Palo Alto Networks Getting Started Guide

Size: px

Start display at page:

Download "Palo Alto Networks Getting Started Guide"

しょうぶかいじ
7 years ago
Views:

1 Palo Alto Networks スタートガイド PAN-OS 5.0

2 連絡先本社 : Palo Alto Networks 3300 Olcott Street Santa Clara, CA このガイドについてこのスタートガイドでは Palo Alto Networks ファイアウォールの初期設定と基本的なセットアップ方法について説明しますまたこのガイドではハードウェアベースファイアウォールのラックマウントを完了した後または仮想ファイアウォールを作成した後の使用方法についても説明しますこのガイドの対象読者はセキュリティゲートウェイとしてファイアウォールをすばやくセットアップするための基本フレームワークを必要とする管理者ですさらに詳細な情報については次の資料を参照してください Palo Alto Networks 管理者ガイド追加の機能およびファイアウォールの機能の設定方法の詳細ナレッジベースドキュメントセット一式ディスカッションフォーラムおよび動画サポート窓口サポートプログラムの詳細アカウントまたはデバイスの管理このガイドではデバイスの Web インターフェイスを使用してファイアウォールを設定するときの手順を説明します Panorama を使用したファイアウォールの導入手順については説明していません Panorama を使用する場合の手順の詳細については管理者ガイドを参照してください Palo Alto Networks, Inc Palo Alto Networks.All rights reserved. Palo Alto Networks PAN-OS および Panorama は Palo Alto Networks, Inc. の商標ですその他の商標の所有権はそれぞれの所有者に帰属します P/N Rev. B ii

法についても説明しますこのガイドの対象読者はセキュリティゲートウェイとしてファイアウォールをすばやくセットアップするための基本フレームワークを必要とする管理者ですさらに詳細な情報については次の資料を参照してください Palo Alto Networks 管理者ガイド追加の機能およびファイアウォールの

3 目次管理ネットワークへのファイアウォールの統合ファイアウォールへの管理アクセスのセットアップ管理戦略の決定初期設定の実行外部サービスへのネットワークアクセスのセットアップファイアウォールサービスのアクティベーション Palo Alto Networks への登録ライセンスのアクティベーションコンテンツ更新の管理ソフトウェア更新のインストールファイアウォール管理者の追加管理ロール管理認証管理アカウントの作成ファイアウォールのモニターアプリケーションと脅威のモニターローカルログデータの表示外部サービスへのログの転送 SNMP を使用したファイアウォールのモニターペリメータセキュリティの確立ペリメータセキュリティの概要ファイアウォールの導入ネットワークアドレス変換 (NAT) についてセキュリティポリシーについてインターフェイスおよびゾーンの設定導入計画インターフェイスとゾーンの設定 NAT ポリシーの設定内部クライアントの IP アドレスからパブリック IP アドレスへの変換内部ネットワークのクライアントからパブリックサーバーへのアクセスを有効にする 54 パブリックフェイシングサーバーの双方向アドレス変換を有効にする基本的なセキュリティポリシーのセットアップセキュリティルールの作成セキュリティポリシーのテストネットワーク上のトラフィックのモニタリングスタートガイド i

....................................................... 12 ライセンスのアクティベーション.................................................. 13 コンテンツ更新の管理............................................................. 14 ソフトウェア更新のインストール.

4 目次脅威からのネットワークの防御脅威防御の概要セキュリティゾーンセキュリティポリシー復号ポリシーについて脅威防御機能のライセンス脅威防御のライセンスについてライセンスの取得とインストールセキュリティポリシーについて復号ポリシーと復号プロファイルセキュリティプロファイルとセキュリティポリシーのセットアップ復号ポリシーのセットアップアウトバウンド復号ポリシーのセットアップアンチウィルスアンチスパイウェアおよび脆弱性防御のセットアップデータフィルタリングのセットアップファイルブロッキングのセットアップ WildFire のセットアップ URL フィルタリングのセットアップユーザー ID の設定ユーザー ID の概要グループマッピングについてユーザーマッピングについてユーザー ID の有効化ユーザー対グループのマッピング IP アドレス対ユーザーのマッピングユーザーおよびグループベースのポリシーを有効にする User-ID 設定の確認高可用性のセットアップ HA 概要 HA モード HA リンクおよびバックアップリンクデバイス優先度およびプリエンプションフェイルオーバーのトリガーアクティブ / パッシブ HA の前提条件設定のガイドラインアクティブ / パッシブペアの設定フェイルオーバー条件の定義フェイルオーバーの確認 ii スタートガイド

................................................. 68 セキュリティポリシーについて....................................................... 69 復号ポリシーと復号プロファイル.................................................. 77 セキュリティプロファイルとセキュリティポリシーのセットアップ.

5 1 管理ネットワークへのファイアウォールの統合この章ではファイアウォールを管理ネットワークに統合しセキュリティ設定を準備するために必要な初期設定手順の実行方法を説明しますこの章は以下のセクションで構成されていますファイアウォールへの管理アクセスのセットアップファイアウォールサービスのアクティベーションファイアウォール管理者の追加ファイアウォールのモニタースタートガイド 3

この章は以下のセクションで構成されていますファイアウォールへの管理アクセスのセットアップ

6 ファイアウォールへの管理アクセスのセットアップ管理ネットワークへのファイアウォールの統合ファイアウォールへの管理アクセスのセットアップすべての Palo Alto Networks ファイアウォールにはアウトオブバンド管理ポート(MGT)が用意されておりそれを使用してファイアウォールの管理機能を実行できます MGT ポートを使用することによってファイアウォールの管理機能がデータ処理機能から分離されるためファイアウォールへのアクセスが安全に守られパフォーマンスが向上します Web インターフェイスを使用するときにはデバイスの管理でインバンドポートを使用する予定の場合であっても MGT からすべての初期設定タスクを実行する必要がありますライセンスの取得やファイアウォールでの脅威シグネチャとアプリケーションシグネチャの更新などの一部の管理タスクではインターネットへのアクセスが必要です MGT ポートへの外部アクセスを有効にしない場合は必要な外部サービスにアクセスできるようにデータポートをセットアップするか定期的に手動で更新をアップロードするように計画する必要があります以下のセクションではファイアウォールへの管理アクセスのセットアップ方法を示します管理戦略の決定初期設定の実行外部サービスへのネットワークアクセスのセットアップ管理戦略の決定 Palo Alto Networks のファイアウォールはローカルで設定および管理するか Palo Alto Networks の中央管理システムである Panorama を使用することによって一元管理することができますネットワークにファイアウォールが 6 つ以上導入されている場合 Panorama を使用すると以下のメリットがあります設定ポリシーソフトウェアおよび動的コンテンツ更新の管理で煩雑さや管理上の負荷を軽減できます Panorama でデバイスグループとテンプレートを使用することによりデバイス固有の設定を各デバイスでローカルに管理したりすべてのデバイスまたはデバイスグループで共有ポリシーを適用したりすることで効果的に管理できますすべての管理対象ファイアウォールからデータを集約しネットワーク上のすべてのトラフィックを可視化します Panorama のアプリケーションコマンドセンター(ACC)にはファイアウォール全体の統一レポートの一括管理画面が表示されネットワークトラフィックセキュリティインシデントおよび管理上の変更について一元的に分析と調査を行いレポートを作成することができますこのドキュメントに示す手順はローカル Web インターフェイスを使用してファイアウォールを管理する場合の方法を示しています中央管理で Panorama を使用する場合はこのガイドの初期設定の実行セクションにある指示に従って設定を完了した後にファイアウォールから Panorama への接続を確立できることを確認してください詳細については Palo Alto Networks 管理者ガイドの第 13 章を参照してください 4 スタートガイド

要がありますライセンスの取得やファイアウォールでの脅威シグネチャとアプリケーションシグネチャの更新などの一部の管理タスクではインターネットへのアクセスが必要です MGT ポートへの外部アクセスを有効にしない場合は必要な外部サービスにアクセスできるようにデータポートをセットアップするか定期的に手動で更

7 管理ネットワークへのファイアウォールの統合ファイアウォールへの管理アクセスのセットアップ初期設定の実行ファイアウォールのデフォルトの IP アドレスはユーザー名 / パスワードは admin/admin ですセキュリティ上の理由により他のファイアウォールの設定タスクに入る前にこれらの設定値を変更する必要があります初期設定タスクはファイアウォールの管理で MGT インターフェイスを使用しない場合でもこのインターフェイスから実行するかデバイスのコンソールポートへ直接シリアルポート接続を使用して実行する必要がありますファイアウォールへのネットワークアクセスのセットアップステップ 1 ステップ 2 ステップ 3 ネットワーク管理者から必要な情報を入手しますコンピュータをファイアウォールに接続しますプロンプトが表示されたらファイアウォールにログインします MGT ポートの IP アドレスネットマスクデフォルトゲートウェイ DNS サーバーのアドレス次のいずれかの方法でファイアウォールに接続できますコンピュータからコンソールポートにシリアルケーブルを接続しターミナルエミュレーションソフトウェア( N-1)を使用してファイアウォールに接続します起動シーケンスが完了するまで 2 3 分待ちますデバイスの準備ができるとプロンプトがファイアウォールの名前に変わりたとえば PA-500 login のように表示されますコンピュータからファイアウォールの MGT ポートに RJ-45 Ethernet ケーブルを接続しますブラウザでに移動しますこの URL にアクセスするにはコンピュータの IP アドレスをネットワークでのアドレス ( など)に変更しなければならない場合がありますデフォルトのユーザー名とパスワード(admin/admin) を使用してログインする必要がありますファイアウォールの初期化が開始されますステップ 4 MGT インターフェイスを設定します 1. [Device] > [ セットアップ ] > [ 管理 ] の順に選択して画面上にある [ 管理インターフェイス設定 ] セクションで編集アイコンをクリックします [IP アドレス ] [ ネットマスク ] および [ デフォルトゲートウェイ ] の値を入力します 2. [ 速度 ] を [auto-negotiate] に設定します 3. インターフェイスで許可する管理サービスを選択しますベストプラクティスとして Telnet と HTTP が選択されていないことを確認しますこれはこれらのサービスでは平文が使用され他のサービスほど安全ではないからです 4. [OK] をクリックしますスタートガイド 5

デバイスのコンソールポートへ直接シリアルポート接続を使用して実行する必要がありますファイアウォールへのネットワークアクセスのセットアップステップ 1 ステップ 2 ステップ 3 ネットワーク管理者から必要な情報を入手しますコンピュータをファイアウォールに接続しますプロンプトが表示されたらファイア

8 ファイアウォールへの管理アクセスのセットアップ管理ネットワークへのファイアウォールの統合ファイアウォールへのネットワークアクセスのセットアップ( 続き) ステップ 5 ( 任意 ) 全般的なファイアウォールの設定を行います 1. [Device] > [ セットアップ ] > [ 管理 ] の順に選択し画面の [ 一般設定 ] セクションで編集アイコンをクリックします 2. ファイアウォールの [ ホスト名 ] を入力しネットワークの [ ドメイン ] 名を入力しますドメイン名はラベルにすぎずドメインに参加するために使用されることはありません 3. [ 緯度 ] と [ 経度 ] を入力しそのファイアウォールが世界地図上の正確な場所に配置されるようにします 4. [OK] をクリックしますステップ 6 注意ステップ 7 DNS 時刻および日付の設定を行いますファイアウォールで少なくとも 1 つの DNS サーバーを手動で設定する必要があり設定しないとホスト名を解決することができなくなりますそのファイアウォールは ISP などの別のソースからの DNS サーバー設定を使用しません admin アカウントの安全なパスワードを設定します 1. [Device] > [ セットアップ ] > [ サービス ] の順に選択し画面の [ サービス ] セクションで編集アイコンをクリックします 2. [ プライマリ DNS サーバー ] および必要に応じて [ セカンダリ DNS サーバー ] の IP アドレスを入力します 3. インターネット上のタイムサーバーの仮想クラスタを使用するにはホスト名の pool.ntp.org を[ プライマリ NTP サーバー] として入力するかまたは [ プライマリ NTP サーバー] および必要じてに応 [ セカンダリ NTP サーバー] の IP アドレスを追加します 4. [OK] をクリックして設定を保存します 1. [Device] > [ 管理者 ] の順に選択します 2. admin ロールを選択します 3. 現在のデフォルトパスワードと新しいパスワードを入力します 4. [OK] をクリックして設定を保存しますステップ 8 注意変更をコミットします設定の変更を保存すると IP アドレスが変更されるため Web インターフェイスへの接続が遮断されます [Commit] をクリックしますデバイスでの変更の保存には最長で 90 秒かかりますステップ 9 ファイアウォールをネットワークに接続します 1. コンピュータからファイアウォールを切断します 2. RJ-45 Ethernet ケーブルを使用して MGT ポートを管理ネットワークのスイッチポートに接続しますファイアウォールからケーブルで接続するスイッチポートが auto-negotiation に設定されていることを確認します 6 スタートガイド

[ 緯度 ] と [ 経度 ] を入力しそのファイアウォールが世界地図上の正確な場所に配置されるようにします 4.

9 管理ネットワークへのファイアウォールの統合ファイアウォールへの管理アクセスのセットアップファイアウォールへのネットワークアクセスのセットアップ( 続き) ステップ 10 ファイアウォールへの SSH 管理セッションを開きます PuTTY などの端末エミュレーションソフトウェアを使用し割り当てた新しい IP アドレスを使用してファイアウォールへの SSH セッションを開始しますステップ 11 次のいずれかの方法によりファイアウォール管理で必要な Palo Alto Networks アップデートサーバーなどの外部サービスへのネットワークアクセスを確認します MGT インターフェイスに外部ネットワークへのアクセスを許可しない場合は必要なサービス更新を取得するようにデータポートをセットアップする必要があります 8 ページの外部サービスへのネットワークアクセスのセットアップに進みます MGT インターフェイスへのアクセスを外部ネットワークに許可する場合は接続が確立されていることを確認してから 12 ページのファイアウォールサービスのアクティベーションに進みます外部ネットワークアクセス用に MGT ポートにケーブルを接続した場合は CLI から ping ユーティリティを使用してファイアウォールとの間で通信可能なことを確認します次の例に示すようにしてデフォルトゲートウェイ DNS サーバーおよび Palo Alto Networks アップデートサーバーに接続可能なことを確認してください admin@pa-200> ping host updates.paloaltonetworks.com PING updates.paloaltonetworks.com ( ) 56(84) bytes of data. 64 bytes from : icmp_seq=1 ttl=243 time=40.5 ms 64 bytes from : icmp_seq=1 ttl=243 time=53.6 ms 64 bytes from : icmp_seq=1 ttl=243 time=79.5 ms 注意接続を確認したら Ctrl+C を押して ping を停止しますスタートガイド 7

更新を取得するようにデータポートをセットアップする必要があります 8 ページの外部サービスへのネットワークアクセスのセットアップに進みます MGT インターフェイスへのアクセスを外部ネットワークに許可する場合は接続が確立されていることを確認してから 12 ページのファイアウォールサービスのアクティベーション

10 ファイアウォールへの管理アクセスのセットアップ管理ネットワークへのファイアウォールの統合外部サービスへのネットワークアクセスのセットアップファイアウォールはデフォルトで MGT インターフェイスを使用して DNS サーバーコンテンツ更新およびライセンス取得などのリモートサービスにアクセスします管理ネットワークに外部ネットワークへのアクセスを有効にしない場合はデータポートをセットアップしてこれらの必須外部サービスにアクセスできるようにする必要がありますこのタスクを行うにはファイアウォールのインターフェイスゾーンおよびポリシーに精通しておく必要がありますこれらのトピックについての詳細は第 2 章ペリメータセキュリティの確立を参照してください外部サービスへのアクセス用データポートのセットアップステップ 1 外部サービスへのアクセスで使用するポートを決定しそのポートをスイッチまたはルーターのポートに接続します使用するインターフェイスには静的 IP アドレスが必要ですステップ 2 Web インターフェイスにログインします Web ブラウザから安全な接続 (https)を使用し初期設定のときに割り当てた新しい IP アドレスとパスワードを使用してログインします( address>) 証明書の警告が表示されますが問題ありませんそのまま続行して Web ページを開きますステップ 3 ( 任意 )ファイアウォールは Ethernet 1/1 ポートと Ethernet 1/2 ポート(および対応するデフォルトのセキュリティポリシーとゾーン)の間のデフォルトのバーチャルワイヤーインターフェイスが事前設定されて出荷されますこのバーチャルワイヤー設定を使用する予定がない場合は定義する他のインターフェイスの設定と干渉しないようにするためその設定を手動で削除する必要があります設定は次の順序で削除する必要があります 1. デフォルトのセキュリティポリシーを削除するには [Policies] > [ セキュリティ] の順に選択してルールを選択し [ 削除 ] をクリックします 2. 次に [Network] > [ バーチャルワイヤー ] の順に選択しバーチャルワイヤーを選択して [ 削除 ] をクリックしてデフォルトのバーチャルワイヤーを削除します 3. デフォルトの信頼できるゾーンと信頼できないゾーンを削除するには [Network] > [ ゾーン ] の順に選択し各ゾーンを選択して [ 削除 ] をクリックします 4. 最後に [Network] > [ インターフェイス ] の順に選択してから各インターフェイス(Ethernet1/1 と Ethernet1/2)を選択し [ 削除 ] をクリックします 5. 変更を [Commit] します 8 スタートガイド

照してください外部サービスへのアクセス用データポートのセットアップステップ 1 外部サービスへのアクセスで使用するポートを決定しそのポートをスイッチまたはルーターのポートに接続します使用するインターフェイスには静的 IP アドレスが必要ですステップ 2 Web インターフェイスにログインします Web ブラウザから安全な接

11 管理ネットワークへのファイアウォールの統合ファイアウォールへの管理アクセスのセットアップ外部サービスへのアクセス用データポートのセットアップ( 続き) ステップ 4 インターフェイスを設定します 1. [Network] > [ インターフェイス ] の順に選択しステップ 1 でケーブルを接続したポートに対応するインターフェイスを選択します 2. [ インターフェイスタイプ ] を選択しますここで選択するタイプはご使用のネットワークトポロジに応じて異なりますがこの例では [ レイヤー 3] の場合の手順を示します 3. [ 設定 ] タブで [ セキュリティゾーン ] ドロップダウンを展開して [ 新規ゾーン ] を選択します 4. [ ゾーン ] ダイアログで新規ゾーンの [ 名前 ]( L3-trust など)を定義して [OK] をクリックします 5. [IPv4] タブを選択し [IP] セクションの [ 追加 ] をクリックしてインターフェイスに割り当てる IP アドレスとネットワークマスク( /24 など)を入力します 6. [ 詳細 ] > [ その他の情報 ] の順に選択し [ 管理プロファイル ] ドロップダウンを展開して [ 新規管理プロファイル ] を選択します 7. プロファイルの [ 名前 ]( allow_ping など)を入力しインターフェイスで許可するサービスを選択します許可するサービスにはデバイスへの管理アクセス権が付与されるためこのインターフェイスで許可する管理アクティビティに対応するサービスのみを選択してくださいたとえば Web インターフェイスまたは CLI によるデバイス設定タスクで MGT インターフェイスを使用する場合は HTTP HTTPS SSH または Telnet を有効にしないことによりこのインターフェイスを介した無権限のアクセスを防止することができます外部サービスへのアクセスを許可する目的の場合は [Ping] のみをオンにして [OK] をクリックします 8. インターフェイス設定を保存するには [OK] をクリックしますスタートガイド 9

[ インターフェイスタイプ ] を選択しますここで選択するタイプはご使用のネットワークトポロジに応じて異なりますがこの例では [ レイヤー 3] の場合の手順を示します 3. [ 設定 ] タブで [ セキュリティゾーン ] ドロップダウンを展開して [ 新規ゾーン ] を選択します 4.

ファイアウォールへの管理アクセスのセットアップ管理ネットワークへのファイアウォールの統合外部サービスへのアクセス用データポートのセットアップ( 続き) ステップ 5 ファイアウォールではデフォルトで MGT インターフェイスを使用して必要な外部サービスにアクセスするためサービスルートを編集することによりこれらの要求を送

12 ファイアウォールへの管理アクセスのセットアップ管理ネットワークへのファイアウォールの統合外部サービスへのアクセス用データポートのセットアップ( 続き) ステップ 5 ファイアウォールではデフォルトで MGT インターフェイスを使用して必要な外部サービスにアクセスするためサービスルートを編集することによりこれらの要求を送信するためにファイアウォールが使用するインターフェイスを変更する必要があります 1. [Device] > [ セットアップ ] > [ サービス ] > [ サービスルートの設定 ] の順に選択します 2. [Select] ラジオボタンをクリックします 3. サービスルートを変更するサービスに対応する [ 送信元アドレス ] 列で [Use default] をクリックします 4. 設定したインターフェイスの IP アドレスを選択します 5. 変更する各サービスについてここでの手順を繰り返しますライセンスをアクティベーションし最新のコンテンツ更新とソフトウェア更新を取得する場合には DNS Palo Alto Updates URL Updates および WildFire のサービスルートを変更できます 6. [OK] をクリックして設定を保存します 7. 変更を [Commit] します 10 スタートガイド

[Select] ラジオボタンをクリックします 3. サービスルートを変更するサービスに対応する [ 送信元アドレス ] 列で [Use default] をクリックします 4. 設定したインターフェイスの IP アドレスを選択します 5.

13 管理ネットワークへのファイアウォールの統合ファイアウォールへの管理アクセスのセットアップ外部サービスへのアクセス用データポートのセットアップ( 続き) ステップ 6 外向きインターフェイスおよび関連付けられたゾーンを設定しファイアウォールが内部ゾーンから外部ゾーンにサービス要求を送信することを許可するようにセキュリティルールと NAT ポリシールールを作成します 1. [Network] > [ インターフェイス ] の順に選択して外向きのインターフェイスを選択します [ インターフェイスタイプ ] として [ レイヤー 3] を選択し [IP] アドレスを [ 追加 ] して([IPv4] または [IPv6] タブ) l3-untrust などの関連付けられた [ セキュリティゾーン ] ([ 設定 ] タブ)を作成しますこのインターフェイスでの管理サービスを設定する必要はありません 2. 内部ネットワークから Palo Alto Networks アップデートサーバーと外部 DNS サーバーへのトラフィックを許可するセキュリティルールをセットアップするには [Policies] > [セキュリティ ] の順に選択して [ 追加 ] をクリックします初期設定の場合は次のようにして l3-trust から l3-untrust へのすべてのトラフィックを許可する簡単なルールを作成できます 3. 内向きインターフェイスでプライベート IP アドレスを使用する場合はそのアドレスをパブリックにルーティング可能なアドレスに変換するソース NAT ルールを作成する必要があります [Policies] > [NAT] の順に選択して [ 追加 ] をクリックします少なくともルールの名前を定義し([ 全般 ] タブ) 送信元と宛先のゾーン(この場合は l3-trust から l3-intrust)を指定し([ 元のパケット ] タブ) 送信元アドレス変換の設定項目を定義して([ 変換済みパケット ] タブ) [OK] をクリックする必要があります NAT の詳細は 51 ページの NAT ポリシーの設定を参照してください 4. 変更を [Commit] しますステップ 7 データポートからデフォルトゲートウェイ DNS サーバーおよび Palo Alto Networks アップデートサーバーなどの外部サービスに接続できることを確認します必要なネットワーク接続が確立されていることを確認してから 12 ページのファイアウォールサービスのアクティベーションに進みます CLI を起動し ping ユーティリティを使用して接続が有効なことを確認しますデフォルトの ping は MGT インターフェイスから送信されるためこの場合は ping 要求の送信元インターフェイスを指定する必要があります admin@pa-200> ping source host updates.paloaltonetworks.com PING updates.paloaltonetworks.com ( ) from : 56(84) bytes of data. 64 bytes from : icmp_seq=1 ttl=242 time=56.7 ms 64 bytes from : icmp_seq=2 ttl=242 time=47.7 ms 64 bytes from : icmp_seq=3 ttl=242 time=47.6 ms ^C 接続を確認したら Ctrl+C を押して ping を停止しますスタートガイド 11

[Network] > [ インターフェイス ] の順に選択して外向きのインターフェイスを選択します [ インターフェイスタイプ ] として [ レイヤー 3] を選択し [IP] アドレスを [ 追加 ] して([IPv4] または [IPv6] タブ) l3-untrust などの関連付けられた [ セキュリティゾーン ] ([ 設定 ]

ファイアウォールサービスのアクティベーション管理ネットワークへのファイアウォールの統合ファイアウォールサービスのアクティベーションファイアウォールを使用してネットワークを安全に保護するにはそのネットワークを登録し購入したサービスのライセンスをアクティベーションする必要がありますまた以下のセクションに従って適切

14 ファイアウォールサービスのアクティベーション管理ネットワークへのファイアウォールの統合ファイアウォールサービスのアクティベーションファイアウォールを使用してネットワークを安全に保護するにはそのネットワークを登録し購入したサービスのライセンスをアクティベーションする必要がありますまた以下のセクションに従って適切なバージョンの PAN-OS が稼動しているようにする必要があります Palo Alto Networks への登録ライセンスのアクティベーションコンテンツ更新の管理ソフトウェア更新のインストール Palo Alto Networks への登録ファイアウォールを使用してアプリケーションを安全に有効にできるようにするには次のようにしてそのアプリケーションを登録する必要がありますファイアウォールの登録ステップ 1 Web インターフェイスにログインします Web ブラウザから安全な接続 (https)を使用し初期設定のときに割り当てた新しい IP アドレスとパスワードを使用してログインします( address>) 証明書の警告が表示されますが問題ありませんそのまま続行して Web ページを開きますステップ 2 シリアル番号を見つけクリップボードにコピーします [Dashboard] で画面の [ 一般的な情報 ] セクションに表示されている [ シリアル番号 ] を確認しますステップ 3 ステップ 4 Palo Alto Networks サポートサイトに移動しますデバイスを登録します登録方法はサポートサイトにすでにログイン情報が登録されているかどうかに応じて異なります新しいブラウザのタブまたはウィンドウでに移動しますこれが登録する最初の Palo Alto Networks デバイスでありまだログイン情報を登録していない場合はページの右側にある [ 登録 ] をクリックします登録するには自分の電子メールアドレスとファイアウォールのシリアル番号を指定する必要があります(クリップボードから貼り付け可能 ) また Palo Alto Networks サポートコミュニティへのアクセス用にユーザー名とパスワードをセットアップするよう求めるプロンプトが表示されますすでにサポートアカウントを持っている場合はログインしてから [My Devices] をクリックします画面下部の [Register Device] セクションまでスクロールしファイアウォールのシリアル番号 (クリップボードから貼り付け可能 ) 市区町村および郵便番号を入力して [ デバイスの登録 ] をクリックします 12 スタートガイド

にしてそのアプリケーションを登録する必要がありますファイアウォールの登録ステップ 1 Web インターフェイスにログインします Web ブラウザから安全な接続 (https)を使用し初期設定のときに割り当てた新しい IP アドレスとパスワードを使用してログインします(https://<IP address>) 証明書の警

15 管理ネットワークへのファイアウォールの統合ファイアウォールサービスのアクティベーションライセンスのアクティベーションファイアウォールを使用してネットワークのトラフィックを安全に保護することができるようにするにはまず購入したサービスごとにライセンスをアクティベーションする必要があります次のようなライセンスを購入できます脅威防御アンチウィルスアンチスパイウェアおよび脆弱性防御機能を提供します脅威防御についての詳細は 82 ページのアンチウィルスアンチスパイウェアおよび脆弱性防御のセットアップを参照してください URL フィルタリング動的な URL カテゴリに基づいてポリシールールを作成するにはサポートされている URL フィルタリングデータベース(PAN-DB または BrightCloud)のいずれかのサブスクリプションを購入してインストールする必要があります URL フィルタリングについての詳細は 95 ページの URL フィルタリングのセットアップを参照してください仮想システムこのライセンスは PA-2000 および PA-3000 シリーズのファイアウォールで複数の仮想システムのサポートを有効にするために必要ですまた PA-4000 および PA-5000 シリーズのファイアウォールでのデフォルトの基本数 ( 基本数はプラットフォームごとに異なります)より多くの数の仮想システムを使用する場合は仮想システムライセンスを 1 つ購入する必要があります PA-500 PA-200 および VM シリーズのファイアウォールでは仮想システムがサポートされていません WildFire 基本 WildFire サポートは脅威防御ライセンスの一部として含まれていますが WildFire サブスクリプションサービスでは直ちにセキュリティが必要な組織を対象に強化サービスを提供することにより時間単位の WildFire シグネチャ更新 WildFire サーバーからのログのダウンロードおよび WildFire API を使用したファイルのアップロードを有効にすることができます WildFire についての詳細は 93 ページの WildFire のセットアップを参照してください GlobalProtect モビリティソリューションまたは大規模 VPN 機能を提供しますデフォルトではライセンスなしで 1 つの GlobalProtect ポータルとゲートウェイを導入できますただしホストチェックを使用したりゲートウェイを複数導入したりする場合はポータルライセンス(1 回限りの永続ライセンス)とゲートウェイライセンス(サブスクリプション) を購入する必要があります GlobalProtect についての詳細は Palo Alto Networks 管理者ガイドの第 9 章を参照してくださいライセンスのアクティベーションステップ 1 購入したライセンスのアクティベーションコードを探しますサブスクリプションを購入した場合は各サブスクリプションに関連付けられているアクティベーションコードの一覧を示した電子メールを Palo Alto Networks カスタマーサポートから受信していますこの電子メールが見当たらない場合はカスタマーサポートに連絡してアクティベーションコードを入手してから次に進んでくださいステップ 2 Web インターフェイスを起動し [Device] > [ ライセンス ] の順に選択しますライセンスページに移動しますスタートガイド 13

フィルタリングデータベース(PAN-DB または BrightCloud)のいずれかのサブスクリプションを購入してインストールする必要があります URL フィルタリングについての詳細は 95 ページの URL フィルタリングのセットアップを参照してください仮想システムこのライセンスは PA-2000 および PA-3000 シリーズのファイアウォールで複

16 ファイアウォールサービスのアクティベーション管理ネットワークへのファイアウォールの統合ライセンスのアクティベーション( 続き) ステップ 3 注意購入した各ライセンスをアクティベーションします管理ポートからのインターネットアクセス権がファイアウォールに付与されていない場合はサポートサイトからライセンスファイルを手動でダウンロードし [ ライセンスキーの手動アップロード] オプションを使用してファイアウォールにアップロードすることができます 1. [ 認証コードを使用した機能のアクティベーション ] をオンにします 2. プロンプトが表示されたら [ 認証コード ] を入力して [OK] をクリックします 3. ライセンスが正常にアクティベーションされたことを確認しますたとえば WildFire ライセンスをアクティベーションした後ライセンスが有効なことを確認してくださいコンテンツ更新の管理変遷する脅威やアプリケーションより常に優位に立つためすべての Palo Alto Networks ファイアウォールで動的コンテンツ更新がサポートされています購入したサブスクリプションに応じてこれらの更新には URL フィルタリングデータベースに加えて最新のアプリケーションシグネチャと脅威シグネチャが含まれます常に最新の脅威 (まだ発見されていない脅威を含む) から保護されるようにするため Palo Alto Networks から公開される最新の更新により使用するファイアウォールが常に最新の状態に維持されるようにする必要があります所有しているサブスクリプションに応じて以下のコンテンツ更新を利用できますアンチウィルス WildFire クラウドサービスによって発見されたシグネチャなどの新規および更新されたアンチウィルスシグネチャを含みます更新データを取得するには脅威防御サブスクリプションが必要です新しいアンチウィルスシグネチャは毎日公開されますアプリケーション新規および更新されたアプリケーションシグネチャを含みますこの更新に追加のサブスクリプションは不要ですが有効なメンテナンス / サポートの連絡先が必要です新しいアプリケーション更新は週単位で公開されますアプリケーションおよび脅威新規および更新されたアプリケーションシグネチャと脅威シグネチャを含みますこの更新は脅威防御サブスクリプションを購入している場合 (およびアプリケーション更新の代わりに取得する場合 )に入手できます新しいアプリケーションおよび脅威の更新は週単位で公開されます Global Protect データファイル GlobalProtect エージェントによって返されるホスト情報プロファイル(HIP)データを定義および評価するためのベンダー固有情報を含みます更新を受信するには GlobalProtect ポータルと GlobalProtect ゲートウェイライセンスが必要ですまた GlobalProtect が機能を開始する前にそれらの更新のスケジュールを作成する必要があります 14 スタートガイド

ライセンスが正常にアクティベーションされたことを確認しますたとえば WildFire ライセンスをアクティベーションした後ライセンスが有効なことを確認してくださいコンテンツ更新の管理変遷する脅威やアプリケーションより常に優位に立つためすべての Palo Alto Networks ファイアウォールで動的コンテンツ

