ナレッジドキュメント

本文書では"次世代ファイアウォール トラブルシューティングセミナー (情報収集編) "(コースコード:JPN-001)でご紹介するリンクをまとめています。   はじめに:設定での注意点 運用上注意して頂きたいこと: ダイナミック更新の時間設定(1/3)   RECOMMENDED UPDATE INTERVAL AND TIMINGS FOR DYNAMIC UPDATES https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClaECAS   運用上注意していただきたいこと:“Abnormal system memory usage detected, …”   Managing Botnet Reports https://docs.paloaltonetworks.com/pan-os/9-0/pan-os-web-interface-help/monitor/monitor-botnet/managing-botnet-reportshttps://www.paloaltonetworks.com/documentation/80/pan-os/web-interface-help/monitor/monitor-botnet/managing-botnet-reports   Disable Predefined Reports https://docs.paloaltonetworks.com/pan-os/9-0/pan-os-admin/monitoring/view-and-manage-reports/disable-predefined-reports   Tips & Tricks: Reducing Management Plane Load https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClSvCAK   Tips & Tricks: Reducing Management Plane Load—Part 2 https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClU4CAK   運用上注意していただきたいこと:HAスプリット ブレイン抑止(2/2)   Configuration Guidelines for Active/Passive HA Active/Passive HAで推奨される設定のガイドライン https://docs.paloaltonetworks.com/pan-os/9-0/pan-os-admin/high-availability/set-up-activepassive-ha/configuration-guidelines-for-activepassive-ha.html スプリット ブレインに関連したナレッジ   DotW: What is Peer-Split-Brain? https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClSuCAK How To Avoid HA Split-Brain due to Missed Heartbeats https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClrpCAC   運用上注意していただきたいこと:ディスク容量不足による問題   Software Upgrade Problems on PA-200 Devices https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CloMCAS How and When to Clear Disk Space on the Palo Alto Networks Device https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClaJCAS Delete MP and DP logs on 6.1 and later without Root Access https://live.paloaltonetworks.com/t5/Internal-Knowledge-Base/Delete-MP-and-DP-logs-on-6-1-and-later-without-Root-Access/ta-p/70757   運用上注意していただきたいこと: URLフィルタリングのアスタリスク表現   Nested Wildcard(*) in URLs May Severely Affect Performance https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CluFCAS   障害発生時の情報収集   ケース スタディ   Case1 Kernel Panicの確認   http://www.sophia-it.com/content/カーネルパニック https://en.wikipedia.org/wiki/Kernel_panic   解析結果   Hardware Reference https://docs.paloaltonetworks.com/hardware   Case 2   TCP SYN Flood Attack TCP/IP に係る既知の脆弱性に関する調査報告書 https://www.ipa.go.jp/security/vuln/vuln_TCPIP.html 4 stages captureの注意点 GETTING STARTED: PACKET CAPTURE https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClTJCA0   Case 3 解析結果 Threat Prevention Deployment Tech Note https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClOCCA0   Case 4 Step1 Dataplaneの負荷に関連したナレッジ How to Interpret: show running resource-monitor https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClXwCAK TROUBLESHOOTING SLOWNESS WITH TRAFFIC, MANAGEMENT https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cld9CAC   Case 5 対応についての補足(Cont.) Palo Alto Networks Support Software Release Guidance https://live.paloaltonetworks.com/t5/Product-Updates-and-New-Feature/Palo-Alto-Networks-Support-Software-Release-Guidance/ta-p/154892/jump-to/first-unread-message Case 7 High Availability High Availability Active / Passive (v4.0.x) https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm0SCAS     Case 8   Step 1 Palo Alto Networks Firewallのセッションについて(日本語) https://live.paloaltonetworks.com/t5/ナレッジドキュメント/Palo-Alto-Networks-Firewallのセッションについて/ta-p/76651 Palo Alto Networks Firewall Session Overview(英語) https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClVECA0   Step 3 Packet Capture 、Debug Flow-basic および Counter コマンド(日本語) https://live.paloaltonetworks.com/t5/ナレッジドキュメント/Packet-Capture-Debug-Flow-basic-および-Counter-コマンド/ta-p/96104 Packet Capture, Debug Flow-basic and Counter Commands(英語) https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Clf1CAC   障害発生時の情報収集(パケット ドロップ)   参考:セッション Palo Alto Networks Firewallのセッションについて(日本語) https://live.paloaltonetworks.com/t5/ナレッジドキュメント/Palo-Alto-Networks-Firewallのセッションについて/ta-p/76651 Palo Alto Networks Firewall Session Overview(英語) https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClVECA0     確認事項 2(Cont.) Understanding DoS Logs and Counters https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClOKCA0   障害発生時の情報収集(Anti Virusシグニチャ誤検知)   Anti Virusの誤検知   アンチウイルス シグネチャ誤検知 (false positive) の対応方法 https://live.paloaltonetworks.com/t5/テクニカル ドキュメント/アンチウイルス-シグネチャ-誤検知-false-positive-の対応方法/ta-p/79747 How to submit an Anti-Virus false positive(英語版) https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm3aCAC   Step 3   Get-FileHash(PowerShellで使用可能) https://msdn.microsoft.com/en-us/powershell/reference/5.1/microsoft.powershell.utility/get-filehash       障害申告にあたって   Appendix 1. Tech Support File詳細 opt以下の主なファイル Packet Capture 、Debug Flow-basic および Counter コマンド(日本語) https://live.paloaltonetworks.com/t5/ナレッジドキュメント/Packet-Capture-Debug-Flow-basic-および-Counter-コマンド/ta-p/96104 Packet Capture, Debug Flow-basic and Counter Commands(英語) https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Clf1CAC     Appendix 2. Tech Support Fileとは別に採取するログ   Appendix 3. トラブルシューティングに有用なナレッジ   Global Protect Troubleshooting GlobalProtect https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClkBCAS GlobalProtect resource list https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClfXCAS Basic GlobalProtect Configuration with On-Demand https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClH2CAK Basic GlobalProtect Configuration with User-logon https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClHdCAK Basic GlobalProtect Configuration with Pre-logon https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClEYCA0 Certificate config for GlobalProtect - (SSL/TLS, Client cert profiles, client/machine cert) https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFoCAK   SSL Decryption How to Identify Root Cause for SSL Decryption Failure Issues https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CloUCAS SSL復号化失敗の原因について確認する方法(日本語) https://live.paloaltonetworks.com/t5/ナレッジドキュメント/SSL復号化失敗の原因について確認する方法/ta-p/96658 How to Implement and Test SSL Decryption https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClEZCA0 SSL Decryption設定と試験方法(日本語) https://live.paloaltonetworks.com/t5/ナレッジドキュメント/ Decryption設定と試験方法/ta-p/76526 SSL decryption resource list https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClgHCAS   User-ID Troubleshooting User-ID: Group and User-to-IP Mapping https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cli5CAC User-ID のトラブルシューティング:グループとユーザ-IP とのマッピング(日本語) https://live.paloaltonetworks.com/t5/ナレッジドキュメント/User-ID のトラブルシューティング-グループとユーザ-IP とのマッピング/ta-p/96013 Getting Started: User-ID https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClRyCAK Best Practices for Securing User-ID Deployments https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClVPCA0 安全な User-ID 展開のためのベスト プラクティス(日本語) https://live.paloaltonetworks.com/t5/ナレッジドキュメント/安全な-User-ID-展開のためのベスト-プラクティス/ta-p/78356 User-ID resource list https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm5bCAC   Appendix 4. Palo Alto Networks製品に関する情報収集方法 サポート情報の入手方法①   サポート サイト https://www.paloaltonetworks.jp/services/support テクニカル ドキュメント https://www.paloaltonetworks.com/documentation ナレッジ(Live Community) https://live.paloaltonetworks.com/welcome   サポート情報の入手方法②   Japan Live Community https://live.paloaltonetworks.com/t5/Japan-Live-Community/ct-p/LiveJP   サポート情報の入手方法③   "次世代ファイアウォール トラブルシューティングセミナー (情報収集編) "(コースコード:JPN-001) リンク集 https://live.paloaltonetworks.com/t5/ナレッジドキュメント/quot-次世代ファイアウォール-トラブルシューティングセミナー-情報収集編-quot-コースコード-JPN-001-リンク集/ta-p/190548   他のセミナー、トレーニングなど   UPCOMING EVENTS https://events.paloaltonetworks.com/ehome/event-calendar   各種トレーニング   Home > サービス > 教育サービス > 概要 https://www.paloaltonetworks.jp/services/education      
