ナレッジドキュメント

※この記事は以下の記事の日本語訳です。 How to Set the Palo Alto Networks Firewall to Allow non-Syn First Packet https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Set-the-Palo-Alto-Networks-Firewall-to-Allow-non-Syn/ta-p/62868   PAN-OS 5.0、6.0   概要 Palo Alto Networks ファイアウォールは、デフォルトでは、セキュリティ対策として、SYN フラグが立っていない最初のパケットを拒否します。正常な TCP コネクションは 3-ウェイ ハンドシェイクから開始します。つまり、ファイアウォールが確認した最初のパケットが SYN パケットではない場合、それは有効なパケットではない可能性があるため、破棄されます。   まれに、このセキュリティ チェックをせずにパケットを許可することが必要な場合があります。通常、非対称ルーティングが理由で、この機能を無効にすることが必要とされます。   詳細 このオプションを恒久的に無効にするためには、次の CLI コマンドを実行します: > configure # set deviceconfig setting session tcp-reject-non-syn no # commit この機能を元に戻す場合は、次の CLI コマンドを使用します: > configure # set deviceconfig setting session tcp-reject-non-syn yes # commit 非 SYN の TCP パケットを一時的に許可するためには、次の CLI コマンドを実行します (Configure モードではありません): > set session tcp-reject-non-syn no 注: このコマンドは一時的であり、コミットもしくはコミットを発生させる変更もしくはリブートの後に元に戻ります。 さらに、これらの設定はゾーンごとの GUI で、以下のように Zone Protection を使用して変更できます。 Network > Zone Protection へ移動 Add をクリック Packet Based Attack Protection > TCP/IP Drop を選択 Packet-Based Attack Protection の定義を参照するためには、ウィンドウの右上角のヘルプ ('?') をクリックします。いくつかの重要な定義を以下に説明します: Reject Non-SYN TCP - TCP セッション セットアップの最初のパケットが SYN パケットでない場合にパケットを拒否するかどうかを決定します: Global - CLI で割り当てたシステム全体の設定を使用します。 yes - 非 SYN TCP を拒否します。 no - 非 SYN TCP を受け入れます。 注: 非 SYN TCP トラフィックを許可すると、ブロック発生後クライアントおよび/またはサーバー コネクションが設定されていない場合に、ファイルをブロックするポリシーが期待通りに動作しない可能性があります。   Asymmetric Path - 非同期 ACK またはウィンドウ範囲外のシーケンス番号を含むパケットをドロップまたはバイパスするかどうかを決定します: global - CLI で割り当てたシステム全体の設定を使用します。 drop - 非対称パスを含むパケットをドロップします。 bypass - 非対称パスを含むパケットのスキャンをバイパスします。   Network > Zones へ移動し、この Zone Protection Profile を必要な Interface/Zone に適用します。下記例では Zone Protection Profile は適用されていません。 Zone、例えば "Untrust1" をクリックし、下記に示すように Zone Protection Profile を追加して、Zone Protection Profile のドロップ ダウン メニューからその Zone Protection Profile を選択します。 目的の Zone Protection Profile を選択したら、OK をクリックします。下記例では "Untrust1" ゾーンに Zone Protection Profile "Recon-Protect-Alert" が適用されています。   著者: ppatel
記事全体を表示
kishikawa ‎07-10-2016 10:42 PM
8,425件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Block Traffic Based Upon Countries https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Block-Traffic-Based-Upon-Countries/ta-p/52217   詳細 Palo Alto Networks ファイアウォールでは、宛先あるいは送信元となる国全体のトラフィックをブロックすることが可能です。この機能は、PAN-OS が内部データベースからグローバル IP アドレスと地域のマッピングを取得することによって動作しています。この情報は毎週実行される content アップデートによって更新され、ファイアウォールはそのデータベースを維持しています。   手順 Policies > セキュリティ > 追加をクリック > 送信元、宛先フィールドを選択 > 追加をクリックします。 アドレス、アドレスグループ、及び地域の3つの選択オプションがあります。 以下のように、「地域」を選択します。 すべての国と、対応する地域コードが以下のとおり確認できます。 ブロックする国を選択します。ここでは China (CN )を例にしています。 ユーザーは「追加」をクリックして、国の中から特定のパブリック IP アドレスを指定することが出来ます。その国は以下のように宛先に追加されます。 最終的にセキュリティ ポリシーは以下のように表示されます。このコンフィグレーションでは、ポリシーで設定された国に基づいて、その国が送信元、あるいは宛先となるトラフィックすべてがブロックされます。 Object > 地域をクリックし、以下のように地域のオブジェクトを作成することも可能です。 新しい地域は、トラフィックと脅威マップの作成にも利用される「Geo Location」を指定して作成することも出来ます。これはその地域の正確な座標を指定することによって可能です。 注:EU のような幾つかの地域は、すべての EU の国が含まれていないことがあります。これらの国は、地域と一緒に追加する必要があります。   参照 Region Object Not Working in Security Policy     著者: dantony
記事全体を表示
hfukasawa ‎07-09-2016 10:07 PM
4,018件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure Group Mapping Settings https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-Group-Mapping-Settings/ta-p/57258   概要 Palo Alto Networks のファイアウォールは、Active Directory や eDirectory などの LDAP サーバーからユーザーとグループのマッピング情報を取得することが出来ます。マッピング データはファイアウォール(PAN-OS 5.0 から機能が追加されたエージェントレスの User-ID 経由)、あるいはファイアウォールのプロキシとして設定された User-ID Agent からのLDAP クエリによっても取得できます。このドキュメントでは、Palo Alto Networks のファイアウォールでのグループ マッピング設定方法を説明します。   手順 LDAP サーバー プロファイルを設定します。手順はこちらを参照してください。 How to Configure LDAP Server Profile Device > ユーザーID > グループ マッピング設定タブにて「追加」をクリックし、新しくグループ マッピング エントリを作成し、LDAP ディレクトリからどのようにグループとユーザを取得するか設定します。以下のスクリーンショットを参照してください。 名前を入力します。マルチ Virtual System を利用している場合、ドロップダウン リストの選択フォームが表示されます。 サーバー プロファイル タブのドロップダウン リストで、1. で作成した LDAP サーバー プロファイルを選択します。 注:すべての属性とオブジェクト クラスは、LDAP サーバー プロファイルで選択したディレクトリ タイプに基づいて値が入力されます。 デフォルトのユーザー グループのアップデート間隔は 3600 秒(1時間)です。変更する場合はアップデート間隔の値を入力してください。 許可リストのグループ化タブをクリックします。すべてのグループを取得する場合、「含まれたグループ」は空欄のままにしてください。選択したグループのみ取得する場合は、左側の欄からグループを選択します。 取得したグループ、LDAPサーバーとの接続をチェックするには以下のCLIコマンドを実行します。 > show user group-mapping state all > show user group list > show user group name <group name>   著者: apasupulati  
記事全体を表示
hfukasawa ‎07-09-2016 12:34 AM
3,639件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Forward Threat Logs to Syslog Server https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Forward-Threat-Logs-to-Syslog-Server/ta-p/59980   Threat ログを Syslog サーバーに転送するには、3 つの手順が必要です。 Syslog サーバー プロファイルを作成する Syslog サーバーへ転送される Threat ログを選択するためのログ転送プロファイルを作成 セキュリティ ルールでログ転送プロファイルを使用する 変更を Commit する     注: Informational の Threat ログには、URL、Data Filtering 及び WildFire ログが含まれます。   Syslog サーバー プロファイル Device > サーバー プロファイル > Syslog へ移動します。 名前 : Syslog サーバーの名前を指定します。 サーバー : ログが転送されるサーバーの IP アドレスを指定します。 ポート : デフォルトのポート番号は 514 です。 ファシリティ : 要件に応じてドロップ ダウンから選択します。 ログ転送プロファイル Objects > ログ転送に移動します。 Threat ログを転送するサーバーが設定された Syslog サーバー プロファイルを選択します。   一度設定すると、ログ転送は以下のように表示されます。     セキュリティ ルール Policies > セキュリティに移動します。 ログ転送が必要なルールを選択し、セキュリティ プロファイルをルールに適用します。 アクション > ログ転送に移動し、ログ転送プロファイルをドロップダウン リストから選択します。   変更を Commit します。    著者: ppatel  
記事全体を表示
hfukasawa ‎07-09-2016 12:24 AM
9,411件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Allow Ping and ICMP on Layer 3 Interface of Your Palo Alto Networks Device https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Allow-Ping-and-ICMP-on-Layer-3-Interface-of-Your-Palo/ta-p/58932   概要 Ping やその他の管理トラフィックを許可するには、インターフェース管理プロファイルを設定し、それをインターフェースに適用します。 手順 ネットワーク > ネットワークプロファイル > インターフェース管理に移動します。 ping を許可するプロファイルを作成します。 ネットワーク > インターフェースに移動し、詳細タブにて上記で作成したプロファイルをインターフェースに適用します。 変更を Commit します。 CLI では、以下を実行します。 > configure # set network profiles interface-management-profile mgmt ping yes # set network interface ethernet ethernet1/3 layer3 interface-management-profile mgmt 著者: panagent
記事全体を表示
hfukasawa ‎07-09-2016 12:14 AM
6,099件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Force User Group Mapping Refresh https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Force-User-Group-Mapping-Refresh/ta-p/62597   パロアルトネットワークス ファイアウォールにて ユーザー グループ マッピングの更新(refresh)を強制的に行うには、CLIで以下のコマンドを実行します。 > debug user-id refresh group-mapping (グループ マッピング名、または"all")   著者: shasnain
記事全体を表示
TShimizu ‎07-08-2016 12:09 AM
2,319件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure a Palo Alto Networks Device for Tap Mode Operation https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-a-Palo-Alto-Networks-Device-for-Tap-Mode/ta-p/59438     [Network] タブ > [ゾーン] に移動します。タイプがタップの新しいゾーンを作成し、名前をつけます(例:tapzone、intranetzone、など)。     [Network] タブ > [インターフェイス] に移動します。該当のインターフェイスのタイプをタップに編集します。それから前述の手順1で設定したゾーンを割り当てます(下記の図ではethernet1/1を使用しています)。       [Policies] > [セキュリティ] に移動します。ルールを作成し、手順1で作成したゾーンを送信元ゾーンと宛先ゾーンとしたルールを作成します。  例: 名前 = TAP_Allow 送信元ゾーン = Tap_Zone 宛先ゾーン = Tap_Zone ルール: any any any any any アクション = 許可 任意で脅威プロファイル(アンチウイルス、スパイウェアなど)を作成し、作成したルールに割り当てます。   著者: jnguyen
記事全体を表示
TShimizu ‎07-07-2016 01:57 AM
5,038件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure GlobalProtect for Authentication Using Only Certificates(訳注1) https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-GlobalProtect-for-Authentication-Using-Only/ta-p/54910   概要 この文書は証明書のみを使用したGlobalProtectの認証の設定手順を記載します。ユーザーはログインのための入力を促されることはありません。   手順 [Device] > [証明書の管理] > [証明書プロファイル] で証明書プロファイルを作成します。 [ユーザー名フィールド]が'サブジェクト'かつ右隣のグレーアウトされた欄が"common-name'であることを確認しておいてください。[CA証明書]欄にCA証明書を追加します。 下図は作成した証明書の一例です。 GlobalProtectゲートウェイを設定します。 [認証プロファイル]をNoneとし、前述の手順1で設定した証明書プロファイルを[証明書プロファイル]設定します。 GlobalProtectポータルを設定します。 [認証プロファイル]をNoneとし、[クライアント証明書]と[証明書プロファイル]を選択します。 注:クライアント証明書をファイアウォールで生成するということは、該当のクライアント証明書をサポートする証明書基盤がネットワーク上で構築済みであることが前提とされます。あるいは[クライアント証明書]はマルチユーザー環境では必要なく、推奨されません。それぞれのユーザーが認証局から個別の証明書を受け取って使用する運用とするため、ユーザーの証明書を署名した認証局を設定した[証明書プロファイル]を使うほうが良いでしょう(訳注2)。 [クライアントの設定]タブにて[シングル サインオンの使用(SSOの使用)]のチェックを外します。 ルート証明書とクライアント証明書をクライアントPCのWindowsのローカルコンピュータの証明書ストア、またはMacOSのシステム キーチェーンにインストールします。 注:クライアント マシン証明書をパロアルトネットワークスのデバイスからエクスポートするときはPKCS12ファイル フォーマットを選択する必要があります。 クライアント証明書を クライアントPCのWindowsの現在のユーサーの証明書ストア、またはMacOSの個人用キーチェーンにインストールします。 Global Protectクライアントではユーザー名とパスワードを入力する必要がなくなります。 ファイアウォールで設定をコミットします。GlobalProtectクライアントは自動的にゲートウェイに接続します。該当のゲートウェイの[リモートユーザー]でクライアント証明書によるログインのユーザーが確認できます。   訳注1:原文のComment欄では、証明書認証でのGlobalProtect使用について、設定時の注意事項も含めてディスカッションが継続して行われております。原文もあわせてご参照ください。   訳注2:PAN-OS 5.0以降では認証そのものは[証明書プロファイル]でおこなわれ、[クライアント証明書]に設定した証明書はクライアント-ポータル/ゲートウェイの双方向認証のために、Windows の現在のユーザーの証明書ストア、またはMacOS の個人用キーチェーン端末の証明書ストアにインストールされます。詳細はGlobal Protect管理者ガイドを御覧ください。 PAN-OS 5.0からの挙動についてはGP Portal No Longer Prompts for Client Certificates after PAN-OS v5.0.x Upgrade をご参照ください 。     著者:pvermuri