17 管理ネットワークへのファイアウォールの統合ファイアウォールサービスのアクティベーション BrightCloud URL フィルタリング BrightCloud URL フィルタリングデータベースにのみ更新を提供します更新を取得するには BrightCloud サブスクリプションが必要です新しい BrightCloud URL データベース更新は毎日公開されます PAN-DB ライセンスを持っている場合はデバイスがサーバーと自動的に同期されるためスケジュールされた更新は不要です WildFire WildFire クラウドによって行われる分析の結果として作成されるリアルタイムに近いマルウェアシグネチャとアンチウィルスシグネチャを提供します(サブスクリプションなしの場合はシグネチャが脅威更新に登録されるまでに 24 時間から 48 時間待つ必要があります) さらにこのサブスクリプションにより (WildFire ポータルにアクセスする代わりに) オンデバイスログを作成し WildFire API を使用して 1 日あたり最大 100 ファイルをアップロードすることができます更新はいつでも手動でダウンロードしてインストールできますがベストプラクティスとして更新が自動的に処理されるようにスケジュールするようお勧めします使用するファイアウォールに管理ポートからのインターネットアクセス権が付与されていない場合は Palo Alto Networks サポートサイト( からコンテンツ更新をダウンロードして使用するファイアウォールに [アップロード ] することができます最新データベースのダウンロードステップ 1 Web インターフェイスを起動し [Device] > [ ダイナミック更新 ] の順に選択します [ ダイナミック更新 ] ページに移動しますスタートガイド 15

します(サブスクリプションなしの場合はシグネチャが脅威更新に登録されるまでに 24 時間から 48 時間待つ必要があります) さらにこのサブスクリプションにより (WildFire ポータルにアクセスする代わりに) オンデバイスログを作成し WildFire API を使用して 1 日あたり最大 100 ファイルをアップ

18 ファイアウォールサービスのアクティベーション管理ネットワークへのファイアウォールの統合最新データベースのダウンロード( 続き) ステップ 2 最新の更新があるかどうか確認します [ 今すぐチェック ](ウィンドウの左下に配置 )をクリックして最新の更新があるかどうか確認します [ アクション ] 列のリンクは更新が入手可能かどうかを示しますダウンロード新しい更新ファイルが入手可能なことを示しますリンクをクリックしファイアウォールへのファイルの直接ダウンロードを開始しますダウンロードが正常に完了すると [ アクション ] 列のリンクが [ ダウンロード ] から [ インストール ] に変化します注意アプリケーションおよび脅威データベースをインストールするまではアンチウィルスデータベースをダウンロードできませんアップグレード新しいバーションの BrightCloud データベースが存在することを示しますリンクをクリックしてデータベースのダウンロードとインストールを開始しますデータベースのアップグレードがバックグラウンドで開始され完了すると [ 現在インストール済み ] 列にチェックマークが表示されます URL フィルタリングデータベースとして PAN-DB を使用する場合はアップグレードリンクが表示されませんがこれは PAN-DB データベースとサーバーの同期が自動的に保たれるからです提示アクションの状態を確認するには [ タスク ](ウィンドウの右下に表示 )をクリックしますステップ 3 注意更新をインストールしますインストールには最長で PA-200 PA-500 または PA-2000 デバイスの場合には 20 分 PA-3000 シリーズ PA-4000 シリーズ PA-5000 シリーズまたは VM シリーズのファイアウォールの場合には 2 分かかります [ アクション ] 列の [ インストール ] リンクをクリックしますインストールが完了すると [ 現在インストール済み ] 列にチェックマークが表示されます 16 スタートガイド

データベースをインストールするまではアンチウィルスデータベースをダウンロードできませんアップグレード新しいバーションの BrightCloud データベースが存在することを示しますリンクをクリックしてデータベースのダウンロードとインストールを開始しますデータベースのアップグレードがバックグラウンドで開始され完了すると [ 現在インストール済

19 管理ネットワークへのファイアウォールの統合ファイアウォールサービスのアクティベーション最新データベースのダウンロード( 続き) ステップ 4 注意各更新をスケジュールしますスケジュールする更新ごとにこの手順を繰り返しますベストプラクティスとしてスケジュールする更新を必ず交互に指定してくださいこれはファイアウォールでダウンロードできる更新が一度に 1 つだけだからです複数の更新を同じ期間にダウンロードするようにスケジュールすると最初のダウンロードだけが成功します 1. [None] リンクをクリックすることにより各更新タイプのスケジュールを設定します 2. [ 繰り返し ] ドロップダウンから値を選択することにより更新の頻度を指定します指定可能な値はコンテンツタイプによって異なります(WildFire の更新は [15 分ごと ] [30 分ごと ] または [ 毎時間 ] の頻度で実行可能であるのに対し他のすべてのコンテンツタイプの場合には [ 毎日 ] または [ 毎週 ] の頻度で更新をスケジュールできます) 3. [ 日時 ](または WildFire の場合には 00 分からの経過分数 ) および該当する場合は選択した [ 繰り返し ] 値に応じて曜 [ 日 ] を指定します 4. システムで更新を [ ダウンロードおよびインストール ] するか(ベストプラクティス) または [ ダウンロードのみ ] を実行するかを指定します 5. まれにコンテンツ更新の中でエラーが見つかることがありますこのためリリースされてから一定の時間が経過するまで新しい更新のインストールを延期することが可能ですリリースされてからコンテンツ更新を実行するまでの時間は [ しきい値 ( 時間 )] フィールドに待つ時間の長さを入力することによって指定できます 6. [OK] をクリックしてスケジュールの設定を保存します 7. [Commit] をクリックして実行中の設定に対する設定値を保存しますスタートガイド 17

[ 繰り返し ] ドロップダウンから値を選択することにより更新の頻度を指定します指定可能な値はコンテンツタイプによって異なります(WildFire の更新は [15 分ごと ] [30 分ごと ] または [ 毎時間 ] の頻度で実行可能であるのに対し他のすべてのコンテンツタイプの場合には

ファイアウォールサービスのアクティベーション管理ネットワークへのファイアウォールの統合ソフトウェア更新のインストール新しいファイアウォールをインストールするときには最新のソフトウェア更新 (またはリセラーや Palo Alto Networks システムエンジニアが推奨する更新バージョン)にアップグレードして最新

20 ファイアウォールサービスのアクティベーション管理ネットワークへのファイアウォールの統合ソフトウェア更新のインストール新しいファイアウォールをインストールするときには最新のソフトウェア更新 (またはリセラーや Palo Alto Networks システムエンジニアが推奨する更新バージョン)にアップグレードして最新のフィックスとセキュリティの強化機能を活用するようお勧めしますソフトウェアを更新する前にまず前のセクションで説明されている最新のコンテンツ更新があることを確認してください(ソフトウェア更新のリリースノートではそのリリースでサポートされている最小バージョンのコンテンツ更新が指定されています) PAN-OS の更新ステップ 1 Web インターフェイスを起動し [Device] > [ ソフトウェア ] の順に選択しますソフトウェアページに移動しますステップ 2 ソフトウェア更新があるかどうか確認します [ 今すぐチェック ] をクリックして最新の更新があるかどうか確認します [ アクション ] 列の値が [ ダウンロード ] の場合は入手可能な更新があることを示しますステップ 3 更新をダウンロードします注意ファイアウォールで管理ポートからインターネットにアクセスできない場合は Palo Alto Networks サポートサイト( support.paloaltonetworks.com)からソフトウェア更新をダウンロードできますその後ファイアウォールに手動で [アップロード ] することができます必要なバージョンを見つけて [ ダウンロード ] をクリックしますダウンロードが完了すると [ アクション ] 列の値が [ インストール ] になりますステップ 4 更新をインストールします 1. [ インストール ] をクリックします 2. ファイアウォールを再起動します再起動のプロンプトが表示されたら [ はい ] をクリックします再起動のプロンプトが表示されない場合は [Device] > [ セットアップ ] > [ 操作 ] の順に選択し画面の [ デバイスの操作 ] セクションの [ デバイスの再起動 ] をクリックします 18 スタートガイド

更新ステップ 1 Web インターフェイスを起動し [Device] > [ ソフトウェア ] の順に選択しますソフトウェアページに移動しますステップ 2 ソフトウェア更新があるかどうか確認します [ 今すぐチェック ] をクリックして最新の更新があるかどうか確認します [ アクション ] 列の値が [ ダウンロード ]

21 管理ネットワークへのファイアウォールの統合ファイアウォール管理者の追加ファイアウォール管理者の追加デフォルトではすべての Palo Alto Networks ファイアウォールにデフォルトの管理アカウント (admin)が事前設定されていますこのアカウントにはファイアウォールに対する読み取りと書き込みのフルアクセス権 (スーパーユーザーアクセス権としても知られる)が付与されていますベストプラクティスとしてファイアウォールの管理機能またはレポート機能に対するアクセス権を必要とするユーザーごとに別個の管理アカウントを作成するようお勧めしますこれにより無権限での設定 (または変更 )からファイアウォールを保護する能力を高め個々のファイアウォール管理者のアクションをログに記録することができます以下のセクションでは管理アカウントをセットアップするためのさまざまな方法について説明し基本的な管理アクセス権のセットアップ手順を示します管理ロール管理認証管理アカウントの作成管理ロール管理者アカウントの設定方法は組織内でのセキュリティ要件統合可能な既存の認証サービスがあるかどうかおよび必要な管理ロールの種類に応じて異なりますロールにより関連付けられた管理者のシステムに対するアクセス権のタイプを定義します次の 2 つのタイプのロールを割り当てることができます動的ロールスーパーユーザースーパーユーザー( 読み取り専用 ) デバイスの管理者デバイスの管理者 ( 読み取り専用 ) 仮想システム管理者および仮想システム管理者 ( 読み取り専用 ) にファイアウォールへのアクセスを付与する組み込みロール動的ロールの場合は自動的に更新されるため新機能が追加されたときにロールの定義を更新することについて心配する必要がありません管理ロールプロファイル Web インターフェイス CLI または XML API のさまざまな機能領域へのアクセスをよりきめ細かく制御するため独自のロール定義を作成できますたとえば Web インターフェイスのデバイスとネットワークの設定領域へのアクセスを許可する管理ロールプロファイルを操作スタッフ用にまたセキュリティポリシー定義ログおよびレポートへのアクセスを許可する別個のプロファイルをセキュリティ管理者用に作成できます管理ロールプロファイルを使用する場合は製品に追加される新しい機能 / コンポーネントの特権を明示的に割り当てるためプロファイルを更新する必要があることに注意してくださいスタートガイド 19

22 ファイアウォール管理者の追加管理ネットワークへのファイアウォールの統合管理認証管理ユーザーは次の 4 つの方法で認証できますローカル認証によるローカル管理者アカウント管理者アカウント認証情報と認証方式の両方がファイアウォールに対してローカルですローカル管理者アカウントはパスワードの有効期間を定義するパスワードプロファイルを作成しデバイス全体でのパスワード複雑性設定を行うことにより安全性を高めることができます SSL ベース認証によるローカル管理者アカウントこのオプションではファイアウォールで管理者アカウントを作成しますが認証は SSH 証明書 (CLI アクセスの場合 )またはクライアント証明書 / 共通アクセスカード(Web インターフェイスの場合 )に基づいて処理されますこのタイプの管理アクセス権の設定方法については How to Configure Certificate-based Authentication for the WebUI の記事を参照してください外部認証によるローカル管理者アカウントこの管理者アカウントはローカルファイアウォールで管理されますが認証機能の負荷は既存の LDAP Kerberos または RADIUS サービスに割り振られますこのタイプのアカウントを設定するにはまず外部認証サービスへのアクセス方法を定義する認証プロファイルを作成し次にそのプロファイルを参照する管理者ごとにアカウントを作成する必要があります詳細については Palo Alto Networks 管理者ガイドの第 3 章にある認証プロファイルのセットアップを参照してください外部管理者アカウントと認証アカウント管理者と認証は外部 RADIUS サーバーによって処理されますこのオプションを使用するには RADIUS サーバーで管理ロールにマップされるベンダー固有属性 (VSA) および任意で Palo Alto Networks デバイスで定義した仮想システムオブジェクトを定義する必要がありますこのタイプの管理アクセス権の設定方法については Radius Vendor Specific Attributes (VSA) の記事を参照してください 20 スタートガイド

23 管理ネットワークへのファイアウォールの統合ファイアウォール管理者の追加管理アカウントの作成以下にローカル認証でのローカル管理者アカウントの作成方法を示しますローカル管理者の作成ステップ 1 動的ロールではなく管理者ロールプロファイルを使用する場合は Web インターフェイス CLI および XML API の異なるセクションに対して付与するアクセス権があるのであればそのロールに割り当てる管理者ごとにアクセス権のタイプを定義するプロファイルを作成します作成するロールごとに以下の手順を実行します 1. [Device] > [ 管理者ロール ] の順に選択して [ 追加 ] をクリックします 2. [Web UI] または [XML API] タブでアイコンをクリックして必要な設定に切り替えることによりインターフェイスの機能領域ごとにアクセスレベル([ 有効化 ] [ 読み取り専用 ] [ 無効化 ] )を設定します 3. [ コマンド行 ] タブで CLI に許可するアクセスのタイプ (superreader deviceadmin または devicereader(デバイスのロールの場合 ) vsysadmin または vsysreader ( 仮想システムのロールの場合 ) または [None](CLI アクセスをすべて無効化 )を指定します 4. プロファイルの [ 名前 ] を入力し [OK] をクリックして保存しますステップ 2 ( 任意 )ローカルのユーザー定義パスワードプロファイルの作成管理者がパスワーパスワードの要件を設定しますドを変更しなければならない頻度を定義します複数のパスワードプロファイルを作成し必要に応じて管理者アカウントに適用して必要なセキュリティを確保できますパスワードプロファイルを作成するには [Device] > [ パスワードプロファイル ] の順に選択して [ 追加 ] をクリックしますパスワード複雑性の設定パスワードの複雑性を制御するルールを定義し推測や解読が困難で破られにくいパスワードを管理者が作成するよう強制できます個々のアカウントに適用可能なパスワードプロファイルとは異なりこれらのルールはデバイス全体に影響しすべてのパスワードに適用されます設定を行うには [Device] > [ セットアップ ] の順に選択し [ パスワード複雑性設定 ] セクションの編集アイコンをクリックしますステップ 3 管理者ごとにアカウントを作成します 1. [Device] > [ 管理者 ] の順に選択して [ 追加 ] をクリックします 2. 管理者の [ 名前 ] と [ パスワード ] を入力します 3. この管理者に割り当てる [ ロール ] を選択します事前定義の動的ロールのいずれかを選択するかステップ 1 で作成した場合にはカスタムのロールベースのプロファイルを選択できます 4. ( 任意 )[ パスワードプロファイル ] を選択します 5. [OK] をクリックしてアカウントを保存しますステップ 4 変更をコミットします 1. [Commit] をクリックしますスタートガイド 21

24 ファイアウォールのモニター管理ネットワークへのファイアウォールの統合ファイアウォールのモニター初期導入時に考慮すべき別の要素はファイアウォールの正しい動作および管理制御するトラフィックと脅威のモニタリングのために行うファイアウォールのモニターの計画です Syslog や SNMP など利用したい中央管理サービスがあるでしょうかまたログファイルアーカイブ監査またはバックアップに関して特定の要件があるでしょうか以下のセクションではファイアウォールをモニタリングするときに使用可能な手法と基本的なセットアップ手順について説明しますアプリケーションと脅威のモニターアプリケーションと脅威のモニター外部サービスへのログの転送 SNMP を使用したファイアウォールのモニターファイアウォール(PA-4000 シリーズのファイアウォールを除く)は分析とレポート用にフローデータを NetFlow コレクタにエクスポートするように設定することもできます Palo Alto Networks 管理者ガイドの第 3 章デバイス管理にある NetFlow 設定の設定を参照してください 22 スタートガイド

25 管理ネットワークへのファイアウォールの統合ファイアウォールのモニターアプリケーションと脅威のモニター Palo Alto Networks のすべての次世代ファイアウォールにはプロトコル暗号化または秘匿技術に関係なくネットワークを通過するアプリケーションを識別する App-ID テクノロジーが組み込まれています識別したアプリケーションはアプリケーションコマンドセンター([ACC]) からモニタリングすることができます ACC はログデータベースをグラフィカルに要約しネットワークを通過するアプリケーションアプリケーションの使用者および潜在的なセキュリティへの影響を強調表示しますまた ACC は App-ID が実行する連続的なトラフィック分類機能を使用して動的に更新されます App-ID はアプリケーションがポートまたは動作を変更した場合でもそのトラフィックを識別し続け ACC に結果を表示します ACC に表示される新しいリスクの高いまたは見慣れないアプリケーションについてはアプリケーションの説明その主な特徴動作特性および使用者を 1 回のクリックで表示して素早く調べることができますさらに URL カテゴリ脅威およびデータも視覚的に表示されるためネットワークアクティビティの全体像を把握できます ACC によりネットワークを通過するトラフィックについての詳細な情報をごく短時間で収集しその情報が反映されたより情報に則したセキュリティポリシーを作成することができますスタートガイド 23

26 ファイアウォールのモニター管理ネットワークへのファイアウォールの統合ローカルログデータの表示 Palo Alto Networks のすべての次世代ファイアウォールではファイアウォールでのアクティビティとイベントの監査証跡を示すログファイルを生成できますアクティビティおよびイベントのタイプ別に別々のログが記録されますたとえば脅威ログにはファイアウォールでセキュリティアラームが生成される原因となったすべてのトラフィックが記録されるのに対し URL フィルタリングログにはセキュリティポリシーに添付された URL フィルタリングプロファイルと一致するすべてのトラフィックが記録され設定ログにはファイアウォール設定に対する変更すべてが記録されます各タイプのログファイルについての詳細は Palo Alto Networks 管理者ガイドの第 3 章にあるファイアウォールログを参照してくださいローカルファイアウォールのログデータはいくつかの方法で表示することができますログファイルの表示ダッシュボードでのログデータの表示レポートの表示ログファイルの表示デフォルトではすべてのログファイルがファイアウォールで生成されてローカルに保存されますそれらのログファイルは直接表示することができます([Monitor] > [ ログ ]) 24 スタートガイド

モニタリングすることもできますレポートの表示ファイアウォールではログデータも使用してログデータを表

27 管理ネットワークへのファイアウォールの統合ファイアウォールのモニターダッシュボードでのログデータの表示ローカルのログデータは関連付けられたウィジェットを追加することにより [Dashboard] から直接モニタリングすることもできますレポートの表示ファイアウォールではログデータも使用してログデータを表または図の形式で表示したレポートも生成します([Monitor] > [ レポート ]) スタートガイド 25

28 ファイアウォールのモニター管理ネットワークへのファイアウォールの統合外部サービスへのログの転送ログファイルのタイプおよび重大度に応じて注意を必要とする重大イベントについてアラートが送信されるようにしたりファイアウォールに保存可能な期間より長くデータをアーカイブするよう求めるポリシーが存在したりするかも知れませんそのような場合はログデータを外部サービスに転送してアーカイブ通知または分析することができますログデータを外部サービスに転送するには次のタスクを実行する必要がありますログを受信するリモートサービスにアクセスするようにファイアウォールを設定します 26 ページのリモートログの宛先の定義を参照してください転送されるように各ログタイプを設定します 32 ページのログ転送の有効化を参照してくださいリモートログの宛先の定義 Syslog サーバーや SNMP トラップマネージャなどの外部サービスに到達するためファイアウォールではアクセス方法の詳細を認識し必要であればそのサービスに対して認証されるようにする必要がありますこの情報はファイアウォールの [ サーバープロファイル ] で定義しますファイアウォールが通信する外部サービスごとにサーバープロファイルを作成する必要がありますセットアップする必要があるログの宛先タイプおよび転送するログのタイプは必要に応じて異なりますいくつかの一般的なログ転送シナリオには次の操作が含まれます注意を必要とする重大なシステムイベントまたは脅威に関する即時通知の場合は SNMP トラップを生成するか電子メールアラートを送信することができます 27 ページの電子メールアラートのセットアップまたは 28 ページの SNMP トラップの宛先のセットアップを参照してくださいデータの長期保管とアーカイブの場合および中央管理のデバイスモニタリングの場合にはログデータを Syslog サーバーに送信することができます 30 ページの Syslog サーバーの定義を参照してくださいこれにより Splunk! や ArcSight などのサードパーティのセキュリティモニタリングツールとの統合が可能になります Syslog コレクタを使用していない場合またはリアルタイム更新が不要な場合には代わりにログのエクスポートをスケジューリングして FTP(File Transfer Protocol) サーバーに CSV 形式で保存するか Secure Copy(SCP)を使用してファイアウォールとリモートホスト間でデータを安全に転送することができます詳細については Palo Alto Networks 管理者ガイドの第 3 章デバイス管理にあるログのエクスポートのスケジューリングを参照してください複数の Palo Alto Networks ファイアウォールからログデータを集約してレポートを作成する場合は Panorama マネージャまたは Panorama ログコレクタにログを転送できます 32 ページの Panorama へのログの転送を参照してください 26 スタートガイド

29 管理ネットワークへのファイアウォールの統合ファイアウォールのモニターサーバープロファイルは必要なだけ定義できますたとえば別々のサーバープロファイルを使用してトラフィックログを Syslog サーバーにシステムログを別のサーバーに送信することができますあるいは複数のサーバーエントリを単一のサーバープロファイルに含め複数の Syslog サーバーにログを記録して冗長性を高めることもできますデフォルトではすべてのログデータが MGT インターフェイスを介して転送されます MGT 以外のインターフェイスを使用する予定の場合は外部サービスへのアクセス用データポートのセットアップの説明にある手順のステップ 5 に従ってログの転送先となるサービスごとにサービスルートを設定する必要があります詳細については Palo Alto Networks 管理者ガイドの第 3 章デバイス管理にあるサービス設定の定義を参照してください電子メールアラートのセットアップ電子メールアラートのセットアップステップ 1 使用している電子メールサーバーのサーバープロファイルを作成します 1. [Device] > [ サーバープロファイル ] > [ 電子メール ] の順に選択します 2. [ 追加 ] をクリックしプロファイルの [ 名前 ] を入力します 3. ( 任意 )[ 場所 ] ドロップダウンからこのプロファイルの適用先となる仮想システムを選択します 4. [ 追加 ] をクリックして新しい電子メールサーバーエントリを追加し SMTP(Simple Mail Transport Protocol)サーバーに接続して電子メールを送信するために必要な情報を入力します(プロファイルには電子メールサーバーを 4 つまで追加できます) サーバー電子メールサーバーを識別する名前 (1 ~ 31 文字 ) このフィールドは単なるラベルであり既存の SMTP サーバーのホスト名である必要はありません表示名電子メールの [ 差出人 ] フィールドに表示される名前送信者電子メール通知の送信元の電子メールアドレス宛先電子メール通知の送信先の電子メールアドレスその他の受信者通知が 2 番目のアカウントに送信されるようにする場合はここに追加のアドレスを入力しますゲートウェイ電子メールの送信に使用する SMTP ゲートウェイの IP アドレスまたはホスト名 5. [OK] をクリックしてサーバープロファイルを保存しますスタートガイド 27

30 ファイアウォールのモニター管理ネットワークへのファイアウォールの統合電子メールアラートのセットアップ( 続き) ステップ 2 ( 任意 )ファイアウォールが送信する電子メールメッセージのフォーマットをカスタマイズします [ カスタムログフォーマット ] タブを選択しますさまざまなログタイプでのカスタムフォーマットの作成方法については Common Event Format Configuration Guide を参照してくださいステップ 3 サーバープロファイルを保存し変更をコミットします 1. [OK] をクリックしてプロファイルを保存します 2. [Commit] をクリックして実行中の設定に対する変更を保存します SNMP トラップの宛先のセットアップ Simple Network Management Protocol(SNMP)はネットワーク上のデバイスをモニタリングするための標準ファシリティです SNMP 管理ソフトウェアに SNMP トラップを送信するようにファイアウォールを設定し迅速な対応が求められる重大なシステムイベントや脅威に対して注意が喚起されるようにすることができますまた SNMP を使用してファイアウォールをモニタリングすることもできますこの場合はファイアウォールでトラップをマネージャに送信するのではなく(またはそうすることに加えて) ファイアウォールから統計データを取得するように SNMP マネージャを設定する必要があります詳細については 34 ページの SNMP を使用したファイアウォールのモニターを参照してください 28 スタートガイド

31 管理ネットワークへのファイアウォールの統合ファイアウォールのモニター SNMP トラップの宛先のセットアップステップ 1 SNMP マネージャに接続して認証されるために必要な情報を含んだサーバープロファイルを作成します 1. [Device] > [ サーバープロファイル ] > [SNMP トラップ ] の順に選択します 2. [ 追加 ] をクリックしプロファイルの [ 名前 ] を入力します 3. ( 任意 )[ 場所 ] ドロップダウンからこのプロファイルの適用先となる仮想システムを選択します 4. 使用中の SNMP のバージョン([V2c] または [V3])を指定します 5. [ 追加 ] をクリックして新しい [SNMP トラップレシーバ ] エントリを追加します(サーバープロファイルあたりトラップレシーバを 4 つまで追加できます) 必須の値は SNMP V2c と V3 のどちらを使用中なのかによって決まります SNMP V2c サーバー SNMP マネージャを識別する名前 (1 ~ 31 文字 ) このフィールドは単なるラベルであり既存の SNMP サーバーのホスト名である必要はありませんマネージャトラップの送信先 SNMP マネージャの IP アドレスコミュニティ SNMP マネージャに対して認証するために必要なコミュニティ名 SNMP V3 サーバー SNMP マネージャを識別する名前 (1 ~ 31 文字 ) このフィールドは単なるラベルであり既存の SNMP サーバーのホスト名である必要はありませんマネージャトラップの送信先 SNMP マネージャの IP アドレスユーザー SNMP マネージャに対して認証するために必要なユーザー名エンジン ID ファイアウォールのエンジン ID これは 0x プレフィックスが付いた 5 ~ 64 バイトの 16 進数値です各ファイアウォールには一意のエンジン ID がありこれは MIB ブラウザを使用し OID に対して GET コマンドを実行して取得できます認証パスワード SNMP マネージャに対する authnopriv レベルのメッセージで使用されるパスワードこのパスワードは Secure Hash Algorithm(SHA-1)を使用してハッシュされますが暗号化はされません専用パスワード SNMP マネージャに対する authpriv レベルのメッセージで使用されるパスワードこのパスワードは SHA を使用してハッシュされ Advanced Encryption Standard(AES 128)を使用して暗号化されます 6. [OK] をクリックしてサーバープロファイルを保存しますスタートガイド 29

32 ファイアウォールのモニター管理ネットワークへのファイアウォールの統合 SNMP トラップの宛先のセットアップ( 続き) ステップ 2 SNMP を有効にします MGT インターフェイスから SNMP トラップを送信する場合は [Device] > [ セットアップ ] > [ 管理 ] の順に選択し画面の [ 管理インターフェイス設定 ] セクションで編集アイコンをクリックします [ サービス ] セクションで [SNMP] チェックボックスをオンにして [OK] をクリックします別のインターフェイスから SNMP トラップを送信する場合は管理プロファイルとそのインターフェイスを関連付け SNMP 管理を有効にする必要がありますまたサービスルートをセットアップしてファイアウォールが SNMP マネージャに到達できるようにする必要もあります方法については 8 ページの外部サービスへのネットワークアクセスのセットアップを参照してくださいステップ 3 変更をコミットします [Commit] をクリックしますデバイスでの変更の保存には最長で 90 秒かかりますステップ 4 ファイアウォールから受信するトラップを SNMP マネージャが解釈できるようにします PAN-OS MIB ファイルを SNMP 管理ソフトウェアにロードしてコンパイルしますこの処理の具体的な方法についてはご使用の SNMP マネージャのドキュメントを参照してください Syslog サーバーの定義 Syslog は標準のログ転送メカニズムでルーターファイアウォールプリンターなどのさまざまなベンダーのさまざまなネットワークデバイスからアーカイブと分析そしてレポート作成のためにログデータを集約できるようにします PAN-OS が Syslog サーバーにエクスポート可能なログタイプはトラフィック脅威 HIP マッチ設定およびシステムの 5 つです各ログタイプのフィールドについての詳細は PAN-OS Syslog Integration Tech Note を参照してくださいログメッセージとその重大度レベルの部分的なリストについては System Log Reference を参照してください Syslog メッセージは平文で送信され直接に暗号化することはできませんただし暗号化が必要な場合はトンネルインターフェイスを介して Syslog メッセージを送信して Syslog パケットを強制的に暗号化することができますまた Syslog への新しいサービスルートを作成することも必要です詳細については Palo Alto Networks 管理者ガイドを参照してください 30 スタートガイド

33 管理ネットワークへのファイアウォールの統合ファイアウォールのモニター SYSLOG 転送のセットアップステップ 1 Syslog サーバーに接続するために必要な情報を含んだサーバープロファイルを作成します 1. [Device] > [ サーバープロファイル ] > [Syslog] の順に選択します 2. [ 追加 ] をクリックしプロファイルの [ 名前 ] を入力します 3. ( 任意 )[ 場所 ] ドロップダウンからこのプロファイルの適用先となる仮想システムを選択します 4. [ 追加 ] をクリックして新しい Syslog サーバーエントリを追加し Syslog サーバーに接続するために必要な情報を入力します( 同じプロファイルに Syslog サーバーを 4 つまで追加できます) 名前サーバープロファイルの一意の名前サーバー Syslog サーバーの IP アドレスまたは完全修飾ドメイン名 (FQDN) ポート Syslog メッセージを送信するときに経由するポート番号 (デフォルトは 514) ファイアウォールと Syslog サーバーで同じポート番号を使用する必要がありますファシリティ Syslog の標準値のいずれかを選択します実装されている Syslog サーバーの優先度 (PRI) フィールドの計算で使用されます PRI フィールドを使用して Syslog メッセージを管理する方法に対応する値を選択してください 5. ( 任意 )ファイアウォールが送信する Syslog メッセージのフォーマットをカスタマイズするには [ カスタムログフォーマット ] タブを選択しますさまざまなログタイプでのカスタムフォーマットの作成方法については Common Event Format Configuration Guide を参照してください 6. [OK] をクリックしてサーバープロファイルを保存しますステップ 2 ( 任意 ) 送信する Syslog メッセージのヘッダーにファイアウォールの IP アドレスが組み込まれるようにファイアウォールを設定します [Device] > [ セットアップ ] の順に選択し [ ロギングおよびレポート設定 ] セクションの編集アイコンをクリックします [Syslog メッセージ内にホスト名を含める ] チェックボックスをオンにして [OK] をクリックしますステップ 3 変更をコミットします [Commit] をクリックしますデバイスでの変更の保存には最長で 90 秒かかりますスタートガイド 31

34 ファイアウォールのモニター管理ネットワークへのファイアウォールの統合 Panorama へのログの転送 Panorama マネージャまたは Panorama ログコレクタにログファイルを転送できるようにするにはまずファイアウォールを管理対象デバイスとして設定する必要があります Panorama のセットアップとデバイスの追加についての詳細は Palo Alto Networks 管理者ガイドの第 13 章 Panorama を使用したデバイス中央管理を参照してくださいその後 32 ページのログ転送の有効化の説明に従ってログのタイプごとに Panorama へのログ転送を有効にすることができますログ転送の有効化ログの送信先を定義したサーバープロファイルを作成したらログ転送を有効にする必要がありますログタイプごとに Syslog 電子メール SNMP トラップレシーバまたは Panorama のどれに転送するかを指定できます転送を有効にする方法はログタイプによって異なりますトラフィックログトラフィックログの転送を有効にするにはログ転送プロファイルを作成し([Objects] > [ ログ転送 ]) ログ転送をトリガーするセキュリティポリシーにそのプロファイルを追加しますセキュリティポリシー内の特定のルールに一致するトラフィックのみがログに記録され転送されます脅威ログ脅威ログの転送を有効にするには転送する重大度レベルを指定したログ転送プロファイルを作成し([Objects] > [ ログ転送 ]) ログ転送をトリガーするセキュリティポリシーにそのプロファイルを追加します脅威ログのエントリは関連付けられたトラフィックがセキュリティプロファイル(アンチウィルスアンチスパイウェア脆弱性防御 URL フィルタリングファイルブロッキングデータフィルタリングまたは DoS プロテクション) と一致する場合にのみ作成 (したがって転送 )されます次の表に脅威の重大度レベルを要約して示します重大度説明 Critical High Medium 広範囲に導入されたソフトウェアのデフォルトインストールに影響するような深刻な脅威サーバーの root が悪用され弱点のあるコードが広範囲の攻撃者の手に渡ることになります攻撃者は通常個々の被害サーバーに関する特別な認証情報や知識を必要とせず攻撃対象サーバーを操作して何らかの特別な機能を実行する必要がありません重大度が Critical に変わる可能性があるものの軽減要因が存在する脅威たとえば悪用するのが困難であったり上位の特権が与えられることがなかったり被害サーバー数が多くなかったりする場合です影響が最小限に抑えられる小さな脅威たとえば標的に侵入することのない DoS 攻撃や攻撃者が被害サーバーと同じ LAN 上に存在する必要があり標準以外の設定や隠れたアプリケーションにのみ影響するかアクセスがごく限られている悪用などですまたマルウェア判定の WildFire ログエントリは Medium としてログに記録されます 32 スタートガイド