記事全体を表示
TShimizu ‎07-16-2019 08:43 PM
7,424件の閲覧回数
0 Replies
1 Like
[ This document is written in Japanese. ]   PAN-DB のカテゴリリストです。   URLカテゴリ名 カテゴリ説明 サイト例 備考 Abortion (人口中絶) 中絶に反対または賛成、中絶手続きに関する詳細、中絶を援助またはサポートするフォーラムに関する情報やグループのサイト、中絶推進の結果/効果に関する情報を提供するサイト。 www.prochoiceamerica.org , www.abortbypill.com   Abused Drugs (乱用薬物) 合法および非合法を問わず薬の乱用を促進するサイト、薬物関連の道具の使用や販売、薬の製造や販売に関連するサイト。 www.bombshock.com , www.friendsofcannibas.com   Adult (アダルト) 性的に露骨な内容、文章(言葉を含む)、芸術、または本質的に性的表現がきわどい製品、オンライングループやフォーラム。ビデオチャット、エスコートサービス、ストリップクラブを含むアダルトサービスを宣伝するサイト。 ゲームやコミックであれアダルトコンテンツを含むものはすべてadultにカテゴリ化される。 www.playboyplus.com , www.furrytofurry.com   Alcohol and Tobacco (アルコールとタバコ) アルコールやたばこ製品、関連用品の販売、製造、使用に関連するサイト。 www.wine.com , www.thompsoncigars.com , www.cigarsinternational.com , www.thegoodwineguru.com , www.webtender.com   Auctions (オークション) 個人間での商品売買を促進するサイト。 www.ebay.com   Business and Economy (ビジネスと経済) マーケティング、経営、経済、起業や事業経営に関するサイト。 広告・マーケティング企業も含まれます。企業サイトは、各企業の分野で分類されるべきで、このカテゴリに含むべきではない。fedex.comやups.comといった運送サイトが含まれる。 http://cox.netとhttp://directv.comはケーブル会社であり、"business and economy" でなければならない(タイムワーナーケーブルとコムキャストも同様)。ストリーミング用に個別のサイトがある場合(コムキャストではxfinity.comcast.net)、"streaming media" カテゴリとする。 www.bothsidesofthetable.com/ , www.ogilvy.com , www.geisheker.com/ , www.imageworksstudio.com/ , www.linearcreative.com/   Command and Contorol (コマンド&コントロール) マルウェアに使用されているURLやドメイン、もしくは攻撃者のリモートサーバーから不正なコマンドや意図しないデータを受け取るなどマルウェアに感染しているシステム     Computer and Internet Info (コンピュータとインターネット情報) コンピュータとインターネットに関する一般的な情報。 コンピュータサイエンス、エンジニアリグ、ハードウェア、ソフトウェア、セキュリティ、プログラミングなどに関するサイトも含まれる。プログラミングはreferenceと重複するかもしれないが、メインカテゴリはcomputer and internet infoとなる。 www.redhat.com , www.freebsd.org , www.microsoft.com , www.symantec.com , www.oreilly.com , www.build-your-own-computers.com , www.alexa.com   Content Delivery Networks (コンテンツ配信ネットワーク) 広告、メディア、ファイルなどのようなコンテンツを第三者に配信することを主に行うサイト。 画像サーバを含む。 www.netdna.com , www.edgecast.com   Copyright infringement (著作権侵害) 著作権を侵害したビデオや映画、その他のメディアファイルをダウンロードにより提供する専用のウェブサイトやサービス。 www.moviexk.net   Dating (出会い系) 出会い系、オンラインデートサービス、アドバイス、その他個人的な広告を提供するウェブサイト。 www.match.com , www.eharmony.com , www.okcupid.com   Dynamic DNS (ダイナミックDNS) 提供されたまたは動的なドメイン名とIPアドレスを関連付けるためにダイナミックDNSサービスを利用しているサイト。 ダイナミックDNSサイトは、サイバー攻撃者に対するC&C通信および、他の悪意のある目的のために使用される場合がある。 no-ip.com dyndns.org   Educational Institutions (教育機関) 学校、短期大学、大学、学区、オンラインクラス、その他の学術機関用の公式Webサイト。 小学校、高校、大学など大規模な制定された教育機関を指す。個別指導塾もこのカテゴリとなる。 www.ucla.edu , www.phoenix.edu , www.sfusd.edu   Entertainment and Arts (娯楽と芸術) 映画、テレビ、ラジオ、ビデオ、プログラミングガイド・ツール、マンガ、芸能、博物館、アートギャラリーのサイト。エンターテインメント、有名人、業界のニュースに関するサイトも含まれる。 www.variety.com , www.tmz.com , www.moma.org   Extremism (過激主義・思想) テロや人種差別、ファシズムや人種、異なる民族的背景、宗教や信仰を判別する過激主義・思想を促進するウェブサイト。     Financial Services (金融サービス) オンラインバンキング、ローン、住宅ローン、債務管理、クレジットカード会社、保険会社などの個人金融情報やアドバイスに関するWebサイト。株式市場、証券会社、取引サービスに関するサイトは含まれない。外国為替取引関連サイトを含む。 www.chase.com , www.bofa.com , www.salliemae.com   Gambling (ギャンブル) 本物または仮想のお金の交換を容易にする宝くじやギャンブルのWebサイト。賭けのオッズやプールに関する情報、ギャンブルに関する指導や助言を提供するサイト。ギャンブルを行わないホテルやカジノの企業サイトはTravelにカテゴリ化される。 www.fulltiltpoker.com , www.vegasbettinglines.com   Games (ゲーム) ビデオやコンピュータゲームをオンライン再生やダウンロードできるサイト、ゲーム批評、ヒント、裏技を提供するサイト。非電子ゲームの教育、ボードゲームの販売や交換、関連する出版物やメディアに関するサイト。オンライン懸賞や景品を扱うサイトを含む。 www.gamespot.com , www.xbox360.ign.com , www.1up.com   Government (政治) 地方自治体、州政府、国家政府の公式Webサイト。関係機関、サービス、法律に関するサイトを含む。 公共図書館は除く。 www.ca.gov , www.sfgov.org , www.dmv.ca.gov   Hacking (ハッキング) 通信機器やソフトウェアに対して、違法または疑わしいアクセスや利用に関するサイト。ネットワークやシステムが侵害される可能性のあるプログラムの開発や配布、手順の助言やヒントに関するサイト。また、ライセンスやデジタル著作権システムをバイパスさせるサイトも含まれる。 www.hackspc.com , www.hackthissite.org   Health and Medicine (健康と医療) 一般的な健康に関する情報、問題、伝統医学や現代医学の助言、治癒、治療に関する情報を含むサイト。さまざまな医療分野、慣行、設備、専門家のためのサイトが含まれる。医療保険、美容整形に関するサイトも含まれる。 動物病院を含む。 www.kaiserpermanente.org , www.webmd.com , www.24hourfitness.com   Home and Garden (住まいと庭) 住まいの修繕や管理、建築、設計、建設、装飾、ガーデニングに関する情報、製品、サービスを提供するサイト。 www.bhg.com , www.homedepot.com   Hunting and Fishing (ハンティングとフィッシング) 狩猟や釣りの情報、説明、販売、関連装置や関連用品に関するサイト。 www.wildlifelicense.com , www.outdoorlife.com   Insufficient content (識別困難なWebサイト) テストページやコンテンツが存在しない場合やユーザ向けではないAPIアクセス用のサイト、コンテンツの表示に認証必要などカテゴリ分類が困難なWebサイト。     Internet Communications and Telephony (インターネット通信と電話) ビデオチャット、インスタントメッセージ、電話機能のサービスをサポートまたは提供するサイト。 www.skype.com   Internet Portals (ポータルサイト) 通常、広範なコンテンツやトピックをまとめることでユーザーに対して開始点となるサービスを提供するサイト。 www.yahoo.com , www.qq.com   Job Search (職探し) 求人情報や雇用評価、面接のアドバイスやヒント、雇用主と候補者の両方に対する関連サービスに関するサイト。 www.monster.com , www.linkedin.com/jobs   Legal (法律) 法律、法律サービス、法律事務所、その他法律関連の問題に関する情報、分析、助言に関するサイト。 www.probono.net , www.childlaw.org , www.litigationweb.com   Malware (マルウェア) 悪意あるコンテンツ、実行可能ファイル、スクリプト、ウイルス、トロイの木馬、コードを含むサイト。     Military (軍事) 軍事部門、軍人募集、現在や過去の作戦、関連道具に関する情報や解説のサイト。 www.goarmy.com , www.pentagon.mil   Motor Vehicles (モータービークル) 自動車、オートバイ、ボート、トラック、RVに関して批評、販売、取引、改造、部品、その他関連する議論に関する情報。 www.edmunds.com , www.carfax.com , www.audi.com   Music (音楽) 音楽の販売、配布、情報に関するサイト。音楽アーティスト、グループ、レーベル、イベント、歌詞、音楽ビジネスに関するその他の情報に関するWebサイトを含む。 ストリーミング音楽は含まない。 www.U2.com , www.itunes.com   News (ニュース) オンライン出版物、ニュースワイヤー(オンラインでニュースを送受信するシステム)サービス、その他、現在のイベント、天候、時事問題を集約したサイト。新聞、ラジオ局、雑誌、ポッドキャストを含む。 reddit, delicious, diggのようなソーシャルブックマークサイトを含む。 www.reuters.com , www.abcnews.com , www.weather.com   Not-resolved (未解決) 対象のURLがローカルURLフィルタリングデータベースに存在せず、ファイアウォールがクラウドのデータベースへ接続できない場合。     Nudity (裸体) 作品として性的な意図や意味があるかによらず、人体のヌードやセミヌードを含むサイト。参加者の画像を含むヌーディストやヌーディストサイトも含まれる。 www.nudistbeaches.nl , www.fineartnude.com   Online Storage and Backup (オンラインストレージとバックアップ) ファイルの無料オンラインストレージをサービスとして提供するWebサイト。 flickr.comやshutterfly.comのような写真共有サイトを含む。 www.dropbox.com , www.box.net   Parked (パークドメイン) 限られたコンテンツやクリックスルー広告をホストするURL。ホストに対して収入を生むことがあるが、一般にはエンドユーザにとって有用なコンテンツやサイトが含まれていない。工事中のサイトやフォルダのみのページを含む。 www.parked.com   Peer-to-Peer (ピアツーピア) ターゲットファイルへのデータ、ダウンロードしたプログラム、メディアファイル、その他ソフトウェアアプリケーションへのピアツーピア共有アクセスまたはクライアントを提供するサイト。 シェアウェアやフリーウェアサイトは含まない。bittorrentダウンロード機能を持つサイトが主に含まれる。 www.thepiratebay.org , www.emule-project.net , www.bitcomet.com   Personal Sites and Blogs (個人サイトとブログ) 個人やグループによる、私的なWebサイトやブログ。 最初のコンテンツに基づいて分類されるべき。たとえば誰かがクルマについてのブログを持っている場合は、そのサイトは"motor vehicles"に分類されるべきである。サイトが純粋なブログである場合は、" Personal Sites and Blogs " となります。 www.blogspot.com , www.wordpress.com , www.greatamericanphotocontest.com   Philosophy and Political Advocacy (哲学と政策支援) 哲学や政治的見解に関する情報、視点やキャンペーンを含むサイト。 