定されていない URL を識別する場合に実行できる手順を以下で説明します。た
とえば、URL paloaltonetworks.com が alcohol-and-tobacco に分類されている場合、分類が誤っており、こ
のカテゴリは computer-and-internet-info である必要があります。
誤った分類の問題のトラブルシューティング
1.
以下のコマンドを実行して、データプレーンのカテゴリを確認します。
admin@PA-200> show running url <URL>
たとえば、Palo Alto Networks Web サイトのカテゴリを表示するには、以下のコマンドを実行します。
admin@PA-200> show running url paloaltonetworks.com
デ ー タ プ レ ー ン キ ャ ッ シ ュ に 保 存 さ れ て い る URL の カ テ ゴ リ が 正 し い 場 合(こ の 例 で は、
computer-and-internet-info)、分類は正しく、さらに対策を実行する必要はありません。カテゴリが
正しくない場合は、次の手順に進みます。
2.
以下のコマンドを実行して、管理プレーンのカテゴリを確認します
admin@PA-200> test url-info-host <URL>
例:
admin@PA-200> test url-info-host paloaltonetworks.com
管理プレーン キャッシュに保存されている URL のカテゴリが正しい場合、以下の CLI コマンドを実
行して、データプレーン キャッシュから URL を削除します。
admin@PA-200> clear url-cache url <URL>
次回、この URL のカテゴリをデバイスが要求すると、要求は管理プレーンに転送されます。この処
理により問題は解決し、さらに対策を実行する必要はありません。この処理で問題が解決しない場
合は、次の手順に進み、クラウド システムの URL カテゴリを確認します。
3.
以下のコマンドを実行して、クラウドのカテゴリを確認します。
admin@PA-200> test url-info-cloud <URL>
502
URL フィルタリング
URL フィルタリング
URL フィルタリングのトラブルシューティング
誤った分類の問題のトラブルシューティング(続き)
4.
クラウドに保存されている URL のカテゴリが正しい場合、データプレーンおよび管理プレーン キャッ
シュから URL を削除します。
データプレーン キャッシュから URL を削除するには、以下のコマンドを実行します。
admin@PA-200> clear url-cache url <URL>
管理プレーン キャッシュから URL を削除するには、以下のコマンドを実行します。
admin@PA-200> delete url-database url <URL>
次回、所定の URL のカテゴリをデバイスがクエリすると、要求は管理プレーンに転送され、さら
に、クラウドに転送されます。これで、カテゴリ検索に関する問題は解決します。問題が解決しな
い場合は、次の手順を参照して、分類変更要求を提出します。
5.
Web インターフェイスから変更要求を提出するには、URL ログに移動して、変更する URL のログ エ
ントリを選択します。
6.
[ 分類の変更要求 ] リンクをクリックして、以下の手順を実行します。URL を検索し、変更要求アイ
コンをクリックして、Palo Alto Networks の『Test A Site』Web サイトからカテゴリ変更を要求するこ
ともできます。すべての使用可能なカテゴリのリストと各カテゴリの説明を表示する方法について
は、『https://urlfiltering.paloaltonetworks.com/CategoryList.aspx』を参照してください。
変更要求が承認されると、電子メール通知が送信されます。その後、2 つの方法で、ファイア
ウォールで URL カテゴリが更新されたことを確認できます。
• キャッシュ内の URL の有効期限が切れるまで待機します。次回ユーザーが URL にアクセスする
ときに、新しい分類の更新がキャッシュに配置されます。
• 以下のコマンドを実行して、キャッシュの更新を強制的に行います。
admin@PA-200> request url-filtering update url
URL フィルタリング
<URL>
503
URL フィルタリングのトラブルシューティング
URL フィルタリング
URL データベースが古い
PAN-DB が古いことを syslog または CLI で確認した場合は、ファイアウォールから URL クラウ
ドへの接続がブロックされることを意味します。これは、通常、ファイアウォール上の URL
データベースが古すぎる(バージョンの違いが 3 か月を上回る)場合に発生します。クラウド
はファイアウォールを自動的に更新することはできません。この問題を解決するには、初期
シード データベースをクラウドから再ダウンロードする必要があります(この操作はブロック
されません)。これにより、PAN-DB が自動的に再アクティベーションされます。
データベースを手動で更新するには、以下のいずれかの手順を実行します。


Web インターフェイスから、[Device] > [ライセンス] の順に選択し、[PAN-DB URL Filtering]
セクションで、[ 再ダウンロード ] リンクをクリックします。
CLI から以下のコマンドを実行します。
admin@PA-200> request url-filtering download paloaltonetworks region
<region_name>
シード データベースを再ダウンロードすると、管理プレーンおよびデータプレーンの URL
キャッシュが消去されます。その後、管理プレーン キャッシュは、新しいシード データベー
スの内容で再入力されます。
504
URL フィルタリング
Quality of Service (QoS)
Quality of Service (QoS) とは、限りあるネットワーク容量で優先順位の高いアプリケーションお
よびトラフィックを処理するときの信頼性を保証するため、ネットワーク上で機能する一式の
テクノロジです。QoS テクノロジでは、ネットワーク トラフィックの特定のフローごとに異な
る処理方法と容量を割り当てることによって、QoS を実現します。これによりネットワーク管
理者は、トラフィックの処理順位およびトラフィックに振り分ける帯域幅を割り当てることが
できます。
Palo Alto Networks のアプリケーション Quality of Service (QoS) により、基本的な QoS をネットワー
クに適用し、それを拡張してアプリケーションとユーザーに QoS を適用することができます。
以下のトピックを読んで Palo Alto Networks のアプリケーション QoS について理解し、設定を
行ってください。

QoS の概要

QoS の概念

QoS の設定

仮想システムの QoS の設定

QoS のユース ケース例
•
Palo Alto Networks の『製品比較ツール』を使用して、お使いのファイアウォール プラット
フォームでサポートされている QoS 機能を確認できます。2 つ以上の製品プラットフォー
ムを選択して、[Compare Now(今すぐ比較する)] をクリックすると、各プラット
フォームでサポートされている QoS 機能が表示されます(たとえば、お使いのプラット
フォームのサブインターフェイスでの QoS のサポートの有無を確認し、サポートされてい
る場合は、QoS を有効化できるサブインターフェイスの最大数をチェックできます)。
•
PA-7050 ファイアウォールは、PAN-OS 6.0.0. 時点で、Ethernet の集約 (AE) インターフェイ
スでの QoS をサポートしています。
Quality of Service(QoS)
505
QoS の概要
Quality of Service (QoS)
QoS の概要
QoS を使用し、ネットワーク トラフィックの品質に優先順位を設定して調整を図ります。パケッ
トを処理する順序と帯域幅を割り当て、選択したトラフィック、アプリケーション、およびユー
ザーにとって望ましい処理方法と最適レベルのパフォーマンスが確保されるようにします。
QoS の実装に関係するサービス品質の測定量は、帯域幅(最大転送速度)、スループット(実
転送速度)、遅延(待ち時間)、およびジッター(遅延の変動)です。これらのサービス品質
測定量をシェーピングおよび制御する QoS の能力は、VoIP (Voice over IP)、ビデオ会議、および
遅延やジッターの影響を受けやすいビデオオンデマンドなど、高帯域幅のリアルタイム トラ
フィックの場合に特に重要です。また、QoS を使用して、以下を実現できます。

ネットワークおよびアプリケーション トラフィックの優先順位を指定して、重要なトラフィッ
クに高い優先順位が指定されるよう保証したり、重要度の低いトラフィックを制限したりし
ます。

同じネットワーク内のさまざまなサブネット、クラス、またはユーザー間で、帯域幅を均等
に共有します。

外部、内部、またはその両方で帯域幅を割り当て、アップロードとダウンロードの両方のト
ラフィックに QoS を適用するか、または一方のトラフィックにのみ適用します。

企業環境における顧客および収益に関係するトラフィックで低遅延が確保されるようにし
ます。

アプリケーションのトラフィック プロファイリングを実行して帯域幅の使用量を最適化し
ます。
Palo Alto Networks ファイアウォールで QoS を実装するには、完全な QoS ソリューションをサ
ポートする 3 つの主要なコンポーネント、すなわち、「QoS プロファイル」、「QoS ポリ
シー」、および「QoS 出力インターフェイス」の設定から始めます。QoS 設定タスクにおける
これらの各オプションによって広範なプロセスを円滑に処理し、これによりトラフィック フ
ローの最適化と優先順位付けを行い、設定可能なパラメータに応じた帯域幅を割り当てて確保
します。
「図 : QoS トラフィック フロー」は、送信元から送信され、QoS が有効なファイアウォールに
よってシェーピングされ、最終的に優先順位付けされて宛先に配信されるトラフィック フロー
を示しています。
506
Quality of Service(QoS)
Quality of Service (QoS)
QoS の概要
図 : QoS トラフィック フロー
QoS 設定オプションにより、トラフィック フローを制御し、フローのさまざまな位置で定義す
ることができます。「図 : QoS トラフィック フロー」は、設定可能なオプションによってトラ
フィック フローを定義できる場所を示しています。QoS プロファイルを使用して QoS クラスを
定義し、QoS ポリシーを使用して QoS クラスを選択したトラフィックに関連付けます。イン
ターフェイスで QoS プロファイルを有効にし、ネットワークを流れるトラフィックを QoS 設定
に従ってシェーピングします。
QoS プロファイルと QoS ポリシーは、管理者の必要に応じて、個別に設定するか、または任意
の順序で設定できます。QoS 設定の各オプションには他のオプションの定義に影響するコン
ポーネントが含まれており、QoS 設定の各オプションは、全体的で詳細な QoS ポリシーを作成
するために使用するか、最小限の管理者アクションで限定的に使用することができます。
各ファイアウォール モデルは、QoS で設定可能な最大ポート数をサポートしています。お使い
の『ファイアウォール モデル』の仕様シートをご覧ください。または、『製品比較ツール』を
使用すれば、2 つ以上のファイアウォールでサポートされている QoS 機能を単一ページで確認で
きます。
Quality of Service(QoS)
507
QoS の概念
Quality of Service (QoS)
QoS の概念
以下のトピックを読み、Palo Alto Networks ファイアウォールにおける QoS 設定のさまざまなコ
ンポーネントおよびメカニズムについて学習してください。

アプリケーションおよびユーザーの QoS

QoS プロファイル

QoS クラス

QoS ポリシー

QoS 出力インターフェイス

QoS のクリアテキストおよびトンネル対象トラフィック
アプリケーションおよびユーザーの QoS
Palo Alto Networks ファイアウォールには、ネットワークまたはサブネットに応じてファイア
ウォールから送出されるトラフィックを制御する基本的な QoS 機能があり、QoS の機能を拡張
して、アプリケーションおよびユーザーに応じてトラフィックの分類とシェーピングも実行し
ます。Palo Alto Networks ファイアウォールは、App-ID と User-ID の機能を QoS 設定と統合する
ことによってこの機能を実現します。ネットワーク内の特定のアプリケーションとユーザーを
識別するための App-ID および User-ID エントリは QoS 設定に含まれているため、QoS を適用す
るアプリケーションとユーザーを容易に指定することができます。
Web インターフェイスで QoS ポリシーを使用し([Policies] > [QoS])、アプリケーションのト
ラフィックを指定して QoS を適用することができます。
508
Quality of Service(QoS)
Quality of Service (QoS)
QoS の概念
またはユーザーのトラフィックを指定して適用することもできます。
これらの機能の詳細は、「App-ID」および「User-ID」を参照してください。
QoS プロファイル
QoS プロファイルを使用して、1 つのプロファイル内に含まれる最大 8 つの QoS の値を定義し
ます([Network] > [ ネットワーク プロファイル ] > [QoS プロファイル ])。
QoS を有効にするには、ネットワーク、アプリケーション、またはユーザー トラフィック(具
体的には、クリアテキストまたはトンネル対象トラフィック)の出力インターフェイスに QoS
プロファイルを適用します。QoS が設定されているインターフェイスは、QoS プロファイル ク
ラスの定義、および QoS ポリシーでそれらのクラスに関連付けられているトラフィックに応じ
て、トラフィックをシェーピングします。
ファイアウォールでは、デフォルトの QoS プロファイルを使用できます。プロファイルで定義
されているデフォルトのプロファイルおよびクラスには、最大帯域幅または保証帯域幅の制限
が事前定義されていません。
Quality of Service(QoS)
509
QoS の概念
Quality of Service (QoS)
帯域幅制限は、1 つの QoS プロファイルについて、または QoS プロファイル内の個々の QoS ク
ラスについて設定できます。QoS プロファイルに含まれる 8 つすべての QoS クラスの保証帯域
幅制限の合計を QoS プロファイルに割り当てる合計帯域幅より大きくすることはできません。
物理インターフェイスで QoS を有効にすることには、このインターフェイスを介してファイア
ウォールから送出されるトラフィックの最大帯域幅を設定することが含まれます。QoS プロ
ファイルの保証帯域幅([ 最低保証帯域 出力側 ] フィールド)は、QoS が有効になっている物理
インターフェイスに割り当てられている帯域幅を超えないようにする必要があります。
詳細は、「QoS プロファイルを作成します。」を参照してください。
QoS クラス
QoS クラスにより、割り当てられているトラフィックの優先順位と帯域幅が決まります。Web イ
ンターフェイスで、QoS プロファイルを使用して QoS クラスを定義します([Network] > [ ネッ
トワーク プロファイル ] > [QoS プロファイル ])。
QoS クラスの定義には、クラスの優先順位、最大帯域幅([ 最大保証帯域 出力側 ])、および保
証帯域幅([ 最低保証帯域 出力側 ])が含まれます。
リアルタイム優先順位は、通常、音声およびビデオ アプリケーションなど、遅延の影響を受け
やすいアプリケーションで使用されます。
QoS ポリシーを使用して、指定したトラフィックに QoS クラスを割り当てます([Policies] >
[QoS])。
単一の QoS プロファイルには、定義可能な QoS クラスが 8 つあります。特に設定しない限り、
QoS クラスに一致しないトラフィックには class 4 が割り当てられます。
510
Quality of Service(QoS)
Quality of Service (QoS)
QoS の概念
QoS 設定の基本的なメカニズムである QoS の優先キューイングおよび帯域幅管理は、QoS クラ
ス定義内で設定されます(ステップ 3 を参照)。キューイング優先順位は、QoS クラスに設定
された優先順位によって決まります。帯域幅管理は、QoS クラスに設定された最大帯域幅と保
証帯域幅に応じて決まります。
キューイングおよび帯域幅管理メカニズムにより、トラフィックの順序と、ネットワークを出
入りするときのトラフィックの処理方法が決まります。

QoS 優先順位 : QoS クラスでは、4 つの QoS 優先順位(real-time、high、medium、および low)
のいずれかを定義できます。QoS を特定のトラフィックに関連付けると、その QoS クラスに
定義されている優先順位がトラフィックに割り当てられます。その後、トラフィック フロー
内のパケットは、ネットワーク側で処理する準備ができるまで、それぞれの優先順位に従っ
てキューに格納されます。この優先キューイング方法では、重要なトラフィック、アプリ
ケーション、またはユーザーが確実に優先されるようにすることができます。

QoS クラスの帯域幅管理 : QoS クラスの帯域幅管理では、トラフィックがネットワークの容
量を超過しないようにネットワークのトラフィック フローを制御して、ネットワークで輻輳
が発生しないようにすることができます。また、トラフィック、アプリケーション、または
ユーザーに特定の帯域幅制限を割り当てることができます。QoS プロファイルを使用して帯
域幅全体に制限を設定するか、個々の QoS クラスに制限を設定することができます。QoS プ
ロファイルとそのプロファイル内の QoS クラスには、保証帯域幅制限と最大帯域幅制限があ
ります。保証帯域幅制限([ 最低保証帯域 出力側 ])により、設定された帯域幅制限内の任意
の量のトラフィックが確実に処理されるようにします。最大帯域幅制限([ 最大保証帯域 出
力側 ])では、QoS プロファイルまたは QoS クラスのいずれかに割り当てる合計帯域幅の上
限値を設定します。最大帯域幅制限を超える部分のトラフィックはドロップされます。1 つ
の QoS プロファイルに含まれる各 QoS クラスの合計帯域幅制限および保証帯域幅制限を、
その QoS プロファイルの帯域幅制限より大きくすることはできません。
Quality of Service(QoS)
511
QoS の概念
Quality of Service (QoS)
QoS ポリシー
QoS 設定では、QoS ポリシーにより、1 つの定義済みパラメータまたは複数のパラメータを使
用して QoS 処理(優先処理または帯域幅制限)を必要とするトラフィックを識別し、それを
1 つのクラスに割り当てます。
セキュリティ ポリシーに似た QoS ポリシーを使用して、トラフィックを識別する以下の基準を
設定します。

アプリケーションとアプリケーション グループ。

送信元ゾーン、送信元アドレス、および送信元ユーザー。

宛先ゾーンと宛先アドレス。

特定の TCP や UDP のポート番号に制限されるサービスまたはサービス グループ。

カスタム URL カテゴリを含む URL カテゴリ。
Web インターフェイスの QoS ポリシー([Policies] > [QoS])により、トラフィックを指定する
ために使用される基準を QoS クラスに関連付けることができます。
QoS 出力インターフェイス
QoS 処理対象として識別されたトラフィックの出力インターフェイスで QoS プロファイルを有
効にすれば、QoS 設定が完了します。QoS トラフィックの入力インターフェイスは、トラ
フィックがファイアウォールに入るときのインターフェイスです。QoS トラフィックの出力イ
ンターフェイスは、トラフィックがファイアウォールから出るときのインターフェイスです。
QoS は常時有効で、トラフィック フローの出力インターフェイスで適用されます。QoS 設定の
出力インターフェイスは、ファイアウォールの外向きまたは内向きのインターフェイスであ
り、QoS 処理の対象となるトラフィックのフローに応じて決まります。
たとえば、企業ネットワークで特定の Web サイトからの従業員のダウンロード トラフィックを制
限する場合、QoS 設定での出力インターフェイスはファイアウォールの内部インターフェイスと
なります。これは、インターネット側から出発してファイアウォールを通過し、企業ネットワー
クに送信されるトラフィック フローだからです。一方、同じ Web サイトに向かう従業員のアップ
ロード トラフィックを制限する場合、QoS 設定での出力インターフェイスはファイアウォールの
外部インターフェイスです。これは、制限対象のトラフィックが、企業ネットワークから出発し
てファイアウォールを通過し、インターネット側に送信されるフローだからです。
512
Quality of Service(QoS)
Quality of Service (QoS)
QoS の概念
「QoS 処理が必要であると確認されたアプリケーションの出力インターフェイスを特定しま
す。」については、ステップ 3 を参照してください。
QoS のクリアテキストおよびトンネル対象トラフィック
QoS の物理インターフェイス設定内では、インターフェイスが送信元となるクリアテキスト ト
ラフィックとトンネル対象トラフィックの QoS 設定をより詳細に行うことができます。個々の
トンネル インターフェイスには、別々の QoS プロファイルを割り当てることができます。クリ
アテキスト トラフィックには、トラフィックの送信元インターフェイスと送信元サブネットに
応じてさまざまな QoS プロファイルを割り当てることができます。この場合、送信元インター
フェイスと送信元サブネットは、1 つの QoS プロファイルに関連付けることができます。特定
の QoS 処理の対象とするクリアテキストまたはトンネル対象トラフィックを選択しないように
する場合、インターフェイスで QoS を有効にするには、デフォルトの QoS プロファイルを選択
して、特定のトンネル インターフェイスのトラフィックをシェーピングする方法、またはクリ
アテキスト トラフィックの場合には送信元インターフェイスと送信元サブネットを決定する必
要があります。
Palo Alto Networks ファイアウォールでの「トンネル対象トラフィック」は、特にトンネル
モードの IPSec トラフィックなどのトンネル インターフェイスのトラフィックを指します。
Quality of Service(QoS)
513
QoS の設定
Quality of Service (QoS)
QoS の設定
以下のタスクを実行して Quality of Service (QoS) を設定します。このタスクには、QoS プロファ
イルの作成方法、QoS ポリシーの作成方法、およびインターフェイスで QoS を有効にする方法
なども含まれます。
QoS の設定
ステップ 1
514
QoS を適用するトラフィックを [ACC] を選択して [ アプリケーション コマンド センター]
ページを表示します。[ACC] ページの設定項目およびグラ
特定します。
フを使用して、アプリケーション、URL フィルタリング、
この例では、QoS を使用して
脅威防御、データ フィルタリング、および HIP マッチに
Web 閲覧を制限する方法を示
関連した傾向およびトラフィックを表示します。
します。
任意のアプリケーション名をクリックして、詳細なアプリ
ケーション情報を表示します。
Quality of Service(QoS)
Quality of Service (QoS)
QoS の設定
QoS の設定(続き)
ステップ 2
QoS 処理が必要であると確認さ [Monitor] > [ ログ ] > [ トラフィック ] の順に選択して、デ
れたアプリケーションの出力イ バイスのトラフィック ログを表示します。
ンターフェイスを特定します。 フィルタリングして特定のアプリケーションのログのみを
ヒント : トラフィックの出力イ 表示するには、以下の手順を実行します。
ン タ ー フ ェ イ ス は、ト ラ
フィック フローによって決ま
ります。受信トラフィックを
シェーピングする場合、出力
インターフェイスは内向きイ
ンターフェイスです。送信ト
ラフィックをシェーピングす
る場合、出力インターフェイ
スは外向きインターフェイス
です。
• アプリケーションのエントリが表示された場合は、[ アプ
リケーション ] 列の下線の付いたリンクをクリックし、
[ サブミット ] アイコンをクリックします。
• アプリケーションのエントリが表示されない場合は、ロ
グの追加アイコンをクリックして、アプリケーションを
検索します。
トラフィック ログの [ 出力インターフェイス ] には、各ア
プリケーションの出力インターフェイスが表示されます。
デフォルトで表示されていない場合に [ 出力インターフェ
イス ] 列を表示するには、以下の手順を実行します。
• 任意の列ヘッダーをクリックして、ログに列を追加し
ます。
• 任意のエントリの左側にある拡大鏡アイコンをクリック
して、詳細ログを表示します。[ 宛先 ] セクションのリス
トにアプリケーションの出力インターフェイスが表示さ
れます。
この例の場合、web-browsing トラフィックの出力インター
フェイスは ethernet 1/1 です。
Quality of Service(QoS)
515
QoS の設定
Quality of Service (QoS)
QoS の設定(続き)
ステップ 3
Q o S プ ロ フ ァ イ ル を 作 成 し 1.
ます。
QoS プロファイル名をクリッ
クすることにより、デフォル 2.
トを含む任意の既存 QoS プロ 3.
ファイルを編集できます。
4.
[Network] > [ ネットワーク プロファイル ] > [QoS プロ
ファイル ] の順に選択し、[ 追加 ] をクリックして [QoS
プロファイル ] ダイアログを開きます。
分かりやすい [ プロファイル名 ] を入力します。
[ 最大保証帯域 出力側 ] を入力して、QoS プロファイル
の全体的な帯域幅割り当てを設定します。
[ 最低保証帯域 出力側 ] を入力して、QoS プロファイル
の保証帯域幅を設定します。
QoS プロファイルの出力保証制限を超えるトラ
フィックは、ベスト エフォートであり、保証さ
れません。
5.
[ クラス ] セクションで、最大で 8 つの個々の QoS クラ
スの処理方法を指定します。
a. [ 追加 ] をクリックして、クラスを QoS プロファイル
に追加します。
b. クラスの [ 優先順位 ] を選択します。
c. クラスの [ 最大保証帯域 出力側 ] を入力して、個々
のクラスの全体の帯域幅制限を設定します。
d. クラスの [ 最低保証帯域 出力側 ] を入力して、個々
のクラスの保証帯域幅を設定します。
6.
[OK] をクリックして QoS プロファイルを閉じます。
以下の例において、Limit Web Browsing という名前の QoS プ
ロファイルでは、class 2 トラフィックとして指定されたト
ラフィックの最大帯域幅を 50 Mbps に、保証帯域幅を 2
Mbps に制限しています。QoS ポリシーで class 2 に関連付け
られているトラフィック(ステップ 4)は、すべてこれら
の制限値に制限されます。
516
Quality of Service(QoS)
QoS の設定
Quality of Service (QoS)
QoS の設定(続き)
ステップ 4
QoS ポリシーを作成します。
1.
[Policies] > [QoS] の順に選択し、[ 追加 ] をクリックし
て [QoS ポリシー ルール ] ダイアログを開きます。
2.
[ 全般 ] タブで、QoS ポリシー ルールに分かりやすい
[ 名前 ] を付けます。
3.
QoS ポリシー ルールを適用するトラフィックを指定しま
す。[ 送信元 ]、[ 宛先 ]、[ アプリケーション ]、および
[ サービス /URL カテゴリ ] タブを使用して、トラフィッ
クを識別するための照合パラメータを定義します。
たとえば、[ アプリケーション ] タブを選択して [ 追加 ]
をクリックし、web-browsing を選択して、QoS ポリシー
ルールをそのアプリケーションに適用します。
(任意)追加のパラメータを定義します。たとえば、
[ 送信元 ] タブで [ 追加 ] をクリックして、特定のユー
ザー(この場合は user1)の web-browsing を制限します。
Quality of Service(QoS)
4.
[ その他の設定 ] タブで、QoS ポリシー ルールに割り当
て る QoS ク ラ ス を 選 択 し ま す。た と え ば、user1 の
web-browsing トラフィックを class 2 に割り当てます。
5.
[OK] をクリックして QoS ポリシー ルールを保存します。
517
QoS の設定
Quality of Service (QoS)
QoS の設定(続き)
ステップ 5
物理インターフェイスで QoS プ 1.
ロファイルを有効にします。
2.
物理インターフェイスの QoS
の設定に加え、クリアテキス
トおよびトンネル対象トラ
フィックを選択して、特定の
QoS 処理を設定できます。
[Network] > [QoS] の順に選択し、[ 追加 ] をクリック
して [QoS インターフェイス ] ダイアログを開きます。
物理インターフェイスで QoS を有効にします。
a. [ 物理インターフェイス ] タブで、QoS プロファイル
を適用するインターフェイスの [ インターフェイス
名 ] を選択します。
この例の場合、web-browsing トラフィックの出力イ
ンターフェイスは ethernet 1/1 です(ステップ 2 を
参照)。
トラフィックの送信元イン
ターフェイスと送信元サブ
b. [ このインターフェイスの QoS 機能をオンにする ] を
ネットを QoS の識別と処理
選択します。
の条件として使用して、クリ
アテキスト トラフィックに 3. [ 物理インターフェイス ] タブで、すべての [ クリア テ
キスト ] トラフィックにデフォルトで適用する QoS プ
特定の設定を行うには、ス
ロファイルを選択します。
テップ 5 - 4 を実行します。
(任意)[ トンネル インターフェイス ] フィールドを使
QoS プロファイルを特定のト
用して、QoS プロファイルをすべてのトンネル対象ト
ンネル対象トラフィックに
ラフィックにデフォルトで適用します。
適用するには、ステップ 5 - 5 たとえば、ethernet 1/1 で QoS を有効にし、クリアテキスト
を実行します。
トラフィックのデフォルト QoS プロファイルとして Limit
Web
Browsing という名前の QoS プロファイルを適用します。
詳 細 は、「QoS の ク リ ア テ
キストおよびトンネル対象
ト ラ フ ィ ッ ク」を 参 照 し て
ください。
『製品仕様』のサマリー
を参照して、使用してい
るプラットフォームでサ
ブインターフェイスでの
QoS の有効化がサポート
されているかどうか確認
4.
してください。
QoS インターフェイスの
[ 最大保証帯域 出力側 ]
値は、常に定義しておく
ことをお勧めします。
(任意)[クリア テキスト トラフィック] タブで、クリア
テキスト トラフィックの QoS をより詳細に設定します。
• クリアテキスト トラフィックの [ 最低保証帯域 出力側 ]
および [ 最大保証帯域 出力側 ] の帯域幅を設定します。
• [ 追加 ] をクリックして、選択したクリア テキスト ト
ラフィックに QoS プロファイルを適用し、さらに、
送信元インターフェイスと送信元サブネット(QoS
ノードを作成)に従って QoS 処理を行うトラフィッ
クを選択します。
5.
(任意)[ トンネル対象トラフィック ] タブで、トンネ
ル インターフェイスの QoS をより詳細に設定します。
• トンネル対象トラフィックの [最低保証帯域 出力側] お
よび [ 最大保証帯域 出力側 ] の帯域幅を設定します。
• [追加] をクリックし、選択したトンネル インターフェ
イスに QoS プロファイルを関連付けます。
6.
7.
518
[OK] をクリックして QoS プロファイルを閉じます。
Commit 変更を [ コミット ] して、インターフェイスで
その QoS プロファイルを有効にします。
Quality of Service(QoS)
Quality of Service (QoS)
QoS の設定
QoS の設定(続き)
ステップ 6
QoS 設定を確認します。
[Network] > [QoS] の順に選択して [QoS ポリシー] ページ
を表示し、[ 統計 ] リンクをクリックして、QoS 帯域幅、選
択した QoS ノードまたはクラスのアクティブなセッショ
ン、および選択した QoS ノードまたはクラスのアクティブ
なアプリケーションを表示します。
たとえば、QoS が有効な ethernet 1/1 の統計を表示します。
class 2 のトラフィックの保証帯域幅は 2 Mbps に、最大帯域
幅は 50 Mbps に制限されています。
続けて該当するタブをクリックし、アプリケーション、送
信元ユーザー、宛先ユーザー、セキュリティ ルール、およ
び QoS ルールに関する詳細を表示します。
[QoS 統計情報 ] ウィンドウに表示される帯域幅制限
には、ハードウェアの調整ファクタが含まれます。
Quality of Service(QoS)
519
仮想システムの QoS の設定
Quality of Service (QoS)
仮想システムの QoS の設定
QoS は、Palo Alto Networks ファイアウォール内の 1 つの仮想システム、または複数の仮想システム
に対して設定できます。仮想システムは独立ファイアウォールであるため、1 つの仮想システム
に対して QoS を個別に設定し、QoS 設定をその仮想システムにのみ適用する必要があります。
仮想システムに QoS を設定する方法は、物理ファイアウォールに QoS を設定する方法と類似し
ています。異なるのは、仮想システムに QoS を設定する場合は、トラフィック フローの送信元
と宛先のゾーン、および送信元と宛先のインターフェイスを指定する必要がある点です。仮想
システムでは、トラフィック フローが通過する物理的境界(物理インターフェイスなど)が設
定されていません。トラフィック フローの範囲は仮想環境内の複数の仮想システムに及ぶた
め、トラフィック フローの送信元と宛先のゾーンおよびインターフェイスを指定することで、
その仮想システムのみでトラフィックを制御およびシェーピングすることができます。
以下の例は、ファイアウォール内に設定された 2 つの仮想システムを示しています。VSYS 1
(紫)および VSYS 2(赤)のそれぞれに、2 つの明確なトラフィック フローの優先順位を設定
するか制限する目的で QoS が設定されており、それぞれの対応する紫 (VSYS 1) および赤 (VSYS 2)
の線で表示されています。QoS ノードは、各仮想システムで QoS トラフィックが識別されて
シェーピングされる位置を示します。
仮想システムとその設定方法の詳細は、『Virtual Systems (VSYS) Tech Note』を参照してください。
520
Quality of Service(QoS)
Quality of Service (QoS)
仮想システムの QoS の設定
仮想システム環境での QoS の設定
ステップ 1
各仮想システムに、適切なイ • 設 定 さ れ て い る イ ン タ ー フ ェ イ ス を 表 示 す る に は、
[Network] > [ インターフェイス ] の順に選択します。
ン タ ー フ ェ イ ス、仮 想 ル ー
タ ー、お よ び セ キ ュ リ テ ィ
• 設定されているゾーンを表示するには、[Network] > [ ゾー
ゾーンが関連付けられている
ン ] の順に選択します。
ことを確認します。
• 定義されている仮想ルーターの情報を表示するには、
[Network] > [ 仮想ルーター] の順に選択します。
ステップ 2
QoS を適用するトラフィックを [ACC] を選択して [ アプリケーション コマンド センター]
指定します。
ページを表示します。[ACC] ページの設定項目およびグラ
フを使用して、アプリケーション、URL フィルタリング、
脅威防御、データ フィルタリング、および HIP マッチに
関連した傾向およびトラフィックを表示します。
特定の仮想システムの情報を表示するには、[ 仮想システム ]
ドロップダウンから仮想システムを選択します。
任意のアプリケーション名をクリックして、詳細なアプリ
ケーション情報を表示します。
Quality of Service(QoS)
521
仮想システムの QoS の設定
Quality of Service (QoS)
仮想システム環境での QoS の設定(続き)
ステップ 3
QoS 処理が必要であると確認さ [Monitor] > [ ログ ] > [ トラフィック ] の順に選択して、デ
れたアプリケーションの出力イ バイスのトラフィック ログを表示します。各エントリに
ンターフェイスを特定します。 は、仮想システム環境で QoS を設定するために必要な情報
を含む列を表示するオプションがあります。
仮想システム環境では、仮想
システム上のトラフィックの • 仮想システム
出 力 点 で、ト ラ フ ィ ッ ク に • 出力インターフェイス
QoS が適用されます。仮想シ
• 入力インターフェイス
ステムの設定および QoS ポリ
シーに応じて、QoS トラフィッ • 送信元ゾーン
クの出力点は、物理インター • 宛先ゾーン
フェイスに関連付けるか、設
定されたゾーンにすることが デフォルトで表示されていない場合にその列を表示するに
は、以下の手順を実行します。
できます。
• 任意の列ヘッダーをクリックして、ログに列を追加し
この例は、vsys 1 での
ます。
web-browsing トラフィックの制
限方法を示しています。
• 任意のエントリの左側にある拡大鏡アイコンをクリックし
てアプリケーションの出力インターフェイスを含む詳細ロ
グを表示します。同時に [ 送信元 ] と [ 宛先 ] のセクション
には、送信元ゾーンと宛先ゾーンが表示されます。
たとえば、VSYS 1 からの web-browsing トラフィックの場合
は、入力インターフェイスが ethernet 1/2、出力インター
フェイスが ethernet 1/1、送信元ゾーンが trust、および宛先
ゾーンが untrust です。
522
Quality of Service(QoS)
仮想システムの QoS の設定
Quality of Service (QoS)
仮想システム環境での QoS の設定(続き)
ステップ 4
Q o S プ ロ フ ァ イ ル を 作 成 し 1.
ます。
プロファイル名をクリックす
ることにより、デフォルトを 2.
含む任意の既存 QoS プロファ 3.
イルを編集できます。
4.
[Network] > [ ネットワーク プロファイル ] > [QoS プロ
ファイル ] の順に選択し、[ 追加 ] をクリックして [QoS
プロファイル ] ダイアログを開きます。
分かりやすい [ プロファイル名 ] を入力します。
[ 最大保証帯域 出力側 ] を入力して、QoS プロファイル
の全体的な帯域幅割り当てを設定します。
[ 最低保証帯域 出力側 ] を入力して、QoS プロファイル
の保証帯域幅を設定します。
QoS プロファイルの出力保証制限を超えるトラ
フィックは、ベスト エフォートであり、保証さ
れません。
5.
[QoS プロファイル ] の [ クラス ] セクションで、最大で
8 つの個々の QoS クラスの処理方法を指定します。
a. [ 追加 ] をクリックして、クラスを QoS プロファイル
に追加します。
b. クラスの [ 優先順位 ] を選択します。
c. クラスの [ 最大保証帯域 出力側 ] を入力して、個々
のクラスの全体の帯域幅制限を設定します。
d. クラスの [ 最低保証帯域 出力側 ] を入力して、個々
のクラスの保証帯域幅を設定します。
6.
Quality of Service(QoS)
[OK] をクリックして QoS プロファイルを閉じます。
523
仮想システムの QoS の設定
Quality of Service (QoS)
仮想システム環境での QoS の設定(続き)
ステップ 5
QoS ポリシーを作成します。
1.
マ ル チ VSYS 環 境 で は、ト ラ
フィックの範囲が、QoS を設 2.
定する仮想システム上の入力
点より前の複数の仮想システ 3.
ムに及ぶ可能性があります。
QoS トラフィックの送信元ゾー
ンと宛先ゾーンを指定する
と、特 定 の 仮 想 シ ス テ ム(こ
の例では vsys 1)を通過すると
きにトラフィックが正しく識
別され、指定された仮想シス
テムの場合にのみトラフィッ
クに QoS が適用されます(設
定されているその他の仮想シ
ステムのトラフィックには適
用されません)。
524
[Policies] > [QoS] の順に選択し、[ 追加 ] をクリックし
て [QoS ポリシー ルール ] ダイアログを開きます。
[ 全般 ] タブで、QoS ポリシー ルールに分かりやすい
[ 名前 ] を付けます。
QoS ポリシー ルールを適用するトラフィックを指定しま
す。[ 送信元 ]、[ 宛先 ]、[ アプリケーション ]、および
[ サービス /URL カテゴリ ] タブを使用して、トラフィッ
クを識別するための照合パラメータを定義します。
たとえば、[ アプリケーション ] タブを選択して [ 追加 ]
を ク リ ッ ク し、web-browsing を 選 択 し て、QoS ポ リ
シー ルールをそのアプリケーションに適用します。
4.
[ 送信元 ] タブで [ 追加 ] をクリックして、vsys 1 の
web-browsing トラフィックの送信元ゾーンを選択します。
5.
[ 宛先 ] タブで [ 追加 ] をクリックして、vsys 1 の
web-browsing トラフィックの宛先ゾーンを選択します。
6.
[ その他の設定 ] タブで、その QoS ポリシー ルールに
割り当てる [QoS クラス ] を選択します。たとえば、
vsys 1 の web-browsing トラフィックにクラス 2 を割り当
てます。
7.
[OK] をクリックして QoS ポリシー ルールを保存し
ます。
Quality of Service(QoS)
仮想システムの QoS の設定
Quality of Service (QoS)
仮想システム環境での QoS の設定(続き)
ステップ 6
物理インターフェイスで QoS プ 1.
ロファイルを有効にします。
QoS インターフェイスの 2.
[ 最大保証帯域 出力側 ]
値は、常に定義しておく
ことをお勧めします。
[Network] > [QoS] の順に選択し、[ 追加 ] をクリックし
て [QoS インターフェイス ] ダイアログを開きます。
物理インターフェイスで QoS を有効にします。
a. [ 物理インターフェイス ] タブで、QoS プロファイルを
適用するインターフェイスの [ インターフェイス名 ]
を選択します。
この例の場合、vsys 1 での web-browsing トラフィック
の出力インターフェイスは ethernet 1/1 です(ステッ
プ 2 を参照)。
b. [ このインターフェイスの QoS 機能をオンにする ] を
選択します。
3.
[ 物理インターフェイス ] タブで、すべての [ クリア テ
キスト ] トラフィックに適用するデフォルトの QoS プ
ロファイルを選択します。
(任意)[ トンネル インターフェイス ] フィールドを使
用して、デフォルトの QoS プロファイルをすべてのト
ンネル対象トラフィックに適用します。
4.
(任意)[クリア テキスト トラフィック] タブで、クリア
テキスト トラフィックの追加の QoS 設定を行います。
• クリアテキスト トラフィックの [ 最低保証帯域 出力
側 ] および [ 最大保証帯域 出力側 ] の帯域幅を設定
します。
• [ 追加 ] をクリックして、選択したクリア テキスト ト
ラフィックに QoS プロファイルを適用し、さらに、
送信元インターフェイスと送信元サブネット(QoS
ノードを作成)に従って QoS 処理を行うトラフィッ
クを選択します。
5.
(任意)[ トンネル対象トラフィック ] タブで、トンネ
ル インターフェイスの追加の QoS 設定を行います。
• トンネル対象トラフィックの [ 最低保証帯域 出力側 ]
および [最大保証帯域 出力側] の帯域幅を設定します。
• [追加] をクリックし、選択したトンネル インターフェ
イスに QoS プロファイルを関連付けます。
Quality of Service(QoS)
6.
[OK] をクリックして、変更を保存します。
7.
Commit 変更を [ コミット ] します。
525
仮想システムの QoS の設定
Quality of Service (QoS)
仮想システム環境での QoS の設定(続き)
ステップ 7
QoS 設定を確認します。
• [Network] > [QoS] の順に選択して、[QoS ポリシー] ペー
ジを表示します。[QoS ポリシー] ページで、QoS が有効
になっており、[ 統計 ] リンクが含まれることを確認しま
す。[ 統計 ] リンクをクリックして、QoS 帯域幅、選択し
た QoS ノードまたはクラスのアクティブなセッション、
および選択した QoS ノードまたはクラスのアクティブな
アプリケーションを表示します。
• マルチ VSYS 環境では、セッションが複数のシステムをま
たぐことはできません。トラフィックが複数の仮想システ
ムを通過する場合は、1 つのトラフィック フローについて
複数のセッションが作成されます。ファイアウォール上で
実行されているセッションを参照し、適用されている QoS
ルールと QoS クラスを表示するには、[Monitor] > [ セッ
ション ブラウザ ] の順に選択します。
526
Quality of Service(QoS)
Quality of Service (QoS)
QoS のユース ケース例
QoS のユース ケース例
以下のユース ケースは、一般的なシナリオでの QoS の使用方法を示しています。

ユース ケース : 単一ユーザーの場合の QoS

音声およびビデオ アプリケーションの QoS
Quality of Service(QoS)
527
QoS のユース ケース例
Quality of Service (QoS)
ユース ケース : 単一ユーザーの場合の QoS
ある企業の CEO が、ネットワーク使用量が多い時間帯になると、アプリケーションにアクセス
できなくなり、重要な業務連絡に十分に応答できないことに気付きました。IT 管理者は、CEO
が送受信するすべてのトラフィックが他の従業員のトラフィックよりも優先的に処理されるよ
うにして、CEO が重要なネットワーク リソースにアクセスできることはもとより、アクセス時
のパフォーマンスも十分に得られることを保証する必要があります。
単一ユーザーへの QoS の適用
ステップ 1
管理者は、QoS プロファイル CEO_traffic を作成して、CEO が送信するトラフィックが企業
ネットワークから出るときの処理とシェーピングの方法を定義します。
管理者は、50 Mbps を保証帯域([ 最低保証帯域 出力側 ])として割り当て、ネットワークの
輻輳状態に関係なく常にその帯域幅(CEO の必要量を超える)が CEO に割り当てられる
ように保証します。
管理者は、次に class1 トラフィックの優先順位を high に指定し、プロファイルの最大帯域
幅使用量([ 最大保証帯域 出力側 ])を、管理者が QoS を有効にするインターフェイスの最
大帯域幅と同じ 1000 Mbps に設定します。管理者は、いかなる場合でも CEO の帯域幅使用
量が制約されないような設定を選択しています。
ベスト プラクティスでは、プロファイルの最大帯域幅がインターフェイスの最大帯
域幅と一致する場合でも、QoS プロファイルの [ 最大保証帯域 出力側 ] フィールドに
値を入力します。QoS プロファイルの最大帯域幅は、QoS を有効にする予定のイン
ターフェイスの最大帯域幅を決して超えないようにする必要があります。
528
Quality of Service(QoS)
Quality of Service (QoS)
QoS のユース ケース例
単一ユーザーへの QoS の適用(続き)
ステップ 2
管理者は、QoS ポリシーを作成して CEO のトラフィックを識別し([Policies] > [QoS])、
QoS プロファイルで定義したクラスをそのトラフィックに割り当てます(ステップ 1 を参
照)。User-ID が設定されるため、管理者は QoS ポリシーの [ 送信元 ] タブを使用すること
により、企業ネットワーク ユーザー名によって CEO のトラフィックを個別に識別します。
(User-ID が設定されていない場合、管理者は [ 送信元アドレス ] の下に CEO の IP アドレ
スを [ 追加 ] できます。「User-ID」を参照してください)。
管理者は、CEO のトラフィックを class1 と関連付け([ その他の設定 ] タブ)、続けて残り
の必須フィールドに値を入力します。つまり管理者は、ポリシーに分かりやすい [ 名前 ]
([ 全般 ] タブ)を付け、[ 送信元ゾーン ]([ 送信元 ] タブ)と [ 宛先ゾーン ]([ 宛先 ] タ
ブ)で [ いずれか ] を選択します。
ステップ 3
これで CEO のトラフィックに class1 が関連付けられたので、管理者は、[ このインターフェ
イスの QoS 機能をオンにする ] をオンにし、トラフィック フローの出力インターフェイス
を選択して、QoS を有効にします。CEO のトラフィック フローの出力インターフェイスは
外向きインターフェイスで、この場合は ethernet 1/2 です。
管理者は、作成した QoS プロファイルと関連 QoS ポリシーによって CEO が送信するすべ
てのトラフィックが保証されるようにするため、CEO_traffic を選択して ethernet 1/2 からの
[ クリア テキスト ] トラフィックに適用します。
Quality of Service(QoS)
529
QoS のユース ケース例
Quality of Service (QoS)
単一ユーザーへの QoS の適用(続き)
ステップ 4
QoS 設定のコミット後、管理者は [Network] > [QoS] ページに移動して、外向きインターフェ
イス ethernet 1/2 で QoS プロファイル CEO_traffic が有効になっていることを確認します。
[ 統計 ] をクリックして、CEO が発信するトラフィック (class 1) が ethernet 1/2 から出て行く
ときにどのようにシェーピングされているかを確認します。
このケースでは、単一の送信元ユーザーからのトラフィックに QoS を適用する方法を示します。
ただし、宛先ユーザーへのトラフィックの保証およびシェーピングも行う場合は、同様の QoS
セットアップを設定できます。このワーク フローの代わりに、またはそれに加えて、(ステッ
プ 2 で示されているユーザーの送信元情報を指定する代わりに)[Policies] > [QoS] ページで [宛先
アドレス ] としてユーザーの IP アドレスを指定し、次に [Network] > [QoS] ページで、(ステッ
プ 3 で示されている外向きインターフェイスの代わりに)ネットワークの内向きインターフェイ
スで QoS を有効にします。
530
Quality of Service(QoS)
Quality of Service (QoS)
QoS のユース ケース例
音声およびビデオ アプリケーションの QoS
音声およびビデオ トラフィックは、QoS 機能でシェーピングおよび制御する測定量(特に遅延
およびジッター)の影響を大きく受けます。音声およびビデオ送信情報が聞き取り可能で明瞭
であるためには、音声およびビデオ パケットがドロップされたり、遅れたり、または不均一に
配信されたりしないようにする必要があります。音声およびビデオ アプリケーションの場合の
ベスト プラクティスは、帯域幅を保証することのほかに、音声およびビデオ トラフィックが優
先されるように保証することです。
この例では、企業の支社の従業員が、ビデオ会議や Voice-over-IP (VoIP) テクノロジを利用して
行われる他の支社、パートナー企業、および顧客との間のビジネス通信で困難を経験してお
り、信頼性を確立することができていません。IT 管理者は、これらの問題に対処するために
QoS を実装し、支社の従業員によるビジネス通信の効果性と信頼性を高めようとしています。
管理者は、送受信両方のネットワーク トラフィックに対して QoS を保証するため、ファイア
ウォールの内向きと外向きの両方のインターフェイスで QoS を有効にします。
音声およびビデオ アプリケーションの品質保証
ステップ 1
管理者は QoA プロファイルを作成して class 2 を定義します。これにより、class2 に関連付
けられているすべてのトラフィックに優先順位 real-time が設定され、最大帯域幅が 1000 Mbps
のインターフェイスでは、ネットワーク使用量のピーク期間を含め、250 Mbps の帯域幅が
常時保証されます。
real-time 優先順位は、通常、遅延の影響を受けやすいアプリケーションの場合に推奨され、
特に音声およびビデオ アプリケーションのパフォーマンスおよび品質を保証する場合に役
立ちます。
管理者は、[Network] > [ ネットワーク プロファイル ] > [Qos プロファイル ] ページで [ 追
加 ] をクリックし、[ プロファイル名 ] に「ensure voip-video traffic」と入力し、[ クラス ] で class2
トラフィックを定義します。
Quality of Service(QoS)
531
QoS のユース ケース例
Quality of Service (QoS)
音声およびビデオ アプリケーションの品質保証(続き)
ステップ 2
管理者は、QoS ポリシーを作成して、音声およびビデオ トラフィックを識別します。この
企業には音声およびビデオ用の 1 つの標準アプリケーションがないため、管理者は、他の
支社、パートナー企業、および顧客との通信で一般的な従業員が通常使用するいくつかの
アプリケーションに、確実に QoS が適用されるようにします。管理者は、[Policies] >
[QoS] > [QoS ポリシー ルール ] > [ アプリケーション ] タブで [ 追加 ] をクリックして、[ ア
プリケーション フィルタ ] ウィンドウを開きます。次に管理者は、QoS を適用するアプリ
ケーションをフィルタするための基準を選択し、サブカテゴリとして voip-video を選択し、
low-risk と widely-used の両方が当てはまる viop-video アプリケーションのみを指定すること
によって対象を絞り込みます。
アプリケーション フィルタは動的なツールであり、QoS ポリシーでアプリケーションの
フィルタリングに使用すると、任意の時点で voip-video、low risk、および widely used の基準を満
たすすべてのアプリケーションに QoS が適用されるようにできます。
管理者は、この [ アプリケーション フィルタ ] に「voip-video-low-risk」という名前を付け、QoS
ポリシーに含めます。
管理者は、この QoS ポリシーに「Voice-Video」という名前を付け、voip-video-low-risk アプリ
ケーション フィルタを class 2 のトラフィック(ステップ 1 で定義)と関連付けます。管理
者は、送受信両方の QoS トラフィックで Voice-Video QoS ポリシーを使用するため、[ 送信元 ]
と [ 宛先 ] の両方の情報を [ いずれか ] に設定します。
532
Quality of Service(QoS)
Quality of Service (QoS)
QoS のユース ケース例
音声およびビデオ アプリケーションの品質保証(続き)
ステップ 3
管理者は、音声およびビデオ通信の送受信の両方で QoS を確保するため、ネットワークの
外向きインターフェイス(QoS を送信の通信に適用する)と内向きインターフェイス
(QoS を受信の通信に適用する)で QoS を有効にします。
管理者はまず、外向きインターフェイス(この場合は ethernet 1/2)についてステップ 1 で
作成した QoS プロファイル ensure voice-video traffic(このプロファイルで、class1 はステップ 2 で
作成したポリシー Voice-Video と関連付けられます)を有効にします。
次に、内向きインターフェイス(この場合は ethernet 1/1)で同じ QoS プロファイル ensure
voip-video traffic を有効にします。
ステップ 4
管理者は、送受信両方の音声およびビデオ トラフィックで QoS が有効になっていることを
確認します。
管理者は、ネットワークの内向きと外向きの両方のインターフェイスで QoS を有効にすることができま
した。これで、ネットワークを出入りする両方向で音声およびビデオ アプリケーション トラフィックに
対して real-time 優先順位が保証され、特に遅延およびジッターの影響を受けやすいそれらの通信を使用
して企業内外のビジネス上の通信を行うときの信頼性と効果性が確保されます。
Quality of Service(QoS)
533
QoS のユース ケース例
534
Quality of Service (QoS)
Quality of Service(QoS)
VPN
仮想プライベート ネットワーク (VPN) は、ユーザー/ システムをローカル エリア ネットワーク
(LAN) で接続している場合と同様に、パブリック ネットワークでも安全に接続することができ
るトンネルを作成します。VPN トンネルをセットアップするには、互いに認証し、両者間の情
報の流れを暗号化できるデバイスのペアが必要です。デバイスとして使用できるのは、Palo
Alto Networks ファイアウォールのペア、または Palo Alto Networks ファイアウォールと他ベン
ダーの VPN 対応デバイスです。

VPN デプロイメント

サイト間 VPN の概要

サイト間 VPN の概念

サイト間 VPN のセットアップ

サイト間 VPN のクイック設定
仮想プライベート ネットワーク
535
VPN デプロイメント
VPN
VPN デプロイメント
Palo Alto Networks ファイアウォールでは、以下の VPN デプロイメントをサポートしています。

サイト間 VPN — 中央サイトとリモート サイトを接続する簡易 VPN、または中央サイトと複
数のリモート サイトを接続するハブ アンド スポーク VPN。ファイアウォールはプロトコル
の IP Security (IPSec) セットを使用して、2 つのサイト間のトラフィックの安全なトンネルを
セットアップします。「サイト間 VPN の概要」を参照してください。

リモート ユーザーからサイトへの VPN — GlobalProtect エージェントを使用してリモート ユー
ザーがファイアウォール経由で安全な接続を確立できるようにするソリューション。このソ
リューションは、SSL および IPSec を使用してユーザーとサイト間の安全な接続を確立しま
す。『GlobalProtect 管理者ガイド』を参照してください。

大規模 VPN — Palo Alto Networks の GlobalProtect 大規模 VPN (LSVPN) は、最大 1024 のサテラ
イト オフィスまで拡張可能なハブ アンド スポーク VPN を展開するための簡略化されたメカ
ニズムを提供します。このソリューションを使用するには、Palo Alto Networks ファイア
ウォールをハブおよびすべてのスポークでデプロイする必要があります。デバイスの認証に
証明書を、すべてのコンポーネント間の安全な通信のために SSL を、データの保護のために
IPSec を使用します。「大規模 VPN (LSVPN)」を参照してください。
536
仮想プライベート ネットワーク
VPN
VPN デプロイメント
図 : VPN デプロイメント
仮想プライベート ネットワーク
537
サイト間 VPN の概要
VPN
サイト間 VPN の概要
2 つのローカル エリア ネットワーク (LAN) を接続できるようにする VPN 接続はサイト間 VPN
と呼 ば れま す。ル ート ベ ース の VPN を 設 定す る と、2 つの サ イト に 設置 さ れた Palo Alto
Networks ファイアウォール間、または Palo Alto Networks ファイアウォールと別の場所に設置さ
れたサードパーティのセキュリティ デバイスを接続できます。ファイアウォールは、サード
パー テ ィの ポ リシ ー ベ ース の VPN デ バイ ス との 相 互運 用 性も 確 保し て いま す。Palo Alto
Networks ファイアウォールはルートベースの VPN をサポートしています。
Palo Alto Networks ファイアウォールはルートベースの VPN をセットアップし、ファイアウォー
ルは宛先 IP アドレスに基づいてルーティングの判断を行います。トラフィックが VPN トンネ
ル経由で特定の宛先にルーティングされた場合は、VPN トラフィックとして処理されます。
プロトコルの IP Security (IPSec) セットを使用して VPN トラフィックに安全なトンネルをセット
アップすると、TCP/IP パケットの情報の安全が確保されます(トンネル タイプが ESP の場合
は暗号化されます)。IP パケット(ヘッダーおよびペイロード)は別の IP ペイロードに埋め込
まれ、新しいヘッダーが適用され、IPSec トンネルを経由して送信されます。新しいヘッダーの
送信元 IP アドレスはローカル VPN ピアのアドレスであり、宛先 IP アドレスはトンネルの反対
側の VPN ピアのアドレスです。パケットがリモート VPN ピア(トンネルの反対側のファイア
ウォール)に達すると、外部ヘッダーが削除され、元のパケットがその宛先に送信されます。
VPN トンネルをセットアップするには、最初にピアを認証する必要があります。認証に成功し
たら、ピアは暗号化メカニズムおよびアルゴリズムをネゴシエートして、通信を安全にしま
す。Internet Key Exchange (IKE) プロセスが VPN ピアの認証に使用され、VPN 通信を保護するた
めに IPSec Security Associations (SA) がトンネルの両端で定義されます。IKE はデジタル証明書ま
たは事前共有鍵、および Diffie Hellman 鍵を使用して IPSec トンネル用の SA をセットアップしま
す。SA は Security Parameter Index (SPI)、セキュリティ プロトコル、暗号化キー、宛先 IP アドレ
スなどの安全な伝送に必要なすべてのパラメータ、暗号化、データ認証、データ整合性、エン
ドポイント認証を指定します。
以下の図は、2 つのサイト間の VPN トンネルを示しています。VPN ピア A によって保護された
クライアントが他のサイトに設置されたサーバーのコンテンツを必要とする場合、VPN ピア A
は VPN ピア B への接続要求を開始します。セキュリティ ポリシーによって接続が許可される
場合、VPN ピア A は IKE 暗号のプロファイル パラメータ(IKE フェーズ 1)を使用して安全な
接続を確立し、VPN ピア B を認証します。次に、VPN ピア A は IPSec 暗号のプロファイルを使
用して VPN トンネルを確立し、これによって IKE フェーズ 2 パラメータを定義して、2 つのサ
イト間の安全なデータ転送を可能にします。
図 : サイト間 VPN
538
仮想プライベート ネットワーク
VPN
サイト間 VPN の概念
サイト間 VPN の概念
VPN 接続により、2 つ以上のサイト間で安全に情報にアクセスできるようになります。リソー
スへの安全なアクセスを可能にして接続の信頼性を高めるために、VPN 接続には以下のコン
ポーネントが必要です。

IKE ゲートウェイ

トンネル インターフェイス

トンネル モニタ

VPN 用の Internet Key Exchange (IKE)
IKE ゲートウェイ
Palo Alto Networks ファイアウォール同士、またはファイアウォールと別のセキュリティ デバイ
スが 2 つのネットワーク間で VPN 接続を開始して終了する場合、これらは IKE ゲートウェイと
呼ばれます。VPN トンネルをセットアップして IKE ゲートウェイ間でトラフィックを送信する
には、各ピアにスタティックまたはダイナミックな IP アドレスまたは FQDN が必要です。
VPN ピアは事前共有鍵または証明書を使用して相互に認証します。
ピアは、VPN トンネルをセットアップするためのモード(main または aggressive)と IKE フェー
ズ 1 における SA のライフタイムをネゴシエートする必要があります。main モードはピアの ID
を保護し、トンネルをセットアップするときにより多くのパケットが交換されるため安全性が
高いモードです。両方のピアでサポートされている場合、IKE ネゴシエーションのための推奨
モードは main モードです。aggressive モードは VPN トンネルをセットアップするために使用す
るパケットが少ないため、高速ですが VPN トンネルをセットアップする場合に安全性が劣る選
択肢です。
設定の詳細については、「IKE ゲートウェイのセットアップ」を参照してください。
トンネル インターフェイス
VPN トンネルをセットアップするには、両端のレイヤー 3 インターフェイスに VPN トンネルを
接続して確立するためのファイアウォール用の論理トンネル インターフェイスが必要です。ト
ンネル インターフェイスとは、2 つのエンドポイント間でトラフィックを配信するために使用
される論理(仮想)インターフェイスです。各トンネル インターフェイスの IPSec トンネル数
の上限は 10 個です。つまり、最大 10 個のネットワークにファイアウォール上の同じトンネル
インターフェイスを関連付けられます。
トンネル インターフェイスはポリシーを適用するセキュリティ ゾーンに属する必要があり、既
存のルーティング インフラストラクチャを使用するには仮想ルーターに割り当てる必要があり
ます。ファイアウォールがルート検索を実行して、使用する適切なトンネルを判断できるよう
に、トンネル インターフェイスと物理インターフェイスが同じ仮想ルーターに割り当てられる
ようにします。
仮想プライベート ネットワーク
539
サイト間 VPN の概念
VPN
一般に、トンネル インターフェイスが接続されたレイヤー 3 インターフェイスは、たとえば
Untrust ゾーンなどの外部ゾーンに属します。トンネル インターフェイスは物理インターフェイ
スと同じセキュリティ ゾーンに配置できますが、安全性と可視性を高めるため、トンネル イン
ターフェイス用に別個のゾーンを作成することができます。トンネル インターフェイス用に、
たとえば VPN ゾーンなどの個別のゾーンを作成する場合、VPN ゾーンと Trust ゾーン間でトラ
フィックが流れるようにセキュリティ ポリシーを作成する必要があります。
サイト間のトラフィックのルーティングでは、トンネル インターフェイスに IP アドレスは必要
ありません。IP アドレスが必要になるのは、トンネル モニタリングを有効にする場合か、トン
ネル間のトラフィックをルーティングするためにダイナミック ルーティング プロトコルを使用
している場合のみです。ダイナミック ルーティングでは、トンネル IP アドレスは VPN トンネ
ルへのトラフィックをルーティングするためのネクスト ホップ IP アドレスとして機能します。
ポリシーベースの VPN を実行する VPN ピアで Palo Alto Networks ファイアウォールを設定して
いる場合、IPSec トンネルをセットアップするときにローカルおよびリモートのプロキシ ID を
設定する必要があります。各ピアは、IKE フェーズ 2 ネゴシエーションを成功させるために、
ここで設定したプロキシ ID をパケットで実際に受信する ID と比較します。複数のトンネルが
必要な場合、各トンネル インターフェイスに一意のプロキシ ID を設定します。1 つのトンネル
インターフェイスに最大 250 個のプロキシ ID を設定できます。各プロキシ ID はファイア
ウォールの IPSec VPN トンネル容量にカウントされます。トンネル容量はファイアウォールの
モデルごとに異なります。
設定の詳細については、「IPSec トンネルのセットアップ」を参照してください。
トンネル モニタ
VPN トンネルでは、トンネルを経由して宛先 IP アドレスへの接続を確認できます。ファイア
ウォールでネットワーク モニタリング プロファイルを使用することで、宛先 IP アドレスへの
接続(ICMP を使用)または指定したポーリング間隔でネクスト ホップを確認し、モニタリン
グ対象 IP アドレスへのアクセスで障害が発生した場合のアクションを指定できます。
宛先 IP にアクセスできない場合、トンネルが回復するのを待機するようにファイアウォールを
設定するか、別のトンネルへの自動フェイルオーバーを設定できます。どちらの場合も、ファ
イアウォールはトンネル障害を警告するシステム ログを生成し、IPSec 鍵を再ネゴシエートし
て回復を加速させます。
デフォルトのモニタリング プロファイルは、トンネルが回復するのを待機するように設定され
ています。ポーリング間隔は 3 秒間で、障害しきい値は 5 です。
設定の詳細については、「トンネル モニタリングのセットアップ」を参照してください。
540
仮想プライベート ネットワーク
VPN
サイト間 VPN の概念
VPN 用の Internet Key Exchange (IKE)
IKE プロセスにより、トンネル両端の VPN ピアは、相互に合意したキーまたは証明書、および
暗号化方法を使用して、パケットを暗号化および復号化することができます。IKE プロセス
は、IKE フェーズ 1 と IKE フェーズ 2 の 2 つのフェーズで行われます。各フェーズは、暗号プ
ロファイル(IKE プロファイルおよび IPSec 暗号プロファイル)を使用して定義されたキーと暗
号化アルゴリズムを使用し、IKE ネゴシエーションの結果が Security Association (SA) です。SA は
相互に合意されたキーとアルゴリズムのセットで、VPN トンネルでのデータのフローを許可す
るため両方の VPN ピアによって使用されます。以下の図は、VPN トンネルをセットアップす
るための鍵交換プロセスを示しています。
IKE フェーズ 1
このフェーズでは、ファイアウォールは IKE ゲートウェイ設定で定義されたパラメータおよび
IKE 暗号プロファイルを使用して相互に認証し、安全な制御チャネルをセットアップします。
IKE フェーズは、VPN ピアの相互認証に事前共有鍵またはデジタル証明書(公開鍵インフラス
トラクチャ (PKI) を使用)の使用をサポートしています。事前共有鍵は PKI インフラストラク
チャのサポートを必要としないため、小規模なネットワークを保護するための単純なソリュー
ションです。大規模なネットワーク、またはより堅牢な認証セキュリティが必要な実装では、
デジタル証明書の方が適しています。
証明書を使用する場合、証明書を発行する CA が両方のゲートウェイ ピアによって信頼されて
おり、証明書チェーン内の証明書の最大長が 5 以下であることを確認します。IKE フラグメン
テーションを有効にすると、ファイアウォールは証明書チェーン内の最大 5 個の証明書で IKE
メッセージを再アセンブルし、正常に VPN トンネルを確立できます。
IKE 暗号プロファイルは、IKE SA ネゴシエーションで使用される以下のオプションを定義し
ます。
仮想プライベート ネットワーク
541
サイト間 VPN の概念
VPN

IKE 用の対象鍵を生成するための Diffie-Hellman (DH) グループ。Diffie Hellman アルゴリズム
は、一方の秘密鍵ともう一方の公開鍵を使用して共有のシークレットを作成します。これ
は、両方の VPN トンネル ピアによって共有される暗号化鍵です。ファイアウォールでサ
ポートされる DH グループは、グループ 1 — 768 ビット、グループ 2 — 1024 ビット(デフォ
ルト)、グループ 5 — 1536 ビット、グループ 14 — 2048 ビットです。

認証オプション — sha1、sha 256、sha 384、sha 512、md5

暗号化アルゴリズム — 3des、aes128、aes192、aes256
IKE フェーズ 2
トンネルが保護されて認証されると、フェーズ 2 では、ネットワーク間でのデータ送受信のた
めにチャネルがさらに保護されます。IKE フェーズ 2 では、プロセスのフェーズ 1 で確立され
たキーと、IKE フェーズ 2 で使用する IPSec プロトコルとキーを定義する IPSec 暗号プロファイ
ルを使用します。
IPSEC は、以下のプロトコルを使用して安全な通信を可能にします。

Encapsulating Security Payload (ESP) — IP パケット全体を暗号化し、送信元を認証してデータの
整合性を確認できます。ESP ではパケットを暗号化して認証する必要がありますが、暗号化
オプションを [ ヌル ] に設定することで暗号化のみまたは認証のみを行うように設定できま
す。認証をせずに暗号化を使用するのは推奨されません。

