PAN-OS 6.0 Administrator`s Guide

Palo Alto Networks®
PAN-OS 管理者ガイド
バージョン 6.0
連絡先情報
本社 :
Palo Alto Networks
44401 Great America Parkway
Santa Clara, CA 95054
http://www.paloaltonetworks.com/contact/contact/
このガイドについて
このガイドでは、Palo Alto Networks の次世代のファイアウォールを最
大限に活用する上で役立つ概念とソリューションについて説明し
ます。
詳細は、以下の資料を参照してください。

新しいファイアウォールをセットアップするための詳細な手順
は、『Palo Alto Networks スタート ガイド』を参照してください。

テクニカル ドキュメント セット一式
(http://www.paloaltonetworks.com/documentation)

ナレッジ ベース、およびディスカッション フォーラム
(https://live.paloaltonetworks.com)

サポート窓口、サポート プログラムの詳細、アカウントまたはデ
バイスの管理(https://support.paloaltonetworks.com)

最新のリリース ノート
(https://support.paloaltonetworks.com/Updates/SoftwareUpdates の
[ ソフトウェアの更新 ] ページ)
ドキュメントのフィードバックは、以下の宛先までご送付ください。
documentation@paloaltonetworks.com
Palo Alto Networks, Inc.
www.paloaltonetworks.com
© 2014 Palo Alto Networks.All rights reserved.
Palo Alto Networks、PAN-OS、および Panorama は Palo Alto Networks, Inc.
の商標です。その他の商標の所有権は、それぞれの所有者に帰属し
ます。
2014 年 7 月 7 日
目次
スタート ガイド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
管理ネットワークへのファイアウォールの統合 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
ファイアウォールへの管理アクセスのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
ファイアウォール サービスのアクティベーション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
ペリメータ セキュリティの確立 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
ペリメータ セキュリティの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
基本ファイアウォールのデプロイメント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
ネットワーク アドレス変換(NAT)について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
セキュリティ ポリシーについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
インターフェイスおよびゾーンの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
NAT ポリシーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
基本的なセキュリティ ポリシーのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
基本的な脅威防御機能の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
WildFire の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
脅威を確認するためのトラフィックのスキャン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
Web コンテンツへのアクセス制御 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
ファイアウォールのデプロイメントのベスト プラクティス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
デバイス管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
管理インターフェイス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Web インターフェイスの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
コマンド ライン インターフェイス(CLI)の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
XML API の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
ファイアウォール管理者の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
管理ロール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
管理認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
管理アカウントの作成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
リファレンス : Web インターフェイス管理者のアクセス権限. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Web インターフェイスのアクセス権限. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Panorama Web インターフェイスのアクセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
証明書の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
デバイスでのキーおよび証明書の使用方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
デバイスによる証明書の失効状態の検証方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
証明書失効リスト(CRL). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
Open Certificate Status Protocol(OCSP). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
デバイスによる証明書の取得方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
証明書失効状態の検証の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
PAN-OS 管理者ガイド
i
OCSP レスポンダの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
ユーザー / デバイス認証に使用される証明書の失効状態検証の設定. . . . . . . . . . . . . . . . . 115
SSL/TLS 復号化に使用する証明書の失効状態検証の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
マスター キーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
証明書の取得. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
自己署名ルート CA 証明書の作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ファイアウォールでの証明書の生成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
証明書および機密鍵のインポート. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
外部 CA からの証明書の取得 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
119
119
120
121
122
証明書プロファイルの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
証明書の無効化と更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
証明書の無効化. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
証明書の更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
ハードウェア セキュリティ モジュールによるキーの安全確保 . . . . . . . . . . . . . . . . . . . . . . . . . .
HSM との接続のセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
HSM を使用したマスター キーの暗号化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
HSM での秘密鍵の保存. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
HSM デプロイメントの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
130
130
137
139
140
高可用性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
HA 概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
HA モード. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
HA リンクおよびバックアップ リンク . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
デバイス優先度およびプリエンプション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
フェイルオーバーのトリガー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
HA タイマー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
142
142
143
145
146
147
アクティブ / パッシブ HA のセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
アクティブ / パッシブ HA の前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
アクティブ / パッシブ HA の設定ガイドライン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
アクティブ / パッシブ HA の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
フェイルオーバー条件の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
フェイルオーバーの確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
150
150
151
153
162
164
レポートとログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
Dashboard の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
アプリケーション コマンド センターの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
アプリケーション スコープの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
サマリー レポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
変化モニター レポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
脅威モニター レポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
脅威マップ レポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ネットワーク モニター レポート. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
トラフィック マップ レポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
セッション情報の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ii
172
173
174
176
177
178
179
180
PAN-OS 管理者ガイド
パケット キャプチャの実行. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
ファイアウォールのモニター . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
アプリケーションと脅威のモニター . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
ローカル ログ データの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185
外部サービスへのログの転送 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191
SNMP を使用したファイアウォールのモニター . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
レポートの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
レポートについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
レポートの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
事前定義済みレポートを無効にする . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
カスタム レポートの生成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
ボットネット レポートの生成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214
PDF サマリー レポートの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217
ユーザー / グループ アクティビティ レポートの生成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
レポート グループの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220
電子メールで配信するレポートのスケジュール設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221
ログのフィールドの説明の解析 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222
トラフィック ログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222
脅威ログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225
HIP マッチ ログ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230
設定ログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231
システム ログ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232
Syslog の重大度. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
カスタム ログ / イベントのフォーマット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
エスケープ シーケンス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
User-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235
User-ID の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236
グループ マッピングについて. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237
ユーザー マッピングについて. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238
ユーザー対グループのマッピング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243
IP アドレス対ユーザーのマッピング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246
Windows User-ID エージェントを使用したユーザー マッピングの設定 . . . . . . . . . . . . . . . 247
PAN-OS 統合 User-ID エージェントを使用したユーザー マッピングの設定 . . . . . . . . . . 256
Syslog 送信元からユーザー マッピングを受信するための User-ID の設定 . . . . . . . . . . . . . 259
キャプティブ ポータルを使用した IP アドレス対ユーザー名のマッピング . . . . . . . . . . . 271
ターミナル サーバー ユーザー向けのユーザー マッピング設定 . . . . . . . . . . . . . . . . . . . . . 278
XML API を使用した User-ID へのユーザー マッピングの送信 . . . . . . . . . . . . . . . . . . . . . . 288
他のファイアウォールとユーザー マッピング データを共有するための
ファイアウォールの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289
ユーザーおよびグループ ベースのポリシーを有効にする . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292
User-ID 設定の確認. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295
PAN-OS 管理者ガイド
iii
App-ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299
App-ID とは . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300
カスタム アプリケーションや不明なアプリケーションの処理方法 . . . . . . . . . . . . . . . . . . . . . . 301
App-ID のポリシー内での使用のベスト プラクティス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303
暗黙的サポートを使用するアプリケーション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304
アプリケーション レベル ゲートウェイについて. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307
SIP アプリケーション レベル ゲートウェイ(ALG)を無効にする . . . . . . . . . . . . . . . . . . . . . . 308
脅威防御 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311
脅威防御のライセンス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312
脅威防御のライセンスについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312
ライセンスの取得とインストール. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313
セキュリティ ポリシーについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314
セキュリティ プロファイルとセキュリティ ポリシーのセットアップ . . . . . . . . . . . . . . . . . . .
アンチウイルス、アンチスパイウェア、および脆弱性防御のセットアップ . . . . . . . . . .
データ フィルタリングのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ファイル ブロッキングのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
321
321
324
328
ブルート フォース攻撃の防御 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331
ブルート フォース攻撃のシグネチャとトリガー条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331
ブルート フォース シグネチャのアクションとトリガー条件のカスタマイズ . . . . . . . . . 335
ネットワークをレイヤー 4 およびレイヤー 7 回避から保護するためのベスト
プラクティス. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338
ダイナミック更新のためのコンテンツ配信ネットワーク インフラストラクチャ . . . . . . . . . 340
復号化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343
復号化の概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
復号ポリシーのためのキーおよび証明書 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
SSL フォワード プロキシ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
SSL インバウンド インスペクション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
SSH プロキシ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
復号化の例外 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
復号ポート ミラーリング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
344
345
347
348
349
350
351
SSL フォワード プロキシの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352
SSL インバウンド インスペクションの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358
SSH プロキシの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360
復号化の例外の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362
復号化からのトラフィックの除外. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362
復号化からのサーバーの除外 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363
復号ポート ミラーリングの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364
iv
PAN-OS 管理者ガイド
URL フィルタリング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367
URL フィルタリングの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368
URL フィルタリングの仕組み . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368
App-ID および URL カテゴリ間の相互作用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369
カテゴリ ベースの URL 制御 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369
URL フィルタリング プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370
ポリシーで URL カテゴリを一致条件として使用する方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . 374
URL フィルタリング コンポーネントおよびワークフロー. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376
PAN-DB URL 分類コンポーネント. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376
PAN-DB URL 分類ワークフロー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378
URL フィルタリングの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379
URL フィルタリングの有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379
URL フィルタリング ポリシーの要件の決定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382
Web サイト制御の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390
URL フィルタリングのユース ケースの例. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395
ユース ケース : Web アクセスの制御 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395
ユース ケース : ポリシーでの URL カテゴリの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400
URL フィルタリングのトラブルシューティング. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402
PAN-DB のアクティベーションに関する問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402
PAN-DB クラウド接続の問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402
Not-Resolved に分類された URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404
誤った分類 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404
URL データベースが古い . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
Quality of Service(QoS). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407
QoS の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408
QoS の実装 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408
QoS の概念 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409
QoS の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416
仮想システムの QoS の設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422
QoS のユース ケース例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429
単一ユーザーの場合の QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429
音声およびビデオ アプリケーションの QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432
VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435
VPN デプロイメント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 436
サイト間 VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437
概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437
サイト間 VPN の概念. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438
サイト間 VPN のセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444
IKE ゲートウェイのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445
暗号プロファイルの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447
IPSec トンネルのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449
PAN-OS 管理者ガイド
v
トンネル モニタリングのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 454
VPN 接続のテスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456
VPN エラー メッセージの解釈 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457
サイト間 VPN のクイック設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
スタティック ルーティングを使用したサイト間 VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
OSPF を使用したサイト間 VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
スタティック ルーティングおよびダイナミック ルーティングを
使用したサイト間 VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
458
458
464
470
大規模 VPN(LSVPN). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 479
LSVPN コンポーネント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 480
LSVPN のインターフェイスおよびゾーンの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 481
GlobalProtect LSVPN コンポーネント間の SSL の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 484
証明書のデプロイメントについて. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 484
GlobalProtect LSVPN コンポーネントへのサーバー証明書のデプロイ . . . . . . . . . . . . . . . . 484
サテライトを認証するためのポータルの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 488
LSVPN の GlobalProtect ゲートウェイの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 491
前提となるタスク. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 491
ゲートウェイの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 491
LSVPN の GlobalProtect ポータルの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
前提となるタスク. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ポータルの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
サテライト設定の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
496
496
497
498
LSVPN に参加するためのサテライト デバイスの準備 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 502
LSVPN 設定の確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 506
LSVPN のクイック設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 507
スタティック ルーティングを使用した基本的な LSVPN 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 508
ダイナミック ルーティングを使用した高度な LSVPN 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 511
ネットワーク. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 515
ファイアウォールのデプロイメント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
バーチャル ワイヤー デプロイメント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
レイヤー 2 デプロイメント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
レイヤー 3 デプロイメント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
タップ モード デプロイメント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
516
516
520
520
521
仮想ルーターの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 523
スタティック ルートの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 525
RIP の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 528
vi
PAN-OS 管理者ガイド
OSPF の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 530
OSPF の概念 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 530
OSPF の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 533
OSPFv3 の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 538
OSPF グレースフル リスタートの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 542
OSPF 動作の確認. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 543
BGP の設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 546
PAN-OS 管理者ガイド
vii
viii
PAN-OS 管理者ガイド
スタート ガイド
以下のセクションでは、新しい Palo Alto Networks の次世代のファイアウォールをデプロイする上
で役立つ詳細な手順について説明します。新しいファイアウォールのネットワークへの統合と
基本的なセキュリティ ポリシーおよび脅威防御機能の設定の詳細を説明します。
ファイアウォールをネットワークに統合するために必要な基本的な設定手順を実行した後、この
ガイドのその他のトピックを参照することで、ネットワーク セキュリティ ニーズに対処するた
めに必要な、包括的なエンタープライズ セキュリティ プラットフォーム機能をデプロイでき
ます。

管理ネットワークへのファイアウォールの統合

ペリメータ セキュリティの確立

基本的な脅威防御機能の有効化

ファイアウォールのデプロイメントのベスト プラクティス
デバイス管理
1
管理ネットワークへのファイアウォールの統合
スタート ガイド
管理ネットワークへのファイアウォールの統合
以下のトピックでは、新しいファイアウォールを管理ネットワークに統合し、基本的なセキュ
リティ設定をデプロイするために必要な初期設定手順の実行方法を説明します。
以下のトピックでは、単一の Palo Alto Networks の次世代ファイアウォールをネットワークに
統合する方法を説明します。高可用性設定でファイアウォールのペアをデプロイする方法の詳
細は、操作を進める前に HA に関するドキュメントを確認してください。

ファイアウォールへの管理アクセスのセットアップ

ファイアウォール サービスのアクティベーション
ファイアウォールへの管理アクセスのセットアップ
すべての Palo Alto Networks ファイアウォールにはアウトオブバンド管理ポート(MGT)が用意
されており、それを使用してファイアウォールの管理機能を実行できます。MGT ポートを使用
することによってファイアウォールの管理機能がデータ処理機能から分離されるため、ファイ
アウォールへのアクセスが安全に守られ、パフォーマンスが向上します。Web インターフェイ
スを使用するときには、デバイスの管理でインバンド ポートを使用する予定の場合であって
も、MGT からすべての初期設定タスクを実行する必要があります。
ライセンスの取得や、ファイアウォールでの脅威シグネチャとアプリケーション シグネチャの
更新などの一部の管理タスクでは、インターネットへのアクセスが必要です。MGT ポートへの
外部アクセスを有効にしない場合は、必要な外部サービスにアクセスできるようにデータ ポー
トをセットアップするか、定期的に手動で更新をアップロードするように計画する必要があり
ます。
以下のセクションでは、ファイアウォールへの管理アクセスのセットアップ方法を示します。

管理戦略の決定

初期設定の実行

外部サービスへのネットワーク アクセスのセットアップ
管理戦略の決定
Palo Alto Networks のファイアウォールは、ローカルで設定および管理するか、Palo Alto Networks
の中央管理システムである Panorama を使用することによって一元管理することができます。
ネットワークにファイアウォールが 6 つ以上デプロイされている場合、Panorama を使用すると
以下のメリットがあります。

設定、ポリシー、ソフトウェア、および動的コンテンツ更新の管理で、煩雑さや管理上の負
荷を軽減できます。Panorama でデバイス グループとテンプレートを使用することにより、
デバイス固有の設定を各デバイスでローカルに管理したり、すべてのデバイスまたはデバイ
ス グループで共有ポリシーを適用したりすることで効果的に管理できます。
2
デバイス管理
スタート ガイド

管理ネットワークへのファイアウォールの統合
すべての管理対象ファイアウォールからデータを集約し、ネットワーク上のすべてのトラ
フィックを可視化します。Panorama のアプリケーション コマンド センター(ACC)には
ファイアウォール全体の統一レポートの一括管理画面が表示され、ネットワーク トラフィッ
ク、セキュリティ インシデント、および管理上の変更について一元的に分析と調査を行い、
レポートを作成することができます。
このドキュメントに示す手順は、ローカル Web インターフェイスを使用してファイアウォール
を管理する場合の方法を示しています。中央管理で Panorama を使用する場合は、このガイドの
「初期設定の実行」セクションに記載されている手順に従って設定を完了した後に、ファイア
ウォールから Panorama への接続を確立できることを確認してください。それ以降は、Panorama
を使用して一元的にファイアウォールを設定できます。
初期設定の実行
ファイアウォールのデフォルトの IP アドレスは 192.168.1.1、ユーザー名 / パスワードは
admin/admin です。セキュリティ上の理由により、他のファイアウォールの設定タスクに入る前
に、これらの設定値を変更する必要があります。初期設定タスクは、ファイアウォールの管理
で MGT インターフェイスを使用しない場合でもこのインターフェイスから実行するか、デバ
イスのコンソール ポートへ直接シリアル接続を使用して実行する必要があります。
ファイアウォールへのネットワーク アクセスのセットアップ
ステップ 1
ネットワーク管理者から必要 • MGT ポートの IP アドレス
な情報を入手します。
• ネットマスク
• デフォルト ゲートウェイ
• DNS サーバーのアドレス
ステップ 2
コ ン ピ ュ ー タ を フ ァ イ ア 次のいずれかの方法でファイアウォールに接続できます。
ウォールに接続します。
• コンピュータからコンソール ポートにシリアル ケーブ
ルを接続し、ターミナル エミュレーション ソフトウェア
(9600-8-N-1)を使用してファイアウォールに接続しま
す。起動シーケンスが完了するまで 2、3 分待ちます。
デ バ イ ス の 準 備 が で き る と、プ ロ ン プ ト が フ ァ イ ア
ウォールの名前に変わり、たとえば「PA-500 login」
のように表示されます。
• コンピュータからファイアウォールの MGT ポートに
RJ-45 Ethernet ケーブルを接続します。ブラウザで、
https://192.168.1.1 に移動します。この URL に
アクセスするには、コンピュータの IP アドレスを、
192.168.1.0 ネットワークでのアドレス(192.168.1.2 な
ど)に変更しなければならない場合があります。
ステップ 3
デバイス管理
プロンプトが表示されたら、 デフォルトのユーザー名とパスワード(admin/admin)を
ファイアウォールにログイン 使用してログインする必要があります。ファイアウォール
します。
の初期化が開始されます。
3
管理ネットワークへのファイアウォールの統合
スタート ガイド
ファイアウォールへのネットワーク アクセスのセットアップ(続き)
ステップ 4
MGT インターフェイスを設定 1.
します。
[Device] > [ セットアップ ] > [ 管理 ] の順に選択して、
画面上にある [ 管理インターフェイス設定 ] セクション
で編集アイコン をクリックします。[IP アドレス ]、
[ ネットマスク ]、および [ デフォルト ゲートウェイ ]
の値を入力します。
2.
[ 速度 ] を [auto-negotiate] に設定します。
3.
インターフェイスで許可する管理サービスを選択し
ます。
ベスト プラクティス :
Telnet と HTTP が選択されていないことを確認しま
す。これは、これらのサービスでは平文が使用され、
他のサービスほど安全ではないからです。
4.
ステップ 5
ステップ 6
注
(任 意)全 般 的 な フ ァ イ ア 1.
ウォールの設定を行います。
[Device] > [ セットアップ ] > [ 管理 ] の順に選択し、画
面の [ 一般設定 ] セクションで編集 アイコンをクリッ
クします。
2.
ファイアウォールの [ ホスト名 ] を入力し、ネット
ワークの [ ドメイン ] 名を入力します。ドメイン名は単
なるラベルであるため、ドメインに参加するために
使用されることはありません。
3.
[ 緯度 ] と [ 経度 ] を入力し、そのファイアウォールが
世界地図上の正確な場所に配置されるようにします。
4.
[OK] をクリックします。
DNS、時刻、および日付の設 1.
定を行います。
ファイアウォールで少なくとも 1 つの
DNS サーバーを手動で設定する必要 2.
があり、設定しないとホスト名を解決
することができなくなります。その 3.
ファイアウォールは、ISP などの別の
ソースからの DNS サーバー設定を使
用しません。
4.
ステップ 7
4
[OK] をクリックします。
admin アカウントの安全なパス 1.
ワードを設定します。
2.
[Device] > [ セットアップ ] > [ サービス ] の順に選択し、
画面の [ サービス ] セクションで編集アイコン をク
リックします。
[ プライマリ DNS サーバー] および必要に応じて [ セカ
ンダリ DNS サーバー] の IP アドレスを入力します。
インターネット上のタイム サーバーの仮想クラスタ
を使用するには、ホスト名の「pool.ntp.org」を [ プラ
イマリ NTP サーバー] として入力するか、または [ プ
ライマリ NTP サーバー] および必要に応じて [ セカン
ダリ NTP サーバー] の IP アドレスを追加します。
[OK] をクリックして、設定を保存します。
[Device] > [ 管理者 ] の順に選択します。
admin ロールを選択します。
3.
現在のデフォルト パスワードと新しいパスワードを
入力します。
4.
[OK] をクリックして、設定を保存します。
デバイス管理
スタート ガイド
管理ネットワークへのファイアウォールの統合
ファイアウォールへのネットワーク アクセスのセットアップ(続き)
ステップ 8
注
[Commit] をクリックします。デバイスでの変更の保存に
設定の変更を保存すると、IP アドレス は、最長で 90 秒かかります。
が変更されるため、Web インターフェ
イスへの接続が遮断されます。
ステップ 9
変更をコミットします。
フ ァ イ ア ウ ォ ー ル を ネ ッ ト 1.
ワークに接続します。
2.
コンピュータからファイアウォールを切断します。
RJ-45 Ethernet ケーブルを使用して、MGT ポートを管
理 ネ ッ ト ワ ー ク の ス イ ッ チ ポ ー ト に 接 続 し ま す。
ファイアウォールからケーブルで接続するスイッチ
ポートが auto-negotiation に設定されていることを確
認します。
ステップ 10 ファイアウォールへの SSH 管 PuTTY などの端末エミュレーション ソフトウェアを使用
理セッションを開きます。
し、割り当てた新しい IP アドレスを使用してファイア
ウォールへの SSH セッションを開始します。
ステップ 11 次のいずれかの方法により、
ファイアウォール管理で必要
な Palo Alto Networks アップデー
ト サーバーなどの外部サービ
スへのネットワーク ア one ク
セスを確認します。
外部ネットワーク アクセス用に MGT ポートにケーブルを
接続した場合は、CLI から ping ユーティリティを使用して
ファイアウォールとの間で通信可能なことを確認します。
次の例に示すようにして、デフォルト ゲートウェイ、DNS
サーバー、および Palo Alto Networks アップデート サーバー
に接続可能なことを確認してください。
ping host updates.paloaltonetworks.com
• MGT インターフェイスに外 admin@PA-200>
PING updates.paloaltonetworks.com (67.192.236.252) 56(84)
of data.
部ネットワークへのアクセス bytes
64 bytes from 67.192.236.252 : icmp_seq=1 ttl=243 time=40.5 ms
64
bytes
67.192.236.252 : icmp_seq=1 ttl=243 time=53.6 ms
を許可しない場合は、必要な 64 bytes from
from 67.192.236.252 : icmp_seq=1 ttl=243 time=79.5 ms
サービス更新を取得するよう
注
接続を確認したら、Ctrl+C を押して ping を停止します。
にデータ ポートをセット
アップする必要があります。
「外部サービスへのネット
ワ ーク アク セ スの セッ ト
アップ」に進みます。
• MGT インターフェイスへの
アクセスを外部ネットワーク
に許可する場合は、接続が確
立されていることを確認して
か ら「フ ァ イ ア ウ ォ ー ル
サービスのアクティベー
ション」に進みます。
デバイス管理
5
管理ネットワークへのファイアウォールの統合
スタート ガイド
外部サービスへのネットワーク アクセスのセットアップ
ファイアウォールは、デフォルトで MGT インターフェイスを使用して、DNS サーバー、コン
テンツ更新、およびライセンス取得などのリモート サービスにアクセスします。管理ネット
ワークに外部ネットワークへのアクセスを有効にしない場合は、データ ポートをセットアップ
してこれらの必須外部サービスにアクセスできるようにする必要があります。
このタスクを行うには、ファイアウォールのインターフェイス、ゾーン、およびポリシーに精
通しておく必要があります。これらのトピックについての詳細は、「ペリメータ セキュリティ
の確立」を参照してください。
外部サービスへのアクセス用データ ポートのセットアップ
ステップ 1
外部サービスへのアクセスで使 使用するインターフェイスには、静的 IP アドレスが必要
用するポートを決定し、その です。
ポートをスイッチまたはルー
ターのポートに接続します。
ステップ 2
Web インターフェイスにログ Web ブラウザから安全な接続(https)を使用し、初期設定
インします。
のときに割り当てた新しい IP アドレスとパスワードを使
用してログインします(https://<IP address>)。証明書の
警告が表示されますが、問題ありません。そのまま続行し
て Web ページを開きます。
ステップ 3
(任意)ファイアウォールは、
Ethernet 1/1 ポートと Ethernet
1/2 ポート(および対応する
デフォルトのセキュリティ ポ
リ シ ー と ゾ ー ン)の 間 の デ
フォルトのバーチャル ワイ
ヤー インターフェイスが事前
設定されて出荷されます。こ
のバーチャル ワイヤー設定を
使用する予定がない場合は、
定義する他のインターフェイ
スの設定と干渉しないように
するため、その設定を手動で
削除する必要があります。
6
設定は次の順序で削除する必要があります。
1. デフォルトのセキュリティ ポリシーを削除するには、
[Policies] > [ セキュリティ] の順に選択してルールを選
択し、[ 削除 ] をクリックします。
2.
次に、[Network] > [ バーチャル ワイヤー] の順に選択
し、バーチャル ワイヤーを選択して、[ 削除 ] をクリッ
クしてデフォルトのバーチャル ワイヤーを削除します。
3.
デフォルトの信頼できるゾーンと信頼できないゾー
ンを削除するには、[Network] > [ ゾーン ] の順に選択
し、各ゾーンを選択して [ 削除 ] をクリックします。
4.
最後に、[Network] > [ インターフェイス ] の順に選択し
てから各インターフェイス(Ethernet1/1 と Ethernet1/2)
を選択し、[ 削除 ] をクリックしてインターフェイス設
定を削除します。
5.
変更を [Commit] します。
デバイス管理
スタート ガイド
管理ネットワークへのファイアウォールの統合
外部サービスへのアクセス用データ ポートのセットアップ(続き)
ステップ 4
デバイス管理
イ ン タ ー フ ェ イ ス を 設 定 し 1.
ます。
[Network] > [ インターフェイス ] の順に選択し、ステッ
プ 1 でケーブルを接続したポートに対応するインター
フェイスを選択します。
2.
[ インターフェイス タイプ ] を選択します。ここで選択
するタイプはご使用のネットワーク トポロジに応じ
て異なりますが、この例では、[ レイヤー 3] の場合の
手順を示します。
3.
[ 設定 ] タブで、[ セキュリティ ゾーン ] ドロップダウン
リストを展開して [ 新規ゾーン ] を選択します。
4.
[ゾーン] ダイアログで、新規ゾーンの [名前](「L3-trust」
など)を定義して [OK] をクリックします。
5.
[IPv4] タブを選択し、[ スタティック ] ラジオ ボタンを
選択し、[IP] セクションの [ 追加 ] をクリックして、イン
ターフェイスに割り当てる IP アドレスとネットワー
ク マスク(「192.168.1.254/24」など)を入力します。
6.
[ 詳細 ] > [ その他の情報 ] の順に選択し、[ 管理プロファ
イル ] ドロップダウン リストを展開して [ 新規管理プ
ロファイル ] を選択します。
7.
プロファイルの [ 名前 ](「allow_ping」など)を入力
し、インターフェイスで許可するサービスを選択し
ます。許可するサービスにはデバイスへの管理アク
セス権が付与されるため、このインターフェイスで
許可する管理アクティビティに対応するサービスの
みを選択してください。たとえば、Web インターフェ
イスまたは CLI によるデバイス設定タスクで MGT イン
タ ー フ ェ イ ス を 使 用 す る 場 合 は、HTTP、HTTPS、
SSH、または Telnet を有効にしないことにより、この
インターフェイスを介した無権限のアクセスを防止
することができます。外部サービスへのアクセスを
許 可 す る 目 的 の 場 合 は、[Ping] の み を オ ン に し て
[OK] をクリックします。
8.
インターフェイス設定を保存するには、[OK] をクリッ
クします。
7
管理ネットワークへのファイアウォールの統合
スタート ガイド
外部サービスへのアクセス用データ ポートのセットアップ(続き)
ステップ 5
ファイアウォールではデフォ 1. [Device] > [ セットアップ ] > [ サービス ] > [ サービス
ルートの設定 ] の順に選択します。
ルトで MGT インターフェイス
を使用して必要な外部サービ
スにアクセスするため、サー
ビス ルートを編集することに
ライセンスをアクティベーションし、最新のコンテ
より、これらの要求を送信す 注
ンツ更新とソフトウェア更新を取得する場合には、
るためにファイアウォールが
「DNS」、「Palo Alto Updates」、「URL Updates」、
使用するインターフェイスを
および「WildFire」のサービス ルートを変更でき
変更する必要があります。
ます。
2.
[ カスタマイズ ] ラジオ ボタンをクリックし、以下の
いずれかを選択します。
• 事前定義されたサービスの場合、[IPv4] または [IPv6]
を選択し、[ 送信元インターフェイス ] を変更する
サービスのリンクをクリックし、設定したインター
フェイスを選択します。
選択したインターフェイスに複数の IP アドレスが設
定されている場合、[ 送信元アドレス ] ドロップダウ
ン リストで IP アドレスを選択できます。
• カスタム宛先のサービス ルートを作成するには、
[ 宛先 ] を選択して、[ 追加 ] をクリックします。[ 宛
先 ] に宛先名を入力し、[ 送信元インターフェイス ]
を選択します。選択したインターフェイスに複数の
IP アドレスが設定されている場合、[ 送信元アドレ
ス ] ドロップダウン リストで IP アドレスを選択でき
ます。
8
3.
[OK] をクリックして設定を保存します。
4.
変更する各サービス ルートについて、上記の手順 2 ~
3 を繰り返します。
5.
変更をコミットします。
デバイス管理
スタート ガイド
管理ネットワークへのファイアウォールの統合
外部サービスへのアクセス用データ ポートのセットアップ(続き)
ステップ 6
外向きインターフェイスおよび関連付けられたゾーンを設定し、ファイアウォールが内部
ゾーンから外部ゾーンにサービス要求を送信することを許可するようにセキュリティ ルー
ルと NAT ポリシー ルールを作成します。
1. [Network] > [ インターフェイス ] の順に選択して、外向きのインターフェイスを選択し
ます。[ インターフェイス タイプ ] として [ レイヤー 3] を選択し、[IP] アドレスを [ 追
加 ] して([IPv4] または [IPv6] タブ)、「l3-untrust」などの関連付けられた [ セキュリ
ティ ゾーン ]([ 設定 ] タブ)を作成します。このインターフェイスでの管理サービスを
設定する必要はありません。
2. 内部ネットワークから Palo Alto Networks アップデート サーバーと外部 DNS サーバーへ
のトラフィックを許可するセキュリティ ルールをセットアップするには、[Policies] >
[ セキュリティ] の順に選択して [ 追加 ] をクリックします。初期設定の場合は、次のよ
うにして、l3-trust から l3-untrust へのすべてのトラフィックを許可する簡単なルール
を作成できます。
3. 内 向 き イ ン
ターフェイス
でプライベー
ト IP アドレス
を使用する場合は、そのアドレスをパブリックにルーティング可能なアドレスに変換す
るソース NAT ルールを作成する必要があります。[Policies] > [NAT] の順に選択して
[ 追加 ] をクリックします。少なくとも、ルールの名前を定義し([ 全般 ] タブ)、送信
元と宛先のゾーン(この場合は l3-trust から l3-intrust)を指定し([ 元のパケット ] タ
ブ)、送信元アドレス変換の設定項目を定義して([ 変換済みパケット ] タブ)、[OK]
をクリックする必要があります。NAT の詳細は、「NAT ポリシーの設定」を参照して
ください。
4. 変更をコミットします。
ステップ 7
データ ポートから、デフォル
ト ゲートウェイ、DNS サー
バー、および Palo Alto Networks
アップデート サーバーなどの
外部サービスに接続できるこ
とを確認します。
CLI を起動し、ping ユーティリティを使用して接続が有効
なことを確認します。デフォルトの ping は MGT インター
フェイスから送信されるため、この場合は ping 要求の送信
元インターフェイスを指定する必要があります。
admin@PA-200> ping source 192.168.1.254 host
updates.paloaltonetworks.com
PING updates.paloaltonetworks.com (67.192.236.252) from
192.168.1.254 : 56(84) bytes of data.
64 bytes from 67.192.236.252: icmp_seq=1 ttl=242 time=56.7 ms
64 bytes from 67.192.236.252: icmp_seq=2 ttl=242 time=47.7 ms
64 bytes from 67.192.236.252: icmp_seq=3 ttl=242 time=47.6 ms
^C
必要なネットワーク接続が確
立されていることを確認して
か ら、「フ ァ イ ア ウ ォ ー ル 接続を確認したら、Ctrl+C を押して ping を停止します。
サービスのアクティベーショ
ン」に進みます。
デバイス管理
9
管理ネットワークへのファイアウォールの統合
スタート ガイド
ファイアウォール サービスのアクティベーション
ファイアウォールを使用してネットワークを安全に保護するには、そのネットワークを登録
し、購入したサービスのライセンスをアクティベーションする必要があります。また、以下の
セクションに従って適切なバージョンの PAN-OS が稼働しているようにする必要があります。

Palo Alto Networks への登録

ライセンスのアクティベーション

コンテンツ更新の管理

ソフトウェア更新のインストール
10
デバイス管理
スタート ガイド
管理ネットワークへのファイアウォールの統合
Palo Alto Networks への登録
ファイアウォールの登録
ステップ 1
Web インターフェイスにログ Web ブラウザから安全な接続(https)を使用し、初期設定
インします。
のときに割り当てた新しい IP アドレスとパスワードを使
用してログインします(https://<IP address>)。証明書の
警告が表示されますが、問題ありません。そのまま続行し
て Web ページを開きます。
ステップ 2
シリアル番号を見つけ、クリッ [Dashboard] で、画面の [ 一般的な情報 ] セクションに表
プボードにコピーします。
示されている [ シリアル番号 ] を確認します。
ステップ 3
Palo Alto Networks サポート サ 新しいブラウザのタブまたはウィンドウで、
https://support.paloaltonetworks.com に移動します。
イトに移動します。
ステップ 4
デバイスを登録します。登録 • これが登録する最初の Palo Alto Networks デバイスであり、
まだログイン情報を登録していない場合は、ページの右
方法は、サポート サイトにす
側にある [ 登録 ] をクリックします。登録するには、自分
でにログイン情報が登録され
の電子メール アドレスと、ファイアウォールのシリアル
ているかどうかに応じて異な
番号を指定する必要があります(クリップボードから貼
ります。
り付け可能)。また、Palo Alto Networks サポート コミュ
ニティへのアクセス用に、ユーザー名とパスワードをセッ
トアップするよう求めるプロンプトが表示されます。
• すでにサポート アカウントを持っている場合は、ログイ
ンしてから [My Devices] をクリックします。画面下部の
[Register Device] セクションまでスクロールし、ファイア
ウォールのシリアル番号(クリップボードから貼り付け
可能)、市区町村、および郵便番号を入力して、[デバイ
スの登録 ] をクリックします。
ライセンスのアクティベーション
ファイアウォールを使用してネットワークのトラフィックを安全に保護することができるよう
にするには、まず、購入したサービスごとにライセンスをアクティベーションする必要があり
ます。次のようなライセンスとサブスクリプションを購入できます。

脅威防御 — アンチウイルス、アンチスパイウェア、および脆弱性防御機能を提供します。

復号ポート ミラーリング — ファイアウォールからの復号化されたトラフィックのコピーを
作成してトラフィック収集ツールに送信できます。このツールは、NetWitness や Solera など
の生パケット キャプチャを受信してアーカイブや分析を行うことができます。

URL フィルタリング — ダイナミック URL カテゴリに基づいてポリシー ルールを作成するに
は、サポートされている URL フィルタリング データベース(PAN-DB または BrightCloud)
のいずれかのサブスクリプションを購入してインストールする必要があります。URL フィル
タリングについての詳細は、「Web コンテンツへのアクセス制御」を参照してください。
デバイス管理
11
管理ネットワークへのファイアウォールの統合
スタート ガイド

仮想システム — このライセンスは、PA-2000 および PA-3000 シリーズのファイアウォールで
複数の仮想システムのサポートを有効にするために必要です。また、PA-4000 シリーズ、
PA-5000 シリーズ、PA-7050 ファイアウォールでのデフォルトの基本数(基本数はプラット
フォームごとに異なります)より多くの数の仮想システムを使用する場合は、仮想システム
ライセンスを 1 つ購入する必要があります。PA-500、PA-200、および VM シリーズのファイ
アウォールでは、仮想システムがサポートされていません。

WildFire — 基本 WildFire サポートは脅威防御ライセンスの一部として含まれていますが、WildFire
サブスクリプション サービスでは、直ちに脅威への対応が必要な組織を対象に強化サービス
を提供することにより、分単位の WildFire シグネチャ更新、高度なファイル タイプ転送
(APK、PDF、Microsoft Office、Java アプレット)、および WildFire API を使用したファイル
のアップロード機能を有効にすることができます。WildFire サブスクリプションは、ファイア
ウォールがプライベート WF-500 WildFire アプライアンスにファイルを転送する場合にも必要
です。

GlobalProtect — モビリティ ソリューションまたは大規模 VPN 機能を提供します。デフォル
トでは、ライセンスなしで 1 つの GlobalProtect ポータルとゲートウェイ(HIP チェックな
し)をデプロイできます。ただし、ゲートウェイを複数デプロイする場合は、ポータル ライ
センス(1 回限りの永続ライセンス)を購入する必要があります。ホスト チェックを使用
する場合は、ゲートウェイごとにゲートウェイ ライセンス(サブスクリプション)も必要
になります。
ライセンスのアクティベーション
ステップ 1
購 入 し た ラ イ セ ン ス の ア ク サブスクリプションを購入した場合は、各サブスクリプ
ティベーション コードを探し ションに関連付けられているアクティベーション コードの
ます。
一覧を示した電子メールを Palo Alto Networks カスタマー サ
ポートから受信しています。この電子メールが見当たらな
い場合は、カスタマー サポートに連絡してアクティベー
ション コードを入手してから次に進んでください。
ステップ 2
Web インターフェイスを起動 [Device] > [ ライセンス ] の順に選択します。
し、ライセンス ページに移動
します。
ステップ 3
購入した各ライセンスをアク 1.
ティベーションします。
[ 認証コードを使用した機能のアクティベーション ] を
オンにします。
管理ポートからのインターネット アク 2.
セス権がファイアウォールに付与され
ていない場合は、サポート サイトか 3.
らライセンス ファイルを手動でダウ
ンロードし、[ライセンス キーの手動
アップロード ] オプションを使用して
ファイアウォールにアップロードする
ことができます。
プロンプトが表示されたら、[ 認証コード ] を入力して
[OK] をクリックします。
注
12
ライセンスが正常にアクティベーションされたこと
を確認します。たとえば、WildFire ライセンスをアク
ティベーションした後、ライセンスが有効なことを
確認してください。
デバイス管理
スタート ガイド
管理ネットワークへのファイアウォールの統合
コンテンツ更新の管理
変遷する脅威やアプリケーションより常に優位に立つため、Palo Alto Networks は、Palo Alto
Networks のデバイスにコンテンツの更新を提供するための CDN(Content Delivery Network)イン
フラストラクチャを管理しています。このデバイスは CDN 内の Web リソースに利用してさま
ざまな App-ID および Content-ID 機能を実行します。このデバイスは、デフォルトでは、アプリ
ケー シ ョ ンの 更 新、脅 威 およ び アン チ ウイ ル スの シ グネ チ ャの 更 新、BrightCloud お よ び
PAN-DB のデータベースの更新および検索、および Palo Alto Networks WildFire Cloud の利用のた
めに、管理ポートを使用して CDN インフラストラクチャにアクセスします。常に最新の脅威
(まだ発見されていない脅威を含む)から保護されるようにするため、Palo Alto Networks から公
開される最新の更新により、使用するデバイスが常に最新の状態に維持されるようにする必要
があります。
所有しているサブスクリプションに応じて、以下のコンテンツ更新を利用できます。
コンテンツ更新はいつでも手動でダウンロードしてインストールできますが、ベスト プラク
ティスとして、更新が自動的に処理されるようにスケジュールするようお勧めします。

アンチウイルス — WildFire クラウド サービスによって発見されたシグネチャなどの新規およ
び更新されたアンチウイルス シグネチャを含みます。更新データを取得するには、脅威防御
サブスクリプションが必要です。新しいアンチウイルス シグネチャは毎日公開されます。

アプリケーション — 新規および更新されたアプリケーション シグネチャを含みます。この
更新に追加のサブスクリプションは不要ですが、有効なメンテナンス / サポートの連絡先が必
要です。新しいアプリケーション更新は週単位で公開されます。

アプリケーションおよび脅威 — 新規および更新されたアプリケーション シグネチャと脅威
シグネチャを含みます。この更新は、脅威防御サブスクリプションを購入している場合(お
よびアプリケーション更新の代わりに取得する場合)に入手できます。新しいアプリケーショ
ンおよび脅威の更新は、週単位で公開されます。

GlobalProtect データ ファイル — GlobalProtect エージェントによって返されるホスト情報プ
ロファイル(HIP)データを定義および評価するためのベンダー固有情報を含みます。更新
を受信するには、GlobalProtect ポータルと GlobalProtect ゲートウェイ ライセンスが必要で
す。また、GlobalProtect が機能を開始する前に、それらの更新のスケジュールを作成する必
要があります。

BrightCloud URL フィルタリング — BrightCloud URL フィルタリング データベースにのみ更
新を提供します。更新を取得するには、BrightCloud サブスクリプションが必要です。新しい
BrightCloud URL データベース更新は毎日公開されます。PAN-DB ライセンスを持っている場合
は、デバイスがサーバーと自動的に同期されるため、スケジュールされた更新は不要です。

WildFire — WildFire クラウド サービスで分析を実行し、その結果として作成したマルウェア
およびアンチウイルス シグネチャをほぼリアルタイムに提供します。このサブスクリプショ
ンがない場合、シグネチャがアプリケーションおよび脅威の更新に取り込まれるまで 24 ~ 48
時間待つ必要があります。
デバイス管理
13
管理ネットワークへのファイアウォールの統合
スタート ガイド
ファイアウォールで管理ポートからインターネットにアクセスできない場合は、Palo Alto
Networks サポート サイト(https://support.paloaltonetworks.com)からコンテンツ更新をダウ
ンロードして、ファイアウォールにアップロードできます。
既存のファイアウォールまたはプロキシ サーバーの後ろにファイアウォールを導入した場合、
これらの外部リソースの利用は、1 つのホスト名または IP アドレスだけにアクセスすることを許
可するアクセス制御リストを使用して制限される場合があります。そのような場合、CDN の利
用を許可するには、アップデート サーバーのアドレスを staticupdates.paloaltonetworks.com とい
うホスト名を使用するか 199.167.52.15 という IP を使用するように設定してください。
最新データベースのダウンロード
ステップ 1
ファイアウォールが CDN イン [Device] > [セットアップ] > [サービス] の順に選択します。
フラストラクチャを指し示し • ベスト プラクティスとして、updates.paloaltonetworks.com
ているかどうか確認します。
にアクセスするように [アップデート サーバー] を設定しま
す。これによって、ファイアウォールは CDN インフラス
トラクチャ内で最も近いサーバーからコンテンツの更新を
受け取ることができます。
• (任意)ファイアウォールからインターネットへのアク
セスが制限されている場合は、アップデート サーバー
のアドレスを staticupdates.paloaltonetworks.com というホス
ト名を使用するか 199.167.52.15 という IP を使用するよう
に設定してください。セキュリティを強化するには、
[ 更新サーバー ID の確認 ] を選択してください。ソフト
ウェアまたはコンテンツ パッケージのダウンロード元
サーバーが信頼された機関によって署名された SSL 証明
書を持っていることをファイアウォールは確認します。
ステップ 2
14
Web インターフェイスを起動 [Device] > [ ダイナミック更新 ] の順に選択します。
し、[ ダイナミック更新 ] ペー
ジに移動します。
デバイス管理
スタート ガイド
管理ネットワークへのファイアウォールの統合
最新データベースのダウンロード(続き)
ステップ 3
最新の更新があるかどうか確認します。
[ 今すぐチェック ](ウィンドウの左下にある)をクリックして最新の更新があるかどうか
確認します。[ アクション ] 列のリンクは、更新が入手可能かどうかを示します。
• ダウンロード — 新しい更新ファイルが入手可能なことを示します。リンクをクリック
し、ファイアウォールへのファイルの直接ダウンロードを開始します。ダウンロードが
正常に完了すると、[ アクション ] 列のリンクが [ ダウンロード ] から [ インストール ]
に変化します。
注 アプリケーションおよび脅威データベースをインストールするまでは、アンチウイル
ス データベースをダウンロードできません。
• アップグレード — 新しいバーションの BrightCloud データベースが存在することを示し
ます。リンクをクリックしてデータベースのダウンロードとインストールを開始しま
す。データベースのアップグレードがバックグラウンドで開始され、完了すると [ 現在
インストール済み ] 列にチェック マークが表示されます。URL フィルタリング データ
ベースとして PAN-DB を使用する場合はアップグレード リンクが表示されませんが、
これは、PAN-DB データベースとサーバーの同期が自動的に保たれるからです。
ヒント: アクションの状態を確認するには、[タスク](ウィンドウの右下に表示)をクリッ
クします。
• 元に戻す — 対応するソフトウェア バージョンがすでにダウンロードされていることを
示します。以前にインストールした更新のバージョンに戻すことができます。
ステップ 4
注
更新をインストールします。
[ アクション ] 列の [ インストール ] リンクをクリックしま
す。インストールが完了すると、[
現在インストール済み ]
イ ン ス ト ー ル に は 最 長 で、PA-200、
PA-500、または PA-2000 デバイスの場 列にチェック マークが表示されます。
合には 20 分、PA-3000 シリーズ、PA-4000
シリーズ、PA-5000 シリーズ、PA-7050
または VM-Series のファイアウォール
の場合には 2 分かかります。
デバイス管理
15
管理ネットワークへのファイアウォールの統合
スタート ガイド
最新データベースのダウンロード(続き)
ステップ 5
各更新をスケジュールします。 1.
スケジュールする更新ごとに
この手順を繰り返します。
ベスト プラクティス :
[ なし ] リンクをクリックすることにより、各更新タイ
プのスケジュールを設定します。
2.
ファイアウォールが一度にダ
ウンロードできる更新は 1 つ
のみであるため、スケジュー
ルが重ならないように調整し
ます。複数の更新を同じ期間
にダウンロードするようにスケ
ジュールすると、最初のダウン
3.
ロードだけが成功します。
[ 繰り返し ] ドロップダウン リストから値を選択する
ことにより、更新の頻度を指定します。指定可能な
値は、コンテンツ タイプによって異なります(WildFire
の更新は、[15 分ごと ]、[30 分ごと ]、または [ 毎時間 ]
の頻度で実行可能であるのに対し、他のすべてのコ
ンテンツ タイプの場合には [ 毎日 ] または [ 毎週 ] の
頻度で更新をスケジュールできます)。
4.
システムで更新を [ダウンロードおよびインストール] す
るか(ベスト プラクティス)、または [ ダウンロード
のみ ] を実行するかを指定します。
5.
まれに、コンテンツ更新の中でエラーが見つかるこ
とがあります。このため、リリースされてから一定
の時間が経過するまで、新しい更新のインストール
を延期することが可能です。リリースされてからコ
ンテンツ更新を実行するまでの時間は、[しきい値(時
間)] フィールドに待つ時間の長さを入力することに
よって指定できます。
6.
[OK] をクリックしてスケジュールの設定を保存します。
7.
[Commit] をクリックして、実行中の設定に対する設
定値を保存します。
[ 日時 ](または、WildFire の場合には 00 分からの経
過分数)、および該当する場合は、選択した [ 繰り返
し ] 値に応じて更新する [ 曜日 ] を指定します。
ソフトウェア更新のインストール
新しいファイアウォールをインストールするときには、最新のソフトウェア更新(または、リ
セラーや Palo Alto Networks システム エンジニアが推奨する更新バージョン)にアップグレード
して、最新のフィックスとセキュリティの強化機能を活用するようお勧めします。ソフトウェ
アを更新する前に、まず、前のセクションで説明されている最新のコンテンツ更新があること
を確認してください(ソフトウェア更新のリリース ノートでは、そのリリースでサポートされ
ている最小バージョンのコンテンツ更新が指定されています)。
PAN-OS の更新
ステップ 1
16
Web インターフェイスを起動 [Device] > [ ソフトウェア ] の順に選択します。
し、ソフトウェア ページに移
動します。
デバイス管理
スタート ガイド
管理ネットワークへのファイアウォールの統合
PAN-OS の更新(続き)
ステップ 2
ソフトウェア更新があるかど [ 今すぐチェック ] をクリックして最新の更新があるかどう
うか確認します。
か確認します。[ アクション ] 列の値が [ ダウンロード ] の
場合は、入手可能な更新があることを示します。
ステップ 3
更新をダウンロードします。
注
必要なバージョンを見つけて [ ダウンロード ] をクリック
ファイアウォールで管理ポートからイ します。ダウンロードが完了すると、[ アクション ] 列の値
ンターネットにアクセスできない場合 が [ インストール ] になります。
は、Palo Alto Networks サポート サイト
(https://support.paloaltonetworks.com)
からソフトウェア更新をダウンロード
できます。その後、ファイアウォール
に手動で [ アップロード ] することがで
きます。
ステップ 4
更新をインストールします。
1.
[ インストール ] をクリックします。
2.
ファイアウォールを再起動します。
• 再起動のプロンプトが表示されたら、[ はい ] をク
リックします。
• 再起動のプロンプトが表示されない場合は、[Device] >
[ セットアップ ] > [ 操作 ] の順に選択し、画面の [ デ
バイスの操作 ] セクションの [ デバイスの再起動 ] を
クリックします。
デバイス管理
17
ペリメータ セキュリティの確立
スタート ガイド
ペリメータ セキュリティの確立
以下のトピックでは、ファイアウォール インターフェイスの設定、ゾーンの定義、および基本
的なセキュリティ ポリシーのセットアップについての基本的な手順について説明します。

ペリメータ セキュリティの概要

ファイアウォールへの管理アクセスのセットアップ

NAT ポリシーの設定

基本的なセキュリティ ポリシーのセットアップ
ペリメータ セキュリティの概要
ファイアウォールでトラフィックを管理および制御するには、そのファイアウォールをトラ
フィックが通過する必要があります。物理的には、トラフィックはインターフェイスを介して
ファイアウォールを出入りします。ファイアウォールでは、パケットがセキュリティ ポリシー
と一致するかどうかに基づいてパケットの処理方法が決定されます。最も基本的なレベルで
は、セキュリティ ポリシーによりトラフィックの宛先および送信先を識別します。Palo Alto
Networks の次世代ファイアウォールでは、セキュリティ ポリシーがゾーン間で適用されます。
ゾーンは(物理または仮想)インターフェイス グループの一種で、信頼エリアを抽象化するこ
とにより、ポ リシーの実 施を簡略化 します。たと えば、次のトポ ロジ図では、「Trust」、
「Untrust」、「DMZ」という 3 つのゾーンがあります。ゾーン内ではトラフィックが自由に通
過しますが、ゾーン間の場合は、セキュリティ ポリシーでトラフィックの通過が許可されるま
では自由に通過できません。
18
デバイス管理
スタート ガイド
ペリメータ セキュリティの確立
以下のセクションでは、ペリメータ セキュリティのコンポーネントについて説明するとともに、
ファイアウォール インターフェイスの設定、ゾーンの定義、および基本的なセキュリティ ポリ
シーのセットアップを行うことにより、内部ゾーンからインターネットや DMZ へトラフィック
を通過させるための手順について説明します。初めにこのような基本ポリシーを作成することに
より、ネットワークを通過するトラフィックを分析し、その情報を使用してより詳細なポリシーを
定義して、あらゆる脅威を回避しながらアプリケーションを安全に有効にすることができます。

基本ファイアウォールのデプロイメント

ネットワーク アドレス変換(NAT)について

セキュリティ ポリシーについて
基本ファイアウォールのデプロイメント
Palo Alto Networks の次世代ファイアウォールでは、ダイナミック ルーティング、スイッチン
グ、および VPN 接続のサポートなど、柔軟なネットワーク アーキテクチャを提供し、さまざ
まなネットワーク環境でファイアウォールのデプロイを可能にします。ファイアウォールで
Ethernet ポートを設定する場合、バーチャル ワイヤー、レイヤー 2、レイヤー 3 の中からイン
ターフェイスのデプロイメントを選択できます。さらに、さまざまなネットワーク セグメント
に統合できるように、異なるポートでさまざまなインターフェイス タイプを設定できます。
以下のセクションでは、デプロイメントのタイプ別の基本情報について説明します。

バーチャル ワイヤー デプロイメント

レイヤー 2 デプロイメント

レイヤー 3 デプロイメント
デプロイメント情報の詳細は、Designing Networks with Palo Alto Networks Firewalls を参照してくだ
さい。
バーチャル ワイヤー デプロイメント
バーチャル ワイヤー デプロイメントの場合、ファイアウォールは、2 つのポートを結合するこ
とによってネットワーク セグメント上に透過的にインストールされます。バーチャル ワイヤー
を使用することにより、隣接するデバイスを再設定しなくても、あらゆるネットワーク環境で
ファイアウォールをインストールできます。バーチャル ワイヤーでは、必要に応じて、仮想 LAN
(VLAN)タグ値に基づいてトラフィックをブロックまたは許可することができます。また、
複数のサブインターフェイスを作成し、IP アドレス(アドレス単体、範囲、またはサブネット)、
VLAN、またはその両方の組み合わせに基づいてトラフィックを分類することもできます。
デフォルトでは(default-vwire という)バーチャル ワイヤーが Ethernet ポート 1 と 2 にバインドさ
れ、タグのないトラフィックをすべて許可します。デプロイメントや設定をシンプルにしたい
場合や、周辺ネットワーク デバイスの設定変更を避けたい場合はこのデプロイメントを選択し
てください。
デバイス管理
19
ペリメータ セキュリティの確立
スタート ガイド
バーチャル ワイヤーはデフォルトの設定であり、スイッチングまたはルーティングのいずれも
不要な場合にのみ使用する必要があります。デフォルトのバーチャル ワイヤーを使用する予定
がない場合は、定義する他のインターフェイス設定と干渉しないようにするため、その設定を
手動で削除してからインターフェイスの設定を続行する必要があります。デフォルトのバー
チャル ワイヤーとその関連セキュリティ ポリシーおよびゾーンを削除する方法の詳細は、「外
部サービスへのアクセス用データ ポートのセットアップ」のステップ 3 を参照してください。
レイヤー 2 デプロイメント
レイヤー 2 デプロイメントの場合、ファイアウォールは複数インターフェイス間のスイッチン
グを行います。ファイアウォールでこのスイッチングを行うには、インターフェイスの各グ
ループが 1 つの VLAN オブジェクトに割り当てられている必要があります。レイヤー 2 サブイ
ンターフェイスが共通の VLAN オブジェクトに接続されていると、ファイアウォールで VLAN
タグのスイッチングが行われます。このオプションは、スイッチングが必要な場合に選択し
ます。
レイヤー 2 デプロイメントの詳細は、Layer 2 Networking Tech Note または Securing Inter VLAN
Traffic Tech Note を参照してください。
レイヤー 3 デプロイメント
レイヤー 3 デプロイメントの場合、ファイアウォールはポート間でトラフィックをルーティン
グします。トラフィックをルーティングするには、各インターフェイスに IP アドレスを割り当
て、仮想ルーターを定義する必要があります。このオプションは、ルーティングが必要な場合
に選択します。
設定するレイヤー 3 の物理インターフェイスごとに IP アドレスを割り当てる必要があります。
また、レイヤー 3 の物理インターフェイスごとに論理サブインターフェイスを作成することに
より、たとえばマルチテナンシーなどの場合は、VLANタグ(VLANトランクを使用している場
合)に基づいて、または IP アドレス単位で、インターフェイス上のトラフィックを分離するこ
とも可能です。
さらに、レイヤー 3 デプロイメントではファイアウォールでのトラフィックをルーティングす
る必要があるため、仮想ルーターを設定する必要があります。スタティック ルートを追加する
のと同じように、動的ルーティング プロトコル(BGP、OSPF、RIP など)に参加するように仮
想ルーターを設定できます。また、複数の仮想ルーターを作成し、各ルーターが他のルーター
と共有しない独立したルートを保持することにより、インターフェイス間で異なるルーティン
グの動作を設定できます。
この章の設定例は、スタティック ルートを使用してファイアウォールをレイヤー 3 ネットワー
クに組み込む方法を表しています。その他のタイプのルーティングによる統合の詳細は、以下
のドキュメントを参照してください。

How to Configure OSPF Tech Note

How to Configure BGP Tech Note
20
デバイス管理
スタート ガイド
ペリメータ セキュリティの確立
ネットワーク アドレス変換(NAT)について
内部ネットワークでプライベート IP アドレスを使用する場合、プライベート アドレスを外部
ネットワークにルーティングできるパブリック アドレスに変換するために、ネットワーク アド
レス変換(NAT)を使用する必要があります。PAN-OS では、変換が必要なパケットおよび変
換方法についてファイアウォールに指示する NAT ポリシー ルールを作成します。ファイア
ウォールでは、送信元アドレスとポートの変換、宛先アドレスとポートの変換のどちらにも対
応します。さまざまなタイプの NAT ルールの詳細は、Understanding and Configuring NAT Tech
Note を参照してください。
定義したゾーンに応じて必要なポリシーを決定するために、ファイアウォールで NAT ポリシー
およびセキュリティ ポリシーを適用する方法について理解することが重要です。パケットの着
信時に、送信元ゾーンと宛先ゾーンに基づいて、そのパケットが定義済みの NAT ルールと一致
するかどうかをファイアウォールが検査します。次に、元の(NAT 前の)送信元アドレスと宛
先アドレスに基づいて、パケットと一致するセキュリティ ルールを評価および適用します。最
後に、出力時に送信元ポートまたは宛先ポートの番号に一致する NAT ルールに変換します。こ
れは、ファイアウォールでパケットの宛先ゾーンを決定する基準がパケットのアドレスであ
り、内部的に割り当てられたアドレスに基づくデバイスの配置ではないことを意味するため、
前述のような区別が重要となります。
セキュリティ ポリシーについて
セキュリティ ポリシーにより、ネットワーク資産を脅威や障害から保護し、ネットワーク リソー
スの最適な割り当てを補助することで、ビジネス プロセスでの生産性や効率性を強化します。
Palo Alto Networks のファイアウォールでは、セキュリティ ポリシーにより、送信元および宛先の
セキュリティ ゾーン、送信元および宛先の IP アドレス、アプリケーション、ユーザー、サービ
スなどのトラフィック属性に基づいて、セッションをブロックするか許可するかが決定されま
す。デフォルトでは、ゾーン内トラフィック(trust ゾーンから trust ゾーンなど、同じゾーン内の
トラフィック)が許可されています。異なるゾーン間のトラフィック(ゾーン間トラフィック)
は、セキュリティ ポリシーを作成してそのトラフィックを許可しない限りブロックされます。
セキュリティ ポリシーの評価は、左から右、上から下に行われます。定義済みの基準を満たす最
初のルールとパケットが一致すると、それが引き金となり、それ以降のルールは評価されませ
ん。そのため、ベストマッチする基準を適用するには、個別のルールを一般的なルールよりも優
先的に評価する必要があります。トラフィックがルールと一致すると、そのルールでログが有効
になっていれば、セッションの最後にログのエントリがトラフィック ログに記録されます。ログ
のオプションはルールごとに設定可能で、セッションの最後ではなく最初にログを記録するように
設定したり、セッションの最初と最後の両方でログを記録するように設定することも可能です。

セキュリティ ポリシーのコンポーネント

ポリシーのベスト プラクティス

ポリシー オブジェクトについて

セキュリティ ポリシーについて
デバイス管理
21
ペリメータ セキュリティの確立
スタート ガイド
セキュリティ ポリシーのコンポーネント
セキュリティ ポリシーを作成することにより、以下に挙げるような必須コンポーネントとオプ
ション コンポーネントの組み合わせが可能になります。
フィールド
必須フィールド 名前
オプション
フィールド
22
説明
31 文字まで対応可能なラベルで、ルールの識別に使用します。
送信元ゾーン
トラフィックの送信元となるゾーン。
宛先ゾーン
トラフィックの宛先となるゾーン。NAT を使用している場
合、常に NAT 後のゾーンを参照するようにしてください。
アプリケーション
制 御 す る ア プ リ ケ ー シ ョ ン。フ ァ イ ア ウ ォ ー ル で は、ト ラ
フィックの分類テクノロジーである App-ID を使用して、ネット
ワーク上のトラフィックを識別します。App-ID により、作成さ
れたセキュリティ ポリシーの中でアプリケーションを制御およ
び可視化し、不明なアプリケーションをブロックすると同時
に、許可されるアプリケーションを有効化、検査、および形成
できます。
動作
ルールで定義する基準に基づいて、トラフィックのアクション
を [ 許可 ] または [ 拒否 ] に指定します。
タグ
セキュリティ ルールをフィルタリングできるようにするため
の、キーワードまたはフレーズ。多数のルールを定義してい
て、Inbound to DMZ など、特定のキーワードによりタグ付けされて
いるルールをレビューする場合には、これらのタグが便利です。
説明
255 文字以下のテキスト フィールドで、ルールの説明に使用し
ます。
送信元 IP アドレス
ホスト IP または FQDN、サブネット、名前付きグループ、ま
たは国ベースの適用を定義します。NAT を使用している場
合、常にパケットの元の IP アドレス(NAT 前の IP アドレスな
ど)を参照するようにしてください。
宛先 IP アドレス
トラフィックの場所または宛先。NAT を使用している場合、
常にパケットの元の IP アドレス(NAT 前の IP アドレスなど)
を参照するようにしてください。
ユーザー
ポリシーの適用対象となるユーザーまたはユーザー グループ。
ゾーンで User-ID を有効にする必要があります。User-ID を有効に
する方法の詳細は、「User-ID の概要」を参照してください。
デバイス管理
スタート ガイド
ペリメータ セキュリティの確立
フィールド
説明(続き)
URL カテゴリ
一致条件として [URL カテゴリ ] を使用すると、URL カテゴリ
単位にセキュリティ プロファイル(アンチウイルス、アンチ
スパイウェア、脆弱性、ファイル ブロッキング、データ フィ
ルタリング、DoS)をカスタマイズできます。たとえば、危険
度の高いことを示す URL カテゴリの .exe ファイルをダウンロー
ド / アップロードできないようにし、それ以外のカテゴリの
ファイルを許可することが可能です。この機能では、特定の
URL カテゴリにスケジュールを関連付けること(昼休み中また
は勤務時間外のソーシャル メディア Web サイトを許可する)
や、特定の URL カテゴリを QoS でマークすること(金融、医
療、ビジネス)、URL カ テ ゴ リ 単 位 に 異 な る ロ グ 転 送 プ ロ
ファイルを選択することもできます。
URL カテゴリはデバイスで手動設定できますが、Palo Alto Networks
ファイアウォールで提供される URL カテゴリの動的更新を利
用するには、URL フィルタリング ライセンスを購入する必要
があります。
注
サービス
レイヤー 4(TCP または UDP)のポートをアプリケーション用
に選択することもできます。[any] を選択するか、ポートを指定
するか、または application-default を使用して、アプリケーション
の標準ベースのポートの使用を許可できます。たとえば DNS
な ど、既 知 の ポ ー ト 番 号 を 持 つ ア プ リ ケ ー シ ョ ン の 場 合、
[application-default] オプションを選択すると、TCP ポート 53 上で
のみ DNS トラフィックを照合します。カスタム アプリケー
ションを追加して、そのアプリケーションで使用可能なポート
を定義することもできます。
注
デバイス管理
URL カテゴリに基づいてトラフィックをブロックまたは
許 可 す る に は、セ キ ュ リ テ ィ ポ リ シ ー ル ー ル に URL
フィルタリング プロファイルを適用する必要がありま
す。[URL カテゴリ ] を Any として定義し、セキュリティ
ポリシーに URL フィルタリング プロファイルを関連付け
ます。デフォルトのプロファイルをセキュリティ ポリ
シーで使用する方法については、「セキュリティ ルール
の作成」を参照してください。詳細は、「Web コンテン
ツへのアクセス制御」を参照してください。
インバウンド許可ルールの場合(たとえば Untrust から Trust
など)、application-default を使用すると、アプリケーション
を標準以外のポートやプロトコルで実行できなくなりま
す。application-default はデフォルトのオプションです。デ
バイスは引き続きすべてのポートのすべてのアプリケー
ションをチェックしますが、この設定にすることで、ア
プリケーションは標準のポート / プロトコルでのみ許可
されます。
23
ペリメータ セキュリティの確立
オプション
フィールド
スタート ガイド
フィールド
説明(続き)
セキュリティ
プロファイル
脅威、脆弱性、データの漏洩などから、さらにシステムを保護
します。セキュリティ プロファイルは、許可のアクションを
含むルールに対してのみ評価されます。
HIP プロファイル
ホスト インフォーメーション プロファイル(HIP)を持つクラ
(GlobalProtect の場合) イアントを識別してから、アクセス権を適用できます。
オプション
セッションのログの定義、ログの転送設定、ルールに一致する
パケットの Quality of Service(QoS)マーキングの変更、および
セキュリティ ルールを有効にするタイミング(日時)のスケ
ジュールなどの設定が可能です。
ポリシーのベスト プラクティス
安全なインターネット アクセスを可能にし、Web アクセス権の誤使用、脆弱性や攻撃への曝露
を回避するタスクは、継続的なプロセスです。Palo Alto Networks のファイアウォールでポリ
シーを定義する場合の主原則は、ポジティブ エンフォースメント アプローチを用いることで
す。ポジティブ エンフォースメントとは、日常業務に必要なものを選択的に許可することで、
これに対してネガティブ エンフォースメント アプローチの場合、許可されないものをすべて選
択的にブロックすることです。ポリシーを作成する場合、以下の事項を考慮します。

セキュリティ要件が同じゾーンに複数ある場合、それらを 1 つのセキュリティ ルールにま
とめます。

ベストマッチする基準を確保するには、ルールの順序が重要です。ポリシーはトップダウ
ン方式で評価されるため、個別のルールを一般的なルールよりも優先する必要がありま
す。つまり、個別のルールをシャドウしないことです。「シャドウ」という用語は、ポリ
シー リストの下位に配置されているために評価されない、または省略されるルールのこと
です。ルールが下位に配置されていると、先行する別のルールが一致基準を満たすことに
より、下位のルールはポリシーの評価からシャドウされます。

インバウンド アプリケーションへのアクセスを制御および制限するには、サービス/アプリ
ケーションがリッスンするポートをセキュリティ ポリシーで明示的に定義します。

DNS のような既知のサービスへのアクセスなど、広範な許可ルールをログに記録すると、
たくさんのトラフィックが発生します。そのため、絶対的に必要な場合を除き、この方法
は推奨されません。

デフォルトでは、セッションの最後にファイアウォールでログのエントリが作成されま
す。ただし、このデフォルトの動作を変更して、セッションの最初にファイアウォールで
ログを記録するように設定することもできます。セッション開始時にログを記録するよう
に設定すると、ログの量が大幅に増えるため、問題のトラブルシューティングを行う場合
にのみ推奨されます。セッション開始時のログを有効にしなくても、トラブルシューティ
ングを行える別の方法として、セッション ブラウザ([Monitor] > [ セッション ブラウザ ])
を使用してリアルタイムでセッションを表示する方法があります。
24
デバイス管理
スタート ガイド
ペリメータ セキュリティの確立
ポリシー オブジェクトについて
ポリシー オブジェクトは、単一のオブジェクトまたは集合単位で、IP アドレス、URL、アプリ
ケーション、ユーザーなどの個別の ID をグループ化するものです。ポリシー オブジェクトが
集合単位の場合、複数のオブジェクトを手動で 1 つずつ選択しなくても、セキュリティ ポリ
シーでそのオブジェクトを参照できます。一般的にポリシー オブジェクトを作成する場合、
ポリシーで同様のアクセス権限を必要とするオブジェクトをグループ化します。たとえば、組
織が一連のサーバーの IP アドレスを使用してユーザーを認証する場合、それらのサーバーの
IP アドレスをアドレス グループのポリシー オブジェクトとしてグループ化し、そのアドレス
グループをセキュリティ ポリシーで参照します。オブジェクトをグループ化することにより、
ポリシー作成時の管理者の負担が大幅に軽減されます。
以下のポリシー オブジェクトをファイアウォールで作成できます。
ポリシー オブジェクト
説明
アドレス / アドレス
グループ、地域
同じポリシーを実施する必要のある特定の送信元アドレスまたは宛先アド
レスをグループ化できます。アドレス オブジェクトには、IPv4 または
IPv6 のアドレス(単一 IP、範囲、サブネット)または FQDN を含めるこ
とができます。または、緯度と経度の座標で地域を定義したり、国を選択
して IP アドレスまたは IP の範囲を定義したりできます。こうすること
で、アドレス オブジェクトのコレクションをグループ化し、アドレス グ
ループ オブジェクトを作成できます。
You can also use dynamic address groups to dynamically update IP addresses in
environments where host IP addresses change frequently.
ユーザー/ ユーザー グループ ローカル データベースまたは外部データベースからユーザーのリストを
作成し、それらをグループ化できます。
アプリケーション グループ
およびアプリケーション
フィルタ
アプリケーション フィルタにより、アプリケーションを動的にフィルタ
リングでき、ファイアウォールのアプリケーション データベースで定義
した属性を使用して、一連のアプリケーションをフィルタリングおよび保
存できます。たとえば、カテゴリ、サブカテゴリ、テクノロジー、リス
ク、特性など、1 つ以上の属性によるフィルタリングが可能で、独自の
アプリケーション フィルタを保存できます。アプリケーション フィルタ
があれば、PAN-OS コンテンツの更新が発生した場合に、フィルタ基準を
満たす新規アプリケーションが自動的に保存されているアプリケーション
フィルタに追加されます。
アプリケーション グループにより、あるユーザー グループまたは特定の
サービスに対してグループ化したい特定のアプリケーションの静的グルー
プを作成できます。
デバイス管理
25
ペリメータ セキュリティの確立
ポリシー オブジェクト
スタート ガイド
説明
サービス / サービス グループ 送信元ポートと宛先ポート、およびサービスで使用できるプロトコルを指
定できます。ファイアウォールには、service-http と service-https という 2 つ
の事前定義サービスが含まれています。これらのサービスでは、TCP ポー
ト 80 および 8080 を HTTP に、TCP ポート 443 を HTTPS に使用します。た
だし、カスタム サービスを任意の TCP/UDP ポートで自由に作成して、ア
プリケーションの使用をネットワーク上の特定のポートに制限できます
(つまり、アプリケーションのデフォルト ポートを定義できます)。
アプリケーションで使用する標準ポートを表示するには、[Objects] >
[ アプリケーション ] の順に選択してアプリケーションを検索し、リ
ンクをクリックします。簡単な説明が表示されます。
アドレスおよびアプリケーション ポリシー オブジェクトのいくつかの例が、「セキュリティ
ルールの作成」のセキュリティ ポリシーに示されています。その他のポリシー オブジェクトの
詳細は、「基本的な脅威防御機能の有効化」を参照してください。
セキュリティ ポリシーについて
セキュリティ ポリシーにより、ネットワーク上のトラフィックを許可または拒否できますが、
許可するがスキャンを実施するルールを定義する場合は、セキュリティ プロファイルが役に立
ちます。この場合、許可されたアプリケーションに対する脅威がスキャンされます。トラ
フィックがセキュリティ ポリシーで定義した許可ルールと一致する場合、そのルールに関連付
けられたセキュリティ プロファイルが、アンチウイルス チェックやデータ フィルタリングな
どのコンテンツ検査ルールにさらに適用されます。
セキュリティ プロファイルは、トラフィック フローの一致基準には使用されません。セキュ
リティ プロファイルは、セキュリティ ポリシーでアプリケーションまたはカテゴリが許可さ
れた後に適用され、トラフィックをスキャンします。
セキュリティ ポリシーに関連付けることができるセキュリティ プロファイルには、アンチウイ
ルス、アンチスパイウェア、脆弱性防御、URL フィルタリング、ファイル ブロッキング、デー
タ フィルタリングがあります。ファイアウォールでは、デフォルトのセキュリティ プロファイ
ルをそのまま使用して、すぐにネットワークを脅威から保護できます。デフォルトのプロファ
イルをセキュリティ ポリシーで使用する方法の詳細は、「セキュリティ ルールの作成」を参照
してください。ネットワークに必要なセキュリティについて理解を深めると、カスタム プロ
ファイルを作成できます。詳細は、「脅威を確認するためのトラフィックのスキャン」を参照
してください。
26
デバイス管理
スタート ガイド
ペリメータ セキュリティの確立
インターフェイスおよびゾーンの設定
以下のセクションでは、インターフェイスおよびゾーンの設定について説明します。

デプロイメント計画

インターフェイスとゾーンの設定
デプロイメント計画
インターフェイスおよびゾーンの設定を開始する前に、組織内でのさまざまな使用条件に基づ
き、必要なゾーンについて綿密に計画する必要があります。さらに、必要な設定情報をすべて
事前に収集する必要があります。基本レベルでは、どのインターフェイスがどのゾーンに属す
るかについて計画します。レイヤー 3 デプロイメントの場合、仮想ルーターの設定に必要なルー
ティング プロトコルまたは静的ルートの設定方法など、必要な IP アドレスおよびネットワーク
設定情報も、ネットワーク管理者から入手する必要があります。本章の例は、以下のトポロジ
に基づいています。
図 : レイヤー 3 トポロジのサンプル
以下の表に、サンプル トポロジに示すレイヤー 3 インターフェイスとそれに対応するゾーンの
設定に使用する情報を示します。
ゾーン
デプロイメント タイプ
インターフェイス
設定
Untrust
L3
Ethernet1/3
IP アドレス : 208.80.56.100/24
仮想ルーター: default
デフォルト ルート : 0.0.0.0/0
ネクスト ホップ : 208.80.56.1
Trust
L3
Ethernet1/4
IP アドレス : 192.168.1.4/24
仮想ルーター: default
DMZ
L3
Ethernet1/13
IP アドレス : 10.1.1.1/24
仮想ルーター: default
デバイス管理
27
ペリメータ セキュリティの確立
スタート ガイド
インターフェイスとゾーンの設定
ゾーンとそれに対応するインターフェイスを計画後、デバイスでそれらを設定できます。それ
ぞれのインターフェイスの設定方法は、ネットワーク トポロジにより異なります。
以下の手順は、「図 : レイヤー 3 トポロジのサンプル」に示したサンプル トポロジに示したレ
イヤー 3 デプロイメントの設定方法を示しています。
ファイアウォールは、Ethernet 1/1 ポートと Ethernet 1/2(および対応するデフォルトのセキュ
リティ ポリシーと仮想ルーター)の間のデフォルトのバーチャル ワイヤー インターフェイス
が事前設定されて出荷されます。このデフォルトのバーチャル ワイヤーを使用する予定がない
場合は、定義する他の設定と干渉しないようにするため、手動でこの設定を削除してから設定
を続行する必要があります。デフォルトのバーチャル ワイヤーとその関連セキュリティ ポリ
シーおよびゾーンを削除する方法の詳細は、「外部サービスへのアクセス用データ ポートの
セットアップ」の手順 3 を参照してください。
インターフェイスおよびゾーンの設定
ステップ 1
28
インターネット ルーターへのデ 1.
フォルト ルートを設定します。
[Network] > [ 仮想ルーター] の順に選択し、default
リンクを選択して [ 仮想ルーター] ダイアログを開き
ます。
2.
[ スタティック ルート ] タブを選択して [ 追加 ] をク
リックします。[名前] フィールドにルート名を入力し、
[ 宛先 ] フィールドにルートの宛先(例 : 0.0.0.0/0)を入
力します。
3.
[ ネクスト ホップ ] で [IP アドレス ] ラジオ ボタンをク
リックし、インターネット ゲートウェイの IP アドレス
とネットマスク(例 : 208.80.56.1)を入力します。
4.
[OK] を 2 回クリックして仮想ルーターの設定を保存
します。
デバイス管理
スタート ガイド
ペリメータ セキュリティの確立
インターフェイスおよびゾーンの設定(続き)
ステップ 2
デバイス管理
外部インターフェイス(イン 1.
ターネットに接続するインター
フェイス)を設定します。
[Network] > [ インターフェイス ] の順に選択し、設定す
る イ ン タ ー フ ェ イ ス を 選 択 し ま す。こ の 例 で は、
Ethernet1/3 を外部インターフェイスとして設定します。
2.
[ インターフェイス タイプ ] を選択します。ここで選択
するタイプはご使用のネットワーク トポロジに応じ
て異なりますが、この例では、[ レイヤー 3] の場合の
手順を示します。
3.
[ 設定 ] タブで、[ セキュリティ ゾーン ] ドロップダウ
ン リストから [ 新規ゾーン ] を選択します。[ ゾーン ] ダ
イアログの [ 名前 ] で「Untrust」などの名前をつけて
新しいゾーンを定義し、[OK] をクリックします。
4.
[ 仮想ルーター] ドロップダウン リストで、[ デフォル
ト ] を選択します。
5.
IP アドレスをインターフェイスに割り当てるには、[IPv4]
タブを選択してから IP セクションで [ 追加 ] をクリッ
クし、インターフェイスに割り当てる IP アドレスと
ネットマスク(例 : 208.80.56.100/24)を入力します。
6.
インターフェイスの ping を有効にするには、[ 詳細 ] >
[ その他の情報 ] の順にクリックし、[ 管理プロファイ
ル ] ドロップダウン リストを展開して [ 新規管理プロ
ファイル ] を選択します。[ 名前 ] フィールドにプロ
ファイル名を入力し、[Ping] を選択してから [OK] を
クリックします。
7.
インターフェイス設定を保存するには、[OK] をクリッ
クします。
29
ペリメータ セキュリティの確立
スタート ガイド
インターフェイスおよびゾーンの設定(続き)
ステップ 3
注
この例のインターフェイスは、プライ
ベート IP アドレスを使用するネット 2.
ワーク セグメントに接続します。プラ
イベート IP アドレスは外部にルーティ 3.
ングできないため、NAT を設定する必
要があります。「NAT ポリシーの設
定」を参照してください。
ステップ 4
ステップ 5
30
内部ネットワークに接続するイ 1.
ンターフェイスを設定します。
[Network] > [ インターフェイス ] の順に選択し、設定す
る イ ン タ ー フ ェ イ ス を 選 択 し ま す。こ の 例 で は、
Ethernet1/4 を内部インターフェイスとして設定します。
[ インターフェイス タイプ ] ドロップダウン リストか
ら [Layer3] を選択します。
[ 設定 ] タブで、[ セキュリティ ゾーン ] ドロップダウン
リストを展開して [ 新規ゾーン ] を選択します。[ ゾーン ]
ダイアログの [ 名前 ] で「Trust」などの名前をつけて
新しいゾーンを定義し、[OK] をクリックします。
4.
ステップ 2 で使用したものと同じ仮想ルーター(この
例ではデフォルト)を選択します。
5.
IP アドレスをインターフェイスに割り当てるには、[IPv4]
タブを選択してから IP セクションで [ 追加 ] をクリッ
クし、インターフェイスに割り当てる IP アドレスと
ネットマスク(例 : 192.168.1.4/24)を入力します。
6.
インターフェイスの ping を有効にするには、ステッ
プ 2-6 で作成した管理プロファイルを選択します。
7.
インターフェイス設定を保存するには、[OK] をクリッ
クします。
DMZ に接続するインターフェ 1.
イスを設定します。
2.
設定するインターフェイスを選択します。
[ インターフェイス タイプ ] ドロップダウン リストか
ら [Layer3] を選択します。この例では、Ethernet1/13 を
DMZ インターフェイスとして設定します。
3.
[ 設定 ] タブで、[ セキュリティ ゾーン ] ドロップダウ
ン リストを展開して [ 新規ゾーン ] を選択します。
[ ゾーン ] ダイアログの [ 名前 ] で「DMZ」などの名
前をつけて新しいゾーンを定義し、[OK] をクリック
します。
4.
ステップ 2 で使用した仮想ルーター(この例ではデ
フォルト)を選択します。
5.
IP アドレスをインターフェイスに割り当てるには、[IPv4]
タブを選択してから IP セクションで [ 追加 ] をクリッ
クし、インターフェイスに割り当てる IP アドレスと
ネットマスク(例 : 10.1.1.1/24)を入力します。
6.
インターフェイスの ping を有効にするには、ステッ
プ 2-6 で作成した管理プロファイルを選択します。
7.
インターフェイス設定を保存するには、[OK] をクリッ
クします。
インターフェイスの設定を保 [Commit] をクリックします。
存します。
デバイス管理
スタート ガイド
ペリメータ セキュリティの確立
インターフェイスおよびゾーンの設定(続き)
ステップ 6
フ ァ イ ア ウ ォ ー ル を 配 線 し ストレート ケーブルを使用して、設定したインターフェイ
ます。
スから対応するスイッチまたはルーターにネットワーク セ
グメントごとに接続します。
ステップ 7
インターフェイスがアクティ Web インターフェイスから、[Network] > [ インターフェイ
ブであることを確認します。 ス ] の順に選択し、[ リンク状態 ] 列のアイコンが緑になっ
ていることを確認します。また、[Dashboard] の [ イン
ターフェイス ] ウィジェットからリンク状態をモニタリン
グすることもできます。
NAT ポリシーの設定
インターフェイスおよびゾーンの作成に使用したサンプル トポロジを元に、次の 3 つの NAT ポ
リシーを作成する必要があります。

内部ネットワークのクライアントからインターネット上のリソースにアクセスできるように
するには、内部アドレス 192.168.1.0 をルーティング可能なパブリック アドレスに変換する必
要があります。この場合、出力インターフェイス アドレス 208.80.56.100 を使用して、内部
ゾーンからファイアウォールを通過するすべてのパケットの送信元アドレスとして、送信元
NAT を設定します。方法については、「内部クライアントの IP アドレスからパブリック IP
アドレスへの変換」を参照してください。
デバイス管理
31
ペリメータ セキュリティの確立
スタート ガイド

内部ネットワークのクライアントから DMZ ゾーンのパブリック Web サーバーにアクセスで
きるようにするには、外部ネットワークからのパケットをリダイレクトする NAT ルールを
設定する必要があります。この場合、元のルーティング テーブルを検索することにより、パ
ケット内の宛先アドレス 208.80.56.11 に基づき、DMZ ネットワーク上の Web サーバーが持つ
実際のアドレス 10.1.1.11 に移動する必要があると判断します。このような変換を行うには、
宛先アドレスを DMZ ゾーンのアドレスに変換するための、Trust ゾーン(パケットの送信元
アドレスが存在する場所)から Untrust ゾーン(元の宛先アドレスが存在する場所)への
NAT ルールを作成する必要があります。このタイプの宛先 NAT を「U ターン NAT」といい
ます。方法については、「内部ネットワークのクライアントからパブリック サーバーへのア
クセスを有効にする」を参照してください。

DMZ ネットワークのプライベート IP アドレスと、外部ユーザーがアクセスするパブリック
フェイシング アドレスの両方を持つ Web サーバーで、要求を送受信できるようにするに
は、ファイアウォールでパブリック IP アドレスからプライベート IP アドレスに着信するパ
ケットを、プライベート IP アドレスからパブリック IP アドレスに発信するパケットに変換
する必要があります。ファイアウォールで双方向の静的な送信元 NAT のポリシーを 1 つ作
成すれば、このような変換を実現できます。「パブリックフェイシング サーバーの双方向ア
ドレス変換を有効にする」を参照してください。
内部クライアントの IP アドレスからパブリック IP アドレスへの変換
内部ネットワークのクライアントから要求を送信する場合、パケットの送信元アドレスにその
内部ネットワーク クライアントの IP アドレスが含まれます。プライベート IP アドレスの範囲
を内部で使用している場合、ネットワークから発信されるパケットの送信元 IP アドレスをルー
ティング可能なパブリック アドレスに変換しない限り、クライアントのパケットをインター
ネットにルーティングできません。送信元アドレスと送信元ポート(任意)とをパブリック ア
ドレスに変換する送信元 NAT のポリシーをファイアウォールで設定すれば、このような変換を
実現できます。その方法の 1 つとして、以下の手順に示すように、すべてのパケットの送信元
アドレスをファイアウォールの出力インターフェイスに変換する方法があります。
32
デバイス管理
スタート ガイド
ペリメータ セキュリティの確立
送信元 NAT の設定
ステップ 1
使用する外部 IP アドレスのオ 1.
ブジェクトを作成します。
Web インターフェイスから、[Objects] > [ アドレス ] の
順に選択し、[ 追加 ] をクリックします。
2.
[名前 ] フィールドに名前を入力し、必要に応じて [内
容 ] フィールドにオブジェクトの説明を入力します。
3.
[ タイプ ] ドロップダウン リストから [IP ネットマスク ]
を選択し、ファイアウォールの外部インターフェイ
スの IP アドレスとネットワーク マスク(この例では
208.80.56.100/24)を入力します。
4.
アドレス オブジェクトを保存するには、[OK] をクリッ
クします。
ベスト プラクティス :
ポリシーでアドレス オブジェクトを使用する必要がない場
合でも、アドレス オブジェクトを作成しておけば、アドレ
スの参照基準となるポリシーを個別ではなく一括で更新で
きるなど、管理者の負担が軽減されるため、作成しておく
のがベスト プラクティスです。
ステップ 2
NAT ポリシーを作成します。
1. [Policies] > [NAT] の順に選択し
て [ 追加 ] をクリックします。
2. [名前] フィールドに分かりやす
いポリシー名を入力します。
3. [ 元のパケット ] タブの [ 送信
元ゾーン ] セクションで内部
ネットワーク用に作成した
ゾーンを、[ 宛先ゾーン ] ド
ロップダウン リストで外部
ネットワーク用に作成した
ゾーンを、それぞれ選択します([ 追加 ] をクリックしてゾーンを選択します)。
4. [ 変換済みパケット ] タブの [ 送信元アドレスの変換 ] セクションで、[ 変換タイプ ] ド
ロップダウン リストから [ ダイナミック IP およびポート ] を選択し、[ 追加 ] をクリッ
クします。ステップ 1 で作成したアドレス オブジェクトを選択します。
5. [OK] をクリックして NAT ポ
リシーを保存します。
ステップ 3
デバイス管理
設定を保存します。
[Commit] をクリックします。
33
ペリメータ セキュリティの確立
スタート ガイド
内部ネットワークのクライアントからパブリック サーバーへのアクセスを有効にする
内部ネットワークのユーザーが、DMZ にある企業 Web サーバーへのアクセス要求を送信する
場合、DNS サーバーがパブリック IP アドレスを解決します。要求を処理する際に、ファイア
ウォールではパケットの元の宛先(パブリック IP アドレス)を使用して、Untrust ゾーンの出力
インターフェイスにパケットをルーティングします。Trust ゾーンのユーザーから要求を受信し
たときに、ファイアウォールで Web サーバーのパブリック IP アドレスを DMZ ネットワークの
アドレスに変換する必要があると判断するには、次のように、ファイアウォールから DMZ
ゾーンの出力インターフェイスに要求を送信できるようにするための、宛先 NAT のルールを作
成する必要があります。
U ターン NAT の設定
ステップ 1
34
Web サーバーのアドレス オブ 1.
ジェクトを作成します。
Web インターフェイスから、[Objects] > [ アドレス ] の
順に選択し、[ 追加 ] をクリックします。
2.
[名前 ] フィールドに名前を入力し、必要に応じて [内
容 ] フィールドにオブジェクトの説明を入力します。
3.
[ タイプ ] ドロップダウン リストから [IP ネットマスク ]
を選択し、Web サーバーのパブリック IP アドレスとネッ
トマスク(この例では 208.80.56.11/24)を入力します。
4.
アドレス オブジェクトを保存するには、[OK] をクリッ
クします。
デバイス管理
スタート ガイド
ペリメータ セキュリティの確立
U ターン NAT の設定(続き)
ステップ 2
NAT ポリシーを作成します。
1. [Policies] > [NAT] の順に選択し
て [ 追加 ] をクリックします。
2. [ 名前 ] フィールドに分かりやす
い NAT ルール名を入力します。
3. [ 元のパケット ] タブの [ 送信元
ゾーン ] セクションで内部ネッ
トワーク用に作成したゾーン
を、[ 宛先ゾーン ] ドロップダウ
ン リストで外部ネットワーク
用に作成したゾーンを、それぞ
れ選択します([追加] をクリッ
クしてゾーンを選択します)。
4. [ 宛先アドレス ] セクションで [ 追加 ] をクリックし、パブリック Web サーバー用に作
成したアドレス オブジェクトを選択します。
5. [ 変換済みパケット ] タブで
[ 宛先アドレスの変換 ] チェッ
クボックスをオンにしてか
ら、DMZ ネ ッ ト ワ ー ク 上 の
Web サーバー インターフェイ
スに割り当てられた IP アドレ
ス(この例では 10.1.1.11)を入
力します。
6. [OK] をクリックして NAT ポリシーを保存します。
ステップ 3
設定を保存します。
[Commit] をクリックします。
パブリックフェイシング サーバーの双方向アドレス変換を有効にする
パブリックフェイシング サーバーで、そのサーバーが実際に存在するネットワーク セグメント
のプライベート IP アドレスが割り当てられている場合、出力時にサーバーの送信元アドレスを
外部アドレスに変換する送信元 NAT のルールが必要となります。そのためには、内部の送信元
アドレス 10.1.1.11 を外部 Web サーバーのアドレス(この例では 208.80.56.11)に変換するよう
に、ファイアウォールに指示する静的 NAT ルールを作成する必要があります。ただし、パブ
リックフェイシング サーバーの場合は、パケットの送受信が可能でなければなりません。この
場合、インターネット ユーザーからの着信パケットの宛先 IP アドレスとなるパブリック アド
レスをプライベート アドレスに変換し、ファイアウォールから DMZ ネットワークへパケット
を正しくルーティングできるようにするための、相互ポリシーが必要となります。そのために
は、以下の手順に示すとおり、ファイアウォールで双方向の静的 NAT ポリシーを作成する必要
があります。
デバイス管理
35
ペリメータ セキュリティの確立
スタート ガイド
双方向 NAT の設定
ステップ 1
Web サーバーの内部 IP アドレス 1.
のオブジェクトを作成します。
Web インターフェイスから、[Objects] > [ アドレス ] の
順に選択し、[ 追加 ] をクリックします。
2.
[名前 ] フィールドに名前を入力し、必要に応じて [内
容 ] フィールドにオブジェクトの説明を入力します。
3.
[ タイプ ] ドロップダウン リストから [IP ネットマスク ]
を選択し、DMZ ネットワーク上の Web サーバーの
IP アドレスとネットマスク(この例では 10.1.1.11/24)
を入力します。
4.
アドレス オブジェクトを保存するには、[OK] をクリッ
クします。
注
ステップ 2
Web サーバーのパブリック アドレスに対するアドレス
オブジェクトを作成していない場合は、そのオブ
ジェクトも今すぐ作成する必要があります。
NAT ポリシーを作成します。
1. [Policies] > [NAT] の順に選択し
て [ 追加 ] をクリックします。
2. [ 名前 ] フィールドに分かりやす
い NAT ルール名を入力します。
3. [ 元のパケット ] タブの [ 送信元
ゾーン ] セクションで DMZ 用
に作成したゾーンを、[宛先ゾー
ン ] ドロップダウン リストで外
部ネットワーク用に作成した
ゾーンをそれぞれ選択します
([ 追加 ] をクリックしてゾー
ンを選択します)。
4. [ 送信元アドレス ] セクションで [ 追加 ] をクリックし、内部 Web サーバーのアドレス
用に作成したアドレス オブジェクトを選択します。
5. [ 変換済みパケット ] タブの
[ 送信元アドレスの変換 ] セク
ションで、[変換タイプ] ドロッ
プダウン リストから [ スタ
ティック IP] を選択し、[ 変換後
アドレス ] ドロップダウン リス
トから、外部 Web サーバーのア
ドレス用に作成したアドレス オ
ブジェクトを選択します。
6. [ 双方向 ] フィールドで [ はい ] を選択します。
7. [OK] をクリックして NAT ポリシーを保存します。
ステップ 3
36
設定を保存します。
[Commit] をクリックします。
デバイス管理
スタート ガイド
ペリメータ セキュリティの確立
基本的なセキュリティ ポリシーのセットアップ
ポリシーにより、ルールを適用してアクションを実行できます。ファイアウォールでは、セ
キュリティ、NAT、Quality of Service(QoS)、ポリシー ベース フォワーディング(PBF)、復
号化、アプリケーション オーバーライド、キャプティブ ポータル、サービス拒否、およびゾー
ン プロテクション ポリシーといったさまざまなポリシー ルールを作成できます。これらのさ
まざまなポリシーが連携することにより、許可、拒否、優先度の設定、転送、暗号化、復号、
例外の作成、アクセスの認証、接続のリセットなど、必要に応じてネットワークを保護できま
す。ここでは、基本的なセキュリティ ポリシーと、デフォルトのセキュリティ プロファイルにつ
いて説明します。

セキュリティ ルールの作成

セキュリティ ポリシーのテスト

ネットワーク上のトラフィックのモニタリング
セキュリティ ルールの作成
セキュリティ ポリシーによりセキュリティ ゾーンを参照することで、ネットワーク上のトラ
フィックを許可、制限、および追跡できるようになります。ゾーンごとに信頼度が異なるた
め、暗黙のルールにより 2 つの異なるゾーン間を通過するトラフィックは拒否され、ゾーン内の
トラフィックは許可されます。2 つの異なるゾーン間を通過するトラフィックを許可するに
は、このようなトラフィックに対するセキュリティ ルールを作成する必要があります。
企業のペリメータ セキュリティを確保するための基本的なフレームワークを設定する場合、制
約の少ない、異なるゾーン間のトラフィックを許可するシンプルなセキュリティ ポリシーから
作成すると良いでしょう。後述するように、目標はあくまでもネットワーク ユーザーがアクセ
スする必要のあるアプリケーションが中断してしまうリスクを最小限に抑えながら、ネット
ワーク上のアプリケーションや潜在的な脅威に可視性を与えることです。
ポリシーを定義する場合、すべての送信元ゾーンからすべての宛先ゾーンへのトラフィックを
すべて拒否するようなポリシーを作成すると、暗黙のうちに許可されているゾーン内トラ
フィックが中断してしまうため、そのようなポリシーは作成しないでください。ゾーン内トラ
フィックの場合、送信元ゾーンと宛先ゾーンが同じで、信頼度も同じレベルで共有されている
ため、デフォルトで許可されています。
デバイス管理
37
ペリメータ セキュリティの確立
スタート ガイド
基本的なセキュリティ ルールの定義
ステップ 1
注
企業ネットワークのすべての 日常業務に必要なアプリケーションを安全に実行できるよ
ユーザーに対して、インター うにするために、インターネットへのアクセスを許可する
ネット アクセスを許可します。 シンプルなルールを作成します。基本的な脅威から保護す
るために、ファイアウォールで使用できるデフォルトのセ
ゾーン : Trust から Untrust
キュリティ プロファイルを関連付けます。
デフォルトでは、「rule1」という名前 1. [Policies] > [ セキュリティ] の順に選択し、[ 追加 ] を
のセキュリティ ルールがファイア
クリックします。
ウォールに含まれています。このルー
2. [ 全般 ] タブで、ルールの分かりやすい名前を入力し
ルでは、Trust ゾーンから Untrust ゾー
ます。
ンへのトラフィックがすべて許可され
ています。このルールを削除する、ま 3. [ 送信元 ] タブで [ 送信元ゾーン ] を [Trust] に設定し
ます。
たはゾーンの命名規則を反映するよう
にルールを変更することもできます。 4.
注
[ 宛先 ] タブで [ 宛先ゾーン ] を [Untrust] に設定します。
ポリシー ルールをスキャンして、各ルールのゾーン
を視覚的に識別するには、ゾーンと同じ名前のタグ
を作成します。たとえば、Trust ゾーンを緑色で色分
けするには、[Objects] > [ タグ ] の順に選択し、[ 追加 ]
をクリックし、[ 名前 ] でタグに「Trust」という名前
を指定し、[ カラー] で緑色を選択します。
5.
[サービス/URL カテゴリ] タブで、service-http と service-https
を選択します。
6.
[ アクション ] タブで以下の手順を実行します。
a. [ アクション設定 ] を [ 許可 ] に設定します。
b. [ プロファイル設定 ] で、[ アンチウイルス ]、[ アン
チスパイウェア ]、[ 脆弱性防御 ]、[URL フィルタリ
ング ] のデフォルト プロファイルを関連付けます。
7.
38
[ オプション ] でセッション終了時のログが有効であ
ることを確認します。セキュリティ ルールと一致す
るトラフィックのみがログに記録されます。
デバイス管理
スタート ガイド
ペリメータ セキュリティの確立
基本的なセキュリティ ルールの定義 (続き)
ステップ 2
内部ネットワークのユーザー 1.
が DMZ のサーバーにアクセ
スできるようにします。
2.
ゾーン : Trust から DMZ
注
DMZ サーバーへのアクセス設定に IP 3.
アドレスを使用する場合、パケットの
元 の IP ア ド レ ス(NAT 前 の ア ド レ 4.
ス)と NAT 後のゾーンを常に参照す 5.
るようにしてください。
ステップ 3
[ 全般 ] タブで、ルールの分かりやすい名前を入力し
ます。
[ 送信元 ] タブで [ 送信元ゾーン ] を [Trust] に設定し
ます。
[ 宛先 ] タブで [ 宛先ゾーン ] を [DMZ] に設定します。
[ サービス /URL カテゴリ ] タブで、[ サービス ] が
[application-default] に設定されていることを確認し
ます。
6.
[ アクション ] タブで、[ アクション設定 ] を「許可」
に設定します。
7.
それ以外のオプションは、すべてデフォルト値にし
ておきます。
インターネットから DMZ へのインバウンド アクセスを制
限するには、特定サーバーの IP アドレスと、アプリケー
ションで使用するデフォルトのポートのみを許可するルー
ルを設定します。
1. [ 追加 ] をクリックして新しいルールを追加し、分かり
たとえば、外部から webmail サー
やすい名前をつけます。
バーにアクセスするユーザー
2. [ 送信元 ] タブで [ 送信元ゾーン ] を [Untrust] に設定
のみを許可します。
します。
ゾーン : Untrust から DMZ
3. [ 宛先 ] タブで [ 宛先ゾーン ] を [DMZ] に設定します。
インターネットから DMZ サー
バ ー へ の ア ク セ ス を、特 定
サーバーの IP アドレスのみに
制限します。
4.
[ 宛先アドレス ] を作成済みのパブリック Web サーバー
の ア ド レ ス オ ブ ジ ェ ク ト に 設 定 し ま す。こ の パ ブ
リック Web サーバーのアドレス オブジェクトは、
DMZ からアクセスできる Web サーバーのパブリック
IP アドレス(208.80.56.11/24)を参照します。
5.
[ アプリケーション ] タブで webmail アプリケーション
を選択します。
注
6.
デバイス管理
[Policies] > [ セキュリティ] セクションで、[ 追加 ] を
クリックします。
[ サービス ] はデフォルトで [application-default] に
設定されています。
[ アクション設定 ] を [ 許可 ] に設定します。
39
ペリメータ セキュリティの確立
スタート ガイド
基本的なセキュリティ ルールの定義 (続き)
ステップ 4
DMZ から内部ネットワーク
(Trust ゾーン)へのアクセス
を許可します。リスクを最小
限 に 抑 え る た め に、特 定 の
サーバーと宛先アドレスのトラ
フィックのみを許可します。た
とえば、Trust ゾーンの特定の
データベース サーバーと通信
する必要のあるアプリケー
ション サーバーが DMZ にあ
る場合、特定の送信元と宛先
の間のトラフィックのみを許
可するルールを作成します。
1.
[ 追加 ] をクリックして新しいルールを追加し、分かり
やすい名前をつけます。
2.
[ 送信元ゾーン ] を [DMZ] に設定します。
3.
[ 宛先ゾーン ] を [Trust] に設定します。
4.
DMZ からアクセス可能な Trust ゾーンのサーバーを
指定するアドレス オブジェクトを作成します。
5.
セキュリティ ポリシー ルールの [ 宛先 ] タブで、[ 宛先
アドレス] を作成済みのアドレス オブジェクトに設定
します。
6.
[ アクション ] タブで以下の手順を実行します。
ゾーン : DMZ から Trust
a. [ アクション設定 ] を [ 許可 ] に設定します。
b. [ プロファイル設定 ] で、[ アンチウイルス ]、[ アン
チスパイウェア ]、[ 脆弱性防御 ] のデフォルト プロ
ファイルを関連付けます。
c. [ その他の設定 ] セクションで、[ サーバー レスポン
ス検査の無効化 ] を選択します。この設定により、
サーバー側レスポンスのアンチウイルスおよびアン
チスパイウェアのスキャンが無効になり、ファイア
ウォールの負荷が軽減されます。
40
デバイス管理
スタート ガイド
ペリメータ セキュリティの確立
基本的なセキュリティ ルールの定義 (続き)
ステップ 5
DMZ サーバーがインターネッ
トから更新や修正プログラム
を入手できるようにします。
たとえば、Microsoft Update サー
ビスを許可します。
1.
新しいルールを追加し、分かりやすい名前をつけます。
2.
[ 送信元ゾーン ] を [DMZ] に設定します。
3.
[ 宛先ゾーン ] を [Untrust] に設定します。
4.
アプリケーション グループを作成し、許可するアプ
リ ケ ー シ ョ ン を 指 定 し ま す。こ の 例 で は、Microsoft
Updates(ms-updates)と DNS を許可します。
ゾーン : DMZ から Untrust
注
ステップ 6
[ サービス ] はデフォルトで [application-default] に
設 定 さ れ て い ま す。こ れ に よ り、こ れ ら の ア プ リ
ケーションに関連付けられた標準ポートを使用する
アプリケーションのみをファイアウォールで許可で
きます。
5.
[ アクション設定 ] を [ 許可 ] に設定します。
6.
[ プロファイル設定 ] で、[ アンチウイルス ]、[ アンチ
スパイウェア ]、[ 脆弱性防御 ] のデフォルト プロファ
イルを関連付けます。
デバイスで実行中の設定に対 [Commit] をクリックします。
するポリシーを保存します。
セキュリティ ポリシーのテスト
基本ポリシーを効果的に設定できていることを確認するために、セキュリティ ポリシーが評価
されているかどうかテストし、どのセキュリティ ルールがトラフィック フローに適用されてい
るかを判断します。
デバイス管理
41
ペリメータ セキュリティの確立
スタート ガイド
ポリシーとフローの一致を確認する
フローと一致するポリシー ルールを確認す
るには、次の CLI コマンドを使用します。
test security-policy-match
source <IP_address> destination
<IP_address> destination port
<port_number> protocol <protocol_number>
た と えば、IP ア ド レス が 208.90.56.11 の DMZ サ ー
バーから Microsoft Update サーバーにアクセスする場
合、この DMZ サーバーに適用されるポリシー ルー
ルを確認するには、次のコマンドを実行します。
test security-policy-match source 208.80.56.11
destination 176.9.45.70 destination-port 80
この CLI コマンドで指定する送信元と宛先 protocol 6
の IP アドレスに最も一致するルールが出力
されます。
"Updates-DMZ to Internet" {
from dmz;
source any;
source-region any;
to untrust;
destination any;
destination-region any;
user any;
category any;
application/service[ dns/tcp/any/53
dns/udp/any/53 dns/udp/any/5353
ms-update/tcp/any/80 ms-update/tcp/any/443];
action allow;
terminal yes;
ネットワーク上のトラフィックのモニタリング
基本セキュリティ ポリシーの配置はこれで完了です。次に、アプリケーション コマンド セン
ター(ACC)の統計およびデータ、トラフィック ログ、および脅威のログをレビューしてネッ
トワークの動向を観察し、より詳細なポリシーを作成する必要のある場所を特定します。
ポートまたはプロトコルを使用してアプリケーションを識別する従来のファイアウォールとは
異なり、Palo Alto Networks のファイアウォールでは、アプリケーション シグネチャ(App-ID テ
クノロジー)を利用してアプリケーションをモニタリングします。アプリケーション シグネ
チャは、一意のアプリケーション プロパティと関連するトランザクションの特性、ポートまた
はプロトコルの組み合わせに基づいています。そのため、トラフィックで正しいポート/プロト
コルが使用されていても、アプリケーション シグネチャが一致しない場合は、ファイアウォー
ルによりコンテンツへのアクセスが拒否されます。この機能により、アプリケーションの一部
は許可し、同じアプリケーション内の機能の一部をブロックまたは制限するなど、安全にアプ
リケーションを実行できます。たとえば、アプリケーションの Web 参照を許可すると、ユー
ザーはインターネット上のコンテンツにアクセスできます。次に、ユーザーが Facebook に移動
してから Facebook の Scrabble をプレイすると、ファイアウォールがアプリケーションのシフト
を識別し、Facebook と Scrabble を それぞれ個別に認識します。そのため、Facebook アプリケー
ションをブロックする特定のルールを作成すると、ユーザーは Scrabble へのアクセスが拒否さ
れますが、Facebook にはアクセスできます。
42
デバイス管理
スタート ガイド
ペリメータ セキュリティの確立
ネットワーク上のトラフィックをモニタリングするには、次の手順を実行します。

アプリケーション コマンド センターの使用 — ACC で使用頻度が最も高いアプリケーション
と、リスクの高いネットワーク アプリケーションをレビューします。ACC では、ログ情報
をグラフィカルに要約され、ネットワークを通過するアプリケーションと、それらを使用す
る(User-ID が有効な)ユーザー、およびコンテンツの潜在的なセキュリティへの影響が強
調表示されるため、ネットワークの状況をリアルタイムに識別できます。この情報を利用し
て、不要なアプリケーションをブロックしながら、安全にアプリケーションを許可し有効に
する適切なセキュリティ ポリシーを作成できます。

ネットワーク セキュリティ ルールのどの部分を更新 / 修正し、変更を適用する必要があるか
を判断します。例 :
–
スケジュール、ユーザー、またはグループに基づいて、コンテンツを許可するかどうか
を評価します。
–
特定のアプリケーションまたはアプリケーション内の機能を許可または制御します。
–
コンテンツを復号化して検査します。
–
脅威や悪用をスキャンしてからコンテンツを許可します。
セキュリティ ポリシーをさらに細かく設定し、カスタム セキュリティ プロファイルを
関連付ける方法の詳細は、「基本的な脅威防御機能の有効化」を参照してください。

ログ ファイルの表示 — 特に、トラフィックおよび脅威のログを表示します([Monitor] >
[ ログ ])。
トラフィックのログは、セキュリティ ポリシーの定義およびログ トラフィックの設定の方法
により異なります。ただし ACC タブでは、ポリシーの設定に関係なくアプリケーションおよ
び統計情報が記録されます。つまり、ネットワークで許可されているすべてのトラフィックが
表示されるため、ポリシーで許可されているゾーン間トラフィックと、暗黙のうちに許可され
ているゾーン内トラフィックの両方が含まれています。

URL フィルタリング ログの解釈 — URL フィルタリング ログをレビューして、アラートおよ
び拒否されたカテゴリ /URL をスキャンします。URL ログは、アラート、続行、オーバーラ
イド、またはブロックといったアクションに関連付られている URL フィルタリング プロ
ファイルを含むセキュリティ ルールにトラフィックが一致する場合に生成されます。
デバイス管理
43
基本的な脅威防御機能の有効化
スタート ガイド
基本的な脅威防御機能の有効化
Palo Alto Networks の次世代ファイアウォールには独自の脅威防御機能が組み込まれており、こ
の機能により、回避、トンネリング、または迂回などの手法を用いた攻撃からネットワークを
保護することができます。ファイアウォールの脅威防御機能には、WildFire サービス、セキュ
リティ プロファイル(アンチウイルス、アンチスパイウェア、脆弱性防御、URL フィルタリン
グ、ファイル ブロッキング、データ フィルタリング機能をサポート)、サービス拒否(DoS)
およびゾーン プロテクション機能が含まれます。
脅威防御機能を適用するには、まず 1 つ以上の送信元インターフェイスまたは宛先インター
フェイスを識別するゾーンおよびセキュリティ ポリシーを設定する必要があります。脅威防御
機能を適用するために必要なインターフェイス、ゾーン、およびポリシーを設定する方法につ
いては、「インターフェイスおよびゾーンの設定」および「基本的なセキュリティ ポリシーの
セットアップ」を参照してください。
脅威からネットワークを保護するには、以下の作業から開始します。

WildFire の有効化

脅威を確認するためのトラフィックのスキャン

Web コンテンツへのアクセス制御
WildFire の有効化
WildFire サービスは、標準機能の一部として組み込まれています。WildFire サービスを使用する
と、ファイアウォールからサンドボックス環境(有害なアクティビティを検出するためのアプ
リケーションの実行環境)に添付ファイルを転送できます。WildFire システムが新しいマル
ウェアを検出すると、マルウェアのシグネチャが自動的に生成され、24 ~ 48 時間以内にアンチ
ウイルスのシグネチャのダウンロードに組み込まれます。脅威防御サブスクリプションがあれ
ば、アンチウイルス シグネチャを更新できます。これには、WildFire によって検出されたシグ
ネチャも含まれます。
WildFire サブスクリプション サービスを購入すると、以下のような利点も得られます。

分単位(15 分ごと)の WildFire シグネチャの更新

高度なファイル タイプ転送(APK、PDF、Microsoft Office、および Java Applet)

WildFire API を使用したファイルのアップロード

プライベート WF-500 WildFire アプライアンスへのファイルの転送
分析のために Portable Executable(PE)ファイルを WildFire クラウドに転送するようにファイ
ル ブロッキング プロファイルを設定することは無料でできますが、プライベート WildFire ア
プライアンスにファイルを転送するには、WildFire サブスクリプションが必要です。
44
デバイス管理
スタート ガイド
基本的な脅威防御機能の有効化
WildFire の有効化
ステップ 1
デバイスが登録されており、 1.
有効なサポート アカウント
と必要なサブスクリプション 2.
を保有していることを確認し
ます。
3.
ステップ 2
注
デバイス管理
ファイアウォールがリストにあることを確認します。リ
ストにない場合は、「Register With Palo Alto Networks」
を参照してください。
(任意)ライセンスのアクティベーション
WildFire 転送オプションを設定 1.
します。
[Device] > [ セットアップ ] > [WildFire] の順に選択し
ます。
2.
[ 一般設定 ] セクションの編集アイコンをクリックし
ます。
3.
(任意)ファイルを転送する [WildFire サーバー] を
指定します。デフォルトでは、ファイアウォールか
ら、米国でホストされているパブリック WildFire ク
ラウドにファイルが転送されます。別の WildFire ク
ラウドにファイルを転送するには、以下のように新
しい値を入力します。
• プライベート WildFire クラウドに転送するには、WF-500
WildFire アプライアンスの IP アドレスまたは FQDN
を入力します。
WildFire サブスクリプションがない場
合、実行可能ファイルのみを転送でき
ます。
ステップ 3
Palo Alto Networks サポート サイトに移動し、ログイン
して [My Devices] を選択します。
• 日本で稼働しているパブリック WildFire クラウドにファ
イルを転送するには、「wildfire.paloaltonetworks.jp」
と入力します。
4.
(任意)ファイアウォールで転送できる特定のファ
イル タイプの最大ファイル サイズを変更する場合、
対応するフィールドで値を変更します。
5.
[OK] をクリックして、変更内容を保存します。
ファイルを WildFire に転送する 1.
ようにファイル ブロッキング
プロファイルをセットアップ 2.
します。
[Objects] > [ セキュリティ プロファイル ] > [ ファイル ブ
ロッキング ] の順に選択し、[ 追加 ] をクリックします。
[名前 ] フィールドに名前を入力し、必要に応じて [内
容 ] フィールドにプロファイルの説明を入力します。
3.
[追加 ] をクリックして転送ルールを追加し、名前を入
力します。
4.
[ アクション ] 列で、[forward] を選択します。
5.
任意のアプリケーションのサポートされているすべ
てのファイル タイプが転送されるように、その他の
フィールドは [any] のままにしておきます。
6.
[OK] をクリックしてプロファイルを保存します。
45
基本的な脅威防御機能の有効化
スタート ガイド
WildFire の有効化(続き)
ステップ 4
インターネットへのアクセス 1.
を許可するセキュリティ ポリ
シーにファイル ブロッキング
プロファイルを適用します。 2.
3.
ステップ 5
設定を保存します。
ステップ 6
ファイアウォールから WildFire 1.
にファイルが転送されている
ことを確認します。
2.
「セキュリティ ルールの作成」の説明に従って、
[Policies] > [ セキュリティ] の順に選択し、既存のポリ
シーを選択するか、新しいポリシーを作成します。
セキュリティ ポリシー内の [アクション] タブをクリッ
クします。
[ プロファイル設定 ] セクションで、ドロップダウンを
クリックし、WildFire の転送のために作成したファ
イル ブロッキング プロファイルを選択します。プロ
ファイルを選択するためのドロップダウンが表示さ
れない場合、[ プロファイル タイプ ] ドロップダウン
から [ プロファイル ] を選択します。
[Commit] をクリックします。
[Monitor] > [ ログ ] > [ データ フィルタリング ] の順に
選択します。
[ アクション ] 列で以下のアクションを確認します。
• Forward — セキュリティ ポリシーに適用されている
ファイル ブロッキング プロファイルによってファ
イルが正常に転送されたことを示します。
• Wildfire-upload-success — ファイルが WildFire に送
信されたことを示します。これは、ファイルが信頼
されるファイル署名者によって署名されておらず、
以前に WildFire で分析されていないことを示します。
• Wildfire-upload-skip — ファイルがファイル ブロッ
キング プロファイル / セキュリティ ポリシーによっ
て WildFire に送信するのに適格であると識別された
ものの、すでに分析済みであり WildFire による分析
を必要としなかったことを示します。この場合、こ
のアクションは有効な転送アクションであるた
め、[ データ フィルタリング ] ログには forward と表
示されますが、このファイルはすでに別のセッショ
ン(場合によっては別のファイアウォール)から
WildFire クラウドに送信されているため、WildFire
に送信されて分析されることはありません。
3.
46
WildFire ログを表示するには、[Monitor] > [ ログ ] >
[WildFire] の順に選択します。新しい WildFire ログが
表示された場合、ファイアウォールは正常にファイ
ルを WildFire に転送し、WildFire はファイル分析レ
ポートを返しています。
デバイス管理
スタート ガイド
基本的な脅威防御機能の有効化
脅威を確認するためのトラフィックのスキャン
セキュリティ プロファイルでは、セキュリティ ポリシーで脅威から保護します。たとえば、ア
ンチウイルス プロファイルをセキュリティ ポリシーに適用し、そのセキュリティ ポリシーと一
致するすべてのトラフィックにウイルスが存在しないかどうかスキャンすることができます。
以下のセクションでは、基本的な脅威防御設定をセットアップする手順について説明します。

アンチウイルス、アンチスパイウェア、および脆弱性防御のセットアップ

ファイル ブロッキングのセットアップ
アンチウイルス、アンチスパイウェア、および脆弱性防御のセットアップ
すべての Palo Alto Networks の次世代ファイアウォールには、セキュリティ ポリシーに適用でき
るアンチウイルス、アンチスパイウェア、および脆弱性防御プロファイルがデフォルトで付属
します。
ベスト プラクティスとして、基本的な Web アクセス ポリシーにデフォルト プロファイルを適
用し、ネットワークに入るトラフィックが脅威にさらされないようにします。
ネットワーク上のトラフィックをモニターしてポリシー ルールベースを拡張し、特定のセキュ
リティ ニーズに対応する詳細なプロファイルを設計できます。アンチスパイウェアと脆弱性防
御のすべてのシグネチャには、Palo Alto Networks によってデフォルトのアクションが定義され
ています。デフォルトのアクションを確認するには、[Objects] > [ セキュリティ プロファイル ] >
[ アンチスパイウェア ] または [Objects] > [ セキュリティ プロファイル ] > [ 脆弱性防御 ] の順に
移動し、プロファイルを選択します。[ 例外 ] タブをクリックして [ すべてのシグネチャの表示 ]
をオンにすると、[ アクション ] 列にデフォルト アクションを表示したシグネチャのリストが表
示されます。デフォルト アクションを変更するには、新しいプロファイルを作成してから、デ
フォルト以外のアクションが設定されたルールを作成するか、プロファイルの [ 例外 ] タブで個々
のシグネチャ例外を追加します。
アンチウイルス / アンチスパイウェア / 脆弱性防御のセットアップ
ステップ 1
脅威防御ライセンスがあるこ • 脅威防御ライセンスでは、1 つのライセンスに、アンチ
とを確認します。
ウイルス、アンチスパイウェア、および脆弱性防御の全
機能をバンドルしています。
• [Device] > [ ライセンス ] の順に選択して、[ 脅威防御 ] ラ
イセンスがインストールされていることを検証し、有効
期限を確認します。
ステップ 2
デバイス管理
最新のアンチウイルス脅威シグ 1.
ネチャをダウンロードします。
[Device] > [ ダイナミック更新 ] の順に選択し、ページ
の下部にある [ 今すぐチェック ] をクリックして最新の
シグネチャを取得します。
2.
[アクション] 列で、[ダウンロード] をクリックして、
最新のアンチウイルス、アプリケーションおよび脅
威シグネチャをインストールします。
47
基本的な脅威防御機能の有効化
スタート ガイド
アンチウイルス / アンチスパイウェア / 脆弱性防御のセットアップ(続き)
ステップ 3
シグネチャの更新をスケジュー 1.
ルします。
更新のベスト プラクティス
アンチウイルスの更新の場合には毎日、ア
プリケーションおよび脆弱性の更新の場合
には毎週 [download-and-install] を実行し
ます。
[Device] > [ ダイナミック更新 ] の順に選択し、[ スケ
ジュール ] の右側にあるテキストをクリックして、[ ア
ンチウイルス ] と [ アプリケーションおよび脅威 ] のシ
グネチャ更新を自動的に取得します。
2.
更新の頻度とタイミングを指定し、更新ファイルを
ダウンロードしてインストールするのか、またはダ
ウンロードのみを行うのかを指定します。[ ダウン
ロードのみ ] をオンにする場合は、定期的に手動で
ページを開き、[ アクション ] 列の [ インストール ] リン
クをクリックしてシグネチャをインストールする必要
が あ り ま す。[OK] を ク リ ッ ク す る と、更 新 が ス ケ
ジュールされます。コミットは必要ありません。
3.
(任意)[ しきい値 ] フィールドに時間数を入力して、
ダウンロードが実行されるまでのシグネチャの最小
存 続 時 間 を 指 定 す る こ と も で き ま す。た と え ば、
「10」と 入 力 す る と、そ の シ グ ネ チ ャ は、ス ケ
ジュールに関係なく、ダウンロードされるまでに少
なくとも 10 時間は存続する必要があります。
4.
HA 設定では、[ ピアと同期 ] オプションをクリックし
て、ダウンロード / インストールの後にコンテンツ
タイプと HA ピアを同期することもできます。これ
に よ っ て ス ケ ジ ュー ル 設 定 が ピ ア デ バ イ スに プ ッ
シ ュ さ れ る こ と は な い た め、各 デ バ イ ス で ス ケ
ジュールを設定する必要があります。
HA 設定の場合の推奨設定は次のとおりです。
• アクティブ / パッシブの HA — アンチウイルスのシグネチャのダウンロードで MGT ポートを使用す
る場合は、両方のデバイスでスケジュールを設定し、両方のデバイスが別々にダウンロード / インス
トールを実行するようにしてください。ダウンロードでデータ ポートを使用する場合、パッシブ デ
バイスはパッシブ状態になっている間ダウンロードを実行しません。この場合は、両方のデバイスで
スケジュールを設定して、[ ピアと同期 ] オプションを選択します。これにより、どちらのデバイスが
アクティブであっても更新処理が実行され、パッシブ デバイスにプッシュされるようにします。
• アクティブ / アクティブの HA — 両方のデバイスでアンチウイルスのシグネチャのダウンロードに
MGT ポートを使用する場合は、両方のデバイスでダウンロード / インストールをスケジュールします
が、[ ピアと同期 ] オプションは選択しません。データ ポートを使用する場合は、両方のデバイスでシ
グネチャのダウンロードをスケジュールし、[ ピアと同期 ] を選択します。これにより、アクティブ /
アクティブ設定の 1 つのデバイスがアクティブなセカンダリ状態になった場合でも、そのアクティブ
デバイスがシグネチャをダウンロード / インストールしてから、アクティブなセカンダリ デバイスに
シグネチャをプッシュするようにします。
48
デバイス管理
スタート ガイド
基本的な脅威防御機能の有効化
アンチウイルス / アンチスパイウェア / 脆弱性防御のセットアップ(続き)
ステップ 4
ステップ 5
セキュリティ プロファイルを 1.
セキュリティ ポリシーに適用
します。
[Policies] > [ セキュリティ] の順に選択し、適切なポリ
シーを選択して変更し、[ アクション ] タブをクリック
します。
2.
[ プロファイル設定 ] で、有効にする各セキュリティ プ
ロファイルの横にあるドロップダウンをクリックし
ます。この例では、[ アンチウイルス ]、[ 脆弱性防御 ]、
および [ アンチスパイウェア ] のデフォルトを選択し
ます。
プロファイルを選択するためのドロップダウンが表
示されない場合、[ プロファイル タイプ ] ドロップダ
ウンから [ プロファイル ] を選択します。
設定を保存します。
[Commit] をクリックします。
ファイル ブロッキングのセットアップ
ファイル ブロッキング プロファイルでは、ブロックまたはモニターする特定のファイル タイ
プを識別できます。以下のワークフローは、ユーザーがインターネットから実行可能ファイ
ルをダウンロードできないようにする基本的なファイル ブロッキング プロファイルをセット
アップする方法を示しています。
ファイル ブロッキングの設定
ステップ 1
デバイス管理
ファイル ブロッキング プロ 1.
ファイルを作成します。
[Objects] > [ セキュリティ プロファイル ] > [ ファイル
ブロッキング ] の順に選択し、[ 追加 ] をクリックし
ます。
2.
ファイル ブロッキング プロファイルの [ 名前 ] に
「 Block_EXE 」 などと入力します。必要に応じて [ 内
容 ] に「ユーザーが Web サイトから exe ファイルをダウ
ンロードできないようにする」などと入力します。
49
基本的な脅威防御機能の有効化
スタート ガイド
ファイル ブロッキングの設定 (続き)
ステップ 2
ファイル ブロッキングのオプ 1.
ションを設定します。
2.
[追加] をクリックしてプロファイル設定を定義します。
3.
ファイル ブロッキングを適用する [ アプリケーション ]
を設定するか、[any] のままにしておきます。
4.
ブロックする [ ファイル タイプ ] を設定します。たと
えば、実行可能ファイルのダウンロードをブロック
するには、[exe] を選択します。
5.
ファイルをブロックする [ 方向 ]([download]、[upload]、
または [both])を指定します。
6.
[ アクション ] を以下のいずれかに設定します。
[ 名前 ] に「Block_EXE」などと入力します。
• continue — ユーザーはダウンロード / アップロード
を続行するために [ 続行 ] をクリックする必要があり
ます。このオプションを使用する場合、関連するイ
ンターフェイスの応答ページを有効にする必要があ
ります。
• block — 選択した条件に一致するファイルのダウン
ロード / アップロードがブロックされます。
• alert — 選択した条件に一致するファイルは許可さ
れますが、データ フィルタリング ログにログ エン
トリが生成されます。
7.
ステップ 3
コンテンツへのアクセスを許 1.
可するセキュリティ ポリシー
にファイル ブロッキング プロ
ファイルを適用します。
2.
3.
50
[OK] をクリックしてプロファイルを保存します。
「セキュリティ ルールの作成」の説明に従って、
[Policies] > [ セキュリティ] の順に選択し、既存のポリ
シーを選択するか、新しいポリシーを作成します。
セキュリティ ポリシー内の [ アクション ] タブをクリッ
クします。
[ プロファイル設定 ] セクションで、ドロップダウン
をクリックし、作成したファイル ブロッキング プロ
ファイルを選択します。プロファイルを選択するた
めのドロップダウンが表示されない場合、[ プロファイ
ル タイプ ] ドロップダウンから [ プロファイル ] を選
択します。
デバイス管理
スタート ガイド
基本的な脅威防御機能の有効化
ファイル ブロッキングの設定 (続き)
ステップ 4
ステップ 5
[continue] アクションを使用し 1.
て、ファイル ブロッキング プ
ロファイルを適用する各イン
ターフェイスの管理プロファ
イルの応答ページを有効にし 2.
ます。
[Network] > [ ネットワーク プロファイル ] > [ インター
フェイス管理 ] の順に選択します。次に、編集するイ
ンターフェイス プロファイルを選択して [ 追加 ] をク
リックし、新しいプロファイルを作成します。
[ 応答ページ ] およびインターフェイスに必要な他の管
理サービスを選択します。
3.
[OK] をクリックして、インターフェイス管理プロファ
イルを保存します。
4.
[Network] > [ インターフェイス ] の順に選択し、プロ
ファイルを適用するインターフェイスを選択します。
5.
[ 詳細 ] > [ その他の情報 ] タブで、作成したインター
フェイス管理プロファイルを選択します。
6.
[OK] をクリックして、インターフェイス設定を保存し
ます。
ファイル ブロッキング設定をテストするには、ファイアウォールの信頼されたゾーンのク
ライアント PC にアクセスし、信頼されないゾーンの Web サイトから .exe ファイルのダウ
ンロードを試みます。応答ページが表示されます。[ 続行 ] をクリックしてファイルをダウ
ンロードします。[alert]、[forward](WildFire に転送する)、[block](ユーザーに続行ページ
が表示されない)などの他のアクションを設定することもできます。以下に、ファイル
ブロッキングのデフォルト応答ページを示します。
例 : デフォルトのファイル ブロッキング応答ページ
Web コンテンツへのアクセス制御
URL フィルタリングでは、ネットワーク上の Web トラフィックを可視化および制御できます。
URL フィルタリングが有効になっていると、ファイアウォールは Web トラフィック情報を 1 つ
以上のカテゴリに分類できます(カテゴリは約 60 個あります)。属するカテゴリに基づいて、
トラフィックの処理(許可、ブロック、またはログへの記録(アラート))を指定するポリ
シーを作成できます。以下のワークフローは、URL フィルタリングで PAN-DB を有効にする方
法、セキュリティ プロファイルを作成する方法、およびセキュリティ プロファイルをセキュリ
ティ ポリシーに適用して、基本的な URL フィルタリング ポリシーを適用する方法を示してい
ます。
デバイス管理
51
基本的な脅威防御機能の有効化
スタート ガイド
URL フィルタリングの設定
ステップ 1
URL フィルタリングのライセン 1.
ス情報を確認します。
URL フィルタリング ライセンスを取得してインストー
ルします。詳細は、「ライセンスのアクティベーショ
ン」を参照してください。
2.
[Device] > [ ライセンス ] を選択し、URL フィルタリン
グ ライセンスが有効になっていることを確認します。
シード データベースをダウン 1.
ロードして、ライセンスをア
クティベーションします。
シード データベースをダウンロードするには、[ ライ
センス ] ページの [PAN-DB URL Filtering] セクションの
[ ダウンロードの状態 ] の横にある [ ダウンロード ] を
クリックします。
2.
地域(北アメリカ、ヨーロッパ、APAC、日本)を選択
し、[OK] をクリックしてダウンロードを開始します。
3.
ダウンロードが完了したら、[アクティベーション] を
クリックします。
URL フィルタリング プロファ 1.
イルを作成します。
[Objects] > [ セキュリティ プロファイル ] > [URL フィ
ルタリング ] の順に選択します。
新しいプロファイルのベスト プラクティス 2.
デフォルト プロファイルを選択し、[ コピー] をクリッ
クします。新しいプロファイルには default-1 という名
前が付けられます。
ステップ 2
ステップ 3
デフォルトの URL フィルタリング プロファ
イルでは、リスクが高く、脅威になりやす
いコンテンツがブロックされるため、新し 3.
いプロファイルを作成する場合、デフォル
ト設定を保持するために、このプロファイ
ルをコピーします。
52
新しいプロファイルを選択して、名前を変更します。
デバイス管理
スタート ガイド
基本的な脅威防御機能の有効化
URL フィルタリングの設定(続き)
ステップ 4
Web コンテンツへのアクセスを 1.
制御する方法を定義します。
以下のように、可視化または制御する各カテゴリで [ ア
クション ] 列から値を選択します。
どのトラフィックを制御すべ
きかが明確でない場合、カテ
ゴリ(デフォルトでブロック
されているカテゴリは除く)
にアラートを設定することを
検討してください。ファイア
ウォールの可視化ツール
(ACC やアプリケーション ス
コープなど)を使用して、特
定のグループに制限する Web
カテゴリや、完全にブロック
する Web カテゴリを決定でき
ま す。そ の 後、戻 っ て プ ロ
ファイルを変更し、目的に合
わせてカテゴリをブロックま
たは許可できます。
• 特定のカテゴリへのトラフィックを問題視していな
い場合(つまり、ブロックもログへの記録もしない
場合)、[allow] を選択します。
• カテゴリのサイトへのトラフィックを可視化する場
合、[alert] を選択します。
• 関連付けられたポリシーに一致するトラフィックに
アクセスできないようにするには、[block] を選択し
ます(この場合、ログ エントリも生成されます)。
また、URL フィルタリング プ
ロ フ ァ イ ル を定義するとき
に、カテゴリに関係なく常に許
可またはブロックする特定のサ
イ ト を 定 義 し た り、セ ー フ
サーチ オプションを有効にし
て検索結果をフィルタリングし 2.
たりすることもできます。
ステップ 5
デバイス管理
URL フィルタリング プロファ 1.
イルをセキュリティ ポリシー 2.
に適用します。
[OK] をクリックして、URL フィルタリング プロファ
イルを保存します。
[Policies] > [ セキュリティ] の順に選択します。
変更するポリシー名を選択し、次に [ アクション ] タ
ブをクリックします。
3.
セキュリティ プロファイルを初めて定義する場合、[ プ
ロファイル タイプ ] ドロップダウンから [ プロファイ
ル ] を選択します。
4.
[ プロファイル設定 ] リストで、作成したプロファイル
を [URL フィルタリング ] ドロップダウンから選択し
ます。プロファイルを選択するためのドロップダウ
ンが表示されない場合、[ プロファイル タイプ ] ドロッ
プダウンから [ プロファイル ] を選択します。
5.
[OK] をクリックしてプロファイルを保存します。
6.
設定をコミットします。
53
基本的な脅威防御機能の有効化
スタート ガイド
URL フィルタリングの設定(続き)
ステップ 6
Web トラフィックをフィルタリ 1.
ングする各インターフェイス
の管理プロファイルの応答
ページを有効にします。
[Network] > [ ネットワーク プロファイル ] > [ インター
フェイス管理 ] の順に選択します。次に、編集するイン
ターフェイス プロファイルを選択して [追加] をクリッ
クし、新しいプロファイルを作成します。
2.
[ 応答ページ ] およびインターフェイスに必要な他の
管理サービスを選択します。
3.
[OK] をクリックして、インターフェイス管理プロファ
イルを保存します。
4.
[Network] > [ インターフェイス ] の順に選択し、プロ
ファイルを適用するインターフェイスを選択します。
5.
[ 詳細 ] > [ その他の情報 ] タブで、作成したインター
フェイス管理プロファイルを選択します。
6.
[OK] をクリックして、インターフェイス設定を保存
します。
ステップ 7
設定を保存します。
ステップ 8
URL フィルタリングをテストするには、セキュリティ ポリシーが適用されるゾーンにある
クライアント PC から、ブロックされたカテゴリのサイトへのアクセスを試みます。ペー
ジがブロックされたことを示す URL フィルタリング応答ページが表示されます。
[Commit] をクリックします。
詳細情報について
組織を脅威から保護する方法の詳細は、「脅威防御」を参照してください。暗号化された
(SSH または SSL)トラフィックをスキャンする方法の詳細は、「復号化」を参照してください。
Palo Alto Networks 製品で識別可能な脅威およびアプリケーションについての詳細は、以下のリ
ンク先にアクセスしてください。

Applipedia — Palo Alto Networks で識別できるアプリケーションについて詳細に説明しています。

Threat Vault — Palo Alto Networks 製品で識別可能な脅威の一覧が掲載されています。脆弱性、
スパイウェア、またはウイルスを条件にして検索できます。脅威についての詳細は、ID 番
号の横にある詳細アイコンをクリックしてください。
54
デバイス管理
スタート ガイド
ファイアウォールのデプロイメントのベスト プラクティス
ファイアウォールのデプロイメントのベスト プラクティス
これで、ネットワークにファイアウォールを統合し、基本的なセキュリティ機能を有効化するこ
とができました。高度な機能の設定を開始できます。以下に、考慮すべき推奨事項を示します。