記事全体を表示
TShimizu ‎07-06-2016 12:57 AM
6,660件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Check or Edit the Default Action of a Threat Signature https://live.paloaltonetworks.com/t5/Threat-Articles/How-to-Check-or-Edit-the-Default-Action-of-a-Threat-Signature/ta-p/56156     手順 ウェブGUIより、Objects > セキュリティ プロファイル > アンチスパイウェア (または 脆弱性防御) へ移動します。 任意のプロファイルをクリックし、例外タブへ移動します。 "すべてのシグネチャの表示" ("show all signatures") のチェックボックスにチェックを入れ、各脅威とそれに対応するアクションを表示します。特定の脅威に対するアクションを変更するには、"アクション" をクリックします。 注:"predefined" プロファイル(strict, default) は読み取り専用となっており、編集できません。 また、デフォルト アクションの確認は T hreat Vault ( https://threatvault.paloaltonetworks.com/ ) で行うこともできます。 (訳注: 以下のスクリーンショットは、古いバージョンのThreat Vaultをベースにしています。) 脅威ID を入力し、脅威のタイプを選択します。 脅威IDの横にある虫眼鏡アイコンをクリックすると詳細が表示されます。   著者: harshanatarajan
記事全体を表示
ymiyashita ‎06-08-2016 04:37 AM
6,422件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure VPN Tunnel Between a Palo Alto Networks Firewall and Azure https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-VPN-Tunnel-Between-a-Palo-Alto-Networks/ta-p/59065   概要 このドキュメントでは、Palo Alto Networks ファイアウォールと Azure のサイト間の VPN トンネルの設定方法について説明します。現時点では、Palo Alto Networks は IKE バージョン 1 のみをサポートしています。静的 IP アドレスを使用するとAzure は IKE バージョン 1 のみをサポートします。またAzure トンネルが動的 IP アドレスで設定されている場合、Azure は IKE バージョン 2 のみをサポートします。 このためAzure トンネルは静的 IP アドレスで設定しなければなりません。     手順 Azure 側の設定情報に関しては、Azure のドキュメントを参照してください。下記例は Azure のアドレス空間の設定を示しています。 Palo Alto Networks ファイアウォール VPN エンドポイント のローカル ネットワークとそのゲートウェイ アドレスを定義する設定例: 次に、トンネル インターフェイスを設定します。 Azure ゲートウェイ サブネットと同じサブネット上の IP を割り当てます。 仮想ルータと適切なセキュリティ ゾーンを選択します。既存のゾーン (他のサーバーを含む) を選択すると、新規ポリシーを作成する必要がなくなると考えられます。 デフォルトの IKE 暗号化プロファイルの設定は、Azure の IKE 暗号化プロファイルの設定と同じである必要があります。 新規に Azure 用の IPSec 暗号化プロファイルを、ライフタイム値が同じになるように作成します。例えば、Azure のライフタイムが 3600 秒で、その値がネットワークの他のトンネルとは異なる場合、Azure 用に新規の作成が必要となります。Perfect Forward Secrecy (PFS) 無しの場合、DH グループには "no-pfs" を選択するのが正しいです。 注: ライフタイムのサイズは 98 GB になります。 トンネルがこれ 1 つのみの場合、または、他のトンネルが同一の設定を使用する場合は、デフォルトの設定を修正することができます。 IKE ゲートウェイの作成で、Palo Alto Networks ファイアウォールの外部インターフェイスを選択し、「Local IP Address」にそのインターフェイスの IP を選択します。この IP アドレスは、トンネル接続する Azure の「ローカル アドレス」にて設定された「VPN ゲートウェイ アドレス」と一致します。「Peer IP Address」は、同一の Azure 仮想ネットワークの Azure 仮想ネットワーク ダッシュボードから取得できます。「Local Identification」の IP アドレスは、同じ画面上の「Local IP Address」と一致している必要があります。「Pre-shared Key」は Azure 仮想ネットワークの Azure 仮想ネットワーク ダッシュボード上の「キーの管理」をクリックすることで取得できます。あとはコピー & ペーストするだけです。 次に、先ほど作成したトンネル インターフェイス、IKE ゲートウェイ、IPSec 暗号化プロファイルで、新規に IPSec トンネルを設定します。 「Proxy IDs」タブに移動し、適切なローカル サブネットおよびリモート サブネットで最低 1 つの ID を作成します。「Local」は、Palo Alto Networks ファイアウォール IPSec トンネル エンドポイントの適切なゲートウェイ アドレスが設定された Azure の「ローカル ネットワーク」の定義に一致している必要があります。「Remote」は Azure のアドレス空間の設定に一致している必要があります。 最後に、トンネル インターフェイスを経由して Azure 仮想ネットワークへトラフィックを転送するためのルートを作成します。 この時点で Azure 仮想ネットワークに ping するとトンネルがアップするはずですが、もしアップしない場合は System ログを確認しトラブルシューティングを行います (例えば、ping 応答は無いが、他の通信はできている、など)。   注: このドキュメントは次のディスカッションから作成されました: How to configure PAN to Azure VPN tunnel 著者:panagent
記事全体を表示
kishikawa ‎06-08-2016 04:37 AM
3,987件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 SYN-ACK Issues with Asymmetric Routing https://live.paloaltonetworks.com/t5/Configuration-Articles/SYN-ACK-Issues-with-Asymmetric-Routing/ta-p/54090   問題 非対称ルーティング環境での共通の問題として、以下のような事象が発生することがあります。 ウェブサイトが部分的にしかロードされない アプリケーションが動作しない   原因 デフォルトでは、"TCP reject non-SYN" フラグが yes に設定されています。これは、アプリケーションデータが許可されるためにはコネクションが同一のファイアウォールを通って開始されなければいけないことを示しています。もし SYN パケットが 1 台目のファイアウォールを通過し、SYN/ACK パケットが別のファイアウォールを通過した場合、コネクションの最初のパケットは 1 台目のファイアウォールで利用されているため、SYN/ACK パケットは拒否されることになります。 non-SYN TCP が発生したフローについては "show counter global" の "flow_tcp_non_syn_drop" をチェックしてください。 > show counter global | match drop name                    value    rate severity  category  aspect    description -------------------------------------------------- --------------------------------- flow_rcv_err            1705        0 drop      flow      parse    Packets dropped: flow stage receive error flow_rcv_dot1q_tag_err  7053        0 drop      flow      parse    Packets dropped: 802.1q tag not configured flow_no_interface        7053        0 drop      flow      parse    Packets dropped: invalid interface flow_ipv6_disabled      20459        0 drop      flow      parse    Packets dropped: IPv6 disabled on interface flow_tcp_non_syn_drop    156        0 drop      flow      session  Packets dropped: non-SYN TCP without session match flow_fwd_l3_mcast_drop  14263        0 drop      flow      forward  Packets dropped: no route for IP multicast flow_parse_l4_cksm          1        0 drop      flow      parse    Packets dropped: TCP/UDP checksum failure flow_host_decap_err        31        0 drop      flow      mgmt      Packets dropped: decapsulation error from control plane flow_host_service_deny  90906        0 drop      flow      mgmt      Device management session denied flow_lion_rcv_err        1700        0 drop      flow      offload  Packets dropped: receive error from offload processor "show counter global | match drop" コマンドを複数回実行し、drop のカウンタが増加しているかどうか確認します。   現在の設定を確認するには、以下コマンドを実行します。 > show session info -------------------------------------------------- ----------------------------- number of sessions supported:                  262143 number of active sessions:                      1 number of active TCP sessions:                  0 number of active UDP sessions:                  0 number of active ICMP sessions:                0 number of active BCAST sessions:                0 number of active MCAST sessions:                0 number of predict sessions:                    0 session table utilization:                      0% number of sessions created since system bootup: 7337 Packet rate:                                    8/s Throughput:                                    3 Kbps -------------------------------------------------- ----------------------------- session timeout   TCP default timeout:                          3600 seconds   TCP session timeout before 3-way handshaking:    5 seconds   TCP session timeout after FIN/RST:              30 seconds   UDP default timeout:                            30 seconds   ICMP default timeout:                            6 seconds   other IP default timeout:                      30 seconds   Session timeout in discard state:     TCP: 90 seconds, UDP: 60 seconds, other IP protocols: 60 seconds -------------------------------------------------- ----------------------------- session accelerated aging:                      enabled   accelerated aging threshold:                  80% of utilization   scaling factor:                              2 X -------------------------------------------------- ----------------------------- session setup   TCP - reject non-SYN first packet:            yes   hardware session offloading:                  yes   IPv6 firewalling:                            no -------------------------------------------------- ----------------------------- application trickling scan parameters:   timeout to determine application trickling:  10 seconds   resource utilization threshold to start scan: 80%   scan scaling factor over regular aging:      8 -------------------------------------------------- -----------------------------   解決方法 この事象に関しては 2 つの回避策があります。 非対称ルーティングとならないようネットワーク構成を変更し、通信が開始されたファイアウォール上を全ての戻りトラフィックが通過する構成とする SYN パケットで開始されなかったコネクションを拒否するオプション (tcp-reject-non-syn) をオフにする 一時的に non-SYN TCP フローを拒否するオプションを無効にするには、以下のコマンドを実行します。これは機器が再起動されるまで有効です。 > set session tcp-reject-non-syn no 恒久的にこのオプションを無効にするには、以下を実行します。 > configure # set deviceconfig setting session tcp-reject-non-syn no # commit ファイアウォール上で non-SYN TCP フローが確立されるかどうか確認するには、以下コマンドを実行します。 > show session info . . . . -------------------------------------------------- ------------------------------ Session setup   TCP - reject non-SYN first packet:            False   Hardware session offloading:                  True   IPv6 firewalling:                              True   著者: panagent