35 管理ネットワークへのファイアウォールの統合ファイアウォールのモニター重大度 Low Informational 説明組織のインフラストラクチャへの影響がわずかな警告レベルの脅威通常はローカルまたは物理システムにアクセスする必要があり多くの場合被害者のプライバシー問題や DoS 問題が発生し情報が漏洩しますデータフィルタリングプロファイルは Low としてログに記録されます直ちに脅威とはならなくても存在する可能性がある深層の問題に注意を引くために報告される疑わしいイベント URL フィルタリングログエントリと安全判定の WildFire ログエントリは Informational としてログに記録されます設定ログ設定ログの転送を有効にするにはログ設定でサーバープロファイルを指定します([Device] > [ ログ設定 ] > [ 設定ログ ]) システムログシステムログの転送を有効にするにはログ設定でサーバープロファイルを指定します([Device] > [ ログ設定 ] > [ システムログ ]) 転送する重大度レベルごとにサーバープロファイルを選択する必要がありますシステムログメッセージとそれに対応する重大度レベルの部分的なリストについては System Log Reference を参照してください次の表にシステムログの重大度レベルを要約して示します重大度説明 Critical HA フェイルオーバーやリンク障害などのハードウェア障害 High Medium 外部デバイス(LDAP サーバーや RADIUS サーバーなど)との接続の切断などの深刻な問題アンチウイルスパッケージのアップグレードなどの中レベルの通知 Low ユーザーパスワードの変更などそれほど重要ではない通知 Informational ログイン / ログオフ管理者名やパスワードの変更設定の変更および重大度レベルに含まれない他のすべてのイベントスタートガイド 33

36 ファイアウォールのモニター管理ネットワークへのファイアウォールの統合 SNMP を使用したファイアウォールのモニターすべての Palo Alto Networks ファイアウォールは標準の SNMP 管理情報ベース(MIB)モジュールとともに専用のエンタープライズ MIB モジュールをサポートしています SNMP マネージャはファイアウォールから統計情報を取得するように設定できますたとえば使用する SNMP マネージャを設定してファイアウォールのインターフェイスアクティブなセッション同時セッションセッション利用率温度またはシステム稼動時間をモニターできます Palo Alto Networks のファイアウォールは SNMP GET 要求のみをサポートしており SNMP SET 要求はサポートしていません SNMP モニタリングのセットアップステップ 1 ステップ 2 ステップ 3 ステップ 4 SNMP マネージャでファイアウォールの統計情報を解釈できるようにしますモニター対象の統計情報を見つけます関心対象の OID をモニタリングするように SNMP 管理ソフトウェアを設定しますファイアウォールの Web インターフェイスからファイアウォールの SNMP エージェントが SNMP マネージャからの GET 要求に応答することを許可するように設定します PAN-OS MIB ファイルを SNMP 管理ソフトウェアにロードしてコンパイルしますこの処理の具体的な方法についてはご使用の SNMP マネージャのドキュメントを参照してください MIB ブラウザを使用して PAN-OS MIB ファイルを開きモニター対象の統計情報に対応するオブジェクト ID(OID)を確認しますたとえばファイアウォールのセッション利用率をモニタリングするとしますこの場合は MIB ブラウザを使用してこの統計情報が PAN-COMMON-MIB の OID に対応することを確認できますこの処理の具体的な方法についてはご使用の SNMP マネージャのドキュメントを参照してください 1. [Device] > [ セットアップ ] > [ 操作 ] > [SNMP のセットアップ ] の順に選択します 2. ファイアウォールの [ 場所 ] と管理上の [ 連絡先 ] の名前または電子メールアドレスを指定します 3. SNMP マネージャにファイアウォールの SNMP エージェントへのアクセスを許可する [SNMP コミュニティ名 ] を入力しますデフォルト値は public ですがファイアウォールで設定した値が SNMP マネージャで設定した値と一致する必要がありますこれは一般的なコミュニティ名であるためベストプラクティスとして容易に推測できない値を使用するようお勧めします 4. [OK] をクリックして設定を保存します 5. [Commit] をクリックして SNMP 設定を保存します 34 スタートガイド

37 管理ネットワークへのファイアウォールの統合ファイアウォールのモニター SNMP モニタリングのセットアップ( 続き) ステップ 5 ファイアウォールと SNMP マネー以下に SNMP マネージャに表示されるモニター対象のジャ両方の設定が完了したら PA-500 シリーズファイアウォールのリアルタイムセッ SNMP 管理ソフトウェアからファション利用率統計情報の例を示しますイアウォールのモニタリングを開始できますスタートガイド 35

38 ファイアウォールのモニター管理ネットワークへのファイアウォールの統合 36 スタートガイド

39 2 ペリメータセキュリティの確立この章ではファイアウォールインターフェイスの設定ゾーンの定義および基本的なセキュリティポリシーのセットアップ手順について説明しますこの章は以下のセクションで構成されていますペリメータセキュリティの概要インターフェイスおよびゾーンの設定 NAT ポリシーの設定基本的なセキュリティポリシーのセットアップスタートガイド 37

40 ペリメータセキュリティの概要ペリメータセキュリティの確立ペリメータセキュリティの概要ファイアウォールでトラフィックを管理および制御するにはそのファイアウォールをトラフィックが通過する必要があります物理的にはインターフェイスを介してトラフィックがファイアウォールを出入りしますパケットがセキュリティポリシーと一致するかどうかに基づいてファイアウォールでパケットの処理方法を決定します最も基本的なレベルではセキュリティポリシーによりトラフィックの宛先および送信先を識別します Palo Alto Networks の次世代ファイアウォールではセキュリティポリシーがゾーン間で適用されますゾーンは ( 物理または仮想 ) インターフェイスグループの一種で信頼エリアを抽象化することによりポリシーの実施を簡略化しますたとえば次のトポロジ図では Trust Untrust DMZ という 3 つのゾーンがありますゾーン内ではトラフィックが自由に通過しますがゾーン間の場合はセキュリティポリシーでトラフィックの通過が許可されるまでは自由に通過できません以下のセクションではペリメータセキュリティのコンポーネントについて説明するとともにファイアウォールインターフェイスの設定ゾーンの定義および基本的なセキュリティポリシーのセットアップを行うことにより内部ゾーンからインターネットや DMZ へトラフィックを通過させるための手順について説明します始めにこのような基本ポリシーを作成することによりネットワークを通過するトラフィックを分析してその情報を利用してより詳細なポリシーを定義しあらゆる脅威を回避しながらアプリケーションを安全に有効にすることができますファイアウォールの導入ネットワークアドレス変換 (NAT) についてセキュリティポリシーについて 38 スタートガイド

41 ペリメータセキュリティの確立ペリメータセキュリティの概要ファイアウォールの導入 Palo Alto Networks の次世代ファイアウォールでは動的ルーティングスイッチングおよび VPN 接続のサポートなど柔軟なネットワークアーキテクチャを提供しさまざまなネットワーク環境でファイアウォールの導入を可能にしますファイアウォールで Ethernet ポートを設定する場合バーチャルワイヤーレイヤー 2 レイヤー 3 の中からインターフェイスの導入方法を選択できますさらにさまざまなネットワークセグメントに統合できるように異なるポートでさまざまなインターフェイスタイプを設定できます以下のセクションでは導入タイプ別の基本情報について説明します導入情報の詳細は Designing Networks with Palo Alto Networks Firewalls を参照してくださいバーチャルワイヤー導入バーチャルワイヤー導入の場合ファイアウォールは 2 つのポートを結合することによってネットワークセグメント上に透過的にインストールされますバーチャルワイヤーを使用することにより隣接するデバイスを再設定しなくてもあらゆるネットワーク環境でファイアウォールをインストールできますバーチャルワイヤーでは必要に応じて仮想 LAN (VLAN) タグ値に基づいてトラフィックをブロックまたは許可することができますまた複数のサブインターフェイスを作成し IP アドレス ( アドレス単体範囲またはサブネット ) VLAN またはその両方の組み合わせに基づいてトラフィックを分類することもできますデフォルトでは default-vwire というバーチャルワイヤーが Ethernet ポート 1 と 2 にバインドされタグのないトラフィックをすべて許可しますシンプルな導入や設定周辺ネットワークデバイスの設定変更を避けたい場合はこの導入方法を選択してくださいバーチャルワイヤーはデフォルトの設定でありスイッチングまたはルーティングのいずれも不要な場合にのみ使用する必要がありますデフォルトのバーチャルワイヤーを使用する予定がない場合は定義する他のインターフェイス設定と干渉しないようにするためその設定を手動で削除してからインターフェイスの設定を続行する必要がありますデフォルトのバーチャルワイヤーとその関連セキュリティポリシーおよびゾーンを削除する方法の詳細は外部サービスへのアクセス用データポートのセットアップのステップ 3 を参照してくださいレイヤー 2 導入レイヤー 2 導入の場合ファイアウォールは複数インターフェイス間のスイッチングを行いますファイアウォールでこのスイッチングを行うにはインターフェイスの各グループが 1 つの VLAN オブジェクトに割り当てられている必要がありますレイヤー 2 サブインターフェイスが共通の VLAN オブジェクトに接続されているとファイアウォールで VLAN タグのスイッチングが行われますこのオプションはスイッチングが必要な場合に選択しますレイヤー 2 導入の詳細は Layer 2 Networking Tech Note または Securing Inter VLAN Traffic Tech Note を参照してくださいスタートガイド 39

42 ペリメータセキュリティの概要ペリメータセキュリティの確立レイヤー 3 導入レイヤー 3 導入の場合ファイアウォールはポート間でトラフィックをルーティングしますトラフィックをルーティングするには各インターフェイスに IP アドレスを割り当て仮想ルーターを定義する必要がありますこのオプションはルーティングが必要な場合に選択します設定するレイヤー 3 の物理インターフェイスごとに IP アドレスを割り当てる必要がありますまたレイヤー 3 の物理インターフェイスごとに論理サブインターフェイスを作成することによりたとえばマルチテナンシーなどの場合は VLAN タグ (VLAN トランクを使用している場合 ) に基づいてまたは IP アドレス単位でインターフェイス上のトラフィックを分離することも可能ですさらにレイヤー 3 導入ではファイアウォールでのトラフィックをルーティングする必要があるため仮想ルーターを設定する必要がありますスタティックルートを追加するのと同じように動的ルーティングプロトコル (BGP OSPF RIP など ) に参加するように仮想ルーターを設定できますまた複数の仮想ルーターを作成し各ルーターが他のルーターと共有しない独立したルートを保持することによりインターフェイス間で異なるルーティングの動作を設定できますこの章の設定例はスタティックルートを使用してファイアウォールをレイヤー 3 ネットワークに組み込む方法を表していますその他のタイプのルーティングによる統合の詳細は以下のドキュメントを参照してください How to Configure OSPF Tech Note How to Configure BGP Tech Note ネットワークアドレス変換 (NAT) について内部ネットワークでプライベート IP アドレスを使用する場合プライベートアドレスを外部ネットワークにルーティングできるパブリックアドレスに変換するためにネットワークアドレス変換 (NAT) を使用する必要があります PAN-OS では変換が必要なパケットおよび変換方法についてファイアウォールに指示する NAT ポリシールールを作成しますファイアウォールでは送信元アドレスとポートの変換宛先アドレスとポートの変換のどちらにも対応しますさまざまなタイプの NAT ルールの詳細は Understanding and Configuring NAT Tech Note を参照してください定義したゾーンに応じて必要なポリシーを決定するためにファイアウォールで NAT ポリシーおよびセキュリティポリシーを適用する方法について理解することが重要ですパケットの着信時に送信元ゾーンと宛先ゾーンに基づいてそのパケットが定義済みの NAT ルールと一致するかどうかをファイアウォールが検査します次に元の (NAT 前の ) 送信元アドレスと宛先アドレスに基づいてパケットと一致するセキュリティルールを評価および適用します最後に出力時に送信元ポートまたは宛先ポートの番号に一致する NAT ルールに変換しますこれはファイアウォールでパケットの宛先ゾーンを決定する基準がパケットのアドレスであり内部的に割り当てられたアドレスに基づくデバイスの配置ではないことを意味するため前述のような区別が重要となります 40 スタートガイド

43 ペリメータセキュリティの確立ペリメータセキュリティの概要セキュリティポリシーについてセキュリティポリシーによりネットワーク資産を脅威や障害から保護しネットワークリソースの最適な割り当てを補助することでビジネスプロセスでの生産性や効率性を強化します Palo Alto Networks のファイアウォールではセキュリティポリシーにより送信元および宛先のセキュリティゾーン送信元および宛先の IP アドレスアプリケーションユーザーサービスなどのトラフィック属性に基づいてセッションをブロックするか許可するかを決定しますデフォルトではゾーン内トラフィック (trust ゾーンから trust ゾーンなど同じゾーン内のトラフィック ) が許可されています異なるゾーン間のトラフィック ( ゾーン間トラフィック ) はセキュリティポリシーによりそのトラフィックが許可されない限りブロックされますセキュリティポリシーの評価は左から右上から下で行われます定義済みの基準を満たす最初のルールとパケットが一致するとそれが引き金となりそれ以降のルールは評価されませんそのためベストマッチする基準を適用するには個別のルールを一般的なルールよりも優先的に評価する必要がありますトラフィックがルールと一致するとそのルールでログが有効になっていればセッションの最後にログのエントリがトラフィックログに記録されますログのオプションはルールごとに設定可能でセッションの最後ではなく最初にログを記録するように設定したりセッションの最初と最後の両方でログを記録するように設定することも可能ですセキュリティポリシーのコンポーネントセキュリティポリシーを作成することにより以下に挙げるような必須コンポーネントとオプションコンポーネントの組み合わせが可能になります必須フィールドフィールド名前送信元ゾーン説明 31 文字まで対応可能なラベルでルールの識別に使用しますトラフィックの送信元となるゾーン宛先ゾーントラフィックの宛先となるゾーン NAT を使用している場合常に NAT 後のゾーンを参照するようにしてくださいアプリケーションアクション制御するアプリケーションファイアウォールではトラフィックの分類テクノロジーである App-ID を使用してネットワーク上のトラフィックを識別します App-ID により作成されたセキュリティポリシーの中でアプリケーションを制御および可視化し不明なアプリケーションをブロックすると同時に許可されるアプリケーションを有効化検査および形成できますルールで定義する基準に基づいてトラフィックのアクションを [ 許可 ] または [ 拒否 ] に指定しますスタートガイド 41

44 ペリメータセキュリティの概要ペリメータセキュリティの確立フィールド説明 ( 続き) オプションフィールドタグ説明送信元 IP アドレス宛先 IP アドレスユーザー URL カテゴリセキュリティルールをフィルタリングできるようにするためのキーワードまたはフレーズ多数のルールを定義していて Inbound to DMZ など特定のキーワードによりタグ付けされているルールをレビューする場合にはこれらのタグが便利です 255 文字まで対応可能なテキストフィールドでルールの説明に使用しますホスト IP または FQDN サブネット名前付きグループまたは国ベースの適用を定義します NAT を使用している場合常にパケットの元の IP アドレス (NAT 前の IP アドレスなど ) を参照するようにしてくださいトラフィックの場所または宛先 NAT を使用している場合常にパケットの元の IP アドレス (NAT 前の IP アドレスなど ) を参照するようにしてくださいポリシーの適用対象となるユーザーまたはユーザーグループゾーンで User-ID を有効にする必要があります User-ID を有効にする方法の詳細は 101 ページのユーザー ID の設定を参照してください URL カテゴリを一致基準として使用すると例外ベースのルールによる詳細なポリシーを適用できますコンテンツへのアクセスを大まかに許可または拒否するのではなく例外を使用して HTTP や HTTPS トラフィックへのアクセスを制御または制限できますまた URL カテゴリベースでセキュリティプロファイルとログへのアクセスを関連付けることもできますたとえば危険度の高いことを示す URL カテゴリの.exe ファイルをダウンロード / アップロードできないようにしそれ以外のカテゴリのファイルを許可することが可能ですあるいは SSL の復号化ポリシーを適用することにより金融やショッピングなどのカテゴリについては暗号化アクセスを許可しそれ以外のカテゴリについてはトラフィックを復号化して検査することも可能です注意 URL カテゴリはデバイスで手動設定できますが PAN-DB または BrightCloud で提供されるカテゴリの動的更新を利用するには URL フィルタリングライセンスを購入する必要があります 42 スタートガイド

45 ペリメータセキュリティの確立ペリメータセキュリティの概要フィールド説明 ( 続き) サービスセキュリティプロファイル HIP プロファイル (GlobalProtect の場合 ) オプションレイヤー 4 (TCP または UDP) のポートをアプリケーション用に選択することもできます any ポートの指定または application - default を選択してアプリケーションの標準ベースのポートの使用を許可できますたとえば DNS など既知のポート番号を持つアプリケーションの場合 application - default オプションを選択すると TCP ポート 53 でのみ DNS トラフィックと一致しますカスタムアプリケーションを追加してそのアプリケーションで使用可能なポートを定義することもできます注意インバウンドルール (Untrust ゾーンから Trust ゾーンなど ) の場合サービスは常に application default ポートを使用するように定義するかポートを手動で指定しますサービスで any のポートの使用を許可しないようにします脅威脆弱性データの漏洩などからさらにシステムを保護しますセキュリティプロファイルは許可のアクションを含むルールに対してのみ評価されます詳細については 69 ページのセキュリティポリシーについてを参照してくださいホストインフォーメーションプロファイル (HIP) を持つクライアントを識別してからアクセス権を適用できますセッションのログの定義ログの転送設定ルールに一致するパケットの Quality of Service (QoS) マーキングの変更およびセキュリティルールを有効にするタイミング ( 日時 ) のスケジュールなどの設定が可能ですスタートガイド 43

46 ペリメータセキュリティの概要ペリメータセキュリティの確立ポリシーのベストプラクティス安全なインターネットアクセスを可能にし Web アクセス権の誤使用脆弱性や攻撃への曝露を回避するタスクは継続的なプロセスです Palo Alto Networks のファイアウォールでポリシーを定義する場合の主原則はポジティブエンフォースメントアプローチを用いることですポジティブエンフォースメントとは日常業務に必要なものを選択的に許可することでこれに対してネガティブエンフォースメントアプローチの場合許可されないものをすべて選択的にブロックすることですポリシーを作成する場合以下の事項を考慮しますセキュリティ要件が同じゾーンに複数ある場合それらを 1 つのセキュリティルールにまとめますベストマッチする基準を確保するにはルールの順序が重要ですポリシーはトップダウン方式で評価されるため個別のルールを一般的なルールよりも優先する必要がありますつまり個別のルールをシャドウしないことですシャドウという用語はポリシーリストの下位に配置されているために評価されないまたは省略されるルールのことですルールが下位に配置されていると先行する別のルールが一致基準を満たすことにより下位のルールはポリシーの評価からシャドウされますインバウンドアプリケーションへのアクセスを制御および制限するにはサービス / アプリケーションがリッスンするポートをセキュリティポリシーで明示的に定義します DNS のような既知のサービスへのアクセスなど広範な許可ルールをログに記録するとたくさんのトラフィックが発生しますそのため絶対的に必要な場合を除きこの方法は推奨されませんデフォルトではセッションの最後にファイアウォールでログのエントリが作成されますただしこのデフォルトの動作を変更してセッションの最初にファイアウォールでログを記録するように設定することもできますセッション開始時にログを記録するように設定するとログの量が大幅に増えるため問題のトラブルシューティングを行う場合にのみ推奨されますセッション開始時のログを有効にしなくてもトラブルシューティングを行える別の方法としてセッションブラウザ ([Monitor] > [ セッションブラウザ ]) を使用してリアルタイムでセッションを表示する方法があります 44 スタートガイド

47 ペリメータセキュリティの確立ペリメータセキュリティの概要ポリシーオブジェクトについてポリシーオブジェクトは単一のオブジェクトまたは集合単位で IP アドレス URL アプリケーションユーザーなどの個別の ID をグループ化するものですポリシーオブジェクトが集合単位の場合複数のオブジェクトを手動で 1 つずつ選択しなくてもセキュリティポリシーでそのオブジェクトを参照できます一般的にポリシーオブジェクトを作成する場合ポリシーで同様のアクセス権限を必要とするオブジェクトをグループ化しますたとえば組織が一連のサーバーの IP アドレスを使用してユーザーを認証する場合それらのサーバーの IP アドレスをアドレスグループのポリシーオブジェクトとしてグループ化しそのアドレスグループをセキュリティポリシーで参照しますオブジェクトをグループ化することによりポリシー作成時の管理者の負担が大幅に軽減されます以下のポリシーオブジェクトをファイアウォールで作成できますポリシーオブジェクトアドレス / アドレスグループ地域ユーザー / ユーザーグループアプリケーショングループおよびアプリケーションフィルタ説明同じポリシーを実施する必要のある特定の送信元アドレスまたは宛先アドレスをグループ化できますアドレスオブジェクトには IPv4 または IPv6 のアドレス ( 単一 IP 範囲サブネット ) または FQDN を含めることができますまたは緯度と経度の座標で地域を定義したり国を選択して IP アドレスまたは IP の範囲を定義したりできますこうすることでアドレスオブジェクトのコレクションをグループ化しアドレスグループオブジェクトを作成できますまたダイナミックアドレスオブジェクトの使用も可能ですこのオブジェクトは XML API スクリプトを使用してホスト IP アドレスが頻繁に変わる環境で動的に IP アドレスを更新しますダイナミックアドレスオブジェクトの詳細は Dynamic Address Objects Tech Note を参照してくださいローカルデータベースまたは外部データベースからユーザーのリストを作成しそれらをグループ化できますユーザーグループ作成の詳細は Palo Alto Networks 管理者ガイドの第 3 章を参照してくださいアプリケーションフィルタによりアプリケーションを動的にフィルタリングできファイアウォールのアプリケーションデータベースで定義した属性を使用して一連のアプリケーションをフィルタリングおよび保存できますたとえばカテゴリサブカテゴリテクノロジーリスク特性など 1 つ以上の属性によるフィルタリングが可能で独自のアプリケーションフィルタを保存できますアプリケーションフィルタがあれば PAN-OS コンテンツの更新が発生した場合にフィルタ基準を満たす新規アプリケーションが自動的に保存されているアプリケーションフィルタに追加されますアプリケーショングループによりあるユーザーグループまたは特定のサービスに対してグループ化したい特定のアプリケーションの静的グループを作成できますスタートガイド 45

48 ペリメータセキュリティの概要ペリメータセキュリティの確立ポリシーオブジェクトサービス / サービスグループ説明送信元ポートと宛先ポートおよびサービスで使用できるプロトコルを指定できますファイアウォールには service-http と service-https という 2 つの事前定義サービスが含まれていますこれらのサービスでは TCP ポート 80 および 8080 を HTTP に TCP ポート 443 を HTTPS に使用しますただしカスタムサービスを任意の TCP/UDP ポートで自由に作成してアプリケーションの使用をネットワーク上の特定のポートに制限できます ( つまりアプリケーションのデフォルトポートを定義できます ) 注意アプリケーションで使用する標準ポートを表示するには [Objects] > [ アプリケーション ] の順に選択してアプリケーションを検索しリンクをクリックします簡単な説明が表示されますアドレスおよびアプリケーションポリシーオブジェクトのいくつかの例が 57 ページのセキュリティルールの作成のセキュリティポリシーに示されていますその他のポリシーオブジェクトについては 65 ページの脅威からのネットワークの防御を参照してくださいまた詳細は Palo Alto Networks 管理者ガイドの第 5 章を参照してくださいセキュリティポリシーについてセキュリティポリシーによりネットワーク上のトラフィックを許可または拒否できますが許可するがスキャンを実施するルールを定義する場合はセキュリティプロファイルが役に立ちますこの場合許可されたアプリケーションに対する脅威がスキャンされますトラフィックがセキュリティポリシーで定義した許可ルールと一致する場合そのルールに関連付けられたセキュリティプロファイルがアンチウィルスチェックやデータフィルタリングなどのコンテンツ検査ルールにさらに適用されますセキュリティプロファイルはトラフィックフローの一致基準には使用されませんセキュリティプロファイルはセキュリティポリシーでアプリケーションまたはカテゴリが許可された後に適用されトラフィックをスキャンしますアンチウィルスアンチスパイウェア脆弱性防御 URL フィルタリングファイルブロッキングデータフィルタリングなどさまざまなタイプのセキュリティプロファイルをセキュリティポリシーに関連付けることができますファイアウォールではデフォルトのセキュリティプロファイルをそのまま使用してすぐにネットワークを脅威から保護できますデフォルトのプロファイルをセキュリティポリシーで使用する方法の詳細は 57 ページのセキュリティルールの作成を参照してくださいネットワークに必要なセキュリティについて理解を深めるとカスタムプロファイルを作成できます詳細は 78 ページのセキュリティプロファイルとセキュリティポリシーのセットアップを参照してください 46 スタートガイド

49 ペリメータセキュリティの確立インターフェイスおよびゾーンの設定インターフェイスおよびゾーンの設定以下のセクションではインターフェイスおよびゾーンの設定について説明します導入計画インターフェイスとゾーンの設定導入計画インターフェイスおよびゾーンの設定を開始する前に組織内でのさまざまな使用条件に基づき必要なゾーンについて綿密に計画する必要がありますさらに必要な設定情報をすべて事前に収集する必要があります基本レベルではどのインターフェイスがどのゾーンに属するかについて計画しますレイヤー 3 導入の場合仮想ルーターの設定に必要なルーティングプロトコルまたは静的ルートの設定方法など必要な IP アドレスおよびネットワーク設定情報もネットワーク管理者から入手する必要があります本章の例は以下のトポロジに基づいています以下の表にサンプルトポロジに示すレイヤー 3 インターフェイスとそれに対応するゾーンの設定に使用する情報を示しますゾーン導入タイプインターフェイス設定 Untrust L3 Ethernet1/3 IP アドレス : /24 仮想ルーター : VR1 デフォルトルート : /0 ネクストホップ : /24 Trust L3 Ethernet1/4 IP アドレス : /24 仮想ルーター : VR1 DMZ L3 Ethernet1/13 IP アドレス : /24 仮想ルーター : VR1 スタートガイド 47

50 インターフェイスおよびゾーンの設定ペリメータセキュリティの確立インターフェイスとゾーンの設定ゾーンとそれに対応するインターフェイスを計画後デバイスでそれらを設定できますそれぞれのインターフェイスの設定方法はネットワークトポロジにより異なります以下の手順は前述のサンプルトポロジに示したレイヤー 3 導入の設定方法を示していますレイヤー 2 またはバーチャルワイヤー導入の設定に関する詳細は Palo Alto Networks 管理者ガイドの第 4 章を参照してくださいファイアウォールは Ethernet 1/1 ポートと Ethernet 1/2 (および対応するデフォルトのセキュリティポリシーと仮想ルーター)の間のデフォルトのバーチャルワイヤーインターフェイスが事前設定されて出荷されますこのデフォルトのバーチャルワイヤーを使用する予定がない場合は定義する他の設定と干渉しないようにするため手動でこの設定を削除してから設定を続行する必要がありますデフォルトのバーチャルワイヤーとその関連セキュリティポリシーおよびゾーンを削除する方法の詳細は外部サービスへのアクセス用データポートのセットアップのステップ 3 を参照してください 48 スタートガイド

51 ペリメータセキュリティの確立インターフェイスおよびゾーンの設定インターフェイスおよびゾーンの設定ステップ 1 外部インターフェイス (インターネットに接続するインターフェイス ) を設定します 1. 設定するインターフェイスを選択しますこの例では Ethernet1/3 を外部インターフェイスとして設定します 2. [ インターフェイスタイプ ] を選択しますここで選択するタイプはご使用のネットワークトポロジに応じて異なりますがこの例では [ レイヤー 3] の場合の手順を示します 3. [ 設定 ] タブで [ セキュリティゾーン ] ドロップダウンを展開して [ 新規ゾーン ] を選択します [ ゾーン ] ダイアログの [ 名前 ] で Untrust などの名前をつけて新しいゾーンを定義し [OK] をクリックします 4. インターネットルータへの静的ルートを設定します a [ 仮想ルーター ] ドロップダウンリストから [ 新規仮想ルーター ] を選択し [ 名前 ] フィールドに VR1 などの仮想ルーター名を入力します b [ スタティックルート ] タブを選択して [ 追加 ] をクリックします [ 名前 ] フィールドにルート名を入力し [ 宛先 ] フィールドにルートの宛先 ( 例 : /0) を入力します c [ ネクストホップ ] で [IP アドレス ] ラジオボタンをクリックしインターネットゲートウェイの IP アドレスとネットマスク ( 例 : /24) を入力します d [OK] を 2 度クリックすると仮想ルーターの設定が保存されます 5. IP アドレスをインターフェイスに割り当てるには [IPv4] タブを選択してから IP セクションで [ 追加 ] をクリックしインターフェイスに割り当てる IP アドレスとネットマスク ( 例 : /24) を入力します 6. インターフェイスの ping を有効にするには [ 詳細 ] > [ その他の情報 ] の順にクリックし [ 管理プロファイル ] ドロップダウンリストから [ 新規管理プロファイル ] を選択します [ 名前 ] フィールドにプロファイル名を入力し [Ping] を選択してから [OK] をクリックします 7. インターフェイス設定を保存するには [OK] をクリックしますスタートガイド 49

52 インターフェイスおよびゾーンの設定ペリメータセキュリティの確立インターフェイスおよびゾーンの設定 ( 続き) ステップ 2 注意内部ネットワークに接続するインターフェイスを設定しますこの例のインターフェイスはプライベート IP アドレスを使用するネットワークセグメントに接続しますプライベート IP アドレスは外部にルーティングできないため NAT を設定する必要があります 51 ページの NAT ポリシーの設定を参照してください 1. [Network] > [ インターフェイス ] の順に選択し設定するインターフェイスを選択しますこの例では Ethernet1/4 を内部インターフェイスとして設定します 2. [ インターフェイスタイプ ] ドロップダウンリストから [Layer3] を選択します 3. [ 設定 ] タブで [ セキュリティゾーン ] ドロップダウンを展開して [ 新規ゾーン ] を選択します [ ゾーン ] ダイアログの [ 名前 ] で Trust などの名前をつけて新しいゾーンを定義し [OK] をクリックします 4. ステップ 1 で作成した仮想ルーター ( この例では VR1) を選択します 5. IP アドレスをインターフェイスに割り当てるには [IPv4] タブを選択してから IP セクションで [ 追加 ] をクリックしインターフェイスに割り当てる IP アドレスとネットマスク ( 例 : /24) を入力します 6. インターフェイスの ping を有効にするにはステップ 1-6 で作成した管理プロファイルを選択します 7. インターフェイス設定を保存するには [OK] をクリックしますステップ 3 ステップ 4 DMZ に接続するインターフェイスを設定しますインターフェイスの設定を保存します 1. 設定するインターフェイスを選択します 2. [ インターフェイスタイプ ] ドロップダウンリストから [Layer3] を選択しますこの例では Ethernet1/13 を DMZ インターフェイスとして設定します 3. [ 設定 ] タブで [ セキュリティゾーン ] ドロップダウンを展開して [ 新規ゾーン ] を選択します [ ゾーン ] ダイアログの [ 名前 ] で DMZ などの名前をつけて新しいゾーンを定義し [OK] をクリックします 4. ステップ 1 で作成した仮想ルーター ( この例では VR1) を選択します 5. IP アドレスをインターフェイスに割り当てるには [IPv4] タブを選択してから IP セクションで [ 追加 ] をクリックしインターフェイスに割り当てる IP アドレスとネットマスク ( 例 : /24) を入力します 6. インターフェイスの ping を有効にするにはステップ 1-6 で作成した管理プロファイルを選択します 7. インターフェイス設定を保存するには [OK] をクリックします [Commit] をクリックしますステップ 5 ファイアウォールを配線しますストレートケーブルを使用して設定したインターフェイスから対応するスイッチまたはルーターにネットワークセグメントごとに接続します 50 スタートガイド