使用可能なさまざまな管理インターフェイスと、管理インターフェイスへのアクセスおよ
び使用方法について学習します。

高可用性の設定 — 高可用性(HA)は、2 つのファイアウォールを 1 つのグループ内に配置
して、ネットワーク上の単一障害点を回避するために 2 つのファイアウォールの設定を同
期する設定です。ファイアウォール ピア間のハートビート接続では、ピアがダウンした場
合シームレスにフェイルオーバーを実行できます。2 つのデバイス クラスタでファイア
ウォールを設定すると冗長性が得られるため、ビジネス継続性を確保できます。

マスター キーの設定 — すべての Palo Alto Networks ファイアウォールには、ファイアウォー
ル上の管理インターフェイスにアクセスする場合に、管理者を認証するために使用する秘
密鍵を暗号化するデフォルトのマスター キーがあります。キーの安全を保護するため、マ
スター キーはファイアウォールごとに一意に設定することをお勧めします。

ファイアウォール管理者の管理 — すべての Palo Alto Networks ファイアウォールおよびアプ
ライアンスでは、デフォルトの管理アカウント(admin)が事前設定されています。このア
カウントでは、デバイスに対する読み取りと書き込みのフル アクセス権(スーパーユー
ザー アクセス権としても知られる)を提供します。ベスト プラクティスとして、ファイア
ウォールの管理機能またはレポート機能へのアクセス権を必要とするユーザーごとに別個
の管理アカウントを作成します。これにより、無権限での設定(または変更)からデバイ
スを保護する能力を高め、個々の管理者のアクションをログに記録することができます。

User-ID の有効化(User-ID)— User-ID は Palo Alto Networks の次世代のファイアウォールの機
能で、個々の IP アドレスの代わりにユーザーとグループに基づいてポリシーを作成し、レ
ポートを実行できます。

復号化の有効化 — Palo Alto Networks ファイアウォールでは、可視化、制御、および詳細な
セキュリティのためにトラフィックを復号化および検査する機能を提供します。ファイア
ウォールで復号化を使用すると、悪意のあるコンテンツのネットワークへの侵入や、機密
コンテンツが暗号化されたトラフィックまたはトンネルされたトラフィックとして隠ぺい
され、ネットワーク外に流出することを防止することができます。
デバイス管理
55
ファイアウォールのデプロイメントのベスト プラクティス
56
スタート ガイド
デバイス管理
デバイス管理
管理者は、Web インターフェイス、CLI、および API 管理インターフェイスを使用して、Palo
Alto Networks のファイアウォールを設定、管理、およびモニタリングすることができます。特
定のタスクまたは許可を特定の管理者に委任するため、管理インターフェイスに対するロール
ベースの管理アクセス権限をカスタマイズできます。管理インターフェイスの使用方法や管理
者ロールのカスタマイズ方法などのデバイス管理オプションの詳細は、以下のトピックを参照
してください。

管理インターフェイス

ファイアウォール管理者の管理

リファレンス : Web インターフェイス管理者のアクセス権限
デバイス管理
57
管理インターフェイス
デバイス管理
管理インターフェイス
PAN-OS ファイアウォールおよび Panorama には、Web インターフェイス、コマンド ライン イン
ターフェイス(CLI)、REST 管理 API という 3 つのユーザー インターフェイスが用意されてい
ます。各デバイス管理インターフェイスへのアクセス方法とその使用開始法の詳細は、以下の
トピックを参照してください。

Web インターフェイスの使用 : Web インターフェイスから、比較的簡単に管理タスクを実行
し、レポートを生成します。このグラフィカル インターフェイスでは、HTTPS を使用してファ
イアウォールにアクセスできます。これは、管理タスクを実行するための最適な方法です。

コマンド ライン インターフェイス(CLI)の使用 : コマンドを連続して入力し一連のタスクを
実行します。CLI は、2 つのコマンド モードをサポートする必要最小限の機能を備えたインター
フェイスで、各モードにはコマンドとステートメントの独自の階層があります。コマンドのネ
スト構造と構文に慣れると、CLI の応答時間を短縮し、効率的な管理が可能になります。

XML API の使用 : 操作を合理化し、内部的に開発された既存のアプリケーションやリポジト
リと統合します。XML API は、HTTP/HTTPS 要求および応答を使用して実装される Web サー
ビスとして提供されます。
Web インターフェイスの使用
PAN-OS ファイアウォールおよび Panorama の Web インターフェイスへのアクセスでは、以下の
Web ブラウザがサポートされています。

Internet Explorer 7+

Firefox 3.6+

Safari 5+

Chrome 11+
インターネット ブラウザを起動し、ファイアウォールの IP アドレスを入力します。認証情報を
入力します。ファイアウォールに初めてログインする場合は、デフォルト値「admin」を [ 名前 ]
と [ パスワード ] の両方のフィールドに入力します。
特定のページの使用方法に関する情報やページ上のフィールドとオプションの説明を表示する
には、ページの右上領域にあるヘルプ アイコン
をクリックしてオンライン ヘルプ シス
テムを開きます。ページの状況依存のヘルプが表示されます。さらにヘルプ アイコンをクリッ
クすると、ヘルプのナビゲーション ペインが表示されます。このペインにはすべてのヘルプの
コンテンツを参照および検索するオプションが表示されます。
以下のトピックでは、ファイアウォールの Web インターフェイスの使用を開始する方法につい
て説明します。

Web インターフェイスのナビゲート

変更のコミット

設定ページの使用

必須フィールド

トランザクションのロック
58
デバイス管理
デバイス管理
管理インターフェイス
Web インターフェイスのナビゲート
Web インターフェイスの使用時には、以下の規則が適用されます。

一般的な機能カテゴリのメニュー項目を表示するには、ブラウザ ウィンドウの上部近くにあ
る [Objects] や [Devices] など、該当するタブをクリックします。

パネルを表示するには、サイド メニューで項目をクリックします。

サブメニュー項目を表示するには、項目の左にある
アイコンをクリックします。サブメ
ニュー項目を非表示にするには、項目の左にある
アイコンをクリックします。

ほとんどの設定ページで、[ 追加 ] をクリックして新規項目を作成できます。

1 つ以上の項目を削除するには、項目のチェック ボックスをオンにして [ 削除 ] をクリックし
ます。ほとんどの場合、[OK] をクリックして確認するか、[ キャンセル ] をクリックして削
除をキャンセルするよう求めるメッセージが表示されます。
デバイス管理
59
管理インターフェイス
デバイス管理

一部の設定ページでは、項目のチェック ボックスをオンにして [ コピー] をクリックすると、
選択した項目と同じ情報で新規項目を作成できます。

項目を変更するには、下線の付いたリンクをクリックします。

タスクの現在のリストを表示するには、ページの右下隅の [タスク] アイコンをクリックしま
す。[タスク マネージャ] ウィンドウが開き、ステータス、開始時刻、関連付けられたメッ
セージ、およびアクションと共にタスクのリストを表示します。[ 表示 ] ドロップダウン リ
ストを使用してタスクのリストをフィルタリングします。

Web インターフェイス言語は、特定の優先言語が定義されていない場合、デバイスを管理して
いるコンピュータの現在の言語に従います。たとえば、ファイアウォールの管理に使用する
コンピュータのロケールがスペイン語の場合、そのファイアウォールにログインするときの
Web インターフェイスはスペイン語で表示されます。

コンピュータのロケールに関係なく所定のアカウントでいつも使用する言語を指定するに
は、ページの右下にある言語アイコンをクリックして [ 言語設定 ] ウィンドウを開きます。ド
ロップダウン リストをクリックして目的の言語を選択し、[OK] をクリックして変更を保存
します。
60
デバイス管理
デバイス管理
管理インターフェイス

変更できる情報を表示するページで(たとえば、[Devices] タブの [セットアップ] ページ)、
セクションの右上隅のアイコンをクリックして、設定を編集します。

設定を行った後は、[OK] または [Save] をクリックして変更を保存する必要があります。
[OK] をクリックすると、現在の「候補」設定が更新されます。
変更のコミット
Web インターフェイスの上部で [Commit] をクリックして、[ コミット ] ダイアログ ボックスを
開きます。
[ コミット ] ダイアログ ボックスでは、以下のオプションを使用できます。必要な場合は、[ 詳細 ]
リンクをクリックして、以下のオプションを表示します。
–
デバイスとネットワーク設定を含める — コミット操作にデバイスおよびネットワークの
設定変更を含めます。
–
共有オブジェクト設定を含める —(マルチ仮想システム ファイアウォールのみ)コミッ
ト操作に共有オブジェクトの設定変更を含めます。
–
ポリシーとオブジェクト設定を含める —(非マルチ仮想システム ファイアウォールのみ)
コミット操作にポリシーとオブジェクトの設定変更を含めます。
デバイス管理
61
管理インターフェイス
デバイス管理
–
仮想システム設定を含める — すべての仮想システムを含めるか、[1 つ以上の仮想シス
テムを選択します ] を選択します。
–
変更内容の確認 — 候補設定で提案される変更点が現在の実行中の設定と比較表示される
2 ペイン ウィンドウを表示するには、このボタンをクリックします。表示する行数を選
択するか、すべての行を表示できます。変更点は、追加、修正、または削除された項目
に応じて色分けされます。
設定ページの使用
設定ページのテーブルには、ソートおよび列を選択するオプションが含まれます。列ヘッダー
をクリックしてその列をソートしてから、もう一度クリックしてソート順序を変更します。任
意の列の右にある矢印をクリックし、表示する列を選択するために、チェックボックスをオン
にします。
必須フィールド
必須フィールドは、淡い黄色の背景で表示されます。フィールドの入力領域をポイントまたは
クリックすると、フィールドが必須であることを示すメッセージが表示されます。
トランザクションのロック
Web インターフェイスは複数の管理者に対応しており、ある管理者が現在の一連のトランザク
ションをロックすると、別の管理者はロックが解除されるまで設定変更やコミット操作ができ
なくなります。以下のタイプのロックがサポートされています。

62
コンフィグ ロック — 他の管理者が設定を変更できないようにブロックします。このタイプ
のロックは、グローバルに設定することも、1 つの仮想システムに設定することもできま
す。このロックを解除できるのは、ロックを設定した管理者またはシステムのスーパーユー
ザーだけです。
デバイス管理
デバイス管理

管理インターフェイス
コミット ロック — すべてのロックが解除されるまで他の管理者が変更をコミットできない
ようにブロックします。このタイプのブロックでは、2 人の管理者が同時に変更を行い、
2 番目の管理者が変更を完了させる前に最初の管理者が変更を完了させてコミットするとき
に生じる可能性がある競合を回避します。ロックは、ロックを適用した管理者によって現在
の変更がコミットされたときに解除されます。または手動で解除することもできます。
すべての管理者は、ロック ウィンドウを開いて、ロックされている現在のトランザクションを
それぞれのタイムスタンプと共に表示できます。
トランザクションをロックするには、上部のバーにあるロック解除アイコン
をクリックし
て [ ロック ] ダイアログ ボックスを開きます。[ ロック設定 ] をクリックし、ドロップダウン リ
ストからロックの範囲を選択して [OK] をクリックします。必要に応じてロックを追加し、
[ 閉じる ] をクリックして [ ロック ] ダイアログ ボックスを閉じます。
トランザクションがロックされて、上部のバーにあるアイコンがロック アイコンに変わり、ロッ
クされている項目の数がかっこ内に表示されます。
トランザクションのロックを解除するには、上部のバーにあるロック アイコン
をクリック
して [ ロック ] ウィンドウを開きます。解除するロックの
アイコンをクリックし、[ はい ] を
クリックして確定します。[ 閉じる ] をクリックして、[ ロック ] ダイアログ ボックスを閉じます。
コミット ロックを自動実施するには、[Device] タブの [ セットアップ ] ページで、[ 管理 ] 領域
の [ コミット ロックの自動実施 ] チェック ボックスをオンにします。
コマンド ライン インターフェイス(CLI)の使用
PAN-OS CLI により、ファイアウォールおよび Panorama のデバイスにアクセスし、状態と設定
情報を表示し、設定を変更することができます。PAN-OS CLI には、SSH や Telnet によって、ま
たはコンソールから直接アクセスできます。
以下のトピックでは、PAN-OS CLI にアクセスする方法と PAN-OS CLI の使用方法を説明します。

PAN-OS CLI へのアクセス

操作モードと設定モード
CLI の詳細は、『PAN-OS Command Line Interface Reference Guide(PAN-OS コマンド ライン
インターフェイス リファレンス ガイド)』を参照してください。
デバイス管理
63
管理インターフェイス
デバイス管理
PAN-OS CLI へのアクセス
操作を開始する前に、ファイアウォールがインストールされており、SSH、Telnet、またはコン
ソール直接接続が確立されていることを確認してください。
コンソール直接接続には、以下の設定を使用します。
• データ速度 : 9600
• データ ビット : 8
• パリティ: なし
• ストップ ビット : 1
• フロー制御 : なし
PAN-OS CLI へのアクセス
ステップ 1
コンソール接続を開きます。
ステップ 2
管理者のユーザー名を入力します。デフォルトは admin です。
ステップ 3
管理者のパスワードを入力します。デフォルトは admin です。
ステップ 4
PAN-OS CLI が操作モードで開き、CLI プロンプトが表示されます。
username@hostname>
操作モードと設定モード
ログインすると、PAN-OS CLI は操作モードで開きます。操作モードと設定モードは、いつでも
切り替えることができます。システムの状態の表示、PAN-OS CLI への移動、設定モードへの切り
替えには、操作モードを使用します。設定階層の表示と変更には、設定モードを使用します。

To enter Configuration mode from Operational mode, use the configure command:
username@hostname> configure
Entering configuration mode
[edit]
username@hostname#

To leave Configuration mode and return to Operational mode, use the quit or exit command:
username@hostname# quit
Exiting configuration mode
username@hostname>

設定モードのまま操作モードのコマンドを入力するには、run コマンドを使用します。例 :
username@hostname# run ping host 1.1.1.2
PING 1.1.1.1 (1.1.1.1) 56(84) bytes of data
...
username@hostname#
64
デバイス管理
デバイス管理

管理インターフェイス
操作モード コマンドを特定の VSYS に向けて発行するには、ターゲット VSYS を以下のコマンドを
使用して指定します。
username@hostname# set system setting target-vsys <vsys_name>
XML API の使用
Palo Alto Networks XML API では、標準の HTTP 要求を使用してデータを送受信しており、デバ
イス上の複数のタイプのデータにアクセスできます。そのため容易に他のシステムと統合した
り、そのシステムで使用したりすることができます。ファイアウォールまたは Panorama の設定
の表示、XML 形式でのレポート データの抽出、および操作コマンドの実行には、REST 管理 API
を使用します。API 呼び出しは、cURL や wget などのコマンドライン ユーティリティから直接
実行したり、RESTful サービスをサポートする任意のスクリプトまたはアプリケーション フレー
ムワークを使用して実行することができます。コマンド ライン ツールで API を使用する場合
は、HTTP GET と POST の両方のメソッドがサポートされます。
XML API を使用するには、API キーを生成する必要があります。API キーにより、ファイア
ウォール、アプリケーション、または Panorama に対してユーザーを認証します。API キーを生
成した後は、そのキーを使用して、デバイス設定と操作タスクを実行し、レポートおよびログ
を取得し、ファイルのインポートとエクスポートを行うことができます。API キーの生成ス
テップについては、「API キーの生成」を参照してください。
以下の表に、API 要求の URL 構造を示します。
XML API の URL 構造
PAN-OS 4.1.0 より前
http(s)://hostname/esp/restapi.esp?request-parameters-values
PAN-OS 4.1.0 以降
http(s)://hostname/api/?request-parameters-values
URL 構造の項目の定義 :
• hostname — デバイスの IP アドレスまたはドメイン名。
• request-parameters-values — アンパサンド(&)で区切られた一連の複数の ‘parameter=value’ のペ
ア。これらの値は、標準または XML 形式のキーワードまたはデータ値のいずれかです(応答
データは常に XML 形式です)。
PAN-OS、User-ID、および WildFire 製品用の API があります。API インターフェイスの使用方法につ
いての詳細は、『PAN-OS XML API Usage Guide』(英語)を参照してください。スクリプトを開発す
るためにオンライン コミュニティにアクセスするには、https://live.paloaltonetworks.com/community/devcenter
にアクセスしてください。
デバイス管理
65
管理インターフェイス
デバイス管理
API キーの生成
API を使用してファイアウォールまたはアプリケーションを管理する場合は、すべての API 呼
び出しを認証するために API キーが必要です。API キーの生成には管理者アカウントの資格情
報が使用されます。
ベスト プラクティスとして、XML ベースの管理用に別個の管理者アカウントを作成します。
API キーの生成
ステップ 1
ステップ 2
管 理 者 ア カ ウ ン ト を 作 成 し 1.
ます。
Web インターフェイスの [Device] > [ 管理者 ] で、[ 追
加 ] をクリックします。
2.
管理者のログイン名を [名前] フィールドに入力します。
3.
管理者のパスワードを [ パスワード ] フィールドに入
力し、確認します。
4.
[OK]、[Commit] の順にクリックします。
API キーを要求します。
以下の URL の hostname、username、および password の各パ
ラメータを、管理者アカウントの資格情報の該当する値で
置き換えます。
http(s)://hostname/api/?type=keygen&user=username&password=pas
sword
API キーは XML ブロックに表示されます。例 :
<response status="success">
<result>
<key>0RgWc42Oi0vDx2WRUIUM6A</key>
</result>
</response>
ステップ 3
66
(任意)API キーを無効にす 1.
るか、または変更します。
[Device] > [ 管理者 ] で、その API キーに関連付けられ
ている管理者アカウントを開きます。
PAN-OS 4.1.0 以降のリリースで 2.
は、同じ管理者アカウントの認 3.
証情報を使用して API キーを
生成すると、毎回一意の API
キーが返され、そのすべての
キーが有効になります。
4.
管理者アカウントに関連付け
られているパスワードを変更
することにより、その管理者
アカウントに関連付けられて
いる API キーを無効にしてか
ら変更する方法を選択できま
す。以前の認証情報を使用し
て生成された API キーは、す
べて有効ではなくなります。
管理者の新しい パスワードを入力して確認します。
[OK]、[Commit] の順にクリックします。
パスワードの変更前に管理者アカウントに関連付けら
れていたすべての API キーは、コミットするときに無
効になります。
(任意)更新された管理者アカウントの認証情報を
使用して、新しい API キーを生成します。「ステッ
プ 2」を参照してください。
デバイス管理
デバイス管理
管理インターフェイス
API キーの生成(続き)
API キーを使用したワークフローの例 :
以下のように、Web ブラウザに適切な値を指定した URL を入力することにより、API キーを要求します。
https://10.xx.10.50/esp/restapi.esp?type=keygen&user=admin&password=admin
URL を入力すると、API キーが含まれる XML ブロックが表示されます。
<response status="success">
<result>
<key>0RgWc42Oi0vDx2WRUIUM6A</key>
</result>
</response>
引き続き API キーを使用して API 要求を作成します。たとえば、レポートを生成するには以下のように
指定します。
https://10.xx.10.50/esp/restapi.esp?type=report&reporttype=dynamic&reportname
=top-app-summary&period=last-hour&topn=5&key=0RgWc42Oi0vDx2WRUIUM6A=
デバイス管理
67
ファイアウォール管理者の管理
デバイス管理
ファイアウォール管理者の管理
すべての Palo Alto Networks ファイアウォールおよびアプライアンスには、デフォルトの管理ア
カウント(admin)が事前設定されています。このアカウントには、デバイスに対する読み取り
と書き込みのフル アクセス権(スーパーユーザー アクセス権としても知られる)が付与されて
います。
ベスト プラクティスとして、ファイアウォールの管理機能またはレポート機能へのアクセス権
を必要とするユーザーごとに別個の管理アカウントを作成します。これにより、無権限での設
定(または変更)からデバイスを保護する能力を高め、個々の管理者のアクションをログに記
録することができます。
以下のトピックでは、管理アカウントをセットアップするためのさまざまな方法について説明
し、基本的な管理アクセス権限のセットアップ手順を示します。

管理ロール

管理認証

管理アカウントの作成
管理ロール
管理者アカウントの設定方法は、組織内でのセキュリティ要件、統合可能な既存の認証サービ
スがあるかどうか、および必要な管理ロールの種類に応じて異なります。「ロール」により、
関連付けられた管理者のシステムに対するアクセス権のタイプを定義します。次の 2 つのタイ
プのロールを割り当てることができます。

動的ロール — 「スーパーユーザー」、「スーパーユーザー(読み取り専用)」、「デバイス
の管理者」、「デバイスの管理者 (読み取り専用)」、「仮想システム管理者」、および
「仮想システム管理者(読み取り専用)」にファイアウォールへのアクセスを付与する組み
込みロール。動的ロールの場合は自動的に更新されるため、新機能が追加されたときにロー
ルの定義を更新することについて心配する必要がありません。

管理ロール プロファイル — Web インターフェイス、CLI、または XML API のさまざまな機能
領域へのアクセスをよりきめ細かく制御するため、独自のロール定義を作成できます。たと
えば、Web インターフェイスのデバイスとネットワークの設定領域へのアクセスを許可する
管理ロール プロファイルを操作スタッフ用に、またセキュリティ ポリシー定義、ログ、お
よびレポートへのアクセスを許可する別個のプロファイルをセキュリティ管理者用に作成で
きます。管理ロール プロファイルを使用する場合は、製品に追加される新しい機能 / コン
ポーネントの特権を明示的に割り当てるため、プロファイルを更新する必要があることに注
意してください。
68
デバイス管理
デバイス管理
ファイアウォール管理者の管理
管理認証
管理ユーザーは次の 4 つの方法で認証できます。

ローカル認証によるローカル管理者アカウント — 管理者アカウント認証情報と認証方式の両
方がファイアウォールに対してローカルです。ローカル管理者アカウントは、パスワードの
有効期間を定義するパスワード プロファイルを作成し、デバイス全体でのパスワード複雑性
設定を行うことにより、安全性を高めることができます。

SSL ベース認証によるローカル管理者アカウント — このオプションでは、ファイアウォール
で管理者アカウントを作成しますが、認証は SSH 証明書(CLI アクセスの場合)またはクラ
イアント証明書 / 共通アクセス カード(Web インターフェイスの場合)に基づいて処理され
ます。このタイプの管理アクセス権の設定方法については、「How to Configure Certificate-based
Authentication for the WebUI」の記事を参照してください。

外部認証によるローカル管理者アカウント — この管理者アカウントはローカル ファイアウォー
ルで管理されますが、認証機能の負荷は既存の LDAP、Kerberos、または RADIUS サービス
に割り振られます。このタイプのアカウントを設定するには、まず外部認証サービスへのア
クセス方法を定義する認証プロファイルを作成し、次にそのプロファイルを参照する管理者
ごとにアカウントを作成する必要があります。

外部管理者アカウントと認証 — アカウント管理者と認証は、外部 RADIUS サーバーによっ
て処理されます。このオプションを使用するには、RADIUS サーバーで、管理ロールにマッ
プされるベンダー固有属性(VSA)、および任意で、Palo Alto Networks デバイスで定義した
仮想システム オブジェクトを定義する必要があります。このタイプの管理アクセス権の設定
方法については、「Radius Vendor Specific Attributes(VSA)」の記事を参照してください。
管理アカウントの作成
管理アカウントを作成して、ファイアウォール管理者のアクセス権と管理権限を定義します。
一般的に、特定の管理タスクは、さまざまなロールを持つ特定の管理者に委任されるため、管
理者が、各自のジョブを実行するために必要な管理インターフェイスの領域のみにアクセスで
きるようにする管理者ロール プロファイルを作成することをお勧めします。作成したさまざま
なロールを個々の管理者アカウントに割り当て、各管理インターフェイス(Web インター
フェイス、CLI(コマンドライン インターフェイス)、REST 管理 API)へのアクセス権限を指
定できます。アクセス権限を詳細に指定した管理者ロールを作成することで、機密性の高い企
業データとエンド ユーザーのプライバシーが保護されます。
以下の手順では、ローカル認証を含むローカル管理者アカウントを作成する方法を説明しま
す。各管理インターフェイスへの管理者アクセス権の設定方法も取り上げます。
デバイス管理
69
ファイアウォール管理者の管理
デバイス管理
ローカル管理者の作成
ステップ 1
管理者に割り当てる予定の管
理者ロール プロファイルを作
成します(これは、動的ロー
ルを使用する場合には適用さ
れません)。管理者ロール プ
ロファイルでは、ロールを割
り当てる管理者ごとに、Web
イ ン タ ー フ ェ イ ス、C L I 、お
よび XML API のさまざまなセ
クションに対して付与するア
クセス権限のタイプを定義し
ます。
作成するロールごとに以下の手順を実行します。
1.
[Device] > [ 管理者ロール ] の順に選択して [ 追加 ] を
クリックします。
2.
[名前 ] フィールドに名前を入力し、必要に応じて [内
容 ] フィールドにロールの説明を入力します。
3.
[Web UI]、[ コマンドライン ]、および [XML API] タブ
では、各管理インターフェイスへのアクセス権を指
定します。
• [Web UI] または [XML API] タブで、アイコンをク
リックして必要な設定に切り替えることにより、イ
ンターフェイスの機能領域ごとにアクセス レベル
([ 有効化 ] 、[ 読み取り専用 ] 、[ 無効化 ] )
を設定します。
こ の ス テ ッ プ を 使 用 し て、
Web インターフェイスのユー
ザーに付与する、特に詳細な
権限を設定することができま
す。[Web UI] タブで有効にな
る特定のオプションの詳細
は、
「Web インターフェイスの
アクセス権限」を参照してく
ださい。
• [ コマンドライン ] タブで、CLI に許可するアクセス
権限のタイプを指定します。たとえば、デバイスの
ロールの場合には [superreader]、[deviceadmin]、
または [devicereader] に、仮想システムのロールの
場合には [vsysadmin] または [vsysreader] に、CLI
アクセスを全体的に無効にする場合には [ なし ] に指
定します。
4.
[OK] をクリックしてプロファイルを保存します。
たとえば、XML API を使用したデバイスへの管理者フル ア
クセス権を許可し、ファイルのインポートおよびエクス
ポートは除外する場合は、以下のように指定します。
70
デバイス管理
デバイス管理
ファイアウォール管理者の管理
ローカル管理者の作成(続き)
ステップ 2
(任意)ローカルのユーザー • パスワード プロファイルの作成 — 管理者がパスワード
定義パスワードの要件を設定
を変更しなければならない頻度を定義します。複数のパ
します。
スワード プロファイルを作成し、必要に応じて管理者ア
カウントに適用して必要なセキュリティを確保できま
す。パスワード プロファイルを作成するには、[Device] >
[ パスワード プロファイル ] の順に選択して、[ 追加 ] を
クリックします。
• パスワード複雑性の設定 — パスワードの複雑性を制御す
るルールを定義し、推測や解読が困難で、破られにくい
パスワードを管理者が作成するよう強制できます。個々
のアカウントに適用可能なパスワード プロファイルとは
異なり、これらのルールはデバイス全体に影響し、すべ
て の パ ス ワ ー ド に 適 用 さ れ ま す。設 定 を 行 う に は、
[Device] > [ セットアップ ] の順に選択し、[ パスワード複
雑性設定 ] セクションの編集
アイコンをクリックし
ます。
ステップ 3
デバイス管理
管理者ごとにアカウントを作 1.
成します。
[Device] > [ 管理者 ] の順に選択して [ 追加 ] をクリッ
クします。
2.
管理者ユーザーの [ 名前 ] と [ パスワード ] を入力す
るか、外部の認証サーバーに対して管理ユーザーの
資格情報の有効性を確証するために使用する [ 認証プ
ロファイル ] を作成します。認証プロファイルのセッ
トアップ方法の詳細は、ステップ 4 を参照してくだ
さい。
3.
この管理者に割り当てる [ ロール ] を選択します。事
前定義の動的ロールのいずれかを選択するか、ステッ
プ 1 で作成した場合にはカスタムのロール ベースの
プロファイルを選択できます。
4.
(任意)[ パスワード プロファイル ] を選択します。
5.
[OK] をクリックしてアカウントを保存します。
71
ファイアウォール管理者の管理
デバイス管理
ローカル管理者の作成(続き)
ステップ 4
(任意)外部サーバーに対する 1.
認証方式(LDAP、RADIUS、ま
たは Kerberos)を設定します。 2.
サーバー プロファイルでは、
使用する予定の認証サービス 3.
にファイアウォールが接続す
る方法を指定します。
[Device] > [ 認証プロファイル ] の順に選択し、[ 追加 ]
をクリックします。
認証プロファイルの識別に使用するユーザーの [ 名前 ]
を入力します。
管理ユーザーのロックアウト条件を定義します。
a. [ ロックアウト時間 ] に値を入力します。これは、最
大許容ログイン回数に達した場合にユーザーをロッ
クアウトする時間(0 ~ 60 分、デフォルトは 0)で
す。0 を指定すると、手動でロック解除するまでロッ
クアウト状態が続きます。
b. [ 許容ログイン回数 ] に値を入力します。これは、ア
カウントがロックアウトするまでの最大許容ログイ
ン回数です(1 ~ 10、デフォルトは 0)。デフォルト
の許容ログイン回数は 0 で、認証が繰り返し失敗し
てもユーザーはロックアウトされません。
4.
認証を明示的に許可するユーザーとグループを指定
します。[ 許可リスト ] を認証プロファイルに追加す
ることで、ユーザー グループ / ディレクトリ内の特
定のユーザーにアクセスを制限できます。
• すべてのユーザーを許可するには、[All] チェック ボッ
クスをオンにします。
• [ 追加 ] をクリックし、フィールドに名前の最初の数
文字を入力すると、その文字で始まるユーザーおよ
びユーザー グループがすべて表示されます。必要な
数のユーザー/ ユーザー グループの追加を繰り返し
ます。
5.
[ 認証 ] ドロップダウンで、ネットワークで使用する
予定の認証のタイプを選択します。
ローカル データベース認証を使用する場合は、ローカ
ル データベースを作成する必要があります。[Device] >
[ ローカル ユーザー データベース ] の順に選択し、認証
するユーザーおよびグループを追加します。
ステップ 5
72
変更をコミットします。
6.
外部の認証サーバー(ローカル データベースではな
い)へのアクセス用に、[ サーバー プロファイル ] ド
ロップダウンで適切なサーバー プロファイルを選択
します。新しいサーバー プロファイルを作成するに
は、[ 新規 ] の横のリンクをクリックし、[LDAP]、
[RADIUS]、または [Kerberos] サーバーへのアクセ
スの設定に進みます。
7.
[OK] をクリックします。
1.
[Commit] をクリックします。
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス
権限
PAN-OS および Panorama Web インターフェイスの管理者に、特に詳細なアクセス権限を設定す
るためのオプションの詳細は、以下のトピックを参照してください。

Web インターフェイスのアクセス権限

Panorama Web インターフェイスのアクセス
Web インターフェイスのアクセス権限
ロールベース管理者が Web インターフェイスの特定のタブにアクセスできないようにする場合
は、そのタブを無効にし、管理者が自分に関連付けられているロールベースの管理アカウント
を使用してログインしたときにそのタブが表示されないようにすることができます。たとえ
ば、操作スタッフ用に [Device] および [Network] タブへのアクセスのみを許可する管理者ロー
ル プロファイルを作成し、セキュリティ管理者用に [Objects]、[Policy]、および [Monitor] タ
ブへのアクセスを許可する別の管理者ロール プロファイルを作成することができます。
以下の表に、管理者ロール プロファイルに割り当てることができるタブ レベルのアクセス権限
の説明を示します。また、タブ内でのより詳細な権限について詳しく説明した追加の表への相
互参照も示されています。管理者ロール プロファイルを設定してエンド ユーザーのプライバ
シーを守る方法の詳細は、「管理者ロール プロファイルでのユーザーのプライバシー設定の定
義」を参照してください。
アクセス レベル
説明
Dashboard
ACC
デバイス管理
有効化
読み取り専用
無効化
[Dashboard] タブへのアクセスを制御しま はい
す。この権限を無効にすると、その管理者
に は こ の タ ブ が 表 示 さ れ な く な り、
[Dashboard] ウィジェットのいずれにもアク
セスできません。
いいえ
はい
アプリケーション コマンド センター はい
(ACC)へのアクセスを制御します。この
権限を無効にすると、[ACC] タブが Web イ
ンターフェイスに表示されなくなります。
ACC へのアクセス権限を与えると同時に
ユーザーのプライバシーを守るには、[ 専
用 ] > [ 完全 IP アドレスの表示 ] オプション
または [ ログおよびレポート内のユーザー
名の表示 ] オプションを無効にすることが
できます。
いいえ
はい
73
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス レベル
説明
モニター
デバイス管理
読み取り専用
無効化
[Monitor] タ ブ へ の ア ク セ ス を 制 御 し ま はい
す。この権限を無効にすると、その管理者
には [Monitor] タグが表示されなくなり、
ログ、パケット キャプチャ、セッション情
報、レポート、またはアプリケーション ス
コープのいずれにもアクセスできません。
管理者が表示できるモニタリング情報をよ
り詳細に制御するには、[モニター] オプショ
ンを有効にしたままで、「[Monitor] タブに
対する詳細なアクセス権限の付与 」での説
明に従ってタブ上の特定のノードを有効ま
たは無効にします。
いいえ
はい
ポリシー
[Policies] タ ブ へ の ア ク セ ス を 制 御 し ま はい
す。この権限を無効にすると、その管理者
には [Policies] タブが表示されなくなり、
すべてのポリシー情報にアクセスできませ
ん。たとえば、特定のタイプのポリシーへ
のアクセスを有効にする、またはポリシー
情報への読み取り専用アクセスを有効にす
るなど、管理者が表示できるポリシー情報
をより詳細に制御するには、[Policies] オ
プションを有効にしたままで、「[Policies]
タブに対する詳細なアクセス権限の付与」
での説明に従ってタブ上の特定のノードを
有効または無効にします。
いいえ
はい
オブジェクト
[Objects] タ ブ へ の ア ク セ ス を 制 御 し ま はい
す。この権限を無効にすると、その管理者
には [Objects] タブが表示されなくなり、
すべてのオブジェクト、セキュリティ プロ
ファイル、ログ転送プロファイル、復号プ
ロファイル、またはスケジュールにアクセ
スできません。管理者が表示できるオブ
ジ ェ ク ト を よ り 詳 細 に 制 御 す る に は、
[Objects] オ プ シ ョ ン を 有 効 に し た ま ま
で、「[Objects] タブに対する詳細なアクセ
ス権限の付与」での説明に従ってタブ上の
特定のノードを有効または無効にします。
いいえ
はい
74
有効化
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
デバイス管理
アクセス レベル
説明
ネットワーク
デバイス
読み取り専用
無効化
[Network] タ ブへのア クセスを 制御しま はい
す。この権限を無効にすると、その管理者
には [Network] タブが表示されなくなり、
す べ て の イ ン タ ー フ ェ イ ス、ゾ ー ン、
VLAN、仮想ルーター、IPsec トンネル、
DHCP、DNS プロキシ、GlobalProtect、QoS
設定情報、またはネットワーク プロファイ
ルにアクセスできません。管理者が表示で
きるオブジェクトをより詳細に制御するに
は、[Network] オプションを有効にしたまま
で、「[Network] タブに対する詳細なアクセ
ス権限の付与」での説明に従ってタブ上の
特定のノードを有効または無効にします。
いいえ
はい
[Device] タブへのアクセスを制御します。 はい
この権限を無効にすると、その管理者には
[Device] タブが表示されなくなり、User-ID、
高可用性、サーバー プロファイル、または
証明書設定情報などのデバイス全体の設定
情報すべてにアクセスできません。管理者
が表示できるオブジェクトをより詳細に制
御するには、[Objects] オプションを有効に
したままで、「[Device] タブに対する詳細
なアクセス権限の付与」での説明に従って
タブ上の特定のノードを有効または無効
にします。
いいえ
はい
注
有効化
[Device] タブへのフル アクセス権限
を有効にしていても、[ 管理者ロール ]
または [ 管理者 ] ノードに対するロー
ルベース管理者のアクセス権限を有
効にすることはできません。
[Monitor] タブに対する詳細なアクセス権限の付与
管理者が表示できる [Monitor] タブのエリアを、そのすべてではなく一部に制限したい場合もあ
ります。たとえば、管理者の操作を、機密性の高いユーザー データが含まれていない設定およ
びシステム ログのみに制限する場合などです。管理者ロール定義のこのセクションでは管理者
が表示できる [Monitor] タブのエリアを指定しますが、このセクションに含まれる権限を、ログ
やレポートでユーザー名を表示する権限を無効にするなどの [ 専用 ] の権限と組み合わせること
もできます。ただし、管理者ロールでユーザー名と IP アドレスの表示を無効にしても、システ
ム生成のレポートには、ユーザー名と IP アドレスが表示されます。したがって、管理者がユー
ザーの個人情報を一切表示することができないようにする場合は、以下の表に示す詳細に従っ
て特定のレポートへのアクセス権限を無効にする必要があります。
デバイス管理
75
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス レベル
説明
モニター
デバイス管理
読み取り専用
無効化
[Monitor] タブへのアクセス権限を有効ま はい
たは無効にします。無効にすると、その管
理者には、このタブとこのタブに関連付け
られているログまたはレポートのすべてが
表示されなくなります。
いいえ
はい
ログ
すべてのログ ファイルへのアクセス権限を はい
有効または無効にします。この権限を有効
にしたままで、管理者に表示されないよう
にする特定のログを無効にすることもでき
ます。1 つ以上のログに対するアクセス権
限を与えると同時にユーザーのプライバ
シーを守るには、[ 専用 ] > [ 完全 IP アドレ
スの表示 ] オプションまたは [ ログおよび
レポート内のユーザー名の表示 ] オプショ
ンを無効にすることができます。
いいえ
はい
トラフィック
管理者がトラフィック ログを表示できるか はい
どうかを指定します。
いいえ
はい
脅威
管理者が脅威ログを表示できるかどうかを はい
指定します。
いいえ
はい
URL フィルタリング
管理者が URL フィルタリング ログを表示 はい
できるかどうかを指定します。
いいえ
はい
WildFire 送信
管理者が WildFire ログを表示できるかどう はい
か を 指 定 し ま す。こ れ ら の ロ グ は、
WildFire サブスクリプションを持っている
場合にのみ表示できます。
いいえ
はい
データ フィルタリング 管理者がデータ フィルタリング ログを表 はい
示できるかどうかを指定します。
いいえ
はい
HIP マッチ
管理者が HIP マッチ ログを表示できるか はい
どうかを指定します。HIP マッチ ログは、
GlobalProtect ポータル ライセンスとゲート
ウェイ サブスクリプションを持っている場
合にのみ表示されます。
いいえ
はい
設定
管理者が設定ログを表示できるかどうかを はい
指定します。
いいえ
はい
システム
管理者がシステム ログを表示できるかどう はい
かを指定します。
いいえ
はい
アラーム
管理者がシステム生成のアラームを表示で はい
きるかどうかを指定します。
いいえ
はい
76
有効化
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
デバイス管理
アクセス レベル
説明
パケット キャプチャ
読み取り専用
無効化
管理者が [Monitor] タブでパケット キャプ はい
チャ(pcap)を表示できるかどうかを指定
します。パケット キャプチャは生のフロー
データであり、そのためユーザーの IP ア
ドレスが含まれている可能性があることに
注意してください。[ 完全 IP アドレスの表
示 ] 権限を無効にしても pcap 内の IP アドレ
スが識別不能になることはないため、ユー
ザーのプライバシーの侵害が懸念される場
合はパケット キャプチャ権限を無効にして
ください。
はい
はい
アプリケーション
スコープ
管理者がアプリケーション スコープの可視 はい
化ツールと分析ツールを表示できるかどう
かを指定します。アプリケーション スコー
プを有効にすると、[ アプリケーション ス
コープ ] のすべてのグラフに対するアクセ
ス権限が有効になります。
いいえ
はい
セッション ブラウザ
ファイアウォール上で現在実行中のセッ はい
ションを管理者が参照およびフィルタリン
グできるかどうかを指定します。セッショ
ン ブラウザには生のフロー データが表示
され、そのためユーザーの IP アドレスが
含まれている可能性があることに注意して
ください。[ 完全 IP アドレスの表示 ] 権限
を無効にしてもセッション ブラウザ内の
IP アドレスが識別不能になることはないた
め、ユーザーのプライバシーの侵害が懸念
される場合は [ セッション ブラウザ ] 権限
を無効にしてください。
いいえ
はい
ボットネット
管理者がボットネット分析レポートを生成 はい
および表示できるか、またはボットネット
レポートを読み取り専用モードで表示でき
るかどうかを指定します。[ 完全 IP アドレ
スの表示 ] 権限を無効にしてもスケジュー
ル設定されたボットネット レポート内の
IP アドレスが識別不能になることはないた
め、ユーザーのプライバシーの侵害が懸念
される場合は [ ボットネット ] 権限を無効
にしてください。
はい
はい
デバイス管理
有効化
77
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス レベル
説明
PDF レポート
PDF サマリーの管理
デバイス管理
読み取り専用
無効化
すべての PDF レポートへのアクセス権限 はい
を有効または無効にします。この権限を有
効にしたままで、管理者に表示されないよ
うにする特定の PDF レポートを無効にす
ることもできます。1 つ以上のレポートに
対するアクセス権限を与えると同時にユー
ザーのプライバシーを守るには、[ 専用 ] >
[ 完全 IP アドレスの表示 ] オプションまた
は [ログおよびレポート内のユーザー名の
表示] オプションを無効にすることができ
ます。
いいえ
はい
管理者が、PDF サマリー レポートの定義を はい
表示、追加、または削除できるかどうかを
指定します。読み取り専用アクセス権限を
持っている場合、管理者は、PDF サマリー
レポートの定義を表示できますが、追加ま
たは削除することはできません。このオプ
ションを無効にすると、管理者は、レポー
トの定義を表示したり、それらの定義を
追加または削除したりすることができま
せん。
はい
はい
PDF サマリー レポート 管理者が生成された PDF サマリー レポー はい
トを [Monitor] > [ レポート ] で表示できる
かどうかを指定します。このオプションを
無効にすると、[ レポート ] ノードに [PDF
サマリー レポート] カテゴリが表示されな
くなります。
いいえ
はい
ユーザー
アクティビティ
レポート
はい
はい
78
有効化
管 理 者 が、ユ ー ザ ー ア ク テ ィ ビ テ ィ レ はい
ポートの定義を表示、追加、または削除
し、そのレポートをダウンロードすること
ができるかどうかを指定します。読み取り
専用アクセス権限を持っている場合、管理
者は、ユーザー アクティビティ レポート
の定義を表示できますが、追加、削除、ま
たはダウンロードすることはできません。
このオプションを無効にすると、管理者は
このカテゴリの PDF レポートを表示する
ことができません。
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
デバイス管理
アクセス レベル
説明
レポート グループ
読み取り専用
無効化
管理者が、レポート グループの定義を表 はい
示、追加、または削除できるかどうかを指
定します。読み取り専用アクセス権限を
持っている場合、管理者は、レポート グ
ループの定義を表示できますが、追加また
は削除することはできません。このオプ
ションを無効にすると、管理者はこのカテ
ゴリの PDF レポートを表示することがで
きません。
はい
はい
電子メール
スケジューラ
管理者が電子メール用のレポート グループ はい
をスケジュール設定できるかどうかを指定
します。電子メールで送信される生成レ
ポートには、[ 専用 ] > [ 完全 IP アドレスの
表示] オプションまたは [ログおよびレポー
ト内のユーザー名の表示 ] オプションを無
効にしても除外されないユーザーの機密
データが含まれている可能性があり、また
管理者がアクセス権限を持っていないログ
データが表示される可能性もあるため、
ユーザーのプライバシーの侵害が懸念され
る場合は、[ 電子メール スケジューラ ] オ
プションを無効にしてください。
はい
はい
カスタム レポートの
管理
すべてのカスタム レポート機能へのアクセ はい
ス権限を有効または無効にします。この権
限を有効にしたままで、管理者が表示でき
ないようにする特定のカスタム レポート
カテゴリを無効にすることもできます。
1 つ以上のレポートに対するアクセス権限
を与えると同時にユーザーのプライバシー
を守るには、[ 専用 ] > [ 完全 IP アドレスの
表示] オプションまたは [ログおよびレポー
ト内のユーザー名の表示] オプションを無
効にすることができます。
いいえ
はい
注
デバイス管理
有効化
要求時に実行されるレポートではな
く、スケジュール設定されているレ
ポートには、IP アドレスとユーザー
情報が表示されます。この場合は、
必ず該当するレポート エリアへのア
クセスを制限してください。また、
カスタム レポート機能では、管理者
ロールから除外されているログに含
まれているログ データを含むレポー
トの生成は制限されません。
79
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス レベル
読み取り専用
無効化
アプリケーション統計 管理者が、アプリケーション統計データ はい
ベースからのデータを含むカスタム レポー
トを作成できるかどうかを指定します。
いいえ
はい
データ フィルタリング 管理者が、データ フィルタリング ログの はい
データを含むカスタム レポートを作成でき
ログ
るかどうかを指定します。
いいえ
はい
脅威ログ
管理者が、脅威ログのデータを含むカスタ はい
ム レポートを作成できるかどうかを指定し
ます。
いいえ
はい
脅威サマリー
管理者が、脅威サマリー データベースの はい
データを含むカスタム レポートを作成でき
るかどうかを指定します。
いいえ
はい
トラフィック ログ
管理者が、トラフィック ログのデータを含 はい
むカスタム レポートを作成できるかどうか
を指定します。
いいえ
はい
トラフィック サマリー 管理者が、トラフィック サマリー データ はい
ベースのデータを含むカスタム レポートを
作成できるかどうかを指定します。
いいえ
はい
URL ログ
管理者が、URL フィルタリング ログの はい
データを含むカスタム レポートを作成でき
るかどうかを指定します。
いいえ
はい
HIP マッチ
管理者が、HIP マッチ ログのデータを含む はい
カスタム レポートを作成できるかどうかを
指定します。
いいえ
はい
スケジュール設定された 管理者が、生成するようにスケジュール設 はい
定されているカスタム レポートを表示でき
カスタム レポートの
るかどうかを使用します。
表示
いいえ
はい
事前定義済み
アプリケーション
レポートの表示
管理者がアプリケーション レポートを表示 はい
できるかどうかを指定します。専用の権限
は、[Monitor] > [ レポート ] ノードに表示
されるレポートに影響しないため、ユー
ザーのプライバシーを守る必要がある場合
はこのレポートへのアクセス権限を無効に
してください。
いいえ
はい
事前定義済み脅威
レポートの表示
管理者が脅威レポートを表示できるかどう はい
かを指定します。専用の権限は、[Monitor] >
[ レポート ] ノードに表示されるレポートに
影響しないため、ユーザーのプライバシー
を守る必要がある場合はこのレポートへの
アクセス権限を無効にしてください。
いいえ
はい
80
説明
デバイス管理
有効化
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
デバイス管理
アクセス レベル
説明
事前定義済み
URL フィルタリング
レポートの表示
事前定義済み
トラフィック
レポートの表示
有効化
読み取り専用
無効化
管理者が URL フィルタリング レポートを はい
表示できるかどうかを指定します。専用の
権限は、[Monitor] > [ レポート ] ノードに
表示されるレポートに影響しないため、
ユーザーのプライバシーを守る必要がある
場合はこのレポートへのアクセス権限を無
効にしてください。
いいえ
はい
管理者がトラフィック レポートを表示でき はい
るかどうかを指定します。専用の権限は、
[Monitor] > [ レポート ] ノードに表示され
るレポートに影響しないため、ユーザーの
プライバシーを守る必要がある場合はこの
レポートへのアクセス権限を無効にしてく
ださい。
いいえ
はい
[Policies] タブに対する詳細なアクセス権限の付与
管理者ロール プロファイルで [ ポリシー] オプションを有効にすると、定義する管理者ロールに
対して、タブ内の特定のノードを有効または無効にしたり、読み取り専用アクセスを設定した
りできます。特定のポリシー タイプへのアクセス権限を有効にすることにより、ポリシー ルー
ルを表示、追加、または削除する権限を有効にできます。特定のポリシーに対する読み取り専
用アクセス権限を有効にすると、その管理者は対応するポリシー ルール ベースを表示できるよ
うになりますが、ルールを追加または削除することはできません。特定のタイプのポリシーに
対するアクセス権限を無効にすることにより、管理者がポリシー ルール ベースを表示できない
ようにします。
特定のユーザーに基づいた(ユーザー名または IP アドレス)ポリシーは明示的に定義する必要
があるため、完全な IP アドレスやユーザー名を表示する権限を無効にするプライバシーの設定
は [Policies] タブには適用されません。したがって、ユーザーのプライバシー制限から除外され
ている管理者に対してのみ、[Policies] タブへのアクセスを許可する必要があります。
アクセス レベル
説明
セキュリティ
管理者にセキュリティ ポリシー ルールの はい
表示、追加、または削除を許可するには、
この権限を有効にします。管理者が、ルー
ルを表示できても変更できないようにする
場合は、この権限を読み取り専用に設定し
ます。管理者がセキュリティ ポリシー ルー
ル ベースを表示できないようにするには、
この権限を無効にします。
デバイス管理
有効化
読み取り専用
無効化
はい
はい
81
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス レベル
説明
NAT
デバイス管理
読み取り専用
無効化
管理者に NAT ポリシー ルールの表示、追 はい
加、または削除を許可するには、この権限
を有効にします。管理者が、ルールを表示
できても変更できないようにする場合は、
この権限を読み取り専用に設定します。管
理者が NAT ポリシー ルール ベースを表示
できないようにするには、この権限を無効
にします。
はい
はい
QoS
管理者に QoS ポリシー ルールの表示、追 はい
加、または削除を許可するには、この権限
を有効にします。管理者が、ルールを表示
できても変更できないようにする場合は、
この権限を読み取り専用に設定します。管
理者が QoS ポリシー ルール ベースを表示
できないようにするには、この権限を無効
にします。
はい
はい
ポリシー ベース
フォワーディング
管理者にポリシー ベース フォワーディン はい
グ(PBF)ポリシー ルールの表示、追加、
または削除を許可するには、この権限を有
効にします。管理者が、ルールを表示でき
ても変更できないようにする場合は、この
権限を読み取り専用に設定します。管理者
が PBF ポリシー ルール ベースを表示でき
ないようにするには、この権限を無効にし
ます。
はい
はい
復号化
管理者に復号ポリシー ルールの表示、追 はい
加、または削除を許可するには、この権限
を有効にします。管理者が、ルールを表示
できても変更できないようにする場合は、
この権限を読み取り専用に設定します。管
理者が復号ポリシー ルール ベースを表示
できないようにするには、この権限を無効
にします。
はい
はい
アプリケーション
オーバーライド
管理者にアプリケーション オーバーライド はい
ポリシー ルールの表示、追加、または削除
を許可するには、この権限を有効にしま
す。管理者が、ルールを表示できても変更
できないようにする場合は、この権限を読
み取り専用に設定します。管理者がアプリ
ケーション オーバーライド ポリシー ルー
ル ベースを表示できないようにするには、
この権限を無効にします。
はい
はい
82
有効化
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
デバイス管理
アクセス レベル
説明
有効化
読み取り専用
無効化
キャプティブ ポータル 管理者にキャプティブ ポータル ポリシー はい
ルールの表示、追加、または削除を許可す
るには、この権限を有効にします。管理者
が、ルールを表示できても変更できないよ
うにする場合は、この権限を読み取り専用
に設定します。管理者がキャプティブ ポー
タル ポリシー ルール ベースを表示できな
いようにするには、この権限を無効にし
ます。
はい
はい
DoS プロテクション
はい
はい
管理者に DoS プロテクション ポリシー ルー はい
ルの表示、追加、または削除を許可するに
は、この権限を有効にします。管理者が、
ルールを表示できても変更できないように
する場合は、この権限を読み取り専用に設
定します。管理者が DoS プロテクション ポ
リシー ルール ベースを表示できないように
するには、この権限を無効にします。
[Objects] タブに対する詳細なアクセス権限の付与
オブジェクトは、ルール定義を簡素化するために、IP アドレス、URL、アプリケーション、ま
たはサービスなどの特定のポリシー フィルタ値をグループ化するコンテナです。たとえば、ア
ドレス オブジェクトには、DMZ ゾーン内の Web サーバーやアプリケーション サーバーに固有
の IP アドレスの定義が含まれています。
[Objects] タブ全体に対するアクセスを許可するかどうかを決定するときには、その管理者にポ
リシー定義の責任があるかどうかを判別してください。その責任がない場合、おそらくその管
理者はタブにアクセスする必要がありません。ただし、その管理者が今後ポリシーを作成する
必要がある場合は、このタブへのアクセス権限を有効にし、ノード レベルで詳細なアクセス権
限を付与することができます。
特定のノードへのアクセス権限を有効にすることにより、対応するオブジェクト タイプを表
示、追加、および削除する権限を管理者に付与します。読み取り専用アクセス権限が付与され
ると、管理者は、すでに定義済みのオブジェクトを表示できますが、オブジェクトを作成また
は削除することはできません。ノードを無効にすると、管理者は Web インターフェイスでその
ノードを表示することができません。
アクセス レベル
アドレス
デバイス管理
有効化
管理者が、セキュリティ ポリシーで使用す はい
るアドレス オブジェクトを表示、追加、ま
たは削除できるかどうかを指定します。
読み取り専用
無効化
はい
はい
83
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス レベル
デバイス管理
有効化
読み取り専用
無効化
アドレス グループ
管理者が、セキュリティ ポリシーで使用す はい
るアドレス グループ オブジェクトを表
示、追加、または削除できるかどうかを指
定します。
はい
はい
地域
管 理 者 が、セ キ ュ リ テ ィ、復 号、ま た は はい
DoS ポリシーで使用する地域オブジェクト
を表示、追加、または削除できるかどうか
を指定します。
はい
はい
アプリケーション
管理者が、ポリシーで使用するアプリケー はい
ション オブジェクトを表示、追加、または
削除できるかどうかを指定します。
はい
はい
アプリケーション
グループ
管理者が、ポリシーで使用するアプリケー はい
ション グループ オブジェクトを表示、追
加、または削除できるかどうかを指定し
ます。
はい
はい
アプリケーション
フィルタ
管理者が、繰り返し検索を簡単にするため はい
のアプリケーション フィルタを表示、追
加、または削除できるかどうかを指定し
ます。
はい
はい
サービス
管理者が、アプリケーションで使用可能な はい
ポート番号を制限するポリシーを作成する
ときに使用するサービス オブジェクトを表
示、追加、または削除できるかどうかを指
定します。
はい
はい
サービス グループ
管理者が、セキュリティ ポリシーで使用す はい
るサービス グループ オブジェクトを表
示、追加、または削除できるかどうかを指
定します。
はい
はい
タグ([Panorama]
のみ)
管理者が、デバイスで定義されているタグ はい
を表示、追加、または削除できるかどうか
を指定します。
はい
はい
GlobalProtect
管理者が、HIP オブジェクトと HIP プロ はい
ファイルを表示、追加、または削除できる
かどうかを指定します。両方のタイプのオ
ブジェクトへのアクセスを GlobalProtect レ
ベルで制限できます。または、GlobalProtect
権限を有効にして HIP オブジェクトまたは
HIP プロファイルへのアクセスを制限する
ことにより、より詳細な制御を行うことが
できます。
いいえ
はい
84
デバイス管理
デバイス管理
アクセス レベル
リファレンス : Web インターフェイス管理者のアクセス権限
有効化
読み取り専用
無効化
HIP オブジェクト
管理者が、HIP プロファイルの定義で使用 はい
される HIP オブジェクトを表示、追加、ま
たは削除できるかどうかを指定します。
HIP オブジェクトは、HIP マッチ ログも生
成します。
はい
はい
HIP プロファイル
管理者が、セキュリティ ポリシーで使用さ はい
れるか、または HIP マッチ ログの生成で
使用される HIP プロファイルを表示、追
加、または削除できるかどうかを指定し
ます。
はい
はい
ダイナミック
ブロック リスト
管理者が、セキュリティ ポリシーで使用す はい
るダイナミック ブロック リストを表示、
追加、または削除できるかどうかを指定
します。
はい
はい
いいえ
はい
カスタム オブジェクト 管理者が、カスタム スパイウェアと脆弱性 はい
のシグネチャを表示できるかどうかを指定
します。このレベルですべてのカスタム シ
グネチャに対するアクセス権限を有効また
は無効にしてアクセスを制限できます。ま
たは、カスタム オブジェクト権限を有効に
して各タイプのシグネチャへのアクセスを
制限することにより、より詳細に制御する
ことができます。
データ パターン
管理者が、カスタム脆弱性防御プロファイ はい
ルの作成に使用するカスタム データ パ
ターン シグネチャを表示、追加、または削
除できるかどうかを指定します。
はい
はい
スパイウェア
管理者が、カスタム脆弱性防御プロファイ はい
ルの作成に使用するカスタム スパイウェア
シグネチャを表示、追加、または削除でき
るかどうかを指定します。
はい
はい
脆弱性
管理者が、カスタム脆弱性防御プロファイ はい
ルの作成に使用するカスタム脆弱性シグネ
チャを表示、追加、または削除できるかど
うかを指定します。
はい
はい
URL カテゴリ
管理者が、ポリシーで使用するカスタム はい
URL カテゴリを表示、追加、または削除で
きるかどうかを指定します。
はい
はい
デバイス管理
85
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス レベル
デバイス管理
読み取り専用
無効化
管理者がセキュリティ プロファイルを表示 はい
できるかどうかを指定します。このレベル
ですべてのセキュリティ プロファイルに対
するアクセス権限を有効または無効にして
アクセスを制限できます。または、セキュ
リティ プロファイル権限を有効にして各タ
イプのプロファイルへのアクセスを制限す
ることにより、より詳細に制御することが
できます。
いいえ
はい
管理者が、アンチウイルス プロファイルを はい
表示、追加、または削除できるかどうかを
指定します。
はい
はい
アンチスパイウェア 管理者が、アンチスパイウェア プロファイ はい
ルを表示、追加、または削除できるかどう
かを指定します。
はい
はい
管理者が、脆弱性防護プロファイルを表 はい
示、追加、または削除できるかどうかを指
定します。
はい
はい
URL フィルタリング 管理者が、URL フィルタリング プロファ はい
イルを表示、追加、または削除できるかど
うかを指定します。
はい
はい
ファイル
ブロッキング
管 理 者 が、フ ァ イ ル ブ ロ ッ キ ン グ プ ロ はい
ファイルを表示、追加、または削除できる
かどうかを指定します。
はい
はい
データ
フィルタリング
管 理 者 が、デ ー タ フ ィ ル タ リ ン グ プ ロ はい
ファイルを表示、追加、または削除できる
かどうかを指定します。
はい
はい
DoS プロテクション 管理者が、DoS プロテクション プロファイ はい
ルを表示、追加、または削除できるかどう
かを指定します。
はい
はい
セキュリティ
管理者が、セキュリティ プロファイル グ はい
プロファイル グループ ループを表示、追加、または削除できるか
どうかを指定します。
はい
はい
ログ転送
管理者が、ログ転送プロファイルを表示、 はい
追加、または削除できるかどうかを指定し
ます。
はい
はい
復号プロファイル
管理者が、復号プロファイルを表示、追 はい
加、または削除できるかどうかを指定し
ます。
はい
はい
セキュリティ
プロファイル
アンチウイルス
脆弱性防御
86
有効化
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス レベル
スケジュール
有効化
管理者が、セキュリティ ポリシーを特定の はい
日付または時刻範囲に制限するためのスケ
ジュールを表示、追加、または削除できる
かどうかを指定します。
読み取り専用
無効化
はい
はい
[Network] タブに対する詳細なアクセス権限の付与
[Network] タブ全体に対するアクセスを許可するかどうかを決定するときには、その管理者に
GlobalProtect 管理を含むネットワーク管理の責任があるかどうかを判別してください。その責
任がない場合、おそらくその管理者はタブにアクセスする必要がありません。
[Network] タブへのアクセス権限は、ノード レベルで定義することもできます。特定のノードへ
のアクセス権限を有効にすることにより、対応するネットワーク設定を表示、追加、および削
除する権限を管理者に付与します。読み取り専用アクセス権限が付与されると、管理者はすで
に定義済みの設定を表示できますが、オブジェクトを作成または削除することはできません。
ノードを無効にすると、管理者は Web インターフェイスでそのノードを表示することができま
せん。
アクセス レベル
有効化
読み取り専用
無効化
インターフェイス
管理者が、インターフェイス設定を表示、 はい
追加、または削除できるかどうかを指定し
ます。
はい
はい
ゾーン
管理者が、ゾーンを表示、追加、または削 はい
除できるかどうかを指定します。
はい
はい
VLAN
管理者が、VLAN を表示、追加、または削 はい
除できるかどうかを指定します。
はい
はい
バーチャル ワイヤー
管理者が、バーチャル ワイヤーを表示、追 はい
加、または削除できるかどうかを指定し
ます。
はい
はい
仮想ルーター
管理者が、仮想ルーターを表示、追加、変 はい
更、または削除できるかどうかを指定し
ます。
はい
はい
IPSec トンネル
管理者が、IPsec トンネル設定を表示、追 はい
加、変更、または削除できるかどうかを
指定します。
はい
はい
DHCP
管理者が、DHCP サーバー設定と DHCP リ はい
レー設定を表示、追加、変更、または削除
できるかどうかを指定します。
はい
はい
デバイス管理
87
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス レベル
デバイス管理
有効化
読み取り専用
無効化
DNS プロキシ
管理者が、DNS プロキシ設定を表示、追 はい
加、変更、または削除できるかどうかを
指定します。
はい
はい
GlobalProtect
管理者が、GlobalProtect のポータル設定と はい
ゲートウェイ設定を表示、追加、変更でき
るかどうかを指定します。GlobalProtect 機
能へのアクセス権限を完全に無効にできま
す。または、GlobalProtect 権限を有効にし
て、ポータル エリア エリアかゲートウェ
イ設定エリアのいずれかに管理者ロールを
制限することもできます。
いいえ
はい
ポータル
管理者が、GlobalProtect ポータル設定を表 はい
示、追加、変更、または削除できるかどう
かを指定します。
はい
はい
ゲートウェイ
管理者が、GlobalProtect ゲートウェイ設定 はい
を表示、追加、変更、または削除できるか
どうかを指定します。
はい
はい
MDM
管理者が、GlobalProtect MDM サーバー設 はい
定を表示、追加、変更、または削除できる
かどうかを指定します。
はい
はい
はい
はい
はい
デフォルト状態を設定して、以下で説明す はい
るネットワークの設定すべてを有効または
無効にします。
いいえ
はい
[ ネットワーク プロファイル ] > [IKE ゲート はい
ウェイ ] ノードへのアクセスを制御します。
この権限を無効にすると、その管理者には
[IKE ゲートウェイ ] ノードが表示されず、
ピア ゲートウェイとの IKE プロトコル ネ
ゴシエーションを実行するために必要な設
定情報を含め、ゲートウェイを定義するこ
とができません。
はい
はい
QoS
ネットワーク
プロファイル
IKE ゲートウェイ
権限状態を読み取り専用に設定すると、管
理者は現在設定されている IKE ゲートウェ
イを表示できますが、ゲートウェイを追加
または編集することはできません。
88
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス レベル
IPSec 暗号
有効化
[ ネットワーク プロファイル ] > [IPsec 暗号 ] はい
ノードへのアクセスを制御します。この権
限を無効にすると、その管理者には [ネット
ワーク プロファイル ] > [IPSec 暗号 ] ノード
が表示されず、IPSec SA ネゴシエーション
に基づいて VPN トンネルでの識別、認証、
および暗号化のためのプロトコルおよびア
ルゴリズムを指定することができません。
読み取り専用
無効化
はい
はい
権限状態を読み取り専用に設定すると、管
理者は現在設定されている IPSec 暗号設定
を表示できますが、設定を追加または編集
することはできません。
IKE 暗号
デバイス間の情報交換の方法を制御して、 はい
保護された通信を確保します。IPSec SA ネ
ゴシエーション(IKEv1 フェーズ 1)に基
づいて VPN トンネルでの識別、認証、お
よび暗号化のためのプロトコルおよびアル
ゴリズムを指定します。
はい
はい
モニター
[ ネットワーク プロファイル ] > [ モニター] はい
ノードへのアクセスを制御します。この権
限を無効にすると、その管理者には [ネッ
トワーク プロファイル ] > [ モニター] ノー
ドが表示されず、IPSec トンネルのモニタリ
ングに使用されるモニター プロファイル
を作成または編集してポリシーベース
フォワーディング(PBF)ルールのネクス
ト ホップ デバイスをモニターすることが
できません。
はい
はい
権限状態を読み取り専用に設定すると、管
理者は現在設定されているモニター プロ
ファイル設定を表示できますが、設定を追
加または編集することはできません。
デバイス管理
89
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス レベル
インターフェイス
管理
デバイス管理
有効化
[ ネットワーク プロファイル ] > [ インター はい
フェイス管理] ノードへのアクセスを制御
します。この権限を無効にすると、その管
理者には [ ネットワーク プロファイル ] >
[ インターフェイス管理 ] ノードが表示され
ず、ファイアウォールの管理で使用するプ
ロトコルを指定することができません。
読み取り専用
無効化
はい
はい
はい
はい
はい
はい
権限状態を読み取り専用に設定すると、管
理者は現在設定されているインターフェイ
ス管理プロファイル設定を表示できます
が、設定を追加または編集することはでき
ません。
ゾーン
プロテクション
[ ネットワーク プロファイル ] > [ ゾーン プ はい
ロテクション ] ノードへのアクセスを制御
します。この権限を無効にすると、その管
理者には [ ネットワーク プロファイル ] >
[ ゾーン プロテクション ] ノードが表示され
ず、指定したセキュリティ ゾーンからの攻
撃に対するファイアウォールの防御方法を
決めるプロファイルを設定することができ
ません。
権限状態を読み取り専用に設定すると、管
理者は現在設定されているゾーン プロテク
ション プロファイル設定を表示できます
が、設定を追加または編集することはでき
ません。
QoS プロファイル
[ネットワーク プロファイル ] > [QoS] ノー はい
ドへのアクセスを制御します。この権限を
無効にすると、その管理者には [ネットワー
ク プロファイル] > [QoS] ノードが表示され
ず、QoS トラフィック クラスの処理方法を
決める QoS プロファイルを設定することが
できません。
権限状態を読み取り専用に設定すると、管
理者は現在設定されている QoS プロファイ
ル設定を表示できますが、設定を追加また
は編集することはできません。
90
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
[Device] タブに対する詳細なアクセス権限の付与
アクセス レベル
セットアップ
有効化
[ セットアップ ] ノードへのアクセスを制御 はい
します。この権限を無効にすると、その管
理者には [ セットアップ ] ノードが表示さ
れず、[ 管理 ]、[ 操作 ]、[ サービス ]、[ コン
テンツ ID]、[Wildfire]、または [ セッション
のセットアップ ] 情報などのデバイス全体
のセットアップ設定情報にアクセスできま
せん。
読み取り専用
無効化
はい
はい
権限状態を読み取り専用に設定すると、管
理者は現在の設定を表示できますが、変更
を加えることはできません。
設定監査
[ 設定監査 ] ノードへのアクセスを制御しま はい
す。この権限を無効にすると、その管理者
には [ 設定監査 ] タブが表示されず、デバイ
ス全体の設定情報にアクセスできません。
いいえ
はい
管理者ロール
[ 管理者ロール ] ノードへのアクセスを制御 いいえ
します。この機能は、読み取り専用アクセ
スでのみ許可されます。
はい
はい
はい
はい
この権限を無効にすると、その管理者には
[ 管理者ロール ] タブが表示されず、管理者
ロール設定に関係するデバイス全体の情報
にアクセスできません。
この権限を読み取り専用に設定すると、
管理者はそのデバイスで設定されている
すべての管理者ロールの設定情報を表示
できます。
管理者
[ 管理者 ] ノードへのアクセスを制御しま いいえ
す。この機能は、読み取り専用アクセスで
のみ許可されます。
この権限を無効にすると、その管理者には
[ 管理者 ] タブが表示されず、自分の管理者
アカウントに関する情報にアクセスできま
せん。
この権限を読み取り専用に設定すると、管
理者は自分の管理者アカウントの設定情報
を表示できます。そのデバイスで設定され
ている他の管理者アカウントに関する情報
は表示されません。
デバイス管理
91
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス レベル
仮想システム
デバイス管理
有効化
[ 仮想システム ] ノードへのアクセスを制御 はい
します。この権限を無効にすると、その管
理者には仮想システムが表示されず、仮想
システムを設定することができません。
読み取り専用
無効化
はい
はい
はい
はい
はい
はい
はい
はい
権限状態を読み取り専用に設定すると、管
理者は現在設定されている仮想システムを
表示できますが、設定を追加または編集す
ることはできません。
共有ゲートウェイ
[ 共有ゲートウェイ ] ノードへのアクセスを はい
制御します。仮想システムは、共有ゲート
ウェイを使用することによって共通の外部
通信インターフェイスを共有できます。
この権限を無効にすると、その管理者には
共有ゲートウェイが表示されず、共有ゲー
トウェイを設定することができません。
権限状態を読み取り専用に設定すると、管
理者は現在設定されている共有ゲートウェ
イを表示できますが、設定を追加または編
集することはできません。
ユーザー ID
[ ユーザー ID] ノードへのアクセスを制御し はい
ます。この権限を無効にすると、その管理
者には [ ユーザー ID] ノードが表示され
ず、[ ユーザー マッピング ]、[User-ID エー
ジェント ]、[ サービス ]、[ ターミナル サー
ビス エージェント ]、[ グループ マッピン
グ設定 ]、または [キャプティブ ポータルの
設定 ] などのデバイス全体のユーザー ID 設
定情報にアクセスできません。
この権限を読み取り専用に設定すると、管
理者はデバイスの設定情報を表示できます
が、設定手順を実行することは許可されま
せん。
VM 情報ソース
VM インベントリを自動的に収集するファ はい
イアウォール /Windows User-ID エージェン
トを設定することができる、[VM 情報ソー
ス] ノードへのアクセスを制御します。こ
の権限を無効にすると、その管理者には
[VM 情報ソース ] ノードが表示されません。
この権限を読み取り専用に設定すると、管
理者は設定された VM 情報ソースを表示で
きますが、ソースを追加、編集、または削
除することはできません。
92
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス レベル
高可用性
有効化
[ 高可用性 ] ノードへのアクセスを制御しま はい
す。この権限を無効にすると、その管理者
には [ 高可用性 ] ノードが表示されず、[ 全
般 ] のセットアップ情報や [ リンクおよび
パスのモニタリング ] などのデバイス全体
の高可用性設定の情報にアクセスできま
せん。
読み取り専用
無効化
はい
はい
この権限を読み取り専用に設定すると、管
理者はそのデバイスでの高可用性設定情報
を表示できますが、設定手順を実行するこ
とは許可されません。
証明書の管理
デフォルト状態を設定して、以下で説明す はい
る証明書の設定すべてを有効または無効に
します。
いいえ
はい
証明書
[ 証明書 ] ノードへのアクセスを制御しま はい
す。この権限を無効にすると、その管理者
には [ 証明書 ] ノードが表示されず、[ デ
バイス証明書 ] や [ デフォルトの信頼された
証明機関 ] に関連した情報を設定したり、
それらの情報にアクセスしたりすることは
できません。
はい
はい
はい
はい
この権限を読み取り専用に設定すると、管
理者はそのデバイスでの証明書設定情報を
表示できますが、設定手順を実行すること
は許可されません。
証明書プロファイル [ 証明書プロファイル ] ノードへのアクセス はい
を制御します。この権限を無効にすると、
その管理者には [証明書プロファイル] ノー
ドが表示されず、証明書プロファイルを作
成できません。
この権限を読み取り専用に設定すると、管
理者はそのデバイスで現在設定されている
証明書プロファイルを表示できますが、証
明書プロファイルを作成または編集するこ
とは許可されません。
デバイス管理
93
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス レベル
OCSP レスポンダ
デバイス管理
有効化
読み取り専用
無効化
はい
はい
はい
はい
デフォルト状態を設定して、以下で説明す はい
るログの設定すべてを有効または無効にし
ます。
いいえ
はい
[ ログ設定 ] > [ システム ] ノードへのアク はい
セスを制御します。この権限を無効にする
と、その管理者には [ ログ設定 ] > [ システ
ム] ノードが表示されず、Panorama によって
リモートでログに記録され、SNMP トラッ
プ、Syslog メッセージ、または電子メール
通知として送信されるシステム ログ エン
トリの重大度レベルを指定することができ
ません。
はい
はい
[OCSP レスポンダ ] ノードへのアクセスを はい
制御します。この権限を無効にすると、そ
の管理者には [OCSP レスポンダ ] ノードが
表示されず、PAN-OS デバイスによって発
行される証明書の失効状態の検証に使用
されるサーバーを定義することはできま
せん。
この権限を読み取り専用に設定すると、管
理者はそのデバイスでの [OCSP レスポン
ダ ] 設定を表示できますが、OCSP レスポ
ンダ設定を作成または編集することは許可
されません。
応答ページ
[ 応答ページ ] ノードへのアクセスを制御し はい
ます。この権限を無効にすると、その管理
者には [ 応答ページ ] ノードが表示されず、
要求された Web ページまたはファイルの代
わりにダウンロードおよび表示されるカス
タム HTML メッセージを定義することがで
きません。
この権限を読み取り専用に設定すると、管
理者はそのデバイスでの [ 応答ページ ] 設定
を表示できますが、応答ページ設定を作成
または編集することは許可されません。
ログ設定
システム
この権限を読み取り専用に設定すると、管
理者はそのデバイスでの [ ログ設定 ] > [ シ
ステム ] 設定を表示できますが、設定を作
成または編集することは許可されません。
94
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス レベル
設定
有効化
[ ログ設定 ] > [ 設定 ] ノードへのアクセスを はい
制御します。この権限を無効にすると、そ
の管理者には [ ログ設定 ] > [ 設定 ] ノードが
表示されず、Panorama によってリモートで
ログに記録されて Syslog メッセージまたは
電子メール通知として送信される設定ログ
エントリを指定することができません。
読み取り専用
無効化
はい
はい
はい
はい
はい
はい
はい
はい
この権限を読み取り専用に設定すると、管
理者はそのデバイスでの [ ログ設定 ] > [ 設
定 ] 設定を表示できますが、設定を作成また
は編集することは許可されません。
HIP マッチ
[ ログ設定 ] > [HIP マッチ ] ノードへのアク はい
セスを制御します。この権限を無効にする
と、その管理者には [ ログ設定 ] > [HIP マッ
チ ] ノードが表示されず、GlobalProtect クラ
イアントに適用するセキュリティ ポリシー
に関する情報を提供するために使用される
ホスト情報プロファイル(HIP)マッチの
ログ設定を指定することができません。
この権限を読み取り専用に設定すると、管
理者はそのデバイスでの [ ログ設定 ] > [HIP
マッチ ] 設定を表示できますが、設定を作成
または編集することは許可されません。
アラーム
[ ログ設定 ] > [ アラーム ] ノードへのアクセ はい
スを制御します。この権限を無効にする
と、その管理者には [ ログ設定 ] > [ アラー
ム ] ノードが表示されず、セキュリティ
ルール(またはルールのグループ)が一定
期間に繰り返し適用さた場合に生成される
通知を設定することができません。
この権限を読み取り専用に設定すると、管
理者はそのデバイスでの [ ログ設定 ] > [ ア
ラーム ] 設定を表示できますが、設定を作
成または編集することは許可されません。
ログの管理
[ ログ設定 ] > [ ログの管理 ] ノードへのア はい
クセスを制御します。この権限を無効にす
ると、その管理者には [ ログ設定 ] > [ ログ
の管理 ] ノードが表示されず、表示された
ログをクリアすることができません。
この権限を読み取り専用に設定すると、管
理者は [ ログ設定 ] > [ ログの管理 ] 情報を
表示できますが、いずれのログもクリアす
ることはできません。
デバイス管理
95
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス レベル
デバイス管理
有効化
サーバー プロファイル デフォルト状態を設定して、以下で説明す はい
るサーバー プロファイルの設定すべてを有
効または無効にします。
SNMP トラップ
[ サーバー プロファイル ] > [SNMP トラッ はい
プ ] ノードへのアクセスを制御します。この
権限を無効にすると、その管理者には [ サー
バー プロファイル ] > [SNMP トラップ ]
ノードが表示されず、システム ログ エン
トリで使用されるように 1 つ以上の SNMP
トラップの宛先を指定することができま
せん。
読み取り専用
無効化
いいえ
はい
はい
はい
はい
はい
はい
はい
この権限を読み取り専用に設定すると、管
理者は [ サーバー プロファイル ] > [SNMP
トラップ ログ ] 情報を表示できますが、
SNMP トラップの宛先を指定することはで
きません。
Syslog
[ サーバー プロファイル ] > [Syslog] ノード はい
へのアクセスを制御します。この権限を無
効にすると、その管理者には [ サーバー プ
ロファイル ] > [Syslog] ノードが表示され
ず、1 つ以上の Syslog サーバーを指定する
ことができません。
この権限を読み取り専用に設定すると、管
理者は [ サーバー プロファイル ] > [Syslog]
情報を表示できますが、Syslog サーバーを
指定することはできません。
電子メール
[ サーバー プロファイル ] > [ 電子メール ] はい
ノードへのアクセスを制御します。この権
限を無効にすると、その管理者には [サー
バー プロファイル ] > [ 電子メール ] ノード
が表示されず、システムおよび設定ログ エ
ントリの電子メール通知を有効にするため
に使用される、電子メール プロファイルを
設定することができません。
この権限を読み取り専用に設定すると、管
理者は [ サーバー プロファイル ] > [ 電子
メール ] 情報を表示できますが、プロファイ
ルを設定して電子メールで送信することは
できません。
96
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス レベル
Netflow
有効化
[ サーバー プロファイル ] > [Netflow] ノー はい
ドへのアクセスを制御します。この権限を
無効にすると、その管理者には [サーバー
プロファイル ] > [Netflow] ノードが表示さ
れず、NetFlow サーバー プロファイルを定
義することができません。このプロファイ
ルでは、エクスポートされたデータを受信
する NetFlow サーバーおよびエクスポート
の頻度を指定します。
読み取り専用
無効化
はい
はい
はい
はい
はい
はい
この権限を読み取り専用に設定すると、管
理者は [ サーバー プロファイル ] > [Netflow]
情報を表示できますが、Netflow プロファイ
ルを定義することはできません。
RADIUS
[ サーバー プロファイル ] > [RADIUS] ノー はい
ドへのアクセスを制御します。この権限を
無効にすると、その管理者には [サーバー
プロファイル ] > [RADIUS] ノードが表示さ
れ ず、認 証 プ ロ フ ァ イ ル で 識 別 さ れ る
RADIUS サーバーの設定を行うことができ
ません。
この権限を読み取り専用に設定すると、管
理者は [サーバー プロファイル] > [RADIUS]
情報を表示できますが、RADIUS サーバー
の設定を行うことはできません。
LDAP
[ サーバー プロファイル ] > [LDAP] ノード はい
へのアクセスを制御します。この権限を無
効にすると、その管理者には [ サーバー プ
ロファイル ] > [LDAP] ノードが表示され
ず、認証プロファイルによる認証で使用す
る LDAP サーバーの設定を行うことができ
ません。
この権限を読み取り専用に設定すると、管
理者は [ サーバー プロファイル ] > [LDAP]
情報を表示できますが、LDAP サーバーの
設定を行うことはできません。
デバイス管理
97
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス レベル
Kerberos
デバイス管理
有効化
読み取り専用
無効化
はい
はい
デフォルト状態を設定して、以下で説明す はい
るローカル ユーザー データベースの設定
すべてを有効または無効にします。
いいえ
はい
[ ローカル ユーザー データベース ] > [ ユー はい
ザー] ノードへのアクセスを制御します。こ
の権限を無効にすると、その管理者には
[ ローカル ユーザー データベース ] > [ ユー
ザー] ノードが表示されず、リモート アク
セス ユーザー、デバイス管理者、および
キャプティブ ポータル ユーザーの認証情
報を格納するローカル データベースをファ
イアウォールにセットアップすることがで
きません。
はい
はい
はい
はい
[サーバー プロファイル ] > [Kerberos] ノー はい
ドへのアクセスを制御します。この権限を
無効にすると、その管理者には [ サーバー
プロファイル ] > [Kerberos] ノードが表示
されず、ユーザーがドメイン コントローラ
に対してネイティブに認証できるようにす
る Kerberos サーバーの設定を行うことがで
きません。
この権限を読み取り専用に設定すると、管
理者は [サーバー プロファイル] > [Kerberos]
情報を表示できますが、Kerberos サーバー
の設定を行うことはできません。
ローカル ユーザー
データベース
ユーザー
この権限を読み取り専用に設定すると、管
理者は [ ローカル ユーザー データベース ] >
[ユーザー] 情報を表示できますが、認証情
報を格納するローカル データベースをファ
イアウォールにセットアップすることはで
きません。
ユーザー グループ
[ ローカル ユーザー データベース ] > [ ユー はい
ザー] ノードへのアクセスを制御します。
この権限を無効にすると、その管理者には
[ ローカル ユーザー データベース ] > [ ユー
ザー] ノードが表示されず、ローカル デー
タベースにユーザー グループ情報を追加す
ることができません。
この権限を読み取り専用に設定すると、管
理者は [ ローカル ユーザー データベース ] >
[ ユーザー] 情報を表示できますが、ローカ
ル データベースにユーザー グループ情報
を追加することはできません。
98
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス レベル
認証プロファイル
有効化
[ 認証プロファイル ] ノードへのアクセスを はい
制御します。この権限を無効にすると、そ
の管理者には [ 認証プロファイル ] ノードが
表示されず、管理者アカウントに割り当て
ることができるローカル データベース、
RADIUS、LDAP、または Kerberos の設定を
作成または編集することができません。
読み取り専用
無効化
はい
はい
はい
はい
はい
はい
この権限を読み取り専用に設定すると、管
理者は [ 認証プロファイル ] 情報を表示でき
ますが、認証プロファイルを作成または編
集することはできません。
認証シーケンス
[ 認証シーケンス ] ノードへのアクセスを制 はい
御します。この権限を無効にすると、その
管理者には [ 認証シーケンス ] ノードが表示
されず、認証シーケンスを作成または編集
することができません。
この権限を読み取り専用に設定すると、管
理者は [ 認証プロファイル ] 情報を表示でき
ますが、認証シーケンスを作成または編集
することはできません。
アクセス ドメイン
[ 認証シーケンス ] ノードへのアクセスを制 はい
御します。この権限を無効にすると、その
管理者には [ 認証シーケンス ] ノードが表示
されず、認証シーケンスを作成または編集
することができません。
この権限を読み取り専用に設定すると、管
理者は [ 認証プロファイル ] 情報を表示でき
ますが、認証シーケンスを作成または編集
することはできません。
デバイス管理
99
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス レベル
デバイス管理
有効化
スケジュール設定された [ スケジュール設定されたログのエクスポー はい
ログのエクスポート
ト] ノードへのアクセスを制御します。こ
の権限を無効にすると、その管理者には
[ スケジュール設定されたログのエクスポー
ト] ノードが表示されず、ログのエクスポー
トをスケジュール設定してそのログを CSV
形式で FTP(File Transfer Protocol)サー
バ ー に 保 存 し た り、ま た は Secure Copy
(SCP)を使用してファイアウォールとリ
モート ホスト間でデータを安全に転送した
りすることができません。
読み取り専用
無効化
いいえ
はい
はい
はい
はい
はい
この権限を読み取り専用に設定すると、管
理者は [スケジュール設定されたログのエク
スポート] プロファイル情報を表示できます
が、ログのエクスポートをスケジュール設
定することはできません。
ソフトウェア
[ ソフトウェア ] ノードへのアクセスを制御 はい
します。この権限を無効にすると、その管
理者には [ ソフトウェア ] ノードが表示さ
れ ず、Palo Alto Networks が 提 供 す る 最 新
バージョンの PAN-OS ソフトウェアを表示
し、各バージョンのリリース ノードを読
み、リリースを選択してダウンロードおよ
びインストールすることができません。
この権限を読み取り専用に設定すると、管
理者は [ ソフトウェア ] 情報を表示できます
が、ソフトウェアをダウンロードまたはイ
ンストールすることはできません。
GlobalProtect Client
[GlobalProtect クライアント ] ノードへのア はい
クセスを制御します。この権限を無効に
すると、その管理者 には [GlobalProtect
クライアント] ノードが表示されず、使用
可能な GlobalProtect リリースを表示した
り、コ ー ド を ダ ウ ン ロ ー ド し た り、
GlobalProtect エージェントをアクティブに
したりすることができません。
この権限を読み取り専用に設定すると、管
理者は [GlobalProtect クライアント ] リリー
スを表示できますが、エージェント ソフト
ウェアをダウンロードまたはインストール
することはできません。
100
デバイス管理
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス レベル
ダイナミック更新
有効化
[ ダイナミック更新 ] ノードへのアクセスを はい
制御します。この権限を無効にすると、管
理者には [ ダイナミック更新 ] ノードが表
示されず、最新の更新を表示したり、各更
新のリリース ノートを読んだり、アップ
ロードおよびインストールする更新を選択
したりすることができません。
読み取り専用
無効化
はい
はい
はい
はい
はい
はい
この権限を読み取り専用に設定すると、管
理者は使用可能な [ ダイナミック更新 ] リ
リースを表示し、リリース ノートを読むこ
とができますが、ソフトウェアをアップ
ロードまたはインストールすることはでき
ません。
ライセンス
[ ライセンス ] ノードへのアクセスを制御し はい
ます。この権限を無効にすると、その管理
者には [ライセンス] ノードが表示されず、
インストール済みのライセンスを表示した
り、ライセンスをアクティブにしたりする
ことができません。
この権限を読み取り専用に設定すると、管
理者はインストール済みの [ライセンス] を
表示できますが、ライセンス管理機能を実
行することはできません。
サポート
[ サポート ] ノードへのアクセスを制御しま はい
す。この権限を無効にすると、その管理者
には [ サポート ] ノードが表示されず、Palo
Alto Networks からの実働アラートおよびセ
キュリティ アラートにアクセスしたり、テ
ク ニ カ ル サ ポ ー ト フ ァ イ ル ま た は Stats
Dump ファイルを生成したりすることがで
きません。
この権限を読み取り専用に設定すると、管
理者は [ サポート ] ノードを表示し、実働ア
ラートおよびセキュリティ アラートにアク
セスすることができますが、テクニカル サ
ポート ファイルまたはスタッツ ダウンプ
ファイルを生成することはできません。
デバイス管理
101
リファレンス : Web インターフェイス管理者のアクセス権限
アクセス レベル
マスター キーおよび
診断
デバイス管理
有効化
[ マスター キーおよび診断 ] ノードへのア はい
クセスを制御します。この権限を無効にす
ると、その管理者には [マスター キーおよ
び診断 ] ノードが表示されなくなり、ファ
イアウォールで秘密鍵を暗号化するため
のマスター キーを指定することができま
せん。
読み取り専用
無効化
はい
はい
この権限を読み取り専用に設定すると、管
理者は [ マスター キーおよび診断 ] ノード
を表示し、指定されているマスター キーに
関する情報を表示できますが、新しいマス
ター キー設定を追加または編集することは
できません。
管理者ロール プロファイルでのユーザーのプライバシー設定の定義
.
アクセス レベル
説明
専用
読み取り専用
無効化
デフォルト状態を設定して、以下で説明す はい
るプライバシー設定すべてを有効または無
効にします。
なし
はい
完全 IP アドレスの 無効に設定すると、Palo Alto ファイアウォー はい
表示
ルを通過するトラフィックによって取得さ
れた完全 IP アドレスは、ログまたはレポー
トに表示されません。通常表示される IP ア
ドレスの代わりに、関連サブネットが表示
されます。
なし
はい
注
102
有効化
[Monitor] > [ レポート ] を介してイン
ターフェイスに表示されるスケジュー
ル設定されたレポート、およびスケ
ジュール設定された電子メールで送信
されるレポートには、この設定を無効
にしても完全 IP アドレスが表示され
ます。このような例外があるため、
[Monitor] タブに表示される、[ カスタ
ム レポート ]、[ アプリケーション レ
ポート ]、[ 脅威レポート ]、[URL フィ
ルタリング レポート ]、[ トラフィック
レポート ]、および [ 電子メール スケ
ジューラ ] の各設定を無効に設定する
ことをお勧めします。
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
デバイス管理
アクセス レベル
説明
有効化
ログおよびレポート 無効に設定すると、Palo Alto Networks ファイ はい
内のユーザー名の アウォールを通過するトラフィックによっ
表示
て 得 ら れ た ユ ー ザ ー 名 は、ロ グ ま た は レ
ポートに表示されません。通常ユーザー名
が表示される列は、空になります。
注
読み取り専用
無効化
なし
はい
なし
はい
[Monitor] > [ レポート ] を介してイン
ターフェイスに表示されるスケジュー
ル設定されたレポート、および電子
メール スケジューラ経由で送信される
レポートには、この設定を無効に設定
してもユーザー名が表示されます。こ
のような例外があるため、[Monitor] タ
ブに表示される、[カスタム レポート]、
[ アプリケーション レポート ]、[ 脅威レ
ポート ]、[URL フィルタリング レポー
ト ]、[ トラフィック レポート ]、および
[ 電子メール スケジューラ ] の各設定を
無効に設定することをお勧めします。
パケットキャプチャ 無効に設定すると、通常ならトラフィック はい
ログ、脅威ログ、およびデータ フィルタリ
ファイルの表示
ング ログに表示されるパケット キャプチャ
ファイルは表示されません。
コミット機能への管理者アクセスの制限
[ コミット ] の設定を使用したユーザー アクセスの制限
アクセス レベル
説明
有効化
コミット
無効に設定すると、管理者は設定に対する はい
変更を何もコミットできません。
読み取り専用
無効化
なし
はい
読み取り専用
無効化
グローバル設定への詳細なアクセス権限の指定
[ グローバル ] の設定を使用したユーザー アクセスの制限
アクセス レベル
説明
グローバル
デフォルト状態を設定して、以下で説明する はい
ブローバルの設定すべてを有効または無効
にします。事実上この設定は、この時点で
は [システム アラーム] にのみ適用されます。
なし
はい
システム アラーム
無効に設定すると、管理者は生成されるア はい
ラームを表示または確認できません。
なし
はい
デバイス管理
有効化
103
リファレンス : Web インターフェイス管理者のアクセス権限
デバイス管理
Panorama Web インターフェイスのアクセス
[Panorama] の [ 管理者ロール ] では、[Panorama] 上でのオプションへのアクセス権限と、[ デバイ
ス グループ ] および [ テンプレート ]([Policies]、[Objects]、[Network]、[Device] タブ)への
アクセスのみを許可する権限を定義できます。
作成することができる管理者ロールは、[Panorama] と [ デバイス グループとテンプレート ] で
す。[ デバイス グループとテンプレート ] 管理者ロールには、CLI アクセス権限がありません。
管理者に CLI でのスーパーユーザー権限が付与されている場合、その管理者には、Web イン
ターフェイスから与えられている権限に関係なく、すべての機能に対する完全なアクセス権限
があります。
アクセス レベル
説明
Dashboard
読み取り専用
無効化
[Dashboard] タブへのアクセスを制御しま はい
す。この権限を無効にすると、その管理者
に は こ の タ ブ が 表 示 さ れ な く な り、
[Dashboard] ウィジェットのいずれにもアク
セスできません。
いいえ
はい
ACC
アプリケーション コマンド センター(ACC) はい
へのアクセスを制御します。この権限を無
効にすると、[ACC] タブが Web インター
フェイスに表示されなくなります。ACC へ
のアクセス権限を与えると同時にユーザー
のプライバシーを守るには、[ 専用 ] > [ 完
全 IP アドレスの表示 ] オプションまたは [ ロ
グおよびレポート内のユーザー名の表示] オ
プションを無効にすることができます。
いいえ
はい
モニター
[Monitor] タ ブ へ の ア ク セ ス を 制 御 し ま はい
す。この権限を無効にすると、その管理者
には [Monitor] タグが表示されなくなり、
ログ、パケット キャプチャ、セッション情
報、レポート、またはアプリケーション ス
コープのいずれにもアクセスできません。
管理者が表示できるモニタリング情報をよ
り詳細に制御するには、[ モニター] オプ
ションを有効にしたままで、「[Monitor] タ
ブに対する詳細なアクセス権限の付与」で
の説明に従ってタブ上の特定のノードを有
効または無効にします。
いいえ
はい
104
有効化
デバイス管理
リファレンス : Web インターフェイス管理者のアクセス権限
デバイス管理
アクセス レベル
説明
ポリシー
読み取り専用
無効化
[Policies] タ ブ へ の ア ク セ ス を 制 御 し ま はい
す。この権限を無効にすると、その管理者
には [Policies] タブが表示されなくなり、
すべてのポリシー情報にアクセスできませ
ん。たとえば、特定のタイプのポリシーへ
のアクセスを有効にする、またはポリシー
情報への読み取り専用アクセスを有効にす
るなど、管理者が表示できるポリシー情報
をより詳細に制御するには、[Policies] オプ
ションを有効にしたままで、「[Policies] タ
ブに対する詳細なアクセス権限の付与」で
の説明に従ってタブ上の特定のノードを有
効または無効にします。
いいえ
はい
オブジェクト
[Objects] タ ブ へ の ア ク セ ス を 制 御 し ま はい
す。この権限を無効にすると、その管理者
には [Objects] タブが表示されなくなり、
すべてのオブジェクト、セキュリティ プロ
ファイル、ログ転送プロファイル、復号プ
ロファイル、またはスケジュールにアクセ
スできません。管理者が表示できるオブ
ジ ェ ク ト を よ り 詳 細 に 制 御 す る に は、
[Objects] オプションを有効にしたままで、
「[Objects] タブに対する詳細なアクセス権
限の付与」での説明に従ってタブ上の特定
のノードを有効または無効にします。
いいえ
はい
ネットワーク
[Network] タブへのアクセスを制御します。 はい
この権限を無効にすると、その管理者には
[Network] タブが表示されなくなり、すべて
のインターフェイス、ゾーン、VLAN、仮想
ルーター、IPsec トンネル、DHCP、DNS プ
ロキシ、GlobalProtect、QoS 設定情報、また
はネットワーク プロファイルにアクセスで
きません。管理者が表示できるオブジェク
トをより詳細に制御するには、[Network] オ
プションを有効にしたままで、「[Network]
タブに対する詳細なアクセス権限の付与」
での説明に従ってタブ上の特定のノードを
有効または無効にします。
いいえ
はい
デバイス管理
有効化
105
リファレンス : Web インターフェイス管理者のアクセス権限
デバイス管理
アクセス レベル
説明
デバイス
[Device] タブへのアクセスを制御します。 はい
この権限を無効にすると、その管理者には
[Device] タブが表示されなくなり、User-ID、
高可用性、サーバー プロファイル、または
証明書設定情報などのデバイス全体の設定
情報すべてにアクセスできません。管理者
が表示できるオブジェクトをより詳細に制
御するには、[Objects] オプションを有効に
したままで、「[Device] タブに対する詳細
なアクセス権限の付与」での説明に従って
タブ上の特定のノードを有効または無効
にします。
注
106
有効化
読み取り専用
無効化
いいえ
はい
[Device] タブへのフル アクセス権限を
有効にしていても、[ 管理者ロール ] ま
たは [ 管理者 ] ノードに対するロール
ベース管理者のアクセス権限を有効
にすることはできません。
デバイス管理
証明書の管理
以下のトピックでは、Palo Alto Networks デバイスで使用するさまざまなキーや証明書、および
それらの取得、管理方法を説明します。

デバイスでのキーおよび証明書の使用方法

デバイスによる証明書の失効状態の検証方法

デバイスによる証明書の取得方法

証明書失効状態の検証の設定

マスター キーの設定

証明書の取得

証明書プロファイルの設定

証明書の無効化と更新

ハードウェア セキュリティ モジュールによるキーの安全確保
証明書の管理
107
デバイスでのキーおよび証明書の使用方法
証明書の管理
デバイスでのキーおよび証明書の使用方法
Palo Alto Networks デバイスでは、安全なコミュニケーション セッションでの両者間の信頼を確
保するために、デジタル証明書を使用します。各証明書には、平文を暗号化したり、暗号化テ
キストを復号化したりするための暗号化キーが含まれています。また、発行者の ID を認証する
ためのデジタル署名も含まれています。発行者は、認証する側の信頼された認証局(CA)のリ
ストに記載されている必要があります。必要に応じて、認証する側は発行者が証明書を無効化
していないことを検証します(「デバイスによる証明書の失効状態の検証方法」を参照)。
Palo Alto Networks デバイスでは、以下のアプリケーションで証明書を使用します。

キャプティブ ポータル、GlobalProtect、Mobile Security Manager、ファイアウォール /Panorama
Web インターフェイス アクセスでのユーザー認証。

GlobalProtect VPN(リモート ユーザーとサイト間または大規模)のデバイス認証。

Internet Key Exchange(IKE)による IPSec サイト間 VPN のデバイス認証。

インバウンドおよびアウトバウンド SSL トラフィックの復号化。ファイアウォールでは、セ
キュリティ ポリシーおよびルールを適用するためにトラフィックを復号化してから、最終的
な宛先にトラフィックを転送する前にトラフィックを再暗号化します。アウトバウンド トラ
フィックの場合、ファイアウォールはフォワード プロキシ サーバーとして機能し、宛先
サーバーとの SSL/TLS 接続を確立します。ファイアウォール自体とクライアント間の接続の
安全性を確保するため、ファイアウォールでは署名証明書を使用して宛先サーバーの証明書
のコピーを自動的に生成します。
以下の表では、Palo Alto Networks デバイスが使用するキーと証明書について説明します。使用
するたびに、異なるキー/ 証明書を使用することをお勧めします。
表 : Palo Alto Networks デバイスのキー / 証明書
キー / 証明書の用途
説明
管理アクセス
デバイスの管理インターフェイス(Web インターフェイスへの HTTPS アクセ
ス)への安全なアクセスには、MGT インターフェイス(またはデバイスが
MGT を使用していない場合は、データプレーン上の指定インターフェイス)
のサーバー証明書と、必要に応じて、管理者を認証する証明書が必要です。
キャプティブ ポータル
キャプティブ ポータルが HTTPS リソースにアクセスするユーザーを識別する
デプロイメントでは、キャプティブ ポータル インターフェイスのサーバー証
明書を指定します。(ユーザー/ パスワード資格情報の代わりにまたは、ユー
ザー/ パスワード資格情報に追加して)証明書を使用してユーザーを識別する
ようにキャプティブ ポータルを設定している場合は、ユーザー証明書も指定
します。キャプティブ ポータルの詳細は、「キャプティブ ポータルを使用し
た IP アドレス対ユーザー名のマッピング」を参照してください。
フォワード トラスト
アウトバウンド SSL/TLS トラフィックでは、フォワード プロキシとして機能す
るファイアウォールが宛先サーバーの証明書に署名をした CA を信頼している
場合、ファイアウォールでは、フォワード トラスト CA 証明書を使用して、ク
ライアントに提示する宛先サーバー証明書のコピーを生成します。ファイア
ウォールでは、すべてのフォワード プロキシ用の信頼された証明書で同一の
復号化キーを使用します。セキュリティを強化するため、ハードウェア セ
キュリティ モジュールにキーを保存してください(詳細は、「ハードウェア
セキュリティ モジュールによるキーの安全確保」を参照してください)。
108
証明書の管理
証明書の管理
デバイスでのキーおよび証明書の使用方法
キー / 証明書の用途
説明
フォワード アントラスト
アウトバウンド SSL/TLS トラフィックでは、フォワード プロキシとして機能
するファイアウォールが宛先サーバーの証明書に署名をした CA を信頼しない
場合、ファイアウォールでは、フォワード アントラスト CA 証明書を使用し
て、クライアントに提示する宛先サーバー証明書のコピーを生成します。
SSL インバウンド
インスペクション
インスペクションおよびポリシー実施のためにインバウンド SSL/TLS トラ
フィックを復号化するキー。このアプリケーションでは、SSL/TLS インバウン
ド インスペクションの対象となるサーバーごとに秘密鍵をファイアウォール
にインポートします。「SSL インバウンド インスペクションの設定」を参照し
てください。
SSL 除外証明書
SSL/TLS 復号化から除外するサーバーの証明書。たとえば、SSL 復号化を有効
にしているが、ファイアウォールでトラフィックを復号化しないサーバー
(HR システムの Web サービスなど)がネットワークに含まれている場合、該
当する証明書をファイアウォールにインポートして、その証明書を SSL 除外証
明書として設定します。「復号化の例外の設定」を参照してください。
GlobalProtect
GlobalProtect コンポーネント内のすべてのやり取りは SSL/TLS 接続を介して実
行されます。そのため、GlobalProtect デプロイメントの一環として、すべての
GlobalProtect ポータル、ゲートウェイ、Mobile Security Manager のサーバー証明
書をデプロイします。必要に応じて、ユーザーを認証するための証明書もデプ
ロイします。
大規模 VPN(LSVPN)機能には、CA 署名証明書が必要です。
サイト間 VPN(IKE)
サイト間 IPSec VPN デプロイメントでは、ピア デバイスは Internet Key Exchange
(IKE)ゲートウェイを使用して安全なチャネルを確立します。IKE ゲート
ウェイでは、証明書または事前共有鍵を使用して、ピア同士が相互に認証を行
います。ファイアウォールでの IKE ゲートウェイを定義する場合は、証明書ま
たはキーを設定して、割り当てます。「サイト間 VPN」を参照してください。
マスター キー
ファイアウォールでは、マスター キーを使用して、すべての秘密鍵とパス
ワードを暗号化します。ネットワークで秘密鍵を保存するための安全な場所が
必要な場合は、ハードウェア セキュリティ モジュール(HSM)に保存されて
いる暗号化(ラッピング)キーを使用して、マスター キーを暗号化できます。
詳細は、「HSM を使用したマスター キーの暗号化」を参照してください。
保護された Syslog
ファイアウォールと syslog サーバー間の安全な接続を有効にするための証明
書。「Syslog サーバーに対して認証するためのファイアウォールの設定」を参
照してください。
信頼されたルート CA
ファイアウォールが信頼する CA が発行したルート証明書の名称。ファイア
ウォールは自己署名ルート CA 証明書を使用して、他のアプリケーション
(SSL フォワード プロキシなど)のための証明書を自動的に発行できます。
また、ファイアウォールが他のファイアウォールとの安全な接続を確立する必
要がある場合、証明書を発行するルート CA が信頼されたルート CA のリスト
に含まれている必要があります。
証明書の管理
109
デバイスによる証明書の失効状態の検証方法
証明書の管理
デバイスによる証明書の失効状態の検証方法
Palo Alto Networks デバイスでは、デジタル証明書を使用して、安全な通信セッションにおける
両者間の信頼を実現します。証明書の失効状態を確認するようにデバイスを設定することで、
セキュリティが強化されます。失効した証明書を提示する相手を信頼することはできません。
証明書がチェーンの一部である場合、デバイスで失効状態を検証できないルート CA 証明書を
除き、デバイスによりチェーンのすべての証明書の状態が確認されます。
さまざまな状況により、有効期限前に証明書が無効化されていることがあります。たとえば、
名前が変更された場合や、サブジェクトと認証局間の関連付けが変更された(従業員の雇用が
終了したなど)場合、秘密鍵の侵害が判明した、またはその疑いがある場合などです。このよ
うな状況では、証明書を発行した認証局が証明書を無効化する必要があります。
Palo Alto Networks デバイスでは、証明書の失効状態を検証するために以下の方法がサポートさ
れています。両方の方法を設定すると、デバイスではまず OCSP の方法を試します。OCSP サー
バーが使用できない場合は、CRL の方法を使用します。

証明書失効リスト(CRL)

Open Certificate Status Protocol(OCSP)
PAN-OS では、証明書の失効状態の検証は任意選択の機能です。キャプティブ ポータル、
GlobalProtect、サイト間 IPsec VPN、およびファイアウォール /Panorama Web インターフェ
イス アクセスでのユーザーおよびデバイス認証を定義する証明書プロファイルでは、この機能
を有効化することをお勧めします。
証明書失効リスト(CRL)
各認証局(CA)では公開リポジトリに証明書失効リスト(CRL)を定期的に発行しています。
CRL では失効した証明書をシリアル番号で特定します。CA が証明書を無効化すると、次回の
CRL の更新にその証明書のシリアル番号が含まれます。
Palo Alto Networks ファイアウォールでは、ファイアウォールの信頼された認証局のリストに記
載されているすべての認証局の最新発行の CRL をダウンロードして、キャッシュします。
キャッシュは検証済みの証明書のみで実施されます。ファイアウォールで証明書の検証が行わ
れたことがない場合、ファイアウォールのキャッシュには発行認証局の CRL は保存されていま
せん。また、キャッシュが CRL を保存するのは、有効期限が切れるまでに限ります。
ファイアウォールが SSL のフォワード プロキシとして機能している場合、証明書の失効状態の
検証のために CRL を使用するには、「SSL/TLS 復号化に使用する証明書の失効状態検証の設
定」を参照してください。
ユーザーおよびデバイスを認証する証明書の失効状態を検証するために CRL を使用するには、
証明書プロファイルを設定して、キャプティブ ポータル、GlobalProtect(リモート ユーザーと
サイト間または大規模)、サイト間 IPsec VPN、ファイアウォール /Panorama Web インターフェ
イス アクセスなどのアプリケーション固有のインターフェイスにその証明書プロファイルを割
り当てます。詳細は、「ユーザー/デバイス認証に使用される証明書の失効状態検証の設定」を
参照してください。
110
証明書の管理
証明書の管理
デバイスによる証明書の失効状態の検証方法
Open Certificate Status Protocol(OCSP)
クライアントは、SSL/TLS セッションを確立するときに、Online Certificate Status Protocol
(OCSP)を使用して、認証証明書の失効状態を確認できます。認証側のクライアントは OCSP
レスポンダ(サーバー)に証明書のシリアル番号を含む要求を送信します。レスポンダは、証
明書を発行した認証局(CA)のデータベースを検索して、状態([ 正常 ]、[ 無効化 ]、または
[ 不明 ])を含む応答をクライアントに返します。OCSP の方法のメリットは、CRL の発行頻度
(毎時、日次、週次)に依存することなく、状態をリアルタイムに検証できることです。
Palo Alto Networks ファイアウォールでは、ファイアウォールの信頼された認証局リストに記載
されているすべての認証局の OCSP 状態情報をダウンロードして、キャッシュします。キャッ
シュは検証済みの証明書のみで実施されます。ファイアウォールで証明書の検証が行われたこ
とがない場合、ファイアウォールのキャッシュには発行認証局の OCSP 情報は保存されていま
せん。組織に独自の公開鍵基盤(PKI)がある場合、ファイアウォールを OCSP レスポンダとし
て設定できます(「OCSP レスポンダの設定」を参照)。
ファイアウォールが SSL フォワード プロキシとして機能している場合、証明書の失効状態を検
証するために OCSP を使用するには、「SSL/TLS 復号化に使用する証明書の失効状態検証の設
定」に記載されている手順を実行します。
キャプティブ ポータル、GlobalProtect(リモート ユーザーとサイト間または大規模)、サイト
間 IPsec VPN、ファイアウォール /Panorama Web インターフェイス アクセスなどのアプリケー
ションでは、ユーザーやデバイスを認証するために証明書を使用します。OCSP を使用して証
明書の失効状態を検証するには、以下の手順を実行します。

OCSP レスポンダを設定します。

ファイアウォールで HTTP OCSP サービスを有効化します。

アプリケーションごとに証明書を作成または取得します。

アプリケーションごとに証明書プロファイルを設定します。

該当するアプリケーションに証明書プロファイルを割り当てます。
OCSP レスポンダを使用できない状況に対処するには、CRL をフォールバック方法として設定
します。詳細は、「ユーザー/デバイス認証に使用される証明書の失効状態検証の設定」を参照
してください。
証明書の管理
111
デバイスによる証明書の取得方法
証明書の管理
デバイスによる証明書の取得方法
Palo Alto Networks デバイスの証明書をデプロイする基本的なアプローチは以下のとおりです。

信頼されたサードパーティ CA から証明書を取得する — VeriSign、GoDaddy などの信頼され
たサードパーティ証明書認証局(CA)から証明書を取得するメリットは、一般的なブラウ
ザには、信頼されたルート証明書ストア内にある既知の CA のルート CA 証明書が含まれて
いるため、エンド クライアントが証明書を信頼済みであることです。そのため、エンド ク
ライアントに Palo Alto Network デバイスとの安全な接続の確立を要求するアプリケーション
では、エンド クライアントにルート CA 証明書を事前にデプロイする必要がないように、エ
ンド クライアントが信頼する CA から証明書を購入します(このようなアプリケーションに
は GlobalProtect ポータル、GlobalProtect Mobile Security Manager があります)。ただし、ほとん
どのサードパーティ CA は署名証明書を発行することができません。そのため、このタイプ
の証明書は、ファイアウォールが証明書を発行する必要のあるアプリケーション(SSL/TLS
復号化および大規模 VPN など)には適していません。

エンタープライズ CA から証明書を取得する — 独自の CA がある組織では、その CA を使用
してファイアウォール アプリケーションの証明書を発行し、その証明書をファイアウォール
にインポートできます。このメリットは、エンド クライアントがそのエンタープライズ CA
を信頼済みである可能性が高いことです。必要な証明書を生成してファイアウォールにイン
ポートするか、ファイアウォールで証明書署名要求(CSR)を生成して、署名を得るためエ
ンタープライズ CA にその要求を送信します。この方法のメリットは、秘密鍵がファイア
ウォール外に出ないことです。また、エンタープライズ CA は、ファイアウォールが自動的
に証明書を生成するために使用する署名証明書を発行することもできます(GlobalProtect 大
規模 VPN または SSL/TLS 復号化を要求するサイトなど)。

自己署名証明書を生成 — ファイアウォールで自己署名ルート CA 証明書を生成し、その証
明書を使用して他のファイアウォール アプリケーションの証明書を自動的に発行できます。
この方法を使用して、アプリケーションの証明書を作成し、アプリケーションでエンド クラ
イアントにその証明書を信頼することを要求する場合、ルート CA 証明書がエンドユーザー
の信頼済みのルート証明書ストアにないため、エンド ユーザーに証明書エラーが表示されま
す。これを回避するには、すべてのエンド ユーザー システムに自己署名ルート CA 証明書を
デプロイします。手動で証明書をデプロイしたり、Active Directory Group Policy Object(GPO)
などの中央管理されたデプロイメント方法を使用したりできます。
112
証明書の管理
証明書の管理
証明書失効状態の検証の設定
証明書失効状態の検証の設定
証明書の失効状態を検証する場合、ファイアウォールは Open Certificate Status Protocol(OCSP)ま
たは証明書失効リスト(CRL)、あるいはその両方を使用します。これらの方法の詳細は、「デ
バイスによる証明書の失効状態の検証方法」を参照してください。両方の方法を設定する場合
は、ファイアウォールではまず OCSP を試行します。OCSP レスポンダを使用できない場合に限
り、CRL 方法にフォールバックします。組織に独自の公開鍵基盤(PKI)がある場合、ファイ
アウォールを OCSP レスポンダとして機能するように設定できます。
以下のトピックでは、証明書の失効状態を検証するためのファイアウォールの設定方法を説明
します。

OCSP レスポンダの設定

ユーザー/ デバイス認証に使用される証明書の失効状態検証の設定

SSL/TLS 復号化に使用する証明書の失効状態検証の設定
OCSP レスポンダの設定
証明書の失効状態を検証するために Open Certificate Status Protocol(OCSP)を使用するには、OCSP
レスポンダ(サーバー)にアクセスできるようにファイアウォールを設定する必要がありま
す。OCSP レスポンダを管理するエンティティは、サードパーティ認証局(CA)、または、組
織に独自の公開鍵基盤(PKI)がある場合は、ファイアウォール自体でも構いません。OCSP の
詳細は、「デバイスによる証明書の失効状態の検証方法」を参照してください。
証明書の管理
113
証明書失効状態の検証の設定
証明書の管理
OCSP レスポンダの設定
ステップ 1
OCSP レスポンダを定義します。 1.
ファイアウォールで、[Device] > [ 証明書の管理 ] >
[OCSP レスポンダ ] の順に選択し、[ 追加 ] をクリック
します。
Panorama で、[Device] > [ 証明書の管理 ] > [OCSP レス
ポンダ] の順に選択し、[テンプレート] を選択して、
[ 追加 ] をクリックします。
2.
レスポンダの識別に使用する [ 名前 ](最大 31 文字)を
入力します。名前では大文字と小文字を区別します。
英字、数字、スペース、ハイフン、およびアンダース
コアのみを使用し、一意である必要があります。
3.
ファイアウォールで複数の仮想システムをサポート
している場合は、ダイアログに [ 場所 ] ドロップダウ
ンが表示されます。レスポンダを使用できる仮想シ
ステムを選択するか、[ 共有 ] を選択して、すべての
仮想システムで使用できるようにします。
4.
[ ホスト名 ] フィールドに、OCSP レスポンダのホス
ト 名(推 奨)ま た は IP ア ド レ ス を 入 力 し ま す。
PAN-OS はこの値から URL を自動的に導出し、検証
する証明書にその URL を追加します。
ファイアウォール自体を OCSP レスポンダとして設定
する場合、OCSP サービスでファイアウォールが使用
するインターフェイス(ステップ 3 で指定)でホスト
名を IP アドレスに解決する必要があります。
5.
ステップ 2
ファイアウォールで OCSP 通 1.
信を有効にします。
[OK] をクリックします。
ファイアウォールで、[Device] > [ セットアップ ] > [ 管
理 ] の順に選択します。
Panorama で、[Device] > [ セットアップ ] > [ 管理 ] の順
に選択し、[ テンプレート ] を選択します。
2.
114
[ 管理インターフェイス設定 ] セクションで、編集ア
イコン
を ク リ ッ ク し、[HTTP OCSP] チ ェ ッ ク
ボックスをオンにして [OK] をクリックします。
証明書の管理
証明書の管理
証明書失効状態の検証の設定
OCSP レスポンダの設定(続き)
ステップ 3
必要に応じて、OCSP レスポン 1.
ダとしてファイアウォール自
体 を 設 定 す る た め に、OCSP 2.
サービスで使用するインター
フェイスにインターフェイス管
3.
理プロファイルを追加します。
[Network] > [ ネットワーク プロファイル ] > [ インター
フェイス管理 ] を選択します。
[ 追加 ] をクリックして新しいプロファイルを作成す
るか、既存のプロファイル名をクリックします。
[HTTP OCSP] チェックボックスをオンにして [OK] を
クリックします。
4.
[Network] > [ インターフェイス ] の順に選択し、ファ
イアウォールが OCSP サービスに使用するインター
フェイスの名前をクリックします。ステップ 1 で指
定した OCSP の [ ホスト名 ] をこのインターフェイス
の IP アドレスに 解決する必要 があります 。
5.
[ 詳細 ] > [ その他の情報 ] を選択し、設定したインター
フェイス管理プロファイルを選択します。
6.
[OK]、[Commit] の順にクリックします。
ユーザー/ デバイス認証に使用される証明書の失効状態検証の設定
キャプティブ ポータル、GlobalProtect、サイト間 IPsec VPN、ファイアウォール /Panorama
Web インターフェイス アクセスなどのアプリケーションでは、ファイアウォールは証明書を使
用してユーザーおよびデバイスを認証します。セキュリティを向上させるため、デバイス / ユー
ザー認証のために使用する証明書の失効状態を検証できるようにファイアウォールを設定する
ことをお勧めします。
ユーザー / デバイス認証に使用される証明書の失効状態検証の設定
ステップ 1
アプリケーションごとに「証 1 つ以上のルート CA 証明書をプロファイルに割り当て、
明書プロファイルの設定」を ファイアウォールによる証明書の失効状態の検証方法を
行います。
選択します。証明書の共通名(FQDN または IP アドレ
ス)はステップ 2 のプロファイルの適用先のインターフェ
イスに一致する必要があります。
さまざまなアプリケーションが使用する証明書の詳細
は、「デバイスでのキーおよび証明書の使用方法」を参
照してください。
ステップ 2
証明書の管理
関 連 ア プ リ ケ ー シ ョ ン に 証 証明書プロファイルを割り当てる手順は、証明書を必要
明 書 プ ロ フ ァ イ ル を 割 り 当 とするアプリケーションによって異なります。
てます。
115
証明書失効状態の検証の設定
証明書の管理
SSL/TLS 復号化に使用する証明書の失効状態検証の設定
ファイアウォールでは、アウトバウンド SSL/TLS トラフィックを復号化して、セキュリティ ポ
リシーおよびルールを適用し、最終的な宛先にトラフィックを転送する前にトラフィックを再
暗号化します。このプロセスでは、ファイアウォールがフォワード プロキシ サーバーとして機
能し、クライアントと宛先サーバーへの接続を個別に維持します。クライアント接続では、
ファイアウォールは CA 証明書を使用して、宛先サーバー証明書のコピーである復号化署名書
を自動的に生成します。以下のように、宛先サーバーの証明書の失効状態を検証するように
ファイアウォールを設定できます。
SSL/TLS 復号化証明書の失効状態検証を有効にすると、セッションの確立プロセスにさらに時
間がかかります。セッションのタイムアウト前に検証が完了していない場合、サイトへの初回
のアクセスの試行が失敗する可能性があります。このような理由から、検証はデフォルトで無
効になっています。
SSL/TLS 復号化に使用する証明書の失効状態検証の設定
ステップ 1
[復号化証明書失効の設定] ペー ファイアウォールで、[Device] > [ セットアップ ] > [ セッ
ジにアクセスします。
ション ] を選択し、[ セッション機能 ] 領域で、[ 復号化証
明書失効の設定 ] をクリックします。
Panorama で、[Device] > [ セットアップ ] > [ セッション ]
を選択し、[ テンプレート ] を選択して、[ セッション機能 ]
領域で、[ 復号化証明書失効の設定 ] をクリックします。
ステップ 2
失効状態要求のサービス固有 ファイアウォールが Open Certificate Status Protocol(OCSP)
のタイムアウト間隔を定義し と証明書失効リスト(CRL)のどちらの方法を使用して証
明書の失効状態を確認しているかに応じて、以下の手順
ます。
のいずれかまたは両方を実行します。ファイアウォール
が 両方 を使 用し ている 場合、ファ イアウ ォー ルは まず
OCSP を試行します。OCSP レスポンダを使用できない場
合は、CRL の方法を試行します。
1. [CRL] セクションで、[ 有効化 ] チェックボックスをオ
ンにして [ 受信の有効期限 ] に入力します。これは、
ファイアウォールが CRL サービスからの応答を待機
する期間(1 ~ 60 秒)です。
2.
[OCSP] セクションで、[ 有効化 ] チェックボックスを
オンにして [受信の有効期限] に入力します。これは、
ファイアウォールが OCSP レスポンダからの応答を
待機する期間(1 ~ 60 秒)です。
ステップ 3 で指定した [証明書の有効期限] の値に応じて、
ファイアウォールでは、一方または両方の [ 受信の有効期
限 ] 期間が経過するまでのタイムアウトを登録することが
できます。
116
証明書の管理
証明書の管理
証明書失効状態の検証の設定
SSL/TLS 復号化に使用する証明書の失効状態検証の設定(続き)
ステップ 3
失効状態要求の合計タイムア [証明書の有効期限] を入力します。これは、ファイアウォー
ウト間隔を定義します。
ルが任意の証明書状態サービスからの応答を待機し、ス
テップ 4 でユーザーが必要に応じて定義したセッション
ブロック ロジックを適用するまでの期間(1 ~ 60 秒)で
す。[ 証明書の有効期限 ] は、以下のように OCSP/CRL の
[ 受信の有効期限 ] に関連付けられます。
• OCSP および CRL の両方を有効化する場合 — ファイア
ウォールは、[ 証明書の有効期限 ] の値または 2 つの [ 受
信の有効期限 ] の値の合計のいずれか小さい方の期間の
経過後に、要求のタイムアウトを登録します。
• OCSP のみを有効化する場合 — ファイアウォールは、[ 証
明書の有効期限 ] の値または OCSP の [ 受信の有効期限 ]
の値のいずれか小さい方の期間の経過後に、要求のタイ
ムアウトを登録します。
• CRL のみを有効化する場合 — ファイアウォールは、[ 証
明書の有効期限 ] 値または CRL の [ 受信の有効期限 ] 値
のいずれか小さい方の期間の経過後に、要求のタイム
アウトを登録します。
ステップ 4
証明書の状態が [ 不明 ] である
か、失効状態の要求がタイム
アウトの場合のブロック動作
を定義します。
OCSP または CRL サービスが [ 不明 ] という証明書の失効
状態を返すとき、ファイアウォールで SSL/TLS セッション
をブロックする場合は、[ 証明書の状態が不明なセッショ
ンをブロックします ] チェックボックスをオンにします。
その他の場合は、ファイアウォールはセッションを続行
します。
要求のタイムアウトが登録された後に、ファイアウォール
で SSL/TLS セッションをブロックする場合は、[ 証明書の状
態のチェックがタイムアウトしたセッションをブロックし
ます ] チェックボックスをオンにします。その他の場合は、
ファイアウォールはセッションを続行します。
ステップ 5
証明書の管理
エントリを保存して、適用し [OK]、[Commit] の順にクリックします。
ます。
117
マスター キーの設定
証明書の管理
マスター キーの設定
すべてのファイアウォールには、秘密鍵およびその他のシークレット(パスワード、共有鍵な
ど)を暗号化するデフォルトのマスター キーがあります。秘密鍵は、秘密鍵がファイアウォー
ルの管理インターフェイスにアクセスするときにユーザーを認証します。キーの安全を保護す
るため、マスター キーはファイアウォールごとに一意に設定し、定期的に変更することをお勧
めします。セキュリティを強化するため、ハードウェア セキュリティ モジュール(HSM)に保
存されているラッピング キーを使用して、マスター キーを暗号化します。詳細は、「HSM を
使用したマスター キーの暗号化」を参照してください。
高可用性(HA)設定では、HA ペアの両方のデバイスが同一のマスター キーを使用して、秘密
鍵および証明書を暗号化できるようにします。マスター キーが異なると、HA 設定の同期は適
切に動作しません。
ファイアウォール設定をエクスポートすると、マスター キーは外部サーバー上で管理されてい
るユーザーのパスワードを暗号化します。ローカルで管理されているユーザーでは、ファイア
ウォールはパスワードをハッシュしますが、マスター キーはパスワードを暗号化しません。
マスター キーの設定
1.
ファイアウォールで、[Device ] > [ マスター キーおよび診断 ] を選択し、[ マスター キー] セクショ
ンで、編集アイコン
をクリックします。
Panorama で、[Panorama] > [ マスター キーおよび診断 ] を選択し、[ マスター キー] セクションで、
編集アイコン
をクリックします。
2.
すでにマスター キーがある場合は、[ 現在のマスター キー] に入力します。
3.
新しい [ 新規マスター キー] を定義し、次に、[ マスター鍵の確認 ] を実行します。キーは、厳密
に 16 文字である必要があります。
4.
(任意)マスター キーの [ ライフ タイム ] を指定するには、キーが期限切れになるまでの期間を [ 日 ]
数と [ 時間数 ] で指定します。ライフ タイムを設定する場合、古いキーの有効期限が切れる前に
新しいマスター キーを作成します。
5.
(任意)キーのライフ タイムを設定する場合は、ファイアウォールがリマインダーをユーザーに電
子メールで送信するときに前のマスター キーの有効期限の [ 日 ] 数および [ 時間数 ] を指定する [ リマ
インダーの時間 ] を入力します。
6.
(任意)マスター キーを暗号化するために [HSM] を使用するかどうかを選択します。詳細は、
「HSM を使用したマスター キーの暗号化」を参照してください。
7.
[OK]、[Commit] の順にクリックします。
118
証明書の管理
証明書の管理
証明書の取得
証明書の取得

