Palo Alto Networks Administrator's Guide - PDF 無料ダウンロード

Palo Alto Networks 管理者ガイドリリース 5.0 12/12/28?????????? - Palo Alto Networks???

Palo Alto Networks, Inc. www.paloaltonetworks.com 2007-2012 Palo Alto Networks. All rights reserved. Palo Alto Networks PAN-OS および Panorama は Palo Alto Networks, Inc. の商標ですその他の商標の所有権はそれぞれの所有者に帰属します P/N 810-000107-00A

2012? 12? 28? - Palo Alto Networks??? 目次序章.................................................. 13 このガイドについて....................................... 13 Organization............................................. 13 表記規則................................................ 15 メモと警告.............................................. 15 関連ドキュメント......................................... 15 第 1 章はじめに.............................................. 17 ファイアウォールの概要................................... 17 機能と利点.............................................. 18 管理インターフェイス..................................... 19 第 2 章スタートガイド........................................ 21 ファイアウォールの準備................................... 21 ファイアウォールのセットアップ............................ 22 ファイアウォール Web インターフェイスの使用............... 23 変更のコミット............................................. 25 設定ページへの移動......................................... 26 設定ページのテーブルの使用.................................. 26 必須フィールド............................................. 26 トランザクションのロック.................................... 27 サポート対象のブラウザ...................................... 27 ファイアウォール設定でのヘルプの表示...................... 28 詳細情報について........................................... 28 テクニカルサポート......................................... 28 Palo Alto Networks 3

第 3 章デバイス管理........................................... 29 システムセットアップ設定およびライセンス管理............ 30 管理設定の定義............................................. 30 操作設定の定義............................................. 36 サービス設定の定義.......................................... 40 コンテンツ ID 設定の定義..................................... 43 セッション設定の定義........................................ 45 SNMP..................................................... 47 統計サービス............................................... 48 設定ファイルの比較........................................ 49 ライセンスのインストール.................................. 50 PAN-OS ソフトウェアのアップグレードとダウングレード........ 51 高可用性設定の PAN-OS のアップグレード....................... 52 PAN-OS ソフトウェアのダウングレード......................... 54 メンテナンスリリースのダウングレード...................... 54 機能リリースのダウングレード.............................. 55 脅威およびアプリケーションの定義の更新..................... 57 管理者ロールプロファイルおよびアカウント................ 58 ユーザー名とパスワードの要件.............................. 59 管理者ロールの定義....................................... 60 パスワードプロファイルの定義............................. 61 管理アカウントの作成..................................... 61 管理者のアクセスドメインの指定........................... 63 認証プロファイル.......................................... 64 認証プロファイルのセットアップ............................ 65 ローカルユーザーデータベースの作成....................... 66 RADIUS サーバーの設定.................................... 68 LDAP サーバーの設定...................................... 68 Kerberos 設定の設定 (Active Directory のネイティブ認証 )........ 69 認証シーケンス........................................... 70 認証シーケンスのセットアップ.............................. 71 ファイアウォールログ..................................... 72 設定のログ................................................. 74 ログのエクスポートのスケジューリング...................... 74 ログ設定の設定の定義..................................... 75 システムログの設定の定義................................. 76 HIP マッチログの設定の定義............................... 77 アラームログの設定の定義................................. 77 ログ設定の管理.......................................... 78 SNMP トラップの宛先の設定................................ 78 Syslog サーバーの設定...................................... 80 カスタム Syslog フィールドの........................... 81 電子メール通知設定の指定.................................. 86 4 Palo Alto Networks

アラームの表示........................................... 87 Netflow 設定の設定....................................... 88 セキュリティ証明書のインポートエクスポートおよび生成.... 89 証明書.................................................... 89 信頼された証明機関......................................... 92 証明書プロファイル......................................... 92 OCSP レスポンダ........................................... 93 ファイアウォールでの秘密鍵とパスワードの暗号化................ 94 [ マスターキーおよび診断 ] の設定項目....................... 94 マスターキーの更新...................................... 94 高可用性................................................ 96 アクティブ / パッシブの HA................................... 96 アクティブ / アクティブの HA................................. 97 パケットフロー............................................. 98 導入オプション............................................. 99 NAT に関する考慮事項................................... 100 HA のセットアップ......................................... 104 ファイアウォールの HA の有効化............................. 105 仮想システム........................................... 113 仮想システム間の通信....................................... 114 共有ゲートウェイ.......................................... 115 仮想システムの定義...................................... 116 共有ゲートウェイの設定.................................. 117 カスタムレスポンスページの定義.......................... 117 サポート情報の表示...................................... 119 第 4 章ネットワーク設定...................................... 121 ファイアウォール導入.................................... 122 バーチャルワイヤー導入................................. 122 レイヤー 2 導入......................................... 124 レイヤー 3 導入......................................... 125 タップモード導入....................................... 126 バーチャルワイヤーの定義................................ 126 パケットコンテンツの変更................................ 127 ファイアウォールインターフェイス......................... 127 現在のインターフェイスの表示............................ 128 レイヤー 2 インターフェイスの設定........................ 129 レイヤー 2 サブインターフェイスの設定..................... 130 レイヤー 3 インターフェイスの設定........................ 131 レイヤー 3 サブインターフェイスの設定..................... 135 バーチャルワイヤーインターフェイスの設定................ 139 バーチャルワイヤーサブインターフェイスの設定............. 140 集約インターフェイスグループの設定...................... 142 Palo Alto Networks 5

Ethernet の集約インターフェイスの設定...................... 143 VLAN インターフェイスの設定............................. 144 ループバックインターフェイスの設定....................... 147 トンネルインターフェイスの設定.......................... 148 タップインターフェイスの設定............................ 150 HA インターフェイスの設定............................... 151 セキュリティゾーン...................................... 152 セキュリティゾーンの定義................................ 153 VLAN サポート........................................... 154 仮想ルーターとルーティングプロトコル...................... 154 Routing Information Protocol (RIP)............................ 155 Open Shortest Path First (OSPF)............................. 155 Border Gateway Protocol (BGP)............................ 155 マルチキャストルーティング.............................. 156 仮想ルーターの定義...................................... 157 DHCP サーバーと DHCP リレー............................. 172 DNS プロキシ............................................ 174 ネットワークプロファイル................................. 176 インターフェイス管理プロファイルの定義................... 177 モニタープロファイルの定義.............................. 178 ゾーンプロテクションプロファイルの定義.................. 179 第 5 章ポリシーとセキュリティプロファイル..................... 183 ポリシー................................................ 183 ポリシー定義のガイドライン.............................. 184 ポリシーのユーザーとアプリケーションの指定................ 186 セキュリティポリシー...................................... 187 セキュリティポリシーの定義.............................. 187 NAT ポリシー.............................................. 190 NAT およびセキュリティポリシーでのゾーン設定の決定........ 192 NAT ルールオプション................................... 192 ネットワークアドレス変換ポリシーの定義................... 193 NAT ポリシーの例....................................... 195 Nat64................................................. 196 ポリシーベースの転送ポリシー............................... 199 復号化ポリシー............................................ 202 アプリケーションオーバーライドポリシー..................... 204 アプリケーションオーバーライドを指定するカスタムアプリケーション定義................................... 204 アプリケーションオーバーライドポリシーの定義............. 205 キャプティブポータルポリシー.............................. 206 キャプティブポータルポリシーの定義...................... 206 DoS プロテクションポリシー................................. 208 DoS プロファイルの定義.................................. 208 6 Palo Alto Networks

セキュリティプロファイル................................. 210 アンチウイルスプロファイル................................ 212 アンチスパイウェアプロファイル............................. 213 脆弱性防御プロファイル..................................... 214 URL フィルタリングプロファイル............................. 217 ファイルブロッキングプロファイル.......................... 220 データフィルタリングプロファイル.......................... 223 DoS プロファイル.......................................... 225 その他のポリシーオブジェクト............................. 226 アドレスとアドレスグループ................................ 227 アドレス範囲の定義...................................... 227 アドレスグループの定義................................. 229 地域の定義............................................. 229 アプリケーションとアプリケーショングループ.................. 230 アプリケーションの定義.................................. 232 シグネチャを使ったカスタムアプリケーション............... 235 アプリケーショングループの定義.......................... 237 アプリケーションフィルタ.................................. 237 サービス................................................. 238 サービスグループ.......................................... 239 データパターン........................................... 240 カスタム URL カテゴリ...................................... 241 ダイナミックブロックリスト................................ 242 カスタムのスパイウェアシグネチャと脆弱性シグネチャ.......... 243 データパターンの定義................................... 243 スパイウェアシグネチャと脆弱性シグネチャの定義........... 244 セキュリティプロファイルグループ.......................... 246 ログ転送................................................. 247 復号プロファイル.......................................... 248 スケジュール.............................................. 250 第 6 章レポートとログ........................................ 251 ダッシュボードの使用..................................... 252 アプリケーションコマンドセンターの使用................... 253 アプリケーションスコープの使用........................... 256 サマリーレポート....................................... 257 変化モニターレポート................................... 258 脅威モニターレポート................................... 259 脅威マップレポート..................................... 260 ネットワークモニターレポート........................... 261 トラフィックマップレポート............................. 263 ログの表示.............................................. 264 セッション情報の表示.................................... 267 Palo Alto Networks 7

ボットネットレポートの処理............................... 267 ボットネットレポートの設定.............................. 268 ボットネットレポートの管理.............................. 269 PDF サマリーレポートの管理............................... 270 ユーザーアクティビティレポートの管理..................... 272 レポートグループの管理.................................. 272 電子メールで配信するレポートのスケジューリング............. 273 レポートの表示.......................................... 274 カスタムレポートの生成................................... 274 不明なアプリケーションの識別と対処........................ 276 対処................................................... 277 Palo Alto Networks からの App-ID のリクエスト............... 278 その他の不明なトラフィック.............................. 278 パケットキャプチャの実行................................. 278 第 7 章ユーザー識別のためのファイアウォール設定................ 281 ユーザー ID の概要........................................ 281 ユーザー ID の動作......................................... 282 ユーザーおよびグループの識別............................... 283 ユーザー ID コンポーネントの連携方法......................... 283 ユーザー ID エージェント................................. 283 PAN-OS ユーザーマッピング.............................. 283 ターミナルサービスエージェント.......................... 284 PAN-OS LDAP グループクエリ............................. 284 ユーザー ID エージェント.................................. 284 キャプティブポータル................................... 285 ユーザー識別のためのファイアウォールの設定................ 286 PAN-OS ユーザーマッピング設定........................... 292 PAN-OS ユーザーマッピングの設定........................... 293 ユーザーマッピングデータを共有するためのファイアウォールの設定.................................................. 296 ユーザー ID エージェントのセットアップ..................... 298 ユーザー ID エージェントのインストール.................... 299 ユーザー ID エージェントの設定............................ 300 ドメインコントローラの検出.............................. 303 ユーザー ID エージェントの動作のモニタリング............... 303 ユーザー ID エージェントのアンインストールとアップグレード.. 303 ターミナルサービスエージェントのセットアップ.............. 304 ターミナルサーバーでのターミナルサーバーエージェントのインストールまたはアップグレード........................ 304 ターミナルサーバーでのターミナルサーバーエージェントの設定................................................. 305 8 Palo Alto Networks

ターミナルサーバーでのターミナルサーバーエージェントのアンインストール...................................... 309 第 8 章 IPSec トンネルの設定................................... 311 仮想プライベートネットワーク............................. 312 VPN トンネル........................................... 313 IPSec と IKE.............................................. 313 IPSec および IKE 暗号プロファイル......................... 314 IPSec VPN のセットアップ.................................. 315 IKE ゲートウェイの定義................................... 316 IPSec トンネルのセットアップ............................. 317 IKE 暗号プロファイルの定義............................... 321 IPSec 暗号プロファイルの定義............................. 322 ファイアウォールの IPSec トンネル状態の表示................ 323 VPN 設定例.............................................. 323 既存のトポロジ......................................... 323 新しいトポロジ......................................... 324 VPN 接続の設定......................................... 325 VPN 接続のトラブルシューティング........................ 326 GlobalProtect 大規模 VPN 導入.............................. 327 概要..................................................... 327 大規模 VPN ネットワークの導入.............................. 328 証明書と OCSP レスポンダ................................ 329 GlobalProtect ゲートウェイの設定.......................... 332 GlobalProtect ポータルの設定............................. 334 GlobalProtect サテライトの設定............................ 337 動的ルーティングプロトコルと大規模 VPN..................... 337 GlobalProtect ポータルのバックアップ......................... 338 第 9 章 GlobalProtect の設定................................... 339 概要.................................................... 339 GlobalProtect の認証....................................... 341 GlobalProtect のセットアップ............................... 341 GlobalProtect エージェントのセットアップとアクティベーション.... 356 GlobalProtect エージェントのセットアップ..................... 356 第 10 章 Quality of Services (QoS) の設定.......................... 359 ファイアウォールでの QoS のサポート....................... 359 ファイアウォールインターフェイスの QoS の設定............... 360 Palo Alto Networks 9