53 ペリメータセキュリティの確立 NAT ポリシーの設定インターフェイスおよびゾーンの設定 ( 続き) ステップ 6 インターフェイスがアクティブであることを確認します Web インターフェイスの場合 [Network] > [ インターフェイス ] の順に選択し [ リンク状態 ] 列のアイコンが緑になっていることを確認しますまた [Dashboard] の [ インターフェイス ] ウィジェットからリンク状態をモニタリングすることもできます NAT ポリシーの設定インターフェイスおよびゾーンの作成に使用したサンプルトポロジを元に次の 3 つの NAT ポリシーを作成する必要があります内部ネットワークのクライアントからインターネット上のリソースにアクセスできるようにするには内部アドレスをルーティング可能なパブリックアドレスに変換する必要がありますこの場合出力インターフェイスアドレスを使用して内部ゾーンからファイアウォールを通過するすべてのパケットの送信元アドレスとして送信元 NAT を設定します方法については 52 ページの内部クライアントの IP アドレスからパブリック IP アドレスへの変換を参照してくださいスタートガイド 51

54 NAT ポリシーの設定ペリメータセキュリティの確立内部ネットワークのクライアントから DMZ ゾーンのパブリック Web サーバーにアクセスできるようにするには外部ネットワークからのパケットをリダイレクトする NAT ルールを設定する必要がありますこの場合元のルーティングテーブルを検索することによりパケット内の宛先アドレスに基づき DMZ ネットワーク上の Web サーバーが持つ実際のアドレスに移動する必要があると判断しますこのような変換を行うには宛先アドレスを DMZ ゾーンのアドレスに変換するための Trust ゾーン ( パケットの送信元アドレスが存在する場所 ) から Untrust ゾーン ( 元の宛先アドレスが存在する場所 ) への NAT ルールを作成する必要がありますこのタイプの宛先 NAT を U ターン NAT といいます方法については 54 ページの内部ネットワークのクライアントからパブリックサーバーへのアクセスを有効にするを参照してください DMZ ネットワークのプライベート IP アドレスと外部ユーザーがアクセスするパブリックフェイシングアドレスの両方を持つ Web サーバーで要求を送受信できるようにするにはファイアウォールでパブリック IP アドレスからプライベート IP アドレスに着信するパケットをプライベート IP アドレスからパブリック IP アドレスに発信するパケットに変換する必要がありますファイアウォールで双方向の静的な送信元 NAT のポリシーを 1 つ作成すればこのような変換を実現できます 55 ページのパブリックフェイシングサーバーの双方向アドレス変換を有効にするを参照してください内部クライアントの IP アドレスからパブリック IP アドレスへの変換内部ネットワークのクライアントから要求を送信する場合パケットの送信元アドレスにその内部ネットワーククライアントの IP アドレスが含まれますプライベート IP アドレスの範囲を内部で使用している場合ネットワークから発信されるパケットの送信元 IP アドレスをルーティング可能なパブリックアドレスに変換しない限りクライアントのパケットをインターネットにルーティングできません送信元アドレスと送信元ポート ( 任意 ) とをパブリックアドレスに変換する送信元 NAT のポリシーをファイアウォールで設定すればこのような変換を実現できますその方法の 1 つとして以下の手順に示すようにすべてのパケットの送信元アドレスをファイアウォールの出力インターフェイスに変換する方法があります 52 スタートガイド

55 ペリメータセキュリティの確立 NAT ポリシーの設定送信元 NAT の設定ステップ 1 使用する外部 IP アドレスのオブジェクトを作成します 1. Web インターフェイスから [Objects] > [ アドレス ] の順に選択し [ 追加 ] をクリックします 2. [ 名前 ] フィールドに名前を入力し必要に応じて [ 内容 ] フィールドにオブジェクトの説明を入力します 3. [ タイプ ] ドロップダウンリストから [IP ネットマスク ] を選択しファイアウォールの外部インターフェイスの IP アドレスとネットマスク ( この例では /24) を入力します 4. アドレスオブジェクトを保存するには [OK] をクリックします注意ポリシーでアドレスオブジェクトを使用する必要がない場合でもアドレスオブジェクトを作成しておけばアドレスの参照基準となるポリシーを個別ではなく一括で更新できるなど管理者の負担が軽減されるため作成しておくのがベストプラクティスですステップ 2 NAT ポリシーを作成します 1. [Policies] > [NAT] の順に選択して [ 追加 ] をクリックします 2. [ 名前 ] フィールドに分かりやすいポリシー名を入力します 3. [ 元のパケット ] タブで [ 送信元ゾーン] セクションで内部ネットワーク用に作成したゾーンを [ 宛先ゾーン ] ドロップダウンリストで外部ネットワーク用に作成したゾーンをそれぞれ選択します ([ 追加 ] をクリックしてゾーンを選択します ) 4. [ 変換済みパケット ] タブの [ 送信元アドレスの変換 ] セクションで [ 変換タイプ ] ドロップダウンリストから [ ダイナミック IP およびポート ] を選択し [ 追加 ] をクリックしますステップ 1 で作成したアドレスオブジェクトを選択します 5. [OK] をクリックして NAT ポリシーを保存しますステップ 3 設定を保存します [Commit] をクリックしますスタートガイド 53

56 NAT ポリシーの設定ペリメータセキュリティの確立内部ネットワークのクライアントからパブリックサーバーへのアクセスを有効にする内部ネットワークのユーザーが DMZ にある企業 Web サーバーへのアクセス要求を送信する場合 DNS サーバーがパブリック IP アドレスを解決します要求を処理する際にファイアウォールではパケットの元の宛先 ( パブリック IP アドレス ) を使用して Untrust ゾーンの出力インターフェイスにパケットをルーティングします Trust ゾーンのユーザーから要求を受信したときにファイアウォールで Web サーバーのパブリック IP アドレスを DMZ ネットワークのアドレスに変換する必要があると判断するには次のようにファイアウォールから DMZ ゾーンの出力インターフェイスに要求を送信できるようにするための宛先 NAT のルールを作成する必要があります U ターン NAT の設定ステップ 1 Web サーバーのアドレスオブジェクトを作成します 1. Web インターフェイスから [Objects] > [ アドレス ] の順に選択し [ 追加 ] をクリックします 2. [ 名前 ] フィールドに名前を入力し必要に応じて [ 内容 ] フィールドにオブジェクトの説明を入力します 3. [ タイプ ] ドロップダウンリストから [IP ネットマスク ] を選択し Web サーバーのパブリック IP アドレスとネットマスク ( この例では /24) を入力します 4. アドレスオブジェクトを保存するには [OK] をクリックしますステップ 2 NAT ポリシーを作成します 1. [Policies] > [NAT] の順に選択して [ 追加 ] をクリックします 2. [ 名前 ] フィールドに分かりやすい NAT ルール名を入力します 3. [ 元のパケット ] タブで [ 送信元ゾーン ] セクションで内部ネットワーク用に作成したゾーンを [ 宛先ゾーン ] ドロップダウンリストで外部ネットワーク用に作成したゾーンをそれぞれ選択します ([ 追加 ] をクリックしてゾーンを選択します ) 4. [ 宛先アドレス ] セクションで [ 追加 ] をクリックしパブリック Web サーバー用に作成したアドレスオブジェクトを選択します 5. [ 変換済みパケット ] タブで [ 宛先アドレスの変換 ] チェックボックスをオンにしてから DMZ ネットワーク上の Web サーバーインターフェイスに割り当てられた IP アドレス ( この例では ) を入力します 6. [OK] をクリックして NAT ポリシーを保存しますステップ 3 設定を保存します [Commit] をクリックします 54 スタートガイド

57 ペリメータセキュリティの確立 NAT ポリシーの設定パブリックフェイシングサーバーの双方向アドレス変換を有効にするパブリックフェイシングサーバーでそのサーバーが実際に存在するネットワークセグメントのプライベート IP アドレスが割り当てられている場合出力時にサーバーの送信元アドレスを外部アドレスに変換する送信元 NAT のルールが必要となりますそのためには内部の送信元アドレスを外部 Web サーバーのアドレス ( この例では ) に変換するようにファイアウォールに指示する静的 NAT ルールを作成する必要がありますただしパブリックフェイシングサーバーの場合はパケットの送受信が可能でなければなりませんこの場合インターネットユーザーからの着信パケットの宛先 IP アドレスとなるパブリックアドレスをプライベートアドレスに変換しファイアウォールから DMZ ネットワークへパケットを正しくルーティングできるようにするための相互ポリシーが必要となりますそのためには以下の手順に示すとおりファイアウォールで双方向の静的 NAT ポリシーを作成する必要があります双方向 NAT の設定ステップ 1 Web サーバーの内部 IP アドレスのオブジェクトを作成します 1. Web インターフェイスから [Objects] > [ アドレス ] の順に選択し [ 追加 ] をクリックします 2. [ 名前 ] フィールドに名前を入力し必要に応じて [ 内容 ] フィールドにオブジェクトの説明を入力します 3. [ タイプ ] ドロップダウンリストから [IP ネットマスク ] を選択し DMZ ネットワーク上の Web サーバーの IP アドレスとネットマスク ( この例では /24) を入力します 4. アドレスオブジェクトを保存するには [OK] をクリックします注意 Web サーバーのパブリックアドレスに対するアドレスオブジェクトを作成していない場合はそのオブジェクトも今すぐ作成する必要がありますスタートガイド 55

58 NAT ポリシーの設定ペリメータセキュリティの確立双方向 NAT の設定 ( 続き) ステップ 2 NAT ポリシーを作成します 1. [Policies] > [NAT] の順に選択して [ 追加 ] をクリックします 2. [ 名前 ] フィールドに分かりやすい NAT ルール名を入力します 3. [ 元のパケット ] タブで [ 送信元ゾーン] セクションで DMZ 用に作成したゾーンを [ 宛先ゾーン ] ドロップダウンリストで外部ネットワーク用に作成したゾーンをそれぞれ選択します ([ 追加 ] をクリックしてゾーンを選択します ) 4. [ 送信元アドレス ] セクションで [ 追加 ] をクリックし内部 Web サーバーのアドレス用に作成したアドレスオブジェクトを選択します 5. [ 変換済みパケット ] タブの [ 送信元アドレスの変換 ] セクションで [ 変換タイプ ] ドロップダウンリストから [ スタティック IP] を選択し [ 変換後アドレス ] ドロップダウンリストから外部 Web サーバーのアドレス用に作成したアドレスオブジェクトを選択します 6. [ 双方向 ] フィールドで [ はい ] を選択します 7. [OK] をクリックして NAT ポリシーを保存しますステップ 3 設定を保存します [Commit] をクリックします 56 スタートガイド

59 ペリメータセキュリティの確立基本的なセキュリティポリシーのセットアップ基本的なセキュリティポリシーのセットアップポリシーによりルールを適用してアクションを実行できますセキュリティ NAT Quality of Service (QoS) ポリシーベースフォワーディング (PBF) 復号アプリケーションオーバーライドキャプティブポータルサービス拒否 (DoS) ゾーンプロテクションなどさまざまなタイプのポリシールールをファイアウォールで作成できますこれらのさまざまなポリシーが連携することにより許可拒否優先度の設定転送暗号化復号例外の作成アクセスの認証接続のリセットなど必要に応じてネットワークを保護できますここでは基本的なセキュリティポリシーとデフォルトのセキュリティプロファイルについて説明しますセキュリティルールの作成セキュリティポリシーのテストネットワーク上のトラフィックのモニタリングまずはセキュリティポリシーのみについて説明します他のタイプのポリシーに関する詳細は 65 ページの脅威からのネットワークの防御または Palo Alto Networks 管理者ガイドの第 5 章を参照してくださいセキュリティルールの作成セキュリティポリシーによりセキュリティゾーンを参照することでネットワーク上のトラフィックを許可制限および追跡できるようになりますゾーンごとに信頼度が異なるため暗黙のルールにより 2 つの異なるゾーン間を通過するトラフィックは拒否されゾーン内のトラフィックは許可されます 2 つの異なるゾーン間を通過するトラフィックを許可するにはこのようなトラフィックに対するセキュリティルールを作成する必要があります企業のペリメータセキュリティを確保するための基本的なフレームワークを設定する場合制約の少ない異なるゾーン間のトラフィックを許可するシンプルなセキュリティポリシーから作成すると良いでしょう後述するように目標はあくまでもネットワークユーザーがアクセスする必要のあるアプリケーションが中断してしまうリスクを最小限に抑えながらネットワーク上のアプリケーションや潜在的な脅威に可視性を与えることですポリシーを定義する場合すべての送信元ゾーンからすべての宛先ゾーンへのトラフィックをすべて拒否するようなポリシーを作成すると暗黙のうちに許可されているゾーン内トラフィックが中断してしまうためそのようなポリシーは作成しないでくださいゾーン内トラフィックの場合送信元ゾーンと宛先ゾーンが同じで信頼度も同じレベルで共有されているためデフォルトで許可されていますスタートガイド 57

60 基本的なセキュリティポリシーのセットアップペリメータセキュリティの確立基本的なセキュリティルールの定義ステップ 1 注意企業ネットワークのすべてのユーザーに対してインターネットアクセスを許可しますゾーン : Trust から Untrust デフォルトでは rule1 という名前のセキュリティルールがファイアウォールに含まれていますこのルールでは Trust ゾーンから Untrust ゾーンへのトラフィックがすべて許可されていますこのルールを削除するまたはゾーンの命名規則を反映するようにルールを変更することもできます日常業務に必要なアプリケーションを安全に実行できるようにするためにインターネットへのアクセスを許可するシンプルなルールを作成します基本的な脅威から保護するためにファイアウォールで使用できるデフォルトのセキュリティプロファイルを関連付けます 1. [Policies] > [ セキュリティ] の順に選択して [ 追加 ] をクリックします 2. [ 全般 ] タブでルールの分かりやすい名前を入力します 3. [ 送信元 ] タブで [ 送信元ゾーン ] を [Trust] に設定します 4. [ 宛先 ] タブで [ 宛先ゾーン ] を [Untrust] に設定します 5. [ サービス /URL カテゴリ ] タブで service-http と service-https を選択します 6. [ アクション ] タブで以下の手順を実行します a [ アクション設定 ] を [ 許可 ] に設定します b [ プロファイル設定 ] 以下で [ アンチウイルス ] [ アンチスパイウェア ] [ 脆弱性防御 ] [URL フィルタリング] のデフォルトプロファイルを関連付けます 7. [ オプション ] 以下でセッション終了時のログが有効であることを確認しますセキュリティルールと一致するトラフィックのみがログに記録されます 58 スタートガイド

61 ペリメータセキュリティの確立基本的なセキュリティポリシーのセットアップ基本的なセキュリティルールの定義 ( 続き) ステップ 2 注意内部ネットワークのユーザーが DMZ のサーバーにアクセスできるようにしますゾーン : Trust から DMZ DMZ サーバーへのアクセス設定に IP アドレスを使用する場合パケットの元の IP アドレス (NAT 前のアドレス ) と NAT 後のゾーンを常に参照するようにしてください 1. [Policies] > [ セキュリティ ] の順に選択し [ 追加 ] をクリックします 2. [ 全般 ] タブでルールの分かりやすい名前を入力します 3. [ 送信元 ] タブで [ 送信元ゾーン ] を [Trust] に設定します 4. [ 宛先 ] タブで [ 宛先ゾーン ] を [DMZ] に設定します 5. [ サービス /URL カテゴリ ] タブで [ サービス ] を [application-default] に設定します 6. [ アクション ] タブで [ アクション設定 ] を [ 許可 ] に設定します 7. それ以外のオプションはすべてデフォルト値にしておきますステップ 3 インターネットから DMZ サーバーへのアクセスを特定サーバーの IP アドレスのみに制限しますたとえば外部から webmail サーバーにアクセスするユーザーのみを許可しますゾーン : Untrust から DMZ インターネットから DMZ へのインバウンドアクセスを制限するには特定サーバーの IP アドレスとアプリケーションで使用するデフォルトのポートのみを許可するルールを設定します 1. [ 追加 ] をクリックして新しいルールを追加し分かりやすい名前をつけます 2. [ 送信元 ] タブで [ 送信元ゾーン ] を [Untrust] に設定します 3. [ 宛先 ] タブで [ 宛先ゾーン ] を [DMZ] に設定します 4. [ 宛先アドレス ] を作成済みのパブリック Web サーバーのアドレスオブジェクトに設定しますこのパブリック Web サーバーのアドレスオブジェクトは DMZ からアクセスできる Web サーバーのパブリック IP アドレス ( /24) を参照します 5. [ アプリケーション ] タブで webmail アプリケーションを選択します 6. [ サービス ] を [application-default] に設定します 7. [ アクション設定 ] を [ 許可 ] に設定しますスタートガイド 59

62 基本的なセキュリティポリシーのセットアップペリメータセキュリティの確立基本的なセキュリティルールの定義 ( 続き) ステップ 4 DMZ から内部ネットワーク (Trust ゾーン ) へのアクセスを許可しますリスクを最小限に抑えるために特定のサーバーと宛先アドレスのトラフィックのみを許可しますたとえば Trust ゾーンの特定のデータベースサーバーと通信する必要のあるアプリケーションサーバーが DMZ にある場合特定の送信元と宛先の間のトラフィックのみを許可するルールを作成します 1. [ 追加 ] をクリックして新しいルールを追加し分かりやすい名前をつけます 2. [ 送信元ゾーン ] を [DMZ] に設定します 3. [ 宛先ゾーン ] を [Trust] に設定します 4. DMZ からアクセス可能な Trust ゾーンのサーバーを指定するアドレスオブジェクトを作成しますゾーン : DMZ から Trust 5. セキュリティポリシールールの [ 宛先 ] タブで [ 宛先アドレス ] を作成済みのアドレスオブジェクトに設定します 6. [ アクション ] タブで以下の手順を実行します a [ アクション設定 ] を [ 許可 ] に設定します b [ プロファイル設定 ] 以下で [ アンチウイルス ] [ アンチスパイウェア ] [ 脆弱性防御 ] のデフォルトプロファイルを関連付けます c [ その他の設定 ] セクションで [ サーバーレスポンス検査の無効化 ] を選択しますこの設定によりサーバー側レスポンスのアンチウイルスおよびアンチスパイウェアのスキャンが無効になりファイアウォールの負荷が軽減されます 60 スタートガイド

ペリメータセキュリティの確立基本的なセキュリティポリシーのセットアップ基本的なセキュリティルールの定義 ( 続き) ステップ 5 DMZ サーバーがインターネットから更新や修正プログラムを入手できるようにしますたとえば Microsoft Update サービスを許可しますゾーン : DMZ から Untrust 1.

63 ペリメータセキュリティの確立基本的なセキュリティポリシーのセットアップ基本的なセキュリティルールの定義 ( 続き) ステップ 5 DMZ サーバーがインターネットから更新や修正プログラムを入手できるようにしますたとえば Microsoft Update サービスを許可しますゾーン : DMZ から Untrust 1. 新しいルールを追加し分かりやすい名前をつけます 2. [ 送信元ゾーン ] を [DMZ] に設定します 3. [ 宛先ゾーン ] を [Untrust] に設定します 4. アプリケーショングループを作成し許可するアプリケーションを指定しますこの例では Microsoft Updates (ms-updates) と DNS を許可します 5. [ サービス ] を [application-default] に設定しますこれによりこれらのアプリケーションに関連付けられた標準ポートを使用するアプリケーションのみをファイアウォールで許可できます 6. [ アクション設定 ] を [ 許可 ] に設定します 7. [ プロファイル設定 ] 以下で [ アンチウイルス ] [ アンチスパイウェア ] [ 脆弱性防御 ] のデフォルトプロファイルを関連付けますステップ 6 デバイスで実行中の設定に対するポリシーを保存します [Commit] をクリックしますスタートガイド 61

64 基本的なセキュリティポリシーのセットアップペリメータセキュリティの確立セキュリティポリシーのテスト基本ポリシーを効果的に設定できていることを確認するためにセキュリティポリシーが評価されているかどうかテストしどのセキュリティルールがトラフィックフローに適用されているかを判断します. ポリシーとフローの一致を確認するフローと一致するポリシールールを確認するには次の CLI コマンドを使用します test security-policy-match source <IP アドレス > destination <IP アドレス > destination port < ポート番号 > protocol < プロトコル番号 > この CLI コマンドで指定する送信元と宛先の IP アドレスに最も一致するルールが出力されますたとえば IP アドレスがの DMZ サーバーから Microsoft Update サーバーにアクセスする場合この DMZ サーバーに適用されるポリシールールを確認するには次のコマンドを実行します test security-policy-match source destination destination-port 80 protocol 6 "Updates-DMZ to Internet" { from dmz; source any; source-region any; to untrust; destination any; destination-region any; user any; category any; application/service[ dns/tcp/any/53 dns/udp/any/53 dns/udp/any/5353 ms-update/tcp/any/80 ms-update/tcp/any/443]; action allow; terminal yes; ネットワーク上のトラフィックのモニタリング基本セキュリティポリシーの配置はこれで完了です次にアプリケーションコマンドセンター (ACC) の統計およびデータトラフィックログおよび脅威のログをレビューしてネットワークの動向を観察しより詳細なポリシーを作成する必要のある場所を特定しますポートまたはプロトコルを使用してアプリケーションを識別する従来のファイアウォールとは異なり Palo Alto Networks のファイアウォールではアプリケーションシグネチャ (App-ID テクノロジー) を利用してアプリケーションをモニタリングしますアプリケーションシグネチャは一意のアプリケーションプロパティと関連するトランザクションの特性ポートまたはプロトコルの組み合わせに基づいていますそのためトラフィックで正しいポート / プロトコルが使用されていてもアプリケーションシグネチャが一致しない場合はファイアウォールによりコンテンツへのアクセスが拒否されますこの機能によりアプリケーションの一部は許可し同じアプリケーション内の機能の一部をブロックまたは制限するなど安全にアプリケーションを実行できますたとえばアプリケーションの Web 参照を許可するとユーザーはインターネット上のコンテンツにアクセスできます次にユーザーが Facebook に移動してから Facebook の Scrabble をプレイするとファイアウォールがアプリケーションのシフトを識別し Facebook と Scrabble をそれぞれ個別に認識しますそのため Facebook アプリケーションをブロックする特定のルールを作成するとユーザーは Scrabble へのアクセスが拒否されますが Facebook にはアクセスできます 62 スタートガイド

65 ペリメータセキュリティの確立基本的なセキュリティポリシーのセットアップネットワーク上のトラフィックをモニタリングするには次の手順を実行します ACC で使用頻度が最も高いアプリケーションとリスクの高いネットワークアプリケーションをレビューします ACC ではログ情報をグラフィカルに要約されネットワークを通過するアプリケーションとそれらを使用する (User-ID が有効な ) ユーザーおよびコンテンツの潜在的なセキュリティへの影響が強調表示されるためネットワークの状況をリアルタイムに識別できますこの情報を利用して不要なアプリケーションをブロックしながら安全にアプリケーションを許可し有効にする適切なセキュリティポリシーを作成できますネットワークセキュリティルールのどの部分を更新 / 修正し変更を適用する必要があるかを判断します例 : スケジュールユーザーまたはグループに基づいてコンテンツを許可するかどうかを評価します特定のアプリケーションまたはアプリケーション内の機能を許可または制御しますコンテンツを復号化して検査します脅威や悪用をスキャンしてからコンテンツを許可しますセキュリティポリシーをさらに細かく設定しカスタムセキュリティプロファイルを関連付ける方法の詳細は脅威からのネットワークの防御を参照してください [Monitor] > [ ログ ] の順に選択しトラフィックおよび脅威のログを表示しますトラフィックのログはセキュリティポリシーの定義およびログトラフィックの設定の方法により異なりますただし ACC タブではポリシーの設定に関係なくアプリケーションおよび統計情報が記録されますつまりネットワークで許可されているすべてのトラフィックが表示されるためポリシーで許可されているゾーン間トラフィックと暗黙のうちに許可されているゾーン内トラフィックの両方が含まれています URL フィルタリングログをレビューしてアラートおよび拒否されたカテゴリ /URL をスキャンします URL ログを生成するには URL プロファイルをセキュリティルールに関連付けてアクションを alert ( アラート ) continue ( 継続 ) override ( オーバーライド ) または block ( ブロック ) に設定する必要がありますスタートガイド 63

66 基本的なセキュリティポリシーのセットアップペリメータセキュリティの確立 64 スタートガイド

67 3 脅威からのネットワークの防御この章では Palo Alto Networks の脅威防御の機能と各機能を設定するために必要な初期ステップについて説明しますこの章は以下のセクションで構成されています脅威防御の概要セキュリティゾーンセキュリティポリシー復号ポリシーについて脅威防御機能のライセンスセキュリティポリシーについてセキュリティプロファイルとセキュリティポリシーのセットアップスタートガイド 65

68 脅威防御の概要脅威からのネットワークの防御脅威防御の概要 Palo Alto Networks の次世代ファイアウォールにはユニークな独特の脅威防御機能が組み込まれておりこの機能により回避トンネリングまたは迂回技法に関係なくすべてのポートおよびトラフィックでの攻撃からネットワークを保護することができます脅威防御機能にはアンチウィルスアンチスパイウェア脆弱性防御 URL フィルタリングファイルブロッキングデータフィルタリングなどがありますサービス拒否 (DoS) 防御およびゾーンプロテクションについてもこの章で取り上げますアプリケーションを識別する(App-ID) 機能とユーザー / グループ情報を識別する(User-ID) 機能により環境内で使用されるさまざまな組織とアプリケーションに基づいて脅威防御機能とセキュリティポリシーを設定できます特にアンチウィルスファイルブロッキングおよびデータフィルタリングの各プロファイルを設定するときに分析すべきアプリケーションを決定してから特定のユーザーグループに基づいてそのポリシーをセキュリティポリシーに適用することができますたとえば所定の部門が信頼された Web アプリケーションを使用する場合そのアプリケーションではアンチウィルスとファイルブロッキングの機能をオフにすることもできますファイルブロッキング機能の一部としてファイルを分析して未知のマルウェアを探し出すサンドボックス環境にファイアウォールが添付ファイルを転送できるようにする WildFire サービスを実装することも可能です WildFire システムが新しいマルウェアを検出するとマルウェアのシグネチャが自動的に生成され 24 ~ 48 時間以内にアンチウィルスのシグネチャのダウンロードに組み込まれます WildFire ライセンスの加入者は 30 分間隔でシグネチャを受信しますファイアウォールを通過する SSL および SSH トラフィックは暗号化されるためこのタイプのトラフィックを検査 / フィルタリングするために復号ポリシーを設定できますこれによりファイアウォールでは SSL トラフィックの復号化脅威があるかどうかのスキャンまたは URL カテゴリ (URL フィルタリング)やアプリケーション(App-ID)に基づいたトラフィックのフィルタリングを行ってからトラフィックがファイアウォールを出ていく前に再暗号化することができます SSH トラフィックに対しては管理者は SSH トンネルトラフィックに対してポリシーベースの識別および制御を実行できます SSH 内でのポート転送または X11 転送を SSH トンネルとして検出して中間者攻撃に近い技法を使って標準シェル SCP および SFTP のリモートマシンへの SSH アクセスと区別することができますデフォルトでは SSH 制御は無効ですゾーン:Trust 脅威防御ゾーン:Untrust アンチウイルスアンチスパイウェア脆弱性防御 URL フィルタリングファイルブロッキング WildFire データフィルタリング 66 スタートガイド

69 脅威からのネットワークの防御脅威防御の概要 Palo Alto Networks 製品で識別可能な脅威およびアプリケーションについての詳細は以下のリンク先にアクセスしてください Applipedia Palo Alto Networks で識別できるアプリケーションについて詳細に説明しています Threat Vault Palo Alto Networks 製品で識別可能な脅威の一覧が掲載されています脆弱性スパイウェアまたはウィルスを条件にして検索できます脅威についての詳細は ID 番号の横にある詳細アイコンをクリックしてください以下のセクションでは Palo Alto Networks 脅威防御機能のコンポーネントについて説明しますこれらの機能を使用し始めるのに役立つ設定例については 78 ページのセキュリティプロファイルとセキュリティポリシーのセットアップを参照してくださいセキュリティゾーンセキュリティポリシー復号ポリシーについて脅威防御機能を適用できるようにするにはまずゾーンおよびセキュリティポリシーを設定する必要がありますセキュリティゾーンは 1 つ以上の送信元インターフェイスまたは宛先インターフェイスを識別しますセキュリティポリシーを設定する場合にはゾーンによって表される送信元と宛先に基づいてポリシーを作成する必要がありますたとえばインターネットに接続されたインターフェイスは一般に信頼されないゾーンであり内部ネットワークに接続されたインターフェイスは信頼されるゾーンになりますセキュリティポリシーではトラフィック属性 (たとえばアプリケーション送信元セキュリティゾーンと宛先セキュリティゾーン送信元アドレスと宛先アドレス HTTP などのアプリケーションサービス)に基づいて新しいネットワークセッションのブロックまたは許可を決定しますセキュリティポリシーが設定されたらセキュリティプロファイルを作成してセキュリティポリシーに適用し脅威から保護したり URL フィルタリングを適用したりファイルブロッキングを有効にしたりします SSH や SSL によって暗号化されたトラフィック内の脅威をフィルタリングまたはスキャンするにはゾーンに適用され所定のポリシーに一致するすべてのトラフィックを復号化する復号ポリシーを設定する必要があります詳細については 77 ページの復号ポリシーと復号プロファイルを参照してくださいゾーンおよびポリシーの詳細については次のセクションを参照してください 47 ページのインターフェイスおよびゾーンの設定 57 ページの基本的なセキュリティポリシーのセットアップスタートガイド 67

70 脅威防御機能のライセンス脅威からのネットワークの防御脅威防御機能のライセンス以下のセクションでは脅威防御機能を利用するために必要なライセンスとアクティベーション処理について説明します脅威防御のライセンスについてライセンスの取得とインストール脅威防御のライセンスについて以下にさまざまな脅威防御関連のライセンス情報を示します脅威防御アンチウィルスアンチスパイウェアおよび脆弱性防御機能を提供します URL フィルタリングサポートされている URL フィルタリングデータベース(PAN-DB または BrightCloud)のいずれかのサブスクリプションを購入してインストールすることで URL カテゴリに基づいたポリシールールを作成できるようになります Palo Alto Networks PAN-DB 機能をアクティベーションする場合はまずライセンスをインストールし [PAN-DB URL フィルタリング ] セクションで初期シードデータベースをダウンロードして取得しそれからアクティベーションします WildFire WildFire 機能 ( 分析のためにサンプルを送信し分析結果を受信 )は標準機能の一部として組み込まれています WildFire を使用して検出されたマルウェアのアンチウィルスシグネチャ更新を受信するためには脅威防御サブスクリプションが必要です WildFire サブスクリプションサービスではより迅速なセキュリティが必要な組織を対象に提供されるもので 1 時間以内の間隔での WildFire シグネチャ更新 WildFire サーバーからのログのダウンロードおよび WildFire REST API を使用したファイルのアップロードが可能になりますライセンスの取得とインストールライセンスを購入するには Palo Alto Networks の販売部門にお問い合わせくださいライセンスを取得したら [Device] > [ ライセンス ] の順に移動しますライセンスの受け取り方法に応じて以下のタスクを実行できますライセンスサーバーからライセンスキーを取得ライセンスがサポートポータルでアクティベーションされている場合はこのオプションを使用します認証コードを使用した機能のアクティベーションこのオプションを選択し購入したサブスクリプションを有効にします該当の認証コードがサポートポータルで以前にアクティベーションされていないことが前提になりますライセンスキーの手動アップロードデバイスから Palo Alto Networks サポートサイトへの接続が確立されていない場合はこのオプションを使用しますこの場合はインターネットに接続されたコンピュータでサポートサイトからライセンスキーをダウンロードしてからそのデバイスにアップロードする必要がありますファイアウォールでのライセンスの登録およびアクティベーションについての詳細は 12 ページのファイアウォールサービスのアクティベーションを参照してください 68 スタートガイド

