トラフィック モニター フィルタリングの基礎

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

Basics of Traffic Monitor Filtering

https://live.paloaltonetworks.com/t5/Featured-Articles/Basics-of-Traffic-Monitor-Filtering/ta-p/6524...

 

 

フィルタリングの方法と使用例

この資料では、Palo Alto Networksファイアウォール上で、特定のタイプのトラフィックをフィルタリングしたり、見つけ出す方法をいくつか例を挙げて説明しています。フィルタのカテゴリとして、ホスト、ゾーン、ポート、日付/時間があります。一覧の最後の方では、より包括的に検索するために、様々なフィルタを組み合わせた例をいくつか記載しています。

 

以下は、手始めとなる基本的なフィルタの例です。

 

ホストのトラフィック フィルタの例

 

     ホスト a.a.a.a から

          (addr.src in a.a.a.a)

          例:(addr.src in 1.1.1.1) 

          説明:IPアドレス 1.1.1.1 に合致するホストからのすべてのトラフィックを表示

 

     ホスト b.b.b.b へ

          (addr.dst in b.b.b.b)

          例:(addr.dst in 2.2.2.2) 

          説明:2.2.2.2 に合致するホストの宛先アドレスのすべてのトラフィックを表示

 

    ホスト a.a.a.a からホスト b.b.b.b へ

          (addr.src in a.a.a.a) and (addr.dst in b.b.b.b)

          例:(addr.src in 1.1.1.1) and (addr.dst in 2.2.2.2)

          説明:1.1.1.1 のIPアドレスを持つホストから2.2.2.2 の宛先アドレスを持つホストへのすべてのトラフィックを表示

 

    ホストのIPアドレスの範囲から

          注:実際のIPアドレスを特定できませんが、あるアドレスのネットワークの範囲を特定するために、CIDRの表記法を使用することができます。

          (addr.src in a.a.a.a/CIDR)

          例:(addr.src in 10.10.10.2/30)

          説明:10.10.10.1 - 10.10.10.3 の範囲のアドレスからのすべてのトラフィックを表示

 

     送信元/宛先ホスト a.a.a.a

          (addr in a.a.a.a)

          例:(addr in 1.1.1.1) 

          説明:1.1.1.1 に合致するホストの送信元アドレス、あるいは宛先アドレスのすべてのトラフィックを表示

 

 

ゾーンのトラフィック フィルタの例

 

     zone_a ゾーンから

          (zone.src eq zone_a)

          例:(zone.src eq PROTECT)

          説明:PROTECTゾーンからのすべてのトラフィックを表示

 

     zone_b ゾーンへ

          (zone.dst eq zone_b)

          例:(zone.dst eq OUTSIDE)

          説明:OUTSIDEへのすべてのトラフィックを表示

 

     zone_a から zone_b へ

          (zone.src eq zone_a) and (zone.dst eq zone_b)

          例:(zone.src eq PROTECT) and (zone.dst eq OUTSIDE)

          説明:PROTECTゾーンからOUTSIDEゾーンへ出て行くすべてのトラフィックを表示

 

 

ポートのトラフィック フィルタの例

 

     送信元ポート aa から

          (port.src eq aa)

          例:(port.src eq 22)

          説明:送信元ポート22からのすべてのトラフィックを表示

 

     宛先ポート aa へ

          (port.dst eq bb)

          例:(port.dst eq 25)

          説明:宛先ポート25へのすべてのトラフィックを表示

 

     送信元ポート aa から宛先ポート bb へ

          (port.src eq aa) and (port.dst eq bb)

          例:(port.src eq 23459) and (port.dst eq 22)

          説明:送信元ポート23459から宛先ポート22へのすべてのトラフィックを表示

 

     送信元ポート aa 以下のすべてのポートから

          (port.src leq aa)

          例:(port.src leq 22)

          説明:送信元ポート1 - 22からのすべてのポートを表示

 

     送信元ポート aa 以上のすべてのポートから

          (port.src geq aa)

          例:(port.src geq 1024)

          説明:送信元ポート1024 - 65535からのすべてのトラフィックを表示

 

     宛先ポート aa 以下のすべてのポートへ

          (port.dst leq aa)

          例:(port.dst leq 1024)

          説明:宛先ポート1 - 1024へのすべてのトラフィックを表示

 

     宛先ポート aa 以上のすべてのポートへ

          (port.dst geq aa)

          例:(port.dst geq 1024)