記事全体を表示
hfukasawa ‎05-23-2016 12:33 AM
10,394件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Uninstall GlobalProtect Client Mac OS X https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Uninstall-GlobalProtect-Client-Mac-OS-X/ta-p/58933   概要 このドキュメントでは MAC 用 GlobalProtect のアンインストールに使用する 2 つの方法を説明します。   詳細 ターミナルを使ったアンインストール $ sudo /Applications/GlobalProtect.app/Contents/Resources/uninstall_gp.sh   pkg ファイルによるアンインストール インストールに使用した最初の .pkg ファイルを実行します。このファイルは GlobalProtect Portal ページからダウンロードできます。 Introduction ページで Continue を選択します。 Destination Select ページで "Install for all users of this computer" にチェックし、Continue をクリックします。   "GlobalProtect" のチェックを外して、"Uninstall GlobalProtect" にチェックし、Continue をクリックします。 "Install" をクリックします。   著者: sspringer
記事全体を表示
kishikawa ‎04-30-2016 09:42 PM
4,646件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure the Management Interface IP https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-the-Management-Interface-IP/ta-p/60493   概要 このドキュメントでは Palo Alto Networks デバイスの管理インターフェイスの IP アドレスを設定する方法を説明します。   手順 CLI (コマンド ライン インターフェイス):   >>> Palo Alto Networks デバイスにコンソール接続します。   コンフィグレーション モードに入ります。 > configure 次のコマンドを使用して管理インターフェイスの IP アドレスを設定します。 # set deviceconfig system ip-address <ip address> netmask <netmask> default-gateway <default gateway> dns-setting servers primary <DNS ip address> 変更をコミットします。 # commit   WebGUI (グラフィカル ユーザー インターフェイス): Device > Setup > Management へ移動します。 右上角の Edit アイコンをクリックし、管理インターフェイスの IP アドレスを設定します。 Device > Setup > Services へ移動します。 Edit アイコンをクリックし、DNS サーバーを追加します。 OK をクリックして変更をコミットします。   著者: jebel
記事全体を表示
kishikawa ‎04-30-2016 09:38 PM
6,286件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure and Test FQDN Objects https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-and-Test-FQDN-Objects/ta-p/61903     考察 FQDN オブジェクトはアドレス オブジェクトです。すなわち、セキュリティ ポリシーで送信元アドレスや宛先アドレスを参照するのと同様の使い方ができます。 そのため、Palo Alto Networks ファイアウォールは、30 分ごとに FQDN リフレッシュを行います。FQDN リフレッシュでは、設定されている DNS サーバー (Setup > Services) へ NS ルックアップを行います。 Palo Alto Networks ファイアウォールでは 1 つの FQDN オブジェクトに IP アドレス 10 個までマッピングできます。 この DNS サーバーが、ホストが使用しているのと同じ DNS サーバーであることを確認してください。DNS マルウェアはこのようなソリューションに悪影響を及ぼす場合があります。 この方法はIP アドレスを使用することができない場合のみ使用してください。つまり、このタイプのオブジェクトを URL フィルタリング ポリシーの一部として使用しないでください。 この方法はまた、Web Browsing と関連のない他のサービス (FTP、SSH、またはその他のサービス) を制御するのにも役立ちます。 オブジェクトが IPv6 アドレスに解決される場合は、IPv6 Firewalling (Setup > Session) を有効にします。   オブジェクトの設定 FQDN オブジェクトの設定を始めるために、Objects > Addresses へ移動します。 Add をクリックして新しいアドレス オブジェクトを作成します。 タイプを‘IP/Netmask’から‘FQDN’へ変更します。 アドレスを入力します (http:// またはその他のヘッダーは含めないでください)。 OK をクリックします。 変更をコミットします。   FQDN オブジェクトは CLI のコンフィグレーション モードで以下のコマンドを使用して設定できます。 # set address Google fqdn www.google.com   変更の確認 自動 FQDN リフレッシュ タスクはバックグラウンドで実行されます。このジョブのステータスは GUI の右下角の Tasks ボタンをクリックして確認できます。 CLI コマンド 'request system fqdn show' は、FQDN オブジェクトとその名前に紐づく IP アドレスの一覧を参照するために使用できます。 リフレッシュの強制実行は 'request system fqdn refresh' コマンドを実行することにより可能です。 推奨される追加の確認としては、デスクトップからホストへ ping し、その IP アドレスが 'request system fqdn refresh' コマンド実行後一覧に表示された IP アドレスに一致することを確認することが挙げられます。   著者: kgotlob
記事全体を表示
kishikawa ‎04-25-2016 08:32 PM
11,646件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure ISP Redundancy and Load Balancing https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-ISP-Redundancy-and-Load-Balancing/ta-p/58361   定義 ISP ロード バランシングは 1 つ以上のインターネット プロバイダがファイアウォールに接続している場合に使用されます。ポリシー ベース フォワーディング (PBF) は送信元サブネットに基づいてトラフィックを転送するために使用されます。 ISP 冗長化は、1 つのサービス プロバイダがダウンし、すべてのトラフィックがその他のサービス プロバイダにルーティングされる必要がある場合に使用されます。   通常、ファイアウォールはパケット中の宛先 IP アドレスを使用して出力インターフェイスを決定します。ファイアウォールは、そのインターフェイスが接続している仮想ルータに関連するルーティング テーブルを使用してルートのルックアップを行います。ポリシー ベース フォワーディング (PBF) を使用することにより、ユーザーは、ルーティング テーブルをオーバーライドして、送信元/宛先 IP アドレスやトラフィックのタイプのような特定のパラメータに基づいて出力インターフェイスを指定することができます。   次のトポロジーは以下を含んでいます: 2 つの内部サブネット サブネット1: 192.168.1.0/24 サブネット2: 172.16.1.0/24 2 つの ISP ゲートウェイ ISP1: 10.30.6.254 ISP2: 10.30.1.254   覚えておくべき 2 つの重要事項: PBF ルールは 1 つ目のパケット (SYN) または 1 つ目のパケットに対する最初のレスポンス (SYN/ACK) のいずれかに適用されます。アプリケーション固有のルールを PBF と併用することは推奨されません。 アドレス変換 (NAT) ルールは、セキュリティ ルールがコネクションにマッチしなかった場合は適用されません。そのため、アドレス変換が正常に行われるためにはセキュリティ ルールが適切に設定されている必要があります。   冗長化の設定 プライマリ ISP の設定: デフォルト ゲートウェイにトラフィックを転送する PBF ルールを作成する。 トンネル モニター プロファイルを追加して、アクションを「失敗した場合は無効」となるよう設定します。 モニター プロファイル:   この設定は、192.168.1.0/24 サブネットから送信されたすべてのトラフィックを強制的に Ethernet 1/3 から送出します。 モニター プロファイルは、IP アドレスをモニターするために設定します。このテスト コンフィグでは、モニター ファイル "multiple isp" はパブリック DNS 8.8.8.8 をモニターするために使用します。   モニターがこの IP アドレスに到達できなくなると、定義したアクション (fail-over) が発生します。PBF ルールは無効化され、下記にあるように、ファイアウォールは仮想ルータに作成されているスタティック ルートにフォールバックします。Path Monitoring が IP アドレスへの接続性を確認することで、ファイアウォールはトラフィックを代替ルートへ転送することが可能になります。ファイアウォールは、指定の IP アドレスが到達可能であることを確認するためにハートビートとして ICMP ping を使用します。   モニター プロファイルにて、IP アドレスが到達可能かどうかを判断するためのハートビート数のしきい値を指定できます。モニター対象の IP アドレスが到達不能な場合、ユーザーは PBF ルールを無効にするか、fail-over アクションか、wait-recover アクションを指定することができます。PBF ルールを無効にすると、仮想ルータがルーティングの決定を引き継ぐことができます。   セカンダリー ISP の設定 通常のメトリックでスタティック ルートを作成する   ロード シェアリングの設定   例 1: バックアップなしのロード バランシング この場合、PBF は、異なるサブネットからのトラフィックが各 ISP を経由して送信されるようにするために使用されます。このシナリオでは、サブネット 192.168.1.0/24 からのトラフィックはすべて Ethernet 1/3 から転送され、サブネット 172.16.1.0/24 からのトラフィックはすべて Ethernet 1/4 から転送されます。   ルール: Rule 1: サブネット 192.168.1.0/24 が 0.0.0.0/0 へ行く場合、ネクスト ホップは ISP 1 Rule 2: サブネット 172.16.1.0/24 が 0.0.0.0/0 へ行く場合、ネクスト ホップは ISP 2   例 2: ロード バランシングと冗長化 この場合、PBF は、送信元に基づいて特定のインターフェイスからトラフィックを転送するために使用されます。 ISP がダウンした場合のバックアップを設定します。   ルール: Rule 1: サブネット 192.168.0.0/24 が 0.0.0.0/0 へ行く場合、ネクスト ホップは ISP 1 Rule 2: サブネット 172.16.0.0/24 が 0.0.0.0/0 へ行く場合、ネクスト ホップは ISP 2 Backup for Rule 1: サブネット 192.168.0.0/24 が 0.0.0.0/0 へ行く場合、ネクスト ホップは ISP 2 Backup for Rule 2: サブネット 172.16.0.0/24 が 0.0.0.0/0 へ行く場合、ネクスト ホップは ISP 1 Rule 1 と Rule 2 は、例 1 と同じアクションを実行します。 バックアップ ルールにより、どちらかの ISP の接続が失敗した場合にトラフィックが接続性のある ISP を経由することが可能になります。   VPN を設定する場合 (IPSec または GlobalProtect)、VPN の設定方法に関する情報については下記ドキュメントを参照してください: GlobalProtect Client Issues with Multiple ISPs How to Configure Dual VPNs with Dual ISPs from a Single Firewall to a Remote Site Administrator Guide: PBF Section PBF Step by Step configuration Use Case for PBF   著者: dpalani
記事全体を表示
kishikawa ‎04-20-2016 03:07 AM
6,557件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Security policy fundamentals https://live.paloaltonetworks.com/t5/Learning-Articles/Security-policy-fundamentals/ta-p/53016   PAN-OS 4.1, 5.0, 6.0   目次 概要 2種類のセキュリティ ポリシー セッション トポロジー "application-default" サービス ルールのシャドウイング (Shadowing) ユーザー ベースのセキュリティ ポリシー NATされたIPアドレスとセキュリティ ポリシー セキュリティ ポリシー上のURLカテゴリ アプリケーションの依存関係およびアプリケーション シフト アプリケーション識別と復号化 ルールの整理 セキュリティ ポリシーTIPS 関連ドキュメント   概要 このドキュメントは、Palo Alto Networks ファイアウォールにおけるセキュリティ ポリシーの基礎を説明しています。   Palo Alto Networks ファイアウォールのデータプレーンを通過するトラフィックはすべてセキュリティ ポリシーと照合されます。マネジメント インターフェースより発信されるトラフィックは、デフォルトではデータプレーンを通過しないため、これには含まれません。ファイアウォールのセキュリティ ポリシーは、ゾーン、アプリケーション、IPアドレスポート、ユーザー、HIPプロファイル等、様々な基準によって定義できます。ファイアウォール管理者は、ゾーンのような広い基準を始め、ポート、アプリケーション、および HIP プロファイルなどのより詳細なオプションでポリシーを調整し、トラフィックを許可または拒否するようにセキュリティ ポリシーを定義することができます。   2種類のセキュリティ ポリシー Palo Alto Networks ファイアウォールは2つの種類のセキュリティ ポリシーを持ちます: 明示的な (Explicit) セキュリティ ポリシーは、ユーザーによって定義され、CLI や Web-UI から見ることができます。 暗黙的な (Implicit) セキュリティ ポリシーは、CLI や Web-UI から見ることができません。続いてのセクションではPalo Alto Networks ファイアウォール上の暗黙のセキュリティ ポリシーについて議論します。   暗黙のセキュリティ ポリシー デフォルトでは、ファイアウォールはイントラゾーン (intra-zone: 発信と宛先が同じゾーン) のトラフィックを許可し、インターゾーン (inter-zone: 異なるゾーン間) の通信は拒否します。暗黙のポリシーで許可または拒否されたトラフィックはデフォルトではログに記録されず、このトラフィックを確認することができません。ファイアウォールによってログに記録するためには、設定された明示的なポリシーに一致しなければなりません。しかし、トラブルシューティングを目的として、このデフォルト動作を変更することができます。DOC-6957: How to See Traffic from Default Security Policies in Traffic Logs のドキュメントを参照してください。   セッション Palo Alto Networks ファイアウォールはステートフル ファイアウォールであり、これは、すべてのファイアウォールを通過するトラフィックはセッションと照合され、すべてのセッションはセキュリティ ポリシーと照合されることを意味します。   セッションは2つのフローから成ります。クライアントからサーバーへのフロー (c2s flow) とサーバーからクライアントへのフロー (s2c flow) です。トラフィックを開始した始点が常にクライアントであり、トラフィックの到達する終点がサーバーです。セキュリティを定義するためには、c2sフローの方向だけが考慮されます。許可や拒否のポリシーを発信ゾーンから宛先ゾーンへ定義した場合、それは c2s の方向となります。戻りのフロー、s2c については新たなルールは不要です。ファイアウォール上のセキュリティ ポリシーの評価はリストの上から下へと順次行われるため、最初の最も近いルールに一致したトラフィックがセッションに適用されます。   