71 脅威からのネットワークの防御セキュリティポリシーについてセキュリティポリシーについてセキュリティプロファイルを使用してセキュリティポリシーに保護機能を追加しますたとえばアンチウィルスプロファイルをセキュリティポリシーに適用しそのセキュリティポリシーと一致するすべてのトラフィックにウィルスが存在しないかどうかスキャンすることができますこれらの機能を使用し始めるときに役立つ基本設定の例については 78 ページのセキュリティプロファイルとセキュリティポリシーのセットアップを参照してください次の表にセキュリティポリシーに適用可能なセキュリティプロファイルの概要および DoS プロファイルとゾーンプロテクションプロファイルの基本的な説明を示します脅威防御機能アンチウイルス説明ウィルスワームトロイの木馬およびスパイウェアのダウンロードから保護します Palo Alto Networks アンチウィルスソリューションではパケットを最初に受信する瞬間にトラフィックを検査するストリームベースのマルウェア防御エンジンを使用してファイアウォールのパフォーマンスに大きな影響を与えることなくクライアントを保護することができますこの機能では実行ファイル PDF ファイル HTML ウィルスおよび JavaScript ウィルスに含まれるさまざまなマルウェアをスキャンし内部の圧縮ファイルとデータエンコードスキームのスキャンもサポートしています復号化されたコンテンツのスキャンはファイアウォールでの復号化を有効にすることによって実行できますデフォルトプロファイルではウィルスが含まれていないかどうかについてリストにあるプロトコルディテクタすべてを検査し FTP HTTP および SMB プロトコルの場合にはブロックし SMTP IMAP および POP3 プロトコルの場合にはアラートを生成しますカスタマイズしたプロファイルを使用して信頼されたセキュリティゾーン間のトラフィックに対するアンチウィルスの検査を最小限に抑えインターネットなどの信頼されていないゾーンから受信したトラフィックやサーバーファームなどの機密性の高い宛先に送信されるトラフィックの検査を最大化することもできます Palo Alto Networks WildFire システムは他のアンチウィルスソリューションによってまだ検出されていない可能性がある脅威のシグネチャも生成できます WildFire によって脅威が検出されるとシグネチャが素早く作成され脅威防御ライセンスの加入者は毎日 (WildFire ライセンスの加入者の場合は 1 時間以内の間隔で)ダウンロードされる標準のアンチウィルスシグネチャに組み込まれますスタートガイド 69

72 セキュリティポリシーについて脅威からのネットワークの防御脅威防御機能アンチスパイウェア脆弱性防御説明侵入されたホストのスパイウェアから外部指揮統制 (C2)サーバーに対する phone-home 通信またはビーコン通信の試みをブロックしますゾーン間ではさまざまなレベルで保護機能を適用できますたとえば信頼されたゾーン間での検査を最小限に抑えるカスタムアンチスパイウェアプロファイルを作成する一方でインターネット側ゾーンなどの信頼されないゾーンから受信するトラフィックでの検査を最大化することができますアンチスパイウェアをセキュリティポリシーに適用するときには 2 つの事前定義プロファイルのどちらかを選択できますデフォルトデフォルトプロファイルはシグネチャの作成時に Palo Alto Networks によって指定されるシグネチャごとのデフォルトのアクションを使用しますストリクトストリクトプロファイルはシグネチャファイルで定義されているアクションに関係なく重大度が critical high および medium の脅威のアクションがすべてブロックになります重大度が medium および informationl のシグネチャの場合にはデフォルトアクションが実行されます PAN-OS 5.0 では DNS に基づいた新しい形式のアンチスパイウェアシグネチャが導入されましたこれらのシグネチャはマルウェアに関連付けられているホスト名の特定の DNS クエリを検出しますこれらのシグネチャはアンチウィルス更新の一部として毎日ダウンロードされますが新しい [DNS シグネチャ ] タブを介してアンチスパイウェアプロファイルで設定されますアンチスパイウェアプロファイルと脆弱性防御プロファイルは同様の方法で設定されますアンチスパイウェアの主な目的は感染したクライアントから出てネットワークを出ていく悪意のあるトラフィックを検出することであるのに対し脆弱性防御ではネットワークに入ってくる脅威を防御しますシステムの弱点を悪用したりシステムへの不正アクセスを試みる行為を防止しますたとえばこの機能はバッファオーバーフロー不正なコード実行およびシステムの脆弱性を悪用するその他の試みからシステムを防御しますデフォルトの脆弱性防御プロファイルでは重大度が critical high および medium のすべての既知の脅威からクライアントとサーバーを保護しますまた特定のシグネチャに対するレスポンスの変更を許可する例外を作成することもできますアンチスパイウェアプロファイルと脆弱性防御プロファイルは同様の方法で設定されます脆弱性防御の主な目的はネットワークに入る悪意のあるトラフィックを検出することであるのに対しアンチスパイウェア防御ではネットワークを出ていく脅威から防御します 70 スタートガイド

73 脅威からのネットワークの防御セキュリティポリシーについて脅威防御機能 URL フィルタリング説明特定の Web サイトおよび Web サイトカテゴリへのアクセスを制限しますたとえば Adult Shopping Gambling などにカテゴリ分けされたサイトを制限できます Palo Alto Networks PAN-DB URL データベース(PAN-OS 5.0 現在 ) または BrightCloud データベースを設定できます PAN-DB は Palo Alto Networks が開発した URL フィルタリングエンジンです PAN-DB を使用するとマスターデータベースへのクエリにはクラウド検索が使用され最も頻繁にアクセスされる URL をキャッシュとして保存することでデバイスのパフォーマンスが最適化されますデバイスとクラウドはリアルタイムで同期されるため更新を取得するための定期的なデータベースダウンロードは不要になりますカテゴリは PAN-DB の場合には Palo Alto Networks によって BrightCloud DB の場合には BrightCloud によって事前定義されます URL の再カテゴリ分けは指定されたサイトのログの詳細に移動して [ 分類の変更要求 ] リンクをクリックすることにより URL フィルタリングログから直接要求できますまた PAN-DB の場合には Test A Site Web サイトを BrightCloud の場合には URL/IP Lookup サイトを使用することもできます PAN-DB のワークフロートラブルシューティングおよびインストールの詳細は URL Filtering (PAN-DB) Tech Note を参照してください次の図は PAN-DB URL フィルタリング機能のワークフローを示していますスタートガイド 71

74 セキュリティポリシーについて脅威からのネットワークの防御脅威防御機能説明ファイルブロッキング指定されたアプリケーションおよび方向で指定されたファイルタイプをブロックしますアップロードまたはダウンロードでアラート送信またはブロックするプロファイルを設定しファイルブロッキングプロファイルの適用対象となるアプリケーションを指定できますまた指定したファイルタイプのダウンロードをユーザーが試みるときに表示されるカスタムブロックページを設定することもできますこれによりユーザーはファイルをダウンロードするかどうか考える時間を持つことができます指定したファイルが検出されたときの対応として以下のアクションを設定できます alert 指定したファイルタイプが検出されるとデータフィルタリングログでログが生成されます block 指定したファイルタイプが検出されるとそのファイルはブロックされユーザーに対してカスタマイズ可能なブロックページが表示されますデータフィルタリングログでログも生成されます continue 指定したファイルタイプが検出されるとユーザーに対してカスタマイズ可能な続行ページが表示されますユーザーはページをクリックスルーしてファイルをダウンロードすることができますデータフィルタリングログでログも生成されます forward 指定したタイプが検出されるとファイルが WildFire に送信されて分析されますデータフィルタリングログでログも生成されます continue-and-forward 指定したファイルタイプが検出されるとユーザーに対してカスタマイズ可能な続行ページが表示されますユーザーはページをクリックスルーしてファイルをダウンロードすることができますユーザーが続行ページをクリックスルーしてファイルをダウンロードするとファイルは WildFire に送信されて分析されますデータフィルタリングログでログも生成されます 72 スタートガイド

75 脅威からのネットワークの防御セキュリティポリシーについて脅威防御機能 WildFire 説明 WildFire では Palo Alto Networks クラウドベースマルウェア分析センターにファイルを安全に送信することができそこでファイルは仮想サンドボックス環境で自動的に分析され悪質な振る舞いをしないかが検索されますファイルはファイルブロッキングポリシーを使用することによってファイアウォールから自動的に送信されますが WildFire ポータルから手動でアップロードしたりまたは WildFire API(WildFire ライセンスが必要 )を使用して送信することもできます WildFire システムは仮想環境でファイルを実行し重要なシステムファイルの変更セキュリティ機能の無効化検出を回避するためのさまざまな方法の使用など多くの潜在的にマルウェアに関連する動作や手法を監視します新しいマルウェアが検出されると WildFire はアンチウィルスシグネチャを自動的に生成し毎日のアンチウィルスシグネチャ更新によりそれらのシグネチャを脅威防御サブスクリプションのあるファイアウォールに配布します WildFire ライセンス加入者の場合はシグネチャが 1 時間以下の間隔で配信されます WildFire サブスクリプション(PAN-OS 5.0 で導入 )では以下の機能を利用できます WildFire のダイナミック更新 [Device] > [ ダイナミック更新 ] には新しい WildFire セクションがあります新しいマルウェアが検出されると WildFire シグネチャが 30 分ごとに生成されファイアウォールの WildFire 更新スケジュールは新しい WildFire シグネチャがあるかどうかについてまたは 60 ごとにポーリングするように設定できますファイアウォールにダウンロードされる新しい WildFire シグネチャについてはアンチウィルスプロファイルでの通常のアンチウイルスシグネチャアクションとは別にこれらのシグネチャで特定のアクションを実行するようにファイアウォールを設定できます統合された WildFire ログ WildFire によってファイルがアップロードおよび分析されると分析の後にログデータが分析結果とともにデバイスに返されますログは [Monitor] > [ ログ ] > [WildFire] に書き込まれます WildFire API WildFire ライセンスがあれば WildFire API にアクセスすることができこれにより Palo Alto Networks ファイアウォールによる使用とは別にクラウド内の WildFire に対して外部プログラムによるアクセスが許可されます WildFire API は WildFire システムへのファイルの送信分析および過去に送信されたファイルのレポートを確認するために使用しますファイルのアップロードは毎日 100 ファイルまで WildFire ポータルへのクエリは毎日 1,000 回まで実行できますスタートガイド 73

76 セキュリティポリシーについて脅威からのネットワークの防御脅威防御機能 WildFire ( 続き) 説明次の図は WildFire のワークフローを示していますデータフィルタリングクレジットカード番号や社会保障番号などの機密情報が保護されたネットワークから出て行かないよう防御できますまた重要なプロジェクト名や秘密の言葉などのキーワードに基づいてフィルタリングすることもできますプロファイルの焦点を適切なファイルタイプに合わせ誤検知を削減することが重要ですたとえば Word ドキュメントまたは Excel スプレッドシートのみを検索することができますまた web-browsing トラフィックまたは FTP のみをスキャンすることも可能ですデフォルトのプロファイルを作成したりカスタムデータパターンを作成したりすることができますデフォルトプロファイルには次の 2 つがあります CC 番号 (クレジットカード番号 ) ハッシュアルゴリズムを使用してクレジットカード番号を識別しますデータをクレジットカード番号として検出するにはコンテンツがハッシュアルゴリズムと一致する必要がありますこの方法により誤検知が減少します SSN 番号 ( 社会保障番号 ) フォーマットに関係なくアルゴリズムを使用して 9 桁の番号を検出します [SSN 番号 ] と [SSN 番号 ( ダッシュを除く )] の 2 つのフィールドがあります特殊なアルゴリズムを使用して社会保障番号とクレジットカード番号を識別するファイアウォールに加えて Regex フィールドでカスタムパターンを使用してキーワードを定義することもできますカスタムパターンは confidential のような単語になります 74 スタートガイド

77 脅威からのネットワークの防御セキュリティポリシーについて脅威防御機能説明データフィルタリング ( 続き) この機能をテストするときには社会保障番号とクレジットカード番号で使用可能な有効な桁数を理解することも重要です米国の社会保障番号は 9 桁で最初の 3 桁は 666 を除く 001 ~ 772 の数字になりますまた SSN 番号ではどの桁セットであってもすべて 0 にすることはできませんたとえばは無効な SSN ですテストの場合は実際の社会保障番号を使用するのが最善ですまたカスタムデータパターンの定義ではパターンの大文字と小文字を区別しますクレジットカード番号では最初の 2 ~ 6 桁を使用してカードタイプを識別します可能な数字の数は多くありませんまた番号の長さはさまざまですたとえば American Express の番号は 34 または 37 で始まる 15 桁であるのに対し Visa カードの番号は 4 で始まる 13 または 16 桁です重み値としきい値フィルタリングしようとする条件の適切なしきい値を設定するにはオブジェクト(SSN CC 番号パターン)の重みの計算方法を理解することが重要ですアクションしきい値 (アラートまたはブロック)に到達するまで各値に重み値を乗算して合計されます例 1 簡単に説明するため社会保障番号 (SSN)が書き込まれているファイルをフィルタリングし [SSN 番号 ] の重みを 3 と定義するとします使用する式は SSN の各インスタンス x 重み = しきい値と比較する値ですこのとき Word ドキュメントに 10 件社会保障番号がある場合はその件数に重みの 3 を乗算 (10 x 3)して 30 となりますよって 10 件の社会保障番号を含んだファイルでアクションを起こすにはしきい値を 30 に設定することになりますこの場合はアラートは 30 でブロックは 60 で実行されるように設定することができますまたダッシュを含まない社会保障番号の [SSN 番号 ( ダッシュを除く )] フィールドで重みを設定することもできます複数の設定を使用する場合は指定されたしきい値になるまで累積されます例 2 この例では社会保障番号とカスタムパターン confidential を含むファイルでフィルタリングします言い換えるとファイルに confidential という単語に加えて社会保障番号が書き込まれておりそれらの項目の合計インスタンス数がしきい値に到達するとアクション設定に応じてそのファイルでアラートまたはブロックがトリガーされます SSN 番号の重み = 3 カスタムパターン confidential の重み = 20 注 : カスタムパターンでは大文字と小文字が区別されますファイルに 20 件の社会保障番号が含まれ重みが 3 に設定されている場合値は 20 x 3 = 60 となりますそのファイルに confidential という単語のインスタンスが 1 つ含まれ重みが 20 に設定されている場合は値が 1 x 20 = 20 で合計で 80 となりますブロックのしきい値が 80 に設定されていればこのシナリオの場合にはファイルがブロックされますアラートまたはブロックアクションはしきい値に到達するとすぐにトリガーされますスタートガイド 75

78 セキュリティポリシーについて脅威からのネットワークの防御脅威防御機能説明 DoS 防御プロファイルサービス拒否 (DoS) 防御ポリシーの詳細を制御できます DoS ポリシーではインターフェイスゾーンアドレス国に対するセッション数をセッション総数送信元 IP アドレスおよび宛先 IP アドレス毎に基いて制御できます Palo Alto Networks のファイアウォールでサポートされる DoS 防御メカニズムは次の 2 つですフラッド防御パケットがフラッドされたために各要求に応答できないハーフオープンセッションまたはサービスの数が非常に多くなったネットワークにおいて攻撃を検出および防御しますこの場合攻撃の送信元アドレスは通常スプーフされますリソース保護セッション消耗攻撃を検出および防御しますこのタイプの攻撃では大量数のホスト(ボット)を使用して完全に確立されたセッションを可能な限り多く確立しシステムリソースのすべてを消費しますこれら両方の防御メカニズムは 1 つの DoS プロファイルで定義できます DoS プロファイルを使用して実行するアクションのタイプと DoS ポリシーの照合基準の詳細を指定します DoS プロファイルでは SYN UDP および ICMP フラッドの設定項目を定義しリソースの保護を有効にし最大同時接続数を定義します DoS 防御プロファイルを設定したら DoS ポリシーに適用します DoS 防御の設定時には適正なしきい値を設定するため使用環境を分析することが重要ですまた DoS 防御ポリシーの定義にはいくつかの複雑な設定が関係しているためこのガイドでは詳細な例は示しません詳細については Palo Alto Networks 管理者ガイドまたは Threat Prevention Tech Note を参照してくださいゾーンプロテクションゾーンを攻撃から保護するため特定のネットワークゾーン間の防御を強化しますプロファイルはゾーン全体に適用する必要があるため各ゾーンを通過する通常のトラフィックによって問題が発生しないようにするため慎重にプロファイルをテストすることが重要ですゾーンプロテクションプロファイルにパケット / 秒 (pps) のしきい値制限を定義する場合しきい値は以前に確立したセッションと一致しないパケット / 秒を基にしていますこのガイドでは詳細な例は示しません詳細については Palo Alto Networks 管理者ガイドまたは Threat Prevention Tech Note を参照してください 76 スタートガイド

79 脅威からのネットワークの防御セキュリティポリシーについて復号ポリシーと復号プロファイル復号ポリシーではセキュリティポリシーでのトラフィックの復号化を設定しますポリシー毎に復号するトラフィックの URL のカテゴリを指定することもできます SSH 復号化は SSH 内でのポート転送または X11 転送を SSH トンネルとして検出するために使用されるのに対し標準シェル SCP および SFTP のリモートマシンへのアクセスは SSH として報告されます SSL トラフィックでは復号化された通信に対して App-ID やアンチウイルス脆弱性アンチスパイウェア URL フィルタリングおよびファイルブロッキングの各プロファイルが適用されてトラフィックがデバイスを出るときに再暗号化されます接続中はクライアントとサーバー間でエンドツーエンドのセキュリティが保持されファイアウォールは信頼されたサードパーティとして機能します復号化されたトラフィックはデバイスに残りません復号プロファイルによりファイアウォールでは SSL フォワードプロキシ SSL インバウンドインスペクションおよび SSH トラフィックのさまざまな側面をブロックまたは制御することができます復号プロファイルを使用してサーバー証明書のチェックなどのチェック処理を実行し証明書が期限切れのセッションをブロックできます実行可能なすべてのチェックの一覧については Palo Alto Networks 管理者ガイドのセクション復号プロファイル設定を参照してください復号化を設定するときには一定のタイプの Web サイトを除外することができますたとえば財務や保健および医療のサイトのトラフィックは復号しないようにすることができます一部のアプリケーションはファイアウォールによって復号化されていると正常に機能しませんそのようなアプリケーションの一覧についてはナレッジベースの記事 SSL 復号から除外されるアプリケーションのリストを参照してくださいまた SSL を使用する Dropbox アプリケーションや Microsoft Lync などの一部のネイティブアプリケーションはそのアプリケーションが自己署名証明書には存在しない特定の詳細な情報を証明書で検索する可能性があるため復号化が有効になっていると障害が発生することがあります特定の URL カテゴリの例外を設定したり復号化が有効だとアプリケーションが正常に機能しない場合にはそのアプリケーションの宛先アドレスを設定したりする必要があります例外は [URL カテゴリ ] タブの復号ポリシーで指定するか [ 宛先 ] タブでアドレスを定義して復号化なしに設定した新しい復号ポリシーを作成することによって設定できますリストでは必ず復号なしポリシーが復号ポリシーより前になるようにしてください復号プロファイルを作成したらそのプロファイルを復号ポリシーに適用できますまたファイアウォールで定義されているデフォルトの信頼された証明機関を有効または無効にすることもできますスタートガイド 77

80 セキュリティプロファイルとセキュリティポリシーのセットアップ脅威からのネットワークの防御セキュリティプロファイルとセキュリティポリシーのセットアップ以下のセクションでは基本的な脅威防御設定の例を示します復号ポリシーのセットアップデータフィルタリングのセットアップアンチウィルスアンチスパイウェアおよび脆弱性防御のセットアップデータフィルタリングのセットアップファイルブロッキングのセットアップ WildFire のセットアップ URL フィルタリングのセットアップ復号ポリシーのセットアップ SSL や SSH などの通信で暗号化されたトラフィック内の脅威をフィルタリングしたり脅威が存在しないかどうかスキャンしたりするには復号ポリシーを設定する必要がありますこの例ではまず復号化プロセスで使用される自己署名付きの信頼された転送証明書および自己署名付きの信頼されない転送証明書を作成しますファイアウォールで信頼された転送証明書として作成された CA 証明書はファイアウォールからエクスポートされクライアント Web ブラウザの信頼された CA リストにインポートされますこれによりクライアント / ユーザーは SSL を使用してアクセスされる外部サイトへのフォワードプロキシとしてファイアウォールを信頼できますたとえばクライアントが SSL サイトにアクセスするとファイアウォールはまずそのサイトに接続し証明書を検証します次にファイアウォールはそのクライアントの証明書を作成しますクライアントはファイアウォールを CA として信頼しているためクライアントブラウザは外部 Web サーバーから直接に証明書を使用しているかのようにして動作しますこれによりファイアウォールではサイトがクライアントに表示される前にトラフィックを復号化して検査できます同様に信頼されない転送証明書として生成された CA 証明書はファイアウォールが接続する先の Web サーバーで無効な証明書が使用されている場合にクライアントに対して証明書警告を表示するために使用されますこのセクションではファイアウォールで生成される自己署名証明書の使用についてのみ説明しパブリック CA によって外部で署名された証明書や内部の PKI インフラストラクチャによって生成される証明書の使用については説明しません 78 スタートガイド

81 脅威からのネットワークの防御セキュリティプロファイルとセキュリティポリシーのセットアップここでは復号化で必要な証明書のセットアップ手順について説明します証明書のセットアップステップ 1 ステップ 2 ステップ 3 新しい CA 証明書を生成します 1. [Device] > [ 証明書の管理 ] > [ 証明書 ] の順に移動します信頼された証明書の転送により 2. ウィンドウの下部にある [ 生成 ] をクリックしますファイアウォールではクライ 3. [ 証明書名 ] に my-fwd-trust などの名前を入力しますアントの接続先サーバーがファイアウォールの信頼された CA などの [ 共通名 ] を入力します(これはリストに含まれる CA によって証明書に表示される IP または FQDN ですこの場合は署名される場合復号化中にクラ信頼できるインターフェイスの IP を使用しますこのイアントに対してその証明書をフィールドではスペースを使用しないでください) 示すことができますこの場合 5. [ 署名者 ] フィールドは空白のままにしますはフォワードプロキシの復号化中に使用される自己署名証明書を使用します 6. [ 認証局 ] チェックボックスをオンにして有効にしますこのチェックボックスをオンにするとファイアウォールで認証局 (CA)が作成されてクライアントのブラウザにインポートできるようになるためクライアントはそのファイアウォールを CA として信頼できます 7. [ 生成 ] をクリックして証明書を生成します 8. 新しい証明書 my-ssl-cert をクリックして変更し [ 信頼された証明書の転送 ] オプションを有効にします 9. [OK] をクリックして保存します信頼されない証明書の転送を設定します信頼されない証明書の転送によりファイアウォールではファイアウォールの信頼された CA リストに含まれていない CA によって署名された証明書を使用するサイトにクライアントが接続するときに別の証明書を示すことができますこれにより無効な証明書を使用するサイトの場合にクライアントに証明書警告が表示されます次のセクションに移動し SSL アウトバウンド復号ポリシーを作成します 80 ページのアウトバウンド復号ポリシーのセットアップを参照してください 1. 証明書ページの下部にある [ 生成 ] をクリックします 2. [ 証明書名 ] に my-fwd-untrust などの名前を入力します 3. [ 共通名 ] をたとえばに設定します [ 署名者 ] は空白のままにします 4. [ 認証局 ] チェックボックスをオンにして有効にします 5. [OK] をクリックして保存します 6. 新しい my-ssl-fw-untrust 証明書をクリックして変更し [ 信頼されない証明書の転送 ] オプションを有効にします 7. [OK] をクリックして保存します 8. 各クライアントブラウザではブラウザの信頼されたルート CA リストに信頼された転送証明書をインポートしておくことが必要になりますこの処理は通常グループポリシー等を使用して行われます無効な証明書があるサイトについての警告がクライアントに表示されても問題ないという場合は転送証明書をブラウザにインポートする必要はありませんスタートガイド 79

82 セキュリティプロファイルとセキュリティポリシーのセットアップ脅威からのネットワークの防御アウトバウンド復号ポリシーのセットアップここでは SSL アウトバウンド復号ポリシーのセットアップで必要な手順について説明しますこのポリシーはフィルタを適用したり暗号化されたトラフィックで脅威を識別したりするためアウトバウンドトラフィックを復号するときに使用されます SSL アウトバウンド復号ポリシーのセットアップステップ 1 復号ポリシーを設定します 1. [Policies] > [ 復号 ] の順に移動します 2. [ 追加 ] をクリックしてすべてのトラフィックを復号する復号ポリシーを設定しますステップ 2 復号オプションを設定します 1. [ 全般 ] タブで [ 名前 ] を Decrypt_All_Traffic などに設定します 2. ( 任意 ) 任意の [ 内容 ] を入力します 3. ( 任意 )[ タグ ] を入力します (ポリシータグはポリシーをソートまたはフィルタリングできるようにするキーワードまたはフレーズですこれは定義したポリシーの数が多く特定のキーワードでタグ付けされているポリシーを表示するような場合に便利ですたとえば特定のセキュリティポリシーに Inbound to DMZ というタグを付けたり復号ポリシーに Decrypt と No-decrypt という語のタグを付けたり特定のデータセンターの場所に関連付けられたポリシーにはそのデータセンターの名前を使用したりすることができます ) 4. [ 送信元 ] タブの [ 送信元ゾーン ] で [ 追加 ] をクリックし [trust] ゾーンを選択します 5. [ 宛先 ] タブの [ 宛先ゾーン ] で [ 追加 ] をクリックし [untrust] ゾーンを選択します 6. [URL カテゴリ ] タブで [ いずれか ] のままにするとすべてのトラフィックを復号化しますプロファイルを特定の Web サイトカテゴリに適用する場合は [ 追加 ] をクリックして URL カテゴリを 1 つ選択します特定のアプリケーション通信に対する SSL 復号化を無効にする場合は新しい復号プロファイルを作成し [ 宛先 ] タブでそのアプリケーションサーバーの IP アドレスを入力し [ オプション ] タブで [ 復号なし ] をオンにして [SSL フォワードプロキシ ] タイプを選択する必要がありますこの復号ポリシーはドラッグアンドドロップにより復号ポリシーリストの中で必ず他の復号ポリシーよりも上になるようにしてください 80 スタートガイド

83 脅威からのネットワークの防御セキュリティプロファイルとセキュリティポリシーのセットアップ SSL アウトバウンド復号ポリシーのセットアップ( 続き) ステップ 2 ( 続き) ステップ 3 復号オプションを設定します設定を [Commit] します 7. [ オプション ] タブで [ アクション ] として [ 復号 ] をオンにし [ タイプ ] として [SSL フォワードプロキシ ] を選択します 8. [ 復号プロファイル] の設定は [None] のままにします復号プロファイルによりポリシーを使用して SSL フォワードプロキシ SSL インバウンドインスペクションおよび SSH トラフィックにおける復号動作を細かく制御することができます詳細については Palo Alto Networks 管理者ガイドを参照してください 9. [OK] をクリックして保存しますステップ 4 これで復号化が有効になります次に信頼された転送証明書 (この例では my-ssl-cert)をエクスポートしすべてのユーザーに配布してユーザーのブラウザの信頼された CA リストにその証明書を追加する必要がありますこれは通常 Active Directory ポリシーを使用して処理されますこの処理を行わない場合ユーザーにはアクセスする SSL サイトごとに証明書の警告が表示されます設定をテストするには復号ポリシーを無効にしてに移動し Anti Malware Test File をダウンロードします eicar テストファイルとして HTTPS バージョンをダウンロードしますマルウェアは検出されません復号ファイルを有効にして再試行すると今度はウィルスが検出されるはずですスタートガイド 81

84 セキュリティプロファイルとセキュリティポリシーのセットアップ脅威からのネットワークの防御アンチウィルスアンチスパイウェアおよび脆弱性防御のセットアップここではアンチウィルスアンチスパイウェアおよび脆弱性防御のデフォルトプロファイルをセットアップするために必要な手順について説明しますこれらの機能は使用目的が非常によく似ているためここではデフォルトのプロファイルを有効にするために必要な一般手順のみを示しますアンチスパイウェアと脆弱性防御のすべてのシグネチャには Palo Alto Networks によってデフォルトのアクションが定義されていますデフォルトのアクションを確認するには [Objects] > [ セキュリティプロファイル ] >([ アンチスパイウェア ] または [ 脆弱性防御 ])の順に選択しプロファイルを選択します [ 例外 ] タブをクリックして [ すべてのシグネチャの表示 ] をオンにすると [ アクション ] 列にデフォルトアクションを表示したシグネチャのリストが表示されますデフォルトアクションを変更するには新しいプロファイルを作成してからデフォルト以外のアクションが設定されたルールを作成するかプロファイルの [ 例外 ] タブで個々のシグネチャ例外を追加しますアンチウィルス / アンチスパイウェア / 脆弱性防御のセットアップステップ 1 脅威防御ライセンスがあることを確認します脅威防御ライセンスでは 1 つのライセンスにアンチウィルスアンチスパイウェアおよび脆弱性防御の全機能をバンドルしています [Device] > [ライセンス] の順に移動して [ 脅威防御 ] ライセンスがインストールされていることを検証し有効期限を確認しますステップ 2 最新のアンチウィルス脅威シグネチャをダウンロードします 1. [Device] > [ ダイナミック更新 ] の順に移動しページの下部にある [ 今すぐチェック ] をクリックして最新のシグネチャを取得します 2. [ アクション ] 列で [ ダウンロード ] をクリックして最新のシグネチャをインストールしますこのページには [ アンチウィルス ] と [ アプリケーションおよび脅威 ] のセクションが別々に表示されます [ アンチウィルス ] セクションにはアンチウィルスのシグネチャが表示され [ アプリケーションおよび脅威 ] セクションには Palo Alto Networks が識別できるサポートアプリケーションとともにアンチスパイウェアと脆弱性防御のシグネチャが表示されます 82 スタートガイド

85 脅威からのネットワークの防御セキュリティプロファイルとセキュリティポリシーのセットアップアンチウィルス / アンチスパイウェア / 脆弱性防御のセットアップ( 続き) ステップ 3 シグネチャの更新をスケジュールします 1. [Device] > [ ダイナミック更新 ] の順に選択し [ スケジュール ] の右側にあるテキストをクリックして [ アンチウィルス ] と [ アプリケーションおよび脅威 ] のシグネチャ更新を自動的に取得します 2. 更新の頻度とタイミングを指定し更新ファイルをダウンロードしてインストールするのかまたはダウンロードのみを行うのかを指定します [ ダウンロードのみ ] をオンにする場合は定期的に手動でページを開き [ アクション ] 列の [ インストール ] リンクをクリックしてシグネチャをインストールする必要があります [OK] をクリックすると更新がスケジュールされますコミットは必要ありません 3. ( 任意 )[ しきい値 ] フィールドに時間数を入力してダウンロードが実行されるまでのシグネチャの最小存続時間を指定することもできますたとえば 10 と入力するとそのシグネチャはスケジュールに関係なくダウンロードされるまでに少なくとも 10 時間は存続する必要があります 4. HA 設定では [ ピアと同期 ] オプションをクリックしてダウンロード / インストールの後にコンテンツタイプと HA ピアを同期することもできますこれによってスケジュール設定がピアデバイスにプッシュされることはないため各デバイスでスケジュールを設定する必要がありますアンチウィルススケジュールのベストプラクティスアンチウィルスシグネチャの更新スケジュールとして一般的な推奨設定はアンチウィルスの場合には毎日アプリケーションおよび脆弱性の場合には毎週 [download-and-install] を実行することです HA 設定の場合の推奨設定は次のとおりですアクティブ / パッシブの HA アンチウィルスのシグネチャのダウンロードで MGT ポートを使用する場合は両方のデバイスでスケジュールを設定し両方のデバイスが別々にダウンロード / インストールを実行するようにしてくださいダウンロードでデータポートを使用する場合パッシブデバイスはパッシブ状態になっている間ダウンロードを実行しませんこの場合は両方のデバイスでスケジュールを設定して [ ピアと同期 ] オプションを選択しますこれによりどちらのデバイスがアクティブであっても更新処理が実行されパッシブデバイスにプッシュされるようにしますアクティブ / アクティブの HA 両方のデバイスでアンチウィルスのシグネチャのダウンロードに MGT ポートを使用する場合は両方のデバイスでダウンロード / インストールをスケジュールしますが [ ピアと同期 ] オプションは選択しませんデータポートを使用する場合は両方のデバイスでシグネチャのダウンロードをスケジュールし [ ピアと同期 ] を選択しますこれによりアクティブ / アクティブ設定の 1 つのデバイスがアクティブなセカンダリ状態になった場合でもそのアクティブデバイスがシグネチャをダウンロード / インストールしてからアクティブなセカンダリデバイスにシグネチャをプッシュするようにしますスタートガイド 83

86 セキュリティプロファイルとセキュリティポリシーのセットアップ脅威からのネットワークの防御アンチウィルス / アンチスパイウェア / 脆弱性防御のセットアップ( 続き) ステップ 4 セキュリティプロファイルをセキュリティポリシーに適用します 1. [Policies] > [ セキュリティ] の順に移動し適切なポリシーを選択して変更し [ アクション ] タブをクリックします 2. [ プロファイル設定 ] リストで有効にする各セキュリティプロファイルの横にあるドロップダウンをクリックしますこの例では [ アンチウィルス ] [ 脆弱性防御 ] および [ アンチスパウェア ] のデフォルトを選択します前にセキュリティプロファイルを定義したことがない場合は [ プロファイルタイプ ] ドロップダウンを選択し [ プロファイル ] を選択しますセキュリティプロファイルを選択するためのオプションの一覧が表示されますステップ 5 設定を [Commit] します 84 スタートガイド

87 脅威からのネットワークの防御セキュリティプロファイルとセキュリティポリシーのセットアップデータフィルタリングのセットアップここでは社会保障番号を検出するデータフィルタリングプロファイルと.doc および.docx ドキュメントで識別されるカスタムパターンを設定するために必要な手順について説明しますデータフィルタリングの設定例ステップ 1 データフィルタリングのセキュリティプロファイルを作成します 1. [Objects] > [セキュリティプロファイル] > [データフィルタリング ] の順に移動し [ 追加 ] をクリックします 2. プロファイルの名前と説明を入力しますこの例での名前は DF_Profile1 説明は Detect Social Security Numbers です 3. ( 任意 )フィルタによってブロックされるデータを収集する場合は [ データキャプチャ ] チェックボックスをオンにします注意データキャプチャ機能を使用する場合はパスワードを設定する必要があります詳細は以下の手順を参照してくださいステップ 2 ( 任意 )データフィルタリングログへのアクセスを保護し他の管理者が機密データを表示できないようにします 1. [Device] > [ セットアップ ] > [Content-ID] の順に移動します 2. [Content-ID 機能 ] セクションで [ データ保護の管理 ] をクリックします 3. データフィルタリングログを表示するために必要なパスワードを設定しますこのオプションを設定しているときに [Monitor] > [ ログ ] > [ データフィルタリング ] の順に選択してログを表示するとフィルタリングをトリガーした最初のパケットを示す緑の矢印が表示されますパケットキャプチャはそれに続いて実行され定義したパスワードを入力することによってのみ表示できますパケットキャプチャを表示するにはログエントリの最初の列にあるアイコンをクリックして [ ログ詳細 ] ウィンドウを表示します下部の [ 関連ログ ] セクションで緑の矢印があるログが表示されるまでスクロールしその緑の矢印をクリックしますパスワードを入力するよう求められますパスワードを入力してキャプチャパケットを表示しますスタートガイド 85

セキュリティプロファイルとセキュリティポリシーのセットアップ脅威からのネットワークの防御データフィルタリングの設定例 ( 続き) ステップ 3 データフィルタリングプロファイルで使用されるデータパターンを定義しますこの例ではキーワードとして confidential を使用しダッシュ付きの SSN 番号 ( 例 -

[ データフィルタリングプロファイル ] ページで [ 追加 ] をクリックし [ データパターン ] ドロップダウンで [ 新規 ] をクリックします [Objects] > [ カスタムシグネチャ ] > [ データパターン ] からデータパターンを設定することもできます 2.