Authentication Header (AH) — パケットの送信元を認証し、データの整合性を確認します。AH
はデータ ペイロードを暗号化しないため、データ保護が重要なデプロイメントには適してい
ません。AH は、データ保護が必要でなく、主な懸念がピアの正当性を確認することである
場合によく使用されます。
表 : IPSEC 認証および暗号化でサポートされるアルゴリズム
ESP
AH
サポートされる Diffie Hellman 交換オプション
• グループ 1 — 768 ビット
• グループ 2 — 1024 ビット(デフォルト)
• グループ 5 — 1536 ビット
• グループ 14 — 2048 ビット
• no-pfs — デフォルトでは、Perfect Forward Secrecy (pfs) が有効です。PFS が有効の場合、上
記のグループのいずれかを使用して新しい DH 鍵が IKE フェーズ 2 で生成されます。この
キーは IKE フェーズ 1 で交換されるキーと関係ないため、より安全にデータを送受信でき
ます。
No-pfs は、フェーズ 1 で作成された DH 鍵が更新されず、1 つのキーが IPSEC SA ネゴシ
エーションに使用されることを示しています。両方の VPN ピアを Perfect Forward Secrecy に
ついて有効化または無効化する必要があります。
542
仮想プライベート ネットワーク
サイト間 VPN の概念
VPN
ESP
AH
サポートされる暗号化アルゴリズム
• トリプル DES 暗号化
• aes128
• aes192
• aes256
• aes128ccm16
• ヌル
サポートされる認証アルゴリズム
• md5
• md5
• sha 1
• sha 1
• sha 256
• sha 256
• sha 384
• sha 384
• sha512
• sha 512
• none
IPSec VPN トンネルを保護するための方法(IKE フェーズ 2)
IPSec VPN トンネルは、手動キーまたは自動キーを使用して保護できます。さらに、IPSec の設
定オプションには、Diffie-Hellman グループによる鍵共有、暗号化アルゴリズム、およびメッ
セージ認証のためのハッシュなどがあります。

手動キー — 手動キーは一般に、Palo Alto Networks ファイアウォールがレガシー デバイスと
の VPN トンネルを確立しているか、セッション キーを生成するオーバーヘッドを軽減する
場合に使用されます。手動キーを使用する場合、同じキーを両方のピアで設定する必要があ
ります。
ピア間でキー情報をリレーする際にセッション キーが解読されるおそれがあるため、VPN
トンネルを確立する場合、手動キーは推奨されません。キーが解読されると、データの送受
信が保護されなくなります。

自動キー — 自動キーを使用すると、IPSec 暗号プロファイルで定義されたアルゴリズムに基
づいて IPSec トンネルをセットアップしてメンテナンスするためにキーを自動的に生成でき
ます。
仮想プライベート ネットワーク
543
サイト間 VPN のセットアップ
VPN
サイト間 VPN のセットアップ
サイト間 VPN をセットアップするには、以下の手順を実行します。

Ethernet インターフェイス、仮想ルーター、およびゾーンが正しく設定されていることを確認
してください。詳細は、「インターフェイスおよびゾーンの設定」を参照してください。

トンネル インターフェイスを作成します。トンネル インターフェイスを別のゾーンに置き、
トンネル対象トラフィックで異なるポリシーを使用できるようにするのが理想的です。

スタティック ルートをセットアップするか、またはルーティング プロトコルを割り当て、
VPN トンネルにトラフィックを転送します。ダイナミック ルーティング(OSPF、BGP、
RIP がサポートされます)をサポートするには、IP アドレスをトンネル インターフェイス
に割り当てる必要があります。

VPN トンネルの両端にあるピア間の通信を確立するために IKE ゲートウェイを定義します。
また、IKEv1 フェーズ 1 で VPN トンネルをセットアップするために使用する ID、認証、暗
号化のプロトコルおよびアルゴリズムを指定する暗号プロファイルも定義します。「IKE ゲー
トウェイのセットアップ」および「IKE 暗号プロファイルの定義」を参照してください。

VPN を経由してデータを転送する IPSec 接続を確立するために必要なパラメータを設定しま
す。「IPSec トンネルのセットアップ」を参照してください。IKEv1 フェーズ 2 について
は、「IPSec 暗号プロファイルの定義」を参照してください。

(任意)ファイアウォールによる IPSec トンネルのモニター方法を指定します。「トンネル
モニタリングのセットアップ」を参照してください。

セキュリティ ポリシーを定義し、トラフィックのフィルタリングおよび検証を行います。
セキュリティ ルールベースの最後に拒否ルールがある場合、許可されていない限りゾーン内の
トラフィックはブロックされます。IKE および IPSec アプリケーションを許可するルールは、
上記の拒否ルールに明示的に含まれている必要があります。
以上の作業を実行すると、トンネルを使用できるようになります。ポリシーで定義されるゾー
ン / アドレスを宛先とするトラフィックは、ルーティング テーブルの宛先ルートに基づいて自
動的に適切にルーティングされ、VPN トラフィックとして処理されます。サイト間 VPN の例
は、「サイト間 VPN のクイック設定」を参照してください。
544
仮想プライベート ネットワーク
サイト間 VPN のセットアップ
VPN
IKE ゲートウェイのセットアップ
VPN トンネルをセットアップするには、VPN ピアまたはゲートウェイが事前共有鍵またはデジ
タル証明書を使用して相互に認証し、安全なチャネルを確立して、両側のホスト間でトラ
フィックを保護するために使用される IPSec Security Association (SA) をネゴシエートします。
IKE ゲートウェイのセットアップ
ステップ 1
ステップ 2
ステップ 3
新しい「IKE ゲートウェイ」 1.
を定義します。
[Network] > [ ネットワーク プロファイル ] > [IKE ゲー
トウェイ ] の順に選択し、[ 名前 ] フィールドに新しい
ゲートウェイ設定の名前を入力します。
2.
ファイアウォールで発信 [ インターフェイス ] を選択し
ます。
3.
[ ローカル IP アドレス ] ドロップダウン リストから、
VPN 接続のエンドポイントとして使用する IP アドレ
スを選択します。これは、ファイアウォールでパブ
リックにルーティング可能な IP アドレスが設定されて
いる外向きのインターフェイスです。
トンネルの反対側のピアの設 1.
定を定義します。
[ ピア IP タイプ ] でピアが使用する IP アドレスを [ ス
タティック ] と [ ダイナミック ] から選択します。
2.
[ ピア IP アドレス ] がスタティックな場合、ピアの IP
アドレスを入力します。
ピア認証方法を選択します。
• [事前共有鍵] の設定は、ステップ 4 を参照してください。
これは、スタティックなピア • デジタル [証明書] の設定は、ステップ 5 を参照してくだ
さい。
でもダイナミックなピアでも
必要です。
ステップ 4
事前共有鍵を設定します。
1.
トンネル間の認証に使用されるセキュリティ キーを入
力します。このキーは、両方のピアで同じである必要
があります。
辞書攻撃で解読されにくいキーを生成します。必要に
応じて、事前共有鍵生成プログラムを使用します。
2.
仮想プライベート ネットワーク
ステップ 6 に進みます。
545
サイト間 VPN のセットアップ
VPN
IKE ゲートウェイのセットアップ(続き)
ステップ 5
証明書ベースの認証を設定し 1.
ます。
証明書ベースの認証の前
提条件は以下のようにな
ります。
– 署名付き証明書の取得 : 詳細
は、「フ ァイア ウォ ールで の
証 明 書 の 生 成」ま た は「外 部
CA からの証明書の取得」を参 2.
照してください。
– 証明書プロファイルの設定 : 証
明 書 プ ロ フ ァ イ ル で は、IKE
3.
ゲートウェイがそのピアとの
証明書認証をネゴシエートお
よび検証する場合に使用する
設 定 が 定 義 さ れ て い ま す。
「証 明 書 プ ロ フ ァ イ ル の 設 4.
定」を参照してください。
5.
546
[ 認証 ] 方法として [ 証明書 ] を選択し、[ ローカル証明
書 ] ドロップダウン リストから署名付き証明書を選択
します。
デバイスが複数の仮想システムで使用できるように
なっており、証明書が 1 つの仮想システムに属してい
る場合、その証明書は、IKE ゲートウェイで使用され
るインターフェイスと同じ仮想システムに存在する必
要があります。
[ ローカル ID] ドロップダウン リストから、[IP address]、
[FQDN (hostname)]、[User FQDN (email address)]、
[Distinguished Name (subject)] のいずれかのタイプを選択
し、その値を入力します。
[ ピア ID] ドロップダウン リストから、[IP address]、
[FQDN (hostname)]、[User FQDN (email address)]、
[Distinguished Name (subject)] のいずれかのタイプを選択
して値を入力します。
使用する [ 証明書プロファイル ] を選択します。
ステップ 6 に進みます。
仮想プライベート ネットワーク
サイト間 VPN のセットアップ
VPN
IKE ゲートウェイのセットアップ(続き)
ステップ 6
IKE フェーズ 1 ネゴシエーショ 1.
ンの追加パラメータを設定しま
す — 交換モード、暗号プロ
ファイル、IKE フラグメンテー 2.
ション、デッド ピア検出。
[Network] > [ ネットワーク プロファイル ] > [IKE ゲー
トウェイ ] の順に選択し、[ 詳細フェーズ 1 のオプショ
ン ] タブを選択します。
[ 交換モード ] として auto、aggressive、または main
を選択します。
デバイスが auto の鍵交換モードを使用するように設定
されている場合、main モードと aggressive モードの両方
のネゴシエーション要求を受け入れることができます
が、可能な場合は常にネゴシエーションを開始して
main モードで鍵交換ができるようにします。
交換モードを auto に設定していない場合、両方
の VPN ピアを同じ交換モードで設定し、各ピア
がネゴシエーション要求を受け入れるようにで
きます。
3.
[IKE 暗号プロファイル ] ドロップダウン リストから既
存のプロファイルを選択するか、デフォルト プロファ
イルのままにします。IKE 暗号プロファイルの詳細
は、「IKE 暗号プロファイルの定義」を参照してくだ
さい。
4.
ファイアウォールが KE 接続に応答するのみで、IKE
接続を開始しないようにするには、[ パッシブ モードヲ
有効にする ] をオンにします。
5.
IKE および UDP プロトコルで UDP カプセル化が使用さ
れ、中間 NAT デバイスを通過できるようにするには、
[NAT トラバーサルを有効にする ] をオンにします。
6.
(証明書ベースの認証を使用していて交換モードが
aggressive モードに設定されていない場合のみ)ファ
イアウォールが IKE フラグメンテーションで動作する
ようにするには、[ フラグメンテーションを有効にする ]
をオンにします。
7.
[ デッド ピア検出 ] チェック ボックスをオンにして、[ 間
隔 ] を入力します(2 ~ 100 秒)。可用性を再確認する
前に、[ 再試行 ] で遅延する時間(2 ~ 100 秒)を定義
します。
デッド ピア検出は、IKE フェーズ 1 通知ペイロードを
ピアに送信して確認を待機することで、無効または使
用できない IKE ピアを識別します。
ステップ 7
変更を保存します。
仮想プライベート ネットワーク
[OK]、[ コミット ] の順にクリックします。
547
サイト間 VPN のセットアップ
VPN
暗号プロファイルの定義
暗号プロファイルは、2 つの IKE ピア間の認証や暗号化に使用される暗号と、キーのライフタ
イムを指定します。各再ネゴシエーション間の期間はライフタイムとして知られます。指定し
た時間が経過すると、ファイアウォールは新しいキーのセットを再ネゴシエートします。
VPN トンネルを経由した通信を保護するため、ファイアウォールでは、IKE フェーズ 1 と フェー
ス 2 のネゴシエーションの完了に、それぞれ IKE と IPSec 暗号プロファイルが必要です。ファ
イアウォールにはデフォルトの IKE 暗号プロファイルとデフォルトの IPSec 暗号プロファイル
が含まれており、すぐに使用できます。

IKE 暗号プロファイルの定義

IPSec 暗号プロファイルの定義
IKE 暗号プロファイルの定義
IKE 暗号プロファイルは、IKE フェーズ 1 の鍵交換プロセスに使用される暗号化および認証アル
ゴリズムと、キーが有効な期間を指定するキーのライフタイムをセットアップするために使用
されます。プロファイルを呼び出すには、IKE ゲートウェイ設定に関連付ける必要があります。
同じインターフェイスまたはローカル IP アドレスで設定されたすべての IKE ゲートウェイ
は、同じ暗号プロファイルを使用する必要があります。
IKE 暗号プロファイルの定義
ステップ 1
新しい IKE プロファイルを作成 1.
します。
[Network] > [ ネットワーク プロファイル ] > [IKE 暗号 ]
の順に選択し、[ 追加 ] をクリックします。
2.
[ 名前 ] フィールドに新しいプロファイルの名前を入力
します。
ステップ 2
鍵交換をセットアップするた [ 追加 ] をクリックし、DH グループに使用するキーの強度
めに使用する DH グループを を選択します。
選択します。
VPN が何をサポートしているか不明な場合、複数の DH グ
ループを選択します。強度の最も高い暗号がトンネルの
セットアップに使用されるように、強度によって暗号のリ
ストを優先順位付けします。
ステップ 3
認証および暗号化アルゴリズ [ 追加 ] をクリックし、IKE ピア間の通信に使用する [ 認証 ]
ムを選択します。
および [ 暗号化 ] アルゴリズムを選択します。
複数のアルゴリズムを選択すると、ピアは両方の IKE ピア
でサポートされている強度の最も高い暗号 / アルゴリズム
を使用できます。
ステップ 4
548
キ ー が 有 効 な 期 間 を 指 定 し キーが有効な [ ライフタイム ] を選択します。各再ネゴシ
ます。
エーション間の期間はライフタイムとして知られます。指
定した時間が経過すると、ファイアウォールは新しいキー
のセットを再ネゴシエートします。
仮想プライベート ネットワーク
サイト間 VPN のセットアップ
VPN
IKE 暗号プロファイルの定義(続き)
ステップ 5
IKE 暗号プロファイルを保存し [OK] をクリックし、[Commit] をクリックします。
ます。
ステップ 6
IKE 暗号プロファイルを IKE 「IKE ゲートウェイのセットアップ」のステップ 6 を参照
ゲートウェイ設定に関連付け してください。
ます。
IPSec 暗号プロファイルの定義
IPSec 暗号プロファイルは IKE フェーズ 2 で呼び出されます。IKE SA のキーを自動的に生成す
るために自動キー IKE を使用する場合にトンネル内でデータを保護する方法を指定します。
IPSec 暗号プロファイルの定義
ステップ 1
新しい IPSec プロファイルを作 1.
成します。
[Network] > [ ネットワーク プロファイル ] > [IPSec 暗
号 ] の順に選択し、[ 追加 ] をクリックします。
2.
[ 名前 ] フィールドに新しいプロファイルの名前を入力
します。
3.
トンネルを通過するデータを保護するために適用する
[IPSec プロトコル ] を ESP と AH から選択します。
4.
[ 追加 ] をクリックし、ESP の [ 認証 ] および [ 暗号化 ]
アルゴリズム、AH の [ 認証 ] アルゴリズムを選択し、
トンネルを経由するデータの転送を保護するために
IKE ピアがキーをネゴシエートできるようにします。
複数のアルゴリズムを選択すると、ピアは両方の IKE
ピアでサポートされている強度の最も高い暗号 / アル
ゴリズムを使用できます。
ステップ 2
IKE フェーズ 2 で IPSec SA に使 1.
用する DH グループを選択し
ます。
[DH グループ ] ドロップダウンから、使用するキーの強
度を選択します。
2.
フェーズ 1 で作成されたキーを更新しない場合、[no-pfs]
を選択すると、現在のキーが IPSEC SA ネゴシエーショ
ンに再利用されます。
仮想プライベート ネットワーク
反対側のピアがどのキーの強度をサポートしているか
不明な場合、複数の DH グループを選択します。トン
ネルをセットアップするために最も強度の高い暗号が
使用されます。
549
サイト間 VPN のセットアップ
VPN
IPSec 暗号プロファイルの定義(続き)
ステップ 3
キーの期間、つまり時間とトラ 時間とトラフィック量の組み合わせを使用すると、データ
フィックの量を指定します。
の安全性を確保できます。
キーが有効な [ ライフタイム ] または期間を選択します。指
定した時間が経過すると、ファイアウォールは新しいキー
のセットを再ネゴシエートします。
[ライフサイズ]、つまりそれを過ぎるとキーを再ネゴシエー
トする必要のあるデータの量を選択します。
ステップ 4
IPSec プロファイルを保存し [OK] をクリックし、[Commit] をクリックします。
ます。
ステップ 5
IPSec プロファイルを IPSec ト ステップ 4 を参照してください。
ンネル設定に関連付けます。
550
仮想プライベート ネットワーク
サイト間 VPN のセットアップ
VPN
IPSec トンネルのセットアップ
IPSec トンネル設定により、データ(IP パケット)がトンネルを通過するときに、データの認証
や暗号化を行うことができます。
ポリシーベースの VPN をサポートするピアと連携するように Palo Alto Networks ファイアウォー
ルをセットアップしている場合、プロキシ ID を定義する必要があります。ポリシーベースの
VPN をサポートするデバイスは、興味のあるトラフィックが IPSec トンネルを通過するのを許
可するために特定のセキュリティ ルール / ポリシーまたはアクセスリスト(送信元アドレス、
宛先アドレス、およびポート)を使用します。これらのルールはクイック モード /IKE フェー
ズ 2 ネゴシエーション中に参照され、プロセスの最初または 2 番目のメッセージのプロキシ ID
とし て 交 換さ れ ます。そ のた め、ポリ シ ーベ ー スの VPN ピア と 連携 す るよ う に Palo Alto
Networks ファイアウォールを設定している場合、フェーズ 2 ネゴシエーションを成功させるに
は、両方のピアで設定がまったく同じになるようにプロキシ ID を定義する必要があります。
Palo Alto Networks ファイアウォールでルートベース VPN がサポートされているためにプロキシ
ID が設定されていない場合、プロキシ ID として使用されるデフォルト値は、送信元 IP が
0.0.0.0/0、宛先 IP が 0.0.0.0/0、およびアプリケーションが any です。これらの値がピアとの間で
交換されると、VPN 接続のセットアップで障害が発生します。
IPSec トンネルのセットアップ
ステップ 1
[Network] > [IPSec トンネル ] > [ 全般 ] の順に選択し、[ 名前 ] フィールドに新しいトンネ
ルの名前を入力します。
ステップ 2
IPSec トンネルをセットアップするために使用する [ トンネル インターフェイス ] を選択し
ます。
– 新しいトンネル インターフェイスを作成するには、以下の手順を実行します。
1. [Network] > [インターフェイス] > [トンネル] の順に選択し、[追加] をクリックします。
2. [ インターフェイス名 ] フィールドで、「.2」などの数値のサフィックスを指定します。
3. [ 設定 ] タブで、[ セキュリティ ゾーン ] ドロップダウン リストを展開して以下のように
ゾーンを定義します。
• トンネルの終端点として Trust ゾーンを使用するには、ドロップダウン リストからゾー
ンを選択します。トンネル インターフェイスをパケットがファイアウォールに入る外向
きのインターフェイスとして同じゾーン(および仮想ルーター)に関連付けると、ゾー
ン間ルーティングを作成する必要性が低くなります。
•(推奨)VPN トンネル終端のために個別のゾーンを作成するには、[ 新規 - ゾーン ] をク
リックします。[ ゾーン ] ダイアログの [ 名前 ] で「vpn-corp」などの名前を付けて新しい
ゾーンを定義し、[OK] をクリックします。
4. [ 仮想ルーター] ドロップダウン リストで、[ デフォルト ] を選択します。
5. (任意)IPv4 アドレスをトンネル インターフェイスに割り当てるには、[IPv4] タブを選
択してから [IP] セクションで [ 追加 ] をクリックし、インターフェイスに割り当てる IP ア
ドレスとネットマスク(例 : 10.31.32.1/32)を入力します。
6. IPv6 アドレスをトンネル インターフェイスに割り当てる場合は、ステップ 3 を参照して
ください。
7. インターフェイス設定を保存するには、[OK] をクリックします。
仮想プライベート ネットワーク
551
サイト間 VPN のセットアップ
VPN
IPSec トンネルのセットアップ(続き)
ステップ 3
(任意)インタ ーフ ェイス で 1.
IPv6 を有効化します。
[Network] > [ インターフェイス ] > [ トンネル ] > [IPv6]
の順に選択し、[IPv6] タブを選択します。
2.
[ インターフェイスでの IPv6 の有効化 ] チェック ボッ
クスをオンにします。
このオプションを使用すると、IPv6 トラフィックを
IPv4 IPSec トンネル経由でルーティングでき、IPv6 ネッ
トワーク間の機密性が確保されます。IPv6 トラフィッ
クは、IPv4 でカプセル化された後で ESP でカプセル化
されます。IPv6 トラフィックをトンネルにルーティン
グするには、トンネルへのスタティック ルートを使用
するか、OSPFv3 を使用するか、ポリシー ベース フォ
ワーディング (PBF) ルールを使用してトラフィックを
トンネルに導くことができます。
3.
64 ビット拡張一意 [ インターフェイス ID] を 16 進数形式
で入力します(たとえば、00:26:08:FF:FE:DE:4E:29)。
デフォルトでは、物理インターフェイスの MAC アド
レスから生成された EUI-64 がファイアウォールで使用
されます。
4.
IPv6 の [ アドレス ] を入力するには、[ 追加 ] をクリッ
クして IPv6 アドレスおよびプレフィックス長を入力し
ます(2001:400:f00::1/64 など)。[プレフィックス] が選
択されていない場合、インターフェイスに割り当てる
IPv6 アドレスをアドレス テキスト ボックスですべて指
定します。
a. インターフェイス ID をアドレスのホスト部分に使用
するインターフェイスに IPv6 アドレスを割り当てる
には、[ ホスト部分にインターフェイス ID を使用 ] を
選択します。
b. 最も近いノードを経由するルーティングを含めるに
は [ エニーキャスト ] を選択します。
ステップ 4
552
IPSec トンネルを保護するために 使用するキー交換のタイプに応じて、以下のいずれかの手
使用するキーのタイプを選択 順に進みます。
します。
• 自動キー交換をセットアップします。
• 自動キー交換をセットアップします。 1.
IKE ゲートウェイを選択します。IKE ゲートウェイを
セットアップするには、「IKE ゲートウェイのセット
アップ」を参照してください。
2.
(任意)デフォルトの IPSec 暗号プロファイルを選択し
ます。新しい IPSec プロファイルを作成するには、
「IPSec 暗号プロファイルの定義」を参照してください。
仮想プライベート ネットワーク
サイト間 VPN のセットアップ
VPN
IPSec トンネルのセットアップ(続き)
• 手動キー交換をセットアップします。 1.
ローカル ファイアウォールのパラメータをセットアッ
プします。
a. ローカル ファイアウォールの [SPI] を指定します。
SPI とは、IPSec トラフィック フロー間の差をアシス
トするためにトンネルする IPSec のヘッダーに追加さ
れる 32 ビット 16 進数です。VPN トンネルを確立す
るために必要な SA を作成するために使用されます。
b. トンネル エンドポイントとなる [ インターフェイス ]
を選択し、任意でトンネルのエンドポイントである
ローカル インターフェイスの IP アドレスを選択し
ます。
c. 使用するプロトコルを [AH] または [ESP] から選択
します。
d. [AH] を選択した場合、ドロップダウン リストから
[ 認証 ] 方法を選択し、[ キー] に続いて [ 再入力 キー]
を入力します。
e. [ESP] を選択した場合、ドロップダウン リストから
[ 認証 ] 方法を選択し、[ キー] に続いて [ 再入力 キー]
を入力します。次に、[暗号化] 方法を選択して必要に
応じて [ キー] に続いて [ 再入力 キー] を入力します。
2.
リモート VPN ピアに関連するパラメータをセットアッ
プします。
a. リモート ピアの [SPI] を指定します。
b. [ リモート アドレス ]、つまりリモート ピアの IP ア
ドレスを入力します。
ステップ 5
リプレイ攻撃に対して保護し [詳細オプションの表示] チェック ボックスをオンにして、
[ リプレイ プロテクションを有効にする ] を選択してリプレ
ます。
イ攻撃を検出して無力化します。
リプレイ攻撃は、パケットが
悪意を持って傍受され、再送
信されることによって行われ
ます。
ステップ 6
IP パケットの優先順位または処 [ 詳細オプションの表示 ] セクションで、[TOS ヘッダーの
置について Type of Service ヘッ コ ピ ー] を 選 択 し ま す。こ れ に よ り、元 の TOS (Type of
Service) 情報を保持するため、カプセル化されたパケット
ダーを保持します。
の内部 IP ヘッダーから外部 IP ヘッダーに TOS ヘッダーを
コピーします。
仮想プライベート ネットワーク
553
サイト間 VPN のセットアップ
VPN
IPSec トンネルのセットアップ(続き)
ステップ 7
トンネル モニタリングを有効化 デバイス管理者にトンネルの障害についてアラートを送信
し、別のトンネル インターフェイスへの自動フェイルオー
します。
バーを実行するには、このオプションを選択します。
モニタニングする場合
1. トンネルが正常に動作しているかどうかを判別するた
は、ト ン ネ ル イ ン タ ー
めに、トンネルの反対側の [ 宛先 IP] アドレスを指定し
フェイスに IP アドレス
ます。
を割り当てる必要があり
2. [ プロファイル ] を選択してトンネル障害時のアクショ
ます。
ンを決定します。新しいプロファイルを作成する方法
については、「トンネル モニタリング プロファイルの
定義」を参照してください。
ステップ 8
(VPN ピアがポリシーベースの 1.
VPN を 使 用 す る 場 合 の み 必
要)。VPN ピアを識別するため 2.
のプロキシ ID を作成します。
ステップ 9
554
変更を保存します。
[Network] > [IPSec トンネル ] > [ プロキシ ID] の順に
選択します。
[ 追加 ] をクリックして VPN ゲートウェイ ピアの IP ア
ドレスを入力します。
[OK]、[ コミット ] の順にクリックします。
仮想プライベート ネットワーク
サイト間 VPN のセットアップ
VPN
トンネル モニタリングのセットアップ
VPN サービスが中断されないようにするために、ファイアウォールでトンネル モニタリング機
能と一緒にデッド ピア検出機能を使用できます。トンネルのステータスをモニタリングするこ
ともできます。これらのモニタリング タスクについては、以下のセクションで説明します。

トンネル モニタリング プロファイルの定義

トンネルの状態の表示
トンネル モニタリング プロファイルの定義
トンネル モニタリング プロファイルにより、VPN ピア間の接続を確認できます。トンネル イ
ンターフェイスが指定した間隔で宛先 IP アドレスに ping を送信するように設定し、トンネル間
の通信が切断された場合のアクションを指定できます。
トンネル モニタリング プロファイルの定義
ステップ 1
[Network] > [ ネットワーク プロファイル ] > [ モニター] の順に選択します。デフォルトの
トンネル モニタリング プロファイルが使用できます。
ステップ 2
[ 追加 ] をクリックし、プロファイルの [ 名前 ] を入力します。
ステップ 3
宛先 IP アドレスに到達できない場合の [ アクション ] を選択します。
• 回復を待機 — ファイアウォールはトンネルが回復するのを待機します。ファイアウォー
ルでは、トンネルがまだアクティブであるかのようにして、そのトンネル インターフェ
イスをルーティング決定で使用し続けます。
• フェイル オーバー — バックアップ パスが使用できる場合、強制的にトラフィックをバッ
クアップ パスに誘導します。ファイアウォールはトンネル インターフェイスを無効化
し、それによってそのインターフェイスを使用するルーティング テーブルのルートが無
効になります。
いずれの場合でも、ファイアウォールは新しい IPSec キーをネゴシエートすることで回復を
早めようとします。
ステップ 4
指定したアクションのトリガーとなる [ 間隔 ] と [ しきい値 ] を指定します。
しきい値は、指定したアクションを行う前に待機するハートビート数を指定します。範囲
は 2 ~ 100、デフォルトは 5 です。
間隔は、ハートビート間の時間を測定します。範囲は 2 ~ 10、デフォルトは 3 秒です。
ステップ 5
モニタリング プロファイルを IPsec トンネル設定に関連付けます。「トンネル モニタリン
グを有効化します。」を参照してください。
仮想プライベート ネットワーク
555
サイト間 VPN のセットアップ
VPN
トンネルの状態の表示
トンネルの状態から、有効な IKE フェーズ 1 およびフェーズ 2 SA が確立されているかどうか、
トンネル インターフェイスが起動していてトラフィックを通過させることができるかどうかが
分かります。
トンネル インターフェイスは論理インターフェイスであるため、物理リンクの状態を示すこと
はできません。したがって、トンネル モニタリングを有効にして、トンネル インターフェイス
で IP アドレスへの接続を確認し、パスが使用できるかどうかを判断できるようにする必要があ
ります。IP アドレスに到達できない場合、ファイアウォールはトンネルが回復するのを待機す
るか、フェイルオーバーします。フェイルオーバーが行われると、既存のトンネルはダウンし
て、ルーティング変更がもたらされ、新しいトンネルがセットアップされてトラフィックが転
送されます。
トンネル状態の表示
1.
[Network] > [IPSec トンネル ] の順に選択します。
2.
トンネルの [ 状態 ] を確認します。
• 緑は、有効な IPSec SA トンネルがあることを表します。
• 赤は、IPSec SA が使用できないか、有効期限が切れていることを表します。
3.
IKE ゲートウェイの [ 状態 ] を確認します。
• 緑は、有効な IKE フェーズ 1 SA があることを表します。
• 赤は、IKE フェーズ 1 SA が使用できないか、有効期限が切れていることを表します。
4.
トンネル インターフェイスの [ 状態 ] を確認します。
• 緑は、トンネル インターフェイスが起動していることを表します。
• 赤は、トンネル インターフェイスがダウンしている(トンネル モニタリングが有効になっていて
状態がダウンであるため)ことを表します。
まだ起動していない VPN トンネルのトラブルシューティングを行う方法については、「VPN
エラー メッセージの解釈」を参照してください。
556
仮想プライベート ネットワーク
サイト間 VPN のセットアップ
VPN
VPN 接続のテスト
接続のテスト
• トンネルを経由してホストに ping を送信するか、以下の CLI コマンドを使用して IKE フェーズ 1 を開
始します。
test vpn ike-sa gateway gateway_name
• 次に、以下のコマンドを入力して IKE フェーズ 1 がセットアップされているかどうかをテストします。
show vpn ike-sa gateway
gateway_name
出力で、Security Association が表示されているかどうかを確認します。表示されていない場合、システ
ム ログ メッセージを確認して失敗の理由を見直します。
• トンネルを経由してホストに ping を送信するか、以下の CLI コマンドを使用して IKE フェーズ 2 を開
始します。
test vpn ipsec-sa tunnel
tunnel_name
• 次に、以下のコマンドを入力して IKE フェーズ 1 がセットアップされているかどうかをテストします。
show vpn ipsec-sa tunnel
tunnel_name
出力で、Security Association が表示されているかどうかを確認します。表示されていない場合、システ
ム ログ メッセージを確認して失敗の理由を見直します。
• トラフィック フロー情報を表示するには、以下のコマンドを使用します。
show vpn-flow
admin@PA-500> show vpn flow
total tunnels configured:
filter - type IPSec, state any
1
total IPSec tunnel configured:
total IPSec tunnel shown:
1
1
name
id
state
local-ip
peer-ip
tunnel-i/f
----------------------------------------------------------------------------vpn-to-siteB
5
active
100.1.1.1
200.1.1.1
tunnel.41
仮想プライベート ネットワーク
557
サイト間 VPN のセットアップ
VPN
VPN エラー メッセージの解釈
以下の表に、システム ログに記録される一般的な VPN エラー メッセージの一部を示します。
表 : VPN に問題がある場合の Syslog エラー メッセージ
エラーの内容
対処法
IKE phase-1 negotiation
is failed as initiator,
main mode. Failed SA:
x.x.x.x[500]-y.y.y.y[50
0]
cookie:84222f276c2fa2e9
:0000000000000000 due to
timeout.
• IKE ゲートウェイ設定で各 VPN ピアのパブリック IP アドレスが正しい
ことを確認します。
• IP アドレスに ping を送信可能であり、接続の失敗の原因がルーティング
の問題ではないことを確認します。
or
IKE phase 1 negotiation
is failed. Couldn’t find
configuration for IKE
phase-1 request for peer
IP x.x.x.x[1929]
Received unencrypted
notify payload (no
proposal chosen) from IP
x.x.x.x[500] to
y.y.y.y[500], ignored...
IKE 暗号プロファイル設定で、両側のプロポーザルに共通の暗号化、認
証、および DH グループ プロポーザルがあることを確認します。
or
IKE phase-1 negotiation
is failed. Unable to
process peer’s SA
payload.
pfs group mismatched:my:
2peer: 0
or
IKE phase-2 negotiation
failed when processing
SA payload. No suitable
proposal found in peer’s
SA payload.
IKE phase-2 negotiation
failed when processing
Proxy ID. Received local
id x.x.x.x/x type IPv4
address protocol 0 port
0, received remote id
y.y.y.y/y type IPv4
address protocol 0 port
0.
558
IPSec 暗号プロファイル設定で、以下を確認します。
• pfs が両方の VPN ピアで有効または無効のいずれかであること
• 各ピアによって提案される DH グループに少なくとも 1 つ共通の DH グ
ループがあること
一方の VPN ピアがポリシーベースの VPN を使用しています。Palo Alto
Networks ファイアウォールでプロキシ ID を設定する必要があります。ス
テップ 8 を参照してください。
仮想プライベート ネットワーク
VPN
サイト間 VPN のクイック設定
サイト間 VPN のクイック設定
以下のセクションでは、一般的な VPN デプロイメントのための手順を説明します。

スタティック ルーティングを使用したサイト間 VPN

OSPF を使用したサイト間 VPN

スタティック ルーティングおよびダイナミック ルーティングを使用したサイト間 VPN
スタティック ルーティングを使用したサイト間 VPN
以下の例は、スタティック ルートを使用する 2 つのサイト間の VPN 接続を示しています。ダイ
ナミック ルーティングを使用しない場合、VPN ピア A および VPN ピア B のトンネル インター
フェイスに IP アドレスは必要ありません。これは、ファイアウォールが、サイト間のトラ
フィックのルーティングのために自動的にトンネル インターフェイスをネクスト ホップとして
使用するためです。ただし、トンネル モニタリングを有効化するために、スタティック IP アド
レスが各トンネル インターフェイスに割り当てられています。
仮想プライベート ネットワーク
559
サイト間 VPN のクイック設定
VPN
クイック設定 : スタティック ルーティングを使用したサイト間 VPN
ステップ 1
レイヤー 3 インターフェイスを 1.
設定します。
このインターフェイスが IKE
フェーズ 1 トンネルに使用され 2.
ます。
3.
[Network] > [ インターフェイス ] > [Ethernet] の順に
選択し、VPN について設定するインターフェイスを選
択します。
[ インターフェイス タイプ ] ドロップダウン リストから
[ レイヤー 3] を選択します。
[設定] タブでインターフェイスが属する [セキュリティ
ゾーン ] を選択します。
• インターフェイスは、信頼されるネットワークの外部
のゾーンからアクセスできる必要があります。VPN
トラフィックを可視化して制御するために、専用の
VPN ゾーンを作成することを検討してください。
• まだゾーンを作成していない場合は、[ セキュリティ
ゾーン ] ドロップダウン リストから [ 新規 - ゾーン ] を
選択し、新しいゾーンの [ 名前 ] を定義してから [OK]
をクリックします。
4.
使用する [ 仮想ルーター] を選択します。
5.
IP アドレスをインターフェイスに割り当てるには、[IPv4]
タブを選択してから IP セクションで [ 追加 ] をクリッ
クし、インターフェイスに割り当てる IP アドレスと
ネットマスク(例 : 192.168.210.26/24)を入力します。
6.
インターフェイス設定を保存するには、[OK] をクリッ
クします。
この例では、VPN ピア A の設定は以下のようにな
ります。
•
•
•
•
インターフェイス — ethernet1/7
セキュリティ ゾーン — Untrust
仮想ルーター — デフォルト
IPv4 — 192.168.210.26/24
VPN ピア B の設定は以下のようになります。
•
•
•
•
560
インターフェイス — ethernet1/11
セキュリティ ゾーン — Untrust
仮想ルーター — デフォルト
IPv4 — 192.168.210.120/24
仮想プライベート ネットワーク
サイト間 VPN のクイック設定
VPN
クイック設定 : スタティック ルーティングを使用したサイト間 VPN(続き)
ステップ 2
トンネル インターフェイスを作 1.
成し、仮想ルーターおよびセ
キュリティ ゾーンに関連付け 2.
ます。
3.
[Network] > [ インターフェイス ] > [ トンネル ] の順に
選択し、[ 追加 ] をクリックします。
[インターフェイス名] フィールドで、「.1」などの数値
のサフィックスを指定します。
[ 設定 ] タブで、[ セキュリティ ゾーン ] ドロップダウン
リストを展開して以下のようにゾーンを定義します。
• トンネルの終端点として Trust ゾーンを使用するには、
ドロップダウン リストからゾーンを選択します。
• (推奨)VPN トンネルの終端のゾーンを別に作成す
るには、[ 新規ゾーン ] をクリックします。[ ゾーン ]
ダイアログの [ 名前 ] で「vpn-tun」などの名前を付け
て新しいゾーンを定義し、[OK] をクリックします。
4.
[ 仮想ルーター] を選択します。
5.
(任意)トンネル インターフェイスに IP アドレスを
割り当て、[IPv4] タブまたは [IPv6] タブを選択してか
ら [IP] セクションで [追加] をクリックし、インターフェ
イスに割り当てる IP アドレスとネットマスクを入力し
ます。
スタティック ルートでは、トンネル インターフェイスに
IP アドレスは必要ありません。指定したサブネット /IP
アドレスを宛先とするトラフィックでは、トンネル イ
ンターフェイスが自動的にネクスト ホップになりま
す。トンネル モニタリングを有効化する場合、IP アド
レスの追加を検討してください。
6.
インターフェイス設定を保存するには、[OK] をクリッ
クします。
この例では、VPN ピア A の設定は以下のようになり
ます。
•
•
•
•
インターフェイス — tunnel.11
セキュリティ ゾーン — vpn_tun
仮想ルーター — デフォルト
IPv4 — 172.19.9.2/24
VPN ピア B の設定は以下のようになります。
•
•
•
•
仮想プライベート ネットワーク
インターフェイス — tunnel.12
セキュリティ ゾーン — vpn_tun
仮想ルーター — デフォルト
IPv4 — 192.168.69.2/24
561
サイト間 VPN のクイック設定
VPN
クイック設定 : スタティック ルーティングを使用したサイト間 VPN(続き)
ステップ 3
仮想ルーターで宛先サブネッ 1.
トへのスタティック ルートを
設定します。
2.
[Network] > [ 仮想ルーター] の順に選択し、上記のス
テップ 4 で定義したルーターをクリックします。
[ スタティック ルート ] を選択し、追加 をクリックして、
トンネルの反対側にあるサブネットにアクセスする新
しいルートを入力します。
この例では、VPN ピア A の設定は以下のようになり
ます。
• 宛先 — 192.168.69.0/24
• インターフェイス — tunnel.11
VPN ピア B の設定は以下のようになります。
• 宛先 — 172.19.9.0/24
• インターフェイス — tunnel.12
ステップ 4
暗号プロファイル(フェーズ 1 1.
では IKE 暗号プロファイル、
フェーズ 2 では IPSec 暗号プロ
ファイル)をセットアップし
ます。
両方のピアでこのタスクを実行
し、必ず同じ値を設定します。 2.
562
[Network] > [ ネットワーク プロファイル ] > [IKE 暗号 ]
の順に選択します。この例では、デフォルトのプロ
ファイルを使用します。
[Network] > [ ネットワーク プロファイル ] > [IPSec 暗
号 ] の順に選択します。この例では、デフォルトのプ
ロファイルを使用します。
仮想プライベート ネットワーク
サイト間 VPN のクイック設定
VPN
クイック設定 : スタティック ルーティングを使用したサイト間 VPN(続き)
ステップ 5
IKE ゲートウェイをセットアッ 1.
プします。
[Network] > [ ネットワーク プロファイル ] > [IKE ゲー
トウェイ ] の順に選択します。
2.
[ 追加 ] をクリックして、[ 全般 ] タブでオプションを設
定します。
この例では、VPN ピア A の設定は以下のようになり
ます。
• インターフェイス — ethernet1/7
• ローカル IP アドレス — 192.168.210.26/24
• ピア IP タイプ / アドレス — スタティック
/192.168.210.120
• 事前共有鍵 — 値を入力
• ローカル ID — なし。ローカル ID 値としてロー
カル IP アドレスが使用されます。
VPN ピア B の設定は以下のようになります。
• インターフェイス — ethernet1/11
• ローカル IP アドレス — 192.168.210.120/24
• ピア IP タイプ / アドレス — スタティック
/192.168.210.26
3.
仮想プライベート ネットワーク
• 事前共有鍵 — ピア A と同じ値を入力
• ローカル ID — なし
[ 詳細フェーズ 1 のオプション ] を選択し、IKE フェー
ズ 1 で使用するために以前に作成した IKE 暗号プロ
ファイルを選択します。
563
サイト間 VPN のクイック設定
VPN
クイック設定 : スタティック ルーティングを使用したサイト間 VPN(続き)
ステップ 6
IPSec トンネルをセットアップし 1.
ます。
2.
[Network] > [IPSec トンネル ] の順に選択します。
[ 追加 ] をクリックして、[ 全般 ] タブでオプションを設
定します。
この例では、VPN ピア A の設定は以下のようになり
ます。
• トンネル インターフェイス — tunnel.11
• タイプ — 自動キー
• IKE ゲートウェイ — 上で定義した IKE ゲートウェ
イを選択します。
• IPSec 暗号プロファイル — ステップ 4 で定義し
た IPSec 暗号プロファイルを選択します。
VPN ピア B の設定は以下のようになります。
3.
4.
ステップ 7
トラフィックをサイト(サブ 1.
ネット)間で許可するための 2.
ポリシーを作成します。
• トンネル インターフェイス — tunnel.12
• タイプ — 自動キー
• IKE ゲートウェイ — 上で定義した IKE ゲート
ウェイを選択します。
• IPSec 暗号プロファイル — ステップ 4 で定義し
た IPSec 暗号を選択します。
(任意)[ 詳細オプションの表示 ] をオンにし、[ トン
ネル モニター] をオンにして、接続を確認するために
ping を送信する宛先 IP アドレスを指定します。一般
に、VPN ピアのトンネル インターフェイス IP アドレ
スが使用されます。
(任意)接続の確立に失敗した場合のアクションを定
義する方法については、「トンネル モニタリング プロ
ファイルの定義」を参照してください。
[Policies] > [ セキュリティ] の順に選択します。
指定した送信元および宛先 IP アドレスから発信される
トラフィックについて、トラフィックを Uuntrust ゾー
ンと vpn-tun ゾーン間および vpn-tun ゾーンと Untrust
ゾーン間で許可するためのルールを作成します。
ステップ 8
保留中の設定の変更をすべて [ コミット ] をクリックします。
保存します。
ステップ 9
VPN 接続をテストします。
564
「トンネルの状態の表示」を参照してください。
仮想プライベート ネットワーク
VPN
サイト間 VPN のクイック設定
OSPF を使用したサイト間 VPN
この例では、各サイトはトラフィックのダイナミック ルーティングに OSPF を使用します。各
ピアのトンネル IP アドレスは静的に割り当てられ、2 つのサイト間でトラフィックをルーティ
ングするためのネクスト ホップとして機能します。
仮想プライベート ネットワーク
565
サイト間 VPN のクイック設定
VPN
クイック設定 : OSPF を使用したダイナミック ルーティングによるサイト間 VPN
ステップ 1
各 フ ァ イ ア ウ ォ ー ル で レ イ 1.
ヤー 3 インターフェイスを設
定します。
[Network] > [ インターフェイス ] > [Ethernet] の順に
選択し、VPN について設定するインターフェイスを選
択します。
2.
[ インターフェイス タイプ ] ドロップダウン リストから
[ レイヤー 3] を選択します。
3.
[設定] タブでインターフェイスが属する [セキュリティ
ゾーン ] を選択します。
• インターフェイスは、信頼されるネットワークの外部
のゾーンからアクセスできる必要があります。VPN
トラフィックを可視化して制御するために、専用の
VPN ゾーンを作成することを検討してください。
• まだゾーンを作成していない場合は、[ セキュリティ
ゾーン ] ドロップダウン リストから [ 新規 - ゾーン ] を
選択し、新しいゾーンの [ 名前 ] を定義してから [OK]
をクリックします。
4.
使用する [ 仮想ルーター] を選択します。
5.
IP アドレスをインターフェイスに割り当てるには、
[IPv4] タブを選択してから IP セクションで [ 追加 ] をク
リックし、インターフェイスに割り当てる IP アドレス
とネットマスク(例 : 192.168.210.26/24)を入力します。
6.
インターフェイス設定を保存するには、[OK] をクリッ
クします。
この例では、VPN ピア A の設定は以下のようになり
ます。
•
•
•
•
インターフェイス — ethernet1/7
セキュリティ ゾーン — Untrust
仮想ルーター — デフォルト
IPv4 — 100.1.1.1/24
VPN ピア B の設定は以下のようになります。
•
•
•
•
566
インターフェイス — ethernet1/11
セキュリティ ゾーン — Untrust
仮想ルーター — デフォルト
IPv4 — 200.1.1.1/24
仮想プライベート ネットワーク
サイト間 VPN のクイック設定
VPN
クイック設定 : OSPF を使用したダイナミック ルーティングによるサイト間 VPN(続き)
ステップ 2
トンネル インターフェイスを 1.
作成し、仮想ルーターおよび
セキュリティ ゾーンに関連付 2.
けます。
3.
[Network] > [ インターフェイス ] > [ トンネル ] の順に
選択し、[ 追加 ] をクリックします。
[ インターフェイス名 ] フィールドで、.11 などの数値の
サフィックスを指定します。
[ 設定 ] タブで、[ セキュリティ ゾーン ] ドロップダウン
リストを展開して以下のようにゾーンを定義します。
• トンネルの終端点として Trust ゾーンを使用するには、
ドロップダウン リストからゾーンを選択します。
• (推奨)VPN トンネルの終端のゾーンを別に作成す
るには、[ 新規ゾーン ] をクリックします。[ ゾーン ]
ダイアログの [ 名前 ] で「vpn-tun」などの名前を付け
て新しいゾーンを定義し、[OK] をクリックします。
4.
[ 仮想ルーター] を選択します。
5.
IP アドレスをトンネル インターフェイスに割り当て、
[IPv4] または [IPv6] タブを選択します。[IP] セクショ
ンで [ 追加 ] をクリックし、インターフェイスに割り当
てる IP アドレスとネットワーク マスク / プレフィック
ス(例 : 172.19.9.2/24)を入力します。
この IP アドレスは、トンネルにトラフィックをルー
ティングするためにネクスト ホップ IP アドレスとし
て使用され、トンネルの状態をモニタリングするため
に使用することもできます。
6.
インターフェイス設定を保存するには、[OK] をクリッ
クします。
この例では、VPN ピア A の設定は以下のようになり
ます。
•
•
•
•
インターフェイス — tunnel.41
セキュリティ ゾーン — vpn_tun
仮想ルーター — デフォルト
IPv4 — 2.1.1.141/24
VPN ピア B の設定は以下のようになります。
•
•
•
•
仮想プライベート ネットワーク
インターフェイス — tunnel.40
セキュリティ ゾーン — vpn_tun
仮想ルーター — デフォルト
IPv4 — 2.1.1.140/24
567
サイト間 VPN のクイック設定
VPN
クイック設定 : OSPF を使用したダイナミック ルーティングによるサイト間 VPN(続き)
ステップ 3
暗号プロファイル(フェーズ 1 1.
では IKE 暗号プロファイル、
フェーズ 2 では IPSec 暗号プロ
ファイル)をセットアップし
ます。
両方のピアでこのタスクを実行
し、必ず同じ値を設定します。 2.
ステップ 4
仮想ルーターで OSPF 設定を 1.
セットアップし、OSPF エリア
をファイアウォール上の適切 2.
なインターフェイスに関連付
けます。
3.
ファイアウォールで使用可能
な OSPF オプションの詳細は、
「OSPF の設定」を参照してく
ださい。
ルーティング情報を交換する
必要がある OSPF ルートが 2 つ
以上ある場合、リンク タイプ
として [ ブロードキャスト ] を
使用します。
[Network] > [ ネットワーク プロファイル ] > [IKE 暗号 ]
の順に選択します。この例では、デフォルトのプロ
ファイルを使用します。
[Network] > [ ネットワーク プロファイル ] > [IPSec 暗
号 ] の順に選択します。この例では、デフォルトのプ
ロファイルを使用します。
[Network] > [ 仮想ルーター] の順に選択し、デフォルト
のルーターを選択するか新しいルーターを追加します。
[OSPF](IPv4 の場合)または [OSPFv3](IPv6 の場合)
を選択し、[ 有効化 ] をオンにします。
この例では、VPN ピア A の OSPF 設定は以下のように
なります。
– ルーター ID: 192.168.100.141
– エリア ID: 0.0.0.0 — リンク タイプ「p2p」で、
インターフェイス tunnel.1 に割り当てられて
いる
– エリア ID: 0.0.0.10 — インターフェイス Ethernet1/1
に割り当てられ、リンク タイプは「ブロード
キャスト」
VPN ピア B の OSPF 設定は以下のようになります。
– ルーター ID: 192.168.100.140
– エリア ID: 0.0.0.0 — リンク タイプ「p2p」で、
インターフェイス tunnel.1 に割り当てられて
いる
– エリア ID: 0.0.0.20 — インターフェイス
Ethernet1/15 に割り当てられ、リンク タイプ
は「ブロードキャスト」
568
仮想プライベート ネットワーク
サイト間 VPN のクイック設定
VPN
クイック設定 : OSPF を使用したダイナミック ルーティングによるサイト間 VPN(続き)
ステップ 5
IKE ゲートウェイをセットアッ 1.
プします。
[Network] > [ ネットワーク プロファイル ] > [IKE ゲー
トウェイ ] の順に選択します。
この例では、両方の VPN ピア 2.
についてスタティック IP アド
レ スを使 用し ます。一 般に、
企業オフィスでは静的に設定
された IP アドレスを使用し、
支社側をダイナミック IP アド
レスにできます。ダイナミッ
ク IP アドレスは、VPN などの
安定したサービスの設定には
適しません。
[ 追加 ] をクリックして、[ 全般 ] タブでオプションを
設定します。
3.
ステップ 6
IPSec トンネルをセットアップし 1.
ます。
2.
この例では、VPN ピア A の設定は以下のようになり
ます。
• インターフェイス — ethernet1/7
• ローカル IP アドレス — 100.1.1.1/24
• ピア IP アドレス — 200.1.1.1/24
• 事前共有鍵 — 値を入力
VPN ピア B の設定は以下のようになります。
• インターフェイス — ethernet1/11
• ローカル IP アドレス — 200.1.1.1/24
• ピア IP アドレス — 100.1.1.1/24
• 事前共有鍵 — ピア A と同じ値を入力
IKE フェーズ 1 で使用するために以前に作成した IKE
暗号プロファイルを選択します。
[Network] > [IPSec トンネル ] の順に選択します。
[ 追加 ] をクリックして、[ 全般 ] タブでオプションを
設定します。
この例では、VPN ピア A の設定は以下のようになり
ます。
• トンネル インターフェイス — tunnel.41
• タイプ — 自動キー
• IKE ゲートウェイ — 上で定義した IKE ゲート
ウェイを選択します。
• IPSec 暗号プロファイル — 上で定義した IKE
ゲートウエィを選択します。
VPN ピア B の設定は以下のようになります。
3.
4.
仮想プライベート ネットワーク
• トンネル インターフェイス — tunnel.40
• タイプ — 自動キー
• IKE ゲートウェイ — 上で定義した IKE ゲート
ウェイを選択します。
• IPSec 暗号プロファイル — 上で定義した IKE ゲー
トウエィを選択します。
[ 詳細オプションの表示 ] をオンにし、[ トンネル モニ
ター] をオンにして、接続を確認するために ping を送
信する宛先 IP アドレスを指定します。
接続の確立に失敗した場合のアクションを定義する方
法については、「トンネル モニタリング プロファイル
の定義」を参照してください。
569
サイト間 VPN のクイック設定
VPN
クイック設定 : OSPF を使用したダイナミック ルーティングによるサイト間 VPN(続き)
ステップ 7
ステップ 8
トラフィックをサイト(サブ 1.
ネット)間で許可するための 2.
ポリシーを作成します。
[Policies] > [ セキュリティ] の順に選択します。
指定した送信元および宛先 IP アドレスから発信される
トラフィックについて、トラフィックを Uuntrust ゾー
ンと vpn-tun ゾーン間および vpn-tun ゾーンと Untrust
ゾーン間で許可するためのルールを作成します。
OSPF 隣接および CLI からの 両方のファイアウォールが互いにネイバーとして完全な状
ルートを確認します。
態で表示できることを確認します。また、VPN ピアのトン
ネル インターフェイスの IP アドレスおよび OSPF ルー
ター ID も確認します。各 VPN ピアで以下の CLI コマンド
を使用します。
• show routing protocol ospf neighbor
• show routing route type ospf
ステップ 9
570
VPN 接続をテストします。
「トンネル モニタリングのセットアップ」および「トンネ
ルの状態の表示」を参照してください。
仮想プライベート ネットワーク
VPN
サイト間 VPN のクイック設定
スタティック ルーティングおよびダイナミック ルーティングを使用したサ
イト間 VPN
この例では、1 つのサイトでスタティック ルートを使用し、もう一方のサイトで OSPF を使用
しています。ルーティング プロトコルが場所間で同じでない場合、各ファイアウォールのトン
ネル インターフェイスはスタティック IP アドレスで設定する必要があります。次に、ルーティ
ング情報の交換を可能にするために、スタティック ルーティングとダイナミック ルーティング
の両方のプロセスに参加するファイアウォールを再配信プロファイルで設定する必要がありま
す。再配信プロファイルを設定すると、仮想ルーターはプロトコル間のルート(スタティック
ルート、接続済みルート、ホスト)をスタティック Autonomous System から OSPF Autonomous
System に再配信してフィルタリングできます。この再配信プロファイルがない場合、各プロト
コルは独自に機能し、同じ仮想ルーターを実行している他のプロトコルとルート情報を交換し
ません。
この例では、サテライト オフィスはスタティック ルートを持ち、192.168.x.x ネットワークを宛
先とするすべてのトラフィックは tunnel.41 にルーティングされます。VPN ピア B の仮想ルー
ターはスタティック ルーティングとダイナミック ルーティングの両方のプロセスに参加し、ス
タティック ルートを OSPF Autonomous System に伝搬(エクスポート)するために再配信プロ
ファイルで設定されます。
仮想プライベート ネットワーク
571
サイト間 VPN のクイック設定
VPN
クイック設定 : スタティック ルーティングおよびダイナミック ルーティングを使用したサイト間 VPN
ステップ 1
各 フ ァ イ ア ウ ォ ー ル で レ イ 1.
ヤー 3 インターフェイスを設
定します。
[Network] > [ インターフェイス ] > [Ethernet] の順に
選択し、VPN について設定するインターフェイスを選
択します。
2.
[ インターフェイス タイプ ] ドロップダウン リストから
[ レイヤー 3] を選択します。
3.
[設定] タブでインターフェイスが属する [セキュリティ
ゾーン ] を選択します。
• インターフェイスは、信頼されるネットワークの外
部のゾーンからアクセスできる必要があります。
VPN トラフィックを可視化して制御するために、
専用の VPN ゾーンを作成することを検討してくだ
さい。
• まだゾーンを作成していない場合は、[ セキュリティ
ゾーン ] ドロップダウン リストから [ 新規 - ゾーン ] を
選択し、新しいゾーンの [ 名前 ] を定義してから [OK]
をクリックします。
4.
使用する [ 仮想ルーター] を選択します。
5.
IP アドレスをインターフェイスに割り当てるには、
[IPv4] タブを選択してから IP セクションで [ 追加 ] をク
リックし、インターフェイスに割り当てる IP アドレス
とネットマスク(例 : 192.168.210.26/24)を入力します。
6.
インターフェイス設定を保存するには、[OK] をクリッ
クします。
この例では、VPN ピア A の設定は以下のようになり
ます。
•
•
•
•
インターフェイス — ethernet1/7
セキュリティ ゾーン — Untrust
仮想ルーター — デフォルト
IPv4 — 100.1.1.1/24
VPN ピア B の設定は以下のようになります。
•
•
•
•
572
インターフェイス — ethernet1/11
セキュリティ ゾーン — Untrust
仮想ルーター — デフォルト
IPv4 — 200.1.1.1/24
仮想プライベート ネットワーク
サイト間 VPN のクイック設定
VPN
クイック設定 : スタティック ルーティングおよびダイナミック ルーティングを使用したサイト間 VPN(続き)
ステップ 2
暗号プロファイル(フェーズ 1 1.
では IKE 暗号プロファイル、
フェーズ 2 では IPSec 暗号プロ
ファイル)をセットアップし
ます。
両方のピアでこのタスクを実行
し、必ず同じ値を設定します。 2.
ステップ 3
[Network] > [ ネットワーク プロファイル ] > [IKE 暗号 ]
の順に選択します。この例では、デフォルトのプロ
ファイルを使用します。
[Network] > [ ネットワーク プロファイル ] > [IPSec 暗
号 ] の順に選択します。この例では、デフォルトのプ
ロファイルを使用します。
IKE ゲートウェイをセットアッ 1.
プします。
[Network] > [ ネットワーク プロファイル ] > [IKE ゲー
トウェイ ] の順に選択します。
IKE フェーズ 1 トンネルをセッ 2.
トアップするときに認証の精
度を高めるために事前共有鍵
を使用すると、ローカルおよ
びピア ID 属性、および IKE ネ
ゴシエーション プロセスで照
合される対応する値をセット
アップできます。
[ 追加 ] をクリックして、[ 全般 ] タブでオプションを設
定します。
この例では、VPN ピア A の設定は以下のようになり
ます。
•
•
•
•
•
インターフェイス — ethernet1/7
ローカル IP アドレス — 100.1.1.1/24
ピア IP タイプ — ダイナミック
事前共有鍵 — 値を入力
ローカル ID — [FQDN (hostname)] を選択し、
VPN ピア A の値を入力します。
• ピア ID — [FQDN (hostname)] を選択し、VPN
ピア B の値を入力します。
VPN ピア B の設定は以下のようになります。
•
•
•
•
•
3.
仮想プライベート ネットワーク
インターフェイス — ethernet1/11
ローカル IP アドレス — 200.1.1.1/24
ピア IP アドレス — ダイナミック
事前共有鍵 — ピア A と同じ値を入力
ローカル ID — [FQDN (hostname)] を選択し、
VPN ピア B の値を入力します。
• ピア ID — [FQDN (hostname)] を選択し、VPN
ピア A の値を入力します。
IKE フェーズ 1 で使用するために以前に作成した IKE
暗号プロファイルを選択します。
573
サイト間 VPN のクイック設定
VPN
クイック設定 : スタティック ルーティングおよびダイナミック ルーティングを使用したサイト間 VPN(続き)
ステップ 4
トンネル インターフェイスを作 1.
成し、仮想ルーターおよびセ
キュリティ ゾーンに関連付け 2.
ます。
3.
[Network] > [ インターフェイス ] > [ トンネル ] の順に
選択し、[ 追加 ] をクリックします。
[インターフェイス名] フィールドで、.41 などの数値の
サフィックスを指定します。
[ 設定 ] タブで、[ セキュリティ ゾーン ] ドロップダウン
リストを展開して以下のようにゾーンを定義します。
• トンネルの終端点として Trust ゾーンを使用する
には、ドロップダウン リストからゾーンを選択し
ます。
• (推奨)VPN トンネルの終端のゾーンを別に作成す
るには、[ 新規ゾーン ] をクリックします。[ ゾーン ]
ダイアログの [ 名前 ] で「vpn-tun」などの名前を付け
て新しいゾーンを定義し、[OK] をクリックします。
4.
[ 仮想ルーター] を選択します。
5.
IP アドレスをトンネル インターフェイスに割り当て、
[IPv4] または [IPv6] タブを選択します。[IP] セクショ
ンで [ 追加 ] をクリックし、インターフェイスに割り当
てる IP アドレスとネットワーク マスク / プレフィック
ス(例 : 172.19.9.2/24)を入力します。
この IP アドレスは、トンネルにトラフィックをルー
ティングするため、およびトンネルの状態をモニタリ
ングするために使用されます。
6.
インターフェイス設定を保存するには、[OK] をクリッ
クします。
この例では、VPN ピア A の設定は以下のようになり
ます。
•
•
•
•
インターフェイス — tunnel.41
セキュリティ ゾーン — vpn_tun
仮想ルーター — デフォルト
IPv4 — 2.1.1.141/24
VPN ピア B の設定は以下のようになります。
•
•
•
•
ステップ 5
574
192.168.x.x ネットワーク上の宛 1.
先にトラフィックをルーティ 2.
ングするインターフェイスを
指定します。
インターフェイス — tunnel.42
セキュリティ ゾーン — vpn_tun
仮想ルーター — デフォルト
IPv4 — 2.1.1.140/24
VPN ピア A で、仮想ルーターを選択します。
[スタティック ルート] を選択し、192.168.x.x ネットワー
クを [ 宛先 ] とするトラフィックをルーティングするた
めに [ インターフェイス ] として tunnel.41 を [ 追加 ] し
ます。
仮想プライベート ネットワーク
サイト間 VPN のクイック設定
VPN
クイック設定 : スタティック ルーティングおよびダイナミック ルーティングを使用したサイト間 VPN(続き)
ステップ 6
仮想ルーターでスタティック 1.
ルートと OSPF 設定をセット
アップし、OSPF エリアをファ
イアウォール上の適切なイン 2.
ターフェイスに関連付けます。
VPN ピア B で [Network] > [ 仮想ルーター] の順に選択
し、デフォルトのルーターを選択するか新しいルー
ターを追加します。
[スタティック ルート] を選択し、172.168.x.x. ネットワー
クでトラフィックのネクスト ホップとしてトンネル IP
アドレスを [ 追加 ] します。
目的のルート メトリックを割り当てます。低い値を使
用すると、テーブルの転送におけるルート選択で優先
順位が高くなります。
3.
[OSPF](IPv4 の場合)または [OSPFv3](IPv6 の場
合)を選択し、[ 有効化 ] をオンにします。
4.
この例では、VPN ピア B の OSPF 設定は以下のように
なります。
• ルーター ID: 192.168.100.140
• エリア ID: 0.0.0.0 — リンク タイプ「ブロードキャス
ト」で、インターフェイス Ethernet 1/12 に割り当て
られている
• エリア ID: 0.0.0.10 — インターフェイス Ethernet1/1 に割
り当てられ、リンク タイプは「ブロードキャスト」
• エリア ID: 0.0.0.20 — インターフェイス Ethernet1/15 に割
り当てられ、リンク タイプは「ブロードキャスト」
仮想プライベート ネットワーク
575
サイト間 VPN のクイック設定
VPN
クイック設定 : スタティック ルーティングおよびダイナミック ルーティングを使用したサイト間 VPN(続き)
ステップ 7
スタティック ルートを OSPF 1.
Autonomous System に注入する
ための再配信プロファイルを
作成します。
VPN ピア B で再配信プロファイルを作成します。
a. [Network] > [ 仮想ルーター] の順に選択し、上で使
用したルーターを選択します。
b. [ 再配信プロファイル ] を選択し、[ 追加 ] をクリッ
クします。
c. [ 名前 ] フィールドにプロファイル名を入力し、[ 再
配信あり ] を選択して [ 優先順位 ] の値を割り当てま
す。複数のプロファイルを設定している場合、優先
順位の最も低い値を持つプロファイルが最初に一致
されます。
d. [ 送信元タイプ ] を static に設定し、[OK] をクリック
します。ステップ 6 - 2 で定義したスタティック ルー
トが再配信に使用されます。
2.
スタティック ルートを OSPF システムに注入します。
a. [OSPF] > [ ルールのエクスポート ](IPv4 の場合)ま
たは [OSPFv3] > [ ルールのエクスポート ]( IPv6 の
場合)の順に選択します。
b. [ 追加 ] をクリックし、作成した再配信プロファイル
を選択します。
c. 外部ルートを OSPF システムに誘導する方法を選択
します。デフォルト オプションである [Ext2] は、
外部メトリックのみを使用したルートの総コストを
計算します。内部と外部の両方の OSPF メトリック
を使用するには、[Ext1] を使用します。
d. OSPF システムに注入されるルートについて、[ メト
リック] コスト値)を割り当てます。このオプション
を使用すると、注入されたルートが OSPF システム
に到達したときにそのメトリックを変更できます。
e. [OK] をクリックして変更を保存します。
576
仮想プライベート ネットワーク
サイト間 VPN のクイック設定
VPN
クイック設定 : スタティック ルーティングおよびダイナミック ルーティングを使用したサイト間 VPN(続き)
ステップ 8
IPSec トンネルをセットアップし 1.
ます。
2.
[Network] > [IPSec トンネル ] の順に選択します。
[ 追加 ] をクリックして、[ 全般 ] タブでオプションを設
定します。
この例では、VPN ピア A の設定は以下のようになり
ます。
• トンネル インターフェイス — tunnel.41
• タイプ — 自動キー
• IKE ゲートウェイ — 上で定義した IKE ゲート
ウェイを選択します。
• IPSec 暗号プロファイル — 上で定義した IKE ゲー
トウエィを選択します。
VPN ピア B の設定は以下のようになります。
3.
4.
ステップ 9
トラフィックをサイト(サブ 1.
ネット)間で許可するための 2.
ポリシーを作成します。
仮想プライベート ネットワーク
• トンネル インターフェイス — tunnel.40
• タイプ — 自動キー
• IKE ゲートウェイ — 上で定義した IKE ゲートウェ
イを選択します。
• IPSec 暗号プロファイル — 上で定義した IKE ゲー
トウエィを選択します。
[ 詳細オプションの表示 ] をオンにし、[ トンネル モニ
ター] をオンにして、接続を確認するために ping を送
信する宛先 IP アドレスを指定します。
接続の確立に失敗した場合のアクションを定義する方
法については、「トンネル モニタリング プロファイル
の定義」を参照してください。
[Policies] > [ セキュリティ] の順に選択します。
指定した送信元および宛先 IP アドレスから発信される
トラフィックについて、トラフィックを Uuntrust ゾー
ンと vpn-tun ゾーン間および vpn-tun ゾーンと Untrust
ゾーン間で許可するためのルールを作成します。
577
サイト間 VPN のクイック設定
VPN
クイック設定 : スタティック ルーティングおよびダイナミック ルーティングを使用したサイト間 VPN(続き)
ステップ 10 OSPF 隣接および CLI からの 両方のファイアウォールが互いにネイバーとして完全な状
ルートを確認します。
態で表示できることを確認します。また、VPN ピアのトン
ネル インターフェイスの IP アドレスおよび OSPF ルー
ター ID も確認します。各 VPN ピアで以下の CLI コマンド
を使用します。
• show routing protocol ospf neighbor
• show routing route
以下は、各 VPN ピアの出力例です。
ステップ 11 VPN 接続をテストします。
578
「トンネル モニタリングのセットアップ」および「トンネ
ルの状態の表示」を参照してください。
仮想プライベート ネットワーク
大規模 VPN (LSVPN)
Palo Alto Networks 次世代ファイアウォールに搭載された GlobalProtect 大規模 VPN (LSVPN) 機能
により、従来のハブ アンド スポーク VPN のデプロイメントが簡略化され、リモート サテライ
ト デバイスでの設定を最小限に抑えて複数の支社がある企業ネットワークを素早くデプロイで
きます。このソリューションでは、データの安全性を高めるためにデバイス認証と IPSec に証
明書を使用します。
LSVPN により、Palo Alto Networks ファイアウォール同士のサイト間 VPN が実現されます。
Palo Alto Networks ファイアウォールと別のデバイスとのサイト間 VPN をセットアップする方
法については、「VPN」を参照してください。
以下のトピックでは、LSVPN コンポーネントと、Palo Alto Networks ファイアウォール同士のサ
イト間 VPN サービスを実現するためのセットアップ方法について説明します。