自己署名ルート CA 証明書の作成

ファイアウォールでの証明書の生成

証明書および機密鍵のインポート

外部 CA からの証明書の取得
自己署名ルート CA 証明書の作成
自己署名ルート認証局(CA)証明書は、証明書チェーンで最上位の証明書です。ファイア
ウォールはこの証明書を使用して、他の用途のために証明書を自動的に発行できます。たとえ
ば、ファイアウォールは、SSL/TLS 復号化や、GlobalProtect 大規模 VPN での衛星機器のための
証明書を発行します。
ファイアウォールとの安全な接続が確立する場合、リモート クライアントは証明書を発行した
ルート CA を信頼する必要があります。信頼しない場合、証明書が無効であり(セキュリティ
設定に応じて)接続をブロックする可能性があるという警告がクライアント ブラウザに表示さ
れます。これを回避するため、自己署名ルート CA 証明書の生成後、クライアント システムに
この証明書をインポートします。
自己署名ルート CA 証明書の生成
1.
ファイアウォールで、[Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス証明書 ] の順に選択します。
Panorama で、[Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス証明書 ] の順に選択し、[ テンプ
レート ] を選択します。
2.
デバイスで複数の仮想システムをサポートしている場合は、タブに [ 場所 ] ドロップダウンが表示
されます。証明書の仮想システムを選択します。すべての仮想システムで証明書を使用できるよ
うにするには、ステップ 6 に記載されている [ 共有 ] オプションを選択します。
3.
[ 生成 ] をクリックします。
4.
[証明書名] に「GlobalProtect_CA」などの名前を入力します。名前は大文字小文字を区別し、最大 31 文
字を使用できます。英字、数字、ハイフン、およびアンダースコアのみを使用し、一意である必
要があります。
5.
[ 共通名 ] フィールドに、証明書を使用するサービスを設定するインターフェイスの FQDN(推奨)
または IP アドレスを入力します。
6.
すべての仮想システムで証明書を使用できるようにするには、[ 共有 ] チェックボックスをオンに
します。このチェックボックスは、デバイスが複数の仮想システムをサポートしている場合に限
り表示されます。
7.
[ 署名者 ] フィールドは空白のままにし、証明書を自己署名として指定します。
8.
[ 認証局 ] チェックボックスをオンにします。
証明書の管理
119
証明書の取得
証明書の管理
自己署名ルート CA 証明書の生成(続き)
9.
[OCSP レスポンダ ] をオンにしないでください。証明書の失効状態検証はルート CA 証明書には適
用されません。
10. [ 生成 ]、[Commit] の順にクリックします。
ファイアウォールでの証明書の生成
SSL/TLS 復号化、キャプティブ ポータル、GlobalProtect、サイト間 IPsec VPN、ファイアウォー
ル/Panorama Web インターフェイス アクセスを含む複数のアプリケーションでは、ファイア
ウォールは証明書を使用して、クライアント、サーバー、ユーザー、およびデバイスを認証し
ます。使用するたびに証明書を生成します。アプリケーション固有の証明書の詳細は、「デバ
イスでのキーおよび証明書の使用方法」を参照してください。
証明書を生成するには、まず、ルート CA 証明書を作成またはインポートして、署名する必要
があります。詳細は、「自己署名ルート CA 証明書の作成」または「証明書および機密鍵のイ
ンポート」を参照してください。
証明書の失効状態を検証するため、Open Certificate Status Protocol(OCSP)を使用するには、証
明書を生成する前に、「OCSP レスポンダの設定」を行います。状態の検証の詳細は、「デバ
イスによる証明書の失効状態の検証方法」を参照してください。
ファイアウォールでの証明書の生成
1.
ファイアウォールで、[Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス証明書 ] の順に選択します。
Panorama で、[Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス証明書 ] の順に選択し、[ テンプ
レート ] を選択します。
2.
デバイスで複数の仮想システムをサポートしている場合は、タブに [ 場所 ] ドロップダウンが表示
されます。証明書の仮想システムを選択します。すべての仮想システムで証明書を使用できるよ
うにするには、ステップ 6 に記載されている [ 共有 ] オプションを選択します。
3.
[ 生成 ] をクリックします。
4.
[証明書名] を入力します。名前は大文字小文字を区別し、最大 31 文字を使用できます。英字、数字、
ハイフン、およびアンダースコアのみを使用し、一意である必要があります。
5.
[ 共通名 ] フィールドに、証明書を使用するサービスを設定するインターフェイスの FQDN(推奨)
または IP アドレスを入力します。
6.
すべての仮想システムで証明書を使用できるようにするには、[ 共有 ] チェックボックスをオンに
します。このチェックボックスは、デバイスが複数の仮想システムをサポートしている場合に限
り表示されます。
7.
[ 署名者 ] フィールドで、証明書を発行するルート CA 証明書を選択します。
8.
該当する場合、[OCSP レスポンダ ] を選択します。
120
証明書の管理
証明書の管理
証明書の取得
ファイアウォールでの証明書の生成(続き)
9.
(任意)必要に応じて、[ 暗号設定 ] を定義し、OCSP レスポンダに対して認証する必要のあるデ
バイスで機能する証明書を作成します。デフォルトかつ推奨のキー サイズ([ビット数])は 2048
ビットです。デフォルトかつ推奨の暗号化アルゴリズム([ ダイジェスト ])は SHA256 です。
10. (任意)証明書を使用するファイアウォールおよびサービスを一意に特定するための [ 証明書の属性 ]
を [ 追加 ] します。
注
[ ホスト名 ](DNS 名)属性を追加する場合は、[ 共通名 ] に一致させることをお勧めします。この
ホスト名が、証明書の [ サブジェクト代替名 ] フィールドに入力されます。
11. [ 生成 ] をクリックして、 [ デバイス証明書 ] タブで証明書の [ 名前 ] をクリックします。
12. ファイアウォールでの証明書の使用目的に該当するチェックボックスをオンにします。たとえ
ば、ファイアウォールで証明書を Web インターフェイスへのユーザー アクセスを認証するため
に使用する場合は、[ 保護された Web GUI の証明書 ] チェックボックスをオンにします。
13. [OK]、[Commit] の順にクリックします。
証明書および機密鍵のインポート
組織に独自の公開鍵基盤(PKI)がある場合、組織の認証局(CA)からファイアウォールに証
明書および公開鍵をインポートできます。エンタープライズ CA 証明書(信頼されたサード
パーティ CA から購入した大半の証明書ではなく)では、SSL/TLS 復号化または大規模 VPN な
どのアプリケーション用の CA 証明書を自動的に発行できます。
すべてのクライアント システムに自己署名ルート CA 証明書をインポートするのではなく、エン
タープライズ CA から証明書をインポートすることをお勧めします。これは、クライアントに
エンタープライズ CA との信頼関係がすでにあり、デプロイメントが簡略化されるためです。
インポートする証明書が証明書チェーンの一部である場合、チェーン全体をインポートするこ
とをお勧めします。
証明書および機密鍵のインポート
1.
エンタープライズ CA から、ファイアウォールが認証に使用する証明書と秘密鍵をエクスポート
します。
秘密鍵をエクスポートする場合、転送用のキーを暗号化するパスフレーズを入力する必要がありま
す。管理システムが証明書およびキー ファイルにアクセスできることを確認します。キーをファイ
アウォールにインポートするときは、同一のパスフレーズを入力してキーを復号化します。
2.
ファイアウォールで、[Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス証明書 ] の順に選択します。
Panorama で、[Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス証明書 ] の順に選択し、[ テンプ
レート ] を選択します。
3.
デバイスで複数の仮想システムをサポートしている場合は、タブに [ 場所 ] ドロップダウンが表示さ
れます。証明書の仮想システムを選択します。すべての仮想システムで証明書を使用できるよう
にするには、ステップ 6 に記載されている [ 共有 ] オプションを選択します。
4.
[ インポート ] をクリックします。
証明書の管理
121
証明書の取得
証明書の管理
証明書および機密鍵のインポート(続き)
5.
[ 証明書名 ] を入力します。名前は大文字小文字を区別し、最大 31 文字を使用できます。英字、
数字、ハイフン、およびアンダースコアのみを使用し、一意である必要があります。
6.
すべての仮想システムで証明書を使用できるようにするには、[ 共有 ] チェックボックスをオンに
します。このチェックボックスは、デバイスが複数の仮想システムをサポートしている場合に限
り表示されます。
7.
CA から受信した [ 証明書ファイル ] のパスと名前を入力するか、[ 参照 ] してファイルを検索します。
8.
以下の [ ファイル フォーマット ] を選択します。
• 暗号化された秘密鍵と証明書(PKCS12) — これは、デフォルトで最も一般的な形式であり、キー
および証明書が単一のコンテナに([ 証明書ファイル ])格納されています。ハードウェア セキュ
リティ モジュール(HSM)がこの証明書の秘密鍵を保存する場合、[ 秘密鍵はハードウェア セキュ
リティ モジュール上にあります ] チェックボックスをオンにします。
• [Base64 エンコード済み証明書(PEM)] — 証明書とは別にキーをインポートする必要がありま
す。ハードウェア セキュリティ モジュール(HSM)がこの証明書の秘密鍵を保存する場合、[ 秘
密鍵はハードウェア セキュリティ モジュール上にあります ] チェックボックスをオンにして、手
順 9 に進みます。その他の場合は、[秘密鍵のインポート] チェックボックスをオンにして、[キー
ファイル ] に入力するか、キー ファイルを [ 参照 ] して、手順 9 を実行します。
9.
秘密鍵の暗号化に使用する [ パスフレーズ ] に入力して、再入力(確認)します。
10. [OK] をクリックします。[ デバイス証明書 ] タブにインポートされた証明書が表示されます。
外部 CA からの証明書の取得
外部認証局(CA)から証明書を取得するメリットは、秘密鍵がファイアウォール外に出ないこ
とです。外部 CA から証明書を取得するには、証明書署名要求(CSR)を生成し、CA にその要
求を提出します。CA が指定の属性を持つ証明書を発行したら、その証明書をファイアウォール
にインポートします。CA は、一般的なパブリック CA またはエンタープライズ CA です。
証明書の失効状態を検証するため、Open Certificate Status Protocol(OCSP)を使用するには、
CSR を生成する前に、「OCSP レスポンダの設定」。
122
証明書の管理
証明書の管理
証明書の取得
外部 CA からの証明書の取得
ステップ 1
外部 CA の証明書を要求し
ます。
1.
ファイアウォールで、[Device] > [ 証明書の管理 ] > [ 証
明書 ] > [ デバイス証明書 ] の順に選択します。
Panorama で、[Device] > [ 証明書の管理 ] > [ 証明書 ] >
[ デバイス証明書 ] の順に選択し、[ テンプレート ] を
選択します。
2.
デバイスで複数の仮想システムをサポートしている
場合は、タブに [ 場所 ] ドロップダウンが表示されま
す。証明書の仮想システムを選択します。すべての
仮想システムで証明書を使用できるようにするに
は、手順 6 に記載されている [ 共有 ] オプションを選
択します。
3.
[ 生成 ] をクリックします。
4.
[ 証明書名 ] を入力します。名前は大文字小文字を区別
し、最大 31 文字を使用できます。英字、数字、ハイ
フン、およびアンダースコアのみを使用し、一意で
ある必要があります。
5.
[ 共通名 ] フィールドに、証明書を使用するサービスを
設定するインターフェイスの FQDN(推奨)または
IP アドレスを入力します。
6.
すべての仮想システムで証明書を使用できるように
するには、[共有] チェックボックスをオンにします。
このチェックボックスは、デバイスが複数の仮想シス
テムをサポートしている場合に限り表示されます。
7.
[ 署名者 ] フィールドで [External Authority(CSR)] を
選択します。
8.
該当する場合 、 [OCSP レスポンダ ] を選択します 。
9.
(任意)証明書を使用するファイアウォールおよび
サービスを一意に特定するための [ 証明書の属性 ] を
[ 追加 ] します。
注
[ ホスト名 ] 属性を追加する場合は、[ 共通名 ] に一致
させることをお勧めします(これは、GlobalProtect で
は必須です)。このホスト名が、証明書の [ サブジェ
クト代替名 ] フィールドに入力されます。
10. [ 生成 ] をクリックします。[ デバイス証明書 ] タブに
状態が [ 保留 ] である CSR が表示されます。
ステップ 2
証明書の管理
CA に CSR を提出します。
1.
CSR を選択して、[ エクスポート ] をクリックして、
ローカル コンピュータに .csr ファイルを保存します。
2.
CA に .csr ファイルをアップロードします。
123
証明書の取得
証明書の管理
外部 CA からの証明書の取得(続き)
ステップ 3
ステップ 4
124
証明書をインポートします。
証明書を設定します。
1.
CA が CSR に応答して署名証明書を送信した後、[ デバ
イス証明書 ] タブに戻り、[ インポート ] をクリックし
ます。
2.
ステップ 1 ~ 4 で CSR の生成に使用した [ 証明書名 ]
を入力します。
3.
CA が送信した PEM [ 証明書ファイル ] のパスと名前
を入力するか、[ 参照 ] してファイルを検索します。
4.
[OK] をクリックします。[ デバイス証明書 ] タブに状
態が [ 有効 ] である証明書が表示されます。
1.
証明書の [ 名前 ] をクリックします。
2.
ファイアウォールでの証明書の使用目的に該当する
チェックボックスをオンにします。たとえば、ファ
イアウォールで証明書を Web インターフェイスにア
クセスする管理者を認証するために使用する場合は、
[ 保護された Web GUI の証明書 ] チェックボックスを
オンにします。
3.
[OK]、[Commit] の順にクリックします。
証明書の管理
証明書の管理
証明書プロファイルの設定
証明書プロファイルの設定
証明書プロファイルでは、キャプティブ ポータル、GlobalProtect、サイト間 IPSec VPN、Mobile
Security Manager、ファイアウォール /Panorama Web インターフェイス アクセスのためのユーザー
およびデバイス認証を定義します。プロファイルでは、使用する証明書、証明書の失効状態の
検証方法、および状態によりアクセスを制限する方法を指定します。アプリケーションごとに
証明書プロファイルを設定します。
証明書プロファイルの Open Certificate Status Protocol(OCSP)または証明書失効リスト
(CRL)の状態検証を有効化することをお勧めします。これらの方法の詳細は、「デバイスに
よる証明書の失効状態の検証方法」を参照してください。
証明書プロファイルの設定
ステップ 1
割り当てる認証局(CA)証明 以下のいずれかの手順を実行して、プロファイルに割り
書を取得します。
当てる CA 証明書を取得します。少なくとも 1 つを割り当
てる必要があります。
• 自己署名ルート CA 証明書の作成。
• エンタープライズ CA から証明書をエクスポートして、
ファイアウォールにインポートします(ステップ 3を
参照)。
ステップ 2
証明書プロファイルを特定し 1.
ます。
ファイアウォールで、[Device] > [ 証明書の管理 ] > [ 証
明書プロファイル ] の順に選択し、[ 追加 ] をクリック
します。
Panorama で、[Device] > [ 証明書の管理 ] > [ 証明書プ
ロファイル ] の順に選択し、[ テンプレート ] を選択し
て、[ 追加 ] をクリックします。
証明書の管理
2.
プロファイルの識別に使用する [ 名前 ] を入力します。
名 前 で は 大 文 字 と 小 文 字 を 区 別 し ま す。英 字、数
字、スペース、ハイフン、およびアンダースコアの
みを使用し、一意である必要があります。名前は最
大 31 文字を使用できます。
3.
ファイアウォールで複数の仮想システムをサポート
している場合は、ダイアログに [ 場所 ] ドロップダウ
ンが表示されます。プロファイルを使用できる仮想
システムを選択するか、[ 共有 ] を選択して、すべて
の仮想システムで使用できるようにします。
125
証明書プロファイルの設定
証明書の管理
証明書プロファイルの設定(続き)
ステップ 3
1 つ以上の証明書を割り当て 証明書ごとに以下の手順を実行します。
ます。
1. CA 証明書表で、[ 追加 ] をクリックします。
2.
ステップ 1 の [CA 証明書 ] を選択するか、[ インポート ]
をクリックして、以下のサブ手順を実行します。
a. [ 証明書名 ] を入力します。
b. エンタープライズ CA からエクスポートした [ 証明
書ファイル ] のパスと名前を入力するか、[ 参照 ] し
てファイルを検索します。
c. [OK] をクリックします。
3.
必要に応じて、ファイアウォールで証明書の失効状
態 を 検 証 す る 場 合 は、以 下 の フ ィ ー ル ド を 設 定 し
て、デフォルトの動作をオーバーライドします。ほ
とんどのデプロイメントでは、これらのフィールド
は適用されません。
• デフォルトでは、ファイアウォールが手順「OCSP
レスポンダの設定」で設定した OCSP レスポンダの
URL を使用します。その設定をオーバーライドする
には、[ デフォルト OCSP URL(http:// または https://
で開始)] に入力します。
• デフォルトでは、ファイアウォールは [CA 証明書 ]
フィールドで選択した証明書を使用して、OCSP 応
答を検証します。検証に異なる証明書を使用するに
は、[OCSP 検証 CA 証明書 ] フィールドでその証明
書を選択します。
4.
126
[OK] をクリックします。[CA 証明書 ] 表に割り当てら
れた証明書が表示されます。
証明書の管理
証明書の管理
証明書プロファイルの設定
証明書プロファイルの設定(続き)
ステップ 4
証明書の失効状態および関連 1.
付けられているブロック動作
の検証の方法を定義します。
[CRL の使用 ] または [OCSP の使用 ]、あるいは両方を
選択します。両方を選択している場合は、ファイア
ウォールはまず OCSP を試行します。OCSP レスポン
ダが使用できない場合に限り、CRL 方法にフォール
バックします。
2.
検証方法に応じて、[CRL 受信の有効期限] または [OCSP
受信の有効期限 ]、あるいはその両方に入力します。
これは、ファイアウォールが CRL/OCSP サービスか
らの応答を待機する期間(1 ~ 60 秒)です。
3.
[ 証明書の有効期限 ] を入力します。これは、ファイ
アウォールが任意の証明書状態サービスからの応答
を待機し、定義したセッション ブロック ロジックを適
用するまでの期間(1 ~ 60 秒)です。[ 証明書の有効
期限 ] は、以下のように OCSP/CRL の [ 受信の有効期
限 ] に関連付けられます。
• OCSP および CRL の両方を有効化する場合 — ファイ
アウォールは、[ 証明書の有効期限 ] の値または 2 つ
の [ 受信の有効期限 ] の値の合計のいずれか小さい
方の期間の経過後に、要求のタイムアウトを登録し
ます。
• OCSP のみを有効化する場合 — ファイアウォール
は、[ 証明書の有効期限 ] の値または OCSP の [ 受信
の有効期限 ] の値のいずれか小さい方の期間の経過
後に、要求のタイムアウトを登録します。
• CRL のみを有効化する場合 — ファイアウォールは、
[ 証明書の有効期限 ] 値または CRL の [ 受信の有効
期限 ] 値のいずれか小さい方の期間の経過後に、要
求のタイムアウトを登録します。
ステップ 5
証明書の管理
4.
OCSP または CRL サービスが [ 不明 ] という証明書失効
状態を返した場合にファイアウォールにセッション
をブロックさせるときは、[ 証明書状態が不明な場合
にセッションをブロック ] チェックボックスをオンに
します。その他の場合は、ファイアウォールはセッ
ションを続行します。
5.
OCSP または CRL 要求のタイムアウトが登録された
後、ファイアウォールでセッションをブロックする
場合は、[ タイムアウト時間内に証明書状態を取得で
きない場合にセッションをブロック ] チェックボック
ス を オ ン に し ま す。そ の 他 の 場 合 は、フ ァ イ ア
ウォールはセッションを続行します。
エントリを保存して、適用し [OK]、[Commit] の順にクリックします。
ます。
127
証明書の無効化と更新
証明書の管理
証明書の無効化と更新
以下のトピックでは、証明書を無効化または更新する方法を説明します。

証明書の無効化

証明書の更新
証明書の無効化
さまざまな状況により、有効期限前に証明書が無効化されていることがあります。たとえば、
名前が変更された場合や、サブジェクトと認証局間の関連付けが変更された(従業員の雇用が
終了したなど)場合、秘密鍵の侵害が判明した、またはその疑いがある場合などです。このよ
うな状況では、証明書を発行した認証局(CA)が証明書を無効化する必要があります。以下の
タスクでは、ファイアウォールが CA である証明書を無効化する方法を説明します。
証明書の無効化
1.
[Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス証明書 ] の順に選択します。
2.
デバイスで複数の仮想システムをサポートしている場合は、タブに [ 場所 ] ドロップダウンが表示
されます。証明書が属している仮想システムを選択します。
3.
無効化する証明書を選択します。
4.
[ 無効化 ] をクリックします。PAN-OS で直ちに証明書の状態が無効に設定され、Open Certificate
Status Protocol(OCSP)レスポンダ キャッシュまたは証明書失効リスト(CRL)にシリアル番号
が追加されます。コミットを実行する必要はありません。
128
証明書の管理
証明書の管理
証明書の無効化と更新
証明書の更新
証明書の有効期限が切れた場合、または直ちに、有効期間をリセットすることができます。外
部認証局(CA)が証明書に署名し、ファイアウォールが Open Certificate Status Protocol(OCSP)
を使用して証明書の失効状態を検証している場合、ファイアウォールは OCSP レスポンダ情報を
使用して証明書の状態を更新します(「OCSP レスポンダの設定」を参照)。ファイアウォール
が証明書を発行した CA である場合、ファイアウォールはその証明書を、古い証明書と属性が
同じでシリアル番号が異なる新しい証明書に置き換えます。
証明書の更新
1.
ファイアウォールで、[Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス証明書 ] の順に選択します。
Panorama で、[Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス証明書 ] の順に選択し、[ テンプ
レート ] を選択します。
2.
デバイスで複数の仮想システムをサポートしている場合は、タブに [ 場所 ] ドロップダウンが表示さ
れます。証明書が属している仮想システムを選択します。
3.
更新する証明書を選択して、[ 更新 ] をクリックします。
4.
[ 新しい有効期限間隔 ](日数単位)を入力します。
5.
[OK]、[Commit] の順にクリックします。
証明書の管理
129
ハードウェア セキュリティ モジュールによるキーの安全確保
証明書の管理
ハードウェア セキュリティ モジュールによるキーの安全
確保
ハードウェア セキュリティ モジュール(HSM)はデジタル キーを管理する物理デバイスで
す。HSM では、デジタル キーの安全な保存と生成を提供します。HSM では、不正利用や潜在
的な攻撃者からこれらを論理的および物理的に保護します。
Palo Alto Networks デバイスと統合されている HSM クライアントにより、SSL/TLS 復号化で使用さ
れる秘密鍵のセキュリティが向上します(SSL フォワード プロキシおよび SSL インバウンド イン
スペクション)。また、デバイスのマスター キーを暗号化するために HSM を使用できます。
以下のトピックでは、Palo Alto Networks デバイスと HSM を統合する方法を説明します。

HSM との接続のセットアップ

HSM を使用したマスター キーの暗号化

HSM での秘密鍵の保存

HSM デプロイメントの管理
HSM との接続のセットアップ
HSM クライアントは、PA-3000 シリーズ、PA-4000 シリーズ、PA-5000 シリーズ、PA-7050、およ
び VM-Series のファイアウォールと統合されており、また、以下の HSM と併用するために、
Panorama(仮想アプライアンスおよび M-100 アプライアンス)上で統合されています。

SafeNet Luna SA 5.2.1 以降

Thales Nshield Connect 11.62 以降
HSM サーバー バージョンは、これらのクライアント バージョンと互換性がある必要がありま
す。クライアント サーバー バージョンの互換性マトリックスについては、HSM ベンダーのマ
ニュアルを参照してください。
以下のトピックでは、ファイアウォール /Panorama とサポートされている HSM の 1 つとの間で
接続をセットアップする方法を説明します。

SafeNet Luna SA HSM との接続のセットアップ

Thales Nshield Connect HSM との接続のセットアップ
130
証明書の管理
証明書の管理
ハードウェア セキュリティ モジュールによるキーの安全確保
SafeNet Luna SA HSM との接続のセットアップ
Palo Alto Networks デバイスおよび SafeNet Luna SA HSM 間の接続をセットアップするには、ファ
イアウォール設定で HSM サーバーに接続するための HSM サーバーのアドレスおよびパスワー
ドを指定する必要があります。また、HSM サーバーでファイアウォールを登録する必要があり
ます。設定を開始する前に、HSM サーバーで Palo Alto Networks デバイスのパーティションが作
成されていることを確認します。
HSM 設定は、高可用性ファイアウォール ピア間では同期されません。そのため、ピアごとに
個別に HSM モジュールを設定する必要があります。
アクティブ / パッシブ HA デプロイメントでは、フェイルオーバーを 1 回手動で実行し、各 HA
ピアを設定して、HSM に対して個別に認証する必要があります。この手動のフェイルオー
バーが実行された後は、ファイルオーバー機能に関するユーザーの操作は不要です。
SafeNet Luna SA HSM との接続のセットアップ
ステップ 1
注
HSM でファイアウォー 1.
ル(H S M ク ラ イ ア ン 2.
ト)を 登 録 し、H S M
のパーティションに
ファイアウォールを
割り当てます。
HSM で同じ <cl-name> が登録済
みであるファイアウォールが 3.
あ る 場合、登録 を 続 行す る 前
に、以下 の コマ ン ド を使 用 し
て重複する登録を削除する必
要があります。
client delete -client
<cl-name>
リモート システムから HSM にログインします。
以下のコマンドを使用してファイアウォールを登録します。
client register -c <cl-name> -ip <fw-ip-addr>
ここで、<cl-name> は HSM で使用するためにファイアウォー
ルに割り当てる名前であり、<fw-ip-addr> は HSM クライア
ントとして構成されているファイアウォールの IP アドレス
です。
以下のコマンドを使用してファイアウォールにパーティ
ションを割り当てます。
client assignpartition -c <cl-name> -p <partition-name>
ここで、<cl-name> は client register コマンドではファイア
ウォールに割り当てられている名前であり、<partition-name>
はファイアウォールに割り当てる必要のある前に設定された
パーティションの名前です。
ここで、<cl-name> は削除する
クライアント(ファイアウォー
ル)登録の名前です。
証明書の管理
131
ハードウェア セキュリティ モジュールによるキーの安全確保
証明書の管理
SafeNet Luna SA HSM との接続のセットアップ(続き)
ステップ 2
SafeNet Luna SA HSM と 1.
通信するようにファ
イ ア ウ ォ ー ル を 設 定 2.
します。
ファイアウォール Web インターフェイスにログインして、
[Device] > [ セットアップ ] > [HSM] を選択します。
[ ハードウェア セキュリティ モジュール プロバイダ ] セク
ションを編集して、[ 設定プロバイダ ] として [Safenet Luna
SA] を選択します。
3.
[ 追加 ] をクリックし、[ モジュール名 ] に入力します。これ
は、31 文字以下の任意の ASCII 文字列を指定できます。
4.
[ サーバー アドレス ] として HSM モジュールの IPv4 アドレ
スを入力します。
高可用性 HSM 設定を設定する場合は、追加 HSM デバイスの
モジュール名および IP アドレスを入力します。
5.
(任意)高可用性 HSM 設定を設定する場合は、[ 高可用性 ]
チェックボックスをオンにして、[ 自動回復の再試行 ] および
[ 高可用性グループ名 ] の値を追加します。
2 つの HSM サーバーが設定されている場合、高可用性を設定
する必要があります。設定しない場合は、2 番目の HSM サー
バーは使用されません。
6.
ステップ 3
(任意)ファイアウォー 1.
ル が HSM に 接 続 で き 2.
る よ う に、サ ー ビ ス
ルートを設定します。
3.
デフォルトでは、ファ
イアウォールが HSM と 4.
通信できるように管理
5.
インターフェイスを使
用します。異なるイン 6.
ターフェイスを使用す
るには、サービス ルー 注
トを設定する必要があ
ります。
7.
132
[OK]、[Commit] の順にクリックします。
[Device] > [ セットアップ ] > [ サービス ] の順に選択します。
[ サービス機能 ] 領域から [ サービス ルートの設定 ] を選択し
ます。
[ サービス ルートの設定 ] 領域から、[ カスタマイズ ] を選択
します。
[IPv4] タブを選択します。
[ サービス ] 列から [HSM] を選択します。
[ 送信元インターフェイス ] ドロップダウンから HSM で使用す
るインターフェイスを選択します。
HSM のデータプレーン接続ポートを選択する場合、 clear
session all CLI コマンドを発行すると、既存のすべての
HSM セッションがクリアされ、すべての HSM がダウンした
状態になり、その後起動します。HSM を回復させるために
必要な数秒の間は、すべての SSL/TLS 操作が失敗します。
[OK]、[Commit] の順にクリックします。
証明書の管理
証明書の管理
ハードウェア セキュリティ モジュールによるキーの安全確保
SafeNet Luna SA HSM との接続のセットアップ(続き)
ステップ 4
HSM を認証するように 1.
ファイアウォールを設 2.
定します。
[Device] > [ セットアップ ] > [HSM] の順に選択します。
[ ハードウェア セキュリティ操作 ] 領域で [ ハードウェア セ
キュリティ モジュールのセットアップ ] を選択します。
3.
ドロップダウンから [ サーバー名 ] を選択します。
4.
ファイアウォールを HSM に対して認証するための [ 管理者
パスワード ] を入力します。
5.
[OK] をクリックします。
ファイアウォールは HSM に関する認証の実行を試行し、ス
テータス メッセージを表示します。
6.
ステップ 5
ステップ 6
HSM パーティションに 1.
接 続 す る よ う に フ ァ 2.
イアウォールを設定
3.
します。
(任意)高可用性
(HA)を実現するた
め追加の HSM を設定
します。
[OK] をクリックします。
[Device] > [ セットアップ ] > [HSM] の順に選択します。
更新 アイコンをクリックします。
[ ハードウェア セキュリティ操作 ] 領域で [HSM パーティション
のセットアップ ] を選択します。
4.
HSM のパーティションに対するファイアウォールの認証を行
う [ パーティション パスワード ] を入力します。
5.
[OK] をクリックします。
1.
高可用性(HA)を実現するため、ステップ 2 からステップ 5
まで実行して HSM を追加します。
このプロセスでは、新しい HSM を既存の HA グループに追加
します。
2.
設定から HSM を削除する場合は、ステップ 5 を繰り返します。
この操作により、HA グループから削除済みの HSM が削除さ
れます。
ステップ 7
HSM との接続を確認し 1.
ます。
2.
[Device] > [ セットアップ ] > [HSM] の順に選択します。
HSM 接続の [ 状態 ] を確認します。
緑 = HSM が認証され、接続されている
赤 = HSM が認証されなかったか、HSM へのネットワーク接
続がダウンしている
3.
[ ハードウェア セキュリティ モジュール状態 ] 領域の以下の
列を確認して、認証状態を特定します。
[ シリアル番号 ] — HSM パーティションが正常に認証された
場合、その HSM パーティションのシリアル番号。
[パーティション] — ファイアウォールで割り当てられた HSM
のパーティション名。
[ モジュール状態 ] — HSM の現在の動作状態。HSM がこの表
に表示されている場合、この設定の値は [ 認証済み ] です。
証明書の管理
133
ハードウェア セキュリティ モジュールによるキーの安全確保
証明書の管理
Thales Nshield Connect HSM との接続のセットアップ
以下のトピックでは、ファイアウォールが Thales Nshield Connect HSM と通信するための設定方
法を説明します。この設定には、HSM を使用している組織のすべてのファイアウォールのキー
データを同期するためのハブとして使用するリモート ファイルシステム(RFS)を設定する必
要があります。
HSM 設定は、高可用性ファイアウォール ピア間では同期されません。そのため、ピアごとに
個別に HSM モジュールを設定する必要があります。
高可用性ファイアウォール設定がアクティブ / パッシブ モードである場合、フェイルオーバー
を 1 回手動で実行し、各 HA ピアを設定して、HSM に対して個別に認証する必要があります。
この手動のフェイルオーバーが実行された後は、ファイルオーバー機能に関するユーザーの操
作は不要です。
Thales Nshield Connect HSM との接続のセットアップ
ステップ 1
Thales Nshield
1.
Connect サーバー
をファイアウォー
ルの HSM プロバ 2.
イダとして設定し
3.
ます。
4.
ファイアウォール Web インターフェイスで、[Device] > [ セットアッ
プ ] > [HSM] を選択し、[ ハードウェア セキュリティ モジュール プ
ロバイダ ] セクションを編集します。
[Thales Nshield Connect] を [設定プロバイダ] として選択します。
[ 追加 ] をクリックし、[ モジュール名 ] に入力します。これは、
31 文字以下の任意の ASCII 文字列を指定できます。
HSM モジュールの [ サーバー アドレス ] として IPv4 アドレスを入
力します。
高可用性 HSM 設定を設定する場合は、追加 HSM デバイスのモ
ジュール名および IP アドレスを入力します。
134
5.
[ リモート ファイルシステムのアドレス ] に IPv4 アドレスを入力
します。
6.
[OK]、[Commit] の順にクリックします。
証明書の管理
証明書の管理
ハードウェア セキュリティ モジュールによるキーの安全確保
Thales Nshield Connect HSM との接続のセットアップ(続き)
ステップ 2
(任意)ファイア
ウォールが HSM
に接続できるよ
う に、サ ー ビ ス
ルートを設定し
ます。
1.
[Device] > [ セットアップ ] > [ サービス ] の順に選択します。
2.
[ サービス機能 ] 領域から [サービス ルートの設定] を選択します。
3.
[ サービス ルートの設定 ] 領域から、[ カスタマイズ ] を選択します。
4.
[IPv4] タブを選択します。
5.
[ サービス ] 列から [HSM] を選択します。
デフォルトでは、 6. [ 送信元インターフェイス ] ドロップダウンから HSM で使用する
インターフェイスを選択します。
ファイアウォー
HSM のデータプレーン接続ポートを選択する場合、clear session
ルが HSM と通信 注
できるように管
all CLI コマンドを発行すると、既存のすべての HSM セッション
理インターフェ
がクリアされ、すべての HSM がダウンした状態になり、その後
イスを使用しま
起動します。HSM を回復させるために必要な数秒の間は、すべて
す。異 な る イ ン
の SSL/TLS 操作が失敗します。
タ ー フ ェ イ ス を 7. クリック OK and Commit.
使 用 す る に は、
サービス ルート
を設定する必要
があります。
ステップ 3
HSM サーバーで 1.
フ ァ イアウォー
ル(HSM ク ラ イ 2.
ア ン ト)を 設 定
します。
こ の 手 順 で は、
Thales Nshield Connect
HSM のフロント
パネル インター
フェイスを使用
す る 手 順 を 簡 単 3.
に説明します。詳
4.
細は、Thales のマ
ニュアルを参照
してください。
証明書の管理
Thales Nshield Connect HSM ユニットのフロント パネル ディスプレ
イにログインします。
ユニットのフロントパネルで、右側のナビゲーション ボタンを
使 用 し て、[System] > [System configuration] > [Client config] >
[New client] を選択します。
Client configuration
Please enter your
client IP address
0.0.0.0
Cancel
Next
ファイアウォールの IP アドレスを入力します。
[System] > [System configuration] > [Client config] > [Remote file
system] を選択して、リモート ファイル システムを設定するクライ
アント コンピュータの IP アドレスを入力します。
135
ハードウェア セキュリティ モジュールによるキーの安全確保
証明書の管理
Thales Nshield Connect HSM との接続のセットアップ(続き)
ステップ 4
ファイアウォール 1.
からの接続を受け
入 れ る リ モ ー ト 2.
ファイルシステム
をセットアップし
ます。
Linux クライアントからリモート ファイルシステム(RFS)にログ
インします。
電子シリアル番号(ESN)および K NETI キーのハッシュを取得し
ます。K NETI キーでは、クライアントに対してモジュールを認証
します。
anonkneti <ip-address>
ここで、<ip-address> は HSM の IP アドレスです。
以下に例を挙げます。
anonkneti 192.0.2.1
B1E2-2D4C-E6A2 5a2e5107e70d525615a903f6391ad72b1c03352c
この例では、B1E2-2D4C-E6A2 は、ESM であり、
5a2e5107e70d525615a903f6391ad72b1c03352c は、KNETI キーのハッ
シュです。
3.
スーパーユーザー アカウントから以下のコマンドを使用すると、
リモート ファイル システムの設定を実行します。
rfs-setup --force <ip-address> <ESN> <hash-Kneti-key>
ここで、<ip-address> は HSM の IP アドレス、
<ESN>
は電子シリアル番号(ESN)、
<hash-Kneti-key>
は KNETI キーのハッシュです。
以下の例では、この手順で取得した値を使用します。
rfs-setup --force <192.0.2.1> <B1E2-2D4C-E6A2>
<5a2e5107e70d525615a903f6391ad72b1c03352c>
4.
以下のコマンドを使用すると、クライアントがリモート ファイル
システムでサブミットすることを許可します。
rfs-setup --gang-client --write-noauth <FW-IPaddress>
ここで、<FW-IPaddress> はファイアウォールの IP アドレスです。
ステップ 5
HSM を認証する 1.
ようにファイア
ウ ォ ー ル を 設 定 2.
します。
3.
ファイアウォール Web インターフェイスで、[Device] > [ セット
アップ ] > [HSM] を選択します。
[ ハードウェア セキュリティ操作 ] 領域で [ ハードウェア セキュリ
ティ モジュールのセットアップ ] を選択します。
[OK] をクリックします。
ファイアウォールは HSM に関する認証の実行を試行し、ステータ
ス メッセージを表示します。
4.
ステップ 6
136
ファイアウォール 1.
をリモート ファイ 2.
ルシステムと同期
します。
[OK] をクリックします。
[Device] > [ セットアップ ] > [HSM] の順に選択します。
[ ハードウェア セキュリティ操作 ] セクションで [ リモート ファイ
ルシステムと同期 ] を選択します。
証明書の管理
証明書の管理
ハードウェア セキュリティ モジュールによるキーの安全確保
Thales Nshield Connect HSM との接続のセットアップ(続き)
ステップ 7
フ ァ イ ア ウ ォ ー 1.
ルが HSM に接続 2.
できることを確
認します。
[Device] > [ セットアップ ] > [HSM] の順に選択します。
状態インジケータを確認して、ファイアウォールが HSM に接続
されていることを確認します。
緑 = HSM が認証され、接続されている。
赤 = HSM が認証されなかったか、HSM へのネットワーク接続がダ
ウンしている
3.
[ ハードウェア セキュリティ モジュール状態 ] セクションの以下
の列を確認して、認証状態を特定します。
[ 名前 ]: 認証を試行している HSM の名前。
IP address: ファイアウォールで割り当てられた HSM の IP アド
レス。
[ モジュール状態 ]: HSM の現在の動作状態。[ 認証済み ] または [ 認
証されていません ]。
HSM を使用したマスター キーの暗号化
マスター キーは、Palo Alto Networks ファイアウォールで設定され、すべての秘密鍵およびパス
ワードを暗号化します。セキュリティ要件で秘密鍵を安全な場所に保存する必要がある場合
は、HSM 上に保存されている暗号化キーを使用してマスター キーを暗号化できます。その後、
ファイアウォールは、ファイアウォールでパスワードまたは秘密鍵の復号化が必要になるたび
に、HSM にマスター キーを復号化するように要求します。通常、HSM は、セキュリティを向
上させるため、ファイアウォールとは別の高度に安全な場所にあります。
HSM では、ラッピング キーを使用してマスター キーを暗号化します。セキュリティを維持す
るため、この暗号化キーは随時変更する必要があります。このため、マスター キーの暗号化を
変更するラッピング キーを循環させるために、コマンドがファイアウォールで提供されます。
このラッピング キーの変更頻度はアプリケーションによって異なります。
HSM を使用したマスター キーの暗号化では、CC モードの FIPS で設定されているファイア
ウォールではサポートされていません。
以下のトピックでは、初めにマスター キーを暗号化する方法とマスター キーの暗号化を更新す
る方法を説明します。

マスター キーの暗号化

マスター キーの暗号化の更新
証明書の管理
137
ハードウェア セキュリティ モジュールによるキーの安全確保
証明書の管理
マスター キーの暗号化
特定のデバイスでマスター キーがこれまで暗号化されていなかった場合、以下の手順を使用し
てマスター キーを暗号化します。キーの初回の暗号化時、または、新しいマスター キーを定義
するか、暗号化する場合に、この手順を使用します。以前に暗号化されたキーの暗号化を更新
する場合は、「マスター キーの暗号化の更新」を参照してください。
HSM を使用したマスター キーの暗号化
1.
[Device] > [ マスター キーおよび診断 ] を選択します。
ステップ 8
[ マスター キー] フィールドで、ファイアウォールでのすべての秘密鍵とパスワードを暗
号化するために現在使用されているキーを指定します。
ステップ 9
マスター キーを変更する場合、新しいマスター キーを入力して、確認します。
ステップ 10 [HSM] チェックボックスをオンにします。
[ ライフ タイム ]: マスター キーが期限切れになるまでの期間を日数と時間数で指定します
(範囲は 1 ~ 730 日)。
[ リマインダーの時間 ]: 有効期限が迫っていることをユーザーに通知する時期を、期限切れ
までの日数と時間数で指定します(範囲は 1 ~ 365 日)。
ステップ 11 [OK] をクリックします。
マスター キーの暗号化の更新
HSM でマスター キーのラッピング キーを交換することによって、マスター キーの暗号化を定
期的に更新することをお勧めします。このコマンドは、SafeNet Luna SA および Thales Nshield
Connect HSM の両方で同じです。
マスター キーの暗号化の更新
1.
以下の CLI コマンドを使用して、HSM でマスター キーのラッピング キーを交換します。
> request hsm mkey-wrapping-key-rotation
HSM でマスター キーが暗号化されている場合、CLI コマンドでは、HSM で新しいラッピング キー
を生成し、その新しいラッピング キーを使用してマスター キーを暗号化します。
HSM でマスター キーが暗号化されていない場合、CLI コマンドでは、今後使用するために HSM で
新しいラッピング キーを生成します。
古いラッピング キーはこのコマンドでは削除されません。
138
証明書の管理
証明書の管理
ハードウェア セキュリティ モジュールによるキーの安全確保
HSM での秘密鍵の保存
セキュリティを強化するため、SSL/TLS 復号化(SSL フォワード プロキシおよび SSL インバウ
ンド インスペクションの両方)の有効化に使用する秘密鍵は、以下のように HSM で安全を保
護することができます。

SSL フォワード プロキシ — SSL/TLS フォワード プロキシ操作での証明書の署名に使用する
CA 証明書の秘密鍵を HSM に保存できます。その後、ファイアウォールは、SSL/TLS フォワー
ド プロキシ操作中に生成する証明書を HSM に送信してから、署名を得るためクライアント
にその証明書を転送します。

SSL インバウンド インスペクション — SSL/TLS インバウンド インスペクションを実行する
内部サーバーの秘密鍵を HSM に保存できます。
HSM に秘密鍵をインポートする方法の詳細は、HSM プロバイダのマニュアルを参照してくださ
い。必要なキーが HSM 上に保存された後は、以下のようにキーを配置するようにファイア
ウォールを設定できます。
HSM での秘密鍵の保存
ステップ 1
SSL フォワード プロキシ HSM に秘密鍵をインポートする方法の詳細は、HSM プロバイダの
デプロイメントまたは マニュアルを参照してください。
SSL インバウンド イン
スペクション デプロイ
メント、あるいはその
両方で使用する秘密鍵
を HSM に イ ン ポ ー ト
します。
ステップ 2
(Thales Nshield Connect 1.
の み)HSM リ モ ー ト
ファイル システムから 2.
ファイアウォールにキー
データを同期します。
ファイアウォール Web インターフェイスで、[Device] > [ セッ
トアップ ] > [HSM] を選択します。
HSM に保存する秘密鍵 1.
に該当する証明書を
ファイアウォールにイ 2.
ンポートします。
3.
ファイアウォール Web インターフェイスで、[Device] > [ 証明
書の管理 ] > [ 証明書 ] > [ デバイス証明書 ] の順に選択します。
ステップ 3
証明書の管理
[ ハードウェア セキュリティ操作 ] セクションで [ リモート ファ
イルシステムと同期 ] を選択します。
[ インポート ] をクリックします。
[ 証明書名 ] を入力します。
4.
HSM にインポートした [ 証明書ファイル ] のファイル名を入
力します。
5.
ドロップダウンから適切な [ ファイル フォーマット ] を選択
します。
6.
[ 秘密鍵はハードウェア セキュリティ モジュール上にあります ]
チェックボックスをオンにします。
7.
[OK]、[ コミット ] の順にクリックします。
139
ハードウェア セキュリティ モジュールによるキーの安全確保
証明書の管理
HSM での秘密鍵の保存(続き)
ステップ 4
(フォワード トラスト 1.
証 明 書 の み)SSL/TLS
フォワード プロキシで 2.
使用する証明書を有効
3.
にします。
4.
ステップ 5
証明書がファイアウォー 1.
ルに正常にインポートさ
れたことを確認します。 2.
3.
[Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス証明書 ] の
順に選択します。
ステップ 3 でインポートした証明書を確認します。
[ フォワード トラスト証明書 ] チェックボックスをオンにし
ます。
[OK]、[ コミット ] の順にクリックします。
[Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス証明書 ] の
順に選択します。
ステップ 3 でインポートした証明書を確認します。
[ キー] 列で以下を確認します。
ロック アイコンが表示されている場合は、HSM 上には証明書
の秘密鍵はありません。
エラー アイコンが表示されている場合は、秘密鍵は HSM に
インポートされていないか、HSM が適切に認証または接続さ
れていません。
HSM デプロイメントの管理
HSM の管理
• HSM 設定を表示します。
[Device] > [ セットアップ ] > [HSM] の順に選択します。
• HSM の詳細情報を表示し
ます。
[ ハードウェア セキュリティ操作 ] セクションで [ 詳細情報を表示 ] を選
択します。
HSM サーバーに関する情報、HSM HA 状態、および HSM ハードウェア
が表示されます。
• サポート ファイルの
エクスポート
[ ハードウェア セキュリティ操作 ] セクションで [ サポート ファイルの
エクスポート ] を選択します。
カスタマー サポートがファイアウォールの HSM 設定に関する問題に対
処する上で役立つテスト ファイルが作成されます。
• HSM 設定をリセットし
ます。
[ ハードウェア セキュリティ操作 ] セクションから [HSM 設定のリセッ
ト ] を選択します。
このオプションを選択すると、すべての HSM 接続が削除されます。こ
のオプションを使用した後は、すべての認証手順を繰り返す必要があ
ります。
140
証明書の管理
高可用性
高可用性(HA)は、2 つのファイアウォールを 1 つのグループに配置して、ネットワーク上の
単一障害点を回避するために 2 つのファイアウォールの設定を同期する設定です。ファイア
ウォール ピア間のハートビート接続では、ピアがダウンした場合シームレスにフェイルオー
バーを実行できます。2 つのデバイス クラスタでファイアウォールを設定すると冗長性が得ら
れるため、ビジネス継続性を確保できます。
Palo Alto Networks ファイアウォールでは、セッション同期および設定同期機能で、ステートフ
ル アクティブ/パッシブまたはアクティブ/アクティブ高可用性をサポートします。VM-Series ファ
イアウォールおよび PA-200 などのファイアウォールの一部のモデルでは、セッション同期機能
のない、HA ライトのみをサポートしています。以下のトピックでは、高可用性と使用環境で高
可用性を設定する方法の詳細を説明します。

HA 概要

アクティブ / パッシブ HA のセットアップ
詳細は、以下の記事を参照してください。

Active/Active HA(英語)

High Availability Synchronization(英語)

High Availability Failover Optimization(英語)

Upgrading an HA pair(英語)

Examples: Deploying HA(英語)
高可用性
141
HA 概要
高可用性
HA 概要
Palo Alto Networks ファイアウォールでは、2 つのデバイスを HA ペアとして設定できます。HA
では、プライマリ デバイスに障害が発生した場合に、代替デバイスを使用できるようにするこ
とで、ダウンタイムを最小限に抑えることができます。このデバイスでは、専用またはインバ
ンドの HA ポートをファイアウォール上で使用することにより、ネットワーク、オブジェク
ト、ポリシー設定などのデータを同期し、状態の情報を維持します。管理ポートの IP アドレス
や管理者プロファイルなどのデバイス固有の設定、HA 固有の設定、ログ データ、およびアプ
リケーション コマンド センター(ACC)の情報は、デバイス間で共有されません。アプリケー
ションおよびログのビューを HA ペア間で統合したい場合、Panorama という Palo Alto Networks
の中央管理システムを使用する必要があります。
アクティブなデバイスで障害が発生した場合、パッシブ デバイスがトラフィックの保護タスク
を引き継ぎますが、このイベントをフェイルオーバーといいます。フェイルオーバーが引き起
こされる条件は、次のとおりです。

モニター対象となる 1 つ以上のインターフェイスに障害が発生した場合。(リンク モニタ
リング)

デバイスで指定する 1 つ以上の宛先に到達できない場合。(パス モニタリング)

デバイスがハートビート ポーリングに応答しない場合。(ハートビート ポーリング)
HA モード
HA のファイアウォールは、次の 2 つのモードで設定できます。

アクティブ / パッシブ — 一方のデバイスではトラフィックをアクティブに管理し、もう一方のデ
バイスでは同期を取り、障害が発生した場合のアクティブ状態への移行に備えます。この設定で
は、両方のデバイスで同じ設定を共有し、パス、リンク、システム、またはネットワークに障害
が発生するまでは、一方がアクティブにトラフィックを管理します。アクティブなデバイスで障
害が発生した場合、パッシブ デバイスがシームレスに同じポリシーを引き継いで実行し、ネット
ワーク セキュリティを維持します。アクティブ / パッシブ HA は、バーチャル ワイヤーと、レイ
ヤー 2 およびレイヤー 3 デプロイメントでサポートされています。デバイスのアクティブ / パッシ
ブ設定方法の詳細は、「アクティブ / パッシブ HA の設定」を参照してください。
PA-200 および VM-Series ファイアウォールでは、アクティブ / パッシブ HA のライト バージョン
をサポートしています。HA のライト バージョンでは、設定を同期できるほか、IPSec Security
Associations(SA)など、いくつかの実行時データを同期できます。ただし、セッションの同期
には対応していないため、HA ライトにはステートフル フェイルオーバー機能がありません。

アクティブ / アクティブ — ペアリングされた両方のデバイスがアクティブな状態でトラフィッ
クを処理し、同調してセッションのセットアップやオーナーシップを操作します。アクティ
ブ / アクティブ デプロイメントは、バーチャル ワイヤーおよびレイヤー 3 デプロイメントで
サポートされていますが、推奨されるのは非対称ルーティングのネットワークの場合のみで
す。デバイスのアクティブ / アクティブ設定方法の詳細は、『Active/ActiveHigh Availability Tech
Note』(英語)を参照してください。
142
高可用性
高可用性
HA 概要
HA リンクおよびバックアップ リンク
HA ペアのデバイスでは、HA リンクを使用してデータを同期し、状態情報を管理します。ファ
イアウォールの一部のモデルには、コントロール リンク(HA1)とデータ リンク(HA2)とい
う専用の HA ポートがありますが、それ以外のモデルでは、インバンド ポートを HA リンクと
して使用する必要があります。
PA-3000 シリーズ、PA-4000 シリーズ、PA-5000 シリーズ、および PA-7050 ファイアウォール
(「PA-7050 ファイアウォール上の HA ポート」を参照)などの専用の HA ポートを持つデバイ
スでは、専用の HA ポートを使用して、デバイス間で通信および同期を管理します。PA-200 シ
リーズ、PA-500 シリーズ、PA-2000 シリーズのファイアウォールなど、専用の HA ポートがない
デバイスの場合、デバイスの管理プレーン間を直接接続できるようにするための HA1 リンク用
の管理ポートと、HA2 リンク用のインバンド ポートを使用することをお勧めします。
HA1 および HA2 リンクでは、管理プレーンにある機能の同期を提供します。管理プレーンで
専用 の HA インターフェイスを使用する方が、インバンド ポートを使用するより効率的です。
これは、データプレーンを介して同期パケットを渡す必要がないためです。

コントロール リンク : HA1 リンクは、Hello、ハートビート、HA の状態、ルーティング用の
管理プレーンの同期、User-ID などの情報交換に使用します。またこのリンクを使用して、
アクティブ デバイスまたはパッシブ デバイスの設定変更をピア デバイスと同期します。HA1
リンクはレイヤー 3 リンクのため、IP アドレスが必要です。
HA1 に使用するポート : クリア テキスト通信には TCP ポート 28769 と 28260、暗号化通信
(SSH over TCP)にはポート 28 を使用します。

データ リンク : HA2 リンクを使用して、セッションの同期、テーブルの転送、IPSec SA、お
よび ARP テーブルを HA ペアのデバイス間で同期します。HA2 リンクのデータ フローは
(HA2 キープアライブを除き)常に単向性なので、データはアクティブ デバイスからパッ
シブ デバイスに流れます。HA2 リンクはレイヤー 2 リンクなので、デフォルトで EtherType
0x7261 を使用します。
HA2 で使用するポート : HA データ リンクは、IP(プロトコル番号 99)または UDP(ポート
29281)のいずれかを転送ポートとして使用するように設定できるため、HA データ リンクは
サブネットをまたぐことができます。
さらに、HA3 リンクはアクティブ / アクティブ HA デプロイメントで使用されます。非対称
ルートがある場合、HA3 リンクはセッションを所有する HA ピアへのパケットの転送に使用
されます。HA3 リンクはレイヤー 2 リンクであり、レイヤー 3 アドレスまたは暗号化をサ
ポートしていません。

バックアップ リンク : HA1 リンクと HA2 リンクの冗長性を提供します。インバンド ポート
は、HA1 と HA2 の両方のバックアップ リンクとして使用します。バックアップ HA リンクを
設定する場合は、次のガイドラインを考慮してください。
–
プライマリ HA リンクとバックアップ HA リンクの IP アドレスを重複させることはでき
ません。
–
HA バックアップ リンクは、プライマリ HA リンクとは別のサブネット上になければな
りません。
高可用性
143
HA 概要
–
高可用性
HA1 バックアップと HA2 バックアップのポートは、異なる物理ポート上で設定する必要
があります。HA1 バックアップ リンクでは、ポート 28770 と 28260 が使用されます。
Palo Alto Networks では、HA1 または HA1 のバックアップ リンクにインバンド ポートを使用
する場合、ハートビート バックアップ(MGT インターフェイスでポート 28771 を使用)を有
効にすることをお勧めします。
PA-7050 ファイアウォール上の HA ポート
PA-7050 上の HA 接続の詳細については、スイッチ管理カード(SMC)上の必須ポートおよび
ネットワーク処理カード(NPC)上の最適なポートに関する詳細をまとめた以下の表を参照し
てください。PA-7050 ファイアウォールのモジュールおよびインターフェイス カードの概要に
ついては、『PA-7050 Hardware Reference Guide』(英語)を参照してください。
SMC 上の以下のポートは、HA 接続用に設計されています。
HA リンク
およびバック
アップ リンク
SMC のポート
説明
コントロール HA1-A
HA 制御 および同期 に使用。ペ アの 1 番目 のデバイス の
リンク
速度 : Ethernet 10/100/1000 HA1-A ポートから 2 番目のデバイスの HA1-A にこのポート
を直接接続するか、スイッチまたはルーターを経由して 2
つのデバイスを相互に接続します。
NPC データ ポートまたは MGT ポートで HA1 を設定するこ
とはできません。
コントロール HA1-B
HA1-A のバックアップとして HA 制御および同期に使用。ペ
リンクの
アの
1 番目のデバイスの HA1-B ポートから 2 番目のデバイス
速度 : Ethernet 10/100/1000
バックアップ ポート
の HA1-B にこのポートを直接接続するか、スイッチまたは
ルーターを経由して 2 つのデバイスを相互に接続します。
NPC データ ポートまたは MGT ポートでは HA1 バックアッ
プは設定できません。
144
高可用性
HA 概要
高可用性
HA リンク
およびバック
アップ リンク
SMC のポート
説明
データ リンク HSCI-A
HA 設定で 2 つの PA-7050 ファイアウォールを接続するため
(高速シャーシ相互接続) に 使用す る 4 ポ ート SFP(QSFP)インタ ーフ ェイス。各
ポートは 4 つの 10 ギガビット リンクで構成されており、内
部では合わせて 40 ギガビットの速度が実現します。アク
ティブ / パッシブ設定で HA2 データ リンク用に使用ます。
ア ク テ ィ ブ / ア ク テ ィ ブ モ ー ド で は、こ の ポ ー ト は
App-ID および Content-ID のレイヤー 7 インスペクションを
必要とする非対称ルーティング セッションでの HA3 パケッ
ト転送にも使用されます。
通常のインストールでは、1 番目のシャーシの HSCI-A は 2 番
目のシャーシの HSCI-A に直接接続され、1 番目のシャーシ
の HSCI-B は 2 番目のシャーシの HSCI-B に接続されます。こ
れにより、完全な 80 ギガビットの転送速度が提供されます。
ソフトウェアでは、両方のポート(HSCI-A および HSCI-B)
は 1 つの HA インターフェイスとして処理されます。
HSCI ポートはルーティング可能ではないため、相互に直接
接続する必要があります。
HA2 接続および HA3 接続の両方で専用の HSCI ポートを使
用することをお勧めします。ただし、必要に応じて、NPC
データ ポート上で HA2 リンクおよび HA3 リンクを設定で
きます。
データ リンク HSCI-B
HSCI-B ポートの 4 ポート SFP(QSFP)インターフェイス
のバックアップ (高速シャーシ相互接続) (上記の説明を参照)は、HA2/HA3 用の帯域幅を拡大する
ために使用される。
HSCI ポートはルーティング可能ではないため、相互に直接
接続する必要があります。
HA2 接続および HA3 接続の両方で専用の HSCI-B ポートを
使用することをお勧めします。必要に応じて、NPC データ
ポート上で HA2/HA3 バックアップ リンクを設定できます。
デバイス優先度およびプリエンプション
HA ペアのデバイスにデバイス優先度の値を割り当てることにより、どちらのデバイスにアク
ティブな役割を持たせて優先的にトラフィックを管理させるかを示すことができます。HA ペ
アの特定のデバイスを使用してアクティブにトラフィックを保護する必要がある場合、両方の
ファイアウォールでプリエンプティブ機能を有効にし、各デバイスに優先度の値を割り当て
る必要があります。数値の小さい方のデバイス、つまり優先度の高いデバイスがアクティブ デ
バイスに指定され、ネットワーク上のすべてのトラフィックを管理します。もう一方のデバイ
スはパッシブ状態となり、アクティブ デバイスと設定情報や状態の情報を同期し、障害が発生
した場合のアクティブ状態への移行に備えます。
高可用性
145
HA 概要
高可用性
デフォルトでは、ファイアウォールでプリエンプションが無効になっているため、両方のデバ
イスで有効にする必要があります。プリエンプティブの動作を有効にすると、優先度の高い
(数値の低い方の)ファイアウォールが障害から回復した後に、そのファイアウォールをアク
ティブ ファイアウォールとして再開させることができます。プリエンプションが発生すると、
そのイベントがシステム ログに記録されます。
フェイルオーバーのトリガー
アクティブなデバイスで障害が発生した場合、パッシブ デバイスがトラフィックの保護タスク
を引き継ぎますが、このイベントをフェイルオーバーといいます。アクティブ デバイスのモニ
ター対象メトリックに障害が発生すると、フェイルオーバーが引き起こされます。デバイスの
障害を検出するための、モニター対象となるメトリックは、次のとおりです。

ハートビート ポーリングおよび Hello メッセージ — ファイアウォールでは、Hello メッセー
ジおよびハートビートを使用して、ピア デバイスの応答状態および動作状態を検証します。
設定した Hello 間隔で Hello メッセージがピアの一方からもう一方へ送信され、デバイスの
状態を検証します。ハートビートは、コントロール リンクを介した HA ピアに対する ICMP
ping の一種で、ピアがこの ping に応答することで、デバイスの接続および応答状態を証明し
ます。デフォルトでは、ハートビートの間隔は 1000 ミリ秒です。フェイルオーバーをトリ
ガーする HA タイマーの詳細は、「HA タイマー」を参照してください。

リンク モニタリング — モニター対象の物理インターフェイスが 1 つのリンク グループに集
約され、その状態(リンク アップまたはリンク ダウン)がモニタリングされます。リンク
グループには、1 つ以上の物理インターフェイスを含めることができます。グループ内のイ
ンターフェイスの一部またはすべてに障害が発生すると、デバイスの障害が引き起こされま
す。デフォルトの動作では、グループ内のいずれかのリンクに障害が発生すると、デバイス
の HA 状態が非稼働に変わり、モニター対象オブジェクトの障害を示します。

パス モニタリング — ネットワーク全体でミッション クリティカルな IP アドレスへの全経路
をモニタリングします。ICMP ping を使用して、問題の IP アドレスに到達可能かどうかを検
証します。デフォルトの ping 間隔は 200 ミリ秒です。10 回(デフォルト値)連続で ping に失
敗すると、その IP アドレスに到達不可能とみなされ、対象の IP アドレスの一部またはすべ
てに到達不可能となった場合は、デバイスの障害が引き起こされます。デフォルトの動作で
は、IP アドレスのいずれかに到達不可能となった場合、デバイスの HA 状態が not-functional
に変わり、モニター対象オブジェクトの障害を示します。
上記のフェイルオーバーのトリガー条件に加えて、管理者がデバイスを一時停止した場合、ま
たはプリエンプションが発生した場合も、フェイルオーバーが引き起こされます。
PA-3000 シリーズ、PA-5000 シリーズ、および PA-7050 のファイアウォールでは、内部ヘルス
チェックに失敗するとフェイルオーバーが引き起こされる場合があります。このヘルス チェッ
クは設定変更不可能で、有効時はファイアウォール内のすべてのコンポーネントに対して動作
状態を検証します。
146
高可用性
HA 概要
高可用性
HA タイマー
高可用性(HA)タイマーは、ファイアウォール障害の検出およびフェイルオーバーのトリガー
に使用します。HA タイマーの設定時に煩雑さを軽減するため、追加された [ 推奨 ]、[ アグレッ
シブ ] および [ 詳細 ] という 3 つのプロファイルから選択できます。これらのプロファイルで
は、特定のファイアウォール プラットフォームに最適な HA タイマー値が自動入力され、HA の
デプロイメント速度を高めることができます。
通常のフェイルオーバー タイマー設定には [ 推奨 ] プロファイルを使用し、高速なフェイルオー
バー タイマー設定には [ アグレッシブ ] プロファイルを使用します。[ 詳細 ] プロファイルでは、
ネットワーク要件に合わせてタイマー値をカスタマイズできます。
以下の表に、プロファイルに含まれる各タイマーと、異なるハードウェア モデルでの現在の事
前設定値を示します。これらの値は、現時点でのものであり、以降のリリースでは変わる可能
性があります。
タイマー
説明
PA-7050
PA-2000 シリーズ
Panorama VM
PA-5000 シリーズ
PA-500 シリーズ
M-100
PA-4000 シリーズ
PA-200 シリーズ
PA-3000 シリーズ
VM-Series
プラットフォーム別の現在の推奨 / アグレッシブ値
パス モニターまたはリン 0/0
ク モニターに障害が発生
した後にファイアウォー
ルがアクティブのままで
い る 時 間。隣 接 す る デ バ
イスが偶発的にフラッピ
ングすることによる HA の
フェイルオーバーを回避
す る た め に は、こ の 設 定
をお勧めします。
0/0
0/0
プリエンプション パッシブ デバイスまたは 1/1
ホールド タイム
アクティブなセカンダリ
デ バ イ ス が、ア ク テ ィ ブ
デバイスまたはアクティ
ブなプライマリ デバイス
として引き継ぐまでに待
機する時間。
1/1
1/1
ハートビート間隔 HA ピアが ICMP ping 形式 1000/1000
でハートビート メッセー
ジを交換する頻度。
2000/1000
2000/1000
モニター障害時
ホールド アップ
タイム
高可用性
147
HA 概要
タイマー
高可用性
説明
PA-7050
PA-2000 シリーズ
Panorama VM
PA-5000 シリーズ
PA-500 シリーズ
M-100
PA-4000 シリーズ
PA-200 シリーズ
PA-3000 シリーズ
VM-Series
プラットフォーム別の現在の推奨 / アグレッシブ値
プロモーション
ホールド タイム
パッシブ デバイス(アク 2000/500
ティブ / パッシブ モードの
場 合)ま た は ア ク テ ィ ブ
なセカンダリ デバイス
(アクティブ / アクティブ
モードの場合)が、HA ピ
アとの通信が失われた後
でアクティブ デバイスま
たはアクティブなプライマ
リ デバイスとして引き継
ぐまでに待機する時間。こ
のホールド タイムは、ピ
アの障害宣言が行われた後
に開始されます。
2000/500
2000/500
追加のマスター
ホールド アップ
タイム
こ の 時 間 間 隔 は、Monitor 500/500
Fail Hold Up Time と同じイ
ベントに適用されます
(範囲は 0 ~ 60000 ミリ秒、
デフォルトは 500 ミリ秒)。
追加 の 時 間 間 隔 は、ア ク
ティブ / パッシブ モードの
アクティブ デバイスとア
クティブ /アクティブ モー
ドのアクティブなプライ
マリ デバイスにのみ適用
さ れ ま す。両 方 の デ バ イ
スで同じリンク /パス モニ
ターの障害が同時に発生
した場合にフェイルオー
バーを回避するために
は、こ の タ イ マ ー を お 勧
めします。
500/500
7000/5000
148
高可用性
HA 概要
高可用性
タイマー
説明
PA-7050
PA-2000 シリーズ
Panorama VM
PA-5000 シリーズ
PA-500 シリーズ
M-100
PA-4000 シリーズ
PA-200 シリーズ
PA-3000 シリーズ
VM-Series
プラットフォーム別の現在の推奨 / アグレッシブ値
Hello 間隔
もう一方のファイアウォー 8000/8000
ルの HA プログラムが動作
していることを確認するた
めの hello パケットの送信間
隔(ミ リ 秒 単 位)。範 囲
は、す べ て の プ ラ ッ ト
フォームで 8000 ~ 60000
ミリ秒(デフォルトは 8000
ミリ秒)です。
8000/8000
8000/8000
最大フラップ数
フ ラ ッ プ は、フ ァ イ ア 3/3
ウォールが前回の非アク
ティブ状態発生から 15 分
以内に再び非アクティブ
状態になるとカウントさ
れ ま す。こ の 値 は、許 容
する最大フラップ数を示
し ま す(範 囲 は 0 ~ 16、
デフォルトは 3)。フラッ
プ数がこの最大数に達す
るとファイアウォールが
サスペンドしたと判断さ
れてパッシブ ファイア
ウォールが引き継ぎます。
3/3
該当なし
高可用性
149
アクティブ / パッシブ HA のセットアップ
高可用性
アクティブ / パッシブ HA のセットアップ

アクティブ / パッシブ HA の前提条件

アクティブ / パッシブ HA の設定ガイドライン

アクティブ / パッシブ HA の設定

フェイルオーバー条件の定義

フェイルオーバーの確認
アクティブ / パッシブ HA の前提条件
Palo Alto Networks ファイアウォールで高可用性をセットアップするには、次の前提条件を満た
すファイアウォールのペアが必要です。

同じモデル — ペアの両方のデバイスが同じハードウェアまたは仮想マシンのモデルでなけれ
ばなりません。

同じバージョンの PAN OS — 両方のデバイスで同じバージョンの PAN OS を実行していて、
両方のアプリケーション、URL、および脅威データベースで最新の状態を保つ必要がありま
す。また、同じ複数の仮想システム(シングルまたはマルチ vsys)機能を備えている必要が
あります。

同タイプのインターフェイス — 専用の HA リンク、またはインターフェイス タイプを HA
に設定した管理ポートとインバンド ポートの組み合わせです。

–
デバイス ペア間の HA1(コントロール リンク)接続の IP アドレスを決定します。ピア
が直結されている場合、または同じスイッチに接続されている場合は、両方の HA1 IP ア
ドレスが同じサブネット上になければなりません。
専用の HA ポートを持たないデバイスでは、管理ポートをコントロール リンクの接続に
使用できます。管理ポートを使用すると、両方のデバイスで管理プレーン間の通信を直
接接続できます。ただし、管理ポートはデバイス間で直結できないため、ネットワーク
全体でこれら 2 つのインターフェイスを接続するルートがあることを確認してください。
–
レイヤー 3 を HA2(データ)接続の転送方法として使用する場合、HA2 リンクの IP アド
レスを決定する必要があります。経路指定されたネットワークを介して HA2 接続の通信
を行う必要がある場合は、レイヤー 3 のみを使用します。HA2 リンクの IP サブネット
は、HA1 リンクのサブネットまたはファイアウォール上のデータ ポートに割り当てられ
たその他のサブネットと重複してはなりません。
同一ライセンス — ライセンスはデバイス固有のものであるため、ほかのデバイスと共有する
ことはできません。そのため、両方のデバイスで同一のライセンスを取得する必要がありま
す。両方のデバイスに同一のライセンスがない場合、設定情報を同期する、または等価性を
管理してシームレスにフェイルオーバーを発生させることができません。
既存のファイアウォールがあり、HA 用に新しいファイアウォールを追加する場合、その新し
いファイアウォールに既存の設定が存在する場合は、新しいファイアウォールでファクトリ リ
セットを実行することをお勧めします。これにより、新しいファイアウォールをクリーンな設
定にすることができます。HA を設定したら、クリーンな設定を使用して、プライマリ デバイ
スで新しく導入したデバイスに設定を同期します。
150
高可用性
高可用性
アクティブ / パッシブ HA のセットアップ
アクティブ / パッシブ HA の設定ガイドライン
アクティブ(PeerA)およびパッシブ(PeerB)のペアを HA でセットアップするには、いくつか
のオプションを両方のデバイスで同一の設定にし、それ以外のオプションを各デバイスで個別
に(一致しないように)設定する必要があります。これらの HA 設定は、デバイス間で同期され
ません。同期されるものと、されないものの詳細は、『HA Synchronization』(英語)を参照して
ください。
HA でデバイスを設定する手順については、「アクティブ / パッシブ HA の設定」を参照してく
ださい。
次の表に、両方のデバイスで同一にする必要のある設定を示します。
PeerA と PeerB で同一にする設定
• HA は両方のデバイスで有効にする必要があります。
• 両方のデバイスに同じグループ ID の値を割り当てる必要があります。グループ ID の値は、設定した
すべてのインターフェイスに対する仮想 MAC アドレスの作成に使用します。仮想 MAC アドレスの形
式は「00-1B-17:00: xx: yy」で、次のような意味を持ちます。
00-1B-17: ベンダー ID、00: 固定、xx: HA グループ ID、yy: インターフェイス ID。
新しいアクティブ デバイスがタスクを引き継ぐ場合、接続された新しいアクティブ メンバーの各イン
ターフェイスから Gratuitous ARP が送信され、接続されたレイヤー 2 スイッチに仮想 MAC アドレスの
新しい場所が通知されます。
• インバンド ポートを使用する場合、HA1 リンクと HA2 リンクのインターフェイス タイプを HA に設
定する必要があります。
• HA モードを [ アクティブ / パッシブ ] に設定する必要があります。
• 必要に応じて、両方のデバイスでプリエンプションを有効にする必要があります。ただし、デバイス
優先度は異なる値にする必要があります。
• 必要に応じて、HA1 リンク(HA ピア間の通信用)の暗号化を両方のデバイスで設定する必要があり
ます。
• 使用中の HA1 と HA1 のバックアップ ポートの組み合わせに応じて、次の推奨事項に基づき、ハート
ビート バックアップを有効にするかどうかを判断してください。
• HA1: 専用の HA1 ポート
HA1 バックアップ : インバンド ポート
推奨 : ハートビート バックアップを有効にする
• HA1: 専用の HA1 ポート
HA1 バックアップ : 管理ポート
推奨 : ハートビート バックアップを有効にしない
• HA1: インバンド ポート
HA1 バックアップ : インバンド ポート
推奨 : ハートビート バックアップを有効にする
• HA1: 管理ポート
HA1 バックアップ : インバンド ポート
推奨 : ハートビート バックアップを有効にしない
高可用性
151
アクティブ / パッシブ HA のセットアップ
高可用性
以下の表に、各デバイスで個別に設定する必要のある項目を示します。
個別の設定
PeerA
PeerB
コントロール リンク このデバイス(PeerA)で設定されている このデバイス(PeerB)で設定されて
HA1 リンクの IP アドレス。
いる HA1 リンクの IP アドレス。
専用の HA ポートを持たないデバイスでは、管理ポートをコントロール リンクの
IP アドレスに使用します。
デフォルトでは、HA2 リンクでレイヤー 2 デフォルトでは、HA2 リンクでレイ
ヤー 2 の Ethernet が使用されます。
の
Ethernet が使用されます。
データ リンク情報
は、HA を有効にし レイヤー 3 接続を使用する場合、このデバ レイヤー 3 接続を使用する場合、こ
て デ バ イ ス 間 の コ イス(PeerA)のデータ リンクの IP アドレ のデバイス(PeerB)のデータ リンク
の IP アドレスを設定します。
ントロール リンク スを設定します。
を有効にした後
に、デ バ イ ス 間 で
同期されます。
データ リンク
デバイス優先度
(必 須、プ リ エ ン
プションが有効な
場合)
アクティブにするデバイスの数値を、ピア
よりも小さくする必要があります。そのた
め、PeerA をアクティブ デバイスとして機
能させる場合、デフォルト値の 100 をその
ままにしておき、PeerB の値をこれよりも
大きくします。
PeerB がパッシブの場合、デバイス優
先度の値を PeerA よりも大きく設定
し ま す。た と え ば、優 先 度 の 値 を
110 に設定します。
リンク モニタリン
グ — このデバイス
の主要トラフィッ
クを処理する 1 つ以
上の物理インター
フェイスをモニタ
リ ン グ し、失 敗 条
件を定義します。
モニタリングするファイアウォール上の物
理インターフェイスを選択し、フェイル
オーバーを引き起こす失敗条件([ いずれか ]
または [ すべて ])を定義します。
このファイアウォール上でモニタリ
ングする同様の物理インターフェイ
ス群を選択し、フェイルオーバーを引
き起こす失敗条件([ すべて ] または
[ いずれか ])を定義します。
152
高可用性
アクティブ / パッシブ HA のセットアップ
高可用性
個別の設定
PeerA
PeerB
パス モニタリング —
ファイアウォール
で ICMP ping を使用
して応答状態を確
認できる、1 つ以上
の宛先 IP アドレス
をモニタリングし
ます。
失敗条件([ すべて ] または [ いずれか ])、
ping 間隔、および ping の実行回数を定義し
ます。相互接続されたネットワーク デバイ
スの可用性をモニタリングする場合は、特
にこれらの定義が役に立ちます。たとえ
ば、サーバーに接続されたルーターの可用
性、サーバー自体への接続状態、またはト
ラフィック フロー中に存在するその他いく
つかの主要デバイスへの接続状態をモニタ
リングする場合などです。
PeerB でも、モニタリングしてフェイ
ルオーバーのトリガー条件を判断で
きる同様のデバイス群または宛先 IP
アドレス群を選択します。失敗条件
([ すべて] または [いずれか])、ping
間隔、および ping の実行回数を定義
します。
モニタリング中のノード / デバイスが応答
していない可能性がある場合、特に負荷を
受けている場合は、パス モニタリングの障
害の原因となり、フェイルオーバーが引き
起こされるため、このような状態がないか
どうかを確認します。
アクティブ / パッシブ HA の設定
以下の手順は、下のトポロジの例に示すようなアクティブ / パッシブ デプロイメントで、ファ
イアウォールのペアを設定する方法を示したものです。
高可用性
153
アクティブ / パッシブ HA のセットアップ
高可用性
デバイスの接続および設定
ステップ 1
HA ポートを接続して、デバイ • 専用の HA ポートを持つデバイスの場合、Ethernet ケー
ス間の物理的な接続をセット
ブルを使用して、デバイス ペアの専用の HA1 ポートと
アップします。
HA2 ポートを接続します。デバイス同士を直結する場合
は、クロスオーバー ケーブルを使用します。
• 専用の HA ポートを持たないデバイスの場合、HA2 リン
ク用とバックアップ HA1 リンク用に 2 つのデータ イン
ターフェイスを選択します。次に、Ethernet ケーブルを
使用して、両デバイス間でこれらのインバンド HA イン
ターフェイスを接続します。
HA1 リンク用の管理ポートを使用して、ネットワーク全体
を通じて管理ポート同士を接続できることを確認します。
ペアのうちどちらかのデバイスを選択して、次のタスクを完了します。
ステップ 2
ステップ 3
154
ping を管理ポートで有効にし 1.
ます。
ping を有効にすることで、管理
ポートをハートビート バック 2.
アップの情報交換に使用でき
ます。
[Device] > [ セットアップ ] > [ 管理 ] の順に選択して、
画面上にある [ 管理インターフェイス設定 ] セクション
で編集アイコン をクリックします。
デバイスに専用の HA ポートが 1.
ない場合、データ ポートを 2.
HA ポートとして機能するよ
うに設定します。
3.
専用の HA ポートを持つデバ
イスの場合、ステップ 4 に進み
ます。
4.
[Network] > [ インターフェイス ] の順に選択します。
インターフェイスで許可されるサービスとして [Ping] を
選択します。
使用するポート上でリンクがアップになっているこ
とを確認します。
インターフェイスを選択してタイプを HA に指定し
ます。
[ リンク速度 ] および [ リンク デュプレックス ] を必要
に応じて設定します。
高可用性
アクティブ / パッシブ HA のセットアップ
高可用性
デバイスの接続および設定(続き)
ステップ 4
ステップ 5
高可用性
コントロール リンクの接続を 1.
セットアップします。
[Device] > [ 高可用性 ] > [ 全般 ] の順に選択し、[ コン
トロール リンク(HA1)] セクションを編集します。
次の例は、インターフェイス タ 2.
イプを HA に設定したインバン
ド ポートを示しています。
管理ポートをコントロール リ
ンクとして使用するデバイス
の場合、IP アドレス情報が自
動的に入力されています。
[ ポート ] ドロップダウン メニューから、HA1 リンクと
して使用するために配線したインターフェイスを選
択します。IP アドレスおよびネットマスクを設定し
ます。
HA1 インターフェイスがそれぞれ別のサブネット上
にある場合のみ、ゲートウェイの IP アドレスを入力
します。デバイス同士を直結している場合は、ゲー
トウェイを追加しないでください。
(任意)コントロール リンク 1.
接続の暗号化を有効にします。
HA キーをデバイスからエクスポートして、ピア デバ
イスにインポートします。
一般的に、2 つのデバイスが直
接接続されていない場合、す
なわちポートがスイッチまた
はルーターに接続されている
場合に、リンクを保護するた
めにこの設定を使用します。
a. [Device] > [ 証明書の管理 ] > [ 証明書 ] の順に選択し
ます。
b. [HA キーのエクスポート ] を選択します。ピア デバ
イスがアクセスできるネットワーク上の場所に、HA
キーを保存します。
c. ピア デバイスで [Device] > [ 証明書の管理 ] > [ 証明
書 ] の順に選択し、[HA キーのインポート ] を選択し
てキーを保存した場所を検索し、そのキーをピア デ
バイスにインポートします。
2.
[Device] > [ 高可用性 ] > [ 全般 ] の順に選択し、[ コン
トロール リンク(HA1)] セクションを編集します。
3.
[ 暗号化を有効 ] を選択します。
155
アクティブ / パッシブ HA のセットアップ
高可用性
デバイスの接続および設定(続き)
ステップ 6
156
バックアップ コントロール リ 1.
ンクの接続をセットアップし
ます。
[Device] > [ 高可用性 ] > [ 全般 ] の順に選択し、[ コン
トロールリンクのバックアップ ] セクションを編集し
ます。
2.
HA1 バックアップ インターフェイスを選択し、IP ア
ドレスとネットマスクを設定します。
高可用性
アクティブ / パッシブ HA のセットアップ
高可用性
デバイスの接続および設定(続き)
ステップ 7
デバイス間のデータ リンク接 1.
続(HA2)とバックアップ HA2
接続をセットアップします。
2.
データ リンク接続のインターフェイスを選択します。
3.
[転送 ] の方法を選択します。デフォルトでは [ethernet]
が選択されており、HA ペアが直結されている場合、
またはスイッチ経由で接続されている場合に機能し
ます。ネットワーク経由でデータ リンク トラフィッ
クをルーティングする必要がある場合は、[IP] または
[UDP] を転送方法に指定します。
4.
転送方法として [ip] または [udp] を使用する場合は、
IP アドレスとネットマスクを入力します。
5.
[ セッション同期を有効にする ] が選択されていることを
確認します。
6.
HA ピア間で HA2 データ リンク上のモニタリングを
有効にするには、[HA2 キープアライブ ] を選択しま
す。設定 され て いる しき い値(デフ ォル トは 10000
ミリ秒)に基づいて障害が発生した場合、定義され
ているアクションが発生します。アクティブ / パッシ
ブ設定の場合、HA2 キープアライブの障害が発生す
ると、「critical」レベルのシステム ログ メッセージ
が生成されます。
注
7.
高可用性
[Device] > [ 高可用性 ] > [ 全般 ] の順に選択し、[ デー
タ リンク(HA2)] セクションを編集します。
[HA2 キープアライブ ] オプションは、HA ペアの両方
のデバイス、または一方のデバイスに設定できま
す。このオプションが一方のデバイスでのみ有効な
場合、そのデバイスのみからキープアライブ メッ
セージが送信されます。もう一方のデバイスには、
障害が発生したかどうかが通知されます。
[ データ リンクのバックアップ ] セクションを編集し、
インターフェイスを選択し、IP アドレスとネットマ
スクを追加します。
157
アクティブ / パッシブ HA のセットアップ
高可用性
デバイスの接続および設定(続き)
ステップ 8
コントロール リンクで専用 HA 1.
ポートまたはインバンド ポー
ト を 使 用 し て い る 場 合 は、 2.
ハートビート バックアップを
有効にします。
管理ポートをコントロール リ
ン クに 使用 し てい る場 合は、
ハートビート バックアップを
有効にする必要はありません。
ステップ 9
デバイス優先度を設定してプリ 1.
エンプションを有効にします。
[Device] > [ 高可用性 ] > [ 全般 ] の順に選択し、[ 選択
設定 ] セクションを編集します。
[ ハートビート バックアップ ] を選択します。
冗長なハートビートおよび Hello メッセージを送信す
る場合は、ハートビート バックアップのリンクを使用
します。ハートビートをデバイス間で送信できるよう
にするには、ピア同士で管理ポートをルーティングで
きることを確認する必要があります。
[Device] > [ 高可用性 ] > [ 全般 ] の順に選択し、[ 選択
設定 ] セクションを編集します。
特定のデバイスがアクティブ 2. [ デバイス優先度 ] で優先度の数値を設定します。優
先度を高くするデバイスの数値を小さく設定する必
デバイスに指定されているこ
要があります。
とを確認する場合のみ、この設
定が必要です。詳細は、
「デバ 注
両方のファイアウォールで優先度の値が同じ場合、
イス優先度およびプリエンプ
HA1 コントロール リンクで MAC アドレスが最も小
ション」を参照してください。
さいファイアウォールがアクティブ デバイスとなり
ます。
3.
[ プリエンプティブ ] を選択します。
アクティブ デバイスとパッシブ デバイスの両方でプリ
エンプティブを有効にする必要があります。
ステップ 10 (任意)フェイルオーバー タ 1.
イマーを変更します。
デフォルトでは、HA タイマー 2.
プロファイルが、ほとんどの
HA デプロイメントに適して
いる [ 推奨 ] プロファイルに設
定されています。
注
158
[Device] > [ 高可用性 ] > [ 全般 ] の順に選択し、[ 選択
設定 ] セクションを編集します。
フェイルオーバーを高速でトリガーするには [ アグレッ
シブ ] プロファイルを選択し、設定でフェイルオーバー
のトリガーにカスタム値を定義するには [ 詳細 ] を選
択します。
プロファイルに含まれる個々のタイマーの事前設定
値を表示するには、[ 詳細 ] を選択して [ 推奨をロー
ド ] または [ アグレッシブをロード ] をクリックしま
す。お使いのハードウェア モデルの事前設定値が画
面に表示されます。
高可用性
アクティブ / パッシブ HA のセットアップ
高可用性
デバイスの接続および設定(続き)
ステップ 11 (任意、パッシブ デバイスで
設定している場合のみ)パッシ
ブ デバイスで HA ポートのリン
ク ステータスを変更します。
リンク状態を [ 自動 ] に設定すると、フェイルオーバーが発
生した場合にパッシブ デバイスがタスクを引き継ぐまでの
時間を短縮できます。また、リンク状態をモニタリングす
ることもできます。
注
パッシブ デバイスでリンク状態をアップにして、物理イン
ターフェイスの稼働状態および配線状態を保つには、次の
手順を実行します。
1. [Device] > [ 高可用性 ] > [ 全般 ] の順に選択し、[ アク
ティブ / パッシブ設定 ] セクションを編集します。
パッシブ リンクの状態はデフォルトで
[ シャットダウン ] が選択されていま
す。HA を有効にすると、アクティブ
デバイスの HA ポートのリンク状態が
緑に変わり、パッシブ デバイスの HA
ポートが停止して赤く表示されます。
2.
[ パッシブ リンク状態 ] を [ 自動 ] に設定します。
[ 自動 ] オプションを設定すると、フェイルオーバーが
発生した場合にパッシブ デバイスがタスクを引き継ぐ
までの時間を短縮できます。
注
インターフェイスの表示は(配線されていて稼働して
い る こ と を 示 す)緑 に な っ て い ま す が、フ ェ イ ル
オーバーが引き起こされるまでは、すべてのトラ
フィックが破棄されます。
パッシブ リンク状態を変更する場合、デバイスのリ
ンク状態のみに基づいて、隣接するデバイスからパッ
シブ ファイアウォールにトラフィックが転送されて
いないことを確認してください。
高可用性
159
アクティブ / パッシブ HA のセットアップ
高可用性
デバイスの接続および設定(続き)
ステップ 12 HA を有効にします。
1.
[Device] > [ 高可用性 ] > [ 全般 ] の順に選択し、[ セッ
トアップ ] セクションを編集します。
2.
[HA の有効化 ] を選択します。
3.
[ グループ ID] を設定します。この ID は、ネットワーク
上の HA ペアを一意に識別するもので、複数の HA ペア
でネットワーク上の同じブロードキャスト ドメイン
を共有する場合に必要となります。
4.
モードを [ アクティブ パッシブ ] に設定します。
5.
[設定の同期化の有効化] を選択します。この設定によ
り、アクティブ デバイスとパッシブ デバイスの間で
設定を同期できるようになります。
6.
[ ピア HA IP アドレス ] で、ピア デバイスのコント
ロール リンクに割り当てられた IP アドレスを入力し
ます。
専用の HA ポートを持たないデバイスにおいて、ピ
アが HA1 リンクとして管理ポートを使用している場
合、ピアの管理ポートの IP アドレスを入力します。
7.
ステップ 13 設定の変更を保存します。
[ バックアップ側 ピア HA IP アドレス ] を入力します。
[Commit] をクリックします。
ステップ 14 HA ペアのもう一方のデバイス
でステップ 2 ~ ステップ 13 を
実行します。
ステップ 15 両方のデバイスで設定が完了 1.
したら、アクティブ / パッシ
ブ HA でそれらのデバイスが 2.
ペアになっていることを確認
します。
3.
160
両方のデバイスで [Dashboard] にアクセスして、[ 高可
用性 ] ウィジェットを表示します。
アクティブ デバイスで、[ピアと同期] リンクをクリッ
クします。
下に示すように、デバイスがペアになっていて同期
されていることを確認します。
高可用性
アクティブ / パッシブ HA のセットアップ
高可用性
デバイスの接続および設定(続き)
パッシブ デバイス: ローカル デ
バイスの状態が [passive]、設
定が [synchronized] と表示さ
れます。
高可用性
アクティブ デバイス : ローカル デバイスの状
態が [active]、設定が [synchronized] と表示
されます。
161
アクティブ / パッシブ HA のセットアップ
高可用性
フェイルオーバー条件の定義
フェイルオーバーのトリガーの設定
ステップ 1
ステップ 2
リンク モニタリングを設定す 1.
るには、モニタリングするイ
ン タ ー フ ェ イ ス を 定 義 し ま 2.
す。これらのインターフェイ
スでリンク状態を変更する
3.
と、フェイルオーバーが引き
起こされます。
(任意)デバイスで(前の手 1.
順で)設定したリンク グルー 2.
プの失敗条件を変更します。
[Device] > [ 高可用性 ] > [ リンクおよびパスのモニタリ
ング ] の順に選択します。
[ リンク グループ ] セクションで [ 追加 ] をクリックし
ます。
[ リンク グループ ] 画面で [ 名前 ] を指定して、モニ
タ リ ン グ す る イ ン タ ー フ ェ イ ス を 追 加 し、そ の グ
ループの [ 失敗条件 ] を選択します。定義するリンク
グループが [ リンク グループ ] セクションに追加され
ます。
[ リンク モニタリング ] セクションを選択します。
[ 失敗条件 ] を [ すべて ] に設定します。
デフォルトの設定は [ いずれか ] です。
デフォルトでは、モニタリン
グ対象のリンクのいずれかに
障害が発生すると、デバイス
でフェイルオーバーが引き起
こされます。
ステップ 3
162
パス モニタリングを設定する 1.
に は、フ ァ イ ア ウ ォ ー ル で
ping を実行してネットワーク
接続を確認するための宛先 IP
アドレスを定義します。
[Device] > [ 高可用性 ] > [ リンクおよびパスのモニタリ
ング ] の順に選択すると表示される [ パス グループ ] セ
クションで、[ バーチャル ワイヤーパスの追加 ]、[VLAN
パスの追加 ]、[ 仮想ルーターパスの追加 ] のいずれか
を選択します。
2.
[名前] ドロップダウン リストから適切な項目を選択し、
モニタリングする送信元 IP と宛先 IP のアドレスを
画面の指示に従って [ 追加 ] します。次に、グループ
の [ 失敗条件 ] を選択します。定義するパス グループ
が [ パス グループ ] セクションに追加されます。
高可用性
アクティブ / パッシブ HA のセットアップ
高可用性
フェイルオーバーのトリガーの設定 (続き)
ステップ 4
(任意)デバイスで設定した [ 失敗条件 ] を [ すべて ] に設定します。
すべてのパス グループの失敗 デフォルトの設定は [ いずれか ] です。
条件を変更します。
デフォルトでは、モニター対
象のいずれかのパスに障害が
発生すると、デバイスでフェ
イルオーバーが引き起こされ
ます。
ステップ 5
変更を保存します。
[Commit] をクリックします。
SNMPv3 を使用してファイアウォールをモニターする場合は、SNMPv3 エンジン ID は各デバイスで一意で
す。エンジン ID は HA ペア間で同期されません。そのため、HA ペアの各デバイスを個別にモニターできま
す。SNMP の設定手順の詳細は、「SNMP トラップの宛先のセットアップ」を参照してください。
エンジン ID は、VM-Series ファイアウォールでデバイスの一意のシリアル番号を使用して生成されるため、各
ファイアウォールに一意のエンジン ID を取得するには有効なライセンスを適用する必要があります。
高可用性
163
アクティブ / パッシブ HA のセットアップ
高可用性
フェイルオーバーの確認
HA の設定が正しく動作することをテストするには、手動でフェイルオーバーを引き起こし
て、デバイスの状態が正しく移行することを確認します。
フェイルオーバーの確認
ステップ 1
アクティブ デバイスをサスペ [Device] > [ 高可用性 ] > [ 操作コマンド ] タブの順に選択す
ンドにします。
ると表示される [ ローカルデバイスをサスペンド ] リンク
をクリックします。
ステップ 2
パッシブ デバイスがアクティ [Dashboard] の [ 高可用性 ] ウィジェットで、パッシブ デ
ブ デ バ イ ス と し て タ ス ク を バイスの状態が [ アクティブ ] に変わっていることを確認
引 き 継 い で い る こ と を 確 認 します。
します。
ステップ 3
サスペンドされたデバイスを 1.
稼働状態に戻します。プリエ
ンプティブを有効にしている
場合は、しばらく待ってから
プリエンプションが発生して
いることを確認します。
前にサスペンドにしたデバイスで、[Device] > [ 高可用
性 ] > [ 操作コマンド ] タブの順に選択して、[ ローカル
デバイスを稼働状態にする ] リンクを選択します。
2.
[Dashboard] の [ 高可用性 ] ウィジェットで、デバイス
がアクティブ デバイスとしてタスクを引き継いでい
ることと、ピアがパッシブ状態に変わっていること
を確認します。
164
高可用性
レポートとログ
このファイアウォールには、ネットワークでのアクティビティのモニタリングに役立つレポート
機能とログ機能があります。ログをモニタリングして情報をフィルタリングし、事前定義され
たビューまたはカスタマイズされたビューで構成されるレポートを生成できます。たとえば、事
前定義されたテンプレートを使用してユーザーのアクティビティに関するレポートを生成した
り、レポートとログを分析して、ネットワーク上での異常な振る舞いの意味を解釈したり、ト
ラフィックのパターンに関するカスタム レポートを生成したりすることができます。以下のト
ピックでは、ファイアウォールでレポートおよびログを表示、管理、カスタマイズ、および生
成する方法について説明します。

Dashboard の使用

アプリケーション コマンド センターの使用

アプリケーション スコープの使用

パケット キャプチャの実行

ファイアウォールのモニター

レポートの管理

ログのフィールドの説明の解析
レポートとログ
165
Dashboard の使用
レポートとログ
Dashboard の使用
[Dashboard] タブのウィジットには、ソフトウェアのバージョン、各インターフェイスの動作
状態、リソース使用状況、脅威の最新エントリ(最大 10 個)、設定、システム ログなどのデバ
イスの一般的な情報が表示されます。使用可能なウィジットすべてがデフォルトで表示されま
すが、各管理者は必要に応じて個々のウィジットを削除および追加できます。
Dashboard や個々のウィジェットを更新するには、更新アイコン
をクリックします。自動更
新間隔を変更するには、ドロップダウン リストから間隔([1 分 ]、[2 分 ]、[5 分 ]、または [ 手
動 ])を選択します。[Dashboard] にウィジットを追加するには、[ ウィジット ] ドロップダウンを
クリックしてカテゴリを選択し、次にウィジット名を選択します。ウィジットを削除するに
は、タイトル バーの
をクリックします。
以下の表に、[Dashboard] のウィジットの説明を示します。
Dashboard のチャート
説明
上位アプリケーション
セッション数が最も多いアプリケーションが表示されます。ブロック サ
イズでセッションの相対数を示し(マウス カーソルをブロックの上に移
動すると数が表示されます)、色でセキュリティのリスクを示します(緑
(リスク低)~ 赤(リスク高))。アプリケーションをクリックして、
プロファイルを表示します。
上位のハイリスク
アプリケーション
[ 上位アプリケーション ] と似ていますが、ここにはセッション数が最も多
いハイリスク アプリケーションが表示されます。
一般的な情報
デバイス名、モデル、PAN-OS ソフトウェアのバージョン、アプリケーショ
ン、脅威、URL フィルタリング定義のバージョン、現在の日時、および
最後に再起動したときからの経過時間が表示されます。
Interface Status
各 イ ン タ ー フ ェ イ ス が、有 効(緑)、無 効(赤)、ま た は 不 明 な 状 態
(灰)であることを示します。
脅威ログ
最新 10 エントリの脅威の ID、アプリケーション、および日時が表示され
ます。脅威の ID は、マルウェアに関する説明、または URL フィルタリン
グ プロファイルに違反する URL を示します。
設定ログ
最 新 10 エ ン ト リ の 管 理 者 の ユ ー ザ ー 名、ク ラ イ ア ン ト(Web ま た は
CLI)、および日時が表示されます。
データ フィルタリング ログ
直近 60 分間に生成されたログの説明と日時が表示されます。
URL フィルタリング ログ
直近 60 分間に生成されたログの説明と日時が表示されます。
システム ログ
最新 10 エントリの説明と日時が表示されます。
注
Config installed エントリは、設定の変更が正常にコミットされた
ことを示します。
システム リソース
管理 CPU 使用率、データ プレーン使用率、およびファイアウォールで確
立されたセッションの数を示すセッション数が表示されます。
ログインしている管理者
現在ログインしている各管理者の送信元 IP アドレス、セッション タイプ
(Web または CLI)、およびセッションの開始時刻が表示されます。
166
レポートとログ
Dashboard の使用
レポートとログ
Dashboard のチャート
説明
ACC リスク ファクタ
この 1 週間に処理されたネットワーク トラフィックの平均リスク ファク
タ(1 ~ 5)が表示されます。値が大きいほどリスクが大きくなります。
高可用性
[ 高可用性(HA)] を有効にすると、ローカルおよびピア デバイスの HA
状態(緑(アクティブ)、黄(パッシブ)、黒(その他))が表示されま
す。HA についての詳細は、「高可用性」を参照してください。
ロック
管理者によって設定された設定ロックが表示されます。
レポートとログ
167
アプリケーション コマンド センターの使用
レポートとログ
アプリケーション コマンド センターの使用
[ACC](アプリケーション コマンド センター)タブには、以下の 5 つのチャートが表示され
ます。

アプリケーション

URL フィルタリング

脅威防御

データ フィルタリング

HIP マッチ
[ACC] タブには、ネットワーク上のトラフィックの傾向および履歴が視覚的に表示されます。
[ACC] タブには、すべてのネットワーク トラフィックの全体的なリスク レベル、ネットワーク
で最もアクティブで最高リスクのアプリケーションについて検出された脅威のリスク レベルと
数、および使用回数が最も多いアプリケーション カテゴリと各リスク レベルのすべてのアプリ
ケーションで検出された脅威の数が表示されます。ACC を使用して、過去の時間、日、週、
月、または任意のカスタム定義の期間におけるアプリケーション データを表示します。
[リスク] レベル(1 = 最低 ~ 5 = 最高)は、アプリケーションがファイルを共有しているか、
誤用が起こりやすいか、ファイアウォールを回避しようとしているかなどの基準に基づき、ア
プリケーションの相対セキュリティ リスクを示します。
168
レポートとログ
レポートとログ
アプリケーション コマンド センターの使用
以下の表に、[ACC] タブに表示されるチャートの説明を示します。
ACC のチャート
説明
アプリケーション
以下の属性別にグループ化してアプリケーションの情報を表示します。
• アプリケーション
• 高リスク アプリケーション
• カテゴリ
• サブ カテゴリ
• テクノロジ
• リスク
該当する場合、各チャートには、セッションの数、送受信されたバイト数、
脅威の数、アプリケーション カテゴリ、アプリケーション サブカテゴリ、
アプリケーション テクノロジ、およびリスク レベルを含めることができ
ます。
URL フィルタリング
以下の属性別にグループ化して URL/ カテゴリ情報を表示します。
• URL カテゴリ
• URL
• ブロックされた URL カテゴリ
• ブロックされた URL
各チャートには、URL、URL カテゴリ、繰り返し回数(アクセスが試行さ
れた回数、該当する場合)を含めることができます。
脅威防御
以下の属性別にグループ化して脅威情報を表示します。
• 脅威
• タイプ
• スパイウェア
• スパイウェア フォンホーム
• スパイウェア ダウンロード
• 脆弱性
• ウイルス
該当する場合、各チャートには、脅威 ID、カウント(発生回数)、セッ
ションの数、およびサブタイプ([vulnerability] など)を含めることができ
ます。
データ フィルタリング
以下の属性別にグループ化して、ファイアウォールでフィルタリン
グされたデータに関する情報を表示します。
• コンテンツ / ファイル タイプ
• タイプ
• ファイル名
レポートとログ
169
アプリケーション コマンド センターの使用
レポートとログ
ACC のチャート
説明
HIP マッチ
以下の属性別にグループ化して、ファイウォールによって収集されたホス
ト情報を表示します。
• HIP オブジェクト
• HIP プロファイル
詳細な情報を表示するには、ACC チャート上のリンクのいずれかをクリックします。詳細ペー
ジが開き、最上位の項目の情報とそれに関連する項目の詳細なリストが表示されます。たとえ
ば、[ アプリケーション ] チャートで [web-browsing] リンクをクリックすると、web-browsing の
[ アプリケーション情報 ] ページが開きます。
170
レポートとログ
レポートとログ
アプリケーション コマンド センターの使用
以下の手順は、[ACC] タブの使用法とビューのカスタマイズ方法を説明しています。
ACC の使用
ステップ 1
[ACC] タブで、ページの上部にある設定の 1 つ以上を変更します。
• ドロップダウンを使用し、[ アプリケーション ]、[URL カテゴリ ]、[ 脅威 ]、[ コンテンツ /
ファイル タイプ ]、および [HIP オブジェクト ] を選択して表示します。
• 仮想システムを使用している場合は、必要に応じて仮想システムを選択します。
• [ 日時 ] ドロップダウンから対象期間を選択します。デフォルトは、[ 過去 1 時間 ] です。
• [ ソート基準 ] ドロップダウンからソート方法を選択します。セッション数別、バイト数
別、脅威数別の降順でチャートをソートできます。デフォルトは、セッション数別
です。
• 選択したソート方法で、[ 一番上へ ] ドロップダウンから、それぞれのチャートに表示す
る上位のアプリケーションおよびアプリケーション カテゴリの数を選択します。
サブミット アイコン
をクリックして、選択した設定を適用します。
ステップ 2
このページの情報に関連するログ ページを開くには、以下に示すように、ページの右上隅
のログのリンクを使用します。ログのコンテキストは、ページの情報に一致しています。
ステップ 3
リストをフィルタリングするには、いずれかの列の項目をクリックします。ログ列名の上
にあるフィルタ バーにその項目が追加されます。目的のフィルタを追加した後に、フィル
タの適用アイコン
をクリックします。
レポートとログ
171
アプリケーション スコープの使用
レポートとログ
アプリケーション スコープの使用
アプリケーション スコープ レポートでは、新しい可視化ツールと分析ツールで疑わしい挙動を
正確に特定できるため、ネットワークの以下の状況を理解するのに役立ちます。

アプリケーション使用状況とユーザー アクティビティの変化

ネットワーク帯域幅の大部分を占有しているユーザーやアプリケーション

ネットワークの脅威
アプリケーション スコープ レポート([Monitor] > [ アプリケーション スコープ ])を使用する
と、異常または予期しない振る舞いを容易に確認できます。各レポートには、ネットワークの
状況を示す、ユーザーがカスタマイズ可能な動的ウィンドウがあります。ACC でチャートの線
や棒にポインターを置くかクリックすると、その特定のアプリケーション、アプリケーション
カテゴリ、ユーザー、または送信元に関する詳細情報を示したウィンドウが開きます。
以下のアプリケーション スコープ レポートを使用できます。

サマリー レポート

変化モニター レポート

脅威モニター レポート

ネットワーク モニター レポート

トラフィック マップ レポート
172
レポートとログ
レポートとログ
アプリケーション スコープの使用
サマリー レポート
サマリー レポートには、使用量が増加した、減少した、および帯域幅の占有量が多い上位 5 つ
のアプリケーション、アプリケーション カテゴリ、ユーザー、および送信元のチャートが表示
されます。
レポートとログ
173
アプリケーション スコープの使用
レポートとログ
変化モニター レポート
変化モニター レポートには、指定した期間の変化が表示されます。たとえば、以下のチャート
は、過去 24 時間と比較して直前の 1 時間に使用量が増加した上位のアプリケーションを示して
います。上位のアプリケーションはセッション数によって決定され、パーセント別にソートさ
れます。
変化モニター レポートには、以下のボタンとオプションが表示されます。
変化モニター レポートの項目
項目の説明
上部バー
上位からいくつの項目を表に表示するかを指定します。
報告される項目のタイプ([ アプリケーション ]、[ アプリ
ケーション カテゴリ ]、[ 送信元 ]、または [ 宛先 ])を決定
します。
指定期間を比較し増加した項目を表示します。
指定期間を比較し減少した項目を表示します。
174
レポートとログ
レポートとログ
変化モニター レポートの項目
アプリケーション スコープの使用
項目の説明
指定期間を比較し新たに検出された項目を表示します。
指定期間を比較し検出されなくなった項目を表示します。
フィルタを適用して、選択した項目のみを表示します。[ な
し ] を選択すると、すべてのエントリが表示されます。
セッション情報またはバイト情報のどちらを表示するかを
指定します。
パーセンテージまたは実増加のどちらでエントリをソート
するかを指定します。
下部バー
変化モニターの比較対象期間を指定します。
レポートとログ
175
アプリケーション スコープの使用
レポートとログ
脅威モニター レポート
脅威モニター レポートには、選択した期間にわたって上位を占める脅威の数が表示されま
す。たとえば、以下の図は、過去 6 時間における上位 10 件の脅威タイプを示しています。
チャートの下の凡例のように、各タイプの脅威が色分けして示されます。脅威モニター レポー
トには、以下のボタンとオプションが表示されます。
脅威モニター レポートのボタン
ボタンの説明
上部バー
上位からいくつの項目を表に表示するかを指定します。
測定される項目のタイプ([ 脅威 ]、[ 脅威カテゴリ ]、[ 送信
元 ]、または [ 宛先 ])を決定します。
フィルタを適用して、選択した種別の項目のみを表示し
ます。
情報を表示するグラフ(積み重ね棒グラフまたは積み重ね
面グラフ)を指定します。
下部バー
表示対象期間を指定します。
176
レポートとログ
レポートとログ
アプリケーション スコープの使用
脅威マップ レポート
脅威マップ レポートには、重大度を含めた脅威の地理的ビューが表示されます。チャートの下
の凡例のように、各タイプの脅威が色分けして示されます。
地図で国をクリックすると拡大されます。縮小するには、画面の右下隅の [Zoom Out] ボタンを
クリックします。脅威マップ レポートには、以下のボタンとオプションが表示されます。
脅威マップ レポートのボタン
ボタンの説明
上部バー
上位からいくつの項目を表に表示するかを指定します。
インバウンド方向(外部から)の脅威を示します。
アウトバウンド方向(外部へ)の脅威を示します。
フィルタを適用して、選択した種別の項目のみを表示し
ます。
下部バー
表示対象期間を指定します。
レポートとログ
177
アプリケーション スコープの使用
レポートとログ
ネットワーク モニター レポート
ネットワーク モニター レポートには、指定した期間にわたって複数のネットワーク アプリ
ケーションによって占有されていた帯域幅が表示されます。図の下の凡例のように、各タイプの
ネットワーク アプリケーションが色分けして示されます。たとえば、以下の図は、セッション
情報に基づく過去 7 日間のアプリケーション帯域幅を示しています。
ネットワーク モニター レポートには、以下のボタンとオプションがあります。
ネットワーク モニター レポートのボタン
ボタンの説明
上部バー
上位からいくつの項目を表に表示するかを指定します。
報告される項目のタイプ([ アプリケーション ]、[ アプリケー
ション カテゴリ ]、[ 送信元 ]、または [ 宛先 ])を決定します。
フィルタを適用して、選択した項目のみを表示します。
[ なし ] を選択すると、すべてのエントリが表示されます。
セッション情報またはバイト情報のどちらを表示するかを
指定します。
情報を表示するグラフ(積み重ね棒グラフまたは積み重ね
面グラフ)を指定します。
下部バー
表示対象期間を指定します。
178
レポートとログ
レポートとログ
アプリケーション スコープの使用
トラフィック マップ レポート
トラフィック マップ レポートには、セッション数またはフロー数に応じて、トラフィック フ
ローの地理的ビューが表示されます。
チャートの下の凡例のように、各タイプのトラフィックが色分けして示されます。トラフィッ
ク マップ レポートには、以下のボタンとオプションがあります。
トラフィック マップ レポートのボタン
ボタンの説明
上部バー
上位からいくつの項目を表に表示するかを指定します。
インバウンド方向(外部から)の脅威を示します。
アウトバウンド方向(外部へ)の脅威を示します。
セッション情報またはバイト情報のどちらを表示するかを
指定します。
下部バー
表示対象期間を指定します。
レポートとログ
179
アプリケーション スコープの使用
レポートとログ
セッション情報の表示
[Monitor] > [ セッション ブラウザ ] の順に選択し、ファイアウォールで現在実行されているセッ
ションをフィルタリングします。このページのフィルタリング オプションの詳細は、「セッ
ション情報の表示」を参照してください。
180
レポートとログ
レポートとログ
パケット キャプチャの実行
パケット キャプチャの実行
PAN-OS は、トラブルシューティングまたは不明なアプリケーションの検出を行うために、パ
ケット キャプチャをサポートしています。フィルタを定義して、そのフィルタと一致するパケッ
トのみがキャプチャされるようにすることができます。パケット キャプチャはデバイスでロー
カルに保存され、使用するローカル コンピュータにダウンロードすることができます。
パケット キャプチャは、トラブルシューティングにのみ使用してください。この機能を使用す
ると、システム パフォーマンスが下がる可能性があるため、必要な場合しか使用しないでくだ
さい。パケット キャプチャが完了したら、この機能を忘れずに無効にしてください。
以下の表に、[Monitor] > [パケット キャプチャ] でのパケット キャプチャの設定項目の説明を示
します。
パケット キャプチャの
設定のフィールド
説明
フィルタリングの設定
フィルタの管理
[ フィルタの管理 ] をクリックしてから、[ 追加 ] をクリックして新しいフィ
ルタを追加し、以下の情報を指定します。
• ID — フィルタの ID を入力または選択します。
• 入力インターフェイス — ファイアウォール インターフェイスを選択し
ます。
• 送信元 — 送信元 IP アドレスを指定します。
• 宛先 — 宛先 IP アドレスを指定します。
• 送信元ポート — 送信元ポートを指定します。
• 宛先ポート — 宛先ポートを指定します。
• プロトコル — フィルタリングするプロトコルを指定します。
• 非 IP — 非 IP トラフィックの処理方法を選択します(すべての IP トラ
フィックを除外する、すべての IP トラフィックを含める、IP トラフィッ
クのみを含める、または IP フィルタを含めない)。
• IPv6 — IPv6 パケットをフィルタに入れる場合は、このチェック ボック
スをオンにします。
フィルタリング
レポートとログ
クリックすると、フィルタリングの選択がオンまたはオフに切り替えられ
ます。
181
パケット キャプチャの実行
レポートとログ
パケット キャプチャの
設定のフィールド
説明
事前解析一致
クリックすると、[ 事前解析一致 ] オプションがオンまたはオフに切り替え
られます。
[ 事前解析一致 ] オプションは、トラブルシューティングを詳細に行うため
に追加されています。パケットが入力ポートに入ると、いくつかの処理ス
テップを経て、事前設定されたフィルタと一致するかどうか解析され
ます。
何らかの障害によって、パケットがフィルタリング段階に到達しない場合
があります。たとえば、ルート検索に失敗した場合などに起こります。
[ 事前解析一致 ] 設定を [ON] にセットすると、システムに入力されるすべ
てのパケットに対して肯定一致がエミュレートされます。これにより、
ファイアウォールはフィルタリング プロセスに到達していないパケット
もキャプチャできるようになります。パケットがフィルタリング段階に到
達できれば、フィルタ設定に応じて処理され、フィルタリング基準と一致
しなければ破棄されます。
キャプチャの設定
パケット キャプチャ
クリックすると、パケット キャプチャがオンまたはオフに切り替えられ
ます。
アンチスパイウェアおよび脆弱性防御のプロファイルの場合は、プロファ
イルで定義されているルールおよび例外に対して拡張パケット キャプ
チャを有効にすることができます。この機能により、ファイアウォールで
は 1 ~ 50 のパケットをキャプチャすることができ、脅威ログの分析時に
コンテキストを増やすことができます。
拡張パケット キャプチャ長を定義するには、以下の手順を実行します。
1. [Device] > [ セットアップ ] > [ コンテンツ ID] の順に選択します。
2.
[ 脅威検出設定 ] セクションを編集して、キャプチャするパケットの
数の [ キャプチャ長 ] を指定します。
3.
[Monitor] > [ ログ ] > [ 脅威 ] でパケット キャプチャを表示します。
脅威ログ エントリを見つけ、対応する行の緑の矢印(パケット キャプ
チャ)アイコンをクリックしてキャプチャを表示します。
182
レポートとログ
レポートとログ
パケット キャプチャの実行
パケット キャプチャの
設定のフィールド
説明
パケット キャプチャ
ステージ
[ 追加 ] を選択し、以下を指定します。
• ステージ — パケットをキャプチャする時点を示します。
• drop — パケット処理でエラーが生じ、パケットが破棄される時点。
• firewall — パケットにセッション一致があるか、セッションの最初のパ
ケットが正常に作成される時点。
• receive — データプレーン プロセッサでパケットが受け取られる時点。
• transmit — データプレーン プロセッサでパケットが送信される時点。
• ファイル — キャプチャ ファイル名を指定します。ファイル名は文字で
始める必要があります。また、文字、数字、ピリオド、アンダースコ
ア、またはハイフンを使用できます。
• パケット数 — キャプチャが停止するまでのパケット数を指定します。
• バイト数 — キャプチャが停止するまでのバイト数を指定します。
キャプチャされたファイル
キャプチャされた
ファイル
キャプチャされたファイルを表示するリストからパケット キャプチャ
ファイルを削除するには、[ 削除 ] を選択します。
設定
すべての設定をクリア
レポートとログ
すべてのパケット キャプチャ設定をクリアするには、[ すべての設定をク
リア ] を選択します。
183
ファイアウォールのモニター
レポートとログ
ファイアウォールのモニター
以下のセクションでは、ファイアウォールをモニタリングするときに使用可能な手法と基本的
なセットアップ手順について説明します。

アプリケーションと脅威のモニター

ローカル ログ データの表示

外部サービスへのログの転送

Syslog サーバーに対して認証するためのファイアウォールの設定
ファイアウォール(PA-4000 シリーズのファイアウォールを除く)は、分析とレポート用にフ
ロー データを NetFlow コレクタにエクスポートするように設定することもできます。NetFlow
を設定する場合は、『PAN-OS-6.0 Web インターフェイス リファレンス ガイド』を参照して
ください。
アプリケーションと脅威のモニター
Palo Alto Networks のすべての次世代ファイアウォールには、プロトコル、暗号化、または秘匿
技術に関係なくネットワークを通過するアプリケーションを識別する App-ID テクノロジーが組
み込まれています。識別したアプリケーションは、アプリケーション コマンド センター
([ACC])からモニタリングすることができます。ACC はログ データベースをグラフィカルに
要約し、ネットワークを通過するアプリケーション、アプリケーションの使用者、および潜在
的なセキュリティへの影響を強調表示します。また ACC は、App-ID が実行する連続的なトラ
フィック分類機能を使用して動的に更新されます。App-ID は、アプリケーションがポートまた
は動作を変更した場合でもそのトラフィックを識別し続け、ACC に結果を表示します。
ACC に表示される新しい、リスクの高い、または見慣れないアプリケーションについては、ア
プリケーションの説明、その主な特徴、動作特性、および使用者を 1 回のクリックで表示して
素早く調べることができます。さらに、URL カテゴリ、脅威、およびデータも視覚的に表示さ
れるため、ネットワーク アクティビティの全体像を把握できます。ACC により、ネットワーク
を通過するトラフィックについての詳細な情報をごく短時間で収集し、その情報が反映され
た、より情報に則したセキュリティ ポリシーを作成することができます。
184
レポートとログ
レポートとログ
ファイアウォールのモニター
ローカル ログ データの表示
Palo Alto Networks のすべての次世代ファイアウォールでは、ファイアウォールでのアクティビ
ティとイベントの監査証跡を示すログ ファイルを生成できます。アクティビティおよびイベン
トのタイプ別に別々のログが記録されます。たとえば、脅威ログにはファイアウォールでセ
キュリティ アラームが生成される原因となったすべてのトラフィックが記録されるのに対し、
URL フィルタリング ログにはセキュリティ ポリシーに添付された URL フィルタリング プロ
ファイルと一致するすべてのトラフィックが記録され、設定ログにはファイアウォール設定に
対する変更すべてが記録されます。
ローカル ファイアウォールのログ データはいくつかの方法で表示することができます。

ログ ファイルの表示

Dashboard でのログ データの表示

レポートの表示
ログ ファイルの表示
このファイアウォールでは、WildFire、設定、システム、アラーム、トラフィック フロー、脅
威、URL フィルタリング、データ フィルタリング、およびホスト情報プロファイル(HIP)の
一致に関するログが管理されます。現在のログはいつでも表示できます。特定のエントリを検
索するには、ログ フィールドにフィルタを適用します。
ファイアウォールのログは、ロールベースの管理権限に基づいて情報が表示されます。ログを
表示すると、表示権限のある情報のみが表示されます。管理者権限の詳細は、「管理ロール」
を参照してください。
レポートとログ
185
ファイアウォールのモニター
レポートとログ
デフォルトでは、すべてのログ ファイルがファイアウォールで生成されてローカルに保存され
ます。それらのログ ファイルは直接表示することができます([Monitor] > [ ログ ])。
ログの詳細を表示する場合、ログ エントリ左側にある拡大鏡アイコン
186
をクリックします。
レポートとログ
レポートとログ
ファイアウォールのモニター
以下の表に、各ログ タイプに関する情報を示します。
ログの説明チャート
説明
トラフィック
各セッションの開始と終了のエントリが表示されます。各エントリには、
日時、送信元および宛先ゾーン、アドレス、ポート、アプリケーション
名、フ ロ ー に 適 用 さ れ る セ キ ュ リ テ ィ ル ー ル 名、ル ー ル ア ク シ ョ ン
(「allow」、「deny」、または「drop」)、入力 / 出力インターフェイ
ス、およびバイト数が含まれています。
エントリの横の
をクリックすると、セッションに関する詳細な情報
(ICMP エントリを使用して同じ送信元と宛先間の複数のセッションを集
約するかどうかなど)が表示されます([ 繰り返し回数 ] 値は 1 より大きく
なります)。
[ タイプ ] 列は、そのエントリがセッションの開始または終了のどちらのエ
ントリなのか、またはセッションが拒否または廃棄されたのかどうかを示
します。[drop] は、トラフィックをブロックしたセキュリティ ルールが適
用されて [ いずれか ] のアプリケーションが指定されたことを示し、[deny]
はルールが適用されてある特定のアプリケーションが識別されたことを示
します。
アプリケーションが識別される前にトラフィックが廃棄された場合(ある
ルールにより特定のサービスのトラフィックがすべて廃棄された場合な
ど)、そのアプリケーションは [not-applicable] として表示されます。
脅威
ファイアウォールでセキュリティ ポリシーに添付されるセキュリティ プロ
ファイル(アンチウイルス、アンチスパイウェア、脆弱性、URL フィルタ
リング、ファイル ブロック、データ フィルタリング、または DoS プロテ
クション)にトラフィックが適合する場合に、エントリを表示します。各
エントリには、日時、脅威の名前または URL、送信元および宛先ゾーン、
ア ドレス、ポート、アプリケーション名、およびアラーム アクション
(「allow」 または 「block」)と重大度が含まれています。
エントリの横の
をクリックすると、脅威に関する詳細な情報(そのエン
トリを使用して同じ送信元と宛先間の同じタイプの複数の脅威を集約す
るかどうかなど)が表示されます([ 繰り返し回数 ] 値は 1 より大きくな
ります)。
[ タイプ ] 列は、脅威のタイプ(「virus」、「spyware」など)を示します。
[ 名前 ] 列は脅威に関する説明または URL を示し、[ カテゴリ ] 列は脅威の
カテゴリ(「keylogger」など)または URL のカテゴリを示します。
ローカル パケット キャプチャが有効な場合は、エントリの横の
をク
リックして、キャプチャされたパケットを表示します。ローカル パケット
キャプチャを有効にする方法については、「パケット キャプチャの実行」
を参照してください。
レポートとログ
187
ファイアウォールのモニター
レポートとログ
ログの説明チャート
説明
URL フィルタリング
セキュリティ ポリシーに添付された URL フィルタリング プロファイルに
適合するすべてのトラフィックのログを表示します。たとえば、ポリシー
によって特定の Web サイトまたは Web サイト カテゴリへのアクセスがブ
ロックされる場合か、Web サイトへのアクセスがあったときにアラートを
生成するようにポリシーが設定されている場合です。URL フィルタリング
プロファイルの定義方法の詳細は、「URL フィルタリング」を参照してく
ださい。
WildFire 送信
WildFire クラウドによってアップロードおよび分析されるファイルのログ
が表示されます。ログ データは、分析後に分析結果と共にデバイスに返さ
れます。
データ フィルタリング
クレジット カード番号や社会保障番号などの機密情報が、ファイアウォー
ルによって保護されているエリアから流出するのを防止するのに役立つセ
キュリティ ポリシーのログが表示されます。データ フィルタリング プロ
ファイルの定義方法の詳細は、「データ フィルタリングのセットアップ」
を参照してください。
このログには、ファイル ブロッキング プロファイルの情報も表示されま
す。たとえば、.exe ファイルをブロックしている場合、ログにはブロック
されたファイルが表示されます。ファイルを WildFire に転送すると、そのア
クションの結果が表示されます。たとえば、PE ファイルを WildFire に転送
した場合、ログにファイルを転送したことが表示され、さらにそのファイル
が WildFire に正常にアップロードされたかどうかの状態も表示されます。
設定
設定変更操作に関するエントリが表示されます。各エントリには、日時、管
理者のユーザー名、変更を行ったユーザーの IP アドレス、クライアントの
タイプ(XML、Web または CLI)、実行されたコマンドのタイプ、コマン
ドが成功したか失敗したか、設定パス、および変更前後の値が含まれてい
ます。
システム
各システム イベントのエントリが表示されます。各エントリには、日時、
イベントの重大度、およびイベントの説明が含まれています。
HIP マッチ
設定した HIP オブジェクト または HIP プロファイル に適合するトラ
フィック フローが表示されます。
各ログ ページの上部にはフィルタエリアがあります。
188
レポートとログ
レポートとログ
ファイアウォールのモニター
以下のようにして、フィルタエリアを使用します。

ログ リストの下線の付いたリンクのいずれかをクリックし、その項目をログ フィルタ オプ
ションとして追加します。たとえば、[10.0.0.252] と [web-browsing] の [Host] リンクをク
リックすると、両方の項目が追加され、両方に適合する(AND 検索)エントリが検索され
ます。

その他の検索基準を定義するには、[ ログ フィルタの追加 ] をクリックします。必要に応じ
て、検索のタイプ(AND/OR)、検索に含める属性、マッチング演算子、および照合に使用
する値を選択します。[Add] をクリックして基準を [Log] ページのフィルタエリアに追加し、
[Close] をクリックしてポップアップ ウィンドウを閉じます。[ フィルタの適用 ] をクリック
すると、フィルタリングされたリストが表示されます。
ログ ページに追加されたフィルタ式と式のポップアップ ウィンドウで定義した式を組み合わ
せることができます。各フィルタは、1 つのエントリとしてログ ページの [ フィルタ ] 行に追加
されます。[ 受信日時 ] を [ 含む ] フィルタを [ 過去 60 秒 ] に設定した場合、ログ ビューアの一
部のページ リンクで結果が表示されない場合があります。これは、選択した時間が動的性質を
持つため、ページ数が増加または減少することがあるからです。

フィルタを消去してフィルタリングされていないリストを再度表示するには、[ フィルタの
クリア ] をクリックします。

設定したフィルタを新しいフィルタとして保存するには、[ フィルタの保存 ] をクリックし
てフィルタ名を入力し、[OK] をクリックします。

現在のログ リスト(適用されたすべてのフィルタと共にページに表示されます)をエクス
ポートするには、[ フィルタの保存 ] をクリックします。ファイルを開くのか、ディスクに保
存するのかを選択します。常に同じオプションを使用する場合はチェック ボックスをオンに
します。[OK] をクリックします。

現在のログ一覧を CSV フォーマットでエクスポートするには、CSV にエクスポート アイコン
をクリックします。デフォルトでは、ログ リストを CSV フォーマットにエクスポートする
と、最大で 2,000 行のログを含む CSV レポートが生成されます。CSV レポートに表示される
行数の制限を変更するには、[ ログのエクスポートとレポート ] サブタブ([Device] > [ セット
アップ ] > [ 管理 ] > [ ロギングおよびレポート設定 ] の順に選択)の [CSV エクスポートの最
大行数 ] フィールドを使用します。
表示ログの自動更新間隔を変更する場合、ドロップダウン リストから間隔を選択します([60 秒 ]、
[30 秒 ]、[10 秒 ]、または [ 手動 ])。
ページあたりのログ エントリの数を変更するには、[ 行 ] ドロップダウンで行数を選択します。
ログ エントリは、10 ページのブロック単位で取得されます。ページの下部にあるページ送り機
能を使用して、ログ リスト内を移動します。[ ホスト名の解決 ] チェック ボックスをオンにする
と、外部 IP アドレスがドメイン名に解決されます。
レポートとログ
189
ファイアウォールのモニター
レポートとログ
Dashboard でのログ データの表示
ローカルのログ データは、関連付けられたウィジェットを追加することにより、[Dashboard] か
ら直接モニタリングすることもできます。
レポートの表示
ファイアウォールでは、ログ データも使用して、ログ データを表または図の形式で表示したレ
ポートも生成します([Monitor] > [ レポート ])。ファイアウォールで使用可能な定義済みレポー
トとカスタム レポートの詳細は、「レポートについて」を参照してください。
190
レポートとログ
レポートとログ
ファイアウォールのモニター
外部サービスへのログの転送
ログ ファイルのタイプおよび重大度に応じて、注意を必要とする重大イベントについてアラー
トが送信されるようにしたり、ファイアウォールに保存可能な期間より長くデータをアーカイ
ブするよう求めるポリシーが存在したりするかも知れません。そのような場合は、ログ データ
を外部サービスに転送して、アーカイブ、通知、または分析することができます。
ログ データを外部サービスに転送するには、以下のタスクを実行する必要があります。

ログを受信するリモート サービスにアクセスするようにファイアウォールを設定します。
「リ
モート ログの宛先の定義」を参照してください。

転送されるように各ログ タイプを設定します。「ログ転送の有効化」を参照してください。
リモート ログの宛先の定義
Syslog サーバーや SNMP トラップ マネージャなどの外部サービスに到達するため、ファイア
ウォールでは、アクセス方法の詳細を認識し、必要であればそのサービスに対して認証される
ようにする必要があります。この情報は、ファイアウォールの [ サーバー プロファイル ] で定義
します。ファイアウォールが通信する外部サービスごとにサーバー プロファイルを作成する必
要があります。セットアップする必要があるログの宛先タイプおよび転送するログのタイプ
は、必要に応じて異なります。いくつかの一般的なログ転送シナリオには、以下の操作が含ま
れます。

注意を必要とする重大なシステム イベントまたは脅威に関する即時通知の場合は、SNMP トラッ
プを生成するか、電子メール アラートを送信することができます。「電子メール アラート
のセットアップ」または 「SNMP トラップの宛先のセットアップ」を参照してください。

データの長期保管とアーカイブの場合、および中央管理のデバイス モニタリングの場合に
は、ログ データを Syslog サーバーに送信することができます。「Syslog サーバーの定義」を
参照してください。これにより、Splunk! や ArcSight などのサードパーティのセキュリティ モ
ニタリング ツールとの統合が可能になります。

複数の Palo Alto Networks ファイアウォールからログ データを集約してレポートを作成する場
合は、Panorama マネージャまたは Panorama ログ コレクタにログを転送できます。「ログ転
送の有効化」を参照してください。
サーバー プロファイルは必要なだけ定義できます。たとえば、別々のサーバー プロファイルを
使用して、トラフィック ログを Syslog サーバーに、システム ログを別のサーバーに送信するこ
とができます。あるいは、複数のサーバー エントリを単一のサーバー プロファイルに含め、複
数の Syslog サーバーにログを記録して冗長性を高めることもできます。
デフォルトでは、すべてのログ データが MGT インターフェイスを介して転送されます。MGT
以外のインターフェイスを使用する予定の場合は、「外部サービスへのネットワーク アクセス
のセットアップ」の手順 5 の説明に従って、ログの転送先となるサービスごとにサービス ルー
トを設定する必要があります。
レポートとログ
191
ファイアウォールのモニター
レポートとログ
電子メール アラートのセットアップ
電子メール アラートのセットアップ
ステップ 1
使用している電子メール サー 1.
バーのサーバー プロファイル
を作成します。
2.
[Device] > [ サーバー プロファイル ] > [ 電子メール ] の
順に選択します。
[ 追加 ] をクリックし、プロファイルの [ 名前 ] を入力
します。
3.
(任意)[ 場所 ] ドロップダウン リストから、このプロ
ファイルの適用先となる仮想システムを選択します。
4.
[ 追加 ] をクリックして新しい電子メール サーバー エン
トリを追加し、SMTP(Simple Mail Transport Protocol)
サーバーに接続して電子メールを送信するために必
要な情報を入力します(プロファイルには電子メー
ル サーバーを 4 つまで追加できます)。
• サーバー — 電子メール サーバーを識別する名前
(1 ~ 31 文字)。このフィールドは単なるラベルで
あり、既存の SMTP サーバーのホスト名である必要
はありません。
• 表示名 — 電子メールの [ 差出人 ] フィールドに表示
される名前。
• 送信者 — 電子メール通知の送信元の電子メール ア
ドレス。
• 宛先 — 電子メール通知の送信先の電子メール アド
レス。
• 追加の受信者 — 通知が 2 番目のアカウントに送信さ
れるようにする場合は、ここに追加のアドレスを入
力します。追加できるのは 1 名の受信者のみです。
複数の受信者を追加するには、配布リストの電子
メール アドレスを追加します。
• ゲートウェイ — 電子メールの送信に使用する SMTP
ゲートウェイの IP アドレスまたはホスト名。
5.
ステップ 2
(任意)ファイアウォールが
送信する電子メール メッセー
ジのフォーマットをカスタマ
イズします。
ステップ 3
サーバー プロファイルを保存 1.
し、変更をコミットします。 2.
192
[OK] をクリックしてサーバー プロファイルを保存し
ます。
[ カスタム ログ フォーマット ] タブを選択します。さまざ
まなログ タイプでのカスタム フォーマットの作成方法に
ついては、『Common Event Format Configuration Guide』を
参照してください。
[OK] をクリックしてプロファイルを保存します。
[Commit] をクリックして実行中の設定に対する変更を保
存します。
レポートとログ
レポートとログ
ファイアウォールのモニター
SNMP トラップの宛先のセットアップ
SNMP(Simple Network Management Protocol)は、ネットワーク上のデバイスをモニターする標
準ファシリティです。SNMP 管理ソフトウェアに SNMP トラップを送信するようにファイア
ウォールを設定し、迅速な対応が求められる重大なシステム イベントや脅威に対して注意が喚
起されるようにすることができます。
また、SNMP を使用してファイアウォールをモニタリングすることもできます。この場合は、
ファイアウォールでトラップをマネージャに送信するのではなく(または、そうすることに加
えて)、ファイアウォールから統計データを取得するように SNMP マネージャを設定する必
要があります。詳細は、「Syslog サーバーに対して認証するためのファイアウォールの設定」
を参照してください。
SNMP トラップの宛先のセットアップ
(SNMP v3 のみ)ファイア ファイアウォールのエンジン ID を確認するには、SNMP
ウォールのエンジン ID を取得 v3 用にファイアウォールを設定し、SNMP マネージャまた
は MIB ブラウザから以下のように GET メッセージを送信
します。
する必要があります。
多くの場合、MIB ブラウザまたは SNMP
マネージャは、ファイアウォールの 1. インターフェイスがインバウンド SNMP 要求を許可で
きるようにします。
SNMP エージェントに正常に接続する
ステップ 1
注
• MGT インターフェイスで SNMP GET メッセージを
受信する場合は、[Device] > [ セットアップ ] > [ 管理 ]
の順に選択し、画面の [ 管理インターフェイス設定 ]
セクションで編集 アイコンをクリックします。
[ サービス ] セクションで、[SNMP] チェック ボック
スをオンにして [OK] をクリックします。
と、自動的にエンジン ID を検出しま
す。通常、この情報はインターフェイ
スのエージェント設定セクションにあ
ります。エージェント情報の検出手順
については、各製品のドキュメントを
参照してください。
• 別のインターフェイスで SNMP GET メッセージを受
信する場合は、管理プロファイルとそのインター
フェイスを関連付け、SNMP 管理を有効にする必要
があります。
レポートとログ
2.
「SNMP モニタリングのセットアップ」のステップ 2
の説明に従って、ファイアウォールを SNMP v3 用に
設定します。ファイアウォールを SNMP v3 用に設定
しないと、MIB ブラウザで GET によるエンジン ID
の取得ができません。
3.
MIB ブラウザまたは SNMP マネージャをファイアウォー
ルに接続し、OID 1.3.6.1.6.3.10.2.1.1.0 を取得する GET を
実行します。返される値は、ファイアウォールの一
意のエンジン ID です。
193
ファイアウォールのモニター
レポートとログ
SNMP トラップの宛先のセットアップ(続き)
ステップ 2
SNMP マネージャに接続して認証されるために必要な情報を含んだサーバー プロファイル
を作成します。
1. [Device] > [ サーバー プロファイル ] > [SNMP トラップ ] の順に選択します。
2. [ 追加 ] をクリックし、プロファイルの [ 名前 ] を入力します。
3. (任意)[ 場所 ] ドロップダウン リストから、このプロファイルの適用先となる仮想シ
ステムを選択します。
4. 使用中の SNMP のバージョン([V2c] または [V3])を指定します。
5. [ 追加 ] をクリックして新しい [SNMP トラップ レシーバ ] エントリを追加します(サー
バー プロファイルあたりトラップ レシーバを 4 つまで追加できます)。必須の値は、
SNMP V2c と V3 のどちらを使用中なのかによって決まります。
SNMP V2c の場合
• サーバー — SNMP マネージャを識別する名前(1 ~ 31 文字)。このフィールドは単
なるラベルであり、既存の SNMP サーバーのホスト名である必要はありません。
• マネージャ — トラップの送信先 SNMP マネージャの IP アドレス。
• コミュニティ — SNMP マネージャに対して認証するために必要なコミュニティ名。
SNMP V3 の場合
• サーバー — SNMP マネージャを識別する名前(1 ~ 31 文字)。このフィールドは単
なるラベルであり、既存の SNMP サーバーのホスト名である必要はありません。
• マネージャ — トラップの送信先 SNMP マネージャの IP アドレス。
• ユーザー — SNMP マネージャに対して認証するために必要なユーザー名。
• エンジン ID — ステップ 1 で識別された、ファイアウォールのエンジン ID。これは、
0x プレフィックスが付いた 5 ~ 64 バイトの 16 進数値です。各ファイアウォールに
は、一意のエンジン ID があります。
• 認証パスワード — SNMP マネージャに対する authNoPriv レベルのメッセージで使用さ
れるパスワード。このパスワードは Secure Hash Algorithm(SHA-1)を使用してハッ
シュされますが、暗号化はされません。
• 専用パスワード — SNMP マネージャに対する authPriv レベルのメッセージで使用され
るパスワード。このパスワードは SHA を使用してハッシュされ、Advanced Encryption
Standard(AES 128)を使用して暗号化されます。
6. [OK] をクリックしてサーバー プロファイルを保存します。
ステップ 3
194
(任意)SNMP トラップのサー デフォルトでは、SNMP トラップは MGT インターフェイ
ビス ルートをセットアップし スを介して送信されます。SNMP トラップに別のインター
ます。
フェイスを使用する場合は、ファイアウォールが SNMP マ
ネージャに到達できるようにサービス ルートを編集する必
要があります。方法については、外部サービスへのネット
ワーク アクセスのセットアップを参照してください。
レポートとログ
レポートとログ
ファイアウォールのモニター
SNMP トラップの宛先のセットアップ(続き)
ステップ 4
変更をコミットします。
ステップ 5
ファイアウォールから受信する PAN-OS MIB ファイルを SNMP 管理ソフトウェアにロード
トラップを SNMP マネージャが して、コンパイルします。この処理の具体的な方法につい
解釈できるようにします。
ては、ご使用の SNMP マネージャのドキュメントを参照し
てください。
[Commit] をクリックします。デバイスでの変更の保存に
は、最長で 90 秒かかります。
Syslog サーバーの定義
Syslog は標準のログ転送メカニズムで、ルーター、ファイアウォール、プリンターなどのさま
ざまなベンダーのさまざまなネットワーク デバイスからアーカイブと分析そしてレポート作成
のために、ログ データを集約できるようにします。
ファイアウォールは、外部 Syslog サーバーに転送することができる 5 つのタイプのログ(トラ
フィック、脅威、WildFire、ホスト情報プロファイル(HIP)マッチ、設定、およびシステム)
を生成します。これらのログのすべてまたは一部を外部サービスに転送して長期保管および分
析する場合、ログを信頼できる保護された方法で転送するには TCP または SSL を、保護されな
い方法で転送するには UDP を使用できます。
レポートとログ
195
ファイアウォールのモニター
レポートとログ
Syslog 転送のセットアップ
ステップ 1
Syslog サーバーに接続するため 1.
に必要な情報を含んだサーバー
プロファイルを作成します。
2.
[Device] > [ サーバー プロファイル ] > [Syslog] の順に
選択します。
[ 追加 ] をクリックし、プロファイルの [ 名前 ] を入力
します。
3.
(任意)[ 場所 ] ドロップダウン リストから、このプロ
ファイルの適用先となる仮想システムを選択します。
4.
[ 追加 ] をクリックして新しい Syslog サーバー エント
リを追加し、Syslog サーバーに接続するために必要
な情報を入力します(同じプロファイルに Syslog サー
バーを 4 つまで追加できます)。
• 名前 — サーバー プロファイルの一意の名前。
• サーバー — Syslog サーバーの IP アドレスまたは完全
修飾ドメイン名(FQDN)。
• 転送 — Syslog サーバーとの通信方法として、TCP、
UDP、または SSL を選択します。
• ポート — Syslog メッセージを送信するときに経由す
るポート番号(デフォルトはポート 514 の UDP)。
ファイアウォールと Syslog サーバーで同じポート番
号を使用する必要があります。
• フォーマット — 使用する Syslog メッセージ フォー
マットとして、BSD または IETF を選択します。従
来、UDP 経由の場合は BSD フォーマット、TCP/SSL
経由の場合は IETF フォーマットが使用されていま
す。クライアント認証による保護された Syslog 転送
の セ ッ ト ア ッ プ に つ い て の 詳 細 は、「Syslog サ ー
バーに対して認証するためのファイアウォールの設
定」を参照してください。
• ファシリティ — Syslog の標準値のいずれかを選択し
ま す。実 装 さ れ て い る Syslog サ ー バ ー の 優 先 度
(PRI)フ ィ ー ル ド の 計 算 で 使 用 さ れ ま す。PRI
フィールドを使用して Syslog メッセージを管理する
方法に対応する値を選択してください。
196
5.
(任意)ファイアウォールが送信する Syslog メッセー
ジのフォーマットをカスタマイズするには、[カスタム
ログ フォーマット ] タブを選択します。さまざまなロ
グ タイプでのカスタム フォーマットの作成方法につ
い て は、『Common Event Format Configuration Guide』
を参照してください。
6.
[OK] をクリックしてサーバー プロファイルを保存し
ます。
レポートとログ
レポートとログ
ファイアウォールのモニター
Syslog 転送のセットアップ(続き)
ステップ 2
(任意)Syslog メッセージ内の 1.
ヘッダー フォーマットを設定
します。ヘッダー フォーマッ
トを選択することで、一部の 2.
SIEM のログ データをより柔
3.
軟にフィルタリングおよびレ
ポートできます。
[Device] > [ セットアップ ] > [ 管理 ] の順に選択し、
[ ロギングおよびレポート設定 ] セクションの編集アイ
コンをクリックします。
[ ログのエクスポートとレポート ] を選択します。
[Syslog メッセージ内にホスト名を含める ] ドロップ
ダウンから、以下のオプションのいずれかを選択し
ます。
• FQDN —(デフォルト)送信デバイスで定義されて
いるホスト名とドメイン名を連結します。
• hostname — 送信デバイスで定義されているホスト
名を使用します。
• ipv4-address — 送信デバイスでログを送信する
ために使用されるインターフェイスの IPv4 ア
ドレス を使用します。デフォルトでは、デバイ
スの MGT インターフェイスです。
• ipv6-address — 送信デバイスでログを送信する
注
ために使用されるインターフェイスの IPv6 ア
ドレス を使用します。デフォルトでは、デバイ
スの MGT インターフェイスです。
これは、グローバル設定であるため、
アプライアンスで設定されているすべ
ての Syslog サーバー プロファイルに適
用されます。
• none — デバイスのホスト名フィールドを設定され
ないままにします。ログを送信したデバイスの ID
はありません。
4.
[OK]、[Commit] の順にクリックします。
ステップ 3
変更をコミットします。
[Commit] をクリックします。デバイスでの変更の保存に
は、最長で 90 秒かかります。
ステップ 4
ログ転送を有効にします。
「ログ転送の有効化」を参照してください。
転送する各ログ タイプを設定し、イベントをログに記録す
る場合の重大度を指定する必要があります。
注
ステップ 5
レポートとログ
WildFire ログは脅威ログの一種ですが、脅威ログと一
緒に記録および転送されません。WildFire ログでは脅
威ログと同じ Syslog フォーマットを使用しますが、
WildFire には脅威サブタイプが事前設定されていま
す。したがって、WildFire ログのロギング / 転送は、
脅威ログから明確に有効にする必要があります。
Syslog サーバーでログを確認し ログを解析するには、「ログのフィールドの説明の解析」
ます。
を参照してください。
197
ファイアウォールのモニター
レポートとログ
Syslog サーバーに対して認証するためのファイアウォールの設定
SSL を使用した Syslog のクライアント認証を有効にするには、信頼された CA または自己署名
CA を使用して、保護された Syslog 通信で使用可能な証明書を生成できます。保護された Syslog
通信用の証明書を生成する場合は、以下の点を確認してください。