88 セキュリティプロファイルとセキュリティポリシーのセットアップ脅威からのネットワークの防御データフィルタリングの設定例 ( 続き) ステップ 3 データフィルタリングプロファイルで使用されるデータパターンを定義しますこの例ではキーワードとして confidential を使用しダッシュ付きの SSN 番号 ( 例 ) を検索するオプションを設定します適切なしきい値を設定しドキュメント内のキーワードを定義すると誤検知を減らすのに有効です以下の手順を実行します 1. [ データフィルタリングプロファイル ] ページで [ 追加 ] をクリックし [ データパターン ] ドロップダウンで [ 新規 ] をクリックします [Objects] > [ カスタムシグネチャ ] > [ データパターン ] からデータパターンを設定することもできます 2. この例ではデータパターンシグネチャに Detect SS Numbers という名前を付け Data Pattern to detect Social Security numbers という説明を追加します 3. [ 重み ] セクションの [SSN 番号 ] に 3 と入力します 75 ページの重み値としきい値を参照してください 4. ( 任意 )このプロファイルが適用される [ カスタムパターン ] を設定することもできますこの場合はカスタムパターンの [ 正規表現 ] フィールドでパターンを指定し重みを設定します照合する正規表現を同じデータパターンプロファイルに複数追加できますこの例ではカスタムパターンが confidential (パターンの大文字と小文字は区別されます)で SSN_Custom という名前の [ カスタムパターン ] を作成し重みとして 20 を使用しますこの例で confidential という語を使用するのは社会保障の Word ドキュメントにこの語が含まれているからですそのためこの語を特に定義します 86 スタートガイド

89 脅威からのネットワークの防御セキュリティプロファイルとセキュリティポリシーのセットアップデータフィルタリングの設定例 ( 続き) ステップ 4 フィルタリングするアプリケーションを指定しファイルタイプを設定します 1. [ アプリケーション ] を [ いずれか ] に設定しますこれによりたとえば web-browsing FTP SMTP などのサポートされるアプリケーションがすべて検出されますアプリケーションを絞り込むにはリストから対象を選択します SSL を使用する Microsoft Outlook Web App などのアプリケーションの場合は復号化を有効にする必要がありますまた各アプリケーションの表示名について理解しておくことも必要ですたとえば Outlook Web App はこのアプリケーションの Microsoft 名ですが PAN-OS のアプリケーションリストでは outlook-web アプリケーションとして示されます所定のアプリケーションのログを調べ PAN-OS で定義されている名前を識別できます 85 ページのデータフィルタリングのセットアップを参照してください 2. [ ファイルタイプ] を [doc] と [docx] に設定しますこれにより doc ファイルと docx ファイルのみがスキャンされますステップ 5 フィルタリングするトラフィックの方向としきい値を指定します 1. [ 方向 ] を [both] に設定しますアップロードまたはダウンロードされるファイルがスキャンされます 2. [ アラートしきい値 ] を 35 に設定しますこの場合社会保障番号が 5 インスタンス confidential という単語が 1 インスタンス存在するとアラートがトリガーされます式に当てはめると重みが 3 の SSN インスタンスが 5 つで 15 重みが 20 の単語 confidential のインスタンスが 1 つで 20 となり合計で 35 となります 3. [ ブロックしきい値 ] を 50 に設定しますファイルでの SSN インスタンスまたは単語 confidential のインスタンスの合計数がしきい値の 50 になるとそのファイルはブロックされますたとえば doc 内に重みが 20 の単語 confidential が 1 インスタンス含まれ(しきい値の 20 に相当 ) 重みが 3 の社会保障番号が 15 インスタンス含まれ(しきい値の 45 に相当 )ているとしますこの場合は 20 と 45 を加算して 65 となりブロックしきい値 50 を超えますスタートガイド 87

セキュリティプロファイルとセキュリティポリシーのセットアップ脅威からのネットワークの防御データフィルタリングの設定例 ( 続き) ステップ 6 データフィルタリングプロファイルをセキュリティルールに適用します 1. [Policies] > [ セキュリティ ] の順に移動し適切なセキュリティポリシーを選択します 2.

90 セキュリティプロファイルとセキュリティポリシーのセットアップ脅威からのネットワークの防御データフィルタリングの設定例 ( 続き) ステップ 6 データフィルタリングプロファイルをセキュリティルールに適用します 1. [Policies] > [ セキュリティ ] の順に移動し適切なセキュリティポリシーを選択します 2. セキュリティプロファイルルールをクリックして変更し次に [ アクション ] タブをクリックします [ データフィルタリング ] ドロップダウンで作成した新しいデータフィルタリングプロファイルを選択し [OK] をクリックして保存しますこの例でのデータフィルタリングルール名は DF_Profile1 ですこの例ではセキュリティルールがすでに作成されており信頼されたゾーンから信頼されないゾーンへのアウトバウンドトラフィックがすべて許可され信頼されないゾーンから信頼されたゾーンへのインバウンドトラフィックはすべてブロックされます基本セキュリティポリシーの設定についての詳細は 57 ページのセキュリティルールの作成を参照してくださいステップ 7 設定を [Commit] します 88 スタートガイド

91 脅威からのネットワークの防御セキュリティプロファイルとセキュリティポリシーのセットアップデータフィルタリングの設定例 ( 続き) ステップ 8 データフィルタリング設定をテストしますテストでは実際の社会保障番号を使用し各番号は一意である必要がありますまたこの例で単語 confidential を使用してカスタムパターンを定義したのと同様にパターンでは大文字と小文字が区別されますテストを簡易に保つため最初はデータパターンだけを使用してテストし次に SSN をテストすることができます 1. ファイアウォールの信頼されたゾーンにあるクライアント PC にアクセスしフィルタリングする情報の適切なインスタンスを含んだ.doc または.docx ファイルを HTTP を使用してアップロードします 2. 単語 confidential を 1 インスタンスとダッシュ付き社会保障番号を 5 インスタンス含んだ Microsoft Word ドキュメントを作成します 3. ファイルを Web サイトにアップロードします復号化を設定していない場合を除いて HTTP を使用します設定していない場合は HTTPS を使用できます 4. [Monitor] > [ ログ ] > [ データフィルタリング ] ログの順に移動します 5. アップロードしたファイルの [ データフィルタリング ] ログにクライアント PC の送信元および Web サーバーの宛先と一緒にアラートが表示されログの [ アクション ] 列に reset-both と表示されますこれでドキュメント内の社会保障番号の数を増やしてブロックしきい値をテストできますデータフィルタリングが正常に機能しない場合はデータフィルタリングログまたはトラフィックログを調べてテスト対象のアプリケーションを検証しテストドキュメントに適切な数の一意の社会保障番号インスタンスが含まれていることを確認してくださいたとえば Microsoft Outlook Web App のようなアプリケーションが web-browsing として識別されているように見えてもログを見るとそのアプリケーションは outlook-web になっていますまた SSN の数やカスタムパターンを増やし必ずしきい値に到達するようにしてくださいスタートガイド 89

92 セキュリティプロファイルとセキュリティポリシーのセットアップ脅威からのネットワークの防御ファイルブロッキングのセットアップこの例を使用してファイルブロッキングのセットアップに必要な基本手順について説明しますこの設定では Web サイトから.exe ファイルをダウンロードする前に続行するよう求めるプロンプトをユーザーに表示するために必要なオプションを設定しますこの例のテストでは送信元との間にコンテンツをブロックしている他のシステムが存在する可能性があることに注意してくださいファイルブロッキング設定ステップ 1 ステップ 2 ファイルブロッキングプロファイルを作成しますファイルブロッキングのオプションを設定します 1. [Objects] > [ セキュリティプロファイル ] > [ ファイルブロッキング ] の順に移動し [ 追加 ] をクリックします 2. この例では [ 名前 ] を Block_EXE とし Block.exe files from being downloaded from websites という説明を入力します 1. [ 追加 ] をクリックしてプロファイル設定を定義します 2. [ 名前 ] に BlockEXE などと入力します 3. この例では [ アプリケーション ] を [web-browsing] に設定します 4. [ ファイルタイプ ] を [exe] に設定します 5. [ 方向 ] を [download] に設定します 6. [ アクション ] を [continue] に設定します [continue] オプションを選択することにより応答ページでファイルをダウンロードするために [ 続行 ] をクリックするようユーザーに求めるプロンプトが表示されます 7. [OK] をクリックして保存します 90 スタートガイド

93 脅威からのネットワークの防御セキュリティプロファイルとセキュリティポリシーのセットアップファイルブロッキング設定 ( 続き) ステップ 3 ステップ 4 ステップ 5 ファイルブロッキングプロファイルをセキュリティポリシーに適用します設定を [Commit] します 1. [Policies] > [ セキュリティ] に移動します既存のポリシーを選択するか新しいポリシーを作成します 57 ページのセキュリティルールの作成を参照してください 2. ポリシーを選択して [ アクション ] タブをクリックします 3. [ プロファイル設定 ] セクションでドロップダウンをクリックし設定したファイルブロッキングプロファイルを選択しますこの例でのプロファイル名は Block_EXE です前にセキュリティプロファイルを定義したことがない場合は [ プロファイルタイプ ] ドロップダウンを選択し [ プロファイル ] を選択しますセキュリティプロファイルを選択するためのオプションの一覧が表示されますファイルブロッキング設定をテストするにはファイアウォールの信頼されたゾーンのクライアント PC にアクセスし信頼されないゾーンの Web サイトから.exe ファイルのダウンロードを試みます応答ページが表示されます [ 続行 ] をクリックするとファイルがダウンロードされます次の図はファイルブロッキングのデフォルト応答ページのサンプルですスタートガイド 91

94 セキュリティプロファイルとセキュリティポリシーのセットアップ脅威からのネットワークの防御ファイルブロッキング設定 ( 続き) ステップ 6 continue アクションを選択したときにユーザーに表示されるカスタム応答ページを定義することもできますこれにより応答ページに表示される情報量を増やすことができます含めることができる情報はポリシーの情報やチケットシステムへのリンクなどですこのオプションは [Device] > [ 応答ページ ] にあります応答ページの作成および管理についての詳細は Palo Alto Networks 管理者ガイドのカスタム応答ページの定義セクションを参照してください付録 A( カスタムページ )には独自のページ作成に役立つデフォルトの応答ページすべての HTML コードが掲載されています注意アクションを [continue] または [continue-and-forward](wildfire 転送に使用される)のいずれかにしてファイルブロッキングプロファイルを作成する場合選択できるアプリケーションは web-browsing のみですその他のアプリケーションを選択するとユーザーに対して続行ページのプロンプトが表示されないためセキュリティポリシーに一致するトラフィックはファイアウォールを通過しませんまたテスト対象の Web サイトで HTTPS を使用している場合は復号ポリシーを設定する必要があります 85 ページのデータフィルタリングのセットアップを参照してくださいログを調べこの機能をテストするときに使用中のアプリケーションを確認することができますたとえば Microsoft Sharepoint を使用してファイルをダウンロードする場合は Web ブラウザを使用してそのサイトにアクセスするとしても実際のアプリケーションは sharepoint-base または sharepoint-document ですテストではアプリケーションタイプは [ いずれか ] に設定できます 92 スタートガイド

脅威からのネットワークの防御セキュリティプロファイルとセキュリティポリシーのセットアップ WildFire のセットアップこの例を使用して WildFire のセットアップで必要な基本手順と WildFire にファイルを送信して分析を行う場合に使用できる別の方法について説明します WILDFIRE 設定

95 脅威からのネットワークの防御セキュリティプロファイルとセキュリティポリシーのセットアップ WildFire のセットアップこの例を使用して WildFire のセットアップで必要な基本手順と WildFire にファイルを送信して分析を行う場合に使用できる別の方法について説明します WILDFIRE 設定ステップ 1 ステップ 2 デバイスが登録されており有効なサポートアカウントを保有していることを確認します WildFire ポータルオプションを設定します 1. Palo Alto Networks サポートサイトに移動しログインして [My Devices] をクリックします 2. 使用中のファイアウォールが [My Devices] リストに含まれていることを確認しますリストにない場合は 12 ページの Palo Alto Networks への登録を参照してください 1. ファイアウォールで [Device] > [ セットアップ ] > [WildFire] タブの順に移動します 2. WildFire サーバー( 現時点では default-cloud のみをサポート)を定義し転送される最大ファイルサイズを設定し WildFire ログに表示されるセッション情報を設定することができます以下にデフォルトの設定を示します注意 WildFire ポータル上のログまたはライセンス加入者のログを表示することができますログはファイアウォールで [Monitor] > [ ログ ] > [WildFire] の順に選択して表示することもできますスタートガイド 93

96 セキュリティプロファイルとセキュリティポリシーのセットアップ脅威からのネットワークの防御 WILDFIRE 設定 ( 続き) ステップ 3 WildFire ポータルへのファイルのアップロードを開始します Palo Alto Networks サポートにログイン可能な場合は以下のいずれかの方法でファイルを送信できます注意 WildFire にファイルをアップロードするために推奨される方法はファイルブロッキングプロファイルですファイルブロッキングプロファイルファイアウォールでファイルを WildFire システムに自動で転送できるようにするには 90 ページのファイルブロッキングのセットアップの説明に従ってファイルブロッキングプロファイルをセットアップします [Objects] > [ セキュリティプロファイル ] > [ ファイルブロッキング ] の順に移動し新しいプロファイルを作成するか既存のプロファイルに変更を加えます [ アクション ] 列でドロップダウンを選択して [forward] または [continue-and-forward] を選択しますこれらのアクションのいずれかを指定するとサポートされる各ファイルタイプが WildFire システムに転送されますサポートされているファイルタイプには Win32 Portable Executable(PE)ファイル(exe dll scr など)がありますオブジェクトプロファイルでファイルタイプに [PE] を選択すると Win32 PE のすべてのファイルタイプが処理対象になります 90 ページのファイルブロッキングのセットアップの説明に従ってファイルブロッキングプロファイルがセキュリティポリシーに適用されていることを確認してください手動アップロード [WildFire ポータル ] に移動し自分の Palo Alto Networks サポートアカウントでログインします [ ファイルのアップロード] ボタンをクリックしてファイルに移動し [ アップロード ] をクリックしますファイルがスキャンされ [ デバイス ] リストから結果を表示できます手動でアップロードされたファイルのリストを表示するには [ 手動 ] をクリックします API WildFire ライセンスがあれば WildFire API にアクセスすることができこれにより Palo Alto Networks ファイアウォールによる使用とは別にクラウド内の WildFire に対して外部プログラムからのアクセスが許可されます WildFire API は WildFire システムへのファイルの送信分析および過去に送信されたファイルのレポートを確認するために使用しますファイルのアップロードは毎日 100 ファイルまで WildFire ポータルへのクエリは毎日 1,000 回まで実行できます WildFire API Tech Note を参照してください 94 スタートガイド

97 脅威からのネットワークの防御セキュリティプロファイルとセキュリティポリシーのセットアップ WILDFIRE 設定 ( 続き) ステップ 4 WildFire ポータルを設定します 1. WildFire ポータルにログインしポータルページ右上のアカウント名の横にある [ 設定 ] リンクをクリックします 2. このページからタイムゾーンの設定 WildFire ログの削除および手動でアップロードされるファイルまたはスキャンされたファイルの状態 (マルウェアまたは安全 )に基づいて各デバイスによって送信されるファイルの電子メール通知の設定を行うことができますステップ 5 アップロードされたファイルの状態を確認します WildFire ライセンス加入者であればファイアウォールで WildFire ログを直接調べることもできます 1. WildFire ポータルから登録済みデバイスを確認します 2. アップロードされたファイルのリストおよびマルウェアに感染安全または未解決分析などのスキャン結果を表示するには特定のデバイスをクリックします WildFire ポータルおよび他の WildFire オプションについての詳細は Palo Alto Networks 管理者ガイドの WildFire の章を参照してください WildFire スキャンプロセスのフロー図については WildFire Decision Flow Tech Note を API についての詳細は WildFire API Tech Note を参照してください URL フィルタリングのセットアップこの例を使用して Palo Alto Networks URL フィルタリング(PAN-DB) 機能を設定するために必要な手順について説明します代替方法として使用可能な BrightCloud データベースについても説明します PAN-DB URL フィルタリング設定ステップ 1 URL フィルタリングのライセンス情報を確認します 1. PAN-DB ライセンスを取得してインストールします 2. [Device] > [ ライセンス ] ページに移動し [PAN-DB URL フィルタリング ] セクションで [ 有効期限 ] フィールドを見てライセンスが有効であることを確認しますスタートガイド 95

98 セキュリティプロファイルとセキュリティポリシーのセットアップ脅威からのネットワークの防御 PAN-DB URL フィルタリング設定 ( 続き) ステップ 2 ステップ 3 初期シードデータベースをダウンロードし PAN-DB URL フィルタリングをアクティベーションします PAN-DB をアクティベーションするにはまずシードデータベースをダウンロードする必要があります 1. [PAN-DB URL フィルタリング ] セクションの [Devices] > [ ライセンス ] で [ ダウンロードの状態 ] の横にある [ ダウンロード ] をクリックします 2. 現在位置の適切な領域を選択し [OK] をクリックしてダウンロードを開始します 3. [ アクティベーション ] リンクをクリックしますステップ 4 URL フィルタリングプロファイルをセットアップします注意 PAN-DB がすでにアクティブな URL フィルタリングベンダーになっているときに [ 再ダウンロード] をクリックするとデータプレーンと管理プレーンのキャッシュがクリアされてシードデータベースのエントリで置き換えられることにより PAN-DB が再アクティベーションされますデバイスを通過する Web トラフィックに基づいてカスタマイズされているキャッシュを失うことになるため必要時以外はこの操作を行わないでください再び BrightCloud に切り替えるには有効な BrightCloud ライセンスをまだ保有している場合には [BrightCloud URL フィルタリング ] セクションで [ アクティベーション ] をクリックしますこれにより PAN-DB が削除され BrightCloud が URL フィルタリングのアクティブなベンダーとなります再び PAN-DB に切り替えるには [PAN-DB URL フィルタリング ] セクションからもう一度シードデータベースをダウンロードして [ アクティベーション ] をクリックすることが必要になります URL ベンダーを切り換えるときにコミットする必要はありません 1. [Objects] > [ セキュリティプロファイル ] > [URL フィルタリング ] の順に移動し [ 追加 ] をクリックします 2. [ 名前 ] と [ 内容 ] を入力しますこの例では名前を Block_Shopping に説明を Block shopping sites にします 3. [ ライセンス有効期限のアクション ] はデフォルト値の許可のままにします URL フィルタリングライセンスが期限切れになるとショッピングサイトが許可されます (BrightCloud のみ) 96 スタートガイド

99 脅威からのネットワークの防御セキュリティプロファイルとセキュリティポリシーのセットアップ PAN-DB URL フィルタリング設定 ( 続き) ステップ 5 ( 任意 )ダイナミック URL フィルタリングを有効または無効にします BrightCloud を使用する場合はダイナミック URL フィルタリングを有効または無効にすることができますこのオプションが有効な場合デバイスではクラウド URL データベースにクエリすることができます PAN-DB の場合このオプションはデフォルトで有効にされており設定できませんステップ 6 ( 任意 )URL フィルタリングポリシーで URL カテゴリの場合にオーバーライドアクションを定義するとユーザーがそのカテゴリの URL にアクセスするときにプロンプトが表示されます管理者が認証情報を入力することができユーザーは設定された一定時間の間このタイプのカテゴリを表示できますステップ 7 ( 任意 )ブロックリストと許可リストを定義します 1. [Device] > [ セットアップ ] > [ コンテンツ ID] タブの順に移動します 2. [URL 管理オーバーライド ] セクションで [ 追加 ] をクリックしてパスワードを設定します 3. デフォルトのオーバーライド期間 15 分を使用するか [URL 管理オーバーライドタイムアウト ] フィールドでカスタム値を設定できますたとえば 60 分に設定するとログイン認証情報を入力した後ユーザーはブロックされたカテゴリの任意のサイトに 60 分間アクセスできます 4. パスワードを設定するときには [ 透過的 ] または [ リダイレクト ] を選択できますこれによりブロックページが透過的に配信されるか ( ブロックされた Web サイトから発信したように見える ) 指定したサーバーにユーザーをリダイレクトするかを決定します [ リダイレクト ] を選択した場合はリダイレクトするための IP アドレスを入力しますブロックリストの場合は次のアクションを設定できますブロック URL をブロックします続行ユーザーに対して応答ページが表示されます [ 続行 ] をクリックすると Web ページが開きます応答ページはカスタマイズすることもできますアラート定義されたカテゴリの Web サイトごとにアラートがログに記録されますスタートガイド 97

100 セキュリティプロファイルとセキュリティポリシーのセットアップ脅威からのネットワークの防御 PAN-DB URL フィルタリング設定 ( 続き) ステップ 8 カテゴリを選択します 1. カテゴリのリストで shopping までスクロールしてチェックボックスをオンにします 2. [ アクション ] 列で [block] を選択し [OK] をクリックして変更を保存しますステップ 9 プロファイルをセキュリティポリシーに適用します 1. [Policies] > [ セキュリティ ] に移動します 2. 変更したいポリシー名を選択し次に [ アクション ] タブをクリックします 3. [ プロファイル設定 ] リストで [URL フィルタリング ] の横にあるドロップダウンをクリックしますこの例でのプロファイル名は Block_Shopping です 4. [OK] をクリックして保存します注意前にセキュリティプロファイルを定義したことがない場合は [ プロファイルタイプ ] ドロップダウンを選択し [ プロファイル ] を選択しますセキュリティプロファイルを選択するためのオプションの一覧が表示されますステップ 10 設定を [Commit] します 98 スタートガイド

101 脅威からのネットワークの防御セキュリティプロファイルとセキュリティポリシーのセットアップ PAN-DB URL フィルタリング設定 ( 続き) ステップ 11 URL フィルタリングをテストするにはセキュリティポリシーが適用されるゾーンにあるクライアント PC からショッピング Web サイトへのアクセスを試みますこの例ではデフォルトの URL フィルタリング応答ページが表示されます URL フィルタリングのデフォルト応答ページのサンプルを示しますステップ 12 continue アクションを選択したときにユーザーに表示されるカスタム応答ページを定義することもできますこれにより応答ページに表示される情報量を増やすことができます含めることができる情報は会社毎のポリシーの情報や社内 IT サポート部門へのリンクなどですこのオプションは [Device] > [ 応答ページ ] にあります応答ページの作成および管理についての詳細は Palo Alto Networks 管理者ガイドのカスタム応答ページの定義セクションを参照してください付録 A( カスタムページ )には独自のページ作成に役立つデフォルトの応答ページすべての HTML コードが掲載されています PAN-DB URL フィルタリングについての詳細は URL Filtering (PAN-DB) Tech Note を参照してください BrightCloud を使用した URL フィルタリングについての詳細は URL Categorization Components and Process Tech Note を参照してくださいスタートガイド 99

102 セキュリティプロファイルとセキュリティポリシーのセットアップ脅威からのネットワークの防御 100 スタートガイド

103 4 ユーザー ID の設定ユーザー ID (User-ID) は Palo Alto Networks の次世代ファイアウォールの機能の 1 つで個々の IP アドレスではなくユーザーおよびグループに基づきポリシーを作成してレポートを実行できますここでは Palo Alto Networks の User-ID 機能とユーザーおよびグループベースのアクセスを設定する方法について説明しますユーザー ID の概要ユーザー ID の有効化ユーザーおよびグループベースのポリシーを有効にする User-ID 設定の確認スタートガイド 101

104 ユーザー ID の概要ユーザー ID の設定ユーザー ID の概要 User-ID は Palo Alto Networks のファイアウォールとさまざまな企業ディレクトリおよび端末サービスをシームレスに統合することによりアプリケーションの動作とセキュリティポリシーを IP アドレスだけでなくユーザーおよびグループに結合させることができます Palo Alto Networks の次世代ファイアウォールでは以下の企業向けサービスをサポートしています Microsoft Active Directory LDAP Novell edirectory Citrix Metaframe Presentation Server または XenApp Microsoft Terminal Services ユーザーおよびグループに基づいてポリシーを作成できるようにするにはファイアウォールでポリシーを定義するときに使用可能なすべてのユーザーと対応するグループを選択できるマッピングのリストが必要ですこのリストでは LDAP ディレクトリサーバーに直接接続して情報を取得しますユーザーおよびグループベースのポリシーを実施できるようにするにはファイアウォールで受信するパケットの IP アドレスをユーザー名にマッピングできる必要がありますこの情報を取得するには Windows サーバーにインストールされた User-ID エージェントから直接取得するか Microsoft Exchange Server またはドメインコントローラのイベントログでログオンイベントをモニタリングするか Novell edirectory のログイン情報をモニタリングするかまたはクライアントシステムを直接プローブします以下ではグループマッピングおよびユーザーマッピングの機能について詳しく説明します 102 スタートガイド

ユーザー ID の設定ユーザー ID の概要グループマッピングについてユーザーまたはグループに基づいてセキュリティポリシーを定義するにはファイアウォールでグループとそれに対応するメンバーのリストをディレクトリサーバーから取得する必要がありますこの機能を有効にするには LDAP サーバープロファイルを作成する必要

105 ユーザー ID の設定ユーザー ID の概要グループマッピングについてユーザーまたはグループに基づいてセキュリティポリシーを定義するにはファイアウォールでグループとそれに対応するメンバーのリストをディレクトリサーバーから取得する必要がありますこの機能を有効にするには LDAP サーバープロファイルを作成する必要がありますこのプロファイルからファイアウォールに対してサーバーへの接続および認証方法とディレクトリでユーザーおよびグループの情報を検索する方法に関する命令が行われます LDAP サーバーへの接続が確立されグループとユーザー ID のマッピング機能を設定するとセキュリティポリシーを定義するときにユーザーまたはグループを選択できるようになりますファイアウォールでは Microsoft Active Directory (AD) Novell edirectory Sun ONE Directory Server などさまざまな LDAP ディレクトリサーバーがサポートされていますユーザーマッピングについてユーザーおよびグループに名前がついているだけではパズルの 1 ピースにすぎませんファイアウォールではセキュリティポリシーを正しく実施するためにもどの IP アドレスがどのユーザーにマッピングされるかを知る必要がありますこのようなユーザーマッピングを行うには User-ID エージェントを設定する必要があります User-ID エージェントはドメインの Windows サーバーにエージェントソフトウェアをインストールするかまたはファイアウォールでネイティブのエージェントを有効にすることで使用できますマッピングを入手する方法は以下のいずれかです Microsoft Exchange Server ドメインコントローラまたは Novell edirectory サーバーのセキュリティイベントログでログオンイベントをモニタリングしますたとえば AD 環境の場合エージェントがセキュリティログで Kerberos チケットの許可または更新 Exchange Server へのアクセス ( 設定されている場合 ) ファイルおよび印刷サービスの接続 ( モニタリング対象のサーバー ) などをモニタリングしますこれらのイベントをセキュリティログに記録するにはアカウントのログオン完了イベントを記録するように AD ドメインを設定する必要がありますスタートガイド 103

106 ユーザー ID の概要ユーザー ID の設定 Microsoft Windows 環境では Windows Management Instrumentation (WMI) または NetBIOS を使用してクライアントシステムをプローブするようにエージェントを設定できますプローブを有効にするとエージェントが取得した IP アドレスを定期的にプローブし ( デフォルトは 20 分ですがこの設定は変更できます ) 同じユーザーがログオンし続けていることを確認できますさらにファイアウォールでユーザーにマッピングされていない IP アドレスが見つかった場合エージェントにそのアドレスが送信され直ちにプローブが実行されます Microsoft Terminal Server や Citrix 環境などマルチユーザーシステム環境の場合多くのユーザーが同じ IP アドレスを共有しますこのような場合ユーザー対 IP アドレスのマッピングプロセスでクライアントごとの送信元ポートの情報が必要となりますこのタイプのマッピングを実行するには Windows Terminal Server/Citrix のターミナルサーバー自体に Palo Alto Networks Terminal Services Agent をインストールしさまざまなユーザープロセスに対する送信元ポートの割り当てを仲介する必要がありますモバイルユーザーやローミングユーザーの場合 GlobalProtect クライアントからユーザーマッピング情報がファイアウォールに直接提供されます GlobalProtect の設定の詳細は Palo Alto Networks 管理者ガイドの第 9 章を参照してくださいユーザーがログインしていない場合やドメインサーバーでサポートされていない Linux などのオペレーティングシステムを使用している場合など User-ID エージェントのファイアウォールで IP アドレスとユーザーをマッピングできない場合キャプティブポータルを設定できますキャプティブポータルを設定するとキャプティブポータルのポリシーと一致する Web トラフィック (HTTP または HTTPS) でユーザー認証が必要となりますユーザー認証は NT LAN Manager (NTLM) からブラウザへの認証チャレンジを透過的に行うかまたはユーザーを Web 認証フォームにリダイレクトして RADIUS LDAP Kerberos またはローカル認証データベースに対する認証をアクティブに行うかまたはクライアント証明書による認証を使用して行いますサードパーティの VPN ソリューションから接続するユーザーや 802.1x 対応のワイヤレスネットワークに接続するユーザーのマッピングを追加する場合など標準的なユーザーマッピングまたはキャプティブポータルの手法ではマッピングできない他のタイプのユーザーアクセスの場合については PAN-OS XML-based REST API Usage Guide (PAN-OS XML ベースの REST API 利用ガイド ) を参照してください 104 スタートガイド

107 ユーザー ID の設定ユーザー ID の有効化以下の図にユーザーおよびグループをネットワーク上で識別するのに使用できるさまざまな方法を示しますユーザー ID の有効化ユーザーまたはグループに基づくポリシーの適用を可能にするには以下のタスクを実行する必要がありますユーザー対グループのマッピング IP アドレス対ユーザーのマッピングユーザーおよびグループベースのポリシーを有効にするユーザー対グループのマッピング以下の手順により LDAP ディレクトリに接続しファイアウォールでユーザー対グループのマッピング情報を取得できるようにしますスタートガイド 105

108 ユーザー ID の有効化ユーザー ID の設定ユーザー対グループのマッピングステップ 1 LDAP サーバープロファイルを作成しファイアウォールがグループのマッピング情報の取得に使用するディレクトリサーバーへの接続方法を指定します 1. [Device] > [ サーバープロファイル ] > [LDAP] の順に選択します 2. [ 追加 ] をクリックしプロファイルの [ 名前 ] を入力します 3. ( 任意 )[ 場所 ] ドロップダウンからこのプロファイルの適用先となる仮想システムを選択します 4. [ 追加 ] をクリックして新しい LDAP サーバーのエントリを追加し [ サーバー ] フィールドにサーバーを識別できる名前 (1-31 文字 ) を入力し IP アドレスを [ アドレス ] フィールドにポート番号を [ ポート ] フィールドにそれぞれ入力しますファイアウォールではこれらの情報を使用して LDAP サーバーに接続します (LDAP のデフォルトのポート番号は 389 LDAP over SSL は 636 です ) プロファイルに追加できる LDAP サーバーは最大 4 つですがプロファイルに追加するサーバーはすべて同じタイプのものでなければなりません冗長性を確保するために 2 つ以上のサーバーを追加することをお勧めします 5. LDAP のドメイン名を [ ドメイン ] フィールドに入力するとサーバーから取得したすべてのオブジェクトの先頭にこのドメイン名が追加されますここで入力する値は導入タイプにより異なります - Active Directory を使用している場合は FQDN ではなく NetBIOS のドメイン名 ( 例 : acme.com ではなく acme) を入力する必要がありますデータを複数のドメインから収集する必要がある場合はサーバープロファイルを個別に作成する必要がありますドメイン名は自動的に決定することもできますができるだけ手動で入力することをお勧めします - グローバルカタログサーバーを使用している場合このフィールドは空白のままにしておきます 6. [ タイプ ] フィールドで接続先となる LDAP サーバーを選択します選択したタイプに基づきグループマッピングの値が自動的に入力されますただし LDAP スキーマをカスタマイズしている場合デフォルトの設定を変更する必要があります 7. [ ベース ] フィールドでファイアウォールが LDAP ツリー内でユーザーおよびグループの情報検索を開始するポイントを指定します 8. LDAP ツリーにバインドする認証情報を [ バインド DN] [ バインドパスワード ] [ 再入力バインドパスワード ] の各フィールドに入力しますバインド DN はユーザープリンシパル名 (UPN) 形式 ( 例 : administrator@acme.local) または LDAP の完全修飾名 ( 例 : cn=administrator,cn=users,dc=acme,dc=local) のどちらかになります 9. ファイアウォールから安全な接続を介して LDAP サーバーとの通信を行う場合は [SSL] チェックボックスをオンにします [SSL] を有効にする場合は適切なポート番号が指定されていることを確認する必要があります 106 スタートガイド

ユーザー ID の設定ユーザー ID の有効化ユーザー対グループのマッピング( 続き) ステップ 2 LDAP サーバープロファイルを User-ID のグループマッピング設定に追加します 1. [Device] > [ ユーザー ID] > [ グループマッピング設定 ] の順に選択し [ 追加 ] をクリックします 2.