LSVPN の概要

LSVPN のインターフェイスおよびゾーンの作成

GlobalProtect LSVPN コンポーネント間の SSL の有効化

サテライトを認証するためのポータルの設定

LSVPN の GlobalProtect ゲートウェイの設定

LSVPN の GlobalProtect ポータルの設定

LSVPN に参加するためのサテライト デバイスの準備

LSVPN 設定の確認

LSVPN のクイック設定
大規模 VPN
579
LSVPN の概要
大規模 VPN (LSVPN)
LSVPN の概要
GlobalProtect には、リモート サイトから企業リソースへの安全なアクセスを管理するための十
分なインフラストラクチャが用意されています。このインフラストラクチャには、以下のコン
ポーネントが含まれています。

GlobalProtect ポータル — GlobalProtect LSVPN インフラストラクチャの管理機能を提供しま
す。GlobalProtect LSVPN に参加するすべてのサテライトは、サテライト(スポーク)をゲー
トウェイ(ハブ)に接続するための設定情報など、設定情報をポータルから受信します。
ポータルは、Palo Alto Networks 次世代ファイアウォールのインターフェイスで設定します。

GlobalProtect ゲートウェイ — サテライト接続のトンネル エンド ポイントを提供する Palo Alto
Networks ファイアウォールです。サテライト アクセスがゲートウェイのセキュリティ ポリ
シーによって保護されるリソース。個別のポータルとゲートウェイは必要ありません。1 つ
のファイアウォールがポータルおよびゲートウェイの両方として機能できます。

GlobalProtect サテライト — リモート サイトにある Palo Alto Networks ファイアウォールで、
企業オフィスにあるゲートウェイとの IPSec トンネルを確立し、一元管理されたリソースに
安全にアクセスできるようにします。サテライト ファイアウォールでの設定は最小限で済
み、新しいサイトを追加したときに素早く安全に VPN の規模を拡大できます。
以下の図は、GlobalProtect LSVPN コンポーネントの連携を示しています。
580
大規模 VPN
大規模 VPN (LSVPN)
LSVPN のインターフェイスおよびゾーンの作成
LSVPN のインターフェイスおよびゾーンの作成
LSVPN インフラストラクチャでは、以下のインターフェイスおよびゾーンを作成する必要があ
ります。

GlobalProtect ポータル — GlobalProtect サテライトが接続するためにはレイヤー 3 インターフェ
イスが必要です。ポータルおよびゲートウェイが同じファイアウォールにある場合、同一の
インターフェイスを使用することができます。ポータルは、支社からアクセスできるゾーン
にある必要があります。

GlobalProtect ゲートウェイ — リモート サテライトからアクセスできるゾーンのレイヤー 3 イ
ンターフェイス、保護されたリソースに接続する Trust ゾーンの内部インターフェイス、サ
テライトから VPN トンネルを終端するための論理トンネル インターフェイスの 3 つのイン
ターフェイスが必要です。他のサイト間 VPN ソリューションとは異なり、GlobalProtect ゲー
トウェイで必要なのは 1 つのトンネル インターフェイスのみです。すべてのリモート サテラ
イトとのトンネル接続に使用します(ポイントツーマルチポイント)。ダイナミック ルー
ティングを使用する予定の場合、IP アドレスをトンネル インターフェイスに割り当てる必
要があります。

GlobalProtect サテライト — リモート ゲートウェイとの VPN を確立するために単一のトンネ
ル インターフェイスが必要です(最大 25 個のゲートウェイ)。ダイナミック ルーティング
を使用する予定の場合、IP アドレスをトンネル インターフェイスに割り当てる必要があり
ます。
ポータル、ゲートウェイ、サテライトの詳細は、「LSVPN の概要」を参照してください。
大規模 VPN
581
LSVPN のインターフェイスおよびゾーンの作成
大規模 VPN (LSVPN)
GlobalProtect LSVPN のインターフェイスおよびゾーンのセットアップ
ステップ 1
レイヤー 3 インターフェイスを 1.
設定します。
ポ ータル、各ゲー トウ ェイ、
およびサテライトは、いずれ 2.
もトラフィックがサイト間を
ルーティングされるようにレ 3.
イヤー 3 インターフェイスが必
要です。
ゲートウェイとポータルが同
じファイアウォールにある場
合、1 つのインターフェイスを
両方のコンポーネントに使用
できます。
[ インターフェイス タイプ ] ドロップダウン リストから
[ レイヤー 3] を選択します。
[設定] タブでインターフェイスが属する [セキュリティ
ゾーン ] を選択します。
• インターフェイスは、信頼されるネットワークの外部
のゾーンからアクセスできる必要があります。VPN
トラフィックを可視化して制御するために、専用の
VPN ゾーンを作成することを検討してください。
• まだゾーンを作成していない場合は、[ セキュリティ
ゾーン ] ドロップダウン リストから [ 新規 - ゾーン ] を
選択し、新しいゾーンの [ 名前 ] を定義してから [OK]
をクリックします。
IPv6 アドレスは LSVPN で
はサポートされません。
582
[Network] > [ インターフェイス ] > [Ethernet] の順に
選 択 し、GlobalProtect LSVPN に つ い て 設 定 す る イ ン
ターフェイスを選択します。
4.
使用する [ 仮想ルーター] を選択します。
5.
IP アドレスをインターフェイスに割り当てるには、
[IPv4] タブを選択してから IP セクションで [ 追加 ] をク
リックし、インターフェイスに割り当てる IP アドレス
とネットマスク(例 : 203.0.11.100/24)を入力します。
6.
インターフェイス設定を保存するには、[OK] をクリッ
クします。
大規模 VPN
大規模 VPN (LSVPN)
LSVPN のインターフェイスおよびゾーンの作成
GlobalProtect LSVPN のインターフェイスおよびゾーンのセットアップ(続き)
ステップ 2
GlobalProtect ゲートウェイをホ 1.
ストするファイアウォールで、
GlobalProtect サテライトによっ 2.
て確立される VPN トンネルを
終端する論理トンネル イン
3.
ターフェイスを設定します。
ダイナミック ルーティン
グを使用する予定がなけ
れば、トンネル インター
フェイスに IP アドレス
は必要ありません。ただ
し、IP アドレスをトンネ
ル インターフェイスに割
り当てると、接続の問題
をトラブルシューティン 4.
グするときに役立つ場合 5.
があります。
VPN トンネルの終端とな
るゾーンで必ず User-ID
を有効にしてください。
6.
[Network] > [ インターフェイス ] > [ トンネル ] の順に
選択し、[ 追加 ] をクリックします。
[ インターフェイス名 ] フィールドで、「.2」などの数値
のサフィックスを指定します。
[ 設定 ] タブで、[ セキュリティ ゾーン ] ドロップダウン
リストを展開して以下のようにゾーンを定義します。
• トンネルの終端点として Trust ゾーンを使用するには、
ドロップダウン リストからゾーンを選択します。
• (推奨)VPN トンネルの終端のゾーンを別に作成す
るには、[ 新規ゾーン ] をクリックします。[ ゾーン ]
ダイアログの [ 名前 ] で新しいゾーンを定義し(たと
えば、lsvpn-tun)、[ ユーザー ID の有効化 ] チェック
ボックスをオンにしてから [OK] をクリックします。
[ 仮想ルーター] を選択します。
(任意)IP アドレスをトンネル インターフェイスに割
り当てるには、[IPv4] タブを選択してから [IP] セクショ
ンで [ 追加 ] をクリックし、インターフェイスに割り当
てる IP アドレスとネットマスク(例 : 203.0.11.33/24)を
入力します。
インターフェイス設定を保存するには、[OK] をクリッ
クします。
ステップ 3
VPN 接続のトンネルの終端のために別のゾーンを作成した場合、VPN ゾーンと Trust ゾー
ンの間をトラフィックが通過できるセキュリティ ポリシーを作成します。たとえば、以下
のポリシー ルールにより、lsvpn-tun ゾーンと L3-Trust ゾーン間のトラフィックを有効にでき
ます。
ステップ 4
設定を保存します。
大規模 VPN
[ コミット ] をクリックします。
583
GlobalProtect LSVPN コンポーネント間の SSL の有効化
大規模 VPN (LSVPN)
GlobalProtect LSVPN コンポーネント間の SSL の有効化
GlobalProtect コンポーネント間のすべての相互作用は SSL 接続を介して行われます。したがっ
て、各コンポーネントを設定する前に必要な証明書を生成してインストールしないと、各コン
ポーネントの設定で適切な証明書や証明書プロファイルを参照できません。以下のセクション
では、サポートされる証明書のデプロイ方法、説明、さまざまな GlobalProtect 証明書のベスト
プラクティス ガイドラインについて説明し、必要な証明書を生成してデプロイする手順を紹介
します。

証明書のデプロイメントについて

GlobalProtect LSVPN コンポーネントへのサーバー証明書のデプロイ
証明書のデプロイメントについて
GlobalProtect LSVPN の証明書をデプロイする基本的な方法は 2 つあります。

企業認証局 — すでに自分の企業認証局がある場合、この内部 CA を使用して GlobalProtect ポー
タルの中間 CA 証明書を発行し、証明書を GlobalProtect ゲートウェイおよびサテライトに発
行できるようにします。

自己署名証明書 — ファイアウォールで自己署名ルート CA 証明書を生成し、それを使用して
ポータル、ゲートウェイ、サテライトのサーバー証明書を発行できます。ベスト プラクティ
スとしては、ポータルで自己署名ルート CA 証明書を作成し、それを使用してゲートウェイ
およびサテライトのサーバー証明書を発行します。この方法では、証明書の署名に使用され
る秘密鍵はポータルにとどまります。
GlobalProtect LSVPN コンポーネントへのサーバー証明書のデプロイ
GlobalProtect LSVPN コンポーネントは相互認証に SSL/TLS を使用します。LSVPN をデプロイす
る前に、ポータルおよびゲートウェイにサーバー証明書を発行する必要があります。ポータル
は最初に接続するときに各サテライトのサーバー証明書を発行するため、サテライト デバイス
のサーバー証明書を作成する必要はありません。
さらに、ゲートウェイまたはサテライトとしてホストする予定の各ファイアウォールにサー
バー証明書を発行するために使用されるルート CA 証明書をインポートする必要があります。
最後に、LSVPN に参加する各ゲートウェイおよびサテライトで、相互認証を使用して SSL/TLS
接続を確立できるようにする証明書プロファイルを設定する必要があります。
以下のワークフローは、GlobalProtect LSVPN コンポーネントに SSL 証明書をデプロイするため
のベスト プラクティスの手順を示しています。
サテライト デバイスのサーバー証明書を発行する必要はありません。ポータルによりサテライ
ト登録プロセスの一環として発行されます。
584
大規模 VPN
大規模 VPN (LSVPN)
GlobalProtect LSVPN コンポーネント間の SSL の有効化
GlobalProtect コンポーネントへの SSL サーバー証明書のデプロイ
ステップ 1
ステップ 2
ポータルをホストするファイ
アウォールで、GlobalProtect コ
ンポーネントの自己署名証明
書を発行するためにルート CA
証明書を作成します。
自 己 署 名 証 明 書 を 作 成 す る に は、以 下 の 手 順 に 従 い、
GlobalProtect コンポーネントの証明書を署名するために使用
されるルート CA 証明書を最初に作成する必要があります。
1. ルート CA 証明書を作成するには、[Device] > [ 証明書
の管理 ] > [ 証明書 ] > [ デバイス証明書 ] の順に選択し、
[ 生成 ] をクリックします。
2.
[証明書名] に「LSVPN_CA」などの名前を入力します。
証明書名にスペースを含めることはできません。
3.
[ 署名者 ] フィールドの値を選択すると、その証明書が
自己署名証明書であることを示すため、この値は選択
しないでください。
4.
[ 認証局 ] チェックボックスをオンにしてから [OK] をク
リックすると、証明書が生成されます。
GlobalProtect ポータルおよびゲー ポータルでルート CA を使用し、デプロイする予定の各
トウェイのサーバー証明書を ゲートウェイのサーバー証明書を生成します。
生成します。
1. [Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス証明
書 ] の順に選択し、[ 生成 ] をクリックします。
ポータルおよび各 GlobalProtect
ゲートウェイの一意の自己署 2.
名サーバー証明書を発行する
必要があります。ベスト プラ 3.
クティスとして、ポータルで
必要なすべての証明書を発行
し、署 名 付 き 証 明 書(秘 密 鍵 4.
を含む)をエクスポートする
必要がないようにします。
5.
GlobalProtect ポータルと
ゲートウェイが同じファ
イアウォール インター
フェイスにある場合、両
方のコンポーネントにつ 6.
いて同じサーバー証明書
を使用できます。
大規模 VPN
[ 証明書名 ] を入力します。証明書名にスペースを含め
ることはできません。
[ 共通名 ] フィールドに、ゲートウェイを設定するイン
ターフェイスの FQDN(推奨)または IP アドレスを入
力します。
[ 署名者 ] フィールドで、前に作成した「LSVPN_CA」
を選択します。
[ 証明書の属性 ] セクションで、[ 追加 ] をクリックして
ゲートウェイを一意に識別する属性を定義します。[ホ
スト名 ] 属性(証明書の SAN フィールドに入力され
る)を追加する場合、この値は [ 共通名 ] に定義した値
と完全に一致する必要があります。
証明書を [ 生成 ] します。
585
GlobalProtect LSVPN コンポーネント間の SSL の有効化
大規模 VPN (LSVPN)
GlobalProtect コンポーネントへの SSL サーバー証明書のデプロイ(続き)
ステップ 3
自己署名サーバー証明書をゲー 1.
トウェイにデプロイします。
ベスト プラクティス :
• ルート CA によって発行され
2.
た自己署名サーバー証明書
をポータルからエクスポー
トし、ゲートウェイにイン 3.
ポートします。
• 各ゲートウェイに対して一
意のサーバー証明書を発行
4.
します。
• 証明書の [共通名] (CN) フィー
ルドと、該当する場合は、
[サブジェクトの代替名] (SAN) 5.
フィールドが、ゲートウェ 6.
イを設定するインターフェ
イスの IP アドレスまたは完
全 修 飾 ド メ イ ン 名 (FQDN)
7.
と完全に一致する必要があ
ります。
8.
9.
586
ポータルで、[Device] > [ 証明書の管理 ] > [ 証明書 ] >
[ デバイス証明書 ] の順に選択し、デプロイするゲート
ウェイ証明書を選択して [ エクスポート ] をクリックし
ます。
[ ファイル フォーマット ] ドロップダウン リストから [ 暗
号化された秘密鍵と証明書 (PKCS12)] を選択します。
[ パスフレーズ ] を入力(および再入力)して証明書に
関連付けられた秘密鍵を暗号化し、[OK] をクリックし
て PKCS12 ファイルをコンピュータにダウンロードし
ます。
ゲートウェイで、[Device] > [ 証明書の管理 ] > [ 証明書 ] >
[デバイス証明書] の順に選択し、[インポート] をクリッ
クします。
[ 証明書名 ] を入力します。
[証明書ファイル ] にポータルからダウンロードしたファ
イルのパスと名前を入力するか、[ 参照 ] をクリックし
てファイルを探します。
[ ファイル フォーマット ] に [ 暗号化された秘密鍵と証
明書 (PKCS12)] を選択します。
[ キー ファイル ] に PKCS12 ファイルのパスと名前を入力
するか、[ 参照 ] でファイルを見つけます。
ポータルからエクスポートしたときに秘密鍵の暗号化
に使用した [ パスフレーズ ] を 2 回入力した後に、[OK]
をクリックして証明書と秘密鍵をインポートします。
大規模 VPN
大規模 VPN (LSVPN)
GlobalProtect LSVPN コンポーネント間の SSL の有効化
GlobalProtect コンポーネントへの SSL サーバー証明書のデプロイ(続き)
ステップ 4
LSVPN コンポーネントのサー 1.
バー証明書を発行するために
使用するルート CA 証明書をイ
ンポートします。
ルート CA 証明書をすべての
ゲートウェイおよびサテライ
トにインポートする必要があ
ります。セキュリティ上の理
由により、必ず証明書のみを
エクスポートし、関連付けら
れた秘密鍵はエクスポートし
2.
ないでください。
ルート CA 証明書をポータルからダウンロードします。
a. [Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス
証明書 ] の順に選択します。
b. LSVPN コンポーネントの証明書を発行するために使
用するルート CA 証明書を選択し、[ エクスポート ]
をクリックします。
c. [ ファイル フォーマット ] ドロップダウン リストから
[Base64 エンコード済み証明書 (PEM)] を選択し、
[OK] をクリックして証明書をダウンロードします
(秘密鍵はエクスポートしないでください)。
ゲートウェイおよびサテライトをホストするファイア
ウォールで、ルート CA 証明書をインポートします。
a. [Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス
証明書 ] の順に選択し、[ インポート ] をクリックし
ます。
b. [ 証明書名 ] フィールドに、クライアント CA 証明書
であることを識別できる名前を入力します。
c. [ 参照 ] をクリックして、CA からダウンロードした
証明書ファイルを選択します。
d. [Base64 エンコード済み証明書 (PEM)] を [ ファイル
フォーマット ] フィールドで選択し、[OK] をクリッ
クします。
e. [ デバイス証明書 ] タブで、先ほどインポートした証
明書を選択して開きます。
f. [ 信頼されたルート CA] を選択して [OK] をクリック
します。
g. 変更を [ コミット ] します。
ステップ 5
証明書プロファイルを作成し 1.
ます。
GlobalProtect LSVPN ポ ー タ ル
および各ゲートウェイには、 2.
サテライトの認証に使用する
証明書を指定する証明書プロ 3.
ファイルが必要です。
ステップ 6
大規模 VPN
設定を保存します。
[Device] > [ 証明書の管理 ] > [ 証明書プロファイル ] の
順に選択して [ 追加 ] をクリックし、[ 名前 ] フィールド
にプロファイル名を入力します。
[ ユーザー名フィールド ] が [None] に設定されているこ
とを確認します。
[CA 証明書] フィールドで [追加] をクリックし、ステッ
プ 4 でインポートした信頼されたルート CA 証明書を選
択します。
4.
(任意、ただし推奨)CRL や OCSP の使用を有効にし
て、証明書の状態を検証できるようにします。
5.
[OK] をクリックしてプロファイルを保存します。
[ コミット ] をクリックします。
587
サテライトを認証するためのポータルの設定
大規模 VPN (LSVPN)
サテライトを認証するためのポータルの設定
LSVPN に登録するには、各サテライトとポータルとの SSL/TLS 接続を確立する必要がありま
す。接続の確立後、ポータルはサテライト デバイスを認証し、LSVPN に参加する権限があるこ
とを確認します。サテライトの認証に成功すると、ポータルはそのサテライトのサーバー証明
書を発行し、サテライトが接続できるゲートウェイと、ゲートウェイとの SSL 接続を確立する
ために必要なルート CA 証明書を指定する LSVPN 設定をプッシュします。
最初に接続したときにサテライトがポータルの認証を受ける方法は 2 つあります。

シリアル番号 — LSVPN に参加することを認証されたサテライト ファイアウォールのシリア
ル番号を使用してポータルを設定できます。ポータルへの最初のサテライト接続中に、サテ
ライトはそのポータルへのシリアル番号を表示し、ポータルの設定にそのシリアル番号があ
る場合、サテライトは正常に認証されます。認証済みサテライトのシリアル番号は、ポータ
ルを設定するときに追加します。「ポータルの設定」を参照してください。

ユーザー名とパスワード — サテライト デバイスのシリアル番号を手動でポータル設定に入
力せずにサテライトをプロビジョニングする方が望ましい場合は、ポータルへの最初の接続
を確立したときにサテライト管理者が認証を受ける必要があります。ポータルはサテライト
からの最初の要求で必ずシリアル番号を検索しますが、シリアル番号を識別できない場合、
サテライト管理者はポータルの認証を受けるためにユーザー名とパスワードを指定する必要
があります。ポータルは必ずこの形式の認証にフォールバックするため、ポータル設定をコ
ミットするには認証プロファイルを作成する必要があります。このためには、シリアル番号
を使用してサテライトを認証する予定であっても、ポータル LSVPN 設定の認証プロファイ
ルをセットアップする必要があります。
588
大規模 VPN
大規模 VPN (LSVPN)
サテライトを認証するためのポータルの設定
以下のワークフローは、既存の認証サービスに対してサテライトを認証するためにポータルを
セットアップする方法を示しています。GlobalProtect LSVPN は、ローカル データベース、
LDAP(Active Directory を含む)、Kerberos、または RADIUS を使用した外部認証をサポートし
ています。
サテライトの認証のセットアップ
ステップ 1
ポータルでサーバー プロファイ 1.
ルを作成します。
サーバー プロファイルはファ
イアウォールに対して、外部 2.
認証サービスに接続する方法
を指示し、サテライト管理者 3.
によって提供された認証情報
を検証します。
4.
ローカル認証を使用している場
合、この手順をスキップして、
代わりにサテライト管理者を認 5.
証するためのローカル ユー
ザー設定を追加できます。
Active Directory (AD) への
接続に LDAP を使用して
いる場合、すべての AD
ドメインに対して個別の
LDAP サーバー プロファ
6.
イルを作成する必要があ
ります。
[Device] > [ サーバー プロファイル ] の順に選択し、プ
ロ フ ァ イ ル タ イ プ([LDAP]、[Kerberos]、ま た は
[RADIUS])を選択します。
[ 追加 ] をクリックし、[ 名前 ] フィールドに
「LSVPN-Auth」などのプロファイル名を入力します。
(LDAP のみ)[ タイプ ] フィールドで接続先となる
LDAP サーバーを選択します。
[サーバー] セクションで [追加] をクリックし、認証サー
ビスへの接続に必要な情報([名前]、[IP アドレス](ま
たは FQDN)、および [ ポート ])を入力します。
(RADIUS および LDAP のみ)ファイアウォールで認
証サービスによる認証を可能にする設定を以下のよう
に指定します。
• RADIUS — [ シークレット ] にサーバー エントリ追加
時の共有シークレットを入力します。
• LDAP — [ バインド DN] および [ バインド パスワー
ド ] を入力します。
(LDAP と Kerberos のみ)ディレクトリ サービスで認
証情報を検索する場所を指定します。
• LDAP — [ ベース ] DN で、LDAP ツリーがユーザー
とグループの検索を開始する場所を指定します。こ
のフィールドは、サーバー アドレスおよびポートを
入力するときに自動的に入力されます。入力されな
い場合、LDAP サーバーまでのサービス ルートを確
認してください。
• Kerberos — [ レルム ] に Kerberos のレルム名を入力し
ます。
大規模 VPN
7.
[ ドメイン ] にドメイン名をドットなしで指定します。
たとえば acme.com ではなく acme と指定します。
8.
[OK] をクリックしてサーバー プロファイルを保存し
ます。
589
サテライトを認証するためのポータルの設定
大規模 VPN (LSVPN)
サテライトの認証のセットアップ(続き)
ステップ 2
ステップ 3
590
認 証 プ ロ フ ァ イ ル を 作 成 し 1.
ます。
[Device] > [ 認証プロファイル ] の順に選択し、[ 追加 ]
をクリックします。
認証プロファイルは、認証サ 2.
テライトを使用するサーバー
プロファイルを指定します。
3.
[ 名前 ] にプロファイル名を入力し、[ 認証 ] でタイプ
([ ローカル データベース ]、[LDAP]、[Kerberos]、ま
たは [RADIUS])を選択します。
設定を保存します。
[サーバー プロファイル] で、ステップ 1 で作成したプ
ロファイルを選択します。
4.
(LDAP AD) [ ログイン属性 ] に「sAMAccountName」と
入力します。
5.
[OK] をクリックします。
[ コミット ] をクリックします。
大規模 VPN
大規模 VPN (LSVPN)
LSVPN の GlobalProtect ゲートウェイの設定
LSVPN の GlobalProtect ゲートウェイの設定
ポータルがサテライトに配信する GlobalProtect 設定にはサテライトが接続できるゲートウェイの
リストが含まれているため、ポータルを設定する前にゲートウェイを設定すると良いでしょう。

前提となるタスク

ゲートウェイの設定
前提となるタスク
GlobalProtect ゲートウェイを設定する前に、以下のタスクを完了している必要があります。

各ゲートウェイを設定するインターフェイス用のインターフェイス(およびゾーン)を作
成している。物理インターフェイスと仮想トンネル インターフェイスの両方を設定する必
要があります。「LSVPN のインターフェイスおよびゾーンの作成」を参照してください。

GlobalProtect サテライトおよびゲートウェイで相互の SSL/TLS 接続を確立できるようにする
ために必要なゲートウェイ サーバー証明書および証明書プロファイルのセットアップ。
「GlobalProtect LSVPN コンポーネント間の SSL の有効化」を参照してください。
ゲートウェイの設定
「前提となるタスク」を完了したら、以下のように LSVPN に参加する各 GlobalProtect ゲート
ウェイを設定します。
LSVPN のゲートウェイの設定
ステップ 1
大規模 VPN
ゲートウェイを追加します。
1.
[Network] > [GlobalProtect] > [ ゲートウェイ ] の順に
選択し、[ 追加 ] をクリックします。
2.
[ 全般 ] タブで、[ 名前 ] フィールドにゲートウェイ名を
入力します。ゲートウェイ名にスペースを含めること
はできません。ゲートウェイを識別しやすくするため
に場所などの情報を含めることをお勧めします。
3.
(任意)[ 場所 ] フィールドから、このゲートウェイが
属する仮想システムを選択します。
591
LSVPN の GlobalProtect ゲートウェイの設定
大規模 VPN (LSVPN)
LSVPN のゲートウェイの設定(続き)
ステップ 2
サテライトがゲートウェイに 1.
接続できるようにネットワー
ク情報を指定します。
2.
ゲートウェイ用のネットワー
ク インターフェイスをまだ作 3.
成 し て い な い 場 合 は、
「LSVPN のインターフェイス
およびゾーンの作成」の手順
を参照してください。ゲート
ウェイ用のサーバー証明書を
まだ作成していない場合は、
「GlobalProtect LSVPN コンポー
ネントへのサーバー証明書のデ
プロイ」を参照してください。
ステップ 3
サテライトがゲートウェイへの入力アクセスに使用す
る [ インターフェイス ] を選択します。
ゲートウェイ アクセス用の [IP アドレス ] を選択し
ます。
[ サーバー証明書 ] ドロップダウン リストから、ゲート
ウェイのサーバー証明書を選択します。
トンネルを確立しようとして LSVPN コンポーネント間の SSL 通信用に作成した [ 証明書
いるサテライトの認証に使用 プロファイル ] を選択します。
するゲートウェイの証明書プ
ロファイルを選択します。
証明書プロファイルをまだセッ
トアップしていない場合、手順
に つ い て は「GlobalProtect
LSVPN コンポーネント間の SSL
の有効化」を参 照し て くだ さ
い。
ステップ 4
592
トンネル パラメータを設定し 1.
てトンネルを有効にします。
[GlobalProtect ゲートウェイ ] ダイアログで、[ サテライ
ト設定 ] > [ トンネル設定 ] の順に選択します。
2.
[ トンネル設定 ] チェック ボックスをオンにして、トン
ネルを有効にします。
3.
[トンネル インターフェイス] で、「LSVPN のインター
フェイスおよびゾーンの作成」のステップ 2 で定義し
たトンネル インターフェイスを選択します。
4.
(任意)カプセル化されたパケットで ToS (Type of
Service)情報を保持する場合、[TOS のコピー] チェッ
ク ボックスをオンにします。
大規模 VPN
大規模 VPN (LSVPN)
LSVPN の GlobalProtect ゲートウェイの設定
LSVPN のゲートウェイの設定(続き)
ステップ 5
ステップ 6
(任意)トンネル モニタリング 1.
を有効化します。
[ トンネル モニタリング ] チェック ボックスをオンにし
ます。
トンネル モニタリングによっ 2.
て、サテライト デバイスはそ
のゲートウェイ トンネル接続
を監視でき、接続に失敗した
場合にバックアップ ゲート
ウェイにフェイルオーバーで
き る よ う に な り ま す。別 の
ゲ ー ト ウ ェ イ へ の フ ェ イ ル 3.
オーバーは、LSVPN でサポー
トされている唯一のトンネル
モニタリング プロファイルの
タイプです。
[ 宛先 IP] フィールドで、ゲートウェイがアクティブか
どうかをサテライト デバイスが判断するために使用す
るアドレスを指定します。または、トンネル インター
フェイスに IP アドレスを設定した場合はこのフィール
ドを空白のままにでき、トンネル モニターは代わりに
トンネル インターフェイスを使用して接続がアクティ
ブかどうかを判断します。
[トンネル モニターのプロファイル] ドロップダウン リ
ストから [ フェイルオーバー] を選択します(これは、
サポートされる唯一の LSVPN のトンネル モニターの
プロファイルです)。
トンネル接続を確立するとき [IPSec 暗号プロファイル ] ドロップダウン リストから
に使用する [ 暗号プロファイル ] [default] を選択するか、必要に応じて、[ 新規 - IPSec 暗号
を選択します。
プロファイル ] を選択して新しいプロファイルを定義しま
す。暗号プロファイルの認証および暗号化のオプションの
暗号プロファイルは、トンネ
詳細は、オンライン ヘルプを参照してください。
ルを通過するデータを安全に
するための IPSec 暗号化や認証
方法のタイプを指定します。
LSVPN の両方のトンネル エン
トポイントが組織内の信頼さ
れるファイアウォールである
ため、一般に、SHA-1 暗号化を
含む ESP-DH group2-AES 128 を
使用するデフォルトのプロ
ファイルを使用できます。
ただし、暗号化と認証メカニ
ズムの異なる組み合わせが必
要な場合、必要に応じてカス
タム IPSec 暗号プロファイルを
作成できます。
大規模 VPN
593
LSVPN の GlobalProtect ゲートウェイの設定
大規模 VPN (LSVPN)
LSVPN のゲートウェイの設定(続き)
ステップ 7
IPSec トンネルの確立中に、ネッ 1.
トワークを設定しサテライト
を割り当てます。
2.
サテライトをホストする
ファイアウォールに
DHCP サーバーを設定す
る こ と で、DNS 設 定 を
そのローカル クライア
ントにプッシュするよう
にサテライト デバイス
を設定することもできま
す。この設定では、サテ
ライトはゲートウェイか
ら収集する DNS 設定を
3.
DHCP ク ラ イ ア ン ト に
プッシュします。
4.
[GlobalProtect ゲートウェイ ] ダイアログで、[ サテライ
ト設定 ] > [ ネットワーク設定 ] の順に選択します。
(任意)サテライト デバイスにローカルなクライアント
が企業ネットワーク上の FQDN を解決する必要がある
場合、以下のいずれかの方法で、ゲートウェイが DNS
設定をサテライトにプッシュするように設定します。
• [プライマリ DNS]、[セカンダリ DNS]、[DNS サフィッ
クス ] 設定を、サテライトにプッシュするように手
動で定義します。
• ゲートウェイに DHCP クライアントとして設定され
たインターフェイスがある場合、そのインターフェ
イスへの [ 継承ソース ] を設定すると、GlobalProtect
サテライトは DHCP クライアントによって受信され
るのと同じ設定に割り当てられます。
VPN の確立時に、サテライト デバイスのトンネル イ
ンターフェイスに割り当てるアドレスの [IP プール ] を
指定するには、[ 追加 ] をクリックして使用する IP ア
ドレス範囲を指定します。ダイナミック ルーティング
を使用している場合、サテライトについて指定した IP
アドレスが、ゲートウェイおよびサテライトでトンネ
ル インターフェイスに手動で割り当てた IP アドレス
と重複しないようにしてください。
トンネルを経由してルーティングする宛先サブネット
を定義するには、[ アクセス ルート ] 領域で [ 追加 ] を
クリックして以下のようにルートを入力します。
• サテライトからのすべてのトラフィックをトンネル
を経由してルーティングする場合、このフィールド
は空白のままにします。その場合、ローカル サブ
ネット宛てのトラフィックを除くすべてのトラ
フィックはゲートウェイにトンネリングされます。
• 一部のトラフィックのみをゲートウェイ経由でルー
ティングするには(スプリット トンネルと呼ばれま
す)、トンネルする必要のある宛先サブネットを指
定します。この場合、サテライトは独自のルーティ
ング テーブルを使用して、指定したアクセス ルー
トの宛先になっていないトラフィックをルーティン
グします。たとえば、企業ネットワークの宛先に
なっているトラフィックのみをトンネルし、ローカ
ル サテライトを使用して安全にインターネット ア
クセスを有効にすることができます。
• サテライト間のルーティングを有効にするには、各
サテライトによって保護されたネットワークのサマ
リー ルートを入力します。
594
大規模 VPN
大規模 VPN (LSVPN)
LSVPN の GlobalProtect ゲートウェイの設定
LSVPN のゲートウェイの設定(続き)
ステップ 8
ステップ 9
(任意)ゲート ウェ イがサ テ 1.
ライトから受け入れるルート
(ある場合)を定義します。
ゲートウェイがサテライトによって通知されたルート
を受け入れるようにするには、[ サテライト設定 ] >
[ ルート フィルタ ] の順に選択します。
デフォルトでは、ゲートウェ 2.
イはサテライトが通知した
ルートをルーティング テーブ 3.
ル に 追 加 し ま せ ん。ゲ ー ト
ウェイがサテライトからの
ルートを受け入れないように
する場合、この手順を実行す
る必要はありません。
[ 公開されたルートの受け入れ ] チェック ボックスをオ
ンにします。
ゲートウェイの設定を保存し 1.
ます。
2.
大規模 VPN
サテライトによって通知されたルートのうちゲート
ウェイ ルーティング テーブルに追加するものをフィル
タリングするには、[ 追加 ] をクリックして含めるサブ
ネットを定義します。たとえば、すべてのサテライト
が LAN 側のサブネット 192.168.x.0/24 で設定されてい
る場合、許可されたルートの 192.168.0.0/16 を設定する
と、ゲートウェイはサテライトが 192.168.0.0/16 サブ
ネットにある場合のみサテライトからのルートを受け
入れます。
[OK] をクリックして設定を保存し、[GlobalProtect ゲー
トウェイ ] ダイアログを閉じます。
設定を [ コミット ] します。
595
LSVPN の GlobalProtect ポータルの設定
大規模 VPN (LSVPN)
LSVPN の GlobalProtect ポータルの設定
GlobalProtect ポータルでは、GlobalProtect LSVPN の管理機能を提供します。LSVPN に参加する
すべてのサテライト システムは、ポータルから設定情報を受信します。これには、使用可能な
ゲートウェイ、ゲートウェイへの接続に必要な証明書などの情報が含まれます。
以下のセクションでは、ポータルのセットアップの手順について説明します。

前提となるタスク

ポータルの設定

サテライト設定の定義
前提となるタスク
GlobalProtect ポータルを設定するには、以下のタスクを完了しておく必要があります。

ポータルを設定する予定のファイアウォール インターフェイスのためのインターフェイス(お
よびゾーン)の作成。「LSVPN のインターフェイスおよびゾーンの作成」を参照してくだ
さい。

ポータル サーバー証明書、ゲートウェイ サーバー証明書の発行と、サテライトのサーバー
証明書を発行するためのポータルのセットアップ。「GlobalProtect LSVPN コンポーネント
間の SSL の有効化」を参照してください。

シリアル番号が使用できない場合に GlobalProtect サテライトを認証するために使用される認
証プロファイルの定義。「サテライトを認証するためのポータルの設定」を参照してくだ
さい。

GlobalProtect ゲートウェイを設定しておきます。「LSVPN の GlobalProtect ゲートウェイの設
定」を参照してください。
ポータルの設定
「前提となるタスク」を完了したら、以下のように GlobalProtect ポータルを設定します。
LSVPN のポータルの設定
ステップ 1
596
ポータルを追加します。
1.
[Network] > [GlobalProtect] > [ ポータル ] の順に選択
し、[ 追加 ] をクリックします。
2.
[ ポータル設定 ] タブで、ポータルの [ 名前 ] を入力し
ます。ポータル名にスペースを含めることはできま
せん。
3.
(任意)[ 場所 ] フィールドから、このポータルが属す
る仮想システムを選択します。
大規模 VPN
大規模 VPN (LSVPN)
LSVPN の GlobalProtect ポータルの設定
LSVPN のポータルの設定(続き)
ステップ 2
サテライトがポータルに接続 1.
できるようにネットワーク情
報を指定します。
2.
ポータルのネットワーク イン
ターフェイスをまだ作成して 3.
い な い 場 合、作 成 手 順 は、
「LSVPN のインターフェイス
およびゾーンの作成」を参照
し て く だ さ い。ポ ー タ ル の
サーバー証明書の作成とゲー
トウェイ証明書の発行がまだの
場合は、「GlobalProtect LSVPN
コンポーネントへのサーバー証
明書のデプロイ」を参照してく
ださい。
サテライトがポータルへの入力アクセスに使用する
[ インターフェイス ] を選択します。
ポータルへのサテライト アクセスの [IP アドレス ] を
選択します。
サテライトがポータルとの SSL 接続を確立できるよう
に、生成した [ サーバー証明書 ] を選択します。
ステップ 3
サテライト デバイスを認証す • サテライトを認証するために定義した [ 認証プロファイル ]
を選択します。
るための認証プロファイルを
指定します。
• 認証プロファイルをまだセットアップしていない場合、
[ 新規 - 認証プロファイル ] を選択してここで作成します。
サテライトのシリアル番
方法については、「サテライトを認証するためのポータ
号を使用して手動でポー
ルの設定」を参照してください。ポータルが接続するサ
タルを設定する予定で
テライトのシリアル番号を検証できない場合、この認証
あっても、認証プロファ
プロファイルにフォールバックするため、ポータル設定
イルを定義する必要があ
を保存するために認証プロファイルを設定する必要があ
り、定 義 し な い と 設 定
ります。
を保存することができ
ません。
ステップ 4
サテライトにプッシュするた [OK] をクリックしてポータル設定を保存するか、「サテ
め の 設 定 の 定 義 を 続 行 す る ライト設定の定義」を続行します。
か、すでにサテライト設定を
作成している場合は、ポータ
ル設定を保存します。
大規模 VPN
597
LSVPN の GlobalProtect ポータルの設定
大規模 VPN (LSVPN)
サテライト設定の定義
GlobalProtect サテライトが GlobalProtect ポータルに接続して認証に成功すると、ポータルはサテ
ライト設定を配信し、これによってサテライトが接続できるゲートウェイが指定されます。す
べてのサテライトで同じゲートウェイおよび証明書設定を使用する場合、1 つのサテライト設
定を作成しておき、認証が成功したときにすべてのサテライトにそれを配信することができま
す。ただし、たとえばサテライトの 1 つのグループを 1 つのゲートウェイに接続し、サテライ
トの別のグループを別のゲートウェイに接続するなど、異なるサテライト設定が必要な場合、
それぞれについて個別のサテライト設定を作成できます。ポータルは、ユーザー名/グループ名
の登録またはサテライト デバイスのシリアル番号を使用して、デプロイするサテライト設定を
決定します。セキュリティ ルール評価によって、ポータルはリストの先頭から一致を検索しま
す。一致が見つかると、ポータルは対応する設定をサテライトに配信します。
たとえば、以下の図は、一部の支社ではペリメータ ファイアウォールによって保護された企業
アプリケーションへの VPN アクセスが必要で、別の支社ではデータセンターへの VPN アクセ
スが必要なネットワークを示しています。
以下の手順に従って、1 つ以上のサテライト設定を作成します。
598
大規模 VPN
大規模 VPN (LSVPN)
LSVPN の GlobalProtect ポータルの設定
GlobalProtect サテライト設定の作成
ステップ 1
サテライトが LSVPN に参加す 1.
るために必要な証明書を指定
します。
[Network] > [GlobalProtect] > [ ポータル ] の順に選択
し、サテライト設定を追加するポータル設定を選択し
てから [ サテライト設定 ] タブを選択します。
2.
[信頼されたルート CA] フィールドで、[追加] をクリッ
クしてからゲートウェイ サーバー証明書を発行するた
めに使用する CA 証明書を選択します。ポータルは、
ここで追加したルート CA 証明書を設定の一部として
すべてのサテライトにデプロイするため、サテライト
はゲートウェイとの SSL 接続を確立できます。すべて
のゲートウェイで同じ発行者を使用することをお勧め
します。
ゲートウェイ サーバー証明書を発行するために
使用するルート CA 証明書がポータルにない場
合、ここで [ インポート ] できます。ルート CA 証
明書のインポート方法の詳細は、「GlobalProtect
LSVPN コンポーネント間の SSL の有効化」を参照
してください。
3.
[ 証明書の発行 ] ドロップダウン リストから、認証に成
功したときにポータルが証明書をサテライトに発行す
るために使用するルート CA 証明書を選択します。
ステップ 2
サテライト設定を追加します。 [ サテライト設定 ] セクションで、[ 追加 ] をクリックして、
設定の [ 名前 ] を入力します。
サテライト設定は、接続元サ
テ ラ イ ト に デ プ ロ イ す る 複数の設定を作成する予定の場合、それぞれについて分か
GlobalProtect LSVPN 設 定 を 指 りやすい名前を定義し、区別できるようにしてください。
定します。少なくとも 1 つのサ
テライト設定を定義する必要
があります。
大規模 VPN
599
LSVPN の GlobalProtect ポータルの設定
大規模 VPN (LSVPN)
GlobalProtect サテライト設定の作成(続き)
ステップ 3
この設定をデプロイするサテ 以下のようにサテライト設定の一致基準を指定します。
ライトを指定します。設定を • この設定を特定のシリアル番号を持つサテライト デバ
取得するサテライトを指定す
イスに制限するには、[ デバイス ] タブを選択して [ 追加 ]
る方法には、ユーザー/ グルー
をクリックし、シリアル番号を入力します(サテライト
プ名を登録する方法とサテライ
ホスト名はサテライトが接続したときに自動的に追加さ
ト デバイスのシリアル番号を使
れるため、入力する必要はありません)。この設定を受
用する方法の 2 つがあります。
信するサテライトごとにこの手順を繰り返します。
ポータルは [ 登録ユーザー/ 登 • [ 登録ユーザー/ 登録ユーザー グループ ] タブを選択して
録ユーザー グループ ] 設定また
[追加 ] をクリックし、この設定を受信するユーザーまた
は [ デバイス ] シリアル番号を
はグループを選択します。シリアル番号に一致しないサ
使用してサテライトと設定を
テライトは、ここで指定したユーザー(個人ユーザーまた
照 合 し ま す。し た が っ て、複
はグループ メンバー)として認証する必要があります。
数の設定がある場合、適切に
設定を特定のグループに制限するには、「ユー
順序付けする必要がありま
ザーとグループのマッピング」を有効にしておく
す。ポータルが一致を認める
必要があります。
とすぐに、設定が配信されま
す。そ の た め、よ り 具 体 的 な
設定が、一般的な設定よりも
優先される必要があります。
サテライト設定のリストの順序
付けの手順については、ステッ
プ 6 を参照してください。
600
大規模 VPN
大規模 VPN (LSVPN)
LSVPN の GlobalProtect ポータルの設定
GlobalProtect サテライト設定の作成(続き)
ステップ 4
この設定を持つサテライトが 1.
VPN トンネルを確立できるゲー 2.
トウェイを指定します。
ゲートウェイによって公
開されたルートはスタ
ティック ルートとしてサ 3.
テライトにインストール
されます。スタティック
ルートのメトリックは、
ルーティングの優先順位
の 10 倍 で す。複 数 の
4.
ゲートウェイがある場
合、必ずルーティングの
優 先 順 位 も 設 定 し て、
バックアップ ゲートウェ
イによって通知される
ルートがプライマリ ゲー
トウェイによって通知さ
れる同じルートよりも高
いメトリックになるよう
にしてください。たとえ
ば、プライマリ ゲート
ウェイとバックアップ
ゲートウェイのルーター
の優先順位をそれぞれ 1
と 10 に設定した場合、
サテライトは 10 をプラ
イマリ ゲートウェイのメ
トリックとして使用し、
100 をバックアップ ゲー
トウェイのメトリックと
して使用します。
ステップ 5
サ テ ラ イ ト の 設 定 を 保 存 し 1.
ます。
2.
[ ゲートウェイ ] タブで [ 追加 ] をクリックします。
[ 名前 ] フィールドに、分かりやすいゲートウェイ名を
入力します。ここで入力する名前は、ゲートウェイを
設定したときに定義した名前と一致し、ゲートウェイ
の場所を識別できるように分かりやすい名前にする必
要があります。
ゲートウェイを設定するインターフェイスの FQDN ま
たは IP アドレスを [ ゲートウェイ ] フィールドに入力
します。指定するアドレスは、ゲートウェイ サーバー
証明書に記載された共通名 (CN) と完全に一致する必要
があります。
(任意)設定に 2 つ以上のゲートウェイを追加してい
る場合、[ ルーターの優先順位 ] を使用するとサテライ
トが優先するゲートウェイを選択できます。1 ~ 25 の
範囲で値を入力します。小さい数値の方が優先順位が
高くなります(つまり、すべてのゲートウェイが使用
できる場合、サテライトが接続するゲートウェイとなり
ます)。サテライトは、ルーティング メトリックを算出
するためにルーティングの優先順位を 10 倍します。
[OK] をクリックして、サテライト設定を保存します。
別のサテライト設定を追加する場合、ステップ 2 から
ステップ 5 を繰り返します。
ステップ 6
適切な設定が各サテライトに • サテライト設定をリストの上位に移動するには、設定を
デプロイされるように、サテ
選択して [ 上へ ] をクリックします。
ライト設定を並べ替えます。
• サテライト設定をリストの下位に移動するには、設定を
選択して [ 下へ ] をクリックします。
ステップ 7
ポータルの設定を保存します。 1.
2.
大規模 VPN
[OK] をクリックして設定を保存し、[GlobalProtect ポー
タル ] ダイアログを閉じます。
変更を [ コミット ] します。
601
LSVPN に参加するためのサテライト デバイスの準備
大規模 VPN (LSVPN)
LSVPN に参加するためのサテライト デバイスの準備
サテライト デバイスが LSVPN に参加するために必要なのは最小限の設定です。必要な設定は
最小限であるため、インストールのために支社に配送する前にデバイスを事前設定できます。
GlobalProtect LSVPN に参加するためのサテライト デバイスの準備
ステップ 1
レイヤー 3 インターフェイスを これは、サテライトがポータルおよびゲートウェイに接続
設定します。
するために使用する物理インターフェイスです。このイン
ターフェイスは、ローカルの信頼されるネットワークの外
部からのアクセスが可能なゾーンにある必要があります。
ベスト プラクティスとして、企業ゲートウェイを宛先とす
るトラフィックを可視化して制御するために、VPN 接続専
用のゾーンを作成します。
ステップ 2
GlobalProtect ゲートウェイとの 1.
VPN トンネルを確立するため
に使用するトンネルの論理ト 2.
ンネル インターフェイスを設
定します。
3.
ダイナミック ルーティン
グを使用する予定がなけ
れば、トンネル インター
フェイスに IP アドレス
は必要ありません。ただ 4.
し、IP アドレスをトンネ
ル インターフェイスに割
5.
り当てると、接続の問題
をトラブルシューティン
グするときに役立つ場合
があります。
6.
602
[Network] > [ インターフェイス ] > [ トンネル ] の順に
選択し、[ 追加 ] をクリックします。
[ インターフェイス名 ] フィールドで、「.2」などの数値
のサフィックスを指定します。
[ 設定 ] タブで [ セキュリティ ゾーン ] ドロップダウン
リストを展開し、既存のゾーンを選択するか、[ 新規 ゾーン ] をクリックして [ 名前 ] フィールドで新しい
ゾーンの名前(「lsvpnsat」など)を定義して VPN トン
ネル トラフィック用の個別のゾーンを作成します。
[ 仮想ルーター] ドロップダウン リストで、[ デフォルト ]
を選択します。
(任意)IP アドレスをトンネル インターフェイスに割
り当てるには、[IPv4] タブを選択してから [IP] セク
ションで [ 追加 ] をクリックし、インターフェイスに割
り当てる IP アドレスとネットマスク(例 : 2.2.2.11/24)
を入力します。
インターフェイス設定を保存するには、[OK] をクリッ
クします。
大規模 VPN
大規模 VPN (LSVPN)
LSVPN に参加するためのサテライト デバイスの準備
GlobalProtect LSVPN に参加するためのサテライト デバイスの準備(続き)
ステップ 3
サテライトによって信頼され 1.
ないルート CA を使用してポー
タル サーバー証明書を生成し
た 場 合(た と え ば、自 己 署 名
証 明 書 を 使 用 し た 場 合)、
ポータル サーバー証明書を発行
するために使用するルート CA
証明書をインポートします。
ルート CA 証明書は、サテライ
ト デバイスがポータルとの最
初の接続を確立して LSVPN 設
定を取得できるようにするた
めに必要です。
ポータル サーバー証明書を生成するために使用された
CA 証明書をダウンロードします。自己署名証明書を
使用している場合、以下のようにルート CA 証明書を
ポータルからエクスポートします。
a. [Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス
証明書 ] の順に選択します。
b. [CA 証明書 ] を選択して [ エクスポート ] をクリック
します。
c. [ ファイル フォーマット ] ドロップダウン リストから
[Base64 エンコード済み証明書 (PEM)] を選択し、
[OK] をクリックして証明書をダウンロードします
(秘密鍵をエクスポートする必要はありません)
2.
以下のように、エクスポートしたルート CA 証明書を
各サテライトにインポートします。
a. [Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス
証明書 ] の順に選択し、[ インポート ] をクリックし
ます。
b. [ 証明書名 ] フィールドに、クライアント CA 証明書
であることを識別できる名前を入力します。
c. [ 参照 ] をクリックして、CA からダウンロードした
証明書ファイルを選択します。
d. [Base64 エンコード済み証明書 (PEM)] を [ ファイル
フォーマット ] フィールドで選択し、[OK] をクリッ
クします。
e. [ デバイス証明書 ] タブで、先ほどインポートした証
明書を選択して開きます。
f. [ 信頼されたルート CA] を選択して [OK] をクリック
します。
大規模 VPN
603
LSVPN に参加するためのサテライト デバイスの準備
大規模 VPN (LSVPN)
GlobalProtect LSVPN に参加するためのサテライト デバイスの準備(続き)
ステップ 4
ステップ 5
ステップ 6
604
IPSec トンネル設定を設定し 1.
ます。
[Network] > [IPSec トンネル ] の順に選択して [ 追加 ]
をクリックします。
2.
[ 全般 ] タブの [ 名前 ] フィールドに IPSec 設定の分か
りやすい名前を入力します。
3.
サテライトについて作成した [ トンネル インターフェイ
ス ] を選択します。
4.
[ タイプ ] として [GlobalProtect サテライト ] を選択し
ます。
5.
ポータルの IP アドレスまたは FQDN を [ ポータル アド
レス ] として入力します。
6.
サテライト用に設定したレイヤー 3 の [インターフェイ
ス ] を選択します。
7.
選択したインターフェイスで使用する [ ローカル IP ア
ドレス ] を選択します。
(任意)ゲート ウェ イにロ ー 1.
カル ルートを公開するように
サテライトを設定します。
サテライトがルートをゲートウェイにプッシュできる
ようにするには、[ 詳細 ] タブで [ 静的なすべての接続
済みルートをゲートウェイに公開 ] をオンにします。
ルートをゲートウェイにプッ 2.
シ ュ す る と、サ テ ラ イ ト に
ローカルなサブネットへのト
ラフィックがゲートウェイを
経由できるようになります。
た だ し、ゲ ー ト ウ ェ イ で も
ルートを受け入れるように設
定する必要があります。
(任意)すべてのルートではなく特定のサブネットの
ルートのみをプッシュするには、[ サブネット ] セク
ションで [ 追加 ] をクリックして公開するサブネット
ルートを指定します。
サ テ ラ イ ト の 設 定 を 保 存 し 1.
ます。
2.
[OK] をクリックして、IPSec トンネル設定を保存します。
[ コミット ] をクリックします。
大規模 VPN
大規模 VPN (LSVPN)
LSVPN に参加するためのサテライト デバイスの準備
GlobalProtect LSVPN に参加するためのサテライト デバイスの準備(続き)
ステップ 7
必要に応じて、認証情報を入 1.
力し、サテライトがポータル
の認証を受けられるようにし
ます。
2.
この手順は、ポータルが設定
内に一致するシリアル番号を
検出できなかった場合、また
はシリアル番号が機能しな
かった場合のみ必要になりま
す。こ の 場 合、サ テ ラ イ ト は
ゲートウェイとのトンネルを
確立できません。
大規模 VPN
[Network] > [IPSec トンネル ] の順に選択し、LSVPN
用に作成したトンネル設定の [ 状態 ] 列で [ ゲートウェ
イ情報 ] リンクをクリックします。
[ ポータル状態 ] フィールドで [ 資格情報の入力 ] リン
クをクリックし、サテライトがポータルの認証を受け
られるようにするために必要なユーザー名とパスワー
ドを入力します。
サテライトがポータルの認証を受けると、その署名付
き証明書と設定を受信し、それを使用してゲートウェ
イに接続します。トンネルが確立され [ 状態 ] が [ アク
ティブ ] に変更されます。
605
LSVPN 設定の確認
大規模 VPN (LSVPN)
LSVPN 設定の確認
ポータル、ゲートウェイ、サテライト デバイスを設定したら、サテライトがポータルおよび
ゲートウェイに接続して、ゲートウェイとの VPN トンネルを確立できることを確認します。
LSVPN 設定の確認
ステップ 1
サテライトとポータルの接続 ポータルをホストするファイアウォールから、[Network] >
を確認します。
[GlobalProtect] > [ ポータル ] の順に選択してポータル設定
エントリの [ 情報 ] 列で [ サテライト情報 ] をクリックし
て、サテライトが接続に成功したことを確認します。
ステップ 2
サテライトとゲートウェイの ゲ ー ト ウ ェ イ を ホ ス ト す る フ ァ イ ア ウ ォ ー ル か ら、
接続を確認します。
[Network] > [GlobalProtect] > [ ゲートウェイ ] の順に選択
してゲートウェイ設定エントリの [ 情報 ] 列で [ サテライト
情報 ] をクリックして、サテライトが VPN トンネルを確立
できることを確認します。ゲートウェイとのトンネルを正
常に確立したサテライトが [ アクティブ サテライト ] タブ
に表示されます。
ステップ 3
サテライトでの LSVPN トンネ サ テ ラ イ ト を ホ ス ト す る 各 フ ァ イ ア ウ ォ ー ル で、
ルの状態を確認します。
[Network] > [IPSec トンネル ] の順に選択することによっ
てトンネルの状態を確認し、緑色のアイコンでアクティブ
な状態が示されていることを確認します。
606
大規模 VPN
大規模 VPN (LSVPN)
LSVPN のクイック設定
LSVPN のクイック設定
以下のセクションでは、一般的な GlobalProtect LSVPN のデプロイメント設定のための手順を説
明します。

スタティック ルーティングを使用した基本的な LSVPN 設定

ダイナミック ルーティングを使用した高度な LSVPN 設定
大規模 VPN
607
スタティック ルーティングを使用した基本的な LSVPN 設定
大規模 VPN (LSVPN)
スタティック ルーティングを使用した基本的な LSVPN 設定
このクイック設定では、最短時間で LSVPN を起動して実行する方法を示します。この例では、
企業の本社側で 1 つのファイアウォールをポータルおよびゲートウェイの両方として設定しま
す。サテライト デバイスは、最小限の設定で素早く簡単にデプロイすることができ、最適な拡
張性が得られます。
以下のワークフローは、この基本的な設定をセットアップするための手順を示しています。
クイック設定 : スタティック ルーティングを使用した基本的な LSVPN
ステップ 1
レイヤー 3 インターフェイスを この例では、ポータル / ゲートウェイのレイヤー 3 イン
設定します。
ターフェイスで以下の設定が必要です。
• インターフェイス — ethernet1/11
• セキュリティ ゾーン — lsvpn-unt
• IPv4 — 203.0.113.11/24
ステップ 2
GlobalProtect ゲートウェイをホス
トするファイアウォールで、
GlobalProtect サテライトによって
確立される VPN トンネルを終端
する論理トンネル インターフェ
イスを設定します。
この例では、ポータル / ゲートウェイのトンネル インター
フェイスで以下の設定が必要です。
• インターフェイス — tunnel.1
• セキュリティ ゾーン — lsvpn-tun
VPN を 経由し て接続 す
るユーザーおよびグルー
プを可視化するために
は、VPN ト ン ネ ル が 終
端するゾーンで User-ID
を有効にしてください。
608
大規模 VPN
大規模 VPN (LSVPN)
スタティック ルーティングを使用した基本的な LSVPN 設定
クイック設定 : スタティック ルーティングを使用した基本的な LSVPN(続き)
ステップ 3
セキュリティ ポリシー ルールを作成して、トンネルが終端する VPN ゾーン (lsvpn-tun) と企
業アプリケーションが存在する Trust ゾーン (L3-Trust) 間でトラフィックをやり取りできる
ようにします。
ステップ 4
ポータル / ゲートウェイの自己 1.
署名サーバー証明書を発行し
ます。
証明書のサブジェクト名は、
ポータル / ゲートウェイについ
て作成したレイヤー 3 インター
フェイスの FQDN または IP ア
ドレスに一致する必要があり 2.
ます。
ポ ー タ ル を ホ ス ト す る フ ァ イ ア ウ ォ ー ル で、
GlobalProtect コンポーネントの自己署名証明書を発行
するためにルート CA 証明書を作成します。この例で
は、ルート CA 証明書「lsvpn-CA」がポータル / ゲート
ウェイのサーバー証明書を発行するために使用されま
す。さらに、ポータルはこのルート CA 証明書を使用
してサテライト デバイスからの CSR に署名します。
GlobalProtect ポータルおよびゲートウェイのサーバー証
明書を生成します。
この例ではポータルとゲートウェイが同じインター
フェイス上にあるため、サーバー証明書を共有できま
す。この例では、サーバー証明書の名前は「lsvpnserver」
です。
ステップ 5
証明書プロファイルを作成し この例では、証明書プロファイル「lsvpn-profile」がルート
ます。
CA 証明書「isvpn-CA」を参照します。ゲートウェイはこの
証明書プロファイルを使用して、VPN トンネルの確立を試
みるサテライトを認証します。
ステップ 6
サテライトのシリアル番号が 1.
使用できない場合に使用する 2.
ポータルの認証プロファイル
を設定します。
ステップ 7
ポータルでサーバー プロファイルを作成します。
認証プロファイルを作成します。この例では、プロファ
イル「lsvpn-sat」がサテライトの認証に使用されます。
LSVPN のゲートウェイの設定。 [Network] > [GlobalProtect] > [ ゲートウェイ ] の順に選択
し、設定を [追加] します。この例では、以下のゲートウェ
イ設定が必要です。
• インターフェイス — ethernet1/11
• IP アドレス — 203.0.113.11/24
• サーバー証明書 — lsvpnserver
• 証明書プロファイル — lsvpn-profile
• トンネル インターフェイス — tunnel.1
• プライマリ DNS/ セカンダリ DNS — 4.2.2.1/4.2.2.2
• IP プール — 2.2.2.111-2.2.2.120
• アクセス ルート — 10.2.10.0/24
大規模 VPN
609
スタティック ルーティングを使用した基本的な LSVPN 設定
大規模 VPN (LSVPN)
クイック設定 : スタティック ルーティングを使用した基本的な LSVPN(続き)
ステップ 8
LSVPN のポータルの設定。
[Network] > [GlobalProtect] > [ ポータル ] の順に選択し、
設定を [ 追加 ] します。この例では、以下のポータル設定
が必要です。
• インターフェイス — ethernet1/11
• IP アドレス — 203.0.113.11/24
• サーバー証明書 — lsvpnserver
• 認証プロファイル設定 — lsvpn-sat
ステップ 9
GlobalProtect サテライト設定の ポータル設定の [ サテライト設定 ] タブで、サテライト設
作成。
定および信頼されたルート CA を [ 追加 ] し、ポータルがサ
テライトの証明書の発行に使用する CA を指定します。こ
の例では、必要な設定は以下のようになります。
• ゲートウェイ — 203.0.113.11
• 証明書の発行 — lsvpn-CA
• 信頼されたルート CA — lsvpn-CA
ステップ 10 LSVPN に参加するためのサテ この例のサテライト設定では、以下の設定が必要です。
ライト デバイスの準備。
インターフェイス設定
• レイヤー 3 インターフェイス — ethernet1/1、203.0.113.13/24
• トンネル インターフェイス — tunnel.2
• ゾーン — lsvpnsat
ポータルからのルート CA 証明書
• lsvpn-CA
IPSec トンネル設定
• トンネル インターフェイス — tunnel.2
• ポータル アドレス — 203.0.113.11
• インターフェイス — ethernet1/1
• ローカル IP アドレス — 203.0.113.13/24
• 静的なすべての接続済みルートをゲートウェイに公開 —
オン
610
大規模 VPN
大規模 VPN (LSVPN)
ダイナミック ルーティングを使用した高度な LSVPN 設定
ダイナミック ルーティングを使用した高度な LSVPN 設定
複数のゲートウェイと多数のサテライト大規模な LSVPN のデプロイメントでは、初期設定に少
し時間をかけてダイナミック ルーティングをセットアップすることで、アクセス ルートが動的
に更新されるようになるため、ゲートウェイ設定のメンテナンスが簡略化されます。以下の設
定例では、基本的な LSVPN 設定を拡張して OSPF をダイナミック ルーティング プロトコルと
して設定する方法を示しています。
ダイナミック ルーティングに OSPF を使用するように LSVPN をセットアップするには、ゲート
ウェイおよびサテライトで以下の追加手順が必要です。