QoS プロファイルの定義................................... 362 QoS ポリシーの定義...................................... 363 QoS 統計情報の表示...................................... 367 第 11 章 VM シリーズのファイアウォールのセットアップ............. 369 概要.................................................... 369 システム要件と制限事項................................... 370 要件..................................................... 370 制限事項.................................................. 370 VM シリーズのファイアウォールのライセンス................. 371 VM シリーズのファイアウォールのインストール............... 372 トラブルシューティング................................... 376 第 12 章 Panorama のセットアップ................................ 377 概要.................................................... 377 バーチャルアプライアンスとしての Panorama のセットアップ... 378 Panorama のインストール................................... 378 Panorama ネットワークインターフェイスの設定................ 379 ログストレージ容量の拡張.................................. 380 仮想ディスクの追加......................................... 380 ストレージパーティションのセットアップ...................... 381 M シリーズのアプライアンスでの Panorama のセットアップ..... 382 初期セットアップの実行..................................... 382 Panorama へのログイン................................... 383 デフォルトのパスワードの変更............................... 383 高可用性 (HA) の設定...................................... 383 HA ペアでのログ優先順位の切り替え........................... 385 第 13 章 Panorama を使用したデバイス中央管理..................... 387 Panorama Web インターフェイスへのアクセス................ 388 Panorama インターフェイスの使用.......................... 388 [Panorama] タブ............................................ 389 デバイスの追加.......................................... 391 デバイスグループの定義.................................... 393 Panorama 管理者ロールプロファイルおよびアカウント...... 394 Panorama 管理者ロールの定義................................ 395 Panorama 管理アカウントの作成.............................. 396 管理者の Panorama アクセスドメインの指定.................. 398 10 Palo Alto Networks

デバイスグループ........................................ 398 ポリシーの処理............................................ 399 オブジェクトの処理........................................ 401 デバイスの処理.......................................... 403 Panorama でのコミット操作................................. 403 Panorama の下位互換性..................................... 404 テンプレート............................................ 405 Panorama テンプレートの設定............................... 406 新しいテンプレートの追加................................ 407 テンプレートの設定...................................... 407 テンプレート設定のオーバーライド......................... 408 テンプレートの削除...................................... 408 ロギング................................................ 409 ログおよびレポート........................................ 409 ユーザーアクティビティレポートの生成....................... 409 ログ収集のための Panorama の使用........................... 409 分散ログ収集の導入...................................... 410 ログコレクタの管理..................................... 413 ログコレクタグループの定義............................. 416 ファイアウォール導入情報の表示............................ 421 ファイアウォール設定のバックアップ........................ 422 設定のエクスポートのスケジューリング...................... 422 Panorama ソフトウェアのアップグレード..................... 423 第 14 章 WildFire の設定........................................ 425 WildFire について........................................ 425 ファイアウォールでの WildFire のセットアップ................ 427 ファイアウォール上の WildFire 設定の設定..................... 427 WildFire の転送の設定..................................... 428 WildFire データフィルタリングログ......................... 429 WildFire ポータルの利用................................... 430 WildFire ポータル上の設定の設定............................. 431 WildFire レポートの表示.................................... 431 付録 A カスタムページ....................................... 433 デフォルトのアンチウイルスレスポンスページ................. 433 デフォルトのアプリケーションブロックページ................. 435 デフォルトのファイルブロッキングブロックページ............. 435 デフォルトの URL フィルタリングレスポンスページ............. 436 デフォルトのスパイウェア対策ダウンロードレスポンスページ.... 437 デフォルトの暗号解除オプトアウトレスポンスページ............ 437 Palo Alto Networks 11

キャプティブポータル確認ページ............................. 438 URL フィルタリングの続行とオーバーライドページ.............. 438 SSL VPN ログインページ.................................... 439 SSL 証明書無効通知ページ................................... 440 付録 B アプリケーションのカテゴリサブカテゴリテクノロジ特徴................................................. 441 アプリケーションのカテゴリとサブカテゴリ.................. 441 アプリケーションテクノロジ............................... 443 アプリケーションの特徴................................... 443 付録 C FIPS140-2 のサポート................................... 445 付録 D オープンソースライセンス.............................. 447 アーティスティックライセンス............................. 448 BSD.................................................... 449 GNU General Public License................................ 450 GNU Lesser General Public License........................... 454 MIT/X11................................................ 460 OpenSSH............................................... 461 PSF.................................................... 464 PHP.................................................... 464 Zlib.................................................... 465 索引................................................. 467 12 Palo Alto Networks

2012 年 12 月 28 日 - Palo Alto Networks 社外秘序章この序章は以下のセクションで設定されています次のセクションのこのガイドについて 13 ページの Organization 15 ページの表記規則 15 ページのメモと警告 15 ページの関連ドキュメントこのガイドについてこのガイドは Palo Alto Networks ファイアウォールをファイアウォールデバイスの Web インターフェイスを使用して管理する方法についてしますこのガイドの対象読者はファイアウォールの導入運用保守を担当するシステム管理者です Organization このガイドの設定は以下のとおりです第 1 章はじめにファイアウォールについて概説します第 2 章スタートガイドファイアウォールのインストール方法をします第 3 章デバイス管理基本的なファイアウォールシステムの設定と保守についてします具体的には 2 台のファイアウォールを設定して高可用性を実現する方法ユーザーアカウントを定義する方法ソフトウェアのアップデート方法設定の管理方法をします第 4 章ネットワーク設定ルーティング設定などネットワーク用にファイアウォールを設定する方法をします第 5 章ポリシーとセキュリティプロファイルゾーンユーザー送信元 / 宛先アドレスアプリケーションに基づいてセキュリティポリシーとプロファイルを設定する方法をします第 6 章レポートとログファイアウォールによって生成されるレポートとログの表示方法をします Palo Alto Networks 序章 13

Organization 第 7 章ユーザー識別のためのファイアウォール設定ネットワークにアクセスしようとしているユーザーを識別するためのファイアウォールの設定方法をします第 8 章 IPSec トンネルの設定ファイアウォールに IP Security (IPSec) トンネルを設定する方法をします第 9 章 GlobalProtect の設定どの場所にあるクライアントシステムからでも安全にログインできる GlobalProtect をします第 10 章 Quality of Services (QoS) の設定ファイアウォールに Quality of Services (QoS) を設定する方法をします第 12 章 Panorama のセットアップ Palo Alto Networks ファイアウォールの中央管理システムをインストールする方法についてします第 13 章 Panorama を使用したデバイス中央管理 Panorama を使用して複数のファイアウォールを管理する方法をします第 14 章 WildFire の設定 WildFire を使用してファイアウォールを通過するマルウェアを分析およびレポートする方法をします付録 A カスタムページエンドユーザーにポリシー違反や特殊なアクセス条件を通知するカスタムレスポンスページの HTML コードを示します付録 B アプリケーションのカテゴリサブカテゴリテクノロジ特徴 Palo Alto Networks が定義しているアプリケーションカテゴリの一覧を示します付録 C FIPS140-2 のサポート FIPS 140-2 のファイアウォールサポートについてします付録 D オープンソースライセンス関連するオープンソースライセンスに関する情報が含まれています 14 序章 Palo Alto Networks

表記規則表記規則このガイドでは特殊な用語と手順に以下の表記規則を使用します規則意味例太字斜体クーリエ体コマンド名キーワード Web インターフェイスで選択可能な項目パラメータ名ファイル名ディレクトリ名 URL コード例ユーザーがコマンドプロンプトに入力したテキストセキュリティルールページを開くには [ セキュリティ ] をクリックします Palo Alto Networks のホームページのアドレスは http://www.paloaltonetworks.com です以下のコマンドを入力します set deviceconfig system dnssettings クリック左マウスボタンのクリック [Devices] タブの [ 管理者 ] をクリックします右クリック右マウスボタンのクリックコピーするルールの番号を右クリックして [ ルールのコピー ] を選択しますメモと警告このガイドでは以下の記号でメモと警告を表します記号メモ役に立つ提案や補足情報です警告データ損失を引き起こす可能性のあるアクションを示します関連ドキュメントこのファイアウォールには以下のドキュメントが同梱されています Quick Start ( クイックスタート ) Palo Alto Networks License Agreement and Warranty (Palo Alto Networks 利用許諾契約および保証書 ) その他の関連ドキュメントは https://live.paloaltonetworks.com/community/documentation を参照してください Palo Alto Networks 序章 15

関連ドキュメント 16 序章 Palo Alto Networks

第 1 章はじめにこの章ではファイアウォールの概要についてします次のセクションのファイアウォールの概要 18 ページの機能と利点 19 ページの管理インターフェイスファイアウォールの概要 Palo Alto Networks ファイアウォールではネットワークにアクセスしようとしている各アプリケーションを正確に識別しその識別に応じたセキュリティポリシーを指定できますプロトコルとポート番号のみでアプリケーションを識別する従来型のファイアウォールとは異なりパケット検査とアプリケーションシグネチャのライブラリを使用することで使用するプロトコルとポート番号が同じアプリケーションを区別し危害を及ぼす可能性がある標準以外のポート番号を使用するアプリケーションを識別できますたとえばポート 80 番を使用するすべての接続に対して同じポリシーを適用するのではなくアプリケーション毎にセキュリティポリシーを定義できます識別した各アプリケーションに対しては送信元および宛先のゾーンとアドレスに基づきトラフィックをブロックするセキュリティポリシーまたは許可するセキュリティポリシーを指定できます各セキュリティーポリシーはウィルススパイウェアや他の脅威から守るためにセキュリティプロファイルを指定することもできます Palo Alto Networks はじめに 17

機能と利点機能と利点このファイアウォールではネットワークへのアクセスを許可されたトラフィックを詳細に制御できます主な機能と利点は以下のとおりですアプリケーションベースでのポリシーの適用アプリケーションをプロトコルとポート番号以外の情報も使用して識別するためアプリケーション毎により効果的なアクセス制御が可能ですリスクが高いアプリケーションやファイル共有などのリスクの高い操作をブロックできます Secure Socket Layer (SSL) プロトコルで暗号化されたトラフィックの暗号を解読して検査できますユーザー ID ユーザー ID により管理者はネットワークゾーンとアドレスの代わりに ( またはこれらに加えて ) ユーザーとユーザーグループに基づいてファイアウォールポリシーを設定および適用できますファイアウォールは Microsoft Active Directory edirectory SunOne OpenLDAP および他のほとんどの LDAP ベースのディレクトリサーバーなど多くのディレクトリサーバーと通信してユーザーとグループの情報をファイアウォールに提供できますこの情報を使用して保護された状態でアプリケーションを有効にするという優れた方法を実現できユーザーまたはグループ単位で定義することができますたとえば管理者は会社内の 1 つの組織にある Web ベースのアプリケーションの使用を許可し他の組織でそのアプリケーションを使用できないようにすることが可能ですまたユーザーおよびグループに基づいてアプリケーションの特定のコンポーネントをよりきめ細かく制御するように設定することもできます 281 ページのユーザー識別のためのファイアウォール設定を参照してください脅威防御ウイルスワームスパイウェアおよびその他の悪意のあるトラフィックからネットワークを保護する脅威への対策サービスをアプリケーションとトラフィックの送信元毎に変えることができます (210 ページのセキュリティプロファイルを参照 ) URL フィルタリング送信コネクションをフィルタリングして不適切な Web サイトへのアクセスを止められます (217 ページの URL フィルタリングプロファイルを参照 ) トラフィックの可視性幅広いレポートログおよび通知メカニズムによりネットワークアプリケーショントラフィックとセキュリティイベントを詳細に観察できます Web インターフェイスの Application Command Center (ACC) を使用してトラフィック量が最大のアプリケーションやセキュリティリスクが最も高いアプリケーションを特定します (251 ページのレポートとログを参照 ) 多機能なネットワーキングと速度このファイアウォールは既存のファイアウォールを補完したり置き換えたりできますまたどのネットワークにも透過的にインストールできスイッチまたはルーティング環境をサポートするように設定できますマルチギガビットの速度と単一パスのアーキテクチャを実現しているためすべてのサービスでネットワークに遅延は発生しません GlobalProtect GlobalProtect は世界中のどこからでも簡単かつ安全にログインできるようにすることで現場で使用されるノートパソコンなどのクライアントシステムでセキュリティを確保しますフェールセーフ機能高可用性のサポートによりハードウェアやソフトウェアに障害が発生した場合に自動的にフェイルオーバーされます (105 ページのファイアウォールの HA の有効化を参照 ) 18 はじめに Palo Alto Networks