以下は CLI でセッション内のフローを識別する方法です。: > show session id 107224   Session          107224           c2s flow:                 source:    172.23.123.5 [Test]                 dst:        172.23.123.1                 proto:      50                 sport:      37018          dport:    37413                 state:      ACTIVE          type:      TUNN                 src user:  unknown                 dst user:  unknown           s2c flow:                 source:    172.23.123.1 [Test]                 dst:        172.23.123.5                 proto:      50                 sport:      37750          dport:    50073                 state:      ACTIVE          type:      TUNN                 src user:  unknown                 dst user:  unknown   構成 このドキュメントでは、以下の構成がセキュリティ ポリシーの使用例として適用されます:   アプリケーション デフォルト (application-default) サービス   以下の例では、セキュリティ ポリシーは以下の基準でトラフィックを許可または拒否します。 Rule A: Trust ゾーンに所属するサブネット 192.168.1.0/24 から Untrust ゾーンへ向けて発信されるすべてのアプリケーションはすべての送信元ポートおよび宛先ポートにおいて許可されなければならない。 Rule B: Trust ゾーンの 192.168.1.3 から発信される DNS, Web-browsing, FTP のアプリケーション通信は許可されなければならない。 アプリケーションは "application-default" のポートのみに制限されるべきである。たとえば、DNS アプリケーションであれば、デフォルトでは、宛先ポート 53 番を使用する。よって、DNS アプリケーションはこのポートのみに制限されるべきである。このアプリケーションを使ったほかの宛先ポートの利用は拒否されるべきである。 Rule C: 他のすべての 192.168.1.3 から Untrust ゾーンへ抜けるアプリケーションはブロックされなければならない Rule 😧 すべての Untrust ゾーンから開始されほかのゾーンへ抜けるトラフィックはブロックされるべきである。   セキュリティ ポリシーの Service 列は、許可されるべきトラフィックの送信元と宛先ポートを定義します。4つのオプションがあり、: Application-default:  デフォルトの宛先ポートの通信を許可。 様々なアプリケーションのデフォルト宛先ポートを確認するには以下のドキュメントを参照: DOC-7276: How to view Application-default ports for an application. Any: すべての送信元と宛先ポートを許可。 Predefined services: ファイアウォール上ですでに定義されているサービス Custom services: 管理者がアプリケーションポート要件に沿ってサービスを定義可能   この例では、上記基準に一致するよう作成されたルールを示します。   上記の設定変更をコミットをすると、以下のシャドウ警告が表示されます。 シャドウ警告の影響と、これ回避する方法は、以下で議論します。   ルールのシャドウイング (Shadowing) 上記の例では、IPアドレス 192.168.1.3 は Trust ゾーンに属し、かつ 192.168.1.0/24 に含まれます。ファイアウォールはセキュリティー ポリシーを上から下へ参照するため、192.168.1.3 のすべてのトラフィックは Rule A に合致し、セッションに適用されます。トラフィックは Rule B と Rule C を満たしているものの、 Rule A が Rule B と Rule C をシャドウイングしているため、これらのルールは適用されません。   シャドウイングの影響を回避するため、以下のように、 Rule B と Rule C は Rule A より上にある必要があります。これでトラフィックは正しいルールに対応し、コミット時のシャドウ警告を防ぎます。   ユーザー ベースのセキュリティ ポリシー 上記の例では、ポリシーは IP アドレスをベースとして記述されています。同様に、LDAP ユーザー、LDAP グループ、またはファイアウォール上でローカルに定義されたユーザーをセキュリティ ポリシーに使用できます。User-ID の設定方法とセキュリティ ポリシーへのユーザーの追加については、以下のドキュメントで詳細を確認してください。: DOC-1807: User Identification Tech Note - PAN-OS 4.0 DOC-4068: How to Add Groups to Security Policy   NAT された IP アドレスとセキュリティ ポリシー このセクションでは、変換された IP アドレスが関連する場合のセキュリティ ポリシーの記述方法と、さまざまなWebサイトを制御するために、セキュリティ ポリシーに URL カテゴリを使用する方法について議論します。   次の例では、以下の基準に一致するようセキュリティ ポリシーが定義されます: Untrust ゾーンのパブリック IP 192.0.2.1 は、DMZ ゾーンの Web サーバーのプライベート IP 10.1.1.2 に変換されます。 Untrust ゾーン から DMZ ゾーンの Web サーバー 10.1.1.2 宛トラフィックは、25、443、8080 番ポートのみ許可されなければならない。 Trust ゾーンにいるすべてのユーザーの、Untrust ゾーンにある "Adult and Pornography" カテゴリの Web サイトへのアクセスは拒否されなければならない。 その他の Trust ゾーンから Untrust ゾーンへ抜けるトラフィックは許可されなければならない。   以下のルールは上記基準を満たす設定を示します。   Untrust ゾーンから Web サーバー宛てのすべてのトラフィックは、Untrust ゾーンに属する 192.0.2.1 の送信先のパブリックIPを持ちます。トラフィックは Untrust ゾーンから発信し、Untrust ゾーン内の IP 宛てであるため、このトラフィックは、同じゾーンのトラフィックを許可する暗黙のルールで許可されています。セキュリティ ポリシー検索した後、ファイアウォールは NAT ポリシーのルックアップを行い、この Web サーバーのパブリック IP を、DMZ ゾーンにあるプライベート IP 10.1.1.2 に変換する必要があると判断します。この段階で、ファイアウォールは最終的な宛先ゾーン (DMZ) を持っていますが、192.0.2.1 から 10.1.1.2 へのIPの実際の変換はまだ発生しません。post NAT (NAT後の) トラフィックのために最終的な宛先ゾーンの情報を決定した後、ファイアウォールは最終的な宛先ゾーン、DMZ 宛てのトラフィックを許可するポリシーを見つけるために、2回目のセキュリティ ポリシー ルックアップを行います。このように、上記 Rule X は、post NATトラフィックを許可するように設定されています。この Rule X では、 DMZ (pre NATゾーン (NAT前のゾーン)) が宛先ゾーンとして設定され、192.0.2.1(pre NAT IP) が宛先 IP アドレスとしてとして定義されていることに注意してください。上記の例では、宛先ポート25、443、8080 を許可するため "Web-server_Ports" サービスが設定されています。詳細は DOC-4527: How to Configure a Policy to Use a Range of Ports を参照してください。   セキュリティ ポリシー上の URL カテゴリ 上記の例では、Rule Yは、セキュリティ ポリシーに存在する URL カテゴリのオプションを使用して、アダルトなカテゴリのウェブサイトをブロックするように設定されています。URL カテゴリのオプションを使用する場合、セキュリティ ポリシー上で Web-browsing アプリケーションが明示的に設定されていなければなりません。そうでなければ、無関係なトラフィックがこのルールに合致してしまいます。URL カテゴリに基づいてウェブサイトをコントロールする別の方法は、URLフィルタリング プロファイルを使用することです。   アプリケーションの依存関係およびアプリケーション シフト このセクションでは、"アプリケーションの依存関係"と セッションの途中で Application-ID が変更された場合に、そのセッションに何が起こるかを説明します。   次の例では、セキュリティ ポリシーは次の条件に一致するトラフィックを許可または拒否するように定義されています。 Trust ゾーンから Untrust ゾーンへの Gotomeeting、YouTube アプリケーションは許可します。 Guest ゾーンから Untrustゾーンへの Facebook、Gmail-base アプリケーションは許可します。 Guest ゾーン にいるユーザーの SSL および Web-Browsing のアプリケーションはブロックする必要があります。   以下の例では、上記基準に合致するルールが作成されています。   設定変更を実施すると、以下のアプリケーション依存関係の警告が表示されるかもしれません。 Gotomeeting や YouTube のようなアプリケーションは、初めは SSL、web-browsing、Citrix などとして識別されます。このセッションのより多くのパケットがファイアウォールを通過すると、アプリケーションを識別するためのより多くの情報が利用可能となります。その後、Gotomeeting や YouTube などの各アプリケーションにアプリケーションをシフトします。   アプリケーションのシフトが起こるたびに、ファイアウォールは、新しいアプリケーションに一致する最も近いルールを見つけるために、新しいセキュリティ ポリシー ルックアップを行います。よって、上記の例では、SSL および Web-browsing が依存するアプリケーションとして Gotomeeting や YouTube のために呼び出されているため、これらのアプリケーションもセキュリティ ポリシー上で許可されている必要があります。セッション途中でトラフィックのアプリケーションが変更になる場合、2回目のセキュリティ ポリシー ルックアップが実施され、新たな最も合致するポリシーを見つけるために、セキュリティ ポリシーに対して再度トラフィックを照合させます。 上記の例では、"Dependency Apps rule"という新しいセキュリティ ポリシーが SSL、web-browsing を許可するために作成されています。Youtube トラフィックは、初めはこのルールに一度合致し、アプリケーション シフトが発生すると、2度目のセキュリティ ポリシー ルックアップで Rule 10 に合致します。   PAN- OS 5.0からは、いくつかのアプリケーション プロトコルでは、明示的に依存関係の許可を必要とせずに許可することができます(DOC-6900を参照 :How to Check if an Application Needs to have Explicitly Allowed Dependency Apps)。上記で例えると、 Facebook や Gmail-base はこの対象であり、SSLやweb-browsingに依存していますが、この依存するアプリケーションを明示的に許可する必要はありません。   アプリケーション識別と復号化 Vimeo のような特定のアプリケーションは、SSL を使用して暗号化されていますが、SSL 復号化せずにファイアウォールによって識別することができます。しかし、SSL を利用している YouTube のようなアプリケーションは、それらの識別のためのファイアウォールによって復号化される必要があります。 SSL 接続が暗号化されるので、ファイアウォールはそれを識別するために、このトラフィックの中身を見ることができません。ファイアウォールでは、アプリケーションを識別するために証明書のコモン ネーム(common name)フィールドを使用します。これは、SSL ハンドシェイク処理中に平文で交換されます。   Vimeo のようなウェブサイトはコモン ネームとしてとして Web サイトの URL 名を使用するため、SSL 復号化を必要としません。YouTube のようないくつかのウェブ サイトは、コモン ネームにワイルドカード名を持つ証明書を使用します。 YouTube の場合で言うと、 *.google.com となります。よって、アプリケーション識別にこの情報を使用することができないため、ウェブサイトの URL へ情報を取得するためにSSL 復号化を設定する必要があります。次のドキュメントを参照してください: How to Implement and Test SSL Decryption   ルールの整理 一部の環境では、ファイアウォールによって拒否または許可されたすべてのトラフィックをログに記録する必要があります。デフォルトでは、明示的に許可されたトラフィックだけが記録されます。ファイアウォールの暗黙のルールで許可されたトラフィックをログに記録するには、以下のドキュメントを参照してください: DOC-1412: Any/Any/Deny Security Rule Changes Default Behavior DOC-6957: How to See Traffic from Default Security Policies in Traffic Logs   セキュリティ ポリシーTIPS 以下の基準が、セキュリティ ポリシーにトラフィックを合致するために、この順序でファイアウォールでチェックされます。 送信元と宛先アドレス 送信元と宛先ポート アプリケーション User-ID URL カテゴリ 送信元と宛先ゾーン   上記の設定例では、Trust ゾーンから Untrust ゾーンへの TCP ポート 80 上のアプリケーション "web-browsing" がファイアウォールを通過する際、セキュリティ ルック アップは次のように行われます。: 送信元と宛先アドレス - Rule A、B、および C は "any" の送信元アドレスと宛先アドレスを持つため、このトラフィックはこれらすべてのルールに一致します。 送信元と宛先ポート - Rule A、B、および C は "any" サービスを持つため、このトラフィックはすべてこれらすべてのルールに一致します。 アプリケーション - Rule A と B は "web-browsing" アプリケーションを持つため、トラフィックはこれらのルールに一致します。 User-ID - ここでは適用されません。 URL カテゴリ - ここでは適用されません。 送信元と宛先ゾーン - トラフィックは Trust から Untrust なので、ルールAがこのトラフィックのために選択されます。   セキュリティ ポリシーを設定する際の最適な方法は、"any" の使用を最小限に抑え、可能な場合は特定の値を利用することです。これは、Palo Alto Networks 機器による不必要なセキュリティ ポリシー照合を低減します。   関連ドキュメント Is there a Limit to the Number of Security Profiles and Policies per Device? How to Identify Unused Policies on a Palo Alto Networks Device How to Test Which Security Policy will Apply to a Traffic Flow. Why are Rules Denying Applications Allowing Some Packets? Why Does "Not-applicable" Appear in Traffic Logs? How to Identify Unused Policies on a Palo Alto Networks Device How Session Rematch Works How to Restrict a Security Policy to Windows and MAC Machines Using GlobalProtect HIP Profiles How Application-Default in the Rulebase Changes the Way Traffic is Matched Non-Applicable,Incomplete, and Insufficient Data in the Application Code Field How to Schedule Policy Actions Security Policy Management with Panorama Session Log Best Practice    
記事全体を表示
dyamada ‎04-20-2016 03:04 AM
