Palo Alto Networks 管理者ガイド リリース 4.1 11/11/19 最終レビュー ドラフト — Palo Alto Networks 社外秘 Palo Alto Networks, Inc. www.paloaltonetworks.com © 2007-2011 Palo Alto Networks. All rights reserved. Palo Alto Networks、PAN-OS、および Panorama は Palo Alto Networks, Inc. の商標です。その他の 商標の所有権は、それぞれの所有者に帰属します。 P/N 810-000101-00A 2011 年 11 月 19 日 - Palo Alto Networks 社外秘 目次 序章 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 このガイドについて 設定 . . . . . . . . . . . . . 表記規則. . . . . . . . . . メモと警告 . . . . . . . . 関連ドキュメント . . ....................................... ....................................... ....................................... ....................................... ....................................... 13 13 15 15 15 第1章 はじめに . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 ファイアウォールの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 機能と利点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 管理インターフェイス. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 第2章 スタート ガイド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 ファイアウォールの準備 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ファイアウォールのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . ファイアウォール Web インターフェイスの使用 . . . . . . . . . . . . . . . . 変更のコミット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 設定ページへの移動 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 設定ページのテーブルの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 必須フィールド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . トランザクションのロック . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . サポート対象のブラウザ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ファイアウォール設定でのヘルプの表示 . . . . . . . . . . . . . . . . . . . . . . . 詳細情報について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . テクニカル サポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Palo Alto Networks 21 22 23 25 25 26 26 26 27 27 27 27 目次 • 3 第3章 デバイス管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 システム セットアップ、設定、およびライセンス管理 . . . . . . . . . . . 管理設定の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 操作設定の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . サービス設定の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . コンテンツ ID 設定の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . セッション設定の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 統計サービス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 設定ファイルの比較 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ライセンスのインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . PAN-OS ソフトウェアのアップグレード . . . . . . . . . . . . . . . . . . . . . . . 高可用性のアップグレード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 脅威およびアプリケーションの定義の更新 . . . . . . . . . . . . . . . . . . . . . 管理者ロール、プロファイル、およびアカウント . . . . . . . . . . . . . . . 管理者ロールの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 管理アカウントの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 管理者のアクセス ドメインの指定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 認証プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 認証プロファイルのセットアップ. . . . . . . . . . . . . . . . . . . . . . . . . . . . ローカル ユーザー データベースの作成 . . . . . . . . . . . . . . . . . . . . . . . RADIUS サーバーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . LDAP サーバーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kerberos 設定 の設定 (Active Directory のネイティブ認証 ). . . . . . . . 認証シーケンス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 認証シーケンスのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . クライアント証明書プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . ファイアウォール ログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 設定のログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ログのエクスポートのスケジューリング . . . . . . . . . . . . . . . . . . . . . . ログ設定の設定の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . システム ログの設定の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . HIP 一致ログの設定の定義. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . アラーム ログの設定の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ログ設定の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . SNMP トラップの宛先の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Syslog サーバーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 電子メール通知設定の指定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . アラームの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Netflow 設定の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . セキュリティ証明書のインポート、エクスポート、および生成 . . . . . . ファイアウォールでの秘密鍵とパスワードの暗号化 . . . . . . . . . . . . . . . . 4 • 目次 30 30 33 36 37 39 40 41 42 43 43 44 45 45 46 47 49 49 50 51 52 53 54 54 55 55 56 58 58 59 60 60 61 62 62 64 65 66 66 67 69 Palo Alto Networks 高可用性. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . アクティブ / パッシブの HA. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . アクティブ / アクティブの HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . パケット フロー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 導入オプション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NAT に関する考慮事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . HA のセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ファイアウォールの HA の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . バーチャルシステム . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . バーチャル システム間の通信 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 共有ゲートウェイ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . バーチャル システムの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 共有ゲートウェイの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . カスタム レスポンス ページの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . サポート情報の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 70 70 71 72 73 76 78 85 86 87 88 89 90 91 第4章 ネットワーク設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 ファイアウォール導入. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 バーチャル ワイヤ導入 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 レイヤー 2 導入 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 レイヤー 3 導入 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 タップ モード導入 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 バーチャル ワイヤの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 ファイアウォール インターフェイス . . . . . . . . . . . . . . . . . . . . . . . . . . 97 現在のインターフェイスの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 レイヤー 2 インターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . 98 レイヤー 2 サブインターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . 99 レイヤー 3 インターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . 100 レイヤー 3 サブインターフェイスの設定 . . . . . . . . . . . . . . . . . . . . 103 バーチャル ワイヤ インターフェイスの設定 . . . . . . . . . . . . . . . . . 105 集約インターフェイス グループの設定 . . . . . . . . . . . . . . . . . . . . . . 107 Aggregate Ethernet インターフェイスの設定 . . . . . . . . . . . . . . . . . 108 VLAN インターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 ループバック インターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . 110 トンネル インターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . 112 タップ インターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 HA インターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 セキュリティ ゾーン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 セキュリティ ゾーンの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 VLAN サポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 バーチャル ルータとルーティング プロトコル . . . . . . . . . . . . . . . . . 116 Routing Information Protocol (RIP) . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 Open Shortest Path First (OSPF) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 Palo Alto Networks 目次 • 5 Border Gateway Protocol (BGP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . マルチキャスト ルーティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . バーチャル ルータの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DHCP サーバーと DHCP リレー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 118 119 133 DNS Proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 ネットワーク プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 インターフェイス管理プロファイルの定義 . . . . . . . . . . . . . . . . . . . 138 ゾーン プロテクション プロファイルの定義 . . . . . . . . . . . . . . . . . . 139 第5章 ポリシーとセキュリティ プロファイル . . . . . . . . . . . . . . . . . . . . . 143 Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 ポリシー定義のガイドライン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ポリシーのユーザーとアプリケーションの指定. . . . . . . . . . . . . . . . セキュリティ ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . セキュリティ ポリシーの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NAT ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NAT およびセキュリティ ポリシーでのゾーン設定の決定 . . . . . . . NAT ルール オプション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ネットワーク アドレス変換ポリシーの定義 . . . . . . . . . . . . . . . . . . . NAT ポリシーの例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ポリシーベースの転送ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 復号化ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . アプリケーション オーバーライド ポリシー . . . . . . . . . . . . . . . . . . . . . アプリケーション オーバーライドを指定する カスタム アプリケーション定義 . . . . . . . . . . . . . . . . . . . . . . . . アプリケーション オーバーライド ポリシーの定義 . . . . . . . . . . . . . キャプティブ ポータル ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . キャプティブ ポータル ポリシーの定義 . . . . . . . . . . . . . . . . . . . . . . DoS 保護ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DoS プロファイルの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . セキュリティ プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . アンチウイルス プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . アンチスパイウェア プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 脆弱性防御プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . URL フィルタリング プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ファイル ブロッキング プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . データ フィルタリング プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . DoS プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . その他のポリシー オブジェクト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . アドレスとアドレス グループ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . アドレス範囲の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . アドレス グループの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 地域の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 • 目次 144 145 146 147 150 152 152 153 154 155 157 159 159 160 161 161 163 163 164 166 167 168 170 172 175 177 178 179 179 180 181 Palo Alto Networks アプリケーションとアプリケーション グループ . . . . . . . . . . . . . . . . . アプリケーションの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . シグネチャを使ったカスタム アプリケーション . . . . . . . . . . . . . . アプリケーション グループの定義 . . . . . . . . . . . . . . . . . . . . . . . . . アプリケーション フィルタ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . サービス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . サービス グループ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . データ パターン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . カスタム URL カテゴリ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . データ パターンの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . カスタムのスパイウェア シグネチャと脆弱性シグネチャ . . . . . . . . . . セキュリティ プロファイル グループ . . . . . . . . . . . . . . . . . . . . . . . . . . ログ転送 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . スケジュール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182 184 187 189 189 190 191 191 193 194 195 197 198 199 第6章 レポートとログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 ダッシュボードの使用. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Application Command Center の使用 . . . . . . . . . . . . . . . . . . . . . . . . . App-Scope の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . サマリー レポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 変化モニター レポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 脅威モニター レポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 脅威マップ レポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ネットワーク モニター レポート . . . . . . . . . . . . . . . . . . . . . . . . . . . トラフィック マップ レポート. . . . . . . . . . . . . . . . . . . . . . . . . . . . . ログの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . セッション情報の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ボットネット レポートの処理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ボットネット レポートの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ボットネット レポートの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . PDF サマリー レポートの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ユーザー アクティビティ レポートの管理 . . . . . . . . . . . . . . . . . . . . . レポート グループの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 電子メールで配信するレポートのスケジューリング . . . . . . . . . . . . . レポートの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . カスタムレポートの生成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 不明なアプリケーションの識別と対処 . . . . . . . . . . . . . . . . . . . . . . . . 対処 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Palo Alto Networks からの App-ID のリクエスト . . . . . . . . . . . . . . その他の不明なトラフィック . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . パケット キャプチャの実行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Palo Alto Networks 202 203 206 207 208 209 210 211 213 214 217 217 218 219 220 222 222 223 223 224 225 226 227 227 227 目次 • 7 第7章 ファイアウォールへのユーザー ID の設定 . . . . . . . . . . . . . . . . . . . 229 ユーザー ID の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229 ユーザー ID の動作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229 ユーザーおよびグループの識別 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230 ユーザー ID コンポーネントの連携方法 . . . . . . . . . . . . . . . . . . . . . . . . . 231 ユーザー ID エージェント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231 ターミナル サービス エージェント . . . . . . . . . . . . . . . . . . . . . . . . . 231 PAN-OS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231 ユーザー ID エージェント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232 キャプティブ ポータル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233 ファイアウォールへのユーザー ID の設定 . . . . . . . . . . . . . . . . . . . . 233 ユーザー ID エージェントのセットアップ . . . . . . . . . . . . . . . . . . . . . 237 ユーザー ID エージェントのインストール . . . . . . . . . . . . . . . . . . . . 237 ユーザー ID エージェントの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 238 ドメイン コントローラの検出 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241 ユーザー ID エージェントの動作のモニタリング . . . . . . . . . . . . . . . 241 ユーザー ID エージェントのアンインストールと アップグレード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241 ターミナル サービス エージェントのセットアップ . . . . . . . . . . . . . 242 ターミナル サーバーでのターミナル サーバー エージェントの インストールまたはアップグレード . . . . . . . . . . . . . . . . . . . . . 242 ターミナル サーバーでのターミナル サーバー エージェントの設定 . . 243 ターミナル サーバーでのターミナル サーバー エージェントの アンインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247 第8章 IPSec トンネルの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249 バーチャル プライベート ネットワーク. . . . . . . . . . . . . . . . . . . . . . . IPSec VPN と SSL-VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VPN トンネル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IPSec と IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IPSec および IKE 暗号プロファイル. . . . . . . . . . . . . . . . . . . . . . . . . . IPSec VPN のセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IKE ゲートウェイの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IPSec トンネルのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IKE 暗号プロファイルの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IPSec 暗号プロファイルの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . モニター プロファイルの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ファイアウォールの IPSec トンネル状態の表示 . . . . . . . . . . . . . . . . VPN 設定例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 既存のトポロジ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 新しいトポロジ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 • 目次 250 251 251 251 252 253 254 255 257 258 258 259 260 260 261 Palo Alto Networks VPN 接続の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262 VPN 接続のトラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . 263 第9章 GlobalProtect の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265 概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . GlobalProtect の認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . GlobalProtect のセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . GlobalProtect クライアントのセットアップとアクティブ化 . . . . . . GlobalProtect クライアントのセットアップ . . . . . . . . . . . . . . . . . . 265 266 267 277 277 第 10 章 Quality of Services (QoS) の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 279 ファイアウォールでの QoS のサポート . . . . . . . . . . . . . . . . . . . . . . . ファイアウォール インターフェイスの QoS の設定. . . . . . . . . . . . QoS プロファイルの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . QoS ポリシーの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . QoS 統計情報の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279 280 282 283 287 第 11 章 Panorama のインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289 概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Panorama のインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Panorama ネットワーク インターフェイスの設定 . . . . . . . . . . . . . . Panorama への初めてのログイン . . . . . . . . . . . . . . . . . . . . . . . . . . . . SSL 証明書の作成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . バーチャル ディスクを使用した Panorama 保存エリアの拡張. . . . . ストレージ パーティションのセットアップ . . . . . . . . . . . . . . . . . . . HA の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 障害後の HA ピア プロモーション. . . . . . . . . . . . . . . . . . . . . . . . . . 289 290 291 292 292 293 294 295 297 第 12 章 Panorama を使用したデバイス中央管理 . . . . . . . . . . . . . . . . . . . . . 299 Panorama Web インターフェイスへのアクセス . . . . . . . . . . . . . . . . 300 Panorama インターフェイスの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . 300 [Panorama] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . デバイスの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . デバイス グループの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 管理者のアクセス ドメインの指定 . . . . . . . . . . . . . . . . . . . . . . . . . . . ポリシーの処理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Palo Alto Networks 301 302 303 304 305 目次 • 9 オブジェクトの処理 . . . . . . デバイスの処理 . . . . . . . . . . Panorama の下位互換性 ログおよびレポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309 ユーザー アクティビティ レポートの生成 . . . . . . . . . . . . . . . . . . . . . . . 309 包括的なコンフィグレーション監査の実行 . . . . . . . . . . . . . . . . . . . . . . 309 ファイアウォール導入情報の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . 310 ファイアウォール設定のバックアップ . . . . . . . . . . . . . . . . . . . . . . . . 311 設定のエクスポートのスケジューリング . . . . . . . . . . . . . . . . . . . . . . 311 Panorama ソフトウェアのアップグレード . . . . . . . . . . . . . . . . . . . . 312 第 13 章 WildFire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313 WildFire について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313 WildFire を使用するためのセットアップ . . . . . . . . . . . . . . . . . . . . . . 314 ファイアウォール上の WildFire 設定の設定 . . . . . . . . . . . . . . . . . . . . . 314 WildFire ポータルの使用操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315 WildFire ポータル上の設定の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316 WildFire レポートの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316 付録 A カスタム ページ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317 デフォルトのアンチウイルス レスポンス ページ . . . . . . . . . . . . . . . . . デフォルトのアプリケーション ブロック ページ . . . . . . . . . . . . . . . . . デフォルトのファイル ブロッキング ブロック ページ . . . . . . . . . . . . . デフォルトの URL フィルタリング レスポンス ページ . . . . . . . . . . . . . デフォルトのスパイウェア対策ダウンロード レスポンス ページ . . . . . . デフォルトの暗号解除オプトアウト レスポンス ページ . . . . . . . . . . . . キャプティブ ポータル確認ページ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . URL フィルタリングの続行とオーバーライド ページ . . . . . . . . . . . . . . SSL VPN ログイン ページ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . SSL 証明書無効通知ページ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317 319 319 320 321 321 322 322 323 324 付録 B アプリケーションのカテゴリ、サブカテゴリ、テクノロジ、特性 325 アプリケーションのカテゴリとサブカテゴリ . . . . . . . . . . . . . . . . . . 325 アプリケーション テクノロジ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327 アプリケーション特性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327 10 • 目次 Palo Alto Networks 付録 C FIPS140-2 のサポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329 付録 D オープン ソース ライセンス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331 アーティスティック ライセンス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332 BSD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333 GNU General Public License . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334 GNU Lesser General Public License . . . . . . . . . . . . . . . . . . . . . . . . . . . 338 MIT/X11. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344 OpenSSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345 PSF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348 PHP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348 Zlib . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349 索引 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351 Palo Alto Networks 目次 • 11 12 • 目次 Palo Alto Networks 2011 年 11 月 19 日 - Palo Alto Networks 社外秘 序章 この序章は、以下のセクションで設定されています。 • 次のセクションの「このガイドについて」 • 13 ページの「設定」 • 15 ページの「表記規則」 • 15 ページの「メモと警告」 • 15 ページの「関連ドキュメント」 このガイドについて このガイドは、Palo Alto Networks ファイアウォールを、ファイアウォール デバイスの Web イン ターフェイスを使用して管理する方法について説明します。 このガイドの対象読者は、ファイアウォールの導入、運用、保守を担当するシステム管理者です。 設定 このガイドの設定は以下のとおりです。 • 第 1 章「はじめに」— ファイアウォールについて概説します。 • 第 2 章「スタート ガイド」— ファイアウォールのインストール方法を説明します。 • 第 3 章「デバイス管理」— 基本的なファイアウォール システムの設定と保守について説明し ます。具体的には、2 台のファイアウォールを設定して高可用性を実現する方法、ユーザー ア カウントを定義する方法、ソフトウェアのアップデート方法、設定の管理方法を説明します。 • 第 4 章「ネットワーク設定」— ルーティング設定など、お使いのネットワーク用にファイア ウォールを設定する方法を説明します。 • 第 5 章「ポリシーとセキュリティ プロファイル」— ゾーン、ユーザー、送信元 / 宛先アドレ ス、アプリケーションに基づいてセキュリティ ポリシーとプロファイルを設定する方法を説 明します。 • 第 6 章「レポートとログ」— ファイアウォールによって生成されるレポートとログの表示方法 を説明します。 • 第 7 章「ファイアウォールへのユーザー ID の設定」— ネットワークにアクセスしようとして いるユーザーを識別するためのファイアウォールの設定方法を説明します。 Palo Alto Networks 序章 • 13 設定 14 • 序章 • 第 8 章「IPSec トンネルの設定」— ファイアウォールに IP Security (IPSec) トンネルを設定す る方法を説明します。 • 第 9 章「GlobalProtect の設定」— どの場所にあるクライアント システムからでも安全にログ インできる GlobalProtect を説明します。 • 第 10 章「Quality of Services (QoS) の設定」— ファイアウォールに Quality of Services (QoS) を設定する方法を説明します。 • 第 11 章「Panorama のインストール」— Palo Alto Networks ファイアウォールの中央管理シ ステムをインストールする方法について説明します。 • 第 12 章「Panorama を使用したデバイス中央管理」— Panorama を使用して複数のファイア ウォールを管理する方法を説明します。 • 第 13 章「WildFire」— WildFire を使用して、ファイアウォールを通過するマルウェアを分析 およびレポートする方法を説明します。 • 付録 A「カスタム ページ」— エンド ユーザーにポリシー違反や特殊なアクセス条件を通知す るカスタム レスポンス ページの HTML コードを示します。 • 付録 B「アプリケーションのカテゴリ、サブカテゴリ、テクノロジ、特性」— Palo Alto Networks が定義しているアプリケーション カテゴリの一覧を示します。 • 付録 C「FIPS140-2 のサポート」— FIPS 140-2 のファイアウォール サポートについて説明し ます。 • 付録 D「オープン ソース ライセンス」— 関連するオープン ソース ライセンスに関する情報 が含まれています。 Palo Alto Networks 表記規則 表記規則 このガイドでは、特殊な用語と手順に以下の表記規則を使用します。 規則 意味 例 太字 コマンド名、キーワード、Web インター フェイスで選択可能な項目 セキュリティ ルール ページを開くには、 [Security] をクリックします。 斜体 パラメータ名、ファイル名、ディレク トリ名、URL Palo Alto Networks のホームページのア ドレスは、 http://www.paloaltonetworks.com です。 クーリエ体 コード例、ユーザーがコマンド プロン プトに入力したテキスト 以下のコマンドを入力します。 クリック 左マウス ボタンのクリック [Devices] タ ブ の [Administrators] を ク リックします。 右クリック 右マウス ボタンのクリック コピーするルールの番号を右クリックし て、[Clone Rule] を選択します。 a:\setup メモと警告 このガイドでは、以下の記号でメモと警告を表します。 記号 説明 メモ 役に立つ提案や補足情報です。 警告 データ損失を引き起こす可能性のあるアクションを示します。 関連ドキュメント このファイアウォールには以下のドキュメントが同梱されています。 • 『Quick Start ( クイックスタート )』 • 『Hardware Reference Guide ( ハードウェア リファレンス ガイド )』 • 『Command Line Interface Reference Guide ( コマンド ライン リファレンス ガイド )』 Palo Alto Networks 序章 • 15 関連ドキュメント 16 • 序章 Palo Alto Networks 11 19 , 2011 - Palo Alto Networks COMPANY CONFIDENTIAL 第1章 はじめに この章では、ファイアウォールの概要について説明します。 • 次のセクションの「ファイアウォールの概要」 • 18 ページの「機能と利点」 • 19 ページの「管理インターフェイス」 ファイアウォールの概要 Palo Alto Networks ファイアウォールでは、ネットワークにアクセスしようとしている各アプリ ケーションをより正確に識別し、その識別に応じたセキュリティ ポリシーを指定できます。プロト コルとポート番号のみでアプリケーションを識別する従来型のファイアウォールとは異なり、パ ケット検査とアプリケーションシグネチャのライブラリを使用することで、使用するプロトコルと ポート番号が同じ各アプリケーションを区別し、危害を及ぼす可能性がある、標準以外のポート番 号を使用するアプリケーションを識別できます。 たとえば、ポート 80 番 を使用するすべての接続に対して同じポリシーを適用するのではなく、ア プリケーションごとにセキュリティポリシーを定義できます。識別した各アプリケーションに対 しては、送信元および宛先のゾーンとアドレスに基づき、トラフィックをブロックするセキュリ ティポリシーまたは許可するセキュリティポリシーを指定できます。また、各セキュリティポリ シーで、ウイルスやスパイウェアなどのセキュリティ上の脅威を防ぐためのセキュリティプロファ イルを指定できます。 IPv4 および IPv6 アドレスがサポートされています。 Palo Alto Networks はじめに • 17 機能と利点 機能と利点 このファイアウォールでは、ネットワークへのアクセスを許可されたトラフィックを詳細に制御で きます。主な機能と利点は、以下のとおりです。 • アプリケーションベースでのポリシーの適用 — アプリケーションをプロトコルとポート番号 以外の情報も使用して識別するため、アプリケーションごとにより効果的なアクセス制御が可 能です。リスクが高いアプリケーションやファイル共有などのリスクの高い操作をブロック できます。Secure Socket Layer (SSL) プロトコルで暗号化されたトラフィックの暗号を解読し て検証できます。 • 脅威防御 — ウイルス、ワーム、スパイウェア、およびその他の悪意のあるトラフィックから ネットワークを保護する脅威への対策サービスを、アプリケーションとトラフィックの送信元 ごとに変えることができます (164 ページの「セキュリティ プロファイル」を参照 )。 • URL フィルタリング — 送信コネクションをフィルタリングして、不適切な Web サイトへの アクセスを防止できます (170 ページの「URL フィルタリング プロファイル」を参照 )。 • トラフィックの可視性 — 幅広いレポート、ログ、および通知メカニズムにより、ネットワー ク アプリケーション トラフィックとセキュリティ イベントを詳細に観察できます。Web イ ンターフェイスの Application Command Center を使用して、トラフィック量が最大のアプリ ケーションや、セキュリティ リスクが最も高いアプリケーションを特定します (201 ページの 「レポートとログ」を参照 )。 • 多機能なネットワーキングと速度 — このファイアウォールは、既存のファイアウォールを補 完したり、置き換えたりできます。また、どのネットワークにも透過的にインストールでき、 スイッチまたはルーティング環境をサポートするように設定できます。マルチギガビットの 速度と単一パスのアーキテクチャを実現しているため、すべてのサービスでネットワークに遅 延は発生しません。 • GlobalProtect — GlobalProtect は、世界中のどこからでも簡単かつ安全にログインできるよ うにすることで、現場で使用されるノートパソコンなどのクライアント システムでセキュリ ティを確保します。 • フェールセーフ機能 — 高可用性のサポートにより、ハードウェアやソフトウェアに障害が発 生した場合に自動的にフェールオーバーされます (78 ページの「ファイアウォールの HA の有 効化」を参照 )。 • マルウェアの分析とレポート — WildFire は、ファイアウォールを通過するマルウェアの詳細 な分析とレポートを提供します。 • 簡単に管理可能 — 各ファイアウォールは、直観的にわかる Web インターフェイスまたはコマ ンドライン インターフェイス (CLI) によって管理されます。または、すべてのデバイスを、デ バイス Web インターフェイスに非常によく似た Web インターフェイスを持つ Panorama 中 央管理システムで一元的に管理することもできます。 18 • はじめに Palo Alto Networks 管理インターフェイス 管理インターフェイス ファイアウォールでは、以下の管理インターフェイスがサポートされています。サポートされてい るブラウザのリストについては、27 ページの「サポート対象のブラウザ」を参照してください。 • Web インターフェイス — Web ブラウザから HTTP または HTTPS 経由で設定とモニタリン グを行います。 • CLI — Telnet、セキュア シェル (SSH)、またはコンソール ポート経由でテキストベースの設 定とモニタリングを行います (『PAN-OS Command Line Interface Reference Guide (PAN-OS コマンド ライン インターフェイス リファレンス ガイド )』を参照 )。 • Panorama — 複数のファイアウォールを Web ベースで管理し、レポートし、ログを記録する Palo Alto Networks 製品です。Panorama インターフェイスは、デバイス Web インターフェイ スに似ています。ただし、いくつかの管理機能が追加されています。Panorama のインストー ル手順の詳細は 289 ページの「Panorama のインストール」を、Panorama の使用方法の詳細 は 299 ページの「Panorama を使用したデバイス中央管理」を参照してください。 • Simple Network Management Protocol (SNMP) — RFC 1213 (MIB-II) および RFC 2665 (Ethernet インターフェイス ) でのリモート モニタリングをサポートします。また、1 つ以上 のトラップ シンクで SNMP トラップを生成します (62 ページの「SNMP トラップの宛先の設 定」を参照 )。 • Syslog — 1 つ以上のリモート Syslog サーバー宛てにメッセージを生成します (64 ページの 「Syslog サーバーの設定」を参照 )。 • Palo Alto Networks XML API — ファイアウォールからデバイス設定、動作ステータス、レポート、およびパケッ ト キャプチャにアクセスするための Representational State Transfer (REST) ベースのイン ターフェイスを提供します。ファイアウォールで使用可能な API ブラウザがあります (https:// <firewall>/api)。ここで、<firewall> は、ファイアウォールのホスト名または IP アドレスです。 このリンクは、API コールのそれぞれのタイプで必要とされるパラメータのヘルプを提供しま す。XML API 利用ガイドは、http://live.paloaltonetworks.com の DevCenter オンライン コミュニ ティで利用できます。 はじめに • 19 管理インターフェイス 20 • はじめに Palo Alto Networks 11 19 , 2011 - Palo Alto Networks COMPANY CONFIDENTIAL 第2章 スタート ガイド この章では、ファイアウォールのセットアップ方法と使用開始手順について説明します。 • 次のセクションの「ファイアウォールの準備」 • 22 ページの「ファイアウォールのセットアップ」 • 23 ページの「ファイアウォール Web インターフェイスの使用」 • 27 ページの「ファイアウォール設定でのヘルプの表示」 注 : Panorama 中央管理システムのインストール手順の詳細は、289 ページの 「Panorama のインストール」を参照してください。 ファイアウォールの準備 ファイアウォールをセットアップする前に、以下の準備作業を実行します。 1. 『Hardware Reference Guide ( ハードウェア リファレンス ガイド )』の説明に従って、ラック にファイアウォールを設置し、電源をオンにします。 2. https://support.paloaltonetworks.com でファイアウォールを登録して、最新のソフトウェアと App-ID 更新を取得し、電子メールで送られている認証コードを利用してサポートまたは契約 をアクティベーションします。 3. ファイアウォールの管理ポートを設定するために、ネットワーク管理者から IP アドレスを取 得します。 Palo Alto Networks スタート ガイド • 21 ファイアウォールのセットアップ ファイアウォールのセットアップ ファイアウォールの初期セットアップを実行するには、以下の手順を実行します。 1. RJ-45 Ethernet ケーブルを使用して、コンピュータをファイアウォールの管理ポート (MGT) に 接続します。 2. コンピュータを起動します。 192.168.1.0 ネットワークにあるコンピュータに、ネットマスク 255.255.255.0 を使用して静的 IP アドレスを割り当てます ( たとえば、192.168.1.5)。 3. サポート対象の Web ブラウザを起動し、 「https://192.168.1.1」と入力します。 Palo Alto Networks のログイン ページが自動的に開きます。 4. [Name] と [Password] の両方に「admin」と入力して、[Login] をクリックします。デフォル トのパスワードを変更する必要があるという警告が表示されます。[OK] クリックして続行し ます。 5. [Device] タブで、[Setup] を選択して、以下の内容 (Web インターフェイスの設定を設定する 一般的な手順については、23 ページの「ファイアウォール Web インターフェイスの使用」を 参照 ) を設定します。 – [Management Interface Settings] の下の [Management] タブで、ファイアウォールの IP アドレス、ネットマスク、およびデフォルトのゲートウェイを入力します。 – [Services] タブに、Domain Name Service (DNS) サーバーの IP アドレスを入力します。 Network Time Protocol (NTP) サーバーの IP アドレスまたはホストとドメイン名を入力 し、タイム ゾーンを選択します。 – サイド メニューで [Support] をクリックします。 社内で Palo Alto Networks ファイアウォールを初めて使用する場合は、[Register Device] をクリックし、ファイアウォールを登録します。( すでにファイアウォールを登録している 場合は、ユーザー名とパスワードを受け取っているはずです )。 [Activate support using authorization codes] リンクをクリックして、オプション機能で使 用する電子メールで送られている認証コードを入力します。複数の認証コードがある場合 はスペースで区切ります。 6. [Devices] タブの [Administrators] をクリックします。 7. [admin] をクリックします。 8. [New Password] と [Confirm New Password] フィールドに、大文字、小文字を区別してパス ワード ( 最大 15 文字 ) を入力し、確認します。 9. [OK] をクリックして、新しいパスワードを入力します。 10. これらの設定を有効にするために設定をコミットします。 変更がコミットされると、ファイ アウォールはステップ 5 で割り当てられた IP アドレスを介して到達できるようになります。 変更のコミットの詳細は、25 ページの「変更のコミット」を参照してください。 22 • スタート ガイド Palo Alto Networks ファイアウォール Web インターフェイスの使用 ファイアウォール Web インターフェイスの使用 ファイアウォール インターフェイスの使用操作には、以下の原則が適用されます。 • 一般的な機能カテゴリのメニュー項目を表示するには、ブラウザ ウィンドウの上部近くにあ る [Object] や [Devices] など、該当するタブをクリックします。 • パネルを表示するには、サイド メニューで項目をクリックします。 • サブメニュー項目を表示するには、項目の左にある ニュー項目を非表示にするには、項目の左にある • ほとんどの設定ページで、[Add] をクリックして新規項目を作成できます。 • 1 つ以上の項目を削除するには、項目のチェック ボックスをオンにして [Delete] をクリック します。ほとんどの場合、[OK] をクリックして削除を確認するか、[Cancel] をクリックして 削除をキャンセルするようにメッセージが表示されます。 • 一部の設定ページでは、項目のチェック ボックスをオンにして [Clone] をクリックすると、選 択した項目と同じ情報で新規項目を作成できます。 Palo Alto Networks アイコンをクリックします。サブメ アイコンをクリックします。 スタート ガイド • 23 ファイアウォール Web インターフェイスの使用 • 項目を変更するには、下線の付いたリンクをクリックします。 • ページのヘルプ情報を表示するには、ページの右上エリアにある [Help] アイコンをクリック します。 • タスクの現在のリストを表示するには、ページの右下隅の [Tasks] アイコンをクリックしま す。[Task Manager] ウィンドウが開き、ステータス、開始時刻、関連付けられたメッセージ、 およびアクションと共にタスクのリストを表示します。[Show] ドロップダウン リストを使用 してタスクのリストをフィルタリングします。 • 変更できる情報を表示するページで ( たとえば、[Devices] タブの [Setup] ページ )、セクショ ンの右上隅のアイコンをクリックして、設定を編集します。 • 設定を行った後は、[OK] または [Save] をクリックして変更を保存する必要があります。[OK] をクリックすると、現在の「候補」コンフィグが更新されます。 24 • スタート ガイド Palo Alto Networks ファイアウォール Web インターフェイスの使用 変更のコミット Web インターフェイスの上部で [Commit] をクリックして、[Commit] ダイアログ ボックスを開き ます。 [Commit] ダイアログ ボックスでは、以下のオプションを使用できます。必要な場合は、 [Advanced] リンクをクリックして、オプションを表示します。 – Include Device and Network configuration — コミット操作にデバイスおよびネットワー クの設定変更を含めます。 – Include Shared Object configuration — ( 複数バーチャル システム ファイアウォールのみ ) コミット操作に共有オブジェクトの設定変更を含めます。 – Include Policy and Objects — (非複数バーチャル システム ファイアウォールのみ) コミッ ト操作にポリシーとオブジェクトの設定変更を含めます。 – Include virtual system configuration — コミット操作にすべてのバーチャル システムま たは選択されたバーチャル システムを含めます。 変更のコミットの詳細は、33 ページの「操作設定の定義」を参照してください。 設定ページへの移動 このガイドの各設定セクションには、設定ページへのメニュー パスが記載されています。たとえ ば、[Vulnerability Protection] ページを表示するには、[Objects] タブを選択してから、サイド メ ニューの [Security Profiles] の下で [Vulnerability Protection] を選択します。このガイドでは、こ の操作は以下のパスで示されます。 [Objects] > [Security Profiles] > [Vulnerability Protection] Palo Alto Networks スタート ガイド • 25 ファイアウォール Web インターフェイスの使用 設定ページのテーブルの使用 設定ページのテーブルには、ソートおよび列を選択するオプションが含まれます。列ヘッダーをク リックしてその列をソートしてから、もう一度クリックしてソート順序を変更します。任意の列の 右にある矢印をクリックし、表示する列を選択するために、チェックボックスをオンにします。 必須フィールド 必須フィールドは、淡い黄色の背景で表示されます。フィールドの入力領域をポイントまたはク リックすると、フィールドが必須であることを示すメッセージが表示されます。 トランザクションのロック Web インターフェイスは複数の管理者に対応しており、ある管理者が現在の一連のトランザク ションをロックすると、別の管理者はロックが解除されるまで設定変更やコミット操作ができなく なります。以下のタイプのロックがサポートされています。 • Config lock — 他の管理者が設定を変更できないようにブロックします。このタイプのロック は、グローバルに設定することも、1 つのバーチャル システムに設定することもできます。こ のロックを解除できるのは、ロックを設定した管理者またはシステムのスーパーユーザーだけ です。 • Commit Lock — すべてのロックが解除されるまで他の管理者が変更をコミットできないよう にブロックします。このタイプのブロックでは、2 人の管理者が同時に変更を行い、2 番目の 管理者が変更を完了させる前に最初の管理者が変更を完了させてコミットするときに生じる 可能性がある競合を回避します。ロックは現在の変更がコミットされたときに解除されます。 または手動で解除することもできます。 どの管理者でもロック ウィンドウを開いて、ロックされている現在のトランザクションを表示で きます。これは、それぞれのタイムスタンプと共に表示されます。 トランザクションをロックするには、上部のバーにあるロック解除アイコン をクリックして [Locks] ダイアログ ボックスを開きます。[Take a Lock] をクリックし、ドロップダウン リストから ロックの範囲を選択して [OK] をクリックします。必要に応じてロックを追加し、[Close] をクリッ クして [Lock] ダイアログ ボックスを閉じます。 トランザクションがロックされて、上部のバーにあるアイコンがロック アイコンに変わり、ロッ クされている項目の数がかっこ内に表示されます。 26 • スタート ガイド Palo Alto Networks ファイアウォール設定でのヘルプの表示 トランザクションのロックを解除するには、上部のバーにあるロック アイコン をクリックし て [Locks] ウィンドウを開きます。解除するロックの アイコンをクリックし、[Yes] をクリッ クして確定します。[Close] をクリックして、[Lock] ダイアログ ボックスを閉じます。 コ ミ ッ ト ロ ッ ク を 自 動 実 施 す る に は、[Device Setup] ペ ー ジ の [Management] 領 域 に あ る [Automatically acquire commit lock] チェック ボックスをオンにします。30 ページの「システム セットアップ、設定、およびライセンス管理」を参照してください。 サポート対象のブラウザ ファイアウォール Web インターフェイスのアクセスでは、以下の Web ブラウザがサポートされて います。 • Internet Explorer 7+ • Firefox 3.6+ • Safari 5+ • Chrome 11+ ファイアウォール設定でのヘルプの表示 このセクションの情報を使用して、ファイアウォール使用時にヘルプを表示します。 詳細情報について このファイアウォールに関する詳細は、以下の情報を参照してください。 • 一般的な情報 — http://www.paloaltonetworks.com • オンライン ヘルプ — Web インターフェイスの右上隅にある [Help] をクリックするとオンラ イン ヘルプを参照できます。 • ヒント、スクリプト、およびシグネチャを共有するために顧客 / パートナが交流して協力する 分野 — https://live.paloaltonetworks.com/community/devcenter テクニカル サポート テクニカル サポートが必要な場合は、お買い求めの販売代理店までお尋ねください。 • KnowledgePoint オンライン サポート コミュニティ : http://live.paloaltonetworks.com • Web サイト : https://support.paloaltonetworks.com Palo Alto Networks スタート ガイド • 27 ファイアウォール設定でのヘルプの表示 28 • スタート ガイド Palo Alto Networks 11 19 , 2011 - Palo Alto Networks COMPANY CONFIDENTIAL 第3章 デバイス管理 この章では、ファイアウォールの基本的なシステム設定方法と管理方法を説明します。また、バー チャル システム、高可用性、およびログ機能についても概説します。 • 次のセクションの「システム セットアップ、設定、およびライセンス管理」 • 42 ページの「設定ファイルの比較」 • 43 ページの「ライセンスのインストール」 • 43 ページの「PAN-OS ソフトウェアのアップグレード」 • 45 ページの「脅威およびアプリケーションの定義の更新」 • 45 ページの「管理者ロール、プロファイル、およびアカウント」 • 49 ページの「認証プロファイル」 • 54 ページの「認証シーケンス」 • 55 ページの「クライアント証明書プロファイル」 • 56 ページの「ファイアウォール ログ」 • 62 ページの「SNMP トラップの宛先の設定」 • 64 ページの「Syslog サーバーの設定」 • 65 ページの「電子メール通知設定の指定」 • 66 ページの「アラームの表示」 • 66 ページの「Netflow 設定の設定」 • 67 ページの「セキュリティ証明書のインポート、エクスポート、および生成」 • 70 ページの「高可用性」 • 85 ページの「バーチャルシステム」 • 90 ページの「カスタム レスポンス ページの定義」 • 91 ページの「サポート情報の表示」 Palo Alto Networks デバイス管理 • 29 システム セットアップ、設定、およびライセンス管理 システム セットアップ、設定、およびライセンス管理 以下のセクションでは、ネットワーク設定の定義方法とファイアウォールコンフィグの管理方法に ついて説明します。 • 次のセクションの「管理設定の定義」 • 33 ページの「操作設定の定義」 • 36 ページの「サービス設定の定義」 • 37 ページの「コンテンツ ID 設定の定義」 • 39 ページの「セッション設定の定義」 注 : [WildFire] タブ設定の設定の詳細は、313 ページの「WildFire」を参照し てください。 管理設定の定義 [Device] > [Setup]> [Management] [Setup] ページでは、ファイアウォールの管理、操作、サービス、コンテンツ識別、WildFire マル ウェア分析およびレポート、およびセッション動作を設定できます。 管理ポートを使用しない場合、ループバック インターフェイスを定義して、ループバック インター フェイスの IP アドレスを介してファイアウォールを管理できます (110 ページの「ループバック イ ンターフェイスの設定」を参照 )。 必要に応じて、このページで以下の作業を実行します。 • ホスト名またはネットワーク設定を変更するには、ページの最初のテーブルで [Edit] をクリッ クし、以下の情報を指定します。 表 1. 管理設定 項目 説明 一般的な設定 Host Name ホスト名 ( 最大 31 文字 ) を入力します。名前の大文字と小文字は区別されま す。また、一意の名前にする必要があります。文字、数字、スペース、ハイフ ン、およびアンダースコアのみを使用してください。 Domain ファイアウォールの完全修飾ドメイン名 (FQDN) を入力します (最大 31 文字)。 Login Banner ファイアウォールの [Login] ページに表示されるカスタム テキストを入力し ます。このテキストは、[Name] フィールドと [Password] フィールドの下に 表示されます。 Timezone ファイアウォールのタイム ゾーンを選択します。 Locale ドロップダウン リストから、PDF レポートの言語を選択します。220 ページ の「PDF サマリー レポートの管理」を参照してください。 30 • デバイス管理 Palo Alto Networks システム セットアップ、設定、およびライセンス管理 表 1. 管理設定 ( 続き ) 項目 説明 Time ファイアウォールの日時を設定するには、[Set Time] をクリックします。現在 の日付 (YYYY/MM/DD) を入力するか、カレンダー アイコン をクリック して月と日にちを選択 します。現在の時刻を 24 時間形式 (HH:MM:SS) で 入力します。 Serial Number (Panorama のみ ) ファイアウォールのシリアル番号を入力します。 Geo Location ファイアウォールの緯度 (-90.0 ~ 90.0) と経度 (-180.0 ~ 180.0) を入力します。 Automatically acquire commit lock 候補コンフィグを変更するときにコミット ロックを自動的に適用します。詳 細は、26 ページの「トランザクションのロック」を参照してください。 Certificate Expiration Check オンボックス証明書が有効期限に近くなったときに警告メッセージを作成す るようにファイアウォールに指示します。 Multi Virtual System Capability 複数のバーチャル システム ( お使いのファイアウォール モデルでサポートさ れている場合 ) を使用できるようにするには、[Setup] ページの上部にある [Multi Virtual System Capability] の [Edit] をクリックします。チェック ボッ クスをオンにして [OK] をクリックします。バーチャル システムの詳細は、 85 ページの「バーチャルシステム」を参照してください。 認証設定 Authentication Profile 管理者がファイアウォールへのアクセスに使用する認証プロファイルを選択 します。認証プロファイルの設定手順の詳細は、50 ページの「認証プロファ イルのセットアップ」を参照してください。 Client Certificate Profile 管理者がファイアウォールへのアクセスに使用するクライアント証明書プロ ファイルを選択します。クライアント証明書プロファイルの設定手順の詳細 は、55 ページの「クライアント証明書プロファイル」を参照してください。 Idle Timeout タイムアウト間隔 (1 ~ 1440 分 ) を入力します。値を 0 にすると、管理、Web、 または CLI のセッションがタイムアウトしなくなります。 # Failed Attempts Web インターフェイスや CLI の最大ログイン試行回数 (1 ~ 10、デフォルト は 0) を入力します。(1 ~ 10、デフォルトは 0)。0 にすると、無制限になります。 Lockout Time 最大試行回数に達したときのユーザーのロックアウト時間 (0 ~ 60 分) を入力 します。デフォルトは 0 で、試行回数に上限はありません。 Panorama 設定 Panorama Server Palo Alto Networks の中央管理システムである Panorama の IP アドレスを入 力します ( 存在する場合 )。Panorama を使用してデバイスを管理するには、 サーバーのアドレスが必要です。 Panorama が管理対象ファイアウォールに適用するポリシーを削除するには、 [Disabled Shared Policies] リンクをクリックします。ポリシーを Panorama から削除する前にローカル名スペースに移動する場合は、開いているダイア ロ グ ボ ッ ク スの [Import shared policies from Panorama before disabling] チェック ボックスをクリックします。[OK] をクリックします。 Panorama Server 2 Panorama が高可用性 (HA) モードで動作している場合、HA 設定に含まれる 2 番目の Panorama システムを指定します。 Receive Timeout for connection to Panorama Panorama から TCP メッセージを受信するときのタイムアウト (1 ~ 120 秒、 デフォルトは 20 秒 ) を入力します。 Send Timeout for connection to Panorama Panorama に TCP メッセージを送信するときのタイムアウト (1 ~ 120 秒、デ フォルトは 20 秒 ) を入力します。 Palo Alto Networks デバイス管理 • 31 システム セットアップ、設定、およびライセンス管理 表 1. 管理設定 ( 続き ) 項目 説明 Retry Count for SSL send to Panorama Panorama に Secure Socket Layer (SSL) メッセージを送信するときの再試行 回数 (1 ~ 64、デフォルトは 25) を入力します。 管理インターフェイス設定 MGT Interface Speed 管理インターフェイスのデータ速度とデュプレックス オプションを設定しま す。フル デュプレックスまたはハーフ デュプレックスで、10Mbps、100Mbps、 1Gbps のいずれかを選択できます。ファイアウォールにインターフェイス速 度を決定させるには、デフォルトのオート ネゴシエート設定を使用します。 この設定は、隣接するネットワーク機器のポート設定と一致する必要があり ます。 MGT Interface IP Address 管理ポートの IP アドレスを入力します。または、ループバック インターフェ イスの IP アドレスを使用してデバイスを管理することもできます。このアド レスは、リモート ログの送信元アドレスとして使用されます。 Netmask IP アドレスのネットワーク マスク (「255.255.255.0」など ) を入力します。 Default Gateway デフォルト ルータの IP アドレスを入力します ( 管理ポートと同じサブネット にする必要があります )。 MGT Interface IPv6 Address ( 任意 ) 管理ポートの IPv6 アドレスを入力します。 Default IPv6 Gateway 管理ポートに IPv6 アドレスを割り当てた場合、デフォルト ルータの IPv6 ア ドレスを入力します ( 管理ポートと同じサブネットにする必要があります )。 MGT Interface Services 指定した管理インターフェイスのアドレスで有効にするサービス (HTTP、 HTTPS、Telnet、Secure Shell (SSH)、ping) を選択します。 Permitted IPs ファイアウォール管理が許可される IP アドレスのリストを入力します。 ログおよびレポート設定 Log Storage ハード ディスクの各ログ タイプに割り当てる容量のパーセンテージを指定 します。 パーセント値を変更する場合、関連付けられたディスクの割り当ては自動的 に変更します。すべての値の合計が 100% を超える場合、ページ上にメッセー ジが赤で表示され、設定を保存しようとするときにエラー メッセージが提示 されます。これが発生する場合、合計が 100% の上限を超えないようにパーセ ンテージを再調整します。 [OK] をクリックして設定を保存し、[Restore Defaults] をクリックして、すべ てのデフォルト設定を復元します。 注 : ログが最大サイズに達すると、最も古いエントリから上書きが始まりま す。既存のログを現在のサイズよりも小さくサイズ変更する場合、その変更を コミットした直後にファイアウォールによってログの削減が開始されます ( 最 も古いログが最初に削除されます )。 Max. Rows in User Activity Report ユーザー アクティビティ レポートでサポートされる最大行数 (1 ~ 1048576、 デフォルトは 65535) を入力します。 Number of Versions for Config Audit 保存可能なコンフィグレーション監査のバージョン数を入力します ( デフォ ルトは 100)。この数を超えると最も古いバージョンが廃棄されます。 Number of Versions for Config Backups (Panorama のみ) 保存可能な設定バックアップ数を入力します (デフォルトは 100)。この数を超えると最も古い設定バックアップが廃棄されます。 Stop Traffic when LogDb full ログ データベースに空きがない場合にファイアウォール経由のトラフィック を停止するには、このチェック ボックスをオンにします ( デフォルトはオフ )。 32 • デバイス管理 Palo Alto Networks システム セットアップ、設定、およびライセンス管理 表 1. 管理設定 ( 続き ) 項目 説明 Send Hostname In Syslog Syslog メッセージでデバイスの [Host Name] フィールドを送信するには、この チェック ボックスをオンにします。 このオプションが設定されている場合、Syslog メッセージのヘッダーにファ イアウォール デバイスのホスト名が含まれます。 操作設定の定義 [Device] > [Setup] > [Operations] 設定を変更して [OK] をクリックすると、アクティブ コンフィグではなく現在の「候補」コンフィ グが更新されます。ページ上部の [Commit] をクリックすると、候補コンフィグがアクティブ コン フィグに適用され、前回のコミットからの設定の変更がすべてアクティベーションされます。 この方法によって、設定をアクティベーションする前に確認できます。 複数の変更を同時にアク ティベーションすると、変更をリアルタイムに適用するときに発生することがある無効な設定状態 を回避できます。 候補コンフィグは必要に応じて何回でも保存やロール バック ( 復元 ) ができます。また、設定の読 み込み、検証、インポート、およびエクスポートを行うこともできます。[Save] をクリックする と、現在の候補コンフィグのコピーが作成され、[Commit] を選択すると、アクティブ コンフィグ が候補コンフィグの内容で更新されます。 注 : 画面の右上隅にある [Save] リンクをクリックして、入力した設定を定期的に保存 することをお勧めします。 設定を管理するには、以下の表で説明するように、該当する設定管理機能を選択します。 表 2. 設定管理機能 機能 説明 設定の管理 Validate candidate config 候補コンフィグにエラーがないかどうかが確認されます。 Revert to last saved config 最後に保存された候補コンフィグがフラッシュ メモリから復元されます。現 在の候補コンフィグは上書きされます。候補コンフィグが保存されていない 場合、エラーが発生します。 Revert to running config 前回のアクティブ コンフィグが復元されます。現在のアクティブ コンフィグ はオーバーライドされます。 注 : Web インターフェイスを使用できない場合は、CLI コマンド debug swm 『PAN-OS Command Line Interface Reference revert を使用します。詳細は、 Guide (PAN-OS コマンド ライン インターフェイス リファレンス ガイド )』 を参照してください。 Save named configuration snapshot Palo Alto Networks 候補コンフィグがファイルに保存されます。ファイル名を入力するか、上書き する既存のファイルを選択する。現在のアクティブ設定ファイル (runningconfig.xml) はオーバーライドできません。 デバイス管理 • 33 システム セットアップ、設定、およびライセンス管理 表 2. 設定管理機能 ( 続き ) 機能 説明 Save candidate config 候補コンフィグがフラッシュ メモリに保存されます ( ページ上部の [Save] を クリックした場合と同様 )。 Load named configuration snapshot アクティブ コンフィグ (running-config.xml) や以前にインポートまたは保存さ れた設定から候補コンフィグが読み込まれます。ロードする設定ファイルを 選択します。現在の候補コンフィグは上書きされます。 Load configuration version 指定したバージョンの設定が読み込まれます。 Export named configuration snapshot アクティブ コンフィグ (running-config.xml) や以前に保存またはインポートさ れた設定がエクスポートされます。エクスポートする設定ファイルを選択し ます。このファイルは、開いたり、ネットワーク上に保存したりできます。 Export configuration version 指定したバージョンの設定がエクスポートされます。 Import named config snapshot ネットワーク上から設定ファイルがインポートされます。[Browse] をクリッ クして、インポートする設定ファイルを選択します。 デバイスの操作 Reboot Device ファイアウォールを再起動するには、[Reboot Device] をクリックします。 ユーザーはログアウトされ、PAN-OS ソフトウェアとアクティブ コンフィグ が再読み込みされます。保存またはコミットされていない設定の変更は失わ れます (33 ページの「操作設定の定義」を参照 )。 注 : Web インターフェイスを使用できない場合は、CLI コマンド request restart system を使用します。詳細は、『PAN-OS Command Line Interface Reference Guide (PAN-OS コマンド ライン インターフェイス リファレンス ガイド )』を参照してください。 Restart Data Plane リブートせず にファイアウ ォールのデー タ機能をリス タートするに は、 [Restart Dataplane] をクリックします。 CLI コマンド request restart 注: Web インターフェイスを使用できない場合は、 dataplane を使 用 し ま す。 詳 細 は、『PAN-OS Command Line Interface Reference Guide (PAN-OS コマンド ライン インターフェイス リファレンス ガ イド )』を参照してください。 34 • デバイス管理 Palo Alto Networks システム セットアップ、設定、およびライセンス管理 表 2. 設定管理機能 ( 続き ) 機能 説明 多分野 Custom Logo [Custom Logo] をクリックして以下の任意の内容をカスタマイズします。 • ログイン画面 • 主要なユーザー インターフェイス (UI) • PDF レポート タイトル ページ。220 ページの「PDF サマリー レポートの管 理」を参照してください。 • PDF レポート フッター をクリックしてイメージ ファイルをアップロードし、 をクリックし てプレビューし、 をクリックして以前にアップロードしたイメージを削 除します。 以下の内容に注意してください。 • サポートされているファイル タイプは、png、gif、および jpg です。 • デフォルトのロゴに戻るには、エントリを削除してコミットします。 • 任意のロゴ イメージの最大イメージ サイズは、128 KB です。 • ログイン画面と主要なユーザー インターフェイスのオプションでは、 を クリックすると、これから表示されるイメージが表示されます。必要な場 合、イメージを切り取って収められます。PDF レポートの場合、イメージは 切り取られずに自動的にサイズ変更されて、収まります。すべてのケースに おいて、プレビューは推奨されるイメージのサイズを表示します。 PDF レポートの生成の詳細は、220 ページの「PDF サマリー レポートの管理」 を参照してください。 SNMP Setup SNMP パラメータを指定します。40 ページの「SNMP」を参照してください。 Statistics Service Setup 統計サービスの設定を指定します。41 ページの「統計サービス」を参照して ください。 注 : [Commit] をクリックするか、commit CLI コマンドを入力すると、Web イン ターフェイスおよび CLI で行った前回のコミット以降の変更がすべてアクティ ベーションされます。競合を回避するには、26 ページの「トランザクションのロッ ク」で説明されているようにトランザクション ロック機能を使用します。 Palo Alto Networks デバイス管理 • 35 システム セットアップ、設定、およびライセンス管理 サービス設定の定義 [Device] > [Setup]> [Services] [Services] タブを使用して、Domain Name Service (DNS)、Network Time Protocol (NTP)、更新 サーバー、プロキシ サーバー、およびサービス ルート設定の設定を定義します。 表 3. サービス設定 機能 説明 DNS DNS サービスのタイプを選択します。この設定は、FQDN アドレス オブジェ クト、ログ、およびデバイス管理のサポートでファイアウォールによって開 始されるすべての DNS クエリで使用されます。オプションには、次の内容が 含まれます。 • ドメイン名解決に対するプライマリおよびセカンダリ DNS サーバー • ファイアウォールに設定された DNS プロキシ Primary DNS Server プライマリ DNS サーバーの IP アドレスまたはホスト名を入力します。この サーバーは、更新サーバーの検出、ログの DNS エントリの解決、FDQN ベー スのアドレス オブジェクトなどのためにファイアウォールから DNS クエリ を行う場合に使用されます。 Secondary DNS Server プライマリ サーバーを使用できない場合 ( 任意 )、使用するセカンダリ DNS サーバーの IP アドレスまたはホスト名を入力します。 Primary NTP Server プライマリ NTP サーバーの IP アドレスまたはホスト名を入力します ( 存在 する場合 )。NTP サーバーを使用しない場合、デバイスの時刻を手動で設定で きます。 Secondary NTP Server プライマリ サーバーを使用できない場合 ( 任意 )、使用するセカンダリ NTP サーバーの IP アドレスまたはホスト名を入力します。 Update Server この設定は、Palo Alto Networks から更新ファイルをダウンロードするのに 使用されるサーバーの IP アドレスまたはホスト名を表します。現在値は、 updates.paloaltonetworks.com です。テクニカル サポートから指示がない限 り、このサーバー名は変更しないでください。 Secure Proxy Server デバイスがプロキシ サーバーを使用して Palo Alto Networks 更新サービス にアクセスする必要がある場合は、サーバーの IP アドレスまたはホスト名を 入力します。 Secure Proxy Port プロキシ サーバーを指定する場合、ポートを入力します。 Secure Proxy User プロキシ サーバーを指定する場合、サーバーにアクセスするためのユーザー 名を入力します。 Secure Proxy Password Confirm Secure Proxy Password プロキシ サーバーを指定する場合、サーバーにアクセスするためのユーザー のパスワードを入力して確認します。 Service Route Configuration ファイアウォールの外部サーバーとの通信方式を指定します。 [Service Route Configuration] をクリックし、以下を設定します。 • 管理インターフェイスを使用してすべての外部サーバーと通信するには、 [Use Management Interface for all] を選択します。 • [Select] を選択し、サービス タイプに基づいてオプションを選択します。 [Source Address] ドロップダウン リストから送信元アドレスを選択します。 36 • デバイス管理 Palo Alto Networks システム セットアップ、設定、およびライセンス管理 コンテンツ ID 設定の定義 [Device] > [Setup] > [Content-ID] [Content-ID] タブを使用して、URL フィルタリング、データ保護、およびコンテナ ページの設定 を定義します。 表 4. コンテンツ ID 設定 機能 説明 URL フィルタリング Dynamic URL Cache Timeout [Edit] をクリックし、タイムアウト値 ( 時間単位 ) を入力します。この値は動 的 URL フィルタリングで使用され、この値により、エントリが URL フィル タリング サービスから返された後にキャッシュに保持される期間が決定しま す。URL フィルタリングの詳細は、170 ページの「URL フィルタリング プロ ファイル」を参照してください。 URL Continue Timeout ユーザーの [Continue] アクションのタイムアウト時間を指定します ( 範囲は 1 ~ 86400 分、デフォルトは 15 分 )。この時間に達する前に同じカテゴリの URL に対して [Continue] をもう一度押す必要があります。 URL Admin Override Timeout ユーザーが管理オーバーライド パスワードを入力したあとタイムアウトする までの時間を指定します ( 範囲は 1 ~ 86400 分、デフォルトは 900 分 )。この 時間に達する前に同じカテゴリの URL に対して管理オーバーライド パス ワードを再入力する必要があります。 URL Admin Lockout Timeout ユーザーが URL 管理オーバーライド パスワードの試行が 3 回失敗したとき に試行からロックアウトされる時間を指定します (1 ~ 86400 分、デフォルト は 1800 分 )。 x-forwarded-for 送信元 IP アドレスが含まれている X-Forwarded-For ヘッダーを含めます。こ のオプションをオンにすると、ファイアウォールによって HTTP ヘッダーに X-Forwarded-For ヘッダーがあるかどうかが検査されます。プロキシでは、XForwarded-For ヘッダーを使用して元のユーザーの送信元 IP アドレスを保 持できます。 システムによってこの値が取得されて URL ログの [Source User] フィールド に Src: x.x.x.x が配置されます (x.x.x.x はヘッダーから読み込まれる IP アドレ スです )。 Strip-x-forwarded-for Palo Alto Networks 送信元 IP アドレスが含まれている X-Forwarded-For ヘッダーを削除します。 このオプションをオンにすると、ファイアウォールによってリクエストを転 送する前にヘッダーの値がゼロに設定されるため、転送されるパケットには 内部送信元 IP 情報が含まれなくなります。 デバイス管理 • 37 システム セットアップ、設定、およびライセンス管理 表 4. コンテンツ ID 設定 ( 続き ) 機能 説明 URL Admin Override Settings for URL admin override ペー ジ が URL フ ィ ル タ リン グ プ ロ フ ァイ ル に よ っ てブ ロ ッ ク さ れ、 [Override] アクションが指定されている場合に使用される設定を指定しま す。170 ページの「URL フィルタリング プロファイル」を参照してください。 [Add] をクリックし、URL 管理オーバーライドに設定するバーチャル システ ムごとに以下を設定します。 • Location — ドロップダウン リストからバーチャル システムを選択します。 • Password/Confirm Password — ブロック ページをオーバーライドするた めにユーザーが入力する必要があるパスワードを入力します。 • Server Certificate — 指定したサーバーを介してリダイレクトされたときに SSL 通信で使用するサーバー証明書を選択します。 • Mode — ブロック ページが透過的に配信されるか ( ブロックされた Web サ イトから発信したように見える )、指定したサーバーにユーザーをリダイレ クトするかを決定します。[Redirect] を選択した場合、リダイレクトするた めの IP アドレスを入力します。 エントリを削除するには、 をクリックします。 Content-ID 機能 Manage Data Protection クレジットカード番号や社会保障番号など重要な情報を含むログへのアクセ スに対し拡張防御を追加します。 [Manage Data Protection] をクリックし、以下を設定します。 • 新しいパスワードを設定するには (まだ設定していない場合)、[Set Password] をクリックします。パスワードを入力し、確認のために再入力します。 • パスワードを変更するには、[Change Password] をクリックします。現在の パスワードを入力し、新しいパスワードを入力し、確認のために新しいパス ワードを再入力します。 • パスワードと保護されていたデータを削除するには、[Delete Password を クリックします。 コンテナ ページ コンテンツ タイプ ( たとえば、text/html、text/xml、text/plain、アプリケー ション (pdf)、イメージ (jpeg)) に基づいてファイアウォールで追跡または記録 する URL のタイプを指定するには、これらの設定を使用します。[Location] ドロップダウン リストから選択するバーチャル システムごとにコンテナ ページが設定されます。バーチャル システムに明示的なコンテナ ページが定 義されていない場合、デフォルトのコンテンツ タイプが使用されます。 [Add] をクリックし、コンテンツ タイプを入力または選択します。 バーチャル システムの新しいコンテンツ タイプを追加すると、コンテンツ タ イプのデフォルトのリストがオーバーライドされます。バーチャル システム に関連付けられているコンテンツ タイプがない場合、コンテンツ タイプのデ フォルトのリストが使用されます。 38 • デバイス管理 Palo Alto Networks システム セットアップ、設定、およびライセンス管理 セッション設定の定義 [Device] > [Setup] > [Session] [Sessions] タブでは、IPv6 トラフィックのファイアウォールおよびポリシー変更時の既存のセッ ションへのセキュリティ ポリシーの再マッチングなどのセッションのエイジアウト時間とグロー バルなセッション関連の設定を設定できます。 表 5. セッション設定 フィールド 説明 セッション設定 Rematch Sessions [Edit] をクリックし、[Rematch all sessions on config policy change] チェック ボックスをオンにします。 たとえば、以前は許可されていた Telnet が前回のコミットで [Deny] に変更さ れたとします。デフォルトの動作では、コミット前に開始した Telnet セッショ ンは再マッチングされてブロックされます。 ICMPv6 Token Bucket Size ICMPv6 エラー メッセージの帯域制限に対応するバケット サイズを入力しま す。トークン バケット サイズは、ICMPv6 エラー パケットのバーストをどの程 度許容するかを制御するトークン バケット アルゴリズムのパラメータです ( 範囲は 10 ~ 65535 パケット、デフォルトは 100)。 ICMPv6 Error Packet Rate 全体として 1 秒間に許容される ICMPv6 エラー パケットの平均数を入力しま す ( 範囲は 10 ~ 65535 パケット / 秒、デフォルトは 100)。この値はすべてのイ ンターフェイスに適用されます。 Jumbo Frame ジャンボ フレームのサポートを有効にする場合に選択します。ジャンボ フ レームの最大 MTU は 9192 で、特定のプラットフォームで使用できます。 http://www.paloaltonetworks.com で入手できるファイアウォール モ デルのス ペック シートを参照してください。 Jumbo Frame MTU Enable IPv6 Firewalling IPv6 のファイアウォール機能を有効にするには、[Edit] をクリックして、[IPv6 Firewalling] チェック ボックスをオンにします。 IPv6 が有効になっていないと、IPv6 ベースの設定はすべて無視されます。 Accelerated Aging アイドル状態のセッションの加速されたエージング アウトを許可します。 加速されたエージングを有効にして、しきい値 (%) と倍率を指定するには、この チェック ボックスをオンにします。 セッション テーブルが [Accelerated Aging Threshold] (% フル ) に達すると、 [Accelerated Aging Scaling Factor] がすべてのセッションのエージング計算に 適用されます。セッションのアイドル状態の時間は、実際のアイドル時間に倍 率をかけて計算されます。たとえば、10 の倍率が使用された場合、360 秒後で はなく、3600 秒後にセッションが通常タイムアウトします。 セッション タイムアウト Timeouts Palo Alto Networks 各カテゴリのタイムアウトを秒数で指定します。範囲とデフォルトが表示され ています。 デバイス管理 • 39 システム セットアップ、設定、およびライセンス管理 表 5. セッション設定 ( 続き ) フィールド 説明 サーバー CRL/OCSP Enable CRL を使用して SSL 証明書の有効性を確認するには、このチェック ボックス をオンにします。 信頼された認証局 (CA) はそれぞれ証明書無効リスト (CRL) を管理し、SSL 証 明書が SSL 復号化に有効かどうか (無効でないか) を判断します。オンライン証 明書状態プロトコル (OCSP) を使用することでも、証明書の無効状態を動的に 確認することができます。SSL 復号化の詳細は、157 ページの「復号化ポリシー」 を参照してください。 Receive Timeout CRL リクエストがタイムアウトして状態が不明と判断されるまでの時間を指 定します (1 ~ 60 秒 )。 Enable OCSP OCSP を使用して SSL 証明書の有効性を確認するには、このチェック ボックス をオンにします。 Receive Timeout OCSP リクエストがタイムアウトして状態が不明と判断されるまでの時間を指 定します (1 ~ 60 秒 )。 Block Unknown Certificate 検証できない証明書をブロックするには、このチェック ボックスをオンにします。 Block Timeout Certificate 証明書情報リクエストがタイムアウトした場合に証明書をブロックするには、 このチェック ボックスをオンにします。 Certificate Status Timeout 証明書状態のリクエストがタイムアウトするまでの時間を入力します (1 ~ 60 秒)。 SNMP [Device] > [Setup] > [Operations] SNMPv2c および SNMPv3 の SNMP 管理情報ベース (MIB) へのアクセスを定義するには、この ページを使用します。[Setup] ページの [SNMP Setup] をクリックし、以下の設定を指定します。 MIB モデルは、システムによって生成されたすべての SNMP トラップを定義します。システム内 の各イベント ログは、独自の オブジェクト識別子 (OID) を使用した独立した SNMP トラップとし て定義され、イベント ログ内の各フィールドは、変数のバインド (varbind) リストとして定義され ます。 表 6. SNMP のセットアップ フィールド 説明 Physical Location ファイアウォールの物理的な場所を指定します。 Contact ファイアウォールの管理者の名前や電子メール アドレスを入力します。この設 定は、標準システム情報の MIB でレポートされます。 Use Event-Specific Trap Definitions イベント タイプに基づいて各 SNMP トラップの一意の OID を使用するには、 このチェック ボックスをオンにします ( デフォルトが選択されています )。 40 • デバイス管理 Palo Alto Networks システム セットアップ、設定、およびライセンス管理 表 6. SNMP のセットアップ ( 続き ) フィールド 説明 バージョン SNMP バージョン (V2c または V3) を選択します。この設定で MIB 情報へのア クセスを制御します。デフォルトでは、V2c が「public」コミュニティ文字列に 選択されています。 V2c の場合、以下の設定を設定します。 • SNMP Community String — ファイアウォールのアクセスに使用する SNMP コミュニティ文字列を入力します ( デフォルトは [public])。 V3 の場合、以下の設定を設定します。 • Views — [Add] をクリックして、以下の設定を指定します。 – Name — ビューのグループ名を指定します。 – View — ビューの名前を指定します。 – OID — オブジェクト識別子 (OID) ( たとえば、1.2.3.4) を指定します。 – Option — OID をビューに含めるのか、ビューから除外するのかを選択し ます。 – Mask — OID に適用するフィルタのマスク値を 16 進数形式で指定します ( たとえば、0xf0)。 • Users — [Add] をクリックして、以下の設定を指定します。 – Users — ユーザー名を指定します。 – View — ユーザーのビューのグループを指定します。 – Auth Password — ユーザーの認証パスワードを指定します (最小 8 文字)。 Secure Hash Algorithm (SHA) だけがサポートされています。 – Priv Password — ユーザーの暗号化パスワードを指定します ( 最小 8 文字 )。 Advanced Encryption Standard (AES) だけがサポートされています。 統計サービス [Device] > [Setup] > [Operations] [Statistics Service Setup] をクリックして、Palo Alto Networks がアプリケーション、脅威、URL、 およびシステム障害に関する統計情報にアクセスすることをファイアウォールで許可する設定に アクセスします。この情報はファイアウォールから Panorama へ自動的に送信されます。 ファイアウォールで以下のタイプの情報を送信することを許可できます。 • アプリケーション レポート • 脅威レポート • デバイス情報 • 不明なアプリケーション レポート • URL レポート 送信される統計レポートのコンテンツのサンプルを表示するには、レポート アイコン リックします。[Report Sample] タブが開き、レポート コードが表示されます。 をク レポートを選択するには、 「オフ」 アイコンをクリックします。このアイコンがオンのチェック ボックス イメージ に変わります。 Palo Alto Networks デバイス管理 • 41 設定ファイルの比較 設定ファイルの比較 [Device] > [Config Audit] 設定ファイルを表示および比較するには、[Config Audit] ページを使用します。ドロップダウン リ ストから、比較する設定を選択します。コンテキストに含める行数を選択して、[Go] をクリックし ます。 以下の図のように、差異が強調された状態で設定が表示されます。 ページには、ドロップダウン リストの隣に および ボタンもあります。2 つの連続した設 定バージョンを比較するときに有効になります。 をクリックして保存された設定の前のセッ トに比較される設定を変更し、 をクリックして保存された設定の次のセットに比較される設定 を変更します。 図 1. 設定の比較 Panorama では、Panorama インターフェイスまたはローカルのファイアウォールのどちらで変更 を行っても、各管理対象ファイアウォールでコミットされたすべての設定ファイルが自動的に保存 されます。 42 • デバイス管理 Palo Alto Networks ライセンスのインストール ライセンスのインストール [Device] > [Licenses] Palo Alto Network からサブスクリプションを購入すると、1 つ以上のライセンス キーを有効にす るために認証コードが送信されます。 URL フィルタリングの URL ベンダー ライセンスをアクティベーションするには、ライセンスを インストールし、データベースをダウンロードし、[Activate] をクリックする必要があります。 以下の機能は、[License] ページで使用できます。 • URL フィルタリングのライセンスを有効にするには、[Activate] をクリックします。 • 認証コードを必要とする購入済みのサブスクリプションを有効にし、サポート ポータルをアク ティベーションした場合は、[Retrieve license keys from license server] をクリックします。 • 認証コードを必要とする購入済みのサブスクリプションを有効にし、サポート ポータルをアク ティベーションしていない場合は、[Activate feature using authorization code] をクリックし ます。認証コードを入力し、[OK] をクリックします。 • ファイアウォールがライセンス サーバーに接続されておらず、ライセンス キーを手動でアッ プロードする場合は、以下の手順を実行します。 a. http://support.paloaltonetworks.com からライセンス キーのファイルを取得します。 b. ライセンス キーのファイルをローカルに保存します。 c. [Manually upload license key] をクリックし、[Browse] をクリックしてファイルを選択 し、[OK] をクリックします。 ライセンスのインストール時に考慮すべき重要な項目 Web インターフェイスを使用して URL フィルタをアクティベーションできない場合、CLI コマン ドを使用できます。詳細は、 『PAN-OS Command Line Interface Reference Guide (PAN-OS コマンド ラ イン インターフェイス リファレンス ガイド )』を参照してください。 PAN-OS ソフトウェアのアップグレード [Device] > [Software] 新しいバージョンの PAN-OS ソフトウェアにアップグレードするには、Palo Alto Networks から 入手可能な PAN-OS ソフトウェアの最新バージョンを表示し、各バージョンのリリース ノートを 読み、ダウンロードおよびインストールするバージョンを選択します ( サポート ライセンスが必要 です )。 必要に応じて、[Software] ページで以下の機能を実行します。 • [Refresh] をクリックして、Palo Alto Networks から入手可能なソフトウェアの最新バージョ ンを確認します。 • バージョンの変更内容の説明およびソフトウェアをインストールするための移行パスを表示 するには、[Release Notes] をクリックします。更新バージョンをインストールす前に、基本 イメージがダウンロードされている必要があります。たとえば、3.1.9 デバイスを 4.1.4 にアッ プグレードする前に 4.1.0 がインストールではなく、ダウンロードされている必要があります。 Palo Alto Networks デバイス管理 • 43 PAN-OS ソフトウェアのアップグレード • ダウンロード サイトにある新しいバージョンをインストールするには、[Download] をクリッ クします。ダウンロードが完了すると、[Downloaded] 列にチェックマークが表示されます。 ダウンロードしたバージョンをインストールするには、そのバージョンの横にある [Install] を クリックします。 インストール時に、インストールが完了したら再起動するかどうか尋ねられます。インストー ルが完了すると、ファイアウォールの再起動中はログアウトされます。再起動するように選択 した場合、ファイアウォールが再起動します。 • 以前に PC に保存したバージョンをインストールするには、[Upload] をクリックします。ソフ トウェア パッケージを参照して選択し、[Install from File] をクリックします。ドロップダウン リストから選択したファイルを選択し、[OK] をクリックしてイメージをインストールします。 • 古いバージョンを削除するには、[Delete] アイコン をクリックします。 PAN-OS ソフトウェアのアップグレード時の注意事項 • PAN-OS の以前のバージョンからアップグレードする場合、リリース ノートで説明されてい る推奨パスに従って最新リリースにアップグレードします。 • ファイアウォールの日時設定には現在の日時を使用する必要があります。PAN-OS ソフトウェ アはデジタル署名されており、署名は新バージョンをインストールする前にデバイスによって 確認されています。現在以外の日付が設定されていると、デバイスは署名の日付が誤って将来 になっていると認識し、次のメッセージを表示します。 Decrypt failed: GnuPG edit non-zero, with code 171072 Failed to load into PAN software manager. • PAN-OS ソフトウェアを前のリリースにダウングレードする場合、リリース ノートのダウン グレード指示に従います。このプロセスの一環として、ダウングレードする設定を指定する必 要があります。 ソフトウェア バージョンに一致する設定にダウングレードすることを強くお 勧めします。ソフトウェアと設定が一致しないと、ダウングレードが失敗するか、システムが 管理モードに強制される場合もあります。 高可用性のアップグレード このセクションでは、高可用性 (HA) 設定に対して PAN-OS ソフトウェアをアップグレードする 手順を表示します。詳細な手順は、リリース ノートを参照してください。HA 設定の詳細は、 70 ページの「高可用性」を参照してください。 ファイアウォールの HA ペアをアプグレードするには、以下の手順を実行します。 1. パッシブ ファイアウォールをサスペンドします。 2. パッシブ ファイアウォールを新しい PAN-OS リリースにアップグレードします。 3. パッシブ ファイアウォールを稼働させます。 4. 状態同期化が完了するのを待ちます。 5. アクティブなファイアウォールをサスペンドします。これは、パッシブ ファイアウォールが アクティブになるように強制します。 6. ステップ 2 とステップ 3 に従って、アクティブだったデバイスをアップグレードします。 優先度の高いオプションが設定されている場合、状態同期化が完了すると、現在パッシブ状態のデ バイスがアクティブに戻ります。 44 • デバイス管理 Palo Alto Networks 脅威およびアプリケーションの定義の更新 脅威およびアプリケーションの定義の更新 [Device] > [Dynamic Updates] Palo Alto Networks では、新規または改訂されたアプリケーションの定義や、アンチウイルス シ グネチャ ( 入手するには脅威防御ライセンスが必要です )、 URL フィルタリング基準、GlobalProtect データの更新などの新しいセキュリティの脅威に関する情報が含まれている更新ファイルを定期 的に公開しています。最新の更新ファイルを表示し、各更新ファイルのリリース ノートを読み、ダ ウンロードおよびインストールする更新ファイルを選択できます。 [Dynamic Updates] ページの [Application and Threats]、[antivirus]、または [URL Filtering] エリ アには、現在インストールされているバージョンと更新サーバーから取得できる最新バージョンの 2 つのエントリが表示されることがあります。最新バージョンがすでにインストールされている場 合、1 つのエントリのみが表示されます。 必要に応じて、このページで以下の機能を実行します。 • [Check Now] をクリックして、Palo Alto Networks から最新情報を取得します。 • バージョンの [Upgrade] をクリックして、そのバージョンを使用します。 • バージョンの [Revert] をクリックして、そのバージョンに戻します。 • 更新ファイルの説明を表示するには、[Release Notes] をクリックします。 • 以前に PC に保存したファイルをインストールするには、[Upload] をクリックします。ファイ ルを参照して選択し、[Install from File] をクリックします。ドロップダウン リストから選択 したファイルを選択し、[OK] をクリックしてインストールします。 • 自動更新をスケジュールするには、[Schedule] リンクをクリックします。更新の頻度とタイミ ングを指定し、更新ファイルをダウンロードしてインストールするのか、またはダウンロード のみを行うのかを指定します。[Download Only] を選択すると、[Dynamic Updates] ページ の [Upgrade] リンクをクリックしたときにダウンロードした更新ファイルがインストールさ れます。[OK] をクリックすると、更新がスケジュールされます。コミットは必要ありません。 また、アクションを実行するために必要なコンテンツの持続時間を指定したり、アップロード をピア ファイアウォールと同期させるかどうかを指定したりできます。 管理者ロール、プロファイル、およびアカウント ファイアウォールでは、ファイアウォールにログインしようとする管理ユーザーを認証するために 以下のオプションをサポートしています。 • Local database — ユーザーのログインおよびパスワード情報がファイアウォール データベー スに直接入力されます。 • RADIUS — ユーザーの認証に既存の RADIUS (Remote Authentication Dial In User Service) サーバーが使用されます。 • LDAP — 既存の Lightweight Directory Access Protocol (LDAP) サーバーがユーザーの認証に 使用されます。 • Kerberos — 既存の Kerberos サーバーがユーザーの認証に使用されます。 • Client Certificate — 既存のクライアント証明書がユーザーの認証に使用されます。 Palo Alto Networks デバイス管理 • 45 管理者ロール、プロファイル、およびアカウント 管理アカウントを作成するとき、ローカル認証またはクライアント証明書 ( 認証プロファイルなし ) あるいは認証プロファイル (RADIUS、LDAP、Kerberos またはローカル DB 認証 ) を指定します。 この設定によって、管理者パスワードの確認方法が決まります。 管理者ロールによって、管理者がログイン後に実行を許可される機能が決まります。ロールを管理 者アカウントに直接割り当てることも、ロール プロファイルを定義して詳細な権限を指定し、そ れを管理者アカウントに割り当てることもできます。 詳細は、以下のセクションを参照してください。 • 認証プロファイルのセットアップ手順の詳細は、50 ページの「認証プロファイルのセットアッ プ」を参照してください。 • ロール プロファイルのセットアップ手順の詳細は、46 ページの「管理者ロールの定義」を参 照してください。 • 管理者アカウントのセットアップ手順の詳細は、55 ページの「クライアント証明書プロファ イル」を参照してください。 • SSL バーチャル プライベート ネットワーク (VPN) の詳細は、265 ページの「GlobalProtect の 設定」を参照してください。 • 管理者用のバーチャル システム ドメインの定義手順の詳細は、49 ページの「管理者のアクセ ス ドメインの指定」を参照してください。 • 管理者のクライアント証明書プロファイルの定義手順の詳細は、55 ページの「クライアント 証明書プロファイル」を参照してください。 管理者ロールの定義 [Device] > [Admin Roles] 管理ユーザーが行使可能なアクセス権と役割を決めるロール プロファイルを定義するには、 [Admin Roles] ページを使用します。管理者アカウントの追加手順の詳細は、47 ページの「管理ア カウントの作成」を参照してください。 表 7. 管理者ロール設定 フィールド 説明 Name 管理者ロールの識別に使用する名前を入力します ( 最大 31 文字 )。名前の大文 字と小文字は区別されます。