Palo Alto Networks Administrator's Guide

Transcription

1 Palo Alto Networks 管理者ガイドリリース /12/28?????????? - Palo Alto Networks???

2 Palo Alto Networks, Inc Palo Alto Networks. All rights reserved. Palo Alto Networks PAN-OS および Panorama は Palo Alto Networks, Inc. の商標です その他の商標の所有権は それぞれの所有者に帰属します P/N A

3 2012? 12? 28? - Palo Alto Networks??? 目次 序章 このガイドについて Organization 表記規則 メモと警告 関連ドキュメント 第 1 章はじめに ファイアウォールの概要 機能と利点 管理インターフェイス 第 2 章スタートガイド ファイアウォールの準備 ファイアウォールのセットアップ ファイアウォール Web インターフェイスの使用 変更のコミット 設定ページへの移動 設定ページのテーブルの使用 必須フィールド トランザクションのロック サポート対象のブラウザ ファイアウォール設定でのヘルプの表示 詳細情報について テクニカルサポート Palo Alto Networks 3

4 第 3 章デバイス管理 システムセットアップ 設定 およびライセンス管理 管理設定の定義 操作設定の定義 サービス設定の定義 コンテンツ ID 設定の定義 セッション設定の定義 SNMP 統計サービス 設定ファイルの比較 ライセンスのインストール PAN-OS ソフトウェアのアップグレードとダウングレード 高可用性設定の PAN-OS のアップグレード PAN-OS ソフトウェアのダウングレード メンテナンスリリースのダウングレード 機能リリースのダウングレード 脅威およびアプリケーションの定義の更新 管理者ロール プロファイル およびアカウント ユーザー名とパスワードの要件 管理者ロールの定義 パスワードプロファイルの定義 管理アカウントの作成 管理者のアクセスドメインの指定 認証プロファイル 認証プロファイルのセットアップ ローカルユーザーデータベースの作成 RADIUS サーバーの設定 LDAP サーバーの設定 Kerberos 設定の設定 (Active Directory のネイティブ認証 ) 認証シーケンス 認証シーケンスのセットアップ ファイアウォールログ 設定のログ ログのエクスポートのスケジューリング ログ設定の設定の定義 システムログの設定の定義 HIP マッチログの設定の定義 アラームログの設定の定義 ログ設定の管理 SNMP トラップの宛先の設定 Syslog サーバーの設定 カスタム Syslog フィールドの 電子メール通知設定の指定 Palo Alto Networks

5 アラームの表示 Netflow 設定の設定 セキュリティ証明書のインポート エクスポート および生成 証明書 信頼された証明機関 証明書プロファイル OCSP レスポンダ ファイアウォールでの秘密鍵とパスワードの暗号化 [ マスターキーおよび診断 ] の設定項目 マスターキーの更新 高可用性 アクティブ / パッシブの HA アクティブ / アクティブの HA パケットフロー 導入オプション NAT に関する考慮事項 HA のセットアップ ファイアウォールの HA の有効化 仮想システム 仮想システム間の通信 共有ゲートウェイ 仮想システムの定義 共有ゲートウェイの設定 カスタムレスポンスページの定義 サポート情報の表示 第 4 章ネットワーク設定 ファイアウォール導入 バーチャルワイヤー導入 レイヤー 2 導入 レイヤー 3 導入 タップモード導入 バーチャルワイヤーの定義 パケットコンテンツの変更 ファイアウォールインターフェイス 現在のインターフェイスの表示 レイヤー 2 インターフェイスの設定 レイヤー 2 サブインターフェイスの設定 レイヤー 3 インターフェイスの設定 レイヤー 3 サブインターフェイスの設定 バーチャルワイヤーインターフェイスの設定 バーチャルワイヤーサブインターフェイスの設定 集約インターフェイスグループの設定 Palo Alto Networks 5

6 Ethernet の集約インターフェイスの設定 VLAN インターフェイスの設定 ループバックインターフェイスの設定 トンネルインターフェイスの設定 タップインターフェイスの設定 HA インターフェイスの設定 セキュリティゾーン セキュリティゾーンの定義 VLAN サポート 仮想ルーターとルーティングプロトコル Routing Information Protocol (RIP) Open Shortest Path First (OSPF) Border Gateway Protocol (BGP) マルチキャストルーティング 仮想ルーターの定義 DHCP サーバーと DHCP リレー DNS プロキシ ネットワークプロファイル インターフェイス管理プロファイルの定義 モニタープロファイルの定義 ゾーンプロテクションプロファイルの定義 第 5 章ポリシーとセキュリティプロファイル ポリシー ポリシー定義のガイドライン ポリシーのユーザーとアプリケーションの指定 セキュリティポリシー セキュリティポリシーの定義 NAT ポリシー NAT およびセキュリティポリシーでのゾーン設定の決定 NAT ルールオプション ネットワークアドレス変換ポリシーの定義 NAT ポリシーの例 Nat ポリシーベースの転送ポリシー 復号化ポリシー アプリケーションオーバーライドポリシー アプリケーションオーバーライドを指定するカスタムアプリケーション定義 アプリケーションオーバーライドポリシーの定義 キャプティブポータルポリシー キャプティブポータルポリシーの定義 DoS プロテクションポリシー DoS プロファイルの定義 Palo Alto Networks

7 セキュリティプロファイル アンチウイルスプロファイル アンチスパイウェアプロファイル 脆弱性防御プロファイル URL フィルタリングプロファイル ファイルブロッキングプロファイル データフィルタリングプロファイル DoS プロファイル その他のポリシーオブジェクト アドレスとアドレスグループ アドレス範囲の定義 アドレスグループの定義 地域の定義 アプリケーションとアプリケーショングループ アプリケーションの定義 シグネチャを使ったカスタムアプリケーション アプリケーショングループの定義 アプリケーションフィルタ サービス サービスグループ データパターン カスタム URL カテゴリ ダイナミックブロックリスト カスタムのスパイウェアシグネチャと脆弱性シグネチャ データパターンの定義 スパイウェアシグネチャと脆弱性シグネチャの定義 セキュリティプロファイルグループ ログ転送 復号プロファイル スケジュール 第 6 章レポートとログ ダッシュボードの使用 アプリケーションコマンドセンターの使用 アプリケーションスコープの使用 サマリーレポート 変化モニターレポート 脅威モニターレポート 脅威マップレポート ネットワークモニターレポート トラフィックマップレポート ログの表示 セッション情報の表示 Palo Alto Networks 7

8 ボットネットレポートの処理 ボットネットレポートの設定 ボットネットレポートの管理 PDF サマリーレポートの管理 ユーザーアクティビティレポートの管理 レポートグループの管理 電子メールで配信するレポートのスケジューリング レポートの表示 カスタムレポートの生成 不明なアプリケーションの識別と対処 対処 Palo Alto Networks からの App-ID のリクエスト その他の不明なトラフィック パケットキャプチャの実行 第 7 章ユーザー識別のためのファイアウォール設定 ユーザー ID の概要 ユーザー ID の動作 ユーザーおよびグループの識別 ユーザー ID コンポーネントの連携方法 ユーザー ID エージェント PAN-OS ユーザーマッピング ターミナルサービスエージェント PAN-OS LDAP グループクエリ ユーザー ID エージェント キャプティブポータル ユーザー識別のためのファイアウォールの設定 PAN-OS ユーザーマッピング設定 PAN-OS ユーザーマッピングの設定 ユーザーマッピングデータを共有するためのファイアウォールの設定 ユーザー ID エージェントのセットアップ ユーザー ID エージェントのインストール ユーザー ID エージェントの設定 ドメインコントローラの検出 ユーザー ID エージェントの動作のモニタリング ユーザー ID エージェントのアンインストールとアップグレード ターミナルサービスエージェントのセットアップ ターミナルサーバーでのターミナルサーバーエージェントのインストールまたはアップグレード ターミナルサーバーでのターミナルサーバーエージェントの設定 Palo Alto Networks

9 ターミナルサーバーでのターミナルサーバーエージェントのアンインストール 第 8 章 IPSec トンネルの設定 仮想プライベートネットワーク VPN トンネル IPSec と IKE IPSec および IKE 暗号プロファイル IPSec VPN のセットアップ IKE ゲートウェイの定義 IPSec トンネルのセットアップ IKE 暗号プロファイルの定義 IPSec 暗号プロファイルの定義 ファイアウォールの IPSec トンネル状態の表示 VPN 設定例 既存のトポロジ 新しいトポロジ VPN 接続の設定 VPN 接続のトラブルシューティング GlobalProtect 大規模 VPN 導入 概要 大規模 VPN ネットワークの導入 証明書と OCSP レスポンダ GlobalProtect ゲートウェイの設定 GlobalProtect ポータルの設定 GlobalProtect サテライトの設定 動的ルーティングプロトコルと大規模 VPN GlobalProtect ポータルのバックアップ 第 9 章 GlobalProtect の設定 概要 GlobalProtect の認証 GlobalProtect のセットアップ GlobalProtect エージェントのセットアップとアクティベーション GlobalProtect エージェントのセットアップ 第 10 章 Quality of Services (QoS) の設定 ファイアウォールでの QoS のサポート ファイアウォールインターフェイスの QoS の設定 Palo Alto Networks 9

10 QoS プロファイルの定義 QoS ポリシーの定義 QoS 統計情報の表示 第 11 章 VM シリーズのファイアウォールのセットアップ 概要 システム要件と制限事項 要件 制限事項 VM シリーズのファイアウォールのライセンス VM シリーズのファイアウォールのインストール トラブルシューティング 第 12 章 Panorama のセットアップ 概要 バーチャルアプライアンスとしての Panorama のセットアップ Panorama のインストール Panorama ネットワークインターフェイスの設定 ログストレージ容量の拡張 仮想ディスクの追加 ストレージパーティションのセットアップ M シリーズのアプライアンスでの Panorama のセットアップ 初期セットアップの実行 Panorama へのログイン デフォルトのパスワードの変更 高可用性 (HA) の設定 HA ペアでのログ優先順位の切り替え 第 13 章 Panorama を使用したデバイス中央管理 Panorama Web インターフェイスへのアクセス Panorama インターフェイスの使用 [Panorama] タブ デバイスの追加 デバイスグループの定義 Panorama 管理者ロール プロファイル およびアカウント Panorama 管理者ロールの定義 Panorama 管理アカウントの作成 管理者の Panorama アクセスドメインの指定 Palo Alto Networks

11 デバイスグループ ポリシーの処理 オブジェクトの処理 デバイスの処理 Panorama でのコミット操作 Panorama の下位互換性 テンプレート Panorama テンプレートの設定 新しいテンプレートの追加 テンプレートの設定 テンプレート設定のオーバーライド テンプレートの削除 ロギング ログおよびレポート ユーザーアクティビティレポートの生成 ログ収集のための Panorama の使用 分散ログ収集の導入 ログコレクタの管理 ログコレクタグループの定義 ファイアウォール導入情報の表示 ファイアウォール設定のバックアップ 設定のエクスポートのスケジューリング Panorama ソフトウェアのアップグレード 第 14 章 WildFire の設定 WildFire について ファイアウォールでの WildFire のセットアップ ファイアウォール上の WildFire 設定の設定 WildFire の転送の設定 WildFire データフィルタリングログ WildFire ポータルの利用 WildFire ポータル上の設定の設定 WildFire レポートの表示 付録 A カスタムページ デフォルトのアンチウイルスレスポンスページ デフォルトのアプリケーションブロックページ デフォルトのファイルブロッキングブロックページ デフォルトの URL フィルタリングレスポンスページ デフォルトのスパイウェア対策ダウンロードレスポンスページ デフォルトの暗号解除オプトアウトレスポンスページ Palo Alto Networks 11

12 キャプティブポータル確認ページ URL フィルタリングの続行とオーバーライドページ SSL VPN ログインページ SSL 証明書無効通知ページ 付録 B アプリケーションのカテゴリ サブカテゴリ テクノロジ 特徴 アプリケーションのカテゴリとサブカテゴリ アプリケーションテクノロジ アプリケーションの特徴 付録 C FIPS140-2 のサポート 付録 D オープンソースライセンス アーティスティックライセンス BSD GNU General Public License GNU Lesser General Public License MIT/X OpenSSH PSF PHP Zlib 索引 Palo Alto Networks

13 2012 年 12 月 28 日 - Palo Alto Networks 社外秘 序章 この序章は 以下のセクションで設定されています 次のセクションの このガイドについて 13 ページの Organization 15 ページの 表記規則 15 ページの メモと警告 15 ページの 関連ドキュメント このガイドについて このガイドは Palo Alto Networks ファイアウォールを ファイアウォールデバイスの Web インターフェイスを使用して管理する方法についてします このガイドの対象読者は ファイアウォールの導入 運用 保守を担当するシステム管理者です Organization このガイドの設定は以下のとおりです 第 1 章 はじめに ファイアウォールについて概説します 第 2 章 スタートガイド ファイアウォールのインストール方法をします 第 3 章 デバイス管理 基本的なファイアウォールシステムの設定と保守についてします 具体的には 2 台のファイアウォールを設定して高可用性を実現する方法 ユーザーアカウントを定義する方法 ソフトウェアのアップデート方法 設定の管理方法をします 第 4 章 ネットワーク設定 ルーティング設定など ネットワーク用にファイアウォールを設定する方法をします 第 5 章 ポリシーとセキュリティプロファイル ゾーン ユーザー 送信元 / 宛先アドレス アプリケーションに基づいてセキュリティポリシーとプロファイルを設定する方法をします 第 6 章 レポートとログ ファイアウォールによって生成されるレポートとログの表示方法をします Palo Alto Networks 序章 13

14 Organization 第 7 章 ユーザー識別のためのファイアウォール設定 ネットワークにアクセスしようとしているユーザーを識別するためのファイアウォールの設定方法をします 第 8 章 IPSec トンネルの設定 ファイアウォールに IP Security (IPSec) トンネルを設定する方法をします 第 9 章 GlobalProtect の設定 どの場所にあるクライアントシステムからでも安全にログインできる GlobalProtect をします 第 10 章 Quality of Services (QoS) の設定 ファイアウォールに Quality of Services (QoS) を設定する方法をします 第 12 章 Panorama のセットアップ Palo Alto Networks ファイアウォールの中央管理システムをインストールする方法についてします 第 13 章 Panorama を使用したデバイス中央管理 Panorama を使用して複数のファイアウォールを管理する方法をします 第 14 章 WildFire の設定 WildFire を使用して ファイアウォールを通過するマルウェアを分析およびレポートする方法をします 付録 A カスタムページ エンドユーザーにポリシー違反や特殊なアクセス条件を通知するカスタムレスポンスページの HTML コードを示します 付録 B アプリケーションのカテゴリ サブカテゴリ テクノロジ 特徴 Palo Alto Networks が定義しているアプリケーションカテゴリの一覧を示します 付録 C FIPS140-2 のサポート FIPS のファイアウォールサポートについてします 付録 D オープンソースライセンス 関連するオープンソースライセンスに関する情報が含まれています 14 序章 Palo Alto Networks

15 表記規則 表記規則 このガイドでは 特殊な用語と手順に以下の表記規則を使用します 規則意味例 太字 斜体 クーリエ体 コマンド名 キーワード Web インターフェイスで選択可能な項目 パラメータ名 ファイル名 ディレクトリ名 URL コード例 ユーザーがコマンドプロンプトに入力したテキスト セキュリティルールページを開くには [ セキュリティ ] をクリックします Palo Alto Networks のホームページのアドレスは です 以下のコマンドを入力します set deviceconfig system dnssettings クリック 左マウスボタンのクリック [Devices] タブの [ 管理者 ] をクリックし ます 右クリック 右マウスボタンのクリック コピーするルールの番号を右クリックし て [ ルールのコピー ] を選択します メモと警告 このガイドでは 以下の記号でメモと警告を表します 記号 メモ役に立つ提案や補足情報です 警告データ損失を引き起こす可能性のあるアクションを示します 関連ドキュメント このファイアウォールには以下のドキュメントが同梱されています Quick Start ( クイックスタート ) Palo Alto Networks License Agreement and Warranty (Palo Alto Networks 利用許諾契約および保証書 ) その他の関連ドキュメントは を参照してください Palo Alto Networks 序章 15

16 関連ドキュメント 16 序章 Palo Alto Networks

17 第 1 章 はじめに この章では ファイアウォールの概要についてします 次のセクションの ファイアウォールの概要 18 ページの 機能と利点 19 ページの 管理インターフェイス ファイアウォールの概要 Palo Alto Networks ファイアウォールでは ネットワークにアクセスしようとしている各アプリケーションを正確に識別し その識別に応じたセキュリティポリシーを指定できます プロトコルとポート番号のみでアプリケーションを識別する従来型のファイアウォールとは異なり パケット検査とアプリケーションシグネチャのライブラリを使用することで 使用するプロトコルとポート番号が同じアプリケーションを区別し 危害を及ぼす可能性がある 標準以外のポート番号を使用するアプリケーションを識別できます たとえば ポート 80 番を使用するすべての接続に対して同じポリシーを適用するのではなく アプリケーション毎にセキュリティポリシーを定義できます 識別した各アプリケーションに対しては 送信元および宛先のゾーンとアドレスに基づき トラフィックをブロックするセキュリティポリシー または許可するセキュリティポリシーを指定できます 各セキュリティーポリシーは ウィルス スパイウェアや他の脅威から守るために セキュリティプロファイルを指定することもできます Palo Alto Networks はじめに 17

18 機能と利点 機能と利点 このファイアウォールでは ネットワークへのアクセスを許可されたトラフィックを詳細に制御できます 主な機能と利点は 以下のとおりです アプリケーションベースでのポリシーの適用 アプリケーションを プロトコルとポート番号以外の情報も使用して識別するため アプリケーション毎に より効果的なアクセス制御が可能です リスクが高いアプリケーションやファイル共有などのリスクの高い操作をブロックできます Secure Socket Layer (SSL) プロトコルで暗号化されたトラフィックの暗号を解読して検査できます ユーザー ID ユーザー ID により管理者は ネットワークゾーンとアドレスの代わりに ( またはこれらに加えて ) ユーザーとユーザーグループに基づいてファイアウォールポリシーを設定および適用できます ファイアウォールは Microsoft Active Directory edirectory SunOne OpenLDAP および他のほとんどの LDAP ベースのディレクトリサーバーなど 多くのディレクトリサーバーと通信して ユーザーとグループの情報をファイアウォールに提供できます この情報を使用して保護された状態でアプリケーションを有効にするという優れた方法を実現でき ユーザーまたはグループ単位で定義することができます たとえば管理者は 会社内の 1 つの組織に ある Web ベースのアプリケーションの使用を許可し 他の組織でそのアプリケーションを使用できないようにすることが可能です また ユーザーおよびグループに基づいてアプリケーションの特定のコンポーネントをよりきめ細かく制御するように設定することもできます 281 ページの ユーザー識別のためのファイアウォール設定 を参照してください 脅威防御 ウイルス ワーム スパイウェア およびその他の悪意のあるトラフィックからネットワークを保護する脅威への対策サービスを アプリケーションとトラフィックの送信元毎に変えることができます (210 ページの セキュリティプロファイル を参照 ) URL フィルタリング 送信コネクションをフィルタリングして 不適切な Web サイトへのアクセスを止められます (217 ページの URL フィルタリングプロファイル を参照 ) トラフィックの可視性 幅広いレポート ログ および通知メカニズムにより ネットワークアプリケーショントラフィックとセキュリティイベントを詳細に観察できます Web インターフェイスの Application Command Center (ACC) を使用して トラフィック量が最大のアプリケーションや セキュリティリスクが最も高いアプリケーションを特定します (251 ページの レポートとログ を参照 ) 多機能なネットワーキングと速度 このファイアウォールは 既存のファイアウォールを補完したり 置き換えたりできます また どのネットワークにも透過的にインストールでき スイッチまたはルーティング環境をサポートするように設定できます マルチギガビットの速度と単一パスのアーキテクチャを実現しているため すべてのサービスでネットワークに遅延は発生しません GlobalProtect GlobalProtect は 世界中のどこからでも簡単かつ安全にログインできるようにすることで 現場で使用されるノートパソコンなどのクライアントシステムでセキュリティを確保します フェールセーフ機能 高可用性のサポートにより ハードウェアやソフトウェアに障害が発生した場合に自動的にフェイルオーバーされます (105 ページの ファイアウォールの HA の有効化 を参照 ) 18 はじめに Palo Alto Networks

19 管理インターフェイス マルウェアの分析とレポート WildFire は ファイアウォールを通過するマルウェアの詳細な分析とレポートを提供します VM-Series ファイアウォール 仮想化データセンター環境で使用するように位置付けられた PAN-OS の仮想インスタンスで 特に専用およびパブリッククラウドの導入に最適です Palo Alto Networks のハードウェアを導入しなくても VMware ESXi を実行可能な x86 デバイスすべてにインストールできます 管理および Panorama 各ファイアウォールを直観的にわかる Web インターフェイスまたはコマンドラインインターフェイス (CLI) によって管理するか またはすべてのデバイスを デバイス Web インターフェイスに非常によく似た Panorama 中央管理システムで一元的に管理することができます 管理インターフェイス ファイアウォールでは 以下の管理インターフェイスがサポートされています サポートされているブラウザのリストについては 27 ページの サポート対象のブラウザ を参照してください Web インターフェイス Web ブラウザから HTTP または HTTPS 経由で設定とモニタリングを行います CLI Telnet セキュアシェル (SSH) またはコンソールポート経由でテキストベースの設定とモニタリングを行います ( PAN-OS Command Line Interface Reference Guide (PAN- OS コマンドラインインターフェイスリファレンスガイド ) を参照 ) Panorama 複数のファイアウォールを Web ベースで管理し レポートし ログを記録する Palo Alto Networks 製品です Panorama インターフェイスは デバイスの Web インターフェイスに似ています ただし いくつかの管理機能が追加されています Panorama のインストール手順の詳細は 377 ページの Panorama のセットアップ を Panorama の使用方法の詳細は 387 ページの Panorama を使用したデバイス中央管理 を参照してください Simple Network Management Protocol (SNMP) RFC 1213 (MIB-II) および RFC 2665 (Ethernet インターフェイス ) でのリモートモニタリング また 1 つ以上のトラップ受信装置に対する SNMP トラップの生成をサポートします (78 ページの SNMP トラップの宛先の設定 を参照 ) Syslog 1 つ以上のリモート Syslog サーバー宛てにメッセージを生成します (80 ページの Syslog サーバーの設定 を参照 ) XML API ファイアウォールからデバイス設定 動作ステータス レポート およびパケットキャプチャにアクセスするための Representational State Transfer (REST) ベースのインターフェイスを提供します ファイアウォールで使用可能な API ブラウザがあります ( <firewall>/api) ここで <firewall> は ファイアウォールのホスト名または IP アドレスです このリンクは API コールのそれぞれのタイプで必要とされるパラメータのヘルプを提供します XML API 利用ガイドは の DevCenter オンラインコミュニティで利用できます Palo Alto Networks はじめに 19

20 管理インターフェイス 20 はじめに Palo Alto Networks

21 第 2 章 スタートガイド この章では ファイアウォールのセットアップ方法と使用開始手順についてします 次のセクションの ファイアウォールの準備 22 ページの ファイアウォールのセットアップ 23 ページの ファイアウォール Web インターフェイスの使用 28 ページの ファイアウォール設定でのヘルプの表示 注 :Panorama 中央管理システムのインストール手順の詳細は 377 ページの Panorama のセットアップ を参照してください ファイアウォールの準備 ファイアウォールをセットアップする前に 以下の準備作業を実行します 1. Hardware Reference Guide ( ハードウェアリファレンスガイド ) のに従って ラックにファイアウォールを設置し 電源をオンにします 2. でファイアウォールを登録して 最新のソフトウェアと App-ID 更新を取得し 電子メールで送られている認証コードを利用してサポートまたは契約をアクティベーションします 3. ファイアウォールの管理ポートを設定するために ネットワーク管理者から IP アドレスを取得します Palo Alto Networks スタートガイド 21

