Palo Alto Networks Administrator's Guide

Save this PDF as:
 WORD  PNG  TXT  JPG

Size: px
Start display at page:

Download "Palo Alto Networks Administrator's Guide"

Transcription

1 Palo Alto Networks 管理者ガイドリリース /12/28?????????? - Palo Alto Networks???

2 Palo Alto Networks, Inc Palo Alto Networks. All rights reserved. Palo Alto Networks PAN-OS および Panorama は Palo Alto Networks, Inc. の商標です その他の商標の所有権は それぞれの所有者に帰属します P/N A

3 2012? 12? 28? - Palo Alto Networks??? 目次 序章 このガイドについて Organization 表記規則 メモと警告 関連ドキュメント 第 1 章はじめに ファイアウォールの概要 機能と利点 管理インターフェイス 第 2 章スタートガイド ファイアウォールの準備 ファイアウォールのセットアップ ファイアウォール Web インターフェイスの使用 変更のコミット 設定ページへの移動 設定ページのテーブルの使用 必須フィールド トランザクションのロック サポート対象のブラウザ ファイアウォール設定でのヘルプの表示 詳細情報について テクニカルサポート Palo Alto Networks 3

4 第 3 章デバイス管理 システムセットアップ 設定 およびライセンス管理 管理設定の定義 操作設定の定義 サービス設定の定義 コンテンツ ID 設定の定義 セッション設定の定義 SNMP 統計サービス 設定ファイルの比較 ライセンスのインストール PAN-OS ソフトウェアのアップグレードとダウングレード 高可用性設定の PAN-OS のアップグレード PAN-OS ソフトウェアのダウングレード メンテナンスリリースのダウングレード 機能リリースのダウングレード 脅威およびアプリケーションの定義の更新 管理者ロール プロファイル およびアカウント ユーザー名とパスワードの要件 管理者ロールの定義 パスワードプロファイルの定義 管理アカウントの作成 管理者のアクセスドメインの指定 認証プロファイル 認証プロファイルのセットアップ ローカルユーザーデータベースの作成 RADIUS サーバーの設定 LDAP サーバーの設定 Kerberos 設定の設定 (Active Directory のネイティブ認証 ) 認証シーケンス 認証シーケンスのセットアップ ファイアウォールログ 設定のログ ログのエクスポートのスケジューリング ログ設定の設定の定義 システムログの設定の定義 HIP マッチログの設定の定義 アラームログの設定の定義 ログ設定の管理 SNMP トラップの宛先の設定 Syslog サーバーの設定 カスタム Syslog フィールドの 電子メール通知設定の指定 Palo Alto Networks

5 アラームの表示 Netflow 設定の設定 セキュリティ証明書のインポート エクスポート および生成 証明書 信頼された証明機関 証明書プロファイル OCSP レスポンダ ファイアウォールでの秘密鍵とパスワードの暗号化 [ マスターキーおよび診断 ] の設定項目 マスターキーの更新 高可用性 アクティブ / パッシブの HA アクティブ / アクティブの HA パケットフロー 導入オプション NAT に関する考慮事項 HA のセットアップ ファイアウォールの HA の有効化 仮想システム 仮想システム間の通信 共有ゲートウェイ 仮想システムの定義 共有ゲートウェイの設定 カスタムレスポンスページの定義 サポート情報の表示 第 4 章ネットワーク設定 ファイアウォール導入 バーチャルワイヤー導入 レイヤー 2 導入 レイヤー 3 導入 タップモード導入 バーチャルワイヤーの定義 パケットコンテンツの変更 ファイアウォールインターフェイス 現在のインターフェイスの表示 レイヤー 2 インターフェイスの設定 レイヤー 2 サブインターフェイスの設定 レイヤー 3 インターフェイスの設定 レイヤー 3 サブインターフェイスの設定 バーチャルワイヤーインターフェイスの設定 バーチャルワイヤーサブインターフェイスの設定 集約インターフェイスグループの設定 Palo Alto Networks 5

6 Ethernet の集約インターフェイスの設定 VLAN インターフェイスの設定 ループバックインターフェイスの設定 トンネルインターフェイスの設定 タップインターフェイスの設定 HA インターフェイスの設定 セキュリティゾーン セキュリティゾーンの定義 VLAN サポート 仮想ルーターとルーティングプロトコル Routing Information Protocol (RIP) Open Shortest Path First (OSPF) Border Gateway Protocol (BGP) マルチキャストルーティング 仮想ルーターの定義 DHCP サーバーと DHCP リレー DNS プロキシ ネットワークプロファイル インターフェイス管理プロファイルの定義 モニタープロファイルの定義 ゾーンプロテクションプロファイルの定義 第 5 章ポリシーとセキュリティプロファイル ポリシー ポリシー定義のガイドライン ポリシーのユーザーとアプリケーションの指定 セキュリティポリシー セキュリティポリシーの定義 NAT ポリシー NAT およびセキュリティポリシーでのゾーン設定の決定 NAT ルールオプション ネットワークアドレス変換ポリシーの定義 NAT ポリシーの例 Nat ポリシーベースの転送ポリシー 復号化ポリシー アプリケーションオーバーライドポリシー アプリケーションオーバーライドを指定するカスタムアプリケーション定義 アプリケーションオーバーライドポリシーの定義 キャプティブポータルポリシー キャプティブポータルポリシーの定義 DoS プロテクションポリシー DoS プロファイルの定義 Palo Alto Networks

7 セキュリティプロファイル アンチウイルスプロファイル アンチスパイウェアプロファイル 脆弱性防御プロファイル URL フィルタリングプロファイル ファイルブロッキングプロファイル データフィルタリングプロファイル DoS プロファイル その他のポリシーオブジェクト アドレスとアドレスグループ アドレス範囲の定義 アドレスグループの定義 地域の定義 アプリケーションとアプリケーショングループ アプリケーションの定義 シグネチャを使ったカスタムアプリケーション アプリケーショングループの定義 アプリケーションフィルタ サービス サービスグループ データパターン カスタム URL カテゴリ ダイナミックブロックリスト カスタムのスパイウェアシグネチャと脆弱性シグネチャ データパターンの定義 スパイウェアシグネチャと脆弱性シグネチャの定義 セキュリティプロファイルグループ ログ転送 復号プロファイル スケジュール 第 6 章レポートとログ ダッシュボードの使用 アプリケーションコマンドセンターの使用 アプリケーションスコープの使用 サマリーレポート 変化モニターレポート 脅威モニターレポート 脅威マップレポート ネットワークモニターレポート トラフィックマップレポート ログの表示 セッション情報の表示 Palo Alto Networks 7

8 ボットネットレポートの処理 ボットネットレポートの設定 ボットネットレポートの管理 PDF サマリーレポートの管理 ユーザーアクティビティレポートの管理 レポートグループの管理 電子メールで配信するレポートのスケジューリング レポートの表示 カスタムレポートの生成 不明なアプリケーションの識別と対処 対処 Palo Alto Networks からの App-ID のリクエスト その他の不明なトラフィック パケットキャプチャの実行 第 7 章ユーザー識別のためのファイアウォール設定 ユーザー ID の概要 ユーザー ID の動作 ユーザーおよびグループの識別 ユーザー ID コンポーネントの連携方法 ユーザー ID エージェント PAN-OS ユーザーマッピング ターミナルサービスエージェント PAN-OS LDAP グループクエリ ユーザー ID エージェント キャプティブポータル ユーザー識別のためのファイアウォールの設定 PAN-OS ユーザーマッピング設定 PAN-OS ユーザーマッピングの設定 ユーザーマッピングデータを共有するためのファイアウォールの設定 ユーザー ID エージェントのセットアップ ユーザー ID エージェントのインストール ユーザー ID エージェントの設定 ドメインコントローラの検出 ユーザー ID エージェントの動作のモニタリング ユーザー ID エージェントのアンインストールとアップグレード ターミナルサービスエージェントのセットアップ ターミナルサーバーでのターミナルサーバーエージェントのインストールまたはアップグレード ターミナルサーバーでのターミナルサーバーエージェントの設定 Palo Alto Networks

9 ターミナルサーバーでのターミナルサーバーエージェントのアンインストール 第 8 章 IPSec トンネルの設定 仮想プライベートネットワーク VPN トンネル IPSec と IKE IPSec および IKE 暗号プロファイル IPSec VPN のセットアップ IKE ゲートウェイの定義 IPSec トンネルのセットアップ IKE 暗号プロファイルの定義 IPSec 暗号プロファイルの定義 ファイアウォールの IPSec トンネル状態の表示 VPN 設定例 既存のトポロジ 新しいトポロジ VPN 接続の設定 VPN 接続のトラブルシューティング GlobalProtect 大規模 VPN 導入 概要 大規模 VPN ネットワークの導入 証明書と OCSP レスポンダ GlobalProtect ゲートウェイの設定 GlobalProtect ポータルの設定 GlobalProtect サテライトの設定 動的ルーティングプロトコルと大規模 VPN GlobalProtect ポータルのバックアップ 第 9 章 GlobalProtect の設定 概要 GlobalProtect の認証 GlobalProtect のセットアップ GlobalProtect エージェントのセットアップとアクティベーション GlobalProtect エージェントのセットアップ 第 10 章 Quality of Services (QoS) の設定 ファイアウォールでの QoS のサポート ファイアウォールインターフェイスの QoS の設定 Palo Alto Networks 9

10 QoS プロファイルの定義 QoS ポリシーの定義 QoS 統計情報の表示 第 11 章 VM シリーズのファイアウォールのセットアップ 概要 システム要件と制限事項 要件 制限事項 VM シリーズのファイアウォールのライセンス VM シリーズのファイアウォールのインストール トラブルシューティング 第 12 章 Panorama のセットアップ 概要 バーチャルアプライアンスとしての Panorama のセットアップ Panorama のインストール Panorama ネットワークインターフェイスの設定 ログストレージ容量の拡張 仮想ディスクの追加 ストレージパーティションのセットアップ M シリーズのアプライアンスでの Panorama のセットアップ 初期セットアップの実行 Panorama へのログイン デフォルトのパスワードの変更 高可用性 (HA) の設定 HA ペアでのログ優先順位の切り替え 第 13 章 Panorama を使用したデバイス中央管理 Panorama Web インターフェイスへのアクセス Panorama インターフェイスの使用 [Panorama] タブ デバイスの追加 デバイスグループの定義 Panorama 管理者ロール プロファイル およびアカウント Panorama 管理者ロールの定義 Panorama 管理アカウントの作成 管理者の Panorama アクセスドメインの指定 Palo Alto Networks

11 デバイスグループ ポリシーの処理 オブジェクトの処理 デバイスの処理 Panorama でのコミット操作 Panorama の下位互換性 テンプレート Panorama テンプレートの設定 新しいテンプレートの追加 テンプレートの設定 テンプレート設定のオーバーライド テンプレートの削除 ロギング ログおよびレポート ユーザーアクティビティレポートの生成 ログ収集のための Panorama の使用 分散ログ収集の導入 ログコレクタの管理 ログコレクタグループの定義 ファイアウォール導入情報の表示 ファイアウォール設定のバックアップ 設定のエクスポートのスケジューリング Panorama ソフトウェアのアップグレード 第 14 章 WildFire の設定 WildFire について ファイアウォールでの WildFire のセットアップ ファイアウォール上の WildFire 設定の設定 WildFire の転送の設定 WildFire データフィルタリングログ WildFire ポータルの利用 WildFire ポータル上の設定の設定 WildFire レポートの表示 付録 A カスタムページ デフォルトのアンチウイルスレスポンスページ デフォルトのアプリケーションブロックページ デフォルトのファイルブロッキングブロックページ デフォルトの URL フィルタリングレスポンスページ デフォルトのスパイウェア対策ダウンロードレスポンスページ デフォルトの暗号解除オプトアウトレスポンスページ Palo Alto Networks 11

12 キャプティブポータル確認ページ URL フィルタリングの続行とオーバーライドページ SSL VPN ログインページ SSL 証明書無効通知ページ 付録 B アプリケーションのカテゴリ サブカテゴリ テクノロジ 特徴 アプリケーションのカテゴリとサブカテゴリ アプリケーションテクノロジ アプリケーションの特徴 付録 C FIPS140-2 のサポート 付録 D オープンソースライセンス アーティスティックライセンス BSD GNU General Public License GNU Lesser General Public License MIT/X OpenSSH PSF PHP Zlib 索引 Palo Alto Networks