          説明:宛先ポート1024 - 65535へのすべてのトラフィックを表示

 

     aa から bb までの送信元ポート範囲から

          (port.src geq aa) and (port.src leq bb)

          例:(port.src geq 20) and (port.src leq 53)

          説明:送信元ポート20 - 53の範囲からのすべてのトラフィックを表示

 

     aa から bb までの宛先ポート範囲へ

          (port.dst geq aa) and (port.dst leq bb)

          例:(port.dst geq 1024) and (port.dst leq 13002)

          説明:宛先ポート1024 - 13002へのすべてのトラフィックを表示

 

 

日付/時間のトラフィック フィルタの例

 

     特定の日時のすべてのトラフィック

          (receive_time eq 'yyyy/mm/dd hh:mm:ss')

          例:(receive_time eq '2015/08/31 08:30:00')

          説明:2015年8月31日 午前8時30分に受信したすべてのトラフィックを表示

 

     ある日時か、それ以前に受信したすべてのトラフィック

          (receive_time leq 'yyyy/mm/dd hh:mm:ss')

          例:(receive_time leq '2015/08/31 08:30:00')

          説明:2015年8月31日 午前8時30分か、それより以前に受信したすべてのトラフィックを表示

 

     ある日時か、それ以降に受信したすべてのトラフィック

          (receive_time geq 'yyyy/mm/dd hh:mm:ss')

          例:(receive_time geq '2015/08/31 08:30:00')

          説明:2015年8月31日 午前8時30分か、それ以降に受信したすべてのトラフィックを表示

 

     ある期間に受信したすべてのトラフィック

          (receive_time geq 'yyyy/mm/dd hh:mm:ss') and (receive_time leq 'YYYY/MM/DD HH:MM:SS')

          例:(receive_time geq '2015/08/30 08:30:00') and (receive_time leq '2015/08/31 01:25:00')

          説明:2015年8月30日 午前8時30分から2015年8月31日 午前1時25分の間に受信したすべてのトラフィックを表示

 

 

インターフェイスのトラフィック フィルタの例

 

     インターフェイス interface1/x でのインバウントのすべてのトラフィック

          (interface.src eq 'ethernet1/x')

          例:(interface.src eq 'ethernet1/2')

          説明:Palo Alto Networksファイアウォールのインターフェイス Ethernet 1/2 で受信したすべてのトラフィックを表示

 

     インターフェイス interface1/x でのアウトバウンドのすべてのトラフィック

          (interface.dst eq 'ethernet1/x')

          例:(interface.dst eq 'ethernet1/5')

          説明:Palo Alto Networksファイアウォールのインターフェイス Ethernet 1/5 で送信されたすべてのトラフィックを表示

 

 

許可/拒否のトラフィック フィルタの例

 

     ファイアウォールのルールによって許可されたすべてのトラフィック

          (action eq allow)

          OR

         (action neq deny)

          例:(action eq allow)

          説明:ファイアウォールのルールによって許可されたすべてのトラフィックを表示。'eq' の前に 'n' を置くことは、'not equal to' を意味します。そのため、'deny' ではないもの、つまり、許可されたすべてのトラフィックが表示されます。

 

     ファイアウォールのルールによって拒否されたすべてのトラフィック

          (action eq deny)

          OR

         (action neq allow)

          例:(action eq deny)

          説明:ファイアウォールのルールによって拒否されたすべてのトラフィックを表示。'eq' の前に 'n' を置くことは、'not equal to' を意味します。そのため、'allow' ではないもの、つまり、拒否されたすべてのトラフィックが表示されます。

 

 

トラフィック フィルタの組合せ例

 

     送信元がOUTSIDEゾーンで、かつ 10.10.10.0/24 のネットワーク内からで、かつ宛先がホスト 20.20.20.21 で、かつPROTECTゾーンへのすべてのトラフィック:

          (zone.src eq OUTSIDE) and (addr.src in 10.10.10.0/24) and (addr.dst in 20.20.20.21) and (zone.dst eq PROTECT)

 

     送信元ホストが 1.2.3.4 で、宛先ホストが 5.6.7.8、かつ2015年8月30日 0時0分から2015年8月31日 23時59分59秒までのすべてのトラフィック

          (addr.src in 1.2.3.4) and (addr.dst in 5.6.7.8) and (receive_time geq '2015/08/30 00:00:00') and

          (receive_time leq '2015/08/31 23:59:59')

 

 

著者:reaper