22 ファイアウォールのセットアップ ファイアウォールのセットアップ ファイアウォールの初期セットアップを実行するには 以下の手順を実行します 1. RJ-45 Ethernet ケーブルを使用して コンピュータをファイアウォールの管理ポート (MGT) に接続します 2. コンピュータを起動します ネットワークにあるコンピュータに ネットマスク を使用してスタティック IP アドレスを割り当てます ( たとえば ) 3. サポート対象の Web ブラウザを起動し と入力します Palo Alto Networks のログインページが自動的に開きます 4. [ 名前 ] と [ パスワード ] の両方に admin と入力して [ ログイン ] をクリックします デフォルトのパスワードを変更する必要があるという警告が表示されます [OK] クリックして続行します 5. [Device] タブで [ セットアップ ] を選択して 以下の内容 (Web インターフェイスの設定を設定する一般的な手順については 23 ページの ファイアウォール Web インターフェイスの使用 を参照 ) を設定します [ 管理インターフェイス設定 ] の下の [ 管理 ] タブで ファイアウォールの IP アドレス ネットマスク およびデフォルトのゲートウェイを入力します [ サービス ] タブで Domain Name System (DNS) サーバーの IP アドレスを入力します Network Time Protocol (NTP) サーバーの IP アドレス またはホストとドメイン名を入力し タイムゾーンを選択します サイドメニューで [ サポート ] をクリックします 社内で Palo Alto Networks ファイアウォールを初めて使用する場合は [ デバイスの登録 ] をクリックし ファイアウォールを登録します ( すでにファイアウォールを登録している場合は ユーザー名とパスワードを受け取っているはずです ) [ 認証コードを使用したサポートのアクティベーション ] リンクをクリックして オプション機能で使用する電子メールで送られている認証コードを入力します 複数の認証コードがある場合はスペースで区切ります 6. [Devices] タブの [ 管理者 ] をクリックします 7. [admin] をクリックします 8. [ 新しいパスワード ] と [ 再入力新しいパスワード ] フィールドに 大文字 小文字を区別してパスワード ( 最大 15 文字 ) を入力し 確認します 9. [OK] をクリックして 新しいパスワードを入力します 10. 設定をコミットしてこれらの設定項目をアクティブにします 変更がコミットされると ファイアウォールにステップ 5 で割り当てられた IP アドレスを介して到達できるようになります 変更のコミットの詳細は 25 ページの 変更のコミット を参照してください 注 : 工場出荷時 または工場出荷時の状態に戻した後のデフォルト設定は Ethernet ポート 1 と 2 の間のバーチャルワイヤーであり インバウンドトラフィックをすべて拒否するとともにアウトバウンドトラフィックをすべて許可するデフォルトポリシーが設定されています 22 スタートガイド Palo Alto Networks

23 ファイアウォール Web インターフェイスの使用 ファイアウォール Web インターフェイスの使用 ファイアウォールインターフェイスの使用操作には 以下の原則が適用されます 一般的な機能カテゴリのメニュー項目を表示するには ブラウザウィンドウの上部近くにある [Objects] や [Devices] など 該当するタブをクリックします パネルを表示するには サイドメニューで項目をクリックします サブメニュー項目を表示するには 項目の左にある アイコンをクリックします サブメ ニュー項目を非表示にするには 項目の左にある アイコンをクリックします ほとんどの設定ページで [ 追加 ] をクリックして新規項目を作成できます 1 つ以上の項目を削除するには 項目のチェックボックスをオンにして [ 削除 ] をクリックします ほとんどの場合 [OK] をクリックして削除を確認するか [ キャンセル ] をクリックして削除をキャンセルするようにメッセージが表示されます 一部の設定ページでは 項目のチェックボックスをオンにして [ コピー ] をクリックすると 選択した項目と同じ情報で新規項目を作成できます Palo Alto Networks スタートガイド 23

24 ファイアウォール Web インターフェイスの使用 項目を変更するには 下線の付いたリンクをクリックします ページのヘルプ情報を表示するには ページの右上エリアにある [ ヘルプ ] アイコンをクリックします タスクの現在のリストを表示するには ページの右下隅の [ タスク ] アイコンをクリックします [ タスクマネージャ ] ウィンドウが開き ステータス 開始時刻 関連付けられたメッセージ およびアクションと共にタスクのリストを表示します [ 表示 ] ドロップダウンリストを使用してタスクのリストをフィルタリングします Web インターフェイス言語は 特定の優先言語が定義されていない場合 デバイスを管理しているコンピュータの現在の言語に従います たとえば ファイアウォールの管理に使用するコンピュータのロケールがスペイン語の場合 そのファイアウォールにログインするときの Web インターフェイスはスペイン語で表示されます コンピュータのロケールに関係なく所定のアカウントでいつも使用する言語を指定するには ページの右下にある [ 言語 ] アイコンをクリックして [ 言語設定 ] ウィンドウを開きます ドロップダウンリストをクリックして目的の言語を選択し [OK] をクリックして変更を保存します 注 : オンデバイスヘルプシステムは 現在のところ英語のみでの提供です 他の言語でヘルプの内容すべてを表示するには Palo Alto Networks 管理者ガイド ( を参照してください 24 スタートガイド Palo Alto Networks

25 ファイアウォール Web インターフェイスの使用 変更できる情報を表示するページで ( たとえば [Devices] タブの [ セットアップ ] ページ ) セクションの右上隅のアイコンをクリックして 設定を編集します 設定を行った後は [OK] または [ 保存 ] をクリックして変更を保存する必要があります [OK] をクリックすると 現在の 候補 設定が更新されます 変更のコミット Web インターフェイスの上部で [ コミット ] をクリックして [ コミット ] ダイアログボックスを開きます [ コミット ] ダイアログボックスでは 以下のオプションを使用できます 必要な場合は [ 詳細 ] リンクをクリックして オプションを表示します デバイスとネットワーク設定を含める コミット操作にデバイスおよびネットワークの設定変更を含めます 共有オブジェクト設定を含める ( マルチ仮想システムファイアウォールのみ ) コミット操作に共有オブジェクトの設定変更を含めます ポリシーとオブジェクト設定を含める ( 非マルチ仮想システムファイアウォールのみ ) コミット操作にポリシーとオブジェクトの設定変更を含めます Palo Alto Networks スタートガイド 25

26 ファイアウォール Web インターフェイスの使用 仮想システム設定を含める すべての仮想システムを含めるか [1 つ以上の仮想システムを選択します ] を選択します 変更のコミットの詳細は 36 ページの 操作設定の定義 を参照してください プレビューの変更 候補設定で提案される変更点が現在の実行中の設定と比較表示される 2 ペインウィンドウを表示するには このボタンをクリックします 表示する行数を選択するか すべての行を表示できます 変更点は 追加 修正 または削除された項目に応じて色分けされます [Device] > [ 設定監査 ] でも同じ機能が実行されます 49 ページの 設定ファイルの比較 を参照してください 設定ページへの移動 このガイドの各設定セクションには 設定ページへのメニューパスが記載されています たとえば [ 脆弱性防御 ] ページを表示するには [Objects] タブを選択してから サイドメニューの [ セキュリティプロファイル ] の下で [ 脆弱性防御 ] を選択します このガイドでは この操作は以下のパスで示されます [Objects] > [ セキュリティプロファイル ] > [ 脆弱性防御 ] 設定ページのテーブルの使用 設定ページのテーブルには ソートおよび列を選択するオプションが含まれます 列ヘッダーをクリックしてその列をソートしてから もう一度クリックしてソート順序を変更します 任意の列の右にある矢印をクリックし 表示する列を選択するために チェックボックスをオンにします 必須フィールド 必須フィールドは 淡い黄色の背景で表示されます フィールドの入力領域をポイントまたはクリックすると フィールドが必須であることを示すメッセージが表示されます 26 スタートガイド Palo Alto Networks

27 ファイアウォール Web インターフェイスの使用 トランザクションのロック Web インターフェイスは複数の管理者に対応しており ある管理者が現在の一連のトランザクションをロックすると 別の管理者はロックが解除されるまで設定変更やコミット操作ができなくなります 以下のタイプのロックがサポートされています コンフィグロック 他の管理者が設定を変更できないようにブロックします このタイプのロックは グローバルに設定することも 1 つの仮想システムに設定することもできます このロックを解除できるのは ロックを設定した管理者またはシステムのスーパーユーザーだけです コミットロック すべてのロックが解除されるまで他の管理者が変更をコミットできないようにブロックします このタイプのブロックでは 2 人の管理者が同時に変更を行い 2 番目の管理者が変更を完了させる前に最初の管理者が変更を完了させてコミットするときに生じる可能性がある競合を回避します ロックは ロックを適用した管理者によって現在の変更がコミットされたときに解除されます または手動で解除することもできます どの管理者でもロックウィンドウを開いて ロックされている現在のトランザクションを表示できます これは それぞれのタイムスタンプと共に表示されます トランザクションをロックするには 上部のバーにあるロック解除アイコンをクリックして [ ロック ] ダイアログボックスを開きます [ ロック設定 ] をクリックし ドロップダウンリストからロックの範囲を選択して [OK] をクリックします 必要に応じてロックを追加し [ 閉じる ] をクリックして [ ロック ] ダイアログボックスを閉じます トランザクションがロックされて 上部のバーにあるアイコンがロックアイコンに変わり ロックされている項目の数がかっこ内に表示されます トランザクションのロックを解除するには 上部のバーにあるロックアイコンをクリックして [ ロック ] ウィンドウを開きます 解除するロックのアイコンをクリックし [Yes] をクリックして確定します [ 閉じる ] をクリックして [ ロック ] ダイアログボックスを閉じます コミットロックを自動実施するには [Device] タブの [ セットアップ ] ページの [ 管理 ] 領域にある [ コミットロックの自動実施 ] チェックボックスをオンにします 30 ページの システムセットアップ 設定 およびライセンス管理 を参照してください サポート対象のブラウザ ファイアウォール Web インターフェイスのアクセスでは 以下の Web ブラウザがサポートされています Internet Explorer 7+ Firefox 3.6+ Safari 5+ Chrome 11+ Palo Alto Networks スタートガイド 27

28 ファイアウォール設定でのヘルプの表示 ファイアウォール設定でのヘルプの表示 このセクションの情報を使用して ファイアウォール使用時にヘルプを表示します 詳細情報について このファイアウォールに関する詳細は 以下の情報を参照してください 一般的な情報 オンラインヘルプ Web インターフェイスの右上隅にある [ ヘルプ ] をクリックするとオンラインヘルプを参照できます ヒント スクリプト およびシグネチャを共有するために顧客 / パートナが交流して協力する分野 テクニカルサポート テクニカルサポートが必要な場合は お買い求めの販売代理店までお尋ねください KnowledgePoint オンラインサポートコミュニティ : Web サイト : 28 スタートガイド Palo Alto Networks

29 第 3 章 デバイス管理 この章では ファイアウォールの基本的なシステム設定方法と管理方法をします また 仮想システム 高可用性 およびログ機能についても概説します 次のセクションの システムセットアップ 設定 およびライセンス管理 49 ページの 設定ファイルの比較 50 ページの ライセンスのインストール 51 ページの PAN-OS ソフトウェアのアップグレードとダウングレード 57 ページの 脅威およびアプリケーションの定義の更新 58 ページの 管理者ロール プロファイル およびアカウント 64 ページの 認証プロファイル 70 ページの 認証シーケンス 92 ページの 証明書プロファイル 72 ページの ファイアウォールログ 78 ページの SNMP トラップの宛先の設定 80 ページの Syslog サーバーの設定 86 ページの 電子メール通知設定の指定 87 ページの アラームの表示 88 ページの Netflow 設定の設定 89 ページの セキュリティ証明書のインポート エクスポート および生成 96 ページの 高可用性 113 ページの 仮想システム 117 ページの カスタムレスポンスページの定義 119 ページの サポート情報の表示 Palo Alto Networks デバイス管理 29

30 システムセットアップ 設定 およびライセンス管理 システムセットアップ 設定 およびライセンス管理 以下のセクションでは ネットワーク設定の定義方法とファイアウォール設定の管理方法についてします 次のセクションの 管理設定の定義 36 ページの 操作設定の定義 40 ページの サービス設定の定義 43 ページの コンテンツ ID 設定の定義 45 ページの セッション設定の定義 47 ページの SNMP 48 ページの 統計サービス 50 ページの ライセンスのインストール 注 :[WildFire] タブ設定の設定の詳細は 425 ページの WildFire の設定 を参照してください 管理設定の定義 [Device] > [ セットアップ ] > [ 管理 ] [ セットアップ ] ページでは ファイアウォールの管理 操作 サービス コンテンツ識別 WildFire マルウェア分析およびレポート およびセッションの動作を設定できます 管理ポートを使用しない場合 ループバックインターフェイスを定義して ループバックインターフェイスの IP アドレスを介してファイアウォールを管理できます (147 ページの ループバックインターフェイスの設定 を参照 ) 必要に応じて このページで以下の作業を実行します ホスト名またはネットワーク設定を変更するには ページの最初のテーブルで [ 編集 ] をクリックし 以下の情報を指定します 表 1. 管理設定 項目 一般設定 ホスト名 ホスト名 ( 最大 31 文字 ) を入力します 名前の大文字と小文字は区別されます また 一意の名前にする必要があります 文字 数字 スペース ハイフン およびアンダースコアのみを使用してください ドメインファイアウォールの完全修飾ドメイン名 (FQDN) を入力します ( 最大 31 文字 ) ログインバナー ファイアウォールの [ ログイン ] ページに表示されるカスタムテキストを入力します このテキストは [ 名前 ] フィールドと [ パスワード ] フィールドの下に表示されます 30 デバイス管理 Palo Alto Networks

31 システムセットアップ 設定 およびライセンス管理 表 1. 管理設定 ( 続き ) 項目 タイムゾーン 表示言語 日時 シリアル番号 デバイス稼働場所 コミットロックの自動実施 証明書有効期限チェック ファイアウォールのタイムゾーンを選択します ドロップダウンリストから PDF レポートの言語を選択します 270 ページの PDF サマリーレポートの管理 を参照してください Web インターフェイスに特定の言語設定が設定されている場合でも PDF レポートではこの表示言語の設定で指定した言語が使用されます 23 ページの ファイアウォール Web インターフェイスの使用 の言語設定を参照してください ファイアウォールの日時を設定するには [Set Time] をクリックします 現在の日付 (YYYY/MM/DD) を入力するか カレンダーアイコンをクリックして月と日にちを選択します 現在の時刻を 24 時間形式 (HH:MM:SS) で入力します [Device] > [ セットアップ ] > [ サービス ] から NTP サーバーを定義することもできます (Panorama のみ ) ファイアウォールのシリアル番号を入力します ファイアウォールの緯度 (-90.0 ~ 90.0) と経度 ( ~ 180.0) を入力します 候補設定を変更するときにコミットロックを自動的に適用します 詳細は 27 ページの トランザクションのロック を参照してください デバイス内の証明書が有効期限に近くなったときに警告メッセージを作成するようにファイアウォールに指示します マルチ仮想システム機能複数の仮想システム ( ファイアウォールモデルでサポートされている場合 ) を使用できるようにするには [ セットアップ ] ページの上部にある [ マルチ仮想システム機能 ] の [ 編集 ] をクリックします チェックボックスをオンにして [OK] をクリックします 仮想システムの詳細は 113 ページの 仮想システム を参照してください 認証設定 認証プロファイル 証明書プロファイル アイドルタイムアウト 許容ログイン回数 ロックアウト時間 管理者がファイアウォールへのアクセスに使用する認証プロファイルを選択します 認証プロファイルの設定手順の詳細は 65 ページの 認証プロファイルのセットアップ を参照してください ファイアウォールへの管理者アクセスに使用する証明書プロファイルを選択します 証明書プロファイルの設定手順の詳細は 92 ページの 証明書プロファイル を参照してください タイムアウト間隔 (1 ~ 1440 分 ) を入力します 値を 0 にすると 管理 Web または CLI のセッションがタイムアウトしなくなります Web インターフェイスや CLI の最大ログイン試行回数 (1 ~ 10 デフォルトは 0) を入力します (1 ~ 10 デフォルトは 0) 0 にすると 無制限になります 最大試行回数に達したときのユーザーのロックアウト時間 (0 ~ 60 分 ) を入力します デフォルトは 0 で 試行回数に上限はありません Palo Alto Networks デバイス管理 31

32 システムセットアップ 設定 およびライセンス管理 表 1. 管理設定 ( 続き ) 項目 Panorama 設定 Panorama サーバー Palo Alto Networks の中央管理システムである Panorama の IP アドレスを入力します ( 存在する場合 ) Panorama を使用してデバイスを管理するには サーバーのアドレスが必要です 注 :Panorama が管理対象ファイアウォールに適用するポリシーを削除するには [Panorama ポリシーとオブジェクトを無効にする ] リンクをクリックします ポリシーとオブジェクトを Panorama から削除する前にローカルコピーをデバイスに保存する場合は 開いているダイアログボックスの [ 無効にする前に Panorama ポリシーとオブジェクトをインポート ] チェックボックスをオンにします [OK] をクリックします 注 : [ インポート ] チェックボックスをオンにすると ポリシーとオブジェクトが現在の候補設定にコピーされます この設定をコミットすると ポリシーとオブジェクトは設定の一部となり Panorama による管理の対象外となります デバイスおよびネットワークテンプレートを削除するには [ デバイスとネットワークテンプレートを無効にする ] リンクをクリックします デバイスとネットワークテンプレートのローカルコピーを保持する場合は 開いているダイアログボックスの [ デバイスとネットワークテンプレートを無効にする ] チェックボックスをオンにし [OK] をクリックします [ インポート ] チェックボックスをオンにすると デバイスとネットワークテンプレートで定義された設定が現在の候補設定にコピーされます この設定をコミットすると これらの項目は設定の一部となり Panorama による管理の対象外となります [ デバイスとネットワークテンプレートを有効にする ] をクリックするまで テンプレートはデバイスで受け入れられません Panorama サーバー 2 Panorama へのデータ受信のタイムアウト Panorama へのデータ送信のタイムアウト Panorama に送信される SSL のカウントの再試行 未使用のアドレスとサービスオブジェクトをデバイスと共有 (Panorama のみ ) Panorama が高可用性 (HA) モードで動作している場合 HA 設定に含まれる 2 番目の Panorama システムを指定します Panorama から TCP メッセージを受信するときのタイムアウト (1 ~ 120 秒 デフォルトは 20 秒 ) を入力します Panorama に TCP メッセージを送信するときのタイムアウト (1 ~ 120 秒 デフォルトは 20 秒 ) を入力します Panorama に s レイヤー (SSL) メッセージを送信するときの再試行回数 (1 ~ 64 デフォルトは 25) を入力します すべての Panorama 共有オブジェクトおよびデバイスグループ固有のオブジェクトを管理対象デバイスで共有するには このチェックボックスをオンにします オフにすると Panorama ポリシーのアドレス アドレスグループ サービス およびサービスグループオブジェクトへの参照がチェックされ 参照されないオブジェクトは共有されません このオプションにより オブジェクトの合計数を削減するために 必要なオブジェクトのみが管理対象デバイスに送信されます 32 デバイス管理 Palo Alto Networks

33 システムセットアップ 設定 およびライセンス管理 表 1. 管理設定 ( 続き ) 項目 共有オブジェクトが優先されます (Panorama のみ ) 管理インターフェイス設定 速度 IP アドレス ネットマスク デフォルトゲートウェイ IPv6 アドレス / プレフィックス デフォルト IPv6 ゲートウェイ 共有オブジェクトがデバイスグループオブジェクトよりも優先されることを指定するには このチェックボックスをオンにします このオプションはシステム全体の設定であり デフォルトではオフになっています このオプションをオフにすると デバイスグループによって同じ名前の対応するオブジェクトがオーバーライドされます このオプションがオン ( 選択 ) になっていると デバイスグループによって共有の場所にある同じ名前の対応するオブジェクトがオーバーライドされず 共有オブジェクトとしての同じ名前のデバイスグループオブジェクトは廃棄されます 管理インターフェイスのデータ速度とデュプレックスオプションを設定します フルデュプレックスまたはハーフデュプレックスで 10Mbps 100Mbps 1Gbps のいずれかを選択できます ファイアウォールにインターフェイス速度を決定させるには デフォルトのオートネゴシエート設定を使用します この設定は 隣接するネットワーク機器のポート設定と一致する必要があります 管理ポートの IP アドレスを入力します または ループバックインターフェイスの IP アドレスを使用してデバイスを管理することもできます このアドレスは リモートログの送信元アドレスとして使用されます IP アドレスのネットワークマスク ( など ) を入力します デフォルトルータの IP アドレスを入力します ( 管理ポートと同じサブネットにする必要があります ) ( 任意 ) 管理ポートの IPv6 アドレスを入力します ネットマスクを示すために IPv6 プレフィックスの長さが必要です ( たとえば 2001:400:f00::1/64) 管理ポートに IPv6 アドレスを割り当てた場合 デフォルトルータの IPv6 アドレスを入力します ( 管理ポートと同じサブネットにする必要があります ) サービス指定した管理インターフェイスのアドレスで有効にするサービス (HTTP HTTPS Telnet Secure Shell (SSH) ping) を選択します アクセス許可 IP アドレス ロギングおよびレポート設定 ログ保存エリア ユーザーアクティビティレポートの最大行数 ファイアウォール管理が許可される IP アドレスのリストを入力します ハードディスクの各ログタイプに割り当てる容量のパーセンテージを指定します パーセント値を変更する場合 関連付けられたディスクの割り当ては自動的に変更します すべての値の合計が 100% を超える場合 ページ上にメッセージが赤で表示され 設定を保存しようとするときにエラーメッセージが提示されます これが発生する場合 合計が 100% の上限を超えないようにパーセンテージを再調整します [OK] をクリックして設定を保存し [ デフォルトの復元 ] をクリックして すべてのデフォルト設定を復元します 注 : ログが最大サイズに達すると 最も古いエントリから上書きが始まります 既存のログを現在のサイズよりも小さくサイズ変更する場合 その変更をコミットした直後にファイアウォールによってログの削減が開始されます ( 最も古いログが最初に削除されます ) 詳細なユーザーアクティビティレポートでサポートされる最大行数 (1 ~ デフォルトは 65535) を入力します Palo Alto Networks デバイス管理 33

34 システムセットアップ 設定 およびライセンス管理 表 1. 管理設定 ( 続き ) 項目 CSV エクスポートの最大行数 設定監査のバージョン数 設定バックアップのバージョン数 平均ブラウズ時間 ( 秒 ) ページロードしきい値 ( 秒 ) Syslog メッセージ内にホスト名を含める LogDb 容量超過時トラフィック転送を停止 DP 高負荷時にログを有効にする トラフィックログビューの [CSV にエクスポート ] アイコンで生成される CSV レポートに表示される最大行数 ( 範囲は 1 ~ デフォルトは 65535) を入力します 保存可能な設定監査のバージョン数を入力します ( デフォルトは 100) この数を超えると最も古いバージョンが廃棄されます (Panorama のみ ) 保存可能な設定バックアップ数を入力します ( デフォルトは 100) この数を超えると最も古い設定バックアップが廃棄されます ユーザーアクティビティレポート のブラウズ時間計算方法を調整するには この変数を設定します 計算対象としては Web 広告やコンテンツ配信ネットワークとして分類されたサイトは無視されます ブラウズ時間の計算は URL フィルタリングログに記録されたコンテナページに基づきます 計算に含めるべきではない外部サイトからコンテンツをロードするサイトが多くあるため コンテナページがこの計算の基準として使用されます コンテナページの詳細は 44 ページの コンテナページ を参照してください 平均ブラウズ時間の設定は 管理者が想定するユーザーが Web ページを閲覧する平均時間です 平均ブラウズ時間が経過した後に行われたリクエストは 新しいブラウズアクティビティと見なされます 計算対象からは 最初のリクエスト時間 ( 開始時間 ) から平均ブラウズ時間までの間にロードされる新しい Web ページは無視されます この動作は 任意の Web ページ内にロードされる外部サイトを除外するために設計されています たとえば 平均ブラウズ時間が 2 分に設定されている場合は ユーザーが Web ページを開き そのページを 5 分間閲覧しても そのページのブラウズ時間は 2 分になります ユーザーがあるページを閲覧する時間を判断する方法がないため このような動作が設定されています ( 範囲は 0 ~ 300 秒 デフォルトは 60 秒 ) ユーザーアクティビティレポート のブラウズ時間計算方法を調整するには この変数を設定します このオプションを使用すると ページ要素がページにロードされるまでの推定時間を調整できます 最初のページのロードからページロードしきい値までの間に発生するリクエストは ページの要素と見なされます ページロードしきい値の範囲外で発生するリクエストは ページ内のリンクをユーザーがクリックしたものと見なされます ( 範囲は 0 ~ 60 秒 デフォルトは 20 秒 ) Syslog メッセージでデバイスのホスト名フィールドを送信するには このチェックボックスをオンにします このオプションが設定されている場合 Syslog メッセージのヘッダーにファイアウォールデバイスのホスト名が含まれます ログデータベースに空きがない場合にファイアウォール経由のトラフィックを停止するには このチェックボックスをオンにします ( デフォルトはオフ ) デバイスの負荷が大きい場合にシステムログエントリが生成されるようにするには このチェックボックスをオンにします ( デフォルトはオフ ) 34 デバイス管理 Palo Alto Networks

