ルール タイプ Universal、Intrazone、Interzone について

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

What are Universal, Intrazone and Interzone Rules?

https://live.paloaltonetworks.com/t5/Management-Articles/What-are-Universal-Intrazone-and-Interzone-...

 

 

詳細

セキュリティ ポリシーを設定する時、ルールベースを見ても、どのルールにも合致していないトラフィックがどうなるのか明確にはわかりません。さらに、明示的にルールを作成する以外にそのトラフィックに対する扱い方を変える方法はありません。多くの場合、ユーザーは単にこれらのトラフィックに対してロギングすることだけを必要とすることが多いでしょう。あるいはイントラ ゾーンのトラフィックの処理を簡単に変更することを要求するユーザもいるかもしれません。現時点では、これらの要求に対しては各ゾーンに対して明示的なルールを設定する必要があります。

 

PAN-OS 6.1より前のリリースでは、セキュリティ ポリシーの中にはルール タイプという分類はありませんでした。ルール タイプは、PAN-OSのバージョン6.1から組み込まれた新しい機能です。この機能により、"interzone"や"intrazone"、"universal"というパラメータに基づいてルールを作成するオプションが提供されるようになりました。この機能を利用すると、どのルールがネットワーク内のゾーンに基づいて作られているか管理者が制御することができ、監査をしている最中にも役立ちます。

 

PAN-OS 6.1以降のバージョンでは、デフォルトのセキュリティ ルールは、以下に示されているように通常のセキュリティ ルールの最後に付与されています。

  • "intrazone-default"ルール名の隣にある緑色の歯車アイコンは、そのルールは事前定義済みのものか、あるいはPanoramaからきているものであることを示しています。歯車アイコンにカーソルを合わせると、ツール チップが表示されます。
  • "interzone-default"ルール名の隣にある二重の歯車イメージは、ルールが現在のVSYSにあり、事前定義済みあるいはPanoramaからプッシュされた別のルールの値をオーバーライドしていることを示しています。
  • "intrazone-default"ルールのアクションは許可です。
  • "interzone-default"ルールのアクションは拒否です。

doc-57491-2.png

 

下記の表は、ルール タイプとその説明を詳細に記載しています。

ルール タイプ 説明
Universal

デフォルトではこのルール タイプの場合、2つのゾーン間のすべてのトラフィックは、同じゾーンまたは異なるゾーンに関係なく、指定された送信元ゾーンおよび宛先ゾーンにマッチする全てのトラフィックに適用されます。

例えば、送信元ゾーンをAとB、宛先ゾーンをAとBと設定したUniversalルールを作成した場合、そのルールはゾーンA間(ゾーンAからゾーンA)のすべてのトラフィック、ゾーンB間(ゾーンBからゾーンB)のすべてのトラフィック、そしてゾーンAからゾーンBへのすべてのトラフィック、ゾーンBからゾーンAへのすべてのトラフィックに適用されます。

Intrazone

同じゾーン間のトラフィックを許可するセキュリティ ポリシーです。このルール タイプでは指定された送信元ゾーン内のマッチする全てのトラフィックに適用されます。 (intrazoneルールでは、宛先ゾーンを特定することはできません)。

例えば、送信元ゾーンをAとBに設定する場合、そのルールは、ゾーンA間(ゾーンAからゾーンA)のすべてのトラフィックとゾーンB間(ゾーンBからゾーンB)のすべてのトラフィックに対して適用されますが、ゾーンAとゾーンB間のトラフィックには適用されません。

Interzone

2つの異なるゾーン間のトラフィックを許可するセキュリティ ポリシーです。しかしこのタイプが指定された場合、同じゾーン間のトラフィックは許可されません。このルール タイプでは、指定された異なるゾーン間の全てのマッチするトラフィックに適用されます。

例えば、送信元ゾーンをAとBとCに、宛先ゾーンをAとBに設定する場合、そのルールは、ゾーンAからゾーンBへ、ゾーンBからゾーンAへ、ゾーンCからゾーンAへ、ゾーンCからゾーンBへのトラフィックに適用されますが、同じゾーン間(AやBやC)のトラフィックには適用されません。

 