13 2012 年 12 月 28 日 - Palo Alto Networks 社外秘 序章 この序章は 以下のセクションで設定されています 次のセクションの このガイドについて 13 ページの Organization 15 ページの 表記規則 15 ページの メモと警告 15 ページの 関連ドキュメント このガイドについて このガイドは Palo Alto Networks ファイアウォールを ファイアウォールデバイスの Web インターフェイスを使用して管理する方法についてします このガイドの対象読者は ファイアウォールの導入 運用 保守を担当するシステム管理者です Organization このガイドの設定は以下のとおりです 第 1 章 はじめに ファイアウォールについて概説します 第 2 章 スタートガイド ファイアウォールのインストール方法をします 第 3 章 デバイス管理 基本的なファイアウォールシステムの設定と保守についてします 具体的には 2 台のファイアウォールを設定して高可用性を実現する方法 ユーザーアカウントを定義する方法 ソフトウェアのアップデート方法 設定の管理方法をします 第 4 章 ネットワーク設定 ルーティング設定など ネットワーク用にファイアウォールを設定する方法をします 第 5 章 ポリシーとセキュリティプロファイル ゾーン ユーザー 送信元 / 宛先アドレス アプリケーションに基づいてセキュリティポリシーとプロファイルを設定する方法をします 第 6 章 レポートとログ ファイアウォールによって生成されるレポートとログの表示方法をします Palo Alto Networks 序章 13

14 Organization 第 7 章 ユーザー識別のためのファイアウォール設定 ネットワークにアクセスしようとしているユーザーを識別するためのファイアウォールの設定方法をします 第 8 章 IPSec トンネルの設定 ファイアウォールに IP Security (IPSec) トンネルを設定する方法をします 第 9 章 GlobalProtect の設定 どの場所にあるクライアントシステムからでも安全にログインできる GlobalProtect をします 第 10 章 Quality of Services (QoS) の設定 ファイアウォールに Quality of Services (QoS) を設定する方法をします 第 12 章 Panorama のセットアップ Palo Alto Networks ファイアウォールの中央管理システムをインストールする方法についてします 第 13 章 Panorama を使用したデバイス中央管理 Panorama を使用して複数のファイアウォールを管理する方法をします 第 14 章 WildFire の設定 WildFire を使用して ファイアウォールを通過するマルウェアを分析およびレポートする方法をします 付録 A カスタムページ エンドユーザーにポリシー違反や特殊なアクセス条件を通知するカスタムレスポンスページの HTML コードを示します 付録 B アプリケーションのカテゴリ サブカテゴリ テクノロジ 特徴 Palo Alto Networks が定義しているアプリケーションカテゴリの一覧を示します 付録 C FIPS140-2 のサポート FIPS のファイアウォールサポートについてします 付録 D オープンソースライセンス 関連するオープンソースライセンスに関する情報が含まれています 14 序章 Palo Alto Networks

15 表記規則 表記規則 このガイドでは 特殊な用語と手順に以下の表記規則を使用します 規則意味例 太字 斜体 クーリエ体 コマンド名 キーワード Web インターフェイスで選択可能な項目 パラメータ名 ファイル名 ディレクトリ名 URL コード例 ユーザーがコマンドプロンプトに入力したテキスト セキュリティルールページを開くには [ セキュリティ ] をクリックします Palo Alto Networks のホームページのアドレスは です 以下のコマンドを入力します set deviceconfig system dnssettings クリック 左マウスボタンのクリック [Devices] タブの [ 管理者 ] をクリックし ます 右クリック 右マウスボタンのクリック コピーするルールの番号を右クリックし て [ ルールのコピー ] を選択します メモと警告 このガイドでは 以下の記号でメモと警告を表します 記号 メモ役に立つ提案や補足情報です 警告データ損失を引き起こす可能性のあるアクションを示します 関連ドキュメント このファイアウォールには以下のドキュメントが同梱されています Quick Start ( クイックスタート ) Palo Alto Networks License Agreement and Warranty (Palo Alto Networks 利用許諾契約および保証書 ) その他の関連ドキュメントは を参照してください Palo Alto Networks 序章 15

16 関連ドキュメント 16 序章 Palo Alto Networks

17 第 1 章 はじめに この章では ファイアウォールの概要についてします 次のセクションの ファイアウォールの概要 18 ページの 機能と利点 19 ページの 管理インターフェイス ファイアウォールの概要 Palo Alto Networks ファイアウォールでは ネットワークにアクセスしようとしている各アプリケーションを正確に識別し その識別に応じたセキュリティポリシーを指定できます プロトコルとポート番号のみでアプリケーションを識別する従来型のファイアウォールとは異なり パケット検査とアプリケーションシグネチャのライブラリを使用することで 使用するプロトコルとポート番号が同じアプリケーションを区別し 危害を及ぼす可能性がある 標準以外のポート番号を使用するアプリケーションを識別できます たとえば ポート 80 番を使用するすべての接続に対して同じポリシーを適用するのではなく アプリケーション毎にセキュリティポリシーを定義できます 識別した各アプリケーションに対しては 送信元および宛先のゾーンとアドレスに基づき トラフィックをブロックするセキュリティポリシー または許可するセキュリティポリシーを指定できます 各セキュリティーポリシーは ウィルス スパイウェアや他の脅威から守るために セキュリティプロファイルを指定することもできます Palo Alto Networks はじめに 17

18 機能と利点 機能と利点 このファイアウォールでは ネットワークへのアクセスを許可されたトラフィックを詳細に制御できます 主な機能と利点は 以下のとおりです アプリケーションベースでのポリシーの適用 アプリケーションを プロトコルとポート番号以外の情報も使用して識別するため アプリケーション毎に より効果的なアクセス制御が可能です リスクが高いアプリケーションやファイル共有などのリスクの高い操作をブロックできます Secure Socket Layer (SSL) プロトコルで暗号化されたトラフィックの暗号を解読して検査できます ユーザー ID ユーザー ID により管理者は ネットワークゾーンとアドレスの代わりに ( またはこれらに加えて ) ユーザーとユーザーグループに基づいてファイアウォールポリシーを設定および適用できます ファイアウォールは Microsoft Active Directory edirectory SunOne OpenLDAP および他のほとんどの LDAP ベースのディレクトリサーバーなど 多くのディレクトリサーバーと通信して ユーザーとグループの情報をファイアウォールに提供できます この情報を使用して保護された状態でアプリケーションを有効にするという優れた方法を実現でき ユーザーまたはグループ単位で定義することができます たとえば管理者は 会社内の 1 つの組織に ある Web ベースのアプリケーションの使用を許可し 他の組織でそのアプリケーションを使用できないようにすることが可能です また ユーザーおよびグループに基づいてアプリケーションの特定のコンポーネントをよりきめ細かく制御するように設定することもできます 281 ページの ユーザー識別のためのファイアウォール設定 を参照してください 脅威防御 ウイルス ワーム スパイウェア およびその他の悪意のあるトラフィックからネットワークを保護する脅威への対策サービスを アプリケーションとトラフィックの送信元毎に変えることができます (210 ページの セキュリティプロファイル を参照 ) URL フィルタリング 送信コネクションをフィルタリングして 不適切な Web サイトへのアクセスを止められます (217 ページの URL フィルタリングプロファイル を参照 ) トラフィックの可視性 幅広いレポート ログ および通知メカニズムにより ネットワークアプリケーショントラフィックとセキュリティイベントを詳細に観察できます Web インターフェイスの Application Command Center (ACC) を使用して トラフィック量が最大のアプリケーションや セキュリティリスクが最も高いアプリケーションを特定します (251 ページの レポートとログ を参照 ) 多機能なネットワーキングと速度 このファイアウォールは 既存のファイアウォールを補完したり 置き換えたりできます また どのネットワークにも透過的にインストールでき スイッチまたはルーティング環境をサポートするように設定できます マルチギガビットの速度と単一パスのアーキテクチャを実現しているため すべてのサービスでネットワークに遅延は発生しません GlobalProtect GlobalProtect は 世界中のどこからでも簡単かつ安全にログインできるようにすることで 現場で使用されるノートパソコンなどのクライアントシステムでセキュリティを確保します フェールセーフ機能 高可用性のサポートにより ハードウェアやソフトウェアに障害が発生した場合に自動的にフェイルオーバーされます (105 ページの ファイアウォールの HA の有効化 を参照 ) 18 はじめに Palo Alto Networks

19 管理インターフェイス マルウェアの分析とレポート WildFire は ファイアウォールを通過するマルウェアの詳細な分析とレポートを提供します VM-Series ファイアウォール 仮想化データセンター環境で使用するように位置付けられた PAN-OS の仮想インスタンスで 特に専用およびパブリッククラウドの導入に最適です Palo Alto Networks のハードウェアを導入しなくても VMware ESXi を実行可能な x86 デバイスすべてにインストールできます 管理および Panorama 各ファイアウォールを直観的にわかる Web インターフェイスまたはコマンドラインインターフェイス (CLI) によって管理するか またはすべてのデバイスを デバイス Web インターフェイスに非常によく似た Panorama 中央管理システムで一元的に管理することができます 管理インターフェイス ファイアウォールでは 以下の管理インターフェイスがサポートされています サポートされているブラウザのリストについては 27 ページの サポート対象のブラウザ を参照してください Web インターフェイス Web ブラウザから HTTP または HTTPS 経由で設定とモニタリングを行います CLI Telnet セキュアシェル (SSH) またはコンソールポート経由でテキストベースの設定とモニタリングを行います ( PAN-OS Command Line Interface Reference Guide (PAN- OS コマンドラインインターフェイスリファレンスガイド ) を参照 ) Panorama 複数のファイアウォールを Web ベースで管理し レポートし ログを記録する Palo Alto Networks 製品です Panorama インターフェイスは デバイスの Web インターフェイスに似ています ただし いくつかの管理機能が追加されています Panorama のインストール手順の詳細は 377 ページの Panorama のセットアップ を Panorama の使用方法の詳細は 387 ページの Panorama を使用したデバイス中央管理 を参照してください Simple Network Management Protocol (SNMP) RFC 1213 (MIB-II) および RFC 2665 (Ethernet インターフェイス ) でのリモートモニタリング また 1 つ以上のトラップ受信装置に対する SNMP トラップの生成をサポートします (78 ページの SNMP トラップの宛先の設定 を参照 ) Syslog 1 つ以上のリモート Syslog サーバー宛てにメッセージを生成します (80 ページの Syslog サーバーの設定 を参照 ) XML API ファイアウォールからデバイス設定 動作ステータス レポート およびパケットキャプチャにアクセスするための Representational State Transfer (REST) ベースのインターフェイスを提供します ファイアウォールで使用可能な API ブラウザがあります ( <firewall>/api) ここで <firewall> は ファイアウォールのホスト名または IP アドレスです このリンクは API コールのそれぞれのタイプで必要とされるパラメータのヘルプを提供します XML API 利用ガイドは の DevCenter オンラインコミュニティで利用できます Palo Alto Networks はじめに 19

20 管理インターフェイス 20 はじめに Palo Alto Networks

21 第 2 章 スタートガイド この章では ファイアウォールのセットアップ方法と使用開始手順についてします 次のセクションの ファイアウォールの準備 22 ページの ファイアウォールのセットアップ 23 ページの ファイアウォール Web インターフェイスの使用 28 ページの ファイアウォール設定でのヘルプの表示 注 :Panorama 中央管理システムのインストール手順の詳細は 377 ページの Panorama のセットアップ を参照してください ファイアウォールの準備 ファイアウォールをセットアップする前に 以下の準備作業を実行します 1. Hardware Reference Guide ( ハードウェアリファレンスガイド ) のに従って ラックにファイアウォールを設置し 電源をオンにします 2. でファイアウォールを登録して 最新のソフトウェアと App-ID 更新を取得し 電子メールで送られている認証コードを利用してサポートまたは契約をアクティベーションします 3. ファイアウォールの管理ポートを設定するために ネットワーク管理者から IP アドレスを取得します Palo Alto Networks スタートガイド 21

