デフォルトのセキュリティ ポリシー該当のトラフィックを、トラフィックログ上で確認する方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

How to See Traffic from Default Security Policies in Traffic Logs

https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-See-Traffic-from-Default-Security...

 

PAN-OS 7.0 以前

概要

Paloalto Networks 次世代ファイアウォールにはデフォルトルールとして以下のセキュリティ ポリシーがあります:

  1. ゾーン間トラフィックの拒否
  2. ゾーン内のトラフィックの許可

デフォルトでは、これらのデフォルトのポリシーにマッチするトラフィックは、トラフィックログに記録されません。トラブルシューティングにおいては、同一の送信元と宛先ゾーンを持つトラフィック、あるいはどのようなトラフィックが許可されずにデフォルトのルールによって拒否されたかの確認、といった情報が必要になる場合があります。一時的に暗黙のブロック ルールによるログを出力するには、以下のコマンドを実行します:

 

> set system setting logging default-policy-logging <value>  (value は"0-300"秒で指定)

 

注:PAN-OS 6.1以降ではこれらのデフォルトのポリシーはPocilies > セキュリティに緑の背景色(訳注:PAN-OS 7.1以降は黄色)で表示されます。

ルールはゾーン内(intrazone)、ゾーン間(interzone)、または両方の性質(universal)のいずれかに分類されます。

詳細はPAN-OS 6.1 New Features Guide: Security Policy Rulebase Enhancementsをご参照ください。

 

 

詳細

該当するトラフィックをトラフィックログで確認する方法はいくつかあります:

 

同じゾーン内のトラフィック

  • Policies > セキュリティに移動し、以下の例のように送信元と宛先ゾーンが同じ通信を許可するセキュリティ ポリシーを作成します:
    Trust Trust.PNG.png

異なるゾーン間のトラフィック

  • Policies > セキュリティに移動し、以下の例のようにゾーン間の通信を許可するセキュリティ ポリシーを作成します:
    overall.PNG.png

 

重要:  上記のポリシー例が示すとおり、ネットワークをセキュアに保つため、信頼されないトラフィックが信頼されたネットワークのゾーンへ流入することを許可するのは望ましくない場合があります。従って、どのようなルールの個別作成が必要かを検討するには、トラフィックをまとめて許可してしまうのではなく、クリーンアップ用ルールとして全て拒否するポリシーを使います。以下が、クリーンナップ用の拒否のポリシーの一例です。

 

全て拒否(DENY ALL)

  • 以下は外部からのGlobalProtectのみを許可するよう指定した例です。全て拒否のポリシーが設定されているのと同時に、全ての信頼されたゾーンとDMZのトラフィックの出力を許可し、全ての信頼されたゾーン間のトラフィックを許可、そして同じゾーン間のトラフィックを許可します。DENY ALLの上にあるルールにマッチしないトラフィックは、DENY ALLルールにてキャッチされ、denyとしてログに残ります。
    Deny all.PNG.png
  • トラフィックログ中で拒否されたトラフィック、そしてその中から許可が必要な特定のトラフィックを確認します。これにより新しい何らかのトラフィックや、望まないトラフィックがネットワークを危険にさらすことを防ぐ事ができます。
    注:全て拒否のポリシーはデフォルトの同じゾーン内通信を許可するポリシーをオーバーライドします。詳細は次のドキュメントをご参照ください Any/Any/Deny Security Rule Changes Default Behavior.

 

PAN-OS 7.0以降

 

PAN-OS 7.0以降ではゾーン内通信、ゾーン間通信のポリシーは可視化、ログの有効化ができます。

2015-07-29_23-07-42.png

2015-07-29_23-08-09.png

著者: glasater