35 システムセットアップ 設定 およびライセンス管理 表 1. 管理設定 ( 続き ) 項目 パスワード複雑性設定 有効 ローカルアカウントのパスワードの最小要件を有効にします この機能を使用すると 定義されたパスワード要件が ファイアウォールのローカル管理者アカウントで確実に順守されます これらのオプションのサブセットを使用したパスワードプロファイルを作成し 設定をオーバーライドしたり 特定のアカウントに適用したりすることもできます 詳細は 61 ページの パスワードプロファイルの定義 を参照してください アカウントで使用できる有効な文字の詳細は 59 ページの ユーザー名とパスワードの要件 を参照してください 注 : 入力できるパスワードの最大文字数は 31 です 要件を設定するときには 許容されない組み合わせを作成しないようにしてください たとえば 大文字 10 個 小文字 10 個 数字 10 個 特殊文字 10 個の要件は 最大文字数の 31 を超えるため 設定できません 注 : 高可用性 (HA) を設定してある場合は パスワード複雑性のオプションを設定するときに必ずプライマリデバイスを使用し 変更を加えた後にすぐにコミットしてください 最少文字数 最少大文字数 最少小文字数 最少数字数 最少特殊文字数 繰り返し文字のブロック ユーザー名を含むパスワードを禁止 ( 逆順を含む ) 文字が異なる新規パスワード 初回ログイン時にパスワードの変更を要求 パスワードの再使用禁止制限 パスワード変更期間のブロック ( 日 ) パスワード有効期限 ( 日数 ) 失効の警告期間 ( 日数 ) 最少で 1 ~ 15 文字が必要です 最少で 0 ~ 15 文字の大文字が必要です 最少で 0 ~ 15 文字の小文字が必要です 最少で 0 ~ 15 文字の数字が必要です 最少で 0 ~ 15 文字の特殊文字 ( 英数字以外 ) が必要です 指定した値に基づいて繰り返し文字を禁止します たとえば 値を 4 に設定する場合 test2222 というパスワードは受け入れられませんが test222 は受け入れられます ( 範囲は 2 ~ 15) アカウントユーザー名 ( または名前の逆読みバージョン ) がパスワードで使用されないようにするには このチェックボックスをオンにします 管理者が自分のパスワードを変更するときに 文字は指定した値によって異なる必要があります 管理者がデバイスに初めてログインするときにパスワードの変更を求めるプロンプトを表示するには このチェックボックスをオンにします 指定した数に基づいて 以前のパスワードを再使用しないように要求します たとえば 値を 4 に設定すると 直近のパスワード 4 つを再使用することができません ( 範囲は 0 ~ 50) 指定した日数が経過するまで ユーザーはパスワードを変更できません ( 範囲は 0 ~ 365 日 ) 設定された日数 (0 ~ 365 日 ) で指定されたとおりに 管理者は定期的にパスワードを変更する必要があります たとえば 値を 90 に設定すると 管理者に 90 日ごとにパスワードの変更を求めるプロンプトが表示されます 失効の警告を 0 ~ 30 日の範囲で設定して猶予期間を指定することもできます 必須のパスワード変更期間を設定すると この設定を使用して 強制パスワード変更日が近づくとユーザーがログインするたびにパスワードの変更を求めるプロンプトを表示できます ( 範囲は 0 ~ 30 日 ) Palo Alto Networks デバイス管理 35

36 システムセットアップ 設定 およびライセンス管理 表 1. 管理設定 ( 続き ) 項目 許可された管理者失効ログイン ( 数 ) 失効後の猶予期間 ( 日数 ) アカウントが失効した後に 管理者は指定した回数ログインできます たとえば 値を 3 に設定し アカウントが失効した場合 管理者はアカウントがロックアウトされるまで 3 回ログインすることができます ( 範囲は 0 ~ 3 回 ) アカウントが失効した後に 管理者は指定した日数ログインできます ( 範囲は 0 ~ 30 日 ) 操作設定の定義 [Device] > [ セットアップ ] > [ 操作 ] 設定を変更して [OK] をクリックすると アクティブコンフィグではなく現在の 候補 設定が更新されます ページ上部の [ コミット ] をクリックすると 候補設定が実行中の設定に適用され 前回のコミットからの設定の変更がすべてアクティベーションされます この方法によって 設定をアクティベーションする前に確認できます 複数の変更を同時にアクティベーションすると 変更をリアルタイムに適用するときに発生することがある無効な設定状態を回避できます 候補設定は必要に応じて何回でも保存やロールバック ( 復元 ) ができます また 設定の読み込み 検証 インポート およびエクスポートを行うこともできます [ 保存 ] をクリックすると 現在の候補設定のコピーが作成され [ コミット ] を選択すると アクティブコンフィグが候補設定の内容で更新されます 注 : 画面の右上隅にある [ 保存 ] リンクをクリックして 入力した設定を定期的に保存することをお勧めします 設定を管理するには 以下の表でするように 該当する設定管理機能を選択します 表 2. 設定管理機能 機能 設定の管理 候補設定の検証 最後に保存した設定に戻す 実行中の設定に戻す 名前付き設定スナップショットの保存 候補設定の保存 候補設定にエラーがないかどうかが確認されます 最後に保存された候補設定がフラッシュメモリから復元されます 現在の候補設定は上書きされます 候補設定が保存されていない場合 エラーが発生します 前回の実行中の設定が復元されます 現在の実行中の設定はオーバーライドされます 候補設定がファイルに保存されます ファイル名を入力するか 上書きする既存のファイルを選択します 現在のアクティブコンフィグファイル (running-config.xml) はオーバーライドできません 候補設定がフラッシュメモリに保存されます ( ページ上部の [ 保存 ] をクリックした場合と同様 ) 36 デバイス管理 Palo Alto Networks

37 システムセットアップ 設定 およびライセンス管理 表 2. 設定管理機能 ( 続き ) 機能 名前付き設定スナップショットのロード 設定バージョンのエクスポート 名前付き設定スナップショットのエクスポート 設定バージョンのエクスポート デバイス状態のエクスポート 名前付き設定スナップショットのインポート デバイス状態のインポート アクティブコンフィグ (running-config.xml) や以前にインポートまたは保存された設定から候補設定が読み込まれます ロードする設定ファイルを選択します 現在の候補設定は上書きされます 指定したバージョンの設定が読み込まれます アクティブコンフィグ (running-config.xml) や以前に保存またはインポートされた設定がエクスポートされます エクスポートする設定ファイルを選択します このファイルは 開いたり ネットワーク上に保存したりすることができます 指定したバージョンの設定がエクスポートされます この機能は 大規模な VPN 機能が有効にされた GlobalProtect ポータルとして設定されているファイアウォールから 設定および動的情報をエクスポートするために使用します ポータルで障害が発生した場合 エクスポートファイルをインポートして ポータルの設定および動的情報を復元できます エクスポートには ポータルで管理されるすべてのサテライトデバイスのリスト エクスポート時の実行中の設定 およびすべての証明書情報 ( ルート CA サーバー およびサテライト証明書 ) が含まれます 重要 : デバイス状態のエクスポートを手動で実行するか スケジュール設定された XML API スクリプトを作成し リモートサーバーにファイルをエクスポートする必要があります サテライト証明書は頻繁に変更される可能性があるので この操作を定期的に行う必要があります CLI からデバイス状態ファイルを作成するには 設定モードで save device state を実行します ファイルには device_state_cfg.tgz という名前が付けられ /opt/pancfg/ mgmt/device-state に保存されます デバイス状態ファイルをエクスポートする操作コマンドは scp export device-state です (tftp export device-state を使用することもできます ) XML API の使用の詳細は documentation にある PAN-OS XML-Based Rest API Usage Guide (PAN- OS XML ベースの Rest API 利用ガイド ) を参照してください 327 ページの GlobalProtect 大規模 VPN 導入 を参照してください ネットワーク上から設定ファイルがインポートされます [ 参照 ] をクリックして インポートする設定ファイルを選択します [ デバイス状態のエクスポート ] オプションを使用してエクスポートされたデバイス状態の情報をインポートします これには 現在の実行中の設定 Panorama テンプレート 共有ポリシーが含まれます デバイスが Global Protect ポータルの場合 エクスポートには認証局 (CA) 情報 サテライトデバイスおよび認証情報のリストが含まれます Palo Alto Networks デバイス管理 37

38 システムセットアップ 設定 およびライセンス管理 表 2. 設定管理機能 ( 続き ) 機能 デバイスの操作 デバイスの再起動 デバイスのシャットダウン ファイアウォールを再起動するには [ デバイスの再起動 ] をクリックします ユーザーはログアウトされ PAN-OS ソフトウェアとアクティブコンフィグが再読み込みされます また 既存のセッションが終了し ログに記録され シャットダウンを開始した管理者名を示すシステムログエントリが作成されます 保存またはコミットされていない設定の変更は失われます (36 ページの 操作設定の定義 を参照 ) 注 :Web インターフェイスを使用できない場合は CLI コマンド request restart system を使用します 詳細は PAN-OS Command Line Interface Reference Guide (PAN-OS コマンドラインインターフェイスリファレンスガイド ) を参照してください ファイアウォールのグレースフルシャットダウンを実行するには [ デバイスのシャットダウン ] をクリックし 確認のプロンプトで [Yes] をクリックします 保存またはコミットされていない設定の変更は失われます すべての管理者がログオフされ 以下のプロセスが発生します すべてのログインセッションがログオフされます インターフェイスが無効になります すべてのシステムプロセスが停止します 既存のセッションが終了し ログに記録されます シャットダウンを開始した管理者名を示すシステムログが作成されます このログエントリを書き込めない場合は 警告が表示され システムはシャットダウンしません ディスクドライブが正常にアンマウントされ デバイスの電源がオフになります デバイスの電源をオンにするには 電源のプラグを抜いてから差し込み直す必要があります 注 : Web インターフェイスを使用できない場合は CLI コマンド request shutdown system を使用します 詳細は PAN-OS Command Line Interface Reference Guide (PAN-OS コマンドラインインターフェイスリファレンスガイド ) を参照してください データプレーンの再起動リブートせずにファイアウォールのデータ機能をリスタートするには [ データプレーンの再起動 ] をクリックします このオプションは PA-200 では使用できません 注 :Web インターフェイスを使用できない場合は CLI コマンド request restart dataplane を使用します 詳細は PAN-OS Command Line Interface Reference Guide (PAN-OS コマンドラインインターフェイスリファレンスガイド ) を参照してください 38 デバイス管理 Palo Alto Networks

39 システムセットアップ 設定 およびライセンス管理 表 2. 設定管理機能 ( 続き ) 機能 その他 カスタムロゴ SNMP のセットアップ 統計サービスのセットアップ このオプションを使用して 以下をカスタマイズします ログイン画面の背景イメージ メイン UI ( ユーザーインターフェイス ) ヘッダーのイメージ PDF レポートのタイトルページのイメージ 270 ページの PDF サマリーレポートの管理 を参照してください PDF レポートフッターのイメージをクリックしてイメージファイルをアップロードし をクリックしてプレビューし をクリックして以前にアップロードしたイメージを削除します 以下の内容に注意してください サポートされているファイルタイプは png gif および jpg です デフォルトのロゴに戻るには エントリを削除してコミットします 任意のロゴイメージの最大イメージサイズは 128 KB です ログイン画面と主要なユーザーインターフェイスのオプションでは をクリックすると これから表示されるイメージが表示されます 必要な場合 イメージを切り取って収められます PDF レポートの場合 イメージは切り取られずに自動的にサイズ変更されて 収まります すべてのケースにおいて プレビューは推奨されるイメージのサイズを表示します PDF レポートの生成の詳細は 270 ページの PDF サマリーレポートの管理 を参照してください SNMP パラメータを指定します 47 ページの SNMP を参照してください 統計サービスの設定を指定します 48 ページの 統計サービス を参照してください 注 :[ コミット ] をクリックするか commit CLI コマンドを入力すると Web インターフェイスおよび CLI で行った前回のコミット以降の変更がすべてアクティベーションされます 競合を回避するには 27 ページの トランザクションのロック でされているようにトランザクションロック機能を使用します Palo Alto Networks デバイス管理 39

40 システムセットアップ 設定 およびライセンス管理 サービス設定の定義 [Device] > [ セットアップ ]> [ サービス ] [ サービス ] タブを使用して Domain Name System (DNS) Network Time Protocol (NTP) 更新サーバー プロキシサーバー およびサービスルートの設定を定義します 表 3. サービス設定 機能 DNS プライマリ DNS サーバー DNS サービスのタイプを選択します この設定は FQDN アドレスオブジェクト ログ およびデバイス管理のサポートでファイアウォールによって開始されるすべての DNS クエリで使用されます オプションには 次の内容が含まれます ドメイン名解決に対するプライマリおよびセカンダリ DNS サーバー ファイアウォールに設定された DNS プロキシ プライマリ DNS サーバーの IP アドレスまたはホスト名を入力します このサーバーは 更新サーバーの検出 ログの DNS エントリの解決 FDQN ベースのアドレスオブジェクトなどのためにファイアウォールから DNS クエリを行う場合に使用されます セカンダリ DNS サーバープライマリサーバーを使用できない場合 使用するセカンダリ DNS サーバーの IP アドレスまたはホスト名を入力します ( 任意 ) プライマリ NTP サーバー セカンダリ NTP サーバー 更新サーバー 保護されたプロキシサーバー 保護されたプロキシポート 保護されたプロキシユーザー 保護されたプロキシパスワード再入力保護されたプロキシパスワード プライマリ NTP サーバーの IP アドレスまたはホスト名を入力します ( 存在する場合 ) NTP サーバーを使用しない場合 デバイスの時刻を手動で設定できます プライマリサーバーを使用できない場合 使用するセカンダリ NTP サーバーの IP アドレスまたはホスト名を入力します ( 任意 ) この設定は Palo Alto Networks から更新ファイルをダウンロードするのに使用されるサーバーの IP アドレスまたはホスト名を表します 現在値は updates.paloaltonetworks.com です テクニカルサポートから指示がない限り このサーバー名は変更しないでください デバイスがプロキシサーバーを使用して Palo Alto Networks 更新サービスにアクセスする必要がある場合は サーバーの IP アドレスまたはホスト名を入力します プロキシサーバーを指定する場合 ポートを入力します プロキシサーバーを指定する場合 サーバーにアクセスするためのユーザー名を入力します プロキシサーバーを指定する場合 サーバーにアクセスするユーザーのパスワードを入力して確認します 40 デバイス管理 Palo Alto Networks

41 システムセットアップ 設定 およびライセンス管理 表 3. サービス設定 ( 続き ) 機能 サービスルートの設定 [DNS] [ 電子メール ] [Palo Alto Updates] [NTP] など ファイアウォールがサービス通信のために他のサーバーまたはデバイスと通信する方法を指定します すべての通知で組み込みの管理ポート (MGT) を使用するには [ すべてに管理インターフェイスを使用 ] を選択します または サービスごとに詳細な制御を行うためにさまざまなインターフェイスを使用する場合は 特定の送信元 IP アドレスを定義します たとえば ファイアウォールと電子メールサーバー間のすべての電子メール通信に使用するインターフェイスの特定の送信元 IP を設定し Palo Alto 更新には別の送信元 IP またはインターフェイスを使用できます [ サービスルートの設定 ] をクリックし 以下を設定します すべてに管理インターフェイスを使用 外部サーバーとのファイアウォールサービス通信はすべて強制的に管理インターフェイス (MGT) を使用して行われます このオプションを選択する場合 ファイアウォールとサービスを提供するサーバーまたはデバイスとの間の通信を許可するように MGT インターフェイスを設定する必要があります MGT インターフェイスを設定するには [Device] > [ セットアップ ] > [ 管理 ] タブに移動し [ 管理インターフェイス設定 ] を編集します Select サービス通信の詳細な制御を設定するには このオプションを選択します 使用可能なサービスのリストと送信元アドレスを選択するドロップダウンを表示するテーブルが表示されます 目的のサービスを選択し [ 送信元アドレス ] ドロップダウンリストから送信元アドレスを選択します 送信元アドレス とは サービストラフィックの送信元となるインターフェイスに割り当てられた IP アドレスを指します 宛先は特定のサービスを設定するときに設定されるため 宛先アドレスを定義する必要はありません たとえば [Device] > [ セットアップ ] > [ サービス ] タブの [ サービス ] で DNS サーバーを定義すると DNS クエリの宛先が設定されます Palo Alto Networks デバイス管理 41

42 システムセットアップ 設定 およびライセンス管理 表 3. サービス設定 ( 続き ) 機能 サービスルートの設定 ( 続き ) [ 宛先 ] フィールドと [ 送信元アドレス ] フィールド ルートを指定するサービスが [ サービス ] 列に表示されていない場合は [ 宛先 ] フィールドと [ 送信元アドレス ] フィールドを使用して 他のサービスで使用されるルートを定義できます リストに表示されないサービスには Kerberos LDAP および Panorama ログコレクタ通信などがあります 宛先アドレスのサブネットは入力する必要がありません マルチテナント環境では 共通サービスで異なる送信先アドレスが必要な 宛先 IP ベースのサービスルートが必要になります たとえば 2 つのテナントが RADIUS を使用する必要がある場合がそうです サービスをルーティングするために使用されるインターフェイスにルーティングとポリシーが適切に設定されていることが重要です たとえば Kerberos 認証リクエストのルートを MGT ポート以外のインターフェイスに指定する場合 Kerberos はデフォルトの [ サービス ] 列には表示されないので [ サービスルートの設定 ] ウィンドウの右側のセクションで [ 宛先 ] と [ 送信元アドレス ] を設定する必要があります 例として Ethernet1/3 の送信元 IP アドレスが で Kerberos サーバーの宛先が であるとします この場合は デフォルトのルートを使用する既存の仮想ルーターに Ethernet1/3 を追加する必要があります または [Network] > [ 仮想ルーター ] から新しい仮想ルーターを作成し 必要に応じてスタティックルートを追加することができます これにより インターフェイスのすべてのトラフィックは確実に仮想ルーター経由でルーティングされ 適切な宛先に到達します この場合 宛先アドレスは で Ethernet1/3 の送信元 IP は /24 です 宛先と送信元アドレスの CLI 出力は 以下のようになります PA-200-Test# show route destination { { source address /24 } この設定では インターフェイス Ethernet1/3 のすべてのトラフィックは 仮想ルーターで定義されたデフォルトのルートを使用して に送信されます 42 デバイス管理 Palo Alto Networks

43 システムセットアップ 設定 およびライセンス管理 コンテンツ ID 設定の定義 [Device] > [ セットアップ ] > [ コンテンツ ID] [ コンテンツ ID] タブを使用して URL フィルタリング データ保護 およびコンテナページの設定を定義します 表 4. コンテンツ ID 設定 機能 URL フィルタリングダイナミック URL キャッシュのタイムアウト URL コンティニュータイムアウト URL 管理オーバーライドタイムアウト URL 管理ロックアウトタイムアウト x-forwarded-for ヘッダ情報の記録 x-forwarded-for 除去 復号化されたコンテンツの転送を許可 [ 編集 ] をクリックし タイムアウト値 ( 時間単位 ) を入力します この値はダイナミック URL フィルタリングで使用され この値により エントリが URL フィルタリングサービスから返された後にキャッシュに保持される期間が決定します このオプションは BrightCloud データベースのみを使用する URL フィルタリングに適用されます URL フィルタリングの詳細は 217 ページの URL フィルタリングプロファイル を参照してください ユーザーの [continue] アクションのタイムアウト時間を指定します ( 範囲は 1 ~ 分 デフォルトは 15 分 ) この時間に達する前に同じカテゴリの URL に対して [continue] をもう一度押す必要があります ユーザーが管理オーバーライドパスワードを入力したあとタイムアウトするまでの時間を指定します ( 範囲は 1 ~ 分 デフォルトは 900 分 ) この時間に達する前に同じカテゴリの URL に対して管理オーバーライドパスワードを再入力する必要があります ユーザーが URL 管理オーバーライドパスワードの試行が 3 回失敗したときに試行からロックアウトされる時間を指定します (1 ~ 分 デフォルトは 1800 分 ) 送信元 IP アドレスが含まれている X-Forwarded-For ヘッダーを含めます このオプションをオンにすると ファイアウォールによって HTTP ヘッダーに X-Forwarded-For ヘッダーがあるかどうかが検査されます プロキシでは X-Forwarded-For ヘッダーを使用して元のユーザーの送信元 IP アドレスを保持できます システムによってこの値が取得されて URL ログの [ 送信元ユーザー ] フィールドに Src: x.x.x.x が配置されます (x.x.x.x はヘッダーから読み込まれる IP アドレスです ) 送信元 IP アドレスが含まれている X-Forwarded-For ヘッダーを削除します このオプションをオンにすると ファイアウォールによってリクエストを転送する前にヘッダーの値がゼロに設定されるため 転送されるパケットには内部送信元 IP 情報が含まれなくなります ファイアウォールで外部のサービスに復号化されたコンテンツの転送を許可するには このチェックボックスをオンにします たとえば このオプションを設定すると 分析のためにファイアウォールから WildFire へ復号化されたコンテンツを送信できます マルチ VSYS 設定の場合 このオプションは VSYS ごとに設定されます Palo Alto Networks デバイス管理 43

44 システムセットアップ 設定 およびライセンス管理 表 4. コンテンツ ID 設定 ( 続き ) 機能 URL 管理オーバーライド URL 管理オーバーライドの設定 データ保護の管理 ページが URL フィルタリングプロファイルによってブロックされ [ オーバーライド ] アクションが指定されている場合に使用される設定を指定します 217 ページの URL フィルタリングプロファイル を参照してください [ 追加 ] をクリックし URL 管理オーバーライドに設定する仮想システム毎に以下を設定します 場所 ドロップダウンリストから仮想システムを選択します ( マルチ VSYS デバイスのみ ) パスワード / パスワード再入力 ブロックページをオーバーライドするためにユーザーが入力する必要があるパスワードを入力します サーバー証明書 指定したサーバーを介してリダイレクトされたときに SSL 通信で使用するサーバー証明書を選択します モード ブロックページが透過的に配信されるか ( ブロックされた Web サイトから発信したように見える ) 指定したサーバーにユーザーをリダイレクトするかを決定します [ リダイレクト ] を選択した場合 リダイレクトするための IP アドレスを入力します エントリを削除するには をクリックします クレジットカード番号や社会保障番号など重要な情報を含むログへのアクセスに対し拡張防御を追加します [ データ保護の管理 ] をクリックし 以下を設定します 新しいパスワードを設定するには ( まだ設定していない場合 ) [ パスワードの設定 ] をクリックします パスワードを入力し 確認のために再入力します パスワードを変更するには [ パスワードの変更 ] をクリックします 現在のパスワードを入力し 新しいパスワードを入力し 確認のために新しいパスワードを再入力します パスワードと保護されていたデータを削除するには [ パスワードの削除 ] をクリックします コンテナページコンテンツタイプ ( たとえば application/pdf application/soap+xml application/xhtml+ text/html text/plain text/xml) に基づいてファイアウォールで追跡または記録する URL のタイプを指定するには これらの設定を使用します [ 場所 ] ドロップダウンリストから選択する仮想システム毎にコンテナページが設定されます 仮想システムに明示的なコンテナページが定義されていない場合 デフォルトのコンテンツタイプが使用されます [ 追加 ] をクリックし コンテンツタイプを入力または選択します 仮想システムの新しいコンテンツタイプを追加すると コンテンツタイプのデフォルトのリストがオーバーライドされます 仮想システムに関連付けられているコンテンツタイプがない場合 コンテンツタイプのデフォルトのリストが使用されます 44 デバイス管理 Palo Alto Networks