また、一意の名前にする必要があります。文字、 数字、スペース、ハイフン、およびアンダースコアのみを使用してください。 説明 ロールの説明 ( 省略可 ) を入力します。 Role ドロップダウン リストから管理役割の適用範囲を選択します。 46 • デバイス管理 Palo Alto Networks 管理者ロール、プロファイル、およびアカウント 表 7. 管理者ロール設定 ( 続き ) フィールド 説明 WebUI 定領域のアイコンをクリックして、Web インターフェイスで許可されるアク セスのタイプを示します。 • 指定ページに読み書きアクセスできます。 • 指定ページに読み取り専用でアクセスできます。 • 指定ページにアクセスできません。 CLI Role CLI アクセスのロールのタイプを選択します。 • disable — デバイスの CLI にはアクセスできません。 • superuser — 現在のデバイスにフル アクセスできます。 • superreader — 現在のデバイスに読み取り専用でアクセスできます。 • deviceadmin — 新しいアカウントまたはバーチャル システムを定義する場 合を除き、選択したデバイスにフル アクセスできます。 • devicereader — 選択したデバイスに読み取り専用でアクセスできます。 管理アカウントの作成 [Device] > [Administrators] ファイアウォールへのアクセス権は管理者アカウントに基づいて制御されます。各管理者には、1 台 のデバイスか、1 台のデバイス上のバーチャル システムへのフル アクセス権または読み取り専用 アクセス権を付与できます。事前に定義されている admin アカウントには、フル アクセス権があ ります。 以下の認証オプションがサポートされています。 • Password authentication — ユーザーがログインするユーザー名とパスワードを入力します。 証明書は必要ありません。 • Client certificate authentication (web) — このチェック ボックスをオンにすると、ユーザー名 とパスワードは必要なく、ファイアウォールへのアクセス認証には証明書で十分になります。 • Public key authentication (SSH) — ファイアウォールへのアクセスが必要なマシン上で公開 / 秘密鍵のペアを生成して、ファイアウォールに公開鍵をアップロードして、ユーザーがユー ザー名とパスワードを入力せずに、安全にアクセスできるようにします。 注 : デバイス管理インターフェイスの安全性を維持するには、管理パスワード を定期的に変更することをお勧めします。管理パスワードには、小文字、大文 字、および数字を混在させてください。 表 8. 管理者アカウント設定 フィールド 説明 Name ユーザーのログイン名 ( 最大 15 文字 ) を入力します。名前の大文字と小 文字は区別されます。また、一意の名前にする必要があります。文字、 数字、ハイフン、およびアンダースコアのみを使用してください。 Authentication Profile 指定した認証プロファイルの設定に従って管理者認証を行うための認 証プロファイルを選択します。この設定は、RADIUS、LDAP、Kerberos またはローカル DB 認証に使用できます。 認証プロファイルのセットアップ手順の詳細は、50 ページの「認証プ ロファイルのセットアップ」を参照してください。 Palo Alto Networks デバイス管理 • 47 管理者ロール、プロファイル、およびアカウント 表 8. 管理者アカウント設定 ( 続き ) フィールド 説明 Use only client certificate authentication (web) Web アクセスのクライアント証明書認証を使用するには、このチェッ ク ボックスをオンにします。このチェック ボックスをオンにすると、 ユーザー名とパスワードは必要なく、ファイアウォールへのアクセス認 証には証明書で十分になります。 New Password Confirm New Password ユーザーのパスワード ( 最大 15 文字 ) を入力し、 確認のためにパスワード を再入力します。 これらのパスワードの大文字と小文字は区別されます。 Use Public Key Authentication (SSH) SSH 公開鍵認証を使用するには、 このチェック ボックスをオンにします。 [Import Key] をクリックし、公開鍵ファイルを参照して選択します。 アップロードした鍵は、読み取り専用テキスト エリアで表示されます。 サポート対象の鍵ファイルのフォーマットは、IETF SECSH と OpenSSH です。サポート対象の鍵アルゴリズムは、DSA (1024 ビット ) と RSA (768-4096 ビット ) です。 注 : 公開鍵認証が失敗すると、ログインとパスワード プロンプトがユー ザーに提示されます。 Role ロールをこのユーザーに割り当てるためのオプションを選択します。 このロールによって、ユーザーが表示および変更できる対象が決まり ます。 [Dynamic] を選択した場合、ドロップダウン リストから以下の事前指 定されたロールを選択できます。 • Superuser — 現在のデバイスにフル アクセスできます。 • Superuser (Read Only) — 現在のデバイスに読み取り専用でアクセス できます。 • Device Admin — 新しいアカウントまたはバーチャル システムの定 義を除き、選択したデバイスにフル アクセスできます。 • Device Admin (Read Only) — 選択したデバイスに読み取り専用で アクセスできます。 • Vsys Admin — 特定デバイスの選択したバーチャル システム ( 複数 のバーチャル システムが有効になっている場合 ) にフル アクセスで きます。 • Vsys Admin (Read Only) — 特定デバイスの選択したバーチャル シ ステムに読み取り専用でアクセスできます。 • Role Based Admin — 46 ページの「管理者ロールの定義」で定義され ているように、割り当てられたロールに基づいてアクセスできます。 [Role Based] を選択した場合、ドロップダウン リストから以前に定義 したロール プロファイルを選択します。ロール プロファイルの定義手 順の詳細は、46 ページの「管理者ロールの定義」を参照してください。 Virtual System 管理者からアクセス可能にするバーチャル システムを選択し、[Add] を クリックして [Available] エリアから [Selected] エリアに移動します。 注 : Panorama の「super user」の [Administrators] ページでは、アカウント がロックアウトされていると右列にロック アイコンが表示されます。管理者 は、このアイコンをクリックしてアカウントのロックを解除できます。 48 • デバイス管理 Palo Alto Networks 認証プロファイル 管理者のアクセス ドメインの指定 [Device] > [Access Domain] ファイアウォールへの管理者アクセスのドメインを指定するには、[Access Domain] ページを使用 します。アクセス ドメインは RADIUS ベンダー固有属性 (VSA) にリンクされており、管理者の認 証に RADIUS サーバーが使用されている場合にのみ、使用することができます。 管理者がファイアウォールにログインしようとすると、ファイアウォールは RADIUS サーバーに 管理者のアクセス ドメインを問い合わせます。関連付けられているドメインが RADIUS サーバー に存在する場合、その情報が返されて、管理者はデバイス上の当該アクセス ドメインで定義され たバーチャル システムだけに管理が制限されます。RADIUS が使用されていない場合、このペー ジのアクセス ドメイン設定は無視されます。 表 9. アクセス ドメイン設定 フィールド 説明 Name アクセス ドメインの名前 (最大 31 文字) を入力します。名前の大文字と 小文字は区別されます。また、一意の名前にする必要があります。文字、 数字、ハイフン、およびアンダースコアのみを使用してください。 Virtual Systems [Available] 列でバーチャル システムを選択し、[Add] をクリックして 選択します。 認証プロファイル 認証プロファイルには、ローカル データベース、RADIUS、LDAP、または Kerberos 設定を指定 します。また、認証プロファイルは、管理者アカウント、SSL-VPN アクセス、およびキャプティ ブ ポータルに割り当てることができます。管理者がファイアウォールに直接、あるいは SSL-VPN またはキャプティブ ポータル経由でログインしようとすると、ファイアウォールはアカウントに 割り当てられている認証プロファイルを確認し、その認証設定に基づいてユーザーを認証します。 ユーザーにローカル管理者アカウントがない場合、デバイスの [Setup] ページで指定された認証プ ロファイルによってユーザーの認証方法が決まります (30 ページの「管理設定の定義」を参照 )。 • [Setup] ページで [RADIUS] 認証設定を指定し、ファイアウォールにユーザーのローカル ア カウントがない場合、ファイアウォールは RADIUS サーバーにユーザーの認証情報 ( ロール を含む ) をリクエストします。さまざまなロールの属性が含まれる RADIUS ディレクトリ ファイルは、http://support. paloaltonetworks.com にあります。 • [Settings] ページで [None] が認証プロファイルとして指定されている場合、ファイアウォー ルはユーザーに指定された認証プロファイルに従ってローカルにユーザーを認証する必要が あります。 Palo Alto Networks デバイス管理 • 49 認証プロファイル 認証プロファイルのセットアップ [Device] > [Authentication Profile] ファイアウォールへのアクセスを管理するためにアカウントに適用できる認証設定を指定するに は、[Authentication Profile] ページを使用します。 表 10. 認証プロファイル設定 フィールド 説明 Name プロファイルの識別に使用する名前を入力します ( 最大 31 文字 )。名前の大文 字と小文字は区別されます。また、一意の名前にする必要があります。文字、 数字、スペース、ハイフン、およびアンダースコアのみを使用してください。 Shared デバイスが [Multiple Virtual System] モードである場合、プロファイルをすべ てのバーチャル システムで共有できるようにするには、このチェック ボック スをオンにします。 Lockout Time 失敗回数が最大試行回数に達したときのユーザーのロックアウト時間を分単 位で入力します (0 ~ 60 分、デフォルトは 0)。0 を指定すると、手動でロック解 除するまでロックアウト状態が続きます。 Failed Attempts 許容される最大ログイン試行失敗回数を入力します (1 ~ 10、デフォルトは 0)。 この回数に達するとユーザーはロックアウトされます。0 にすると、無制限に なります。 Allow List 認証を明示的に許可するユーザーとグループを指定します。[Edit Allow List] をクリックして、以下のいずれかを実行します。 • [Available] 列の該当するユーザーやユーザー グループの横にあるチェック ボッ クスをオンにし、[Add] クリックしてそれらを [Selected] 列に追加します。 • すべてのユーザーに適用するには、[All] チェック ボックスを使用します。 • [Search] フィールドに名前の最初の数文字を入力すると、その文字で始まる ユーザーおよびユーザー グループがすべて表示されます。リストの項目を選 択すると [Available] 列のチェック ボックスがオンになります。このプロセ スを必要な回数だけ繰り返し、次に [Add] をクリックします。 • ユーザーまたはユーザー グループを削除するには、[Selected] 列の該当する チェック ボックスをオンにして [Remove] をクリックするか、[any] を選択 してすべてのユーザーをクリアします。 Authentication 認証のタイプを選択します。 • None — ファイアウォールで認証を使用しません。 • Local DB — ファイアウォールの認証データベースを使用します。 • RADIUS — 認証に RADIUS サーバーを使用します。 • LDAP — 認証方法として LDAP を使用します。 • Kerberos — 認証方法として Kerberos を使用します。 Server Profile 認証方法として RADIUS、LDAP、または Kerberos を選択した場合、ドロップ ダウン リストから認証サーバーを選択します。サーバーは [Server] ページで 設定されます。52 ページの「RADIUS サーバーの設定」、53 ページの「LDAP サーバーの設定」、および 54 ページの「Kerberos 設定 の設定 (Active Directory のネイティブ認証 )」を参照してください。 Login Attribute 認証方法として [LDAP] を選択した場合、ユーザーを一意に識別する LDAP ディレクトリ属性を入力します。 50 • デバイス管理 Palo Alto Networks 認証プロファイル 表 10. 認証プロファイル設定 ( 続き ) フィールド 説明 Password Expiration Warning 認証方法として [LDAP] を選択した場合、パスワードの有効期限が切れる何日 前に自動メッセージをユーザーに送信するのかを入力します。このフィールド を 空 白 の まま に す る と、警 告 が 表 示さ れ な く な りま す。 こ れ は、Active Directory、eDirectory、および Sun ONE Directory のデータベースでサポート されています。 この設定は SSL-VPN で使用されます。詳細は、265 ページの「GlobalProtect の 設定」を参照してください。 スクリプトを編集すれば、SSL-VPN のログイン ページに有効期限切れの警告 メッセージが表示されるようにカスタマイズできます。 <SCRIPT> function getPassWarnHTML(expdays) { var str = "Your password will expire in " + expdays + " days"; return str; } </SCRIPT> str 変数の値を変更すると、表示されるメッセージが変わります。 ローカル ユーザー データベースの作成 リモート アクセス ユーザー、管理者、およびキャプティブ ポータル ユーザーの認証情報を格納す るためのデータベースをファイアウォール上に設定できます。 ローカル ユーザーの追加 [Device] > [Local User Database] > [Users] ユーザー情報をローカル データベースに追加するには、[Local Users] ページを使用します。 表 11. ローカル ユーザー設定 フィールド 説明 Local User Name ユーザーを識別する名前を入力します ( 最大 31 文字 )。名前の大文字と小文字 は区別されます。また、一意の名前にする必要があります。文字、数字、スペー ス、ハイフン、およびアンダースコアのみを使用してください。 Location バーチャル システムを 1 つ選択するか、または [Shared] を選択してすべての バーチャル システムで証明書を使用可能にします。 Mode 以下のいずれかの認証オプションを指定します。 • Password — ユーザーのパスワードを入力および確認します。 • Phash — ハッシュされたパスワード文字列を入力します。 Enable Palo Alto Networks ユーザー アカウントをアクティベーションするには、このチェック ボックス をオンにします。 デバイス管理 • 51 認証プロファイル ローカル ユーザー グループの追加 [Device] > [Local User Database] > [User Groups] ユーザー グループ情報をローカル データベースに追加するには、[Local User Groups] ページを使 用します。 表 12. ローカル ユーザー グループ設定 フィールド 説明 Local User Group Name グループの識別に使用する名前 ( 最大 31 文字 ) を入力します。名前の大文字と 小文字は区別されます。また、一意の名前にする必要があります。文字、数字、 スペース、ハイフン、およびアンダースコアのみを使用してください。 Location バーチャル システムを 1 つ選択するか、または [Shared] を選択してすべての バーチャル システムで証明書を使用可能にします。 All Local Users [Add] をクリックし、グループに追加するユーザーを選択します。 RADIUS サーバーの設定 [Device] > [Server Profiles] > [RADIUS] 認証プロファイルで識別される RADIUS サーバーを設定するには、[RADIUS] ページを使用しま す。49 ページの「認証プロファイル」を参照してください。 表 13. RADIUS サーバー設定 フィールド 説明 Name サーバーを識別する名前を入力します ( 最大 31 文字 )。名前の大文字と小文字 は区別されます。また、一意の名前にする必要があります。文字、数字、スペー ス、ハイフン、およびアンダースコアのみを使用してください。 Location バーチャル システムを選択するか、[Shared] を選択してすべてのバーチャル システムでプロファイルを使用可能にします。 Administrator Use Only 管理者の認証のみにこのサーバー プロファイルを使用します。 Domain RADIUS サーバーのドメインを入力します。このドメインの設定は、ユーザー がログイン時にドメインを指定しなかった場合に使用されます。 Timeout 認証リクエストがタイムアウトするまでの時間を入力します (1 ~ 30 秒、デ フォルトは 3 秒 )。 Retries タイムアウト後に行われる自動再試行回数を入力します (1 ~ 5、デフォルトは 3)。自動試行がこの回数に達すると、リクエストは失敗します。 Retrieve User Group RADIUS の VSA を使用してファイアウォールへのアクセス権を持つグループ を定義するには、このチェック ボックスをオンにします。 Servers 適切な順序で各サーバーの情報を設定します。 • Name — サーバーの識別に使用する名前を入力します。 • IP address — サーバーの IP アドレスを入力します。 • Port — 認証リクエストに使用するサーバーのポートを入力します。 • Secret/Confirm Secret — ファイアウォールと RADIUS サーバー間の接続の 検証と暗号化に使用する鍵を入力し、確認します。 52 • デバイス管理 Palo Alto Networks 認証プロファイル LDAP サーバーの設定 [Device] > [Server Profiles] > [LDAP] 認証プロファイルによる認証で使用される LDAP サーバーを設定するには、[LDAP] ページを使用 します。49 ページの「認証プロファイル」を参照してください。 表 14. LDAP サーバー設定 フィールド 説明 Name プロファイルの識別に使用する名前を入力します ( 最大 31 文字 )。名前の大文 字と小文字は区別されます。また、一意の名前にする必要があります。文字、 数字、スペース、ハイフン、およびアンダースコアのみを使用してください。 Location バーチャル システムを選択するか、[Shared] を選択してすべてのバーチャル システムでプロファイルを使用可能にします。 Administrator Use Only 管理者の認証のみにこのサーバー プロファイルを使用します。 Servers 最大 3 台の LDAP サーバーのホスト名、IP アドレス、およびポートを指定し ます。 Domain サーバーのドメイン名を入力します。 Type ドロップダウン リストからサーバー タイプを選択します。 Base ユーザーまたはグループ情報の検索を絞り込むための、ディレクトリ サーバー のルート コンテキストを指定します。 Bind DN ディレクトリ サーバーのログイン名 ( 識別名 ) を指定します。 Bind Password/Confirm Bind Password バインド アカウントのパスワードを指定します。エージェントは暗号化したパ スワードを設定ファイルに保存します。 SSL セキュア SSL または TLS (Transport Layer Security) 通信を Palo Alto Networks のデバイスとディレクトリ サーバーの間で使用するには、オンにします。 Time Limit ディレクトリ検索を実行するときの時間制限を指定します (0 ~ 60 秒、デフォ ルトは 30 秒 )。 Bind Time Limit ディレクトリ サーバーに接続するときの時間制限を指定します (0 ~ 60 秒、デ フォルトは 30 秒 )。 Retry Interval システムが LDAP サーバーへの接続試行に失敗してから次に接続を試みるま での間隔を指定します (1 ~ 3600 秒 )。 Palo Alto Networks デバイス管理 • 53 認証シーケンス Kerberos 設定 の設定 (Active Directory のネイティブ認証 ) [Device] > [Server Profiles] > [Kerberos] RADIUS に対応するためにユーザーが Internet Authentication Service (IAS) を起動する必要のな い Active Directory 認証を設定するには、[Kerberos] ページを使用します。Kerberos サーバーを設 定すると、ドメイン コントローラに対してユーザーをネイティブに認証できます。 Kerberos を設定すると、認証プロファイルを定義するときに Kerberos をオプションとして使用で きるようになります。49 ページの「認証プロファイル」を参照してください。 ユーザー アカウントが以下のいずれかの形式で識別されるように Kerberos を設定できます。 domain と realm は Kerberos サーバーの設定時に指定されます。 • domain\username • username@realm • username 表 15. Kerberos サーバー設定 フィールド 説明 Name サーバーを識別する名前を入力します ( 最大 31 文字 )。名前の大文字と小文字 は区別されます。また、一意の名前にする必要があります。文字、数字、スペー ス、ハイフン、およびアンダースコアのみを使用してください。 Location バーチャル システムを選択するか、[Shared] を選択してすべてのバーチャル システムでプロファイルを使用可能にします。 Administrator Use Only 管理者の認証のみにこのサーバー プロファイルを使用します。 Realm ユーザーのログイン名のホスト名部分を指定します ( 最大 127 文字 )。 例 : ユーザー アカウント名が user@example.local の場合、レルムは example.local になります。 Domain ユーザー アカウントのドメインを指定します ( 最大 31 文字 )。 Servers Kerberos サーバーごとに、[Add] をクリックして以下の設定を指定します。 • • • Server — サーバーの IP アドレスを入力します。 Host — サーバーの FQDN を入力します。 Port — サーバーと通信するためのポート番号を入力します ( 任意 )。 認証シーケンス 環境によっては、ユーザー アカウントが複数のディレクトリに存在することがあります。Guest ア カウントや他のアカウントも別のディレクトリに格納されている場合があります。認証シーケン スは、ユーザーがファイアウォールにログインしようとしたときに順番に適用される一連の認証プ ロファイルです。ファイアウォールは、ユーザーを識別するまで各プロファイルを順番に試してい きます。認証シーケンスのすべてのプロファイルで認証が失敗した場合にのみファイアウォール へのアクセスが拒否されます。 たとえば、Active Directory、LDAP、ローカル ファイアウォール データベースの順番で認証され る認証シーケンスを設定できます。 54 • デバイス管理 Palo Alto Networks クライアント証明書プロファイル 認証シーケンスのセットアップ [Device] > [Authentication Sequence] ユーザーがファイアウォールへのアクセスをリクエストしたときに順番に試行される一連の認証 プロファイルを設定するには、[Authentication Sequence] ページを使用します。シーケンスのい ずれかの認証プロファイルを使用して認証が成功した場合、ユーザーにアクセスが許可されます。 詳細は、49 ページの「認証プロファイル」を参照してください。 表 16. 認証シーケンス設定 フィールド 説明 Profile Name プロファイルの識別に使用する名前を入力します ( 最大 31 文字 )。名前の大文 字と小文字は区別されます。また、一意の名前にする必要があります。文字、 数字、スペース、ハイフン、およびアンダースコアのみを使用してください。 Shared デバイスが [Multiple Virtual System] モードである場合、すべてのバーチャル システムで共有できるようにするには、このチェック ボックスをオンにします。 Lockout Time 失敗回数が最大試行回数に達したときのユーザーのロックアウト時間を分単 位で入力します (0 ~ 60 分、デフォルトは 0)。0 を指定すると、手動でロック解 除するまでロックアウト状態が続きます。 Failed Attempts 許容される最大ログイン試行失敗回数を入力します (1 ~ 10、デフォルトは 0)。 この回数に達するとユーザーはロックアウトされます。0 にすると、無制限に なります。 Profile List 認証シーケンスに含める認証プロファイルを選択します。リストの順番を変更 するには、エントリを選択して [Move Up] または [Move Down] をクリックし ます。 クライアント証明書プロファイル [Device] > [Client Certificate Profile] クライアント証明書プロファイルを作成し、プロファイルを [Setup] ページで管理者ログインに添 付するか、SSL-VPN ログインに添付して認証またはキャプティブ ポータルで使用することができ ます。30 ページの「管理設定の定義」および 233 ページの「キャプティブ ポータル」を参照して ください。 表 17. クライアント証明書プロファイル設定 ページ タイプ 説明 Name プロファイルの識別に使用する名前を入力します ( 最大 31 文字 )。名前の大 文字と小文字は区別されます。また、一意の名前にする必要があります。文 字、数字、スペース、ハイフン、およびアンダースコアのみを使用してくだ さい。 Location デバイスが [Multiple Virtual System] モードである場合、すべてのバーチャ ル システムで共有できるようにするには、このチェック ボックスをオンに します。 Username Field ドロップダウン リストから、ユーザー名オプションを選択します。 Domain プロファイルのドメインを入力します。 Palo Alto Networks デバイス管理 • 55 ファイアウォール ログ 表 17. クライアント証明書プロファイル設定 ( 続き ) ページ タイプ 説明 CA Certificates ドロップダウン リストから認証局 (CA) 証明書を選択し、デフォルトの OCSP URL を指定し、CA 証明書を検証するオプションを選択して、[Add] をクリックします。証明書を追加する場合は、この操作を繰り返します。 Use CRL 証明書無効リスト (CRL) を使用するには、このチェック ボックスをオンに します。 Use OCSP OCSP を使用するには、このチェック ボックスをオンにします。 CRL Receive Timeout CRL リクエストがタイムアウトするまでの時間を指定します (1 ~ 60 秒 )。 OCSP Receive Timeout OCSP リクエストがタイムアウトするまでの時間を指定します (1 ~ 60 秒 )。 Certificate Status Timeout 証明書状態のリクエストがタイムアウトするまでの時間を入力します (1 ~ 60 秒 )。 Block Unknown Certificate 証明書状態が不明の場合にセッションをブロックするには、このチェック ボックスをオンにします。 Block Timeout Certificate タイムアウト時間内に証明書状態を取得できない場合にセッションをブ ロックするには、このチェック ボックスをオンにします。 ファイアウォール ログ [Monitor] > [Logs] ファイアウォールでは、設定の変更、システム イベント、セキュリティの脅威、およびトラフィッ ク フローが記録されたログが生成されます。ログごとに Panorama サーバーへのリモート ログの 記録を有効にし、SNMP トラップ、Syslog メッセージ、および電子メール通知を生成できます。 以下の表に、ログとログ オプションを示します。 表 18. ログのタイプと設定 ログ 説明 アラーム アラーム ログは、システムによって生成されたアラームの詳細情報を記録します。 このログの情報は、[Alarms] ウィンドウでも報告されます。66 ページの「アラー ムの表示」を参照してください。 設定 設定ログには、各設定の変更 ( 日時、管理者ユーザー名、および変更の失敗 / 成功 など ) が記録されます。 すべての設定ログ エントリは、Panorama、Syslog、および電子メール サーバーに 送信できますが SNMP トラップは生成できません。 ログ エントリの設定に関する詳細を表示するには、[After Change] 列の [Before Change] 上にカーソルを移動して、省略記号 をクリックします。ポップアップ ウィンドウが開いて、エントリの全詳細が表示されます。 データ フィルタリング データ フィルタリング ログには、セキュリティ ポリシーに関する情報が記録されま す。セキュリティ ポリシーを使用すると、クレジット カード番号や社会保障番号 などの機密情報が、ファイアウォールで保護されているエリアから外部に送信され るのを防止できます (175 ページの「データ フィルタリング プロファイル」 を参照)。 ファイル ブロッキング プロファイルを設定して特定のファイル タイプをブロッ クする場合、ファイル タイプとファイル名がデータ フィルタリング ログに記録さ れるため、何がブロックされたのかを把握することができます。 56 • デバイス管理 Palo Alto Networks ファイアウォール ログ 表 18. ログのタイプと設定 ( 続き ) ログ 説明 HIP 一致 HIP 一致ログは、GlobalProtect の Host Information Profile (HIP) 一致リクエスト を表示します。265 ページの「GlobalProtect の設定」を参照してください。 システム システム ログには、各システム イベント (HA の障害、リンク状態の変更、および 管理者のログイン / ログアウトなど ) が記録されます。各エントリには、日時、イ ベントの重大度、およびイベントの説明が含まれています。 システム ログ エントリは、重大度レベル別にリモートでログに記録できます。た とえば、[critical] または [high] のレベルのイベントのみを対象として SNMP ト ラップや電子メール通知を生成できます。 脅威 脅威ログには、ファイアウォールで生成された各セキュリティ アラームが記録さ れます。各エントリには、日時、脅威のタイプ ( ウイルスやスパイウェア / 脆弱性 のフィルタリング違反など )、送信元と宛先のゾーン、アドレス、ポート、アプリ ケーション名、アクション、重大度が含まれています。 脅威ログのエントリは、重大度別にリモートでログに記録できます。これを行うに は、ログ転送プロファイルを定義し、そのプロファイルをセキュリティ ルールに 割り当てます (146 ページの「セキュリティ ポリシー」を参照 )。ログのプロファイ ルが割り当てられたセキュリティ ルールに一致するトラフィックのみを対象とし て、脅威がリモートでログに記録されます。 脅威ログは、レポートの生成および Application Command Center で使用されます (201 ページの「レポートとログ」を参照 )。 トラフィック トラフィック ログには、各セッションの開始や終了のエントリを記録できます。各 エントリには、日時、送信元と宛先のゾーン、アドレス、ポート、アプリケーショ ン名、セッションに適用されているセキュリティ ルール、ルールのアクション ( 許 可、拒否、または廃棄 )Ingress/Egress インターフェイス、バイト数が含まれてい ます。 各セキュリティ ルールでは、ルールに一致するトラフィックを対象として、各セッ ションの開始や終了がローカルでログに記録されるかどうかが定義されます。 ルールに割り当てられたログ転送プロファイルによって、ローカルでログに記録さ れたエントリがリモートでも記録されるかどうかが決まります。 トラフィック ログは、レポートの生成および Application Command Center で使 用されます (201 ページの「レポートとログ」を参照 )。 URL フィルタリング Palo Alto Networks URL フィルタリング ログには、URL フィルタのエントリが記録されます。URL フィルタは、特定の Web サイトおよび Web サイト カテゴリへのアクセスをブ ロックしたり、ユーザーが禁止されている Web サイトにアクセスした場合にア ラートを生成したりします (170 ページの「URL フィルタリング プロファイル」を 参照 )。 デバイス管理 • 57 ファイアウォール ログ 設定のログ ファイアウォールの設定によって、ログ エントリを Panorama 中央管理システム、SNMP トラッ プ受信装置、Syslog サーバー、および電子メールのアドレスに送信できます。 以下の表に、リモート ログの宛先を示します。 表 19. リモート ログの宛先 宛先 説明 Panorama すべてのログ エントリは Panorama 中央管理システムに転送できます。Panorama サーバーのアドレスを指定する方法については、30 ページの「管理設定の定義」を 参照してください。 SNMP trap SNMP トラップは、システム、脅威、およびトラフィック ログ エントリの重大度 レベル別に生成できます。ただし、設定ログ エントリは対象外となります。SNMP トラップの宛先を定義する方法については、62 ページの「SNMP トラップの宛先 の設定」を参照してください。 Syslog Syslog メッセージは、システム、脅威、トラフィック、設定ログ エントリの重大 度レベル別に生成できます。Syslog の宛先を定義する方法については、64 ページの 「Syslog サーバーの設定」を参照してください。 Email 電子メールは、システム、脅威、トラフィック、および設定ログ エントリの重大 度レベル別に生成できます。電子メールのアドレスとサーバーを定義する方法に ついては、65 ページの「電子メール通知設定の指定」を参照してください。 ログのエクスポートのスケジューリング [Device] > [Scheduled Log Export] ログのエクスポートをスケジューリングして File Transfer Protocol (FTP) サーバーに CSV 形式で 保存できます。ログのプロファイルには、スケジュールと FTP サーバーの情報が含まれています。 たとえば、プロファイルを使用して、毎日 3:00 AM に前日のログを収集して特定の FTP サーバー に保存するように指定できます。 新しいエントリを作成してから [OK] をクリックすると、新しいプロファイルが [Scheduled Log Export] ページに追加されます。エクスポートが行われるには、 変更をコミットする必要があります。 表 20. スケジューリングされたログのエクスポート設定 フィールド 説明 Name プロファイルの識別に使用する名前を入力します ( 最大 31 文字 )。名前の大文 字と小文字は区別されます。また、一意の名前にする必要があります。文字、 数字、スペース、ハイフン、およびアンダースコアのみを使用してください。 プロファイルを作成した後でこの名前を変更することはできません。 Description 任意の説明を入力します。 Enabled ログのエクスポートのスケジューリングを有効にするには、このチェック ボッ クスをオンにします。 Log Type ログのタイプ ([traffic]、[threat]、[url]、[data]、または [hipmatch]) を選択しま す。デフォルトは [traffic] です。 Scheduled export start time (daily) エクスポートを開始する時間 (hh:mm) を 24 時間形式 (00:00 ~ 23:59) で入力し ます。 58 • デバイス管理 Palo Alto Networks ファイアウォール ログ 表 20. スケジューリングされたログのエクスポート設定 ( 続き ) フィールド 説明 Hostname エクスポートに使用する FTP サーバーのホスト名または IP アドレスを入力し ます。 Port FTP サーバーで使用するポート番号を入力します。デフォルトは 21 です。 Passive Mode エクスポートにパッシブ モードを使用するには、このチェック ボックスをオ ンにします。デフォルトでは、このオプションはオンになっています。 Username FTP サーバーへのアクセスに使用するユーザー名を入力します。デフォルトは [anonymous] です。 Password FTP サーバーへのアクセスに使用するパスワードを入力します。ユーザーが 「anonymous」の場合、パスワードは必要ありません。 ログ設定の設定の定義 [Device] > [Log Settings] > [Config] 設定ログの設定では、設定ログ エントリを指定します。このエントリは、Panorama を使用してリ モートでログに記録され、Syslog メッセージや電子メール通知として送信されます。 表 21. 設定ログの設定 フィールド 説明 Panorama 設定ログ エントリを Panorama 中央管理システムに送信できるようにするに は、このチェック ボックスをオンにします。 SNMP Trap 設定ログ エントリの SNMP トラップを生成するには、トラップ名を選択しま す。SNMP トラップの新しい宛先を指定する方法については、62 ページの 「SNMP トラップの宛先の設定」を参照してください。 Email 設定ログ エントリの電子メール通知を生成するには、適切な電子メール アド レスが指定されている電子メール設定の名前を選択します。新しい電子メー ル設定を指定する方法については、65 ページの「電子メール通知設定の指定」 を参照してください。 Syslog 設定ログ エントリの Syslog メッセージを生成するには、Syslog サーバーの名 前を選択します。新しい Syslog サーバーを指定する方法については、64 ペー ジの「Syslog サーバーの設定」を参照してください。 Palo Alto Networks デバイス管理 • 59 ファイアウォール ログ システム ログの設定の定義 [Device] > [Log Settings] > [System] システム ログの設定では、システム ログ エントリの重大度レベルを指定します。このエントリは、 Panorama を使用してリモートでログに記録され、SNMP トラップ、Syslog メッセージ、および電 子メール通知として送信されます。システム ログでは、システム イベント (HA の障害、リンク状 態の変更、および管理者のログイン / ログアウトなど ) が示されます。 表 22. システム ログの設定 フィールド 説明 Panorama 各重大度レベルのシステム ログ エントリが Panorama 中央管理システムに 送信 さ れ る よ うに す る に は、こ の チ ェッ ク ボ ッ ク ス をオ ン に し ま す。 Panorama サーバーのアドレスを指定する方法については、30 ページの「管 理設定の定義」を参照してください。 以下の重大度レベルがあります。 • Critical — HA フェールオーバーなどのハードウェア障害やリンク障害です。 • High — 外部デバイス (Syslog サーバーや RADIUS サーバーなど ) との接続 の切断など、深刻な問題です。 • Medium — アンチウイルス パッケージのアップグレードなど、中レベルの 通知です。 • Low — ユーザー パスワードの変更など、それほど重要ではない通知です。 • Informational — ログイン / ログオフ、管理者名やパスワードの変更、設定 の変更、および重大度レベルに含まれない他のすべてのイベントです。 SNMP Trap Email Syslog 重大度レベルごとに SNMP、Syslog、電子メールの設定を選択します。この 設定では、システム ログ エントリの追加の宛先を指定します。新しい宛先を 定義する方法については、以下のセクションを参照してください。 • 62 ページの「SNMP トラップの宛先の設定」 • 64 ページの「Syslog サーバーの設定」 • 65 ページの「電子メール通知設定の指定」 HIP 一致ログの設定の定義 [Device] > [Log Settings] > [HIP Match] ホスト インフォーメーション プロファイル (HIP) 一致ログの設定は、GlobalProtect クライアント に適用されるセキュリティ ポリシーに関する情報を提供するために使用されます。詳細は、 265 ページの「概要」を参照してください。 表 23. HIP 一致ログの設定 フィールド 説明 Panorama 設定ログ エントリを Panorama 中央管理システムに送信できるようにするに は、このチェック ボックスをオンにします。 SNMP Trap HIP 一致ログ エントリの SNMP トラップを生成するには、トラップの宛先の 名前を選択します。SNMP トラップの新しい宛先を指定する方法については、 62 ページの「SNMP トラップの宛先の設定」を参照してください。 60 • デバイス管理 Palo Alto Networks ファイアウォール ログ 表 23. HIP 一致ログの設定 ( 続き ) フィールド 説明 Email 設定ログ エントリの電子メール通知を生成するには、適切な電子メール アド レスが指定されている電子メール設定の名前を選択します。新しい電子メー ル設定を指定する方法については、65 ページの「電子メール通知設定の指定」 を参照してください。 Syslog 設定ログ エントリの Syslog メッセージを生成するには、Syslog サーバーの名 前を選択します。新しい Syslog サーバーを指定する方法については、64 ペー ジの「Syslog サーバーの設定」を参照してください。 アラーム ログの設定の定義 [Device] > [Log Settings] > [Alarms] 一定期間繰り返しセキュリティ ルール ( またはルール グループ ) に該当する場合、[Alarms] ペー ジを使用して通知を設定します。 表 24. アラーム ログの設定 フィールド 説明 Enable Alarms このページに表示されたイベントに基づいてアラームを有効にします。 Enable CLI Alarm Notifications アラームが発生するたびに CLI アラーム通知を有効にします。 Enable Web Alarm Notifications ウィンドウを開いてユーザー セッションに関するアラーム ( ユーザー セッ ションの発生や承認のタイミングなど ) を表示します。 Enable Audible Alarms Web インターフェイスまたは CLI に未承認のアラームがある場合に可聴音 を再生し続けます。 Encryption/Decryption Failure Threshold アラームが生成されるまでの暗号化 / 復号化の失敗回数を指定します。 Log DB Alarm Threshold % Full ログのデータベースが指定した最大サイズのパーセンテージに達した場合に アラームを生成します。 Security Policy Limits [Security Violations Time Period] 設定で指定した期間 ( 秒数 ) に特定の IP ア ドレスまたはポートが [Security Violations Threshold] 設定で指定した回数 にヒットした場合、アラームが生成されます。 Security Rule Group Limits [Security Rule Group Violations Time Period] フィールドで指定した期間に 一連のルールが [Security Rule Group Violations Threshold] フィールドで 指定したルール制限違反数に達した場合、アラームが生成されます。セッショ ンが明示的な拒否ポリシーに一致するときに、違反が数えられます。 [Security Rule Group Tags] を使用して、ルールの制限しきい値でアラームが 生成されるタグを指定します。これらのタグは、セキュリティ ポリシーを定 義するときに指定できるようになります。 Palo Alto Networks デバイス管理 • 61 SNMP トラップの宛先の設定 表 24. アラーム ログの設定 ( 続き ) フィールド 説明 Selective Audit 注 : これらの設定は、[Common Criteria] モードの場合にのみ [Alarms] ペー ジに表示されます。 以下の設定を指定します。 • CC Specific Logging — 情報セキュリティ国際評価基準 (CC) に準拠するた めに必要な詳細なログ記録が有効になります。 • Login Success Logging — ファイアウォールへの管理者ログインの成功が 記録されます。 • Login Failure Logging — ファイアウォールへの管理者ログインの失敗が 記録されます。 • Suppressed Administrators — リストの管理者がファイアウォール設定に 対して行った変更のログが生成されません。 ログ設定の管理 [Device] > [Log Settings] > [Manage Logs] このページにあるリンクをクリックして、表示されたログをクリアします。 SNMP トラップの宛先の設定 [Device] > [Server Profiles] > [SNMP Trap] システム、トラフィック、または脅威の各ログの SNMP トラップを生成するには、SNMP トラッ プの宛先を 1 つ以上指定する必要があります。トラップの宛先を定義したら、システム ログ エン トリに使用できます (60 ページの「システム ログの設定の定義」を参照 )。 表 25. SNMP トラップの宛先設定 フィールド 説明 Name SNMP プロファイルの名前を入力します (最大 31 文字)。名前の大文字と小文 字は区別されます。また、一意の名前にする必要があります。文字、数字、ス ペース、ハイフン、およびアンダースコアのみを使用してください。 Shared デバイスが [Multiple Virtual System] モードである場合、すべてのバーチャル システムで共有できるようにするには、このチェック ボックスをオンにします。 Version SNMP バージョンを選択するか、SNMP を無効にします。デフォルトは disabled です。 V2c settings V2c を選択する場合は、以下の設定を指定します。 • Server — SNMP トラップの宛先の名前を指定します ( 最大 31 文字 )。 • Manager — トラップの宛先の IP アドレスを指定します。 • Community — 指定した宛先にトラップを送信するために必要なコミュニ ティ文字列を指定します ( デフォルトは public)。 62 • デバイス管理 Palo Alto Networks SNMP トラップの宛先の設定 表 25. SNMP トラップの宛先設定 フィールド 説明 V3 settings V3 を選択する場合は、以下の設定を指定します。 • Server — SNMP トラップの宛先の名前を指定します ( 最大 31 文字 )。 • Manager — トラップの宛先の IP アドレスを指定します。 • User — SNMP ユーザーを指定します。 • EngineID — SNMP サーバーのエンジン ID を指定します。 • Auth Password — SNMP ユーザーの認証パスワードを指定します。 • Priv Password — SNMP ユーザーの暗号化パスワードを指定します。 注 : システム ログの設定やログのプロファイルで使用されている宛先は削除 しないでください。 SNMP MIB ファイアウォールでは、以下の SNMP MIB がサポートされています。 • SNMPv2-MIB • DISMAN-EVENT-MIB • IF-MIB • HOST-RESOURCES-MIB • ENTITY-SENSOR-MIB • PAN-COMMON-MIB • PAN-TRAPS-MIB MIB の完全なセットは、Palo Alto Networks サポート サイトの Technical Documentation セクショ ン (http://support.paloaltonetworks.com) で入手できます。 Palo Alto Networks デバイス管理 • 63 Syslog サーバーの設定 Syslog サーバーの設定 [Device] > [Server Profiles] > [Syslog] システム、設定、トラフィック、脅威、または HIP Match ログの Syslog メッセージを生成するに は、Syslog サーバーを 1 つ以上指定する必要があります。Syslog サーバーを定義したら、システム ログ エントリと設定ログ エントリに使用できます (60 ページの「システム ログの設定の定義」を 参照 )。 表 26. 新しい Syslog サーバー フィールド 説明 Name Syslog プロファイルの名前 ( 最大 31 文字 ) を入力します。名前の大文字と小 文字は区別されます。また、一意の名前にする必要があります。文字、数字、 スペース、ハイフン、およびアンダースコアのみを使用してください。 Shared デバイスが [Multiple Virtual System] モードである場合、すべてのバーチャル システムで共有できるようにするには、このチェック ボックスをオンにします。 [Servers] タブ Name [Add] をクリックし、Syslog サーバーの名前 ( 最大 31 文字 ) を入力します。名 前の大文字と小文字は区別されます。また、一意の名前にする必要がありま す。文字、数字、スペース、ハイフン、およびアンダースコアのみを使用して ください。 サーバー Syslog サーバーの IP アドレスを入力します。 Port Syslog サーバーのポート番号 ( 標準のポート番号は 514) を入力します。 Facility ドロップダウン リストからレベルを選択します。 [Custom Log Format] タブ Log Type ログ タイプをクリックして、カスタム ログ形式を指定するためのダイアログ ボックスを開きます。ダイアログ ボックスで、フィールドをクリックして [Log Format] エリアに追加します。その他のテキスト文字列は、[Log Format] エリアで直接編集できます。[OK] をクリックして設定を保存します。 Escaping エスケープ シーケンスを指定します。[Escaped characters] ボックスを使用し て、エスケープするすべての文字をスペースなしで表示します。 注 : システムまたは設定のログの設定やログのプロファイルで使用されている サーバーは削除できません。 64 • デバイス管理 Palo Alto Networks 電子メール通知設定の指定 電子メール通知設定の指定 [Device] > [Server Profiles] > [Email] システム、設定、トラフィック、または脅威ログの電子メール メッセージを生成するには、電子 メール設定を指定する必要があります。電子メール設定を定義したら、システム ログ エントリと 設定ログ エントリ用に電子メール通知を有効にできます (60 ページの「システム ログの設定の定 義」を参照 )。電子メール レポート配信のスケジューリングの詳細は、223 ページの「電子メール で配信するレポートのスケジューリング」を参照してください。 表 27. 電子メール通知設定 フィールド 説明 Name 電子メール設定の名前 (最大 31 文字) を入力します。名前の大文字と小文字は 区別されます。また、一意の名前にする必要があります。文字、数字、スペー ス、ハイフン、およびアンダースコアのみを使用してください。 Shared デバイスが [Multiple Virtual System] モードである場合、プロファイルをすべ てのバーチャル システムで共有できるようにするには、このチェック ボック スをオンにします。 [Servers] タブ Server サーバーの識別に使用する名前を入力します (1 ~ 31 文字 )。 Display Name 電子メールの [From] フィールドに表示される名前を入力します。 From 送信元の電子メール アドレス (「security_alert@company.com」など ) を入力 します。 To 受信者の電子メール アドレスを入力します。 And Also To 別の受信者の電子メール アドレスを入力します ( 任意 )。 Gateway 電子メールの送信に使用される Simple Mail Transport Protocol (SMTP) サー バーの IP アドレスまたはホスト名を入力します。 [Custom Log Format] タブ Log Type ログ タイプをクリックして、カスタム ログ形式を指定するためのダイアログ ボックスを開きます。ダイアログ ボックスで、フィールドをクリックして [Log Format] エリアに追加します。[OK] をクリックして設定を保存します。 Escaping エスケープされた文字を組み込み、エスケープ文字を指定します。 注 : システムまたは設定のログ設定やログのプロファイルで使用されている電 子メール設定は削除できません。 Palo Alto Networks デバイス管理 • 65 アラームの表示 アラームの表示 Web インターフェイスの右下隅にある [Alarms] アイコン をクリックして、いつでもア ラームの現在のリストを表示できます。これにより、現在のアラーム ログに未承認のアラームおよ び承認済みのアラームを表示するウィンドウが開きます。アラームを承認するには、チェック ボッ クスをオンにして [Acknowledge] をクリックします。このアクションは、 Acknowledge Alarms リ ストにアラームを移動します。アラーム ウィンドウには、ページ送り、列のソート、およびリフ レッシュ制御も含まれます。 Alarms ボ タ ン は、[Device] > [Log Settings] > [Alarms] > [Alarm Settings] ペ ー ジ で [Enable Alarms] チェック ボックスがオンのときにのみ認識できます。 Netflow 設定の設定 [Device] > [Server Profiles] > [Netflow] ファイアウォールは、単向性の IP トラフィック フロー情報付きの Netflow Version 9 レコードを 外部のコレクターに生成して、エクスポートできます。Netflow エクスポートは、システム内のす べての入力インターフェイスで有効にできます。別個のテンプレート レコードは IPv4、NAT を利 用した IPv4、および IPv6 トラフィックに対して定義され、App-ID および User-ID の PAN-OS 特 定フィールドが任意でエクスポートされます。この機能は、4000 シリーズ モデル以外のすべての プラットフォームで使用できます。 ファイアウォールは標準の Netflow テンプレートをサポートし、データに基づいて正しいものを エクスポートします。 Netflow データ エクスポートを設定するには、Netflow サーバー プロファイルを定義します。こ れは、エクスポートされたデータを受け取る Netflow サーバーと共にエクスポートの頻度を指定 します。 そして既存のファイアウォール インターフェイスにプロファイルを割り当てるときに、そのイン ターフェイスにフローするすべてのトラフィックが指定されたサーバーにエクスポートされます。 すべてのインターフェイス タイプは、Netflow プロファイルの割り当てをサポートします。イン ターフェイスへの Netflow プロファイルの割り当ての詳細は、97 ページの「ファイアウォール イ ンターフェイス」を参照してください。 表 28. Netflow 設定 フィールド 説明 Name Netflow 設定の名前 (最大 31 文字 ) を入力します。名前の大文字と小文字は区 別されます。また、一意の名前にする必要があります。文字、数字、スペー ス、ハイフン、およびアンダースコアのみを使用してください。 Template Refresh Rate Netflow テンプレートがリフレッシュするまでの分数またはパケット数を指 定します ( 分の範囲は 1 ~ 3600、デフォルトは 30 分、パケットの範囲は 1 ~ 600、デフォルトは 20)。 Active Timeout データ レコードが各セッションでエクスポートされた頻度を指定します ( 分 数 )。 Export PAN-OS Specific Field Types Netflow レコードの App-ID と User-ID などの PAN-OS 特定フィールドをエ クスポートします。 66 • デバイス管理 Palo Alto Networks セキュリティ証明書のインポート、エクスポート、および生成 表 28. Netflow 設定 ( 続き ) フィールド 説明 Servers Name サーバーを識別する名前を指定します ( 最大 31 文字 )。名前の大文字と小文字 は区別されます。また、一意の名前にする必要があります。文字、数字、ス ペース、ハイフン、およびアンダースコアのみを使用してください。 Server サーバーのホスト名または IP アドレスを指定します。プロファイルごとに最 大 2 つのサーバーを追加できます。 Port サーバー アクセスのポート番号を指定します ( デフォルトは 2055)。 セキュリティ証明書のインポート、エクスポート、および 生成 [Device] > [Certificates] [Certificates] ページでは、以下のセキュリティ証明書を生成できます。 • Forward Trust — この証明書は、クライアントの接続先サーバーがファイアウォールの信頼さ れた認証局リストにある認証局によって署名される場合、復号時にクライアントに対して提示 されます。転送プロキシの復号化で自己署名証明書を使用する場合は、[Certificates] ページで 証明書名をクリックし、[Forward Trust Certificate] チェック ボックスをオンにする必要があ ります。 • Forward Untrust — この証明書は、クライアントの接続先サーバーがファイアウォールの信 頼された認証局リストにない認証局によって署名される場合、復号時にクライアントに対して 提示されます。 • Trusted Root CA — この証明書は、転送復号化の目的で、信頼された認証局としてマークさ れます。 ファイアウォールは、トラフィックを復号化するときにアップストリームの証明書が信頼され た認証局から発行されたものかどうかを確認します。発行されたものではない場合、特殊な信 頼されていない認証局証明書を使用して復号化証明書に署名します。この場合、ユーザーが ファイアウォールにアクセスすると通常の証明書エラー ページが表示され、ログインするに は警告を無視する必要があります。 ファイアウォールには、既存の信頼された認証局が数多く登録されたリストが設定されていま す。ここでの信頼されたルート認証局証明書とは、組織用に追加される信頼された認証局であ り、予めインストールされている信頼された認証局リストに含まれるものではありません。 • SSL Exclude — この証明書は、SSL 転送プロキシの復号化中に接続が検出された場合、その 接続を除外します。 • Certificate for Secure Web GUI — この証明書により、ファイアウォール Web インターフェ イスにアクセスできるようユーザーを認証します。証明書のチェック ボックスをオンにする と、ファイアウォールでは、次のコミット操作に続いて、その後のすべての Web ベース管理 セッションでこの証明書を使用します。 Palo Alto Networks デバイス管理 • 67 セキュリティ証明書のインポート、エクスポート、および生成 必要に応じて、[Certificates] ページで以下の機能を実行します。 • Web インターフェイス証明書、信頼された認証局証明書、または SSL 転送プロキシ証明書を インポートするには、以下の手順を実行します。 a. [Import] をクリックします。 b. 証明書を識別する名前を入力します。 c. 証明書ファイルを選択します。PKCS #12 証明書と秘密鍵をインポートする場合、これは両 方のオブジェクトを含んだ 1 つのファイルになります。PEM を使用する場合、これはパブ リック証明書のみになります。 d. [Import Private Key] チェック ボックスをクリックして秘密鍵をロードし、パスフレーズ を 2 回入力します。PKCS #12 を使用する場合、鍵ファイルは上の手順で選択されました。 PEM を使用する場合は、暗号化された秘密鍵ファイル ( 通常のファイル名は *.key) を参照 します。 e. ドロップダウン リストから、証明書のインポート先のバーチャル システムを選択します。 • 証明書をエクスポートするには、以下の手順を実行します。 a. エクスポートする証明書を選択します。 b. [Export] をクリックします。 c. エクスポートする証明書で使用するファイル形式 (PKCS #12 の場合の .pfx または .pem) を選択します。 d. [Export Private Key] チェック ボックスをオンにしてパスフレーズを 2 回入力し、証明書 の他に秘密鍵をエクスポートします。 e. [Save] をクリックし、ファイルをコピーするローカル コンピュータの場所を選択します。 • 証明書を生成するには、以下の手順を実行します。 a. [Generate] をクリックして [Generate Certificate] ウィンドウを開き、以下の表に示す情報 を指定します。 a. 証明書を生成したら、証明書リンクをクリックし、証明書タイプ (Forward Trust、Forward Untrust、Trusted Root CA、SSL Exclude、または Certificate for Secure Web GUI) を指定 します。 注 : Panorama を使用している場合、Panorama サーバーの自己署名証明書の生成 に関するオプションがあります。Panorama の詳細は、299 ページの「Panorama を使用したデバイス中央管理」を参照してください。 • 高可用性 (HA) の鍵をインポートするには、[Import HA Key] をクリックし、参照してイン ポートする鍵ファイルを指定します。HA の鍵をエクスポートするには、[Export HA Key] ク リックして、ファイルを保存する場所を指定します。HA 鍵は、2 つのファイアウォール間で スワッピングされる必要があります。つまり、ファイアウォール 1 の鍵はエクスポートされて から、ファイアウォール 2 にインポートされる必要があります。逆の場合も同じです。 68 • デバイス管理 Palo Alto Networks セキュリティ証明書のインポート、エクスポート、および生成 表 29. 証明書を生成するための設定 フィールド 説明 Certificate Name 証明書を識別する名前 (最大 31 文字) を入力します。名前の大文字と小文字は 区別されます。また、一意の名前にする必要があります。文字、数字、スペー ス、ハイフン、およびアンダースコアのみを使用してください。名前のみが必 須です。 Common Name 証明書に表示される IP アドレスまたは FQDN を入力します。 Location バーチャル システムを 1 つ選択するか、または [Shared] を選択してすべての バーチャル システムで証明書を使用可能にします。 Signed By ファイアウォールで生成された認証局証明書のリストから選択します。選択 した証明書を使用して、作成中の証明書に署名できます。 Certificate Authority この証明書を認証局としてマークし、ファイアウォールの他の証明書への署 名で使用できるようにします。 Number of Bits 証明書の鍵長を選択します。 Digest 証明書のダイジェスト アルゴリズムを選択します。 Country State Locality Organization Department Email 証明書の識別に使用するその他の情報を指定します ( 任意 )。 国コードの定義リストを表示するには、[ISO 6366 Country Codes] リンクを クリックします。 ファイアウォールでの秘密鍵とパスワードの暗号化 [Device] > [Master Key and Diagnostics] [Master Key and Diagnostics] ページを使用して、ファイアウォールで秘密鍵を暗号化するための マスター鍵を指定します。秘密鍵は、新しいマスター鍵が指定されていない場合でも、デフォルト で暗号化形式を使用して保存されます。 表 30. [Master Key and Diagnostics] の設定項目 フィールド 説明 Master Key ファイアウォールでのすべての秘密鍵とパスワードの暗号化で現在使用され ている鍵を指定します。 New Master Key マスター鍵を変更するには、新しい鍵を入力して確認します。 Confirm Master Key Life Time マスター鍵が期限切れになるまでの期間を日数と時間数で指定します。 Time for Reminder 有効期限が迫っていることをユーザーに通知する時期を、期限切れまでの日 数と時間数で指定します。 Common Criteria [Common Criteria] モードでは、別のボタンを使用して、暗号化アルゴリズム 自己テストとソフトウェア整合性自己テストを実行できます。また、この 2 つ の自己テストを実行する時刻を指定するためのスケジューラも用意されてい ます。 Palo Alto Networks デバイス管理 • 69 高可用性 高可用性 PAN-OS では、アクティブ / パッシブおよびアクティブ / アクティブの高可用性 (HA) をサポート します。 注 : HA ペアでは、両方のファイアウォールで同じモデルとライセンスを使用する必 要があります。状態同期化が有効になっている場合、スイッチオーバーの後も既存の セッションは維持されますが、脅威防御機能は継続されません。脅威対策は新しい セッションに適用されます。 アクティブ / パッシブの HA アクティブ / パッシブ コンフィグでは、2 つのデバイスで HA グループを形成して冗長な構成にし ています。2 つのファイアウォールは相互にコンフィグをミラーリングします。何かの理由でアク ティブ ファイアウォールで障害が発生すると、パッシブ ファイアウォールが自動的にアクティブ になり、サービスは中断されることなく提供されます。選択した Ethernet リンクに障害が発生した 場合や、指定した 1 つ以上の宛先にアクティブ ファイアウォールが到達できない場合にも、フェー ルオーバーが発生することがあります。トラフィック処理の観点からすると、任意の時点において 1 つのデバイスがパケットを受信します。 以下のルールは HA の動作とフェールオーバーに適用されます。 • アクティブ ファイアウォールは、HA インターフェイスを介して設定情報とセッション情報 をパッシブ ファイアウォールと継続的に同期します。 • アクティブ ファイアウォールで障害が発生すると、パッシブ ファイアウォールがハートビー トの喪失を検出して自動的にアクティベーションされます。 • 1 つの HA インターフェイスに障害が発生しても、残りのインターフェイスで同期が続行され ます。状態同期用の接続 (HA2 リンク ) が失われると、状態が同期されなくなります。設定同 期用の接続 (HA1 リンク ) が失われると、設定が同期されなくなり、さらに HA デバイス間の ハートビートも喪失します。このとき両方のデバイスでもう一方のデバイスがダウンしてい ると判断され、両デバイスともアクティブになります。 • HA デバイスの管理ポートは、ハートビート バックアップ設定オプションを使用して、ハー トビートおよび hello メッセージのバックアップ パスとなるように設定できます。 アクティブ / アクティブの HA アクティブ / アクティブの高可用性により、HA ペアの両方のデバイスはトラフィックを同時に送 ることができます。この高可用性は主に、App-ID および Content-ID のサポートが必要とされる 非対称のルーティング環境で導入されます。App-ID および Content-ID のレイヤー 7 検査は、セッ ションごとに 1 つのデバイス ( セッション オーナーと呼ばれます ) で実行されます。PAN-OS では (HA3 リンクを介して ) パケット転送を使用し、必要であれば指定されたセッション オーナーにパ ケットを送信して処理されるようにします。 アクティブ / アクティブのデバイスは、レイヤー 3 またはバーチャル ワイヤ インターフェイスを 使用して導入できます。レイヤー 3 導入では、スキャンされたパケットをセッション オーナーが処 理後に直接転送できます。バーチャル ワイヤ導入では、スキャンされたパケットを受信ファイア ウォールに戻して転送パスを維持する必要があります。最初にセッション オーナーがパケットを 受信する場合、HA3 リンクは使用されません。App-ID および Content-ID が不要なセッションは、 ( セッション オーナーではなくても ) 受信デバイスによって直接転送され、パフォーマンスが最大 化されます。 70 • デバイス管理 Palo Alto Networks 高可用性 柔軟性を保つため、さまざまな方法でレイヤー 3 インターフェイスを設定できます。フローティン グ IP アドレスまたは ARP ロード シェアリング IP アドレス以外に静的インターフェイス IP アドレ スを使用してレイヤー 3 インターフェイスを設定することはで理にかなっている場合が多いです。 • Static interface IP — ファイアウォールが隣接するデバイスと動的ルーティング プロトコル に加わるときは常に、レイヤー 3 インターフェイスに静的 IP アドレスが割り当てられている 必要があります。見込まれる 1 つのアクティブ / アクティブ導入オプションは、動的ルーティ ング プロトコル コスト メトリックを使用して、HA ペアを介した対称パスを強制します。こ の場合、すべてのトラフィックは対称となり、アクティブ / アクティブ ペアの効率が最大化 されます。 • Floating IP — このモードは、HA ペア メンバーの状態に関係なく IP アドレスを使用可能に する必要がある場合など、VRRP (Virtual Router Redundancy Protocol) のような機能が必要な 場合に使用します。各ファイアウォールが 1 つを所有できるように特定のインターフェイス に 2 つのフローティング IP アドレスを設定するのが典型的です。 オーナーシップは、優先度 の高いデバイス ID に割り当てられます。どちらかのファイアウォールが失敗すると、フロー ティング IP アドレスが HA ピアに移行されます。 • ARP load sharing — このモードは、ARP (Address Resolution Protocol) を使用して 2 つの ファイアウォール間でホスト トラフィックの負荷を分散するときに使用します。 これらのオプションの詳細については、この項の以降の説明を参照してください。 パケット フロー アクティブ / アクティブ コンフィグでのパケット フローは以下のとおりです。 • セッション所有者は、App-ID および Content-ID のすべてのパケット処理の責任を担います。 セッション所有者は、(1) セッションのパケットを受信する最初のデバイス、または (2) プラ イマリ デバイスとなるように設定できます。設定オプションを「プライマリ デバイス」に設 定すると、すべてのセッションはプライマリ デバイスでセットアップされます。 注 : アクティブ / アクティブの HA ペアを介して渡されるログは、セッション オーナーとして指定されるデバイスに表示されます。 • すべての新しいセッションでは、1 つのデバイスがセッション セットアップ デバイスとして 選択されます。これが必要なのは、非対称のルーティング環境で発生する可能性がある競合状 態を回避するためです。セッション セットアップ デバイスは、以下のいずれかの方法によっ て決定されます。 – IP モジュロ — ソース IP アドレスでの単純な剰余演算を使用して、セッションをセット アップするデバイスを決定します。IP モジュロでは、IP アドレスのパリティに従い、特定 の HA デバイスに対してセッションをセットアップする責任を配分します。 – プライマリ デバイス — セッション セットアップはいつでもプライマリ デバイスで行われ ます。 – ハッシュ — ハッシュ化を使用して、セットアップ デバイスの選択プロセスでのランダム 性を高めます。 • Palo Alto Networks 新しいセッションが開始すると、受信ファイアウォールは、セッションをセットアップする か、または HA ピアに転送します。アクションは、上記の説明にあるように、セッション セッ トアップの設定によって決まります。この期間中、セッション オーナー (App-ID および Content-ID の状態を保持する責任を担うデバイス ) はその設定に従って決定されます。 デバイス管理 • 71 高可用性 • パケットがセッション オーナーに到達すると、そのパケットは脅威がないかどうかスキャン され ( セキュリティ ポリシーで設定されている場合 )、デバイスのネットワーク設定に従って 転送されます。パケットが HA ピアに到達すると、セッション テーブルのルックアップによ り、セッションが他のデバイスによって所有されており、HA3 全体にわたってセッション オーナーにパケットを転送可能であることが識別されます。セッションでレイヤー 7 検査が 不要な場合、受信デバイスでは、セッションを既存のセッション テーブルのエントリと照合 し、その最終宛先に向けてパケットを転送できます。 導入オプション アクティブ / アクティブの HA では、バーチャル ワイヤおよびレイヤー 3 インターフェイスの同 時使用をサポートします。IPv6 環境では、IPv6 パスのモニタリングを除いて、すべてのアクティ ブ / アクティブ導入オプションがサポートされています。 バーチャル ワイヤ導入 バーチャル ワイヤ導入では、他のアクティブ / アクティブ導入の場合と同様に、完全な非対称ルー ティングをサポートしています。App-ID および Content-ID 検査のセッション オーナーに転送さ れるパケットは、必ず受信ファイアウォールに戻し、転送パスを維持することが重要です。 レイヤー 3 フローティング IP 導入 この導入オプションでは、リンク障害またはデバイス障害が発生したときに HA デバイス間を移 動できるフローティング IP アドレスを作成できます。フローティング IP アドレスを所有するポー トは、バーチャル MAC アドレスを持つ ARP リクエストに応答します。VRRP のような機能が必 要な場合は、フローティング IP アドレスの使用をお勧めします。フローティング IP アドレスは、 VPN とネットワーク アドレス変換 (NAT) 構成で使用でき、このようなサービスを提供するデバイ スで障害が発生した場合に接続を持続させることができます。 レイヤー 3 ARP ロードシェアリング ARP ロードシェアリングにより、HA ペアは IP アドレスを共有しゲートウェイ サービスを提供で きます。この例では、すべてのホストが 1 つのゲートウェイ IP アドレスで構成されています。ゲー トウェイ IP アドレスに対する ARP リクエストには、ARP リクエストの送信元に応じて、ペア内 の 1 つのデバイスが応答します。2 つのファイアウォール間でホスト トラフィックがより均等に 配信されるように、デバイス選択アルゴリズムを調整できます。ARP ロードシェアリングは、ファ イアウォールとホストが同じブロードキャスト ドメインに存在する場合に使用する必要がありま す。レイヤー 3 の分離がある場合は、ARP 負荷分散の利益が失われます。 レイヤー 3 ルートベースの冗長性 ( 静的インターフェイス IP) ルートベースの冗長性により、ファイアウォールおよび隣接するデバイスで Open Shortest Path First (OSPF) コストなどのルーティング メトリックを使用してトラフィックが対称になるように することができます。ロードシェアリングを操作するには、両方のファイアウォールを介してトラ フィックをルーティングするようにコストを調整します。この場合、デバイス インターフェイスに 割り当てられた IP アドレスは固定され、フェールオーバー中に HA ピアにフェールオーバーしま せん。 72 • デバイス管理 Palo Alto Networks 高可用性 NAT に関する考慮事項 アクティブ / アクティブ モードでは、すべての NAT ルールでアクティブ / アクティブ デバイスの バインドを定義する必要があります。HA モードがアクティブ / アクティブに変更されると、アク ティブ / アクティブ デバイスのバインドが Web インターフェイスで利用できるようになります。 新しいセッションが作成されると、デバイスのバインドにより、ファイアウォールによって照合さ れる NAT ルールが決定されます ( 照合を行うためには、デバイスのバインドにセッション オー ナーのデバイスが含まれている必要があります )。NAT ポリシーの照合はセッション セットアッ プ デバイスによって実行されますが、NAT ルールはセッション オーナーの観点から評価されま す。セッションは、セッション オーナーのデバイスに結合された NAT ルールに基づいて変換され ます。デバイス固有のルールの場合、NAT ポリシーの照合が実行されるときに、ファイアウォー ルはセッション オーナーに関連付けられていないすべての NAT ルールを省略します。 たとえば、デバイス 1 がセッション オーナーであり、さらにセッションのセットアップも実行す ると仮定します。デバイス 1 は、セッションと NAT ルールを照合しようとするとき、デバイス 0 のデバイスのバインドを持つすべてのルールを省略します。 NAT デバイスのバインド オプションには、以下のものがあります。 • Device 0 and Device 1 — セッション所有者と NAT ルール内のデバイス ID が一致する場合に 限り、デバイス固有のバインドに基づいて変換が実行されます。2 つのファイアウォールが変 換のために一意のパブリック IP アドレスを使用する場合、一般的にデバイス固有の NAT ルー ルが使用されます。 • Both — このオプションを使用すると、どちらかのデバイスが新しいセッションと NAT ルー ルを照合できます。このオプションは、一般的に宛先 NAT で使用されます。 • Primary — このオプションを使用すると、アクティブなプライマリ デバイスのみが新しい セッションと NAT ルールを照合できます。この設定は、1 つのファイアウォールのみが ARP リクエストに応答する必要がある受信静的 NAT で主に使用されます。デバイス 0/1 のバイン ドとは異なり、プライマリ デバイスのバインドは、プライマリ ロールが変換されるときにデ バイス間を移動できます。 以下の例は、アクティブ / アクティブ NAT 導入に適用されます。 Palo Alto Networks デバイス管理 • 73 高可用性 動的 IP または IP/ ポート プールへの送信元変換 動的 IP または動的 IP/ ポート プールに送信元が変換される場合、NAT ルールを特定のデバイス ( デバイス ID 0 または 1) に関連付ける必要があります。HA デバイスが変換先とする IP プールは 重複しないようにする必要があります。セッションが構築されたら、どちらかのデバイスが返信パ ケットを変換できます。 以下の例では、デバイス 0 が所有するセッションは 1.1.1.1 に変換され、デバイス 1 が所有するセッ ションは 1.1.1.2 に変換されます。デバイス障害が発生したら、デバイス 0 からのセッションは引き 続き 1.1.1.1 に変換され、その変換はセッションが停止するまで続けられます。この例では、フロー ティング IP アドレス機能が必要な場合は、フローティング IP アドレスを各ファイアウォールで使 用すると効果的です。 図 2. 動的 IP 構成への送信元変換 表 31. 動的 IP ルールへの送信元変換 元のパケット 変換先パケット アクティブ/アクティ ブの HA バインド 名前 送信元ゾーン 宛先ゾーン 送信元変換 Src NAT Device 0 L3Trust L3Untrust dynamic-ip-andport 1.1.1.1 0 Src NAT Device 1 L3Trust L3Untrust dynamic-ip-andport 1.1.1.2 1 74 • デバイス管理 Palo Alto Networks 高可用性 さまざまなインターネット サービス プロバイダ (ISP) のパブリック IP アドレス への送信元の動的変換 この例では、NAT ルールは特定のデバイス ( デバイス ID 0 または 1) に関連付けられています。デ バイス 0 が所有するすべてのセッションは 1.1.1.1 に変換され、デバイス 1 が所有するすべての セッションは 2.2.2.1 に変換されます。デバイス 0 に障害が発生すると、デバイス 1 は、1.1.1.1 の元 の IP アドレスに基づいて既存のセッションの変換を試みます。2 番目の ISP がこれらのアドレス にルーティングできない場合は、セッションはエラーになります。この例では、ISP 固有のインター フェイス IP アドレスが特定のデバイスに固定されます。この構成では、フローティング IP アドレ スを使用しないでください。 図 3. パブリック IP アドレス構成への送信元の動的変換 表 32. パブリック IP アドレス ルールへの送信元の動的変換 元のパケット 変換先パケット アクティブ/アクティ ブの HA バインド 名前 送信元ゾーン 宛先ゾーン 送信元変換 Src NAT Device 0 L3Trust L3Untrust dynamic-ip-andport 1.1.1.1 0 Src NAT Device 1 L3Trust L3Untrust dynamic-ip-andport 2.2.2.1 1 Palo Alto Networks デバイス管理 • 75 高可用性 プロバイダに依存しない IP アドレスへの宛先変換 この例では、NAT ルールは両方のデバイスに関連付けられています。最初の受信パケットを受信 するデバイスがどれかに関わらず、変換は同じです。3.3.3.30 を宛先とするパケットは、どのデバ イスがパケットを受信しても 10.0.0.200 に変換されます。 図 4. プロバイダに依存しない IP アドレスへの宛先変換 表 33. パブリック IP アドレス ルールへの送信元の動的変換 元のパケット 変換先パケット 名前 送信元ゾーン 宛先ゾーン 宛先アドレス 宛先変換 アクティブ / アクティ ブの HA バインド DNAT Prov Indep L3Untrust L3Untrust 3.3.3.30 アドレス:10.0.0.200 両方 HA のセットアップ HA をセットアップするには、以下の手順を実行します。 1. 同じモデル番号のファイアウォールを 2 つ使用します。 2. 『Hardware Reference Guide ( ハードウェア リファレンス ガイド )』で説明されているように、 互いに近くにあるラックに両方のファイアウォールを設置し、電源をオンにします。これがイ ンストール済みの装置の場合、管理モードでメイン メニューから [Factory Reset] オプション を選択して、出荷時状態に戻すことをお勧めします。『PAN-OS Command Line Interface Reference Guide (PAN-OS コマンド ライン インターフェイス リファレンス ガイド )』を参照 してください。 3. 同じ物理ポートを使用して、各ファイアウォールをネットワークとインターネットに接続します。 76 • デバイス管理 Palo Alto Networks 高可用性 4. 2 本の RJ-45 Ethernet クロスオーバー ケーブルを使用して、各ファイアウォールの HA1 ポー トと HA2 ポートを他のファイアウォールの同じポートに接続するか、両方のファイアウォー ルの各ポートをスイッチに接続します。HA1 は制御リンク用で、HA2 はデータ リンク用で す。アクティブ / アクティブ構成の場合は、2 つのファイアウォール間に追加の物理接続 HA3 を作成します。リンク集約グループは、ファイアウォールが Aggregate Ethernet をサポートす る際に HA3 上のリンクの冗長性で推奨されます。 注 : 専用の HA インターフェイスがないデバイスの場合は、HA 用のトラフィック インターフェイスを使用する必要があります。たとえば、各 ethernet 1/15 インター フェイスを相互に接続し、各 ethernet1/16 インターフェイスも同様に接続します。 5. [Network] タブを開き、HA リンクがアップしていることを確認します。タイプが HA になる ようにそれぞれを設定します。 図 5. HA インターフェイスの確認 6. 両方のファイアウォールで HA 設定を構成します。78 ページの「ファイアウォールの HA の 有効化」を参照してください。 HA のセットアップ時の注意事項 HA リンクを直接接続する場合は、クロスオーバー ケーブルの使用をお勧めします。 Palo Alto Networks デバイス管理 • 77 高可用性 ファイアウォールの HA の有効化 [Device] > [High Availability] 76 ページの「HA のセットアップ」の説明に従って HA をセットアップしたら、アクティブ ファ イアウォールとパッシブ ファイアウォールの両方で HA を有効にすることができます。[High Availability] ページの各セクションのヘッダーで [Edit] をクリックし、対応する情報を以下の表 の説明に従って指定します。 表 34. HA の設定 フィールド 説明 [General] タブ Setup 以下の設定を指定します。 • Enable — HA 機能をアクティベーションします。 • Group ID — アクティブ / パッシブ ペアの識別に使用する数値 (1 ~ 31) を入力 します。同一ネットワークにアクティブ / パッシブ ファイアウォールのペアを 複数使用できます。レイヤー 2 ネットワークに 2 つ以上の高可用性ペアが存在 する場合、ID は一意である必要があります。 • Description — アクティブ / パッシブ ペアの説明を入力します ( 任意 )。 • Mode — アクティブ - アクティブまたはアクティブ - パッシブを選択します。 • Peer HA IP Address — その他のファイアウォールの [Control Link] セクショ ンに指定されている HA1 インターフェイスの IP アドレスを入力します。 • Backup Peer HA IP Address — バックアップ ピア HA ファイアウォールの IP アドレスを入力します。ピアのバックアップ制御リンクの IP アドレスを入力 します。 • Enable Config Sync — ピア システムと同期します。 • Link Speed — ( 専用の HA ポートを持つファイアウォール) アクティブ ファイア ウォールとパッシブ ファイアウォール間のデータ リンクの速度を選択します。 • Link Duplex — ( 専用の HA ポートを持つファイアウォール ) アクティブ ファ イアウォールとパッシブ ファイアウォール間のデータ リンクのデュプレック ス オプションを選択します。 78 • デバイス管理 Palo Alto Networks 高可用性 表 34. HA の設定 ( 続き ) フィールド 説明 Election Settings 以下の設定を指定します。 • Device Priority — アクティブ ファイアウォールの識別に使用する優先度の値 を入力します。値が小さい ( 優先度が高い ) 方のファイアウォールがアクティブ ファイアウォールになります ( 範囲は 0 ~ 255)。 • Heartbeat Backup — HA デバイスで管理ポートを使用して、ハートビートおよ び hello メッセージのバックアップ パスを提供します。管理ポートの IP アドレ スは、HA ピアと HA1 制御リンク経由で共有されます。追加の設定は必要あり ません。 • Preemptive — 優先順位の高いファイアウォールが障害から回復した後にアク ティブな動作を再開できるようにします。この設定がオフの場合、優先度の高 いファイアウォールが障害から回復した後も、優先度が低いファイアウォール がアクティブのまま動作します。 • Preemption Hold Time — パッシブ デバイスまたはアクティブなセカンダリ デバイスがアクティブなデバイスまたはアクティブなプライマリ デバイスと して引き継ぐまでに待機する時間を入力します ( 範囲は 0 ~ 60000 ミリ秒、デ フォルトは 0 ミリ秒 )。 • Promotion Hold Time — パッシブ デバイス ( アクティブ / パッシブ モードの 場合 ) またはアクティブなセカンダリ デバイス ( アクティブ / アクティブ モー ドの場合 ) が、HA ピアとの通信が失われた後でアクティブ デバイスまたはア クティブなプライマリ デバイスとして引き継ぐまでに待機する時間を入力し ます。 • Hello Interval — hello パケットを送信してもう一方のファイアウォールの HA プログラムが動作していることを確認する間隔をミリ秒で入力します (PA4000/PA-5000 の場合の範囲は 1000 ~ 60000 ミリ秒、PA-200/PA-2000/PA-500 の場合の範囲は 8000 ~ 60000 ミリ秒で、デフォルトは PA-4000/PA-5000 の場 合は 1000 ミリ秒、PA-200/PA-2000/PA-500 の場合は 8000 ミリ秒 )。 • Heartbeat Interval — HA ピアが ICMP ping の形式でハートビート メッセー ジを交換する頻度を指定します ( 範囲は 1000 ~ 60000 ミリ秒、デフォルトは 1000 ミリ秒 )。 • Maximum No. of Flaps — フラップは、ファイアウォールが前回の非アクティ ブ状態発生から 15 分以内に再び非アクティブ状態になるとカウントされます。 許容する最大フラップ数を指定できます ( 範囲は 0 ~ 16、デフォルトは 3)。フ ラップ数がこの最大数に達するとファイアウォールが一時停止したと判断され てパッシブ ファイアウォールが引き継ぎます。値 0 を指定すると最大数は設定 されません ( 何回フラップが発生してもパッシブ ファイアウォールは引き継が ない )。 • Monitor Fail Hold Up Time (ms) — パス モニターまたはリンク モニターに障 害が発生した後にファイアウォールがアクティブのままでいる時間を指定しま す。隣接するデバイスが偶発的にフラッピングすることによる HA のフェール オーバーを回避するためには、この設定をお勧めします ( 範囲は 0 ~ 60000 ミ リ秒、デフォルトは 0 ミリ秒 )。 • Additional Master Hold Up Time (min) — この時間間隔は、Monitor Fail Hold Up Time と同じイベントに適用されます ( 範囲は 0 ~ 60000 ミリ秒、デフォル トは 500 ミリ秒 )。追加の時間間隔は、アクティブ / パッシブ モードのアクティ ブ デバイスとアクティブ / アクティブ モードのアクティブなプライマリ デバ イスにのみ適用されます。両方のデバイスで同じリンク / パス モニターの障害 が同時に発生した場合にフェールオーバーを回避するためには、このタイマを お勧めします。 Palo Alto Networks デバイス管理 • 79 高可用性 表 34. HA の設定 ( 続き ) フィールド 説明 Control Link (HA1) プライマリおよびバックアップ制御リンクの以下の設定を指定します。 • Port — プライマリおよびバックアップの HA1 インターフェイスの HA ポート を選択します。バックアップの設定は任意です。 注 : 管理ポートは、制御リンクに使用できます。 • IP Address — プライマリおよびバックアップの HA1 インターフェイスとなる HA1 インターフェイスの IP アドレスを入力します。バックアップの設定は任 意です。 • Netmask — プライマリおよびバックアップの HA1 インターフェイスの IP ア ドレスのネットワーク マスク ( たとえば、 「255.255.255.0」) を入力します。バッ クアップの設定は任意です。 • Gateway — プライマリおよびバックアップの HA1 インターフェイスのデフォル ト ゲートウェイの IP アドレスを入力します。バックアップの設定は任意です。 • Control Link Monitor Hold Time (ms) — 制御リンク障害に対処するまでにシ ステムが待機する時間 ( ミリ秒 ) を入力します (1000 ~ 60000 ミリ秒、デフォル トは 3000 ミリ秒)。プライマリ HA1 インターフェイスについてこの設定を行い ます。 • Encryption Enabled — HA キーを HA ピアからエクスポートしてこのデバイ スにインポートした後で、暗号化を有効にします。このデバイスの HA キーは、 このデバイスからエクスポートして HA ピアにインポートする必要もありま す。プライマリ HA1 インターフェイスについてこの設定を行います。 キーのインポート / エクスポートは [Certificates] ページで実行します。60 ペー ジの「セキュリティ証明書のインポート、エクスポート、および生成」を参照 してください。 • Monitor Hold Time (ms) — パス モニターまたはリンク モニターに障害が発生 した後にファイアウォールがアクティブのままでいる時間を指定します ( 範囲 は 0 ~ 60000 ミリ秒、デフォルトは 0 ミリ秒 )。 隣接するデバイスが偶発的にフラッピングすることによる HA のフェールオー バーを回避するためには、この設定をお勧めします。 80 • デバイス管理 Palo Alto Networks 高可用性 表 34. HA の設定 ( 続き ) フィールド 説明 Data Link (HA2) プライマリおよびバックアップ データ リンクの以下の設定を指定します。 • Port — HA ポートを選択します。プライマリおよびバックアップの HA2 イン ターフェイスについてこの設定を行います。バックアップの設定は任意です。 • IP Address — プライマリおよびバックアップの HA2 インターフェイスとなる HA インターフェイスの IP アドレスを指定します。バックアップの設定は任意 です。 • Netmask — プライマリおよびバックアップの HA2 インターフェイスとなる HA インターフェイスのネットワーク マスクを指定します。バックアップの設定は 任意です。 • Gateway — プライマリおよびバックアップの HA2 インターフェイスとなる HA インターフェイスのデフォルト ゲートウェイを指定します。バックアップ の設定は任意です。HA ペアのファイアウォールの HA2 IP アドレスは同じサ ブネット上にあり、[Gateway] フィールドは空白のままにしておく必要があり ます。 • State Synchronization Enabled — セッション情報をパッシブ ファイアウォー ルと同期できるようにし、転送オプションを選択します。 • Transport — 以下のいずれかの転送オプションを選択します。 – Ethernet — ファイアウォールが逆並列で接続されているかスイッチを介して 接続されている場合に使用します (Ethertype 0x7261)。 – IP — レイヤー 3 転送が必要な場合に使用します (IP プロトコル番号 99)。 – UDP — IP オプションでの場合と同じように、チェックサムがヘッダーのみ ではなくパケット全体に基づいて計算されることを利用するために使用し ます (UDP ポート 29281)。 • Link Speed (Models with dedicated HA ports only) — 専用の HA2 ポートに おけるアクティブ ファイアウォールとパッシブ ファイアウォール間の制御リ ンクの速度を選択します。 • Link Duplex (Models with dedicated HA ports only) — 専用の HA2 ポートに おけるアクティブ ファイアウォールとパッシブ ファイアウォール間の制御リ ンクのデュプレックス オプションを選択します。 Palo Alto Networks デバイス管理 • 81 高可用性 表 34. HA の設定 ( 続き ) フィールド 説明 [Link and Path Monitoring] タブ Path Monitoring 以下を指定します。 • Enabled — パスのモニタリングを有効にします。パスのモニタリングをオンに すると、ファイアウォールは指定した宛先 IP アドレスをモニターするために ICMP ping メッセージを送信し、レスポンスがあることを確認します。フェー ルオーバー用に他のネットワーク デバイスのモニタリングが必要であったり、 リンクのモニタリングのみでは不十分である場合に、バーチャル ワイヤ、レイ ヤー 2、またはレイヤー 3 設定でパスのモニタリングを使用します。 • Failure Condition — モニターしているパス グループの一部またはすべてで応 答できない場合にフェールオーバーを発生させるかどうかを選択します。 Path Groups 特定の宛先アドレスをモニターする 1 つ以上のパス グループを定義します。パス グループを追加するには、インターフェイス タイプ ([Virtual Wire]、[VLAN]、ま たは [Virtual Router]) に対して [Add] をクリックして、以下を指定します。 • Name — グループの識別に使用する名前を入力します。 • Enabled — パス グループを有効にします。 • Failure Condition — 指定した宛先アドレスの一部またはすべてが応答できな い場合に、エラーを発生させるかどうかを選択します。 • Source IP — バーチャル ワイヤおよび VLAN のインターフェイスの場合、ネク ストホップ ルータ (宛先 IP アドレス) に送信されるプローブ パケットで使用す る送信元 IP アドレスを入力します。ローカル ルータでアドレスをファイア ウォールにルーティングできる必要があります。バーチャル ルータに関連付け られたパス グループの送信元 IP アドレスは、指定された宛先 IP アドレスの出 力インターフェイスとしてルート テーブルに示されているインターネット IP アドレスとして自動的に設定されます。 • Destination IPs — モニター対象となる 1 つ以上の ( コンマ区切りの ) 宛先アド レスを入力します。 Link Monitoring 以下を指定します。 • Enabled — リンクのモニタリングを有効にします。 リンクのモニタリングに よって、物理リンクまたは物理リンクのグループに障害が発生した場合に フェールオーバーをトリガできます。 • Failure Condition — モニターしているリンク グループの一部またはすべてに 障害が発生した場合にフェールオーバーが発生するかどうかを選択します。 Link Groups 特定の Ethernet リンクをモニターする 1 つ以上のリンク グループを定義します。 リンク グループを追加するには、以下を指定して [Add] をクリックします。 • Name — リンク グループ名を入力します。 • Enabled — リンク グループを有効にします。 • Failure Condition — 選択したリンクの一部またはすべてに障害が発生した場 合にエラーを発生させるかどうかを選択します。 • Interfaces — モニターする 1 つ以上の Ethernet インターフェイスを選択します。 [Active Passive] タブ Passive Link State 以下のオプションから選択します。 • auto — リンク状態に物理接続を反映しますが、受信したパケットはすべて廃棄 します。このオプションは、レイヤー 3 モードでサポートされています。ネット ワークで使用できる場合は [auto] オプションが適しています。 • shutdown — 強制的にインターフェイス リンクをダウン状態にします。これは デフォルトのオプションです。このオプションでは、ネットワークにループが 起きません。 82 • デバイス管理 Palo Alto Networks 高可用性 表 34. HA の設定 ( 続き ) フィールド 説明 Monitor Fail Hold Down Time ファイアウォールがパッシブになる前に Non-functional 状態で待機する時間 ( 分 ) を指定します。このタイマは、障害の理由がリンクまたはパス モニターの障害で ある場合のみ使用します ( 範囲は 1 ~ 60、デフォルトは 1)。 [Active Active] タブ Packet Forwarding HA3 リンクを介したパケットの転送を有効にします。これは、App-ID および Content-ID についてレイヤー 7 の検査が必要な非同期的にルーティングされる セッションで必要です。 HA3 Interface アクティブ/アクティブ モードで構成されている場合に HA ピア間でパケットを 転送するためのインターフェイスを選択します。 VR Sync HA デバイスに設定されたすべてのバーチャル ルータの同期を強制します。 バーチャル ルータの同期は、バーチャル ルータで動的ルーティング プロトコル を使用していない場合に使用できます。両方のデバイスが交換網を介して同じネ クストホップ ルータに接続されている必要があり、静的ルーティングのみを使用 している必要があります。 QoS Sync すべての物理インターフェイスの QoS プロファイル選択を同期します。両方の デバイスのリンク速度が同様で、すべての物理インターフェイスで同じ QoS プロ フ ァ イ ル が必 要 な 場 合 には、こ のオ プ シ ョ ン を 選択 し ま す。 こ の 設定 は、 [Network] タブの QoS 設定の同期に影響します。QoS ポリシーは、この設定に関 係なく同期されます。 Session Owner Selection 以下のいずれかのセッション オーナーのオプションを指定します。 • Primary Device — アクティブ / プライマリのファイアウォールにすべての セッションでレイヤー 7 の検査を担当させる場合には、このオプションを選択 します。この設定は、主にトラブルシューティング操作にお勧めします。 • First packet — セッションの最初のパケットを受け取るファイアウォールに App-ID および Content-ID のサポートにおけるレイヤー 7 の検査を担当させる 場合には、このオプションを選択します。これは、リンクを転送する HA3 パ ケットの使用率を最小限に抑えるためにはお勧めの構成です。 Session Setup セッション セットアップの方法を選択します。 • IP Modulo — 送信元 IP アドレスのパリティに基づいてファイアウォールを選 択します。 • Primary Device — すべてのセッションがプライマリ ファイアウォールでセッ トアップされるようにします。 • IP Hash — 送信元 IP アドレスまたは送信元と宛先の IP アドレス、およびハッ シュ シード値 ( よりランダムにする必要がある場合 ) を使用してセットアップ ファイアウォールを指定します。 HA の設定時に考慮すべき重要な項目 • プリエンプションが HA ペアの両方のファイアウォールで有効に設定されている場合、割り 当てられたデバイス優先度値が小さい方のファイアウォールが、優先度の高いデバイスにな り、HA ペアのアクティブ ファイアウォールになります。 • 優先度の高いファイアウォールが障害から回復したときにアクティブ ファイアウォールとし ての動作を再開できるようにするには、両方のデバイスで [Preemption] オプションを有効に する必要があります。 • ローカル IP とピア IP に使用するサブネットは、バーチャル ルータの他の場所で使用しない でください。 Palo Alto Networks デバイス管理 • 83 高可用性 • 各デバイスの OS とコンテンツのバージョンは同じである必要があります。 異なっていると、 クラスタ内のデバイスが同期されない可能性があります。 • HA ポートの LED は、アクティブ ファイアウォールが緑、パッシブ ファイアウォールが黄色 になります。 • フェールオーバーをテストするには、アクティブ デバイスのケーブルを抜くか、CLI コマン ド request high-availability state suspend を実行してアクティブ デバイスを Supend 状態に します。 または、[Device] タブの [High Availability] 設定ページの右上隅にある [Suspend] リンクをクリックしても、アクティブ デバイスを一時停止にすることができます。 • 一時停止したデバイスを稼働状態に戻すには、CLI コマンド request high-availability state functional を使用します。 • ローカル ファイアウォールに関する詳細な HA 情報を表示するには、CLI コマンド show high-availability all を使用します。 • ローカル ファイアウォールとピア ファイアウォールの設定を比較するには、どちらかのデバ イスから CLI コマンド show high-availability state を使用します。または、[Device] タブの [Config Audit] ツールを使用し、左の選択ボックスで対象のローカル設定を、右の選択ボック スでピア設定を選択しても、ローカル ファイアウォールとピア ファイアウォールの設定を比 較することができます。 • Web インターフェイスからファイアウォールを同期するには、[Dashboard] タブの HA ウィ ジェットにある [Push Configuration] ボタンをクリックします。プッシュするデバイスのコ ンフィグによって、ピア デバイスのコンフィグが上書きされます。アクティブ デバイスの CLI からファイアウォールを同期するには、コマンド request high-availability sync-to-remote running-config を使用します。 • 読み込みの状態を確認するには、CLI コマンド show jobs processed を使用します。 PA-200 用の HA ライト PA-200 ファイアウォールは、セッション同期化を含まないアクティブ / パッシブ HA の「ライト」 バージョンをサポートしています。HA ライトは、設定の同期と一部の実行時の項目の同期を提供 します。またレイヤー 3 モードが設定されているときに、IPSec トンネルのフェールオーバー ( セッ ションは再確立される必要があります )、DHCP サーバー リース情報、DHCP クライアント リー ス情報、PPPoE リース情報、およびファイアウォールの転送テーブルをサポートします。 84 • デバイス管理 Palo Alto Networks バーチャルシステム バーチャルシステム バーチャル システムでは、一連の物理および論理ファイアウォール インターフェイス (VLAN、 バーチャル ワイヤなど ) とセキュリティ ゾーンを指定します ( セキュリティ ゾーンの詳細は、 115 ページの「セキュリティ ゾーンの定義」を参照 )。バーチャル システムでは、すべてのポリシー ( セキュリティ、NAT、QoS など ) だけでなく、ファイアウォールによって提供されているすべて のレポートと可視化の機能の管理を分割できます。 バーチャル システムは、ファイアウォールのセキュリティ機能を一般的に稼働します。 静的およ び動的ルーティングを含むネットワーク機能は、バーチャル システムに制御されていません。 ルーティング セグメンテーションが各バーチャル システムで必要とされる場合、追加のバーチャ ル ルータを作成する必要があります。 注 : PA-4000 シリーズおよび PA-5000 シリーズのファイアウォールでは、バー チ ャ ル シ ス テ ム が サ ポ ー ト さ れ て い ま す。PA-2000 シ リ ー ズ の フ ァ イ ア ウォールでは、適切なライセンスがインストールされていればバーチャル シス テムをサポートできます。PA-500 および PA-200 ファイアウォールでは、バー チャル システムがサポートされていません。 たとえば、財務部門に関連付けられているトラフィックのセキュリティ機能をカスタマイズする場 合、財務バーチャル システムを定義して、その部門のみに適用するセキュリティ ポリシーを定義 できます。 図 6 は、ファイアウォールでのポリシーとバーチャル システムの関係を表しています。ポリシーは 個別のバーチャル システムに関連付けられており、一方、デバイスおよびネットワーク レベルの 機能はファイアウォール全体に適用されます。 Internet Device admin Dept 1 VSYS Dept 2 VSYS Policies Policies vsys admin vsys admin Dept 3 VSYS Policies vsys admin Dept 4 VSYS Policies vsys admin 図 6. バーチャル システムとポリシー ポリシー管理を最適化するには、個別のバーチャル システムにアクセスできるバーチャル システ ム管理者アカウントを作成し、一方、デバイスおよびネットワーク機能全体については別の管理者 アカウントを維持することができます。たとえば、財務部門のバーチャル システム管理者に、財務 部門のみのセキュリティ ポリシーの管理を割り当てることができます。 Palo Alto Networks デバイス管理 • 85 バーチャルシステム 初期状態では、すべてのインターフェイス、ゾーン、およびポリシーがデフォルトのバーチャル システム (vsys1) に属しています。 複数バーチャル システムを有効にする場合、以下の点に注意してください。 • ポリシーに必要な項目はすべて、バーチャル システム管理者が作成し、管理します。 • ゾーンは、バーチャル システム内のオブジェクトです。ポリシーまたはポリシー オブジェク トを定義する前に、[Policies] または [Objects] タブの [Virtual System] ドロップダウン リス トからバーチャル システムを選択します。 • インターフェイス、VLAN、バーチャル ワイヤ、およびバーチャル ルータをバーチャル シス テムに割り当てることができます。88 ページの「バーチャル システムの定義」を参照してく ださい。 • リモート ログの宛先 (SNMP、Syslog、および電子メール )、アプリケーション、サービス、お よびプロファイルは、すべてのバーチャル システムで共有したり、選択したバーチャル シス テムに制限したりできます。 バーチャル システム間の通信 ファイアウォール内の各バーチャル システムは、別個のエンティティとして扱われます。バーチャ ル システム間の内部トラフィック フローをサポートするには、相互通信が可能なバーチャル シス テムを指定する必要があります。そのためには、バーチャル システムの設定時に、通信相手となる バーチャル システムを指定し、バーチャル システムから認識できるようにします。バーチャル シ ステムが互いに認識可能にされている場合、 「外部」タイプ ゾーンを作成し、各外部ゾーンにマッ プするバーチャル システムを指定します。 次の例では、Dept 1 VSYS には、バーチャル システム 間を通過するトラフィックに影響するすべてのポリシーで使用する Dept 2 VSYS を参照する外部 ゾーンが存在する必要があります。トラフィック ログ エントリは、VSYS 間トラフィックで両方の バーチャル システムに記録されます。 各バーチャル システムには、トラフィックを送受信するためのポリシーが必要です。たとえば、 Dept 1 VSYS が Dept 2 VSYS と通信するには、Dept 1 VSYS にはトラフィックを Dept 2 VSYS に送 信できるようにするポリシーが、Dept 2 VSYS には Dept 1 VSYS からの受信トラフィックを受け入 れるためのポリシーが必要です。 Internet Dept 1 VSYS Policies Dept 2 VSYS Policies Dept 3 VSYS Policies Dept 4 VSYS Policies 図 7. バーチャル システム間の通信 86 • デバイス管理 Palo Alto Networks バーチャルシステム 共有ゲートウェイ 標準のバーチャル システム インターフェイス設定では、各バーチャル システムが専用の外部イン ターフェイスを使用します。各バーチャル システムは自律型で、ファイアウォール内部のバーチャ ル システム間には、明示的に通信が設定されている場合を除き、直接の通信パスはありません (86 ページの「バーチャル システム間の通信」を参照 )。各バーチャル システムには独自の IP アド レスがあるため、外部通信には複数のアドレスが必要です。 Internet a.a.a.a Dept 1 VSYS b.b.b.b Dept 2 VSYS c.c.c.c Dept 3 VSYS d.d.d.d Dept 4 VSYS 図 8. 共有ゲートウェイを使用しないバーチャル システム バーチャル システムは、共有ゲートウェイを使用することによって共通の外部通信インターフェ イスを共有できます。これは、ISP から提供される IP アドレスが 1 つのみの導入環境で特に便利で す。すべてのバーチャル システムは、1 つの IP アドレスを使用する物理インターフェイスを介し て外部と通信します ( 図 9 を参照 )。すべてのバーチャル システムのトラフィックは、共有ゲート ウェイを介し、1 つのバーチャル ルータを使用してルーティングされます。 Internet x.x.x.x Shared gateway a.a.a.a Dept 1 VSYS b.b.b.b Dept 2 VSYS c.c.c.c Dept 3 VSYS d.d.d.d Dept 4 VSYS 図 9. 共有ゲートウェイを使用するバーチャル システム すべてのポリシー ルールはバーチャル システム レベルで管理されます。必要に応じて、ポリシー 画面の [Virtual System] ドロップダウン リストから共有ゲートウェイを選択し、共有ゲートウェイ を介した NAT およびポリシーベースの転送ルールを作成できます。 Palo Alto Networks デバイス管理 • 87 バーチャルシステム バーチャル システムの定義 [Device] > [Virtual Systems] バーチャル システムを定義するには、最初に複数バーチャル システムの定義を有効にする必要が あります。有効にするには、[Device] > [Setup] ページを開き、[Management] タブの [General Settings] の [Edit] リンクをクリックして、[Multi Virtual System Capability] チェック ボックス をオンにします。これにより、[Virtual Systems] リンクがサイド メニューに追加されます。 これで [Virtual Systems] ページを開けるようになります。[Add] をクリックし、以下の情報を指 定します。 表 35. バーチャル システム設定 フィールド 説明 ID バーチャル システムの識別子を整数で入力します。サポートされるバーチャ ル システムの数についての詳細は、お使いのファイアウォール モデルのデー タ シートを参照してください。 Name バーチャル システムの識別に使用する名前 ( 最大 31 文字 ) を入力します。名 前の大文字と小文字は区別されます。また、一意の名前にする必要がありま す。文字、数字、スペース、ハイフン、およびアンダースコアのみを使用して ください。名前のみが必須です。 [General] タブ このインターフェイスに DNS プロキシ ルールを適用する場合は、ドロップ ダウン リストから DNS プロキシ プロファイルを選択します。135 ページの 「DNS Proxy」を参照してください。 特定の種類のオブジェクトを含めるには、その種類 ( インターフェイス、 VLAN、バーチャル ワイヤ、バーチャル ルータ、または識別可能なバーチャ ル システム ) のチェック ボックスをオンにします。[Add] をクリックしてド ロップダウン リストから選択します。1 つ以上のオブジェクトの種類を追加 できます。オブジェクトを削除するには、 オブジェクトを選択して [Delete] を クリックします。 [Resource] タブ 以下の設定を入力します。 • Sessions Limit — このバーチャル システムで利用できるセッションの最大数。 • Security Rules — このバーチャル システムで利用できるセキュリティ ルー ルの最大数。 • NAT Rules — このバーチャル システムで利用できる NAT ルールの最大数。 • Decryption Rules — このバーチャル システムで利用できる復号化ルール の最大数。 • QoS Rules — このバーチャル システムで利用できる QoS ルールの最大数。 • Application Override Rules — このバーチャル システムで利用できるアプ リケーション オーバーライド ルールの最大数。 • PBF Rules — このバーチャル システムで利用できるポリシーベースの転送 (PBF) ルールの最大数。 • CP Rules — このバーチャル システムで利用できるキャプティブ ポータル (CP) ルールの最大数。 •DoS Rules — このバーチャル システムで利用できるサービス拒否 (DoS) ルールの最大数。 • Site to Site VPN Tunnels — このバーチャル システムで利用できるサイト間 VPN トンネルの最大数。 • Concurrent GlobalProtect Tunnel Mode Users — このバーチャル システ ムで利用できる同時リモート GlobalProtect ユーザーの最大数。 88 • デバイス管理 Palo Alto Networks バーチャルシステム バーチャル システムを定義したら、必要に応じて以下の追加タスクを実行できます。 • バーチャル システムを変更するには、バーチャル システム名をクリックするか、変更するイ ンターフェイス、VLAN、バーチャル ワイヤ、バーチャル ルータ、認識可能なバーチャル シ ステムをクリックし、適切に変更してから、[OK] をクリックします。 • 新しいバーチャル システムのセキュリティ ゾーンを定義するには、[Network] > [Zones] の順 に選択し、新しいバーチャル システムごとにセキュリティ ゾーンを定義します (115 ページの 「セキュリティ ゾーンの定義」を参照 )。新しいゾーンを定義したら、バーチャル システムを 選択できるようになります。 • [Network] > [Interfaces] の順にクリックし、各インターフェイスにバーチャル システムとセ キュリティ ゾーンが設定されていることを確認します。 共有ゲートウェイの設定 [Device] > [Shared Gateways] 共有ゲートウェイではレイヤー 3 インターフェイスを使用するため、レイヤー 3 インターフェイス が少なくとも 1 つ共有ゲートウェイとして設定されている必要があります。100 ページの「レイヤー 3 インターフェイスの設定」を参照してください。 表 36. 共有ゲートウェイ フィールド 説明 ID ゲートウェイの識別子 ( ファイアウォールでは使用しない )。 Name 共有ゲートウェイの名前 (最大 31 文字) を入力します。名前の大文字と小文字 は区別されます。また、一意の名前にする必要があります。文字、数字、ス ペース、ハイフン、およびアンダースコアのみを使用してください。名前のみ が必須です。 Interfaces 共有ゲートウェイが使用するインターフェイスのチェック ボックスをオンに します。 Palo Alto Networks デバイス管理 • 89 カスタム レスポンス ページの定義 カスタム レスポンス ページの定義 [Device] > [Response Pages] カスタム レスポンス ページは、ユーザーが URL にアクセスしようとするときに表示される Web ページです。リクエストされた Web ページまたはファイルの代わりにダウンロードおよび表示さ れるカスタム HTML メッセージを入力できます。 バーチャル システムごとに固有のカスタム レスポンス ページを使用できます。 以下の表に、ユーザーメッセージをサポートするカスタム レスポンス ページのタイプを示します。 注 : デフォルトのレスポンス ページの例は、付録 A「カスタム ページ」を参 照してください。 表 37. カスタム レスポンス ページのタイプ ページ タイプ 説明 アンチウイルス ブロック ウイルス感染が原因でアクセスがブロックされたことを示します。 アプリケーション ブロック アプリケーションがセキュリティ ポリシーでブロックされたためにア クセスがブロックされたことを示します。 キャプティブ ポータル確認 Active Directory ドメインのメンバでないマシンのユーザー名とパス ワードをユーザーが確認するためのページです。 ファイル ブロッキング ブロック ファイルへのアクセスがブロックされているためアクセスがブロック されたことを示します。 ファイル ブロッキングの続行 ダウンロードの続行が必要なことを確認するユーザーのためのページ です。このオプションは、続行の機能がセキュリティ プロファイルで有 効になっている場合に限り利用できます。172 ページの「ファイル ブ ロッキング プロファイル」を参照してください。 GlobalProtect ポータル ヘルプ GlobalProtect ユーザー用のカスタム ヘルプ ページです ( ポータルから アクセス可能 )。 GlobalProtect ポータル ログイン GlobalProtect ポータルにアクセスしようとしているユーザー用のペー ジです。GlobalProtect の詳細は、265 ページの「概要」を参照してくだ さい。 GlobalProtect ウェルカム ページ GlobalProtect ポータルにログインしようとしているユーザー用のウェ ルカム ページです。GlobalProtect の詳細は、265 ページの「概要」を参 照してください。 SSL 証明書無効通知 SSL 証明書が無効になっていることを示す通知です。 SSL 復号オプトアウト ページ このセッションが調査されることを示すユーザー警告ページです。 90 • デバイス管理 Palo Alto Networks サポート情報の表示 表 37. カスタム レスポンス ページのタイプ ( 続き ) ページ タイプ 説明 URL フィルタリングの続行と オーバーライド ページ ユーザーがブロックをバイパスできるよう一旦ブロックさせておく ページです。