22,398件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Steps to Change the Default Action for Signatures https://live.paloaltonetworks.com/t5/Threat-Articles/Steps-to-Change-the-Default-Action-for-Signatures/ta-p/56719     概要 本ドキュメントでは、シグネチャのDefaultアクション変更手順を記載しています。   前提条件 最新のコンテントのバージョンがダウンロードされインストールされていること。 Device > "ダイナミック更新" へ移動し、"今すぐチェック" をクリックし最新のバージョンを確認します。 もし最新のバージョンが適用されていなければ、ダウンロードとインストールを行ってください。 注:もし最新のバージョンが既にインストールされておらず、上記の手順でインストールを行った場合は、一度GUIからログアウトをし、ログインしなおしてください。 脆弱性プロファイルが作成され、セキュリティ ルールに適用されていること。   手順 Objects > "セキュリティ プロファイル" > "脆弱性防御" へ移動し、セキュリティ ポリシー ルールで使われている脆弱性防御プロファイルの名前をクリックします。 "例外" タブをクリックします。 "すべてのシグネチャの表示" (Show all signatures) のチェックボックスにチェックを入れます。 検索ボックスにシグネチャIDを入力し<enter>を押すか、右側にある緑の矢印をクリックします。 シグネチャIDの左にある"有効化" (Enable) のチェックボックスにチェックを入れ例外を有効にし、任意のアクションを選択します (drop/alert/allow/block)。 OKボタンをクリックします。 変更をコミットします。   コミットが完了したら、Palo Alto Networksファイアウォールは該当のシグネチャに対し設定したアクションを実行します。   参考: Palo Alto Networksファイアウォールにおける脅威シグネチャ数の確認方法 マッチする脆弱性防御シグネチャの見つけ方   著者: parmas
記事全体を表示
ymiyashita ‎04-20-2016 01:31 AM
2,928件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to upgrade a High Availability (HA) pair https://live.paloaltonetworks.com/t5/Management-Articles/How-to-upgrade-a-High-Availability-HA-pair/ta-p/57081   概要   HAペアのPAN-OSをアップグレードするにあたって、この記事に書かれている手順を実行することを推奨します: アップグレード前にHA機能が正常に動作している事を確認できます。 2番目の機体をアップグレードする前に一つ目の機体が正常にアップグレードされた事を確認できます。 手順のどの時点で、なんらかの事象が発生した場合、ダウンタイム無しでバージョンを元に戻す事ができます。 (OSPFやBGPなどのルーティングプロトコルを使用していない場合)。 HAペアのアップグレード完了した時点で必要最小限のfailover(二回)で元のアップグレード前のactive/passive状態に戻す事ができます。   アップグレードの準備:   Configurationのバックアップと Tech Supportファイルを HA Pair両方からダウンロードします。 個々のファイルに適切なファイル名をつけます。 Device > Setup > Operations > Save Named Configuration Snapshotをクリックしconfiguration snapshotの名前を設定し、保存します。 Device > Setup > Operations > Export Named configuration Snapshotをクリックし前のステップで設定したconfiguration snapshotをダウンロードします。 (HAペアがPanoramaで管理されている場合) Device > Setup > Operations > Export Device State をクリックし、Device stateをダウンロードします。 Device > Support > Generate Tech Support Fileをクリックし、生成された後ダウンロードします。 (アップグレード中なんらかの事象が発生した場合に必要になります) (オプショナルですが推奨): アップグレード中、不必要なfailoverを避けるためHigh Availability 設定でPreemptionを無効にします。Preemption無効の設定はHA Pair 両方にcommitしてください. アップグレードの完了後、また両方に有効にします。 preemptionを無効にするには, Device > High Availability > Election Settings で Preemptiveのチェックを外し、 commitします。     メジャーバージョン間のアップグレードの場合(6.0 -> 6.1 または 6.1-> 7.0), HA Pair間でセッションがsyncしてなくともfailoverする様にTCP-Reject-Non-SYNを無効にすることを推奨します。 # set deviceconfig setting session tcp-reject-non-syn no # commit (オプショナルですが推奨)予想外の事象でSSHやWebUIでログインできなくなることを想定し、FirewallへOut-of-Band アクセス (コンソールアクセス) が出来るのを確認します。   ステップ:   先にactive機(firewall A)を CLIでsuspendします。以下のコマンドを実行します: > request high-availability state suspend または WebUIで Device > High Availability > Operations > Suspend local deviceをクリックします。  注意: このステップでpassive機(firewall B)へのHA failoverが発生します.  これをする事によってアップグレードを実行する前にHA機能が正常に動作していることを確認できます。 前Active機(firewall A)がsuspended状態で現在のActive機(firewall B)の動作が安定していることを確認します。 suspended機(firewall A)上で新しいPAN-OSをインストールし、再起動してインストールを完了します。  How to Upgrade PAN-OS and Panorama アップグレードされた機体(firewall A)が再起動した後、 CLI プロンプトでは passive (メジャーバージョン間のアップグレードの場合はnon-operational)と表示され、 PAN-OS versionも新しくインストールされたバージョンが反映されます。 Passive機(firewall A)のCLI で以下のコマンドを使い , auto commit が成功したことを確認します(FIN OK)。  > show jobs all   注意:  Passive機(firewall A)がnon-functional状態の場合, 以下のコマンドを実行して実行(functional)状態に戻します:  > request high-availability state functional Active機(firewall B)をsuspendします。Suspendedを実行した後, 既にアップグレードされている機体(firewall A)がまたActiveに戻ります。 注意: OSPFやBGPの様なルーティングプロトコルを使用しているHAペアのActive機をsuspendするに当たり、ネットワーク構成によって短時間の通信遮断を起こす事があります。 これは ルーターとsuspendされた ファイアウォール 間の隣接関係が切断され、 新しくActiveになった機体と確立するためです。 ダウンタイムを短縮するためには, Firewallと隣接関係のルーター間でGraceful restartを有効にしてください。Graceful Restart機能はPAN-OS 6.0以降でサポートされてます。 Suspend 状態の機体 (Firewall B) 上で新しい PAN-OSをインストールし、 リブートします。 リブートが終わった後, Passive機として起動します。Passive機(firewall B)のCLI で以下のコマンドを使い、 auto commit が成功したことを確認します(FIN OK)。 > show jobs all 注意:  Active-ActiveのHAペアの場合, Active-Passiveと同じ様にステップを実行してください。アップグレード全体は30分程かかると思われます。   ダウングレードの方法 新しいバージョンでなんらかの事象が発生してダウングレードが必要になった場合: 前のPAN-OSのバージョンに戻すには, 以下のCLIコマンドを実行します: > debug swm revert   このコマンドによってアップグレード前に使用していたパーティション(前のPAN-OSバージョン)からブートされます。 何もアンインストールされず、設定変更もありません。
記事全体を表示
oconnellm ‎04-19-2016 11:29 PM
9,026件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Install the Palo Alto Networks User-ID Agent https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Install-the-Palo-Alto-Networks-User-ID-Agent/ta-p/52863   UserID Agentをインストールする前に以下の項目を確認します: UserIDをインストールするPC: OSはWindows XP, Windows 7, Windows 8,  Windows Server 2003/2008/2012 ドメインコントローラーとPAの管理ポートへネットワーク通信確認ができている。 ADドメインのメンバーである。 UserID Agentからドメインのクエリに使用するユーザーアカウントを決めます。このユーザーはドメインコントローラーのSecurity Logsをアクセスできる権限がある必要があります。Domain Adminユーザーグループはこの権限がありますが、この権限を追加したユーザーグループを作成することもできます。 どのドメイン(又は該当するドメインコントローラー)をクエリするか決めます。一つのドメインにつき一つのUserID Agentが必要で、最大64000のユーザーを扱うことができます。 UserID Agentのインストールと設定 UserID Agentをインストールするドメイン内のPC を選択します。 https://support.paloaltonetworks.com から最新バージョンのUserID Agentをダウンロードし、インストールします。 デフォルトでUserID Agentのサービスはlocal account を使って実行してるので、ドメインコントローラーのsecurity logsにアクセス権限があるユーザーに変えます。サーバー上でadmin tools > service > pan agent > log on > switch from local user to this accountで ユーザーを設定します。 PAN agentサービスをリスタートします。 サーバー上でStart > Programs > Palo Alto Networks > User Identificationを実行し、Agent GUIの右上にあるConfigureをクリックします。   項目を記入します: Domain name – ドメインのFQDN Port Number – インストールする端末で、現在使われていないポート番号を選びます。 サーバー上のFirewallでポートをBlockしていないことを確認します。 Domain controllers ip address – ドメインコントローラーのIP Address。 最大でアドレス10個。 Allow list – Trackするユーザーが存在するサブネット。 Ignore list – ターミナルサーバーやTrackしたくないPCのIP Address。 netbios が使用できないネットワークの場合, disable netbios probingを選択します。 OKをクリックします。 GUIの左上にAgentのステータスを確認できます。 ステータスの例: Connection failed.(通信が失敗しました) Please start the PAN agent service first.(PAN agent serviceを起動して下さい) Reading domain name\enterprise admins membership.(ドメイン名\Adminメンバーシップ読み込み中) No errors.(エラー無し) UserID Agentがステップ6で設定したポートを使用している確認はCommand Promptで以下のコマンドを使用します: netstat -an | find "xxxx"   Palo Alto Networks FirewallからUserID Agentへの通信の設定 Palo Alto Networks Firewall にログインし、Device > User Identificationへ行きます. UserID AgentのName(名前), Host (IP address) と Port(ポート番号)を設定します。 ゾーン単位でUserIDを有効にします。Zone propertiesページの左下に Enable user identificationにチェックがあることを確認します。 設定変更をcommitします。 UserID Agentへの通信の確認はPAのCLIでshow pan-agent statisticsを使います。state connected,と表示されればOKです。 現在ドメインPCにログインされているユーザーの表示はCLIで: debug dataplane show user allを使います。 テスト確認 設定が正常に動作していることを確認するためには、新しいセキュリティールールを作成し、グループ情報、ユーザー情報が参照できることを確認します。
記事全体を表示
oconnellm ‎04-19-2016 10:56 PM
8,035件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Create an Application Override Policy https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Create-an-Application-Override-Policy/ta-p/60044   概要 Application Override Policy はPalo Alto Networks firewallのアプリケーション識別の仕方を変えます。 Application Override を Custom Applicationで設定することによって セッションをApp-ID engineによるLayer-7検知から除外することができ、firewall はセッションをステートフルインスペクションfirewallのように Layer-4までの処理しかしなくなります。 既存の アプリケーション、 例えばweb browsingを Application Override に使用する場合、特定の アプリケーションに 一致するすべての通信 ( この例だとweb browsing)は Layer-7検知処理されることになります。 。   Application Override は標準のポート番号を使用しない内部 Custom Application やFirewallが”unknown”と識別するcustom 定義が既に設定されている内部 アプリケーション に使用する事ができます。   注意: 既存の アプリケーション を使用すると Application Override が正常に動作しない可能性があるのでCustom Applicationの使用を推薦します。   参照:Tips & Tricks: How to Create an Application Override. 以下の例では, Telnetに対して Application Override を設定します。   ステップ Custom Applicationの作成 WebUI上でObjects > Applications に行きaddをクリックします。 Applicationに名前をつけます。 (“telnet”はもう使用されているので別の名前にします)この例では”telnet_override”と名前をつけます。 Category, Subcategory, と Technology を選択します。 Advanced タブでDefaults を'Port'に設定します。 ( アプリケーション が使用するポートが表示されます)。 この例だとSignaturesを追加する必要がないので, OKをクリックし Custom Application 作成を完了します。   Application Override Policyの作成 Policies > Application Overrideへ行き、Addをクリックします。 Generalタブで Policyの名前を入力します。 Sourceタブで Source Zoneを設定します. 送信元が固定IPの場合Source Addressを設定し、固定でない場合は”Any”と設定します。 Destinationタブで Destination Zoneを設定します. 送信先が固定IPの場合Destination Addressを設定し、固定でない場合は”Any”と設定します。 Protocol/Applicationタブでは ProtocolとPort number を設定し、前のステップで作成した custom application を選択します。   Security Policyの作成 Policies > Security に行きAddをクリックします。 Custom Applicationの通信が通過するZoneを設定したSecurity policy を作成します。 新規セッションは作成した Custom Application として識別されます。 作成したCustom Applicationのセッションを表示するにはCLI で show session all filter application コマンドを使用します。 例: > show session all filter application Telnet_Override
記事全体を表示
oconnellm ‎04-19-2016 10:48 PM