www.protectmarriage.com , www.bradycampaign.org   Phishing (フィッシング) フィッシングやファーミングによりユーザーから個人情報を取得する、見かけ上は信頼できそうなサイト。     Private IP Addresses (プライベートIPアドレス) このカテゴリにはRFC1918 "Address Allocation for Private Intranets" で定義されたIPアドレスを含む。 10.0.0.0 - 10.255.255.255 (10/8 プレフィックス) 172.16.0.0 - 172.31.255.255 (172.16/12 プレフィックス) 192.168.0.0 - 192.168.255.255 (192.168/16 プレフィックス) 169.254.0.0 - 169.254.255.255 (169.254/16 プレフィックス) また*.localのような公共のDNSシステムに登録されていないドメインが含まれる。     Proxy Avoidance and Anonymizers (プロキシ回避と匿名プロキシ) プロキシサーバやその他方式でURLフィルタリングやURL監視をバイパスするサイト。 www.proxify.com , www.proxy-anonymizer.com   Questionable (疑わしいサイト) 下品なユーモア、特定層の個人やグループをターゲットにした不快なコンテンツ、犯罪行為、違法行為、手早く金持ちになれる、といったものを含むサイト。 www.collegehumor.com , www.holytaco.com   Real Estate (不動産) 不動産賃貸、販売、関連する助言や情報に関するサイト。不動産業者、企業、レンタルサービス、不動産情報、リフォーム関連のサイトが含まれる。 www.realtor.com , www.redfin.com , www.prudentialproperties.com   Recreation and Hobbies (レクリエーションと趣味) レクリエーションや趣味に関する情報、フォーラム、団体、グループ、および出版に関するサイト。 www.cross-stitching.com , www.modelplanes.com   Reference and Research (参考と調査) 個人、専門家、学術系のリファレンスポータル、コンテンツ、サービス。オンライン辞書、地図、年間、国勢調査、図書館、系譜、科学情報が含まれる。 公共図書館であれば.govで終わるサイトも含む。 www.wikipedia.org , www.reference.com , www.m-w.com   Religion (宗教) 各種宗教、関連活動やイベントに関する情報。宗教団体、関係者や礼拝場所に関するWebサイトを含む。 占星術、星占い、占いに関するサイトを含む。 www.vatican.va , www.sjkoreancatholic.org , www.biblesociety.ca   Search Engines (サーチエンジン) キーワード、フレーズ、その他パラメータを使用して検索インタフェースを提供するサイト。検索結果として情報、ウェブサイト、画像、ファイルを返す。 www.google.com , www.baidu.com   Sex Education (性教育) ⽣殖、性的発育、安全な性⾏為慣⾏、性病、避妊、より良いセックスに関する情報、関連する製品や道具に関する情報。関係するグループ、フォーラムや組織のためのウェブサイトを含む。 www.plannedparenthood.org , www.sexandahealthieryou.org   Shareware and Freeware (シェアウェアとフリーウェア) 無料または寄付を受け付けるソフトウェア、スクリーンセーバー、アイコン、壁紙、ユーティリティ、着メロ、テーマ、ウィジットへのアクセスを提供するサイト。また、オープンソースプロジェクトが含まれる。 www.download.com , www.sourceforge.net   Shopping (ショッピング) 商品やサービスの購入を促進するサイト。オンライン小売業者、百貨店、小売店、カタログ販売のWebサイト、価格を集約してモニタするサイトも含まれる。 ここに記載されているサイトは、さまざまな商品を販売するオンライン商店、または主な目的がオンラインセールスです。オンライン購入を可能にする化粧品会社のWebページはcosmeticsではなくshoppingに分類される。 食料品店のサイトも含まれる。 ポイントを商品と交換するサイトも含まれる。 www.amazon.com , www.pricegrabber.com , www.lightningdrops.com   Social Networking (ソーシャルネットワーキング) ユーザーが互いにメッセージや写真を投稿したり、人々のグループとコミュニケーションしたりするユーザーコミュニティやサイト。ブログや個人サイトは含まれない。 www.facebook.com , www.twitter.com , www.linkedin.com   Society (社会) 一般住民に関連するトピック、ファッション、美容、慈善団体、社会、または子供など多種多様な人々に影響のある論点に関するサイト。 子供向けに作成されたWebサイトを含む。 薬物依存、性的中毒、ギャンブルなどの相談サービスに特化したWebサイトを含む。 レストラン、UFOに関するサイトを含む。 www.style.com , www.redcross.org   Sports (スポーツ) スポーツイベント、選手、コーチ、関係者、チームや団体、スポーツのスコア、スケジュール、関連ニュース、関連用具に関する情報。ファンタジースポーツや仮想スポーツリーグに関するサイトも含まれる。 ペイントボールや各種武道といったスポーツも含まれる。 www.espn.com , www.nba.com , www.fantasysports.yahoo.com   Stock Advice and Tools (株式情報とツール) 株式市場に関する情報、株式やオプション取引、ポートフォリオ管理、投資戦略、相場、関連ニュースに関する情報。 www.thestreet.com , www.cramers-mad-money.com   Streaming Media (ストリーミングメディア) 無料または有料のストリームオーディオまたはストリームビデオコンテンツサイト。テレビ局のWebサイトはentertainment and artsにカテゴリ化される。 オンラインラジオ局やその他ストリーミング音楽サービスを含む。 www.hulu.com , www.youtube.com , www.pandora.com , www.spotify.com , www.grooveshark.com   Swimsuits and Intimate Apparel (水着と下着) 水着や下着、その他きわどい衣服の情報や画像を含むサイト www.victoriassecret.com , www.brazilianswimwear.com   Training and Tools (トレーニングとツール) オンライン教育とトレーニング、関連資料を提供するサイト。 自動車教習所、職業研修などを含めることができる。学習塾や試験対策は技術的にはtraining and tools となる。 www.directdegree.com , www.trafficschoolonline.com   Translation (翻訳サイト) ユーザー入力やURL翻訳の両方を含む翻訳サービスを提供するサイト。これらサイトは、目的ページのコンテンツが翻訳URLの一部に表示されるものとして、ユーザーにフィルタリング回避させることもできます。 www.translate.google.com , www.microsofttranslator.com , www.babelfish.yahoo.com   Travel (旅行) 旅行の助言、お得な情報、価格情報、旅先情報、観光、関連サービスに関する情報のサイト。ホテル、現地の観光スポット、カジノ、航空会社、クルージング、旅行代理店、レンタカーに関して価格情報や予約ツールを提供するサイトを含む。 エッフェル塔、グランドキャニオン、テーマパーク、動物園、国立公園などの現地観光スポットに関するサイトを含む。タクシー会社を含む。 www.kayak.com , www.farecompare.com , www.jetblue.com   Unknow (不明) まだカテゴライズされていないためにファイアウォールもしくはクラウドのURLデータベースに存在しないWebサイト。     Weapons (武器) 兵器やその使用に関する、販売、批評、説明、取扱のサイト。 www.israeli-weapons.com , www.nunchuckguy.com   Web Advertisements (ウェブ広告) 広告、メディア、コンテンツ、バナーが含まれる。 www.webtraffic2night.com , www.doubleclick.net   Web Hosting (ウェブホスティング) Web開発、出版、販売促進、トラフィックを増やすためのその他方法に関する情報を含む、無料または有料のWebページのホスティングサービス。 www.godaddy.com , www.fatcow.com   Web-based Email (ウェブメール) 電子メールの受信ボックスへのアクセスを与えるか、電子メールを送受信できるWebサイト。 www.hotmail.com , www.mail.google.com      
記事全体を表示
kmiwa ‎11-12-2018 11:03 PM
30,503件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 GLOBALPROTECT: ONE-TIME PASSWORD-BASED TWO FACTOR AUTHENTICATION https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm8ICAS     原文はSivasekharan   Rajasekaranによるものです。 @ srajasekar   背景   企業では社内リソースへのアクセスの許可のために、ワンタイム パスワード(OTP)のような、より強力な認証手段が求められています。OTPベースの認証を要求することで、企業は攻撃者が不正にユーザーの資格情報を入手したり、承認されないアクセスをすることを防ぐことができます。しかしOTPを要求するどの実装も、エンドユーザーがOTPを使いづらく感じ、敬遠する恐れがあります。   目的   GlobalProtectはOTPベース認証をサポートし、ユーザー体験を維持する手段を提供します。この文書の目的は、企業の管理者に異なるGlobalProtectのOTP認証のワーク フローと、彼らのセキュリティとコンプライアンスの要求に合致しつつ、ユーザー体験を簡潔に維持するGlobalProtectの認証シナリオを決定する一助となることです。     GlobalProtectのOTP認証   GlobalProtectはRADIUSまたはSAML経由のOTPベースの認証をサポートし、OTPベンダーに全く依存しません。 RADIUSかSAMLをOTPベンダーが対応している限り、どのOTPベンダーも使用できます。OTPサービスをどのように設定したか次第で、ユーザーは2つのワーク フローのいずれかに従って認証されます。 ユーザーはユーザー名とパスワードを最初に入力し、その後にOTPによりChallengeが行われます。OTPは承認のプッシュ、SMS、トークン コードのいずれかを使用します。 ユーザーはユーザー名を入力し、Challengeを待つことなくワンタイム パスワード(あるいは同時にパスワード)を即認証します。 GlobalProtectはこれらのワークフローをサポートします。  Duoによる2つのワークフローを行うRADIUS設定のサンプルはこちらです。   Always-OnモードでのOTPベース認証が必要な場合 - こちらを参照   On-DemandモードでのOTPベース認証が必要な場合   GlobalProtectをOn-Demandモードで展開している場合、ユーザーは手動で必要に応じてGlobalProgtectに接続します。このモードは一般的な安全なリモート アクセスのユース ケースで、リモートのユーザーは社内データ センターのリソースにアクセスするためにVPNトンネルをセットアップし、内部のデータ センターへのアクセスが必要なくなったときにはVPNを切断します。   ユース ケース1: RADIUSを使用したOn-DemandモードでOTPを使用する   On-Demandによる接続では、GlobalProtectエージェントは、ユーザーがGlobalProtectへの接続を開始する毎に、常に最初にポータル、続いてゲートウェイを認証します。OTP認証がポータルとゲートウェイ両方に必要ということは、ユーザーが二回OTP認証を促されることを意味します(一回はポータル、続く一回はゲートウェイ)。しかし(PAN-OS 7.1およびGlobalProtect 3.1以降から)、ユーザーの認証の回数を最小化する認証オーバーライド機能を提供しています。認証オーバーライドの詳細は、Enhanced Two-Factor Authenticationをご覧ください。   推奨の設定: ポータルとゲートウェイ両方にOTP認証を必要とする。 ポータルにて、 ユーザー認証情報の保存を “Save Username Only” 認証オーバーライドの有効化と、"クッキーを生成して認証上書き"、"クッキーを受け入れて認証上書き"の両方の有効化。 Cookie有効期間を'N'時間に設定。'N'時間はユーザーが認証情報を再度入力を促されるまでの時間です。提供したいユーザー体験に基づいて決めてください。 ゲートウェイにて、 ユーザー認証情報の保存を “Save Username Only” 認証オーバーライドの有効化と、"クッキーを生成して認証上書き"、"クッキーを受け入れて認証上書き"の両方の有効化。 クッキーの暗号化/復号には、ポータルとゲートウェイで同じ証明書を使用するようにしてください。 注: 認証オーバーライドに使用する証明書を更新する必要ができたときに柔軟に対応するため、認証クッキーの暗号化と復号化に使用する証明書は専用のものとしてください。 Configuration on the Portal   Configuration on the Gateway   この設定にて、エンドユーザーがGlobalProtectに手動で接続するとき、エンドユーザーの体験は次のようになります。   ワーク フロー – 1 ワーク フロー – 2       ユース ケース2: SAMLを使用したOn-DemandモードでOTPを使用する   GlobalProtectは、PAN-OS 8.0とGlobalProtect 4.0からSAML認証をサポートします。SAMLを使用するとGlobalProtectエージェントはSAMP IdPからの認証ページを、Web/組み込みブラウザーで表示し、ユーザーを認証します。ブラウザが異なる(組み込みブラウザー)ため、 GlobalProtectの認証により得られたSAMLクッキーは、他のSAML有効化アプリケーションによるSSOには使用できません。逆もまた同様です。 GlobalProtect の認証により得られたSAMLクッキーは、再起動やログアウト後には残りません。 SAMLによるOTPを使用した場合、透過的な認証を行うために推奨される設定は次のようになります。 ポータルとゲートウェイの両方にSAML認証を使用します。 IdP設定により、SAMLクッキーの有効な期間を決定します。SAMLクッキーが継続し有効である限り、ユーザーからみてGlobalProtectへの透過的な認証になります。 