たとえば、ページが不適切にブロックされていると思われ る場合は、[Continue] ボタンをクリックして該当のページに進めます。 オーバーライド ページで、この URL をブロックするポリシーをオー バーライドするには、ユーザーにパスワードの入力が求められます。 オーバーライド パスワードの設定手順の詳細は、表 1 の「URL Admin Override」のセクションを参照してください。 URL フィルタリングおよびカ テゴリ一致ブロック ページ URL フィルタリング プロファイルが原因で、または URL カテゴリがセ キュリティ ポリシーにブロックされているため、アクセスがブロック されたことを示します。 必要に応じて、[Response Pages] の下で以下の機能を実行できます。 • カスタム HTML レスポンス ページをインポートするには、該当のページ タイプの [Import] リンクをクリックします。ページを参照して指定します。インポートが成功したかどうかを示 すメッセージが表示されます。インポートを成功させるには、ファイルは必ず HTML 形式に してください。 • カスタム HTML レスポンス ページをエクスポートするには、該当のページ タイプの [Export] リンクをクリックします。ファイルを開くのか、ディスクに保存するのかを選択します。常に 同じオプションを使用する場合はチェック ボックスをオンにします。 • アプリケーション ブロック ページや SSL 復号化オプトアウト ページを有効または無効にす るには、該当のページ タイプの [Enable] をクリックします。[Enable] チェック ボックスをオ ンまたはオフにします。 • 以前にアップロードしたページではなくデフォルトのレスポンス ページを使用するには、該 当のページ タイプの [Restore Block Page] リンクをクリックし、[Restore] をクリックします。 復元が成功したかどうかを示すメッセージが表示されます。 サポート情報の表示 [Device] > [Support] [Support] ページでは、ファイアウォールのシリアル番号に基づいて、Palo Alto Networks の製品 やセキュリティ アラートにアクセスできます。また、テクニカル ナレッジ ベースの表示や、テク ニカル サポートのリクエストに使用する「チケット」を作成および表示できます。 必要に応じて、このページで以下の機能を実行します。 • アラートの詳細を表示するには、アラート名をクリックします。 • Palo Alto Networks サポート ページに進むには、[Support] をクリックします。 • テクニカル サポートへのリクエストを入力するか、既存のリクエストのステータスを表示す るには、[Manage Cases] をクリックします。 • Palo Alto Networks テクニカル サポートが問題を解決する際に役立つシステム ファイルを生 成するには、[Generate Tech Support File] をクリックします。ファイルが生成されたら、 [Download Tech Support File] をクリックして、ファイルをコンピュータにダウンロードします。 Palo Alto Networks デバイス管理 • 91 サポート情報の表示 92 • デバイス管理 Palo Alto Networks 11 19 , 2011 - Palo Alto Networks COMPANY CONFIDENTIAL 第4章 ネットワーク設定 この章では、ファイアウォールにお使いのネットワーク アーキテクチャをサポートする設定を行 う方法について説明します。 • 次のセクションの「ファイアウォール導入」 • 97 ページの「ファイアウォール インターフェイス」 • 114 ページの「セキュリティ ゾーン」 • 116 ページの「VLAN サポート」 • 116 ページの「バーチャル ルータとルーティング プロトコル」 • 133 ページの「DHCP サーバーと DHCP リレー」 • 135 ページの「DNS Proxy」 • 137 ページの「ネットワーク プロファイル」 注 : ファイアウォールでの VPN サポートの詳細は、249 ページの「IPSec トン ネルの設定」および 249 ページの「IPSec トンネルの設定」を参照してくださ い。Quality of Service (QoS) サポートの詳細は、279 ページの「Quality of Services (QoS) の設定」を参照してください。 Palo Alto Networks ネットワーク設定 • 93 ファイアウォール導入 ファイアウォール導入 このファイアウォールは、既存のファイアウォールの代わりとして、エッジ ルータ ( またはイン ターネットとの境界にある他のデバイス) と内部ネットワークに接続するスイッチまたはルータの 間にインストールすることができます。このファイアウォールでは幅広い導入オプションとイン ターフェイス タイプがサポートされており、それらを異なる物理インターフェイス上で同時に使 用することができます。詳細は、以下のセクションで説明します。 • 次のセクションの「バーチャル ワイヤ導入」 • 95 ページの「レイヤー 2 導入」 • 95 ページの「レイヤー 3 導入」 • 96 ページの「タップ モード導入」 • 96 ページの「バーチャル ワイヤの定義」 バーチャル ワイヤ導入 バーチャル ワイヤ導入の場合、ファイアウォールは、2 つのポートを結合することによってネット ワーク セグメント上に透過的にインストールされます ( 図 10)。ファイアウォールはどのような ネットワーク環境にもインストールでき、隣接ネットワーク デバイスの設定は必要ありません。 バーチャル ワイヤでは、必要に応じて、バーチャル LAN (VLAN) タグ値に基づいてトラフィック をブロックまたは許可することができます。デフォルトでは、 「default-vwire」というバーチャル ワイヤが Ethernet ポート 1 と 2 を結合して、タグのないトラフィックをすべて許可します。 このオプションは、以下の場合に選択します。 • インストールと設定を簡略化する • 周辺ネットワーク デバイスの設定変更を避ける バーチャル ワイヤはデフォルトの設定であり、スイッチングまたはルーティングのいずれも不要 な場合にのみ使用する必要があります。 No routing or switching performed User network Internet 図 10. バーチャル ワイヤ導入 バーチャル ワイヤをセットアップする方法については、105 ページの「バーチャル ワイヤ インター フェイスの設定」を参照してください。 94 • ネットワーク設定 Palo Alto Networks ファイアウォール導入 レイヤー 2 導入 レイヤー 2 導入の場合、ファイアウォールは複数ネットワーク間のスイッチングを行います。イン ターフェイスの各グループは 1 つの VLAN に割り当てられている必要があり、追加のレイヤー 2 サブインターフェイスを必要に応じて定義できます。このオプションは、スイッチングが必要な場 合に選択します ( 図 11)。 Switching between two networks User network Internet 図 11. レイヤー 2 導入 レイヤー 3 導入 レイヤー 3 導入の場合、ファイアウォールは複数のポート間でトラフィックをルーティングしま す。トラフィックをルーティングするには、各インターフェイスに IP アドレスを割り当て、バー チャル ルータを定義する必要があります。このオプションは、ルーティングまたは NAT が必要な 場合に選択します ( 図 12)。 Routing between two networks 10.1.2.1/24 User network 10.1.1.1/24 Internet 図 12. レイヤー 3 導入 PPPoE のサポート ファイアウォールを PPPoE (Point-to-Point Protocol over Ethernet) 終端点として設定し、デジタル 加入者線 (DSL) モデムはあるが、それ以外に接続を終端する PPPoE デバイスがない DSL 環境をサ ポートすることができます。 PPPoE オプションを選択し、関連設定を行うことができるのは、インターフェイスがレイヤー 3 インターフェイスとして定義されている場合です。手順は、100 ページの「レイヤー 3 インターフェ イスの設定」を参照してください。 DHCP クライアント DHCP クライアントとして機能し、動的に割り当てられた IP アドレスを受信するようにファイア ウォール インターフェイスを設定できます。 Palo Alto Networks ネットワーク設定 • 95 ファイアウォール導入 タップ モード導入 ネットワーク タップは、コンピュータ ネットワーク間を流れるデータにアクセスするためのデバ イスです。タップ モード導入では、スイッチの SPAN またはミラー ポートを介してネットワーク 内のトラフィック フローをパッシブにモニターできます。 SPAN ポートまたはミラー ポートでは、スイッチの他のポートからトラフィックをコピーするこ とが許可されています。ファイアウォールの 1 つのインターフェイスをタップ モード専用イン ターフェイスとして割り当て、スイッチの SPAN ポートに接続すると、スイッチの SPAN ポート からファイアウォールにミラーリングされたトラフィックが提供されます。これにより、ネット ワーク トラフィック フローが通過しないネットワーク内でアプリケーションを可視化できます。 注 : ファイアウォールをタップ モードで導入すると、トラフィックのブロック、 QoS トラフィック制御の適用などのアクションを実行することはできません。 バーチャル ワイヤの定義 [Network] > [Virtual Wires] バーチャル ワイヤを定義するには、ファイアウォールに 2 つのバーチャル ワイヤ インターフェイ スを指定した後にこのページを使用します。バーチャル ワイヤ導入の概要は、94 ページの「バー チャル ワイヤ導入」を参照してください。インターフェイスをバーチャル ワイヤとして指定する 手順の詳細は、105 ページの「バーチャル ワイヤ インターフェイスの設定」を参照してください。 表 38. バーチャル ワイヤ設定 フィールド 説明 Virtual Wire Name バーチャル ワイヤ名 ( 最大 31 文字 ) を入力します。この名前は、インターフェ イスを設定するときにバーチャル ワイヤのリストに表示されます。名前の大 文字と小文字は区別されます。また、一意の名前にする必要があります。文 字、数字、スペース、ハイフン、およびアンダースコアのみを使用してくだ さい。 Interfaces 表示されたリストから、バーチャル ワイヤ設定用の Ethernet インターフェイ スを 2 つ選択します。リストには、バーチャル ワイヤ インターフェイス タイ プで、他のバーチャル ワイヤに割り当てられていないインターフェイスのみ が表示されます。 Tags Allowed バーチャル ワイヤで許可されるトラフィックのタグ番号 (0 ~ 4094) またはタ グ番号の範囲 ( タグ 1- タグ 2) を入力します。タグ値が 0 の場合、タグのない トラフィックを示します ( デフォルト )。複数のタグまたはタグ範囲はコンマ で区切ります。除外されたタグ値を持つトラフィックは廃棄されます。受信 パケットまたは送信パケット上でタグ値が変更されることはありません。 Multicast Firewalling セキュリティ ルールをマルチキャスト トラフィックに適用できるようにす る場合は、[Multicast Firewalling] チェック ボックスをオンにします。この設 定が有効になっていないと、マルチキャスト トラフィックがバーチャル ワイ ヤ間で転送されます。 Link State Pass Through リンクのダウン状態が検出された場合にバーチャル ワイヤのもう一方のポー トを停止するには、このチェック ボックスをオンにします。このチェック ボックスがオフの場合、リンク状態はバーチャル ワイヤ間で伝搬されません。 96 • ネットワーク設定 Palo Alto Networks ファイアウォール インターフェイス バーチャル ワイヤまたは許可するタグを変更するには、[Virtual Wires] ページでバーチャル ワイヤ 名をクリックし、設定を変更して、[OK] をクリックします。バーチャル ワイヤは [Interfaces] ペー ジからでも変更できます (105 ページの「バーチャル ワイヤ インターフェイスの設定」を参照 )。 1 つ以上のバーチャル ワイヤを削除するには、バーチャル ワイヤ名の横にあるチェック ボックス をオンにして [Delete] をクリックします。バーチャル ワイヤを削除すると、[Interfaces] ページに 表示されている関連バーチャル ワイヤ インターフェイスから削除されます。 ファイアウォール インターフェイス 以下の表では、ファイアウォールでサポートされるインターフェイスのタイプとその定義方法につ いて説明します。 表 39. サポートされるインターフェイス インターフェイス 説明 レイヤー 2 タグのない VLAN トラフィック用に 1 つ以上のレイヤー 2 インターフェイス を設定できます。設定後、特定の VLAN タグを持つトラフィック用にレイヤー 2 サブインターフェイスを定義できます。86 ページの「レイヤー 2 インター フェイスの設定」および 87 ページの「レイヤー 2 サブインターフェイスの設 定」を参照してください。 レイヤー 3 ルーティングされたタグのないトラフィック用に 1 つ以上のレイヤー 3 イン ターフェイスを設定できます。設定後、特定の VLAN タグを持つトラフィック 用にレイヤー 3 サブインターフェイスを定義できます。 1 つのインターフェイスに複数の IP アドレスを割り当てることができます。88 ページの「レイヤー 3 インターフェイスの設定」および 91 ページの「レイヤー 3 サブインターフェイスの設定」を参照してください。 Aggregate Ethernet 複数の Ethernet ポートを 1 つのグループに結合し、レイヤー 2、レイヤー 3、 またはバーチャル ワイヤ インターフェイスとそのサブインターフェイスのス ループットと耐障害性を高めます。94 ページの「Aggregate Ethernet インター フェイスの設定」を参照してください。 注 : QoS 設定は Aggregate Ethernet インターフェイスに適用できません。 VLAN VLAN インターフェイスは、VLAN 以外の宛先への VLAN トラフィックのレ イヤー 3 ルーティングを提供します。109 ページの「VLAN インターフェイス の設定」を参照してください。 ループバック ループバック インターフェイスを使用して、インバンド管理、GlobalProtect のポータルまたはゲートウェイ機能、および IPSec などのレイヤー 3 サービス を提供できます。各ループバック インターフェイスは、ホスト インターフェイ スとして動作し、IP アドレスが割り当てられます。110 ページの「ループバッ ク インターフェイスの設定」を参照してください。 トンネル トンネル インターフェイスを設定できます。112 ページの「トンネル インター フェイスの設定」を参照してください。 バーチャル ワイヤ バーチャル ワイヤは、2 つの Ethernet ポートを結合し、最小限の設定でファイ アウォールをネットワークに透過的にインストールできるようにします。バー チャル ワイヤは、すべてのトラフィックまたは選択した VLAN タグを持つト ラフィックを受け入れますが、スイッチング、ルーティング、および NAT サー ビスは提供しません。105 ページの「バーチャル ワイヤ インターフェイスの設 定」を参照してください。 Palo Alto Networks ネットワーク設定 • 97 ファイアウォール インターフェイス 表 39. サポートされるインターフェイス ( 続き ) インターフェイス 説明 タップ タップ インターフェイスでは、スイッチの SPAN ポートへの接続が許可され ており、トラフィックのモニタリングのみを行うことができます。このモード ではトラフィックのブロックや URL フィルタリングはサポートされません。 112 ページの「タップ インターフェイスの設定」を参照してください。 高可用性 一部の Palo Alto Networks ファイアウォールでは、データ インターフェイス を高可用性 (HA) インターフェイスとして定義できます。113 ページの「HA イ ンターフェイスの設定」を参照してください。 現在のインターフェイスの表示 [Network] > [Interfaces] [Interfaces] ページには、設定済みのインターフェイスごとにインターフェイス タイプ、リンク状 態、セキュリティ ゾーンと共に、IP アドレス、バーチャル ルータ、VLAN タグ、VLAN 名または バーチャル ワイヤ名 ( 該当する場合 ) が表示されます。 デフォルトでは、インターフェイスはインターフェイス名別に表示されます。 [Interfaces] ページでは、以下のアイコンが使用されます。 セキュリティ ゾーンなど、1 つ以上の必須インターフェイス プロパティが未定義であることを 示します。カーソルをアイコンの上に移動すると未定義項目が表示されます。未定義項目に対 応する列にも、それぞれ「none」と表示されます。 論理インターフェイスの削除に使用します ( 最後の列に表示されます )。このアイコンをクリッ クすると論理インターフェイスを削除できますが、論理インターフェイスのインターフェイス タイプは変更できません ( また、物理 Ethernet インターフェイスは削除できません )。 リンクがアップ ( 緑 )、ダウン ( 赤 )、または不明な状態 ( 灰 ) であることを示します。 レイヤー 2 インターフェイスの設定 [Network] > [Interfaces] > [Ethernet] 1 つ以上の Ethernet ポートを、タグのない VLAN トラフィック用のレイヤー 2 インターフェイス として設定できます。メイン レイヤー 2 インターフェイスごとに、特定の VLAN タグを持つトラ フィック用に複数のレイヤー 2 サブインターフェイスを定義できます (99 ページの「レイヤー 2 サ ブインターフェイスの設定」を参照 )。また、VLAN インターフェイスを定義して VLAN トラ フィックのレイヤー 3 ルーティングを実現することもできます (109 ページの「VLAN インター フェイスの設定」を参照 )。 レイヤー 2 Ethernet インターフェイスを設定するには、[Ethernet] タブのインターフェイスのリン クをクリックし、以下の設定を指定します。 表 40. レイヤー 2 インターフェイス設定 フィールド 説明 Interface Name ドロップダウン リストからインターフェイスを選択します。必要に応じて名 前を変更します。 Interface Type ドロップダウン リストから [Layer 2] を選択します。 98 • ネットワーク設定 Palo Alto Networks ファイアウォール インターフェイス 表 40. レイヤー 2 インターフェイス設定 ( 続き ) フィールド 説明 Netflow Profile 指定した Netflow サーバーにインターフェイス経由で入力されたすべてのト ラフィックをエクスポートする場合、プロファイルを選択します。66 ページ の「Netflow 設定の設定」を参照してください。 Comment インターフェイスの説明 ( 省略可 ) を入力します。 [Config] タブ VLAN VLAN を選択するか、[New] をクリックして新しい VLAN を定義します (116 ページの「VLAN サポート」を参照 )。[None] では、インターフェイス から設定が削除されます。 Virtual System インターフェイスのバーチャル システムを選択します。[None] では、イン ターフェイスから設定が削除されます。 Zone インターフェイスのセキュリティ ゾーンを選択するか、[New] をクリックし て新しいゾーンを定義します (115 ページの「セキュリティ ゾーンの定義」を 参照 )。[None] では、インターフェイスから設定が削除されます。 [Advanced] タブ Link Speed インターフェイス速度を Mbps 単位で選択します ([10]、[100]、[1000] のいず れか )。 Link Duplex インターフェイスの伝送モードを、フル デュプレックス ([Full])、ハーフ デュ プレックス ([Half])、オート ネゴシエーション ([Auto]) から選択します。 Link State インターフェイスの状態を、有効 ([Up])、無効 ([Down])、自動決定 ([Auto]) から選択します。 レイヤー 2 サブインターフェイスの設定 [Network] > [Interfaces] レイヤー 2 インターフェイスとして設定された各 Ethernet ポートに対して、ポートで受信するト ラフィックで使用される VLAN タグごとに追加の論理レイヤー 2 インターフェイス ( サブイン ターフェイス ) を定義できます。メイン レイヤー 2 インターフェイスを設定する方法については、 98 ページの「レイヤー 2 インターフェイスの設定」を参照してください。 レイヤー 2 Ethernet サブインターフェイスを追加するには、[Add Layer 2 Subinterface] をクリッ クし、以下の情報を指定します。 表 41. レイヤー 2 サブインターフェイス設定 フィールド 説明 Interface Name サブインターフェイスを追加するレイヤー 2 インターフェイスを選択しま す。レイヤー 2 インターフェイスを設定する方法については、98 ページの「レ イヤー 2 インターフェイスの設定」を参照してください。 物理インターフェイス名に付加して論理インターフェイス名を生成するため の数字 (1 ~ 9999) を入力します。一般的な名前の形式は以下のとおりです。 ethernetx/y.<1 ~ 9999> Tag Palo Alto Networks このインターフェイスで受信されるトラフィックのタグ番号 (1 ~ 4094) を入 力します。このインターフェイスで送信されるトラフィックにもこのタグ値 が設定されます。 ネットワーク設定 • 99 ファイアウォール インターフェイス 表 41. レイヤー 2 サブインターフェイス設定 ( 続き ) フィールド 説明 Netflow Profile 指定した Netflow サーバーにインターフェイス経由で入力されたすべてのト ラフィックをエクスポートする場合、プロファイルを選択します。66 ページ の「Netflow 設定の設定」を参照してください。 Comment インターフェイスの説明 ( 省略可 ) を入力します。 Assign Interface To VLAN レイヤー 2 インターフェイスに対して、VLAN を選択するか、[New] をクリッ クして新しい VLAN を定義します (137 ページの「ネットワーク プロファイ ル」を参照 )。[None] では、インターフェイスから設定が削除されます。 Zone インターフェイスのバーチャル システムを選択します。[None] では、イン ターフェイスから設定が削除されます。 Virtual System インターフェイスのセキュリティ ゾーンを選択するか、[New] をクリックし て新しいゾーンを定義します (115 ページの「セキュリティ ゾーンの定義」を 参照 )。[None] では、インターフェイスから設定が削除されます。 レイヤー 3 インターフェイスの設定 [Network] > [Interfaces] > [Ethernet] 1 つ以上の Ethernet ポートを、ルーティングされたタグのないトラフィック用のレイヤー 3 イン ターフェイスとして設定できます。設定後、特定の VLAN タグを持つトラフィック用にレイヤー 3 サブインターフェイスを定義できます (103 ページの「レイヤー 3 サブインターフェイスの設定」 を参照 )。PPPoE 用レイヤー 3 インターフェイスの設定の詳細は、95 ページの「PPPoE のサポー ト」を参照してください。 レイヤー 3 Ethernet インターフェイスを設定するには、[Ethernet] タブのインターフェイスのリン クをクリックし、以下の設定を指定します。 表 42. レイヤー 3 インターフェイス設定 フィールド 説明 Interface Name ドロップダウン リストからインターフェイスを選択します。必要に応じて名 前を変更します。 Interface Type ドロップダウン リストから [Layer 3] を選択します。 Netflow Profile 指定した Netflow サーバーにインターフェイス経由で入力されたすべてのト ラフィックをエクスポートする場合、プロファイルを選択します。66 ページ の「Netflow 設定の設定」を参照してください。 Comment インターフェイスの説明 ( 省略可 ) を入力します。 [Config] タブ Virtual Router バーチャル ルータを選択するか、[New] をクリックして新しいバーチャル ルータを定義します (116 ページの「バーチャル ルータとルーティング プロト コル」を参照 )。[None] では、インターフェイスから設定が削除されます。 Virtual System インターフェイスのバーチャル システムを選択します。[None] では、イン ターフェイスから設定が削除されます。 Security Zone インターフェイスのセキュリティ ゾーンを選択するか、[New] をクリックし て新しいゾーンを定義します (115 ページの「セキュリティ ゾーンの定義」を 参照 )。[None] では、インターフェイスから設定が削除されます。 100 • ネットワーク設定 Palo Alto Networks ファイアウォール インターフェイス 表 42. レイヤー 3 インターフェイス設定 ( 続き ) フィールド 説明 [IPv4] タブ Type 以 下に示 す IP アドレ ス情 報の指 定方 法 ([Static]、[PPPoE] また は [DHCP Client]) を選択します。 Static インターフェイスの IP アドレスとネットワーク マスクを ip_address/mask の形式で入力し、[Add] をクリックします。インターフェイスに対して複数の IP アドレスを入力できます。IP アドレスを削除するには、アドレスを選択し て [Delete] をクリックします。 PPPoE インターフェイスを PPPoE に使用する場合は [PPPoE] を選択し、以下の設定 を指定します。 [General] サブタブ : • Enable — インターフェイスを PPPoE 終端としてアクティベーションする には、このチェック ボックスをオンにします。 • Username — ポイントツーポイント接続のユーザー名を入力します。 • Password/Confirm Password — ユーザー名のパスワードを入力し、確認 します。 [Advanced] サブタブ : • Authentication — [CHAP] (Challenge-Handshake Authentication Protocol)、 [PAP] (Password Authentication Protocol)、またはデフォルトの [Auto] (ファイアウォールが PPPoE 通信用の認証プロトコルを決定する ) を選択し ます。 • Static Address — サービス プロバイダによって割り当てられた静的 IP ア ドレスを指定します ( 任意、デフォルトなし )。 • Automatically create default route pointing to peer — 接続時に PPPoE ピ アを指し示すデフォルト ルートを自動的に作成するには、このチェック ボックスをオンにします。 • Default Route Metric — デフォルト ルートに関連付けられてパス選択に使 用されるルート メトリックを指定します ( 任意、範囲は 1 ~ 65535)。 • Access Concentrator — 接続先のアクセス コンセントレータの名前を指定 します ( 任意、デフォルトなし )。 • Service — サービス文字列を指定します ( 任意、デフォルトなし )。 • Passive — パッシブ モードを使用するには、このチェック ボックスをオン にします。パッシブ モードでは、PPPoE エンド ポイントはアクセス コンセ ントレータが最初のフレームを送信するまで待機します。 DHCP Client インターフェイスが DHCP クライアントとして機能し、動的に割り当てられ た IP アドレスを受信できるようにするには、[DHCP Client] を選択します。 以下を指定します。 • Enable — インターフェイスで DHCP クライアントをアクティベーション するには、このチェック ボックスをオンにします。 • Automatically create default route point to server — DHCP サーバーに よって提供されるデフォルト ゲートウェイを指し示すデフォルト ルートを 自動的に作成するには、このチェック ボックスをオンにします。 • Default Route Metric — デフォルト ルートに関連付けられてパス選択に使 用されるルート メトリックを指定します ( 任意、範囲は 1 ~ 65535)。 DHCP サーバーから受信したすべての設定 (DHCP のリース状態、動的 IP 割 り当て、サブネット マスク、ゲートウェイ、サーバー設定 (DNS、NTP、ド メイン、WINS、NIS、POP3、および SMTP) など ) を表示するウィンドウを 開くには、[Show DHCP Client Runtime Info] をクリックします。 Palo Alto Networks ネットワーク設定 • 101 ファイアウォール インターフェイス 表 42. レイヤー 3 インターフェイス設定 ( 続き ) フィールド 説明 [IPv6] タブ Enable IPv6 on the interface このインターフェイスの IPv6 アドレスを有効にするには、このチェック ボッ クスをオンにします。 Interface ID 64 ビット拡張一意識別子を 16 進数形式で入力します ( たとえば、 00:26:08:FF:FE:DE:4E:29)。インターフェイス ID を空白のままにした場合、物 理インターフェイスの MAC アドレスから生成された EUI-64 がファイア ウォールで使用されます。 Address [Add] をクリックして IPv6 アドレスを入力します。インターフェイス ID を アドレスのホスト部分に使用するインターフェイスに IPv6 アドレスを割り 当てるには、[Prefix] を選択します。最も近いノードを経由するルーティング を含めるには [Anycast] を選択します。[Prefix] が選択されていない場合、イ ンターフェイスに割り当てる IPv6 アドレスをアドレス テキスト ボックスで すべて指定します。 Duplicate Address Detection Duplicate Address Detection (DAD) を有効にするには、このチェック ボック スをオンにし、以下の情報を指定します。 • DAD Attempts — DAD の近隣要請期間内の試行回数を指定します (範囲は 1 ~ 10)。この回数を超えるとネイバーに障害があると見なされます。 • Neighbor Solicitation (NS) Interval — DAD の試行秒数を指定します ( 範 囲は 1 ~ 10 秒 )。この秒数を超えると、障害があると見なされます。 • Reachable Time — クエリと応答が正常に行われてからネイバーに到達可 能なままである時間を指定します ( 範囲は 1 ~ 36000 秒 )。 [Advanced] タブ Link Speed インターフェイス速度を Mbps 単位で選択します ([10]、[100]、[1000] のいず れか )。 Link Duplex インターフェイスの伝送モードを、フル デュプレックス ([Full])、ハーフ デュ プレックス ([Half])、オート ネゴシエーション ([Auto]) から選択します。 Link State インターフェイスの状態を、有効 ([Up])、無効 ([Down])、自動決定 ([Auto]) から選択します。 Other Info [Other Info] サブタブで以下の情報を指定します。 • Management Profile — このインターフェイスを介したファイアウォール の管理に使用できるプロトコルがある場合、それらのプロトコルを指定する プロファイルを選択します。 • MTU — このレイヤー 3 インターフェイスで送信されるパケットの最大転 送単位 (MTU) をバイト数で入力します (512 ~ 1500、デフォルトは 1500)。 ファイアウォールの両側のマシンで Path MTU Discovery (PMTUD) が実行 されると、MTU が大きすぎることを示す ICMP フラグメント要求メッセー ジでこの MTU の値が返されます。 • Adjust TCP MSS — このチェック ボックスをオンにすると、最大セグメン ト サイズ (MSS) がインターフェイス MTU よりも 40 バイト少なくなるよ うに調整されます。この設定は、ネットワークを経由するトンネルに必要な MSS が小さい状況に対応します。この設定では、フラグメント化しないとパ ケットが MSS 内に収まらない場合に調整することができます。 • Untagged Subinterface — このレイヤー 3 インターフェイスに属するすべ てのサブインターフェイスにタグを付けないように指定します。ルーティ ングは、VLAN タグではなくインターフェイス IP アドレスによって決まり ます。 102 • ネットワーク設定 Palo Alto Networks ファイアウォール インターフェイス 表 42. レイヤー 3 インターフェイス設定 ( 続き ) フィールド 説明 ARP/Interface Entries 1 つ以上の静的 ARP エントリを追加するには、[Add] をクリックして IP アド レス、関連付けられたハードウェア (MAC) アドレス、およびハードウェア ア ドレスにアクセスできるレイヤー 3 インターフェイスを入力します。 ND Entries [Add] をクリックし、探索のために追加するネイバーの IP アドレスおよび MAC アドレスを入力します。 レイヤー 3 サブインターフェイスの設定 [Network] > [Interfaces] レイヤー 3 インターフェイスとして設定された各 Ethernet ポートに対して、ポートで受信するト ラフィックで使用される VLAN タグごとに追加の論理レイヤー 3 インターフェイス ( サブイン ターフェイス ) を定義できます。メイン レイヤー 3 インターフェイスを設定する方法については、 100 ページの「レイヤー 3 インターフェイスの設定」を参照してください。 親レイヤー 3 インターフェイスの [Untagged Subinterface] オプションが有効な場合、タグのない レイヤー 3 サブインターフェイスを使用することもできます。 タグのないサブインターフェイス は、各テナントのトラフィックが VLAN タグなしでファイアウォールから出力される必要がある マルチテナント環境で使用されます。 各テナントのトラフィックがファイアウォールから出力され、ネクストホップが ISP ルータである 場合の例を考えます。 ファイアウォールでバーチャル システムに適切に分類できるようにリター ン トラフィックに VLAN タグを適用することが常に可能なわけではありません。 このような場 合、ISP ルータの対向側でタグのないサブインターフェイスを使用できます。タグのない各サブイ ンターフェイスには IP アドレスが設定され、すべての送信トラフィックでそのインターフェイス の IP アドレスに NAT が適用されます。この機能を使用するには、明示的な NAT ルールを作成す る必要があります。タグのないサブインターフェイスには送信元 NAT が必要です。これは、ファ イアウォールでは受信 ( リターン パス ) パケットの宛先 IP アドレスを使用して、ポリシーの検索 に適したバーチャル システムが選択されるためです。タグのないサブインターフェイスの IP を宛 先としないトラフィックを親インターフェイスで受信した場合、そのトラフィックは親インター フェイスに割り当てられたバーチャル システムおよびバーチャル ルータによって処理されます。 レイヤー 3 Ethernet サブインターフェイスを追加するには、[Add Layer 3 Subinterface] を選択し、 以下の情報を指定します。 表 43. レイヤー 3 サブインターフェイス設定 フィールド Interface Name 説明 サブインターフェイスを追加するレイヤー 3 インターフェイスを選択しま す。レイヤー 3 インターフェイスを設定する方法については、100 ページの 「レイヤー 3 インターフェイスの設定」を参照してください。 物理インターフェイス名に付加して論理インターフェイス名を生成するため の数字 (1 ~ 9999) を入力します。一般的な名前の形式は以下のとおりです。 ethernetx/y.<1 ~ 9999> Tag このインターフェイスで受信されるトラフィックのタグ番号 (1 ~ 4094) を入 力します。このインターフェイスで送信されるトラフィックにもこのタグ値 が設定されます。 Netflow Profile 指定した Netflow サーバーにインターフェイス経由で入力されたすべてのト ラフィックをエクスポートする場合、プロファイルを選択します。66 ページ の「Netflow 設定の設定」を参照してください。 Palo Alto Networks ネットワーク設定 • 103 ファイアウォール インターフェイス 表 43. レイヤー 3 サブインターフェイス設定 ( 続き ) フィールド 説明 Comment インターフェイスの説明 ( 省略可 ) を入力します。 [Config] タブ Virtual Router バーチャル ルータを選択するか、[New] をクリックして新しいバーチャル ルータを定義します (116 ページの「バーチャル ルータとルーティング プロト コル」を参照 )。[None] では、インターフェイスから設定が削除されます。 Virtual System インターフェイスのバーチャル システムを選択します。[None] では、イン ターフェイスから設定が削除されます。 Security Zone インターフェイスのセキュリティ ゾーンを選択するか、[New] をクリックし て新しいゾーンを定義します (115 ページの「セキュリティ ゾーンの定義」を 参照 )。[None] では、インターフェイスから設定が削除されます。 [IPv4] タブ Type 以下に 示す IP アド レス情 報の 指定方 法 ([Static]、[PPPoE] また は [DHCP Client]) を選択します。 Static インターフェイスの IP アドレスとネットワーク マスクを ip_address/mask の形式で入力し、[Add] をクリックします。インターフェイスに対して複数の IP アドレスを入力できます。IP アドレスを削除するには、アドレスを選択し て [Delete] をクリックします。 DHCP Client インターフェイスが DHCP クライアントとして機能し、動的に割り当てられ た IP アドレスを受信できるようにするには、[DHCP Client] を選択します。 以下を指定します。 • Enable — インターフェイスで DHCP クライアントをアクティベーション するには、このチェック ボックスをオンにします。 • Automatically create default route point to server — 接続時に DHCP サー バーを指し示すデフォルト ルートを自動的に作成するには、このチェック ボックスをオンにします。 • Default Route Metric — デフォルト ルートに関連付けられてパス選択に使 用されるルート メトリックを指定します ( 任意、範囲は 1 ~ 65535)。 DHCP サーバーから受信したすべての設定 (DHCP のリース状態、動的 IP 割 り当て、サブネット マスク、ゲートウェイ、サーバー設定 (DNS、NTP、ド メイン、WINS、NIS、POP3、および SMTP) など ) を表示するウィンドウを 開くには、[Show DHCP Client Runtime Info] をクリックします。 [IPv6] タブ Enable IPv6 on the interface このインターフェイスの IPv6 アドレスを有効にするには、このチェック ボッ クスをオンにします。 Interface ID 64 ビット拡張一意識別子を 16 進数形式で入力します ( たとえば、 00:26:08:FF:FE:DE:4E:29)。インターフェイス ID を空白のままにした場合、物 理インターフェイスの MAC アドレスから生成された EUI-64 がファイア ウォールで使用されます。 Address [Add] をクリックして IPv6 アドレスを入力します。インターフェイス ID を アドレスのホスト部分に使用するインターフェイスに IPv6 アドレスを割り 当てるには、[Prefix] を選択します。最も近いノードを経由するルーティング を含めるには [Anycast] を選択します。[Prefix] が選択されていない場合、イ ンターフェイスに割り当てる IPv6 アドレスをアドレス テキスト ボックスで すべて指定します。 104 • ネットワーク設定 Palo Alto Networks ファイアウォール インターフェイス 表 43. レイヤー 3 サブインターフェイス設定 ( 続き ) フィールド 説明 Duplicate Address Detection Duplicate Address Detection (DAD) を有効にするには、このチェック ボック スをオンにし、以下の情報を指定します。 • DAD Attempts — DAD の近隣要請期間内の試行回数を指定します (範囲は 1 ~ 10)。この回数を超えるとネイバーに障害があると見なされます。 • Neighbor Solicitation (NS) Interval — DAD の試行秒数を指定します ( 範 囲は 1 ~ 10 秒 )。この秒数を超えると、障害があると見なされます。 • Reachable Time — クエリと応答が正常に行われてからネイバーに到達可 能なままである時間を指定します ( 範囲は 1 ~ 36000 秒 )。 [Advanced] タブ Other Info [Other Info] サブタブで以下の情報を指定します。 • Management Profile — このインターフェイスを介したファイアウォール の管理に使用できるプロトコルがある場合、それらのプロトコルを指定する プロファイルを選択します。 • MTU — このレイヤー 3 インターフェイスで送信されるパケットの最大転 送単位 (MTU) をバイト数で入力します (512 ~ 1500、デフォルトは 1500)。 ファイアウォールの両側のマシンで Path MTU Discovery (PMTUD) が実行 されると、MTU が大きすぎることを示す ICMP フラグメント要求メッセー ジでこの MTU の値が返されます。 • Adjust TCP MSS — このチェック ボックスをオンにすると、最大セグメン ト サイズ (MSS) がインターフェイス MTU よりも 40 バイト少なくなるよ うに調整されます。この設定は、ネットワークを経由するトンネルに必要な MSS が小さい状況に対応します。この設定では、フラグメント化しないとパ ケットが MSS 内に収まらない場合に調整することができます。 ARP Entries 1 つ以上の静的 ARP (Address Resolution Protocol) エントリを追加するには、 IP アドレスと関連付けられたハードウェア (Media Access Control、つまり MAC) アドレスを入力し、[Add] をクリックします。静的エントリを削除する には、エントリを選択して [Delete] をクリックします。静的 ARP エントリに よって、指定したアドレスの ARP 処理が減り、中間者攻撃が防止されます。 ND Entries [Add] をクリックし、探索のために追加するネイバーの IP アドレスおよび MAC アドレスを入力します。 バーチャル ワイヤ インターフェイスの設定 [Network] > [Interfaces] 2 つの Ethernet ポートを 1 つのバーチャル ワイヤとして結合し、すべてのトラフィック、または 選択した VLAN タグを持つトラフィックのみをポート間で渡すことができます ( 他のスイッチン グまたはルーティング サービスは使用できません )。バーチャル ワイヤでは、隣接ネットワーク デ バイスへの変更は必要ありません。バーチャル ワイヤ導入の概要は、94 ページの「バーチャル ワ イヤ導入」を参照してください。 ファイアウォールを介してバーチャル ワイヤをセットアップするには、以下の手順で説明するよ うに、最初に入力および出力のバーチャル ワイヤ インターフェイスを定義し、次に作成したイン ターフェイスを使用してバーチャル ワイヤを作成します。 各バーチャル ワイヤ インターフェイスを設定するには、以下の手順を実行します。 1. [Ethernet] タブでバーチャル ワイヤに使用するインターフェイスを確認し、現在のセキュリ ティ ゾーンに含まれていればゾーンから削除します。 2. インターフェイス名をクリックし、以下の情報を指定します。 Palo Alto Networks ネットワーク設定 • 105 ファイアウォール インターフェイス 表 44. バーチャル ワイヤ設定 フィールド 説明 Interface Name ドロップダウン リストからインターフェイスを選択します。必要に応じて名 前を変更します。 Interface Type ドロップダウン リストから [Virtual Wire] を選択します。 Netflow Profile 指定した Netflow サーバーにインターフェイス経由で入力されたすべてのト ラフィックをエクスポートする場合、プロファイルを選択します。66 ページ の「Netflow 設定の設定」を参照してください。 Comment インターフェイスの説明 ( 省略可 ) を入力します。 [Config] タブ Virtual Wire バーチャル ワイヤを選択するか、[New] をクリックして新しいバーチャル ワ イヤを定義します (96 ページの「バーチャル ワイヤの定義」を参照 )。[None] では、インターフェイスから設定が削除されます。 Virtual System インターフェイスのバーチャル システムを選択します。[None] では、イン ターフェイスから設定が削除されます。 Zone インターフェイスのセキュリティ ゾーンを選択するか、[New] をクリックし て新しいゾーンを定義します (115 ページの「セキュリティ ゾーンの定義」を 参照 )。[None] では、インターフェイスから設定が削除されます。 [Advanced] タブ Link Speed インターフェイス速度を指定します。選択したインターフェイスが 10 Gbps インターフェイスの場合、オプションは [auto] のみになります。その他の場 合、オプションは [10]、[100]、[1000]、または [auto] になります。 Link Duplex インターフェイスの伝送モードを、フル デュプレックス ([Full])、ハーフ デュ プレックス ([Half])、オート ネゴシエーション ([Auto]) から選択します。 Link State インターフェイスの状態を、有効 ([Up])、無効 ([Down])、自動決定 ([Auto]) から選択します。 バーチャル ワイヤを別のインターフェイス タイプに変更するには、[VLAN/Virtual Wire] 列に表 示されているバーチャル ワイヤ名をクリックし ( 表示されている場合 )、[None] を選択して、[OK] をクリックします。 106 • ネットワーク設定 Palo Alto Networks ファイアウォール インターフェイス 集約インターフェイス グループの設定 [Network] > [Interfaces] 集約インターフェイス グループを使用すると、複数の 1 Gbps リンクを集約した 802.3ad リンクを 使用して 1 Gbps を超える集約スループットを提供できます。10 Gbps XFP および SFP+ の集約も サポートしています。作成した集約インターフェイスは論理インターフェイスになります。イン ターフェイス管理、ゾーン プロファイル、VPN インターフェイス、および VLAN サブインター フェイスはすべて論理集約インターフェイスのプロパティであり、基礎となる物理インターフェイ スのプロパティではありません。 各集約グループには、Aggregate Ethernet タイプの物理インターフェイスを複数含めることができ ます。グループを作成すると、レイヤー 2 またはレイヤー 3 パラメータを Aggregate Group オブ ジェクト上 (Aggregate Ethernet インターフェイスそのものではなく ) に設定するなどの操作を実 行できます。 集約インターフェイス グループには以下のルールが適用されます。 • インターフェイスには、バーチャル ワイヤ、レイヤー 2、およびレイヤー 3 インターフェイス との互換性があります。 • タップ モードはサポートされません。 • グループ内の 1G リンクは同じタイプにする必要があります ( すべて銅線またはすべてファ イバ )。 • 1 つの集約グループに最大 8 個の集約インターフェイスを含めることができます。 • 集約グループのメンバはすべて同じタイプにする必要があります。これは、コミット操作中に 検証されます。 • 集約グループは、アクティブ / アクティブ HA 導入で HA3 ( パケット転送 ) リンクの冗長性お よびスループットをスケーリングするために使用できます。 1 つ以上のインターフェイスを、Aggregate Ethernet インターフェイス グループの一部として設定 できます。このセクションで説明するように、最初にグループを定義し、続いてインターフェイス をグループに割り当てます。インターフェイスをグループに割り当てる手順の詳細は、103 ページ の「レイヤー 3 サブインターフェイスの設定」を参照してください。 集約グループのインターフェイスを作成および設定するには、[Add Aggregate Group] をクリック し、以下の情報を指定します。 表 45. 集約グループ インターフェイス設定 フィールド 説明 Interface Name インターフェイスの識別に使用する名前および数値のサフィックスを入力し ます。インターフェイス名は、mm.n のように表示されます。ここで、mm は 名前、n はサフィックス (1 ~ 8) です。 Interface Type インターフェイス タイプを選択します。 • HA — 追加の設定は必要ありません。 • Layer 2 — 表 41 で説明されているように設定します。 • Layer 3 — 表 43 で説明されているように設定します。 Comment Palo Alto Networks インターフェイスの説明 ( 省略可 ) を入力します。 ネットワーク設定 • 107 ファイアウォール インターフェイス 表 45. 集約グループ インターフェイス設定 ( 続き ) フィールド 説明 Assign Interface To Assign Interface To インターフェイスの割り当ては、以下のようにインターフェイス タイプに よって異なります。 • Layer 2 — VLAN およびゾーンを指定します。 • Layer 3 — バーチャル ルータおよびゾーンを指定します。 • Virtual Wire — バーチャル ワイヤおよびゾーンを指定します。 注 : タイプが [HA] である場合、このセクションで指定するオプションはあり ません。 Virtual System インターフェイスのバーチャル システムを選択します。[None] では、イン ターフェイスから設定が削除されます。 Aggregate Ethernet インターフェイスの設定 [Network] > [Interfaces] Aggregate Ethernet インターフェイスにはそれぞれ ae.number の形式で名前が割り当てられ、レイ ヤー 2、レイヤー 3、バーチャル ワイヤのいずれかのタイプを指定できます。割り当て後、新しい インターフェイスは他のインターフェイスと同様に機能します。 Aggregate Ethernet インターフェイスを設定するには、[Ethernet] タブでインターフェイス名をク リックし、以下の情報を指定します。 表 46. Aggregate Ethernet インターフェイス設定 フィールド 説明 Interface Name ドロップダウン リストからインターフェイスを選択します。必要に応じて名 前を変更します。 Interface Type ドロップダウン リストから [Aggregate Ethernet] を選択します。 Netflow Profile 指定した Netflow サーバーにインターフェイス経由で入力されたすべてのト ラフィックをエクスポートする場合、プロファイルを選択します。66 ページ の「Netflow 設定の設定」を参照してください。 Comment インターフェイスの説明 ( 省略可 ) を入力します。 [Config] タブ Virtual System インターフェイスのバーチャル システムを選択します。[None] では、イン ターフェイスから設定が削除されます。 Security Zone インターフェイスのセキュリティ ゾーンを選択するか、[New] をクリックし て新しいゾーンを定義します (115 ページの「セキュリティ ゾーンの定義」を 参照 )。[None] では、インターフェイスから設定が削除されます。 [Advanced] タブ Link Speed インターフェイス速度を Mbps 単位で選択します ([10]、[100]、[1000] のいず れか )。 Link Duplex インターフェイスの伝送モードを、フル デュプレックス ([Full])、ハーフ デュ プレックス ([Half])、オート ネゴシエーション ([Auto]) から選択します。 Link State インターフェイスの状態を、有効 ([Up])、無効 ([Down])、自動決定 ([Auto]) から選択します。 108 • ネットワーク設定 Palo Alto Networks ファイアウォール インターフェイス VLAN インターフェイスの設定 [Network] > [Interfaces] レイヤー 2 インターフェイスとして設定された Ethernet ポートごとに、VLAN インターフェイス を定義し、VLAN の外部にあるレイヤー 3 の宛先に VLAN トラフィックをルーティングできます。 メイン レイヤー 2 インターフェイスを設定する方法については、98 ページの「レイヤー 2 インター フェイスの設定」を参照してください。 VLAN インターフェイスを定義するには、[VLAN] タブを開いて [Add] をクリックし、以下の設 定を指定します。 表 47. VLAN インターフェイス設定 フィールド 説明 Interface Name インターフェイスの数値のサフィックス (1 ~ 4999) を指定します。 Comment インターフェイスの説明 ( 省略可 ) を追加します。 [Config] タブ VLAN VLAN を選択するか、[New] をクリックして新しい VLAN を定義します (137 ページの「ネットワーク プロファイル」を参照 )。[None] では、インター フェイスから設定が削除されます。 Virtual Router バーチャル ルータを選択するか、[New] をクリックして新しいバーチャル ルータを定義します (116 ページの「バーチャル ルータとルーティング プロト コル」を参照 )。[None] では、インターフェイスから設定が削除されます。 Virtual System インターフェイスのバーチャル システムを選択します。[None] では、イン ターフェイスから設定が削除されます。 Security Zone インターフェイスのセキュリティ ゾーンを選択するか、[New] をクリックし て新しいゾーンを定義します (115 ページの「セキュリティ ゾーンの定義」を 参照 )。[None] では、インターフェイスから設定が削除されます。 [IPv4] タブ Static 静的 IP アドレスを割り当てるには、[Static] を選択します。[Add] をクリック し、インターフェイスの IP アドレスとネットワーク マスクを ip_address/mask の形式で入力します。インターフェイスに対して複数の IP アドレスを入力で きます。 DHCP Client インターフェイスに DHCP アドレス割り当てを使用するには、DHCP を選択 し、以下の情報を指定します。 • Enable — インターフェイスで DHCP クライアントをアクティベーション するには、このチェック ボックスをオンにします。 • Automatically create default route point to server — 接続時に DHCP サー バーを指し示すデフォルト ルートを自動的に作成するには、このチェック ボックスをオンにします。 • Default Route Metric — デフォルト ルートに関連付けられてパス選択に使 用されるルート メトリックを指定します ( 任意、範囲は 1 ~ 65535)。 DHCP サーバーから受信したすべての設定 (DHCP のリース状態、動的 IP 割 り当て、サブネット マスク、ゲートウェイ、サーバー設定 (DNS、NTP、ド メイン、WINS、NIS、POP3、および SMTP) など ) を表示するウィンドウを 開くには、[Show DHCP Client Runtime Info] をクリックします。 ARP Entries Palo Alto Networks 1 つ以上の静的 ARP エントリを追加するには、IP アドレスと関連付けられた ハードウェア (MAC) アドレスを入力し、[Add] をクリックします。静的エン トリを削除するには、エントリを選択して [Delete] をクリックします。 ネットワーク設定 • 109 ファイアウォール インターフェイス 表 47. VLAN インターフェイス設定 ( 続き ) フィールド 説明 [IPv6] タブ Enable サブインターフェイスの IPv6 アドレスを有効にするには、このチェック ボッ クスをオンにします。 Interface ID サブインターフェイスの EUI-64 アドレスを 16 進数で指定します。 Address IPv6 アドレスを入力します。インターフェイス ID をアドレスのホスト部分 に使用するインターフェイスに IPv6 アドレスを割り当てるには、[Prefix] を 選択します。最も近いノードを経由するルーティングを含めるには [Anycast] を選択します。 Neighbor Discovery 100 ページの「レイヤー 3 インターフェイスの設定」で説明されているように 近隣探索の設定を指定します。 [Advanced] タブ Other Info 以下を指定します。 • Management Profile — このインターフェイスを介したファイアウォール の管理に使用できるプロトコルがある場合、それらのプロトコルを指定する プロファイルを選択します。 • MTU — このインターフェイスで送信されるパケットの MTU をバイト数 で入力します (512 ~ 1500、デフォルトは 1500)。ファイアウォールの両側の マシンで PMTUD が実行されると、MTU が大きすぎることを示す ICMP フ ラグメント要求メッセージでこの MTU の値が返されます。 • Adjust TCP MSS — このチェック ボックスをオンにすると、最大セグメン ト サイズ (MSS) がインターフェイス MTU よりも 40 バイト少なくなるよ うに調整されます。この設定は、ネットワークを経由するトンネルに必要な MSS が小さい状況に対応します。この設定では、フラグメント化しないとパ ケットが MSS 内に収まらない場合に調整することができます。 ARP/Interface Entries 1 つ以上の静的 ARP エントリを追加するには、[Add] をクリックして IP アド レス、関連付けられたハードウェア (MAC) アドレス、およびハードウェア ア ドレスにアクセスできるレイヤー 3 インターフェイスを入力します。 ND Entries [Add] をクリックし、探索のために追加するネイバーの IP アドレスおよび MAC アドレスを入力します。 ループバック インターフェイスの設定 [Network] > [Interfaces] 必要に応じて、1 つ以上のレイヤー 3 ループバック インターフェイスを定義できます。たとえば、 管理ポートを使用するのではなく、ループバック インターフェイスを定義してファイアウォール を管理できます。 VLAN インターフェイスを定義するには、[Loopback] タブを開いて [Add] をクリックし、以下の 設定を指定します。 表 48. ループバック インターフェイス設定 フィールド 説明 Interface Name インターフェイスの数値のサフィックス (1 ~ 4999) を指定します。 Comment インターフェイスの説明 ( 省略可 ) を追加します。 110 • ネットワーク設定 Palo Alto Networks ファイアウォール インターフェイス 表 48. ループバック インターフェイス設定 ( 続き ) フィールド 説明 [Config] タブ Virtual Router バーチャル ルータを選択するか、[New] をクリックして新しいバーチャル ルータを定義します (116 ページの「バーチャル ルータとルーティング プロト コル」を参照 )。[None] では、インターフェイスから設定が削除されます。 Virtual System インターフェイスのバーチャル システムを選択します。[None] では、イン ターフェイスから設定が削除されます。 Zone インターフェイスのセキュリティ ゾーンを選択するか、[New] をクリックし て新しいゾーンを定義します (115 ページの「セキュリティ ゾーンの定義」を 参照 )。[None] では、インターフェイスから設定が削除されます。 MTU このインターフェイスで送信されるパケットの MTU をバイト数で入力しま す (512 ~ 1500、デフォルトは 1500)。 ファイアウォールの両側のマシンで PMTUD が実行されると、MTU が大きす ぎることを示す ICMP フラグメント要求メッセージでこの MTU の値が返さ れます。 Management Profile このインターフェイスを介したファイアウォールの管理に使用できるプロト コルがある場合、それらのプロトコルを指定するプロファイルを選択します。 [IPv4] タブ IP Address [Add] をクリックし、インターフェイスの IP アドレスとネットワーク マスク を入力します。 [IPv6] タブ Enable サブインターフェイスの IPv6 アドレスを有効にするには、このチェック ボッ クスをオンにします。 Interface ID サブインターフェイスの EUI-64 アドレスを 16 進数で指定します。 Address IPv6 アドレスを入力します。インターフェイス ID をアドレスのホスト部分 に使用するインターフェイスに IPv6 アドレスを割り当てるには、[Prefix] を 選択します。最も近いノードを経由するルーティングを含めるには [Anycast] を選択します。 [Advanced] タブ Other Info 以下の設定を指定します。 • Management Profile — このインターフェイスを介したファイアウォール の管理に使用できるプロトコルがある場合、それらのプロトコルを指定する プロファイルを選択します。 • MTU — このレイヤー 3 インターフェイスで送信されるパケットの最大転 送単位 (MTU) をバイト数で入力します (512 ~ 1500、デフォルトは 1500)。 ファイアウォールの両側のマシンで Path MTU Discovery (PMTUD) が実行 されると、MTU が大きすぎることを示す ICMP フラグメント要求メッセー ジでこの MTU の値が返されます。 • Adjust TCP MSS — このチェック ボックスをオンにすると、最大セグメン ト サイズ (MSS) がインターフェイス MTU よりも 40 バイト少なくなるよ うに調整されます。この設定は、ネットワークを経由するトンネルに必要な MSS が小さい状況に対応します。この設定では、フラグメント化しないとパ ケットが MSS 内に収まらない場合に調整することができます。 Palo Alto Networks ネットワーク設定 • 111 ファイアウォール インターフェイス トンネル インターフェイスの設定 [Network] > [Interfaces] トンネル インターフェイスを定義するには、[Tunne] タブを開いて [Add] をクリックし、以下の 設定を指定します。 表 49. トンネル インターフェイス設定 フィールド 説明 Interface Name インターフェイスの数値のサフィックス (1 ~ 4999) を指定します。 Comment インターフェイスの説明 ( 省略可 ) を追加します。 IP 動的ルーティングを使用している場合、IP アドレスを入力します。 Management Profile このインターフェイスに関連付ける管理プロファイルを選択します。 MTU このレイヤー 3 インターフェイスで送信されるパケットの MTU をバイト数 で入力します (512 ~ 1500、デフォルトは 1500)。 ファイアウォールの両側のマシンで PMTUD が実行されると、MTU が大きす ぎることを示す ICMP フラグメント要求メッセージでこの MTU の値が返さ れます。 注 : IP フラグメントを実行したときのトンネルのオーバーヘッドはファイア ウォールで自動的に計算されます。また、必要に応じて TCP 最大セグメント サイズ (MSS) が調整されます。 Virtual Router このインターフェイスのバーチャル ルータを選択するか、[New] をクリック して新しいバーチャル ルータを設定します。116 ページの「バーチャル ルー タとルーティング プロトコル」を参照してください。[None] では、インター フェイスから設定が削除されます。 Virtual System インターフェイスのバーチャル システムを選択します。[None] では、イン ターフェイスから設定が削除されます。 Zone インターフェイスのセキュリティ ゾーンを選択するか、[New] をクリックし て新しいゾーンを定義します (115 ページの「セキュリティ ゾーンの定義」を 参照 )。[None] では、インターフェイスから設定が削除されます。 タップ インターフェイスの設定 [Network] > [Interfaces] 必要に応じてタップ インターフェイスを定義し、スイッチの SPAN ポートへの接続を許可してト ラフィックのモニタリングのみを行うことができます (96 ページの「タップ モード導入」を参照 )。 タップ インターフェイスを定義するには、[Ethernet] タブでインターフェイス名をクリックし、以 下の情報を指定します。 表 50. タップ インターフェイス設定 フィールド 説明 Interface Name インターフェイスの名前を指定するか、デフォルト名のままにします。 Interface Type ドロップダウン リストから [Tap] を選択します。 Netflow Profile 指定した Netflow サーバーにインターフェイス経由で入力されたすべてのト ラフィックをエクスポートする場合、プロファイルを選択します。66 ページ の「Netflow 設定の設定」を参照してください。 112 • ネットワーク設定 Palo Alto Networks ファイアウォール インターフェイス 表 50. タップ インターフェイス設定 ( 続き ) フィールド 説明 Comment インターフェイスの説明 ( 省略可 ) を入力します。 [Config] タブ Virtual System バーチャル システムを選択します。[None] では、インターフェイスから設定 が削除されます。 Zone インターフェイスのセキュリティ ゾーンを選択するか、[New] をクリックし て新しいゾーンを定義します (115 ページの「セキュリティ ゾーンの定義」を 参照 )。[None] では、インターフェイスから設定が削除されます。 [Advanced] タブ Link Speed インターフェイス速度を Mbps 単位で選択します ([10]、[100]、[1000] のいず れか )。 Link Duplex インターフェイスの伝送モードを、フル デュプレックス ([Full])、ハーフ デュ プレックス ([Half])、オート ネゴシエーション ([Auto]) から選択します。 Link State インターフェイスの状態を、有効 ([Up])、無効 ([Down])、自動決定 ([Auto]) から選択します。 HA インターフェイスの設定 HA インターフェイスにはそれぞれ固有の機能があります。一方のインターフェイスは設定の同期 とハートビート機能を持ち、もう一方のインターフェイスは状態の同期機能を持っています。アク ティブ / アクティブの高可用性が有効になっている場合、3 つ目の HA インターフェイスを使用し てパケットを転送できます。 注 : 一部の Palo Alto Networks ファイアウォールには、HA 専用の物理ポート があります ( 制御リンク用とデータ リンク用 )。専用ポートのないファイアウォー ルの場合、HA に使用するデータ ポートを指定する必要があります。HA の詳細 は、78 ページの「ファイアウォールの HA の有効化」を参照してください。 HA インターフェイスを定義するには、インターフェイス名をクリックし、以下の情報を指定します。 表 51. HA インターフェイス設定 フィールド 説明 Interface Name ドロップダウン リストからインターフェイスを選択します。必要に応じて名 前を変更します。 Interface Type ドロップダウン リストから [HA] を選択します。 Comment インターフェイスの説明 ( 省略可 ) を入力します。 [Advanced] タブ Link Speed インターフェイス速度を Mbps 単位で選択します ([10]、[100]、[1000] のいず れか )。 Link Duplex インターフェイスの伝送モードを、フル デュプレックス ([Full])、ハーフ デュ プレックス ([Half])、オート ネゴシエーション ([Auto]) から選択します。 Link State インターフェイスの状態を、有効 ([Up])、無効 ([Down])、自動決定 ([Auto]) から選択します。 Palo Alto Networks ネットワーク設定 • 113 セキュリティ ゾーン セキュリティ ゾーン セキュリティ ゾーンによって、ファイアウォール上の 1 つ以上の送信元または宛先インターフェ イスが識別されます。セキュリティ ポリシー ルールを定義する場合、トラフィックの送信元およ び宛先セキュリティ ゾーンを指定する必要があります。たとえば、インターネットに接続されてい るインターフェイスは「信頼されていない」セキュリティ ゾーンにあり、内部ネットワークに接 続されているインターフェイスは「信頼された」セキュリティ ゾーンにあると指定できます。 インターフェイスのタイプ ( レイヤー 2、レイヤー 3、バーチャル ワイヤ ) ごとに別個のゾーンを 作成する必要があり、各インターフェイスでトラフィックを処理するには事前にインターフェイス をゾーンに割り当てておく必要があります。セキュリティ ポリシーは同じタイプのゾーン間にの み定義できます。ただし、1 つ以上の VLAN に対して VLAN インターフェイスを作成した場合、 その VLAN インターフェイス ゾーンとレイヤー 3 インターフェイス ゾーン ( 図 13) 間にセキュリ ティ ポリシーを適用すると、レイヤー 2 インターフェイス ゾーンとレイヤー 3 インターフェイス ゾーン間にポリシーを適用するのと同じ効果があります。 図 13. ゾーンとインターフェイス タイプ 114 • ネットワーク設定 Palo Alto Networks セキュリティ ゾーン セキュリティ ゾーンの定義 [Network] > [Zones] ファイアウォール インターフェイスでトラフィックを処理するには、インターフェイスがセキュ リティ ゾーンに割り当てられている必要があります。セキュリティ ゾーンを定義するには、 [New] をクリックし、以下の情報を指定します。 表 52. セキュリティ ゾーン設定 フィールド 説明 Name ゾーン名 ( 最大 31 文字 ) を入力します。この名前は、セキュリティ ポリシー の定義時とインターフェイスの設定時にゾーンのリストに表示されます。名 前の大文字と小文字は区別されます。また、一意の名前にする必要がありま す。文字、数字、スペース、ハイフン、ピリオド、およびアンダースコアのみ を使用してください。 Location このゾーンに適用するバーチャル システムを選択します。 Type ゾーン タイプ ([Layer2]、[Layer3]、[Virtual Wire]、[Tap]、[External vsys] の いずれか ) を選択します。これにより、選択したタイプで、まだゾーンに割り 当てられていないインターフェイスがすべて表示されます。[Layer 2] および [Layer 3] ゾーン タイプでは、該当タイプの Ethernet インターフェイスとサブ インターフェイスがすべて表示されます。[External vsys] タイプは、ファイア ウォール内のバーチャル システム間の通信に使用します。86 ページの「バー チャル システム間の通信」を参照してください。 各インターフェイスは、1 つのバーチャル システムの 1 つのゾーンに属する ことができます。 Zone Protection Profiles セキュリティ ゲートウェイがこのゾーンからの攻撃に対応する方法を指定し たプロファイルを選択します。新しいプロファイルを追加する方法について は、139 ページの「ゾーン プロテクション プロファイルの定義」を参照して ください。 Log Setting ゾーン プロテクション ログを外部システムに転送するためのログ転送プロ ファイルを選択します。 Enable User Identification ゾーン単位でユーザー ID 機能を有効にするには、オンにします。 User Identification ACL Include List 識別対象とするユーザーまたはグループの IP アドレスまたは IP アドレス / マスクを入力します ( 形式は ip_address/mask、10.1.1.1/24 など )。[Add] をク リックします。必要に応じて繰り返します。許可リストが設定されていない 場合、すべての IP アドレスが許可されます。 User Identification ACL Exclude List 明示的に識別対象から除外するユーザーまたはグループの IP アドレスまた は IP アドレス / マスクを入力します ( 形式は ip_address/mask、10.1.1.1/24 な ど )。[Add] をクリックします。必要に応じて繰り返します。除外リストが設 定されていない場合、すべての IP アドレスが許可されます。 Palo Alto Networks ネットワーク設定 • 115 VLAN サポート VLAN サポート [Network] > [VLANs] このファイアウォールでは、IEEE 802.1Q 標準に準拠する VLAN がサポートされています。ファイ アウォールに定義されたレイヤー 2 インターフェイスはそれぞれ VLAN に関連付ける必要があり ます。同じ VLAN を複数のレイヤー 2 インターフェイスに割り当てることができますが、各イン ターフェイスは 1 つの VLAN にのみ属することができます。VLAN では、必要に応じて VLAN イ ンターフェイスを指定し、トラフィックを VLAN の外部にあるレイヤー 3 の宛先にルーティング することもできます。 表 53. VLAN 設定 フィールド 説明 Name VLAN 名 ( 最大 31 文字 ) を入力します。この名前は、インターフェイスを設 定するときに VLAN のリストに表示されます。名前の大文字と小文字は区別 されます。また、一意の名前にする必要があります。文字、数字、スペース、 ハイフン、およびアンダースコアのみを使用してください。 VLAN Interface トラフィックを VLAN の外部にルーティングできるようにするには、VLAN インターフェイスを選択します。VLAN インターフェイスを定義する方法に ついては、109 ページの「VLAN インターフェイスの設定」を参照してくだ さい。 L3 Forwarding Enabled VLAN インターフェイスを選択した場合、選択したインターフェイス経由で のレイヤー 3 ルーティングを有効にするには、このチェック ボックスをオン にします。 Interface VLAN のファイアウォール インターフェイスを指定します。 Static MAC Configuration MAC アドレスが到達するために経由する必要のあるインターフェイスを指 定します。これは、学習したインターフェイス対 MAC のマッピングよりも優 先されます。 バーチャル ルータとルーティング プロトコル バーチャル ルータをセットアップして、宛先 IP アドレスに応じたパケット転送を決定することに より、ファイアウォールはレイヤー 3 でパケットをルーティングすることができます。ファイア ウォールで定義された Ethernet インターフェイスおよび VLAN インターフェイスでは、レイヤー 3 トラフィックが送受信されます。宛先ゾーンは転送基準に基づいた発信インターフェイスによっ て決定され、ポリシー ルールに従って適用するセキュリティ ポリシーが識別されます。バーチャ ル ルータでは、他のネットワーク デバイスにルーティングする以外に、同じファイアウォール内 にある他のバーチャル ルータにルーティングすることもできます ( 別のバーチャル ルータがネク ストホップとして指定されている場合 )。 静的ルーティングと、Routing Information Protocol (RIP)、Open Shortest Path First (OSPF)、およ び Border Gateway Protocol (BGP) プロトコルを使用した動的ルーティングをサポートします。 注 : ポリシーベースの転送は、レイヤー 3 インターフェイスのトラフィックで もサポートされています。 116 • ネットワーク設定 Palo Alto Networks バーチャル ルータとルーティング プロトコル Routing Information Protocol (RIP) RIP は小規模 IP ネットワーク用に設計されており、ホップ カウントに基づいてルートを決定しま す。ホップ数が最も少ないルートが最適ルートになります。RIP は UDP 上で動作し、ルートの更 新にポート 520 を使用します。ルートを最大 15 ホップに制限すると、プロトコルによりルーティ ング ループの発生が回避され、サポートされるネットワーク サイズも制限されます。15 を超える ホップが必要な場合、トラフィックはルーティングされません。RIP は、OSPF やその他のルーティ ング プロトコルよりも収束に時間がかかる場合があります。ファイアウォールでは RIP v2 がサ ポートされています。 Open Shortest Path First (OSPF) OSPF は、Link State Advertisement (LSA) を経由して別のルータから情報を取得し、他のルータ にルートを通知することにより、動的にルートを決定します。ルータには宛先との間のリンク情報 が保存されているため、より効率的なルート決定を行うことができます。各ルータ インターフェイ スには 1 つのコストが割り当てられます。経由するすべてのルータの出力インターフェイスと LSA を受信したインターフェイスを総和したときコストが最低のルートとなるよう、最適なルートは決 定されます。 階層手法を使用して、通知する必要があるルートと関連する LSA の数を制限します。OSPF ではか なりの量のルート情報が動的に処理されるため、RIP の場合より大規模なプロセッサとメモリが必 要になります。 Border Gateway Protocol (BGP) Border Gateway Protocol (BGP) は、インターネット ルーティング プロトコルの主流となっていま す。BGP は、AS (Autonomous System) 内で使用可能な IP プレフィックスに基づいてネットワー クが到達可能かどうかを判断します。AS とは、ネットワーク プロバイダによって指定された、同 じルーティング ポリシーに属する IP プレフィックスのセットです。 ルーティング プロセスでは、接続は BGP ピア ( ネイバー ) 間で確立されます。ルートは、ポリシー によって許可されると、RIB (Routing Information Base) に保存されます。ローカル ファイアウォー ル RIB が更新されるたびに、ファイアウォールは最適なルートを判断し、エクスポートが有効な 場合は更新情報を外部 RIB に送信します。 BGP ルートの通知方法の制御には条件付き通知が使用されます。 条件付き通知ルールに適合した BGP ルートのみがピアに通知されます。 BGP では、集約を指定して複数ルートを 1 つのルートに結合することができます。集約プロセスで はまず、他の集約ルールのプレフィックス値を持つ受信ルートを比較し、最も長いルートを見つけ ることによって、対応する集約ルールを特定します。 このファイアウォールでは、以下の機能を含む、完全な BGP 実装が可能です。 • バーチャル ルータごとに 1 つの BGP ルーティング インスタンスを指定 • ルートマップに基づいたルーティング ポリシーによるインポート、エクスポート、および通 知の制御、プレフィックスに基づいたフィルタリング、アドレス集約 • ルート リフレクタ、AS コンフェデレーション、ルート フラップ ダンプニング、グレースフ ル リスタートなどの高度な BGP 機能 • IGP と BGP の相互作用による、再配信プロファイルを使用した BGP へのルートの注入 Palo Alto Networks ネットワーク設定 • 117 バーチャル ルータとルーティング プロトコル BGP 設定は、以下の要素で構成されます。 • ルーティング インスタンスごとの設定。これには、ローカル ルータ ID やローカル AS などの 基本パラメータと、パス選択、ルート リフレクタ、AS コンフェデレーション、ルート フラッ プ、ダンプニングのプロファイルなどの高度なオプションがあります。 • 認証プロファイル。BGP 接続のための MD5 認証鍵を指定します。 • ピア グループおよびネイバー設定。ネイバー アドレスやリモート AS に加え、ネイバー属性 やネイバー接続などの高度なオプションが含まれます。 • ルーティング ポリシー。ピア グループとピアがインポート、エクスポート、条件付き通知、 およびアドレス集約制御の実装に使用するルール セットを指定します。 マルチキャスト ルーティング マルチキャスト ルーティング機能では、PIMv2 によるメディア放送 ( ラジオやビデオ ) などの用途 で、Protocol Independent Multicast Sparse Mode (PIM-SM) および PIM Source Specific Multicast (PIM-SSM) を使用してマルチキャスト ストリームをファイアウォールでルーティングできます。 ファイアウォールは、IGMP が設定されているインターフェイスと同じネットワーク上にあるホスト に 対 し て Internet Group Management Protocol (IGMP) ク エ リ を 実 行 し ま す。PIM-SM お よ び IGMP は、レイヤー 3 インターフェイスで有効にできます。IGMP v1、v2、および v3 がサポートさ れています。PIM および IGMP は、ホストの対向インターフェイスで有効にする必要があります。 PAN-OS は、PIM 指名ルータ (DR)、PIM ランデブー ポイント (RP)、中間 PIM ルータ、または IGMP クエリとして機能しながら完全なマルチキャスト セキュリティを実現します。 ファイア ウォールは、RP が静的に設定される環境や動的に選択される環境に導入できます。 ブートスト ラップ ルータ (BSR) の役割はサポートされていません。 Palo Alto Networks ファイアウォール間 の IPSec トンネルを介した導入は完全にサポートされています。 IPSec 内の GRE のカプセル化は 現在サポートされていません。 セキュリティ ポリシー PAN-OS では、 2 つの方法でマルチキャスト フィードにセキュリティを適用できます。マルチキャ スト グループは、インターフェイス レベルで指定した IGMP および PIM のグループ権限設定で フィルタリングできます。 マルチキャスト トラフィックもセキュリティ ポリシーで明示的に許可 する必要があります。「マルチキャスト」と呼ばれる特別な宛先ゾーンを追加して、セキュリティ、 QoS、および DoS 保護ルールでマルチキャスト トラフィックを制御するように指定する必要があ ります。 送信元インターフェイスと宛先インターフェイスが同じゾーンに存在する場合、マルチ キャストのセキュリティ ポリシーはユニキャストのセキュリティ ポリシーとは対照的に明示的に 作成する必要があります。 脅威防御機能が必要なマルチキャスト環境では、セキュリティ プロ ファイルがサポートされています。 Logging ( 複数のインターフェイスに配信するためにファイアウォールでパケットを複製する場合でも ) ファイアウォールを通過するマルチキャスト セッションごとに 1 つのトラフィック ログ エント リのみが作成されます。 トラフィック ログには、マルチキャスト フィードの一部として配信され たバイト数ではなくファイアウォールで受信したバイト数が示されます。 118 • ネットワーク設定 Palo Alto Networks バーチャル ルータとルーティング プロトコル バーチャル ルータの定義 [Network] > [Virtual Routers] バーチャル ルータを定義すると、レイヤー 3 の転送ルールをセットアップして、動的ルーティン グ プロトコルを使用できるようになります。ファイアウォールに定義されたレイヤー 3 インター フェイス、ループバック インターフェイス、および VLAN インターフェイスはそれぞれ、バー チャル ルータに関連付けられている必要があります。各インターフェイスは、1 つのバーチャル ルータにのみ属することができます。 注 : Ethernet ポートをレイヤー 3 インターフェイスとして設定する方法につ いては、100 ページの「レイヤー 3 インターフェイスの設定」を参照してくだ さい。レイヤー 3 サブインターフェイスを定義する方法については、103 ペー ジの「レイヤー 3 サブインターフェイスの設定」を参照してください。バーチャ ル ルータの概要は、116 ページの「バーチャル ルータとルーティング プロト コル」を参照してください。 必要に応じて指定したタブで設定を定義します。 • General — バーチャル ルータに含めるインターフェイスを選択し、必要に応じて静的ルート を追加します。以下の表を参照してください。 表 54. バーチャル ルータ設定 - [General] タブ フィールド 説明 Name バーチャル ルータを表す名前を指定します (最大 31 文字)。名前の大文字と小 文字は区別されます。また、一意の名前にする必要があります。文字、数字、 スペース、ハイフン、およびアンダースコアのみを使用してください。 Interfaces バーチャル ルータに含めるインターフェイスを選択します。選択されたイン タ ー フ ェ イス は バ ー チ ャル ル ータ に 追 加 さ れ、バ ー チ ャル ルー タ の [Routing] タブで送信インターフェイスとして使用できます。 インターフェイス タイプを指定する方法については、97 ページの「ファイア ウォール インターフェイス」を参照してください。 注 : インターフェイスを追加すると、その接続済みルートが自動的に追加さ れます。 Admin Distances 以下の管理距離を指定します。 • 静的ルート (10 ~ 240、デフォルトは 10) • OSPF 内部 (10 ~ 240、デフォルトは 30) • OSPF 外部 (10 ~ 240、デフォルトは 110) • 内部 BGP (IBGP) (10 ~ 240、デフォルトは 200) • 外部 BGP (EBGP) (10 ~ 240、デフォルトは 20) • RIP (10 ~ 240、デフォルトは 120) Palo Alto Networks ネットワーク設定 • 119 バーチャル ルータとルーティング プロトコル • Static Routes — 任意で 1 つ以上の静的ルートを入力します。IPv4 または IPv6 アドレスを使 用してルートを指定するには、[IP] タブまたは [IPv6] タブをクリックします。通常、ここでデ フォルト ルート (0.0.0.0/0) を設定するために必要になります。デフォルト ルートは、他の方 法ではバーチャル ルータのルーティング テーブルに見つからない宛先に適用されます。 表 55. バーチャル ルータ設定 - [Static Routes] タブ フィールド 説明 Name 静的ルートの識別に使用する名前を入力します ( 最大 31 文字 )。名前の大文字 と小文字は区別されます。また、一意の名前にする必要があります。文字、数 字、スペース、ハイフン、およびアンダースコアのみを使用してください。 Destination IP アドレスとネットワーク マスクを ip_address/mask の形式で入力します。 Interfaces パケットを宛先に転送するインターフェイスを選択するか、ネクストホップ 設定を指定するか、その両方を行います。 Next Hop 以下のネクストホップ設定を指定します。 • None — ルートのネクストホップが存在しない場合に指定します。 • IP Address — ネクストホップ ルータの IP アドレスを指定します。 • Discard — この宛先のトラフィックを廃棄する場合に選択します。 • Next VR — ファイアウォールのルータをネクストホップとして選択しま す。このオプションでは、1 つのファイアウォール内のバーチャル ルータ間 で内部的にルーティングできます。 Admin Distance 静的ルートの管理距離を指定します (10 ~ 240、デフォルトは 10)。 Metric 静的ルートの有効なメトリックを指定します (1 ~ 65535)。 No Install 転送テーブルにルートをインストールしない場合はオンにします。ルートは 後で参照できるように設定に保持されます。 120 • ネットワーク設定 Palo Alto Networks バーチャル ルータとルーティング プロトコル • Redistribution Profiles — ルート再配信フィルタ、優先度、および目的のネットワーク動作に 基づいたアクションを変更します。ルート再配信を使用すると、静的ルートと他のプロトコル で取得されたルートを、指定したルーティング プロトコル経由で通知できます。再配信プロ ファイルを有効にするには、ルーティング プロトコルに適用する必要があります。再配信ルー ルがないと、各プロトコルば別個に実行され、それぞれの範囲外では通信しません。再配信プ ロファイルは、すべてのルーティング プロトコルが設定され、その結果のネットワーク トポ ロジが確立した後に追加または変更できます。再配信プロファイルを RIP および OSPF プロ トコルに適用するには、エクスポート ルールを定義します。再配信プロファイルを BGP に適 用するには、[Redistribution Rules] タブを使用します。以下の表を参照してください。 表 56. バーチャル ルータ設定 - [Redistribution Profiles] タブ フィールド 説明 Name [Add] をクリックして [Redistribution Profile] ページを表示し、プロファイ ル名を入力します。 Priority このプロファイルの優先度 ( 範囲は 1 ~ 255) を入力します。プロファイルは 順番に照合されます ( 優先度の昇順 )。 Redistribute このウィンドウの設定に基づいてルート再配信を実行するかどうかを選択し ます。 • Redist — 一致した候補ルートを再配信するには、オンにします。このオプ ションをオンにした場合、新しいメトリック値を入力します。メトリック値 が小さいほど適切なルートになります。 • No Redist — 一致した候補ルートを再配信しない場合、オンにします。 [General Filter] タブ Type 候補ルートのルート タイプを指定するには、このチェック ボックスをオンに します。 Interface 候補ルートの転送インターフェイスを指定するためのインターフェイスを選 択します。 Destination 候補ルートの宛先を指定するには、宛先 IP アドレスまたはサブネット ( 形式 は x.x.x.x または x.x.x.x/n) を入力して [Add] をクリックします。エントリを 削除するには、エントリに関連付けられた アイコンをクリックします。 Next Hop 候補ルートのゲートウェイを指定するには、ネクストホップを示す IP アドレ スまたはサブネット ( 形式は x.x.x.x または x.x.x.x/n) を入力して [Add] をク リックします。エントリを削除するには、エントリに関連付けられた アイ コンをクリックします。 [OSPF Filter] タブ Path Type 候補 OSPF ルートのルート タイプを指定するには、このチェック ボックスを オンにします。 Area 候補 OSPF ルートのエリア識別子を指定します。OSPF エリア ID ( 形式は x.x.x.x) を入力し、[Add] をクリックします。エントリを削除するには、エン トリに関連付けられた アイコンをクリックします。 Tag OSPF タグ値を指定します。数値でタグ値 (1 ~ 255) を入力し、[Add] をク リックします。エントリを削除するには、エントリに関連付けられた アイ コンをクリックします。 [BGP Filter] タブ Community BGP ルーティング ポリシーのコミュニティを指定します。 Extended Community BGP ルーティング ポリシーの拡張コミュニティを指定します。 Palo Alto Networks ネットワーク設定 • 121 バーチャル ルータとルーティング プロトコル • RIP — 選択したインターフェイスで Routing Information Protocol (RIP) を使用するためのパ ラメータを指定します。RIP と OSPF の両方を設定できますが、通常はこれらのプロトコルの いずれか 1 つのみを選択することをお勧めします。以下の表を参照してください。 表 57. バーチャル ルータ設定 - [RIP] タブ フィールド 説明 Enable RIP プロトコルを有効にするには、このチェック ボックスをオンにします。 Reject Default Route RIP 経由でデフォルト ルートを学習しない場合は、このチェック ボックスを オンにします。このチェック ボックスをオンにすることを強くお勧めします。 Allow Redist Default Route RIP 経由でデフォルト ルートの再配信を許可するには、このチェック ボック スをオンにします。 インターフェイス Interface RIP プロトコルを実行するインターフェイスを選択します。 Enable これらの設定を有効にするには、オンにします。 Advertise 指定したメトリック値でデフォルト ルートを RIP ピアに通知するには、オン にします。 Metric ルータ通知のメトリック値を指定します。このフィールドは、[Advertise] チェック ボックスがオンになっている場合にのみ表示されます。 Auth Profile プロファイルを選択します。 Mode [normal]、[passive]、または [send-only] を選択します。 Timers Interval Seconds (sec) タイマ間隔を秒単位で指定します。この時間は、他の [RIP Timing] のフィー ルドで使用されます (1 ~ 60)。 Update Intervals ルート更新通知間の間隔数を入力します (1 ~ 3600)。 Expire Intervals ルートが最後に更新されてから有効期限が切れるまでの間隔数を入力します (1 ~ 3600)。 Delete Intervals ルートの有効期限が切れてから削除されるまでの間隔数を入力します (1 ~ 3600)。 Auth Profiles Profile Name Password Type RIP メッセージを認証するための認証プロファイル名を入力します。RIP メッセージを認証するには、最初に認証プロファイルを定義し、次に [RIP] タ ブでそのプロファイルをインターフェイスに適用します。 パスワードのタイプを選択します ([Simple] または [MD5])。 • [Simple] を選択した場合は、パスワードを入力して確認します。 • [MD5] を選択した場合は、[Key-ID] (0 ~ 255)、[Key]、および任意の [Preferred] 状態など、1 つ以上のパスワード エントリを入力します。エント リごとに [Add] をクリックしてから、[OK] をクリックします。送信メッ セージの認証に使用する鍵を指定するには、[Preferred] オプションを選択 します。 Auth Profiles Export Rules 122 • ネットワーク設定 ( 読み取り専用 ) バーチャル ルータから受信側ルータに送信されるルートに適 用するルールが表示されます。 Palo Alto Networks バーチャル ルータとルーティング プロトコル • OSPF — 選択したインターフェイスで Open Shortest Path First (OSPF) プロトコルを使用す るためのパラメータを指定します。RIP と OSPF の両方を設定できますが、通常はこれらのプ ロトコルのいずれか 1 つのみを選択することをお勧めします。以下の表を参照してください。 表 58. バーチャル ルータ設定 - [OSPF] タブ フィールド 説明 Enable OSPF プロトコルを有効にするには、このチェック ボックスをオンにします。 Reject Default Route OSPF 経由でデフォルト ルートを学習しない場合は、このチェック ボックス をオンにします。特に静的ルートの場合は、このチェック ボックスをオンに することを強くお勧めします。 このバーチャル ルータの OSPF インスタンスに関連付けられているルータ ID を指定します。OSPF プロトコルでは、このルータ ID を使用して OSPF イ ンスタンスを一意に識別します。 Router ID このバーチャル ルータの OSPF インスタンスに関連付けられているルータ ID を指定します。OSPF プロトコルでは、このルータ ID を使用して OSPF イ ンスタンスを一意に識別します。 RFC 1583 Compatibility RFC 1583 への準拠を確保するには、このチェック ボックスをオンにします。 Areas Area ID OSPF パラメータを適用可能なエリアを設定します。 エリアの識別子を x.x.x.x の形式で入力します。この識別子を受け入れたネイ バーのみが同じエリアに属します。 Type 以下のいずれかのオプションを選択します。 • Normal — 制限はありません。エリアではすべてのタイプのルートを使用で きます。 • Stub — エリアからの出口はありません。エリア外にある宛先に到達するに は、別のエリアに接続されている境界を通過する必要があります。このオプ シ ョ ン を 選択 し た 場 合、他 の エ リ アか ら こ の タ イプ の LSA (Link State Advertisement) を受け入れるには [Accept Summary] を選択します。さら に、スタブエリアへの通知にデフォルト ルート LSA とそれに関連付けられ たメトリック値 (1 ~ 255) を含めるかどうかを指定します。 ス タ ブ エ リア の Available Bit Rate (ABR) イ ン タ ーフ ェ イ ス の [Accept Summary] オプションが無効になっている場合、OSPF エリアは Totally Stubby Area (TSA) として動作し、ABR はサマリー LSA を伝搬しません。 • NSSA (Not So Stub Area) — エリアから直接外部に出ることができますが、 OSPF ルート以外のルートを使用する必要があります。このオプションを選 択した場合、このタイプの LSA を受け入れるには [Accept Summary] を選 択します。スタブエリアへの通知にデフォルト ルート LSA とそれに関連付け られたメトリック値 (1 ~ 255) を含めるかどうかを指定します。さらに、デ フォルト LSA の通知に使用するルート タイプを選択します。NSSA 経由で学 習した外部ルートの他のエリアへの通知を有効にするか、停止する場合は、 [External Ranges] セクションの [Add] をクリックし、範囲を入力します。 Range Palo Alto Networks [Add] をクリックし、エリア内の LSA 宛先アドレスをサブネットに集約しま す。サブネットと一致する LSA の通知を有効にするか、停止して、[OK] をク リックします。別の範囲を追加する場合は、この操作を繰り返します。 ネットワーク設定 • 123 バーチャル ルータとルーティング プロトコル 表 58. バーチャル ルータ設定 - [OSPF] タブ ( 続き ) フィールド 説明 Interface [Add] をクリックし、エリアに含めるインターフェイスごとに以下の情報を 入力して、[OK] をクリックします。 • Interface — インターフェイスを選択します。 • Enable — OSPF インターフェイス設定を有効にします。 • Passive — OSPF インターフェイスで OSPF パケットを送受信しない場合 は、このチェック ボックスをオンにします。このオプションをオンにすると OSPF パケットは送受信されませんが、インターフェイスは LSA データ ベースに追加されます。 • Link type — このインターフェイスを経由してアクセス可能なすべてのネイ バーを、OSPF hello メッセージのマルチキャストによって自動的に検出す るには、[broadcast] を選択します (Ethernet インターフェイスなど )。自動 的にネイバーを検出する場合は、[p2p] ( ポイントツーポイント ) を選択しま す。ネイバーを手動で定義する必要がある場合は、[p2mp] ( ポイントツーマ ルチポイント ) を選択します。ネイバーを手動で定義できるのは、p2mp モードの場合のみです。 • Metric — このインターフェイスの OSPF メトリックを入力します (0 ~ 65535)。 • Priority — このインターフェイスの OSPF 優先度を入力します (0 ~ 255)。 OSPF プロトコルでは、この優先度に基づいて、ルータが指名ルータ (DR) または バックアップ DR (BDR) として選択されます。値が 0 の場合、ルータ が DR または BDR として選択されることはありません。 • Auth Profile — 以前に定義した認証プロファイルを選択します。 • Timing — デフォルトのタイミング設定のまま使用することをお勧めします。 • Neighbors — p2pmp インターフェイスの場合、このインターフェイスを介し て到達可能なすべてのネイバーに対するネイバー IP アドレスを入力します。 Virtual Link バックボーンエリアの接続を維持または拡張するには、バーチャル リンク設 定を指定します。この設定は、エリア境界ルータに対して、バックボーンエリ ア内 (0.0.0.0) で定義する必要があります。[Add] をクリックし、バックボーン エリアに含めるバーチャル リンクごとに以下の情報を入力して、[OK] をク リックします。 • Name — バーチャル リンクの名前を入力します。 • Neighbor ID — バーチャル リンクの反対側のルータ ( ネイバー ) のルータ ID を入力します。 • Transit Area — バーチャル リンクが物理的に含まれる中継エリアのエリア ID を入力します。 • Enable — バーチャル リンクを有効にするには、オンにします。 • Timing — デフォルトのタイミング設定のまま使用することをお勧めします。 • Auth Profile — 以前に定義した認証プロファイルを選択します。 Auth Profiles Profile Name 認証プロファイルの名前を入力します。OSPF メッセージを認証するには、最 初に認証プロファイルを定義し、次に [OSPF] タブでそのプロファイルをイン ターフェイスに適用します。 Password Type パスワードのタイプを選択します ([Simple] または [MD5])。 • [Simple] を選択した場合は、パスワードを入力します。 • [MD5] を選択した場合は、[Key-ID] (0 ~ 255)、[Key]、および任意の [Preferred] 状態など、1 つ以上のパスワード エントリを入力します。エント リごとに [Add] をクリックしてから、[OK] をクリックします。送信メッセー ジの認証に使用する鍵を指定するには、[Preferred] オプションを選択します。 124 • ネットワーク設定 Palo Alto Networks バーチャル ルータとルーティング プロトコル 表 58. バーチャル ルータ設定 - [OSPF] タブ ( 続き ) フィールド 説明 Export Rules Allow Redist Default Route OSPF 経由でデフォルト ルートの再配信を許可するには、このチェック ボッ クスをオンにします。 Name 再配信プロファイルの名前を選択します。 New Path Type 適用するメトリック タイプを選択します。 New Tag 一致したルート用に 32 ビット値のタグを指定します。 • BGP — 選択したインターフェイスで Border Gateway Protocol (BGP) を使用するためのパラ メータを指定します。以下の表を参照してください。 表 59. バーチャル ルータ設定 - [BGP] タブ フィールド 説明 Enable BGP を有効にするには、このチェック ボックスをオンにします。 Router ID バーチャル ルータに割り当てる IP アドレスを入力します。 AS Number ルータ ID に基づいて、バーチャル ルータが属する AS の番号を入力します ( 範囲は 1 ~ 4294967295)。 [General] タブ Allow Redistribute Default Route ファイアウォールから BGP ピアにデフォルト ルートを再配信することを許 可するには、このチェック ボックスをオンにします。 Reject Default Route BGP ピアから通知されるデフォルト ルートを無視するには、このチェック ボックスをオンにします。 Install Route グローバル ルーティング テーブルに BGP ルートをインストールするには、 このチェック ボックスをオンにします。 Aggregate MED ルートの MED (Multi-Exit Discriminator) 値が異なる場合でもルート集約を 有効にするには、オンにします。 Default Local Preference 異なるパスで設定を決定するために使用できる値を指定します。 AS Format [2-byte] ( デフォルト ) または [4-byte] 形式を選択します。これは、相互運用性 のために設定します。 Always Compare MED 別の AS 内のネイバーから受け取ったパスの MED 比較を有効にします。 Deterministic MED Comparison IBGP ピア ( 同じ AS 内の BGP ピア ) から通知されたルートの中からルートを 選択するための MED 比較を有効にします。 Auth Profiles [Add] をクリックして新しい認証プロファイルを追加し、以下の設定を指定 します。 • Profile Name — プロファイルの識別に使用する名前を入力します。 • Secret/Confirm Secret — BGP ピア通信に使用するパスフレーズを入力し、 確認します。 プロファイルを削除するには、 Palo Alto Networks アイコンをクリックします。 ネットワーク設定 • 125 バーチャル ルータとルーティング プロトコル 表 59. バーチャル ルータ設定 - [BGP] タブ ( 続き ) フィールド 説明 [Advanced] タブ Graceful Restart グレースフル リスタート オプションをアクティベーションします。 • Stale Route Time — ルートが接続期限切れ状態を持続できる時間を指定し ます ( 範囲は 1 ~ 3600 秒、デフォルトは 120 秒 )。 • Local Restart Time — ローカル デバイスの再起動にかかる時間を指定しま す。この値はピアに通知されます (範囲は 1 ~ 3600 秒、デフォルトは 120 秒)。 • Max Peer Restart Time — ローカル デバイスがグレース期間中のピア デバ イスの再起動時間として受け入れる時間の最大長を指定します (範囲は 1 ~ 3600 秒、デフォルトは 120 秒 )。 Reflector Cluster ID リフレクタ クラスタを示す IPv4 識別子を指定します。 Confederation Member AS AS コンフェデレーションを 1 つの AS として外部 BGP ピアに示すための使 用する識別子を指定します。 Dampening Profiles 以下の設定があります。 • Profile Name — プロファイルの識別に使用する名前を入力します。 • Enable — プロファイルをアクティベーションします。 • Cutoff — ルート停止のしきい値を指定します ( 範囲は 0.0 ~ 1000.0、デフォ ルトは 1.25)。この値を超えるとルート通知が停止します。 • Reuse — ルート停止のしきい値を指定します ( 範囲は 0.0 ~ 1000.0、デフォ ルトは 0.5)。この値を下回るとルートは再度使用されます。 • Max. Hold Time — ルートの不安定度に関係なく、ルートを停止できる時間 の最大長を指定します ( 範囲は 0 ~ 3600 秒、デフォルトは 900 秒 )。 • Decay Half Life Reachable — ルートが到達可能とみなされた場合、ルート の安定性メトリックを 1/2 にするまでの時間を指定します ( 範囲は 0 ~ 3600 秒、デフォルトは 300 秒 )。 • Decay Half Life Unreachable — ルートが到達不能とみなされた場合、ルー トの安定性メトリックを 1/2 にするまでの時間を指定します ( 範囲は 0 ~ 3600 秒、デフォルトは 300 秒 )。 プロファイルを削除するには、 アイコンをクリックします。 [Peer Group] タブ Name ピアの識別に使用する名前を入力します。 Enable ピアをアクティベーションするには、オンにします。 Aggregated Confed AS Path 設定した集約済みコンフェデレーション AS へのパスを含めるには、この チェック ボックスをオンにします。 Soft Reset with Stored Info ピア設定の更新後にファイアウォールのソフト リセットを実行するには、こ のチェック ボックスをオンにします。 126 • ネットワーク設定 Palo Alto Networks バーチャル ルータとルーティング プロトコル 表 59. バーチャル ルータ設定 - [BGP] タブ ( 続き ) フィールド 説明 Type ピアまたはグループのタイプを指定し、関連設定 ( この表に後述されている [Import Next Hop] および [Export Next Hop] の説明を参照 ) を指定します。 • IBGP — 以下を指定します。 – Export Next Hop • EBGP Confed — 以下を指定します。 – Export Next Hop • IBGP Confed — 以下を指定します。 – Export Next Hop • EBGP — 以下を指定します。 – Next Hop Import – Next Hop Export – Remove Private AS (BGP でプライベート AS 番号を強制的に削除する場 合にオンにする ) Import Next Hop ネクストホップのインポートのオプションを選択します。 • original — 元のルート通知で提供されたネクストホップのアドレスを使用 します。 • use-peer — ピアの IP アドレスをネクストホップのアドレスとして使用し ます。 Export Next Hop ネクストホップのエクスポートのオプションを選択します。 • resolve — ローカル転送テーブルを使用してネクストホップのアドレスを 解決します。 • original — 元のルート通知で提供されたネクストホップのアドレスを使用 します。 • use-self — ネクストホップのアドレスをこのルータの IP アドレスで置き換 えて転送パスに含まれるようにします。 Palo Alto Networks ネットワーク設定 • 127 バーチャル ルータとルーティング プロトコル 表 59. バーチャル ルータ設定 - [BGP] タブ ( 続き ) フィールド 説明 Peers 新しいピアを追加するには、[New] をクリックし、以下の設定を指定します。 • Name — ピアの識別に使用する名前を入力します。 • Enable — ピアをアクティベーションするには、オンにします。 • Peer AS — ピアの AS を指定します。 • Local Address — ファイアウォール インターフェイスとローカル IP アド レスを選択します。 • Connection Options — 以下のオプションを指定します。 – Passive Connection — ルータが新しい接続の確立を試みないようにす るには、オンにします。 – Auth Profile — プロファイルを選択します。 – Keep Alive Interval — ピアから受け取ったルートがホールド タイム設 定に従って停止されるまでの時間を指定します ( 範囲は 0 ~ 1200 秒また は [disabled]、デフォルトは 30 秒 )。 – Multi Hop — IP ヘッダーの TTL (time-to-live) 値を指定します ( 範囲は 1 ~ 255、デフォルトは 0)。デフォルト値の 0 を指定すると、eBGP の場合 は 2、iBGP の場合は 255 が使用されます。 – Open Delay Time — ピア TCP 接続を開いてから最初の BGP Open メッ セージを送信するまでの遅延時間を指定します ( 範囲は 0 ~ 240 秒、デ フォルトは 0 秒 )。 – Hold Time — ピアからの連続する KEEPALIVE または UPDATE メッ セージ間の想定経過時間を指定します。この時間が過ぎるとピア接続が 閉じられます (範囲は 3 ~ 3600 秒または [disabled]、デフォルトは 90 秒)。 – Idle Hold Time — アイドル状態で待機する時間を指定します。この時間 が経過すると、ピアへの接続が再試行されます ( 範囲は 1 ~ 3600 秒、デ フォルトは 15 秒 )。 • Peer Address — ピアの IP アドレスとポートを指定します。 • Advanced Options — 以下の設定を指定します。 – Reflector Client — リフレクタ クライアントのタイプを指定します ([Non-Client]、[Client]、[Meshed Client] のいずれか )。リフレクタ ク ライアントから受信したルートは、すべての内部および外部 BGP ピアで 共有されます。 – Peering Type — 双方向ピアを指定するか、未指定のままにします。 – Max. Prefixes — サポートされる IP プレフィックスの最大数を指定しま す (1 ~ 100000 または [unlimited])。 • Incoming Connections/Outgoing Connections — 送受信ポートの番号を指 定し、[Allow] チェック ボックスをオンにしてこれらのポートの送受信トラ フィックを許可します。 128 • ネットワーク設定 Palo Alto Networks バーチャル ルータとルーティング プロトコル 表 59. バーチャル ルータ設定 - [BGP] タブ ( 続き ) フィールド 説明 [Import Rules]/[Export Rules] タブ Import Rules/Export Rules Palo Alto Networks [BGP] の [Import Rules] または [Export Rules] サブタブをクリックします。 新しいルールを追加するには、[Add] をクリックし、以下の設定を指定します。 • [General] サブタブ : – Name — ルールの識別に使用する名前を指定します。 – Enable — ルールをアクティベーションするには、オンにします。 – Used by — このルールを使用するピア グループを選択します。 • [Match] サブタブ : – AS-Path Regular Expression — AS パスをフィルタリングするための正 規表現を指定します。 – Community Regular Expression — コミュニティ文字列をフィルタリン グするための正規表現を指定します。 – Extended Community Regular Expression — 拡張コミュニティ文字列 をフィルタリングするための正規表現を指定します。 – Address Prefix — ルート フィルタリングを行うための IP アドレスまた はプレフィックスを指定します。 – MED — ルートをフィルタリングするための MED 値を指定します。 – Next Hop — ルートをフィルタリングするためのネクストホップのルー タまたはサブネットを指定します。 – From Peer — ルートをフィルタリングするためのピア ルータを指定し ます。 • [Action] サブタブ : – Action — 照合条件を満たしたときに実行するアクション ([Allow] また は [Deny]) を指定します。 – Local Preference — アクションが [Allow] の場合のみ、ローカル優先メ トリックを指定します。 – MED — アクションが [Allow] の場合のみ、MED 値を指定します (0 ~ 65535)。 – Weight — アクションが [Allow] の場合のみ、重み値を指定します (0 ~ 65535)。 – Next Hop — アクションが [Allow] の場合のみ、ネクストホップのルー タを指定します。 – Origin — アクションが [Allow] の場合のみ、発信ルートのパス タイプ を指定します ([IGP]、[EGP]、[incomplete] のいずれか )。 – AS Path Limit — アクションが [Allow] の場合のみ、AS パス制限を指定 します。 – AS Path — アクションが [Allow] の場合のみ、AS パスを指定します ([None]、[Remove]、[Prepend]、[Remove and Prepend] のいずれか )。 – Community — アクションが [Allow] の場合のみ、コミュニティ オプショ ンを指定します ([None]、[Remove All]、[Remove Regex]、[Append]、 [Overwrite] のいずれか )。 – Extended Community — アクションが [Allow] の場合のみ、コミュニ ティ オプションを指定します ([None]、[Remove All]、[Remove Regex]、 [Append]、[Overwrite] のいずれか )。 – Dampening — アクションが [Allow] の場合のみ、ダンプニング パラ メータを指定します。 グループを削除するには、 アイコンをクリックします。選択したグループ と同じ設定を持つ新しいグループを追加するには、[Clone] をクリックしま す。コピー元のグループと区別するために、新しいグループ名にはサフィック スが追加されます。 ネットワーク設定 • 129 バーチャル ルータとルーティング プロトコル 表 59. バーチャル ルータ設定 - [BGP] タブ ( 続き ) フィールド 説明 [Conditional Adv] タブ Policy 条件付き通知を適用するポリシーを指定します。 Used by [Add] をクリックし、条件付き通知のピア グループを指定します。 Non Exist Filters 非存在フィルタの設定を指定します。各パラメータについては、この表の 「[Import Rules]/[Export Rules] タブ」( 上記 ) で説明しています。 Advertise Filters 通知するためのフィルタの設定を指定します。各パラメータについては、この 表の「[Import Rules]/[Export Rules] タブ」( 上記 ) で説明しています。 [Aggregate] タブ Aggregate Filters 新しいルールを追加するには、[Add] をクリックして設定を表示します。 [General]、[Suppress Filters]、[Advertise Filters]、[Aggregate Route Attributes] の各サブタブで設定を指定し、[Done] をクリックしてルールを [Addresses] リ ス トに 追 加 し ま す。 各 パ ラ メ ータ に つ い て は、こ の 表の 「[Import Rules]/[Export Rules] タブ」( 上記 ) で説明しています。 ルールを削除するには、 アイコンをクリックします。 [Redist Rules] タブ Redist Rules 新しいルールを追加するには、[Add] をクリックし、設定を指定して、[Done] をクリックします。各パラメータについては、この表の「[Import Rules]/ [Export Rules] タブ」( 上記 ) で説明しています。 ルールを削除するには、 130 • ネットワーク設定 アイコンをクリックします。 Palo Alto Networks バーチャル ルータとルーティング プロトコル • Multicast — 以下の表のマルチキャスト ルーティングの設定を指定します。 表 60. バーチャル ルータ設定 - [Multicast] タブ フィールド 説明 Enable マルチキャスト ルーティングを有効にするには、このチェック ボックスをオ ンにします。 [Rendezvous Point] サブタブ RP Type このバーチャル ルータで実行するランデブー ポイント (RP) のタイプを選択 します。静的 RP は、他の PIM ルータで明示的に設定する必要がありますが、 候補 RP は自動的に選択されます。 • None — RP がない場合に選択します。 • Static — RP の静的 IP アドレスを指定し、ドロップダウン リストから [RP Interface] および [RP Address] のオプションを選択します。このグループ に選択した RP ではなく指定した RP を使用する場合、[Override learned RP for the same group] チェック ボックスをオンにします。 • Candidate — RP 候補の以下の情報を指定します。 – RP Interface — RP のインターフェイスを選択します。有効なインター フェイス タイプとしてループバック、L3、VLAN、Aggregate Ethernet、 およびトンネルなどが挙げられます。 – RP Address — RP の IP アドレスを選択します。 – Priority — 候補 RP メッセージの優先度を指定します ( デフォルトは 192)。 – Advertisement interval — 候補 RP メッセージの通知間隔を指定します。 • Group list — [Static] または [Candidate] を選択した場合、[Add] をクリッ クし、RP の候補となるグループのリストを指定します。 Remote Rendezvous Point [Add] をクリックし、以下を指定します。 • IP address — RP の IP アドレスを指定します。 • Override learned RP for the same group — このグループに選択した RP で はなく指定した RP を使用するには、 このチェック ボックスをオンにします。 • Group — 指定したアドレスが RP として機能するグループのリストを指定 します。 [Interfaces] サブタブ Name インターフェイス グループの識別に使用する名前を入力します。 Description 任意の説明を入力します。 Interface [Add] をクリックして、1 つ以上のファイアウォール インターフェイスを指定 します。 Group Permissions マルチキャスト トラフィックの一般ルールを指定します。 • Any Source — [Add] をクリックし、PIM-SM トラフィックを許可するマル チキャスト グループのリストを指定します。 • Source-Specific — [Add] をクリックし、PIM-SSM トラフィックを許可する マルチキャスト グループとマルチキャスト送信元のペアのリストを指定し ます。 Palo Alto Networks ネットワーク設定 • 131 バーチャル ルータとルーティング プロトコル 表 60. バーチャル ルータ設定 - [Multicast] タブ ( 続き ) フィールド 説明 IGMP IGMP トラフィックのルールを指定します。ホストの対向インターフェイス (IGMP ルータ ) または IGMP プロキシ ホストのインターフェイスで IGMP を 有効にする必要があります。 • Enable — IGMP 設定を有効にするには、このチェック ボックスをオンにし ます。 • IGMP Version — インターフェイスで実行するバージョン (1、2、または 3) を選択します。 • Enforce Router-Alert IP Option — IGMPv2 または IGMPv3 の場合にルー タ アラート IP オプションを要求するには、このチェック ボックスをオンに します。IGMPv1 との互換性を確保するには、このオプションを無効にする 必要があります。 • Robustness — ネットワーク上のパケット損失を考慮するための整数値を 選択します ( 範囲は 1 ~ 7、デフォルトは 2) です。パケット損失が頻繁に発 生する場合は高い値を選択します。 • Max Sources — このインターフェイスで許可する送信元特定メンバシップ の最大数を指定します (0 = 無制限 )。 • Max Groups — このインターフェイスで許可するグループの最大数を指定 します。 • Query Configuration — 以下を指定します。 – Query interval — 一般的なクエリをすべてのホストに送信する間隔を指 定します。 – Max Query Response Time — 一般的なクエリとホストからの応答間の 最大時間を指定します。 – Last Member Query Interval — グループまたは送信元特定クエリ メッ セージ ( グループからの脱退を示すメッセージに応答して送信された メッセージも含む ) 間の間隔を指定します。 – Immediate Leave — 脱退メッセージを受信したときにすぐにグループ から脱退させるには、このチェック ボックスをオンにします。 PIM configuration 以下の PIM 設定を指定します。 • Enable — このインターフェイスで PIM メッセージの受信や転送を許可す るには、このチェック ボックスをオンにします。 • Assert Interval — PIM アサート メッセージ間の間隔を指定します。 • Hello Interval — PIM hello メッセージ間の間隔を指定します。 • Join Prune Interval — PIM join および prune メッセージ間の間隔を指定し ます ( 秒 )。デフォルトは 60 です。 • DR Priority — このインターフェイスの指名ルータの優先度を指定します。 • BSR Border — には、ブートストラップ境界としてインターフェイスを使用 するには、このチェック ボックスをオンにします。 • PIM Neighbors — [Add] をクリックし、PIM を使用して通信するネイバー のリストを指定します。 132 • ネットワーク設定 Palo Alto Networks DHCP サーバーと DHCP リレー 表 60. バーチャル ルータ設定 - [Multicast] タブ ( 続き ) フィールド 説明 [SPT Threshold] サブタブ Name 最短パス ツリー (SPT) のしきい値では、マルチキャスト ルーティングで共有 ツリー配信 (ランデブー ポイントが送信元) から送信元ツリー配信に切り替え るスループット速度 (kbps) を定義します。 [Add] をクリックし、以下の SPT 設定を指定します。 • Multicast Group Prefix — スループットが該当のしきい値 (kbps) に達した ときに SPT が送信元ツリー配信に切り替わるマルチキャスト IP アドレス / プレフィックスを指定します。 • Threshold — 共有ツリー配信から送信元ツリー配信に切り替わるスルー プットを指定します。 [Source Specific Address Space] サブタブ Name ファイアウォールで送信元特定マルチキャスト (SSM) サービスを提供するマ ルチキャスト グループを定義します。 [Add] をクリックし、送信元特定アドレスの以下の設定を指定します。 • Name — この設定のグループの識別に使用する名前を入力します。 • Group — SSM アドレス空間のグループを指定します。 • Included — 特定のグループを SSM アドレス空間に含めるには、 このチェッ ク ボックスをオンにします。 バーチャル ルータの実行時統計の表示 [Network] > [Virtual Routers] バーチャル ルータと動的ルーティング プロトコルの詳細な実行時統計情報を [Virtual Routers] ページで表示できます。[More Runtime Stats] リンクをクリックすると、新しいウィンドウが開 き、ルーティング テーブルとルーティング プロトコル固有の詳細が表示されます。バーチャル ルータの概要は、116 ページの「バーチャル ルータとルーティング プロトコル」を参照してくだ さい。 DHCP サーバーと DHCP リレー [Network] > [DHCP] このファイアウォールでは、レイヤー 3 インターフェイスの IP アドレス割り当てに DHCP サー バーまたは DHCP リレーを選択できます。複数の DHCP サーバーがサポートされます。クライア ント リクエストはすべてのサーバーに転送され、最初のサーバー レスポンスがクライアントに返 送されます。 DHCP の割り当ては IPSec VPN でも機能するため、クライアントは、IPSec トンネルのリモート 端の DHCP サーバーから IP アドレス割り当てを受け取ることができます。IPSec VPN トンネル の詳細は、249 ページの「IPSec トンネルの設定」を参照してください。 設定は、選択するタイプ ([DHCP Server] または [DHCP Relay]) によって異なります。 Palo Alto Networks ネットワーク設定 • 133 DHCP サーバーと DHCP リレー 表 61. DHCP 設定 フィールド 説明 [DHCP Server] タブ Interface ファイアウォール インターフェイスを選択します。 Mode このページの設定を有効にするのか、無効にするのか、用途に応じて自動的 に判断するのかを選択します。 Ping IP when allocating new IP 新しい IP アドレスを割り当てるときに ping メッセージを送信するには、この チェック ボックスをオンにします。 Lease [Unlimited] を選択するか、[Timeout] を選択して DHCP リース期間の期限 を入力します。日数、時間数、分数を入力できます。たとえば、時間数のみを 入力した場合、リースはその時間数に制限されます。 Inheritance Source DHCP クライアント インターフェイスまたは PPPoE クライアント インター フェイスの各種サーバー設定を DHCP サーバーに伝搬する送信元を選択し ます。 Primary DNS 優先および代替 Domain Name Service (DNS) サーバーの IP アドレスを入力 します。代替サーバーのアドレスは任意です。 Secondary DNS Primary WINS Secondary WINS Primary NIS Secondary NIS Primary NTP Secondary NTP 優先および代替 Windows Internet Naming Service (WINS) サーバーの IP ア ドレスを入力します。代替サーバーのアドレスは任意です。 優先および代替 Network Information Service (NIS) サーバーの IP アドレスを 入力します。代替サーバーのアドレスは任意です。 優先および代替 Network Time Protocol サーバーの IP アドレスを入力しま す。代替サーバーのアドレスは任意です。 Gateway DHCP サーバーに到達するために使用するネットワーク ゲートウェイの IP アドレスを入力します。 POP3 Server POP3 (Post Office Protocol) サーバーの IP アドレスを入力します。 SMTP Server SMTP (Simple Mail Transfer Protocol) サーバーの IP アドレスを入力します。 DNS Suffix 解決できない非修飾ホスト名が入力されたときにクライアントがローカルで 使用するサフィックスを入力します。 IP Pools この DHCP 設定を適用する IP アドレスの範囲を指定し、[Add] をクリックし ま す。IP サブネットとサブネット マスク ( たとえば、192.168.1.0/24)、また は IP アドレスの範囲 ( たとえば、192.168.1.10-192.168.1.20) を入力できます。 複数の IP アドレス プールを指定するには、複数のエントリを追加します。 既存のエントリを編集するには、[Edit] をクリックして変更を行い、[Done] をクリックします。エントリを削除するには、[Delete] をクリックします。 注 : このエリアを空白のままにした場合、IP 範囲に制限はありません。 Reserved Address DHCP アドレス割り当ての対象としないデバイスの IP アドレス ( 形式は x.x.x.x) または MAC アドレス ( 形式は xx:xx:xx:xx:xx:xx) を指定します。 既存のエントリを編集するには、[Edit] をクリックして変更を行い、[Done] をクリックします。エントリを削除するには、[Delete] をクリックします。 注: このエリアを空白のままにした場合、予約済みの IP アドレスはありません。 134 • ネットワーク設定 Palo Alto Networks DNS Proxy 表 61. DHCP 設定 ( 続き ) フィールド 説明 [DHCP Relay] タブ Interfaces ファイアウォール インターフェイスを選択します。 IPv4 DHCP リレーの IPv4 アドレスを使用して、最大 4 つの DHCP サーバーの IPv4 アドレスを指定するには、[Enabled] チェック ボックスをオンにします。 IPv6 DHCP リレーの IPv6 アドレスを使用して、最大 6 つの DHCP サーバーの IPv6 アドレスを指定するには、[Enabled] チェック ボックスをオンにします。 サーバーの IPv6 マルチキャスト アドレスを使用している場合、送信インター フェイスを指定します。 DNS Proxy [Network] > [DNS Proxy] ファイアウォールでは、インターフェイスの IP アドレスに送信されるすべての DNS クエリを対象 に、ドメイン名のすべてまたは一部に基づいて異なる DNS サーバーへクエリを選択的に送信でき ます。TCP または UDP の DNS クエリは、設定したインターフェイスを経由して送信されます。 DNS クエリの回答が 1 つの UDP パケットに対して長すぎる場合、UDP クエリは TCP にフェール オーバーされます。 ドメイン名が DNS プロキシ キャッシュで見つからない場合、(DNS クエリが届くインターフェイ スの ) 特定 DNS プロキシ オブジェクト エントリの設定に基づいて一致するドメイン名が検索さ れ、一致結果に基づいてネーム サーバーに転送されます。一致するドメイン名が見つからない場 合、デフォルトのネーム サーバーが使用されます。静的エントリおよびキャッシュもサポートされ ています。 表 62. DNS プロキシ設定 フィールド 説明 Name DNS プロキシ ルールの識別に使用する名前を指定します ( 最大 31 文字 )。名 前の大文字と小文字は区別されます。また、一意の名前にする必要がありま す。文字、数字、スペース、ハイフン、およびアンダースコアのみを使用して ください。 Enable DNS プロキシを有効にするには、このチェック ボックスをオンにします。 Inheritance Source デフォルトの DNS サーバー設定を継承する送信元を選択します。 Primary Secondary デフォルトのプライマリおよびセカンダリ DNS サーバーの IP アドレスを指 定します。 Check inheritance source DHCP クライアント インターフェイスおよび PPPoE クライアント インター フェイスに現在割り当てられているサーバー設定を確認するには、リンクを クリックします。これには、DNS、WINS、NTP、POP3、SMTP、または DNS サフィックスなどが含まれます。 Interfaces DNS プロキシ ルールをサポートするファイアウォール インターフェイスを 指定するには、Interface チェック ボックスをオンにします。ドロップダウン リストからインターフェイスを選択し、[Add] をクリックします。複数のイン ターフェイスを追加できます。インターフェイスを削除するには、インター フェイスを選択して [Delete] をクリックします。 Palo Alto Networks ネットワーク設定 • 135 DNS Proxy 表 62. DNS プロキシ設定 ( 続き ) フィールド 説明 DNS Proxy Rules DNS プロキシ サーバー ルールを指定します。[Add] をクリックし、以下の情 報を指定します。 • Name — ルールの識別に使用する名前を指定します。 • Turn on/off caching of domains resolved by this mapping — このマッピ ングで解決されるドメインのキャッシュを有効にするには、このチェック ボックスをオンにします。 • Domain Name — [Add] をクリックし、プロキシ サーバーのドメイン名を入 力します。名前を追加する場合は、この操作を繰り返します。名前を削除す るには、名前を選択して [Delete] をクリックします。DNS プロキシ ルール では、ワイルドカード文字列のトークンの数とリクエストしたドメインのトー クンの数が一致している必要があります。たとえば、「*.engineering.local」 と「engineering.local」は一致しません。両方を指定する必要があります。 • Primary/Secondary — プライマリおよびセカンダリ DNS サーバーのホス ト名または IP アドレスを入力します。 Static Entries DNS サーバーを指定します。[Add] をクリックし、以下の情報を指定します。 • Domain Name — DNS サーバーのホスト名を入力します。 • FQDN — DNS サーバーの完全修飾ドメイン名 (FQDN) を入力します。 • Address — [Add] をクリックし、このドメインにマッピングする IP アドレ スを入力します。アドレスを追加する場合は、この操作を繰り返します。ア ドレスを削除するには、アドレスを選択して [Delete] をクリックします。 Advanced 以下の情報を指定します。 • Cache — DNS キャッシュを有効にするには、このチェック ボックスをオン にして以下の情報を指定します。 – Size — キャッシュで保持するエントリ数を指定します ( 範囲は 1024 ~ 10240、デフォルトは 1024)。 – Timeout — キャッシュされたすべてのエントリが削除されるまでの期 間 ( 時間 ) を指定します。DNS の time-to-live 値は、保存されている期間 が設定したタイムアウト期間よりも短いキャッシュ エントリを削除する ために使用されます。タイムアウトに従い、新しいクエリは解決されて 再度キャッシュされます ( 範囲は 4 ~ 24 時間、デフォルトは 4 時間 ) • TCP Queries — TCP を使用する DNS クエリを有効にするには、このチェッ ク ボックスをオンにして以下の情報を指定します。 – Max Pending Requests — ファイアウォールでサポートされる同時未解 決 TCP DNS リクエスト数の上限を指定します ( 範囲は 64 ~ 256、デフォ ルトは 64)。 • UDP Queries Retries — UDP クエリの再試行の設定を指定します。 – Interval — 応答を受信しなかった場合に別のリクエストが送信されるま での時間 ( 秒 ) を指定します ( 範囲は 1 ~ 30 秒、デフォルトは 2 秒 )。 – Attempts — 次の DNS サーバーが試行するまでの最大試行回数 ( 最初の 試行は除く ) を指定します ( 範囲は 1 ~ 30、デフォルトは 5)。 136 • ネットワーク設定 Palo Alto Networks ネットワーク プロファイル ネットワーク プロファイル ネットワーク プロファイルによって設定情報が取得され、ファイアウォールはその情報を使用し てネットワーク接続の確立とポリシーの実装を行います。以下のタイプのネットワーク プロファ イルがサポートされています。 IKE ゲートウェイ、IPSec 暗号プロファイル、および IKE 暗号プロファイル — これらのプロ ファイルでは、IPSec VPN の設定と動作がサポートされます。以下のプロファイル タイプの詳 細は、249 ページの「IPSec トンネルの設定」を参照してください。 • – IKE ゲートウェイには、IPSec VPN トンネル セットアップ時にピア ゲートウェイとの IKE プロトコル ネゴシエーションを実行するために必要な設定情報が含まれます。 – IKE 暗号プロファイルでは、VPN トンネルでのフェーズ 1 識別、認証、および暗号化のプ ロトコルとアルゴリズムを指定します。 – IPSec 暗号プロファイルでは、VPN トンネルでのフェーズ 2 識別、認証、および暗号化の プロトコルとアルゴリズムを指定します。 • モニター プロファイル — これらのプロファイルは、IPSec トンネルをモニターする場合や、 ポリシーベースの転送 (PBF) ルールのネクストホップ デバイスをモニターする場合に使用さ れます。どちらの場合も、モニター プロファイルは、リソース (IPSec トンネルまたはネクス トホップ デバイス ) が使用できなくなった場合に実行するアクションを指定するために使用 されます。 • インターフェイス管理プロファイル — これらのプロファイルでは、VLAN インターフェイス やループバック インターフェイスを含む、ファイアウォールのレイヤー 3 インターフェイス の管理に使用できるプロトコルを指定します。138 ページの「インターフェイス管理プロファ イルの定義」を参照してください。 • ゾーン プロテクション プロファイル — これらのプロファイルでは、ファイアウォールが個々 のセキュリティ ゾーンからの攻撃に対応する方法を決定します。139 ページの「ゾーン プロテ クション プロファイルの定義」を参照してください。以下のタイプの防御がサポートされてい ます。 – フラッド防御 — SYN、ICMP、UDP、およびその他の IP ベースのフラッド攻撃に対して 防御します。 – 偵察行為防御 — 攻撃者が攻撃可能な目標を見つけるために通常実行するポート スキャン や IP アドレス スイープを検出してブロックできるようにします。 – パケットベース攻撃防御 — サイズの大きい ICMP パケットや ICMP フラグメントによる 攻撃に対して防御します。 • QoS プロファイル — これらのプロファイルでは、QoS トラフィック クラスの処理方法を決 定します。クラスに関係なく帯域幅全体に対する制限を設定できます。また、個々のクラスご とに制限を設定することもできます。個々のクラスに優先順位を割り当てることもできます。 優先順位によって、競合がある場合のトラフィックの処理方法が決まります。282 ページの 「QoS プロファイルの定義」を参照してください。 Palo Alto Networks ネットワーク設定 • 137 ネットワーク プロファイル インターフェイス管理プロファイルの定義 [Network] > [Network Profiles] > [Interface Mgmt] ファイアウォールの管理に使用するプロトコルを指定するには、このページを使用します。各イン ターフェイスに管理プロファイルを割り当てる方法については、100 ページの「レイヤー 3 イン ターフェイスの設定」および 103 ページの「レイヤー 3 サブインターフェイスの設定」を参照して ください。ファイアウォール インターフェイスの概要は、97 ページの「ファイアウォール インター フェイス」を参照してください。 表 63. インターフェイス管理プロファイル設定 フィールド 説明 Name プロファイル名 ( 最大 31 文字 ) を入力します。この名前は、インターフェイス を設定するときにインターフェイス管理プロファイルのリストに表示されま す。名前の大文字と小文字は区別されます。また、一意の名前にする必要があ ります。文字、数字、スペース、ハイフン、およびアンダースコアのみを使用 してください。 Ping Telnet SSH HTTP HTTPS このプロファイルが適用されるインターフェイスで有効にするサービスごと に、このチェック ボックスをオンにします。 SNMP Response Pages Permitted IP Addresses 138 • ネットワーク設定 [Response Pages] チェック ボックスでは、キャプティブ ポータルおよび URL フィルタリング レスポンス ページを配信するために使用するポートをレイ ヤー 3 インターフェイスで開くかどうかを制御します。この設定を有効にす ると、ポート 6080 と 6081 が開いたままになります。 ファイアウォールを管理できる IPv4 または IPv6 アドレスのリストを入力し ます。 Palo Alto Networks ネットワーク プロファイル ゾーン プロテクション プロファイルの定義 [Network] > [Network Profiles] > [Zone Protection] ファイアウォールが個々のセキュリティ ゾーンからの攻撃に対応する方法を決定するには、この ページを使用します。同じプロファイルを複数のゾーンに割り当てることができます。セキュリ ティ ゾーンの概要は、114 ページの「セキュリティ ゾーン」を参照してください。 表 64. ゾーン プロテクション プロファイル設定 フィールド 説明 Name プロファイル名 ( 最大 31 文字 ) を入力します。この名前は、ゾーンを設定する ときにゾーン プロテクション プロファイルのリストに表示されます。名前の 大文字と小文字は区別されます。また、一意の名前にする必要があります。文 字、数字、スペース、およびアンダースコアのみを使用してください。 Flood Protection Thresholds — SYN Flood Action SYN フラッド攻撃に対して実行するアクションを選択します。 • Random Early Drop — フラッド攻撃を軽減するために SYN パケットを廃 棄します。 – フローが [Alarm Rate] しきい値を上回ると、アラームが生成されます。 – フローが [Activate Rate] しきい値を上回ると、フローを制限するために 個々の SYN パケットをランダムに廃棄します。 – フローが [Maximal Rate] しきい値を上回ると、すべてのパケットを廃棄 します。 • SYN cookies — 未確立のコネクションをメモリに記憶しなくてもよくする ために SYN-ACK パケットのシーケンス番号を計算します。この方法をお 勧めします。 Alarm Rate 攻撃アラームをトリガーしたゾーンで 1 秒間に受信される SYN パケットの 数を入力します。アラームは、ダッシュボード (202 ページの「ダッシュボー ドの使用」を参照 ) と脅威ログ (225 ページの「不明なアプリケーションの識 別と対処」を参照 ) で確認できます。 Activate Rate 指定したアクションをトリガーしたゾーンで 1 秒間に受信される SYN パ ケットの数を入力します。 Maximal Rate 1 秒間に受信可能な SYN パケットの最大数を入力します。最大数を超過した 分のパケットは廃棄されます。 Flood Protection Thresholds — ICMP Flood Alarm Rate 攻撃アラームをトリガーした宛先と同じ宛先について 1 秒間に受信される ICMP エコー リクエスト (ping) の数を入力します。 Activate Rate 後続の ICMP パケットを廃棄するゾーンで 1 秒間に受信される ICMP パケッ トの数を入力します。 Maximal Rate 1 秒間に受信可能な ICMP パケットの最大数を入力します。最大数を超過し た分のパケットは廃棄されます。 Flood Protection Thresholds — ICMPv6 Flood Alarm Rate 攻撃アラームをトリガーした宛先と同じ宛先について 1 秒間に受信される ICMPv6 エコー リクエスト (ping) の数を入力します。 Activate Rate 後続の ICMPv6 パケットを廃棄するゾーンについて 1 秒間に受信される ICMPv6 パケットの数を入力します。ICMPv6 パケット数がしきい値を下回 ると、計測は停止します。 Palo Alto Networks ネットワーク設定 • 139 ネットワーク プロファイル 表 64. ゾーン プロテクション プロファイル設定 ( 続き ) フィールド 説明 Maximal rate 1 秒間に受信可能な ICMPv6 パケットの最大数を入力します。最大数を超過 した分のパケットは廃棄されます。 Flood Protection Thresholds — UDP Flood Alarm Rate 攻撃アラームをトリガーしたゾーンで 1 秒間に受信される UDP パケットの 数を入力します。 Activate Rate UDP パケットのランダムな廃棄をトリガーしたゾーンで 1 秒間に受信される UDP パケットの数を入力します。UDP パケット数がしきい値を下回ると、レ スポンスは無効になります。 Maximal rate 1 秒間に受信可能な UDP パケットの最大数を入力します。最大数を超過した 分のパケットは廃棄されます。 Flood Protection Thresholds — Other IP Flood Alarm Rate 攻撃アラームをトリガーしたゾーンで 1 秒間に受信される IP パケットの数を 入力します。 Activate Rate IP パケットのランダムな廃棄をトリガーしたゾーンで 1 秒間に受信される IP パケットの数を入力します。IP パケット数がしきい値を下回ると、レスポン スは無効になります。最大数を超過した分のパケットは廃棄されます。 Maximal rate 1 秒間に受信可能な IP パケットの最大数を入力します。最大数を超過した分 のパケットは廃棄されます。 Reconnaissance Protection — TCP Port Scan, UDP Port Scan, Host Sweep Interval ポート スキャンおよびホスト スイープ検出の時間間隔を入力します ( 秒単位 )。 Threshold 指定した時間間隔内のポート スキャン数のしきい値を入力します。この値に 達するとこのプロテクション タイプ ( イベント ) がトリガーされます。 Action このイベント タイプに対してシステムが実行するアクションを入力します。 • Allow — ホスト スイープ偵察行為のポート スキャンを許可します。 • Alert — 指定した時間間隔内でスキャンまたはスイープがしきい値に達す るたびにアラートを生成します。 • Block — 指定した時間間隔が終わるまで、送信元から宛先へのそれ以降の パケットをすべて廃棄します。 • Block IP — 指定した期間それ以降のパケットをすべて廃棄します。送信元 トラフィック、宛先トラフィックまたは送信元トラフィックと宛先トラ フィックの組み合わせをブロックするかどうかを選択し、期間 ( 秒 ) を入力 します。 IPv6 Drop Packets with Type 0 Router Header タイプ 0 のルータ ヘッダーを含む IPv6 パケットを廃棄するには、このチェッ ク ボックスをオンにします。 IPv4 Compatible Address IPv4 互換アドレスを含む IPv6 パケットを廃棄するには、このチェック ボッ クスをオンにします。 Multicast Source Address マルチキャスト送信元アドレスを含む IPv6 パケットを廃棄するには、この チェック ボックスをオンにします。 Anycast Source Address エニーキャスト送信元アドレスを含む IPv6 パケットを廃棄するには、この チェック ボックスをオンにします。 140 • ネットワーク設定 Palo Alto Networks ネットワーク プロファイル 表 64. ゾーン プロテクション プロファイル設定 ( 続き ) フィールド 説明 Packet-Based Attack Protection IP address spoof IP アドレス スプーフィングに対する防御を有効にするには、このチェック ボックスをオンにします。 Block fragmented traffic フラグメント化された IP パケットを廃棄します。 ICMP ping ID 0 ping ID が 0 のパケットを廃棄します。 ICMP fragment ICMP フラグメントで構成されるパケットを廃棄します。 ICMP large packet (>1024) 1024 バイトを超える ICMP パケットを廃棄します。 Suppress ICMP TTL expired error ICMP TTL の有効期限切れメッセージの送信を停止します。 Suppress ICMP NEEDFRAG インターフェイスの MTU を超えたパケットに対する ICMP フラグメント要 求メッセージの送信を停止し、フラグメントなし (DF) ビットを設定します。 この設定により、ファイアウォールの背後のホストで PMTUD プロセスが実 行されなくなります。 Discard Strict Source Routing [Strict Source Routing IP] オプションが設定されたパケットを廃棄します。 Discard Loose Source Routing [Loose Source Routing IP] オプションが設定されたパケットを廃棄します。 Discard Timestamp [Timestamp IP] オプションが設定されたパケットを廃棄します。 Discard Record Route [Record Route IP] オプションが設定されたパケットを廃棄します。 Reject non-SYN TCP Packet TCP セッション セットアップの最初のパケットが SYN パケットではない場 合にパケットを拒否するかどうかを決定します。 • Global — CLI で割り当てたシステム全体の設定を使用します。 • Yes — 非 SYN TCP を拒否します。 • No — 非 SYN TCP を受け入れます。 Palo Alto Networks ネットワーク設定 • 141 ネットワーク プロファイル 142 • ネットワーク設定 Palo Alto Networks 11 19 , 2011 - Palo Alto Networks COMPANY CONFIDENTIAL 第5章 ポリシーとセキュリティ プロファイル この章では、セキュリティのポリシーとプロファイルを設定する方法について説明します。 • 次のセクションの「Policies」 • 164 ページの「セキュリティ プロファイル」 • 178 ページの「その他のポリシー オブジェクト」 Policies ポリシーを使用すると、ルールを適用して自動的にアクションを実行することによってファイア ウォールの動作を制御できます。以下のタイプのポリシーがサポートされています。 • 基本セキュリティ ポリシー — アプリケーション、ゾーンとアドレス ( 送信元と宛先 )、および 任意のサービス ( ポートとプロトコル ) ごとにネットワーク セッションをブロックまたは許可 します。ゾーンでは、トラフィックを送受信する物理または論理インターフェイスが識別され ます。146 ページの「セキュリティ ポリシー」を参照してください。 • ネットワーク アドレス変換 (NAT) ポリシー — 必要に応じてアドレスやポートを変換します。 150 ページの「NAT ポリシー」を参照してください。 • ポリシーベースの転送ポリシー — 処理の後に使用される出力インターフェイスを決定します。 155 ページの「ポリシーベースの転送ポリシー」を参照してください。 • 復号化ポリシー — セキュリティ ポリシーのトラフィック復号化を指定します。ポリシーごと に、暗号解読するトラフィックの URL のカテゴリを指定できます。SSH 復号化は、SSH シェ ル アクセス以外にも SSH トンネリングを識別して制御するためにも使用されます。157 ペー ジの「復号化ポリシー」を参照してください。 • オーバーライド ポリシー — ファイアウォールのアプリケーション定義をオーバーライドしま す。159 ページの「アプリケーション オーバーライド ポリシー」を参照してください。 • Quality of Services (QoS) ポリシーは、QoS が有効になっているインターフェイスを通過する トラフィックの処理を分類する方法を決定します。283 ページの「QoS ポリシーの定義」を参 照してください。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 143 Policies • キャプティブ ポータル ポリシー — 識別されていないユーザーの認証をリクエストします。 161 ページの「キャプティブ ポータル ポリシー」を参照してください。 • サービス拒否 (DoS) ポリシー — DoS 攻撃から保護し、一致するルールに対応する保護アク ションを実行します。163 ページの「DoS 保護ポリシー」を参照してください。 注 : Panorama からプッシュされた共有ポリシーは、ファイアウォールの Web インターフェイス ページに緑で表示され、デバイス レベルでは編集不可に なっています。 ポリシー定義のガイドライン ファイアウォール インターフェイス操作の一般的なガイドラインは、23 ページの「ファイアウォー ル Web インターフェイスの使用」を参照してください。以下の特定のガイドラインは、[Policies] タブのページでの操作に適用されます。 • リストにフィルタを適用するには、[Filter Rules] ドロップダウン リストから選択します。値を 追加してフィルタを定義するには、項目の下向き矢印をクリックして [Filter] を選択します。 • 新しいポリシー ルールを追加するには、以下のいずれかの操作を実行します。 – ページの下部にある [Add] をクリックします。 – 新しいルールのベースとなるルールを選択して [Clone Rule] を選択するか、ルールの余白 部分をクリックしてルールを選択し、ページ下部の [Clone Rule] を選択します ( ルールを 選択すると背景が黄色になります )。コピーされたルール「rulen」が選択したルールの下に 挿入されます。n は次に使用可能な整数で、これによりルール名が一意になります。 • ルールは、表示される順序でネットワーク トラフィックと照合されます。以下のいずれかの方 法でルールの順序を変更します。 – ルールを選択し、[Move Up]、[Move Down]、[Move Top]、または [Move Bottom] をク リックします。 – ルール名の下向き矢印をクリックし、[Move] を選択します。ポップアップ ウィンドウで順 序を変更するルールを選択し、選択したルールを該当のルールの前または後に移動するか どうかを選択します。 • ルールを有効にするには、ルールを選択して [Enable] をクリックします。 • 現在使用されていないルールを表示するには、[Highlight Unused Rules] チェック ボックス をオンにします。 使用されているルール 使用されていないルール ( 黄色の斑点の背景 ) 144 • ポリシーとセキュリティ プロファイル Palo Alto Networks Policies • ポリシーのログを表示するには、ルール名の下向き矢印をクリックし、[Log Viewer] を選択 します。 • 一部のエントリでは、エントリの下向き矢印をクリックして [Value] を選択することで現在の 値を表示できます。 • [Policies] ページのビューから特定の列を表示したり非表示にしたりできます。 ポリシーのユーザーとアプリケーションの指定 [Policies] > [Security] または [Policies] > [Decryption] セキュリティ ポリシーを、選択したユーザーまたはアプリケーションに制限できます。これを行 うには、[Security] または [Decryption] デバイス ルール ページでユーザーまたはアプリケーショ ンのリンクをクリックします。アプリケーションごとにルールを制限する方法については、 184 ページの「アプリケーションの定義」を参照してください。 選択したユーザーにポリシーを制限するには、以下の手順を実行します。 1. [Security] または [Decryptio] デバイス ルール ページで、送信元または宛先ユーザーの下線の 付いたリンクをクリックして、選択ウィンドウを開きます。 注 : RADIUS サーバーを使用していてユーザー ID エージェントを使用してい ない場合、ユーザーのリストは表示されません。ユーザー情報を手動で入力す る必要があります。 2. 適用するルールのタイプを選択します。 – any — すべてのユーザーがルールに含まれます。 – known-user — 認証されたすべてのユーザーが含まれます。 – unknown — 認証されていないすべてのユーザーが含まれます。 – Select — このウィンドウで選択したユーザーが含まれます。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 145 Policies 3. ユーザーのグループを追加するには、[Available User Groups] チェック ボックスをオンにし て [Add User Group] をクリックします。または、1 つ以上のグループに一致するテキストを 入力して [Add User Group] をクリックします。 4. 個々のユーザーを追加するには、[User] 検索フィールドに検索文字列を入力して [Find] をク リックします。次に、ユーザーを選択して [Add User] をクリックします。または、[Additional Users] エリアに個々のユーザー名を入力することもできます。 5. [OK] をクリックして選択を保存し、セキュリティ ルールまたは復号化ルールを更新します。 セキュリティ ポリシー セキュリティ ポリシーでは、トラフィック属性 ( たとえば、アプリケーション、送信元セキュリ ティ ゾーンと宛先セキュリティ ゾーン、送信元アドレスと宛先アドレス、HTTP などのアプリケー ション サービス ) ごとに新しいネットワーク セッションのブロックまたは許可を決定します。セ キュリティ ゾーンは、送信するトラフィックの相対リスクに応じてインターフェイスをグループ 化するために使用します。たとえば、インターネットに接続されているインターフェイスは「信頼 されていない」ゾーンにあり、内部ネットワークに接続されているインターフェイスは「信頼され た」ゾーンにあると指定できます。 注 : デフォルトでは、セキュリティ ゾーンの各ペア間のトラフィックは、2 つの ゾーン間のトラフィックを許可するルールが少なくとも 1 つ追加されるまでブ ロックされます。 ゾーン内トラフィックはデフォルトで許可されており、ブロックするには明示的な ルールが必要です。ポリシーの最後のルールとしてすべてを拒否するルールを追 加すると、特に他の許可がなければゾーン内トラフィックはブロックされます。 セキュリティ ポリシーは、必要に応じて全般的にまたは固有に指定できます。ポリシー ルールと 受信トラフィックは順番に照合されます。トラフィックに一致する最初のルールが適用されるた め、固有のルールを全般的ルールよりも先に設定する必要があります。たとえば、他のすべてのト ラフィック関連の設定が同じである場合、1 つのアプリケーションに対応するルールがすべてのア プリケーションに対応するルールよりも優先されます。 146 • ポリシーとセキュリティ プロファイル Palo Alto Networks Policies セキュリティ ポリシーの定義 [Policies] > [Security] セキュリティ ポリシー ルールを定義するには、[Security] ページを使用します。設定のガイドライ ンは、144 ページの「ポリシー定義のガイドライン」を参照してください。 表 65. セキュリティ ポリシー設定 フィールド 説明 [General] タブ Name ルールの識別に使用する名前 ( 最大 31 文字 ) を入力します。名前の大文字と小 文字は区別されます。また、一意の名前にする必要があります。文字、数字、 スペース、ハイフン、およびアンダースコアのみを使用してください。名前の みが必須です。 Description ポリシー ルールの説明 ( 省略可 ) を入力します。 Tag ポリシーにタグを付ける場合、[Add] をクリックしてタグを指定します。 [Source] タブ Source Zone [Add] をクリックして送信元ゾーンを選択します ( デフォルトは [any])。ゾー ンは同じタイプ ([Layer 2]、[Layer 3]、[Virtual Wire]) である必要があります。 新しいゾーンを定義する手順については、115 ページの「セキュリティ ゾーン の定義」を参照してください。 複数のゾーンを使用して管理を簡略化できます。たとえば、信頼されていない 宛先ゾーンが指定されている 3 つの異なる内部ゾーン ( マーケティング、販売、 広報 ) がある場合、 すべてのケースを対象とした 1 つのルールを作成できます。 Source Address [Add] をクリックして送信元アドレス、アドレス グループ、または地域を追加 します ( デフォルトは [any])。ドロップダウン リストから選択するか、ドロッ プダウン リストの下部にある [Address]、[Address Group]、または [Regions] のリンクをクリックして設定を指定します。 [User] タブ Source User [Add] をクリックして、ポリシーを適用する送信元ユーザーまたはユーザー グ ループを選択します。 HIP Profiles [Add] をクリックして、ユーザーを識別する Host Information Profiles (HIP) を 選択します。HIP の詳細は、265 ページの「概要」を参照してください。 [Destination] タブ Destination Zone [Add] をクリックして宛先ゾーンを選択します ( デフォルトは [any])。ゾーン は同じタイプ ([Layer 2]、[Layer 3]、[Virtual Wire]) である必要があります。新 しいゾーンを定義する手順については、115 ページの「セキュリティ ゾーンの 定義」を参照してください。 複数のゾーンを使用して管理を簡略化できます。たとえば、信頼されていない 宛先ゾーンが指定されている 3 つの異なる内部ゾーン ( マーケティング、販売、 広報 ) がある場合、 すべてのケースを対象とした 1 つのルールを作成できます。 Destination Address Palo Alto Networks [Add] をクリックして宛先アドレス、アドレス グループ、または地域を追加し ます ( デフォルトは [any])。ドロップダウン リストから選択するか、ドロップ ダウン リストの下部にある [Address] リンクをクリックしてアドレス設定を 指定します。 ポリシーとセキュリティ プロファイル • 147 Policies 表 65. セキュリティ ポリシー設定 ( 続き ) フィールド 説明 [Application] タブ Application セキュリティ ルールを適用する特定のアプリケーションを選択します。新しい アプリケーションを定義する方法については、184 ページの「アプリケーショ ンの定義」を参照してください。アプリケーション グループを定義する方法に ついては、189 ページの「アプリケーション グループの定義」を参照してくだ さい。 アプリケーションに複数の機能がある場合、アプリケーション全体または個別 の機能を選択できます。アプリケーション全体を選択した場合、すべての機能 が含まれ、将来、機能が追加されるとアプリケーション定義が自動的に更新さ れます。 [Service/URL Category] タブ Service 特定の TCP や UDP のポート番号に制限するには、サービスを選択します。ド ロップダウン リストから以下のいずれかを選択します。 • any — 選択したアプリケーションがすべてのプロトコルやポートで許可また は拒否されます。 • application-default — 選択したアプリケーションが、Palo Alto Networks に よって定義されたデフォルトのポートでのみ許可または拒否されます。これ は、許可ポリシーの推奨オプションです。 • Select — [Add] をクリックします。既存のサービスを選択するか、[Service] または [Service Group] を選択して新しいエントリを指定します。190 ペー ジの「サービス」および 191 ページの「サービス グループ」を参照してくだ さい。 URL Category セキュリティ ルールを適用する URL カテゴリを選択します。 • URL カテゴリに関係なくすべてのセッションを許可または拒否するには、[any] を選択します。 • カテゴリを指定するには、[Add] をクリックし、ドロップダウン リストから 特定のカテゴリ (カスタム カテゴリも含む) を選択します。複数のカテゴリを 追加できます。カスタム カテゴリの定義方法の詳細は、193 ページの「カス タム URL カテゴリ」を参照してください。 [Actions] タブ Action Setting [allow] または [deny] をクリックし、ルールに一致するトラフィックの新しい ネットワーク セッションを許可またはブロックします。 Profile Setting デフォルトのセキュリティ プロファイルで実行されるチェックを指定するに は、アンチウイルス、アンチスパイウェア、脆弱性対策、URL フィルタリン グ、データ フィルタリング、およびファイル ブロッキングの各プロファイル を選択します。 個々のプロファイルではなくプロファイル グループを指定するには、[Profile Groups] を選択し、[Group] ドロップダウン リストからプロファイル グループ を選択します。 新しいプロファイルやプロファイル グループを定義するには、該当するプロ ファイルまたはグループの横にある [New] をクリックします (197 ページの 「セキュリティ プロファイル グループ」を参照 )。 148 • ポリシーとセキュリティ プロファイル Palo Alto Networks Policies 表 65. セキュリティ ポリシー設定 ( 続き ) フィールド 説明 Log Setting 以下のオプションを任意に組み合わせて指定します。 Log Setting: • ローカル トラフィック ログと脅威ログ エントリをリモートの宛先 (Panorama サーバーや Syslog サーバーなど ) に転送するには、[Log Forwarding Profile] ドロップダウン リストからログ プロファイルを選択します。脅威ログ エン トリの生成は、セキュリティ プロファイルで定義されます。新しいログ プロ ファイルを定義するには、[New] をクリックします (198 ページの「ログ転 送」を参照 )。 • ルールに一致するトラフィックのエントリをローカル トラフィック ログに 生成するには、以下のオプションを選択します。 – Log At Session Start。セッションの開始のトラフィック ログ エントリが 生成されます ( デフォルトではオフ )。 – Log At Session End。セッションの終了のトラフィック ログ エントリが 生成されます ( デフォルトではオン )。 セッションの開始または終了のエントリがログに記録される場合、[drop] およ び [deny] のエントリもログに記録されます。 Other Settings 以下のオプションを任意に組み合わせて指定します。 • Schedule — ルールを適用する日時を制限するには、ドロップダウン リスト からスケジュールを選択します。新しいスケジュールを定義するには、[New] をクリックします (199 ページの「スケジュール」を参照 )。 • QoS Marking — ルールに一致するパケットの Quality of Services (QoS) の 設定を変更するには、[IP DSCP] または [IP Precedence] を選択して QoS の値 を入力するか、事前に定義されている値をドロップダウン リストから選択し ます。QoS の詳細は、279 ページの「Quality of Services (QoS) の設定」を参 照してください。 • Disable Server Response Inspection — サーバーからクライアントへのパ ケットの検査を無効にするには、このチェック ボックスをオンにします。こ のオプションは、サーバーの負荷が高い状況で効力を発揮します。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 149 Policies NAT ポリシー ファイアウォールにレイヤー 3 インターフェイスを定義する場合、ネットワーク アドレス変換 (NAT) ポリシーを使用して、送信元 IP アドレスおよび宛先 IP アドレスのプライベート アドレス とパブリック アドレスを変換するかどうかや、送信元ポートおよび宛先ポートのプライベート ポートとパブリック ポートを変換するかどうかを指定できます。たとえば、内部 ( 信頼されている ) ゾーンからパブリック ( 信頼されていない ) ゾーンに送信されるトラフィックの送信元プライベー ト アドレスをパブリック アドレスに変換できます。 ネットワーク アドレス変換は、バーチャル ワイヤ インターフェイスでもサポートされています。 バーチャル ワイヤ インターフェイスで NAT を実行する場合、隣接するデバイスが通信するサブ ネットとは異なるサブネットに送信元アドレスを変換することをお勧めします。バーチャル ワイ ヤではプロキシ ARP はサポートされていません。そのため、隣接するデバイスは、バーチャル ワ イヤのもう一方の終端のデバイスのインターフェイスに存在する IP アドレスの ARP リクエスト のみを解決できます。 ファイアウォールに NAT を設定する場合、NAT トラフィックを許可するためにセキュリティ ポ リシーも設定する必要があります。セキュリティ ポリシーは、NAT 後のゾーンと NAT 前の IP ア ドレスに基づいて照合されます。 このファイアウォールでは、以下のタイプのアドレス変換がサポートされています。 • 動的 IP/ ポート — 送信トラフィックで使用します。送信元ポート番号が異なる同じパブリッ ク IP アドレスを複数のクライアントで使用できます。動的 IP/ ポート NAT ルールでは、1 つ の IP アドレス、IP アドレス範囲、サブネット、またはこれらの組み合わせへの変換ができま す。出力インターフェイスに動的に割り当てられた IP アドレスがある場合、インターフェイ ス自体を変換後アドレスとして指定できます。動的 IP/ ポート ルールでインターフェイスを 指定すると、インターフェイスから取得したアドレスを後続の変換に使用するように NAT ポ リシーが自動的に更新されます。 注 : Palo Alto Networks の動的 IP/ ポート NAT では、使用可能な IP アドレ スとポートの数でサポートされる数よりも多くの NAT セッションがサポート されます。ファイアウォールでは、宛先 IP アドレスが一意の場合、IP アドレ PA-4020 で 4 回、 スとポートの組み合わせを PA-2000 シリーズで 2 回 ( 同時 )、 PA-4050、PA-4060、および PA-5000 シリーズのデバイスで 8 回まで使用でき ます。 • 動的 IP — 送信トラフィックで使用します。送信元プライベート アドレスを指定のアドレス 範囲内で次に使用可能なアドレスに変換します。動的 IP NAT ポリシーでは、変換アドレス プールとして 1 つの IP アドレス、IP 範囲、またはサブネットを指定できます。送信元アドレ ス プールが変換後アドレス プールよりも大きいと、変換後アドレス プールがすべて使用され ている間は新しい IP アドレスに変換が必要な場合でもブロックされます。 • 静的 IP — 受信トラフィックまたは送信トラフィックで使用します。静的 IP を使用すると、送 信元ポートまたは宛先ポートは変更せずに、送信元 IP アドレスまたは宛先 IP アドレスを変更 できます。静的 IP を使用して、1 つのパブリック IP アドレスを複数のプライベート サーバー およびサービスにマッピングする場合、同じ宛先ポートを使用することも、別の宛先ポートを 指定することもできます。 150 • ポリシーとセキュリティ プロファイル Palo Alto Networks Policies 注 : パブリック IP アドレスに送信されるトラフィックが適切なプライベート アド レスにルーティングされるように、隣接するルータやファイアウォールで静的ルー トを定義することが必要になる場合もあります。パブリック アドレスがファイア ウォール インターフェイスと同じ場合 ( または同じサブネットの場合 )、ルータにそ のアドレスの静的ルートは必要ありません。NAT のサービス (TCP または UDP) ポートを指定する場合、事前に定義されている HTTP サービス (service-http) には 80 と 8080 の 2 つの TCP ポートが含まれています。1 つのポート (TCP 80 など ) を 指定するには、新しいサービスを定義する必要があります。 以下の表は、各 NAT タイプの要約です。2 つの動的方法では、一連のクライアント アドレス (M) が NAT アドレスのプール (N) にマッピングされます。M と N は異なる数値です。また、N は 1 に なる可能性もあります。動的 IP/ ポート NAT は動的 IP NAT とは異なります。動的 IP/ ポートで は TCP および UDP の送信元ポートは保持されませんが、動的 IP NAT では変更されません。また、 以下に示すように変換される IP プールのサイズの上限に違いがあります。 静的 IP NAT では、元のアドレスと変換後のアドレス間に 1 対 1 のマッピングがあります。単一 マッピング IP アドレスは、1 対 1 として表すことができます。また、1 対 1 のマッピング IP アド レスが多数あるプールは、M 対 M として表すことができます。 表 66. NAT タイプ タイプ 送信元ポートが 同じかどうか 宛先ポートが変更 される可能性があ るかどうか マッピング タイプ 変換されるアドレス プールのサイズ 動的 IP/ ポート いいえ いいえ 多対 1 最大 254 個の連続し たアドレス PAN-OS NAT M対N 動的 IP はい いいえ M対N 最大 16000 個の連続 したアドレス 静的 IP はい いいえ 1対1 無制限 M対M MIP 任意 Palo Alto Networks 1 対 多の VIP PAT ポリシーとセキュリティ プロファイル • 151 Policies NAT およびセキュリティ ポリシーでのゾーン設定の決定 NAT ルールは、ポリシーで設定された NAT 前の IP アドレスに関連付けられているゾーンを使用 するように設定する必要があります。たとえば、内部サーバー ( パブリック IP を介してインター ネット ユーザーがアクセス ) への受信トラフィックを変換する場合、パブリック IP アドレスが存 在するゾーンを使用して NAT ポリシーを設定する必要があります。この場合、送信元ゾーンと宛 先ゾーンは同じになります。別の例を挙げると、ホストからパブリック IP アドレスへの送信トラ フィックを変換する場合、これらのホストのプライベート IP アドレスに対応する送信元ゾーンを 使用して NAT ポリシーを設定する必要があります。この照合は NAT によってパケットが変更さ れる前に行われるため、NAT 前のゾーンが必要になります。 セキュリティ ポリシーは NAT ポリシーとは異なり、NAT 後のゾーンを使用してトラフィックを 制御します。NAT は、送信元 IP アドレスまたは宛先 IP アドレスに影響する可能性があり、送信 インターフェイスおよびゾーンが変更される場合があります。特定の IP アドレスを使用してセ キュリティ ポリシーを作成する場合、ポリシーの照合では NAT 前の IP アドレスが使用されます。 NAT が適用されるトラフィックが複数のゾーンを横断する場合、そのトラフィックをセキュリ ティ ポリシーで明示的に許可する必要があります。 NAT ルール オプション ファイアウォールでは、非 NAT ルールおよび双方向 NAT ルールがサポートされています。 非 NAT ルール 非 NAT ルールを設定して、NAT ルールの範囲内で定義される IP アドレスを除外できます。この NAT ルールは後で NAT ポリシーで定義されます。非 NAT ポリシーを定義するには、すべての一 致条件を指定し、[source translation] 列の [No Source Translation] を選択します。 双方向 NAT ルール 静的な送信元 NAT ルールの双方向設定では、同じリソースへの反対方向のトラフィックに対応す る宛先 NAT ルールが暗黙的に作成されます。この例では、2 つの NAT ルールを使用して、IP 10.0.1.10 からパブリック IP 3.3.3.1 への送信トラフィックの送信元変換と、パブリック IP 3.3.3.1 か らプライベート IP 10.0.1.10 へのトラフィックの宛先変換が作成されています。双方向機能を使用 する 3 つ目の NAT ルールを設定するだけでこのルールのペアと同じ効果を簡単に得られます。 152 • ポリシーとセキュリティ プロファイル Palo Alto Networks Policies ネットワーク アドレス変換ポリシーの定義 [Policies] > [NAT] NAT アドレス変換ルールは、送信元ゾーンと宛先ゾーン、送信元アドレスと宛先アドレス、およ びアプリケーション サービス (HTTP など ) に基づいています。セキュリティ ポリシーと同様に、 NAT ポリシー ルールと受信トラフィックは順番に照合され、トラフィックに一致する最初のルー ルが適用されます。 必要に応じて、ローカル ルータに静的ルートを追加し、パブリック アドレスへのトラフィックを すべてファイアウォールにルーティングします。場合によっては、ファイアウォールの受信イン ターフェイスに静的ルートを追加し、プライベート アドレスにトラフィックをルーティングして 戻す必要があります (97 ページの「ファイアウォール インターフェイス」を参照 )。設定のガイド ラインは、144 ページの「ポリシー定義のガイドライン」を参照してください。 表 67. NAT ルール設定 フィールド 説明 Name デフォルトのルール名を変更します。また、必要に応じてルールの説明を入 力します。 Description 任意の説明を追加します。 Tag ポリシーにタグを付ける場合、[Add] をクリックしてタグを指定します。 Original Packet Source Zone Destination Zone 元のパケット ( 非 NAT) パケットについて、1 つ以上の送信元ゾーンと宛先 ゾーンを選択します ( デフォルトは [any])。ゾーンは同じタイプ ([Layer 2]、 [Layer 3]、[Virtual Wire]) である必要があります。新しいゾーンを定義する手 順については、115 ページの「セキュリティ ゾーンの定義」を参照してくだ さい。 複数のゾーンを使用して管理を簡略化できます。たとえば、複数の内部 NAT アドレスが同じ外部 IP アドレスに送信されるように設定できます。 Destination Interface インターフェイスのタイプ ([none]、[loopback]、または [vlan]) を選択します。 異なる IP アドレス プールを持つ ISP にネットワークが接続している場合、宛 先インターフェイスを使用すると、IP アドレスを異なる方法で変換できます。 Source Address Destination Address 変換する送信元アドレスと宛先アドレスの組み合わせを指定します。 Service 送信元アドレスまたは宛先アドレスを変換するサービスを指定します。新し いサービス グループを定義する方法については、191 ページの「サービス グ ループ」を参照してください。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 153 Policies 表 67. NAT ルール設定 ( 続き ) フィールド 説明 Translated Packet Source Translation 変換後の送信元アドレスの IP アドレスまたはアドレス範囲 ( アドレス 1 ~ ア ドレス 2) を入力し、動的または静的アドレス プールを選択します。アドレス 範囲のサイズは、以下のアドレス プールのタイプによって制限されます。 • 動的 IP およびポート — アドレス範囲で次に使用可能なアドレスが使用さ れ、送信元ポート番号が変更されます。最大で 64,000 個の同時セッションが 同じパブリック IP アドレスに変換されます。それぞれのポート番号は異な ります。最大 254 個の連続した IP アドレスがサポートされます。ポート番 号は内部で管理されます。 • 動的 IP — 指定した範囲で次に使用可能なアドレスが使用されますが、ポー ト番号は変更されません。最大 16000 個の連続した IP アドレスがサポート されます。 • 静的 IP — 同じアドレスが常に使用され、ポート番号は変更されません。た とえば、送信元の範囲が 192.168.0.1 ~ 192.168.0.10 で、変換の範囲が 10.0.0.1 ~ 10.0.0.10 の場合、アドレス 192.168.0.2 は必ず 10.0.0.2 に変換されます。ア ドレス範囲は事実上無制限です。 • なし — 変換は実行されません。 Destination Translation 変換後の宛先アドレスとポート番号として、IP アドレスまたは IP アドレスの 範囲とポート番号 (1 ~ 65535) を入力します。[Translated Port] フィールドが ブランクの場合、宛先ポートは変更されません。通常、宛先の変換は、パブ リック ネットワークから内部サーバー ( 電子メール サーバーなど ) にアクセ スできるようにする場合に使用します。 NAT ポリシーの例 以下の NAT ポリシー ルールでは、送信元のプライベート アドレスの範囲 (「L3Trust」ゾーンの 10.0.0.1 ~ 10.0.0.100) が 1 つのパブリック IP アドレス (「L3Untrust」ゾーンの 200.10.2.100) およ び一意の送信元ポート番号に変換されます ( 送信元の動的変換 )。このルールは、 「L3Untrust」ゾー ンのインターフェイスを宛先とする「L3Trust」ゾーンのレイヤー 3 インターフェイスで受信した トラフィックにのみ適用されます。プライベート アドレスは外部から認識できないため、パブリッ ク ネットワークからネットワーク セッションを開始することはできません。パブリック アドレス がファイアウォール インターフェイスのアドレスでない場合 ( または同じサブネットでない場合 )、 ファイアウォールにリターン トラフィックを送信するには、ローカル ルータに静的ルートが必要 になります。 この NAT ルールに一致するトラフィックを許可するように明示的にセキュリティ ポリシーを設 定する必要があります。NAT ルールに一致する送信元/宛先ゾーンおよび送信元/宛先アドレスを 使用してセキュリティ ポリシーを作成します。 図 14. 送信元アドレスの動的変換 154 • ポリシーとセキュリティ プロファイル Palo Alto Networks Policies 以下の例では、最初の NAT ルールで内部メール サーバーのプライベート アドレスが静的パブ リック IP アドレスに変換されています。このルールは、 「L3Trust」ゾーンから「L3Untrust」ゾー ンに送信される送信電子メールにのみ適用されます。反対方向のトラフィック ( 受信電子メール ) の場合、2 番目のルールで宛先アドレスがサーバーのパブリック アドレスからプライベート アド レスに変換されます。NAT ポリシーが NAT 前のアドレス ゾーンに基づいているため、ルール 2 で は送信元ゾーンと宛先ゾーンに「L3Untrust」を使用しています。この場合、この NAT 前のアドレ スはパブリック IP アドレスであるため「L3Untrust」ゾーンになります。 図 15. 送信元アドレスと宛先アドレスの静的変換 どちらの例でも、パブリック アドレスがファイアウォールのインターフェイスのアドレスでない 場合 ( または同じサブネットでない場合 )、ファイアウォールにトラフィックをルーティングする には、ローカル ルータに静的ルートを追加する必要があります。 ポリシーベースの転送ポリシー [Policies] > [Policy Based Forwarding] 通常、トラフィックがファイアウォールに到着すると、入力インターフェイスのバーチャル ルー タが、宛先 IP アドレスに基づいて出力インターフェイスと宛先セキュリティ ゾーンを決定する ルートを指示します。ポリシーベースの転送 (PBF) では、送信元と宛先の IP アドレスやポート、 ユーザー ID など、他の情報を指定して、出力インターフェイスを決定することができます。アプ リケーションに関連付けられた宛先 IP アドレスおよびポートの最初のセッションは、アプリケー ション固有のルールには一致せず、後続の PBF ルール ( アプリケーションが指定されない ) か、 バー チャル ルータの転送テーブルに従って転送されます。同じアプリケーションについて、その宛先 IP アドレスおよびポートの後続セッションはすべて、アプリケーション固有のルールに一致しま す。PBF ルールによる転送を確実に行うには、アプリケーション固有のルールを使用することはお 勧めしません。 必要に応じて PBF ルールを使用して、トラフィックが追加のバーチャル システムを経由するよう に Forward-to-VSYS 転送アクションで強制することができます。この場合、宛先バーチャル シス テムからファイアウォールの特定の出力インターフェイスを通じてパケットを転送する追加の PBF ルールを定義する必要があります。 設定のガイドラインは、144 ページの「ポリシー定義のガイドライン」を参照してください。 表 68. ポリシーベースの転送設定 フィールド 説明 [General] タブ Name ルールの識別に使用する名前 ( 最大 31 文字 ) を入力します。名前の大文字と小文 字は区別されます。また、一意の名前にする必要があります。文字、数字、ス ペース、ハイフン、およびアンダースコアのみを使用してください。名前のみが 必須です。 Description 任意の説明を入力します。 Tag ポリシーにタグを付ける場合、[Add] をクリックしてタグを指定します。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 155 Policies 表 68. ポリシーベースの転送設定 ( 続き ) フィールド 説明 [Source] タブ Source Zone 送信元ゾーン ( デフォルトは [any]) を選択するには、[Add] をクリックしてド ロップダウン リストから選択します。ゾーンは同じタイプ ([Layer 2]、[Layer 3]、 [Virtual Wire]) である必要があります。新しいゾーンを定義する手順について は、115 ページの「セキュリティ ゾーンの定義」を参照してください。 複数のゾーンを使用して管理を簡略化できます。たとえば、信頼されていない宛 先ゾーンが指定されている 3 つの異なる内部ゾーン ( マーケティング、販売、広 報 ) がある場合、すべてのケースを対象とした 1 つのルールを作成できます。 Source Address [Add] をクリックして送信元アドレス、アドレス グループ、または地域を追加し ます ( デフォルトは [any])。ドロップダウン リストから選択するか、ドロップダ ウン リストの下部にある [Address]、[Address Group]、または [Regions] のリ ンクをクリックして設定を指定します。 Source User [Add] をクリックして、ポリシーを適用する送信元ユーザーまたはユーザー グ ループを選択します。 [Destination/ Application/Service] タブ Destination Address [Add] をクリックして宛先アドレス、アドレス グループ、または地域を追加しま す ( デフォルトは [any])。ドロップダウン リストから選択するか、ドロップダウ ン リストの下部にある [Address]、[Address Group]、または [Regions] のリン クをクリックして設定を指定します。 Application セキュリティ ルールを適用する特定のアプリケーションを選択します。新しい アプリケーションを定義する方法については、184 ページの「アプリケーション の定義」を参照してください。アプリケーション グループを定義する方法につい ては、189 ページの「アプリケーション グループの定義」を参照してください。 Service 送信元アドレスまたは宛先アドレスを変換するサービスを指定します。新しい サービス グループを定義する方法については、191 ページの「サービス グルー プ」を参照してください。 [Forwarding] タブ Action 以下のいずれかのオプションを選択します。 • Forward — ネクストホップの IP アドレスと出力インターフェイス ( 指定した ネクストホップに到達するためにパケットが通るインターフェイス ) を指定し ます。 • Forward To VSYS — ドロップダウン リストから転送先となるバーチャル シ ステムを選択します。 • Discard — パケットを廃棄します。 • No PBF — パケットが通るパスを変更しません。 Egress Interface ファイアウォールからトラフィックを転送するファイアウォール インターフェ イスを指定します。 Next Hop 次の転送先の IP アドレスを指定します。 156 • ポリシーとセキュリティ プロファイル Palo Alto Networks Policies 表 68. ポリシーベースの転送設定 ( 続き ) フィールド 説明 Monitor 転送アクションをモニターするには、[Monitor] を選択して以下の設定を指定し ます。 • Profile — ドロップダウン リストからプロファイルを選択します。 • Disable if unreachable — ネクストホップのルータが到達不能になったときに すべての新しいセッションでこのルールを無視する場合、このチェック ボック スをオンにします。 • IP Address — ポリシーベースの転送ルールの状態を判別するために ping メッセージを定期的に送信する IP アドレスを指定します。 Schedule ルールを適用する日時を制限するには、ドロップダウン リストからスケジュー ルを選択します。新しいスケジュールを定義する方法については、199 ページの 「スケジュール」を参照してください。 復号化ポリシー [Policies] > [Decryption] トラフィックを復号化するようにファイアウォールを設定して、可視化、管理、および詳細なセ キュリティを実現できます。復号化ポリシーは、Secure Socket Layer (SSL) およびセキュア シェル (SSH) トラフィックに適用できます。SSH オプションでは、許可されていないアプリケーションや コンテンツが安全なプロトコルでトンネリングされないように SSH の送受信トラフィックを選択 的に復号化できます。 復号化ポリシーごとに、復号化する、または復号化しない URL のカテゴリを指定します。App-ID や、アンチウイルス、脆弱性、アンチスパイウェア、URL フィルタリング、およびファイル ブロッ キング プロファイルを暗号解読したトラフィックに適用してから、デバイスから出るときと同様 にトラフィックを再暗号化します。接続中はクライアントとサーバー間でエンドツーエンドのセ キュリティが保持され、ファイアウォールは、信頼されたサード パーティとして機能します。暗号 解読されたトラフィックはデバイスに残ります。 ファイアウォールでは、カプセル化されたプロトコルに関係なく、トラフィックが検査されます。 復号化ポリシーは、必要に応じて全般的にまたは固有に指定できます。ポリシー ルールと受信トラ フィックは順番に照合されるため、より個別のルールの方が全般的なルールよりも優先されます。 注 : SSL 証明書を管理して証明書の不一致エラーを回避する方法や、非標準の SSL 実 装 に 対 応 す る ポ リ シ ー の 作 成 方 法 に 関 す る ガ イ ド ラ イ ン の 詳 細 は、Palo Alto Networks のテクニカル ノート『Controlling SSL Decryption (SSL 復号化の管理 )』 を参照してください。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 157 Policies SSL 転送プロキシの復号化には、信頼された認証局の設定が必要です。この設定は、ユーザーが接 続しているサーバーで証明書を処理するときにユーザーに表示されます。この証明書は、ファイア ウ ォ ー ル で 信 頼 さ れ た CA に よ っ て 署 名 さ れ ま す。こ の 証 明 書 を設 定 す る に は、[Device] > [Certificates] ページで証明書を作成し、証明書の名前をクリックして [Forward Trust Certificate] チェック ボックスをオンにします。67 ページの「セキュリティ証明書のインポート、エクスポー ト、および生成」を参照してください。 表 69. 復号化ルール設定 フィールド 説明 [General] タブ Name ルールの識別に使用する名前 ( 最大 31 文字 ) を入力します。名前の大文字と小文 字は区別されます。また、一意の名前にする必要があります。文字、数字、ス ペース、ハイフン、およびアンダースコアのみを使用してください。名前のみが 必須です。 Description 任意の説明を入力します。 Tag ポリシーにタグを付ける場合、[Add] をクリックしてタグを指定します。 [Source] タブ Source Zone [Add] をクリックして送信元ゾーンを選択します ( デフォルトは [any])。ゾーン は同じタイプ ([Layer 2]、[Layer 3]、[Virtual Wire]) である必要があります。新し いゾーンを定義する手順については、115 ページの「セキュリティ ゾーンの定 義」を参照してください。 複数のゾーンを使用して管理を簡略化できます。たとえば、信頼されていない宛 先ゾーンが指定されている 3 つの異なる内部ゾーン ( マーケティング、販売、広 報 ) がある場合、すべてのケースを対象とした 1 つのルールを作成できます。 Source Address [Add] をクリックして送信元アドレス、アドレス グループ、または地域を追加し ます ( デフォルトは [any])。ドロップダウン リストから選択するか、ドロップダ ウン リストの下部にある [Address]、[Address Group]、または [Regions] のリ ンクをクリックして設定を指定します。[Negate] チェック ボックスをオンにし、 設定していない任意のアドレスを選択します。 Source User [Add] をクリックして、ポリシーを適用する送信元ユーザーまたはユーザー グ ループを選択します。 [Destination] タブ Destination Zone [Add] をクリックして宛先ゾーンを選択します ( デフォルトは [any])。ゾーンは 同じタイプ ([Layer 2]、[Layer 3]、[Virtual Wire]) である必要があります。新しい ゾーンを定義する手順については、115 ページの「セキュリティ ゾーンの定義」 を参照してください。 複数のゾーンを使用して管理を簡略化できます。たとえば、信頼されていない宛 先ゾーンが指定されている 3 つの異なる内部ゾーン ( マーケティング、販売、広 報 ) がある場合、すべてのケースを対象とした 1 つのルールを作成できます。 Destination Address [Add] をクリックして宛先アドレス、アドレス グループ、または地域を追加しま す ( デフォルトは [any])。ドロップダウン リストから選択するか、ドロップダウ ン リストの下部にある [Address]、[Address Group]、または [Regions] のリン クをクリックして設定を指定します。[Negate] チェック ボックスをオンにし、設 定していない任意のアドレスを選択します。 [Options] タブ Action トラフィックに [decrypt] または [no-decrypt] を選択します。 158 • ポリシーとセキュリティ プロファイル Palo Alto Networks Policies 表 69. 復号化ルール設定 ( 続き ) フィールド 説明 Type ドロップダウン リストから復号化するトラフィックのタイプを選択します。 • SSL Forward Proxy — ポリシーで外部サーバーへのクライアント トラフィッ クを復号化するように指定します。 • SSH Proxy — ポリシーで SSH トラフィックを復号化するように指定します。 このオプションでは、ssh-tunnel App-ID を指定してポリシーの SSH トンネリ ングを制御できます。 • SSL Inbound Inspection — ポリシーで SSL 着信検証トラフィックを復号化す るように指定します。 Category [Add] をクリックし、ドロップダウン リストから URL カテゴリを選択します。 Block sessions that cannot be decrypted ポリシー ルールに基づいてファイアウォールで復号化できないセッションをブ ロックするには、このチェック ボックスをオンにします。クライアントおよび サーバーの暗号化アルゴリズムがサポートされていない場合、復号化は失敗する ことがあります。 アプリケーション オーバーライド ポリシー ファイアウォールによるネットワーク トラフィックのアプリケーション分類方法を変更するに は、アプリケーション オーバーライド ポリシーを指定します。たとえば、カスタム アプリケーショ ンのいずれかを制御する場合、アプリケーション オーバーライド ポリシー ルールを使用すると、 ゾーン、送信元アドレスと宛先アドレス、ポート、およびプロトコルに従って、そのアプリケー ションのトラフィックを識別できます。「不明」として分類されるネットワーク アプリケーション がある場合、そのアプリケーションの新しい定義を作成できます (184 ページの「アプリケーショ ンの定義」を参照 )。 セキュリティ ポリシーと同様に、必要に応じて全般的または個別のアプリケーション オーバーラ イド ポリシーを使用できます。ポリシー ルールと受信トラフィックは順番に照合されるため、よ り個別のルールの方が全般的なルールよりも優先されます。 アプリケーション オーバーライドを指定するカスタム アプリケーション定義 PAN-OS の App-ID エンジンは、ネットワーク トラフィックのアプリケーション固有のコンテン ツを識別してトラフィックを分類します。このため、カスタム アプリケーション定義では、単純 にポート番号を使用してアプリケーションを識別することができません。アプリケーション定義 には、トラフィック ( 送信元ゾーン、送信元 IP アドレス、宛先ゾーン、および宛先 IP アドレスご とに制限されます ) も含まれている必要があります。 アプリケーション オーバーライドを指定するカスタム アプリケーションを作成するには、以下の 手順を実行します。 1. カスタム アプリケーションを定義します。184 ページの「アプリケーションの定義」を参照し てください。アプリケーションの使用目的がアプリケーション オーバーライド ルールのみで ある場合、アプリケーションのシグネチャを指定する必要はありません。 2. カスタム アプリケーションの起動時に指定されるアプリケーション オーバーライド ポリシー を定義します。通常ポリシーには、カスタム アプリケーションを実行しているサーバーの IP アドレスと、制限された送信元 IP アドレスのセットまたは送信元ゾーンが含まれています。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 159 Policies アプリケーション オーバーライド ポリシーの定義 [Policies] > [Application Override] 新しいルールを作成したら、ルールを設定します。設定するには、現在のフィールドの値をクリッ クし、以下の表の説明に従って、適切な情報を指定します。 表 70. アプリケーション オーバーライド ルール設定 フィールド 説明 [General] タブ Name ルールの識別に使用する名前 ( 最大 31 文字 ) を入力します。名前の大文字と小文 字は区別されます。また、一意の名前にする必要があります。文字、数字、スペー ス、ハイフン、およびアンダースコアのみを使用してください。名前のみが必須 です。 Description 任意の説明を入力します。 Tag ポリシーにタグを付ける場合、[Add] をクリックしてタグを指定します。 [Source] タブ Source Zone [Add] をクリックして送信元ゾーンを選択します ( デフォルトは [any])。ゾーン は同じタイプ ([Layer 2]、[Layer 3]、[Virtual Wire]) である必要があります。新し いゾーンを定義する手順については、115 ページの「セキュリティ ゾーンの定義」 を参照してください。 複数のゾーンを使用して管理を簡略化できます。たとえば、信頼されていない宛 先ゾーンが指定されている 3 つの異なる内部ゾーン ( マーケティング、販売、広 報 ) がある場合、すべてのケースを対象とした 1 つのルールを作成できます。 Source Address [Add] をクリックして送信元アドレス、アドレス グループ、または地域を追加し ます ( デフォルトは [any])。ドロップダウン リストから選択するか、ドロップダ ウン リストの下部にある [Address]、[Address Group]、または [Regions] のリ ンクをクリックして設定を指定します。[Negate] チェック ボックスをオンにし、 設定していない任意のアドレスを選択します。 [Destination] タブ Destination Zone [Add] をクリックして宛先ゾーンを選択します ( デフォルトは [any])。ゾーンは 同じタイプ ([Layer 2]、[Layer 3]、[Virtual Wire]) である必要があります。新しい ゾーンを定義する手順については、115 ページの「セキュリティ ゾーンの定義」 を参照してください。 複数のゾーンを使用して管理を簡略化できます。たとえば、信頼されていない宛 先ゾーンが指定されている 3 つの異なる内部ゾーン ( マーケティング、販売、広 報 ) がある場合、すべてのケースを対象とした 1 つのルールを作成できます。 Destination Address [Add] をクリックして宛先アドレス、アドレス グループ、または地域を追加しま す ( デフォルトは [any])。ドロップダウン リストから選択するか、ドロップダウ ン リストの下部にある [Address]、[Address Group]、または [Regions] のリン クをクリックして設定を指定します。[Negate] チェック ボックスをオンにし、設 定していない任意のアドレスを選択します。 [Protocol/Application] タブ Protocol アプリケーションをオーバーライドできるプロトコルを選択します。 Port 指定した送信元アドレスのポート番号 (0 ~ 65535) またはポート番号の範囲 ( ポー ト 1 ~ ポート 2) を入力します。複数のポートまたはポート範囲はコンマで区切 ります。 160 • ポリシーとセキュリティ プロファイル Palo Alto Networks Policies 表 70. アプリケーション オーバーライド ルール設定 ( 続き ) フィールド 説明 Application 前述のルール基準に一致するトラフィック フローのオーバーライド アプリケーショ ンを選択します。新しいアプリケーションを定義するには、[New Application] をクリックします (184 ページの「アプリケーションの定義」を参照 )。 キャプティブ ポータル ポリシー 認証プロファイル、認証シーケンス、またはクライアント証明書プロファイルでユーザーが認証さ れるように、キャプティブ ポータルをセットアップおよびカスタマイズできます。キャプティブ ポータルとユーザー ID エージェントを連動させることで、Active Directory ドメインでのユー ザー識別機能を拡張できます。ユーザーはポータルに移動して認証され、それによってユーザー対 IP のアドレス マッピングが作成されます。 キャプティブ ポータル ポリシーの定義 [Policies] > [Captive Portal] キャプティブ ポータル ポリシーを定義する前に、[User Identification] ページでキャプティブ ポータルを有効にしてキャプティブ ポータル設定を指定します ( 手順は 233 ページの「ファイア ウォールへのユーザー ID の設定」を参照 )。 これを行ったら、以下の情報を指定してキャプティブ ポータル ポリシーを設定します。 表 71. キャプティブ ポータル ルール設定 フィールド 説明 Name ルールの識別に使用する名前 ( 最大 31 文字 ) を入力します。名前の大文字と小文 字は区別されます。また、一意の名前にする必要があります。文字、数字、スペー ス、ハイフン、およびアンダースコアのみを使用してください。名前のみが必須 です。 Description 任意の説明を入力します。 Tag ポリシーにタグを付ける場合、[Add] をクリックしてタグを指定します。 [Source] タブ Source 以下の情報を指定します。 • 特定のゾーンにあるすべてのインターフェイスからのトラフィックにポリシー を適用する場合、送信元ゾーンを選択します。[Add] をクリックして、複数の インターフェイスまたはゾーンを指定します。 • [Source Address] 設定を指定して、特定の送信元アドレスからのトラフィック にキャプティブ ポータル ポリシーを適用します。[Negate] チェック ボックス をオンにし、設定していない任意のアドレスを選択します。[Add] をクリック して、複数のインターフェイスまたはゾーンを指定します。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 161 Policies 表 71. キャプティブ ポータル ルール設定 ( 続き ) フィールド 説明 [Destination] タブ Destination 以下の情報を指定します。 • 特定のゾーンにあるすべてのインターフェイスへのトラフィックにポリシーを 適用する場合、宛先ゾーンを選択します。[Add] をクリックして、複数のイン ターフェイスまたはゾーンを指定します。 • [Destination Address] 設定を指定して、特定の宛先アドレスへのトラフィック にキャプティブ ポータル ポリシーを適用します。[Negate] チェック ボックス をオンにし、設定していない任意のアドレスを選択します。[Add] をクリック して、複数のインターフェイスまたはゾーンを指定します。 [Service/URL Category] タブ Service 特定の TCP や UDP のポート番号に制限するには、サービスを選択します。ド ロップダウン リストから以下のいずれかを選択します。 • any — 選択したサービスがすべてのプロトコルやポートで許可または拒否さ れます。 • default — 選択したサービスが、Palo Alto Networks によって定義されたデ フォルトのポートでのみ許可または拒否されます。これは、許可ポリシーの推 奨オプションです。 • Select — [Add] をクリックします。既存のサービスを選択するか、[Service] ま たは [Service Group] を選択して新しいエントリを指定します。190 ページの 「サービス」および 191 ページの「サービス グループ」を参照してください。 URL Category キャプティブ ポータル ルールを適用する URL カテゴリを選択します。 • URL カテゴリに関係なく [Service/Action] タブで指定したアクションを適用 するには、[any] を選択します。 • カテゴリを指定するには、[Add] をクリックし、ドロップダウン リストから特 定のカテゴリ ( カスタム カテゴリも含む ) を選択します。複数のカテゴリを追 加できます。カスタム カテゴリの定義方法の詳細は、193 ページの「カスタム URL カテゴリ」を参照してください。 [Service/Action] タブ Action Setting 実行するアクションを選択します。 • captive-portal — 明示的に認証資格情報を入力するためのキャプティブ ポータ ル ページがユーザーに表示されます。 • no-captive-portal — 認証のためのキャプティブ ポータル ページを表示するこ となくトラフィックの通過を許可します。 • ntlm-auth — ユーザーの Web ブラウザへの NT LAN Manager (NTLM) 認証リ クエストを開きます。Web ブラウザは、ユーザーの現在のログイン資格情報を 使用して応答します。 162 • ポリシーとセキュリティ プロファイル Palo Alto Networks Policies DoS 保護ポリシー DoS 保護ポリシーでは、インターフェイス、ゾーン、アドレス、国の間のセッション数を集約セッ ション、送信元 IP アドレス、宛先 IP アドレスに基づいて制御できます。 DoS プロファイルの定義 [Policies] > [DoS Protection] ポリシーの DoS ルールを定義するには、このページを使用します。 表 72. DoS ルール設定 フィールド 説明 [General] タブ Name ルールの識別に使用する名前 ( 最大 31 文字 ) を入力します。名前の大文字と小文 字は区別されます。また、一意の名前にする必要があります。文字、数字、スペー ス、ハイフン、およびアンダースコアのみを使用してください。名前のみが必須 です。 Description 任意の説明を入力します。 Shared デバイスが [Multiple Virtual System] モードである場合、ルールをすべてのバー チャル システムで共有できるようにするには、このチェック ボックスをオンに します。 Tag ポリシーにタグを付ける場合、[Add] をクリックしてタグを指定します。 [Source] タブ Source 以下の情報を指定します。 • [Type] ドロップダウン リストから [Interface] を選択し、インターフェイスま たはインターフェイス グループからのトラフィックに DoS ポリシーを適用し ます。特定のゾーンにあるすべてのインターフェイスからのトラフィックに DoS ポリシーを適用する場合、[Zone] を選択します。[Add] をクリックして、 複数のインターフェイスまたはゾーンを指定します。 • [Source Address] 設定を指定して、特定の送信元アドレスからのトラフィック に DoS ポリシーを適用します。[Negate] チェック ボックスをオンにし、設定し ていない任意のアドレスを選択します。[Add] をクリックして、複数のイン ターフェイスまたはゾーンを指定します。 • [Source User] 設定を指定して、特定のユーザーからのトラフィックに DoS ポ リシーを適用します。[Add] をクリックして、複数のインターフェイスまたは ゾーンを指定します。 [Destination] タブ Destination 以下の情報を指定します。 • [Type] ドロップダウン リストから [Interface] を選択し、インターフェイスま たはインターフェイス グループからのトラフィックに DoS ポリシーを適用し ます。特定のゾーンにあるすべてのインターフェイスからのトラフィックに DoS ポリシーを適用する場合、[Zone] を選択します。[Add] をクリックして、 複数のインターフェイスまたはゾーンを指定します。 • [Destination Address] 設定を指定して、特定の宛先アドレスへのトラフィック に DoS ポリシーを適用します。[Negate] チェック ボックスをオンにし、設定し ていない任意のアドレスを選択します。[Add] をクリックして、複数のイン ターフェイスまたはゾーンを指定します。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 163 セキュリティ プロファイル 表 72. DoS ルール設定 ( 続き ) フィールド 説明 [Option/Protection] タブ Service ドロップダウン リストから選択し、設定したサービスにのみ DoS ポリシーを適 用します。 Action ドロップダウン リストからアクションを選択します。 • Deny — すべてのトラフィックが廃棄されます。 • Allow — すべてのトラフィックが許可されます。 • Protect — このルールに適用される DoS プロファイルの一部として設定したし きい値による保護を適用します。 Schedule 事前に設定したスケジュールをドロップダウン リストから選択し、特定の日付 / 時間に DoS ルールを適用します。 Aggregate ドロップダウン リストから DoS 保護プロファイルを選択し、DoS 脅威に対して アクションを実行するトラフィック量を決定します。[Aggregate] 設定は、指定し た送信元から指定した宛先へのすべてのトラフィックの合計に対して適用され ます。 Classified チェック ボックスをオンにして以下を指定します。 • Profile — ドロップダウン リストからプロファイルを選択します。 • Address — 送信元 ( 送信元 IP アドレス ) および宛先 ( 宛先 IP アドレス ) にルー ルを適用するかどうかを選択します。 [Classified] プロファイルを指定すると、プロファイルの制限が送信元 IP アドレ ス、宛先 IP アドレス、または送信元 IP アドレスと宛先 IP アドレスのペアに適用 されます。たとえば、セッションの制限が 100 である分類済みのプロファイルを 指定し、ルールの「送信元」の [Address] 設定を指定できます。この特定の送信 元 IP アドレスのセッションが常に 100 に制限されます。 セキュリティ プロファイル セキュリティ ポリシーごとに 1 つ以上のセキュリティ プロファイルを指定して、防御や管理を強 化することができます。以下のタイプのプロファイルを使用できます。 • アンチウイルス プロファイル — ワームやウイルスから保護したり、スパイウェアのダウン ロードをブロックしたりします。次のセクションの「アンチウイルス プロファイル」を参照し てください。 • アンチスパイウェア プロファイル — スパイウェアによるネットワークへのアクセス試行を ブロックします。167 ページの「アンチスパイウェア プロファイル」を参照してください。 • 脆弱性対策プロファイル — システムの脆弱性の悪用やシステムへの不正アクセスを防止しま す。168 ページの「脆弱性防御プロファイル」を参照してください。 • URL フィルタリング プロファイル — 特定の Web サイトおよび Web サイト カテゴリへのア クセスを制限します。170 ページの 「URL フィルタリング プロファイル」を参照してください。 • ファイル ブロッキング プロファイル — 選択したファイル タイプをブロックします。 172 ページの「ファイル ブロッキング プロファイル」を参照してください。 • データ フィルタリング プロファイル — クレジット カード番号や社会保障番号などの機密情 報が、ファイアウォールで保護されているエリアから漏洩することを防止します。175 ページ の「データ フィルタリング プロファイル」を参照してください。 164 • ポリシーとセキュリティ プロファイル Palo Alto Networks セキュリティ プロファイル • サービス拒否 (DoS) プロファイルー — DoS 攻撃から保護し、一致するルールに対応する保護 アクションを実行します。177 ページの「DoS プロファイル」を参照してください。 個々のプロファイルに加えて、プロファイル グループを作成して頻繁に適用されるプロファイル をまとめることができます。 注 : セキュリティ ポリシーで使用されているプロファイルは削除できません。 アンチウイルス プロファイルおよびアンチスパイウェア プロファイルの定義時、以下のアクショ ンを選択できます。 • Default — 各脅威に対して内部的に指定されているデフォルトのアクションが実行されます。 • Alert — 各アプリケーション トラフィック フローのアラートが生成されます。アラートは脅 威ログに保存されます。 • Block — アプリケーション トラフィックが廃棄されます。 • Allow — アプリケーション トラフィックが許可されます。 脆弱性ポリシーの定義時、以下のアクションを選択できます。 • None — アクションは実行されません。 • Default — 各脅威に対して内部的に指定されているデフォルトのアクションが実行されます。 • Alert — 各アプリケーション トラフィック フローのアラートが生成されます。アラートは脅 威ログに保存されます。 • Drop — アプリケーション トラフィックが廃棄されます。 • Drop-all-packets — すべてのパケットがファイアウォールを継続して通過しないようにします。 • Reset-both — クライアントとサーバーがリセットされます。 • Reset-client — クライアントがリセットされます。 • Reset-server — サーバーがリセットされます。 • Block-IP — このアクションでは、送信元からのトラフィックまたは送信元と宛先のペア ( 設 定可能 ) のトラフィックが指定した期間ブロックされます。このアクションは、スパイウェア の phone home プロファイル、カスタム脆弱性防御プロファイル、ゾーン プロテクション プ ロファイル、および DoS 保護ルールで使用できます。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 165 セキュリティ プロファイル アンチウイルス プロファイル [Objects] > [Security Profiles] > [Antivirus] セキュリティ ポリシーでは、ウイルス検査の対象となるアプリケーションや、ウイルス検出時に 実行するアクションを指示するアンチウイルス プロファイルを指定できます。また、プロファイル ではスパイウェアのダウンロードをブロックするアクションを指定することもできます。デフォ ルトのプロファイルでは、表示されているすべてのプロトコル デコーダがウイルス検査の対象に なります。Simple Mail Transport Protocol (SMTP)、Internet Message Access Protocol (IMAP)、お よび Post Office Protocol Version 3 (POP3) ではアラートが生成され、他のアプリケーションでは 検出されたウイルスのタイプに応じてデフォルトのアクション ( アラートまたは拒否 ) が実行され ます。 カスタマイズしたプロファイルを使用して、信頼されたセキュリティ ゾーン間のトラフィックに 対するウイルス対策の検査を最小限に抑え、インターネットなどの信頼されていないゾーンから受 信したトラフィックや、サーバー ファームなどの機密性の高い宛先に送信されるトラフィックの 検査を最大化できます。 アクション タイプの詳細は、164 ページの「セキュリティ プロファイル」を参照してください。 表 73. アンチウイルス プロファイル設定 フィールド 説明 Name プロファイル名 ( 最大 31 文字 ) を入力します。この名前は、セキュリティ ポ リシーを定義するときにアンチウイルス プロファイルのリストに表示されま す。名前の大文字と小文字は区別されます。また、一意の名前にする必要があ ります。文字、数字、スペース、ハイフン、ピリオド、およびアンダースコア のみを使用してください。 Description 任意の説明を入力します。 [Antivirus] タブ Packet Capture 識別されたパケットをキャプチャするには、このチェック ボックスをオンに します。 Decoders and Actions ウイルスを検査するトラフィックのタイプごとに、ドロップダウン リストか らアクションを選択します。 Applications Exceptions and Actions アンチウイルス ルールの適用対象から除外するアプリケーションを指定します。 たとえば、特定のアプリケーションを除くすべての HTTP トラフィックをブ ロックするには、そのアプリケーションが例外になるようにアンチウイルス プロファイルを定義します。[Block] は HTTP デコーダに対するアクション で、[Allow] はアプリケーションの例外です。 アプリケーションを検索するには、アプリケーション名をテキスト ボックス に入力します。一致するアプリケーションのリストが表示され、選択ができる ようになります。アプリケーションが表に追加され、アクションを割り当てら れるようになります。 アプリケーション例外ごとに、脅威の検出時に実行するアクションを選択し ます。 [Virus Exception] タブ Threat ID 特定の脅威がシステムで無視されるようにするには、このタブを使用します。 すでに指定した例外が表示されています。脅威を追加するには、脅威 ID を入 力して [Add] をクリックします。脅威 ID は、脅威ログの情報の一部として表 示されます。214 ページの「ログの表示」を参照してください。 166 • ポリシーとセキュリティ プロファイル Palo Alto Networks セキュリティ プロファイル アンチスパイウェア プロファイル [Objects] > [Security Profiles] > [Anti-Spyware] セキュリティ ポリシーでは、 「phone home」検出 ( インストールされているスパイウェアからのト ラフィックを検出) のアンチスパイウェア プロファイルを指定できます。デフォルトのアンチスパ イウェア プロファイルでは、[low] および [informational] 以外のすべての重大度レベルを対象にし た phone-home 保護が検出されます。 カスタマイズしたプロファイルを使用して、信頼されたセキュリティ ゾーン間のトラフィックに 対するスパイウェア対策の検査を最小限に抑え、インターネットなどの信頼されていないゾーンか ら受信したトラフィックや、サーバー ファームなどの機密性の高い宛先に送信されるトラフィッ クの検査を最大化できます。 [Exceptions] 設定では、特定のシグネチャに対するレスポンスを変更できます。たとえば、シグネ チャに一致するすべてのパケットをブロックするが選択したパケットはブロックしないでアラー トを生成するということが可能です。 [Anti-Spyware] ページには、一連のデフォルト列が表示されます。列を選択するオプションを使用 すれば、その他の情報列を表示できます。列ヘッダーの右側にある矢印をクリックし、[Columns] サブメニューから列を選択します。詳細は、26 ページの「設定ページのテーブルの使用」を参照し てください。 表 74. アンチスパイウェア プロファイル設定 フィールド 説明 Name プロファイル名 ( 最大 31 文字 ) を入力します。この名前は、セキュリティ ポ リシーを定義するときにアンチスパイウェア プロファイルのリストに表示さ れます。名前の大文字と小文字は区別されます。また、一意の名前にする必要 があります。文字、数字、スペース、ハイフン、ピリオド、およびアンダース コアのみを使用してください。 Description プロファイルの説明を入力します。 Shared デバイスが [Multiple Virtual System] モードである場合、プロファイルをすべ てのバーチャル システムで共有できるようにするには、このチェック ボック スをオンにします。 Rules ルール名を指定します。 Severity 重大度レベル ([critical]、[high]、[medium]、[low]、または [informational]) を選択します。 Action 脅威ごとのアクション ([Default]、[Alert]、[Allow]、または [Drop]) を選択 します。 Packet Capture 識別されたパケットをキャプチャするには、このチェック ボックスをオンに します。 [Exceptions] タブ Exceptions Palo Alto Networks アクションを割り当てる各脅威の [Enable] チェック ボックスをオンにする か、[All] を選択してリストにあるすべての脅威をオンにします。このリスト は、選択したホスト、カテゴリ、および重大度によって異なります。リストが 空の場合、現在の選択に対応する脅威がないことを表します。 ポリシーとセキュリティ プロファイル • 167 セキュリティ プロファイル 脆弱性防御プロファイル [Objects] > [Security Profiles] > [Vulnerability Protection] セキュリティ ポリシーでは脆弱性防御プロファイルを指定できます。このプロファイルでは、シ ステムの脆弱性を悪用するバッファ オーバーフローや不正コードの実行などに対する保護レベル を定義します。デフォルトのプロファイルでは、重大度が [critical]、[high]、および [medium] で あるすべての既知の脅威からクライアントとサーバーが保護されます。 カスタマイズしたプロファイルを使用して、信頼されたセキュリティ ゾーン間のトラフィックに 対する脆弱性の検査を最小限に抑え、インターネットなどの信頼されていないゾーンから受信した トラフィックや、サーバー ファームなどの機密性の高い宛先に送信されるトラフィックの保護を 最大化できます。脆弱性防御プロファイルをセキュリティ ポリシーに適用する方法については、 146 ページの「セキュリティ ポリシー」を参照してください。 [Rules] 設定では、有効にする一連のシグネチャと、一連のシグネチャのいずれかがトリガーされ たときに実行するアクションを指定します。 [Exceptions] 設定では、特定のシグネチャに対するレスポンスを変更できます。たとえば、シグネ チャに一致するすべてのパケットをブロックするが選択したパケットはブロックしないでアラー トを生成するということが可能です。[Exception] タブでは、フィルタリング機能がサポートされ ています。 [Vulnerability Protection] ページには、一連のデフォルト列が表示されます。列を選択するオプ ションを使用すれば、その他の情報列を表示できます。列ヘッダーの右側にある矢印をクリック し、[Columns] サブメニューから列を選択します。詳細は、26 ページの「設定ページのテーブルの 使用」を参照してください。 表 75. 脆弱性防御プロファイル設定 フィールド 説明 Name プロファイル名 ( 最大 31 文字 ) を入力します。この名前は、セキュリティ ポ リシーを定義するときに脆弱性防御プロファイルのリストに表示されます。 名前の大文字と小文字は区別されます。また、一意の名前にする必要があり ます。文字、数字、スペース、ハイフン、ピリオド、およびアンダースコアの みを使用してください。 Description プロファイルの説明を入力します。 Shared デバイスが [Multiple Virtual System] モードである場合、プロファイルをすべ てのバーチャル システムで共有できるようにするには、このチェック ボック スをオンにします。 [Rules] タブ Rule Name ルールの識別に使用する名前を指定します。 Threat Name 照合するテキスト文字列を指定します。ファイアウォールは、このテキスト文 字列のシグネチャ名を検索して一連のシグネチャをルールに適用します。 Action ルー ル が ト リ ガー さ れ た と きに 実 行 す る アク シ ョ ン ([Alert]、[Allow]、 [Default]、または [Block]) を選択します。 Host ルールのシグネチャをクライアント側、サーバー側、またはいずれか ([any]) に限定するかどうかを指定します。 Packet Capture ルールをトリガーしたパケットをキャプチャするには、このチェック ボック スをオンにします。 Category 脆弱性のカテゴリに一致する場合にのみシグネチャを適用するには、脆弱性 のカテゴリを選択します。 168 • ポリシーとセキュリティ プロファイル Palo Alto Networks セキュリティ プロファイル 表 75. 脆弱性防御プロファイル設定 ( 続き ) フィールド 説明 CVE List 指定した CVE にも一致する場合にのみシグネチャを適用するには、CVE (Common Vulnerabilities and Exposures) を指定します。 各 CVE の形式は CVE-yyyy-xxxx になります。ここで、yyyy は年、xxxx は一 意識別子です。このフィールドで文字列の照合を実行できます。たとえば、 2011 年の脆弱性を検索するには「2011」と入力します。 Vendor ID 指定したベンダー ID にも一致する場合にのみシグネチャを適用するには、ベ ンダー ID を指定します。 たとえば、Microsoft のベンダー ID の形式は MSyy-xxx になります。ここで、 yy は 2 桁の年で、xxx は一意識別子です。たとえば、2009 年の Microsoft を照 合するには「MS09」と入力します。 Severity 指定した重大度にも一致する場合にのみシグネチャを適用するには、照合す る重大度 ([informational]、[low]、[medium]、[high]、または [critical]) を選 択します。 [Exceptions] タブ Threats アクションを割り当てる各脅威の [Enable] チェック ボックスをオンにする か、[All] を選択してリストにあるすべての脅威をオンにします。このリスト は、選択したホスト、カテゴリ、および重大度によって異なります。リストが 空の場合、現在の選択に対応する脅威がないことを表します。 各ドロップダウン リスト ボックスからアクションを選択するか、リストの上 部にある [Action] ドロップダウン リストからアクションを選択してすべて の脅威に同じアクションを適用します。[Show All] チェック ボックスがオン になっている場合、すべてのシグネチャが表示されます。[Show All] チェッ ク ボックスがオンになっていない場合、例外となるシグネチャのみが表示さ れます。 識別されたパケットをキャプチャするには、[Packet Capture] チェック ボッ クスをオンにします。 脆弱性シグネチャ データベースには、総当たり攻撃を表すシグネチャが格納 されています。たとえば、脅威 ID 40001 は FTP 総当たり攻撃でトリガーさ れます。総当たり攻撃のシグネチャは、特定の時間のしきい値で条件が発生 した場合にトリガーされます。総当たり攻撃のシグネチャのしきい値は事前 に設定されています。これは、([Custom] オプションが選択された状態で ) [Vulnerability] タブの脅威の名前の横にある鉛筆アイコン をクリックし て変更できます。単位時間あたりのヒット数やしきい値の適用先 ( 送信元、宛 先、または送信元と宛先の組み合わせ ) を指定できます。 しきい値は、送信元 IP、宛先 IP、または送信元 IP と宛先 IP の組み合わせに 適用できます。 注 : デフォルトのアクションが、かっこに囲まれて表示されます。 [CVE] 列には、CVE (Common Vulnerabilities and Exposures) の識別子が表 示されます。これらは、公開されている情報セキュリティの脆弱性に対応する 共通の一意の識別子です。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 169 セキュリティ プロファイル URL フィルタリング プロファイル [Objects] > [Security Profiles] > [URL Filtering] セキュリティ ポリシーでは URL フィルタリング プロファイルを指定できます。このプロファイル を使用して、特定の Web サイトおよび Web サイト カテゴリへのアクセスをブロックしたり、指 定した Web サイトにアクセスした場合にアラートを生成したりします (URL フィルタリング ライ センスが必要 )。また、常にブロック ( またはアラートを生成 ) する Web サイトの「ブロック リス ト」や常に許可する Web サイトの「許可リスト」を定義することもできます。Web カテゴリは、 Palo Alto Networks によって事前に定義されています。 URL フィルタリング プロファイルをセキュリティ ポリシーに適用する方法については、146 ペー ジの「セキュリティ ポリシー」を参照してください。独自の URL リストでカスタム URL カテゴ リを作成する方法については、193 ページの「カスタム URL カテゴリ」を参照してください。 表 76. URL フィルタリング プロファイル設定 フィールド 説明 Name プロファイル名 ( 最大 31 文字 ) を入力します。この名前は、セキュリティ ポ リシーを定義するときに URL フィルタリング プロファイルのリストに表示 されます。名前の大文字と小文字は区別されます。また、一意の名前にする必 要があります。文字、数字、スペース、ハイフン、およびアンダースコアのみ を使用してください。 Description プロファイルの説明を入力します。 Shared デバイスが [Multiple Virtual System] モードである場合、プロファイルをすべ てのバーチャル システムで共有できるようにするには、このチェック ボック スをオンにします。 Action on License Expiration URL フィルタリング ライセンスの有効期限が切れた場合に実行するアク ションを選択します。 • Block — ブロック リストまたは選択したカテゴリの Web サイトへのアク セスがすべてブロックされます。 • Allow — すべての Web サイトへのアクセスが許可されます。 Dynamic URL Filtering 動 的 URL カ テ ゴ リ分 け を 有 効 にす る 場 合 に 選択 し ま す。デ フォ ル ト は enabled です。 URL カテゴリ分けでは、ファイアウォールの URL フィルタリング データ ベースを使用します。このデータベースには、有名なものを含めた不当な URL があります。URL フィルタリング データベースでは、ローカル データベース では分類できないリクエストを解決できる可能性があります。 タイムアウト期間 (5 秒) が経過しても URL が未解決のままである場合のシス テム応答を設定するには、このウィンドウの [Category] および [Action] 設定 を使用します ( この表の後半に記載されている [Category/Action] を参照 )。 カテゴリのアクションとして [Not resolved URL] を選択します。 Log Container Page Only 指定したコンテンツ タイプに一致する URL のみを記録するには、このチェッ ク ボックスをオンにします。デフォルトは enabled です。 170 • ポリシーとセキュリティ プロファイル Palo Alto Networks セキュリティ プロファイル 表 76. URL フィルタリング プロファイル設定 ( 続き ) フィールド 説明 Block List ブロックする、またはアラートを生成する Web サイトの IP アドレスまたは URL パス名を入力します (1 行ごとに 1 つ )。URL の「http[s]://」部分は省略 できます。ブロック リストのエントリは、完全一致で大文字と小文字が区別 されます。たとえば、 「www.ebay.com」と「ebay.com」は異なります。ドメ イン全体をブロックするには、 「*.ebay.com」と「ebay.com」の両方を含める 必要があります。 例: • www.ebay.com • 198.133.219.25/en/US ブロック リストと許可リストではワイルドカード パターンがサポートされ ます。以下の文字は区切り文字とみなされます。 . / ? & = ; + 上記の文字で区切られた部分文字列はそれぞれトークンとみなされます。 トークンは、区切り文字または * が含まれていない任意の長さの ASCII 文字 にすることができます。たとえば、以下のパターンは有効です。 *.yahoo.com www.*.com www.yahoo.com/search=* ( トークンは「*」、「yahoo」、「com」) ( トークンは「www」 、「*」、「com」) (トークンは 「www」、 「yahoo」、 「com」、 「search」、 「*」) 以下のパターンでは、トークンに「*」以外の文字も含まれているため無効です。 ww*.yahoo.com www.y*.com Action ブロック リストの Web サイトにアクセスしたときに実行するアクションを 選択します。 • alert — ユーザーは Web サイトにアクセスできますが、URL ログにアラー トが追加されます。 • block — Web サイトへのアクセスがブロックされます。 • continue — ユーザーは、ブロックされたページの [Continue] をクリックす ればそのページにアクセスできます。 • override — ユーザーは、パスワードを入力すればブロックされたページに アクセスできます。パスワードおよびその他のオーバーライド設定は、 [Settings] ページの [URL Admin Override] エリアで指定します。30 ページ の「管理設定の定義」の 表 1 を参照してください。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 171 セキュリティ プロファイル 表 76. URL フィルタリング プロファイル設定 ( 続き ) フィールド 説明 Allow List アクセスを許可する Web サイトの IP アドレスまたは URL パス名を入力し ます (1 行ごとに 1 つ )。このリストは、選択した Web サイト カテゴリよりも 優先されます。形式はブロック リストと同じです。 注: 許可リストに追加される URL エントリの大文字と小文字は区別されます。 Category/Action カテゴリごとに、そのカテゴリの Web サイトにアクセスしたときに実行する アクションを選択します。 • alert — ユーザーは Web サイトにアクセスできますが、URL ログにアラー トが追加されます。 • allow — ユーザーは Web サイトにアクセスできます。 • block — Web サイトへのアクセスがブロックされます。 • continue — ユーザーは、ブロックされたページの [Continue] をクリックす ればそのページにアクセスできます。 • override — ユーザーは、パスワードを入力すればブロックされたページに アクセスできます。パスワードおよびその他のオーバーライド設定は、 [Settings] ページの [URL Admin Override] エリアで指定します。30 ページ の「管理設定の定義」の 表 1 を参照してください。 Check URL Category クリックすると、URL または IP アドレスを入力してカテゴリ情報を表示でき る Web サイトにアクセスできます。 ファイル ブロッキング プロファイル [Objects] > [Security Profiles] > [File Blocking] セキュリティ ポリシーではファイル ブロッキング プロファイルを指定できます。このプロファイ ルを使用して、選択したファイル タイプのアップロードやダウンロードをブロックしたり、指定 したファイル タイプの検出時にアラートを生成したりします。表 78 に、サポートされているファ イル形式を示します。 ファイル ブロッキング プロファイルをセキュリティ ポリシーに適用する方法については、 146 ページの「セキュリティ ポリシー」を参照してください。 表 77. ファイル ブロッキング プロファイル設定 フィールド 説明 Name プロファイル名 ( 最大 31 文字 ) を入力します。この名前は、セキュリティ ポ リシーを定義するときにファイル ブロッキング プロファイルのリストに表 示されます。名前の大文字と小文字は区別されます。また、一意の名前にする 必要があります。文字、数字、スペース、ハイフン、およびアンダースコアの みを使用してください。 Description 任意の説明を入力します。 172 • ポリシーとセキュリティ プロファイル Palo Alto Networks セキュリティ プロファイル 表 77. ファイル ブロッキング プロファイル設定 ( 続き ) フィールド 説明 Shared デバイスが [Multiple Virtual System] モードである場合、プロファイルをすべ てのバーチャル システムで共有できるようにするには、このチェック ボック スをオンにします。 