45 システムセットアップ 設定 およびライセンス管理 セッション設定の定義 [Device] > [ セットアップ ] > [ セッション ] [ セッション ] タブでは IPv6 トラフィックのファイアウォールおよびポリシー変更時の既存のセッションへのセキュリティポリシーの再マッチングなどのセッションのエイジアウト時間とグローバルなセッション関連の設定を設定できます 表 5. セッション設定 フィールドセッション設定 セッションの再マッチング ICMPv6 トークンバケットサイズ ICMPv6 エラーパケット速度 Jumbo Frame Jumbo Frame の MTU IPv6 ファイアウォールの有効化 NAT64 IPv6 最小 MTU セッション保持時間自動短縮 セッションタイムアウト タイムアウト [ 編集 ] をクリックし [ 設定ポリシー変更のすべてのセッションを再マッチング ] チェックボックスをオンにします たとえば 以前は許可されていた Telnet が前回のコミットで [ 拒否 ] に変更されたとします デフォルトの動作では コミット前に開始した Telnet セッションは再マッチングされてブロックされます ICMPv6 エラーメッセージの帯域制限に対応するバケットサイズを入力します トークンバケットサイズは ICMPv6 エラーパケットのバーストをどの程度許容するかを制御するトークンバケットアルゴリズムのパラメータです ( 範囲は 10 ~ パケット デフォルトは 100) 全体として 1 秒間に許容される ICMPv6 エラーパケットの平均数を入力します ( 範囲は 10 ~ パケット / 秒 デフォルトは 100) この値はすべてのインターフェイスに適用されます ジャンボフレームのサポートを有効にする場合に選択します ジャンボフレームの最大 MTU は 9192 で 特定のプラットフォームで使用できます で入手できるファイアウォールモデルのスペックシートを参照してください IPv6 のファイアウォール機能を有効にするには [ 編集 ] をクリックして [IPv6 ファイアウォール設定 ] チェックボックスをオンにします IPv6 が有効になっていないと IPv6 ベースの設定はすべて無視されます IPv6 変換トラフィックのグローバル MTU 設定を変更できます ( デフォルトは 1280) デフォルトは IPv6 トラフィックの標準の最小 MTU に基づきます アイドル状態のセッションの加速されたエージングアウトを許可します 加速されたエージングを有効にして しきい値 (%) と倍率を指定するには このチェックボックスをオンにします セッションテーブルが [ セッション保持時間短縮の開始しきい値 ] (% フル ) に達すると [ セッション保持時間短縮倍率 ] がすべてのセッションのエージング計算に適用されます セッションのアイドル状態の時間は 実際のアイドル時間に倍率をかけて計算されます たとえば 10 の倍率が使用された場合 3600 秒後ではなく 360 秒後にセッションがタイムアウトします 各カテゴリのタイムアウトを秒数で指定します 範囲とデフォルトが表示されています Palo Alto Networks デバイス管理 45

46 システムセットアップ 設定 およびライセンス管理 表 5. セッション設定 ( 続き ) フィールド セッション機能 暗号証明書失効の設定 有効化 受信の有効期限 OCSP の有効化 受信の有効期限 証明書の状態が不明なセッションをブロックします 証明書の状態のチェックがタイムアウトしたセッションをブロックします 証明書の有効期限 ファイアウォールの証明書管理オプションを設定する場合に選択します 証明書無効リスト (CRL) を使用して SSL 証明書の有効性を確認するには このチェックボックスをオンにします 信頼された認証局 (CA) はそれぞれ CRL を管理し SSL 証明書が SSL 復号化に有効かどうか ( 無効でないか ) を判断します オンライン証明書状態プロトコル (OCSP) を使用することでも 証明書の無効状態を動的に確認することができます SSL 復号化の詳細は 202 ページの 復号化ポリシー を参照してください CRL リクエストがタイムアウトして状態が不明と判断されるまでの時間を指定します (1 ~ 60 秒 ) OCSP を使用して SSL 証明書の有効性を確認するには このチェックボックスをオンにします OCSP リクエストがタイムアウトして状態が不明と判断されるまでの時間を指定します (1 ~ 60 秒 ) 検証できない証明書をブロックするには このチェックボックスをオンにします 証明書情報リクエストがタイムアウトした場合に証明書をブロックするには このチェックボックスをオンにします 証明書状態のリクエストがタイムアウトするまでの時間を入力します (1 ~ 60 秒 ) 46 デバイス管理 Palo Alto Networks

47 システムセットアップ 設定 およびライセンス管理 SNMP [Device] > [ セットアップ ] > [ 操作 ] SNMPv2c および SNMPv3 の SNMP 管理情報ベース (MIB) へのアクセスを定義するには このページを使用します [ セットアップ ] ページの [SNMP のセットアップ ] をクリックし 以下の設定を指定します MIB モデルは システムによって生成されたすべての SNMP トラップを定義します システム内の各イベントログは 独自のオブジェクト識別子 (OID) を使用した独立した SNMP トラップとして定義され イベントログ内の各フィールドは 変数のバインド (varbind) リストとして定義されます 表 6. SNMP のセットアップ フィールド場所連絡先 イベント固有のトラップ定義を使用 バージョン ファイアウォールの物理的な場所を指定します ファイアウォールの管理者の名前や電子メールアドレスを入力します この設定は 標準システム情報の MIB でレポートされます イベントタイプに基づいて各 SNMP トラップの一意の OID を使用するには このチェックボックスをオンにします ( デフォルトはオン ) SNMP バージョン (V2c または V3) を選択します この設定で MIB 情報へのアクセスを制御します デフォルトでは V2c が public コミュニティ文字列に選択されています V2c の場合 以下の設定を設定します SNMP コミュニティ名 ファイアウォールのアクセスに使用する SNMP コミュニティ文字列を入力します ( デフォルトは [public]) V3 の場合 以下の設定を設定します 表示 [ 追加 ] をクリックして 以下の設定を指定します 名前 ビューのグループ名を指定します 表示 ビューの名前を指定します OID オブジェクト識別子 (OID) ( たとえば ) を指定します オプション OID をビューに含めるのか ビューから除外するのかを選択します マスク OID に適用するフィルタのマスク値を 16 進数形式で指定します ( たとえば 0xf0) ユーザー [ 追加 ] をクリックして 以下の設定を指定します ユーザー ユーザー名を指定します 表示 ユーザーのビューのグループを指定します 認証パスワード ユーザーの認証パスワードを指定します ( 最小 8 文字 最大 256 文字 文字制限なし ) あらゆる文字を使用できます Secure Hash Algorithm (SHA) だけがサポートされています 専用パスワード ユーザーの暗号化パスワードを指定します ( 最小 8 文字 最大 256 文字 文字制限なし ) Advanced Encryption Standard (AES) だけがサポートされています Palo Alto Networks デバイス管理 47

48 システムセットアップ 設定 およびライセンス管理 統計サービス [Device] > [ セットアップ ] > [ 操作 ] 統計サービス機能では アプリケーション 脅威 およびクラッシュに関する匿名情報をファイアウォールから Palo Alto Networks 調査チームに送信できます この情報を収集することで 調査チームは実際の情報に基づいて Palo Alto Networks 製品の有効性を継続的に改善することができます このサービスはデフォルトでは無効になっています 有効にすると 情報は 4 時間おきにアップロードされます ファイアウォールで以下のタイプの情報を送信することを許可できます アプリケーションおよび脅威レポート 不明なアプリケーションレポート URL レポート クラッシュのデバイストレース 送信される統計レポートのコンテンツのサンプルを表示するには レポートアイコンをクリックします [ レポートサンプル ] タブが開き レポートコードが表示されます レポートを表示するには 目的のレポートの横のチェックボックスをクリックし [ レポートサンプル ] タブをクリックします 48 デバイス管理 Palo Alto Networks

49 設定ファイルの比較 設定ファイルの比較 [Device] > [ 設定監査 ] 設定ファイルを表示および比較するには [ 設定監査 ] ページを使用します ドロップダウンリストから 比較する設定を選択します コンテキストに含める行数を選択して [ 実行 ] をクリックします 以下の図のように 差異が強調された状態で設定が表示されます ページには ドロップダウンリストの隣におよびボタンもあります 2 つの連続した設定バージョンを比較するときに有効になります をクリックして保存された設定の前のセットに比較される設定を変更し をクリックして保存された設定の次のセットに比較される設定を変更します 図 1. 設定の比較 Panorama では Panorama インターフェイスまたはローカルのファイアウォールのどちらで変更を行っても 各管理対象ファイアウォールでコミットされたすべての設定ファイルが自動的に保存されます Palo Alto Networks デバイス管理 49

50 ライセンスのインストール ライセンスのインストール [Device] > [ ライセンス ] Palo Alto Network からサブスクリプションを購入すると 1 つ以上のライセンスキーを有効にするために認証コードが送信されます URL フィルタリングの URL ベンダーライセンスをアクティベーションするには ライセンスをインストールし データベースをダウンロードし [ アクティベーション ] をクリックする必要があります 以下の機能は [ ライセンス ] ページで使用できます URL フィルタリングのライセンスを有効にするには [ アクティベーション ] をクリックします 認証コードを必要とする購入済みのサブスクリプションを有効にし サポートポータルをアクティベーションした場合は [ ライセンスサーバーからライセンスキーを取得 ] をクリックします 認証コードを必要とする購入済みのサブスクリプションを有効にし サポートポータルをアクティベーションしていない場合は [ 認証コードを使用した機能のアクティベーション ] をクリックします 認証コードを入力し [OK] をクリックします ファイアウォールがライセンスサーバーに接続されておらず ライセンスキーを手動でアップロードする場合は 以下の手順を実行します a. からライセンスキーのファイルを取得します b. ライセンスキーのファイルをローカルに保存します c. [ ライセンスキーの手動アップロード ] をクリックし [ 参照 ] をクリックしてファイルを選択し [OK] をクリックします ライセンスのインストール時に考慮すべき重要な項目 Web インターフェイスを使用して URL フィルタをアクティベーションできない場合 CLI コマンドを使用できます 詳細は PAN-OS Command Line Interface Reference Guide (PAN-OS コマンドラインインターフェイスリファレンスガイド ) を参照してください 50 デバイス管理 Palo Alto Networks

51 PAN-OS ソフトウェアのアップグレードとダウングレード PAN-OS ソフトウェアのアップグレードとダウングレード [Device] > [ ソフトウェア ] 新しいバージョンの PAN-OS ソフトウェアにアップグレードするには Palo Alto Networks から入手可能な PAN-OS ソフトウェアの最新バージョンを表示し 各バージョンのリリースノートを読み ダウンロードおよびインストールするバージョンを選択します ( サポートライセンスが必要です ) 必要に応じて [ ソフトウェア ] ページで以下の機能を実行します [ 更新 ] をクリックして Palo Alto Networks から入手可能なソフトウェアの最新バージョンを確認します バージョンの変更内容のおよびソフトウェアをインストールするための移行パスを表示するには [ リリースノート ] をクリックします 機能リリースをスキップすることはできません ある機能リリースから上位の機能リリースのメンテナンスリリースにアップグレードするには 先に基本イメージをダウンロードする必要があります メンテナンスリリースには基本イメージのリリース後に行われた変更のみが含まれ 完全なソフトウェアビルドは含まれていないため アップグレードには基本イメージが必要になります たとえば から にアップグレードする場合 のメンテナンスリリースアップグレードが の基本イメージファイルにアクセスできるように の基本イメージをダウンロードする必要があります ( インストールは不要 ) あるリリースから 2 つ上位の機能リリースにアップグレードする場合は それぞれの機能リリースにアップグレードする必要があります たとえば 4.0 から 5.0 にアップグレードするには 4.0 から 4.1 にアップグレードした後に 4.1 から 5.0 にアップグレードする必要があります 基本イメージファイルは アップグレードが完了した後に削除できますが 次回のメンテナンスリリースにアップグレードするときに基本イメージが必要となるため 削除することはお勧めしません アップグレードの必要がない古いリリースの基本イメージのみを削除してください たとえば 4.1 を実行している場合 ダウングレードする予定がなければ 3.1 や 4.0 の基本イメージは必要ありません ダウンロードサイトにある新しいバージョンをインストールするには [ ダウンロード ] をクリックします ダウンロードが完了すると [ ダウンロード済み ] 列にチェックマークが表示されます ダウンロードしたバージョンをインストールするには そのバージョンの横にある [ インストール ] をクリックします インストール時に インストールが完了したら再起動するかどうか尋ねられます インストールが完了すると ファイアウォールの再起動中はログアウトされます 再起動するように選択した場合 ファイアウォールが再起動します 機能リリースにアップグレードするときには (PAN-OS バージョンの先頭または 2 番目の数字が変更される 4.0 から から 5.0 など ) [ インストール ] をクリックすると これから機能リリースアップグレードを実行するというメッセージが表示されます 機能リリースでは 新機能に対応するために特定の設定が移行される場合があるので 現在の設定をバックアップする必要があります 54 ページの PAN-OS ソフトウェアのダウングレード を参照してください Palo Alto Networks デバイス管理 51

52 PAN-OS ソフトウェアのアップグレードとダウングレード 以前に PC に保存したバージョンをインストールするには [ アップロード ] をクリックします ソフトウェアパッケージを参照して選択し [ ファイルからインストール ] をクリックします ドロップダウンリストから選択したファイルを選択し [OK] をクリックしてイメージをインストールします 古いバージョンを削除するには [ 削除 ] アイコンをクリックします PAN-OS ソフトウェアのアップグレード時の注意事項 PAN-OS の以前のバージョンからアップグレードする場合 リリースノートでされている推奨パスに従って最新リリースにアップグレードします 高可用性 (HA) ペアを新しい機能リリースにアップグレードするときには (PAN-OS バージョンの先頭または 2 番目の数字が変更される 4.0 から から 5.0 など ) 新機能に対応するために設定が移行される場合があります セッション同期が有効になっている場合 クラスタ内に PAN-OS 機能リリースが異なるデバイスが 1 つでもあると セッションは同期されません ファイアウォールの日時設定には現在の日時を使用する必要があります PAN-OS ソフトウェアはデジタル署名されており 署名は新バージョンをインストールする前にデバイスによって確認されています ファイアウォールで現在以外の日付が設定されていると デバイスはソフトウェア署名の日付が誤って将来になっていると認識し 次のメッセージを表示します Decrypt failed: GnuPG edit non-zero, with code Failed to load into PAN software manager. 高可用性設定の PAN-OS のアップグレード このセクションでは アクティブ / パッシブモードまたはアクティブ / アクティブモードの高可用性 (HA) 設定で実行する PAN-OS ソフトウェアのアップグレードについてします セッション同期が有効になっている場合 クラスタ内に PAN-OS 機能リリースが異なるデバイスが 1 つでもあると セッションは同期されません セッションの継続が必要な場合は セッションテーブルの再作成中に非 SYN TCP を一時的に許可する必要があります 高可用性 (HA) 設定の詳細は 96 ページの 高可用性 を参照してください HA 設定の一般的な状態を表示するには [Dashboard] タブの [ 高可用性 ] ウィジットを表示します ウィジットが表示されていない場合は [ ウィジット ] ドロップダウンをクリックして [ システム ] > [ 高可用性 ] を選択します 以下の手順では 新しい機能リリースアップグレードを行うと想定しています メンテナンスリリースでも同じ手順を使用できますが セッション同期が有効になっていると 両方のデバイスが稼働している間は同期処理は中断されません また ペアで実行される上位リビジョンへのメンテナンスリリースにおいては 機能リリースとは異なり 非稼働状態にはなりません HA ペアを新しい機能リリースにアップグレードするには 以下の手順を実行します 注 : 以下の手順では アクティブ / パッシブおよびアクティブ / アクティブが適用されますが 用語が少し異なります アクティブ / パッシブには アクティブデバイスとパッシブデバイスがあります アクティブ / アクティブでは アクティブなプライマリデバイスとアクティブなセカンダリデバイスがあり クラスタが稼働しているときには両方のデバイスをトラフィックが通過します 52 デバイス管理 Palo Alto Networks

53 PAN-OS ソフトウェアのアップグレードとダウングレード 1. アップグレードプロセスの一般的な情報と重要な注意事項につていは 51 ページの PAN- OS ソフトウェアのアップグレードとダウングレード を参照しくてださい 2. 両方のデバイスの現在の設定ファイルのバックアップを保存します [Device] > [ セットアップ ] > [ 操作 ] タブに移動し [ 指定した設定のスナップショットをエクスポート ] を選択し [running-config.xml] を選択して [OK] をクリックすると コンピュータに設定ファイルが保存されます 3. パッシブファイアウォールまたはアクティブなセカンダリファイアウォール ( デバイス B) を新しい PAN-OS 機能リリースにアップグレードし 再起動してインストールを完了します 再起動すると デバイスはデバイス A ( アクティブまたはアクティブなプライマリ ) が稼働するまでサスペンド状態になります セッション同期が有効になっている場合 操作コマンド set session tcp-reject-nonsyn no を実行できます このコマンドにより セッションテーブルが再作成され アップグレード前のセッションが続行されます 両方のデバイスの機能リリースが同じになったら set session tcp-reject-non-syn yes を実行してこのオプションを有効にします アクティブ / パッシブモードでは 優先度の高いオプションが設定されている場合 状態同期が完了すると 現在のパッシブデバイスがアクティブに戻ります 4. アクティブファイアウォールまたはアクティブなプライマリファイアウォールをサスペンド状態にします これにより 強制的にパッシブファイアウォールまたはアクティブなセカンダリファイアウォール ( デバイス B) が稼働するようになります この時点で 両方のデバイスの PAN-OS 機能リリースが同じではないため セッション同期が停止します 引き続きデバイス A のアップグレードを行う前に デバイス B が稼働していて トラフィックが通過していることを確認します 5. デバイス A を新しい PAN-OS リリースにアップグレードし デバイスを再起動してインストールを完了します デバイス A が稼働するようになると セッション同期も含め すべての HA 機能が再開されます ステップ 3 のように非 SYN TCP を許可している場合 set session tcp-reject-non-syn yes を実行して元に戻すことができます 6. [Monitor] > [ セッションブラウザ ] を表示するか CLI から show session all を実行して トラフィックがアクティブデバイスを通過していることを確認します デバイスの HA の状態は show high-availability all match reason を実行して確認することもできます これがアクティブ / アクティブ設定の場合は トラフィックが両方のデバイスを通過していることを確認します セッション同期を確認するには show high-availability interface ha2 を実行します [Hardware Interface counters read from CPU] テーブルで カウンタの値が大きくなっていることを確認します アクティブ / パッシブコンフィグでは 送信済みパケットはアクティブデバイスのみで表示され パッシブデバイスには受信したパケットのみが表示されます アクティブ / アクティブでは 両方のデバイスで受信したパケットと送信したパケットが表示されます Palo Alto Networks デバイス管理 53

54 PAN-OS ソフトウェアのアップグレードとダウングレード PAN-OS ソフトウェアのダウングレード PAN-OS ソフトウェアをダウングレードする場合 PAN-OS リリースの種類 ( 機能またはメンテナンス ) に基づいて 異なる手順を実行する必要があります 機能リリース (PAN-OS バージョンの先頭または 2 番目の数字が変更される 4.0 から から 5.0 など ) では 新機能に対応するために設定が移行される場合があるため 前のリリースの設定も復元するのではない限り ダウングレードはお勧めしません メンテナンスリリースの場合は 設定の復元について心配せずにダウングレードできます 次のセクションの メンテナンスリリースのダウングレード 55 ページの 機能リリースのダウングレード 警告 : ソフトウェアバージョンに一致する設定にダウングレードすることをお勧めします ソフトウェアと設定が一致しないと ダウングレードが失敗するか システムが管理モードに強制される場合もあります これは メンテナンスリリースではなく 機能リリース間のダウングレードにのみ適用されます ダウングレードで問題が発生した場合は 管理モードでデバイスを工場出荷時状態に戻し アップグレード前にエクスポートされた元の設定ファイルから設定を復元します メンテナンスリリースのダウングレード メンテナンスリリースでは リリース番号の 3 番目の数字が変更されます (4.1.4 から または から 5.0.1) あるメンテナンスリリースから別のメンテナンスリリースにアップグレードする場合は機能変更がないため ダウングレード時に設定を復元する必要はありません 以前のメンテナンスリリースにダウングレードするには 以下の手順を実行します 1. 現在の設定ファイルのバックアップを保存します [Device] > [ セットアップ ] > [ 操作 ] タブに移動し [ 指定した設定のスナップショットをエクスポート ] を選択し [runningconfig.xml] を選択して [OK] をクリックすると 設定ファイルが保存されます ダウングレードで問題が発生し 出荷時状態に戻す必要がある場合には このバックアップを使用して設定を復元できます 2. [Device] > [ ソフトウェア ] に移動すると ダウンロード可能またはダウンロード済みの PAN- OS バージョンを一覧表示するソフトウェアページが表示されます 3. 以前のメンテナンスリリースにダウングレードするには 目的のリリースの [ アクション ] 列で [ インストール ] をクリックします 目的のバージョンに [ ダウンロード ] が表示されている場合は [ ダウンロード ] リンクをクリックしてソフトウェアパッケージを取得し [ インストール ] をクリックします 4. PAN-OS をダウングレードしたら [OK] をクリックしてデバイスを再起動し 新しいバージョンをアクティベーションします 54 デバイス管理 Palo Alto Networks

55 PAN-OS ソフトウェアのアップグレードとダウングレード 機能リリースのダウングレード 機能リリースでは リリース番号の先頭または 2 番目の数字が変更されます (4.0 から 4.1 または 4.1 から 5.0) ある機能リリースから別の機能リリースにアップグレードすると 新しい機能に対応するために設定が変更される場合があります そのため デバイスが機能リリースにアップグレードされる前に作成された設定バックアップを復元する必要があります PAN-OS 4.1 では 機能リリースにアップグレードするときに この設定バックアップが自動的に作成されます 以前の機能リリースにダウングレードするには 以下の手順を実行します 注 : この手順では 機能リリースにアップグレードする前の設定にデバイスが復元されます アップグレード後に行われた変更は失われます 新しいリリースに戻すときに これらの変更を復元する場合に備え 現在の設定をバックアップしてください 1. 現在の設定ファイルのバックアップを保存します [Device] > [ セットアップ ] > [ 操作 ] タブに移動し [ 指定した設定のスナップショットをエクスポート ] を選択し [runningconfig.xml] を選択して [OK] をクリックすると 設定ファイルが保存されます ダウングレードで問題が発生し 出荷時状態に戻す必要がある場合には このバックアップを使用して設定を復元できます 2. 以前の機能リリースにダウングレードするには [Device] > [ ソフトウェア ] に移動し 目的のリリースを含むページを参照して 以前の機能リリースを指定する必要があります 図 2 を参照してください 3. 機能リリースの [ アクション ] 列にある [ インストール ] をクリックします 目的のバージョンに [ ダウンロード ] が表示されている場合は [ ダウンロード ] リンクをクリックしてソフトウェアパッケージを取得し [ インストール ] をクリックします Palo Alto Networks デバイス管理 55

56 PAN-OS ソフトウェアのアップグレードとダウングレード 4. デバイスの再起動後に使用される設定を選択できるプロンプトが表示されます これは機能リリースのダウングレードであるため ほとんどの場合は デバイスを次の機能リリースにアップグレードしたときに自動保存された設定を選択します たとえば PAN-OS 5.0 を実行していて PAN-OS 4.1 にダウングレードする場合は 図 2 に示すように [ アクション ] 列の [ インストール ] をクリックし [ ダウンロード用設定ファイルの選択 ] ドロップダウンで autosave を選択します 図 2. 以前の機能リリースへのダウングレード 5. PAN-OS をインストールしたら [OK] をクリックしてデバイスを再起動し 新しいバージョンをアクティベーションします PAN-OS の選択した機能リリースと設定がアクティベーションされます 注 :4.1 より前のリリースでは 出荷時状態に戻し デバイスの復元が必要になる場合があります たとえば 4.0 から 3.1 にダウングレードする場合がそうです 56 デバイス管理 Palo Alto Networks