5,381件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure SNMPv2 on the Palo Alto Networks Firewall https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-SNMPv2-on-the-Palo-Alto-Networks-Firewall/ta-p/61318   概要 このドキュメントではPalo Alto Networks FirewallでのSNMPv2の設定方法について説明します。   Steps SNMP trapの server profileを設定します。 Device > Server Profilesへ移動します。 SNMP Trapをクリックします。 Add をクリックしProfile の名前と SNMP のバージョン( V2 c)を設定します。 Addをクリックし以下の設定をします: Server:  SNMP Trap の宛先サーバーの名前 Manager:  SNMP Trap の宛先サーバーの IP Address Community:  SNMPコミュニティ名(デフォルトはPublic) Device > setup > operationsに移動します。 SNMP Setupをクリックします。 SNMP setup ウィンドウで以下の設定をします: Physical location:  ファイアウォールの物理的な位置(例:東京都千代田区) Contact:  ファイアウォールの管理者の名前やメールアドレス。この設定はstandard system information MIBにreportされます。 Use Event-Specific Trap Definitions: これを有効にするとSNMP trapがevent typeによるunique OID を使い送信されます  (既定値は有効) Version:  SNMP バージョン (V2c 又は V3) V2cの場合 以下の項目について設定します SNMP Community String: SNMPコミュニティ名(デフォルトはPublic) log forwardingを設定します: Deviceタブをクリックし、Log Settingsフォルダ内のSNMP Trap で送信したい Log を選択します。 SNMP Trap で送信する logの severityを選択します。  severity ウインドウでSNMP Trap のドロップダウンリストで作成した SNMP Server Profile を選択します。 management interfaceでSNMP Service を有効にします: Device タブ の Setupをクリックします。 Managementタブをクリックします。 Management Interface Settings の右上のボタンをクリックします。 SNMP Service を有効にします。 注意: SNMP Trapの送信にmanagementインターフェース以外のインターフェースを使用する場合インターフェースのManagement ProfileにSNMPが有効になっている事を確認してください。 設定変更をCommit し、TrapsがManagementポートからSNMPサーバーに届いているか確認します。    
記事全体を表示
oconnellm ‎04-19-2016 10:34 PM
6,544件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Implement and Test SSL Decryption https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Implement-and-Test-SSL-Decryption/ta-p/59719   概要 PAN-OSはPalo Alto Networks ファイアウォールを経由する通信の復号化、SSL インバウンド/アウトバウンド インスペクションを実施します。SSLの復号化は、Layer 3およびVirtual Wireモードで使われるインターフェイスで、SSLルールによって、トラフィックの復号化設定されたものに対して実施されます。特に、 復号 化は、URLカテゴリー、ソースユーザー、そしてソースアドレス、ターゲットアドレスをベースにして指定することができます。一旦 復号 化されると、暗号化トンネル内のアプリケーション、脅威、URLフィルタリング、ファイル ブロッキング、データ フィルタリングなどを検知してコントロールすることができます。 復号 化された通信がファイアウォールから流出することはありません。   SSL インバウンド インスペクション 内部Webサーバー、終端装置への内側方向通信の場合、管理者は守るべきサーバー証明書やキーのコピーを取り込む必要があります。ファイアウォールにサーバー証明書とSSL復号化ポリシーが内側方向の通信に設定されていると、ファイアウォールはトラフックを復号化、情報を読み取った後に転送します。パケット データ及びクライアント システムから内部サーバーへの暗号化通信には変更は加えられません。ファイアウォールは暗号化通信を通じて、悪意のあるコンテンツの検知、アプリケーション コントロールを実施します。   アウトバウンドSSL復号化 (SSLフォワード プロキシ) ファイアウォールが外側通信SSLに対して、SSL通信をインターセプトしてそのユーザーがアクセスしたいサイトの証明書を作り、プロキシの動作をする場合です。 機器上で生成された証明書の有効日付は、実際のサーバー証明書から取得されます。機器上で生成された証明書の発行局はPalo Alto Networks機器です。もしファイアウォールの証明書が既存階層の一部でなかったり、クライアント インターネット ブラウザにキャッシュとして追加されていない場合、クライアントはセキュアなサイトにアクセスする際に、警告メッセージを受け取ります。もし実際のサーバー証明書がPalo Alto Networksファイアウォールによって信任されていない認証局によって発行されている場合、攻撃者が仲介していないかユーザーに警告するために、復号化証明書を2次的な信頼されない認証局 (CA)キーとして扱われます。   SSL復号化設定をするためには ファイアウォールに通信を処理する設定をし、ネットワーク上に設置 認証局 (CA)がファイアウォール上に設定 SSL復号化ルールの設定 SSL復号化、通知ページ設定 (任意設定) 設定変更をCommitし、復号化試験   手順 1. ファイアウォールに通信を処理する設定をし、ネットワーク上に設置 Palo Alto Networks ファイアウォールには、既に動作するインターフェイス(Virtual WireもしくはLayer 3)、ゾーン、セキュリティ ポリシーが設定されており、通信が通過していることをご確認ください。   2. 認証局 (CA)がファイアウォール上に設定 認証局 (CA) が生成されたSSL証明書によって、トラフィックを正しく復号化するためには、ファイアウォール上で自己証明書を作成するか、従属するCA(社内にあるPKI構成)からをインポートすることです。"Forward Trust Certificate" と "Forward Untrust Certificate" を一つ以上の証明書で、ファイアウォールで通信を復号化するために有効にします。 注意 :  SSL証明書プロバイダー(Entrust, Verisign, Digicert, GoDaddyなど)は認証局 (CA) を販売していません。これらはSSL復号化ではサポートされていません。   ファイアウォールのGUIにアクセスし、Device > Certificatesに移動します。インバウンド インスペクションもしくはアウトバウンド インスペクション(SSLフォワード プロキシ)の為、証明書を取り込むか、生成します。   自己証明書を作る 自己証明書を作ることを推奨します。自己証明書の作り方については以下の記事をご参照ください。 How to Generate a New Self-Signed SSL Certificate   Microsoft Certificate Serverから証明書を作成、インポートする 組織に帰属するMicrosoft Certificate Serverから、Advanced Certificateを“Subordinate CA”証明書テンプレートを使用してリクエストして、証明書をダウンロードします。 ダウンロードの後、ローカルの証明書ストアから、証明書をエクスポートします。IE設定ではインターネット オプション設定 -> コンテンツ タブ -> 証明書をクリックします。新しい証明書は、個人タブからエクスポートできます。証明書のエクスポート ウィザードを選び、プライベート キーをエクスポートします。そしてフォーマットとパスフレーズ、ファイル名、保存先を選びます。証明書はPFXフォーマット(PKCS #12)となります。 証明書を取り出すために、以下のopenSSLコマンドを実行します。 openssl pkcs12 –in pfxfilename.pfx –out cert.pem –nokeys キーを取り出すためにはopenSSLの以下のコマンドです。 openssl pkcs12 –in pfxfilename.pfx –out keyfile.pem -nocerts pemファイルとkeyfile.pemファイルをPalo Alto Networksファイアウォールに取り込むには、Deviceタブ > Certificates画面です。 High Availability (HA)ペアの場合、これらのファイルをセカンダリーのPalo Alto Networksファイアウォールにロードする、もしくは証明書とキーをコピーするには、DashboardのHigh Availabilityウィジットにて実行します。   以下が"Forward Trust"と"Forward Untrust"証明書の例です。     注意 : 自己証明局を使う場合、公共CA 証明書をファイアウォールからエクスポートし、各々の端末ブラウザーに信頼されたルート証明機関としてインストールすることにより、ブラウザー上で信頼されないルート証明機関としてエラー表示されるのを避ける必要があります。ネットワーク管理者はグループ ポリシー(GPO)を使って各々のワークステーションに証明書を配布することができます。   以下は自己証明局のCA証明書を信用していない場合のブラウザー上のエラー例です。   信頼されていないCA 証明書エラー : Firefox   信頼されていないCA 証明書エラー : Chrome   信頼されていないCA 証明書エラー : Internet Explorer   3. SSL復号化ルールの設定 ネットワーク管理者は復号化する他の要件を決定します。SSL復号化ルールにはいくつかの推奨があります。 復号化するルールを徐々に進める方法 : 復号化するルールを特定のものからスタートして、典型的なSSL通信をファイアウォールにより復号化してモニターします。 ユーザーがプライバシー侵害と考える次のようなカテゴリを復号化することを避けます。 Financial services Health and medicine サーバーがクライアント証明(ユーザーID特定の為)を要求するようなアプリは復号化しないようにします。 PAN-OS 5.0から紹介されている機能で、クライアント認証を要求されているコネクションを、復号化プロファイルでブロック、許可することができます。   アウトバンド向け復号化ルールの 推奨サンプル例です。 4. SSL復号化、通知ページ設定 (任意設定) Device タブ > Response Pages 画面で、SSL復号化されたときにユーザーに通知するレスポンス ページの設定ができます。”SSL Decryption Opt-out Page”の"Disabled"をクリックし、"Enable SSL Opt-out Page"をチェックしてOKを選択します。   デフォルト設定のSSL Opt-out pageページが表示されます。HTMLエディターで編集して、インポートすることにより、会社特有の情報を表示することができます。   5. 外向けSSL通信復号化試験 アウトバウンド復号化通信試験には、 アウトバウンド ポリシー上で、いかなるウィルスが発見された場合、アラートが出るように設定してください。さらに、Anti-Virusセキュリティ プロファイルで、パケット キャプチャを取得するように設定して変更をCommitで反映してください。 内部PCからファイアウォール経由で、www.eicar.orgにアクセスして、右上にある、 “Download Anti Malware Testfile"をクリックします。 次の画面で、下までスクロール ダウンします。 Eicarテスト ファイルをhttpでダウンロードします。以下の4つのファイルはウィルス検知されます。 Monitor タブ > Logs > Threatでeicarファイルのログ ファイルを探します。 ログの左側にある緑の↓矢印をクリックすると取得されたパケットが参照できます。 その左にある虫眼鏡アイコンをクリックすると、ログの詳細が参照できます。 下までスクロールして、“Decrypted”フィールドを確認すれば、セッションが復号化されていなかったのがわかります。   www.eicar.orgのダウンロードページに戻って、今回は、SSL enabled protocol HTTPSでテスト ウィルス ファイルをダウンロードします。 Threatを確認すると、ウィルスは検知されているはずです。すなわちSSLコネクションは復号化されたわけです。Web browsingでポート443を使ったEicarが検知されているログ メッセージによって可視化されています。 緑の↓矢印にをクリックすることによってパケットの詳細がみれます(確認作業はhttpの時と同じです) ログ エントリーの左にある虫眼鏡アイコンをクリックして、スクロール ダウンし、Flagsフィールドの “Decrypted”にチェックが入っていることが確認できます。   SSL暗号化通信中のウィルスが検知されていることに成功しています。    “no-decrypt”ルールの試験には、まず最初に、どのURLカテゴリー(financial services / shopping / health and medicine)で失敗しているか確認します。BrightCloudでは http://www.brightcloud.com/testasite.aspx 、PAN-DBでは Palo Alto Networks URL Filtering - Test A Site  サイトにて、SSL復号化に失敗したURLを入力することによって、何のURLカテゴリーだったか確認できます。ウェブサイトが一旦復号化されるべきでないURLカテゴリーと識別、設定をSSL復号化ルールで定義したら、これらのサイトにアクセスしても証明書エラーは発生されなくなるでしょう。ウェブ ページは正しく表示され、TrafficログでもアプリケーションはSSL、ポートは443と表示されます。   インバウンド通信復号化試験: このインバウンド接続ログを確認すると、SSLとはアプリケーション識別されておらず、実際のSSL通信内のアプリケーション名となっています。虫眼鏡アイコンをクリックすると、この接続が復号化されていることが確認できます. インバウンドSSL復号化をファイアウォール上で有効にした前のトラヒックを調べます。ターゲットとなるサーバー通信を参照します。それらのログにはポート443で、アプリケーションがSSLと検知されているはずです。 ネットワーク外部からの通信はDMZにいるサーバーにSSL経由で接続してきます。証明書エラーもなく、コネクションはプロキシされずに検査されているだけです。   便利なCLIコマンド類: 機器を通じてSSL復号化されている既存のセッション数を確認するには、 > debug dataplane pool statistics | match Proxy   PA-2050では最初の行の出力結果は1024中の既存セッション数が出力されます。次の行のコマンド出力では、5つのSSLセッションが復号化されていることを示します (1024–1019=5): admin@test> debug dataplane pool statistics | match Proxy [18] Proxy session            :    1019/1024    0x7f00723f1ee0   アクティブ セッションで復号されているセッションを表示するには以下のコマンドを使用します。 > show session all filter ssl-decrypt yes state active PAN-OS 4.1、5.0、6.0、6.1でのSSL復号化セッションの最大同時接続数は以下です(双方向の合計です)。 Hardware SSL Decypted Session Limit VM-100 1,024 sessions VM-200 1,024 sessions VM-300 1,024 sessions PA-200 1,024 sessions PA-500 1,024 sessions PA-2020 1,024 sessions PA-2050 1,024 sessions PA-3020 7,936 sessions PA-3050 15,360 sessions PA-3060 15,360 sessions PA-4020 7,936 sessions PA-4050 23,808 sessions PA-4060 23,808 sessions PA-5020 15,872 sessions PA-5050 47,616 sessions PA-5060 90,112 sessions PA-7000-20G-NPC 131,072 sessions PA-7050 786,432 sessions    上限に達すると、全ての新しいSSLセッションは復号化されません。上限に達した場合に新しいSSLセッションをドロップしたい場合 > set deviceconfig setting ssl-decrypt deny-setup-failure yes 機器上で上限に達したかどうかの確認をするには > show counter global name proxy_flow_alloc_failure SSL復号化の証明書を確認するには > show system setting ssl-decrypt certificate Certificates for Global SSL Decryption CERT global trusted ssl-decryption x509 certificate version 2 cert algorithm 4 valid 150310210236Z -- 210522210236Z cert pki 1 subject: 172.16.77.1 issuer: 172.16.77.1 serial number(9) 00 b6 96 7e c9 99 1f a8  f7                      ...