管理インターフェイスマルウェアの分析とレポート WildFire はファイアウォールを通過するマルウェアの詳細な分析とレポートを提供します VM-Series ファイアウォール仮想化データセンター環境で使用するように位置付けられた PAN-OS の仮想インスタンスで特に専用およびパブリッククラウドの導入に最適です Palo Alto Networks のハードウェアを導入しなくても VMware ESXi を実行可能な x86 デバイスすべてにインストールできます管理および Panorama 各ファイアウォールを直観的にわかる Web インターフェイスまたはコマンドラインインターフェイス (CLI) によって管理するかまたはすべてのデバイスをデバイス Web インターフェイスに非常によく似た Panorama 中央管理システムで一元的に管理することができます管理インターフェイスファイアウォールでは以下の管理インターフェイスがサポートされていますサポートされているブラウザのリストについては 27 ページのサポート対象のブラウザを参照してください Web インターフェイス Web ブラウザから HTTP または HTTPS 経由で設定とモニタリングを行います CLI Telnet セキュアシェル (SSH) またはコンソールポート経由でテキストベースの設定とモニタリングを行います ( PAN-OS Command Line Interface Reference Guide (PAN- OS コマンドラインインターフェイスリファレンスガイド ) を参照 ) Panorama 複数のファイアウォールを Web ベースで管理しレポートしログを記録する Palo Alto Networks 製品です Panorama インターフェイスはデバイスの Web インターフェイスに似ていますただしいくつかの管理機能が追加されています Panorama のインストール手順の詳細は 377 ページの Panorama のセットアップを Panorama の使用方法の詳細は 387 ページの Panorama を使用したデバイス中央管理を参照してください Simple Network Management Protocol (SNMP) RFC 1213 (MIB-II) および RFC 2665 (Ethernet インターフェイス ) でのリモートモニタリングまた 1 つ以上のトラップ受信装置に対する SNMP トラップの生成をサポートします (78 ページの SNMP トラップの宛先の設定を参照 ) Syslog 1 つ以上のリモート Syslog サーバー宛てにメッセージを生成します (80 ページの Syslog サーバーの設定を参照 ) XML API ファイアウォールからデバイス設定動作ステータスレポートおよびパケットキャプチャにアクセスするための Representational State Transfer (REST) ベースのインターフェイスを提供しますファイアウォールで使用可能な API ブラウザがあります (https:// <firewall>/api) ここで <firewall> はファイアウォールのホスト名または IP アドレスですこのリンクは API コールのそれぞれのタイプで必要とされるパラメータのヘルプを提供します XML API 利用ガイドは http://live.paloaltonetworks.com の DevCenter オンラインコミュニティで利用できます Palo Alto Networks はじめに 19

管理インターフェイス 20 はじめに Palo Alto Networks

第 2 章スタートガイドこの章ではファイアウォールのセットアップ方法と使用開始手順についてします次のセクションのファイアウォールの準備 22 ページのファイアウォールのセットアップ 23 ページのファイアウォール Web インターフェイスの使用 28 ページのファイアウォール設定でのヘルプの表示注 :Panorama 中央管理システムのインストール手順の詳細は 377 ページの Panorama のセットアップを参照してくださいファイアウォールの準備ファイアウォールをセットアップする前に以下の準備作業を実行します 1. Hardware Reference Guide ( ハードウェアリファレンスガイド ) のに従ってラックにファイアウォールを設置し電源をオンにします 2. https://support.paloaltonetworks.com でファイアウォールを登録して最新のソフトウェアと App-ID 更新を取得し電子メールで送られている認証コードを利用してサポートまたは契約をアクティベーションします 3. ファイアウォールの管理ポートを設定するためにネットワーク管理者から IP アドレスを取得します Palo Alto Networks スタートガイド 21

ファイアウォールのセットアップファイアウォールのセットアップファイアウォールの初期セットアップを実行するには以下の手順を実行します 1. RJ-45 Ethernet ケーブルを使用してコンピュータをファイアウォールの管理ポート (MGT) に接続します 2. コンピュータを起動します 192.168.1.0 ネットワークにあるコンピュータにネットマスク 255.255.255.0 を使用してスタティック IP アドレスを割り当てます ( たとえば 192.168.1.5) 3. サポート対象の Web ブラウザを起動し https://192.168.1.1 と入力します Palo Alto Networks のログインページが自動的に開きます 4. [ 名前 ] と [ パスワード ] の両方に admin と入力して [ ログイン ] をクリックしますデフォルトのパスワードを変更する必要があるという警告が表示されます [OK] クリックして続行します 5. [Device] タブで [ セットアップ ] を選択して以下の内容 (Web インターフェイスの設定を設定する一般的な手順については 23 ページのファイアウォール Web インターフェイスの使用を参照 ) を設定します [ 管理インターフェイス設定 ] の下の [ 管理 ] タブでファイアウォールの IP アドレスネットマスクおよびデフォルトのゲートウェイを入力します [ サービス ] タブで Domain Name System (DNS) サーバーの IP アドレスを入力します Network Time Protocol (NTP) サーバーの IP アドレスまたはホストとドメイン名を入力しタイムゾーンを選択しますサイドメニューで [ サポート ] をクリックします社内で Palo Alto Networks ファイアウォールを初めて使用する場合は [ デバイスの登録 ] をクリックしファイアウォールを登録します ( すでにファイアウォールを登録している場合はユーザー名とパスワードを受け取っているはずです ) [ 認証コードを使用したサポートのアクティベーション ] リンクをクリックしてオプション機能で使用する電子メールで送られている認証コードを入力します複数の認証コードがある場合はスペースで区切ります 6. [Devices] タブの [ 管理者 ] をクリックします 7. [admin] をクリックします 8. [ 新しいパスワード ] と [ 再入力新しいパスワード ] フィールドに大文字小文字を区別してパスワード ( 最大 15 文字 ) を入力し確認します 9. [OK] をクリックして新しいパスワードを入力します 10. 設定をコミットしてこれらの設定項目をアクティブにします変更がコミットされるとファイアウォールにステップ 5 で割り当てられた IP アドレスを介して到達できるようになります変更のコミットの詳細は 25 ページの変更のコミットを参照してください注 : 工場出荷時または工場出荷時の状態に戻した後のデフォルト設定は Ethernet ポート 1 と 2 の間のバーチャルワイヤーでありインバウンドトラフィックをすべて拒否するとともにアウトバウンドトラフィックをすべて許可するデフォルトポリシーが設定されています 22 スタートガイド Palo Alto Networks

ファイアウォール Web インターフェイスの使用ファイアウォール Web インターフェイスの使用ファイアウォールインターフェイスの使用操作には以下の原則が適用されます一般的な機能カテゴリのメニュー項目を表示するにはブラウザウィンドウの上部近くにある [Objects] や [Devices] など該当するタブをクリックしますパネルを表示するにはサイドメニューで項目をクリックしますサブメニュー項目を表示するには項目の左にあるアイコンをクリックしますサブメニュー項目を非表示にするには項目の左にあるアイコンをクリックしますほとんどの設定ページで [ 追加 ] をクリックして新規項目を作成できます 1 つ以上の項目を削除するには項目のチェックボックスをオンにして [ 削除 ] をクリックしますほとんどの場合 [OK] をクリックして削除を確認するか [ キャンセル ] をクリックして削除をキャンセルするようにメッセージが表示されます一部の設定ページでは項目のチェックボックスをオンにして [ コピー ] をクリックすると選択した項目と同じ情報で新規項目を作成できます Palo Alto Networks スタートガイド 23

ファイアウォール Web インターフェイスの使用項目を変更するには下線の付いたリンクをクリックしますページのヘルプ情報を表示するにはページの右上エリアにある [ ヘルプ ] アイコンをクリックしますタスクの現在のリストを表示するにはページの右下隅の [ タスク ] アイコンをクリックします [ タスクマネージャ ] ウィンドウが開きステータス開始時刻関連付けられたメッセージおよびアクションと共にタスクのリストを表示します [ 表示 ] ドロップダウンリストを使用してタスクのリストをフィルタリングします Web インターフェイス言語は特定の優先言語が定義されていない場合デバイスを管理しているコンピュータの現在の言語に従いますたとえばファイアウォールの管理に使用するコンピュータのロケールがスペイン語の場合そのファイアウォールにログインするときの Web インターフェイスはスペイン語で表示されますコンピュータのロケールに関係なく所定のアカウントでいつも使用する言語を指定するにはページの右下にある [ 言語 ] アイコンをクリックして [ 言語設定 ] ウィンドウを開きますドロップダウンリストをクリックして目的の言語を選択し [OK] をクリックして変更を保存します注 : オンデバイスヘルプシステムは現在のところ英語のみでの提供です他の言語でヘルプの内容すべてを表示するには Palo Alto Networks 管理者ガイド (https://live.paloaltonetworks.com/community/documentation) を参照してください 24 スタートガイド Palo Alto Networks

ファイアウォール Web インターフェイスの使用変更できる情報を表示するページで ( たとえば [Devices] タブの [ セットアップ ] ページ ) セクションの右上隅のアイコンをクリックして設定を編集します設定を行った後は [OK] または [ 保存 ] をクリックして変更を保存する必要があります [OK] をクリックすると現在の候補設定が更新されます変更のコミット Web インターフェイスの上部で [ コミット ] をクリックして [ コミット ] ダイアログボックスを開きます [ コミット ] ダイアログボックスでは以下のオプションを使用できます必要な場合は [ 詳細 ] リンクをクリックしてオプションを表示しますデバイスとネットワーク設定を含めるコミット操作にデバイスおよびネットワークの設定変更を含めます共有オブジェクト設定を含める ( マルチ仮想システムファイアウォールのみ ) コミット操作に共有オブジェクトの設定変更を含めますポリシーとオブジェクト設定を含める ( 非マルチ仮想システムファイアウォールのみ ) コミット操作にポリシーとオブジェクトの設定変更を含めます Palo Alto Networks スタートガイド 25

ファイアウォール Web インターフェイスの使用仮想システム設定を含めるすべての仮想システムを含めるか [1 つ以上の仮想システムを選択します ] を選択します変更のコミットの詳細は 36 ページの操作設定の定義を参照してくださいプレビューの変更候補設定で提案される変更点が現在の実行中の設定と比較表示される 2 ペインウィンドウを表示するにはこのボタンをクリックします表示する行数を選択するかすべての行を表示できます変更点は追加修正または削除された項目に応じて色分けされます [Device] > [ 設定監査 ] でも同じ機能が実行されます 49 ページの設定ファイルの比較を参照してください設定ページへの移動このガイドの各設定セクションには設定ページへのメニューパスが記載されていますたとえば [ 脆弱性防御 ] ページを表示するには [Objects] タブを選択してからサイドメニューの [ セキュリティプロファイル ] の下で [ 脆弱性防御 ] を選択しますこのガイドではこの操作は以下のパスで示されます [Objects] > [ セキュリティプロファイル ] > [ 脆弱性防御 ] 設定ページのテーブルの使用設定ページのテーブルにはソートおよび列を選択するオプションが含まれます列ヘッダーをクリックしてその列をソートしてからもう一度クリックしてソート順序を変更します任意の列の右にある矢印をクリックし表示する列を選択するためにチェックボックスをオンにします必須フィールド必須フィールドは淡い黄色の背景で表示されますフィールドの入力領域をポイントまたはクリックするとフィールドが必須であることを示すメッセージが表示されます 26 スタートガイド Palo Alto Networks

ファイアウォール Web インターフェイスの使用トランザクションのロック Web インターフェイスは複数の管理者に対応しておりある管理者が現在の一連のトランザクションをロックすると別の管理者はロックが解除されるまで設定変更やコミット操作ができなくなります以下のタイプのロックがサポートされていますコンフィグロック他の管理者が設定を変更できないようにブロックしますこのタイプのロックはグローバルに設定することも 1 つの仮想システムに設定することもできますこのロックを解除できるのはロックを設定した管理者またはシステムのスーパーユーザーだけですコミットロックすべてのロックが解除されるまで他の管理者が変更をコミットできないようにブロックしますこのタイプのブロックでは 2 人の管理者が同時に変更を行い 2 番目の管理者が変更を完了させる前に最初の管理者が変更を完了させてコミットするときに生じる可能性がある競合を回避しますロックはロックを適用した管理者によって現在の変更がコミットされたときに解除されますまたは手動で解除することもできますどの管理者でもロックウィンドウを開いてロックされている現在のトランザクションを表示できますこれはそれぞれのタイムスタンプと共に表示されますトランザクションをロックするには上部のバーにあるロック解除アイコンをクリックして [ ロック ] ダイアログボックスを開きます [ ロック設定 ] をクリックしドロップダウンリストからロックの範囲を選択して [OK] をクリックします必要に応じてロックを追加し [ 閉じる ] をクリックして [ ロック ] ダイアログボックスを閉じますトランザクションがロックされて上部のバーにあるアイコンがロックアイコンに変わりロックされている項目の数がかっこ内に表示されますトランザクションのロックを解除するには上部のバーにあるロックアイコンをクリックして [ ロック ] ウィンドウを開きます解除するロックのアイコンをクリックし [Yes] をクリックして確定します [ 閉じる ] をクリックして [ ロック ] ダイアログボックスを閉じますコミットロックを自動実施するには [Device] タブの [ セットアップ ] ページの [ 管理 ] 領域にある [ コミットロックの自動実施 ] チェックボックスをオンにします 30 ページのシステムセットアップ設定およびライセンス管理を参照してくださいサポート対象のブラウザファイアウォール Web インターフェイスのアクセスでは以下の Web ブラウザがサポートされています Internet Explorer 7+ Firefox 3.6+ Safari 5+ Chrome 11+ Palo Alto Networks スタートガイド 27

