マネジメントポートをデフォルト以外のポートに変更する方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

How to Change the Default Management Port

https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Change-the-Default-Management-Por...

 

概要

デフォルトのマネジメント ポート以外からのどのポートからも、 Palo Alto Networksファイアウォールへのアクセスを許可することは可能です。この文書はTrustゾーンのloopbackインターフェイスを使用した、UntrustゾーンからのHTTPSとSSHでのファイアウォールへのアクセス方法について記載します。

 

 

手順

  1. ファイアウォール上でloopbackインターフェイスを設定し、必要なタイプのアクセスを許可するインターフェイス管理プロファイルを割り当てます。
    注: - アクセスを許可するインターフェイス管理プロファイルはUntrustインターフェイスではなく、loopbackインターフェイスにのみ設定する必要があります。The management profile permitting access only needs to be on the loopback interface, and not the Untrust interface.
               - loopbackインターフェイスに割り当てるIPアドレスは、データ プレーンあるいはマネジメント プレーンとは異なるユニークなものとしてください。
    port-Loopback.PNG.png
  2. ファイアウォールへのアクセスを許可するデフォルトでないポートのためのユーザー定義のサービスを設定します。この例ではTCP/7777をHTTPSに、TCP/7778をHTTTPに割り当てます。
    port-port.PNG.png
  3. ユーザー定義のポートをデフォルトのアクセスのポートに変換するNAT ポリシーをそれぞれ設定します。
    port-NAT.PNG.png
  4. Untrustインターフェイスへのインバウンド アクセスを許可するセキュリティ ポリシーを設定します。このセキュリティ ポリシーに、特定のポートを許可する設定としても構いません。
    port-security.PNG.png
  5. 変更をコミットします。
  6. コミットが完了すると、アクセスを許可するユーザー定義のポートを使用して、Untrustインターフェイス経由でのファイアウォールへのアクセスが可能となります。
    port-login.PNG.png

 

著者: tasonibare