Rules 1 つ以上のルールを定義して、選択したファイル タイプで実行するアクショ ン ( 存在する場合 ) を指定します。ルールを追加するには、以下を指定して [Add] をクリックします。 • Name — ルール名 ( 最大 31 文字 ) を入力します。 • Applications — ルールを適用するアプリケーションを選択するか、[any] を 選択します。 • File Types — ブロックするか、またはアラートを生成するファイル タイプ を選択します。 • Direction — ファイル転送の方向 ([Upload]、[Download]、または [Both]) を選択します。 • Action — 選択したファイル タイプの検出時に実行するアクションを選択 します。 – alert — エントリが脅威ログに追加されます。 – block — ファイルがブロックされます。 – continue — ダウンロードがリクエストされたことを通知して、続行する かどうかを確認するようにユーザーに求めるメッセージが表示されま す。この目的は、認識されないダウンロード ( ドライブバイダウンロード とも呼ばれる ) の可能性があることをユーザーに警告し、そのダウンロー ドの続行または停止をユーザーが選択できるようにすることです。 – forward — ファイルが自動的に WildFire に送信されます。 – continue-and-forward — 続行ページが表示され、ファイルが WildFire に送信されます ([continue] と [forward] のアクションの組み合わせ )。 ルールは順番に処理されます。ルールの位置を変更するには、ルールを選択し て [Move Up] または [Move Down] をクリックします。ルールを変更するに は、ルールの横にある [Edit] をクリックします。ルールを削除するには、ルー ルを選択して [Delete] をクリックします。 表 78. ファイル ブロッキングでサポートされているファイル形式 フィールド 説明 avi Microsoft AVI (RIFF) ファイル形式に基づくビデオ ファイル bat MS DOS バッチ ファイル bmp-upload ビットマップ イメージ ファイル ( アップロードのみ ) cab Microsoft Windows キャビネット アーカイブ ファイル cmd Microsoft コマンド ファイル dll Microsoft Windows 動的リンクライブラリ doc Microsoft Office ドキュメント docx Microsoft Office 2007 ドキュメント dwg Autodesk AutoCAD ファイル enc-doc 暗号化された Microsoft Office ドキュメント enc-docx 暗号化された Microsoft Office 2007 ドキュメント Palo Alto Networks ポリシーとセキュリティ プロファイル • 173 セキュリティ プロファイル 表 78. ファイル ブロッキングでサポートされているファイル形式 ( 続き ) フィールド 説明 enc-ppt 暗号化された Microsoft Office PowerPoint enc-pptx 暗号化された Microsoft Office 2007 PowerPoint enc-office2007 暗号化された Microsoft Office 2007 ファイル enc-rar 暗号化された rar ファイル enc-xls 暗号化された Microsoft Office Excel enc-xlsx 暗号化された Microsoft Office 2007 Excel enc-zip 暗号化された zip ファイル exe Microsoft Windows 実行ファイル flv Adobe Flash ビデオ ファイル gif-upload GIF イメージ ファイル ( アップロードのみ ) gzip gzip ユーティリティで圧縮されたファイル hta HTML アプリケーション ファイル iso ISO-9660 標準に基づくディスク イメージ ファイル jpeg-upload JPG/JPEG イメージ ファイル ( アップロードのみ ) lha lha ユーティリティ / アルゴリズムで圧縮されたファイル lnk Microsoft Windows ファイルのショートカット lzh lha/lzh ユーティリティ / アルゴリズムで圧縮されたファイル mdb Microsoft Access データベース ファイル mdi Microsoft Document Imaging ファイル mov Apple Quicktime ムービー ファイル mpeg MPEG-1 または MPEG-2 で圧縮されたムービー ファイル msi Microsoft Windows インストーラ パッケージ ファイル msoffice Microsoft Office ファイル (doc、xls、ppt、pub、pst) ocx Microsoft ActiveX ファイル pdf Adobe ポータブル ドキュメント ファイル pe Microsoft Windows Portable Executable (exe、dll、com、scr、ocx、cpl、sys、 drv、tlb) pgp PGP ソフトウェアで暗号化されたセキュリティ キーまたはデジタル署名 pif 実行命令が格納されている Windows プログラム情報ファイル pl Perl スクリプト ファイル ppt Microsoft Office PowerPoint プレゼンテーション pptx Microsoft Office 2007 PowerPoint プレゼンテーション psd Adobe Photoshop ドキュメント rar winrar で作成された圧縮ファイル reg Windows レジストリ ファイル rm RealNetworks リアル メディア ファイル rtf Windows リッチ テキスト形式ドキュメント ファイル sh Unix シェル スクリプト ファイル 174 • ポリシーとセキュリティ プロファイル Palo Alto Networks セキュリティ プロファイル 表 78. ファイル ブロッキングでサポートされているファイル形式 ( 続き ) フィールド 説明 tar Unix tar アーカイブ ファイル tif Windows タグ イメージ ファイル torrent BitTorrent ファイル wmf ベクター イメージを保存する Windows メタファイル wmv Windows メディア ビデオ ファイル wri Windows Write ドキュメント ファイル wsf Windows スクリプト ファイル xls Microsoft Office Excel xlsx Microsoft Office 2007 Excel Zcompressed Unix の圧縮された Z ファイル (uncompress で解凍 ) zip Winzip/pkzip ファイル データ フィルタリング プロファイル [Objects] > [Security Profiles] > [Data Filtering] セキュリティ ポリシーでは、クレジット カード番号や社会保障番号などの機密情報を識別し、ファ イアウォールで保護されているエリアから機密情報が外部に送信されるのを防止するデータ フィ ルタリング プロファイルを指定できます。 データ フィルタリング プロファイルをセキュリティ ポリシーに適用する方法については、146 ページ の「セキュリティ ポリシー」を参照してください。 表 79. データ フィルタリング プロファイル設定 フィールド 説明 Name プロファイル名 ( 最大 31 文字 ) を入力します。この名前は、セキュリティ ポ リシーを定義するときにログ転送プロファイルのリストに表示されます。名 前の大文字と小文字は区別されます。また、一意の名前にする必要がありま す。文字、数字、スペース、ハイフン、およびアンダースコアのみを使用して ください。 Description プロファイルの説明を入力します。 Shared デバイスが [Multiple Virtual System] モードである場合、プロファイルをすべ てのバーチャル システムで共有できるようにするには、このチェック ボック スをオンにします。 Data Capture フィルタによってブロックされたデータを自動的に収集するには、この チェック ボックスをオンにします。 注 : [Settings] ページの [Manage Data Protection] にキャプチャしたデータ を表示するためのパスワードを指定します。30 ページの「管理設定の定義」を 参照してください。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 175 セキュリティ プロファイル データ パターンを追加するには、[New] をクリックし、以下の情報を指定します。 表 80. データ パターン設定 フィールド 説明 Data Pattern [Data Pattern] ドロップダウン リストから既存のデータ パターンを選択する か、リストから [Data Pattern] を選択して以下の情報を指定し、新しいパター ンを設定します。 • Name — データ パターンの名前を設定します。 • Description — データ パターンの説明を設定します。 • Shared — 複数のバーチャル システムでデータ パターン オブジェクトを共 有する場合、このオプションを選択します。 • Weight — しきい値の計算で使用するように指定したパターンの単位値を 指定します。たとえば、SSN# の重みとして 5 を指定した場合、SSN パター ンの各インスタンスでしきい値を 5 ずつ増加していきます。 つまり、10 個 の SSN パターンが検出されると、10 x 5 ( 重み ) = 50 になります。 – CC# — クレジット カード フィールドの重みを指定します ( 範囲は 0 ~ 255)。 – SSN# — 123-45-6789 のようにダッシュが含まれている社会保障番号 フィールドの重みを指定します ( 範囲は 0 ~ 255、255 が最も高い重み )。 – SSN# (without dash) — 123456789 のようにエントリにダッシュが含ま れていない社会保障番号フィールドの重みを指定します ( 範囲は 0 ~ 255、255 が最も高い重み )。 • Custom Patterns — このプロファイルを適用するトラフィックのカスタム データ パターンを照合するには、[Add] をクリックし、パターン名、照合 する正規表現 (regex)、および重み ( 範囲は 0 ~ 255、255 が最も高い重み ) を指定してカスタム データ パターンを作成します。照合する正規表現を同 じデータ パターン プロファイルに複数追加できます。 Applications フィルタリング ルールに含めるアプリケーションを指定します。 • 表示されているすべてのアプリケーションにフィルタを適用するには、 [any] を選択します。これを選択してもすべてのアプリケーションがブロッ クされるわけではなく、表示されているアプリケーションのみがブロックさ れます。 • [ 追加 ] をクリックして個々のアプリケーションを指定します。 File Types フィルタリング ルールに含めるファイル タイプを指定します。 • 表示されているすべてのファイル タイプにフィルタを適用するには、[any] を選択します。これを選択してもすべてのファイル タイプがブロックされ るわけではなく、表示されているファイル タイプのみがブロックされます。 • [ 追加 ] をクリックして個々のファイル タイプを指定します。 Direction フィルタを適用する方向 ( アップロード、ダウンロード、または両方 ) を指定 します。 Alert Threshold アラートをトリガーする値を指定します。 たとえば、SSN の重みが 5 でしき い値が 100 の場合、ルールがトリガーされるにはルールで 20 個以上のパター ンが検出される必要があります ( インスタンス 20 x 重み 5 = 100)。 Block Threshold ブロックをトリガーする値を指定します。 たとえば、SSN の重みが 5 でしき い値が 100 の場合、ルールがトリガーされるにはルールで 20 個以上のパター ンが検出される必要があります ( インスタンス 20 x 重み 5 = 100)。 176 • ポリシーとセキュリティ プロファイル Palo Alto Networks セキュリティ プロファイル DoS プロファイル [Objects] > [Security Profiles] > [DoS Protection] セキュリティ ポリシーでは、DoS 攻撃から保護し、一致するルールに対応する保護アクションを 実行するための DoS プロファイルを指定できます。DoS プロファイルでは、アクションのタイプ と一致条件を指定します。 DoS プロファイルを DoS ポリシーに適用する方法については、163 ページの「DoS 保護ポリシー」 を参照してください。 表 81. DoS プロファイル設定 フィールド 説明 Name プロファイル名 ( 最大 31 文字 ) を入力します。この名前は、セキュリティ ポ リシーを定義するときにログ転送プロファイルのリストに表示されます。名 前の大文字と小文字は区別されます。また、一意の名前にする必要がありま す。文字、数字、スペース、ハイフン、およびアンダースコアのみを使用して ください。 Shared デバイスが [Multiple Virtual System] モードである場合、プロファイルをすべ てのバーチャル システムで共有できるようにするには、このチェック ボック スをオンにします。 Description プロファイルの説明を入力します。 Type 以下のいずれかのプロファイル タイプを指定します。 • aggregate — プロファイルで設定された DoS のしきい値がルール基準 ( こ のルール基準に基づいてプロファイルが適用される ) に一致するすべての パケットに適用されます。たとえば、SYN フラッドのしきい値が 10000 パ ケット / 秒 (pps) である集約ルールでは、この特定の DoS ルールに該当す るすべてのパケットが計測されます。 • classified — プロファイルで設定された DoS のしきい値が、分類条件 ( 送信 元 IP、宛先 IP、または送信元 IP と宛先 IP の組み合わせ ) を満たすすべての パケットに適用されます。 [Flood Protection] タブ [Syn Flood] サブタブ [UDP Flood] サブタブ SYN フラッド防御を有効にするには、このチェック ボックスをオンにして以 下の情報を指定します。 [ICMP Flood] サブタブ • Choice — (SYN フラッドのみ ) 以下のオプションから選択します。 [Other] サブタブ – Random early drop — DoS 全体の制限に達する前にランダムにパケッ トを廃棄します。 – SYN cookies — SYN フラッド攻撃があっても接続を廃棄せずに済むよ うに SYN Cookie を使用して受信確認を生成します。 • Alarm Rate — DoS アラームが生成されるパケット / 秒 (pps) を指定します ( 範囲は 0 ~ 2000000 pps、デフォルトは 10000 pps)。 • Activate Rate — DoS 応答がアクティベーションされるパケット / 秒 (pps) を指定します ( 範囲は 0 ~ 2000000 pps、デフォルトは 10000 pps)。 • Maximal Rate — パケットが廃棄またはブロックされるパケット/秒を指定 します。 • Block Duration — 問題のあるパケットを拒否する期間 ( 秒 ) を指定します。 ブロック期間中に受信したパケットは、 アラートのトリガーには影響しません。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 177 その他のポリシー オブジェクト 表 81. DoS プロファイル設定 ( 続き ) フィールド 説明 [Resources Protection] タブ Sessions リソース保護を有効にするには、このチェック ボックスをオンにします。 Max Concurrent Limit 同時セッションの最大数を指定します。DoS プロファイル タイプが [aggregate] の場合、DoS ルール ( このルールに基づいて DoS プロファイルが適用される ) に該当するトラフィック全体にこの制限が適用されます。DoS プロファイル タイプが [classified] の場合、分類 ( 送信元 IP、宛先 IP、または送信元 IP と宛 先 IP の組み合わせ ) に基づいて、DoS ルール ( このルールに基づいて DoS プ ロファイルが適用される) に該当するトラフィック全体にこの制限が適用され ます。 その他のポリシー オブジェクト ポリシー オブジェクトは、ポリシーの作成、スケジュール、および検索を可能にする要素です。以 下の要素タイプがサポートされています。 • アドレスとアドレス グループ ポリシーの範囲を決定します。次のセクションの「アドレスと アドレス グループ」を参照してください。 • アプリケーションとアプリケーション グループ ポリシーでソフトウェア アプリケーション を処理する方法を指定できます。182 ページの「アプリケーションとアプリケーション グルー プ」を参照してください。 • アプリケーション フィルタ 検索を簡略化できます。189 ページの「アプリケーション フィル タ」を参照してください。 • サービスとサービス グループ ポート番号を制限します。190 ページの「サービス」を参照して ください。 • データ パターン データ フィルタリング ポリシー用に機密情報のカテゴリを定義します。 191 ページの「データ パターン」を参照してください。 • カスタム URL カテゴリ 独自の URL リストが含まれており、URL フィルタリング プロファイル にグループとして追加できます。193 ページの 「カスタム URL カテゴリ」を参照してください。 • スパイウェアおよび脆弱性の脅威 詳細な脅威対策を可能にします。 197 ページの「セキュリ ティ プロファイル グループ」を参照してください。 • ログ転送 ログ設定を指定します。198 ページの「ログ転送」を参照してください。 • スケジュール ポリシーをアクティベーションするタイミングを指定します。199 ページの「ス ケジュール」を参照してください。 178 • ポリシーとセキュリティ プロファイル Palo Alto Networks その他のポリシー オブジェクト アドレスとアドレス グループ 特定の送信元アドレスまたは宛先アドレスのセキュリティ ポリシーを定義するには、まずアドレ スとアドレス範囲を定義する必要があります。同じセキュリティ設定が必要なアドレスをアドレ ス グループにまとめて 1 つの単位として参照できます。 アドレス範囲の定義 [Objects] > [Addresses] 特定の送信元アドレスまたは宛先アドレスのセキュリティ ポリシーを定義するには、まずアドレ スとアドレス範囲を定義する必要があります。同じセキュリティ設定が必要なアドレスをアドレ ス グループにまとめることで、ポリシーの作成を簡略化できます (180 ページの「アドレス グルー プの定義」を参照 )。 表 82. 新しいアドレス設定 フィールド 説明 Name 定義するアドレスを表す名前 ( 最大 63 文字 ) を入力します。この名前は、セ キュリティ ポリシーを定義するときにアドレスのリストに表示されます。名 前の大文字と小文字は区別されます。また、一意の名前にする必要がありま す。文字、数字、スペース、ハイフン、およびアンダースコアのみを使用して ください。 Shared デバイスが [Multiple Virtual System] モードである場合、すべてのバーチャル システムで使用できるようにするには、このチェック ボックスをオンにします。 Description 任意の説明を入力します。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 179 その他のポリシー オブジェクト 表 82. 新しいアドレス設定 ( 続き ) フィールド 説明 Type IPv4 アドレス、IPv6 アドレス、アドレス範囲、または FQDN を指定します。 IP Netmask: 以下の形式で IPv4 アドレス、IPv6 アドレスまたは IP アドレス範囲を入力し ます。 ip_address/mask または ip_address ここで、mask は重要な意味を持つ 2 進数で、アドレスのネットワーク部を表 すために使用されます。 例: 「192.168.80.150/32」は 1 つのアドレスを表し、「192.168.80.0/24」は 192.168.80.0 ~ 192.168.80.255 のすべてのアドレスを表します。 例: 「2001:db8:123:1::1」または「2001:db8:123:1::/64」 IP Range: アドレス範囲を指定するには、[IP Range] を選択してアドレス範囲を入力し ます。形式は以下のとおりです。 ip_addressñip_address ここで、各アドレスは IPv4 または IPv6 になります。 例: 「2001:db8:123:1::1 — 2001:db8:123:1::22」 FQDN: FQDN を使用してアドレスを指定するには、[FQDN] を選択してドメイン名 を入力します。 FQDN はコミット時に最初に解決されます。DNS time-to-live の有効期限が 切れると ( または期限が近づくと )、エントリが更新されます。FQDN は、シ ステムの DNS サーバーまたは DNS プロキシ オブジェクト ( プロキシが設定 されている場合 ) によって解決されます。DNS プロキシの詳細は、135 ページ の「DNS Proxy」を参照してください。 アドレス グループの定義 [Objects] > [Address Groups] セキュリティ ポリシーの作成を簡略化するには、同じセキュリティ設定が必要なアドレスをアド レス グループにまとめます。 表 83. アドレス グループ フィールド 説明 Name アドレス グループを表す名前 ( 最大 63 文字 ) を入力します。この名前は、セ キュリティ ポリシーを定義するときにアドレスのリストに表示されます。名 前の大文字と小文字は区別されます。また、一意の名前にする必要がありま す。文字、数字、スペース、ハイフン、およびアンダースコアのみを使用して ください。 Shared デバイスが [Multiple Virtual System] モードである場合、すべてのバーチャル システムで使用できるようにするには、このチェック ボックスをオンにします。 Addresses [Add] をクリックし、このグループに含めるアドレスや他のアドレス グルー プを選択します。 180 • ポリシーとセキュリティ プロファイル Palo Alto Networks その他のポリシー オブジェクト 地域の定義 [Objects] > [Regions] ファイアウォールでは、特定の国や他の地域に適用されるポリシー ルールを作成できます。地域 は、セキュリティ ポリシー、復号化ポリシー、DoS ポリシーの送信元および宛先を指定するとき にオプションとして利用できます。セキュリティ ポリシー ルールのオプションとして地域を含め るには、国の標準リストから選択するか、このセクションで説明されている地域設定を使用してカ スタム地域を定義します。 表 84. 新しいアドレス設定 フィールド 説明 Name 地域を表す名前 ( 最大 31 文字 ) を入力します。この名前は、セキュリティ ポ リシーを定義するときにアドレスのリストに表示されます。名前の大文字と 小文字は区別されます。また、一意の名前にする必要があります。文字、数 字、スペース、ハイフン、およびアンダースコアのみを使用してください。 Geo Location 緯 度 と 経 度を 指 定 す る には、こ の チェ ッ ク ボ ック ス を オ ン にし て 値 (xxx.xxxxxx 形式 ) を選択します。この情報は、App-Scope のトラフィック マップおよび脅威マップに使用されます。206 ページの「App-Scope の使用」 を参照してください。 Addresses 以下のいずれかの形式を使用して IP アドレス、IP アドレス範囲、または地域 を識別するサブネットを指定します。 x.x.x.x x.x.x.x-y.y.y.y x.x.x.x/n Palo Alto Networks ポリシーとセキュリティ プロファイル • 181 その他のポリシー オブジェクト アプリケーションとアプリケーション グループ [Applications] ページには、アプリケーションの相対セキュリティ リスク (1 ~ 5) など、各アプリ ケーション定義のさまざまな属性が表示されます。リスク値は、アプリケーションでファイルを共 有できるか、誤用が起こりやすいか、ファイアウォールの回避を試行するか、などの基準に基づい ています。値が大きいほどリスクが大きくなります。 ページ上部のアプリケーション ブラウザエリアには、表示内容のフィルタに使用できる属性が表 示されます。各エントリの左側にある数字は、その属性があるアプリケーションの合計数を表して います。 必要に応じて、このページで以下の機能を実行できます。 • アプリケーション フィルタを適用するには、フィルタリングの基準として使用する項目をクリッ クします。たとえば、[Networking] カテゴリのみをリストに表示するには、[Networking] を クリックします。 列のチェック ボックスがオンになり、選択した項目が強調表示された状態で [Attribute] 列が 再表示されます。個々の項目または列全体を選択または選択解除するには、それぞれ列と項目 のチェック ボックスを使用します。 • その他の列にフィルタを適用するには、列のエントリを選択してチェック ボックスを表示し ます。フィルタリングは連続的で、カテゴリ フィルタ、サブ カテゴリ フィルタ、テクノロジ フィルタ、リスク フィルタ、特性フィルタの順に適用されます。 たとえば、次の図は、カテゴリ、サブ カテゴリ、およびリスク フィルタを適用した結果を示 しています。最初の 2 つのフィルタを適用すると、明示的にテクノロジのフィルタを適用して いなくても、自動的に [Technology] 列が制限され、選択したカテゴリとサブ カテゴリに一致 するテクノロジのみが表示されます。 以下の図に示すように、フィルタが適用されるたびにページ下部のアプリケーションのリスト が自動的に更新されます。保存したフィルタは、[Objects] > [Application Filters] で参照でき ます。 182 • ポリシーとセキュリティ プロファイル Palo Alto Networks その他のポリシー オブジェクト • 特定のアプリケーションを検索するには、[Search] フィールドにアプリケーションの名前また は説明を入力して Enter キーを押します。該当するアプリケーションが表示されます。また、 フィルタ列が更新されて、検索条件に一致するアプリケーションの統計値が表示されます。 検索は、文字列に部分的に一致します。セキュリティ ポリシーを定義すると、保存したフィル タに一致するすべてのアプリケーションに適用されるルールを作成できます。このような ルールは、フィルタに一致するコンテンツの更新によって新しいアプリケーションが追加され ると動的に更新されます。 • アプリケーションに関する他の詳細情報 ( 以下の表を参照 ) を表示するには、アプリケーショ ン名をクリックします。また、以下の表に示すように、リスクやタイムアウトの値をカスタマ イズすることもできます。 表 85. アプリケーションの詳細情報 項目 説明 Name アプリケーションの名前です。 Description アプリケーションの用途です。 Additional Information アプリケーションに関する追加情報が掲載されている Web ソース (Wikipedia、Google、および Yahoo!) にリンクします。 Standard Ports アプリケーションがネットワークとの通信に使用するポートです。 Capable of File Transfer アプリケーションでファイルを転送できるかどうかを示します。 Used by Malware アプリケーションがマルウェアによって使用されるかどうかを示します。 Excessive Bandwidth Use アプリケーションで過剰な帯域幅を使用していて、ネットワーク パ フォーマンスの低下を引き起こす可能性があるかどうかを示します。 Evasive アプリケーションでファイアウォールの回避を試行するかどうかを示 します。 Widely used アプリケーションの影響が広範囲に及ぶかどうかを示します。 Has Known Vulnerabilities アプリケーションに既知の脆弱性があるかどうかを示します。 Tunnels Other Applications アプリケーションが送信メッセージ内に別のアプリケーションを含め ることができるかどうかを示します。 Depends on Applications このアプリケーションの実行に必要な他のアプリケーションのリスト です。 Category アプリケーションのカテゴリです。 Subcategory アプリケーションのサブ カテゴリです。 Technology アプリケーションのテクノロジです。 アプリケーションに割り当てられたリスクです。 Risk この設定をカスタマイズするには、[Customize] リンクをクリックして 値 (1 ~ 5) を入力し、[OK] をクリックします。 Prone to Misuse アプリケーションが悪用される可能性が高いかどうかを示します。 Session Timeout Palo Alto Networks 非アクティブ状態になってからアプリケーションがタイムアウトする まの時間 ( 秒 ) です。 この設定をカスタマイズするには、[Customize] リンクをクリックして 値 ( 秒 ) を入力し、[OK] をクリックします。 ポリシーとセキュリティ プロファイル • 183 その他のポリシー オブジェクト 表 85. アプリケーションの詳細情報 ( 続き ) 項目 説明 TCP アプリケーション フローを停止するタイムアウト (1 ~ 604800 秒 ) です。 TCP Timeout (seconds) この設定をカスタマイズするには、[Customize] リンクをクリックして 値 ( 秒 ) を入力し、[OK] をクリックします。 UCP アプリケーション フローを停止するタイムアウト (1 ~ 604800 秒 ) です。 UDP Timeout (seconds): この設定をカスタマイズするには、[Customize] リンクをクリックして 値 ( 秒 ) を入力し、[OK] をクリックします。 ファイアウォールでアプリケーション ID を使用してアプリケーションを識別できない場合、トラ フィックは不明 ([unknown-tcp] または [unknown-udp]) として分類されます。この動作は、完全 に HTTP をエミュレートするアプリケーションを除き、すべての不明なアプリケーションに適用 されます。詳細は、225 ページの「不明なアプリケーションの識別と対処」を参照してください。 不明なアプリケーションの新しい定義を作成し、その新しいアプリケーション定義のセキュリティ ポリシーを定義できます。さらに、同じセキュリティ設定が必要なアプリケーションをアプリケー ション グループにまとめることで、セキュリティ ポリシーの作成を簡略化できます。 アプリケーションの定義 [Objects] > [Applications] ポリシーを適用するときにファイアウォールで評価する新しいアプリケーションを追加するには、 [Applications] ページを使用します。 表 86. 新しいアプリケーション設定 フィールド 説明 [Configuration] タブ Name アプリケーション名 ( 最大 31 文字 ) を入力します。この名前は、セキュリティ ポリシーを定義するときにアプリケーションのリストに表示されます。名前 の大文字と小文字は区別されます。また、一意の名前にする必要があります。 文字、数字、スペース、ピリオド、ハイフン、およびアンダースコアのみを 使用してください。先頭は文字にする必要があります。 Shared デバイスが [Multiple Virtual System] モードである場合、アプリケーションを すべてのバーチャル システムで共有できるようにするには、このチェック ボックスをオンにします。 Description アプリケーションの説明 ( 一般的な説明のみ ) を入力します。 Category Sub Category アプリケーションのカテゴリ ([email] や [database] など ) を選択します。各カ テゴリの詳細は、325 ページの「アプリケーションのカテゴリとサブカテゴ リ」を参照してください。このカテゴリは、[Top Ten Application Categories] チャートの生成に使用され、フィルタリングに使用できます (203 ページの 「Application Command Center の使用」を参照 )。 アプリケーションのサブ カテゴリ ([email] や [database] など ) を選択します。 各サブ カテゴリの詳細は、325 ページの「アプリケーションのカテゴリとサ ブカテゴリ」を参照してください。このサブ カテゴリは、[Top Ten Application Categories] チャートの生成に使用され、フィルタリングに使用できます (203 ページの「Application Command Center の使用」を参照 )。 184 • ポリシーとセキュリティ プロファイル Palo Alto Networks その他のポリシー オブジェクト 表 86. 新しいアプリケーション設定 ( 続き ) フィールド 説明 Technology ア プ リ ケ ーシ ョ ン の テ クノ ロ ジ を 選 択 しま す。 各 テク ノ ロ ジ の 詳細 は、 327 ページの「アプリケーション テクノロジ」を参照してください。 Parent App このアプリケーションの親アプリケーションを指定します。この設定は、セッ ションが親アプリケーションとカスタム アプリケーションの両方に一致する 場合に適用されます。ただし、カスタム アプリケーションの方が詳細である ためカスタム アプリケーションがレポートされます。 Risk アプリケーションに関連付けられているリスク レベル (1 = 最低 ~ 5 = 最高 ) を選択します。 Characteristics アプリケーションを危険にさらす可能性のあるアプリケーションの特性を選 択します。各特性の詳細は、327 ページの「アプリケーション特性」を参照し てください。 [Advanced] タブ Defaults — Port アプリケーションで使用するプロトコルが TCP や UDP の場合、[Port] を選 択してプロトコルとポート番号の組み合わせを 1 つ以上入力します (1 行ごと に 1 エントリ )。一般的な形式は以下のとおりです。 <protocol>/<port> ここで、<port> は、1 つのポート番号または dynamic ( 動的ポート割り当ての 場合 ) になります。 例 : TCP/dynamic または UDP/32 セキュリティ ルールの [Service] 列に [app-default] を使用すると、この設定 が適用されます。 IP Protocol TCP や UDP 以外の IP プロトコルを指定するには、[IP Protocol] を選択して プロトコル番号 (1 ~ 255) を入力します。 ICMP Type Internet Control Message Protocol (ICMP) タ イ プ を 指定 す る に は、[ICMP Type] (IPv4 の場合 ) または [ICMP6 Type] (IPv6 の場合 ) を選択し、タイプの 番号を入力します ( 範囲は 0 ~ 255)。 None プロトコルに依存しないシグネチャを指定するには、[None] を選択します。 Timeouts アイドル状態のアプリケーション フローが停止するまでの秒数 ( 範囲は 0 ~ 604800) を入力します。0 は、デフォルトのタイムアウトが使用されることを 示します。この値は、すべてのケースで TCP および UDP 以外のプロトコルに 使用されます。また、TCP タイムアウトと UDP タイムアウトが指定されてい ない場合は、TCP と UDP のタイムアウトに使用されます。 TCP Timeout UDP Timeout アイドル状態の TCP または UDP アプリケーション フローが停止するまでの 秒数 ( 範囲は 0 ~ 604800) を入力します。0 は、デフォルトのタイムアウトが 使用されることを示します。 Scanning セキュリティ プロファイル ( ファイル タイプ、データ パターン、およびウイ ルス ) に基づいて、許可するスキャン タイプのチェック ボックスをオンにし ます。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 185 その他のポリシー オブジェクト 表 86. 新しいアプリケーション設定 ( 続き ) フィールド 説明 [Signature] タブ Signatures [Add] をクリックして新しいシグネチャを追加し、以下の情報を指定します。 • Signature Name — シグネチャの識別に使用する名前を入力します。 • Comment — 任意で説明を入力します。 • Scope — このシグネチャの適用対象 ( 現在のトランザクションのみ、または ユーザー セッション全体 ) を選択します。 • Ordered Condition Match — シグネチャの条件の定義順序が重要である場 合に選択します。 以下のように条件を指定してシグネチャを定義します。 • [Add AND Condition] または [Add OR Condition] をクリックして条件を 追加します。グループ内に条件を追加するには、グループを選択して [Add Condition] をクリックします。 • [Pattern Match] と [Equal To] のいずれかの演算子を選択します。[Pattern Match] の演算子を選択した場合、以下を指定します。 – Context — 使用可能なコンテキストから選択します。 – Pattern — 正規表現を指定します。正規表現のパターンのルールの詳細 は、表 90 を参照してください。 – Qualifier and Value — 任意で修飾子 / 値のペアを追加します。 • [Equal To] の演算子を選択した場合、以下を指定します。 – Context — TCP または UDP の未知のリクエストまたは応答から選択し ます。 – Position — ペイロードの最初の 4 バイトまたは 2 番目の 4 バイトのいず れかを選択します。 – Mask — 4 バイトの 16 進数値を指定します ( たとえば、0xffffff00)。 – Value — 4 バイトの 16 進数値を指定します ( たとえば、0xaabbccdd)。 • グループ内で条件を移動するには、条件を選択して [Move Up] または [Move Down] の矢印をクリックします。グループを移動するには、グルー プを選択して [Move Up] または [Move Down] の矢印をクリックします。 グループ間で条件を移動することはできません。 注 : アプリケーションの使用目的がアプリケーション オーバーライド ルール のみである場合、アプリケーションのシグネチャを指定する必要はありません。 アプリケーションをインポートするには、[Import] をクリックします。ファイルを参照して選択 し、[Destination] ドロップダウン リストからターゲットのバーチャル システムを選択します。 アプリケーションをエクスポートするには、アプリケーションのチェック ボックスをオンにして [Export] をクリックします。プロンプトに従ってファイルを保存します。 186 • ポリシーとセキュリティ プロファイル Palo Alto Networks その他のポリシー オブジェクト シグネチャを使ったカスタム アプリケーション シグネチャを使ったカスタム アプリケーションを定義できます。このセクションでは、これを行う 方法の例を示します。show application コマンドの詳細は、 『PAN-OS Command Line Interface Reference Guide (PAN-OS コマンド ライン インターフェイス リファレンス ガイド )』を参照して ください。 例 — 指定したサイトへの Web トラフィックを検出する この例では、www.specifiedsite.com にアクセスする Web トラフィックを検出するアプリケーション を示します。 Web サイトへのリクエストは、以下の形式のいずれかです。 GET /001/guest/ viewprofile.act?fa=25&tg=M&mg=F&searchType=zipcode&type=QUICK&pict=true&cont ext=adrr&zip=94024&ta=34&sb=&item=0&pn=0 HTTP/1.1 Host: www.specifiedsite.com User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.7) Gecko/2009021910 Firefox/3.0.7 Accept: text/html,application/ xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-us,en;q=0.5 Accept-Encoding: gzip,deflate Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7 Keep-Alive: 300 Connection: keep-alive Referer: http://www.specifiedsite.com/ 001/guest/ search.act?type=QUICK&pict=true&sb=&fa=25&ta=34&mg=F&tg=M&searchType=zipcode &zip=94024&context=adrr&context=adrr Cookie: JSESSIONID=A41B41A19B7533589D6E88190B7F0B3D.001; specifiedsite.com/ jumpcookie=445461346*google.com/search?q=lava+life&; locale=en_US; campaign=1; imageNum=2; cfTag_LogSid=9327803497943a1237780204643; __utma=69052556.1949878616336713500.1238193797.1238193797.1238193797.1; __utmb=69052556.2.10.1238193797; __utmc=69052556; __utmz=69052556.1238193797.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none) ; __utmv=69052556.gender%3Df; launch=1 ホスト フィールドが www.specifiedsite.com である場合、以下のシグネチャを使用すると、specifiedsite トラフィックを識別できます。 username@hostname# show application specifiedsite specifiedsite { category collaboration; subcategory social-networking; technology browser-based; decoder http; signature { s1 { and-condition { a1 { or-condition { o1 { context http-req-host-header; pattern www\.specifiedsite\.com; } } } } } } } Palo Alto Networks ポリシーとセキュリティ プロファイル • 187 その他のポリシー オブジェクト 例 — 指定したブログへの書き込みを検出する この例では、www.specifiedblog.com でのブログ書き込みアクティビティを検出するアプリケーショ ンを示します。この場合は、ユーザーがブログを読み込んだ時刻を検出する必要はなく、項目が書 き込まれた時刻のみを検出します。 ポスト トラフィック リクエストの内容は、以下のとおりです。 POST /wp-admin/post.php HTTP/1.1 Host: panqa100.specifiedblog.com User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.7) Gecko/2009021910 Firefox/3.0.7 Accept: text/html,application/ xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-us,en;q=0.5 Accept-Encoding: gzip,deflate Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7 Keep-Alive: 300 Connection: keep-alive Referer: http:// panqa100.specifiedblog.com/wp-admin/post.php?action=edit&post=1 Cookie: __utma=96763468.235424814.1238195613.1238195613.1238195613.1; __utmb=96731468; __utmc=96731468; __utmz=96731468.1238195613.1.1.utmccn=(organic)|utmcsr=google|utmctr=blog+ho st|utmcmd=organic; wordpressuser_bfbaae4493589d9f388265e737a177c8=panqa100; wordpresspass_bfbaae4493589d9f388265e737a177c8=c68a8c4eca4899017c58668eacc05 fc2 Content-Type: application/x-www-form-urlencoded Content-Length: 462 user_ID=1&action=editpost&post_author=1&post_ID=1&post_title=Hello+world%21& post_category%5B%5D=1&advanced_view=1&comment_status=open&post_password=&exc erpt=&content=Hello+world.%3Cbr+%2F%3E&use_instant_preview=1&post_pingback=1 &prev_status=publish&submit=Save&referredby=http%3A%2F%2Fpanqa100.specifiedb log.com%2Fwp-admin%2F&post_status=publish&trackback_url=&post_name=helloworld&post_author_override=1&mm=3&jj=27&aa=2009&hh=23&mn=14&ss=42&metakeyinp ut=&metavalue=HTTP/1.1 ホスト フィールドには、パターン specifiedblog.com が含まれています。ただし、シグネチャのホス ト 部 に そ の 値 が 書 か れ た 場 合、シ グ ネ チ ャ は ト ラ フ ィ ッ ク の 書 き 込 み や 表 示 な ど の specifiedblog.com にアクセスするすべてのトラフィックに一致することになります。そのため、さら にパターンを検索する必要があります。 1 つの方法は、書き込みのパラメータで post_title と post-author というパターンを検索することで す。以下に示すように、該当するシグネチャにより Web サイトへの書き込みが検出されています。 username@hostname# show application specifiedblog_blog_posting specifiedblog_blog_posting { category collaboration; subcategory web-posting; technology browser-based; decoder http; signature { s1 { and-condition { a1 { or-condition { o1 { context http-req-host-header; pattern specifiedblog\.com; method POST; } } } a2 { or-condition { o2 { context http-req-params; pattern post_title; method POST; } } } a3 { or-condition { o3 { context http-req-params; pattern post_author; method POST; 188 • ポリシーとセキュリティ プロファイル Palo Alto Networks その他のポリシー オブジェクト } } } } } } } アプリケーション グループの定義 [Objects] > [Application Groups] セキュリティ ポリシーの作成を簡略化するには、同じセキュリティ設定が必要なアプリケーショ ンをアプリケーション グループにまとめます。新しいアプリケーションを定義する方法について は、184 ページの「アプリケーションの定義」を参照してください。 表 87. 新しいアプリケーション グループ フィールド 説明 Name アプリケーション グループを表す名前 ( 最大 31 文字 ) を入力します。この名 前は、セキュリティ ポリシーを定義するときにアプリケーションのリストに 表示されます。名前の大文字と小文字は区別されます。また、一意の名前にす る必要があります。文字、数字、スペース、ハイフン、およびアンダースコア のみを使用してください。 Applications [Add] をクリックし、このグループに含めるアプリケーション、アプリケー ション フィルタ、および他のアプリケーション グループを選択します。 アプリケーション フィルタ [Objects] > [Application Filters] アプリケーション フィルタを定義して、繰り返し実行する検索を簡略化できます。アプリケーション フィルタを定義して繰り返し実行する検索を簡略化するには、[Add] をクリックし、フィルタの名 前を入力します。 ウィンドウの上部で、フィルタリングの基準として使用する項目をクリックします。たとえば、 [Networking] カテゴリのみをリストに表示するには、[Networking] をクリックします。 列のチェック ボックスがオンになり、選択した項目が強調表示された状態で列が再表示されます。 個々の項目または列全体を選択または選択解除するには、それぞれ列と項目のチェック ボックス を使用します。 その他の列にフィルタを適用するには、列のエントリを選択してチェック ボックスを表示します。 フィルタリングは連続的で、カテゴリ フィルタ、サブ カテゴリ フィルタ、テクノロジ フィルタ、 リスク フィルタ、特性フィルタの順に適用されます。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 189 その他のポリシー オブジェクト たとえば、次の図は、カテゴリ、サブ カテゴリ、およびリスク フィルタを選択した結果を示して います。最初の 2 つのフィルタを適用すると、明示的にテクノロジのフィルタを適用していなくて も、自動的に [Technology] 列が制限され、選択したカテゴリとサブ カテゴリに一致するテクノロ ジのみが表示されます。 図に示すように、オプションを選択するとページ下部のアプリケーションのリストが自動的に更新 されます。 サービス [Objects] > [Services] 特定のアプリケーションのセキュリティ ポリシーを定義する場合、1 つ以上のサービスを選択し て、アプリケーションで使用できるポート番号を制限できます。デフォルトのサービスは、[any] で、すべての TCP ポートと UDP ポートが許可されます。 HTTP サービスと HTTPS サービスは事前に定義されていますが、他のサービスの定義を追加する ことができます。同時に割り当てられることが多いサービスをサービス グループにまとめること で、セキュリティ ポリシーの作成を簡略化できます (191 ページの「サービス グループ」を参照 )。 表 88. サービス設定 フィールド 説明 Name サービス名 ( 最大 63 文字 ) を入力します。この名前は、 セキュリティ ポリシー を定義するときにサービスのリストに表示されます。名前の大文字と小文字 は区別されます。また、一意の名前にする必要があります。文字、数字、ス ペース、ハイフン、およびアンダースコアのみを使用してください。 Description 任意の説明を入力します。 Shared デバイスが [Multiple Virtual System] モードである場合、すべてのバーチャル システムで共有できるようにするには、このチェック ボックスをオンにします。 Protocol サービスで使用するプロトコル (TCP または UDP) を選択します。 宛先ポート サービスで使用する宛先ポート番号 (0 ~ 65535) またはポート番号の範囲 ( ポート 1 ~ ポート 2) を入力します。複数のポートまたはポート範囲はコン マで区切ります。宛先ポートは必須です。 190 • ポリシーとセキュリティ プロファイル Palo Alto Networks その他のポリシー オブジェクト 表 88. サービス設定 ( 続き ) フィールド 説明 Source Port サービスで使用する送信元ポート番号 (0 ~ 65535) またはポート番号の範囲 ( ポート 1 ~ ポート 2) を入力します。複数のポートまたはポート範囲はコン マで区切ります。送信元ポートは任意です。 サービス グループ [Objects] > [Services Groups] セキュリティ ポリシーの作成を簡略化するには、セキュリティ設定が同じであることが多いサー ビスをサービス グループにまとめます。新しいサービスを定義する方法については、190 ページの 「サービス」を参照してください。 表 89. サービス グループ設定 フィールド 説明 Name サービス グループ名 ( 最大 63 文字 ) を入力します。この名前は、セキュリティ ポリシーを定義するときにサービスのリストに表示されます。名前の大文字 と小文字は区別されます。また、一意の名前にする必要があります。文字、数 字、スペース、ハイフン、およびアンダースコアのみを使用してください。 Service [Add] をクリックしてグループにサービスを追加します。ドロップダウン リ ストから選択するか、ドロップダウン リストの下部にある [Service] ボタンを クリックして設定を指定します。設定の詳細は、190 ページの「サービス」を 参照してください。 データ パターン データ パターンのサポートによって、データ フィルタリング セキュリティ ポリシーを使用して フィルタリング対象とする機密情報のカテゴリを指定できます。データ パターンの設定手順の詳 細は、194 ページの「データ パターンの定義」を参照してください。 新しいパターン ( 正規表現 ) を追加する場合、以下の一般的な要件が適用されます。 • パターンには、照合対象となる 7 バイト以上の文字列が含まれている必要があります。7 バイ トより多くの文字列を含めることができますが、それより少なくはできません。 • 文字列の照合では、多くの正規表現エンジンと同様に大文字と小文字が区別されます。 「confidential」の検索と、 「Confidential」や「CONFIDENTIAL」の検索は同じではありません。 PAN-OS の正規表現の構文は、従来の正規表現エンジンと似ていますが、それぞれのエンジンは すべて異なります。以下の表に、PAN-OS でサポートされている構文を示します。 表 90. パターンのルール 構文 説明 任意の 1 文字に一致します。 ? 直前の文字または表現に 0 ~ 1 回一致します。一般式は、かっこのペア内にある必要があり ます。 例 : (abc)? Palo Alto Networks ポリシーとセキュリティ プロファイル • 191 その他のポリシー オブジェクト 表 90. パターンのルール 構文 説明 * 直前の文字または表現に 0 回以上一致します。一般式は、かっこのペア内にある必要があり ます。 例 : (abc)* + 直前の文字または正規表現に 1 回以上一致します。一般式は、かっこのペア内にある必要が あります。 例 : (abc)+ | 「または」に相当します。 例 : ((bif)|(scr)|(exe)) は、「bif」、「scr」または「exe」に一致します。代替の従属文字列は かっこで囲む必要があります。 - 範囲を表すために使用します。 例 : [c-z] は、c ~ z の任意の文字列に一致します。 [] 指定した任意の文字に一致します。 例 : [abz] は a、b、または z に一致します。 ^ 指定以外の任意の文字に一致します。 例 : [^abz] は a、b、または z 以外の任意の文字に一致します。 {} 最小バイト数 / 最大バイト数です。 例 : {10-20} は、10 ~ 20 バイトの文字列に一致します。固定文字列の直前に使用する必要が あり、 「-」のみがサポートされます。 ¥ 前述の特殊文字のいずれかにリテラル文字として一致させるには、特殊文字の前に「¥」( 円 記号 ) を使用してエスケープする必要があります。 & 「&」を文字列として検索するには代わりに「&」を使用する & は特殊文字であるため、 必要があります。 データ パターンの例 有効なカスタム パターンの例を以下に示します。 • .*((Confidential)|(CONFIDENTIAL)) – 任意の場所から「Confidential」または「CONFIDENTIAL」という言葉を検索します。 – 最初の「.*」は、ストリームの任意の場所を検索することを指定します。 – 「confidential」( すべて小文字 ) には一致しません。 • .*((Proprietary & Confidential)|(Proprietary and Confidential)) – 「Proprietary & Confidential」または「Proprietary and Confidential」を検索します。 – 「Confidential」の検索よりも詳細な検索です。 • .*(Press Release).*((Draft)|(DRAFT)|(draft)) – さまざまな形式の単語 draft が後に続く「Press Release」を検索します。これに一致する場 合は、プレス リリースの公開準備が整っていないことを示します。 • .*(Trinidad) – 「Trinidad」などのプロジェクト コード名を検索します。 192 • ポリシーとセキュリティ プロファイル Palo Alto Networks その他のポリシー オブジェクト カスタム URL カテゴリ [Objects] > [Custom URL Categories] カスタム URL カテゴリ機能を使用すると、任意の URL フィルタリング プロファイルで選択でき る独自の URL リストを作成できます。各カスタム カテゴリは別個に管理できます。また、各 URL フィルタリング プロファイル内でアクション ( 許可、ブロック、続行、オーバーライド、アラート ) を関連付けることができます。 URL エントリを個別に追加したり、URL のリストをインポートしたりできます。これを行うには、 テ キ ス ト フ ァ イ ル を 作 成 し、1 行 に つ き 1 つ の URL を 追 加 し ま す。 各 URL の 形 式 は、 「www.example.com」にすることができ、「*.example.com」などのワイルドカードを使用できま す。ワイルドカードの詳細は、170 ページの表 76 のブロック リストの説明を参照してください。 注 : カスタム カテゴリに追加される URL エントリの大文字と小文字は区別さ れます。 URL フィルタリング プロファイルのセットアップ手順の詳細は、170 ページの「URL フィルタリ ング プロファイル」を参照してください。 表 91. カスタム URL カテゴリ フィールド 説明 Name カスタム URL カテゴリの識別に使用する名前 ( 最大 31 文字 ) を入力します。 この名前は、URL フィルタリング ポリシーを定義するときにカテゴリのリス トに表示されます。名前の大文字と小文字は区別されます。また、一意の名前 にする必要があります。文字、数字、スペース、ハイフン、およびアンダース コアのみを使用してください。 Description 任意の説明を入力します。 Shared デバイスが [Multiple Virtual System] モードである場合、プロファイルをすべ てのバーチャル システムで共有できるようにするには、このチェック ボック スをオンにします。 Sites [Sites] エリアで、[Add] をクリックして URL を入力するか、[Import] をク リックし、URL リストが含まれるテキスト ファイルを参照して選択します。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 193 その他のポリシー オブジェクト データ パターンの定義 [Objects] > [Custom Signatures] > [Data Patterns] データ フィルタリング セキュリティ ポリシーを使用してフィルタリング対象とする機密情報の カテゴリを定義するには、[Data Patterns] ページを使用します。データ フィルタリング プロファ イルの定義方法の詳細は、175 ページの「データ フィルタリング プロファイル」を参照してくだ さい。 表 92. データ パターン設定 フィールド 説明 Name データ パターン名 ( 最大 31 文字 ) を入力します。名前の大文字と小文字は区 別されます。また、一意の名前にする必要があります。文字、数字、スペー ス、ハイフン、およびアンダースコアのみを使用してください。 Description 任意の説明を入力します。 Shared デバイスが [Multiple Virtual System] モードである場合、プロファイルをすべ てのバーチャル システムで共有できるようにするには、このチェック ボック スをオンにします。 Weight 事前に指定したパターン タイプの重みを入力します。この重みは、1 ~ 255 の 数値になります。データ フィルタリング プロファイルで指定する [Alert Threshold] および [Block Threshold] は、この重みの関数です。 • CC# — クレジット カード フィールドの重みを指定します ( 範囲は 0 ~ 255)。 • SSN# — 123-45-6789 のようにダッシュが含まれている社会保障番号フィー ルドの重みを指定します ( 範囲は 0 ~ 255、255 が最も高い重み )。 • SSN# (without dash) — 123456789 のようにエントリにダッシュが含まれ ていない社会保障番号フィールドの重みを指定します ( 範囲は 0 ~ 255、255 が最も高い重み )。 Custom Patterns 事前に定義されているパターンには、クレジット カード番号 (CC#) と社会保 障番号 ( ダッシュ付き (SSN#) およびダッシュなし SSN# (without dash)) が 含まれています。 [Add] をクリックして新しいパターンを追加します。パターンの名前を指定 して、パターンを定義する正規表現を入力し、パターンに割り当てる重みを 入力します。必要に応じて、パターンを追加します。 194 • ポリシーとセキュリティ プロファイル Palo Alto Networks その他のポリシー オブジェクト カスタムのスパイウェア シグネチャと脆弱性シグネチャ [Objects] > [Custom Signatures] > [Spyware] [Objects] > [Custom Signatures] > [Vulnerability] ファイアウォールでは、ファイアウォールの脅威エンジンを使用してカスタムのスパイウェア シ グネチャと脆弱性シグネチャを作成する機能をサポートしています。スパイウェアの phone home 通信や脆弱性の悪用を特定するためのカスタム正規表現パターンを記述できます。作成したスパ イウェアと脆弱性のパターンは、カスタム脆弱性プロファイルで使用できます。ファイアウォール は、カスタム定義されたパターンがネットワーク トラフィックに含まれていないか検索し、脆弱 性の悪用に対して指定されたアクションを実行します。HTTP、SMTP、IMAP、FTP、POP3、SMB、 MSSQL、MSRPC、RTSP、SSH、SSL、Telnet、Unknown-TCP、Unknown-UDP を使用したカス タム シグネチャの作成がサポートされます。 カスタム シグネチャを定義するときに任意で時間属性を含めることができます。これを行うには、 攻撃に対してアクションをトリガーする間隔ごとにしきい値を指定します。しきい値に達した場 合にのみアクションが実行されます。 脆弱性プロファイルのシグネチャを定義するには、[Custom Signatures] ページを使用します。 表 93. カスタム シグネチャ - 脆弱性およびスパイウェア フィールド 説明 [Configuration] タブ Threat ID 設定の識別子を数値で入力します。スパイウェア シグネチャの範囲は 15000 ~ 18000、脆弱性シグネチャの範囲は 41000 ~ 45000 です。 Name 脅威の名前を指定します。 Shared デバイスが [Multiple Virtual System] モードである場合、プロファイルをすべ てのバーチャル システムで共有できるようにするには、このチェック ボック スをオンにします。 Comment 任意でコメントを入力します。 Severity 脅威の重大度を示すレベルを割り当てます。 Default Action 脅威の条件を満たしたときに実行されるデフォルトのアクションを割り当て ます。 • Alert — アラートが生成されます。 • Drop Packets — パケットの通過が拒否されます。 • Reset Both — クライアントとサーバーがリセットされます。 • Reset Client — クライアントがリセットされます。 • Reset Server — サーバーがリセットされます。 • Block IP — 指定した期間トラフィックがブロックされます。送信元のトラ フィックのみをブロックするのか、送信元と宛先のトラフィックをブロック するのかを選択し、期間 ( 秒 ) を入力します。 Direction 脅威を評価する方向 ( クライアントからサーバー、サーバーからクライアン ト、その両方 ) を指定します。 Affected System 脅威によって影響を受ける対象 ( クライアント、サーバー、そのどちらか、そ の両方 ) を指定します。脆弱性シグネチャには適用されますが、スパイウェア シグネチャには適用されません。 CVE CVE (Common Vulnerability Enumeration) を、追加情報および分析のための 外部参照として指定します。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 195 その他のポリシー オブジェクト 表 93. カスタム シグネチャ - 脆弱性およびスパイウェア ( 続き ) フィールド 説明 Vendor 脆弱性のベンダー識別子を、追加情報および分析のための外部参照として指 定します。 Bugtraq Bugtraq (CVE と類似 ) を、追加情報および分析のための外部参照として指定 します。 Reference 必要に応じて、追加の分析または情報用にリンクを追加します。この情報は、 ユーザーが ACC、ログ、または脆弱性プロファイルから脅威をクリックする と表示されます。 [Signatures] タブ Standard Signature [Standard] ラジオ ボタンを選択して [Add] をクリックし、新しいシグネチャ を追加します。以下の情報を指定します。 • Standard — シグネチャの識別に使用する名前を入力します。 • Comment — 任意で説明を入力します。 • Ordered Condition Match — シグネチャの条件の定義順序が重要である場 合に選択します。 • Scope — このシグネチャの適用対象 ( 現在のトランザクションのみ、または ユーザー セッション全体 ) を選択します。 以下のように条件を指定してシグネチャを定義します。 • [Add AND Condition] または [Add OR Condition] をクリックして条件を 追加します。グループ内に条件を追加するには、グループを選択して [Add Condition] をクリックします。[Method] および [Context] ドロップダウン リストから選択します。[Pattern] フィールドで正規表現を指定します。必 要に応じて、パターンを追加します。 • グループ内で条件を移動するには、条件を選択して [Move Up] または [Move Down] の矢印をクリックします。グループを移動するには、グループを選 択して [Move Up] または [Move Down] の矢印をクリックします。グルー プ間で条件を移動することはできません。 Combination Signature [Combination] ラジオ ボタンを選択します。サブタブの上部のエリアで、以 下の情報を指定します。 [Combination Signatures] サブタブで、以下のように条件を指定してシグネ チャを定義します。 • [Add AND Condition] または [Add OR Condition] をクリックして条件を 追加します。グループ内に条件を追加するには、グループを選択して [Add Condition] をクリックします。[Method] および [Context] ドロップダウン リストから選択します。[Pattern] フィールドで正規表現を指定します。必 要に応じて、パターンを追加します。 • グループ内で条件を移動するには、条件を選択して [Move Up] または [Move Down] の矢印をクリックします。グループを移動するには、グループを選 択して [Move Up] または [Move Down] の矢印をクリックします。グルー プ間で条件を移動することはできません。 [Time Attribute] サブタブで、以下の情報を指定します。 • Number of Hits — ポリシーベースのアクションをトリガーするしきい値 を、指定した秒数 (1 ~ 3600) のヒット数 (1 ~ 1000) として指定します。 • Aggregation Criteria — ヒットの追跡方法 ( 送信元 IP アドレス、宛先 IP ア ドレス、または送信元 IP アドレスと宛先 IP アドレスの組み合わせ ) を指定 します。 196 • ポリシーとセキュリティ プロファイル Palo Alto Networks その他のポリシー オブジェクト セキュリティ プロファイル グループ [Objects] > [Security Profile Groups] ファイアウォールでは、セキュリティ プロファイルのセットを指定してセキュリティ プロファイル グループを作成する機能がサポートされています。セキュリティ プロファイル グループは、1 つ の単位として処理でき、セキュリティ ポリシーに追加できます。たとえば、「脅威」セキュリティ プロファイル グループを作成して、アンチウイルス、アンチスパイウェア、および脆弱性の各プ ロファイルを追加し、その後、セキュリティ ポリシーを作成してその「脅威」プロファイルを追 加することができます。 同時に割り当てられることが多いアンチウイルス、アンチスパイウェア、脆弱性防御、URL フィ ルタリング、およびファイル ブロッキングの各プロファイルをプロファイル グループにまとめる ことで、セキュリティ ポリシーの作成を簡略化できます。 新しいセキュリティ プロファイルを定義する方法については、147 ページの「セキュリティ ポリ シーの定義」を参照してください。 表 94. セキュリティ プロファイル グループ設定 フィールド 説明 Name プロファイル グループ名 ( 最大 31 文字 ) を入力します。この名前は、セキュ リティ ポリシーを定義するときにプロファイルのリストに表示されます。名 前の大文字と小文字は区別されます。また、一意の名前にする必要がありま す。文字、数字、スペース、ハイフン、およびアンダースコアのみを使用して ください。 Shared デバイスが [Multiple Virtual System] モードである場合、プロファイルをすべ てのバーチャル システムで共有できるようにするには、このチェック ボック スをオンにします。 Profiles グループに含めるウイルス対策、スパイウェア対策、脆弱性対策、URL フィ ルタリング、およびファイル ブロッキングのプロファイルを選択します。 データ フィルタリング プロファイルも、セキュリティ プロファイル グルー プに指定できます。175 ページの「データ フィルタリング プロファイル」を 参照してください。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 197 その他のポリシー オブジェクト ログ転送 [Objects] > [Log Forwarding] セキュリティ ポリシーごとにログの転送プロファイルを指定できます。このプロファイルでは、ト ラフィックおよび脅威ログ エントリを Panorama を使用してリモートでログに記録するかどうか や、SNMP トラップ、Syslog メッセージ、または電子メール通知として送信するかどうかを定義 します。デフォルトでは、ローカル ログのみが実行されます。 トラフィック ログには各トラフィック フローのレコード情報が記録され、脅威ログにはネット ワーク トラフィックの脅威または問題 ( ウイルスやスパイウェアの検出など ) が記録されます。各 ルールに関連付けられているウイルス対策、スパイウェア対策、および脆弱性対策のプロファイル によって、( ローカルまたはリモートで ) ログに保存される脅威は異なります。ログのプロファイル をセキュリティ ポリシーに適用する方法については、146 ページの「セキュリティ ポリシー」を 参照してください。 表 95. ログ転送プロファイル設定 フィールド 説明 Name プロファイル名 ( 最大 31 文字 ) を入力します。この名前は、セキュリティ ポ リシーを定義するときにログ転送プロファイルのリストに表示されます。名 前の大文字と小文字は区別されます。また、一意の名前にする必要がありま す。文字、数字、スペース、ハイフン、およびアンダースコアのみを使用して ください。 Shared デバイスが [Multiple Virtual System] モードである場合、すべてのバーチャル システムで共有できるようにするには、このチェック ボックスをオンにします。 Traffic Settings Panorama トラフィック ログ エントリを Panorama 中央管理システムに送信できるよ うにするには、このチェック ボックスをオンにします。Panorama サーバーの アドレスを定義する方法については、30 ページの「管理設定の定義」を参照 してください。 SNMP Trap Email Syslog SNMP、Syslog、および電子メールの設定を選択します。この設定では、トラ フィック ログ エントリの追加の宛先を指定します。新しい宛先を定義する方 法については、以下のセクションを参照してください。 • 62 ページの「SNMP トラップの宛先の設定」 • 65 ページの「電子メール通知設定の指定」 • 64 ページの「Syslog サーバーの設定」 Threat Log Settings Panorama 各重大度レベルの脅威ログ エントリが Panorama に送信されるようにするに は、このチェック ボックスをオンにします。以下の重大度レベルがあります。 • Critical — 脅威のセキュリティ エンジンで検出された非常に深刻な攻撃です。 • High — 脅威のセキュリティ エンジンで検出された重大な攻撃です。 • Medium — 脅威のセキュリティ エンジンで検出されたそれほど深刻では ない攻撃です (URL ブロックなど )。 • Low — 脅威のセキュリティ エンジンで検出された警告レベルの攻撃です。 • Informational — 他の重大度レベルに含まれないすべてのイベントです ( 情 報攻撃対象の一致など )。 SNMP Trap Email Syslog 重大度レベルごとに SNMP、Syslog、および電子メールの設定を選択します。 この設定では、脅威ログ エントリの追加の宛先を指定します。 198 • ポリシーとセキュリティ プロファイル Palo Alto Networks その他のポリシー オブジェクト スケジュール [Objects] > [Schedules] デフォルトでは、各セキュリティ ポリシーはすべての日時に適用されます。セキュリティ ポリシー を特定の時間に制限するには、スケジュールを定義して該当するポリシーに適用します。スケ ジュールごとに、固定の日時範囲、あるいは日次または週次の定期スケジュールを指定できます。 スケジュールをセキュリティ ポリシーに適用する方法については、146 ページの「セキュリティ ポリシー」を参照してください。 注 : 定義したスケジュールでセキュリティ ポリシーが起動された場合、適用さ れたセキュリティ ポリシーは新しいセッションにのみ影響します。既存の セッションはスケジュールされたポリシーの影響を受けません。 表 96. スケジュール設定 フィールド 説明 Name スケジュール名 ( 最大 31 文字 ) を入力します。この名前は、セキュリティ ポ リシーを定義するときにスケジュールのリストに表示されます。名前の大文 字と小文字は区別されます。また、一意の名前にする必要があります。文字、 数字、スペース、ハイフン、およびアンダースコアのみを使用してください。 Shared デバイスが [Multiple Virtual System] モードである場合、すべてのバーチャル システムで共有できるようにするには、 このチェック ボックスをオンにします。 Recurrence スケジュールのタイプ ([Daily]、[Weekly]、または [Non-Recurring]) を選択 します。 Daily [Add] をクリックし、開始時刻と終了時刻を 24 時間形式 (HH:MM) で指定し ます。 Weekly [Add] をクリックし、曜日を選択して開始時刻と終了時刻を 24 時間形式 (HH:MM) で指定します。 Non-recurring [Add] をクリックし、開始日時と終了日時を指定します。 Palo Alto Networks ポリシーとセキュリティ プロファイル • 199 その他のポリシー オブジェクト 200 • ポリシーとセキュリティ プロファイル Palo Alto Networks 11 19 , 2011 - Palo Alto Networks COMPANY CONFIDENTIAL 第6章 レポートとログ この章では、ファイアウォールで作成されるレポートとログの表示方法について説明します。 • 次のセクションの「ダッシュボードの使用」 • 203 ページの「Application Command Center の使用」 • 206 ページの「App-Scope の使用」 • 214 ページの「ログの表示」 • 217 ページの「ボットネット レポートの処理」 • 220 ページの「PDF サマリー レポートの管理」 • 222 ページの「ユーザー アクティビティ レポートの管理」 • 222 ページの「レポート グループの管理」 • 223 ページの「電子メールで配信するレポートのスケジューリング」 • 223 ページの「レポートの表示」 • 224 ページの「カスタムレポートの生成」 • 225 ページの「不明なアプリケーションの識別と対処」 • 227 ページの「パケット キャプチャの実行」 注 : このセクションの大部分のレポートでは、ページ上部のドロップダウン リ ストからバーチャル システムをオプションで選択することができます。 Palo Alto Networks レポートとログ • 201 ダッシュボードの使用 ダッシュボードの使用 Dashboard [Dashboard] ページには、ソフトウェアのバージョン、各インターフェイスの動作状態、リソース 使用状況、脅威の最新のエントリ ( 最大 10 個 )、設定、システム ログなどのデバイスの一般的な情 報が表示されます。使用可能なチャートがデフォルトですべて表示されますが、個々のチャートを 必要に応じて追加および削除できます。 [Refresh] をクリックし、ダッシュボードを更新します。自動更新間隔を変更するには、ドロップ ダウン リストから間隔を選択します ([1 min]、[2 mins]、[5 mins]、または [Manual])。ダッシュボー ドにチャートを追加するには、ページの左側にある図の名前をクリックします。チャートを削除す るには、図のタイトル バーの をクリックします。 それぞれのチャートで以下の情報を確認します。 表 97. ダッシュボードのチャート チャート 説明 Top Applications セッション数が最も多いアプリケーションが表示されます。ブロック サイズ でセッションの相対数を示し ( マウス カーソルをブロックの上に移動すると 数が表示されます )、色でセキュリティのリスクを示します ( 緑 ( リスク低 ) ~ 赤 ( リスク高 ))。アプリケーションをクリックして、プロファイルを表示します。 Top High Risk Applications [Top Applications] と似ていますが、ここにはセッション数が最も多いハイリ スク アプリケーションが表示されます。 General Information デバイス名、モデル、PAN-OS ソフトウェアのバージョン、アプリケーショ ン、脅威、URL フィルタリング定義のバージョン、現在の日時、および最後 に再起動したときからの経過時間が表示されます。 Interface Status 各インターフェイスが、有効 ( 緑 )、無効 ( 赤 )、または不明な状態 ( 灰 ) であ ることを示します。 Threat Logs 最新 10 エントリの脅威の ID、アプリケーション、および日時が表示されま す。脅威の ID は、マルウェアに関する説明、または URL フィルタリング プ ロファイルに違反する URL を示します。 Config Logs 最新 10 エントリの管理者のユーザー名、クライアント (Web または CLI)、お よび日時が表示されます。 Data Filtering Logs 最近 60 分の説明と日時が表示されます。 URL Filtering Logs 最近 60 分の説明と日時が表示されます。 System Logs 最新 10 エントリの説明と日時が表示されます。「Config installed」エントリ は、設定の変更が正常にコミットされたことを示します。 Resource Information 現在の CPU、メモリ、ディスクの使用状況、およびファイアウォールで確立 されたセッションの数が表示されます。 Logged In Admins 現在ログインしている各管理者の送信元 IP アドレス、セッション タイプ (Web または CLI)、およびセッションの開始時刻が表示されます。 ACC Risk Factor この 1 週間に処理されたネットワーク トラフィックの平均リスク ファクタ (1 ~ 5) が表示されます。値が大きいほどリスクが大きくなります。 High Availability [High Availability (HA)] を有効にすると、ローカルおよびピア デバイスの HA 状態 ( 緑 ( アクティブ )、黄 ( パッシブ )、黒 ( その他 )) が表示されます。HA の詳細は、78 ページの「ファイアウォールの HA の有効化」を参照してくだ さい。 202 • レポートとログ Palo Alto Networks Application Command Center の使用 Application Command Center の使用 ACC [Application Command Center (ACC)] ページには、ネットワーク トラフィックの全リスク レベ ル、ネットワークで最もアクティブで最高リスクのアプリケーションで検出された脅威のリスク レベルと数、および使用回数が最も多いアプリケーション カテゴリと各リスク レベルのすべての アプリケーションで検出された脅威の数が表示されます。ACC は、過去の時間、日、月、または カスタムで定義された任意の期間で表示できます。 [Risk] レベル (1 = 最低 ~ 5 = 最高 ) は、アプリケーションがファイルを共有しているか、誤用が起 こりやすいか、ファイアウォールを回避しようとしているかなどの基準に基づいて、アプリケー ションの相対セキュリティ リスクを示します。 Application Command Center を表示するには、以下の手順を実行します。 1. [ACC] タブで、ページの上部にある以下の設定の 1 つ以上を変更し、[Go] をクリックします。 a. バーチャル システムが定義されている場合は、バーチャル システムを選択します。 b. [Time Frame] ドロップダウン リストから対象期間を選択します。デフォルトは、[Last Hour] です。 c. [Sort By] ドロップダウン リストからソート方法を選択します。セッション数別、バイト数 別、脅威数別の降順でチャートをソートできます。デフォルトは、セッション数別です。 d. 選択したソート方法で、[Top N] ドロップダウン リストから、それぞれのチャートに表示 する上位のアプリケーションおよびアプリケーション カテゴリの数を選択します。 図 16. [Application Command Center] ページ 2. Palo Alto Networks このページの情報に関連するログ ページを開くには、以下に示すように、ページの右上隅の ログのリンクを使用します。ログのコンテキストは、ページの情報に一致しています。 レポートとログ • 203 Application Command Center の使用 3. リストをフィルタリングするには、[Set Filter] をクリックします。ドロップダウン リストから フィルタ タイプを選択して値を入力し、[OK] をクリックします。 4. 以下の表に従って、ドロップダウン リストから目的のエリアの表示を選択します。 5. [Applications]、[URL Filtering]、および [Threat] のドロップダウン リストを使用して、以下 の表の情報を表示します。 表 98. Application Command Center のチャート チャート 説明 Applications メニューの選択項目に応じて、設定された情報が表示されます。情報には、該 当する場合、セッションの数、送受信されたバイト数、脅威の数、アプリケー ション カテゴリ、アプリケーション サブカテゴリ、アプリケーション テクノ ロジ、およびリスク レベルが含まれています。 • Applications • High risk applications • Categories • Sub Categories • Technology • Risk URL Filtering メニューの選択項目に応じて、設定された情報が表示されます。情報には、該 当する場合、URL、URL カテゴリ、繰り返し回数 ( アクセスが試行された回 数 ) が含まれています。 • URL Categories • URLs • Blocked URL Categories • Blocked URLs Threats メニューの選択項目に応じて、設定された情報が表示されます。情報には、該 当する場合、脅威の ID、カウント ( 発生回数 )、セッションの数、およびサブ タイプ ( 脆弱性など ) が含まれています。 • Threats • Types • Spyware • Spyware Phone Home • Spyware Downloads • Vulnerability • Virus Data Filtering • Content/File Types • Types • File Names HIP Matches • HIP Objects • HIP Profiles 204 • レポートとログ Palo Alto Networks Application Command Center の使用 6. 詳細な情報を表示するには、リンクのいずれかをクリックします。[Details] ページが開き、最 上位の項目の情報とそれに関連する項目の詳細なリストが表示されます。 図 17. [Application Command Center] のドリル ダウン ページ Palo Alto Networks レポートとログ • 205 App-Scope の使用 App-Scope の使用 [Monitor] > [App Scope] App-Scope レポートでは、新しい可視化ツールと分析ツールで疑わしい挙動を正確に特定できる ため、ネットワークの以下の状況を理解するのに役立ちます。 • アプリケーション使用状況とユーザー アクティビティの変化 • ネットワーク帯域幅の大部分を占有しているユーザーとアプリケーション • ネットワークの脅威 App-Scope レポートを使用すると、異常な挙動または予期しない挙動を簡単に確認できます。各レ ポートには、ネットワークに関する動的でユーザーがカスタマイズ可能なウィンドウが用意されて います。レポートには、表示するデータと範囲を選択するオプションがあります。 レポートを表示するには、[Monitor] タブで、ページの左側にある [App-Scope] の下のレポート名 をクリックします。下のレポート タイプ リストのいずれかを選択します。一部のページでは、最上 位と最下位にあるドロップダウン リストから [Report] オプションを選択できます。 表 99. Application Command Center のチャート チャート 説明 Summary 207 ページの「サマリー レポート」 Change Monitor 208 ページの「変化モニター レポート」 Threat Monitor 209 ページの「脅威モニター レポート」 Threat Map 209 ページの「脅威モニター レポート」 Network Monitor 211 ページの「ネットワーク モニター レポート」 Traffic Map 213 ページの「トラフィック マップ レポート」 206 • レポートとログ Palo Alto Networks App-Scope の使用 サマリー レポート サマリー レポート ( 図 18) には、使用率が増加している、減少している、および帯域幅を占有して いる上位 5 つのアプリケーション、アプリケーション カテゴリ、ユーザー、および送信元のチャー トが表示されます。 図 18. App-Scope サマリー レポート Palo Alto Networks レポートとログ • 207 App-Scope の使用 変化モニター レポート 変化モニター レポート ( 図 19) には、指定した期間の変化が表示されます。たとえば、図 19 は、過 去 24 時間と比較して、直前の 1 時間に使用量が増加した上位のアプリケーションを示しています。 上位のアプリケーションはセッション数によって決定され、パーセント別にソートされます。 図 19. App-Scope 変化モニター レポート このレポートには、以下のボタンとオプションが表示されます。 表 100. 変化モニター レポートのオプション 項目 説明 上部バー 上位からいくつの項目を表に表示するかを指定します。 記 録 す る 項 目の タ イ プ を 指 定し ま す ([Application]、 [Application Category]、[Source]、または [Destination])。 測定期間で増加した項目の測定数を表示します。 測定期間で減少した項目の測定数を表示します。 測定期間に追加された項目の測定数を表示します。 208 • レポートとログ Palo Alto Networks App-Scope の使用 表 100. 変化モニター レポートのオプション ( 続き ) 項目 説明 測定期間で中止された項目の測定数を表示します。 フィルタを適用して、選択した項目のみを表示します。 [None] を選択すると、 すべてのエントリが表示されます。 セッション情報またはバイト情報のどちらを表示する かを指定します。 パーセンテージまたは実増加のどちらでエントリを ソートするかを指定します。 下部バー 変化モニターの対象期間を指定します。 脅威モニター レポート 脅威モニター レポート ( 図 20) には、選択した期間にわたって上位を占める脅威の数が表示されま す。たとえば、図 20 は、過去 6 時間の上位 10 の脅威タイプを示しています。 図 20. App-Scope 脅威モニター レポート Palo Alto Networks レポートとログ • 209 App-Scope の使用 チャートの下の凡例のように、各タイプの脅威が色分けして示されます。このレポートには、以下 のボタンとオプションが表示されます。 表 101. 脅威モニター レポートのボタン ボタン 説明 上部バー 上位からいくつの項目を表に表示するかを指定します。 測定する項目のタイプを指定します ([Threat]、[Threat Category]、 [Source]、または [Destination])。 フィルタを適用して、選択したタイプの項目のみを表示します。 情報を表示するグラフ ( 積み重ね棒グラフまたは積み重ね面グ ラフ ) を指定します。 下部バー 測定の対象期間を指定します。 脅威マップ レポート 脅威マップ レポート ( 図 21) は、脅威とその重大度をグラフィックで表示します。 図 21. App-Scope 脅威モニター レポート 210 • レポートとログ Palo Alto Networks App-Scope の使用 チャートの下の凡例のように、各タイプの脅威が色分けして示されます。地図で国をクリックする と拡大されます。縮小するには、画面の右下隅の [Zoom Out] ボタンをクリックします。このレ ポートには、以下のボタンとオプションが表示されます。 表 102. 脅威マップ レポートのボタン ボタン 説明 上部バー 上位からいくつの項目を表に表示するかを指定します。 インバウンド方向 ( 着信 ) の脅威を示します。 アウトバウンド方向 ( 発信 ) の脅威を示します。 フィルタを適用して、選択したタイプの項目のみを表示します。 下部バー 対象期間を示します。 ネットワーク モニター レポート ネットワーク モニター レポート (図 22) には、指定した期間にわたって複数のネットワーク機能に 占有されている帯域幅が表示されます。図の下の凡例のように、各タイプのネットワーク機能が色 分けして示されます。たとえば、図 22 は、セッション情報に基づいた、過去 7 日間のアプリケー ション帯域幅を示しています。 図 22. App-Scope ネットワーク モニター レポート Palo Alto Networks レポートとログ • 211 App-Scope の使用 このレポートには、以下のボタンとオプションが表示されます。 表 103. ネットワーク モニター レポートのボタン ボタン 説明 上部バー 上位からいくつの項目を表に表示するかを指定します。 記録する項目のタイプを指定します ([Application]、[Application Category]、[Source]、または [Destination])。 フィルタを適用して、選択した項目のみを表示します。[None] を 選択すると、すべてのエントリが表示されます。 セッション情報またはバイト情報のどちらを表示するかを指定 します。 情報を表示するグラフ ( 積み重ね棒グラフまたは積み重ね面グラ フ ) を指定します。 下部バー 変化モニターの対象期間を示します。 212 • レポートとログ Palo Alto Networks App-Scope の使用 トラフィック マップ レポート トラフィック マップ レポート ( 図 23) は、セッション数またはフロー数に応じて、トラフィック フローをグラフィックで表示します。 図 23. App-Scope トラフィック モニター レポート チャートの下の凡例のように、各タイプのトラフィックが色分けして示されます。このレポートに は、以下のボタンとオプションが表示されます。 表 104. 脅威マップ レポートのボタン ボタン 説明 上部バー 上位からいくつの項目を表に表示するかを指定し ます。 インバウンド方向 ( 着信 ) の脅威を示します。 アウトバウンド方向 ( 発信 ) の脅威を示します。 セッション情報またはバイト情報のどちらを表示 するかを指定します。 下部バー 変化モニターの対象期間を示します。 Palo Alto Networks レポートとログ • 213 ログの表示 ログの表示 [Monitor] > [Logs] このファイアウォールでは、トラフィック フロー、脅威、URL フィルタリング、データ フィルタ リング、およびホスト インフォメーション プロファイル (HIP) の一致に関するログが管理されま す。現在のログはいつでも表示できます。特定のエントリを検索するには、ログ フィールドにフィ ルタを適用します。 注 : ファイアウォールのログには、ロールベースの管理権限に基づいて情報が 表示されます。ログを表示すると、表示権限のある情報のみが表示されます。 管理者権限の詳細は、46 ページの「管理者ロールの定義」を参照してください。 ログを表示するには、[Monitor] タブで、ページの左側にあるログ タイプをクリックします。 各ログ ページの上部にはフィルタエリアがあります。 以下のようにして、フィルタエリアを使用します。 • ログ リストの下線の付いたリンクのいずれかをクリックし、その項目をログ フィルタ オプ ションとして追加します。たとえば、10.0.0.252 のログ エントリの [Host] リンクと [Web Browsing] をクリックすると、両方の項目が追加され、AND 検索を使用して両方に一致する エントリが検索されます。 • その他の検索基準を定義するには、[Add Log Filter] アイコンをクリックします。必要に応じ て、検索のタイプ (AND/OR)、検索に含める属性、マッチング演算子、および照合に使用す る値を選択します。[Add] をクリックして基準を [Log] ページのフィルタエリアに追加し、 [Close] をクリックしてポップアップ ウィンドウを閉じます。[Apply Filter] アイコンをク リックすると、フィルタリングされたリストが表示されます。 注 : [Log] ページに追加されたフィルタ式と [Expression] ポップアップ ウィンドウで 定義した式を組み合わせることができます。各フィルタは、1 つのエントリとして [Log] ページの [Filter] 行に追加されます。 [in Received Time] フィルタを [Last 60 seconds] に設定した場合、ログ ビューアの 一部のページ リンクで結果が表示されない場合があります。これは、選択した時間が 動的性質を持つため、ページ数が増加または減少した可能性があるためです。 • フィルタを消去してフィルタリングされていないリストを再度表示するには、[Clear Filter] ボ タンをクリックします。 • 選択したフィルタを新しいフィルタとして保存するには、[Save Filter] ボタンをクリックして フィルタの名前を入力し、[OK] をクリックします。 • 現在のログ リスト ( 適用されたすべてのフィルタと共にページに表示されます ) をエクスポー トするには、[Save Filter] ボタンをクリックします。ファイルを開くのか、ディスクに保存す るのかを選択します。常に同じオプションを使用する場合はチェック ボックスをオンにしま す。[OK] をクリックします。 214 • レポートとログ Palo Alto Networks ログの表示 自動更新間隔を変更するには、ドロップダウン リストから間隔を選択します ([1 min]、[30 secs]、 [10 secs]、または [Manual])。ページごとのログ エントリの数を変更するには、[Rows] ドロップダ ウン リストから行数を選択します。 ログ エントリは、10 ページのブロック単位で取得されます。ページの下部にあるページ送り機能 を使用して、ログ リスト内を移動します。[Resolve Hostname] チェック ボックスを選択すると、 外部 IP アドレスがドメイン名に解決されます。 詳細を表示するには、エントリの拡大鏡アイコン をクリックします。 図 24. ログ エントリの詳細な情報 [Addresses] ページで、送信元または宛先の IP アドレスから名前へのマッピングを定義している場 合、IP アドレスの代わりにその名前が表示されます。関連付けられている IP アドレスを表示する には、名前の上にカーソルを移動します。 Palo Alto Networks レポートとログ • 215 ログの表示 各ログで以下の情報を確認します。 表 105. ログの説明 チャート 説明 Traffic 各セッションの開始と終了のエントリが表示されます。各エントリには、日時、送信 元および宛先ゾーン、アドレス、ポート、アプリケーション名、フローに適用される セキュリティ ルール名、ルール アクション (「allow」、 「deny」、または「drop」)、 Ingress/Egress インターフェイス、およびバイト数が含まれています。 エントリの横の をクリックすると、セッションに関する詳細な情報 (ICMP エン トリを使用して同じ送信元と宛先間の複数のセッションを集約するかどうかなど) が 表示されます ([Count] 値は 1 より大きくなります )。 [Type] 列は、エントリがセッションの開始または終了のいずれのエントリであるか、 またはセッションが拒否されたか廃棄されたかを示します。「drop」は、トラフィッ クをブロックしたセキュリティ ルールが適用されて「いずれか」のアプリケーショ ンが指定されたことを示し、「deny」はルールが適用されてある特定のアプリケー ションが識別されたことを示します。 アプリケーションが識別される前にトラフィックが廃棄された場合 (あるルールによ り特定のサービスのトラフィックがすべて廃棄された場合など )、そのアプリケー ションは「not-applicable」として表示されます。 Threat ファイアウォールで生成された各セキュリティ アラームのエントリが表示されま す。各エントリには、日時、脅威の名前または URL、送信元および宛先ゾーン、アド レス、ポート、アプリケーション名、およびアラーム アクション (「allow」または 「block」) と重大度が含まれています。 エントリの横の をクリックすると、脅威に関する詳細な情報 ( そのエントリを 使用して同じ送信元と宛先間の同じタイプの複数の脅威を集約するかどうかなど) が 表示されます ([Count] 値は 1 より大きくなります )。 [Type] 列は、脅威のタイプ (「virus」 、 「spyware」など ) を示します。[Name] 列は脅 威に関する説明または URL を示し、[Category] 列は脅威のカテゴリ (「keylogger」 など ) または URL のカテゴリを示します。 ローカル パケット キャプチャが有効な場合は、以下の図に示すように、エントリの 横の をクリックして、キャプチャされたパケットを表示します。ローカル パ ケット キャプチャを有効にするには、164 ページの「セキュリティ プロファイル」の サブセクションを参照してください。 URL Filtering 特定の Web サイトおよび Web カテゴリへのアクセスをブロックしたか、または禁止 されている Web サイトにアクセスしたときに警告を生成した URL フィルタのログ が表示されます。URL フィルタリング プロファイルの定義方法の詳細は、170 ページ の「URL フィルタリング プロファイル」を参照してください。 Data Filtering クレジット カード番号や社会保障番号などの機密情報が、ファイアウォールによっ て保護されているエリアから流出するのを防止するのに役立つセキュリティ ポリ シーのログが表示されます。データ フィルタリング プロファイルの定義方法の詳細 は、175 ページの「データ フィルタリング プロファイル」を参照してください。 ログ エントリの詳細情報にアクセスする場合のパスワード保護を設定するには、 アイコンをクリックします。そこで、パスワードを入力して [OK] をクリックしま す。データ保護パスワードの変更方法または削除方法の手順の詳細は、90 ページの 「カスタム レスポンス ページの定義」を参照してください。 注 : 各セッションで 1 回のみ、システムから入力を要求されます。 Configuration 216 • レポートとログ 各設定変更のエントリが表示されます。各エントリには、日時、管理者のユーザー名、 変更を行ったユーザーの IP アドレス、クライアントのタイプ (Web または CLI)、実 行されたコマンドのタイプ、コマンドが成功したか失敗したか、設定パス、および変 更前後の値が含まれています。 Palo Alto Networks ボットネット レポートの処理 表 105. ログの説明 ( 続き ) チャート 説明 System 各システム イベントのエントリが表示されます。各エントリには、日時、イベントの 重大度、およびイベントの説明が含まれています。 HIP Match GlobalProtect クライアントに適用されるセキュリティ ポリシーに関する情報を表示 します。詳細は、265 ページの「概要」を参照してください。 セッション情報の表示 [Monitor] > [Session Browser] [Session Browser] ページを開いて、ファイアウォール上で現在実行中のセッションを参照して、 フィルタリングします。このページのフィルタリング オプションの詳細は、214 ページの「ログの 表示」を参照してください。 ボットネット レポートの処理 ボットネット レポート機能により、振る舞いベースのメカニズムを使用して、ネットワーク内で ボットネットに感染した可能性のあるホストを特定することができます。ファイアウォールは、 ネットワーク、脅威、URL、およびデータ フィルタリング ログを使用して、マルウェア サイトお よび Dynamic DNS サイトへのアクセス、最近登録された ( 過去 30 日以内に登録された ) ドメイン へのアクセス、識別不能 (Unknown) なアプリケーションの使用、およびインターネット リレー チャット (IRC) トラフィックの存在などの基準に基づいて脅威を評価します。 ファイアウォールは、ボットネットに感染した場合の動作と一致するホストを判別した後、感染し た可能性のある各ホストに 1 ~ 5 までのスコアを割り当て、ボットネット感染の可能性の高さを示 します ( 感染の可能性は、1 が最も低く、5 が最も高い )。振る舞いベースの検出メカニズムでは、 24 時間、複数のログ間でトラフィックを解析する必要があるため、ファイアウォールは、スコア に基づいてソートされたホストのリストを含むレポートを 24 時間ごとに生成します。 Palo Alto Networks レポートとログ • 217 ボットネット レポートの処理 ボットネット レポートの設定 [Monitor] > [Botnet] これらの設定を使用して、疑わしいトラフィック ( ボットネットの活動を示す可能性のあるトラ フ ィ ッ ク ) の タ イ プ を 指 定 し ま す。 設 定 を 定 義 す る に は、[Botnet] ペ ー ジ の 右 側 に あ る [Configuration] ボタンをクリックします。 表 106. ボットネットの設定 フィールド HTTP Traffic 説明 レポートの対象とするイベントの [Enable] チェック ボックスをオンにします。 • Malware URL visit — マルウェアおよびボットネット URL のフィルタリ ング カテゴリに基づいて、不明なマルウェア URL に対して通信している ユーザーを検索します。 • Use of dynamic DNS — ボットネット通信を示す可能性のある Dynamic DNS クエリ トラフィックを検索します。 • Browsing to IP domains — URL ではなく、IP ドメインを参照するユーザー を特定します。 • Browsing to recently registered domains — 過去 30 日以内に登録されたド メインへのトラフィックを検索します。 • Executable files from unknown sites — 不明な URL からダウンロードさ れた実行可能ファイルを検索します。 Unknown Applications 疑わしいものとして識別不能 (Unknown) な TCP または UDP のアプリケー ションを対象に含めるには、このチェック ボックスをオンにします。さらに、 以下の情報を指定します。 • Sessions per Hour — 不明なアプリケーションに関連する 1 時間当たりの アプリケーション セッション数。 • Destinations per Hour — 不明なアプリケーションに関連する 1 時間当た りの宛先数。 • Minimum Bytes — 最小ペイロード サイズ。 • Maximum Bytes — 最大ペイロード サイズ。 IRC 218 • レポートとログ IRC サーバーを疑わしいものとして対象に含めるには、このチェック ボック スをオンにします。 Palo Alto Networks ボットネット レポートの処理 ボットネット レポートの管理 [Monitor] > [Botnet] > [Report Setting] レポート クエリを指定してから、ボットネット分析レポートを生成して表示することができます。 このレポートは、ボットネット設定に基づいて生成されます (218 ページの「ボットネット レポー トの設定」を参照 )。送信元または宛先 IP アドレス、ユーザー、ゾーン、インターフェイス、地域 または国を含めたり、除外したりすることができます。 スケジューリングされたレポートは、1 日に 1 回実行します。レポート クエリを定義するウィンド ウで、[Run Now] をクリックして、要求に応じてレポートを生成および表示することもできます。 生成されたレポートは、[Botnet] ページに表示されます。 ボットネット レポートを管理するには、[Botnet] ページの右側にある [Report Setting] ボタンをク リックします。 レポートをエクスポートするには、レポートを選択して、[Export to PDF] または [Export to CSV] をクリックします。 表 107. ボットネット レポートの設定 フィールド 説明 Test Run Time Frame レポートの期間を選択します ( 過去 24 時間、最後の暦日 )。 # Rows レポート内の行数を指定します。 Scheduled レポートを毎日実行する場合は、このチェック ボックスをオンにします。レ ポートを手動で実行するには、これをオフにして、[Botnet Report] ウィンド ウの上部にある [Run Now] をクリックします。 Query 以下を指定してレポート クエリを作成し、[Add] をクリックして、設定した 式をクエリに追加します。クエリが完成するまで繰り返します。 • Connector — 論理結合子 (AND/OR) を指定します。 • Attribute — ソースまたは宛先のゾーン、アドレス、またはユーザーを指定 します。 • Operator — 属性を値に関連付ける演算子を指定します。 • Value — 照合する値を指定します。 Negate Palo Alto Networks 指定したクエリの否定を適用するには、このチェック ボックスをオンにします。 レポートとログ • 219 PDF サマリー レポートの管理 PDF サマリー レポートの管理 [Monitor] > [PDF Reports] PDF サマリー レポートには、各カテゴリの上位 5 ( 上位 50 ではない ) のデータに基づいて、既存 のレポートから集められた情報が含まれています。このレポートには、別のレポートでは表示され ないトレンド チャートも表示されます。 図 25. PDF サマリー レポート 220 • レポートとログ Palo Alto Networks PDF サマリー レポートの管理 PDF サ マリ ー レ ポ ート を 作成 す る には、[New] をク リ ッ クし ま す。[Manage PDF Summary Reports] ページが開き、使用可能なすべてのレポート項目が表示されます。 図 26. PDF レポートの管理 以下のオプションを 1 つ以上使用してレポートを設計します。 • レポートから項目を削除するには、各項目のアイコン ボックスの右上隅にある アイコンを クリックするか、またはページの上部付近にある該当するドロップダウン リスト ボックス内 の項目のチェック ボックスをオフにします。 • 追加の項目を選択するには、このページの上部付近にあるドロップダウン リスト ボックスか ら項目を選択します。 • 項目のアイコン ボックスをドラッグ アンド ドロップして、レポートの別のエリアに移動します。 注 : 最大 18 個のレポート要素が使用できます。既存の項目を削除して、別の項 目を追加する場合もあります。 [Save] をクリックし、 入力を要求された場合は、 レポートの名前を入力して [OK] をクリックします。 PDF レポートを表示するには、[PDF Summary Report] を選択し、ページ下部のドロップダウン リストからレポート タイプを選択し、そのタイプで生成されたレポートを表示します。下線の付い たレポート リンクをクリックしてレポートを開くか、レポートを保存します。 Palo Alto Networks レポートとログ • 221 ユーザー アクティビティ レポートの管理 ユーザー アクティビティ レポートの管理 [Monitor] > [PDF Reports] > [User Activity] 個々のユーザーのアクティビティの概要を示すレポートを作成するには、このページを使用しま す。[New] をクリックし、以下の情報を指定します。 表 108. ユーザー アクティビティ レポート設定 フィールド 説明 Name レポートを識別する名前を入力します ( 最大 31 文字 )。名前の大文字と小文字 は区別されます。また、一意の名前にする必要があります。文字、数字、スペー ス、ハイフン、およびアンダースコアのみを使用してください。 User レポートの対象となるユーザーの名前または IP アドレス (IPv4 または IPv6) を 入力します。 Time frame ドロップダウン リストからレポートの期間を選択します。 要求に応じてレポートを実行するには、レポートを選択して [Edit] をクリックしてから [Run] を クリックします。 レポート グループの管理 [Monitor] > [PDF Reports] > [Report Groups] レポート グループを使用すると、レポートのセットを作成できます。システムはそのレポートの セットを集め、オプションのタイトル ページと構成するすべてのレポートを含めた 1 つの集約 PDF レポートとして送信できます。 表 109. レポート グループの設定 フィールド 説明 Report Group Name レポート グループの識別に使用する名前を入力します ( 最大 31 文字 )。名前の 大文字と小文字は区別されます。また、一意の名前にする必要があります。文 字、数字、スペース、ハイフン、およびアンダースコアのみを使用してください。 Title Page レポートにタイトル ページを追加するには、このチェック ボックスをオンに します。 Custom Title レポート タイトルとして表示される名前を入力します。 Report selection 左側の列からレポートを選択して [Add] をクリックし、各レポートを右側のレ ポート グループに移動します。 レポート グループを使用する方法については、次のセクションの「電子メールで配信するレポー トのスケジューリング」を参照してください。 222 • レポートとログ Palo Alto Networks 電子メールで配信するレポートのスケジューリング 電子メールで配信するレポートのスケジューリング [Monitor] > [PDF Reports] > [Email Scheduler] レポートの電子メール配信をスケジューリングするには、電子メール スケジューラを使用します。 スケジュールを追加する前に、レポート グループと電子メール プロファイルを定義する必要があ ります。222 ページの「レポート グループの管理」および 65 ページの「電子メール通知設定の指 定」を参照してください。 スケジューリングされたレポートは午前 2 時に実行を開始し、スケジューリングされたすべてのレ ポートの実行が完了した後、電子メールが転送されます。 表 110. 電子メール スケジューラ設定 フィールド 説明 Name スケジュールの識別に使用する名前を入力します ( 最大 31 文字 )。名前の大文 字と小文字は区別されます。また、一意の名前にする必要があります。文字、 数字、スペース、ハイフン、およびアンダースコアのみを使用してください。 Report Group レポート グループを選択します (222 ページの「レポート グループの管理」を 参照 )。 Recurrence レポートを生成して送信する頻度を選択します。 Email Profile 電子メール設定を定義するプロファイルを選択します。電子メール プロファイ ルの定義方法の詳細は、65 ページの「電子メール通知設定の指定」を参照して ください。 Override Recipient email(s) 電子メール プロファイルで指定した受信者の代わりに使用する別の電子メー ル アドレスを入力します。 レポートの表示 Monitor このファイアウォールでは、前日、または前の週の指定した日のトラフィック統計情報のさまざま な「上位 50」レポートを作成できます。 レポートを表示するには、[Monitor] タブで、ページの左側にあるレポート名をクリックします。 デフォルトでは、前の暦日のレポートがすべて表示されます。過去のいずれかの日のレポートを表 示するには、ページの最下位の [Select] ドロップダウン リストからレポートの生成日を選択します。 レポートが表示されます。選択した期間の各レポートに関する以下の情報を確認できます。ログを CSV フォーマットでエクスポートするには、[Export to CSV] をクリックします。ログ情報を PDF 形式で開くには、[Export to PDF] をクリックします。新しいウィンドウで PDF ファイルが開きま す。ウィンドウ上部のアイコンをクリックして、ファイルを印刷するかまたは保存します。 Palo Alto Networks レポートとログ • 223 カスタムレポートの生成 カスタムレポートの生成 [Monitor] > [Manage Custom Reports] オプションで、既存のレポート テンプレートに基づくカスタム レポートを作成できます。レポー トは、要求に応じて実行することも、毎晩実行するようにスケジューリングすることもできます。 以前に定義したレポートを表示するには、サイド メニューで [Reports] を選択します。 [Add] をクリックして、新しいカスタム レポートを作成します。既存のテンプレートに基づいてレ ポートを作成するには、[Load Template] をクリックして、テンプレートを選択します。 以下の設定を指定して、レポートを定義します。 表 111. カスタム レポートの設定 フィールド 説明 Name レポートを識別する名前を入力します ( 最大 31 文字 )。名前の大文字と小文字 は区別されます。また、一意の名前にする必要があります。文字、数字、ス ペース、ハイフン、およびアンダースコアのみを使用してください。 Database レポートのデータ ソースとして使用するデータベースを選択します。 Time Frame 規定の時間枠を選択するか、[Custom] を選択して、日時の範囲を指定します。 Sort By ソート オプションを選択して、レポートに含める情報の量などを決定し、レ ポートの編成を行います。使用可能なオプションは、選択したデータベースに よって異なります。 Group By グループ分けオプションを選択して、レポートに含める情報の量などを決定 し、レポートの編成を行います。使用可能なオプションは、選択したデータ ベースによって異なります。 Scheduled レポートを毎晩実行する場合は、このチェック ボックスをオンにします。サ イド メニューで [Reports] を選択すると、レポートは使用可能になります。 Columns [Available] 列からレポートに含める列を選択し、右矢印を使用して、列を [Selected] 列に移動します。選択した列の順番を入れ替えるには上矢印およ び下矢印を使用し、事前に選択した列を削除するには左矢印を使用します。 Query and Query Builder レポート クエリを作成するには、以下を指定して、[Add] をクリックします。 クエリが完成するまで、繰り返します。 • Connector — 追加する式の前に置く結合子 (and/or) を選択します。 • Attribute — データ要素を選択します。使用可能なオプションは、選択した データベースによって異なります。 • Operator — 属性が適用されるかどうかを決定する基準を選択します (= な ど )。使用可能なオプションは、選択したデータベースによって異なります。 • Value — 照合する属性値を指定します。 たとえば、( トラフィック ログ データベースを基にした ) 以下の図は、トラ フィック ログ エントリが過去 24 時間以内に「untrust」ゾーンから受け取ら れた場合に一致するクエリを示しています。 224 • レポートとログ Palo Alto Networks 不明なアプリケーションの識別と対処 表 111. カスタム レポートの設定 ( 続き ) フィールド 説明 Negate クエリを否定 ( 除外 ) として解釈させるには、このチェック ボックスをオンに します。前述の例で、否定のオプションを選択すると、過去 24 時間以内に受 け取られていないエントリ、または「untrust」ゾーンから受け取られていな いエントリに対する照合が行われます。 不明なアプリケーションの識別と対処 Palo Alto Networks デバイスの Web インターフェイスを使用して、不明なアプリケーションを表 示するいくつかの方法を以下に示します。 • Application Command Center (ACC) — 不明なアプリケーションが、ACC の他のアプリケー ションと共にソートされます。不明なアプリケーションのリンクをクリックして、アプリケー ションの詳細な情報 ( 最上位の送信元、宛先など ) を表示します。最上位の送信元で、 リン クをクリックしてアドレスの所有者を調べます。 アドレスの所有者を検索するリンク 図 27. ACC リストの不明なアプリケーション Palo Alto Networks レポートとログ • 225 不明なアプリケーションの識別と対処 • Unknown application reports — 不明なアプリケーション レポートが、毎日自動的に実行さ れ、[Monitor] タブの [Reports] セクションに保存されます。これらのレポートでは、不明なア プリケーションの識別に役立つ情報が提供されます。 • Detailed traffic logs — 詳細なトラフィック ログを使用して、不明なアプリケーションを識別 できます。