109 ユーザー ID の設定ユーザー ID の有効化ユーザー対グループのマッピング( 続き) ステップ 2 LDAP サーバープロファイルを User-ID のグループマッピング設定に追加します 1. [Device] > [ ユーザー ID] > [ グループマッピング設定 ] の順に選択し [ 追加 ] をクリックします 2. [ サーバープロファイル ] でステップ 1 で作成したプロファイルを選択します 3. [ 有効 ] チェックボックスがオンになっていることを確認します 4. (オプション) セキュリティポリシー内で表示するグループを制限する場合 [ 許可リストのグループ化 ] タブを選択し LDAP ツリーを参照してポリシー内で使用できるグループを特定します許可するグループごとに [ 使用可能なグループ ] のリストからグループを選択し追加アイコンをクリックして [ 含まれたグループ ] のリストに移動しますポリシーで使用可能にするグループごとにこの手順を繰り返します 5. [OK] をクリックして設定を保存しますステップ 3 設定を保存します [Commit] をクリックします IP アドレス対ユーザーのマッピング IP アドレスとユーザー名のマッピングを実行するのに必要なタスクはネットワーク上のクライアントシステムのタイプや場所により異なります以下のタスクの中からクライアントシステムでマッピングを有効にするのに必要なものを実行しますモニタリング対象の Exchange Server ドメインコントローラまたは edirectory サーバーにログインしているクライアントあるいは直接プローブできる Windows クライアントをマッピングする方法の詳細は 108 ページの User-ID エージェントを使用したユーザーマッピングの設定を参照してくださいドメインにログインしていない Linux クライアントを実行するユーザーなどドメインサーバーにログインしていないクライアントシステムのユーザーの場合は 111 ページのキャプティブポータルを使用した IP アドレス対ユーザー名のマッピングを参照してください Microsoft Terminal Server Citrix Metaframe Presentation Server または XenApp などマルチサーバーシステムを実行するクライアントでエージェントをインストールおよび設定する方法の詳細は Palo Alto Networks 管理者ガイドの第 7 章にあるターミナルサービスエージェントのセットアップを参照してください前述の方法でマッピングできないその他のクライアントについては XML ベースの REST API を使用してユーザーマッピングを直接ファイアウォールに追加できます詳細は PAN-OS XML-based REST API Usage Guide (PAN-OS XML ベースの REST API 利用ガイド ) を参照してくださいスタートガイド 107

110 ユーザー ID の有効化ユーザー ID の設定 User-ID エージェントを使用したユーザーマッピングの設定多くの場合ネットワークユーザーの大部分がモニタリング対象のドメインサービスにログインできますこれらのユーザーについては Palo Alto Networks の User-ID エージェントが IP アドレス対ユーザーのマッピングを実行します User-ID エージェントを設定する方法は環境の規模やディレクトリサーバーの場所により異なります User-ID エージェントをモニタリング対象サーバーの近くに配置することをお勧めしますこれはユーザーマッピングのトラフィックがエージェントとモニタリング対象サーバーの間で発生しエージェントとファイアウォール間のトラフィック ( 最終更新以降の IP アドレスマッピングの差分情報 ) の量もごくわずかなためですただし小規模な環境 ( モニタリング対象のディレクトリサーバーが 10 台以下の環境では一般的にオンデバイスエージェントを使用するため導入タイプにより異なります ) の場合ファイアウォール上にあるオンデバイスエージェントを使用するとネットワークサーバーで個別にエージェントソフトウェアをインストールする必要がなくなりますオンデバイスエージェントを使用するとさらにユーザーマッピング情報を他のファイアウォールにも再配信するように設定できます詳細は Palo Alto Networks 管理者ガイドの第 7 章にあるマッピングデータを共有するためのファイアウォールの設定を参照してください以下の手順により Active Directory ドメインコントローラをモニタリングするためのオンデバイスエージェントの設定方法を示しますスタンドアロンの User-ID エージェントのインストールおよび設定の詳細は User-ID エージェントの初期インストールおよびセットアップを参照してください IP アドレス対ユーザーのマッピングステップ 1 サービスまたはホストごとにログインする権限を持つファイアウォールエージェントの Active Directory アカウントを作成しますこれらのサービスまたはホストをモニタリングしてユーザーマッピングデータを収集します Windows 2008 以降のドメインサーバー Event Log Readers グループにアカウントを追加しますオンデバイスの User-ID エージェントを使用している場合アカウントが Distributed COM Users グループのメンバーにもなっている必要があります Windows 2003 ドメインサーバー監査とセキュリティログの管理許可がグループポリシーに割り当てられます WMI プローブ CIMV2 名前空間を読み取る権限を持つアカウントが必要ですドメイン管理者アカウントにはこの権限があります NTLM 認証オンデバイス User-ID エージェントによる NTLM 認証を使用する場合ファイアウォールがドメインに参加する必要があるため NTLM アクセス用に作成する Windows アカウントに管理者権限が必要となります複数の仮想システムを設定している場合同じホストで実行される仮想システムで AD の制約があるため vsys1 のみがドメインに参加できます 108 スタートガイド

ユーザー ID の設定ユーザー ID の有効化 IP アドレス対ユーザーのマッピング( 続き) ステップ 2 ファイアウォールでモニタリングするサーバーを定義し IP アドレス対ユーザーマッピングの情報を収集しますネットワークで最大 100 個の Microsoft Active Directory Microsoft Exchange ま

111 ユーザー ID の設定ユーザー ID の有効化 IP アドレス対ユーザーのマッピング( 続き) ステップ 2 ファイアウォールでモニタリングするサーバーを定義し IP アドレス対ユーザーマッピングの情報を収集しますネットワークで最大 100 個の Microsoft Active Directory Microsoft Exchange または Novell edirectory サーバーのエントリを定義できます必要なマッピング情報をすべて収集するにはユーザーがログインしているすべてのサーバーに接続しログオンイベントを含むすべてのサーバーのセキュリティログファイルをファイアウォールでモニタリングできるようにする必要があります 1. [Device] > [ ユーザー ID] > [ ユーザーマッピング ] の順に選択します 2. 画面の [ サーバーモニタリング ] セクションで [ 追加 ] をクリックします 3. サーバーの [ 名前 ] と [ ネットワークアドレス ] を入力します 4. [タイプ] フィールドでサーバーのタイプを選択します 5. [ 有効 ] チェックボックスがオンになっていることを確認し [OK] をクリックします 6. ( オプション ) DNS 検索を使用してファイアウォールで自動的にネットワークのドメインコントローラを検出できるようにするには [ 検出 ] をクリックします注意自動検出機能はドメインコントローラの場合のみ有効です Exchange Server や edirectory サーバーをモニタリングする場合手動でそれらを追加する必要があります 7. ( 任意 ) ファイアウォールが設定済みサーバーに対してマッピング情報をポーリングする頻度を調整するには画面の Palo Alto Networks ユーザー ID エージェント設定セクションで編集アイコンをクリックして [ サーバーモニタ ] タブを選択します [ サーバーログのモニター頻度 ( 秒 )] フィールドで値を変更します DC が古い環境やリンクの遅延が大きな環境の場合このフィールドの値を 5 秒に増やすことをお勧めしますステップ 3 ファイアウォールで Windows リソースへのアクセスに使用するアカウントのドメイン認証情報を設定しますこの設定は WMI プローブと Exchange Server およびドメインコントローラのモニタリングに必要です 1. [WMI 認証 ] タブで [ ユーザー名 ] と [ パスワード ] フィールドにクライアントのプローブとサーバーのモニタリングに使用するアカウントの名前とパスワードを入力します [ ドメイン ]/[ ユーザー名 ] の構文を使用するユーザー名を入力しますスタートガイド 109

112 ユーザー ID の有効化ユーザー ID の設定 IP アドレス対ユーザーのマッピング( 続き) ステップ 4 注意ドメインの認証情報を定義し必要に応じて WMI プローブを有効にしますオンデバイスエージェントでは NetBIOS プローブがサポートされておらず Windows ベースの User-ID エージェントでのみサポートされています 2. [ クライアントによるプローブ ] タブで [ プローブの有効化 ] チェックボックスをオンにします 3. ( 任意 ) 必要に応じて [ プローブ間隔 ] の値を変更し取得した IP アドレスをすべてプローブするのに十分な時間を確保します 4. Windows ファイアウォールではプローブ対象のクライアントごとにリモート管理の例外を追加することでクライアントのプローブが許可されますステップ 5 設定を保存します 1. [OK] をクリックして User-ID エージェントの設定を保存します 2. 設定を保存するには [Commit] をクリックしますステップ 6 ヒント ( 任意 ) サービスアカウントや kiosk アカウントなど IP アドレス対ユーザー名のマッピングが不要な一連のユーザーを定義しますまた ignore-user リストを使用してキャプティブポータルを使用した認証の実施が必要なユーザーを識別することもできます 1. ファイアウォールに対する CLI セッションを開きます 2. ファイアウォールでのマッピングが不要なユーザーアカウントのリストを追加するには以下のコマンドを実行します set user-id-collector ignore-user <value> <value> は無視するユーザーアカウントのリストでリストに追加するアカウント数に制限はありませんエントリをスペースで区切りますドメイン名はユーザー名に含まれません例 : set user-id-collector ignore-user SPAdmin SPInstall TFSReport 3. 変更をコミットしますステップ 7 設定を確認します 1. CLI から以下のコマンドを入力します show user server-monitor state all 2. Web インターフェイスで [Device] > [ ユーザー ID] > [ ユーザーマッピング ] の順に選択してサーバーのモニタリング用に設定したサーバーごとに [ 状態 ] が [ 接続済み ] になっていることを確認します 110 スタートガイド

113 ユーザー ID の設定ユーザー ID の有効化キャプティブポータルを使用した IP アドレス対ユーザー名のマッピングファイアウォールが User-ID 対応のゾーンから要求を受信し送信元 IP アドレスにユーザーのデータが関連付けられていない場合キャプティブポータルのポリシーで一致を確認し認証を実施する必要があるかどうかを判断します Linux クライアントなどクライアントがドメインサーバーにログインしていない環境ではこの設定が効果的ですこのユーザーマッピングの方法がトリガーされるのはセキュリティルール / ポリシーと一致しかつ他の方法を使用してマッピングされていない Web トラフィック (HTTP または HTTPS) の場合のみですキャプティブポータルの認証方法キャプティブポータルでは要求がキャプティブポータルのポリシーと一致すると以下の方法によりユーザーデータをクライアントから取得します認証方法 NTLM 認証説明ファイアウォールでは暗号化されたチャレンジレスポンス機構を使用してユーザーの認証情報をブラウザから入手します正しく設定されていればブラウザからファイアウォールに認証情報が透過的に ( ユーザーに要求メッセージが表示されることなく ) 提供されますが場合によっては要求メッセージが表示されますブラウザで NTLM を実行できないまたは NTLM 認証に失敗した場合キャプティブポータルの設定に応じてファイアウォールから Web フォーム認証またはクライアント証明書認証に差し戻されます IE ではデフォルトで NTLM がサポートされています Firefox および Chrome の場合も NTLM を使用するように設定できます Windows 以外のクライアントでは NTLM 認証を使用できません Web フォーム要求が Web フォームにリダイレクトされ認証されますローカルユーザーデータベース RADIUS LDAP または Kerberos を使用してユーザーを認証するようにキャプティブポータルを設定できますユーザーは常に認証情報を要求されますがこの認証方法はすべてのブラウザおよびオペレーティングシステムと連動しますクライアント証明書認証有効なクライアント証明書をブラウザに要求してユーザーを認証しますこの方法を使用するにはクライアント証明書をユーザーシステムごとに提示し信頼された CA 証明書をインストールしその証明書を使用してクライアント証明書をファイアウォールで発行します Mac OS や Linux クライアントの場合この方法が透過的な認証を可能にする唯一の方法ですスタートガイド 111

114 ユーザー ID の有効化ユーザー ID の設定キャプティブポータルのモードキャプティブポータルのモードにより Web 要求をキャプチャして認証を行う方法が定義されますモード透過リダイレクト説明キャプティブポータルルールに従いファイアウォールがブラウザのトラフィックを遮断して元の宛先 URL になりすまし HTTP 401 を発行して認証を呼び出しますただしファイアウォールに宛先 URL の実際の証明書がないためユーザーが保護されたサイトにアクセスしようとするとブラウザに証明書のエラーが表示されますそのためレイヤー 2 またはバーチャルワイヤーの導入などどうしても必要な場合以外はこのモードを使用しないでくださいファイアウォールが不明な HTTP または HTTPS セッションを遮断し認証を実行するための HTTP 302 リダイレクトによりそれらのセッションをファイアウォールのレイヤー 3 インターフェイスにリダイレクトしますエンドユーザーの使い勝手が良くなる ( 証明書のエラーがない ) ためこちらのモードが推奨されますただしレイヤー 3 の追加設定が必要となりますリダイレクトモードのもう 1 つのメリットとしてセッションの cookie を使用することによりユーザーはタイムアウトが発生するたびにマッピングを再要求しなくても引き続き認証済みサイトにアクセスできますある IP アドレスから別の IP アドレス ( 企業 LAN からワイヤレスネットワークなど ) にローミングするユーザーの場合セッションが開いている限り IP アドレス変更時の再認証が不要なため特にこのモードが効果的ですさらに NTLM 認証を使用する場合はブラウザからは信頼されたサイトのみに認証情報が発行されるためリダイレクトモードを使用する必要があります 112 スタートガイド

115 ユーザー ID の設定ユーザー ID の有効化キャプティブポータルの設定以下の手順ではオンデバイスの User-ID エージェントを使用してキャプティブポータルポリシーに一致する要求をファイアウォールのレイヤー 3 インターフェイスにリダイレクトするようにキャプティブポータルを設定する方法を示します Windows ベースのエージェントを使用したキャプティブポータルの設定の詳細は Palo Alto Networks 管理者ガイドの第 7 章ファイアウォールへの User-ID の設定にある User-ID エージェントのセットアップを参照してください他の User-ID 機能 (ユーザーマッピングおよびグループマッピング) を使用せずにキャプティブポータルを使用する場合はエージェントを設定する必要はありませんローカル USER-ID エージェントを使用したキャプティブポータルの設定ステップ 1 ステップ 2 ステップ 3 ファイアウォールにユーザーデータを収集するためにモニタリングするサーバー ( ドメインコントローラ Exchange Server など) へのルートが存在することを確認しますドメインコントローラのアドレスを解決するように DNS が設定されていることを確認します ( リダイレクトモードのみ ) キャプティブポータルの要求をリダイレクトするレイヤー 3 インターフェイスを作成します今回の製品のリリースではファイアウォールが MGT インターフェイスを介してサーバーと通信する必要があるためこのインターフェイスからディレクトリサーバーが存在するネットワークにアクセスできることを確認する必要がありますお使いの環境でこの設定が機能しない場合 Windows ベースの User-ID エージェントを使用してキャプティブポータルを設定する必要があります正しく名前が解決されていることを確認するにはサーバーの FQDN を ping します例 : admin@pa-200> ping host dc1.acme.com 1. 管理プロファイルを作成してインターフェイスにキャプティブポータルの応答ページを表示できるようにします a [Network] > [ インターフェイス管理 ] の順に選択し [ 追加 ] をクリックします b [ 名前 ] フィールドにプロファイル名を入力し [ 応答ページ ] を選択してから [OK] をクリックします 2. レイヤー 3 インターフェイスを作成します方法については 49 ページのインターフェイスおよびゾーンの設定を参照してくださいステップ 1 ([Ethernet インターフェイス ] ダイアログの [ 詳細 ] > [ その他の情報 ]) で作成した管理プロファイルが関連付けられていることを確認します 3. レイヤー 3 インターフェイスで設定した IP アドレスとイントラネットのホスト名 (ntlmhost など名前にドットが含まれないホスト名 ) をマッピングする DNS の A レコードを作成しますスタートガイド 113

116 ユーザー ID の有効化ユーザー ID の設定ローカル USER-ID エージェントを使用したキャプティブポータルの設定 ( 続き) ステップ 4 注意 ( リダイレクトモードのみ ) 証明書のエラーが表示されることなく透過的にユーザーをリダイレクトするには要求のリダイレクト先となるインターフェイスの IP アドレスと一致する証明書をインストールする必要があります自己署名証明書を作成するかまたは外部 CA によって署名された証明書をインポートできますキャプティブポータルを初めてセットアップする場合インポートされた証明書は機能しませんインポートされた証明書を使用するには [ サーバー証明書 ] を指定せずに初期設定を完了しますこれでキャプティブポータルを有効にすればインポートされた証明書に戻って切り替えることができます自己署名証明書を使用するには以下のとおりまずルート CA の証明書を作成してからその CA を使用してキャプティブポータルに使用する証明書に署名する必要があります 1. ルート CA 証明書を作成するには [Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス証明書 ] の順に選択し [ 生成 ] をクリックします [ 証明書名 ] テキストボックスに RootCA などの名前を入力します [ 署名者 ] フィールドの値を選択するとその証明書が自己署名証明書であることを示すためこの値は選択しないでください [ 認証局 ] チェックボックスがオンになっていることを確認してから [OK] をクリックすると証明書が生成されます 2. キャプティブポータルに使用する証明書を作成するには [ 生成 ] をクリックします [ 証明書名 ] に名前を入力しインターフェイスのイントラネットホストの DNS 名前を [ 共通名 ] フィールドに入力します [ 署名者 ] フィールドで前の手順で作成した CA を選択します IP アドレスの属性を追加し要求のリダイレクト先となるレイヤー 3 インターフェイスの IP アドレスを指定します [OK] をクリックして証明書を生成します 3. クライアントが証明書を信頼するように設定するには [ デバイス証明書 ] タブで CA 証明書を選択し [ エクスポート ] をクリックします次に証明書を信頼されたルート CA としてすべてのクライアントブラウザにインポートする必要がありますインポートはブラウザで手動で設定するかまたは証明書を Active Directory のグループポリシーオブジェクト (GPO) の信頼されたルートに追加します 114 スタートガイド

117 ユーザー ID の設定ユーザー ID の有効化ローカル USER-ID エージェントを使用したキャプティブポータルの設定 ( 続き) ステップ 5 Web フォームが呼び出された場合に使用する認証方式を設定します NTLM を使用する場合でも NTLM 認証に失敗した場合やユーザーエージェントで NTLM 認証がサポートされていない場合に使用できる二次的な認証方式として設定する必要がありますベストプラクティス : RADIUS を使用してユーザーを Web フォームから認証する場合 RADIUS ドメインを入力する必要がありますこのドメインはユーザーがログイン時にドメインを指定しない場合のデフォルトとして使用されます AD を使用してユーザーを Web フォームから認証する場合 [samaccountname] を [LogonAttribute] として入力する必要があります 1. 使用する予定の認証サービスに接続して認証情報にアクセスできるようにファイアウォールを設定します LDAP Kerberos または RADIUS を使用して認証を行う場合サービスへの接続方法とユーザーの認証情報にアクセスする方法をファイアウォールに指示するサーバープロファイルを作成する必要があります [Device] > [ サーバープロファイル ] の順に選択しアクセスする特定サービスの新しいプロファイルを追加します Palo Alto Networks 管理者ガイドの第 3 章デバイス管理で認証プロファイルを参照してくださいローカルデータベース認証を使用する場合まずローカルデータベースを作成する必要があります [Device] > [ ローカルユーザーデータベース ] の順に選択し認証するユーザーおよびグループを追加します Palo Alto Networks 管理者ガイドの第 3 章デバイス管理でローカルユーザーデータベースの作成を参照してください 2. サーバープロファイルまたは先ほど作成したローカルユーザーデータベースを参照する認証プロファイルを作成します [Device] > [ 認証プロファイル ] の順に選択しキャプティブポータルで使用する新しいプロファイルを追加します特定のタイプの認証プロファイルを作成する方法の詳細は Palo Alto Networks 管理者ガイドの第 3 章デバイス管理で認証プロファイルを参照してくださいスタートガイド 115

118 ユーザー ID の有効化ユーザー ID の設定ローカル USER-ID エージェントを使用したキャプティブポータルの設定 ( 続き) ステップ 6 注意 ( オプション ) クライアント証明書の認証を設定します認証プロファイルとクライアント証明書のプロファイルを両方設定しなくてもキャプティブポータルは使用できます両方設定する場合は両方の認証方式でユーザーを認証する必要があります CRL または OCSP を使用するかどうかなどその他の証明書プロファイルフィールドの詳細は Palo Alto Networks 管理者ガイドの第 3 章デバイス管理で認証プロファイルを参照してください 1. キャプティブポータルを使用して認証を行うユーザーごとに証明書を生成します 2. Base64 形式で CA 証明書をダウンロードします 3. クライアント証明書を生成した CA からファイアウォールにルート CA 証明書をインポートします a [Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス証明書 ] の順に選択し [ インポート ] をクリックします b [ 証明書名 ] フィールドにクライアント CA 証明書であることを識別できる名前を入力します c [Browse] をクリックして CA からダウンロードした証明書ファイルを選択します d [Base64 エンコード済み証明書 (PEM)] を [ ファイルフォーマット ] フィールドで選択し [OK] をクリックします e [ デバイス証明書 ] タブで先ほどインポートした証明書を選択して開きます f [ 信頼されたルート CA] を選択して [OK] をクリックします 4. キャプティブポータルの設定に使用するクライアントの証明書プロファイルを作成します a [Device] > [ 証明書 ] > [ 証明書の管理 ] > [ 証明書プロファイル ] の順に選択し [ 追加 ] をクリックして [ 名前 ] フィールドにプロファイル名を入力します b [ ユーザー名フィールド ] ドロップダウンリストからユーザー ID の情報を含む証明書を選択します c [CA 証明書 ] フィールドで [ 追加 ] をクリックしステップ 3でインポートした信頼されたルート認証局の証明書を選択してから [OK] をクリックしますステップ 7 注意 NTLM 認証を有効にしますオンデバイス User-ID エージェントを使用する場合ファイアウォールがドメインに参加できるようにするためにファイアウォールでドメインコントローラの DNS 名を解決できるようにする必要があります以下で指定する認証情報が使用され DNS の名前が解決された時点でファイアウォールがドメインに参加します 1. [Device] > [ ユーザー ID] > [ ユーザーマッピング ] の順に選択し画面の [Palo Alto Networks ユーザー ID エージェント設定 ] セクションで編集アイコンをクリックします 2. [NTLM] タブで [NTLM 認証処理の有効化 ] チェックボックスをオンにします 3. ファイアウォールの User-ID エージェントが NTLM 認証情報を確認する対象となる NTLM ドメインを入力しますページの IP アドレス対ユーザーのマッピングのステップ 1 で NTLM 認証用に作成した Active Directory アカウントのユーザー名とパスワードを入力します 116 スタートガイド

119 ユーザー ID の設定ユーザー ID の有効化ローカル USER-ID エージェントを使用したキャプティブポータルの設定 ( 続き) ステップ 8 キャプティブポータルを設定します 1. [Device] > [ ユーザー ID] > [ キャプティブポータルの設定 ] の順に選択し画面の [ キャプティブポータル ] セクションで編集アイコンをクリックします 2. [ 有効 ] チェックボックスがオンになっていることを確認します 3. [ モード ] を設定しますこの例では [ リダイレクト ] モードの設定方法について説明します 4. ( リダイレクトモードのみ ) [ サーバー証明書 ] でファイアウォールが SSL 経由で要求のリダイレクトに使用する証明書を選択しますこの証明書はステップ 4 で作成した証明書です 5. ( リダイレクトモードのみ ) [ ホストのリダイレクト ] フィールドでホストを指定しますこれはステップ 3 で指定したとおり要求のリダイレクトに使用するレイヤー 3 インターフェイスの IP アドレスを解決するイントラネットのホスト名です 6. NTLM が失敗した場合 ( または NTLM を使用しない場合 ) に使用する認証方式を選択します - LDAP Kerberos RADIUS またはローカルデータベース認証を使用する場合 [ 認証プロファイル ] フィールドでステップ 5 で作成したプロファイルを選択します - クライアント証明書の認証を使用する場合 [ 証明書プロファイル ] フィールドでステップ 6 で作成した証明書を選択します 7. [OK] をクリックして設定を保存します 8. [Commit] をクリックしてキャプティブポータルの設定を保存しますスタートガイド 117

120 ユーザーおよびグループベースのポリシーを有効にするユーザー ID の設定ユーザーおよびグループベースのポリシーを有効にするユーザーおよびグループに基づくセキュリティポリシーを有効にするには識別するユーザーを含むゾーンごとに User-ID を有効にする必要がありますそうすることでユーザー名またはグループのメンバーシップに基づいてトラフィックを許可または拒否するポリシーを定義できますさらにキャプティブポータルのポリシーを作成することでユーザーデータが関連付けらていない IP アドレスを識別することもできますユーザーおよびグループベースのポリシーを有効にするステップ 1 ユーザーベースのアクセス制御を必要とする送信元ゾーンとしてユーザーがリクエストを送信するゾーンにおいて User-ID を有効にします 1. [Network] > [ ゾーン ] の順に選択します 2. [ 名前 ] フィールドで User-ID を有効にするゾーンをクリックすると [ ゾーン ] ダイアログが開きます 3. [ ユーザー ID の有効化 ] チェックボックスをオンにしてから [OK] をクリックしますステップ 2 ユーザーまたはグループに基づくセキュリティポリシーを作成します 1. User-ID を設定するとセキュリティルールの送信元および宛先を定義するときにユーザー名またはグループ名を選択できるようになります a [Policies] > [ セキュリティ ] の順に選択し [ 追加 ] をクリックしますここで新しいポリシーを作成するかまたは既存のポリシールール名をクリックすると [ セキュリティポリシールール ] ダイアログが開きます b [ ユーザー] タブを選択しダイアログの [ 送信元ユーザー ] セクションで [ 追加 ] ボタンをクリックするとファイアウォールのグループマッピング機能により検出されたユーザーおよびグループのリストが表示されます c ポリシーに追加するユーザーまたはグループを選択します 2. 必要に応じてポリシーのその他の部分を設定し [OK] をクリックして設定を保存しますセキュリティポリシーのその他のフィールドの詳細は 57 ページの基本的なセキュリティポリシーのセットアップを参照してください 118 スタートガイド

121 ユーザー ID の設定ユーザーおよびグループベースのポリシーを有効にするユーザーおよびグループベースのポリシーを有効にする( 続き) ステップ 3 キャプティブポータルポリシーを作成します 1. [Policies] > [ キャプティブポータル ] の順に選択します 2. [ 追加 ] をクリックし [ 名前 ] にポリシー名を入力します 3. [ 送信元 ] [ 宛先 ] および [ サービス /URL カテゴリ ] タブで必要に応じて認証するトラフィックと一致する情報を入力しルールの一致基準を定義しますこれらのタブの一致基準はセキュリティポリシーの作成時に定義する基準と同じです詳細は 57 ページの基本的なセキュリティポリシーのセットアップを参照してください 4. [ アクション ] タブでルールと一致するトラフィックに対するアクションを定義します選択肢は以下のとおりです - no-captive-portal キャプティブポータルのページを表示せずにトラフィックの通過を許可します - web-form キャプティブポータルのページを表示してユーザーに認証情報の入力またはクライアント証明書認証の使用を要求します - browser-challenge NTLM 認証要求をユーザーの Web ブラウザで開きます Web ブラウザはユーザーの現在のログイン認証情報を使用して応答しますログインの認証情報を使用できない場合ユーザーに認証情報の提示を要求します以下の例では Web フォームを表示して Trust ゾーンから Untrust ゾーンに HTTP 要求を送信する不明なユーザーを認証するようファイアウォールに指示するキャプティブポータルのポリシーを示しますステップ 4 ポリシーの設定を保存します 1. [Commit] をクリックしますスタートガイド 119

122 User-ID 設定の確認ユーザー ID の設定 User-ID 設定の確認ユーザー ID を設定してセキュリティポリシーおよびキャプティブポータルポリシーの User-ID を有効にしたらそれらが正しく動作していることを確認する必要がありますユーザー ID 設定の確認ステップ 1 ステップ 2 グループマッピングの動作を確認しますユーザーマッピングの動作を確認します CLI から以下のコマンドを入力します show user group-mapping statistics オンデバイス User-ID エージェントを使用している場合 CLI から以下のコマンドを実行すれば確認できます show user ip-user-mapping-mp all ステップ 3 セキュリティポリシーをテストします IP Vsys From User Timeout (sec) vsys1 UIA acme\george vsys1 UIA acme\duane vsys1 UIA acme\betsy vsys1 UIA acme\administrator vsys1 AD acme\administrator 748 Total: 5 users *: WMI probe succeeded User-ID が有効なゾーンのマシンからサイトやアプリケーションにアクセスしてポリシーで定義したルールをテストしトラフィックが予想通りに許可または拒否されていることを確認しますまた test security-policy-match コマンドを使用してポリシーが正しく設定されているかどうかを確認しますたとえば World of Warcraft をプレイする Duane というユーザーをブロックするルールがある場合以下の手順でポリシーをテストできます test security-policy-match application worldofwarcraft source-user acme\duane source any destination any destination-port any protocol 6 "deny worldofwarcraft" { from corporate; source any; source-region any; to internet; destination any; destination-region any; user acme\duane; category any; application/service worldofwarcraft; action deny; terminal no; } 120 スタートガイド

ユーザー ID の設定 User-ID 設定の確認ユーザー ID 設定の確認 ( 続き) ステップ 4 キャプティブポータルの設定をテストします 1. 先ほどと同じゾーンから Mac OS システムなどディレクトリのメンバーでないマシンよりゾーン外部のシステムを ping します ping は認証しなくても動作します 2.