57 脅威およびアプリケーションの定義の更新 脅威およびアプリケーションの定義の更新 [Device] > [ ダイナミック更新 ] Palo Alto Networks では 新規または改訂されたアプリケーションの定義や アンチウイルスシグネチャ ( 入手するには脅威防御ライセンスが必要です ) URL フィルタリング基準 GlobalProtect データの更新 WildFire のシグネチャ ( 入手するには WildFire サブスクリプションが必要です ) などの新しいセキュリティの脅威に関する情報が含まれている更新ファイルを定期的に公開しています 最新の更新ファイルを表示し 各更新ファイルのリリースノートを読み ダウンロードおよびインストールする更新ファイルを選択できます 以前にインストールした更新のバージョンに戻すこともできます 必要に応じて このページで以下の機能を実行します [ 今すぐチェック ] をクリックして Palo Alto Networks から最新情報を取得します [ アクション ] 列にある [ インストール ] をクリックして そのバージョンに更新します バージョンの [ 戻す ] をクリックして そのバージョンに戻します 更新ファイルのを表示するには [ リリースノート ] をクリックします 以前に PC に保存したファイルをインストールするには [ アップロード ] をクリックします ファイルを参照して選択し [ ファイルからインストール ] をクリックします ドロップダウンリストから選択したファイルを選択し [OK] をクリックしてインストールします 自動更新をスケジュールするには [ スケジュール ] リンクをクリックします 更新の頻度とタイミングを指定し 更新ファイルをダウンロードしてインストールするのか またはダウンロードのみを行うのかを指定します [ ダウンロードのみ ] を選択すると [ ダイナミック更新 ] ページの [ アクション ] 列の [ インストール ] リンクをクリックしてダウンロードした更新ファイルがインストールされます [OK] をクリックすると 更新がスケジュールされます コミットは必要ありません また アクションを実行するために必要なコンテンツの持続時間を指定したり アップロードをピアファイアウォールと同期させるかどうかを指定したりできます Palo Alto Networks デバイス管理 57

58 管理者ロール プロファイル およびアカウント 管理者ロール プロファイル およびアカウント ファイアウォールでは ファイアウォールにログインしようとする管理ユーザーを認証するために以下のオプションをサポートしています ローカルデータベース ユーザーのログインおよびパスワード情報がファイアウォールデータベースに直接入力されます RADIUS ユーザーの認証に既存の RADIUS (Remote Authentication Dial In User Service) サーバーが使用されます LDAP 既存の Lightweight Directory Access Protocol (LDAP) サーバーがユーザーの認証に使用されます Kerberos 既存の Kerberos サーバーがユーザーの認証に使用されます クライアント証明書 既存のクライアント証明書がユーザーの認証に使用されます 管理アカウントを作成するとき ローカル認証またはクライアント証明書 ( 認証プロファイルなし ) あるいは認証プロファイル (RADIUS LDAP Kerberos またはローカル DB 認証 ) を指定します この設定によって 管理者の認証の確認方法が決まります 管理者ロールによって 管理者がログイン後に実行を許可される機能が決まります ロールを管理者アカウントに直接割り当てることも ロールプロファイルを定義して詳細な権限を指定し それを管理者アカウントに割り当てることもできます 詳細は 以下のセクションを参照してください 認証プロファイルのセットアップ手順の詳細は 65 ページの 認証プロファイルのセットアップ を参照してください ロールプロファイルのセットアップ手順の詳細は 60 ページの 管理者ロールの定義 を参照してください 管理者アカウントのセットアップ手順の詳細は 61 ページの 管理アカウントの作成 を参照してください SSL 仮想プライベートネットワーク (VPN) の詳細は 339 ページの GlobalProtect の設定 を参照してください 管理者用の仮想システムドメインの定義手順の詳細は 63 ページの 管理者のアクセスドメインの指定 を参照してください 管理者の証明書プロファイルの定義手順の詳細は 92 ページの 証明書プロファイル を参照してください 58 デバイス管理 Palo Alto Networks

59 管理者ロール プロファイル およびアカウント ユーザー名とパスワードの要件 PAN-OS および Panorama アカウントのユーザー名とパスワードに使用できる有効な文字を以下の表に示します 注 :PAN-OS 3.1 以降には以下の制限が適用されます 表 7 ユーザー名とパスワードの有効な文字 アカウントの種類 パスワード文字セット リモート管理者 SSL-VPN キャプティブポータル ローカル管理者アカウント 制限パスワードフィールドの文字セットには制限がありません ユーザー名には以下の文字を使用できません バックティック (`) 山かっこ (< と >) アンパサンド (&) アスタリスク (*) アット記号 (@) 疑問符 (?) パイプ ( ) 一重引用符 (\) セミコロン (;) 二重引用符 (") ドル記号 ($) かっこ ( '(' と ')' ) コロン (':') ローカルユーザー名には以下の文字を使用できます アット記号 (@) キャレット (^) 左角かっこ ([) 小文字 (a ~ z) 大文字 (A ~ Z) 数字 (0 ~ 9) アンダースコア (_) ピリオド (.) ハイフン (-) 右角かっこ (]) プラス記号 (+) ドル記号 ($) 注 : 応答ページの文字セットには制限は適用されません Palo Alto Networks デバイス管理 59

60 管理者ロール プロファイル およびアカウント 管理者ロールの定義 [Device] > [ 管理者ロール ] 管理ユーザーが行使可能なアクセス権と役割を決めるロールプロファイルを定義するには [ 管理者ロール ] ページを使用します 管理者アカウントの追加手順の詳細は 61 ページの 管理アカウントの作成 を参照してください 共通基準の目的で使用できる 事前に定義された 3 つの管理者ロールがあります 最初にデバイスの初期設定でスーパーユーザーロールを使用して セキュリティ管理者 監査管理者 および暗号管理者の管理者アカウントを作成します アカウントを作成し 適切な共通基準管理者ロールを適用したら それらのアカウントを使用してログインします FIPS または CC モードのデフォルトのスーパーユーザーアカウントは admin で デフォルトのパスワードは paloalto です 標準操作モードでは admin のデフォルトのパスワードは admin です 事前定義の管理者ロールは すべてのロールに監査証跡への読み取り専用のアクセス権があるという点を除き 機能が重複しないように作成されています ( 読み取りと削除のフルアクセス権がある監査管理者は除く ) これらの管理者ロールは変更できず 以下のように定義されています auditadmin 監査管理者は ファイアウォールの監査データの定期的な確認を担当する責任者です cryptoadmin 暗号管理者は ファイアウォールの安全な接続確立に関連する暗号要素の設定と保守を担当する責任者です securityadmin セキュリティ管理者は 他の 2 つの管理ロールで対処されない その他すべての管理タスク ( ファイアウォールのセキュリティポリシーの作成など ) を担当する責任者です 表 8. 管理者ロール設定 フィールド 名前 管理者ロールの識別に使用する名前を入力します ( 最大 31 文字 ) 名前の大文字と小文字は区別されます また 一意の名前にする必要があります 文字 数字 スペース ハイフン およびアンダースコアのみを使用してください 内容ロールの ( 最大 255 文字 ) を入力します ( 任意 ) ロール WebUI CLI ロール ドロップダウンリストから管理役割の適用範囲を選択します Web インターフェースで許可するアクセスのタイプを示すアイコンをクリックします 指定ページに読み書きアクセスできます 指定ページに読み取り専用でアクセスできます 指定ページにアクセスできません CLI アクセスのロールのタイプを選択します 無効化 デバイスの CLI にはアクセスできません superuser 現在のデバイスにフルアクセスできます superreader 現在のデバイスに読み取り専用でアクセスできます デバイス管理 新しいアカウントまたは仮想システムを定義する場合を除き 選択したデバイスにフルアクセスできます デバイスリーダー 選択したデバイスに読み取り専用でアクセスできます 60 デバイス管理 Palo Alto Networks

61 管理者ロール プロファイル およびアカウント パスワードプロファイルの定義 [Device] > [ パスワードプロファイル ] パスワードプロファイルを使用して 各ローカルアカウントにパスワードの基本要件を設定できます すべてのローカルアカウントにパスワード要件を指定する [ パスワード複雑性設定 ] を有効にすると このパスワードプロファイルはそれらの設定でオーバーライドされます 詳細は 35 ページの パスワード複雑性設定 を参照してください アカウントで使用できる有効な文字の詳細は 59 ページの ユーザー名とパスワードの要件 を参照してください アカウントにパスワードプロファイルを適用するには [Device] > [ 管理者 ] に移動し アカウントを選択して [ パスワードプロファイル ] ドロップダウンからプロファイルを選択します 表 9 パスワードプロファイル設定 フィールド 名前 パスワード有効期限 ( 日数 ) 失効の警告期間 ( 日数 ) 失効後の猶予期間 ( 日数 ) 許可された管理者失効ログイン ( 数 ) パスワードプロファイルの識別に使用する名前を入力します ( 最大 31 文字 ) 名前の大文字と小文字は区別されます また 一意の名前にする必要があります 文字 数字 スペース ハイフン およびアンダースコアのみを使用してください 設定された日数 (0 ~ 365 日 ) で指定されたとおりに 管理者は定期的にパスワードを変更する必要があります たとえば 値を 90 に設定すると 管理者に 90 日ごとにパスワードの変更を求めるプロンプトが表示されます 失効の警告を 0 ~ 30 日の範囲で設定して猶予期間を指定することもできます 必須のパスワード変更期間を設定すると この設定を使用して 強制パスワード変更日が近づくとユーザーがログインするたびにパスワードの変更を求めるプロンプトを表示できます ( 範囲は 0 ~ 30 日 ) アカウントが失効した後に 管理者は指定した日数ログインできます ( 範囲は 0 ~ 30 日 ) アカウントが失効した後に 管理者は指定した回数ログインできます たとえば 値を 3 に設定し アカウントが失効した場合 管理者はアカウントがロックアウトされるまで 3 回ログインすることができます ( 範囲は 0 ~ 3 回 ) 管理アカウントの作成 [Device] > [ 管理者 ] ファイアウォールへのアクセス権は管理者アカウントに基づいて制御されます 各管理者には 1 台のデバイスか 1 台のデバイス上の仮想システムへのフルアクセス権または読み取り専用アクセス権を付与できます 事前に定義されている admin アカウントには フルアクセス権があります 以下の認証オプションがサポートされています パスワード認証プロトコル ユーザーがログインするユーザー名とパスワードを入力します 証明書は必要ありません クライアント証明書の認証 (Web) このチェックボックスをオンにすると ユーザー名とパスワードは必要なく ファイアウォールへのアクセス認証には証明書で十分になります Palo Alto Networks デバイス管理 61

62 管理者ロール プロファイル およびアカウント 公開キーの認証 (SSH) ファイアウォールへのアクセスが必要なマシン上で公開 / 秘密鍵のペアを生成して ファイアウォールに公開鍵をアップロードして ユーザーがユーザー名とパスワードを入力せずに 安全にアクセスできるようにします 注 : デバイス管理インターフェイスの安全性を維持するには 管理パスワードを定期的に変更することをお勧めします 管理パスワードには 小文字 大文字 および数字を混在させてください また [ セットアップ ] > [ 管理 ] から パスワード複雑性設定 を適用することもできます 表 10. 管理者アカウント設定 フィールド 名前 認証プロファイル クライアント証明書認証のみを使用 (Web) 新しいパスワード再入力新しいパスワード 公開キーの認証 (SSH) の使用 ユーザーのログイン名 ( 最大 15 文字 ) を入力します 名前の大文字と小文字は区別されます また 一意の名前にする必要があります 文字 数字 ハイフン およびアンダースコアのみを使用してください 指定した認証プロファイルの設定に従って管理者認証を行うための認証プロファイルを選択します この設定は RADIUS LDAP Kerberos またはローカル DB 認証に使用できます 認証プロファイルのセットアップ手順の詳細は 65 ページの 認証プロファイルのセットアップ を参照してください Web アクセスのクライアント証明書認証を使用するには このチェックボックスをオンにします このチェックボックスをオンにすると ユーザー名とパスワードは必要なく ファイアウォールへのアクセス認証には証明書で十分になります ユーザーのパスワード ( 最大 15 文字 ) を入力し 確認のためにパスワードを再入力します これらのパスワードの大文字と小文字は区別されます [ セットアップ ] > [ 管理 ] から [ パスワード複雑性設定 ] を適用することもできます SSH 公開キーの認証を使用するには このチェックボックスをオンにします [ キーのインポート ] をクリックし 公開キーファイルを参照して選択します アップロードした鍵は 読み取り専用テキストエリアで表示されます サポート対象の鍵ファイルのフォーマットは IETF SECSH と OpenSSH です サポート対象の鍵アルゴリズムは DSA (1024 ビット ) と RSA ( ビット ) です 注 : 公開キーの認証が失敗すると ユーザー名とパスワードの入力を要求するプロンプトが表示されます 62 デバイス管理 Palo Alto Networks

63 管理者ロール プロファイル およびアカウント 表 10. 管理者アカウント設定 ( 続き ) フィールド ロール 仮想システム ロールをこのユーザーに割り当てるためのオプションを選択します このロールによって ユーザーが表示および変更できる対象が決まります [ ダイナミック ] を選択した場合 ドロップダウンリストから以下の事前指定されたロールを選択できます スーパーユーザー 現在のデバイスにフルアクセスできます スーパーユーザー ( 読み取り専用 ) 現在のデバイスに読み取り専用でアクセスできます デバイスの管理者 新しいアカウントまたは仮想システムの定義を除き 選択したデバイスにフルアクセスできます デバイスの管理者 ( 読み取り専用 ) 選択したデバイスに読み取り専用でアクセスできます Vsys 管理者 特定デバイスの選択した仮想システム ( マルチ仮想システムが有効になっている場合 ) にフルアクセスできます Vsys 管理者 ( 読み取り専用 ) 特定デバイスの選択した仮想システムに読み取り専用でアクセスできます ロールベース管理者 60 ページの 管理者ロールの定義 で定義されているように 割り当てられたロールに基づいてアクセスできます [ ロールベース ] を選択した場合 ドロップダウンリストから以前に定義したロールプロファイルを選択します ロールプロファイルの定義手順の詳細は 60 ページの 管理者ロールの定義 を参照してください 管理者からアクセス可能にする仮想システムを選択し [ 追加 ] をクリックして [ 使用可能 ] エリアから [ 選択済み ] エリアに移動します 注 :Panorama の superuser の [ 管理者 ] ページでは アカウントがロックアウトされていると右列にロックアイコンが表示されます 管理者は このアイコンをクリックしてアカウントのロックを解除できます 管理者のアクセスドメインの指定 [Device] > [ アクセスドメイン ] ファイアウォールへの管理者アクセスのドメインを指定するには [ アクセスドメイン ] ページを使用します アクセスドメインは RADIUS ベンダー固有属性 (VSA) にリンクされており 管理者の認証に RADIUS サーバーが使用されている場合にのみ 使用することができます RADIUS の設定の詳細は 68 ページの RADIUS サーバーの設定 を参照してください 管理者がファイアウォールにログインしようとすると ファイアウォールは RADIUS サーバーに管理者のアクセスドメインを問い合わせます 関連付けられているドメインが RADIUS サーバーに存在する場合 その情報が返されて 管理者はデバイス上の当該アクセスドメインで定義された仮想システムだけに管理が制限されます RADIUS が使用されていない場合 このページのアクセスドメイン設定は無視されます Panorama のアクセスドメインの詳細は 398 ページの 管理者の Panorama アクセスドメインの指定 を参照してください Palo Alto Networks デバイス管理 63

64 認証プロファイル 表 11. アクセスドメイン設定 フィールド 名前 アクセスドメインの名前 ( 最大 31 文字 ) を入力します 名前の大文字と小文字は区別されます また 一意の名前にする必要があります 文字 数字 ハイフン およびアンダースコアのみを使用してください 仮想システム [ 使用可能な列 ] で仮想システムを選択し [ 追加 ] をクリックして選択します 注 : アクセスドメインは 仮想システムをサポートするデバイスでのみサポートされます 認証プロファイル 認証プロファイルには ローカルデータベース RADIUS LDAP または Kerberos 設定を指定します また 認証プロファイルは 管理者アカウント SSL-VPN アクセス およびキャプティブポータルに割り当てることができます 管理者がファイアウォールに直接 あるいは SSL-VPN またはキャプティブポータル経由でログインしようとすると ファイアウォールはアカウントに割り当てられている認証プロファイルを確認し その認証設定に基づいてユーザーを認証します ユーザーにローカル管理者アカウントがない場合 デバイスの [ セットアップ ] ページで指定された認証プロファイルによってユーザーの認証方法が決まります (30 ページの 管理設定の定義 を参照 ) [ セットアップ ] ページで [RADIUS] 認証設定を指定し ファイアウォールにユーザーのローカルアカウントがない場合 ファイアウォールは RADIUS サーバーにユーザーの認証情報 ( ロールを含む ) をリクエストします さまざまなロールの属性が含まれる Palo Alto Networks RADIUS ディクショナリファイルは サポートサイト ( DOC-3189) から入手できます [ 設定 ] ページで [None] が認証プロファイルとして指定されている場合 ファイアウォールはユーザーに指定された認証プロファイルに従ってローカルにユーザーを認証する必要があります 64 デバイス管理 Palo Alto Networks

65 認証プロファイル 認証プロファイルのセットアップ [Device] > [ 認証プロファイル ] ファイアウォールへのアクセスを管理するためにアカウントに適用できる認証設定を指定するには [ 認証プロファイル ] ページを使用します 表 12. 認証プロファイル設定 フィールド 名前 共有 ロックアウト時間 プロファイルの識別に使用する名前を入力します ( 最大 31 文字 ) 名前の大文字と小文字は区別されます また 一意の名前にする必要があります 文字 数字 スペース ハイフン およびアンダースコアのみを使用してください デバイスがマルチ仮想システムモードである場合 プロファイルをすべての仮想システムで共有できるようにするには このチェックボックスをオンにします 失敗回数が最大試行回数に達したときのユーザーのロックアウト時間を分単位で入力します (0 ~ 60 分 デフォルトは 0) 0 を指定すると 手動でロック解除するまでロックアウト状態が続きます 許容ログイン回数許容される最大ログイン試行失敗回数を入力します (1 ~ 10 デフォルトは 0) この回数に達するとユーザーはロックアウトされます 0 にすると 無制限になります 許可リスト認証を明示的に許可するユーザーとグループを指定します [ 許可リストの編集 ] をクリックして 以下のいずれかを実行します [ 使用可能な列 ] の該当するユーザーやユーザーグループの横にあるチェックボックスをオンにし [ 追加 ] クリックしてそれらを [ 選択した列 ] に追加します すべてのユーザーに適用するには [All] チェックボックスを使用します [ 検索 ] フィールドに名前の最初の数文字を入力すると その文字で始まるユーザーおよびユーザーグループがすべて表示されます リストの項目を選択すると [ 使用可能な列 ] のチェックボックスがオンになります このプロセスを必要な回数だけ繰り返し 次に [ 追加 ] をクリックします ユーザーまたはユーザーグループを削除するには [ 選択した列 ] の該当するチェックボックスをオンにして [ 削除 ] をクリックするか [ いずれか ] を選択してすべてのユーザーをクリアします 認証 認証のタイプを選択します None ファイアウォールで認証を使用しません Local Database ファイアウォールの認証データベースを使用します RADIUS 認証に RADIUS サーバーを使用します LDAP 認証方法として LDAP を使用します Kerberos 認証方法として Kerberos を使用します Palo Alto Networks デバイス管理 65

66 認証プロファイル 表 12. 認証プロファイル設定 ( 続き ) フィールドサーバープロファイルログイン属性パスワード失効の警告 認証方法として RADIUS LDAP または Kerberos を選択した場合 ドロップダウンリストから認証サーバーを選択します サーバーは [ サーバー ] ページで設定されます 68 ページの RADIUS サーバーの設定 68 ページの LDAP サーバーの設定 および 69 ページの Kerberos 設定の設定 (Active Directory のネイティブ認証 ) を参照してください 認証方法として [LDAP] を選択した場合 ユーザーを一意に識別する LDAP ディレクトリ属性を入力します 認証方法として [LDAP] を選択した場合 パスワードの有効期限が切れる何日前に自動メッセージをユーザーに送信するのかを入力します このフィールドを空白のままにすると 警告が表示されなくなります これは Active Directory edirectory および Sun ONE Directory のデータベースでサポートされています この設定は SSL-VPN で使用されます 詳細は 339 ページの GlobalProtect の設定 を参照してください スクリプトを編集すれば SSL-VPN のログインページに有効期限切れの警告メッセージが表示されるようにカスタマイズできます <SCRIPT> function getpasswarnhtml(expdays) { var str = "Your password will expire in " + expdays + " days"; return str; } </SCRIPT> str 変数の値を変更すると 表示されるメッセージが変わります 66 デバイス管理 Palo Alto Networks

67 認証プロファイル ローカルユーザーデータベースの作成 リモートアクセスユーザー デバイス管理者 およびキャプティブポータルユーザーの認証情報を格納するためのローカルデータベースをファイアウォール上に設定できます この設定で外部の認証サーバーは必要ありません したがって すべてのアカウント管理はデバイス上または Panorama から行われます キャプティブポータルを設定するときには 最初にローカルアカウントを作成し このアカウントをユーザーグループに追加し この新しいグループを使用して認証プロファイルを作成します 次に [Device] > [ ユーザー ID] > [ キャプティブポータル ] からキャプティブポータルを有効にし 認証プロファイルを選択します この設定を行ったら [Policies] > [ キャプティブポータル ] からポリシーを作成できます 詳細は 285 ページの キャプティブポータル を参照してください ローカルユーザーの追加 [Device] > [ ローカルユーザーデータベース ] > [ ユーザー ] ユーザー情報をローカルデータベースに追加するには [ ローカルユーザー ] ページを使用します 表 13. ローカルユーザー設定 フィールドローカルユーザー名場所モード有効化 ユーザーを識別する名前を入力します ( 最大 31 文字 ) 名前の大文字と小文字は区別されます また 一意の名前にする必要があります 文字 数字 スペース ハイフン およびアンダースコアのみを使用してください 仮想システムを 1 つ選択するか または [ 共有 ] を選択してすべての仮想システムで証明書を使用可能にします 以下のいずれかの認証オプションを指定します パスワード ユーザーのパスワードを入力および確認します パスワードハッシュ ハッシュされたパスワード文字列を入力します ユーザーアカウントをアクティベーションするには このチェックボックスをオンにします ローカルユーザーグループの追加 [Device] > [ ローカルユーザーデータベース ] > [ ユーザーグループ ] ユーザーグループ情報をローカルデータベースに追加するには [ ローカルユーザーグループ ] ページを使用します 表 14. ローカルユーザーグループ設定 フィールド ローカルユーザーグループ名 場所 すべてのローカルユーザー グループの識別に使用する名前 ( 最大 31 文字 ) を入力します 名前の大文字と小文字は区別されます また 一意の名前にする必要があります 文字 数字 スペース ハイフン およびアンダースコアのみを使用してください 仮想システムを 1 つ選択するか または [ 共有 ] を選択してすべての仮想システムで証明書を使用可能にします [ 追加 ] をクリックし グループに追加するユーザーを選択します Palo Alto Networks デバイス管理 67

68 認証プロファイル RADIUS サーバーの設定 [Device] > [ サーバープロファイル ] > [RADIUS] 認証プロファイルで識別される RADIUS サーバーを設定するには [RADIUS] ページを使用します 64 ページの 認証プロファイル を参照してください 表 15. RADIUS サーバー設定 フィールド 名前 場所 管理者使用のみ ドメイン タイムアウト サーバーを識別する名前を入力します ( 最大 31 文字 ) 名前の大文字と小文字は区別されます また 一意の名前にする必要があります 文字 数字 スペース ハイフン およびアンダースコアのみを使用してください 仮想システムを選択するか [ 共有 ] を選択してすべての仮想システムでプロファイルを使用可能にします 管理者の認証のみにこのサーバープロファイルを使用します RADIUS サーバーのドメインを入力します このドメインの設定は ユーザーがログイン時にドメインを指定しなかった場合に使用されます 認証リクエストがタイムアウトするまでの時間を入力します (1 ~ 30 秒 デフォルトは 3 秒 ) 再試行タイムアウト後に行われる自動再試行回数を入力します (1 ~ 5 デフォルトは 3) 自動試行がこの回数に達すると リクエストは失敗します ユーザーグループの取得 サーバー RADIUS の VSA を使用してファイアウォールへのアクセス権を持つグループを定義するには このチェックボックスをオンにします 適切な順序で各サーバーの情報を設定します 名前 サーバーの識別に使用する名前を入力します IP アドレス サーバーの IP アドレスを入力します ポート 認証リクエストに使用するサーバーのポートを入力します シークレット / 再入力シークレット ファイアウォールと RADIUS サーバー間の接続の検証と暗号化に使用する鍵を入力し 確認します LDAP サーバーの設定 [Device] > [ サーバープロファイル ] > [LDAP] 認証プロファイルによる認証で使用される LDAP サーバーを設定するには [LDAP] ページを使用します 64 ページの 認証プロファイル を参照してください 表 16. LDAP サーバー設定 フィールド名前場所管理者使用のみ プロファイルの識別に使用する名前を入力します ( 最大 31 文字 ) 名前の大文字と小文字は区別されます また 一意の名前にする必要があります 文字 数字 スペース ハイフン およびアンダースコアのみを使用してください 仮想システムを選択するか [ 共有 ] を選択してすべての仮想システムでプロファイルを使用可能にします 管理者の認証のみにこのサーバープロファイルを使用します 68 デバイス管理 Palo Alto Networks