すべてのゲートウェイおよびサテライトでインターフェイスをトンネルするために IP アドレ
スを手動で割り当てる。

すべてのゲートウェイおよびサテライトで仮想ルーターの OSPF ポイントツーマルチポイン
ト (P2MP) を設定する。さらに、各ゲートウェイでの OSPF 設定の一環として、各サテライト
のトンネル IP アドレスを OSPF ネイバーとして手動で定義する必要があります。同様に、各
サテライトで、各ゲートウェイのトンネル IP アドレスを OSPF ネイバーとして手動で定義す
る必要があります。
ダイナミック ルーティングでは LSVPN の初期設定中に追加のセットアップが必要ですが、こ
れにより、ネットワークでトポロジが変更されたときにルートを最新の状態に保つためのメン
テナンス タスクが軽減されます。
以下の図は、LSVPN ダイナミック ルーティング設定を示しています。この例は、OSPF を VPN
のダイナミック ルーティング プロトコルとして設定する方法を示しています。
LSVPN の基本的なセットアップは、「スタティック ルーティングを使用した基本的な LSVPN
設定」の手順に従って行います。基本的なセットアップを行った後で、以下のワークフローの
手順を実行して、スタティック ルーティングではなくダイナミック ルーティングを使用するよ
うに設定を拡張できます。
大規模 VPN
611
ダイナミック ルーティングを使用した高度な LSVPN 設定
大規模 VPN (LSVPN)
クイック設定 : ダイナミック ルーティングを使用した LSVPN
ステップ 1
IP アドレスを各ゲートウェイお 各ゲートウェイおよび各サテライトで以下の手順を実行し
よび各サテライトのトンネル ます。
インターフェイス設定に追加 1. [Network] > [ インターフェイス ] > [ トンネル ] の順に
します。
選択し、LSVPN 用に作成したトンネル設定を選択して
[ トンネル インターフェイス ] ダイアログを開きます。
重要 :
トンネル インターフェイスをまだ作成していない場
サテライト トンネル インター
合、「クイック設定 : スタティック ルーティングを使
フェイスに割り当てる IP アド
用した基本的な LSVPN」のステップ 2 を参照してくだ
レスは、ゲートウェイ トンネ
さい。
ル インターフェイスに割り当
2. [IPv4] タブで [ 追加 ] をクリックして、IP アドレスとサ
てる IP アドレスとは異なるサ
ブネット マスクを入力します。たとえば、ゲートウェ
ブネットにある必要がありま
イ トンネル インターフェイスの IP アドレスを追加す
す。さ ら に、サ テ ラ イ ト に 割
るには「2.2.2.100/24」と入力します。
り当てる IP アドレスは、ゲー
トウェイ設定で定義した指名 3. [OK] をクリックして設定を保存します。
IP プールと重複しないように
する必要があります。重複す
ると、デバイスは隣接を確立
できなくなります。
ステップ 2
ゲートウェイでダイナミック ゲートウェイで OSPF を設定するには、以下の手順を実行
ルーティング プロトコルを設 します。
定します。
1. [Network] > [ 仮想ルーター] の順に選択し、VPN イン
ターフェイスに関連付けられた仮想ルーターを選択し
ます。
612
2.
[ エリア ] タブで [ 追加 ] をクリックしてバックボーン
エリアを作成するか、すでに設定している場合は、エ
リア ID をクリックして編集します。
3.
新しいエリアを作成している場合、[ エリア ID] を [ タ
イプ ] タブに入力します。
4.
[インターフェイス] タブで [追加] をクリックし、LSVPN
について作成したトンネルの [ インターフェイス ] を選
択します。
5.
[ リンク タイプ ] として [P2mp] を選択します。
6.
[ ネイバー] セクションで [ 追加 ] をクリックし、各サテ
ライト デバイスのトンネル インターフェイスの IP ア
ドレスを「2.2.2.111」のように入力します。
7.
[OK] を 2 回クリックして仮想ルーター設定を保存して
から、[コミット ] をクリックして変更内容をゲートウェ
イにコミットします。
8.
この手順を、新しいサテライトを LSVPN に追加するご
とに繰り返します。
大規模 VPN
大規模 VPN (LSVPN)
ダイナミック ルーティングを使用した高度な LSVPN 設定
クイック設定 : ダイナミック ルーティングを使用した LSVPN(続き)
ステップ 3
大規模 VPN
サ テ ラ イ ト で ダ イ ナ ミ ッ ク サテライトで OSPF を設定するには、以下の手順を実行し
ルーティング プロトコルを設 ます。
定します。
1. [Network] > [ 仮想ルーター] の順に選択し、VPN イン
ターフェイスに関連付けられた仮想ルーターを選択し
ます。
2.
[ エリア ] タブで [ 追加 ] をクリックしてバックボーン
エリアを作成するか、すでに設定している場合は、エ
リア ID をクリックして編集します。
3.
新しいエリアを作成している場合、[ エリア ID] を [ タ
イプ ] タブに入力します。
4.
[インターフェイス] タブで [追加] をクリックし、LSVPN
について作成したトンネルの [ インターフェイス ] を選
択します。
5.
[ リンク タイプ ] として [P2mp] を選択します。
6.
[ ネイバー] セクションで [ 追加 ] をクリックし、各
GlobalProtect ゲートウェイのトンネル インターフェイ
スの IP アドレスを「2.2.2.100」のように入力します。
7.
[OK] を 2 回クリックして仮想ルーター設定を保存して
から、[コミット ] をクリックして変更内容をゲートウェ
イにコミットします。
8.
この手順を、新しいゲートウェイを追加するごとに繰
り返します。
613
ダイナミック ルーティングを使用した高度な LSVPN 設定
大規模 VPN (LSVPN)
クイック設定 : ダイナミック ルーティングを使用した LSVPN(続き)
ステップ 4
ゲートウェイとサテライトがルーターに隣接できることを確認します。
• 各サテライトおよび各ゲートウェイで、ピア隣接が形成され、ルーティング テーブル エ
ントリがピアについて作成されていることを確認します(つまり、サテライトにゲート
ウェイへのルートがあり、ゲートウェイにサテライトへのルートがある)。[Network] >
[ 仮想ルーター] の順に選択し、LSVPN について使用している仮想ルーターの [ 詳細ラン
ライム状態 ] リンクをクリックします。[ ルーティング ] タブで、LSVPN ピアにルートが
あることを確認します。
• [OSPF] > [ インターフェイス ] タブで、[ タイプ ] が [p2mp] であることを確認します。
• [OSPF] > [ ネイバー] タブで、ゲートウェイをホストするファイアウォールがサテライト
をホストするファイアウォールとルーター隣接を確立し、その逆の隣接も確立している
ことを確認します。また、[ 状態 ] が [ フル ] であり、フル隣接が確立されていることも
確認します。
614
大規模 VPN
ネットワーク
Palo Alto Networks の次世代ファイアウォールでは、ダイナミック ルーティング、スイッチン
グ、および VPN 接続のサポートなど、柔軟なネットワーク アーキテクチャを提供し、さまざ
まなネットワーク環境でファイアウォールのデプロイを可能にします。ファイアウォールで
Ethernet ポートを設定する場合、バーチャル ワイヤー、レイヤー 2、レイヤー 3 の中からイン
ターフェイスのデプロイメントを選択できます。さらに、さまざまなネットワーク セグメント
に統合できるように、異なるポートでさまざまなインターフェイス タイプを設定できます。
「インターフェイスのデプロイメント」セクションでは、デプロイメントのタイプ別の基本情
報に つ い て説 明 しま す。デプ ロ イメ ン ト情 報 の詳 細 は、『Designing Networks with Palo Alto
Networks Firewalls』を参照してください。
以下のトピックでは、ネットワークの概念や、Palo Alto Networks 次世代ファイアウォールを
ネットワークに統合する方法について説明します。

インターフェイスのデプロイメント

仮想ルーター

スタティック ルート

RIP

OSPF

BGP

セッション設定とセッション タイムアウト

DHCP

NAT

LACP
ルート配信の詳細は、『Understanding Route Redistribution and Filtering』(英語)を参照してくだ
さい。
ネットワークへの統合
615
インターフェイスのデプロイメント
ネットワーク
インターフェイスのデプロイメント
デプロイメントはインターフェイス レベルで発生するため、Palo Alto Networks ファイアウォー
ルは複数のデプロイメントを同時に稼動させることができます。以下のセクションでは、デプ
ロイメントについて説明します。

バーチャル ワイヤー デプロイメント

レイヤー 2 デプロイメント

レイヤー 3 デプロイメント

タップ モード デプロイメント
バーチャル ワイヤー デプロイメント
バーチャル ワイヤー デプロイメントの場合、ファイアウォールは 2 つのポートを結合すること
によってネットワーク セグメント上に透過的にインストールされ、スイッチングまたはルー
ティングのいずれも不要な場合にのみ使用する必要があります。
バーチャル ワイヤー デプロイメントにより、以下の利点が得られます。

インストールと設定を簡略化します。

周囲のまたは隣接するネットワーク デバイスの設定を変更する必要がありません。
工場出荷時のデフォルト設定である「default-vwire」は、Ethernet ポート 1 と 2 を結合し、タグの
ないトラフィックをすべて許可します。ただし、バーチャル ワイヤーを使用して任意の 2 つの
ポートを接続し、仮想 LAN (VLAN) タグに基づいてトラフィックをブロックまたは許可するよ
うに設定できます。VLAN タグ「0」はタグのないトラフィックを指します。また、複数のサブ
インターフェイスを作成して異なるゾーンに追加し、VLAN タグ、または VLAN タグと IP 分類
子(アドレス、範囲、またはサブネット)の組み合わせに基づいてトラフィックを分類して、
特定の VLAN タグまたは特定の IP アドレス、範囲、またはサブネットからの VLAN タグにきめ
細かいポリシー制御を適用することもできます。
図 : バーチャル ワイヤー デプロイメント
616
ネットワークへの統合
ネットワーク
インターフェイスのデプロイメント
バーチャル ワイヤー サブインターフェイス
複数の顧客のネットワークからのトラフィックを管理する必要がある場合、バーチャル ワイヤー
サブインターフェイスを使用すると、個別のポリシーを適用するときの柔軟性が高まります。
バーチャル ワイヤー サブインターフェイスでは、以下の基準を使用してトラフィックを異なる
ゾーン(必要に応じて別々の仮想システムに属することができる)に区別して分類できます。

VLAN タグ —「図 : サブインターフェイスを持つバーチャル ワイヤー デプロイメント(VLAN
タグのみ)」の例は、バーチャル ワイヤー サブインターフェイスを使用して、VLAN タグで 2
つの異なる顧客のトラフィックを区別するインターネット サービス プロバイダ (ISP) を示して
います。

VLAN タグと IP 分類子(アドレス、範囲、またはサブネット)との組み合わせ — 以下の例
は、2 つの異なる顧客のトラフィックを管理する 1 つのファイアウォール上に、2 つの異なる
仮想システムを持つ ISP を示しています。この例では、各仮想システムで、VLAN タグおよ
び IP 分類子を持つバーチャル ワイヤー サブネットを使用してトラフィックを個別のゾーン
に分類し、各ネットワークの顧客に関連するポリシーを適用する方法を示しています。
バーチャル ワイヤー サブインターフェイスのワークフロー
1.
2 つの Ethernet インターフェイスをバーチャル ワイヤー タイプとして設定し、これらのインターフェ
イスを 1 つのバーチャル ワイヤーに割り当てます。
2.
親バーチャル ワイヤーにサブインターフェイスを作成し、CustomerA と CustomerB のトラフィックを
区別します。バーチャル ワイヤーとして設定されたサブインターフェイスの各ペアに定義する
VLAN タグは同一にします。バーチャル ワイヤーは VLAN タグを切り替えないため、このようにす
る必要があります。
3.
新しいサブインターフェイスを作成して IP 分類子を定義します。このタスクは任意であり、VLAN
タグと特定のソース IP アドレス、範囲、またはサブネットの組み合わせに基づいて顧客からのトラ
フィックをさらに管理するために追加のサブインターフェイスと IP 分類子を追加する場合のみ必要
です。
タグのないトラフィックを管理するために IP 分類子を使用することもできます。そのためには、
VLAN タグ「0」を持つサブインターフェイスを作成し、IP 分類子を使用してタグのないトラフィッ
クを管理するために IP 分類子を持つサブインターフェイスを定義する必要があります。
IP 分類は、片側のバーチャル ワイヤーに関連付けられているサブインターフェイスでのみ使
用できます。対応する側のバーチャル ワイヤーで定義されたサブインターフェイスは同じ
VLAN タグを使用する必要がありますが、IP 分類子を含めることはできません。
図 : サブインターフェイスを持つバーチャル ワイヤー デプロイメント(VLAN タグのみ)
ネットワークへの統合
617
インターフェイスのデプロイメント
ネットワーク
「図 : サブインターフェイスを持つバーチャル ワイヤー デプロイメント(VLAN タグのみ)」
は、バーチャル ワイヤーとして設定された入力インターフェイスである物理インターフェイス
ethernet1/1 経由でファイアウォールに接続された CustomerA と CustomerB を示しています。2 つ
目の物理インターフェイス ethernet1/2 もバーチャル ワイヤーの一部であり、インターネットへ
のアクセスを提供する出力インターフェイスです。CustomerA には、サブインターフェイス
ethernet1/1.1(入力)と ethernet1/2.1(出力)もあります。CustomerB には、サブインターフェイ
ス ethernet1/1.2(入力)と ethernet1/2.2(出力)があります。顧客ごとにポリシーを適用するた
め、サブインターフェイスの設定時に適切な VLAN タグとゾーンを割り当てる必要がありま
す。この例の場合、CustomerA のポリシーは Zone1 と Zone2 の間で作成され、CustomerB のポリ
シーは Zone3 と Zone4 の間で作成されます。
トラフィックが CustomerA または CustomerB からファイアウォールに入ると、受信パケットの
VLAN タグは最初に、入力サブインターフェイスで定義された VLAN タグに対して照合されま
す。この例では、1 つのサブインターフェイスが受信パケットにの VLAN タグに一致するた
め、そのサブインターフェイスが選択されます。ゾーンに定義されたポリシーは、パケットが
対応するサブインターフェイスから出る前に評価され、適用されます。
親バーチャル ワイヤー インターフェイスとサブインターフェイスで同じ VLAN タグを定義し
ないでください。親バーチャル ワイヤーインターフェイスの [タグを許可] リストで定義される
VLAN タグ([Network] > [バーチャル ワイヤー])がサブインターフェイスに含まれてい
ないことを確認します。
「図 : サブインターフェイスを持つバーチャル ワイヤー デプロイメント(VLAN タグおよび IP
分類子)」は、デフォルトの仮想システム (vsys1) に加えて 2 つの仮想システム (vsys) を持つ 1 つ
の物理ファイアウォールに接続された CustomerA および CustomerB を示しています。各仮想シ
ステムは、各顧客について個別に管理される独立した仮想ファイアウォールです。各 vsys には
インターフェイス/サブインターフェイスが接続されており、独立して管理されるセキュリティ
ゾーンがあります。
図 : サブインターフェイスを持つバーチャル ワイヤー デプロイメント(VLAN タグおよび IP 分類子)
618
ネットワークへの統合
ネットワーク
インターフェイスのデプロイメント
vsys1 は物理インターフェイス ethernet1/1 および ethernet1/2 をバーチャル ワイヤーとして使用す
るようにセットアップされます。ethernet1/1 は入力インターフェイスで、ethernet1/2 はイン
ターネットへのアクセスを提供する出力インターフェイスです。このバーチャル ワイヤーは、
サブインターフェイスに割り当てられた VLAN タグ 100 および 200 を除いてすべてのタグあり
およびタグなしのトラフィックを受け入れるように設定されています。
CustomerA は vsys2 で管理され、CustomerB は vsys3 で管理されます。vsys2 および vsys3 で、以下
の vwire サブインターフェイスが適切な VLAN タグおよびゾーンを使用して作成され、ポリ
シー指定を適用します。
顧客
Vsys
vwire サブイン
ターフェイス
ゾーン
VLAN タグ
IP 分類子
A
2
e1/1.1(入力)
Zone3
100
なし
e1/2.1(出力)
Zone4
100
e1/1.2(入力)
Zone5
100
IP サブネット
e1/2.2(出力)
Zone6
100
192.1.0.0/16
e1/1.3(入力)
Zone7
100
IP サブネット
e1/2.3(出力)
Zone8
100
192.2.0.0/16
e1/1.4(入力)
Zone9
200
なし
e1/2.4(出力)
Zone10
200
2
2
B
3
トラフィックが CustomerA または CustomerB からファイアウォールに入ると、受信パケットの
VLAN タグは最初に、入力サブインターフェイスで定義された VLAN タグに対して照合されま
す。この場合、CustomerA には、同じ VLAN タグを使用するサブインターフェイスが複数存在
します。そのため、ファイアウォールは最初にパケット内のソース IP アドレスに基づいて 1 つ
のサブインターフェイスに分類を制限します。ゾーンに定義されたポリシーは、パケットが対
応するサブインターフェイスから出る前に評価され、適用されます。
戻りのトラフィックに対しては、ファイアウォールは顧客側サブインターフェイスの IP 分類子
で定義された宛先 IP アドレスを比較し、適切なバーチャル ワイヤーを選択して正確なサブイン
ターフェイス経由でトラフィックをルーティングします。
親バーチャル ワイヤー インターフェイスとサブインターフェイスで同じ VLAN タグを定義し
ないでください。親バーチャル ワイヤーインターフェイスの [タグを許可] リストで定義される
VLAN タグ([Network] > [バーチャル ワイヤー])がサブインターフェイスに含まれてい
ないことを確認します。
ネットワークへの統合
619
インターフェイスのデプロイメント
ネットワーク
レイヤー 2 デプロイメント
レイヤー 2 デプロイメントの場合、ファイアウォールは複数ネットワーク間のスイッチングを
行います。ファイアウォールでこのスイッチングを行うには、インターフェイスの各グループ
が 1 つの VLAN オブジェクトに割り当てられている必要があります。レイヤー 2 サブインター
フェイスが共通の VLAN オブジェクトに接続されていると、ファイアウォールで VLAN タグの
スイッチングが行われます。このオプションは、スイッチングが必要な場合に選択します。
図 : レイヤー 2 デプロイメント
レイヤー 3 デプロイメント
レイヤー 3 デプロイメントの場合、ファイアウォールは複数のポート間でトラフィックをルー
ティングします。トラフィックをルーティングするには、各インターフェイスに IP アドレスを
割り当て、仮想ルーターを定義する必要があります。このオプションは、ルーティングが必要
な場合に選択します。
図 : レイヤー 3 デプロイメント
さらに、レイヤー 3 デプロイメントではファイアウォールでのトラフィックをルーティングす
る必要があるため、仮想ルーターを設定する必要があります。「仮想ルーター」を参照してく
ださい。
620
ネットワークへの統合
ネットワーク
インターフェイスのデプロイメント
PPPoE のサポート
ファイアウォールを PPPoE (Point-to-Point Protocol over Ethernet) 終端点として設定し、デジタル
加入者線 (DSL) モデムはあるが、それ以外に接続を終端する PPPoE デバイスがない DSL 環境を
サポートすることができます。
PPPoE オプションを選択し、関連設定を行うことができるのは、インターフェイスがレイ
ヤー 3 インターフェイスとして定義されている場合です。
HA アクティブ/アクティブ モードでは、PPPoE はサポートされていません。
DHCP クライアント
DHCP クライアントとして機能し、動的に割り当てられた IP アドレスを受信するようにファイ
アウォール インターフェイスを設定できます。ファイアウォールには、DHCP クライアント イ
ンターフェイスから受信した設定をファイアウォールで稼働中の DHCP サーバーに伝搬する機
能も備えられています。これは一般的に、インターネット サービス プロバイダから提供される
DNS サーバー設定を、ファイアウォールで保護されているネットワークで稼働中のクライアン
ト マシンに伝搬する場合に使用されます。
HA アクティブ/アクティブ モードでは、DHCP クライアントはサポートされていません。
詳細は、「DHCP」を参照してください。
タップ モード デプロイメント
ネットワーク タップは、コンピュータ ネットワーク間を流れるデータにアクセスするためのデ
バイスです。タップ モード デプロイメントでは、スイッチの SPAN またはミラー ポートを介し
てネットワーク内のトラフィック フローをパッシブにモニターできます。
SPAN ポートまたはミラー ポートでは、スイッチの他のポートからトラフィックをコピーする
ことが許可されています。ファイアウォールの 1 つのインターフェイスをタップ モード専用イ
ンターフェイスとして割り当て、スイッチの SPAN ポートに接続すると、スイッチの SPAN
ポートからファイアウォールにミラーリングされたトラフィックが提供されます。これによ
り、ネットワーク トラフィック フローが通過しないネットワーク内でアプリケーションを可視
化できます。
ファイアウォールをタップ モードでデプロイすると、トラフィックのブロック、QoS トラ
フィック制御の適用などのアクションを実行することはできません。
ネットワークへの統合
621
仮想ルーター
ネットワーク
仮想ルーター
ファイアウォールは仮想ルーターを使用して、ルート(スタティック ルート)を手動で定義す
るか、レイヤー 3 ルーティング プロトコル(ダイナミック ルート)への参加を通じて他のサブ
ネットへのルートを取得します。この方法で取得された最適なルートは、ファイアウォールの
IP ルート テーブルに使用されます。パケットの宛先が異なるサブネットの場合、仮想ルーター
は最適なルートをこの IP ルート テーブルから取得し、パケットをテーブルで定義されたネクス
ト ホップ ルーターに転送します。
ファイアウォールで定義された Ethernet インターフェイスおよび VLAN インターフェイスで
は、レイヤー 3 トラフィックが送受信されます。宛先ゾーンは転送基準に基づいた発信イン
ターフェイスによって決定され、ポリシー ルールに従って適用するセキュリティ ポリシーが識
別されます。仮想ルーターでは、他のネットワーク デバイスにルーティングする以外に、同じ
ファイアウォール内にある他の仮想ルーターにルーティングすることもできます(別の仮想
ルーターがネクストホップとして指定されている場合)。
スタティック ルートを追加するのと同じように、動的ルーティング プロトコル(BGP、
OSPF、RIP など)に参加するように仮想ルーターを設定できます。また、複数の仮想ルーター
を作成し、各ルーターが他のルーターと共有しない独立したルートを保持することにより、イ
ンターフェイス間で異なるルーティングの動作を設定できます。
ファイアウォールに定義されたレイヤー 3 インターフェイス、ループバック インターフェイ
ス、および VLAN インターフェイスはそれぞれ、仮想ルーターに関連付けられている必要があ
ります。各インターフェイスは 1 つの仮想ルーターにしか属すことができませんが、1 つの仮想
ルーターに複数のルーティング プロトコルおよびスタティック ルートを設定できます。仮想
ルーターに設定されたスタティック ルートおよびダイナミック ルーティング プロトコルに関
係なく、共通の全般的な設定が必要です。ファイアウォールは Ethernet スイッチングを使用し
て同じ IP サブネット上の他のデバイスにアクセスします。
以下のレイヤー 3 ルーティング プロトコルが仮想ルーターからサポートされます。

RIP

OSPF

OSPFv3

BGP
622
ネットワークへの統合
ネットワーク
仮想ルーター
仮想ルーターの全般的な設定の定義
ステップ 1
ネットワーク管理者から必要 • ルーティングするインターフェイス
な情報を入手します。
• スタティック、OSPF 内部、OSPF 外部、IBGP、EBGP、
RIP の管理上の距離
ステップ 2
仮想ルーターを作成して名前 1.
を付けます。
2.
ステップ 3
ステップ 4
[Network] > [ 仮想ルーター] の順に選択します。
[ 追加 ] をクリックし、仮想ルーターの名前を入力し
ます。
3.
仮想ルーターに適用するインターフェイスを選択し
ます。
4.
[OK] をクリックします。
仮想ルーターに適用するイン 1.
ターフェイスを選択します。
[ インターフェイス ] ボックスで [ 追加 ] をクリックし
ます。
2.
ドロップダウン リストから定義済みのインターフェイ
スを選択します。
3.
仮想ルーターに追加するすべてのインターフェイスに
ついてステップ 2 を繰り返します。
ス タ テ ィ ッ ク お よ び ダ イ ナ 1.
ミック ルーティングの管理上
の距離を設定します。
必要に応じて管理上の距離を設定します。
• スタティック — 範囲 : 10 ~ 240。デフォルト : 10
• OSPF 内部 — 範囲 : 10 ~ 240。デフォルト : 30
• OSPF 外部 — 範囲 : 10 ~ 240。デフォルト : 110
• IBGP — 範囲 : 10 ~ 240。デフォルト : 200
• EBGP — 範囲 : 10 ~ 240。デフォルト : 20
• RIP — 範囲 : 10 ~ 240。デフォルト : 120
ステップ 5
仮想ルーターの全般的な設定 [OK] をクリックして、設定を保存します。
を保存します。
ステップ 6
変更をコミットします。
ネットワークへの統合
[ コミット ] をクリックします。デバイスでの変更の保存に
は、最長で 90 秒かかります。
623
スタティック ルート
ネットワーク
スタティック ルート
以下の手順は、スタティック ルーティングを使用してファイアウォールをネットワークに統合
する方法を示しています。
インターフェイスおよびゾーンの設定
ステップ 1
ステップ 2
624
インターネット ルーターへのデ 1.
フォルト ルートを設定します。
[Network] > [ 仮想ルーター] の順に選択し、default リン
クを選択して [ 仮想ルーター] ダイアログを開きます。
2.
[ スタティック ルート ] タブを選択して [ 追加 ] をクリッ
クします。[ 名前 ] フィールドにルート名を入力し、[ 宛
先 ] フィールドにルートの宛先(例 : 0.0.0.0/0)を入力
します。
3.
[ ネクスト ホップ ] で [IP アドレス ] ラジオ ボタンをク
リックし、インターネット ゲートウェイの IP アドレ
スとネットマスク(例 : 208.80.56.1)を入力します。
4.
[OK] を 2 回クリックして仮想ルーターの設定を保存し
ます。
外部インターフェイス(イン 1.
ターネットに接続するインター
フェイス)を設定します。
[Network] > [ インターフェイス ] の順に選択し、設定
するインターフェイスを選択します。この例では、
Ethernet1/3 を外部インターフェイスとして設定します。
2.
[ インターフェイス タイプ ] を選択します。ここで選択
するタイプはご使用のネットワーク トポロジに応じて
異なりますが、この例では、[ レイヤー 3] の場合の手
順を示します。
3.
[ 仮想ルーター] ドロップダウン リストで、[ デフォル
ト ] を選択します。
4.
[ 設定 ] タブで、[ セキュリティ ゾーン ] ドロップダウ
ン リストから [ 新規ゾーン ] を選択します。[ ゾーン ]
ダイアログの [ 名前 ] で「Untrust」などの名前をつけて
新しいゾーンを定義し、[OK] をクリックします。
5.
IP アドレスをインターフェイスに割り当てるには、
[IPv4] タブと [ スタティック ] ラジオ ボタンを選択し
ます。[IP] セクションの [ 追加 ] をクリックして、イン
ターフェイスに割り当てる IP アドレスとネットワーク
マスク(例 : 208.80.56.100/24)を入力します。
6.
インターフェイスの ping を有効にするには、[ 詳細 ] >
[ その他の情報 ] の順に選択し、[ 管理プロファイル ] ド
ロップダウンを展開して、[ 新規管理プロファイル ] を
選択します。[ 名前 ] フィールドにプロファイル名を入
力し、[Ping] を選択してから [OK] をクリックします。
7.
インターフェイス設定を保存するには、[OK] をクリッ
クします。
ネットワークへの統合
ネットワーク
スタティック ルート
インターフェイスおよびゾーンの設定(続き)
ステップ 3
内部ネットワークに接続するイ 1.
ンターフェイスを設定します。
この例のインターフェイ
ス は、プ ラ イ ベ ー ト IP
アドレスを使用するネッ
トワーク セグメントに
接続します。プライベー
ト IP アドレスは外部に
ルーティングできないた
め、NAT を 設 定 す る 必
要があります。詳細は、
「NAT の 設 定」を 参 照
してください。
ステップ 4
ステップ 5
[Network] > [ インターフェイス ] の順に選択し、設定
するインターフェイスを選択します。この例では、
Ethernet1/4 を内部インターフェイスとして設定します。
2.
[ インターフェイス タイプ ] ドロップダウン リストから
[ レイヤー 3] を選択します。
3.
[ 設定 ] タブで、[ セキュリティ ゾーン ] ドロップダウ
ン リストを展開して [新規ゾーン] を選択します。[ゾー
ン ] ダイアログの [ 名前 ] で「Trust」などの名前をつけ
て新しいゾーンを定義し、[OK] をクリックします。
4.
ステップ 2 で使用したものと同じ仮想ルーター(この
例ではデフォルト)を選択します。
5.
IP アドレスをインターフェイスに割り当てるには、
[IPv4] タブと [スタティック ] ラジオ ボタンを選択し、
[IP] セクションで [ 追加 ] をクリックして、インター
フェイスに割り当てる IP アドレスとネットワーク マ
スク(例 : 192.168.1.4/24)を入力します。
6.
インターフェイスの ping を有効にするには、ステッ
プ 2 - 6 で作成した管理プロファイルを選択します。
7.
インターフェイス設定を保存するには、[OK] をクリッ
クします。
DMZ に接続するインターフェ 1.
イスを設定します。
2.
設定するインターフェイスを選択します。
[ インターフェイス タイプ ] ドロップダウン リストから
[ レイヤー 3] を選択します。この例では、Ethernet1/13
を DMZ インターフェイスとして設定します。
3.
[ 設定 ] タブで、[ セキュリティ ゾーン ] ドロップダウ
ン リストを展開して [ 新規ゾーン ] を選択します。[ ゾー
ン ] ダイアログの [ 名前 ] で「DMZ」などの名前をつけ
て新しいゾーンを定義し、[OK] をクリックします。
4.
ステップ 2で使用した仮想ルーター(この例ではデフォ
ルト)を選択します。
5.
IP アドレスをインターフェイスに割り当てるには、
[IPv4] タブと [スタティック ] ラジオ ボタンを選択し、
[IP] セクションで [追加] をクリックして、インターフェ
イスに割り当てる IP アドレスとネットワーク マスク
(例 : 10.1.1.1/24)を入力します。
6.
インターフェイスの ping を有効にするには、ステッ
プ 2 - 6 で作成した管理プロファイルを選択します。
7.
インターフェイス設定を保存するには、[OK] をクリッ
クします。
インターフェイスの設定を保 [ コミット ] をクリックします。
存します。
ネットワークへの統合
625
スタティック ルート
ネットワーク
インターフェイスおよびゾーンの設定(続き)
ステップ 6
フ ァ イ ア ウ ォ ー ル を 配 線 し ストレート ケーブルを使用して、設定したインターフェイ
ます。
スから対応するスイッチまたはルーターにネットワーク セ
グメントごとに接続します。
ステップ 7
インターフェイスがアクティ Web インターフェイスから、[Network] > [ インターフェイ
ブであることを確認します。 ス ] の順に選択し、[ リンク状態 ] 列のアイコンが緑になっ
ていることを確認します。また、[Dashboard] の [ イン
ターフェイス ] ウィジェットからリンク状態をモニタリン
グすることもできます。
626
ネットワークへの統合
ネットワーク
RIP
RIP
Routing Information Protocol (RIP) は、小規 模 IP ネ ット ワ ーク 用 に設 計 され た interior gateway
protocol (IGP) です。RIP は、ホップ カウントに基づいてルートを決定します。ホップ数が最も
少ないルートが最適ルートになります。RIP は UDP 上で動作し、ルートの更新にポート 520 を
使用します。ルートを最大 15 ホップに制限すると、プロトコルによりルーティング ループの発
生が回避され、サポートされるネットワーク サイズも制限されます。15 を超えるホップが必要
な場合、トラフィックはルーティングされません。RIP は、OSPF やその他のルーティング プロ
トコルよりも収束に時間がかかる場合があります。ファイアウォールでは RIP v2 がサポートさ
れています。
RIP を設定するには、以下の手順を実行します。
RIP の設定
ステップ 1
全般的な仮想ルーターの設定 詳細は、「仮想ルーター」を参照してください。
を設定します。
ステップ 2
全般的な RIP の設定を設定し 1.
ます。
2.
ステップ 3
[RIP] タブを選択します。
RIP プロトコルを有効にするには、[ 有効化 ] チェック
ボックスをオンにします。
3.
RIP 経由でデフォルト ルートを学習しない場合は、[ デ
フォルト ルートの拒否 ] チェック ボックスをオンにし
ます。これが推奨されるデフォルトの設定です。
4.
RIP 経由でデフォルト ルートを再配信するのを許可す
る場合は、[ デフォルト ルートの拒否 ] チェック ボッ
クスをオフにします。
RIP プロトコルのインターフェ 1.
イスを設定します。
[ インターフェイス ] タブで、[ インターフェイス設定 ]
セクションのドロップダウンからインターフェイスを
選択します。
2.
ドロップダウン リストから定義済みのインターフェイ
スを選択します。
3.
[ 有効化 ] チェック ボックスをオンにします。
4.
指定したメトリック値でデフォルト ルートを RIP ピア
に通知するには、[ 通知 ] チェック ボックスをオンにし
ます。
5.
必要に応じて、[ 認証プロファイル ] ドロップダウン リ
ストからプロファイルを選択することもできます。詳
細は、ステップ 5 を参照してください。
6.
[ モード ] ドロップダウン リストから normal、passive、
または send-only を選択します。
7.
[OK] をクリックします。
ネットワークへの統合
627
ネットワーク
RIP
RIP の設定(続き)
ステップ 4
ステップ 5
RIP タイマーを設定します。
1.
[ タイマー] タブで、[ 間隔(秒)] ボックスに値を入力
します。この設定では、タイマー間隔を秒単位で定義
します。この時間は、他の RIP タイミングのフィール
ドで使用されます。デフォルト : 1。範囲 : 1 ~ 60。
2.
[ 更新間隔 ] を入力し、ルートの更新アナウンス間の間
隔を定義します。デフォルト : 30。範囲 : 1 ~ 3600。
3.
[ 削除間隔 ] を指定し、ルートの有効期限が切れてから
削除されるまでの間隔を定義します。デフォルト :
180。範囲 : 1 ~ 3600。
4.
[ 失効の間隔 ] を指定し、ルートが最後に更新されてか
ら失効するまでの間隔を定義します。デフォルト :
120。範囲 : 1 ~ 3600。
(任意)認証プ ロフ ァイル を デフォルトでは、ファイアウォールは RIP ネイバー間の交
設定します。
換に RIP 認証を使用しません。必要に応じて、簡易パス
ワードまたは MD5 認証を使用して RIP ネイバー間の RIP
認証を設定できます。
簡易パスワード RIP 認証
1. [ 認証プロファイル ] を選択し、[ 追加 ] をクリックし
ます。
2.
RIP メッセージを認証するための認証プロファイル名を
入力します。
3.
[ パスワード タイプ ] として [ 簡易パスワード ] を選択
します。
4.
簡易パスワードを入力してから確認します。
MD5 RIP 認証
1. [ 認証プロファイル ] を選択し、[ 追加 ] をクリックし
ます。
2.
RIP メッセージを認証するための認証プロファイル名を
入力します。
3.
[ パスワード タイプ ] として [MD5] を選択します。
4.
[ 追加 ] をクリックします。
5.
以下を含む 1 つ以上のパスワード エントリを入力し
ます。
• 鍵 ID 範囲 0 ~ 255
• キー
628
6.
必要に応じて [ 優先 ] 状態を選択できます。
7.
[OK] をクリックし、発信するメッセージを認証するた
めに使用するキーを指定します。
8.
[ 仮想ルーター - RIP - 認証プロファイル ] ダイアログ
ボックスで再び [OK] をクリックします。
ネットワークへの統合
ネットワーク
OSPF
OSPF
Open Shortest Path First (OSPF) は、大規模な企業ネットワークでネットワーク ルートを動的に管
理するために最もよく使用されている interior gateway protocol (IGP) です。OSPF は、Link State
Advertisement (LSA) を経由して別のルーターから情報を取得し、他のルーターにルートを通知す
ることにより、動的にルートを決定します。LSA から収集される情報は、ネットワークのトポ
ロジ マップを作成するために使用されます。このトポロジ マップはネットワーク内のルー
ター間で共有され、使用可能なルートで IP ルーティング テーブルを入力するために使用され
ます。
ネットワーク トポロジの変更は動的に検出され、数秒以内に新しいトポロジ マップを生成する
ために使用されます。最短経路のツリーが各ルートについて計算されます。各ルーティング イ
ンターフェイスに関連付けられたメトリックが最適なルートを計算するために使用されます。
これらには距離、ネットワーク スループット、リンク可用性などが含まれます。さらに、これ
らのメトリックを静的に設定して、OSPF トポロジ マップの結果を誘導することができます。
Palo Alto Networks の OSPF の実装では、以下の RFC を完全にサポートしています。

RFC 2328(IPv4 用)

RFC 5340(IPv6 用)
以下のトピックでは、OSPF の詳細と、ファイアウォールで OSPF を設定する手順を説明します。

OSPF の概念

OSPF の設定

OSPFv3 の設定

OSPF グレースフル リスタートの設定

OSPF 動作の確認
『How to Configure OSPF Tech Note』(英語)も参照してください。
OSPF の概念
以下のトピックでは、ファイアウォールを OSPF ネットワークに参加するように設定するため
に理解しておく必要のある OSPF の概念を紹介します。

OSPFv3

OSPF ネイバー

OSPF エリア

OSPF ルーターのタイプ
ネットワークへの統合
629
OSPF
ネットワーク
OSPFv3
OSPFv3 は、IPv6 ネットワーク内で OSPF ルーティング プロトコルをサポートします。これによ
り、IPv6 アドレスおよびプレフィックスをサポートします。OSPFv2(IPv4 用)の構造および機
能はほとんど保持されますが、わずかながら変更点があります。以下は、OSPFv3 での追加およ
び変更点の一部です。

リンクごとに複数のインスタンスのサポート — OSPFv3 では、1 つのリンクで OSPF プロト
コルの複数のインスタンスを実行できます。これは、OSPFv3 インスタンス ID 番号を割り当
てることで実現されます。インスタンス ID に割り当てられたインターフェイスは、異なる
ID を持つパケットをドロップします。

リンクごとのプロトコル処理 — OSPFv3 は、IP ごとだった OSPFv2 とは異なり、リンクごと
に動作します。

アドレス処理の変更 — リンク状態更新パケット内の LSA ペイロードを除き、IPv6 アドレス
は OSPFv3 パケットに存在しません。隣接するルートはルーター ID によって識別されます。

認証の変更 — OSPFv3 には認証機能が含まれていません。ファイアウォールで OSPFv3 を設
定するには、Encapsulating Security Payload (ESP) または IPv6 Authentication Header (AH) を指定す
る認証プロファイルが必要です。RFC 4552 で指定されているキーの再生成手順はこのリリー
スではサポートされません。

リンクごとに複数のインスタンスをサポート — 各インスタンスは、OSPFv3 パケット ヘッダー
に含まれるインスタンス ID に対応します。

新しい LSA タイプ — OSPFv3 は、2 つの新しい LSA タイプである Link LSA と Intra Area Prefix
LSA をサポートしています。
すべての追加の変更点は、RFC 5340 に詳しく記述されています。
OSPF ネイバー
共通のネットワークで接続され、同じ OSPF エリアに存在する 2 つの OSPF が有効なルーターが
関係を築いている場合、これらは OSPF ネイバーです。これらのルーター間の接続は、共通の
ブロードキャスト ドメインを経由する場合もあれば、ポイントツーポイント接続による場合も
あります。この接続は、hello OSPF プロトコル パケットの交換を通じて確立されます。これら
のネイバー関係は、ルーター間でルーティング更新を交換するために使用されます。
630
ネットワークへの統合
ネットワーク
OSPF
OSPF エリア
OSPF は、1 つの AS (Autonomous System) 内で動作します。ただし、この 1 つの AS 内のネットワー
クは、多数のエリアに分割できます。デフォルトでは、エリア 0 が作成されます。エリア 0 は、
単独で機能することも、多数のエリアの OSPF バックボーンとして機能することもできます。各
OSPF エリアは、ほとんどの場合、IP4 アドレスと同じドット区切りの表記法で記述される
32 ビット識別子を使用して名前が付けられます。たとえば、エリア 0 は通常 0.0.0.0 と記述さ
れます。
エリアのトポロジは独自のリンク状態データベースでメンテナンスされ、他のエリアからは非
表示になるため、OSPF によって必要なトラフィック ルーティングが削減されます。トポロジ
は、ルーターを接続することによってエリア間の要約された形式で共有されます。
表 : OSPF エリアのタイプ
エリア タイプ
説明
バックボーン エリア
バックボーン エリア(エリア 0)とは、OSPF ネットワークの中心です。
その他のすべてのエリアはこのエリアに接続され、エリア間のすべてのト
ラフィックはこのエリアを通過する必要があります。エリア間のすべての
ルーティングは、バックボーン エリアを通じて分配されます。その他の
すべての OSPF エリアはバックボーン エリアに接続する必要があります
が、この接続は直接的である必要はなく、仮想リンクを通じて行うことも
できます。
通常の OSPF エリア
通常の OSPF エリアには制限はありません。エリアではすべてのタイプの
ルートを使用できます。
スタブ OSPF エリア
スタブ エリアは他の AS からのルートを受信しません。デフォルト ルート
を通じてバックボーン エリアまでのスタブ エリアからのルーティングが
可能です。
NSSA エリア
Not So Stubby Area (NSSA) とは、いくつかの例外はあるものの、外部ルート
をインポートできるスタブ エリアの一種です。
ネットワークへの統合
631
ネットワーク
OSPF
OSPF ルーターのタイプ
OSPF エリア内で、ルーターは以下のカテゴリに分割できます。

内部ルーター — 同じエリアのデバイスのみと OSPF ネイバー関係を持つルーター。

Area Border Router (ABR) — 複数のエリアのデバイスと OSPF ネイバー関係を持つルーター。
ABR は接続されたエリアからトポロジ情報を収集し、バックボーン エリアに分配します。

バックボーン ルーター — バックボーン ルーターは、OSPF バックボーンに接続された OSPF
ルーターです。ABR は必ずバックボーンに接続されているため、必ずバックボーン ルー
ターとして分類されます。

Autonomous System Boundary Router (ASBR) — ASBR とは、複数のルーティング プロトコル
に接続され、その間でルーティング情報を交換するルーターです。
OSPF の設定
OSPF は、Link State Advertisement (LSA) を経由して別のルーターから情報を取得し、他のルー
ターにルートを通知することにより、動的にルートを決定します。ルーターには宛先との間の
リンク情報が保存されているため、より効率的なルート決定を行うことができます。各ルー
ター インターフェイスには 1 つのコストが割り当てられます。経由するすべてのルーターの出
力インターフェイスと LSA を受信したインターフェイスを総和したときコストが最低のルート
となるよう、最適なルートは決定されます。
階層手法を使用して、通知する必要があるルートと関連する LSA の数を制限します。OSPF で
はかなりの量のルート情報が動的に処理されるため、RIP の場合より大規模なプロセッサとメ
モリが必要になります。
OSPF の設定
ステップ 1
全般的な仮想ルーターの設定 詳細は、「仮想ルーター」を参照してください。
を設定します。
ステップ 2
全般的な OSPF の設定を設定し 1.
ます。
2.
[OSPF] タブを選択します。
OSPF プロトコルを有効にするには、[ 有効化 ] チェッ
ク ボックスをオンにします。
3.
必要に応じて、[ ルーター ID] を入力します。
4.
OSPF 経由でデフォルト ルートを学習しない場合は、
[ デフォルト ルートの拒否 ] チェック ボックスをオン
にします。これが推奨されるデフォルトの設定です。
OSPF 経由でデフォルト ルートを再配信するのを許可す
る場合は、[ デフォルト ルートの拒否 ] チェック ボック
スをオフにします。
632
ネットワークへの統合
ネットワーク
OSPF
OSPF の設定(続き)
ステップ 3
OSFP プロトコルの [ エリア ] - 1.
[ タイプ ] を設定します。
2.
3.
[ エリア ] タブで [ 追加 ] をクリックします。
[ エリア ID] を x.x.x.x の形式で入力します。この識別子
を受け入れたネイバーのみが同じエリアに属します。
[ タイプ ] タブで、エリアの [ タイプ ] ドロップダウン
から以下のいずれかを選択します。
• 通常 — 制限はありません。エリアではすべてのタイ
プのルートを使用できます。
• スタブ — エリアからの出口はありません。エリア外
にある宛先に到達するには、別のエリアに接続され
ている境界を通過する必要があります。このオプ
ションを選択する場合、以下を設定します。
– サマリーの受け入れ — Link State Advertisement (LSA)
は他のエリアから受け入れられます。スタブエリ
アのエリア ボーダー ルーター (ABR) インターフェ
イスでこのオプションが無効になっていると、
OSPF エリアは Totally Stubby Area (TSA) として動作
し、ABR はサマリー LSA を伝搬しません。
– デフォルト ルートの通知 — デフォルト ルート LSA
は、設定された範囲 (1 ~ 255) の設定されたメトリッ
ク値とともにスタブ エリアへの通知に含まれます。
• NSSA (Not-So-Stubby Area) — ファイアウォールは、
OSPF ルート以外のルートでのみエリアを出ること
ができます。選択した場合、[ スタブ ] について説明
したように [ サマリーの受け入れ ] および [ デフォル
ト ルートの通知 ] を設定します。このオプションを
選択する場合、以下を設定します。
– タイプ — デフォルト LSA を通知する [Ext 1] また
は [Ext 2] ルート タイプを選択します。
– Ext 範囲 — セクション内の [ 追加 ] をクリックし、
通知を有効化または停止する外部ルートの範囲を
入力します。
4.
優先順位 — このインターフェイスの OSPF 優先度を入
力します (0 ~ 255)。OSPF プロトコルでは、この優先
順位に基づいて、ルーターが指名ルーター (DR) または
バックアップ DR (BDR) として選択されます。値が 0 の
場合、ルーターが DR または BDR として選択されるこ
とはありません。
• 認証プロファイル — 以前に定義した認証プロファイ
ルを選択します。
• タイミング — デフォルトのタイミング設定のまま使
用することをお勧めします。
• ネイバー — p2pmp インターフェイスの場合、このイ
ンターフェイスを介して到達可能なすべてのネイ
バーに対するネイバー IP アドレスを入力します。
ネットワークへの統合
5.
[ モード ] として [normal]、[passive]、または [send-only]
を選択します。
6.
[OK] をクリックします。
633
ネットワーク
OSPF
OSPF の設定(続き)
ステップ 4
634
OSFP プロトコルの [ エリア ] - 1.
[ 範囲 ] を設定します。
[ 範囲 ] タブで、[ 追加 ] をクリックし、エリア内の LSA
宛先アドレスをサブネットに集約します。
2.
サブネットと一致する LSA の通知を [ 通知 ] または [ 抑
制 ] して、[OK] をクリックします。別の範囲を追加す
る場合は、この操作を繰り返します。
ネットワークへの統合
ネットワーク
OSPF
OSPF の設定(続き)
ステップ 5
OSFP プロトコルの [ エリア ] - 1.
[ インターフェイス ] を設定し
ます。
[ インターフェイス ] タブで、[ 追加 ] をクリックし、エ
リアに含めるインターフェイスごとに以下の情報を入
力します。
• インターフェイス — ドロップダウン ボックスから
インターフェイスを選択します。
• 有効化 — OSPF インターフェイス設定を有効にする
にはこのオプションをオンにします。
• パッシブ — OSPF インターフェイスで OSPF パケッ
トを送受信しない場合は、このチェック ボックスを
オ ン に し ま す。こ の オ プ シ ョ ン を オ ン に す る と
OSPF パ ケ ッ トは 送 受 信 され ま せ んが、イ ンタ ー
フェイスは LSA データベースに追加されます。
• リンク タイプ — このインターフェイスを経由して
アクセス可能なすべてのネイバーを、OSPF hello メッ
セージのマルチキャストによって自動的に検出する
には、[ ブロードキャスト ] を選択します(Ethernet イ
ンターフェイスなど)。自動的にネイバーを検出す
る場合は、[P2p](ポイントツーポイント)を選択
します。ネイバーを手動で定義する必要がある場合
は、[P2mp](ポイントツーマルチポイント)を選
択 し ま す。ネ イ バ ー を 手 動 で 定 義 で き る の は、
P2mp モードの場合のみです。
• メトリック — このインターフェイスの OSPF メトリッ
クを入力します。デフォルト : 10。範囲 : 0 ~ 65535。
• 優先順位 — このインターフェイスの OSPF 優先順位
を入力します。この優先度に基づいて、ルーターが
指名ルーター (DR) または バックアップ DR (BDR) と
して選択されます。デフォルト : 1。範囲 : 0 ~ 255。
0 に設定すると、ルーターが DR または BDR として
選択されることはありません。
• 認証プロファイル — 以前に定義した認証プロファイ
ルを選択します。
• タイミング — 以下の OSPF タイミング設定を指定で
きます。Palo Alto Networks では、デフォルトのタイ
ミング設定を保持することを推奨します。
– Hello 間隔(秒)— OSPF プロセスが直接接続さ
れているネイバーに Hello パケットを送信する間隔
です。デフォルト : 10 秒。範囲 : 0 ~ 3600 秒。
– 失敗許容回数 — Hello 間隔の試行回数で、この回
数を超えても OSPF がネイバーから Hello パケット
を受信しない場合、OSPF はネイバーがダウンして
いるものとみなします。[Hello 間隔 ] に [ 失敗許容
回数 ] を乗じた数が、失敗タイマーの値になりま
す。デフォルト : 4。範囲 : 3 ~ 20。
ネットワークへの統合
635
ネットワーク
OSPF
OSPF の設定(続き)
– リトランスミット間隔(秒)— OSPF がネイバー
から link state advertisement (LSA) を待機する時間で
す。この時間を過ぎると、OSPF が LSA を再送信
します。デフォルト : 10 秒。範囲 : 0 ~ 3600 秒。
– トランジット遅延(秒)— LSA の遅延時間です。
この時間を過ぎると、インターフェイスから送信
されます。デフォルト : 1 秒。範囲 : 0 ~ 3600 秒。
– グレースフル リスタート Hello パケット遅延(秒)—
アクティブ/パッシブ高可用性が設定されている場
合に、OSPF インターフェイスに適用されます。
[ グレースフル リスタート Hello パケット遅延 ]
は、ファイアウォールが 1 秒間隔でグレース LSA
パケットを送信する期間です。この期間は、リス
タート中のファイアウォールから Hello パケットが
送信されません。リスタート中は、失敗タイマー
([Hello 間隔 ] に [ 失敗許容回数 ] を乗じた数)も
カウントダウンされます。失敗タイマーの時間が
短かすぎる場合は、Hello パケットが遅延したとき
に、グレースフル リスタート中に隣接がダウンし
ます。そのため、失敗タイマーを [ グレースフル
リスタート Hello パケット遅延 ] の値の 4 倍以上に
することをお勧めします。たとえば、[Hello 間隔 ]
が 10 秒で、[ 失敗許容回数 ] が 4 回の場合、失敗タ
イマーは 40 秒になります。[ グレースフル リス
タート Hello パケット遅延 ] が 10 秒に設定されて
いれば、10 秒遅延しても失敗タイマーの 40 秒以内
に十分に収まるため、グレースフル リスタート中
に隣接がタイムアウトになることがありません。
デフォルト : 10 秒。範囲 : 1 ~ 10 秒。
• [ リンク タイプ ] に [P2mp] を選択した場合、このイ
ンターフェイスを通じてアクセスできるすべてのネ
イバーのネイバー IP アドレスを入力します。
2.
636
[OK] をクリックします。
ネットワークへの統合
ネットワーク
OSPF
OSPF の設定(続き)
ステップ 6
[ エリア ] - [ 仮想リンク ] を設定 1.
します。
[ 仮想リンク ] タブで、[ 追加 ] をクリックし、バック
ボーン エリアに含める仮想リンクごとに以下の情報を
入力します。
• 名前 — 仮想リンクの名前を入力します。
• ネイバー ID — 仮想リンクの反対側のルーター(ネ
イバー)のルーター ID を入力します。
• トランジット エリア — 仮想リンクが物理的に含ま
れる中継エリアのエリア ID を入力します。
• 有効化 — 仮想リンクを有効にするには、オンにし
ます。
• タイミング — デフォルトのタイミング設定のまま
使用することをお勧めします。
• 認証プロファイル — 以前に定義した認証プロファ
イルを選択します。
2.
ネットワークへの統合
[OK] をクリックします。
637
ネットワーク
OSPF
OSPF の設定(続き)
ステップ 7
(任意)認証プ ロフ ァイル を デフォルトでは、ファイアウォールは OSPF ネイバー間の
設定します。
交換に OSPF 認証を使用しません。任意で、簡易パスワー
ドまたは MD5 認証を使用して OSPF ネイバー間の OSPF 認
証を設定できます。
簡易パスワード OSPF 認証
1. [認証プロファイル] タブで [追加] をクリックします。
2.
OSPF メッセージを認証するための認証プロファイル名
を入力します。
3.
[ パスワード タイプ ] として [ 簡易パスワード ] を選択
します。
4.
簡易パスワードを入力してから確認します。
MD5 OSPF 認証
1. [認証プロファイル] タブで [追加] をクリックします。
2.
OSPF メッセージを認証するための認証プロファイル名
を入力します。
3.
[ パスワード タイプ ] として [MD5] を選択します。
4.
[ 追加 ] をクリックします。
5.
以下を含む 1 つ以上のパスワード エントリを入力し
ます。
• 鍵 ID 範囲 0 ~ 255
• キー
• [ 優先 ] オプションを選択して、発信メッセージの認
証に使用するキーを指定します。
ステップ 8
6.
[OK] をクリックします。
7.
[ 仮想ルーター - OSPF - 認証プロファイル ] ダイアログ
ボックスで再び [OK] をクリックします。
詳細な OSPF オプションを設定 1.
します。
RFC 1583 への準拠を確保するには、[ 詳細 ] タブで、
[RFC 1583 の互換性 ] チェック ボックスをオンにし
ます。
2.
[SPF 計算遅延 ](秒)タイマーの値を設定します。
このタイマーにより、新しいトポロジ情報の受信と
SPF 計算の情報間で遅延時間を調整できます。低い値
を指定すると、OSPF の再収束が速くなります。ファイ
アウォールとピアリングしているルーターは、収束時
間の最適化と同様の方法で調整する必要があります。
3.
638
[LSA 間隔(秒)] タイマーの値を設定します。このタイ
マーは、同一 LSA(同一ルーター、同一タイプ、同一
LSA ID)の 2 つのインスタンスの伝送間の最小時間を
指定します。RFC 2328 の MinLSInterval と同等です。低
い値を指定すると、トポロジが変更された場合の再収
束時間が短縮されます。
ネットワークへの統合
ネットワーク
OSPF
OSPFv3 の設定
OSPFv3 の設定
ステップ 1
全般的な仮想ルーターの設定 詳細は、「仮想ルーター」を参照してください。
を設定します。
ステップ 2
全般的な OSPF の設定を設定し 1.
ます。
2.
ステップ 3
[OSPF] タブを選択します。
OSPF プロトコルを有効にするには、[有効化] チェック
ボックスをオンにします。
3.
OSPF 経由でデフォルト ルートを学習しない場合は、
[ デフォルト ルートの拒否 ] チェック ボックスをオン
にします。これが推奨されるデフォルトの設定です。
4.
OSPF 経由でデフォルト ルートを再配信するのを許可
する場合は、[デフォルト ルートの拒否] チェック ボッ
クスをオフにします。
全般的な OSPFv3 の設定を設定 1.
します。
2.
3.
[OSPFv3] タブを選択します。
OSPF プロトコルを有効にするには、[ 有効化 ] チェッ
ク ボックスをオンにします。
OSPFv3 経由でデフォルト ルートを学習しない場合は、
[ デフォルト ルートの拒否 ] チェック ボックスをオンに
します。これが推奨されるデフォルトの設定です。
OSPFv3 経由でデフォルト ルートを再配信するのを許
可する場合は、[デフォルト ルートの拒否] チェック ボッ
クスをオフにします。
ステップ 4
OSPFv3 プロトコルの認証プロ 認 証 プ ロ フ ァ イ ル を 設 定 す る 場 合、Encapsulating Security
Payload (ESP) または IPv6 Authentication Header (AH) を使用す
ファイルを設定します。
る必要があります。
OSPFv3 には独自の認証機能が
含まれていませんが、ネイバー ESP OSPFv3 認証
間の通信を安全にするために全 1. [認証プロファイル] タブで [追加] をクリックします。
面的に IPsec に依存します。
2. OSPFv3 メッセージを認証するための認証プロファイル
名を入力します。
3.
Security Policy Index ([SPI]) を指定します。SPI は、OSPFv3
隣接の両端間で一致する必要があります。SPI 番号は
00000000 から FFFFFFFF までの 16 進数である必要があ
ります。
4.
[ プロトコル ] に [ESP] を選択します。
5.
ドロップダウン リストから [ 暗号化アルゴリズム ] を選
択します。
ア ル ゴ リ ズ ム は、な し、ま た は SHA1、SHA256、
SHA384、SHA512、MD5 のいずれかを入力できます。
6.
ネットワークへの統合
「なし」以外の [暗号化アルゴリズム] を選択した場合、
[ キー] の値を入力して確認します。
639
ネットワーク
OSPF
OSPFv3 の設定(続き)
AH OSPFv3 認証
1. [認証プロファイル] タブで [追加] をクリックします。
2.
OSPFv3 メッセージを認証するための認証プロファイル
名を入力します。
3.
Security Policy Index ([SPI]) を指定します。SPI は、OSPFv3
隣接の両端間で一致する必要があります。SPI 番号は
00000000 から FFFFFFFF までの 16 進数である必要があ
ります。
4.
[ プロトコル ] に [AH] を選択します。
5.
ドロップダウン リストから [ 暗号化アルゴリズム ] を
選択します。
アルゴリズムは、SHA1、SHA256、SHA384、SHA512、
MD5 のいずれかを入力する必要があります。
ステップ 5
6.
[ キー] の値を入力して確認します。
7.
[OK] をクリックします。
8.
[ 仮想ルーター - OSPF - 認証プロファイル ] ダイアログ
で再び [OK] をクリックします。
OSFP プロトコルの [ エリア ] - 1.
[ タイプ ] を設定します。
2.
3.
[ エリア ] タブで [ 追加 ] をクリックします。
エリア ID を入力します。この識別子を受け入れたネイ
バーのみが同じエリアに属します。
[ 全般 ] タブで、エリアの [ タイプ ] ドロップダウンから
以下のいずれかを選択します。
• 通常 — 制限はありません。エリアではすべてのタイ
プのルートを使用できます。
• スタブ — エリアからの出口はありません。エリア外
にある宛先に到達するには、別のエリアに接続され
ている境界を通過する必要があります。このオプ
ションを選択する場合、以下を設定します。
– サマリーの受け入れ — Link State Advertisement (LSA)
は他のエリアから受け入れられます。スタブエリ
アのエリア ボーダー ルーター (ABR) インターフェ
イスでこのオプションが無効になっていると、
OSPF エリアは Totally Stubby Area (TSA) として動作
し、ABR はサマリー LSA を伝搬しません。
– デフォルト ルートの通知 — デフォルト ルート LSA
は、設定された範囲 (1 ~ 255) の設定されたメト
リック値とともにスタブ エリアへの通知に含まれ
ます。
640
ネットワークへの統合
ネットワーク
OSPF
OSPFv3 の設定(続き)
• NSSA (Not-So-Stubby Area) — ファイアウォールは、
OSPF ルート以外のルートでのみエリアを出ること
ができます。選択した場合、[ スタブ ] について説明
したように [ サマリーの受け入れ ] および [ デフォル
ト ルートの通知 ] を設定します。このオプションを
選択する場合、以下を設定します。
– タイプ — デフォルト LSA を通知する [Ext 1] また
は [Ext 2] ルート タイプを選択します。
– Ext 範囲 — セクション内の [ 追加 ] をクリックし、
通知を有効化または停止する外部ルートの範囲を
入力します。
ステップ 6
OSPFv3 認証プロファイルをエ エリアに関連付けるには、以下の手順を実行します。
リアまたはインターフェイス 1. [ エリア ] タブで、表から既存のエリアを選択します。
に関連付けます。
2. [ 全般 ] タブで、[ 認証 ] ドロップダウンから、以前に
定義した [ 認証プロファイル ] を選択します。
3.
[OK] をクリックします。
インターフェイスに関連付けるには、以下の手順を実行し
ます。
1. [ エリア ] タブで、表から既存のエリアを選択します。
ステップ 7
2.
[ インターフェイス ] タブを選択し、[ 追加 ] をクリック
します。
3.
OSPF インターフェイスに関連付ける認証プロファイル
を [ 認証プロファイル ] ドロップダウンから選択し
ます。
(任意)エクスポート ルールの 1.
設定。
2.
ネットワークへの統合
[ エクスポート ] タブで [ 追加 ] をクリックします。
OSPFv3 経由でデフォルト ルートを再配信するのを許
可する場合は、[ デフォルト ルートの再配信を許可 ]
チェック ボックスをオンにします。
3.
再配信プロファイルの名前を選択します。値には IP サ
ブネットまたは有効な再配信プロファイル名を指定す
る必要があります。
4.
[新規パス タイプ] に適用するメトリックを選択します。
5.
32 ビット値を持つ一致したルートの [ 新規タグ ] を指
定します。
6.
新しいルールのメトリックを適用します。範囲 : 1 ~
65535。
7.
[OK] をクリックします。
641
ネットワーク
OSPF
OSPFv3 の設定(続き)
ステップ 8
詳細な OSPFv3 オプションを設 1.
定します。
2.
トランジット トラフィックの送受信に使用せずにファ
イアウォールを OSPF トポロジ配信に参加させる場合
は、[ 詳細 ] タブで、[SPF 計算用トランジット ルーティ
ングを無効にする ] チェック ボックスをオンにします。
[SPF 計算遅延 ](秒)タイマーの値を設定します。
このタイマーにより、新しいトポロジ情報の受信と
SPF 計算の情報間で遅延時間を調整できます。低い値
を指定すると、OSPF の再収束が速くなります。ファイ
アウォールとピアリングしているルーターは、収束時
間の最適化と同様の方法で調整する必要があります。
3.
[LSA 間隔(秒)] 時間の値を設定します。このタイマー
は、同一 LSA(同一ルーター、同一タイプ、同一 LSA
ID)の 2 つのインスタンスの伝送間の最小時間を指定
します。RFC 2328 の MinLSInterval と同等です。低い値
を指定すると、トポロジが変更された場合の再収束時
間が短縮されます。
4.
必要に応じて、「OSPF グレースフル リスタートの設
定」を行います。
OSPF グレースフル リスタートの設定
OSPF グレースフル リスタートにより、OSPF ネイバーは障害が発生した場合の短い移行中にデ
バイスを経由してルートを使用し続けます。この動作により、短期間のダウンタイム中に発生
するおそれのあるルーティング テーブルの再設定および関連するルート フラッピングが少なく
なるため、ネットワークの安定性が高まります。
Palo Alto Networks ファイアウォールの OSPF グレースフル リスタートでは、以下の動作が伴い
ます。

ファイアウォールがリスタートするデバイスの場合 — ファイアウォールが短期間ダウンする
場合や短期間使用できなくなる状況になると、グレース LSA をその OSPF ネイバーに送信し
ます。ネイバーは、グレースフル リスタート ヘルパー モードで実行するように設定する必
要があります。ヘルパー モードでは、ネイバーはファイアウォールが [ グレース ピリオド ]
として定義した指定された期間内にグレースフル リスタートを実行することを通知するグ
レース LSA を受信します。グレース ピリオド中、ネイバーはファイアウォール経由でルー
トを送受信し続け、ファイアウォール経由でルートを通知する LSA を送信し続けます。グ
レース ピリオドの失効前にファイアウォールが動作を再開すると、トラフィックの送受信は
ネットワーク障害が発生する前と同じように行われます。グレース ピリオドが失効した後も
ファイアウォールが動作を再開しない場合、ネイバーはヘルパー モードを終了し、ファイア
ウォールをバイパスするルーティング テーブルの再設定を伴う通常の動作を再開します。
642
ネットワークへの統合
ネットワーク

OSPF
ファイアウォールがグレースフル リスタート ヘルパーになる場合 — 隣接するルーターが短
期間ダウンするおそれがある場合、ファイアウォールはグレースフル リスタート ヘルパー
モードで動作するように設定できます。このモードで設定すると、ファイアウォールには
[ネイバー再起動の最大時間] が設定されます。ファイアウォールがグレース LSA をその OSPF
ネイバーから受信すると、グレース ピリオドまたはネイバー再起動の最大時間が経過するま
で、トラフィックをネイバーにルーティングし続け、ネイバーを経由したルートを通知し続
けます。ネイバーが復帰する前にどちら時間も経過しなければ、トラフィックの送受信は
ネットワーク障害が発生する前と同じように行われます。ネイバーが復帰する前にどちらか
の期間が経過すると、ファイアウォールはヘルパー モードを終了し、ネイバーをバイパスす
るルーティング テーブルの再設定を伴う通常の動作を再開します。
OSPF グレースフル リスタートの設定
1.
[Network] > [ 仮想ルーター] の順に選択し、設定する仮想ルーターを選択します。
2.
[OSPF] > [ 詳細 ] の順に選択します。
3.
以下のチェック ボックスがオンになっていることを確認します(デフォルトではオンになってい
ます)。
• グレースフル リスタートを有効にする
• ヘルパー モードを有効にする
• 厳密な LSA チェックを有効化にする
トポロジで必要がない限り、これらのチェック ボックスはオンのままにしておく必要があります。
4.
[ グレース ピリオド ] を秒単位で設定します。
5.
[ ネイバー再起動の最大時間 ] を秒単位で設定します。
OSPF 動作の確認
OSPF 設定をコミットしたら、その OSPF が動作することを確認するために以下の操作を実行で
きます。

ルーティング テーブルの表示

OSPF 隣接の確認

OSPF 接続の確立の確認
ネットワークへの統合
643
OSPF
ネットワーク
ルーティング テーブルの表示
ルーティング テーブルを表示することで、OSPF ルートが確立されたかどうかを確認できま
す。ルーティング テーブルは、Web インターフェイスまたは CLI からアクセスできます。CLI
を使用する場合、以下のコマンドを使用します。

show routing route

show routing fib
以下の手順では、Web インターフェイスを使用してルーティング テーブルを表示する方法を説
明します。
ルーティング テーブルの表示
1.
[Network] > [ 仮想ルーター] の順に選択します。
2.
[ ルーティング ] タブを選択し、OSPF によって学習されたルートのルーティング テーブルの [ フラグ ]
列を調べます。
644
ネットワークへの統合
ネットワーク
OSPF
OSPF 隣接の確認
以下の手順で説明するように [ネイバー] タブを表示することで、OSPF 隣接が確立されたことを
確認できます。
OSPF 隣接を確認するための [ ネイバー] タブの表示
1.
[Network] > [ 仮想ルーター] の順に選択します。
2.
[OSPF] > [ ネイバー] の順に選択し、[ 状態 ] 列を調べて OSPF 隣接が確立されたかどうかを判断し
ます。
OSPF 接続の確立の確認
システム ログを表示することで、以下の手順で説明しているように OSPF 接続が確立されたこ
とを確認できます。
システム ログの調査
1.
[Monitor] > [ システム ] の順に選択し、OSPF 隣接が確立されたことを確認するメッセージを探します。
ネットワークへの統合
645
OSPF
ネットワーク
システム ログの調査(続き)
2.
646
[OSPF] > [ ネイバー] の順に選択し、[ 状態 ] 列を調べて OSPF 隣接が確立されたかどうかを判断します。
ネットワークへの統合
ネットワーク
BGP
BGP
Border Gateway Protocol (BGP) は、インターネット ルーティング プロトコルの主流となっていま
す。BGP は、AS (Autonomous System) 内で使用可能な IP プレフィックスに基づいてネットワー
クが到達可能かどうかを判断します。AS とは、ネットワーク プロバイダによって指定された、
同じルーティング ポリシーに属する IP プレフィックスのセットです。
ルーティング プロセスでは、接続は BGP ピア(ネイバー)間で確立されます。ルートは、ポリ
シーによって許可されると、RIB (Routing Information Base) に保存されます。ローカル ファイア
ウォール RIB が更新されるたびに、ファイアウォールは最適なルートを判断し、エクスポート
が有効な場合は更新情報を外部 RIB に送信します。
BGP ルートの通知方法の制御には条件付き通知が使用されます。条件付き通知ルールに適合し
た BGP ルートのみがピアに通知されます。
BGP では、集約を指定して複数ルートを 1 つのルートに結合することができます。集約プロセ
スではまず、他の集約ルールのプレフィックス値を持つ受信ルートを比較し、最も長いルート
を見つけることによって、対応する集約ルールを特定します。
BGP の詳細は、『How to Configure BGP Tech Note』(英語)を参照してください。
このファイアウォールでは、以下の機能を含む、完全な BGP 実装が可能です。