123 ユーザー ID の設定 User-ID 設定の確認ユーザー ID 設定の確認 ( 続き) ステップ 4 キャプティブポータルの設定をテストします 1. 先ほどと同じゾーンから Mac OS システムなどディレクトリのメンバーでないマシンよりゾーン外部のシステムを ping します ping は認証しなくても動作します 2. 同じマシンからブラウザを開き定義したキャプティブポータルポリシーと一致する宛先ゾーンの Web サイトに移動しますキャプティブポータルの Web フォームが表示されます 3. 正しい認証情報を使用してログインし要求したページにリダイレクトされていることを確認します 4. また以下の test cp-policy-match コマンドを使用してキャプティブポータルポリシーをテストすることもできます test cp-policy-match from corporate to internet source destination Matched rule: 'captive portal' action: web-form ステップ 5 ログファイル ([Monitor] > [ ログ ]) にユーザー名が表示されていることを確認しますスタートガイド 121

124 User-ID 設定の確認ユーザー ID の設定ユーザー ID 設定の確認 ( 続き) ステップ 6 レポート ([Monitor] > [ レポート ]) にユーザー名が表示されていることを確認しますたとえば以下の例に示すように拒否されるアプリケーションのレポートまでドリルダウンするとそのアプリケーションにアクセスしようとしたユーザーのリストを確認できます 122 スタートガイド

125 5 高可用性のセットアップ高可用性 (HA) は 2 つのファイアウォールを 1 つのグループに配置してネットワーク上の単一障害点を回避するための設定です 2 つのデバイスクラスタでファイアウォールを設定すると冗長性が得られるためビジネス継続性を確保できますこのセクションでは以下のトピックについて説明します HA 概要アクティブ / パッシブ HA の前提条件アクティブ / パッシブペアの設定フェイルオーバーの確認スタートガイド 123

126 HA 概要高可用性のセットアップ HA 概要 Palo Alto Networks ファイアウォールでは 2 つのデバイスを HA ペアとして設定できます HA ではプライマリデバイスに障害が発生した場合に代替デバイスを使用できるようにすることでダウンタイムを最小限に抑えることができますこのデバイスでは専用またはインバンドの HA ポートをファイアウォール上で使用することによりネットワークオブジェクトポリシー設定などのデータを同期し状態の情報を維持します管理ポートの IP アドレスや管理者プロファイルなどのデバイス固有の設定 HA 固有の設定ログデータおよびアプリケーションコマンドセンター (ACC) の情報はデバイス間で共有されませんアプリケーションおよびログのビューを HA ペア間で統合したい場合 Panorama という Palo Alto Networks の中央管理システムを使用する必要がありますアクティブなデバイスで障害が発生した場合パッシブデバイスがトラフィックの保護タスクを引き継ぎますがこのイベントをフェイルオーバーといいますフェイルオーバーが引き起こされる条件は次のとおりですモニター対象となる 1 つ以上のインターフェイスに障害が発生した場合 ( リンクモニタリング ) デバイスで指定する 1 つ以上の宛先に到達できない場合 ( パスモニタリング ) デバイスがハートビートポーリングに応答しない場合 ( ハートビートポーリング ) HA モード HA のファイアウォールは次の 2 つのモードで設定できますアクティブ / パッシブ一方のデバイスではトラフィックをアクティブに管理しもう一方のデバイスでは同期を取り障害が発生した場合のアクティブ状態への移行に備えますこの設定では両方のデバイスで同じ設定を共有しパスリンクシステムまたはネットワークに障害が発生するまでは一方がアクティブにトラフィックを管理しますアクティブなデバイスで障害が発生した場合パッシブデバイスがシームレスに同じポリシーを引き継いで実行しネットワークセキュリティを維持しますアクティブ / パッシブ HA はバーチャルワイヤーレイヤー 2 およびレイヤー 3 モードでサポートされていますデバイスのアクティブ / パッシブ設定の詳細はアクティブ / パッシブペアの設定を参照してください PA-200 および VM シリーズファイアウォールはアクティブ / パッシブ HA のライトバージョンをサポートしています HA のライトバージョンでは設定を同期できるほか IPSec Security Associations (SA) などいくつかの実行時データを同期できますただしセッションの同期には対応していないため HA ライトにはステートフルフェイルオーバー機能がありませんアクティブ / アクティブペアリングされた両方のデバイスがアクティブな状態でトラフィックを処理し同調してセッションのセットアップやオーナーシップを操作しますアクティブ / アクティブ導入はバーチャルワイヤーおよびレイヤー 3 モードでサポートされていますが推奨されるのは非対称ルーティングのネットワークの場合のみですデバイスのアクティブ / アクティブ設定方法の詳細は Active/ActiveHigh Availability Tech Note を参照してください 124 スタートガイド

127 高可用性のセットアップ HA 概要 HA リンクおよびバックアップリンク HA ペアのデバイスでは HA リンクを使用してデータを同期し状態情報を管理しますファイアウォールの一部のモデルにはコントロールリンク (HA1) とデータリンク (HA2) という専用の HA ポートがありますがそれ以外のモデルではインバンドポートを HA リンクとして使用する必要があります PA-3000 シリーズ PA-4000 シリーズ PA-5000 シリーズのファイアウォールなど専用の HA ポート (HA1 および HA2) があるデバイスの場合専用の HA ポートを介して 2 つの HA デバイスの管理プレーンとデータプレーンを直接接続できますこれらの専用ポートを使用してデバイス間の通信および同期を管理します PA-200 シリーズ PA-500 シリーズ PA-2000 シリーズのファイアウォールなど専用の HA ポートがないデバイスの場合デバイス間の管理プレーンを直接接続できるようにするための HA1 リンク用の管理ポートと HA2 リンク用のインバンドポートを使用しますコントロールリンク : HA1 リンクは Hello ハートビート HA の状態ルーティング用の管理プレーンの同期 User-ID などの情報交換に使用しますまたこのリンクを使用してアクティブデバイスまたはパッシブデバイスの設定変更をピアデバイスと同期します HA1 リンクはレイヤー 3 リンクのため IP アドレスが必要です HA1 リンクではクリアテキスト通信に TCP ポートを暗号化通信 (SSH over TCP) にポート 28 を使用しますデータリンク : HA2 リンクを使用してセッションの同期テーブルの転送 IPSec SA および ARP テーブルを HA ペアのデバイス間で同期します HA2 リンクのデータフローは (HA2 キープアライブを除き ) 常に単向性なのでデータはアクティブデバイスからパッシブデバイスに流れます HA2 リンクはレイヤー 2 リンクなのでデフォルトで EtherType 0x7261 を使用します HA データリンクは IP ( プロトコル番号 99) または UDP ( ポート 29281) のいずれかを転送ポートとして使用するように設定できるため HA データリンクはサブネットをまたぐことができます注 : アクティブ / アクティブ導入ではパケット転送に HA3 リンクも使用しますバックアップリンク : HA1 リンクと HA2 リンクの冗長性を提供しますインバンドポートは HA1 と HA2 の両方のバックアップリンクとして使用しますバックアップ HA リンクを設定する場合は次のガイドラインを考慮してくださいプライマリ HA リンクとバックアップ HA リンクの IP アドレスを重複させることはできません HA バックアップリンクはプライマリ HA リンクとは別のサブネット上になければなりません HA1 バックアップと HA2 バックアップのポートは異なる物理ポート上で設定する必要があります注 : Palo Alto Networks では HA1 または HA1 のバックアップリンクにインバンドポートを使用する場合ハートビートバックアップを有効にすることをお勧めしますスタートガイド 125

128 HA 概要高可用性のセットアップデバイス優先度およびプリエンプション HA ペアのデバイスにデバイス優先度の値を割り当てることによりどちらのデバイスにアクティブな役割を持たせて優先的にトラフィックを管理させるかを示すことができます HA ペアの特定のデバイスを使用してアクティブにトラフィックを保護する必要がある場合両方のファイアウォールでプリエンプティブ機能を有効にし各デバイスに優先度の値を割り当てる必要があります数値の小さい方のデバイスつまり優先度の高いデバイスがアクティブデバイスに指定されネットワーク上のすべてのトラフィックを管理しますもう一方のデバイスはパッシブ状態となりアクティブデバイスと設定情報や状態の情報を同期し障害が発生した場合のアクティブ状態への移行に備えますデフォルトではファイアウォールでプリエンプションが無効になっているため両方のデバイスで有効にする必要がありますプリエンプティブの動作を有効にすると優先度の高い ( 数値の低い方の ) ファイアウォールが障害から回復した後にそのファイアウォールをアクティブファイアウォールとして再開させることができますプリエンプションが発生するとそのイベントがシステムログに記録されますフェイルオーバーのトリガーアクティブなデバイスで障害が発生した場合パッシブデバイスがトラフィックの保護タスクを引き継ぎますがこのイベントをフェイルオーバーといいますアクティブデバイスのモニター対象メトリックに障害が発生するとフェイルオーバーが引き起こされますデバイスの障害を検出するためのモニター対象となるメトリックは次のとおりですハートビートポーリングおよび Hello メッセージファイアウォールでは Hello メッセージおよびハートビートを使用してピアデバイスの応答状態および動作状態を検証します設定した Hello 間隔で Hello メッセージがピアの一方からもう一方へ送信されデバイスの状態を検証しますハートビートはコントロールリンクを介した HA ピアに対する ICMP ping の一種でピアがこの ping に応答することでデバイスの接続および応答状態を証明しますデフォルトではハートビートの間隔は 1000 ミリ秒ですリンクモニタリングモニター対象の物理インターフェイスが 1 つのリンクグループに集約されその状態 ( リンクアップまたはリンクダウン ) がモニタリングされますリンクグループには 1 つ以上の物理インターフェイスを含めることができますグループ内のインターフェイスの一部またはすべてに障害が発生するとデバイスの障害が引き起こされますデフォルトの動作ではグループ内のいずれかのリンクに障害が発生するとデバイスの HA 状態が非稼働に変わりモニター対象オブジェクトの障害を示しますパスモニタリングネットワーク全体でミッションクリティカルな IP アドレスへの全経路をモニタリングします ICMP ping を使用して問題の IP アドレスに到達可能かどうかを検証しますデフォルトの ping 間隔は 200 ミリ秒です 10 回 ( デフォルト値 ) 連続で ping に失敗するとその IP アドレスに到達不可能とみなされ対象の IP アドレスの一部またはすべてに到達不可能となった場合はデバイスの障害が引き起こされますデフォルトの動作では IP アドレスのいずれかに到達不可能となった場合デバイスの HA 状態が not-functional に変わりモニター対象オブジェクトの障害を示します 126 スタートガイド

129 高可用性のセットアップアクティブ / パッシブ HA の前提条件上記のフェイルオーバーのトリガー条件に加えて管理者がデバイスを一時停止した場合またはプリエンプションが発生した場合もフェイルオーバーが引き起こされます注 : PA-3000 シリーズと PA-5000 シリーズのファイアウォールでは内部ヘルスチェックに失敗するとフェイルオーバーが引き起こされる場合がありますこのヘルスチェックは設定変更不可能で有効時はファイアウォール内のすべてのコンポーネントに対して動作状態を検証しますアクティブ / パッシブ HA の前提条件 Palo Alto Networks ファイアウォールで高可用性をセットアップするには次の前提条件を満たすファイアウォールのペアが必要です同じモデルペアの両方のデバイスが同じハードウェアまたは仮想マシンのモデルでなければなりません同じバージョンの PAN OS 両方のデバイスで同じバージョンの PAN OS を実行していて両方のアプリケーション URL および脅威データベースで最新の状態を保つ必要がありますまた同じ複数の仮想システム ( シングルまたはマルチ vsys) 機能を備えている必要があります同タイプのインターフェイス専用の HA リンクまたはインターフェイスタイプを HA に設定した管理ポートとインバンドポートの組み合わせですデバイスペア間の HA1 ( コントロールリンク ) 接続の IP アドレスを決定しますピアが直結されている場合または同じスイッチに接続されている場合は両方の HA1 IP アドレスが同じサブネット上になければなりません専用の HA ポートを持たないデバイスでは管理ポートをコントロールリンクの接続に使用できます管理ポートを使用すると両方のデバイスで管理プレーン間の通信を直接接続できますただし管理ポートはデバイス間で直結できないためネットワーク全体でこれら 2 つのインターフェイスを接続するルートがあることを確認してくださいレイヤー 3 を HA2 ( データ ) 接続の転送方法として使用する場合 HA2 リンクの IP アドレスを決定する必要があります経路指定されたネットワークを介して HA2 接続の通信を行う必要がある場合はレイヤー 3 のみを使用します HA2 リンクの IP サブネットは HA1 リンクのサブネットまたはファイアウォール上のデータポートに割り当てられたその他のサブネットと重複してはなりませんデバイス同士を直結する場合クロスオーバーケーブルを使用して HA ポートを接続しますスイッチまたはルーターを使用して接続をセットアップする場合ストレートケーブルを使用します同一ライセンスライセンスはデバイス固有のものであるためほかのデバイスと共有することはできませんそのため両方のデバイスで同一のライセンスを取得する必要があります両方のデバイスに同一のライセンスがない場合設定情報を同期するまたは等価性を管理してシームレスにフェイルオーバーを発生させることができませんスタートガイド 127

130 設定のガイドライン高可用性のセットアップ設定のガイドラインアクティブ (PeerA) およびパッシブ (PeerB) のペアを HA でセットアップするにはいくつかのオプションを両方のデバイスで同一の設定にしそれ以外のオプションを各デバイスで個別に ( 一致しないように ) 設定する必要がありますこれらの HA 設定はデバイス間で同期されません HA でのデバイスの設定手順をさらに進める場合はアクティブ / パッシブペアの設定を参照してください次の表に両方のデバイスで同一にする必要のある設定を示します PeerA と PeerB で同一にする設定 HA は両方のデバイスで有効にする必要があります両方のデバイスに同じグループ ID の値を割り当てる必要がありますグループ ID の値は設定したすべてのインターフェイスに対する仮想 MAC アドレスの作成に使用します仮想 MAC アドレスの形式は 00-1B-17:00: xx: yy で次のような意味を持ちます 00-1B-17: ベンダー ID 00: 固定 xx: HA のグループ ID yy: インターフェイス ID 新しいアクティブデバイスがタスクを引き継ぐ場合接続された新しいアクティブメンバーの各インターフェイスから Gratuitous ARP が送信され接続されたレイヤー 2 スイッチに仮想 MAC アドレスの新しい場所が通知されますインバンドポートを使用する場合 HA1 リンクと HA2 リンクのインターフェイスタイプを HA に設定する必要があります HA モードを [ アクティブ / パッシブ ] に設定する必要があります必要に応じて両方のデバイスでプリエンプションを有効にする必要がありますただしデバイス優先度は異なる値にする必要があります必要に応じて HA1 リンク (HA ピア間の通信用 ) の暗号化を両方のデバイスで設定する必要があります使用中の HA1 と HA1 のバックアップポートの組み合わせに応じて次の推奨事項に基づきハートビートバックアップを有効にするかどうかを判断してください HA1: 専用の HA1 ポート HA1 バックアップ : インバンドポート推奨 : ハートビートバックアップを有効にする HA1: 専用の HA1 ポート HA1 バックアップ : 管理ポート推奨 : ハートビートバックアップを有効にしない HA1: インバンドポート HA1 バックアップ : インバンドポート推奨 : ハートビートバックアップを有効にする HA1: 管理ポート HA1 バックアップ : インバンドポート推奨 : ハートビートバックアップを有効にしない 128 スタートガイド

131 高可用性のセットアップ設定のガイドライン以下の表に各デバイスで個別に設定する必要のある項目を示します個別の設定 PeerA PeerB コントロールリンクこのデバイス (PeerA) で設定されている HA1 リンクの IP アドレスデータリンクデータリンク情報は HA を有効にしてデバイス間のコントロールリンクを有効にした後にデバイス間で同期されますデバイス優先度 ( 必須プリエンプションが有効な場合 ) リンクモニタリングこのデバイスの主要トラフィックを処理する 1 つ以上の物理インターフェイスをモニタリングし失敗条件を定義しますパスモニタリングファイアウォールで ICMP ping を使用して応答状態を確認できる 1 つ以上の宛先 IP アドレスをモニタリングしますこのデバイス (PeerB) で設定されている HA1 リンクの IP アドレス専用の HA ポートを持たないデバイスでは管理ポートをコントロールリンクの IP アドレスに使用しますデフォルトでは HA2 リンクでレイヤー 2 の Ethernet が使用されますレイヤー 3 接続を使用する場合このデバイス (PeerA) のデータリンクの IP アドレスを設定しますアクティブにするデバイスの数値をピアよりも小さくする必要がありますそのため PeerA をアクティブデバイスとして機能させる場合デフォルト値の 100 をそのままにしておき PeerB の値をこれよりも大きくしますモニタリングするファイアウォール上の物理インターフェイスを選択しフェイルオーバーを引き起こす失敗条件 ([ いずれか ] または [ すべて ]) を定義します失敗条件 ([ すべて ] または [ いずれか ]) ping 間隔および ping の実行回数を定義します相互接続されたネットワークデバイスの可用性をモニタリングする場合は特にこれらの定義が役に立ちますたとえばサーバーに接続されたルーターの可用性サーバー自体への接続状態またはトラフィックフロー中に存在するその他いくつかの主要デバイスへの接続状態をモニタリングする場合などですモニタリング中のノード / デバイスが応答していない可能性がある場合特に負荷を受けている場合はパスモニタリングの障害の原因となりフェイルオーバーが引き起こされるためこのような状態がないかどうかを確認しますデフォルトでは HA2 リンクでレイヤー 2 の Ethernet が使用されますレイヤー 3 接続を使用する場合このデバイス (PeerB) のデータリンクの IP アドレスを設定します PeerB がパッシブの場合デバイス優先度の値を PeerA よりも大きく設定しますたとえば優先度の値を 110 に設定しますこのファイアウォール上でモニタリングする同様の物理インターフェイス群を選択しフェイルオーバーを引き起こす失敗条件 ([ すべて ] または [ いずれか ]) を定義します PeerB でもモニタリングしてフェイルオーバーのトリガー条件を判断できる同様のデバイス群または宛先 IP アドレス群を選択します失敗条件 ([ すべて ] または [ いずれか ]) ping 間隔および ping の実行回数を定義しますスタートガイド 129

132 アクティブ / パッシブペアの設定高可用性のセットアップアクティブ / パッシブペアの設定以下の手順は下のトポロジの例に示すようなアクティブ / パッシブ導入でファイアウォールのペアを設定する方法を示したものですデバイスの接続および設定ステップ 1 HA ポートを接続してデバイス間の物理的な接続をセットアップします専用の HA ポートを持つデバイスの場合 Ethernet ケーブルを使用してデバイスペアの専用の HA1 ポートと HA2 ポートを接続しますデバイス同士を直結する場合はクロスオーバーケーブルを使用します専用の HA ポートを持たないデバイスの場合 HA2 リンク用とバックアップ HA1 リンク用に 2 つのデータインターフェイスを選択します次に Ethernet ケーブルを使用して両デバイス間でこれらのインバンド HA インターフェイスを接続します HA1 リンク用の管理ポートを使用してネットワーク全体を通じて管理ポート同士を接続できることを確認しますペアのうちどちらかのデバイスを選択して次のタスクを完了しますステップ 2 ping を管理ポートで有効にします ping を有効にすることで管理ポートをハートビートバックアップの情報交換に使用できます 1. [Device] > [ セットアップ ] > [ 管理 ] の順に選択して画面上にある [ 管理インターフェイス設定 ] セクションで編集アイコンをクリックします 2. インターフェイスで許可されるサービスとして [Ping] を選択します 130 スタートガイド

高可用性のセットアップアクティブ / パッシブペアの設定デバイスの接続および設定 ( 続き) ステップ 3 ステップ 4 デバイスに専用の HA ポートがない場合データポートを HA ポートとして機能するように設定します専用の HA ポートを持つデバイスの場合ステップ 4 に進みますコントロールリンクの接続

133 高可用性のセットアップアクティブ / パッシブペアの設定デバイスの接続および設定 ( 続き) ステップ 3 ステップ 4 デバイスに専用の HA ポートがない場合データポートを HA ポートとして機能するように設定します専用の HA ポートを持つデバイスの場合ステップ 4 に進みますコントロールリンクの接続をセットアップします次の例はインターフェイスタイプを HA に設定したインバンドポートを示しています管理ポートをコントロールリンクとして使用するデバイスの場合 IP アドレス情報が自動的に入力されています 1. [Network] > [ インターフェイス ] の順に選択します 2. 使用するポート上でリンクがアップになっている確認します 3. インターフェイスを選択してタイプを HA に指定します 4. [ リンク速度 ] および [ リンクデュプレックス ] を必要に応じて設定します 1. [Device] > [ 高可用性 ] > [ 全般 ] の順に選択し [ コントロールリンク (HA1)] セクションを編集します 2. [ ポート ] ドロップダウンメニューから HA1 リンクとして使用するために配線したインターフェイスを選択します IP アドレスおよびネットマスクを設定します HA1 インターフェイスがそれぞれ別のサブネット上にある場合のみゲートウェイの IP アドレスを入力しますデバイス同士を直結している場合はゲートウェイを追加しないでくださいステップ 5 ( 任意 ) コントロールリンク接続の暗号化を有効にします一般的に 2 つのデバイスが直接接続されていない場合すなわちポートがスイッチまたはルーターに接続されている場合にリンクを保護するためにこの設定を使用します 1. HA キーをデバイスからエクスポートしてピアデバイスにインポートします a [Device] > [ 証明書の管理 ] > [ 証明書 ] の順に選択します b [HA キーのエクスポート ] を選択しますピアデバイスがアクセスできるネットワーク上の場所に HA キーを保存します c ピアデバイスで [Device] > [ 証明書の管理 ] > [ 証明書 ] の順に選択し [HA キーのインポート ] を選択してキーを保存した場所を検索しそのキーをピアデバイスにインポートします 2. [Device] > [ 高可用性 ] > [ 全般 ] の順に選択し [ コントロールリンク (HA1)] セクションを編集します 3. [ 暗号化を有効 ] を選択しますスタートガイド 131

134 アクティブ / パッシブペアの設定高可用性のセットアップデバイスの接続および設定 ( 続き) ステップ 6 バックアップコントロールリンクの接続をセットアップします 1. [Device] > [ 高可用性 ] > [ 全般 ] の順に選択し [ コントロールリンク (HA1 Backup)] セクションを編集します 2. HA1 バックアップインターフェイスを選択し IP アドレスとネットマスクを設定します 132 スタートガイド

135 高可用性のセットアップアクティブ / パッシブペアの設定デバイスの接続および設定 ( 続き) ステップ 7 デバイス間のデータリンク接続 (HA2) とバックアップ HA2 接続をセットアップします 1. [Device] > [ 高可用性 ] > [ 全般 ] の順に選択し [ データリンク (HA2)] セクションを編集します 2. データリンク接続のインターフェイスを選択します 3. [ 転送 ] の方法を選択しますデフォルトでは [ethernet] が選択されており HA ペアが直結されている場合またはスイッチ経由で接続されている場合に機能しますネットワーク経由でデータリンクトラフィックをルーティングする必要がある場合は [ip] または [udp] を転送方法に指定します 4. 転送方法として [ip] または [udp] を使用する場合は IP アドレスとネットマスクを入力します 5. [ セッション同期を有効にする ] が選択されていることを確認します 6. HA ピア間で HA2 データリンク上のモニタリングを有効にするには [HA2 キープアライブ ] を選択します設定されているしきい値 ( デフォルトはミリ秒 ) に基づいて障害が発生した場合定義されているアクションが発生しますアクティブ / パッシブ設定の場合 HA2 キープアライブの障害が発生すると critical レベルのシステムログメッセージが生成されます注意 [HA2 キープアライブ ] オプションは HA ペアの両方のデバイスまたは一方のデバイスに設定できますこのオプションが一方のデバイスでのみ有効な場合そのデバイスのみからキープアライブメッセージが送信されますもう一方のデバイスには障害が発生したかどうかが通知されます 7. [ データリンク (HA2 バックアップ )] セクションを編集しインターフェイスを選択し IP アドレスとネットマスクを追加しますスタートガイド 133

136 アクティブ / パッシブペアの設定高可用性のセットアップデバイスの接続および設定 ( 続き) ステップ 8 ステップ 9 コントロールリンクで専用 HA ポートまたはインバンドポートを使用している場合はハートビートバックアップを有効にします管理ポートをコントロールリンクに使用している場合はハートビートバックアップを有効にする必要はありませんデバイス優先度を設定してプリエンプションを有効にします特定のデバイスがアクティブデバイスに指定されていることを確認する場合のみこの設定が必要です詳細はデバイス優先度およびプリエンプションを参照してください 1. [Device] > [ 高可用性 ] > [ 全般 ] の順に選択し [ 選択設定 ] セクションを編集します 2. [ ハートビートバックアップ ] を選択します冗長なハートビートおよび Hello メッセージを送信する場合はハートビートバックアップのリンクを使用しますハートビートをデバイス間で送信できるようにするにはピア同士で管理ポートをルーティングできることを確認する必要があります 1. [Device] > [ 高可用性 ] > [ 全般 ] の順に選択し [ 選択設定 ] セクションを編集します 2. [ デバイス優先度 ] で優先度の数値を設定します優先度を高くするデバイスの数値を小さく設定する必要があります注意両方のファイアウォールで優先度の値が同じ場合 HA1 コントロールリンクで MAC アドレスが最も小さいファイアウォールがアクティブデバイスとなります 3. [ プリエンプティブ ] を選択しますアクティブデバイスとパッシブデバイスの両方でプリエンプティブを有効にする必要がありますステップ 10 ( 任意パッシブデバイスで設定している場合のみ ) パッシブデバイスで HA ポートのリンクステータスを変更します注意パッシブリンクの状態はデフォルトで [ シャットダウン ] が選択されています HA を有効にするとアクティブデバイスの HA ポートのリンク状態が緑に変わりパッシブデバイスの HA ポートが停止して赤く表示されますリンク状態を [ 自動 ] に設定するとフェイルオーバーが発生した場合にパッシブデバイスがタスクを引き継ぐまでの時間を短縮できますまたリンク状態をモニタリングすることもできますパッシブデバイスでリンク状態をアップにして物理インターフェイスの稼働状態および配線状態を保つには次の手順を実行します 1. [Device] > [ 高可用性 ] > [ 全般 ] の順に選択し [ アクティブ / パッシブ設定 ] セクションを編集します 2. [ パッシブリンク状態 ] を [ 自動 ] に設定します [ 自動 ] オプションを設定するとフェイルオーバーが発生した場合にパッシブデバイスがタスクを引き継ぐまでの時間を短縮できます注意インターフェイスの表示は ( 配線されていて稼働していることを示す ) 緑になっていますがフェイルオーバーが引き起こされるまではすべてのトラフィックが破棄されますパッシブリンク状態を変更する場合デバイスのリンク状態のみに基づいて隣接するデバイスからパッシブファイアウォールにトラフィックが転送されていないことを確認してください 134 スタートガイド

137 高可用性のセットアップアクティブ / パッシブペアの設定デバイスの接続および設定 ( 続き) ステップ 11 HA を有効にします 1. [Device] > [ 高可用性 ] > [ 全般 ] の順に選択し [ セットアップ ] セクションを編集します 2. [HA の有効化 ] を選択します 3. [ グループ ID] を設定しますこの ID はネットワーク上の HA ペアを一意に識別するもので複数の HA ペアでネットワーク上の同じブロードキャストドメインを共有する場合に必要となります 4. モードを [ アクティブパッシブ ] に設定します 5. [ 設定の同期の有効化 ] を選択しますこの設定によりアクティブデバイスとパッシブデバイスの間で設定を同期できるようになります 6. [ ピア HA IP アドレス ] でピアデバイスのコントロールリンクに割り当てられた IP アドレスを入力します専用の HA ポートを持たないデバイスにおいてピアが HA1 リンクとして管理ポートを使用している場合ピアの管理ポートの IP アドレスを入力します 7. [ バックアップ側ピア HA IP アドレス ] を入力しますステップ 12 設定の変更を保存します [Commit] をクリックしますステップ 13 HA ペアのもう一方のデバイスでステップ 2~ステップ 12を実行しますステップ 14 両方のデバイスで設定が完了したらアクティブ / パッシブ HA でそれらのデバイスがペアになっていることを確認します 1. 両方のデバイスで [Dashboard] にアクセスして [ 高可用性 ] ウィジェットを表示します 2. 下に示すようにデバイスがペアになっていて同期されていることを確認しますスタートガイド 135

アクティブ / パッシブペアの設定高可用性のセットアップデバイスの接続および設定 ( 続き) パッシブデバイス : ローカルデバイスの状態が [passive] 設定が [synchronized] と表示されますアクティブデバイス : ローカルデバイスの状態が [active] 設定が [synchronized] と表示

[Device] > [ 高可用性 ] > [ リンクおよびパスのモニタリング ] の順に選択します 2. [ リンクグループ ] セクションで [ 追加 ] をクリックします 3.

138 アクティブ / パッシブペアの設定高可用性のセットアップデバイスの接続および設定 ( 続き) パッシブデバイス : ローカルデバイスの状態が [passive] 設定が [synchronized] と表示されますアクティブデバイス : ローカルデバイスの状態が [active] 設定が [synchronized] と表示されますフェイルオーバー条件の定義フェイルオーバーのトリガーの設定ステップ 1 リンクモニタリングを設定するにはモニタリングするインターフェイスを定義しますこれらのインターフェイスでリンク状態を変更するとフェイルオーバーが引き起こされます 1. [Device] > [ 高可用性 ] > [ リンクおよびパスのモニタリング ] の順に選択します 2. [ リンクグループ ] セクションで [ 追加 ] をクリックします 3. [ リンクグループ ] 画面で [ 名前 ] を指定してモニタリングするインターフェイスを追加しそのグループの [ 失敗条件 ] を選択します定義するリンクグループが [ リンクグループ ] セクションに追加されますステップ 2 ( 任意 ) デバイスで ( 前の手順で ) 設定したリンクグループの失敗条件を変更しますデフォルトではモニタリング対象のリンクのいずれかに障害が発生するとデバイスでフェイルオーバーが引き起こされます 1. [ リンクモニタリング ] セクションを選択します 2. [ 失敗条件 ] を [ すべて ] に設定しますデフォルトの設定は [ いずれか ] です 136 スタートガイド

139 高可用性のセットアップアクティブ / パッシブペアの設定フェイルオーバーのトリガーの設定 ( 続き) ステップ 3 パスモニタリングを設定するにはファイアウォールで ping を実行してネットワーク接続を確認するための宛先 IP アドレスを定義します 1. [Device] > [ 高可用性 ] > [ リンクおよびパスのモニタリング ] の順に選択すると表示される [ パスグループ ] セクションで [ バーチャルワイヤーパスの追加 ] [VLAN パスの追加 ] [ 仮想ルーターパスの追加 ] のいずれかを選択します 2. [ 名前 ] ドロップダウンリストから適切な項目を選択しモニタリングする [ 送信元 IP] と [ 宛先 IP] のアドレスを画面の指示に従って追加します次にグループの [ 失敗条件 ] を選択します定義するパスグループが [ パスグループ ] セクションに追加されますステップ 4 ( 任意 ) デバイスで設定したすべてのパスグループの失敗条件を変更しますデフォルトではモニター対象のいずれかのパスに障害が発生するとデバイスでフェイルオーバーが引き起こされます [ 失敗条件 ] を [ すべて ] に設定しますデフォルトの設定は [ いずれか ] ですステップ 5 変更を保存します [Commit] をクリックしますスタートガイド 137

アクティブ / パッシブペアの設定高可用性のセットアップフェイルオーバーの確認 HA の設定が正しく動作することをテストするには手動でフェイルオーバーを引き起こしてデバイスの状態が正しく移行することを確認しますフェイルオーバーの確認ステップ 1 アクティブデバイスをサスペンドにします [Device] > [

140 アクティブ / パッシブペアの設定高可用性のセットアップフェイルオーバーの確認 HA の設定が正しく動作することをテストするには手動でフェイルオーバーを引き起こしてデバイスの状態が正しく移行することを確認しますフェイルオーバーの確認ステップ 1 アクティブデバイスをサスペンドにします [Device] > [ 高可用性 ] > [ 操作コマンド ] タブの順に選択すると表示される [ ローカルデバイスをサスペンド ] リンクをクリックしますステップ 2 パッシブデバイスがアクティブデバイスとしてタスクを引き継いでいることを確認します [Dashboard] の [ 高可用性 ] ウィジェットでパッシブデバイスの状態が [ アクティブ ] に変わっていることを確認しますステップ 3 サスペンドされたデバイスを稼働状態に戻しますプリエンプティブを有効にしている場合はしばらく待ってからプリエンプションが発生していることを確認します 1. 前にサスペンドにしたデバイスで [Device] > [ 高可用性 ] > [ 操作コマンド ] タブの順に選択して [ ローカルデバイスを稼働状態にする ] リンクを選択します 2. [Dashboard] の [ 高可用性 ] ウィジェットでデバイスがアクティブデバイスとしてタスクを引き継いでいることとピアがパッシブ状態に変わっていることを確認します 138 スタートガイド

すべて見る

Untitled

Untitled VPN 接続の設定 AnyConnect 設定の概要, 1 ページ AnyConnect 接続エントリについて, 2 ページハイパーリンクによる接続エントリの追加, 2 ページ手動での接続エントリの追加, 3 ページユーザ証明書について, 4 ページハイパーリンクによる証明書のインポート, 5 ページ手動での証明書のインポート,