セッションの開始と終了でログが有効な場合、トラフィック ログでは、不明なセッ ションの開始と終了に関する固有の情報が提供されます。「unknown-tcp」に一致するエント リのみを表示するには、下の図のようにフィルタ オプションを使用します。 図 28. [Traffic Log] の不明なアプリケーション 対処 不明なアプリケーションに対処するために、以下のアクションを実行できます。 • アプリケーション オーバーライド機能を利用してカスタム アプリケーション定義を使用する (159 ページの「アプリケーション オーバーライドを指定するカスタム アプリケーション定義」 を参照 ) • カスタム シグネチャを使ってアプリケーションを定義する (187 ページの「シグネチャを使っ たカスタム アプリケーション」を参照 ) • Palo Alto Networks に対して App-ID での対応をリクエストする ( 次のセクションの「Palo Alto Networks からの App-ID のリクエスト」を参照 ) 不明 (Unknown) な TCP、UDP というアプリケーションとして、送信元ゾーン、宛先ゾーン、お よび IP アドレスを組み合わせて使用して、これらの不明なアプリケーションを制御するようにポ リシーを設定することもできます。159 ページの「アプリケーション オーバーライド ポリシー」を 参照してください。 注 : App-ID 定義のカスタム アプリケーションでは、カスタム シグネチャを使 用できます。 226 • レポートとログ Palo Alto Networks パケット キャプチャの実行 Palo Alto Networks からの App-ID のリクエスト ポート、プロトコル、および IP アドレスの代わりに、アプリケーションのコンテンツを使用して アプリケーションを識別する必要がある場合は、アプリケーションを Palo Alto Networks に登録 することができます。これは、インターネットで実行されているアプリケーションや、カスタム ア プリケーションが動作しないアプリケーションの場合に重要になります。以下のいずれかの方法 で、アプリケーションを Palo Alto Networks に登録できます。 • インターネットで簡単にアプリケーションにアクセスできる場合 ( たとえば、インスタント メッセージング アプリケーション ) は、アカウント チームまたは Web サイト http://www.paloaltonetworks.com/researchcenter/tools/ にアプリケーションの名前と URL を登録します。インターネットで簡単にアプリケーションにアクセスできない場合 ( たとえ ば、顧客関連管理アプリケーション ) は、ファイアウォールに組み込まれているセッション パ ケット キャプチャ機能を使用して、実行中のアプリケーションのパケット キャプチャ (PCAP) を登録する必要があります。必要な場合は、製品を購入された国内販売店のサポート窓口にお 問い合わせください。 その他の不明なトラフィック ファイアウォールは以下のいずれかの理由で、ACC、ログ 、またはレポートでアプリケーション を以下のように「不明」としてレポートします。 • Incomplete — ハンドシェークは行われたが、タイムアウト前にデータ パケットが送信されな かった。 • Insufficient-Data — 1 つ以上のデータ パケットの後にハンドシェークが行われたが、アプリ ケーションを識別するのに十分なデータ パケットが交換されなかった。 パケット キャプチャの実行 [Monitor] > [Packet Capture] PAN-OS は、トラブルシューティングまたは不明なアプリケーションの検出を行うために、パケッ ト キャプチャをサポートしています。フィルタを定義して、そのフィルタと一致するパケットのみ がキャプチャされるようにすることができます。パケット キャプチャはデバイスでローカルに保 存され、使用するローカル コンピュータにダウンロードすることができます。 フィルタリングおよびキャプチャ オプションを指定するには、以下の表の情報を指定します。 すべてのフィルタリングとキャプチャ設定を消去するには、[Clear All Settings] をクリックします。 ダウンロード用のキャプチャ ファイルを選択するには、ページの右側にあるキャプチャ ファイル リストでファイル名をクリックします。 Palo Alto Networks レポートとログ • 227 パケット キャプチャの実行 表 112. パケット キャプチャの設定 フィールド 説明 Filtering Manage Filters [Manage Filters] をクリックしてから、[Add] をクリックして新しいフィルタ を追加し、以下の情報を指定します。 • Id — フィルタの ID を入力または選択します。 • Ingress Interface — ファイアウォール インターフェイスを選択します。 • Source — 送信元 IP アドレスを指定します。 • Destination — 宛先 IP アドレスを指定します。 • Src Port — 送信元ポートを指定します。 • Dest Port — 宛先ポートを指定します。 • Proto — フィルタリングするプロトコルを指定します。 • Non-IP — 非 IP トラフィックの処理方法を選択します ( すべての IP トラ フィックを除外する、すべての IP トラフィックを含める、IP トラフィック のみを含める、または IP フィルタを含めない )。 • IPv6 — IPv6 パケットをフィルタに入れる場合は、このチェック ボックス をオンにします。 Filtering クリックすると、フィルタリングの選択がオンまたはオフに切り替えられます。 Pre-Parse Match クリックすると、[Pre-Parse Match] オプションがオンまたはオフに切り替え られます。 [Pre-Parse Match] オプションは、トラブルシューティングを詳細に行うため に追加されています。パケットが入力ポートに入ると、いくつかの処理ステッ プを経て、事前設定されたフィルタと一致するかどうか解析されます。 何らかの障害によって、パケットがフィルタリング段階に到達しない場合が あります。たとえば、ルート検索に失敗した場合などに起こります。 [Pre-Parse Match] 設定を [ON] にセットすると、システムに入力されるすべ てのパケットに対して肯定一致がエミュレートされます。これにより、ファイ アウォールはフィルタリング プロセスに到達していないパケットもキャプ チャできるようになります。パケットがフィルタリング段階に到達できれば、 フィルタ設定に応じて処理され、フィルタリング基準と一致しなければ破棄 されます。 Capture Files Capturing クリックすると、パケット キャプチャがオンまたはオフに切り替えられます。 Capture Settings [Add] をクリックし、以下を指定します。 • Stage — パケットをキャプチャする時点を示します。 – drop — パケット処理でエラーが生じ、パケットが破棄される時点。 – firewall — パケットにセッション一致があるか、セッションの最初のパ ケットが正常に作成される時点。 – receive — データプレーン プロセッサでパケットが受け取られる時点。 – transmit — データプレーン プロセッサでパケットが送信される時点。 • File — キャプチャ ファイル名を指定します。ファイル名は文字で始める必 要があります。また、文字、数字、ピリオド、アンダースコア、またはハイ フンを使用できます。 • Packet Count — フィルタリングが停止するまでのパケット数を指定します。 • Byte Count — フィルタリングが停止するまでのバイト数を指定します。 228 • レポートとログ Palo Alto Networks 11 19 , 2011 - Palo Alto Networks COMPANY CONFIDENTIAL 第7章 ファイアウォールへのユーザー ID の設定 この章では、ネットワークにアクセスしようとしているユーザーを特定するファイアウォールの設 定方法について説明します。 • 次のセクションの「ユーザー ID の概要」 • 232 ページの「ユーザー ID エージェント」 • 237 ページの「ユーザー ID エージェントのセットアップ」 • 242 ページの「ターミナル サービス エージェントのセットアップ」 ユーザー ID の概要 ユーザー ID は Palo Alto Networks ファイアウォールの機能です。ネットワーク ゾーンとアドレ スの代わりに ( またはこれらに加えて ) ユーザーとユーザー グループに基づいてファイアウォール ポリシーを設定および適用できます。 ユーザー ID では、ネットワーク上のユーザーおよびユーザーがログインしているコンピュータの IP アドレスを識別し、効果的にファイアウォール ポリシーを適用します。ユーザー ID では、接続 している LDAP ディレクトリからユーザーおよびグループの情報を取得することもできます。こ れにより、管理者はユーザー グループに基づいてポリシーを設定し、ユーザーのリストに変換で きます。 ユーザー ID の動作 ユーザー ID の機能を使用するには、ネットワークおよびディレクトリ サーバーから情報を収集す る必要があります。情報収集には、以下の要素が含まれます。 • ネットワーク ユーザーの識別 ユーザー ID には、ネットワーク ユーザーと関連するログイン セッション情報 ( コンピュータ およびネットワーク アドレス) を確実に識別するさまざまなメカニズムがあります。一部のメ カニズムでは、透過的なユーザー エクスペリエンスを実現するためにユーザー ID エージェン トをインストールする必要があります。 Palo Alto Networks ファイアウォールへのユーザー ID の設定 • 229 ユーザー ID の概要 • イベント ログのモニタリング ユーザーが Active Directory (AD) ドメイン、Microsoft Windows サーバー、または Microsoft Exchange サーバーの認証を受ける場合、必ずイベント ログが生成されます。これらのサー バーをモニターして、対応するログイン イベントを確認することで、ネットワーク上のユー ザーを識別できます。 • サーバー セッションのモニタリング サーバーを継続的にモニターして、ネットワーク上でユーザーが確立したネットワーク セッ ションを確認する方法もあります。ユーザーが正常にサーバーの認証を受けることができた 場合、サーバーのセッション テーブルには、ユーザー名とユーザーの接続元となるネットワー ク ソースが表示されます。 • クライアントによるプローブ Microsoft Windows 環境では、認証されたユーザーおよびサービスで Windows Management Instrumentation (WMI) を使用してクライアント システムからログオン ユーザーの情報を得 ることができます。必要に応じて Microsoft Windows クライアントによるプローブを行うこ とで、クライアント コンピュータにログインしたユーザーの情報を得ることができます。 • XML API ユーザー ID 機能およびオプションでは、他の識別方法は直接サポートされていません。この ような場合、XML over SSL インターフェイスを使用できます。これにより、ユーザー ID を 使用してネットワーク上の有効なユーザーと対応するクライアント アドレスを登録するカス タム ソリューションが実現します。 • キャプティブ ポータル ログイン情報、確立されたセッションまたはクライアントによるプローブに基づいてユーザー を識別できない場合、ファイアウォールで送信 HTTP リクエストをリダイレクトしたり、ユー ザーを Web フォームにリダイレクトしたりできます。Web フォームでは、NTLM チャレンジ を使用してユーザーを透過的に認証できます。ユーザーに対する評価と応答は、Web ブラウ ザまたは明示的なログイン ページによって自動的に行われます。 • 共有コンピュータ Microsoft ターミナル サーバーなどの共有コンピュータでは、多数のユーザーが同じシステ ム、つまり同じネットワーク アドレスを共有するため、大部分の実装で問題になります。この 場合、ターミナル サーバーにエージェントをインストールし、ネットワーク アドレスだけで なく、割り当てられたポート範囲をログイン ユーザーに関連付けることができます。 ユーザーおよびグループの識別 個々のユーザーに基づくポリシー管理は扱いにくいため、ユーザーをユーザー グループに関連付 ける必要があります。どの企業環境でも Microsoft Active Directory や Novell eDirectory などの ディレクトリ サービスにユーザー情報を保存します。これらのすべてのディレクトリ サービス は、LDAP や LDAP over SSL (LDAPS) を使用してアクセスできます。 ディレクトリ サービスでは、ユーザー名と関連付けられているユーザー グループを解決できます。 これにより、ファイアウォール管理者は個々のユーザーではなくユーザー グループにセキュリ ティ ポリシーを設定できます。 230 • ファイアウォールへのユーザー ID の設定 Palo Alto Networks ユーザー ID の概要 ユーザー ID コンポーネントの連携方法 ユーザー ID エージェント、PAN-OS、およびターミナル サービス エージェントは相互に連携し て、完全なユーザー識別サービスを提供します。 ユーザー ID エージェント ユーザー ID エージェントは、この章の上記の 1 つまたはすべてのメカニズムを使用してネット ワーク上のユーザーを識別します。 • ユーザーおよびログイン情報の収集 ユーザー ID エージェントは、ユーザー ログイン イベントを確認するために最大で 10 個の Microsoft Windows サーバーをモニターするように設定できます。エージェントが最初に サーバーに接続するときに、ドメイン コントローラから最後のログイン イベントのリストを 自動的に取得します。通常の動作時は、新しいイベント情報を継続的に取得します。ユーザー およびグループに基づいてポリシーを適用するために、収集された情報がユーザー ID エー ジェントからファイアウォールに提供されます。 • 接続されたデバイスへのユーザーおよびネットワーク アドレスの提供 ユーザーおよびネットワーク アドレス情報を提供するために、ファイアウォールではユー ザー ID エージェントへの固定接続を確立し、最初の接続時と 1 時間ごとにすべての識別され たユーザーおよびネットワーク アドレスのリストを取得します。ファイアウォールでは、エー ジェントが検出した変更を 1 時間ごとに取得します。 • 必要に応じたユーザーの識別 ファイアウォールでは、ネットワーク トラフィックでユーザー名が関連付けられていない新 しいネットワーク アドレスを識別した場合、ユーザー ID エージェントと交信してユーザーを 識別するようにリクエストできます。これは、特定のネットワーク アドレスに対して WMI ま たは NetBios によるプローブを行うことで実現します。クライアントでユーザーを識別する と、新しいネットワーク アドレスとユーザー名の関連付けが作成されてファイアウォールに 提供されます。 ターミナル サービス エージェント ターミナル サービス エージェント (TS エージェント ) では、複数のユーザーが同時に同じマシン (Microsoft ターミナル サーバーなど ) を使用する問題を解決します。これをサーバーにインストー ルすると、特定のポート範囲が各ユーザーに割り当てられます。割り当てられた特定のポート範囲 内のポートを使用してすべてのユーザー接続が確立されます。 特定のユーザーにポート範囲が割り当てられると、ユーザーおよびユーザー グループに基づいて ポリシーを適用できるように、ターミナル サービス エージェントによって、割り当てられたポー ト範囲がすべての接続されているファイアウォールに通知されます。 PAN-OS 個々のユーザーに基づいてポリシーを適用するだけでなく、ユーザー グループのトラフィックを 許可またはブロックするようにファイアウォールを設定することもできます。ユーザー グループ の各ユーザーのリストはファイアウォールによって作成されます。 このためには、LDAP サーバーのエントリとグループ マッピングの設定を指定する必要がありま す。この結果、LDAP クエリによってユーザー グループと対応するグループ メンバのリストが取 得されます。 Palo Alto Networks ファイアウォールへのユーザー ID の設定 • 231 ユーザー ID エージェント この処理は、新しい設定が入力されるたびに実行されます。グループ メンバシップの変更は特定の LDAP 検索によって検出されます。この検索では、最後の検索が実行されてから変更のあったグ ループとメンバのリストのみが取得されます。 ユーザー ID エージェント ユーザー ID エージェントは、ネットワークにインストールされ、必要な IP アドレスとネットワー ク ユーザー間のマッピング情報を取得する Palo Alto Networks のアプリケーションです。ユー ザー ID エージェントは、ユーザー対 IP アドレスのマッピング情報をドメイン コントローラのセ キュリティ ログから収集してファイアウォールに提供し、セキュリティ ポリシーとログに使用で きるようにします。 IP アドレス対ユーザー名のマッピングでは、以下のメカニズムを使用します。 • Active Directory の場合、ドメイン コントローラのセキュリティ ログを継続的にモニターし て、ユーザーと IP アドレスの情報が含まれるユーザー ログイン イベントを検出します。 • Active Directory の場合、ユーザー セッション アクティビティをモニターしてユーザーの IP アドレスを判別するには、すべてのドメイン コントローラへのアクセスが必要です。 • eDirectory の場合、ユーザーがログインすると、IP アドレス情報が eDirectory に保存され、 ユーザー ID エージェントによって取得されます。 • Windows Management Instrumentation (WMI) または Network Basic Input/Output System (NetBIOS) を使用してホスト PC をポーリングし、IP アドレスとユーザー情報を検証します。 これは 20 分おきに実行され、IP アドレス対ユーザー名の正しいマッピングが維持されている ことと、ユーザー名が関連付けられていない IP アドレスがいつ検出されたかを確認します。 • ユーザー ID エージェント アプリケーション プログラミング インターフェイス (API) は、ユーザー の IP アドレスに関する情報をユーザー ID エージェントに送信するために使用します。 • ユーザー グループのマッピングは、ディレクトリ サーバーに対して LDAP クエリを実行する ことで行われます。ファイアウォールでは LDAP クエリが直接実行されますが、キャッシュが 最適な場合やファイアウォールからディレクトリ サーバーに直接アクセスできない場合は LDAP プロキシとして設定されたユーザー ID エージェントを使用することもできます。 注 : ユーザー ID マッピングでは、ファイアウォールがユーザーの送信元 IP ア ドレスを NAT で変換される前に取得する必要があります。NAT またはプロ キシ デバイスの使用が原因で複数のユーザーの送信元アドレスが同じになる 場合は、ユーザーを正確に識別することはできません。 ファイアウォールでは、ユーザー ID エージェントに加えてターミナル サービス エージェント (TS エージェント ) もサポートしています。TS エージェントによってファイアウォールは同じターミ ナル サーバーに接続してくる個々のユーザーを識別できます。ファイアウォールはまた、ユーザー ID エージェントがユーザーを IP アドレスに関連付けられない場合に備えてキャプティブ ポータ ル (Web 認証 ) もサポートしています。 詳細は、以下のセクションを参照してください。 • 次のセクションの「キャプティブ ポータル」 • 233 ページの「ファイアウォールへのユーザー ID の設定」 • 237 ページの「ユーザー ID エージェントのセットアップ」 • 242 ページの「ターミナル サービス エージェントのセットアップ」 232 • ファイアウォールへのユーザー ID の設定 Palo Alto Networks ユーザー ID エージェント キャプティブ ポータル ユーザー ID エージェントがユーザーと IP アドレスを関連付けられない場合、キャプティブ ポー タルが引き継いで Web フォームまたは NT LAN Manager (NTLM) チャレンジを使用してユーザー を認証できます。 Web フォームを受信するには、ユーザーが Web ブラウザを使用していて接続中である必要があり ます。認証が成功すると、ユーザーは最初にリクエストした Web サイトに自動的に移動します。 ファイアウォールは、Web ブラウザを使用するアプリケーションだけではなく、ファイアウォー ルを通過するすべてのアプリケーションについて、ユーザー情報に基づいてポリシーを実行できる 状態になります。 キャプティブ ポータルには以下のルールが適用されます。 • キャプティブ ポータルは、HTTP Web トラフィックに対してのみ機能します。 • ルールのアクションが「Web フォーム」の場合、Web フォームがユーザーに表示され、パス ワードの入力を要求するプロンプトが表示されます。 • ルールが「NTLM」でブラウザが Internet Explorer または Firefox である場合、ファイアウォー ルは NTLM 認証チャレンジを実行します ( ユーザーには透過的に行われます )。他のブラウザ が使用されている場合、Web フォームが表示されます。 トラフィックが HTTP ではないか、ルールに一致しないために、上記で説明したキャプティブ ポー タル ルールが適用されない場合、( ユーザーベースのセキュリティ ポリシーではなく ) ファイア ウォール自体の IP ベースのセキュリティ ポリシーが適用されます。 ファイアウォールへのユーザー ID の設定 [Device] > [User Identification] ユーザー ID 用にファイアウォールを設定するには、このページの設定を使用します。 • [User-ID Agents] タブ — IP アドレスとログイン ユーザーを正確にマッピングするユーザー ID エージェントをサポートするための設定を指定します。 • [Terminal Services] タブ — ターミナル サービス エージェントをサポートするための設定を 指定します。242 ページの「ターミナル サービス エージェントのセットアップ」を参照してく ださい。 • [Group Mappings Settings] タブ — ユーザーとユーザー グループを関連付けるマッピングを サポートするための設定を指定します。ユーザー グループのマッピングはファイアウォール で実行されます。 • [Captive Portal] タブ — ユーザー ID 用のキャプティブ ポータルの使用をサポートするため の設定を指定します。233 ページの「キャプティブ ポータル」を参照してください。 Palo Alto Networks ファイアウォールへのユーザー ID の設定 • 233 ユーザー ID エージェント 表 113. ユーザー ID エージェント設定 フィールド 説明 [User-ID Agents] タブ Name ユーザー ID エージェントの識別に使用する名前を入力します ( 最大 31 文字 )。 名前の大文字と小文字は区別されます。また、一意の名前にする必要があり ます。文字、数字、スペース、ハイフン、およびアンダースコアのみを使用し てください。 Virtual System ドロップダウン リストからバーチャル システム ( お使いのファイアウォール モデルでサポートされている場合 ) を選択します。 IP Address ユーザー ID エージェントをインストールする Windows PC の IP アドレスを 入力します。 Port リモート ホストのユーザー ID エージェント サービスを設定するポート番号 を入力します。 Use as LDAP Proxy ファイアウォールからディレクトリ サービスに直接接続せずにユーザー ID エージェントを LDAP プロキシとして使用するには、このチェック ボックス をオンにします。 Use for NTLM Authentication Active Directory ドメインによるキャプティブ ポータルからの NTLM クライ アント認証を検証するように設定したユーザー ID エージェントを使用する には、このチェック ボックスをオンにします。 Disabled ユーザー ID エージェントを無効にするには、このチェック ボックスをオン にします。 [Terminal Services Agent] タブ Name TS エージェントの識別に使用する名前を入力します ( 最大 31 文字 )。名前の 大文字と小文字は区別されます。また、一意の名前にする必要があります。文 字、数字、スペース、ハイフン、およびアンダースコアのみを使用してくだ さい。 Virtual system ドロップダウン リストからバーチャル システム ( お使いのファイアウォール モデルでサポートされている場合 ) を選択します。 Host TS エージェントをインストールする Windows PC の IP アドレスを入力しま す。また、代替 IP アドレス ( この表の最後のエントリを参照 ) を指定すること もできます。 Port リモート ホストのユーザー ID エージェント サービスを設定するポート番号 を入力します。 Alternative IP Addresses 追加の IP アドレスを入力します (送信トラフィックの送信元 IP アドレスとし て表示される可能性のある IP アドレスがサーバーに複数ある場合 )。 234 • ファイアウォールへのユーザー ID の設定 Palo Alto Networks ユーザー ID エージェント 表 113. ユーザー ID エージェント設定 ( 続き ) フィールド 説明 [Group Mapping Settings] タブ Name ユーザー ID 用のユーザー対グループのマッピングの識別に使用する名前を 入力します ( 最大 31 文字 )。名前の大文字と小文字は区別されます。また、一 意の名前にする必要があります。文字、数字、スペース、ハイフン、およびア ンダースコアのみを使用してください。 Virtual system ドロップダウン リストからバーチャル システム ( お使いのファイアウォール モデルでサポートされている場合 ) を選択します。 [Server Profile] サブタブ 以下の設定を指定します。 • ドロップダウン リストから LDAP サーバー プロファイルを選択し、新しい サーバー プロファイル情報で設定を更新するまでの間隔 ( 秒 ) を指定します。 • Group objects – Search Filter — 取得および追跡対象グループの管理に使用できる LDAP クエリを指定します。 – Object Class — グループの定義を指定します。たとえば、デフォルトの objectClass=group で取得されるのは、ディレクトリに含まれていて、グ ループ フィルタに一致し、objectClass=group が設定されているすべての オブジェクトです。 – Group Name — グループ名を指定する属性を入力します。 たとえば、 Active Directory の場合、この属性は「CN」( 一般名 ) になります。 – Group Member — このグループのメンバを含む属性を指定します。た とえば、Active Directory の場合、この属性は「member」になります。 • User Objects – Search Filter — 取得および追跡対象ユーザーの管理に使用できる LDAP クエリを指定します。 – Object Class — ユーザー オブジェクトの定義を指定します。たとえば、 Active Directory の場合、objectClass は「user」になります。 – User Name — ユーザー名の属性を指定します。たとえば、Active Directory の場合、この属性は「samAccountName」になります。 Group Include List [Available Groups] リストのグループを指定します。[Included] リストにグ ループを追加するには アイコンをクリックし、リストからグループを削 除するには アイコンをクリックします。 [Captive Portal Settings] タブ Enable Captive Portal 認証を行うキャプティブ ポート オプションを有効にするには、オンにします。 Location ドロップダウン リストからバーチャル システム ( お使いのファイアウォール モデルでサポートされている場合 ) を選択します。 Idle Timer キャプティブ ポータル ページがタイムアウトするまでの時間を入力します (5 ~ 1440 分、デフォルトは 5 分 )。 Timer タイムアウト間隔を指定します (範囲は 60 ~ 10080 分、 デフォルトは 1440 分)。 Redirect Host クライアントに送信される NTLM チャレンジを開始するための HTTP リダ イレクトに使用されるホスト名を指定します。 Server Certificate キャプティブ ポータルに使用する HTTP SSL 証明書を選択します。 Client Certificate Profile クライアント認証用のクライアント証明書プロファイルを選択します。 Palo Alto Networks ファイアウォールへのユーザー ID の設定 • 235 ユーザー ID エージェント 表 113. ユーザー ID エージェント設定 ( 続き ) フィールド 説明 Authentication Profile キャプティブ ポータル ログイン用の認証ソースを決定するポータルを選択 します。 NTLM Authentication NTLM 認証では、以下を指定します。 • Attempts — NTLM 認証が失敗するまでの試行回数を指定します。 • Timeout — NTLM 認証がタイムアウトするまでの秒数を指定します。 • Reversion Time — エージェントが使用できなくなってからユーザー ID エージェント リストの最初のエージェントに対してファイアウォールが交 信を再試行するまでの時間を指定します。 Mode キャプティブ ポータルがリダイレクトを使用するか、ユーザーに透過的に処 理するかを選択します。 NTLM およびセッション Cookie の保持にはリダイレクトが必要です。リダ イレクト オプションがオンになっていると、ファイアウォールはそれ以降の ログイン リクエストに備えて Cookie を設定できます。ブラウザが閉じられ ていなければ、以降のリダイレクトはユーザーには透過的になります。 セッション Cookie では、以下の設定を指定します。 • Enable — リダイレクトがタイムアウトするまでの時間を設定するには、こ のチェック ボックスをオンにします。 • Timeout — [Enable] がオンの場合、タイムアウト時間を指定します ( 範囲 は 60 ~ 10080 分、デフォルトは 1440 分 )。 • Roaming — ブラウザが開いている間に IP アドレスが変化しても Cookie を保持する場合 ( クライアントが有線ネットワークから無線ネットワーク に移 動 し た 場 合な ど ) は、こ の チ ェッ ク ボ ッ ク ス をオ ン に し ま す。 [Roaming] がオンかどうかに関係なく、ブラウザを閉じると Cookie は失わ れます。 注 : [Redirect] モードでキャプティブ ポータルを使用するには、アクティブ なポータルをリダイレクトするレイヤー 3 インターフェイスに割り当てられ たインターフェイス管理プロファイルのレスポンス ページを有効にする必要 があります。138 ページの「インターフェイス管理プロファイルの定義」およ び 100 ページの「レイヤー 3 インターフェイスの設定」を参照してください。 236 • ファイアウォールへのユーザー ID の設定 Palo Alto Networks ユーザー ID エージェントのセットアップ ユーザー ID エージェントのセットアップ Active Directory または eDirectory と連動するユーザー ID エージェント インターフェイスは、 ユーザー対 IP アドレスのマッピングをファイアウォールに通知します。 ユーザー ID エージェントは、Palo Alto Networks のサポート サイトからダウンロードできます。 ネットワーク上の 1 台以上の Windows PC にユーザー ID エージェントをインストールして、ユー ザー固有の情報を取得できます。ユーザー ID が設定されると、ファイアウォールの Application Command Center、App-Scope、およびログのすべてにユーザー名とユーザーの IP アドレスが含 まれるようになります。 このセクションの指示に従って、ユーザー ID エージェントをインストールおよび設定します。 注 : 複数バーチャル システム機能がオンになっている場合、バーチャル システム ごとに 1 つ以上のエージェントを設定できます。ISP または他の事業体ごとに個 別のユーザー レコードが保持されていますが、これ以外にユーザー ID を識別す る必要がある場合にこの機能は有効です。 ユーザー ID エージェントのインストール ユーザー ID エージェントをインストールするシステムでは、以下のいずれかのオペレーティング システムが実行されている必要があります。 • Windows XP、Vista 32 ビットまたは 64 ビット • Windows 7 32 ビットまたは 64 ビット • Windows 2003 Server 32 ビットまたは 64 ビット • Windows 2008 Server 32 ビットまたは 64 ビット 注 : クライアントのオペレーティング システムで正しいインストール オプ ション (32 ビットまたは 64 ビット ) を選択するようにしてください。 ユーザー ID の対象となる各 PC は認証ドメインのメンバである必要があります。ドメインのメン バでないマシンの場合、キャプティブ ポータル機能を使用してユーザーを検証し、ユーザー名と パスワードを確認できます。 詳細は、以下のセクションを参照してください。 • 233 ページの「ファイアウォールへのユーザー ID の設定」— ファイアウォールにユーザー ID エージェントとの通信とキャプティブ ポータルのサポートをセットアップする方法について 説明しています。 • 197 ページの「セキュリティ プロファイル グループ」— キャプティブ ポータル ポリシーの セットアップ方法について説明しています。 ユーザー ID エージェントをインストールするには、インストーラ ファイルを開いて、画面に表示 される指示に従います。 Palo Alto Networks ファイアウォールへのユーザー ID の設定 • 237 ユーザー ID エージェントのセットアップ ユーザー ID エージェントの設定 ユーザー ID エージェントを開くには、以下の手順を実行します。 1. [ スタート ] > [ すべてのプログラム ] > [Palo Alto Networks] > [User-ID Agent] の順に選択し ます。 図 29. [User Identification Agent] ウィンドウ このウィンドウには、以下のエリアと機能があります。 • Agent Status — ユーザー ID エージェントの現在の状態が表示されます。 • Connected Devices — ユーザー ID エージェントが現在接続しているデバイスのリストが、関 連付けられた状態と共に表示されます。 • Connected Servers — ユーザー ID エージェントが現在接続しているサーバーのリストが、関 連付けられたタイプおよび状態と共に表示されます。 238 • ファイアウォールへのユーザー ID の設定 Palo Alto Networks ユーザー ID エージェントのセットアップ ユーザー ID エージェントを設定するには、以下の手順を実行します。 1. [ スタート ] > [ すべてのプログラム ] > [Palo Alto Networks] > [User Identification Agent] の 順に選択します。 2. [Setup] をクリックして設定ウィンドウを開きます。 図 30. [User Identification] 設定ウィンドウ 3. ウィンドウの上部に現在の設定が表示されます。設定を変更するには、設定の要約の真下にあ る [Edit] をクリックし、以下の設定を指定します。 – Authentication — Active Directory、WMI、NetBIOS、または eDirectory の認証に使用す るユーザー名とパスワードを指定します。 – Server Monitor — セキュリティ ログのモニタリング頻度 ( デフォルトは 1 秒 )、Windows サーバーのサーバー セッションの読み取り頻度 ( デフォルトは 10 秒 ) および Novell eDirectory のクエリ間隔 ( デフォルトは 30 秒 ) を秒単位で指定します。 – Client Probing — 各ワークステーションの WMI によるプローブを有効にするには [Enable WMI Probing] チェック ボックスをオンにし、各ワークステーションの NetBIOS によるプ ローブを有効にするには [Enable NetBIOS Probing] チェック ボックスをオンにします。 プローブ間の間隔を指定します ( 秒単位、デフォルトは 20 秒 )。間隔を 0 にすると、この機 能は無効になります。 注 : WMI によるポーリングを効果的に行うには、ドメイン管理者アカウントで Pan Agent サービスを設定し、プローブされる各クライアント PC の Windows ファイア ウォールにリモート管理例外を設定しておく必要があります。 注: NetBIOS によるプローブを効果的に行うには、プローブされる各クライアント PC の Windows ファイアウォールでポート 139 を許可し、ファイルやプリンタの共有 サービスを有効にする必要があります。 Palo Alto Networks ファイアウォールへのユーザー ID の設定 • 239 ユーザー ID エージェントのセットアップ – Cache — ユーザー ID およびグループのキャッシュのタイムアウトを有効にするには、こ のチェック ボックスをオンにし、タイムアウトが発生するまでの間隔 ( 分 ) を指定します。 デフォルトは 45 分です。 – Agent Service — ユーザー ID サービスの TCP ポート ( デフォルトは 5007) とユーザー ID XML API の TCP ポート ( デフォルトは 5006) を指定します。API を使用できるようにする には、このチェック ボックスをオンにします。 – eDirectory — 以下の設定を指定します。 4. › Search Base — エージェントによるクエリの開始点またはルート コンテキストを指定 します。例 : dc=domain1, dc=example, dc=com › Bind Distinguished Name — LDAP サーバーにバインドするアカウントを指定しま す。例 : cn=admin, ou=IT, dc=domain1, dc=example, dc=com › Bind Password — バインド アカウントのパスワードを指定します。エージェントは暗 号化したパスワードを設定ファイルに保存します。 › Search Filter — LDAP エントリの検索クエリを指定します ( デフォルトは objectClass=Person)。 › Search Interval — ユーザー ID エージェントのクエリ実行間隔を指定します (範囲は 1 ~ 36000 秒、デフォルトは 30 秒 )。 › Server Domain Prefix — ユーザーを一意に識別するためのプレフィックスを指定しま す。これは、名前空間が重なり合う場合に使用します。例 : 2 つの異なるディレクトリに 同じ名前の異なるユーザーがいる場合。 › Use SSL — eDirectory バインドに SSL を使用するには、このチェック ボックスをオン にします。[SSL] を選択しない場合、ポップアップ ウィンドウに、ログイン アカウント とパスワードにはクリア テキストが使用されるという警告が表示されます。 › Verify Server Certificate — SSL 使用時に eDirectory サーバー証明書を検証する場合は このチェック ボックスをオンにします。ユーザーグループ メンバシップのキャッシュ を有効にするには、[Enable Group Cache] をオンにします。このチェック ボックスが オンになっていると、ユーザーグループ メンバシップがキャッシュされます。ユーザー ID エージェントが再起動するときに、まずキャッシュからユーザーグループ メンバ シップが再読み込みされるので、再起動プロセスが高速化されます。 [Save] をクリックして設定を保存します。 設定が正常に保存されると、ユーザー ID エージェントが再起動します。また、[OK] ボタンを クリックして設定を保存し、ユーザー ID エージェントを再起動することもできます。ユー ザー ID エージェントを再起動しない場合は、[Cancel] をクリックしてダイアログ ボックスを 閉じます。 240 • ファイアウォールへのユーザー ID の設定 Palo Alto Networks ユーザー ID エージェントのセットアップ ドメイン コントローラの検出 ドメインのログインに使用できるドメイン コントローラのリストは、DNS 経由で取得できます。 検出オプションを表示するには、サイド メニューにある [Discover] をクリックします。このウィ ンドウでは、以下の作業を実行できます。 • イベント ログのモニタリングに使用できるドメイン コントローラを自動的に検出するように 管理者がユーザー ID エージェントを設定するための設定を追加します。[Servers] エリアの [Add] または [Edit] をクリックし、サーバーの名前、IP アドレスおよびタイプ (Microsoft Active Directory、Microsoft Exchange、または Novell eDirectory) を指定します。 • ネットワークのアクセス制御リストを指定します。[Include/exclude lists of configured networks] エリアの [Add] または [Edit] をクリックし、[include] または [exclude] オプション を選択して、ネットワークの名前とアドレスを指定します。既存のエントリをコピーして変更 することもできます。 • [Auto Discover] をクリックし、使用可能なドメイン コントローラのリストを DNS から自動 的に取得してモニター対象サーバーのリストに追加します。 ユーザー ID エージェントの動作のモニタリング 現在検出されているユーザー名対 IP アドレスのマッピングのリストを表示するには、サイド メ ニューにある [Monitoring] をクリックします。ユーザーを検索したり、ユーザーをリストから削 除したりできます。 ユーザー ID エージェントのログ エントリを表示するには、サイド メニューにある [Logs] をク リックします。このウィンドウでは、ログ エントリを検索したり、ログをクリアしたりできます。 ユーザー ID エージェントのアンインストールとアップグレード ユーザー ID エージェントをアンインストールするには、PC でコントロール パネルを開き、[ プロ グラムの追加と削除 ] を選択して、プログラム User Identification Agent を削除します。 新バージョンのエージェントをインストールする場合、PC 上で既存のインストールが検出される と、インストーラは古いバージョンを自動的に削除してからインストールを実行します。 ユーザー ID エージェントをアップグレードする前に config.xml ファイルをバックアップするこ とをお勧めします。 Palo Alto Networks ファイアウォールへのユーザー ID の設定 • 241 ターミナル サービス エージェントのセットアップ ターミナル サービス エージェントのセットアップ ターミナル サーバー エージェント (TS エージェント ) を使用すると、ターミナル サーバーでサ ポートされている個々のファイアウォール ユーザーを識別することで、ファイアウォールで同じ 送信元 IP アドレスの複数のユーザーに対応できるようになります。 TS エージェントは、リモート ユーザー セッションをモニターし、ユーザーごとに異なる TCP/ UDP 送信元ポート範囲を確保します。ポート範囲がユーザーに割り当てられると、送信元ポート 範囲とユーザー名をマッピングするための情報が TS エージェントによって提供されます。 さらに、TS エージェントは、オペレーティング システムで定義される TCP/UDP 送信トラフィッ ク用の一時的なポートではなく、TS エージェントで指定した送信元ポートを割り当てるように ターミナル サーバーの TCP/UDP トランスポート ドライバにリクエストします。ファイアウォー ルがターミナルサーバーから TCP/UDP トラフィックを受信すると、送信元ポートがチェックさ れ、ターミナルサーバーのポートとユーザーのマッピング データから User-ID が取得されます。 ターミナル サービス用のファイアウォールの設定の詳細は、233 ページの「ファイアウォールへの ユーザー ID の設定」を参照してください。 ターミナル サーバーでのターミナル サーバー エージェントのインストール またはアップグレード TS エージェントは、以下のプラットフォームにインストールできます。 • Microsoft Terminal Services 2003 • Microsoft Terminal Services 2008 • Citrix Metaframe Presentation Server 4.0 • Citrix Metaframe Presentation Server 4.5、Citrix XenApp 5、6 TS エージェントをターミナル サーバーにインストールするには、以下の手順を実行します。 1. インストール ファイルをダウンロードして開きます。 2. インストーラによって、まずプラットフォームの互換性がチェックされます。互換性のないプ ラットフォームの場合、エラー メッセージが表示されます。 3. インストーラによって、システムに既存の TS エージェントが存在しているかどうかがチェッ クされます。システムに TS エージェントがすでに存在していることが検出されると (TS エー ジェントをアップグレードする場合 )、インストールを実行する前にまずエージェントがアン インストールされます。 – 既存の TS エージェントよりもドライバが新しい TS エージェントをインストールする場 合、新しいドライバを使用するにはアップグレード後にシステムを再起動する必要がある ことを示すプロンプトがインストール ウィザードで表示されます。 – 既存の TS エージェントとドライバのバージョンが同じ TS エージェントをインストール する場合、プロンプトの指示に従いインストールを実行できます。インストール後にシス テムを再起動する必要はありません。 4. インストーラの指示に従い、インストール先を指定してインストールを完了させます。 242 • ファイアウォールへのユーザー ID の設定 Palo Alto Networks ターミナル サービス エージェントのセットアップ 注 : デフォルト以外のインストール先フォルダを指定する場合、後で TS エージェ ントをアップグレードするときも同じインストール先フォルダを使用します。同 じインストール先フォルダを使用しないと、既存の設定が失われ、デフォルトの 設定が使用されます。 5. インストールを実行し、ターミナルサーバーの再起動を求めるプロンプトが表示されたらそれ に従います。 ターミナル サーバーでのターミナル サーバー エージェントの設定 ターミナル サーバーで TS エージェントを設定するには、以下の手順を実行します。 1. [ スタート ] メニューから TS エージェント アプリケーションを起動します。 2. 設定パネルが開き、ウィンドウの左側の [Terminal Server Agent] が強調表示されます。 図 31. ターミナルサーバー エージェントの設定 - メイン パネル [Connection List] ボックスには、TS エージェントに接続される Palo Alto Networks デバイス が す べ て 表 示 さ れ ま す。[Device IP] 列 に は、デ バ イ ス の IP と ポ ー ト が 表 示 さ れ ま す。 [Connection Status] 列には、状態 ([Connected]、[Disconnected]、または [Connecting]) が表 示されます。切断された項目は、TS エージェントの設定ウィンドウを閉じてからもう一度開 くと [Connection List] ボックスから削除されます。 3. Palo Alto Networks TS エージェントで許可するファイアウォールを明示的に表示するには、[Enable Device Access Control List] チェック ボックスをオンにします。各デバイスの IP アドレスを追加して [Add] をクリックします。リストからアドレスを削除するには、[Remove] をクリックします。[Save] をクリックして許可リストを保存します。 ファイアウォールへのユーザー ID の設定 • 243 ターミナル サービス エージェントのセットアップ 4. [Configure] をクリックして設定を表示します。 図 32. ターミナルサーバー エージェントの設定 - [Configure] パネル 5. 以下の表で説明されているように設定し、[Save] をクリックします。 注 : 誤ったパラメータを入力して設定を保存しようとすると、正しいパラメー タに変更するまで設定が保存されないことを示すメッセージが表示されます。 表 114. ターミナル サーバー エージェント設定 フィールド 説明 System Source Port Allocation Range 個々のユーザーに関連付けられていないシステム プロセスのポート範囲が表 示されます。サーバー プロセスでソケットを開いて UDP パケットを送信し たり、TCP 接続をセットアップしたりする場合、サーバーのオペレーティン グ システムから送信元ポートを取得する必要があります。サーバーによって 送信元ポート ( 一時的なポート ) がこのプロセスに自動的に割り当てられま す。形式は、下限 - 上限です ( デフォルトは 1025-5000)。 システムのポート範囲と [Source Port Allocation Range] は重複しないように してください。重複していると、オペレーティング システムによって割り当 てられた送信元ポートが、ユーザーに割り当てられたポート範囲に含まれる 場合、システムの一時的な送信元ポート範囲を使用しているアプリケーショ ンが誤って特定のユーザーとして識別される可能性があります。 注 : この値を変更するにはレジストリの変更が必要になるため、このパネル では実行できません。 System Reserved Source Ports オペレーティング システムの送信元ポートの割り当てから除外される ( 別の サーバー プロセスで使用される可能性があるため ) ポートが表示されます 。 下限 - 上限 ( デフォルトなし ) の形式で範囲を入力できます。 注 : この値を変更するにはレジストリの変更が必要になるため、このパネル では実行できません。 244 • ファイアウォールへのユーザー ID の設定 Palo Alto Networks ターミナル サービス エージェントのセットアップ 表 114. ターミナル サーバー エージェント設定 ( 続き ) フィールド 説明 Listening Port ターミナル サーバーが Palo Alto Networks ファイアウォールからの通信を リッスンするポート番号を入力します ( デフォルトは 5009)。 Source Port Allocation Range ユーザー セッションのポート割り当て範囲を入力します。 この設定によって、リモート ユーザーに属するプロセス用の送信元ポートの 割り当てが制御されます ( デフォルトは 20000-39999)。特定のユーザー プロ セスとして識別できないシステム サービスからポート割り当てがリクエスト されると、TS エージェントからの指示でシステムがシステム ポート範囲 ( シ ステムで予約されている送信元ポートは除く ) から送信元ポートを割り当て ます。 注 : このポート範囲と [System Source Port Allocation Range] は重複しない ようにしてください。重複していると、オペレーティング システムによって 割り当てられた送信元ポートが、ユーザーに割り当てられたポート範囲に含 まれる場合、システムの一時的な送信元ポート範囲を使用しているアプリ ケーションが誤って特定のユーザーとして識別される可能性があります。 Reserved Source Ports ユーザー セッションの予約済みポート割り当て範囲を入力します。これらの ポートはユーザー セッションに使用できません。 複数の範囲を指定するには、2000-3000,3500,4000-5000 のようにスペースなし でコンマを使用します 形式は、下限 - 上限 ( デフォルト値なし ) です。 Port Allocation Start Size Per User リモート ユーザーのログイン時に TS エージェントによって最初に割り当て られるポートの数を入力します ( デフォルトは 200)。 リモート ユーザーがログオンすると、TS エージェントによって [Source Port Allocation Range] のポート範囲がここで指定した数だけ割り当てられます。 これにより、送信元ポートに基づいてユーザー トラフィックを識別できるよ うになります。 Port Allocation Maximum Size Per User TS エージェントで 1 つのリモート ユーザー セッションに割り当てることが できるポートの最大数を入力します ( デフォルトは 200)。 ユーザー セッションで [Port Allocation Start Size Per User] の設定値では足 りなくなると、TS エージェントによってこの最大値まで追加のポートが割り 当てられます。 Fail port binding when available ports are used up 必要に応じて、チェック ボックスをオンまたはオフにします。 • このチェック ボックスをオン ( デフォルト ) にすると、ユーザー アプリケー ションで利用可能なポートがすべて使用されている場合、ユーザー アプリ ケーションからのポートのリクエストは失敗します。このため、アプリケー ションからトラフィックを送信できない可能性があります。 • このチェック ボックスをオフにすると、ユーザー アプリケーションで利用 可能なポートがすべて使用されている場合でも、ユーザー アプリケーショ ン か ら ポ ート の リ ク エ スト が あ れ ば [System Source Port Allocation Range] から付与されます。アプリケーションからトラフィックを送信でき ますが、トラフィックの User-ID は不明になります。 Palo Alto Networks ファイアウォールへのユーザー ID の設定 • 245 ターミナル サービス エージェントのセットアップ 6. [Monitor] をクリックして、すべてのターミナルサーバー ユーザーのポート割り当て情報を表 示します。 図 33. ターミナルサーバー エージェントの設定 - [Monitor] パネル 7. 表示された情報を確認します。表示される各タイプの情報に関する説明は、以下の表を参照し てください。 表 115. ターミナル サーバー エージェントのモニター情報 フィールド 説明 User Name ユーザー名が表示されます。 Ports Range 現在ユーザーに割り当てられている送信元ポートが表示されます。複数の範 囲がある場合はコンマで区切られます (「20400-20799, 20500-20599」など )。 表 114 で説明されているように、ポート範囲のサイズは [Port Allocation Start Size Per User] および [Port Allocation Maximum Size Per User] 設定パラメー タによって制限されます。 Ports Count 使用されているポート数が表示されます。 246 • ファイアウォールへのユーザー ID の設定 Palo Alto Networks ターミナル サービス エージェントのセットアップ 8. [Refresh Ports Count] ボタンをクリックして [Ports Count] フィールドを手動で更新するか、 [Refresh Interval] チェック ボックスをオンにして、このフィールドが自動的に更新される間 隔を設定します。 以下の表に、TS エージェントのアプリケーション ウィンドウで使用できるメニュー オプションを 示します。 表 116. ターミナル サーバー エージェントのメニュー オプション フィールド 説明 Configure [Configuration] パネルが開きます。 Monitor [Monitor] パネルが開きます。 Restart Service TS エージェント サービスが再起動します。このオプションは通常時には必要 ありませんがトラブルシューティング時に使用します。 Show Logs トラブルシューティング ログが表示されます。 Debug デ バ ッ グ オ プ シ ョ ン ([None]、[Error]、[Information]、[Debug]、ま た は [Verbose]) を選択します。 Exit TS エージェント アプリケーションを終了します。 Help TS エージェントのバージョン情報が表示されます。 ターミナル サーバーでのターミナル サーバー エージェントのアンインストール TS エージェントをアンインストールするには、サーバーのコントロール パネルの [ プログラムの 追加と削除 ] を使用します。[Terminal Server Agent] アプリケーションを削除します。アンインス トールを完了するにはシステムを再起動する必要があります。 Palo Alto Networks ファイアウォールへのユーザー ID の設定 • 247 ターミナル サービス エージェントのセットアップ 248 • ファイアウォールへのユーザー ID の設定 Palo Alto Networks 11 19 , 2011 - Palo Alto Networks COMPANY CONFIDENTIAL 第8章 IPSec トンネルの設定 この章では、Virtual Private Network (VPN) の概要と、IP Security (IPSec) VPN の詳細、ファイア ウォールに VPN の IPSec トンネルを設定する方法について説明します。以下のセクションを参照 してください。 • 次のセクションの「バーチャル プライベート ネットワーク」 • 251 ページの「IPSec と IKE」 • 253 ページの「IPSec VPN のセットアップ」 • 260 ページの「VPN 設定例」 Palo Alto Networks IPSec トンネルの設定 • 249 バーチャル プライベート ネットワーク バーチャル プライベート ネットワーク バーチャル プライベート ネットワーク (VPN) を使用すると、システムをローカル エリア ネット ワーク (LAN) で接続している場合と同様に、パブリック ネットワークでも安全に接続することが できます。プロトコルの IP Security (IPSec) セットを使用して VPN トラフィックに安全なトンネ ルをセットアップすると、IPSec トンネル経由で TCP/IP パケットの個人情報が送信された場合に その情報が暗号化されます。 注 : ファイアウォールでは IPSec VPN に加えて Secure Socket Layer (SSL) VPN もサポートされており、これを使用するとリモート ユーザーはファイア ウォール経由で VPN 接続を確立できます。詳細は、第 9 章「GlobalProtect の 設定」を参照してください。 以下の図は、2 つのデバイス間の標準 IPSec トンネルを示しています。設定では、トンネルの両側 にトンネル モニターを追加してデバイス管理者にトンネルの障害のアラートを通知したり、自動 フェールオーバーを実行したりすることができます。トンネル モニターは、IPSec トラフィックを 別のインターフェイスにフェールオーバーする機能が必要な場合に便利です。 Switch Firewall Router Internet Router Switch Firewall IPSec tunnel Local network Local network 図 34. IPSec 標準設定 ルートベースの VPN を設定すると、中央およびリモート サイトに設置された Palo Alto Networks ファイアウォールを接続できます。または、Palo Alto Networks ファイアウォールを別の場所に設 置されたサード パーティのセキュリティ デバイスと VPN 接続することもできます。ファイア ウォールは、ルートベースの VPN を使用し、宛先 IP アドレスに基づいてルート決定を行います。 トラフィックが VPN トンネル経由で特定の宛先にルーティングされた場合は、VPN トラフィック として暗号化されます。特別なルールを定義したり、VPN トンネルに明確な参照を作成したりす る必要はありません。ルーティングと暗号化は、宛先 IP アドレスによってのみ決定されます。 ファイアウォールは、サード パーティのポリシーベースの VPN デバイスと相互運用することもで きます。ポリシーベースの VPN に接続するには、トンネルのプロキシ ID を設定します。複数の フェーズ 2 トンネルが必要な場合、各トンネルに異なるプロキシ ID を設定します。255 ページの 「IPSec トンネルのセットアップ」を参照してください。 250 • IPSec トンネルの設定 Palo Alto Networks IPSec と IKE ファイアウォール間の IPSec 接続の場合、全 IP パケット ( ヘッダーとペイロード ) は別の IP ペイ ロードに組み込まれ、新しいヘッダーが適用されます。新しいヘッダーは、送信元 IP アドレスと して発信ファイアウォールの IP アドレスを使用し、宛先 IP アドレスとしてトンネルの終端の着信 ファイアウォール インターフェイスを使用します。パケットがトンネルの終端でファイアウォー ルに到達した場合は、元のパケットが暗号解読され、実際の宛先ホストに送信されます。 IPSec Security Associations (SA) は IPSec トンネルの各終端で定義され、安全に転送するのに必要 なパラメータ ( セキュリティ パラメータ インデックス (SPI)、セキュリティ プロトコル、暗号鍵、 宛先 IP アドレスなど ) のすべてが適用されます。暗号化、データ認証、データ整合性、およびエン ドポイント認証は IPSec SA によって処理されます。 IPSec VPN と SSL-VPN ファイアウォールでは、この章で説明する IPSec VPN と、265 ページの「GlobalProtect の設定」 で説明する SSL-VPN の両方をサポートしています。 • IPSec VPN は、Palo Alto Networks ファイアウォールのサイト間接続に使用します。 • SSL-VPN は、リモート ユーザーをネットワークに接続するためにだけに使用します。SSL-VPN では、Web ブラウザ経由で軽量クライアントをダウンロードできます。軽量クライアントがク ライアント システムにインストールされると、( ユーザーの Web ブラウザではなく ) SSL を介 した安全な接続が確立されます。SSL-VPN クライアントは、効率的なデータ転送を行う IPSec モードで動作することもできます ( ファイアウォールで設定されている場合 )。 VPN トンネル VPN をセットアップする場合は、ネットワーク トポロジを理解して必要な数のトンネルを決定で きることが重要になります。— : • 1 つの中央サイトとリモート サイトを接続する場合は、1 つの VPN トンネルで十分です。 • 1 つの中央サイトと複数のリモート サイトを接続する場合は、中央サイトとリモート サイト の各ペアに VPN トンネルが必要になります。 各トンネルは、1 つのトンネル インターフェイスに結合されています。トンネル インターフェイス を、着信 ( クリア テキスト ) トラフィックとして同じバーチャル ルータに割り当てる必要がありま す。こうすると、あるパケットがファイアウォールに到達した場合は、ルーティングにより使用す る適切なトンネルが決定されます。システムではトンネル インターフェイスは標準のインター フェイスとして判断され、既存のルーティング インフラストラクチャを適用できます。 トンネル インターフェイスごとに、最大で 10 個の IPSec トンネルを設定できます。これにより、 ネットワークごとに異なる IPSec トンネルをセットアップし、それらをすべてファイアウォールの 同じトンネル インターフェイスに関連付けることができます。 IPSec と IKE IPSec VPN トンネルを保護するには、以下の 2 つの方法があります。 • マニュアル セキュリティ キーを使用してトンネルを設定します。この方法はお勧めしません。 • Internet Key Exchange (IKE) を使用して鍵を生成します。 IPSec トンネルの両端に同じ手法を適用する必要があります。マニュアル鍵の場合、両端で同じ鍵 を入力します。IKE の場合は、両端で同じ手法と属性が適用されます。 Palo Alto Networks IPSec トンネルの設定 • 251 IPSec と IKE IKE は、セキュリティ鍵の生成と管理を行うための標準メカニズムを提供します。 • 識別 — 識別プロセスでは、IPSec トンネルの両端でピアが認識されます。各ピアは、IP アド レスまたはピア ID (IP パケットのペイロードに含まれている ) によって識別されます。トンネ ルの終端のファイアウォールまたは別のセキュリティ デバイスにより、別の終端のピアの ID がローカル設定に追加されます。 • 認証 — 認証には、事前共有鍵と PKI の 2 つのタイプの手法があります。 現在 Palo Alto Networks ファイアウォールでは、事前共有鍵手法のみがサポートされてます。 ファイアウォールでは、IKE ゲートウェイの定義がサポートされてます。ピア ゲートウェイとの IKE プロトコル ネゴシエーションに必要な設定情報をここで指定します。 IKE の設定オプションには、Diffie-Hellman Group による鍵共有、暗号化アルゴリズム、および メッセージ認証のためのハッシュなどがあります。 IPSec および IKE 暗号プロファイル 暗号プロファイルは、IKE ネゴシエーションの標準推奨フィールドに関連しています。 • IKE フェーズ 1 では、ファイアウォールが相互に認証され、安全な制御チャネルが設定されま す。このフェーズでは、IKE SA ネゴシエーションに IKE 暗号プロファイルが使用されます。 • IKE フェーズ 2 では、フェーズ 1 の SA に基づいて、各ファイアウォールの背後にあるネット ワーク間のトラフィックに対応する実際のトンネルのネゴシエーションを行います。この フェーズでは、IPSec SA ネゴシエーションに IPSec 暗号プロファイルが使用されます。 IPSec と IKE SA のネゴシエーションに使用されるプロトコルとアルゴリズムを決定する IPSec お よび IKE 暗号プロファイルを定義できます。 IKE SA のオプションは、以下のとおりです。 • Diffie-Hellman (DH) Group — IKE の公開鍵を生成するときに使用する DH グループを選択 します。 • Encryption — 暗号化アルゴリズムを選択します。 • Hash Algorithm — ハッシュ アルゴリズムを選択します。 • Lifetime — ネゴシエーションが行われた鍵の有効期間を指定します。 IPSec SA のオプションは、以下のとおりです。 • Encapsulating Security Payload (ESP) — 認証、データ整合性、機密性、および暗号化のオプ ションを選択します。 • Authentication Header (AH) — 認証およびデータ整合性のオプションを選択します。通常、 このオプションは使用されません。 • Perfect Forward Security (PFS) Diffie-Hellman (DH) group — IPSec の独立した鍵を生成す るときに使用する DH グループを選択します。 • Lifetime — ネゴシエーションが行われた鍵の有効期間を指定します。 IPSec および IKE 暗号プロファイルでサポートされる特定のプロトコルとアルゴリズムの詳細は、 255 ページの「IPSec トンネルのセットアップ」と 258 ページの「IPSec 暗号プロファイルの定義」 を参照してください。 252 • IPSec トンネルの設定 Palo Alto Networks IPSec VPN のセットアップ IPSec VPN のセットアップ このセクションでは、IPSec VPN トンネルをセットアップする場合のプロセスについて説明しま す。詳細な手順は、このガイドの該当するセクションを参照してください。サンプル設定の詳細は、 260 ページの「VPN 設定例」を参照してください。 注 : 手順を開始する前に、お使いの Ethernet インターフェイス、バーチャル ルー タ、およびゾーンが正しく設定されていることを確認してください。97 ページの 「ファイアウォール インターフェイス」、116 ページの「バーチャル ルータとルーティ ング プロトコル」、および 115 ページの「セキュリティ ゾーンの定義」を参照して ください。 IPSec VPN をセットアップするには、以下の手順を実行します。 1. ネットワーク トポロジを設計し、必要なトンネル数を決定します。 2. ピア ゲートウェイとの IKE プロトコル ネゴシエーションの設定情報で、IKE ゲートウェイを 定義します。254 ページの「IKE ゲートウェイの定義」を参照してください。 3. IKE SA ネゴシエーションを使用する VPN トンネルでの識別、認証、および暗号化のプロト コルとアルゴリズムを設定します。 – IKEv1 フェーズ 1 の場合は、255 ページの「IPSec トンネルのセットアップ」を参照してく ださい。 – IKEv1 フェーズ 1 の場合は、258 ページの「IPSec 暗号プロファイルの定義」を参照してく ださい。 4. IPSec VPN トンネルを確立するために必要なパラメータを設定します。255 ページの「IPSec トンネルのセットアップ」を参照してください。 5. ファイアウォールによる IPSec トンネルのモニター方法を指定します。 258 ページの「モニ ター プロファイルの定義」を参照してください。 6. 静的ルートをセットアップするか、またはルーティング プロトコルを割り当て、新しく確立 さ れ た ト ン ネ ル に ト ラ フ ィ ッ ク を 転 送 し ま す。 [Border Gateway Protocol]、[Routing Information Protocol (RIP)] および [Open Shortest Path First (OSPF)] オプションがサポートさ れています。トンネル インターフェイスでは、これらのプロトコルを有効にできます。 116 ページの「バーチャル ルータとルーティング プロトコル」を参照してください。 7. トラフィックのフィルタリングと検査を行うためのセキュリティ ポリシーを設定します (146 ペー ジの「セキュリティ ポリシー」を参照 )。送信元および宛先ゾーンを定義し、以下のようにポ リシー属性を指定します。 – トンネルに入る発信トラフィック — 送信元の場合は、クリア テキスト ゾーンを使用しま す。宛先の場合は、トンネル インターフェイス ゾーンを使用します。 – トンネルを出る受信トラフィック — 送信元の場合は、トンネル インターフェイス ゾーン を使用します。宛先の場合は、クリア テキスト ゾーンを使用します。 Palo Alto Networks IPSec トンネルの設定 • 253 IPSec VPN のセットアップ ルールを定義した後、送信元および宛先のアドレスを設定します。 注 : VPN トラフィックでは、クリア テキスト用の既存のセキュリティ ポリ シーがお使いのネットワークに適している場合はそのポリシーを再利用で きます。トンネル インターフェイスを特別なゾーンに配置し、VPN トラ フィックがクリア テキスト トラフィックから分離されていることを確認す ることができます。 以上の作業を実行すると、トンネルを使用できるようになります。トンネルで定義されたアドレス のトラフィックは、自動的に適切なルートが指定され、ルーティング テーブルに追加された特定 の宛先ルートに基づいて VPN トラフィックとして暗号化されます。 注 : セキュリティ ルールが必要な場合、一致するセキュリティ ルールがないと、 VPN トラフィックはファイアウォールによって廃棄されます。 必要な場合は、IKE プロトコルが開始されます ( たとえば、キーがないかまたは キーの期限が切れているトラフィックが IPSec トンネルにルーティングされた 場合 )。 セキュリティ ルールベースの最後に拒否ルールがある場合、許可がない限り、 ゾーン内のトラフィックがブロックされます。IKE および IPsec アプリケーション を許可するルールは、上記の拒否ルールに明示的に含まれている必要があります。 IKE ゲートウェイの定義 [Network] > [Network Profiles] > [IKE Gateways] ピア ゲートウェイとの IKE プロトコル ネゴシエーションを実行するのに必要な設定情報など、 ゲートウェイを定義するには、[IKE Gateways] ページを使用します。 表 117. IKE ゲートウェイ設定 フィールド 説明 Name ゲートウェイを識別する名前を入力します ( 最大 31 文字 )。名前の大文字と小 文字は区別されます。また、一意の名前にする必要があります。文字、数字、 スペース、ハイフン、およびアンダースコアのみを使用してください。 Interface 出力ファイアウォール インターフェイスを選択します。 Local IP Address トンネルのエンドポイントとなるローカル インターフェイスの IP アドレス を選択します。 Peer Type トンネルの反対側の終端にあるピアの静的 IP アドレスまたは動的オプション。 Peer IP Address ピア タイプに [Static] オプションが選択されている場合、トンネルの遠端のピ アに IP アドレスを指定します。 Pre-Shared Key トンネル間の認証に使用されるセキュリティ キーを入力します。静的および 動的ピア タイプに適用されます。 Confirm Pre-Shared Key 注 : 以下の詳細フィールドは、[Show advanced Phase 1 options] リンクをクリックすると表示されます。 Local Identification 254 • IPSec トンネルの設定 完全修飾ドメイン名 (FQDN)、キー ID、またはユーザー FQDN のいずれかの タイプを選択し、値を入力します。値を指定しないと、ローカル IP アドレス がローカル ID の値として使用されます。 Palo Alto Networks IPSec VPN のセットアップ 表 117. IKE ゲートウェイ設定 ( 続き ) フィールド 説明 Peer Identification FQDN、鍵 ID、またはユーザー FQDN のいずれかのタイプを選択し、値を入 力します ( 動的オプションの場合 )。値を指定しないと、ピア IP アドレスがピ ア ID の値として使用されます。 Exchange Mode [auto]、[aggressive]、[main] のいずれかを選択します。 IKE Crypto Profile 既存のプロファイルを選択するか、デフォルトのプロファイルを使用します。 Passive Mode IKE 接続のみにファイアウォールが応答し、開始しないように選択します。 NAT Traversal IKE および UDP プロトコルで UDP カプセル化が使用され、中間 NAT デバ イスを通過できるように選択します。 NAT アドレスが IPSec VPN 端点の間に存在するときに NAT トラバーサルが 使用されます。 Dead Peer Detection 有効にするには、このチェック ボックスをオンにし、間隔 (2 ~ 100 秒 ) と再 試行までの遅延時間 (2 ~ 100 秒 ) を入力します。デッドピア検知 (DPD) は、 ICMP ping を使用して非アクティブまたは使用不能な IKE ピアを識別しま す。ピアが使用不能になった場合の失われたリソースの復元に役立ちます。 注 : デバイスが auto の鍵交換モードを使用するように設定されている場合、 main モードと aggressive モードの両方のネゴシエーション リクエストを受 け入れることができますが、可能な場合は常にネゴシエーションを開始して main モードで鍵交換ができるようにします。 ピア デバイスは一致する鍵交換モードで設定し、最初のデバイスから開始され たネゴシエーション リクエストを受け入れられるようにする必要があります。 IPSec トンネルのセットアップ [Network] > [IPSec Tunnels] ファイアウォール間で IPSec VPN トンネルを確立するためのパラメータをセットアップするに は、[IPSec Tunnels] ページを使用します。 表 118. IPSec トンネル設定 フィールド 説明 [General] タブ Name トンネルを識別する名前を入力します ( 最大 31 文字 )。名前の大文字と小文字 は区別されます。また、一意の名前にする必要があります。文字、数字、ス ペース、ハイフン、およびアンダースコアのみを使用してください。 Tunnel Interface 既存のトンネル インターフェイスを選択するか、[New] をクリックして新し いトンネル インターフェイスを作成します。トンネル インターフェイスの作 成の詳細は、112 ページの「トンネル インターフェイスの設定」を参照して ください。 Type 自動的に生成されるセキュリティ キーを使用するのか、手動で入力するセ キュリティ キーを使用するのかを選択します。[Auto key] を使用することを お勧めします。 Palo Alto Networks IPSec トンネルの設定 • 255 IPSec VPN のセットアップ 表 118. IPSec トンネル設定 ( 続き ) フィールド 説明 Auto Key [Auto Key] を選択する場合、以下の内容を指定します。 • IKE Gateway — IKE ゲートウェイの設定の詳細は、254 ページの「IKE ゲー トウェイの定義」を参照してください。 • IPSec Crypto Profile — 既存のプロファイルを選択するか、デフォルトのプ ロファイルを使用します。新しいプロファイルを定義するには、[New] をク リックして 258 ページの「IPSec 暗号プロファイルの定義」の手順を実行し ます。 Manual Key [Manual Key] を選択する場合、以下の内容を指定します。 • Local SPI — ローカル ファイアウォールからピアへのパケット トラバーサ ルのローカル セキュリティ パラメータ インデックス (SPI) を指定します。 SPI は、IPSec トラフィック フローの区別を支援するために IPSec トンネル のヘッダーに追加されている 16 進インデックスです。 • Interface — トンネルの終端であるインターフェイスを選択します。 • Local Address — トンネルの終端となるローカル インターフェイスの IP アドレスを選択します。 • Remote SP1 — リモート ファイアウォールからピアへのパケット トラバー サルのリモート セキュリティ パラメータ インデックス (SPI) を指定します。 • Protocol — トンネルを経由するトラフィックのプロトコルを選択します (ESP または AH)。 • Authentication — トンネル アクセスの認証タイプを選択します (SHA1、 SHA256、SHA384、SHA512、MD5、または None)。 • Key/Confirm Key — 認証鍵を入力して確認します。 • Encryption — トンネル トラフィックの暗号化オプションを選択します (3des、aes128、aes192、aes256、または null [no encryption])。 • Key/Confirm Key — 暗号化鍵を入力して確認します。 [Proxy ID] タブ Proxy ID プロキシの識別に使用する名前を入力します。 Local ip_address/mask の形式 ( たとえば、10.1.2.1/24) で IP アドレスまたはサブネッ トを入力します Remote ピアで必要な場合、ip_address/mask の形式 ( たとえば、10.1.1.1/24) で IP アド レスまたはサブネットを入力します。 Proxy IDs ローカルおよびリモート ポートのプロトコルとポート番号を指定します。 • any — TCP や UDP トラフィックを許可します。 • TCP — ローカルおよびリモートの TCP ポート番号を指定します。 • UCP — ローカルおよびリモートの UCP ポート番号を指定します。 • Number — プロトコル番号 ( サードパーティ デバイスとの相互運用性を実 現するために使用 ) を指定します。 設定された各プロキシ ID は、ファイアウォールの IPSec VPN トンネル容量 に影響しません。 256 • IPSec トンネルの設定 Palo Alto Networks IPSec VPN のセットアップ IPSec VPN の設定時に考慮すべき重要な項目 IPSec VPN の設定時には以下の点を考慮します。 • トンネルを設定するリモート ネットワークへのルートが存在する必要があります。 • どちらかのデバイスで誤った事前共有鍵が入力される場合があります。 事前共有鍵は常に一 致する必要があります。 • フェーズ 1 ネゴシエーション モード (aggressive/main) がデバイス上で一致しない場合があ ります。ネゴシエーション モードは常に一致する必要があります。 • 一般的な間違い設定は、一方のみで Perfect Forward Security (PFS) を有効にすることです。両 側で有効になっている必要があります。 • 動的ルーティング プロトコルが IPSec トンネル経由でパブリック IP アドレスへのルートを通 知する場合、トンネルを確立しているデバイスが、IPSec トンネルのエンドポイントではなく そのパブリック IP に設定された宛先とのフェーズ 1 ネゴシエーションを試みる場合がありま す。その結果、接続が作成されることはなく、ルーティングは失敗します。この問題に対処す るには、トンネル経由ではプライベート IP アドレスのみをルーティングし、ルーティング テーブル内にトンネルを指し示すパブリック IP アドレスやデフォルト ルートが存在しない ようにします。 • IPSec トンネルの反対側の終端にあるデバイスに対して誤ったプロキシ ID が入力される場合 があります。この発生理由としては、一部のベンダーが IPSec 通信用にデフォルトのプロキシ ID を生成しているのに、エンド ユーザーはそれを認識しづらいことが考えられます。 IKE 暗号プロファイルの定義 [Network] > [Network Profiles] > [IKE Crypto] IPSec SA ネゴシエーション (IKEv1 フェーズ 1) に基づいて、VPN トンネルでの識別、認証、およ び暗号化のプロトコルとアルゴリズムを指定するには、[IKE Crypto Profiles] ページを使用しま す。詳細は、250 ページの「バーチャル プライベート ネットワーク」を参照してください。 アルゴリズムやグループの表示順序を変更するには、 アイコンをクリックします。この順序に よって、リモート ピアと設定をネゴシエートするときに最初に選択される設定が決まります。リス トの 1 番上にある設定から試行され、成功するまでその下にある設定が順次試行されていきます。 表 119. IKE 暗号プロファイル設定 フィールド 説明 DH Group Diffie-Hellman (DH) グループの優先度を選択します。[Add] をクリックして グループを選択します。セキュリティ レベルを最も高くするには、矢印を使 用して識別子の数値がより大きいグループをリストの最上位に移動します。 たとえば、group14 を group2 よりも上に移動します。 Authentication ハッシュ アルゴリズムの優先度を指定します。[Add] をクリックしてアルゴ リズム (md5、sha1、sha256、sha384、または sha512) を選択します。セキュ リティ レベルを最も高くするには、矢印を使用して sha1 をリストの最上位に 移動します。 Encryption 目的の Encapsulating Security Payload (ESP) 認証オプションのチェック ボッ クスをオンにします。[Add] をクリックしてアルゴリズム (aes256、aes192、 aes128、または 3des) を選択します。セキュリティを最も強化するには、矢印 を使用して順序を aes256、 aes192、aes128、3des の順になるように変更します。 Lifetime 単位を選択し、ネゴシエートされた鍵の有効期間を入力します。 Palo Alto Networks IPSec トンネルの設定 • 257 IPSec VPN のセットアップ IPSec 暗号プロファイルの定義 [Network] > [Network Profiles] > [IPSec Crypto] IPSec SA ネゴシエーション (IKEv1 フェーズ 2) に基づいて、VPN トンネルでの識別、認証、およ び暗号化のプロトコルとアルゴリズムを指定するには、[IPSec Crypto Profiles] ページを使用しま す。詳細は、250 ページの「バーチャル プライベート ネットワーク」を参照してください。 表 120. IPSec 暗号プロファイル設定 フィールド 説明 Name プロファイルの識別に使用する名前を入力します ( 最大 31 文字 )。名前の大文 字と小文字は区別されます。また、一意の名前にする必要があります。文字、 数字、スペース、ハイフン、およびアンダースコアのみを使用してください。 IPSec Protocol ドロップダウン リストからオプションを選択します。 ESP: • [Encryption] の下の [Add] をクリックして目的の ESP 暗号化アルゴリズム を選択します。セキュリティを最も強化するには、矢印を使用して順序を aes256、aes192、aes128、3des の順になるように変更します。 • [Authentication] の下の [Add] をクリックして目的の ESP 認証アルゴリズ ム (md5、sha1、sha256、sha384、sha512、または none) を選択します。 AH: • [Authentication] の下の[Add] をクリックして目的の AH 認証アルゴリズム (md5、sha1、sha256、sha384、または sha512) を選択します。 DH Group DH グループを選択します。セキュリティを最も強化するには、識別子が最も 大きいグループを選択します。 Lifetime 単位を選択し、ネゴシエートされた鍵の有効期間を入力します。デフォルトは 1 時間です。 Lifesize 任意の単位を選択し、鍵が暗号化に使用できるデータ サイズを入力します。 アルゴリズムやグループの表示順序を変更するには、 アイコンをクリックします。表示されて いる順序でアルゴリズムが適用されるため、この順序はトンネルのパフォーマンスに影響する可能 性があります。 モニター プロファイルの定義 [Network] > [Network Profiles] > [Monitor] トンネル モニター プロファイルでは、ファイアウォールによる IPSec トンネルのモニター方法や、 トンネルが使用不能な場合に実行するアクションを指定します。トンネル モニター プロファイル の指定は任意ですが、トンネル障害時のフェールオーバー機能が必要な場合などに便利です。 トンネル モニター プロファイルを作成したら、[IPSec Tunnels] ページにある [advanced options] セクションでそのプロファイルを選択できます。これで、トンネルを使用する指定の IP アドレス がファイアウォールでモニターされて、トンネルが正常に機能しているかどうかがわかるようにな ります。 モニター プロファイルは、ポリシーベースの転送 (PBF) でも使用され、リモート IP アドレスのモ ニタリングを許可します。 リモート IP アドレスが使用できなくなると、以下のいずれかのアク ションが実行されます。 • アクションが「wait-recover」の場合、PBF ルールに基づいてパケットが送信され続けます。 258 • IPSec トンネルの設定 Palo Alto Networks IPSec VPN のセットアップ • アクションが「fail-over」の場合、ファイアウォールはルーティング テーブル検索を使用して このセッション中のルーティングを判別します。 表 121. トンネル モニター設定 フィールド 説明 Name モニター プロファイルの識別に使用する名前を入力します (最大 31 文字)。名 前の大文字と小文字は区別されます。また、一意の名前にする必要がありま す。文字、数字、スペース、ハイフン、およびアンダースコアのみを使用して ください。 動作 トンネルを使用できないときに実行するアクションを指定します。ハート ビート喪失の許容発生回数がしきい値に達すると、指定したアクションが ファイアウォールによって実行されます。 • wait-recover — トンネルが回復するまで待機します。他のアクションは実 行しません。 • fail-over — トラフィックをバックアップ パスにフェールオーバーします ( 使 用可能な場合 )。 どちらの場合も、早く回復できるようにファイアウォールによって新しい IPsec 鍵がネゴシエートされます。 Interval ハートビート間隔 (2 ~ 10。デフォルトは 3) を指定します。 Threshold ハートビート喪失の発生回数 (2 ~ 100、デフォルトは 5) を指定します。この 回数に超えると指定したアクションがファイアウォールによって実行されます。 ファイアウォールの IPSec トンネル状態の表示 [Network] > [IPSec Tunnels] 現在定義されている IPSec VPN トンネルの状態を表示するには、[IPSec Tunnels] ページを開きま す。このページには、以下の状態情報が表示されます。 • トンネルの状態 ( 最初の [Status] 列 ) — 緑は、IPSec SA トンネルを表します。赤は、IPSec SA が使用できないか、有効期限が切れていることを表します。 • IKE ゲートウェイの状態 — 緑は、有効な IKE フェーズ 1 SA であることを表します。赤は、 IKE フェーズ 1 SA が使用できないか、有効期限が切れていることを表します。 • トンネル インターフェイスの状態 — 緑は、トンネル インターフェイスがアップしている ( ト ンネル モニターが無効になっているか、トンネル モニターの状態がアップであるため ) こと を表します。赤は、トンネル インターフェイスがダウンしている ( トンネル モニターが有効に なっていて状態がダウンであるため ) ことを表します。 Palo Alto Networks IPSec トンネルの設定 • 259 VPN 設定例 VPN 設定例 このセクションでは、VPN の設定例を示します。この例では、支社が本社と接続されており、支 社のユーザーは中央のサーバー ファームにアクセスすることを許可されています。 以下のトピックを参照してください。 • 次のセクションの「既存のトポロジ」 • 261 ページの「新しいトポロジ」 • 262 ページの「VPN 接続の設定」 • 263 ページの「VPN 接続のトラブルシューティング」 既存のトポロジ 本社 : • ファイアウォールのパブリック IP アドレスは 61.1.1.1、インターフェイスは ethernet1/1、所属 ゾーンは「ISP」、バーチャル ルータは「HQ」 • サーバー ファーム ネットワークは 10.100.0.0/16 で、 インターフェイス ethernet1/5 (IP 10.100.0.1) を介して接続、所属ゾーンは 「server」 、バーチャル ルータは「HQ」 支社 : • ファイアウォールのパブリック IP アドレスは 202.101.1.1、インターフェイスは ethernet1/2、 所属ゾーンは「ISP-branch」 、バーチャル ルータは「branch」 • PC ネットワーク 192.168.20.0/24、インターフェイス ethernet1/10 を介して接続、所属ゾーン は「branch-office」、バーチャル ルータは「branch」(ethernet1/2 と同じ ) • セキュリティ ポリシーでは、PC ネットワークからインターネットにアクセスするために 「branch-office」ゾーンから「ISP-branch」ゾーンへのトラフィックを許可 次の図は、既存のトポロジを示しています。 Branch office firewall Headquarters firewall Internet eth1/5 10.100.0.1/16 Zone: server Virtual router: HQ eth1/1 61.1.1.1 Zone: ISP Virtual router: HQ eth1/2 202.101.1.1 Zone: ISP-branch Virtual router: branch 192.168.20.0/24 PC network eth1/10 192.168.20.1/24 Zone: branch-office Virtual router: branch 10.100.0.0/16 Server farm 図 35. VPN 設定例 - 既存のトポロジ 260 • IPSec トンネルの設定 Palo Alto Networks VPN 設定例 新しいトポロジ 本社 : • 新しいセキュリティ ゾーン「branch-vpn」を作成します。 • トンネル インターフェイス tunnel.1 をゾーン「branch-vpn」に追加し、プライベート範囲 ( たとえば、172.254.254.1/24) から IP アドレスを割り当てます。 • 192.168.20.0/24 ( ブランチ オフィス ネットワーク ) へのトラフィックをトンネル インター フェイス tunnel.1 に転送する静的ルートを追加します。 • ゾーン「branch-vpn」からゾーン「server」へのトラフィックを許可するセキュリティ ポリ シーを追加します。 支社 : – 新しいセキュリティ ゾーン「central-vpn」を作成します。 – トンネル インターフェイス tunnel.2 をゾーン「central-vpn」に追加し、プライベート範囲 ( たとえば、172.254.254.20/24) から IP アドレスを割り当てます。 – 10.100.0.0/16 ( サーバー ファーム ネットワーク ) へのトラフィックをトンネル インター フェイス tunnel.2 に転送する静的ルートを追加します。 – ゾーン「branch」からゾーン「central-vpn」へのトラフィックを許可するセキュリティ ポ リシーを追加します。 次の図は、新しいトポロジのトンネル情報を示しています。 Branch office firewall Headquarters firewall Internet eth1/5 10.100.0.1/16 Zone: server Virtual router: HQ 10.100.0.0/16 Server farm eth1/1 61.1.1.1 Zone: ISP Virtual router: HQ ________ Tunnel interface: tunnel.1 172.254.254.1/24 Zone: branch-vpn Virtual router: HQ eth1/2 202.101.1.1 Zone: ISP-branch Virtual router: branch ________ Tunnel interface: tunnel.2 172.254.254.20/24 Zone: central-VPN Virtual router: branch 192.168.20.0/24 PC network eth1/10 192.168.20.1/24 Zone: branch-office Virtual router: branch 図 36. VPN 設定例 - 新しいトンネル情報 Palo Alto Networks IPSec トンネルの設定 • 261 VPN 設定例 VPN 接続の設定 本社 : • IKE ゲートウェイ「branch-1-gw」を以下のパラメータで作成します。 – Peer-address: dynamic ( または 202.101.1.1) – Local-address: ethernet1/1 – Peer-ID: type is FQDN: branch1.my.domain – Authentication: 事前共有鍵 newvpn – Protocol: デフォルト値のまま • IPSec トンネル「branch-1-vpn」を以下のパラメータで作成します。 – ike-gateway-profile: branch-1-gw – ipsec-crypto-profile: デフォルト値のまま – Tunnel interface: tunnel.1 にバインド • サーバー ファーム内の各サーバーで、ルーティング テーブルをチェックし、宛先 192.168.20.0/ 24 が 10.100.0.1 経由で到達可能であることを確認します。 支社 : • IKE ゲートウェイ「central-gw」を以下のパラメータで作成します。 – Peer-address: 61.1.1.1 – Local-address: ethernet1/2 – Local-ID: type is FQDN: branch1.my.domain – Authentication: 事前共有鍵 newvpn – Protocol: デフォルト値のまま • IPSec トンネル「central-vpn」を以下のパラメータで作成します。 – ike-gateway-profile: central-gw – ipsec-crypto-profile: デフォルト値のまま – Tunnel interface: tunnel.2 にバインド 設定時の注意 : • 中央サイトで「branch-1-gw」の peer-address パラメータに 202.101.1.1 を設定すると、localid および peer-id パラメータの設定は不要になります ( フィールドは空白のままでかまいませ ん )。これら 2 つのフィールドは IKE ネゴシエーション時に照合されるため、2 つのパラメー タの処理は同じにする必要があります。 • proxy-id は、このようなルートベースの VPN 用に空白のままになっています。 パラメータの設定後に設定をコミットすると、新しい VPN が動作します。接続の問題が発生した 場合は、次のセクションの「VPN 接続のトラブルシューティング」を参照してください。 262 • IPSec トンネルの設定 Palo Alto Networks VPN 設定例 VPN 接続のトラブルシューティング 注 : このセクションのパラメータ値は、設定例で指定したものです。262 ペー ジの「VPN 接続の設定」を参照してください。 VPN 接続に関する問題を解決するには、以下の手順を実行します。 1. ローカルとリモートの両サイトの設定を再度確認します。 2. ping ユーティリティを使用して、中央と支社 (202.101.1.1 と 61.1.1.1) の間の接続を検証しま す。これが作用するように、ping を許可する管理プロファイルがインターフェイス上に存在 する必要があります。 3. ping ユーティリティを使用して、サーバー ファームと中央のファイアウォール (ethernet1/5) 間の接続を検証します。これが作用するように、ping を許可する管理プロファイルがイン ターフェイス上に存在する必要があります。 4. ping ユーティリティを使用して、支社ネットワークと支社ファイアウォール インターフェイ ス (ethernet1/10) 間の接続を検証します。これが作用するように、ping を許可する管理プロ ファイルがインターフェイス上に存在する必要があります。 5. 支社サイトで、CLI コマンド test vpn ike-sa gateway central-gw と show vpn ike-sa gateway central-gw を使用して、IKE phase-1 SA を支社から作成できることを検証します。 6. 中央サイトで、CLI コマンド show vpn ike-sa gateway branch-1-gw を使用して、IKE phase1 SA を支社から作成できることを検証します。 7. 支社サイトで、CLI コマンド test vpn ipsec-sa tunnel central-vpn と show vpn ipsec-sa tunnel central-vpn を使用して、IKE phase-2 SA が支社から作成できることを検証します。 8. 中央サイトで、CLI コマンド show vpn ipsec-sa tunnel branch-1-vpn を使用して、IKE phase2 SA を支社から作成できることを検証します。 9. サーバー ファームのサーバー ルーティング テーブルをチェックします。宛先 192.168.20.0/24 は、中央ファイアウォールの ethernet1/5 インターフェイスの IP アドレスを介して到達可能 である必要があります。 10. ルート設定をチェックするために、支社ネットワークの任意の PC から traceroute コマンドを 実行します。宛先には、サーバー ファームのサーバーを指定します。 11. 支社ネットワークの任意の PC から ping ユーティリティを実行します。宛先には、サーバー ファームのサーバーを指定します。CLI コマンド show vpn flow の出力に表示される暗号化 および暗号解除カウンタをチェックします。暗号化および暗号解除カウンタの値は増えてい て、エラー カウンタの値はいずれも増えていないことを確認します。 12. Syslog の IKE ネゴシエーションのエラー メッセージの詳細を確認します。または、debug ike pcap コマンドを使用して、PCAP 形式で IKE パケットをキャプチャします。 Palo Alto Networks IPSec トンネルの設定 • 263 VPN 設定例 264 • IPSec トンネルの設定 Palo Alto Networks 11 19 , 2011 - Palo Alto Networks COMPANY CONFIDENTIAL 第9章 GlobalProtect の設定 この章では、GlobalProtect について説明します。GlobalProtect を使用すると、世界中のどこから でもクライアント システムから安全にログインできます。 • 次のセクションの「概要」 • 267 ページの「GlobalProtect のセットアップ」 • 277 ページの「GlobalProtect クライアントのセットアップとアクティブ化」 概要 GlobalProtect は、世界中のどこからでも簡単かつ安全にログインできるようにすることで、現場 で 使 用 さ れ る ノ ー ト パ ソ コ ン な ど の ク ラ イ ア ン ト シ ス テ ム で セ キ ュ リ テ ィ を 確 保 し ま す。 GlobalProtect を使用すると、地理的に近接している ( クライアント PC からのレスポンスタイムが 最も速い ) Palo Alto Networks ファイアウォールを介してトラフィックを送信することで、企業 ネットワーク外のユーザーであっても脅威から保護されます。ユーザーのアクセス レベルは、ファ イアウォールにユーザーのローカル設定を通知するホスト インフォメーション プロファイル (HIP) によって判別されます。HIP を使用して、実行中のセキュリティ プログラム、レジストリ値、 およびユーザーがディスク暗号化ソフトウェアを使用しているかどうかなど、その他の多数の チェックを基に、詳細な制御アクセスを行うことができます。 GlobalProtect 機能には、以下の要素が使用されます。 • ポータル — GlobalProtect システムの中央管理機能を実行する Palo Alto Networks ファイア ウォール。 • ゲートウェイ — GlobalProtect クライアントからのトラフィックに対するセキュリティを強 化する Palo Alto Networks ファイアウォール。 • クライアント — クライアント PC にインストールされ、ポータルおよびゲートウェイに接続 されてユーザーのシステムへのネットワーク アクセスを提供するように設定された小規模な クライアント アプリケーション。このクライアントは、ユーザーのローカル設定情報もポータ ルに通知します。 Palo Alto Networks GlobalProtect の設定 • 265 概要 接続プロセスは、以下のように機能します。 1. ノートパソコンなどのクライアント システムは、SSL を使用してポータルにアクセスします。 ユーザーは GlobalProtect クライアント ソフトウェアと設定ファイルをポータルからダウン ロードします。この設定ファイルには、GlobalProtect ゲートウェイへの接続に関する情報が含 まれています。 2. クライアントは、DNS リバース ルックアップを実行し、クライアント システムが社内ネット ワーク上または外部ネットワーク上のどちらにあるのかを判別します。 3. 接続が外部ネットワークに向けられている場合、クライアントはすべての外部ゲートウェイに SSL 接続を試行し、最も早く応答を返したゲートウェイを選択します。 4. 設定に基づいて、ポリシー制御と脅威スキャンを行うために、クライアントとゲートウェイの 間に IPSec または SSL トンネルが確立され、そのトンネルを介してすべてのトラフィックを転 送するためにデフォルト ルートが挿入されます。ゲートウェイ設定で有効になっている場合、 クライアントは転送方式として IPSec を使用することもできます。 5. クライアントから HIP 情報が送信されます。 GlobalProtect では、HIP オブジェクトとプロファイルが使用されます。HIP オブジェクトは、HIP プロファイルを定義するときに 1 つの単位として扱われるクライアント システムの基準セットを 指定します。たとえば、HIP オブジェクトによって、完全なディスク暗号化の有無や、ソフトウェ ア パッチの適用有無を指定したりすることができます。 HIP プロファイルは、一致ベース、または不一致ベースで HIP オブジェクトを取り込むことがで きます。たとえば、HIP プロファイルに、クライアント システムに完全なディスク暗号化と、イン ストール対象の特定のソフトウェア パッチの両方が含まれるように指定するなど、複数の HIP オ ブジェクトの条件を組み合わせることができます。 ポータルは、クライアント設定を保存し、内部と外部のゲートウェイ リストを管理します。また、 ゲートウェイのクライアント検証用の認証局 (CA) 証明書も管理します。 各ゲートウェイは、トンネル モード ( 外部ゲートウェイ ) または非トンネル モード ( 内部ゲート ウェイ ) で動作できます。非トンネル モードのゲートウェイは、クライアントから HIP 情報しか受 け 取 り ま せ ん。 す べ て の 通 信 は ク ラ イ ア ン ト と GlobalProtect ゲ ー ト ウ ェ イ 間 で 行 わ れ、 GlobalProtect に関するゲートウェイ間の通信は行われません。 ユーザーまたは HIP 情報を基にポリシーが実行され、HIP オブジェクトとプロファイルの情報は ゲ ー トウ ェ イ の HIP デー タ ベ ース に 記録 さ れま す。この 情 報は、Application Control Center (ACC)、ログ、およびカスタム レポートに表示されます。 GlobalProtect の認証 GlobalProtect を構成するすべてのコンポーネント間の接続は、SSL 証明書を使用して認証されま す。ポータルは、システムの認証局 (CA) のように機能することができます ( ポータル内の自己署 名またはインポートした下位 CA が発行した証明書を使用 )。または、お客様が独自の CA を使用 して証明書を生成することもできます。ポータル、ゲートウェイ、およびクライアント ( エージェ ント ) では、同一の CA によって署名された証明書を使用することをお勧めします。情報を転送す る前に、クライアントは、ゲートウェイで適切な CA によって署名されたサーバー証明書が使用さ れていることを検証します。ゲートウェイは、クライアントに、適切な CA によって署名されたク ライアント証明書があることも検証します。 クライアントに送信される設定情報の一部として、ポータルには CA のパブリック証明書、および 必要なクライアント証明書と鍵が含まれています。クライアント証明書は GlobalProtect ゲート ウェイに使用されて、クライアントを認証および識別します。 266 • GlobalProtect の設定 Palo Alto Networks GlobalProtect のセットアップ 内部 CA が使用されている場合は証明書が自動生成されるため、ユーザー対話は必要ありません。 ポータルでは、ゲートウェイに必要なサーバー証明書と鍵をエクスポートすることができます。外 部 CA が使用されている場合、ポータルとゲートウェイでは CA 証明書と共にサーバー証明書と鍵 をインポートすることができます。また、クライアントではクライアント証明書と鍵をインポート することができます。 認証の詳細は、49 ページの「認証プロファイル」および 54 ページの「認証シーケンス」を参照し てください。 GlobalProtect のセットアップ ファイアウォールへの GlobalProtect のセットアップには、以下のタスクが含まれます。 1. HIP オブジェクトを定義します (267 ページの「HIP オブジェクトのセットアップ」を参照 )。 2. HIP プロファイルを作成します (271 ページの「HIP プロファイルのセットアップ」を参照 )。 3. ポータルをセットアップします (271 ページの「GlobalProtect ポータルのセットアップ」を参照 )。 4. ゲートウェイをセットアップします (274 ページの「GlobalProtect ゲートウェイのセットアッ プ」を参照 )。 5. HIP プロファイルを含むセキュリティ ポリシーを定義します (147 ページの「セキュリティ ポ リシーの定義」を参照 )。 6. GlobalProtect クライアントを配布します (277 ページの「GlobalProtect クライアントのセット アップ」を参照 )。 7. クライアント アクティビティをモニターします (214 ページの「ログの表示」を参照 )。 HIP オブジェクトのセットアップ [Objects] > [GlobalProtect] > [HIP Objects] このページを使用して、GlobalProtect の HIP プロファイルで使用する設定を定義します。各 HIP オブジェクトは、HIP プロファイルを定義するときに、1 つの条件として扱われるクライアント シ ステムの構成を定義します。 表 122. HIP オブジェクトの設定 フィールド 説明 [General] タブ Name HIP オブジェクトの名前を入力します ( 最大 31 文字 )。名前の大文字と小文字 は区別されます。また、一意の名前にする必要があります。文字、数字、ス ペース、ハイフン、およびアンダースコアのみを使用してください。 Shared すべてのバーチャル システムでこのオブジェクトを使用可能にするには、こ のチェック ボックスをオンにします。 Description 任意の説明を入力します。 Host Info ホスト情報を指定するには、このチェック ボックスをオンにします。 Domain ドメイン名による照合を行う場合は、ドロップダウン リストから演算子を選 択して、照合する文字列を入力します。 OS ドロップダウン リストを使用して、GlobalProtect クライアントのオペレー ティング システム (OS) を指定します。 Palo Alto Networks GlobalProtect の設定 • 267 GlobalProtect のセットアップ 表 122. HIP オブジェクトの設定 ( 続き ) フィールド 説明 Client Versions クライアントの OS バージョンを照合するには、ドロップダウン リストから 演算子を選択して、照合する文字列を入力します。 [Patch Management] タブ Patch Management HIP にソフトウェア パッチ管理を含めるには、このチェック ボックスをオン にします。チェック ボックスをオンにすると、設定が有効化されます。 Criteria このサブタブで、以下の設定を指定します。 • Is Enabled — このタブの設定を有効 (yes) にするか、無効 (no) にするか、 使用不可にするかを選択します。 • Is Installed — パッチがインストールされている場合は、このチェック ボッ クスをオンにします。 • Severity — 未適用パッチの重要度レベルを選択します。 • Check — システムがパッチをチェックする方法を選択します。 • Patches — [Add] をクリックして、パッチ ファイル名を入力します。 Vendor [Add] をクリックして、パッチ管理製品を指定します。ドロップダウン リス トからベンダーを選択し、[Add] をクリックして特定の製品を選択します。 [OK] をクリックして設定を保存し、[Patch Management] タブに戻ります。 [Firewall] タブ Firewall このタブをアクティベーションするにはこのチェック ボックスをオンにし、 以下の設定を指定します。 • Is Enabled — このタブの設定を有効 (yes) にするか、無効 (no) にするか、 使用不可にするかを選択します。 • Is Installed — ファイアウォールがインストールされているかを選択します。 • Vendor and Product — [Add] をクリックして、特定のファイアウォールを 指定します。ドロップダウン リストからベンダーを選択し、[Add] をクリッ クして特定のファイアウォール バージョンを選択します。[OK] をクリック して設定を保存し、[Firewall] タブに戻ります。 • Exclude Vendor — 指定したベンダーおよび製品を含めずに、除外する場合 は、このチェック ボックスをオンにします。 268 • GlobalProtect の設定 Palo Alto Networks GlobalProtect のセットアップ 表 122. HIP オブジェクトの設定 ( 続き ) フィールド 説明 [Antivirus] タブ Antivirus このタブをアクティベーションするにはこのチェック ボックスをオンにし、 以下の設定を指定します。 • Real-time Protection — リアルタイム保護を必要とするかどうかを選択し ます ( 可能な場合 )。 • Is Installed — ドロップダウン リストからバージョンを選択します。 • Virus Definition Version — ドロップダウン リストから選択します。 [Within] または [Not Within] を選択する場合は、照合する日数またはバー ジョンを指定します。 • Product Version — ドロップダウン リストから演算子を選択して、一致す る文字列を指定します。 • Last Scan Time — ドロップダウン リストから選択します。[Within] または [Not Within] を選択する場合は、照合する日数またはバージョンを指定し ます。 • Vendor and Product — [Add] をクリックして、アンチウイルス製品を指定 します。ドロップダウン リストからベンダーを選択し、[Add] をクリックして 特定の製品を選択します。[OK] をクリックして設定を保存し、[Antivirus] タブに戻ります。 • Exclude Vendor — 指定したベンダーおよび製品を含めずに、除外する場合 は、このチェック ボックスをオンにします。 [Anti-Spyware] タブ Anti-Spyware このタブをアクティベーションするにはこのチェック ボックスをオンにし、 以下の設定を指定します。 • Real-time Protection — リアルタイム保護を必要とするかどうかを選択し ます ( 可能な場合 )。 • Is Installed — ドロップダウン リストからバージョンを選択します。 • Virus Definition Version — ドロップダウン リストから選択します。 [Within] または [Not Within] を選択する場合は、照合する日数またはバー ジョンを指定します。 • Product Version — ドロップダウン リストから演算子を選択して、一致す る文字列を指定します。 • Last Scan Time — ドロップダウン リストから選択します。[Within] または [Not Within] を選択する場合は、照合する日数またはバージョンを指定し ます。 • Vendor and Product — [Add] をクリックして、アンチスパイウェア製品を 指定します。ドロップダウン リストからベンダーを選択し、[Add] をクリッ クして特定の製品を選択します。[OK] をクリックして設定を保存し、[AntiSpyware] タブに戻ります。 • Exclude Vendor — 指定したベンダーおよび製品を含めずに、除外する場合 は、このチェック ボックスをオンにします。 Palo Alto Networks GlobalProtect の設定 • 269 GlobalProtect のセットアップ 表 122. HIP オブジェクトの設定 ( 続き ) フィールド 説明 [Disk Backup] タブ Disk Backup このタブをアクティベーションするにはこのチェック ボックスをオンにし、 以下の設定を指定します。 • Is Installed — ドロップダウン リストからバージョンを選択します。 • Last Backup Time — ドロップダウン リストから選択します。[Within] ま たは [Not Within] を選択する場合は、照合する日数またはバージョンを指 定します。 • Vendor and Product — [Add] をクリックして、ディスク バックアップ製品 を指定します。ドロップダウン リストからベンダーを選択し、[Add] をク リックして特定の製品を選択します。[OK] をクリックして設定を保存し、 [Disk Backup] タブに戻ります。 • Exclude Vendor — 指定したベンダーおよび製品を含めずに、除外する場合 は、このチェック ボックスをオンにします。 [Disk Encryption] タブ Disk Encryption このタブをアクティベーションするにはこのチェック ボックスをオンにし、 以下の設定を指定します。 Criteria このサブタブで、以下の設定を指定します。 • Is Installed — ディスク暗号化ソフトウェアがインストールされている場 合は、このチェック ボックスをオンにします。 • Encrypted Locations — [Add] をクリックして、暗号化されたデータ ストア を参照するドライブまたはパスを指定します。 – Encrypted Locations — ドロップダウン リストから場所を選択します。 – State — ドロップダウン リストから演算子および値を選択して、暗号化 された場所の状態を指定します。 [OK] をクリックして設定を保存し、[Disk Encryption] タブに戻ります。 Vendor [Add] をクリックして、特定のディスク暗号化製品を指定します。ドロップダ ウン リストからベンダーを選択し、[Add] をクリックして特定の製品を選択し ます。[OK] をクリックして設定を保存し、 [Disk Encryption] タブに戻ります。 [Custom Checks] タブ Process List [Add] をクリックして、ユーザーのシステムで実行しているかどうかを チェックするプロセスのリストを指定します。たとえば、ソフトウェア アプ リケーションが実行しているかどうかを判別するには、実行可能ファイルの 名前をプロセス リストに追加します。 Registry Key [Add] をクリックして、特定のレジストリ キーが存在するか、指定した値を 持つように指定します。 Plist Plist は、MacOS の環境設定ファイルです。特定の plist ファイルへのパスを定 義します。ファイル内で確認するための環境設定のキーと値を含めることも できます。 270 • GlobalProtect の設定 Palo Alto Networks GlobalProtect のセットアップ HIP プロファイルのセットアップ [Objects] > [GlobalProtect] > [HIP Profiles] HIP オブジェクトを定義した後 (267 ページの「HIP オブジェクトのセットアップ」を参照 )、この ページを使用して、GlobalProtect の HIP プロファイルを作成します。HIP プロファイルを定義す るときは、以前に定義した HIP オブジェクトから作成した一致基準を指定します。 表 123. HIP プロファイル設定 フィールド 説明 Name プロファイルの名前を入力します ( 最大 31 文字 )。名前の大文字と小文字は区 別されます。また、一意の名前にする必要があります。文字、数字、スペー ス、ハイフン、およびアンダースコアのみを使用してください。 Description 任意の説明を入力します。 Shared すべてのバーチャル システムでプロファイルを使用可能にするには、この チェック ボックスをオンにします。 Match クライアントを確認する 1 つ以上の HIP オブジェクトを定義します。含める HIP オブジェクトを入力するか、[Add Match Criteria] をクリックして、オブ ジェクトを作成します。複数の HIP オブジェクトを含める場合は、AND、 OR、 および NOT 演算子を使用して、ブール式を作成できます。この方法を使用し て、複雑な HIP プロファイルを作成できます。たとえば、クライアントにア ンチウイルスがインストールされており、かつ、ディスク暗号化がインストー ルされて有効になっているかどうかをテストするためのプロファイルなどを 作成できます。 GlobalProtect ポータルのセットアップ [Network] > [GlobalProtect] > [Portals] このページを使用して、GlobalProtect のポータルを設定します。 表 124. GlobalProtect ポータルの設定 フィールド 説明 ポータルの設定 Name ポータルの名前を入力します ( 最大 31 文字 )。名前の大文字と小文字は区別さ れます。また、一意の名前にする必要があります。文字、数字、スペース、ハ イフン、およびアンダースコアのみを使用してください。 Location 複数のバーチャル システムのオプションが有効な場合は、バーチャル システ ムを選択します。 