69 認証プロファイル 表 16. LDAP サーバー設定 ( 続き ) フィールド サーバー ドメイン タイプ ベース バインド DN バインドパスワード / 再入力バインドパスワード SSL 時間制限 バインド時間制限 再試行間隔 最大 3 台の LDAP サーバーのホスト名 IP アドレス およびポートを指定します サーバーのドメイン名を入力します このドメイン名には ドメインの NetBIOS 名を使用します ドメイン名は認証が行われるときにユーザー名に追加されます たとえば ドメインが paloaltonetworks.com の場合は paloaltonetworks とだけ入力します ドロップダウンリストからサーバータイプを選択します ユーザーまたはグループ情報の検索を絞り込むための ディレクトリサーバーのルートコンテキストを指定します ディレクトリサーバーのログイン名 ( 識別名 ) を指定します バインドアカウントのパスワードを指定します エージェントは暗号化したパスワードを設定ファイルに保存します セキュア SSL または TLS (Transport Layer Security) 通信を Palo Alto Networks のデバイスとディレクトリサーバーの間で使用するには オンにします ディレクトリ検索を実行するときの時間制限を指定します (0 ~ 60 秒 デフォルトは 30 秒 ) ディレクトリサーバーに接続するときの時間制限を指定します (0 ~ 60 秒 デフォルトは 30 秒 ) システムが LDAP サーバーへの接続試行に失敗してから次に接続を試みるまでの間隔を指定します (1 ~ 3600 秒 ) Kerberos 設定の設定 (Active Directory のネイティブ認証 ) [Device] > [ サーバープロファイル ] > [Kerberos] RADIUS に対応するためにユーザーが Internet Authentication Service (IAS) を起動する必要のない Active Directory 認証を設定するには [Kerberos] ページを使用します Kerberos サーバーを設定すると ドメインコントローラに対してユーザーをネイティブに認証できます Kerberos を設定すると 認証プロファイルを定義するときに Kerberos をオプションとして使用できるようになります 64 ページの 認証プロファイル を参照してください ユーザーアカウントが以下のいずれかの形式で識別されるように Kerberos を設定できます domain と realm は Kerberos サーバーの設定時に指定されます domain\username username@realm username Palo Alto Networks デバイス管理 69

70 認証シーケンス 表 17. Kerberos サーバー設定 フィールド 名前 場所 管理者使用のみ サーバーを識別する名前を入力します ( 最大 31 文字 ) 名前の大文字と小文字は区別されます また 一意の名前にする必要があります 文字 数字 スペース ハイフン およびアンダースコアのみを使用してください 仮想システムを選択するか [ 共有 ] を選択してすべての仮想システムでプロファイルを使用可能にします 管理者の認証のみにこのサーバープロファイルを使用します レルムユーザーのログイン名のホスト名部分を指定します ( 最大 127 文字 ) 例 : ユーザーアカウント名が [email protected] の場合 レルムは example.local になります ドメインユーザーアカウントのドメインを指定します ( 最大 31 文字 ) サーバー Kerberos サーバー毎に [ 追加 ] をクリックして以下の設定を指定します サーバー サーバーの IP アドレスを入力します ホスト サーバーの FQDN を入力します ポート サーバーと通信するためのポート番号を入力します ( 任意 ) 認証シーケンス 環境によっては ユーザーアカウントが複数のディレクトリに存在することがあります Guest アカウントや他のアカウントも別のディレクトリに格納されている場合があります 認証シーケンスは ユーザーがファイアウォールにログインしようとしたときに順番に適用される一連の認証プロファイルです ファイアウォールは ユーザーを識別するまで 最初にローカルデータベース 次に各プロファイルを順番に試していきます 認証シーケンスのすべてのプロファイルで認証が失敗した場合にのみファイアウォールへのアクセスが拒否されます たとえば ローカルデータベースが確認された後に RADIUS LDAP の順番で認証される認証シーケンスを設定できます 70 デバイス管理 Palo Alto Networks

71 認証シーケンス 認証シーケンスのセットアップ [Device] > [ 認証シーケンス ] ユーザーがファイアウォールへのアクセスをリクエストしたときに順番に試行される一連の認証プロファイルを設定するには [ 認証シーケンス ] ページを使用します シーケンスのいずれかの認証プロファイルを使用して認証が成功した場合 ユーザーにアクセスが許可されます 詳細は 64 ページの 認証プロファイル を参照してください 表 18. 認証シーケンス設定 フィールド プロファイル名 共有 ロックアウト時間 プロファイルの識別に使用する名前を入力します ( 最大 31 文字 ) 名前の大文字と小文字は区別されます また 一意の名前にする必要があります 文字 数字 スペース ハイフン およびアンダースコアのみを使用してください デバイスがマルチ仮想システムモードである場合 すべての仮想システムで共有できるようにするには このチェックボックスをオンにします 失敗回数が最大試行回数に達したときのユーザーのロックアウト時間を分単位で入力します (0 ~ 60 分 デフォルトは 0) 0 を指定すると 手動でロック解除するまでロックアウト状態が続きます 許容ログイン回数許容される最大ログイン試行失敗回数を入力します (1 ~ 10 デフォルトは 0) この回数に達するとユーザーはロックアウトされます 0 にすると 無制限になります プロファイルリスト 認証シーケンスに含める認証プロファイルを選択します リストの順番を変更するには エントリを選択して [ 上へ ] または [ 下へ ] をクリックします Palo Alto Networks デバイス管理 71

72 ファイアウォールログ ファイアウォールログ [Monitor] > [ ログ ] ファイアウォールでは 設定の変更 システムイベント セキュリティの脅威 およびトラフィックフローが記録されたログが生成されます ログ毎に Panorama サーバーへのリモートログの記録を有効にし SNMP トラップ Syslog メッセージ および電子メール通知を生成できます 以下の表に ログとログオプションを示します 表 19 ログのタイプと設定 ログ アラーム 設定 データフィルタリング HIP マッチ システム アラームログは システムによって生成されたアラームの詳細情報を記録します このログの情報は [ アラーム ] ウィンドウでも報告されます 87 ページの アラームの表示 を参照してください 設定ログには 各設定の変更 ( 日時 管理者ユーザー名 および変更の失敗 / 成功など ) が記録されます すべての設定ログエントリは Panorama Syslog および電子メールサーバーに送信できますが SNMP トラップは生成できません ログエントリの設定に関する詳細を表示するには [ 変更後 ] 列の [ 変更前 ] 上にカーソルを移動して 省略記号をクリックします ポップアップウィンドウが開いて エントリの全詳細が表示されます データフィルタリングログには セキュリティポリシーに関する情報が記録されます セキュリティポリシーを使用すると クレジットカード番号や社会保障番号などの機密情報が ファイアウォールで保護されているエリアから外部に送信されるのを防止できます (223 ページの データフィルタリングプロファイル を参照 ) ファイルブロッキングプロファイルを設定して特定のファイルタイプをブロックする場合 ファイルタイプとファイル名がデータフィルタリングログに記録されるため 何がブロックされたのかを把握することができます HIP マッチログは GlobalProtect の Host Information Profile (HIP) マッチリクエストを表示します 339 ページの GlobalProtect の設定 を参照してください システムログには 各システムイベント (HA の障害 リンク状態の変更 および管理者のログイン / ログアウトなど ) が記録されます 各エントリには 日時 イベントの重大度 およびイベントのが含まれています システムログエントリは 重大度レベル別にリモートでログに記録できます たとえば [critical] または [high] のレベルのイベントのみを対象として SNMP トラップや電子メール通知を生成できます 72 デバイス管理 Palo Alto Networks

73 ファイアウォールログ 表 19 ログのタイプと設定 ( 続き ) ログ脅威トラフィック URL フィルタリング WildFire 脅威ログには ファイアウォールで生成された各セキュリティアラームが記録されます 各エントリには 日時 脅威の種別 ( ウイルスやスパイウェア / 脆弱性のフィルタリング違反など ) 送信元と宛先のゾーン アドレス ポート アプリケーション名 アクション 重大度が含まれています 脅威ログのエントリは 重大度別にリモートでログに記録できます これを行うには ログ転送プロファイルを定義し そのプロファイルをセキュリティルールに割り当てます (187 ページの セキュリティポリシー を参照 ) ログのプロファイルが割り当てられたセキュリティルールに一致するトラフィックのみを対象として 脅威がリモートでログに記録されます 脅威ログは レポートの生成および Application Command Center で使用されます (251 ページの レポートとログ を参照 ) トラフィックログには 各セッションの開始や終了のエントリを記録できます 各エントリには 日時 送信元と宛先のゾーン アドレス ポート アプリケーション名 セッションに適用されているセキュリティルール ルールのアクション ( 許可 拒否 または廃棄 ) 入力 / 出力インターフェイス バイト数が含まれています 各セキュリティルールでは ルールに一致するトラフィックを対象として 各セッションの開始や終了がローカルでログに記録されるかどうかが定義されます ルールに割り当てられたログ転送プロファイルによって ローカルでログに記録されたエントリがリモートでも記録されるかどうかが決まります トラフィックログは レポートの生成およびアプリケーションコマンドセンターで使用されます (251 ページの レポートとログ を参照 ) URL フィルタリングログには URL フィルタのエントリが記録されます URL フィルタは 特定の Web サイトおよび Web サイトカテゴリへのアクセスをブロックしたり ユーザーが禁止されている Web サイトにアクセスした場合にアラートを生成したりします PAN-DB を使用していて Web サイトの URL カテゴリの変更を要求する場合は URL フィルタリングログで目的のログエントリの詳細を開き [ 分類の変更要求 ] をクリックします ドロップダウンメニューから推奨されるカテゴリを選択し 電子メールアドレス ( 任意 ) とコメント ( 任意 ) を入力して [ 送信 ] をクリックします BrightCloud DB を使用している場合は [ 分類の変更要求 ] をクリックすると BrightCloud のサポートページに移動します このページから要求を送信できます (217 ページの URL フィルタリングプロファイル を参照 ) WildFire ログには WildFire で分析されたファイルの結果が表示されます 表示されるフィールドには [ ファイル名 ] [ 送信元ゾーン ] [ 宛先ゾーン ] [ 攻撃者 ] [ 被害者 ] [ アプリケーション ] などがあります 注 : ログの統合には WildFire サブスクリプションが必要です サブスクリプションがない場合は WildFire ポータル ( を使用してログ情報を参照できます (425 ページの WildFire について と 430 ページの WildFire ポータルの利用 を参照 ) Palo Alto Networks デバイス管理 73

74 ファイアウォールログ 設定のログ ファイアウォールの設定によって ログエントリを Panorama 中央管理システム SNMP トラップ受信装置 Syslog サーバー および電子メールのアドレスに送信できます 以下の表に リモートログの宛先を示します 表 20 リモートログの宛先 宛先 Panorama すべてのログエントリは Panorama 中央管理システムに転送できます Panorama サーバーのアドレスを指定する方法については 30 ページの 管理設定の定義 を参照してください SNMP トラップ Syslog 電子メール SNMP トラップは システム 脅威 およびトラフィックログエントリの重大度レベル別に生成できます ただし 設定ログエントリは対象外となります SNMP トラップの宛先を定義する方法については 78 ページの SNMP トラップの宛先の設定 を参照してください Syslog メッセージは システム 脅威 トラフィック 設定ログエントリの重大度レベル別に生成できます Syslog の宛先を定義する方法については 80 ページの Syslog サーバーの設定 を参照してください 電子メールは システム 脅威 トラフィック および設定ログエントリの重大度レベル別に生成できます 電子メールのアドレスとサーバーを定義する方法については 81 ページの [Device] > [ サーバープロファイル ] > [Syslog] の [ カスタムログフォーマット ] タブを選択して Syslog サーバープロファイルのカスタムログフォーマットを設定できます 目的のログタイプ ([ 設定 ] [ システム ] [ 脅威 ] [ トラフィック ] [HIP マッチ ]) をクリックして ログに表示するフィールドをクリックします 各ログタイプの各フィールドの意味を以下の表に示します. を参照してください ログのエクスポートのスケジューリング [Device] > [ スケジュール設定されたログのエクスポート ] ログのエクスポートをスケジューリングして File Transfer Protocol (FTP) サーバーに CSV 形式で保存するか Secure Copy (SCP) を使用してデバイスとリモートホスト間でデータを安全に転送できます ログのプロファイルには スケジュールと FTP サーバーの情報が含まれています たとえば プロファイルを使用して 毎日 3:00 AM に前日のログを収集して特定の FTP サーバーに保存するように指定できます 新しいエントリを作成してから [OK] をクリックすると 新しいプロファイルが [ スケジュール設定されたログのエクスポート ] ページに追加されます エクスポートが行われるには 変更をコミットする必要があります SCP を使用している場合は [SCP サーバー接続のテスト ] ボタンをクリックして ファイアウォールと SCP サーバー間の接続をテストし SCP サーバーのホストキーを検証して受け入れる必要があります 74 デバイス管理 Palo Alto Networks

75 ファイアウォールログ 表 21. スケジューリングされたログのエクスポート設定 フィールド 名前 プロファイルの識別に使用する名前を入力します ( 最大 31 文字 ) 名前の大文字と小文字は区別されます また 一意の名前にする必要があります 文字 数字 スペース ハイフン およびアンダースコアのみを使用してください プロファイルを作成した後でこの名前を変更することはできません 内容 ( 最大 255 文字 ) を入力します ( 任意 ) 有効 ログタイプ エクスポートの開始予定時刻 ( 毎日 ) プロトコル ホスト名 ポート パス FTP パッシブモードを有効にする ユーザー名 パスワード ログのエクスポートのスケジューリングを有効にするには このチェックボックスをオンにします ログのタイプ ([traffic] [threat] [url] [data] または [hipmatch]) を選択します デフォルトは [traffic] です エクスポートを開始する時間 (hh:mm) を 24 時間形式 (00:00 ~ 23:59) で入力します ファイアウォールからリモートホストへのログのエクスポートに使用するプロトコルを選択します SCP を使用すると ログを安全にエクスポートできますが 安全なプロトコルではない FTP も使用できます エクスポートに使用する FTP サーバーのホスト名または IP アドレスを入力します FTP サーバーで使用するポート番号を入力します デフォルトは 21 です エクスポートした情報の保存に使用する FTP サーバー上のパスを指定します エクスポートにパッシブモードを使用するには このチェックボックスをオンにします デフォルトでは このオプションはオンになっています FTP サーバーへのアクセスに使用するユーザー名を入力します デフォルトは [anonymous] です FTP サーバーへのアクセスに使用するパスワードを入力します ユーザーが anonymous の場合 パスワードは必要ありません ログ設定の設定の定義 [Device] > [ ログ設定 ] > [ 設定 ] 設定ログの設定では 設定ログエントリを指定します このエントリは Panorama を使用してリモートでログに記録され Syslog メッセージや電子メール通知として送信されます 表 22. 設定ログの設定 フィールド Panorama SNMP トラップ 設定ログエントリを Panorama 中央管理システムに送信できるようにするには このチェックボックスをオンにします 設定ログエントリの SNMP トラップを生成するには トラップ名を選択します SNMP トラップの新しい宛先を指定する方法については 78 ページの SNMP トラップの宛先の設定 を参照してください Palo Alto Networks デバイス管理 75

76 ファイアウォールログ 表 22. 設定ログの設定 ( 続き ) フィールド 電子メール Syslog 設定ログエントリの電子メール通知を生成するには ドロップダウンメニューから電子メールプロファイルを選択します 新しい電子メールプロファイルを指定する方法については 86 ページの 電子メール通知設定の指定 を参照してください 設定ログエントリの Syslog メッセージを生成するには Syslog サーバーの名前を選択します 新しい Syslog サーバーを指定する方法については 80 ページの Syslog サーバーの設定 を参照してください システムログの設定の定義 [Device] > [ ログ設定 ] > [ システム ] システムログの設定では システムログエントリの重大度レベルを指定します このエントリは Panorama を使用してリモートでログに記録され SNMP トラップ Syslog メッセージ および電子メール通知として送信されます システムログでは システムイベント (HA の障害 リンク状態の変更 および管理者のログイン / ログアウトなど ) が示されます 表 23. システムログの設定 フィールド Panorama SNMP トラップ電子メール Syslog 各重大度レベルのシステムログエントリが Panorama 中央管理システムに送信されるようにするには このチェックボックスをオンにします Panorama サーバーのアドレスを指定する方法については 30 ページの 管理設定の定義 を参照してください 以下の重大度レベルがあります Critical HA フェイルオーバーなどのハードウェア障害やリンク障害です High 外部デバイス (Syslog サーバーや RADIUS サーバーなど ) との接続の切断など 深刻な問題です Medium アンチウイルスパッケージのアップグレードなど 中レベルの通知です Low ユーザーパスワードの変更など それほど重要ではない通知です Informational ログイン / ログオフ 管理者名やパスワードの変更 設定の変更 および重大度レベルに含まれない他のすべてのイベントです 重大度レベル毎に SNMP Syslog 電子メールの設定を選択します この設定では システムログエントリの追加の宛先を指定します 新しい宛先を定義する方法については 以下のセクションを参照してください 78ページの SNMP トラップの宛先の設定 80ページの Syslog サーバーの設定 86ページの 電子メール通知設定の指定 76 デバイス管理 Palo Alto Networks

77 ファイアウォールログ HIP マッチログの設定の定義 [Device] > [ ログ設定 ] > [HIP マッチ ] ホストインフォーメーションプロファイル (HIP) 一致ログの設定は GlobalProtect クライアントに適用されるセキュリティポリシーに関する情報を提供するために使用されます 詳細は 339 ページの 概要 を参照してください 表 24. HIP マッチログの設定 フィールド Panorama SNMP トラップ電子メール Syslog 設定ログエントリを Panorama 中央管理システムに送信できるようにするには このチェックボックスをオンにします HIP マッチログエントリの SNMP トラップを生成するには トラップの宛先の名前を選択します SNMP トラップの新しい宛先を指定する方法については 78 ページの SNMP トラップの宛先の設定 を参照してください 設定ログエントリの電子メール通知を生成するには 適切な電子メールアドレスが指定されている電子メール設定の名前を選択します 新しい電子メール設定を指定する方法については 81 ページの [Device] > [ サーバープロファイル ] > [Syslog] の [ カスタムログフォーマット ] タブを選択して Syslog サーバープロファイルのカスタムログフォーマットを設定できます 目的のログタイプ ([ 設定 ] [ システム ] [ 脅威 ] [ トラフィック ] [HIP マッチ ]) をクリックして ログに表示するフィールドをクリックします 各ログタイプの各フィールドの意味を以下の表に示します. を参照してください 設定ログエントリの Syslog メッセージを生成するには Syslog サーバーの名前を選択します 新しい Syslog サーバーを指定する方法については 80 ページの Syslog サーバーの設定 を参照してください アラームログの設定の定義 [Device] > [ ログ設定 ] > [ アラーム ] 一定期間繰り返しセキュリティルール ( またはルールグループ ) に該当する場合 [ アラーム ] ページを使用して通知を設定します 表 25. アラームログの設定 フィールド アラームの有効化 CLI アラーム通知の有効化 Web アラーム通知の有効化 音声アラームの有効化 暗号化 / 復号化エラーしきい値 ログ DB アラームしきい値 ( パーセントフル ) このページに表示されたイベントに基づいてアラームを有効にします アラームが発生するたびに CLI アラーム通知を有効にします ウィンドウを開いてユーザーセッションに関するアラーム ( ユーザーセッションの発生や承認のタイミングなど ) を表示します Web インターフェイスまたは CLI に未承認のアラームがある場合に可聴音を再生し続けます アラームが生成されるまでの暗号化 / 復号化の失敗回数を指定します ログのデータベースが指定した最大サイズのパーセンテージに達した場合にアラームを生成します Palo Alto Networks デバイス管理 77

78 SNMP トラップの宛先の設定 表 25. アラームログの設定 ( 続き ) フィールド セキュリティポリシーの制限 セキュリティポリシーグループ制限 選択的監査 [ セキュリティ違反時間 ] 設定で指定した期間 ( 秒数 ) に特定の IP アドレスまたはポートが [ セキュリティ違反のしきい値 ] 設定で指定した回数にヒットした場合 アラームが生成されます [ 違反の期間 ] フィールドで指定した期間に一連のルールが [ 違反のしきい値 ] フィールドで指定したルール制限違反数に達した場合 アラームが生成されます セッションが明示的な拒否ポリシーに一致するときに 違反が数えられます [ セキュリティポリシータグ ] を使用して ルールの制限しきい値でアラームが生成されるタグを指定します これらのタグは セキュリティポリシーを定義するときに指定できるようになります 注 : これらの設定は 共通基準モードの場合にのみ [ アラーム ] ページに表示されます 以下の設定を指定します CC 固有のロギング 情報セキュリティ国際評価基準 (CC) に準拠するために必要な詳細なログ記録が有効になります ログイン成功ログ ファイアウォールへの管理者ログインの成功が記録されます ログイン失敗ログ ファイアウォールへの管理者ログインの失敗が記録されます 抑制された管理者 リストの管理者がファイアウォール設定に対して行った変更のログが生成されません ログ設定の管理 [Device] > [ ログ設定 ] > [ ログの管理 ] このページにあるリンクをクリックして 表示されたログをクリアします SNMP トラップの宛先の設定 [Device] > [ サーバープロファイル ] > [SNMP トラップ ] システム トラフィック または脅威の各ログの SNMP トラップを生成するには SNMP トラップの宛先を 1 つ以上指定する必要があります トラップの宛先を定義したら システムログエントリに使用できます (76 ページの システムログの設定の定義 を参照 ) 表 26. SNMP トラップの宛先設定 フィールド名前 共有 SNMP プロファイルの名前を入力します ( 最大 31 文字 ) 名前の大文字と小文字は区別されます また 一意の名前にする必要があります 文字 数字 スペース ハイフン およびアンダースコアのみを使用してください デバイスがマルチ仮想システムモードである場合 すべての仮想システムで共有できるようにするには このチェックボックスをオンにします 78 デバイス管理 Palo Alto Networks

79 SNMP トラップの宛先の設定 表 26. SNMP トラップの宛先設定 フィールドバージョン V2c の設定 V3 の設定 SNMP バージョンを選択するか SNMP を無効にします デフォルトは [ 無効 ] です V2c を選択する場合は 以下の設定を指定します サーバー SNMP トラップの宛先の名前を指定します ( 最大 31 文字 ) マネージャ トラップの宛先の IP アドレスを指定します コミュニティ 指定した宛先にトラップを送信するために必要なコミュニティ文字列を指定します ( デフォルトは public) V3 を選択する場合は 以下の設定を指定します サーバー SNMP トラップの宛先の名前を指定します ( 最大 31 文字 ) マネージャ トラップの宛先の IP アドレスを指定します ユーザー SNMP ユーザーを指定します エンジン ID ファイアウォールのエンジン ID を指定します 入力値は 16 進数表現の文字列です エンジン ID は 5 ~ 64 バイトの任意の数値になります これを 16 進数文字列として表現すると 10 ~ 128 文字 ( 各バイトに 2 文字 ) に 入力文字列のプレフィックスとして使用する必要がある 0x の 2 文字が追加されます 各ファイアウォールには一意のエンジン ID があり これは MIB ブラウザを使用し OID に対して GET コマンドを実行して取得できます 認証パスワード ユーザーの認証パスワードを指定します ( 最小 8 文字 最大 256 文字 文字制限なし ) あらゆる文字を使用できます Secure Hash Algorithm (SHA) だけがサポートされています 専用パスワード ユーザーの暗号化パスワードを指定します ( 最小 8 文字 最大 256 文字 文字制限なし ) Advanced Encryption Standard (AES) だけがサポートされています 注 : システムログの設定やログのプロファイルで使用されている宛先は削除しないでください SNMP MIB ファイアウォールでは 以下の SNMP MIB がサポートされています SNMPv2-MIB DISMAN-EVENT-MIB IF-MIB HOST-RESOURCES-MIB ENTITY-SENSOR-MIB PAN-COMMON-MIB PAN-TRAPS-MIB エンタープライズ MIB の完全なセットは Palo Alto Networks サイトの Technical Documentation セクション ( で入手できます Palo Alto Networks デバイス管理 79