Oktaを使用したGlobalProtectのSAML認証の設定方法はこちらをご覧ください。   GlobalProtect認証オーバーライドを用いて、再起動やログアウト後も透過的な認証を提供する   ポータルにて、 ユーザー認証情報の保存を “Save Username Only” 認証オーバーライドの有効化と、"クッキーを生成して認証上書き"、"クッキーを受け入れて認証上書き"の両方の有効化。 Cookie有効期間を'N'時間に設定。'N'時間はユーザーが認証情報を再度入力を促されるまでの時間です。提供したいユーザー体験に基づいて決めてください。 ゲートウェイにて、 ユーザー認証情報の保存を “Save Username Only” 認証オーバーライドの有効化と、"クッキーを生成して認証上書き"、"クッキーを受け入れて認証上書き"の両方の有効化。 クッキーの暗号化/復号には、ポータルとゲートウェイで同じ証明書を使用するようにしてください。 注: 認証オーバーライドに使用する証明書を更新する必要ができたときに柔軟に対応するため、認証クッキーの暗号化と復号化に使用する証明書は専用のものとしてください。   GlobalProtect Always-OnモードでのOTP認証の推奨については、このシリーズのこちらの次記事を参照してください。   設定例   2つのワーク フロー実現のためのDuoによるサンプル設定です。 DuoによるOTP認証を提供する方法の詳細については、こちらをご覧ください。   ワーク フロー1: ユーザーはユーザー名とパスワードを最初に入力し、その後にOTPによりChallengeが行われます。OTPは承認のプッシュ、SMS、トークンコードのいずれかを使用します。   [ad_client] host=<AD-Server> service_account_username=<administrator> service_account_password=<administrator’s password> search_dn=DC=acme,DC=com   [duo_only_client] [radius_server_challenge] ikey=<duo-integration-key> skey=<duo-security-key> api_host=<duo-host-name> radius_ip_1=<firewall-mgmt-ip> radius_secret_1=<radius-secret> client=ad_client failmode=safe port=1812
記事全体を表示
TShimizu ‎10-11-2018 01:23 AM
4,989件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 When Does Palo Alto Networks Firewall Send a TCP Reset (RST) to Terminate a Session? https://live.paloaltonetworks.com/t5/Learning-Articles/When-Does-Palo-Alto-Networks-Firewall-Send-a-TCP-Reset-RST-to/ta-p/56572   TCP リセットはTCPのセッションを即時クローズします。これにより、コネクションに割当てられたリソースを解放し、システムを再利用することができます。リセットを受け取る側は、クライアント側であり、セッションが突然閉じられることで、送ろうとしたデータを送付できなかったかもしれません。   Palo Alto Networks ファイアウォールがTCP リセットを送るのは、トラフィック・フローで脅威を感知した場合のみです。それ以外の場合のTCP リセットはファイアウォールからのものではありません。   著者: aprasanna
記事全体を表示
kkondo ‎07-30-2018 01:45 AM
5,563件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 URL Filtering Test Pages https://live.paloaltonetworks.com/t5/Management-Articles/URL-Filtering-Test-Pages/ta-p/198276 多くの管理者は「URL フィルタリング サービスが有害なURLや無害なURLに対して組織のポリシーを適切に実施できているかをどのようにテストすればよいか?」という疑問を持っています。 無害なカテゴリの場合、これは比較的簡単です。ウェブサイトにアクセスし、設計通りのポリシーやアクションが実行さているかログを確認するだけです。 これはWeb メール、スポーツ、ショッピングなどの無害なカテゴリでうまく機能します。一般的にアダルトサイトなど、職場でアクセスするのに相応しくないグレイ エリアのカテゴリの場合は少々難しくなります。更にマルウェアサイトなど明らかに有害なサイトに対してアクセスしたくないのは明白です。   我々は全てのカテゴリをテストするためのテスト URLを用意しています。これらのテスト URLは完全に無害ですが、URL フィルタリングのテストを目的としそれぞれのカテゴリに分類されています。   例えば、command-and-controlのテスト URLにアクセスする場合を説明します。ポリシーでcommand-and-controlと識別されるURLに対してcontinueが設定されている場合は、http://urlfiltering.paloaltonetworks.com/test-command-and-control にアクセスすると、continueのブロック ページが表示されます。     social-networkingなどの無害なカテゴリでは、ポリシーでこのカテゴリがalertに設定されている(アクセスは許可されている)場合、https://urlfiltering.paloaltonetworks.com/test-social-networking にアクセスすると次の結果が表示されます。   この情報もログに記録されるので、ログを参照することでどのようにカテゴリ判定されているか確認することができます。   有害なカテゴリのテスト ページの一覧は次のとおりです: http://urlfiltering.paloaltonetworks.com/test-malware http://urlfiltering.paloaltonetworks.com/test-phishing http://urlfiltering.paloaltonetworks.com/test-command-and-control   無害なカテゴリのテスト ページの一覧は次のとおりです: http://urlfiltering.paloaltonetworks.com/test-abortion http://urlfiltering.paloaltonetworks.com/test-abused-drugs http://urlfiltering.paloaltonetworks.com/test-adult http://urlfiltering.paloaltonetworks.com/test-alcohol-and-tobacco http://urlfiltering.paloaltonetworks.com/test-auctions http://urlfiltering.paloaltonetworks.com/test-business-and-economy http://urlfiltering.paloaltonetworks.com/test-computer-and-internet-info http://urlfiltering.paloaltonetworks.com/test-content-delivery-networks http://urlfiltering.paloaltonetworks.com/test-copyright-infringement http://urlfiltering.paloaltonetworks.com/test-dating http://urlfiltering.paloaltonetworks.com/test-dynamic-dns http://urlfiltering.paloaltonetworks.com/test-educational-institutions http://urlfiltering.paloaltonetworks.com/test-entertainment-and-arts http://urlfiltering.paloaltonetworks.com/test-extremism http://urlfiltering.paloaltonetworks.com/test-financial-services http://urlfiltering.paloaltonetworks.com/test-gambling http://urlfiltering.paloaltonetworks.com/test-games http://urlfiltering.paloaltonetworks.com/test-government http://urlfiltering.paloaltonetworks.com/test-hacking http://urlfiltering.paloaltonetworks.com/test-health-and-medicine http://urlfiltering.paloaltonetworks.com/test-home-and-garden http://urlfiltering.paloaltonetworks.com/test-hunting-and-fishing http://urlfiltering.paloaltonetworks.com/test-insufficient-content http://urlfiltering.paloaltonetworks.com/test-internet-communications-and-telephony http://urlfiltering.paloaltonetworks.com/test-internet-portals http://urlfiltering.paloaltonetworks.com/test-job-search http://urlfiltering.paloaltonetworks.com/test-legal http://urlfiltering.paloaltonetworks.com/test-military http://urlfiltering.paloaltonetworks.com/test-motor-vehicles http://urlfiltering.paloaltonetworks.com/test-music http://urlfiltering.paloaltonetworks.com/test-news http://urlfiltering.paloaltonetworks.com/test-nudity http://urlfiltering.paloaltonetworks.com/test-online-storage-and-backup http://urlfiltering.paloaltonetworks.com/test-parked http://urlfiltering.paloaltonetworks.com/test-peer-to-peer http://urlfiltering.paloaltonetworks.com/test-personal-sites-and-blogs http://urlfiltering.paloaltonetworks.com/test-philosophy-and-political-advocacy http://urlfiltering.paloaltonetworks.com/test-private-ip-addresses http://urlfiltering.paloaltonetworks.com/test-proxy-avoidance-and-anonymizers http://urlfiltering.paloaltonetworks.com/test-questionable http://urlfiltering.paloaltonetworks.com/test-real-estate http://urlfiltering.paloaltonetworks.com/test-recreation-and-hobbies http://urlfiltering.paloaltonetworks.com/test-reference-and-research http://urlfiltering.paloaltonetworks.com/test-religion http://urlfiltering.paloaltonetworks.com/test-search-engines http://urlfiltering.paloaltonetworks.com/test-sex-education http://urlfiltering.paloaltonetworks.com/test-shareware-and-freeware http://urlfiltering.paloaltonetworks.com/test-shopping http://urlfiltering.paloaltonetworks.com/test-social-networking http://urlfiltering.paloaltonetworks.com/test-society http://urlfiltering.paloaltonetworks.com/test-sports http://urlfiltering.paloaltonetworks.com/test-stock-advice-and-tools http://urlfiltering.paloaltonetworks.com/test-streaming-media http://urlfiltering.paloaltonetworks.com/test-swimsuits-and-intimate-apparel http://urlfiltering.paloaltonetworks.com/test-training-and-tools http://urlfiltering.paloaltonetworks.com/test-translation http://urlfiltering.paloaltonetworks.com/test-travel http://urlfiltering.paloaltonetworks.com/test-unknown http://urlfiltering.paloaltonetworks.com/test-weapons http://urlfiltering.paloaltonetworks.com/test-web-advertisements http://urlfiltering.paloaltonetworks.com/test-web-hosting http://urlfiltering.paloaltonetworks.com/test-web-based-email
記事全体を表示
tsakurai ‎06-26-2018 06:18 PM