22 ファイアウォールのセットアップ ファイアウォールのセットアップ ファイアウォールの初期セットアップを実行するには 以下の手順を実行します 1. RJ-45 Ethernet ケーブルを使用して コンピュータをファイアウォールの管理ポート (MGT) に接続します 2. コンピュータを起動します ネットワークにあるコンピュータに ネットマスク を使用してスタティック IP アドレスを割り当てます ( たとえば ) 3. サポート対象の Web ブラウザを起動し と入力します Palo Alto Networks のログインページが自動的に開きます 4. [ 名前 ] と [ パスワード ] の両方に admin と入力して [ ログイン ] をクリックします デフォルトのパスワードを変更する必要があるという警告が表示されます [OK] クリックして続行します 5. [Device] タブで [ セットアップ ] を選択して 以下の内容 (Web インターフェイスの設定を設定する一般的な手順については 23 ページの ファイアウォール Web インターフェイスの使用 を参照 ) を設定します [ 管理インターフェイス設定 ] の下の [ 管理 ] タブで ファイアウォールの IP アドレス ネットマスク およびデフォルトのゲートウェイを入力します [ サービス ] タブで Domain Name System (DNS) サーバーの IP アドレスを入力します Network Time Protocol (NTP) サーバーの IP アドレス またはホストとドメイン名を入力し タイムゾーンを選択します サイドメニューで [ サポート ] をクリックします 社内で Palo Alto Networks ファイアウォールを初めて使用する場合は [ デバイスの登録 ] をクリックし ファイアウォールを登録します ( すでにファイアウォールを登録している場合は ユーザー名とパスワードを受け取っているはずです ) [ 認証コードを使用したサポートのアクティベーション ] リンクをクリックして オプション機能で使用する電子メールで送られている認証コードを入力します 複数の認証コードがある場合はスペースで区切ります 6. [Devices] タブの [ 管理者 ] をクリックします 7. [admin] をクリックします 8. [ 新しいパスワード ] と [ 再入力新しいパスワード ] フィールドに 大文字 小文字を区別してパスワード ( 最大 15 文字 ) を入力し 確認します 9. [OK] をクリックして 新しいパスワードを入力します 10. 設定をコミットしてこれらの設定項目をアクティブにします 変更がコミットされると ファイアウォールにステップ 5 で割り当てられた IP アドレスを介して到達できるようになります 変更のコミットの詳細は 25 ページの 変更のコミット を参照してください 注 : 工場出荷時 または工場出荷時の状態に戻した後のデフォルト設定は Ethernet ポート 1 と 2 の間のバーチャルワイヤーであり インバウンドトラフィックをすべて拒否するとともにアウトバウンドトラフィックをすべて許可するデフォルトポリシーが設定されています 22 スタートガイド Palo Alto Networks

23 ファイアウォール Web インターフェイスの使用 ファイアウォール Web インターフェイスの使用 ファイアウォールインターフェイスの使用操作には 以下の原則が適用されます 一般的な機能カテゴリのメニュー項目を表示するには ブラウザウィンドウの上部近くにある [Objects] や [Devices] など 該当するタブをクリックします パネルを表示するには サイドメニューで項目をクリックします サブメニュー項目を表示するには 項目の左にある アイコンをクリックします サブメ ニュー項目を非表示にするには 項目の左にある アイコンをクリックします ほとんどの設定ページで [ 追加 ] をクリックして新規項目を作成できます 1 つ以上の項目を削除するには 項目のチェックボックスをオンにして [ 削除 ] をクリックします ほとんどの場合 [OK] をクリックして削除を確認するか [ キャンセル ] をクリックして削除をキャンセルするようにメッセージが表示されます 一部の設定ページでは 項目のチェックボックスをオンにして [ コピー ] をクリックすると 選択した項目と同じ情報で新規項目を作成できます Palo Alto Networks スタートガイド 23

24 ファイアウォール Web インターフェイスの使用 項目を変更するには 下線の付いたリンクをクリックします ページのヘルプ情報を表示するには ページの右上エリアにある [ ヘルプ ] アイコンをクリックします タスクの現在のリストを表示するには ページの右下隅の [ タスク ] アイコンをクリックします [ タスクマネージャ ] ウィンドウが開き ステータス 開始時刻 関連付けられたメッセージ およびアクションと共にタスクのリストを表示します [ 表示 ] ドロップダウンリストを使用してタスクのリストをフィルタリングします Web インターフェイス言語は 特定の優先言語が定義されていない場合 デバイスを管理しているコンピュータの現在の言語に従います たとえば ファイアウォールの管理に使用するコンピュータのロケールがスペイン語の場合 そのファイアウォールにログインするときの Web インターフェイスはスペイン語で表示されます コンピュータのロケールに関係なく所定のアカウントでいつも使用する言語を指定するには ページの右下にある [ 言語 ] アイコンをクリックして [ 言語設定 ] ウィンドウを開きます ドロップダウンリストをクリックして目的の言語を選択し [OK] をクリックして変更を保存します 注 : オンデバイスヘルプシステムは 現在のところ英語のみでの提供です 他の言語でヘルプの内容すべてを表示するには Palo Alto Networks 管理者ガイド ( を参照してください 24 スタートガイド Palo Alto Networks

25 ファイアウォール Web インターフェイスの使用 変更できる情報を表示するページで ( たとえば [Devices] タブの [ セットアップ ] ページ ) セクションの右上隅のアイコンをクリックして 設定を編集します 設定を行った後は [OK] または [ 保存 ] をクリックして変更を保存する必要があります [OK] をクリックすると 現在の 候補 設定が更新されます 変更のコミット Web インターフェイスの上部で [ コミット ] をクリックして [ コミット ] ダイアログボックスを開きます [ コミット ] ダイアログボックスでは 以下のオプションを使用できます 必要な場合は [ 詳細 ] リンクをクリックして オプションを表示します デバイスとネットワーク設定を含める コミット操作にデバイスおよびネットワークの設定変更を含めます 共有オブジェクト設定を含める ( マルチ仮想システムファイアウォールのみ ) コミット操作に共有オブジェクトの設定変更を含めます ポリシーとオブジェクト設定を含める ( 非マルチ仮想システムファイアウォールのみ ) コミット操作にポリシーとオブジェクトの設定変更を含めます Palo Alto Networks スタートガイド 25

26 ファイアウォール Web インターフェイスの使用 仮想システム設定を含める すべての仮想システムを含めるか [1 つ以上の仮想システムを選択します ] を選択します 変更のコミットの詳細は 36 ページの 操作設定の定義 を参照してください プレビューの変更 候補設定で提案される変更点が現在の実行中の設定と比較表示される 2 ペインウィンドウを表示するには このボタンをクリックします 表示する行数を選択するか すべての行を表示できます 変更点は 追加 修正 または削除された項目に応じて色分けされます [Device] > [ 設定監査 ] でも同じ機能が実行されます 49 ページの 設定ファイルの比較 を参照してください 設定ページへの移動 このガイドの各設定セクションには 設定ページへのメニューパスが記載されています たとえば [ 脆弱性防御 ] ページを表示するには [Objects] タブを選択してから サイドメニューの [ セキュリティプロファイル ] の下で [ 脆弱性防御 ] を選択します このガイドでは この操作は以下のパスで示されます [Objects] > [ セキュリティプロファイル ] > [ 脆弱性防御 ] 設定ページのテーブルの使用 設定ページのテーブルには ソートおよび列を選択するオプションが含まれます 列ヘッダーをクリックしてその列をソートしてから もう一度クリックしてソート順序を変更します 任意の列の右にある矢印をクリックし 表示する列を選択するために チェックボックスをオンにします 必須フィールド 必須フィールドは 淡い黄色の背景で表示されます フィールドの入力領域をポイントまたはクリックすると フィールドが必須であることを示すメッセージが表示されます 26 スタートガイド Palo Alto Networks

27 ファイアウォール Web インターフェイスの使用 トランザクションのロック Web インターフェイスは複数の管理者に対応しており ある管理者が現在の一連のトランザクションをロックすると 別の管理者はロックが解除されるまで設定変更やコミット操作ができなくなります 以下のタイプのロックがサポートされています コンフィグロック 他の管理者が設定を変更できないようにブロックします このタイプのロックは グローバルに設定することも 1 つの仮想システムに設定することもできます このロックを解除できるのは ロックを設定した管理者またはシステムのスーパーユーザーだけです コミットロック すべてのロックが解除されるまで他の管理者が変更をコミットできないようにブロックします このタイプのブロックでは 2 人の管理者が同時に変更を行い 2 番目の管理者が変更を完了させる前に最初の管理者が変更を完了させてコミットするときに生じる可能性がある競合を回避します ロックは ロックを適用した管理者によって現在の変更がコミットされたときに解除されます または手動で解除することもできます どの管理者でもロックウィンドウを開いて ロックされている現在のトランザクションを表示できます これは それぞれのタイムスタンプと共に表示されます トランザクションをロックするには 上部のバーにあるロック解除アイコンをクリックして [ ロック ] ダイアログボックスを開きます [ ロック設定 ] をクリックし ドロップダウンリストからロックの範囲を選択して [OK] をクリックします 必要に応じてロックを追加し [ 閉じる ] をクリックして [ ロック ] ダイアログボックスを閉じます トランザクションがロックされて 上部のバーにあるアイコンがロックアイコンに変わり ロックされている項目の数がかっこ内に表示されます トランザクションのロックを解除するには 上部のバーにあるロックアイコンをクリックして [ ロック ] ウィンドウを開きます 解除するロックのアイコンをクリックし [Yes] をクリックして確定します [ 閉じる ] をクリックして [ ロック ] ダイアログボックスを閉じます コミットロックを自動実施するには [Device] タブの [ セットアップ ] ページの [ 管理 ] 領域にある [ コミットロックの自動実施 ] チェックボックスをオンにします 30 ページの システムセットアップ 設定 およびライセンス管理 を参照してください サポート対象のブラウザ ファイアウォール Web インターフェイスのアクセスでは 以下の Web ブラウザがサポートされています Internet Explorer 7+ Firefox 3.6+ Safari 5+ Chrome 11+ Palo Alto Networks スタートガイド 27

28 ファイアウォール設定でのヘルプの表示 ファイアウォール設定でのヘルプの表示 このセクションの情報を使用して ファイアウォール使用時にヘルプを表示します 詳細情報について このファイアウォールに関する詳細は 以下の情報を参照してください 一般的な情報 オンラインヘルプ Web インターフェイスの右上隅にある [ ヘルプ ] をクリックするとオンラインヘルプを参照できます ヒント スクリプト およびシグネチャを共有するために顧客 / パートナが交流して協力する分野 テクニカルサポート テクニカルサポートが必要な場合は お買い求めの販売代理店までお尋ねください KnowledgePoint オンラインサポートコミュニティ : Web サイト : 28 スタートガイド Palo Alto Networks

29 第 3 章 デバイス管理 この章では ファイアウォールの基本的なシステム設定方法と管理方法をします また 仮想システム 高可用性 およびログ機能についても概説します 次のセクションの システムセットアップ 設定 およびライセンス管理 49 ページの 設定ファイルの比較 50 ページの ライセンスのインストール 51 ページの PAN-OS ソフトウェアのアップグレードとダウングレード 57 ページの 脅威およびアプリケーションの定義の更新 58 ページの 管理者ロール プロファイル およびアカウント 64 ページの 認証プロファイル 70 ページの 認証シーケンス 92 ページの 証明書プロファイル 72 ページの ファイアウォールログ 78 ページの SNMP トラップの宛先の設定 80 ページの Syslog サーバーの設定 86 ページの 電子メール通知設定の指定 87 ページの アラームの表示 88 ページの Netflow 設定の設定 89 ページの セキュリティ証明書のインポート エクスポート および生成 96 ページの 高可用性 113 ページの 仮想システム 117 ページの カスタムレスポンスページの定義 119 ページの サポート情報の表示 Palo Alto Networks デバイス管理 29