80 Syslog サーバーの設定 Syslog サーバーの設定 [Device] > [ サーバープロファイル ] > [Syslog] システム 設定 トラフィック 脅威 または HIP Match ログの Syslog メッセージを生成するには Syslog サーバーを 1 つ以上指定する必要があります Syslog サーバーを定義したら システムログエントリと設定ログエントリに使用できます (76 ページの システムログの設定の定義 を参照 ) 表 27. 新しい Syslog サーバー フィールド 名前 共有 [ サーバー ] タブ 名前 サーバー ポート ファシリティ [ カスタムログフォーマット ] タブ ログタイプ エスケープ Syslog プロファイルの名前 ( 最大 31 文字 ) を入力します 名前の大文字と小文字は区別されます また 一意の名前にする必要があります 文字 数字 スペース ハイフン およびアンダースコアのみを使用してください デバイスがマルチ仮想システムモードである場合 すべての仮想システムで共有できるようにするには このチェックボックスをオンにします [ 追加 ] をクリックし Syslog サーバーの名前 ( 最大 31 文字 ) を入力します 名前の大文字と小文字は区別されます また 一意の名前にする必要があります 文字 数字 スペース ハイフン およびアンダースコアのみを使用してください Syslog サーバーの IP アドレスを入力します Syslog サーバーのポート番号 ( 標準のポート番号は 514) を入力します ドロップダウンリストからレベルを選択します ログタイプをクリックして カスタムログ形式を指定するためのダイアログボックスを開きます ダイアログボックスで フィールドをクリックして [ ログ形式 ] エリアに追加します その他のテキスト文字列は [ ログ形式 ] エリアで直接編集できます [OK] をクリックして設定を保存します カスタムログで使用できるフィールドの詳細は 81 ページの カスタム Syslog フィールドの を参照してください エスケープシーケンスを指定します [ エスケープされた文字 ] ボックスを使用して エスケープするすべての文字をスペースなしで表示します 注 : システムまたは設定のログの設定やログのプロファイルで使用されているサーバーは削除できません 80 デバイス管理 Palo Alto Networks

81 Syslog サーバーの設定 カスタム Syslog フィールドの [Device] > [ サーバープロファイル ] > [Syslog] の [ カスタムログフォーマット ] タブを選択して Syslog サーバープロファイルのカスタムログフォーマットを設定できます 目的のログタイプ ([ 設定 ] [ システム ] [ 脅威 ] [ トラフィック ] [HIP マッチ ]) をクリックして ログに表示するフィールドをクリックします 各ログタイプの各フィールドの意味を以下の表に示します. 表 28 設定フィールド フィールド actionflags admin after-change-detail before-change-detail formtted-receive_time cef-formatted-time_generated client 意味 ログが Panorama に転送されたかどうかを示すビットフィールド PAN-OS 以降で使用できます 設定を実行する管理者のユーザー名 変更後の設定の詳細 変更前の設定の詳細 管理プレーンでログが受信された時間 CEF 準拠の時間形式で表示されます ログが生成された時間 CEF 準拠の時間形式で表示されます 管理者によって使用されるクライアント 値は Web と CLI です cmd 管理者によって実行されたコマンド 値は add clone commit delete edit move rename set validate です host path receive_time クライアントマシンのホスト名または IP アドレス 発行された設定コマンドのパス 最大長は 512 バイトです 管理プレーンでログが受信された時間 result 設定アクションの結果 値は Submitted Succeeded Failed Unauthorized です seqno serial subtype time_generated 順次増分される 64 ビットのログエントリ識別子 各ログタイプには 一意の番号空間があります PAN-OS 以降で使用できます ログを生成したデバイスのシリアル番号 設定ログのサブタイプ 未使用 データプレーンでログが受信された時間 type ログのタイプを指定します 値は traffic threat config system hip-match です vsys 設定ログに関連付けられている仮想システム 表 29 システムフィールド フィールド actionflags cef-formatted-receive_time cef-formatted-time_generated eventid fmt 意味 ログが Panorama に転送されたかどうかを示すビットフィールド PAN-OS 以降で使用できます 管理プレーンでログが受信された時間 CEF 準拠の時間形式で表示されます ログが生成された時間 CEF 準拠の時間形式で表示されます イベントの名前を示す文字列 イベントの詳細な 最大長は 512 バイトです Palo Alto Networks デバイス管理 81

82 Syslog サーバーの設定 表 29 システムフィールド ( 続き ) フィールド module 意味 このフィールドは [ サブタイプ ] フィールドの値が general の場合にのみ有効です ログを生成するサブシステムについての追加情報を提供します 値は general management auth ha upgrade chassis です number-of-severity 整数で表された重大度レベル 情報 - 1 低 - 2 中 - 3 高 - 4 重要 - 5 object opaque receive_time seqno serial システムログに関連付けられているオブジェクトの名前 イベントの詳細な 最大長は 512 バイトです 管理プレーンでログが受信された時間 順次増分される 64 ビットのログエントリ識別子 各ログタイプには 一意の番号空間があります PAN-OS 以降で使用できます ログを生成したデバイスのシリアル番号 severity イベントに関連付けられた重大度 値は informational low medium high critical です subtype time_generated システムログのサブタイプ ログを生成するシステムデーモンです 値は crypto dhcp dnsproxy dos general globalprotect ha hw nat ntpd pbf port pppoe ras routing satd sslmgr sslvpn userid urlfiltering vpn です データプレーンでログが受信された時間 type ログのタイプを指定します 値は traffic threat config system hip-match です vsys システムイベントに関連付けられている仮想システム 表 30 脅威フィールド フィールド 意味 action セッションに対して実行されたアクション 値は alert allow deny drop drop-all-packets reset-client reset-server reset-both block-url です 各値の意味は 後述の [ アクション ] フィールドの表を参照してください actionflags app category cef-formatted-receive_time cef-formatted-time_generated コンテンツタイプ ログが Panorama に転送されたかどうかを示すビットフィールド PAN-OS 以降で使用できます セッションに関連付けられたアプリケーション URL サブタイプの場合は URL カテゴリ WildFire サブタイプの場合は ファイルの判定 ( malicious ( マルウェア ) または benign ( 安全 ) ) その他のサブタイプの場合 値は any です 管理プレーンでログが受信された時間 CEF 準拠の時間形式で表示されます ログが生成された時間 CEF 準拠の時間形式で表示されます HTTP 応答データのコンテンツタイプ 最大長は 32 バイトです サブタイプが URL の場合にのみ適用されます PAN-OS 以降で使用できます direction 攻撃の方向を示します client-to-server または server-to-client dport セッションで使用された宛先ポート 82 デバイス管理 Palo Alto Networks

83 Syslog サーバーの設定 表 30 脅威フィールド ( 続き ) フィールド dst dstloc dstuser flags from inbound_if logset 元のセッション宛先 IP アドレス プライベートアドレスの宛先の国または国内地域 最大長は 32 バイトです PAN-OS 以降で使用できます セッションの宛先ユーザーのユーザー名 セッションの詳細を表示する 32 ビットのフィールド 各値の意味は [ フラグ ] フィールドの表を参照してください セッションの送信元ゾーン セッションの送信元インターフェイス セッションに適用されたログ転送プロファイル misc サブタイプが URL の場合は実際の URI サブタイプが file の場合はファイル名またはファイルタイプ サブタイプが virus の場合はファイル名 サブタイプが wildfire の場合はファイル名 PAN-OS 4.0 より前のバージョンでは 長さは 63 文字です バージョン 4.0 以降は 最大 1023 文字の可変長です natdport natdst natsport natsrc NAT 後の宛先ポート 宛先 NAT を行った場合は NAT 後の宛先 IP アドレス NAT 後の送信元ポート 送信元 NAT を行った場合は NAT 後の送信元 IP アドレス number-of-severity 整数で表された重大度レベル 情報 - 1 低 - 2 中 - 3 高 - 4 重要 - 5 outbound_if proto receive_time repeatcnt rule seqno serial sessionid セッションの宛先だったインターフェイス セッションに関連付けられた IP プロトコル 管理プレーンでログが受信された時間 5 秒以内に同じ送信元 IP 宛先 IP 脅威 ID を示したログの数 URL 以外のすべてのサブタイプに適用されます セッションで一致したルールの名前 順次増分される 64 ビットのログエントリ識別子 各ログタイプには 一意の番号空間があります PAN-OS 以降で使用できます ログを生成したデバイスのシリアル番号 各セッションに適用される内部の数値識別子 severity 脅威に関連付けられた重大度 値は informational low medium high critical です sport src srcloc srcuser セッションで使用された送信元ポート 元のセッション送信元 IP アドレス プライベートアドレスの送信元の国または国内地域最大長は 32 バイトです PAN-OS 以降で使用できます セッションを開始したユーザーのユーザー名 subtype 脅威ログのサブタイプ 値は URL virus spyware vulnerability file scan flood data wildfire です threatid 意味 脅威の Palo Alto Networks 識別子 一部のサブタイプでは の文字列にかっこで囲んだ数値識別子が続きます PAN-OS 5.0 以降では 数値識別子は 64 ビットの数値です Palo Alto Networks デバイス管理 83

84 Syslog サーバーの設定 表 30 脅威フィールド ( 続き ) フィールド time_generated time_received to 意味データプレーンでログが生成された時間 データプレーンでログが受信された時間 セッションの宛先だったゾーン type ログのタイプを指定します 値は traffic threat config system hip-match です vsys WildFire セッションに関連付けられている仮想システム WildFire で生成されたログ 表 31 トラフィックフィールド フィールド action actionflags app 意味 セッションに対して実行されたアクション 値は allow または deny です [ アクション ] フィールドの表を参照してください ログが Panorama に転送されたかどうかを示すビットフィールド PAN-OS で使用できます セッションに関連付けられたアプリケーション bytes セッションの合計バイト数 ( 送受信 ) bytes_received bytes_sent セッションのサーバーからクライアント方向へのバイト数 PA-4000 シリーズ以外のすべてのモデルの PAN-OS 以降で使用できます セッションのクライアントからサーバー方向へのバイト数 PA-4000 シリーズ以外のすべてのモデルの PAN-OS 以降で使用できます category セッションに関連付けられた URL カテゴリ ( 該当する場合 ) cef-formatted-receive_time cef-formatted-time_generated dport dst dstloc dstuser elapsed flags from inbound_if logset natdport natdst natsport natsrc 管理プレーンでログが受信された時間 CEF 準拠の時間形式で表示されます ログが生成された時間 CEF 準拠の時間形式で表示されます セッションで使用された宛先ポート 元のセッション宛先 IP アドレス プライベートアドレスの宛先の国または国内地域 最大長は 32 バイトです PAN-OS 以降で使用できます セッションの宛先だったユーザーのユーザー名 セッションの経過時間 セッションの詳細を表示する 32 ビットのフィールド 各値の意味は [ フラグ ] フィールドの表を参照してください このフィールドは 値とログ値を AND 結合して解読できます セッションの送信元だったゾーン セッションの送信元だったインターフェイス セッションに適用されたログ転送プロファイル NAT 後の宛先ポート 宛先 NAT を行った場合は NAT 後の宛先 IP アドレス NAT 後の送信元ポート 送信元 NAT を行った場合は NAT 後の送信元 IP アドレス 84 デバイス管理 Palo Alto Networks

85 Syslog サーバーの設定 表 31 トラフィックフィールド ( 続き ) フィールド outbound_if 意味 セッションの宛先だったインターフェイス packets セッションの合計パケット数 ( 送受信 ) pkts_received pkts_sent proto receive_time repeatcnt rule seqno serial sessionid sport src srcloc srcuser start セッションのサーバーからクライアントへのパケット数 PA-4000 シリーズ以外のすべてのモデルの PAN-OS 以降で使用できます セッションのクライアントからサーバーへのパケット数 PA-4000 シリーズ以外のすべてのモデルの PAN-OS 以降で使用できます セッションに関連付けられた IP プロトコル 管理プレーンでログが受信された時間 5 秒以内に同じ送信元 IP 宛先 IP アプリケーション サブタイプを示したログの数 ICMP のみで使用されます セッションで一致したルールの名前 順次増分される 64 ビットのログエントリ識別子 各ログタイプには 一意の番号空間があります PAN-OS 以降で使用できます ログを生成したデバイスのシリアル番号 各セッションに適用される内部の数値識別子 セッションで使用された送信元ポート 元のセッション送信元 IP アドレス プライベートアドレスの送信元の国または国内地域最大長は 32 バイトです PAN-OS 以降で使用できます セッションを開始したユーザーのユーザー名 セッションの開始時間 subtype トラフィックログのサブタイプ 値は start end drop deny です 各値の意味は [ サブタイプ ] フィールドの表を参照してください time_generated time_received to データプレーンでログが生成された時間 データプレーンでログが受信された時間 セッションの宛先だったゾーン type ログのタイプを指定します 値は traffic threat config system hip-match です vsys セッションに関連付けられている仮想システム 表 32 HIP マッチフィールド フィールド actionflags cef-formatted-receive_time cef-formatted-time_generated machinename matchname 意味 ログが Panorama に転送されたかどうかを示すビットフィールド PAN-OS 以降で使用できます 管理プレーンでログが受信された時間 CEF 準拠の時間形式で表示されます ログが生成された時間 CEF 準拠の時間形式で表示されます ユーザーのマシンの名前です HIP オブジェクトまたはプロファイルの名前 Palo Alto Networks デバイス管理 85

86 電子メール通知設定の指定 表 32 HIP マッチフィールド ( 続き ) フィールド matchtype receive_time repeatcnt seqno serial src srcuser subtype time_generated [HIP] フィールドが HIP オブジェクトと HIP プロファイルのどちらを表すのかを指定します 管理プレーンでログが受信された時間 HIP プロファイルが一致した回数 順次増分される 64 ビットのログエントリ識別子 各ログタイプには 一意の番号空間があります PAN-OS 以降で使用できます ログを生成したデバイスのシリアル番号 送信元ユーザーの IP アドレス 送信元ユーザーのユーザー名 HIP マッチログのサブタイプ 未使用 データプレーンでログが生成された時間 type ログのタイプを指定します 値は traffic threat config system hip-match です vsys 意味 HIP マッチログに関連付けられている仮想システム 電子メール通知設定の指定 [Device] > [ サーバープロファイル ] > [ 電子メール ] ログの電子メールメッセージを生成するには 電子メールプロファイルを設定する必要があります 電子メール設定を定義したら システムログエントリと設定ログエントリ用に電子メール通知を有効にできます (76 ページの システムログの設定の定義 を参照 ) 電子メールレポート配信のスケジューリングの詳細は 273 ページの 電子メールで配信するレポートのスケジューリング を参照してください 表 33. 電子メール通知設定 フィールド名前共有 [ サーバー ] タブサーバー表示名送信者 IP 宛先 電子メール設定の名前 ( 最大 31 文字 ) を入力します 名前の大文字と小文字は区別されます また 一意の名前にする必要があります 文字 数字 スペース ハイフン およびアンダースコアのみを使用してください デバイスがマルチ仮想システムモードである場合 プロファイルをすべての仮想システムで共有できるようにするには このチェックボックスをオンにします サーバーの識別に使用する名前を入力します (1 ~ 31 文字 ) このフィールドは単なるラベルで 既存の SMTP サーバーのホスト名である必要はありません 電子メールの [ 送信者 ] フィールドに表示される名前を入力します 送信元の電子メールアドレス ( [email protected] など ) を入力します 受信者の電子メールアドレスを入力します 86 デバイス管理 Palo Alto Networks

87 アラームの表示 表 33. 電子メール通知設定 ( 続き ) フィールド その他の受信者別の受信者の電子メールアドレスを入力します ( 任意 ) ゲートウェイ [ カスタムログフォーマット ] タブ ログタイプ エスケープ 電子メールの送信に使用される Simple Mail Transport Protocol (SMTP) サーバーの IP アドレスまたはホスト名を入力します ログタイプをクリックして カスタムログ形式を指定するためのダイアログボックスを開きます ダイアログボックスで フィールドをクリックして [ ログ形式 ] エリアに追加します [OK] をクリックして設定を保存します エスケープされた文字を組み込み エスケープ文字を指定します 注 : システムまたは設定のログ設定やログのプロファイルで使用されている電子メール設定は削除できません アラームの表示 [ アラーム ] オプションが設定されている場合は Web インターフェイスの右下隅にある [ アラーム ] アイコンをクリックして いつでもアラームの現在のリストを表示できます これにより 現在のアラームログに未承認のアラームおよび承認済みのアラームを表示するウィンドウが開きます アラームを承認するには チェックボックスをオンにして [ 確認 ] をクリックします このアクションは [ 確認されたアラーム ] リストにアラームを移動します アラームウィンドウには ページ送り 列のソート およびリフレッシュ制御も含まれます Alarms ボタンは [Device] > [ ログ設定 ] > [ アラーム ] > [ アラーム設定 ] ページで [ アラームの有効化 ] チェックボックスがオンのときにのみ認識できます Palo Alto Networks デバイス管理 87

88 Netflow 設定の設定 Netflow 設定の設定 [Device] > [ サーバープロファイル ] > [Netflow] ファイアウォールは 単向性の IP トラフィックフロー情報付きの NetFlow Version 9 レコードを外部のコレクターに生成して エクスポートできます NetFlow エクスポートは システム内のすべての入力インターフェイスで有効にできます 別個のテンプレートレコードは IPv4 NAT を利用した IPv4 および IPv6 トラフィックに対して定義され App-ID および User-ID の PAN- OS 特定フィールドが任意でエクスポートされます この機能は PA-4000 シリーズモデル以外のすべてのプラットフォームで使用できます ファイアウォールは標準の NetFlow テンプレートをサポートし データに基づいて正しいものをエクスポートします NetFlow データエクスポートを設定するには NetFlow サーバープロファイルを定義します これは エクスポートされたデータを受け取る NetFlow サーバーと共にエクスポートの頻度を指定します そして既存のファイアウォールインターフェイスにプロファイルを割り当てるときに そのインターフェイスにフローするすべてのトラフィックが指定されたサーバーにエクスポートされます すべてのインターフェイスタイプは NetFlow プロファイルの割り当てをサポートします インターフェイスへの NetFlow プロファイルの割り当ての詳細は 127 ページの ファイアウォールインターフェイス を参照してください 表 34. Netflow 設定フィールド名前 テンプレート更新レート Netflow 設定の名前 ( 最大 31 文字 ) を入力します 名前の大文字と小文字は区別されます また 一意の名前にする必要があります 文字 数字 スペース ハイフン およびアンダースコアのみを使用してください Netflow テンプレートがリフレッシュするまでの分数またはパケット数を指定します ( 分の範囲は 1 ~ 3600 デフォルトは 30 分 パケットの範囲は 1 ~ 600 デフォルトは 20) アクティブタイムアウトデータレコードが各セッションでエクスポートされた頻度を指定します ( 分数 ) PAN-OS 固有のフィールドタイプのエクスポート サーバー 名前 サーバー Netflow レコードの App-ID と User-ID などの PAN-OS 特定フィールドをエクスポートします サーバーを識別する名前を指定します ( 最大 31 文字 ) 名前の大文字と小文字は区別されます また 一意の名前にする必要があります 文字 数字 スペース ハイフン およびアンダースコアのみを使用してください サーバーのホスト名または IP アドレスを指定します プロファイル毎に最大 2 つのサーバーを追加できます ポートサーバーアクセスのポート番号を指定します ( デフォルトは 2055) 88 デバイス管理 Palo Alto Networks

89 セキュリティ証明書のインポート エクスポート および生成 セキュリティ証明書のインポート エクスポート および生成 証明書 [Device] > [ 証明書の管理 ] > [ 証明書 ] [ 証明書 ] ページでは 以下のセキュリティ証明書を生成できます 信頼された証明書の転送 この証明書は クライアントの接続先サーバーがファイアウォールの信頼された認証局リストにある認証局によって署名される場合 復号時にクライアントに対して提示されます 転送プロキシの復号化で自己署名証明書を使用する場合は [ 証明書 ] ページで証明書名をクリックし [ 信頼された証明書の転送 ] チェックボックスをオンにする必要があります 信頼されない証明書の転送 この証明書は クライアントの接続先サーバーがファイアウォールの信頼された認証局リストにない認証局によって署名される場合 復号時にクライアントに対して提示されます 信頼されたルート CA この証明書は 転送復号化の目的で 信頼された認証局としてマークされます ファイアウォールは トラフィックを復号化するときにアップストリームの証明書が信頼された認証局から発行されたものかどうかを確認します 発行されたものではない場合 特殊な信頼されていない認証局証明書を使用して復号化証明書に署名します この場合 ユーザーがファイアウォールにアクセスすると通常の証明書エラーページが表示され ログインの警告を無視する必要があります ファイアウォールには 既存の信頼された認証局が数多く登録されたリストが設定されています ここでの信頼されたルート認証局証明書とは 組織用に追加される信頼された認証局であり 予めインストールされている信頼された認証局リストに含まれるものではありません SSL 除外証明書 この証明書は SSL 転送プロキシの復号化中に接続が検出された場合 その接続を除外します 保護された Web GUI の証明書 この証明書により ファイアウォール Web インターフェイスにアクセスできるようユーザーを認証します 証明書のチェックボックスをオンにすると ファイアウォールでは 次のコミット操作に続いて その後のすべての Web ベース管理セッションでこの証明書を使用します 必要に応じて [ 証明書 ] ページで以下の機能を実行します 証明書を無効にするには 以下の手順を実行します a. 無効にする証明書を選択します b. [ 無効化 ] をクリックすると 証明書はただちに無効状態に設定されます コミットは必要ありません 既存の証明書をクリックして [ 無効化 ] アイコンをクリックすることもできます Palo Alto Networks デバイス管理 89

90 セキュリティ証明書のインポート エクスポート および生成 証明書を更新するには 以下の手順を実行します a. 更新する証明書を選択します b. [ 更新 ] をクリックして 証明書の拡張日数を設定し [OK] をクリックします 属性は同じですが 新しいシリアル番号で新しい証明書が生成されます 古い証明書は新しい証明書に置き換えられます Web インターフェイス証明書 信頼された認証局証明書 または SSL 転送プロキシ証明書をインポートするには 以下の手順を実行します a. [ インポート ] をクリックします b. 証明書を識別する名前を入力します c. 証明書ファイルを選択します PKCS #12 証明書と秘密鍵をインポートする場合 これは両方のオブジェクトを含んだ 1 つのファイルになります PEM を使用する場合 これはパブリック証明書のみになります d. [ 秘密鍵のインポート ] チェックボックスをクリックして秘密鍵をロードし パスフレーズを 2 回入力します PKCS #12 を使用する場合 鍵ファイルは上の手順で選択されました PEM を使用する場合は 暗号化された秘密鍵ファイル ( 通常のファイル名は *.key) を参照します e. ドロップダウンリストから 証明書のインポート先の仮想システムを選択します 証明書をエクスポートするには 以下の手順を実行します a. エクスポートする証明書を選択します b. [ エクスポート ] をクリックします c. エクスポートする証明書で使用するファイル形式 (PKCS #12 の場合の.pfx または.pem) を選択します d. [ 秘密鍵のエクスポート ] チェックボックスをオンにしてパスフレーズを 2 回入力し 証明書の他に秘密鍵をエクスポートします [ 保存 ] をクリックし ファイルをコピーするローカルコンピュータの場所を選択します 証明書を生成するには 以下の手順を実行します a. [ 生成 ] をクリックして [ 証明書の生成 ] ウィンドウを開き 以下の表に示す情報を指定します b. 証明書を生成したら 証明書リンクをクリックし 証明書タイプ ( 信頼された証明書の転送 信頼されない証明書の転送 信頼されたルート CA SSL 除外証明書 または 保護された Web GUI の証明書 ) を指定します 注 :Panorama を使用している場合 Panorama サーバーの自己署名証明書の生成に関するオプションがあります Panorama の詳細は 387 ページの Panorama を使用したデバイス中央管理 を参照してください 高可用性 (HA) の鍵をインポートするには [HA キーのインポート ] をクリックし 参照してインポートする鍵ファイルを指定します HA の鍵をエクスポートするには [HA キーのエクスポート ] クリックして ファイルを保存する場所を指定します HA キーは 2 つのファイアウォール間でスワッピングされる必要があります つまり ファイアウォール 1 のキーはエクスポートされてから ファイアウォール 2 にインポートされる必要があります 逆の場合も同じです 90 デバイス管理 Palo Alto Networks