送信デバイスで秘密鍵が使用できるようになっている必要があります。秘密鍵は、ハードウェ
ア セキュリティ モジュール(HSM)で保管できません。

証明書の被認証者と発行者を同じにすることはできません。

証明書は、信頼される CA と証明書署名要求(CSR)のどちらでもありません。これらのタ
イプの証明書はどれも、保護された Syslog 通信で有効にすることはできません。
198
レポートとログ
レポートとログ
ファイアウォールのモニター
Syslog サーバーに対して認証するためのファイアウォールの設定
ステップ 1
Syslog サーバーでクライア 送信デバイスが Syslog サーバーと通信できることを確認する
ント認証が必要な場合、保 ために、以下を実行する必要があります。
護された通信用の証明書を • サーバーおよび送信デバイスには、エンタープライズ CA に
生成します。証明書の詳細
よ っ て 署 名 さ れ た 証 明 書 が 必 要 で す。ま た、フ ァ イ ア
は、「証明書の管理」を参
ウォールで自己署名証明書を生成し、ファイアウォールか
照してください。
ら CA ルート証明書をエクスポートして、Syslog サーバー
にインポートすることもできます。
• エンタープライズ CA または自己署名証明書を使用して証
明書を生成します。この証明書には、(共通名として)送
信デバイスの IP アドレスが含まれており、保護された
Syslog 通信で使用できます。Syslog サーバーは、この証明書
を使用して、ファイアウォールに Syslog サーバーと通信す
る権限があることを確認します。
以下の手順を使用して、ファイアウォールまたは Panorama
で証明書を生成します。
1.
[Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス証明
書 ] の順に選択します。
2.
[ 生成 ] をクリックして、信頼された認証局または自己署
名認証局によって署名される新しい証明書を作成します。
3.
[ 証明書名 ] に証明書の名前を入力します。
4.
[共通名] に、Syslog サーバーにログを送信するデバイス
の IP アドレスを入力します。
5.
証明書を Panorama の共有証明書にする場合や、複数の
仮想システムのファイアウォールのすべての仮想シス
テムで共有する場合、[ 共有 ] を選択します。
6.
[ 署名者 ] で、信頼された認証局、または Syslog サーバー
と送信デバイスの両方で信頼されている自己署名認証
局を選択します。
7.
[ 生成 ] をクリックします。証明書とキー ペアが生成され
ます。
8.
証明書名のリンクをクリックし、Syslog サーバーへの保
護されたアクセスのためのオプション
を有効にします。
9.
変更を [Commit] します。
10. 証明書の詳細を確認し、[ 用途 ] に [ 保護された Syslog の
証明書 ] とマークされていることを確認します。
レポートとログ
199
ファイアウォールのモニター
レポートとログ
ログ転送の有効化
ログの送信先を定義したサーバー プロファイルを作成したら、ログ転送を有効にする必要があ
ります。ログ タイプごとに、Syslog、電子メール、SNMP トラップ レシーバ、または Panorama
のどれに転送するかを指定できます。
Panorama マネージャまたは Panorama ログ コレクタにログ ファイルを転送できるようにす
るには、まず、ファイアウォールを 管理対象デバイスとして設定する必要があります。その
後、ログのタイプごとに Panorama へのログ転送を有効にすることができます。Panorama に転
送されるログの場合、外部 Syslog サーバーへの中央管理されたログ転送がサポートされます。
転送を有効にする方法は、ログ タイプによって異なります。

トラフィック ログ — トラフィック ログの転送を有効にするには、ログ転送プロファイルを
作成し([Objects] > [ ログ転送 ])、ログ転送をトリガーするセキュリティ ポリシーにそのプ
ロファイルを追加します。セキュリティ ポリシー内の特定のルールに一致するトラフィック
のみがログに記録され、転送されます。

脅威ログ — 脅威ログの転送を有効にするには、転送する重大度レベルを指定したログ転送プ
ロファイルを作成し([Objects] > [ ログ転送 ])、ログ転送をトリガーするセキュリティ ポリ
シーにそのプロファイルを追加します。脅威ログのエントリは、関連付けられたトラフィッ
クがセキュリティ プロファイル(アンチウイルス、アンチスパイウェア、脆弱性防御、URL
フィルタリング、ファイル ブロッキング、データ フィルタリング、または DoS プロテク
ション)と一致する場合にのみ作成(したがって転送)されます。以下の表に脅威の重大度
レベルを要約して示します。
重大度
説明
Critical
広範囲にデプロイされたソフトウェアのデフォルト インストー
ルに影響するような深刻な脅威。サーバーの root が悪用され、
弱点のあるコードが広範囲の攻撃者の手に渡ることになりま
す。攻撃者は通常、特殊な認証資格証明や個々の被害者に関す
る知識を必要としません。また、標的がなんらかの特殊な機能
を実行するように操作する必要もありません。
High
重大度が Critical に変わる可能性があるものの、軽減要因が存在
する脅威。たとえば、悪用するのが困難であったり、上位の特
権が与えられることがなかったり、被害サーバー数が多くな
かったりする場合です。
Medium
影響が最小限に抑えられる小さな脅威。たとえば、標的に侵入
することのない DoS 攻撃や、攻撃者が被害サーバーと同じ
LAN 上に存在する必要があり、標準以外の設定や隠れたアプ
リケーションにのみ影響するか、アクセスがごく限られている
悪用などです。さらに、マルウェア判定を含む WildFire 送信ロ
グ エントリは、Medium としてログに記録されます。
200
レポートとログ
レポートとログ
ファイアウォールのモニター
重大度
説明
Low
組織のインフラストラクチャへの影響がわずかな警告レベルの
脅威。通常、ローカルまたは物理的なシステムへのアクセスが
必要であり、被害者のプライバシーや DoS の問題、情報漏洩な
どが発生することがあります。データ フィルタリング プロ
ファイルの一致は、「低」としてログに記録されます。
Informational
直ちに脅威とはならなくても、存在する可能性がある深層の問
題に注意を引くために報告される、疑わしいイベント。URL フィ
ルタリング ログ エントリと安全判定の WildFire 送信ログ エン
トリは Informational としてログに記録されます。

設定ログ — 設定ログの転送を有効にするには、ログ設定でサーバー プロファイルを指定し
ます([Device] > [ ログ設定 ] > [ 設定ログ ])。

システム ログ — システム ログの転送を有効にするには、ログ設定でサーバー プロファイル
を指定します([Device] > [ ログ設定 ] > [ システム ログ ])。転送する重大度レベルごとに
サーバー プロファイルを選択する必要があります。システム ログ メッセージとそれに対応
する重大度レベルの部分的なリストについては、『System Log Reference』を参照してくださ
い。以下の表にシステム ログの重大度レベルを要約して示します。
重大度
説明
Critical
HA フェイルオーバーやリンク障害などのハードウェア障害。
High
外部デバイス(LDAP サーバーや RADIUS サーバーなど)との
接続の切断などの深刻な問題。
Medium
アンチウイルス パッケージのアップグレードなどの中レベルの
通知。
Low
ユーザー パスワードの変更などそれほど重要ではない通知。
Informational
ログイン / ログオフ、管理者名やパスワードの変更、設定の変
更、および重大度レベルに含まれない他のすべてのイベント。
SNMP を使用したファイアウォールのモニター
すべての Palo Alto Networks ファイアウォールは、標準の SNMP 管理情報ベース(MIB)モ
ジュールとともに、専用のエンタープライズ MIB モジュールをサポートしています。SNMP マ
ネージャは、ファイアウォールから統計情報を取得するように設定できます。たとえば、使用
する SNMP マネージャを設定して、ファイアウォールのインターフェイス、アクティブなセッ
ション、同時セッション、セッション利用率、温度、またはシステム稼働時間をモニターでき
ます。
Palo Alto Networks のファイアウォールは、SNMP GET 要求のみをサポートしており、SNMP
SET 要求はサポートしていません。
レポートとログ
201
ファイアウォールのモニター
レポートとログ
SNMP モニタリングのセットアップ
ステップ 1
インターフェイスがインバウ • MGT インターフェイスで SNMP GET メッセージを受信
ンド SNMP 要求を許可できる
する場合は、[Device] > [ セットアップ ] > [ 管理 ] の順に
ようにします。
選択し、画面の [ 管理インターフェイス設定 ] セクション
で編集
アイコンをクリックします。[ サービス ] セク
ションで、[SNMP] チェック ボックスをオンにして [OK]
をクリックします。
• 別のインターフェイスで SNMP GET メッセージを受信す
る場合は、管理プロファイルとそのインターフェイスを
関連付け、SNMP 管理を有効にする必要があります。
ステップ 2
ファイアウォールの Web イン 1.
ターフェイスから、ファイア
ウォールの SNMP エージェン 2.
トが SNMP マネージャから受
信した GET 要求に応答する
3.
ことを許可するように設定し
ます。
[Device] > [ セットアップ ] > [ 操作 ] > [SNMP のセット
アップ ] の順に選択します。
ファイアウォールの [ 場所 ] と管理上の [ 連絡先 ] の
名前または電子メール アドレスを指定します。
SNMP の [ バージョン ] を選択し、設定の詳細を(使
用している SNMP バージョンに応じて)以下のよう
に入力し、[OK] をクリックします。
• V2c — SNMP マネージャにファイアウォールの SNMP
エ ー ジェ ント への ア クセ スを 許 可す る [SNMP コ
ミュニティ名 ] を入力します。デフォルト値は public
ですが、これは一般的なコミュニティ名であるた
め、ベスト プラクティスとして、容易に推測できな
い値を使用するようお勧めします。
• V3 — SNMPv3 を使用するには、表示とユーザーをそ
れぞれ少なくとも 1 つ作成する必要があります。表
示には、マネージャがアクセス権を持つ管理情報を
指定します。すべての管理情報へのアクセスを許可
するには、最上位 OID「.1.3.6.1」のみを入力し、[ オ
プション ] に [ 包含 ] を指定します(特定のオブジェ
クトを除外する表示を作成することもできま
す)。[ マスク ] として「0xf0」を使用します。ユー
ザーを作成するとき、上記で作成した表示を [ 表示 ]
で選択し、[ 認証パスワード ] と [ 専用パスワード ]
を指定します。
ファイアウォールに設定した認証設定(V2c のコミュ
ニティ名または V3 のユーザー名とパスワード)は、
SNMP マネージャに設定した値と一致する必要があり
ます。
202
4.
[OK] をクリックして設定を保存します。
5.
[Commit] をクリックして SNMP 設定を保存します。
レポートとログ
レポートとログ
ファイアウォールのモニター
SNMP モニタリングのセットアップ(続き)
ステップ 3
SNMP マネージャでファイア
ウォールの統計情報を解釈で
きるようにします。
ステップ 4
モニター対象の統計情報を確 MIB ブラウザを使用して PAN-OS MIB ファイルを開き、モ
認します。
ニター対象の統計情報に対応するオブジェクト ID(OID)
を確認します。たとえば、ファイアウォールのセッション
利用率をモニタリングするとします。この場合は、MIB ブ
ラウザを使用して、この統計情報が PAN-COMMON-MIB
の OID 1.3.6.1.4.1.25461.2.1.2.3.1.0 に対応することを確認で
きます。
ステップ 5
関心対象の OID をモニタリン この処理の具体的な方法については、ご使用の SNMP マ
グするように SNMP 管理ソフ ネージャのドキュメントを参照してください。
トウェアを設定します。
ステップ 6
ファイアウォールと SNMP マ 以下に、SNMP マネージャに表示される、モニター対象の
ネージャ両方の設定が完了し PA-500 ファイアウォールのリアルタイム セッション利用
たら、SNMP 管理ソフトウェア 率統計情報の例を示します。
からファイアウォールのモニ
タリングを開始できます。
レポートとログ
PAN-OS MIB ファイルを SNMP 管理ソフトウェアにロード
し、必要に応じてコンパイルします。この処理の具体的な
方法については、ご使用の SNMP マネージャのドキュメン
トを参照してください。
203
レポートの管理
レポートとログ
レポートの管理
ファイアウォールのレポート機能により、ネットワークの状態の把握やポリシーの評価を行う
ことができ、ネットワークのセキュリティを保持してユーザーの安全性と生産性を確保するこ
とに注力できます。

レポートについて

レポートの表示

事前定義済みレポートを無効にする

カスタム レポートの生成

ボットネット レポートの生成

PDF サマリー レポートの管理

ユーザー/ グループ アクティビティ レポートの生成

レポート グループの管理

電子メールで配信するレポートのスケジュール設定
レポートについて
ファイアウォールには、事前定義済みレポートが組み込まれており、そのまま使用したり、特
定のデータや実行可能なタスク用にニーズに合わせてカスタマイズしたり、事前定義済みレ
ポートとカスタム レポートを組み合わせて必要な情報を編成したりできます。ファイアウォー
ルでは、以下のタイプのレポートを作成できます。

事前定義済みレポート — ネットワーク上のトラフィックのサマリーを簡単に表示できます。
一式の事前定義済みレポートには、アプリケーション、トラフィック、脅威、および URL
フィルタリングの 4 つのカテゴリがあります。「レポートの表示」を参照してください。

ユーザーまたはグループ アクティビティ レポート — 特定のユーザーまたはユーザー グルー
プのアプリケーション使用量および URL アクティビティに関するレポートをスケジュール
設定するか、またはオンデマンドで作成できます。レポートには、URL のカテゴリと、個々
のユーザーの推定ブラウズ時間の計算結果が含まれます。「ユーザー/ グループ アクティビ
ティ レポートの生成」を参照してください。

カスタム レポート — 含まれる条件と列に基づいてフィルタリングしたときの情報をそのま
ま表示するカスタム レポートを作成およびスケジュール設定します。また、クエリ ビル
ダーを組み込み、レポート データについてより具体的にドリルダウンすることもできます。
「カスタム レポートの生成」を参照してください。

PDF サマリー レポート — 脅威、アプリケーション、傾向、トラフィック、および URL フィ
ルタリング カテゴリからの最大で 18 件の事前定義済みまたはカスタム レポート/グラフを、
1 つの PDF ドキュメントに集約します。「PDF サマリー レポートの管理」を参照してくだ
さい。
204
レポートとログ
レポートとログ
レポートの管理

ボットネット レポート — 挙動ベースのメカニズムを使用して、ネットワーク内でボットネッ
トに感染した可能性のあるホストを特定することができます。「ボットネット レポートの生
成」を参照してください。

レポート グループ — カスタム レポートと事前定義済みレポートをレポート グループにまと
め、1 人以上の受信者に電子メールで送信される単一の PDF にまとめます。「レポート グ
ループの管理」を参照してください。
レポートは、要求時や定期的なスケジュールで生成できます。また、電子メール配信用にスケ
ジュール設定することもできます。
レポートの表示
ファイアウォールでは、40 種類を超えるさまざまな事前定義済みレポートが毎日生成され、そ
れらのレポートは、ファイアウォールで直接表示できます。これらのレポートのほかに、「ス
ケジュール設定された」カスタム レポートとサマリー レポートを表示できます。
ファイアウォールでは、レポートを保存するために約 200 MB のストレージが割り当てられます。
このストレージ領域はユーザー設定可能ではなく、古いレポートは新しいレポートを保存する
ために消去されます。したがって、レポートを長期間保持する場合は、そのレポートをエクス
ポートするか、レポートの電子メール配信をスケジュール設定できます。選択したレポートを無
効にしてファイアウォールのシステム リソースを節約するには、「事前定義済みレポートを無
効にする」を参照してください。
ユーザー/ グループ アクティビティ レポートは、オンデマンドで生成するか、電子メールで配
信するようにスケジュール設定する必要があります。その他のレポートとは異なり、これらの
レポートはファイアウォール上に保存できません。
レポートの表示
ステップ 1
[Monitor] > [ レポート ] の順に選択します。
レポートは、ウィンドウの右側にあるセクション([ カスタム レポート ]、[ アプリケーショ
ン レポート ]、[ トラフィック レポート ]、[ 脅威レポート ]、[URL フィルタリング レポー
ト ]、および [PDF サマリー レポート ])にまとめられています。
レポートとログ
205
レポートの管理
レポートとログ
レポートの表示(続き)
ステップ 2
表示するレポートを選択します。レポートを選択すると、前日のレポートが画面に表示さ
れます。
過去のいずれかの日のレポートを表示するには、ページの下部にあるカレンダーから選択
可能な日付を選択し、同じセクション内のレポートを選択します。セクションを切り替え
ると、時間選択はリセットされます。
ステップ 3
206
レポートをオフラインで表示するには、レポートを PDF、CSV、または XML フォーマッ
トでエクスポートします。ページの下部で、[PDF にエクスポート]、[CSV にエクスポート]、
または [XML にエクスポート] をクリックします。次にファイルを印刷または保存します。
レポートとログ
レポートとログ
レポートの管理
事前定義済みレポートを無効にする
ファイアウォールにはおよそ 40 種類の事前定義済みレポートが用意されており、それらが毎日
自動的に生成されます。これらの事前定義済みレポートの一部または全部を使用しない場合
は、選択したレポートを無効にして、ファイアウォールのシステム リソースを節約できます。
1 つ以上の事前定義済みレポートを無効にする前に、グループ レポートまたは PDF レポートに
そのレポートが含まれていないことを確認してください。グループ レポートまたは PDF レポー
トに無効にされた事前定義済みレポートが含まれている場合は、そのグループ /PDF レポート
はデータなしで表示されます。
事前定義済みレポートを無効にする
1.
[Device] > [ セットアップ ] > [ 管理 ] の順に選択します。
2.
[ ロギングおよびレポート設定 ] セクションで編集アイコンをクリックし、[ ログのエクスポートと
レポート ] タブを選択します。
3.
レポートを無効にするには、以下の手順を実行します。
• 削除する各レポートに対応するチェック ボックスをクリアします。
• [ すべての選択を解除 ] を選択して、事前定義済みレポートをすべて無効にします。
4.
[OK] をクリックし、変更をコミットします。
レポートとログ
207
レポートの管理
レポートとログ
カスタム レポートの生成
目的に合ったカスタム レポートを作成するため、取得および分析する情報の属性や重要な項目
について検討する必要があります。検討の結果を踏まえて、カスタム レポートで以下の選択を
行います。
選択対象
説明
データ ソース
レポートの生成に使用するデータ ファイル。ファイアウォールでは、サ
マリー データベースと詳細ログの 2 つのタイプのデータ送信元を選択で
きます。
• サマリー データベースは、トラフィック、脅威、およびアプリケーショ
ン統計について作成されます。ファイアウォールは、トラフィック、
アプリケーション、および脅威に関する詳細ログを 15 分間隔で集約し
ます。データは、レポート生成時の応答時間を高速化できるよう集約
されます(重複セッションはグループ化され、繰り返し回数が増えま
す。また、一部の属性や列はサマリーに含まれません)。
• 詳細ログは、項目別に記録された、ログ エントリに関係するすべての
属性(または列)の完全なリストです。詳細ログに基づいたレポートは
実行に時間がかかるため、絶対に必要な場合にのみ使用してください。
属性
一致条件として使用する列。属性は、レポートで選択可能な列です。[使用
可能な列] のリストから、データを照合し、詳細情報を集約する([選択し
た列 ])ために選択基準を追加することができます。
ソート基準/グループ化 [ ソート基準 ] および [ グループ化基準 ] により、レポートのデータを整理 /
基準
セグメント化できます。使用可能なソートおよびグループ化の属性は、選
択したデータ ソースに応じて異なります。
[ ソート基準 ] オプションでは、集約で使用する属性を指定します。ソート
基準にする属性を選択しないと、レポートには集約情報なしで最初の N
件の結果が返されます。
[ グループ化基準 ] オプションにより、属性を選択し、その属性をデータを
グループ化する場合のアンカーとして使用できます。レポート内のすべて
のデータは、トップ 5、10、25、または 50 件のグループのセットで表示さ
れます。たとえば、グループ化基準で [ 時間 ] を選択し、24 時間のトップ
25 件のグループを表示します。レポート結果は、24 時間にわたって 1 時
間単位で生成されます。レポートの最初の列は時間、それ以降の列は、管
理者が選択したその他のレポート列です。
208
レポートとログ
レポートとログ
選択対象
レポートの管理
説明
以下の例は、レポートを生成するときに、[ 選択した列 ] および [ ソート基
準 ] / [ グループ化基準 ] の基準がどのように関係するのかを示しています。
赤い円(上図)で囲まれた列は選択された列を示しています。これらの列
は、レポートの生成で照合される属性です。データ ソースの各ログ エン
トリが解析され、これらの列が照合されます。選択した列について複数
のセッションが同じ値を示す場合、それらのセッションは集約され、繰
り返し回数(またはセッション数)が増えます。
青の円で囲まれた列は、選択されたソート順序を示します。ソート順序
([ ソート基準 ])を指定すると、データは選択した属性を基準にしてソート
(および集約)されます。
緑の円で囲まれた列は、[ グループ化基準 ] の選択を示し、レポートのアン
カーとして使用されます。[ グループ化基準 ] 列は、トップ N 件のグルー
プをフィルタリングするための適合基準として使用されます。次に、トッ
プ N 件のグループのそれぞれについて、他のすべての選択した列の値がレ
ポートに列挙されます。
レポートとログ
209
レポートの管理
選択対象
レポートとログ
説明
たとえば、レポートで以下のように選択されているとします。
出力は以下のように表示されます。
レポートは [ 日 ] によってアンカーされ、[ セッション ] 別にソートされます。5 日分([5 グループ ])
がリストに表示され、[ 過去 7 日間 ] の期間における最大トラフィックが表示されます。データは、
選択した列([ カテゴリの追加 ]、[ サプリケーション サブカテゴリ ]、および [ リスク ])について、
各日の [ トップ 5] セッション別に列挙されます
期間
データを分析するときの日付範囲。カスタム範囲を定義するか、過去 15
分~過去 30 日の範囲で期間を選択できます。レポート生成は、オンデマ
ンドで実行するか、スケジュール設定して毎日または毎週単位で実行でき
ます。
クエリ ビルダー
クエリ ビルダーにより、特定のクエリを定義して、選択した属性をさらに
絞り込むことができます。[and] および [or] 演算子を使用してレポートで
必要なもののみを表示し、次に、レポートのクエリに適合する、またはク
エリを否定するデータを、含めたり除外したりできます。クエリを使用す
ることで、より焦点を絞り込んだレポートを生成できます。
210
レポートとログ
レポートとログ
レポートの管理
カスタム レポートの生成
1.
[Monitor] > [ カスタム レポートの管理 ] の順に選択します。
2.
[ 追加 ] をクリックし、レポートの [ 名前 ] を入力します。
注
3.
注
事前定義済みテンプレートに基づいてレポートを作成するには、[ テンプレートのロード ] をクリッ
クして、テンプレートを選択します。そのテンプレートを編集し、カスタム レポートとして保存で
きます。
レポートで使用するデータベースを選択します。
カスタム レポートを作成するごとに、ログ ビュー レポートが自動的に生成されます。このレポー
トには、カスタム レポートを作成するのに使用されたログが表示されます。ログ ビュー レポート
では、カスタム レポートと同じ名前が使用されますが、フレーズ(「ログ ビュー」)がレポート
名に付加されます。
レポート グループを作成するときに、カスタム レポートと一緒にログ ビュー レポートを含めるこ
とができます。詳細は、「レポート グループの管理」を参照してください。
4.
レポートを毎晩実行する場合は、[ スケジュール設定 ] チェック ボックスをオンにします。サイド
の [ レポート ] 列でレポートが表示可能になります。
5.
フィルタリング基準を定義します。[ 期間 ]、[ ソート基準 ] の順序、[ グループ化基準 ] の設定を選
択し、レポートに表示する列を選択します。
6.
(任意)選択基準をさらに絞り込む場合、[ クエリ ビルダー] 属性を選択します。レポート クエリを作
成するには、以下を指定して、[ 追加 ] をクリックします。クエリが完成するまで、繰り返します。
• 結合子 — 追加する式の前に置く結合子(and/or)を選択します。
• Negate — クエリを否定(除外)として解釈させるには、このチェック ボックスをオンにします。
たとえば、過去 24 時間のエントリまたは信頼されないゾーンからのエントリを照合するように選
択する場合に、[Negate] オプションを有効にすると、過去 24 時間以内ではなく、かつ信頼されな
いゾーンからではないエントリが一致します。
• 属性 — データ要素を選択します。使用可能なオプションは、選択したデータベースによって異な
ります。
• 演算子 — 属性が適用されるかどうかを決定する基準を選択します(= など)。使用可能なオプ
ションは、選択したデータベースによって異なります。
• 値 — 照合する属性値を指定します。
たとえば、(トラフィック ログ データベースを基にした)以下の図は、トラフィック ログ エント
リが過去 24 時間以内に「untrust」ゾーンから受け取られた場合に一致するクエリを示しています。
7.
レポート設定をテストするには、[今すぐ実行] を選択します。必要に応じて設定を変更し、レポート
に表示する情報を変更します。
8.
[OK] をクリックしてカスタム レポートを保存します。
レポートとログ
211
レポートの管理
レポートとログ
カスタム レポートの生成(続き)
カスタム レポートの例
ここで、過去 30 日間のトラフィック サマリー データベースを使用する簡単なレポートをセッ
トアップするとします。トップ 10 件のセッションごとにデータをソートし、これらのセッ
ションを週の曜日ごとに 5 つのグループにグループ化します。この場合、以下のようにカスタ
ム レポートをセットアップします。
また、レポートの PDF 出力は以下のようになります。
212
レポートとログ
レポートとログ
レポートの管理
カスタム レポートの生成(続き)
クエリ ビルダーを使用して、ユーザー グループ内のネットワーク リソースの上位消費ユー
ザーを表示するカスタム レポートを生成する場合は、以下のようにカスタム レポートを
セットアップします。
このレポートには、製品管理ユーザー グループ内の上位ユーザーが、以下のようにバイト数を
基準にソートされて表示されます。
レポートとログ
213
レポートの管理
レポートとログ
ボットネット レポートの生成
ボットネット レポート機能により、振る舞いベースのメカニズムを使用して、ネットワーク内
でボットネットに感染した可能性のあるホストを特定することができます。脅威を評価するた
め、ファイアウォールでは、ユーザー/ネットワークのアクティビティに関するデータを記録し
た、脅威、URL、およびデータ フィルタリングの各ログを使用し、PAN-DB のマルウェア
URL、既知のダイナミック DNS プロバイダ、および最近登録されたドメインのリストに照会し
ます。
ファイアウォールでは、これらのデータ送信元を使用して、マルウェア サイトおよびダイナ
ミック DNS サイトを訪問したホスト、最近(過去 30 日以内)登録されたドメイン、および使用
された不明なアプリケーションを解析して識別し、IRC(Internet Relay Chat)トラフィックを探し
ます。
基準に適合するホストには、1 から 5 の確度スコアが割り当てられ、ボットネット感染の確度が
示されます(1 は最低の感染確度、5 は最高の感染確度)。振る舞いベースの検出メカニズムで
は、24 時間、複数のログ間でトラフィックを解析する必要があるため、ファイアウォールは、
スコアに基づいてソートされたホストのリストを含むレポートを 24 時間ごとに生成します。

ボットネット レポートの設定

ボットネット レポートの生成
ボットネット レポートの設定
これらの設定を使用して、ボットネットのアクティビティを示唆する可能性がある疑わしいト
ラフィックのタイプを指定します。
ボットネット レポートの設定
1.
[Monitor] > [ ボットネット ] の順に選択し、ページの右側にある [ 設定 ] ボタンをクリックします。
2.
HTTP トラフィックの場合は、レポートに含めるイベントの [ 有効化 ] チェック ボックスをオンに
します。
• マルウェア URL へのアクセス — マルウェアおよびボットネット URL のフィルタリング カテゴリ
に基づき、既知のマルウェア URL に対して通信しているユーザーを特定します。
• 動的 DNS の使用 — ボットネット通信を示す可能性のある動的 DNS クエリ トラフィックを検索し
ます。
• IP ドメインを参照 — URL ではなく、IP ドメインを参照するユーザーを特定します。
• 最近登録されたドメインを参照 — 過去 30 日以内に登録されたドメイン名を持つサイトへのトラ
フィックを検索します。
• 不明サイトからの実行可能ファイル — 未知の URL サイトから実行形式のファイルをダウンロード
された通信を特定します。
214
レポートとログ
レポートとログ
レポートの管理
ボットネット レポートの設定(続き)
3.
[ 不明なアプリケーション ] の場合は、[Unknown TCP] または [Unknown UDP] のアプリケーションを
「疑わしい」として選択し、以下の情報を指定します。
• 1 時間あたりのセッション — 不明なアプリケーションによる 1 時間あたりのアプリケーション セッ
ション数。
• 1 時間あたりの宛先数 — 不明なアプリケーションによる 1 時間あたりの宛先数。
• 最小バイト — 最小ペイロード サイズ。
• 最大バイト — 最大ペイロード サイズ。
4.
IRC サーバーを疑わしいものとして対象に含める場合、このチェック ボックスをオンにします。
IRC サーバーは、多くの場合、自動化機能でボットを使用します。
ボットネット レポートの生成
ボットネット レポートを設定したら、レポート クエリを指定してボットネット分析レポートを
生成します。クエリ ビルダーにより、送信元または宛先の IP アドレス、ユーザー、ゾーン、イ
ンターフェイス、領域、または国などの属性を含めたり、または除外したりして、レポートの
結果をフィルタリングできます。
ボットネット レポートは、自動スケジュールにより 1 日に 1 回自動的に生成されます。また、
レポート クエリを定義するウィンドウで、[ 今すぐ実行 ] をクリックして、過去 24 時間または前日
(24 時間)のレポートを生成および表示することもできます。生成されたレポートは、[Monitor] >
[ ボットネット ] に表示されます。
ボットネット レポートを管理するには、画面の右側にある [ レポート設定 ] ボタンをクリック
します。
レポートをエクスポートするには、レポートを選択して、[PDF にエクスポート ] または [CSV に
エクスポート ] をクリックします。
ボットネット レポートの生成
1.
[ ランタイム フレームのテスト ] で、レポートの時間間隔を選択します(過去 24 時間または前日
の 1 日)。
2.
レポートに含める [ 行数 ] を選択します。
3.
レポートを毎日実行するには、[ スケジュール設定 ] を選択します。あるいは、[ ボットネット
レポート ] ウィンドウの上部にある [ 今すぐ実行 ] ボタンをクリックしてレポートを手動で実
行することもできます。
レポートとログ
215
レポートの管理
レポートとログ
ボットネット レポートの生成(続き)
4.
以下を指定してレポート クエリを作成し、[ 追加 ] をクリックして、設定した式をクエリ(レポー
ト作成フィルタ条件)に追加します。クエリが完成するまで繰り返します。
• 結合子 — 論理結合子(AND/OR)を指定します。
• 属性 — ソースまたは宛先のゾーン、アドレス、またはユーザーを指定します。
• 演算子 — 属性を値に関連付ける演算子を指定します。
• 値 — 照合する値を指定します。
5.
指定したクエリ条件の否定を適用するには、[Negate] を選択します。これによりレポートには、
定義したクエリの結果以外のすべての情報が含まれます。
6.
変更を [Commit] します。
216
レポートとログ
レポートとログ
レポートの管理
PDF サマリー レポートの管理
PDF サマリー レポートには、各カテゴリの上位 5 件(上位 50 件ではない)のデータに基づき、
既存のレポートから集められた情報が含まれています。このレポートには、別のレポートでは表
示されないトレンド チャートも表示されます。
PDF サマリー レポートの生成
ステップ 1
[PDF サマリー レポート ] をセットアップします。
1. [Monitor] > [PDF レポート ] > [PDF サマリーの管理 ] の順に選択します。
2. [ 追加 ] をクリックし、レポートの [ 名前 ] を入力します。
3. 各レポート グループのドロップダウン リストを使用し、1 つ以上の要素を選択して、PDF
サマリー レポートを設計します。最大 18 個のレポート要素を含めることができます。
• レポートから要素を削除するには、x アイコンをクリックするか、該当するレポート グ
ループのドロップダウンから選択をクリアします。
• レポートを再配列するには、アイコンをレポートの別のエリアにドラッグしてドロッ
プします。
4. [OK] をクリックしてレポートを保存します。
5. 変更を [Commit] します。
レポートとログ
217
レポートの管理
レポートとログ
PDF サマリー レポートの生成(続き)
ステップ 2
218
PDF サマリー レポートをダウンロードして表示するには、「レポートの表示」を参照して
ください。
レポートとログ
レポートとログ
レポートの管理
ユーザー/ グループ アクティビティ レポートの生成
ユーザー/ グループ アクティビティ レポートには、個々のユーザーまたはユーザー グループの
Web アクティビティが要約されます。両方のレポートには同じ情報が含まれています。ただ
し、いくつかの例外があり、[URL カテゴリ別ブラウザ サマリー] および [Browse time calculations]
はユーザー アクティビティ レポートに含まれていますが、グループ アクティビティ レポート
には含まれていません。
ユーザー/ ユーザー グループのリストにアクセスするため、ファイアウォールで User-ID を設定
する必要があります。この機能を有効にする方法の詳細は、「User-ID」を参照してください。
ユーザー / グループ アクティビティ レポートの生成
1.
[Monitor] > [PDF レポート ] > [ ユーザー アクティビティ レポート ] の順に選択します。
2.
[ 追加 ] をクリックし、レポートの [ 名前 ] を入力します。
3.
レポートを作成します。
• ユーザー アクティビティ レポートの場合は、[ ユーザー] を選択し、レポートの対象となるユー
ザーの [ ユーザー名 ] または [IP アドレス ](IPv4 または IPv6)を入力します。
• グループ アクティビティ レポートの場合は、[ グループ ] を選択し、レポートでユーザー グルー
プ情報を取得する対象の [ グループ名 ] を選択します。
4.
注
5.
ドロップダウンからレポートの期間を選択します。
ユーザー アクティビティ レポートで分析されるログの数は、[Device] > [ セットアップ ] > [ 管理 ]
の [ ロギングおよびレポート設定 ] セクションの [ ユーザー アクティビティ レポートの最大行数 ]
で定義される行数によって決まります。
レポートに詳細な URL ログを含めるには、[Include Detailed Browsing] をオンにします。
詳細な閲覧情報には、選択したユーザーまたはユーザー グループの大量の(何千もの)ログが含ま
れる可能性があり、その結果、レポートが非常に大きくなる可能性があります。
6.
オンデマンドでレポートを実行するには、[ 今すぐ実行 ] をクリックします。
7.
レポートを保存するには、[OK] をクリックします。ユーザー/ グループ アクティビティ レポート
をファイアウォールに保存することはできません。レポートの電子メール配信をスケジュール設
定するには、「電子メールで配信するレポートのスケジュール設定」を参照してください。
レポートとログ
219
レポートの管理
レポートとログ
レポート グループの管理
レポート グループを使用すると、レポートのセットを作成できます。システムはそのレポート
のセットをまとめ、オプションのタイトル ページとすべての構成レポートが含まれる 1 つの集
約された PDF レポートを送信することができます。
レポート グループのセットアップ
レポート グループをセットアッ 1.
プします。
使用している電子メール サーバーのサーバー プロファ
イルを作成します。
レポートを電子メールで送信するため 2.
のレポート グループをセットアップ
する必要があります。
[ レポート グループ ] を定義します。レポート グルー
プ で は、事 前 定 義 済 み レ ポ ー ト、PDF サ マ リ ー レ
ポート、カスタム レポート、およびログ ビュー レポー
トを 1 つの PDF にまとめることができます。
ステップ 1
注
a. [Monitor] > [ レポート グループ ] の順に選択します。
b. [ 追加 ] をクリックし、
レポート グループの [ 名前 ] を
入力します。
c.(任意)[ タイトル ページ ] を選択して、PDF 出力の
[ タイトル ] を追加します。
d. レポートグループに含めるレポートを左側の列から
選択して [ 追加 ] をクリックし、各レポートを右側
のレポート グループに移動します。
ログ ビュー レポートは、カスタム レポートを作成
するたびに自動的に作成されるレポート タイプで、
カスタム レポートと同じ名前が使用されます。この
レポートには、カスタム レポートの内容を作成する
ために使用されたログが表示されます。
ログ ビュー データを含めるには、レポート グルー
プを作成するときに [ カスタム レポート ] リストに
カスタム レポートを追加し、次に [ ログ ビュー] リ
ストから一致するレポート名を選択してログ ビュー
レポートを追加します。レポートには、カスタム レ
ポート データと、カスタム レポートの生成に使用
されたログ データが含まれています。
e. [OK] をクリックして設定を保存します。
f. レポート グループを使用するには、「電子メールで
配信するレポートのスケジュール設定」を参照して
ください。
220
レポートとログ
レポートとログ
レポートの管理
電子メールで配信するレポートのスケジュール設定
レポートは、毎日配信されるか、特定の曜日に毎週配信されるようにスケジュール設定するこ
とができます。スケジュール設定されたレポートの実行は午前 2 時に開始され、スケジュール
設定されたすべてのレポートが生成された後に電子メール配信が開始されます。
電子メールで配信するレポートのスケジュール設定
1.
[Monitor] > [PDF レポート ] > [ 電子メール スケジューラ ]
を選択します。
2.
電子メールで配信する [レポート グループ] を選択します。
レポート グループをセットアップするには、「レポート
グループの管理」を参照してください。
3.
[ 繰り返し ] では、レポートを生成して送信する頻度を選
択します。
4.
レポートの配信時に使用する電子メール サーバー プロ
ファイルを選択します。電子メール サーバー プロファイルをセットアップするには、「使用して
いる電子メール サーバーのサーバー プロファイルを作成します。」を参照してください。
5.
[ 受信者電子メール アドレスのオーバーライド ] フィールドには、独占的にレポートを送信する受
信者を指定できます。[ 受信者電子メール アドレスのオーバーライド ] に受信者を追加すると、そ
のレポートは、電子メール サーバー プロファイルで設定されている受信者には送信されませ
ん。このオプションは、電子メール サーバー プロファイルで定義されている管理者または受信
者以外の受信者の注意を喚起する場合に使用します。
レポートとログ
221
ログのフィールドの説明の解析
レポートとログ
ログのフィールドの説明の解析
以下は、外部サーバーに転送される 5 つのログ タイプそれぞれの標準的なフィールドの一覧で
す。解析しやすくするため、カンマを区切り文字としており、各フィールドはカンマ区切り値
(CSV)の文字列になっています。現在実装されていないか、将来のために予約されている
フィールドには、FUTURE_USE というタグが挿入されています。

トラフィック ログ

脅威ログ

HIP マッチ ログ

設定ログ

システム ログ
トラフィック ログ
フォーマット : FUTURE_USE、受信日時、シリアル番号、タイプ、サブタイプ、FUTURE_USE、
生成日時、送信元 IP、宛先 IP、NAT ソース IP、NAT 宛先 IP、ルール名、送信元ユーザー、宛
先ユーザー、アプリケーション、仮想システム、送信元ゾーン、宛先ゾーン、入力インター
フェイス、出力インターフェイス、ログ転送プロファイル、FUTURE_USE、セッション ID、繰
り返し回数、送信元ポート、宛先ポート、NAT ソース ポート、NAT 宛先ポート、フラグ、プ
ロトコル、アクション、バイト、送信済みバイト、受信済みバイト、パケット、開始時間、経
過時間、カテゴリ、FUTURE_USE、シーケンス番号、アクション フラグ、送信元の場所、宛先
の場所、FUTURE_USE、送信したパケット、受信したパケット。
フィールド名
説明
受信時間(receive_time)
管理プレーンでログが受信された時間。
シリアル番号(serial)
ログを生成したデバイスのシリアル番号。
タイプ(type)
ログのタイプを指定します。値は、「traffic」、「threat」、
「config」、「system」、「hip-match」です
サブタイプ(subtype)
トラフィック ログのサブタイプ。値は、「start」、「end」、「drop」、
「deny」です
• start — セッションが開始しました
• end — セッションが終了しました
• drop — アプリケーションが特定される前にセッションが廃棄され、
そのセッションを許可するルールがありません。
• deny — アプリケーションが特定された後にセッションが廃棄され、
そのセッションをブロックするルールがあるか、セッションを許
可するルールがありません。
生成日時(time_generated)
222
データプレーンでログが生成された日時。
レポートとログ
レポートとログ
ログのフィールドの説明の解析
フィールド名
説明
送信元 IP(src)
元のセッション送信元 IP アドレス
宛先 IP(dst)
元のセッション宛先 IP アドレス
NAT ソース IP(natsrc)
送信元 NAT が実行された場合は、NAT 後のソース IP アドレス
NAT 宛先 IP(natdst)
宛先 NAT が実行された場合は、NAT 後の宛先 IP アドレス
ルール名(rule)
セッションで一致したルールの名前
送信元ユーザー(srcuser)
セッションを開始したユーザーのユーザー名
宛先ユーザー(dstuser)
セッションの宛先となったユーザーのユーザー名
アプリケーション(app)
セッションに関連付けられたアプリケーション
仮想システム(vsys)
セッションに関連付けられた仮想システム
送信元ゾーン(from)
セッションの送信元となったゾーン
宛先ゾーン(to)
セッションの宛先となったゾーン
入力インターフェイス
(inbound_if)
セッションの送信元となったインターフェイス
出力インターフェイス
(outbound_if)
セッションの宛先となったインターフェイス
ログ転送プロファイル(logset)
セッションに適用されたログ転送プロファイル
セッション ID(sessionid)
各セッションに適用された内部の数値識別子
繰り返し回数(repeatcnt)
5 秒以内に開始された、送信元 IP、宛先 IP、アプリケーション、サ
ブタイプが同じになっているログの数。ICMP のみで使用されます。
送信元ポート(sport)
セッションで使用された送信元ポート
宛先ポート(dport)
セッションで使用された宛先ポート
NAT ソース ポート(natsport)
NAT 後のソース ポート
NAT 宛先ポート(natdport)
NAT 後の宛先ポート
レポートとログ
223
ログのフィールドの説明の解析
レポートとログ
フィールド名
説明
フラグ(flags)
セッションに関する詳細を示す 32 ビット フィールド。このフィール
ドは、以下のように、その値とログに記録されている値を AND 演算
することによってデコードできます。
• 0x80000000 — セッションにパケット キャプチャがあります(PCAP)
• 0x02000000 — IPv6 セッション
• 0x01000000 — SSL セッションが復号化された(SSL プロキシ)
• 0x00800000 — セッションが URL フィルタリングによって拒否され
ました
• 0x00400000 — セッションで NAT 変換が実行されました(NAT)
• 0x00200000 — セッションのユーザー情報がキャプティブ ポータル
によってキャプチャされました(キャプティブ ポータル)
• 0x00080000 — プロキシからの X-Forwarded-For 値は送信元ユーザー
フィールドにあります
• 0x00040000 — ログは http プロキシ セッション内のトランザクショ
ンに対応します(プロキシ トランザクション)
• 0x00008000 — セッションはコンテナ ページ アクセスです(コンテ
ナ ページ)
• 0x00002000 — セッションに、暗黙的なアプリケーションの依存関係
処理のルールでの一時的な一致があります。PAN-OS 5.0.0 以降で
使用できます
• 0x00000800 — このセッションのトラフィックを転送するために対称
リターンが使用されました
プロトコル(proto)
セッションに関連付けられた IP プロトコル
アクション(action)
セッションで実行されたアクション。値は「allow」または「deny」
です
• allow — セッションはポリシーによって許可されました
• deny — セッションはポリシーによって拒否されました
バイト(bytes)
セッションの合計バイト数(送受信)
送信済みバイト(bytes_sent)
セッションのクライアントからサーバー方向へのバイト数
PA-4000 シリーズ以外のすべてのモデルで使用できます
受信済みバイト(bytes_received) セッションのサーバーからクライアント方向へのバイト数
PA-4000 シリーズ以外のすべてのモデルで使用できます
パケット(packets)
セッションの合計パケット数(送受信)
開始時間(start)
セッションの開始日時
経過時間(elapsed)
セッションの経過時間
カテゴリ(category)
セッションに関連付けられた URL カテゴリ(該当する場合)
224
レポートとログ
レポートとログ
ログのフィールドの説明の解析
フィールド名
説明
シーケンス番号(seqno)
順次増分される 64 ビットのログ エントリ識別子。各ログ タイプに
は、一意の番号空間があります
アクション フラグ(actionflags)
ログが Panorama に転送されたかどうかを示すビット フィールド
送信元の場所(srcloc)
プライベート アドレスの送信元の国または内部領域。最大長は 32 バ
イトです
宛先の場所(dstloc)
プライベート アドレスの宛先の国または国内地域。最大長は 32 バイ
トです
送信されたパケット(pkts_sent) セッションのクライアントからサーバーへのパケットの数
PA-4000 シリーズ以外のすべてのモデルで使用できます
受信したパケット(pkts_received) セッションのサーバーからクライアントへのパケットの数
PA-4000 シリーズ以外のすべてのモデルで使用できます
脅威ログ
フォーマット : FUTURE_USE、受信日時、シリアル番号、タイプ、サブタイプ、FUTURE_USE、
生成日時、送信元 IP、宛先 IP、NAT ソース IP、NAT 宛先 IP、ルール名、送信元ユーザー、宛
先ユーザー、アプリケーション、仮想システム、送信元ゾーン、宛先ゾーン、入力インター
フェイス、出力インターフェイス、ログ転送プロファイル、FUTURE_USE、セッション ID、繰
り返し回数、送信元ポート、宛先ポート、NAT ソース ポート、NAT 宛先ポート、フラグ、プ
ロトコル、アクション、その他、脅威 ID、カテゴリ、重大度、方向、シーケンス番号、アク
ション フラグ、送信元の場所、宛先の場所、FUTURE_USE、コンテンツ タイプ、PCAP_id*、
Filedigest*、クラウド *
フィールド名
説明
受信時間(receive_time)
管理プレーンでログが受信された時間。
シリアル番号(serial)
ログを生成したデバイスのシリアル番号。
タイプ(type)
ログのタイプを指定します。値は、「traffic」、「threat」、「config」、
「system」、「hip-match」です
レポートとログ
225
ログのフィールドの説明の解析
レポートとログ
フィールド名
説明
サブタイプ(subtype)
脅威ログのサブタイプ。値は「URL」、「virus」、「spyware」、
「vulnerability」、「file」、「scan」、「flood」、「data」、「wildfire」です。
• url — URL フィルタリング ログ
• virus — ウイルス検出
• spyware — スパイウェア検出
• vulnerability — 脆弱性悪用検出
• file — ファイル タイプ ログ
• scan — ゾーン プロテクション プロファイルによって検出されたスキャン
• flood — ゾーン プロテクション プロファイルによって検出されたフラッド
• data — データ フィルタリング プロファイルから検出されたデータ パ
ターン
• wildfire — WildFire ログ
生成日時(time_generated)
データプレーンでログが生成された日時。
送信元 IP(src)
元のセッション送信元 IP アドレス
宛先 IP(dst)
元のセッション宛先 IP アドレス
NAT ソース IP(natsrc)
送信元 NAT が実行された場合は、NAT 後のソース IP アドレス
NAT 宛先 IP(natdst)
宛先 NAT が実行された場合は、NAT 後の宛先 IP アドレス
ルール名(rule)
セッションで一致したルールの名前
送信元ユーザー(srcuser)
セッションを開始したユーザーのユーザー名
宛先ユーザー(dstuser)
セッションの宛先となったユーザーのユーザー名
アプリケーション(app)
セッションに関連付けられたアプリケーション
仮想システム(vsys)
セッションに関連付けられた仮想システム
送信元ゾーン(from)
セッションの送信元となったゾーン
宛先ゾーン(to)
セッションの宛先となったゾーン
入力インターフェイス
(inbound_if)
セッションの送信元となったインターフェイス
出力インターフェイス
(outbound_if)
セッションの宛先となったインターフェイス
ログ転送プロファイル
(logset)
セッションに適用されたログ転送プロファイル
セッション ID(sessionid)
各セッションに適用された内部の数値識別子
繰り返し回数(repeatcnt)
5 秒以内に開始された、送信元 IP、宛先 IP、アプリケーション、サブタイ
プが同じになっているログの数。ICMP のみで使用されます。
226
レポートとログ
レポートとログ
ログのフィールドの説明の解析
フィールド名
説明
送信元ポート(sport)
セッションで使用された送信元ポート
宛先ポート(dport)
セッションで使用された宛先ポート
NAT ソース ポート
(natsport)
NAT 後のソース ポート
NAT 宛先ポート
(natdport)
NAT 後の宛先ポート
フラグ(flags)
セッションに関する詳細を示す 32 ビット フィールド。このフィールド
は、以下のように、その値とログに記録されている値を AND 演算するこ
とによってデコードできます。
• 0x80000000 — セッションにパケット キャプチャがあります(PCAP)
• 0x02000000 — IPv6 セッション
• 0x01000000 — SSL セッションが復号化された(SSL プロキシ)
• 0x00800000 — セッションが URL フィルタリングによって拒否されました
• 0x00400000 — セッションで NAT 変換が実行されました(NAT)
• 0x00200000 — セッションのユーザー情報がキャプティブ ポータルによっ
てキャプチャされました(キャプティブ ポータル)
• 0x00080000 — プロキシからの X-Forwarded-For 値は送信元ユーザー フィー
ルドにあります
• 0x00040000 — ログは http プロキシ セッション内のトランザクションに
対応します(プロキシ トランザクション)
• 0x00008000 — セッションはコンテナ ページ アクセスです(コンテナ
ページ)
• 0x00002000 — セッションに、暗黙的なアプリケーションの依存関係処理の
ルールでの一時的な一致があります。PAN-OS 5.0.0 以降で使用できます
• 0x00000800 — このセッションのトラフィックを転送するために対称リター
ンが使用されました
プロトコル(proto)
レポートとログ
セッションに関連付けられた IP プロトコル
227
ログのフィールドの説明の解析
レポートとログ
フィールド名
説明
アクション(action)
セッションで実行されたアクション。値は、「alert」、「allow」、
「deny」、「drop」、「drop-all-packets」、「reset-client」、「reset-server」、
「reset-both」、「block-url」です
• alert — 脅威または URL が検出されましたが、ブロックされていません
• allow — フラッド検出アラート
• deny — フラッド検出メカニズムがアクティブ化され、設定に基づいてト
ラフィックを拒否します
• drop — 脅威が検出され、関連付けられたセッションが廃棄されました
• drop-all-packets — 脅威が検出されてセッションは残されましたが、すべ
てのパケットを破棄します。
• reset-client — 脅威が検出され、TCP RST がクライアントに送信されま
した
• reset-server — 脅威が検出され、TCP RST がサーバーに送信されました
• reset-both — 脅威が検出され、TCP RST がクライアントとサーバーの両方
に送信されました
• block-url — ブロックするように設定された URL カテゴリで照合が行わ
れたため、URL 要求がブロックされました
その他(misc)
変数長が最大で 1023 文字のフィールド
サブタイプが url の場合の実際の URI
サブタイプが file の場合のファイル名またはファイル タイプ
サブタイプが virus の場合のファイル名
サブタイプが wildfire の場合のファイル名
脅威 ID(threatid)
脅威の Palo Alto Networks 識別子。一部のサブタイプでは、説明の文字列に
かっこで囲んだ 64 ビットの数値識別子が続きます。
• 8000 ~ 8099 — スキャン検出
• 8500 ~ 8599 — フラッド検出
• 9999 — URL フィルタリング ログ
• 10000 ~ 19999 — スパイウェア フォンホーム検出
• 20000 ~ 29999 — スパイウェア ダウンロード検出
• 30000 ~ 44999 — 脆弱性悪用検出
• 52000 ~ 52999 — ファイルタイプ検出
• 60000 ~ 69999 — データ フィルタリング検出
• 100000 ~ 2999999 — ウイルス検出
• 3000000 ~ 3999999 — WildFire シグネチャ フィード
• 4000000 ~ 4999999 — DNS ボットネット シグネチャ
228
レポートとログ
レポートとログ
ログのフィールドの説明の解析
フィールド名
説明
カテゴリ(category)
URL サブタイプの場合は URL カテゴリ、WildFire サブタイプの場合はファ
イルの判定 (「malicious」または「benign」)です。その他のサブタイプ
の場合、値は「any」です。
重大度(severity)
脅 威 に 関 連 付 け ら れ た 重 大 度。値 は、「informational」、「low」、
「medium」、「high」、「critical」です
方向(direction)
攻撃の方向(「クライアントからサーバーへ」、または「サーバーからク
ライアントへ」)を示します
• 0 — 脅威の方向はクライアントからサーバーへ
• 1 — 脅威の方向はサーバーからクライアントへ
シーケンス番号(seqno)
順次増分される 64 ビットのログ エントリ識別子。各ログ タイプには、一
意の番号空間があります。
アクション フラグ
(actionflags)
ログが Panorama に転送されたかどうかを示すビット フィールド。
送信元の場所(srcloc)
プライベート アドレスの送信元の国または国内地域最大長は 32 バイト
です。
宛先の場所(dstloc)
プライベート アドレスの宛先の国または国内地域。最大長は 32 バイト
です。
現在のタイプ
(contenttype)
サブタイプが URL の場合にのみ適用されます。
6.0 での新機能
PCAP ID(pcap_id)
Pcap-ID は、脅威 pcap ファイルをそのフローの一部として取得された拡張
pcap と相関させるための 64 ビット未署名整数です。すべての脅威ログに
は、値が 0 の pcap_id(関連付けられた pcap なし)か、拡張 pcap ファイル
を指す ID のどちらかが含められます。
6.0 での新機能
ファイル ダイジェスト
(filedigest)
WildFire サ ブタイ プの 場合の み。それ 以外 のすべ ての タイプ ではこ の
フィールドを使用しません
6.0 での新機能
クラウド(cloud)
WildFire サ ブタイ プの 場合の み。それ 以外 のすべ ての タイプ ではこ の
フィールドを使用しません
HTTP 応答データのコンテンツ タイプ。最大長は 32 バイトです。
ファイルダイジェスト文字列には、WildFire サービスによって分析される
ために送信されたファイルのバイナリ ハッシュを示します
クラウド文字列には、分析用ファイルのアップロード元となった WildFire
アプライアンス(プライベート)と WildFire クラウド(パブリック)のい
ずれかの FQDN が示されます。
レポートとログ
229
ログのフィールドの説明の解析
レポートとログ
HIP マッチ ログ
フォーマット : FUTURE_USE、受信日時、シリアル番号、タイプ、サブタイプ、FUTURE_USE、
FUTURE_USE、送信元ユーザー、仮想システム、マシン名、OS*、送信元アドレス、HIP、繰
り返し回数、HIP タイプ、FUTURE_USE、FUTURE_USE、シーケンス番号、アクション フラグ
フィールド名
説明
受信時間
(receive_time)
管理プレーンでログが受信された時間。
シリアル番号(serial)
ログを生成したデバイスのシリアル番号。
タイプ(type)
ログのタイプ。値は、「traffic」、「threat」、「config」、「system」、
「hip-match」です
サブタイプ(subtype)
HIP マッチ ログのサブタイプ。未使用
送信元ユーザー
(srcuser)
セッションを開始したユーザーのユーザー名
仮想システム(vsys)
HIP マッチ ログに関連付けられた仮想システム
マシン名
(machinename)
ユーザーのマシンの名前です
6.0 での新機能 OS
ユーザーのマシンまたはデバイス(またはクライアント システム)にイ
ンストールされているオペレーティング システム
送信元アドレス(src)
送信元ユーザーの IP アドレス
HIP(matchname)
HIP オブジェクトまたはプロファイルの名前
繰り返し回数
(repeatcnt)
HIP プロファイルが一致した回数
HIP タイプ
(matchtype)
hip フィールドが HIP オブジェクトまたは HIP プロファイルを表すかどうか
シーケンス番号
(seqno)
順次増分される 64 ビットのログ エントリ識別子。各ログ タイプには、一
意の番号空間があります
アクション フラグ
(actionflags)
ログが Panorama に転送されたかどうかを示すビット フィールド
230
レポートとログ
レポートとログ
ログのフィールドの説明の解析
設定ログ
フォーマット : FUTURE_USE、受信日時、シリアル番号、タイプ、サブタイプ、FUTURE_USE、
FUTURE_USE、ホスト、仮想システム、コマンド、管理者、クライアント、結果、設定パス、
シーケンス番号、アクション フラグ
フィールド名
説明
受信時間
(receive_time)
管理プレーンでログが受信された時間。
シリアル番号(serial)
ログを生成したデバイスのシリアル番号。
タイプ(type)
ログのタイプ。値は、「traffic」、「threat」、「config」、「system」、
「hip-match」です
サブタイプ(subtype)
設定ログのサブタイプ。未使用
ホスト(host)
クライアント マシンのホスト名または IP アドレス。
仮想システム(vsys)
設定ログに関連付けられた仮想システム
コマンド(cmd)
管理者によって実行されたコマンド。値は、「add」、「clone」、
「commit」、「delete」、「edit」、「move」、「rename」、「set」、
「validate」です
管理者(admin)
設定を実行する管理者のユーザー名
クライアント(client)
管理者によって使用されるクライアント。値は「Web」と「CLI」です
結果(result)
設定アクションの結果。値は、「Submitted」、「Succeeded」、「Failed」、
「Unauthorized」です
設定パス(path)
発行された設定コマンドのパス。最大長 512 バイト
シーケンス番号
(seqno)
順次増分される 64 ビットのログ エントリ識別子。各ログ タイプには、一意
の番号空間があります。
アクション フラグ
(actionflags)
ログが Panorama に転送されたかどうかを示すビット フィールド。
レポートとログ
231
ログのフィールドの説明の解析
レポートとログ
システム ログ
フォーマット : FUTURE_USE、受信日時、シリアル番号、タイプ、サブタイプ、FUTURE_USE、
FUTURE_USE、仮想システム、イベント ID、オブジェクト、FUTURE_USE、FUTURE_USE、
モジュール、重大度、説明、シーケンス番号、アクション フラグ
フィールド名
説明
受信時間(receive_time) 管理プレーンでログが受信された時間。
シリアル番号(serial)
ログを生成したデバイスのシリアル番号。
タイプ(type)
ログのタイプ。値は、「traffic」、「threat」、「config」、「system」、
「hip-match」です
サブタイプ(subtype)
システム ログのサブタイプ。ログを生成するシステム デーモンを参照し
ます。値は、「crypto」、「dhcp」、「dnsproxy」、「dos」、「general」、
「global-protect」、「ha」、「hw」、「nat」、「ntpd」、「pbf」、
「port」、「pppoe」、「ras」、「routing」、「satd」、「sslmgr」、
「sslvpn」、「userid」、「url-filtering」、「vpn」です
仮想システム(vsys)
設定ログに関連付けられた仮想システム
イベント ID(eventid)
イベントの名前を示す文字列。
オブジェクト(object)
システム イベントに関連付けられてたオブジェクトの名前
モジュール(module)
このフィールドは、subtype フィールドの値が general の場合にのみ有効です
ログを生成するサブシステムに関する補足情報を提供します。値は、
「general」、[management」、「auth」、「ha」、「upgrade」、「chassis」
です
重大度(severity)
イ ベ ン ト に 関 連 付 け ら れ た 重 大 度。値 は、「informational」、「low」、
「medium」、「high」、「critical」です
説明(opaque)
イベントの詳細な説明。最大 512 バイト
シーケンス番号
(seqno)
順次増分される 64 ビットのログ エントリ識別子。各ログ タイプには、一
意の番号空間があります
アクション フラグ
(actionflags)
ログが Panorama に転送されたかどうかを示すビット フィールド
232
レポートとログ
レポートとログ
ログのフィールドの説明の解析
Syslog の重大度
Syslog の重大度は、ログ タイプとコンテンツに基づいて設定されます。
ログ タイプ / 重大度
Syslog の重大度
トラフィック
情報
設定
情報
脅威 / システム — Informational
情報
脅威 / システム — Low
通知
脅威 / システム — Medium
警告
脅威 / システム — High
エラー
脅威 / システム — Critical
Critical
カスタム ログ / イベントのフォーマット
外部ログ解析システムと統合しやすくするため、ファイアウォールでは、ログ フォーマットを
カスタマイズすることができます。また、カスタムの Key: Value 属性ペアを追加することもで
きます。カスタム メッセージのフォーマットは、[Device] > [ サーバー プロファイル ] > [Syslog] >
[Syslog サーバー プロファイル ] > [ カスタム ログ フォーマット ] で設定できます。
ArcSight Common Event Format(CEF)準拠のログ フォーマットを設定するには、『CEF Configuration
Guide』を参照してください。
エスケープ シーケンス
カンマまたは二重引用符を含むフィールドは、二重引用符で囲みます。さらに、二重引用符が
1 つのフィールド内に含まれる場合は、別の二重引用符を前に付けてエスケープします。下位
互換性を維持するため、脅威ログの「その他」フィールドは常に二重引用符で囲みます。
レポートとログ
233
ログのフィールドの説明の解析
レポートとログ
234
レポートとログ
User-ID
User-ID は Palo Alto Networks の次世代のファイアウォール機能で、個々の IP アドレスの代わり
にユーザーとグループに基づいてポリシーを作成し、レポートを実行できます。ここでは、
Palo Alto Networks の User-ID 機能と、ユーザーおよびグループ ベースのアクセスを設定する方
法について説明します。

User-ID の概要

ユーザー対グループのマッピング

IP アドレス対ユーザーのマッピング

ユーザーおよびグループ ベースのポリシーを有効にする

User-ID 設定の確認
User-ID
235
User-ID の概要
User-ID
User-ID の概要
User-ID は、Palo Alto Networks のファイアウォールとさまざまな企業ディレクトリおよび端末
サービスをシームレスに統合することにより、アプリケーションの動作とセキュリティ ポリ
シーを、IP アドレスだけでなくユーザーおよびグループに結合させることができます。さら
に、User-ID を有効にすると、アプリケーション コマンド センター(ACC)、アプリケーショ
ン スコープ、レポート、およびログのすべてにユーザーの IP アドレスに加えてユーザー名が含
まれます。
Palo Alto Networks の次世代ファイアウォールでは、以下の企業向けサービスのモニタリングを
サポートしています。

Microsoft Active Directory

LDAP

Novell eDirectory

Citrix Metaframe Presentation Server または XenApp

Microsoft Terminal Services
ユーザーおよびグループに基づいてポリシーを作成できるようにするには、ファイアウォール
で、ポリシーを定義するときに使用可能なすべてのユーザーと対応するグループを選択できる
マッピングのリストが必要です。このリストでは、LDAP ディレクトリ サーバーに直接接続し
てグループ マッピング情報を取得します。詳細は「グループ マッピングについて」を参照して
ください。
ユーザーおよびグループ ベースのポリシーを実施できるようにするには、ファイアウォールで
受信するパケットの IP アドレスをユーザー名にマッピングできる必要があります。User-ID
は、この IP アドレスからユーザー名へのマッピングを実現するさまざまなメカニズムを提供し
ます。たとえば、サーバー ログのログオン イベントをモニターするエージェント、クライアン
トのプローブ、認証サービスからの Syslog メッセージのリッスンなどを使用します。エージェン
ト メカニズムを使用してマッピングされていない IP アドレスのマッピングを識別するには、
HTTP 要求をキャプティブ ポータルのログインにリダイレクトするようにファイアウォールを
設定できます。ユーザー マッピングに使用するメカニズムを環境に合わせて変更できます。さ
らに異なるサイトの異なるメカニズムを使用することもできます。詳細は「ユーザー マッピン
グについて」を参照してください。
236
User-ID
User-ID
User-ID の概要
グループ マッピングについて
ユーザーまたはグループに基づいてセキュリティ ポリシーを定義するには、ファイアウォール
でディレクトリ サーバーからグループのリストおよび対応するメンバーのリストを取得する必
要があります。この機能を有効にするには、LDAP サーバー プロファイルを作成する必要があり
ます。このプロファイルからファイアウォールに対して、サーバーへの接続および認証方法
と、ディレクトリでユーザーおよびグループの情報を検索する方法に関する命令が行われま
す。LDAP サーバーに接続し、ユーザー識別のためのグループ マッピング機能を設定すると、セ
キュリティ ポリシーを定義するときにユーザーまたはグループを選択できるようになります。
ファ イ ア ウォ ー ルは、Microsoft Active Directory(AD)、Novell eDirectory、Sun ONE Directory
Server を含む、さまざまな LDAP ディレクトリ サーバーをサポートしています。
その後、個々のユーザーではなくグループ メンバーシップに基づいてポリシーを定義すること
で、管理を簡略化できます。たとえば、以下のセキュリティ ポリシーは、グループ メンバーシッ
プに基づいて特定の内部アプリケーションへのアクセスを許可します。
User-ID
237
User-ID の概要
User-ID
ユーザー マッピングについて
ユーザーおよびグループに名前がついているだけでは、パズルの 1 ピースに過ぎません。ファ
イアウォールでは、セキュリティ ポリシーを正しく実施するためにも、どの IP アドレスがどの
ユーザーにマッピングされるかを知る必要があります。図 : ユーザー マッピングは、ネットワー
ク上のユーザーおよびグループを識別するために使用されるさまざまな方法と、ユーザー マッ
ピングとグループ マッピングが連携してユーザーベースおよびグループベースのセキュリティ
の実施と可視化を可能にする仕組みを示しています。
ユーザー マッピングのさまざまなメカニズムを設定する方法の詳細は、「IP アドレス対ユー
ザーのマッピング」を参照してください。
図 : ユーザー マッピング
以下のトピックでは、ユーザーマッピングのさまざまな方法について説明します。

サーバー モニタリング

クライアントに対するプローブ

ポート マッピング

Syslog

キャプティブ ポータル

GlobalProtect

User-ID XML API
238
User-ID
User-ID
User-ID の概要
サーバー モニタリング
サーバー モニタリングを使用すると、User-ID エージェント(ネットワーク内のドメイン サー
バー上で実行される Windows ベースのエージェント、またはファイアウォール上で実行される
PAN-OS User-ID エージェント)は、指定された Microsoft Exchange Server、ドメイン コントロー
ラ、または Novell eDirectory サーバーのセキュリティ イベント ログのログオン イベントをモニ
ターします。たとえば、AD 環境では、User-ID エージェントを設定して、Kerberos チケットの
付与または更新、Exchange サーバー アクセス(設定されている場合)、およびファイルと印刷
サービスの接続のセキュリティ ログをモニターできます。これらのイベントをセキュリティ ロ
グに記録するには、アカウントのログオン完了イベントを記録するように AD ドメインを設定
する必要があります。さらに、ユーザーはドメイン内の任意のサーバーにログインできるた
め、すべてのユーザー ログオン イベントをキャプチャするには、全てのサーバーに対してサー
バー モニタリングをセットアップする必要があります。
サーバー モニタリングは、必要なオーバーヘッドが非常に小さく、ユーザーの大部分は通常、
この方法を使用してマッピングできるため、ほとんどの User-ID デプロイメントで標準ユー
ザー マッピング方法として推奨されます。詳細は、「Windows User-ID エージェントを使用した
ユーザー マッピングの設定」または「PAN-OS 統合 User-ID エージェントを使用したユーザー
マッピングの設定」を参照してください。
クライアントに対するプローブ
Microsoft Windows 環境では、Windows Management Instrumentation(WMI)を使用してクライアン
ト システムをプローブするように User-ID エージェントを設定できます。また、Windows ベー
スの User-ID エージェントは、NetBIOS プローブも実行できます(PAN-OS 統合 User-ID エー
ジェントではサポートされていません)。プローブは、IP アドレスのターンオーバーが高い環
境で特に役立ちます。これは、変更がファイアウォールにより早く反映され、ユーザーベース
のポリシーがより正確に実施できるようになるためです。ただし、IP アドレスとユーザーの相
関関係が非常に固定的な場合は、クライアント プローブは必要ありません。プローブは大量の
ネットワーク トラフィックを生成する場合がある(マッピングされた IP アドレスの総数によ
る)ため、プローブを開始するエージェントは、エンド クライアントにできるだけ近いところ
に置く必要があります。
プローブが有効になっていると、同じユーザーがまだログインしていることを確認するため、取
得された各 IP アドレスがエージェントで定期的(デフォルトでは 20分ごとですが、これは設定可
能です)にプローブされます。また、ユーザー マッピングが存在しない IP アドレスがファイア
ウォールで発生すると、アドレスがエージェントに送信されてプローブが直ちに行われます。
詳細は、「Windows User-ID エ ー ジェ ン トを 使 用し た ユー ザ ー マ ッピ ン グ の設 定」または
「PAN-OS 統合 User-ID エージェントを使用したユーザー マッピングの設定」を参照してくだ
さい。
User-ID
239
User-ID の概要
User-ID
ポート マッピング
Microsoft Terminal Server や Citrix 環境など、マルチ ユーザー システム環境の場合、多くのユー
ザーが同じ IP アドレスを共有します。このような場合、ユーザー対 IP アドレスのマッピング
プロセスで、クライアントごとの送信元ポートの情報が必要となります。このタイプのマッピ
ングを実行するには、Windows Terminal Server/Citrix のターミナル サーバー自体に Palo Alto
Networks Terminal Services Agent をインストールし、さまざまなユーザー プロセスに対する送信
元ポートの割り当てを仲介する必要があります。Linux ターミナル サーバーのようにターミナ
ル サービス エージェントをサポートしないターミナル サーバーの場合、XML API を使用し
て、ユーザー マッピング情報をログイン イベントおよびログアウト イベントから User-ID に送
信できます。設定の詳細については、「ターミナル サーバー ユーザー向けのユーザー マッピ
ング設定」を参照してください。
Syslog
ワイヤレス コントローラ、802.1x デバイス、Apple Open Directory サーバー、プロキシ サー
バー、その他のネットワーク アクセス制御(NAC)メカニズムなど、ユーザーを認証する既存
のネットワーク サービスが存在する環境では、ファイアウォールの User-ID エージェント
(ファイアウォール上の Windows エージェントまたは PAN-OS 統合エージェント)で、それら
のサービスから認証 Syslog メッセージをリッスンできます。コンテンツ更新で提供される Syslog
のフィルタ(統合された User-ID エージェントの場合のみ)か、手動で設定された Syslog の
フィルタでは、User-ID エージェントが、外部サービスで生成された認証 Syslog イベントからユー
ザー名と IP アドレスを解析および抽出し、ファイアウォールで管理される User-ID の IP アドレス
からユーザー名のマッピングにその情報を追加できます。設定の詳細については、「Syslog 送信
元からユーザー マッピングを受信するための User-ID の設定」を参照してください。
240
User-ID
User-ID
User-ID の概要
図 : User-ID の Syslog との統合
キャプティブ ポータル
ユーザーがログインしていない場合や、ドメイン サーバーでサポートされていない Linux など
のオペレーティング システムを使用している場合など、User-ID エージェントのファイア
ウォールで IP アドレスとユーザーをマッピングできない場合、キャプティブ ポータルを設定で
きます。キャプティブ ポータルを設定すると、キャプティブ ポータルのポリシーと一致する Web
トラフィック(HTTP または HTTPS)でユーザー認証が必要となります。ユーザー認証は、NT
LAN Manager(NTLM)からブラウザへの認証チャレンジを透過的に行うか、またはユーザーを
Web 認証フォームにリダイレクトして RADIUS、LDAP、Kerberos、またはローカル認証データ
ベースに対する認証をアクティブに行うか、またはクライアント証明書による認証を使用して
行います。詳細は、「キャプティブ ポータルを使用した IP アドレス対ユーザー名のマッピン
グ」を参照してください。
User-ID
241
User-ID の概要
User-ID
GlobalProtect
モバイル ユーザーやローミング ユーザーの場合、GlobalProtect クライアントからユーザー マッ
ピング情報がファイアウォールに直接提供されます。この場合、すべての GlobalProtect ユー
ザーは、ファイアウォールへの VPN アクセスのためのログイン認証情報を入力する必要がある
エージェントまたはアプリケーションをクライアント上で実行しています。その後、このログ
イン情報は、可視化およびユーザーベース セキュリティ ポリシーの実施のために、ファイア
ウォール上の User-ID ユーザー マッピング テーブルに追加されます。GlobalProtect ユーザーが
ネットワークにアクセスするには認証が必要なため、IP アドレス対ユーザー名のマッピングは
明確に分かります。これは、アプリケーションやサービスへのアクセスを許可するためにユー
ザーが誰であるかを知る必要がある機密環境では最適なソリューションです。GlobalProtect の
セットアップの詳細は、『GlobalProtect 管理者ガイド』を参照してください。
User-ID XML API
たとえば、サードパーティ VPN ソリューションから接続しているユーザーや 802.1x 対応無線ネット
ワークに接続しているユーザーのマッピングの追加など、標準的なユーザー マッピング手法や
キャプティブ ポータルを使用してマッピングできない他のタイプのユーザー アクセスには、
User-ID XML API を使用してログイン イベントをキャプチャし、User-ID または直接ファイア
ウォールに送信できます。詳細は、「XML API を使用した User-ID へのユーザー マッピングの
送信」を参照してください。
242
User-ID
User-ID
ユーザー対グループのマッピング
ユーザー対グループのマッピング
以下の手順により LDAP ディレクトリに接続し、ファイアウォールでユーザー対グループの
マッピング情報を取得できるようにします。
Active Directory 環境でのグループ マッピングのベスト プラクティス
• ドメインが 1 つの場合、ファイアウォールを接続性が最も良いドメイン コントローラに接続する LDAP
サーバー プロファイルが 1 つだけ必要です。フォールト トレランスのために別のドメイン コントロー
ラを追加することもできます。
• 複数のドメインや複数のフォレストがある場合には、各ドメイン / フォレストのドメイン サーバーに
接続するためのサーバー プロファイルを作成する必要があります。異なるフォレスト内のユーザー名
が一意になるようにする必要があります。
• ユニバーサル グループがある場合、グローバル カタログ サーバーに接続するサーバー プロファイル
を作成します。
User-ID
243
ユーザー対グループのマッピング
User-ID
ユーザー対グループのマッピング
ステップ 1
LDAP サーバー プロファイルを作成し、ファイアウォールがグループのマッピング情報の
取得に使用する、ディレクトリ サーバーへの接続方法を指定します。
1. [Device] > [ サーバー プロファ
イル ] > [LDAP] の順に選択し
ます。
2. [追加] をクリックし、プロファ
イルの [ 名前 ] を入力します。
3. (任意)[場所] ドロップダウ
ン リストから、このプロファ
イルの適用先となる仮想システ
ムを選択します。
4. [ 追加 ] をクリックして新しい
LDAP サーバーのエントリを追
加し、[サーバー] フィールドにサーバーを識別できる名前(1-31 文字)を入力し、IP アドレ
スを [ アドレス ] フィールドに、ポート番号を [ ポート ] フィールドにそれぞれ入力し
ます。ファイアウォールでは、これらの情報を使用して LDAP サーバーに接続します
(LDAP のデフォルトのポート番号は 389、LDAP over SSL は 636 です)。プロファイルに追加
できる LDAP サーバーは最大 4 つですが、プロファイルに追加するサーバーは、すべて
同じタイプのものでなければなりません。冗長性を確保するために、2 つ以上のサーバーを
追加することをお勧めします。
5. LDAP のドメイン名を [ ドメイン ] フィールドに入力すると、サーバーから取得したす
べてのオブジェクトの先頭にこのドメイン名が追加されます。ここで入力する値は、デプロ
イメント タイプにより異なります。
• Active Directory を使用している場合は、FQDN ではなく NetBIOS のドメイン名(例 :
acme.com ではなく acme)を入力する必要があります。データを複数のドメインから収集
する必要がある場合は、サーバー プロファイルを個別に作成する必要があります。
• グローバル カタログ サーバーを使用している場合、このフィールドは空白のままに
しておきます。
6. [ タイプ ] フィールドで接続先となる LDAP サーバーを選択します。選択したタイプに
基づき、グループ マッピング設定に正しい LDAP 属性が自動的に入力されます。ただ
し、LDAP スキーマをカスタマイズしている場合、デフォルトの設定を変更する必要があり
ます。
7. [ ベース ] フィールドで、ファイアウォールが LDAP ツリー内でユーザーおよびグルー
プの情報検索を開始するポイントに対応する DN を選択します。
8. LDAP ツリーにバインドする認証情報を、[ バインド DN]、[ バインド パスワード ]、[ 再
入力バインド パスワード ] の各フィールドに入力します。バインド DN は、ユーザー プ
リンシパル名(UPN)形式
(例 : administrator@acme.local)または LDAP の完全修飾名
(例 : cn=administrator,cn=users,dc=acme,dc=local)のどちらかになります。
9. ファイアウォールから安全な接続を介して LDAP サーバーとの通信を行う場合は、[SSL]
チェックボックスをオンにします。[SSL] を有効にする場合は、適切なポート番号が指定さ
れていることを確認する必要があります。
10. [OK] をクリックしてプロファイルを保存します。
244
User-ID
User-ID
ユーザー対グループのマッピング
ユーザー対グループのマッピング(続き)
ステップ 2
LDAP サーバー プロファイルを User-ID のグループ マッピング設定に追加します。
1. [Device] > [User-ID] > [ グループ マッ
ピング設定 ] の順に選択し、[ 追加 ]
をクリックします。
2. [ サーバー プロファイル ] で、ス
テップ 1 で作成したプロファイル
を選択します。
3. [ 有効 ] チェックボックスがオン
になっていることを確認します。
4. (オプション)セキュリティ ポリ
シー内で表示するグループを制限
する場合、[許可リストのグルー
プ化 ] タブを選択し、LDAP ツリー
を参照してポリシー内で使用でき
るグループを特定します。含める
各グループを [ 使用可能なグルー
プ ] リストで選択し、追加 アイコンをクリックして [ 含まれたグループ ] リストに移
動します。ポリシーで使用可能にするグループごとに、この手順を繰り返します。
5. [OK] をクリックして設定を保存します。
ステップ 3
User-ID
設定を保存します。
[Commit] をクリックします。
245
IP アドレス対ユーザーのマッピング
User-ID
IP アドレス対ユーザーのマッピング
IP アドレスとユーザー名のマッピングを実行するのに必要なタスクは、ネットワーク上のクラ
イアント システムのタイプや場所により異なります。以下のタスクの中から、クライアント シ
ステムでマッピングを有効にするのに必要なものを実行します。

Exchange サーバー、ドメイン コントローラ、eDirectory サーバー、または直接プローブでき
る Windows クライアントにログインしたときにユーザーをマッピングするには、User-ID
エージェントを設定してサーバー ログをモニターしたりクライアント システムをプローブ
する必要があります。モニターするサーバーおよびクライアントを含むドメイン内の 1 台
以上のメンバー サーバーにスタンドアロン Windows User-ID エージェントをインストー
ルするか(「Windows User-ID エージェントを使用したユーザー マッピングの設定」を参
照)、PAN-OS と統合されたファイアウォール上の User-ID エージェントを設定できます
(「PAN-OS 統合 User-ID エージェントを使用したユーザー マッピングの設定」を参照)。
ネットワークに適したエージェント設定の指針、および必要なエージェントの数と配置に
ついては、『Architecting User Identification Deployments』(英語)を参照してください。

Microsoft Terminal Server、または Citrix の Metaframe Presentation Server や XenApp などのマル
チユーザー システムを実行しているクライアントがある場合、Windows サーバー上での
エージェントのインストールおよび設定方法については「Palo Alto Networks ターミナル
サーバー エージェントのユーザー マッピング設定」を参照してください。Windows 上で実行
していないマルチユーザー システムがある場合は、User-ID XML API を使用して IP アドレス
対ユーザー名のマッピングを直接ファイアウォールに送信できます。「User-ID XML API を
使用したターミナル サーバーからのユーザー マッピングの取得」を参照してください。

ワイヤレス コントローラ、802.1x デバイス、Apple Open Directory サーバー、プロキシ サー
バー、その他のネットワーク アクセス制御(NAC)メカニズムなど、ユーザーを認証する
既存のネットワーク サービスからユーザー マッピングを取得するには、User-ID エージェ
ント(Windows エージェントまたはファイアウォール上のエージェントレス ユーザー マッ
ピング機能)を設定して、それらのサービスから認証 Syslog メッセージをリッスンできま
す。「Syslog 送信元からユーザー マッピングを受信するための User-ID の設定」を参照して
ください。

ドメインにログインしていない Linux クライアントを実行するユーザーなど、ドメイン サー
バーにログインしていないクライアント システムのユーザーの場合は、「キャプティブ
ポータルを使用した IP アドレス対ユーザー名のマッピング」を参照してください。

前述の方法でマッピングできないその他のクライアントについては、User-ID XML API を使
用してユーザー マッピングを直接ファイアウォールに追加できます。「XML API を使用し
た User-ID へのユーザー マッピングの送信」を参照してください。

ポリシーは各ファイアウォールでローカルなため、セキュリティ ポリシーをグループまたは
ユーザーに基づいて正確に実施するためには、各ファイアウォールが IP アドレス対ユー
ザー名のマッピングの最新リストを持つ必要があります。ただし、1 台のファイアウォール
がすべてのユーザー マッピングを収集し、他のファイアウォールに配布するように設定で
きます。詳細は、「他のファイアウォールとユーザー マッピング データを共有するための
ファイアウォールの設定」を参照してください。
246
User-ID
User-ID
IP アドレス対ユーザーのマッピング
Windows User-ID エージェントを使用したユーザー マッピングの設定
多くの場合、ネットワーク ユーザーの大部分がモニター対象のドメイン サービスにログインで
きます。これらのユーザーに対して、Palo Alto Networks User-ID エージェントはサーバーのログ
インおよびログアウト イベントをモニターし、IP アドレス対ユーザーのマッピングを実行しま
す。User-ID エージェントを設定する方法は、環境の規模やドメイン サーバーの場所により異
なります。ベスト プラクティスとして、User-ID エージェントはモニター対象のサーバーの近
くに配置します(つまり、モニター対象のサーバーと Windows User-ID エージェントの間に
WAN リンクをはさまないようにします)。これは、ユーザー マッピングのトラフィックが
エージェントとモニター対象サーバーの間で発生し、エージェントとファイアウォール間のト
ラフィック(最終更新以降の IP アドレス マッピングの差分情報)の量もごくわずかなためです。
以下のトピックでは、User-ID エージェントのインストールと設定の方法、およびファイア
ウォールがエージェントからユーザー マッピング情報を取得するための設定方法について説明
します。

User-ID エージェントのインストール

ユーザー マッピングのための User-ID エージェントの設定
User-ID エージェントのインストール
以下の手順では、User-ID エージェントをドメイン内のメンバー サーバー上にインストール
し、必要な権限が設定されたサービス アカウントをセットアップする方法を示します。アップ
グレードする場合、インストーラは古いバージョンを自動的に削除しますが、インストーラを
実行する前に config.xml ファイルをバックアップしておくことをお勧めします。
Windows ベースの User-ID エージェントをインストールするためのシステム要件の詳細、およ
びサポートされているサーバー OS バージョンに関する情報は、Palo Alto Networks のソフト
ウェア更新ページから入手できる『User-ID エージェント リリース ノート』の「User-ID エー
ジェントのオペレーティング システム(OS)互換性」を参照してください。
User-ID
247
IP アドレス対ユーザーのマッピング
User-ID
Windows User-ID エージェントのインストール
User-ID エージェントをインス • User-ID エージェントは以下のいずれかの OS バージョン
を実行しているシステムにインストールする必要があり
トールする場所を決定します。
ます(32 ビットと 64 ビットの両方がサポートされてい
User-ID エージェントはドメイ
ます)。
ン コントローラおよび Exchange
• Microsoft Windows XP/Vista/7
サーバーのログに対して
Microsoft Remote Procedure Call
• Microsoft Windows Server 2003/2008
(MSRPC)を使用してクエリ
を実行します。これには、各 • User-ID エージェントをインストールしようとしているシ
ステムが、モニター対象のサーバーが属しているドメイ
クエリでログ全体の完全な転
ンのメンバーであることを確認します。
送が必要です。したがって、
モニター対象のサーバーがあ • ベスト プラクティスとして、User-ID エージェントはモ
るサイトのそれぞれに必ず 1
ニター対象のサーバーの近くにインストールします
つ以上の User-ID エージェン
(User-ID エージェントとモニター対象のサーバーの間の
トをインストールする必要が
トラフィックは User-ID とファイアウォールの間のトラ
あります。
フィックより大きくなるため、エージェントをモニター
対象のサーバーの近くに配置することで帯域幅使用が最
User-ID エージェントをインストールす
適化されます)。
る場所の詳細は、以下の文書を参照して
ステップ 1
注
ください。『Architecting User Identification • ユーザーのマッピングを最も包括的なものにするために
(User-ID) Deployments』(英語)
は、ユーザー ログオン情報が含まれるすべてのサーバー
をモニターする必要があります。すべてのリソースを効
率的にモニターするために複数の User-ID エージェント
をインストールする必要がある場合もあります。
ステップ 2
User-ID エージェント インス 1.
トーラをダウンロードします。
ベスト プラクティスとして、
ファイアウォール上で実行さ 2.
れている PAN-OS と同じバー
ジョンの User-ID エージェン 3.
トをインストールします。
4.
248
https://support.paloaltonetworks.com にアクセスし、[Login
(ロ グ イ ン)] を ク リ ッ ク し て Palo Alto Networks サ
ポートにログインします。
[Manage Devices(デバイスの管理)] セクションの[Software
Updates(ソフトウェア更新)] を選択します。
画面の [User Identification Agent(User-ID エージェン
ト)] セクションまでスクロールし、インストールす
る User-ID エージェントのバージョンをダウンロード
します。
エージェントをインストールするシステムに
UaInstall-x.x.x-xx.msi ファイルを保存します。
User-ID
User-ID
IP アドレス対ユーザーのマッピング
Windows User-ID エージェントのインストール(続き)
ステップ 3
管理者としてインストーラを 1.
実行します。
管理者としてコマンド プロンプトを起動するには、[ ス
タート ] をクリックし、[ コマンド プロンプト ] を右ク
リックして [ 管理者として実行 ] を選択します。
2.
コマンド ラインから、ダウンロードした .msi ファイル
を実行します。たとえば、.msi ファイルをデスクトッ
プに保存した場合、以下のように入力します。
C:\Users\administrator.acme>cd Desktop
C:\Users\administrator.acme\Desktop>UaInstall-6.0.
0-1.msi
3.
デフォルトの設定を使用してエージェントをインス
トールするには、セットアップ プロンプトに従いし
ま す。デフォル トでは、エージ ェントは C:\Program
Files (x86)\Palo Alto Networks\User-ID Agent フォル
ダにインストールされますが、[ 参照 ] をクリックして
別の場所を指定することもできます。
4.
インストールの完了後、[ 閉じる ] をクリックしてセッ
トアップ ウィンドウを閉じます。
ステップ 4
User-ID エージェント アプリ 1.
ケーションを起動します。
[ スタート ] をクリックし、[User-ID エージェント ] を
選択します。
ステップ 5
(任意)User-ID エージェント デフォルトでは、エージェントは .msi ファイルのインス
がログインに使用するサービ トールに使用された管理者アカウントを使用します。ただ
ス アカウントを変更します。 し、以下の手順で、制限されたアカウントに切り替えるこ
ともできます。
1. [ ユーザー ID] > [ セットアップ ] の順に選択し、[ 編集 ]
をクリックします。
User-ID
2.
[ 認証 ] タブを選択し、User-ID エージェントが使用する
サービス アカウント名を [Active Directory 用のユー
ザー名 ] フィールドに入力します。
3.
指定したアカウントの [ パスワード ] を入力します。
249
IP アドレス対ユーザーのマッピング
User-ID
Windows User-ID エージェントのインストール(続き)
ステップ 6
(任意)インストール フォル 1.
ダにアカウントの権限を割り
当てます。
User-ID エージェントに設定し
たサービス アカウントがドメ
インの管理者グループのメン
バーまたは Server Operators と
Event Log Readers グループの両
方のメンバーでない場合の
み、この手順を実行する必要
があります。
インストール フォルダにサービス アカウントの権限を
割り当てます。
a. Windows Explorer で、C:\Program Files\Palo Alto Networks
に移動し、フォルダを右クリックして [ プロパティ]
を選択します。
b. [ セキュリティ] タブで、User-ID エージェント サー
ビス アカウントを [ 追加 ] し、[ 変更 ]、[ 読み取り
と実行 ]、[ フォルダの内容の一覧表示 ]、および [ 読
み取り ] の権限を割り当て、[OK] をクリックしてア
カウント設定を保存します。
2.
User-ID エージェントのレジストリ サブツリーにサー
ビス アカウント権限を割り当てます。
a. regedit32 を実行し、以下のいずれかの場所にある Palo
Alto Networks サブツリーに移動します。
– 32- ビット システム — HKEY_LOCAL_MACHINE\
Software\Palo Alto Networks
– 64- ビット システム — HKEY_LOCAL_MACHINE\
Software\WOW6432Node\Palo Alto Networks
b. [Palo Alto Networks] ノードを右クリックし、[ アクセ
ス許可 ] を選択します。
c. User-ID サービス アカウントに [ フル コントロール ] を
割り当て、[OK] をクリックして設定を保存します。
3.
ドメイン コントローラ上で、サービス アカウントをビ
ルトイン グループに追加することにより、セキュリ
テ ィ ロ グ イ ベ ン ト の 読 み 取 り(Event Log Reader グ
ループ)およびセッションの開始(Server Operator グ
ループ)の権限を有効にします。
a. MMC を実行し、[Active Directory ユーザーとコンピュー
ター] スナップインを実行します。
b. ドメインのビルトイン フォルダに移動し、編集する
グループ(Event Log Reader およびServer Operator)の
それぞれを右クリックして [ グループに追加 ] を選択
してプロパティ ダイアログを開きます。
c. [ 追加 ] をクリックし、User-ID サービスが使用する
ように設定したサービス アカウントの名前を入力
し、[ 名前の確認 ] をクリックして正しいオブジェク
ト名であることを検証します。
d. [OK] を 2 回クリックして設定を保存します。
250
User-ID
User-ID
IP アドレス対ユーザーのマッピング
ユーザー マッピングのための User-ID エージェントの設定
Palo Alto Networks User-ID エージェントは、Active Directory サーバー、Microsoft Exchange サー
バー、および Novell eDirectory サーバーなど、ネットワーク上のサーバーに接続し、ログオンお
よびログオフ イベントのログをモニターする Windows サービスです。エージェントはこの情報
を使用して IP アドレスをユーザー名にマッピングします。Palo Alto Networks のファイアウォー
ルは User-ID エージェントに接続してこのユーザー マッピング情報を取得します。これによ
り、IP アドレスではなくユーザー名でのユーザー アクティビティへの可視性が得られ、ユー
ザーベースおよびグループベースのセキュリティ実施が可能になります。
User-ID エ ージ ェ ント で サポ ー トさ れ るサ ー バー OS の バ ージ ョ ンの 詳 細は、Palo Alto
Networks のソフトウェア更新ページから入手できる『User-ID エージェント リリース ノー
ト』の「User-ID エージェントのオペレーティング システム(OS)互換性」を参照してくだ
さい。
User-ID エージェントを使用した IP アドレス対ユーザーのマッピング
ステップ 1
User-ID
User-ID エージェント アプリ 1.
ケーションを起動します。
[ スタート ] をクリックし、[User-ID エージェント ] を
選択します。
251
IP アドレス対ユーザーのマッピング
User-ID
User-ID エージェントを使用した IP アドレス対ユーザーのマッピング(続き)
ステップ 2
IP アドレス対ユーザーのマッ 1.
ピング情報を収集するために 2.
User-ID エージェントがモニタ
リングするサーバーを定義し
3.
ます。
User-ID エ ー ジ ェ ン ト は 最 大
100 台のサーバーをモニタリ 4.
ングでき、最大 100 個の Syslog
送信元からの Syslog メッセー
ジをリッスンできます。
[ ユーザー ID] > [ 検出 ] の順に選択します。
画面の [ サーバー] セクションで [ 追加 ] をクリックし
ます。
モニター対象のサーバーの [ 名前 ] と [ サーバー アドレ
ス ] を 入 力 し ま す。ネ ッ ト ワ ー ク ア ド レ ス に は、
FQDN または IP アドレスを指定できます。
[ サーバー タイプ ]([Microsoft Active Directory]、
[Microsoft Exchange]、[Novell eDirectory]、または
[Syslog Sender])を 選 択 し、[OK] を ク リ ッ ク し て
サーバー エントリを保存します。モニター対象の各
サーバーに対してこの手順を繰り返します。
必要なマッピング情報をすべ
て収集するには、ユーザーが 5. (任意)DNS 検索を使用してファイアウォールで自動
ログインするすべてのサー
的にネットワークのドメイン コントローラを検出でき
バーに接続し、ログオン イベ
るようにするには、[ 自動検出 ] をクリックします。
ントを含むすべてのサーバー 注
自動検出で検出できるのはローカル ドメイン内のド
のセキュリティ ログ ファイル
メイン コントローラのみです。Exchange サーバー、
をモニタリングできるように
eDirectory サーバー、および Syslog 送信元は手動で追
する必要があります。
加する必要があります。
6.
252
(任意)ファイアウォールが設定済みサーバーに対し
てマッピング情報をポーリングする頻度を調整するに
は、[ ユーザー ID] > [ セットアップ ] の順に選択し、
[ セットアップ ] セクションの [ 編集 ] を選択します。
[ サーバー モニタ ] タブで、[ サーバー ログのモニター
頻度(秒)] フィールドの値を変更します。ドメイン
コントローラが古い環境やリンクの遅延が大きな環境
の場合、このフィールドの値を 5 秒に増やすことをお
勧めします。[OK] をクリックして変更を保存します。
User-ID
User-ID
IP アドレス対ユーザーのマッピング
User-ID エージェントを使用した IP アドレス対ユーザーのマッピング(続き)
ステップ 3
(任意)エージェントが Novell 1.
eDirectory サ ー バ ー に 接 続 す
るように設定した場合、エー
ジェントがディレクトリを検 2.
索する方法を指定する必要が
あります。
[ ユーザー ID] > [ セットアップ ] の順に選択し、ウィン
ドウの [ セットアップ ] セクションの [ 編集 ] をクリッ
クします。
[eDirectory] タブを選択し、以下のフィールドを入力し
ます。
• 検索ベース — エージェントによるクエリの開始点ま
たはルート コンテキスト。例 : dc=domain1, dc=example,
dc=com
• 識別名のバインド — ディレクトリにバインドする
ために使用するアカウント。例 : cn=admin, ou=IT,
dc=domain1, dc=example, dc=com
• バインド パスワード — バインド アカウントのパス
ワード。エージェントは暗号化したパスワードを設
定ファイルに保存します。
• 検索フィルタ — ユーザー エントリの検索クエリ
(デフォルトは objectClass=Person)。
• サーバー ドメイン プレフィックス — ユーザーを一
意に識別するためのプレフィックス。これは、名前
空間に重複がある場合(たとえば他のディレクトリ
からの同じ名前の異なるユーザーなど)にのみ必要
です。
• SSL の使用 — eDirectory バインドに SSL を使用する
には、このチェック ボックスをオンにします。
• Verify Server Certificate — SSL 使用時に eDirectory
サーバー証明書を検証する場合はこのチェック ボッ
クスをオンにします。
User-ID
253
IP アドレス対ユーザーのマッピング
User-ID
User-ID エージェントを使用した IP アドレス対ユーザーのマッピング(続き)
ステップ 4
(任意)クライアント プロー 1.
ブを有効にします。
[ クライアントによるプローブ ] タブで、[WMI プローブ
の有効化 ] チェック ボックスまたは [NetBIOS プローブ
の有効化 ] チェック ボックスをオンにします。
クライアント プローブは、IP
アドレスがユーザー強くバイ 2. Windows ファイアウォールで、プローブ対象のクライア
ントごとにリモート管理の例外を追加することによ
ンドされていない環境で有用
り、クライアントのプローブを許可します。
です。クライアント プローブ
により、以前にマッピングし 注
NetBIOS によるプローブを効果的に行うには、プロー
たアドレスがまだ有効である
ブ さ れ る 各 ク ラ イ ア ン ト PC の Windows フ ァ イ ア
ことが確認されるためです。
ウォールでポート 139 を許可し、ファイルやプリン
ただし、取得した IP アドレス
タの共有サービスを有効にする必要があります。可
の数が大きくなると、生成さ
能な場合は常に NetBIOS プローブではなく WMI プ
れるトラフィックの量も増大
ローブを使用することをお勧めします。
します。ベスト プラクティス
として、IP アドレスのターン
オーバーが高いネットワーク
セグメントのみプローブを有
効にします。
クライアント プローブを使
用する User-ID エージェント
の 配 置 の 詳 細 は、以 下 の 文
書 を 参 照 し て く だ さ い。
『Architecting User Identification
(User-ID) Deployments』(英語)
ステップ 5
設定を保存します。
[OK] をクリックして User-ID エージェントのセットアップ
設定を保存し、[Commit] をクリックして User-ID エージェ
ントを再起動し、新しい設定をロードします。
ステップ 6
(任意)サービス アカウント
や kiosk ア カ ウ ン ト な ど、IP
アドレス対ユーザー名のマッ
ピングが不要な一連のユー
ザーを定義します。
ignore_user_list.txt ファイルを作成し、エージェントが
インストールされているドメイン サーバーの User-ID エー
ジェント フォルダに保存します。
注
254
無視するユーザー アカウントのリストです。リストに追加
するアカウント数に制限はありません。エントリはスペー
また ignore-user リストを使用して、 スで区切ります。例 :
キャプティブ ポータルを使用した認 SPAdmin SPInstall TFSReport
証の実施が必要なユーザーを識別する
こともできます。
User-ID
User-ID
IP アドレス対ユーザーのマッピング
User-ID エージェントを使用した IP アドレス対ユーザーのマッピング(続き)
ステップ 7
ステップ 8
User-ID
ファイアウォールが User-ID エー ユーザー マッピングの取得のために User-ID エージェン
ジェントと接続するように設 トに接続する各ファイアウォールで、以下の手順を実行
定します。
します。
1. [Device] > [ ユーザー ID] > [User-ID エージェント ] の
順に選択し、[ 追加 ] をクリックします。
2.
[名前] に、User-ID エージェントの名前を入力します。
3.
[ ホスト ] に、User-ID エージェントがインストールさ
れている Windows ホストの IP アドレスを入力します。
4.
エージェントがユーザー マッピング要求をリッスンす
る [ポート ] 番号を入力します。この値は、User-ID
エージェント上で設定された値と一致する必要があり
ます。ファイアウォールおよび新しいバージョンの
User-ID エージェントでは、ポートはデフォルトで
5007 に設定されます。ただし、一部の古いバージョン
の User-ID エージェントはデフォルトで 2010 を使用し
ます。
5.
設定が [ 有効 ] になっていることを確認し、[OK] をク
リックします。
6.
変更を [Commit] します。
7.
[ 接続状態 ] が
認します。
User-ID エージェントが IP ア 1.
ドレスをユーザー名に正しく
マッピングしていることと、 2.
ファイアウォールがエージェ
ントに接続できることを確認
します。
3.
接続済みと表示されていることを確
User-ID エージェントを起動し、[ ユーザー ID] を選択
します。
エージェントの状態が、[ エージェントは実行中です ]
になっていることを確認します。エージェントが実行
されていない場合は、[ 開始 ] をクリックします。
User-ID エージェントがモニター対象のサーバーに接
続できることを確認するには、各サーバーの状態が[接
続済み ] になっていることを確認します。
4.
ファイアウォールが User-ID エージェントに接続でき
ることを確認するには、接続済みデバイスそれぞれの
状態が [ 接続済み ] になっていることを確認します。
5.
User-ID エージェントが IP アドレスをユーザー名にマッ
ピングしていることを確認するには、[ モニタリング ]
を選択し、マッピング テーブルにデータが入力されて
いることを確認します。特定のユーザーを [ 検索 ] した
り、ユーザー マッピングをリストから [ 削除 ] したり
できます。
255
IP アドレス対ユーザーのマッピング
User-ID
PAN-OS 統合 User-ID エージェントを使用したユーザー マッピングの設定
以下の手順では、ファイアウォール上の PAN-OS 統合エージェントをユーザー マッピングのた
めに設定する方法を示します。統合 User-ID エージェントは、Windows ベースのエージェントと
同じタスクを実行しますが、例外として NetBIOS クライアント プローブはサポートされていま
せん(WMI プローブはサポートされています)。
統合 User-ID エージェントを使用した IP アドレス対ユーザーのマッピング
ステップ 1
ユーザー マッピング データを • Windows 2008 以降のドメイン サーバー — 「Event Log
Readers」グループにアカウントを追加します。オンデバ
収集するためにモニターする
イスの User-ID エージェントを使用している場合、アカ
各サービスまたはホストにロ
ウントが「Distributed COM Users」グループのメンバーに
グインする権限を持つ Active
もなっている必要があります。
Directory(AD)アカウントを
ファイアウォール エージェン
• Windows 2003 ドメイン サーバー — 「監査とセキュリ
トに作成します。
ティ ログの管理」許可がグループ ポリシーに割り当てら
れます。
• WMI プローブ — CIMV2 名前空間を読み取る権限を持つ
アカウントが必要です。デフォルトでは、ドメイン管理
者アカウントとサーバー オペレーター アカウントにこの
権限があります。
• NTLM 認証 — オンデバイス User-ID エージェントによる
NTLM 認証を使用する場合、ファイアウォールがドメイ
ンに参加する必要があるため、NTLM アクセス用に作成
する Windows アカウントに管理者権限が必要となりま
す。複数の仮想システムを設定している場合、同じホス
トで実行される仮想システムで AD の制約があるため、
vsys1 のみがドメインに参加できます。
256
User-ID
User-ID
IP アドレス対ユーザーのマッピング
統合 User-ID エージェントを使用した IP アドレス対ユーザーのマッピング(続き)
ステップ 2
ファイアウォールでモニタリ
ングするサーバーを定義し、
IP アドレス対ユーザー マッピ
ングの情報を収集します。
ネットワークで最大 100 個の
Microsoft Active Directory、
Microsoft Exchange、または
Novell eDirectory サーバーの
エントリを定義できます。
1.
[Device] > [User-ID] > [ ユーザー マッピング ] の順に選
択します。
2.
画面の [ サーバー モニタリング ] セクションで [ 追加 ]
をクリックします。
3.
サーバーの [ 名前 ] と [ ネットワーク アドレス ] を入力
します。ネットワーク アドレスには、FQDN または IP
アドレスを指定できます。
4.
[ タイプ ] フィールドで、サーバーのタイプを選択し
ます。
必要なマッピング情報をすべ
5.
て収集するには、ユーザーが
ログインしているすべての
サーバーに接続し、ログオン 6.
イベントを含むすべてのサー
バーのセキュリティ ログ ファ
イルをファイアウォールでモ
ニタリングできるようにする
必要があります。
注
7.
User-ID
[ 有効 ] チェックボックスがオンになっていることを確
認し、[OK] をクリックします。
(オプション)DNS 検索を使用してファイアウォール
で自動的にネットワークのドメイン コントローラを検
出できるようにするには、[ 検出 ] をクリックします。
自動検出機能は、ドメイン コントローラの場合のみ有
効です。Exchange Server や eDirectory サーバーをモニ
タリングする場合、手動でそれらを追加する必要が
あります。
(任意)ファイアウォールが設定済みサーバーに対し
てマッピング情報をポーリングする頻度を調整するに
は、画面の Palo Alto Networks User-ID エージェント
設定 セクションで、編集アイコン
をクリックして
[ サーバー モニタ ] タブを選択します。[ サーバー ログ
の モニ タ ー頻 度(秒)] フ ィ ール ド で値 を変 更 しま
す。DC が古い環境やリンクの遅延が大きな環境の場
合、このフィールドの値を 5 秒に増やすことをお勧め
します。[OK] をクリックして変更を保存します。
257
IP アドレス対ユーザーのマッピング
User-ID
統合 User-ID エージェントを使用した IP アドレス対ユーザーのマッピング(続き)
ファイアウォールで Windows リ 1.
ソースへのアクセスに使用す
る、アカウントのドメイン認 2.
証情報を設定します。この設
定は Exchange サーバーとドメ
イン コントローラのモニター、
および WMI プローブに必要
です。
画面の [Palo Alto Networks User-ID エージェント設定 ]
セクションで編集アイコン
をクリックします。
(任意)WMI プローブを有効 1.
にします。
[ クライアントによるプローブ ] タブで、[ プローブの
有効化 ] チェックボックスをオンにします。
オンデバイス エージェントでは NetBIOS 2.
プローブがサポートされておらず、
Windows ベースの User-ID エージェン
トでのみサポートされています。
3.
(任意)必要に応じて [ プローブ間隔 ] の値を変更し、
取得した IP アドレスをすべてプローブするのに十分な
時間を確保します。
ステップ 3
ステップ 4
注
ステップ 5
ステップ 6
注
設定を保存します。
[WMI 認証 ] タブで、[ ユーザー名 ] と [ パスワード ]
フィールドに、クライアントのプローブとサーバーの
モニタリングに使用するアカウントの名前とパスワー
ドを入力します。domain\username 構文を使用してユー
ザー名を入力します。
Windows ファイアウォールでは、プローブ対象のクライ
アントごとにリモート管理の例外を追加することで、
クライアントのプローブが許可されます。
1.
[OK] をクリックして、User-ID エージェントの設定を
保存します。
2.
設定を保存するには [Commit] をクリックします。
(任意)サービス アカウント 1.
や kiosk ア カ ウ ン ト な ど、IP 2.
アドレス対ユーザー名のマッ
ピングが不要な一連のユー
ザーを定義します。
また ignore-user リストを使用して、
キャプティブ ポータルを使用した認
証の実施が必要なユーザーを識別する
こともできます。
ファイアウォールに対する CLI セッションを開きます。
ファイアウォールでのマッピングが不要なユーザー ア
カウントのリストを追加するには、以下のコマンドを
実行します。
set user-id-collector ignore-user <value>
<value> は無視するユーザー アカウントのリスト
で、リストに追加するアカウント数に制限はあり
ません。エントリをスペースで区切ります。ユー
ザー名にはドメイン名を含めません。例 :
set user-id-collector ignore-user SPAdmin SPInstall
TFSReport
ステップ 7
設定を確認します。
3.
変更をコミットします。
1.
CLI から以下のコマンドを入力します。
show user server-monitor state all
2.
258
Web インターフェイスで [Device] > [User-ID] > [ ユー
ザー マッピング ] の順に選択して、サーバーのモニタ
リング用に設定したサーバーごとに、[ 状態 ] が [ 接続
済み ] になっていることを確認します。
User-ID
User-ID
IP アドレス対ユーザーのマッピング
Syslog 送信元からユーザー マッピングを受信するための User-ID の設定
以下のトピックでは、User-ID エージェント(Windows エージェントまたはファイアウォール上
の統合エージェント)を Syslog リスナーとして設定する方法を説明します。

Syslog リスナーとしての統合 User-ID エージェントの設定

Syslog リスナーとしての Windows User-ID エージェントの設定
Syslog リスナーとしての統合 User-ID エージェントの設定
以下のワークフローは、PAN-OS 統合 User-ID エージェントが認証サービスから Syslog メッセー
ジを受信するように設定する方法を示しています。
PAN-OS 統合 User-ID エージェントは、SSL および UDP 上でのみ Syslog を受け入れます。
Syslog 送信元からのユーザー マッピングの収集
ステップ 1
注
対象の Syslog 送信元に対する事 1.
前定義された Syslog フィルタが
あるかどうかを確認します。
アプリケーション データベース、またはアプリケーショ
ンおよび脅威データベースが最新であることを確認し
ます。
Palo Alto Networks で は、い く
つかの事前定義済みフィルタ
を提供しています。これらは
アプリケーション コンテンツ
の更新として配信されるた
め、新しいフィルタが開発さ
れると動的に更新されます。 2.
事前定義済みフィルタはファ
イアウォールでグローバルに
適用されます。一方、手動で
定義されたフィルタは 1 つの
仮想システムのみに適用され
ます。
a. [Device] > [ ダイナミック更新 ] の順に選択します。
特定のコンテンツ更新に含まれている
新しい Syslog フィルタには、対応する
リリース ノート内に説明があり、フィ
ルターを定義するために使用する具体
的な正規表現も記載されています。
User-ID
b. [ 今すぐチェック ](ウィンドウの左下にある)をク
リックして最新の更新があるかどうか確認します。
c. 新しい更新が入手可能な場合、[ ダウンロード ] およ
び [ インストール ] します。
使用可能な事前定義フィルタを確認します。
a. [Device] > [User-ID] > [ ユーザー マッピング ] の順に
選択します。
b. 画面の [ サーバー モニタリング ] セクションで [ 追加 ]
をクリックします。
c. サーバーの [ タイプ ] として [Syslog Sender] を選択
します。
d. [ フィルタ ] ドロップダウンを選択し、Syslog の転送
元にする予定の製造元や製品に対するフィルタがあ
るかどうかを確認します。必要なフィルタがある場
合、ステップ 5 のサーバーを定義する手順に進みま
す。必要なフィルタがない場合、ステップ 2 に進み
ます。
259
IP アドレス対ユーザーのマッピング
User-ID
Syslog 送信元からのユーザー マッピングの収集(続き)
ステップ 2
Syslog メッセージから User-ID 1.
の IP アドレ ス対 ユー ザー 名
マッピング情報を抽出するた
めの Syslog フィルタを手動で
定義します。
注
User-ID エージェントで解析す
るためには、Syslog メッセー
ジは以下の条件を満たす必要
があります。
• 各 Syslog メッセージは 1 行
の文字列であること。改行 2.
は キャ リッ ジ リタ ーン と
ニュー ライン(\r\n)また
はニューライン(\n)で区 3.
切られていること。
• 個々の Syslog メッセージの 4.
最大許容サイズは 2048 バ
5.
イト。
• UDP 上で送信された Syslog
メッセージは 1 つのパケッ
トに含まれること。SSL 上
で送信されたメッセージは
複数パケットにまたがるこ
とができる。
• 1 つのパケットは複数の Syslog
メッセージを含むことがで
きる。
260
認証サービスが生成した Syslog をレビューし、ログイン
イベントの構文を特定する。これにより、ファイア
ウォールが Syslog から認証イベントを識別および抽出す
るための照合パターンを作成できるようになります。
Syslog をレビュー中に、ログ エントリにドメイン名が
含まれているかどうかも確認します。認証ログにド
メイン情報が含まれていない場合は、ステップ 5 で
モニター対象サーバー リストに Syslog 送信元を追加
するときにデフォルトのドメイン名を定義すること
を検討します。
[Device] > [ ユーザー ID] > [ ユーザー マッピング ] の順
に選択し、[Palo Alto Networks User-ID エージェント設
定 ] セクションを編集します。
[Syslog のフィルタ ] タブで、新しい Syslog 解析プロ
ファイルを [ 追加 ] します。
[Syslog 解析プロファイル ] の名前を入力します。
以下のオプションのいずれかを選択して、ユーザー
マッピング情報をフィルタ抽出するために使用する解
析の [ タイプ ] を指定します。
• 正規表現の識別子 — このタイプの解析では、Syslog
メッセージのユーザー マッピング情報を識別して抽
出するための検索パターンを示す正規表現を指定し
ます。ステップ 3 の正規表現の識別子を作成する手
順に進みます。
• フィールド識別子 — このタイプの解析では、Syslog
内の認証イベントに一致する文字列を指定し、ユー
ザー マッピング情報を識別するプレフィックス、お
よびサフィックスの文字列を指定します。ステッ
プ 4 のフィールド識別子を作成する手順に進みます。
User-ID
User-ID
IP アドレス対ユーザーのマッピング
Syslog 送信元からのユーザー マッピングの収集(続き)
ステップ 3
解析の [ タイプ ] として [ 正規 1.
表現の識別子 ] を選択した場
合、認証イベントを識別し、
ユーザー マッピング情報を抽
出するための正規表現照合パ
ターンを作成します。
下 の 例 は、以 下 の 形 式 の
Syslog メッセージを照合する
正規表現設定を示しています。
[Tue Jul 5 13:15:04 2005 CDT] Administrator
authentication success User:johndoe1
Source:192.168.3.212
2.
注
注
Syslog で単独のスペースまたはタブが
区切り文字として使用されている場 3.
合、エージェントが Syslog を解析する
には、\s(スペース)または \t(タブ)
を使用する必要があります。
4.
User-ID
[ イベントの正規表現 ] フィールドに照合パターンを入
力して、Syslog 内の成功した認証イベントの照合方法を
指定します。たとえば、例の Syslog メッセージに対して
照合する場合、以下の正規表現は、ファイアウォール
で文字列 authentication success の最初の {1} インスタ
ンスを抽出することを指示します。スペースの前の円
記号は、スペースを特殊文字として扱わないように正
規表現エンジンに指示する標準の正規表現エスケープ
文字です : (authentication\ success){1}"
[ ユーザー名の正規表現 ] フィールドに認証成功メッ
セージ内のユーザー名の先頭を識別するための正
規 表 現 を 入 力 し ま す。た と え ば、正 規 表 現
User:([a-zA-Z0-9\\\._]+) は例のメッセージの文字列
User:johndoe1 に一致し、acme\johndoe1 を User-ID と
して抽出します。
Syslog にドメイン情報が含まれておらず、ユーザー マッ
ピングにドメイン名が必要な場合は、ステップ 5 で
モニター対象サーバー エントリを定義するときに必
ず [ デフォルト ドメイン名 ] を入力します。
[ アドレスの正規表現 ] フィールドに認証成功メッセー
ジの IP アドレス部分を識別するための正規表現を入力
します。たとえば、正規表現 Source:([0-9] {1,3}\.
[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}) は、IPv4 アドレ
ス(例の Syslog 内の Source:192.168.0.212 )に一致し
ます。
[OK] をクリックします。
261
IP アドレス対ユーザーのマッピング
User-ID
Syslog 送信元からのユーザー マッピングの収集(続き)
ステップ 4
解析の [ タイプ ] として [ フィー 1.
ルド識別子 ] を選択した場
合、認証イベントを識別し、
ユーザー マッピング情報を抽
出するための文字列照合パ
ターンを定義します。
2.
下 の 例 は、以 下 の 形 式 の
Syslog メッセージを照合する
フィールド識別子設定を示し
ています。
262
[ユーザー名のプレフィックス] フィールドに認証 Syslog
メッセージ内のユーザー名フィールドの先頭を識別す
るために照合する文字列を入力します。たとえば、文
字列 User: は、例の Syslog 内のユーザー名フィールド
の先頭を識別します。
3.
認証 Syslog メッセージ内のユーザー名フィールドの終
了を示す [ ユーザー名の区切り文字 ] を入力します。た
とえば、ユーザー名の後にスペースがある場合、\s を
入力して例のログ内のユーザー名フィールドが単独ス
ペースで区切られていることを示します。
4.
[ アドレス プレフィックス ] フィールドに認証イベント
ログ内の IP アドレス フィールドの先頭を識別するた
めに照合する文字列を入力します。たとえば、文字列
Source: は、例のログ内のアドレス フィールドの先頭
を識別します。
Syslog で単独のスペースまたはタブが 5.
区切り文字として使用されている場
合、エージェントが Syslog を解析する
には、\s(スペース)または \t(タブ)
を使用する必要があります。
6.
認証成功メッセージ内の IP アドレス フィールドの終
了を示す [ アドレスの区切り文字 ] を入力します。たと
えば、アドレスの後に改行がある場合、\n を入力して
アドレス フィールドが改行で区切られていることを示
します。
[Tue Jul 5 13:15:04 2005 CDT] Administrator
authentication success User:johndoe1
Source:192.168.3.212
注
[ イベントの文字列 ] フィールドに照合パターンを入力
して、Syslog 内の成功した認証イベントの照合方法を
指定します。たとえば、例の Syslog メッセージに照合
させる場合、Syslog 内の認証イベントを識別するには
文字列 authentication success を入力します。
[OK] をクリックします。
User-ID
User-ID
IP アドレス対ユーザーのマッピング
Syslog 送信元からのユーザー マッピングの収集(続き)
ステップ 5
ユーザー マッピングのために 1.
ファイアウォールに Syslog メッ
セージを送信するサーバーを 2.
定義します。
[Device] > [User-ID] > [ ユーザー マッピング ] の順に選
択します。
3.
サーバーの [ 名前 ] と [ ネットワーク アドレス ] を入力
します。
4.
サーバーの [ タイプ ] として [Syslog Sender] を選択し
ます。
5.
[ 有効 ] チェックボックスがオンになっていることを確
認します。
6.
(任意)認証デバイスが送信する Syslog のログイン イ
ベント ログにドメイン情報が含まれていない場合、
ユーザー マッピングに追加する [ デフォルト ドメイン
名 ] を入力します。
仮想システムごとに最大 50 個
の Syslog 送信元、合計で最大
100 台のモニター対象サーバー
(Syslog 送信元、Microsoft Active
Directory、Microsoft Exchange、
Novell eDirectory サーバーを含
む)を定義できます。ファイア
ウォールは、このリストにない
サーバーから受信した Syslog
メッセージは破棄します。
注
SSL を使用して接続している Syslog 送
信元は、アクティブな SSL 接続があ 7.
るときに [ 状態 ] に [ 接続済み ] とだけ
表示されます。UDP を使用している
Syslog 送信元は、[ 状態 ] の値が表示さ
れません。
User-ID
画面の [ サーバー モニタリング ] セクションで [ 追加 ] を
クリックします。
[OK] をクリックして設定を保存します。
263
IP アドレス対ユーザーのマッピング
User-ID
Syslog 送信元からのユーザー マッピングの収集(続き)
ステップ 6
ユーザー マッピングに使用す 1.
るインターフェイスに関連付
けられた管理プロファイル内
で Syslog リスナー サービスを
有効にします。
2.
注
3.
注
ステップ 7
264
設定を保存します。
[Network] > [ ネットワーク プロファイル ] > [ インター
フェイス管理 ] の順に選択します。次に、編集するイ
ンターフェイス プロファイルを選択して [ 追加 ] をク
リックし、新しいプロファイルを作成します。
サーバー モニター リスト内の Syslog 送信元をセット
アップしたときに定義したプロトコルに応じて
[User-ID Syslog リスナー SSL] または [User-ID Syslog
リスナー UDP] を選択します。
Windows User-ID エージェント上では、UDP または
TCP 上の Syslog に対するデフォルトのリスニング
ポ ー ト は 514 で す が、ポ ー ト 値 は 設 定 可 能 で す。
ファイアウォール上のエージェントレス ユーザー
マッピング機能では、UDP および SSL 上の Syslog の
みがサポートされており、リスニング ポート(UDP
は 514、SSL は 6514)は設定可能ではありません。リ
スニング ポートは管理サービスを通じてのみ有効に
できます。
[OK] をクリックして、インターフェイス管理プロファ
イルを保存します。
インターフェイス上で User-ID Syslog リスナー サービ
スを有効にした後でも、インターフェイスが Syslog
接続を受けつけるのは、User-ID のモニター対象サー
バー設定内に対応するエントリがあるサーバーから
のみです。リスト上にないサーバーからの接続や
メッセージは破棄されます。
設定を保存するには [Commit] をクリックします。
User-ID
User-ID
IP アドレス対ユーザーのマッピング
Syslog 送信元からのユーザー マッピングの収集(続き)
ステップ 8
ファイアウォールへの SSH コネクションを開き、以下の CLI コマンドを実行することに
よって設定を確認します。
特定の Syslog 送信元の状態を表示するには、以下のコマンドを実行します。
admin@PA-5050> show user server-monitor state Syslog2
UDP Syslog Listener Service is enabled
SSL Syslog Listener Service is enabled
Proxy: Syslog2(vsys: vsys1)
Host: Syslog2(10.5.204.41)
number of log messages
:
number of auth. success messages
:
number of active connections
:
total connections made
:
1000
1000
0
4
Syslog 送信元から受信したログメッセージの数およびマッピングに成功したエントリの数を表示するには、以下のコマンドを実
行します。
admin@PA-5050> show user server-monitor statistics
Directory Servers:
Name
TYPE
Host
Vsys
Status
----------------------------------------------------------------------------AD
AD
10.2.204.43
vsys1
Connected
Syslog Servers:
Name
Connection Host
Vsys
Status
----------------------------------------------------------------------------Syslog1
UDP
10.5.204.40
vsys1
N/A
Syslog2
SSL
10.5.204.41
vsys1
Not connected
Syslog 送信元を通じて検出されたユーザー マッピングの数を表示するには、以下のコマンドを実行します。
admin@PA-5050> show user ip-user-mapping all type SYSLOG
IP
axTimeout(s)
--------------192.168.3.8
476
192.168.5.39
480
192.168.2.147
476
192.168.2.175
476
192.168.4.196
480
192.168.4.103
480
192.168.2.193
476
192.168.2.119
476
192.168.3.176
478
Vsys
From
User
IdleTimeout(s) M
------ ------- -------------------------------- -------------- vsys1 SYSLOG acme\jreddick
2476
2
vsys1
SYSLOG
acme\jdonaldson
2480
2
vsys1
SYSLOG
acme\ccrisp
2476
2
vsys1
SYSLOG
acme\jjaso
2476
2
vsys1
SYSLOG
acme\jblevins
2480
2
vsys1
SYSLOG
acme\bmoss
2480
2
vsys1
SYSLOG
acme\esogard
2476
2
vsys1
SYSLOG
acme\acallaspo
2476
2
vsys1
SYSLOG
acme\jlowrie
2478
2
Total: 9 users
Syslog リスナーとしての Windows User-ID エージェントの設定
以下のワークフローは、Windows ベースの User-ID エージェントが認証サービスからの Syslog を
リッスンするように設定する方法を示しています。
Windows User-ID エージェントは、TCP および UDP 上でのみ Syslog を受け入れます。
User-ID
265
IP アドレス対ユーザーのマッピング
User-ID
Windows User-ID エージェントが Syslog 送信元からユーザー マッピングを収集するための設定
ステップ 1
User-ID エージェント アプリ 1.
ケーションを起動します。
[ スタート ] をクリックし、[User-ID エージェント ] を
選択します。
ステップ 2
Syslog メッセージから User-ID 1.
の IP アドレ ス対 ユー ザー 名
マッピング情報を抽出するた
めの Syslog フィルタを手動で
定義します。
注
認証サービスが生成した Syslog をレビューし、ログイン
イベントの構文を特定する。これにより、ファイア
ウォールが Syslog から認証イベントを識別および抽出す
るための照合パターンを作成できるようになります。
User-ID エージェントで解析す
るためには、Syslog メッセー
ジは以下の条件を満たす必要
があります。
• 各 Syslog メッセージは 1 行
の文字列であること。改行 2.
は キャ リッ ジ リタ ーン と
ニュー ライン(\r\n)また
はニューライン(\n)で区 3.
切られていること。
• 個々の Syslog メッセージの 4.
最大許容サイズは 2048 バ
5.
イト。
• UDP 上で送信された Syslog
メッセージは 1 つのパケッ
トに含まれること。SSL 上
で送信されたメッセージは
複数パケットにまたがるこ
とができる。
• 1 つのパケットは複数の Syslog
メッセージを含むことがで
きる。
266
Syslog をレビュー中に、ログ エントリにドメイン名
が含まれているかどうかも確認します。認証ログに
ドメイン情報が含まれていない場合は、ステップ 5
でモニター対象サーバー リストに Syslog 送信元を追
加するときにデフォルトのドメイン名を定義するこ
とを検討します。
[ ユーザー ID] > [ セットアップ ] の順に選択し、ダイア
ログの [ セットアップ ] セクションの [ 編集 ] をクリッ
クします。
[Syslog] タブで、新しい Syslog 解析プロファイルを [ 追
加 ] します。
[ プロファイル名 ] と [ 内容 ] を入力します。
以下のオプションのいずれかを選択して、ユーザー
マッピング情報をフィルタ抽出するために使用する解
析の [ タイプ ] を指定します。
• 正規表現 — このタイプの解析では、Syslog メッセー
ジのユーザー マッピング情報を識別して抽出するた
めの検索パターンを示す正規表現を指定します。ス
テップ 3 の正規表現の識別子を作成する手順に進み
ます。
• フィールド — このタイプの解析では、Syslog 内の認
証イベントに一致する文字列を指定し、ユーザー
マッピング情報を識別するプレフィックス、および
サフィックスの文字列を指定します。ステップ 4 の
フィールド識別子を作成する手順に進みます。
User-ID
User-ID
IP アドレス対ユーザーのマッピング
Windows User-ID エージェントが Syslog 送信元からユーザー マッピングを収集するための設定(続き)
ステップ 3
解析の [ タイプ ] として [ 正規 1.
表現 ] を選択した場合、認証
イベントを識別し、ユーザー
マッピング情報を抽出するた
めの正規表現照合パターンを
作成します。
下の例は、以下の形式の Syslog
メッセージを照合する正規表
現設定を示しています。
[Tue Jul 5 13:15:04 2005 CDT] Administrator
authentication success User:johndoe1
Source:192.168.3.212
2.
注
3.
注
Syslog で単独のスペースまたはタブが
区切り文字として使用されている場
合、エージェントが Syslog を解析する
には、\s(スペース)または \t(タブ) 4.
を使用する必要があります。
User-ID
[ イベントの正規表現 ] フィールドに照合パターンを入
力して、Syslog 内の成功した認証イベントの照合方法
を指定します。たとえば、例の Syslog メッセージに対
し て 照 合 す る 場 合、以 下 の 正 規 表 現 は、フ ァ イ ア
ウォールで文字列 authentication success の最初の {1}
インスタンスを抽出することを指示します。スペース
の前の円記号は、スペースを特殊文字として扱わない
ように正規表現エンジンに指示する標準の正規表現エ
スケープ文字です : (authentication\ success){1}"
[ ユーザー名の正規表現 ] フィールドに認証成功メッセー
ジ内のユーザー名の先頭を識別するための正規表現を入
力します。たとえば、正規表現 User:([a-zA-Z0-9\\\._]+)
は例のメッセージの文字列 User:johndoe1 に一致し、
acme\johndoe1 を User-ID として抽出します。
Syslog にドメイン情報が含まれておらず、ユーザー マッ
ピングにドメイン名が必要な場合は、ステップ 5 で
モニター対象サーバー エントリを定義するときに必
ず [ デフォルト ドメイン名 ] を入力します。
[ アドレスの正規表現 ] フィールドに認証成功メッセージ
の IP アドレス部分を識別するための正規表現を入力し
ます。たとえば、正規表現 Source:([0-9] {1,3}\.[0-9]
{1,3}\.[0-9]{1,3}\.[0-9]{1,3}) は、IPv4 アドレス(例
の Syslog 内の Source:192.168.0.212)に一致します。
[OK] をクリックしてプロファイルを保存します。
267
IP アドレス対ユーザーのマッピング
User-ID
Windows User-ID エージェントが Syslog 送信元からユーザー マッピングを収集するための設定(続き)
ステップ 4
解析の [ タイプ ] として [ フィー 1.
ルド識別子 ] を選択した場
合、認証イベントを識別し、
ユーザー マッピング情報を抽
出するための文字列照合パ
ターンを定義します。
2.
下 の 例 は、以 下 の 形 式 の
Syslog メッセージを照合する
フィールド識別子設定を示し
ています。
認証 Syslog メッセージ内のユーザー名フィールドの終
了を示す [ ユーザー名の区切り文字 ] を入力します。た
とえば、ユーザー名の後にスペースがある場合、\s を
入力して例のログ内のユーザー名フィールドが単独ス
ペースで区切られていることを示します。
4.
[ アドレス プレフィックス ] フィールドに認証イベント
ログ内の IP アドレス フィールドの先頭を識別するた
めに照合する文字列を入力します。たとえば、文字列
Source: は、例のログ内のアドレス フィールドの先頭
を識別します。
5.
Syslog で単独のスペースまたはタブが
区切り文字として使用されている場
合、エージェントが Syslog を解析する
には、\s(スペース)または \t(タブ)
を使用する必要があります。
6.
認証成功メッセージ内の IP アドレス フィールドの終
了を示す [ アドレスの区切り文字 ] を入力します。たと
えば、アドレスの後に改行がある場合、\n を入力して
アドレス フィールドが改行で区切られていることを示
します。
ステップ 5
268
[ ユーザー名のプレフィックス ] フィールドに認証 Syslog
メッセージ内のユーザー名フィールドの先頭を識別す
るために照合する文字列を入力します。たとえば、文
字列 User: は、例の Syslog 内のユーザー名フィールド
の先頭を識別します。
3.
[Tue Jul 5 13:15:04 2005 CDT] Administrator
authentication success User:johndoe1
Source:192.168.3.212
注
[ イベントの文字列 ] フィールドに照合パターンを入力
して、Syslog 内の成功した認証イベントの照合方法を
指定します。たとえば、例の Syslog メッセージに照合
させる場合、Syslog 内の認証イベントを識別するには
文字列 authentication success を入力します。
[OK] をクリックしてプロファイルを保存します。
エージェント上でリスニング 1.
サービスを有効にします。
[Syslog サービスを有効にする ] チェック ボックスをオ
ンにします。
2.
(任意)[Syslog サービス ポート ] 番号を Syslog 送信元
で使用されているポート番号と一致するように変更し
ます(デフォルトは 514)。
3.
エージェントの Syslog 設定を保存するには、[OK] をク
リックします。
User-ID
User-ID
IP アドレス対ユーザーのマッピング
Windows User-ID エージェントが Syslog 送信元からユーザー マッピングを収集するための設定(続き)
ステップ 6
User-ID エージェントに Syslog 1.
メ ッ セ ー ジ を 送 信 す る サ ー 2.
バーを定義します。
[ ユーザー ID] > [ 検出 ] の順に選択します。
最大 100 個の Syslog 送信元を 3.
定 義 で き ま す。User-ID エ ー
ジェントは、このリストにな 4.
いサーバーから受信した Syslog
5.
メッセージは破棄します。
6.
エージェントに Syslog を送信するサーバーの [ 名前 ] と
[ サーバー アドレス ] を入力します。
7.
ステップ 7
User-ID
設定を保存します。
画面の [ サーバー] セクションで [ 追加 ] をクリックし
ます。
[サーバー タイプ] として [Syslog Sender] を選択します。
ステップ 2 で定義した [ フィルタ ] を選択します。
(任意)認証デバイスが送信する Syslog のログイン イ
ベント ログにドメイン情報が含まれていない場合、
ユーザー マッピングに追加する [ デフォルト ドメイン
名 ] を入力します。
[OK] をクリックして設定を保存します。
設定を保存するには [Commit] をクリックします。
269
IP アドレス対ユーザーのマッピング
User-ID
Windows User-ID エージェントが Syslog 送信元からユーザー マッピングを収集するための設定(続き)
ステップ 8
ファイアウォールへの SSH コネクションを開き、以下の CLI コマンドを実行することに
よって設定を確認します。
特定の Syslog 送信元の状態を表示するには、以下のコマンドを実行します。
admin@PA-5050> show user server-monitor state Syslog2
UDP Syslog Listener Service is enabled
SSL Syslog Listener Service is enabled
Proxy: Syslog2(vsys: vsys1)
Host: Syslog2(10.5.204.41)
number of log messages
:
number of auth. success messages
:
number of active connections
:
total connections made
:
1000
1000
0
4
Syslog 送信元から受信したログメッセージの数およびマッピングに成功したエントリの数を表示するには、以下のコマンドを実
行します。
admin@PA-5050> show user server-monitor statistics
Directory Servers:
Name
TYPE
Host
Vsys
Status
----------------------------------------------------------------------------AD
AD
10.2.204.43
vsys1
Connected
Syslog Servers:
Name
Connection Host
Vsys
Status
----------------------------------------------------------------------------Syslog1
UDP
10.5.204.40
vsys1
N/A
Syslog2
SSL
10.5.204.41
vsys1
Not connected
Syslog 送信元を通じて検出されたユーザー マッピングの数を表示するには、以下のコマンドを実行します。
admin@PA-5050> show user ip-user-mapping all type SYSLOG
IP
axTimeout(s)
--------------192.168.3.8
476
192.168.5.39
480
192.168.2.147
476
192.168.2.175
476
192.168.4.196
480
192.168.4.103
480
192.168.2.193
476
192.168.2.119
476
192.168.3.176
478
Vsys
From
User
IdleTimeout(s) M
------ ------- -------------------------------- -------------- vsys1 SYSLOG acme\jreddick
2476
2
vsys1
SYSLOG
acme\jdonaldson
2480
2
vsys1
SYSLOG
acme\ccrisp
2476
2
vsys1
SYSLOG
acme\jjaso
2476
2
vsys1
SYSLOG
acme\jblevins
2480
2
vsys1
SYSLOG
acme\bmoss
2480
2
vsys1
SYSLOG
acme\esogard
2476
2
vsys1
SYSLOG
acme\acallaspo
2476
2
vsys1
SYSLOG
acme\jlowrie
2478
2
Total: 9 users
270
User-ID
User-ID
IP アドレス対ユーザーのマッピング
キャプティブ ポータルを使用した IP アドレス対ユーザー名のマッピング
User-ID が有効になっていて送信元 IP アドレスにユーザー データが関連付けられていないゾー
ンからの要求をファイアウォールが受信した場合、そのキャプティブ ポータル ポリシーで一致
をチェックして認証を実行するかどうかを決定します。これは、Linux クライアントなど、ドメ
イン サーバーにログインしていないクライアントがある環境で役立ちます。このユーザー マッ
ピング方法は、セキュリティ ルール / ポリシーに一致し、別の方法を使用してマッピングされ
ていない Web トラフィック(HTTP または HTTPS)でのみトリガーされます。
キャプティブ ポータルの認証方法
キャプティブ ポータルでは、要求がキャプティブ ポータルのポリシーと一致すると、以下の方
法によりユーザー データをクライアントから取得します。
認証方法
説明
NTLM 認証
ファイアウォールでは、暗号化されたチャレンジ レスポンス機構を使
用して、ユーザーの認証情報をブラウザから入手します。適切に設定
されている場合、ブラウザはユーザーに入力を求めずに透過的にファ
イアウォールに認証情報を提供しますが、必要に応じて認証情報の入
力を求めるメッセージが表示されます。ブラウザが NTLM を実行でき
ない場合、または NTLM 認証に失敗した場合、キャプティブ ポータル
設定に応じてファイアウォールは Web フォームまたはクライアント証
明書の認証に戻ります。
デ フ ォ ル ト で は、IE で NTLM が サ ポ ー ト さ れ て い ま す。Firefox と
Chrome は、NLTM を使用するように設定できます。Windows 以外のク
ライアントの認証には NTLM を使用できません。
Web フォーム
要求が Web フォームにリダイレクトされ認証されます。ローカル ユー
ザー データベース、RADIUS、LDAP、または Kerberos を使用してユー
ザーを認証するようにキャプティブ ポータルを設定できます。ユー
ザーは常に認証情報を要求されますが、この認証方法は、すべてのブ
ラウザおよびオペレーティング システムと連動します。
クライアント証明書認証
有効なクライアント証明書をブラウザに要求してユーザーを認証しま
す。この方法を使用するには、各ユーザー システムのクライアント証
明書をプロビジョニングし、ファイアウォールでそれらの証明書を発
行するために使用する信頼された CA 証明書をインストールする必要が
あります。これは、Mac OS および Linux クライアントでメッセージを
表示しない認証を有効にする唯一の認証方法です。
User-ID
271
IP アドレス対ユーザーのマッピング
User-ID
キャプティブ ポータルのモード
キャプティブ ポータルのモードにより、Web 要求をキャプチャして認証を行う方法が定義され
ます。
モード
説明
透過
キャプティブ ポータル ルールに従い、ファイアウォールがブラウザの
トラフィックを遮断して元の宛先 URL になりすまし、HTTP 401 を発行
して認証を呼び出します。ただし、ファイアウォールには宛先 URL の
実際の証明書がないため、保護されたサイトへのアクセスを試みる
ユーザーのブラウザには証明書エラーが表示されます。したがって、
このモードはレイヤー 2 やバーチャル ワイヤーのデプロイメントな
ど、絶対に必要な場合にのみ使用してください。
リダイレクト
ファイアウォールが不明な HTTP または HTTPS セッションを遮断し、
認証を実行するための HTTP 302 リダイレクトにより、それらのセッ
ションをファイアウォールのレイヤー 3 インターフェイスにリダイレ
クトします。より優れた操作性(証明書エラーなし)が実現するた
め、このモードの使用をお勧めします。ただし、追加のレイヤー 3 設
定が必要です。[ リダイレクト ] モードのもう 1 つの利点はセッション
Cookie を使用できることで、タイムアウトが発生するたびに再度マッ
ピングする必要なしに、ユーザーが継続して認証済みサイトを閲覧で
きます。ある IP アドレスから別の IP アドレス(企業 LAN から無線
ネットワークなど)にローミングするユーザーは、セッションが開か
れている限り IP アドレスが変化しても再認証する必要がないため、こ
のモードが特に役立ちます。さらに、NTLM 認証を使用する場合、ブ
ラウザは信頼されたサイトにのみ認証情報を提供するため、[ リダイレ
クト ] モードを使用する必要があります。
キャプティブ ポータルの設定
以下の手順では、PAN-OS 統合 User-ID エージェントを使用するキャプティブ ポータルを設定
し、キャプティブ ポータル ポリシーに一致する要求を、ファイアウォールのレイヤー 3 イン
ターフェイスにリダイレクトする方法を示します。
他の User-ID 機能(ユーザー マッピングおよびグループ マッピング)を使用せずにキャプ
ティブ ポータルを使用する場合は、エージェントを設定する必要はありません。
272
User-ID
User-ID
IP アドレス対ユーザーのマッピング
PAN-OS 統合 User-ID エージェントを使用したキャプティブ ポータルの設定
今回の製品のリリースでは、ファイアウォールが MGT イ
ンターフェイスを介してサーバーと通信する必要があるた
め、このインターフェイスからディレクトリ サーバーが存
在するネットワークにアクセスできることを確認する必要
があります。お使いの環境でこの設定が機能しない場合、
Windows ベースの User-ID エージェントを使用してキャプ
ティブ ポータルを設定する必要があります。
ステップ 1
フ ァ イ ア ウ ォ ー ル に、ユ ー
ザー データを収集するために
モニタリングするサーバー
(ド メ イ ン コ ン ト ロ ー ラ、
Exchang e Ser ver な ど)へ の
ルートが存在することを確認
します。
ステップ 2
ドメイン コントローラのアド 正しく名前が解決されていることを確認するには、サー
レスを解決するように DNS が バーの FQDN を ping します。例 :
設定されていることを確認し admin@PA-200> ping host dc1.acme.com
ます。
ステップ 3
(リダイレクト モードのみ) 1.
キャプティブ ポータルの要求を
リダイレクトするレイヤー 3 イ
ンターフェイスを作成します。
管理プロファイルを作成して、インターフェイスに
キャプティブ ポータルの応答ページを表示できるよう
にします。
a. [Network] > [ インターフェイス管理 ] の順に選択
し、[ 追加 ] をクリックします。
b. [ 名前 ] フィールドにプロファイル名を入力し、[ 応
答ページ ] を選択してから [OK] をクリックします。
User-ID
2.
レイヤー 3 インターフェイスを作成します。ステップ 1
で作成した管理プロファイルが関連付けられているこ
とを確認します([Ethernet インターフェイス] ダイアロ
グの [ 詳細 ] > [ その他の情報 ] タブ)。
3.
レイヤー 3 インターフェイスで設定した IP アドレスと
イントラネットのホスト名(ntlmhost など、名前に
ドットが含まれないホスト名)をマッピングする DNS
の「A」レコードを作成します。
273
IP アドレス対ユーザーのマッピング
User-ID
PAN-OS 統合 User-ID エージェントを使用したキャプティブ ポータルの設定 (続き)
ステップ 4
注
自己署名証明書を使用するには、以下のとおり、まずルー
ト CA の証明書を作成してから、その CA を使用してキャ
プティブ ポータルに使用する証明書に署名する必要があり
ます。
1. ルート CA 証明書を作成するには、[Device] > [ 証明書
の管理 ] > [ 証明書 ] > [ デバイス証明書 ] の順に選択し、
[ 生成 ] をクリックします。[ 証明書名 ] キストボック
スに「RootCA」などの名前を入力します。[ 署名者 ]
フィールドの値を選択すると、その証明書が自己署名
証明書であることを示すため、この値は選択しないで
ください。[ 認証局 ] チェックボックスがオンになって
キャプティブ ポータルを初めてセット
いることを確認してから
[ 生成 ] をクリックすると、証
アップする場合、インポートされた証
明書が生成されます。
明書は機能しません。インポートされ
た証明書を使用するには、[ サーバー 2. キャプティブ ポータルに使用する証明書を作成するに
は、[ 生成 ] をクリックします。[ 証明書名 ] に名前を
証明書 ] を指定せずに初期設定を完了
します。これでキャプティブ ポータ
入力し、インターフェイスのイントラネット ホストの
ルを有効にすれば、インポートされた
DNS 名前を [ 共通名 ] フィールドに入力します。[ 署名
証明書に戻って切り替えることができ
者 ] フィールドで、前の手順で作成した CA を選択しま
ます。
す。IP アドレスの属性を追加し、要求のリダイレクト
先となるレイヤー3 インターフェイスの IP アドレスを
指定します。証明書を [ 生成 ] します。
(リダイレクト モードのみ)
証明書エラーを表示せずに
ユーザーを透過的にリダイレ
クトするには、要求をリダイ
レクトする IP アドレスに一致
する証明書をインストールし
ます。自己署名証明書を生成
するか、外部 CA によって証
明された証明書をインポート
できます。
3.
274
クライアントが証明書を信頼するように設定するに
は、[ デバイス証明書 ] タブで CA 証明書を選択し、[ エ
クスポート ] をクリックします。次に、証明書を信頼
されたルート CA としてすべてのクライアント ブラウ
ザにインポートする必要があります。インポートはブ
ラ ウ ザ で 手動 で 設 定す る か、ま た は 証明 書 を Active
Directory のグループ ポリシー オブジェクト(GPO)
の信頼されたルートに追加します。
User-ID
User-ID
IP アドレス対ユーザーのマッピング
PAN-OS 統合 User-ID エージェントを使用したキャプティブ ポータルの設定 (続き)
ステップ 5
Web フォームが呼び出された場 1.
合に使用する認証方式を設定
します。NTLM を使用する場
合でも、NTLM 認証に失敗し
た場合や、ユーザー エージェ
ントで NTLM 認証がサポート
されていない場合に使用でき
る、二次的な認証方式として
設定する必要があります。
使用する予定の認証サービスに接続して認証情報にアク
セスできるように、ファイアウォールを設定します。
ベスト プラクティス :
• ローカル データベース認証を使用する場合、まずロー
カ ル デ ー タ ベ ー ス を 作 成 す る 必 要 が あ り ま す。
[Device] > [ ローカル ユーザー データベース ] の順に
選択し、認証するユーザーおよびグループを追加し
ます。
• RADIUS を使用してユーザー
を Web フォームから認証す
る場合、RADIUS ドメインを
入力する必要があります。
このドメインは、ユーザー 2.
がログイン時にドメインを
指定しない場合のデフォル
トとして使用されます。
• AD を使用してユーザーを
Web フォームから認証する
場 合、[sAMAccountName]
を [LogonAttribute] として
入力する必要があります。
User-ID
• LDAP、Kerberos または RADIUS を使用して認証を行
う場合、サービスへの接続方法と、ユーザーの認証
情報にアクセスする方法をファイアウォールに指示
するサーバー プロファイルを作成する必要がありま
す。[Device] > [ サーバー プロファイル ] の順に選択
し、アクセスする特定サービスの新しいプロファイ
ルを追加します。
サーバー プロファイルまたは先ほど作成したローカル
ユーザー データベースを参照する認証プロファイルを
作成します。[Device] > [ 認証プロファイル ] の順に選
択し、キャプティブ ポータルで使用する新しいプロ
ファイルを追加します。特定のタイプの認証プロファ
イル作成の詳細は、オンライン ヘルプを参照してくだ
さい。
275
IP アドレス対ユーザーのマッピング
User-ID
PAN-OS 統合 User-ID エージェントを使用したキャプティブ ポータルの設定 (続き)
ステップ 6
注
(オプション)クライアント 1.
証明書の認証を設定します。
認証プロファイルとクライア 2.
ント証明書のプロファイルを
3.
両方設定しなくても、キャプ
ティブ ポータルは使用できま
す。両方設定する場合は、両
方の認証方式でユーザーを認
証する必要があります。
キャプティブ ポータルを使用して認証を行うユーザー
ごとに証明書を生成します。
Base64 形式で CA 証明書をダウンロードします。
クライアント証明書を生成した CA からファイアウォー
ルに、ルート CA 証明書をインポートします。
a. [Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス
証明書 ] の順に選択し、[ インポート ] をクリックし
ます。
b. [ 証明書名 ] フィールドに、クライアント CA 証明書
であることを識別できる名前を入力します。
その他の証明書プロファイル フィール
ドの詳細(CRL または CCSP の使用な
ど)は、オンライン ヘルプを参照し
てください。
c. [Browse] をクリックして、CA からダウンロードし
た証明書ファイルを選択します。
d. [Base64 エンコード済み証明書(PEM)] を [ ファイ
ル フォーマット ] フィールドで選択し、[OK] をク
リックします。
e. [ デバイス証明書 ] タブで、先ほどインポートした証
明書を選択して開きます。
f. [ 信頼されたルート CA] を選択して [OK] をクリック
します。
4.
キャプティブ ポータルの設定に使用する、クライアン
トの証明書プロファイルを作成します。
a. [Device] > [ 証明書 ] > [ 証明書の管理 ] > [ 証明書プ
ロファイル ] の順に選択し、[ 追加 ] をクリックして
[ 名前 ] フィールドにプロファイル名を入力します。
b. [ ユーザー名 フィールド ] ドロップダウン リストか
ら、User-ID の情報を含む証明書を選択します。
c. [CA 証明書 ] フィールドで [ 追加 ] をクリックし、
ステップ 3でインポートした「信頼されたルート認
証局」の証明書を選択してから [OK] をクリックし
ます。
276
User-ID
User-ID
IP アドレス対ユーザーのマッピング
PAN-OS 統合 User-ID エージェントを使用したキャプティブ ポータルの設定 (続き)
ステップ 7
注
NTLM 認証を有効にします。
1.
デバイス上の User-ID エージェントを
使用する場合、ファイアウォールがド
メ イ ン に 参 加 す る に は、フ ァ イ ア
ウォールでドメイン コントローラの 2.
DNS 名を正常に解決できるようにす
る必要があります。以下で指定する認 3.
証情報が使用され、DNS の名前が解
決された時点でファイアウォールがド
メインに参加します。
4.
ステップ 8
[Device] > [User-ID] > [ ユーザー マッピング ] の順に選
択し、画面の [Palo Alto Networks User ID エージェン
ト設定 ] セクションで編集アイコン
をクリックし
ます。
[NTLM] タブで [NTLM 認証処理の有効化 ] チェック
ボックスをオンにします。
ファイアウォールの User-ID エージェントが NTLM 認
証情報を確認する対象となる NTLM ドメインを入力し
ます。
「統合 User-ID エージェントを使用した IP アドレス対
ユーザーのマッピング」のステップ 1 で NTLM 認証用
に作成した Active Directory アカウントのユーザー名と
パスワードを入力します。
キャプティブ ポータルを設定します。
1. [Device] > [ ユーザー ID] > [ キャ
プティブ ポータルの設定 ] の順
に選択し、画面の [ キャプティ
ブ ポータル ] セクションで編集ア
イコン
をクリックします。
2. [有効] チェックボックスがオンに
なっていることを確認します。
3. [モード] を設定します。この例で
は、[ リダイレクト ] モードの設
定方法について説明します。
4. (リダイレクト モードのみ)[サー
バー証明書 ] で、ファイアウォー
ルが SSL 経由で要求のリダイレクトに使用する証明書を選択します。この証明書は、ステッ
プ 4 で作成した証明書です。
5. (リダイレクト モードのみ)[ ホストのリダイレクト ] フィールドでホストを指定します。
これは、ステップ 3 で指定したように要求のリダイレクトに使用するレイヤー 3 インター
フェイスの IP アドレスに解決されるイントラネットのホスト名です。
6. NTLM が失敗した場合(または NTLM を使用しない場合)に使用する認証方式を選択
します。
• LDAP、Kerberos、RADIUS、またはローカル データベース認証を使用する場合、[ 認証
プロファイル ] フィールドで、ステップ 5 で作成したプロファイルを選択します。
• クライアント証明書の認証を使用する場合、[ 証明書プロファイル ] フィールドで、ス
テップ 6 で作成した証明書を選択します。
7. [OK] をクリックして、設定を保存します。
8. [Commit] をクリックしてキャプティブ ポータルの設定を保存します。
User-ID
277
IP アドレス対ユーザーのマッピング
User-ID
ターミナル サーバー ユーザー向けのユーザー マッピング設定
個々のターミナル サーバー ユーザーは同じ IP アドレスを持っているように見えるため、IP ア
ドレスからユーザー名へのマッピングは、特定のユーザーを識別するのに十分ではありませ
ん。Windows ベースのターミナル サーバー上の特定のユーザーを識別できるようにするため、
Palo Alto Networks ターミナル サービス エージェント(TS エージェント)は各ユーザーにポート
範囲を割り当てます。その後、接続されているすべてのファイアウォールに、割り当てたポー
ト範囲について通知します。これにより、ファイアウォールは IP アドレス対ポート対ユーザー
のマッピング テーブルを作成し、ユーザーベースおよびグループベースのセキュリティポリ
シーを実施できるようになります。Windows 以外のターミナル サーバーに対しては、User-ID
XML API を設定してユーザー マッピング情報を抽出できます。
以下のセクションでは、ターミナル サーバー ユーザーのユーザー マッピング設定方法につい
て説明します。