5,943件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Getting Started: Network Address Translation (NAT) https://live.paloaltonetworks.com/t5/Tutorials/Getting-Started-Network-Address-Translation-NAT/ta-p/116340   Getting Started seriesを参照しながら、ファイアウォール設定が完了した後、次にサーバー類の設定をしたいと思うかもしれません。全ての内部ホストを賄うほどの潤沢なパブリックIPを有していない限り、以下のネットワークアドレス変換(NAT)設定方法もしくはポートアドレス変換(PAT)設定詳細が内部ホストが外部へ、特定のアドレスを使ってインターネット接続する方法となります。   この設定仕様では、NATもしくはPATをあなたの要求要件を満たすのか、いくつかのシナリオを交えで解説します。     ポートアドレス変換, 送信元NAT   基本的にはポートアドレス変換が広範囲によく使われているアドレス変換手法です。内部サブネットを外部の1つのアドレスでカバー変換します。設定例は以下になります。 このNATポリシーは、全てのTrustゾーンからのセッションを変換し、Untrustゾーンへ送り出します。そして、送信元アドレスを、外部物理インターフェイスに設定されたアドレスに変換します。それらはランダムなソースポートを使用します。返ってくるパケットはファイアウォールでメインテナンスされているステートテーブルで、全てのアクティブセッション、NAT変換により自動的に逆変換されます。   ダイナミックNAT   ポートアドレス変換のバリエーションの一つで、送信元アドレスを追加して可用性を高めます。もしあなたのISPがパブリックアドレスとしてサブネット/29もしくはもっと多くのアドレスを提供した場合、かつあなたの内部ネットワークが広大な場合、NATプールのオーバーサブスクリプションoversubscription を防ぐのに役立つかもしれません。 アドレスタイプの設定で、インターフェイスから、変換アドレスに変更します。そして、有効なIPアドレスとして、IPレンジかIPサブネットを指定します。 ファイアウォールは送信元IPアドレスのハッシュテーブルを利用して、利用可能なプールからIPアドレスを選択します。この送信元アドレスは、この送信元アドレスからくる全てのセッションで利用されます。送信元ポートはランダムになります。   もし送信元ポートが変換前と同様である必要がある場合(いくつかのアプリケーションでは、特定の送信元ポートである必要があるかもしれません)、変換タイプをダイナミックIPに設定すれば、クライアントの送信元ポートをセッション毎に等変換します。変換アドレスは次の割り当て可能なアドレスが供給されます。 連続した32000個以上のIPアドレスはサポートされません。 変換されるアドレスプールは、内部ホストアドレスの数と同じ、もしくは多い必要があります。それぞれの内部ホストが変換後のアドレスを割り当てるためです。   上記の要件をたいていは満たしているが、時々満たさないケースがあるという場合、バックアップとして、ダイナミックNAT、ポートアドレス変換にフォールバック設定ができます。変換アドレス、インターフェイスアドレスオプションが可能です。デフォルトは未設定となっています。   1対1 NAT、静的NAT   もし、ローカルのSMTPサーバーやWebサーバーのようにインターネットからサーバーの存在を明確にする必要がある場合、1対1NATポリシーを特定のサーバー向けに設定する必要があります。いくつかの違った方法により実現する方法があります。   双方向ポリシー:   双方向ポリシーでは、上記で示したように通常の外部向け静的NATを作成し、双方向フラグを設定します。これによりシステムは(暗黙的に)インバウンドポリシーを作成することができます。   このポリシーでは、送信をtrustゾーン、宛先をUntrustゾーン、送信元アドレスを内部サーバー、送信元アドレス変換を外部NATアドレスに設定されています。送信をUntrustゾーン、宛先を全て、宛先IPアドレスを外部NATアドレス、そして宛先変換として、サーバーのアドレスとした暗黙のポリシーが作成されます。 この手法が、複数の1対1変換して、サーバーが各々単一のパブリックIPを所有している場合、有効に働きます。   片側方向のポリシー:   片側方向NATは双方向の場合よりも多少制御でき、PATやポートアドレス変換が可能です。PATは1個のパブリックIPを複数の内部サーバーでシェアできます。   次の3つのルールでは、3つの異なった内向きの静的NATサンプルです。 1番目のNATルールは従来の1対1ルールで、全ての内部サーバ向けポートを変換し、宛先ポートをメンテナンスします。 2番目のNATルールは内部向け通信で、宛先ポートが80番ポートを、内部サーバの8080番ポートに変換します。 3番目のNATルールは内部向けセッションで、2番目のルールと同じですが、宛先ポート25番だけは違う内部サーバーにリダイレクトされます。 注意事項:    なぜ宛先ゾーンがUntrustに設定され、宛先インターフェイスは何になりますか? 'any'を内向けNAT(UntrustからUntrust)の宛先アドレスとして使用できますか?   セキュリティポリシーは、送信ゾーンをUntrustゾーン、宛先ゾーンを(最終的な宛先ゾーン)をtrustと設定すべきです。そして、宛先アドレスは、NAT変換前のパブリックアドレスと設定してください。     Source and Destination NAT   いくつかのケースにおいて、送信元、宛先NATを同時に実行する必要があるかもしれません。一つの例として、Uターンの場合で、内部ホストが、内部サーバーにアクセスする必要があり、クライアントと同じセグメントにいながら、パブリックアドレスを使用する場合です。 Uターンと詳細について、記事と、チュートリアルビデオがありますが、大まかな説明としては、   パブリックアドレスでインターナルリソースにアクセスするために、新たに、trustからUntrustへ変換するNATポリシーが必要になります。   もし、送信元変換がこのポリシーに含まれていない場合、サーバーはオリジナルのソースアドレスでパケットを受け取り、サーバーは直接クライアントにパケットを返信します。   これにより、非対称ループが作られ、TCPサニティチェックに違反され、ファイアウォールでセッションが終了されます。   解決方法としては、例として、ファイアウォールのIPに送信元変換のするルールを追加することです。そうすることによりサーバーの返信はファイアウォールに戻され、ステートフルセッションとして動作します。       追記: VwireにおけるNAT     NATはルーターでルーティングテーブルを編集することができれば(ISPのルーターでは許可されないかもしれませんが)VwireにもNAT設定が可能です。理想的には、Vwireの両端にルーターがあれば単純な設定にできますが、上位側のルーターだけでも、難易度は上がりますが、設定することができるでしょう。   2つのルーター間で、ポイントツーポイントのサブネット(例:10.10.10.0/30)を作成し、各々のルーターにIPを設定し、変換後IPアドレスのルートテーブルを、変換する側の対抗ルータのアドレスでポイントします(例:198.51.100.1をUntrustルーターに、trustルーターのIPでポイントします)。ファイアウォールは残りの部分を処理します。       注意事項   ゾーン解決はルートのルックアップで実施します。パケットがファイアウォールに到着した時、送信元と宛先サブネット、セッションに割当てられた適切なゾーンのルーティング・ルックアップ・チェックが実施されます。インターネットから内向けのトラフィックの場合、送信元ゾーンはUntrustとなり、デフォルトルート(0.0.0/0)はUntrustインターフェイスをポイントします。そして、宛先IPアドレスは、NAT変換前となり、Untrustインターフェイス所属となります(上記例では198.51.100.0/24)。   NATポリシーで宛先インターフェイスを使用すると、類似NATポリシーを使用した場合、競合が発生することを防ぐ助けになります。例えば、もし2つの外部インターフェースが存在して、2つのISP接続があり、違うパブリックアドレスを使用している場合、2つの同様の外向けNATルールが設定できます。   NAT IPの場合、インターフェースに物理的に設定されていないアドレスを使用します(例、インターフェースは51.100.1で、サーバーに使用するNATでは198.51.100.5を使用)。ファイアウォールはGARPを対向機器に送付して通知し、上位機器に対して、ARPリクエストの応答をします。GARPは以下のコマンドで手動で実施することもできます。 admin@MyFW> test arp gratuitous interface ethernet1/1 ip 198.51.100.6 1 ARPs were sent 注意事項: もしNATルールで、変換するサブネットがインターフェイスに設定されていない場合、ファイアウォールは全てのIPアドレスのサブネットに対してGARPを送付します。   ファイアウォールは宛先NAT(内向き)にリストされている宛先アドレスのProxy ARP解決を提供するので、宛先アドレスは、宛先変換サブネットに一致する必要があります。宛先アドレスに'any'を使用することはできません。   内部クライアントが、DMZもしくは信頼できるネットワークにパブリックアドレスを介して接続するNATポリシーを作る場合は、どのような場合でも上記の1ポートアドレス変換NATポリシーを参考にご使用ください。   オーバーサブスクリプション   オーバーサブスクリプションはファイアウォールが作成されるセッションの量に対するパブリックIPアドレスが少なすぎる場合に、同じIPアドレスとポートのペアに変換した現行のセッションを共有し、スケーラビリティを提供します。例えば、通常、最大の現行セッションは、64,000(65,000ソースポート - 1,024サーバーポート)ですが、プラットフォームによっては、8倍の512,000セッションまでオーバーサブスクリプションすることができます。   以下のKBをご参照ください: How to Change the NAT Oversubscription Rate How to Check the Oversubscription on a NAT Rule   著者: Reaper
記事全体を表示
kkondo ‎04-25-2018 05:32 PM
11,365件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Controlling Skype using App-ID https://live.paloaltonetworks.com/t5/Learning-Articles/Controlling-Skype-using-App-ID/ta-p/149689   Skypeとは?     Skype (スカイプ)はよく知られているインターネット電話サービスで、 Niklas Zennstrm と Janus Friis によって開発されました。ピア・ツー・ピアのファイル共有ソフト Kazaa と新しいピア・ツー・ピアのテレビ アプリケーション Joost の創業者でもあります。 Skype は、従来の POTS から VoIP サービスまで、既存の電話サービスと競い合います。強みとしては、ファイアウォールや NAT 変換を介して接続性を提供でき、多くのアクティブ ユーザーをサポートし、強力な暗号化技術によりプライバシーを保護しています。さらに、インスタント メッセージ、チャット、ファイル転送、ビデオ会議、グローバル ディレクトリーなどをサポートしています。   スカイプの基礎となる技術は、分散型 ピア・ツー・ピア  アーキテクチャを利用して、マルチメディア パケットを中央サーバ型ではなくユーザ間でやりとりします。 ピア・ツー・ピア  ネットワークは接続性とスケーラビリティを向上させると同時に、ファイアウォール トラバーサルや、ダイナミック ルーティングによって、会社に設置されたファイアウォールを回避します。独自のプロトコルに基づくクローズド ソース アプリケーションであるにもかかわらず、Skype の独自でかつ回避的な動作は、特に、可視性や制御なしにファイルや情報を転送する能力を備えているため、エンタープライズ ネットワークにとってセキュリティ上の課題となっています。詳しくは以下の URL をご参照ください。 - https://www.skype.com/en/about/   Skypeをネットワーク上で許可するには、以下のApp-IDをパロアルトネットワークス・ファイアウォールで許可する必要があります。   office365-consumer-access rtcp rtp skype skype-probe ssl websocket stun web-browsing windows-azure-base apple-push-notifications   Policies > Security にて以下のスクリーンショットの例にあるように、Skypeを許可するためのセキュリティ ポリシーを追加します。     Skype For Business:   最小設定では、以下のApp-IDを、Skype For Businessが正しく動作するために許可する必要があります。   Ms-lync-base (matches the core functionality of the application) ms-lync-online rtcp stun (for media negotiation) rtp (for media streaming) ms-office365-base (core functionality of O365 applications) ssl web-browsing ms-lync-audio/video   クライアント端末では、固定の証明書を使用しており、 Skype For Business でも、「 *.online.lync.com 」や「 *.infra.lync.com 」を例外リストに追記し( Device > Certificate Management の SSL 復号化例外より)、復号化の除外すべきです。     著者: vsathiamoo 
記事全体を表示
kkondo ‎04-21-2018 05:09 PM
4,399件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Understanding HTTP Evasion Detection Signatures https://live.paloaltonetworks.com/t5/Threat-Vulnerability-Articles/Understanding-HTTP-Evasion-Detection-Signatures/ta-p/79218   セキュリティ アプライアンスによる検出を回避するためにネットワーク上で活用される方法の1つとして、受信側のユーザーエージェントがデータを解釈できるようにしたうえで、トラフィックを検査するアプライアンスがデータを解釈できないようにHTTP通信を難読化し隠蔽する手法があります。これは一般に「回避」戦術と呼ばれます。   異なるHTTPクライアントの実装はそれぞれで動作が異なり、また多くの場合、標準規格(RFC)に準拠しておらず、独自の実装を使用するデコーダやスキャニング エンジンをバイパスするために利用されます。 PAN-OSはこれを次の2つの方法で処理します。まず、デコーダがトラフィックをhttpとしてデコードできない場合、アプリケーションは「unknown-tcp」に設定されます。または他のアプリケーションとして認識される場合もありえます。 さらに、HTTP回避に対応するために、以下のような脆弱性シグネチャを使用して保護します。 • Suspicious Abnormal HTTP Response Found (38304, 38358, 38307, 38476, 38305, 38310, 38841, 38742, 38302, 38870, 38767, 38840, 39041, 38824, 38920, 38303, 38839, 38741) • HTTP Non RFC-Compliant Response Found (32880) • Suspicious HTTP Evasion Found (39004, 39022, 38306, 38919, 38635) • HTTP Request Pipeline Evasion Found (36767) • HTTP Request Line Separator Evasion (36398, 36422) • HTTP response data URI scheme evasion attempt (33127) • HTTP various charset encoding html response evasion (33125) • HTTP utf-7 charset encoding html response evasion (33126)   標準準拠していないサーバーやWebアプリケーションは、不正な形ではあるが悪意のない応答をするときがあり、これに対応するために、脆弱性プロファイルの例外処理を利用して、細かく調整することができます。デコーダが標準コンプライアンスをシステム全体に対して実施していたら、これは可能ではなかったかもしれません。 セキュリティ全体として、ネットワーク管理者は、悪意のあるコンテンツが許可されるリスクと、正当なコンテンツが拒否される可能性のバランスを保つ必要があり、かつセキュリティ ベンダーは広まっている回避テクニックに対してシグネチャを提供する必要があります。   パロアルトネットワークスの脅威研究チームは、これらの脅威を常に監視しております。また、 大切なお客様から得られた貴重な詳細情報を元に、未対応の回避手法に対応しています。   著者: rcole