30 システムセットアップ 設定 およびライセンス管理 システムセットアップ 設定 およびライセンス管理 以下のセクションでは ネットワーク設定の定義方法とファイアウォール設定の管理方法についてします 次のセクションの 管理設定の定義 36 ページの 操作設定の定義 40 ページの サービス設定の定義 43 ページの コンテンツ ID 設定の定義 45 ページの セッション設定の定義 47 ページの SNMP 48 ページの 統計サービス 50 ページの ライセンスのインストール 注 :[WildFire] タブ設定の設定の詳細は 425 ページの WildFire の設定 を参照してください 管理設定の定義 [Device] > [ セットアップ ] > [ 管理 ] [ セットアップ ] ページでは ファイアウォールの管理 操作 サービス コンテンツ識別 WildFire マルウェア分析およびレポート およびセッションの動作を設定できます 管理ポートを使用しない場合 ループバックインターフェイスを定義して ループバックインターフェイスの IP アドレスを介してファイアウォールを管理できます (147 ページの ループバックインターフェイスの設定 を参照 ) 必要に応じて このページで以下の作業を実行します ホスト名またはネットワーク設定を変更するには ページの最初のテーブルで [ 編集 ] をクリックし 以下の情報を指定します 表 1. 管理設定 項目 一般設定 ホスト名 ホスト名 ( 最大 31 文字 ) を入力します 名前の大文字と小文字は区別されます また 一意の名前にする必要があります 文字 数字 スペース ハイフン およびアンダースコアのみを使用してください ドメインファイアウォールの完全修飾ドメイン名 (FQDN) を入力します ( 最大 31 文字 ) ログインバナー ファイアウォールの [ ログイン ] ページに表示されるカスタムテキストを入力します このテキストは [ 名前 ] フィールドと [ パスワード ] フィールドの下に表示されます 30 デバイス管理 Palo Alto Networks

31 システムセットアップ 設定 およびライセンス管理 表 1. 管理設定 ( 続き ) 項目 タイムゾーン 表示言語 日時 シリアル番号 デバイス稼働場所 コミットロックの自動実施 証明書有効期限チェック ファイアウォールのタイムゾーンを選択します ドロップダウンリストから PDF レポートの言語を選択します 270 ページの PDF サマリーレポートの管理 を参照してください Web インターフェイスに特定の言語設定が設定されている場合でも PDF レポートではこの表示言語の設定で指定した言語が使用されます 23 ページの ファイアウォール Web インターフェイスの使用 の言語設定を参照してください ファイアウォールの日時を設定するには [Set Time] をクリックします 現在の日付 (YYYY/MM/DD) を入力するか カレンダーアイコンをクリックして月と日にちを選択します 現在の時刻を 24 時間形式 (HH:MM:SS) で入力します [Device] > [ セットアップ ] > [ サービス ] から NTP サーバーを定義することもできます (Panorama のみ ) ファイアウォールのシリアル番号を入力します ファイアウォールの緯度 (-90.0 ~ 90.0) と経度 ( ~ 180.0) を入力します 候補設定を変更するときにコミットロックを自動的に適用します 詳細は 27 ページの トランザクションのロック を参照してください デバイス内の証明書が有効期限に近くなったときに警告メッセージを作成するようにファイアウォールに指示します マルチ仮想システム機能複数の仮想システム ( ファイアウォールモデルでサポートされている場合 ) を使用できるようにするには [ セットアップ ] ページの上部にある [ マルチ仮想システム機能 ] の [ 編集 ] をクリックします チェックボックスをオンにして [OK] をクリックします 仮想システムの詳細は 113 ページの 仮想システム を参照してください 認証設定 認証プロファイル 証明書プロファイル アイドルタイムアウト 許容ログイン回数 ロックアウト時間 管理者がファイアウォールへのアクセスに使用する認証プロファイルを選択します 認証プロファイルの設定手順の詳細は 65 ページの 認証プロファイルのセットアップ を参照してください ファイアウォールへの管理者アクセスに使用する証明書プロファイルを選択します 証明書プロファイルの設定手順の詳細は 92 ページの 証明書プロファイル を参照してください タイムアウト間隔 (1 ~ 1440 分 ) を入力します 値を 0 にすると 管理 Web または CLI のセッションがタイムアウトしなくなります Web インターフェイスや CLI の最大ログイン試行回数 (1 ~ 10 デフォルトは 0) を入力します (1 ~ 10 デフォルトは 0) 0 にすると 無制限になります 最大試行回数に達したときのユーザーのロックアウト時間 (0 ~ 60 分 ) を入力します デフォルトは 0 で 試行回数に上限はありません Palo Alto Networks デバイス管理 31

32 システムセットアップ 設定 およびライセンス管理 表 1. 管理設定 ( 続き ) 項目 Panorama 設定 Panorama サーバー Palo Alto Networks の中央管理システムである Panorama の IP アドレスを入力します ( 存在する場合 ) Panorama を使用してデバイスを管理するには サーバーのアドレスが必要です 注 :Panorama が管理対象ファイアウォールに適用するポリシーを削除するには [Panorama ポリシーとオブジェクトを無効にする ] リンクをクリックします ポリシーとオブジェクトを Panorama から削除する前にローカルコピーをデバイスに保存する場合は 開いているダイアログボックスの [ 無効にする前に Panorama ポリシーとオブジェクトをインポート ] チェックボックスをオンにします [OK] をクリックします 注 : [ インポート ] チェックボックスをオンにすると ポリシーとオブジェクトが現在の候補設定にコピーされます この設定をコミットすると ポリシーとオブジェクトは設定の一部となり Panorama による管理の対象外となります デバイスおよびネットワークテンプレートを削除するには [ デバイスとネットワークテンプレートを無効にする ] リンクをクリックします デバイスとネットワークテンプレートのローカルコピーを保持する場合は 開いているダイアログボックスの [ デバイスとネットワークテンプレートを無効にする ] チェックボックスをオンにし [OK] をクリックします [ インポート ] チェックボックスをオンにすると デバイスとネットワークテンプレートで定義された設定が現在の候補設定にコピーされます この設定をコミットすると これらの項目は設定の一部となり Panorama による管理の対象外となります [ デバイスとネットワークテンプレートを有効にする ] をクリックするまで テンプレートはデバイスで受け入れられません Panorama サーバー 2 Panorama へのデータ受信のタイムアウト Panorama へのデータ送信のタイムアウト Panorama に送信される SSL のカウントの再試行 未使用のアドレスとサービスオブジェクトをデバイスと共有 (Panorama のみ ) Panorama が高可用性 (HA) モードで動作している場合 HA 設定に含まれる 2 番目の Panorama システムを指定します Panorama から TCP メッセージを受信するときのタイムアウト (1 ~ 120 秒 デフォルトは 20 秒 ) を入力します Panorama に TCP メッセージを送信するときのタイムアウト (1 ~ 120 秒 デフォルトは 20 秒 ) を入力します Panorama に s レイヤー (SSL) メッセージを送信するときの再試行回数 (1 ~ 64 デフォルトは 25) を入力します すべての Panorama 共有オブジェクトおよびデバイスグループ固有のオブジェクトを管理対象デバイスで共有するには このチェックボックスをオンにします オフにすると Panorama ポリシーのアドレス アドレスグループ サービス およびサービスグループオブジェクトへの参照がチェックされ 参照されないオブジェクトは共有されません このオプションにより オブジェクトの合計数を削減するために 必要なオブジェクトのみが管理対象デバイスに送信されます 32 デバイス管理 Palo Alto Networks

33 システムセットアップ 設定 およびライセンス管理 表 1. 管理設定 ( 続き ) 項目 共有オブジェクトが優先されます (Panorama のみ ) 管理インターフェイス設定 速度 IP アドレス ネットマスク デフォルトゲートウェイ IPv6 アドレス / プレフィックス デフォルト IPv6 ゲートウェイ 共有オブジェクトがデバイスグループオブジェクトよりも優先されることを指定するには このチェックボックスをオンにします このオプションはシステム全体の設定であり デフォルトではオフになっています このオプションをオフにすると デバイスグループによって同じ名前の対応するオブジェクトがオーバーライドされます このオプションがオン ( 選択 ) になっていると デバイスグループによって共有の場所にある同じ名前の対応するオブジェクトがオーバーライドされず 共有オブジェクトとしての同じ名前のデバイスグループオブジェクトは廃棄されます 管理インターフェイスのデータ速度とデュプレックスオプションを設定します フルデュプレックスまたはハーフデュプレックスで 10Mbps 100Mbps 1Gbps のいずれかを選択できます ファイアウォールにインターフェイス速度を決定させるには デフォルトのオートネゴシエート設定を使用します この設定は 隣接するネットワーク機器のポート設定と一致する必要があります 管理ポートの IP アドレスを入力します または ループバックインターフェイスの IP アドレスを使用してデバイスを管理することもできます このアドレスは リモートログの送信元アドレスとして使用されます IP アドレスのネットワークマスク ( など ) を入力します デフォルトルータの IP アドレスを入力します ( 管理ポートと同じサブネットにする必要があります ) ( 任意 ) 管理ポートの IPv6 アドレスを入力します ネットマスクを示すために IPv6 プレフィックスの長さが必要です ( たとえば 2001:400:f00::1/64) 管理ポートに IPv6 アドレスを割り当てた場合 デフォルトルータの IPv6 アドレスを入力します ( 管理ポートと同じサブネットにする必要があります ) サービス指定した管理インターフェイスのアドレスで有効にするサービス (HTTP HTTPS Telnet Secure Shell (SSH) ping) を選択します アクセス許可 IP アドレス ロギングおよびレポート設定 ログ保存エリア ユーザーアクティビティレポートの最大行数 ファイアウォール管理が許可される IP アドレスのリストを入力します ハードディスクの各ログタイプに割り当てる容量のパーセンテージを指定します パーセント値を変更する場合 関連付けられたディスクの割り当ては自動的に変更します すべての値の合計が 100% を超える場合 ページ上にメッセージが赤で表示され 設定を保存しようとするときにエラーメッセージが提示されます これが発生する場合 合計が 100% の上限を超えないようにパーセンテージを再調整します [OK] をクリックして設定を保存し [ デフォルトの復元 ] をクリックして すべてのデフォルト設定を復元します 注 : ログが最大サイズに達すると 最も古いエントリから上書きが始まります 既存のログを現在のサイズよりも小さくサイズ変更する場合 その変更をコミットした直後にファイアウォールによってログの削減が開始されます ( 最も古いログが最初に削除されます ) 詳細なユーザーアクティビティレポートでサポートされる最大行数 (1 ~ デフォルトは 65535) を入力します Palo Alto Networks デバイス管理 33

34 システムセットアップ 設定 およびライセンス管理 表 1. 管理設定 ( 続き ) 項目 CSV エクスポートの最大行数 設定監査のバージョン数 設定バックアップのバージョン数 平均ブラウズ時間 ( 秒 ) ページロードしきい値 ( 秒 ) Syslog メッセージ内にホスト名を含める LogDb 容量超過時トラフィック転送を停止 DP 高負荷時にログを有効にする トラフィックログビューの [CSV にエクスポート ] アイコンで生成される CSV レポートに表示される最大行数 ( 範囲は 1 ~ デフォルトは 65535) を入力します 保存可能な設定監査のバージョン数を入力します ( デフォルトは 100) この数を超えると最も古いバージョンが廃棄されます (Panorama のみ ) 保存可能な設定バックアップ数を入力します ( デフォルトは 100) この数を超えると最も古い設定バックアップが廃棄されます ユーザーアクティビティレポート のブラウズ時間計算方法を調整するには この変数を設定します 計算対象としては Web 広告やコンテンツ配信ネットワークとして分類されたサイトは無視されます ブラウズ時間の計算は URL フィルタリングログに記録されたコンテナページに基づきます 計算に含めるべきではない外部サイトからコンテンツをロードするサイトが多くあるため コンテナページがこの計算の基準として使用されます コンテナページの詳細は 44 ページの コンテナページ を参照してください 平均ブラウズ時間の設定は 管理者が想定するユーザーが Web ページを閲覧する平均時間です 平均ブラウズ時間が経過した後に行われたリクエストは 新しいブラウズアクティビティと見なされます 計算対象からは 最初のリクエスト時間 ( 開始時間 ) から平均ブラウズ時間までの間にロードされる新しい Web ページは無視されます この動作は 任意の Web ページ内にロードされる外部サイトを除外するために設計されています たとえば 平均ブラウズ時間が 2 分に設定されている場合は ユーザーが Web ページを開き そのページを 5 分間閲覧しても そのページのブラウズ時間は 2 分になります ユーザーがあるページを閲覧する時間を判断する方法がないため このような動作が設定されています ( 範囲は 0 ~ 300 秒 デフォルトは 60 秒 ) ユーザーアクティビティレポート のブラウズ時間計算方法を調整するには この変数を設定します このオプションを使用すると ページ要素がページにロードされるまでの推定時間を調整できます 最初のページのロードからページロードしきい値までの間に発生するリクエストは ページの要素と見なされます ページロードしきい値の範囲外で発生するリクエストは ページ内のリンクをユーザーがクリックしたものと見なされます ( 範囲は 0 ~ 60 秒 デフォルトは 20 秒 ) Syslog メッセージでデバイスのホスト名フィールドを送信するには このチェックボックスをオンにします このオプションが設定されている場合 Syslog メッセージのヘッダーにファイアウォールデバイスのホスト名が含まれます ログデータベースに空きがない場合にファイアウォール経由のトラフィックを停止するには このチェックボックスをオンにします ( デフォルトはオフ ) デバイスの負荷が大きい場合にシステムログエントリが生成されるようにするには このチェックボックスをオンにします ( デフォルトはオフ ) 34 デバイス管理 Palo Alto Networks