Palo Alto Networks ターミナル サーバー エージェントのユーザー マッピング設定

User-ID XML API を使用したターミナル サーバーからのユーザー マッピングの取得
Palo Alto Networks ターミナル サーバー エージェントのユーザー マッピング設定
TS エージェントをターミナルサーバーにインストールするには、以下の手順を実行します。す
べてのユーザーを正しくマッピングするには、ユーザーがログインするすべてのターミナル
サーバー上に TS エージェントをインストールする必要があります。
TS エージェントでサポートされるターミナル サーバーの詳細は、Palo Alto Networks のソフト
ウェア更新ページから入手できる『ターミナル サービス エージェント リリース ノート』の
「TS エージェントのオペレーティング システム(OS)互換性」を参照してください。
Windows ターミナル サーバー エージェントのインストール
ステップ 1
278
TS エージェント インストーラ 1.
をダウンロードします。
https://support.paloaltonetworks.comにアクセスし、[Login
(ロ グ イ ン)] を ク リ ッ ク し て Palo Alto Networks サ
ポートにログインします。
2.
[Manage Devices(デバイスの管理)] セクションの
[Software Updates(ソフトウェア更新)] を選択します。
3.
[ ターミナル サービス エージェント ] セクションまで
スクロールし、インストールするエージェントのバー
ジョンを [ ダウンロード ] します。
4.
エージェントをンストールするシステム上に
TaInstall64.x64-x.x.x-xx.msi ファイルまたは
TaInstall-x.x.x-xx.msi ファイルを保存します
(Windows システムが 32 ビット OS または 64 ビット
OS のどちらを実行しているかによって適切なバー
ジョンを選択する必要があります)。
User-ID
User-ID
IP アドレス対ユーザーのマッピング
Windows ターミナル サーバー エージェントのインストール(続き)
ステップ 2
管理者としてインストーラを 1.
実行します。
管理者としてコマンド プロンプトを起動するには、
[ スタート ] をクリックし、[ コマンド プロンプト ] を
右クリックして [ 管理者として実行 ] を選択します。
2.
コマンド ラインから、ダウンロードした .msi ファイル
を実行します。たとえば、.msi ファイルをデスクトッ
プに保存した場合、以下のように入力します。
C:\Users\administrator.acme>cd Desktop
C:\Users\administrator.acme\Desktop>TaInstall-6.0.
0-1.msi
3.
デフォルトの設定を使用してエージェントをインス
トールするには、セットアップ プロンプトに従いし
ます。デフォルトでは、エージェントは C:\Program
Files (x86)\Palo Alto Networks\Terminal Server Agent
フォルダにインストールされますが、[ 参照 ] をクリッ
クして別の場所を指定することもできます。
4.
注
ステップ 3
User-ID
インストールの完了後、[ 閉じる ] をクリックしてセッ
トアップ ウィンドウを閉じます。
既存の TS エージェントよりもドライバが新しい TS
エージェントにアップグレードする場合、新しいド
ライバを使用するにはアップグレード後にシステム
を再起動する必要があることを示すプロンプトがイ
ンストール ウィザードで表示されます。
ターミナル サーバー エージェ [ スタート ] をクリックし、[ ターミナル サーバー エージェ
ント アプリケーションを起動 ント ] を選択します。
します。
279
IP アドレス対ユーザーのマッピング
User-ID
Windows ターミナル サーバー エージェントのインストール(続き)
ステップ 4
注
280
TS エージェントがエンド ユー 1.
ザーに割り当てるポートの範 2.
囲を定義します。
[ 設定 ] を選択します。
[ 送信元ポート割り当て範囲 ] を設定します(デフォルト
は 20000-39999)。これは、TS エージェントがユーザー
マッピングに割り当てるポート番号の全範囲です。指定
するポート範囲は [ システム送信元ポート割り当て範囲 ]
と重複しないようにする必要があります。
3.
(任意)送信元ポート割り当て内で TS エージェント
がユーザー セッションに割り当てないようにするポー
トまたはポート範囲を指定するには、[予約済み送信元
ポート ] として指定します。複数の範囲を含めるに
は、ス ペ ー ス を 入 れ ず に カ ン マ を 使 用 し ま す。例 :
2000-3000,3500,4000-5000。
4.
[ ユーザーごとのポート割り当て開始サイズ ] フィール
ドに、ターミナル サーバーにログインしたときに各個
人ユーザーに割り当てるポート数を指定します(デ
フォルトは 200)。
[ システム送信元ポート割り当て範囲 ]
フィールドおよび [ システム予約済み
送信元ポート ] フィールドは、非ユー 5.
ザー セッションに割り当てられるポー
ト の 範 囲 を 指 定 し ま す。こ れ ら の
フィールドに指定した値がユーザー ト
6.
ラフィックに指定するポートと重複し
ないようにします。これらの値は、対
応する Windows のレジストリ設定を編集
することによってのみ変更できます。
[ ユーザーごとのポート割り当て最大サイズ ] を指定し
ます。これは、ターミナル サーバー エージェントが個
人ユーザーに割り当てられる最大ポート数です。
ユーザーが割り当てられたポートを使い果たした場合
に、そのユーザーからのトラフィックの処理を続行す
るかどうかを指定します。デフォルトでは、[使用可能
なポートを使い果たすとポート バインドに失敗する ]
が選択されています。これは、すべてのポートが使用
された場合には、アプリケーションはトラフィックの
送信に失敗することを示します。ポートを使い果たし
たときにもユーザーがアプリケーションを使用し続け
られるようにするには、このチェック ボックスをオフ
にします。このトラフィックは User-ID では識別でき
ない可能性があります。
User-ID
User-ID
IP アドレス対ユーザーのマッピング
Windows ターミナル サーバー エージェントのインストール(続き)
ステップ 5
ステップ 6
User-ID
ファイアウォールがターミナ ユーザー マッピングの取得のためにターミナル サーバー
ル サーバー エージェントと接 エージェントに接続する各ファイアウォールで、以下の手
続するように設定します。
順を実行します。
1. [Device] > [ ユーザー ID] > [ ターミナル サーバー エー
ジェント ] の順に選択し、[ 追加 ] をクリックします。
2.
[ 名前 ] に、ターミナル サーバー エージェントの名前
を入力します。
3.
[ ホスト ] に、ターミナル サーバー エージェントがイ
ンストールされている Windows ホストの IP アドレスを
入力します。
4.
エージェントがユーザー マッピング要求をリッスンす
る [ ポート ] 番号を入力します。この値は、ターミナル
サーバー エージェント上で設定された値と一致する必
要があります。デフォルトでは、ポートは、ファイア
ウォールおよびエージェントで 5009 に設定されます。
これを変更した場合には、ターミナル サーバー エー
ジェントの [ 設定 ] 画面の [ リスニング ポート ] フィー
ルドも変更する必要があります。
5.
設定が [ 有効 ] になっていることを確認し、[OK] をク
リックします。
6.
変更を [Commit] します。
7.
[ 接続済み ] 状態が
とを確認します。
ターミナル サーバー エージェ 1.
ントが IP アドレスをユーザー
名に正しくマッピングしてい
ることと、ファイアウォール
がエージェントに接続できる 2.
ことを確認します。
接続済みと表示されているこ
ターミナル サーバー エージェントを起動し、接続リス
ト内の各デバイスの [ 接続状態 ] が [ 接続済み ] になっ
ていることを確認することにより、ファイアウォール
が接続できることを確認します。
ターミナル サーバー エージェントがポート範囲をユー
ザー名に正しくマッピングしていることを確認するに
は、[ モニタリング ] を選択し、マッピング テーブルに
データが入力されていることを確認します。
281
IP アドレス対ユーザーのマッピング
User-ID
User-ID XML API を使用したターミナル サーバーからのユーザー マッピングの取得
User-ID XML API は、標準 HTTP 要求を使用してデータを送受信する RESTful API です。API 呼
び出しは、cURL などのコマンドライン ユーティリティから直接行ったり、RESTful サービスを
サポートする任意のスクリプトまたはアプリケーション フレームワークを使用して行うことが
できます。
非 Windows ターミナル サーバーがユーザー マッピング情報をファイアウォールに直接送信でき
るようにするには、ユーザーのログインおよびログアウト イベントを抽出するスクリプトを作
成し、それを使用して User-ID XML API 要求フォーマットに入力します。その後、cURL または
wget を使用して XML API 要求をファイアウォールに送信するメカニズムおよび、安全な通信の
ためにファイアウォールの API キーを提供するメカニズムを定義します。ターミナル サーバー
などのマルチユーザー システムからユーザー マッピングを作成するには、以下の API メッセー
ジを使用する必要があります。

<multiusersystem> — ファイアウォール上で XML API マルチユーザー システムの設定を
セットアップします。このメッセージにより、ターミナル サーバーの IP アドレスの定義が
可能になります(これがそのターミナル サーバー上のすべてのユーザーの送信元アドレスに
なります)。さらに、 <multiusersystem> セットアップ メッセージは、ユーザー マッピン
グに割り当てる送信元ポート番号の範囲と各個人ユーザーにログイン時に割り当てるポー
ト数(ブロック サイズといいます)を指定します。デフォルトの送信元ポート割り当て
範囲(1025-65534)およびブロックサイズ(200)を使用する場合は、ファイアウォール
に <multiusersystem> セットアップ イベントを送信する必要はありません。ファイアウォール
は最初のユーザー ログイン イベント メッセージを受信したときに自動的にデフォルト設定
を使用して XML API マルチユーザー システム設定を生成します。

<blockstart> — <login> および <logout> メッセージと共に使用され、ユーザーに割り当て
られる開始送信元ポート番号を示します。その後、ファイアウォールはブロック サイズを使
用して、ログイン メッセージ内の IP アドレスおよびユーザー名にマップする実際のポート
番号範囲を決定します。たとえば、<blockstart> の値が 13200 で、マルチユーザー システム
に設定されたブロック サイズが 300 の場合、ユーザーに割り当てられる実際の送信元ポート
範囲は 13200 から 13499 までです。ユーザーが開始した各接続は、割り当てられた範囲内で
一意の送信元ポート番号を使用する必要があります。これにより、ファイアウォールは、IP
アドレス対ポート対ユーザーのマッピングに基づいてユーザーを識別し、ユーザーベース、
およびグループベースのセキュリティ ポリシー ルールを実施できます。ユーザーが割り当
てられたポートをすべて使い果たした場合、ターミナル サーバーは新しい <login> メッセー
ジを送信する必要があります。これにより新しいポート範囲がユーザーに割り当てられ、
ファイアウォールが IP アドレス対ポート対ユーザーのマッピングを更新できます。さら
に、1 つのユーザー名に同時に複数のポート ブロックをマップすることもできます。ファイ
アウォールは、<blockstart> パラメータを含む <logout> メッセージを受信すると、対応する
IP アドレス対ポート対ユーザーのマッピングをマッピング テーブルから削除します。ファ
イアウォールは、ユーザー名と IP アドレスを含み <blockstart> を含まない <logout> メッセー
ジを受信すると、ユーザーをテーブルから削除します。そして、ファイアウォールは、IP ア
ドレスのみを含む <logout> メッセージを受信すると、マルチユーザー システムとそれに関連
付けられたすべてのマッピングを削除します。
282
User-ID
User-ID
IP アドレス対ユーザーのマッピング
ターミナル サーバーがファイアウォールに送信する XML ファイルには、複数のメッセージ タ
イプを含めることができます。メッセージはファイル内で特定の順序である必要はありませ
ん。ただし、複数のメッセージ タイプを含む XML ファイルを受信すると、ファイアウォール
は、マルチユーザー システム要求を最初に処理し、次にログイン、その後にログアウトの順で
処理します。
以下のワークフローは、User-ID XML API を使用してユーザー マッピングを非 Windows ターミ
ナル サーバーからファイアウォールに送信する方法の例を示しています。
User-ID XML API を使用した非 Windows ターミナル サービス ユーザーのマッピング
ステップ 1
注
ファイアウォールと
ターミナル サーバー
の間の API 通信を認
証するために使用さ
れる API キーを生成
します。キーを生成
するには、管理アカ
ウントのログイン認
証情報を提供する必
要があります。すべ
て の 管 理 者(X M L
API 権限を有効にし
たロールベースの管
理者を含む)が API
を使用できます。
パスワード内の特殊文字は、
URL/ パーセント エンコード
にする必要があります。
User-ID
ブラウザから、ファイアウォールにログインします。その後、ファ
イアウォールの API キーを生成するために、新しいブラウザ ウィン
ドウを開き、以下の URL を入力します。
https://<Firewall-IPaddress>/api/?type=keygen&user=<username>&
password=<password>
ここで、<Firewall-IPaddress> はファイアウォールの IP アドレス
または FQDN で、<username> および <password> は、ファイアウォール
上の管理ユーザー アカウントの認証情報です。例 :
https://10.1.2.5/api/?type=keygen&user=admin&password=admin
ファイアウォールはキーを含むメッセージで応答します。以下に例
を示します。
<response status="success">
<result>
<key>k7J335J6hI7nBxIqyfa62sZugWx7ot%2BgzEA9UOnlZRg=</key>
</result>
</response>
283
IP アドレス対ユーザーのマッピング
User-ID
User-ID XML API を使用した非 Windows ターミナル サービス ユーザーのマッピング(続き)
ステップ 2
(任意)ターミナル 以下に、サンプル セットアップ メッセージを示します。
サ ー ビ ス エ ー ジ ェ <uid-message>
<payload>
ントが使用するポー
<multiusersystem>
ト範囲およびユー
<entry ip="10.1.1.23" startport="20000"
ザーごとのポートの
endport="39999" blocksize="100">
ブロック サイズを
</multiusersystem>
指定するためにター
</payload>
ミナル サーバーが
<type>update</type>
送信するセットアッ
<version>1.0</version>
プ メ ッ セ ー ジ を 生 </uid-message>
成します。
ここで、entry ip はターミナル サーバー ユーザーに割り当てられる
タ ー ミ ナ ル サ ー ビ IP アドレスを指定し、startport および endport はポートを個別ユー
ス エ ー ジ ェ ン ト が ザーに割り当てるときに使用するポートの範囲を指定し、blocksize
セ ッ ト ア ッ プ メ ッ は各ユーザーに割り当てるポート数を指定します。最大ブロック サ
セージを送信しない イズは 4000 で、各マルチユーザー システムは最大 1000 個のブロッ
場 合、フ ァ イ ア クを割り当てられます。
ウォールは、最初の カスタムのブロック サイズやポート範囲を定義する場合、範囲内の
ロ グ イ ン メ ッ セ ー すべてのポートが割り当てられ、ギャップや使用されないポートが
ジの受信時に以下の ないような値を設定する必要があります。たとえば、ポート範囲を
デフォルト設定を使 1000-1499 に設定すると、ブロック サイズを 100 に設定することはで
用して自動的にター きますが、200 に設定することはできません。200 に設定した場合、
ミナル サーバー エー 範囲の最後に使用されないポートがあるためです。
ジェント設定を作成
します。
• デフォルト ポー
ト範囲 : 1025 から
65534 まで
• ユーザーあたり
のブロック サイ
ズ : 200
• マルチユーザー
システムの最大
数 : 1000
284
User-ID
User-ID
IP アドレス対ユーザーのマッピング
User-ID XML API を使用した非 Windows ターミナル サービス ユーザーのマッピング(続き)
ステップ 3
注
ログイン イベントを
抽出するスクリプト
を作成し、ファイア
ウォールに送信する
XML インプット ファ
イルを作成します。
以下に、User-ID XML ログイン イベントの入力ファイル形式を示し
ます。
スクリプトで実施す
る割り当てのポート
番号範囲が固定され
た境界を持ち、ポー
トの重複がないよう
に し ま す。た と え
ば、ポ ー ト 範 囲 が
1000-1999 でブロック
サ イ ズ が 200 の 場
合、許 容 で き る
blockstart 値は 1000、
1200、1400、1600、
ま た は 1800 で す。
blockstart 値に 1001、
1300、1850 は許容で
きません。これらの
値を使用すると、範
囲内に使用されない
ポート番号が残るた
めです。
<entry name="acme\jparker" ip="10.1.1.23" blockstart="20100">
<uid-message>
<payload>
<login>
<entry name="acme\jjaso" ip="10.1.1.23" blockstart="20000">
<entry name="acme\ccrisp" ip="10.1.1.23" blockstart="21000">
</login>
</payload>
<type>update</type>
<version>1.0</version>
</uid-message>
ファイアウォールはこの情報を使用してユーザー マッピング テー
ブルにデータを入力します。上の例で抽出されたマッピングに基づ
く と、フ ァ イ ア ウ ォ ー ル が ソ ー ス ア ド レ ス お よ び ポ ー ト が
10.1.1.23:20101 のパケットを受信した場合、その要求はポリシー実施
のためにユーザー jparker にマッピングされます。
注
各マルチユーザー システムは、最大 1000 個のポート ブロック
を割り当てられます。
ターミナル サーバーがファ
イアウォールに送信するログ
イン イベント ペイロードに
は、複数のログイン イベン
トを含めることができます。
User-ID
285
IP アドレス対ユーザーのマッピング
User-ID
User-ID XML API を使用した非 Windows ターミナル サービス ユーザーのマッピング(続き)
ステップ 4
ログアウト イベント
を抽出するスクリプ
トを作成し、ファイ
アウォールに送信す
る XML インプ ッ ト
ファイルを作成し
ます。
以下に、User-ID XML ログアウト イベントの入力ファイル形式を示
します。
<uid-message>
<payload>
<logout>
<entry name="acme\jjaso" ip="10.1.1.23"
blockstart="20000">
<entry name="acme\ccrisp" ip="10.1.1.23">
<entry ip="10.2.5.4">
</logout>
</payload>
<type>update</type>
<version>1.0</version>
</uid-message>
ファイアウォール
は、blockstart パラ
メータを含む logout 注
イベント メッセー
ジを受信すると、対
応 す る IP ア ド レ ス
対ポート対ユーザー
のマッピングを削除
します。logout メッ
セージにユーザー名
と IP ア ドレ ス が 含
まれ、blockstart パ
ラメータが含まれて
いない場合、ファイ
アウォールはその
ユーザーに対するす
べてのマッピングを
削除します。logout
メ ッ セー ジ に IP ア
ドレスのみが含まれ
ている場合、ファイ
アウォールはそのマ
ルチユーザー シス
テムとすべての関連
付けられたマッピン
グを削除します。
286
また、以下の CLI コマンドを使用してマルチユーザー システム
エントリをクリアすることもできます。
clear xml-api multiusersystem
User-ID
User-ID
IP アドレス対ユーザーのマッピング
User-ID XML API を使用した非 Windows ターミナル サービス ユーザーのマッピング(続き)
ステップ 5
ステップ 6
XML API を使用して
割り当てられたポー
ト ブロック範囲を
実際にターミナル
サーバーでユーザー
に割り当てられた送
信元ポートに一致さ
せ、ユーザーがログ
アウトしたりポート
割り当てが変更され
たときにこのマッピ
ングが削除されるよ
うに、動的に実行す
る方法が作成したス
クリプトに含まれる
ようにします。
これを行う方法の 1 つは、Netfilter NAT ルールを使用してユーザー
セッションを XML API を通じて uid に基づいて割り当てられた特定の
ポート範囲に隠すことです。たとえば、User-ID が jjaso のユーザーが
送信元ネットワーク アドレス変換(SNAT)値 10.1.1.23:20000-20099 に
マッピングされるようにするには、作成したスクリプトに以下が含
まれている必要があります。
セットアップ、ログ
イン、およびログア
ウト イベントを含
む XML 入力ファイ
ルをファイアウォー
ルに送信するために
wget または cURL メッ
セージにパッケー
ジする方法を定義し
ます。
wget を使用してファイルをファイアウォールに適用するには、以下
のコマンドを実行します。
[root@ts1 ~]# iptables -t nat -A POSTROUTING -m owner --uid-owner jjaso
-p tcp -j SNAT --to-source 10.1.1.23:20000-20099
同様に、作成したスクリプトによって、ユーザーがログアウトした
ときやポート割り当てが変更されたときに IP テーブル ルーティン
グ設定がダイナミックに SNAT マッピングを削除するようにする必
要があります。
[root@ts1 ~]# iptables -t nat -D POSTROUTING 1
> wget --post file <filename>
“https://<Firewall-IPaddress>/api/?type=user-id&key=<key>&file-name=<inp
ut_filename.xml>&client=wget&vsys=<VSYS_name>”
たとえば、wget を使用して、login.xml という名前の入力ファイルを
10.2.5.11 のファイアウォールにキー
k7J335J6hI7nBxIqyfa62sZugWx7ot%2BgzEA9UOnlZRg を使用して
送信する構文は以下のようになります。
> wget --post file login.xml
“https://10.2.5.11/api/?type=user-id&key=k7J335J6hI7nBxIqyfa62sZu
gWx7ot%2BgzEA9UOnlZRg&file-name=login.xml&client=wget&vsys=vsys1”
cURL を使用してファイルをファイアウォールに適用するには、以下
のコマンドを実行します。
> curl --form file=@<filename>
https://<Firewall-IPaddress>/api/?type=user-id&key=<key>&vsys=<VSYS_name
>
たとえば、cURL を使用して、login.xml という名前の入力ファイルを
10.2.5.11 のファイアウォールにキー
k7J335J6hI7nBxIqyfa62sZugWx7ot%2BgzEA9UOnlZRg を使用して送信す
る構文は以下のようになります。
> curl --form file@login.xml
“https://10.2.5.11/api/?type=user-id&key=k7J335J6hI7nBxIqyfa62sZugWx7ot%
2BgzEA9UOnlZRg&vsys=vsys1”
User-ID
287
IP アドレス対ユーザーのマッピング
User-ID
User-ID XML API を使用した非 Windows ターミナル サービス ユーザーのマッピング(続き)
ステップ 7
ファイアウォールが
ターミナル サーバー
からのログイン イベ
ントを正しく受信し
ていることを確認し
ます。
ファイアウォールへの SSH コネクションを開き、以下の CLI コマン
ドを実行することによって設定を確認します。
ターミナル サーバーが XML を介してファイアウォールに接続して
いることを確認するには、以下のコマンドを実行します。
admin@PA-5050> show user xml-api multiusersystem
Host
Vsys
Users
Blocks
---------------------------------------10.5.204.43
vsys1
5
2
ファイアウォールが XML を介してターミナル サーバーからマッピ
ングを受信していることを確認するには、以下のコマンドを実行し
ます。
admin@PA-5050> show user ip-port-user-mapping all
Global max host index 1, host hash count 1
XML API Multi-user System 10.5.204.43
Vsys 1, Flag 3
Port range: 20000 - 39999
Port size: start 200; max 2000
Block count 100, port count 20000
20000-20199: acme\administrator
Total host: 1
XML API を使用した User-ID へのユーザー マッピングの送信
User-ID 機能には、そのままで使用できるユーザー マッピング情報取得手法が多く提供されて
いますが、ユーザー情報をキャプチャするアプリケーションやデバイスの中にはネイティブに
は User-ID に統合できないものもあります。その場合、User-ID XML API を使用してカスタム ス
クリプトを作成することにより、既存のユーザー データを活用して、それを User-ID エージェ
ントまたは直接ファイアウォールに送信することができます。
User-ID XML API は、標準 HTTP 要求を使用してデータを送受信する RESTful API です。API 呼
び出しは、cURL などのコマンドライン ユーティリティから直接行ったり、RESTful サービスを
サポートする任意のスクリプトまたはアプリケーション フレームワークを使用して行うことが
できます。既存のシステム(内部で開発されたカスタム アプリケーションや既存のユーザー
マッピング メカニズムではサポートされないデバイスなど)からのユーザー データを活用する
には、XML API を使用してカスタム スクリプトを作成することにより、データを抽出し、それ
をファイアウォールまたは User-ID エージェントに送信できます。
外部システムがユーザー マッピング情報を User-ID エージェントまたは直接ファイアウォール
に送信できるようにするには、ユーザーのログインおよびログアウト イベントを抽出するスク
リプトを作成し、それを使用して User-ID XML API 要求フォーマットに入力できます。次に、
安全な通信のためにファイアウォールの API キーを使用し、cURL または wget を使用して XML
API 要求をファイアウォールに送信するメカニズムを定義します。詳細は、『PAN-OS XML
API 使用ガイド』を参照してください。
288
User-ID
User-ID
IP アドレス対ユーザーのマッピング
他のファイアウォールとユーザー マッピング データを共有するための
ファイアウォールの設定
ポリシーは各ファイアウォールでローカルなため、セキュリティ ポリシーをグループまたは
ユーザーに基づいて正確に実施するためには、各ファイアウォールが IP アドレス対ユーザー名
のマッピングの最新リストを持つ必要があります。ただし、1 台のファイアウォールがすべて
のユーザー マッピングを収集し、他のファイアウォールに再配布するように設定できます。再
配信ファイアウォールは、任意の方法でユーザー マッピングとグループ マッピングを収集する
ことができ、この情報を他のファイアウォールと共有するために User-ID エージェントとして
動作します。受信側のファイアウォールは、再配信ファイアウォールからマッピング情報を直
接プルするように設定する必要があり、ドメイン サーバーと直接通信する必要はありません。
以下の手順では、User-ID 情報の再配布をセットアップする方法を説明します。
ユーザー マッピングを再配布するためのファイアウォールの設定
ステップ 1
注
再配布ファイアウォールを設 1.
定します。
User-ID 設定は 1 つの仮想システムに
のみ適用されます。複数の仮想システ 2.
ムからの User-ID マッピングを再配布 3.
するには、各仮想システム上で個別に
4.
ユーザー マッピング設定を行い、各
設定内で一意の事前共有キーを使用す
る必要があります。
5.
User-ID
[Device] > [ ユーザー ID] > [ ユーザー マッピング ] の順
に選択し、[Palo Alto Networks User-ID エージェント設
定 ] セクションを編集します。
[ 再配信 ] を選択します。
[ コレクタ名 ] を入力します。
[ 事前共有キー] に、他のファイアウォールがユーザー
マッピング情報を取得するためにこのファイアウォー
ルに接続できるようにする事前共有キーを入力し、確
認します。
[OK] をクリックして、再配信設定を保存します。
289
IP アドレス対ユーザーのマッピング
User-ID
ユーザー マッピングを再配布するためのファイアウォールの設定(続き)
ステップ 2
ステップ 3
注
User-ID サービスを有効にする 1.
インターフェイス管理プロ
ファイルを作成し、他のファ 2.
イアウォールがユーザー マッ
ピング取得のために接続する
インターフェイスに関連付け
3.
ます。
4.
[Network] > [ ネットワーク プロファイル ] > [ インター
フェイス管理] の順に選択し、[追加] をクリックします。
5.
[ 詳細 ] > [ その他の情報 ] タブで、作成した [ 管理プロ
ファイル ] を選択します。
6.
[OK]、[Commit] の順にクリックします。
プロファイルの [ 名前 ] を入力し、[Permitted Services] を
選択します。少なくとも [User-ID] サービスと [HTTPS]
は選択します。
[OK] をクリックしてプロファイルを保存します。
[Network] > [ インターフェイス ] > [Ethernet] の順に
選択し、再配布に使用する予定のインターフェイスを
選択します。
他のファイアウォールが再配 ユーザー マッピングを取得できるようにする各ファイア
布ファイアウォールからユー ウォールで、以下の手順を実行します。
ザー マッピングを取得するよ 1. [Device] > [ ユーザー ID] > [User-ID エージェント ] の
うに設定します。
順に選択します。
再配布ファイアウォールに再配布用に 2.
設定されている仮想システムが複数あ
る 場 合、こ の フ ァ イ ア ウ ォ ー ル が 3.
User-ID マッピングを取得する仮想シ
ステムに対応した事前共有キーを使用
していることを確認します。
4.
[ 追加 ] をクリックし、[ 名前 ] に再配布用の User-ID
エージェント名を入力します。
5.
再配布ファイアウォール設定(ステップ 1~3)で指定
した [ コレクタ名 ] を入力します。
6.
[ コレクタの事前共有鍵 ] を入力し、確認します。ここ
で入力したキー値は再配布ファイアウォール上で設定
した値(ステップ 1~4)と一致する必要があります。
7.
(任意)再配布ファイアウォールを使用して、ユー
ザー マッピングに加えてグループ マッピングも取得す
る場合、[LDAP プロキシとして使用 ] チェック ボック
スをオンにします。
8.
(任意)再配布ファイアウォールをキャプティブ ポー
タル認証に使用している場合、[NTLM 認証用に使用 ]
チェックボックスをオンにします。
9.
設定が [ 有効 ] になっていることを確認し、[OK] をク
リックします。
再配布用に設定したファイアウォールのインターフェ
イスのホスト名または IP アドレスを [ ホスト ] フィー
ルドに入力します。
再配布ファイアウォールが User-ID 要求をリッスンす
る [ ポート ] 番号として 5007 を入力します。
10. 変更を [Commit] します。
290
User-ID
User-ID
IP アドレス対ユーザーのマッピング
ユーザー マッピングを再配布するためのファイアウォールの設定(続き)
ステップ 4
設定を確認します。
[User-ID エージェント ] タブで、今追加した再配布ファイ
アウォール エントリの [ 接続済み ] 列に緑のアイコンが表
示されていることを確認します。
赤いアイコンが表示される場合は、トラフィック ログ
([Monitor] > [ ログ ] > [ トラフィック ])をチェックして
問題を特定します。CLI から以下の操作コマンドを実行す
ることによって、ユーザー マッピング データが取得され
ているかどうかを確認することもできます。
show user ip-user-mapping(データプレーン上のユーザー
マッピング情報を表示)
show user ip-user-mapping-mp(管理プレーン上のマッピン
グを表示)
User-ID
291
ユーザーおよびグループ ベースのポリシーを有効にする
User-ID
ユーザーおよびグループ ベースのポリシーを有効にする
ユーザーおよびグループに基づくセキュリティ ポリシーを有効にするには、識別するユーザー
を含むゾーンごとに User-ID を有効にする必要があります。そうすることで、ユーザー名また
はグループのメンバーシップに基づいてトラフィックを許可または拒否するポリシーを定義で
きます。さらにキャプティブ ポータルのポリシーを作成することで、ユーザー データが関連付
けらていない IP アドレスを識別することもできます。
ユーザーおよびグループ ベースのポリシーを有効にする
ステップ 1
ユーザーベースのアクセス制御を必要とする要求を送信するユーザーを含む送信元ゾーン
で、User-ID を有効にします。
1. [Network] > [ ゾーン ] の順
に選択します。
2. [ 名前 ] フィールドで User-ID
を有効にするゾーンをクリッ
クすると、[ゾーン] ダイアログ
が開きます。
3. [ユーザー ID の有効化] チェッ
クボックスをオンにしてから
[OK] をクリックします。
292
User-ID
User-ID
ユーザーおよびグループ ベースのポリシーを有効にする
ユーザーおよびグループ ベースのポリシーを有効にする (続き)
ステップ 2
注
ユーザーまたはグループに基 1.
づくセキュリティ ポリシーを
作成します。
User-ID を設定すると、セキュリティ ルールの送信元お
よび宛先を定義するときに、ユーザー名またはグルー
プ名を選択できるようになります。
a. [Policies] > [ セキュリティ] の順に選択し、新しいポ
リシーを作成するために [ 追加 ] をクリックするか、
または既存のポリシー ルール名をクリックすると、
[ セキュリティ ポリシー ルール ] ダイアログが開き
ます。
ベスト プラクティスとして、できる限
りユーザーではなくグループに基づい
てポリシーを作成します。これによ
り、ユーザー ベースが変更するたび
にポリシーを更新(コミットが必要)
し続ける必要がなくなります。
b. 以 下 の い ず れ か の 方 法 で、ポ リ シ ー で 一 致 す る
ユーザーまたはグループあるいはその両方を指定
します。
– 一致基準としてユーザー/グループを指定する場合
は、[ ユーザー] タブを選択し、[ 送信元ユーザー]
セクションで [ 追加 ] ボタン をクリックすると、
ファイアウォールのグループ マッピング機能によ
り検出されたユーザーおよびグループのリストが
表示されます。ポリシーに追加するユーザーまた
はグループを選択します。
– 正常に認証されたかどうかに関係なくポリシーで
任意のユーザーと一致し、特定のユーザー名また
はグループ名を把握する必要がない場合は、[ 送信
元ユーザー] リストの上にあるドロップダウン リ
ストから [known-user] または [unknown] を選択
します。
2.
User-ID
必要に応じてポリシーのその他の部分を設定し、[OK]
をクリックして設定を保存します。セキュリティ ポリ
シーのその他のフィールドの詳細は、「基本的なセ
キュリティ ポリシーのセットアップ」を参照してくだ
さい。
293
ユーザーおよびグループ ベースのポリシーを有効にする
User-ID
ユーザーおよびグループ ベースのポリシーを有効にする (続き)
ステップ 3
キャプティブ ポータル ポリシーを作成します。
1. [Policies] > [ キャプティブ ポータル ] の順に選択します。
2. [ 追加 ] をクリックし、[ 名前 ] にポリシー名を入力します。
3. [ 送信元 ]、[ 宛先 ]、および [ サービス /URL カテゴリ ] タブで、必要に応じて認証する
トラフィックと一致する情報を入力し、ルールの一致基準を定義します。これらのタブの一
致基準は、セキュリティ ポリシーの作成時に定義する基準と同じです。詳細は、「基本的
なセキュリティ ポリシーのセットアップ」を参照してください。
4. [ アクション ] タブで、ルールと一致するトラフィックに対するアクションを定義しま
す。選択肢は以下のとおりです。
• no-captive-portal — キャプティブ ポータルのページを表示せずに、トラフィックの
通過を許可します。
• web-form — キャプティブ ポータルのページを表示して、ユーザーに認証情報の入力
またはクライアント証明書認証の使用を要求します。
• browser-challenge — NTLM 認証要求をユーザーの Web ブラウザで開きます。Web ブ
ラウザは、ユーザーの現在のログイン資格証明を使用して応答します。ログインの認
証情報を使用できない場合、ユーザーに認証情報の提示を要求します。
5. [OK] をクリックします。
以下の例では、Web フォームを表示して、Trust ゾーンから Untrust ゾーンに HTTP 要求
を送信する不明なユーザーを認証するようファイアウォールに指示する、キャプティブ
ポータルのポリシーを示します。
ステップ 4
294
ポリシーの設定を保存します。 [Commit] をクリックします。
User-ID
User-ID
User-ID 設定の確認
User-ID 設定の確認
グループ マッピングとユーザー マッピングを設定してセキュリティ ポリシーおよびキャプ
ティブ ポータル ポリシーの User-ID を有効にしたら、それらが正しく動作していることを確認
する必要があります。
User-ID 設定の確認
ステップ 1
グループ マッピングの動作を CLI から以下のコマンドを入力します。
確認します。
show user group-mapping statistics
ステップ 2
ユーザー マッピングの動作を オンデバイス User-ID エージェントを使用している場合、
確認します。
CLI から以下のコマンドを実行すれば確認できます。
show user ip-user-mapping-mp all
IP
(sec)
Vsys
From
User
Timeout
-----------------------------------------------------192.168.201.1
vsys1 UIA
acme\george
210
192.168.201.11
vsys1 UIA
acme\duane
210
192.168.201.50
vsys1 UIA
acme\betsy
210
192.168.201.10
vsys1 UIA
acme\administrator
210
acme\administrator
748
192.168.201.100 vsys1 AD
Total: 5 users
*: WMI probe succeeded
User-ID
295
User-ID 設定の確認
User-ID
User-ID 設定の確認(続き)
ステップ 3
セキュリティ ポリシーをテス • User-ID が有効なゾーンのマシンからサイトやアプリケー
トします。
ションにアクセスして、ポリシーで定義したルールをテ
ストし、トラフィックが予想通りに許可または拒否され
ていることを確認します。
• また、test security-policy-match コマンドを使用して、
ポリシーが正しく設定されているかどうかを確認しま
す。たとえば、World of Warcraft をプレイする Duane とい
うユーザーをブロックするルールがある場合、以下の手
順でポリシーをテストできます。
test security-policy-match application
worldofwarcraft source-user acme\duane source any
destination any destination-port any protocol 6
"deny worldofwarcraft" {
from corporate;
source any;
source-region any;
to internet;
destination any;
destination-region any;
user acme\duane;
category any;
application/service worldofwarcraft;
action deny;
terminal no;
}
296
User-ID
User-ID
User-ID 設定の確認
User-ID 設定の確認(続き)
ステップ 4
キャプティブ ポータルの設定 1.
をテストします。
先ほどと同じゾーンから、Mac OS システムなど、ディ
レクトリのメンバーでないマシンより、ゾーン外部の
システムを ping します。ping は認証しなくても動作し
ます。
2.
同じマシンからブラウザを開き、定義したキャプティ
ブ ポータル ポリシーと一致する宛先ゾーンの Web サ
イ ト に 移 動 し ま す。キ ャ プ テ ィ ブ ポ ー タ ル の Web
フォームが表示されます。
3.
正しい認証情報を使用してログインし、要求したペー
ジにリダイレクトされていることを確認します。
4.
また、以下の test cp-policy-match コマンドを使用し
てキャプティブ ポータル ポリシーをテストすることも
できます。
test cp-policy-match from corporate to internet
source 192.168.201.10 destination 8.8.8.8
Matched rule: 'captive portal' action: web-form
ステップ 5
User-ID
ログ ファイル([Monitor] > [ ログ ])にユーザー名が表示されていることを確認します。
297
User-ID 設定の確認
User-ID
User-ID 設定の確認(続き)
ステップ 6
298
レポート([Monitor] > [ レポート ])にユーザー名が表示されていることを確認します。
たとえば、以下の例に示すように、[ 拒否されるアプリケーション ] レポートまでドリル
ダウンすると、そのアプリケーションにアクセスしようとしたユーザーのリストを確認
できます。
User-ID
App-ID
ネットワーク上のアプリケーションを安全に有効にするため、Palo Alto Networks の次世代ファ
イアウォールは、App-ID と URL フィルタリングによってアプリケーションと Web の両方の視
点から、法律、規制、生産性、およびリソース使用に関するあらゆるリスクから保護します。
App-ID によってネットワーク上のアプリケーションに対する可視性が高まるため、アプリケー
ションの仕組みを学び、動作特性や相対リスクについて理解できます。このアプリケーション
の知識を利用して、セキュリティ ポリシーを作成および適用することにより、望ましいアプリ
ケーションを有効にして、検査およびシェーピングを行い、望ましくないアプリケーションを
ブロックします。トラフィックの許可を開始するようにポリシーを定義すると、App-ID は追加
の設定なしでトラフィックの分類を開始します。

App-ID とは

カスタム アプリケーションや不明なアプリケーションの処理方法

App-ID のポリシー内での使用のベスト プラクティス

暗黙的サポートを使用するアプリケーション

アプリケーション レベル ゲートウェイについて

SIP アプリケーション レベル ゲートウェイ(ALG)を無効にする
App-ID
299
App-ID とは
App-ID
App-ID とは
App-ID は、Palo Alto Networks のファイアウォールだけで使用できる特許取得済みのトラフィッ
ク分類システムで、アプリケーションで使用されるポート、プロトコル、暗号化(SSH または
SSL)、その他のあらゆる秘匿技術に関係なく、アプリケーションが何であるかを判断します。
App-ID は、複数の分類メカニズム(アプリケーション シグネチャ、アプリケーション プロト
コル デコード、ヒューリスティクス)をネットワーク トラフィック ストリームに適用して、
アプリケーションを正確に識別します。
App-ID は、ネットワークを通過するアプリケーションを以下のように識別します。

トラフィックがポリシーに一致するかどうかによって、ネットワーク上で許可されるかが確
認されます。

次に、一意のアプリケーション プロパティと関連するトランザクションの特性に基づいてト
ラフィックがアプリケーションを識別できるようにシグネチャが適用されます。シグネチャ
は、アプリケーションがデフォルト ポートで使用されているか、標準以外のポートを使用し
ているかも指定します。ポリシーによってトラフィックが許可された場合、トラフィックは
次に脅威がないかをスキャンされ、アプリケーションをより詳細に識別するためにさらに分
析されます。

App-ID が暗号化(SSL または SSH)が使用されていると判断し、復号ポリシーが設定されて
いる場合、セッションは復号化され、アプリケーション シグネチャが復号化されたフローに
再び適用されます。

次に、既知のプロトコルに対するデコーダによって、追加のコンテキストベースのシグネ
チャが適用され、プロトコルの内部にトンネリングしている可能性のある別のアプリケー
ション(たとえば、HTTP 上で使用される Yahoo! インスタント メッセンジャーなど)を検出
します。デコーダはトラフィックがプロトコルの仕様に準拠していることを検証し、SIP や
FTP などのアプリケーションのためにダイナミック ピンホールを開くことや NAT トラバー
サルをサポートします。

特に回避的で、高度なシグネチャやプロトコル分析では識別できないアプリケーションに対
しては、ヒューリスティクスや動作分析を使用してアプリケーションを識別する場合があり
ます。
アプリケーションが識別されると、ポリシー チェックによってアプリケーションの処理方法が
決定されます。たとえば、ブロックする、許可して脅威をスキャンする、無権限のファイル転
送およびデータ パターンを検査する、QoS を使用してシェーピングを行うなどの処理があり
ます。
300
App-ID
App-ID
カスタム アプリケーションや不明なアプリケーションの処理方法
カスタム アプリケーションや不明なアプリケーションの
処理方法
Palo Alto Networks は、新しいアプリケーションを識別するため、App-ID の更新を毎週提供して
います。デフォルトでは、App-ID はファイアウォール上で常に有効になっており、一般的なア
プリケーションを識別するために一連のシグネチャを有効にする必要はありません。通常、
ACC およびトラフィックログで不明なトラフィック(tcp、udp、非 syn tcp)と分類されるの
は、App-ID にまだ追加されていない市販のアプリケーション、ネットワーク上の内部アプリ
ケーションやカスタム アプリケーション、または潜在的な脅威のみです。
時折、ファイアウォールは以下の理由でアプリケーションを不明であるとレポートする場合が
あります。

未完了データ — ハンドシェークは行われたが、タイムアウト前にデータ パケットが送信さ
れなかった。

不十分なデータ — ハンドシェークの後に 1 つ以上のデータ パケットが送信されたが、アプ
リケーションを識別するのに十分なデータ パケットが交換されなかった。
不明なアプリケーションの処理方法には以下の選択肢があります。

Unknown TCP、Unknown UDP、または送信元ゾーン、宛先ゾーン、および IP アドレスの組
み合わせによって不明なアプリケーションを制御するセキュリティ ポリシーを作成する。

Palo Alto Networks に App-ID を要求する — 不明なトラフィックに対して、ネットワークを通
過するアプリケーションを検査および制御するには、パケット キャプチャを記録できます。
パケット キャプチャによってアプリケーションが商用アプリケーションであることが判明し
た場合、このパケット キャプチャを App-ID 開発のために Palo Alto Networks に提出できま
す。内部アプリケーションである場合は、カスタム App-ID を作成したり、アプリケーショ
ン オーバーライド ポリシーを定義できます。

シグネチャを含むカスタム App-ID を作成し、それをセキュリティ ポリシーに関連付ける、
またはカスタム App-ID を作成し、アプリケーション オーバーライド ポリシーを定義する —
カスタム App-ID を使用すると、内部アプリケーションの定義(特性、カテゴリ、サブカテ
ゴリ、リスク、ポート、タイムアウト)をカスタマイズでき、ネットワーク上の不明なトラ
フィックの範囲を最小化するために詳細なポリシー コントロールを実施できます。また、カ
スタム App-ID を作成すると、ACC やトラフィック ログ内でアプリケーションを正しくし識
別でき、ネットワーク上のアプリケーションの監査やレポートに役立ちます。カスタム アプ
リケーションには、一意にアプリケーションを識別するシグネチャおよびパターンを指定
し、アプリケーションを許可または拒否するセキュリティ ポリシーに関連付けられます。
App-ID
301
カスタム アプリケーションや不明なアプリケーションの処理方法
App-ID
カスタム アプリケーション シグネチャを作成するための正しいデータを収集するには、パ
ケット キャプチャとデータグラム生成についてよく理解しておく必要があります。作成された
シグネチャが大まかすぎる場合、他の類似のトラフィックも含まれてしまう可能性がありま
す。定義が細かすぎる場合は、トラフィックがパターンに厳密に一致しないと検出を回避され
てしまいます。
カスタム App-ID はファイアウォール上の別個のデータベースに保存され、このデータベース
は毎週の App-ID の更新に影響されません。
プロトコルの内部にトンネリングされている可能性のあるアプリケーションをファイアウォー
ルが検出できるようにするアプリケーション プロトコル デコーダとしては、コンテンツ更新
424 の時点で以下のものがサポートされています。HTTP、HTTPS、DNS、FTP、IMAP SMTP、
Telnet、IRC(Internet Relay Chat)、Oracle、RTMP、RTSP、SSH、GNU-Debugger、GIOP
(Global Inter-ORB Protocol)、Microsoft RPC、Microsoft SMB(別名 CIFS)。さらに、PAN-OS
の 4.0 リリースでは、このカスタム App-ID 機能が拡張され、Unknown TCP および Unknown
UDP も含むようになりました。
または、ファイアウォールが高速パスを使用してカスタム アプリケーションを処理する
(App-ID を使用したレイヤー 7 検査ではなくレイヤー 4 検査)ようにするには、アプリケー
ション オーバーライド ポリシー内でカスタム App-ID を参照できます。カスタム アプリケー
ションをアプリケーション オーバーライドに含めることによって、レイヤー 7 検査である
App-ID エンジンによってセッションが処理されなくなります。ファイアウォールは、通常
のステートフル インスペクション ファイアウォールとしてレイヤー 4 でセッションを処理
し、アプリケーション処理時間を削減します。
たとえば、ホスト ヘッダー www.mywebsite.com をトリガーとするカスタム アプリケーションを作
成した場合、パケットは最初に web-browsing と識別され、次にカスタム アプリケーション
(web-browsing を 親 ア プ リ ケ ー シ ョ ン と す る)に 一 致 し ま す。親 ア プ リ ケ ー シ ョ ン が
web-browsing であるため、カスタム アプリケーションはレイヤー 7 で検査され、コンテンツ
および脆弱性をスキャンされます。
アプリケーション オーバーライドを定義すると、ファイアウォールはレイヤー 4 での処理を
停止します。ログ内での識別に役立つカスタム アプリケーション名がセッションに割り当て
られ、トラフィックは脅威をスキャンされません。
詳細は、以下の記事を参照してください。

Handling Unknown Applications(英語)

Video: Create a Custom App-ID(英語)

Custom Application Signatures(英語)
302
App-ID
App-ID
App-ID のポリシー内での使用のベスト プラクティス
App-ID のポリシー内での使用のベスト プラクティス
1.
ACC で、ネットワーク上のアプリケーションのリストをレビューし、許可するアプリケーションと拒
否するアプリケーションを決定します。
ポートベースのルールを定義するファイアウォールから移行している場合、所定のポート上で実行す
るアプリケーションのリストを取得するには、Palo Alto Networks のファイアウォールのアプリケー
ション ブラウザ([Objects] > [ アプリケーション ])または Applipedia で、ポート番号で検索します。
2.
[ サービス ] には [ application-default] を使用します。ファイアウォールは、使用されているポート
とそのアプリケーションのデフォルト ポートのリストを比較します。使用されているポートがアプ
リケーションのデフォルト ポートでない場合、ファイアウォールはセッションを破棄し、メッセー
ジ 「[ appid policy lookup deny]」をログに記録します。
多くのポート上でアクセスされているアプリケーションがあり、アプリケーションが使用される
ポートを制限する場合は、ポリシーで [ サービス ] または [ サービスグループ ] オブジェクトを指定
します。
3.
新しいアプリケーションを既存のポリシー ルールにダイナミックに含めるにはアプリケーション フィ
ルタを使用します。例を参照してください。
App-ID
303
App-ID
暗黙的サポートを使用するアプリケーション
暗黙的サポートを使用するアプリケーション
特定のアプリケーションを許可するポリシーを作成する場合、そのアプリケーションが依存す
る他のアプリケーションもすべて許可する必要があります。多くの場合、トラフィックが通過
できるように依存アプリケーションへのアクセスを明示的に許可する必要はありません。ファ
イアウォールは依存関係を判断し、暗黙的にそれらを許可できるためです。この暗黙的サポー
トは、HTTP、SSL、MS-RPC、または RTSP に基づくカスタム アプリケーションにも適用されま
す。ファイアウォールが依存アプリケーションを時間内に判断できないアプリケーションに対
しては、ポリシーを定義する際に依存アプリケーションを明示的に許可する必要があります。
アプリケーションの依存関係は、Applipedia で指定できます。
以下の表に、ファイアウォールが暗示的サポートに対応しているアプリケーションのリストを
示します(コンテンツ更新 436 の時点)。
表 : 暗黙的サポートを使用するアプリケーション
アプリケーション
暗黙的サポート
360-safeguard-update
http
apple-update
http
apt-get
http
as2
http
avg-update
http
avira-antivir-update
http, ssl
blokus
rtmp
bugzilla
http
clubcooee
http
corba
http
cubby
http, ssl
dropbox
ssl
esignal
http
evernote
http, ssl
ezhelp
http
facebook
http, ssl
facebook-chat
jabber
facebook-social-plugin
http
fastviewer
http, ssl
forticlient-update
http
gmail
http
304
App-ID
App-ID
暗黙的サポートを使用するアプリケーション
アプリケーション
暗黙的サポート
good-for-enterprise
http, ssl
google-cloud-print
http, ssl, jabber
google-desktop
http
google-drive-web
http
google-talk
jabber
google-update
http
gotomypc-desktop-sharing
citrix-jedi
gotomypc-file-transfer
citrix-jedi
gotomypc-printing
citrix-jedi
hipchat
http
iheartradio
ssl, http, rtmp
ifront
http
instagram
http, ssl
issuu
http, ssl
java-update
http
jepptech-updates
http
kerberos
rpc
kik
http, ssl
lastpass
http, ssl
logmein
http, ssl
mcafee-update
http
megaupload
http
metatrader
http
mocha-rdp
t_120
mount
rpc
ms-frs
msrpc
ms-rdp
t_120
ms-scheduler
msrpc
ms-service-controller
msrpc
nfs
rpc
oovoo
http, ssl
paloalto-updates
ssl
App-ID
305
App-ID
暗黙的サポートを使用するアプリケーション
アプリケーション
暗黙的サポート
panos-global-protect
http
panos-web-interface
http
pastebin
http
pastebin-posting
http
pinterest
http, ssl
portmapper
rpc
prezi
http, ssl
rdp2tcp
t_120
renren-im
jabber
roboform
http, ssl
salesforce
http
stumbleupon
http
supremo
http
symantec-av-update
http
trendmicro
http
trillian
http, ssl
twitter
http
whatsapp
http, ssl
xm-radio
rtsp
306
App-ID
App-ID
アプリケーション レベル ゲートウェイについて
アプリケーション レベル ゲートウェイについて
Palo Alto Networks のファイアウォールはトラフィックをポートやプロトコルによって分類せ
ず、App-ID テクノロジーを使用してアプリケーションを一意のプロパティやトランザクション
の特性に基づいて識別します。ただし、一部のアプリケーションでは接続を確立するために
ファイアウォールがダイナミックにピンホールを開き、セッションのパラメータを決定し、
データ転送に使用するポートをネゴシエートする必要があります。これらのアプリケーション
はアプリケーション レイヤーのペイロードを使用して、アプリケーションがデータ接続を開く
ダイナミック TCP または UDP ポートを通信します。そのようなアプリケーションに対して、
ファイアウォールはアプリケーション レベル ゲートウェイ(ALG)として機能し、時間を限定
して転送データまたは制御トラフィックのみのためにピンホールを開きます。また、ファイア
ウォールは必要に応じてペイロードの NAT 書き換えを実行します。
Palo Alto Networks のファイアウォールは以下のプロトコルに対して ALG として機能します :
FTP、SIP、H.323、RTSP、Oracle/SQLNet/TNS、MGCP、Unistim、SCCP。
ファイアウォールが SIP(Session Initiation Protocol)に対して ALG として機能する場合、デ
フォルトではペイロードに対して NAT を実行し、メディア ポートのためにダイナミック ピン
ホールを開きます。環境で使用されている SIP アプリケーションによっては、SIP エンドポイ
ントでクライアントに NAT インテリジェンスが組み込まれている場合があります。そのよう
な場合、ファイアウォールがシグナリング セッションを変更しないように SIP ALG 機能を無
効にする必要がある場合があります。SIP ALG を無効にした場合、App-ID がセッションを SIP
と判断すると、ペイロードは変換されず、ダイナミック ピンホールは開きません。「SIP アプ
リケーション レベル ゲートウェイ(ALG)を無効にする」を参照してください。
App-ID
307
SIP アプリケーション レベル ゲートウェイ(ALG)を無効にする
App-ID
SIP アプリケーション レベル ゲートウェイ(ALG)を
無効にする
Palo Alto Networks のファイアウォールは、SIP(Session Initiation Protocol)アプリケーション レベ
ル ゲートウェイ(ALG)を使用して、NAT が有効になっているファイアウォールにダイナミッ
ク ピンホールを開きます。ただし、VoIP など一部のアプリケーションではクライアント アプ
リケーションに NAT インテリジェンスが組み込まれています。これらの場合、ファイアウォー
ルの SIP ALG がシグナリング セッションと干渉し、クライアント アプリケーションが動作しな
くなることがあります。
この問題に対する 1 つの解決策は、SIP に対してアプリケーション オーバーライド ポリシーを
定義することですが、このアプローチでは、App-ID および脅威検出機能が無効になります。
もっと良い方法は SIP ALG を無効にすることです。このアプローチでは App-ID や脅威検出は無
効になりません。
SIP ALG を無効にするには以下の手順を実行します。
SIP ALG を無効にする
ステップ 1
[Objects] > [ アプリケーション ] を選択します。
ステップ 2
[sip] アプリケーションを選択します。
[ 検索 ] ボックスに「sip」と入力して sip アプリケーションを検索できます。
ステップ 3
308
[ アプリケーション ] ダイアログ ボックスの [ オプション ] セクションで
[ALG] の [ カスタマイズ ...] を選択します。
App-ID
App-ID
SIP アプリケーション レベル ゲートウェイ(ALG)を無効にする
SIP ALG を無効にする(続き)
ステップ 4
[ アプリケーション - sip] ダイアログ ボックスで [ALG の無効化 ] チェック
ボックスをオンにし、[OK] をクリックします。
ステップ 5
[アプリケーション] ダイアログ ボックスを閉じて、変更をコミットします。
App-ID
309
SIP アプリケーション レベル ゲートウェイ(ALG)を無効にする
App-ID
310
App-ID
脅威防御
Palo Alto Networks の次世代ファイアウォールは、ネットワークをコモディティ脅威および持続的
標的型攻撃(APT)から保護および防御します。ファイアウォールの多面的な検出メカニズムに
は、シグネチャベース(IPS/ コマンド アンド コントロール / アンチウイルス)アプローチ、
ヒューリスティクスベース(ボット検出)アプローチ、サンドボックスベース(WildFire)アプ
ローチ、およびレイヤー 7 プロトコル分析ベース(App-ID)アプローチが含まれています。
コモディティ脅威はそれほど高度ではない悪用で、ファイアウォールのアンチウイルス、アン
チスパイウェア、脆弱性防御、および URL フィルタリング / アプリケーション識別機能の組み
合わせにより比較的容易に検出および防止できます。
高度な脅威は、サイバー犯罪組織や悪意あるグループによって継続され、高度な攻撃ベクトルを
使用し、一般的に知的財産や財務データの窃盗のためにネットワークを標的とします。これらの
脅威はより回避的で、マルウェアに関する詳細なホストおよびネットワークのフォレンジックの
ためのインテリジェントなモニタリング メカニズムが必要です。Palo Alto Networks の次世代ファ
イアウォールと WildFire および Panorama を組み合わせることで、攻撃チェーンをインターセプト
して断ち切る包括的なソリューションを提供し、ネットワーク(モバイルおよび仮想も含む)イ
ンフラストラクチャ上のセキュリティ侵害を防止するための可視性を実現します。

脅威防御のライセンス

セキュリティ ポリシーについて

セキュリティ プロファイルとセキュリティ ポリシーのセットアップ

ブルート フォース攻撃の防御

ネットワークをレイヤー 4 およびレイヤー 7 回避から保護するためのベスト プラクティス

ダイナミック更新のためのコンテンツ配信ネットワーク インフラストラクチャ
詳細は、以下の記事を参照してください。

Creating Custom Threat Signatures(英語)

Threat Prevention Deployment(英語)

Understanding DoS Protection(英語)
Palo Alto Networks 製品で識別可能な脅威およびアプリケーションのリストを参照するに
は、以下のリンクを使用してください。

Applipedia — Palo Alto Networks で識別できるアプリケーションについて詳細に説明して
います。

Threat Vault — Palo Alto Networks 製品で識別可能な脅威の一覧が掲載されています。脆弱
性、スパイウェア、またはウイルスを条件にして検索できます。脅威についての詳細
は、ID 番号の横にある詳細アイコンをクリックしてください。
脅威防御
311
脅威防御のライセンス
脅威防御
脅威防御のライセンス
以下のセクションでは、脅威防御機能を利用するために必要なライセンスと、アクティベー
ション処理について説明します。

脅威防御のライセンスについて

ライセンスの取得とインストール
脅威防御のライセンスについて
以下に、ファイアウォール上のすべての脅威防御機能を有効にするのに必要なライセンスのリ
ストを示します。

脅威防御 — アンチウイルス、アンチスパイウェア、および脆弱性防御機能を提供します。

URL フィルタリング — URL カテゴリに基づいて Web サイトへのアクセスをコントロールで
きます。PAN-DB(Palo Alto Networks データベース)または BrightCloud URL フィルタリング
データベースのサブスクリプションを購入およびインストールできます。

WildFire — WildFire 機能は、標準機能の一部として組み込まれています。これは、誰でもファ
イル ブロッキング プロファイルを設定して Portable Executable(PE)ファイルを分析のため
に WildFire に転送できるということを意味します。WildFire によって検出されたシグネチャ
を含め、アンチウイルス シグネチャ更新を受信するためには、脅威防御サブスクリプション
が必要です。
WildFire サブスクリプション サービスでは、直ちにセキュリティが必要な組織を対象に強化
サービスを提供することにより、分単位の WildFire シグネチャ更新、高度なファイル タイプ
転送(APK、PDF、Microsoft Office、Java アプレット)、および WildFire API を使用したファ
イルのアップロード機能を有効にすることができます。WildFire サブスクリプションは、
ファイアウォールがプライベート WF-500 WildFire アプライアンスにファイルを転送する場合
にも必要です。

復号ポート ミラー — ファイアウォールから復号化されたトラフィックのコピーを作成し、
生パケット キャプチャを受信できるトラフィック収集ツール(NetWitness や Solera など)に
送信してアーカイブや分析を行えます。現在、このライセンスは Palo Alto Networks のサポー
ト ポータルから無料で取得できます。この機能は、PA-7050、PA-5000 シリーズ、および
PA-3000 シリーズ プラットフォームでのみサポートされています。詳細は、「復号ポート ミ
ラーリングの設定」を参照してください。
312
脅威防御
脅威防御
脅威防御のライセンス
ライセンスの取得とインストール
ライセンスを購入するには、Palo Alto Networks の販売部門にお問い合わせください。ライセン
スを取得したら、[Device] > [ ライセンス ] の順に移動します。
ライセンスの受け取り方法に応じて、以下のタスクを実行できます。

ライセンス サーバーからライセンス キーを取得 — ライセンスがサポート ポータルでアク
ティベーションされている場合は、このオプションを使用します。

認証コードを使用した機能のアクティベーション — ライセンスの認証コードを使用して購
入したサブスクリプションを有効にする場合は、このオプションを使用します。該当の認
証コードがサポート ポータルで以前にアクティベーションされていないことが前提になり
ます。

ライセンス キーの手動アップロード — デバイスから Palo Alto Networks サポート サイトへの
接続が確立されていない場合は、このオプションを使用します。この場合は、インターネッ
トに接続されたコンピュータでサポート サイトからライセンス キーをダウンロードしてか
ら、そのデバイスにアップロードする必要があります。
ファイアウォールでのライセンスの登録およびアクティベーションについての詳細は、「ファ
イアウォール サービスのアクティベーション」を参照してください。
脅威防御
313
セキュリティ ポリシーについて
脅威防御
セキュリティ ポリシーについて
セキュリティ プロファイルでは、セキュリティ ポリシーで脅威から保護します。たとえば、アン
チウイルス プロファイルをセキュリティ ポリシーに適用し、そのセキュリティ ポリシーと一致
するすべてのトラフィックにウイルスが存在しないかどうかスキャンすることができます。
これらの機能を使用し始めるときに役立つ基本設定の例については、「セキュリティ プロファ
イルとセキュリティ ポリシーのセットアップ」を参照してください。
以下の表に、セキュリティ ポリシーに適用可能なセキュリティ プロファイルの概要、および
DoS プロテクション プロファイルとゾーン プロテクション プロファイルの基本的な説明を示し
ます。
脅威防御機能
説明
アンチウイルス
ウイルス、ワーム、トロイの木馬、およびスパイウェアのダウンロードから
保護します。Palo Alto Networks アンチウイルス ソリューションでは、パケット
を最初に受信する瞬間にトラフィックを検査するストリームベースのマル
ウェア防御エンジンを使用して、ファイアウォールのパフォーマンスに大き
な影響を与えることなくクライアントを保護することができます。この機能
では、実行ファイル、PDF ファイル、HTML ウイルス、および JavaScript ウイ
ルスに含まれるさまざまなマルウェアをスキャンし、内部の圧縮ファイルと
データ エンコード スキームのスキャンもサポートしています。復号化された
コンテンツのスキャンは、ファイアウォールでの復号化を有効にすることに
よって実行できます。
デフォルト プロファイルでは、ウイルスが含まれていないかどうかについて
リストにあるプロトコル ディテクタすべてを検査し、FTP、HTTP、および
SMB プロトコルの場合にはブロックし、SMTP、IMAP、および POP3 プロトコ
ルの場合にはアラートを生成します。カスタマイズしたプロファイルを使用
して、信頼されたセキュリティ ゾーン間のトラフィックに対するウイルス対
策の検査を最小限に抑え、インターネットなどの信頼されていないゾーンか
ら受信したトラフィックや、サーバー ファームなどの機密性の高い宛先に送
信されるトラフィックの検査を最大化できます。
Palo Alto Networks WildFire システムは、より回避的で、他のアンチウイルス ソ
リューションによってまだ検出されていない持続的脅威のシグネチャも生成
できます。WildFire によって脅威が検出されると、シグネチャが素早く作成さ
れ、脅威防御ライセンスの加入者は毎日(WildFire ライセンスの加入者の場合
は 1 時間以内の間隔で)ダウンロードされる標準のアンチウイルス シグネ
チャに組み込まれます。
314
脅威防御
脅威防御
セキュリティ ポリシーについて
脅威防御機能
説明
アンチスパイウェア
侵入されたホストのスパイウェアから外部指揮統制(C2)サーバーに対する
phone-home 通信またはビーコン通信の試みをブロックします。ゾーン間で
は、さまざまなレベルで保護機能を適用できます。たとえば、信頼された
ゾーン間での検査を最小限に抑えるカスタム アンチスパイウェア プロファイ
ルを作成する一方で、インターネット側ゾーンなどの信頼されないゾーンか
ら受信するトラフィックでの検査を最大化することができます。
アンチスパイウェアをセキュリティ ポリシーに適用するときには、2 つの事前
定義プロファイルのどちらかを選択できます。
• デフォルト — デフォルト プロファイルは、シグネチャの作成時に Palo Alto
Networks によって指定される、すべてのシグネチャのデフォルトのアク
ションを使用します。
• ストリクト — ストリクト プロファイルは、シグネチャ ファイルで定義され
て い る ア ク シ ョ ン に 関 係 な く、重 大 度 が「critical」、「high」、お よ び
「medium」の脅威のアクションがすべてブロック アクションにオーバーラ
イドされます。重大度が medium および informationl のシグネチャの場合には
デフォルト アクションが実行されます。
PAN-OS 6.0 では、DNS シンクホール機能が追加されました。DNS シンクホー
ル アクションは、アンチスパイウェア プロファイル内で有効にすることがで
きます。それにより、ファイアウォールが既知の悪意あるドメインの DNS ク
エリに対する応答を偽装できるようにし、悪意あるドメイン名を管理者が定
義した IP アドレスに解決できます。この機能を使用すると、保護されたネッ
トワーク上でファイアウォールが感染したクライアントの DNS クエリを確認
できない状況(つまり、ファイアウォールが DNS クエリの発信元を確認でき
ない状況)で、DNS トラフィックを使用して感染したホストを識別できま
す。ファイアウォールがローカル DNS サーバーよりもインターネット側にあ
る通常のデプロイメントでは、脅威ログは、実際の感染ホストではなくロー
カル DNS リゾルバをトラフィックの送信元として識別します。マルウェア
DNS クエリをシンクホールすると、悪意あるドメインへのクライアント ホス
ト クエリに対する応答を偽装することで、この可視性の問題が解決されま
す。そのため、悪意のあるドメイン(たとえば、コマンドアンドコントロー
ルなど)への接続を試みるクライアントは、代わりに管理者が定義したシン
クホール IP アドレスに接続を試みることになります。こうすることで、感染
ホストをトラフィック ログおよび脅威ログ内で容易に特定できます。シンク
ホール IP アドレスへの接続を試みるホストはすべて、マルウェアに感染して
いる可能性が高いためです。アンチスパイウェア プロファイルと脆弱性防御
プロファイルは同様の方法で設定されます。アンチスパイウェアの主な目的
は、感染したクライアントから出てネットワークを出ていく悪意のあるトラ
フィックを検出することであるのに対し、脆弱性防御ではネットワークに
入ってくる脅威を防御します。
脅威防御
315
セキュリティ ポリシーについて
脅威防御
脅威防御機能
説明
脆弱性防御
システムの弱点を悪用したり、システムへの不正アクセスを試みる行為を防止
します。たとえばこの機能は、バッファ オーバーフロー、不正なコード実行、
およびシステムの脆弱性を悪用するその他の試みからシステムを防御します。
デフォルトの脆弱性防御プロファイルでは、重大度が「critical」、「high」、お
よび「medium」のすべての既知の脅威からクライアントとサーバーを保護しま
す。また、特定のシグネチャに対するレスポンスの変更を可能にする例外を作
成することもできます。
アンチスパイウェア プロファイルと脆弱性防御プロファイルは同様の方法で
設定されます。脆弱性防御の主な目的は、ネットワークに入る悪意のあるト
ラフィックを検出することであるのに対し、アンチスパイウェア防御では
ネットワークを出ていく脅威から防御します。
URL フィルタリング
ユーザー Web トラフィックを特定の Web サイトや Web サイト カテゴリ(アダ
ルト、ショッピング、ギャンブルなど)に基づいて制御できます。ファイア
ウォール上での分類および URL フィルタリング ポリシーの適用には Palo Alto
Networks PAN-DB URL データベースまたは BrightCloud データベースが使用で
きます。
URL フィルタリングをセットアップするには、「URL フィルタリング」を参
照してください。
316
脅威防御
脅威防御
セキュリティ ポリシーについて
脅威防御機能
説明
ファイル ブロッキング
指定したアプリケーションおよびセッション フロー方向(インバウンド、ア
ウトバウンド、両方)の指定したファイル タイプをブロックします。アップ
ロードまたはダウンロードでアラート送信またはブロックするプロファイル
を設定し、ファイル ブロッキング プロファイルの適用対象となるアプリケー
ションを指定できます。また、指定したファイル タイプのダウンロードを
ユーザーが試みるときに表示される、カスタム ブロック ページを設定するこ
ともできます。これによりユーザーは、ファイルをダウンロードするかどう
か考える時間を持つことができます。
指定したファイルが検出されたときの対応として、以下のアクションを設定
できます。
• alert — 指定したファイル タイプが検出されると、データ フィルタリング ロ
グでログが生成されます。
• block — 指定したファイル タイプが検出されると、そのファイルはブロック
され、ユーザーに対してカスタマイズ可能なブロック ページが表示されま
す。データ フィルタリング ログでログも生成されます。
• continue — 指定したファイル タイプが検出されると、ユーザーに対してカ
スタマイズ可能な続行ページが表示されます。ユーザーはページをクリッ
クスルーしてファイルをダウンロードすることができます。データ フィル
タリング ログでログも生成されます。
• forward — 指定したタイプが検出されると、ファイルが WildFire に送信され
て分析されます。データ フィルタリング ログでログも生成されます。
• continue-and-forward — 指定したファイル タイプが検出されると、ユーザー
に対してカスタマイズ可能な続行ページが表示されます。ユーザーはペー
ジをクリックスルーしてファイルをダウンロードすることができます。
ユーザーが続行ページをクリックスルーしてファイルをダウンロードする
と、ファイルは WildFire に送信されて分析されます。データ フィルタリン
グ ログでログも生成されます。
脅威防御
317
セキュリティ ポリシーについて
脅威防御
脅威防御機能
説明
データ フィルタリング
クレジット カード番号や社会保障番号などの機密情報が、保護されたネット
ワークから出て行かないよう防御できます。また、重要なプロジェクト名や
秘密の言葉などのキーワードに基づいてフィルタリングすることもできま
す。プロファイルの焦点を適切なファイル タイプに合わせ、誤検知を削減す
ることが重要です。たとえば、Word ドキュメントまたは Excel スプレッドシー
トのみを検索することができます。また、web-browsing トラフィック、または
FTP のみをスキャンすることも可能です。
デフォルトのプロファイルを作成したり、カスタム データ パターンを作成した
りすることができます。デフォルト プロファイルには次の 2 つがあります。
• CC 番号(クレジット カード番号)— ハッシュ アルゴリズムを使用してク
レジット カード番号を識別します。データをクレジット カード番号として
検出するには、コンテンツがハッシュ アルゴリズムと一致する必要があり
ます。この方法により、誤検知が減少します。
• SSN 番号(社会保障番号)— アルゴリズムを使用して、フォーマットに関係
なく 9 桁の番号を検出します。[SSN 番号 ] と [SSN 番号(ダッシュを除く)]
の 2 つのフィールドがあります。
318
脅威防御
脅威防御
セキュリティ ポリシーについて
脅威防御機能
説明
データ フィルタリング
(続き)
重み値としきい値
フィルタリングしようとする条件の適切なしきい値を設定するには、オブ
ジェクト(SSN、CC 番号、パターン)の重みの計算方法を理解することが重
要です。アクションしきい値(アラートまたはブロック)に到達するまで、
各値に重み値を乗算して合計されます。
例1
簡単に説明するため、社会保障番号(SSN)が書き込まれているファイルを
フィルタリングし、[SSN 番号 ] の重みを 3 と定義するとします。使用する式
は、SSN のインスタンス x 重み = しきい値と比較する値です。このとき、Word
ドキュメントに 10 件社会保障番号がある場合は、その件数に重みの 3 を乗算
(10 x 3)して 30 となります。よって、10 件の社会保障番号を含んだファイル
でアクションを起こすには、しきい値を 30 に設定することになります。この
場合は、アラートは 30 で、ブロックは 60 で実行されるように設定することが
できます。また、[SSN 番号(ダッシュを除く)] フィールドで、ダッシュを含
まない社会保障番号の重みを設定することもできます。複数の設定を使用す
る場合は、指定されたしきい値になるまで累積されます。
例2
この例では、社会保障番号とカスタム パターン confidential を含むファイルを
フィルタリングします。言い換えると、ファイルに「confidential」という単語
に加えて社会保障番号が書き込まれており、それらの項目の合計インスタン
ス数がしきい値に到達すると、アクション設定に応じて、そのファイルでア
ラートまたはブロックがトリガーされます。
SSN# weight = 3
Custom Pattern confidential weight = 20
注
カスタム パターンでは大文字と小文字が区別されます。
ファイルに 20 件の社会保障番号が含まれ、重みが 3 に設定されている場合、
値は 20 x 3 = 60 となります。そのファイルに confidential という単語のインスタ
ンスが 1 つ含まれ、重みが 20 に設定されている場合は、値が 1 x 20 = 20 で、合
計で 80 となります。ブロックのしきい値が 80 に設定されていれば、このシナ
リオの場合にはファイルがブロックされます。アラートまたはブロック アク
ションは、しきい値に到達するとすぐにトリガーされます。
脅威防御
319
セキュリティ ポリシーについて
脅威防御
脅威防御機能
説明
DoS プロテクション
サービス拒否 (DoS) 防御ポリシーの詳細を制御できます。DoS ポリシーで
は、インターフェイス、ゾーン、アドレス、国に対するセッション数を、
セッション総数、送信元 IP アドレスおよび宛先 IP アドレスに基いて制御でき
ます。Palo Alto Networks のファイアウォールでサポートされる DoS 防御メカニ
ズムは次の 2 つです。
• フラッド防御 — ネットワークがパケットでフラッドされたために、ハーフ
オープン セッションの数が非常に多くなったり、サービスが各要求に応答
できなくなる攻撃を検出および防御します。この場合、攻撃の送信元アド
レスは通常スプーフされます。
• リソース保護 — セッション消耗攻撃を検出および防御します。このタイプ
の攻撃では、大量数のホスト(ボット) を使用して完全に確立されたセッ
ションを可能な限り多く確立し、システム リソースのすべてを消費します。
これら両方の防御メカニズムは、1 つの DoS プロファイルで定義できます。
DoS プロファイルを使用して、実行するアクションのタイプと DoS ポリシー
の照合基準の詳細を指定します。DoS プロファイルでは、SYN、UDP、および
ICMP フラッドの設定項目を定義し、リソースの保護を有効にし、最大同時接
続数を定義します。DoS 防御プロファイルを設定したら、DoS ポリシーに適用
します。
DoS 防御の設定時には、適正なしきい値を設定するため、使用環境を分析す
ることが重要です。また、DoS 防御ポリシーの定義にはいくつかの複雑な設
定が関係しているため、このガイドでは詳細な例は示しません。詳細は、
『Threat Prevention Tech Note』(英語)を参照してください。
ゾーン プロテクション
ゾーンを攻撃から保護するため、特定のネットワーク ゾーン間の防御を強化
します。プロファイルはゾーン全体に適用する必要があるため、各ゾーンを
通過する通常のトラフィックによって問題が発生しないようにするため、慎
重にプロファイルをテストすることが重要です。ゾーン プロテクション プロ
ファイルにパケット/秒(pps)のしきい値制限を定義する場合、しきい値は以
前に確立したセッションと一致しないパケット / 秒を基にしています。
詳細は、『Threat Prevention Tech Note』(英語)を参照してください。
320
脅威防御
脅威防御
セキュリティ プロファイルとセキュリティ ポリシーのセットアップ
セキュリティ プロファイルとセキュリティ ポリシーの
セットアップ
以下のセクションでは、基本的な脅威防御設定の例を示します。

アンチウイルス、アンチスパイウェア、および脆弱性防御のセットアップ

データ フィルタリングのセットアップ

ファイル ブロッキングのセットアップ
脅威防御戦略の一部としての Web アクセス制御については、「URL フィルタリングの設定」を
参照してください。
アンチウイルス、アンチスパイウェア、および脆弱性防御のセットアップ
ここでは、アンチウイルス、アンチスパイウェア、および脆弱性防御のデフォルト プロファイ
ルをセットアップするために必要な手順について説明します。これらの機能は使用目的が非常
によく似ているため、ここではデフォルトのプロファイルを有効にするために必要な一般手順
のみを示します。
アンチスパイウェアと脆弱性防御のすべてのシグネチャには、Palo Alto Networks によってデ
フォルトのアクションが定義されています。デフォルトのアクションを確認するには、
[Objects] > [ セキュリティ プロファイル ] > [ アンチスパイウェア ] または [Objects] > [ セキュ
リティ プロファイル ] > [ 脆弱性防御 ] の順に移動し、プロファイルを選択します。[ 例外 ] タ
ブをクリックして [ すべてのシグネチャの表示 ] をオンにすると、[ アクション ] 列にデフォル
ト アクションを表示したシグネチャのリストが表示されます。デフォルト アクションを変更
するには、新しいプロファイルを作成してから、デフォルト以外のアクションが設定された
ルールを作成するか、プロファイルの [ 例外 ] で個々のシグネチャ例外を追加します。
アンチウイルス / アンチスパイウェア / 脆弱性防御のセットアップ
ステップ 1
脅威防御ライセンスがあるこ • 脅威防御ライセンスでは、1 つのライセンスに、アンチウ
とを確認します。
イルス、アンチスパイウェア、および脆弱性防御の全機
能をバンドルしています。
• [Device] > [ ライセンス ] の順に選択して、[ 脅威防御 ] ラ
イセンスがインストールされていることを検証し、有効
期限を確認します。
ステップ 2
最新のアンチウイルス脅威シグ 1.
ネチャをダウンロードします。
[Device] > [ ダイナミック更新 ] の順に選択し、ページ
の下部にある [ 今すぐチェック ] をクリックして最新の
シグネチャを取得します。
[ アクション ] 列で、[ ダウンロード ] をクリックして、最
新のアンチウイルス、アプリケーションおよび脅威シグネ
チャをインストールします。
脅威防御
321
セキュリティ プロファイルとセキュリティ ポリシーのセットアップ
脅威防御
アンチウイルス / アンチスパイウェア / 脆弱性防御のセットアップ(続き)
ステップ 3
シグネチャの更新をスケジュー 1.
ルします。
[Device] > [ ダイナミック更新 ] の順に選択し、[ スケ
ジュール ] の右側にあるテキストをクリックして、[ ア
ンチウイルス ] と [ アプリケーションおよび脅威 ] のシ
グネチャ更新を自動的に取得します。
2.
更新の頻度とタイミングを指定し、更新ファイルをダ
ウンロードしてインストールするのか、またはダウン
ロードのみを行うのかを指定します。[ダウンロードの
み ] をオンにする場合は、定期的に手動でページを開
き、[アクション] 列の [インストール] リンクをクリッ
クしてシグネチャをインストールする必要がありま
す。[OK] をクリックすると、更新がスケジュールされ
ます。コミットは必要ありません。
3.
(任意)[ しきい値 ] フィールドに時間数を入力して、
ダウンロードが実行されるまでのシグネチャの最小存
続時間を指定することもできます。たとえば、「10」
と入力すると、そのシグネチャは、スケジュールに関
係なく、ダウンロードされるまでに少なくとも 10 時間
は存続する必要があります。
4.
HA 設定では、[ ピアと同期 ] オプションをクリックし
て、ダウンロード / インストールの後にコンテンツ タ
イプと HA ピアを同期することもできます。これに
よってスケジュール設定がピア デバイスにプッシュさ
れることはないため、各デバイスでスケジュールを設
定する必要があります。
アンチウイルス スケジュールのベスト プラクティス
アンチウイルス シグネチャの更新スケジュールとして一般的な推奨設定は、アンチウイルスの場合には
毎日、アプリケーションおよび脆弱性の場合には毎週、[download-and-install] を実行することです。
HA 設定の場合の推奨設定は次のとおりです。
• アクティブ / パッシブの HA — アンチウイルスのシグネチャのダウンロードで MGT ポートを使用す
る場合は、両方のデバイスでスケジュールを設定し、両方のデバイスが別々にダウンロード / インス
トールを実行するようにしてください。ダウンロードでデータ ポートを使用する場合、パッシブ デ
バイスはパッシブ状態になっている間ダウンロードを実行しません。この場合は、両方のデバイスで
スケジュールを設定して、[ ピアと同期 ] オプションを選択します。これにより、どちらのデバイスが
アクティブであっても更新処理が実行され、パッシブ デバイスにプッシュされるようにします。
• アクティブ / アクティブの HA — 両方のデバイスでアンチウイルスのシグネチャのダウンロードに
MGT ポートを使用する場合は、両方のデバイスでダウンロード / インストールをスケジュールします
が、[ ピアと同期 ] オプションは選択しません。データ ポートを使用する場合は、両方のデバイスでシ
グネチャのダウンロードをスケジュールし、[ ピアと同期 ] を選択します。これにより、アクティブ /
アクティブ設定の 1 つのデバイスがアクティブなセカンダリ状態になった場合でも、そのアクティブ
デバイスがシグネチャをダウンロード / インストールしてから、アクティブなセカンダリ デバイスに
シグネチャをプッシュするようにします。
322
脅威防御
脅威防御
セキュリティ プロファイルとセキュリティ ポリシーのセットアップ
アンチウイルス / アンチスパイウェア / 脆弱性防御のセットアップ(続き)
ステップ 4
セキュリティ プロファイルを 1.
セキュリティ ポリシーに適用
します。
[Policies] > [ セキュリティ] の順に選択し、適切なポリ
シーを選択して変更し、[ アクション ] タブをクリック
します。
2.
[ プロファイル設定 ] で、有効にする各セキュリティ プ
ロファイルの横にあるドロップダウンをクリックしま
す。この例では、[ アンチウイルス ]、[ 脆弱性防御 ]、
および [ アンチスパイウェア ] のデフォルトを選択し
ます。
注
以前に定義されているセキュリティ プロファイルがな
い場合、[ プロファイル タイプ ] ドロップダウンから
[ プロファイル ] を選択します。セキュリティ プロ
ファイルを選択するためのオプションの一覧が
表示されます。
ステップ 5
脅威防御
設定をコミットします。
323
セキュリティ プロファイルとセキュリティ ポリシーのセットアップ
脅威防御
データ フィルタリングのセットアップ
ここでは、社会保障番号を検出するデータ フィルタリング プロファイルと .doc および .docx ド
キュメントで識別されるカスタム パターンを設定するために必要な手順について説明します。
データ フィルタリングの設定例
ステップ 1
データ フィルタリングのセキュ 1.
リティ プロファイルを作成し
ます。
2.
[Objects] > [セキュリティ プロファイル] > [データ フィ
ルタリング ] の順に選択し、[ 追加 ] をクリックします。
3.
(任意)フィルタによってブロックされるデータを収
集する場合は、[ データ キャプチャ] チェック ボックス
をオンにします。
注
ステップ 2
(任意)データ フィルタリング 1.
ログへのアクセスを保護し、他
の管理者が機密データを表示で 2.
きないようにします。
このオプションを有効にする 3.
と、[Monitor] > [ログ] > [デー
タ フィルタリング ] でログを
表示するときにパスワードを
求めるプロンプトが表示され
ます。
324
プロファイルの名前と説明を入力します。この例での
名前は「DF_Profile1」、説明は「Detect Social Security Numbers」
です。
データ キャプチャ機能を使用する場合は、ステップ 2
の説明に従って、パスワードを設定する必要があり
ます。
[Device] > [ セットアップ ] > [Content-ID] の順に選択
します。
[ コンテンツ ID 機能 ] セクションで [ データ保護の管理 ]
をクリックします。
データ フィルタリング ログを表示するために必要なパ
スワードを設定します。
脅威防御
脅威防御
セキュリティ プロファイルとセキュリティ ポリシーのセットアップ
データ フィルタリングの設定例(続き)
ステップ 3
データ フィルタリング プロファイルで使用されるデータ パターンを定義します。この
例では、キーワードとして「confidential」を使用し、ダッシュ付きの SSN 番号(例 987-654-4320)を検索するオプションを設定します。適切なしきい値を設定し、ドキュメ
ント内のキーワードを定義すると、誤検知を減らすのに有効です。
1. [ データ フィルタリング ] プロファイル ページで [ 追加 ] をクリックし、[ データ パター
ン ] ドロップダウンから [ 新規 ] を選択します。[Objects] > [ カスタム シグネチャ] > [ デー
タ パターン ] からデータ パターンを設定することもできます。
2. この例では、データ パターン シグネチャに「Detect SS
Numbers」という名前を付け、「Data Pattern to detect Social
Security numbers」という説明を追加します。
3. [重み] セクションの [SSN 番号] に「3」と入力します。
詳細については、「重み値としきい値」を参照してくだ
さい。
4. (任意)このプロファイルが適用される [カスタム パ
ターン ] を設定することもできます。この場合は、カスタ
ム パターンの [ 正規表現 ] フィールドでパターンを指定
し、重みを設定します。照合する正規表現を同じデータ
パターン プロファイルに複数追加できます。この例で
は、カスタム パターンが「confidential」(パターンの大文
字と小文字は区別されます)で「SSN_Custom」という名
前の [ カスタム パターン ] を作成し、重みとして「20」を
使用します。この例で「confidential」という語を使用する
のは、社会保障の Word ドキュメントにこの語が含まれて
いるからです。そのため、この語を特に定義します。
脅威防御
325
セキュリティ プロファイルとセキュリティ ポリシーのセットアップ
脅威防御
データ フィルタリングの設定例(続き)
ステップ 4
ステップ 5
フ ィ ル タ リ ン グ す る ア プ リ 1.
ケーションを指定し、ファイ
ル タイプを設定します。
[ アプリケーション ] を [ いずれか ] に設定します。こ
れにより、web-browsing、FTP、SMTP などのサポート
されているアプリケーションすべてが検出されます。
アプリケーションを絞り込むには、リストから対象を
選択します。SSL を使用する Microsoft Outlook Web App
などのアプリケーションの場合は、復号化を有効にす
る必要があります。また、各アプリケーションの表示
名について理解しておくことも必要です。たとえば、
Outlook Web App はこのアプリケーションの Microsoft
名ですが、PAN-OS のアプリケーション リストでは
outlook-web アプリケーションとして示されます。所
定のアプリケーションのログを調べ、PAN-OS で定義
されている名前を識別できます。
2.
doc ファイルおよび docx ファイルのみをスキャンする
には、[ ファイル タイプ ] を [doc] および [docx] に設
定します。
フ ィ ル タ リ ン グ す る ト ラ 1.
フィックの方向としきい値を
指定します。
2.
[ 方向 ] を [both] に設定します。アップロードまたはダ
ウンロードされるファイルがスキャンされます。
3.
326
[アラートしきい値] を「35」に設定します。この場合、
社会保障番号が 5 インスタンス、confidential という単
語が 1 インスタンス存在するとアラートがトリガーさ
れます。式に当てはめると、重みが 3 の SSN インスタ
ンスが 5 つで 15、重みが 20 の単語 confidential のインス
タンスが 1 つで 20 となり、合計で 35 となります。
[ ブロックしきい値 ] を「50」に設定します。ファイル
での SSN インスタンスまたは単語 confidential のインス
タンスの合計数がしきい値の 50 になると、そのファイ
ルはブロックされます。たとえば、doc 内に重みが 20
の単語 confidential が 1 インスタンス含まれ(しきい値
の 20 に相当)、重みが 3 の社会保障番号が 15 インス
タンス含まれ(しきい値の 45 に相当)ているとしま
す。この場合は、20 と 45 を加算して 65 となり、ブ
ロックしきい値 50 を超えます。
脅威防御
脅威防御
セキュリティ プロファイルとセキュリティ ポリシーのセットアップ
データ フィルタリングの設定例(続き)
ステップ 6
ステップ 7
脅威防御
データ フィルタリング プロ 1.
ファイルをセキュリティ ルー
ルに適用します。
[Policies] > [ セキュリティ] の順に選択し、プロファ
イルを適用するセキュリティ ポリシー ルールを選択
します。
2.
セキュリティ プロファイル ルールをクリックして変更
し、次に [ アクション ] タブをクリックします。[ デー
タ フィルタリング ] ドロップダウンで、作成した新し
いデータ フィルタリング プロファイルを選択し、
[OK] をクリックして保存します。この例でのデータ
フィルタリング ルール名は「DF_Profile1」です。
設定をコミットします。
327
セキュリティ プロファイルとセキュリティ ポリシーのセットアップ
脅威防御
データ フィルタリングの設定例(続き)
ステップ 8
データ フィルタリング設定を テストでは、実際の社会保障番号を使用し、各番号は一意
である必要があります。また、この例で単語 confidential
テストします。
を使用してカスタム パターンを定義したのと同様に、パ
データ フィルタリングが正常
ターンでは大文字と小文字が区別されます。テストを簡易
に機能しない場合は、データ
に保つため、最初はデータ パターンだけを使用してテスト
フィルタリング ログまたはト
し、次に SSN をテストすることができます。
ラフィック ログを調べてテス
1. ファイアウォールの Trust ゾーン内のクライアント PC
ト対象のアプリケーションを
にアクセスし、フィルタリングに定義したとおりの情
検証し、テスト ドキュメント
報を含む .doc ファイルまたは .docx ファイルをアップ
に適切な数の一意の社会保障
ロードする HTTP 要求を送信します。
番号インスタンスが含まれて
いることを確認してください。 2. 単語 confidential を 1 インスタンスと、ダッシュ付き社
会保障番号を 5 インスタンス含んだ Microsoft Word ド
たとえば、Microsoft Outlook Web
キュメントを作成します。
App のようなアプリケーショ
ンは web-browsing として識別 3.
されているように思われて
も、ログを見ると、そのアプ
リケーションは outlook-web 4.
に な っ て い ま す。ま た、SSN
の数やカスタム パターンを増
5.
やし、必ずしきい値に到達す
るようにしてください。
ファイルを Web サイトにアップロードします。復号化
を設定していない場合を除いて HTTP を使用します。
設定していない場合は HTTPS を使用できます。
[Monitor] > [ ログ ] > [ データ フィルタリング ] ログを
選択します。
今アップロードしたファイルに対応するログを見つけ
ます。送信元のクライアント PC と宛先の Web サー
バーを使用するとログをフィルタリングするのに役立
ちます。ログの [ アクション ] 列に [reset-both] と表示
されます。これで、ドキュメント内の社会保障番号の
数を増やしてブロックしきい値をテストできます。
ファイル ブロッキングのセットアップ
この例を使用して、ファイル ブロッキングおよび転送のセットアップに必要な基本手順につい
て説明します。この設定では、Web サイトから .exe ファイルをダウンロードする前に続行する
よう求めるプロンプトをユーザーに表示するために必要なオプションを設定します。この例の
テストでは、送信元との間にコンテンツをブロックしている他のシステムが存在する可能性が
あることに注意してください。
328
脅威防御
脅威防御
セキュリティ プロファイルとセキュリティ ポリシーのセットアップ
ファイル ブロッキングの設定
ステップ 1
ステップ 2
ステップ 3
ファイル ブロッキング プロ 1.
ファイルを作成します。
[Objects] > [ セキュリティ プロファイル ] > [ ファイル
ブロッキング ] の順に選択し、[ 追加 ] をクリックし
ます。
2.
ファイル ブロッキング プロファイルの [ 名前 ] に
「Block_EXE」などと入力します。必要に応じて [ 内容
] に「ユーザーが Web サイトから exe ファイルをダウ
ンロードできないようにする」などと入力します。
ファイル ブロッキングのオプ 1.
ションを設定します。
2.
[ 追加 ] をクリックしてプロファイル設定を定義します。
3.
フィルタリングする [ アプリケーション ] を、たとえば
[web-browsing] に設定します。
4.
[ ファイル タイプ ] を [exe] に設定します。
5.
[ 方向 ] を [download] に設定します。
6.
[ アクション ] を [continue] に設定します。[continue] オ
プションを選択することにより、応答ページで、ファ
イルをダウンロードするために [ 続行 ] をクリックする
ようユーザーに求めるプロンプトが表示されます。
7.
[OK] をクリックしてプロファイルを保存します。
[ 名前 ] に「Block_EXE」などと入力します。
ファイル ブロッキング プロ 1.
ファイルをセキュリティ ポリ
シーに適用します。
「基本的なセキュリティ ポリシーのセットアップ」の
説明に従って、[Policies] > [ セキュリティ] の順に選択
し、既存のポリシーを選択するか、新しいポリシーを
作成します。
2.
セキュリティ ポリシー内の [アクション] タブをクリッ
クします。
3.
[ プロファイル設定 ] セクションで、ドロップダウンを
クリックし、設定したファイル ブロッキング プロファ
イ ル を 選 択 し ま す。こ の 例 で の プ ロ フ ァ イ ル 名 は
Block_EXE です。
4.
設定をコミットします。
前にセキュリティ プロファイルを定義したことがない場合
は、[ プロファイル タイプ ] ドロップダウンを選択し、[ プ
ロファイル ] を選択します。セキュリティ プロファイルを
選択するためのオプションの一覧が表示されます。
脅威防御
329
セキュリティ プロファイルとセキュリティ ポリシーのセットアップ
脅威防御
ファイル ブロッキングの設定(続き)
ステップ 4
ファイル ブロッキング設定をテストするには、ファイアウォールの Trust ゾーンのクライ
アント PC にアクセスし、Untrust ゾーンの Web サイトから .exe ファイルのダウンロードを
試みます。応答ページが表示されます。[ 続行 ] をクリックしてファイルをダウンロードし
ます。[alert]、[forward](WildFire に転送する)、[block](ユーザーに続行ページが表示され
ない)などの他のアクションを設定することもできます。以下に、ファイル ブロッキング
のデフォルト応答ページを示します。
例 : デフォルトのファイル ブロッキング応答ページ
ステップ 5
注
(任意)カスタム ファイル ブロッキング応答ページを定義します([Device] > [ 応答ペー
ジ ])。これにより、応答ページに表示される情報量を増やすことができます。会社のポ
リシーの情報やヘルプデスクの連絡先情報などを含めることができます。
[continue] または [continue-and-forward](WildFire 転送に使用される)のいずれかのアクションを使用
してファイル ブロッキング プロファイルを作成する場合、選択できるアプリケーションは
web-browsing のみです。その他のアプリケーションを選択すると、ユーザーには続行ページのプロ
ンプトが表示されないため、セキュリティ ポリシーに一致するトラフィックはファイアウォール
を通過しません。また、Web サイトで HTTPS を使用している場合は、復号ポリシーを設定する必
要があります。
ログを調べ、この機能をテストするときに使用中のアプリケーションを確認することができます。たとえ
ば、Microsoft Sharepoint を使用してファイルをダウンロードする場合は、Web ブラウザを使用してそのサイ
トにアクセスするとしても、実際のアプリケーションは sharepoint-base または sharepoint-document で
す。テストでは、アプリケーション タイプは [ いずれか ] に設定できます。
330
脅威防御
脅威防御
ブルート フォース攻撃の防御
ブルート フォース攻撃の防御
ブルート フォース攻撃は、同じ送信元または宛先 IP アドレスで大量の要求 / 応答を使用してシ
ステムに侵入します。攻撃者は試行錯誤を繰り返す方法によって、チャレンジまたは要求に対
する応答を推測します。
ファイアウォールの脆弱性防御プロファイルにはブルート フォース攻撃から保護するシグネ
チャも含まれています。各シグネチャには ID、脅威名、重大度が設定されており、パターンが
記録されるとトリガーされます。パターンは、トラフィックがブルート フォース攻撃と識別さ
れる条件と間隔を指定します。一部のシグネチャは、重大度がより低く、一致パターンを指定
する別の子シグネチャと関連付けられています。パターンがシグネチャや子シグネチャと一致
すると、シグネチャのデフォルト アクションがトリガーされます。
防御を適用するには、以下の手順を実行します。

脆弱性プロファイルをセキュリティ ルールに関連付けます。「アンチウイルス、アンチスパ
イウェア、および脆弱性防御のセットアップ」を参照してください。

新しいシグネチャを含むコンテンツ更新をインストールし、新たに出現した脅威から防御し
ます。「コンテンツ更新の管理」を参照してください。

ブルート フォース攻撃のシグネチャとトリガー条件

ブルート フォース シグネチャのアクションとトリガー条件のカスタマイズ
ブルート フォース攻撃のシグネチャとトリガー条件
以下の表に、いくつかのブルート フォース攻撃シグネチャおよびそれをトリガーをする条件の
リストを示します。
シグネチャ ID 脅威名
40001
40003
脅威防御
子シグネチャ ID
FTP: Login Brute Force 40000
Attempt
DNS: Spoofing Cache
Record Attempt
40002
トリガー条件
頻度 : 60 秒間に 10 回
パターン : 子シグネチャ 40000 はエラー
コード 430 の FTP 応答メッセージを記録
します。これは、pass コマンドの後に無
効なユーザー名またはパスワードが送信
されたことを示します。
頻度 : 60 秒間に 100 回
パターン : 子シグネチャ 40002 は、
Question、Answer、Authority、および
Additional リソース レコード フィールド
のカウントが 1 になっている DNS 応答
ヘッダーを記録します。
331
ブルート フォース攻撃の防御
脅威防御
シグネチャ ID 脅威名
子シグネチャ ID
トリガー条件
40004
SMB: User Password
Brute-force Attempt
31696
頻度 : 60 秒間に 14 回
LDAP: User Login
Brute-force Attempt
31706
HTTP: User
Authentication
Brute-force Attempt
31708
MAIL: User Login
Brute-force Attempt
31709
40005
40006
40007
パターン : 子シグネチャ 31696 は、任意
の SMB コマンドの応答エラー コード
0x50001 およびエラーコード 0xc000006d
を記録します。
頻度 : 60 秒間に 20 回
パターン : 子シグネチャ 31706 は LDAP
bindResponse(27) のコード 49 を探しま
す。結果コード 49 は無効な認証情報を
示します。
頻度 : 60 秒間に 100 回
パターン : 子シグネチャ 31708 は応答
ヘッダー フィールドが WWW-Authenticate
の HTTP ステータス コード 401 を探しま
す。ステータス コード 401 は認証失敗を
示します。
頻度 : 60 秒間に 10 回
パターン : 子シグネチャ 31709 は、SMTP、
POP3、および IMAP アプリケーションに
対応しています。以下に各アプリケー
ションのトリガー条件を示します。
SMTP: 応答コード 535
IMAP: No/bad logon/login failure
POP3: POP3 の PASS コマンドでの ERR
40008
40009
40010
40011
332
MySQL Authentication
Brute-force Attempt
31719
Telnet Authentication
Brute-force Attempt
31732
Microsoft SQL Server
User Authentication
Brute-force Attempt
31753
Postgres Database User
Authentication
Brute-force Attempt
31754
頻度 : 60 秒間に 25 回
パターン : 子シグネチャ 31719 は、mysql
clientauth ステージでのエラーコード 1045
を探します。
頻度 : 60 秒間に 10 回
パターン : 子シグネチャ 31732 は、応答
パケット内の login incorrect を探します。
頻度 : 60 秒間に 20 回
パターン : 子シグネチャ 31753 は、応答パ
ケット内の Login failed for user を探します。
頻度 : 60 秒間に 10 回
パターン : 子シグネチャ 31754 は、応答
パ ケ ッ ト 内 の password authentication failed for
user を探します。
脅威防御
脅威防御
ブルート フォース攻撃の防御
シグネチャ ID 脅威名
子シグネチャ ID
トリガー条件
40012
Oracle Database User
Authentication
Brute-force Attempt
31761
頻度 : 60 秒間に 7 回
Sybase Database User
Authentication
Brute-force Attempt
31763
DB2 Database User
Authentication
Brute-force Attempt
31764
40013
40014
40015
40016
40017
40018
40019
40020
脅威防御
パターン : 子シグネチャ 31761 は、応答
パ ケ ッ ト 内 の password authentication failed for
user を探します。
頻度 : 60 秒間に 10 回
パターン : 子シグネチャ 31763 は、応答
パケット内の Login failed を探します。
頻度 : 60 秒間に 20 回
パターン : 子シグネチャ 31764 は、重大
度コード 8 およびセキュリティ チェック
コード 0xf の 0x1219 コード ポイント を
探します。
SSH User Authentication 31914
Brute-force Attempt
頻度 : 60 秒間に 20 回
SIP INVITE Method
Request Flood Attempt
31993
頻度 : 60 秒間に 20 回
VPN: PAN BOX SSL
VPN Authentication
Brute-force Attempt
32256
HTTP: Apache Denial
Of Service Attempt
32452
HTTP: IIS Denial Of
Service Attempt
32513
パターン : 子シグネチャ 31914 は、SSH
サーバーへのすべての接続でアラートに
なります。
パターン : 子シグネチャ 31993 は、SIP
セッションの INVITE メソッドを探しま
す。これは、クライアントが通話への参
加に招待されたことを示します。
頻度 : 60 秒間に 10 回
パターン : 子シグネチャ 32256 は、HTTP 応
答ヘッダー内の x-private-pan-sslvpn: auth-failed を
探します。
頻度 : 60 秒間に 40 回
パターン : 子シグネチャ 32452 は、応答
内のコンテンツ長があって \r\n\r\n を含
まないものを探します。
32785
Digium Asterisk IAX2
Call Number Exhaustion
Attempt
頻度 : 20 秒間に 10 回
パターン : 子シグネチャ 32513 は、.aspx を
含む HTTP URI パス上の %3f を探します。
頻度 : 30 秒間に 10 回
パターン : 子シグネチャ 32785 は、Asterisk
メッセージ内の通話番号フィールドを探
します。
333
ブルート フォース攻撃の防御
脅威防御
シグネチャ ID 脅威名
子シグネチャ ID
トリガー条件
40021
MS-RDP: MS Remote
Desktop Connect
Attempt
33020
頻度 : 100 秒間に 8 回
HTTP: Microsoft
ASP.Net Information
Leak brute force
Attempt
33435
SIP: SIP Register
Request Attempt
33592
SIP: SIP Bye Message
Brute Force Attack
34520
HTTP: HTTP NTLM
Authentication Brute
Force Attack
34548
HTTP: HTTP
Forbidden Brute Force
Attack
34556
HTTP: HOIC Tool
Brute Force Attack
34767
40022
40023
40028
40030
40031
40032
40033
40034
334
パターン : 子シグネチャ 33020 は、ms-rdp
要求内の CONNECT アクションを探し
ます。
パ タ ー ン : 子 シ グ ネ チ ャ 33435 は、
\nX-Powered-By: ASP\.NET を含む応答コー
ド 500 および応答ヘッダーを探します。
頻度 : 60 秒間に 60 回
パ タ ー ン : 子 シ グ ネ チ ャ 33592 は、
REGISTER SIP メソッドを探します。こ
のメソッドは、To ヘッダー フィールド
にリストされているアドレスを SIP サー
バーに登録するものです。
頻度 : 60 秒間に 20 回
パターン : 子シグネチャ 34520 は、通話
を終了するために使用される SIP BYE 要
求を探します。
頻度 : 60 秒間に 20 回
パターン : 子シグネチャ 34548 は HTTP ス
テータス コード 407 および NTLM プロキシ
サーバーへの認証の失敗を探します。
頻度 : 60 秒間に 100 回
パターン : 子シグネチャ 34556 は、HTTP
403 応答を探します。これは、サーバー
が有効な HTTP 要求を拒否したことを示
します。
頻度 : 60 秒間に 100 回
パターン : 子シグネチャ 34767 は、HOIC
(High Orbit Ion Cannon)DDoS ツールか
らの HTTP 要求を探します。
DNS: ANY Queries
34842
Brute Force DOS Attack
SMB: Microsoft
Windows SMB NTLM
Authentication Lack of
Entropy Vulnerability
頻度 : 60 秒間に 30 回
35364
頻度 : 60 秒間に 60 回
パターン : 子シグネチャ 34842 は、DNS
ANY レコード クエリを探します。
頻度 : 60 秒間に 60 回
パターン : 子シグネチャ 35364 は、SMB
Negotiate(0x72)要求を探します。短い
時 間 に 複 数 の 要 求 が あ る 場 合 は、
CVE-2010-0231 に対する攻撃を示してい
る可能性があります。
脅威防御
脅威防御
ブルート フォース攻撃の防御
ブルート フォース シグネチャのアクションとトリガー条件のカスタマイズ
ファイアウォールには、2 種類の事前定義されたブルート フォース シグネチャが含まれていま
す。親シグネチャと子シグネチャです。子シグネチャはシグネチャに一致するトラフィック パ
ターンの 1 回の発生です。親シグネチャは子シグネチャに関連付けられ、子シグネチャで定義
されたトラフィック パターンに一致するイベントが一定時間内に複数回発生した場合にトリ
ガーされます。
通常、子シグネチャのデフォルト アクションは allow です。1 回のイベントだけで攻撃されたこ
とにはならないためです。多くの場合、子シグネチャのアクションは、正当なトラフィックが
ブロックされないように、また、注目に値しないイベントに対して脅威ログが生成されないよ
うに、allow に設定されています。そのため、デフォルト アクションを変更する場合は、慎重に
検討することをお勧めします。
多くの場合、ブルート フォース シグネチャが注目に値するイベントであるのは、その繰り返し
パターンのためです。ブルート フォース シグネチャのアクションをカスタマイズするには、以
下のいずれかを実行します。

ブルート フォース カテゴリ内のすべてのシグネチャのデフォルト アクションを変更するルー
ルを作成します。トラフィックを許可、アラート、ブロック、リセット、または破棄するア
クションを定義できます。

特定のシグネチャに例外を定義します。たとえば、CVE を検索して、それに例外を定義でき
ます。
親シグネチャの場合、トリガー条件およびアクションの両方を変更できます。子シグネチャ
の場合は、アクションのみが変更できます。
効果的に攻撃を軽減するには、ほとんどのブルート フォース シグネチャでは drop アクション
や reset アクションよりも block-ip address アクションをお勧めします。
シグネチャのしきい値およびアクションのカスタマイズ
ステップ 1
新しい脆弱性防御プロファイ 1.
ルを作成します。
[Objects] > [ セキュリティ プロファイル ] > [ 脆弱性防
御 ] の順に選択します。
2. [ 追加 ] をクリックし、脆弱性防御プロファイルの
[ 名前 ] を入力します。
脅威防御
335
ブルート フォース攻撃の防御
脅威防御
シグネチャのしきい値およびアクションのカスタマイズ(続き)
ステップ 2
ステップ 3
カテゴリ内のすべてのシグネ 1.
チャのアクションを定義する
ルールを作成します。
2.
[ ルール ] を選択し、[ 追加 ] をクリックして [ ルー
ル名 ] を入力します。
[ アクション ] を設定します。この例では、[ ブロック ]
に設定されています。
3.
[ カテゴリ ] を [brute-force] に設定します。
4.
(任意)ブロックする場合、サーバーとクライアント
のどちらをブロックするかを指定します。デフォルト
は [any] です。
5.
特定のシグネチャのアクションをカスタマイズする方
法については、ステップ 3 を参照してください。
6.
親シグネチャのトリガーしきい値をカスタマイズする
方法については、ステップ 4 を参照してください。
7.
[OK] をクリックしてルールおよびプロファイルを保存
します。
(任意)特定のシグネチャの 1.
アクションをカスタマイズし
ます。
[ 例外 ] を選択し、[ すべてのシグネチャの表示 ] をク
リックして、変更するシグネチャを見つけます。
ブルート フォース カテゴリのすべてのシグネチャを表
示するには、「category contains 'brute-force'」と検索し
ます。
2.
特定のシグネチャを編集するには、[ アクション ] 列の
事前定義されたデフォルト アクションをクリックし
ます。
3.
アクションを [allow]、[alert]、または [block-ip] に設
定します。
4.
[block-ip] を選択した場合、以下の追加タスクを実行し
ます。
a. [ 日時 ] にアクションをトリガーするまでの時間を秒
数で指定します。
b. [ 追跡 ] フィールドで、IP アドレスを [IP ソース ] ま
たは [IP ソースおよび宛先 ] のどちらによってブロッ
クするかを定義します。
336
5.
[OK] をクリックします。
6.
変更したシグネチャのそれぞれに対して、[ 有効化 ] 列
のチェックボックスをオンにします。
7.
[OK] をクリックします。
脅威防御
脅威防御
ブルート フォース攻撃の防御
シグネチャのしきい値およびアクションのカスタマイズ(続き)
ステップ 4
親シグネチャのトリガー条件 1.
をカスタマイズします。
をクリックし、シグネチャの時間属性および集約
条件を編集します。
編集可能な親シグネチャには
このアイコンがついています
。
こ の 例 で は、検 索 条 件 は ブ
ルート フォース カテゴリおよ
び CVE-2008-1447 です。
ステップ 5
この新しいプロファイルをセ
キュリティ ルールに関連付け
ます。
ステップ 6
変更を保存します。
脅威防御
2.
トリガーしきい値を変更するには、[ ビット数 ] [per] x
[seconds] を指定します。
3.
ヒット数を [source]、[destination]、または [source and
destination] のいずれで集約するかを指定します。
4.
[OK] をクリックします。
1.
[Commit] をクリックします。
337
ネットワークをレイヤー 4 およびレイヤー 7 回避から保護するためのベスト プラクティス
脅威防御
ネットワークをレイヤー 4 およびレイヤー 7 回避から保護
するためのベスト プラクティス
以下に、ほとんどのレイヤー 4 攻撃およびレイヤー 7 攻撃をモニタリングし、ネットワークを
保護するための推奨事項を示します。

Web サーバーについては、サーバーが対応しているプロトコルのみを許可するセキュリティ ポ
リシーを作成します。たとえば、Web サーバーには HTTP トラフィックのみが許可される
ようにしてください。カスタム アプリケーション用のアプリケーション オーバーライド ポ
リシーを定義した場合、特定の送信元ゾーンまたは IP アドレス群にアクセスを制限するよ
うにしてください。

以下のセキュリティ プロファイルをセキュリティ ポリシーに関連付けて、シグネチャベー
スの防御を提供します。

–
脆弱性防御プロファイルを作成して、重大性が「low」以上の脆弱性をすべてブロック
します。
–
アンチスパイウェア プロファイルを作成して、すべてのスパイウェアをブロックします。
–
アンチウイルス プロファイルを作成して、アンチウイルス シグネチャに一致するコンテン
ツをすべてブロックします。
ファイル ブロック プロファイルを作成し、インターネットベースの SMB (Server Message Block)
トラフィックの Portable Executable(PE)ファイル タイプが Trust ゾーンから Untrust ゾーン
に通過するのをブロックします(ms-ds-smb アプリケーション)。
さらに防御を強化するには、アンチウイルス ポリシーを作成して、既知の悪意ある DDL
ファイルをすべて検出し、ブロックします。

ゾーン プロテクション プロファイルを作成して不一致でかつ重複している TCP セグメント
を破棄するように設定することによって、パケットベースの攻撃を防御します。
重複するけれども異なるデータを故意に使用して接続を構築することにより、攻撃者は接
続の意図を誤解させようとすることができます。これは故意に誤検知または検出もれを引
き起こすために使用できます。攻撃者は、IP スプーフィングとシーケンス番号予測を利用
してユーザー接続をインターセプトし、自身のデータを接続に注入します。PAN-OS は、こ
のフィールドを使用して、不一致かつ重複するデータを含むフレームを破棄します。受信
したセグメントが以下の状態の場合に破棄します。

–
受信したセグメントが別のセグメント内に含まれる。
–
受信したセグメントが別のセグメントの一部と重複する。
–
セグメントが完全に別のセグメントを含む。
IPv6 アドレスをネットワーク ホスト上に設定している場合、IPv6 のサポートが有効になって
いることを確認します。([Network] > [ インターフェイス ] > [Ethernet] > [IPv6])
これにより、IPv6 ホストにアクセスし、IPv4 内にカプセル化された IPv6 パケットをフィル
タリングできるようになります。IPv6 のサポートを有効にすることにより、IPv6 over IPv4
マルチキャスト アドレスがネットワーク偵察に利用されるのを防ぎます。
338
脅威防御
脅威防御

ネットワークをレイヤー 4 およびレイヤー 7 回避から保護するためのベスト プラクティス
マルチキャスト トラフィックのサポートを有効にして、ファイアウォールがマルチキャスト
トラフィックにポリシーを適用できるようにします。([Network] > [仮想ルーター] > [マル
チキャスト ])

以下の CLI コマンドを有効にして、TCP ヘッダー内の URG ビット フラグをオフにし、パ
ケットのアウトオブバンド処理を禁止します。
TCP ヘッダー内の緊急ポインターは、パケットを処理キューから削除し、ホストの TCP/IP
スタックで迅速に処理することによって、パケットが即時に処理されるようにします。こ
の処理はアウトオブバンド処理と呼ばれます。緊急ポインターの実装はホストによって異
なるため、あいまいさを排除するため、以下の CLI コマンドを使用してアウトオブバンド
処理を禁止してください。ペイロード内のアウトオブバンド バイトはペイロードの一部と
なるため、パケットは緊急で処理されません。この変更によって、ファイアウォールおよ
びホストでのパケットの処理方法にあいまいさをなくすことができるため、ファイア
ウォールは、プロトコル スタック内でパケットの宛先ホストとまったく同じストリームが
見えるようになります。
set deviceconfig setting tcp urgent-data clear

以下の CLI コマンドを有効にして、bypass-exceed-queue を無効にします。
超過キューのバイパスは、順序の乱れたパケットのために必要です。このシナリオは、
ファイアウォールが順序の乱れたパケットを受信する非対称環境で最も一般的です。特定
のアプリケーションの識別(App-ID)のために、ファイアウォールはヒューリスティクス
分析を実行します。受信したパケットの順序が乱れている場合、アプリケーションの分析
を完了するためには、データをキューにコピーする必要があります。
set deviceconfig setting application bypass-exceed-queue no

以下の CLI コマンドを有効にして、順序外パケットが制限に達した場合にパケットの検査を
無効にします。Palo Alto Networks のファイアウォールはセッションごとに最大 32 個の順序
外パケットを収集できます。このカウンターは、32 個のパケット制限を超えたことを識別
します。バイパス設定が no に設定されている場合、デバイスは 32 個の制限を超えた順序外
パケットを破棄します。コミットが必要です。
set deviceconfig setting tcp bypass-exceed-oo-queue no
set deviceconfig setting ctd bypass-exceed-queue no

以下の CLI コマンドを有効にして、TCP タイムスタンプを確認します。TCP タイムスタンプ
は、セグメントがいつ送信されたかを記録します。ファイアウォールはタイムスタンプが
セッションに対して有効であることを確認できます。
set deviceconfig setting tcp check-timestamp-option yes
脅威防御
339
ダイナミック更新のためのコンテンツ配信ネットワーク インフラストラクチャ
脅威防御
ダイナミック更新のためのコンテンツ配信ネットワーク
インフラストラクチャ
Palo Alto Networks は、Palo Alto Networks のデバイスにコンテンツの更新を提供するための CDN
(Content Delivery Network)インフラストラクチャを管理しています。このデバイスは CDN 内
の Web リソースに利用してさまざまな App-ID および Content-ID 機能を実行します。コンテンツの
更新の許可とスケジュール設定については、「コンテンツ更新の管理」を参照してください。
以下の表に、ファイアウォールが機能やアプリケーションのために利用できるリソースを示し
ます。
リソース
URL
静的アドレス(静的サーバーが必要な場合)
アプリケーション
データベース
• updates.paloaltonetworks.com:443
staticupdates.paloaltonetworks.com または
199.167.52.15(IP アドレス)
脅威 / アンチウイルス
データベース
• updates.paloaltonetworks.com:443
staticupdates.paloaltonetworks.com または
199.167.52.15(IP アドレス)
• downloads.paloaltonetworks.com:443
☆ベスト プラクティスとして、
アップデート サーバーを
updates.paloaltonetworks.com に設定
します。☆これによって、デバイ
スは CDN インフラストラクチャ内
で最も近いサーバーからコンテンツ
の更新を受け取ることができます。
PAN-DB URL Filtering
• *.urlcloud.paloaltonetworks.com
• 50.18.116.114
• 174.129.212.185
• 46.51.252.65
• 46.137.75.101
BrightCloud URL フィル
タリング
340
• database.brightcloud.com:443/80
• service.brightcloud.com:80
BrightCloud のカスタマー サポートに連
絡してください。
脅威防御
脅威防御
ダイナミック更新のためのコンテンツ配信ネットワーク インフラストラクチャ
リソース
URL
静的アドレス(静的サーバーが必要な場合)
WildFire
• beta.wildfire.paloaltonetworks.com:
443/80

mail.wildfire.paloaltonetworks.com:25
または 54.241.16.83(IP アドレス)

wildfire.paloaltonetworks.com:443/80
または 54.241.8.199
• beta-s1.wildfire.paloaltonetworks.com:
443/80
注
ベータ サイトは、ベータ リリー 地域固有の URL/IP アドレスは以下のよ
ス バージョンを実行している うになります。
ファイアウォールのみが利用し
 ca-s1.wildfire.paloaltonetworks.com:44
ます。
または 54.241.34.71
• mail.wildfire.paloaltonetworks.com:25
• wildfire.paloaltonetworks.com:443/80
脅威防御

va-s1.wildfire.paloaltonetworks.com:443
または 174.129.24.252

ca-s1.wildfire.paloaltonetworks.com:443
または 54.246.95.247

sg-s1.wildfire.paloaltonetworks.com:443
または 54.251.33.241

jp-s1.wildfire.paloaltonetworks.com:443
または 54.238.53.161

portal3.wildfire.paloaltonetworks.com:
443/80 または 54.241.8.199

ca-s3.wildfire.paloaltonetworks.com:443
または 54.241.34.71

va-s3.wildfire.paloaltonetworks.com:443
または 23.21.208.35

eu-s3.wildfire.paloaltonetworks.com:443
または 54.246.95.247

sg-s3.wildfire.paloaltonetworks.com:443
または 54.251.33.241

jp-s3.wildfire.paloaltonetworks.com:443
または 54.238.53.161

wildfire.paloaltonetworks.com.jp:
443/80 または 180.37.183.53

wf1.wildfire.paloaltonetowrks.jp:443
または 180.37.180.37

wf2.wildfire.paloaltonetworks.jp:443
または 180.37.181.18

portal3.wildfire.paloaltonetworks.jp:
443/80 または 180.37.183.53
341
ダイナミック更新のためのコンテンツ配信ネットワーク インフラストラクチャ
脅威防御
342
脅威防御
復号化
Palo Alto Networks のファイアウォールには、可視性、制御、および詳細なセキュリティのため
にトラフィックを復号化および検査する機能があります。Palo Alto Networks のファイアウォー
ルの復号化には、暗号化されたトラフィックにセキュリティ ポリシーを適用する機能が含まれ
ます。この機能がない場合、暗号化されたトラフィックがセキュリティ設定に基づいてブロッ
クおよびシェーピングされない可能性があります。ファイアウォール上の復号化を使用するこ
とにより、暗号化されたトラフィックに隠れて悪意あるコンテンツがネットワークに侵入した
り、機密コンテンツがネットワークから流出するのを防ぐことができます。Palo Alto Networks
のファイアウォールで復号化を有効にする手順には、復号化に必要な鍵および証明書の用意、
復号ポリシーの作成、復号ポート ミラーリングの設定が含まれます。復号化の詳細および設定
方法については以下のトピックを参照してください。