~.... . rsa key size 2048 siglen 2048 basic constraints extension CA 1 global untrusted ssl-decryption x509 certificate version 2 cert algorithm 4 valid 150310210236Z -- 210522210236Z cert pki 1 subject: 172.16.77.1 issuer: 172.16.77.1 serial number(9) 00 b6 96 7e c9 99 1f a8  f7                      ...~.... . rsa key size 2048 siglen 2048 basic constraints extension CA 1   SSL復号化設定を確認するには > show system setting ssl-decrypt setting vsys                          : vsys1 Forward Proxy Ready          : yes Inbound Proxy Ready          : no Disable ssl                  : no Disable ssl-decrypt          : no Notify user                  : no Proxy for URL                : no Wait for URL                  : no Block revoked Cert            : yes Block timeout Cert            : no Block unknown Cert            : no Cert Status Query Timeout    : 5 URL Category Query Timeout    : 5 Fwd proxy server cert's key size: 0 Use Cert Cache                : yes Verify CRL                    : no Verify OCSP                  : no CRL Status receive Timeout    : 5 OCSP Status receive Timeout  : 5 Block unknown Cert            : no SSL復号化リソースのリストについては以下のサイトをご参照ください。 SSL Decryption Quick Reference - Resources (2016年4月時点でリンク先にアクセスできなくなっています。ご迷惑をおかけします)   SSL復号でサポートする暗号スイートについてのさらなる情報については以下のサイトをご参照ください。 SSL Decryption Not Working Due to Unsupported Cipher Suites Limitations and Recommendations While Implementing SSL Decryption How to Identify Root Cause for SSL Decryption Failure Issues   注意: 何かこの文章にさらなる追加をしたい場合は、下にコメントを追記してください。
記事全体を表示
kkondo ‎04-17-2016 06:11 AM
22,241件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure U-Turn NAT https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-U-Turn-NAT/ta-p/61889   概要 “Uターン” とは外部アドレスが解決される内部リソースにアクセスするときに、トラフィックが引き返すように見える論理パスを指します。Uターン NAT とは内部ユーザーがサーバーの外部パブリック IP アドレスを使用して内部サーバーにアクセスする際に必要なネットワークのことを指します。 詳細 例として、内部 Web サーバーはサーバーの外部パブリック インターネット アドレスを指す DNS レコードを使用してします。   外部ユーザーがアドレスを解決すると、ファイアウォールの外部インターフェイスに接続し、そのセッションはファイアウォールで変換されて制御されます。、物理サーバーをユーザーの内部サブネットまたは内部アドレスを持つ DMZ に配置しても、同じ FQDN に接続する内部ユーザーは外部アドレスに接続します。   NAT ルールを設定する際は、送信元と宛先のゾーンは、送信元および宛先 IP アドレスが属するゾーンに対応するように設定する必要があります。対照的にセキュリティ ルールのゾーンは実際の送信元、宛先によって決定されますが、オリジナル パケットの宛先 IP アドレスをリストしています。   外部ユーザーがインターネットから Web サーバーにアクセスすることを可能にする、通常のインバウンド NAT とセキュリティ ルールは次のとおりです: 注: ユーザーがセキュリティ ポリシーで 80 と 443 番ポートに制限したくない場合はサービスの設定を "any" とし、ユーザーがセキュリティ ポリシーでアプリケーション web-browsing に対応する 80 番ポートのみ使用したい場合はアプリケーション デフォルトを設定します。   以下ではLAN上のホストと、ホストと同じゾーンにあるWebサーバのための Uターン NAT ルールやセキュリティの例を示します: 同じゾーンのための Uターン NAT ルール トラフィックの送信元ゾーンが最終的に同じゾーンに紐付けられるため、セキュリティ ルールは必要ありません。   以下は別のゾーンにあるホストと Web サーバーのための Uターン NAT とセキュリティの例です: 異なるゾーン用の Uターン NAT のための NAT ルールは同じゾーン用の NAT とは異なり、ソースNATは必要ありません(パケットの流れで非対称性がないため)が、このルールは通常のアウトバウンド NAT の上に配置する必要があります: Uターン NAT のためのセキュリティ ルール:    
記事全体を表示
tsakurai ‎04-17-2016 05:13 AM
12,166件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure Captive Portal https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-Captive-Portal/ta-p/60455   概要 添付のドキュメントには、キャプティブ ポータルを設定するためのステップバイステップの説明が記載されています。以下の4つのシナリオをカバーしています: Webフォーム ログイン ページ - 透過モード Webフォーム ログイン ページ - リダイレクト モード クライアント証明書 NTLM認証 手順 PAN-OS 5.0以降より、以前 "captive-portal" という名称であったアクションは、"web-form" に変更されています。これは名称のみの変更です。web-form ページは未知のユーザに認証情報の入力を求めます。 以前 "ntlm-auth" という名称であったアクションは、現在 "browser-challenge" に変更されています。これは名称のみの変更です。"browser-challenge" は、ブラウザ (IE、Firefox等) の NTLMサポートにより背後でユーザーを認証します。 注: "no-captive-portal" アクションは変更されていません。https で始まるトラフィックの場合、トラフィックが暗号化されているため、キャプティブ ポータルは表示されません。HTTPSトラフィックの場合もキャプティブ ポータルが起動するようにするためには、Decryptionを有効にします。 さらに詳細につきましては、How to Implement and Test SSL Decryption のリンクをご参照ください。  
記事全体を表示
kishikawa ‎04-14-2016 10:20 PM
5,768件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure DNS Proxy on a Palo Alto Networks Firewall https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-DNS-Proxy-on-a-Palo-Alto-Networks-Firewall/ta-p/61619   概要 本文では Palo Alto Networks ファイアウォールにおける DNS Proxy 有効、設定、確認方法について記述しています。   手順 Webユーザーインターフェイス画面上: Network > DNS Proxyを選択 Add をクリックし、 DNS Proxy 設定画面を表示します。 DNS proxy を有効化するインターフェイスを選択します。下の図例では、 Ethernet 1/2 と 1/3 が選択されています。 ファイアウォールから DNS クエリーが転送される、プライマリーとセカンダリー サーバーが設定されています。 プライマリー サーバー 10.0.0.246 が設定されています。 静的エントリーを DNS Proxy に追加することができます。 FQDN と相対する Address 情報を Static Entries タブに追加します。 Palo Alto Networksファイアウォールは DNSサーバー からの結果を保持するかどうか設定できます。 DNSサーバー からの結果を保持する設定については、How to Configure Caching for the DNS Proxy を参照ください。 注意 : DNSエントリーが過去の結果から得られない場合、 Domain の検索が静的エントリー リストに対して実行されます。合致したエントリーが見つかった場合、それに応じたアドレスが提供されます。もし合致したエントリーがない場合、 DNS query の送信元が DNS Proxy が設定されたインターフェイスの場合(この設定例では Ethernet 1/2 か 1/3 になります)、 DNS リクエストは設定されたプライマリーかセカンダリー サーバーに送られます。 DNS Proxy Rulesタブでは、ルールを設定することができます。 Palo Alto Networks ファイアウォールでは、ドメイン名によって転送するプライマリーとセカンダリー サーバーを個別に設定ができます。以下の設定例では、 DNS proxy ルールにおいて、 techcrunch.com ドメイン名については、 DNS サーバー( 10.0.0.36 )に送付されます。 注意 : Palo Alto Networksファイアウォールはリバース DNS proxy ルックアップを実行できます。クライアント側で、 DNS proxy 設定されいてるインターフェイスの IP アドレスがクライアントに設定されている DNSサーバー で設定されている必要があります。   CLIによる設定 : > configure # set network dns-proxy dnsruletest interface ethernet1/2 enabled yes # set network dns-proxy dnsruletest default primary 10.0.0.246 # set network dns-proxy dnsruletest static-entries tss domain xyx.com address 1.1.1.1 # set network dns-proxy dnsruletest domain-servers test cacheable no primary 10.0.0.246 domain-name yahoo.com # commit   設定確認 DNS Proxyの設定は以下のコマンドにて確認します。 > show dns-proxy statistics all   Name: dnsruletest Interfaces: ethernet1/2 ethernet1/3 ethernet1/4 Counters:   Queries received from hosts:12   Responses returned to hosts:12   Queries forwarded to servers:6   Responses received from servers:6   Queries pending:0     TCP:0     UDP:0 --------------------------------------   > show dns-proxy cache all   Name: dnsruletest Cache settings:   Size:1024 entries   Timeout:14400 seconds                               Domain                 IP/Name                 Type  Class     TTL       Hits -------------------------------------------------- ---------------------------- 2.2.2.4.in-addr.arpa   b.resolvers.l evel3.net   PTR    IN      60598      1   さらなる解析情報として、 dnsproxyd.log を参照ください。 > tail follow yes mp-log dnsproxyd.log   デフォルトの動作として同じゾーンの通信は許可します。しかし "deny all" ルールが存在していると、セキュリティー ルールで通信を許可する必要があります。 DNS トラフィックを許可するセキュリティー ルールを追加してください。   注意 : DNS Proxyルールはマネージメント インターフェイスからの通信には適応されません。 例えば、マネージメント インターフェイスから DNS Proxy に定義されているエントリーに Ping した場合、 DNS Proxy ルールは適応されず、 DNSサーバー からのエントリーが使用されます。   参考 Not authorized to view the specified document 3522 Blocking Suspicious DNS Queries with DNS Proxy Enabled  
記事全体を表示
kkondo ‎04-11-2016 10:44 PM
7,950件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure Active Directory Server Profile for Group Mapping and Authentication https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-Active-Directory-Server-Profile-for-Group/ta-p/58089   概要 Palo Alto NetworksはLDAPブラウザーを使って、正確なLDAP情報を確認することを推奨します。   正確なバインド情報の見つけ方 バインドDNを検索するには、AD サーバーのコマンド ラインにて、以下のコマンド(例:ユーザー名 test1)実行します。 dsquery user -name test1 以下の例ではバインドDN "CN=test1, OU=outest2, OU=outest, DC=pantac2, DC=org" が返答されます。   または、バインドDNを検索するためにLDAPブラウザを使用することもできます。   ベースDNはLDAPディレクトリー構造で、PANがユーザー情報を検索する起点です。 バインドDNで使用するユーザーは、認証のために情報を検索するために使用するものです。   注意 : アクティブ ディレクトリー(AD)では空白のフォルダー アイコンはコンテナ (CN) 、通常のフォルダーは組織(OU)を表します。     この例では、adminアカウントがUsersコンテナにある場合、バインドDN情報はcn=admin,cn=users,dc=pantac2,dc=orgとなります。   次の例ではtest1アカウントがOUtest2組織ユニット(OU)に存在します。そしてOUtest2はOUtestの中にいます。   LDAP設定 Device > Server Profile> LDAP   上記の例ではアクティブ ディレクトリー(AD)の接続にSSL暗号化は使用されません。TCP ポート389はLDAP接続で非暗号化接続の標準ポートです。以下は、TCP ポート636(SSL暗号化)設定例です。   LDAP情報 Domain: paloalto (NETBIOS名かWindows 2000以前のドメイン名です。詳しくは What Should be Configured as Domain in an LDAP Profile? をご参照ください) Type: active-directory Base DN: DC=paloalto, DC=com Bind DN: CN=PAadmin, OU=Users, DC=paloalto, DC=com   グループ マッピング プロファイル設定 Device > User Identification> Group Mapping Settings: 許可リストのグループ化タブをクリックします。 左パネルにあるBase情報左の”+”をクリックすると、検索をかけたいグループ情報一覧が表示されます。 グループ リストから、ファイアウォール上のポリシーで使用したい"cn="で始まるグループを選択し、画面中央の”+”で右側の含まれたグループに追加します。 注意!含まれた グループに何も選択しない場合、アクティブ ディレクトリー(AD)上のすべてのグループがけ検索対象になり、負荷をかける原因になることがあります。 コミットを実行します。 CLIでLDAP serverとの接続を確認するコマンドは以下になります。 > show user group name all   LDAP認証の設定 Device > 認証プロファイル 認証 プロファイルで、クエリ検索をかけたいグループを追加します。 このプロファイルは、Captive Portal、Global Protect、ユーザー ログイン、その他ファイアウォールで使用する認証で使用することができます。 許可リストのグループが異なる場合は、別の認証プロファイルを作成し違う目的で使用することができます。