ファイアウォール設定でのヘルプの表示ファイアウォール設定でのヘルプの表示このセクションの情報を使用してファイアウォール使用時にヘルプを表示します詳細情報についてこのファイアウォールに関する詳細は以下の情報を参照してください一般的な情報 http://www.paloaltonetworks.com オンラインヘルプ Web インターフェイスの右上隅にある [ ヘルプ ] をクリックするとオンラインヘルプを参照できますヒントスクリプトおよびシグネチャを共有するために顧客 / パートナが交流して協力する分野 https://live.paloaltonetworks.com/community/devcenter テクニカルサポートテクニカルサポートが必要な場合はお買い求めの販売代理店までお尋ねください KnowledgePoint オンラインサポートコミュニティ : http://live.paloaltonetworks.com Web サイト : https://support.paloaltonetworks.com 28 スタートガイド Palo Alto Networks

第 3 章デバイス管理この章ではファイアウォールの基本的なシステム設定方法と管理方法をしますまた仮想システム高可用性およびログ機能についても概説します次のセクションのシステムセットアップ設定およびライセンス管理 49 ページの設定ファイルの比較 50 ページのライセンスのインストール 51 ページの PAN-OS ソフトウェアのアップグレードとダウングレード 57 ページの脅威およびアプリケーションの定義の更新 58 ページの管理者ロールプロファイルおよびアカウント 64 ページの認証プロファイル 70 ページの認証シーケンス 92 ページの証明書プロファイル 72 ページのファイアウォールログ 78 ページの SNMP トラップの宛先の設定 80 ページの Syslog サーバーの設定 86 ページの電子メール通知設定の指定 87 ページのアラームの表示 88 ページの Netflow 設定の設定 89 ページのセキュリティ証明書のインポートエクスポートおよび生成 96 ページの高可用性 113 ページの仮想システム 117 ページのカスタムレスポンスページの定義 119 ページのサポート情報の表示 Palo Alto Networks デバイス管理 29

システムセットアップ設定およびライセンス管理システムセットアップ設定およびライセンス管理以下のセクションではネットワーク設定の定義方法とファイアウォール設定の管理方法についてします次のセクションの管理設定の定義 36 ページの操作設定の定義 40 ページのサービス設定の定義 43 ページのコンテンツ ID 設定の定義 45 ページのセッション設定の定義 47 ページの SNMP 48 ページの統計サービス 50 ページのライセンスのインストール注 :[WildFire] タブ設定の設定の詳細は 425 ページの WildFire の設定を参照してください管理設定の定義 [Device] > [ セットアップ ] > [ 管理 ] [ セットアップ ] ページではファイアウォールの管理操作サービスコンテンツ識別 WildFire マルウェア分析およびレポートおよびセッションの動作を設定できます管理ポートを使用しない場合ループバックインターフェイスを定義してループバックインターフェイスの IP アドレスを介してファイアウォールを管理できます (147 ページのループバックインターフェイスの設定を参照 ) 必要に応じてこのページで以下の作業を実行しますホスト名またはネットワーク設定を変更するにはページの最初のテーブルで [ 編集 ] をクリックし以下の情報を指定します表 1. 管理設定項目一般設定ホスト名ホスト名 ( 最大 31 文字 ) を入力します名前の大文字と小文字は区別されますまた一意の名前にする必要があります文字数字スペースハイフンおよびアンダースコアのみを使用してくださいドメインファイアウォールの完全修飾ドメイン名 (FQDN) を入力します ( 最大 31 文字 ) ログインバナーファイアウォールの [ ログイン ] ページに表示されるカスタムテキストを入力しますこのテキストは [ 名前 ] フィールドと [ パスワード ] フィールドの下に表示されます 30 デバイス管理 Palo Alto Networks

システムセットアップ設定およびライセンス管理表 1. 管理設定 ( 続き ) 項目タイムゾーン表示言語日時シリアル番号デバイス稼働場所コミットロックの自動実施証明書有効期限チェックファイアウォールのタイムゾーンを選択しますドロップダウンリストから PDF レポートの言語を選択します 270 ページの PDF サマリーレポートの管理を参照してください Web インターフェイスに特定の言語設定が設定されている場合でも PDF レポートではこの表示言語の設定で指定した言語が使用されます 23 ページのファイアウォール Web インターフェイスの使用の言語設定を参照してくださいファイアウォールの日時を設定するには [Set Time] をクリックします現在の日付 (YYYY/MM/DD) を入力するかカレンダーアイコンをクリックして月と日にちを選択します現在の時刻を 24 時間形式 (HH:MM:SS) で入力します [Device] > [ セットアップ ] > [ サービス ] から NTP サーバーを定義することもできます (Panorama のみ ) ファイアウォールのシリアル番号を入力しますファイアウォールの緯度 (-90.0 ~ 90.0) と経度 (-180.0 ~ 180.0) を入力します候補設定を変更するときにコミットロックを自動的に適用します詳細は 27 ページのトランザクションのロックを参照してくださいデバイス内の証明書が有効期限に近くなったときに警告メッセージを作成するようにファイアウォールに指示しますマルチ仮想システム機能複数の仮想システム ( ファイアウォールモデルでサポートされている場合 ) を使用できるようにするには [ セットアップ ] ページの上部にある [ マルチ仮想システム機能 ] の [ 編集 ] をクリックしますチェックボックスをオンにして [OK] をクリックします仮想システムの詳細は 113 ページの仮想システムを参照してください認証設定認証プロファイル証明書プロファイルアイドルタイムアウト許容ログイン回数ロックアウト時間管理者がファイアウォールへのアクセスに使用する認証プロファイルを選択します認証プロファイルの設定手順の詳細は 65 ページの認証プロファイルのセットアップを参照してくださいファイアウォールへの管理者アクセスに使用する証明書プロファイルを選択します証明書プロファイルの設定手順の詳細は 92 ページの証明書プロファイルを参照してくださいタイムアウト間隔 (1 ~ 1440 分 ) を入力します値を 0 にすると管理 Web または CLI のセッションがタイムアウトしなくなります Web インターフェイスや CLI の最大ログイン試行回数 (1 ~ 10 デフォルトは 0) を入力します (1 ~ 10 デフォルトは 0) 0 にすると無制限になります最大試行回数に達したときのユーザーのロックアウト時間 (0 ~ 60 分 ) を入力しますデフォルトは 0 で試行回数に上限はありません Palo Alto Networks デバイス管理 31

システムセットアップ設定およびライセンス管理表 1. 管理設定 ( 続き ) 項目 Panorama 設定 Panorama サーバー Palo Alto Networks の中央管理システムである Panorama の IP アドレスを入力します ( 存在する場合 ) Panorama を使用してデバイスを管理するにはサーバーのアドレスが必要です注 :Panorama が管理対象ファイアウォールに適用するポリシーを削除するには [Panorama ポリシーとオブジェクトを無効にする ] リンクをクリックしますポリシーとオブジェクトを Panorama から削除する前にローカルコピーをデバイスに保存する場合は開いているダイアログボックスの [ 無効にする前に Panorama ポリシーとオブジェクトをインポート ] チェックボックスをオンにします [OK] をクリックします注 : [ インポート ] チェックボックスをオンにするとポリシーとオブジェクトが現在の候補設定にコピーされますこの設定をコミットするとポリシーとオブジェクトは設定の一部となり Panorama による管理の対象外となりますデバイスおよびネットワークテンプレートを削除するには [ デバイスとネットワークテンプレートを無効にする ] リンクをクリックしますデバイスとネットワークテンプレートのローカルコピーを保持する場合は開いているダイアログボックスの [ デバイスとネットワークテンプレートを無効にする ] チェックボックスをオンにし [OK] をクリックします [ インポート ] チェックボックスをオンにするとデバイスとネットワークテンプレートで定義された設定が現在の候補設定にコピーされますこの設定をコミットするとこれらの項目は設定の一部となり Panorama による管理の対象外となります [ デバイスとネットワークテンプレートを有効にする ] をクリックするまでテンプレートはデバイスで受け入れられません Panorama サーバー 2 Panorama へのデータ受信のタイムアウト Panorama へのデータ送信のタイムアウト Panorama に送信される SSL のカウントの再試行未使用のアドレスとサービスオブジェクトをデバイスと共有 (Panorama のみ ) Panorama が高可用性 (HA) モードで動作している場合 HA 設定に含まれる 2 番目の Panorama システムを指定します Panorama から TCP メッセージを受信するときのタイムアウト (1 ~ 120 秒デフォルトは 20 秒 ) を入力します Panorama に TCP メッセージを送信するときのタイムアウト (1 ~ 120 秒デフォルトは 20 秒 ) を入力します Panorama に s レイヤー (SSL) メッセージを送信するときの再試行回数 (1 ~ 64 デフォルトは 25) を入力しますすべての Panorama 共有オブジェクトおよびデバイスグループ固有のオブジェクトを管理対象デバイスで共有するにはこのチェックボックスをオンにしますオフにすると Panorama ポリシーのアドレスアドレスグループサービスおよびサービスグループオブジェクトへの参照がチェックされ参照されないオブジェクトは共有されませんこのオプションによりオブジェクトの合計数を削減するために必要なオブジェクトのみが管理対象デバイスに送信されます 32 デバイス管理 Palo Alto Networks

システムセットアップ設定およびライセンス管理表 1. 管理設定 ( 続き ) 項目共有オブジェクトが優先されます (Panorama のみ ) 管理インターフェイス設定速度 IP アドレスネットマスクデフォルトゲートウェイ IPv6 アドレス / プレフィックスデフォルト IPv6 ゲートウェイ共有オブジェクトがデバイスグループオブジェクトよりも優先されることを指定するにはこのチェックボックスをオンにしますこのオプションはシステム全体の設定でありデフォルトではオフになっていますこのオプションをオフにするとデバイスグループによって同じ名前の対応するオブジェクトがオーバーライドされますこのオプションがオン ( 選択 ) になっているとデバイスグループによって共有の場所にある同じ名前の対応するオブジェクトがオーバーライドされず共有オブジェクトとしての同じ名前のデバイスグループオブジェクトは廃棄されます管理インターフェイスのデータ速度とデュプレックスオプションを設定しますフルデュプレックスまたはハーフデュプレックスで 10Mbps 100Mbps 1Gbps のいずれかを選択できますファイアウォールにインターフェイス速度を決定させるにはデフォルトのオートネゴシエート設定を使用しますこの設定は隣接するネットワーク機器のポート設定と一致する必要があります管理ポートの IP アドレスを入力しますまたはループバックインターフェイスの IP アドレスを使用してデバイスを管理することもできますこのアドレスはリモートログの送信元アドレスとして使用されます IP アドレスのネットワークマスク ( 255.255.255.0 など ) を入力しますデフォルトルータの IP アドレスを入力します ( 管理ポートと同じサブネットにする必要があります ) ( 任意 ) 管理ポートの IPv6 アドレスを入力しますネットマスクを示すために IPv6 プレフィックスの長さが必要です ( たとえば 2001:400:f00::1/64) 管理ポートに IPv6 アドレスを割り当てた場合デフォルトルータの IPv6 アドレスを入力します ( 管理ポートと同じサブネットにする必要があります ) サービス指定した管理インターフェイスのアドレスで有効にするサービス (HTTP HTTPS Telnet Secure Shell (SSH) ping) を選択しますアクセス許可 IP アドレスロギングおよびレポート設定ログ保存エリアユーザーアクティビティレポートの最大行数ファイアウォール管理が許可される IP アドレスのリストを入力しますハードディスクの各ログタイプに割り当てる容量のパーセンテージを指定しますパーセント値を変更する場合関連付けられたディスクの割り当ては自動的に変更しますすべての値の合計が 100% を超える場合ページ上にメッセージが赤で表示され設定を保存しようとするときにエラーメッセージが提示されますこれが発生する場合合計が 100% の上限を超えないようにパーセンテージを再調整します [OK] をクリックして設定を保存し [ デフォルトの復元 ] をクリックしてすべてのデフォルト設定を復元します注 : ログが最大サイズに達すると最も古いエントリから上書きが始まります既存のログを現在のサイズよりも小さくサイズ変更する場合その変更をコミットした直後にファイアウォールによってログの削減が開始されます ( 最も古いログが最初に削除されます ) 詳細なユーザーアクティビティレポートでサポートされる最大行数 (1 ~ 1048576 デフォルトは 65535) を入力します Palo Alto Networks デバイス管理 33