復号化の概要

SSL フォワード プロキシの設定

SSL インバウンド インスペクションの設定

SSH プロキシの設定

復号化の例外の設定

復号ポート ミラーリングの設定
復号化
343
復号化の概要
復号化
復号化の概要
復号化のキーおよび証明書、復号ポリシー、および復号ポート ミラーリングについての詳細は
以下のトピックを参照してください。

復号ポリシーのためのキーおよび証明書

SSL フォワード プロキシ

SSL インバウンド インスペクション

SSH プロキシ

復号化の例外

復号ポート ミラーリング
SSL(Secure Sockets Layer)および SSH(Secure Shell)は 2 つのエンティティ間(Web サーバーと
クライアントなど)のトラフィックを安全に保護するために使用される暗号化プロトコルで
す。SSL および SSH はトラフィックをカプセル化し、データを暗号化します。これにより、
データをデコードするキーおよびデバイス間の信頼を確認する証明書を持つクライアントと
サーバー以外のエンティティにとってデータは意味のないものになります。SSL および SSH プ
ロトコルを使用して暗号化されたトラフィックは復号化して、これらのプロトコルが意図した
目的のみに使用されており、不要なアクティビティや悪意あるコンテンツを隠すために使用さ
れていないことを確認できます。
Palo Alto Networks のファイアウォールは暗号化されたトラフィックを復号化します。文字列を変
換するキー(パスワードおよび共有秘密)を使用して、暗号化テキストをプレーンテキストに変
換し(復号化)、プレーンテキストを再び暗号化テキストに変換します(デバイスを出るトラ
フィックの再暗号化)。証明書はファイアウォールが信頼されるサード パーティであることを証
明し、安全な接続を作成するために使用されます。SSL 復号化(フォワード プロキシとインバウ
ンド インスペクションの両方)では、SSL/TLS 接続を安全に保護するために証明書を使用して 2
つのエンティティ間の信頼を確立する必要があります。また証明書は、SSL 復号化からサーバー
を除外するときにも使用されます。ハードウェア セキュリティ モジュール(HSM)をファイア
ウォールと統合すると、SSL フォワード プロキシ復号化および SSL インバウンド インスペクショ
ン復号化で使用される秘密鍵のセキュリティを強化できます。HSM を使用したキーの保存と生
成、および HSM とファイアウォールの統合については、「ハードウェア セキュリティ モジュー
ルによるキーの安全確保」を参照してください。SSH 復号化では証明書は必要ありません。
Palo Alto Networks のファイアウォールの復号化はポリシーベースで、インバウンドとアウトバ
ウンド両方の SSL および SSH 接続の復号化、検査、制御に使用できます。復号ポリシーを使用
すると、宛先、送信元、または URL カテゴリに基づいて復号化するトラフィックを指定し、指
定したトラフィックをセキュリティ設定に基づいてブロックまたは制限できます。ファイア
ウォールは証明書とキーを使用してポリシーで指定されたトラフィックを復号化してから、
App-ID およびセキュリティ設定(復号化、アンチウイルス、脆弱性、アンチスパイウェア、
URL フィルタリング、およびファイル ブロッキングなどのプロファイル)をプレーンテキスト
トラフィックに適用します。ファイアウォールでトラフィックが復号化され、検査された後、
プレーンテキスト トラフィックはファイアウォールを出るときに再暗号化され、プライバシー
とセキュリティが確保されます。ファイアウォールでポリシーベースの復号化を使用すること
により、以下のような結果を達成できます。
344
復号化
復号化
復号化の概要

暗号化されたトラフィックに隠れたマルウェアが企業ネットワークに侵入するのを防ぐ。

企業機密情報が企業ネットワークの外部に流出するのを防ぐ。

安全なネットワーク上で適切なアプリケーションが実行されていることを確認する。

選択的にトラフィックを復号化する。たとえば、復号化の例外を設定することにより、金融
サイトや医療サイトのトラフィックを復号化から除外します。
ファイアウォール上で使用できる 3 つの復号ポリシー、SSL フォワード プロキシ、SSL インバウ
ンド インスペクション、および SSH プロキシはそれぞれ特に SSL アウトバウンド トラフィッ
ク、SSL インバウンド トラフィック、および SSH トラフィックを対象として検査する手法を提
供します。復号ポリシーの設定によって復号化するトラフィックを指定できます。ポリシー作
成時に復号プロファイルを選択すると、サーバー証明書、サポートされていないモード、およ
び障害のチェックなどのより詳細なセキュリティ設定を復号化されたトラフィックに適用でき
ます。ファイアウォール上のこのポリシーベースの復号化により、設定可能なパラメータに基
づいて SSL および SSH の暗号化されたトラフィックに対する可視性を得て、制御することがで
きます。
また、ファイアウォールの復号設定を拡張して復号ポート ミラーリングを含めることもできま
す。これにより、復号化されたトラフィックをプレーンテキストとして、さらに分析および
アーカイブを行うためにサード パーティ ソリューションに転送できます。
復号ポリシーのためのキーおよび証明書
キーは数字列で、通常、ランダムな数字と大きな素数を使用した数学演算によって生成されま
す。キーは他の文字列(パスワードや共有秘密など)を変換するために使用されます。プレー
ンテキストから暗号化テキストへの変換を暗号化といい、暗号化テキストからプレーンテキス
トへの変換を復号化といいます。キーには対称キー(暗号化と復号化に同じキーを使用)と非
対称キー(1 つのキーを暗号化に使用し、数学的に関連するキーを復号化に使用)がありま
す。キーはあらゆるシステムで生成できます。
SSL 接続を確立するために、X.509 証明書を使用してクライアントとサーバーの間の信頼が確立
されます。サーバーを認証するクライアント(またはクライアントを認証するサーバー)は、
X.509 証明書の構造を知っているため、証明書内のフィールドから、FQDN または IP アドレス
(証明書内では共通名または CN と呼ばれます)や証明書が発行された組織、部門、ユーザー
の名前など、サーバーに関する識別情報を抽出する方法を知っています。すべての証明書は認
証局(CA)が発行する必要があります。CA はクライアントまたはサーバーを確認した後、証
明書を発行し、秘密鍵を使用して署名します。復号ポリシーを設定すると、クライアントと
サーバーの間の SSL/TLS セッションは、サーバーの証明書に署名した CA をファイアウォール
が信頼する場合のみ確立されます。信頼を確立するには、サーバーのルート CA 証明書がファ
イアウォールの証明書信頼リスト(CTL)内にあり、ファイアウォールがそのルート CA 証明書
に含まれる公開鍵を使用して署名を確認する必要があります。その後、ファイアウォールは、
フォワード トラスト証明書によって署名されたサーバー証明書のコピーを認証のためにクライ
アントに提示します。また、SSL フォワード プロキシのフォワード トラスト証明書としてエン
タープライズ CA を使用するようにファイアウォールを設定することもできます。ファイア
復号化
345
復号化の概要
復号化
ウォールの CTL にサーバーのルート CA 証明書がない場合、ファイアウォールは、フォワード
アントラスト証明書によって署名されたサーバー証明書のコピーをクライアントに提示しま
す。フォワード アントラスト証明書を使用すると、信頼されない証明書を持つサーバーがホス
トするサイトにクライアントがアクセスしようとしたときに、証明書警告のプロンプトが表示
されます。
証明書の詳細は、「証明書の管理」を参照してください。
デバイスが信頼する CA を制御するには、[ デフォルトの信頼された証明機関 ] を参照してくだ
さい。
表 : Palo Alto Networks のデバイスが使用するキーおよび証明書では、Palo Alto Networks のデバイ
スで復号化に使用されるさまざまなキーや証明書について説明しています。ベスト プラクティ
スとして、各用途に異なるキーおよび証明書を使用します。
表 : Palo Alto Networks のデバイスが使用するキーおよび証明書
キー/ 証明書の用途
説明
フォワード トラスト
クライアントが接続しようとしているサイトの証明書がファイアウォールが
信頼する CA によって署名されている場合に、ファイアウォールが復号化中
にクライアントに提示する証明書。ファイアウォール上のフォワード トラ
スト証明書を設定するには、「SSL フォワード プロキシの設定」のタスク
のステップ 2 を参照してください。セキュリティを強化するために、フォ
ワード トラスト証明書はハードウェア セキュリティ モジュール(HSM)に
保存できます。「HSM での秘密鍵の保存」を参照してください。
フォワード アントラスト
クライアントが接続しようとしているサイトの証明書がファイアウォール
が信頼しない CA によって署名されている場合に、ファイアウォールが復
号化中にクライアントに提示する証明書。ファイアウォール上のフォワー
ド アントラスト証明書を設定するには、「SSL フォワード プロキシの設
定」のタスクのステップ 3 を参照してください。
SSL 除外証明書
SSL 復号化から除外するサーバーの証明書。たとえば、SSL 復号化を有効
にしているが、SSL 復号化に含めたくない特定のサーバー(HR システム
の Web サービスなど)がある場合、対応する証明書をファイアウォール
にインポートして、それを SSL 除外証明書として設定します。「復号化か
らのサーバーの除外」を参照してください。
SSL インバウンド
インスペクション
インバウンド SSL トラフィックを検査およびポリシー適用のために復号化
する際に使用される証明書。この用途には、SSL インバウンド インスペク
ションを実行するサーバーのサーバー証明書をインポートするか、または
HSM にそれらを保存します(「HSM での秘密鍵の保存」を参照)。
346
復号化
復号化
復号化の概要
SSL フォワード プロキシ
SSL フォワード プロキシ復号ポリシーを使用すると、内部ユーザーから Web への SSL/TLS ト
ラフィックを復号化および検査できます。SSL フォワード プロキシ復号化は、SSL の暗号化さ
れたトラフィックに隠れたマルウェアが企業ネットワークに侵入するのを防ぎます。たとえ
ば、従業員が企業オフィスから Gmail アカウントを使用しており、ウイルスを含んだ電子メー
ル添付を開いた場合、SSL フォワード プロキシ復号化はウイルスがクライアント システムに感
染し、企業ネットワークに侵入するのを防ぎます。
SSL フォワード プロキシ復号化を使用する場合、ファイアウォールは内部クライアントの外部
サーバーの間に存在します。ファイアウォールはフォワード トラスト証明書またはフォワード
アントラスト証明書を使用して、クライアントとサーバーの間のセッションに対して自身が信
頼されたサード パーティであることを証明します(証明書の詳細は「復号ポリシーのための
キーおよび証明書」を参照)。クライアントがサーバーとの SSL セッションを開始すると、
ファイアウォールはクライアントの SSL 要求をインターセプトし、SSL 要求をサーバーに転送
します。サーバーはクライアントに向けた証明書を送信し、ファイアウォールがそれをイン
ターセプトします。サーバーの証明書が、ファイアウォールが信頼する CA によって署名され
ていた場合、ファイアウォールはフォワード トラスト証明書によって署名されたサーバーの証
明書のコピーを作成し、その証明書をクライアントが認証するために送信します。サーバーの
証明書が、ファイアウォールが信頼しない CA によって署名されていた場合、ファイアウォー
ルはサーバーの証明書のコピーを作成してフォワード アントラスト証明書によって署名し、ク
ライアントに送信します。この場合、クライアントでは、接続しようとしているサイトが信頼
されていないというブロック ページ警告が表示され、クライアントは続行するかセッションを
終了するかを選択できます。クライアントが証明書を認証すると、SSL セッションが確立さ
れ、ファイアウォールはクライアントがアクセスしているサイトへの信頼されたフォワード プ
ロキシとして機能します。
ファイアウォールは継続してサーバーからクライアントへ向けた SSL トラフィックを受信し、SSL
トラフィックをクリア テキスト トラフィックに復号化して、トラフィックにセキュリティ ポ
リシーを適用します。その後、ファイアウォールはトラフィックを再暗号化し、クライアント
に暗号化されたトラフィックを転送します。
復号化
347
復号化の概要
復号化
図 : SSL フォワード プロキシにこのプロセスの詳細を示します。
図 : SSL フォワード プロキシ
SSL フォワード プロキシの設定の詳細は、「SSL フォワード プロキシの設定」を参照してくだ
さい。
SSL インバウンド インスペクション
SSL インバウンド インスペクションを使用すると、クライアントからターゲット サーバー(証
明書があり、証明書をファイアウォールにインポートできる任意のサーバー)へのインバウン
ド SSL トラフィックを復号化および検査できます。たとえば、従業員が企業ネットワークがホ
ストする Web サーバーにリモートで接続していて、制限されている内部ドキュメントを
Dropbox フォルダに追加(データ転送に SSL を使用)しようとすると、SSL インバウンド イン
スペクションを使用することによってセッションをブロックまたは制限し、機密データが安全
な企業ネットワークの外部に流出していないことを確認できます。
SSL インバウンド インスペクションの設定には、ターゲット サーバーの証明書およびキーを
ファイアウォールにインポートすることが含まれます。ターゲット サーバーの証明書および
キーがファイアウォール上にインポートされるため、ファイアウォールはプロキシとして機能
するのではなく、サーバーとクライアントの間の SSL セッションにアクセスし、トラフィック
を透過的に復号化および検査できます。ファイアウォールは復号化されたトラフィックにセ
キュリティ ポリシーを適用できるため、悪意あるコンテンツを検出し、この安全なチャネル上
で実行されるアプリケーションを制御できます。
348
復号化
復号化
復号化の概要
図 : SSL インバウンド インスペクションにこのプロセスの詳細を示します。
図 : SSL インバウンド インスペクション
SSL インバウンド インスペクションの設定の詳細は、「SSL インバウンド インスペクションの
設定」を参照してください。
SSH プロキシ
SSH プロキシにより、ファイアウォールを通過するインバウンドおよびアウトバウンドの SSH
接続を復号化し、SSH が不要なアプリケーションやコンテンツのトンネリングに使用されてい
ないことを確認できます。SSH 復号化には証明書は必要なく、SSH 復号化に使用されるキーは
ファイウォールの起動時に自動的に生成されます。起動プロセス中、ファイアウォールは既存
のキーがあるかどうかを確認します。ない場合、キーが生成されます。このキーは、デバイス
上に設定されるすべての仮想システムの SSH セッションの復号化に使用されます。すべての
SSH v2 セッションの復号化にも同じキーが使用されます。
SSH プロキシ設定では、ファイアウォールはクライアントとサーバーの間に存在します。クラ
イアントがサーバーに SSH 要求を送信すると、ファイアウォールは要求をインターセプトし、
SSH 要求をサーバーに転送します。その後、ファイアウォールはサーバーの応答をインターセ
プトし、応答をクライアントに転送することにより、ファイアウォールとクライアントの間に
SSH トンネルを確立し、ファイアウォールとサーバーの間にも SSH トンネルを確立し、ファイ
アウォールはプロキシとして機能します。トラフィックがクライアントとサーバーの間を通過
すると、ファイアウォールは SSH トラフィックが通常の方法でルーティングされているか、そ
れとも SSH トンネリング(ポート フォワーディング)を使用しているかを識別できます。SSH
トンネル上でコンテンツと脅威の検査は実行されませんが、SSH トンネルがファイアウォール
によって識別されると、その SSH トンネル トラフィックは設定されたセキュリティ ポリシーに
基づいてブロックおよび制限されます。
復号化
349
復号化の概要
復号化
図 : SSH プロキシ復号化にこのプロセスの詳細を示します。
図 : SSH プロキシ復号化
SSH プロキシ ポリシーの設定の詳細は、「SSH プロキシの設定」を参照してください。
復号化の例外
トラフィックは一致条件に基づいて復号化から除外することもできます(復号ポリシーを使
用)。ターゲット サーバーのトラフィックを復号化から除外することもできます(証明書を使
用)。さらに、一部のアプリケーションはデフォルトで復号化から除外されています。
ファイアウォールによって復号化されると正しく機能しなくなるアプリケーションは、自動的
に SSL 復号化から除外されます。デフォルトで SSL 復号化から除外されるアプリケーション
は、SSL フォワード プロキシに対して生成された証明書には存在しない特定の詳細が証明書内
に必要であり、復号化すると失敗することがあるために除外されています。ファイアウォール
上の SSL 復号化からデフォルトで除外されているアプリケーションの最新リストについては、
KB 記事『List of Applications Excluded from SSL Decryption』(英語)を参照してください。
復号化が有効になっていると正しく動作しない場合や、法律またはプライバシー上の目的な
ど、その他の任意の理由により、特定の URL カテゴリやアプリケーションに対して復号化の例
外を設定できます。復号ポリシーを使用して、送信元、宛先、および URL カテゴリに基づいて
トラフィックを復号化から除外できます。たとえば、SSL 復号化が有効になっているときに
URL カテゴリ選択を使用して金融や医療関連に分類されているトラフィックを復号化から除外
できます。トラフィックを復号化から除外する復号ポリシーを作成するには。
350
復号化
復号化
復号化の概要
また、サーバーの証明書の共通名(CN)に基づいてサーバーを SSL 復号化から除外することも
できます。たとえば、SSL 復号化を有効にしているが、SSL 復号化に含めたくない特定のサー
バー(HR システムの Web サービスなど)がある場合、サーバー証明書をファイアウォールに
インポートして、その証明書を SSL 除外証明書に変更することで、それらのサーバーを復号化
から除外できます。
アプリケーション、送信元、宛先、URL カテゴリに基づいてトラフィックを復号化から除外し
たり、特定のサーバーのトラフィックを復号化から除外するには、「復号化の例外の設定」を
参照してください。
復号ポート ミラーリング
復号ポート ミラー機能を使用すると、ファイアウォールからの復号化されたトラフィックの
コピーを作成し、生パケット キャプチャを受信できるトラフィック収集ツール(NetWitness や
Solera など)に送信してアーカイブや分析を行えます。この機能は、フォレンジックや履歴調
査または DLP(情報漏洩対策)機能用の包括的なデータ キャプチャが必要な組織に不可欠で
す。復号ポート ミラーリングは、PA-7050、PA-5000 シリーズ、および PA-3000 シリーズ プラッ
トフォームでのみ使用可能です。この機能を有効にするにはフリー ライセンスをインストール
する必要があります。
一部の国では、SSL トラフィックの復号化、保存、検査、または使用が規制されていて、復号
ポート ミラー機能を使用するにはユーザーの同意が必要な場合があります。さらに、ファイア
ウォールへの管理アクセス権を持つ悪意あるユーザーがこの機能を使用すると、暗号化された
チャンネルを使用して送信されたユーザー名、パスワード、社会保障番号、クレジット カード
番号などの機密情報を収集できる可能性があります。運用環境でこの機能を有効にしたり使用
する前に、企業の審議会と協議することをお勧めします。
図 : 復号ポート ミラーリングに復号ポート ミラーリングのプロセスを示し、セクション復号
ポート ミラーリングの設定ではこの機能のライセンスと使用について説明します。
図 : 復号ポート ミラーリング
復号化
351
SSL フォワード プロキシの設定
復号化
SSL フォワード プロキシの設定
ファイアウォールでの SSL フォワード プロキシ復号を設定するには、SSL フォワード プロキシ
復号に必要な証明書をセットアップし、SSL フォワード プロキシ復号ポリシーを作成する必要
があります。ファイアウォールは、自己署名証明書またはエンタープライズ CA が署名した証
明書を使用して SSL フォワード プロキシ復号化を実行できます。
証明書のセットアップおよび復号ポリシーの作成を含め、SSL フォワード プロキシを設定する
には、以下のタスクを使用します。
SSL フォワード プロキシの設定
ステップ 1
352
適切なインターフェイスが
バ ー チ ャ ル ワ イ ヤ ー、レ イ
ヤー 2、またはレイヤー 3 イ
ンターフェイスのいずれかと
して設定されていることを確
認します。
[Network] > [ インターフェイス ] > [Ethernet] タブで設定
されているインターフェイスを確認します。[ インター
フェイス タイプ ] 列にはインターフェイスが [ バーチャル
ワイヤー]、[ レイヤー 2]、または [ レイヤー 3] インター
フェイスとして設定されているかが表示されます。イン
ターフェイスを選択して、インターフェイスのタイプなど
の設定を変更できます。
復号化
SSL フォワード プロキシの設定
復号化
SSL フォワード プロキシの設定(続き)
ステップ 2
フォワード トラスト証明書を 自己署名証明書を使用するには、以下の手順を実行します。
設 定します。自己署名証明書 1. [Device] > [ 証明書の管理 ] > [ 証明書 ] の順に選択し
またはエンタープライズ CA が
ます。
署名した証明書を使用します。
2. ウィンドウの下部にある [ 生成 ] をクリックします。
自己署名証明書を使用する場合
クライアントが接続するサー
バーの証明書に署名した CA
がファイアウォールの信頼さ
れた CA リストにある場合、
ファイアウォールはサーバー
の証明書のコピーに自己署名
フォワード トラスト証明書を
使用して署名し、クライアン
トに認証のために提示しま
す。この場合、クライアント
がファイアウォールを信頼さ
れた CA と認識するように、
自己署名証明書を各クライア
ント システムにインポートす
る必要があります。
3.
[ 証明書名 ] に「my-fwd-trust」などの名前を入力します。
4.
[共通名] に「192.168.2.1」などと入力します。これは、
証明書に表示される IP または FQDN にする必要があ
ります。この場合は、信頼できるインターフェイスの
IP を使用します。このフィールドではスペースを使用
しないでください。
5.
[ 署名者 ] フィールドは空白のままにします。
6.
[ 認証局 ] チェック ボックスをオンにして、ファイア
ウォールが証明書を発行できるようにします。この
チェック ボックスをオンにすると、ファイアウォール
で認証局 (CA) が作成されてクライアントのブラウ
ザにインポートできるようになるため、クライアント
はそのファイアウォールを CA として信頼できます。
7.
[ 生成 ] をクリックして証明書を生成します。
8.
新しい証明書「my-fwd-trust」をクリックして変更し、
[ フォワード トラスト証明書 ] オプションを有効にし
ます。
SSL フォワード プロキシ復号
化 で、エ ン タ ー プ ラ イ ズ CA 9.
を使用しない場合や、限られ
た数のクライアント システム
に復号化を実行する予定の場
合(または、中央管理デプロ
イメントの使用を計画してい
る場合)には、自己署名証明
書を使用します。
クライアント システムにインポートするためのフォワー
ド トラスト証明書を強調表示してウィンドウの下部に
ある [ エクスポート ] をクリックし、証明書をエクスポー
トします。PEM フォーマットを選択し、[ 秘密鍵のエ
クスポート ] オプションは選択しません。この証明書は
自己署名であるため、クライアントがこの証明書を信
頼するには、クライアント システム上のブラウザの信
頼されたルート CA リストにインポートします。クラ
イアント ブラウザにインポートするときは、証明書を
[ 信頼されたルート証明機関 ] 証明書ストアに追加しま
す。Windows システム上では、デフォルトのインポー
ト 場 所 は [ 個 人 ] 証 明 書 ス ト ア で す。ま た、Active
Directory グループ ポリシー オブジェクト(GPO)な
どの中央管理デプロイメントを使用することによって
このプロセスを簡略化することもできます。
注
フォワード トラスト証明書がクライアント シス
テム上にインポートされていない場合、ユー
ザーがアクセスする SSL サイトごとに証明書警
告が表示されます。
10. [OK] をクリックして保存します。
復号化
353
SSL フォワード プロキシの設定
復号化
SSL フォワード プロキシの設定(続き)
エンタープライズ CA を使用する エンタープライズ CA が署名した証明書を使用するには、以下の
手順を実行します。
場合
エンタープライズ CA は署名 1.
証明書を発行できます。ファ
イアウォールは署名証明書を
使用して SSL 復号化が必要な
サイトの証明書に署名できま
す。エンタープライズ CA が
署名し、検証するための証明
書 署 名 要 求(CSR)を 送 信 し
ま す。そ の 後、フ ァ イ ア
ウォールは署名されたエン
タープライズ CA 証明書を SSL
フォワード プロキシ復号化に
使用できます。エンタープラ
イズ CA はすでにクライアン
ト システムに信頼されている
ため、このオプションでは、
復号化を設定する前にクライ
アント システムに証明書を配
布する必要はありません。
354
CSR を生成します。
a. [Device] > [ 証明書の管理 ] > [ 証明書 ] の順に選択
し、[ 生成 ] をクリックします。
b. [証明書名] に「my-fwd-proxy」などの名前を入力します。
c. [署名者] ドロップダウン リストから [External Authority
(CSR)] を選択します。
d. (任意)エンタープライズ CA に必要な場合は、[証明
書の属性] を追加して、国や部門など、ファイアウォー
ルの詳細をさらに指定します。
e. [OK] をクリックして CSR を保存します。保留中の証
明書が [ デバイス証明書 ] タブに表示されます。
復号化
SSL フォワード プロキシの設定
復号化
SSL フォワード プロキシの設定(続き)
2.
CSR をエクスポートします。
a. [ デバイス証明書 ] タブに表示されている保留中の証
明書を選択します。
b. [ エクスポート ] をクリックして証明書ファイルをダ
ウンロードおよび保存します。
注 [秘密鍵のエクスポート] は選択しないままに
します。
c. [OK] をクリックします。
d. エンタープライズ CA に証明書ファイルを提供しま
す。エンタ ープラ イズ CA から、署 名され たエン
タープライズ CA 証明書を受信した後、ファイア
ウォール上にインポートするために、署名されたエ
ンタープライズ CA 証明書を保存します。
3.
署名されたエンタープライズ CA をファイアウォール
にインポートします。
a. [Device] > [ 証明書の管理 ] > [ 証明書 ] の順に選択し、
[ インポート ] をクリックします。
b. 保留中の証明書の [証明書名] を正確に入力します(こ
こでは my-fwd-trust)。保留中の証明書が検証される
ためには、入力する [ 証明書名 ] が保留中の証明書の
名前と正確に一致する必要があります。
c. エンタープライズ CA から受信した、署名された [ 証
明書ファイル ] を選択します。
d. [OK] をクリックします。証明書が有効であると表示
され、キーおよび CA チェック ボックスがオンに
なっています。
e. 検証された証明書(ここでは my-fwd-proxy)を選択し、
[ フォワード トラスト証明書 ] として有効にすること
で、SSL フォワード プロキシ復号化に使用できるよ
うにします。
f. [OK] をクリックします。
復号化
355
SSL フォワード プロキシの設定
復号化
SSL フォワード プロキシの設定(続き)
ステップ 3
フォワード アントラスト証明 1.
書を設定します。
2.
SSL フォワード プロキシ復号
化では、クライアントが接続
しようとしているサイトが使
用する証明書に署名した CA
がファイアウォールの信頼さ
れた CA リストにない場合、
ファイアウォールはクライア
ントにフォワード アントラス
ト証明書を提示します。フォ
ワード アントラスト証明書を
使用すると、信頼されない証
明書を持つサイトにクライア
ントがアクセスしようとした
ときに、証明書警告のプロン
プトが表示されます。
356
[ 証明書名 ] に、「my-fwd-untrust」などの名前を入力し
ます。
3.
[ 共通名 ] を、たとえば「192.168.2.1」に設定します。
[ 署名者 ] は空白のままにします。
4.
[ 認証局 ] チェック ボックスをオンにして、ファイア
ウォールが証明書を発行できるようにします。
5.
[ 生成 ] をクリックして証明書を生成します。
6.
[OK] をクリックして保存します。
7.
新 し い「my-ssl-fw-untrust」証 明 書 を ク リ ッ ク し て 変 更
し、[ フォワード アントラスト証明書 ] オプションを有
効にします。
注
8.
ステップ 4
証明書ページの下部にある [ 生成 ] をクリックします。
フォワード アントラスト証明書をクライアント シス
テムにインポートするためにエクスポートしないで
ください。フォワード トラスト証明書がクライアン
ト システム上にインポートされている場合、信頼さ
れない証明書を持つ SSL サイトにユーザーがアクセ
スしても証明書警告が表示されません。
[OK] をクリックして保存します。
(任意)復号プロファイルを 1.
作成します。
[Objects] > [ 復号プロファイル ] の順に選択し、[ 追加 ]
をクリックします。
復号プロファイルを復号ポリ 2.
シーに関連付けることによ
り、ファイアウォールは復号
化するトラフィックのさまざ
まな状況をブロックおよび制
御できます。SSL フォワード
プロキシ復号プロファイルを 3.
使 用 す る と、サ ー バ ー 証 明
書、サ ポ ー ト さ れ て い な い
モード、および障害のチェッ
クを実行し、それに基づいて
トラフィックをブロックまた
は制限できます。実行できる
チェックの完全なリストにつ
いては、ファイアウォールで
[Objects] > [ 復号プロファイル ]
の順に選択し、ヘルプ アイコ
ンをクリックします。
[SSL フォワード プロキシ ] タブを選択し、特定の状況
の SSL トンネル トラフィックをブロックおよび制御し
ます。たとえば、[リソースを使用できない場合にセッ
ションをブロック ] を選択することにより、システム
リソースが復号化の処理に使用できない場合にセッ
ションを終了することを選択できます。
[OK] をクリックしてプロファイルを保存します。
復号化
SSL フォワード プロキシの設定
復号化
SSL フォワード プロキシの設定(続き)
ステップ 5
復号ポリシーを設定します。
1.
[Policies] > [ 復号 ] の順に選択し、[ 追加 ] をクリック
します。
2.
[全般 ] タブの [ 名前 ] に分かりやすい名前を入力します。
3.
[ 送信元 ] タブおよび [ 宛先 ] タブで、[ 送信元ゾーン ]
および [ 宛先ゾーン ] に [ いずれか ] を選択すると、外
部サーバーを宛先とするすべての SSL トラフィックを
復号化します。特定の送信元または宛先を指定してト
ラフィックを復号化するには、[ 追加 ] をクリックし
ます。
4.
[URL カテゴリ ] タブで、[ いずれか ] のままにすると、
すべてのトラフィックを復号化します。このプロファ
イルを特定の Web サイト カテゴリに適用するには、
[ 追加 ] をクリックします。
注
ステップ 6
復号化
設定をコミットします。
特定のサイトを復号化から除外する場合、URL カテゴ
リの選択が役立ちます。「復号化の例外の設定」を
参照してください。
5.
[ オプション ] タブで、[ 復号 ] を選択し、実行する復
号化の [ タイプ ] として [SSL フォワード プロキシ ] を
選択します。
6.
(任意)復号化されたトラフィックに追加の設定を
適用するには、[ 復号プロファイル ] を選択します(ス
テップ 4 参照)。
7.
[OK] をクリックして保存します。
SSL フォワード プロキシ復号ポリシーが有効になっている
場合、ポリシーによって識別されるすべてのトラフィック
が復号化されます。復号化されたトラフィックは、ファイ
アウォール上で設定されているプロファイル(ポリシーに
関連付けられている復号プロファイルや、アンチウイル
ス、脆弱性、アンチスパイウェア、URL フィルタリング、
および ファイルブロッキング プロファイルなど)に基づ
いてブロックおよび制限されます。トラフィックは、ファ
イアウォールを出るときに再暗号化されます。
357
SSL インバウンド インスペクションの設定
復号化
SSL インバウンド インスペクションの設定
SSL インバウンド インスペクションを設定するには、ターゲット サーバーの証明書をファイア
ウォールにインストールし、SSL インバウンド インスペクション復号ポリシーを作成します。
以下のタスクを使用して SSL インバウンド インスペクションを設定します。
SSL インバウンド インスペクションの設定
ステップ 1
適切なインターフェイスが
バーチャル ワイヤー、レイヤー
2、またはレイヤー 3 インター
フェイスのいずれかとして
設定されていることを確認
します。
[Network] > [ インターフェイス ] > [Ethernet] タブで設定
されているインターフェイスを確認します。[ インター
フェイス タイプ ] 列にはインターフェイスが [ バーチャル
ワイヤー]、[ レイヤー 2]、または [ レイヤー 3] インター
フェイスとして設定されているかが表示されます。イン
ターフェイスを選択して、インターフェイスのタイプなど
の設定を変更できます。
ステップ 2
ターゲット サーバーの証明書
がファイアウォールにインス
トールされていることを確認
します。
Web インターフェイスで、[Device] > [ 証明書の管理 ] > [ 証
明書 ] > [ デバイス証明書 ] の順に選択すると、ファイア
ウォール上にインストールされている証明書が表示され
ます。
ターゲット サーバーの証明書をファイアウォールにイン
ポートするには、以下の手順を実行します。
1. [デバイス証明書] タブで、[インポート] を選択します。
ステップ 3
358
2.
分かりやすい名前を [ 証明書名 ] に入力します。
3.
[証明書ファイル] で、ターゲット サーバーの証明書ファ
イルを参照し、選択します。
4.
[OK] をクリックします。
(任意)復号プロファイルを 1.
作成します。
[Objects] > [ 復号プロファイル ] の順に選択し、[ 追加 ]
をクリックします。
復号プロファイルを復号ポリ 2.
シーに関連付けることによ
り、ファイアウォールは復号
化するトラフィックのさまざ
まな状況をブロックおよび制
御できます。SSL インバウン
ド インスペクション復号プロ 3.
フ ァ イ ル を 使 用 す る と、サ
ポートされていないモードお
よび障害のチェックを実行
し、そ れ に 基 づ い て ト ラ
フィックをブロックまたは制
限 で き ま す。実 行 で き る
チェックの完全なリストにつ
いては、[Objects] > [ 復号プロ
ファイル ] の順に選択し、ヘ
ルプ アイコンをクリックし
ます。
[SSL インバウンド インスペクション ] タブを選択し、
特定の状況の SSL トラフィックをブロックおよび制御
します。たとえば、[ リソースを使用できない場合に
セッションをブロック ] を選択することにより、シス
テム リソースが復号化の処理に使用できない場合に
セッションを終了することを選択できます。
[OK] をクリックしてプロファイルを保存します。
復号化
SSL インバウンド インスペクションの設定
復号化
SSL インバウンド インスペクションの設定(続き)
ステップ 4
復号ポリシーを設定します。
1.
[Policies] > [ 復号 ] の順に選択し、[ 追加 ] をクリック
します。
2.
[ 全般 ] タブの [ 名前 ] に分かりやすい名前を入力し
ます。
3.
[ 宛先 ] タブで、ターゲット サーバーの [ 宛先アドレス ]
を [ 追加 ] します。
4.
[URL カテゴリ ] タブで、[ いずれか ] のままにすると、
すべてのトラフィックを復号化します。このプロファ
イルを特定の Web サイト カテゴリに適用するには、
[ 追加 ] をクリックします。
注
5.
特定のサイトを復号化から除外する場合、URL カテゴ
リの選択が役立ちます。「復号化の例外の設定」を
参照してください。
[ オプション ] タブで、[ 復号 ] を選択し、実行する復
号化の [ タイプ ] として [SSL インバウンド インスペク
ション ] を選択します。
インバウンド SSL トラフィックの宛先となる内部サー
バーの [ 証明書 ] を選択します。
ステップ 5
復号化
設定をコミットします。
6.
(任意)復号化されたトラフィックに追加の設定を
適用するには、[ 復号プロファイル ] を選択します(ス
テップ 4 参照)。
7.
[OK] をクリックして保存します。
SSL インバウンド インスペクション復号ポリシーが有効に
なっている場合、ポリシーによって識別されるすべての
SSL トラフィックが復号化され、検査されます。復号化さ
れたトラフィックは、ファイアウォール上で設定されてい
るプロファイル(ポリシーに関連付けられている復号プロ
ファイルや、アンチウイルス、脆弱性、アンチスパイウェ
ア、URL フィルタリング、および ファイルブロッキング
プロファイルなど)に基づいてブロックおよび制限されま
す。トラフィックは、ファイアウォールを出るときに再暗
号化されます。
359
SSH プロキシの設定
復号化
SSH プロキシの設定
SSH プロキシの設定には証明書は必要なく、SSH セッションの復号化に使用されるキーはファ
イアウォールの起動中に自動的に生成されます。
以下のタスクを使用して SSH プロキシ復号化を設定します。
SSH プロキシ復号化の設定
ステップ 1
適切なインターフェイスが
バーチャル ワイヤーまたはレ
イヤー 3 インターフェイスとし
て設定されていることを確認
します。復号化は、バーチャ
ル ワイヤー、レイヤー 2、また
はレイヤー 3 インターフェイス
のみで実行できます。
ステップ 2
(任意)復号プロファイルを 1.
作成します。
[Objects] > [ 復号プロファイル ] の順に選択し、[ 追加 ]
をクリックします。
復号プロファイルを復号ポリ 2.
シーに関連付けることによ
り、ファイアウォールは復号
化するトラフィックのさまざ
まな状況をブロックおよび制
御できます。復号プロファイ
ルを使用すると、サーバー証 3.
明書、サポートされていない
モード、および障害のチェッ
クを実行し、それに基づいて
トラフィックをブロックまた
は制限できます。実行できる
チェックの完全なリストにつ
いては、ファイアウォールで
[Objects] > [ 復号プロファイル ]
の順に選択し、ヘルプ アイコ
ンをクリックします。
[SSH] タブを選択し、特定の状況の SSH トンネル トラ
フィックをブロックおよび制御します。たとえば、[リ
ソースを使用できない場合にセッションをブロック ]
を選択することにより、システム リソースが復号化の
処理に使用できない場合にセッションを終了すること
を選択できます。
360
[Network] > [ インターフェイス ] > [Ethernet] タブで設定
されているインターフェイスを確認します。[ インターフェ
イス タイプ ] 列にはインターフェイスが [ バーチャル ワイ
ヤー]、[ レイヤー 2]、または [ レイヤー 3] インターフェイ
スとして設定されているかが表示されます。インターフェ
イスを選択して、インターフェイスのタイプなどの設定を
変更できます。
[OK] をクリックしてプロファイルを保存します。
復号化
SSH プロキシの設定
復号化
SSH プロキシ復号化の設定(続き)
ステップ 3
ステップ 4
復号化
復号ポリシーを設定します。
設定をコミットします。
1.
[Policies] > [ 復号 ] の順に選択し、[ 追加 ] をクリックし
ます。
2.
[ 全般 ] タブの [ 名前 ] に分かりやすい名前を入力し
ます。
3.
[ 送信元 ] タブおよび [ 宛先 ] タブで、[ いずれか ] を選
択するとすべての SSH トラフィックを復号化します。
4.
[URL カテゴリ ] タブで、[ いずれか ] を選択すると、す
べての SSH トラフィックを復号化します。
5.
[ オプション ] タブで、[ 復号 ] を選択し、復号化する
トラフィックの [ タイプ ] として [SSH プロキシ ] を選
択します。
6.
(任意)復号化されたトラフィックに追加の設定を
適用するには、[ 復号プロファイル ] を選択します(ス
テップ 3 参照)。
7.
[OK] をクリックして保存します。
SSH プロキシ復号ポリシーが有効になっている場合、ポリ
シーによって識別されるすべての SSH トラフィックが復号
化され、通常 SSH トラフィックまたは SSH トンネル トラ
フィックとして識別されます。SSH トンネル トラフィック
は、ファイアウォールで設定されたプロファイルに基づい
てブロックおよび制限されます。トラフィックは、ファイ
アウォールを出るときに再暗号化されます。
361
復号化の例外の設定
復号化
復号化の例外の設定
アプリケーション、トラフィックの送信元や宛先、または URL カテゴリなどの一致条件に基づ
いて復号化からトラフィックを意図的に除外できます。また、特定のサーバーのトラフィック
を復号化から除外することもできます。復号化の例外を設定するには、以下のトピックを参照
してください。

復号化からのトラフィックの除外

復号化からのサーバーの除外
復号化からのトラフィックの除外
アプリケーションや特定のトラフィックを意図的にその他の既存の SSL または SSH 復号ポリ
シーから除外するには、新しい復号ポリシーを作成し、復号化から除外するトラフィックを定
義してポリシー内で [ 復号なし ] アクションを選択します。アプリケーション、送信元、宛先、
または URL カテゴリなどの一致条件に基づくポリシーベースで除外するトラフィックを定義で
きます。復号化からトラフィックを除外する復号ポリシーは、復号ポリシー リストの中で他の
復号ポリシーよりも上になるようにドラッグアンドドロップして、必ずリストの先頭になるよ
うにしてください。
SSL または SSH 復号化からトラフィックを除外する復号ポリシーを設定するには、以下の手順
を参照してください。
復号ポリシーからのトラフィックの除外
ステップ 1
復号ポリシーを作成します。
1.
復号ポリシーを使用して、ト
ラフィックの送信元ゾーンお 2.
よび宛先ゾーンまたはアドレ
スおよび URL カテゴリに基づ 3.
いて復号からトラフィックを
除外します。この例では、金
融または医療関連と分類され
る ト ラ フ ィ ッ ク を SSL フ ォ 4.
ワード プロキシ復号化から除
外する方法を示します。
362
[Policies] > [ 復号 ] の順に選択し、[ 追加 ] をクリック
します。
[ 名前 ] に、ポリシーの分かりやすい名前(たとえば
No-Decrypt-Finance-Health など)を入力します。
[ 送信元 ] タブおよび [ 宛先 ] タブで、[ 送信元ゾーン ]
および [ 宛先ゾーン ] に [ いずれか ] を選択すると、外
部サーバーを宛先とするすべての SSL トラフィックに
No-Decrypt-Finance-Health ルールが適用されます。
[URL カテゴリ ] タブで、[ 追加 ] をクリックして、
[financial-services] および [health-and-medicine] の URL カ
テゴリをポリシーに追加し、これらのカテゴリに一致
したトラフィックは復号化しないように指定します。
5.
[ オプション ] タブで、[ 復号なし ] を選択し、トラ
フィックを除外する復号ポリシーの [ タイプ ] を選択し
ます。たとえば、金融または医療に分類されるトラ
フィックを、個別に設定された SSL フォワード プロキ
シ復号ポリシーから除外するには、[タイプ ] に [SSL
フォワード プロキシ ] を選択します。
6.
[OK] をクリックして No-Decrypt-Finance-Health 復号ポリ
シーを保存します。
復号化
復号化
復号化の例外の設定
復号ポリシーからのトラフィックの除外(続き)
ステップ 2
復号ポリシーを復号ポリシー [Policies] > [ 復号 ] ページで、No-Decrypt-Finance-Health ポリ
リストの先頭に移動します。 シーを選択し、リストの先頭に表示されるまで [ 上へ ] を
クリックします(またはドラッグアンドドロップすること
もできます)。
復号ポリシーは、リストされている順にネットワーク トラ
フィックに適用されます。[ 復号なし ] アクションを適用し
たポリシーをリストの先頭に移動することにより、指定し
たトラフィックが設定されている他のポリシーに基づいて
復号化されないようになります。
ステップ 3
設定をコミットします。
[ 復号なし ] を有効にした復号ポリシーにより、指定された
トラフィックがファイアウォールを通過するときに暗号化
されたままになり、[Policies] > [ 復号 ] ページで設定およ
びリストされている他の復号ポリシーに基づいて復号化さ
れないようになります。
復号化からのサーバーの除外
サーバーの証明書の共通名(CN)に基づいてターゲット サーバーのトラフィックを SSL 復号化
から除外できます。たとえば、SSL 復号化を有効にしている場合に、企業ネットワーク上で HR
システムの Web サービスをホストするサーバーに復号化の例外を設定できます。ターゲット
サーバーのトラフィックが復号化から除外されるようにサーバーの証明書を設定、変更するに
は、以下の手順を参照してください。
復号化からのサーバーの除外
ステップ 1
ターゲット サーバーの証明書をファイアウォールにインポートします。
1. [Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス証明書 ] タブで、[ インポート ] を
選択します。
2. 分かりやすい名前を [ 証明書名 ] に入力します。
3. [ 証明書ファイル ] で、ターゲット サーバーの証明書ファイルを参照し、選択します。
4. [OK] をクリックします。
ステップ 2
[ デバイス証明書 ] タブで、ターゲット サーバーの証明書を選択し、SSL 除外証明書とし
て有効にします。
ターゲット サーバーの証明書がファイアウォールにインポートされ、SSL 除外証明書に指
定されている場合、サーバーのトラフィックはファイアウォール通過時に復号化されま
せん。
復号化
363
復号ポート ミラーリングの設定
復号化
復号ポート ミラーリングの設定
復号ポート ミラーリングを有効にする前に、復号ポート ミラー ライセンスを取得し、インス
トールする必要があります。ライセンスは無料で、以下の手順によってサポート ポータルから
アクティベーションできます。復号ポート ミラー ライセンスをインストールしてファイア
ウォールを再起動した後、復号ポート ミラーリングを有効にできます。復号ポート ミラーリン
グを有効にするには、復号化されたトラフィックの転送を有効にし、復号ミラー インターフェ
イスを設定します。その後、インターフェイスを指定する復号プロファイルを作成し、それを
復号ポリシーに関連付けます。復号ポート ミラーリングの実装についての詳細は、「復号ポー
ト ミラーリング」を参照してください。
復号ポート ミラー ライセンスを取得してインストールし、復号ポート ミラーリングを設定す
るには、以下の手順を使用します。
復号ポート ミラーリングの設定
ステップ 1
364
復号ポート ミラーリングを有 1.
効にするデバイスごとにライ
センスを要求します。
Palo Alto Networks のサポート Web サイトからサポート
ポ ー タ ル(https://support.paloaltonetworks.com)にロ グ
インし、[Assets(アセット)] タブに移動します。
2.
ライセンスを取得するデバイスのデバイス エントリを
選択し、[Actions(アクション)] を選択します。
3.
[Decryption Port Mirror(復号ポート ミラー)] を選択
します。法的通知が表示されます。
4.
潜在的な法的意味および要件を十分理解した上で、
[I understand and wish to proceed(理解しました。続
行します。)] をクリックします。
5.
[Activate(アクティベーション)] をクリックします。
復号化
復号化
復号ポート ミラーリングの設定
復号ポート ミラーリングの設定(続き)
ステップ 2
ステップ 3
復号ポート ミラー ライセンス 1.
をファイアウォールにインス
トールします。
2.
ファイアウォールの Web インターフェイスから、
[Device] > [ ライセンス ] の順に選択します。
[ ライセンス サーバーからライセンス キーを取得 ] をク
リックします。
3.
ライセンスがファイアウォール上でアクティベーショ
ンされていることを確認します。
4.
ファイアウォールを再起動します([Device] > [ セット
アップ ] > [ 操作 ])。この機能は、PAN-OS を再ロード
するまで設定できません。
復号化されたトラフィックを 仮想システムが 1 つのファイアウォールの場合 :
ミラーリングする機能を有効 1. [Device] > [ セットアップ ] > [ コンテンツ ID] の順に選
にします。この手順を実行す
択します。
るにはスーパーユーザーの権 2. [ 復号化されたコンテンツの転送を許可 ] チェック ボッ
限が必要です。
クスをオンにします。
3.
[OK] をクリックして保存します。
仮想システムが複数あるファイアウォールの場合 :
1. [Device] > [ 仮想システム ] の順に選択します。
ステップ 4
2.
編集する仮想システムを選択するか、または [ 追加 ] を
選択して新しい仮想システムを作成します。
3.
[ 復号化されたコンテンツの転送を許可 ] チェック ボッ
クスをオンにします。
4.
[OK] をクリックして保存します。
復号ミラー インターフェイス 1.
を設定します。
[Network] > [ インターフェイス ] > [Ethernet] の順に
選択します。
2.
復号ポート ミラーリング用に設定する Ethernet インター
フェイスを選択します。
3.
[ インターフェイス タイプ ] に [ ミラーの復号化 ] を選
択します。
このインターフェイス タイプは復号ポート ミラー ラ
イセンスがインストールされている場合のみ表示され
ます。
4.
復号化
[OK] をクリックして保存します。
365
復号ポート ミラーリングの設定
復号化
復号ポート ミラーリングの設定(続き)
ステップ 5
復号プロファイルを設定して 1.
復号ポートミラーリングを有 2.
効にします。
[Objects] > [ 復号プロファイル ] の順に選択します。
[ 復号化ミラーリング ] に使用する [ インターフェイス ]
を選択します。
[ インターフェイス ] ドロップダウンには [ ミラーの復号
化] と定義されたすべての Ethernet インターフェイスが
含まれています。
3.
復号化されたトラフィックをポリシー適用の前または
後のどちらにミラーリングするかを指定します。
デフォルトでは、ファイアウォールは、インターフェ
イスへのすべての復号化されたトラフィックをセキュ
リティ ポリシー検索の前にミラーリングします。これ
により、イベントを再生して脅威を生成したりドロッ
プ アクションのトリガーとなったトラフィックを分析
できます。セキュリティ ポリシー適用の後の復号化さ
れたトラフィックをミラーリングするには、[ 転送のみ ]
チェック ボックスをオンにします。このオプションを
指定すると、ファイアウォール内を転送されたトラ
フィックのみがミラーリングされます。このオプショ
ンは、復号化されたトラフィックを他の脅威検出デバ
イス(DLP デバイスや他の侵入防止システム(IPS)
など)に転送する場合に役立ちます。
4.
ステップ 6
ステップ 7
366
復号ポート ミラーリングの復 1.
号ポリシーを設定します。
2.
設定を保存します。
[OK] をクリックして復号プロファイルを保存します。
[Policies] > [ 復号 ] の順に選択します。
[ 追加 ] をクリックして復号ポリシーを設定するか、ま
たは既存の復号ポリシーを選択して編集します。
3.
[オプション] タブで、[復号] を選択し、ステップ 4 で
作成した [ 復号プロファイル ] を選択します。
4.
[OK] をクリックしてポリシーを保存します。
[Commit] をクリックします。
復号化
URL フィルタリング
Palo Alto Networks URL フィルタリング ソリューションは強力な PAN-OS 機能であり、ユーザー
が HTTP および HTTPS を介して Web にアクセスする方法を監視および制御するために使用され
ます。以下のトピックでは、URL フィルタリングの概要、設定およびトラブルシューティング
の情報、この機能を最大限に活用するためのベスト プラクティスについて説明します。

URL フィルタリングの概要

URL フィルタリング コンポーネントおよびワークフロー

URL フィルタリングの設定

URL フィルタリングのユース ケースの例

URL フィルタリングのトラブルシューティング
URL フィルタリング
367
URL フィルタリングの概要
URL フィルタリング
URL フィルタリングの概要
Palo Alto Networks の URL フィルタリング機能は、Web(HTTP および HTTPS)トラフィックへ
のアクセスを識別および制御するようにユーザーがファイアウォールを設定できるようにする
ことで、App-ID 機能を補う機能です。セキュリティ ポリシーで URL フィルタリング プロファ
イルを実装し、ポリシーの一致条件として URL カテゴリ([ キャプティブ ポータル ]、[ 復号 ]、
[ セキュリティ]、および [QoS])を使用することにより、ファイアウォールを通過するトラ
フィックを詳細に把握して制御したり、Web への安全なユーザー アクセスを可能にして制御し
たりすることができます。
以下のトピックでは、URL フィルタリング コンポーネントと、Palo Alto Networks ファイア
ウォールで URL フィルタリング コンポーネントを使用する方法を説明します。

URL フィルタリングの仕組み

App-ID および URL カテゴリ間の相互作用

カテゴリ ベースの URL 制御

URL フィルタリング プロファイル

ポリシーで URL カテゴリを一致条件として使用する方法

URL フィルタリング コンポーネントおよびワークフロー
URL フィルタリングの仕組み
Palo Alto Networks URL フィルタリング ソリューションでは、URL フィルタリング データベース
を活用します。このデータベースには数百万の Web サイトが含まれており、各 Web サイトは約
60 種類のカテゴリの 1 つに分類されています。次に、これらのカテゴリのリストを含む URL
フィルタリング プロファイルが、内部ユーザーからインターネットへの Web トラフィック
(HTTP/HTTPS)を許可するセキュリティ ポリシーに適用されます。URL フィルタリング プロ
ファイルを適用して、カテゴリにアラート アクションまたはブロック アクションが設定される
と、ユーザーがアクセスする Web サイトを詳細に把握できるようになり、許可、ブロックまた
はログを記録する必要がある Web サイトまたは Web カテゴリを特定することができます。常に
ブロックまたは許可する URL のリストを URL フィルタリング プロファイルで定義することも
できます。また、URL のリストを含むカスタム URL カテゴリを作成できます。このリストは、
デフォルトのカテゴリ リストと同じように使用できます。これらの同じ URL カテゴリは、キャ
プティブ ポータル、復号、および QoS など、他のポリシーで一致条件として使用することもで
きます。
Palo Alto Networks ファイアウォールでは、URL フィルタリングで以下の 2 つのベンダーをサ
ポートしています。

PAN-DB — PAN-OS と緊密に統合されている Palo Alto Networks が開発した URL フィルタリン
グ データベース。高パフォーマンスのローカル キャシングを活用して、URL 検索において
最大のインライン パフォーマンスを実現すると同時に、分散クラウド アーキテクチャによ
り最新の Web サイト も網羅します。
368
URL フィルタリング
URL フィルタリング

URL フィルタリングの概要
BrightCloud — Webroot, Inc. が所有するサードパーティ URL データベース。PAN-OS ファイア
ウォールに統合されます。BrightCloud URL データベースの詳細は、http://brightcloud.com に
アクセスしてください。
App-ID および URL カテゴリ間の相互作用
Palo Alto Networks の URL フィルタリング機能は App-ID 機能と併用することで、法律、規制、生
産性およびリソース使用状況のそれぞれに関するリスク全般に対してこれまでにない保護が提
供されます。App-ID ではアプリケーション ユーザーがアクセスできる対象を制御することが可
能で、URL フィルタリングでは関連する Web アクティビティを制御できます。User-ID と併用
すると、これらの制御をユーザーおよびグループに基づいて適用することもできます。
現在のアプリケーションを取り巻く状況や、多くのアプリケーションによる HTTP および
HTTPS の使用状況を考慮し、包括的な Web アクセス ポリシーを定義するため、状況に応じて
App-ID と URL フィルタリングを的確に活用する必要があります。App-ID シグネチャが存在す
るときは、ほとんどの場合、App-ID を使用してアプリケーション レベルでコンテンツを制御す
ることをお勧めします。たとえば、URL フィルタリングを使用すると Facebook または LinkedIn、
あるいはその両方へのアクセスを制御できますが、この場合、電子メール、チャットなどの関
連アプリケーション、およびポリシーを実装後に導入される新しいアプリケーションの使用は
ブロックされません。
URL フィルタリングと App-ID の両方を使用する必要がある場合もありますが、複数のポリ
シーで競合が発生しないようにするため、これらの機能がどのように連携しているかを把握す
ることが重要です。Palo Alto Networks では、多くのアプリケーションのシグネチャが生成され
ます。それらのシグネチャは、Web ベース アプリケーション内のさまざまな機能に関して極め
て細かく設定できます。一方、URL フィルタリングは特定の Web サイトまたは URL カテゴリに
基づいてのみアクションを適用します。たとえば、通常はソーシャル ネットワーキング サイト
をブロックするが、そのカテゴリのいくつかのサイトへのアクセスを特定の部門に許可し、さ
らに許可されたユーザーが使用できる Web サイトの機能を制御する場合などがあります。詳細
は、「URL フィルタリングのユース ケースの例」を参照してください。
カテゴリ ベースの URL 制御
URL フィルタリング データベースで定義されている各 Web サイトは、約 60 種類のカテゴリの
1 つに割り当てられます。これらのカテゴリを URL フィルタリング プロファイルで使用して、
カテゴリに基づいてアクセスをブロックまたは許可することができます。または、ポリシーで
一致条件としてカテゴリを使用するようにファイアウォールを設定することができます。たと
えば、すべてのゲーム Web サイトをブロックするには、URL フィルタリング プロファイルで、
games という URL カテゴリに対してブロック アクションを設定します。URL カテゴリをポリ
シーの一致条件として使用する例としては、QoS ポリシーで streaming-media という URL カテゴリ
を使用して、ストリーミング メディアとして分類されているすべての Web サイトに対して帯域
幅の制御を適用する場合などがあります。
URL フィルタリング
369
URL フィルタリングの概要
URL フィルタリング
Web サイトをカテゴリにグループ分類することで、Web サイトの特定のタイプに基づいたアク
ションをより簡単に定義できます。標準の URL カテゴリの他に、以下の 3 つの追加カテゴリが
あります。

not-resolved — Web サイトがローカル URL フィルタリング データベースで見つからず、ファ
イアウォールがカテゴリを確認するためにクラウド データベースに接続できなかったことを
示します。URL カテゴリ検索を実行する場合、ファイアウォールでは、まず、その URL の
データプレーン キャッシュを確認します。一致がない場合、管理プレーン キャッシュを確
認し、そこにも一致がない場合は、クラウドの URL データベースにクエリを実行します。
not-resolved として分類されているトラフィックに対して実行するアクションを決定する場合、
このアクションをブロックに設定すると、ユーザー操作を大幅に妨げることになる可能性が
あります。
検索に関する問題のトラブルシューティングの詳細は、「URL フィルタリングのトラブル
シューティング」を参照してください。

private-ip-addresses — Web サイトが単一のドメイン(サブドメインを含まない)であり、そ
の IP アドレスがプライベート IP の範囲内にあるか、クラウドでその URL ルート ドメインが
不明であることを示します。

unknown — Web サイトが分類されていないため、その Web サイトがファイアウォールの URL
フィルタリング データベースまたは URL クラウドのデータベースに存在しません。
unknown として分類されているトラフィックに対して実行するアクションを決定する場合、
このアクションをブロックに設定すると、URL データベースにまだ含まれていない有効なサ
イトが大量にある可能性があるため、ユーザー操作を大幅に妨げることになる可能性があり
ます。極めて厳しいポリシーが必要な場合は、URL データベースに存在しない Web サイトに
はアクセスできないように、このカテゴリをブロックすることができます。
URL フィルタリング プロファイル
URL フィルタリング プロファイルは、Web アクセス ポリシーを実装するために個々のセキュリ
ティ ポリシーに適用される URL フィルタリング コントロールの集合です。ファイアウォール
には、既知のマルウェア サイト、フィッシング サイト、アダルト コンテンツ サイトなどの
Web サイトをブロックするように設定されているデフォルト プロファイルが付属しています。
このデフォルト プロファイルは、セキュリティ ポリシーで使用したり、コピーして新しい URL
フィルタリング プロファイルを作成するときに利用したりできます。また、ネットワーク上の
トラフィックを可視化できるように、すべてのカテゴリを許可に設定する新しい URL プロファ
イルを追加することもできます。新しく追加されたこの URL プロファイルをカスタマイズし
て、常にブロックまたは許可する必要のある特定の Web サイトのリストを追加できます。これ
により、URL カテゴリをより細かく制御することができます。たとえば、ソーシャル ネット
ワーキング サイトをブロックするが、ソーシャル ネットワーキングのカテゴリに含まれる一部
の Web サイトを許可する場合などです。
370
URL フィルタリング
URL フィルタリング
URL フィルタリングの概要
以下のセクションでは、URL フィルタリング プロファイルの適用方法と定義可能なさまざまな
オプションを説明します。

URL フィルタリング アクション

ブロック リストおよび許可リストの使用方法

セーフ サーチの適用

コンテナ ページのログ記録について
URL フィルタリング アクション
各 URL フィルタリング カテゴリは、以下のアクションを実行するように設定できます。
動作
説明
アラート
Web サイトが許可され、URL フィルタリング ログにログ エントリが生成
されます。
許可
Web サイトが許可され、ログ エントリは生成されません。
ブロック
Web サイトがブロックされ、応答ページが表示されます。Web サイトへの
アクセスを続行することはできません。URL フィルタリング ログでログ
エントリが生成されます。
続行
会社のポリシーによりサイトがブロックされたことを示す応答ページが表
示され、Web サイトへのアクセスを続行するオプションが表示されます。
続行アクションは、通常、無害とみなされるカテゴリで使用され、ユー
ザーがサイトが正しく分類されていないと感じる場合に、操作を続行する
ためのオプションを提供することで、ユーザーの操作性を向上させるため
に使用されます。応答ページのメッセージをカスタマイズして、自社専用
の詳細情報を含めることができます。URL フィルタリング ログでログ エ
ントリが生成されます。
注
オーバーライド
特定のカテゴリの Web サイトへのアクセスを許可するためにパスワード
が必要であることを示す応答ページが表示されます。このオプションを使
用して、セキュリティ管理者またはヘルプデスク担当者は、特定のカテゴ
リのすべての Web サイトに一時的なアクセスを付与するパスワードを提
供します。URL フィルタリング ログでログ エントリが生成されます。
注
URL フィルタリング
プロキシ サーバーを使用するように設定されているクライアント マ
シンでは、続行ページは正しく表示されません。
プロキシ サーバーを使用するように設定されているクライアント マ
シンでは、オーバーライド ページは正しく表示されません。
371
URL フィルタリングの概要
URL フィルタリング
ブロック リストおよび許可リストの使用方法
ブロック リストおよび許可リストを使用すると、URL カテゴリで定義されているアクションに
かかわらず、常に許可または常にブロックされる特定の URL または IP アドレスを URL フィル
タリング プロファイルで定義できます。[ ブロック リスト ] または [ 許可リスト ] に URL を入
力するときは、各 URL または IP アドレスは、1 行ごとに改行で区切って入力します。URL でワ
イルドカードを使用する場合は、以下のルールに従います。

URL を定義するときは、HTTP や HTTPS を含めないでください。たとえば、
https://www.paloaltonetworks.com ではなく、www.paloaltonetworks.com または
paloaltonetworks.com と入力します。

ブロック リストのエントリは、完全一致である必要があり、大文字と小文字は区別されま
せん。
たとえば、ドメイン paloaltonetworks.com 内の Web サイトにアクセスできないようにする場合は、
*.paloaltonetworks.com も追加し、アドレスにどのようなドメインのプレフィックス(http://、
www、または mail.paloaltonetworks.com などのサブドメインのプレフィックス)が追加された
場合でも、指定のアクションが実行されるようにします。同じことがサブドメインのサ
フィックスにも該当します。paloaltonetworks.com/en/US をブロックする必要がある場合は、
paloaltonetworks.com/* も追加する必要があります。
ブロック リストと許可リストではワイルドカード パターンがサポートされます。以下の文
字は区切り文字とみなされます。
.
/
?
&
=
;
+
上記の文字で区切られた部分文字列はそれぞれトークンとみなされます。区切り文字が含ま
れていない任意の長さの ASCII 文字、または「*」です。たとえば、以下のパターンは有効
です。
*.yahoo.com(トークンは「*」、「yahoo」、および「com」)
www.*.com(トークンは「www」、「*」、および「com」)
www.yahoo.com/search=*(ト ー ク ン は「www」、「yahoo」、「com」、「search」、お よ び
「*」)
以下のパターンでは、「*」がトークンの唯一の文字でないため無効です。
ww*.yahoo.com
www.y*.com
372
URL フィルタリング
URL フィルタリング
URL フィルタリングの概要
セーフ サーチの適用
[ セーフ サーチを適用 ] は URL フィルタリング プロファイルで有効にできるオプションです。
このオプションを使用すると、3 大検索プロバイダ(Google、Bing、Yahoo)のいずれかを使用
してインターネットを検索するユーザーには、ブラウザまたはユーザー アカウントで検索プロ
バイダに対して高い(厳密)セーフ サーチ オプションが設定されていない限り、検索結果が表
示されません。高い(厳密)セーフ サーチ設定は、検索プロバイダが検索結果にアダルト コン
テンツを表示しないようにするために使用します。これは、ベスト エフォート設定であり、す
べての Web サイトで機能することを検索プロバイダが保証しているわけではありません。
[ セーフ サーチを適用 ] がファイアウォールで有効になっており、高い(厳密)セーフ サーチ オ
プションがブラウザまたは検索プロバイダ アカウントで設定されていない場合に、ユーザーが
検索を実行すると、高い(厳密)サーチを設定する必要があることを示すブロック ページが表
示されます。また、ブロック ページでは、ブラウザのセーフ サーチ設定ページにユーザーを移
動させるリンクも表示されます。高い(厳密)セーフ サーチ オプションを設定すると、再度検
索結果を表示することができます。
セーフ サーチ設定は以下のいずれかまたは両方の方法で設定できます。

アカウントの設定 — 検索プロバイダにログインして、高い(厳密)サーチを設定すると、任
意のコンピュータまたは任意のブラウザを使用することができます。検索プロバイダ サイト
にログインしている間は、高い(厳密)設定が適用されます。たとえば、bing.com にログイ
ンして、高い(厳密)セーフ サーチを設定すると、どのコンピュータまたはブラウザを使用
して bing.com にログインしても、高い(厳密)設定が設定されます。

ブラウザの設定 — 検索プロバイダ サイトにログインしない場合、検索プロバイダに接続す
るために使用するブラウザごとに高い(厳密)サーチ設定を行う必要があります。
ユーザーが検索プロバイダ サイトにログインする場合、接続は SSL 経由で行われます。そのた
め、[ セーフ サーチを適用 ] を機能させるためにファイアウォールで復号化を有効にする必要が
あります。また、一部の検索プロバイダでは、現在、SSL 経由でのみ検索結果を表示します。
そのため、ユーザーがログインしていない場合でも、ファイアウォールで復号化を設定する必
要があります。
Yahoo アカウントにログイン中に Yahoo Japan(yahoo.co.jp)で検索を実行する場合は、検索
設定のロック オプションも有効にする必要があります。
これら 3 つのプロバイダ内のセーフ サーチ設定を検出するファイアウォールの機能は、[ アプリ
ケーションおよび脅威 ] のシグネチャを使用して更新されます。Palo Alto Networks が設定の検出
に使用するセーフ サーチ設定方法を検索プロバイダが変更する場合、または、新しい検索プロ
バイダのサポートを追加する場合、このシグネチャへの更新が実行されます。サイトが安全か
どうかを判定するのは、Palo Alto Networks ではなく各検索プロバイダです。[ セーフ サーチを適
用 ] オプションは、デフォルトでは無効になっています。また、この機能を使用するために
URL フィルタリング ライセンスは必要ではありません。
URL フィルタリング
373
URL フィルタリングの概要
URL フィルタリング
コンテナ ページのログ記録について
コンテナ ページは、Web サイトを訪れるときにユーザーがアクセスするメインのページです。
ただし、メインのページ内に追加の Web サイトがロードされる場合があります。[ コンテナ ペー
ジのみロギング ] オプションを URL フィルタリング プロファイルで有効にすると、メインのコ
ンテナ ページのみがログに記録されます。コンテナ ページ内にロードされる可能性のある後続
のページは記録されません。URL フィルタリングではログ エントリが多数生成される可能性が
あるため、要求されたページ ファイル名が特定の MIME タイプに一致する URI のみがログ エン
トリに格納されるように、このオプションを有効にすることをお勧めします。デフォルトの
セットには、以下の MIME タイプが含まれています。

application/pdf

application/soap+xml

application/xhtml+xml

text/html

text/plain

text/xml
[ コンテナページのみロギング ] オプションが有効になっている場合、アンチウイルスまたは
脆弱性防御によって検出される脅威に関連する URL ログ エントリが含まれない場合もあり
ます。
ポリシーで URL カテゴリを一致条件として使用する方法
URL カテゴリは、ポリシーでさらなる細分性を提供するために、ポリシーの一致条件として使
用することができます。たとえば、復号ポリシーを定義しているが、特定の Web サイトには、
復号をバイパスさせる必要があるとします。このためには、復号ポリシーに [ 復号なし ] アク
ションを設定して、ポリシー ルールの一致条件として URL カテゴリを定義し、指定したカテゴ
リに属する Web サイトへのトラフィック フローのみでポリシーが一致するようにします。
以下の表に、URL カテゴリを活用できるポリシーのタイプを示します。
ポリシーのタイプ
説明
キャプティブ ポータル
特定のカテゴリへのアクセスが許可される前に、ユーザーが確実に認証さ
れるようにするために、キャプティブ ポータル ポリシーを一致条件とし
て URL を関連付けることができます。
374
URL フィルタリング
URL フィルタリング
URL フィルタリングの概要
ポリシーのタイプ
説明
復号化
復号ポリシーでは、URL カテゴリを一致条件として使用して、指定の Web
サイトを復号化するかどうかを特定することができます。たとえば、2 つ
のゾーン間のすべてのトラフィックに対して復号アクションを設定した復
号ポリシーを使用している場合に、復号化してはならない financial-services、
health-and-medicine などの特定の Web サイトのカテゴリがあるとします。この
場合、復号ポリシーの前に実行される [ 復号なし ] アクションが設定され
た新しい復号ポリシーを作成し、ポリシーの一致条件として URL カテゴ
リのリストを定義します。これを実行することにより、復号なしポリシー
に含まれている各 URL カテゴリは復号化されません。また、カスタム
URL カテゴリを設定して、復号なしポリシーで使用する独自の URL リス
トを定義することもできます。
QoS
QoS ポリシーでは、URL カテゴリを使用して、特定の Web サイトのカテ
ゴ リ の ス ル ー プ ッ ト レ ベ ル を 特 定 す る こ と が で き ま す。た と え ば、
streaming-media カテゴリを許可するが、QoS ポリシーに一致条件として
URL カテゴリを追加することでスループットを制限できます。
セキュリティ
URL カテゴリをセキュリティ ポリシーで直接定義して [ サービス /URL カ
テゴリ ] タブの一致条件として使用したり、URL フィルタリング プロファ
イルを [ アクション ] タブで設定することができます。
たとえば、社内のセキュリティ部門は、hacking カテゴリにアクセスでき
る必要がありますが、その他すべてのユーザーはこれらのサイトにアクセ
スできないようにする必要があるとします。このためには、Web アクセス
に使用されるゾーン間でアクセスが許可されるセキュリティ ルールを作
成し、[ サービス /URL カテゴリ ] タブに hacking カテゴリを含め、ポリシー
の [ ユーザー] タブでセキュリティ部門を定義します。すべてのユーザーに
一般的な Web アクセスを許可するメインのセキュリティ ルールに、すべ
てのハッキング サイトをブロックする URL フィルタリング プロファイル
を含めます。hacking をブロックするポリシーの前に hacking へのアクセス
を許可するポリシーを配置します。この場合、セキュリティ部門に含まれ
るユーザーがハッキング サイトへのアクセスを試行すると、ポリシーは
アクセスを許可し、その後はルール処理が停止します。
セキュリティ ポリシーを作成するときに、ブロック ルールが処理の最後
ではなく、許可ルールが最後になることを理解することが重要です。ブ
ロック ルールを設定し、そのルールに一致するトラフィックがある場
合、ブロック ルールの後続の他のルールについて一致があるかどうかが
確認されます。処理の最後である許可ルールでは、ルールに一致するトラ
フィックがある場合、そのトラフィックが許可され、後続の他のルールは
確認されません。たとえば、すべてのユーザーに対して shopping カテゴリ
をブロックするように設定したブロック ルールがあるが、特定のユー
ザー グループには shopping を許可するルールもあるとします。この例で
は、許可されるグループのユーザーは、ほとんどの場合、すべてのユー
ザーが含まれるグループにも含まれています。このため、トラフィックに
一致があり、許可アクションが実行された後ルール処理が停止するよう
に、ブロック ルールの前の許可ルールをより具体的に設定することが推
奨されます。
URL フィルタリング
375
URL フィルタリング コンポーネントおよびワークフロー
URL フィルタリング
URL フィルタリング コンポーネントおよびワークフロー
このセクションでは、PAN-DB コンポーネントについて説明し、ファイアウォール経由でユー
ザーがさまざまな URL にアクセスする際に発生する URL 分類の解決ワークフローについて説
明します。

PAN-DB URL 分類コンポーネント

PAN-DB URL 分類ワークフロー
PAN-DB URL 分類コンポーネント
以下の表に、PAN-DB コンポーネントについて詳細に説明します。BrightCloud システムも同様
に機能しますが、初期シード データベースは使用しません。
コンポーネント
説明
URL フィルタリング シード
データベース
ファイアウォールにダウンロードされた初期シード データベースは Palo
Alto Networks URL のクラウド サーバーで保持されているデータベースの
ほんの一部です。これは、完全なデータベースには数百万の URL が含ま
れているものの、これらの URL の多くはユーザーによってまったくアク
セスされないためです。初期シード データベースをダウンロードすると
きは、地域(北米、ヨーロッパ、APAC、日本)を選択します。各地域に
はその特定の地域で最も多くアクセスされている URL のサブセットが含
まれています。これを実行することにより、ファイアウォールでは、はる
かに容量の小さい URL データベースを保存するため、検索パフォーマン
スが大幅に向上します。ローカル URL データベース内に含まれていない
Web サイトにユーザーがアクセスすると、完全なクラウド データベース
に対してクエリが実行され、ファイアウォールではローカル データベー
スにその新しい URL を追加します。つまり、ファイアウォール上のロー
カル データベースは、ユーザー アクティビティに基づいて継続的に入力 /
カスタマイズされます。PAN-DB シード データベースが再ダウンロードさ
れるか、または URL データベースのベンダーが PAN-DB から BrightCloud
に変更されると、ローカルのカスタマイズされた URL データベースはク
リアされます。
376
URL フィルタリング
URL フィルタリング
URL フィルタリング コンポーネントおよびワークフロー
コンポーネント
説明
クラウド サービス
PAN-DB クラウド サービスは、Amazon Web Services(AWS)を使用して実
装されます。AWS により、Palo Alto Networks ファイアウォールのシード
データベースのダウンロードおよび URL の検索のための分散型の高パ
フォーマンスおよび安定した環境が提供され、通信は SSL を介して実行さ
れます。AWS クラウド システムでは PAN-DB 全体を保持しており、新し
い URL が識別されると更新されます。PAN-DB クラウド サービスでは、
バージョンが一致しない場合、ファイアウォールのローカル URL データ
ベースを更新する自動化メカニズムをサポートしています。ファイア
ウォールは、クラウド サーバーに対してクエリを実行して URL を検索す
るたびに、重要な更新も確認します。クラウド サーバーに対するクエリ
が 30 分以上ない場合、ファイアウォールはクラウド システムの更新を確
認します。
また、クラウド システムでは、URL カテゴリ変更要求を提出するメカニ
ズムを提供します。これは、test-a-site サービスを介して実行され、デバイ
ス(URL フィルタリング プロファイル セットアップ)から直接または、
Palo Alto Networks の Test A Site Web サイトで利用できます。また、[ ログ詳
細 ] セクションのファイアウォールの URL フィルタリング ログから直接
URL 分類変更要求を提出することもできます
管理プレーン(MP)の
URL キャッシュ
ファイアウォールで PAN-DB がアクティベーションされている場合、
PAN-DB クラウド サーバーの 1 つからシード データベースがダウンロード
され、ローカル キャッシュに初期入力が行われます。これは、検索パ
フォーマンス向上のために実行されます。各地域のシード データベース
にはその地域の上位の URL が含まれており、シード データベースの容量
(URL エントリの数)もデバイス プラットフォームに応じて異なりま
す。URL MP キャッシュは、8 時間ごと、ファイアウォールが再起動され
る前、またはクラウドがファイアウォール上の URL データベースのバー
ジョンをアップグレードするときに、ファイアウォールのローカル ドラ
イブに自動的に書き込まれます。ファイアウォールの再起動後は、ローカ
ル ドライブに保存されたファイルは MP キャッシュにロードされます。ま
た、キャッシュがいっぱいの場合に備えて、URL MP キャッシュでは、
LRU(least recently used: 最も使われていない ) メカニズムが実装されていま
す。キャッシュがいっぱいになると、最もアクセスの少ない URL は新し
い URL に置き換えられます。
データプレーン(DP)の
URL キャッシュ
MP キャッシュの一部。データプレーン(DP)に保存されているカスタマ
イズされたダイナミック URL データベースであり、URL 検索のパフォー
マンス向上のために使用されます。URL DP キャッシュはファイアウォー
ルを再起動するたびにクリアされます。URL DP キャッシュに保存されて
いる URL 数は、ハードウェア プラットフォームおよび TRIE に保存され
ている現在の URL(データ構造)に応じて異なります。また、キャッ
シュがいっぱいの場合に備えて、DP キャッシュでは、LRU メカニズムが
実装されています。キャッシュがいっぱいになると、最もアクセスの少な
い URL は新しい URL に置き換えられます。URL DP キャッシュのエント
リは、指定期間の経過後、有効期限が切れます。管理者は、この有効期限
を変更することはできません。
URL フィルタリング
377
URL フィルタリング コンポーネントおよびワークフロー
URL フィルタリング
PAN-DB URL 分類ワークフロー
ユーザーが URL へのアクセスを試行し、URL カテゴリを特定する必要がある場合は、ファイア
ウォールでは、一致が見つかるまで、その URL を以下のコンポーネントと順番に比較します。
URL クエリが URL DP キャッシュの期限切れのエントリに一致した場合、キャッシュは期限切
れのカテゴリで応答しますが、MP にも URL 分類クエリを送信します。これは、カテゴリの変
更頻度が低いことを想定して、DP での不要な遅延を回避するために行われます。同様に、URL
MP キャッシュでは、DP からの URL クエリが MP の期限切れのエントリに一致した場合は、MP
は DP に期限切れのカテゴリで応答し、クラウド サービスにも URL 分類要求を送信します。ク
ラウドから応答が得られると、ファイアウォールは DP に更新された応答を再送信します。
新しい URL およびカテゴリが定義されるか、重要な更新が必要な場合は、クラウド データベー
スが更新されます。ファイアウォールがクラウドに対してクエリを実行して URL を検索するた
び、またはクラウドの検索が 30 分間実行されないとき、ファイアウォールのデータベースの
バージョンが比較され、一致しない場合は増分更新が実行されます。
378
URL フィルタリング
URL フィルタリング
URL フィルタリングの設定
URL フィルタリングの設定
このセクションでは、URL フィルタリング機能を使用するために必要な手順を説明します。
URL フィルタリングを設定すると、Web アクティビティをモニターして、特定の Web サイトお
よび Web サイトのカテゴリに対して実行するアクションを判断することができます。HTTPS ト
ラフィックを制御するため、ファイアウォールでは Web トラフィックを許可するゾーン間に復
号ポリシーを適用する必要があります。

URL フィルタリングの有効化

URL フィルタリング ポリシーの要件の決定

Web サイト制御の定義
URL フィルタリングの有効化
Palo Alto Networks ファイアウォールで URL フィルタリングをライセンスを取得して有効にする
には、以下の手順を実行します。
URL フィルタリングの有効化
ステップ 1
注
URL フィルタリング ライセン 1.
スを取得してインストール
し、このライセンスがインス
トールされていることを確認
します。
URL フィルタリング ライセンスの有
効期限が切れた後の動作は PAN-DB と 2.
BrightCloud で異なります。BrightCloud
にはライセンスの有効期限が切れた場
合に、すべてのカテゴリを許可または
ブロックするオプションが URL プロ
ファイルにあります。PAN-DB でライ
センスの有効期限が切れた場合、URL
フィルタリングは、引き続きデータプ
レーン キャッシュおよび管理プレー
ン キャッシュに存在する URL カテゴ
リ情報に基づいて機能します。ただ
し、URL クラウド検索およびその他
のクラウド ベースの更新は、有効な
ライセンスがインストールされるまで
機能しません。
URL フィルタリング
[ ライセンス管理 ] セクションの [Device] > [ ライセン
ス ] から、受信したライセンス キーのタイプに基づく
ライセンスのインストール方法を選択します。これ
は、ライセンス サーバーから取得するキー、認証コー
ド、または手動でアップロードするライセンス ファイ
ルのいずれかになります。
ライセンスがインストールされた後、該当するデータ
ベースの [ 有効期限 ] フィールドに表示される有効期限
を確認します。
379
URL フィルタリングの設定
URL フィルタリング
URL フィルタリングの有効化(続き)
ステップ 2
(PAN-DB のみ)初期シード 1.
データベースをダウンロード
し、PAN-DB URL Filtering をア 2.
クティベーションします。
[PAN-DB URL Filtering] セクションの [ ダウンロードの状
態 ] の横にある [ ダウンロード ] をクリックします。
3.
ダウンロードが完了したら、[ アクティベーション ] を
クリックします。
注
ステップ 3
(BrightCloud のみ)ローカル 1.
データベースでカテゴリを利 2.
用できない場合は、URL を動
的に分類するためにクラウド
検索を有効にします。
地域(北アメリカ、ヨーロッパ、APAC、日本)を選択
し、[OK] をクリックしてダウンロードを開始します。
PAN-DB がすでにアクティブな URL フィルタリング
ベンダーであるときに [ 再ダウンロード ] をクリック
すると、データプレーンと管理プレーンのキャッ
シュがクリアされて、新しいシード データベースの
コンテンツで置き換えられることにより、PAN-DB
が再アクティベーションされます。ユーザー アク
ティビティに基づいてこれまでファイアウォールを
通過してきた Web トラフィックに基づいてカスタマ
イズされているキャッシュを失うことになるため、
必要時以外はこの操作を行わないでください。
ファイアウォールで CLI にアクセスします。
以下の CLI コマンドを入力してダイナミック URL フィ
ルタリングを有効にします。
a. configure
b. set deviceconfig setting url dynamic-url yes
c. commit
380
URL フィルタリング
URL フィルタリング
URL フィルタリングの設定
URL フィルタリングの有効化(続き)
ステップ 4
[ アプリケーションおよび脅威 ] 1.
で [ ダイナミック更新 ] を設定 2.
し、BrightCloud を使用してい
る場合は、URL フィルタリン
3.
グの更新を設定します。
[ アプリケーションおよび脅威 ]
では、URL フィルタリング プ
ロファイルで使用できる [セー
フ サーチを適用 ] オプション
に関連する URL フィルタリン
グの更新が含まれている可能
性があります。たとえば、Palo
Alto Networks が新しい検索プ
ロバイダのサポートを追加し
た場合や、既存のベンダーの
セーフ サーチ設定を検出する
ために使用する方法が変わっ
た場合は、[ アプリケーション
および脅威] の更新にその更新
が含まれています。
[Device] > [ ダイナミック更新 ] の順に選択します。
[ アプリケーションおよび脅威 ] セクションで、定期的
に更新を受信するようにスケジュールを設定します。
(BrightCloud のみ)[URL フィルタリング ] セクション
で、定期的に更新を受信するようにスケジュールを設
定します。
BrightCloud の更新には、ファ
イアウォール ドライブに保存
されている約 2000 万の Web サ
イトのデータベースが含まれ
ているため、これらの更新を
受信するように URL フィルタ
リングの更新をスケジュール
する必要があります。
注
アンチウイルス、アプリケーションお
よび脅威を含むコンテンツの更新を受
信するには、脅威防御ライセンスが必
要です。
URL フィルタリング
381
URL フィルタリングの設定
URL フィルタリング
URL フィルタリング ポリシーの要件の決定
組織で URL フィルタリングをデプロイする場合、ほとんどのカテゴリでアラートを送信する
パッシブ URL フィルタリング プロファイルから開始することをお勧めします。このアラート
アクションを設定した後、ユーザーの Web アクティビティを数日間モニターして、アクセスさ
れる Web サイトを特定できます。これにより、制御する必要のある Web サイトおよび Web サイ
ト カテゴリを判断できます。

パッシブ URL フィルタリング プロファイルの設定および適用

Web アクティビティのモニター
パッシブ URL フィルタリング プロファイルの設定および適用
デフォルトの URL フィルタリング プロファイルでは、リスクが高く、脅威になりやすいコンテ
ンツがブロックされるため、新しいプロファイルを作成する場合、デフォルト設定を保持する
ために、デフォルトのプロファイルをコピーすることをお勧めします。
その後の手順で、脅威になりやすいサイトにブロックを設定し、その他のカテゴリにアラート
を設定します。これにより、すべての Web サイトのトラフィックがログに記録されます。この
場合、大容量のログ ファイルが作成される可能性があります。そのため、この設定は、ユー
ザーがアクセスする Web サイトのタイプを特定するための初期モニタリングの場合に実行する
ことをお勧めします。組織で許可しているカテゴリを特定したら、これらのカテゴリに許可を
設定します。これにより、ログは生成されなくなります。また、URL プロファイルで [コンテ
ナページのみロギング ] オプションを有効にすると、カテゴリに一致するメイン ページのみがロ
グに記録され、コンテナ ページ内にロードされる可能性のある後続のページ / カテゴリは記録
されないため、URL フィルタリング ログを削減できます。
パッシブ URL フィルタリング プロファイルの設定および適用
ステップ 1
382
デフォルトの URL フィルタリ 1.
ング プロファイルをコピーし
ます。
2.
[Objects] > [ セキュリティ プロファイル ] > [URL フィ
ルタリング ] の順に選択します。
3.
新しいプロファイルを選択して、名前を変更します。
たとえば、URL-Monitoring と名前を変更します。
デフォルト プロファイルを選択し、[ コピー] をクリッ
クします。新しいプロファイルには default-1 という名前
が付けられます。
URL フィルタリング
URL フィルタリング
URL フィルタリングの設定
パッシブ URL フィルタリング プロファイルの設定および適用(続き)
ステップ 2
ブ ロ ッ ク 状 態 を 維 持 す る 1.
threat-prone カテゴリを除き、
すべてのカテゴリのアクショ
ンを [alert] に設定します。
すべての URL カテゴリをリストするセクションでは、
すべてのカテゴリを選択して、以下のカテゴリの選択
を解除します。
• abused-drugs
ヒント : Windows システムから
カテゴリ リストの項目をすべ
て選択するには、最初のカテ
ゴ リ を ク リ ッ ク し て、Shift
キーを押した状態で、最後の
カテゴリをクリックします。
この操作によりすべてのカテ
ゴリが選択されます。Ctrl キー
を押した状態で、選択解除す
る項目をクリックします。Mac
で は、Shift キ ー と コ マ ン ド 2.
キーを使用して同じ操作を実
行します。また、すべてのカ
テゴリをアラートに設定し、
推奨カテゴリを手動でブロッ
クに戻すこともできます。
• adult
3.
ステップ 3
ユーザーの Web トラフィック 1.
を許可するセキュリティ ポリ
シーに URL プロファイルを適 2.
用します。
3.
ステップ 4
設定を保存します。
URL フィルタリング
• gambling
• hacking
• malware
• phishing
• questionable
• weapons
[ アクション ] 列のヘッダーの右にマウスを重ね、下向
き矢印を選択して、[ 選択したアクションの設定 ] を選
択し、[alert] を選択します。
[OK] をクリックして保存します。
[Policies] > [ セキュリティ] の順に選択し、適切なセ
キュリティ ポリシーを選択して変更します。
[ アクション ] タブを選択して、[ プロファイル設定 ] セ
クションで、[URL フィルタリング ] のドロップダウン
をクリックし、新しいプロファイルを選択します。
[OK] をクリックして保存します。
[Commit] をクリックします。
383
URL フィルタリングの設定
URL フィルタリング
パッシブ URL フィルタリング プロファイルの設定および適用(続き)
ステップ 5
URL フィルタリング ログを表
示して、ユーザーがアクセス
しているすべての Web サイト
のカテゴリを特定します。こ
の例では、一部のカテゴリが
[block] に 設 定 さ れ て い る た
め、それらのカテゴリはログ
にも表示されます。
[Monitor] > [ ログ ] > [URL フィルタリング ] の順に選択し
ます。アクションが [allow] 以外に設定されているカテゴリ
に含まれる URL フィルタリング データベースに存在する
すべての Web サイトでログ エントリが作成されます。
ログの表示およびレポートの生
成の詳細は、「Web アクティ
ビティのモニター」を参照し
てください。
Web アクティビティのモニター
URL ファイル ログおよびレポートには、[alert]、[block]、[continue]、[override] に設定されている
URL カテゴリのすべてのユーザーの Web アクティビティが表示されます。ログをモニターする
ことにより、Web アクセス ポリシーを特定するためのユーザー ベースの Web アクティビティを
より詳しく理解することができます。
このセクションでは、URL プロファイルが「パッシブ URL フィルタリング プロファイルの設
定および適用」の説明に従って設定されていることを前提としています。
以下のトピックでは、Web アクティビティをモニターする方法を説明します。

URL フィルタリング ログの解釈

ACC を使用した Web アクティビティのモニター

URL フィルタリング レポートの表示

カスタム URL フィルタリング レポートの設定
URL フィルタリング ログの解釈
以下に、URL フィルタリング ログ([Monitor] > [ ログ ] > [URL フィルタリング ])の例を示し
ます。

アラート ログ — このログでは、カテゴリは shopping であり、アクションは [alert] です。
384
URL フィルタリング
URL フィルタリング
URL フィルタリングの設定

ブロック ログ — このログでは、カテゴリ alcohol-and-tobacco がブロックに設定されています。
そのため、アクションは block-url であり、Web サイトがブロックされていることを示す応答
ページが表示されます。

暗号化された Web サイトのアラート ログ — この例では、カテゴリは social-networking であ
り、アプリケーションは facebook-base です。facebook-base は、Facebook Web サイトおよびそ
の他の Facebook アプリケーションにアクセスするために必要です。faceboook.com は常に SSL
を使用して暗号化されているため、トラフィックはファイアウォールによって復号化されて
います。このため、必要に応じて Web サイトを認識および制御することができます。
また、送信元ゾーンと宛先ゾーン、コンテンツ タイプ、およびパケット キャプチャを実行する
かどうかなどの複数の列を URL フィルタリングのログ ビューに追加することもできます。表示
する列を変更するには、任意の列の下向き矢印をクリックし、表示する属性を選択します。
特定の URL の完全なログの詳細またはカテゴリ変更要求、あるいはその両方を表示するには、
ログの最初の列のログ詳細アイコンをクリックします。
URL フィルタリング
385
URL フィルタリングの設定
URL フィルタリング
ACC を使用した Web アクティビティのモニター
環境でアクセスされている使用頻度の高いカテゴリをすばやく確認するには、[ACC] タブを選
択して、[URL フィルタリング ] セクションまでスクロール ダウンします。このウィンドウの上
側では、期間や [ソート基準] オプションを設定したり、表示する結果数を定義したりできます。
ここには、ユーザーのアクセスが多い順にソートされたカテゴリが表示されます。最もアクセ
スの多いカテゴリがリストの一番上に表示されています。この例では、computer-and-internet-info が
最もアクセスの多いカテゴリであり、private-ip-addresses(内部サーバー)、search-engines と続きま
す。右上の統計情報のドロップダウンで、[URL カテゴリ ]、[ ブロックされた URL カテゴリ ]、[
ブロックされた URL] ごとのリストを選択することもできます。
URL フィルタリング レポートの表示
デフォルトの URL フィルタリング レポートを表示するには、[Monitor] > [ レポート ] を選択し
て、[URL フィルタリング レポート ] セクションで、レポートの 1 つを選択します。[URL カテゴ
リ ]、[URL ユーザー]、アクセスされた [Web サイト ]、[ ブロックされたカテゴリ ] などに基づい
てレポートを生成することができます。レポートは 24 時間が基準となっており、カレンダー セ
クションで特定の日を選択するとレポートの対象となる日が選択されます。レポートを PDF、
CSV、または XML にエクスポートすることもできます。
386
URL フィルタリング
URL フィルタリング
URL フィルタリングの設定
ユーザー アクティビティ レポートの表示
このレポートでは、ユーザー アクティビティ、グループ アクティビティを迅速に表示し、閲覧
時のアクティビティを表示するオプションを提供します。
ユーザー アクティビティ レポートの生成
ステップ 1
ユーザー アクティビティ レ 1.
ポートの設定
[Monitor] > [PDF レポート ] > [ ユーザー アクティビ
ティ レポート ] の順に選択します。
2.
レポートの [ 名前 ] を入力し、レポートのタイプを選択
します。特定の人物のレポートを生成する場合は [ ユー
ザー] を選択し、ユーザー グループのレポートを生成
する場合は、[ グループ ] を選択します。
注
URL フィルタリング
ユーザー名またはグループ名を選択するためには
User-ID が設定されている必要があります。User-ID が
設定されていない場合は、[ ユーザー] タイプを選択し
て、ユーザーのコンピュータの IP アドレスを入力し
ます。詳細は、「User-ID」を参照してください。
3.
ユーザー レポートのユーザー名または IP アドレスを
入力するか、ユーザー グループ レポートのグループ名
を入力します。
4.
[ 期間 ] を選択します。既存の期間または、[ カスタム ]
を選択できます。
5.
閲覧情報をレポートに表示できるように [Include Detailed
Browsing] チェックボックスをオンにします。
387
URL フィルタリングの設定
URL フィルタリング
ユーザー アクティビティ レポートの生成(続き)
ステップ 2
ユーザー アクティビティ レ 1.
ポートを実行して、レポート 2.
をダウンロードします。
3.
[ 今すぐ実行 ] をクリックします。
レポートの生成後、[ ユーザー アクティビティ レポー
トのダウンロード ] リンクをクリックします。
レポートをダウンロードした後、[キャンセル] をクリッ
クし、[OK] をクリックしてレポートを保存します。
ステップ 3
ダウンロードされた PDF ファイルを開いて、ユーザー アクティビティ レポートを確認し
ます。レポートの上部には、以下のような目次が含まれています。
ステップ 4
目次の項目をクリックして、詳細を表示します。たとえば、[URL カテゴリ別トラフィック
サマリー] をクリックして、選択されたユーザーまたはグループの統計情報を表示します。
388
URL フィルタリング
URL フィルタリング
URL フィルタリングの設定
カスタム URL フィルタリング レポートの設定
スケジュール可能な詳細レポートを生成するには、カスタム レポートを設定し、すべての使用
可能な URL フィルタリング ログ フィールドのリストから選択します。
カスタム URL フィルタリング レポートの設定
ステップ 1
ステップ 2
新しいカスタム レポートを追 1.
加します。
[Monitor] > [ カスタム レポートの管理 ] を選択して、
[ 追加 ] をクリックします。
2.
[ 名前 ] フィールドにレポート名を入力します
(My-URL-Custom-Report など)。
3.
[ データベース ] ドロップダウンで、[URL Log] を選択
します。
レポート オプションを設定し 1.
ます。
2.
[ 期間 ] ドロップダウンを選択して、範囲を選択します。
3.
[ 使用可能な列 ] リストで、レポートに含めるフィール
ドを選択します。以下の列は、通常、URL レポートで
使用します。
(任意)レポートをソートおよびグループ分類する方
法をカスタマイズするには、[ ソート基準 ] を選択し
て、表示する項目数([トップ 25] など)を選択し、[グ
ループ化基準 ] を選択し、[Category] などのオプショ
ンを選択してから、多くのグループを定義する方法を
選択します。
• 動作
• Category
• Destination Country
• Source User
• URL
URL フィルタリング
389
URL フィルタリングの設定
URL フィルタリング
カスタム URL フィルタリング レポートの設定(続き)
ステップ 3
ステップ 4
レポートを実行して結果を確 1.
認します。満足な結果が得ら
れた場合は、レポートが自動 2.
的に実行されるようにスケ
ジュールを設定します。
設定を保存します。
新しいタブに表示されるレポートをすぐに生成するに
は、今すぐ実行 アイコンをクリックします。
(任意)レポートを 1 日に 1 回実行するには、この [ ス
ケジュール設定 ] チェックボックスをオンにします。
直近の 24 時間の Web アクティビティの詳細に関する日
次レポートが作成されます。レポートにアクセスする
には、[Monitor] > [ レポート ] の順に選択し、右列の
[ カスタム レポート ] を展開して、レポートを選択し
ます。
[Commit] をクリックします。
Web サイト制御の定義
トピック「URL フィルタリング ポリシーの要件の決定」の手順を実行すると、ユーザーがアク
セスしている Web サイトおよび Web サイトのカテゴリのタイプについて基本的な情報を把握で
きます。この情報により、ユーザーの Web アクセスを制御する URL フィルタリング ポリシー
をカスタマイズする準備が整います。以下の手順では、URL プロファイルのアクションを変更
する方法、[ セーフ サーチを適用 ] オプションやコンテンツの制御に関連するその他の機能を使
用する方法を説明します。
Web サイト制御の設定
ステップ 1
390
URL プロファイルをカスタマ 1.
イズして、Web サイトや Web
サイトのカテゴリを制御する
ことができます。
2.
[Objects] > [ セキュリティ プロファイル ] > [URL フィ
ルタリング ] の順に選択し、URL プロファイルを変更
します。
[ カテゴリ ] リストで、制御する URL カテゴリごとに適
し た ア ク シ ョ ン を 選 択 し ま す。た と え ば、auctions
(オークション)、gaming(ゲーム)、dating(出会い
系)な ど の カ テ ゴ リ を ブ ロ ッ ク し、social-networking
(ソーシャル ネットワーキング)を許可する場合があ
ります。
URL フィルタリング
URL フィルタリング
URL フィルタリングの設定
Web サイト制御の設定(続き)
ステップ 2
常にブロックまたは許可する 1.
必要のある Web サイトを設定
します。
[URL フィルタリング プロファイル ] で、[ ブロック リ
スト ] に URL または IP アドレスを入力して、以下のア
クションを選択します。
たとえば、URL フィルタリン
グ ログを削減するためには、
許可リストに会社のすべての
Web サイトを入力して、それ
らのサイトのログが生成され
ないようにします。過剰に使
用されている Web サイトや業
務にまったく関係がない Web
サイトがある場合は、それら
をブロック リストに追加でき
ます。
2.
• [block] — URL をブロックします。
• [continue] — 定義された URL カテゴリに一致するサ
イトにアクセスすると、応答ページでが表示されま
す。ユーザーが [ 続行 ] をクリックすると、Web ペー
ジが開きます。
• [override] — Web サイトへのアクセスを続行するた
めのパスワードの入力が要求されます。
• [alert] — Web サイトにアクセスできますが、URL ロ
グにアラート ログ エントリが追加されます。
[ 許可リスト ] で、常に許可する必要のある IP アドレ
スまたは URL を入力します。各行は改行で区切る必要
があります。
ブロック リストの項目は、所
定のカテゴリのアクションに
かかわらず、常にブロックさ 以下のスクリーン キャプチャでは、一般的な URL フィルタ
れ、許可リストの URL は常に リ ン グ プ ロフ ァ イル を表 示 して いま す。こ の例 で は、
許可されます。
social-networking がブロックされていますが、Facebook は許
可されています。ログが記録されないように、会社の
Web
許可リストおよびブロック リ
ストで使用できる正しいフォー サイト paloaltonetworks.com も許可されています。ブロック
マットおよびワイルドカードの リストには常にブロックするサーバーの IP アドレスが含
詳細は、「ブロック リストお まれています。
よび許可リストの使用方法」
を参照してください。
URL フィルタリング
391
URL フィルタリングの設定
URL フィルタリング
Web サイト制御の設定(続き)
ステップ 3
[ セーフ サーチを適用 ] を有効 [セーフ サーチを適用] チェックボックスをオンにします。
にすると、3 大検索プロバイ
ダ(Google、Bing、Yahoo)の
いずれかを使用してインター
ネットを検索するユーザーに
は、ブラウザまたは検索プロ
バイダ アカウント、あるいは
その両方で高い(厳密)セー
フ サーチ オプションが設定さ
れていない限り、検索結果が
表示されません。
こ の オ プ シ ョ ン の 詳 細 は、
「セーフ サーチの適用」を参
照してください。
ステップ 4
コンテナ ページのオプション [ コンテナ ページのみロギング ] チェックボックスをオンに
します。
を有効にします。
詳細は、「コンテナ ページの
ログ記録について」を参照し
てください。
ステップ 5
URL フィルタリング プロファ [OK] をクリックします。
イルを保存します。
ステップ 6
(任意)いずれかの URL カテ
ゴリに [continue] アクションが
設定されている場合、入力イ
ンターフェイス(ユーザーの
トラフィックを最初に受信す
るインターフェイス)で [応答
ページ] オプションを有効にす
る必要があります。
392
1. [Network] > [ ネットワーク プロファイル ] > [ インター
フェイス管理 ] の順に選択し、新しいプロファイルを
追加するか、既存のプロファイルを編集します。
2.
[ 応答ページ ] チェックボックスをオンにして、有効に
します。
3.
[OK] をクリックしてプロファイルを保存します。
4.
[Network] > [ インターフェイス ] の順に選択し、入力
インターフェイスであるレイヤー 3 インターフェイス
または VLAN インターフェイスを編集します。
5.
[ 詳細 ] タブをクリックして、[ 応答ページ ] オプション
が有効になっているインターフェイス管理プロファイル
を選択し、ドロップダウン メニューから選択します。
6.
[OK] をクリックして、インターフェイス設定を保存し
ます。
URL フィルタリング
URL フィルタリング
URL フィルタリングの設定
Web サイト制御の設定(続き)
ステップ 7
(任意)URL フィルタリングの 1.
応答ページをカスタマイズし 2.
ます。
[Device] > [ 応答ページ ] を選択します。
URL フ ィ ル タ リ ン グ の 応 答 3.
ページには以下の 3 種類があ
ります。
応答ページ([ 事前定義済み ] または [ 共有 ])を選択し
て、[ エクスポート ] リンクをクリックし、そのファイ
ルをデスクトップに保存します。
• [URL フィルタリングおよび 注
カテゴリ一致ブロック ペー
ジ ] — URL フィルタリング
4.
プロファイルが原因で、また
は URL カテゴリがセキュリ
ティ ポリシーにブロックさ 5.
れているため、アクセスが
ブロックされたことを示し
6.
ます。
• [URL フィルタリングの続行
とオーバーライド ページ ] —
ユーザーがブロックをバイ
パスできるよう一旦ブロッ
クさせておくページです。
オーバーライド ページで、
URL を ブ ロ ッ ク す る ポ リ
シーをオーバーライドする
には、パスワードの入力が
求められます。
• [URL フィルタリング セー
フ サーチのブロック ペー
ジ ] — [ セーフ サーチを適
用 ] オプションが有効になっ
ている URL フィルタリン
グ プロファイルを使用した
セ キュ リテ ィ ポリ シー に
よって、アクセスがブロッ
クされたことを示します。
Google、Bing、または Yahoo
を使用して検索が実行さ
れ、ブラウザまたは検索エン
ジン アカウント設定でセー
フ サーチが厳密(高い)に
設定されていない場合、こ
のページが表示されます。
URL フィルタリング
変更する URL フィルタリングの応答ページをクリック
します。
[ 事前定義済み ] は、デフォルトの応答ページであり、
[共有] は管理者が作成したカスタムの応答ページです。
テキスト エディタを使用して応答ページを変更し、ファ
イルを保存します。
応答ページ ダイアログから、[ インポート ] をクリック
して、新しく変更された応答ページを選択し、[OK] を
クリックしてファイルをインポートします。
新しくインポートされた応答ページがアクティブな応
答ページになります。
393
URL フィルタリングの設定
URL フィルタリング
Web サイト制御の設定(続き)
ステップ 8
URL フィルタリング オーバー 1.
ライドを設定して、ブロック
されているサイトにアクセス 2.
するために特定のユーザーが
使用できる一時パスワードを
3.
作成します。
4.
[Device ] > [ セットアップ ] > [ コンテンツ ID] の順に選
択します。
[URL 管理オーバーライド ] セクションで、[ 追加 ] を
クリックしてパスワードを設定します。
(任意)[URL 管理オーバーライド タイムアウト] フィー
ルドに新しい値を入力して、カスタム オーバーライド期
間を設定します。デフォルトでは、ブロックされた URL
カテゴリには 15 分間アクセスできません。
パスワードを設定するときに、[メッセージを表示しな
い ] または [ リダイレクト ] を選択できます。
• メッセージを表示しない — ファイアウォールがブラ
ウザのトラフィックを遮断して元の宛先 URL になり
すまし、HTTP 401 を発行して認証を呼び出します。
ただし、ファイアウォールには宛先 URL の実際の証
明書がないため、保護されたサイトへのアクセスを
試みるユーザーのブラウザには証明書エラーが表示
されます。したがって、このモードはレイヤー 2 や
バーチャル ワイヤーのデプロイメントなど、絶対に
必要な場合にのみ使用してください。
• リダイレクト — ファイアウォールは不明な HTTP ま
たは HTTPS セッションを遮断し、認証を実行する
ために HTTP 302 リダイレクトを使用してファイア
ウォールのレイヤー 3 インターフェイスにリダイレ
クトします。より優れた操作性(証明書エラーな
し)が実現するため、このモードの使用をお勧めし
ます。ただし、追加のレイヤー 3 設定が必要です。
[ リダイレクト ] モードのもう 1 つの利点はセッショ
ン Cookie を使用できることで、タイムアウトが発生
するたびに再度マッピングする必要なしに、ユー
ザーが継続して認証済みサイトを閲覧できます。
ステップ 9
注
394
設定を保存します。
[Commit] をクリックします。
URL フィルタリング設定をテストする
には、ブロックまたは続行に設定され
ているカテゴリの Web サイトにアク
セスして、適切なアクションが実行さ
れるかどうかを確認します。
URL フィルタリング
URL フィルタリング
URL フィルタリングのユース ケースの例
URL フィルタリングのユース ケースの例
「URL フィルタリングの設定」では、基本的な URL フィルタリング プロファイルをセット
アップして、URL カテゴリに基づいて Web アクセスを制御する方法を説明しました。以下の
ユース ケースでは App-ID を使用して、特定の Web ベースのアプリケーションのセットを制御
する方法と URL カテゴリをポリシーで一致条件として使用する方法について説明します。
App-ID を使用する場合、各 App-ID シグネチャには、アプリケーションを完全に制御するため
に必要な依存性があることを理解することが重要です。たとえば、Facebook アプリケーション
では、Facebook Web サイトにアクセスして、他の Facebook アプリケーションを制御するために
は、App-ID facebook-base が必要です。たとえば、Facebook 電子メールを制御するようにファイ
アウォールを設定するには、App-ID facebook-base および facebook-mail を許可する必要がありま
す。また、LinkedIn について Applipedia(App-ID データベース)を検索すると、LinkedIn メール
を制御するためには、linkedin-base と linkedin-mail の両方の App-ID に同じアクションを適用する
必要があることが分かります。App-ID シグネチャのアプリケーションの依存性を特定するに
は、Applipedia にアクセスし、特定のアプリケーションを検索して、そのアプリケーションをク
リックして、詳細を確認します。
User-ID 機能は、ユーザーおよびグループに基づくポリシーを実装するために必要です。ま
た、復号ポリシーは、SSL を使用して暗号化される Web サイトを特定および制御するために
必要です。
このセクションは、以下の 2 つのユース ケースで構成されています。

ユース ケース : Web アクセスの制御

ユース ケース : ポリシーでの URL カテゴリの使用
ユース ケース : Web アクセスの制御
URL フィルタリングを使用してユーザーの Web サイトのアクセスを制御する場合、特定の Web
サイトで細かい制御が必要な場合があります。このユース ケースでは、URL フィルタリング ポ
リシーがユーザーの Web アクセスを許可する セキュリティ ポリシーに適用され、social-networking
URL カテゴリはブロックに設定されているが、URL プロファイルの許可リストはソーシャル
ネットワーキング サイト Facebook を許可するように設定されています。Facebook をさらに制御
するため、会社の規定でも、マーケティング部門のみが Facebook にフルにアクセスすることが
可能で、社内の他のすべてのユーザーは Facebook の投稿の閲覧のみが可能であり、電子メー
ル、投稿、チャット、ファイル共有などのその他の Facebook アプリケーションを使用できない
と示されています。この要件を実現するためには、App-ID を使用して Facebook をより細かく制
御する必要があります。
最初のセキュリティ ルールで、マーケティング部門に Facebook Web サイトおよびすべての
Facebook アプリケーションへのアクセスを許可します。この許可ルールによりインターネット
へのアクセスも可能になるため、脅威防御プロファイルがこのルールに適用されます。した
URL フィルタリング
395
URL フィルタリングのユース ケースの例
URL フィルタリング
がって、ポリシーに一致するトラフィックに脅威を確認するためのスキャンが実行されます。
これは、許可ルールが処理の最後であり、トラフィックに一致がある場合でも他のルールが引
き続き確認されることがないため重要です。
Web アクセスの制御
ステップ 1
ステップ 2
ステップ 3
URL フィルタリングがライセ 1.
ンスされていることを確認し
ます。
[Device] > [ ライセンス ] を選択し、使用する URL フィ
ルタリング データベースで有効な日付が表示されている
ことを確認します。これは、PAN-DB または BrightCloud
のいずれかです。
2.
有効なライセンスがインストールされていない場合
は、「URL フィルタリングの有効化」を参照してくだ
さい。
User-ID が機能していることを 1.
確認します。User-ID は、ユー
ザーおよびグループに基づい
てポリシーを作成するために
2.
必要です。
グループ マッピングを確認するには、CLI から以下の
コマンドを入力します。
show user group-mapping statistics
3.
統計情報が表示されていないか、IP、ユーザー間のマッ
ピング情報が表示されていない場合は、「User-ID」を
参照してください。
デフォルト プロファイルをコ 1.
ピーして URL フィルタリング
プロファイルをセットアップ
します。
2.
[Objects] > [ セキュリティ プロファイル ] > [URL フィ
ルタリング ] の順に選択し、[default] プロファイルを選
択します。
3.
396
ユーザー マッピングを確認するには、CLI から以下の
コマンドを入力します。
show user ip-user-mapping-mp all
コピー アイコンをクリックします。default-1 という名前
の新しいプロファイルが表示されます。
新しいプロファイルを選択して、名前を変更します。
URL フィルタリング
URL フィルタリング
URL フィルタリングのユース ケースの例
Web アクセスの制御(続き)
ステップ 4
ステップ 5
social-networking をブロックし、 1.
Facebook を許可するように URL
フィルタリング プロファイル
を設定します。
新しい URL フィルタリング プロファイルを変更し
て、[ カテゴリ ] リストで [social-networking] までスクロー
ルして、[ アクション ] 列で、[allow] をクリックしてア
クションを [block] に変更します。
2.
[ 許可リスト ] ボックスに facebook.com と入力して、Enter
キーを押して改行し、*.facebook.com と入力します。
facebook.com、www.facebook.com、https://facebook.com
などユーザーが使用する可能性のあるすべての URL の
バリエーションを特定できるようにするには、これら
両方のフォーマットが必要です。
3.
[OK] をクリックしてプロファイルを保存します。
ユーザー ネットワークからイ 1.
ンターネットへの Web アクセ
スを許可するセキュリティ プ 2.
ロファイルに新しい URL フィ
ルタリング プロファイルを適
用します。
3.
URL フィルタリング
[Policies] > [ セキュリティ] の順に選択して、ユーザー
に Web アクセスを許可するポリシーをクリックします。
[アクション ] タブで、先ほど作成した URL プロファイ
ルを [URL フィルタリング ] ドロップダウンから選択し
ます。
[OK] をクリックして保存します。
397
URL フィルタリングのユース ケースの例
URL フィルタリング
Web アクセスの制御(続き)
ステップ 6
マーケティング部門に Facebook Web サイトおよびすべての Facebook アプリケーションへの
アクセスを許可するセキュリティ ポリシーを作成します。
このルールは、その他のポリシーより具体的であり、また、トラフィックに一致がある場
合は処理が終了する許可ルールであるため、その他のルールの前に処理されます。
1. [Policies] > [ セキュリティ] の順に選択し、[ 追加 ] をクリックします。
2. [ 名前 ] を入力し、必要に応じて [ 内容 ] および [ タグ ] に入力します。
3. [ 送信元 ] タブでユーザーが接続するゾーンを追加します。
4. [ ユーザー] タブの [ 送信元ユーザー] セクションで [ 追加 ] をクリックします。
5. marketing ユーザーを含むディレクトリ グループを選択します。
6. [ 宛先 ] タブでインターネットに接続されるゾーンを選択します。
7. [ アプリケーション ] タブで、[ 追加 ] をクリックして、facebook の App-ID シグネチャを追加
します。
8. [ アクション ] タブで、[ アンチウイルス ]、[ 脆弱性防御 ]、[ アンチスパイウェア ] のデ
フォルトのプロファイルを追加します。
9.
[OK] をクリックしてセキュリティ プロファイルを保存します。
このポリシーで使用される facebook App-ID シグネチャは、facebook-base、facebook-chat、facebook-mail など
のすべての Facebook アプリケーションを含んでいます。そのため、これがこのルールで必要な唯一の
App-ID シグネチャです。
このポリシーを適用すると、マーケティング部門の従業員が Facebook Web サイトまたはいずれかの
Facebook アプリケーションへのアクセスを試みると、マーケティング部門の一員であるユーザーに基づ
いて、ルールと一致します。マーケティング部門以外のユーザーからのトラフィックでは、トラフィッ
クに一致がないため、このルールはスキップされ、ルールの処理が続行します。
398
URL フィルタリング
URL フィルタリング
URL フィルタリングのユース ケースの例
Web アクセスの制御(続き)
ステップ 7
その他すべてのユーザーの、単なる Web 閲覧以外の Facebook アプリケーションの使用がブ
ロックされるように、セキュリティ ポリシーを設定します。この設定を最も簡単に行うに
は、マーケティング部門の許可ポリシーをコピーして変更します。
1. [Policies] > [ セキュリティ] で、先ほど作成したマーケティング部門の Facebook 許可ポ
リシーをクリックして、強調表示し、コピー アイコンをクリックします。
2. [ 名前 ] を入力し、必要に応じて [ 内容 ] および [ タグ ] に入力します。
3. [ ユーザー] タブで、マーケティング グループを強調表示して、削除し、ドロップダウ
ンで、[any] を選択します。
4. [ アプリケーション ] タブで、facebook の App-ID シグネチャをクリックして、削除します。
5. [ 追加 ] をクリックして、以下の App-ID シグネチャを追加します。
• facebook-apps
• facebook-chat
• facebook-file-sharing
• facebook-mail
• facebook-posting
• facebook-social-plugin
6. [ アクション ] タブの [ アクション設定 ] で [ 拒否 ] を選択します。このルールはコピーさ
れているため、プロファイル設定はすでに適切になっています。
7. [OK] をクリックしてセキュリティ プロファイルを保存します。
8. ルール処理が正しい順序で行われ、マーケティング部門のユーザーを許可して、その他の
ユーザーが拒否 / 制限されるようにするため、この新しい拒否ルールがマーケティングの許
可ルールの後に表示されていることを確認してください。
9. 設定を保存するには [Commit] をクリックします。
これらのポリシーを適用すると、マーケティング部門の一員であるユーザーにはすべての
Facebook アプリケーションへのフル アクセスが付与されますが、マーケティング部門の一員で
はないその他のユーザーには、Facebook Web サイトの読み取り専用アクセスのみが付与される
ため、投稿、チャット、電子メール、ファイル共有などの Facebook の機能を使用することはで
きません。
URL フィルタリング
399
URL フィルタリングのユース ケースの例
URL フィルタリング
ユース ケース : ポリシーでの URL カテゴリの使用
また、キャプティブ ポータル、復号、セキュリティおよび QoS といったポリシー タイプで、
URL カテゴリを一致条件として使用することができます。このユース ケースでは、復号ポリ
シーで URL カテゴリを使用して復号化する Web カテゴリと復号化しない Web カテゴリを制御し
ます。最初のルールは、Web カテゴリが financial-services または health-and-medicine である場合、ユー
ザー トラフィックの復号化を行わない復号なしルールで、2 番目のルールではすべてのトラ
フィックを復号化します。復号ポリシーのタイプは ssl-forward-proxy です。これは、ユーザーが実
行するすべてのアウトバウント接続の復号化を制御するために使用します。
URL カテゴリに基づく復号ポリシーの設定
ステップ 1
復号ポリシー リストに最初に表示される復号なしルールを作成します。このルールにより、
financial-services または health-and-medicine URL カテゴリのすべての Web サイトは復号化されません。
1. [Policies] > [ 復号 ] の順に選択し、[ 追加 ] をクリックします。
2. [ 名前 ] を入力し、必要に応じて [ 内容 ] および [ タグ ] に入力します。
3. [ 送信元 ] タブでユーザーが接続するゾーンを追加します。
4. [ 宛先 ] タブでインターネットに接続されるゾーンを入力します。
5. [URL カテゴリ ] タブで、[ 追加 ] をクリックして、[financial-services] および [health-and-medicine]
URL カテゴリを選択します。
6. [ オプション ] タブで、アクションを [ 復号なし ] に、[ タイプ ] を [SSL フォワード プロ
キシ ] に設定します。
7.
400
[OK] をクリックしてポリシーを保存します。
URL フィルタリング
URL フィルタリング
URL フィルタリングのユース ケースの例
URL カテゴリに基づく復号ポリシーの設定(続き)
ステップ 2
その他すべてのトラフィックを復号化する復号ポリシーを作成します。このポリシーは、
復号なしポリシーの後にリストされます。
1. 先ほど作成した復号なしポリシーを選択し、[ コピー] をクリックします。
2. [ 名前 ] を入力し、必要に応じて [ 内容 ] および [ タグ ] に入力します。
3. [URL カテゴリ ] タブで、[financial-services] および [health-and-medicine] を選択し、削除アイコンを
クリックします。
4. [ オプション ] タブで、アクションを [ 復号 ] に、[ タイプ ] を [SSL フォワード プロキシ ]
に設定します。
5. スクリーン キャプチャに示すように、この新しい復号ルールが復号なしルールの後にリス
トされていることを確認します。これにより、ルール処理が確実に正しい順序で実行され、
financial-services および health-and-medicine の Web サイトは復号化されません。
6. [OK] をクリックしてポリシーを保存します。
ステップ 3
ステップ 4
(BrightCloud のみ)ファイア 1.
ウォール上のローカル データ 2.
ベースでカテゴリを利用でき
ない場合は、URL を動的に分
類するためにクラウド検索を
有効にします。
設定を保存します。
ファイアウォールで CLI にアクセスします。
以下の CLI コマンドを入力してダイナミック URL フィ
ルタリングを有効にします。
a. configure
b. set deviceconfig setting url dynamic-url yes
c. commit
[Commit] をクリックします。
これら 2 つの復号ポリシーが適用されると、financial-services または health-and-medicine URL カテゴリを
宛先とするすべてのトラフィックは復号化されません。その他すべてのトラフィックは復号化
されます。
また、サーバー証明書の確認、期限切れの証明書を使用しているセッションのブロックなどの
確認を実行するために使用する復号プロファイルを定義して、復号ポリシーに対するより細か
い制御を定義することもできます。プロファイルは、復号ポリシーの [ オプション ] タブに追加
されます。実行できるチェックの詳細なリストについては、ファイアウォールから [Objects] >
[ 復号プロファイル ] を選択し、ヘルプ アイコンをクリックします。
これで、URL フィルタリング、App-ID、および User-ID といった強力な機能の基本を理解でき
ました。同様のポリシーをファイアウォールに適用し、Palo Alto Networks の App-ID シグネチャ
データベースで任意のアプリケーションを制御したり、URL フィルタリング データベースに含
まれる Web サイトを制御したりできます。
URL フィルタリングに関する問題のトラブルシューティングについては、「URL フィルタリング
のトラブルシューティング」を参照してください。
URL フィルタリング
401
URL フィルタリングのトラブルシューティング
URL フィルタリング
URL フィルタリングのトラブルシューティング
以下のトピックでは、一般的な URL フィルタリングの問題を診断および解決するためのトラブ
ルシューティングのガイドラインを説明します。

PAN-DB のアクティベーションに関する問題

PAN-DB クラウド接続の問題

Not-Resolved に分類された URL

誤った分類

URL データベースが古い
PAN-DB のアクティベーションに関する問題
このセクションでは、PAN-DB のアクティベーションに関する問題を解決するために実行でき
る手順を説明します。
1.
ファイアウォールで CLI にアクセスします。
2.
show system setting url-database コマンドを実行して PAN-DB がアクティベーションされているか
どうかを確認します。応答が paloaltonetworks である場合、PAN-DB がアクティブ ベンダーです。
3.
request license info コマンドを実行してファイアウォールに PAN-DB ライセンスがあることを確認
します。ライセンス エントリ [Feature: PAN_DB URL Filtering] を確認してください。ライセンスが
インストールされていない場合は、ライセンスを取得しインストールする必要があります。「URL
フィルタリングの設定」を参照してください。
4.
ライセンスをインストールしたら、request url-filtering download paloaltonetworks region <region> コ
マンドを実行して新しい PAN-DB シード データベースをダウンロードします。
5.
request url-filtering download status vendor paloaltonetworks
コマンドを実行してダウンロード
状態を確認します。
a. メッセージが PAN-DB download: Finished successfully 以外の場合は、ここで停止します。ク
ラウドの接続に問題がある可能性があります。ファイアウォールおよびインターネット間の基本
的なネットワークのトラブルシューティングを実行して、接続の問題の解決を試みてください。
詳細は、「PAN-DB クラウド接続の問題」を参照してください。
b. メッセージが PAN-DB download: Finished successfully である場合は、ファイアウォールが URL シー
ド データベースを正常にダウンロードしました。set system setting url-database paloaltonetworks
コマンドを実行して再度 PAN-DB の有効化を試行します。
6.
問題が解決しない場合は、Palo Alto Networks サポートまでお問い合わせください。
PAN-DB クラウド接続の問題
クラウドの接続を確認するには、show url-cloud status を実行します。クラウドが稼働し
ている場合は、以下のような応答が予測されます。
admin@PA-200> show url-cloud status
PAN-DB URL Filtering
402
URL フィルタリング
URL フィルタリング
License :
Current cloud server :
Cloud connection :
URL database version URL database version 2013/11/19
13:20:51 )
URL database status :
URL protocol version URL protocol version Protocol compatibility
URL フィルタリングのトラブルシューティング
device :
cloud :
valid
s0000.urlcloud.paloaltonetworks.com
connected
2013.11.18.000
2013.11.18.000 ( last update time
device :
cloud :
status :
good
pan/0.0.2
pan/0.0.2
compatible
クラウドがダウンしている場合は、以下のような応答が予測されます。
admin@PA-200> show url-cloud status
PAN-DB URL Filtering
License :
valid
Cloud connection :
not connected
URL database version - device :
2013.11.18.000
URL database version - cloud :
2013.11.18.000
2013/11/19
13:20:51 )
URL database status :
good
URL protocol version - device :
pan/0.0.2
URL protocol version - cloud :
pan/0.0.2
Protocol compatibility status :
compatible
( last update time
クラウドの接続の問題をトラブルシューティングするには、以下の手順を実行します。
1.
2.
PAN-DB ライセンスが invalid と表示されている場合は、有効な PAN-DB ライセンスを取得して、イ
ンストールします。
URL データベースの状態が out-of-date です。request url-filtering download paloaltonetworks region
<region> コマンドを実行して新しいシード データベースをダウンロードします。
3.
URL プロトコルのバージョンが not compatible と表示されています。PAN-OS ソフトウェア バージョ
ンを最新バージョンにアップグレードします。
4.
ファイアウォールが HA 設定である場合、デバイスの HA 状態でクラウド システムへの接続がサポー
トされていることを確認します。show high-availability state コマンドを実行すると、HA 状態を
特定できます。ファイアウォールが以下のいずれかの状態にない場合、クラウドへの接続はブロック
されます。
• active
• active-primary
• active-secondary
5.
クラウドが応答することを確認するため、管理コンピュータからクラウドに ping を実行してみます。
次に、インターネットにアクセスできるファイアウォールのインターフェイスから ping を実行して
みます例 :
ping host s0000.urlcloud.paloaltonetworks.com)。別のインターフェイスの IP から ping するには、送
信元を入力します(例 : ping source IP-Address host s0000.urlcloud.paloaltonetworks.com)。
6.
問題が解決しない場合は、Palo Alto Networks サポートまでお問い合わせください。
URL フィルタリング
403
URL フィルタリングのトラブルシューティング
URL フィルタリング
Not-Resolved に分類された URL
ほとんどまたはすべての URL が URL フィルタリング ログで Not-resolved に分類されている場合
は、以下の手順を実行します。
1.
show url-cloud status コマンドを実行して PAN-DB のクラウド接続を確認します。クラウドが
ダウンしている場合、URL MP キャッシュに存在しないすべてのエントリは、not-resolved に分類され
ます。セクション「PAN-DB クラウド接続の問題」を参照してクラウド接続の問題をトラブルシュー
ティングします。
2.
クラウドが稼働している場合は、ファイアウォールの現在の使用率を確認します。ファイアウォール
のパフォーマンスがスパイク状態である場合、URL 要求はドロップ(MP に到達することができな
い)され、not-resolved として分類されます。
3.
問題が解決しない場合は、Palo Alto Networks サポートまでお問い合わせください。
誤った分類
URL カテゴリが誤っている場合に使用する手順を以下で説明します。たとえば、URL paloaltonetworks.com
が alcohol-and-tobacco に分類されている場合、分類が誤っており、このカテゴリは computer-and-internet-info
である必要があります。
1.
show running url <URL> コマンドを実行してデータプレーン(DP)のカテゴリを確認します(例 :
show running url paloaltonetworks.com)。DP キャッシュに保存されている URL のカテゴ
リが正しい場合(この例では、computer-and-internet-info)、分類は正しく、さらに対策を実行する必要は
ありません。カテゴリが正しくない場合は、次の手順に進みます。
2.
test url-info-host <URL> コマンドを実行して管理プレーン(MP)のカテゴリを確認します(例 :
test url-info-host paloaltonetworks.com)。MP キャッシュに保存されている URL のカテゴ
リが正しい場合、clear url-cache url <URL> コマンドを実行して、URL DP キャッシュからこの
URL を削除する必要があります。次回、この URL のカテゴリをデバイスが要求すると、要求は MP に
転送されます。この処理により問題は解決し、さらに対策を実行する必要はありません。この処理で
問題が解決しない場合は、次の手順に進み、クラウド システムの URL カテゴリを確認します。
3.
test url-info-cloud <URL> コマンドを実行してクラウドのカテゴリを確認します。クラウドに
保存されている URL のカテゴリが正しい場合、以下の CLI コマンドを実行して、URL DP/MP キャッ
シュから URL を削除します。
DP キャッシュから URL を削除するには、以下のコマンドを実行します。
clear url-cache url <URL>
MP キャッシュから URL を削除するには、以下のコマンドを実行します。
delete url-database url <URL>
次回、この URL のカテゴリをデバイスがクエリすると、要求は MP に転送され、さらに、クラウド
に転送されます。これで、カテゴリ検索に関する問題は解決します。問題が解決しない場合は、次の
手順を参照して、分類変更要求を提出します。
4.
404
クラウドがカテゴリが正しくないことを示している場合、URL ログに移動して、Web インターフェイ
スから変更要求を提出し、変更を希望する URL のログ エントリを選択します。[ 分類の変更要求 ] リ
ンクをクリックして、表示される手順を実行します。URL を検索し、変更要求アイコンをクリック
して、Palo Alto Networks の Test A Site Web サイトでカテゴリ変更を要求することもできます。
URL フィルタリング
URL フィルタリング
URL フィルタリングのトラブルシューティング
URL データベースが古い
データベースが古いことを syslog または CLI で確認した場合は、ファイアウォールから URL ク
ラウドへの接続がブロックされることを意味します。これは、通常、ファイアウォール上の
URL データベースが古すぎる(バージョンの違いが 3 か月を上回る)場合に発生します。クラ
ウドはファイアウォールを自動的に更新することはできません。この問題を解決するには、初
期シード データベースをクラウドから再ダウンロードする必要があります(この操作はブロッ
クされません)。これにより、PAN-DB が自動的に再アクティベーションされます。
データベースを手動で更新するには、以下のいずれかの手順を実行します。
CLI: request url-filtering download paloaltonetworks region <region_name>
Web Interface: Select Device > Licenses and in the PAN-DB URL Filtering section, click the Re-Download link.
シード データベースの再ダウンロードを実行すると、管理プレーン(MP)キャッシュおよび
データプレーン(DP)キャッシュの内容は消去されます。その後、MP キャッシュは、新しく
ダウンロードされたシード データベースで再入力されます。
URL フィルタリング
405
URL フィルタリングのトラブルシューティング
URL フィルタリング
406
URL フィルタリング
Quality of Service(QoS)
Quality of Service(QoS)とは、限りあるネットワーク容量で優先順位の高いアプリケーションおよ
びトラフィックを処理するときの信頼性を保証するため、ネットワーク上で機能する一式のテ
クノロジです。QoS テクノロジでは、ネットワーク トラフィックの特定のフローごとに異なる
処理方法と容量を割り当てることによって、QoS を実現します。これによりネットワーク管理
者は、トラフィックの処理順位およびトラフィックに振り分ける帯域幅を割り当てることがで
きます。
Palo Alto Networks のアプリケーション Quality of Service(QoS)により、基本的な QoS をネットワー
クに適用し、それを拡張してアプリケーションとユーザーに QoS を適用することができます。
以下のトピックを読んで Palo Alto Networks のアプリケーション QoS について理解し、設定を
行ってください。

QoS の概要

QoS の設定

仮想システムの QoS の設定

QoS のユース ケース例
Quality of Service(QoS)
407
QoS の概要
Quality of Service(QoS)
QoS の概要
QoS を使用し、ネットワーク トラフィックの品質に優先順位を設定して調整を図ります。パケッ
トを処理する順序と帯域幅を割り当て、選択したトラフィック、アプリケーション、およびユー
ザーにとって望ましい処理方法と最適レベルのパフォーマンスが確保されるようにします。
QoS の実装に関係するサービス品質の測定量は、帯域幅(最大転送速度)、スループット(実
転送速度)、遅延(待ち時間)、およびジッター(遅延の変動)です。これらのサービス品質
測定量を形成および制御する QoS の能力は、VoIP(Voice over IP)、ビデオ会議、および遅延や
ジッターの影響を受けやすいビデオオンデマンドなど、高帯域幅のリアルタイム トラフィック
の場合に特に重要です。また、QoS を使用して、以下を実現できます。

ネットワークおよびアプリケーション トラフィックの優先順位を指定して、重要なトラフィック
に高い優先順位が指定されるよう保証したり、重要度の低いトラフィックを制限したりします。

同じネットワーク内のさまざまなサブネット、クラス、またはユーザー間で、帯域幅を均等
に共有します。

外部、内部、またはその両方で帯域幅を割り当て、アップロードとダウンロードの両方のト
ラフィックに QoS を適用するか、または一方のトラフィックにのみ適用します。

企業環境における顧客および収益に関係するトラフィックで低遅延が確保されるようにし
ます。

アプリケーションのトラフィック プロファイリングを実行して帯域幅の使用量を最適化し
ます。
各ファイアウォール モデルは、QoS で設定可能な最大ポート数をサポートしています。ご使用
のファイアウォール モデルの仕様書を参照してください。
Palo Alto Networks ファイアウォールでの QoS についての詳細は、以下のトピックを参照してく
ださい。

QoS の実装

QoS の概念
QoS の実装
Palo Alto Networks ファイアウォールへの QoS の実装作業は、QoS ソリューション全体をサポー
トする 3 つの主要な設定コンポーネントから開始します。

