Palo Alto Networks ファイアウォールのポリシー中でのIPアドレス リスト使用方法

Printer Friendly Page

この記事は以下の記事の日本語訳です。
Using IP Address Lists on Palo Alto Networks Policies

https://live.paloaltonetworks.com/t5/Configuration-Articles/Using-IP-Address-Lists-on-Palo-Alto-Netw...

 

 

詳細

ファイアウォールのポリシーにて使用するIPアドレス リストおよびそのインポート手段には、複数の方法があります。

 

選択肢

定義済みの地域(Region)またはカスタムの地域の使用
定義済みの地域あるいはカスタムで作成した地域の使用法についてはHow to Configure a Security Policy to Use a Region(訳注1)をご覧ください。カスタムの地域は単体のIP(x.x.x.x)、範囲指定(x.x.x.x-y.y.y.y)ないしはIP/ネットマスク(x.x.x.x/n)となります。もしカスタムの地域を使用しており、そして隣接していないアドレス体系をWeb GUIかCLIで手動で追加した場合、CLI端末上でのコマンドのリストをコピーしたり、バッチ処理したりすることができます。

 

> configure
# set region <RegionName>
# set region <RegionName> address <IPAddress_01>

where

<RegionName> is a string (31 characters max)
<IPAddress> is a list of values, an IP range, or ip/netmask

 

エントリーの削除
# delete region <MyRegion> address <IPAddress_nn>

 

使用しているすべての地域の削除
# delete region <MyRegion>


注: 変更後はコミットを実行してください。

 

FQDNアドレスオブジェクトの使用

DNS Aレコードは権威のない複数の回答に関連付けられます。Palo Alto Networks ファイアウォールは権威のない回答のうち最初の10個の回答のみを読み込んでキャッシュします。この動作の詳細はFQDN オブジェクトの設定およびテスト方法を参照してください。このソリューションは10個以上のIPアドレスがリストにある場合にはスケールせず、DNS問い合わせは設定されたDNSサーバーに到達するインターフェイスのIPアドレスを送信元として使用します。サービスルートを設定しない限りは、デフォルトの管理インターフェイスのアドレスがDNS問い合わせに使用されます。DNS サービスルートの設定とその注意点についてはDNS Service Route is Applied to All Traffic Going to DNS Server IP Addressを参照してください。

 

 

ダイナミック ブロック リスト(EBL)の使用(訳注2)

この方法はウェブサーバー上へのテキストファイルのホスティングが必要となります。"繰り返し”オプションにて毎時、毎日、毎週、月次といった形での更新が可能です。ダイナミック ブロック リスト オブジェクトの作成後は、該当のアドレス オブジェクトをポリシーの送信元や宛先のフィールドに使用できます。インポートしたリストはIPアドレス(IPv4とv6の合計)、IPの範囲、またはサブネット指定です。エントリーの上限については外部ブロック リスト (EBL) のフォーマットと制限の操作をご覧ください(訳注3)。また設定の詳細はDynamic Block List (DBL) や External Block List (EBL)の構成方法について をご覧ください。

 

 

ダイナミック アドレス グループの使用

ダイナミック アドレス グループを使うとPalo Alto Networks APIを活用できます。IPアドレスのリストはXMLフォーマットに準拠する必要があります。この方法は大変スケーラブルかつフレキシブルで、自動でダイナミック アドレス グループをサードパーティーのスクリプトで変更する場合に推奨されます。ダイナミック アドレス グループを使用する大きな利点は、既存のダイナミック アドレス グループに対してIPアドレスの追加や削除をコミットなしで迅速に行えることです。詳細はWorking with Dynamic Address Groups on the Palo Alto Networks firewallをご覧ください。

 

スタティック アドレス グループの使用

アドレス オブジェクトはWeb GUI上で作成でき、アドレス グループに関連付けられます。この処理はCLIでバッチ化することも可能です。詳細は How to Add and Verify Address Objects to Address Group and Security Policy through the CLIをご覧ください。

> configure

# set address <AddressObject_01> ip-netmask 1.1.1.1/32

# set address <AddressObject_02> fqdn my.example.com

.

.

.

# set address <AddressObject_nn> ip-range 2.2.2.2-3.3.3.3

# set address-group <AddressGroup> static [ <AddressObject_01> <AddressObject_02> ...<AddressObject_nn> ]

 

変更を有効にするためにコミットを実行してください。

 

注:

<AddressObject> 部分は以下のフォーマットとなります。

     <ip-range>

     <ip/netmask>

     <fqdn>

 

アドレス オブジェクトを削除するには以下のコマンドを使用してください。

# delete address <AddressObject_01> ip-netmask 1.1.1.1/32

# delete address <AddressObject_02> fqdn my.example.com

.

.

.

# delete address <AddressObject_nn> ip-range 2.2.2.2-3.3.3.3

 

注:アドレス オブジェクトは個別のエントリーであり、スタティック アドレス グループを削除しても、そのグループが参照するアドレス オブジェクトは削除されません。

以下のコマンドのいずれかでアドレス オブジェクトの関連付けを解除します。

# delete address-group <AddressGroup> static <AddressObject_nn>

# delete address-group <AddressGroup> static ><AddressObject_01> <AddressObject_02> ... <AddressObject_nn> ]

 

すべてのグループを削除するには以下のコマンドを使用します。

# delete address-group <AddressGroup> static

 

変更を有効にするためにコミットを実行してください。

 

訳注1:原文では Palo Alto Networks Pre-defined Regions を参照していますが、現在このドキュメントは参照ができないため、本文中では別のドキュメントを参照しています。

訳注2:PAN-OS 7.1から"外部ダイナミック リスト"に名称を変更しています。

訳注3:参照ドキュメントを加えた上で、原文より記載を変更しています。

 

著者:mivaldi