システムセットアップ設定およびライセンス管理表 1. 管理設定 ( 続き ) 項目 CSV エクスポートの最大行数設定監査のバージョン数設定バックアップのバージョン数平均ブラウズ時間 ( 秒 ) ページロードしきい値 ( 秒 ) Syslog メッセージ内にホスト名を含める LogDb 容量超過時トラフィック転送を停止 DP 高負荷時にログを有効にするトラフィックログビューの [CSV にエクスポート ] アイコンで生成される CSV レポートに表示される最大行数 ( 範囲は 1 ~ 1048576 デフォルトは 65535) を入力します保存可能な設定監査のバージョン数を入力します ( デフォルトは 100) この数を超えると最も古いバージョンが廃棄されます (Panorama のみ ) 保存可能な設定バックアップ数を入力します ( デフォルトは 100) この数を超えると最も古い設定バックアップが廃棄されますユーザーアクティビティレポートのブラウズ時間計算方法を調整するにはこの変数を設定します計算対象としては Web 広告やコンテンツ配信ネットワークとして分類されたサイトは無視されますブラウズ時間の計算は URL フィルタリングログに記録されたコンテナページに基づきます計算に含めるべきではない外部サイトからコンテンツをロードするサイトが多くあるためコンテナページがこの計算の基準として使用されますコンテナページの詳細は 44 ページのコンテナページを参照してください平均ブラウズ時間の設定は管理者が想定するユーザーが Web ページを閲覧する平均時間です平均ブラウズ時間が経過した後に行われたリクエストは新しいブラウズアクティビティと見なされます計算対象からは最初のリクエスト時間 ( 開始時間 ) から平均ブラウズ時間までの間にロードされる新しい Web ページは無視されますこの動作は任意の Web ページ内にロードされる外部サイトを除外するために設計されていますたとえば平均ブラウズ時間が 2 分に設定されている場合はユーザーが Web ページを開きそのページを 5 分間閲覧してもそのページのブラウズ時間は 2 分になりますユーザーがあるページを閲覧する時間を判断する方法がないためこのような動作が設定されています ( 範囲は 0 ~ 300 秒デフォルトは 60 秒 ) ユーザーアクティビティレポートのブラウズ時間計算方法を調整するにはこの変数を設定しますこのオプションを使用するとページ要素がページにロードされるまでの推定時間を調整できます最初のページのロードからページロードしきい値までの間に発生するリクエストはページの要素と見なされますページロードしきい値の範囲外で発生するリクエストはページ内のリンクをユーザーがクリックしたものと見なされます ( 範囲は 0 ~ 60 秒デフォルトは 20 秒 ) Syslog メッセージでデバイスのホスト名フィールドを送信するにはこのチェックボックスをオンにしますこのオプションが設定されている場合 Syslog メッセージのヘッダーにファイアウォールデバイスのホスト名が含まれますログデータベースに空きがない場合にファイアウォール経由のトラフィックを停止するにはこのチェックボックスをオンにします ( デフォルトはオフ ) デバイスの負荷が大きい場合にシステムログエントリが生成されるようにするにはこのチェックボックスをオンにします ( デフォルトはオフ ) 34 デバイス管理 Palo Alto Networks

システムセットアップ設定およびライセンス管理表 1. 管理設定 ( 続き ) 項目パスワード複雑性設定有効ローカルアカウントのパスワードの最小要件を有効にしますこの機能を使用すると定義されたパスワード要件がファイアウォールのローカル管理者アカウントで確実に順守されますこれらのオプションのサブセットを使用したパスワードプロファイルを作成し設定をオーバーライドしたり特定のアカウントに適用したりすることもできます詳細は 61 ページのパスワードプロファイルの定義を参照してくださいアカウントで使用できる有効な文字の詳細は 59 ページのユーザー名とパスワードの要件を参照してください注 : 入力できるパスワードの最大文字数は 31 です要件を設定するときには許容されない組み合わせを作成しないようにしてくださいたとえば大文字 10 個小文字 10 個数字 10 個特殊文字 10 個の要件は最大文字数の 31 を超えるため設定できません注 : 高可用性 (HA) を設定してある場合はパスワード複雑性のオプションを設定するときに必ずプライマリデバイスを使用し変更を加えた後にすぐにコミットしてください最少文字数最少大文字数最少小文字数最少数字数最少特殊文字数繰り返し文字のブロックユーザー名を含むパスワードを禁止 ( 逆順を含む ) 文字が異なる新規パスワード初回ログイン時にパスワードの変更を要求パスワードの再使用禁止制限パスワード変更期間のブロック ( 日 ) パスワード有効期限 ( 日数 ) 失効の警告期間 ( 日数 ) 最少で 1 ~ 15 文字が必要です最少で 0 ~ 15 文字の大文字が必要です最少で 0 ~ 15 文字の小文字が必要です最少で 0 ~ 15 文字の数字が必要です最少で 0 ~ 15 文字の特殊文字 ( 英数字以外 ) が必要です指定した値に基づいて繰り返し文字を禁止しますたとえば値を 4 に設定する場合 test2222 というパスワードは受け入れられませんが test222 は受け入れられます ( 範囲は 2 ~ 15) アカウントユーザー名 ( または名前の逆読みバージョン ) がパスワードで使用されないようにするにはこのチェックボックスをオンにします管理者が自分のパスワードを変更するときに文字は指定した値によって異なる必要があります管理者がデバイスに初めてログインするときにパスワードの変更を求めるプロンプトを表示するにはこのチェックボックスをオンにします指定した数に基づいて以前のパスワードを再使用しないように要求しますたとえば値を 4 に設定すると直近のパスワード 4 つを再使用することができません ( 範囲は 0 ~ 50) 指定した日数が経過するまでユーザーはパスワードを変更できません ( 範囲は 0 ~ 365 日 ) 設定された日数 (0 ~ 365 日 ) で指定されたとおりに管理者は定期的にパスワードを変更する必要がありますたとえば値を 90 に設定すると管理者に 90 日ごとにパスワードの変更を求めるプロンプトが表示されます失効の警告を 0 ~ 30 日の範囲で設定して猶予期間を指定することもできます必須のパスワード変更期間を設定するとこの設定を使用して強制パスワード変更日が近づくとユーザーがログインするたびにパスワードの変更を求めるプロンプトを表示できます ( 範囲は 0 ~ 30 日 ) Palo Alto Networks デバイス管理 35

システムセットアップ設定およびライセンス管理表 1. 管理設定 ( 続き ) 項目許可された管理者失効ログイン ( 数 ) 失効後の猶予期間 ( 日数 ) アカウントが失効した後に管理者は指定した回数ログインできますたとえば値を 3 に設定しアカウントが失効した場合管理者はアカウントがロックアウトされるまで 3 回ログインすることができます ( 範囲は 0 ~ 3 回 ) アカウントが失効した後に管理者は指定した日数ログインできます ( 範囲は 0 ~ 30 日 ) 操作設定の定義 [Device] > [ セットアップ ] > [ 操作 ] 設定を変更して [OK] をクリックするとアクティブコンフィグではなく現在の候補設定が更新されますページ上部の [ コミット ] をクリックすると候補設定が実行中の設定に適用され前回のコミットからの設定の変更がすべてアクティベーションされますこの方法によって設定をアクティベーションする前に確認できます複数の変更を同時にアクティベーションすると変更をリアルタイムに適用するときに発生することがある無効な設定状態を回避できます候補設定は必要に応じて何回でも保存やロールバック ( 復元 ) ができますまた設定の読み込み検証インポートおよびエクスポートを行うこともできます [ 保存 ] をクリックすると現在の候補設定のコピーが作成され [ コミット ] を選択するとアクティブコンフィグが候補設定の内容で更新されます注 : 画面の右上隅にある [ 保存 ] リンクをクリックして入力した設定を定期的に保存することをお勧めします設定を管理するには以下の表でするように該当する設定管理機能を選択します表 2. 設定管理機能機能設定の管理候補設定の検証最後に保存した設定に戻す実行中の設定に戻す名前付き設定スナップショットの保存候補設定の保存候補設定にエラーがないかどうかが確認されます最後に保存された候補設定がフラッシュメモリから復元されます現在の候補設定は上書きされます候補設定が保存されていない場合エラーが発生します前回の実行中の設定が復元されます現在の実行中の設定はオーバーライドされます候補設定がファイルに保存されますファイル名を入力するか上書きする既存のファイルを選択します現在のアクティブコンフィグファイル (running-config.xml) はオーバーライドできません候補設定がフラッシュメモリに保存されます ( ページ上部の [ 保存 ] をクリックした場合と同様 ) 36 デバイス管理 Palo Alto Networks

システムセットアップ設定およびライセンス管理表 2. 設定管理機能 ( 続き ) 機能名前付き設定スナップショットのロード設定バージョンのエクスポート名前付き設定スナップショットのエクスポート設定バージョンのエクスポートデバイス状態のエクスポート名前付き設定スナップショットのインポートデバイス状態のインポートアクティブコンフィグ (running-config.xml) や以前にインポートまたは保存された設定から候補設定が読み込まれますロードする設定ファイルを選択します現在の候補設定は上書きされます指定したバージョンの設定が読み込まれますアクティブコンフィグ (running-config.xml) や以前に保存またはインポートされた設定がエクスポートされますエクスポートする設定ファイルを選択しますこのファイルは開いたりネットワーク上に保存したりすることができます指定したバージョンの設定がエクスポートされますこの機能は大規模な VPN 機能が有効にされた GlobalProtect ポータルとして設定されているファイアウォールから設定および動的情報をエクスポートするために使用しますポータルで障害が発生した場合エクスポートファイルをインポートしてポータルの設定および動的情報を復元できますエクスポートにはポータルで管理されるすべてのサテライトデバイスのリストエクスポート時の実行中の設定およびすべての証明書情報 ( ルート CA サーバーおよびサテライト証明書 ) が含まれます重要 : デバイス状態のエクスポートを手動で実行するかスケジュール設定された XML API スクリプトを作成しリモートサーバーにファイルをエクスポートする必要がありますサテライト証明書は頻繁に変更される可能性があるのでこの操作を定期的に行う必要があります CLI からデバイス状態ファイルを作成するには設定モードで save device state を実行しますファイルには device_state_cfg.tgz という名前が付けられ /opt/pancfg/ mgmt/device-state に保存されますデバイス状態ファイルをエクスポートする操作コマンドは scp export device-state です (tftp export device-state を使用することもできます ) XML API の使用の詳細は https://live.paloaltonetworks.com/community/ documentation にある PAN-OS XML-Based Rest API Usage Guide (PAN- OS XML ベースの Rest API 利用ガイド ) を参照してください 327 ページの GlobalProtect 大規模 VPN 導入を参照してくださいネットワーク上から設定ファイルがインポートされます [ 参照 ] をクリックしてインポートする設定ファイルを選択します [ デバイス状態のエクスポート ] オプションを使用してエクスポートされたデバイス状態の情報をインポートしますこれには現在の実行中の設定 Panorama テンプレート共有ポリシーが含まれますデバイスが Global Protect ポータルの場合エクスポートには認証局 (CA) 情報サテライトデバイスおよび認証情報のリストが含まれます Palo Alto Networks デバイス管理 37

システムセットアップ設定およびライセンス管理表 2. 設定管理機能 ( 続き ) 機能デバイスの操作デバイスの再起動デバイスのシャットダウンファイアウォールを再起動するには [ デバイスの再起動 ] をクリックしますユーザーはログアウトされ PAN-OS ソフトウェアとアクティブコンフィグが再読み込みされますまた既存のセッションが終了しログに記録されシャットダウンを開始した管理者名を示すシステムログエントリが作成されます保存またはコミットされていない設定の変更は失われます (36 ページの操作設定の定義を参照 ) 注 :Web インターフェイスを使用できない場合は CLI コマンド request restart system を使用します詳細は PAN-OS Command Line Interface Reference Guide (PAN-OS コマンドラインインターフェイスリファレンスガイド ) を参照してくださいファイアウォールのグレースフルシャットダウンを実行するには [ デバイスのシャットダウン ] をクリックし確認のプロンプトで [Yes] をクリックします保存またはコミットされていない設定の変更は失われますすべての管理者がログオフされ以下のプロセスが発生しますすべてのログインセッションがログオフされますインターフェイスが無効になりますすべてのシステムプロセスが停止します既存のセッションが終了しログに記録されますシャットダウンを開始した管理者名を示すシステムログが作成されますこのログエントリを書き込めない場合は警告が表示されシステムはシャットダウンしませんディスクドライブが正常にアンマウントされデバイスの電源がオフになりますデバイスの電源をオンにするには電源のプラグを抜いてから差し込み直す必要があります注 : Web インターフェイスを使用できない場合は CLI コマンド request shutdown system を使用します詳細は PAN-OS Command Line Interface Reference Guide (PAN-OS コマンドラインインターフェイスリファレンスガイド ) を参照してくださいデータプレーンの再起動リブートせずにファイアウォールのデータ機能をリスタートするには [ データプレーンの再起動 ] をクリックしますこのオプションは PA-200 では使用できません注 :Web インターフェイスを使用できない場合は CLI コマンド request restart dataplane を使用します詳細は PAN-OS Command Line Interface Reference Guide (PAN-OS コマンドラインインターフェイスリファレンスガイド ) を参照してください 38 デバイス管理 Palo Alto Networks