仮想ルーターごとに 1 つの BGP ルーティング インスタンスを指定

ルートマップに基づいたルーティング ポリシーによるインポート、エクスポート、および通
知の制御、プレフィックスに基づいたフィルタリング、アドレス集約

ルート リフレクタ、AS コンフェデレーション、ルート フラップ ダンプニング、グレースフ
ル リスタートなどの高度な BGP 機能

IGP と BGP の相互作用による、再配信プロファイルを使用した BGP へのルートの注入
BGP 設定は、以下の要素で構成されます。

ルーティング インスタンス毎の設定。これには、ローカル ルート ID やローカル AS などの
基本パラメータと、パス選択、ルート リフレクタ、AS コンフェデレーション、ルート フ
ラップ、ダンプニングのプロファイルなどの高度なオプションがあります。

認証プロファイル。BGP 接続のための MD5 認証鍵を指定します。

ピア グループおよびネイバー設定。ネイバー アドレスやリモート AS に加え、ネイバー属性
やネイバー接続などの高度なオプションが含まれます。

ルーティング ポリシー。ピア グループとピアがインポート、エクスポート、条件付き通知、
およびアドレス集約制御の実装に使用するルール セットを指定します。
BGP を設定するには、以下の手順を実行します。
ネットワークへの統合
647
ネットワーク
BGP
BGP の設定
ステップ 1
全般的な仮想ルーターの設定 詳細は、「仮想ルーター」を参照してください。
を設定します。
ステップ 2
標準的な BGP の設定を設定し 1.
ます。
2.
ステップ 3
[BGP] タブを選択します。
BGP プロトコルを有効にするには、[ 有効化 ] チェック
ボックスをオンにします。
3.
[ ルーター ID] ボックスで、IP アドレスを仮想ルーター
に割り当てます。
4.
ルーター ID に基づいて、仮想ルーターが属する AS の
番号を [AS 番号 ] に入力します。範囲 : 1 ~ 4294967295
全般的な BGP の設定を設定し 1.
ます。
2.
[BGP] > [ 全般 ] の順に選択します。
BGP ピアから通知されるデフォルト ルートを無視する
には、[ デフォルト ルートの拒否 ] チェック ボックス
をオンにします。
3.
グローバル ルーティング テーブルに BGP ルートをイ
ンストールするには、[ ルートのインストール ] チェッ
ク ボックスをオンにします。
4.
ルートの MED (Multi-Exit Discriminator) 値が異なる場合
でもルート集約を有効にするには、[MED の集約 ]
チェック ボックスをオンにします。
5.
さまざまなパスの中から優先するパスを判断するため
に使用できる値を指定する [ デフォルトのローカル設
定 ] の値を入力します。
6.
相互運用性の目的で、AS 形式として以下のいずれかの
値を選択します。
• 2 バイト(デフォルト値)
• 4 バイト
7.
[ パス選択 ] の以下のそれぞれの値を有効化または無効
化します。
• 常に MED を比較 — 別の AS 内のネイバーから受け
取ったパスを選択するには、この比較を有効にし
ます。
• 決定論的 MED 比較 — IBGP ピア(同じ AS 内の BGP
ピア)から通知されたルートの中からルートを選択
するには、この比較を有効にします。
8.
[ 追加 ] をクリックして新しい認証プロファイルを追加
し、以下の設定を指定します。
• プロファイル名 — プロファイルの識別に使用する
名前を入力します。
• シークレット / 再入力 シークレット — BGP ピア通信
に使用するパスフレーズを入力し、確認します。
648
ネットワークへの統合
ネットワーク
BGP
BGP の設定(続き)
ステップ 4
BGP の詳細設定の設定(任意) 1.
[ 詳細 ] タブで、[ グレースフル リスタート ] をオンに
して以下のタイマーを設定します。
• ステージ ルート時間(秒)— ルートが接続期限切れ
状態を維持できる時間の長さを秒単位で指定しま
す。範囲 : 1 ~ 3600 秒。デフォルト : 120 秒。
• ローカル再起動時間(秒)— ローカル デバイスが再
起動するために単位する時間の長さを秒単位で指定
します。この値は、ピアに通知されます。範囲 : 1 ~
3600 秒。デフォルト : 120 秒。
• 最大ピア再起動時間(秒)— ローカル デバイスがグ
レース ピリオド中のピア デバイスの再起動時間と
して受け入れる時間の最大長を秒単位で指定しま
す。範囲 : 1 ~ 3600 秒。デフォルト : 120 秒。
2.
リフレクタ クラスタを表す IPv4 識別子を [ リフレクタ
クラスタ ID] ボックスで指定します。
3.
AS コンフェデレーションを 1 つの AS として外部 BGP ピ
アに示すための使用する識別子を [ コンフェデレーショ
ン メンバー AS] ボックスで指定します。
4.
[ 追加 ] をクリックし、設定する各ダンプニングのプロ
ファイルについて以下の情報を入力し、[ 有効化 ] をオ
ンにして [OK] をクリックします。
• プロファイル名 — プロファイルの識別に使用する名
前を入力します。
• カットオフ — ルート停止のしきい値を指定します。
この値を超えるとルート通知が停止します。範囲 :
0.0 ~ 1000.0。デフォルト : 1.25。
• 再利用 — ルート停止のしきい値を指定します。この
値を下回るとルートは再度使用されます。範囲 : 0.0 ~
1000.0。デフォルト : 5。
• 最大ホールド タイム(秒)— どれだけ不安定である
かに関係なく、ルートを停止できる時間の最大長を
秒単位で指定します。範囲 : 0 ~ 3600 秒。デフォルト :
900 秒。
• Decay Half Life 到達可能(秒)— ルートが到達可能と
みなされた場合、ルートの安定性メトリックを 1/2 に
するまでの時間を指定します。範囲 : 0 ~ 3600 秒。デ
フォルト : 300 秒。
• Decay Half Life を半分に減少(秒)— ルートが到達
不可能とみなされた場合、ルートの安定性メトリッ
クを 1/2 にするまでの時間を指定します。範囲 : 0 ~
3600 秒。デフォルト : 300 秒。
5.
ネットワークへの統合
[OK] をクリックします。
649
ネットワーク
BGP
BGP の設定(続き)
ステップ 5
BGP ピア グループを設定し 1.
ます。
[ ピア グループ ] タブを選択し、[ 追加 ] をクリックし
ます。
2.
[ 名前 ] フィールドにピア グループ名を入力して [ 有効
化 ] をオンにします。
3.
設定した集約済みコンフェデレーション AS へのパス
を含めるには、[ 集約済みコンフェデレーション AS パ
ス ] チェック ボックスをオンにします。
4.
ピア設定の更新後にファイアウォールのソフト リセッ
トを実行するには、[ 保存した情報を使用したソフト リ
セット ] チェック ボックスをオンにします。
5.
[ タイプ ] ドロップダウンからピアまたはグループのタ
イプを指定し、関連設定(この表に後述されている
[ ネクスト ホップのインポート ] および [ ネクスト ホッ
プのエクスポート ] の説明を参照)を指定します。
• IBGP — ネクスト ホップのエクスポート : [ 元 ] また
は [ 自己の使用 ] を指定します。
• EBGP コンフェデレーション — ネクスト ホップのエ
クスポート: [元] または [自己の使用] を指定します。
• EBGP コンフェデレーション — ネクスト ホップのエ
クスポート: [元] または [自己の使用] を指定します。
• EBGP — ネクスト ホップのインポート : [ 元 ] または
[ 自己の使用 ] を指定します。Export Next Hop: [ 解
決 ] または [ 自己の使用 ] を指定します。BGP でプライ
ベート AS 番号を強制的に削除する場合は、[ プライ
ベート AS の削除 ] チェック ボックスをオンにします。
6.
650
[OK] をクリックして保存します。
ネットワークへの統合
ネットワーク
BGP
BGP の設定(続き)
ステップ 6
インポートおよびエクスポー 1.
トのルールを設定します。
インポート/エクスポート ルー
ルは、他のルーターとのイン 2.
ポート / エクスポートに使用さ
れ ま す。た と え ば、デ フ ォ ル 3.
ト ルートをインターネット
サービス プロバイダからイン
ポートする場合です。
ステップ 7
条件付き通知機能を設定しま
す。こ れ に よ り、ピ ア リ ン グ
ま た は 到 達 の 失 敗 を 含 め、
ロ ー カ ル BGP ル ー テ ィ ン グ
テーブル (LocRIB) で異なるルー
トを使用できない場合に通知
するルートを制御できます。
これは、1 つの AS を別の AS よ
り優先してルートを強制する
場 合に便 利で す。たと えば、
インターネットに対して複数
の ISP を経由するリンクがあ
り、優先プロバイダへの接続
が失われない限り、他のプロ
バイダではなく優先プロバイ
ダにトラフィックをルーティ
ングする場合に効果的です。
ネットワークへの統合
[ インポート ] タブを選択してから [ 追加 ] をクリック
し、[ ルール ] フィールドに名前を入力して [ 有効化 ]
チェック ボックスをオンにします。
[ 追加 ] をクリックし、ルーターのインポート元となる
[ ピア グループ ] を選択します。
[ 一致 ] タブをクリックし、ルーティング情報をフィル
タリングするために使用するオプションを定義しま
す。ルート フィルタリングのためにルーターまたはサ
ブネットへの MED (Multi-Exit Discriminator)値とネク
スト ホップ値を定義することもできます。MED オプ
ションは、ネイバーに AS への優先パスを知らせるた
めの外部メトリックです。低い値が高い値に優先され
ます。
4.
[ アクション ] タブをクリックし、[ 一致 ] タブで定義
したフィルタリング オプションに基づいて行うべきア
クション(許可 / 拒否)を定義します。[ 拒否 ] を選択
すると、それ以上オプションを定義する必要はありま
せん。[ 許可 ] アクションを選択した場合、他の属性を
定義します。
5.
[ エクスポート ] タブをクリックしてエクスポート属性
を定義します。これは [ インポート ] 設定に似ています
が、ファイアウォールからネイバーにエクスポートさ
れるルート情報を制御するために使用されます。
6.
[OK] をクリックして保存します。
1.
[ 条件付き通知 ] タブを選択し、[ 追加 ] をクリックして
[ ポリシー] フィールドに名前を入力します。
2.
[ 有効化 ] チェック ボックスをオンにします。
3.
[ 追加 ] をクリックして [ 使用者 ] セクションに条件付き
通知ポリシーを使用するピア グループを入力します。
4.
[ 非存在フィルタ ] タブを選択し、優先ルートのネット
ワーク プレフィックスを定義します。このタブは、
ローカル BGP ルーティング テーブルで使用可能な場
合に通知するルートを指定します。プレフィックスが
通知されようとするときに非存在フィルタと一致する
と、通知が停止します。
5.
[フィルタの通知 ] タブを選択し、非存在フィルタのルー
トがローカル ルーティング テーブルで使用できない場
合に通知する、ローカル RIB ルーティング テーブルの
ルートのプレフィックスを定義します。プレフィック
スが通知されようとするときに非存在フィルタと一致
しないと、通知が行われます。
651
ネットワーク
BGP
BGP の設定(続き)
ステップ 8
BGP 設定にルートを集約するた 1.
めに集約オプションを設定し
ます。
2.
BGP ルート集約は、BGP がア
ドレスを集約する方法を制御
す る た め に 使 用 さ れ ま す。 3.
テーブルの各エントリによ
り、1 つの集約アドレスが作成 4.
されることになります。これ
により、指定したアドレスに
一致する少なくとも 1 つ以上の
特定のルートが学習された場
合に、ルーティング テーブル
の集約エントリになります。
ステップ 9
再配信ルールを設定します。
1.
このルールは、ホスト ルート
およびローカル RIB にない不明 2.
なルートをピア ルーターに再
配信するために使用されます。
652
[Aggregate] タブを選択し、[ 追加 ] をクリックして集
約アドレスの名前を入力します。
[プレフィックス] フィールドで、集約されたプレフィッ
クスのプライマリ プレフィックスになるネットワーク
プレフィックスを入力します。
[ フィルタの抑制 ] タブを選択し、一致したルートを停
止する属性を定義します。
[ フィルタの通知 ] タブを選択し、一致したルートを必
ずピアに通知する属性を定義します。
[ ルールの再配信 ] タブを選択し、[ 追加 ] をクリック
します。
[ 名前 ] フィールドに、IP サブネットを入力するか、再
配信プロファイルを選択します。必要に応じて、ド
ロップダウンから新しい再配信プロファイルを設定す
ることもできます。
3.
ルールを有効にするには、[ 有効化 ] チェック ボックス
をオンにします。
4.
[ メトリック ] フィールドに、ルールに使用されるルー
ト メトリックを入力します。
5.
[発信元の設定] ドロップダウンから incomplete、igp、
または egp を選択します。
6.
任意で、MED、ローカル設定、AS パス制限、コミュニ
ティの値を設定します。
ネットワークへの統合
ネットワーク
セッション設定とセッション タイムアウト
セッション設定とセッション タイムアウト
このセクションでは、TCP、UDP、ICMPv6 セッション、および IPv6、NAT64、NAT オーバー
サブスクリプション、ジャンボ フレーム サイズ、MTU、セッション保持時間短縮、キャプティ
ブ ポータル認証に影響するグローバル設定について説明します。また、新しく設定されたセ
キュリティ ポリシーをすでに処理中のセッションに適用できるようにする設定([セッションの
再マッチング ])もあります。
これらのセッション設定およびセッション タイムアウトは、[Device] > [ セットアップ ] > [ セッ
ション ] タブで設定します。
以下の最初のいくつかのトピックでは、OSI モデル、TCP、UDP、および ICMP のトランスポー
ト層の概要について説明します。プロトコルの詳細は、それぞれの RFC を参照してください。
残りのトピックでは、セッションのタイムアウトおよび設定について説明します。

トランスポート層のセッション

TCP

UDP

ICMP

セッション タイムアウトの設定

セッション設定の指定
ネットワークへの統合
653
セッション設定とセッション タイムアウト
ネットワーク
トランスポート層のセッション
ネットワーク セッションとは、複数の通信デバイス間で発生し、一定期間継続するやり取りで
す。確立されたセッションは、セッションが終了すると削除されます。OSI モデルの 3 つの層
(トランスポート層、セッション層、アプリケーション層)では、異なるタイプのセッション
が発生します。
トランスポート層は、OSI モデルのレイヤー 4 で動作し、信頼性の高いまたは信頼性の低い、
エンドツーエンドのデータ配信およびデータ フロー制御を提供します。トランスポート層で
セッションを実装するインターネット プロトコルには、Transmission Control Protocol (TCP) や
User Datagram Protocol (UDP) などがあります。
TCP
Transmission Control Protocol (TCP) (RFC 793) は、Internet Protocol (IP) スイートの主要プロトコルの
1 つです。このプロトコルは広く普及しており、IP と一緒に TCP/IP と呼ばれることが一般的で
す。TCP は、セグメントの送受信中にエラーをチェックして、受信したセグメントの確認応答
を行い、送信元デバイスから順不同で到着するセグメントの順序を並べ替えることができるた
め、信頼性の高いトランスポート プロトコルだと考えられています。また、TCP では、ドロッ
プされたセグメントの再送信を要求および提供できます。セッションの期間中に送信者と受信
者間の接続が確立されるという点で、TCP はステートフルな接続指向プロトコルです。TCP で
は、パケットのフロー制御が行われるため、ネットワークの輻輳を処理できます。
TCP では、セッションのセットアップ時にスリーウェイ ハンドシェークが実行され、セッション
の開始および確認応答が行われます。データの転送後、セッションは正しい手順で終了します。
TCP をトランスポート プロトコルとして使用するアプリケーションには、Hypertext Transfer
Protocol (HTTP)、Hypertext Transfer Protocol Secure (HTTPS)、File Transfer Protocol (FTP)、Simple
Mail Transfer Protocol (SMTP)、Telnet、Post Office Protocol version 3 (POP3)、Internet Message Access
Protocol (IMAP)、Secure Shell (SSH) などがあります。
以下のトピックでは、PAN-OS の TCP の実装の詳細ついて説明します。

TCP Half Closed および TCP Time Wait タイマー

Unverified RST タイマー
TCP Half Closed および TCP Time Wait タイマー
TCP 接続の終了手順では、TCP Half Closed タイマーが使用されます。このタイマーは、セッ
ション中にファイアウォールで最初に確認される FIN によってトリガーされます。接続の一方
でのみ FIN が送信されているため、このタイマーは TCP Half Closed という名前になっていま
す。2 番目のタイマー TCP Time Wait は、2 番目の FIN または RST でトリガーされます。
654
ネットワークへの統合
ネットワーク
セッション設定とセッション タイムアウト
最初の FIN で 1 つのタイマーのみがトリガーされるファイアウォールの場合、設定が短すぎる
と、half-closed セッションの終了が早くなりすぎる可能性があります。反対に、設定が長すぎる
と、セッション テーブルが大きくなりすぎて、すべてのセッションを使い果たしてしまう可能
性があります。タイマーが 2 つあることで、比較的長い TCP Half Closed タイマーと短い TCP
Time Wait タイマーを設定できます。これにより、完全に終了したセッションの保持時間短縮を
迅速に行い、セッション テーブルのサイズを制御できます。
以下の図は、TCP 接続の終了手順でファイアウォールの 2 つのタイマーがトリガーされるとき
の様子を示しています。
TCP Time Wait タイマーには、TCP Half Closed タイマーよりも小さい値を設定する必要がありま
す。この理由は以下のとおりです。

最初の FIN が確認されてからの許容時間が長いほど、接続の反対側でセッションを完全に終
了できる時間を確保できます。

Time Wait 時間が短いのは、2 番目の FIN または RST が確認されてから長時間セッションを開
いたままにしておく必要がないためです。Time Wait 時間を短くすることで、すぐにリソース
を解放できます。ただし、ファイアウォールで最後の ACK を確認する時間と、他のデータ
グラムの再送信のための時間は確保しておきます。
TCP Time Wait タイマーに TCP Half Closed タイマーよりも大きな値を設定しても、コミットは受
け入れられます。ただし、実際には TCP Time Wait タイマーは TCP Half Closed の値を超えること
はありません。
ネットワークへの統合
655
セッション設定とセッション タイムアウト
ネットワーク
タイマーは、グローバルまたはアプリケーション単位で設定できます。デフォルトでは、すべ
てのアプリケーションを対象にグローバル設定が使用されます。アプリケーション レベルで
TCP Time Wait タイマーを設定すると、グローバル設定がオーバーライドされます。
Unverified RST タイマー
(TCP ウィンドウ内にあるが予期しないシーケンス番号が付けられているか、非対称パスから
送信されていることが原因で)検証できない Reset (RST) パケットをファイアウォールで受信す
る場合、Unverified RST タイマーでセッション保持時間を制御します。デフォルトは 30 秒で、範
囲は 1 ~ 600 秒です。Unverified RST タイマーには、以下の 2 番目の箇条書きで説明されている
追加のセキュリティ対策があります。
RST パケットの結果は、以下の 3 つのいずれかになります。

TCP ウィンドウ外の RST パケットはドロップされます。

TCP ウィンドウ内にあるが、期待されるシーケンス番号がない RST パケットは、検証されず、
Unverified RST タイマー設定が適用されます。この動作により、ランダムな RST パケットを
ファイアウォールに送信して、既存のセッションを中断させようとするサービス拒否 (DoS)
攻撃を回避できます。

TCP ウィンドウ内に収まり、期待されるシーケンス番号がある RST パケットは、TCP Time
Wait タイマー設定が適用されます。
UDP
User Datagram Protocol (UDP) (RFC 768) は、IP スイートの別の主要プロトコルで、TCP の代替手
段です。セッションをセットアップするためのハンドシェークや、送信者と受信者間の接続が
ないという点で、UDP はステートレスなコネクションレス型プロトコルです。各パケットは異
なるルートを経由して 1 つの宛先に到達する場合があります。UDP は、データグラムの確認応
答、エラーチェック、再送信、並べ替えを行わないため、信頼性の低いプロトコルだと考えら
れています。UDP では、これらの機能を提供するために必要な負担がなくなるため、遅延が減
少し、TCP よりも高速になります。UDP は、データが宛先に到達するためのメカニズムや保証
がないため、ベストエフォート プロトコルと呼ばれます。
UDP では、チェックサムを使用してデータの整合性が確保されますが、ネットワーク インター
フェイス レベルでエラー チェックは実行されません。エラー チェックは、UDP 自体ではなく
アプリケーションで実行されるか、不要であるということを前提としています。UDP には、パ
ケットのフロー制御を処理するメカニズムがありません。
UDP は、Voice over IP (VoIP)、ストリーミング オーディオおよびビデオ、オンライン ゲームな
ど、時間的制約のある高速なリアルタイム配信を必要とするアプリケーションで主に使用され
ます。UDP は、トランザクション指向のプロトコルであるため、Domain Name System (DNS) や
Trivial File Transfer Protocol (TFTP) など、多数のクライアントからの小さなクエリに応答するアプ
リケーションでも使用されます。
656
ネットワークへの統合
ネットワーク
セッション設定とセッション タイムアウト
ICMP
Internet Control Message Protocol (ICMP) (RFC 792) も Internet Protocol スイートの主要プロトコルの
1 つで、OSI モデルのネットワーク層で動作します。ICMP は、診断および制御のために使用さ
れ、IP 操作に関するエラー メッセージや、ホストまたはルーターの要求されたサービスや到達
可能性に関するメッセージを送信します。traceroute や ping などのネットワーク ユーティリティ
は、さまざまな ICMP メッセージを使用して実装されます。
ICMP は、実際のセッションを開いたり、保持したりしないコネクションレス型プロトコルで
す。ただし、2 つのデバイス間の ICMP メッセージをセッションとして考えることもできます。
Palo Alto Networks ファイアウォールでは、ICMPv4 および ICMPv6 をサポートしています。
ICMPv4 および ICMPv6 エラー パケットを制御するには、ゾーンにセキュリティ ポリシーを設
定し、そのポリシーで icmp または ipv6-icmp アプリケーションを選択します。また、ICMPv6
エラー パケット レートを制御するには、セッション設定を使用します。詳細は、「セッション
設定の指定」セクションを参照してください。
ICMPv6 レート制限
ICMPv6 レート制限は、フラッド攻撃や DDoS 攻撃を回避するためのスロットリング メカニズ
ムです。この実装では、エラー パケット速度とトークン バケットが使用されます。これらが連
携することで、スロットリングが有効になり、ファイアウォールによって保護されているネッ
トワーク セグメントに ICMP パケットが大量に送信されることを回避できます。
まず、グローバル ICMPv6 エラー パケット速度を使用して、ファイアウォールで許可される
ICMP エラー パケット速度を制御します。デフォルトは 100 パケット / 秒で、範囲は 10 ~ 65535
パケット / 秒です。ファイアウォールが ICMP エラー パケット速度に達した場合、以下のよう
に、トークン バケットが始動して、スロットリングが発生します。
論理トークン バケットの概念で、ICMP メッセージを送信できる速度を制御します。バケット
のトークン数は設定可能で、各トークンは、送信できる ICMP メッセージを表しています。
トークン数は ICMP メッセージが送信されるたびに減少し、バケットのトークンがゼロになる
と、別のトークンがバケットに追加されるまで ICMP メッセージを送信できなくなります。
トークン バケットのデフォルト サイズは 100 トークン(パケット)で、範囲は 10 ~ 65535 トー
クンです。
デフォルトのトークン バケット サイズまたはエラー パケット速度を変更する方法について
は、「セッション設定の指定」セクションを参照してください。
セッション タイムアウトの設定
セッション タイムアウトには、ファイアウォール上でセッションが非アクティブになってから
PAN-OS がそのセッションを保持する期間を定義します。デフォルトでは、プロトコルのセッ
ション タイムアウト期間が切れると、PAN-OS がセッションを閉じます。
ネットワークへの統合
657
セッション設定とセッション タイムアウト
ネットワーク
ファイアウォールでは、特に TCP、UDP、および ICMP セッションに対して複数のタイムアウ
トを定義できます。他のすべてのタイプのセッションには、デフォルトのタイムアウトが適用
されます。これらのタイムアウトはすべてグローバルです。つまり、ファイアウォール上にあ
るそのタイプのすべてのセッションに適用されます。
グローバル設定に加え、[Objects] > [ アプリケーション ] タブでは個々のアプリケーションのタ
イムアウトを柔軟に定義できます。ファイアウォールは、アプリケーションのタイムアウトを
確立済み状態のアプリケーションに適用します。アプリケーションのタイムアウトが設定され
ると、グローバルな TCP または UDP セッション タイムアウトがオーバーライドされます。
TCP、UDP、ICMP、キャプティブ ポータル認証、または他のタイプのセッションのグローバル
セッション タイムアウト設定のデフォルト値を変更する必要がある場合、グローバル設定に戻
り、以下の任意のタスクを実行します。すべての値は秒単位です。
デフォルトは、最適値です。ただし、ネットワークのニーズに合わせてこれらの値を変更でき
ます。低すぎる値を設定すると、わずかなネットワーク遅延に反応してファイアウォールとの
接続の確立に失敗する可能性があります。高すぎる値を設定すると、エラーの検出が遅れる可
能性があります。
セッション タイムアウトの変更
ステップ 1
ステップ 2
セッション設定にアクセ 1.
スします。
2.
[Device] > [セットアップ] > [セッション] の順に選択します。
[ セッション タイムアウト ] セクションで、編集アイコンを
クリックします。
(任意)その他のタイム • デフォルト — TCP/UDP 以外、または ICMP 以外のセッショ
アウトを変更します。
ンが応答なしで開いた状態を維持できる最大時間。デフォル
ト : 30。範囲 : 1 ~ 1599999。
• デフォルトの破棄 — ファイアウォールに設定されたセキュリ
ティ ポリシーに基づいて PAN-OS でセッションが拒否されて
から、TCP/UDP 以外のセッションが開いた状態を維持する
最大時間。デフォルト : 60。範囲 : 1 ~ 1599999。
• スキャン — 非アクティブだと判断されてから、セッションが
開いた状態を維持する最大時間。アプリケーションは、その
アプリケーションに定義されたアプリケーション トリクルし
きい値を超えたときに非アクティブと見なされます。デフォ
ルト : 10。範囲 : 5 ~ 30。
• キャプティブ ポータル — キャプティブ ポータル Web フォー
ムの認証セッション タイムアウト。要求されたコンテンツに
ユーザーがアクセスするには、このフォームに認証資格情報
を入力して正常に認証される必要があります。デフォルト :
30。範囲 : 1 ~ 1599999。
アイドル タイマー、ユーザーの再認証が必要になるまでの有
効期限などのその他のキャプティブ ポータル タイムアウトを
定義するには、[Device] > [ ユーザー ID] > [ キャプティブ ポー
タルの設定 ] の順に選択します。「キャプティブ ポータルの
設定」を参照してください。
658
ネットワークへの統合
ネットワーク
セッション設定とセッション タイムアウト
セッション タイムアウトの変更(続き)
ステップ 3
(任意)TCP タイムアウト • TCP の破棄 — ファイアウォールに設定されたセキュリティ ポ
を変更します。
リシーに基づいて TCP セッションが拒否されてから、TCP
セッションが開いた状態を維持する最大時間。デフォルト :
90。範囲 : 1 ~ 1599999。
• TCP — TCP セッションが確立済み状態になってから(ハンド
シェークが完了し、必要に応じてデータが送信されてから)応
答なしで開いた状態を維持する最大時間。デフォルト : 3600。
範囲 : 1 ~ 1599999。
• TCP ハンドシェーク — SYN-ACK を受信してからそれに続く
ACK を送信してセッションを完全に確立するまでに許可され
た最大時間。デフォルト : 10。範囲 : 1 ~ 60。
• TCP init — SYN を受信してから、TCP ハンドシェーク タイ
マーの開始前に SYN-ACK を送信するまでに許可された最大
時間。デフォルト : 5。範囲 : 1 ~ 60。
• TCP Half Closed — 最初の FIN を受信してから、2 つ目の FIN
または RST を受信するまでの最大時間。デフォルト : 120。範
囲 : 1 ~ 604800。
• TCP Time Wait — 2 つ目の FIN または RST を受信してからの
最大時間。デフォルト : 15。範囲 : 1 ~ 600。
• Unverified RST — 検証できない RST(RST が TCP ウィンドウ
内にあるが予期しないシーケンス番号が付けられているか、
RST が非対称パスから送信されている)を受信してからの最
大時間。デフォルト : 30。範囲 : 1 ~ 600。
• 「(任意)その他のタイムアウトを変更します。」セクショ
ンの [ スキャン ] タイムアウトも参照してください。
ステップ 4
(任意)UDP タイムアウ • UDP の破棄 — ファイアウォールに設定されたセキュリティ ポ
トを変更します。
リシーに基づいて UDP セッションが拒否されてから、UDP
セッションが開いた状態を維持する最大時間。デフォルト :
60。範囲 : 1 ~ 1599999。
• UDP — UDP セッションが UDP 応答なしで開いた状態を維持
する最大時間。デフォルト : 30。範囲 : 1 ~ 1599999。
• 「(任意)その他のタイムアウトを変更します。」セクショ
ンの [ スキャン ] タイムアウトも参照してください。
ステップ 5
(任意)ICMP タイムアウ • ICMP — ICMP セッションが ICMP 応答なしで開いた状態を維
トを変更します。
持できる最大時間。デフォルト : 6。範囲 : 1 ~ 1599999。
• 「(任意)その他のタイムアウトを変更します。」セクショ
ンの [ デフォルトの破棄 ] および [ スキャン ] タイムアウトも
参照してください。
ステップ 6
変更をコミットします。
ネットワークへの統合
[OK] をクリックし、変更を [ コミット ] します。
659
セッション設定とセッション タイムアウト
ネットワーク
セッション設定の指定
このトピックでは、タイムアウト値以外のセッションのさまざまな設定について説明します。
デフォルト設定を変更する必要がある場合、以下の任意のタスクを実行します。
セッション設定の変更
ステップ 1
660
セッション設定にア 1.
クセスします。
2.
[Device] > [ セットアップ ] > [ セッション ] の順に選択します。
[ セッション設定 ] セクションで、編集アイコンをクリックし
ます。
ネットワークへの統合
ネットワーク
セッション設定とセッション タイムアウト
セッション設定の変更(続き)
ステップ 2
(任意)セッション • セッションの再マッチング — ファイアウォールで、新しく設定され
設定を変更します。
たセキュリティ ポリシーがすでに進行中のセッションに適用され
ます。この機能はデフォルトで有効になっています。この設定が
無効な場合、ポリシー変更は、ポリシー変更がコミットされた後
に開始されたセッションにのみ適用されます。
たとえば、Telnet を許可する関連ポリシーが設定されているときに
Telnet セッションを開始し、その後、Telnet を拒否するポリシー変
更をコミットした場合、ファイアウォールは変更されたポリシー
を現在のセッションに適用してブロックします。
• ICMPv6 トークン バケット サイズ — デフォルト : 100 トークン。
「ICMPv6 レート制限」セクションを参照してください。
• ICMPv6 エラー パケット速度(秒あたり)— デフォルト : 100。
「ICMPv6 レート制限」セクションを参照してください。
• IPv6 ファイアウォールの有効化 — IPv6 のファイアウォール機能を
有効にします。IPv6 が有効になっていないと、IPv6 ベースの設定
はすべて無視されます。インターフェイスで IPv6 が有効な場合で
も、IPv6 が機能するためには [IPv6 ファイアウォール設定 ] 設定も
有効にする必要があります。
• Jumbo Frame を有効にする — Ethernet インターフェイスでジャン
ボ フレームのサポートを有効にします。ジャンボ フレームの最大
伝送単位 (MTU) は 9216 バイトで、特定のプラットフォームで使用
できます。
グローバル MTU — グローバルに使用できる最大転送ユニット
(MTU) を確立します。このフィールドは、[Jumbo Frame を有効に
する ] フィールドに関係します。
• [Jumbo Frame を有効にする ] をオフにすると、[ グローバル
MTU] がデフォルトの 1500 バイトになり、範囲は 576 ~ 1500 バ
イトになります。
• [Jumbo Frame を有効にする ] をオンにすると、[ グローバル
MTU] がデフォルトの 9192 バイトになり、範囲は 9192 ~ 9216
バイトになります。
ジャンボ フレームが有効で、インターフェイスに具体的な
MTU が設定されていない場合、それらのインターフェイスで
は自動的にジャンボ フレームのサイズが継承されます。その
ため、ジャンボ フレームを有効にする前に、ジャンボ フレー
ムを使用しないインターフェイスがある場合、その MTU を
1500 バイトか別の値に設定する必要があります。
• NAT64 IPv6 最小 MTU — IPv6 変換済みトラフィックのグローバル
MTU を設定します。デフォルトの 1280 バイトは、IPv6 トラフィッ
クの標準の最小 MTU に基づきます。
ネットワークへの統合
661
セッション設定とセッション タイムアウト
ネットワーク
セッション設定の変更(続き)
• NAT オーバーサブスクリプション率 — NAT がダイナミック IP お
よびポート (DIPP) 変換として設定されている場合、オーバーサブ
スクリプション率を設定し、同じ変換後 IP アドレスとポートのペ
アを同時に使用できる回数を乗算できます。オーバーサブスクリ
プション率は、1、2、4、または 8 です。デフォルト設定は、ファ
イアウォール プラットフォームに基づいています。
• オーバーサブスクリプション率が 1 の場合、オーバーサブスク
リプションは行われず、変換後の IP アドレスとポートのペア
は、それぞれ一時点に 1 回のみ使用できます。
• 設定が [ プラットフォームのデフォルト ] の場合、オーバーサ
ブスクリプション率のユーザー設定は無効になり、プラット
フォームのデフォルトのオーバーサブスクリプション率が適
用されます。
オーバーサブスクリプション率を小さくすると、送信元デバイス
変換数が少なくなりますが、提供される NAT ルールのキャパシ
ティは大きくなります。
• セッション保持時間自動短縮 — アイドル状態のセッションの保持
時間短縮を有効にします。セッション保持時間短縮を有効にし
て、必要に応じて、しきい値 (%) と倍率を変更するには、この
チェック ボックスをオンにします。
• セッション保持時間短縮の開始しきい値 — セッション テーブ
ルのパーセント。このパーセントに達すると、セッション保
持時間短縮が開始されます。デフォルトは 80% です。セッ
シ ョ ン テ ー ブ ル が こ の し き い 値(% フ ル)に 達 す る と、
PAN-OS により [セッション保持時間短縮倍率] がすべてのセッ
ションの保持時間の計算に適用されます。
• セッション保持時間短縮倍率 — セッション保持時間短縮の計
算に使用される倍率。デフォルトの短縮倍率は 2 で、保持時間
短縮が設定されているアイドル時間の 2 倍の速さで行われま
す。設定されているアイドル時間を 2 で除算すると、タイムア
ウト時間が 1/2 に短縮されます。セッションの保持時間短縮を
計算するために、PAN-OS では、(そのセッション タイプに)
設定されているアイドル時間を短縮倍率で除算して、短縮さ
れたタイムアウトを決定します。
たとえば、短縮倍率が 10 の場合、通常は 3600 秒後にタイムア
ウトするセッションが、10 倍速い 360 秒(1/10 の時間)でタ
イムアウトします。
ステップ 3
662
変 更 を コ ミ ッ ト し [OK] をクリックし、変更を [ コミット ] します。
ます。
ネットワークへの統合
ネットワーク
DHCP
DHCP
このセクションでは、Dynamic Host Configuration Protocol (DHCP) について説明します。また、
DHCP サ ーバ ー、ク ライ ア ント、リ レー エ ー ジェ ン トと し て機 能 する よ うに、Palo Alto
Networks ファイアウォールのインターフェイスを設定するために必要なタスクについても説明
します。これらの役割を異なるインターフェイスに割り当てることで、ファイアウォールで複
数の役割を実行できます。

DHCP の概要

DHCP メッセージ

DHCP アドレス

DHCP オプション

Palo Alto Networks の DHCP の実装の制限

DHCP サーバーとしてインターフェイスを設定する

DHCP クライアントとしてインターフェイスを設定する

DHCP リレー エージェントとしてインターフェイスを設定する

DHCP のモニターおよびトラブルシューティング
DHCP の概要
DHCP は、『RFC 2131』、『Dynamic Host Configuration Protocol』(英語)で定義されている、
標準化プロトコルです。DHCP の主な目的は 2 つあります。1 つは、TCP/IP およびリンク層の
設定パラメータを提供することで、もう 1 つは、TCP/IP ネットワーク上に動的に設定されるホ
ストにネットワーク アドレスを提供することです。
DHCP では、通信のクライアント-サーバー モデルが使用されます。このモデルは、デバイスで
実行できる 3 つの役割(DHCP クライアント、DHCP サーバー、DHCP リレー エージェント)
で構成されます。

DHCP クライアント(ホスト)として機能するデバイスは、DHCP サーバーに IP アドレスや
その他の設定を要求できます。クライアント デバイスのユーザーは、設定の時間と手間を省
くことができます。また、DHCP サーバーから継承されるネットワークのアドレス計画やそ
の他のリソースおよびオプションを把握する必要もありません。

DHCP サーバーとして機能するデバイスは、クライアントにサービスを提供できます。3 つ
の「DHCP アドレス」メカニズムのいずれかを使用することで、ネットワーク管理者は設定
時間を節約でき、クライアントでネットワーク接続が不要になったときに、限られた数の IP
アドレスを再利用できます。サーバーは、IP アドレスや多くの DHCP オプションを多数のク
ライアントに配信できます。

DHCP リレー エージェントとして機能するデバイスは、DHCP クライアントと DHCP サー
バー間で DHCP メッセージを送信できます。
ネットワークへの統合
663
ネットワーク
DHCP
DHCP は、トランスポート プロトコルとして、『User Datagram Protocol (UDP)』、『RFC 768』を使
用します。クライアントからサーバーに送信される DHCP メッセージは、ウェルノウン ポート 67
(UDP — ブートストラップ プロトコルおよび DHCP)に送信されます。サーバーからクライア
ントに送信される「DHCP メッセージ」は、ポート 68 に送信されます。
Palo Alto Networks ファイアウォールのインターフェイスは、DHCP サーバー、クライアント、
またはリレー エージェントの役割を担うことができます。DHCP サーバーまたはリレー エー
ジェントのインターフェイスは、レイヤー 3 Ethernet、集約された Ethernet、レイヤー 3 VLAN
インターフェイスである必要があります。ネットワーク管理者は、役割の組み合わせに合った
適切な設定で、ファイアウォールのインターフェイスを設定します。このドキュメントには、
各役割の設定タスクが記載されています。
DHCP メッセージ
DHCP では、DHCP メッセージのオプション タイプ番号で識別される 8 個の標準メッセージ タ
イプが使用されます。たとえば、クライアントが DHCP サーバーを検索する場合、そのローカ
ル物理サブネットワークで DHCPDISCOVER メッセージをブロードキャストします。そのサブ
ネットに DHCP サーバーがない場合、DHCP ヘルパーや DHCP リレーが適切に設定されていれ
ば、メッセージが別の物理サブネットの DHCP サーバーに転送されます。そうでない場合、メッ
セージは送信元のサブネットまでしか進みません。1 つ以上の DHCP サーバーが DHCPOFFER
メッセージで応答します。このメッセージには、使用可能なネットワーク アドレスとその他の
設定パラメータが含まれています。
クライアントで IP アドレスが必要になると、DHCPREQUEST を 1 つ以上のサーバーに送信しま
す。クライアントが IP アドレスを要求する場合、まだ IP アドレスは割り当てられていないた
め、『RFC 2131』では、クライアントが送信するブロードキャスト メッセージに、IP ヘッダー
が 0 の送信元アドレスを設定することが求められています。
クライアントがサーバーに設定パラメータを要求する場合、複数のサーバーから応答を受信す
る可能性があります。クライアントがその IP アドレスを受信すると、少なくとも IP アドレス
が(場合によってはその他の設定パラメータも)クライアントにバインドされます。DHCP
サーバーは、このようなクライアントへの設定パラメータのバインドを管理します。
以下の表に、DHCP メッセージを示します。
DHCP メッセージ
説明
DHCPDISCOVER
使用可能な DHCP サーバーを検索するクライアント ブロードキャスト。
DHCPOFFER
クライアントの DHCPDISCOVER へのサーバー応答。設定パラメータを提
供します。
664
ネットワークへの統合
ネットワーク
DHCP
DHCP メッセージ
説明
DHCPREQUEST
1 つ以上のサーバーへのクライアント メッセージで、以下のいずれかを実
行します。
• 1 つのサーバーにパラメータを要求し、暗黙的にその他のサーバーから
のオファーを拒否します。
• システムの再起動後などに、以前に割り当てられたアドレスが正しい
ことを確認します。
• ネットワーク アドレスのリースを延長します。
DHCPACK
確認済みのネットワーク アドレスなどの設定パラメータが含まれてい
る、サーバーからクライアントへの確認応答メッセージ。
DHCPNAK
クライアントのネットワーク アドレスの認識が正しくない(クライアン
トが新しいサブネットに移動した場合など)、またはクライアントのリー
スの有効期限が切れていることを示す、サーバーからクライアントへの否
定応答。
DHCPDECLINE
ネットワーク アドレスがすでに使用されていることを示す、クライアン
トからサーバーへのメッセージ。
DHCPRELEASE
ネットワーク アドレスのユーザーを放棄し、リースの残り時間をキャン
セルする、クライアントからサーバーへのメッセージ。
DHCPINFORM
ローカル設定パラメータのみを要求する、クライアントからサーバーへの
メッセージ。クライアントには、外部で設定されたネットワーク アドレ
スが割り当てられます。
DHCP アドレス
DHCP サーバーからクライアントへの IP アドレスの割り当てまたは送信を行う方法は 3 つあり
ます。


自動割り当て — DHCP サーバーは、その [IP プール ] から永久的な IP アドレスをクライアン
トに割り当てます。ファイアウォールで [ リース ] が [ 無制限 ] として指定されている場合、
永久的な割り当てになります。
動的な割り当て — DHCP サーバーは、リースと呼ばれる最大期間で、アドレスの [IP プール ]
の再利用可能な IP アドレスをクライアントに割り当てます。このアドレス割り当て方法
は、顧客の IP アドレス数が限られている場合に便利です。この方法では、ネットワークへ
の一時的なアクセスのみが必要なクライアントに IP アドレスを割り当てることができま
す。「DHCP のリース」セクションを参照してください。
ネットワークへの統合
665
ネットワーク
DHCP

静的な割り当て — ネットワーク管理者はクライアントに割り当てる IP アドレスを選択し、
DHCP サーバーはその IP アドレスをクライアントに送信します。静的な DHCP 割り当ては
永久的です。これを行うには、DHCP サーバーを設定し、クライアント デバイスの [MAC ア
ドレス ] に対応するように [ 予約済みアドレス ] を選択します。DHCP の割り当ては、クライ
アントがログオフまたは再起動したり、停電が発生したりしても、そのまま保持されます。
たとえば、LAN 上にプリンタがあり、DNS で LAN のプリンタの名前と IP アドレスが関連付
けられているために、その IP アドレスが頻繁に変わらないようにする場合、IP アドレスの
静的な割り当てが役立ちます。また、クライアント デバイスが何か重要な用途で使用されて
いて、デバイスがオフになったり、再起動したり、プラグが抜かれたり、停電が発生したり
しても、同じ IP アドレスを保持する必要がある場合にも便利です。
[ 予約済みアドレス ] を設定する場合、以下の点に注意してください。
–
これは、[IP プール ] のアドレスです。複数の予約済みアドレスを設定できます。
–
[ 予約済みアドレス ] を設定していない場合、サーバーのクライアントは、リースの有効
期限が切れたり、再起動したりすると、プールから新しい DHCP の割り当てを受信しま
す([ リース ] を [ 無制限 ] に設定している場合は除く)。
–
[IP プール ] のすべてのアドレスを [ 予約済みアドレス ] として割り当てると、アドレス
を要求する次の DHCP クライアントに自由に割り当てることができる動的なアドレスが
なくなります。
–
[MAC アドレス ] を設定せずに [ 予約済みアドレス ] を設定できます。この場合、DHCP
サーバーは、どのデバイスにも [予約済みアドレス] を割り当てません。プールのいくつ
かのアドレスを予約し、DHCP を使用せずに FAX やプリンタなどに静的に割り当てるこ
とができます。
DHCP のリース
リースは、DHCP サーバーがネットワーク アドレスをクライアントに割り当てる期間として定
義されます。リースは、後続の要求で延長(更新)できます。クライアントでアドレスが不要
になった場合、リース期間が終了する前にアドレスをサーバーにリリースすることができま
す。その後、サーバーは、未割り当てアドレスがなくなった場合に、別のクライアントにその
アドレスを自由に割り当てることができます。
DHCP サーバーに設定されたリース期間は、単一の DHCP サーバー(インターフェイス)がク
ライアントに動的に割り当てるすべてのアドレスに適用されます。つまり、動的に割り当てら
れるすべてのインターフェイスのアドレスは、[ 無制限 ] の期間または同じ [ タイムアウト ] 値
になります。ファイアウォールに設定された別の DHCP サーバーに、異なるクライアント リー
ス期間を割り当てることができます。[予約済みアドレス] は、静的なアドレス割り当てで、リー
ス期間は適用されません。
DHCP 標準、『RFC 2131』に準拠して、DHCP クライアントはリースの有効期限が切れるまで
待機しません。これは、新しいアドレスが割り当てられるリスクがあるためです。代わりに、
DHCP クライアントがリース期間の半分に達すると、同じ IP アドレスを保持できるようにその
リースを延長しようとします。そのため、リース期間は変動期間のようになります。
666
ネットワークへの統合
ネットワーク
DHCP
通常、IP アドレスがデバイスに割り当てられた後に、デバイスがネットワークから切断された
場合、そのリースが延長されていないと、DHCP サーバーはそのリースを使い切ります。クラ
イアントがネットワークから切断されて、そのアドレスが不要になるため、サーバーのリース
期間に達すると、リースは [ 失効 ] 状態になります。
ファイアウォールには、有効期限の切れた IP アドレスがすぐに再割り当てされないようにする
保留タイマーがあります。この動作では、デバイスがネットワークに戻った場合に備えてデバ
イスのアドレスが一時的に予約されます。ただし、アドレス プールのアドレスがなくなると、
保留タイマーの有効期限が切れる前に、サーバーはこの有効期限の切れたアドレスを再割り当
てします。有効期限の切れたアドレスは、システムで追加のアドレスが必要になったときや、
保留タイマーでリリースされたときに自動的にクリアされます。
割り当てられた IP アドレスに関するリース情報を表示するには、CLI で show dhcp server
lease 操作コマンドを使用します。有効期限の切れたリースが自動的にリリースされるまで待
機しないようにする場合は、clear dhcp lease interface value expired-only コマ
ンドを使用して、有効期限の切れたリースをクリアします。これにより、それらのアドレスが
プールで再度使用できるようになります。特定の IP アドレスをリリースするには、clear
dhcp lease interface value ip ip コマンドを使用します。特定の MAC アドレスをリ
リースするには、clear dhcp lease interface value mac mac_address コマンドを
使用します。
DHCP オプション
DHCP および DHCP オプションの歴史は、ブートストラップ プロトコル (BOOTP) まで遡りま
す。BOOTP は、ホストの起動手順でホスト自体を動的に設定するために使用されていました。
ホストは、サーバーから起動プログラムをダウンロードするための IP アドレスとファイル、お
よびサーバーのアドレスとインターネット ゲートウェイのアドレスを受信できました。
BOOTP パケットには、ベンダー情報フィールドがあり、さまざまなタイプの情報(サブネット
マスク、BOOTP ファイル サイズ、およびその他の多くの値など)が含まれる、タグ付けされた
多数のフィールドを格納することができました。『RFC 1497』には、『BOOTP Vendor Information
Extensions』(英語)が記載されています。
これらの拡張は拡大していき、最終的には DHCP および DHCP ホスト設定パラメータ(オプ
ションとも呼ばれる)が使用されるようになりました。ベンダー拡張と同じように、DHCP オ
プションは、DHCP クライアントに情報を提供する、タグ付けされたデータ項目です。オプ
ションは、DHCP メッセージの最後に可変長フィールドで送信されます。たとえば、DHCP
メッセージ タイプがオプション 53 で、値が 1 の場合、DHCPDISCOVER メッセージを示しま
す。DHCP オプションは、『RFC 2132』、『DHCP Options and BOOTP Vendor Extensions』(英
語)で定義されています。
DHCP クライアントは、サーバーとネゴシエートし、クライアントが要求するオプションのみ
をサーバーが送信するように制限できます。
ネットワークへの統合
667
ネットワーク
DHCP
Palo Alto Networks ファイアウォールは、DHCP サーバーの実装に対応する標準 DHCP オプショ
ンのサブセットをサポートしています。このようなオプションは、DHCP サーバーで設定さ
れ、DHCPREQUEST をサーバーに送信したクライアントに送信されます。クライアントは、受
け入れるようにプログラムされたオプションを継承して実装します。ファイアウォールは、
DHCP サーバーの以下の事前定義済みオプションをサポートしています。([DHCP サーバー]
設定画面に表示される順序で記載)。
DHCP オプ
ション
DHCP オプション名
51
リース期間
3
ゲートウェイ
1
IP プール サブネット(マスク)
6
Domain Name System (DNS) サーバー アドレス(プライマリおよびセカンダリ)
44
Windows Internet Name Service (WINS) サーバー アドレス(プライマリおよびセカンダリ)
41
Network Information Service (NIS) サーバー アドレス(プライマリおよびセカンダリ)
42
Network Time Protocol (NTP) サーバー アドレス(プライマリおよびセカンダリ)
70
Post Office Protocol Version 3 (POP3) サーバー アドレス
69
Simple Mail Transfer Protocol (SMTP) サーバー アドレス
15
DNS サフィックス
Palo Alto Networks の DHCP の実装の制限

DHCP 標準、『RFC 2131』は、IPv4 および IPv6 アドレスをサポートするように設計されていま
す。Palo Alto Networks の DHCP サーバーおよび DHCP クライアントの実装では、IPv4 アドレス
のみをサポートしています。DHCP リレーの実装では、IPv4 と IPv6 をサポートしています。

高可用性アクティブ/アクティブ モードでは、DHCP クライアントはサポートされていません。

ファイアウォールでは、DHCPv4 サーバーと DHCPv6 リレーがサポートされています。ただ
し、単一のインターフェイスで DHCPv4 サーバーと DHCPv6 リレーの両方をサポートするこ
とはできません。

BOOTP は DHCP に置き換わっているため、BOOTP はサポートされません。
668
ネットワークへの統合
ネットワーク
DHCP
DHCP サーバーとしてインターフェイスを設定する
このタスクの前提条件は以下のようになります。

レイヤー 3 Ethernet またはレイヤー 3 VLAN インターフェイスを設定している。

インターフェイスが仮想ルーターおよびゾーンに割り当てられている。

DHCP サーバーからクライアントに割り当てるように設計できる、ネットワーク計画の有効
な IP アドレス プールを把握している。
DHCP サーバーとして機能するようにファイアウォールのインターフェイスを設定するには、
以下のタスクを実行します。複数の DHCP サーバーを設定できます。
DHCP サーバーとしてインターフェイスを設定する
ステップ 1
DHCP サーバーにするインター 1.
フェイスを選択します。
[Network] > [DHCP] > [DHCP サーバー] の順に選択し、
[ 追加 ] をクリックします。
2.
[ インターフェイス ] の名前を入力するか、ドロップダ
ウンから選択します。
3.
[ モード ] で、[ 有効 ] または [ 自動 ] モードを選択しま
す。[ 自動 ] モードでは、サーバーが有効になります
が、ネットワークで別の DHCP サーバーが検出された
場合は無効になります。[無効 ] 設定を指定すると、サー
バーが無効になります。
4.
サーバーがクライアントに IP アドレスを割り当てる前
に IP アドレスを ping する場合、必要に応じて [ 新しい
IP を割り当てるときに IP に Ping する ] チェック ボッ
クスをオンにします。
ping が応答を受信した場合は、すでに
別のデバイスにそのアドレスが設定さ
れているため、使用できないことを意
味します。サーバーがプールから次の
ア ド レ ス を 割 り 当 て ま す。こ の 動 作
は、『Optimistic Duplicate Address Detection
(DAD) for IPv6、RFC 4429』(英語)に似
ています。
オプションを設定して [DHCP サーバー]
タブに戻ると、インターフェイスの
[ プローブ IP] 列に、このチェック ボッ
クスがオンになっているかどうかが表
示されます。
ネットワークへの統合
669
ネットワーク
DHCP
DHCP サーバーとしてインターフェイスを設定する(続き)
ステップ 2
サーバーがクライアントに送 • [ オプション ] セクションで、[ リース ] タイプを選択し
信 す る「DHCP オ プ シ ョ ン」
ます。
を設定します。
• [ 無制限 ] を指定すると、サーバーは [IP プール ] か
ら動的に IP アドレスを選択し、クライアントに永久
的に割り当てます。
• [ タイムアウト ] により、リースの継続時間が決まり
ます。[ 日 ] および [ 時間 ] の数値を入力し、必要に
応じて [ 分 ] の数値を入力します。
• 継承ソース — [ なし ] のままにするか、各種サーバーの
設定を DHCP サーバーに配信するソースの DHCP クライ
アント インターフェイスまたは PPPoE クライアント イ
ンターフェイスを選択します。[ 継承ソース ] を指定する
場合は、このソースから継承する以下のオプションを
1 つ以上選択します。
継承ソースを指定する利点は、ソース DHCP クライアン
トのアップストリーム サーバーから DHCP オプションを
すばやく追加できることです。また、ソースでオプショ
ンが変更されても、クライアントのオプションを最新の
状態にしておくことができる点も挙げられます。たとえ
ば、ソースで NTP サーバー(プライマリ NTP サーバー
として識別されているサーバー)を置き換えると、クラ
イアントは自動的にプライマリ NTP サーバーとして新し
いアドレスを継承します。
• 継承ソース状態のチェック — [ 継承ソース ] を選択した
場合、このリンクをクリックすると、[ ダイナミック IP
インターフェイス状態 ] ウィンドウが開き、DHCP クラ
イアントから継承されたオプションが表示されます。
• ゲートウェイ — この DHCP サーバーと同じ LAN 上には
ないデバイスに到達するために使用するネットワーク
ゲートウェイ(ファイアウォールのインターフェイス)
の IP アドレス。
• IP プール サブネット — [IP プール ] のアドレスに適用さ
れるネットワーク マスク。
670
ネットワークへの統合
ネットワーク
DHCP
DHCP サーバーとしてインターフェイスを設定する(続き)
以下のフィールドの下向き矢印をクリックし、[ なし ] また
は [ 継承済み ] を選択するか、そのサービスにアクセスす
るために DHCP サーバーがクライアントに送信するリモー
ト サーバーの IP アドレスを入力します。[ 継承済み ] を選
択すると、DHCP サーバーはソース DHCP クライアントか
ら、[ 継承ソース ] として指定された値を継承します。
DHCP サーバーはこれらの設定をクライアントに送信し
ます。
• プライマリ DNS、セカンダリ DNS — 優先および代替
Domain Name System (DNS) サーバーの IP アドレス。
• プライマリ WINS、セカンダリ WINS — 優先および代替
Windows Internet Naming Service (WINS) サーバーの IP アド
レス。
• プライマリ NIS、セカンダリ NIS — 優先および代替
Network Information Service (NIS) サーバーの IP アドレス。
• プライマリ NTP、セカンダリ NTP — 使用可能な Network
Time Protocol サーバーの IP アドレス。
• POP3 サーバー — Post Office Protocol (POP3) サーバーの
IP アドレス。
• SMTP サーバー — Simple Mail Transfer Protocol (SMTP) サー
バーの IP アドレス。
• DNS サフィックス — 解決できない非修飾ホスト名が入
力されたときにクライアントがローカルで使用するサ
フィックス。
ステップ 3
DHCP サーバーがアドレスを選 1.
択するために使用する IP アド
レスのステートフル プールを
特 定 し、DHCP ク ラ イ ア ン ト
に割り当てます。
該当のネットワークの
ネットワーク管理者で 2.
な い 場 合、DHCP サ ー
バーで割り当てるよう
に 設 計 で き る、ネ ッ ト
ワーク計画の有効な IP
アドレス プールをネッ
トワーク管理者に問い
合わせてください。
ネットワークへの統合
[IP プール ] フィールドで、[ 追加 ] をクリックし、こ
のサーバーがクライアントに割り当てる IP アドレスの
範囲を入力します。IP サブネットとサブネット マスク
(たとえば、192.168.1.0/24)、または IP アドレスの範
囲(た と え ば、192.168.1.10-192.168.1.20)を 入 力 し ま
す。少なくとも 1 つの IP プールが必要です。
必要に応じて、ステップ 1 を繰り返し、別の IP アドレ
ス プールを指定します。
671
ネットワーク
DHCP
DHCP サーバーとしてインターフェイスを設定する(続き)
ステップ 4
ステップ 5
(任意)動的に割り当てない、 1.
IP プールの IP アドレスを指定
します。[MAC アドレス ] も指 2.
定 す る と、デ バ イ ス が DHCP
を使用して IP アドレスを要求
3.
したときに [ 予約済みアドレス ]
がそのデバイスに割り当てら
れます。
4.
[ 予約済みアドレス ] の
割り当ての説明は、
「DHCP アドレス」セ
クションを参照してく
ださい。
設定を保存します。
[ 予約済みアドレス ] フィールドで、[ 追加 ] をクリック
します。
[IP プール ] から、DHCP サーバーに動的に割り当てな
い IP アドレス(x.x.x.x の形式)を入力します。
必要に応じて、ステップ 2 で指定した IP アドレスを永久的
に割り当てるデバイスの [MAC アドレス ](xx:xx:xx:xx:xx:xx
の形式)を入力します。
必要に応じて、ステップ 2 ~ 3 を繰り返し、別のアド
レスを予約します。
[OK] をクリックし、変更を [ コミット ] します。
DHCP クライアントとしてインターフェイスを設定する
DHCP クライアントとしてファイアウォール インターフェイスを設定する前に、レイヤー 3
Ethernet またはレイヤー 3 VLAN インターフェイスが設定されていることと、インターフェイス
が仮想ルーターおよびゾーンに割り当てられていることを確認します。このタスクは、DHCP
を使用してファイアウォールのインターフェイスの IPv4 アドレスを要求する必要がある場合に
実行します。
672
ネットワークへの統合
ネットワーク
DHCP
DHCP クライアントとしてインターフェイスを設定する
ステップ 1
DHCP クライアントとしてイン 1.
ターフェイスを設定します。
2.
[Network] > [ インターフェイス ] の順に選択します。
[Ethernet] タブまたは [VLAN] タブで、[ 追加 ] をク
リックし、DHCP クライアントにするインターフェイ
スを入力するか、設定済みのインターフェイスをク
リックします。
以下に、[Ethernet インターフェイス ] 画面を示します。
ステップ 2
設定を保存します。
3.
[IPv4] タブをクリックし、[ タイプ ] で [DHCP クライ
アント ] を選択します。
4.
[ 有効化 ] チェック ボックスをオンにします。
5.
必要に応じて、[ サーバー提供のデフォルト ゲートウェ
イを指すデフォルト ルートを自動的に作成 ] チェック
ボックスをオンにします。このチェック ボックスをオ
ンにすると、ファイアウォールはデフォルト ゲート
ウェイへのスタティック ルートを作成します。これ
は、ファイアウォールのルーティング テーブルにルー
トを保持する必要がないため、クライアントが多数の
宛先にアクセスする場合に便利です。
6.
必要に応じて、ファイアウォールと DHCP サーバー間
のルートの [ デフォルト ルート メトリック ](優先順
位レベル)を入力します。数値の低いルートほど、
ルート選択時の優先順位が高くなります。たとえば、
メトリックが 10 のルートは、メトリックが 100 のルー
トよりも前に使用されます。範囲は 1 ~ 65535 です。
デフォルトのメトリックはありません。
7.
必要に応じて、[DHCP クライアント ランタイム情報の
表示 ] をクリックし、クライアントが DHCP サーバー
から継承したすべての設定を確認します。
[OK] をクリックし、変更を [ コミット ] します。
これで、Ethernet インターフェイスの [Ethernet] タブにあ
る [IP アドレス ] フィールドに [ ダイナミック - DHCP クラ
イアント ] と表示されます。
ネットワークへの統合
673
ネットワーク
DHCP
DHCP クライアントとしてインターフェイスを設定する(続き)
ステップ 3
(任 意)フ ァ イ ア ウ ォ ー ル の 1.
どのインターフェイスが DHCP
クライアントとして設定され
ているのかを確認します。
[Network] > [ インターフェイス ] > [Ethernet] の順に
選択し、[IP アドレス ] フィールドを調べて、どのイン
ターフェイスが DHCP クライアントとして表示されて
いるのかを確認します。
2.
[Network] > [ インターフェイス ] > [VLAN] の順に選択
し、[IP アドレス ] フィールドを調べて、どのインター
フェイスが DHCP クライアントとして表示されている
のかを確認します。
DHCP リレー エージェントとしてインターフェイスを設定する
DHCP リレー エージェントとしてファイアウォール インターフェイスを設定する前に、レイ
ヤー 3 Ethernet またはレイヤー 3 VLAN インターフェイスが設定されていることと、インター
フェイスが仮想ルーターおよびゾーンに割り当てられていることを確認します。そのインター
フェイスでクライアントとサーバー間の DHCP メッセージを渡すことができるようにします。
インターフェイスでは、最大 4 個の外部 DHCP サーバーにメッセージを転送できます。クライ
アントの DHCPDISCOVER メッセージは、設定されたすべてのサーバーに送信され、最初に応
答したサーバーの DHCPOFFER メッセージは、要求したクライアントにリレーされます。
DHCP リレー エージェントとして機能するようにファイアウォールのインターフェイスを設定
するには、以下のタスクを実行します。
DHCP リレー エージェントとしてインターフェイスを設定する
[Network] > [DHCP] > [DHCP リレー] の順に選択します。
ステップ 1
DHCP リレーを選択します。
ステップ 2
DHCP リレー エージェントと 1.
通信する各 DHCP サーバーの
IP アドレスを指定します。
[ インターフェイス ] フィールドで、DHCP リレー エー
ジェントにするインターフェイスをドロップダウンか
ら選択します。
2.
[IPv4] または [IPv6] チェック ボックスのいずれかをオ
ンにし、指定する DHCP サーバー アドレスのタイプを
示します。
3.
[IPv4] をオンにした場合、[DHCP サーバー IP アドレス ]
フィールドで、[ 追加 ] をクリックします。DHCP メッ
セージのリレー先およびリレー元の DHCP サーバーの
アドレスを入力します。
4.
[IPv6] をオンにした場合、[DHCP サーバー IPv6 アドレ
ス ] フィールドで、[ 追加 ] をクリックします。DHCP
メッセージのリレー先およびリレー元の DHCP サー
バーのアドレスを入力します。マルチキャスト アドレス
を指定した場合、発信インターフェイスも指定します。
5.
必要に応じて、ステップ 2 ~ 4 を繰り返し、最大 4 個
の DHCP サーバー アドレスを入力します。
ステップ 3
674
設定を保存します。
[OK] をクリックし、変更を [ コミット ] します。
ネットワークへの統合
ネットワーク
DHCP
DHCP のモニターおよびトラブルシューティング
CLI からコマンドを発行して、DHCP サーバーが割り当てた、または DHCP クライアントに割
り当てられた動的なアドレス リースの状態を表示できます。また、タイムアウトして自動的に
リリースされる前にリースをクリアすることもできます。完全なコマンドの構文は、『PAN-OS
Command Line Interface Reference Guide(PAN-OS コマンド ライン インターフェイス リファレンス ガイ
ド)』を参照してください。