35 システムセットアップ 設定 およびライセンス管理 表 1. 管理設定 ( 続き ) 項目 パスワード複雑性設定 有効 ローカルアカウントのパスワードの最小要件を有効にします この機能を使用すると 定義されたパスワード要件が ファイアウォールのローカル管理者アカウントで確実に順守されます これらのオプションのサブセットを使用したパスワードプロファイルを作成し 設定をオーバーライドしたり 特定のアカウントに適用したりすることもできます 詳細は 61 ページの パスワードプロファイルの定義 を参照してください アカウントで使用できる有効な文字の詳細は 59 ページの ユーザー名とパスワードの要件 を参照してください 注 : 入力できるパスワードの最大文字数は 31 です 要件を設定するときには 許容されない組み合わせを作成しないようにしてください たとえば 大文字 10 個 小文字 10 個 数字 10 個 特殊文字 10 個の要件は 最大文字数の 31 を超えるため 設定できません 注 : 高可用性 (HA) を設定してある場合は パスワード複雑性のオプションを設定するときに必ずプライマリデバイスを使用し 変更を加えた後にすぐにコミットしてください 最少文字数 最少大文字数 最少小文字数 最少数字数 最少特殊文字数 繰り返し文字のブロック ユーザー名を含むパスワードを禁止 ( 逆順を含む ) 文字が異なる新規パスワード 初回ログイン時にパスワードの変更を要求 パスワードの再使用禁止制限 パスワード変更期間のブロック ( 日 ) パスワード有効期限 ( 日数 ) 失効の警告期間 ( 日数 ) 最少で 1 ~ 15 文字が必要です 最少で 0 ~ 15 文字の大文字が必要です 最少で 0 ~ 15 文字の小文字が必要です 最少で 0 ~ 15 文字の数字が必要です 最少で 0 ~ 15 文字の特殊文字 ( 英数字以外 ) が必要です 指定した値に基づいて繰り返し文字を禁止します たとえば 値を 4 に設定する場合 test2222 というパスワードは受け入れられませんが test222 は受け入れられます ( 範囲は 2 ~ 15) アカウントユーザー名 ( または名前の逆読みバージョン ) がパスワードで使用されないようにするには このチェックボックスをオンにします 管理者が自分のパスワードを変更するときに 文字は指定した値によって異なる必要があります 管理者がデバイスに初めてログインするときにパスワードの変更を求めるプロンプトを表示するには このチェックボックスをオンにします 指定した数に基づいて 以前のパスワードを再使用しないように要求します たとえば 値を 4 に設定すると 直近のパスワード 4 つを再使用することができません ( 範囲は 0 ~ 50) 指定した日数が経過するまで ユーザーはパスワードを変更できません ( 範囲は 0 ~ 365 日 ) 設定された日数 (0 ~ 365 日 ) で指定されたとおりに 管理者は定期的にパスワードを変更する必要があります たとえば 値を 90 に設定すると 管理者に 90 日ごとにパスワードの変更を求めるプロンプトが表示されます 失効の警告を 0 ~ 30 日の範囲で設定して猶予期間を指定することもできます 必須のパスワード変更期間を設定すると この設定を使用して 強制パスワード変更日が近づくとユーザーがログインするたびにパスワードの変更を求めるプロンプトを表示できます ( 範囲は 0 ~ 30 日 ) Palo Alto Networks デバイス管理 35

36 システムセットアップ 設定 およびライセンス管理 表 1. 管理設定 ( 続き ) 項目 許可された管理者失効ログイン ( 数 ) 失効後の猶予期間 ( 日数 ) アカウントが失効した後に 管理者は指定した回数ログインできます たとえば 値を 3 に設定し アカウントが失効した場合 管理者はアカウントがロックアウトされるまで 3 回ログインすることができます ( 範囲は 0 ~ 3 回 ) アカウントが失効した後に 管理者は指定した日数ログインできます ( 範囲は 0 ~ 30 日 ) 操作設定の定義 [Device] > [ セットアップ ] > [ 操作 ] 設定を変更して [OK] をクリックすると アクティブコンフィグではなく現在の 候補 設定が更新されます ページ上部の [ コミット ] をクリックすると 候補設定が実行中の設定に適用され 前回のコミットからの設定の変更がすべてアクティベーションされます この方法によって 設定をアクティベーションする前に確認できます 複数の変更を同時にアクティベーションすると 変更をリアルタイムに適用するときに発生することがある無効な設定状態を回避できます 候補設定は必要に応じて何回でも保存やロールバック ( 復元 ) ができます また 設定の読み込み 検証 インポート およびエクスポートを行うこともできます [ 保存 ] をクリックすると 現在の候補設定のコピーが作成され [ コミット ] を選択すると アクティブコンフィグが候補設定の内容で更新されます 注 : 画面の右上隅にある [ 保存 ] リンクをクリックして 入力した設定を定期的に保存することをお勧めします 設定を管理するには 以下の表でするように 該当する設定管理機能を選択します 表 2. 設定管理機能 機能 設定の管理 候補設定の検証 最後に保存した設定に戻す 実行中の設定に戻す 名前付き設定スナップショットの保存 候補設定の保存 候補設定にエラーがないかどうかが確認されます 最後に保存された候補設定がフラッシュメモリから復元されます 現在の候補設定は上書きされます 候補設定が保存されていない場合 エラーが発生します 前回の実行中の設定が復元されます 現在の実行中の設定はオーバーライドされます 候補設定がファイルに保存されます ファイル名を入力するか 上書きする既存のファイルを選択します 現在のアクティブコンフィグファイル (running-config.xml) はオーバーライドできません 候補設定がフラッシュメモリに保存されます ( ページ上部の [ 保存 ] をクリックした場合と同様 ) 36 デバイス管理 Palo Alto Networks

37 システムセットアップ 設定 およびライセンス管理 表 2. 設定管理機能 ( 続き ) 機能 名前付き設定スナップショットのロード 設定バージョンのエクスポート 名前付き設定スナップショットのエクスポート 設定バージョンのエクスポート デバイス状態のエクスポート 名前付き設定スナップショットのインポート デバイス状態のインポート アクティブコンフィグ (running-config.xml) や以前にインポートまたは保存された設定から候補設定が読み込まれます ロードする設定ファイルを選択します 現在の候補設定は上書きされます 指定したバージョンの設定が読み込まれます アクティブコンフィグ (running-config.xml) や以前に保存またはインポートされた設定がエクスポートされます エクスポートする設定ファイルを選択します このファイルは 開いたり ネットワーク上に保存したりすることができます 指定したバージョンの設定がエクスポートされます この機能は 大規模な VPN 機能が有効にされた GlobalProtect ポータルとして設定されているファイアウォールから 設定および動的情報をエクスポートするために使用します ポータルで障害が発生した場合 エクスポートファイルをインポートして ポータルの設定および動的情報を復元できます エクスポートには ポータルで管理されるすべてのサテライトデバイスのリスト エクスポート時の実行中の設定 およびすべての証明書情報 ( ルート CA サーバー およびサテライト証明書 ) が含まれます 重要 : デバイス状態のエクスポートを手動で実行するか スケジュール設定された XML API スクリプトを作成し リモートサーバーにファイルをエクスポートする必要があります サテライト証明書は頻繁に変更される可能性があるので この操作を定期的に行う必要があります CLI からデバイス状態ファイルを作成するには 設定モードで save device state を実行します ファイルには device_state_cfg.tgz という名前が付けられ /opt/pancfg/ mgmt/device-state に保存されます デバイス状態ファイルをエクスポートする操作コマンドは scp export device-state です (tftp export device-state を使用することもできます ) XML API の使用の詳細は documentation にある PAN-OS XML-Based Rest API Usage Guide (PAN- OS XML ベースの Rest API 利用ガイド ) を参照してください 327 ページの GlobalProtect 大規模 VPN 導入 を参照してください ネットワーク上から設定ファイルがインポートされます [ 参照 ] をクリックして インポートする設定ファイルを選択します [ デバイス状態のエクスポート ] オプションを使用してエクスポートされたデバイス状態の情報をインポートします これには 現在の実行中の設定 Panorama テンプレート 共有ポリシーが含まれます デバイスが Global Protect ポータルの場合 エクスポートには認証局 (CA) 情報 サテライトデバイスおよび認証情報のリストが含まれます Palo Alto Networks デバイス管理 37

38 システムセットアップ 設定 およびライセンス管理 表 2. 設定管理機能 ( 続き ) 機能 デバイスの操作 デバイスの再起動 デバイスのシャットダウン ファイアウォールを再起動するには [ デバイスの再起動 ] をクリックします ユーザーはログアウトされ PAN-OS ソフトウェアとアクティブコンフィグが再読み込みされます また 既存のセッションが終了し ログに記録され シャットダウンを開始した管理者名を示すシステムログエントリが作成されます 保存またはコミットされていない設定の変更は失われます (36 ページの 操作設定の定義 を参照 ) 注 :Web インターフェイスを使用できない場合は CLI コマンド request restart system を使用します 詳細は PAN-OS Command Line Interface Reference Guide (PAN-OS コマンドラインインターフェイスリファレンスガイド ) を参照してください ファイアウォールのグレースフルシャットダウンを実行するには [ デバイスのシャットダウン ] をクリックし 確認のプロンプトで [Yes] をクリックします 保存またはコミットされていない設定の変更は失われます すべての管理者がログオフされ 以下のプロセスが発生します すべてのログインセッションがログオフされます インターフェイスが無効になります すべてのシステムプロセスが停止します 既存のセッションが終了し ログに記録されます シャットダウンを開始した管理者名を示すシステムログが作成されます このログエントリを書き込めない場合は 警告が表示され システムはシャットダウンしません ディスクドライブが正常にアンマウントされ デバイスの電源がオフになります デバイスの電源をオンにするには 電源のプラグを抜いてから差し込み直す必要があります 注 : Web インターフェイスを使用できない場合は CLI コマンド request shutdown system を使用します 詳細は PAN-OS Command Line Interface Reference Guide (PAN-OS コマンドラインインターフェイスリファレンスガイド ) を参照してください データプレーンの再起動リブートせずにファイアウォールのデータ機能をリスタートするには [ データプレーンの再起動 ] をクリックします このオプションは PA-200 では使用できません 注 :Web インターフェイスを使用できない場合は CLI コマンド request restart dataplane を使用します 詳細は PAN-OS Command Line Interface Reference Guide (PAN-OS コマンドラインインターフェイスリファレンスガイド ) を参照してください 38 デバイス管理 Palo Alto Networks

39 システムセットアップ 設定 およびライセンス管理 表 2. 設定管理機能 ( 続き ) 機能 その他 カスタムロゴ SNMP のセットアップ 統計サービスのセットアップ このオプションを使用して 以下をカスタマイズします ログイン画面の背景イメージ メイン UI ( ユーザーインターフェイス ) ヘッダーのイメージ PDF レポートのタイトルページのイメージ 270 ページの PDF サマリーレポートの管理 を参照してください PDF レポートフッターのイメージをクリックしてイメージファイルをアップロードし をクリックしてプレビューし をクリックして以前にアップロードしたイメージを削除します 以下の内容に注意してください サポートされているファイルタイプは png gif および jpg です デフォルトのロゴに戻るには エントリを削除してコミットします 任意のロゴイメージの最大イメージサイズは 128 KB です ログイン画面と主要なユーザーインターフェイスのオプションでは をクリックすると これから表示されるイメージが表示されます 必要な場合 イメージを切り取って収められます PDF レポートの場合 イメージは切り取られずに自動的にサイズ変更されて 収まります すべてのケースにおいて プレビューは推奨されるイメージのサイズを表示します PDF レポートの生成の詳細は 270 ページの PDF サマリーレポートの管理 を参照してください SNMP パラメータを指定します 47 ページの SNMP を参照してください 統計サービスの設定を指定します 48 ページの 統計サービス を参照してください 注 :[ コミット ] をクリックするか commit CLI コマンドを入力すると Web インターフェイスおよび CLI で行った前回のコミット以降の変更がすべてアクティベーションされます 競合を回避するには 27 ページの トランザクションのロック でされているようにトランザクションロック機能を使用します Palo Alto Networks デバイス管理 39