91 セキュリティ証明書のインポート エクスポート および生成 表 35. 証明書を生成するための設定 フィールド 証明書名 共通名 場所 署名者 認証局 OCSP レスポンダ ビット数 ダイジェスト有効期限 ( 日 ) Country State Locality Organization Department 証明書を識別する名前 ( 最大 31 文字 ) を入力します 名前の大文字と小文字は区別されます また 一意の名前にする必要があります 文字 数字 スペース ハイフン およびアンダースコアのみを使用してください 名前のみが必須です 証明書に表示される IP アドレスまたは FQDN を入力します 仮想システムを 1 つ選択するか または [ 共有 ] を選択してすべての仮想システムで証明書を使用可能にします ファイアウォールで生成された認証局証明書のリストから選択します 選択した証明書を使用して 作成中の証明書に署名できます この証明書を認証局としてマークし ファイアウォールの他の証明書への署名で使用できるようにします ドロップダウンリストから OSCP レスポンダプロファイルを選択します プロファイルは [Device] > [ 証明書の管理 ] > [OCSP レスポンダ ] で設定されます 証明書を生成し OCSP レスポンダを入力すると OCSP レスポンダ URL を生成するために IP アドレスのホスト名の検索が実行され このドロップダウンに表示されます 証明書の鍵長を選択します 証明書のダイジェストアルゴリズムを選択します 証明書が有効な日数を指定します デフォルトは 365 日です GlobalProtect ポータルサテライト設定で [ 有効期間 ] を指定すると このフィールドに入力した値はその値でオーバーライドされます 証明書の識別に使用するその他の情報を指定します ( 任意 ) 国コードの定義リストを表示するには [ISO 6366 国コード ] リンクをクリックします Palo Alto Networks デバイス管理 91

92 セキュリティ証明書のインポート エクスポート および生成 信頼された証明機関 [Device] > [ 証明書の管理 ] > [ 証明書 ] > [ 信頼された証明機関 ] ファイアウォールが信頼する証明機関 (CA) を制御するには このページを使用します 必要に応じて認証局を無効または有効にできます 表 36 信頼された証明機関設定 フィールド有効化無効化エクスポート 無効にした認証局を有効にする場合は その認証局の横のチェックボックスをオンにして [ 有効化 ] をクリックします 無効にする認証局の横のチェックボックスをオンにして [ 無効化 ] をクリックします この操作は 特定の認証局のみを信頼する場合に適しています または ローカル認証局のみを信頼するには すべての認証局を削除します 認証局証明書をエクスポートするには 認証局の横のチェックボックスをオンにして [ エクスポート ] をクリックします この操作は 別のシステムにインポートする場合や 証明書をオフラインで表示する場合に実行します 証明書プロファイル [Device] > [ 証明書の管理 ] > [ 証明書プロファイル ] 証明書プロファイルを作成し プロファイルを [ セットアップ ] ページで管理者ログインに添付するか SSL-VPN ログインに添付して認証またはキャプティブポータルで使用することができます また GlobalProtect ゲートウェイで認証のために使用される証明書プロファイルを作成することもできます 30 ページの 管理設定の定義 および 285 ページの キャプティブポータル を参照してください 表 37. 証明書プロファイル設定 ページタイプ名前場所ユーザー名フィールドドメイン CA 証明書 プロファイルの識別に使用する名前を入力します ( 最大 31 文字 ) 名前の大文字と小文字は区別されます また 一意の名前にする必要があります 文字 数字 スペース ハイフン およびアンダースコアのみを使用してください デバイスがマルチ仮想システムモードである場合 すべての仮想システムで共有できるようにするには このチェックボックスをオンにします ドロップダウンリストから ユーザー名オプションを選択します プロファイルのドメインを入力します ドロップダウンリストから認証局 (CA) 証明書を選択し デフォルトの OCSP URL を指定し CA 証明書を検証するオプションを選択して [ 追加 ] をクリックします 証明書を追加する場合は この操作を繰り返します 証明書を検証できる別個の OCSP レスポンダがある場合は [OCSP 検証 CA 証明書 ] ドロップダウンが使用されます 92 デバイス管理 Palo Alto Networks

93 セキュリティ証明書のインポート エクスポート および生成 表 37. 証明書プロファイル設定 ( 続き ) ページタイプ CRL の使用 OCSP の使用 証明書無効リスト (CRL) を使用するには このチェックボックスをオンにします オンライン証明書状態プロトコル (OCSP) サーバーを使用するには このチェックボックスをオンにします OCSP は CRL よりも優先されます CRL 受信の有効期限 CRL リクエストがタイムアウトするまでの時間を指定します (1 ~ 60 秒 ) OCSP 受信の有効期限 証明書の有効期限 証明書状態が不明な場合にセッションをブロック タイムアウト時間内に証明書状態を取得できない場合にセッションをブロック OCSP リクエストがタイムアウトするまでの時間を指定します (1 ~ 60 秒 ) 証明書状態のリクエストがタイムアウトするまでの時間を入力します (1 ~ 60 秒 ) 証明書状態が不明の場合にセッションをブロックするには このチェックボックスをオンにします タイムアウト時間内に証明書状態を取得できない場合にセッションをブロックするには このチェックボックスをオンにします OCSP レスポンダ [Device] > [ 証明書の管理 ] > [OCSP レスポンダ ] PAN-OS デバイスで発行された証明書の無効状態を検証するために使用されるサーバーを定義するには [OCSP レスポンダ ] ( オンライン証明書状態プロトコルレスポンダ ) ページを使用します 新しい証明書を生成するときに 使用される OCSP レスポンダを指定できます OCSP を有効にするには [Device] > [ セットアップ ] > [ セッション ] に移動し [ セッション機能 ] の [ 暗号証明書失効の設定 ] をクリックします 表 38 OCSP レスポンダ設定 フィールド 名前 ホスト名 OCSP レスポンダサーバーを識別する名前を入力します ( 最大 31 文字 ) 名前の大文字と小文字は区別されます また 一意の名前にする必要があります 文字 数字 スペース ハイフン およびアンダースコアのみを使用してください デバイスの証明書の無効状態をチェックするために使用する OCSP レスポンダサーバーのホスト名を入力します Palo Alto Networks デバイス管理 93

94 セキュリティ証明書のインポート エクスポート および生成 ファイアウォールでの秘密鍵とパスワードの暗号化 [Device] > [ マスターキーおよび診断 ] [ マスターキーおよび診断 ] ページを使用して ファイアウォールで秘密鍵を暗号化するためのマスター鍵を指定します 秘密鍵は 新しいマスター鍵が指定されていない場合でも デフォルトで暗号化形式を使用して保存されます ファイアウォールが共通基準モードの場合 いくつかの暗号診断機能を使用できます これらの診断では 暗号自己テストをスケジューリングして実行したり 要求時に実行したりできます 新しいマスターキーを作成するには [ 新規マスターキー ] フィールドに 16 文字の文字列を入力し キーを確定します ライフタイムとリマインダーの値を入力し [OK] をクリックします 有効期限が切れる前にマスターキーを更新する必要があります マスターキーの更新の詳細は 94 ページの マスターキーの更新 を参照してください 94 ページの [ マスターキーおよび診断 ] の設定項目 94 ページの マスターキーの更新 [ マスターキーおよび診断 ] の設定項目 表 39. [ マスターキーおよび診断 ] の設定項目 フィールドマスターキー新規マスターキー再入力新規マスターキーライフタイムリマインダーの時間共通基準 ファイアウォールでのすべての秘密鍵とパスワードの暗号化で現在使用されている鍵を指定します マスターキーを変更するには 新しい鍵を入力して確認します マスターキーが期限切れになるまでの期間を日数と時間数で指定します ( 範囲は 1 ~ 730 日 ) 有効期限が迫っていることをユーザーに通知する時期を 期限切れまでの日数と時間数で指定します ( 範囲は 1 ~ 365 日 ) 共通基準モードでは 別のボタンを使用して 暗号化アルゴリズム自己テストとソフトウェア整合性自己テストを実行できます また この 2 つの自己テストを実行する時刻を指定するためのスケジューラも用意されています マスターキーの更新 新しいマスターキーを作成するときに有効期間を定義するため 有効期間に達する前にキーを更新することが重要です また 高可用性 (HA) 設定でマスターキーを使用するときには 秘密鍵と証明書が同じマスターキーで暗号化されるように 両方のデバイスで同じマスターキーを使用することが重要です マスターキーが異なると HA 設定の同期は適切に動作しません 以下のセクションでは 適切に動作しているマスターキーを更新する方法 およびマスターキーの期限がすでに切れている場合や HA ペアの各デバイスのマスターキーが同期していない場合の手順についてもします PAN-OS 5.0 では HA ペアのマスターキーが一致しない場合 critical のシステムログが生成されます 94 デバイス管理 Palo Alto Networks

95 セキュリティ証明書のインポート エクスポート および生成 以下のような場合にマスターキーを更新します デフォルトのマスターキーを変更する または作成したマスターキーを変更する HA 設定のマスターキーが同期していない マスターキーがもう少しで期限切れになる HA マスターキーの更新 ( キーが同期していて 有効期限に達していない ) 1. 期限切れになっていない 同期しているマスターキーを更新する場合は キーを更新する前に 設定をコミットし HA ペアの両方のデバイスに保留されている設定更新がないことを確認する必要があります コミットの状態は 各デバイスの Web インターフェイスの右下にある [ タスク ] リンクをクリックすると表示できます 実行中のジョブをすべて表示するには CLI から show jobs all を実行します 保留中のジョブを表示するには show jobs pending を実行します 保留中の更新がないことを確認するには 設定モードから check pending-changes を実行すると No が表示されます 2. 両方のデバイスで [Device] > [ 高可用性 ] に移動し [ 全般 ] タブで [ 設定の同期化の有効化 ] チェックボックスをオフにして 設定の同期を無効にします 両方のデバイスの設定をコミットします 文字を使用してデバイス A のマスターキーを更新し 設定をコミットします 4. 同じマスターキーを使用してデバイス B のマスターキーを更新し 設定をコミットします 5. これでマスターキーが同期します ログをチェックし マスターキーに関連する critical のシステムログがないことを確認します 6. [ 設定の同期化の有効化 ] チェックボックスをオンにして設定の同期を有効にし 設定をコミットします HA マスターキーの更新 ( キーが同期していない または期限が切れている ) 1. マスターキーが同期していない または期限が切れている場合 システムログに critical のエラーが表示されます これが発生した場合は HA ペアの両方のデバイスで HA 設定の同期をただちに無効にする必要があります 両方のデバイスで [Device] > [ 高可用性 ] に移動し [ 全般 ] タブで [ 設定の同期化の有効化 ] チェックボックスをオフにします 両方のデバイスの設定をコミットします 2. HA ペアの両方のデバイスに保留されている設定更新がないことを確認します 保留されている変更がある場合は 両方のデバイスで設定をコミットし すべての設定更新が完了するまで待機します コミットの状態は 各デバイスの Web インターフェイスの右下にある [ タスク ] リンクをクリックすると表示できます 実行中のジョブをすべて表示するには CLI から show jobs all を実行します 保留中のジョブを表示するには show jobs pending を実行します 保留中の更新がないことを確認するには 設定モードから check pending-changes を実行すると No が表示されます 文字を使用してデバイス A のマスターキーを更新し 設定をコミットします 4. 同じマスターキーを使用してデバイス B のマスターキーを更新し 設定をコミットします 5. 両方のデバイスで設定の同期を有効にし 設定をコミットします 6. これでマスターキーが同期します ログをチェックし マスターキーに関連する critical のシステムログがないことを確認します 7. [ 設定の同期化の有効化 ] チェックボックスをオンにして設定の同期を有効にし 設定をコミットします 問題が解決しない場合は テクニカルサポート部門にお問い合わせください Palo Alto Networks デバイス管理 95

96 高可用性 高可用性 PAN-OS では アクティブ / パッシブおよびアクティブ / アクティブの高可用性 (HA) をサポートします 注 :HA ペアでは 両方のファイアウォールで同じモデルとライセンスを使用する必要があります 状態同期化が有効になっている場合 スイッチオーバーの後も既存のセッションは維持されますが 脅威防御機能は継続されません 脅威対策は新しいセッションに適用されます アクティブ / パッシブの HA アクティブ / パッシブコンフィグでは 2 つのデバイスで HA グループを形成して冗長な構成にしています 2 つのファイアウォールは相互にコンフィグをミラーリングします 何かの理由でアクティブファイアウォールで障害が発生すると パッシブファイアウォールが自動的にアクティブになり サービスは中断されることなく提供されます 選択した Ethernet リンクに障害が発生した場合や 指定した 1 つ以上の宛先にアクティブファイアウォールが到達できない場合にも フェイルオーバーが発生することがあります トラフィック処理の観点からすると 任意の時点において 1 つのデバイスがパケットを受信します 以下のルールは HA の動作とフェイルオーバーに適用されます アクティブファイアウォールは HA インターフェイスを介して設定情報とセッション情報をパッシブファイアウォールと継続的に同期します アクティブファイアウォールで障害が発生すると パッシブファイアウォールがハートビートの喪失を検出して自動的にアクティベーションされます 1 つの HA インターフェイスに障害が発生しても 残りのインターフェイスで同期が続行されます 状態同期用の接続 (HA2 リンク ) が失われると 状態が同期されなくなります 設定同期用の接続 (HA1 リンク ) が失われると 設定が同期されなくなり さらに HA デバイス間のハートビートも喪失します このとき両方のデバイスでもう一方のデバイスがダウンしていると判断され 両デバイスともアクティブになります HA デバイスの管理ポート (MGT) を設定して ハートビートおよび hello メッセージのバックアップパスを提供します 管理ポート上に HA1 または HA1 バックアップを設定する場合は ハートビートバックアップオプションを有効にする必要はありません 96 デバイス管理 Palo Alto Networks

97 高可用性 アクティブ / アクティブの HA アクティブ / アクティブの高可用性により HA ペアの両方のデバイスはトラフィックを同時に送ることができます この高可用性は主に App-ID および Content-ID のサポートが必要とされる非対称のルーティング環境で導入されます App-ID および Content-ID のレイヤー 7 検査は セッション毎に 1 つのデバイス ( セッションオーナーと呼ばれます ) で実行されます PAN-OS では (HA3 リンクを介して ) パケット転送を使用し 必要であれば指定されたセッションオーナーにパケットを送信して処理されるようにします アクティブ / アクティブのデバイスは レイヤー 3 またはバーチャルワイヤーインターフェイスを使用して導入できます レイヤー 3 導入では スキャンされたパケットをセッションオーナーが処理後に直接転送できます バーチャルワイヤー導入では スキャンされたパケットを受信ファイアウォールに戻して転送パスを維持する必要があります 最初にセッションオーナーがパケットを受信する場合 HA3 リンクは使用されません App-ID および Content-ID が不要なセッションは ( セッションオーナーではなくても ) 受信デバイスによって直接転送され パフォーマンスが最大化されます 柔軟性を保つため さまざまな方法でレイヤー 3 インターフェイスを設定できます 仮想アドレス ( フローティング IP アドレスまたは ARP ロードシェアリング IP アドレス ) に加え スタティックインターフェイス IP アドレスを使用してレイヤー 3 インターフェイスを設定することが理にかなっている場合が多くあります スタティックインターフェイス IP ファイアウォールが隣接するデバイスと動的ルーティングプロトコルに加わるときは常に レイヤー 3 インターフェイスにスタティック IP アドレスが割り当てられている必要があります 見込まれる 1 つのアクティブ / アクティブ導入オプションは 動的ルーティングプロトコルコストメトリックを使用して HA ペアを介した対称パスを強制します この場合 すべてのトラフィックは対称となり アクティブ / アクティブペアの効率が最大化されます フローティング IP このモードは HA ペアメンバーの状態に関係なく IP アドレスを使用可能にする必要がある場合など VRRP (Virtual Router Redundancy Protocol) のような機能が必要な場合に使用します 各ファイアウォールが 1 つを所有できるように特定のインターフェイスに 2 つのフローティング IP アドレスを設定するのが典型的です オーナーシップは 優先度の高いデバイス ID に割り当てられます どちらかのファイアウォールが失敗すると フローティング IP アドレスが HA ピアに移行されます ARP ロードシェアリング このモードは ARP (Address Resolution Protocol) を使用して 2 つのファイアウォール間でホストトラフィックの負荷を分散するときに使用します これらのオプションの詳細は この項の以降のを参照してください Palo Alto Networks デバイス管理 97

98 高可用性 パケットフロー アクティブ / アクティブコンフィグでのパケットフローは以下のとおりです セッションオーナーは App-ID および Content-ID のすべてのパケット処理の責任を担います セッションオーナーは (1) セッションのパケットを受信する最初のデバイス または (2) プライマリデバイスとなるように設定できます 設定オプションを プライマリデバイス に設定すると すべてのセッションはプライマリデバイスでセットアップされます 注 : アクティブ / アクティブの HA ペアを介して渡されるログは セッションオーナーとして指定されるデバイスに表示されます すべての新しいセッションでは 1 つのデバイスがセッションセットアップデバイスとして選択されます これが必要なのは 非対称のルーティング環境で発生する可能性がある競合状態を回避するためです セッションセットアップデバイスは 以下のいずれかの方法によって決定されます IP モジュロ ソース IP アドレスでの単純な剰余演算を使用して セッションをセットアップするデバイスを決定します IP モジュロでは IP アドレスのパリティに従い 特定の HA デバイスに対してセッションをセットアップする責任を配分します プライマリデバイス セッションセットアップはいつでもプライマリデバイスで行われます ハッシュ ハッシュ化を使用して セットアップデバイスの選択プロセスでのランダム性を高めます 新しいセッションが開始すると 受信ファイアウォールは セッションをセットアップするか または HA ピアに転送します アクションは 上記のにあるように セッションセットアップの設定によって決まります この期間中 セッションオーナー (App-ID および Content-ID の状態を保持する責任を担うデバイス ) はその設定に従って決定されます パケットがセッションオーナーに到達すると そのパケットは脅威がないかどうかスキャンされ ( セキュリティポリシーで設定されている場合 ) デバイスのネットワーク設定に従って転送されます パケットが HA ピアに到達すると セッションテーブルのルックアップにより セッションが他のデバイスによって所有されており HA3 全体にわたってセッションオーナーにパケットを転送可能であることが識別されます セッションでレイヤー 7 検査が不要な場合 受信デバイスでは セッションを既存のセッションテーブルのエントリと照合し その最終宛先に向けてパケットを転送できます 98 デバイス管理 Palo Alto Networks

99 高可用性 導入オプション アクティブ / アクティブの HA では バーチャルワイヤーおよびレイヤー 3 インターフェイスの同時使用をサポートします IPv6 環境では IPv6 パスのモニタリングを含め すべてのアクティブ / アクティブ導入オプションがサポートされています バーチャルワイヤー導入 バーチャルワイヤー導入では 他のアクティブ / アクティブ導入の場合と同様に 完全な非対称ルーティングをサポートしています App-ID および Content-ID 検査のセッションオーナーに転送されるパケットは 必ず受信ファイアウォールに戻し 転送パスを維持することが重要です レイヤー 3 フローティング IP 導入 この導入オプションでは リンク障害またはデバイス障害が発生したときに HA デバイス間を移動できるフローティング IP アドレスを作成できます フローティング IP アドレスを所有するポートは 仮想 MAC アドレスを持つ ARP リクエストに応答します VRRP のような機能が必要な場合は フローティング IP アドレスの使用をお勧めします フローティング IP アドレスは VPN とネットワークアドレス変換 (NAT) 構成で使用でき このようなサービスを提供するデバイスで障害が発生した場合に接続を持続させることができます 注 : フローティング IP アドレスでは 障害が発生し IP が HA デバイス間を移動する場合に 異なる仮想 MAC アドレスが使用されます レイヤー 3 ARP ロードシェアリング ARP ロードシェアリングにより HA ペアは IP アドレスを共有しゲートウェイサービスを提供できます この例では すべてのホストが 1 つのゲートウェイ IP アドレスで構成されています ゲートウェイ IP アドレスに対する ARP リクエストには ARP リクエストの送信元に応じて ペア内の 1 つのデバイスが応答します 2 つのファイアウォール間でホストトラフィックがより均等に配信されるように デバイス選択アルゴリズムを調整できます ARP ロードシェアリングは ファイアウォールとホストが同じブロードキャストドメインに存在する場合に使用する必要があります レイヤー 3 の分離がある場合は ARP 負荷分散の利益が失われます 注 : アクティブ / アクティブモードで ARP ロードシェアリングを行っている IP アドレスについては Ping 発行や管理サービスの提供はできません レイヤー 3 ルートベースの冗長性 ( スタティックインターフェイス IP) ルートベースの冗長性により ファイアウォールおよび隣接するデバイスで Open Shortest Path First (OSPF) コストなどのルーティングメトリックを使用してトラフィックが対称になるようにすることができます ロードシェアリングを操作するには 両方のファイアウォールを介してトラフィックをルーティングするようにコストを調整します この場合 デバイスインターフェイスに割り当てられた IP アドレスは固定され フェイルオーバー中に HA ピアにフェイルオーバーしません Palo Alto Networks デバイス管理 99

100 高可用性 NAT に関する考慮事項 アクティブ / アクティブモードでは すべての NAT ルールでアクティブ / アクティブデバイスのバインドを定義する必要があります HA モードがアクティブ / アクティブに変更されると アクティブ / アクティブデバイスのバインドが Web インターフェイスで利用できるようになります 新しいセッションが作成されると デバイスのバインドにより ファイアウォールによって照合される NAT ルールが決定されます ( 照合を行うためには デバイスのバインドにセッションオーナーのデバイスが含まれている必要があります ) NAT ポリシーの照合はセッションセットアップデバイスによって実行されますが NAT ルールはセッションオーナーの観点から評価されます セッションは セッションオーナーのデバイスに結合された NAT ルールに基づいて変換されます デバイス固有のルールの場合 NAT ポリシーの照合が実行されるときに ファイアウォールはセッションオーナーに関連付けられていないすべての NAT ルールを省略します たとえば デバイス 1 がセッションオーナーであり さらにセッションのセットアップも実行すると仮定します デバイス 1 は セッションと NAT ルールを照合しようとするとき デバイス 0 のデバイスのバインドを持つすべてのルールを省略します NAT デバイスのバインドオプションには 以下のものがあります デバイス 0 とデバイス 1 セッションオーナーと NAT ルール内のデバイス ID が一致する場合に限り デバイス固有のバインドに基づいて変換が実行されます 2 つのファイアウォールが変換のために一意のパブリック IP アドレスを使用する場合 一般的にデバイス固有の NAT ルールが使用されます 両方 このオプションを使用すると どちらかのデバイスが新しいセッションと NAT ルールを照合できます このオプションは 一般的に宛先 NAT で使用されます プライマリ このオプションを使用すると アクティブなプライマリデバイスのみが新しいセッションと NAT ルールを照合できます この設定は 1 つのファイアウォールのみが ARP リクエストに応答する必要がある受信静的 NAT で主に使用されます デバイス 0/1 のバインドとは異なり プライマリデバイスのバインドは プライマリロールが変換されるときにデバイス間を移動できます 以下の例は アクティブ / アクティブ NAT 導入に適用されます 100 デバイス管理 Palo Alto Networks