DHCP サーバー情報の表示

自動的に有効期限が切れる前のリースのクリア

DHCP クライアント情報の表示

DHCP に関するデバッグ出力の収集
DHCP サーバー情報の表示
DHCP プールの統計情報、サーバーが割り当てた IP アドレス、対応する MAC アドレス、リースの
状態や期間、リースの開始時間を表示するには、以下のコマンドを使用します。アドレスが [ 予約
済みアドレス ] として設定されている場合、state 列には reserved と表示され、duration また
は lease_time は表示されません。リースが [ 無制限 ] として設定されている場合、duration
列には、0 の値が表示されます。
admin@PA-200> show dhcp server
interface: "ethernet1/2"
Allocated IPs: 1, Total number of
ip
mac
192.168.3.11
f0:2f:af:42:70:cf
admin@PA-200>
lease all
IPs in pool: 5. 20.0000% used
state
duration
lease_time
committed 0
Wed Jul 2 08:10:56 2014
DHCP サーバーがクライアントに割り当てたオプションを表示するには、以下のコマンドを使
用します。
admin@PA-200> show dhcp server settings all
Interface
GW
DNS1
DNS2
DNS-Suffix
Inherit source
------------------------------------------------------------------------------------ethernet1/2
192.168.3.1
10.43.2.10
10.44.2.10
ethernet1/3
admin@PA-200>
ネットワークへの統合
675
ネットワーク
DHCP
自動的に有効期限が切れる前のリースのクリア
以下の例は、保留タイマーによって自動的にリリースされる前に、有効期限が切れたインター
フェイス(サーバー)の「DHCP のリース」をリリースする方法を示したものです。これらの
アドレスは、IP プールで再度使用できるようになります。
admin@PA-200> clear dhcp lease interface ethernet1/2 expired-only
以下の例は、特定の IP アドレスのリースをリリースする方法を示したものです。
admin@PA-200> clear dhcp lease interface ethernet1/2 ip 192.168.3.1
以下の例は、特定の MAC アドレスのリースをリリースする方法を示したものです。
admin@PA-200> clear dhcp lease interface ethernet1/2 mac f0:2c:ae:29:71:34
DHCP クライアント情報の表示
ファイアウォールが DHCP クライアントとして機能している場合、ファイアウォールに送信され
た IP アドレスのリースの状態を表示するには、show dhcp client state interface_name
コマンドまたは以下のコマンドを使用します。
admin@PA-200> show dhcp client state all
Interface
State
IP
Gateway
Leased-until
--------------------------------------------------------------------------ethernet1/1
Bound
10.43.14.80
10.43.14.1
70315
admin@PA-200>
DHCP に関するデバッグ出力の収集
DHCP に関するデバッグ出力を収集するには、以下のいずれかのコマンドを使用します。
admin@PA-200> debug dhcpd
admin@PA-200> debug management-server dhcpd
676
ネットワークへの統合
ネットワーク
NAT
NAT
このセクションでは、ネットワーク アドレス変換 (NAT) と、NAT のルールおよび機能の設定方
法について説明します。

NAT の目的

NAT ルールおよびセキュリティ ポリシー

送信元 NAT と宛先 NAT

NAT ルールのキャパシティ

ダイナミック IP およびポート NAT オーバーサブスクリプション

データ プレーンの NAT メモリの統計情報

NAT の設定
NAT の目的
NAT は、Internet Assigned Numbers Authority (IANA) または地域インターネット レジストリによっ
て割り当てられるパブリック IPv4 アドレス(グローバルにルーティングできるアドレス)が不
足している組織の問題を解決するために導入されました。NAT では、ルーティングできないプ
ライベート IPv4 アドレスをグローバルにルーティングできる 1 つ以上の IPv4 アドレスに変換す
るため、組織のルーティング可能な IP アドレスを節約できます。
NAT が誕生してから、その用途は拡張されてきました。たとえば、パブリック アドレスにアク
セスする必要があるホストの実際の IP アドレスを非公開にする方法として NAT が使用されま
す。また、ポート フォワーディングを実行してトラフィックを管理する場合にも使用されま
す。『NAT64』オプションでは、IPv6 - IPv4 間で変換を行うことで、異なるアドレッシングス
キームを使用しているネットワーク間で、相互接続を可能にし、IPv6 アドレス体系への移行パ
スを提供します。
内部ネットワークでプライベート IP アドレスを使用する場合、プライベート アドレスを外部
ネットワークにルーティングできるパブリック アドレスに変換するために、NAT を使用する必
要があります。PAN-OS では、変換が必要なパケット アドレスおよび変換後アドレスについて
ファイアウォールに指示する NAT ポリシー ルールを作成します。
ネットワークへの統合
677
NAT
ネットワーク
NAT ルールおよびセキュリティ ポリシー
少なくとも、パケットの送信元ゾーンと宛先ゾーンを照合する NAT ルールを設定します。ゾー
ンの他に、パケットの宛先インターフェイス、送信元アドレス、宛先アドレス、およびサービ
スに基づいて、照合基準を設定できます。複数の NAT ルールを設定できます。ファイアウォー
ルは、上から下にルールを評価します。パケットが 1 つの NAT ルールの基準に一致すると、そ
のパケットにはその他の NAT ルールは適用されません。そのため、NAT ルールのリストは、
最も具体的なルールから最も一般的なルールの順序になっている必要があります。こうするこ
とで、作成した中で最も具体的なルールがパケットに適用されます。
ファイアウォールで NAT ルールおよびセキュリティ ポリシーを適用する場合、定義したゾー
ンに応じて必要なルールを決定できるように、ファイアウォールのフロー ロジックを理解する
ことが重要です。
ファイアウォールは、入力時にパケットを調査して、ルート検索を行い、出力インターフェイ
スおよびゾーンを決定します。その後、ファイアウォールは、送信元ゾーンや宛先ゾーンに基
づいて、そのパケットが定義済みの NAT ルールのいずれかと一致するかどうかを検査します。
次に、NAT 後のゾーンではなく、元の(NAT 前の)送信元アドレスと宛先アドレスに基づい
て、パケットと一致するセキュリティ ポリシーを評価および適用します。最後に、ファイア
ウォールは、一致する NAT ルールで出力時に送信元アドレスや宛先アドレスおよびポート番号
を変換します。
IP アドレスおよびポートの変換は、パケットがファイアウォールから送信されるまで行われま
せん。NAT ルールおよびセキュリティ ポリシーは、元の IP アドレス(NAT 前の IP アドレス)
に適用されます。NAT ルールは、NAT 前の IP アドレスに関連付けられたゾーンに基づいて設
定されます。
セキュリティ ポリシーは、NAT 後のゾーンを調査して、パケットを許可するかどうかを決定す
るため、NAT ルールとは異なります。NAT の本質は、送信元 IP アドレスまたは宛先 IP アドレ
スを変更することにあります。そのため、パケットの発信インターフェイスおよびゾーンが変
更される可能性があるので、セキュリティ ポリシーは NAT 後のゾーンに適用されます。
アドレス オブジェクトとして識別されるアドレス プール
通常、NAT IP アドレス プールを設定する場合、アドレス オブジェクトとして識別されます。
これは、ホスト IP アドレス、IP アドレス範囲、または IP サブネットになります。アドレス オ
ブジェクトは、NAT ルールとセキュリティ ポリシーの両方で使用されるため、NAT で使用さ
れるアドレス オブジェクトの名前に「NAT-name」などのプレフィックスを付けて、これらを区
別することをお勧めします。
678
ネットワークへの統合
ネットワーク
NAT
送信元 NAT と宛先 NAT
ファイアウォールでは、送信元アドレスとポートの変換、宛先アドレスとポートの変換のどち
らにも対応します。さまざまなタイプの NAT ルールの詳細は、『Understanding and Configuring
NAT Tech Note』を参照してください。
送信元 NAT
通常、送信元 NAT は内部ユーザーがインターネットに接続するために使用します。送信元アドレ
スは変換されるため、非公開にしておくことができます。送信元 NAT のタイプは 3 つあります。

ダイナミック IP およびポート (DIPP) — 複数のホストの送信元 IP アドレスを同じパブリッ
ク IP アドレス(ポート番号は異なる)に変換できます。[ 変換後アドレス ] プール(IP アド
レス、アドレスの範囲、サブネット、またはこれらの組み合わせ)として設定した NAT ア
ドレス プールの次に使用可能なアドレスに動的に変換されます。
DIPP では、NAT アドレス プールの次のアドレスの代わりに [ インターフェイス ] 自体のア
ドレスを指定できます。NAT ルールでインターフェイスを指定することの利点は、インター
フェイスで後で取得されるアドレスを使用するように NAT ルールが自動的に更新されるこ
とです。
DIPP には、デフォルトの NAT オーバーサブスクリプション率があります。これは、同じ変
換後 IP アドレスとポートのペアを同時に使用できる回数です。詳細は、「ダイナミック IP
およびポート NAT オーバーサブスクリプション」および「DIPP NAT のオーバーサブスクリ
プション率の変更」を参照してください。

ダイナミック IP — 送信元 IP アドレスのみ(ポート番号なし)を NAT アドレス プールの次
に使用可能なアドレスに 1 対 1 で動的に変換できます。デフォルトでは、送信元アドレス
プールが NAT アドレス プールよりも大きく、最終的にすべての NAT アドレスが割り当てら
れると、アドレス変換を必要とする新しい接続はドロップされます。デフォルトの動作を変
更するには、[詳細(ダイナミック IP ポートのフォールバック)] をクリックします。これに
より、必要に応じて DIPP アドレスが使用されます。セッションが停止するか、プールのア
ドレスが使用可能になると、新しい接続を変換するためにアドレスを割り当てることができ
ます。

スタティック IP — 送信元 IP アドレスを 1 対 1 で静的に変換できます。ただし、送信元ポー
トはそのまま変わりません。スタティック IP 変換の一般的なシナリオは、インターネット
で使用可能にする必要がある内部サーバーです。
ネットワークへの統合
679
ネットワーク
NAT
宛先 NAT
宛先 NAT は、ファイアウォールがパブリック宛先アドレスをプライベート アドレスに変換す
るときに着信パケットで実行されます。宛先 NAT では、アドレス プールやアドレス範囲は使
用されません。これは、ポート フォワーディングやポート変換を実行できる 1 対 1 の静的な変
換です。

スタティック IP — 宛先 IP アドレスと必要に応じてポート番号を 1 対 1 で静的に変換できます。
宛先 NAT の一般的な用途の 1 つは、いくつかの NAT ルールを設定し、単一のパブリック宛先
アドレスを、サーバーまたはサービスに割り当てられているいくつかのプライベート宛先アド
レスにマッピングすることです。例 :
–
ポート フォワーディング — パブリック宛先アドレスとポート番号をプライベート宛先ア
ドレスに変換できます。ただし、ポート番号はそのまま変わりません。
–
ポート変換 — パブリック宛先アドレスとポート番号をプライベート宛先アドレスと別の
ポート番号に変換できます。したがって、実際のポート番号を非公開にしておくことが
できます。これを設定するには、NAT ポリシー ルールの [ 変換済みパケット ] タブで、
[ 変換済みポート ] を入力します。
NAT ルールのキャパシティ
許可される NAT ルールの数は、ファイアウォール プラットフォームに基づいています。個々
のルールの制限は、スタティック、ダイナミック IP (DIP)、ダイナミック IP およびポート
(DIPP) NAT で設定されます。これらの NAT タイプで使用されるルールの合計数は、NAT ルー
ルの合計キャパシティを超えることはできません。DIPP の場合、ルールの制限は、デバイスの
オーバーサブスクリプション設定(8、4、2、1)と、ルールごとに 1 つの変換後 IP アドレスと
いう前提に基づいています。プラットフォーム固有の NAT ルールの制限および変換後 IP アド
レスの制限を確認するには、『Compare Firewalls』(英語)ツールを使用します。
NAT ルールを処理する場合、以下の事項を考慮します。

プールのリソースがなくなった場合、プラットフォームの最大ルール数に達していなくて
も、それ以上 NAT ルールを作成することはできません。

NAT ルールを統合すると、ログとレポートも統合されます。統計情報は、ルール内のすべて
のアドレスごとではなく、ルールごとに提供されます。詳細なログおよびレポートが必要な
場合は、ルールを統合しないでください。
680
ネットワークへの統合
ネットワーク
NAT
ダイナミック IP およびポート NAT オーバーサブスクリプション
ダイナミック IP およびポート (DIPP) NAT では、変換後 IP アドレスとポートの各ペアを同時
セッションで複数回(8、4、2)使用できます。この IP アドレスおよびポートの再利用可能性
(オーバーサブスクリプションと呼ばれる)により、パブリック IP アドレスが少なすぎる顧客
に拡張性を提供できます。この設計は、異なる宛先にホストが接続されていて、セッションを
一意に識別でき、競合がほとんど発生しないという前提に基づいています。実際には、オー
バーサブスクリプション率でアドレス / ポート プールの元のサイズを乗算して、8、4、2 倍のサ
イズにします。たとえば、許可される同時セッション数のデフォルトの制限が 64,000 の場合、
オーバーサブスクリプション率 8 で乗算すると、許可される同時セッション数は 512,000 になり
ます。
許可されるオーバーサブスクリプション率は、プラットフォームによって異なります。オー
バーサブスクリプション率は、グローバルにデバイスに適用されます。このオーバーサブスク
リプション率は、デフォルトで設定されていて、オーバーサブスクリプションが必要ないほど
十分なパブリック IP アドレスがあってもメモリを消費します。オーバーサブスクリプション率
をデフォルト設定からより低い設定または 1(オーバーサブスクリプションなし)に減らすこ
とができます。オーバーサブスクリプション率を減らすと、送信元デバイスの変換可能数は減
少しますが、DIP および DIPP NAT ルール キャパシティは増加します。デフォルトのオーバー
サブスクリプション率を変更する方法については、「DIPP NAT のオーバーサブスクリプショ
ン率の変更」を参照してください。
[ プラットフォームのデフォルト ] を選択すると、オーバーサブスクリプションの明示的な設定
はオフになり、以下の表に示すように、プラットフォームのデフォルトのオーバーサブスクリ
プション率が適用されます。[ プラットフォームのデフォルト ] 設定では、ソフトウェア リリー
スのアップグレードまたはダウングレードを行うことができます。
以下の表に、各プラットフォームのデフォルト(最高)のオーバーサブスクリプション率を示
します。
プラットフォーム
デフォルトのオーバーサブスクリプ
ション率
PA-200
2
PA-500
2
PA-2020
2
PA-2050
2
PA-3020
2
PA-3050
2
PA-3060
2
PA-4020
4
PA-4050
8
PA-4060
8
ネットワークへの統合
681
ネットワーク
NAT
プラットフォーム
デフォルトのオーバーサブスクリプ
ション率
PA-5020
4
PA-5050
8
PA-5060
8
PA-7050
8
VM-100
1
VM-200
1
VM-300
2
VM-1000-HV
2
ファイアウォールでは、NAT ルールごとに最大 256 個の変換後 IP アドレスがサポートされてい
ます。また、各プラットフォームでは、(統合されたすべての NAT ルールの)変換後 IP アド
レスの最大数がサポートされています。オーバーサブスクリプションが原因で、ルールごとの
変換後 IP アドレスの最大数 (256) を超える場合、ファイアウォールは、コミットが成功するよ
うに自動的にオーバーサブスクリプション率を下げます。ただし、NAT ルールによる変換で、
プラットフォームの変換後アドレスの最大数を超える場合、コミットは失敗します。
データ プレーンの NAT メモリの統計情報
show running global-ippool コマンドを実行すると、プールの NAT メモリ消費量に関す
る統計情報が表示されます。Size 列には、リソース プールで使用しているメモリのバイト数が
表示されます。Ratio 列には、オーバーサブスクリプション率が表示されます(DIPP プールの
み)。プールおよびメモリの統計情報の行については、以下のサンプル出力で説明します。
682
ネットワークへの統合
ネットワーク
NAT
仮想システムの NAT プールの統計情報の場合、show running ippool コマンドの列には、
使用されている NAT ルールごとのメモリ サイズとオーバーサブスクリプション率(DIPP ルー
ルの場合)が表示されます。以下は、このコマンドのサンプル出力です。
show running nat-rule-ippool rule コマンドの出力のフィールドには、使用されている
NAT ルールごとのメモリ(バイト)が表示されます。以下は、このコマンドのサンプル出力で
す(囲まれた部分がルールのメモリ使用量です)。
ネットワークへの統合
683
ネットワーク
NAT
NAT の設定
NAT のさまざまな機能を設定するには、以下の手順を実行します。

内部クライアントの IP アドレスからパブリック IP アドレスへの変換

内部ネットワークのクライアントからパブリック サーバーへのアクセスを有効にする

パブリックフェイシング サーバーの双方向アドレス変換を有効にする

DIPP NAT のオーバーサブスクリプション率の変更

特定のホストまたはインターフェイスの NAT の無効化
このセクションの NAT の例は、以下のトポロジに基づいています。このトポロジは、インター
フェイスおよびゾーンをセットアップするために「スタート ガイド」でも使用しました。
最初に「スタート ガイド」でインターフェイスおよびゾーンの作成に使用したサンプル トポロ
ジを元に、以下の 3 つの NAT ポリシーを作成する必要があります。
684
ネットワークへの統合
ネットワーク
NAT

内部ネットワークのクライアントからインターネット上のリソースにアクセスできるように
するには、内部アドレス 192.168.1.0 をルーティング可能なパブリック アドレスに変換する必
要があります。この場合、出力インターフェイス アドレス 203.0.113.100 を使用して、内部
ゾーンからファイアウォールを通過するすべてのパケットの送信元アドレスとして、送信元
NAT を設定します。方法については、「内部クライアントの IP アドレスからパブリック IP
アドレスへの変換」を参照してください。

内部ネットワークのクライアントから DMZ ゾーンのパブリック Web サーバーにアクセスで
きるようにするには、外部ネットワークからのパケットをリダイレクトする NAT ルールを
設定する必要があります。この場合、元のルーティング テーブルを検索することにより、パ
ケット内の宛先アドレス 203.0.113.11 に基づき、DMZ ネットワーク上の Web サーバーが持つ
実際のアドレス 10.1.1.11 に移動する必要があると判断します。このような変換を行うには、
宛先アドレスを DMZ ゾーンのアドレスに変換するための、Trust ゾーン(パケットの送信元
アドレスが存在する場所)から Untrust ゾーン(元の宛先アドレスが存在する場所)への
NAT ルールを作成する必要があります。このタイプの宛先 NAT を「U ターン NAT」といい
ます。方法については、「内部ネットワークのクライアントからパブリック サーバーへのア
クセスを有効にする」を参照してください。

DMZ ネットワークのプライベート IP アドレスと、外部ユーザーがアクセスするパブリック
フェイシング アドレスの両方を持つ Web サーバーで、要求を送受信できるようにするに
は、ファイアウォールでパブリック IP アドレスからプライベート IP アドレスに着信するパ
ケットを、プライベート IP アドレスからパブリック IP アドレスに発信するパケットに変換
する必要があります。ファイアウォールで双方向の静的な送信元 NAT のポリシーを 1 つ作
成すれば、このような変換を実現できます。「パブリックフェイシング サーバーの双方向ア
ドレス変換を有効にする」を参照してください。
ネットワークへの統合
685
ネットワーク
NAT
内部クライアントの IP アドレスからパブリック IP アドレスへの変換
内部ネットワークのクライアントから要求を送信する場合、パケットの送信元アドレスにその
内部ネットワーク クライアントの IP アドレスが含まれます。プライベート IP アドレスの範囲
を内部で使用している場合、ネットワークから発信されるパケットの送信元 IP アドレスをルー
ティング可能なパブリック アドレスに変換しない限り、クライアントのパケットをインター
ネットにルーティングできません。
送信元アドレスと送信元ポート(任意)とをパブリック アドレスに変換する送信元 NAT のポ
リシーをファイアウォールで設定すれば、このような変換を実現できます。その方法の 1 つと
して、以下の手順に示すように、すべてのパケットの送信元アドレスをファイアウォールの出
力インターフェイスに変換する方法があります。
送信元 NAT の設定
ステップ 1
使用する外部 IP アドレスのオ 1.
ブジェクトを作成します。
[Objects] > [アドレス] の順に選択して [追加] をクリッ
クします。
2.
[ 名前 ] フィールドに名前を入力し、必要に応じて [ 内
容 ] フィールドにオブジェクトの説明を入力します。
3.
[ タイプ ] ドロップダウンから [IP ネットマスク ] を選
択し、ファイアウォールの外部インターフェイスの IP
アドレス(この例では 203.0.113.100)を入力します。
4.
アドレス オブジェクトを保存するには、[OK] をクリッ
クします。
ポリシーでアドレス オブジェクトを使用する必要が
ない場合でも、アドレス オブジェクトを作成してお
けば、アドレスの参照基準となるポリシーを個別で
はなく一括で更新できるなど、管理者の負担が軽減
されるため、作成しておくのがベスト プラクティス
です。
686
ネットワークへの統合
ネットワーク
NAT
送信元 NAT の設定(続き)
ステップ 2
ステップ 3
NAT ポリシーを作成します。
設定を保存します。
ネットワークへの統合
1.
[Policies] > [NAT] の順に選択して [ 追加 ] をクリック
します。
2.
[ 全般 ] タブの [ 名前 ] にポリシーの分かりやすい名前
を入力します。
3.
[ 元のパケット ] タブの [ 送信元ゾーン ] セクションで
内部ネットワーク用に作成したゾーンを、[ 宛先ゾーン ]
ドロップダウンで外部ネットワーク用に作成したゾー
ンを、それぞれ選択します([追加] をクリックしてゾー
ンを選択します)。
4.
[ 変換済みパケット ] タブの [ 送信元アドレスの変換 ]
セクションで、[ 変換タイプ ] ドロップダウン リストか
ら [ ダイナミック IP およびポート ] を選択し、[ 追加 ]
をクリックします。
5.
作成したアドレス オブジェクトを選択します。
6.
[OK] をクリックして NAT ポリシーを保存します。
[ コミット ] をクリックします。
687
ネットワーク
NAT
内部ネットワークのクライアントからパブリック サーバーへのアクセスを有効にする
内部ネットワークのユーザーが、DMZ にある企業 Web サーバーへのアクセス要求を送信する
場合、DNS サーバーがパブリック IP アドレスを解決します。要求を処理する際に、ファイア
ウォールではパケットの元の宛先(パブリック IP アドレス)を使用して、Untrust ゾーンの出力
インターフェイスにパケットをルーティングします。Trust ゾーンのユーザーから要求を受信し
たときに、ファイアウォールで Web サーバーのパブリック IP アドレスを DMZ ネットワークの
アドレスに変換する必要があると判断するには、次のように、ファイアウォールから DMZ
ゾーンの出力インターフェイスに要求を送信できるようにするための、宛先 NAT のルールを作
成する必要があります。
U ターン NAT の設定
ステップ 1
688
Web サーバーのアドレス オブ 1.
ジェクトを作成します。
[Objects] > [アドレス] の順に選択して [追加] をクリッ
クします。
2.
[ 名前 ] フィールドに名前を入力し、必要に応じて [ 内
容 ] フィールドにオブジェクトの説明を入力します。
3.
[ タイプ ] ドロップダウンから [IP ネットマスク ] を選
択し、Web サーバーのパブリック IP アドレス(この例
では 203.0.113.11)を入力します。
4.
[OK] をクリックします。
ネットワークへの統合
ネットワーク
NAT
U ターン NAT の設定(続き)
ステップ 2
ステップ 3
NAT ポリシーを作成します。
設定を保存します。
ネットワークへの統合
1.
[Policies] > [NAT] の順に選択して [ 追加 ] をクリック
します。
2.
[ 全般 ] タブの [ 名前 ] に NAT ルールの分かりやすい名
前を入力します。
3.
[ 元のパケット ] タブの [ 送信元ゾーン ] セクションで
内部ネットワーク用に作成したゾーンを、[ 宛先ゾーン ]
ドロップダウンで外部ネットワーク用に作成したゾー
ンを、それぞれ選択します([追加] をクリックしてゾー
ンを選択します)。
4.
[ 宛先アドレス ] セクションで [ 追加 ] をクリックし、
パブリック Web サーバー用に作成したアドレス オブ
ジェクトを選択します。
5.
[変換済みパケット] タブで [宛先アドレスの変換] チェッ
クボックスをオンにしてから、DMZ ネットワーク上の
Web サーバー インターフェイスに割り当てられた IP ア
ドレス(この例では 10.1.1.11)を入力します。
6.
[OK] をクリックして NAT ポリシーを保存します。
[ コミット ] をクリックします。
689
ネットワーク
NAT
パブリックフェイシング サーバーの双方向アドレス変換を有効にする
パブリックフェイシング サーバーで、そのサーバーが実際に存在するネットワーク セグメント
のプライベート IP アドレスが割り当てられている場合、出力時にサーバーの送信元アドレスを
外部アドレスに変換する送信元 NAT のルールが必要となります。内部の送信元アドレス
10.1.1.11 を外部 Web サーバーのアドレス(この例では 203.0.113.11)に変換する静的 NAT ルール
を作成します。
ただし、パブリックフェイシング サーバーはパケットを送受信できる必要があります。パブ
リック アドレス(インターネット ユーザーからの着信パケットの宛先 IP アドレス)をプライ
ベート アドレスに変換し、ファイアウォールから DMZ ネットワークへパケットをルーティン
グできるようにするための、相互ポリシーが必要となります。以下の手順に示すとおり、双方
向の静的 NAT ルールを作成します。
双方向 NAT の設定
ステップ 1
Web サーバーの内部 IP アドレス 1.
のオブジェクトを作成します。
[Objects] > [アドレス] の順に選択して [追加] をクリッ
クします。
2.
[ 名前 ] フィールドに名前を入力し、必要に応じて [ 内
容 ] フィールドにオブジェクトの説明を入力します。
3.
[ タイプ ] ドロップダウンから [IP ネットマスク ] を選
択し、DMZ ネットワークの Web サーバーの IP アドレ
ス(この例では 10.1.1.11)を入力します。
4.
[OK] をクリックします。
Web サーバーのパブリック アドレスに対するア
ドレス オブジェクトを作成していない場合は、
そのオブジェクトも今すぐ作成する必要があり
ます。
690
ネットワークへの統合
ネットワーク
NAT
双方向 NAT の設定(続き)
ステップ 2
ステップ 3
NAT ポリシーを作成します。
設定を保存します。
ネットワークへの統合
1.
[Policies] > [NAT] の順に選択して [ 追加 ] をクリック
します。
2.
[ 全般 ] タブの [ 名前 ] に NAT ルールの分かりやすい名
前を入力します。
3.
[ 元のパケット ] タブの [ 送信元ゾーン ] セクションで
DMZ 用に作成したゾーンを、[ 宛先ゾーン ] ドロップ
ダウンで外部ネットワーク用に作成したゾーンを、そ
れぞれ選択します([ 追加 ] をクリックしてゾーンを選
択します)。
4.
[送信元アドレス] セクションで [追加] をクリックし、
内部 Web サーバーのアドレス用に作成したアドレス オ
ブジェクトを選択します。
5.
[ 変換済みパケット ] タブの [ 送信元アドレスの変換 ]
セクションで、[ 変換タイプ ] ドロップダウンから [ ス
タティック IP] を選択し、[ 変換後アドレス ] ドロップ
ダウンから、外部 Web サーバーのアドレス用に作成し
たアドレス オブジェクトを選択します。
6.
[ 双方向 ] フィールドで [ はい ] を選択します。
7.
[OK] をクリックして NAT ポリシーを保存します。
[ コミット ] をクリックします。
691
ネットワーク
NAT
DIPP NAT のオーバーサブスクリプション率の変更
DIPP NAT のオーバーサブスクリプションを使用する必要のない十分なパブリック IP アドレス
がある場合、オーバーサブスクリプション率を減らして、許可される DIP および DIPP NAT
ルールを増やすことができます。
NAT オーバーサブスクリプションの設定
ステップ 1
DIPP NAT オーバーサブスクリ 1.
プション率を表示します。
[Device] > [ セットアップ ] > [ セッション ] > [ セッショ
ン設定 ] の順に選択します。[NAT オーバーサブスクリ
プション率 ] 設定を表示します。
ステップ 2
DIPP NAT オーバーサブスクリ 1.
プション率を設定します。
[ セッション設定 ] セクションの編集アイコンをクリッ
クします。
2.
[NAT オーバーサブスクリプション率 ] ドロップダウン
で、目的のオーバーサブスクリプション率に応じて、
[1x]、[2x]、[4x]、または [8x] を選択します。
[ プラットフォームのデフォルト ] 設定がプラット
フォームのデフォルトのオーバーサブスクリプ
ション設定に適用されます。オーバーサブスクリ
プションが不要な場合は、[1x] を選択します。
3.
[OK] をクリックし、変更を [ コミット ] します。
特定のホストまたはインターフェイスの NAT の無効化
サブネットの特定のホスト、または特定のインターフェイスから送信されるトラフィックで
NAT が実行されないようにする例外を設定できます。このような場合に変換を無効にする送信
元 NAT および宛先 NAT ルールを設定できます。以下の手順は、ホストの送信元 NAT を無効に
する方法を示しています。
692
ネットワークへの統合
ネットワーク
NAT
適用除外の送信元 NAT の作成
ステップ 1
ステップ 2
NAT ポリシーを作成します。
設定を保存します。
ネットワークへの統合
1.
[Policies] > [NAT] の順に選択して [ 追加 ] をクリックし
ます。
2.
[ 名前 ] フィールドに分かりやすいポリシー名を入力し
ます。
3.
[ 元のパケット ] タブの [ 送信元ゾーン ] セクションで
内部ネットワーク用に作成したゾーンを、[ 宛先ゾーン ]
ドロップダウンで外部ネットワーク用に作成したゾー
ンを、それぞれ選択します([追加] をクリックしてゾー
ンを選択します)。
4.
[ 送信元アドレス ] で、[ 追加 ] をクリックして、ホス
トのアドレスを入力します。[OK] をクリックします。
5.
[ 変換済みパケット ] タブで、画面の [ 送信元アドレス
の変換 ] セクションの [ 変換タイプ ] ドロップダウンか
ら [ なし ] を選択します。
6.
[OK] をクリックして NAT ポリシーを保存します。
[ コミット ] をクリックします。
693
LACP
ネットワーク
LACP
これで、ファイアウォールは、Link Aggregation Control Protocol (LACP) を使用して、ファイア
ウォール自体と接続デバイス(ピア)間の物理インターフェイスを検出し、単一の仮想イン
ターフェイス(集約グループ)としてこれらのインターフェイスを管理できます。集約グルー
プを使用すると、ピア間の帯域幅が増えます。LACP を有効にすると、グループ内の冗長性を
確保できます。このプロトコルは、インターフェイスの障害を自動的に検出し、スタンバイ イ
ンターフェイスへのフェイルオーバーを実行します。LACP を使用しないと、物理層より上ま
たは直接接続されていないピア間で発生したインターフェイスの障害を手動で特定する必要が
あります。
LACP をサポートしている Palo Alto Networks ファイアウォールは、PA-500、PA-3000 シリーズ、
PA-4000 シリーズ、PA-5000 シリーズ、および PA-7050 です。これらのファイアウォールでは、
HA3(PA-500、PA-3000 シリーズ、PA-4000 シリーズ、PA-5000 シリーズのみ)、レイヤー 2、レ
イヤー 3 インターフェイスの LACP がサポートされています。
以下のトピックでは、LACP について、また集約グループ用に設定する方法について説明し
ます。

LACP 設定

LACP の設定
LACP 設定
LACP を実装するには、このプロトコルを使用する LACP ピアごとに集約グループを設定する必
要があります。「LACP の設定」を実行する前に、以下のトピックで説明されているように、
各ピアに最適な設定を判断します。

モード

トランスミッション率

高速フェールオーバー

ポート優先順位およびシステム優先度
モード
LACP アクティブ モードでは、デバイスがアクティブにネットワークでピアを検索し、それら
の状態(使用可能または応答なし)をクエリします。パッシブ モードでは、デバイスはアク
ティブ ピアからのクエリに応答するだけです。2 つのピア間では、一方をアクティブ、もう一
方をパッシブにすることをお勧めします。両方ともパッシブの場合は LACP が機能しません。
694
ネットワークへの統合
ネットワーク
LACP
トランスミッション率
短い間隔(毎秒)または長い間隔(30 秒)でピアおよび個々のインターフェイスの状態(使用
可能または応答なし)を検出するようにデバイスを設定できます。デバイスは、トランスミッ
ション率の 3 倍(3 秒または 90 秒)の期間内にピアから LACP の更新を受信しないと、応答な
しのフラグをピアに設定します。そのため、ネットワークを処理する LACP のサポート範囲
や、デバイスでインターフェイスの障害を検出して解決する速度に応じて、トランスミッショ
ン率を設定します。
たとえば、ピアに多数の冗長性リンクがあるネットワークの場合、1 つのインターフェイスに
障害が発生してもトラフィックは中断されません。この場合、それほど早く障害を検出する必
要はないので、迅速な対応に伴う追加の処理を行わずに済みます。追加の処理に対応でき、高
可用性を必要とするネットワークの場合(重要なビジネス上の処理に対応するデータセンター
など)、高いトランスミッション率により、ファイアウォールは障害の発生したインターフェ
イスをすばやく置き換えることができます。
各デバイスのトランスミッション率が異なる場合、そのピアのトランスミッション率が使用さ
れます。
高速フェールオーバー
インターフェイスがダウンすると、スタンバイ インターフェイスにフェイルオーバーします。
LACP を定義している IEEE 802.1ax 標準では、3 秒以上かかるフェイルオーバー プロセスが規定
されています。迅速なフェイルオーバーが必要なネットワークのために、ファイアウォールに
は、1 秒以内に高速フェイルオーバーを実行するオプションが用意されています。このオプ
ションは、標準的なフェイルオーバー間隔では重要なデータが失われる可能性のあるデプロイ
メントの場合に推奨されます。たとえば、ピア間のトラフィック量が、アクティブなインター
フェイスで対応できる最大トラフィック量に近い場合、1 つのインターフェイスに障害が発生
すると、スタンバイ インターフェイスがアクティブになっている間にデータが失われる可能性
があります。高速フェイルオーバーでは、標準フェイルオーバーよりもこのリスクを大幅に低
減できます。
インターフェイスがダウンすると、両方のピアでフェイルオーバーが実行されるため、同じ期
間内でプロセスが完了するように両方のピアで高速フェイルオーバーを設定することをお勧め
します。
ネットワークへの統合
695
ネットワーク
LACP
ポート優先順位およびシステム優先度
集約グループを設定する場合、[ 最大ポート ] パラメータにより、任意の時点でアクティブにで
きるインターフェイス数が決定します。グループに割り当てるインターフェイス数が [ 最大
ポート ] を超えると、残りのインターフェイスはスタンバイ モードになります。アクティブな
インターフェイスに障害が発生すると、スタンバイ インターフェイスがアクティブになりま
す。LACP は、各インターフェイスに割り当てられた [LACP ポート優先順位 ] を使用して、最初
にアクティブになるインターフェイスと、フェイルオーバー時にスタンバイ インターフェイス
がアクティブになる順序を決定します(ポート優先順位は、集約グループを設定するときでは
なく、個々のインターフェイスを設定するときに設定します)。
集約グループの各インターフェイスに一意の優先順位番号を割り当てることをお勧めします。
ただし、複数のインターフェイスに同じ優先順位番号が割り当てられている場合、最も小さい
ポート番号のインターフェイスの優先順位が最も高くなります。
2 つのピア間の LACP を有効にするには、それぞれに集約グループの設定が必要です。メンバー
インターフェイスのポート優先順位の値が各ピアで異なる場合、アクティブ インターフェイス
およびスタンバイ インターフェイスを決定するときに、[ システム優先度 ] の高いピアの値がも
う一方のピアよりも優先されます。
ポート優先順位とシステム優先度の場合、優先順位レベルがその数値の逆になります。優先順
位が 1 の場合、優先順位レベルが最も高くなり、値が 65535 の場合、優先順位レベルが最も低
くなります。デフォルトは 32768 です。
以下の図は、ファイアウォールおよびスイッチに設定された集約グループ インスタンスを示し
ています。グループには 4 つのインターフェイスがあり、[ 最大ポート ] パラメータは 3 に設定
されています。つまり、3 つのインターフェイスはアクティブになり、1 つのインターフェイス
がスタンバイになります。ファイアウォール管理者は、ポート優先順位 12、64、128、および
258 を各インターフェイスに割り当てました。スイッチ管理者は、ポート優先順位 22、54、
158、および 228 を各インターフェイスに割り当てました。ファイアウォールの [ システム優先
度 ] がスイッチのシステム優先度よりも高いため、LACP はファイアウォール インスタンスの
ポート優先順位を使用します。
696
ネットワークへの統合
ネットワーク
LACP
図 : LACP システム優先度
一意のシステム優先度を各ピアに割り当てることをお勧めします。ただし、ピアに同じ値が割
り当てられる場合もあります。これは、異なる管理者が各ピアの集約グループを設定した場合
に発生することがあります。このような場合、ポート優先順位に関して、システム ID の数値が
小さいピアがもう一方のピアよりも優先されます。LACP は、システム優先度およびシステム
の MAC アドレスから自動的にシステム ID を導出します。MAC アドレスの数値が小さいと、生
成されるシステム ID の数値も小さくなります。
以下の図は、「図 : LACP システム優先度」と同じピアを示していますが、同じシステム優先度
が設定されています。この場合、LACP はシステム ID を使用して、ポート優先順位を決定する
ため、ファイアウォールよりもスイッチが優先されます。
図 : LACP システム ID
ネットワークへの統合
697
ネットワーク
LACP
高可用性 (HA) ペアのファイアウォールに、システムと同一の優先度の値が設定されます。ただ
し、アクティブ / パッシブ デプロイメントでは、同一の MAC アドレスを割り当てるかどうかに
より、それぞれのシステム ID が同じこともあれば、異なることもあります。(アクティブ /
パッシブ デプロイメントのファイアウォールは、PAN-OS が自動的に割り当てられるように一
意の MAC アドレスが必要です)。LACP ピア(この場合も HA モード)が仮想化されている場
合は(ネットワークに 1 つのデバイスとして表示される)、ファイアウォールの [ アクティブ /
パッシブ HA に同じシステム MAC アドレスを使用する ] オプションを選択すると、フェイル
オーバー時の遅延が最小限に抑えられます。LACP ピアが仮想化されていない場合は、ファイ
アウォールごとに一意の MAC アドレスすると、フェイルオーバーの遅延が最小限に抑えられま
す。後者の場合、HA ファイアウォール ペアと LACP ピア デバイスのシステム優先度がすべて
同じでも、HA ペアの各ファイアウォールに一意のシステム ID があると、一方のファイア
ウォールのシステム ID が LACP ピアよりも小さくなり、もう一方のファイアウォールのシステ
ム ID が LACP ピアよりも大きくなる可能性があります。この場合は、ファイアウォールでフェ
イルオーバーが発生したときに、LACP ピアとアクティブになるファイアウォール間のポート
優先順位が切り替わります。
LACP の設定
この手順を開始する前に、以下の作業を行います。

LACP ピアに接続する物理インターフェイスを決定します。この手順では、配線が完了して
いることを前提としています。

ピアの最適な「LACP 設定」を決定します。
この手順では、Palo Alto Networks ファイアウォールの LACP ピアの設定手順についてのみ説
明します。その他のデバイスには、専用の LACP 設定方法があります。
ファイアウォールに LACP を設定するには、以下の手順を実行します。高可用性デプロイメン
トの場合、プライマリ(アクティブ / アクティブの場合)またはアクティブ(アクティブ / パッ
シブの場合)ファイアウォールを設定します。セカンダリまたはパッシブ ファイアウォールは
自動的に同期します。
698
ネットワークへの統合
ネットワーク
LACP
LACP の設定
ステップ 1
LACP が有効になっている集約 1.
グループを追加します。
2.
3.
[Network] > [ インターフェイス ] > [Ethernet] の順に
選択し、[ 集約グループの追加 ] をクリックします。
読み取り専用の [インターフェイス名] に隣接したフィー
ルドで、グループを識別する数値 (1 ~ 8) を入力します。
[ インターフェイス タイプ ] で、[HA]、[ レイヤー 2]、
または [ レイヤー 3] を選択します。
[HA] は、インターフェイスがアクティブ / アク
ティブ デプロイメントの 2 つのファイアウォール
間の HA3 リンクである場合にのみ選択します。
[LACP] タブで、[LACP を有効化 ] を選択します。
LACP の [ モード ] で、ファイアウォールが [ パッシブ ]
(デフォルト)か [ アクティブ ] かを選択します。
6. [ トランスミッション率 ] で、[ 高速 ] または [ 低速 ] を選
択します。
7. 必要に応じて、インターフェイスがダウンしたときの
ために [ 高速フェールオーバー](1 秒以下)を選択しま
す。それ以外の場合は、標準フェイルオーバー(3 秒以
上)が適用されます。
8. [ システム優先度 ] の数値(1 ~ 65535、デフォルトは
32768)を入力します。この数値により、ポート優先
順位に関して、ファイアウォールまたはピアがもう一
方よりも優先されるかどうかが決まります。番号が小
さいほど優先度が高くなります。
9. [ 最大ポート ] で、アクティブとなるインターフェイス
数 (1 ~ 8) を入力します。この値を、グループに割り
当てるインターフェイスの数より大きくすることはで
きません。割り当てられたインターフェイスの数がア
クティブなインターフェイスの数を上回ると、残りの
インターフェイスはスタンバイ モードになります。
10. デフォルトでは、HA ペアの各ファイアウォールに一
意の MAC アドレスが割り当てられます。[ アクティブ /
パッシブ HA に同じシステム MAC アドレスを使用する ]
設定は、LACP ピアが仮想化されている(ネットワー
クに 1 つのデバイスとして表示される)場合にのみ推
奨されます。そのような場合、このチェック ボック
スをオンにして、自動生成された [MAC アドレス ] を
選択するか、独自の MAC アドレスを入力します。ア
ドレスがグローバルに一意であることを確認します。
ファイアウォールがアクティブ / パッシブ HA
モードではない場合、PAN-OS はこれらのフィー
ルドの選択を無視します。アクティブ/ パッシブ
デプロイメントのファイアウォールは、PAN-OS
が自動的に割り当てられるように一意の MAC ア
ドレスが必要です。[ インターフェイス タイプ ]
が [HA] の場合、これらのフィールドは表示され
ません。
11.[OK] をクリックします。
4.
5.
ネットワークへの統合
699
ネットワーク
LACP
LACP の設定(続き)
ステップ 2
ステップ 3
700
イ ン タ ー フ ェ イ ス を 集 約 グ 集約グループに属する物理インターフェイス (1 ~ 8) ごと
ループに割り当てます。
に以下の手順を実行します。
1.
通常の動作中に、複数のインターフェイスを割り当
てます。トラブルシューティング手順で必要な場合
は、1 つのインターフェイスのみを割り当てます。
[Network] > [ インターフェイス ] の順に選択し、イ
ンターフェイス名を選択します。集約グループと同じ
タイプ(HA、レイヤー 2、またはレイヤー 3)である
必要があります。
2.
[ インターフェイス タイプ ] を [Ethernet の集約 ] に変
更します。
3.
定義した [ 集約グループ ] を選択します。
4.
[ リンク速度 ]、[ リンク デュプレックス ]、および [ リ
ンク状態 ] を選択します。グループの各インターフェ
イスに同じリンク速度とデュプレックスの値を設定す
ることをお勧めします。値が一致していない場合は、
コミット操作時に警告が表示され、PAN-OS がデフォ
ルトのより高い速度およびフル デュプレックスを設
定します。
5.
[LACP ポート優先順位 ](1 ~ 65535、デフォルトは
32768)を入力します。割り当てるインターフェイス
数が、グループに設定した [ 最大ポート ] の値を超え
る場合、ポート優先順位により、どのインターフェイ
スがアクティブまたはスタンバイになるのかが決まり
ます。番号が小さいほど優先度が高くなります。
6.
[OK]、[ コミット ] の順にクリックします。
集約グループの状態を確認し 1.
ます。
[Network] > [ インターフェイス ] > [Ethernet] の順に
選択します。
2.
[ 機能 ] 列に、集約グループの LACP 有効アイコンが表
示されていることを確認します。
3.
[ リンク状態 ] 列に、集約グループの緑色のアイコンが
表示されていることを確認します。緑色のアイコン
は、すべてのメンバー インターフェイスがアップに
なっていることを示します。アイコンが黄色だと、少
なくとも 1 つのメンバー(すべてのメンバーではな
い)がダウンしています。アイコンが赤色だと、すべ
てのメンバーがダウンしています。
4.
集約グループのリンク状態アイコンが黄色または赤色
の場合、[Monitor] > [ ログ ] > [ システム ] の順に選択
し、LACP サブタイプのログを確認して、インター
フェイスの障害の原因を調べます。
ネットワークへの統合
ネットワーク
LACP
LACP の設定(続き)
ステップ 4
(任意)集約グループの [ イン 1.
ターフェイス タイプ ] として
[HA] を選択した場合、HA3 リ
ンクを介したパケットの転送 2.
を有効にします。
3.
ネットワークへの統合
[Device] > [ 高可用性 ] > [ アクティブ / アクティブ設定 ]
の順に選択し、[ パケット転送 ] セクションを編集し
ます。
[HA3 インターフェイス ] で、設定した集約グループを
選択します。
[OK]、[ コミット ] の順にクリックします。
701
LACP
702
ネットワーク
ネットワークへの統合
ポリシー
ポリシーにより、ルールを適用してアクションを実行できます。ファイアウォール上にはさま
ざまなタイプのポリシーを作成できます。具体的には、セキュリティ、NAT、Quality of Service
(QoS)、ポリシー ベース フォワーディング (PBF)、復号、アプリケーション オーバーライド、
キャプティブ ポータル、サービス拒否 (DOS)、ゾーン プロテクションなどです。これらのさま
ざまなポリシーが連携することにより、許可、拒否、優先度の設定、転送、暗号化、復号、例
外の作成、アクセスの認証、接続のリセットなど、必要に応じてネットワークを保護できま
す。以下のトピックでは、ポリシーの使用方法を説明します。

ポリシーのタイプ

セキュリティ ポリシー

ポリシー オブジェクト

セキュリティ プロファイル

ルールベース内のルールの列挙

タグを使用してオブジェクトを視覚的に識別する

セキュリティ ポリシーでオブジェクトを検索するためのヒントとテクニック

ポリシーでのダイナミック ブロック リストの使用

IP アドレスとタグの動的登録

仮想環境における変更のモニタリング

ダイナミック IP アドレスおよびタグを確認する CLI コマンド

プロキシ経由の HTTP/HTTPS 要求に使用するクライアント IP アドレスをログに記録する

ポリシー ベース フォワーディング
ポリシー
703
ポリシーのタイプ
ポリシー
ポリシーのタイプ
Palo Alto Networks の次世代ファイウォールは、さまざまなタイプのポリシーの組み合わせをサ
ポートしており、ネットワーク上でアプリケーションを安全に有効化できます。
ポリシーのタイプ
説明
セキュリティ
送信元および宛先のセキュリティ ゾーン、送信元および宛先の IP アドレ
ス、アプリケーション、ユーザー、サービスなどのトラフィック属性に基
づいて、セッションをブロックするか許可するかが決定されます。詳細
は、「セキュリティ ポリシー」を参照してください。
NAT
変換が必要なパケットおよび変換方法についてファイアウォールに指示し
ます。ファイアウォールでは、送信元アドレスとポートの変換、宛先アド
レスとポートの変換のどちらにも対応します。詳細は、「NAT」を参照し
てください。
QoS
1 つの定義済みパラメータまたは複数のパラメータを使用して QoS 処理
(優先処理または帯域幅制限)を必要とするトラフィックを識別し、クラ
スに分類します。詳細は、「Quality of Service (QoS)」を参照してください。
ポリシー ベース フォワー ルーティング テーブルに基づいて、通常とは異なる出力インターフェイ
ディング
スを使用する必要があるトラフィックを識別します。詳細は、「ポリシー
ベース フォワーディング」を参照してください。
復号
可視化、管理、および詳細なセキュリティを調べる必要がある暗号化トラ
フィックを識別します。詳細は、「復号」を参照してください。
アプリケーション オーバー レイヤー 7 検査である App-ID エンジンによる処理が不要なセッションを
ライド
識別します。アプリケーション オーバーライド ポリシーに一致するトラ
フィックによって、ファイアウォールは、通常のステートフル インスペ
クション ファイアウォールとしてレイヤー 4 でセッションを処理するよう
になります。詳細は、「カスタム アプリケーションや不明なアプリケー
ションの管理」を参照してください。
キャプティブ ポータル
ユーザー認証が必要なトラフィックを識別します。キャプティブ ポータ
ル ポリシーは、User-ID メカニズムによって、送信元 IP アドレスに関連付
けるユーザーが特定されなかった場合にのみトリガーされます。詳細は、
「キャプティブ ポータル」を参照してください。
DoS プロテクション
サービス拒否 (DoS) 攻撃を特定し、一致したルールに対応する保護アク
ションを実行します。「DoS プロテクション プロファイル」。
704
ポリシー
ポリシー
セキュリティ ポリシー
セキュリティ ポリシー
セキュリティ ポリシーにより、ネットワーク資産を脅威や障害から保護し、ネットワーク リ
ソースの最適な割り当てを補助することで、ビジネス プロセスでの生産性や効率性を強化しま
す。Palo Alto Networks のファイアウォールでは、セキュリティ ポリシーにより、送信元および
宛先のセキュリティ ゾーン、送信元および宛先の IP アドレス、アプリケーション、ユーザー、
サービスなどのトラフィック属性に基づいて、セッションをブロックするか許可するかが決定
されます。
ファイアウォールを通過するすべてのトラフィックはセッションと照合され、各セッションは
セキュリティ ポリシーと照合されます。セッションと一致した場合は、そのセッションの双方
向トラフィック(クライアントからサーバー、およびサーバーからクライアントへの両トラ
フィック)にセキュリティ ポリシーが適用されます。定義されたルールのいずれとも一致しな
いトラフィックには、デフォルト ルールが適用されます。セキュリティ ルールベースの下部に
表示されるデフォルト ルールは、すべてのイントラゾーン(ゾーン内)トラフィックを許可
し、すべてのインターゾーン(ゾーン間)トラフィックを拒否するよう事前定義されていま
す。これらのルールは、事前定義済み設定に含まれ、デフォルトで読み取り専用になっていま
すが、オーバーライドして、タグ、アクション(許可または拒否)、ログ設定、セキュリティ
プロファイルなど、限られた数の設定項目を変更することができます。
セキュリティ ポリシーの評価は、左から右、上から下の順に行われます。定義済みの基準を満
たす最初のルールとパケットが一致すると、それが引き金となり、それ以降のルールは評価さ
れません。そのため、ベストマッチする基準を適用するには、個別のルールを一般的なルール
よりも優先的に評価する必要があります。トラフィックがルールと一致すると、そのルールで
ログが有効になっていれば、セッションの最後にログのエントリがトラフィック ログに記録さ
れます。ログのオプションはルールごとに設定可能で、セッションの最後ではなく最初にログ
を記録するように設定したり、セッションの最初と最後の両方でログを記録するように設定す
ることも可能です。

セキュリティ ポリシー ルールのコンポーネント

セキュリティ ポリシーのベスト プラクティス
ポリシー
705
セキュリティ ポリシー
ポリシー
セキュリティ ポリシー ルールのコンポーネント
セキュリティ ポリシー ルールの構文では、必須フィールドとオプション フィールドを組み合
わせることができます。以下の表に詳細を示します。

必須フィールド

オプション フィールド
必須フィールド
必須フィールド
説明
名前
31 文字まで対応可能なラベルで、ルールの識別に使用します。
ルール タイプ
ルールがゾーン内、ゾーン間、その両方のどれに適用されるかを指定します。
• universal(デフォルト)— 指定された送信元ゾーンおよび宛先ゾーン内の一
致するすべてのインターゾーン トラフィックとイントラゾーン トラフィッ
クにルールを適用します。たとえば、送信元ゾーンが A と B で、宛先ゾーン
が A と B のユニバーサル ルールを作成するとします。ルールは、ゾーン A 内
のすべてのトラフィック、ゾーン B 内のすべてのトラフィック、ゾーン A か
らゾーン B へのすべてのトラフィック、ゾーン B からゾーン A へのすべての
トラフィックに適用されます。
• intrazone — 指定された送信元ゾーン内の一致するすべてのトラフィックに
ルールを適用します(イントラゾーン ルールには宛先ゾーンを指定できませ
ん)。たとえば、送信元ゾーンを A と B に設定するとします。ルールは、
ゾーン A 内のすべてのトラフィック、ゾーン B 内のすべてのトラフィックに
適用されますが、ゾーン A とゾーン B 間のトラフィックに適用されません。
• interzone — 指定された送信元ゾーンおよび宛先ゾーン間の一致するすべての
トラフィックにルールを適用します。たとえば、送信元ゾーンを A、B、C、
宛先ゾーンを A、B に設定したとします。ルールは、ゾーン A からゾーン B、
ゾーン B から ゾーン A、ゾーン C からゾーン A、ゾーン C からゾーン B への
トラフィックには適用されますが、ゾーン A、B、または C 内のトラフィッ
クには適用されません。
送信元ゾーン
トラフィックの送信元となるゾーン。
宛先ゾーン
トラフィックの宛先となるゾーン。NAT を使用している場合、常に NAT 後の
ゾーンを参照するようにしてください。
アプリケーション
制御するアプリケーション。ファイアウォールでは、トラフィックの分類テク
ノロジーである App-ID を使用して、ネットワーク上のトラフィックを識別しま
す。App-ID により、作成されたセキュリティ ポリシーの中でアプリケーション
を制御および可視化し、不明なアプリケーションをブロックすると同時に、許
可されるアプリケーションを有効化、検査、およびシェーピングできます。
アクション
ルールで定義する基準に基づいて、トラフィックのアクションを [ 許可 ] または
[ 拒否 ] に指定します。
706
ポリシー
ポリシー
セキュリティ ポリシー
オプション フィールド
オプション フィールド
説明
タグ
セキュリティ ルールをフィルタリングできるようにするための、キーワードま
たはフレーズ。多数のルールを定義していて、Inbound to DMZ など、特定のキー
ワードによりタグ付けされているルールをレビューする場合には、これらのタ
グが便利です。
説明
255 文字以下のテキスト フィールドで、ルールの説明に使用します。
送信元 IP アドレス
ホスト IP または FQDN、サブネット、名前付きグループ、または国ベースの適
用を定義します。NAT を使用している場合、常にパケットの元の IP アドレス
(NAT 前の IP アドレスなど)を参照するようにしてください。
宛先 IP アドレス
トラフィックの場所または宛先。NAT を使用している場合、常にパケットの元
の IP アドレス(NAT 前の IP アドレスなど)を参照するようにしてください。
ユーザー
ポ リ シ ー の 適 用 対 象 と な る ユ ー ザ ー ま た は ユ ー ザ ー グ ル ー プ。ゾ ー ン で
User-ID を有効にする必要があります。User-ID を有効にするには、「User-ID の
概要」を参照してください。
URL カテゴリ
一致条件として [URL カテゴリ ] を使用すると、URL カテゴリ単位にセキュリ
ティ プロファイル(アンチウイルス、アンチスパイウェア、脆弱性、ファイル
ブロッキング、データ フィルタリング、DoS)をカスタマイズできます。たと
えば、危険度の高いことを示す URL カテゴリの .exe ファイルをダウンロード /
アップロードできないようにし、それ以外のカテゴリのファイルを許可するこ
とが可能です。この機能では、特定の URL カテゴリにスケジュールを関連付け
ること(昼休み中または勤務時間外のソーシャル メディア Web サイトを許可す
る)や、特定の URL カテゴリを QoS でマークすること(金融、医療、ビジネ
ス)、URL カテゴリ単位に異なるログ転送プロファイルを選択することもでき
ます。
URL カテゴリはデバイスで手動設定できますが、Palo Alto Networks ファイア
ウォールで提供される URL カテゴリの動的更新を利用するには、URL フィルタ
リング ライセンスを購入する必要があります。
URL カテゴリに基づいてトラフィックをブロックまたは許可するには、
セキュリティ ポリシー ルールに URL フィルタリング プロファイルを適
用する必要があります。[URL カテゴリ ] を [Any] として定義し、セキュリ
ティ ポリシーに URL フィルタリング プロファイルを関連付けます。デ
フォルトのプロファイルをセキュリティ ポリシーで使用する方法につい
ては、「基本的なセキュリティ ポリシーのセットアップ」を参照してく
ださい。詳細は、「Web コンテンツへのアクセス制御」を参照してくだ
さい。
ポリシー
707
セキュリティ ポリシー
ポリシー
オプション フィールド
説明(続き)
サービス
レイヤー 4(TCP または UDP)のポートをアプリケーション用に選択することも
できます。[any] を選択するか、ポートを指定するか、または application-default を使用
して、アプリケーションの標準ベースのポートの使用を許可できます。たとえば
DNS など、既知のポート番号を持つアプリケーションの場合、[application-default] オ
プションを選択すると、TCP ポート 53 上でのみ DNS トラフィックを照合しま
す。カスタム アプリケーションを追加して、そのアプリケーションで使用可能
なポートを定義することもできます。
インバウンド許可ルールの場合(たとえば Untrust から Trust など)、
application-default を使用すると、アプリケーションを標準以外のポートやプ
ロトコルで実行できなくなります。application-default はデフォルトのオプ
ションです。デバイスは引き続きすべてのポートのすべてのアプリケー
ションをチェックしますが、この設定にすることで、アプリケーション
は標準のポート / プロトコルでのみ許可されます。
セキュリティ
プロファイル
脅威、脆弱性、データの漏洩などから、さらにシステムを保護します。セキュ
リティ プロファイルは、許可のアクションを含むルールに対してのみ評価され
ます。
HIP プロファイル
ホスト インフォメーション プロファイル (HIP) を持つクライアントを識別して
(GlobalProtect の場合) から、アクセス権を適用できます。
オプション
708
セッションのログの定義、ログの転送設定、ルールに一致するパケットの
Quality of Service (QoS) マーキングの変更、およびセキュリティ ルールを有効に
するタイミング(日時)のスケジュールなどの設定が可能です。
ポリシー
ポリシー
セキュリティ ポリシー
セキュリティ ポリシーのベスト プラクティス
安全なインターネット アクセスを可能にし、Web アクセス権の誤使用、脆弱性や攻撃を受ける
ことを回避するタスクは、継続的なプロセスです。Palo Alto Networks のファイアウォールでポ
リシーを定義する場合の主原則は、ポジティブ エンフォースメント アプローチを用いることで
す。ポジティブ エンフォースメントとは、日常業務に必要なものを選択的に許可することで、
これに対してネガティブ エンフォースメント アプローチの場合、許可されないものをすべて選
択的にブロックすることです。ポリシーを作成する場合、以下の事項を考慮します。

セキュリティ要件が同じゾーンに複数ある場合、それらを 1 つのセキュリティ ルールにま
とめます。

ベストマッチする基準を確保するには、ルールの順序が重要です。ポリシーはトップダウ
ン方式で評価されるため、個別のルールを一般的なルールよりも優先する必要がありま
す。つまり、個別のルールをシャドウしないことです。「シャドウ」という用語は、ポリ
シー リストの下位に配置されているために評価されない、または省略されるルールのこと
です。ルールが下位に配置されていると、先行する別のルールが一致基準を満たすことに
より、下位のルールはポリシーの評価からシャドウされます。

インバウンド アプリケーションへのアクセスを制御および制限するには、サービス/アプリ
ケーションがリッスンするポートをセキュリティ ポリシーで明示的に定義します。

DNS のような既知のサーバーへのアクセスなど、広範な許可ルールをログに記録すると、た
くさんのトラフィックが発生します。そのため、絶対的に必要な場合を除き、この方法は
推奨されません。

デフォルトでは、セッションの終了時にファイアウォールでログのエントリが作成されま
す。ただし、このデフォルトの動作を変更して、セッションの開始時にファイアウォール
でログを記録するように設定することもできます。セッション開始時にログを記録するよ
うに設定すると、ログの量が大幅に増えるため、問題のトラブルシューティングを行う場
合にのみ推奨されます。セッション開始時のログを有効にしなくても、トラブルシュー
ティングを行える別の方法として、セッション ブラウザ([Monitor] > [ セッション ブラウ
ザ ])を使用してリアルタイムでセッションを表示する方法があります。
ポリシー
709
ポリシー オブジェクト
ポリシー
ポリシー オブジェクト
ポリシー オブジェクトは、単一のオブジェクトまたは集合単位で、IP アドレス、URL、アプリ
ケーション、ユーザーなどの個別の ID をグループ化するものです。ポリシー オブジェクトが
集合単位の場合、複数のオブジェクトを手動で 1 つずつ選択しなくても、セキュリティ ポリ
シーでそのオブジェクトを参照できます。一般的にポリシー オブジェクトを作成する場合、ポ
リシーで同様のアクセス権限を必要とするオブジェクトをグループ化します。たとえば、組織
が一連のサーバーの IP アドレスを使用してユーザーを認証する場合、それらのサーバーの IP
アドレスをアドレス グループのポリシー オブジェクトとしてグループ化し、そのアドレス グ
ループをセキュリティ ポリシーで参照します。オブジェクトをグループ化することにより、ポ
リシー作成時の管理者の負担が大幅に軽減されます。
以下のポリシー オブジェクトをファイアウォールで作成できます。
ポリシー オブジェクト
説明
アドレス / アドレス
グループ、地域
同じポリシーを実施する必要のある特定の送信元アドレスまたは宛先アド
レスをグループ化できます。アドレス オブジェクトには、IPv4 または
IPv6 のアドレス(単一 IP、範囲、サブネット)または FQDN を含めるこ
とができます。または、緯度と経度の座標で地域を定義したり、国を選択
して IP アドレスまたは IP の範囲を定義したりできます。こうすること
で、アドレス オブジェクトのコレクションをグループ化し、アドレス グ
ループ オブジェクトを作成できます。
また、ダイナミック アドレス グループ の使用も可能です。このグ
ループは、ホスト IP アドレスが頻繁に変わる環境で動的に IP アド
レスを更新します。
ユーザー/ ユーザー グループ ローカル データベースまたは外部データベースからユーザーのリストを
作成し、それらをグループ化できます。
アプリケーション グループ アプリケーション フィルタにより、アプリケーションを動的にフィルタ
お よ び ア プ リ ケ ー シ ョ ン リングでき、ファイアウォールのアプリケーション データベースで定義
フィルタ
した属性を使用して、一連のアプリケーションをフィルタリングおよび保
存できます。たとえば、カテゴリ、サブカテゴリ、テクノロジー、リス
ク、特性など、1 つ以上の属性によるフィルタリングが可能で、独自のア
プリケーション フィルタを保存できます。アプリケーション フィルタが
あれば、PAN-OS コンテンツの更新が発生した場合に、フィルタ基準を満
たす新規アプリケーションが自動的に保存されているアプリケーション
フィルタに追加されます。
アプリケーション グループにより、あるユーザー グループまたは特定の
サービスに対してグループ化したい特定のアプリケーションの静的グルー
プを作成できます。
710
ポリシー
ポリシー
ポリシー オブジェクト
ポリシー オブジェクト
説明
サービス / サービス グループ 送信元ポートと宛先ポート、およびサービスで使用できるプロトコルを指
定できます。ファイアウォールには、service-http と service-https という 2 つ
の事前定義サービスが含まれています。これらのサービスでは、TCP ポー
ト 80 および 8080 を HTTP に、TCP ポート 443 を HTTPS に使用します。た
だし、カスタム サービスを任意の TCP/UDP ポートで自由に作成して、ア
プリケーションの使用をネットワーク上の特定のポートに制限できます
(つまり、アプリケーションのデフォルト ポートを定義できます)。
アプリケーションで使用する標準ポートを表示するには、[Objects] >
[ アプリケーション ] の順に選択してアプリケーションを検索し、リ
ンクをクリックします。簡単な説明が表示されます。
ポリシー
711
セキュリティ プロファイル
ポリシー
セキュリティ プロファイル
セキュリティ ポリシーにより、ネットワーク上のトラフィックを許可または拒否できますが、
セキュリティ プロファイルを使用すると、許可するがスキャンを実施するルールを定義できま
す。このルールでは、許可されたアプリケーションに、ウイルス、マルウェア、スパイウェ
ア、DDOS 攻撃などの脅威が潜んでいないかスキャンされます。トラフィックがセキュリティ
ポリシーで定義した許可ルールと一致する場合、そのルールに添付されたセキュリティ プロ
ファイルが、アンチウイルス チェックやデータ フィルタリングなどのコンテンツ検査ルールに
追加適用されます。
セキュリティ プロファイルは、トラフィック フローの一致基準には使用されません。セキュリ
ティ プロファイルは、セキュリティ ポリシーでアプリケーションまたはカテゴリが許可され
た後に適用され、トラフィックをスキャンします。
ファイアウォールでは、デフォルトのセキュリティ プロファイルをそのまま使用して、すぐに
ネットワークを脅威から保護できます。デフォルトのプロファイルをセキュリティ ポリシーで使
用する方法の詳細は、「基本的なセキュリティ ポリシーのセットアップ」を参照してください。
ネットワークに必要なセキュリティについて理解を深めると、カスタム プロファイルを作成でき
ます。詳細は、「脅威を確認するためのトラフィックのスキャン」を参照してください。
いっしょに適用することが多いセキュリティ プロファイルはセキュリティ プロファイル グ
ループとしてまとめておくことができます。セキュリティ プロファイル グループは 1 つの単位
として扱うことができるプロファイルのセットであり、セキュリティ ポリシーに 1 ステップで
追加できます(デフォルトのセキュリティ プロファイル グループを設定した場合は、デフォル
トでセキュリティ ポリシーに追加されます)。
以下のトピックでは、セキュリティ プロファイルの各タイプと、セキュリティ プロファイル
グループの設定方法について詳しく説明します。