システムセットアップ設定およびライセンス管理表 2. 設定管理機能 ( 続き ) 機能その他カスタムロゴ SNMP のセットアップ統計サービスのセットアップこのオプションを使用して以下をカスタマイズしますログイン画面の背景イメージメイン UI ( ユーザーインターフェイス ) ヘッダーのイメージ PDF レポートのタイトルページのイメージ 270 ページの PDF サマリーレポートの管理を参照してください PDF レポートフッターのイメージをクリックしてイメージファイルをアップロードしをクリックしてプレビューしをクリックして以前にアップロードしたイメージを削除します以下の内容に注意してくださいサポートされているファイルタイプは png gif および jpg ですデフォルトのロゴに戻るにはエントリを削除してコミットします任意のロゴイメージの最大イメージサイズは 128 KB ですログイン画面と主要なユーザーインターフェイスのオプションではをクリックするとこれから表示されるイメージが表示されます必要な場合イメージを切り取って収められます PDF レポートの場合イメージは切り取られずに自動的にサイズ変更されて収まりますすべてのケースにおいてプレビューは推奨されるイメージのサイズを表示します PDF レポートの生成の詳細は 270 ページの PDF サマリーレポートの管理を参照してください SNMP パラメータを指定します 47 ページの SNMP を参照してください統計サービスの設定を指定します 48 ページの統計サービスを参照してください注 :[ コミット ] をクリックするか commit CLI コマンドを入力すると Web インターフェイスおよび CLI で行った前回のコミット以降の変更がすべてアクティベーションされます競合を回避するには 27 ページのトランザクションのロックでされているようにトランザクションロック機能を使用します Palo Alto Networks デバイス管理 39

システムセットアップ設定およびライセンス管理サービス設定の定義 [Device] > [ セットアップ ]> [ サービス ] [ サービス ] タブを使用して Domain Name System (DNS) Network Time Protocol (NTP) 更新サーバープロキシサーバーおよびサービスルートの設定を定義します表 3. サービス設定機能 DNS プライマリ DNS サーバー DNS サービスのタイプを選択しますこの設定は FQDN アドレスオブジェクトログおよびデバイス管理のサポートでファイアウォールによって開始されるすべての DNS クエリで使用されますオプションには次の内容が含まれますドメイン名解決に対するプライマリおよびセカンダリ DNS サーバーファイアウォールに設定された DNS プロキシプライマリ DNS サーバーの IP アドレスまたはホスト名を入力しますこのサーバーは更新サーバーの検出ログの DNS エントリの解決 FDQN ベースのアドレスオブジェクトなどのためにファイアウォールから DNS クエリを行う場合に使用されますセカンダリ DNS サーバープライマリサーバーを使用できない場合使用するセカンダリ DNS サーバーの IP アドレスまたはホスト名を入力します ( 任意 ) プライマリ NTP サーバーセカンダリ NTP サーバー更新サーバー保護されたプロキシサーバー保護されたプロキシポート保護されたプロキシユーザー保護されたプロキシパスワード再入力保護されたプロキシパスワードプライマリ NTP サーバーの IP アドレスまたはホスト名を入力します ( 存在する場合 ) NTP サーバーを使用しない場合デバイスの時刻を手動で設定できますプライマリサーバーを使用できない場合使用するセカンダリ NTP サーバーの IP アドレスまたはホスト名を入力します ( 任意 ) この設定は Palo Alto Networks から更新ファイルをダウンロードするのに使用されるサーバーの IP アドレスまたはホスト名を表します現在値は updates.paloaltonetworks.com ですテクニカルサポートから指示がない限りこのサーバー名は変更しないでくださいデバイスがプロキシサーバーを使用して Palo Alto Networks 更新サービスにアクセスする必要がある場合はサーバーの IP アドレスまたはホスト名を入力しますプロキシサーバーを指定する場合ポートを入力しますプロキシサーバーを指定する場合サーバーにアクセスするためのユーザー名を入力しますプロキシサーバーを指定する場合サーバーにアクセスするユーザーのパスワードを入力して確認します 40 デバイス管理 Palo Alto Networks

システムセットアップ設定およびライセンス管理表 3. サービス設定 ( 続き ) 機能サービスルートの設定 [DNS] [ 電子メール ] [Palo Alto Updates] [NTP] などファイアウォールがサービス通信のために他のサーバーまたはデバイスと通信する方法を指定しますすべての通知で組み込みの管理ポート (MGT) を使用するには [ すべてに管理インターフェイスを使用 ] を選択しますまたはサービスごとに詳細な制御を行うためにさまざまなインターフェイスを使用する場合は特定の送信元 IP アドレスを定義しますたとえばファイアウォールと電子メールサーバー間のすべての電子メール通信に使用するインターフェイスの特定の送信元 IP を設定し Palo Alto 更新には別の送信元 IP またはインターフェイスを使用できます [ サービスルートの設定 ] をクリックし以下を設定しますすべてに管理インターフェイスを使用外部サーバーとのファイアウォールサービス通信はすべて強制的に管理インターフェイス (MGT) を使用して行われますこのオプションを選択する場合ファイアウォールとサービスを提供するサーバーまたはデバイスとの間の通信を許可するように MGT インターフェイスを設定する必要があります MGT インターフェイスを設定するには [Device] > [ セットアップ ] > [ 管理 ] タブに移動し [ 管理インターフェイス設定 ] を編集します Select サービス通信の詳細な制御を設定するにはこのオプションを選択します使用可能なサービスのリストと送信元アドレスを選択するドロップダウンを表示するテーブルが表示されます目的のサービスを選択し [ 送信元アドレス ] ドロップダウンリストから送信元アドレスを選択します送信元アドレスとはサービストラフィックの送信元となるインターフェイスに割り当てられた IP アドレスを指します宛先は特定のサービスを設定するときに設定されるため宛先アドレスを定義する必要はありませんたとえば [Device] > [ セットアップ ] > [ サービス ] タブの [ サービス ] で DNS サーバーを定義すると DNS クエリの宛先が設定されます Palo Alto Networks デバイス管理 41

システムセットアップ設定およびライセンス管理表 3. サービス設定 ( 続き ) 機能サービスルートの設定 ( 続き ) [ 宛先 ] フィールドと [ 送信元アドレス ] フィールドルートを指定するサービスが [ サービス ] 列に表示されていない場合は [ 宛先 ] フィールドと [ 送信元アドレス ] フィールドを使用して他のサービスで使用されるルートを定義できますリストに表示されないサービスには Kerberos LDAP および Panorama ログコレクタ通信などがあります宛先アドレスのサブネットは入力する必要がありませんマルチテナント環境では共通サービスで異なる送信先アドレスが必要な宛先 IP ベースのサービスルートが必要になりますたとえば 2 つのテナントが RADIUS を使用する必要がある場合がそうですサービスをルーティングするために使用されるインターフェイスにルーティングとポリシーが適切に設定されていることが重要ですたとえば Kerberos 認証リクエストのルートを MGT ポート以外のインターフェイスに指定する場合 Kerberos はデフォルトの [ サービス ] 列には表示されないので [ サービスルートの設定 ] ウィンドウの右側のセクションで [ 宛先 ] と [ 送信元アドレス ] を設定する必要があります例として Ethernet1/3 の送信元 IP アドレスが 192.168.2.1 で Kerberos サーバーの宛先が 10.0.0.240 であるとしますこの場合はデフォルトのルートを使用する既存の仮想ルーターに Ethernet1/3 を追加する必要がありますまたは [Network] > [ 仮想ルーター ] から新しい仮想ルーターを作成し必要に応じてスタティックルートを追加することができますこれによりインターフェイスのすべてのトラフィックは確実に仮想ルーター経由でルーティングされ適切な宛先に到達しますこの場合宛先アドレスは 10.0.0.240 で Ethernet1/3 の送信元 IP は 192.168.2.1/24 です宛先と送信元アドレスの CLI 出力は以下のようになります PA-200-Test# show route destination { 10.0.0.240 { source address 192.168.2.1/24 } この設定ではインターフェイス Ethernet1/3 のすべてのトラフィックは仮想ルーターで定義されたデフォルトのルートを使用して 10.0.0.240 に送信されます 42 デバイス管理 Palo Alto Networks

システムセットアップ設定およびライセンス管理コンテンツ ID 設定の定義 [Device] > [ セットアップ ] > [ コンテンツ ID] [ コンテンツ ID] タブを使用して URL フィルタリングデータ保護およびコンテナページの設定を定義します表 4. コンテンツ ID 設定機能 URL フィルタリングダイナミック URL キャッシュのタイムアウト URL コンティニュータイムアウト URL 管理オーバーライドタイムアウト URL 管理ロックアウトタイムアウト x-forwarded-for ヘッダ情報の記録 x-forwarded-for 除去復号化されたコンテンツの転送を許可 [ 編集 ] をクリックしタイムアウト値 ( 時間単位 ) を入力しますこの値はダイナミック URL フィルタリングで使用されこの値によりエントリが URL フィルタリングサービスから返された後にキャッシュに保持される期間が決定しますこのオプションは BrightCloud データベースのみを使用する URL フィルタリングに適用されます URL フィルタリングの詳細は 217 ページの URL フィルタリングプロファイルを参照してくださいユーザーの [continue] アクションのタイムアウト時間を指定します ( 範囲は 1 ~ 86400 分デフォルトは 15 分 ) この時間に達する前に同じカテゴリの URL に対して [continue] をもう一度押す必要がありますユーザーが管理オーバーライドパスワードを入力したあとタイムアウトするまでの時間を指定します ( 範囲は 1 ~ 86400 分デフォルトは 900 分 ) この時間に達する前に同じカテゴリの URL に対して管理オーバーライドパスワードを再入力する必要がありますユーザーが URL 管理オーバーライドパスワードの試行が 3 回失敗したときに試行からロックアウトされる時間を指定します (1 ~ 86400 分デフォルトは 1800 分 ) 送信元 IP アドレスが含まれている X-Forwarded-For ヘッダーを含めますこのオプションをオンにするとファイアウォールによって HTTP ヘッダーに X-Forwarded-For ヘッダーがあるかどうかが検査されますプロキシでは X-Forwarded-For ヘッダーを使用して元のユーザーの送信元 IP アドレスを保持できますシステムによってこの値が取得されて URL ログの [ 送信元ユーザー ] フィールドに Src: x.x.x.x が配置されます (x.x.x.x はヘッダーから読み込まれる IP アドレスです ) 送信元 IP アドレスが含まれている X-Forwarded-For ヘッダーを削除しますこのオプションをオンにするとファイアウォールによってリクエストを転送する前にヘッダーの値がゼロに設定されるため転送されるパケットには内部送信元 IP 情報が含まれなくなりますファイアウォールで外部のサービスに復号化されたコンテンツの転送を許可するにはこのチェックボックスをオンにしますたとえばこのオプションを設定すると分析のためにファイアウォールから WildFire へ復号化されたコンテンツを送信できますマルチ VSYS 設定の場合このオプションは VSYS ごとに設定されます Palo Alto Networks デバイス管理 43