40 システムセットアップ 設定 およびライセンス管理 サービス設定の定義 [Device] > [ セットアップ ]> [ サービス ] [ サービス ] タブを使用して Domain Name System (DNS) Network Time Protocol (NTP) 更新サーバー プロキシサーバー およびサービスルートの設定を定義します 表 3. サービス設定 機能 DNS プライマリ DNS サーバー DNS サービスのタイプを選択します この設定は FQDN アドレスオブジェクト ログ およびデバイス管理のサポートでファイアウォールによって開始されるすべての DNS クエリで使用されます オプションには 次の内容が含まれます ドメイン名解決に対するプライマリおよびセカンダリ DNS サーバー ファイアウォールに設定された DNS プロキシ プライマリ DNS サーバーの IP アドレスまたはホスト名を入力します このサーバーは 更新サーバーの検出 ログの DNS エントリの解決 FDQN ベースのアドレスオブジェクトなどのためにファイアウォールから DNS クエリを行う場合に使用されます セカンダリ DNS サーバープライマリサーバーを使用できない場合 使用するセカンダリ DNS サーバーの IP アドレスまたはホスト名を入力します ( 任意 ) プライマリ NTP サーバー セカンダリ NTP サーバー 更新サーバー 保護されたプロキシサーバー 保護されたプロキシポート 保護されたプロキシユーザー 保護されたプロキシパスワード再入力保護されたプロキシパスワード プライマリ NTP サーバーの IP アドレスまたはホスト名を入力します ( 存在する場合 ) NTP サーバーを使用しない場合 デバイスの時刻を手動で設定できます プライマリサーバーを使用できない場合 使用するセカンダリ NTP サーバーの IP アドレスまたはホスト名を入力します ( 任意 ) この設定は Palo Alto Networks から更新ファイルをダウンロードするのに使用されるサーバーの IP アドレスまたはホスト名を表します 現在値は updates.paloaltonetworks.com です テクニカルサポートから指示がない限り このサーバー名は変更しないでください デバイスがプロキシサーバーを使用して Palo Alto Networks 更新サービスにアクセスする必要がある場合は サーバーの IP アドレスまたはホスト名を入力します プロキシサーバーを指定する場合 ポートを入力します プロキシサーバーを指定する場合 サーバーにアクセスするためのユーザー名を入力します プロキシサーバーを指定する場合 サーバーにアクセスするユーザーのパスワードを入力して確認します 40 デバイス管理 Palo Alto Networks

41 システムセットアップ 設定 およびライセンス管理 表 3. サービス設定 ( 続き ) 機能 サービスルートの設定 [DNS] [ 電子メール ] [Palo Alto Updates] [NTP] など ファイアウォールがサービス通信のために他のサーバーまたはデバイスと通信する方法を指定します すべての通知で組み込みの管理ポート (MGT) を使用するには [ すべてに管理インターフェイスを使用 ] を選択します または サービスごとに詳細な制御を行うためにさまざまなインターフェイスを使用する場合は 特定の送信元 IP アドレスを定義します たとえば ファイアウォールと電子メールサーバー間のすべての電子メール通信に使用するインターフェイスの特定の送信元 IP を設定し Palo Alto 更新には別の送信元 IP またはインターフェイスを使用できます [ サービスルートの設定 ] をクリックし 以下を設定します すべてに管理インターフェイスを使用 外部サーバーとのファイアウォールサービス通信はすべて強制的に管理インターフェイス (MGT) を使用して行われます このオプションを選択する場合 ファイアウォールとサービスを提供するサーバーまたはデバイスとの間の通信を許可するように MGT インターフェイスを設定する必要があります MGT インターフェイスを設定するには [Device] > [ セットアップ ] > [ 管理 ] タブに移動し [ 管理インターフェイス設定 ] を編集します Select サービス通信の詳細な制御を設定するには このオプションを選択します 使用可能なサービスのリストと送信元アドレスを選択するドロップダウンを表示するテーブルが表示されます 目的のサービスを選択し [ 送信元アドレス ] ドロップダウンリストから送信元アドレスを選択します 送信元アドレス とは サービストラフィックの送信元となるインターフェイスに割り当てられた IP アドレスを指します 宛先は特定のサービスを設定するときに設定されるため 宛先アドレスを定義する必要はありません たとえば [Device] > [ セットアップ ] > [ サービス ] タブの [ サービス ] で DNS サーバーを定義すると DNS クエリの宛先が設定されます Palo Alto Networks デバイス管理 41

42 システムセットアップ 設定 およびライセンス管理 表 3. サービス設定 ( 続き ) 機能 サービスルートの設定 ( 続き ) [ 宛先 ] フィールドと [ 送信元アドレス ] フィールド ルートを指定するサービスが [ サービス ] 列に表示されていない場合は [ 宛先 ] フィールドと [ 送信元アドレス ] フィールドを使用して 他のサービスで使用されるルートを定義できます リストに表示されないサービスには Kerberos LDAP および Panorama ログコレクタ通信などがあります 宛先アドレスのサブネットは入力する必要がありません マルチテナント環境では 共通サービスで異なる送信先アドレスが必要な 宛先 IP ベースのサービスルートが必要になります たとえば 2 つのテナントが RADIUS を使用する必要がある場合がそうです サービスをルーティングするために使用されるインターフェイスにルーティングとポリシーが適切に設定されていることが重要です たとえば Kerberos 認証リクエストのルートを MGT ポート以外のインターフェイスに指定する場合 Kerberos はデフォルトの [ サービス ] 列には表示されないので [ サービスルートの設定 ] ウィンドウの右側のセクションで [ 宛先 ] と [ 送信元アドレス ] を設定する必要があります 例として Ethernet1/3 の送信元 IP アドレスが で Kerberos サーバーの宛先が であるとします この場合は デフォルトのルートを使用する既存の仮想ルーターに Ethernet1/3 を追加する必要があります または [Network] > [ 仮想ルーター ] から新しい仮想ルーターを作成し 必要に応じてスタティックルートを追加することができます これにより インターフェイスのすべてのトラフィックは確実に仮想ルーター経由でルーティングされ 適切な宛先に到達します この場合 宛先アドレスは で Ethernet1/3 の送信元 IP は /24 です 宛先と送信元アドレスの CLI 出力は 以下のようになります PA-200-Test# show route destination { { source address /24 } この設定では インターフェイス Ethernet1/3 のすべてのトラフィックは 仮想ルーターで定義されたデフォルトのルートを使用して に送信されます 42 デバイス管理 Palo Alto Networks

43 システムセットアップ 設定 およびライセンス管理 コンテンツ ID 設定の定義 [Device] > [ セットアップ ] > [ コンテンツ ID] [ コンテンツ ID] タブを使用して URL フィルタリング データ保護 およびコンテナページの設定を定義します 表 4. コンテンツ ID 設定 機能 URL フィルタリングダイナミック URL キャッシュのタイムアウト URL コンティニュータイムアウト URL 管理オーバーライドタイムアウト URL 管理ロックアウトタイムアウト x-forwarded-for ヘッダ情報の記録 x-forwarded-for 除去 復号化されたコンテンツの転送を許可 [ 編集 ] をクリックし タイムアウト値 ( 時間単位 ) を入力します この値はダイナミック URL フィルタリングで使用され この値により エントリが URL フィルタリングサービスから返された後にキャッシュに保持される期間が決定します このオプションは BrightCloud データベースのみを使用する URL フィルタリングに適用されます URL フィルタリングの詳細は 217 ページの URL フィルタリングプロファイル を参照してください ユーザーの [continue] アクションのタイムアウト時間を指定します ( 範囲は 1 ~ 分 デフォルトは 15 分 ) この時間に達する前に同じカテゴリの URL に対して [continue] をもう一度押す必要があります ユーザーが管理オーバーライドパスワードを入力したあとタイムアウトするまでの時間を指定します ( 範囲は 1 ~ 分 デフォルトは 900 分 ) この時間に達する前に同じカテゴリの URL に対して管理オーバーライドパスワードを再入力する必要があります ユーザーが URL 管理オーバーライドパスワードの試行が 3 回失敗したときに試行からロックアウトされる時間を指定します (1 ~ 分 デフォルトは 1800 分 ) 送信元 IP アドレスが含まれている X-Forwarded-For ヘッダーを含めます このオプションをオンにすると ファイアウォールによって HTTP ヘッダーに X-Forwarded-For ヘッダーがあるかどうかが検査されます プロキシでは X-Forwarded-For ヘッダーを使用して元のユーザーの送信元 IP アドレスを保持できます システムによってこの値が取得されて URL ログの [ 送信元ユーザー ] フィールドに Src: x.x.x.x が配置されます (x.x.x.x はヘッダーから読み込まれる IP アドレスです ) 送信元 IP アドレスが含まれている X-Forwarded-For ヘッダーを削除します このオプションをオンにすると ファイアウォールによってリクエストを転送する前にヘッダーの値がゼロに設定されるため 転送されるパケットには内部送信元 IP 情報が含まれなくなります ファイアウォールで外部のサービスに復号化されたコンテンツの転送を許可するには このチェックボックスをオンにします たとえば このオプションを設定すると 分析のためにファイアウォールから WildFire へ復号化されたコンテンツを送信できます マルチ VSYS 設定の場合 このオプションは VSYS ごとに設定されます Palo Alto Networks デバイス管理 43

44 システムセットアップ 設定 およびライセンス管理 表 4. コンテンツ ID 設定 ( 続き ) 機能 URL 管理オーバーライド URL 管理オーバーライドの設定 データ保護の管理 ページが URL フィルタリングプロファイルによってブロックされ [ オーバーライド ] アクションが指定されている場合に使用される設定を指定します 217 ページの URL フィルタリングプロファイル を参照してください [ 追加 ] をクリックし URL 管理オーバーライドに設定する仮想システム毎に以下を設定します 場所 ドロップダウンリストから仮想システムを選択します ( マルチ VSYS デバイスのみ ) パスワード / パスワード再入力 ブロックページをオーバーライドするためにユーザーが入力する必要があるパスワードを入力します サーバー証明書 指定したサーバーを介してリダイレクトされたときに SSL 通信で使用するサーバー証明書を選択します モード ブロックページが透過的に配信されるか ( ブロックされた Web サイトから発信したように見える ) 指定したサーバーにユーザーをリダイレクトするかを決定します [ リダイレクト ] を選択した場合 リダイレクトするための IP アドレスを入力します エントリを削除するには をクリックします クレジットカード番号や社会保障番号など重要な情報を含むログへのアクセスに対し拡張防御を追加します [ データ保護の管理 ] をクリックし 以下を設定します 新しいパスワードを設定するには ( まだ設定していない場合 ) [ パスワードの設定 ] をクリックします パスワードを入力し 確認のために再入力します パスワードを変更するには [ パスワードの変更 ] をクリックします 現在のパスワードを入力し 新しいパスワードを入力し 確認のために新しいパスワードを再入力します パスワードと保護されていたデータを削除するには [ パスワードの削除 ] をクリックします コンテナページコンテンツタイプ ( たとえば application/pdf application/soap+xml application/xhtml+ text/html text/plain text/xml) に基づいてファイアウォールで追跡または記録する URL のタイプを指定するには これらの設定を使用します [ 場所 ] ドロップダウンリストから選択する仮想システム毎にコンテナページが設定されます 仮想システムに明示的なコンテナページが定義されていない場合 デフォルトのコンテンツタイプが使用されます [ 追加 ] をクリックし コンテンツタイプを入力または選択します 仮想システムの新しいコンテンツタイプを追加すると コンテンツタイプのデフォルトのリストがオーバーライドされます 仮想システムに関連付けられているコンテンツタイプがない場合 コンテンツタイプのデフォルトのリストが使用されます 44 デバイス管理 Palo Alto Networks

