Palo Alto Networks ファイウォールでライセンスの有効期限が切れた場合に何が起こりますか?

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

What Happens When Licenses Expire on the Palo Alto Networks Firewall?

https://live.paloaltonetworks.com/t5/Management-Articles/What-Happens-When-Licenses-Expire-on-the-Pa...

 

質問:

Palo Alto Networks ファイウォールでライセンスの有効期限が切れた場合に何が起こりますか?

 

回答:

ファイアウォールでライセンスの有効期限が切れた場合、下記の事象が発生します。

  • Support - オンラインでのソフトウェア アップデートが不可となります。
  • Threat Prevention - ThreatおよびAntivirus アップデートが実行されなくなり、スキャンには現状のデータベースが利用されます。
  • GlobalProtect サブスクリプション - iOSおよびAndroid デバイスからのVPN接続が不可になります。
  • WildFire - FreeバージョンのWildFire機能で動作します。つまり:
    • WildFireではPortable ExecutableもしくはPEファイルのアップロードのみサポートします。
      PEファイルタイプとは、拡張子が .exe、.dll、.scrのファイルや、PEのヘッダー マジック ナンバーと一致したその他の拡張子のファイルを含むコンテナを意味します。
    • WildFire シグネチャに関しては、WildFire ライセンス有効時のようにWildFire signature feed (5分間隔)でのアップデートは行われませんが、有効なThreat Preventionのライセンスによりアップデートは行われます。
  • URL Filtering
    • BrightCloud - BrightCloud データベースのアップデートは行われなくなります 。
      • URL Filtering ライセンスが切れた際の全体の通信に対するURL Filteringのアクションを指定できます。
        WebGUIObjects > セキュリティ プロファイル > URL フィルタリングへ進み、任意のプロファイル名をクリックし下記のウィンドウを表示します。URL Filtering ライセンスが切れた際のアクションとして、通信を許可("allow") もしくはブロック("block") の2つのオプションから選択できます。
        Action On License Expiration で設定されたアクションは、当該URL Filtering プロファイルが適用されたルールにマッチする全てのウェブ通信に適用されます。アクションが"block"に指定されている場合、このルールにマッチする全てのウェブ通信は許可されません。アクションが "allow"に指定されている場合、通信は許可されます。
        Screen Shot 2018-03-27 at 11.28.20 AM.pngURL Filtering profile showing Action On License Expiration (BrightCloud)
    • PAN-DB - PAN-DB クラウドではURLのルックアップとアップデートがブロックされます。
      • URL のカテゴライズには現状のデータベースが引き続き利用されます。現状のURL Filtering セキュリティ プロファイルで各カテゴリ毎に指定されているアクションがウェブ通信に適用されます。
      • URL エントリがキャッシュに存在する場合は、ルックアップの結果としてキャッシュ内のどのカテゴリでも返ります。
      • キャッシュ内のエントリが期限切れの場合もしくは存在しない場合は、ファイアウォールは最新の情報をクラウドへ問い合わせることができません。
      • カテゴライズされないURLへの通信は許可されます。
      • カスタム カテゴリ設定で指定されているURLは引き続きカスタム カテゴリに一致する動作になります。
      • PAN-DBの場合、URL Filtering セキュリティプロファイルに"Action On License Expiration option"設定はありません。

新しいライセンスを取得した場合

ファイアウォールでDevice > ライセンス より新しいライセンスを取得した場合は、適用後すぐにライセンスに準じた通常の動作に戻ります。

注: ファイアウォール上で再度動作させるためのcommitや再起動は不要です。

 

著者: jjosephs

コメント

The behavior of URL Filtering - PAN-DB changed and updated on the each admin guide as following.

 

Enable PAN-DB URL Filtering
(PAN-OS 8.0.x) : https://www.paloaltonetworks.com/documentation/80/pan-os/pan-os/url-filtering/enable-a-url-filtering...

If the license expires, PAN-DB URL Filtering continues to work based on the URL category information that exists in the dataplane and management plane caches. However, URL cloud lookups and other cloud‑based updates will not function until you install a valid license.

 

(PAN-OS 8.1.x) :  https://www.paloaltonetworks.com/documentation/81/pan-os/pan-os/url-filtering/enable-a-url-filtering...

If the license expires, the firewall ceases to perform PAN-DB URL Filtering; URL category enforcement, URL cloud lookups, and other cloud based updates will not function until you install a valid license.