ホームオフィス、小規模オフィス向けPA-200セットアップ

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

Setting Up the PA-200 for Home and Small Office

https://live.paloaltonetworks.com/t5/Configuration-Articles/Setting-Up-the-PA-200-for-Home-and-Small...

 

概要

この文書はホーム オフィス、小規模オフィス向け設定のクイック スタートアップ ガイドです。

訳注: 一部の説明、スクリーンショットの記述が最新のPAN-OSでは若干異なっている場合があります。

 

提案の構成に必要な装置

  • Palo Alto Networks PA-200ファイアウォール.
    注: PA-500などの他機種も同様に設定いただけます。
  • モデム。DHCPによりパブリックIPアドレスをアサインされます。
  • 無線ルーター。典型的なモデルは4ポート以上の有線LANポートと 、1無線LANインターフェイスを持ちます。
  • RJ-45 UTPストレート ケーブル×3。

注: ギガビット イーサネットを考慮しCAT5eまたCAT6を推奨します。

 

構成

Untitled Diagram (2) (1).jpg

 

WebGUIにアクセス

  1. UTPケーブルでコンピューターとPalo Alto NetworksファイアウォールのMGTポートを接続します。
  2. コンピューターのイーサネット ポートにIPアドレス 192.168.1.2とサブネットマスク 255.255.255.0を設定します。デフォルト ゲートウェイの設定は必要ありません。 
  3. ウェブ ブラウザを開き、https://192.168.1.1にアクセスします。工場出荷時はName: admin、Password: adminでログインできます。

 

セキュリティー ゾーンの設定

  1. Network > ゾーンに移動し、追加をクリック
  2. 3つのゾーンを作成。
    • Untrust-L3、タイプ レイヤー 3
    • Trust-L3、タイプ レイヤー 3
    • Trust-L2、タイプ レイヤー 2
      Screen+Shot+2014-10-16+at+3.31.59+PM.png
      Screen+Shot+2014-10-16+at+3.34.26+PM.png
      Screen+Shot+2014-10-16+at+3.35.00+PM.png

各ゾーン設定を行うと、下記のスクリーン ショットのように表示されます。

Screen Shot 2014-10-16 at 3.36.18 PM 1.png

 

ISPモデムとファイアウォールとの接続

ISP提供のモデムとPalo Alto Networksファイアウォールのethernet1/1をUTPケーブルで接続します。

  1. WebGUI上にてNetwork > インターフェイス に移動し、ethernet1/1を設定します。
  2. ethernet1/1をクリックし、Ethernet インターフェイス画面が開きます。
    • インターフェイス タイプをレイヤー 3に設定します。
    • 仮想ルーターをdefaultに設定します。
    • セキュリティ ゾーンをUntrust-L3に設定します。
      Screen Shot 2014-10-13 at 5.18.55 PM.png
  3. IPv4に移動します。
    • ISPがDHCPで自動的にクライアントに設定を配布するモデムを提供している場合、タイプをDHCPクライアントに設定してください。
      注:"サーバー提供のデフォルト ゲートウェイを指すデフォルト ルートを自動的に作成"を有効にすると、仮想ルーター'default'にデフォルト ルートが作成されます。
      Screen Shot 2014-10-13 at 5.17.13 PM.png
    • ISPが手動で固定の設定をする必要があるモデムを配布している場合、固定IPアドレス、サブネット マスクを設定します。 
      設定例:
      Screen Shot 2015-04-30 at 2.39.22 PM.png
      次に Network > 仮想ルーター > 'default' > スタティック ルート > IPv4に移動し、ISPのネクスト ホップを指す静的ルートを作成します。

設定例:
Screen Shot 2015-04-30 at 2.40.42 PM.png

注: スクリーン ショット上のIPアドレスは例となります。ISPにより指定されたIPアドレスを設定してください。

 

無線ルーターとの接続

一般的な推奨事項

  • 二重での送信元NATを避けるため、無線ルーターのWAN側またはインターネット用ポートは使用しないでください。それによって事実上アクセス ポイント モードとして使用することとなります。
  • 無線LANルーターのDHCPサーバー機能は無効にしてください。DHCPサーバーはファイアウォールの'vlan'インターフェイスに設定します。
  • 無線ルーターの管理用IPアドレスとして、192.168.1.253を設定してください。
  • 無線ルーターのポートの一つを、Palo Alto Networksファイアウォールのethernet 1/2ポートに接続します。

 

VLAN Objectの作成

  1. Network > VLANに移動し、追加をクリック。
  2. 名前を入力して、さらにVLANインターフェイスで'v'を入力してvlanを選択してください。 
    Screen Shot 2014-10-17 at 3.47.32 PM.png

 