記事全体を表示
kkondo ‎04-08-2016 11:42 PM
5,951件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure High Availability on PAN-OS https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-High-Availability-on-PAN-OS/ta-p/54086 訳注: 一部の説明、スクリーンショットの記述が最新のPAN-OSでは若干異なっている場合があります。   概要 本ドキュメントでは、Palo Alto Networksファイア ウォールの高可用性設定手順を記載しています。 注:  本ドキュメントはPA-200デバイスの高可用性設定には該当しません。   手順 プライマリ機を設定します "Network" > "インターフェイス" へ移動します。 注: HAのリンクは以下のスクリーンショットのようになります。 使用しようとしているHAリンクがアップしている状態であることを確認してください。 インターフェイス タイプがどちらもHAになっていることを確認してください。 PA-3000, PA-4000 または PA-5000 Series のデバイスのペアを設定する場合は、上記の手順はスキップしてください。VM-Seriesを含むその他の ファイアウォールでは、特定のポートをHAタイプとして設定する必要があります。 "高可用性" > "全般" へ移動します。 注: セットアップ セクションで設定変更を行います。 右上の 歯車(編集)ボタンを押してください。 HAの有効化にチェックをいれます。 HAの2台の機器で共通となるグループIDを入力します。 ピアのIPアドレスを入力します。このアドレスは以降の手順で使用します。 設定の同期化の有効化にチェックを入れます。 グループIDはL3インスタンスの仮想MACを生成する際に使われます。もし1つ以上のクラスタが同一のL 2ネットワークに存在する場合、IDはクラスタ毎に異なる必要があります。 ピアHA IPアドレスには、ネットワーク内で現在使われていない任意のIPアドレスを使用することができます。 もしポート数に十分な空きがあれば、"バックアップ側 ピア HA IP アドレス" の設定を推奨します。 "全般" タブにある "コントロール リンク (HA1)" をクリックします。 注: コントロールリンクとして、一つ目のHAインターフェイスを選択します。 手順2で設定したピアHA IPアドレスと同じサブネット内のIPアドレスを入力します。 コントロール リンクが対向の機器に直接繋がっていない場合、暗号化(AES-256)を使うことも可能です。 コントロール リンクが異なるブロードキャスト ドメインにある場合は、ゲートウェイの設定のみ必要です。 "全般" タブにある "データ リンク (HA2)" をクリックします。 注:転送の設定 データリンクで使用するために二つ目のHAインターフェイスを選択します。 データリンク用のIP情報を設定します。 有効化のチェックボックスにチェックを入れます。 Ethernet: ファイアウォールが直接繋がっている場合、またはスイッチ(Ethertype 0x7261) 経由で繋がっている場合に使用します。 IP: レイヤー3転送が必要な場合に使用します。(IPプロトコル番号は99です)。 UDP: IPオプション(UDP port 29281)にてヘッダだけではなくパケット全体に対してチェックサムの計算をする場合、アドバンテージと して使うことが可能です。 "全般" > "選択設定" にある歯車マークをクリックします。 どちらかのファイアウォールがアクティブになるように設定するにはプリエンプティブを両方のファイアウォールで有効にしデバイス優先度を設定します。 デバイス優先度で設定された値が小さい方のデバイスがアクティブになります。 その他の設定項目に関しては、右上の"?"ボタンを押してヘルプを参照してください。 セッション同期が有効になっている場合、セッション テーブル、フォワーディング テーブル、ARPテーブル、VPN Security Associations (SA) はHA2を用いてアクティブ機からコピーされます。パッシブ機が引き継いだ際には、既存のセッションは継続します。 プライマリとセカンダリ間で管理インターフェイスを用いた接続が可能であれば、管理インターフェイスでpingを行うハートビート バックアップを有効にすることを推奨します。 設定をコミットします。 この時点で、全てのレイヤー3インターフェイスは新しい (共通) MACアドレスを取得します。それぞれのレイヤー3インターフェイスに接続されているスイッチに対し、新し いIPアドレスとMACアドレスの組み合わせをgratuitous ARPによって数回通知します。 プライマリ機がアクティブであることを確認します。 以下のように、ローカルはアクティブと表示され、ピアはunknownと表示されます。 ダッシュボードへ移動します。 高可用性ウィジットを追加します。 "ウィジット" > "システム" > "高可用性" セカンダリ機を設定します。 手順1を参照し、プライマリ機のHAリンクと通信するための二つのHAリンクを、セカンダリ機において も設定します。 セカンダリ機の "Device" > "高可用性" > "全般" へ移動し、HAの有効化にチェックを入れます。(手順2を参照) プライマリ機と同じグループIDを設定します。 プライマリ機のコントロール リンクに設定したIPアドレスを入力します。 設定の同期化の有効化にチェックを入れます。 "全般" タブにある "コントロール リンク (HA1)" をクリックします。 注:プライマリ機にて暗号化を有効にした場合は、ここでも暗号化を有効にします。 セカンダリ機のコントロール リンクのために使用する一つ目のHAインターフェイスを選択します。 手順8で設定したピアHA IPアドレスと同じサブネット内のIPアドレスを入力します。 "全般" タブにある "データ リンク (HA2)"をクリックします。 データ リンクとして使用する二つ目のHAインターフェイスを選択します。 データ リンク用にIP情報を設定します。 有効化のチェックボックスにチェックを入れます。 転送のドロップ ダウンの設定がプライマリ機の設定と同じことを確認してください。 プリエンプティブの設定を除き、プライマリ機の選択設定と同じ設定を行います。 この設定では、プリエンプティブは無効になっています。 プリエンプティブを有効にします。 デバイス優先度を設定します。値が大きい程、優先度は低くなります。 セカンダリ機において、変更をコミットします。 プライマリ機に移動します。 ローカルがアクティブで、ピアがパッシブであることを確認します。 全てのダイナミック更新が同期されていることを確認します。 この例は、アンチウィルスとGlobalProtectが同期されていない状態を示しています。 必要に応じてアップデートを行います。全てがマッチすると以下のようになります。 両方のデバイスにおいて全てがマッチしたら、アクティブ機のダッシュボードへ移動し、"ピアと同期" をクリック します。"synchronization in progress"と表示されます。 セカンダリ (パッシブ) 機のCLIにて、HAの同期プロセスを以下のコマンドで確認します。 > show jobs all 最初の二回のHAの同期は失敗しています。原因を特定し問題を解決します。 失敗したジョブの詳細を確認するためには、以下のコマンドを実行してください。 > show jobs id <id number of the HA-Sync job> 最初の同期の失敗は、ID 13です。 パッシブ機において"Samir"という名前のセキュリティ ルールが存在し、それによってHAの同期プロセスが失敗しています。このルールは以前にPanoramaか らプッシュされた共有ポリシーです。 このルールを削除し、アクティブ機のダッシュボードより再度ピアへの同期を開始します。今回はジョブが正常 に終了しました。 高可用性が設定されました。 リンク モニタリングとパス モニタリングを設定します(任意): "Device" > "高可用性" > "リンクおよびパスのモニタリング" タブへ移動します。 この例では全てのリンクをモニターします。つまり、もしいずれかのリンクがアクティブ機でダウンした場合、 フェイルオーバーが発生します。 この例では、パス モニタリングは設定されていません。 リンクおよびパスのモニタリングのヘルプを参照するためには、タブの右上にある"?"ボタンをクリックして ください。    
記事全体を表示
ymiyashita ‎04-08-2016 11:00 PM
12,291件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 GlobalProtect Portal and Gateway License Requirements https://live.paloaltonetworks.com/t5/Configuration-Articles/GlobalProtect-Portal-and-Gateway-License-Requirements/ta-p/57162   概要 GlobalProtect ポータルおよびゲートウェイが必要となるシナリオを列挙します。   GlobalProtect ポータル ライセンス   PAN-OS 7.0以前: 以下の状況でGlobalProtect ポータル ライセンスが必要となります。 HIPを使用 複数のゲートウェイを設定 内部ゲートウェイを設定 PAN-OS 7.0以降: GlobalProtect ポータル ライセンスは必要ありません。     GlobalProtect ゲートウェイ ライセンス   以下の状況でGlobalProtect ゲートウェイ ライセンスが必要となります。 HIPを使用 iOSまたはAndroid モバイル アプリケーションを使用 GlobalProtect ゲートウェイ ライセンスの要件はPAN-OS version 7.0による変更はありません。   ポータルおよびゲートウェイの高可用性(HA)実装では双方のデバイスに同一のライセンスのインストールが必要です。   参考   GlobalProtect Configuration Tech Note(英文) GlobalProtect Configuration for the IPsec Client on Apple iOS Devices (英文) GlobalProtect Configuration for the IPSec Client on Android Devices(訳注:2016/04/08現在、本記事は参照できません。)   著者:sdarapuneni
記事全体を表示
TShimizu ‎04-08-2016 10:46 PM
7,337件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure GlobalProtect https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-GlobalProtect/ta-p/58351   GlobalProtect (GP) を実装するための設定:   Palo Alto Networks firewall 上で GlobalProtect クライアントをダウンロードし、アクティベート実行 ポータル設定 ゲートウェイ設定 Trust ゾーンとGlobalProtect クライアント間のルーティング (場合によってはUntrust ゾーンとGlobalProtect クライアント間) Trust ゾーンとGlobalProtect クライアント間のトラフィックを許可するSecurity および NAT ポリシーの設定 オプション: GlobalProtect クライアントからインターネットにアクセスするためのNATポリシー (スプリット トンネリングが無効な場合) iOS および Android デバイスは接続するためにGlobalProtect アプリケーションを使用することができます。   ポータル設定   最初は証明書プロファイルを設定せずにテストされることを推奨します。これは初期設定で意図したとおりに動作しない場合、トラブルシュートを容易にすることを可能にします。正常に設定でき、基本的な認証が成功したら、証明書認証用の証明書プロファイルを追加します。   Portal のIPアドレスは外部のGP クライアントが接続するためのアドレスです。ほとんどの場合、外部インターフェイスを指定し、通常Gateway アドレスも同じIPアドレスとします。   GlobalProtect 接続方式: On-demand: VPN へのアクセスが必要なときに手動で接続する必要があります。 User-logon: ユーザーがマシンにログインするとすぐにVPN が確立されます。SSO を有効にすると、Windows のログオン情報からユーザー資格情報を自動的に取り出し、GP クライアントのユーザーを認証するために使用されます。 Pre-logon: マシンにログインする前にVPN が確立されます。この設定にはマシン証明書が必要になります。 Agent タブはユーザーがGP Agent上での実施可否に関する重要な情報が含まれています。"GlobalProtect の無効化を許可" で "with-comment"と設定した場合、コメントや理由を入力した後、ユーザーがGP Agent を無効化することができます。このコメントはユーザーが次回ログインしたときにシステム ログに表示されます。   "disabled" オプションを選択すると、ユーザーが任意でGP Agent を無効化することから防ぎます。   ゲートウェイ設定 初期設定の際は、基本設定のみを実施されることをお勧めします。全ての設定について確認されたあと、必要に応じてクライアント証明書による認証を追加できます。   サードパーティ製のVPN アプリケーションを使用するデバイスを認証するには、ゲートウェイのクライアントの設定にて " X-Auth サポートの有効化 " をチェックします。グループ名とグループ パスワードを設定する必要があります。   ほとんどの場合、静的な公開IPアドレスを持つファイアウォールのために、継承ソースは"None"に設定します。   ファイアウォールが接続してきたGP クライアントに割り当てるIP アドレスのプールとなるため、IP プール設定の情報は重要です。GP クライアントはローカル ネットワークの一部として考慮される場合であっても、ルーティングを容易にするため、LAN アドレス プールと同じサブネットをIP プールに使用することを推奨しません。送信元が異なるサブネットの場合、 社内 サーバーはゲートウェイにパケットを自動的に送り返します。GP クライアントがLANと同じサブネットからIP アドレスを発行された場合、内部LAN リソースはGP クライアントへの通信をファイアウォール (デフォルトGW) へ向けることはありません。   アクセス ルート アクセス ルートとはGP クライアントが接続することを期待されるサブネットです。ほとんどの場合、これはLAN ネットワークとなります。インターネット向けの通信を含む全ての通信をファイアウォールを通過するように強制するには、全ての通信を意味する "0.0.0.0/0" と設定する必要があります。     "0.0.0.0./0" が設定されている場合、セキュリティ ルールはGP クライアントがアクセスできる社内LANリソースを制御することができます。セキュリティポリシーがGP クライアント ゾーンからUntrust ゾーンへの通信を許可していない場合、GP クライアントからPalo Alto Networks ファイアウォールにSSL VPN経由で接続された際、クライアントは内部リソースのみアクセスすることができ、インターネットへの通信は許可されません。   GlobalProtect クライアントのゾーンとトンネルは他のインターフェイスと同じバーチャル ルーターに含まれている必要があります。
記事全体を表示
tsakurai ‎04-08-2016 10:39 PM
19,003件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Change the Management IP Address via the Console https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Change-the-Management-IP-Address-via-the-Console/ta-p/61331   詳細 ユーザー名とパスワードを入力してログインする。デフォルトの場合、 ユーザー名とパスワードは 以下となります。 ユーザー名:admin パスワード:admin   ハイパーターミナルの設定 (訳注:原文はハイパーターミナルを想定した文書ですが、他のターミナルソフトウェアでも同様に設定してください。) bits per second 9600 data bits 8 parity none stop bits 1 flow control none   ログイン後、以下のCLIコマンドを実行。 > configure (コンフィグレーションモードに移行) # set deviceconfig system ip-address 1.1.1.1 netmask 255.255.255.0 default-gateway 1.1.1.2 dns-settings servers primary 4.2.2.2 # commit   著者:jnguyen
記事全体を表示
TShimizu ‎04-08-2016 12:34 AM
2,563件の閲覧回数
0 Replies
Ask Questions Get Answers Join the Live Community