アンチウイルス プロファイル

アンチスパイウェア プロファイル

脆弱性防御プロファイル

URL フィルタリング プロファイル

データ フィルタリング プロファイル

ファイル ブロッキング プロファイル

DoS プロテクション プロファイル

ゾーン プロテクション プロファイル

セキュリティ プロファイル グループ
712
ポリシー
ポリシー
セキュリティ プロファイル
アンチウイルス プロファイル
アンチウイルス プロファイルは、ウイルス、ワーム、トロイの木馬、およびスパイウェア ダウ
ンロードからの保護を実現します。Palo Alto Networks アンチウイルス ソリューションでは、パ
ケットを最初に受信する瞬間にトラフィックを検査するストリームベースのマルウェア防御エ
ンジンを使用して、ファイアウォールのパフォーマンスに大きな影響を与えることなくクライ
アントを保護することができます。このプロファイルは、実行ファイル、PDF ファイル、
HTML ウイルス、および JavaScript ウイルスに含まれるさまざまなマルウェアをスキャンしま
す。また、圧縮ファイルとデータ エンコード スキームの内部スキャンもサポートしています。
ファイアウォールで「復号」を有効にしている場合は、復号化されたコンテンツのスキャンも
可能です。
デフォルト プロファイルでは、ウイルスが含まれていないかどうかについてリストにあるプロ
トコル デコーダすべてを検査し、FTP、HTTP、および SMB プロトコルの場合にはブロック
し、SMTP、IMAP、および POP3 プロトコルの場合にはアラートを生成します。カスタマイズ
したプロファイルを使用して、信頼されたセキュリティ ゾーン間のトラフィックに対するウイ
ルス対策の検査を最小限に抑え、インターネットなどの信頼されていないゾーンから受信した
トラフィックや、サーバー ファームなどの機密性の高い宛先に送信されるトラフィックの検査
を最大化できます。
Palo Alto Networks WildFire システムは、捕えるのが難しく、他のアンチウイルス ソリューション
によってまだ検出されていない脅威のシグネチャも生成できます。WildFire によって脅威が検
出されると、シグネチャが素早く作成され、脅威防御ライセンスの加入者は毎日(WildFire ラ
イセンスの加入者の場合は 1 時間以内の間隔で)ダウンロードされる標準のアンチウイルス シ
グネチャに組み込まれます。
ポリシー
713
セキュリティ プロファイル
ポリシー
アンチスパイウェア プロファイル
アンチスパイウェア プロファイルは、ホストに侵入したスパイウェアが、C&C (C2) サーバーに
対して phone-home 通信またはビーコン通信を試行するのをブロックします。これにより、感染
クライアントからネットワーク外に送出される悪意あるトラフィックを検出できます。ゾーン
間では、さまざまなレベルで保護機能を適用できます。たとえば、信頼されたゾーン間での検
査を最小限に抑える アンチスパイウェア プロファイルを作成する一方で、インターネット側
ゾーンなどの信頼されないゾーンから受信するトラフィックでの検査を最大化することができ
ます。
アンチスパイウェアをセキュリティ ポリシーに適用するには、独自の アンチスパイウェア プ
ロファイルを定義する方法と、以下のどちらかの事前定義プロファイルを選択する方法があり
ます。


default — 各シグネチャのデフォルトのアクションを使用します。デフォルトのアクションは、
シグネチャの作成時に Palo Alto Networks によって指定されます。
strict — シグネチャ ファイルで定義されているアクションに関係なく、重大度が「critical」、
「high」、および「medium」の脅威のデフォルトのアクションがすべてブロック アクション
でオーバーライドされます。重大度が「medium」および「informational」のシグネチャの場
合にはデフォルト アクションが実行されます。
また、アンチスパイウェア プロファイル内では、「DNS シンクホール」アクションを有効にす
ることができます。これにより、ファイアウォールが、既知の悪意あるドメインに問い合わせ
る DNS クエリに対する応答を偽装して、悪意あるドメイン名を、管理者が定義した IP アドレ
スに解決できます。この機能により、保護されたネットワーク上の感染ホストを DNS トラ
フィックを使用して特定できます。シンクホール IP アドレスへの接続を試みるホストは、マル
ウェアに感染している可能性が高いため、感染ホストはトラフィック ログおよび脅威ログ内で
容易に特定できます。
アンチスパイウェア プロファイルと脆弱性防御プロファイルは同様の方法で設定されます。
714
ポリシー
ポリシー
セキュリティ プロファイル
脆弱性防御プロファイル
脆弱性防御プロファイルは、システムの脆弱性の悪用やシステムへの不正アクセスを防止しま
す。アンチスパイウェア プロファイルでは、ネットワークから流出するトラフィックにより感
染したホストを検出するのに役立ちますが、脆弱性防御プロファイルではネットワークに入っ
てくる脅威から保護します。この機能は、たとえば、バッファ オーバーフロー、不正なコード
実行、およびシステムの脆弱性を悪用するその他の試みからシステムを防御します。デフォル
トの脆弱性防御プロファイルでは、重大度が「critical」、「high」、および「medium」のすべて
の既知の脅威からクライアントとサーバーを保護します。また、特定のシグネチャに対するレ
スポンスの変更を可能にする例外を作成することもできます。
ポリシー
715
セキュリティ プロファイル
ポリシー
URL フィルタリング プロファイル
「URL フィルタリング」プロファイルを使用すると、ユーザーが HTTP および HTTPS を介して
Web にアクセスする方法をモニターおよび制御できます。ファイアウォールには、既知のマル
ウェア サイト、フィッシング サイト、アダルト コンテンツ サイトなどの Web サイトをブロッ
クするように設定されているデフォルト プロファイルが付属しています。このデフォルト プロ
ファイルは、セキュリティ ポリシーで使用したり、コピーして新しい URL フィルタリング プ
ロファイルを作成するときに利用したりできます。また、ネットワーク上のトラフィックを可
視化できるように、すべてのカテゴリを許可に設定する新しい URL プロファイルを追加するこ
ともできます。新しく追加されたこの URL プロファイルをカスタマイズして、常にブロックま
たは許可する必要のある特定の Web サイトのリストを追加できます。これにより、URL カテゴ
リをより細かく制御することができます。
716
ポリシー
ポリシー
セキュリティ プロファイル
データ フィルタリング プロファイル
データ フィルタリング プロファイルは、クレジット カード番号や社会保障番号などの機密情
報が、保護されたネットワークから漏出するのを防ぎます。また、重要なプロジェクト名や秘
密の言葉などのキーワードに基づいてフィルタリングすることもできます。プロファイルの焦
点を適切なファイル タイプに合わせ、誤検知を削減することが重要です。たとえば、Word ド
キュメントまたは Excel スプレッドシートのみを検索することができます。また、web-browsing
トラフィック、または FTP のみをスキャンすることも可能です。
デフォルトのプロファイルを作成したり、カスタム データ パターンを作成したりすることがで
きます。デフォルト プロファイルには次の 2 つがあります。

CC 番号(クレジット カード番号)— ハッシュ アルゴリズムを使用してクレジット カード番
号を識別します。データをクレジット カード番号として検出するには、コンテンツがハッ
シュ アルゴリズムと一致する必要があります。この方法により、誤検知が減少します。

SSN 番号(社会保障番号)— アルゴリズムを使用して、フォーマットに関係なく 9 桁の番号
を検出します。[SSN 番号 ] と [SSN 番号(ダッシュを除く)] の 2 つのフィールドがあります。
重み値としきい値
フィルタリングしようとする条件の適切なしきい値を設定するには、オブジェクト(SSN、CC
番号、パターン)の重みの計算方法を理解することが重要です。アクションしきい値(アラー
トまたはブロック)に到達するまで、各値に重み値を乗算して合計されます。
例 : 社会保障番号専用のフィルタ
簡単に説明するため、社会保障番号 (SSN) が書き込まれているファイルをフィルタリングし、
[SSN 番号 ] の重みを 3 と定義するとします。使用する式は、SSN のインスタンス x 重み = しき
い値と比較する値です。このとき、Word ドキュメントに 10 件社会保障番号がある場合は、そ
の件数に重みの 3 を乗算 (10 x 3) して 30 となります。よって、10 件の社会保障番号を含んだファ
イルでアクションを起こすには、しきい値を 30 に設定することになります。この場合は、ア
ラートは 30 で、ブロックは 60 で実行されるように設定することができます。また、[SSN 番号
(ダッシュを除く)] フィールドで、ダッシュを含まない社会保障番号の重みを設定することも
できます。複数の設定を使用する場合は、指定されたしきい値になるまで累積されます。
ポリシー
717
セキュリティ プロファイル
ポリシー
例 : 社会保障番号とカスタム パターンのフィルタ
この例では、社会保障番号とカスタム パターン confidential を含むファイルをフィルタリングし
ます。言い換えると、ファイルに「confidential」という単語に加えて社会保障番号が書き込ま
れており、それらの項目の合計インスタンス数がしきい値に到達すると、アクション設定に応
じて、そのファイルでアラートまたはブロックがトリガーされます。
SSN 番号の重み = 3
Custom Pattern confidential weight = 20
カスタム パターンでは大文字と小文字が区別されます。
ファイルに 20 件の社会保障番号が含まれ、重みが 3 に設定されている場合、値は 20 x 3 = 60 と
なります。そのファイルに confidential という単語のインスタンスが 1 つ含まれ、重みが 20 に設
定されている場合は、値が 1 x 20 = 20 で、合計で 80 となります。ブロックのしきい値が 80 に設
定されていれば、このシナリオの場合にはファイルがブロックされます。アラートまたはブ
ロック アクションは、しきい値に到達するとすぐにトリガーされます。
718
ポリシー
ポリシー
セキュリティ プロファイル
ファイル ブロッキング プロファイル
ファイアウォールのファイル ブロッキング プロファイルには 2 つの目的があります。1 つは、
ファイルを WildFire に転送して分析すること、もう 1 つは、指定したアプリケーション経由
で、指定したセッション フロー方向(インバウンド、アウトバウンド、両方)に送信される指
定したファイル タイプをブロックすることです。アップロードまたはダウンロードでアラート
送信またはブロックするプロファイルを設定し、ファイル ブロッキング プロファイルの適用対
象となるアプリケーションを指定できます。また、指定したファイル タイプのダウンロードを
ユーザーが試みるときに表示される、カスタム ブロック ページを設定することもできます。これ
によりユーザーは、ファイルをダウンロードするかどうか考える時間を持つことができます。
ファイル ブロッキング プロファイルには、以下のアクションを設定できます。





alert — 指定したファイル タイプが検出されると、データ フィルタリング ログでログが生成
されます。
block — 指定したファイル タイプが検出されると、そのファイルはブロックされ、ユーザー
に対してカスタマイズ可能なブロック ページが表示されます。データ フィルタリング ログ
でログも生成されます。
continue — 指定したファイル タイプが検出されると、ユーザーに対して応答ページが表示さ
れます(この応答ページはカスタマイズ可能です)。ユーザーはページをクリックスルーし
てファイルをダウンロードすることができます。データ フィルタリング ログでログも生成
されます。このタイプの転送アクションは、ユーザーとのやり取りが必要になるため、Web
トラフィックにのみ使用可能です。
forward — 指定したタイプが検出されると、ファイルが WildFire に送信されて分析されます。
データ フィルタリング ログでログも生成されます。
continue-and-forward — 指定したファイル タイプが検出されると、ユーザーに対してカス
タマイズ可能な続行ページが表示されます。ユーザーはページをクリックスルーしてファイ
ルをダウンロードすることができます。ユーザーが続行ページをクリックスルーしてファイ
ルをダウンロードすると、ファイルは WildFire に送信されて分析されます。データ フィルタ
リング ログでログも生成されます。
ポリシー
719
セキュリティ プロファイル
ポリシー
DoS プロテクション プロファイル
DOS プロテクション プロファイルでは、サービス拒否 (DoS) 防御ポリシーの詳細を制御できま
す。DoS ポリシーでは、インターフェイス、ゾーン、アドレス、国に対するセッション数を、
セッション総数、送信元 IP アドレスおよび宛先 IP アドレスに基づいて制御できます。Palo Alto
Networks のファイアウォールでサポートされる DoS 防御メカニズムは次の 2 つです。

フラッド防御 — ネットワークがパケットでフラッドされたために、ハーフオープン セッショ
ンの数が非常に多くなったり、サービスが各要求に応答できなくなる攻撃を検出および防御
します。この場合、攻撃の送信元アドレスは通常なりすましされています。

リソース保護 — セッション消耗攻撃を検出および防御します。このタイプの攻撃では、大量
数のホスト(ボット)を使用して完全に確立されたセッションを可能な限り多く確立し、シ
ステム リソースのすべてを消費します。
1 つの DOS プロテクション プロファイルで、これら両方の防御メカニズムを有効にできます。
DoS プロファイルを使用して、実行するアクションのタイプと DoS ポリシーの照合基準の詳細
を指定します。DoS プロファイルでは、SYN、UDP、および ICMP フラッドの設定項目を定義
し、リソースの保護を有効にし、最大同時接続数を定義します。DoS 防御プロファイルを設定
したら、DoS ポリシーに適用します。
DoS 防御の設定時には、適正なしきい値を設定するため、使用環境を分析することが重要です。
また、DoS 防御ポリシーの定義にはいくつかの複雑な設定が関係しているため、このガイドでは
詳細な例は示しません。詳細は、『Threat Prevention Tech Note』(英語)を参照してください。
720
ポリシー
ポリシー
セキュリティ プロファイル
ゾーン プロテクション プロファイル
ゾーン プロテクション プロファイルでは、ゾーンを攻撃から保護するため、特定のネットワー
ク ゾーン間の保護を強化します。プロファイルはゾーン全体に適用する必要があるため、各
ゾーンを通過する通常のトラフィックによって問題が発生しないようにするため、慎重にプロ
ファイルをテストすることが重要です。ゾーン プロテクション プロファイルにパケット / 秒
(pps) のしきい値制限を定義する場合、しきい値は以前に確立したセッションと一致しないパ
ケット / 秒を基にしています。詳細は、『Threat Prevention Tech Note』(英語)を参照してくだ
さい。
ポリシー
721
セキュリティ プロファイル
ポリシー
セキュリティ プロファイル グループ
セキュリティ プロファイル グループは、セキュリティ プロファイルのセットとして、1 つの単
位として処理でき、セキュリティ ポリシーに追加できます。同時に割り当てられることが多い
プロファイルをプロファイル グループにまとめることで、セキュリティ ポリシーの作成を簡略
化できます。また、デフォルトのセキュリティ プロファイル グループを設定することもできま
す。新規のセキュリティ ポリシーは、デフォルトのプロファイル グループに定義されている設
定を使用して、セキュリティ ポリシーに一致するトラフィックをチェックおよび制御できま
す。セキュリティ プロファイル グループに「default」という名前を付けると、そのグループに
属するプロファイルをデフォルトで新規のセキュリティ ポリシーに追加できます。これによ
り、組織の優先プロファイル設定が新規のポリシーにいつでも自動的に追加されるようになる
ため、新規ポリシーを作成するたびに優先プロファイルを手動で追加する手間が省けます。
以下のセクションでは、セキュリティ プロファイル グループの作成方法、およびプロファイル
グループをデフォルトで新規のセキュリティ ポリシーに追加する方法を説明します。

セキュリティ プロファイル グループの作成

デフォルトのセキュリティ プロファイル グループの設定またはオーバーライド
セキュリティ プロファイル グループの作成
セキュリティ プロファイル グループを作成して、セキュリティ ポリシーに追加するには、以
下の手順を実行します。
722
ポリシー
ポリシー
セキュリティ プロファイル
セキュリティ プロファイル グループの作成
ステップ 1
ステップ 2
ステップ 3
ポリシー
セキュリティ プロファイル グ 1.
ループを作成します。
[Objects] > [ セキュリティ プロファイル グループ ] を
選択して、新規のセキュリティ プロファイル グループ
を [ 追加 ] します。
2.
プロファイル グループに分かりやすい [ 名前 ](たとえ
ば、「脅威」)をつけます。
3.
ファイアウォールがマルチ仮想システム モードになっ
ている場合は、プロファイルをすべての仮想システム
で [ 共有 ] 可能にします。
4.
既存のプロファイルをグループに追加します。
5.
[OK] をクリックしてプロファイル グループを保存し
ます。
セキュリティ プロファイル グ 1.
ループをセキュリティ ポリ
シーに追加します。
2.
[Policies] > [ セキュリティ] の順に選択して、セキュリ
ティ ポリシー ルールを [ 追加 ] または変更します。
変更を保存します。
[ アクション ] タブを選択します。
3.
[ プロファイル設定 ] セクションで、[ プロファイル タ
イプ ] として [ グループ ] を選択します。
4.
[ グループ プロファイル ] ドロップダウン リストで、作
成したグループ(たとえば、脅威グループ)を選択し
ます。
5.
[OK] をクリックしてポリシーを保存し、変更を [ コミッ
ト ] します。
[ コミット ] をクリックします。
723
セキュリティ プロファイル
ポリシー
デフォルトのセキュリティ プロファイル グループの設定またはオーバーライド
新規のセキュリティ ポリシーで使用するデフォルトのセキュリティ プロファイル グループの
設定、または既存のデフォルト グループのオーバーライドを実行するには、以下の手順を実行
します。新規のセキュリティ ポリシーを作成する際には、デフォルトのプロファイル グループ
が自動的に新規ポリシーのプロファイル設定として選択され、そのポリシーに一致するトラ
フィックが、プロファイル グループに定義された設定に従ってチェックされます(必要に応じ
て、デフォルトとは異なるプロファイル設定を手動で選択することもできます)。デフォルト
のセキュリティ プロファイル グループの設定、またはデフォルトの設定のオーバーライドを実
行するには、以下の手順を実行します。
デフォルトのセキュリティ プロファイルが存在しない場合、新規のセキュリティ ポリシーの
プロファイル設定は、デフォルトで [なし] に設定されます。
724
ポリシー
ポリシー
セキュリティ プロファイル
デフォルトのセキュリティ プロファイル グループの設定またはオーバーライド
• セキュリティ プロファイル グループを作 1.
成します。
[Objects] > [ セキュリティ プロファイル グループ ] を
選択して、新規のセキュリティ プロファイル グループ
を [ 追加 ] します。
2.
プロファイル グループに分かりやすい [ 名前 ](たとえ
ば、「脅威」)をつけます。
3.
ファイアウォールがマルチ仮想システム モードになっ
ている場合は、プロファイルをすべての仮想システム
で [ 共有 ] 可能にします。
4.
既存のプロファイルをグループに追加します。プロ
ファイルの作成の詳細は、「セキュリティ プロファイ
ル」を参照してください。
5.
[OK] をクリックしてプロファイル グループを保存し
ます。
6. セキュリティ プロファイル グループをセキュリティ ポ
リシーに追加します。
7. セキュリティ ポリシー ルールを [ 追加 ] または変更し
て、[ アクション ] タブを選択します。
8.
[ プロファイル タイプ ] として [ グループ ] を選択し
ます。
9.
[ グループ プロファイル ] ドロップダウン リストで、作
成したグループ(たとえば、脅威グループ)を選択し
ます。
10. [OK] をクリックしてポリシーを保存し、変更を [ コミッ
ト ] します。
ポリシー
725
セキュリティ プロファイル
ポリシー
デフォルトのセキュリティ プロファイル グループの設定またはオーバーライド(続き)
• デフォルトのセキュリティ プロファイル グ 1.
ループを設定します。
[Objects] > [ セキュリティ プロファイル グループ ] を
選択して、新規のセキュリティ プロファイル グループ
を追加するか、既存のセキュリティ プロファイル グ
ループを変更します。
2.
セキュリティ プロファイル グループに「default」とい
う [ 名前 ] を付けます。
3.
[OK]、[ コミット ] の順にクリックします。
4.
default というセキュリティ プロファイル グループが新
規のセキュリティ ポリシーにデフォルトで含まれてい
ることを確認します。
a. [Policies] > [ セキュリティ] の順に選択して、新規の
セキュリティ ポリシーを [ 追加 ] します。
b. [ アクション ] タブを選択して、[ プロファイル設定 ]
フィールドを表示します。
デフォルトでは、新規のセキュリティ ポリシーの [プロファ
イル タイプ ] が [ グループ ] に設定されており、[ グループ
プロファイル ] として default が選択されています。
• デフォルトのセキュリティ プロファイル 既存のデフォルト セキュリティ プロファイル グループの
グループをオーバーライドします。
プロファイル セットを新規のセキュリティ ポリシーに適用
しない場合は、自分の好みに合わせてプロファイル設定を
変更してください。その場合は、まずポリシーのプロファ
イル タイプを選択するところから始めます([Policies] >
[ セキュリティ] > [ セキュリティ ポリシー ルール ] > [ アク
ション ])。
726
ポリシー
ポリシー
ルールベース内のルールの列挙
ルールベース内のルールの列挙
ルールベース内の各ルールは自動的に付番され、ルールの移動や並べ替えを行うと、それに応
じてルール番号も変更されます。ルールをフィルタリングして指定したフィルタに一致する
ルールを検索すると、各ルールはルールベース内の全ルールのコンテキストで番号が振られ、
評価順に従って並べられます。
Panorama では、プレ ルールとポスト ルールは別々に付番されます。Panorama から管理対象ファ
イアウォールにルールをプッシュすると、付番の際に、ルールベース内のプレ ルール、デバイ
ス ルール、およびポスト ルールの階層が考慮され、その番号がルールの並びと評価順に反映さ
れます。Panorama の [ プレビュー] オプションには、管理対象デバイスの全ルールの順序付きリ
ストのビューが表示されます。。
ルールベース内のルールの順序付きリストの表示
• ファイアウォール上のルールの番号付きリストを表示します。
[Policies] を選択し、その配下のルールベースを選択します。たとえば、[Policies] > [QoS] を選択しま
す。表の最左端の列にルール番号が表示されます。
ポリシー
727
ルールベース内のルールの列挙
ポリシー
ルールベース内のルールの順序付きリストの表示(続き)
• Panorama 上のルールの番号付きリストを表示します。
[Policies] を選択し、その配下のルールベースを選択します。たとえば、[Policies] > [ セキュリティ] >
[ プレ ルール ] を選択します。
728
ポリシー
ポリシー
ルールベース内のルールの列挙
ルールベース内のルールの順序付きリストの表示(続き)
• Panorama からルールをプッシュすると、管理対象デバイス上の番号の付いたルールの全リストが表示
されます。
管理対象デバイスの Web インターフェイスで [Policies] を選択して、その配下の任意のルールベース
を選択します。たとえば、[Policies] > [ セキュリティ] を選択すると、デバイス上で評価されるすべて
の番号付きルールが表示されます。
ポリシー
729
タグを使用してオブジェクトを視覚的に識別する
ポリシー
タグを使用してオブジェクトを視覚的に識別する
オブジェクトにタグ付けし、タグに色を追加すれば、タグ付けしたオブジェクトを視覚的に区
別できます。タグを追加できるオブジェクトは、アドレス オブジェクト、アドレス グループ、
ゾーン、サービス グループ、ポリシー ルールです。
ファイアウォールと Panorama ではスタティック タグとダイナミック タグの両方をサポートし
ていますが、ダイナミック タグはさまざまなソースから登録されます。ダイナミック タグはデ
バイス設定の一部ではないため、スタティック タグとは一緒に表示されません。タグを動的に
登録する方法については、「IP アドレスとタグの動的登録」を参照してください。このセク
ションで説明するタグは、静的に追加され、デバイス設定に含まれます。
オブジェクトやポリシー ルールには 1 つ以上のタグを適用でき、1 つのオブジェクトには最大
64 個のタグを適用できます。Panorama は最大 10,000 個のタグをサポートしており、タグは
Panorama 全体(共有およびデバイス グループ)と管理対象デバイス(複数の仮想システムを持
つデバイスを含む)に分配できます。
タグ オブジェクト
ステップ 1
タグを作成します。
1.
ゾーンにタグを付けるに 2.
は、ゾーンと同じ名前の
タグを作成する必要があ
り ま す。ゾ ー ン が ポ リ 3.
シー ルールに関連付け
られている場合は、タグ 4.
の色がゾーン名の背景色
として自動的に表示され
ます。
730
[Objects] > [ タグ ] の順に選択します。
Panorama または複数の仮想システム ファイアウォール
で、[ デバイス グループ ] またはこのオブジェクトが属
する [ 仮想システム ] を選択します。
[ 追加 ] をクリックして、タグを識別する [ 名前 ] を入
力します。最大長は 127 文字です。
(任意)オブジェクトを共有場所に作成して、Panorama
で共有オブジェクトとしてアクセス可能にしたり、複
数の仮想システム ファイアウォールのすべての仮想シ
ステムで使用できるようにするには、[ 共有 ] を選択し
ます。
5.
(任意)事前定義済みの 16 色の中の 1 つ選んでタグに
割り当てます。デフォルトでは、色は選択されていま
せん。
6.
[OK] をクリックして変更内容を [ コミット ] します。
ポリシー
ポリシー
タグを使用してオブジェクトを視覚的に識別する
タグ オブジェクト(続き)
ステップ 2
ステップ 3
ポリシーにタグを表示します。 1.
[Policies] を選択し、その配下のルールベースを選択し
ます。
2.
[追加] をクリックし、ステップ 1 で作成したタグ付きオ
ブジェクトを使用してポリシー ルールを作成します。
3.
タグが使用されていることを確認します。
タグを使用します。
• [Objects] > [ タグ ] を選択し、タグに対して以下のいずれ
かの操作を実行します。
• [名前] 列のリンクをクリックして、タグのプロパティ
を編集します。
• 表からタグを選択し、[ 削除 ] をクリックしてファイ
アウォールからタグを削除します。
• [ コピー] をクリックして、同じプロパティを持つ重
複タグを作成します。タグ名には数字の番号が追加
されます(例 : FTP-1)。
• タグを、アドレス オブジェクト、アドレス グループ、
サービス、またはサービス グループに追加するには、以
下の手順を実行します。
• オブジェクトを作成します。[ 追加 ] をクリックしま
す。たとえば、サービス グループを作成するには、
[Objects] > [ サービス グループ ] > [ 追加 ] の順に選択
します。
• [タグ] ドロップダウン リストからタグを選択するか、
フレーズを入力して新規タグを作成します。
タグを編集するか、タグに色を追加するには、
[Objects] > [ タグ ] の順に選択します。
ポリシー
731
セキュリティ ポリシーでオブジェクトを検索するためのヒントとテクニック
ポリシー
セキュリティ ポリシーでオブジェクトを検索するための
ヒントとテクニック
ポリシー フィルタリングの仕組みは、非常に複雑なセキュリティ ポリシー ルールベースであっ
ても、その内部のオブジェクトを簡単に検索できる強力なツールです。以下の各トピックで
は、いくつか例を挙げて、セキュリティ ポリシー ルールベース([Policies] > [ セキュリティ])
を効率的に検索し、管理タスクを軽減する方法を学習します。

セキュリティ プロファイルを含むセキュリティ ポリシー ルールの検索

セキュリティ ポリシー内の無効化されたルールの検索

セキュリティ ポリシー内のログ転送詳細の検索

セキュリティ ポリシー内のログ詳細の検索

セキュリティ ポリシー内のスケジュール設定されたルールの検索
セキュリティ プロファイルを含むセキュリティ ポリシー ルールの検索

アンチウイルス プロファイルの検索

個々の URL フィルタリング プロファイルの検索

アンチスパイウェア プロファイルの検索

脆弱性防御プロファイルの検索

ファイル ブロッキング プロファイルの検索

データ フィルタリング プロファイルの検索
アンチウイルス プロファイルの検索
アンチウイルス セキュリティ プロファイルを検索するには、
profile-setting/profiles/virus/member 構 文を 使 用し ま す。た と えば、FTP、HTTP、
IMAP、POP3、SMB、および SMTP の各アプリケーション トラフィックに含まれるウイルスを
ブロックする BlockAll という名前のアンチウイルス プロファイルがあるとします。このアンチ
ウイ ル ス プ ロ ファ イ ルを 含 むす べ ての セ キュ リ ティ ポ リシ ー ル ー ルを 検 索す る には、
[Policies] タブのフィルタ テキスト ボックス内に以下の文字列を入力します。
profile-setting/profiles/virus/member eq BlockAll
検索フィルタでは大文字と小文字が区別されます。したがって、フィルタリングを実行する際
には、[Objects] タブに表示されるとおりにオブジェクト名を入力する必要があります。上の
例では、blockall または Blockall でフィルタリングしても何も一致しません。大文字/小
文字の違いも意識して正確に BlockAll と入力する必要があります。
732
ポリシー
ポリシー
セキュリティ ポリシーでオブジェクトを検索するためのヒントとテクニック
この検索フィルタを適用すると、次のように、BlockAll アンチウイルス セキュリティ プロファ
イルが添付されているセキュリティ ポリシー ルールのみがルールベースに表示されるようにな
ります。
個々の URL フィルタリング プロファイルの検索
URL フィルタリング プロファイルを検索するには、
profile-setting/profiles/url-filtering/member 構文を使用します。block malware
という名前の URL フィルタリング プロファイルを含むすべてのセキュリティ ポリシー ルール
を検索するには、フィルタ テキスト ボックス内に以下の文字列を入力します。
profile-setting/profiles/url-filtering/member eq “block malware”
この例では、プロファイル名にスペースが含まれているため、「block malware」URL フィル
タリング プロファイルが添付されたポリシー ルールにフィルタが一致するように、プロファ
イル名を引用符で囲む必要があります。
この検索フィルタを適用すると、「block malware」URL フィルタリング プロファイルが添付さ
れたセキュリティ ポリシー ルールのみがルールベースに表示されるようになります。
ポリシー
733
セキュリティ ポリシーでオブジェクトを検索するためのヒントとテクニック
ポリシー
アンチスパイウェア プロファイルの検索
アンチスパイウェア セキュリティ プロファイルを検索するには、
profile-setting/profiles/spyware/member 構文を使用します。default という名前の
アンチスパイウェア セキュリティ プロファイルが添付されたすべてのセキュリティ ポリシー
ルールを検索するには、フィルタ テキスト ボックス内に以下の文字列を入力します。
profile-setting/profiles/spyware/member eq default
この検索フィルタを適用すると、次のように、default アンチスパイウェア プ セキュリティ プロ
ファイルが添付されているセキュリティ ポリシー ルールのみがルールベースに表示されるよう
になります。
脆弱性防御プロファイルの検索
脆弱性防御セキュリティ プロファイルを検索するには、
profile-setting/profiles/vulnerability/member 構文を使用します。strict という
名前の脆弱性防御セキュリティ プロファイルが添付されたすべてのセキュリティ ポリシー
ルールを検索するには、フィルタ テキスト ボックス内に以下の文字列を入力します。
profile-setting/profiles/vulnerability/member eq strict
この検索フィルタを適用すると、次のように、strict 脆弱性防御セキュリティ プロファイルが添
付されているセキュリティ ポリシー ルールのみがルールベースに表示されるようになります。
734
ポリシー
ポリシー
セキュリティ ポリシーでオブジェクトを検索するためのヒントとテクニック
ファイル ブロッキング プロファイルの検索
ファイル ブロッキング セキュリティ プロファイルを検索するには、
profile-setting/profiles/file-blocking/member 構文を使用します。たとえば、す
べての PE ファイルを WildFire に転送して分析するために使用する、WildFire という名前のファ
イル ブロッキング プロファイルを作成したとします。フィルタ テキスト ボックス内に以下の
文字列を入力して WildFire という名前のファイル ブロッキング セキュリティ プロファイルが
添付されたすべてのセキュリティ ポリシー ルールを検索することで、このファイル ブロッキン
グ プロファイルが添付されたすべてのセキュリティ ポリシー ルールをすばやく確認できます。
profile-setting/profiles/file-blocking/member eq Wildfire
この検索フィルタを適用すると、次のように、WildFire ファイル ブロッキング セキュリティ プ
ロファイルが添付されているすべてのセキュリティ ポリシー ルールがルールベースに表示され
るようになります。
データ フィルタリング プロファイルの検索
特定のデータ フィルタリング セキュリティ プロファイルが添付されたセキュリティ ポリシー
ルールを検索するには、profile-setting/profiles/data-filtering/member 構文を
使用します。たとえば、credit cards という名前のデータ フィルタリング プロファイルを作成
したとします。フィルタ テキスト ボックス内に以下の文字列を入力して credit cards という名
前のデータ フィルタリング セキュリティ プロファイルが添付されたすべてのセキュリティ ポ
リシー ルールを検索することで、このプロファイルが添付されたすべてのセキュリティ ポリ
シー ルールを検索できます。
profile-setting/profiles/data-filtering/member eq “credit cards”
ここでもプロファイル名にスペースが含まれているため、プロファイル名を引用符で囲む必要
があります。
この検索フィルタを適用すると、次のように、credit cards データ フィルタリング セキュリティ
プロファイルが添付されているセキュリティ ポリシー ルールのみがルールベースに表示される
ようになります。
ポリシー
735
セキュリティ ポリシーでオブジェクトを検索するためのヒントとテクニック
ポリシー
セキュリティ ポリシー内の無効化されたルールの検索
ポリシー内で現在無効化されているすべてのセキュリティ ルールをすばやく確認する必要があ
る場合は、セキュリティ ポリシーの検索バーに次のコマンドを入力します。
disabled eq yes
セキュリティ ポリシー内のログ転送詳細の検索
特定のログ転送プロファイルを使用して現在ログを送信しているすべてのセキュリティ ルール
をすばやく確認する必要がある場合は、logsetting パラメータを使用してルールベースを
フィルタリングします。たとえば、panorama という名前のログ転送プロファイルを使用して
ログを転送しているすべてのルールをフィルタリングするには、[Policies] > [ セキュリティ]
ページの検索バーに次のコマンドを入力します。
logsetting eq panorama
736
ポリシー
ポリシー
セキュリティ ポリシーでオブジェクトを検索するためのヒントとテクニック
セキュリティ ポリシー内のログ詳細の検索
現在ログを送信しているすべてのセキュリティ ルールをすばやく確認する必要がある場合は、
ログ終了およびログ開始フィルタを使用してフィルタリングします。たとえば、セッションの
終了時にログを生成するすべてのポリシー ルールを確認するには、次のフィルタを使用して
ルールベースをフィルタリングします。
log-end eq yes
同様に、セッションの開始時と終了時にログを生成するすべてのポリシー ルールを確認するに
は、次のようにルールベースをフィルタリングします。
log-start eq yes
セキュリティ ポリシー内のスケジュール設定されたルールの検索
特定の時間スケジュール(たとえば昼食時など)に基づいてアクティブに設定されるすべての
セキュリティ ルールをすばやく確認する必要がある場合は、[Policies] > [ セキュリティ] ページ
の検索バーに次のコマンドを入力します。
schedule eq “Lunch time”
検索フィールドでは大文字と小文字を区別するため、ファイアウォールの設定に表示されると
おりにオブジェクト名を入力する必要があります。また、オブジェクト名にスペースが含まれ
る場合は、そのオブジェクト名を引用符で囲む必要があります。
ポリシー
737
セキュリティ ポリシーでオブジェクトを検索するためのヒントとテクニック
ポリシー
738
ポリシー
ポリシー
ポリシーでのダイナミック ブロック リストの使用
ポリシーでのダイナミック ブロック リストの使用
ファイアウォールまたは Panorama では、通常、送信元または宛先 IP アドレスに対してポリシー
を適用しますが、これらのアドレスは ファイアウォール上ではスタティックなオブジェクトと
して定義されます。動的に出現する送信元 / 宛先 IP アドレスのリストに対してポリシーを適用
する敏捷性が必要な場合は、ダイナミック ブロック リストを使用します。
ダイナミック ブロック リストは、IP アドレス、IP 範囲、または IP サブネットのリストが記述
されたテキスト ファイルで、Web サーバー上でホストされます。ダイナミック ブロック リスト
を使用すると、リストに含まれている IP アドレス(IPv4 と IPv6)に対するアクセスを許可また
は拒否できます。たとえば、IP アドレスのセットに対するアクセスを許可するホワイトリスト
として、または指定した IP アドレスに対するアクセスを拒否するブラックリストとして使用で
きます。ファイアウォールは、設定された間隔で、リストを動的にインポートし、リストに含
まれている IP アドレスのポリシーを適用します。リストを変更すると、ファイアウォールはそ
の変更を受信します。ファイアウォール側で構成の変更やコミットを行う必要はありません。
リストをホストしている Web サーバーが到達不能な場合、ファイアウォールまたは Panorama
は、Web サーバーとの接続が回復するまで、最後に正常に受信したリストを使用してポリシー
を適用します。

ファイアウォール モデルの IP アドレス制限の確認

ダイナミック ブロック リストのフォーマットに関するガイドライン

ダイナミック ブロック リストによるポリシーの適用

ダイナミック ブロック リストに含まれている IP アドレスの表示

Web サーバーからのダイナミック ブロック リストの取得
ファイアウォール モデルの IP アドレス制限の確認
ファイアウォール モデルに関係なく、各ファイアウォールは、最大 10 個のダイナミック ブ
ロック リストを使用できます。
お使いのファイアウォール モデルで、アドレス、アドレス グループ、およびグループあたりの
IP アドレスについて最大数を確認するには、次の CLI コマンドを使用します。
show system state | match cfg.general.max-address
例:
admin@PA-7050> show system state | match cfg.general.max-address
cfg.general.max-address: 80000
cfg.general.max-address-group: 8000
cfg.general.max-address-per-group: 500
ポリシー
739
ポリシーでのダイナミック ブロック リストの使用
ポリシー
各リストには、お使いのファイアウォール モデルでサポートされているアドレスの最大
数が表示されます。ファイアウォールでは最大 300 個の IP アドレスが内部用に予約され
ているため、使用可能な上限から 300 が差し引かれます。したがって、上の例では使用
可能な IP アドレスの最大数は 79,700 個になります。
ダイナミック ブロック リストのフォーマットに関するガイドライン
ダイナミック ブロック リストには、個々の IP アドレス、サブネット アドレス(アドレス / マ
スク)、または IP アドレスの範囲を指定できます。また、コメントや特殊文字(*、:、、#、/
など)も指定できます。リスト内の各行の構文は次のとおりです。[IP address, IP/Mask,
or IP start range-IP end range] [space] [comment]
ファイアウォールはフォーマットが間違っている行を無視するため、リストを定義する際には
以下のガイドラインを守るようにしてください。

1 行に 1 つの IP アドレス、IP 範囲、または IP サブネットを指定します。URL は指定できま
せん。

コメントを追加する場合は、IP アドレス、IP 範囲、IP サブネットと同じ行に指定する必要があ
ります。IP アドレスの末尾のスペースは、IP アドレスとコメントを分ける区切り文字です。
次に例を示します。
192.168.20.10/32
2001:db8:123:1::1 #test IPv6 address
192.168.20.0/24 ; test internal subnet
2001:db8:123:1::/64 test internal IPv6 range
192.168.20.40-192.168.20.50
IP アドレスをブロックする場合は、プロトコルが HTTP の場合のみ、通知ページを表示でき
ます。
ダイナミック ブロック リストによるポリシーの適用
ダイナミック ブロック リストによるポリシーの適用
ステップ 1
740
ダイナミック ブロック リスト 1.
を作 成し、Web サー バーで ホ
ストして、ファイアウォール
がリストを取得してポリシー
を評価できるようにします。
テキスト ファイルを作成し、ポリシーを適用する IP
アドレスを入力します。構文については、「ダイナ
ミック ブロック リストのフォーマットに関するガイド
ライン」を参照してください。
ポリシー
ポリシー
ポリシーでのダイナミック ブロック リストの使用
ダイナミック ブロック リストによるポリシーの適用(続き)
ステップ 2
ステップ 3
ファイアウォール上にダイナ 1.
ミック ブロック リスト オブ
ジェクトを作成します。
2.
[ 追加 ] をクリックして、リストの分かりやすい [ 名前 ]
を入力します。
3.
(任意)複数の仮想システム上で有効になっているデ
バイス上のすべての仮想システムとリストを共有する
には、[ 共有 ] を選択します。デフォルトでは、[ 仮想シ
ステム ] ドロップダウン リストで現在選択されている
仮想システム上にオブジェクトが作成されます。
4.
Web サーバー上に作成したリストの [ 送信元 ] URL(ホ
スト名または IP アドレスとパス)を入力します。例 :
https://1.2.3.4/DBL_2014
5.
[ソース URL のテスト] をクリックして、ファイアウォー
ルまたは Panorama が Web サーバーに接続できることを
確認します。
6.
(任意)ファイアウォールまたは Panorama がリストを
取得する [ 繰り返し ] 頻度を指定します。デフォルトで
は、1 時間ごとに取得されます。
7.
[OK] をクリックして変更を保存します。
ダイナミック ブロック リスト 1.
を、ポ リ シ ー 内 で、送 信 元 ま 2.
たは宛先アドレス オブジェク
トとして使用します。
3.
特定の IP アドレスにつ 4.
いて、許可または拒否
アクションを指定する
5.
必要がある場合は、別
のダイナミック ブロッ
ク リストを作成してく
6.
ださい。
リストは、任意のポリシー タ
7.
イプで参照できます。たとえ
ば、セキュリティ ポリシーで
宛先オブジェクトとして関連 8.
9.
付けることができます。
ポリシー
[Objects] > [ ダイナミック ブロック リスト ] を選択し
ます。
[Policies] > [ セキュリティ] の順に選択します。
[ 追加 ] をクリックして、[ 全般 ] タブで、ルールの分
かりやすい名前を入力します。
[ 送信元 ] タブで、[ 送信元ゾーン ] を選択します。
[ 宛先 ] タブで [ 宛先ゾーン ] を選択し、[ 宛先アドレス ]
としてダイナミック ブロック リストを選択します。
[ サービス /URL カテゴリ ] タブで、[ サービス ] が
[application-default] に設定されていることを確認し
ます。
[ アクション ] タブで、[ アクション設定 ] を [ 許可 ] ま
たは [ 拒否 ] に設定します。
それ以外のオプションは、すべてデフォルト値にして
おきます。
[OK] をクリックして変更を保存します。
変更を [ コミット ] します。
741
ポリシーでのダイナミック ブロック リストの使用
ポリシー
ダイナミック ブロック リストによるポリシーの適用(続き)
ステップ 4
ポリシー アクションが適用され 1.
ているかどうかテストします。
ダイナミック ブロック リストに含まれる IP アドレス
にアクセスして、定義したアクションが適用されるこ
とを確認します。
2.
[Monitor] > [ ログ ] > [ トラフィック ] の順に選択して、
セッションのログ エントリを表示します。
3.
フローと一致するポリシー ルールを確認するには、次
の CLI コマンドを使用します。
test security-policy-match source <IP_address>
destination <IP_address> destination port <port_number>
protocol <protocol_number>
ダイナミック ブロック リストに含まれている IP アドレスの表示
ダイナミック ブロック リストに含まれている IP アドレスの表示
ファイアウォールが Web サーバーから取得した IP アドレスのリストを確認するには、次の CLI コマン
ドを入力します。
request system external-list show name <name>
たとえば、DBL_2014 という名前のリストの場合、出力は次のようになります。
vsys1/DBL_2014:
Next update at: Wed Aug 27 16:00:00 2014
IPs:
1.1.1.1
1.2.2.2/20 #test China
192.168.255.0; test internal
192.168.254.0/24 test internal range
Web サーバーからのダイナミック ブロック リストの取得
ファイアウォールまたは Panorama は、毎時、毎日、毎週、または毎月の間隔で、Web サーバー
からダイナミック ブロック リストを取得するように設定できます。ダイナミック ブロック リ
ストの IP アドレスを追加または削除したため、即座にダイナミック ブロック リストの更新処
理を起動する必要がある場合は、コマンド ライン インターフェイスを使用します。
742
ポリシー
ポリシー
ポリシーでのダイナミック ブロック リストの使用
ダイナミック ブロック リストの取得
1.
次のコマンドを入力します。request system external-list refresh name <name>
例 : request system external-list refresh name DBL_2014
2.
CLI コマンドを使用して更新ジョブのジョブ ID を取得します。show jobs all
リスト内で最後の EBL 更新ジョブを検索します。
3.
見つかったジョブ ID の詳細を表示します。次のコマンドを使用します。show jobs id <number>
成功または失敗を示すメッセージが表示されます。例 :
admin@PA-200> show jobs id 55
Enqueued
ID
Type
Status Result Completed
-------------------------------------------------------------------------2014/08/26 15:34:14
55
EBLRefresh
FIN
OK 15:34:40
Warnings:
Details:
ポリシー
743
IP アドレスとタグの動的登録
ポリシー
IP アドレスとタグの動的登録
スケール、および柔軟性とパフォーマンスの低下に関する問題を軽減するため、最近のネット
ワーク アーキテクチャでは、クライアント、サーバー、およびアプリケーションをオンデマン
ドでプロビジョニング、変更、削除できます。しかし、こうした敏捷性と引き替えに、動的に
プロビジョニングされたクライアント、サーバー、およびこれらの仮想リソース上で有効化で
きる大量のアプリケーションの IP アドレスを完全に把握することが難しくなるため、セキュリ
ティ管理者は難題を突きつけられています。
弊社のファイアウォール(ハードウェア ベースのプラットフォームおよび VM-Series)では、IP
アドレスとタグを動的に登録する機能をサポートしています。IP アドレスとタグは、ファイア
ウォールに直接登録するか、Panorama を介してファイアウォールに登録できます。この動的な
登録プロセスを有効にするには、次のいずれかの方法を使用します。

Windows の User-ID エージェント — User-ID エージェントがデプロイされている環境では、
User-ID エージェントを使用して、VMware ESXi および(または)vCenter Server を 100 台まで
モニターできます。これらの VMware サーバー上の仮想マシンをプロビジョニングまたは変
更すると、エージェントが、IP アドレスの変更を取得し、その情報をファイアウォールと共
有します。

VM 情報ソース — VMware ESXi、vCenter Server、および AWS-VPC をモニターして、ユーザー
がこれらのソース上の仮想マシンをプロビジョニングまたは変更したとき、IP アドレスの変
更を取得できます。VM 情報ソースでは、事前定義済みの属性のセットをポーリングするた
め、XML API を介して IP アドレスを登録する外部スクリプトは必要ありません。「仮想環
境における変更のモニタリング」を参照してください。

VMware Service Manager(統合化 NSX ソリューションでのみ使用可能)— 統合化 NSX ソ
リューションは、Palo Alto Networks の次世代セキュリティ サービスのプロビジョニングと配
信の自動化、および Panorama による動的なコンテキスト ベースのセキュリティ ポリシーの
適用を実現するよう設計されています。NSX Manager は、この統合化ソリューションでデプ
ロイされた仮想マシンに関連付けられた IP アドレスとタグに関する最新情報で Panorama を
更新します。このソリューションについての詳細は、「VM-Series NSX エディションのファ
イアウォールの設定」. を参照してください。

XML API — ファイアウォールと Panorama では、標準の HTTP 要求を使用してデータの送受
信を行う XML API をサポートしています。XML API を使用して、IP アドレスとタグをファ
イアウォールまたは Panorama に登録できます。API 呼び出しは、cURL などのコマンドライ
ン ユーティリティから直接実行できます。また、REST ベースのサービスをサポートする任
意のスクリプトやアプリケーション フレームワークを使用して実行することもできます。詳
細は、『PAN-OS XML API Usage Guide』(英語)を参照してください。
ダイナミック アドレス グループの作成と使用に関する詳細は、「ポリシー内でのダイナミック
アドレス グループの使用」を参照してください。
タグを動的に登録する CLI コマンドについては、「ダイナミック IP アドレスおよびタグを確認
する CLI コマンド」を参照してください。
744
ポリシー
ポリシー
仮想環境における変更のモニタリング
仮想環境における変更のモニタリング
新しいユーザーとサーバーが次々に現れる環境でアプリケーションのセキュリティを保護し脅
威を防ぐには、セキュリティ ポリシーの敏捷性を高める必要あがります。敏捷性を高めるに
は、ファイアウォールが新規の IP アドレスまたは変更された IP アドレスを学習して、常に確
実にポリシーを適用できなければなりません。しかも、こうした操作をファイアウォールの設
定を変更することなく実行できる必要があります。
これは、ファイアウォールの [VM 情報ソース ] 機能と [ ダイナミック アドレス グループ ] 機能
を組み合わせることによって実現できます。弊社のファイアウォールと Panorama では、モニ
ター対象の各ソース上の仮想マシン(またはゲスト)インベントリに関する情報の自動収集機
能を用意しており、ネットワーク上の動的な変更と同期されたポリシー オブジェクトを作成し
ます。

VM をモニタリングして仮想ネットワーク上の変更を追跡する

AWS および VMware 環境でモニターされる属性

ポリシー内でのダイナミック アドレス グループの使用
ポリシー
745
仮想環境における変更のモニタリング
ポリシー
VM をモニタリングして仮想ネットワーク上の変更を追跡する
VM 情報ソースを使用すると、モニター対象の各ソース(ホスト)上の仮想マシン (VM) インベ
ントリに関する情報を自動的に収集できます。これにより、ファイアウォールは、VMware
ESXi、vCenter Server、および AWS-VPC をモニターできます。仮想マシン(ゲスト)がデプロイ
または移行されると、ファイアウォールはタグとして事前定義済みの属性(またはメタデータ
要素)のセットを収集します。これらのタグを使用してダイナミック アドレス グループ(「ポ
リシー内でのダイナミック アドレス グループの使用」を参照)を定義し、ポリシー内の情報と
照合できます。
VM 情報ソースは最大 10 個までファイアウォールに構成できます。また、Panorama テンプレー
トを使用してプッシュすることもできます。デフォルトでは、ファイアウォールとモニター対
象ソース間のトラフィックに、ファイアウォール上の管理 (MGT) ポートを使用します。
VM 情報ソース は設定が容易で、事前定義済みの 16 のメタデータ要素または属性のセットを
モニターできます。詳細は、「AWS および VMware 環境でモニターされる属性」を参照して
ください。
746
ポリシー
ポリシー
仮想環境における変更のモニタリング
VM モニタリング エージェントの設定
ステップ 1
VM モニタリング エージェン 1.
トを有効化します。
2.
各ファイアウォール、ま
たはマルチ仮想システム
対応ファイアウォールの
各仮想システムについ
て、最大 10 個の送信元
を設定できます。
高可用性設定でファイア
ウォールが設定されている場
合、以下が適用されます。
• アクティブ / パッシブ セッ
トアップでは、アクティブ
なファイアウォールのみが
VM 情報ソースをモニター
します。
• アクティブ/アクティブ セッ
トアップでは、優先度の値
が「プ ラ イ マ リ」の フ ァ イ
アウォールのみが VM 情報
ソースをモニターします。
[Device] > [VM 情報ソース ] を選択します。
[ 追加 ] をクリックして、次の情報を入力します。
• モニターする VMware ESX(i) または vCenter Server を
識別する [ 名前 ] を入力します。
• [ サーバーのホスト情報 ] — ホスト名または IP アド
レス、およびリッスンする [ ポート ] を入力します。
• [ タイプ ] を選択して、ソースが [VMware ESX(i)] サー
バーまたは [VMware VCenter] サーバーのどちらな
のかを指定します。
• 上 記 の サ ー バ ー の 認 証 を 受 け る た め、認 証 情 報
([ ユーザー名 ] と [ パスワード ])を追加します。
• 管理ユーザーの認証情報を使用してアクセスを有効
化します。
• (任意)[ 更新間隔 ] を 5 ~ 600 秒の間の値に変更し
ます。デフォルトでは、ファイアウォールは 5 秒ご
とにポーリングします。API 呼び出しは毎回 60 秒以
内にキューに登録され取得されるため、更新の最大
所要時間は 60 秒に設定ポーリング間隔を加えた値と
なります。
• (任意)モニター対象送信元ホストが応答しない場
合、そのホストへの接続を閉じるまでの間隔(時)
を入力します(デフォルト : 2 時間、範囲は 2 ~ 10 時
間)。デフォルト値を変更するには、[ 送信元切断
時のタイムアウトを有効にする ] チェック ボックス
をオンにして値を指定します。指定した時間に達し
た場合、またはホストがアクセス不能か応答しない
場合、ファイアウォールによって送信元への接続が
閉じられます。
• [OK] をクリックし、変更をコミットします。
• 接続 [ 状態 ] が
(接続済み)と表示されているこ
とを確認します。
ポリシー
747
仮想環境における変更のモニタリング
ポリシー
VM モニタリング エージェントの設定(続き)
ステップ 2
接続状態を確認します。
接続 [ 状態 ] が
認します。
(接続済み)と表示されていることを確
接続状態が保留または切断の場合は、送信元が動作してお
り、ファイアウォールが送信元にアクセスできることを確
認します。モニター対象送信元ソースとの通信に MGT
ポート以外のポートを使用する場合は、サービス ルートを
変更する必要があります([Device] > [ セットアップ ] >
[ サービス ] の順に選択し、[ サービス ルートの設定 ] リン
クをクリックして、[VM モニター] サービスの [ 送信元イン
ターフェイス ] を変更します)。
748
ポリシー
ポリシー
仮想環境における変更のモニタリング
AWS および VMware 環境でモニターされる属性
モニター対象の ESXi サーバーまたは vCenter サーバーの各 VM に VMware Tools がインストール
されていて実行中である必要があります。VMware Tools を使用して、各 VM に割り当てられた
IP アドレスとその他の値を収集できます。
モニター対象 VM に割り当てられた値を収集するには、ファイアウォールで以下の事前定義済
み属性セットをモニターする必要があります。
VMware ソースでモニターされる属性
AWS-VPC でモニターされる属性
• UUID
• アーキテクチャ
• 名前
• ゲスト OS
• ゲスト OS
• イメージ ID
• VM の状態 — 電源状態は「poweredOff」、 • インスタンス ID
「poweredOn」、「standBy」、「unknown」
のいずれかです。
• 注釈
• インスタンスの状態
• バージョン
• インスタンス タイプ
• ネットワーク — 仮想スイッチ名、ポート グ • キー名
ループ名、VLAN ID
• コンテナ名 — vCenter 名、データ センター • 配置 — テナンシー、グループ名、可用性ゾーン
オブジェクト名、リソース プール名、クラ
スタ名、ホスト、ホスト IP アドレス。
• プライベート DNS 名
• パブリック DNS 名
• サブネット ID
• タグ(キー、値)(インスタンスごとに最大 5 個
のタグをサポート)
• VPC ID
ポリシー
749
仮想環境における変更のモニタリング
ポリシー
ポリシー内でのダイナミック アドレス グループの使用
ダイナミック アドレス グループは、ポリシー内で使用します。ダイナミック アドレス グルー
プを使用すると、サーバーの追加、移動、削除といった変更に自動的に適応するポリシーを作
成できます。また、ネットワーク、オペレーティング システム、またはオペレーティング シス
テムが処理するさまざまな種類のトラフィックのロールを定義するタグに基づいて異なるルー
ルを同じサーバーに適用する柔軟性も実現できます。
ダイナミック アドレス グループは、グループのメンバーを決定するためのフィルタリング基準
としてタグを使用します。フィルタでは、論理演算子 and および or を使用します。フィルタリ
ング基準に一致するすべての IP アドレスまたはアドレス グループがダイナミック アドレス グ
ループのメンバーになります。タグはファイアウォール上に静的に定義することもできます
し、ファイアウォールに動的に登録することもできます。スタティック タグとダイナミック タ
グの違いは、スタティック タグがデバイス設定の一部であるのに対して、ダイナミック タグは
ランタイム設定の一部である点です。したがって、ダイナミック タグを更新するためにコミッ
トは必要ありません。ただし、ダイナミック アドレス グループによって使用されるタグはポリ
シーによって参照されるため、ポリシーをデバイスにコミットする必要があります。
タグを動的に登録するには、ファイアウォール上または User-ID エージェント上で XML API ま
たは VM モニタリングを使用します。各タグは、ファイアウォールまたは Panorama に登録され
るメタデータ要素または属性値のペアです。たとえば、IP1 {tag1, tag2,.....tag32} では、IP アドレ
スと関連タグがリストとして保持されています。登録済みの各 IP アドレスには、オペレーティ
ング システム、データセンター、またはその所属先仮想スイッチなど最大 32 個のタグを付ける
ことができます。ファイアウォールは、API 呼び出しから 60 秒以内に、IP アドレスと関連タグ
を登録し、ダイナミック アドレス グループのメンバー情報を自動的に更新します。
登録可能な IP アドレスの最大個数はプラットフォームによって異なります。以下の表で、お使
いのプラットフォームの数字を確認してください。
プラットフォーム
動的に登録可能な IP アドレスの最大個数
PA-7050、PA-5060、VM-1000-HV
100,000
PA-5050
50,000
PA-5020
25,000
PA-4000 シリーズ、PA-3000 シリーズ
5000
PA-2000 シリーズ、PA-500、PA-200、VM-300、 1000
VM-200、VM-100
以下の例に、ダイナミック アドレス グループによってネットワーク セキュリティの実施を簡素
化する方法を示します。この例のワークフローは、以下の操作を実行する方法を示しています。

ファイアウォール上で VM モニタリング エージェントを有効にして、VMware ESX(i) ホスト
または vCenter Server をモニターし、VM IP アドレスと関連タグを登録します。
750
ポリシー
ポリシー
仮想環境における変更のモニタリング

ダイナミック アドレス グループを作成し、フィルタリング用のタグを定義します。この例
では、2 つのアドレス グループを作成します。1 つはダイナミック タグのみを使用してグ
ループのメンバーを決定するアドレス グループ、もう 1 つは、スタティック タグとダイナ
ミック タグの両方を使用してグループのメンバーを決定するアドレス グループです。

ファイアウォール上で、ダイナミック アドレス グループのメンバーが決定されていること
を確認します。

ポリシー内でダイナミック アドレス グループを使用します。この例では、次の 2 つの異なる
セキュリティ ポリシーを使用します。

–
FTP サーバーとしてデプロイされたすべての Linux サーバーのセキュリティ ポリシー。
このルールは、動的に登録されたタグに基づいてマッチングを行います。
–
Web サーバーとしてデプロイされたすべての Linux サーバーのセキュリティ ポリシー。
このルールは、スタティック タグとダイナミック タグを使用しているダイナミック ア
ドレス グループに基づいてマッチングを行います。
新規の FTP サーバーまたは Web サーバーをデプロイすると、ダイナミック アドレス グルー
プのメンバーが更新されることを確認します。これにより、セキュリティ ルールが、これら
の新しい仮想マシンにも適用されます。
ポリシー内でのダイナミック アドレス グループの使用
ステップ 1
ポリシー
VM 送信元モニタリングを有効 「VM をモニタリングして仮想ネットワーク上の変更を追
化します。
跡する」を参照してください。
751
仮想環境における変更のモニタリング
ポリシー
ポリシー内でのダイナミック アドレス グループの使用(続き)
ステップ 2
ファイアウォール上にダイナ 1.
ミック アドレス グループを作
成します。
2.
ファイアウォールの Web インターフェイスにログイン
します。
この機能の概略を把握す 3.
るために、チュートリア
ルを参照してください。 4.
[ 追加 ] をクリックし、アドレス グループの [ 名前 ] お
よび [ 説明 ] を入力します。
[Object] > [ アドレス グループ ] を選択します。
[ タイプ ] で [ ダイナミック ] を選択します。
5.
一致条件を指定します。グループのメンバーを決定す
る一致条件として、スタティック タグとダイナミック
タグを選択できます。[ 条件の追加 ] をクリックして、
[AND] または [OR] 演算子を選択し、フィルタリングま
たは照合に使用する属性を選択して [OK] をクリック
します。
6.
[ コミット ] をクリックします。
この例の各ダイナミック アドレス グループの一致条件は次のとおりです。
ftp_server: ゲスト オペレーティング システム「Linux 64-bit」に一致し、「ftp」という注釈が付いている
('guestos.Ubuntu Linux 64-bit' and 'annotation.ftp')
web-servers: 次の 2 つの条件に一致する。すなわち、タグが黒色か、またはゲスト オペレーティング シス
テムが Linux 64 ビットでなおかつサーバー名が Web_server_Corp ('guestos.Ubuntu Linux 64-bit' and
'vmname.WebServer_Corp' or 'black')
752
ポリシー
ポリシー
仮想環境における変更のモニタリング
ポリシー内でのダイナミック アドレス グループの使用(続き)
ステップ 3
ポリシー内でダイナミック アド 1.
レス グループを使用します。
2.
チュートリアルを参照し
3.
てください。
[Policies] > [ セキュリティ] の順に選択します。
[ 追加 ] をクリックし、ポリシーの [ 名前 ] および [ 説
明 ] を入力します。
[ 送信元ゾーン ] を追加して、トラフィックの送信元と
なるゾーンを指定します。
4.
トラフィックが終端する [ 宛先ゾーン ] を追加します。
5.
宛先アドレス で、上記のステップ 2 で作成したダイナ
ミック アドレス グループを選択します。
6.
トラフィックに対するアクション([ 許可 ] または [ 拒
否 ])を指定し、必要に応じてデフォルト セキュリ
ティ プロファイルをルールに関連付けます。
7.
上記のステップ 1 から 6 を繰り返し、もう 1 つポリシー
ルールを作成します。
8.
[ コミット ] をクリックします。
この例では、2 つのポリシー、すなわち、FTP サーバーにアクセスするためのポリシーと Web サーバー
にアクセスするためのポリシーを作成する方法を示します。
ポリシー
753
仮想環境における変更のモニタリング
ポリシー
ポリシー内でのダイナミック アドレス グループの使用(続き)
ステップ 4
ファイアウォール上で、ダイ 1.
ナミック アドレス グループの
メンバーが決定されているこ 2.
とを確認します。
3.
[Policies] > [ セキュリティ] の順に選択し、ルールを選
択します。
アドレス グループのリンクの隣にあるドロップダウン
の矢印を選択し、[ 検査 ] をクリックします。一致基準
が正確であるか確認することもできます。
[ 詳細 ] リンクをクリックし、登録された IP アドレスの
リストが表示されることを確認します。
このアドレス グループに属し、ここに表示される
すべての IP アドレスについてポリシーが適用され
ます。
754
ポリシー
ポリシー
ダイナミック IP アドレスおよびタグを確認する CLI コマンド
ダイナミック IP アドレスおよびタグを確認する CLI コマ
ンド
弊社ファイアウォールおよび Panorama の コマンドライン インターフェイスを使用すると、タ
グおよび IP アドレスの動的登録元となるさまざまなソースの詳細を確認できます。また、タグ
の登録と登録解除を監査することもできます。以下に、CLI の機能を例を挙げて説明します。
例
CLI コマンド
す べ て の 登 録 済 み IP ア ド レ ス の う ち、 show log iptag tag_name equal state.poweredOn
state.poweredOn タ グ に 一 致 す る か、 show log iptag tag_name not-equal switch.vSwitch0
vSwitch0 というタグの付いていないもの
を表示します。
VM 情報ソースによって取得された動的に show vm-monitor source source-name vmware1 tag
登録された IP アドレスのうち、vmware1 state.poweredOn registered-ip all
という名前で、poweredOn というタグの付
registered IP
Tags
いているものを表示します。
----------------------------- ----------------fe80::20c:29ff:fe69:2f76
"state.poweredOn"
10.1.22.100
"state.poweredOn"
2001:1890:12f2:11:20c:29ff:fe69:2f76
"state.poweredOn"
fe80::20c:29ff:fe69:2f80
"state.poweredOn"
192.168.1.102
"state.poweredOn"
10.1.22.105
"state.poweredOn"
2001:1890:12f2:11:2cf8:77a9:5435:c0d
"state.poweredOn"
fe80::2cf8:77a9:5435:c0d
"state.poweredOn"
特定の VM モニタリング送信元から学習し debug vm-monitor clear source-name <name>
たすべての IP アドレスとタグを、同送信元
から切断せずにクリアします。
すべての送信元から登録された IP アドレス show object registered-ip all
を表示します。
すべての送信元から登録された IP アドレス show object registered-ip all option count
の数を表示します。
すべての送信元から登録された IP アドレス debug object registered-ip clear all
をクリアします。
XML API を使用して登録された特定の IP ア debug object test registered-ip
[<register/unregister>] <ip/netmask> <tag>
ドレスのタグを追加または削除します。
ポリシー
755
ダイナミック IP アドレスおよびタグを確認する CLI コマンド
例
ポリシー
CLI コマンド
特定の情報ソースから登録されたすべての show vm-monitor source source-name vmware1
tag all
タグを表示します。
vlanId.4095
vswitch.vSwitch1
host-ip.10.1.5.22
portgroup.TOBEUSED
hostname.panserver22
portgroup.VM Network 2
datacenter.ha-datacenter
vlanId.0
state.poweredOn
vswitch.vSwitch0
vmname.Ubuntu22-100
vmname.win2k8-22-105
resource-pool.Resources
vswitch.vSwitch2
guestos.Ubuntu Linux 32-bit
guestos.Microsoft Windows Server 2008 32-bit
annotation.
version.vmx-08
portgroup.VM Network
vm-info-source.vmware1
uuid.564d362c-11cd-b27f-271f-c361604dfad7
uuid.564dd337-677a-eb8d-47db-293bd6692f76
Total: 22
フ ァ イ ア ウ ォ ー ル 上 の VM モ ニ タ リ ン グ • CLI から登録されたタグを表示するには、以下のコマンド
を実行します。
エージェント、XML API、Windows User-ID
エージェント、CLI など、特定のデータ送
show log iptag datasource_type equal unknown
信元から登録されたすべてのタグを表示し
• XML API から登録されたタグを表示するには、以下のコ
ます。
マンドを実行します。
show log iptag datasource_type equal xml-api
• VM 情報ソースから登録されたタグを表示するには、以下
のコマンドを実行します。
show log iptag datasource_type equal vm-monitor
• Windows User-ID エージェントから登録されたタグを表示
するには、以下のコマンドを実行します。
show log iptag datasource_type equal xml-api
datasource_subtype equal user-id-agent
(すべての送信元について)特定の IP アド debug object registered-ip show tag-source ip
レスから登録されたすべてのタグを表示し ip_address tag all
ます。
756
ポリシー
ポリシー
プロキシ経由の HTTP/HTTPS 要求に使用するクライアント IP アドレスをログに記録する
プロキシ経由の HTTP/HTTPS 要求に使用するクライアン
ト IP アドレスをログに記録する
ネットワーク上のユーザーとファイアウォールの間にプロキシ サーバーがデプロイされている
場合、ファイアウォールは、プロキシ サーバーの IP アドレスを、コンテンツを要求したクライ
アントの IP アドレスではなく、プロキシが転送するトラフィックの送信元 IP アドレスと見な
すことがあります。多くの場合、プロキシ サーバーは、送信元クライアントの実際の IP アドレ
スが含まれているパケットに、X-Forwarded-For ヘッダを追加します。このような場合に、コン
テンツを要求したクライアントを特定する必要がある場合は、パケットの X-Forwarded-For ヘッ
ダ フィールドの値をログに記録するようにファイアウォールを設定する必要があります。
X-Forwarded-For の値をログに記録することにより、クライアントの IP アドレスまたはユーザー
名(利用可能な場合)、プロキシ チェーン内で最後にトラバースされたプロキシ サーバーの IP
アドレス、または同フィールドに含まれている任意の文字列を取得できます。管理者は、この
情報を使用してレポートを生成し、社内ネットワークからの Web アクセスをモニターして、社
内ネットワークからの Web アクセスを安全に有効化するセキュリティ ポリシーを作成 / 変更で
きます。
プロキシ経由の Web 要求の X-Forwarded-For フィールドに含まれているクライアント IP アドレ
スをログに記録するには、次のどちらかの方法でファイアウォールを設定します。