45 システムセットアップ 設定 およびライセンス管理 セッション設定の定義 [Device] > [ セットアップ ] > [ セッション ] [ セッション ] タブでは IPv6 トラフィックのファイアウォールおよびポリシー変更時の既存のセッションへのセキュリティポリシーの再マッチングなどのセッションのエイジアウト時間とグローバルなセッション関連の設定を設定できます 表 5. セッション設定 フィールドセッション設定 セッションの再マッチング ICMPv6 トークンバケットサイズ ICMPv6 エラーパケット速度 Jumbo Frame Jumbo Frame の MTU IPv6 ファイアウォールの有効化 NAT64 IPv6 最小 MTU セッション保持時間自動短縮 セッションタイムアウト タイムアウト [ 編集 ] をクリックし [ 設定ポリシー変更のすべてのセッションを再マッチング ] チェックボックスをオンにします たとえば 以前は許可されていた Telnet が前回のコミットで [ 拒否 ] に変更されたとします デフォルトの動作では コミット前に開始した Telnet セッションは再マッチングされてブロックされます ICMPv6 エラーメッセージの帯域制限に対応するバケットサイズを入力します トークンバケットサイズは ICMPv6 エラーパケットのバーストをどの程度許容するかを制御するトークンバケットアルゴリズムのパラメータです ( 範囲は 10 ~ パケット デフォルトは 100) 全体として 1 秒間に許容される ICMPv6 エラーパケットの平均数を入力します ( 範囲は 10 ~ パケット / 秒 デフォルトは 100) この値はすべてのインターフェイスに適用されます ジャンボフレームのサポートを有効にする場合に選択します ジャンボフレームの最大 MTU は 9192 で 特定のプラットフォームで使用できます で入手できるファイアウォールモデルのスペックシートを参照してください IPv6 のファイアウォール機能を有効にするには [ 編集 ] をクリックして [IPv6 ファイアウォール設定 ] チェックボックスをオンにします IPv6 が有効になっていないと IPv6 ベースの設定はすべて無視されます IPv6 変換トラフィックのグローバル MTU 設定を変更できます ( デフォルトは 1280) デフォルトは IPv6 トラフィックの標準の最小 MTU に基づきます アイドル状態のセッションの加速されたエージングアウトを許可します 加速されたエージングを有効にして しきい値 (%) と倍率を指定するには このチェックボックスをオンにします セッションテーブルが [ セッション保持時間短縮の開始しきい値 ] (% フル ) に達すると [ セッション保持時間短縮倍率 ] がすべてのセッションのエージング計算に適用されます セッションのアイドル状態の時間は 実際のアイドル時間に倍率をかけて計算されます たとえば 10 の倍率が使用された場合 3600 秒後ではなく 360 秒後にセッションがタイムアウトします 各カテゴリのタイムアウトを秒数で指定します 範囲とデフォルトが表示されています Palo Alto Networks デバイス管理 45

46 システムセットアップ 設定 およびライセンス管理 表 5. セッション設定 ( 続き ) フィールド セッション機能 暗号証明書失効の設定 有効化 受信の有効期限 OCSP の有効化 受信の有効期限 証明書の状態が不明なセッションをブロックします 証明書の状態のチェックがタイムアウトしたセッションをブロックします 証明書の有効期限 ファイアウォールの証明書管理オプションを設定する場合に選択します 証明書無効リスト (CRL) を使用して SSL 証明書の有効性を確認するには このチェックボックスをオンにします 信頼された認証局 (CA) はそれぞれ CRL を管理し SSL 証明書が SSL 復号化に有効かどうか ( 無効でないか ) を判断します オンライン証明書状態プロトコル (OCSP) を使用することでも 証明書の無効状態を動的に確認することができます SSL 復号化の詳細は 202 ページの 復号化ポリシー を参照してください CRL リクエストがタイムアウトして状態が不明と判断されるまでの時間を指定します (1 ~ 60 秒 ) OCSP を使用して SSL 証明書の有効性を確認するには このチェックボックスをオンにします OCSP リクエストがタイムアウトして状態が不明と判断されるまでの時間を指定します (1 ~ 60 秒 ) 検証できない証明書をブロックするには このチェックボックスをオンにします 証明書情報リクエストがタイムアウトした場合に証明書をブロックするには このチェックボックスをオンにします 証明書状態のリクエストがタイムアウトするまでの時間を入力します (1 ~ 60 秒 ) 46 デバイス管理 Palo Alto Networks

47 システムセットアップ 設定 およびライセンス管理 SNMP [Device] > [ セットアップ ] > [ 操作 ] SNMPv2c および SNMPv3 の SNMP 管理情報ベース (MIB) へのアクセスを定義するには このページを使用します [ セットアップ ] ページの [SNMP のセットアップ ] をクリックし 以下の設定を指定します MIB モデルは システムによって生成されたすべての SNMP トラップを定義します システム内の各イベントログは 独自のオブジェクト識別子 (OID) を使用した独立した SNMP トラップとして定義され イベントログ内の各フィールドは 変数のバインド (varbind) リストとして定義されます 表 6. SNMP のセットアップ フィールド場所連絡先 イベント固有のトラップ定義を使用 バージョン ファイアウォールの物理的な場所を指定します ファイアウォールの管理者の名前や電子メールアドレスを入力します この設定は 標準システム情報の MIB でレポートされます イベントタイプに基づいて各 SNMP トラップの一意の OID を使用するには このチェックボックスをオンにします ( デフォルトはオン ) SNMP バージョン (V2c または V3) を選択します この設定で MIB 情報へのアクセスを制御します デフォルトでは V2c が public コミュニティ文字列に選択されています V2c の場合 以下の設定を設定します SNMP コミュニティ名 ファイアウォールのアクセスに使用する SNMP コミュニティ文字列を入力します ( デフォルトは [public]) V3 の場合 以下の設定を設定します 表示 [ 追加 ] をクリックして 以下の設定を指定します 名前 ビューのグループ名を指定します 表示 ビューの名前を指定します OID オブジェクト識別子 (OID) ( たとえば ) を指定します オプション OID をビューに含めるのか ビューから除外するのかを選択します マスク OID に適用するフィルタのマスク値を 16 進数形式で指定します ( たとえば 0xf0) ユーザー [ 追加 ] をクリックして 以下の設定を指定します ユーザー ユーザー名を指定します 表示 ユーザーのビューのグループを指定します 認証パスワード ユーザーの認証パスワードを指定します ( 最小 8 文字 最大 256 文字 文字制限なし ) あらゆる文字を使用できます Secure Hash Algorithm (SHA) だけがサポートされています 専用パスワード ユーザーの暗号化パスワードを指定します ( 最小 8 文字 最大 256 文字 文字制限なし ) Advanced Encryption Standard (AES) だけがサポートされています Palo Alto Networks デバイス管理 47

48 システムセットアップ 設定 およびライセンス管理 統計サービス [Device] > [ セットアップ ] > [ 操作 ] 統計サービス機能では アプリケーション 脅威 およびクラッシュに関する匿名情報をファイアウォールから Palo Alto Networks 調査チームに送信できます この情報を収集することで 調査チームは実際の情報に基づいて Palo Alto Networks 製品の有効性を継続的に改善することができます このサービスはデフォルトでは無効になっています 有効にすると 情報は 4 時間おきにアップロードされます ファイアウォールで以下のタイプの情報を送信することを許可できます アプリケーションおよび脅威レポート 不明なアプリケーションレポート URL レポート クラッシュのデバイストレース 送信される統計レポートのコンテンツのサンプルを表示するには レポートアイコンをクリックします [ レポートサンプル ] タブが開き レポートコードが表示されます レポートを表示するには 目的のレポートの横のチェックボックスをクリックし [ レポートサンプル ] タブをクリックします 48 デバイス管理 Palo Alto Networks

49 設定ファイルの比較 設定ファイルの比較 [Device] > [ 設定監査 ] 設定ファイルを表示および比較するには [ 設定監査 ] ページを使用します ドロップダウンリストから 比較する設定を選択します コンテキストに含める行数を選択して [ 実行 ] をクリックします 以下の図のように 差異が強調された状態で設定が表示されます ページには ドロップダウンリストの隣におよびボタンもあります 2 つの連続した設定バージョンを比較するときに有効になります をクリックして保存された設定の前のセットに比較される設定を変更し をクリックして保存された設定の次のセットに比較される設定を変更します 図 1. 設定の比較 Panorama では Panorama インターフェイスまたはローカルのファイアウォールのどちらで変更を行っても 各管理対象ファイアウォールでコミットされたすべての設定ファイルが自動的に保存されます Palo Alto Networks デバイス管理 49

50 ライセンスのインストール ライセンスのインストール [Device] > [ ライセンス ] Palo Alto Network からサブスクリプションを購入すると 1 つ以上のライセンスキーを有効にするために認証コードが送信されます URL フィルタリングの URL ベンダーライセンスをアクティベーションするには ライセンスをインストールし データベースをダウンロードし [ アクティベーション ] をクリックする必要があります 以下の機能は [ ライセンス ] ページで使用できます URL フィルタリングのライセンスを有効にするには [ アクティベーション ] をクリックします 認証コードを必要とする購入済みのサブスクリプションを有効にし サポートポータルをアクティベーションした場合は [ ライセンスサーバーからライセンスキーを取得 ] をクリックします 認証コードを必要とする購入済みのサブスクリプションを有効にし サポートポータルをアクティベーションしていない場合は [ 認証コードを使用した機能のアクティベーション ] をクリックします 認証コードを入力し [OK] をクリックします ファイアウォールがライセンスサーバーに接続されておらず ライセンスキーを手動でアップロードする場合は 以下の手順を実行します a. からライセンスキーのファイルを取得します b. ライセンスキーのファイルをローカルに保存します c. [ ライセンスキーの手動アップロード ] をクリックし [ 参照 ] をクリックしてファイルを選択し [OK] をクリックします ライセンスのインストール時に考慮すべき重要な項目 Web インターフェイスを使用して URL フィルタをアクティベーションできない場合 CLI コマンドを使用できます 詳細は PAN-OS Command Line Interface Reference Guide (PAN-OS コマンドラインインターフェイスリファレンスガイド ) を参照してください 50 デバイス管理 Palo Alto Networks

51 PAN-OS ソフトウェアのアップグレードとダウングレード PAN-OS ソフトウェアのアップグレードとダウングレード [Device] > [ ソフトウェア ] 新しいバージョンの PAN-OS ソフトウェアにアップグレードするには Palo Alto Networks から入手可能な PAN-OS ソフトウェアの最新バージョンを表示し 各バージョンのリリースノートを読み ダウンロードおよびインストールするバージョンを選択します ( サポートライセンスが必要です ) 必要に応じて [ ソフトウェア ] ページで以下の機能を実行します [ 更新 ] をクリックして Palo Alto Networks から入手可能なソフトウェアの最新バージョンを確認します バージョンの変更内容のおよびソフトウェアをインストールするための移行パスを表示するには [ リリースノート ] をクリックします 機能リリースをスキップすることはできません ある機能リリースから上位の機能リリースのメンテナンスリリースにアップグレードするには 先に基本イメージをダウンロードする必要があります メンテナンスリリースには基本イメージのリリース後に行われた変更のみが含まれ 完全なソフトウェアビルドは含まれていないため アップグレードには基本イメージが必要になります たとえば から にアップグレードする場合 のメンテナンスリリースアップグレードが の基本イメージファイルにアクセスできるように の基本イメージをダウンロードする必要があります ( インストールは不要 ) あるリリースから 2 つ上位の機能リリースにアップグレードする場合は それぞれの機能リリースにアップグレードする必要があります たとえば 4.0 から 5.0 にアップグレードするには 4.0 から 4.1 にアップグレードした後に 4.1 から 5.0 にアップグレードする必要があります 基本イメージファイルは アップグレードが完了した後に削除できますが 次回のメンテナンスリリースにアップグレードするときに基本イメージが必要となるため 削除することはお勧めしません アップグレードの必要がない古いリリースの基本イメージのみを削除してください たとえば 4.1 を実行している場合 ダウングレードする予定がなければ 3.1 や 4.0 の基本イメージは必要ありません ダウンロードサイトにある新しいバージョンをインストールするには [ ダウンロード ] をクリックします ダウンロードが完了すると [ ダウンロード済み ] 列にチェックマークが表示されます ダウンロードしたバージョンをインストールするには そのバージョンの横にある [ インストール ] をクリックします インストール時に インストールが完了したら再起動するかどうか尋ねられます インストールが完了すると ファイアウォールの再起動中はログアウトされます 再起動するように選択した場合 ファイアウォールが再起動します 機能リリースにアップグレードするときには (PAN-OS バージョンの先頭または 2 番目の数字が変更される 4.0 から から 5.0 など ) [ インストール ] をクリックすると これから機能リリースアップグレードを実行するというメッセージが表示されます 機能リリースでは 新機能に対応するために特定の設定が移行される場合があるので 現在の設定をバックアップする必要があります 54 ページの PAN-OS ソフトウェアのダウングレード を参照してください Palo Alto Networks デバイス管理 51