レイヤー 2ポートとVLAN Objectの設定

  1. Network > インターフェイスに移動し、各ethernet1/Xを設定します。Go to Network > Interfaces > Ethernet.
  2. ethernet1/2, ethernet1/3 and ethernet1/4 インターフェイスで下記の設定をしてください。
    • インターフェイス タイプ:レイヤー 2
    • Netflowプロファイル:None
    • VLAN:VLAN Object
    • セキュリティ ゾーン:Trust-L2
      Screen Shot 2014-10-15 at 4.19.03 PM.png
      Screen Shot 2015-04-30 at 4.12.18 PM.png
      Screen Shot 2015-04-30 at 4.12.32 PM.png

 

VLANインターフェイスの設定

Network > インターフェイス > VLAN に移動し、以下を設定。

設定 タブ

  • VLAN:VLAN Object
  • 仮想ルーター:default
  • セキュリティー ゾーン:Trust-L3
    Screen Shot 2014-10-15 at 4.21.25 PM.png

IPv4 タブ

追加をクリックして192.168.1.254/24を入力。
Screen Shot 2014-10-17 at 3.51.11 PM.png

 

DHCPサーバーの設定

  1. Network > DHCP > DHCP サーバーに移動します。
  2. 追加をクリックします。
  3. DHCPサーバー設定を以下のスクリーン ショットを参考に編集します。
    • ISPがDHCPで自動的にクライアントに設定を配布するモデムを提供している場合、ファイアウォールのDHCPサーバーはDHCPクライアント機能にて、ISP受信した設定を引き継がせること(inherited)ができます。こうしてISPから得られた設定を引き継いで、 ローカルのネットワークの設定にそれらを受け渡すことができます。

Screen Shot 2015-04-30 at 3.53.41 PM.png

    • ISPが手動で固定の設定をする必要があるモデムを配布している場合、ローカル ネットワーク用の設定を行います。
      注:GoogleによるパブリックDNSサーバー 8.8.8.8と8.8.4.4のアドレスをここでは例として使用しています。しかし、ISPによって提供されるDNSサーバーの設定を推奨します。
      Screen Shot 2015-04-30 at 3.56.33 PM.png

 

セキュリティ プロファイル グループの定義

  1. Objects > セキュリティプロファイル グループに移動し、追加をクリックします。
  2. セキュリティ プロファイル グループを要件に応じて編集します。
    Screen Shot 2014-10-15 at 4.37.27 PM.png
    注:上記例のプロファイルは、ユーザー様へのご紹介目的でPalo Alto Networksファイアウォールのデフォルト設定を使用しています。実際の設定にあたっては、ここで選択しているプロファイルが、ユーザ様の要件に合致しているかの確認のため、プロファイルに関する設定を十分にレビューされることを推奨します。

 

インターネット接続セキュリティ ポリシーの設定

  1. Policies > セキュリティに移動し、追加をクリック。
  2. 名前と内容を入力。
    Screen Shot 2014-10-15 at 4.35.55 PM.png
  3. 送信元ゾーンを追加。
    Screen Shot 2014-10-15 at 4.36.08 PM.png
  4. 宛先ゾーンを追加。
    Screen Shot 2014-10-15 at 4.36.22 PM.png
  5. アクションをAllowとし、さらにプロファイルを設定。
    Screen Shot 2014-10-15 at 4.36.43 PM.png

 

インターネット接続用NATポリシーの設定

  1. Policies > NATに移動し、追加をクリック。
  2. 名前を入力し、NATタイプでIPv4を選択。
    Screen Shot 2014-10-15 at 4.49.09 PM.png
  3. 元のパケットにて、送信元ゾーン、宛先ゾーン、宛先インターフェイスを設定。
    Screen Shot 2014-10-15 at 4.49.28 PM.png
  4. 変換済みパケットにて、以下を設定。
    • 変換タイプ:ダイナミック IPおよびポート
    • アドレス タイプ: インターフェイス アドレス
    • インターフェイス: ethernet1/1
      Screen Shot 2014-10-15 at 4.49.36 PM.png

 

管理IPの設定

Device > セットアップ > 管理に移動し、 以下の管理インターフェイス設定を行います。

  • IP アドレス
  • ネットマスク
  • デフォルト ゲートウェイ
    Screen Shot 2014-10-17 at 3.55.14 PM.png

 

管理ネットワーク用DNSの設定

  1. Device > セットアップ > サービスに移動します。
  2. DNSサーバーのIPアドレスを入力します。例:Google パブリックDNSの 8.8.8.8および8.8.4.4。
    注:これらはファイアウォールにライセンスをインストールする際に、設定されているはずの項目です。もしライセンスがインストールされていないのであれば、ファイアウォールがライセンス サーバーに接続できていない可能性も考えられます。
    Screen Shot 2014-10-17 at 3.56.54 PM.png

変更のコミット

変更した設定をコミット操作により、ファイアウォールの実行用の設定(running config)に反映させます。DHCPでのIPアドレス割り当てのため、インターネット モデムの再起動が必要となる可能性があります。

 

著者:mivald