Authentication Profile 認証プロファイルを選択して、ポータルへのアクセスを認証します。49 ペー ジの「認証プロファイル」を参照してください。 Client Certificate クライアントがゲートウェイへの接続に使用する証明書を選択します。 Server Certificate GlobalProtect ポータル用の SSL 証明書を選択します。 Client Certificate Profile ポータルの smartcard ユーザーの認証に使用されるクライアントの証明書プ ロファイルを選択します。 Custom Login Page ユーザーがポータルにアクセスするための、オプションのカスタム ログイン ページを選択します。 Palo Alto Networks GlobalProtect の設定 • 271 GlobalProtect のセットアップ 表 124. GlobalProtect ポータルの設定 ( 続き ) フィールド 説明 Custom Help Page ポータルへのアクセス権を持つユーザーを支援するための、オプションのカ スタム ヘルプ ページを選択します。 Interface ファイアウォール インターフェイスを選択します。 IP Address GlobalProtect ポータル Web サービスが実行される IP アドレスを指定します。 クライアントの設定 [General subtab] settings [Add] をクリックしてサブタブを表示するか、[General] サブタブに以下の設 定を指定します。 • Configs — このクライアント設定の識別に使用する名前を入力します。 • On demand — ユーザーは要求に応じて接続を構築できるようにするには、 このチェック ボックスをオンにします。このオプションでは、ユーザーは接 続を明示的に開始する必要があります。この機能は、主にリモート アクセス 接続に使用されます。 • Use single sign-on — GlobalProtect がユーザーの Windows ログオン資格 情報を使用して、GlobalProtect ポータルとゲートウェイに透過的に接続し て、認証できるようにするには、このチェック ボックスをオンにします。 • Third Party VPN Clients — [Add] をクリックして、システム上に存在する 可能性があるサードパーティ リモート アクセス VPN クライアントのリス トを追加します。設定されている場合、GlobalProtect はこれらのクライア ントとルート設定を無視して、干渉したり、衝突しないようにします。 • Internal Host Detection — このオプションでは、GlobalProtect は設定され たホスト名から設定された IP アドレスへの名前解決をしようとします。失 敗すると、GlobalProtect はコンピュータが企業ネットワーク外に存在する と見なし、[Gateways] タブに設定された利用可能な任意の外部ゲートウェ イとのトンネルを確立します。DNS ルックアップを使用した内部ホスト検 出を有効にするには、このチェック ボックスをオンにします。以下を指定し ます。 – IP Address — 内部ホスト検出用の内部 IP アドレスを入力します。 – Hostname — 内部ネットワーク内で上記の IP アドレスに解決するホス ト名を入力します。 Source User subtab settings 特定のクライアント設定が適用されるユーザーまたはユーザー グループを指 定します。 Gateways subtab ゲートウェイ設定を指定します。 • Cutoff Time — クライアントがゲートウェイ応答を無視するまでのタイム アウト ( 秒数 ) を指定します。設定されたカットオフ時間またはソケット タ イムアウトが達した場合に、クライアントがゲートウェイ応答を無視しま す。0 が指定された場合、クライアントによってカットオフ時間が無視され ます。 • Internal Gateways — クライアントが認証し、HIP レポートを提供する内部 ファイアウォールを指定します。 • External Gateways — 企業ネットワーク上にないときに、クライアントが トンネルの確立を試みるファイアウォールのリストを指定します。クライ アントはすべてのゲートウェイにコンタクトを取り、最も早い応答と優先度 が低い値を提供するファイアウォールとのトンネルを確立します。 272 • GlobalProtect の設定 Palo Alto Networks GlobalProtect のセットアップ 表 124. GlobalProtect ポータルの設定 ( 続き ) フィールド 説明 Agent subtab 以下の設定を指定します。 • Enable advanced view — クライアント側のユーザー インターフェイスを 基本的な最低限度のビューに制限するには、このチェックボックスをオフに します。デフォルトでは、詳細なビュー UI 設定がすべての GlobalProtect ク ライアントで有効になっています。 • User can save password — ユーザーがパスワードを保存できるようにする には、このチェック ボックスをオンにします。 • Passcode/Confirm Passcode — ユーザー オーバーライド用のクライアント パスコードを入力して、確認します。 • Agent User Override — 以下のように、オーバーライド オプションを選択 します。 – disabled — ユーザー オーバーライドは無効になります。 – with-comment — GlobalProtect クライアントを無効にするときに、 ユーザーにコメントの入力を求めるプロンプトが表示されます。 – with-passcode — GlobalProtect クライアント オーバーライドを使用 する場合に、ユーザーのパスコード入力が必要になります。 – with-ticket — このオプションはチャレンジ レスポンス機構を有効に して、クライアント側の GlobalProtect の無効化を許可します。このオ プションが選択された場合、ユーザーは GlobalProtec を無効にすると きにチャレンジのプロンプトが表示されます。その後、チャレンジが 帯域外のファイアウォール管理者に伝達され、管理者はファイア ウォール管理インターフェイスを通じてチャレンジを検証できます。 ファイアウォールは、GlobalProtect に応答を入力することにより、そ の後 GlobalProtect を無効にできるユーザーにリードバックされる応 答を生成します。 • Agent User Override Timeout — データ収集がタイムアウトになるまでの 最大待機時間 ( 秒数 ) を指定します。 • Max Agent User Overrides — 正常なファイアウォールへの接続が必要に なるまでユーザーが GlobalProtect を無効にできる最大回数を指定します。 • Display Welcome Page — ポータルのウェルカム ページを表示できるよう にするには、このチェック ボックスをオンにします。 • Welcome Page — 工場出荷時のウェルカム ページを選択するか、[Import] を ク リ ッ クし て 別 の ペ ージ を イ ン ポ ー トし ま す。 [None] を 選択 し、 [Display Welcome Page] オプションを選択する場合、空白ページが表示さ れます。 • Allow user to manually rediscover network location — ユーザーがネット ワークの再発見を手動でトリガーできるようにするには、このチェック ボックスをオンにします。 • Allow user to manually resubmit host information — ユーザーが最新の HIP の再発見を手動でトリガーできるようにするには、このチェック ボッ クスをオンにします。 • Client Upgrade — 設定変更後に更新するようにクライアントにプロンプト を表示するか ([prompt])、クライアントに通知せずにアップグレードを実行 するか ([transparent]) を指定します。 Palo Alto Networks GlobalProtect の設定 • 273 GlobalProtect のセットアップ 表 124. GlobalProtect ポータルの設定 ( 続き ) フィールド 説明 Data Collection Subtab このサブタブで、以下の設定を指定します。 • Max Wait Time — データ収集がタイムアウトになるまでの最大待機時間 ( 秒数 ) を指定します。 • Exclude Categories — [Add] をクリックして、データ収集から除外する特 定のソフトウェアおよびクライアント設定カテゴリを指定します。ドロッ プダウン リストからベンダーを選択し、[Add] をクリックして特定の製品 を選択します。[OK] をクリックして、設定を保存します。 • Custom Checks — 以下の情報を指定します。 – Registry Key — (Windows) [Add] をクリックして、特定のレジストリ キーが存在するか、指定した値を持つように指定します。 – Plist — (Mac) [Add] をクリックして、特定の plist キーが存在するか、指 定した値を持つように指定します。 – Process List — [Add] をクリックして、エンド ユーザーのシステムで実 行しているかどうかをチェックするプロセスのリストを指定します。た とえば、ソフトウェア アプリケーションが実行しているかどうかを判別 するには、実行可能ファイルの名前をプロセス リストに追加します。 Root CA ゲートウェイに接続するときに GlobalProtect クライアントが信頼するルー ト CA または各種証明書発行を指定します。表示されている CA のいずれか によって発行されていないクライアントにゲートウェイが証明書を提示する 場合、クライアントはハンドシェークを拒否し、接続を終端します。 [Add] をクリックしてルート認証局証明書を指定します。エージェント ユー ザーのオーバーライド キーを入力して確認します。 GlobalProtect ゲートウェイのセットアップ [Network] > [GlobalProtect] > [Gateways] このページを使用して、GlobalProtect のゲートウェイを設定します。 表 125. GlobalProtect ゲートウェイの設定 フィールド 説明 General Name ゲートウェイの名前を入力します ( 最大 31 文字 )。名前の大文字と小文字は区 別されます。また、一意の名前にする必要があります。文字、数字、スペー ス、ハイフン、およびアンダースコアのみを使用してください。 Location 複数のバーチャル システムのオプションが有効な場合は、バーチャル システ ムを選択します。 Server Certificate ゲートウェイ用のサーバー証明書を選択します。 Authentication Profile ポータルへのアクセスを認証する認証プロファイルまたはシーケンスを選択 します。49 ページの「認証プロファイル」を参照してください。 Client Certificate クライアント認証用のクライアント証明書プロファイルを選択します。 274 • GlobalProtect の設定 Palo Alto Networks GlobalProtect のセットアップ 表 125. GlobalProtect ゲートウェイの設定 ( 続き ) フィールド 説明 Tunnel Mode トンネル モードを有効にするには、このチェック ボックスをオンにして、以 下の設定を指定します。 • Tunnel Interface — ゲートウェイへのアクセス用のトンネル インターフェ イスを選択します。 • Max Users — 同時にゲートウェイにアクセスできるユーザーの最大数を指 定します。ユーザーの最大数に到達したら、ユーザーの最大数に達したこと を示すエラー メッセージが表示されて、後続のユーザーはアクセスを拒否 されます。 • Enable IPSec — クライアント トラフィックで IPSec モードを使用可能に し、IPSec をプライマリにして、SSL-VPN をフォールバック方式にするに は、このチェック ボックスをオンにします。 • Enable 3rd Party VPN Support — IPSec が有効になっているときに GlobalProtect ゲートウェイの Extended Authentication (X-Auth) サポート を有効にするには、このチェック ボックスをオンにします。X-Auth サポート により、X-Auth がサポートされている場合に、サードパーティ VPN クライ アントは GlobalProtect ゲートウェイとの VPN トンネルを確立できます。 – グループ名とグループのパスワードが指定されている場合、最初の認証 フェーズでは、両者のパーティがこの資格情報を使用して認証する必要 があります。第 2 のフェーズでは有効なユーザー名とパスワードが必要 です。認証セクションで設定された認証プロファイルを通じて検証され ます。 – グループ名とグループのパスワードが定義されていない場合、最初の認 証フェーズは、サードパーティ VPN クライアントによって提示された有 効な証明書に基づきます。その後この証明書は、認証セクションで設定 されたクライアント証明書プロファイルを通じて検証されます。 Timeout Configuration 以下のタイムアウト設定を指定します。 • Login Lifetime — 1 つのゲートウェイ ログイン セッションに許可される日 数、時間数、または分数を指定します。 • Inactivity Logout — 未通信じょうたいのセッションが自動的にログアウト されるまでの日数、時間数、または分数を指定します。 Gateway Address 以下のゲートウェイ設定を指定します。 • Interface — ファイアウォール インターフェイスを選択します。 • IP Address — アクティブ / アクティブ モードで HA を使用している場合 は、固定 IP アドレスまたはフローティング IP アドレスを選択し、ドロップ ダウン リストからアドレス オプションを選択します。 クライアントの設定 Inheritance Source 選択された DHCP クライアントまたは PPPoE クライアント インターフェイ スから GlobalProtect クライアントの設定に DNS サーバーと他の設定を伝搬 する送信元を選択します。この設定により、DNS サーバーや WINS サーバー などのすべてのクライアント ネットワーク設定は、[Inheritance Source] で選 択されたインターフェイスの設定から継承されます。 Primary DNS クライアントに DNS を提供するプライマリ サーバーおよびセカンダリ サー バーの IP アドレスを入力します。 Secondary DNS Primary WINS Secondary WINS Check inheritance status Palo Alto Networks クライアントに Windows Internet Naming Service (WINS) を提供するプライ マリ サーバーおよびセカンダリ サーバーの IP アドレスを入力します。 リンクをクリックして、クライアント インターフェイスに現在割り当てられ ているサーバー設定を参照します。 GlobalProtect の設定 • 275 GlobalProtect のセットアップ 表 125. GlobalProtect ゲートウェイの設定 ( 続き ) フィールド 説明 IP Pool [Add] をクリックして、IP プール設定を指定します。 このセクションを使用して、リモート ユーザーに割り当てる IP アドレスの範 囲を作成します。トンネルが確立されると、この範囲のアドレスを使用してリ モート ユーザーのコンピュータにインターフェイスが作成されます。 注 : IP プールには、すべての同時接続ユーザーをサポートするのに十分な IP アドレスが含まれている必要があります。IP アドレスは動的に割り当てら れ、ユーザーの接続が切断された後は保持されません。異なるサブネットの複 数の範囲を設定することにより、システムは、クライアントの他のインター フェイスと衝突しないように IP アドレスを割り当てることができます。 ネットワーク内のサーバー / ルータは、この IP プールからファイアウォール にトラフィックをルーティングする必要があります。 たと え ば、ネ ッ ト ワ ー ク 192.168.0.0/16 で は、リ モ ー ト 192.168.0.10 といったアドレスを割り当てることができます。 DNS Suffix ユ ー ザ ーに [Add] をクリックして、解決できない非修飾ホスト名が入力されたときにク ライアントがローカルで使用するサフィックスを入力します。 サフィックスは一覧に表示された順番に使用されます。一覧に表示されたサ フィックスの順番を変更するには、目的のサフィックスを選択して [Move Up] および [Move Down] ボタンをクリックします。エントリを削除するに は、サフィックスを選択して [Remove] をクリックします。 Access Route [Add] をクリックしてアクセス ルート オプションを指定します。 このセクションを使用して、リモート ユーザーのコンピュータにプッシュす るルートを追加し、ユーザーのコンピュータから VPN 接続を介して送信する 内容を決定します。 たとえば、スプリット トンネルを設定し、リモート ユーザーが VPN トンネ ルを経由せずにインターネットに直接アクセスできるようにすることができ ます。 ルートを追加しないと、すべてのリクエストはトンネル経由でルーティング されます ( スプリット トンネルなしの場合 )。この場合、インターネットのリ クエストはすべてファイアウォールを通過して、ネットワークに出ていきま す。この方法により、部外者がユーザーのコンピュータにアクセスし、そのコ ンピュータをブリッジとして利用して社内ネットワークに侵入するのを防ぐ ことができます。 [Add] をクリックしてルートを入力します。 HIP Notification HIP Notification [Add] をクリックして通知オプションを指定します。[Enable] を選択して メッセージに対する一致または不一致のオプションを有効にします。 [Shown Notification As] ドロップダウン リストから通知オプションを選択 して、一致または不一致に対するメッセージを指定します。これらの設定を使 用して、たとえば警告メッセージを表示して、エンド ユーザにマシンの状態 を通知します。 注 : HIP 通知ページは、外部の Web サイトとリソースへのリンクを含むこと ができるリッチ HTML にフォーマットできます。リッチ テキスト設定ツー ルバーのリンク アイコン を使用して、リンクを追加します。 276 • GlobalProtect の設定 Palo Alto Networks GlobalProtect クライアントのセットアップとアクティブ化 GlobalProtect クライアントのセットアップとアクティブ化 [Devices] > [GlobalProtect Client] [GlobalProtect Client] ページには、使用可能な GlobalProtect リリースの一覧が表示されます。 クライアントが接続すると、システムは、バージョンを確認し、現在アクティベーションされてい るバージョンとクライアントで動作しているバージョンが異なる場合は、現在アクティベーション されているバージョンをクライアントにインストールします。 注 : GlobalProtect クライアントを初めてダウンロードしてインストールする 場合、クライアント システムのユーザーは管理者権限でログインする必要があ ります。その後のアップグレードでは、管理者権限は必要ありません。 GlobalProtect クライアントをダウンロードしてアクティベーションするには、以下の手順を実行 します。 1. 使用するリリースの [Download] リンクをクリックします。ダウンロードが開始され、ポップ アップ ウィンドウに、ダウンロードの進行状況が表示されます。ダウンロードが完了したら、 [Close] をクリックします。 2. ダウンロードしたリリースをアクティベーションするには、そのバージョンの [Activate] リン クをクリックします。クライアント ソフトウェアの既存のリリースがすでにダウンロードさ れてアクティベーションされている場合は、そのクライアントの次回の接続時に新バージョン がダウンロードされることを示したポップアップ メッセージが表示されます。 3. 以前に [Upload] ボタンを使用してアップロードしたクライアントをアクティベーションする には、[Activate from File] ボタンをクリックします。ポップアップ ウィンドウが開きます。 ドロップダウン リストから該当するファイルを選択し、[OK] をクリックします。 4. クライアント ソフトウェアのダウンロード済みリリースをファイアウォールから削除するに は、最右列の [Remove] アイコンをクリックします。 GlobalProtect クライアントのセットアップ GlobalProtect クライアント (PanGP Agent) は、クライアント システム ( 通常、ノートパソコン ) に イ ン ス ト ー ル さ れ る ア プ リ ケ ー シ ョ ン で あ り、ポ ー タ ル と ゲ ー ト ウ ェ イ を 使 用 し て GlobalProtect 接続をサポートし、GlobalProtect サービス (PanGP サービス ) によってサポートさ れます。 注 : クライアントのオペレーティング システムで正しいインストール オプ ション (32 ビットまたは 64 ビット ) を選択するようにしてください。 Palo Alto Networks GlobalProtect の設定 • 277 GlobalProtect クライアントのセットアップとアクティブ化 クライアントをインストールするには、インストーラ ファイルを開いて、画面に表示される指示 に従います。 クライアントを設定するには、以下の手順を実行します。 1. [ スタート ] > [ すべてのプログラム ] > [Palo Alto Networks] > [GlobalProtect] > [GlobalProtect] の順に選択します。 クライアント インターフェイスが開き、[Settings] タブが表示されます。 図 37. GlobalProtect クライアント - [Settings] タブ 2. GlobalProtect 認証に使用するユーザー名とパスワードを指定し、オプションで [Remember Me] チェック ボックスをオンにします。 3. GlobalProtect ポータルとして機能するファイアウォールの IP アドレスを入力します。 4. [Apply] をクリックします。 GlobalProtect クライアントの使用 GlobalProtect クライアントのタブには、状態および設定に関する有用な情報が含まれており、接続 問題のトラブルシューティングに役立つ情報が提供されます。 • [Status] タブ — 現在の接続状態を表示し、警告またはエラーを一覧表示します。 • [Details] タブ — ポータル IP アドレスおよびプロトコルなど、現在の接続に関する情報を表 示し、ネットワーク接続に関するバイトおよびパケット統計を示します。 • [Host State] タブ — HIP に保存されている情報を表示します。ウィンドウの左側のカテゴリ をクリックすると、ウィンドウの右側に、そのカテゴリの設定済み情報が表示されます。 • [Troubleshooting] タブ — トラブルシューティングに役立つ情報を表示します。 – Network Configurations — 現在のクライアント システム設定を表示します。 – Routing Table — GlobalProtect 接続の現在のルート指定方法についての情報を表示します。 – Sockets — 現在アクティブな接続のソケット情報を表示します。 – Logs — GlobalProtect クライアント (PanGP Agent) およびサービス (PanGP Service) のロ グを表示できるようにします。ログ タイプとデバッグ レベルを選択します。[Start] をク リックするとログが開始し、[Stop] をクリックするとログが停止します。 278 • GlobalProtect の設定 Palo Alto Networks 11 19 , 2011 - Palo Alto Networks COMPANY CONFIDENTIAL 第 10 章 Quality of Services (QoS) の設定 この章では、ファイアウォールに Quality of Services (QoS) を設定する方法について説明します。 • 次のセクションの「ファイアウォールでの QoS のサポート」 • 282 ページの「QoS プロファイルの定義」 • 283 ページの「QoS ポリシーの定義」 • 287 ページの「QoS 統計情報の表示」 ファイアウォールでの QoS のサポート このファイアウォールでは、ファイアウォールを出るクリア テキスト トラフィックやトンネル ト ラフィックについてきめ細かく QoS を設定できます。( 入力 QoS 処理はサポートされません )。 QoS プロファイルは、物理インターフェイスに適用され、トラフィック クラスに保証帯域幅と最 大帯域幅および優先度をマッピングする方法を規定します。その後、QoS ポリシーは特定のセッ ションを QoS クラスにマッピングするために使用されます。Aggregate Ethernet を除くすべての タイプのインターフェイスで、QoS 分類がサポートされています。 ファイアウォールでは、以下の QoS 設定がサポートされています。 • [QoS] ページ ([Network] タブ ) を使用して、ファイアウォール インターフェイスの QoS 設定 を指定したり、そのインターフェイス経由でファイアウォールから出るクリア テキスト トラ フィックとトンネル トラフィックの基準を指定したりできます。280 ページの「ファイア ウォール インターフェイスの QoS の設定」を参照してください。 • インターフェイスごとに、QoS トラフィック クラスの処理方法を決定する QoS プロファイル を定義できます。クラスに関係なく帯域幅全体に対する制限を設定できます。また、個々のク ラスごとに制限を設定することもできます。個々のクラスに優先順位を割り当てることもで きます。優先度によって、競合がある場合のトラフィックの処理方法が決まります。282 ペー ジの「QoS プロファイルの定義」を参照してください。 • [QoS Policies] ページ ([Policies] タブ ) を使用して、QoS 制限をアクティベーションするポリ シーを設定できます。283 ページの「QoS ポリシーの定義」を参照してください。 Palo Alto Networks Quality of Services (QoS) の設定 • 279 ファイアウォールでの QoS のサポート ファイアウォールの QoS サポート設定時に考慮すべき重要な項目 • QoS プロファイルの設定時、クラスの保証および最大出力設定には、プロファイル自体の保 証および最大出力設定以下の値を定義する必要があります。 • QoS ポリシーに一致していないトラフィックはデフォルト クラス 4 に割り当てられます。この ことを念頭に置いて最大保証帯域幅や優先度を割り当ててください。 • 各ファイアウォール モデルは、QoS で設定可能な最大ポート数をサポートしています。 http://www.paloaltonetworks.com のファイアウォール モデルの仕様書を参照してください。 ファイアウォール インターフェイスの QoS の設定 [Network] > [QoS] ファイアウォール インターフェイスの帯域幅制限を設定するには、[QoS] ページを使用します。 表 126. QoS 設定 フィールド 説明 物理インターフェイス Interface Name ファイアウォール インターフェイスを選択します。 Maximum Egress このインターフェイスを介してファイアウォールから出るトラフィックの制 限値 (Mbps) を入力します。 Turn on QoS feature on this interface QoS 機能を有効にするには、このチェック ボックスをオンにします。 Default Profile: クリア テキスト トラフィックおよびトンネル トラフィックのデフォルトの QoS プロファイルを選択します。それぞれにデフォルトのプロファイルを指 定する必要があります。クリア テキスト トラフィックの場合、デフォルトの プロファイルはすべてのクリア テキスト トラフィックに一括適用されます。 トンネ ル ト ラフ ィック の場 合、デ フォル トの プロ ファイ ルは、Detailed Configuration セクションで特定のプロファイルが割り当てられていない各 トンネルに個別に適用されます。QoS プロファイルの定義手順の詳細は、 282 ページの「QoS プロファイルの定義」を参照してください。 Clear Text Tunnel Interface Tunneled and Clear Text Traffic [Tunneled Traffic] タブと [Clear Text Traffic] タブで、以下の設定を指定し ます。これらの値は、この表の後半にある [Detail Configuration] エリアの設 定によってオーバーライドされないかぎり、そのまま適用されます。 Guaranteed Egress このインターフェイスからのトンネル トラフィックに保証される帯域幅を入 力します。 Maximum Egress このインターフェイスを介してファイアウォールから出るトラフィックの制 限値 (Mbps) を入力します。 280 • Quality of Services (QoS) の設定 Palo Alto Networks ファイアウォールでの QoS のサポート 表 126. QoS 設定 ( 続き ) フィールド 説明 Groups ここでは、クリア テキスト トラフィックの処理をさらに細かく設定したり、 line 特定のトンネルのデフォルトのプロファイル割り当てをオーバーライド したりすることができます。このセクションを空白のままにすると、[Group Configuration] で指定した値が使用されます。 たとえば、ファイアウォールに対して 45 Mbps で接続するサイトと T1 で接 続するサイトを設定するとします。このとき、T1 サイトには接続が過負荷状 態にならないように制限の厳しい QoS 設定を適用する一方で、45 Mbps で接 続するサイトにはより柔軟な設定を適用できます。 クリア テキスト トラフィックに詳細な設定を追加するには、[Clear Text] タブ で [Add] をクリックして、個々のエントリについて以下の項目を設定します。 • Name — ここでの設定の識別に使用する名前を入力します。 • Source Interface — 送信元側のファイアウォール インターフェイスを選択 します。 • Source Subnet — 送信元のサブネットを選択すると、そのサブネットから のトラフィックのみに各設定が適用されます。デフォルト値の [any] をその まま使用すると、指定したインターフェイスからのすべてのトラフィックに 対して各設定が適用されます。 • QoS Profile — 指定したインターフェイスとサブネットに適用する QoS プ ロファイルを選択します。QoS プロファイルの定義手順の詳細は、282 ペー ジの「QoS プロファイルの定義」を参照してください。 注 : クリア テキストの QoS ルールは、指定した順に適用されます。この 順番を変更するには、エントリのチェック ボックスをオンにして、[Move Up] または [Move Down] をクリックします。 特定のトンネルのデフォルトのプロファイルをオーバーライドするには、 [Tunneled Traffic] タブで [Add] をクリックし、個々のエントリをクリック して以下の項目を設定します。 • Tunnel Interface — ファイアウォールのトンネル インターフェイスを選択 します。 • QoS Profile — 指定したトンネル インターフェイスに適用する QoS プロ ファイルを選択します。 クリア テキスト トラフィックまたはトンネル トラフィックのエントリを削 除するには、エントリのチェック ボックスをオンにして [Remove] をクリッ クします。 Palo Alto Networks Quality of Services (QoS) の設定 • 281 QoS プロファイルの定義 QoS プロファイルの定義 [Network] > [Network Profiles] > [QoS Profiles] インターフェイスごとに、QoS トラフィック クラスの処理方法を決定する QoS プロファイルを定 義できます。クラスに関係なく帯域幅全体に対する制限を設定できます。また、個々のクラスごと に制限を設定することもできます。個々のクラスに優先順位を割り当てることもできます。優先順 位によって、競合がある場合のトラフィックの処理方法が決まります。 注 : ファイアウォール インターフェイスに QoS を設定する方法の詳細は 280 ページの「ファイアウォール インターフェイスの QoS の設定」を、QoS 制限をアクティベーションするポリシーを設定する方法の詳細は 283 ページ の「QoS ポリシーの定義」を参照してください。 表 127. QoS プロファイル設定 フィールド 説明 Profile Name プロファイルの識別に使用する名前を入力します ( 最大 31 文字 )。名前の大文 字と小文字は区別されます。また、一意の名前にする必要があります。文字、 数字、スペース、ハイフン、およびアンダースコアのみを使用してください。 Egress Guaranteed このプロファイルで保証する帯域幅 (Mbps) を入力します。 Egress Max このプロファイルで許容される最大帯域幅 (Mbps) を入力します。 Classes 個々の QoS クラスの処理方法を指定します。設定する 1 つ以上のクラスを選 択できます。 • Class — クラスを設定しなくても、QoS ポリシーにクラスを含めることが できます。その場合、トラフィックは QoS 全体に対する制限の対象になり ます。QoS ポリシーに一致していないトラフィックはクラス 4 に割り当て られます。 • Priority — このクラスに割り当てる優先度を選択します。以下に表示され た順番に優先されます ( 一番上が最優先 )。 – Real-time – High – Medium – Low • Egress Max — このクラスの最大帯域値 (Mbps) を入力します。 • Egress Guaranteed — このクラスの保障帯域値 (Mbps) を入力します。 競合が発生すると、優先順位の低いトラフィックが破棄されます。[Real-time] 優先順位では、固有のキューが使用されます。 282 • Quality of Services (QoS) の設定 Palo Alto Networks QoS ポリシーの定義 QoS ポリシーの定義 [Policies] > [QoS] QoS ポリシーは、QoS が有効になっているインターフェイスを通過するときのトラフィックの処 理を分類する方法を決定します。各ルールには、8 つのクラスのうちのいずれか 1 つを指定します。 アクティベーションするルールを指定するスケジュールを割り当てることもできます。未分類ト ラフィックは、自動的にクラス 4 に割り当てられます。 注 : ファイアウォール インターフェイスに QoS を設定する方法の詳細は 280 ページの「ファイアウォール インターフェイスの QoS の設定」を、サー ビス クラスを設定する方法の詳細は 282 ページの「QoS プロファイルの定義」 を参照してください。 特定のバーチャル システムのルールを表示するには、[Virtual System] ドロップダウン リストか らそのシステムを選択して [Go] をクリックします。リストにフィルタを適用するには、[Filter Rules] ドロップダウン リストから選択します。特定のゾーンのルールのみを表示するには、 [Source Zone] ドロップダウン リストや [Destination Zone] ドロップダウン リストからそのゾー ンを選択し、[Filter by Zone] をクリックします。 注 : Panorama からプッシュされた共有ポリシーは緑で表示され、デバイス レ ベルでは編集不可になっています。 新しい QoS ルールを追加するには、以下のいずれかを実行します。 • ページの下部にある [Add Rule] をクリックします。新しいルールがデフォルトの設定でリス トの下部に追加され、最大のルール番号の次の番号が振られます。 • コピーするルールの番号をを右クリックして [Clone Rule] を選択するか、ルールの余白部分 をクリックしてルールを選択し、ページ下部の [Clone Rule] をクリックします ( ルールを選択 すると背景が黄色になります )。コピーされたルールが選択したルールの下に挿入され、以降 のルールの番号が再付番されます。 表 128. QoS ルール設定 フィールド 説明 [General] タブ Name ルールの識別に使用する名前 (最大 31 文字) を入力します。名前の大文字と小 文字は区別されます。また、一意の名前にする必要があります。文字、数字、 スペース、ハイフン、およびアンダースコアのみを使用してください。 Description 任意の説明を入力します。 Tag ポリシーにタグを付ける場合、[Add] をクリックしてタグを指定します。 [Source] タブ Source Zone Palo Alto Networks 1 つ以上の送信元ゾーンを選択します ( デフォルトは [any])。ゾーンは同じタ イプ ([Layer 2]、[Layer 3]、[Virtual Wire]) である必要があります。新しいゾー ンを定義する手順については、115 ページの「セキュリティ ゾーンの定義」を 参照してください。 Quality of Services (QoS) の設定 • 283 QoS ポリシーの定義 表 128. QoS ルール設定 ( 続き ) フィールド 説明 Source Address IPv4 または IPv6 アドレスの送信元の組み合わせを指定します。識別されたア プリケーションの送信元アドレス情報は、これらのアドレスでオーバーライ ドされます。特定のアドレスを選択するには、ドロップダウン リストから [select] を選択して、以下のいずれかを実行します。 • [Available] 列で該当するアドレス やアドレス グループ の横に あるチェック ボックスをオンにし、[Add] をクリックして選択内容を [Selected] 列に追加します。 • 名前の最初の数文字を [Search] フィールドに入力します。入力した文字で 始まるすべてのアドレスおよびアドレス グループが一覧表示されます。一 覧の項目を選択すると、[Available] 列のチェック ボックスがオンになりま す。この操作を必要な回数だけ繰り返し、次に [Add] をクリックします。 • 1 つ以上の IP アドレスを (1 行ごとに 1 つ ) 入力します。ネットワーク マスク は指定してもしなくてもかまいません。一般的な形式は以下のとおりです。 <ip_address>/<mask> • アドレスを削除するには、[Selected] 列で該当するチェック ボックスをオン にして [Remove] をクリックするか、[any] を選択して、すべてのアドレス およびアドレス グループをクリアします。 このポリシーまたは別のポリシーで使用できる新しいアドレスを追加するに は、[New Address] をクリックします (184 ページの「アプリケーションの定 義」を参照 )。新しいアドレス グループを定義する方法については、180 ペー ジの「アドレス グループの定義」を参照してください。 Source User QoS ポリシーが適用される送信元のユーザーおよびグループを指定します。 Negate このタブで指定した情報が一致しない場合にポリシーを適用するには、この チェック ボックスをオンにします。 [Destination] タブ Destination Zone 284 • Quality of Services (QoS) の設定 1 つ以上の送信元ゾーンを選択します ( デフォルトは [any])。ゾーンは同じタ イプ ([Layer 2]、[Layer 3]、[Virtual Wire]) である必要があります。新しいゾー ンを定義する手順については、115 ページの「セキュリティ ゾーンの定義」を 参照してください。 Palo Alto Networks QoS ポリシーの定義 表 128. QoS ルール設定 ( 続き ) フィールド 説明 Destination Address IPv4 または IPv6 アドレスの送信元の組み合わせを指定します。識別されたア プリケーションの送信元アドレス情報は、これらのアドレスでオーバーライ ドされます。特定のアドレスを選択するには、ドロップダウン リストから [select] を選択して、以下のいずれかを実行します。 • [Available] 列で該当するアドレス やアドレス グループ の横に あるチェック ボックスをオンにし、[Add] をクリックして選択内容を [Selected] 列に追加します。 • 名前の最初の数文字を [Search] フィールドに入力します。入力した文字で 始まるすべてのアドレスおよびアドレス グループが一覧表示されます。一 覧の項目を選択すると、[Available] 列のチェック ボックスがオンになりま す。この操作を必要な回数だけ繰り返し、次に [Add] をクリックします。 • 1 つ以上の IP アドレスを (1 行ごとに 1 つ ) 入力します。ネットワーク マスク は指定してもしなくてもかまいません。一般的な形式は以下のとおりです。 <ip_address>/<mask> • アドレスを削除するには、[Selected] 列で該当するチェック ボックスをオン にして [Remove] をクリックするか、[any] を選択して、すべてのアドレス およびアドレス グループをクリアします。 このポリシーまたは別のポリシーで使用できる新しいアドレスを追加するに は、[New Address] をクリックします (184 ページの「アプリケーションの定 義」を参照 )。新しいアドレス グループを定義する方法については、180 ペー ジの「アドレス グループの定義」を参照してください。 Negate このタブで指定した情報が一致しない場合にポリシーを適用するには、この チェック ボックスをオンにします。 [Application] タブ Application QoS ルールを適用する特定のアプリケーションを選択します。新しいアプリ ケーションを定義する方法については、184 ページの「アプリケーションの定 義」を参照してください。アプリケーション グループを定義する方法につい ては、189 ページの「アプリケーション グループの定義」を参照してください。 アプリケーションに複数の機能がある場合、アプリケーション全体または個 別の機能を選択できます。アプリケーション全体を選択した場合、すべての機 能が含まれ、将来、機能が追加されるとアプリケーション定義が自動的に更 新されます。 [Service/URL Category] タブ Service 特定の TCP や UDP のポート番号に制限するには、サービスを選択します。ド ロップダウン リストから以下のいずれかを選択します。 • any — 選択したアプリケーションがすべてのプロトコルやポートで許可ま たは拒否されます。 • application-default — 選択したアプリケーションが、Palo Alto Networks によって定義されたデフォルトのポートでのみ許可または拒否されます。 これは、許可ポリシーの推奨オプションです。 • Select — [Add] をクリックします。既存のサービスを選択するか、[Service] または [Service Group] を選択して新しいエントリを指定します。190 ペー ジの「サービス」および 191 ページの「サービス グループ」を参照してく ださい。 Palo Alto Networks Quality of Services (QoS) の設定 • 285 QoS ポリシーの定義 表 128. QoS ルール設定 ( 続き ) フィールド 説明 URL Category QoS ルールを適用する URL カテゴリを選択します。 • URL カテゴリに関係なくセッションでこの QoS ルールを照合できるよう にするには、[any] を選択します。 • カテゴリを指定するには、[Add] をクリックし、ドロップダウン リストか ら特定のカテゴリ ( カスタム カテゴリも含む ) を選択します。複数のカテゴ リを追加できます。カスタム カテゴリの定義方法の詳細は、193 ページの 「カスタム URL カテゴリ」を参照してください。 [Other Settings] タブ Class ルールに割り当てる QoS クラスを選択して、[OK] をクリックします。クラス 特性は、QoS プロファイルで定義します。QoS クラスの設定の設定方法の詳 細は、282 ページの「QoS プロファイルの定義」を参照してください。 Schedule 適用する QoS ポリシーのスケジュールを設定するには、カレンダー アイコン を選択します。 286 • Quality of Services (QoS) の設定 Palo Alto Networks QoS 統計情報の表示 QoS 統計情報の表示 [Network] > [QoS] [QoS Policies] ページのテーブルには、いつ QoS が有効になったかと、QoS 統計情報を表示する ためのリンクが表示されます。以下の図に例を示します。 図 38. QoS 統計情報 左パネルには、QoS ツリー テーブル、右パネルには、以下のタブにデータが表示されます。 • QoS Bandwidth — 選択したノードとクラスの帯域幅チャートがリアルタイムで表示されま す。情報は 2 秒おきに更新されます。 • Session Browser — 選択したノードやクラスのアクティブなセッションのリストが表示され ます。 • Application View — 選択した QoS ノードやクラスのアクティブなアプリケーションすべて のリストが表示されます。 Palo Alto Networks Quality of Services (QoS) の設定 • 287 QoS 統計情報の表示 288 • Quality of Services (QoS) の設定 Palo Alto Networks 11 19 , 2011 - Palo Alto Networks COMPANY CONFIDENTIAL 第 11 章 Panorama のインストール この章では、Panorama 中央管理システムをインストールする方法について説明します。 • 次のセクションの「概要」 • 290 ページの「Panorama のインストール」 • 291 ページの「Panorama ネットワーク インターフェイスの設定」 • 292 ページの「Panorama への初めてのログイン」 • 292 ページの「SSL 証明書の作成」 • 293 ページの「バーチャル ディスクを使用した Panorama 保存エリアの拡張」 • 294 ページの「ストレージ パーティションのセットアップ」 • 295 ページの「HA の設定」 注 : Panorama の使用方法の詳細は、299 ページの「Panorama を使用したデバイス中 央管理」を参照してください。 概要 Panorama は、VMware バーチャル アプライアンス形態で提供され、VMware Server、または VMware ESX(i) 4.x または 3.5 にインストールして使用することができます。 注 : VMware Server は簡単に導入でき、専用のサーバーを必要としないため、評価 目的での使用に適しています。ただし、VMware Server 内の抽象化レイヤーとしてホ スト OS を組み込むことによって時間同期問題が生じる可能性があるため、実稼働環 境には VMware ESX(i) を使用することをお勧めします。 Palo Alto Networks Panorama のインストール • 289 Panorama のインストール インストール手順では、Open Virtual Machine Format (OVF) テンプレート ファイルを使用しま す。このファイルは基本イメージに含まれています。 システム要件は、以下のとおりです。 • VMware ESX(i) 4.x、3.5 • 2GHz CPU • 2-4 GB RAM (10 以上のアクティブなファイアウォールを使用する場合は 4 GB を使用 ) • VMware vSphere Client 4.x、または VMware Infrastructure Client 3.5 Panorama イメージを入手するには、https://support.paloaltonetworks.com にアクセスしてくだ さい。 割り当てられたシリアル番号を使用してサポート サイトに Panorama を登録すると、ソフトウェ アのダウンロード ページに Panorama が表示されます。Panorama をインストールする予定の サーバーに、最新の Panorama 基本イメージ zip ファイルをダウンロードします。 Panorama のインストール Panorama をインストールするには、以下の手順に従ってください。 1. Panorama zip ファイルを解凍し、インストール用の panorama-esx.ovf テンプレート ファイル を見つけます。 2. VMware vSphere Client アプリケーションを起動し、ログイン画面から VMware サーバーに 接続します。 3. [ ファイル ] > [OVF テンプレートからのデプロイ ] の順に選択します。 4. 先ほど解凍した Panorama 基本イメージから panorama-esx.ovf ファイルを参照して選択し、[ 次 へ ] をクリックします。 5. 製品の名前と説明がダウンロード対象のバージョンと一致していることを確認して、[ 次へ ] をクリックします。 6. Panorama イメージの名前を選択して、[ 次へ ] をクリックします。 7. Panorama イメージをインストールするデータストアの場所を選択して、[ 次へ ] をクリックし ます。 8. プロンプトが表示されたら、ディスク フォーマットに [ シック プロビジョニング フォーマッ ト ] を選択して、[ 次へ ] をクリックします。 9. 選択した内容を確認し、[ 終了 ] をクリックして、インストールを開始します。 10. インストールが完了したら、新しくインストールされた Panorama イメージを選択して、[ パ ワー オン ] ボタンをクリックします。 Panorama バーチャル マシンが起動し、インストールが完了すると、コンソールを使用して設定を 開始できます。 290 • Panorama のインストール Palo Alto Networks Panorama ネットワーク インターフェイスの設定 Panorama ネットワーク インターフェイスの設定 Panorama ネットワーク インターフェイスを設定するには、以下の手順を実行します。 1. ユーザー名 admin およびパスワード admin を使用して、CLI にログインします。CLI アクセ スの詳細は、『Command Line Interface Reference Guide ( コマンド ライン インターフェイス リファレンス ガイド )』を参照してください。 2. 現在の IP アドレスを表示します。 show system info 3. CLI の設定モードに切り替えます。 configure 4. 以下のコマンドをすべて 1 行で入力して、ネットワークを設定します。 set deviceconfig system ip-address <Panorama-IP> netmask <netmask> default-gateway <gateway-IP> dns-setting servers primary <DNS-IP> ここで、<Panorama-IP> は IP アドレス、<netmask> はサブネット マスク、<gateway-IP> はネッ トワーク ゲートウェイの IP アドレス、<DNS-IP> は Dmain Name Service (DNS) サーバーの IP アドレスです。 5. 「commit」を入力して変更をアクティブにしてから、 「exit」を入力して設定モードを終了します。 6. デフォルト ゲートウェイまたは別のサーバー (<target-IP>) へのネットワーク接続をテストします。 ping host <target-IP> ゲートウェイとインターネットに ping コマンドが正常に送信できることを確認してください。 注 : デフォルトの ping 送信元が管理インターフェイスであるので、管理イン ターフェイスが接続されているネットワークに別のサーバーが到達可能であ る必要があります。 Palo Alto Networks Panorama のインストール • 291 Panorama への初めてのログイン Panorama への初めてのログイン Panorama に初めてログインするには、以下の手順を実行します。 1. Web ブラウザを起動して、「https://<Panorama IP address>」と入力します。 Palo Alto Networks のログイン ページが自動的に開きます。 2. [Name] と [Password] の両方に「admin」と入力して、[Login] をクリックします。 3. [Panorama] > [Administrators] > [admin] の順に選択します。 4. [Old Password] フィールドに「admin」と入力します。 5. [New Password] フィールドに新規のパスワード ( 大文字小文字を区別、15 文字まで ) を入力 し、[Confirm New Password] フィールドにパスワードを再入力します。 6. [OK] をクリックします。 7. 67 ページの「セキュリティ証明書のインポート、エクスポート、および生成」で説明されて いるように、証明書をインポートまたは生成します。 重要 : 証明書は、ファイアウォールと Panorama の接続に必要です。 8. 304 ページの「管理者のアクセス ドメインの指定」で説明されているように、一元的にデバイ スを管理するには、Panorama に追加する必要があります。 9. 各管理対象デバイスに Panorama サーバーの IP アドレスが設定されていることを確認します (30 ページの「システム セットアップ、設定、およびライセンス管理」を参照 )。 SSL 証明書の作成 ファイアウォールが Panorama と通信できるようにするには、SSL 証明書が必要です。 自己署名 SSL 証明書を作成するか、既存の証明書をインポートして、Panorama に対する管理接続 を暗号化するには、以下の手順を実行します。 1. [Panorama] > [Certificates] の順に選択します。 2. [Generate] をクリックして自己署名証明書を作成するか、[Import] をクリックして既存の証 明書をインポートします。 3. 証明書の詳細を入力し、[OK] をクリックします。 4. [Commit] をクリックして変更内容を有効にします。 292 • Panorama のインストール Palo Alto Networks バーチャル ディスクを使用した Panorama 保存エリアの拡張 バーチャル ディスクを使用した Panorama 保存エリアの 拡張 デフォルトの Panorama インストールでは、すべてのデータ用に 1 つのディスク パーティション がセットアップされます。このパーティションには、ログ保存エリアとして 10 GB が割り当てられ ます。これ以上のログ保存スペースが必要な環境をサポートするために、VMware Server の場合は 最大 950 GB、ESX または ESXi の場合は最大 2 TB のサイズのカスタム バーチャル ディスクを作成 することができます。 注 : RAID を使用して、予備のログ バーチャル ディスクを作成することができます。 RAID 10 は、高いログ特性を持つアプリケーションの最良の書き込みパフォーマン スを実現します。少数の大容量ファイルの順次書き込みを行えるようにドライブを 最適化し、パフォーマンスをさらに向上することもできます。 カスタム バーチャル ディスクを作成するには、以下の手順を実行します。 1. VMware で、Panorama バーチャル マシンを選択します。 2. [ 仮想マシン設定の編集 ] をクリックします。 3. [ 追加 ] をクリックして、[ ハードウェア追加 ] ウィザードを開始します。 4. ハードウェア タイプの一覧から [ ハードディスク ] を選択して、[ 次へ ] をクリックします。 5. [ 新規仮想ディスクを作成 ] オプションを選択して、[ 次へ ] をクリックします。 6. バーチャル ディスク タイプに [SCSI] を選択して、[ 次へ ] をクリックします。 7. [ ロケーション ] フィールドで [ データストアを指定する ] を選択し、 名前とパスを入力するか、 [ 参照 ] ボタンを使用して選択します。 8. [ 終了 ] をクリックします。 新しく追加したディスクが、バーチャル マシンのデバイス一覧に表示されます。 9. Panorama バーチャル マシンを起動します。 Panorama では、新しいディスクを追加した後の最初の起動時に、新しいディスクが初期化さ れ、使用できるようになります。新しく追加したディスクのサイズに応じて、このプロセスに は数分から数時間かかる可能性があります。 システムが新しいディスクを使用して起動されると、デフォルトのディスク上の既存のログはすべ て新しいディスクに移動され、以降のすべてのログ エントリは新しいディスクに書き込まれます。 バーチャル ディスクを削除すると、自動的にデフォルトの 10 GB の内部ディスクにログが戻され ます。 注 : すでにバーチャル ディスクを追加しており、より大きいバーチャル ディスク、 または異なるバーチャル ディスクに置き換えたい場合は、まずインストールした バーチャル ディスクを削除する必要があります。最初のバーチャル ディスクが削除 されると、そのディスク上のログにはアクセスできなくなります。 Palo Alto Networks Panorama のインストール • 293 ストレージ パーティションのセットアップ ストレージ パーティションのセットアップ [Panorama] > [Setup] > [Storage Partition Setup] デフォルトで、Panorama はログ ファイルおよび統計データ用の内部ストレージを保持します。 Panorama デバイスの内部で使用可能なストレージ スペースより多くのスペースを得るために、外 部 NFS データ ストアを設定できます。 Panorama の [Setup] ページにある [Storage Partition Setup] リンクをクリックし、以下の設定を 指定します。 注 : ストレージ パーティション設定の設定後に Panorama サーバーを再起動 する必要があります。 表 129. ストレージ パーティション設定 フィールド 説明 Internal Panorama デバイスのログ ファイルおよび統計データ用の内部ストレージ ス ペースを保持します。 NFS v3 ストレージ用の外部 NFS サーバー マウント ポイントを指定します。以下の 設定を指定します。 • Server — NFS サーバーの完全修飾ドメイン名 (FQDN) または IP アドレス を指定します。 • Log Directory — ログが保存されるディレクトリの完全パス名を指定します。 • Protocol — NFS サーバーとの通信用プロトコルを指定します (UDP または TCP)。 • Port — NFS サーバーとの通信用ポートを指定します。 • Read Size — NFS 読み取り操作の最大サイズ ( バイト ) を指定します ( 範囲 は 256 ~ 32768)。 • Write Size — NFS 書き込み操作の最大サイズ ( バイト ) を指定します ( 範囲 は 256 ~ 32768)。 • Copy On Setup — Panorama デバイスが起動したときに、NFS パーティ ションをマウントし、既存のすべてのログをサーバー上の宛先ディレクトリ にコピーする場合に、このチェック ボックスをオンにします。 • Test Logging Partition — クリックすると、NFS パーティションをマウント し、成功メッセージまたは失敗メッセージを表示するテストが実行されます。 294 • Panorama のインストール Palo Alto Networks HA の設定 HA の設定 [Panorama] > [High Availability] 管理対象ファイアウォールへの同期接続が行えるように 2 つの Panorama デバイスを設定して、 Panorama の HA をサポートすることができます。たとえば、1 つの Panorama デバイスはアク ティブに指定され、もう 1 つのデバイスはパッシブに指定されているとします。アクティブな Panorama デバイスが使用できなくなると、パッシブ サーバーが一時的に引き継ぎます。プリエン プションが有効に設定されている場合に、アクティブ デバイスが再度使用可能になると、パッシ ブ デバイスは制御を放棄し、パッシブ状態に戻ります。 注 : HA は、リリース 4.0、およびそれより後のリリースで実行している管理 対象デバイスに対してのみサポートされます。リリース 3.1、およびそれより前 のリリースとの後方互換はありません。 注 : HA の機能には、2 つの Panorama ライセンスと一意のシリアル番号が必 要です。 Panorama の HA には、ログを目的としたプライマリ デバイスとセカンダリ デバイスの割り当て も含まれます。 Panorama を設定して、プライマリ デバイスおよびセカンダリ デバイスに同じログ用の外部スト レージ機能 (Network File System または NFS オプション ) が使用されるようにしたり、ログを内 部で設定したりすることができます。NFS オプションが有効に設定されていれば、通常の動作中 に、プライマリ デバイスのみが、管理対象ファイアウォールから送信されたログを受け取ります。 ローカル ログが有効に設定されていれば、デフォルトで、ログはプライマリ デバイスとセカンダ リ デバイスに送信されます。 Panorama で HA を有効にするには、以下のように設定します。 表 130. Panorama HA 設定 フィールド 説明 セットアップ Enable HA HA を有効にするには、このチェック ボックスをオンにします。 Peer HA IP Address その他のファイアウォールの [Control Link] セクションに指定されている HA1 インターフェイスの IP アドレスを入力します。 Enable Encryption Panorama のアクティブ デバイスとパッシブ デバイス間の同期リンクの暗号化 を有効にするには、このチェック ボックスをオンにします。 注 : HA の接続は、暗号化が有効にされているときに 28769/tcp と 49160/tcp の ポートを使用し、暗号化が有効になっていない場合に 49960/tcp と 49969/tcp の ポートを使用します。 Monitor Hold Time ( ミリ秒 ) Palo Alto Networks 制御リンク障害に対処するまでにシステムが待機する時間 ( ミリ秒 ) を入力しま す (1000 ~ 60000 ミリ秒、デフォルトは 3000 ミリ秒 )。 Panorama のインストール • 295 HA の設定 表 130. Panorama HA 設定 ( 続き ) フィールド 説明 Election Settings Priority [Primary] または [Secondary] を選択します。 Preemptive Panorama のプライマリ デバイスが障害から回復した後にアクティブな動作を 再開できるようにするには、このチェック ボックスをオンにします。これがオフ に設定されている場合、優先度の高いデバイスが障害から回復した後も、セカン ダリ デバイスがアクティブのまま動作します。 Preemption Hold パッシブ デバイスがアクティブ デバイスとして引き継ぐまでに待機する時間を 入力します ( 範囲は 1 ~ 60 分、デフォルトは 1 分 )。 Time ( 分 ) Promotion Hold Time ( ミリ秒 ) Hello Interval ( ミリ秒 ) Heartbeat Interval ( ミリ秒 ) セカンダリ デバイスが引き継ぐまでに待機する時間を入力します ( 範囲は 0 ~ 60000 ミリ秒、デフォルトは 2000 ミリ秒 )。 hello パケットを送信してもう一方のデバイスが動作していることを確認する間 隔をミリ秒で入力します ( 範囲は 8000 から 60000 ミリ秒、デフォルトは 8000 ミ リ秒 )。 Panorama が ICMP ping を HA ピアに送信する頻度を指定します ( 範囲は 1000 ~ 60000 ミリ秒、デフォルトは 1000 ミリ秒 )。 Monitor Fail Hold Up Time (ms) Panorama が、パス モニターの障害が発生した後に待機する時間を指定します ( デフォルトは 0 ミリ秒 )。この時間を経過すると、Panorama はパッシブ状態に 戻ろうとします。この間、障害が発生してもデバイスはアクティブ デバイスを引 き継ぐことができません。 Additional Master Hold Up Time 優先度の高いデバイスがパッシブ状態を維持する時間を指定します ( デフォルト は 7000 ミリ秒 )。この時間が経過すると、そのデバイスはアクティブ デバイスと して引き継ぎます。 ( ミリ秒 ) Path Monitoring Enabled パスのモニタリングを有効にするには、このチェック ボックスをオンにします。 パスのモニタリングをオンにすると、Panorama は、ICMP ping メッセージを送 信してレスポンスがあることを確認することで、指定した宛先 IP アドレスをモニ ターします。 Failure Condition モニターしているパス グループの一部またはすべてで応答できない場合に フェールオーバーを発生させるかどうかを選択します。 Path Groups 特定の宛先アドレスをモニターする 1 つ以上のパス グループを定義します。パス グループを追加するには、以下を指定して [Add] をクリックします。 • Name — パス グループの名前を指定します。 • Enabled — パス グループを有効にする場合、このチェック ボックスをオンに します。 • Failure Condition — 指定した宛先アドレスの一部またはすべてが応答できな い場合に、エラーを発生させるかどうかを選択します。 • Ping interval — ICMP エコー メッセージによってパスが有効であることを確 認する間隔を指定します ( 範囲は 1000 ~ 60000 ミリ秒、デフォルトは 5000 ミ リ秒 )。 • Destination IPs — モニター対象となる 1 つ以上の宛先アドレスを入力します ( 複数アドレスを指定する場合はコンマ区切りで入力します )。 パス グループを削除するには、グループを選択して [Delete] をクリックします。 296 • Panorama のインストール Palo Alto Networks HA の設定 障害後の HA ピア プロモーション 障害後に HA 設定にログインできるように、NFS への接続時に、Panorama セカンダリ デバイス をプライマリ デバイスにプロモートすることができます。この機能は、NFS に対してのみサポー トされます。NFS ではなく、内部ログを使用する設定の場合は、このセクションのステップ 2 に記 載されている手順の説明に従って、セカンダリからプライマリに切り替えてください。 以下の手順では、アクティブなプライマリ デバイスがサーバー S1 で実行しており、パッシブなセ カンダリ デバイスが S2 で実行していることを想定しています。フェールオーバーが起こり、S2 が アクティブなセカンダリ デバイスになりました。 注 : NFS を使用していない場合は、デフォルトの設定を使用していない場合に 限り、この手順に従う必要があります。デフォルトの設定を使用している場合 は、両方のピアにログが送信されます。 S2 をプライマリ デバイスに変換するには、以下の手順を実行します。 1. S1 をパワーオフします。 2. 以下の手順を実行して、S2 がプライマリ デバイスになるように設定し、その設定をコミット します。 a. [Panorama] > [High Availability] の順に選択します。 b. 選択設定を編集し、[Priority] を [Secondary] から [Primary] に変更します。 c. 変更をコミットし、プロンプトが表示されたら、デバイスを再起動します。この設定は NFS ストレージを参照するため、再起動が必要です。 3. CLI コマンド request high-availability convert-to-primary を実行します。 S1 が S2 への HA ピアとして接続され、NFS ストレージが指定されている場合、convert-toprimary コマンドは失敗します。これは、操作を正常に完了するには、HA ピア (S1) をパワー ダウンする必要があることを示しています。ピアが接続されていない場合、システムは NFS ディスクを動的にマウントし、パーティションの所有権を S2 に変換して、そのパーティショ ンをアンマウントします。 4. S2 を再起動します。 S2 が起動すると、NFS ベースのログ パーティションに書き込めるようになります。 Palo Alto Networks Panorama のインストール • 297 HA の設定 298 • Panorama のインストール Palo Alto Networks 11 19 , 2011 - Palo Alto Networks COMPANY CONFIDENTIAL 第 12 章 Panorama を使用したデバイス中央管理 この章では、Panorama 中央管理システムを使用して複数のファイアウォールを管理する方法を説 明します。 • 次のセクションの「Panorama Web インターフェイスへのアクセス」 • 300 ページの「Panorama インターフェイスの使用」 • 302 ページの「デバイスの追加」 • 304 ページの「管理者のアクセス ドメインの指定」 • 305 ページの「ポリシーの処理」 • 306 ページの「オブジェクトの処理」 • 308 ページの「デバイスの処理」 • 309 ページの「ログおよびレポート」 • 310 ページの「ファイアウォール導入情報の表示」 • 311 ページの「ファイアウォール設定のバックアップ」 • 311 ページの「設定のエクスポートのスケジューリング」 • 312 ページの「Panorama ソフトウェアのアップグレード」 Palo Alto Networks Panorama を使用したデバイス中央管理 • 299 Panorama Web インターフェイスへのアクセス Panorama Web インターフェイスへのアクセス 中央ファイアウォール管理用の Panorama インターフェイスにアクセスするには、以下の手順を実 行して、Panorama サーバー Web インターフェイスにログインします。 1. お使いの Web ブラウザを起動して、「https://<Panorama IP アドレス >」と入力します。 Palo Alto Networks のログイン ページが自動的に開きます。 2. ログイン名とパスワードを入力し、[Login] をクリックします。 Panorama インターフェイスの使用 Panorama では、ネットワーク内の複数のデバイスに関する情報を表示し、中央の Web インター フェイスからデバイスを管理できます。 ネットワーク内の Palo Alto Networks 製ファイアウォールに関する情報を表示するには、デバイ スを Panorama サーバーに接続する必要があります。 デバイスからの接続を可能にするには、以下の手順を実行します。 1. Panorama サーバーの IP アドレスを各デバイスに追加します。30 ページの「管理設定の定義」 を参照してください。 2. Panorama インターフェイスを使用してデバイスを追加します。304 ページの「管理者のアク セス ドメインの指定」を参照してください。 デバイスが Panorama サーバーに接続されていない状態でも Panorama のすべてのタブにアクセ スできますが、デバイスの情報を表示するか、接続されているデバイスのデバイス コンテキスト に切り替えることしかできません。 Panorama のタブの説明を以下の表に示します。 表 131. Panorama のタブの要約 ページ 説明 Dashboard ソフトウェアのバージョン、各インターフェイスの動作ステータス、リソースの使用 状況、脅威ログ、設定ログ、システム ログ内の最新のエントリ (10 件まで ) など、管 理対象デバイスに関する一般的な情報を表示します。使用可能なチャートがデフォル トですべて表示されますが、個々のチャートを必要に応じて追加および削除できます。 ACC 管理対象デバイスのリスク レベルと脅威レベルの概要を表示します。203 ページの 「Application Command Center の使用」および 225 ページの「不明なアプリケーショ ンの識別と対処」を参照してください。 Monitor ログとレポートを表示できます。223 ページの「レポートの表示」を参照してください。 Objects 管理対象ファイアウォール間で共有されるポリシー オブジェクトを定義できます。 309 ページの「ログおよびレポート」を参照してください。 Policies 管理対象ファイアウォール間で共有するポリシーを定義できます。このタブの各ペー ジの使用について詳細は、309 ページの「ログおよびレポート」を参照してください。 Panorama Panorama を設定し、導入されているファイアウォールを管理できます。次のセクショ ンの「[Panorama] タブ」を参照してください。 300 • Panorama を使用したデバイス中央管理 Palo Alto Networks Panorama インターフェイスの使用 [Panorama] タブ [Panorama] タブはファイアウォールの [Devices] タブとほぼ同じですが、設定は Panorama デバ イスに適用され、管理対象ファイアウォールには適用されません。以下の表は、このタブの各ペー ジについて説明します。ページにアクセスするには、サイド メニューにあるページ名リンクをク リックします。 表 132. Panorama のページの要約 ページ 説明 Setup Panorama ホスト名、管理インターフェイスのネットワーク設定、およびネット ワーク サーバー (DNS および NTP) のアドレスを指定できます。30 ページの「管 理設定の定義」を参照してください。 Config Audit 設定ファイルの表示や比較ができます。33 ページの「操作設定の定義」を参照し てください。 Managed Devices Panorama の管理対象デバイスを追加し、管理対象デバイスに共有設定をプッシュ し、デバイスまたはデバイス グループ全体での包括的な設定監査を実行できます。 302 ページの「デバイスの追加」を参照してください。 Device Groups Panorama でオブジェクトを作成して、ポリシーを適用するときに、1 つの単位と して処理するデバイスのセットを定義できます。303 ページの「デバイス グループ の定義」を参照してください。 Admin Roles Panorama にアクセスする必要があるユーザーに割り当てられる権限と役割を定 義します。46 ページの「管理者ロールの定義」を参照してください。 Administrators Panorama にアクセスする必要があるユーザーのアカウントを定義できます。 47 ページの「管理アカウントの作成」を参照してください。 注 : 「super user」の [Administrators] ページでは、アカウントがロックアウト されていると、右列にロック アイコンが表示されます。管理者は、このアイコン をクリックしてアカウントのロックを解除できます。 High Availability Panorama デバイスのペアを設定して、高可用性 (HA) を構成することができま す。295 ページの「HA の設定」を参照してください。 Certificates Web インターフェイスと Panorama のサーバー証明書を管理できます。67 ページ の「セキュリティ証明書のインポート、エクスポート、および生成」を参照して ください。 Response Pages Panorama にアクセスしようとするユーザーのカスタム レスポンス ページを定義 できます。90 ページの「カスタム レスポンス ページの定義」を参照してください。 Log Settings SNMP (Simple Network Management Protocol) トラップ受信装置、syslog サー バー、およびログ メッセージの配布先電子メール アドレスを定義できます。 58 ページの「設定のログ」を参照してください。 Server Profiles Panorama にサービスを提供するサーバーのプロファイルを指定できます。以下 のセクションを参照してください。 • 62 ページの「SNMP トラップの宛先の設定」 • 64 ページの「Syslog サーバーの設定」 • 65 ページの「電子メール通知設定の指定」 • 52 ページの「RADIUS サーバーの設定」 • 53 ページの「LDAP サーバーの設定」 • 54 ページの「Kerberos 設定 の設定 (Active Directory のネイティブ認証 )」 • 66 ページの「Netflow 設定の設定」 Palo Alto Networks Panorama を使用したデバイス中央管理 • 301 デバイスの追加 表 132. Panorama のページの要約 ( 続き ) ページ 説明 Authentication Profile Panorama へのアクセスを認証するプロファイルを指定できます。49 ページの「認 証プロファイル」を参照してください。 Authentication Sequence Panorama へのアクセスに使用する認証プロファイルのセットを指定できます。 54 ページの「認証シーケンス」を参照してください。 Client Certificate Profile Panorama にアクセスするためのクライアント証明書を指定できます。55 ページ の「クライアント証明書プロファイル」を参照してください。 Access Domain 管理対象デバイスのポリシー管理、オブジェクト管理、および編集機能への管理 者アクセスを指定することができます。304 ページの「管理者のアクセス ドメイン の指定」を参照してください。 Scheduled Config Export 管理対象デバイスからアクティブ コンフィグを収集し、それらを毎日 FTP (File Transfer Protocol) サーバーに配信できます。311 ページの「設定のエクスポートの スケジューリング」を参照してください。 Software Panorama ソフトウェアの使用可能なリリースを表示し、選択されたバージョンを ダウンロードおよびインストールできます。312 ページの「Panorama ソフトウェ アのアップグレード」を参照してください。 Dynamic Updates 最新のアプリケーション定義やウイルス対策シグネチャ ( 脅威防御ライセンスが 必要 ) などの新しいセキュリティ上の脅威に関する情報を表示し、新しい定義で Panorama を更新できます。45 ページの「脅威およびアプリケーションの定義の更 新」を参照してください。 Support Palo Alto Networks 社の 製 品 お よ び セキ ュ リ テ ィ 警告 に ア ク セ スで き ま す。 91 ページの「サポート情報の表示」を参照してください。 Deployment 管理対象デバイスの現在のライセンス情報を表示し、デバイス上のソフトウェア、 クライアント、および動的コンテンツをインストールできます。310 ページの 「ファイアウォール導入情報の表示」を参照してください。 デバイスの追加 [Panorama] > [Managed Devices] [Managed Devices] ページでは、中央管理するデバイスの一覧を作成できます。 デバイスが HA ペアの一部である場合、両方のデバイスまたはピアのバーチャル システム ( マル チ VSYS モードの場合 ) を同じデバイス グループに追加する必要があります。また、Panorama は 設定を両方の HA ピア デバイスに同時にプッシュする必要があります。HA 設定内の特定のファ イアウォールにルールをターゲット指定する場合、ターゲットの選択で、必ず両方のファイア ウォールを組み込むようにしてください。 注 : Panorama は同一であるか、以前のリリースを実行しているデバイスを管理 できます。たとえば、Panorama Release 4.0 は Release 3.1 および 4.0 を実行し ているデバイスを管理できますが、Release 4.1 を実行しているデバイスは管理 できません。 302 • Panorama を使用したデバイス中央管理 Palo Alto Networks デバイスの追加 注 : 管理対象デバイスは、TCP ポート 3978 を介した SSL を使用して Panorama と通信します。 デバイスを追加するには、以下の手順を実行します。 1. [Panorama] タブで、[Managed Devices] をクリックして、[Managed Devices] ページを開き ます。 2. デバイスまたはデバイス グループに従ってデバイスをグループ化するには、[Group by] ド ロップダウン リストからデバイスを選択します。 3. [Add/Remove Devices] をクリックして、編集用ウィンドウを開きます。 4. 追加するデバイスのシリアル番号を入力して、[Add] をクリックします。 5. 必要に応じて、デバイスを追加します。 6. [OK] をクリックします。ウィンドウが閉じて [Managed Devices] ページが更新され、新しく 追加したデバイスが表示されます。 7. デバイスを削除するには、以下の手順を実行します。 a. [Add/Remove Devices] をクリックして編集用ウィンドウを開きます。 b. 削除するデバイスのチェック ボックスをオンにして、[Delete] をクリックします。 c. [OK] をクリックします。 デバイス グループの定義 [Panorama] > [Device Groups] デバイス グループは、共有ポリシーおよびオブジェクトの管理に使用します。1 つのグループとし て管理するファイアウォールやバーチャル システムで構成されたデバイス グループを定義できま す。たとえば、会社内の支店または個々の部門で構成されるグループを管理するファイアウォール などで構成します。Panorama でポリシーを適用するときに、各グループは 1 つの単位として処理 されます。 各デバイスは、最大で 1 つのデバイス グループにしか追加できません。Panorama では、バーチャ ル システムは個別のエンティティと見なされるため、デバイス内のバーチャル マシンは異なるデ バイス グループに割り当てることができます。 [Device Groups] ページには、デバイス グループが、以下の表に示されている情報とともに一覧表 示されます。 表 133. デバイス グループ設定 フィールド 説明 Device Group Name グループの識別に使用する名前 ( 最大 31 文字 ) を入力します。名前の大 文字と小文字は区別されます。また、一意の名前にする必要がありま す。文字、数字、スペース、ハイフン、およびアンダースコアのみを使 用してください。 Description グループの説明を入力します。 Palo Alto Networks Panorama を使用したデバイス中央管理 • 303 管理者のアクセス ドメインの指定 表 133. デバイス グループ設定 ( 続き ) フィールド 説明 Devices 使用可能なリストからデバイスを選択し、[Add] をクリックして、選択 リストに移動します。 Master Device マスターとして使用するデバイスを選択します。マスター デバイスは、 Panorama がポリシー内で使用するユーザー ID 情報を収集するファイ アウォールです。収集されたユーザーおよびグループ マッピング情報 はデバイス グループに特有で、グループ内の 1 つのデバイス ( マスター ) のみから収集されます。 管理者のアクセス ドメインの指定 [Panorama] > [Access Domain] デバイス グループおよびデバイスへの管理者アクセスのドメインを指定するには、[Access Domain] ページを使用します。デバイス グループをアクセス ドメインに追加することで、そのデ バイス グループのポリシーおよびオブジェクトを管理できます。個々のファイアウォールをアク セス ドメインに追加することで、そのファイアウォールに応じたデバイス コンテキストに切り替 えることができます。 アクセス ドメインは RADIUS ベンダー固有属性 (VSA) にリンクされており、管理者の認証に RADIUS サーバーが使用されている場合にのみ、使用することができます。RADIUS が使用されて いない場合、このページのアクセス ドメイン設定は無視されます。 表 134. アクセス ドメイン設定 フィールド 説明 Name アクセス ドメインの名前 (最大 31 文字) を入力します。名前の大文字と 小文字は区別されます。また、一意の名前にする必要があります。文字、 数字、ハイフン、およびアンダースコアのみを使用してください。 Device Groups [Add] をクリックし、デバイス グループを指定して、アクセス ドメイ ンに含めます。 Device Context アクセス ドメインに含めるファイアウォールを選択します。デバイス コンテキストへの切り替え、ローカル デバイス ルールの編集を可能に するために、ファイアウォールをこのタブに追加する必要があります。 304 • Panorama を使用したデバイス中央管理 Palo Alto Networks ポリシーの処理 ポリシーの処理 Policies Panorama では、管理対象ファイアウォール間で共有されるポリシーを定義できます。ポリシーの 処理に関する一般的な情報は、143 ページの「Policies」を参照してください。このセクションで は、Panorama のポリシーに適用する変更とベスト プラクティスを説明します。 Panorama のポリシーには、以下のベスト プラクティスが適用されます。 • 事前ルール : 事前ルールは、すべてのデバイス固有ルールの前に評価され、通常、導入の共有 ルールベースの大部分を構成します。デバイス レベルの例外が必要な場合は、事前ルールを何 も加えないでください。 特定のサイトで管理者がすべてのアプリケーションを許可できるようには設定したくない場 合、事前ルール セット内の最後のルールとして、すべてのゾーン、ユーザー、およびアプリ ケーションに拒否ルールを組み込むことができます。 • ファイアウォール固有ルール : 個々のファイアウォールに対してルールを定義し、サイト固有 のポリシーを作成します。 • 事後ルール : これらのルールを使用して、事前ルールおよびファイアウォール固有ルールに含 まれていないトラフィックに何が起こるのかを指定します。たとえば、事前ルールによってい くつかの許可アプリケーションが指定され、事後ルールが「deny all」である場合、その事前 ルールに含まれていないアプリケーションは停止します。その後、ユーザーの要求に基づいて ルールを追加し、アプリケーションを追加で許可することができます。個々の場所で許可され る特定のアプリケーション用の例外として、デバイス レベルで「許可」ルールを作成するこ ともできます。 Panorama でポリシーを定義するときに、以下が適用されます。 • Panorama は、指定されたデバイス グループにポリシーを適用します。これは、ポリシーとオ ブジェクトをバーチャル システムに適用できるファイアウォールでのバーチャル システムの 概念と似ています。1 つのデバイス グループの下にすべてのデバイスを配置する場合を除い て、すべてのデバイスに適用されるグローバル ポリシーの概念はありません。 • ポリシー ルールが定義されるデバイス グループ内の個々のデバイスに、そのルールをター ゲット指定することができます。ポリシーを作成した後にデバイスをターゲット指定するに は、[Target] 列のエントリをクリックして、ポップアップ ウィンドウからデバイスを選択しま す。ターゲット デバイスを除く、デバイス グループ内のすべてのデバイスにルールを適用す るには、[Install on all but specified devices] チェック ボックスを選択します。 図 39. Panorama 内の個々のデバイスに対するポリシー ルールのターゲット指定 Palo Alto Networks Panorama を使用したデバイス中央管理 • 305 オブジェクトの処理 • Panorama ではゾーンは作成されないため、ルールを初めて作成するときに、ゾーン名を手動 で入力する必要があります。2 番目以降のルールでは、新しいゾーンを入力するか、事前に入 力したゾーンを選択できます。 • サイド メニューに一覧で表示されるポリシー タイプごとに、事前ルール (Pre Rules) と事後 ルール (Post Rules) を定義するためのページがあります。 – 事前ルールは、常に、デバイス固有ルールより前に適用されます。 – 事後ルールは、常に、デバイス固有ルールの後に適用されます。 オブジェクトの処理 Panorama では、Panorama で定義されているオブジェクトを共有することができます。Panorama でオブジェクトを作成し、オブジェクト設定を管理対象ファイアウォールにプッシュすることがで きます。オブジェクトは、個々の管理対象ファイアウォールに定義されているポリシー内で使用で きるようになります。 注 : すべてのカスタム オブジェクトには一意の名前が必要ですが、[any] または [default] などの事前に定義されている名前は避ける必要があります。特に、同じオ ブジェクト名を異なるデバイス グループで使用することによって、デバイスおよび Panorama 上で混乱が発生する原因となります。 [Objects] タブのすべてのオブジェクトおよび [Device] タブの一部のオブジェクトを一元的に管 理できます。[Device] タブのオブジェクトは [Panorama] タブの下で管理され、証明書、レスポン ス ページ、サーバー プロファイル (SNMP トラップ、Syslog、電子メール、RADIUS、LDAP、お よび Kerberos)、認証プロファイル、認証シーケンス、およびクライアント証明書プロファイルが 含まれます。これらのオブジェクトには、展開先のどこにオブジェクトを配置するかを選択できる [Location] フィールドがあります ( たとえば、[device-group-test])。以下の表は、[Location] フィー ルドで使用可能なオブジェクトの割り当ておよび共有オプションを説明します。 表 135. オブジェクトの割り当ておよび共有のオプション フィールド 説明 Panorama Panorama では、オブジェクトを管理対象デバイスにプッシュしないで、それ らのオブジェクトをローカルで保持することができます。これを行うには、オ ブジ ェ ク ト を 定義 す る と き に、[Location] ドロ ッ プ ダ ウ ン リ ス ト から [Panorama] を選択します。 このオプションは、[Panorama] タブで、以下に対してのみ使用可能です。 • サーバー プロファイル。例えば、SNMP トラップ、Syslog、電子メール、 RADIUS (Remote Authentication Dial In User Service)、LDAP (Lightweight Directory Access Protocol)、および Kerberos。 • 認証プロファイル、認証シーケンス、およびクライアント証明書プロファイル。 306 • Panorama を使用したデバイス中央管理 Palo Alto Networks オブジェクトの処理 表 135. オブジェクトの割り当ておよび共有のオプション ( 続き ) フィールド 説明 Device Groups デバイス グループを使用して、Panorama に定義されたオブジェクトやポリ シーを、指定したデバイスのセットで使用できるようにします。デバイス グ ループの作成の詳細は、303 ページの「デバイス グループの定義」を参照し てください。 • オブジェクトを定義するときに、[Policies] または [Objects] タブで、[Device Groups] ドロップダウン リストからデバイス グループを選択します。 注 : 1 つは共有されており、もう 1 つはデバイス グループ固有である同じ名 前のオブジェクトがある場合、そのデバイス グループにはデバイス グループ 固有のオブジェクトが使用されます。 • オブジェクトを定義するときに、[Panorama] タブで、[Location] ドロップ ダウン リストからデバイス グループを選択します。 Shared 共有オブジェクトを作成すると、すべてのデバイス グループでそのオブジェ クトを使用できるようになります。Panorama とスーパーユーザーの管理者 だけが共有の場所にオブジェクトを作成できます。 • オブジェクトを定義するときに、[Panorama] タブで、[Location] ドロップ ダウン リストから [Shared] を選択します。 • オブジェクトを定義するときに、[Objects] タブで、[Shared] チェック ボッ クスを選択します。 Palo Alto Networks Panorama を使用したデバイス中央管理 • 307 デバイスの処理 デバイスの処理 コンテキストの切り替えによって、管理者は Panorama 上の共有ポリシーの管理から個々のファイ アウォール上のデバイス固有の設定の管理に切り替えることができます ( デバイス固有のポリ シー、ネットワーキング、およびデバイス セットアップなど )。個々のデバイスや Panorama 全体 を選択するには、サイド メニューの上にある [Context] ドロップダウン リストを使用します。 Panorama に管理対象として追加されたデバイスの名前を選択できます (304 ページの「管理者の アクセス ドメインの指定」を参照 )。デバイスを選択すると、Web インターフェイスが更新され、 すべてのデバイスのタブとオプションが表示されます。これにより、Panorama からデバイスのす べての側面を管理できます。 注 : コンテキストから接続されたデバイスにのみ切り替えることができます。 切断されたデバイスは、ドロップダウン リストには表示されません。 図 40. コンテキストの選択 すべての共有ポリシーをデバイスにコミットするには、[Panorama] > [Managed Devices] の順に 選択し、デバイスの [Commit all] アイコン をクリックします。 • デバイスによって、Panorama との接続が初期化されます。通信リンクが確立すると、ホスト 名と IP アドレスが自動的に一覧に追加されます。接続されているデバイスは [Connected] 列 で確認できます。共有ポリシーはデバイスにプッシュされ、コミットされます。デバイスで現 在動作中の設定はオーバーライドされます。 • 同時に複数のコミット操作を行わなければならない場合がありますが、1 つのデバイス上の 2 つの異なるバーチャル システムに連続してコミットすると、2 番目のコミットは、もう 1 つの コミットが進行中であるため失敗します。 Panorama の下位互換性 Panorama を 4.1 にアップグレードする場合、単純なスタイルの脆弱性対策およびアンチスパイ ウェア プロファイルは、同等の意味のルールに自動的に変換されます。カスタム スタイル プロ ファイルは、シグネチャ固有のアクションを指定する場合を除いてルールを必要とせずに変換され ます。移行後、PAN-OS 4.0 およびそれ以前を実行するデバイスとの互換性が必要な場合、限られ た一連の変更を Panorama の移行済みプロファイルに実行できます。 単純なスタイル プロファイルからの変換時に作成されたルールの場合、移行済みルールのアク ションを改変し、追加の許可の例外を例外リストに追加できます。 カスタム スタイル プロファイ ルが例外ベースのプロファイルに変換された場合、例外リストを自由に改変できますが、ルールは 作成できません。互換性がないプロファイルを使用して管理者がコミットしようとすると、コミッ トは失敗し、[Last Commit All State] 列の [Managed Devices] リストに記載されます。 308 • Panorama を使用したデバイス中央管理 Palo Alto Networks ログおよびレポート ログおよびレポート Panorama のログおよびレポートは、管理対象ネットワーク上のアクティビティに関する情報を提 供します。スケジューリングされ、事前に定義されているカスタム レポートで使用できるように、 15 分ごとに集約された統計が Panorama に 1 時間おきに転送されます。この機能によって、 Panorama が中央ストレージに転送されていないログのレポートを実行できます。 Panorama の [ACC] タブと [Monitor] タブには、現在接続されているファイアウォールの情報が 表示されます。つまり、これらのタブには明示的なログ転送は必要ありません。ログ転送は、長期 ログ保存エリア、およびローカル Panorama レポートに必要です。[ACC] タブでは、すべての表が 情報をファイアウォールから動的にプルします。 ユーザー アクティビティ レポートの生成 [Monitor] > [PDF Reports] > [User Activity Report] Panorama ユーザー アクティビティ レポートとは、すべての管理対象ファイアウォール間のユー ザー アクティビティをまとめたものです。これは、Panorama に転送されたファイアウォール デー タに基づいています。ユーザー アクティビティ レポートの作成についての一般的な情報は、 222 ページの「ユーザー アクティビティ レポートの管理」を参照してください。 包括的なコンフィグレーション監査の実行 [Panorama] > [Config Audit] すべての管理対象デバイスに対して、デバイス上で有効済みのアクティブ コンフィグとデバイス の設定適用前 (Candidate) コンフィグ間の相違に加え、Panorama のアクティブ コンフィグと Panorama の設定変更適用前コンフィグ間の相違を示すレポートを作成できます。 コンフィグレーション監査レポートを作成するには、[Managed Devices] ページを開いて、拡大鏡 アイコンをクリックします ( 図 41 を参照 )。ポップアップ ウィンドウ内の説明に従って、レポート を生成および保存します。 コミットする前に、[Commit All] 列の拡大鏡アイコンをクリックして、指定したデバイスに関す るコミットに含まれるすべての変更を一覧表示しているレポートを入手することができます。 図 41. [Managed Devices] ページの拡大鏡アイコン アイコンをクリックすると、[Diff All] ダイアログ ボックスが開きます。含めるコンテキストの行 数 ( デフォルトは 5) を指定して、[OK] をクリックします。Panorama サーバーでジョブがトリガー され、すべてのターゲット デバイス上にコミットによって生成される相違が算出されます。進捗 バーによって、ダイアログ ボックス内のジョブの状態が示されます。ジョブが完了すると、結果を エクスポートできることを示すプロンプトが表示されます。 Palo Alto Networks Panorama を使用したデバイス中央管理 • 309 ファイアウォール導入情報の表示 ファイアウォール導入情報の表示 [Panorama] > [Deployment] 次の表で説明されているように、[Deployment] ページを開くと、管理対象デバイスの現在の導入 情報が表示され、デバイス上のソフトウェア バージョンを管理することができます。 表 136. Panorama の [Deployment] ページ フィールド 説明 Software 管理対象ファイアウォールへのインストールに使用できるファイアウォール ソフトウェアのバージョンが一覧表示されます。 SSL VPN Client 管理対象ファイアウォールへのインストールに使用できる SSL VPN クライ アント ソフトウェアのバージョンが一覧表示されます。 GlobalProtect Client 管理対象ファイアウォールへのインストールに使用できる GlobalProtect ク ライアント ソフトウェアのバージョンが一覧表示されます。 Dynamic Updates 管理対象ファイアウォールで使用可能な脅威定義およびアプリケーション定 義が一覧表示されます。このページの使用方法の詳細は、45 ページの「脅威 およびアプリケーションの定義の更新」を参照してください。 Licenses 管理対象の各デバイスと、現在のライセンス状態が一覧表示されます。各エン トリは、ライセンスがアクティブ ( アイコン ) または非アクティブ ( アイコン ) のいずれであるかということと、アクティブなライセンスの有効期 限を示します。 このページで、以下のいずれかの機能を実行します。 • リストを更新するには、[Refresh] をクリックします。 • ライセンスを有効にするには、[Activate] をクリックします。有効にする管 理対象デバイスを選択し、そのデバイスに Palo Alto Networks が割り当て た認証コードを入力してください。 [Software]、[SSL VPN]、または [GlobalProtect] ページで、以下の機能のいずれかを実行します。 • [Refresh] をクリックして、Palo Alto Networks から入手可能なソフトウェアの最新バージョ ンを確認します。 • バージョンの変更内容の説明を表示するには、[Release Notes] をクリックします。 • ダウンロード サイトにある新しいバージョンをインストールするには、[Download] をクリッ クします。ダウンロードが完了すると、[Downloaded] 列にチェックマークが表示されます。 ダウンロードしたバージョンをインストールするには、そのバージョンの横にある [Install] を クリックします。 インストール時に、インストールが完了したら再起動するかどうか尋ねられます。インストー ルが完了すると、ファイアウォールの再起動中はログアウトされます。再起動するように選択 した場合、ファイアウォールが再起動します。 • 以前に PC に保存したリリースをインストールまたは有効にするには、[Upload] をクリック します。ソフトウェア パッケージを参照して選択し、[Install from File] または [Activate from File] をクリックします。ドロップダウン リストから選択したファイルを選択し、[OK] をク リックしてイメージをインストールします。 • 古いリリースを削除するには、[Delete] アイコン 310 • Panorama を使用したデバイス中央管理 をクリックします。 Palo Alto Networks ファイアウォール設定のバックアップ ファイアウォール設定のバックアップ [Panorama] > [Setup] Panorama では、管理対象ファイアウォールの設定がコミットされるたびに自動的に保存されま す。Panorama デバイス上に保管するバージョンの数は、[Panorama] タブの [Setup] にある管理設 定を使用して設定できます。デフォルトは 100 です。バージョン番号の設定手順の詳細は、30 ペー ジの「管理設定の定義」を参照してください。 Panorama でバックアップを管理するには、[Panorama] > [Managed Devices] の順に選択して、デ バイスの [Backups] 列にある [Manage] をクリックします。ウィンドウが開き、そのデバイスの保 存およびコミットされた設定が表示されます。[Load] リンクをクリックして候補コンフィグへの バックアップを復元し、目的の変更を行った後、[Commit] をクリックしてロードした設定をデバ イスに復元します。保存された設定を削除するには、 アイコンをクリックします。 設定のエクスポートのスケジューリング [Panorama] > [Scheduled Config Export] Panorama は、それ自体のアクティブ コンフィグだけでなく、すべての管理対象デバイスのアク ティブ コンフィグのバックアップを保存します。[Scheduled Config Export] ページを使用して、 すべての管理対象デバイスからアクティブ コンフィグを収集し、それらを 1 つの gzip ファイルに パッケージ化して、そのパッケージが FTP サーバーに毎日送信されるようにスケジュール設定し ます。ファイルは XML フォーマットで、ファイル名はデバイスのシリアル番号に基づきます。 このページを使用して、管理対象デバイスの設定の収集およびエクスポートのスケジュールをセッ トアップします。 表 137. 設定の一括エクスポートのスケジューリング フィールド 説明 Name 設定の一括エクスポート ジョブを識別する名前を入力します ( 最大 31 文字 )。名前の大文字と小文字は区別されます。また、一意の名前にす る必要があります。文字、数字、ハイフン、およびアンダースコアのみ を使用してください。 Description 任意の説明を入力します。 Enable 設定エクスポート ジョブを有効にするには、このチェック ボックスを オンにします。 Scheduled export start time (daily) エクスポートを開始する時間を指定します (24 時間形式、HH:MM 形式)。 Hostname ファイル転送先 FTP サーバーの IP アドレスまたはホスト名を入力します。 Port ファイル転送先 FTP サーバーのポート番号を入力します。 Passive Mode FTP パッシブ モードを使用するには、このチェック ボックスをオンに します。 Username ターゲット システムのユーザー名を指定します。 Password ターゲット システムのユーザーのパスワードを指定します。 Confirm Password Palo Alto Networks Panorama を使用したデバイス中央管理 • 311 Panorama ソフトウェアのアップグレード Panorama ソフトウェアのアップグレード [Panorama] > [Software] 新しいリリースの Panorama ソフトウェアにアップグレードするには、Palo Alto Networks から入 手可能な最新バージョンを表示し、各バージョンのリリース ノートを読み、ダウンロードおよび インストールするリリースを選択します ( サポート ライセンスが必要です )。 Panorama ソ フ ト ウ ェ ア を ア ッ プ グ レ ー ド す る に は、[Refresh] を ク リ ッ ク し て、Palo Alto Networks から入手可能なソフトウェアの最新リリースを確認します。特定のリリースの変更内容 の説明を表示するには、そのリリースの横にある [Release Notes] をクリックします。 1. 新しいリリースをインストールするには、以下の手順を実行します。 a. インストールするリリースの横にある [Download] をクリックします。ダウンロードが完 了すると、[Downloaded] 列にチェックマークが表示されます。 b. ダウンロードしたバージョンをインストールするには、そのバージョンの横にある [Install] をクリックします。 インストールが完了すると、自動的にログアウトされ、Panorama システムが再起動します。 2. 古いバージョンのソフトウェアを削除するには、対象ソフトウェアの横の ます。 をクリックし 注 : 新しいバージョンのダウンロード領域を増やすためにソフトウェアが削除 されます。これは自動的に行われ、手動で制御できません。 312 • Panorama を使用したデバイス中央管理 Palo Alto Networks 11 19 , 2011 - Palo Alto Networks COMPANY CONFIDENTIAL 第 13 章 WildFire この章では、ファイアウォールを通過するマルウェアの分析とレポートに対して WildFire を使用 する方法を説明します。 • 次のセクションの「WildFire について」 • 314 ページの「WildFire を使用するためのセットアップ」 • 315 ページの「WildFire ポータルの使用操作」 WildFire について WildFire は、悪質な活動が自動的に分析される Palo Alto Networks の安全で、クラウドベースの、 仮想化された環境にユーザーが EXE および DLL ファイルを提出できるようにします。Palo Alto Networks は、ファイルが脆弱な環境で実行され、システム ファイルの改変、セキュリティ機能の 無効化、または検出を回避するさまざまな方法の使用などの多くの特定の悪質な動作や技術を観察 できるようにします。Zipped and compressed HTTP (GZIP) ファイルは検証され、任意の内部 EXE と DLL ファイルを分析用に提出できます。 提出されたファイルの詳細な分析の結果は、WildFire ポータルを通じて入手できます。WildFire ポータルを使用してターゲットのユーザー、使用されたアプリケーション、観察された悪質な動作 を参照できます。結果を確認できるようになったら電子メール通知を送信するように WildFire ポータルを設定することもできます。 Palo Alto Networks WildFire • 313 WildFire を使用するためのセットアップ WildFire を使用するためのセットアップ 以下のタスクを実行して、WildFire を使用するための環境をセットアップします。 1. ファイアウォールで、[Device] > [Setup] ページの WildFire 設定を設定します。314 ページの 「ファイアウォール上の WildFire 設定の設定」を参照してください。 2. ファイアウォールで、ファイル ブロッキング プロファイルを設定して、「forward」または 「continue-and-forward」アクションを含めます。172 ページの「ファイル ブロッキング プロ ファイル」を参照してください。 3. 他のファイル ブロッキング プロファイルに行うように、セキュリティ ポリシーにファイル ブ ロッキング プロファイルを取り込みます。146 ページの「セキュリティ ポリシー」を参照して ください。 4. WildFire ポータルにアクセスし、オプション設定を設定します。315 ページの「WildFire ポー タルの使用操作」を参照してください。 WildFire ポータルにアクセスして、レポートを確認できるようになりました。316 ページの 「WildFire レポートの表示」を参照してください。 ファイアウォール上の WildFire 設定の設定 [Device] > [Setup]> [WildFire] [WildFire] タブを使用して、WildFire サーバーに送信される情報を制御します。 表 138. ファイアウォール上の WildFire 設定 フィールド 説明 一般的な設定 WildFire Server WildFire サーバーの URL を指定します。[default-cloud] 値を指定して、ファ イアウォールが最も近い WildFire サーバーを自動的に探せるようにします。 Maximum File Size (MB) WildFire サーバーに転送される最大ファイル サイズを指定します ( 範囲は 1 ~ 10 MB、デフォルトは 2 MB)。指定したサイズより大きいファイルは送信されま せん。 セッション情報設定 Settings WildFire サーバーに転送する情報を指定します。デフォルトでは、すべてが選 択されています。 • Source IP — 疑わしいファイルを送信した送信元 IP アドレス。 • Source Port — 疑わしいファイルを送信した送信元ポート。 • Destination IP — 疑わしいファイルの宛先 IP アドレス。 • Destination Port — 疑わしいファイルの宛先ポート。 • Vsys — 見込まれるマルウェアを識別したファイアウォール バーチャル シス テム。 • Application — ファイルの送信に使用されたユーザー アプリケーション。 • User — ターゲット対象のユーザー。 • URL — 疑わしいファイルに関連付けられた URL。 • Filename — 送信されたファイルの名前。 314 • WildFire Palo Alto Networks WildFire ポータルの使用操作 WildFire ポータルの使用操作 WildFire ポ ー タ ル に ア ク セ ス す る に は、https://wildfire.paloaltonetworks.com に 進 み、Palo Alto Networks サポート資格情報または WildFire アカウントを使用してログインします。 ポータルは開いてダッシュボードを表示します。ダッシュボードは、特定の WildFire アカウント またはサポート アカウントだけでなく、手動でアップロードされた任意のファイルに関連付けら れたすべてのファイアウォールのサマリー レポート情報を表示します。分析されたファイルの数 が含まれ、マルウェアに感染したファイル数、安全なファイル数、または分析が未解決の状態の ファイル数が示されます。 注 : 手動でファイルをアップロードするには、WildFire ページの右上隅の [Upload File] をクリックします。 図 42. WildFire ダッシュボード Palo Alto Networks WildFire • 315 WildFire ポータルの使用操作 WildFire ポータル上の設定の設定 WildFire ポータルの上部にある [Settings] リンクをクリックして次の設定を設定します。 表 139. WildFire ポータル上の設定 フィールド 説明 Password パスワードを変更するには、以下のフィールドに値を入力します。 • Current Password — 現在のパスワードを入力します。 • New Password/Confirm Password — 新しいパスワードを入力してから、も う一度入力します。 Time Zone ドロップダウン リストからタイム ゾーンを選択します。これは、WildFire が ファイルを受け取ったときを知らせるのに使用されるタイム ゾーンです。 Email Notifications 受け取りたい電子メール通知を選択します。電子メール通知は、現在ログイン している WildFire ユーザーに送信されます。WildFire サーバーに手動でアッ プロードされている各デバイスおよび各ファイルに対して、以下のいずれかの 電子メール通知を選択できます。 • Malware — ファイルがマルウェアであると判別されたときに電子メール通 知が送信されます。 • Both — ファイルがマルウェアまたは安全であると判別されたファイルに対 して電子メール通知が送信されます。 • None — 電子メール通知は送信されません。 WildFire レポートの表示 WildFire ポータルの上部にある [Reports] ボタンをクリックして入手できるレポートのリストを 表示します。ページの上部に検索オプションがあり、ページ付け制御が含まれています。 各レポートを表示にするには、レポート名の左にある アイコンをクリックします。詳細なレ ポートを印刷するには、ブラウザの印刷オプションを使用します。 図 43. WildFire レポート ページ 316 • WildFire Palo Alto Networks 11 19 , 2011 - Palo Alto Networks COMPANY CONFIDENTIAL 付録 A カスタム ページ カスタム レスポンス ページを使用して、エンド ユーザーにポリシー違反や特別なアクセス条件を 通知できます。各ページには、ユーザーの IP アドレスや、アクセスが試行された URL、および URL カテゴリを含めることができます。これらのパラメータは、社内 IT サポート システムへのリ ンクにも使用できます。 この付録には、以下のデフォルトのカスタム レスポンス ページの HTML コードを記載しています。 • 次のセクションの「デフォルトのアンチウイルス レスポンス ページ」 • 319 ページの「デフォルトのアプリケーション ブロック ページ」 • 319 ページの「デフォルトのファイル ブロッキング ブロック ページ」 • 320 ページの「デフォルトの URL フィルタリング レスポンス ページ」 • 321 ページの「デフォルトのスパイウェア対策ダウンロード レスポンス ページ」 • 321 ページの「デフォルトの暗号解除オプトアウト レスポンス ページ」 • 322 ページの「キャプティブ ポータル確認ページ」 • 322 ページの「URL フィルタリングの続行とオーバーライド ページ」 • 323 ページの「SSL VPN ログイン ページ」 • 324 ページの「SSL 証明書無効通知ページ」 注 : カスタム レスポンス ページのインポートとエクスポートの詳細は、 90 ページの「カスタム レスポンス ページの定義」を参照してください。 デフォルトのアンチウイルス レスポンス ページ <html> <head> <meta http-equiv=Content-Type content="text/html; charset=windows-1252"> <meta name=Generator content="Microsoft Word 11 (filtered)"> <title>This is a test</title> <style> <!-/* Font Definitions */ @font-face {font-family:"Microsoft Sans Serif"; Palo Alto Networks カスタム ページ • 317 panose-1:2 11 6 4 2 2 2 2 2 4;} /* Style Definitions */ p.MsoNormal, li.MsoNormal, div.MsoNormal {margin:0in; margin-bottom:.0001pt; font-size:12.0pt; font-family:"Times New Roman";} h4 {margin-top:12.0pt; margin-right:0in; margin-bottom:3.0pt; margin-left:0in; page-break-after:avoid; font-size:14.0pt; font-family:"Times New Roman";} p.SanSerifName, li.SanSerifName, div.SanSerifName {margin:0in; margin-bottom:.0001pt; text-autospace:none; font-size:10.0pt; font-family:"Microsoft Sans Serif"; font-weight:bold;} p.BoldNormal, li.BoldNormal, div.BoldNormal {margin:0in; margin-bottom:.0001pt; font-size:12.0pt; font-family:"Times New Roman"; font-weight:bold;} span.Heading10 {color:black font-weight:bold;} p.SubHeading1, li.SubHeading1, div.SubHeading1 {margin-top:12.0pt; margin-right:0in; margin-bottom:3.0pt; margin-left:0in; page-break-after:avoid; font-size:12.0pt; font-family:"Times New Roman"; font-weight:bold;} @page Section1 {size:8.5in 11.0in; margin:1.0in 1.25in 1.0in 1.25in;} div.Section1 {page:Section1;} --> </style> </head> <body lang=EN-US> <div class=Section1> <p class=MsoNormal>This is a test.</p> </div> </body> </html> 318 • カスタム ページ Palo Alto Networks デフォルトのアプリケーション ブロック ページ <html> <head> <title>Application Blocked</title> <style> #content{border:3px solid#aaa;backgroundcolor:#fff;margin:40;padding:40;font-family:Tahoma,Helvetica,Arial,sansserif;font-size:12px;} h1{font-size:20px;font-weight:bold;color:#196390;} b{font-weight:bold;color:#196390;} </style> </head> <body bgcolor="#e7e8e9"> <div id="content"> <h1>Application Blocked</h1> <p>Access to the application you were trying to use has been blocked in accordance with company policy. Please contact your system administrator if you believe this is in error.</p> <p><b>User:</b> <user/> </p> <p><b>Application:</b> <appname/> </p> </div> </body> </html> デフォルトのファイル ブロッキング ブロック ページ <html> <head> <meta http-equiv=Content-Type content="text/html; charset=windows-1252"> <meta name=Generator content="Microsoft Word 11 (filtered)"> <title>This is a test</title> <style> <!