QoS プロファイル

QoS ポリシー

物理インターフェイスでの QoS
408
Quality of Service(QoS)
Quality of Service(QoS)
QoS の概要
QoS 設定タスクにおけるこれらの各オプションによって広範なプロセスを円滑に処理し、これ
によりトラフィック フローの最適化と優先順位付けを行い、設定可能なパラメータに応じた帯
域幅を割り当てて確保します。
図 : QoS トラフィック フローは、送信元から送信され、QoS が有効なファイアウォールによっ
て形成され、最終的に優先順位付けされて宛先に配信されるトラフィック フローを示してい
ます。
図 : QoS トラフィック フロー
QoS 設定オプションにより、トラフィック フローを制御し、フローのさまざまな位置で定義す
ることができます。図: QoS トラフィック フローは、設定可能なオプションによってトラフィッ
ク フローを定義する場所を示しています。QoS プロファイルを使用して QoS クラスを定義し、
QoS ポリシーを使用して QoS クラスを選択したトラフィックに関連付けます。物理インター
フェイスで QoS プロファイルを有効にし、QoS 設定に従ってネットワークを通過するときのフ
ローを形成します。
QoS プロファイルと QoS ポリシーは、管理者の必要に応じて、個別に設定するか、または任意
の順序で設定できます。QoS 設定の各オプションには他のオプションの定義に影響するコン
ポーネントが含まれており、QoS 設定の各オプションは、全体的で詳細な QoS ポリシーを作成
するために使用するか、最小限の管理者アクションで限定的に使用することができます。
QoS の概念
以下のトピックを読み、Palo Alto Networks ファイアウォールにおける QoS 設定のさまざまなコ
ンポーネントおよびメカニズムについて学習してください。

アプリケーションおよびユーザーの QoS

QoS プロファイル

QoS クラス

QoS ポリシー

QoS 出力インターフェイス

QoS のクリアテキストおよびトンネル対象トラフィック
Quality of Service(QoS)
409
QoS の概要
Quality of Service(QoS)
アプリケーションおよびユーザーの QoS
Palo Alto Networks ファイアウォールには、ネットワークまたはサブネットに応じてファイア
ウォールから送出されるトラフィックを制御する基本的な QoS 機能があり、QoS の機能を拡張
して、アプリケーションおよびユーザーに応じてトラフィックの分類と形成も実行します。
Palo Alto Networks ファイアウォールは、App-ID と User-ID の機能を QoS 設定と統合することに
よってこの機能を実現します。ネットワーク内の特定のアプリケーションとユーザーを識別す
るための App-ID および User-ID エントリは QoS 設定に含まれているため、QoS を適用するアプ
リケーションとユーザーを容易に指定することができます。
Web インターフェイスで QoS ポリシーを使用し([Policies] > [QoS])、アプリケーションのト
ラフィックを指定して QoS を適用することができます。
またはユーザーのトラフィックを指定して適用することもできます。
これらの機能の詳細は、「App-ID」および「User-ID」を参照してください。
410
Quality of Service(QoS)
Quality of Service(QoS)
QoS の概要
QoS プロファイル
QoS プロファイルを使用して、1 つのプロファイル内に含まれる最大 8 つの QoS の値を定義し
ます([Network] > [ ネットワーク プロファイル ] > [QoS プロファイル ])。
QoS は、ネットワーク、アプリケーション、またはユーザー トラフィック(あるいは、特にク
リアテキストまたはトンネル対象トラフィック)の出力インターフェイスに QoS プロファイル
を適用することによって有効にされます。QoS が設定されているインターフェイスは、QoS プ
ロファイル クラスの定義、および QoS ポリシーでそれらのクラスに関連付けられているトラ
フィックに応じて、トラフィックを形成します。
ファイアウォールでは、デフォルトの QoS プロファイルを使用できます。プロファイルで定義
されているデフォルトのプロファイルおよびクラスには、最大帯域幅または保証帯域幅の制限
が事前定義されていません。
帯域幅制限は、1 つの QoS プロファイルについて、または QoS プロファイル内の個々の QoS ク
ラスについて設定できます。QoS プロファイルに含まれる 8 つすべての QoS クラスの保証帯域
幅制限の合計を QoS プロファイルに割り当てる合計帯域幅より大きくすることはできません。
物理インターフェイスで QoS を有効にすることには、このインターフェイスを介してファイア
ウォールから送出されるトラフィックの最大帯域幅を設定することが含まれます。QoS プロ
ファイルの保証帯域幅([ 最低保証帯域 出力側 ] フィールド)は、QoS が有効になっている物理
インターフェイスに割り当てられている帯域幅を超えないようにする必要があります。
詳細は、「QoS プロファイルを作成します。」を参照してください。
Quality of Service(QoS)
411
QoS の概要
Quality of Service(QoS)
QoS クラス
QoS クラスにより、割り当てられているトラフィックの優先順位と帯域幅が決まります。Web
インターフェイスで、QoS プロファイルを使用して QoS クラスを定義します([Network] >
[ ネットワーク プロファイル ] > [QoS プロファイル ])。
QoS クラスの定義には、クラスの優先順位、最大帯域幅([ 最大保証帯域出力側 ])、および保
証帯域幅([ 最低保証帯域出力側 ])が含まれます。
リアルタイム優先順位は、通常、音声およびビデオ アプリケーションなど、遅延の影響を受け
やすいアプリケーションで使用されます。
QoS ポリシーを使用して、指定したトラフィックに QoS クラスを割り当てます([Policies] >
[QoS])。
単一の QoS プロファイルには、定義可能な QoS クラスが 8 つあります。特に設定しない限り、
QoS クラスに一致しないトラフィックには class 4 が割り当てられます。
412
Quality of Service(QoS)
Quality of Service(QoS)
QoS の概要
QoS 設定の基本的なメカニズムである QoS の優先キューイングおよび帯域幅管理は、QoS クラ
ス定義内で設定されます(ステップ 3 を参照)。キューイング優先順位は、QoS クラスに設定
された優先順位によって決まります。帯域幅管理は、QoS クラスに設定された最大帯域幅と保
証帯域幅に応じて決まります。
キューイングおよび帯域幅管理メカニズムにより、トラフィックの順序と、ネットワークを出
入りするときのトラフィックの処理方法が決まります。

QoS 優先順位 : QoS クラスでは、4 つの QoS 優先順位(real-time、high、medium、および low)
のいずれかを定義できます。QoS を特定のトラフィックに関連付けると、その QoS クラスに
定義されている優先順位がトラフィックに割り当てられます。その後、トラフィック フロー
内のパケットは、ネットワーク側で処理する準備ができるまで、それぞれの優先順位に従っ
てキューに格納されます。この優先キューイング方法では、重要なトラフィック、アプリ
ケーション、またはユーザーが確実に優先されるようにすることができます。

QoS クラスの帯域幅管理 : QoS クラスの帯域幅管理では、ネットワークのトラフィック フローを
制御し、トラフィックがネットワークの容量を超過して、ネットワークで輻輳が発生しない
ようにすることができます。あるいは、トラフィック、アプリケーション、またはユーザー
に特定の帯域幅制限を割り当てることができます。QoS プロファイルを使用して帯域幅全体
に制限を設定するか、個々の QoS クラスに制限を設定することができます。QoS プロファイ
ルとそのプロファイル内の QoS クラスには、保証帯域幅制限と最大帯域幅制限があります。
保証帯域幅制限([ 最低保証帯域出力側 ])により、設定された帯域幅制限内の任意の量のト
ラフィックが確実に処理されるようにします。最大帯域幅制限([最大保証帯域出力側])では、
QoS プロファイルまたは QoS クラスのいずれかに割り当てる合計帯域幅の上限値を設定しま
す。最大帯域幅制限を超える部分のトラフィックはドロップされます。1 つの QoS プロファ
イルに含まれる各 QoS クラスの合計帯域幅制限および保証帯域幅制限を、その QoS プロ
ファイルの帯域幅制限より大きくすることはできません。
Quality of Service(QoS)
413
QoS の概要
Quality of Service(QoS)
QoS ポリシー
QoS 設定では、QoS ポリシーにより、1 つの定義済みパラメータまたは複数のパラメータを使用
して QoS 処理(優先処理または帯域幅制限)を必要とするトラフィックを識別し、それを 1 つの
クラスに割り当てます。
セキュリティ ポリシーに似た QoS ポリシーを使用して、トラフィックを識別する以下の基準を
設定します。

アプリケーションとアプリケーション グループ。

送信元ゾーン、送信元アドレス、および送信元ユーザー。

宛先ゾーンと宛先アドレス。

特定の TCP や UDP のポート番号に制限されるサービスまたはサービス グループ。

カスタム URL カテゴリを含む URL カテゴリ。
Web インターフェイスの QoS ポリシー([Policies] > [QoS])により、トラフィックを指定する
ために使用される基準を QoS クラスに関連付けることができます。
QoS 出力インターフェイス
QoS 処理対象として識別されたトラフィックの出力インターフェイスで QoS プロファイルを有
効にすれば、QoS 設定が完了します。QoS トラフィックの入力インターフェイスは、トラ
フィックがファイアウォールに入るときのインターフェイスです。QoS トラフィックの出力イ
ンターフェイスは、トラフィックがファイアウォールから出るときのインターフェイスです。
QoS は常時有効で、トラフィック フローの出力インターフェイスで適用されます。QoS 設定の
出力インターフェイスは、ファイアウォールの外向きまたは内向きのインターフェイスであ
り、QoS 処理の対象となるトラフィックのフローに応じて決まります。
たとえば、企業ネットワークで特定の Web サイトからの従業員のダウンロード トラフィックを制
限する場合、QoS 設定での出力インターフェイスはファイアウォールの内部インターフェイスと
なります。これは、インターネット側から出発してファイアウォールを通過し、企業ネットワー
クに送信されるトラフィック フローだからです。一方、同じ Web サイトに向かう従業員のアップ
ロード トラフィックを制限する場合、QoS 設定での出力インターフェイスはファイアウォールの
外部インターフェイスです。これは、制限対象のトラフィックが、企業ネットワークから出発し
てファイアウォールを通過し、インターネット側に送信されるフローだからです。
414
Quality of Service(QoS)
Quality of Service(QoS)
QoS の概要
「QoS 処理が必要なアプリケーションの出力インターフェイスを特定します。」については、
ステップ 3 を参照してください。
QoS のクリアテキストおよびトンネル対象トラフィック
QoS の物理インターフェイス設定内では、インターフェイスが送信元となるクリアテキスト ト
ラフィックとトンネル対象トラフィックの QoS 設定をより詳細に行うことができます。個々の
トンネル インターフェイスには、別々の QoS プロファイルを割り当てることができます。クリ
アテキスト トラフィックには、トラフィックの送信元インターフェイスと送信元サブネットに
応じてさまざまな QoS プロファイルを割り当てることができます。この場合、送信元インター
フェイスと送信元サブネットは、1 つの QoS プロファイルに関連付けることができます。特定
の QoS 処理の対象とするクリアテキストまたはトンネル対象トラフィックを選択しないように
する場合、インターフェイスで QoS を有効にするには、デフォルトの QoS プロファイルを選択
して、特定のトンネル インターフェイスのトラフィックを形成する方法、またはクリアテキス
ト トラフィックの場合には送信元インターフェイスと送信元サブネットを決定する必要があり
ます。
Palo Alto Networks ファイアウォールでの「トンネル対象トラフィック」は、特にトンネル
モードの IPSec トラフィックなどのトンネル インターフェイスのトラフィックを指します。
Quality of Service(QoS)
415
QoS の設定
Quality of Service(QoS)
QoS の設定
以下のタスクを実行して Quality of Service(QoS)を設定します。このタスクには、QoS プロ
ファイルの作成方法、QoS ポリシーの作成方法、およびインターフェイスで QoS を有効にする
方法なども含まれます。
QoS の設定
ステップ 1
416
QoS を適用するトラフィックを [ACC] を選択して [ アプリケーション コマンド センター]
ページを表示します。[ACC] ページの設定項目およびグラ
指定します。
フを使用して、アプリケーション、URL フィルタリング、
この例では、QoS を使用して
脅威防御、データ フィルタリング、および HIP マッチに
Web 閲覧を制限する方法を示
関連した傾向およびトラフィックを表示します。
します。
任意のアプリケーション名をクリックして、詳細なアプリ
ケーション情報を表示します。
Quality of Service(QoS)
Quality of Service(QoS)
QoS の設定
QoS の設定(続き)
ステップ 2
QoS 処理が必要なアプリケー [Monitor] > [ ログ ] > [ トラフィック ] の順に選択して、デ
ションの出力インターフェイ バイスのトラフィック ログを表示します。
スを特定します。
フィルタリングして特定のアプリケーションのログのみを
ヒント : トラフィックの出力イ 表示するには、以下の手順を実行します。
ンターフェイスは、トラフィッ
ク フローによって決まりま
す。受信トラフィックを形成す
る場合、出力インターフェイ
スは内向きインターフェイス
です。送信トラフィックを形
成 す る 場 合、出 力 イ ン タ ー
フェイスは外向きインター
フェイスです。
• アプリケーションのエントリが表示された場合は、[ アプ
リケーション ] 列の下線の付いたリンクをクリックし、
サブミット アイコン
をクリックします。
• アプリケーションのエントリが表示されない場合は、ロ
グ フィルタの追加アイコン
をクリックし、アプリ
ケーションを検索します。
トラフィック ログの [ 出力インターフェイス ] には、各ア
プリケーションの出力インターフェイスが表示されます。
デフォルトで表示されていない場合に [ 出力インターフェ
イス ] 列を表示するには、以下の手順を実行します。
• 任意の列ヘッダーをクリックして、ログに列を追加し
ます。
• 任意のエントリの左側にある拡大鏡アイコンをクリック
して、詳細ログを表示します。[ 宛先 ] セクションのリス
トにアプリケーションの出力インターフェイスが表示さ
れます。
この例の場合、web-browsing トラフィックの出力インター
フェイスは ethernet 1/1 です。
Quality of Service(QoS)
417
QoS の設定
Quality of Service(QoS)
QoS の設定(続き)
ステップ 3
QoS プロファイルを作成します。 1.
QoS プロファイル名をクリッ
クすることにより、デフォル
トを含む任意の既存 QoS プロ 2.
3.
ファイルを編集できます。
4.
[Network] > [ ネットワーク プロファイル ] > [QoS プロ
ファイル ] の順に選択し、[ 追加 ] をクリックして [QoS プロファイル ] ダイアログを開きます。
分かりやすい [ プロファイル名 ] を入力します。
[ 最大保証帯域出力側 ] を入力して、QoS プロファイル
の全体的な帯域幅割り当てを設定します。
[ 最低保証帯域出力側 ] を入力して、QoS プロファイル
の保証帯域幅を設定します。
注 QoS プロファイルの出力保証制限を超えるトラ
フィックは、ベスト エフォートであり、保証
されません。
5.
[ クラス ] セクションで、最大で 8 つの個々の QoS クラ
スの処理方法を指定します。
a. [ 追加 ] をクリックして、クラスを QoS プロファイル
に追加します。
b. クラスの [ 優先順位 ] を選択します。
c. クラスの [ 最大保証帯域出力側 ] を入力して、個々の
クラスの全体の帯域幅制限を設定します。
d. クラスの [ 最低保証帯域出力側 ] を入力して、個々の
クラスの保証帯域幅を設定します。
6.
[OK] をクリックして QoS プロファイルを閉じます。
以下の例において、Limit Web Browsing という名前の QoS プ
ロファイルでは、class 2 トラフィックとして指定されたト
ラフィックの最大帯域幅を 50 Mbps に、保証帯域幅を 2
Mbps に制限しています。QoS ポリシーで class 2 に関連付け
られているトラフィック(ステップ 4)は、すべてこれら
の制限値に制限されます。
418
Quality of Service(QoS)
Quality of Service(QoS)
QoS の設定
QoS の設定(続き)
ステップ 4
QoS ポリシーを作成します。
1.
[Policies] > [QoS] の順に選択し、[ 追加 ] をクリックし
て [QoS ポリシー ルール ] ダイアログを開きます。
2.
[ 全般 ] タブで、QoS ポリシー ルールに分かりやすい
[ 名前 ] を付けます。
3.
QoS ポリシー ルールを適用するトラフィックを指定し
ます。[ 送信元 ]、[ 宛先 ]、[ アプリケーション ]、およ
び [サービス/URL カテゴリ] タブを使用して、トラフィッ
クを識別するための照合パラメータを定義します。
たとえば、[ アプリケーション ] タブを選択して [ 追加 ]
をクリックし、web-browsing を選択して、QoS ポリシー
ルールをそのアプリケーションに適用します。
(任意)追加のパラメータを定義します。たとえば、
[送信元] タブで [追加] をクリックして、特定のユーザー
(この場合は user1)の web-browsing を制限します。
Quality of Service(QoS)
4.
[ その他の設定 ] タブで、QoS ポリシー ルールに割り当
て る QoS ク ラ ス を 選 択 し ま す。た と え ば、user1 の
web-browsing トラフィックを class 2 に割り当てます。
5.
[OK] をクリックして QoS ポリシー ルールを保存し
ます。
419
QoS の設定
Quality of Service(QoS)
QoS の設定(続き)
ステップ 5
物理インターフェイスで QoS プ 1.
ロファイルを有効にします。
物理インターフェイスの QoS 2.
[Network] > [QoS] の順に選択し、[ 追加 ] をクリックし
て [QoS インターフェイス ] ダイアログを開きます。
物理インターフェイスで QoS を有効にします。
a. [ 物理インターフェイス ] タブで、QoS プロファイル
を適用するインターフェイスの [ インターフェイス名 ]
を選択します。
の設定に加え、クリアテキス
トおよびトンネル対象トラ
フィックを選択して、特定の
この例の場合、web-browsing トラフィックの出力イ
QoS 処理を設定できます。
ンターフェイスは
ethernet 1/1 です(ステップ 2 を
• トラフィックの送信元イン
参照)。
ターフェイスと送信元サブ
ネットを QoS の識別と処理
b. [ このインターフェイスの QoS 機能をオンにする ] を
選択します。
の条件として使用して、ク
リアテキスト トラフィック 3. [ 物理インターフェイス ] タブで、すべての [ クリア テ
に特定の設定を行うには、
キスト ] トラフィックにデフォルトで適用する QoS プ
ステップ 5 - 4 を実行します。
ロファイルを選択します。
• QoS プロファイルを特定の
(任意)[ トンネル インターフェイス ] フィールドを使
トンネル対象トラフィック
用して、QoS プロファイルをすべてのトンネル対象ト
に適用するには、ステップ
ラフィックにデフォルトで適用します。
5 - 5 を実行します。
たとえば、ethernet 1/1 で QoS を有効にし、クリアテキスト ト
詳細は、「QoS のクリアテキ ラフィックのデフォルト QoS プロファイルとして Limit Web
ストおよびトンネル対象トラ Browsing という名前の QoS プロファイルを適用します。
フィ ック」を 参 照 し て く だ
さい。
注 QoS インターフェイスの
[ 最大保証帯域出力側 ] 値
は、常 に 定 義 し て お く こ
とをお勧めします。
4.
(任意)[クリア テキスト トラフィック] タブで、クリア
テキスト トラフィックの QoS をより詳細に設定します。
• クリアテキスト トラフィックの [ 最低保証帯域出力側 ]
および [ 最大保証帯域出力側 ] の帯域幅を設定します。
• [ 追加 ] をクリックして、選択したクリア テキスト ト
ラフィックに QoS プロファイルを適用し、さらに、
送信元インターフェイスと送信元サブネット(QoS
ノードを作成)に従って QoS 処理を行うトラフィッ
クを選択します。
5.
(任意)[ トンネル対象トラフィック ] タブで、トンネ
ル インターフェイスの QoS をより詳細に設定します。
• トンネル対象トラフィックの [最低保証帯域出力側] お
よび [ 最大保証帯域出力側 ] の帯域幅を設定します。
• [追加] をクリックし、選択したトンネル インターフェ
イスに QoS プロファイルを関連付けます。
6.
7.
420
[OK] をクリックして QoS プロファイルを閉じます。
Commit 変更をコミットして、インターフェイスでその
QoS プロファイルを有効にします。
Quality of Service(QoS)
Quality of Service(QoS)
QoS の設定
QoS の設定(続き)
ステップ 6
QoS 設定を確認します。
[Network] > [QoS] の順に選択して [QoS ポリシー] ページ
を表示し、[ 統計 ] リンクをクリックして、QoS 帯域幅、選
択した QoS ノードまたはクラスのアクティブなセッショ
ン、および選択した QoS ノードまたはクラスのアクティブ
なアプリケーションを表示します。
たとえば、QoS が有効な ethernet 1/1 の統計を表示します。
class 2 のトラフィックの保証帯域幅は 2 Mbps に、最大帯域
幅は 50 Mbps に制限されています。
続けて該当するタブをクリックし、アプリケーション、送
信元ユーザー、宛先ユーザー、セキュリティ ルール、およ
び QoS ルールに関する詳細を表示します。
注
Quality of Service(QoS)
[QoS 統計情報 ] ウィンドウに表示される帯域幅制限
には、ハードウェアの調整ファクタが含まれます。
421
仮想システムの QoS の設定
Quality of Service(QoS)
仮想システムの QoS の設定
QoS は、Palo Alto Networks ファイアウォール内の 1 つの仮想システム、または複数の仮想システム
に対して設定できます。仮想システムは独立ファイアウォールであるため、1 つの仮想システム
に対して QoS を個別に設定し、QoS 設定をその仮想システムにのみ適用する必要があります。
仮想システムに QoS を設定する方法は、物理ファイアウォールに QoS を設定する方法と類似し
ています。異なるのは、仮想システムに QoS を設定する場合は、トラフィック フローの送信元
と宛先のゾーン、および送信元と宛先のインターフェイスを指定する必要がある点です。仮想
システムでは、トラフィック フローが通過する物理的境界(物理インターフェイスなど)が設
定されていません。トラフィック フローの範囲は仮想環境内の複数の仮想システムに及ぶた
め、トラフィック フローの送信元と宛先のゾーンおよびインターフェイスを指定することで、
その仮想システムのみでトラフィックを制御および形成することができます。
以下の例は、ファイアウォール内に設定された 2 つの仮想システムを示しています。VSYS 1
(紫)および VSYS 2(赤)のそれぞれに、2 つの明確なトラフィック フローの優先順位を設定
するか制限する目的で QoS が設定されており、それぞれの対応する紫(VSYS 1)および赤
(VSYS 2)の線で表示されています。QoS ノードは、各仮想システムで QoS トラフィックが識
別されて形成される位置を示します。
仮想システムとその設定方法の詳細は、『Virtual Systems (VSYS) Tech Note』 を参照してください。
422
Quality of Service(QoS)
Quality of Service(QoS)
仮想システムの QoS の設定
仮想システム環境での QoS の設定
ステップ 1
各仮想システムに、適切なイ • 設 定 さ れ て い る イ ン タ ー フ ェ イ ス を 表 示 す る に は、
[Network] > [ インターフェイス ] の順に選択します。
ン タ ー フ ェ イ ス、仮 想 ル ー
タ ー、お よ び セ キ ュ リ テ ィ
• 設定されているゾーンを表示するには、[Network] > [ ゾー
ゾーンが関連付けられている
ン ] の順に選択します。
ことを確認します。
• 定義されている仮想ルーターの情報を表示するには、
[Network] > [ 仮想ルーター] の順に選択します。
ステップ 2
QoS を適用するトラフィックを [ACC] を選択して [ アプリケーション コマンド センター] ペー
指定します。
ジを表示します。[ACC] ページの設定項目およびグラフを
使用して、アプリケーション、URL フィルタリング、脅威
防御、データ フィルタリング、および HIP マッチに関連
した傾向およびトラフィックを表示します。
特定の仮想システムの情報を表示するには、[ 仮想システム ]
ドロップダウンから仮想システムを選択します。
任意のアプリケーション名をクリックして、詳細なアプリ
ケーション情報を表示します。
Quality of Service(QoS)
423
仮想システムの QoS の設定
Quality of Service(QoS)
仮想システム環境での QoS の設定(続き)
ステップ 3
QoS 処理が必要なアプリケー [Monitor] > [ ログ ] > [ トラフィック ] の順に選択して、デ
ションの出力インターフェイ バイスのトラフィック ログを表示します。各エントリに
は、仮想システム環境で QoS を設定するために必要な情報
スを特定します。
を含む列を表示するオプションがあります。
仮想システム環境では、仮想
システム上のトラフィックの • 仮想システム
出 力 点 で、ト ラ フ ィ ッ ク に • 出力インターフェイス
QoS が適用されます。仮想シ
ステムの設定および QoS ポリ • 入力インターフェイス
シーに応じて、QoS トラフィッ • 送信元ゾーン
クの出力点は、物理インター
• 宛先ゾーン
フェイスに関連付けるか、設
定されたゾーンにすることが デフォルトで表示されていない場合にその列を表示するに
は、以下の手順を実行します。
できます。
この例は、vsys 1 での web-browsing • 任意の列ヘッダーをクリックして、ログに列を追加し
ます。
トラフィックの制限方法を示
しています。
• 任意のエントリの左側にある拡大鏡アイコンをクリックし
てアプリケーションの出力インターフェイスを含む詳細ロ
グを表示します。同時に [ 送信元 ] と [ 宛先 ] のセクション
には、送信元ゾーンと宛先ゾーンが表示されます。
たとえば、VSYS 1 からの web-browsing トラフィックの場合
は、入力インターフェイスが ethernet 1/2、出力インター
フェイスが ethernet 1/1、送信元ゾーンが trust、および宛先
ゾーンが untrust です。
424
Quality of Service(QoS)
Quality of Service(QoS)
仮想システムの QoS の設定
仮想システム環境での QoS の設定(続き)
ステップ 4
QoS プロファイルを作成します。 1.
プロファイル名をクリックす
ることにより、デフォルトを
含む任意の既存 QoS プロファ 2.
3.
イルを編集できます。
4.
[Network] > [ ネットワーク プロファイル ] > [QoS プロ
ファイル ] の順に選択し、[ 追加 ] をクリックして [QoS
プロファイル ] ダイアログを開きます。
分かりやすい [ プロファイル名 ] を入力します。
[ 最大保証帯域出力側 ] を入力して、QoS プロファイル
の全体的な帯域幅割り当てを設定します。
[ 最低保証帯域出力側 ] を入力して、QoS プロファイル
の保証帯域幅を設定します。
注 QoS プロファイルの出力保証制限を超えるトラ
フィックは、ベスト エフォートであり、保証
されません。
5.
[QoS プロファイル ] の [ クラス ] セクションで、最大で
8 つの個々の QoS クラスの処理方法を指定します。
a. [ 追加 ] をクリックして、クラスを QoS プロファイル
に追加します。
b. クラスの [ 優先順位 ] を選択します。
c. クラスの [ 最大保証帯域出力側 ] を入力して、個々の
クラスの全体の帯域幅制限を設定します。
d. クラスの [ 最低保証帯域出力側 ] を入力して、個々の
クラスの保証帯域幅を設定します。
6.
Quality of Service(QoS)
[OK] をクリックして QoS プロファイルを閉じます。
425
仮想システムの QoS の設定
Quality of Service(QoS)
仮想システム環境での QoS の設定(続き)
ステップ 5
QoS ポリシーを作成します。
1.
マルチ VSYS 環境では、トラ
フィックの範囲が、QoS を設 2.
定する仮想システム上の入力
点より前の複数の仮想システ 3.
ムに及ぶ可能性があります。
QoS トラフィックの送信元ゾー
ンと宛先ゾーンを指定する
と、特定の仮想システム(こ
の例では vsys 1)を通過すると
きにトラフィックが正しく識
別され、指定された仮想シス
テムの場合にのみトラフィッ
クに QoS が適用されます(設
定されているその他の仮想シ
ステムのトラフィックには適
用されません)。
426
[Policies] > [QoS] の順に選択し、[ 追加 ] をクリックし
て [QoS ポリシー ルール ] ダイアログを開きます。
[ 全般 ] タブで、QoS ポリシー ルールに分かりやすい [ 名
前 ] を付けます。
QoS ポリシー ルールを適用するトラフィックを指定しま
す。[ 送信元 ]、[ 宛先 ]、[ アプリケーション ]、および
[サービス/URL カテゴリ] タブを使用して、トラフィッ
クを識別するための照合パラメータを定義します。
たとえば、[ アプリケーション ] タブを選択して [ 追加 ]
をクリックし、web-browsing を選択して、QoS ポリ
シー ルールをそのアプリケーションに適用します。
4.
[ 送信元 ] タブで [ 追加 ] をクリックして、vsys 1 の
web-browsing トラフィックの送信元ゾーンを選択します。
5.
[宛先] タブで [追加] をクリックして、vsys 1 の web-browsing
トラフィックの宛先ゾーンを選択します。
6.
[ その他の設定 ] タブで、その QoS ポリシー ルールに割
り当てる [QoS クラス ] を選択します。たとえば、vsys 1
の web-browsing トラフィックにクラス 2 を割り当て
ます。
7.
[OK] をクリックして QoS ポリシー ルールを保存し
ます。
Quality of Service(QoS)
Quality of Service(QoS)
仮想システムの QoS の設定
仮想システム環境での QoS の設定(続き)
ステップ 6
物理インターフェイスで QoS プ 1.
ロファイルを有効にします。
[Network] > [QoS] の順に選択し、[ 追加 ] をクリック
して [QoS インターフェイス ] ダイアログを開きます。
注 QoS インターフェイスの [最 2.
大保証帯域出力側 ] 値は、
常に定義しておくことを
お勧めします。
物理インターフェイスで QoS を有効にします。
a. [ 物理インターフェイス ] タブで、QoS プロファイル
を適用するインターフェイスの [インターフェイス
名 ] を選択します。
この例の場合、vsys 1 での web-browsing トラフィック
の出力インターフェイスは ethernet 1/1 です(ステッ
プ 2 を参照 )。
b. [ このインターフェイスの QoS 機能をオンにする ] を
選択します。
3.
4.
[ 物理インターフェイス ] タブで、すべての [ クリア テ
キスト ] トラフィックに適用するデフォルトの QoS プ
ロファイルを選択します。
(任意)[ トンネル インターフェイス ] フィールドを使
用して、デフォルトの QoS プロファイルをすべてのト
ンネル対象トラフィックに適用します。
(任意)[ クリア テキスト トラフィック ] タブで、ク
リア テキスト トラフィックの追加の QoS 設定を行い
ます。
• クリアテキスト トラフィックの [ 最低保証帯域出力
側 ] および [ 最大保証帯域出力側 ] の帯域幅を設定
します。
• [ 追加 ] をクリックして、選択したクリア テキスト ト
ラフィックに QoS プロファイルを適用し、さらに、
送信元インターフェイスと送信元サブネット(QoS
ノードを作成)に従って QoS 処理を行うトラフィッ
クを選択します。
5.
(任意)[ トンネル対象トラフィック ] タブで、トンネ
ル インターフェイスの追加の QoS 設定を行います。
• トンネル対象トラフィックの [ 最低保証帯域出力側 ] お
よび [ 最大保証帯域出力側 ] の帯域幅を設定します。
• [ 追加 ] をクリックし、選択したトンネル インターフェ
イスに QoS プロファイルを関連付けます。
Quality of Service(QoS)
6.
[OK] をクリックして、変更を保存します。
7.
Commit 変更を [Commit] します。
427
仮想システムの QoS の設定
Quality of Service(QoS)
仮想システム環境での QoS の設定(続き)
ステップ 7
QoS 設定を確認します。
• [Network] > [QoS] の順に選択して、[QoS ポリシー] ペー
ジを表示します。[QoS ポリシー] ページで、QoS が有効
になっており、[ 統計 ] リンクが含まれることを確認しま
す。[ 統計 ] リンクをクリックして、QoS 帯域幅、選択し
た QoS ノードまたはクラスのアクティブなセッション、
および選択した QoS ノードまたはクラスのアクティブな
アプリケーションを表示します。
• マルチ VSYS 環境では、セッションが複数のシステムを
またぐことはできません。トラフィックが複数の仮想シ
ステムを通過する場合は、1 つのトラフィック フローに
つ い て 複 数 の セ ッ シ ョ ン が 作 成 さ れ ま す。フ ァ イ ア
ウォール上で実行されているセッションを参照し、適用
されている QoS ルールと QoS クラスを表示するには、
[Monitor] > [ セッション ブラウザ ] の順に選択します。
428
Quality of Service(QoS)
Quality of Service(QoS)
QoS のユース ケース例
QoS のユース ケース例
以下のユース ケースは、一般的なシナリオでの QoS の使用方法を示しています。

単一ユーザーの場合の QoS

音声およびビデオ アプリケーションの QoS
単一ユーザーの場合の QoS
CEO が、ネットワーク使用量が多い時間帯になると、企業のアプリケーションにアクセスでき
なくなり、重要なビジネス上の通信に十分に応答できないことに気付きました。IT 管理者は、
その CEO が送受信するすべてのトラフィックが他の従業員のトラフィックよりも優先的に処理
されるようにして、重要なネットワーク リソースへのアクセスだけでなく、そのネットワーク
リソースのパフォーマンスを高めることを CEO に保証します。
単一ユーザーへの QoS の適用
ステップ 1
管理者は、QoS プロファイル CEO_traffic を作成して、CEO が送信するトラフィックが企業
ネットワークから出るときに、どのように処理され形成されるかを定義します。
管理者は、50 Mbps を保証帯域([ 最低保証帯域出力側 ])として割り当て、ネットワーク
の輻輳状態に関係なく常にその帯域幅(CEO の必要量を超える)が CEO に割り当てられ
るように保証します。
管理者は、次に class1 トラフィックの優先順位を high に指定し、プロファイルの最大帯域幅
使用量([ 最大保証帯域出力側 ])を、管理者が QoS を有効にするインターフェイスの最大
帯域幅と同じ 1000 Mbps に設定します。管理者は、いかなる場合でも CEO の帯域幅使用量
が制約されないような設定を選択しています。
注 ベスト プラクティスでは、プロファイルの最大帯域幅がインターフェイスの最大帯域幅
と一致する場合でも、QoS プロファイルの [ 最大保証帯域出力側 ] フィールドに値を入
力します。QoS プロファイルの最大帯域幅は、QoS を有効にする予定のインターフェ
イスの最大帯域幅を決して超えないようにする必要があります。
Quality of Service(QoS)
429
QoS のユース ケース例
Quality of Service(QoS)
単一ユーザーへの QoS の適用(続き)
ステップ 2
管理者は、QoS ポリシーを作成して CEO のトラフィックを識別し([Policies] > [QoS])、
QoS プロファイルで定義したクラスにそのトラフィックを割り当てます(ステップ 1 を参
照)。User-ID が設定されるため、管理者は QoS ポリシーの [ 送信元 ] タブを使用すること
により、企業ネットワーク ユーザー名によって CEO のトラフィックを個別に識別しま
す。(User-ID が設定されない場合、管理者は [ 送信元アドレス ] の下に CEO の IP アド
レスを [ 追加 ] できます。「User-ID」を参照してください)。
管理者は、CEO のトラフィックを class1 と関連付け([ その他の設定 ] タブ)、続けて残り
の必須フィールドに値を入力します。つまり管理者は、ポリシーに分かりやすい [ 名前 ]
([ 全般 ] タブ)を付け、[ 送信元ゾーン ]([ 送信元 ] タブ)と [ 宛先ゾーン ]([ 宛先 ] タ
ブ)で [ いずれか ] を選択します。
ステップ 3
これで CEO のトラフィックに class1 が関連付けられ、管理者は、[ このインターフェイス
の QoS 機能をオンにする ] をオンにし、トラフィック フローの出力インターフェイスを選
択して、QoS を有効にします。CEO のトラフィック フローの出力インターフェイスは外
向きインターフェイスで、この場合は ethernet 1/2 です。
管理者は、作成した QoS プロファイルと関連 QoS ポリシーによって CEO が送信するすべ
てのトラフィックが保証されるようにするため、CEO_traffic を選択して ethernet 1/2 からの
[ クリア テキスト ] トラフィックに適用します。
430
Quality of Service(QoS)
Quality of Service(QoS)
QoS のユース ケース例
単一ユーザーへの QoS の適用(続き)
ステップ 4
QoS 設定のコミット後、管理者は [Network] > [QoS] ページに移動して、外向きインター
フェイス ethernet 1/2 で QoS プロファイル CEO_traffic が有効になっていることを確認します。
[ 統計 ] をクリックして、CEO が発信するトラフィック(class 1)が ethernet 1/2 を通過する
ときにどのように形成されているかを確認します。
注
このケースでは、単一の送信元ユーザーからのトラフィックに QoS を適用する方法を示します。
ただし、宛先ユーザーへのトラフィックの保証および形成も行う場合は、同様の QoS セットアッ
プを設定できます。このワーク フローの代わりに、またはそれに加えて、(ステップ 2 で示され
ているユーザーの送信元情報を指定する代わりに)[Policies] > [QoS] ページで [ 宛先アドレス ] と
してユーザーの IP アドレスを指定し、次に [Network] > [QoS] ページで、(ステップ 3 で示されて
いる外向きインターフェイスの代わりに)ネットワークの内向きインターフェイスで QoS を有効
にします。
Quality of Service(QoS)
431
QoS のユース ケース例
Quality of Service(QoS)
音声およびビデオ アプリケーションの QoS
音声およびビデオ トラフィックは、QoS 機能で形成および制御する測定量(特に遅延および
ジッター)の影響を大きく受けます。音声およびビデオ送信情報が聞き取り可能で明瞭である
ためには、音声およびビデオ パケットがドロップされたり、遅れたり、または不均一に配信さ
れたりしないようにする必要があります。音声およびビデオ アプリケーションの場合のベスト
プラクティスは、帯域幅を保証することのほかに、音声およびビデオ トラフィックが優先され
るように保証することです。この例では、企業の支社の従業員が、ビデオ会議や Voice-over-IP
(VoIP)テクノロジを利用して行われる他の支社、パートナー企業、および顧客との間のビジ
ネス通信で困難を経験しており、信頼性を確立することができていません。IT 管理者は、これ
らの問題に対処するために QoS を実装し、支社の従業員によるビジネス通信の効果性と信頼性
を高めようとしています。管理者は、送受信両方のネットワーク トラフィックに対して QoS を
保証するため、ファイアウォールの内向きと外向きの両方のインターフェイスで QoS を有効に
します。
音声およびビデオ アプリケーションの品質保証
ステップ 1
管理者は QoA プロファイルを作成します。class 2 を定義することにより、class2 に関連付け
られているトラフィックすべての優先順位が real-time に指定され、最大帯域幅が 1000 Mbps
のインターフェイスが割り当てられるようにします。これにより、ネットワーク使用量の
ピーク期間を含め、250 Mbps の帯域幅が常時保証されます。
real-time 優先順位は、通常、遅延の影響を受けやすいアプリケーションの場合に推奨さ
れ、特に音声およびビデオ アプリケーションのパフォーマンスおよび品質を保証する場合
に役立ちます。
管理者は、[Network] > [ ネットワーク プロファイル ] > [Qos プロファイル ] ページで [ 追
加 ] をクリックし、[ プロファイル名 ] に「ensure voip-video traffic」と入力し、[ クラス ] で class2
トラフィックを定義します。
432
Quality of Service(QoS)
Quality of Service(QoS)
QoS のユース ケース例
音声およびビデオ アプリケーションの品質保証(続き)
ステップ 2
管理者は、QoS ポリシーを作成して、音声およびビデオ トラフィックを識別します。この
企業には音声およびビデオ用の 1 つの標準アプリケーションがないため、管理者は、他の
支社、パートナー企業、および顧客との通信で一般的な従業員が通常使用するいくつかの
アプリケーションに、確実に QoS が適用されるようにします。管理者は、[Policies] >
[QoS] > [QoS ポリシー ルール ] > [ アプリケーション ] タブで [ 追加 ] をクリックして、[ ア
プリケーション フィルタ ] ウィンドウを開きます。次に管理者は、QoS を適用するアプリ
ケーションをフィルタするための基準を選択し、サブカテゴリとして voip-video を選択し、
low-risk と widely-used の両方が当てはまる viop-video アプリケーションのみを指定すること
によって対象を絞り込みます。
アプリケーション フィルタは動的なツールであり、QoS ポリシーでアプリケーションの
フィルタリングに使用すると、任意の時点で voip-video、low risk、および widely used の基準を満
たすすべてのアプリケーションに QoS が適用されるようにできます。
管理者は、この [アプリケーション フィルタ] に「voip-video-low-risk」という名前を付け、QoS
ポリシーに含めます。
管理者は、この QoS ポリシーに「Voice-Video」という名前を付け、voip-video-low-risk アプリ
ケーション フィルタを class 2 のトラフィック(ステップ 1 で定義)と関連付けます。管理
者は、送受信両方の QoS トラフィックで Voice-Video QoS ポリシーを使用するため、[ 送信元 ]
と [ 宛先 ] の両方の情報を [ いずれか ] に設定します。
Quality of Service(QoS)
433
QoS のユース ケース例
Quality of Service(QoS)
音声およびビデオ アプリケーションの品質保証(続き)
ステップ 3
管理者は、音声およびビデオ通信の送受信の両方で QoS を確保するため、ネットワークの
外向きインターフェイス(QoS を送信の通信に適用する)と内向きインターフェイス
(QoS を受信の通信に適用する)で QoS を有効にします。
管理者はまず、外向きインターフェイス(この場合は ethernet 1/2)についてステップ 1 で
作成した QoS プロファイル ensure voice-video traffic(このプロファイルで、class1 はステップ 2
で作成したポリシー Voice-Video と関連付けられます)を有効にします。
次に、内向きインターフェイス(この場合は ethernet 1/1)で同じ QoS プロファイル ensure
voip-video traffic を有効にします。
ステップ 4
管理者は、送受信両方の音声およびビデオ トラフィックで QoS が有効になっていること
を確認します。
管理者は、ネットワークの内向きと外向きの両方のインターフェイスで QoS を有効にすることができま
した。これで、ネットワークを出入りする両方向で音声およびビデオ アプリケーション トラフィックに
対して real-time 優先順位が保証され、特に遅延およびジッターの影響を受けやすいそれらの通信を使用
して企業内外のビジネス上の通信を行うときの信頼性と効果性が確保されます。
434
Quality of Service(QoS)
VPN
仮想プライベート ネットワーク(VPN)は、ユーザー/ システムをローカル エリア ネットワー
ク(LAN)で接続している場合と同様に、パブリック ネットワークでも安全に接続することが
できるトンネルを作成します。VPN トンネルをセットアップするには、互いに認証し、両者間
の情報の流れを暗号化できるデバイスのペアが必要です。デバイスとして使用できるのは、
Palo Alto Networks ファイアウォールのペア、または Palo Alto Networks ファイアウォールと他ベ
ンダーの VPN 対応デバイスです。

VPN デプロイメント

サイト間 VPN

サイト間 VPN のセットアップ

サイト間 VPN のクイック設定
VPN
435
VPN デプロイメント
VPN
VPN デプロイメント
Palo Alto Networks ファイアウォールでは、以下の VPN デプロイメントをサポートしています。

サイト間 VPN — 中央サイトとリモート サイトを接続する簡易 VPN、または中央サイトと複
数のリモート サイトを接続するハブ アンド スポーク VPN。ファイアウォールはプロトコル
の IP Security(IPSec)セットを使用して、2 つのサイト間のトラフィックの安全なトンネル
をセットアップします。「サイト間 VPN」を参照してください。

リモート ユーザーからサイトへの VPN — GlobalProtect エージェントを使用してリモート
ユーザーがファイアウォールを経由する安全な接続を確立できるようにするソリューショ
ン。このソリューションは、SSL および IPSec を使用してユーザーとサイト間の安全な接続
を確立します。『GlobalProtect 管理者ガイド』を参照してください。

大規模 VPN — Palo Alto Networks GlobalProtect 大規模 VPN(LSVPN)は、最大 1024 のサテラ
イト オフィスまで拡張可能なハブ アンド スポーク VPN を展開するための簡略化されたメカ
ニズムを提供します。このソリューションを使用するには、Palo Alto Networks ファイア
ウォールをハブおよびすべてのスポークでデプロイする必要があります。デバイスの認証に
証明書を、すべてのコンポーネント間の安全な通信のために SSL を、データの保護のために
IPSec を使用します。「大規模 VPN(LSVPN)」を参照してください。
以下の図は、さまざまな VPN のデプロイメントの組み合わせが企業の安全のために使用されて
いる様子を示しています。
436
VPN
VPN
サイト間 VPN
サイト間 VPN
2 つのローカル エリア ネットワーク(LAN)を接続できるようにする VPN 接続はサイト間
VPN と呼ばれます。ルートベースの VPN を設定すると、2 つのサイトに設置された Palo Alto
Networks ファイアウォール間、または Palo Alto Networks ファイアウォールと別の場所に設置さ
れたサードパーティのセキュリティ デバイスを接続できます。ファイアウォールは、サード
パー テ ィ のポ リ シー ベ ース の VPN デ バイ ス との 相 互運 用 性も 確 保し て いま す。Palo Alto
Networks ファイアウォールはルートベースの VPN をサポートしています。

概要

サイト間 VPN の概念
概要
Palo Alto Networks ファイアウォールはルートベースの VPN をセットアップし、ファイアウォー
ルは宛先 IP アドレスに基づいてルーティングの判断を行います。トラフィックが VPN トンネ
ル経由で特定の宛先にルーティングされた場合は、VPN トラフィックとして処理されます。
プロトコルの IP Security(IPSec)セットを使用して VPN トラフィックに安全なトンネルをセット
アップすると、TCP/IP パケットの情報の安全が確保されます(トンネル タイプが ESP の場合は
暗号化されます)。IP パケット(ヘッダーおよびペイロード)は別の IP ペイロードに埋め込ま
れ、新しいヘッダーが適用され、IPSec トンネルを経由して送信されます。新しいヘッダーの送信
元 IP アドレスはローカル VPN ピアのアドレスであり、宛先 IP アドレスはトンネルの反対側の
VPN ピアのアドレスです。パケットがリモート VPN ピア(トンネルの反対側のファイアウォー
ル)に達すると、外部ヘッダーが削除され、元のパケットがその宛先に送信されます。
VPN トンネルをセットアップするには、最初にピアを認証する必要があります。認証に成功し
たら、ピアは暗号化メカニズムおよびアルゴリズムをネゴシエートして、通信を安全にしま
す。Internet Key Exchange(IKE)プロセスが VPN ピアの認証に使用され、VPN 通信を保護する
ために IPSec Security Associations(SA)がトンネルの両端で定義されます。IKE はデジタル証明
書または事前共有鍵、および Diffie Hellman 鍵を使用して IPSec トンネル用の SA をセットアップ
します。SA は Security Parameter Index(SPI)、セキュリティ プロトコル、暗号化キー、宛先 IP
アドレスなどの安全な伝送に必要なすべてのパラメータ、暗号化、データ認証、データ整合
性、エンドポイント認証を指定します。
以下の図は、2 つのサイト間の VPN トンネルを示しています。VPN ピア A によって保護された
クライアントが他のサイトに設置されたサーバーのコンテンツを必要とする場合、VPN ピア A
は VPN ピア B への接続要求を開始します。セキュリティ ポリシーによって接続が許可される
場合、VPN ピア A は IKE 暗号のプロファイル パラメータ(IKE フェーズ 1)を使用して安全な
接続を確立し、VPN ピア B を認証します。次に、VPN ピア A は IPSec 暗号のプロファイルを使
用して VPN トンネルを確立し、これによって IKE フェーズ 2 パラメータを定義して、2 つのサ
イト間の安全なデータ転送を可能にします。
VPN
437
サイト間 VPN
VPN
サイト間 VPN
サイト間 VPN の概念
VPN 接続により、2 つ以上のサイト間で安全に情報にアクセスできるようになります。リソー
スへの安全なアクセスを可能にして接続の信頼性を高めるために、VPN 接続には以下のコン
ポーネントが必要です。

IKE ゲートウェイ

トンネル インターフェイス

トンネル モニタリング

VPN 用の Internet Key Exchange(IKE)
IKE ゲートウェイ
Palo Alto Networks ファイアウォール同士、またはファイアウォールと別のセキュリティ デバイ
スが 2 つのネットワーク間で VPN 接続を開始して終了する場合、これらは IKE ゲートウェイと
呼ばれます。VPN トンネルをセットアップして IKE ゲートウェイ間でトラフィックを送信する
には、各ピアにスタティックまたはダイナミックな IP アドレスまたは FQDN が必要です。
VPN ピアは事前共有鍵または証明書を使用して相互に認証します。
ピアは、VPN トンネルをセットアップするためのモード(main または aggressive)と IKE フェー
ズ 1 における SA のライフタイムをネゴシエートする必要があります。main モードはピアの ID
を保護し、トンネルをセットアップするときにより多くのパケットが交換されるため安全性が
高いモードです。両方のピアでサポートされている場合、IKE ネゴシエーションのための推奨
モードは main モードです。aggressive モードは VPN トンネルをセットアップするために使用す
るパケットが少ないため、高速ですが VPN トンネルをセットアップする場合に安全性が劣る選
択肢です。
438
VPN
VPN
サイト間 VPN
トンネル インターフェイス
VPN トンネルをセットアップするには、両端のレイヤー 3 インターフェイスに VPN トンネルを
接続して確立するためのファイアウォール用の論理トンネル インターフェイスが必要です。ト
ンネル インターフェイスとは、2 つのエンドポイント間でトラフィックを配信するために使用
される論理(仮想)インターフェイスです。各トンネル インターフェイスの IPSec トンネル数
の上限は 10 個です。つまり、最大 10 個のネットワークにファイアウォール上の同じトンネル
インターフェイスを関連付けられます。
トンネル インターフェイスはポリシーを適用するセキュリティ ゾーンに属する必要があり、既
存のルーティング インフラストラクチャを使用するには仮想ルーターに割り当てる必要があり
ます。ファイアウォールがルート検索を実行して、使用する適切なトンネルを判断できるよう
に、トンネル インターフェイスと物理インターフェイスが同じ仮想ルーターに割り当てられる
ようにします。
一般に、トンネル インターフェイスが接続されたレイヤー 3 インターフェイスは、たとえば
Untrust ゾーンなどの外部ゾーンに属します。トンネル インターフェイスは物理インターフェイ
スと同じセキュリティ ゾーンに配置できますが、安全性と可視性を高めるには、トンネル イン
ターフェイス用に個別のゾーンを作成します。トンネル インターフェイス用に、たとえば VPN
ゾーンなどの個別のゾーンを作成する場合、VPN ゾーンと Trust ゾーン間でトラフィックが流
れるようにセキュリティ ポリシーを作成する必要があります。
サイト間のトラフィックのルーティングでは、トンネル インターフェイスに IP アドレスは必要
ありません。IP アドレスが必要になるのは、トンネル モニタリングを有効にする場合か、トン
ネル間のトラフィックをルーティングするためにダイナミック ルーティング プロトコルを使用
している場合のみです。ダイナミック ルーティングでは、トンネル IP アドレスは VPN トンネ
ルへのトラフィックをルーティングするためのネクスト ホップ IP アドレスとして機能します。
ポリシーベースの VPN を実行する VPN ピアで Palo Alto Networks ファイアウォールを設定して
いる場合、IPSec トンネルをセットアップするときにローカルおよびリモートのプロキシ ID を
設定する必要があります。各ピアは、IKE フェーズ 2 ネゴシエーションを成功させるために、
ここで設定したプロキシ ID をパケットで実際に受信する ID と比較します。複数のトンネルが
必要な場合、各トンネル インターフェイスに一意のプロキシ ID を設定します。1 つのトンネル
インターフェイスに最大 250 個のプロキシ ID を設定できます。各プロキシ ID はファイア
ウォールの IPSec VPN トンネル容量にカウントされます。トンネル容量はファイアウォールの
モデルごとに異なります。
VPN
439
サイト間 VPN
VPN
トンネル モニタリング
VPN トンネルでは、トンネルを経由して宛先 IP アドレスへの接続を確認できます。ファイア
ウォールでネットワーク モニタリング プロファイルを使用することで、宛先 IP アドレスへの
接続(ICMP を使用)または指定したポーリング間隔でネクスト ホップを確認し、モニタリン
グ対象 IP アドレスへのアクセスで障害が発生した場合のアクションを指定できます。
宛先 IP にアクセスできない場合、トンネルが回復するのを待機するようにファイアウォールを
設定するか、別のトンネルへの自動フェイルオーバーを設定できます。どちらの場合も、ファ
イアウォールはトンネル障害を警告するシステム ログを生成し、IPSec 鍵を再ネゴシエートし
て回復を加速させます。
デフォルトのモニタリング プロファイルは、トンネルが回復するのを待機するように設定され
ています。ポーリング間隔は 3 秒間で、障害しきい値は 5 です。
VPN 用の Internet Key Exchange(IKE)
IKE プロセスにより、トンネル両端の VPN ピアは相互に合意されたキーまたは証明書および暗
号化方法を使用してパケットの暗号化および復号化できます。IKE プロセスは、IKE フェーズ 1
と IKE フェーズ 2 の 2 つのフェーズで行われます。各フェーズは、暗号プロファイル(IKE プ
ロファイルおよび IPSec 暗号プロファイル)を使用して定義されたキーと暗号化アルゴリズム
を使用し、IKE ネゴシエーションの結果が Security Association(SA)です。SA とは相互に合意さ
れたキーとアルゴリズムであり、両方の VPN ピアによって使用され、VPN トンネルを介して
データをやり取りできるようにします。以下の図は、VPN トンネルをセットアップするための
鍵交換プロセスを示しています。
440
VPN
VPN
サイト間 VPN
IKE フェーズ 1
このフェーズでは、ファイアウォールは IKE ゲートウェイ設定で定義されたパラメータおよび
IKE 暗号プロファイルを使用して相互に認証し、安全な制御チャネルをセットアップします。
IKE フェーズは、VPN ピアの相互認証に事前共有鍵またはデジタル証明書(公開鍵インフラス
トラクチャ(PKI)を使用)の使用をサポートしています。事前共有鍵は PKI インフラストラ
クチャのサポートを必要としないため、小規模なネットワークを保護するための単純なソ
リューションです。大規模なネットワーク、またはより堅牢な認証セキュリティが必要な実装
では、デジタル証明書の方が適しています。
証明書を使用する場合、証明書を発行する CA が両方のゲートウェイ ピアによって信頼されて
おり、証明書チェーン内の証明書の最大長が 5 以下であることを確認します。IKE フラグメン
テーションを有効にすると、ファイアウォールは証明書チェーン内の最大 5 個の証明書で IKE
メッセージを再アセンブルし、正常に VPN トンネルを確立できます。
IKE 暗号プロファイルは、IKE SA ネゴシエーションで使用される以下のオプションを定義し
ます。

IKE 用の対象鍵を生成するための Diffie-Hellman(DH)グループ。Diffie Hellman アルゴリズ
ムは、一方の秘密鍵ともう一方の公開鍵を使用して共有のシークレットを作成します。これ
は、両方の VPN トンネル ピアによって共有される暗号化鍵です。ファイアウォールでサ
ポートされる DH グループは、グループ 1 — 768 ビット、グループ 2 — 1024 ビット(デフォ
ルト)、グループ 5 — 1536 ビット、グループ 14 — 2048 ビットです。

認証オプション — sha1、sha 256、sha 384、sha 512、md5

暗号化アルゴリズム — 3des、aes128、aes192、aes256
IKE フェーズ 2
トンネルが保護されて認証されると、フェーズ 2 ではチャネルがネットワーク間でのデータ送
受信のためにさらに保護されます。IKE フェーズ 2 は、プロセスのフェーズ 1 で確立された
キーと IPSec 暗号プロファイルを使用し、これによって IKE フェーズ 2 で使用する IPSec プロト
コルとキーを定義します。
IPSEC は、以下のプロトコルを使用して安全な通信を可能にします。

Encapsulating Security Payload(ESP)— IP パケット全体を暗号化し、送信元を認証してデータ
の整合性を確認できます。ESP ではパケットを暗号化して認証する必要がありますが、暗号
化オプションを [ ヌル ] に設定することで暗号化のみまたは認証のみを行うように設定できま
す。認証をせずに暗号化を使用するのは推奨されません。

Authentication Header(AH)— パケットの送信元を認証し、データの整合性を確認します。
AH はデータ ペイロードを暗号化しないため、データ保護が重要なデプロイメントには適し
ていません。AH は、データ保護が必要でなく、主な懸念がピアの正当性を確認することで
ある場合によく使用されます。
VPN
441
サイト間 VPN
VPN
IPSEC 認証および暗号化でサポートされるアルゴリズム
ESP
AH
サポートされる Diffie Hellman 交換オプション
• グループ 1 — 768 ビット
• グループ 2 — 1024 ビット(デフォルト)
• グループ 5 — 1536 ビット
• グループ 14 — 2048 ビット。
• no-pfs — デフォルトでは、Perfect Forward Secrecy(pfs)が有効です。PFS が有効の場合、
上記のグループのいずれかを使用して新しい DH 鍵が IKE フェーズ 2 で生成されます。こ
のキーは IKE フェーズ 1 で交換されるキーと関係ないため、より安全にデータを送受信で
きます。
No-pfs は、フェーズ 1 で作成された DH 鍵が更新されず、1 つのキーが IPSEC SA ネゴシ
エーションに使用されることを示しています。両方の VPN ピアを Perfect Forward Secrecy に
ついて有効化または無効化する必要があります。
サポートされる暗号化アルゴリズム
• 3des
• aes128
• aes192
• aes256
• aes128ccm16
• ヌル
サポートされる認証アルゴリズム
• md5
• md5
• sha 1
• sha 1
• sha 256
• sha 256
• sha 384
• sha 384
• sha512
• sha 512
• なし
442
VPN
VPN
サイト間 VPN
IPSec VPN トンネルを保護するための方法(IKE フェーズ 2)
IPSec VPN トンネルは、手動キーまたは自動キーを使用して保護できます。さらに、IPSec の設定
オプションには、Diffie-Hellman グループによる鍵共有、暗号化アルゴリズム、およびメッセー
ジ認証のためのハッシュなどがあります。

手動キー — 手動キーは一般に、Palo Alto Networks ファイアウォールがレガシー デバイスと
の VPN トンネルを確立しているか、セッション キーを生成するオーバーヘッドを軽減する
場合に使用されます。手動キーを使用する場合、同じキーを両方のピアで設定する必要が
あります。
ピア間でキー情報をリレーする際にセッション キーが解読されるおそれがあるため、VPN
トンネルを確立する場合、手動キーは推奨されません。キーが解読されると、データの送受
信が保護されなくなります。

自動キー — 自動キーを使用すると、IPSec 暗号プロファイルで定義されたアルゴリズムに基
づいて IPSec トンネルをセットアップしてメンテナンスするためにキーを自動的に生成でき
ます。
VPN
443
サイト間 VPN のセットアップ
VPN
サイト間 VPN のセットアップ
サイト間 VPN をセットアップするには、以下の手順を実行します。
1.
Ethernet インターフェイス、仮想ルーター、およびゾーンが正しく設定されていることを確認してく
ださい。詳細は、「インターフェイスおよびゾーンの設定」を参照してください。
2.
トンネル インターフェイスを作成します。トンネル インターフェイスを別のゾーンに置き、トンネ
ル対象トラフィックで異なるポリシーを使用できるようにするのが理想的です。
3.
スタティック ルートをセットアップするか、またはルーティング プロトコルを割り当て、VPN トンネ
ルにトラフィックを転送します。ダイナミック ルーティング(OSPF、BGP、RIP がサポートされま
す)をサポートするには、IP アドレスをトンネル インターフェイスに割り当てる必要があります。
4.
VPN トンネルの両端にあるピア間の通信を確立するために IKE ゲートウェイを定義します。また、
IKEv1 フェーズ 1 で VPN トンネルをセットアップするために使用する ID、認証、暗号化のプロトコ
ルおよびアルゴリズムを指定する暗号プロファイルも定義します。「IKE ゲートウェイのセットアッ
プ」および「IKE 暗号プロファイルの定義」を参照してください。
5.
VPN を経由してデータを転送する IPSec 接続を確立するために必要なパラメータを設定します。「IPSec
トンネルのセットアップ」を参照してください。IKEv1 フェーズ 2 については、「IPSec 暗号プロ
ファイルの定義」を参照してください。
6.
(任意)ファイアウォールによる IPSec トンネルのモニター方法を指定します。「トンネル モニタリ
ングのセットアップ」を参照してください。
7.
セキュリティ ポリシーを定義し、トラフィックのフィルタリングおよび検証を行います。
セキュリティ ルールベースの最後に拒否ルールがある場合、許可されていない限りゾーン内の
トラフィックはブロックされます。IKE および IPSec アプリケーションを許可するルールは、
上記の拒否ルールに明示的に含まれている必要があります。
以上の作業を実行すると、トンネルを使用できるようになります。ポリシーで定義されるゾー
ン / アドレスを宛先とするトラフィックは、ルーティング テーブルの宛先ルートに基づいて自
動的に適切にルーティングされ、VPN トラフィックとして処理されます。サイト間 VPN の例
は、「サイト間 VPN のクイック設定」を参照してください。
444
VPN
VPN
サイト間 VPN のセットアップ
IKE ゲートウェイのセットアップ
VPN トンネルをセットアップするには、VPN ピアまたはゲートウェイが事前共有鍵またはデジ
タル証明書を使用して相互に認証し、安全なチャネルを確立して、両側のホスト間でトラ
フィックを保護するために使用される IPSec Security Association(SA)をネゴシエートします。
IKE ゲートウェイのセットアップ
ステップ 1
新しいゲートウェイを定義し 1.
ます。
2.
3.
ステップ 2
トンネルの反対側のピアの設 1.
定を定義します。
2.
ステップ 3
ピア認証方法を選択します。
[Network] > [ ネットワーク プロファイル ] > [IKE ゲー
トウェイ ] の順に選択し、[ 名前 ] フィールドに新しい
ゲートウェイ設定の名前を入力します。
ファイアウォールで発信 [ インターフェイス ] を選択し
ます。
[ ローカル IP アドレス ] ドロップダウン リストから、
VPN 接続のエンドポイントとして使用する IP アドレ
スを選択します。これは、ファイアウォールでパブ
リックにルーティング可能な IP アドレスを持つ外向き
のインターフェイスです。
[ ピア IP タイプ ] でピアが使用する IP アドレスを [ ス
タティック ] と [ ダイナミック ] から選択します。
[ ピア IP アドレス ] がスタティックな場合、ピアの IP
アドレスを入力します。
• [事前共有鍵] の設定は、ステップ 4 を参照してください。
これは、スタティックなピア • デジタル [証明書] の設定は、ステップ 5 を参照してくだ
でもダイナミックなピアでも
さい。
必要です。
ステップ 4
事前共有鍵を設定します。
1.
2.
ステップ 5
注
証明書ベースの認証を設定し 1.
ます。
証明書ベースの認証の前提条件は以下
のようになります。
– 署名付き証明書の取得 : 「ファイア
ウォールでの証明書の生成」または
「外部 CA からの証明書の取得」を参 2.
照してください。
– 証明書プロファイルの設定 : 証明書プ
ロファイルは、IKE ゲートウェイがそ 3.
のピアとの証明書認証をネゴシエート
して検証するために使用する設定を提
供します。「証明書プロファイルの設
定」を参照してください。
4.
5.
VPN
トンネル間の認証に使用されるセキュリティ キーを入
力します。このキーは、両方のピアで同じである必要
があります。
辞書攻撃で解読されにくいキーを生成します。必要に
応じて、事前共有鍵生成プログラムを使用します。
ステップ 6 に進みます。
[ 認証 ] 方法として [ 証明書 ] を選択し、[ ローカル証明書 ]
ドロップダウン リストから署名付き証明書を選択します。
デバイスで複数の仮想システムが有効になっていると
きに、証明書が 1 つの仮想システムに属している場
合、証明書は IKE ゲートウェイに使用するインター
フェイスと同じ仮想システムにある必要があります。
[ ローカル ID] ドロップダウン リストから、[IP address]、
[FQDN (hostname)]、[User FQDN (email address)]、[Distinguished
Name (subject)] のいずれかのタイプを選択して値を入力
します。
[ピア ID] ドロップダウン リストから、[IP address]、[FQDN
(hostname)]、[User FQDN (email address)]、[Distinguished
Name (subject)] のいずれかのタイプを選択して値を入力
します。
使用する [ 証明書プロファイル ] を選択します。
ステップ 6 に進みます。
445
サイト間 VPN のセットアップ
VPN
IKE ゲートウェイのセットアップ(続き)
ステップ 6
IKE フェーズ 1 ネゴシエーショ 1.
ンの追加パラメータを設定し
ます — 交換モード、暗号プロ
ファイル、IKE フラグメンテー 2.
ション、デッド ピア検出。
[Network] > [ ネットワーク プロファイル ] > [IKE ゲー
トウェイ ] の順に選択し、[ 詳細フェーズ 1 のオプショ
ン ] タブを選択します。
[ 交換モード ] として auto、aggressive、または main
を選択します。
デバイスが auto の鍵交換モードを使用するように設定
されている場合、main モードと aggressive モードの両方
のネゴシエーション要求を受け入れることができます
が、可能な場合は常にネゴシエーションを開始して
main モードで鍵交換ができるようにします。
注
交換モードを auto に設定していない場合、両方の VPN
ピアを同じ交換モードで設定し、各ピアがネゴシ
エーション要求を受け入れるようにできます。
3.
[IKE 暗号プロファイル ] ドロップダウン リストから既
存のプロファイルを選択するか、デフォルト プロファ
イルのままにします。IKE 暗号プロファイルの詳細
は、「IKE 暗号プロファイルの定義」を参照してくだ
さい。
4.
ファイアウォールが KE 接続に応答するのみで、IKE
接続を開始しないようにするには、[ パッシブ モードを
有効にする ] をオンにします。
5.
IKE および UDP プロトコルで UDP カプセル化が使用
され、中間 NAT デバイスを通過できるようにするに
は、[NAT トラバーサルを有効にする ] をオンにします。
6.
(証明書ベースの認証を使用していて交換モードが
aggressive モードに設定されていない場合のみ)ファイ
アウォールが IKE フラグメンテーションで動作するよ
うにするには、[フラグメンテーションを有効にする] を
オンにします。
7.
[ デッド ピア検出 ] チェック ボックスをオンにして、
[ 間隔 ] を入力します(2 ~ 100 秒)。可用性を再確認
する前に、[ 再試行 ] で遅延する時間(2 ~ 100 秒)を
定義します。
デッド ピア検出は、IKE フェーズ 1 通知ペイロードを
ピアに送信して確認を待機することで、無効または使
用できない IKE ピアを識別します。
ステップ 7
446
変更を保存します。
[OK]、[Commit] の順にクリックします。
VPN
VPN
サイト間 VPN のセットアップ
暗号プロファイルの定義
暗号プロファイルは、2 つの IKE ピア間の認証や暗号化に使用される暗号と、キーのライフタ
イムを指定します。各再ネゴシエーション間の期間はライフタイムとして知られます。指定し
た時間が経過すると、ファイアウォールは新しいキーのセットを再ネゴシエートします。
VPN トンネルを経由した通信を保護するため、ファイアウォールでは、IKE フェーズ 1 と
フェース 2 のネゴシエーションの完了に、それぞれ IKE と IPSec 暗号プロファイルが必要で
す。ファイアウォールにはデフォルトの IKE 暗号プロファイルとデフォルトの IPSec 暗号プロ
ファイルが含まれており、すぐに使用できます。

IKE 暗号プロファイルの定義

IPSec 暗号プロファイルの定義
IKE 暗号プロファイルの定義
IKE 暗号プロファイルは、IKE フェーズ 1 の鍵交換プロセスに使用される暗号化および認証アル
ゴリズムと、キーが有効な期間を指定するキーのライフタイムをセットアップするために使用さ
れます。プロファイルを呼び出すには、IKE ゲートウェイ設定に関連付ける必要があります。
同じインターフェイスまたはローカル IP アドレスで設定されたすべての IKE ゲートウェイ
は、同じ暗号プロファイルを使用する必要があります。
IKE 暗号プロファイルの定義
ステップ 1
新しい IKE プロファイルを作 1.
成します。
[Network] > [ ネットワーク プロファイル ] > [IKE 暗号 ]
の順に選択し、[ 追加 ] をクリックします。
2.
[ 名前 ] フィールドに新しいプロファイルの名前を入力
します。
ステップ 2
鍵交換をセットアップするた [ 追加 ] をクリックし、DH グループに使用するキーの強度
めに使用する DH グループを を選択します。
選択します。
VPN が何をサポートしているか不明な場合、複数の DH グ
ループを選択します。強度の最も高い暗号がトンネルの
セットアップに使用されるように、強度によって暗号のリ
ストを優先順位付けします。
ステップ 3
認証および暗号化アルゴリズ [ 追加 ] をクリックし、IKE ピア間の通信に使用する [ 認証 ]
ムを選択します。
および [ 暗号化 ] アルゴリズムを選択します。
複数のアルゴリズムを選択すると、ピアは両方の IKE ピア
でサポートされている強度の最も高い暗号 / アルゴリズム
を使用できます。
ステップ 4
VPN
キ ー が 有 効 な 期 間 を 指 定 し キーが有効な [ ライフタイム ] を選択します。各再ネゴシ
ます。
エーション間の期間はライフタイムとして知られます。指
定した時間が経過すると、ファイアウォールは新しいキー
のセットを再ネゴシエートします。
447
サイト間 VPN のセットアップ
VPN
IKE 暗号プロファイルの定義(続き)
ステップ 5
IKE 暗号プロファイルを保存し [OK] をクリックし、[Commit] をクリックします。
ます。
ステップ 6
IKE 暗号プロファイルを IKE 「IKE ゲートウェイのセットアップ」のステップ 6 を参照
ゲートウェイ設定に関連付け してください。
ます。
IPSec 暗号プロファイルの定義
IPSec 暗号プロファイルは IKE フェーズ 2 で呼び出されます。IKE SA のキーを自動的に生成す
るために自動キー IKE を使用する場合にトンネル内でデータを保護する方法を指定します。
IPSec 暗号プロファイルの定義
ステップ 1
新しい IPSec プロファイルを作 1.
成します。
[Network] > [ ネットワーク プロファイル ] > [IPSec 暗
号 ] の順に選択し、[ 追加 ] をクリックします。
2.
[ 名前 ] フィールドに新しいプロファイルの名前を入力
します。
3.
トンネルを通過するデータを保護するために適用する
[IPSec プロトコル ] を ESP と AH から選択します。
4.
[ 追加 ] をクリックし、ESP の [ 認証 ] および [ 暗号化 ]
アルゴリズム、AH の [ 認証 ] アルゴリズムを選択し、
トンネルを経由するデータの転送を保護するために
IKE ピアがキーをネゴシエートできるようにします。
複数のアルゴリズムを選択すると、ピアは両方の IKE
ピアでサポートされている強度の最も高い暗号 / アル
ゴリズムを使用できます。
ステップ 2
IKE フェーズ 2 で IPSec SA に 1.
使用する DH グループを選択
します。
2.
ステップ 3
[DH グループ ] ドロップダウン リストから、使用する
キーの強度を選択します。
反対側のピアがどのキーの強度をサポートしているか
不明な場合、複数の DH グループを選択します。トン
ネルをセットアップするために最も強度の高い暗号が
使用されます。
フェーズ 1 で作成されたキーを更新しない場合、[no-pfs]
を選択すると、現在のキーが IPSEC SA ネゴシエーショ
ンに再利用されます。
キーの期間、つまり時間とト 時間とトラフィック量の組み合わせを使用すると、データ
ラフィックの量を指定します。 の安全性を確保できます。
キーが有効な [ ライフタイム ] または期間を選択します。
指定した時間が経過すると、ファイアウォールは新しい
キーのセットを再ネゴシエートします。
[ライフサイズ]、つまりそれを過ぎるとキーを再ネゴシエー
トする必要のあるデータの量を選択します。
448
VPN
VPN
サイト間 VPN のセットアップ
IPSec 暗号プロファイルの定義(続き)
ステップ 4
IPSec プロファイルを保存し [OK] をクリックし、[Commit] をクリックします。
ます。
ステップ 5
IPSec プロファイルを IPSec ト ステップ 4 を参照してください。
ンネル設定に関連付けます。
IPSec トンネルのセットアップ
IPSec トンネル設定により、データ(IP パケット)がトンネルを通過するときに、データの認証
や暗号化を行うことができます。
ポリシーベースの VPN をサポートするピアと連携するように Palo Alto Networks ファイアウォー
ルをセットアップしている場合、プロキシ ID を定義する必要があります。ポリシーベースの
VPN をサポートするデバイスは、興味のあるトラフィックが IPSec トンネルを通過するのを許可
するために特定のセキュリティ ルール / ポリシーまたはアクセスリスト(送信元アドレス、宛先
アドレス、およびポート)を使用します。これらのルールはクイック モード/IKE フェーズ 2 ネ
ゴシエーション中に参照され、プロセスの最初または 2 番目のメッセージのプロキシ ID として
交換されます。そのため、ポリシーベースの VPN ピアと連携するように Palo Alto Networks ファ
イアウォールを設定している場合、フェーズ 2 ネゴシエーションを成功させるには、両方のピ
アで設定がま ったく同じになる ようにプロキシ ID を定義する 必要があります。Palo Alto
Networks ファイアウォールはルートベースの VPN をサポートしているため、プロキシ ID が設
定されていない場合、プロキシ ID として使用されるデフォルト値は送信元 IP が「0.0.0.0/0」、
宛先 IP が「0.0.0.0/0」、アプリケーションが「任意」となります。これらの値がピアと交換さ
れると、VPN 接続のセットアップに失敗します。
VPN
449
サイト間 VPN のセットアップ
VPN
IPSec トンネルのセットアップ
ステップ 1
[Network] > [IPSec トンネル ] > [ 全般 ] の順に選択し、[ 名前 ] フィールドに新しいトンネ
ルの名前を入力します。
ステップ 2
IPSec トンネルをセットアップするために使用する [ トンネル インターフェイス ] を選択し
ます。
– 新しいトンネル インターフェイスを作成するには、以下の手順を実行します。
1. [Network] > [ インターフェイス ] > [ トンネル ] の順に選択し、[ 追加 ] をクリックします。
2. [ インターフェイス名 ] フィールドで、「.2」などの数値のサフィックスを指定します。
3. [ 設定 ] タブで、[ セキュリティ ゾーン ] ドロップダウン リストを展開して以下のようにゾー
ンを定義します。
• トンネルの終端点として Trust ゾーンを使用するには、ドロップダウン リストからゾー
ンを選択します。トンネル インターフェイスをパケットがファイアウォールに入る外
向きのインターフェイスとして同じゾーン(および仮想ルーター)に関連付けると、
ゾーン間ルーティングを作成する必要性が低くなります。
• (推奨)VPN トンネル終端のために個別のゾーンを作成するには、[ 新規 - ゾーン ] を
クリックします。[ ゾーン ] ダイアログの [ 名前 ] で「vpn-corp」などの名前を付けて新
しいゾーンを定義し、[OK] をクリックします。
4. [ 仮想ルーター] ドロップダウン リストで、[ デフォルト ] を選択します。
5. (任意) IPv4 アドレスをトンネル インターフェイスに割り当てるには、[IPv4] タブを選択し
てから [IP] セクションで [ 追加 ] をクリックし、インターフェイスに割り当てる IP アドレスと
ネットマスク(例 : 10.31.32.1/32)を入力します。
6. IPv6 アドレスをトンネル インターフェイスに割り当てる場合は、ステップ 3 を参照してく
ださい。
7. インターフェイス設定を保存するには、[OK] をクリックします。
450
VPN
VPN
サイト間 VPN のセットアップ
IPSec トンネルのセットアップ(続き)
ステップ 3
(任意)インターフェイスで 1.
IPv6 を有効化します。
[Network] > [ インターフェイス ] > [ トンネル ] > [IPv6]
の順に選択し、[IPv6] タブを選択します。
2.
[ インターフェイスでの IPv6 の有効化 ] チェック ボッ
クスをオンにします。
このオプションを使用すると、IPv6 トラフィックを
IPv4 IPSec トンネル経由でルーティングでき、IPv6 ネッ
トワーク間の機密性が確保されます。IPv6 トラフィッ
クは、IPv4 でカプセル化された後で ESP でカプセル化
されます。IPv6 トラフィックをトンネルにルーティン
グするには、トンネルへのスタティック ルートを使用
するか、OSPFv3 を使用するか、ポリシー ベース フォ
ワーディング(PBF)ルールを使用してトラフィック
をトンネルにダイレクトできます。
3.
64 ビット拡張一意 [ インターフェイス ID] を 16 進数形式
で 入 力 し ま す(た と え ば、00:26:08:FF:FE:DE:4E:29)。
デフォルトでは、物理インターフェイスの MAC アド
レスから生成された EUI-64 がファイアウォールで使用
されます。
4.
IPv6 の [ アドレス ] を入力するには、[ 追加 ] をクリッ
クして IPv6 アドレスおよびプレフィックス長を入力し
ます(2001:400:f00::1/64 など)。[プレフィックス] が選
択されていない場合、インターフェイスに割り当てる
IPv6 アドレスをアドレス テキスト ボックスですべて指
定します。
a. インターフェイス ID をアドレスのホスト部分に使
用するインターフェイスに IPv6 アドレスを割り当て
るには、[ ホスト部分にインターフェイス ID を使用 ]
を選択します。
b. 最も近いノードを経由するルーティングを含めるに
は [ エニーキャスト ] を選択します。
ステップ 4
VPN
IPSec トンネルを保護するために使用するキーのタイプを選択します。[ 自動キー] または
[ 手動キー] については、下記の適切な手順に従ってください。
a. 自動キー交換をセットアップします。 1.
IKE ゲートウェイを選択します。IKE ゲートウェイを
セットアップするには、「IKE ゲートウェイのセット
アップ」を参照してください。
2.
(任意)デフォルトの IPSec 暗号プロファイルを選択しま
す。新しい IPSec プロファイルを作成するには、「IPSec
暗号プロファイルの定義」を参照してください。
451
サイト間 VPN のセットアップ
VPN
IPSec トンネルのセットアップ(続き)
b. 手動キー交換をセットアップします。 1.
ローカル ファイアウォールのパラメータをセットアッ
プします。
a. ローカル ファイアウォールの [SPI] を指定します。
SPI とは、IPSec トラフィック フロー間の差をアシス
トするためにトンネルする IPSec のヘッダーに追加さ
れる 32 ビット 16 進数です。VPN トンネルを確立する
ために必要な SA を作成するために使用されます。
b. トンネル エンドポイントとなる [ インターフェイス ]
を選択し、任意でトンネルのエンドポイントである
ローカル インターフェイスの IP アドレスを選択し
ます。
c. 使用するプロトコルを [AH] または [ESP] から選択
します。
d. [AH] を選択した場合、ドロップダウン リストから [ 認
証 ] 方法を選択し、[ キー] に続いて [ 再入力 キー] に
入力します。
e. [ESP] を選択した場合、ドロップダウン リストから [認
証 ] 方法を選択し、[ キー] に続いて [ 再入力 キー] に
入力します。次に、[ 暗号化 ] 方法を選択して必要に
応じて [ キー] に続いて [ 再入力 キー] に入力します。
2.
リモート VPN ピアに関連するパラメータをセットアッ
プします。
a. リモート ピアの [SPI] を指定します。
b. [ リモート アドレス ]、つまりリモート ピアの IP ア
ドレスを入力します。
ステップ 5
リプレイ攻撃に対して保護し [詳細オプションの表示] チェック ボックスをオンにして、
[ リプレイ プロテクションを有効にする ] を選択してリプレ
ます。
イ攻撃を検出して無力化します。
リプレイ攻撃は、パケットが
悪意を持って傍受され、再送
信されることによって行われ
ます。
ステップ 6
IP パケットの優先順位または処 [ 詳細オプションの表示 ] セクションで、[TOS ヘッダーの
置について Type of Service ヘッ コ ピ ー] を 選 択 し ま す。こ れ に よ り、元 の TOS(Type of
Service)情報を保持するため、カプセル化されたパケット
ダーを保持します。
の内部 IP ヘッダーから外部 IP ヘッダーに TOS ヘッダーを
コピーします。
452
VPN
VPN
サイト間 VPN のセットアップ
IPSec トンネルのセットアップ(続き)
ステップ 7
注
トンネル モニタリングを有効 デバイス管理者にトンネルの障害についてアラートを送信
し、別のトンネル インターフェイスへの自動フェイルオー
化します。
モニタニングする場合は、トンネル バーを実行するには、このオプションを選択します。
インターフェイスに IP アドレスを割 1. トンネルが正常に動作しているかどうかを判別するた
めに、トンネルの反対側の [ 宛先 IP] アドレスを指定し
り当てる必要があります。
ます。
ステップ 8
ステップ 9
VPN
2.
[ プロファイル ] を選択してトンネル障害時のアクショ
ンを決定します。新しいプロファイルを作成する方法
については、「トンネル モニタリング プロファイルの
定義」を参照してください。
(VPN ピアがポリシーベースの 1.
VPN を 使 用 す る 場 合 の み 必
要)。VPN ピアを識別するため 2.
のプロキシ ID を作成します。
[Network] > [IPSec トンネル ] > [ プロキシ ID] の順に
選択します。
変更を保存します。
[ 追加 ] をクリックして VPN ゲートウェイ ピアの IP ア
ドレスを入力します。
[OK]、[Commit] の順にクリックします。
453
サイト間 VPN のセットアップ
VPN
トンネル モニタリングのセットアップ
VPN サービスが中断されないようにするために、ファイアウォールでトンネル モニタリング機
能と一緒にデッド ピア検出機能を使用できます。トンネルのステータスをモニタリングするこ
ともできます。詳細は、以下を参照してください。

トンネル モニタリング プロファイルの定義

トンネルの状態の表示
トンネル モニタリング プロファイルの定義
トンネル モニタリング プロファイルにより、VPN ピア間の接続を確認できます。トンネル イ
ンターフェイスが指定した間隔で宛先 IP アドレスに ping 送信するように設定し、トンネル間の
通信が切断された場合のアクションを指定できます。
トンネル モニタリング プロファイルの定義
ステップ 1
[Network] > [ ネットワーク プロファイル ] > [ モニター] の順に選択します。デフォルトの
トンネル モニタリング プロファイルが使用できます。
ステップ 2
[ 追加 ] をクリックし、プロファイルの [ 名前 ] を入力します。
ステップ 3
宛先 IP アドレスに到達できない場合の [ アクション ] を選択します。
• 回復を待機 — ファイアウォールはトンネルが回復するのを待機します。トンネルがま
だアクティブであるかのように、ルート決定でトンネル インターフェイスを使用し続
けます。
• フェイル オーバー — バックアップ パスが使用できる場合、強制的にトラフィックを
バックアップ パスに誘導します。ファイアウォールはトンネル インターフェイスを無
効化し、それによってそのインターフェイスを使用するルーティング テーブルのルー
トが無効になります。
いずれの場合でも、ファイアウォールは新しい IPSec 鍵をネゴシエートすることで回復を
早めようとします。
ステップ 4
指定したアクションをトリガーする [ 間隔 ] と [ しきい値 ] を指定します。
しきい値は、指定したアクションを行う前に待機するハートビート数を指定します。範囲
は 2 ~ 100、デフォルトは 5 です。
間隔は、ハートビート間の時間を測定します。範囲は 2 ~ 10、デフォルトは 3 秒です。
ステップ 5
454
モニタリング プロファイルを IPsec トンネル設定に関連付けます。「トンネル モニタリン
グを有効化します。」を参照してください。
VPN
VPN
サイト間 VPN のセットアップ
トンネルの状態の表示
トンネルの状態から、有効な IKE フェーズ 1 およびフェーズ 2 SA が確立されているかどうか、
トンネル インターフェイスが起動していてトラフィックを通過させることができるかどうかが
分かります。
トンネル インターフェイスは論理インターフェイスであるため、物理リンクの状態を示すこと
はできません。したがって、トンネル モニタリングを有効にして、トンネル インターフェイス
で IP アドレスへの接続を確認し、パスが使用できるかどうかを判断できるようにする必要があ
ります。IP アドレスに到達できない場合、ファイアウォールはトンネルが回復するのを待機す
るか、フェイルオーバーします。フェイルオーバーが行われると、既存のトンネルはダウンし
て、ルーティング変更がトリガーされ、新しいトンネルがセットアップされてトラフィックが
転送されます。
トンネル状態の表示
1.
[Network] > [IPSec トンネル ] の順に選択します。
2.
トンネルの [ 状態 ] を確認します。
• 緑は、有効な IPSec SA トンネルがあることを表します。
• 赤は、IPSec SA が使用できないか、有効期限が切れていることを表します。
3.
IKE ゲートウェイの [ 状態 ] を確認します。
• 緑は、有効な IKE フェーズ 1 SA があることを表します。
• 赤は、IKE フェーズ 1 SA が使用できないか、有効期限が切れていることを表します。
4.
トンネル インターフェイスの [ 状態 ] を確認します。
• 緑は、トンネル インターフェイスが起動していることを表します。
• 赤は、トンネル インターフェイスがダウンしている(トンネル モニタリングが有効になっていて
状態がダウンであるため)ことを表します。
まだ起動していない VPN トンネルのトラブルシューティングを行う方法については、「VPN
エラー メッセージの解釈」を参照してください。
VPN
455
サイト間 VPN のセットアップ
VPN
VPN 接続のテスト
接続のテスト
• トンネルを経由してホストに ping 送信するか、以下の CLI コマンドを使用して IKE フェーズ 1 を開始
します。
test vpn ike-sa gateway gateway_name
• 次に、以下のコマンドを入力して IKE フェーズ 1 がセットアップされているかどうかをテストします。
show vpn ike-sa gateway gateway_name
出力で Security Association が表示されているかどうかを確認します。表示されていない場合、システム
ログ メッセージを確認して失敗の理由を解釈します。
• トンネルを経由してホストに ping 送信するか、以下の CLI コマンドを使用して IKE フェーズ 2 を開始
します。
test vpn ipsec-sa tunnel tunnel_name
• 次に、以下のコマンドを入力して IKE フェーズ 1 がセットアップされているかどうかをテストします。
show vpn ipsec-sa tunnel tunnel_name
出力で Security Association が表示されているかどうかを確認します。表示されていない場合、システム
ログ メッセージを確認して失敗の理由を解釈します。
• トラフィック フロー情報を表示するには、以下のコマンドを使用します。
show vpn-flow
admin@PA-500> show vpn flow
total tunnels configured:
filter - type IPSec, state any
total IPSec tunnel configured:
total IPSec tunnel shown:
1
1
1
name
id
state
local-ip
peer-ip
tunnel-i/f
----------------------------------------------------------------------------vpn-to-siteB
5
active
100.1.1.1
200.1.1.1
tunnel.41
456
VPN
VPN
サイト間 VPN のセットアップ
VPN エラー メッセージの解釈
以下の表に、システム ログに記録される一般的な VPN エラー メッセージの一部を示します。
VPN に問題がある場合の Syslog エラー メッセージ
エラーの内容
対処法
IKE phase-1 negotiation
is failed as initiator,
main mode.Failed SA:
x.x.x.x[500]-y.y.y.y[500]
cookie:84222f276c2fa2e9
:0000000000000000 due to
timeout.
• IKE ゲートウェイ設定で各 VPN ピアのパブリック IP アドレスが正しい
ことを確認します。
• IP アドレスに ping 送信可能であり、接続の失敗の原因がルーティングの
問題ではないことを確認します。
or
IKE phase 1 negotiation
is failed.Couldn’t find
configuration for IKE
phase-1 request for peer
IP x.x.x.x[1929]
Received unencrypted
notify payload (no
proposal chosen) from IP
x.x.x.x[500] to
y.y.y.y[500], ignored...
IKE 暗号プロファイル設定で、両側のプロポーザルに共通の暗号化、認
証、および DH グループ プロポーザルがあることを確認します。
or
IKE phase-1 negotiation
is failed.Unable to
process peer’s SA
payload.
pfs group mismatched:my:
2peer: 0
or
IKE phase-2 negotiation
failed when processing
SA payload.No suitable
IPSec 暗号プロファイル設定で、以下を確認します。
• pfs が両方の VPN ピアで有効または無効のいずれかであること
• 各ピアによって提案される DH グループに少なくとも 1 つ共通の DH グ
ループがあること
proposal found in peer’
s SA payload.
IKE phase-2 negotiation
failed when processing
Proxy ID.Received local
id x.x.x.x/x type IPv4
address protocol 0 port
0, received remote id
y.y.y.y/y type IPv4
address protocol 0 port 0.
VPN
一方の VPN ピアがポリシーベースの VPN を使用しています。Palo Alto
Networks ファイアウォールでプロキシ ID を設定する必要があります。「ス
テップ 8」を参照してください。
457
サイト間 VPN のクイック設定
VPN
サイト間 VPN のクイック設定
以下のセクションでは、一般的な VPN デプロイメントのための手順を説明します。

スタティック ルーティングを使用したサイト間 VPN

OSPF を使用したサイト間 VPN

スタティック ルーティングおよびダイナミック ルーティングを使用したサイト間 VPN
スタティック ルーティングを使用したサイト間 VPN
以下の例は、スタティック ルートを使用する 2 つのサイト間の VPN 接続を示しています。ダイ
ナミック ルーティングを使用しない場合、VPN ピア A および VPN ピア B のトンネル インター
フェイスに IP アドレスは必要ありません。これは、ファイアウォールが、サイト間のトラ
フィックのルーティングのために自動的にトンネル インターフェイスをネクスト ホップとして
使用するためです。ただし、トンネル モニタリングを有効化するために、スタティック IP アド
レスが各トンネル インターフェイスに割り当てられています。
458
VPN
VPN
サイト間 VPN のクイック設定
クイック設定 : スタティック ルーティングを使用したサイト間 VPN
ステップ 1
レイヤー 3 インターフェイス 1.
を設定します。
このインターフェイスが IKE
フェーズ 1 トンネルに使用さ 2.
れます。
3.
[Network] > [ インターフェイス ] > [Ethernet] の順に
選択し、VPN について設定するインターフェイスを選
択します。
[ インターフェイス タイプ ] ドロップダウン リストから
[ レイヤー 3] を選択します。
[ 設定 ] タブでインターフェイスが属する [ セキュリティ
ゾーン ] を選択します。
• インターフェイスは、信頼されるネットワークの外部
のゾーンからアクセスできる必要があります。VPN
トラフィックを可視化して制御するために、専用の
VPN ゾーンを作成することを検討してください。
• まだゾーンを作成していない場合は、[ セキュリティ
ゾーン ] ドロップダウン リストから [ 新規 - ゾーン ]
を選択し、新しいゾーンの [ 名前 ] を定義してから
[OK] をクリックします。
4.
使用する [ 仮想ルーター] を選択します。
5.
IP アドレスをインターフェイスに割り当てるには、[IPv4]
タブを選択してから IP セクションで [ 追加 ] をクリッ
クし、インターフェイスに割り当てる IP アドレスと
ネットマスク(例 : 192.168.210.26/24)を入力します。
6.
インターフェイス設定を保存するには、[OK] をクリッ
クします。
この例では、VPN ピア A の設定は以下のようになり
ます。
•
•
•
•
インターフェイス — ethernet1/7
セキュリティ ゾーン — Untrust
仮想ルーター — デフォルト
IPv4 — 192.168.210.26/24
VPN ピア B の設定は以下のようになります。
•
•
•
•
VPN
インターフェイス — ethernet1/11
セキュリティ ゾーン — Untrust
仮想ルーター — デフォルト
IPv4 — 192.168.210.120/24
459
サイト間 VPN のクイック設定
VPN
クイック設定 : スタティック ルーティングを使用したサイト間 VPN(続き)
ステップ 2
トンネル インターフェイスを 1.
作成し、仮想ルーターおよび
セキュリティ ゾーンに関連付 2.
けます。
3.
[Network] > [ インターフェイス ] > [ トンネル ] の順に
選択し、[ 追加 ] をクリックします。
[ インターフェイス名 ] フィールドで、「.1」などの数値
のサフィックスを指定します。
[ 設定 ] タブで、[ セキュリティ ゾーン ] ドロップダウ
ン リストを展開して以下のようにゾーンを定義します。
• トンネルの終端点として Trust ゾーンを使用するには、
ドロップダウン リストからゾーンを選択します。
• (推奨) VPN トンネル終端のために個別のゾーンを
作成するには、[ 新規 - ゾーン ] をクリックします。
[ ゾーン ] ダイアログの [ 名前 ] で「vpn-tun」などの名
前を付けて新しいゾーンを定義し、[OK] をクリック
します。
4.
[ 仮想ルーター] を選択します。
5.
(任意)トンネル インターフェイスに IP アドレスを
割り当て、[IPv4] タブまたは [IPv6] タブを選択してか
ら [IP] セクションで [ 追加 ] をクリックし、インター
フェイスに割り当てる IP アドレスとネットマスクを入
力します。
スタティック ルートでは、トンネル インターフェイス
に IP アドレスは必要ありません。指定したサブネット /IP
アドレスを宛先とするトラフィックでは、トンネル イ
ンターフェイスが自動的にネクスト ホップになりま
す。トンネル モニタリングを有効化する場合、IP アド
レスの追加を検討してください。
6.
インターフェイス設定を保存するには、[OK] をクリッ
クします。
この例では、VPN ピア A の設定は以下のようになり
ます。
•
•
•
•
インターフェイス — tunnel.11
セキュリティ ゾーン — vpn_tun
仮想ルーター — デフォルト
IPv4 — 172.19.9.2/24
VPN ピア B の設定は以下のようになります。
•
•
•
•
460
インターフェイス — tunnel.12
セキュリティ ゾーン — vpn_tun
仮想ルーター — デフォルト
IPv4 — 192.168.69.2/24
VPN
VPN
サイト間 VPN のクイック設定
クイック設定 : スタティック ルーティングを使用したサイト間 VPN(続き)
ステップ 3
仮想ルーターで宛先サブネッ 1.
トへのスタティック ルートを
設定します。
2.
[Network] > [ 仮想ルーター] の順に選択し、上記の手
順 4 で定義したルーターをクリックします。
[ スタティック ルート ] を選択し、追加 をクリックし
て、トンネルの反対側にあるサブネットにアクセスす
る新しいルートを入力します。
この例では、VPN ピア A の設定は以下のようになり
ます。
• 宛先 — 192.168.69.0/24
• インターフェイス — tunnel.11
VPN ピア B の設定は以下のようになります。
• 宛先 — 172.19.9.0/24
• インターフェイス — tunnel.12
ステップ 4
暗号プロファイル(フェーズ 1 1.
では IKE 暗号プロファイル、
フェーズ 2 では IPSec 暗号プ
ロファイル)をセットアップ
します。
両方のピアでこのタスクを実行
し、必ず同じ値を設定します。 2.
VPN
[Network] > [ ネットワーク プロファイル ] > [IKE 暗号 ]
の順に選択します。この例では、デフォルトのプロ
ファイルを使用します。
[Network] > [ ネットワーク プロファイル ] > [IPSec 暗
号 ] の順に選択します。この例では、デフォルトのプロ
ファイルを使用します。
461
サイト間 VPN のクイック設定
VPN
クイック設定 : スタティック ルーティングを使用したサイト間 VPN(続き)
ステップ 5
IKE ゲートウェイをセットアッ 1.
プします。
[Network] > [ ネットワーク プロファイル ] > [IKE ゲー
トウェイ ] の順に選択します。
2.
[ 追加 ] をクリックして、[ 全般 ] タブでオプションを
設定します。
この例では、VPN ピア A の設定は以下のようになり
ます。
• インターフェイス — ethernet1/7
• ローカル IP アドレス — 192.168.210.26/24
• ピア IP タイプ / アドレス — スタティック
/192.168.210.120
• 事前共有鍵 — 値を入力
• ローカル ID — なし。ローカル ID 値としてロー
カル IP アドレスが使用されます。
VPN ピア B の設定は以下のようになります。
• インターフェイス — ethernet1/11
• ローカル IP アドレス — 192.168.210.120/24
• ピア IP タイプ / アドレス — スタティック
/192.168.210.26
3.
462
• 事前共有鍵 — ピア A と同じ値を入力
• ローカル ID — なし
[ 詳細フェーズ 1 のオプション ] を選択し、IKE フェー
ズ 1 で使用するために以前に作成した IKE 暗号プロ
ファイルを選択します。
VPN
VPN
サイト間 VPN のクイック設定
クイック設定 : スタティック ルーティングを使用したサイト間 VPN(続き)
ステップ 6
IPSec トンネルをセットアップ 1.
します。
2.
[Network] > [IPSec トンネル ] の順に選択します。
[ 追加 ] をクリックして、[ 全般 ] タブでオプションを設
定します。
この例では、VPN ピア A の設定は以下のようになり
ます。
• トンネル インターフェイス — tunnel.11
• タイプ — 自動キー
• IKE ゲートウェイ — 上で定義した IKE ゲート
ウェイを選択します。
• IPSec 暗号プロファイル — ステップ 4 で定義し
た IPSec 暗号プロファイルを選択します。
VPN ピア B の設定は以下のようになります。
3.
4.
ステップ 7
トラフィックをサイト(サブ 1.
ネット)間で許可するための 2.
ポリシーを作成します。
• トンネル インターフェイス — tunnel.12
• タイプ — 自動キー
• IKE ゲートウェイ — 上で定義した IKE ゲート
ウェイを選択します。
• IPSec 暗号プロファイル — ステップ 4 で定義し
た IPSec 暗号を選択します。
(任意) [ 詳細オプションの表示 ] をオンにし、[ トン
ネル モニター] をオンにして、接続を確認するために
ping 送信する宛先 IP アドレスを指定します。一般に、
VPN ピアのトンネル インターフェイス IP アドレスが
使用されます。
(任意)接続の確立に失敗した場合のアクションを定
義する方法については、「トンネル モニタリング プロ
ファイルの定義」を参照してください。
[Policies] > [ セキュリティ] の順に選択します。
指定した送信元および宛先 IP アドレスから発信される
トラフィックについて、トラフィックを Uuntrust ゾー
ンと vpn-tun ゾーン間および vpn-tun ゾーンと Untrust
ゾーン間で許可するためのルールを作成します。
ステップ 8
保留中の設定の変更をすべて [Commit] をクリックします。
保存します。
ステップ 9
VPN 接続をテストします。
VPN
「トンネルの状態の表示」を参照してください。
463
サイト間 VPN のクイック設定
VPN
OSPF を使用したサイト間 VPN
この例では、各サイトはトラフィックのダイナミック ルーティングに OSPF を使用します。各
ピアのトンネル IP アドレスは静的に割り当てられ、2 つのサイト間でトラフィックをルーティ
ングするためのネクスト ホップとして機能します。
464
VPN
VPN
サイト間 VPN のクイック設定
クイック設定 : ダイナミック ルーティングを使用したサイト間 VPN
ステップ 1
各 フ ァ イ ア ウ ォ ー ル で レ イ 1.
ヤー 3 インターフェイスを設
定します。
[Network] > [ インターフェイス ] > [Ethernet] の順に
選択し、VPN について設定するインターフェイスを選
択します。
2.
[ インターフェイス タイプ ] ドロップダウン リストから
[ レイヤー 3] を選択します。
3.
[ 設定 ] タブでインターフェイスが属する [ セキュリティ
ゾーン ] を選択します。
• インターフェイスは、信頼されるネットワークの外
部のゾーンからアクセスできる必要があります。
VPN トラフィックを可視化して制御するために、
専用の VPN ゾーンを作成することを検討してくだ
さい。
• まだゾーンを作成していない場合は、[ セキュリティ
ゾーン ] ドロップダウン リストから [ 新規 - ゾーン ]
を選択し、新しいゾーンの [ 名前 ] を定義してから
[OK] をクリックします。
4.
使用する [ 仮想ルーター] を選択します。
5.
IP アドレスをインターフェイスに割り当てるには、[IPv4]
タブを選択してから IP セクションで [ 追加 ] をクリッ
クし、インターフェイスに割り当てる IP アドレスと
ネットマスク(例 : 192.168.210.26/24)を入力します。
6.
インターフェイス設定を保存するには、[OK] をクリッ
クします。
この例では、VPN ピア A の設定は以下のようになり
ます。
•
•
•
•
インターフェイス — ethernet1/7
セキュリティ ゾーン — Untrust
仮想ルーター — デフォルト
IPv4 — 100.1.1.1/24
VPN ピア B の設定は以下のようになります。
•
•
•
•
VPN
インターフェイス — ethernet1/11
セキュリティ ゾーン — Untrust
仮想ルーター — デフォルト
IPv4 — 200.1.1.1/24
465
サイト間 VPN のクイック設定
VPN
クイック設定 : ダイナミック ルーティングを使用したサイト間 VPN(続き)
ステップ 2
トンネル インターフェイスを 1.
作成し、仮想ルーターおよび
セキュリティ ゾーンに関連付 2.
けます。
3.
[Network] > [ インターフェイス ] > [ トンネル ] の順に
選択し、[ 追加 ] をクリックします。
[ インターフェイス名 ] フィールドで、.11 などの数値の
サフィックスを指定します。
[ 設定 ] タブで、[ セキュリティ ゾーン ] ドロップダウ
ン リストを展開して以下のようにゾーンを定義します。
• トンネルの終端点として Trust ゾーンを使用するには、
ドロップダウン リストからゾーンを選択します。
• (推奨) VPN トンネル終端のために個別のゾーンを
作成するには、[ 新規 - ゾーン ] をクリックします。
[ ゾーン ] ダイアログの [ 名前 ] で「vpn-tun」などの名
前を付けて新しいゾーンを定義し、[OK] をクリック
します。
4.
[ 仮想ルーター] を選択します。
5.
IP アドレスをトンネル インターフェイスに割り当て、
[IPv4] タブまたは [IPv6] を選択して、[IP] セクション
で [ 追加 ] をクリックし、インターフェイスに割り当て
る IP アドレスとネットワーク マスク / プレフィックス
(例 : 172.19.9.2/24)を入力します。
6.
この IP アドレスは、トンネルにトラフィックをルー
ティングするためにネクスト ホップ IP アドレスとし
て使用され、トンネルの状態をモニタリングするため
に使用することもできます。
インターフェイス設定を保存するには、[OK] をクリッ
クします。
この例では、VPN ピア A の設定は以下のようになり
ます。
•
•
•
•
インターフェイス — tunnel.41
セキュリティ ゾーン — vpn_tun
仮想ルーター — デフォルト
IPv4 — 2.1.1.141/24
VPN ピア B の設定は以下のようになります。
•
•
•
•
466
インターフェイス — tunnel.40
セキュリティ ゾーン — vpn_tun
仮想ルーター — デフォルト
IPv4 — 2.1.1.140/24
VPN
VPN
サイト間 VPN のクイック設定
クイック設定 : ダイナミック ルーティングを使用したサイト間 VPN(続き)
ステップ 3
暗号プロファイル(フェーズ 1.
1 で は IKE 暗 号 プ ロ フ ァ イ
ル、フェーズ 2 では IPSec 暗号
プロファイル)をセットアッ
プします。
両方のピアでこのタスクを実行
し、必ず同じ値を設定します。 2.
ステップ 4
仮想ルーターで OSPF 設定を 1.
セ ッ ト ア ッ プ し、OSPF エ リ
アをファイアウォール上の適 2.
切なインターフェイスに関連
付けます。
3.
ファイアウォールで使用可能
な OSPF オプションの詳細は、
「OSPF の 設 定」を 参 照 し て
ください。
ルーティング情報を交換する
必要がある OSPF ルートが 2
つ以上ある場合、リンク タイ
プとして [ ブロードキャスト ]
を使用します。
[Network] > [ ネットワーク プロファイル ] > [IKE 暗号 ]
の順に選択します。この例では、デフォルトのプロ
ファイルを使用します。
[Network] > [ ネットワーク プロファイル ] > [IPSec 暗
号 ] の順に選択します。この例では、デフォルトのプロ
ファイルを使用します。
[Network] > [ 仮想ルーター] の順に選択し、デフォルト
のルーターを選択するか新しいルーターを追加します。
[OSPF] (IPv4 の場合)または [OSPFv3] (IPv6 の場合)
を選択し、[ 有効化 ] をオンにします。
この例では、VPN ピア A の OSPF 設定は以下のように
なります。
– ルーター ID: 192.168.100.141
– エリア ID: 0.0.0.0 — リンク タイプ「p2p」で、イン
ターフェイス tunnel.1 に割り当てられている
– エリア ID: 0.0.0.10 — リンク タイプ「ブロードキャ
スト」で、インターフェイス Ethernet1/1 に割り当
てられている
VPN ピア B の OSPF 設定は以下のようになります。
– ルーター ID: 192.168.100.140
– エリア ID: 0.0.0.0 — リンク タイプ「p2p」で、イン
ターフェイス tunnel.1 に割り当てられている
– エリア ID: 0.0.0.20 — リンク タイプ「ブロードキャ
スト」で、インターフェイス Ethernet1/15 に割り
当てられている
VPN
467
サイト間 VPN のクイック設定
VPN
クイック設定 : ダイナミック ルーティングを使用したサイト間 VPN(続き)
ステップ 5
IKE ゲートウェイをセットアッ 1.
プします。
[Network] > [ ネットワーク プロファイル ] > [IKE ゲー
トウェイ ] の順に選択します。
2.
[ 追加 ] をクリックして、[ 全般 ] タブでオプションを設
定します。
この例では、VPN ピア A の設定は以下のようになり
ます。
この例では、両方の VPN ピア
についてスタティック IP アド
レスを使用します。一般に、
企業オフィスでは静的に設定
された IP アドレスを使用し、
支社側をダイナミック IP アド
レスにできます。ダイナミッ
ク IP アドレスは、VPN などの
安定したサービスの設定には
適しません。
• インターフェイス — ethernet1/7
• ローカル IP アドレス — 100.1.1.1/24
• ピア IP アドレス — 200.1.1.1/24
• 事前共有鍵 — 値を入力
VPN ピア B の設定は以下のようになります。
3.
ステップ 6
IPSec トンネルをセットアップ 1.
します。
2.
• インターフェイス — ethernet1/11
• ローカル IP アドレス — 200.1.1.1/24
• ピア IP アドレス — 100.1.1.1/24
• 事前共有鍵 — ピア A と同じ値を入力
IKE フェーズ 1 で使用するために以前に作成した IKE
暗号プロファイルを選択します。
[Network] > [IPSec トンネル ] の順に選択します。
[ 追加 ] をクリックして、[ 全般 ] タブでオプションを設
定します。
この例では、VPN ピア A の設定は以下のようになり
ます。
• トンネル インターフェイス — tunnel.41
• タイプ — 自動キー
• IKE ゲートウェイ — 上で定義した IKE ゲート
ウェイを選択します。
• IPSec 暗号プロファイル — 上で定義した IKE
ゲートウエィを選択します。
VPN ピア B の設定は以下のようになります。
3.
4.
468
• トンネル インターフェイス — tunnel.40
• タイプ — 自動キー
• IKE ゲートウェイ — 上で定義した IKE ゲート
ウェイを選択します。
• IPSec 暗号プロファイル — 上で定義した IKE
ゲートウエィを選択します。
[ 詳細オプションの表示 ] をオンにし、[ トンネル モニ
ター] をオンにして、接続を確認するために ping 送信
する宛先 IP アドレスを指定します。
接続の確立に失敗した場合のアクションを定義する方
法については、「トンネル モニタリング プロファイル
の定義」を参照してください。
VPN
VPN
サイト間 VPN のクイック設定
クイック設定 : ダイナミック ルーティングを使用したサイト間 VPN(続き)
ステップ 7
ステップ 8
トラフィックをサイト(サブ 1.
ネット)間で許可するための 2.
ポリシーを作成します。
[Policies] > [ セキュリティ] の順に選択します。
指定した送信元および宛先 IP アドレスから発信される
トラフィックについて、トラフィックを Uuntrust ゾー
ンと vpn-tun ゾーン間および vpn-tun ゾーンと Untrust
ゾーン間で許可するためのルールを作成します。
OSPF 隣接および CLI からの 両方のファイアウォールが互いにネイバーとして完全な状
ルートを確認します。
態で表示できることを確認します。また、VPN ピアのトン
ネル インターフェイスの IP アドレスおよび OSPF ルー
ター ID も確認します。各 VPN ピアで以下の CLI コマンド
を使用します。
• show routing protocol ospf neighbor
• show routing route type ospf
ステップ 9
VPN
VPN 接続をテストします。
「トンネル モニタリングのセットアップ」および「トンネ
ルの状態の表示」を参照してください。
469
サイト間 VPN のクイック設定
VPN
スタティック ルーティングおよびダイナミック ルーティングを使用した
サイト間 VPN
この例では、1 つのサイトでスタティック ルートを使用し、もう一方のサイトで OSPF を使用
しています。ルーティング プロトコルが場所間で同じでない場合、各ファイアウォールのトン
ネル インターフェイスはスタティック IP アドレスで設定する必要があります。次に、ルーティ
ング情報の交換を可能にするために、スタティック ルーティングとダイナミック ルーティング
の両方のプロセスに参加するファイアウォールを再配信プロファイルで設定する必要がありま
す。再配信プロファイルを設定すると、仮想ルーターはプロトコル間のルート(スタティック
ルート、接続済みルート、ホスト)をスタティック Autonomous System から OSPF Autonomous
System に再配信してフィルタリングできます。この再配信プロファイルがない場合、各プロト
コルは独自に機能し、同じ仮想ルーターを実行している他のプロトコルとルート情報を交換し
ません。
この例では、サテライト オフィスはスタティック ルートを持ち、192.168.x.x ネットワークを宛
先とするすべてのトラフィックは tunnel.41 にルーティングされます。VPN ピア B の仮想ルー
ターはスタティック ルーティングとダイナミック ルーティングの両方のプロセスに参加し、ス
タティック ルートを OSPF Autonomous System に伝搬(エクスポート)するために再配信プロ
ファイルで設定されます。
470
VPN
VPN
サイト間 VPN のクイック設定
クイック設定 : スタティック ルーティングおよびダイナミック ルーティングを使用したサイト間 VPN
ステップ 1
各 フ ァ イ ア ウ ォ ー ル で レ イ 1.
ヤー 3 インターフェイスを設
定します。
[Network] > [ インターフェイス ] > [Ethernet] の順に
選択し、VPN について設定するインターフェイスを選
択します。
2.
[ インターフェイス タイプ ] ドロップダウン リストから
[ レイヤー 3] を選択します。
3.
[ 設定 ] タブでインターフェイスが属する [ セキュリティ
ゾーン ] を選択します。
• インターフェイスは、信頼されるネットワークの外部
のゾーンからアクセスできる必要があります。VPN
トラフィックを可視化して制御するために、専用の
VPN ゾーンを作成することを検討してください。
• まだゾーンを作成していない場合は、[ セキュリティ
ゾーン ] ドロップダウン リストから [ 新規 - ゾーン ]
を選択し、新しいゾーンの [ 名前 ] を定義してから
[OK] をクリックします。
4.
使用する [ 仮想ルーター] を選択します。
5.
IP アドレスをインターフェイスに割り当てるには、
[IPv4] タブを選択してから IP セクションで [ 追加 ] をク
リックし、インターフェイスに割り当てる IP アドレス
とネットマスク(例 : 192.168.210.26/24)を入力します。
6.
インターフェイス設定を保存するには、[OK] をクリッ
クします。
この例では、VPN ピア A の設定は以下のようになり
ます。
•
•
•
•
インターフェイス — ethernet1/7
セキュリティ ゾーン — Untrust
仮想ルーター — デフォルト
IPv4 — 100.1.1.1/24
VPN ピア B の設定は以下のようになります。
•
•
•
•
VPN
インターフェイス — ethernet1/11
セキュリティ ゾーン — Untrust
仮想ルーター — デフォルト
IPv4 — 200.1.1.1/24
471
サイト間 VPN のクイック設定
VPN
クイック設定 : スタティック ルーティングおよびダイナミック ルーティングを使用したサイト間 VPN(続き)
ステップ 2
暗号プロファイル(フェーズ 1 1.
では IKE 暗号プロファイル、
フェーズ 2 では IPSec 暗号プ
ロファイル)をセットアップ
します。
両方のピアでこのタスクを実行
し、必ず同じ値を設定します。 2.
ステップ 3
[Network] > [ ネットワーク プロファイル ] > [IKE 暗号 ]
の順に選択します。この例では、デフォルトのプロ
ファイルを使用します。
[Network] > [ ネットワーク プロファイル ] > [IPSec 暗号 ]
の順に選択します。この例では、デフォルトのプロ
ファイルを使用します。
IKE ゲートウェイをセットアッ 1.
プします。
[Network] > [ ネットワーク プロファイル ] > [IKE ゲー
トウェイ ] の順に選択します。
2.
[ 追加 ] をクリックして、[ 全般 ] タブでオプションを
設定します。
この例では、VPN ピア A の設定は以下のようになり
ます。
•
•
•
•
•
インターフェイス — ethernet1/7
ローカル IP アドレス — 100.1.1.1/24
ピア IP タイプ — ダイナミック
事前共有鍵 — 値を入力
ローカル ID — [FQDN (hostname)] を選択し、
VPN ピア A の値を入力します。
• ピア ID — [FQDN (hostname)] を選択し、VPN
ピア B の値を入力します。
VPN ピア B の設定は以下のようになります。
IKE フ ェ ー ズ 1 ト ン ネ ル を
セットアップするときに認証
の精度を高めるために事前共
有鍵を使用すると、ローカル
およびピ ア ID 属性、および
IKE ネゴシエーション プロセ
スで照合される対応する値を
セットアップできます。
•
•
•
•
•
3.
472
インターフェイス — ethernet1/11
ローカル IP アドレス — 200.1.1.1/24
ピア IP アドレス — ダイナミック
事前共有鍵 — ピア A と同じ値を入力
ローカル ID — [FQDN (hostname)] を選択し、
VPN ピア B の値を入力します。
• ピア ID — [FQDN (hostname)] を選択し、VPN
ピア A の値を入力します。
IKE フェーズ 1 で使用するために以前に作成した IKE
暗号プロファイルを選択します。
VPN
VPN
サイト間 VPN のクイック設定
クイック設定 : スタティック ルーティングおよびダイナミック ルーティングを使用したサイト間 VPN(続き)
ステップ 4
トンネル インターフェイスを 1.
作成し、仮想ルーターおよび
セキュリティ ゾーンに関連付 2.
けます。
3.
[Network] > [ インターフェイス ] > [ トンネル ] の順に
選択し、[ 追加 ] をクリックします。
[インターフェイス名] フィールドで、.41 などの数値の
サフィックスを指定します。
[ 設定 ] タブで、[ セキュリティ ゾーン ] ドロップダウン
リストを展開して以下のようにゾーンを定義します。
• トンネルの終端点として Trust ゾーンを使用するには、
ドロップダウン リストからゾーンを選択します。
• (推奨)VPN トンネル終端のために個別のゾーンを
作成するには、[ 新規 - ゾーン ] をクリックします。
[ ゾーン ] ダイアログの [ 名前 ] で「vpn-tun」などの
名前を付けて新しいゾーンを定義し、[OK] をクリッ
クします。
4.
[ 仮想ルーター] を選択します。
5.
IP アドレスをトンネル インターフェイスに割り当て、
[IPv4] タブまたは [IPv6] を選択して、[IP] セクション
で [ 追加 ] をクリックし、インターフェイスに割り当て
る IP アドレスとネットワーク マスク / プレフィックス
(例 : 172.19.9.2/24)を入力します。
この IP アドレスは、トンネルにトラフィックをルー
ティングするため、およびトンネルの状態をモニタリ
ングするために使用されます。
6.
インターフェイス設定を保存するには、[OK] をクリッ
クします。
この例では、VPN ピア A の設定は以下のようになり
ます。
•
•
•
•
インターフェイス — tunnel.41
セキュリティ ゾーン — vpn_tun
仮想ルーター — デフォルト
IPv4 — 2.1.1.141/24
VPN ピア B の設定は以下のようになります。
•
•
•
•
ステップ 5
VPN
192.168.x.x ネットワーク上の宛 1.
先にトラフィックをルーティ 2.
ングするインターフェイスを
指定します。
インターフェイス — tunnel.42
セキュリティ ゾーン — vpn_tun
仮想ルーター — デフォルト
IPv4 — 2.1.1.140/24
VPN ピア A で、仮想ルーターを選択します。
[ スタティック ルート ] を選択し、192.168.x.x ネット
ワークを [ 宛先 ] とするトラフィックをルーティングす
るために [ インターフェイス ] として tunnel.41 を [ 追加 ]
します。
473
サイト間 VPN のクイック設定
VPN
クイック設定 : スタティック ルーティングおよびダイナミック ルーティングを使用したサイト間 VPN(続き)
ステップ 6
仮想ルーターでスタティック 1.
ルートと OSPF 設定をセット
アップし、OSPF エリアをファ
イアウォール上の適切なイン 2.
ターフェイスに関連付けます。
VPN ピア B で [Network] > [ 仮想ルーター] の順に選択
し、デフォルトのルーターを選択するか新しいルー
ターを追加します。
[スタティック ルート] を選択し、172.168.x.x. ネットワー
クでトラフィックのネクスト ホップとしてトンネル IP
アドレスを [ 追加 ] します。
目的のルート メトリックを割り当てます。低い値を使
用すると、テーブルの転送におけるルート選択で優先
順位が高くなります。
3.
[OSPF] (IPv4 の場合)または [OSPFv3](IPv6 の場合)
を選択し、[ 有効化 ] をオンにします。
4.
この例では、VPN ピア B の OSPF 設定は以下のように
なります。
• ルーター ID: 192.168.100.140
• エリア ID: 0.0.0.0 — リンク タイプ「ブロードキャス
ト」で、インターフェイス Ethernet 1/12 に割り当て
られている
• エリア ID: 0.0.0.10 — リンク タイプ「ブロードキャス
ト」で、インターフェイス Ethernet1/1 に割り当てら
れている
• エリア ID: 0.0.0.20 — リンク タイプ「ブロードキャス
ト」で、インターフェイス Ethernet1/15 に割り当て
られている
474
VPN
VPN
サイト間 VPN のクイック設定
クイック設定 : スタティック ルーティングおよびダイナミック ルーティングを使用したサイト間 VPN(続き)
ステップ 7
スタティック ルートを OSPF 1.
Autonomous System に注入する
ための再配信プロファイルを
作成します。
VPN ピア B で再配信プロファイルを作成します。
a. [Network] > [ 仮想ルーター] の順に選択し、上で使
用したルーターを選択します。
b. [ 再配信プロファイル ] を選択し、[ 追加 ] をクリッ
クします。
c. [ 名前 ] フィールドにプロファイル名を入力し、[ 再
配信あり ] を選択して [ 優先順位 ] の値を割り当てま
す。複数のプロファイルを設定している場合、優先
順位の最も低い値を持つプロファイルが最初に一致
されます。
d. [ 送信元タイプ ] を static に設定し、[OK] をクリック
します。ステップ 6 ~ 2 で定義したスタティック
ルートが再配信に使用されます。
2.
スタティック ルートを OSPF システムに注入します。
a. [OSPF] > [ ルールのエクスポート ] (IPv4 の場合)ま
たは [OSPFv3] > [ ルールのエクスポート ]( IPv6 の
場合)の順に選択します。
b. [ 追加 ] をクリックし、作成した再配信プロファイル
を選択します。
c. 外部ルートを OSPF システムに誘導する方法を選択
します。デフォルト オプションである [Ext2] は、
外部メトリックのみを使用したルートの総コストを
計算します。内部と外部の両方の OSPF メトリック
を使用するには、[Ext1] を使用します。
d. OSPF システムに注入されるルートについて、[ メト
リック ] コスト値)を割り当てます。このオプショ
ンを使用すると、注入されたルートが OSPF システム
に到達したときにそのメトリックを変更できます。
e. [OK] をクリックして変更を保存します。
VPN
475
サイト間 VPN のクイック設定
VPN
クイック設定 : スタティック ルーティングおよびダイナミック ルーティングを使用したサイト間 VPN(続き)
ステップ 8
IPSec トンネルをセットアップ 1.
します。
2.
[Network] > [IPSec トンネル ] の順に選択します。
[ 追加 ] をクリックして、[ 全般 ] タブでオプションを
設定します。
この例では、VPN ピア A の設定は以下のようになり
ます。
• トンネル インターフェイス — tunnel.41
• タイプ — 自動キー
• IKE ゲートウェイ — 上で定義した IKE ゲート
ウェイを選択します。
• IPSec 暗号プロファイル — 上で定義した IKE
ゲートウエィを選択します。
VPN ピア B の設定は以下のようになります。
3.
4.
ステップ 9
476
トラフィックをサイト(サブ 1.
ネット)間で許可するための 2.
ポリシーを作成します。
• トンネル インターフェイス — tunnel.40
• タイプ — 自動キー
• IKE ゲートウェイ — 上で定義した IKE ゲート
ウェイを選択します。
• IPSec 暗号プロファイル — 上で定義した IKE
ゲートウエィを選択します。
[ 詳細オプションの表示 ] をオンにし、[ トンネル モニ
ター] をオンにして、接続を確認するために ping 送信
する宛先 IP アドレスを指定します。
接続の確立に失敗した場合のアクションを定義する方
法については、「トンネル モニタリング プロファイル
の定義」を参照してください。
[Policies] > [ セキュリティ] の順に選択します。
指定した送信元および宛先 IP アドレスから発信される
トラフィックについて、トラフィックを Uuntrust ゾー
ンと vpn-tun ゾーン間および vpn-tun ゾーンと Untrust
ゾーン間で許可するためのルールを作成します。
VPN
VPN
サイト間 VPN のクイック設定
クイック設定 : スタティック ルーティングおよびダイナミック ルーティングを使用したサイト間 VPN(続き)
ステップ 10 OSPF 隣接および CLI からの 両方のファイアウォールが互いにネイバーとして完全な状
ルートを確認します。
態で表示できることを確認します。また、VPN ピアのトン
ネル インターフェイスの IP アドレスおよび OSPF ルー
ター ID も確認します。各 VPN ピアで以下の CLI コマンド
を使用します。
• show routing protocol ospf neighbor
• show routing route
以下は、各 VPN ピアの出力例です。
ステップ 11 VPN 接続をテストします。
VPN
「トンネル モニタリングのセットアップ」および「トンネ
ルの状態の表示」を参照してください。
477
サイト間 VPN のクイック設定
VPN
478
VPN
大規模 VPN(LSVPN)
Palo Alto Networks 次世代ファイアウォールに搭載された GlobalProtect 大規模 VPN(LSVPN)機
能により、従来のハブ アンド スポーク VPN のデプロイメントが簡略化され、リモート サテラ
イト デバイスでの設定を最小限に抑えて複数の支社がある企業ネットワークを素早くデプロイ
できます。このソリューションでは、データの安全性を高めるためにデバイス認証と IPSec に
証明書を使用します。
LSVPN により、Palo Alto Networks ファイアウォール同士のサイト間 VPN が実現されます。
Palo Alto Networks ファイアウォールと別のデバイスとのサイト間 VPN をセットアップする方
法については、「VPN」を参照してください。
以下のトピックでは、LSVPN コンポーネントと、Palo Alto Networks ファイアウォール同士のサ
イト間 VPN サービスを実現するためのセットアップ方法について説明します。

LSVPN のインターフェイスおよびゾーンの作成

GlobalProtect LSVPN コンポーネント間の SSL の有効化

サテライトを認証するためのポータルの設定

LSVPN の GlobalProtect ゲートウェイの設定

LSVPN の GlobalProtect ポータルの設定

LSVPN に参加するためのサテライト デバイスの準備

LSVPN 設定の確認

LSVPN のクイック設定
大規模 VPN(LSVPN)
479
LSVPN コンポーネント
大規模 VPN(LSVPN)
LSVPN コンポーネント
GlobalProtect には、リモート サイトから企業リソースへの安全なアクセスを管理するための十
分なインフラストラクチャが用意されています。このインフラストラクチャは、以下のコン
ポーネントで構成されています。

GlobalProtect ポータル — GlobalProtect LSVPN インフラストラクチャの管理機能を提供しま
す。GlobalProtect LSVPN に参加するすべてのサテライトは、サテライト(スポーク)をゲー
トウェイ(ハブ)に接続するための設定情報を含めて、設定情報をポータルから受信しま
す。ポータルは、Palo Alto Networks 次世代ファイアウォールのインターフェイスのポータル
で設定します。

GlobalProtect ゲートウェイ — サテライト接続のトンネル エンド ポイントを提供する Palo
Alto Networks ファイアウォール。サテライト アクセスがゲートウェイのセキュリティ ポリ
シーによって保護されるリソース。個別のポータルとゲートウェイは必要ありません。1 つ
のファイアウォールがポータルおよびゲートウェイの両方として機能できます。

GlobalProtect サテライト — リモート サイトにある Palo Alto Networks ファイアウォールで、
企業オフィスにあるゲートウェイとの IPSec トンネルを確立し、中央管理されたリソースに
安全にアクセスできるようにします。サテライト ファイアウォールでの設定は最小限で済
み、新しいサイトを追加したときに素早く安全に VPN の規模を拡大できます。
以下の図は、GlobalProtect LSVPN コンポーネントの連携を示しています。
480
大規模 VPN(LSVPN)
大規模 VPN(LSVPN)
LSVPN のインターフェイスおよびゾーンの作成
LSVPN のインターフェイスおよびゾーンの作成
LSVPN インフラストラクチャでは、以下のインターフェイスおよびゾーンを作成する必要があ
ります。

GlobalProtect ポータル — GlobalProtect サテライトが接続するためにはレイヤー 3 インター
フェイスが必要です。ポータルとゲートウェイが同じファイアウォールにある場合、同じイ
ンターフェイスを使用できます。ポータルは、支社からアクセスできるゾーンにある必要が
あります。

GlobalProtect ゲートウェイ — リモート サイトからアクセスできるゾーンのレイヤー 3 イン
ターフェイス、保護されたリソースに接続する信頼されたゾーンの内部インターフェイス、
サテライトから VPN トンネルを終端するための論理トンネル インターフェイスの 3 つのイ
ンターフェイスが必要です。他のサイト間 VPN ソリューションとは異なり、GlobalProtect
ゲートウェイで必要なのは 1 つのトンネル インターフェイスのみです。すべてのリモート サ
テライトとのトンネル接続に使用します(ポイントツーマルチポイント)。ダイナミック
ルーティングを使用する予定の場合、IP アドレスをトンネル インターフェイスに割り当て
る必要があります。

GlobalProtect サテライト — リモート ゲートウェイとの VPN を確立するために単一のトンネ
ル インターフェイスが必要です(最大 25 個のゲートウェイ)。ダイナミック ルーティング
を使用する予定の場合、IP アドレスをトンネル インターフェイスに割り当てる必要があり
ます。
ポータル、ゲートウェイ、サテライトの詳細は、「LSVPN コンポーネント」を参照してください。
大規模 VPN(LSVPN)
481
LSVPN のインターフェイスおよびゾーンの作成
大規模 VPN(LSVPN)
GlobalProtect LSVPN のインターフェイスおよびゾーンのセットアップ
ステップ 1
レイヤー 3 インターフェイス 1.
を設定します。
ポータル、各ゲートウェイ、
およびサテライトは、いずれ 2.
もトラフィックがサイト間を
ルーティングされるようにレ 3.
イヤー 3 インターフェイスが
必要です。
ゲートウェイとポータルが同
じファイアウォールにある場
合、両方のコンポーネントに
1 つのインターフェイスを使
用できます。
注
482
[Network] > [ インターフェイス ] > [Ethernet] の順に
選 択 し、GlobalProtect LSVPN に つ い て 設 定 す る イ ン
ターフェイスを選択します。
[ インターフェイス タイプ ] ドロップダウン リストから
[ レイヤー 3] を選択します。
[ 設定 ] タブでインターフェイスが属する [ セキュリティ
ゾーン ] を選択します。
• インターフェイスは、信頼されるネットワークの外
部のゾーンからアクセスできる必要があります。
VPN トラフィックを可視化して制御するために、
専用の VPN ゾーンを作成することを検討してくだ
さい。
• まだゾーンを作成していない場合は、[ セキュリティ
ゾーン ] ドロップダウン リストから [ 新規 - ゾーン ]
を選択し、新しいゾーンの [ 名前 ] を定義してから
[OK] をクリックします。
IPv6 アドレスは LSVPN ではサポート
されません。
4.
使用する [ 仮想ルーター] を選択します。
5.
IP アドレスをインターフェイスに割り当てるには、[IPv4]
タブを選択してから IP セクションで [ 追加 ] をクリッ
クし、インターフェイスに割り当てる IP アドレスと
ネットマスク(例 : 203.0.11.100/24)を入力します。
6.
インターフェイス設定を保存するには、[OK] をクリッ
クします。
大規模 VPN(LSVPN)
大規模 VPN(LSVPN)
LSVPN のインターフェイスおよびゾーンの作成
GlobalProtect LSVPN のインターフェイスおよびゾーンのセットアップ(続き)
ステップ 2
注
注
GlobalProtect ゲートウェイをホ 1.
ストするファイアウォール
で、GlobalProtect サテライトに 2.
よって確立される VPN トンネ
ルを終端する論理トンネル イ
3.
ンターフェイスを設定します。
ダイナミック ルーティングを使用する
予定がなければ、トンネル インター
フェイスに IP アドレスは必要ありませ
ん。ただし、IP アドレスをトンネル イ
ンターフェイスに割り当てると、接続
の問題をトラブルシューティングする
ときに役立つ場合があります。
必ず、VPN トンネルが終端するゾーン
で User-ID を有効にしてください。
[Network] > [ インターフェイス ] > [ トンネル ] の順に
選択し、[ 追加 ] をクリックします。
[ インターフェイス名 ] フィールドで、「.2」などの数
値のサフィックスを指定します。
[ 設定 ] タブで、[ セキュリティ ゾーン ] ドロップダウ
ン リストを展開して以下のようにゾーンを定義します。
• トンネルの終端点として Trust ゾーンを使用するには、
ドロップダウン リストからゾーンを選択します。
• (推奨) VPN トンネル終端のために個別のゾーンを
作成するには、[ 新規 - ゾーン ] をクリックします。
[ ゾーン ] ダイアログの [ 名前 ] で新しいゾーンを定義
し(たとえば、lsvpn-tun)、[ ユーザー ID の有効化 ]
チェックボックスをオンにしてから [OK] をクリッ
クします。
4.
[ 仮想ルーター] を選択します。
5.
(任意) IP アドレスをトンネル インターフェイスに割
り当てるには、[IPv4] タブを選択してから [IP] セクショ
ンで [ 追加 ] をクリックし、インターフェイスに割り当
てる IP アドレスとネットマスク(例 : 203.0.11.33/24)を
入力します。
6.
インターフェイス設定を保存するには、[OK] をクリッ
クします。
ステップ 3
VPN 接続のトンネル終端用に個別のゾーンを作成した場合、VPN ゾーンと信頼されたゾー
ン間のトラフィック フローを有効にするためにセキュリティ ポリシーを作成します。た
とえば、以下のポリシー ルールにより、lsvpn-tun ゾーンと L3-Trust ゾーン間のトラフィッ
クを有効にできます。
ステップ 4
設定を保存します。
大規模 VPN(LSVPN)
[Commit] をクリックします。
483
GlobalProtect LSVPN コンポーネント間の SSL の有効化
大規模 VPN(LSVPN)
GlobalProtect LSVPN コンポーネント間の SSL の有効化
GlobalProtect コンポーネント間の相互作用はすべて SSL 接続を経由して行われます。したがっ
て、各コンポーネントを設定する前に必要な証明書を生成してインストールしないと、各コン
ポーネントの設定で適切な証明書や証明書プロファイルを参照できません。以下のセクション
では、サポートされる証明書のデプロイ方法、説明、さまざまな GlobalProtect 証明書のベスト
プラクティス ガイドラインについて説明し、必要な証明書を生成してデプロイする手順を紹介
します。

証明書のデプロイメントについて

GlobalProtect LSVPN コンポーネントへのサーバー証明書のデプロイ
証明書のデプロイメントについて
GlobalProtect LSVPN の証明書をデプロイする基本的な方法は 2 つあります。

企業認証局 — すでに自分の企業認証局がある場合、この内部 CA を使用して GlobalProtect
ポータルの中間 CA 証明書を発行し、証明書を GlobalProtect ゲートウェイおよびサテライト
に発行できるようにします。