ユーザーが定義したセキュリティ ルールは、以下のように"universal"や"intrazone"、"interzone”として設定することができます。

doc-57491-1.png

 

あるルールが"intrazone"として設定されている時、宛先ゾーンは変更することができません (グレーアウトしています)。その値は、送信元ゾーンから来ています。

doc-57491-3.png

 

事前定義済みであったり、Panoramaからの"intrazone-default"と"interzone-default"ルール名、あるいは機能は、変更することができません。

画面の縁が緑色で囲われ、タイトルに「読み取り専用」と書かれていることが、変更できないことを示しています。

Intrazone4-1.png

事前定義済みのものや、Panoramaからの"intrazone-default"と"interzone-default"ルールを変更するためには、ユーザーは、これらのルールをオーバーライドしなければなりません。

"intrazone-default"と"interzone-default"ルールは、ルール名の隣に二重になっていない緑色の歯車アイコンがある場合にはオーバーライドできます。

「オーバーライド」をクリックすると、2つのタブだけを持つ、セキュリティ ルールの編集画面が表示されます。

全般タブでは、タグだけを変更することができます。

Intrazone5-1.png

 

アクション タブにて、プロファイル設定とログ設定だけを変更することができます。

Intrazone6-1.png

 

事前定義済みのものや、Panoramaがプッシュした値を元に戻すには、「戻す」アクションにより行うことができます。Panoramaでは、デフォルトのルールはセキュリティのノードの中にあり、プレ ルールとポスト ルールの下にあります。

ルール名の隣にある緑色の歯車アイコンは、そのルールは"ancestor"デバイス グループや"shared"、"Predefined"から来ていることを示しています。

ルール名の隣にある二重の歯車アイコンは、そのルールは"ancestor"デバイス グループのルールや"shared"ルール、"Predefined"ルールをオーバーライドしていることを示しています。

ユーザーは、以下のように、"intrazone-default"、あるいは"interzone-default" ルールをオーバーライドすることができます。

Intrazone8-1.png

 

Panorama

VMとM-100 Panoramaは新しい機能をサポートしています。新しいデフォルト ルールは、ポスト ルールの下に表示されています。

 

Panoramaについての詳細:

  • デフォルトのルールは、デバイスのデータプレーンにプッシュされると、他のどのルールよりも後に実行されることになります。
  • Palo Alto Networksデバイス上で、ローカルに"interzone-default"や"intrazone-default"に行われた変更は、Panoramaからプッシュされたどの変更よりも優先されます。

 

Panorama 6.1 と 5.x/6.0 PAN-OSデバイスとの相互作用:

バージョン6.1のPanorama からバージョン6.1より前のPANOSデバイスへセキュリティ ルールをプッシュする場合、期待される動作は以下のとおりです。

  • 事前定義済みのデフォルト ルールは、プッシュされるルールベースから削除される。
  • "intrazone"や"interzone"タイプのルールはプッシュされるルールベースから削除される。
  • "universal"タイプのルールは、バージョン6.1以前のルールに変換される。
  • Panoramaは、すべてのルールがバージョン6.1以前のデバイスにプッシュされるわけではないという警告を出す。
    admin@Panorama> show jobs id 25970

 

Enqueued            ID Type      Status    Result     Completed

--------------------------------------------------------------------------

2014/07/22 22:03:38 25970        CommitAll FIN        OK 100 %   

Warnings: 001606007416 is below 6.1, removing intrazone and interzone rules

- 010401000006                   commit succeeded     OK 22:03:39 22:03:57

- 001606007416                   commit succeeded     OK 22:03:39 22:05:15

 

アップグレード/ダウングレード:

  • アップグレード:"intrazone-default"や"interzone-default"という名前のルールが既にある場合、"custom-intrazone-default"や"custom-interzone-default"に名前を変更する必要があります。
    注:PAN-OS 6.1にアップグレードする時、セキュリティ ルールベースの中にあるすべての既存のルールは、"universal"ルールに変換されます。
  • ダウングレード:全ての"universal"ルールから「ルール タイプ」を削除します。全ての"intrazone"や"interzone"ルールを削除します。

 

参照

PAN-OS 6.1 Administrator's Guide

 

 

著者:jdelio