記事全体を表示
kkondo ‎04-21-2018 04:44 PM
3,884件の閲覧回数
0 Replies
本ガイドにて、 PA シリーズファイアウォール ( 以下、 PA Firewall) の設定方法をご紹介します。   初めて PA Firewall を起動してから、最初に必要となるライセンス投入やシグネチャのダウンロード、 OS のアップグレード 方法、ネットワーク設定、 SSL 復号化、そして様々な脅威防御が行えるまでの、一通りの設定方法をまとめました。   PA Firewall には以下 3 つの特徴があり、それぞれの設定と動作確認の方法も記載しています。   1.  App-ID  アプリケーションを識別  2.  Content-ID  コンテンツを識別 3.  User-ID   ユーザーを識別     弊社提供の正式ドキュメントと併用して頂き、新規設置作業や日々の運用時の設定変更作業時の参考ドキュメントとして ご活用ください。   ※ ) 以降の設定画面は PAN-OS8.x を基にしています。 適用する PAN-OS が異なる場合は、該当する OS のドキュメントを参照してください。
記事全体を表示
Masahiko ‎04-16-2018 11:51 PM
13,658件の閲覧回数
0 Replies
4 Likes
※この記事は以下の記事の日本語訳です。 Firewall Showing as Disconnected on the Panorama https://live.paloaltonetworks.com/t5/Management-Articles/Device-Showing-as-Disconnected-on-the-Panorama/ta-p/76666   現象 パロアルトネットワークス・ファイアウォールをPanoramaで中央管理している際に、新しく追加したファイアウォールが管理画面(Panorama > Managed devices)で、Disconnectedと表示される。     診断 ## 1つのよくある事例として、セキュリティ ポリシー上で、ファイアウォールとPanorama間で通信するTCPポート、アプリケーションが不許可設定になっている可能性があります。 もしくは ## ファイアウォール、Panorama間で通信するTCPポートが中継装置でブロックされている可能性があります。   解決方法 ほとんどのケースでは、ファイアウォールの管理インターフェイスとPanorama間でSSLトンネルが作られます。 ファイアウォールは、ファイアウォールとPanorama間の通信でTCPポート番号3978を宛先として使用します。 もしセキュリティ ポリシーでTCPポート番号3978 / アプリケーションPanoramaを明示的に許可していない場合、対象機器はPanorama上で接続 (Connected) ステータスとして表示されず、トラフィックは最終的なポリシーによって拒否されます。 トラフィック ログを、 送信元を 管理インターフェースのIPアドレスで、宛先をPanoramaのIPアドレスでフィルター設定してみてください。もし、Panoramaセッション用にサービスルート設定を使用している場合は、適切なデータープレーン・インターフェースのIPアドレスを用いてください。 もし、セキュリティ ポリシーでアクションが拒否表示されていた場合、既存のセキュリティ ポリシーを、前述したように適切に変更してください。該当のファイアウォールがPanoramaで接続 (Connected) ステータスになるか確認してください。           セキュリティ ポリシー変更後、トラフィック ログ上で許可されています。     注意事項 -- もしファイアウォールの管理インターフェースとPanoramaにパブリックIPアドレスを使用していて、かつセッションが、マネージメント プレーンで管理されている場合(もしそのパケットがファイアウォールのデータポートを経由していない場合)、管理インターフェースで  TCP dump をとり 、宛先TCPポート3978でフィルター設定して、宛先に到達しているか確認してみてください(中継装置によって、通信に必要なポートがブロックされているかもしれません)。    著者: Tarang
記事全体を表示
kkondo ‎04-05-2018 04:48 AM
3,441件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to See Traffic from Default Security Policies in Traffic Logs https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-See-Traffic-from-Default-Security-Policies-in-Traffic/ta-p/57393   PAN-OS 7.0 以前 概要 Paloalto Networks 次世代ファイアウォールにはデフォルトルールとして以下のセキュリティ ポリシーがあります: ゾーン間トラフィックの拒否 ゾーン内のトラフィックの許可 デフォルトでは、これらのデフォルトのポリシーにマッチするトラフィックは、トラフィックログに記録されません。トラブルシューティングにおいては、同一の送信元と宛先ゾーンを持つトラフィック、あるいはどのようなトラフィックが許可されずにデフォルトのルールによって拒否されたかの確認、といった情報が必要になる場合があります。一時的に暗黙のブロック ルールによるログを出力するには、以下のコマンドを実行します:   > set system setting logging default-policy-logging <value>   (value は"0-300"秒で指定)   注:PAN-OS 6.1以降ではこれらのデフォルトのポリシーはPocilies > セキュリティに緑の背景色(訳注:PAN-OS 7.1以降は黄色)で表示されます。 ルールはゾーン内(intrazone)、ゾーン間(interzone)、または両方の性質(universal)のいずれかに分類されます。 詳細はPAN-OS 6.1 New Features Guide: Security Policy Rulebase Enhancementsをご参照ください。     詳細 該当するトラフィックをトラフィックログで確認する方法はいくつかあります:   同じゾーン内のトラフィック Policies > セキュリティに移動し、以下の例のように送信元と宛先ゾーンが同じ通信を許可するセキュリティ ポリシーを作成します: 異なるゾーン間のトラフィック Policies > セキュリティに移動し、以下の例のようにゾーン間の通信を許可するセキュリティ ポリシーを作成します:   重要:  上記のポリシー例が示すとおり、ネットワークをセキュアに保つため、信頼されないトラフィックが信頼されたネットワークのゾーンへ流入することを許可するのは望ましくない場合があります。従って、どのようなルールの個別作成が必要かを検討するには、トラフィックをまとめて許可してしまうのではなく、クリーンアップ用ルールとして全て拒否するポリシーを使います。以下が、クリーンナップ用の拒否のポリシーの一例です。   全て拒否(DENY ALL) 以下は外部からのGlobalProtectのみを許可するよう指定した例です。全て拒否のポリシーが設定されているのと同時に、全ての信頼されたゾーンとDMZのトラフィックの出力を許可し、全ての信頼されたゾーン間のトラフィックを許可、そして同じゾーン間のトラフィックを許可します。DENY ALLの上にあるルールにマッチしないトラフィックは、DENY ALLルールにてキャッチされ、denyとしてログに残ります。 トラフィックログ中で拒否されたトラフィック、そしてその中から許可が必要な特定のトラフィックを確認します。これにより新しい何らかのトラフィックや、望まないトラフィックがネットワークを危険にさらすことを防ぐ事ができます。 注:全て拒否のポリシーはデフォルトの同じゾーン内通信を許可するポリシーをオーバーライドします。詳細は次のドキュメントをご参照ください: Any/Any/Deny Security Rule Changes Default Behavior.   PAN-OS 7.0以降   PAN-OS 7.0以降ではゾーン内通信、ゾーン間通信のポリシーは可視化、ログの有効化ができます。 著者: glasater  
記事全体を表示
TShimizu ‎11-20-2017 07:26 PM
7,755件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Useful CLI Commands to Troubleshoot LDAP Connection https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-Agentless-User-ID/ta-p/...   概要 このドキュメントでは、グループ情報を参照するために LDAP サーバーへの接続が成功したことを確認することができる CLI コマンドについて説明します。   詳細 Device > サーバー プロファイル > LDAP にて LDAP サーバー プロファイルを設定する際、LDAP サーバーへの接続が成功するとデバイスは自動的にベース DN を取得します:   グループ マッピングに LDAP サーバー プロファイルを使用している場合は、show user group-mapping state all コマンドを使用して LDAP 接続に関する情報を表示できます。 例: > show user group-mapping state all Group Mapping (vsys1, type: active-directory) : grp_mapping   Bind DN    : pantac2003\adminatrator   Base       : DC=pantac2003,DC=com   Group Filter: (None)   User Filter: (None)   Servers    : configured 1 servers           10.46.48.101 (389)                   Last Action Time: 2290 secs ago(took 71 secs)                   Next Action Time: In 1310 secs   Number of Groups: 121   cn=administrators,cn=builtin,dc=pantac2003,dc=com   cn=ras and ias servers,cn=users,dc=pantac2003,dc=com   cn=s,cn=users,dc=pantac2003,dc=com   LDAP サーバー プロファイルで設定されたバインド DN が正しくない場合は、コマンド実行結果として "invalid credentials" が表示されます。 次の出力例は、バインド DN に "cn=Administrator12" (正:"cn=Administrator")が設定された場合となります: > show user group-mapping state all Group Mapping (vsys1, type: active-directory) : grp_mapping   Bind DN    : CN=Administrator12,CN=Users,DC=pantac2003,DC=com   Base       : DC=pantac2003,DC=com   Group Filter: (None)   User Filter: (None)   Servers    : configured 1 servers           10.46.48.101 (389)                   Last Action Time: 0 secs ago(took 0 secs)                   Next Action Time: In 60 secs                    Last LDAP error: Invalid credentials   Number of Groups: 0   次のコマンドを使用して useridd ログからエラー メッセージを取り出すことができます: > less mp-log useridd.log Dec 30 15:59:07 connecting to ldap://[10.46.48.101]:389 ... Dec 30 15:59:07 Error: pan_ldap_bind_simple(pan_ldap.c:466): ldap_sasl_bind result return(49) : Invalid credentials Dec 30 15:59:07 Error: pan_ldap_ctrl_connect(pan_ldap_ctrl.c:832): pan_ldap_bind()  failed Dec 30 15:59:07 Error: pan_gm_data_connect_ctrl(pan_group_mapping.c:994): pan_ldap_ctrl_connect(grp_mapping, 10.46.48.101:389) failed Dec 30 15:59:07 Error: pan_gm_data_connect_ctrl(pan_group_mapping.c:1061): ldap cfg grp_mapping failed connecting to server 10.46.48.101 index 0 Dec 30 15:59:07 Error: pan_gm_data_ldap_proc(pan_group_mapping.c:1942): pan_gm_data_connect_ctrl() failed Dec 30 15:59:14 Warning: pan_ldap_ctrl_construct_groups(pan_ldap_ctrl.c:546): search aborted Dec 30 15:59:16 Error: pan_ldap_ctrl_query_group_membership(pan_ldap_ctrl.c:2384): pan_ldap_ctrl_construct_groups() failed Dec 30 15:59:16 Error: pan_gm_data_update(pan_group_mapping.c:1431): pan_ldap_ctrl_query_group_membership()  failed Dec 30 15:59:16 Error: pan_gm_data_ldap_proc(pan_group_mapping.c:1976): pan_gm_data_update() failed Dec 30 16:00:07 connecting to ldap://[10.46.48.101]:389 ... Dec 30 16:00:07 Error: pan_ldap_bind_simple(pan_ldap.c:466): ldap_sasl_bind result return(49) : Invalid credentials Dec 30 16:00:07 Error: pan_ldap_ctrl_connect(pan_ldap_ctrl.c:832): pan_ldap_bind()  failed Dec 30 16:00:07 Error: pan_gm_data_connect_ctrl(pan_group_mapping.c:994): pan_ldap_ctrl_connect(grp_mapping, 10.46.48.101:389) failed   LDAP サーバーへの接続を再確立するコマンド: > debug user-id reset group-mapping <grp_mapping_name>   useridd ログの LDAP に関する debug レベルを変更するコマンド: > debug user-id set ldap all   useridd の debug をオンに変更するコマンド: > debug user-id on debug   useridd の debug をオフに変更するコマンド: > debug user-id off   MGT インターフェイスを使用して LDAP サーバーと通信している場合に、LDAP 通信をキャプチャするコマンド: > tcpdump filter "port 389"   MGT インターフェイスを使用して LDAP サーバーと通信している場合に、LDAPS (SSL) 通信をキャプチャするコマンド: > tcpdump filter "port 636"   MGT インターフェイスで取得した pcap の内容を確認するコマンド: > view-pcap mgmt-pcap mgmt.pcap   上記で取得した pcap を scp や tftp で外部のホストにエクスポートするコマンド: > scp export mgmt-pcap from mgmt.pcap to username@host:path > tftp export mgmt-pcap from mgmt.pcap to <tftp host>   著者: sdarapuneni
記事全体を表示
tsakurai ‎11-06-2017 05:37 PM
3,430件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Differences between DoS Protection and Zone Protection https://live.paloaltonetworks.com/t5/Learning-Articles/Differences-between-DoS-Protection-and-Zone-Protection/ta-p/57761   DoS プロテクション ポリシーは ある程度はゾーン プロテクションと同等の目的を達するために使用されますが、いくつか主要な違いがあります。 大きな違いはClassifiedとAggregateがDoS プロテクション ポリシーにあることです。ゾーンプロテクションではAggregateが利用可能です。 Classifiedのプロファイルは一つの送信元 IPに対する閾値の作成を可能とします。 例:ポリシーにマッチするすべてのトラフィックに対して、IPごとの最大セッション レートを設定し、一つのIPアドレスが閾値に達したらブロックする。 Agregate プロファイルはポリシーにマッチするすべてのトラフィックに対しての最大セッション レートの作成を可能とします。閾値はすべてのIPを合わせた新規セッション レートに対して適用されます。閾値に達するとすべてのマッチするトラフィックに適用されます。 ゾーン プロテクション ポリシーはフラッド防御とポートスキャニング/スイープとパケットベース攻撃に対して防御することが可能となります。例としてIPスプーフィング、フラグメント、オーバーラッピング セグメント、 tcp-non-syn拒否が挙げられます。 ゾーン プロテクション プロファイルは、セッション生成前に適用されてポリシー エンジンの処理に入らないため、パフォーマンスへのインパクトが小さくなります。   著者: jteetsel
記事全体を表示
TShimizu ‎09-12-2017 11:08 PM
8,670件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 What does "TCP Session Timeout after FIN/RST" mean? https://live.paloaltonetworks.com/t5/Learning-Articles/What-does-quot-TCP-Session-Timeout-after-FIN-RST-quot-mean/ta-p/54653   概要 Palo Alto Networks機器において"TCP session timeout after FIN/RST"とは、TIME-WAIT状態の長さを指定する値です。show session infoコマンドで値が表示されます。 > show session info -------------------------------------------------------------------------------- Session timeout   TCP default timeout:                           3600 secs   TCP session timeout before SYN-ACK received:      5 secs   TCP session timeout before 3-way handshaking:    10 secs   TCP session timeout after FIN/RST:               30 secs      <<   UDP default timeout:                             30 secs   ICMP default timeout:                             6 secs   other IP default timeout:                        30 secs   Captive Portal session timeout:                  30 secs   Session timeout in discard state:     TCP: 90 secs, UDP: 60 secs, other IP protocols: 60 secs --------------------------------------------------------------------------------   詳細 TIME_WAIT状態に移行するトリガーとなる最初のFINを送信する端末は、最後のACKを送信する端末でもあります。もう一方の端末から送信されるFIN、あるいは最後のACKがロストした場合に備えて、この端末は最後のFINを再送するために必要なコネクションの状態と十分な情報を維持します。   TIME_WAIT状態の長さは 2*MSL (Maximum Segment Lifetime)となります。パケットがネットワーク内を通信するのに要する最大の時間をMSL秒とします。パケットの往復のためその2倍とします。当初推奨されていたMSLの値(RFC1337)は120秒でした。Berkeleyから派生した実装では、通常30秒が使用されています。   現在、TIME_WAITの値は各ベンダーによって様々で、一般的なネットワーク機器においてはその範囲は30から60秒です。Palo Alto Networks機器ではTIME_WAITの値は30秒となっています。   設定のオプション PAN-OS 4.1.x および 5.0.x では、TIME_WAITは以下の CLI コマンドを実行することで変更が可能です。 > set session timeout-tcpwait <1-60> PAN-OS 4.1.14 および 5.0.6 では、タイマーは最大で 10 分まで設定可能となりました。 > set session timeout-tcpwait <1-600> この設定はWebGUI上で、Device > セットアップ > セッション > セッション タイムアウト > TCP Wait からも設定できます。   参照 詳細については、RFC 1337, TIME_WAIT Assassination Hazards in TCP もご確認下さい。   著者: kkondo
記事全体を表示
hfukasawa ‎08-15-2017 07:18 PM
7,236件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 The Difference Between Receive Errors for Hardware and Logical Interface Counters https://live.paloaltonetworks.com/t5/Learning-Articles/The-Difference-Between-Receive-Errors-for-Hardware-and-Logical/ta-p/59039   Hardware interface counters read from CPUの受信エラーは物理インターファイスの受信した全てのエラー数です。その値は、主に、L2-L4の構文解析、ヘッダーエラーで、カウンターはハードウェアとしながら、 大部分は論理的なエラー(CRC、フレーミング、もしくはハードウェア外の他のエラー)によるものです。よくあるタイプとして、VLANタグの長さが不正、期待されていないVLANタグ、サポートされていないL2プロトコル、間違ったIPチェックサム、TCP/UDPチェックサム・エラー、TCP/UDPポート0、間違ったTCPフラグなどです。継続的に計上する原因として、よくあることとして、STP/LLDP/UDLDフレームがL3ファイアウォールポートに送付されている場合があります(これらのプロトコルはL3ポートではサポートされていないので、ドロップされ、受信エラーとしてカウントされます)。   Logical interface counter read from CPUの受信エラーはHA2インターフェイスで生じるエラーのみです。このカウンターはHA2 High Availabilityインターフェイスを設定したときにのみカウントします。 例) show interface ethernet1/xコマンドでカウンター値を表示した場合の参照例です。 > show interface ethernet1/3   -------------------------------------------------------------------------------- Name: ethernet1/3, ID: 18 Link status:   Runtime link speed/duplex/state: 1000/full/up   Configured link speed/duplex/state: auto/auto/auto MAC address:   Port MAC address 00:1b:17:47:38:12 Operation mode: layer3 Untagged sub-interface support: no ... --------------------------------------------------------------------------------   Hardware interface counters read from CPU: -------------------------------------------------------------------------------- bytes received                           206948822 bytes transmitted                        7785678 packets received                         2471785 packets transmitted                      50916 receive errors                           7820 packets dropped                          0 --------------------------------------------------------------------------------   Logical interface counters read from CPU: -------------------------------------------------------------------------------- bytes received                           164031355 bytes transmitted                        7785678 packets received                         2287119 packets transmitted                      50916 receive errors                           0 packets dropped                          47064 packets dropped by flow state check      32 forwarding errors                        0 no route                                 0 arp not found                            2 neighbor not found                       0 neighbor info pending                    0 mac not found                            0 packets routed to different zone         0 land attacks                             0 ping-of-death attacks                    0 teardrop attacks                         0 ip spoof attacks                         0 mac spoof attacks                        0 ICMP fragment                            0 layer2 encapsulated packets              0 layer2 decapsulated packets              0 -------------------------------------------------------------------------------- 著書: ncackov  