システムセットアップ設定およびライセンス管理表 4. コンテンツ ID 設定 ( 続き ) 機能 URL 管理オーバーライド URL 管理オーバーライドの設定データ保護の管理ページが URL フィルタリングプロファイルによってブロックされ [ オーバーライド ] アクションが指定されている場合に使用される設定を指定します 217 ページの URL フィルタリングプロファイルを参照してください [ 追加 ] をクリックし URL 管理オーバーライドに設定する仮想システム毎に以下を設定します場所ドロップダウンリストから仮想システムを選択します ( マルチ VSYS デバイスのみ ) パスワード / パスワード再入力ブロックページをオーバーライドするためにユーザーが入力する必要があるパスワードを入力しますサーバー証明書指定したサーバーを介してリダイレクトされたときに SSL 通信で使用するサーバー証明書を選択しますモードブロックページが透過的に配信されるか ( ブロックされた Web サイトから発信したように見える ) 指定したサーバーにユーザーをリダイレクトするかを決定します [ リダイレクト ] を選択した場合リダイレクトするための IP アドレスを入力しますエントリを削除するにはをクリックしますクレジットカード番号や社会保障番号など重要な情報を含むログへのアクセスに対し拡張防御を追加します [ データ保護の管理 ] をクリックし以下を設定します新しいパスワードを設定するには ( まだ設定していない場合 ) [ パスワードの設定 ] をクリックしますパスワードを入力し確認のために再入力しますパスワードを変更するには [ パスワードの変更 ] をクリックします現在のパスワードを入力し新しいパスワードを入力し確認のために新しいパスワードを再入力しますパスワードと保護されていたデータを削除するには [ パスワードの削除 ] をクリックしますコンテナページコンテンツタイプ ( たとえば application/pdf application/soap+xml application/xhtml+ text/html text/plain text/xml) に基づいてファイアウォールで追跡または記録する URL のタイプを指定するにはこれらの設定を使用します [ 場所 ] ドロップダウンリストから選択する仮想システム毎にコンテナページが設定されます仮想システムに明示的なコンテナページが定義されていない場合デフォルトのコンテンツタイプが使用されます [ 追加 ] をクリックしコンテンツタイプを入力または選択します仮想システムの新しいコンテンツタイプを追加するとコンテンツタイプのデフォルトのリストがオーバーライドされます仮想システムに関連付けられているコンテンツタイプがない場合コンテンツタイプのデフォルトのリストが使用されます 44 デバイス管理 Palo Alto Networks

システムセットアップ設定およびライセンス管理セッション設定の定義 [Device] > [ セットアップ ] > [ セッション ] [ セッション ] タブでは IPv6 トラフィックのファイアウォールおよびポリシー変更時の既存のセッションへのセキュリティポリシーの再マッチングなどのセッションのエイジアウト時間とグローバルなセッション関連の設定を設定できます表 5. セッション設定フィールドセッション設定セッションの再マッチング ICMPv6 トークンバケットサイズ ICMPv6 エラーパケット速度 Jumbo Frame Jumbo Frame の MTU IPv6 ファイアウォールの有効化 NAT64 IPv6 最小 MTU セッション保持時間自動短縮セッションタイムアウトタイムアウト [ 編集 ] をクリックし [ 設定ポリシー変更のすべてのセッションを再マッチング ] チェックボックスをオンにしますたとえば以前は許可されていた Telnet が前回のコミットで [ 拒否 ] に変更されたとしますデフォルトの動作ではコミット前に開始した Telnet セッションは再マッチングされてブロックされます ICMPv6 エラーメッセージの帯域制限に対応するバケットサイズを入力しますトークンバケットサイズは ICMPv6 エラーパケットのバーストをどの程度許容するかを制御するトークンバケットアルゴリズムのパラメータです ( 範囲は 10 ~ 65535 パケットデフォルトは 100) 全体として 1 秒間に許容される ICMPv6 エラーパケットの平均数を入力します ( 範囲は 10 ~ 65535 パケット / 秒デフォルトは 100) この値はすべてのインターフェイスに適用されますジャンボフレームのサポートを有効にする場合に選択しますジャンボフレームの最大 MTU は 9192 で特定のプラットフォームで使用できます http:// www.paloaltonetworks.com で入手できるファイアウォールモデルのスペックシートを参照してください IPv6 のファイアウォール機能を有効にするには [ 編集 ] をクリックして [IPv6 ファイアウォール設定 ] チェックボックスをオンにします IPv6 が有効になっていないと IPv6 ベースの設定はすべて無視されます IPv6 変換トラフィックのグローバル MTU 設定を変更できます ( デフォルトは 1280) デフォルトは IPv6 トラフィックの標準の最小 MTU に基づきますアイドル状態のセッションの加速されたエージングアウトを許可します加速されたエージングを有効にしてしきい値 (%) と倍率を指定するにはこのチェックボックスをオンにしますセッションテーブルが [ セッション保持時間短縮の開始しきい値 ] (% フル ) に達すると [ セッション保持時間短縮倍率 ] がすべてのセッションのエージング計算に適用されますセッションのアイドル状態の時間は実際のアイドル時間に倍率をかけて計算されますたとえば 10 の倍率が使用された場合 3600 秒後ではなく 360 秒後にセッションがタイムアウトします各カテゴリのタイムアウトを秒数で指定します範囲とデフォルトが表示されています Palo Alto Networks デバイス管理 45

システムセットアップ設定およびライセンス管理表 5. セッション設定 ( 続き ) フィールドセッション機能暗号証明書失効の設定有効化受信の有効期限 OCSP の有効化受信の有効期限証明書の状態が不明なセッションをブロックします証明書の状態のチェックがタイムアウトしたセッションをブロックします証明書の有効期限ファイアウォールの証明書管理オプションを設定する場合に選択します証明書無効リスト (CRL) を使用して SSL 証明書の有効性を確認するにはこのチェックボックスをオンにします信頼された認証局 (CA) はそれぞれ CRL を管理し SSL 証明書が SSL 復号化に有効かどうか ( 無効でないか ) を判断しますオンライン証明書状態プロトコル (OCSP) を使用することでも証明書の無効状態を動的に確認することができます SSL 復号化の詳細は 202 ページの復号化ポリシーを参照してください CRL リクエストがタイムアウトして状態が不明と判断されるまでの時間を指定します (1 ~ 60 秒 ) OCSP を使用して SSL 証明書の有効性を確認するにはこのチェックボックスをオンにします OCSP リクエストがタイムアウトして状態が不明と判断されるまでの時間を指定します (1 ~ 60 秒 ) 検証できない証明書をブロックするにはこのチェックボックスをオンにします証明書情報リクエストがタイムアウトした場合に証明書をブロックするにはこのチェックボックスをオンにします証明書状態のリクエストがタイムアウトするまでの時間を入力します (1 ~ 60 秒 ) 46 デバイス管理 Palo Alto Networks

システムセットアップ設定およびライセンス管理 SNMP [Device] > [ セットアップ ] > [ 操作 ] SNMPv2c および SNMPv3 の SNMP 管理情報ベース (MIB) へのアクセスを定義するにはこのページを使用します [ セットアップ ] ページの [SNMP のセットアップ ] をクリックし以下の設定を指定します MIB モデルはシステムによって生成されたすべての SNMP トラップを定義しますシステム内の各イベントログは独自のオブジェクト識別子 (OID) を使用した独立した SNMP トラップとして定義されイベントログ内の各フィールドは変数のバインド (varbind) リストとして定義されます表 6. SNMP のセットアップフィールド場所連絡先イベント固有のトラップ定義を使用バージョンファイアウォールの物理的な場所を指定しますファイアウォールの管理者の名前や電子メールアドレスを入力しますこの設定は標準システム情報の MIB でレポートされますイベントタイプに基づいて各 SNMP トラップの一意の OID を使用するにはこのチェックボックスをオンにします ( デフォルトはオン ) SNMP バージョン (V2c または V3) を選択しますこの設定で MIB 情報へのアクセスを制御しますデフォルトでは V2c が public コミュニティ文字列に選択されています V2c の場合以下の設定を設定します SNMP コミュニティ名ファイアウォールのアクセスに使用する SNMP コミュニティ文字列を入力します ( デフォルトは [public]) V3 の場合以下の設定を設定します表示 [ 追加 ] をクリックして以下の設定を指定します名前ビューのグループ名を指定します表示ビューの名前を指定します OID オブジェクト識別子 (OID) ( たとえば 1.2.3.4) を指定しますオプション OID をビューに含めるのかビューから除外するのかを選択しますマスク OID に適用するフィルタのマスク値を 16 進数形式で指定します ( たとえば 0xf0) ユーザー [ 追加 ] をクリックして以下の設定を指定しますユーザーユーザー名を指定します表示ユーザーのビューのグループを指定します認証パスワードユーザーの認証パスワードを指定します ( 最小 8 文字最大 256 文字文字制限なし ) あらゆる文字を使用できます Secure Hash Algorithm (SHA) だけがサポートされています専用パスワードユーザーの暗号化パスワードを指定します ( 最小 8 文字最大 256 文字文字制限なし ) Advanced Encryption Standard (AES) だけがサポートされています Palo Alto Networks デバイス管理 47

システムセットアップ設定およびライセンス管理統計サービス [Device] > [ セットアップ ] > [ 操作 ] 統計サービス機能ではアプリケーション脅威およびクラッシュに関する匿名情報をファイアウォールから Palo Alto Networks 調査チームに送信できますこの情報を収集することで調査チームは実際の情報に基づいて Palo Alto Networks 製品の有効性を継続的に改善することができますこのサービスはデフォルトでは無効になっています有効にすると情報は 4 時間おきにアップロードされますファイアウォールで以下のタイプの情報を送信することを許可できますアプリケーションおよび脅威レポート不明なアプリケーションレポート URL レポートクラッシュのデバイストレース送信される統計レポートのコンテンツのサンプルを表示するにはレポートアイコンをクリックします [ レポートサンプル ] タブが開きレポートコードが表示されますレポートを表示するには目的のレポートの横のチェックボックスをクリックし [ レポートサンプル ] タブをクリックします 48 デバイス管理 Palo Alto Networks

設定ファイルの比較設定ファイルの比較 [Device] > [ 設定監査 ] 設定ファイルを表示および比較するには [ 設定監査 ] ページを使用しますドロップダウンリストから比較する設定を選択しますコンテキストに含める行数を選択して [ 実行 ] をクリックします以下の図のように差異が強調された状態で設定が表示されますページにはドロップダウンリストの隣におよびボタンもあります 2 つの連続した設定バージョンを比較するときに有効になりますをクリックして保存された設定の前のセットに比較される設定を変更しをクリックして保存された設定の次のセットに比較される設定を変更します図 1. 設定の比較 Panorama では Panorama インターフェイスまたはローカルのファイアウォールのどちらで変更を行っても各管理対象ファイアウォールでコミットされたすべての設定ファイルが自動的に保存されます Palo Alto Networks デバイス管理 49

ライセンスのインストールライセンスのインストール [Device] > [ ライセンス ] Palo Alto Network からサブスクリプションを購入すると 1 つ以上のライセンスキーを有効にするために認証コードが送信されます URL フィルタリングの URL ベンダーライセンスをアクティベーションするにはライセンスをインストールしデータベースをダウンロードし [ アクティベーション ] をクリックする必要があります以下の機能は [ ライセンス ] ページで使用できます URL フィルタリングのライセンスを有効にするには [ アクティベーション ] をクリックします認証コードを必要とする購入済みのサブスクリプションを有効にしサポートポータルをアクティベーションした場合は [ ライセンスサーバーからライセンスキーを取得 ] をクリックします認証コードを必要とする購入済みのサブスクリプションを有効にしサポートポータルをアクティベーションしていない場合は [ 認証コードを使用した機能のアクティベーション ] をクリックします認証コードを入力し [OK] をクリックしますファイアウォールがライセンスサーバーに接続されておらずライセンスキーを手動でアップロードする場合は以下の手順を実行します a. http://support.paloaltonetworks.com からライセンスキーのファイルを取得します b. ライセンスキーのファイルをローカルに保存します c. [ ライセンスキーの手動アップロード ] をクリックし [ 参照 ] をクリックしてファイルを選択し [OK] をクリックしますライセンスのインストール時に考慮すべき重要な項目 Web インターフェイスを使用して URL フィルタをアクティベーションできない場合 CLI コマンドを使用できます詳細は PAN-OS Command Line Interface Reference Guide (PAN-OS コマンドラインインターフェイスリファレンスガイド ) を参照してください 50 デバイス管理 Palo Alto Networks