自己署名証明書 — ファイアウォールで自己署名ルート CA 証明書を生成し、それを使用して
ポータル、ゲートウェイ、サテライトのサーバー証明書を発行できます。ベスト プラクティ
スとしては、ポータルで自己署名ルート CA 証明書を作成し、それを使用してゲートウェイ
およびサテライトのサーバー証明書を発行します。この方法では、証明書の署名に使用され
る秘密鍵はポータルにとどまります。
GlobalProtect LSVPN コンポーネントへのサーバー証明書のデプロイ
GlobalProtect LSVPN コンポーネントは相互認証に SSL/TLS を使用します。LSVPN をデプロイす
る前に、ポータルおよびゲートウェイにサーバー証明書を発行する必要があります。ポータル
は最初に接続するときに各サテライトのサーバー証明書を発行するため、サテライト デバイス
のサーバー証明書を作成する必要はありません。
さらに、ゲートウェイまたはサテライトとしてホストする予定の各ファイアウォールにサー
バー証明書を発行するために使用されるルート CA 証明書をインポートする必要があります。
最後に、LSVPN に参加する各ゲートウェイおよびサテライトで、相互認証を使用して SSL/TLS
接続を確立できるようにする証明書プロファイルを設定する必要があります。
以下のワークフローは、GlobalProtect LSVPN コンポーネントに SSL 証明書をデプロイするため
のベスト プラクティスの手順を示しています。
サテライト デバイスのサーバー証明書を発行する必要はありません。ポータルによりサテライ
ト登録プロセスの一環として発行されます。
484
大規模 VPN(LSVPN)
大規模 VPN(LSVPN)
GlobalProtect LSVPN コンポーネント間の SSL の有効化
GlobalProtect コンポーネントへの SSL サーバー証明書のデプロイ
ステップ 1
ステップ 2
注
ポータルをホストするファイ
ア ウ ォ ー ル で、GlobalProtect
コンポーネントの自己署名証
明書を発行するためにルート
CA 証明書を作成する必要が
あります。
自 己 署 名 証 明 書 を 作 成 す る に は、以 下 の 手 順 に 従 い、
GlobalProtect の証明書を署名するために使用されるルート
CA 証明書を最初に作成する必要があります。
1. ルート CA 証明書を作成するには、[Device] > [ 証明書
の管理 ] > [ 証明書 ] > [ デバイス証明書 ] の順に選択し、
[ 生成 ] をクリックします。
2.
[ 証明書名 ] に「LSVPN_CA」などの名前を入力しま
す。証明書名にスペースを含めることはできません。
3.
[ 署名者 ] フィールドの値を選択すると、その証明書が
自己署名証明書であることを示すため、この値は選択
しないでください。
4.
[ 認証局 ] チェックボックスをオンにしてから [OK] を
クリックし、証明書を生成します。
GlobalProtect ポータルおよびゲー ポータルでルート CA を使用し、デプロイする予定の各
トウェイのサーバー証明書を ゲートウェイのサーバー証明書を生成します。
生成します。
1. [Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス証明
書 ] の順に選択してから [ 生成 ] をクリックします。
ポータルおよび各 GlobalProtect
ゲートウェイの一意の自己署 2.
名サーバー証明書を発行する
必要があります。ベスト プラ 3.
クティスとして、ポータルで
必要なすべての証明書を発行
し、署名付き証明書(秘密鍵 4.
を含む)をエクスポートする
必要がないようにします。
5.
GlobalProtect ポータルとゲートウェイ
が同じファイアウォール インター
フェイスにある場合、両方のコンポー
ネントについて同じサーバー証明書を
使用できます。
6.
大規模 VPN(LSVPN)
[ 証明書名 ] を入力します。証明書名にスペースを含め
ることはできません。
ゲートウェイを設定する予定のインターフェイスの
FQDN(推奨)または IP アドレスを [ 共通名 ] フィー
ルドに入力します。
[署名者 ] フィールドで、前に作成した「LSVPN_CA」
を選択します。
[ 証明書の属性 ] セクションで、[ 追加 ] をクリックして
ゲートウェイを一意に識別する属性を定義します。
[Host Name] 属性(証明書の SAN フィールドを入力)
を追加する場合、[ 共通名 ] で定義した値と完全に同じ
である必要があります。
証明書を [ 生成 ] します。
485
GlobalProtect LSVPN コンポーネント間の SSL の有効化
大規模 VPN(LSVPN)
GlobalProtect コンポーネントへの SSL サーバー証明書のデプロイ(続き)
ステップ 3
自己署名サーバー証明書をゲー 1.
トウェイにデプロイします。
ベスト プラクティス :
• ルート CA によって発行され
2.
た自己署名サーバー証明書
をポータルからエクスポー
トし、ゲートウェイにイン 3.
ポートします。
• 必ず、各ゲートウェイにつ
いて一意のサーバー証明書
4.
を発行してください。
• 証明書の [ 共通名 ] (CN)
フィールドと、該当する場
合は、[ サブジェクト代替 5.
名 ] (SAN)フィールドが、 6.
ゲートウェイを設定するイ
ンターフェイスの IP アド
レスまたは完全修飾ドメイ
7.
ン 名(FQDN)と 完 全 に一
致する必要があります。
8.
9.
486
ポータルで、[Device] > [ 証明書の管理 ] > [ 証明書 ] >
[ デバイス証明書 ] の順に選択し、デプロイするゲート
ウェイ証明書を選択して [ エクスポート ] をクリックし
ます。
[ ファイル フォーマット ] ドロップダウン リストから [ 暗
号化された秘密鍵と証明書(PKCS12)] を選択します。
[ パスフレーズ ] を入力(および再入力)して証明書に
関連付けられた秘密鍵を暗号化し、[OK] をクリックし
て PKCS12 ファイルをコンピュータにダウンロードし
ます。
ゲートウェイで [Device] > [ 証明書の管理 ] > [ 証明書 ] >
[ デバイス証明書 ] の順に選択し、[ インポート ] をク
リックします。
[ 証明書名 ] を入力します。
ポータルからダウンロードした [ 証明書ファイル ] への
パスと名前を入力するか、[ 参照 ] をクリックしてファ
イルを検索します。
[ ファイル フォーマット ] として [ 暗号化された秘密鍵
と証明書(PKCS12)] を選択します。
[ キー ファイル ] フィールドに PKCS12 ファイルへのパ
スと名前を入力するか、[ 参照 ] をクリックして検索し
ます。
ポータルから秘密鍵をエクスポートしたときに、秘密
鍵の暗号化に使用した [ パスフレーズ ] を入力して再入
力し、[OK] をクリックして証明書およびキーをイン
ポートします。
大規模 VPN(LSVPN)
大規模 VPN(LSVPN)
GlobalProtect LSVPN コンポーネント間の SSL の有効化
GlobalProtect コンポーネントへの SSL サーバー証明書のデプロイ(続き)
ステップ 4
LSVPN コンポーネントのサー 1.
バー証明書を発行するために
使用するルート CA 証明書を
インポートします。
ルート CA 証明書をすべての
ゲートウェイおよびサテライ
トにインポートする必要があ
ります。セキュリティ上の理
由により、必ず証明書のみを
エクスポートし、関連付けら
れた秘密鍵はエクスポートし
2.
ないでください。
ルート CA 証明書をポータルからダウンロードします。
a. [Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス
証明書 ] の順に選択します。
b. LSVPN コンポーネントの証明書を発行するために使
用するルート CA 証明書を選択し、[ エクスポート ]
をクリックします。
c. [ ファイル フォーマット ] ドロップダウン リストから
[Base64 エ ン コ ー ド 済 み 証 明 書(PEM)] を 選 択
し、[OK] をクリックして証明書をダウンロードしま
す(秘密鍵はエクスポートしないでください)。
ゲートウェイおよびサテライトをホストするファイア
ウォールで、ルート CA 証明書をインポートします。
a. [Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス
証明書 ] の順に選択し、[ インポート ] をクリックし
ます。
b. [ 証明書名 ] フィールドに、クライアント CA 証明書
であることを識別できる名前を入力します。
c. [Browse] をクリックして、CA からダウンロードし
た証明書ファイルを選択します。
d. [Base64 エンコード済み証明書(PEM)] を [ ファイ
ル フォーマット ] フィールドで選択し、[OK] をク
リックします。
e. [ デバイス証明書 ] タブで、先ほどインポートした証
明書を選択して開きます。
f. [ 信頼されたルート CA] を選択して [OK] をクリック
します。
g. 変更を [Commit] します。
ステップ 5
証明書プロファイルを作成し 1.
ます。
GlobalProtect LSVPN ポータル
および各ゲートウェイには、 2.
サテライトの認証に使用する
証明書を指定する証明書プロ 3.
ファイルが必要です。
ステップ 6
設定を保存します。
大規模 VPN(LSVPN)
[Device] > [ 証明書の管理 ] > [ 証明書プロファイル ] の
順に選択し、[ 追加 ] をクリックして [ 名前 ] フィール
ドにプロファイル名を入力します。
[ ユーザー名フィールド ] が [None] に設定されている
ことを確認します。
[CA 証明書 ] フィールドで [ 追加 ] をクリックし、ステッ
プ 4 でインポートした「信頼されたルート認証局」の
証明書を選択します。
4.
(任意、ただし推奨)CRL や OCSP の使用を有効にし
て、証明書の状態を検証できるようにします。
5.
[OK] をクリックしてプロファイルを保存します。
[Commit] をクリックします。
487
サテライトを認証するためのポータルの設定
大規模 VPN(LSVPN)
サテライトを認証するためのポータルの設定
LSVPN に登録するには、各サテライトとポータルとの SSL/TLS 接続を確立する必要がありま
す。接続の確立後、ポータルはサテライト デバイスを認証し、LSVPN に参加する権限があるこ
とを確認します。サテライトの認証に成功すると、ポータルはそのサテライトのサーバー証明
書を発行し、サテライトが接続できるゲートウェイと、ゲートウェイとの SSL 接続を確立する
ために必要なルート CA 証明書を指定する LSVPN 設定をプッシュします。
最初に接続したときにサテライトがポータルへの認証を行う方法は 2 つあります。

シリアル番号 — LSVPN に参加することを認証されたサテライト ファイアウォールのシリア
ル番号を使用してポータルを設定できます。ポータルへの最初のサテライト接続中に、サテ
ライトはそのポータルへのシリアル番号を表示し、ポータルの設定にそのシリアル番号があ
る場合、サテライトは正常に認証されます。認証済みサテライトのシリアル番号は、ポータ
ルを設定するときに追加します。「ポータルの設定」を参照してください。

ユーザー名とパスワード — サテライト デバイスのシリアル番号を手動でポータル設定に入
力せずにサテライトをプロビジョニングする方が望ましい場合、代わりにポータルへの最初
の接続を確立したときにサテライト管理者に認証してもらう必要があります。ポータルはサ
テライトからの最初の要求で必ずシリアル番号を検索しますが、シリアル番号を識別できな
い場合、サテライト管理者はポータルを認証するためにユーザー名とパスワードを指定する
必要があります。ポータルは必ずこの形式の認証にフォールバックするため、ポータル設定
をコミットするには認証プロファイルを作成する必要があります。このためには、シリアル
番号を使用してサテライトを認証する予定であっても、ポータル LSVPN 設定の認証プロ
ファイルをセットアップする必要があります。
以下のワークフローは、既存の認証サービスに対してサテライトを認証するためにポータルを
セットアップする方法を示しています。GlobalProtect LSVPN は、ローカル データベース、
LDAP(Active Directory を含む)、Kerberos、または RADIUS を使用した外部認証をサポートし
ています。
488
大規模 VPN(LSVPN)
大規模 VPN(LSVPN)
サテライトを認証するためのポータルの設定
サテライトの認証のセットアップ
ステップ 1
ポータルでサーバー プロファ 1.
イルを作成します。
サーバー プロファイルはファ
イアウォールに対して、外部 2.
認証サービスに接続する方法
を指示し、サテライト管理者 3.
によって提供された認証情報
を検証します。
4.
ローカル認証を使用している場
合、この手順をスキップして、
代わりにサテライト管理者を認
証するためのローカル ユー 5.
ザー設定を追加できます。
注
LDAP を使用して Active Directory(AD)
に接続している場合、各 AD ドメイン
について個別の LDAP サーバー プロ
ファイルを作成する必要があります。
[Device] > [ サーバー プロファイル ] の順に選択し、プ
ロ フ ァ イ ル の タ イ プ([LDAP]、[Kerberos]、ま た は
[RADIUS])を選択します。
[追加] をクリックし、[名前]フィールドに「LSVPN-Auth」
などのプロファイル名を入力します。
(LDAP のみ)[ タイプ ] フィールドで接続先となる
LDAP サーバーを選択します。
[ サーバー] セクションの [ 追加 ] をクリックしてから、
[ 名前 ]、[IP アドレス ](または [FQDN])、[ ポート ]
などの各フィールドに、認証サービスに接続するため
に必要なサーバー情報を入力します。
(RADIUS と LDAP のみ)ファイアウォールで認証サー
ビスを認証できるように、以下のように設定を指定し
ます。
• RADIUS — サーバー エントリを追加するときに共有
の [ シークレット ] を入力します。
• LDAP — [ バインド DN] および [ バインド パスワー
ド ] を入力します。
6.
(LDAP と Kerberos のみ)ディレクトリ サービスで認
証情報を検索する場所を指定します。
• LDAP — [ ベース ] の DN は、LDAP ツリー内でユー
ザーおよびグループの検索を開始する場所を指定し
ます。このフィールドは、サーバー アドレスおよび
ポートを入力するときに自動的に入力されます。入
力されない場合、LDAP サーバーまでのサービス
ルートを確認してください。
• Kerberos — Kerberos の [ レルム ] 名を入力します。
大規模 VPN(LSVPN)
7.
[ドメイン] フィールドでドメイン名を指定します(ドッ
トは含めません。たとえば acme であり、acme.com では
ありません)。
8.
[OK] をクリックしてサーバー プロファイルを保存し
ます。
489
大規模 VPN(LSVPN)
サテライトを認証するためのポータルの設定
サテライトの認証のセットアップ(続き)
ステップ 2
ステップ 3
490
認 証 プ ロ フ ァ イ ル を 作 成 し 1.
ます。
[Device] > [ 認証プロファイル ] の順に選択し、[ 追加 ]
をクリックします。
認証プロファイルは、認証サ 2.
テライトを使用するサーバー
プロファイルを指定します。
3.
[ 名前 ] にプロファイル名を入力し、[ 認証 ] でタイプ
([ ローカル データベース ]、[LDAP]、[Kerberos]、ま
たは [RADIUS])を選択します。
設定を保存します。
[サーバー プロファイル] で、ステップ 1 で作成したプ
ロファイルを選択します。
4.
(LDAP AD)[ログイン属性] として「sAMAccountName」
と入力します。
5.
[OK] をクリックします。
[Commit] をクリックします。
大規模 VPN(LSVPN)
大規模 VPN(LSVPN)
LSVPN の GlobalProtect ゲートウェイの設定
LSVPN の GlobalProtect ゲートウェイの設定
ポータルがサテライトに配信する GlobalProtect 設定にはサテライトが接続できるゲートウェイの
リストが含まれているため、ポータルを設定する前にゲートウェイを設定すると良いでしょう。
前提となるタスク
GlobalProtect ゲートウェイを設定する前に、以下のタスクを完了しておく必要があります。

各ゲートウェイを設定する予定のインターフェイスのインターフェイス(およびゾーン)
の作成。物理インターフェイスと仮想トンネル インターフェイスの両方を設定する必要が
あります。「LSVPN のインターフェイスおよびゾーンの作成」を参照してください。

GlobalProtect サテライトおよびゲートウェイで相互の SSL/TLS 接続を確立できるようにする
ために必要なゲートウェイ サーバー証明書および証明書プロファイルのセットアップ。
「GlobalProtect LSVPN コンポーネント間の SSL の有効化」を参照してください。
ゲートウェイの設定
前提となるタスクを完了したら、以下のように LSVPN に参加する各 GlobalProtect ゲートウェイ
を設定します。
LSVPN のゲートウェイの設定
ステップ 1
ゲートウェイを追加します。
大規模 VPN(LSVPN)
1.
[Network] > [GlobalProtect] > [ ゲートウェイ ] の順に
選択し、[ 追加 ] をクリックします。
2.
[全般] タブの [名前] にゲートウェイ名を入力します。
ゲートウェイ名にスペースを含めることはできませ
ん。ゲートウェイを識別しやすくするために場所など
の情報を含めることをお勧めします。
3.
(任意)[ 場所 ] フィールドから、このゲートウェイが
属する仮想システムを選択します。
491
LSVPN の GlobalProtect ゲートウェイの設定
大規模 VPN(LSVPN)
LSVPN のゲートウェイの設定(続き)
ステップ 2
ステップ 3
サテライトがゲートウェイに 1.
接続できるようにネットワー
ク情報を指定します。
2.
サテライトがゲートウェイへの入力アクセスに使用す
る [ インターフェイス ] を選択します。
ゲートウェイのネットワーク 3.
インターフェイスをまだ作成し
ていない場合、手順について
は「LSVPN のインターフェイ
スおよびゾーンの作成」を参
照 し て く だ さ い。ゲ ー ト
ウェイのサーバー証明書を
まだ作成していない場合
は、「GlobalProtect LSVPN コ
ンポーネントへのサーバー証
明書 のデプロ イ」を参照して
ください。
ドロップダウン リストからゲートウェイの [ サーバー
証明書 ] を選択します。
ゲートウェイ アクセス用の [IP アドレス ] を選択します。
トンネルを確立しようとして LSVPN コンポーネント間の SSL 通信用に作成した [ 証明書
いるサテライトの認証に使用 プロファイル ] を選択します。
するゲートウェイの証明書プ
ロファイルを選択します。
証明書プロファイルをまだセッ
トアップしていない場合、手
順 に つ い て は「GlobalProtect
LSVPN コ ン ポ ー ネ ン ト 間 の
SSL の有効化」を参照してく
ださい。
ステップ 4
492
トンネル パラメータを設定し 1.
てトンネルを有効にします。
[GlobalProtect ゲートウェイ ] ダイアログで、[ サテライ
ト設定 ] > [ トンネル設定 ] の順に選択します。
2.
[ トンネル設定 ] チェック ボックスをオンにして、トン
ネルを有効にします。
3.
「LSVPN のインターフェイスおよびゾーンの作成」
のステップ 2 で定義した [ トンネル インターフェイス ]
を選択します。
4.
(任意)カプセル化されたパケットで ToS (Type of
Service)情報を保持する場合、[TOS のコピー] チェッ
ク ボックスをオンにします。
大規模 VPN(LSVPN)
大規模 VPN(LSVPN)
LSVPN の GlobalProtect ゲートウェイの設定
LSVPN のゲートウェイの設定(続き)
ステップ 5
ステップ 6
(任意)トンネル モニタリン 1.
グを有効化します。
[ トンネル モニタリング ] チェック ボックスをオンにし
ます。
トンネル モニタリングによっ 2.
て、サテライト デバイスはそ
のゲートウェイ トンネル接続
を監視でき、接続に失敗した
場合にバックアップ ゲート
ウェイにフェイルオーバーで
き る よ う に な り ま す。別 の
ゲ ー ト ウ ェ イ へ の フ ェ イ ル 3.
オーバーは、LSVPN でサポー
トされている唯一のトンネル
モニタリング プロファイルの
タイプです。
[ 宛先 IP] フィールドで、ゲートウェイがアクティブか
どうかをサテライト デバイスが判断するために使用す
るアドレスを指定します。または、トンネル インター
フェイスに IP アドレスを設定した場合はこのフィール
ドを空白のままにでき、トンネル モニターは代わりに
トンネル インターフェイスを使用して接続がアクティ
ブかどうかを判断します。
[トンネル モニターのプロファイル] ドロップダウン リ
ストから [ フェイルオーバー] を選択します(これは、
サポートされる唯一の LSVPN のトンネル モニターの
プロファイルです)。
トンネル接続を確立するとき [IPSec 暗号プロファイル ] ドロップダウン リストから
に使用する [ 暗号プロファイル ] [default] を選択するか、必要に応じて、[ 新規 - IPSec 暗号
を選択します。
プロファイル ] を選択して新しいプロファイルを定義しま
す。暗号プロファイルの認証および暗号化のオプションの
暗号プロファイルは、トンネ
詳細は、オンライン ヘルプを参照してください。
ルを通過するデータを安全に
するための IPSec 暗号化や認
証方法のタイプを指定しま
す。LSVPN の両方のトンネル
エントポイントが組織内の信
頼されるファイアウォールで
あるため、一般に、SHA-1 暗
号化を含む ESP-DH group2-AES
128 を使用するデフォルトのプ
ロファイルを使用できます。
ただし、暗号化と認証メカニ
ズムの異なる組み合わせが必
要な場合、必要に応じてカス
タム IPSec 暗号プロファイル
を作成できます。
大規模 VPN(LSVPN)
493
LSVPN の GlobalProtect ゲートウェイの設定
大規模 VPN(LSVPN)
LSVPN のゲートウェイの設定(続き)
ステップ 7
注
IPSec トンネルの確立中に、ネッ 1.
トワークを設定しサテライト
を割り当てます。
2.
サテライトをホストする DHCP サーバー
を設定することで、DNS 設定をその
ローカル クライアントにプッシュす
るようにサテライト デバイスを設定
することもできます。この設定では、
サテライトはゲートウェイから収集す
る DNS 設定を DHCP クライアントに
プッシュします。
[GlobalProtect ゲートウェイ ] ダイアログで、[ サテライ
ト設定 ] > [ ネットワーク設定 ] の順に選択します。
(任意)サテライト デバイスにローカルなクライアン
トが企業ネットワーク上の FQDN を解決する必要があ
る場合、以下のいずれかの方法で、ゲートウェイが
DNS 設定をサテライトにプッシュするように設定し
ます。
• [ プライマリ DNS]、[ セカンダリ DNS]、[DNS サフィッ
クス] 設定を、サテライトにプッシュするように手
動で定義します。
• ゲートウェイに DHCP クライアントとして設定され
たインターフェイスがある場合、そのインターフェ
イスへの [ 継承ソース ] を設定すると、GlobalProtect
サテライトは DHCP クライアントによって受信され
るのと同じ設定に割り当てられます。
3.
VPN を確立するときに、アドレスの [IP プール ] を指
定して、サテライト デバイスのトンネル インターフェ
イスに割り当てるには、[ 追加 ] をクリックして使用す
る IP アドレス範囲を指定します。ダイナミック ルー
ティングを使用している場合、サテライトについて指
定した IP アドレスが、ゲートウェイおよびサテライト
でトンネル インターフェイスに手動で割り当てた IP
アドレスと重複しないようにしてください。
4.
トンネルを経由してルーティングする宛先サブネット
を定義するには、[ アクセス ルート ] 領域で [ 追加 ] を
クリックして以下のようにルートを入力します。
• サテライトからのすべてのトラフィックをトンネル
を経由してルーティングする場合、このフィールド
は空白のままにします。
• ゲートウェイを経由する一部のトラフィックのみを
ルーティングするには(スプリット トンネルと呼ば
れます)、トンネルする必要のある宛先サブネット
を指定します。この場合、サテライトは独自のルー
ティング テーブルを使用して、指定したアクセス
ルートの宛先になっていないトラフィックをルー
ティングします。たとえば、企業ネットワークの宛
先になっているトラフィックのみをトンネルし、
ローカル サテライトを使用して安全にインターネッ
ト アクセスを有効にすることができます。
• サテライト間のルーティングを有効にするには、各
サテライトによって保護されたネットワークのサマ
リー ルートを入力します。
494
大規模 VPN(LSVPN)
大規模 VPN(LSVPN)
LSVPN の GlobalProtect ゲートウェイの設定
LSVPN のゲートウェイの設定(続き)
ステップ 8
ステップ 9
(任意)ゲートウェイがサテ 1.
ライトから受け入れるルート
(ある場合)を定義します。
ゲートウェイがサテライトによって通知されたルート
を受け入れるようにするには、[サテライト設定] > [ルー
ト フィルタ ] の順に選択します。
デフォルトでは、ゲートウェ 2.
イはサテライトが通知した
ルートをルーティング テーブ 3.
ル に 追 加 し ま せ ん。ゲ ー ト
ウェイがサテライトからの
ルートを受け入れないように
する場合、この手順を実行す
る必要はありません。
[ 公開されたルートの受け入れ ] チェック ボックスをオ
ンにします。
ゲートウェイの設定を保存し 1.
ます。
2.
大規模 VPN(LSVPN)
サテライトによって通知されたルートのうちゲート
ウェイ ルーティング テーブルに追加するものをフィル
タリングするには、[ 追加 ] をクリックして含めるサブ
ネットを定義します。たとえば、すべてのサテライト
が LAN 側のサブネット 192.168.x.0/24 で設定されてい
る場合、許可されたルートの 192.168.0.0/16 を設定する
と、ゲートウェイはサテライトが 192.168.0.0/16 サブ
ネットにある場合のみサテライトからのルートを受け
入れます。
[OK] をクリックして設定を保存し、[GlobalProtect ゲー
トウェイ ] ダイアログを閉じます。
設定を [Commit] します。
495
LSVPN の GlobalProtect ポータルの設定
大規模 VPN(LSVPN)
LSVPN の GlobalProtect ポータルの設定
GlobalProtect ポータルは、GlobalProtect LSVPN の管理機能を提供します。LSVPN に参加するす
べてのサテライト システムは、ポータルから設定情報を受信します。これには、使用可能な
ゲートウェイ、ゲートウェイへの接続に必要な証明書などの情報が含まれます。
以下のセクションでは、ポータルのセットアップ手順について説明します。

前提となるタスク

ポータルの設定

サテライト設定の定義
前提となるタスク
GlobalProtect ポータルを設定する前に、以下のタスクを完了しておく必要があります。

ポータルを設定する予定のファイアウォール インターフェイスのインターフェイス(および
ゾーン)の作成。「LSVPN のインターフェイスおよびゾーンの作成」を参照してください。

ポータル サーバー証明書、ゲートウェイ サーバー証明書の発行と、サテライトのサーバー
証明書を発行するためのポータルのセットアップ。「GlobalProtect LSVPN コンポーネント
間の SSL の有効化」を参照してください。

シリアル番号が使用できない場合に GlobalProtect サテライトを認証するために使用される
認証プロファイルの定義。「サテライトを認証するためのポータルの設定」を参照してく
ださい。

グローバル プロテクト ゲートウェイの設定。「LSVPN の GlobalProtect ゲートウェイの設定」
を参照してください。
496
大規模 VPN(LSVPN)
大規模 VPN(LSVPN)
LSVPN の GlobalProtect ポータルの設定
ポータルの設定
前提となるタスクを完了したら、以下のように GlobalProtect ポータルを設定します。
LSVPN のポータルの設定
ステップ 1
ステップ 2
1.
[Network] > [GlobalProtect] > [ ポータル ] の順に選択
し、[ 追加 ] をクリックします。
2.
[ ポータル設定 ] タブの [ 名前 ] フィールドにポータル
名を入力します。ポータル名にスペースを含めること
はできません。
3.
(任意)[ 場所 ] フィールドから、このポータルが属す
る仮想システムを選択します。
サテライトがポータルに接続 1.
できるようにネットワーク情
報を指定します。
2.
サテライトがポータルへの入力アクセスに使用する [ イ
ンターフェイス ] を選択します。
ポータルを追加します。
ポータルのネットワーク イ
ンターフェイスをまだ作成し 3.
ていない場合、手順について
は「LSVPN のインターフェイ
スおよびゾーンの作成」を参
照 し て く だ さ い。ポ ー タ ル
のサーバー証明書をまだ作
成 し て お ら ず、ゲ ー ト ウ ェ
イ証明書を発行していない
場 合、「GlobalProtect LSVPN
コンポーネントへのサーバー
証明書のデプロイ」を参照し
てください。
ポータルへのサテライト アクセスの [IP アドレス ] を
選択します。
サテライトがポータルとの SSL 接続を確立できるよ
うに、生成した [ サーバー証明書 ] を選択します。
ステップ 3
注
サテライト デバイスを認証す • サテライトを認証するために定義した [ 認証プロファイル ]
るための認証プロファイルを
を選択します。
指定します。
• 認証プロファイルをまだセットアップしていない場合、
サテライトのシリアル番号を使用して
[ 新規 - 認証プロファイル ] を選択してここで作成します。
手動でポータルを設定する予定であっ
方法については、「サテライトを認証するためのポータ
ても、認証プロファイルを定義する必
ルの設定」を参照してください。ポータルが接続するサテ
要があり、定義しないと設定を保存す
ライトのシリアル番号を検証できない場合、この認証プロ
ることができません。
ファイルにフォールバックするため、ポータル設定を保存
するために認証プロファイルを設定する必要があります。
ステップ 4
サテライトにプッシュするた [OK] をクリックしてポータル設定を保存するか、「サテ
め の 設 定 の 定 義 を 続 行 す る ライト設定の定義」を続行します。
か、すでにサテライト設定を
作成している場合は、ポータ
ル設定を保存します。
大規模 VPN(LSVPN)
497
LSVPN の GlobalProtect ポータルの設定
大規模 VPN(LSVPN)
サテライト設定の定義
GlobalProtect サテライトが GlobalProtect ポータルに接続して認証に成功すると、ポータルはサテ
ライト設定を配信し、これによってサテライトが接続できるゲートウェイが指定されます。す
べてのサテライトで同じゲートウェイおよび証明書設定を使用する場合、認証が成功したとき
にすべてのサテライトに配信する 1 つのサテライト設定を作成できます。ただし、たとえばサ
テライトの 1 つのグループを 1 つのゲートウェイに接続し、サテライトの別のグループを別の
ゲートウェイに接続するなど、異なるサテライト設定が必要な場合、それぞれについて個別の
サテライト設定を作成できます。ポータルは、ユーザー名/グループ名の登録またはサテライト
デバイスのシリアル番号を使用して、デプロイするサテライト設定を決定します。セキュリ
ティ ルール評価によって、ポータルはリストの先頭から一致を検索します。一致が見つかる
と、ポータルは対応する設定をサテライトに配信します。
たとえば、以下の図は、一部の支社ではペリメータ ファイアウォールによって保護された企業
アプリケーションへの VPN アクセスが必要で、別の支社ではデータセンターへの VPN アクセ
スが必要なネットワークを示しています。
498
大規模 VPN(LSVPN)
大規模 VPN(LSVPN)
LSVPN の GlobalProtect ポータルの設定
以下の手順に従って、1 つ以上のサテライト設定を作成します。
GlobalProtect サテライト設定の作成
ステップ 1
サテライトが LSVPN に参加 1.
するために必要な証明書を指
定します。
[Network] > [GlobalProtect] > [ ポータル ] の順に選択
し、サテライト設定を追加するポータル設定を選択し
てから [ サテライト設定 ] タブを選択します。
2.
[信頼されたルート CA] フィールドで、[追加] をクリッ
クしてからゲートウェイ サーバー証明書を発行するた
めに使用する CA 証明書を選択します。ポータルは、
ここで追加したルート CA 証明書を設定の一部として
すべてのサテライトにデプロイするため、サテライト
はゲートウェイとの SSL 接続を確立できます。すべて
のゲートウェイで同じ発行者を使用することをお勧め
します。
注
3.
ステップ 2
ゲートウェイ サーバー証明書を発行するために使用
するルート CA 証明書がポータルにない場合、ここで
インポートできます。ルート CA 証明書のインポート
方法の詳細は、「GlobalProtect LSVPN コンポーネン
ト間の SSL の有効化」を参照してください。
[ 証明書の発行 ] ドロップダウン リストから、認証に成
功したときにポータルが証明書をサテライトに発行す
るために使用するルート CA 証明書を選択します。署
名付きの証明書をまだインポートしていないか、自己
署名ルート CA 証明書をまだ生成していない場合、詳
細は「GlobalProtect LSVPN コンポーネント間の SSL の
有効化」を参照してください。
サテライト設定を追加します。 [ サテライト設定 ] セクションで、[ 追加 ] をクリックして、
設定の [ 名前 ] を入力します。
サテライト設定は、接続元サ
テ ラ イ ト に デ プ ロ イ す る 複数の設定を作成する予定の場合、それぞれについて分か
GlobalProtect LSVPN 設定を指 りやすい名前を定義し、区別できるようにしてください。
定します。少なくとも 1 つの
サテライト設定を定義する必
要があります。
大規模 VPN(LSVPN)
499
LSVPN の GlobalProtect ポータルの設定
大規模 VPN(LSVPN)
GlobalProtect サテライト設定の作成(続き)
ステップ 3
500
この設定をデプロイするサテ 以下のようにサテライト設定の一致基準を指定します。
ライトを指定します。設定を • この設定を特定のシリアル番号を持つサテライト デバイ
取得するサテライトを指定す
スに制限するには、[ デバイス ] タブを選択して [ 追加 ] を
る 方 法 に は、ユ ー ザ ー/ グ
クリックし、シリアル番号を入力します(サテライト
ループ名を登録する方法とサ
ホスト名はサテライトが接続したときに自動的に追加さ
テライト デバイスのシリアル
れるため、入力する必要はありません)。この設定を受
番号を使用する方法の 2 つが
信するサテライトごとにこの手順を繰り返します。
あります。
• [ 登録ユーザー/ ユーザー グループ ] タブを選択して [ 追
ポータルは [登録ユーザー/ユー
加] をクリックし、この設定を受信するユーザーまたはグ
ザー グループ] 設定または [デ
ループを選択します。シリアル番号に一致しないサテラ
バイス ] シリアル番号を使用し
イトは、ここで指定したユーザー(個人ユーザーまたは
てサテライトと設定を照合し
グループ メンバー)として認証する必要があります。
ます。したがって、複数の設
注
設定を特定のグループに制限するには、「ユーザー対
定がある場合、適切に順序付
グループのマッピング」で説明しているようにユー
けする必要があります。ポー
ザーをグループにマップしておく必要があります。
タルは一致を検出するとすぐ
に設定を配信します。そのた
め、より具体的な設定がより
全般的な設定よりも優先され
る必要があります。サテライ
ト設定のリストの順序付けの
手順については、ステップ 6
を参照してください。
大規模 VPN(LSVPN)
大規模 VPN(LSVPN)
LSVPN の GlobalProtect ポータルの設定
GlobalProtect サテライト設定の作成(続き)
ステップ 4
注
この設定を持つサテライトが 1.
VPN ト ンネ ル を確 立で きる 2.
ゲートウェイを指定します。
ゲートウェイによって公開されたルー
トはスタティック ルートとしてサテ
ライトにインストールされます。スタ 3.
テ ィ ッ ク ル ー ト の メ ト リ ッ ク は、
ル ー テ ィ ン グ の 優 先 順 位 の 10 倍 で
す。複数のゲートウェイがある場合、
必ずルーティングの優先順位も設定し
て、バ ッ ク ア ッ プ ゲ ー ト ウ ェ イ に 4.
よって通知されるルートがプライマリ
ゲートウェイによって通知される同じ
ルートよりも高いメトリックになるよ
うにしてください。たとえば、プライ
マリ ゲートウェイとバックアップ
ゲートウェイのルーターの優先順位を
それぞれ 1 と 10 に設定した場合、サ
テラ イトは 10 をプライ マリ ゲ ート
ウェイのメトリックとして使用し、
100 をバックアップ ゲートウェイのメ
トリックとして使用します。
ステップ 5
サ テ ラ イ ト の 設 定 を 保 存 し 1.
ます。
2.
[ ゲートウェイ ] タブで [ 追加 ] をクリックします。
[ 名前 ] フィールドに分かりやすいゲートウェイ名を入
力します。ここで入力する名前は、ゲートウェイを設
定したときに定義した名前と一致し、ゲートウェイの
場所を識別できるように分かりやすい名前にする必要
があります。
ゲートウェイを設定するインターフェイスの FQDN ま
たは IP アドレスを [ ゲートウェイ ] フィールドに入力
します。指定するアドレスは、ゲートウェイ サーバー
証明書に記載された共通名(CN)と完全に一致する必
要があります。
(任意)設定に 2 つ以上のゲートウェイを追加してい
る場合、[ ルーターの優先順位 ] を使用するとサテライ
トが優先するゲートウェイを選択できます。1 ~ 25 の範
囲で値を入力します。小さい数値の方が優先順位が高く
なります(つまり、すべてのゲートウェイが使用できる
場合、サテライトが接続するゲートウェイとなりま
す)。サテライトは、ルーティング メトリックを算出す
るためにルーティングの優先順位を 10 倍します。
[OK] をクリックして、サテライト設定を保存します。
別のサテライト設定を追加する場合、ステップ 2 から
ステップ 5 を繰り返します。
ステップ 6
適切な設定が各サテライトに • サテライト設定を設定のリストの上に移動するには、設
デプロイされるように、サテ
定を選択して [ 上へ ] をクリックします。
ライト設定を並べ替えます。
• サテライト設定を設定のリストの下に移動するには、設
定を選択して [ 下へ ] をクリックします。
ステップ 7
ポータルの設定を保存します。 1.
2.
大規模 VPN(LSVPN)
[OK] をクリックして設定を保存し、[GlobalProtect ポー
タル ] ダイアログを閉じます。
変更を [Commit] します。
501
LSVPN に参加するためのサテライト デバイスの準備
大規模 VPN(LSVPN)
LSVPN に参加するためのサテライト デバイスの準備
サテライト デバイスが LSVPN に参加するために必要なのは最小限の設定です。必要な設定は
最小限であるため、インストールのために支社に配送する前にデバイスを事前設定できます。
GlobalProtect LSVPN に参加するためのサテライト デバイスの準備
ステップ 1
レイヤー 3 インターフェイス これは、サテライトがポータルおよびゲートウェイに接続
を設定します。
するために使用する物理インターフェイスです。このイン
ターフェイスは、ローカルの信頼されるネットワークの外
部からのアクセスが可能なゾーンにある必要があります。
ベスト プラクティスとして、企業ゲートウェイを宛先とす
るトラフィックを可視化して制御するために、VPN 接続専
用のゾーンを作成します。
GlobalProtect ゲートウェイとの 1.
VPN トンネルを確立するため
に使用するトンネルの論理ト 2.
ンネル インターフェイスを設
定します。
3.
ダイナミック ルーティングを使用する
予定がなければ、トンネル インター
フェイスに IP アドレスは必要ありま
せん。ただし、IP アドレスをトンネル
インターフェイスに割り当てると、接
4.
続の問題をトラブルシューティングす
るときに役立つ場合があります。
5.
ステップ 2
注
6.
502
[Network] > [ インターフェイス ] > [ トンネル ] の順に
選択し、[ 追加 ] をクリックします。
[ インターフェイス名 ] フィールドで、「.2」などの数
値のサフィックスを指定します。
[ 設定 ] タブで [ セキュリティ ゾーン ] ドロップダウン
リストを展開し、既存のゾーンを選択するか、[ 新規 ゾーン ] をクリックして [ 名前 ] フィールドで新しい
ゾーンの名前(「lsvpnsat」など)を定義して VPN トン
ネル トラフィック用の個別のゾーンを作成します。
[ 仮想ルーター] ドロップダウン リストで、[ デフォル
ト ] を選択します。
(任意) IP アドレスをトンネル インターフェイスに
割り当てるには、[IPv4] タブを選択してから [IP] セク
ションで [ 追加 ] をクリックし、インターフェイスに割
り当てる IP アドレスとネットマスク(例 : 2.2.2.11/24)
を入力します。
インターフェイス設定を保存するには、[OK] をクリッ
クします。
大規模 VPN(LSVPN)
大規模 VPN(LSVPN)
LSVPN に参加するためのサテライト デバイスの準備
GlobalProtect LSVPN に参加するためのサテライト デバイスの準備(続き)
ステップ 3
サテライトによって信頼され 1.
ないルート CA を使用してポー
タル サーバー証明書を生成し
た場合(たとえば、自己署名証
明書を使用した場合)、ポータ
ル サーバー証明書を発行する
ために使用するルート CA 証明
書をインポートします。
ルート CA 証明書は、サテラ
イト デバイスがポータルとの
最初の接続を確立して LSVPN
設定を取得できるようにする
ために必要です。
ポータル サーバー証明書を生成するために使用された
CA 証明書をダウンロードします。自己署名証明書を
使用している場合、以下のようにルート CA 証明書を
ポータルからエクスポートします。
a. [Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス
証明書 ] の順に選択します。
b. CA 証明書を選択して [ エクスポート ] をクリックし
ます。
c. [ ファイル フォーマット ] ドロップダウン リストから
[Base64 エンコード済み証明書(PEM)] を選択し、
[OK] をクリックして証明書をダウンロードします
(秘密鍵をエクスポートする必要はありません)。
2.
以下のように、エクスポートしたルート CA 証明書を
各サテライトにインポートします。
a. [Device] > [ 証明書の管理 ] > [ 証明書 ] > [ デバイス
証明書 ] の順に選択し、[ インポート ] をクリックし
ます。
b. [ 証明書名 ] フィールドに、クライアント CA 証明書
であることを識別できる名前を入力します。
c. [Browse] をクリックして、CA からダウンロードし
た証明書ファイルを選択します。
d. [Base64 エンコード済み証明書(PEM)] を [ ファイ
ル フォーマット ] フィールドで選択し、[OK] をク
リックします。
e. [ デバイス証明書 ] タブで、先ほどインポートした証
明書を選択して開きます。
f. [ 信頼されたルート CA] を選択して [OK] をクリック
します。
大規模 VPN(LSVPN)
503
LSVPN に参加するためのサテライト デバイスの準備
大規模 VPN(LSVPN)
GlobalProtect LSVPN に参加するためのサテライト デバイスの準備(続き)
ステップ 4
ステップ 5
ステップ 6
504
IPSec トンネル設定を設定し 1.
ます。
[Network] > [IPSec トンネル ] の順に選択して [ 追加 ]
をクリックします。
2.
[ 全般 ] タブの [ 名前 ] フィールドに IPSec 設定の分かり
やすい名前を入力します。
3.
サテライトについて作成した [ トンネル インターフェイ
ス ] を選択します。
4.
[ タイプ ] として [GlobalProtect サテライト ] を選択し
ます。
5.
ポータルの IP アドレスまたは FQDN を [ ポータル アド
レス ] として入力します。
6.
サテライト用に設定したレイヤー 3 の [インターフェイ
ス ] を選択します。
7.
選択したインターフェイスで使用する [ ローカル IP ア
ドレス ] を選択します。
(任意)ゲートウェイにロー 1.
カル ルートを公開するように
サテライトを設定します。
サテライトがルートをゲートウェイにプッシュできる
ようにするには、[ 詳細 ] タブで [ 静的なすべての接続
済みルートをゲートウェイに公開 ] をオンにします。
ルートをゲートウェイにプッ 2.
シ ュ す る と、サ テ ラ イ ト に
ローカルなサブネットへのト
ラフィックがゲートウェイを
経由できるようになります。
た だ し、ゲ ー ト ウ ェ イ で も
ルートを受け入れるように設
定する必要があります。
(任意)すべてのルートではなく特定のサブネットの
ルートのみをプッシュするには、[ サブネット ] セク
ションで [追加] をクリックして公開するサブネット ルー
トを指定します。
サ テ ラ イ ト の 設 定 を 保 存 し 1.
ます。
2.
[OK] をクリックして、IPSec トンネル設定を保存します。
[Commit] をクリックします。
大規模 VPN(LSVPN)
大規模 VPN(LSVPN)
LSVPN に参加するためのサテライト デバイスの準備
GlobalProtect LSVPN に参加するためのサテライト デバイスの準備(続き)
ステップ 7
必要に応じて、認証情報を入 1.
力し、ポータルに対してサテ
ライトを認証できるようにし
ます。
2.
この手順は、ポータルが設定
内に一致するシリアル番号を
検出できなかった場合、また
はシリアル番号が機能しな
かった場合のみ必要になりま
す。この場合、サテライトは
ゲートウェイとのトンネルを
確立できません。
大規模 VPN(LSVPN)
[Network] > [IPSec トンネル ] の順に選択し、LSVPN
用に作成したトンネル設定の [ 状態 ] 列で [ ゲートウェ
イ情報 ] リンクをクリックします。
[ ポータル状態 ] フィールドで [ 資格情報の入力 ] リン
クをクリックし、ポータルに対してサテライトを認証す
るために必要なユーザー名とパスワードを入力します。
サテライトがポータルへの認証に成功すると、その署
名付き証明書と設定を受信し、それを使用してゲート
ウェイに接続します。トンネルが確立され [ 状態 ] が
[ アクティブ ] に変更されます。
505
LSVPN 設定の確認
大規模 VPN(LSVPN)
LSVPN 設定の確認
ポータル、ゲートウェイ、サテライト デバイスを設定したら、サテライトがポータルおよび
ゲートウェイに接続して、ゲートウェイとの VPN トンネルを確立できることを確認します。
LSVPN 設定の確認
ステップ 1
サテライトとポータルの接続 ポータルをホストするファイアウォールから、[Network] >
を確認します。
[GlobalProtect] > [ ポータル ] の順に選択してポータル設定
エントリの [ 情報 ] 列で [ サテライト情報 ] をクリックし
て、サテライトが接続に成功したことを確認します。
ステップ 1
サテライトとゲートウェイの ゲ ー ト ウ ェ イ を ホ ス ト す る フ ァ イ ア ウ ォ ー ル か ら、
接続を確認します。
[Network] > [GlobalProtect] > [ ゲートウェイ ] の順に選択
してゲートウェイ設定エントリの [ 情報 ] 列で [ サテライト
情報 ] をクリックして、サテライトが VPN トンネルを確立
できることを確認します。ゲートウェイとのトンネルを正
常に確立したサテライトが [ アクティブ サテライト ] タブ
に表示されます。
ステップ 1
サテライトでの LSVPN トンネ サ テ ラ イ ト を ホ ス ト す る 各 フ ァ イ ア ウ ォ ー ル で、
ルの状態を確認します。
[Network] > [IPSec トンネル ] の順に選択することによっ
てトンネルの状態を確認し、緑色のアイコンでアクティブ
な状態が示されていることを確認します。
506
大規模 VPN(LSVPN)
大規模 VPN(LSVPN)
LSVPN のクイック設定
LSVPN のクイック設定
以下のセクションでは、一般的な GlobalProtect LSVPN のデプロイメントのための手順を説明し
ます。

スタティック ルーティングを使用した基本的な LSVPN 設定

ダイナミック ルーティングを使用した高度な LSVPN 設定
大規模 VPN(LSVPN)
507
スタティック ルーティングを使用した基本的な LSVPN 設定
大規模 VPN(LSVPN)
スタティック ルーティングを使用した基本的な LSVPN 設定
このクイック設定では、最短時間で LSVPN を起動して実行する方法を示します。この例では、
企業の本社側で 1 つのファイアウォールをポータルおよびゲートウェイの両方として設定しま
す。サテライト デバイスは、最小限の設定で素早く簡単にデプロイすることができ、最適な拡
張性が得られます。
以下のワークフローは、この基本的な設定をセットアップするための手順を示しています。
クイック設定 : スタティック ルーティングを使用した基本的な LSVPN
ステップ 1
レイヤー 3 インターフェイス この例では、ポータル / ゲートウェイのレイヤー 3 イン
を設定します。
ターフェイスで以下の設定が必要です。
• インターフェイス — ethernet1/11
• セキュリティ ゾーン — lsvpn-unt
• IPv4 — 203.0.113.11/24
ステップ 2
注
508
GlobalProtect ゲートウェイを
ホストするファイアウォール
で、GlobalProtect サテライト
によって確立される VPN ト
ンネルを終端する論理トンネ
ル インターフェイスを設定し
ます。
この例では、ポータル / ゲートウェイのトンネル インター
フェイスで以下の設定が必要です。
• インターフェイス — tunnel.1
• セキュリティ ゾーン — lsvpn-tun
VPN を経由して接続するユーザーお
よびグループを可視化するために、
VPN ト ン ネ ル が 終 端 す る ゾ ー ン で
User-ID を有効にします。
大規模 VPN(LSVPN)
大規模 VPN(LSVPN)
スタティック ルーティングを使用した基本的な LSVPN 設定
クイック設定 : スタティック ルーティングを使用した基本的な LSVPN(続き)
ステップ 3
セキュリティ ポリシーを作成して、トンネルが終端する VPN ゾーン(lsvpn-tun)と企業ア
プリケーションが存在する Trust ゾーン(L3-Trust)間でトラフィックをやり取りできるよ
うにします。
ステップ 4
ポータル / ゲートウェイの自己 1.
署名サーバー証明書を発行し
ます。
証明書のサブジェクト名は、
ポータル / ゲートウェイにつ
いて作成したレイヤー 3 イン
ターフェイスの FQDN または
IP アドレスに一致する必要が
2.
あります。
ポ ー タ ル を ホ ス ト す る フ ァ イ ア ウ ォ ー ル で、
GlobalProtect コンポーネントの自己署名証明書を発行
するためにルート CA 証明書を作成する必要がありま
す。この例では、ルート CA 証明書「lsvpn-CA」がポー
タル / ゲートウェイのサーバー証明書を発行するため
に使用されます。さらに、ポータルはこのルート CA
証明書を使用してサテライト デバイスからの CSR に署
名します。
GlobalProtect ポータルおよびゲートウェイのサーバー
証明書を生成します。
この例ではポータルとゲートウェイが同じインター
フェイス上にあるため、サーバー証明書を共有できま
す。こ の 例 で は、サ ー バ ー 証 明 書 の 名 前 は
「lsvpnserver」です。
ステップ 5
証明書プロファイルを作成し この例では、証明書プロファイル「lsvpn-profile」がルート
ます。
CA 証明書「lsvpn-CA」を参照します。ゲートウェイはこの
証明書プロファイルを使用して、VPN トンネルの確立を試
みるサテライトを認証します。
ステップ 6
サテライトのシリアル番号が 1.
使用できない場合に使用する 2.
ポータルの認証プロファイル
を設定します。
ステップ 7
LSVPN のゲートウェイの
設定。
ポータルでサーバー プロファイルを作成します。
認証プロファイルを作成します。この例では、プロ
ファイル「lsvpn-sat」がサテライトの認証に使用され
ます。
[Network] > [GlobalProtect] > [ ゲートウェイ ] の順に選択
し、設定を [追加] します。この例では、以下のゲートウェ
イ設定が必要です。
• インターフェイス — ethernet1/11
• IP アドレス — 203.0.113.11/24
• サーバー証明書 — lsvpnserver
• 証明書プロファイル — lsvpn-profile
• トンネル インターフェイス — tunnel.1
• プライマリ DNS/ セカンダリ DNS — 4.2.2.1/4.2.2.2
• IP プール — 2.2.2.111-2.2.2.120
• アクセス ルート — 10.2.10.0/24
大規模 VPN(LSVPN)
509
スタティック ルーティングを使用した基本的な LSVPN 設定
大規模 VPN(LSVPN)
クイック設定 : スタティック ルーティングを使用した基本的な LSVPN(続き)
ステップ 8
LSVPN のポータルの設定。
[Network] > [GlobalProtect] > [ ポータル ] の順に選択し、
設定を [ 追加 ] します。この例では、以下のポータル設定
が必要です。
• インターフェイス — ethernet1/11
• IP アドレス — 203.0.113.11/24
• サーバー証明書 — lsvpnserver
• 認証プロファイル設定 — lsvpn-sat
ステップ 9
GlobalProtect サテライト設定
の作成。
ポータル設定の [ サテライト設定 ] タブで、サテライト設
定および信頼されたルート CA を追加し、ポータルがサテ
ライトの証明書の発行に使用する CA を指定します。この
例では、必要な設定は以下のようになります。
• ゲートウェイ — 203.0.113.11
• 証明書の発行 — lsvpn-CA
• 信頼されたルート CA — lsvpn-CA
ステップ 10 LSVPN に参加するためのサテ この例のサテライト設定では、以下の設定が必要です。
ライト デバイスの準備。
インターフェイス設定
• レイヤー 3 インターフェイス — ethernet1/1、
203.0.113.13/24
• トンネル インターフェイス — tunnel.2
• ゾーン — lsvpnsat
ポータルからのルート CA 証明書
• lsvpn-CA
IPSec トンネル設定
• トンネル インターフェイス — tunnel.2
• ポータル アドレス — 203.0.113.11
• インターフェイス — ethernet1/1
• ローカル IP アドレス — 203.0.113.13/24
• 静的なすべての接続済みルートをゲートウェイに公開 —
オン
510
大規模 VPN(LSVPN)
大規模 VPN(LSVPN)
ダイナミック ルーティングを使用した高度な LSVPN 設定
ダイナミック ルーティングを使用した高度な LSVPN 設定
複数のゲートウェイと多数のサテライト大規模な LSVPN のデプロイメントでは、初期設定に少
し時間をかけてダイナミック ルーティングをセットアップすることで、アクセス ルートが動的
に更新されるようになるため、ゲートウェイ設定のメンテナンスが簡略化されます。以下の設
定例では、基本的な LSVPN 設定を拡張して OSPF をダイナミック ルーティング プロトコルと
して設定する方法を示しています。
ダイナミック ルーティングに OSPF を使用するように LSVPN をセットアップするには、ゲート
ウェイおよびサテライトで以下の追加手順が必要です。

すべてのゲートウェイおよびサテライトでインターフェイスをトンネルするために IP アド
レスを手動で割り当てる。

すべてのゲートウェイおよびサテライトで仮想ルーターの OSPF ポイントツーマルチポイン
ト(P2MP)を設定する。さらに、各ゲートウェイでの OSPF 設定の一環として、各サテライ
トのトンネル IP アドレスを OSPF ネイバーとして手動で定義する必要があります。同様に、
各サテライトで、各ゲートウェイのトンネル IP アドレスを OSPF ネイバーとして手動で定義
する必要があります。
ダイナミック ルーティングでは LSVPN の初期設定中に追加のセットアップが必要ですが、こ
れにより、ネットワークでトポロジが変更されたときにルートを最新の状態に保つためのメン
テナンス タスクが軽減されます。
以下の図は、LSVPN ダイナミック ルーティング設定を示しています。この例は、OSPF を VPN
のダイナミック ルーティング プロトコルとして設定する方法を示しています。
LSVPN の基本的なセットアップは、「スタティック ルーティングを使用した基本的な LSVPN
設定」の手順に従って行います。基本的なセットアップを行った後で、以下のワークフローの
手順を実行して、スタティック ルーティングではなくダイナミック ルーティングを使用するよ
うに設定を拡張できます。
大規模 VPN(LSVPN)
511
ダイナミック ルーティングを使用した高度な LSVPN 設定
大規模 VPN(LSVPN)
クイック設定 : ダイナミック ルーティングを使用した LSVPN
ステップ 1
IP アドレスを各ゲートウェイ 各ゲートウェイおよび各サテライトで以下の手順を実行し
および各サテライトのトンネ ます。
ル インターフェイス設定に追 1. [Network] > [ インターフェイス ] > [ トンネル ] の順に
加します。
選択し、LSVPN 用に作成したトンネル設定を選択して
[ トンネル インターフェイス ] ダイアログを開きます。
重要 :
トンネル インターフェイスをまだ作成していない場
サテライト トンネル インター
合、「クイック設定 : スタティック ルーティングを使
フェイスに割り当てる IP アド
用した基本的な LSVPN」のステップ 2 を参照してくだ
レスは、ゲートウェイ トンネ
さい。
ル インターフェイスに割り当
2. [IPv4] タブで [ 追加 ] をクリックして、IP アドレスとサ
てる IP アドレスとは異なるサ
ブネット マスクを入力します。たとえば、ゲートウェ
ブネットにある必要がありま
イ トンネル インターフェイスの IP アドレスを追加す
す。さらに、サテライトに割
るには「2.2.2.100/24」と入力します。
り当てる IP アドレスは、ゲー
トウェイ設定で定義した指名 3. [OK] をクリックして設定を保存します。
IP プールと重複しないように
する必要があります。重複す
ると、デバイスは隣接を確立
できなくなります。
ステップ 2
ゲートウェイでダイナミック ゲートウェイで OSPF を設定するには、以下の手順を実行
ルーティング プロトコルを設 します。
定します。
1. [Network] > [ 仮想ルーター] の順に選択し、VPN イン
ターフェイスに関連付けられた仮想ルーターを選択し
ます。
512
2.
[ エリア ] タブで [ 追加 ] をクリックしてバックボーン
エリアを作成するか、すでに設定している場合は、エ
リア ID をクリックして編集します。
3.
新しいエリアを作成している場合、[ エリア ID] を [ タ
イプ ] タブに入力します。
4.
[ インターフェイス ] タブで [ 追加 ] をクリックし、
LSVPN について作成したトンネルの [ インターフェイ
ス ] を選択します。
5.
[ リンク タイプ ] として [p2mp] を選択します。
6.
[ ネイバー] セクションで [ 追加 ] をクリックし、各サテ
ライト デバイスのトンネル インターフェイスの IP ア
ドレスを「2.2.2.111」のように入力します。
7.
[OK] を 2 回クリックして仮想ルーター設定を保存して
か ら、[Commit] を ク リ ッ ク し て 変 更 内 容 を ゲ ー ト
ウェイにコミットします。
8.
この手順を、新しいサテライトを LSVPN に追加するご
とに繰り返します。
大規模 VPN(LSVPN)
大規模 VPN(LSVPN)
ダイナミック ルーティングを使用した高度な LSVPN 設定
クイック設定 : ダイナミック ルーティングを使用した LSVPN(続き)
ステップ 3
サ テ ラ イ ト で ダ イ ナ ミ ッ ク サテライトで OSPF を設定するには、以下の手順を実行し
ルーティング プロトコルを設 ます。
定します。
1. [Network] > [ 仮想ルーター] の順に選択し、VPN イン
ターフェイスに関連付けられた仮想ルーターを選択し
ます。
大規模 VPN(LSVPN)
2.
[ エリア ] タブで [ 追加 ] をクリックしてバックボーン
エリアを作成するか、すでに設定している場合は、エ
リア ID をクリックして編集します。
3.
新しいエリアを作成している場合、[ エリア ID] を [ タ
イプ ] タブに入力します。
4.
[インターフェイス ] タブで [追加] をクリックし、LSVPN
について作成したトンネルの [ インターフェイス ] を選
択します。
5.
[ リンク タイプ ] として [p2mp] を選択します。
6.
[ ネイバー] セクションで [ 追加 ] をクリックし、各
GlobalProtect ゲートウェイのトンネル インターフェイ
スの IP アドレスを「2.2.2.100」のように入力します。
7.
[OK] を 2 回クリックして仮想ルーター設定を保存して
か ら、[Commit] を ク リ ッ ク し て 変 更 内 容 を ゲ ー ト
ウェイにコミットします。
8.
この手順を、新しいゲートウェイを追加するごとに繰
り返します。
513
ダイナミック ルーティングを使用した高度な LSVPN 設定
大規模 VPN(LSVPN)
クイック設定 : ダイナミック ルーティングを使用した LSVPN(続き)
ステップ 4
ゲートウェイとサテライトがルーターに隣接できることを確認します。
• 各サテライトおよび各ゲートウェイで、ピア隣接が形成され、ルーティング テーブル
エントリがピアについて作成されていることを確認します(つまり、サテライトにゲー
ト ウ ェ イ へ の ル ー ト が あ り、ゲ ー ト ウ ェ イ に サ テ ラ イ ト へ の ル ー ト が あ る)。
[Network] > [ 仮想ルーター] の順に選択し、LSVPN について使用している仮想ルーター
の [ 詳細ランライム状態 ] リンクをクリックします。[ ルーティング ] タブで、LSVPN ピ
アにルートがあることを確認します。
• [OSPF] > [ インターフェイス ] タブで、[ タイプ ] が [p2mp] であることを確認します。
• [OSPF] > [ネイバー] タブで、ゲートウェイをホストするファイアウォールがサテライト
をホストするファイアウォールとルーター隣接を確立し、その逆の隣接も確立している
ことを確認します。また、[ 状態 ] が [ フル ] であり、フル隣接が確立されていることも
確認します。
514
大規模 VPN(LSVPN)
ネットワーク
Palo Alto Networks の次世代ファイアウォールでは、ダイナミック ルーティング、スイッチン
グ、および VPN 接続のサポートなど、柔軟なネットワーク アーキテクチャを提供し、さまざ
まなネットワーク環境でファイアウォールのデプロイを可能にします。ファイアウォールで
Ethernet ポートを設定する場合、バーチャル ワイヤー、レイヤー 2、レイヤー 3 の中からイン
ターフェイスのデプロイメントを選択できます。さらに、さまざまなネットワーク セグメント
に統合できるように、異なるポートでさまざまなインターフェイス タイプを設定できます。以下
のセクションでは、デプロイメントのタイプ別の基本情報について説明します。デプロイ情報
の詳細は、『Designing Networks with Palo Alto Networks Firewalls』(英語)を参照し、ルート配信
については、『Understanding Route Redistribution and Filtering』(英語)を参照してください。
以下のトピックでは、Palo Alto Networks 次世代ファイアウォールをネットワークに統合する方
法について説明します。

ファイアウォールのデプロイメント

仮想ルーターの設定

スタティック ルートの設定

RIP の設定

OSPF の設定

BGP の設定
ネットワーク
515
ファイアウォールのデプロイメント
ネットワーク
ファイアウォールのデプロイメント

バーチャル ワイヤー デプロイメント

レイヤー 2 デプロイメント

レイヤー 3 デプロイメント

タップ モード デプロイメント
バーチャル ワイヤー デプロイメント
バーチャル ワイヤー デプロイメントの場合、ファイアウォールは 2 つのポートを結合すること
によってネットワーク セグメント上に透過的にインストールされ、スイッチングまたはルー
ティングのいずれも不要な場合にのみ使用する必要があります。
バーチャル ワイヤー デプロイメントにより、以下の利点が得られます。

インストールと設定を簡略化します。

周囲のまたは隣接するネットワーク デバイスの設定を変更する必要がありません。
工場出荷時のデフォルト設定である「default-vwire」は、Ethernet ポート 1 と 2 を結合し、タグの
ないトラフィックをすべて許可します。ただし、バーチャル ワイヤーを使用して任意の 2 つの
ポートを接続し、仮想 LAN(VLAN)タグに基づいてトラフィックをブロックまたは許可する
ように設定できます。VLAN タグ「0」はタグのないトラフィックを指します。また、複数のサ
ブインターフェイスを作成して異なるゾーンに追加し、VLAN タグ、または VLAN タグと IP 分
類子(アドレス、範囲、またはサブネット)の組み合わせに基づいてトラフィックを分類し
て、特定の VLAN タグまたは特定の IP アドレス、範囲、またはサブネットからの VLAN タグに
きめ細かいポリシー制御を適用することもできます。
図 : バーチャル ワイヤー デプロイメント
࡞࡯࠹ࠖࡦࠣ߿ࠬࠗ࠶࠴ࡦࠣߪታⴕߐࠇ߹ߖࠎ
࡙࡯ࠩ࡯
ࡀ࠶࠻ࡢ࡯ࠢ
516
ࠗࡦ࠲࡯ࡀ࠶࠻
ネットワーク
ネットワーク
ファイアウォールのデプロイメント
バーチャル ワイヤー サブインターフェイス
複数の顧客のネットワークからのトラフィックを管理する必要がある場合、バーチャル ワイヤー
サブインターフェイスを使用すると、個別のポリシーを適用するときの柔軟性が高まります。
バーチャル ワイヤー サブインターフェイスでは、以下の基準を使用してトラフィックを異なる
ゾーン(必要に応じて別々の仮想システムに属することができる)に区別して分類できます。

VLAN タグ — 図 : サブインターフェイスを持つバーチャル ワイヤー デプロイメント(VLAN
タグのみ)の例は、バーチャル ワイヤー サブインターフェイスを使用して、VLAN タグで 2
つの異なる顧客のトラフィックを区別するインターネット サービス プロバイダ(ISP)を示
しています。

VLAN タグと IP 分類子(アドレス、範囲、またはサブネット)との組み合わせ — 以下の例
は、2 つの異なる顧客のトラフィックを管理する 1 つのファイアウォール上に、2 つの異なる
仮想システムを持つインターネット サービス プロバイダ(ISP)を示しています。この例で
は、各仮想システムで、VLAN タグおよび IP 分類子を持つバーチャル ワイヤー サブネット
を使用してトラフィックを個別のゾーンに分類し、各ネットワークの顧客に関連するポリ
シーを適用する方法を示しています。
バーチャル ワイヤー サブインターフェイスのワークフロー
ステップ 1
2 つの Ethernet インターフェイスをバーチャル ワイヤー タイプとして設定し、これらのイ
ンターフェイスを 1 つのバーチャル ワイヤーに割り当てます。
ステップ 2
親バーチャル ワイヤーにサブインターフェイスを作成し、CustomerA と CustomerB のトラ
フィックを区別します。バーチャル ワイヤーとして設定されたサブインターフェイスの各
ペアに定義する VLAN タグは同一にします。バーチャル ワイヤーは VLAN タグを切り替
えないため、このようにする必要があります。
ステップ 3
新しいサブインターフェイスを作成して IP 分類子を定義します。このタスクは任意であり、
VLAN タグと特定のソース IP アドレス、範囲、またはサブネットの組み合わせに基づいて
顧客からのトラフィックをさらに管理するために追加のサブインターフェイスと IP 分類子
を追加する場合のみ必要です。
タグのないトラフィックを管理するために IP 分類子を使用することもできます。そのため
には、VLAN タグ「0」を持つサブインターフェイスを作成し、IP 分類子を使用してタグ
のないトラフィックを管理するために IP 分類子を持つサブインターフェイスを定義する必
要があります。
IP 分類は、片側のバーチャル ワイヤーに関連付けられているサブインターフェイスでのみ使
用できます。対応する側のバーチャル ワイヤーで定義されたサブインターフェイスは同じ
VLAN タグを使用する必要がありますが、IP 分類子を含めることはできません。
ネットワーク
517
ファイアウォールのデプロイメント
ネットワーク
図 : サブインターフェイスを持つバーチャル ワイヤー デプロイメント(VLAN タグのみ)
サブインターフェイスを持つバーチャル ワイヤー
許可されるタグ : 1 ~ 99、101 ~ 199、201 ~ 4094
CustomerA
VLAN100
バーチャル ワイヤー
ethernet1/1(入力)
バーチャル ワイヤー
ethernet1/2(出力)
インターネット
CustomerB
VLAN200
VLAN100 の CustomerA
Subinterface e1/1.1
Zone1
VLAN100 の CustomerA
Subinterface e1/2.1
Zone2
VLAN200 の CustomerB
Subinterface e1/1.2
Zone3
VLAN200 の CustomerB
Subinterface e1/2.2
Zone4
図 : サブインターフェイスを持つバーチャル ワイヤー デプロイメント(VLAN タグのみ)は、
バーチャル ワイヤーとして設定された入力インターフェイスである物理インターフェイス
ethernet1/1 経由でファイアウォールに接続された CustomerA と CustomerB を示しています。2 つ
目の物理インターフェイス ethernet1/2 もバーチャル ワイヤーの一部であり、インターネットへ
のアクセスを提供する出力インターフェイスです。CustomerA には、サブインターフェイス
ethernet1/1.1(入力)と ethernet1/2.1(出力)もあります。CustomerB には、サブインターフェイ
ス ethernet1/1.2 (入力)と
ethernet1/2.2 (出力)があります。顧客ごとにポリシーを適用するため、サブインターフェイスの
設定時に適切な VLAN タグとゾーンを割り当てる必要があります。この例の場合、CustomerA の
ポリシーは Zone1 と Zone2 の間で作成され、CustomerB のポリシーは Zone3 と Zone4 の間で作成
されます。
トラフィックが CustomerA または CustomerB からファイアウォールに入ると、受信パケットの
VLAN タグは最初に、入力サブインターフェイスで定義された VLAN タグに対して照合されま
す。この例では、1 つのサブインターフェイスが受信パケットにの VLAN タグに一致するた
め、そのサブインターフェイスが選択されます。ゾーンに定義されたポリシーは、パケットが
対応するサブインターフェイスから出る前に評価され、適用されます。
親バーチャル ワイヤー インターフェイスとサブインターフェイスで同じ VLAN タグを定義し
ないでください。親バーチャル ワイヤーインターフェイスの [ タグを許可 ] リストで定義され
る VLAN タグ([Network] > [ バーチャル ワイヤー])がサブインターフェイスに含まれていな
いことを確認します。
図 : サブインターフェイスを持つバーチャル ワイヤー デプロイメント(VLAN タグおよび IP 分
類子)は、デフォルトの仮想システム(vsys1)に加えて 2 つの仮想システム(vsys)を持つ 1 つ
の物理ファイアウォールに接続された CustomerA および CustomerB を示しています。各仮想シ
ステムは、各顧客について個別に管理される独立した仮想ファイアウォールです。各 vsys には
インターフェイス/サブインターフェイスが接続されており、独立して管理されるセキュリティ
ゾーンがあります。
518
ネットワーク
ネットワーク
ファイアウォールのデプロイメント
図 : サブインターフェイスを持つバーチャル ワイヤー デプロイメント(VLAN タグおよび IP 分類子)
vsys1 は物理インターフェイス ethernet1/1 および ethernet1/2 をバーチャル ワイヤーとして使用す
るようにセットアップされます。ethernet1/1 は入力インターフェイスで、ethernet1/2 はイン
ターネットへのアクセスを提供する出力インターフェイスです。このバーチャル ワイヤーは、
サブインターフェイスに割り当てられた VLAN タグ 100 および 200 を除いてすべてのタグあり
およびタグなしのトラフィックを受け入れるように設定されています。
CustomerA は vsys2 で管理され、CustomerB は vsys3 で管理されます。vsys2 および vsys3 で、以下
の vwire サブインターフェイスが適切な VLAN タグおよびゾーンを使用して作成され、ポリ
シー指定を適用します。
顧客
vsys
vwire サブ
インターフェイス
ゾーン
VLAN タグ
IP 分類子
A
2
e1/1.1 (入力)
Zone3
100
なし
e1/2.1 (出力)
Zone4
100
e1/1.2 (入力)
Zone5
100
IP サブネット
e1/2.2 (出力)
Zone6
100
192.1.0.0/16
e1/1.3 (入力)
Zone7
100
IP サブネット
e1/2.3 (出力)
Zone8
100
192.2.0.0/16
e1/1.4 (入力)
Zone9
200
なし
e1/2.4 (出力)
Zone10
200
2
2
B
3
トラフィックが CustomerA または CustomerB からファイアウォールに入ると、受信パケットの
VLAN タグは最初に、入力サブインターフェイスで定義された VLAN タグに対して照合されま
す。この場合、CustomerA には、同じ VLAN タグを使用するサブインターフェイスが複数存在
ネットワーク
519
ファイアウォールのデプロイメント
ネットワーク
します。そのため、ファイアウォールは最初にパケット内のソース IP アドレスに基づいて 1 つ
のサブインターフェイスに分類を制限します。ゾーンに定義されたポリシーは、パケットが対
応するサブインターフェイスから出る前に評価され、適用されます。
return-path トラフィックでは、ファイアウォールは顧客側サブインターフェイスの IP 分類子で
定義されているように宛先 IP アドレスを比較し、適切なバーチャル ワイヤーを選択して正確な
サブインターフェイス経由でトラフィックをルーティングします。
親バーチャル ワイヤー インターフェイスとサブインターフェイスで同じ VLAN タグを定義し
ないでください。親バーチャル ワイヤーインターフェイスの [ タグを許可 ] リストで定義され
る VLAN タグ([Network] > [ バーチャル ワイヤー])がサブインターフェイスに含まれていな
いことを確認します。
レイヤー 2 デプロイメント
レイヤー 2 デプロイメントの場合、ファイアウォールは複数ネットワーク間のスイッチングを
行います。ファイアウォールでこのスイッチングを行うには、インターフェイスの各グループ
が 1 つの VLAN オブジェクトに割り当てられている必要があります。レイヤー 2 サブインター
フェイスが共通の VLAN オブジェクトに接続されていると、ファイアウォールで VLAN タグの
スイッチングが行われます。このオプションは、スイッチングが必要な場合に選択します。
図 : レイヤー 2 デプロイメント
2 ߟߩࡀ࠶࠻ࡢ࡯ࠢ
㑆ߢࠬࠗ࠶࠴ࡦࠣ
࡙࡯ࠩ࡯
ࡀ࠶࠻ࡢ࡯ࠢ
ࠗࡦ࠲࡯ࡀ࠶࠻
レイヤー 3 デプロイメント
レイヤー 3 デプロイメントの場合、ファイアウォールは複数のポート間でトラフィックをルー
ティングします。トラフィックをルーティングするには、各インターフェイスに IP アドレスを
割り当て、仮想ルーターを定義する必要があります。このオプションは、ルーティングが必要
な場合に選択します。
520
ネットワーク
ネットワーク
ファイアウォールのデプロイメント
図 : レイヤー 3 デプロイメント
2 ߟߩࡀ࠶࠻ࡢ࡯ࠢ
㑆ߢ࡞࡯࠹ࠖࡦࠣ
10.1.2.1/24
10.1.1.1/24
࡙࡯ࠩ࡯
ࡀ࠶࠻ࡢ࡯ࠢ
ࠗࡦ࠲࡯ࡀ࠶࠻
さらに、レイヤー 3 デプロイメントではファイアウォールでのトラフィックをルーティングす
る必要があるため、仮想ルーターを設定する必要があります。「仮想ルーターの設定」を参照
してください。
PPPoE のサポート
ファイアウォールを PPPoE(Point-to-Point Protocol over Ethernet)終端点として設定し、デジタ
ル加入者線(DSL)モデムはあるが、それ以外に接続を終端する PPPoE デバイスがない DSL 環
境をサポートすることができます。
PPPoE オプションを選択し、関連設定を行うことができるのは、インターフェイスがレイヤー
3 インターフェイスとして定義されている場合です。
HA アクティブ / アクティブ モードでは、PPPoE はサポートされていません。
DHCP クライアント
DHCP クライアントとして機能し、動的に割り当てられた IP アドレスを受信するようにファイ
アウォール インターフェイスを設定できます。ファイアウォールには、DHCP クライアント イ
ンターフェイスから受信した設定をファイアウォールで稼働中の DHCP サーバーに伝搬する機
能も備えられています。これは一般的に、インターネット サービス プロバイダから提供される
DNS サーバー設定を、ファイアウォールで保護されているネットワークで稼働中のクライアン
ト マシンに伝搬する場合に使用されます。
HA アクティブ / アクティブ モードでは、DHCP クライアントはサポートされていません。
タップ モード デプロイメント
ネットワーク タップは、コンピュータ ネットワーク間を流れるデータにアクセスするためのデ
バイスです。タップ モード デプロイメントでは、スイッチの SPAN またはミラー ポートを介し
てネットワーク内のトラフィック フローをパッシブにモニターできます。
ネットワーク
521
ファイアウォールのデプロイメント
ネットワーク
SPAN ポートまたはミラー ポートでは、スイッチの他のポートからトラフィックをコピーする
ことが許可されています。ファイアウォールの 1 つのインターフェイスをタップ モード専用イ
ンターフェイスとして割り当て、スイッチの SPAN ポートに接続すると、スイッチの SPAN
ポートからファイアウォールにミラーリングされたトラフィックが提供されます。これによ
り、ネットワーク トラフィック フローが通過しないネットワーク内でアプリケーションを可視
化できます。
ファイアウォールをタップ モードでデプロイすると、トラフィックのブロック、QoS トラ
フィック制御の適用などのアクションを実行することはできません。
522
ネットワーク
ネットワーク
仮想ルーターの設定
仮想ルーターの設定
ファイアウォールは仮想ルーターを使用して、ルート(スタティック ルート)を手動で定義す
るか、レイヤー 3 ルーティング プロトコル(ダイナミック ルート)への参加を通じて他のサブ
ネットへのルートを取得します。この方法で取得された最適なルートは、ファイアウォールの
IP ルート テーブルに使用されます。パケットの宛先が異なるサブネットの場合、仮想ルーター
は最適なルートをこの IP ルート テーブルから取得し、パケットをテーブルで定義されたネクス
ト ホップ ルーターに転送します。
ファイアウォールで定義された Ethernet インターフェイスおよび VLAN インターフェイスで
は、レイヤー 3 トラフィックが送受信されます。宛先ゾーンは転送基準に基づいた発信イン
ターフェイスによって決定され、ポリシー ルールに従って適用するセキュリティ ポリシーが識
別されます。仮想ルーターでは、他のネットワーク デバイスにルーティングする以外に、同じ
ファイアウォール内にある他の仮想ルーターにルーティングすることもできます(別の仮想
ルーターがネクストホップとして指定されている場合)。
スタティック ルートを追加するのと同じように、動的ルーティング プロトコル(BGP、
OSPF、RIP など)に参加するように仮想ルーターを設定できます。また、複数の仮想ルーター
を作成し、各ルーターが他のルーターと共有しない独立したルートを保持することにより、イ
ンターフェイス間で異なるルーティングの動作を設定できます。
ファイアウォールに定義されたレイヤー 3 インターフェイス、ループバック インターフェイ
ス、および VLAN インターフェイスはそれぞれ、仮想ルーターに関連付けられている必要があ
ります。各インターフェイスは 1 つの仮想ルーターにしか属すことができませんが、1 つの仮想
ルーターに複数のルーティング プロトコルおよびスタティック ルートを設定できます。仮想
ルーターに設定されたスタティック ルートおよびダイナミック ルーティング プロトコルに関
係なく、共通の全般的な設定が必要です。ファイアウォールは Ethernet スイッチングを使用し
て同じ IP サブネット上の他のデバイスにアクセスします。
以下のレイヤー 3 ルーティング プロトコルが仮想ルーターからサポートされます。

RIP

OSPF

OSPFv3

BGP
仮想ルーターの全般的な設定の定義
ステップ 1
ネットワーク
ネットワーク管理者から必要 • ルーティングするインターフェイス
な情報を入手します。
• スタティック、OSPF 内部、OSPF 外部、IBGP、EBGP、
RIP の管理上の距離
523
仮想ルーターの設定
ネットワーク
仮想ルーターの全般的な設定の定義(続き)
ステップ 2
ステップ 3
ステップ 4
仮想ルーターを作成して名前 1.
を付けます。
2.
[Network] > [ 仮想ルーター] の順に選択します。
[ 追加 ] をクリックし、仮想ルーターの名前を入力し
ます。
3.
仮想ルーターに適用するインターフェイスを選択し
ます。
4.
[OK] をクリックします。
仮想ルーターに適用するイン 1.
ターフェイスを選択します。
[ インターフェイス ] ボックスで [ 追加 ] をクリックし
ます。
2.
ドロップダウン リストから定義済みのインターフェイ
スを選択します。
3.
仮想ルーターに追加するすべてのインターフェイスに
ついて手順 2 を繰り返します。
ス タ テ ィ ッ ク お よ び ダ イ ナ 1.
ミック ルーティングの管理上
の距離を設定します。
必要に応じて管理上の距離を設定します。
• スタティック — 範囲 : 10 ~ 240、デフォルト : 10
• OSPF 内部 — 範囲 : 10 ~ 240、デフォルト : 30
• OSPF 外部 — 範囲 : 10 ~ 240、デフォルト : 110
• IBGP — 範囲 : 10 ~ 240、デフォルト : 200
• EBGP — 範囲 : 10 ~ 240、デフォルト : 20
• RIP — 範囲 : 10 ~ 240、デフォルト : 120
ステップ 5
仮想ルーターの全般的な設定 [OK] をクリックして、設定を保存します。
を保存します。
ステップ 6
変更をコミットします。
524
[Commit] をクリックします。デバイスでの変更の保存に
は、最長で 90 秒かかります。
ネットワーク
ネットワーク
スタティック ルートの設定
スタティック ルートの設定
以下の手順は、スタティック ルーティングを使用してファイアウォールをネットワークに統合
する方法を示しています。
インターフェイスおよびゾーンの設定
ステップ 1
ステップ 2
ネットワーク
インターネット ルーターへのデ 1.
フォルト ルートを設定します。
[Network] > [ 仮想ルーター] の順に選択し、default リン
クを選択して [ 仮想ルーター] ダイアログを開きます。
2.
[ スタティック ルート ] タブを選択して [ 追加 ] をク
リックします。[ 名前 ] フィールドにルート名を入力
し、[ 宛先 ] フィールドにルートの宛先(例 : 0.0.0.0/0)
を入力します。
3.
[ ネクスト ホップ ] で [IP アドレス ] ラジオ ボタンをク
リックし、インターネット ゲートウェイの IP アドレ
スとネットマスク(例 : 208.80.56.1)を入力します。
4.
[OK] を 2 回クリックして仮想ルーターの設定を保存し
ます。
外部インターフェイス(イン 1.
ターネットに接続するインター
フェイス)を設定します。
[Network] > [ インターフェイス ] の順に選択し、設定
するインターフェイスを選択します。この例では、
Ethernet1/3 を外部インターフェイスとして設定します。
2.
[ インターフェイス タイプ ] を選択します。ここで選択
するタイプはご使用のネットワーク トポロジに応じて
異なりますが、この例では、[ レイヤー 3] の場合の手順
を示します。
3.
[ 仮想ルーター] ドロップダウン リストで、[ デフォル
ト ] を選択します。
4.
[ 設定 ] タブで、[ セキュリティ ゾーン ] ドロップダウ
ン リストから [ 新規ゾーン ] を選択します。[ ゾーン ]
ダイアログの [ 名前 ] で「Untrust」などの名前をつけて
新しいゾーンを定義し、[OK] をクリックします。
5.
IP アドレスをインターフェイスに割り当てるには、[IPv4]
タブと [ スタティック ] ラジオ ボタンを選択します。
[IP] セクションの [ 追加 ] をクリックして、インター
フェイスに割り当てる IP アドレスとネットワーク マ
スク(例 : 208.80.56.100/24)を入力します。
6.
インターフェイスの ping を有効にするには、[ 詳細 ] >
[ その他の情報 ] の順にクリックし、[ 管理プロファイル ]
ドロップダウン リストを展開して [ 新規管理プロファ
イル ] を選択します。[ 名前 ] フィールドにプロファイ
ル名を入力し、[Ping] を選択してから [OK] をクリック
します。
7.
インターフェイス設定を保存するには、[OK] をクリッ
クします。
525
スタティック ルートの設定
ネットワーク
インターフェイスおよびゾーンの設定(続き)
ステップ 3
注
この例のインターフェイスは、プラ
イベート IP アドレスを使用するネッ 2.
トワーク セグメントに接続します。
プ ラ イ ベ ー ト IP ア ド レ ス は 外 部 に 3.
ルーティングできないため、NAT を
設定する必要があります。詳細は、
「NAT ポリシーの設定」を参照して
ください。
4.
ステップ 4
ステップ 5
526
内部ネットワークに接続するイ 1.
ンターフェイスを設定します。
[Network] > [ インターフェイス ] の順に選択し、設定
するインターフェイスを選択します。この例では、
Ethernet1/4 を内部インターフェイスとして設定します。
[ インターフェイス タイプ ] ドロップダウン リストか
ら [Layer3] を選択します。
[ 設定 ] タブで、[ セキュリティ ゾーン ] ドロップダウン
リストを展開して [ 新規ゾーン ] を選択します。[ ゾーン ]
ダイアログの [ 名前 ] で「Trust」などの名前をつけて新
しいゾーンを定義し、[OK] をクリックします。
ステップ 2 で使用したものと同じ仮想ルーター(この
例ではデフォルト)を選択します。
5.
IP アドレスをインターフェイスに割り当てるには、[IPv4]
タブと [ スタティック ] ラジオ ボタンを選択し、[IP] セ
クションで [ 追加 ] をクリックして、インターフェイス
に割り当てる IP アドレスとネットワーク マスク(例 :
192.168.1.4/24)を入力します。
6.
インターフェイスの ping を有効にするには、ステッ
プ 2-6 で作成した管理プロファイルを選択します。
7.
インターフェイス設定を保存するには、[OK] をクリッ
クします。
DMZ に接続するインターフェ 1.
イスを設定します。
2.
設定するインターフェイスを選択します。
[ インターフェイス タイプ ] ドロップダウン リストか
ら [Layer3] を選択します。この例では、Ethernet1/13
を DMZ インターフェイスとして設定します。
3.
[ 設定 ] タブで、[ セキュリティ ゾーン ] ドロップダウン
リストを展開して [ 新規ゾーン ] を選択します。[ ゾーン ]
ダイアログの [ 名前 ] で「DMZ」などの名前をつけて新
しいゾーンを定義し、[OK] をクリックします。
4.
ステップ 2 で使用した仮想ルーター(この例ではデフォ
ルト)を選択します。
5.
IP アドレスをインターフェイスに割り当てるには、[IPv4]
タブと [ スタティック ] ラジオ ボタンを選択し、[IP] セ
クションで [ 追加 ] をクリックして、インターフェイス
に割り当てる IP アドレスとネットワーク マスク(例 :
10.1.1.1/24)を入力します。
6.
インターフェイスの ping を有効にするには、ステッ
プ 2-6 で作成した管理プロファイルを選択します。
7.
インターフェイス設定を保存するには、[OK] をクリッ
クします。
インターフェイスの設定を保 [Commit] をクリックします。
存します。
ネットワーク
ネットワーク
スタティック ルートの設定
インターフェイスおよびゾーンの設定(続き)
ステップ 6
フ ァ イ ア ウ ォ ー ル を 配 線 し ストレート ケーブルを使用して、設定したインターフェイ
ます。
スから対応するスイッチまたはルーターにネットワーク セ
グメントごとに接続します。
ステップ 7
インターフェイスがアクティ Web インターフェイスから、[Network] > [ インターフェイ
ブであることを確認します。 ス ] の順に選択し、[ リンク状態 ] 列のアイコンが緑になっ
ていることを確認します。また、[Dashboard] の [ インター
フェイス ] ウィジェットからリンク状態をモニタリングする
こともできます。
ネットワーク
527
RIP の設定
ネットワーク
RIP の設定
RIP は小規模 IP ネットワーク用に設計されており、ホップ カウントに基づいてルートを決定し
ます。ホップ数が最も少ないルートが最適ルートになります。RIP は UDP 上で動作し、ルート
の更新にポート 520 を使用します。ルートを最大 15 ホップに制限すると、プロトコルにより
ルーティング ループの発生が回避され、サポートされるネットワーク サイズも制限されます。
15 を超えるホップが必要な場合、トラフィックはルーティングされません。RIP は、OSPF やそ
の他のルーティング プロトコルよりも収束に時間がかかる場合があります。ファイアウォール
では RIP v2 がサポートされています。
RIP の設定
ステップ 1
全般的な仮想ルーターの設定 詳細は、「仮想ルーターの設定」を参照してください。
を設定します。
ステップ 2
全般的な RIP の設定を設定し 1.
ます。
2.
ステップ 3
528
[RIP] タブを選択します。
RIP プロトコルを有効にするには、[ 有効化 ] チェック
ボックスをオンにします。
3.
RIP 経由でデフォルト ルートを学習しない場合は、[ デ
フォルト ルートの拒否 ] チェック ボックスをオンにし
ます。これが推奨されるデフォルトの設定です。
4.
RIP 経由でデフォルト ルートを再配信するのを許可す
る場合は、[ デフォルト ルートの拒否 ] チェック ボッ
クスをオフにします。
RIP プロトコルのインターフェ 1.
イスを設定します。
2.
[ インターフェイス ] サブタブを選択します。
[ インターフェイス設定 ] ボックスのドロップダウン リ
ストからインターフェイスを選択します。
3.
ドロップダウン リストから定義済みのインターフェイ
スを選択します。
4.
[ 有効化 ] チェック ボックスをオンにします。
5.
指定したメトリック値でデフォルト ルートを RIP ピア
に通知するには、[ 通知 ] チェック ボックスをオンにし
ます。
6.
必要に応じて、[ 認証プロファイル ] ドロップダウン リ
ストからプロファイルを選択することもできます。詳
細は、「ステップ 5」を参照してください。
7.
[ モード ] ドロップダウン リストから normal、passive、
または send-only を選択します。
8.
[OK] をクリックします。
ネットワーク
RIP の設定
ネットワーク
RIP の設定(続き)
ステップ 4
ステップ 5
RIP タイマーを設定します。
1.
[ タイマー] サブタブを選択します。
2.
[ 間隔(秒)] ボックスにタイマーの間隔を秒単位で定
義する値を入力します。この時間は、他の RIP タイミ
ングのフィールドで使用されます。デフォルト : 1。範
囲 : 1 ~ 60。
3.
[ 更新間隔 ] ボックスにルートの更新アナウンス間の間
隔を定義する値を入力します。デフォルト : 30。範囲 :
1 ~ 3600。
4.
[ 削除間隔 ] ボックスにルートが削除されるまでの間隔
を定義する値を入力します。デフォルト : 180。範囲 :
1 ~ 3600。
5.
[ 失効の間隔 ] ボックスにルートが最後に更新されてか
ら失効するまでの間隔を定義する値を入力します。デ
フォルト : 120。範囲 : 1 ~ 3600。
(任意)認証プロファイルを デフォルトでは、ファイアウォールは RIP ネイバー間の交
設定します。
換に RIP 認証を使用しません。必要に応じて、簡易パス
ワードまたは MD5 認証を使用して RIP ネイバー間の RIP
認証を設定できます。
簡易パスワード RIP 認証
1. [ 認証プロファイル ] サブタブを選択します。
2.
[ 追加 ] をクリックします。
3.
RIP メッセージを認証するための認証プロファイル名を
入力します。
4.
[ パスワード タイプ ] として [ 簡易パスワード ] を選択
します。
5.
簡易パスワードを入力してから確認します。
MD5 RIP 認証
1. [ 認証プロファイル ] サブタブを選択します。
2.
[ 追加 ] をクリックします。
3.
RIP メッセージを認証するための認証プロファイル名を
入力します。
4.
[ パスワード タイプ ] として [MD5] を選択します。
5.
[ 追加 ] をクリックします。
6.
以下を含む 1 つ以上のパスワード エントリを入力し
ます。
• 鍵 ID 範囲 0 ~ 255
• キー
ネットワーク
7.
必要に応じて [ 優先 ] 状態を選択できます。
8.
[OK] をクリックし、発信するメッセージを認証するた
めに使用するキーを指定します。
9.
[ 仮想ルーター - RIP - 認証プロファイル ] 設定ボックス
で再び [OK] をクリックします。
529
OSPF の設定
ネットワーク
OSPF の設定
Open Shortest Path First(OSPF)は、大規模な企業ネットワークでネットワーク ルートを動的に
管理するために最もよく使用されている内部ゲートウェイ プロトコル(IGP)です。OSPF は、
Link State Advertisement(LSA)を経由して別のルーターから情報を取得し、他のルーターにルー
トを通知することにより、動的にルートを決定します。LSA から収集される情報は、ネット
ワークのトポロジ マップを作成するために使用されます。このトポロジ マップはネットワーク
内のルーター間で共有され、使用可能なルートで IP ルーティング テーブルを入力するために使
用されます。
ネットワーク トポロジの変更は動的に検出され、数秒以内に新しいトポロジ マップを生成する
ために使用されます。最短経路のツリーが各ルートについて計算されます。各ルーティング イ
ンターフェイスに関連付けられたメトリックが最適なルートを計算するために使用されます。
これらには距離、ネットワーク スループット、リンク可用性などが含まれます。さらに、これ
らのメトリックを静的に設定して、OSPF トポロジ マップの結果を誘導することができます。
Palo Alto Networks の OSPF の実装では、以下の RFC を完全にサポートしています。

RFC 2328(IPv4 用)

RFC 5340(IPv6 用)
以下のトピックでは、OSPF の詳細と、ファイアウォールで OSPF を設定する手順を説明します。

OSPF の概念

OSPF の設定

OSPFv3 の設定

OSPF グレースフル リスタートの設定

OSPF 動作の確認
『How to Configure OSPF Tech Note』(英語)も参照してください。
OSPF の概念
以下のトピックでは、ファイアウォールを OSPF ネットワークに参加するように設定するため
に理解しておく必要のある OSPF の概念を紹介します。

OSPFv3

OSPF ネイバー

OSPF エリア

OSPF ルーターのタイプ
530
ネットワーク
ネットワーク
OSPF の設定
OSPFv3
OSPFv3 は、IPv6 ネットワーク内で OSPF ルーティング プロトコルをサポートします。これによ
り、IPv6 アドレスおよびプレフィックスをサポートします。OSPFv2(IPv4 用)の構造および機
能はほとんど保持されますが、わずかながら変更点があります。以下は、OSPFv3 での追加およ
び変更点の一部です。

リンクごとに複数のインスタンスのサポート — OSPFv3 では、1 つのリンクで OSPF プロト
コルの複数のインスタンスを実行できます。これは、OSPFv3 インスタンス ID 番号を割り当
てることで実現されます。インスタンス ID に割り当てられたインターフェイスは、異なる
ID を持つパケットをドロップします。

リンクごとのプロトコル処理 — OSPFv3 は、IP ごとだった OSPFv2 とは異なり、リンクごと
に動作します。

アドレス処理の変更 — リンク状態更新パケット内の LSA ペイロードを除き、IPv6 アドレス
は OSPFv3 パケットに存在しません。隣接するルートはルーター ID によって識別されます。

認証の変更 — OSPFv3 には認証機能が含まれていません。ファイアウォールで OSPFv3 を設
定するには、Encapsulating Security Payload(ESP)または IPv6 Authentication Header(AH)を指
定する認証プロファイルが必要です。RFC 4552 で指定されているキーの再生成手順はこのリ
リースではサポートされません。

リンクごとに複数のインスタンスをサポート — 各インスタンスは、OSPFv3 パケット ヘッ
ダーに含まれるインスタンス ID に対応します。

新しい LSA タイプ — OSPFv3 は、2 つの新しい LSA タイプである Link LSA と Intra Area Prefix
LSA をサポートしています。
すべての追加の変更点は、RFC 5340 に詳しく記述されています。
OSPF ネイバー
共通のネットワークで接続され、同じ OSPF エリアに存在する 2 つの OSPF が有効なルーターが
関係を築いている場合、これらは OSPF ネイバーです。これらのルーター間の接続は、共通の
ブロードキャスト ドメインを経由する場合もあれば、ポイントツーポイント接続による場合も
あります。この接続は、hello OSPF プロトコル パケットの交換を通じて確立されます。これら
のネイバー関係は、ルーター間でルーティング更新を交換するために使用されます。
ネットワーク
531
OSPF の設定
ネットワーク
OSPF エリア
OSPF は、1 つの AS(Autonomous System)内で動作します。ただし、この 1 つの AS 内のネット
ワークは、多数のエリアに分割できます。デフォルトでは、エリア 0 が作成されます。エリア 0
は、単独で機能することも、多数のエリアの OSPF バックボーンとして機能することもできま
す。各 OSPF エリアは、ほとんどの場合、IP4 アドレスと同じドット区切りの表記法で記述され
る 32 ビット識別子を使用して名前が付けられます。たとえば、エリア 0 は通常 0.0.0.0 と記述さ
れます。
エリアのトポロジは独自のリンク状態データベースでメンテナンスされ、他のエリアからは非
表示になるため、OSPF によって必要なルーティング トラフィックが削減されます。トポロジ
は、ルーターを接続することによってエリア間の要約された形式で共有されます。
OSPF エリアのタイプ
バックボーン エリア — バックボーン エリア(エリア 0)とは、OSPF ネットワークの中心です。
その他のすべてのエリアはこのエリアに接続され、エリア間のすべてのトラフィックはこのエ
リアを通過する必要があります。エリア間のすべてのルーティングは、バックボーン エリアを
通じて分配されます。その他のすべての OSPF エリアはバックボーン エリアに接続する必要があ
りますが、この接続は直接的である必要はなく、仮想リンクを通じて行うこともできます。
通常の OSPF エリア — 通常の OSPF エリアには制限はありません。エリアではすべてのタイプ
のルートを使用できます。
スタブ OSPF エリア — スタブ エリアは他の AS からのルートを受信しません。デフォルト ルー
トを通じてバックボーン エリアまでのスタブ エリアからのルーティングが可能です。
NSSA エリア — Not So Stubby Area (NSSA)とは、いくつかの例外はあるものの、外部ルートを
インポートできるスタブ エリアの一種です。
OSPF ルーターのタイプ
OSPF エリア内で、ルーターは以下のカテゴリに分割できます。
内部ルーター — 同じエリアのデバイスのみと OSPF ネイバー関係を持つルーター。
エリア ボーダー ルーター(ABR) — 複数のエリアのデバイスと OSPF ネイバー関係を持つルー
ター。ABR は接続されたエリアからトポロジ情報を収集し、バックボーン エリアに分配します。
バックボーン ルーター — バックボーン ルーターは、OSPF バックボーンに接続された OSPF
ルーターです。ABR は必ずバックボーンに接続されているため、必ずバックボーン ルーターと
して分類されます。
Autonomous System Boundary Router (ASBR) — ASBR とは、複数のルーティング プロトコル
に接続され、その間でルーティング情報を交換するルーターです。
532
ネットワーク
OSPF の設定
ネットワーク
OSPF の設定
OSPF は、Link State Advertisement(LSA)を経由して別のルーターから情報を取得し、他のルー
ターにルートを通知することにより、動的にルートを決定します。ルーターには宛先との間の
リンク情報が保存されているため、より効率的なルート決定を行うことができます。各ルー
ター インターフェイスには 1 つのコストが割り当てられます。経由するすべてのルーターの出
力インターフェイスと LSA を受信したインターフェイスを総和したときコストが最低のルート
となるよう、最適なルートは決定されます。
階層手法を使用して、通知する必要があるルートと関連する LSA の数を制限します。OSPF で
はかなりの量のルート情報が動的に処理されるため、RIP の場合より大規模なプロセッサとメ
モリが必要になります。
OSPF の設定
ステップ 1
全般的な仮想ルーターの設定 詳細は、「仮想ルーターの設定」を参照してください。
を設定します。
ステップ 2
全般的な OSPF の設定を設定し 1.
ます。
2.
ネットワーク
[OSPF] タブを選択します。
OSPF プロトコルを有効にするには、[ 有効化 ] チェッ
ク ボックスをオンにします。
3.
OSPF 経由でデフォルト ルートを学習しない場合は、
[ デフォルト ルートの拒否 ] チェック ボックスをオン
にします。これが推奨されるデフォルトの設定です。
4.
OSPF 経由でデフォルト ルートを再配信するのを許可
する場合は、[デフォルト ルートの拒否] チェック ボッ
クスをオフにします。
533
OSPF の設定
ネットワーク
OSPF の設定(続き)
ステップ 3
OSPF プロトコルのエリア タ 1.
イプの設定
2.
3.
4.
[エリア] サブタブを選択し、[追加] をクリックします。
[ エリア ID] を x.x.x.x の形式で入力します。この識別子
を受け入れたネイバーのみが同じエリアに属します。
[ タイプ ] サブタブを選択します。
エリアの [ タイプ ] ドロップダウン ボックスから以下
のいずれかを選択します。
• 通常 — 制限はありません。エリアではすべてのタイ
プのルートを使用できます。
• スタブ — エリアからの出口はありません。エリア外
にある宛先に到達するには、別のエリアに接続され
ている境界を通過する必要があります。このオプ
ションを選択する場合、以下を設定します。
– サマリーの受け入れ — Link State Advertisement(LSA)
は他のエリアから受け入れられます。スタブエリ
アのエリア ボーダー ルーター(ABR)インター
フェイスでこのオプションが無効になっている
と、OSPF エリアは Totally Stubby Area(TSA)とし
て動作し、ABR はサマリー LSA を伝搬しません。
– デフォルト ルートの通知 — デフォルト ルート LSA
は、設定された範囲(1 ~ 255)の設定されたメトリッ
ク値とともにスタブ エリアへの通知に含まれます。
• NSSA(Not-So-Stubby Area)— ファイアウォールは、
OSPF ルート以外のルートでのみエリアを出ること
ができます。選択した場合、[ スタブ ] について説明
したように [ サマリーの受け入れ ] および [ デフォル
ト ルートの通知 ] を設定します。このオプションを
選択する場合、以下を設定します。
– タイプ — デフォルト LSA を通知する [Ext 1] また
は [Ext 2] ルート タイプを選択します。
– Ext 範囲 — セクション内の [ 追加 ] をクリックし、
通知を有効化または停止する外部ルートの範囲を
入力します。
5.
優先順位 — このインターフェイスの OSPF 優先度を入
力します(0 ~ 255)。OSPF プロトコルでは、この優
先度に基づいて、ルーターが指名ルーター(DR)また
は バックアップ DR(BDR)として選択されます。値
が 0 の場合、ルーターが DR または BDR として選択さ
れることはありません。
• 認証プロファイル — 以前に定義した認証プロファ
イルを選択します。
• タイミング — デフォルトのタイミング設定のまま
使用することをお勧めします。
• ネイバー — p2pmp インターフェイスの場合、このイ
ンターフェイスを介して到達可能なすべてのネイ
バーに対するネイバー IP アドレスを入力します。
6.
7.
534
[ モード ] として [normal]、[passive]、または [send-only]
を選択します。
[OK] をクリックします。
ネットワーク
OSPF の設定
ネットワーク
OSPF の設定(続き)
ステップ 4
OSPF プロトコルのエリア範囲 1.
の設定
2.
3.
ステップ 5
OSPF プロトコルのエリア イ 1.
ンターフェイスの設定
2.
[ 範囲 ] サブタブを選択します。
[ 追加 ] をクリックし、エリア内の LSA 宛先アドレスを
サブネットに集約します。
サブネットと一致する LSA の通知を [ 有効化 ] または
[ 停止 ] して、[OK] をクリックします。別の範囲を追加
する場合は、この操作を繰り返します。
[ インターフェイス ] サブタブを選択します。
[ 追加 ] をクリックし、エリアに含めるインターフェイス
ごとに以下の情報を入力して、[OK] をクリックします。
• インターフェイス — ドロップダウン ボックスから
インターフェイスを選択します。
• 有効化 — OSPF インターフェイス設定を有効にする
にはこのオプションをオンにします。
• パッシブ — OSPF インターフェイスで OSPF パケッ
トを送受信しない場合は、このチェック ボックスを
オ ン に し ま す。こ の オ プ シ ョ ン を オ ン に す る と
OSPF パ ケ ッ トは 送 受 信 され ま せ んが、イ ンタ ー
フェイスは LSA データベースに追加されます。
• リンク タイプ — このインターフェイスを経由して
ア ク セ ス 可 能 な す べ て の ネ イ バ ー を、OSPF hello
メッセージのマルチキャストによって自動的に検出
す る に は、[ ブ ロ ー ド キ ャ ス ト ] を 選 択 し ま す
(Ethernet インターフェイスなど)。自動的にネイ
バーを検出する場合は、[P2p] (ポイントツーポイ
ント)を選択します。ネイバーを手動で定義する必
要がある場合は、[P2mp](ポイントツーマルチポ
イント)を選択します。ネイバーを手動で定義でき
るのは、p2mp モードの場合のみです。
• Metric — このインターフェイスの OSPF メトリック
を入力します。デフォルト : 10。範囲 : 0 ~ 65535。
• Priority — このインターフェイスの OSPF 優先順位
を入力します。この優先度に基づいて、ルーターが
指名ルーター(DR)または バックアップ DR(BDR)
として選択されます。デフォルト : 1。範囲 : 0 ~ 255。
0 に設定すると、ルーターが DR または BDR として
選択されることはありません。
• 認証プロファイル — 以前に定義した認証プロファ
イルを選択します。
• タイミング — [Hello 間隔 ]、[ 失敗許容回数 ]、[ リト
ランスミット間隔 ]、[ トランジット遅延 ] の OSPF タ
イミング設定をここで設定できます。Palo Alto Networks
では、デフォルトのタイミング設定を保持すること
を推奨します。
• [ リンク タイプ ] に [P2mp] を選択すると、このイン
ターフェイスを通じてアクセスできるすべてのネイ
バーのネイバー IP アドレスを入力します。
ネットワーク
535
OSPF の設定
ネットワーク
OSPF の設定(続き)
ステップ 6
アリアの仮想リンクを設定し 1.
ます。
2.
[ 仮想リンク ] サブタブを選択します。
[ 追加 ] をクリックし、バックボーンエリアに含める仮
想リンクごとに以下の情報を入力して、[OK] をクリッ
クします。
• 名前 — 仮想リンクの名前を入力します。
• ネイバー ID — 仮想リンクの反対側のルーター(ネ
イバー)のルーター ID を入力します。
• トランジット エリア — 仮想リンクが物理的に含ま
れる中継エリアのエリア ID を入力します。
• 有効化 — 仮想リンクを有効にするには、オンにし
ます。
• Timing — デフォルトのタイミング設定のまま使用
することをお勧めします。
• 認証プロファイル — 以前に定義した認証プロファ
イルを選択します。
536
ネットワーク
OSPF の設定
ネットワーク
OSPF の設定(続き)
ステップ 7
(任意)認証プロファイルを デフォルトでは、ファイアウォールは OSPF ネイバー間の
設定します。
交換に OSPF 認証を使用しません。任意で、簡易パスワー
ドまたは MD5 認証を使用して OSPF ネイバー間の OSPF 認
証を設定できます。
簡易パスワード OSPF 認証
1. [ 認証プロファイル ] サブタブを選択します。
2.
[ 追加 ] をクリックします。
3.
OSPF メッセージを認証するための認証プロファイル名
を入力します。
4.
[ パスワード タイプ ] として [ 簡易パスワード ] を選択
します。
5.
簡易パスワードを入力してから確認します。
MD5 OSPF 認証
1. [ 認証プロファイル ] サブタブを選択します。
2.
[ 追加 ] をクリックします。
3.
OSPF メッセージを認証するための認証プロファイル名
を入力します。
4.
[ パスワード タイプ ] として [MD5] を選択します。
5.
[ 追加 ] をクリックします。
6.
以下を含む 1 つ以上のパスワード エントリを入力し
ます。
• 鍵 ID 範囲 0 ~ 255
• キー
• [ 優先 ] オプションを選択して、発信メッセージの認
証に使用するキーを指定します。
ネットワーク
7.
[OK] をクリックします。
8.
[ 仮想ルーター - OSPF - 認証プロファイル ] 設定ボック
スで再び [OK] をクリックします。
537
OSPF の設定
ネットワーク
OSPF の設定(続き)
ステップ 8
詳細な OSPF オプションを設 1.
定します。
2.
3.
[ 詳細 ] サブタブを選択します。
RFC 1583 への準拠を確保するには、[RFC 1583 の互換
性 ] チェック ボックスをオンにします。
[SPF 計算遅延 ] (秒)タイマーの値を設定します。
このタイマーにより、新しいトポロジ情報の受信と
SPF 計算の情報間で遅延時間を調整できます。低い値
を指定すると、OSPF の再収束が速くなります。ファイ
アウォールとピアリングしているルーターは、収束時
間の最適化と同様の方法で調整する必要があります。
4.
[LSA 間隔(秒)] 時間の値を設定します。このタイマー
は、同一 LSA (同一ルーター、同一タイプ、同一 LSA
ID)の 2 つのインスタンスの伝送間の最小時間を指定
します。RFC 2328 の MinLSInterval と同等です。低い値
を指定すると、トポロジが変更された場合の再収束時
間が短縮されます。
OSPFv3 の設定
OSPFv3 の設定
ステップ 1
全般的な仮想ルーターの設定 詳細は、「仮想ルーターの設定」を参照してください。
を設定します。
ステップ 2
全般的な OSPF の設定を設定し 1.
ます。
2.
ステップ 3
[OSPF] タブを選択します。
OSPF プロトコルを有効にするには、[ 有効化 ] チェッ
ク ボックスをオンにします。
3.
OSPF 経由でデフォルト ルートを学習しない場合は、
[ デフォルト ルートの拒否 ] チェック ボックスをオンに
します。これが推奨されるデフォルトの設定です。
4.
OSPF 経由でデフォルト ルートを再配信するのを許可
する場合は、[デフォルト ルートの拒否] チェック ボッ
クスをオフにします。
全般的な OSPFv3 の設定を設定 1.
します。
2.
3.
[OSPFv3] タブを選択します。
OSPF プロトコルを有効にするには、[ 有効化 ] チェッ
ク ボックスをオンにします。
OSPFv3 経由でデフォルト ルートを学習しない場合は、
[ デフォルト ルートの拒否 ] チェック ボックスをオンにし
ます。これが推奨されるデフォルトの設定です。
OSPFv3 経由でデフォルト ルートを再配信するのを許可
する場合は、[ デフォルト ルートの拒否 ] チェック ボッ
クスをオフにします。
538
ネットワーク
OSPF の設定
ネットワーク
OSPFv3 の設定(続き)
ステップ 4
OSPFv3 プロトコルの認証プロ 認 証 プ ロ フ ァ イ ル を 設 定 す る 場 合、Encapsulating Security
Payload(ESP)または IPv6 Authentication Header(AH)を使
ファイルを設定します。
用する必要があります。
OSPFv3 には 独自 の認 証機 能
が含まれていませんが、代わ ESP OSPFv3 認証
りに、ネイバー間の通信を安 1. [ 認証プロファイル ] サブタブを選択します。
全 す る た め に 全 面 的 に IPsec 2. [ 追加 ] をクリックします。
に依存します。
3. OSPFv3 メッセージを認証するための認証プロファイル
名を入力します。
4.
Security Policy Index([SPI])を指定します。SPI は、OSPFv3
隣接の両端間で一致する必要があります。SPI 番号は
00000000 から FFFFFFFF までの 16 進数である必要があ
ります。
5.
[ プロトコル ] に [ESP] を選択します。
6.
ドロップダウン ボックスから [暗号化アルゴリズム] を
選択します。
アルゴリズムは、なし、または SHA1、SHA256、SHA384、
SHA512、MD5 のいずれかを入力できます。
7.
「なし」以外の [ 暗号化アルゴリズム ] を選択した場
合、[ キー] の値を入力して確認します。
AH OSPFv3 認証
1. [ 認証プロファイル ] サブタブを選択します。
2.
[ 追加 ] をクリックします。
3.
OSPFv3 メッセージを認証するための認証プロファイル
名を入力します。
4.
Security Policy Index([SPI])を指定します。SPI は、OSPFv3
隣接の両端間で一致する必要があります。SPI 番号は
00000000 から FFFFFFFF までの 16 進数である必要があ
ります。
5.
[ プロトコル ] に [AH] を選択します。
6.
ドロップダウン リストから [ 暗号化アルゴリズム ] を
選択します。
アルゴリズムは、SHA1、SHA256、SHA384、SHA512、
MD5 のいずれかを入力する必要があります。
ネットワーク
7.
[ キー] の値を入力して確認します。
8.
[OK] をクリックします。
9.
[ 仮想ルーター - OSPFv3 - 認証プロファイル ] ダイアロ
グで再び [OK] をクリックします。
539
OSPF の設定
ネットワーク
OSPFv3 の設定(続き)
ステップ 5
OSPFv3 プロトコルのエリア タ
1.
イプを設定します。
2.
[ エリア ] サブタブを選択します。
[ 追加 ] をクリックします。
3.
エリア ID を入力します。この識別子を受け入れたネイ
バーのみが同じエリアに属します。
4.
[ 全般 ] サブタブを選択します。
5.
エリアの [ タイプ ] ドロップダウン リストから以下の
いずれかを選択します。
• Normal — 制限はありません。エリアではすべての
タイプのルートを使用できます。
• Stub — エリアからの出口はありません。エリア外に
ある宛先に到達するには、別のエリアに接続されて
いる境界を通過する必要があります。このオプショ
ンを選択する場合、以下を設定します。
– Accept Summary — Link State Advertisement (LSA)
は他のエリアから受け入れられます。スタブエリ
アのエリア ボーダー ルーター(ABR)インター
フェイスでこのオプションが無効になっている
と、OSPF エリアは Totally Stubby Area(TSA)とし
て動作し、ABR はサマリー LSA を伝搬しません。
– デフォルト ルートの通知 — デフォルト ルート LSA
は、設定された範囲(1 ~ 255)の設定されたメト
リック値とともにスタブ エリアへの通知に含まれ
ます。
• NSSA(Not-So-Stubby Area)— ファイアウォールは、
OSPF ルート以外のルートでのみエリアを出ること
ができます。選択した場合、[ スタブ ] について説明
したように [ サマリーの受け入れ ] および [ デフォル
ト ルートの通知 ] を設定します。このオプションを
選択する場合、以下を設定します。
– タイプ — デフォルト LSA を通知する [Ext 1] また
は [Ext 2] ルート タイプを選択します。
– Ext 範囲 — セクション内の [ 追加 ] をクリックし、
通知を有効化または停止する外部ルートの範囲を
入力します。
540
ネットワーク
OSPF の設定
ネットワーク
OSPFv3 の設定(続き)
ステップ 6
OSPFv3 認証プロファイルをエ エリアに関連付けるには、以下の手順を実行します。
リアまたはインターフェイス 1. [ エリア ] サブタブを選択します。
に関連付けます。
2. 表から既存のエリアを選択します。
3.
[ 全般 ] サブタブの [ 認証 ] ドロップダウン リストから
以前に定義した [ 認証プロファイル ] を選択します。
4.
[OK] をクリックします。
インターフェイスに関連付けるには、以下の手順を実行し
ます。
1. [ エリア ] サブタブを選択します。
ステップ 7
2.
表から既存のエリアを選択します。
3.
[ インターフェイス ] サブタブを選択し、[ 追加 ] をク
リックします。
4.
OSPFv3 インターフェイスに関連付ける認証プロファイ
ルを [ 認証プロファイル ] ドロップダウン リストから
選択します。
(任意)エクスポート ルール 1.
の設定
2.
[ ルールのエクスポート ] サブタブを選択します。
[ 追加 ] をクリックします。
3.
OSPFv3 経由でデフォルト ルートを再配信するのを許可
する場合は、[デフォルト ルートの再配信を許可] チェッ
ク ボックスをオンにします。
4.
再配信プロファイルの名前を選択します。値には IP サ
ブネットまたは有効な再配信プロファイル名を指定す
る必要があります。
5.
[新規パス タイプ] に適用するメトリックを選択します。
6.
32 ビット値を持つ一致したルートの [ 新規タグ ] を指
定します。
7.
新しいルールのメトリックを適用します。
値の範囲 : 1 ~ 65535。
8.
ネットワーク
[OK] をクリックします。
541
OSPF の設定
ネットワーク
OSPFv3 の設定(続き)
ステップ 8
詳細な OSPFv3 オプションを設 1.
定します。
2.
3.
[ 詳細 ] サブタブを選択します。
トランジット トラフィックの送受信に使用せずにファ
イアウォールを OSPF トポロジ配信に参加させる場合
は、[SPF 計算用トランジット ルーティングを無効に
する ] チェック ボックスをオンにします。
[SPF 計算遅延 ] (秒)タイマーの値を設定します。
このタイマーにより、新しいトポロジ情報の受信と
SPF 計算の情報間で遅延時間を調整できます。低い値
を指定すると、OSPF の再収束が速くなります。ファ
イアウォールとピアリングしているルーターは、収束時
間の最適化と同様の方法で調整する必要があります。
4.
[LSA 間隔(秒)] 時間の値を設定します。このタイマー
は、同一 LSA(同一ルーター、同一タイプ、同一 LSA
ID)の 2 つのインスタンスの伝送間の最小時間を指定
します。RFC 2328 の MinLSInterval と同等です。低い値
を指定すると、トポロジが変更された場合の再収束時
間が短縮されます。
5.
「OSPF グレースフル リスタートの設定」で説明して
いるように [ グレースフル リスタート ] セクションを設
定します。
OSPF グレースフル リスタートの設定
OSPF グレースフル リスタートにより、OSPF ネイバーは障害が発生した場合の短い移行中にデ
バイスを経由してルートを使用し続けます。これにより、短期間のダウンタイム中に発生する
おそれのあるルーティング テーブルの再設定と関連するルート フラッピングが少なくなるた
め、ネットワークの安定性が高まります。
Palo Alto Networks ファイアウォールでは、以下の動作が伴います。

ファイアウォールがリスタートするデバイスの場合 — ファイアウォールが短期間ダウンす
る場合や短期間使用できなくなる状況になると、グレース LSA をその OSPF ネイバーに送信
します。ネイバーは、グレースフル リスタート ヘルパー モードで実行するように設定する
必要があります。ヘルパー モードでは、ネイバーはファイアウォールが [ グレース ピリオド ]
として定義した指定された期間内にグレースフル リスタートを実行することを通知するグ
レース LSA を受信します。グレース ピリオド中、ネイバーはファイアウォール経由でルー
トを送受信し続け、ファイアウォール経由でルートを通知する LSA を送信し続けます。グ
レース ピリオドの失効前にファイアウォールが動作を再開すると、トラフィックの送受信は
ネットワーク障害が発生する前と同じように行われます。グレース ピリオドが失効した後も
ファイアウォールが動作を再開しない場合、ネイバーはヘルパー モードを終了し、ファイア
ウォールをバイパスするルーティング テーブルの再設定を伴う通常の動作を再開します。
542
ネットワーク
OSPF の設定
ネットワーク

ファイアウォールがグレースフル リスタート ヘルパーになる場合 — 隣接するルートが短期
間ダウンするおそれがある場合、ファイアウォールはグレースフル リスタート ヘルパー
モードで動作するように設定できます。このモードで設定すると、ファイアウォールには
[ネイバー再起動の最大時間] が設定されます。ファイアウォールがグレース LSA をその OSPF
ネイバーから受信すると、グレース ピリオドまたはネイバー再起動の最大時間が経過するま
で、トラフィックをネイバーにルーティングし続け、ネイバーを経由したルートを通知し続
けます。ネイバーが復帰する前にどちら時間も経過しなければ、トラフィックの送受信は
ネットワーク障害が発生する前と同じように行われます。ネイバーが復帰する前にどちらか
の期間が経過すると、ファイアウォールはヘルパー モードを終了し、ネイバーをバイパスす
るルーティング テーブルの再設定を伴う通常の動作を再開します。
OSPF グレースフル リスタートの設定
ステップ 1
[Network] > [ 仮想ルーター] の順に選択し、設定する仮想ルーターを選択します。
ステップ 2
[OSPF] > [ 詳細 ] の順に選択します。
ステップ 3
以下のチェック ボックスがオンになっていることを確認します(デフォルトではオンになっ
ています)。
[ グレースフル リスタートを有効にする ]、[ ヘルパー モードを有効にする ]、[ 厳密な LSA
チェックを有効化にする ]
トポロジで必要がない限り、すべてオンのままにしておく必要があります。
ステップ 4
[ グレース ピリオド ] を秒単位で設定します。
ステップ 5
[ ネイバー再起動の最大時間 ] を秒単位で設定します。
OSPF 動作の確認
OSPF 設定をコミットしたら、その OSPF が動作することを確認するために以下の操作を実行で
きます。

ルーティング テーブルの表示

OSPF 隣接の確認

OSPF 接続の確立の確認
ルーティング テーブルの表示
ルーティング テーブルを表示することで、OSPF ルートが確立されたかどうかを確認できま
す。ルーティング テーブルは、Web インターフェイスまたは CLI からアクセスできます。CLI
を使用する場合、以下のコマンドを使用します。

show routing route

show routing fib
ネットワーク
543
OSPF の設定
ネットワーク
以下の手順では、Web インターフェイスを使用してルート テーブルを表示する方法を説明し
ます。
ルーティング テーブルの表示
ステップ 1
[Network] > [ 仮想ルーター] の順に選択します。
ステップ 2
[ ルーティング ] タブを選択し、OSPF によって学習されたルートのルーティング テーブルの
[ フラグ ] 列を調べます。
OSPF 隣接の確認
以下の手順で説明するように [ ネイバー] タブを表示することで、OSPF 隣接が確立されたことを
確認できます。
OSPF 隣接を確認するための [ ネイバー] タブの表示
ステップ 1
544
[Network] > [ 仮想ルーター] の順に選択します。
ネットワーク
OSPF の設定
ネットワーク
OSPF 隣接を確認するための [ ネイバー] タブの表示(続き)
ステップ 2
[OSPF] > [ ネイバー] の順に選択し、[ 状態 ] 列を調べて OSPF 隣接が確立されたかどうかを
判断します。
OSPF 接続の確立の確認
システム ログを表示することで、以下の手順で説明しているように OSPF 接続が確立されたこ
とを確認できます。
システム ログの調査
ステップ 1
[Monitor] > [ システム ] の順に選択し、OSPF 隣接が確立されたことを確認するメッセージ
を探します。
ステップ 2
[OSPF] > [ ネイバー] サブタブを選択し、[ 状態 ] 列を調べて OSPF 隣接が確立されたかどう
かを判断します。
ネットワーク
545
BGP の設定
ネットワーク
BGP の設定
Border Gateway Protocol (BGP)は、インターネット ルーティング プロトコルの主流となってい
ます。BGP は、AS(Autonomous System)内で使用可能な IP プレフィックスに基づいてネット
ワークが到達可能かどうかを判断します。AS とは、ネットワーク プロバイダによって指定され
た、同じルーティング ポリシーに属する IP プレフィックスのセットです。
ルーティング プロセスでは、接続は BGP ピア(ネイバー)間で確立されます。ルートは、ポリ
シーによって許可されると、RIB(Routing Information Base)に保存されます。ローカル ファイ
アウォール RIB が更新されるたびに、ファイアウォールは最適なルートを判断し、エクスポー
トが有効な場合は更新情報を外部 RIB に送信します。
BGP ルートの通知方法の制御には条件付き通知が使用されます。条件付き通知ルールに適合し
た BGP ルートのみがピアに通知されます。
BGP では、集約を指定して複数ルートを 1 つのルートに結合することができます。集約プロセ
スではまず、他の集約ルールのプレフィックス値を持つ受信ルートを比較し、最も長いルート
を見つけることによって、対応する集約ルールを特定します。
BGP の詳細は、『How to Configure BGP Tech Note』(英語)を参照してください。
このファイアウォールでは、以下の機能を含む、完全な BGP 実装が可能です。

仮想ルーターごとに 1 つの BGP ルーティング インスタンスを指定

ルートマップに基づいたルーティング ポリシーによるインポート、エクスポート、および通
知の制御、プレフィックスに基づいたフィルタリング、アドレス集約

ルート リフレクタ、AS コンフェデレーション、ルート フラップ ダンプニング、グレースフ
ル リスタートなどの高度な BGP 機能

IGP と BGP の相互作用による、再配信プロファイルを使用した BGP へのルートの注入
BGP 設定は、以下の要素で構成されます。

ルーティング インスタンスごとの設定。これには、ローカル ルーター ID やローカル AS な
どの基本パラメータと、パス選択、ルート リフレクタ、AS コンフェデレーション、ルート
フラップ、ダンプニングのプロファイルなどの高度なオプションがあります。

認証プロファイル。BGP 接続のための MD5 認証鍵を指定します。

ピア グループおよびネイバー設定。ネイバー アドレスやリモート AS に加え、ネイバー属性
やネイバー接続などの高度なオプションが含まれます。

ルーティング ポリシー。ピア グループとピアがインポート、エクスポート、条件付き通知、
およびアドレス集約制御の実装に使用するルール セットを指定します。
546
ネットワーク
BGP の設定
ネットワーク
BGP の設定
ステップ 1
全般的な仮想ルーターの設定 詳細は、「仮想ルーターの設定」を参照してください。
を設定します。
ステップ 2
標準的な BGP の設定を設定し 1.
ます。
2.
ステップ 3
[BGP] タブを選択します。
BGP プロトコルを有効にするには、[ 有効化 ] チェック
ボックスをオンにします。
3.
[ ルーター ID] ボックスで、IP アドレスを仮想ルーター
に割り当てます。
4.
ルーター ID に基づいて、仮想ルーターが属する AS の番
号を [AS 番号 ] に入力します。範囲 : 1 ~ 4294967295。
全般的な BGP の設定を設定し 1.
ます。
2.
[BGP] > [ 全般 ] の順に選択します。
BGP ピアから通知されるデフォルト ルートを無視する
には、デフォルト ルートの拒否チェック ボックスをオ
ンにします。
3.
グローバル ルーティング テーブルに BGP ルートをイ
ンストールするには、[ ルートのインストール ] チェッ
ク ボックスをオンにします。
4.
ルートの MED (Multi-Exit Discriminator)値が異なる場
合でもルート集約を有効にするには、[MED の集約 ]
チェック ボックスをオンにします。
5.
さまざまなパスの中から優先するパスを判断するため
に使用できる値を指定する [ デフォルトのローカル設定 ]
の値を入力します。
6.
相互運用性の目的で、AS 形式として以下のいずれかの
値を選択します。
• 2 バイト(デフォルト値)
• 4 バイト
7.
[ パス選択 ] の以下のそれぞれの値を有効化または無効
化します。
• 常に MED を比較 — 別の AS 内のネイバーから受け取っ
たパスを選択するには、この比較を有効にします。
• 決定論的 MED 比較 — IBGP ピア(同じ AS 内の BGP
ピア)から通知されたルートの中からルートを選択
するには、この比較を有効にします。
8.
[ 追加 ] をクリックして新しい認証プロファイルを追加
し、以下の設定を指定します。
• プロファイル名 — プロファイルの識別に使用する名
前を入力します。
• シークレット / 再入力 シークレット — BGP ピア通信
に使用するパスフレーズを入力し、確認します。
ネットワーク
547
BGP の設定
ネットワーク
BGP の設定(続き)
ステップ 4
BGP の詳細設定の設定(任意) 1.
[ 詳細 ] サブタブで、[ グレースフル リスタート ] をオ
ンにして以下のタイマーを確認します。
• ステージ ルート時間(秒)— ルートが接続期限切
れ状態を維持できる時間の長さを秒単位で指定しま
す。範囲 : 1 ~ 3600 秒。デフォルト : 120 秒。
• ローカル再起動時間(秒)— ローカル デバイスが
再起動するために単位する時間の長さを秒単位で指
定します。この値は、ピアに通知されます。範囲 :
1 ~ 3600 秒。デフォルト : 120 秒。
• 最大ピア再起動時間(秒)— ローカル デバイスが
グレース ピリオド中のピア デバイスの再起動時間
として受け入れる時間の最大長を秒単位で指定しま
す。範囲 : 1 ~ 3600 秒。デフォルト : 120 秒。
2.
リフレクタ クラスタを表す IPv4 識別子を [ リフレクタ
クラスタ ID] ボックスで指定します。
3.
AS コンフェデレーションを 1 つの AS として外部 BGP
ピアに示すための使用する識別子を [ コンフェデレー
ション メンバー AS] ボックスで指定します。
4.
[ 追加 ] をクリックし、設定する各ダンプニングのプロ
ファイルについて以下の情報を入力し、[ 有効化 ] をオ
ンにして [OK] をクリックします。
• プロファイル名 — プロファイルの識別に使用する名
前を入力します。
• カットオフ — ルート停止のしきい値を指定します。
この値を超えるとルート通知が停止します。範囲 :
0.0 ~ 1000.0。デフォルト : 1.25。
• 再利用 — ルート停止のしきい値を指定します。この
値を下回るとルートは再度使用されます。範囲 : 0.0 ~
1000.0。デフォルト : 5。
• 最大ホールド タイム(秒)— どれだけ不安定である
かに関係なく、ルートを停止できる時間の最大長を
秒単位で指定します。範囲 : 0 ~ 3600 秒。デフォルト :
900 秒。
• Decay Half Life 到達可能(秒)— ルートが到達可能
とみなされた場合、ルートの安定性メトリックを
1/2 にするまでの時間を指定します。範囲 : 0 ~ 3600
秒。デフォルト : 300 秒。
• Decay Half Life を半分に減少(秒)— ルートが到達
不可能とみなされた場合、ルートの安定性メトリッ
クを 1/2 にするまでの時間を指定します。範囲 : 0 ~
3600 秒。デフォルト : 300 秒。
5.
548
[OK] をクリックします。
ネットワーク
BGP の設定
ネットワーク
BGP の設定(続き)
ステップ 5
BGP ピア グループを設定し 1.
ます。
[ ピア グループ ] サブタブを選択し、[ 追加 ] をクリッ
クします。
2.
[ 名前 ] フィールドにピア グループ名を入力して [ 有効
化 ] をオンにします。
3.
設定した集約済みコンフェデレーション AS へのパスを
含めるには、[ 集約済みコンフェデレーション AS パス ]
チェック ボックスをオンにします。
4.
ピア設定の更新後にファイアウォールのソフト リセッ
トを実行するには、[ 保存した情報を使用したソフト
リセット ] チェック ボックスをオンにします。
5.
[タイプ] ドロップダウン ボックスからピアまたはグルー
プのタイプを指定し、関連設定(この表に後述されて
いる [ ネクスト ホップのインポート ] および [ ネクスト
ホップのエクスポート ] の説明を参照)を指定します。
• IBGP — [ ネクスト ホップのエクスポート ]: [ 元 ] ま
たは [ 自己の使用 ] を指定します。
• EBGP コンフェデレーション — [ ネクスト ホップの
エクスポート ]: [ 元 ] または [ 自己の使用 ] を指定し
ます。
• EBGP コンフェデレーション — [ ネクスト ホップの
エクスポート ]: [ 元 ] または [ 自己の使用 ] を指定し
ます。
• EBGP — [ ネクスト ホップのインポート ]: [ 元 ] また
は [ ピアの使用 ] を指定します。[ ネクスト ホップの
エクスポート ]: [ 解決 ] または [ 自己の使用 ] を指定
します。BGP でプライベート AS 番号を強制的に削
除する場合は、[ プライベート AS の削除 ] チェック
ボックスをオンにします。
6.
ネットワーク
[OK] をクリックして保存します。
549
BGP の設定
ネットワーク
BGP の設定(続き)
ステップ 6
インポートおよびエクスポー 1.
トのルールを設定します。
インポート / エクスポート ルー
ルは、他のルーターとのイン 2.
ポート / エクスポートに使用さ
れます。たとえば、デフォル 3.
ト ルートをインターネット
サービス プロバイダからイン
ポートする場合です。
ステップ 7
550
条件付き通知機能を設定しま
す。これにより、ピアリング
ま た は 到 達 の 失 敗 を 含 め、
ロ ーカル BGP ルー ティ ング
テーブル(LocRIB)で異なる
ルートを使用できない場合に
通知するルートを制御できま
す。これは、1 つの AS を別の
AS より優先してルートを強
制する場合に便利です。たと
えば、インターネットに対し
て複数の ISP を経由するリン
クがあり、優先プロバイダへ
の接続が失われない限り、他
のプロバイダではなく優先プ
ロバイダにトラフィックを
ルーティングする場合に効果
的です。
[ インポート ] タブを選択してから [ 追加 ] をクリック
し、[ ルール ] フィールドに名前を入力して [ 有効化 ]
チェック ボックスをオンにします。
[ 追加 ] をクリックし、ルーターのインポート元となる
[ ピア グループ ] を選択します。
[ 一致 ] タブをクリックし、ルーティング情報をフィル
タリングするために使用するオプションを定義しま
す。ルート フィルタリングのためにルーターまたはサ
ブネットへの MED (Multi-Exit Discriminator)値とネク
スト ホップ値を定義することもできます。MED オプ
ションは、ネイバーに AS への優先パスを知らせるた
めの外部メトリックです。低い値が高い値に優先され
ます。
4.
[ アクション ] タブをクリックし、[ 一致 ] タブで定義し
たフィルタリング オプションに基づいて行うべきアク
ション(許可 / 拒否)を定義します。[ 拒否 ] を選択す
ると、それ以上オプションを定義する必要はありませ
ん。[ 許可 ] アクションを選択した場合、他の属性を定
義します。
5.
[ エクスポート ] タブをクリックしてエクスポート属性
を定義します。これは [ インポート ] 設定に似ています
が、ファイアウォールからネイバーにエクスポートさ
れるルート情報を制御するために使用されます。
6.
[OK] をクリックして保存します。
1.
[ 条件付き通知 ] タブを選択し、[ 追加 ] をクリックし
て [ ポリシー] フィールドに名前を入力します。
2.
[ 有効化 ] チェック ボックスをオンにします。
3.
[ 追加 ] をクリックして [ 使用者 ] セクションに条件付き
通知ポリシーを使用するピア グループを入力します。
4.
[ 非存在フィルタ ] タブを選択し、優先ルートのネット
ワーク プレフィックスを定義します。このタブは、
ローカル BGP ルーティング テーブルで使用可能な場
合に通知するルートを指定します。プレフィックスが
通知され非存在フィルタと一致すると、通知が停止し
ます。
5.
[フィルタの通知] タブを選択し、非存在フィルタのルー
トがローカル ルーティング テーブルで使用できない場
合に通知する、ローカル RIB ルーティング テーブルの
ルートのプレフィックスを定義します。プレフィック
スが通知され非存在フィルタと一致しないと、通知が
行われます。
ネットワーク
BGP の設定
ネットワーク
BGP の設定(続き)
ステップ 8
BGP 設定にルートを集約する 1.
ために集約オプションを設定
します。
2.
BGP ルート集約は、BGP がア
ドレスを集約する方法を制御
す る た め に 使 用 さ れ ま す。 3.
テーブルの各エントリによ
り、1 つの集約アドレスが作成 4.
されることになります。これ
により、指定したアドレスに
一致する少なくとも 1 つ以上の
特定のルートが学習された場
合に、ルーティング テーブル
の集約エントリになります。
ステップ 9
再配信ルールを設定します。
1.
このルールは、ホスト ルート
およびローカル RIB にない不明 2.
なルートをピア ルートに再配
信するために使用されます。
ネットワーク
[Aggregate] タブを選択し、[ 追加 ] をクリックして集
約アドレスの名前を入力します。
[プレフィックス] フィールドで、集約されたプレフィッ
クスのプライマリ プレフィックスになるネットワーク
プレフィックスを入力します。
[ フィルタの抑制 ] タブを選択し、一致したルートを停
止する属性を定義します。
[ フィルタの通知 ] タブを選択し、一致したルートを必
ずピアに通知する属性を定義します。
[ ルールの再配信 ] タブを選択し、[ 追加 ] をクリックし
ます。
[ 名前 ] フィールドに、IP サブネットを入力するか、再
配信プロファイルを選択します。必要に応じて、ド
ロップダウン メニューから新しい再配信プロファイル
を設定することもできます。
3.
ルールを有効にするには、[ 有効化 ] チェック ボックス
をオンにします。
4.
[ メトリック ] フィールドに、ルールに使用されるルー
ト メトリックを入力します。
5.
[ 発信元の設定 ] ドロップダウン リストから incomplete、
igp、または egp を選択します。
6.
任意で、MED、ローカル設定、AS パス制限、コミュニ
ティの値を設定します。
551
BGP の設定
ネットワーク
552
ネットワーク