X-Forwarded-For の値をトラフィック ログに記録する

X-Forwarded-For の値を URL フィルタリング ログに記録する
X-Forwarded-For の値をトラフィック ログに記録する
X-Forwarded-For フィールドの値をトラフィック ログに記録するように設定すると、ファイア
ウォールによって、トラフィック ログの送信元 IP アドレス フィールドの値が X-Forwarded-For
ヘッダ フィールドに格納されている IP アドレスで置換されます。また、パケットがファイア
ウォールを出て外部サーバーからコンテンツを取得する際に、X-Forwarded-For フィールドから
IP アドレスを削除するようにファイアウォールを設定することもできます。この機能により、
コンテンツを要求したユーザーの IP アドレスを記録し、リクエストがインターネットに出て行
く前にユーザーの IP アドレスをパケットから削除できます。
ポリシー
757
プロキシ経由の HTTP/HTTPS 要求に使用するクライアント IP アドレスをログに記録する
ポリシー
X-Forwarded-For の値をトラフィック ログに記録する
ステップ 1
X-Forwarded-For フィールドの 1.
URL フィルタリング ログへの
記録を有効にします。
2.
このフィールドの値は、要求
の送信元クライアントの IP ア
ド レ ス、ま た は プ ロ キ シ
チェーン内で最後に要求を処
理したプロキシ サーバーの IP
アドレスです。
ステップ 2
発信 Web 要求の X-Forwarded-For 1.
フィールドから IP アドレスを
削除します。
2.
[Device] > [ セットアップ ] > [ コンテンツ ID] の順に選
択します。
[URL フィルタリング ] セクションで、[x-forwarded-for
ヘッダ情報の記録 ] チェック ボックスをオンにしま
す。X-Forwarded-For フィールドの IP アドレスがトラ
フィック ログの送信元 IP アドレス フィールドに記録
されます。
[Device] > [ セットアップ ] > [ コンテンツ ID] の順に選
択します。
[URL フィルタリング ] セクションで、[x-forwarded-for
除去 ] チェック ボックスをオンにします。要求がサー
バーに転送される前に、ファイアウォールによって、
X-Forwarded-For フィールドから IP アドレスが削除され
ます。
X-Forwarded-For の値を URL フィルタリング ログに記録する
Web 要求の X-Forwarded-For フィールドの値を URL フィルタリング ログに記録するようにファ
イアウォールを設定できます。この場合、ログの X-Forwarded-For フィールドの値は、クライア
ントの IP アドレス、ユーザー名(利用可能な場合)、または同フィールドに格納されている最
大 128 文字の任意の文字列になります。この設定は URL フィルタリング プロファイルで行うた
め、出力は URL フィルタリング ログの一部になります。ただし、X-Forwarded-For 値は URL
フィルタリング ログの一部であっても、URL フィルタリング ログをクリックしてログ内に入っ
たら、関連するログ エントリをクリック スルーして、脅威ログや WildFire ログの相関データを
参照することもできます。
X-Forwarded-For の値を URL フィルタリング ログに記録する
1.
[Objects] > [ セキュリティ プロファイル ] > [URL フィルタリング ] の順に選択します。
2.
新規のプロファイルを [ 追加 ] して分かりやすい [ 名前 ] を入力するか、既存のプロファイル(デ
フォルト プロファイルなどの事前定義済みのプロファイルを除く)を選択します。
3.
[ カテゴリ ] タブで、Web コンテンツに対するアクセスを制御する方法を定義します。可視化ま
たは制御する各カテゴリで、以下のように [ アクション ] 列から値を選択します。
• トラフィックのカテゴリは問題とならない場合(つまり、ブロックもログへの記録もしない
場合)、[allow] を選択します。
• カテゴリ内のサイトへのトラフィックを可視化する場合は、[alert] を選択します。
• カテゴリに一致するトラフィックへのアクセスを拒否して、ブロックされたトラフィックの
ログ記録を有効にするには、[block] を選択します。
758
ポリシー
ポリシー
プロキシ経由の HTTP/HTTPS 要求に使用するクライアント IP アドレスをログに記録する
X-Forwarded-For の値を URL フィルタリング ログに記録する(続き)
4.
[ 設定 ] タブで、[X-Forwarded-For] チェックボックスをオンにして、X-Forwarded-For 値の URL
フィルタリング ログへの記録を有効にします。
5.
URL フィルタリング プロファイルをポリシー ルールに適用します。
6.
設定の変更を [ コミット ] します。
ポリシー
759
ポリシー ベース フォワーディング
ポリシー
ポリシー ベース フォワーディング
ファイアウォールは通常、パケットの宛先 IP アドレスを使用して発信インターフェイスを決定
します。具体的には、発信インターフェイスに接続されている仮想ルーターに関連付けられた
ルーティング テーブルを使用してルート検索を実行します。ポリシー ベース フォワーディン
グ (PBF) では、ルーティング テーブルをオーバーライドして、送信元と宛先の IP アドレスやト
ラフィック タイプなどの個々のパラメータに基づいて、発信または egress(出力)インターフェ
イスを指定できます。

PBF

ポリシー ベース フォワーディング ルールの作成

ユース ケース : デュアル ISP でのアウトバウンド アクセス用 PBF

ユース ケース : PBF により仮想システム経由でトラフィックをルーティングする
760
ポリシー
ポリシー
ポリシー ベース フォワーディング
PBF
PBF ルールを使用すると、ルーティング テーブルに指定されたネクスト ホップからの代替経路
を選択させることができます。これは通常、セキュリティまたはパフォーマンス上の理由で出
力インターフェイスを指定するときに使用します。たとえば、本社と支店が、安価なインター
ネットと高価な専用線の 2 つのリンクで接続されているとします。専用線は帯域幅が広く、低
レイテンシ-の(遅延の少ない)リンクです。セキュリティを高める場合は、PBF を使用し
て、FTP などのアプリケーションによって生成される非暗号化トラフィックは専用線を介して
送信し、その他のトラフィックはインターネット経由で送信します。また、パフォーマンスを高
める場合は、基幹業務アプリケーションのトラフィックは専用線を通すようにルーティングし、
Web ブラウジングなど、その他のすべてのトラフィックは安価なリンクを介して送信します。
出力パスと対称リターン
PBF を使用すると、トラフィックを特定のインターフェイスに向ける、トラフィックを破棄す
る、(マルチ仮想システムが有効になっているシステムで)トラフィックを別の仮想システム
に向けるといった操作を実行できます。
デュアル ISP 環境など、非対称ルートのあるネットワークで
は、ファイアウォール上のトラフィック着信インターフェイス
と発信インターフェイスが異なっていると接続の問題が発生し
ます。ルートが非対称の場合、すなわち、フォワード(SYN パ
ケット)パスとリターン (SYN/ACK) パスが異なる場合、ファ
イアウォールはセッション全体の状態を追跡できないため、接
続エラーが発生します。トラフィックが対称パスを通過するよ
うにするには、つまり、トラフィックの発信および着信イン
ターフェイスと、セッションが作成されたインターフェイスを
一致させるには、対称リターンオプションを有効にします。
対称リターンでは、仮想ルーターがリターン トラフィックの
ルーティング検索をオーバーライドして、自分が SYN パケット
(または最初のパケット)を受信した MAC アドレスに向けて
トラフィックを戻します。ただし、宛先 IP アドレスが入力 / 出
力インターフェイスの IP アドレスと同じサブネット上に存在す
る場合は、ルート検索が実行され、対称リターンは実施されま
せん。これにより、トラフィックがブラックホールに入ってし
まうのを防ぎます。
対称リターンのネクスト ホップを決定するために、ファイアウォールはアドレス解決プ
ロトコル (ARP) テーブルを使用します。ARP テーブルの最大エントリ数は、ファイア
ウォールのモデルによって制限されており、ユーザーが設定することはできません。お
使いのモデルの制限値を確認するには、CLI コマンド show pbf return-mac all を
使用します。
ポリシー
761
ポリシー ベース フォワーディング
ポリシー
パス モニタリング
パス モニタリングでは、IP アドレスへの接続を確認し、必要に応じてファイアウォールが代替
ルート経由でトラフィックを送信できるようにします。ファイアウォールでは、ICMP ping を
ハートビートとして使用して、指定された IP アドレスが到達可能かどうかを確認します。
モニタリング プロファイルを使用すると、ハートビートのしきい値を指定して、IP アドレスが
到達可能かどうかを確認できます。モニター対象の IP アドレスが到達不可能な場合は、PBF
ルールを無効化するか、フェイル オーバーまたは回復を待機アクションを指定します。PBF
ルールを無効化すると、仮想ルーターがルーティング決定を引き受けます。
以下の表に、新規セッションと確立済みセッションとで、パス モニタリング エラーが発生した
ときの動作の違いを示します。
モニタリング エラー発生時
のセッションの動作
モニター対象 IP アドレスが到達不能な モニター対象 IP アドレスが到達不能な場合
場合もルールを有効なままにする
はルールを無効にする
確立済みセッションの場合
回復を待機 — PBF ルールに指定さ 回復を待機 — PBF ルールに指定された
れた出力インターフェイスを引き 出力インターフェイスを引き続き使用
します
続き使用します
フェイル オーバー — ルーティング フェイル オーバー — ルーティング テー
テーブルによって決定したパスを ブルによって決定したパスを使用しま
す(PBF なし)
使用します(PBF なし)
新規セッションの場合
回復を待機 — ルーティング テーブ 回復を待機 — 残りの PBF ルールを確認
ルによって決定したパスを使用し します。一致するルールがなければ、
ます(PBF なし)
ルーティング テーブルを使用します。
フェイル オーバー — ルーティング フェイル オーバー — 残りの PBF ルール
テーブルによって決定したパスを を確認します。一致するルールがなけ
使用します(PBF なし)
れば、ルーティング テーブルを使用し
ます。
PBF におけるサービスとアプリケーション
PBF ルールは、最初のパケット (SYN) または最初のパケットに対する応答 (SYN/ACK) に適用さ
れます。つまり、アプリケーションを確認できる十分な情報をファイアウォールが取得する前
に、PBF ルールが適用される可能性があります。このため、アプリケーション固有のルールを
PBF で使用することはお勧めできません。できるかぎり、サービス オブジェクト(プロトコル
またはアプリケーションによって使用されるレイヤー 4 ポート(TCP または UDP))を使用し
てください。
PBF ルールにアプリケーションを指定すると、ファイアウォールは App-ID キャッシングを実行
します。アプリケーションが初めてファイアウォールを通過するとき、ファイアウォールには
そのアプリケーションを識別するだけの十分な情報がないため、PBF ルールを適用できませ
ん。着信パケットの数が増えてくると、ファイアウォールはアプリケーションを特定し、
762
ポリシー
ポリシー
ポリシー ベース フォワーディング
App-ID キャッシュにエントリを作成して、この App-ID をセッション期間中保持します。同じ
宛先 IP アドレス、宛先ポート、およびプロトコル ID で新規のセッションが作成された場合、
ファイアウォールは、そのアプリケーションを(App-ID キャッシュに基づいて)最初のセッ
ションと同じアプリケーションとして識別し、PBF ルールを適用します。したがって、完全一致
ではない、同じアプリケーションではないセッションは、PBF ルールに基づいて転送できます。
また、アプリケーションには依存性があり、アプリケーションの ID は、ファイアウォールが受
信するパケット数が増えてくると変化する可能性があります。PBF はセッションの開始時に
ルーティングを決定するため、ファイアウォールは、アプリケーション ID の変化に対応できま
せん。たとえば、YouTube は、Web ブラウジングとして開始されますが、その後、ページに含
まれているさまざまなリンクや動画に応じて、Flash、RTSP、YouTube などに変化します。とこ
ろが、PBF を使用すると、ファイアウォールはセッションの開始時に YouTube アプリケーショ
ンを Web ブラウジングとして識別するため、その後アプリケーション ID が変化しても認識さ
れません。
PBF ルールにはドメイン名を使用できません。ルールに使用できるのは IP アドレスのみです。また、カスタム アプリ
ケーション、アプリケーション フィルタ、アプリケーション グループも使用できません。
ポリシー ベース フォワーディング ルールの作成
「PBF」ルールを使用すると、トラフィックをファイアウォール上の特定の出力インターフェ
イスに向けることで、そのトラフィックのデフォルトのパスをオーバーライドできます。
ポリシー
763
ポリシー ベース フォワーディング
ポリシー
PBF ルールの作成
ステップ 1
PBF ルールを作成します。
1.
PBF ルールを作成する際には、
ルールの名前、送信元ゾーン 2.
またはインターフェイス、お
よび出力インターフェイスを 3.
指定する必要があります。そ
の他のコンポーネントはすべ
て、任 意 指 定 に な っ て い る
か、デフォルト値が設定され
ています。
[Policies] > [ ポリシー ベース フォワーディング ] の順
に選択し、[ 追加 ] をクリックします。
[ 全般 ] タブで、ルールの分かりやすい名前を入力し
ます。
[ 送信元 ] タブで、以下を選択します。
a. [ タイプ ]([ ゾーン ] または [ インターフェイス ])を
選択します(フォワーディング ポリシーの適用先、
および該当するゾーンまたはインターフェイス)。
PBF は、レイヤー 3 インターフェイスでのみサ
ポートされます。
b. (任意)PBF が適用される [ 送信元アドレス ] を指定し
ます。たとえば、このルールで指定したインターフェ
イスまたはゾーンへのトラフィックの送信元となる IP
アドレスまたはサブネット IP アドレスなどです。
[Negate] オプションを使用して、1 つまたは複
数の送信元 IP アドレスを PBF ルールから除外し
ます。たとえば、特定のゾーンからのすべての
トラフィックをインターネットに向ける PBF ルー
ルを記述している場合、[Negate] を使用して PBF
ルールから内部 IP アドレスを除外できます。
ルールは上から順に評価されます。定義済みの
基準を満たす最初のルールとパケットが一致す
ると、それが引き金となり、それ以降のルール
は評価されません。
c. (任意)[ 追加 ] をクリックして、[ 送信元ユーザー]
またはポリシーが適用されるユーザーのグループを
選択します。
4.
[ 宛先 / アプリケーション / サービス ] タブで、以下を
選択します。
a. [ 宛先アドレス ]。デフォルトでは、ルールは、any
IP アドレスに適用されます。[Negate] オプションを
使用して、1 つまたは複数の宛先 IP アドレスを PBF
ルールから除外します。
b. PBF を使用して制御する必要があるアプリケーショ
ンまたはサービスを選択します。
アプリケーション固有のルールを PBF で使用す
る こと はお 勧 めで きま せん。でき るか ぎり、
サービス オブジェクト(プロトコルまたはアプ
リ ケ ー シ ョン に よ っ て使 用 さ れ る レイ ヤ ー 4
ポート(TCP または UDP))を使用してくださ
い。詳細は、「PBF におけるサービスとアプリ
ケーション」を参照してください。
764
ポリシー
ポリシー
ポリシー ベース フォワーディング
PBF ルールの作成(続き)
5.
[ 転送 ] タブで、以下を選択します。
a. [ アクション ] を選択します。次のオプションがあり
ます。
– 転送 — パケットを特定の [ 出力インターフェイス ]
に向けます。パケットの [ ネクスト ホップ ] IP ア
ドレスを入力します。
– VSYS に転送 —(マルチ仮想システムが有効化さ
れているデバイスで)パケットの転送先仮想シス
テムを選択します。
– 破棄 — パケットを廃棄します。
– PBF なし — ルールに定義された送信元 / 宛先 / ア
プリケーション/サービスの条件に一致するパケッ
トを除外します。パケットの照合には、PBF の代
わりにルーティング テーブルを使用します。ファ
イアウォールは、ルーティング テーブルを使用し
て、一致したトラフィックをリダイレクト ポート
から除外します。
指定したアクションを毎日、毎週、または 1 回
限りの頻度でトリガーするには、[スケジュール]
を作成して関連付けます。
b. (任意)モニタリングを有効にして、ターゲット IP
アドレスまたはネクスト ホップ IP アドレスとの接
続を確認します。[ モニター] を選択して、IP アドレ
スが到達不能な場合のアクションを指定した(デ
フォルトまたはカスタムの)モニタリング [ プロ
ファイル ] を関連付けます。
c. (任意。ただし、非対称ルーティング環境では必
須)[ 対称リターンの適用 ] を選択して、[ ネクスト
ホップ アドレス リスト ] に 1 つまたは複数の IP アド
レスを入力します。
対称リターンを有効にすると、リターン トラフィッ
ク(たとえば、LAN 上の Trust ゾーンからインター
ネットへのトラフィック)が、インターネットから
の入力トラフィックを受信したのと同じインター
フェイスを介して外向きに転送されます。
ポリシー
765
ポリシー ベース フォワーディング
ポリシー
PBF ルールの作成(続き)
ステップ 2
766
デバイス上で使用中の設定に [ コミット ] をクリックします。
ポリシーを保存します。
PBF ルールが有効になります。
ポリシー
ポリシー
ポリシー ベース フォワーディング
ユース ケース : デュアル ISP でのアウトバウンド アクセス用 PBF
このユース ケースでは、支店にデュアル ISP が構成されており、PBF による冗長なインター
ネット アクセスを実装しています。バックアップ用の ISP は、クライアントから Web サーバー
へのトラフィックのデフォルト ルートになっています。BGP などのネットワーク間プロトコル
を使用せずに冗長なインターネット アクセスを実現するために、ここでは、宛先インターフェ
イス ベースの送信元 NAT とスタティック ルートに PBF を使用して、以下のようにファイア
ウォールを設定します。

プライマリ ISP 経由でトラフィックをルーティングする PBF ルールを有効化し、そのルール
にモニタリング プロファイルを関連付けます。プライマリ ISP が使用できない場合は、モニ
タリング プロファイルによって、バックアップ ISP 経由のデフォルト ルートを使用するよう
指示するトリガーがファイアウォールに対して起動されます。

プライマリ ISP とバックアップ ISP の両方について、対応する ISP の出力インターフェイス
に関連付けられた送信元 IP アドレスを使用するようファイアウォールに指示する送信元
NAT ルールを定義します。これにより、アウトバウンド トラフィックに正しい送信元 IP ア
ドレスが設定されるようになります。

バックアップ ISP にスタティック ルートを追加します。これにより、プライマリ ISP が使用
不可になった場合に、デフォルト ルートが有効になり、トラフィックがバックアップ ISP 経
由でルーティングされるようになります。
ポリシー
767
ポリシー ベース フォワーディング
ポリシー
デュアル ISP でのアウトバウンド アクセス用 PBF
ステップ 1
ファイアウォール上で入力お 1.
よび出力インターフェイスを
設定します。
[Network] > [ インターフェイス ] の順に選択し、設
定 するインターフェイス(たとえば、Ethernet1/1 と
Ethernet1/3)を選択します。
出力インターフェイスは同じ
ゾーン内に存在していてもか
ま い ま せ ん。こ の 例 で は、出
力インターフェイスを異なる
ゾーンに割り当てています。
この例で使用するファイアウォール上のインターフェ
イス設定を以下に示します。
• Ethernet 1/1 をプライマリ ISP に接続 :
– ゾーン : ISP-East
– IP アドレス :1.1.1.2/30
– 仮想ルーター: デフォルト
• Ethernet 1/3 をバックアップ ISP に接続 :
– ゾーン : ISP-West
– IP アドレス :2.2.2.2/30
– 仮想ルーター: デフォルト
• Ethernet 1/2 は、ネットワーク クライアントがイン
ターネットに接続するために使用する入力インター
フェイスです。
– ゾーン : Trust
– IP アドレス : 192.16854.1/24
– 仮想ルーター: デフォルト
2.
768
インターフェイス設定を保存するには、[OK] をクリッ
クします。
ポリシー
ポリシー
ポリシー ベース フォワーディング
デュアル ISP でのアウトバウンド アクセス用 PBF(続き)
ステップ 2
ポリシー
仮 想 ル ー タ ー 上 で、バ ッ ク 1.
アップ ISP に対するスタティッ
ク ルートを追加します。
2.
[Network] > [ 仮想ルーター] の順に選択し、default リン
クを選択して [ 仮想ルーター] ダイアログを開きます。
[ スタティック ルート] タブを選択して [ 追加 ] をクリッ
クします。[ 名前 ] フィールドにルート名を入力し、
[宛先] フィールドにスタティック ルートを定義する IP
アドレスの宛先を入力します。この例では、すべての
トラフィックに 0.0.0.0/0 を使用しています。
3.
[IP アドレス ] ラジオ ボタンを選択し、バックアップ
インターネット ゲートウェイに接続するルーターの
[ネクスト ホップ ] IP アドレスを設定します。この例で
は、2.2.2.1 です。
4.
ルートのコスト メトリックを指定します。この例では、
10 を使用しています。
5.
[OK] を 2 回クリックして仮想ルーターの設定を保存し
ます。
769
ポリシー ベース フォワーディング
ポリシー
デュアル ISP でのアウトバウンド アクセス用 PBF(続き)
ステップ 3
プライマリ ISP に接続されたイ 1.
ンターフェイスにトラフィッ
クを向ける PBF ルールを作成 2.
します。
3.
PBF から内部サーバー/IP アド
レス宛てのトラフィックを除 4.
外 しま す。Negate ル ール を 定
義して、内部 IP アドレスを宛
先とするトラフィックが、PBF
ルールに定義された出力イン
ターフェイス経由でルーティ
ングされないようにします。
[Policies] > [ ポリシー ベース フォワーディング ] の順
に選択し、[ 追加 ] をクリックします。
[ 全般 ] タブで、ルールの分かりやすい [ 名前 ] を入力
します。
[ 送信元 ] タブで [ 送信元ゾーン ] を [Trust] に設定し
ます。
[ 宛先 / アプリケーション / サービス ] タブで、以下を
設定します。
a. [ 宛先アドレス ] セクションで、内部ネットワークの
サーバーの IP アドレスまたはアドレス範囲を [ 追加 ]
するか、内部サーバーのアドレス オブジェクトを作
成します。[Negate] を選択して、上記の IP アドレ
スまたはアドレス オブジェクトをこのルールから除
外します。
b. [ サービス ] セクションで、service-http および
service-https サービスを [ 追加 ] して、HTTP およ
び HTTPS トラフィックがデフォルト ポートを使用
するのを許可します。セキュリティ ポリシーで許可
されているその他のすべてのトラフィックについて
は、デフォルト ルートが使用されます。
PBF を使用してすべてのトラフィックを転送
するには、[サービス] を [any] に設定します。
5.
770
[ 転送 ] タブで、トラフィックの転送先インターフェイ
スを指定して、パス モニタリングを有効にします。
a. トラフィックを転送するには、[ アクション ] を [ 転
送 ] に設定し、[ 出力インターフェイス ] を選択し
て、[ ネクスト ホップ ] を指定します。この例では、
出力インターフェイスは ethernet1/1、ネクスト ホッ
プ IP アドレスは 1.1.1.1 です。
ポリシー
ポリシー
ポリシー ベース フォワーディング
デュアル ISP でのアウトバウンド アクセス用 PBF(続き)
b. [ モニター] を有効にして、デフォルトのモニタリン
グ プロファイルを関連付け、バックアップ ISP への
フェイルオーバーをトリガーします。この例では、
モニターするターゲット IP アドレスを指定していま
せん。ファイアウォールはネクスト ホップ IP アド
レスをモニターします。ネクスト ホップ IP アドレ
スが到達不能な場合、ファイアウォールは、仮想
ルーターに指定されたデフォルト ルートに向けてト
ラフィックを送信します。
c. (非対称ルートがある場合は必須)[対称リターンの
適用 ] を選択して、Trust ゾーンからインターネット
へのリターン トラフィックが、インターネットから
の入力トラフィックを受信したのと同じインターフェ
イスを介して外向きに転送されるようにします。
NAT を使用すると、インターネットからのトラフィッ
クがファイアウォール上の正しいインターフェイ
ス /IP アドレスに返されます。
d. [OK] をクリックして変更を保存します。
ポリシー
771
ポリシー ベース フォワーディング
ポリシー
デュアル ISP でのアウトバウンド アクセス用 PBF(続き)
ステップ 4
出力インターフェイスと ISP に 1.
基づいて NAT ルールを作成し
ます。NAT ルールを使用する 2.
と、アウトバウンド接続時に
正しい送信元 IP アドレスが使
用されます。
[Policies] > [NAT] の順に選択して [ 追加 ] をクリック
します。
この例では、各 ISP について、以下の NAT ルールを作
成します。
プライマリ ISP の NAT
[ 元のパケット ] タブで、以下を選択します。
• 送信元ゾーン : Trust
• 宛先ゾーン : ISP-West
[ 変換済みパケット ] タブの [ 送信元アドレスの変換 ]
で、以下を選択します。
• 変換タイプ : ダイナミック IP およびポート
• アドレス タイプ : インターフェイス アドレス
• インターフェイス : ethernet1/1
• IP アドレス : 1.1.1.2/30
バックアップ ISP の NAT
[ 元のパケット ] タブで、以下を選択します。
• 送信元ゾーン : Trust
• 宛先ゾーン : ISP-East
[ 変換済みパケット ] タブの [ 送信元アドレスの変換 ]
で、以下を選択します。
• 変換タイプ : ダイナミック IP およびポート
• アドレス タイプ : インターフェイス アドレス
• インターフェイス : ethernet1/3
• IP アドレス : 2.2.2.2/30
772
ポリシー
ポリシー
ポリシー ベース フォワーディング
デュアル ISP でのアウトバウンド アクセス用 PBF(続き)
ステップ 5
インターネットへのアウトバ
ウンド アクセスを許可するセ
キュリティ ポリシーを作成し
ます。
アプリケーションを安全に有効化するには、インターネッ
トへのアクセスを許可する簡単なルールを作成し、ファイ
アウォール上で利用可能なセキュリティ プロファイルを関
連付けます。
1. [Policies] > [ セキュリティ] の順に選択し、[ 追加 ] を
クリックします。
2.
[ 全般 ] タブで、ルールの分かりやすい [ 名前 ] を入力
します。
3.
[ 送信元 ] タブで [ 送信元ゾーン ] を [Trust] に設定し
ます。
4.
[ 宛先 ] タブで [ 宛先ゾーン ] を ISP-East と ISP-West に
設定します。
5.
[ サービス /URL カテゴリ ] タブで、デフォルト値
application-default をそのまま使用します。
6.
[ アクション ] タブで以下の手順を実行します。
a. [ アクション設定 ] を [ 許可 ] に設定します。
b. [ プロファイル設定 ] で、[ アンチウイルス ]、[ アン
チスパイウェア ]、[ 脆弱性防御 ]、[URL フィルタリ
ング ] のデフォルト プロファイルを関連付けます。
7.
ステップ 6
ポリシー
[オプション ] で、セッション終了時のログが有効になっ
ていることを確認します。セキュリティ ルールに一致
するトラフィックのみログに記録されます。
デバイス上で使用中の設定に [ コミット ] をクリックします。
ポリシーを保存します。
773
ポリシー ベース フォワーディング
ポリシー
デュアル ISP でのアウトバウンド アクセス用 PBF(続き)
ステップ 7
PBF ルールがアクティブで、プ 1.
ライマリ ISP がインターネット
アクセスに使用されているこ
とを確認します。
Web ブラウザを起動して、Web サーバーにアクセスし
ます。ファイアウォール上で、Web ブラウジング アク
ティビティのトラフィック ログをチェックします。
2.
ネットワーク上のクライアントから、ping ユーティリ
ティを使用して、インターネット上の Web サーバーと
の接続を確認し、ファイアウォール上のトラフィック
ログをチェックします。
C:\Users\pm-user1>ping 4.2.2.1
Pinging 4.2.2.1 with 32 bytes of data:
Reply from 4.2.2.1: bytes=32 time=34ms TTL=117
Reply from 4.2.2.1: bytes=32 time=13ms TTL=117
Reply from 4.2.2.1: bytes=32 time=25ms TTL=117
Reply from 4.2.2.1: bytes=32 time=3ms TTL=117
Ping statistics for 4.2.2.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 3ms, Maximum = 34ms, Average = 18ms
3.
PBF ルールがアクティブであることを確認するには、CLI
コマンド show pbf rule all を使用します。
admin@PA-NGFW> show pbf rule all
Rule
ID
Rule State Action
Egress IF/VSYS NextHop
========== === ========== ====== ============== =======
Use ISP-Pr 1
Active
Forward ethernet1/1
1.1.1.1
ステップ 8
バックアップ ISP へのフェイル 1.
オーバーが発生すること、およ 2.
び送信元 NAT が正しく適用さ
れていることを確認します。
3.
774
プライマリ ISP との接続を切断します。
CLI コマンド show pbf rule all を使用して、PBF
ルールが非アクティブであることを確認します。
admin@PA-NGFW> show pbf rule all
Rule
ID
Rule State Action
Egress IF/VSYS NextHop
========== === ========== ====== ============== =======
Use ISP-Pr 1
Disabled
Forward
ethernet1/1
1.1.1.1
Web サーバーにアクセスし、トラフィック ログをチェッ
クして、トラフィックがバックアップ ISP 経由で転送
されていることを確認します。
ポリシー
ポリシー
ポリシー ベース フォワーディング
デュアル ISP でのアウトバウンド アクセス用 PBF(続き)
4.
セッションの詳細を表示して、NAT ルールが正しく機
能していることを確認します。
admin@PA-NGFW> show session all
--------------------------------------------------------ID Application
State
Type Flag Src[Sport]/Zone/Proto
(translated IP[Port]) Vsys Dst[Dport]/Zone (translated
IP[Port])
--------------------------------------------------------87212 ssl ACTIVE FLOW NS
192.168.54.56[53236]/Trust/6
(2.2.2.2[12896]) vsys1 204.79.197.200[443]/ISP-East
(204.79.197.200[443])
5.
出力からセッション識別番号を取得して、セッション
の詳細を表示します。PBF ルールは使用されていない
ため、出力に表示されない点に注意してください。
admin@PA-NGFW> show session id 87212
Session
87212
c2s flow:
source:
dst:
proto:
sport:
state:
src user:
dst user:
192.168.54.56 [Trust]
204.79.197.200
6
53236
dport:
ACTIVE
type:
unknown
unknown
443
FLOW
s2c flow:
source:
204.79.197.200 [ISP-East]
dst:
2.2.2.2
proto:
6
sport:
443
dport:
12896
state:
ACTIVE
type:
FLOW
src user:
unknown
dst user:
unknown
start time
: Wed Nov5 11:16:10 2014
timeout
: 1800 sec
time to live
: 1757 sec
total byte count(c2s)
: 1918
total byte count(s2c)
: 4333
layer7 packet count(c2s)
: 10
layer7 packet count(s2c)
: 7
vsys
: vsys1
application
: ssl
rule
: Trust2ISP
session to be logged at end
: True
session in session ager
: True
session synced from HA peer
: False
address/port translation
: source
nat-rule
: NAT-Backup ISP(vsys1)
layer7 processing
: enabled
URL filtering enabled
: True
URL category
: search-engines
session via syn-cookies
: False
session terminated on host
: False
session traverses tunnel
: False
captive portal session
: False
ingress interface
: ethernet1/2
egress interface
: ethernet1/3
session QoS rule
: N/A (class 4)
ポリシー
775
ポリシー ベース フォワーディング
ポリシー
776
ポリシー
仮想システム
このトピックでは、仮想システムとその利点、一般的なユース ケース、および仮想システムの
設定方法について説明します。また、仮想システムを他の機能と併用する場合の説明が記載さ
れた、他のトピックへのリンクも含まれています。

仮想システムの概要

仮想システム間の通信

共有ゲートウェイ

仮想システムの設定

ファイアウォール内での仮想システム間通信の設定

共有ゲートウェイの設定

仮想システムのその他の機能
仮想システム
777
仮想システムの概要
仮想システム
仮想システムの概要
仮想システムは、単一の物理 Palo Alto Networks ファイアウォール内に存在する別個の論理ファ
イアウォール インスタンスです。管理サービス プロバイダやエンタープライズは、複数のファ
イアウォールを使用するのではなく、(可用性を高めるために)ファイアウォールの 1 組のペ
アを使用し、それらのファイアウォールで仮想システムを有効にすることができます。各仮想
システム (vsys) は、個別に管理される独立したファイアウォールで、そのトラフィックは他の
仮想システムのトラフィックから分離された状態で維持されます。
このトピックには、以下の内容が含まれています。

仮想システムのコンポーネントとセグメンテーション

仮想システムの利点

仮想システムのユース ケース

仮想システムのプラットフォーム サポートおよびライセンス

仮想システムでの制限

仮想システムの管理ロール

仮想システムの共有オブジェクト
仮想システムのコンポーネントとセグメンテーション
仮想システムは、以下の図に示すように、管理上の境界を作成する 1 つのオブジェクトです。
778
仮想システム
仮想システム
仮想システムの概要
仮想システムは、物理的および論理的な一連のインターフェイスとサブインターフェイス
(VLAN やバーチャル ワイヤーなど)、仮想ルーター、およびセキュリティ ゾーンで構成され
ます。仮想システムごとに、デプロイメント モード(バーチャル ワイヤー、レイヤー 2、また
はレイヤー 3 の任意の組み合わせ)を選択します。仮想システムを使用することにより、以下
の処理をセグメント化することができます。

管理アクセス

すべてのポリシーの管理(セキュリティ、NAT、QoS、ポリシーベース フォワーディング、
復号、アプリケーション オーバーライド、キャプティブ ポータル、および DoS プロテク
ション)

すべてのオブジェクト(アドレス オブジェクト、アプリケーション グループとフィルター、
ダイナミック ブロック リスト、セキュリティ プロファイル、復号プロファイル、カスタム
オブジェクトなど)

User-ID

証明書の管理

サーバー プロファイル

ロギング、レポート作成、および可視化機能
仮想システムはファイアウォールのセキュリティ機能に影響しますが、仮想システム単独で、
スタティックおよびダイナミック ルーティングなどのネットワーク機能に影響を与えることは
ありません。以下のユース ケースのように、仮想システムごとに 1 つ以上の仮想ルーターを作
成することにより、仮想システムごとにルーティングをセグメント化することができます。

1 つの組織の各部門に複数の仮想システムを設定しており、すべての部門のネットワーク ト
ラフィックが共通のネットワーク内を通過する場合は、複数の仮想システム用に 1 つの仮想
ルーターを作成することができます。

ルーティング セグメンテーションを行い、各仮想システムのトラフィックを他の仮想システ
ムから隔離する必要がある場合は、仮想システムごとに 1 つ以上の仮想ルーターを作成でき
ます。
仮想システムの利点
仮想システムには、物理ファイアウォールと同じ基本的な機能を提供することのほかに、以下
のような利点があります。

セグメント化された管理 — さまざまな組織(または顧客や事業単位)が別個のファイアウォー
ル インスタンスを制御(およびモニタリング)することができるため、同じ物理デバイス上
の別のファイアウォール インスタンスのトラフィックまたはポリシーと干渉することなく、
その組織自体のトラフィックを制御することができます。
仮想システム
779
仮想システムの概要
仮想システム

拡張性 — 物理ファイアウォールの設定後は、顧客または業務単位を効率よく追加または削除
することができます。ISP、セキュリティ管理サービス プロバイダ、またはエンタープライ
ズは、各顧客に異なるセキュリティ サービスを提供することができます。

設備投資と運用費の削減 — 仮想システムは 1 つのファイアウォール上に共存できるため、
1 か所に複数のファイアウォールを設置する必要がありません。ファイアウォールを複数購
入する必要がないため、組織では、ハードウェアの経費、電気代、およびラック スペースを
節約することができ、メンテナンスと管理の費用を削減できます。
仮想システムのユース ケース
仮想システムは、ネットワークにおいてさまざまな方法で使用できます。一般的なユース ケー
スの 1 つは ISP やセキュリティ管理サービス プロバイダ (MSSP) によるもので、1 つのファイア
ウォールで複数の顧客にサービスを提供します。顧客は、簡単に無効または有効にすることが
可能な数多くのサービスの中から、サービスを選択することができます。ファイアウォールの
ロールベース管理により、ISP や MSSP では、ロギングやレポート作成などの機能への各顧客の
アクセスを制御しつつ、他の機能を非表示、あるいは読み取り専用にできます。
別の一般的なユース ケースは、技術的な要件や機密保持の要件が異なるために複数の部門間で
別々のファイアウォール インスタンスが必要とされる、大規模なエンタープライズの場合で
す。上のケース同様、さまざまなグループに異なるレベルのアクセス権を付与しつつ、IT 部門
ではファイアウォール自体を管理します。サービスを部門まで遡って追跡または請求すること
ができるため、1 つの組織内で別々に財務処理を行うことができます。
仮想システムのプラットフォーム サポートおよびライセンス
仮想システムは、PA-2000、PA-3000、PA-4000、PA-5000、および PA-7050 シリーズのファイア
ウォールでサポートされています。ファイアウォールのそれぞれのシリーズは基本数の仮想シ
ステムをサポートしており、その数はプラットフォームによって異なります。仮想システムの
ライセンスは、以下の場合に必要になります。

PA-2000 および PA-3000 シリーズのファイアウォールで複数の仮想システムをサポートする。

プラットフォームでサポートされている基本数より多くの仮想システムを作成する。
ライセンスの詳細は、「ライセンスおよびサブスクリプションのアクティベーション」を参照
してください。サポートされる仮想システムの基本数と最大数の詳細は、「Compare Firewalls」
(英語)ツールを参照してください。
PA-200、PA-500、または VM-Series のファイアウォールでは、複数の仮想システムはサポートさ
れていません。
780
仮想システム
仮想システム
仮想システムの概要
仮想システムでの制限

Palo Alto Networks のファイアウォール内では、仮想システムから別の仮想システム、または
共有ゲートウェイに、パケットがホップする可能性があります。3 つ以上の仮想システムま
たは共有ゲートウェイにかけてパケットが横断することはありません。たとえばパケット
は、1 つの仮想システムから共有ゲートウェイに移動し、さらにファイアウォール内の 2 番
目の仮想システムに移動することはできません。

ファイアウォールでは、1 つの「共有ゲートウェイ」のみが許可されます。
仮想システムの管理ロール
スーパーユーザー 管理者は、仮想システムを作成し、デバイスの管理者、vsysadmin、または
vsysreader を追加することができます。デバイスの管理者は、すべての仮想システムにアクセス
できますが、管理者を追加することはできません。仮想システムの管理ロールには、以下の
2 種類があります。

vsysadmin — 仮想システムへのフル アクセス権が付与されます。

vsysreader — 仮想システムへの読み取り専用アクセス権が付与されます。
仮想システム管理者は、管理者に割り当てられている仮想システムについてのみ、そのログを
表示できます。スーパーユーザーまたはデバイスの管理者の権限を持つユーザーは、ログのすべて
を表示するか、表示する仮想システムを選択することができます。
vsysadmin 権限を持つユーザーは、自分に割り当てられている仮想システムについてのみ、その
設定をコミットすることができます。
仮想システムの共有オブジェクト
管理者アカウントが複数の仮想システムを包含する場合は、特定の仮想システムのオブジェク
ト(アドレス オブジェクトなど)およびポリシーを共有オブジェクトとして設定することを選
択できます。共有オブジェクトは、ファイアウォール上の仮想システムすべてに適用されま
す。仮想システムで、既存のオブジェクトと同じ名前およびタイプの共有オブジェクトを作成
しようとすると、その仮想システム オブジェクトが使用されます。
仮想システム
781
仮想システム間の通信
仮想システム
仮想システム間の通信
仮想システム間の通信(vsys 間トラフィック)が望ましいとされる一般的なシナリオは 2 つあ
ります。まずマルチテナンシー環境では、トラフィックがファイアウォールから離れ、イン
ターネットを通過し、再びファイアウォールに戻ってくることによって、仮想システム間の通
信が発生します。単一組織の環境では、ファイアウォール内で仮想システム間の通信が行われ
ます。このセクションでは、両方のシナリオについて説明します。

ファイアウォールから離れる必要がある vsys 間トラフィック

ファイアウォール内に残る vsys 間トラフィック

vsys 間通信で使用する 2 つのセッション
782
仮想システム
仮想システム
仮想システム間の通信
ファイアウォールから離れる必要がある vsys 間トラフィック
1 つのファイアウォール上で複数の顧客にサービスを提供する(マルチテナンシー)ISP は、顧
客ごとに 1 つの仮想システムを使用し、それにより各顧客がその仮想システム設定を制御でき
るようにすることができます。この場合 ISP は、vsysadmin 権限を顧客に付与します。各顧客の
トラフィックおよび管理は、他の顧客から分離されます。各仮想システムは、トラフィックお
よびシステム専用のインターネット接続を管理するため、固有の IP アドレスと 1 つの以上の仮
想ルーターを指定して設定する必要があります。
仮想システムが相互に通信する必要がある場合、そのトラフィックは、仮想システムが以下の
図のように同じ物理ファイアウォール上に存在するとしても、ファイアウォールから出て別の
レイヤー 3 ルーティング デバイスに向かい、再びファイアウォールに戻ります。
仮想システム
783
仮想システム間の通信
仮想システム
ファイアウォール内に残る vsys 間トラフィック
上記のマルチテナンシーのシナリオとは異なり、1 つのファイアウォール上に設定されている
すべての仮想システムは、1 つの組織の制御下に置くことができます。組織では、仮想システ
ム間のトラフィックを隔離すると同時に、仮想システム間の通信を許可する必要があります。
このような一般的なユース ケースは、組織において、部門間を分離しつつ、各部門が相互に通
信したり、同じネットワークに接続したりできるようにする場合に当てはまります。このシナ
リオでは、以下のトピックで説明するように、vsys 間通信がファイアウォール内で行われます。

外部ゾーン

ファイアウォール内のトラフィック用の外部ゾーンとセキュリティ ポリシー
外部ゾーン
上記のユース ケースにおいて適切な通信は、外部ゾーンを指し示すか、または外部ゾーンから
指し示されるセキュリティ ポリシーを設定することによって実現できます。外部ゾーンは、到
達可能な特定の仮想システムに関連付けられるセキュリティ オブジェクトで、その仮想システ
ムの外部に存在します。1 つの仮想システムには、その仮想システム内に存在するセキュリ
ティ ゾーンの数に関係なく、外部ゾーンを 1 つだけ関連付けることができます。外部ゾーン
は、別々の仮想システム内のゾーン間におけるトラフィックを許可し、トラフィックがファイ
アウォールを離れないようにするために必要です。
仮想システム管理者は、2 つの仮想システム間のトラフィックを許可するために必要なセキュ
リティ ポリシーを設定します。セキュリティ ゾーンとは異なり、外部ゾーンはインターフェイ
スとは関連付けられず、仮想システムと関連付けられます。セキュリティ ポリシーにより、セ
キュリティ(内部)ゾーンと外部ゾーンの間のトラフィックを許可または拒否します。
外部ゾーンでは、それに関連付けられているインターフェイスまたは IP アドレスが存在しない
ため、一部のゾーン プロテクション プロファイルがサポートされません。
各仮想システムは 1 つのファイアウォールの別々のインスタンスであるため、仮想システム間
を移動する各パケットは、セキュリティ ポリシーと App-ID 評価に基づいて検査されます。
784
仮想システム
仮想システム
仮想システム間の通信
ファイアウォール内のトラフィック用の外部ゾーンとセキュリティ ポリシー
以下の例において、エンタープライズには、departmentA および departmentB 仮想システムとい
う 2 つの別個の管理グループがあります。以下の図は、各仮想システムに関連付けられている
外部ゾーンを示しています。図では、1 つの Trust ゾーンからのトラフィック フローが外部ゾー
ンから出て、別の仮想システムの外部ゾーンに入り、さらにその仮想システムの Trust ゾーンに
入っています。
外部ゾーンを作成するため、デバイス管理者は、相互に認識できるように仮想システムを設定
する必要があります。外部ゾーンの仮想システムは相互に存在を認識することができるため、
外部ゾーン間のセキュリティ ポリシーはありません。
仮想システム間の通信のため、ファイアウォール上の入力および出力インターフェイスは、単
一の仮想ルーターに割り当てられるか、または仮想ルーター間スタティック ルートを使用して
接続されます。これら 2 つのアプローチのうちで簡単なのは、相互に通信する必要があるすべ
ての仮想システムを 1 つの仮想ルーターに割り当てるアプローチのほうです。
仮想システムにそれ専用の仮想ルーターを指定する必要があるのは、たとえば、仮想システム
で使用する IP アドレス範囲が重複している場合です。トラフィックは仮想システム間でルー
ティング可能ですが、各仮想ルーターには、ネクスト ホップとして他の仮想ルーターを指し示
すスタティック ルートを指定しておく必要があります。
上の図のシナリオの場合であれば、エンタープライズには、departmentA および departmentB と
いう 2 つの管理グループがあります。departmentA グループは、ローカル ネットワークと DMZ
リソースを管理します。departmentB グループは、ネットワークの営業セグメントを出入りする
トラフィックを管理します。すべてのトラフィックが 1 つのローカル ネットワーク上に存在す
るため、1 つの仮想ルーターを使用しています。2 つの仮想システム間の通信のために、2 つの外
部ゾーンが設定されています。departmentA 仮想システムには、セキュリティ ポリシーで使用さ
れる、deptA-DMZ、deptA-trust、および deptA-External の 3 つのゾーンがあります。departmentB の
仮想システムにも、deptB-DMZ、deptB-trust、および deptB-External の 3 つのゾーンがありま
す。両方のグループが、それぞれの仮想システムを通過するトラフィックを制御できます。
仮想システム
785
仮想システム間の通信
仮想システム
deptA-trust から deptB-trust へのトラフィックを許可するため、2 つのセキュリティ ポリシーが必
要です。以下の図において、2 つの垂直矢印は、セキュリティ ポリシー(図の下で説明)に
よってトラフィックを制御している場所を示しています。

セキュリティ ポリシー 1: 上の図において、トラフィックが向かう先は deptB-trust ゾーンで
す。トラフィックは deptA-trust ゾーンを離れ、deptA-External ゾーンに入ります。セキュリ
ティ ポリシーでは、送信元ゾーン (deptA-trust) から宛先ゾーン (deptA-External) へのトラ
フィックを許可する必要があります。仮想システムでは、このトラフィックの場合に、NAT
を含むすべてのポリシー タイプを使用できます。
外部ゾーンに送信されるトラフィックは、元の外部ゾーンで認識可能な他の外部ゾーンで認
識され、自動的にアクセスできるため、外部ゾーン間にポリシーは必要ありません。

セキュリティ ポリシー 2: 上の図において、deptB-External からのトラフィックはさらに
deptB-trust ゾーンに向かいます。セキュリティ ポリシーは、それを許可するように設定する必
要があります。そのポリシーでは、送信元ゾーン (deptB-External) から宛先ゾーン (deptB-trust) へ
のトラフィックを許可する必要があります。
departmentB 仮想システムを departmentA 仮想システムからのトラフィックをブロックするよう
に設定したり、その逆の設定をしたりすることが可能です。他のゾーンから出力されるトラ
フィックの場合と同様、外部ゾーンから出力されるトラフィックが仮想システム内の他のゾー
ンに到達するには、ポリシーで明示的に許可されている必要があります。
ファイアウォールから離れない仮想システム間のトラフィックで必要とされる外部ゾーンに加
えて、トラフィックがファイアウォールを離れることになる「共有ゲートウェイ」を設定する
場合にも、外部ゾーンが必要とされます。
786
仮想システム
仮想システム
仮想システム間の通信
vsys 間通信で使用する 2 つのセッション
1 つの仮想システムの場合にはセッションが 1 つ使用されるのとは異なり、2 つの仮想システム
間の通信では、2 つのセッションが使用されることを理解しておく必要があります。シナリオ
を比較してみましょう。
シナリオ 1 — vsys1 には、trust1 と untrust1 の 2 つのゾーンがあります。trust1 ゾーンのホスト
は、untrust1 ゾーンのデバイスとの通信が必要になると、トラフィックを開始します。ホストは
ファイアウォールにトラフィックを送信し、そのファイアウォールは、送信元ゾーン trust1 か
ら宛先ゾーン untrust1 への新しいセッションを作成します。このトラフィックに必要なセッ
ションは 1 つだけです。
シナリオ 2 — vsys1 からのホストが vsys2 上のサーバーにアクセスする必要があります。trust1
ゾーンのホストはファイアウォールへのトラフィックを開始し、そのファイアウォールは、送
信元ゾーン trust1 から宛先ゾーン untrust1 への最初のセッションを作成します。トラフィック
は、内部で、または外部を介して、vsys2 にルーティングされます。次にファイアウォールは、
送信元ゾーン untrust2 から宛先ゾーン trust2 への 2 番目のセッションを作成します。この vsys 間
トラフィックでは、2 つのセッションが必要です。
仮想システム
787
共有ゲートウェイ
仮想システム
共有ゲートウェイ
このトピックには、共有ゲートウェイに関する以下の情報が含まれています。

外部ゾーンと共有ゲートウェイ

共有ゲートウェイでのネットワーキングに関する考慮事項
外部ゾーンと共有ゲートウェイ
共有ゲートウェイは、インターネットを介して通信するために複数の仮想システムが共有する
インターフェイスです。仮想システムの内部ゾーンから共有ゲートウェイへのトラフィックを
許可または拒否するセキュリティ ポリシーを設定する場合、各仮想システムでは、中間ゾーン
として機能する「外部ゾーン」が必要です。
共有ゲートウェイは、1 つの仮想ルーターを使用してすべての仮想システムのトラフィックを
ルーティングします。共有ゲートウェイは、インターフェイスがその周辺で完全な管理の境界
を必要としない場合、または複数の仮想システムで 1 つのインターネット接続を共有する必要
がある場合に使用されます。この 2 番目のケースは、ISP から組織に提供された IP アドレス
(インターフェイス)が 1 つしかないときに、複数の仮想システムが外部通信を必要とする場
合に発生します。
仮想システム間での動作とは異なり、セキュリティ ポリシーと App-ID の評価は、仮想システ
ムと共有ゲートウェイの間では実行されません。そのため、共有ゲートウェイを使用してイン
ターネットにアクセスする場合は、別の仮想システムを作成してアクセスする場合よりも負担
が少なくて済みます。
以下の図では 3 人の顧客がファイアウォールを共有していますが、インターネットにアクセス
可能なインターフェイスは 1 つしかありません。別の仮想システムを作成すると、追加した仮
想システム経由でインターネットに送信されるトラフィックについて、App-ID およびセキュリ
ティ ポリシーの評価の負担が増加します。別の仮想システムを追加しないで済ませるには、以
下の図に示すように、共有ゲートウェイを設定します。
788
仮想システム
仮想システム
共有ゲートウェイ
共有ゲートウェイには、外部との通信に使用されるグローバルにルーティング可能な IP アドレス
が 1 つ割り当てられています。仮想システム内のインターフェイスにも IP アドレスが割り当てら
れていますが、それらはプライベート IP アドレスであり、ルーティング可能ではありません。
管理者は、任意の仮想システムが、他の仮想システムによって認識されるかどうかを指定する
必要があります。仮想システムとは異なり、共有ゲートウェイは、ファイアウォール上のすべ
ての仮想システムによって常に認識されます。
共有ゲートウェイの ID 番号は、Web インターフェイスに sg<ID> として表示されます。共有
ゲートウェイには、その ID 番号を含めた名前を付けることをお勧めします。
共有ゲートウェイにゾーンやインターフェイスなどのオブジェクトを追加すると、その共有ゲー
トウェイは、選択可能な仮想システムとして vsys ドロップダウン メニューに表示されます。
共有ゲートウェイは、仮想システムの限定バージョンです。NAT、ポリシーベース フォワー
ディング (PBF)、および DoS ポリシーをサポートしますが、セキュリティ、QoS、復号、アプリ
ケーション オーバーライド、またはキャプティブ ポータル ポリシーはサポートしません。
仮想システム
789
共有ゲートウェイ
仮想システム
共有ゲートウェイでのネットワーキングに関する考慮事項
共有ゲートウェイの設定時には、以下の点を考慮してください。

共有ゲートウェイのシナリオにおける仮想システムは、1 つの IP アドレスを使用して、共有
ゲートウェイの物理インターフェイスを介してインターネットにアクセスします。仮想シス
テムの IP アドレスをグローバルにルーティングできない場合は、送信元 NAT を設定して、
それらのアドレスをグローバルにルーティング可能な IP アドレスに変換します。

仮想ルーターは、すべての仮想システムのトラフィックを、共有ゲートウェイを介してルー
ティングします。

仮想システムのデフォルト ルートは、共有ゲートウェイを指し示すようにする必要があり
ます。

内部ゾーンと外部ゾーンの間のトラフィックを許可するには、共有ゲートウェイで認識可能
な仮想システムごとにセキュリティ ポリシーを設定する必要があります。

デバイス管理者が仮想ルーターを制御し、仮想システムのメンバーが他の仮想システムのト
ラフィックに影響を与えることのないようにします。
設定の時間と手間を省くため、共通ゲートウェイの以下の利点を考慮してください。

1 つの共有ゲートウェイに関連付けられている複数の仮想システムで NAT を設定するのでは
なく、その共通ゲートウェイで NAT を設定することができます。

1 つの共有ゲートウェイに関連付けられている複数の仮想システムでポリシーベース ルーティ
ング (PBR) を設定するのではなく、その共通ゲートウェイで PBR を設定することができます。
790
仮想システム
仮想システム
仮想システムの設定
仮想システムの設定
仮想システムを作成するには、以下が必要です。

スーパーユーザー 管理ロール。

インターフェイスが設定されている。

仮想システムのライセンス(PA-2000 または PA-3000 シリーズのファイアウォールを設定す
る場合、またはプラットフォームでサポートされている基本数より多くの仮想システムを
作成する場合)。「仮想システムのプラットフォーム サポートおよびライセンス」を参照
してください。
仮想システムを作成および設定するには、以下の手順を実行します。
仮想システムの設定
ステップ 1
仮想システムを有効にします。 1.
[Device] > [ セットアップ ] > [ 管理 ] の順に選択し、
[ 一般設定 ] を編集します。
2.
[ マルチ仮想システム機能 ] チェックボックスをオンに
して、[OK] をクリックします。承認すると、このアク
ションによってコミットがトリガーされます。
ステップ 1 が完了した後にのみ、[Device] タブに [仮想
システム ] オプションと [ 共有ゲートウェイ ] オプショ
ンが表示されます。
ステップ 2
仮想システムを作成します。
1.
[Device] > [ 仮想システム ] の順に選択し、[ 追加 ] をク
リ ッ ク し て、「vsys」に 付 加 さ れ る 仮 想 シ ス テ ム の
[ID] を入力します。範囲 : 1 ~ 255。
デフォルト ID は 1 です。よってデフォルトの仮
想システムは、vsys1 となります。このデフォ
ルト ID は、複数の仮想システムをサポートしな
いプラットフォームであっても表示されます。
仮想システム
2.
復号化されたコンテンツをファイアウォールから外部
のサービスに転送できるようにする場合は、[復号化さ
れたコンテンツの転送を許可 ] チェック ボックスをオ
ン に し ま す。た と え ば、フ ァ イ ア ウ ォ ー ル か ら
WildFire に復号化されたコンテンツを送信して分析で
きるようにするには、このオプションを有効にする必
要があります。
3.
仮想システムの分かりやすい [ 名前 ] を入力します。合
計で最大 31 文字の英数字、スペース、アンダースコア
を使用できます。
791
仮想システムの設定
仮想システム
仮想システムの設定(続き)
ステップ 3
仮想システムにインターフェ 1.
イスを割り当てます。
仮 想 ル ー タ ー、vwire、ま た は
VLAN は、す で に 設 定 さ れ て 2.
いるか、または後で設定する
かのどちらかです。後で設定
す る 場 合 は、そ の 時 点 で、関
連付ける仮想システムを指定
します。仮想ルーターの設定 3.
手順の例は、以下のステップ 6
に示されています。
DNS プロキシ ルールをインターフェイスに適用する場
合は、[ 全般 ] タブで [DNS プロキシ ] プロファイルを
選択します。
[ インターフェイス ] フィールドで [ 追加 ] をクリック
し、仮想システムに割り当てるインターフェイスまた
はサブインターフェイスを入力します。インターフェ
イスは、1 つの仮想ルーターにのみ属することができ
ます。
その仮想システムで必要なデプロイメント タイプに基
づいて、以下のいずれかの操作を行います。
• [VLAN] フィールドで [ 追加 ] をクリックし、vsys に
割り当てる VLAN を入力します。
• [バーチャル ワイヤー] フィールドで [追加] をクリッ
クし、vsys に割り当てるバーチャル ワイヤーを入力
します。
• [仮想ルーター] フィールドで [追加] をクリックし、
vsys に割り当てる仮想ルーターを入力します。
4.
[ 認識可能な仮想システム ] フィールドで、設定中の仮
想システムで認識できるようにするすべての仮想シス
テムを選択します。これは、相互に通信する必要があ
る仮想システムにおいて必要な操作です。
管理境界を厳密に設定する必要があるマルチテナン
シー シナリオの場合、選択する仮想システムはありま
せん。
5.
792
[OK] をクリックします。
仮想システム
仮想システム
仮想システムの設定
仮想システムの設定(続き)
ステップ 4
(任意)仮想システムで許可さ 1.
れる、セッション、ルール、お
よび VPN トンネルのリソース
割り当てを制限します。仮想シ
ステムあたりの割り当てを柔軟
に制限できるため、デバイスの
リソースを効率よく制御するこ
とができます。
[ リソース ] タブで、仮想システムの制限を必要に応じ
て設定します。デフォルト値はありません。
• セッション制限 — 範囲 : 1 ~ 262144
• セキュリティ ルール — 範囲 : 0 ~ 2500
• NAT ルール — 範囲 : 0 ~ 3000
• 復号ルール — 範囲 : 0 ~ 250
• QoS ルール — 範囲 : 0 ~ 1000
• アプリケーション オーバーライド ルール — 範囲 :
0 ~ 250
• ポリシー ベース フォワーディング ルール — 範囲 :
0 ~ 500
• キャプティブ ポータルのルール — 範囲 : 0 ~ 1000
• DoS プロテクション ルール — 範囲 : 0 ~ 1000
• サイト間 VPN トンネル — 範囲 : 0 ~ 1024
• 同時 SSL VPN トンネル — 範囲 : 0 ~ 1024
2.
[OK] をクリックします。
[ コミット ] をクリックし、[OK] をクリックします。これ
で仮想システムは、[Objects] タブからアクセス可能なオ
ブジェクトになります。
ステップ 5
設定を保存します。
ステップ 6
仮想システムでスタティック 1.
およびダイナミック ルーティ
ングなどのネットワーク機能 2.
を使用できるようにするた
め、その仮想システム用に少
3.
なくとも 1 つの仮想ルーターを
作成します。
[Network] > [ 仮想ルーター] の順に選択し、[ 名前 ] を
入力して [ 仮想ルーター] を [ 追加 ] します。
仮想ルーターに属する [ インターフェイス ] を [ 追加 ]
します。
[OK] をクリックします。
あるいは、デプロイメントに
応じて、仮想システムで VLAN
またはバーチャル ワイヤーを
使用することもできます。
ステップ 7
仮想システムのインターフェ 少なくとも 1 つのインターフェイスについて、1 つのレイ
イスごとにセキュリティ ゾー ヤー 3 セキュリティ ゾーンを作成します。「インターフェ
ンを設定します。
イスおよびゾーンの設定」を参照してください。
ステップ 8
仮想システムの各ゾーンとの 「基本的なセキュリティ ポリシーのセットアップ」を参照
間のトラフィックを許可また してください。
は拒否するセキュリティ ポリ
シーを設定します。
仮想システム
793
仮想システムの設定
仮想システム
仮想システムの設定(続き)
ステップ 9
設定を保存します。
[ コミット ] をクリックし、[OK] をクリックします。
仮想システムを作成した後、デバイス管理者は、
CLI を使用して特定の仮想システムについてのみ設
定をコミットすることができます。
PA-5060> commit partial vsys vsys<id>
ステップ 10 (任意)仮想シ ステ ムに設 定 CLI を使用する SSH セッションを開きます。仮想システム
されているセキュリティ ポリ のセキュリティ ポリシーを表示するには、操作モードで以
シーを表示します。
下のコマンドを使用します。
PA-5060> set system setting target-vsys
<vsys-id>
PA-5060> show running security-policy
794
仮想システム
仮想システム
ファイアウォール内での仮想システム間通信の設定
ファイアウォール内での仮想システム間通信の設定
このタスクを行うのは、単一の企業内において、ファイアウォール内の各仮想システムが相互
に通信できるようにするユース ケースの場合です。そのようなシナリオについては、「ファイ
アウォール内に残る vsys 間トラフィック」で説明されています。このタスクでは、以下を想定
しています。

「仮想システムの設定」タスクを完了している。

仮想システムの設定時に、[ 認識可能な仮想システム ] フィールドで、相互通信のために相互に
認識可能にする必要があるすべての仮想システムのチェック ボックスをオンにしている。
ファイアウォール内での仮想システム間通信の設定
ステップ 1
仮想システムごとに外部ゾー 1.
ンを設定します。
[Network] > [ ゾーン ] の順に選択し、[ 名前 ] を入力し
て新しいゾーンを [ 追加 ] します。
2.
[ 場所 ] として、作成する外部ゾーンの対象仮想システ
ムを選択します。
3.
[ タイプ ] として、[ 外部 ] を選択します。
4.
[ 仮想システム ] として、外部ゾーンで到達可能な仮想
システムを入力します。
5.
[ ゾーン プロテクション プロファイル ] — 任意で、フ
ラッド、偵察行為、またはパケットベースの攻撃から
保護するためのゾーン プロテクション プロファイルを
選択します(または、後で設定します)。
6.
[ ログ設定 ] — 必要に応じて、ゾーン プロテクション
ログを外部システムに転送するためのログ転送プロ
ファイルを選択します。
7.
必要に応じて、[ ユーザー ID の有効化 ] チェックボッ
クスをオンにして、外部ゾーンの User-ID を有効にし
ます。
8.
[OK] をクリックします。
ステップ 2
仮想システムの内部ゾーンか • 「基本的なセキュリティ ポリシーのセットアップ」を参
ら外部ゾーンへのトラフィッ
照してください。
ク、およびその逆方向のトラ
• 「ファイアウォール内に残る vsys 間トラフィック」を参
フィックを許可または拒否す
照してください。
るためのセキュリティ ポリ
シーを設定します。
ステップ 3
設定を保存します。
仮想システム
[ コミット ] をクリックします。
795
共有ゲートウェイの設定
仮想システム
共有ゲートウェイの設定
このタスクを行うのは、複数の仮想システムでインターネットへの接続のために 1 つのイン
ターフェイス(共有ゲートウェイ)を共有する必要がある場合です。このタスクでは、以下を
想定しています。

グローバルにルーティング可能な IP アドレスを使用して、共有ゲートウェイとなるインター
フェイスを設定している。

前述の「仮想システムの設定」タスクを完了している。インターフェイスとして、グロー
バルにルーティング可能な IP アドレスが設定されている外向きのインターフェイスが選択
されている。

仮想システムの設定時に、[ 認識可能な仮想システム ] フィールドで、通信のために相互に認
識可能にする必要があるすべての仮想システムのチェック ボックスをオンにしている。
共有ゲートウェイの設定
ステップ 1
ステップ 2
「共有ゲートウェイ」の設定。 1.
[Device] > [ 共有ゲートウェイ ] の順に選択し、[ID] を
入力します。
2.
できるならゲートウェイの [ID] を含めて分かりやすい
[ 名前 ] を入力します。
3.
DNS プロキシ ルールをインターフェイスに適用する場
合は、[DNS プロキシ ] フィールドで DNS プロキシ プ
ロファイルを選択します。
4.
外部に接続する [インターフェイス] を [追加] します。
5.
[OK] をクリックします。
共有ゲートウェイのゾーンを 1.
設定します。
[Network] > [ ゾーン ] の順に選択し、[ 名前 ] を入力し
て新しいゾーンを [ 追加 ] します。
2.
[ 場所 ] として、作成するゾーンの対象共有ゲートウェ
イを選択します。
3.
[ タイプ ] として、[ レイヤー 3] を選択します。
4.
[ ゾーン プロテクション プロファイル ] — 任意で、フ
ラッド、偵察行為、またはパケットベースの攻撃から
保護するためのゾーン プロテクション プロファイルを
選択します(または、後で設定します)。
5.
[ログ設定] — 必要に応じて、ゾーン プロテクション ロ
グを外部システムに転送するためのログ転送プロファ
イルを選択します。
6.
必要に応じて、[ ユーザー ID の有効化 ] チェックボック
スをオンにし、共有ゲートウェイの User-ID を有効に
します。
7.
[OK] をクリックします。
共有ゲートウェイに
ゾーンやインターフェ
イスなどのオブジェク
トを追加すると、その
共有ゲートウェイ自体
が、[VSYS] ドロップダ
ウン メニューに選択可
能な vsys として表示さ
れます。
ステップ 3
796
設定を保存します。
[ コミット ] をクリックします。
仮想システム
仮想システム
仮想システムのその他の機能
仮想システムのその他の機能
ファイアウォールの機能の多くでは、仮想システムごとに、設定、表示、ロギング、またはレ
ポート作成することができます。したがって、ドキュメントの他の関連するセクションでも仮
想システムについて説明しているため、ここではそれらの情報は割愛します。関連する章のい
くつかを以下に示します。

アクティブ / パッシブ HA を設定する場合、2 つのファイアウォールの仮想システム機能は等
しくする必要があります(単一または複数の仮想システム機能)。「高可用性」を参照して
ください。

仮想システムの QoS 設定の詳細は、「仮想システムの QoS の設定」を参照してください。

サブインターフェイス(および VLAN タグ)を使用するバーチャル ワイヤー デプロイメン
トでの、仮想システムを含むファイアウォールの設定の詳細は、ネットワーキングのセク
ションの「バーチャル ワイヤー サブインターフェイス」を参照してください。
仮想システム
797
仮想システムのその他の機能
仮想システム
798
仮想システム