PAN-OS ソフトウェアのアップグレードとダウングレード PAN-OS ソフトウェアのアップグレードとダウングレード [Device] > [ ソフトウェア ] 新しいバージョンの PAN-OS ソフトウェアにアップグレードするには Palo Alto Networks から入手可能な PAN-OS ソフトウェアの最新バージョンを表示し各バージョンのリリースノートを読みダウンロードおよびインストールするバージョンを選択します ( サポートライセンスが必要です ) 必要に応じて [ ソフトウェア ] ページで以下の機能を実行します [ 更新 ] をクリックして Palo Alto Networks から入手可能なソフトウェアの最新バージョンを確認しますバージョンの変更内容のおよびソフトウェアをインストールするための移行パスを表示するには [ リリースノート ] をクリックします機能リリースをスキップすることはできませんある機能リリースから上位の機能リリースのメンテナンスリリースにアップグレードするには先に基本イメージをダウンロードする必要がありますメンテナンスリリースには基本イメージのリリース後に行われた変更のみが含まれ完全なソフトウェアビルドは含まれていないためアップグレードには基本イメージが必要になりますたとえば 4.0.12 から 4.1.7 にアップグレードする場合 4.1.7 のメンテナンスリリースアップグレードが 4.1.0 の基本イメージファイルにアクセスできるように 4.1.0 の基本イメージをダウンロードする必要があります ( インストールは不要 ) あるリリースから 2 つ上位の機能リリースにアップグレードする場合はそれぞれの機能リリースにアップグレードする必要がありますたとえば 4.0 から 5.0 にアップグレードするには 4.0 から 4.1 にアップグレードした後に 4.1 から 5.0 にアップグレードする必要があります基本イメージファイルはアップグレードが完了した後に削除できますが次回のメンテナンスリリースにアップグレードするときに基本イメージが必要となるため削除することはお勧めしませんアップグレードの必要がない古いリリースの基本イメージのみを削除してくださいたとえば 4.1 を実行している場合ダウングレードする予定がなければ 3.1 や 4.0 の基本イメージは必要ありませんダウンロードサイトにある新しいバージョンをインストールするには [ ダウンロード ] をクリックしますダウンロードが完了すると [ ダウンロード済み ] 列にチェックマークが表示されますダウンロードしたバージョンをインストールするにはそのバージョンの横にある [ インストール ] をクリックしますインストール時にインストールが完了したら再起動するかどうか尋ねられますインストールが完了するとファイアウォールの再起動中はログアウトされます再起動するように選択した場合ファイアウォールが再起動します機能リリースにアップグレードするときには (PAN-OS バージョンの先頭または 2 番目の数字が変更される 4.0 から 4.1 4.1 から 5.0 など ) [ インストール ] をクリックするとこれから機能リリースアップグレードを実行するというメッセージが表示されます機能リリースでは新機能に対応するために特定の設定が移行される場合があるので現在の設定をバックアップする必要があります 54 ページの PAN-OS ソフトウェアのダウングレードを参照してください Palo Alto Networks デバイス管理 51

PAN-OS ソフトウェアのアップグレードとダウングレード以前に PC に保存したバージョンをインストールするには [ アップロード ] をクリックしますソフトウェアパッケージを参照して選択し [ ファイルからインストール ] をクリックしますドロップダウンリストから選択したファイルを選択し [OK] をクリックしてイメージをインストールします古いバージョンを削除するには [ 削除 ] アイコンをクリックします PAN-OS ソフトウェアのアップグレード時の注意事項 PAN-OS の以前のバージョンからアップグレードする場合リリースノートでされている推奨パスに従って最新リリースにアップグレードします高可用性 (HA) ペアを新しい機能リリースにアップグレードするときには (PAN-OS バージョンの先頭または 2 番目の数字が変更される 4.0 から 4.1 4.1 から 5.0 など ) 新機能に対応するために設定が移行される場合がありますセッション同期が有効になっている場合クラスタ内に PAN-OS 機能リリースが異なるデバイスが 1 つでもあるとセッションは同期されませんファイアウォールの日時設定には現在の日時を使用する必要があります PAN-OS ソフトウェアはデジタル署名されており署名は新バージョンをインストールする前にデバイスによって確認されていますファイアウォールで現在以外の日付が設定されているとデバイスはソフトウェア署名の日付が誤って将来になっていると認識し次のメッセージを表示します Decrypt failed: GnuPG edit non-zero, with code 171072 Failed to load into PAN software manager. 高可用性設定の PAN-OS のアップグレードこのセクションではアクティブ / パッシブモードまたはアクティブ / アクティブモードの高可用性 (HA) 設定で実行する PAN-OS ソフトウェアのアップグレードについてしますセッション同期が有効になっている場合クラスタ内に PAN-OS 機能リリースが異なるデバイスが 1 つでもあるとセッションは同期されませんセッションの継続が必要な場合はセッションテーブルの再作成中に非 SYN TCP を一時的に許可する必要があります高可用性 (HA) 設定の詳細は 96 ページの高可用性を参照してください HA 設定の一般的な状態を表示するには [Dashboard] タブの [ 高可用性 ] ウィジットを表示しますウィジットが表示されていない場合は [ ウィジット ] ドロップダウンをクリックして [ システム ] > [ 高可用性 ] を選択します以下の手順では新しい機能リリースアップグレードを行うと想定していますメンテナンスリリースでも同じ手順を使用できますがセッション同期が有効になっていると両方のデバイスが稼働している間は同期処理は中断されませんまたペアで実行される上位リビジョンへのメンテナンスリリースにおいては機能リリースとは異なり非稼働状態にはなりません HA ペアを新しい機能リリースにアップグレードするには以下の手順を実行します注 : 以下の手順ではアクティブ / パッシブおよびアクティブ / アクティブが適用されますが用語が少し異なりますアクティブ / パッシブにはアクティブデバイスとパッシブデバイスがありますアクティブ / アクティブではアクティブなプライマリデバイスとアクティブなセカンダリデバイスがありクラスタが稼働しているときには両方のデバイスをトラフィックが通過します 52 デバイス管理 Palo Alto Networks

PAN-OS ソフトウェアのアップグレードとダウングレード 1. アップグレードプロセスの一般的な情報と重要な注意事項につていは 51 ページの PAN- OS ソフトウェアのアップグレードとダウングレードを参照しくてださい 2. 両方のデバイスの現在の設定ファイルのバックアップを保存します [Device] > [ セットアップ ] > [ 操作 ] タブに移動し [ 指定した設定のスナップショットをエクスポート ] を選択し [running-config.xml] を選択して [OK] をクリックするとコンピュータに設定ファイルが保存されます 3. パッシブファイアウォールまたはアクティブなセカンダリファイアウォール ( デバイス B) を新しい PAN-OS 機能リリースにアップグレードし再起動してインストールを完了します再起動するとデバイスはデバイス A ( アクティブまたはアクティブなプライマリ ) が稼働するまでサスペンド状態になりますセッション同期が有効になっている場合操作コマンド set session tcp-reject-nonsyn no を実行できますこのコマンドによりセッションテーブルが再作成されアップグレード前のセッションが続行されます両方のデバイスの機能リリースが同じになったら set session tcp-reject-non-syn yes を実行してこのオプションを有効にしますアクティブ / パッシブモードでは優先度の高いオプションが設定されている場合状態同期が完了すると現在のパッシブデバイスがアクティブに戻ります 4. アクティブファイアウォールまたはアクティブなプライマリファイアウォールをサスペンド状態にしますこれにより強制的にパッシブファイアウォールまたはアクティブなセカンダリファイアウォール ( デバイス B) が稼働するようになりますこの時点で両方のデバイスの PAN-OS 機能リリースが同じではないためセッション同期が停止します引き続きデバイス A のアップグレードを行う前にデバイス B が稼働していてトラフィックが通過していることを確認します 5. デバイス A を新しい PAN-OS リリースにアップグレードしデバイスを再起動してインストールを完了しますデバイス A が稼働するようになるとセッション同期も含めすべての HA 機能が再開されますステップ 3 のように非 SYN TCP を許可している場合 set session tcp-reject-non-syn yes を実行して元に戻すことができます 6. [Monitor] > [ セッションブラウザ ] を表示するか CLI から show session all を実行してトラフィックがアクティブデバイスを通過していることを確認しますデバイスの HA の状態は show high-availability all match reason を実行して確認することもできますこれがアクティブ / アクティブ設定の場合はトラフィックが両方のデバイスを通過していることを確認しますセッション同期を確認するには show high-availability interface ha2 を実行します [Hardware Interface counters read from CPU] テーブルでカウンタの値が大きくなっていることを確認しますアクティブ / パッシブコンフィグでは送信済みパケットはアクティブデバイスのみで表示されパッシブデバイスには受信したパケットのみが表示されますアクティブ / アクティブでは両方のデバイスで受信したパケットと送信したパケットが表示されます Palo Alto Networks デバイス管理 53

PAN-OS ソフトウェアのアップグレードとダウングレード PAN-OS ソフトウェアのダウングレード PAN-OS ソフトウェアをダウングレードする場合 PAN-OS リリースの種類 ( 機能またはメンテナンス ) に基づいて異なる手順を実行する必要があります機能リリース (PAN-OS バージョンの先頭または 2 番目の数字が変更される 4.0 から 4.1 4.1 から 5.0 など ) では新機能に対応するために設定が移行される場合があるため前のリリースの設定も復元するのではない限りダウングレードはお勧めしませんメンテナンスリリースの場合は設定の復元について心配せずにダウングレードできます次のセクションのメンテナンスリリースのダウングレード 55 ページの機能リリースのダウングレード警告 : ソフトウェアバージョンに一致する設定にダウングレードすることをお勧めしますソフトウェアと設定が一致しないとダウングレードが失敗するかシステムが管理モードに強制される場合もありますこれはメンテナンスリリースではなく機能リリース間のダウングレードにのみ適用されますダウングレードで問題が発生した場合は管理モードでデバイスを工場出荷時状態に戻しアップグレード前にエクスポートされた元の設定ファイルから設定を復元しますメンテナンスリリースのダウングレードメンテナンスリリースではリリース番号の 3 番目の数字が変更されます (4.1.4 から 4.1.5 または 5.0.0 から 5.0.1) あるメンテナンスリリースから別のメンテナンスリリースにアップグレードする場合は機能変更がないためダウングレード時に設定を復元する必要はありません以前のメンテナンスリリースにダウングレードするには以下の手順を実行します 1. 現在の設定ファイルのバックアップを保存します [Device] > [ セットアップ ] > [ 操作 ] タブに移動し [ 指定した設定のスナップショットをエクスポート ] を選択し [runningconfig.xml] を選択して [OK] をクリックすると設定ファイルが保存されますダウングレードで問題が発生し出荷時状態に戻す必要がある場合にはこのバックアップを使用して設定を復元できます 2. [Device] > [ ソフトウェア ] に移動するとダウンロード可能またはダウンロード済みの PAN- OS バージョンを一覧表示するソフトウェアページが表示されます 3. 以前のメンテナンスリリースにダウングレードするには目的のリリースの [ アクション ] 列で [ インストール ] をクリックします目的のバージョンに [ ダウンロード ] が表示されている場合は [ ダウンロード ] リンクをクリックしてソフトウェアパッケージを取得し [ インストール ] をクリックします 4. PAN-OS をダウングレードしたら [OK] をクリックしてデバイスを再起動し新しいバージョンをアクティベーションします 54 デバイス管理 Palo Alto Networks

PAN-OS ソフトウェアのアップグレードとダウングレード機能リリースのダウングレード機能リリースではリリース番号の先頭または 2 番目の数字が変更されます (4.0 から 4.1 または 4.1 から 5.0) ある機能リリースから別の機能リリースにアップグレードすると新しい機能に対応するために設定が変更される場合がありますそのためデバイスが機能リリースにアップグレードされる前に作成された設定バックアップを復元する必要があります PAN-OS 4.1 では機能リリースにアップグレードするときにこの設定バックアップが自動的に作成されます以前の機能リリースにダウングレードするには以下の手順を実行します注 : この手順では機能リリースにアップグレードする前の設定にデバイスが復元されますアップグレード後に行われた変更は失われます新しいリリースに戻すときにこれらの変更を復元する場合に備え現在の設定をバックアップしてください 1. 現在の設定ファイルのバックアップを保存します [Device] > [ セットアップ ] > [ 操作 ] タブに移動し [ 指定した設定のスナップショットをエクスポート ] を選択し [runningconfig.xml] を選択して [OK] をクリックすると設定ファイルが保存されますダウングレードで問題が発生し出荷時状態に戻す必要がある場合にはこのバックアップを使用して設定を復元できます 2. 以前の機能リリースにダウングレードするには [Device] > [ ソフトウェア ] に移動し目的のリリースを含むページを参照して以前の機能リリースを指定する必要があります図 2 を参照してください 3. 機能リリースの [ アクション ] 列にある [ インストール ] をクリックします目的のバージョンに [ ダウンロード ] が表示されている場合は [ ダウンロード ] リンクをクリックしてソフトウェアパッケージを取得し [ インストール ] をクリックします Palo Alto Networks デバイス管理 55

PAN-OS ソフトウェアのアップグレードとダウングレード 4. デバイスの再起動後に使用される設定を選択できるプロンプトが表示されますこれは機能リリースのダウングレードであるためほとんどの場合はデバイスを次の機能リリースにアップグレードしたときに自動保存された設定を選択しますたとえば PAN-OS 5.0 を実行していて PAN-OS 4.1 にダウングレードする場合は図 2 に示すように [ アクション ] 列の [ インストール ] をクリックし [ ダウンロード用設定ファイルの選択 ] ドロップダウンで autosave-4.1.0 を選択します図 2. 以前の機能リリースへのダウングレード 5. PAN-OS をインストールしたら [OK] をクリックしてデバイスを再起動し新しいバージョンをアクティベーションします PAN-OS の選択した機能リリースと設定がアクティベーションされます注 :4.1 より前のリリースでは出荷時状態に戻しデバイスの復元が必要になる場合がありますたとえば 4.0 から 3.1 にダウングレードする場合がそうです 56 デバイス管理 Palo Alto Networks