52 PAN-OS ソフトウェアのアップグレードとダウングレード 以前に PC に保存したバージョンをインストールするには [ アップロード ] をクリックします ソフトウェアパッケージを参照して選択し [ ファイルからインストール ] をクリックします ドロップダウンリストから選択したファイルを選択し [OK] をクリックしてイメージをインストールします 古いバージョンを削除するには [ 削除 ] アイコンをクリックします PAN-OS ソフトウェアのアップグレード時の注意事項 PAN-OS の以前のバージョンからアップグレードする場合 リリースノートでされている推奨パスに従って最新リリースにアップグレードします 高可用性 (HA) ペアを新しい機能リリースにアップグレードするときには (PAN-OS バージョンの先頭または 2 番目の数字が変更される 4.0 から から 5.0 など ) 新機能に対応するために設定が移行される場合があります セッション同期が有効になっている場合 クラスタ内に PAN-OS 機能リリースが異なるデバイスが 1 つでもあると セッションは同期されません ファイアウォールの日時設定には現在の日時を使用する必要があります PAN-OS ソフトウェアはデジタル署名されており 署名は新バージョンをインストールする前にデバイスによって確認されています ファイアウォールで現在以外の日付が設定されていると デバイスはソフトウェア署名の日付が誤って将来になっていると認識し 次のメッセージを表示します Decrypt failed: GnuPG edit non-zero, with code Failed to load into PAN software manager. 高可用性設定の PAN-OS のアップグレード このセクションでは アクティブ / パッシブモードまたはアクティブ / アクティブモードの高可用性 (HA) 設定で実行する PAN-OS ソフトウェアのアップグレードについてします セッション同期が有効になっている場合 クラスタ内に PAN-OS 機能リリースが異なるデバイスが 1 つでもあると セッションは同期されません セッションの継続が必要な場合は セッションテーブルの再作成中に非 SYN TCP を一時的に許可する必要があります 高可用性 (HA) 設定の詳細は 96 ページの 高可用性 を参照してください HA 設定の一般的な状態を表示するには [Dashboard] タブの [ 高可用性 ] ウィジットを表示します ウィジットが表示されていない場合は [ ウィジット ] ドロップダウンをクリックして [ システム ] > [ 高可用性 ] を選択します 以下の手順では 新しい機能リリースアップグレードを行うと想定しています メンテナンスリリースでも同じ手順を使用できますが セッション同期が有効になっていると 両方のデバイスが稼働している間は同期処理は中断されません また ペアで実行される上位リビジョンへのメンテナンスリリースにおいては 機能リリースとは異なり 非稼働状態にはなりません HA ペアを新しい機能リリースにアップグレードするには 以下の手順を実行します 注 : 以下の手順では アクティブ / パッシブおよびアクティブ / アクティブが適用されますが 用語が少し異なります アクティブ / パッシブには アクティブデバイスとパッシブデバイスがあります アクティブ / アクティブでは アクティブなプライマリデバイスとアクティブなセカンダリデバイスがあり クラスタが稼働しているときには両方のデバイスをトラフィックが通過します 52 デバイス管理 Palo Alto Networks

53 PAN-OS ソフトウェアのアップグレードとダウングレード 1. アップグレードプロセスの一般的な情報と重要な注意事項につていは 51 ページの PAN- OS ソフトウェアのアップグレードとダウングレード を参照しくてださい 2. 両方のデバイスの現在の設定ファイルのバックアップを保存します [Device] > [ セットアップ ] > [ 操作 ] タブに移動し [ 指定した設定のスナップショットをエクスポート ] を選択し [running-config.xml] を選択して [OK] をクリックすると コンピュータに設定ファイルが保存されます 3. パッシブファイアウォールまたはアクティブなセカンダリファイアウォール ( デバイス B) を新しい PAN-OS 機能リリースにアップグレードし 再起動してインストールを完了します 再起動すると デバイスはデバイス A ( アクティブまたはアクティブなプライマリ ) が稼働するまでサスペンド状態になります セッション同期が有効になっている場合 操作コマンド set session tcp-reject-nonsyn no を実行できます このコマンドにより セッションテーブルが再作成され アップグレード前のセッションが続行されます 両方のデバイスの機能リリースが同じになったら set session tcp-reject-non-syn yes を実行してこのオプションを有効にします アクティブ / パッシブモードでは 優先度の高いオプションが設定されている場合 状態同期が完了すると 現在のパッシブデバイスがアクティブに戻ります 4. アクティブファイアウォールまたはアクティブなプライマリファイアウォールをサスペンド状態にします これにより 強制的にパッシブファイアウォールまたはアクティブなセカンダリファイアウォール ( デバイス B) が稼働するようになります この時点で 両方のデバイスの PAN-OS 機能リリースが同じではないため セッション同期が停止します 引き続きデバイス A のアップグレードを行う前に デバイス B が稼働していて トラフィックが通過していることを確認します 5. デバイス A を新しい PAN-OS リリースにアップグレードし デバイスを再起動してインストールを完了します デバイス A が稼働するようになると セッション同期も含め すべての HA 機能が再開されます ステップ 3 のように非 SYN TCP を許可している場合 set session tcp-reject-non-syn yes を実行して元に戻すことができます 6. [Monitor] > [ セッションブラウザ ] を表示するか CLI から show session all を実行して トラフィックがアクティブデバイスを通過していることを確認します デバイスの HA の状態は show high-availability all match reason を実行して確認することもできます これがアクティブ / アクティブ設定の場合は トラフィックが両方のデバイスを通過していることを確認します セッション同期を確認するには show high-availability interface ha2 を実行します [Hardware Interface counters read from CPU] テーブルで カウンタの値が大きくなっていることを確認します アクティブ / パッシブコンフィグでは 送信済みパケットはアクティブデバイスのみで表示され パッシブデバイスには受信したパケットのみが表示されます アクティブ / アクティブでは 両方のデバイスで受信したパケットと送信したパケットが表示されます Palo Alto Networks デバイス管理 53

54 PAN-OS ソフトウェアのアップグレードとダウングレード PAN-OS ソフトウェアのダウングレード PAN-OS ソフトウェアをダウングレードする場合 PAN-OS リリースの種類 ( 機能またはメンテナンス ) に基づいて 異なる手順を実行する必要があります 機能リリース (PAN-OS バージョンの先頭または 2 番目の数字が変更される 4.0 から から 5.0 など ) では 新機能に対応するために設定が移行される場合があるため 前のリリースの設定も復元するのではない限り ダウングレードはお勧めしません メンテナンスリリースの場合は 設定の復元について心配せずにダウングレードできます 次のセクションの メンテナンスリリースのダウングレード 55 ページの 機能リリースのダウングレード 警告 : ソフトウェアバージョンに一致する設定にダウングレードすることをお勧めします ソフトウェアと設定が一致しないと ダウングレードが失敗するか システムが管理モードに強制される場合もあります これは メンテナンスリリースではなく 機能リリース間のダウングレードにのみ適用されます ダウングレードで問題が発生した場合は 管理モードでデバイスを工場出荷時状態に戻し アップグレード前にエクスポートされた元の設定ファイルから設定を復元します メンテナンスリリースのダウングレード メンテナンスリリースでは リリース番号の 3 番目の数字が変更されます (4.1.4 から または から 5.0.1) あるメンテナンスリリースから別のメンテナンスリリースにアップグレードする場合は機能変更がないため ダウングレード時に設定を復元する必要はありません 以前のメンテナンスリリースにダウングレードするには 以下の手順を実行します 1. 現在の設定ファイルのバックアップを保存します [Device] > [ セットアップ ] > [ 操作 ] タブに移動し [ 指定した設定のスナップショットをエクスポート ] を選択し [runningconfig.xml] を選択して [OK] をクリックすると 設定ファイルが保存されます ダウングレードで問題が発生し 出荷時状態に戻す必要がある場合には このバックアップを使用して設定を復元できます 2. [Device] > [ ソフトウェア ] に移動すると ダウンロード可能またはダウンロード済みの PAN- OS バージョンを一覧表示するソフトウェアページが表示されます 3. 以前のメンテナンスリリースにダウングレードするには 目的のリリースの [ アクション ] 列で [ インストール ] をクリックします 目的のバージョンに [ ダウンロード ] が表示されている場合は [ ダウンロード ] リンクをクリックしてソフトウェアパッケージを取得し [ インストール ] をクリックします 4. PAN-OS をダウングレードしたら [OK] をクリックしてデバイスを再起動し 新しいバージョンをアクティベーションします 54 デバイス管理 Palo Alto Networks

55 PAN-OS ソフトウェアのアップグレードとダウングレード 機能リリースのダウングレード 機能リリースでは リリース番号の先頭または 2 番目の数字が変更されます (4.0 から 4.1 または 4.1 から 5.0) ある機能リリースから別の機能リリースにアップグレードすると 新しい機能に対応するために設定が変更される場合があります そのため デバイスが機能リリースにアップグレードされる前に作成された設定バックアップを復元する必要があります PAN-OS 4.1 では 機能リリースにアップグレードするときに この設定バックアップが自動的に作成されます 以前の機能リリースにダウングレードするには 以下の手順を実行します 注 : この手順では 機能リリースにアップグレードする前の設定にデバイスが復元されます アップグレード後に行われた変更は失われます 新しいリリースに戻すときに これらの変更を復元する場合に備え 現在の設定をバックアップしてください 1. 現在の設定ファイルのバックアップを保存します [Device] > [ セットアップ ] > [ 操作 ] タブに移動し [ 指定した設定のスナップショットをエクスポート ] を選択し [runningconfig.xml] を選択して [OK] をクリックすると 設定ファイルが保存されます ダウングレードで問題が発生し 出荷時状態に戻す必要がある場合には このバックアップを使用して設定を復元できます 2. 以前の機能リリースにダウングレードするには [Device] > [ ソフトウェア ] に移動し 目的のリリースを含むページを参照して 以前の機能リリースを指定する必要があります 図 2 を参照してください 3. 機能リリースの [ アクション ] 列にある [ インストール ] をクリックします 目的のバージョンに [ ダウンロード ] が表示されている場合は [ ダウンロード ] リンクをクリックしてソフトウェアパッケージを取得し [ インストール ] をクリックします Palo Alto Networks デバイス管理 55

56 PAN-OS ソフトウェアのアップグレードとダウングレード 4. デバイスの再起動後に使用される設定を選択できるプロンプトが表示されます これは機能リリースのダウングレードであるため ほとんどの場合は デバイスを次の機能リリースにアップグレードしたときに自動保存された設定を選択します たとえば PAN-OS 5.0 を実行していて PAN-OS 4.1 にダウングレードする場合は 図 2 に示すように [ アクション ] 列の [ インストール ] をクリックし [ ダウンロード用設定ファイルの選択 ] ドロップダウンで autosave を選択します 図 2. 以前の機能リリースへのダウングレード 5. PAN-OS をインストールしたら [OK] をクリックしてデバイスを再起動し 新しいバージョンをアクティベーションします PAN-OS の選択した機能リリースと設定がアクティベーションされます 注 :4.1 より前のリリースでは 出荷時状態に戻し デバイスの復元が必要になる場合があります たとえば 4.0 から 3.1 にダウングレードする場合がそうです 56 デバイス管理 Palo Alto Networks