-/* Font Definitions */ @font-face {font-family:"Microsoft Sans Serif"; panose-1:2 11 6 4 2 2 2 2 2 4;} /* Style Definitions */ p.MsoNormal, li.MsoNormal, div.MsoNormal {margin:0in; margin-bottom:.0001pt; font-size:12.0pt; font-family:"Times New Roman";} h4 {margin-top:12.0pt; margin-right:0in; margin-bottom:3.0pt; margin-left:0in; page-break-after:avoid; font-size:14.0pt; font-family:"Times New Roman";} p.SanSerifName, li.SanSerifName, div.SanSerifName {margin:0in; margin-bottom:.0001pt; text-autospace:none; font-size:10.0pt; font-family:"Microsoft Sans Serif"; font-weight:bold;} p.BoldNormal, li.BoldNormal, div.BoldNormal {margin:0in; margin-bottom:.0001pt; font-size:12.0pt; font-family:"Times New Roman"; font-weight:bold;} Palo Alto Networks カスタム ページ • 319 span.Heading10 {color:black font-weight:bold;} p.SubHeading1, li.SubHeading1, div.SubHeading1 {margin-top:12.0pt; margin-right:0in; margin-bottom:3.0pt; margin-left:0in; page-break-after:avoid; font-size:12.0pt; font-family:"Times New Roman"; font-weight:bold;} @page Section1 {size:8.5in 11.0in; margin:1.0in 1.25in 1.0in 1.25in;} div.Section1 {page:Section1;} --> </style> </head> <body lang=EN-US> <div class=Section1> <p class=MsoNormal>This is a test.</p> </div> </body> </html> デフォルトの URL フィルタリング レスポンス ページ <html> <head> <title>Web Page Blocked</title> <style> #content{border:3px solid#aaa;backgroundcolor:#fff;margin:40;padding:40;font-family:Tahoma,Helvetica,Arial,sansserif;font-size:12px;} h1{font-size:20px;font-weight:bold;color:#196390;} b{font-weight:bold;color:#196390;} </style> </head> <body bgcolor="#e7e8e9"> <div id="content"> <h1>Web Page Blocked</h1> <p>Access to the web page you were trying to visit has been blocked in accordance with company policy. Please contact your system administrator if you believe this is in error.</p> <p><b>User:</b> <user/> </p> <p><b>URL:</b> <url/> </p> <p><b>Category:</b> <category/> </p> </div> </body> </html> 320 • カスタム ページ Palo Alto Networks デフォルトのスパイウェア対策ダウンロード レスポンス ページ <application-type> <category> <entry name="networking" id="1"> <subcategory> <entry name="remote-access" id="1"/> <entry name="proxy" id="2"/> <entry name="encrypted-tunnel" id="3"/> <entry name="routing" id="4"/> <entry name="infrastructure" id="5"/> <entry name="ip-protocol" id="6"/> </subcategory> </entry> <entry name="collaboration" id="2"> <subcategory> <entry name="email" id="7"/> <entry name="instant-messaging" id="8"/> <entry name="social-networking" id="9"/> <entry name="internet-conferencing" id="10"/> <entry name="voip-video" id="11"/> </subcategory> </entry> <entry name="media" id="3"> <subcategory> <entry name="video" id="12"/> <entry name="gaming" id="13"/> <entry name="audio-streaming" id="14"/> </subcategory> </entry> <entry name="business-systems" id="4"> <subcategory> <entry name="auth-service" id="15"/> <entry name="database"id="16"/> <entry name="erp-crm" id="17"/> <entry name="general-business" id="18"/> <entry name="management" id="19"/> <entry name="office-programs" id="20"/> <entry name="software-update" id="21"/> <entry name="storage-backup" id="22"/> </subcategory> </entry> <entry name="general-internet" id="5"> <subcategory> <entry name="file-sharing" id="23"/> <entry name="internet-utility" id="24"/> </subcategory> </entry> </category> <technology> <entry name="network-protocol" id="1"/> <entry name="client-server" id="2"/> <entry name="peer-to-peer" id="3"/> <entry name="web-browser" id="4"/> </technology> </application-type> デフォルトの暗号解除オプトアウト レスポンス ページ <h1>SSL Inspection</h1> <p>In accordance with company security policy, the SSL encrypted connection you have initiated will be temporarily unencrypted so that it can be inspected for viruses, spyware, and other malware.</p> <p>After the connection is inspected it will be re-encrypted and sent to its destination. No data will be stored or made available for other purposes.</p> <p><b>IP:</b> <url/> </p> <p><b>Category:</b> <category/> </p> Palo Alto Networks カスタム ページ • 321 キャプティブ ポータル確認ページ <h1 ALIGN=CENTER>Captive Portal</h1> <h2 ALIGN=LEFT>In accordance with company security policy, you have to authenticate before accessing the network.</h2> <pan_form/> URL フィルタリングの続行とオーバーライド ページ <html> <head> <title>Web Page Blocked</title> <style> #content{border:3px solid#aaa;backgroundcolor:#fff;margin:40;padding:40;font-family:Tahoma,Helvetica,Arial,sansserif;font-size:12px;} h1{font-size:20px;font-weight:bold;color:#196390;} b{font-weight:bold;color:#196390;} form td, form input { font-size: 11px; font-weight: bold; } #formtable { height: 100%; width: 100%; } #formtd { vertical-align: middle; } #formdiv { margin-left: auto; margin-right: auto; } </style> <script type="text/javascript"> function pwdCheck() { if(document.getElementById("pwd")) { document.getElementById("continueText").innerHTML = "If you require access to this page, have an administrator enter the override password here:"; } } </script> </head> <body bgcolor="#e7e8e9"> <div id="content"> <h1>Web Page Blocked</h1> <p>Access to the web page you were trying to visit has been blocked in accordance with company policy. Please contact your system administrator if you believe this is in error.</p> <p><b>User:</b> <user/> </p> <p><b>URL:</b> <url/> </p> <p><b>Category:</b> <category/> </p> <hr> <p id="continueText">If you feel this page has been incorrectly blocked, you may click Continue to proceed to the page. However, this action will be logged.</p> <div id="formdiv"> <pan_form/> </div> <a href="#" onclick="history.back();return false;">Return to previous page</ a> </div> </body> </html> 322 • カスタム ページ Palo Alto Networks SSL VPN ログイン ページ <HTML> <HEAD> <TITLE>Palo Alto Networks — SSL VPN</TITLE> <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"> <link rel="stylesheet" type="text/css" href="/styles/ falcon_content.css?v=@@version"> <style> td { font-family: Verdana, Arial, Helvetica, sans-serif; font-weight: bold; color: black; /*#FFFFFF; */ } .msg { background-color: #ffff99; border-width: 2px; border-color: #ff0000; border-style: solid; padding-left: 20px; padding-right: 20px; max-height: 150px; height: expression( this.scrollHeight > 150 ? "150px" : "auto" ); /* sets max-height for IE */ overflow: auto; } .alert {font-weight: bold;color: red;} </style> </HEAD> <BODY bgcolor="#F2F6FA"> <table style="background-color: white; width:100%; height:45px; borderbottom: 2px solid #888888;"> <tr style="background-image:url(/images/logo_pan_158.gif); background-repeat: no-repeat"> <td align="left"> </td> </tr> </table> <div align="center"> <h1>Palo Alto Networks — SSL VPN Portal</h1> </div> <div id="formdiv"> <pan_form/> </div> </BODY> </HTML> Palo Alto Networks カスタム ページ • 323 SSL 証明書無効通知ページ <META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1"> <html> <head> <title>Certificate Error</title> <style> #content{border:3px solid#aaa;backgroundcolor:#fff;margin:40;padding:40;font-family:Tahoma,Helvetica,Arial,sansserif;font-size:12px;} h1{font-size:20px;font-weight:bold;color:#196390;} b{font-weight:bold;color:#196390;} </style> </head> <body bgcolor="#e7e8e9"> <div id="content"> <h1>Certificate Error</h1> <p>There is an issue with the SSL certificate of the server you are trying to contact.</p> <p><b>Certificate Name:</b> <certname/> </p> <p><b>IP:</b> <url/> </p> <p><b>Issuer:</b> <issuer/> </p> <p><b>Status:</b> <status/> </p> <p><b>Reason:</b> <reason/> </p> </div> </body> </html> 324 • カスタム ページ Palo Alto Networks 11 19 , 2011 - Palo Alto Networks COMPANY CONFIDENTIAL 付録 B アプリケーションのカテゴリ、サブカテゴ リ、テクノロジ、特性 この付録では、Palo Alto Networks で定義されているアプリケーション関連のカテゴリの一覧を示 します。 • 次のセクションの「アプリケーションのカテゴリとサブカテゴリ」 • 327 ページの「アプリケーション テクノロジ」 • 327 ページの「アプリケーション特性」 アプリケーションのカテゴリとサブカテゴリ 以下のアプリケーション カテゴリとサブカテゴリがサポートされています。 • business-system – auth-service – database – erp-crm – general-business – infrastructure – management – office-program – software-update – storage-backup • collaboration – email – instant-messaging – internet-conferencing Palo Alto Networks アプリケーションのカテゴリ、サブカテゴリ、テクノロジ、特性 • 325 アプリケーションのカテゴリとサブカテゴリ – internet-utility – social-networking – voip-video – web-posting • general-internet – email – file-sharing – internet-utility • media – audio-streaming – gaming – photo-video • networking – audio-streaming – encrypted-tunnel – infrastructure – ip-protocol – proxy – remote-access – routing • unknown 326 • アプリケーションのカテゴリ、サブカテゴリ、テクノロジ、特性 Palo Alto Networks アプリケーション テクノロジ アプリケーション テクノロジ 以下のアプリケーション テクノロジがサポートされています。 表 140. アプリケーション テクノロジ 項目 説明 network-protocol 一般に、システム間の通信に使用され、ネットワーク操作を容易にする アプリケーション。大部分の IP プロトコルが含まれます。 client-server 1 つ以上のクライアントがネットワーク上のサーバーと通信するクラ イアント / サーバー モデルを使用したアプリケーション。 peer-to-peer 通信の簡素化を図るため、中央のサーバーを介することなく他のクライ アントと直接やり取りして情報を交換するアプリケーション。 browser-based Web ブラウザに依存して機能するアプリケーション。 アプリケーション特性 以下のアプリケーション特性がサポートされています。 表 141. アプリケーション特性 項目 説明 Transfers Files ネットワークを介してシステム間でファイルを転送できること。 Evasive ファイアウォールを通り抜けるために、ポートやプロトコルを本来の用 途とは異なる目的に使用すること。 Excessive Bandwidth 通常の使用において 1 Mbps 以上の帯域幅を定常的に消費すること。 Used by Malware アプリケーションがマルウェアに感染した状態で配布されること (マル ウェアは、アプリケーションを利用して、伝播、拡散、攻撃、データの 不正入手を行うことが知られている )。 Vulnerability 一般に公表されている脆弱性があること。 Prone to Misuse 不正な目的に使用されることが多いこと。また、ユーザーの意図を超え て攻撃されるように容易に設定できてしまうこと。 Widely Used ユーザーが 100 万人を超える可能性があること。 Tunnels Other Applications 他のアプリケーションを自分のプロトコル内で転送できること。 Continue Scanning for Other Applications 他のアプリケーション シグネチャが一致するかどうかを継続的に確認 するようにファイアウォールに指示すること。このオプションをオフ にすると、最初に一致したシグネチャが報告され、それ以降、一致する アプリケーションが存在するかどうか確認しなくなります。 Palo Alto Networks アプリケーションのカテゴリ、サブカテゴリ、テクノロジ、特性 • 327 アプリケーション特性 328 • アプリケーションのカテゴリ、サブカテゴリ、テクノロジ、特性 Palo Alto Networks 11 19 , 2011 - Palo Alto Networks COMPANY CONFIDENTIAL 付録 C FIPS140-2 のサポート ファイアウォールを、米国連邦政府の各機関と受託業者が使用する連邦情報処理標準 140-2 (FIPS 140-2) をサポートするように設定できます。 FIPS をサポートするバージョンのソフトウェアで FIPS モードを有効にするには、ファイアウォー ルを管理モードで起動し、メイン メニューから [Set FIPS Mode] を選択します。 管理モードでの起動手順は、 『PAN-OS Command Line Interface Reference Guide (PAN-OS コマン ド ライン インターフェイス リファレンス ガイド )』を参照してください。 FIPS が有効になると、次の要件が適用されます。 • ファイアウォールにログインするには、ブラウザに TLS 1.0 との互換性が必要です。 • ファイアウォールのすべてのパスワードは、6 文字以上で指定する必要があります。 • ログイン試行の失敗回数が [Device] > [Setup] > [Management] ページで設定された回数を超 えると、アカウントがロックされます。ファイアウォールが FIPS モードではない場合はロッ クアウトされないように設定できますが、FIPS モードではロックアウト時間を設定する必要 があります。 • ファイアウォールは適切な自己テストレベルを自動的に判断し、暗号化アルゴリズムと暗号ス イートに適切なレベルの強度を適用します。 • FIPS で承認されていないアルゴリズムは復号化されないため、復号化で無視されます。 • IPSec の設定時に、通常使用可能な暗号スイートの一部を使用できます。 • 自己生成証明書およびインポートされた証明書には、2048 ビット以上の公開鍵が含まれてい る必要があります。 • SSH 鍵に基づいた認証は、2048 ビット以上の RSA 公開鍵を使用する必要があります。 • シリアル ポートは無効になります。 • Telnet、TFTP、および HTTP 管理接続は使用できません。 • サーフ制御はサポートされません。 • 高可用性 (HA) 暗号化が必要です。 • PAP 認証は無効になります。 • Kerberos サポートは、無効になっています。 Palo Alto Networks FIPS140-2 のサポート • 329 330 • FIPS140-2 のサポート Palo Alto Networks 11 19 , 2011 - Palo Alto Networks COMPANY CONFIDENTIAL 付録 D オープン ソース ライセンス この製品に含まれているソフトウェアには、GNU General Public License の下で著作権保護された ソフトウェアが含まれています。GPL はこの文書に含まれています。該当するソース コードはす べて、この製品の最終出荷後の 3 年間は米国から入手できます。その際、現金または小切手で 5 ド ルを下記宛にご送金ください。 Palo Alto Networks Open Source Request 232 E. Java Drive Sunnyvale, CA この製品の一部のコンポーネントは、この付録に記載された以下の 1 つ以上のオープン ソース ラ イセンス契約の対象となります。 • 332 ページの「アーティスティック ライセンス」 • 333 ページの「BSD」 • 334 ページの「GNU General Public License」 • 338 ページの「GNU Lesser General Public License」 • 344 ページの「MIT/X11」 • 345 ページの「OpenSSH」 • 348 ページの「PSF」 • 348 ページの「PHP」 • 349 ページの「Zlib」 Palo Alto Networks オープン ソース ライセンス • 331 アーティスティック ライセンス アーティスティック ライセンス この契約書は、Larry Wall 氏が Perl v4.0 に同梱している「Artistic License」を流用したものです。 こ の 契 約 書 は、Alec David Edward Muffett 氏 が 著 作 権 を 所 有 す る「Crack」(Unix Password Cracker) および「CrackLib」(Unix Password Checking Library) を対象とし、 「パッケージ」( 以下 の定義を参照 ) の複製を許可する条件を記載しています。この条件の下、著作権所有者はパッケー ジ開発のアーティスティック面での制御をある程度維持しながら、パッケージを通常の方法で利用 して配布する権利および妥当な改変を加える権利をパッケージのユーザーに付与するものです。 定義 : 「パッケージ」とは、著作権所有者によって配布されたファイルの集合およびそれらのファイルの テキストを改変することによって生成された派生物またはその派生物の一部を指します。 「標準版」 とは、改変されていないか著作権所有者の意向に従って改変されたパッケージを指します。 「著作権所有者」とは、パッケージの著作権表示に明記されているすべての人を指します。 「あなた」とは、このパッケージを複製または配布しようと考えているあなた自身のことです。 「適正な複製料金」とは、配布用メディアの費用、複製作業費、作業者が費やした時間などに基づ いた妥当と思われる料金のことです (あなたは複製料金の正当性を著作権所有者に確認する必要は ありません。料金を負担する市場の一般のコンピュータ利用者が妥当と思える料金とします )。 「自由に利用できる」とは、著作物の取り扱い手数料がかかる可能性はあるが、その著作物自体に 対して料金を請求されないという意味です。また、その著作物の受領者が受領時と同じ条件のもと でそれを再配布してよいという意味でもあります。 1. このパッケージの標準版のソースは、原文どおり複製し、何らの制限なく他者に配布できます。 ただし、配布に際しては、原本の著作権表示と免責条項をすべてそのまま記載する必要があります。 2. あなたは、パブリック ドメインまたは著作権所有者から提供されるバグ修正、移植性のための 修正、およびその他の修正を適用できます。このようにして修正されたパッケージは標準版とみな されます。 3. これ以外の方法でもこのパッケージを改変できます。ただし、その場合は、変更した各ファイ ルに、変更法、変更日時、および変更の理由を明記した上で、以下のうちの少なくとも 1 つを実施 する必要があります。 a) 改変内容をパブリック ドメインに置くか、その他の方法で自由に利用できるようにする。具体 的には、Usenet またはそれと同等の媒体に改変内容を投稿する、uunet.uu.net 等の主要なアーカ イブ サイトに改変内容を置く、著作権所有者がパッケージの標準版に改変内容を含めることを認 めるなどの方法がある。 b) 改変したパッケージを所属する会社または組織でのみ使用する。 c) 標準版でない実行ファイルの名前は標準版の実行ファイルの名前と重複しないように改変し (標 準版の実行ファイルもパッケージに含めること )、標準版との相違点を明記したマニュアルを標準 版でない各実行ファイルに個別に添付する。 d) 著作権所有者と配布に関する別の取り決めをする。 4. このパッケージのプログラムは、オブジェクト コードまたは実行ファイル形式で配布すること もできます。ただし、その場合は、次のうち少なくとも 1 つを実施する必要があります。 a)「標準版」の実行ファイルとライブラリ ファイルに標準版の入手方法 ( マニュアル ページかそれ と同等のもの ) を添付して配布する。 b) 改変を加えたパッケージの機械で解読可能なソースを添付する。 c) 標準版でない実行ファイルに標準版の実行ファイルを添付し、標準版でない実行ファイルに標準 版と異なる名前を付け、マニュアル ページ ( またはそれと同等のもの ) に標準版との相違点、およ び標準版の入手手順を明確に記載する。 332 • オープン ソース ライセンス Palo Alto Networks BSD d) 著作権所有者と配布に関する別の取り決めをする。 5. このパッケージを配布するときは、妥当な複製料金を請求できます。 また、このパッケージの サポート料として適切と思われる料金を請求できます。パッケージ自体の料金は請求しないでく ださい。 ただし、このパッケージを自分の製品として公示しないかぎり、大規模な ( 商用の ) ソフ トウェア パッケージの一部として他の ( 商用の ) プログラムと組みあわせて配布することを許可し ます。 6. このソフトウェアから派生した製品を保証または宣伝するために、事前の書面による承諾なし に著作権所有者の名前を使用することを禁止します。 7. このパッケージは「現状のまま」で提供されるものであり、明示または黙示を問わず、商品性 および特定の目的に対する適合性の暗黙の保証を含む、一切の保証を行いません。 BSD このソフトウェアは、以下の著作権所有者により BSD ライセンスの下で提供されています。 • Julian Steward • Thai Open Source Software Center Ltd • The Regents of the University of California • Nick Mathewson • Niels Provos • Dug Song • Todd C. Miller • University of Cambridge • Sony Computer Science Laboratories Inc. 改変するかしないかを問わず、ソース形式およびバイナリ形式での再配布と使用を許可します。た だし、以下の条件を満たしている必要があります。 1. ソース コードを再配布する場合は、上記の著作権表示、この条件リスト、および以下の免責条 項をそのまま含めてください。 2. バイナリ形式で再配布する場合は、上記の著作権表示、この条件リスト、および以下の免責条項 を同梱のドキュメントまたはその他の資料を再作成してください。 3. このソフトウェアから派生した製品を保証または宣伝するために、事前の書面による承諾なしに 作者の名前を使用することを禁止します。 このソフトウェアは「現状のまま」で提供されるものであり、明示または黙示を問わず、商品性お よび特定の目的に対する適合性の暗黙の保証を含む、一切の保証を行いません。 Palo Alto Networks オープン ソース ライセンス • 333 GNU General Public License GNU General Public License バージョン 2、1991 年 6 月 Copyright (C) 1989, 1991 Free Software Foundation, Inc. 51 Franklin Street, Fifth Floor, Boston, MA 02110-1301, USA この利用許諾契約書を、 一字一句そのまま複製し配布することを許可する。ただし、改変は認めない。 はじめに ソフトウェア向けライセンスの大半は、あなたが自由にソフトウェアを共有および変更できないよ うにするために作成されています。対照的に、GNU General Public License は、フリー ソフトウェ アを共有および変更できることを保証しています。つまり、ソフトウェアをすべてのユーザーに公 開することを目的としています。この一般公衆利用許諾契約書は、ほとんどのフリー ソフトウェア 財団のソフトウェアに適用されます。また、この契約書の使用を決定した作者によるその他のすべ てのプログラムにも適用されます ( フリー ソフトウェア財団のソフトウェアの中には、代わりに GNU Lesser General Public License が適用されるものもあります )。あなたも、自身のプログラム にこの契約書を適用できます。 フリー ソフトウェア財団がフリー ソフトウェアに言及する際は、価格ではなく使用の自由のこと を指しています。各種一般公衆利用許諾契約書は、フリー ソフトウェアの複製を配布する ( および 必要に応じてその種のサービスの対価を要求する ) 自由があること、ソース コードを受け取る、ま たは必要に応じて入手できること、ソフトウェアを変更し、その一部を新しいフリー プログラム に使用できること、および以上の権利について知ることを保証するものです。 あなたの権利を保護するために、他者があなたの権利を否定したり、あなたに権利を放棄するよう 要求したりしないように、制限を設ける必要があります。この制限により、ソフトウェアを配布ま たは改変する場合、あなたに一定の責任が生じます。 たとえば、このようなプログラムを配布する場合、有償無償に関わらず、所有するすべての権利を 受領者に付与しなければなりません。また、受領者がソース コードを受け取ること、または必要に 応じて後で入手できることを保証しなければなりません。さらに、この契約書の条項を示して、受 領者の権利を認識させる必要があります。 フリー ソフトウェア財団では、次の 2 段階であなたの権利を保護します。(1) ソフトウェアを著作 権で保護し、(2) ソフトウェアを複製、配布、および / または改変することを法的に許可するこの 利用許諾契約書を提示します。 また、それぞれの作者やフリー ソフトウェア財団を保護するため、我々は、GPL のもとで配布さ れるフリー ソフトウェアには一切の保証がないことをすべての利用者にご理解いただく必要があ ります。ソフトウェアが他者によって改変され、配布された場合、他者の改変によって発生した問 題によって原作者の評判が傷つくことを考慮し、その受領者は入手したソフトウェアがオリジナル バージョンではないことを認識する必要があります。 最後に、フリー プログラムにとって常に脅威となるのがソフトウェア特許です。フリー ソフト ウェア財団では、フリー プログラムの再配布者が個々に特許ライセンスを取得し、結果として、プ ログラムの独占権を確保してしまう危険性を回避したいと考えています。このような事態を回避 するため、いかなる特許もすべての人が自由に使用することを許可するか、またはまったく使用を 許可しないかのいずれかでなければならないと明言しています。 以下に、複製、配布、および改変についての厳密な利用条件を示します。 複製、配布、改変に関する利用条件 0. この利用許諾契約は、この一般公衆利用契約書の定める条件に従って配布でき旨の通知が著作権 者によって記載されたプログラムまたは他の著作物に適用されます。以下で「プログラム」と表記 した場合は、そのようなプログラムまたは著作物を指し、また「プログラムを基にした著作物」と 334 • オープン ソース ライセンス Palo Alto Networks GNU General Public License は、著作権法が規定するプログラムまたは派生物全般を意味します。つまり、プログラムまたはそ の一部をそのまま、または改変を加えて、あるいは、他の言語に翻訳された形で含む著作物を意味 します ( 以下では、翻訳も例外ではなく「改変」の一種とします )。各契約者を「あなた」と表記し ます。 複製、配布、および改変以外の行為はこの契約書の範疇ではないため、この契約書では保護されま せん。プログラムを実行するという行為に制限はありません。また、このようなプログラムの出力 結果は、その内容がプログラムを基にした著作物の設定要素となる場合にのみこの契約書によって 保護されます ( プログラムの実行によるものかどうかとは無関係です )。これが当てはまるかどう かは、プログラムの機能に依存します。 1. あなたは、適切な著作権表示および保証の免責条項をそれぞれの複製に目立つように適切に記載 し、この契約書および保証の不在に言及した通知をすべて残し、この契約書の複製をプログラムと 共に他のプログラム受領者に配布する限り、プログラムのソース コードの複製を受領したとおり の形で、あらゆる媒体で複製および配布することができます。 あなたは、複製物を譲渡するという物理的行為に対して対価要求し、任意で対価と引き換えに保護 を保証することができます。 2. あなたはプログラムの複製かその一部を改変してプログラムを基にした著作物を作成し、それら の改変物または著作物を上記第 1 条の条件の下で複製または配布することができます。ただし、そ のためには以下の条件をすべて満たしている必要があります。 a) 改変したファイルには、ファイルを変更したこと、および変更した日時を明示しなければな らない。 b) プログラムまたはその一部を完全または部分的に含む、あるいはそこから派生した、配布ま たは出版する著作物全体をこの契約書の条件に従って使用することをいかなる第三者に対しても 無償で許可しなければならない。 c) 改変されたプログラムが通常、実行時にインタラクティブにコマンドを読み取る場合は、その ようなインタラクティブな使用のためにプログラムが最も一般的な方法で起動された際、適切な著 作権表示、一切の保証がない旨 ( あるいは、あなたが保証を提供しない旨 ) およびユーザーがそれ らの条件の下でプログラムを再配布できる旨の通知、本ライセンスの複製の表示方法に関する通知 などの表示が印刷または表示されるようにしなければならない ( 例外として、プログラム自体がイ ンタラクティブであっても通常はそのような通知を印刷しない場合は、プログラムに基づく著作物 は通知を印刷する必要はありません )。 これらの要件は、改変された著作物全体に適用されます。著作物の一部がプログラムの派生物では ないと確認でき、それら自体が独立した別個の著作物であると合理的に判断できる場合は、あなた がそれらを別個の著作物とし配布する限り、それらの部分にこの契約書およびその条件は適用され ません。ただし、同じ部分をプログラムを基にした著作物全体の一部として配布する場合、著作物 全体の配布については、この契約書の条件に従わなければならなりません。本契約者に与える許可 は、プログラム全体におよび個々の部分すべてに及び、誰が作成したかは関係ありません。 したがって、この条項の目的は、あなたが作成した著作物に対して権利を主張したり、あなたの権 利に異議を申し立てることではなく、プログラムを基にした派生物または集合著作物の配布を管理 する権利を行使することです。 また、プログラムを基にしていない他の著作物とプログラム ( またはプログラムを基にした著作物 ) を単に寄せ集めて 1 つの記憶装置または配布媒体に収めても、他の著作物はこの契約書の保護の対 象にはなりません。 3. あなたは、上記第 1 条および 第 2 条の条件に従ってプログラム ( または第 2 条に従った、そのプ ログラムに基づく著作物 ) をオブジェクト コードまたは実行形式で複製または配布することがで きます。ただし、以下のいずれかを実施することを条件とします。 a) それらの形式に完全に対応した機械で解読可能なソース コードを添付し、上記第 1 条および 第 2 条の条件に従い、ソフトウェアの交換で習慣的に使用される媒体で配布する。 Palo Alto Networks オープン ソース ライセンス • 335 GNU General Public License b) 少なくとも 3 年間は有効な書面による申し出を添付して、物理的な配布に要するコストを上 回らない対価と引き換えに、機械で解読可能な、対応ソース コードの複製を任意の第三者に提供 し、上記第 1 条および第 2 条の条件に従い、ソフトウェアの交換で習慣的に使用される媒体で配布 する旨を明記する。 c) 対応するソース コード配布の申し出について受け取った情報を添付する ( この代替案が認め られるのは、非商業的な配布の場合、およびそのような申し出と共に上記 b 項に従ってオブジェク ト コードまたは実行形式でプログラムを受け取った場合だけです )。 著作物のソース コードとは、改変を加えるのに適した作物の形式を意味します。実行ファイルの場 合、完全なソース コードとは、実行ファイルに含まれるすべてのモジュールのソース コードに加 え、関連するすべてのインターフェイス定義ファイル、および実行ファイルのコンパイルとインス トールの制御に使用するスクリプトを意味します。ただし、特別な例外として、コンポーネント自 体に実行ファイルが付属しない場合、実行ファイルが実行されるオペレーティング システムの主 要なコンポーネント ( コンパイラやカーネルなど ) と共に ( ソースまたはバイナリ形式のいずれか で ) 通常配布されるものを、配布するソース コードの中に含める必要はありません。 実行ファイルまたはオブジェクト コードの配布が、指定された場所から複製するための手段を提 供することによって行われる場合、ソース コードを同じ場所から複製するための同等の手段が提 供されていれば、オブジェクト コードと一緒にソース コードが強制的に複製されなくても、ソー ス コードの配布とみなします。 4. この契約書に明示的に記載されている方法以外で、プログラムを複製、改変、サブライセンス、 または配布することはできません。他の方法でプログラムを複製、改変、サブライセンス、または 配布しようとするいかなる行為も無効であり、そのような試みを実行した場合、この契約書におけ る権利は自動的に失効します。ただし、この契約書の下で複製物または権利を受領した第三者に関 しては、この契約書に完全に従う限り、そのライセンスが失効することはありません。 5. あなたはこの契約書に署名していないため、この契約書を受諾する必要はありません。ただし、 プログラムまたはその派生著作物の改変または配布を許可するものは他にありません この契約書 を受諾しない場合、これらの行為は法律によって禁止されます。このため、プログラム ( またはプ ログラムを基にした任意の著作物 ) を改変または配布することによって、その行為を行うためにこ の契約書を受諾したこと、およびプログラムまたはプログラムを基にした著作物の複製、配布、ま たは改変に関するすべての利用条件を受諾したことを示すものとします。 6. あなたがプログラム ( またはプログラムを基にした任意の著作物 ) を再配布するたびに、受領者 は、最初のライセンサーからこの契約書に定める条件に従ってプログラムを複製、配布、または改 変するライセンスを自動的に受領するものとします 受領者がここで認められた権利を行使する場 合に、これ以上のいかなる制限も加えることはできません。あなたには、第三者がこの契約書に従 うことを強制する責任はありません。 7. 裁判所の判決または特許侵害の申し立ての結果として、あるいはその他の理由 ( 特許問題に限ら ない ) から、この契約書と矛盾する条件が ( 裁判所の命令、契約などによって ) 課せられた場合、そ れらの制約はこの契約書の条件を免除するものではありません。この契約書における義務とその 他の関連する義務を同時に満たす形で配布できない場合は、結果としてプログラムを配布すること はできません。たとえば、ある特許ライセンスで、あなたから直接または間接的に複製を受け取っ た受領者がプログラムを無償で再配布することを許可されていない場合、その特許ライセンスとこ の契約書の両方の条件を満たすには、プログラムの配布を完全に中止するしかありません。 この条項の一部が特定の状況の下で無効または実行不可能な場合にも、この条項の残りの部分は適 用されることを前提としており、その他の状況ではこの条項すべてが適用されることを前提として います。 特許権やその他の所有権を侵害したり、そのような権利の主張の有効性に対して異議を助長するこ とがこの条項の目的ではありません。この条項の唯一の目的は、公衆利用許諾の慣行によって行わ れているフリー ソフトウェア配布システムの統合性を守ることです。多くの人がこのシステムの 336 • オープン ソース ライセンス Palo Alto Networks GNU General Public License 首尾一貫した適用を信頼して、このシステムを通じて配布されるさまざまなソフトウェアに惜しみ ない貢献を果たしてきました。他のシステムを通じてソフトウェアを配布するかどうかを決めるの は作者または寄与者であり、契約者はその選択を強要できません。 この条項は、本契約書のこの条項以外の部分から導出されると考えられることを完全に明らかにす ることを目的としています。 8. 特定の国々において、プログラムの配布や使用が特許または著作権のあるインターフェイスに よって制限されている場合、プログラムにこの契約書を適用した最初の著作権者は、それらの国々 を除外した明示的な地理的配布制限を加え、除外されていない国々の国内やそれらの国々の間での み配布が許可されるようにすることができます。そのような場合は、その制限をこの契約書の本文 に記載されているものとして本契約書に加えます。 9. フリー ソフトウェア財団では、その時々に、改訂バージョンまたは新バージョンの一般公衆利 用許諾契約書を発行することができます。そのような新バージョンの方針は現在のバージョンと 同様ですが、新たな問題や懸案に対応するために細部では異なる場合があります。 それぞれのバージョンには、識別のためのバージョン番号が振られています。プログラムに、その プログラムで適用されるこの契約書のバージョン番号が指定され、さらに「以降の任意のバージョ ン」という記載がある場合、指定されたバージョン、またはフリー ソフトウェア財団によって発 行された以降のバージョンのどの利用条件に従うかを選択できます。プログラムにこの契約書の バージョン番号が指定されていない場合、これまでにフリー ソフトウェア財団によって発行され た任意のバージョンを選択できます。 10. 配布条件がこの契約書と異なる他のフリー プログラムにプログラムの一部を組み込む場合は、 作者に書面で許可を求めてください。フリー ソフトウェア財団が著作権を保有するソフトウェア に関しては、フリー ソフトウェア財団に書面でご連絡ください。このような場合には例外を認め ることがあります。フリー ソフトウェア財団では、当財団のフリー ソフトウェアの派生物すべて を自由な状態に保つこと、およびソフトウェアの共有と再使用を広く促進すること、という 2 つの 目標を指針として判断します。 保証の不在 11. プログラムは無償で使用が許可されるため、適用される法律の範囲において、プログラムに関 するいかなる保証も存在しません。書面で明記されていないかぎり、著作権者またはその他の関係 者 ( あるいはその両方 ) は、プログラムを「現状のまま」提供するものとし、明示または黙示を問 わず、商用品として通常備えるべき品質を備えているとの保証も、特定の目的に適合するとの保証 も含めて、何の保証もしません。プログラムの品質と性能に関するリスクは、すべてあなたに帰属 します。万一プログラムに欠陥があることが判明した場合、あなたは必要なすべての保守点検、修 復、または修正に要する費用を負担するものとします。 12. 上記で許可されているとおりにプログラムを改変または再配布 ( あるいはその両方 ) できる著 作権者またはその他の関係者は、プログラムの使用またはプログラムを使用できないことによって 生じる一般的、特別、偶発的、必然的な損害を含むあらゆる損害 ( データの消失、データの不正確 な処理、あなたまたは第三者が受けた損失、プログラムが他のソフトウェアで動作しない、などを 含むがこれに限定されるものではない ) が起こる可能性について知らされていたとしても、そのよ うな損害に関して、適用される法律によって命じられるか、書面での合意を得ない限り、いかなる 場合もあなたに対して責任を負いません。 Palo Alto Networks オープン ソース ライセンス • 337 GNU Lesser General Public License GNU Lesser General Public License バージョン 2.1、1999 年 2 月 Copyright (C) 1991, 1999 Free Software Foundation, Inc. 51 Franklin Street, Fifth Floor, Boston, MA 02110-1301, USA この利用許諾契約書を、 一字一句そのまま複製し配布することを許可する。ただし、改変は認めない。 [ これは劣等 GPL の最初の公開版です。 劣等 GPL は、GNU ライブラリ公衆利用許諾契約書 バー ジョン 2 の後継バージョンとみなされるため、バージョン番号は 2.1 となっています。] はじめに ソフトウェア向けライセンスの大半は、あなたが自由にソフトウェアを共有および変更できないよ うにするために作成されています。対照的に、GNU General Public License は、フリー ソフトウェ アを共有および変更できることを保証しています。つまり、ソフトウェアをすべてのユーザーに公 開することを目的としています。 劣等一般公衆利用許諾契約書は、フリー ソフトウェア財団およびこの契約書の使用を決定したそ の他の作者の特定のソフトウェア パッケージ ( 通常はライブラリ ) に適用されます。この利用許諾 契約書を使用することもできますが、この利用許諾契約書または通常の一般公衆利用許諾契約書の どちらを使用する方が戦略上より優れているか、以下の説明に基づいてまず十分考察することをお 勧めします。 フリー ソフトウェア財団がフリー ソフトウェアに言及する際は、価格ではなく使用の自由のこと を指しています。各種一般公衆利用許諾契約書は、フリー ソフトウェアの複製を配布する ( および 必要に応じてこのサービスの対価を要求する ) 自由があること、ソース コードを受け取る、または 必要に応じて入手できること、ソフトウェアを変更し、その一部を新しいフリー プログラムに使 用できること、および以上の権利について知ることを保証するものです。 あなたの権利を守るために、代理店があなたの権利を否定したり、これらの権利を放棄するよう要 求したりしないように、制限を設ける必要があります。これらの制限により、ライブラリの複製を 配布または改変する場合、あなたに一定の責任が生じます。 たとえば、ライブラリの複製を配布する場合、有償無償に関わらず、あなたが与えられた権利をす べて受領者に与えなければなりません。また、受領者がソース コードを受け取ること、または必要 に応じて後で入手できることを保証しなければなりません。ライブラリと他のコードをリンクす る場合は、受領者がライブラリの変更および再コンパイル後にライブラリとそれらのコードを再リ ンクできるように、完全なオブジェクト ファイルを提供しなければなりません。さらに、この契約 書の条項を示して、受領者の権利を認識させる必要があります。 フリー ソフトウェア財団では、次の 2 段階であなたの権利を保護します。(1) ライブラリを著作権 で保護し、(2) ライブラリを複製、配布、および / または変更することを法的に許可するこの利用 許諾契約書を提示します。 また、各配布者を保護するために、フリー ライブラリには一切の保証がないことをご理解いただ きたいと思います。ライブラリが他者によって改変され、配布された場合、他者の改変によって発 生した問題によって原作者の評判が傷つくことを考慮し、その受領者は入手したソフトウェアがオ リジナル バージョンではないことを認識する必要があります。 最後に、フリー プログラムの存続にとって常に脅威となっているのがソフトウェア特許です。フ リー ソフトウェア財団では、企業が特許権保有者から限定的なライセンスを取得したことで、フ リー プログラムのユーザーが事実上制限を受けることがないよう保証したいと考えています。し たがって、どのバージョンのライブラリ用に取得した特許ライセンスも、この利用許諾契約書に明 記されているとおり、完全な使用の自由を認めていなければならないことを主張します。 338 • オープン ソース ライセンス Palo Alto Networks GNU Lesser General Public License いくつかのライブラリを含め、GNU ソフトウェアのほとんどは、通常の GNU General Public License によって保護されています。GNU Lesser General Public License は、特定のライブラリに 適用されるものであり、通常の一般公衆利用許諾書とは大きく異なります。我々は、特定のライブ ラリとフリーではないプログラムとのリンクを許可するために、特定のライブラリに対してこの利 用許諾契約書を適用します。 ライブラリをプログラムとリンクする場合、静的にリンクするか共有ライブラリとして使用するか に関わらず、両者を結合したものは法的に結合著作物、つまり元のライブラリの派生物となりま す。通常の一般公衆利用許諾書では、結合物全体が一般公衆利用許諾書の規定する自由の基準に適 合する場合に限り、このようなリンクを許可しています。劣等一般公衆利用許諾書では、ライブラ リを他のコードとリンクする場合に、より緩やかな基準を設けています。 この利用許諾契約書を「劣等」一般公衆利用許諾契約書と呼ぶのは、ユーザーの自由を保護すると いう点で、通常の一般公衆利用許諾契約書よりも「劣る」ためです。また、この利用許諾契約書は、 フリーでないプログラムと競合する上で、他のフリー ソフトウェア開発者にそれほどの優位性を 与えるものではありません。こういった不利な点があるために、多くのライブラリには通常の一般 公衆利用許諾契約書が適用されます。ただし、特定の状況下では、劣等利用許諾契約書を適用した 方が有利な場合もあります。 たとえば、特定のライブラリをデファクト スタンダードとして確立するために、できるだけ広範 な使用を促進するという特別な必要性が生じることがまれにあります。このような必要性を満た すには、フリーでないプログラムにライブラリの使用を許可しなければなりません。よくある事例 として、フリーなライブラリが、広く使われているフリーでないライブラリと同じ機能を備えてい るという場合があります。このような場合、フリー ライブラリをフリー ソフトウェアでの使用の みに限定しても得られる利益はほとんどないため、劣等一般公衆利用許諾契約書を適用します。 また、フリーでないプログラムで特定のライブラリを使用できるようにすることで、より多くの人 が多数のフリー ソフトウェアを使用できるようになる場合があります。たとえば、フリーでないプ ログラムでの GNU C ライブラリの使用を許可することによって、より多くの人が GNU オペレー ティング システム全体およびその変形である GNU/Linux オペレーティング システムを使用でき ます。 劣等一般公衆利用許諾書は、ユーザーの自由を保護するという点では劣りますが、ライブラリとリ ンクされているプログラムのユーザーが、改変されたバージョンのライブラリを使用してそのプロ グラムを実行する自由および必要な手段を保証します。 以下に、複製、配布、および改変についての厳密な利用条件を示します。「ライブラリを基にした 著作物」と「ライブラリを使用する著作物」の違いに十分注意してください。前者はライブラリの コードを含んいますが、後者はライブラリと結合して実行する必要があります。 複製、配布、改変に関する利用条件 0. この利用許諾契約書は、この劣等一般公衆利用許諾書 ( 以下「この契約書」) の定める条件に従っ て配布できる旨の通知が、著作権者または他の正当な権利を保有する団体によって記載されたすべ てのソフトウェア ライブラリまたは他のプログラムに適用されます。各契約者を「あなた」と表記 します。 「ライブラリ」とは、ソフトウェア関数やデータの集まりを意味し、( ライブラリに含まれる関数や データの一部を使用する ) アプリケーション プログラムと適切にリンクして実行ファイルを形成 するように作成されたものです。 以下で「ライブラリ」と表記した場合は、この契約書の条件に従って配布されたソフトウェア ラ イブラリまたは著作物全般を意味します。「ライブラリを基にした著作物」とは、ライブラリまた は著作権法が規定する派生物全般を意味します。つまり、ライブラリまたはその一部をそのまま、 または改変を加えて、あるいは、他の言語に直接翻訳された形で含む著作物を意味します ( 以下で は、翻訳も例外ではなく「改変」の一種とします )。 Palo Alto Networks オープン ソース ライセンス • 339 GNU Lesser General Public License 著作物の「ソース コード」とは、改変を加えるのに適した著作物の形式を意味します。ライブラリ の場合、完全なソース コードとは、ライブラリに含まれるすべてのモジュールのソース コードに 加え、関連するすべてのインターフェイス定義ファイル、およびライブラリのコンパイルとインス トールの制御に使用するスクリプトを意味します。 複製、配布、および改変以外の行為はこの契約書の範疇ではないため、この契約書では保護されま せん。ライブラリを使用してプログラムを実行するという行為に制限はありません。また、このよ うなプログラムの出力結果は、その内容がライブラリを基にした著作物の設定要素となる場合にの み、この契約書によって保護されます ( プログラムを記述するためのツールでのライブラリの使用 は無関係です )。これが当てはまるかどうかは、ライブラリの機能およびライブラリを使用するプ ログラムの機能に依存します。 1. あなたは、適切な著作権表示および保証の免責条項をそれぞれの複製に目立つように適切に記載 し、本契約書および保証の不在に言及した通知をすべて残し、本契約書の複製をライブラリと共に 配布する限り、ライブラリの完全なソース コードの複製を受領したとおりの形で、あらゆる媒体 で複製および配布することができます。 あなたは、複製物を譲渡するという物理的行為に対して対価要求し、任意で対価と引き換えに保護 を保証することができます。 2. あなたは、ライブラリの複製またはその一部を改変してライブラリを基にした著作物を作成し、 それらの改変物または著作物を上記第 1 条の条件の下に複製または配布することができます。ただ し、そのためには次の条件をすべて満たしている必要があります。 *a) 改変された著作物自体がソフトウェア ライブラリでなければならない。 *b) 改変したファイルには、ファイルを変更したこと、および変更した日時を明示しなければな らない。 *c) いかなる第三者に対しても、著作物全体をこの契約書の条件に従って使用することを無償で 許可しなければならない。 *d) 改変されたライブラリの機能が、その機能を使用するアプリケーション プログラムによって 提供される関数またはデータのテーブルを参照する場合 (機能が実行されるときに引数として渡さ れる場合を除く )、アプリケーションがそのような関数やテーブルを提供しない場合にも機能が動 作し、その機能が果たす目的のどの部分も失われないことを保証するよう誠実に努力しなければな らない。 ( たとえば、ライブラリに平方根を計算する関数が含まれる場合、その関数にはアプリケーショ ンから完全に独立した明確な目的があります。このため、2d 項では、この関数が使用するすべて のアプリケーション提供の関数またはテーブルは、任意でなければならないと規定しています。 アプリケーションの提供がない場合にも、平方根機能を使用して平方根を計算できなければなり ません )。 これらの要件は、改変された著作物全体に適用されます。著作物の一部がライブラリの派生物では ないと確認でき、それ自体独立した別個の著作物であると合理的に判断できる場合は、あなたがそ れらを別個の著作物として配布する限り、それらの部分にこの契約書およびその条件は適用されま せん。ただし、同じ部分をライブラリを基にした著作物全体の一部として配布する場合、著作物全 体の配布についてはこの契約書の条件に従わなければなりません。この契約書が他の契約者に与え る許可は、ライブラリ全体および個々の部分すべてに及び、誰が作成したかは関係ありません。 このように、この条項の目的は、あなたが作成した著作物に対して権利を主張したり、あなたの権 利に異議を唱えることではなく、ライブラリを基にした派生物または集合著作物の配布を管理する 権利を行使することです。 また、ライブラリを基にしていない他の著作物とライブラリ ( またはライブラリを基にした著作物 ) を単に寄せ集めて 1 つの記憶装置または配布媒体に収めても、他の著作物は本契約書の保護の対象 にはなりません。 340 • オープン ソース ライセンス Palo Alto Networks GNU Lesser General Public License 3. ライブラリの任意の複製物に対して、本契約書の代わりに通常の GNU General Public License の 条件を適用することもできます。そのためには、この契約書について言及しているすべての通知 を、本契約書ではなく通常の GNU 一 般公衆利用許諾契約書バージョン 2 に変更しなければなり ません (通常の GNU General Public License のバージョン 2 よりも新しいバージョンが公開されて いる場合は、必要に応じてそのバージョンを指定することができます )。これらの通知には、これ 以外のいかなる変更も加えてはいけません。 ある複製物にこの変更が加えられた場合、その複製物に関しては変更を取り消すことができませ ん。そのため、その副生物からその後作成された複製物と派生著作物のすべてには、通常の GNU General Public License が適用されます。 この方法は、ライブラリのコードの一部をライブラリでないプログラムに複製する場合に有用です。 4. あなたは、上記第 1 条および第 2 条の条件に従ってライブラリ ( あるいは第 2 条におけるその一 部、または派生物 ) をオブジェクト コードまたは実行形式で複製および配布することができます。 ただし、それらの形式に完全に対応した機械で解読可能なソース コードを添付し、上記第 1 条お よび第 2 条の条件に従い、ソフトウェアの交換で習慣的に使用される媒体で配布しなければなりま せん。 オブジェクト コードの配布が、指定された場所から複製するための手段を提供することによって 行われる場合、ソース コードを同じ場所から複製するための同等の手段が提供されていれば、オ ブジェクト コードと一緒にソース コードが強制的に複製されなくても、ソース コードの配布要件 を満たすものとします。 5. ライブラリのどの部分の派生物も含まず、ライブラリにコンパイルまたはリンクすることによっ てライブラリと共に動作するように設計されたプログラムは、「ライブラリを使用する著作物」と 呼ばれます。このような著作物は、単独ではライブラリの派生著作物ではないため、この契約書の 対象外になります。 ただし、 「ライブラリを使用する著作物」をライブラリにリンクして実行ファイルを作成すると、 「ライブラリを使用する著作物」ではなく、ライブラリの派生物となります ( ライブラリの一部を 含んでいるため )。そのため、この実行ファイルはこの契約書のによって保護されます。第 6 条で は、このような実行ファイルの配布条件を述べています。 「ライブラリを利用する著作物」が、ライブラリの一部であるヘッダー ファイルのコードを使用す る場合、ソース コードがライブラリの派生物でない場合でも、その著作物のオブジェクト コード はライブラリの派生著作物になる可能性があります。これが当てはまるかどうかは、著作物がライ ブラリなしでリンク可能な場合、または著作物自体がライブラリである場合に特に重要です。これ を適用する基準は、法律によって厳密には定義されていません。 このようなオブジェクト ファイルにおいて、数値パラメータ、データ構造のレイアウトとアクセッ サ、および小さなマクロとインライン関数 ( 長さが 10 行以下 ) しか使用されない場合、そのオブ ジェクト ファイルの使用は、法的に派生著作物であるかどうかに関わらず、制限されません ( こう したオブジェクト コードの他にライブラリの一部を含む実行ファイルは、第 6 条によって規定さ れます )。 また、著作物がライブラリの派生物である場合、第 6 条の条件に従ってその著作物のオブジェクト コードを配布できます。その著作物を含むいかなる実行ファイルも、直接ライブラリ自体とリンク しているかどうかに関わらず、第 6 条の条件によって規定されます。 6. 上記の各条項の例外として、「ライブラリを使用した著作物」をライブラリと結合またはリンク して、ライブラリの一部を含む著作物を作成し、あなたが選択した条件に従って配布することもで きます。ただし、その条件では、ユーザーの私用目的による著作物の改変、および改変をデバッグ するためのリバース エンジニアリングを許可する必要があります。 Palo Alto Networks オープン ソース ライセンス • 341 GNU Lesser General Public License その著作物の各複製物には、その著作物にライブラリが使用されていること、およびライブラリと その使用がこの契約書によって保護されていることを明示し、この契約書の複製を提供しなけれ ばなりません。著作物の実行中に著作権表示を表示する場合は、この契約書の複製の参照先を示す だけでなく、ライブラリの著作権表示も含めなければなりません。以下のいずれか 1 つを実施しな ければなりません。 *a) 著作物には、すべての改変点 ( 上記第 1 条および第 2 条の条件に従って配布しなければなら ない ) を含み、ライブラリに対応する機械で解読可能なソース コードをすべて添付する。著作物が ライブラリとリンクされた実行ファイルである場合は、ユーザーがライブラリを改変後に再リンク して、改変されたライブラリを含む改変された実行ファイルを作成できるように、機械で解読可能 な「ライブラリを使用する著作物」すべてをオブジェクト コードまたはソー ス コード ( あるいは その両方 ) として添付する ( ライブラリ内の定義ファイルの内容を改変したユーザーは、必ずしも アプリケーションを再コンパイルして改変された定義を使用できるとは限らない )。 *b) ライブラリとのリンクに適切な共有ライブラリ機構を使用する。適切な機構とは、(1) ライブ ラリの関数を実行ファイルに複製するのではなく、実行時にユーザーのコンピュータ システムに すでに存在しているライブラリの複製を使用し、(2) ユーザーがライブラリの改変版をインストー ルした場合に、その改変版と著作物が作成されたときの版にインターフェイス上の互換性がある限 り、ライブラリの改変版で適切に動作するものである . *c) 著作物には、少なくとも 3 年間は有効な書面による申し出を添付し、配布に要するコストを 上回らない対価と引き換えに、上記 6a 項で指定されているものを著作物の受領ユーザーに提供す る旨を明記する。 *d) 著作物の配布が指定された場所から複製するための手段を提供することによって行われる場 合は、上記で指定されているものを同じ場所から複製するための同等の手段を提供する。 *e) ユーザーが上記で指定されているものの複製をすでに受領したこと、またはユーザーにすで に送付したことを確認する。 実行ファイルの場合、「ライブラリを使用する著作物」を配布する際の形式には、実行ファイルの 再生成に必要なデータおよびユーティリティ プログラムがすべて含まれていなければなりませ ん。ただし、特別な例外として、コンポーネント自体に実行ファイルが付属しない場合、実行ファ イルが実行されるオペレーティング システムの主要なコンポーネント ( コンパイラやカーネルな ど ) と共に ( ソースまたはバイナリ形式のいずれかで ) 通常配布されるものを、配布物の中に含め る必要はありません。 この要件は、通常オペレーティング システムに付属しないその他の専有ライブラリのライセンス の制限と矛盾する場合があります。そのような矛盾が生じた場合、配布する実行ファイルの中で、 それらの専有ライブラリとライブラリを一緒に使用できないことを意味します。 7. ライブラリを基にした著作物であるライブラリの機能を、この契約書で保護されていない他のラ イブラリの機能と一緒に 1 つのライブラリの中で並存させ、そのような結合されたライブラリを配 布することができます。ただし、その場合はライブラリを基にした著作物とその他のライブラリの 機能を別個に配布することも許可し、次の 2 つのことを行わなければなりません。 * a) 結合されたライブラリに、他のどのライブラリの機能にも結合していない、ライブラリを基に した同じ著作物の複製を添付する。これは、上記の各条項の条件に従って配布しなければならない。 * b) 結合されたライブラリに、その一部がライブラリを基にした著作物であるという事実の通 知、および付随している著作物の結合されていない形式を入手する方法を明示する。 8. この契約書に明示的に記述されている方法以外で、ライブラリを複製、改変、サブライセンス、 リンク、または配布することはできません。他の方法でライブラリの複製、改変、サブライセンス、 リンク、または配布しようとするいかなる試みも無効であり、そのような試みを実行した場合、こ の契約書における権利を自動的に失います。ただし、この契約書の下で複製物または権利を受領し た第三者に関しては、この契約書に完全に従う限り、そのライセンスが失効することはありません。 342 • オープン ソース ライセンス Palo Alto Networks GNU Lesser General Public License 9. あなたはこの契約書に署名していないため、この契約書を受諾する必要はありません。ただし、 ライブラリまたはその派生著作物の改変または配布を許可するものは他にありません。この契約 書を受諾しない場合、これらの行為は法律によって禁止されます。このため、ライブラリ ( または ライブラリを基にした任意の著作物 ) を改変または配布することによって、その行為を行うために この契約書を受諾したこと、およびライブラリまたはライブラリを基にした著作物の複製、配布、 または改変に関するすべての利用条件を受諾したことを示すものとします。 10. あなたがライブラリ ( またはライブラリを基にした任意の著作物 ) を再配布するたびに、受領者 は、最初のライセンサーから本契約書に定める条件に従ってライブラリを複製、配布、リンク、ま たは改変するライセンスを自動的に受領するものとします。受領者がここで認められた権利を行 使する場合に、これ以上のいかなる制限も加えることはできません。あなたには、第三者がこの契 約書に従うことを強制する責任はありません。 11. 裁判所の判決または特許侵害の申し立ての結果として、あるいはその他の理由 ( 特許問題に限 らない ) から、この契約書と矛盾する条件が ( 裁判所の命令、契約などによって ) 課せられた場合、 それらの制約はこの契約書の条件を免除するものではありません。この契約書における義務とそ の他の関連する義務を同時に満たす形で配布できない場合は、結果としてライブラリを配布するこ とはできません。たとえば、ある特許ライセンスで、あなたから直接または間接的に複製を受け 取った受領者がライブラリを無償で再配布することを許可されていない場合、その特許ライセンス と本契約書の両方の条件を満たすには、ライブラリの配布を完全に中止するしかありません。 この条項の一部が特定の状況の下で無効または実行不可能な場合にも、この条項の残りの部分は適 用されることを前提としており、その他の状況ではこの条項すべてが適用されることを前提として います。 特許権やその他の所有権を侵害したり、そのような権利の主張の有効性に対して異議を助長するこ とがこの条項の目的ではありません。この条項の唯一の目的は、公衆利用許諾の慣行によって行わ れているフリー ソフトウェア配布システムの統合性を守ることです 多くの人がこのシステムの首 尾一貫した適用を信頼して、このシステムを通じて配布されるさまざまなソフトウェアに惜しみな い貢献を果たしてきました。他のシステムを通じてソフトウェアを配布するかどうかを決めるのは 作者または寄与者であり、契約者はその選択を強要できません。 この条項は、本契約書のこの条項以外の部分から導出されると考えられることを完全に明らかにす ることを目的としています。 12. 特定の国々において、ライブラリの配布や使用が特許または著作権のあるインターフェイスに よって制限されている場合、ライブラリにこの契約書を適用した最初の著作権者は、それらの国々 を除外した明示的な地理的配布制限を加え、除外されていない国々の国内やそれらの国々の間での み配布が許可されるようにすることができます。そのような場合は、その制限をこの契約書の本文 に記載されているものとして本契約書に加えます。 13. フリー ソフトウェア財団では、その時々に、改訂バージョンまたは新バージョンの劣等一般公 衆利用許諾契約書を発行することができます。そのような新バージョンの方針は現在のバージョ ンと同様ですが、新たな問題や懸案に対応するために細部では異なる場合があります。 それぞれのバージョンには、識別のためのバージョン番号が振られています。ライブラリに、その ライブラリで適用されるこの契約書のバージョン番号が指定され、さらに「以降の任意のバージョ ン」という記載がある場合、指定されたバージョン、またはフリー ソフトウェア財団によって発 行された以降のバージョンのどの利用条件に従うかを選択できます。ライブラリに契約書のバー ジョン番号が指定されていない場合、これまでにフリー ソフトウェア財団によって発行された任 意のバージョンを選択することができます。 14. 配布条件がこの契約書と適合しない他のフリー プログラムにライブラリの一部を組み込む場 合は、作者に書面で許可を求めてください。フリー ソフトウェア財団が著作権を保有するソフト ウェアに関しては、フリー ソフトウェア財団に書面でご連絡ください。このような場合には例外 Palo Alto Networks オープン ソース ライセンス • 343 MIT/X11 を認めることがあります。フリー ソフトウェア財団では、当財団のフリー ソフトウェアの派生物 すべてを自由な状態に保つこと、およびソフトウェアの共有と再使用を広く促進すること、という 2 つの目標を指針として判断します。 保証の不在 15. ライブラリは無償で使用が許可されるため、適用される法律の範囲において、ライブラリに関 するいかなる保証も存在しません。書面で明記されていないかぎり、著作権者またはその他の関係 者 ( あるいはその両方 ) は、ライブラリを「現状のまま」提供するものとし、明示または黙示を問 わず、商用品として通常備えるべき品質を備えているとの保証も、特定の目的に適合するとの保証 も含めて、何の保証もしません。ライブラリの品質と性能に伴うリスクは、すべてはあなたに帰属 します。万一ライブラリに欠陥があることが判明した場合、あなたは必要なすべての保守点検、修 復、または修正に要する費用を負担するものとします。 16. 上記で許可されているとおりにライブラリを改変または再配布 ( あるいはその両方 ) できる著 作権者またはその他の関係者は、ライブラリの使用またはライブラリを使用できないことによって 生じる一般的、特別、偶発的、必然的な損害を含むあらゆる損害 ( データの消失、データの不正確 な処理、あなたまたは第三者が受けた損失、ライブラリが他のソフトウェアで動作しない、などを 含むがこれに限定されるものではない ) が起こる可能性について知らされていたとしても、そのよ うな損害に関して、適用される法律によって命じられるか、書面での合意を得ない限り、いかなる 場合もあなたに対して責任を負いません。 MIT/X11 Copyright © 2001-2002 Daniel Veillard. All Rights Reserved. Copyright © 2001-2002 Thomas Broyer, Charlie Bozeman and Daniel Veillard. All Rights Reserved. Copyright © 1998 Bjorn Reese and Daniel Stenberg. Copyright © 2000 Gary Pennington and Daniel Veillard. Copyright © 2001 Bjorn Reese <breese@users.sourceforge.net> Copyright © 2001, 2002, 2003 Python Software Foundation Copyright © 2004-2008 Paramjit Oberoi <param.cs.wisc.edu> Copyright © 2007 Tim Lauridsen <tla@rasmil.dk> このソフトウェアおよびその関連マニュアル ファイル ( 以下「ソフトウェア」と呼ぶ ) の複製を入 手したユーザーは、ソフトウェアの複製の使用、改変、合成、出版、配布、サブライセンス、販売 の権利を含め、ソフトウェアを制限なく扱うこと、および次の制約に従ってソフトウェアの供給の 対象者にそのような行為を許可することを無償で認められます。 ソフトウェアのすべての複製または重要部分に上記の著作権表示およびこの利用許諾契約文が含 まれるものとします。 このソフトウェアは「現状のまま」提供されるものとし、明示または黙示を問わず、商用品として 通常備えるべき品質を備えているとの保証、特定の目的に適合するとの保証、権利を侵害しないこ とを含めて、いかなる保証もされません。事由のいかんを問わず、かつ契約内の行為であるか不法 行為であるかその他の行為であるかを問わず、作者も著作権者も、このソフトウェア自体あるいは このソフトウェアの使用またはその他の扱いから、もしくはそれに関連して発生した請求、損害、 またはその他の不利益のいずれに対しても、責任を一切負いません。 344 • オープン ソース ライセンス Palo Alto Networks OpenSSH OpenSSH このファイルは、OpenSSH ソフトウェアの一部です。 このソフトウェアのコンポーネントに関連するライセンスは以下のとおりです。まず、すべてのコ ンポーネントは BSD ライセンス、または BSD ライセンスよりもフリーなライセンスに従うことを 明言します。 OpenSSH には GPL コードは含まれていません。 1) Copyright (c) 1995 Tatu Ylonen <ylo@cs.hut.fi>, Espoo, Finland All rights reserved このソフトウェア向けに記述されたコードは、目的を問わず自由に使用できます。このソフトウェ アのすべての派生バージョンにはその旨を明記する必要があります。RFC ファイルに記述された プロトコルと互換性がない派生バージョンに「ssh」や「Secure Shell」という名前を付けることを 禁止します。 [ 続く ] ただし、第三者が保有する特許または著作権にライセンスを供与する意図は一切なく、ソフトウェ アには、私が直接管理できない部分が含まれます。私の知るかぎり、ソフトウェアに含まれるすべ てのソース コードは、適切な利用許諾契約書に従って使用され、用途を問わず自由に使用できま す (GNU ライセンスが最も制限的です )。詳細は以下を参照してください。 [ ただし、いずれの条件も現時点で適切とはいえません。] 彼が指摘している制限的に使用が許諾 されるソフトウェア コンポーネントはすべて、OpenSSH から削除されています。以下に、削除さ れたコンポーネントを示します。 - RSA は除外されました (OpenSSL ライブラリに移動 ) - IDEA は除外されました ( 廃止予定 ) - DES は外部 (OpenSSL ライブラリ ) に移動しました - GMP は使用されなくなりました (OpenSSL から BN コードを呼び出すように変更 ) - Zlib は外部のライブラリに移動しました - make-ssh-known-hosts スクリプトは除外されました - TSS は除外されました - MD5 は外部 (OpenSSL ライブラリ ) に移動しました - RC4 の代わりに OpenSSL の ARC4 が採用されました - Blowfish は外部 (OpenSSL ライブラリ ) に移動しました [ 続く ] このソフトウェアで使用されているすべての情報と暗号化アルゴリズムはインターネットで公開さ れており、世界各国の主要書店、科学図書館、特許庁で入手できます。 詳細については「http:// www.cs.hut.fi/crypto」などを参照してください。 このプログラムの法的扱いは、上記の許可と制限のすべてを組み合わせたものです。各自の責任に おいて使用してください。いかなる法的な影響に対しても、あなた自身の責任で対処してくださ い。このソフトウェアを所有または使用することが、あなたの国で合法であるかどうかについては 一切保証できません。また、私があなたに代わっていかなる責任を負うこともありません。 保証の不在 プログラムは無償で使用が許可されるため、適用される法律の範囲において、プログラムに関する いかなる保証も存在しません。 書面で明記されていないかぎり、著作権者またはその他の関係者 ( あるいはその両方 ) は、プログラムを「現状のまま」提供するものとし、明示または黙示を問わ Palo Alto Networks オープン ソース ライセンス • 345 OpenSSH ず、商用品として通常備えるべき品質を備えているとの保証も、特定の目的に適合するとの保証も 含めて、何の保証もしません。プログラムの品質と性能に関するリスクは、すべてあなたに帰属し ます。万一プログラムに欠陥があることが判明した場合、あなたは必要なすべての保守点検、修復、 または修正に要する費用を負担するものとします。 上記で許可されているとおりにプログラムを改変または再配布 ( あるいはその両方 ) できる著作権 者またはその他の関係者は、プログラムの使用またはプログラムを使用できないことによって生じ る一般的、特別、偶発的、必然的な損害を含むあらゆる損害 ( データの消失、データの不正確な処 理、あなたまたは第三者が受けた損失、プログラムが他のソフトウェアで動作しない、などを含む がこれに限定されるものではない ) が起こる可能性について知らされていたとしても、そのような 損害に関して、適用される法律によって命じられるか、書面での合意を得ない限り、いかなる場合 もあなたに対して責任を負いません。 2) CORE SDI S.A. により、32 ビット CRC 補償攻撃の検出機能が deattack.c に BSD ライセンスの 下で提供されました。 ssh 向け暗号化攻撃検出機能 — ソース コード Copyright (c) 1998 CORE SDI S.A., Buenos Aires, Argentina. All rights reserved. 改変するかしないかを問わず、ソース形式およびバイナリ形式での再配布と使 用を許可します。ただし、以下の著作権表示をそのまま含める必要があります。 このソフトウェアは「現状のまま」で提供されるものであり、明示または暗黙を問わず、一切の保 証を行いません。CORE SDI S.A. は、このソフトウェアの使用または誤使用の結果として生じた一 切の直接損害、間接損害、特別損害、懲罰的損害、派生的損害に対して一切の責任を負いません。 Ariel Futoransky <futo@core-sdi.com> <http://www.core-sdi.com> 3) David Mazieres により、ssh-keyscan が BSD ライセンスの下で提供されました。 Copyright 1995, 1996 by David Mazieres <dm@lcs.mit.edu>. ソース形式およびバイナリ形式の改変と再配布は、この著作権表示をそのまま残し、作者と OpenBSD プロジェクトの功績に然るべき評価を与えるという条件の下で許可されます。 4) Vincent Rijmen、Antoon Bosselaers、Paulo Barreto による Rijndael の実装はパブリック ドメイ ンに置かれており、以下のライセンスで配布されています。 バージョン 3.0 (2000 年 12 月 ) Rijndael 暗号 ( 現在は AES) 向けに最適化された ANSI C コード @author Vincent Rijmen <vincent.rijmen@esat.kuleuven.ac.be> @author Antoon Bosselaers <antoon.bosselaers@esat.kuleuven.ac.be> @author Paulo Barreto <paulo.barreto@terra.com.br> このコードはパブリック ドメインに置かれています。 このソフトウェアは作者によって「現状のまま」で提供されるものであり、明示または黙示を問わ ず、商品性および特定の目的に対する適合性の暗黙の保証を含む、一切の保証を行いません。作者 または寄稿者は、原因を問わず、また法的責任の理論によらず、このソフトウェアの使用によって 生じる、契約、無過失責任、不法行為 ( 過失その他を含む ) などによって生じた一切の直接損害、 間接損害、特別損害、懲罰的損害、派生的損害 ( 代替商品または代替サービスの調達、使用不能、 データの消失、利益の損失、業務の中断など ) に対し、たとえ損害が発生する可能性について事前 に通知されていたとしても、そうした一切の損害責任を負いません。 5) ssh を設定する 1 つのコンポーネントは、Berkeley のコードを流用しているため、三条項 BSD ライセンス (3-clause BSD license) が適用され、カリフォルニア大学が所有しています。 Copyright (c) 1983, 1990, 1992, 1993, 1995 The Regents of the University of California. All rights reserved. 346 • オープン ソース ライセンス Palo Alto Networks OpenSSH 改変するかしないかを問わず、ソース形式およびバイナリ形式での再配布と使用を許可します。た だし、以下の条件を満たしている必要があります。 1. ソース コードを再配布する場合は、上記の著作権表示、この条件リスト、および以下の免責条 項をそのまま含めてください。 2. バイナリ形式で再配布する場合は、上記の著作権表示、この条件リスト、および以下の免責条項 を同梱のドキュメントまたはその他の資料を再作成してください。 3. このソフトウェアから派生した製品を保証または宣伝するために、事前の書面による承諾なしに カリフォルニア大学または著作権所有者の名前を使用することを禁止します。 このソフトウェアは大学評議会と寄稿者によって「現状のまま」で提供されるものであり、明示ま たは黙示を問わず、商品性および特定の目的に対する適合性の暗黙の保証を含む、一切の保証を行 いません。評議会または寄稿者は、原因を問わず、また法的責任の理論によらず、このソフトウェ アの使用によって生じる、契約、無過失責任、不法行為 ( 過失その他を含む ) などによって生じた 一切の直接損害、間接損害、特別損害、懲罰的損害、派生的損害 ( 代替商品または代替サービスの 調達、使用不能、データの消失、利益の損失、業務の中断など ) に対し、たとえ損害が発生する可 能性について事前に通知されていたとしても、そうした一切の損害責任を負いません。 6) 上記以外のソフトウェア コンポーネントは、標準の二条項 BSD ライセンスの下で提供されてい ます。著作権所有者の名前は次のとおりです。 - Markus Friedl - Theo de Raadt - Niels Provos - Dug Song - Aaron Campbell - Damien Miller - Kevin Steves - Daniel Kouril - Wesley Griffin - Per Allansson - Nils Nordman - Simon Wilkinson 改変するかしないかを問わず、ソース形式およびバイナリ形式での再配布と使用を許可します。た だし、以下の条件を満たしている必要があります。 1. ソース コードを再配布する場合は、上記の著作権表示、この条件リスト、および以下の免責条 項をそのまま含めてください。 2. バイナリ形式で再配布する場合は、上記の著作権表示、この条件リスト、および以下の免責条項 を同梱のドキュメントまたはその他の資料を再作成してください。 このソフトウェアは作者によって「現状のまま」で提供されるものであり、明示または黙示を問わ ず、商品性および特定の目的に対する適合性の暗黙の保証を含む、一切の保証を行いません。作者 は、原因を問わず、また法的責任の理論によらず、このソフトウェアの使用によって生じる、契 約、無過失責任、不法行為 ( 過失その他を含む ) などによって生じた一切の直接損害、間接損害、 特別損害、懲罰的損害、派生的損害 ( 代替商品または代替サービスの調達、使用不能、データの消 失、利益の損失、業務の中断など ) に対し、たとえ損害が発生する可能性について事前に通知され ていたとしても、そうした一切の損害責任を負いません。 Palo Alto Networks オープン ソース ライセンス • 347 PSF PSF 1. この利用許諾契約書は、Python Software Foundation (PSF) と、Python 2.3 ソフトウェア ( ソー スまたはバイナリ形式 ) とその関連マニュアルを参照または使用する個人または組織 ( 契約者 ) と の間で締結されるものです。 2. PSF は、この利用許諾契約書の利用条件に従って、Python 2.3 単独、または任意の派生版に対 し、再作成、分析、テスト、公開された場所での実行および ( または ) 表示、派生著作物の作成、 配布を行うための、非独占的で、無償の世界的なライセンスを契約者に供与します。ただし、その 際、契約者は、Python 2.3 単独、または任意の派生版に、PSF の利用許諾契約書と PSF 著作権表 示、つまり「Copyright (c) 2001, 2002, 2003 Python Software Foundation; All Rights Reserved」を そのまま残す必要があります。 3. 契約者は、Python 2.3 またはその一部に基づく、またはそれを組み込んだ派生著作物を作成し、 その派生著作物をこの契約書に従って他者に公開する場合、こうした著作物に、Python 2.3 に加え た変更の簡単な概要を含めることをここに同意するものとします。 4. PSF は、Python 2.3 を契約者に「現状のまま」提供するものとします。PSF は、明示または暗黙 を問わず、一切の表明または保証を行うものではありません。PSF は、たとえば、商品性および特 定の目的に対する適合性、または PYTHON 2.3 の使用により第三者の知的所有権を侵害する可能 性などについて、一切の表明と保証を行わず、また一切の表明と保証を拒否します。 5. PSF は、PYTHON 2.3 の契約者または他のユーザーに対して、PYTHON 2.3 またはその派生物 を改変、配布、使用した結果として生じた一切の懲罰的損害、特別損害、派生的損害または損失に ついて、たとえ損害が発生する可能性について事前に通知されていたとしても、責任を負いません。 6. この利用許諾契約書は、その利用条件に対する重大な違反が判明した時点で自動的に失効するも のとします。 7. この利用許諾契約書に記載された内容によって、PSF と契約者の間で、代理店、提携、合弁事業 などの関係が発生することは一切ありません。この利用許諾契約書では、契約者または第三者が自 身の製品やサービスを保証または宣伝する目的で、PSF の商標または商標としての商号を使用する ことを禁止します。 8. Python 2.3 を複製、インストール、または使用することによって、契約者はこの利用許諾契約書 の利用条件に従うことに同意したものみなされます。 PHP PHP ライセンス、バージョン 3.01 Copyright (c) 1999 - 2009 The PHP Group. All rights reserved. 改変するかしないかを問わず、ソース形式およびバイナリ形式での再配布と使用を許可します。た だし、以下の条件を満たしている必要があります。 1. ソース コードを再配布する場合は、上記の著作権表示、この条件リスト、および以下の免責条 項をそのまま含めてください。 2. バイナリ形式で再配布する場合は、上記の著作権表示、この条件リスト、および以下の免責条項 を同梱のドキュメントまたはその他の資料を再作成してください。 3. このソフトウェアから派生した製品を保証または宣伝するために、事前の書面による承諾なしに 「PHP」という名前を使用すること禁止します。書面による承諾を得るには、group@php.net まで ご連絡ください。 348 • オープン ソース ライセンス Palo Alto Networks Zlib 4. このソフトウェアから派生した製品に、group@php.net から受けた書面による承諾なしに 「PHP」という名前を付けること、または名前の一部に「PHP」を含めることを禁止します。PHP と連係して動作するソフトウェアであることを示すには「Foo for PHP」といった名前を使用して ください。「PHP Foo」や「phpfoo」などの名前は使用しないでください。 5. PHP Group は、この利用許諾契約書の改訂バージョンまたはは新バージョンを随時発行するこ とができます。各バージョンには、識別のためのバージョン番号が振られます。特定バージョンの 利用許諾契約書の下で公開されたライセンスで保護されたコードは、そのバージョンの利用条件の 下で使用し続けることができます。このようなライセンスで保護されたコードを、PHP Group に よって公開された当該バージョン以降のバージョンの利用条件で使用することを選択することも できます。この利用許諾契約書の下で作成された保護対象コードに適用される利用条件を変更す る権利を保持しているのは、PHP Group だけです。 6. 再配布に際しては、配布形式を問わず「This product includes PHP software, freely available from <http://www.php.net/software/>」という承認文を必ず含めてください。 このソフトウェアは PHP 開発チームによって「現状のまま」で提供されるものであり、明示また は黙示を問わず、商品性および特定の目的に対する適合性の暗黙の保証を含む、一切の保証を行い ません。 PHP 開発チームとその寄稿者は、原因を問わず、また法的責任の理論によらず、このソ フトウェアの使用によって生じる、契約、無過失責任、不法行為 ( 過失その他を含む ) などによっ て生じた一切の直接損害、間接損害、特別損害、懲罰的損害、派生的損害 ( 代替商品または代替 サービスの調達、使用不能、データの消失、利益の損失、業務の中断など ) に対し、たとえ損害が 発生する可能性について事前に通知されていたとしても、そうした一切の損害責任を負いません。 このソフトウェアは、PHP Group を代表する多数の個人による無償の貢献によって開発されたも のです。 PHP Group へのお問い合わせは、group@php.net までメールでお寄せください。 PHP Group と PHP プロジェクトの詳細については、<http://www.php.net> を参照してください。 PHP は Zend Engine を使用しています。Zend Engine は、<http://www.zend.com> で無償で入 手できます。 Zlib Copyright (C) 1995-2005 Jean-loup Gailly and Mark Adler このソフトウェアは「現状のまま」で提供されるものであり、明示または暗黙を問わず、一切の保 証を行いません。このソフトウェアを使用することによって生じた損害について、作者は一切の責 任を負いません。 このソフトウェアは、誰でも使用できます。商用アプリケーションなど用途は問いません。また、 改変、再配布も自由に行うことができます。ただし、以下の制限に従う必要があります。 1. このソフトウェアの原作者を正確に記載してください。あなたがオリジナル バージョンのソフ トウェアを作成したと主張してはなりません。このソフトウェアを製品に使用する場合は、強制で はありませんが、製品のマニュアルに謝辞を掲載していただければ幸いです。 2. ソース バージョンを改変した場合は、その旨を明記してください。元のまま何も手を加えてい ないと偽ってはなりません。 3. 配布する際は、ソースに掲載されているこの著作権表示を改変または削除してはなりません。 Jean-loup Gailly jloup@gzip.org Mark Adler madler@alumni.caltech.edu Palo Alto Networks オープン ソース ライセンス • 349 Zlib 350 • オープン ソース ライセンス Palo Alto Networks 索引 A D Active Directory ユーザー ID エージェントのアンインストールと アップグレード 241 ユーザー ID エージェントのセッテイ 238 ユーザー ID エージェント 237 ユーザー ID エージェントのインストール 237 [Administrator] ページでのロックアウト 48, 301 Aggregate Ethernet インターフェイス グループ 107 設定 107 App-ID、リクエスト 227 Application Command Center (ACC)、使用 203 App-Scope レポート 脅威マップ レポート 209, 210, 213 サマリー レポート 207 ネットワーク モニター レポート 211 表示 206 変化モニター レポート 208 ARP エントリ L3 サブインターフェイス 109 VLAN インターフェイス 103, 110 メイン L3 インターフェイス 105 AS BGP 117 説明 117 DHCP サーバー 133 設定 134, 280 ファイアウォール オプション 133 リレー 133 Diffie-Hellman (DH) group 252, 257 DNS サーバー 134 DNS プロキシ 概要 135 設定 135 DoS プロテクション プロファイル 177 プロファイル 177 ポリシーの定義 163 Duplicate Address Detection (DAD) 102, 105 B G BGP 概要 116 再配信プロファイル 121 説明 117 バーチャル ルータ 125 バーチャル ルータの設定 125 BrightCloud サービス 170 C CPU 使用率 202 CRL 40 351 • 索引 E Encapsulating Security Payload (ESP) 252 Ethernet インターフェイス、設定 108 F FIPS 329 FTP サーバー、ログの保存 58 GlobalProtect エージェント 265 エージェントの使用 278 エージェントのセットアップ 277 概要 265 クライアントのダウンロードおよびアクティ ベーション 277 ゲートウェイ 265 ゲートウェイのセットアップ 274 セットアップ 267 接続プロセス 266 認証 266 ポータル 265 Palo Alto Networks ポータルのセットアップ 271 レスポンス ページ 90 H HA1 ポートと HA2 ポート 78 HA インターフェイス 113 hello インターバル、HA 296 HTML ブロック ページ 317 I ICMP フラッド 139 IKE AH 252 DH グループ 252 ESP 252 暗号プロファイル、概要 252 暗号プロファイル設定 257 暗号プロファイルの定義 257 概要 250, 252 交換モード 255 識別 252 デッド ピア検知 255 認証 252 IKE ゲートウェイ 概要 252 設定 254 セットアップ 137, 254 IPSec AH 252 DH グループ 252 ESP 252 暗号プロファイル設定 258 暗号プロファイルの定義 258 生存期間 252 トンネルの数 251 トンネルのセットアップ 255 IPv6 138 IPv6 アドレス 180 K Kerberos 管理者ロール 45 サーバーの設定 54 L L2 インターフェイス サブインターフェイス 99, 112 サブインターフェイスの設定 99 設定 98 メイン 98 L2 導入、概要 95 352 • 索引 L3 インターフェイス 共有ゲートウェイ 89 サブインターフェイス 103 サブインターフェイスの設定 103 設定 100 メイン 100 ループバック 110, 112 L3 導入、概要 95 LDAP サーバーの設定 53 認証 45 LSA 117 M [Master Key and Diagnostics] ページ 69 MD5 124 MIB 40, 63 N NAT タイプ 151 ポリシー 150 ポリシーの定義 153 ポリシーの例 154 Netflow 概要 66 設定 66 NFS 294 および Panorama 高可用性 295 外部ログ保存エリア 294 ストレージ パーティション 294 NIS サーバー 134 NSSA (Not So Stub Area) 123 NT LAN Manager (NTLM) 162, 233 NTP サーバー 134 O OCSP 40 Open Virtual Machine Format (OVF) 289 OSPF 概要 116 再配信プロファイル 121 バーチャル ルータ 123 バーチャル ルータの設定 123 P Panorama [ACC] タブ 300 IP アドレスの設定 31 [Monitor] タブ 300 [Objects] タブ 300 [Panorama] タブ 300 Palo Alto Networks [Policies] タブ 300 アクセス 300 アクセス ドメイン 304 アクセスを有効にする 31 インストール 289, 290 インターフェイスの説明 300 オブジェクト 306 共有ポリシー、定義 300, 305 高可用性 295 コンフィグレーション監査 309 サーバー証明書 68 設定の一括エクスポート 311 ソフトウェアのアップグレード 311, 312 タブ 300, 301 ダッシュボード 300 デバイスの追加 302 デバイスへの変更のコミット 308 バーチャル アプライアンス 289 ユーザー アカウントのロックアウト 48, 301 ユーザー インターフェイス 300 Panorama へのデバイスの追加 300 PAN-OS、ソフトウェアのアップグレード 43 PAN-OS ソフトウェア アップグレード 43, 49, 304 バージョン 202 PDF サマリー レポート 作成 221, 223 設計 221 表示 220, 221 Perfect Forward Security (PFS) 252 PPPoE 概要 95 設定 101 導入 95 Q QoS クラス 282, 283 クリア テキスト トラフィック 280 出力設定 282 設定 149 設定手順 279 トンネル トラフィック 280 ファイアウォール インターフェイスの設定 279 プロファイル 279, 282 ポリシー 283 マーキング 149 優先度設定 282 Quality of Services (QoS) 279 R RADIUS サーバー設定の定義 52 Palo Alto Networks 認証 45 認証プロファイル 49 Representational State Transfer (REST) 19 RFC 1583 Compatibility 123 RIP 概要 116 再配信プロファイル 121 バーチャル ルータ 122 バーチャル ルータの設定 122 S Security Associations (SA) 251 SNMP MIB 63 MIB のセットアップ 40 コミュニティ文字列 41 トラップの宛先の定義 62 SNMP トラップの宛先 定義 62 ログのプロファイル 198 SSL テクニカル ノートの参照 157 復号化ポリシー 197 復号化ポリシーの定義 157 復号化ルール設定 155, 158 SSL VPN 確認ページ 90 概要 279 スプリット トンネル 276 認証プロファイル 49 ローカル ユーザー データベース 51 SYN フラッド 139 Syslog サーバー 定義 64 ログのプロファイル 198 T TLS (Transport Layer Security) 53 TS エージェント アップグレード 242 アンインストール 247 インストール 242 サポートするためのファイアウォールの設 定 242 ターミナル サーバーでの設定 243 U UDP フラッド 140 URL フィルタリング [ACC] ページ 204 オーバーライド設定 38 動的カテゴリ分け 170 プロファイル設定 170 索引 • 353 プロファイルの定義 170 リスト 204 レスポンス ページ 91 レスポンス ページの続行とオーバーライド 91, 322 ログの表示 57, 216 V VLAN L2 インターフェイス 109 インターフェイス、定義 109 VMware ESX(i) 289 VPN IPSec および IKE 暗号プロファイル 252 SSL、概要 279 概要 250 設定例 260 トンネルのセットアップ 251 VPN トンネル IKE 251 概要 251 セットアップ 253, 255 保護 251 マニュアル セキュリティ鍵 251 VPN の設定例 260 vSphere 289 W Web インターフェイス 移動 25 サポート対象のブラウザ 27 使用 23 テーブルの使用 26 必須フィールド 26 変更のコミット 25 WildFire 概要 313 タスクのセットアップ 314 ダッシュボード 315 ファイアウォール設定の設定 314 ポータル上の設定の設定 316 ポータルの使用 315 レポートの表示 316 WINS サーバー 134 X XML API 19 あ アカウント 管理者の作成 47 認証プロファイル 49 354 • 索引 アクセス ドメイン Panorama 304 ファイアウォール 46, 49 アクティブ / アクティブの高可用性 70 アクティブ / パッシブの高可用性 70 アクティブ コンフィグ、更新 33, 36 アップグレード Panorama ソフトウェア 311, 312 PAN-OS ソフトウェア 43, 49, 304 脅威およびアプリケーションの定義 45 高可用性で 44 スケジュール 45 アドレス アドレス グループの定義 180 グループの定義 180 定義 179 範囲の定義 179 アドレス グループ、定義 180 アプリケーション [ACC] ページ 204 アプリケーション オーバーライドを指定するカ スタム アプリケーション定義 159 カテゴリ 184, 325 脅威の定義の更新 45 グループの定義 189 検索 183 サブ カテゴリ 184 サブカテゴリ 325 詳細 183 属性 182 定義 184 テクノロジ 327 特性 185, 327 フィルタ 182 フィルタの定義 189 不明なアプリケーションの識別 225 例外 166 レスポンス ページ 319 アプリケーション オーバーライド ポリシー 概要 159 定義 160 アプリケーション グループ、定義 189 アプリケーション リスト 204 アプリケーション例外 166 アプリケーション例外ポリシー 197 アラーム アイコンの認識 66 アラーム アイコン 66 しきい値 139 承認済み 66 表示 66 未承認 66 ログ 56 ログ設定 61 Palo Alto Networks 暗号プロファイル 257, 258 暗号プロファイル、概要 252 アンチウイルス プロファイル 設定 166 定義 166 アンチウイルス レスポンス ページ 317 アンチスパイウェア プロファイル 概要 167 定義 167 アンナンバード ループバック インターフェイス 110 い 移動 25 緯度と経度 31 インストール、Panorama 290 インターフェイス Aggregate Ethernet の設定 107, 108 L2、メイン 98 L2 サブインターフェイス 99, 112 L3、メイン 100 L3 サブインターフェイス 103 高可用性 113 集約グループ 107 状態の表示 98, 202 タップ 112 要約 97 インターフェイス管理プロファイル 138 脆弱性 195 カスタム レポート 224 監査コンフィグレーション 42, 309 管理インターフェイス CLI 19 Panorama 19 Web 19 オプション 19 設定 30, 42 管理者 アカウント、概要 45 アカウント、作成 47 認証オプション 45 プロファイル、概要 45 ページ ロックアウト 48, 301 ロール、概要 45 ロール、管理 46 き オープン ソース ライセンス 331 オブジェクト Panorama での共有 306 概要 178 およびログ 216 規則、表記 15 機能と利点 18 機密情報、保護 38 キャプティブ ポータル 確認ページ 90, 322 設定 161, 163 認証プロファイル 49 ファイアウォールの設定 235 ポリシーの定義 161 脅威 ACC リスト 204 定義の更新 45 脅威のリスト 204 脅威ログ 198 概要 57 表示 216 リモート ログの定義 197 共有ゲートウェイ L3 インターフェイス 89 概要 87 共通インターフェイス 87 設定 89 共有ポリシー 定義 300, 305 マスター デバイス 304 許可リスト URL フィルタリング プロファイル 172 ワイルドカード パターン 171 か く え エージェント GlobalProtect 265 GlobalProtect の使用 278 GlobalProtect のセットアップ 277 ターミナル サーバーの設定 242 ユーザー ID 232 エクスポート 証明書 67 設定の一括処理 311 ログのスケジューリング 58 お カスタム グループ レポート 222 カスタム シグネチャ 概要 195 スパイウェア 195 Palo Alto Networks クライアント GlobalProtect のダウンロードおよびアクティ ベーション 277 ボットネット感染 217 索引 • 355 クリア テキスト トラフィックと QoS 280 クロスオーバー ケーブル 77 クロック、設定 30, 42 グループ サービスの定義 191 集約インターフェイス 107 デバイス 303 け ゲートウェイ GlobalProtect 265 GlobalProtect のセットアップ 274 概要 265 こ 高可用性 Panorama 295 Panorama での設定 295 PAN-OS ソフトウェアのアップグレード 44 アクティブ / アクティブ 70 アクティブ / パッシブ 70 インターフェイス 113 インターフェイスの定義 113 概要 70 設定 78 設定時の注意事項 83 セットアップ 76 セットアップの注意事項 77 動作とフェールオーバーのルール 70 有効にする 78 交換モード 255 候補コンフィグ 概要 33, 36 保存とロールバック 33, 36 候補コンフィグの保存 33, 36 候補コンフィグのロールバック 33, 36 コミット Panorama のデバイス変更 308 オプション 25 変更 25 コンフィグレーション監査 42, 309 さ サーバー Kerberos の定義 54 LDAP の定義 53 RADIUS の定義 52 Syslog の定義 64 サービス、定義 190 サービス拒否 (DoS)、プロファイル 177 サービス グループ 定義 191 サービス グループ、定義 191 356 • 索引 最短パス ツリー (SPT) 133 再配信プロファイル 概要 121 設定 121 サブ カテゴリ アプリケーション 184 フィルタリング 182 サポート情報 91 サポート情報、表示 91 サポート対象のブラウザ 27 サポートのリクエスト 91 し しきい値、アラーム 139 識別、IKE 252 シグネチャ カスタム 195 スパイウェア 195 脆弱性 195 システム設定 90 システム ログ 概要 57 表示 217 集約グループ 107 承認済みアラーム 66 証明書 CRL 40 OCSP 40 Panorama サーバー 68 Web 67 インポート 68 エクスポート 68 および GlobalProtect 266 信頼された認証局 67 生成 68 復号化 67 時間 設定 30, 42 ゾーン 30 す スケジュール 設定の一括エクスポート 311 定義 197, 199 ストレージ パーティション 294 Panorama 294 せ 正規表現、データ パターン 191 セキュリティ プロファイル グループ 197 プロファイル グループの定義 165, 197 セキュリティ証明書 67 Palo Alto Networks セキュリティ ゾーン NAT ポリシー 153 インターフェイス 114 概要 114 セキュリティ ポリシー 147 定義 115 セキュリティ プロファイル アクション 164 概要 164 定義 197 セキュリティ プロファイル グループ、定義 197 セキュリティ ポリシー 概要 146 定義 147 セッションの再マッチング 39 セッション ブラウザ 217 設定、VPN の例 260 設定テンプレートの定義 312 設定の一括エクスポート 311 設定の管理 33, 36 設定の比較 42 設定ログ 概要 56 表示 216 リモート ログの定義 59, 60, 61, 62 脆弱性防御プロファイル 168, 170 そ 送信元特定マルチキャスト (SSM) 133 速度、リンク 99, 106, 113 ソフトウェア Panorama のアップグレード 312 アップグレード 43, 49, 304, 311, 312 ダウングレード 44 バージョン 202 ソフトウェアのダウングレード 44 ゾーン NAT ポリシー 153 セキュリティ ポリシー 147 定義 115 プロテクション プロファイル 139, 282 属性、アプリケーション 182 た ターミナル サービス エージェント (TS エージェント) 242 タグ L2 サブインターフェイス 99 L3 サブインターフェイス 103 バーチャル ワイヤ 96 タップ インターフェイス、定義 112 タップ モード 説明 96 導入オプション 96 Palo Alto Networks ダッシュボード ファイアウォール 202 ち 地域 概要 181 セキュリティ ポリシー 181 て 偵察行為防御 137 テーブル、Web インターフェイスの使用 26 ディスク使用率 202 データ パターン 新規追加 191 定義 194 データ フィルタリング プロファイル 176 ルール 191 データ フィルタリング [ACC] ページの HIP 一致 204 [ACC] ページ 204 データ パターン 194 パターン設定 176 プロファイル 175 プロファイル設定 175, 177 プロファイルとパターン 176 プロファイルの定義 175 リスト 204 ログの表示 56, 216 データ保護 追加 38 パスワードの変更 38 デコーダとアクション 166 デッド ピア検知 255 デバイス 管理 29 追加 302 マスター 304 デバイス グループ オブジェクトの割り当ておよび共有 307 使用 307 選択 307 追加 303 デバイスの再起動 30, 34, 42 デバイス優先度、HA 296 デュプレックス設定 99, 106, 113 電子メール 通知設定 65 レポート配信のスケジューリング 223 電子メール通知設定 定義 65, 66 ログのプロファイル 198 索引 • 357 と 統計サービス 41 トラフィック ログ 198 表示 216 リモート ログの定義 197 トンネル IPSec の数 251 SSL VPN 用の分割 276 VPN について 251 セットアップ 255 トンネル インターフェイス 255 トンネル トラフィックと QoS 280 トンネル モニター 待機 / 回復 259 フェールオーバー 259 プロファイル 258 動的 URL タイムアウト 37 動的更新 概要 45 スケジューリング 45 導入 94 導入、情報の表示 310 導入オプション PPPoE 95 タップ モード 96 バーチャル ワイヤ 94 レイヤー 2 95 レイヤー 3 95 導入タイプ 94 導入のタイプ 94 ドメイン名 30 な ナレッジ ベース 91 に 認証 GlobalProtect 266 IKE 252 LDAP 45 RADIUS 45 管理者のオプション 45 シーケンス 54 リモート 30, 42 ローカル データベース 45 認証局 (CA) CRL 40 OCSP 40 および GlobalProtect 266 信頼された認証局証明書 67 認証シーケンス 概要 55 セットアップ 55 358 • 索引 認証プロファイル Kerberos 設定 54 LDAP 設定 53 RADIUS 設定 52 概要 49 セットアップ 50 認証ヘッダー (AH) 252 ね ネクストホップ 120 ネットワーク設定 30, 42 ネットワークの概要 94 ネットワーク プロファイル 137 は 廃棄オプション、DOS プロファイル 141 バージョン、ソフトウェア 202 バーチャル システム 概要 85 共有ゲートウェイ 87 共有ゲートウェイの共通インターフェイス 87 セキュリティ ゾーン 85, 86 セキュリティ ポリシー 85 通信 86 定義 85, 88, 89 内部トラフィック フロー 86 複数 86 複数の定義 88 複数を有効にする 31 有効にする 31 バーチャル ルータ 実行時統計情報 133 設定 119, 120, 131 定義 119 ネクストホップ 120 マルチキャスト設定 131 ルーティング プロトコル 116 バーチャル ワイヤ 94 インターフェイス 107 インターフェイス、設定 105 定義 96 パケット キャプチャ 216 アクセス 216 および APP-ID 227 キャプチャの実行 227 キャプチャの設定 227 ファイルのキャプチャ 227 プロファイル設定 166, 167, 168, 169 パケットベース攻撃防御 137, 141 パス グループ、HA 296 パスワード 新しい 22 暗号化 69 Palo Alto Networks データ保護 38 パッシブ / アクティブの高可用性 70 パッシブ ホールド タイム、HA 296 パッシブ リンク状態 82 ひ 必須フィールド 26 秘密鍵、暗号化 69 秘密鍵とパスワードの暗号化 69 表記規則 15 表示 セッション情報 217 セッション ブラウザ 217 デバイス 304 ログ 214 ピア ID 255 ファイアウォール Web インターフェイスの使用操作 23 WildFire 設定の設定 314 緯度と経度 31 機能と利点 18 はじめに 17 ユーザー インターフェイスの移動 25 ユーザー ID エージェント 233 ファイアウォール設定のバックアップ 311 ファイアウォールの再起動 34 ファイル ブロッキング 設定 172 プロファイル、定義 197 プロファイルの定義 172 ファイル ブロッキング ページ 319 フィルタ アプリケーション 182, 189 サブ カテゴリ 182 フェールオーバー 259 複数バーチャル システム 31, 86, 88 不明なアプリケーション App-ID のリクエスト 227 識別 225 対処 226 フラグメントなし (DF) 141 フラッド、ゾーン プロテクション設定 139, 282 フラッド防御 137 ブラウザ、サポート対象 27 ブロッキング、ファイル プロファイル 172 ブロック リスト URL フィルタリング プロファイル 171 ワイルドカード パターン 171 プロキシ DNS、概要 135 プロファイル IKE 暗号 257 IKE 暗号プロファイル設定 257 Palo Alto Networks IPSec 暗号 258 IPSec 暗号プロファイル設定 258 QoS 279, 282 URL フィルタリング 170 アンチウイルス 166 アンチウイルス、アプリケーション例外 166 アンチウイルス、デコーダとアクション 166 アンチスパイウェア 167 インターフェイス管理 138 再配信 121 セキュリティ グループ 165, 197 セキュリティの概要 164 脆弱性防御 168, 170 ゾーン プロテクション 139, 282 偵察行為防御 137 データ フィルタリング 175 トンネル モニター 258 ネットワーク 137 パケットベース攻撃 137 ファイル ブロッキング 172, 197 フラッド防御 137 モニターについて 258 ログ 197 ログ転送の定義 198 プロファイル グループ、定義 197 へ ヘルプ 24 ヘルプの表示 24 ページ上の設定の変更 24 ページ上の設定の編集 24 ほ ホールド タイム 296 ホスト インフォメーション プロファイル (HIP) [ACC] ページの一致 204 HIP 一致ログの設定 60 一致ログ 217 オブジェクトのセットアップ 267 セットアップ 271 ホスト名、定義 30, 42 ホスト名の解決 215 ボットネット 概要 217 レポート 217 ボットネットに感染したクライアント 217 ポータル GlobalProtect 265 GlobalProtect のセットアップ 271 概要 265 ポリシー DoS の定義 163 NAT の概要 150 索引 • 359 NAT の定義 153 QoS 283 アドレス オブジェクトの定義 179 概要 143 キャプティブ ポータルの定義 161 共有 300, 305 事後ルール 305 事前ルール 305 セキュリティの概要 146 その他のポリシー オブジェクト 178 タイプ 143 定義のガイドライン 144 データ パターン 194 バーチャル システム 85, 86, 87 復号化の定義 157 ポリシーベースの転送の概要 155 ユーザーとアプリケーションの指定 145 ポリシー内の事後ルール 305 ポリシー内の事前ルール 305 ポリシーベースの転送 (PBF) およびモニター プロファイル 258 概要 155 定義 155 ら ライセンス インストール 43, 67 オープン ソース 331 ランダム アーリー ドロップ 139 ランデブー ポイント 131 り リモート認証 30, 42 リンク グループ、HA 82 リンク状態 設定 99, 106, 113 表示 202 リンク速度とデュプレックス 99, 106, 113 る ルーティング バーチャル ルータとルーティング プロトコルに ついて 116 マルチキャスト 118 ルーティング プロトコル メモリ使用率 202 BGP 125 OSPF 123 RIP 122 概要 116 バーチャル ルータ 116 ループバック インターフェイス 管理ポート 30 定義 110, 112 ルール アプリケーション例外ポリシー 197 セキュリティ ポリシー 147 も れ ま マスター デバイス 304 マルチキャスト ルーティング 概要 118 設定 131 め モニター プロファイル 258 ゆ ユーザー アカウントのロックアウト 48 ユーザー インターフェイスの移動 25 ユーザー ID エージェント Active Directory、概要 237 Active Directory 用のアンインストールとアッ プグレード 241 Active Directory 用のインストール 237 Active Directory 用の設定 238 概要 229 キャプティブ ポータル設定 235 ファイアウォールの設定 233 ユーザー データベース、SSL VPN 51 レイヤー 100 レスポンスしきい値 139, 140 レスポンス ページ GlobalProtect ポータル ヘルプ 90 GlobalProtect ポータル ログイン 90 SSL 証明書無効通知 90, 324 SSL 復号化オプトアウト 90 URL フィルタリングの続行とオーバーライ ド 91, 322 アプリケーション ブロック 90, 319 アンチウイルス 90, 317 キャプティブ ポータル 90, 322 タイプ 55, 90 定義 90 ファイル ブロッキング 90, 319 ファイル ブロッキングの続行 90 レポート App-Scope 206 360 • 索引 Palo Alto Networks PDF サマリー 220 WildFire の表示 316 カスタム 224 カスタム グループの作成 222 上位 50 223 電子メール配信のスケジューリング 223 表示 223 ユーザー アクティビティ 222, 309 レポートとログ Application Command Center の使用 203 App-Scope レポートの表示 206 PDF サマリー レポートの表示 220 カスタム レポート 224 ダッシュボードの使用 202 不明なアプリケーションの識別 225 レポートの表示 223, 224 わ ワイルドカード カスタム URL カテゴリ 193 許可リストとブロック リストのパターン 171 ろ ローカル ID 255 ロール 管理者の定義 46 概要 45 ログ [ACC] ページからのリンク 203 FTP サーバーへの保存 58 HIP Match 217 HIP 一致の設定 60 URL フィルタリングの表示 216 アラーム 56, 61 エクスポートのスケジューリング 58 管理 62 概要 56 脅威 57 クリア 62 システム 57 設定 56, 59 電子メール通知設定 65 表示 214 ホスト名の解決 215 リモート ログの定義 脅威およびトラフィック ログ 197 設定 59, 60, 61, 62 ログ転送 プロファイル設定 198 プロファイルの定義 198 ログの宛先 SNMP トラップ 62 Syslog 64 概要 58 電子メール 65, 66 ログのエクスポート 58 ログ ページのリンク 203 Palo Alto Networks 索引 • 361 362 • 索引 Palo Alto Networks
© Copyright 2024 Paperzz