記事全体を表示
kkondo ‎08-15-2017 07:01 PM
6,784件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Check for Logical Errors on an Interface https://live.paloaltonetworks.com/t5/Learning-Articles/How-to-Check-for-Logical-Errors-on-an-Interface/ta-p/62023   論理インターフェイス用のSNMPトラップについて。   RFC 1213ではMIBは標準のインターフェイス テーブルのみ含みます。トラップはそのシステムとMIBに組み込まれているインターフェイス グループのためのもので、それらがサポートされます。     PAN-OS 7.0 は論理インターフェイスをサポートします。   PAN-OS 6.1.xまでは物理インターフェイスのインターフェイスグループの情報のみ送付し、論理インターフェイスに対しては行いません。netflowを有効化しての情報取得がワークアラウンドとなります。     PAN-OS 5.0とそれ以前   特定のインターフェイス上での論理エラーをチェックするには(例ではethernet1/3を使用します)CLIコマンドを入力します。 admin@Ironhide> show interface ethernet1/3 -------------------------------------------------------------------------------- Name: ethernet1/3, ID: 18 Link status:   Runtime link speed/duplex/state: 1000/full/up   Configured link speed/duplex/state: 1000/auto/auto MAC address:   Port MAC address b4:0c:25:f8:e5:12 Operation mode: layer3 Untagged sub-interface support: yes -------------------------------------------------------------------------------- Name: ethernet1/3, ID: 18 Operation mode: layer3 Virtual router default Interface MTU 1500 Interface IP address: 192.168.9.1/24 Interface management profile: allowall   ping: yes  telnet: yes  ssh: yes  http: yes  https: yes   snmp: yes  response-pages: yes  userid-service: no Service configured: Interface belong to same subnet as management interface: Yes Zone: trust_9999, virtual system: vsys1 Adjust TCP MSS: no --------------------------------------------------------------------------------   -------------------------------------------------------------------------------- Physical port counters read from MAC: -------------------------------------------------------------------------------- rx-broadcast                  0 rx-bytes                      1775076722 rx-multicast                  0 rx-unicast                    13635670 tx-broadcast                  110085 tx-bytes                      6992300789 tx-multicast                  0 tx-unicast                    11299072 --------------------------------------------------------------------------------   これらは次世代ファイアウォールのデータプレーンが起動した時からのインターフェイス カウンターです。これらのカウンターはデータプレーンの再起動のみでクリアされます。   -------------------------------------------------------------------------------- Hardware interface counters read from CPU: -------------------------------------------------------------------------------- bytes received                          360 bytes transmitted                        0 packets received                        6 packets transmitted                      0 receive errors                          6 packets dropped                          0 --------------------------------------------------------------------------------   L2-L4解析チェックに失敗したパケットは上記のreceive errorsカウンターを増加させて破棄され、CPUに到達しません。最も一般的なケースは不正な宛先MAC、不正なVLANタグ、不正なIP、不正なTCP/UDPポートなどです。上記の例では 6 receive errors (TCP packet too short)を確認することができ、それらは破棄されCPUレベルに到達せず論理インターフェイスカウンターの表示では以下の通りゼロとなります。   Logical interface counters read from CPU: -------------------------------------------------------------------------------- bytes received                          0 bytes transmitted                        84 packets received                        0 packets transmitted                      2 receive errors                          0 packets dropped                          0 packets dropped by flow state check      0 forwarding errors                        0 no route                                0 arp not found                            0 neighbor not found                      0 neighbor info pending                    0 mac not found                            0 packets routed to different zone        0 land attacks                            0 ping-of-death attacks                    0 teardrop attacks                        0 ip spoof attacks                        0 mac spoof attacks                        0 ICMP fragment                            0 layer2 encapsulated packets              0 layer2 decapsulated packets              0 --------------------------------------------------------------------------------   L2-L4解析に成功した後、パケットにはさらなるセキュリティチェックが行われます。セキュリティ ルールによる破棄や、Non-Syn TCPチェックやその他の理由で破棄は、上記の"packet dropped"カウンターの増加の原因となります。   パケット破棄の正確な理由はグローバル カウンターで行えます。例えば以下の例では、L2-L4解析にてグローバルカウンターでハイライトされた箇所の理由により、破棄されています。   admin@Ironhide> show counter global filter delta yes   Global counters: Elapsed time since last sampling: 1.150 seconds   name                                  value    rate severity  category  aspect    description -------------------------------------------------------------------------------- pkt_recv                                  41      35 info      packet    pktproc  Packets received pkt_recv_zero                            41      35 info      packet    pktproc  Packets received from QoS 0 pkt_sent                                  7        6 info      packet    pktproc  Packets transmitted pkt_alloc                                  1        0 info      packet    resource  Packets allocated flow_rcv_err                              1        0 drop      flow      parse    Packets dropped: flow stage receive error flow_rcv_dot1q_tag_err                    5        4 drop      flow      parse    Packets dropped: 802.1q tag not configured flow_no_interface                          5        4 drop      flow      parse    Packets dropped: invalid interface flow_fwd_l3_mcast_drop                    11        9 drop      flow      forward  Packets dropped: no route for IP multicast flow_parse_l4_hdr                          1        6 drop      flow      parse    Packets dropped: TCP (UDP) packet too short   カウンターは以下のCLIコマンドでクリアできます: > clear counter all All counters cleared   著者: panagent
記事全体を表示
TShimizu ‎06-13-2017 12:26 AM
8,673件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Create Subordinate CA Certificates with Microsoft Certificate Server https://live.paloaltonetworks.com/t5/Learning-Articles/How-to-Create-Subordinate-CA-Certificates-with-Microsoft/ta-p/58046   概要 この文書はMicrosoft Certificate Serverを使用した下位CA証明書の作成方法について記載します。 " http:// <IPアドレスまたはサーバー名>/certsrv"をブラウザで開き、サーバーの画面にアクセスします。 "Welcome"画面にて、"Request a Certificate"を選択します。 次の画面で"advanced certificate request"を選択します。 "Create and Submit a request to the CA"を選択します。 次の画面のフォームで、"Certificate Template"のプルダウン メニューから"Subordinate Certification Authority"を選択します。証明書のための必要事項を入力します(名前、連絡先など)。申請を行うとローカル システムに証明書をダウンロードするためのリンクが表示されます。 ダウンロード後、ローカルの証明書ストアから証明書をエクスポートします。"Internet Options"画面にて"Content"タブを選択し、"Certificates"ボタンをクリックします。新しい証明書をPersonal証明書ストアからエスクポートすることができます。 "Certificate Export Wizard"を表示するには、"Export"ボタンをクリックします。 "Certificate Export Wizard"画面にて、"Yes, export the private key"を選択し、続いてフォーマットを選択します。パスワードとファイル名、保存場所を指定します。   Microsoft Certificate Serverは、おそらく証明書をPFXフォーマット(PKCS #12)で提供しています。 証明書をPEMフォーマットでエクスポートするには、以下の手順で行います。 openSSLを使い、 openssl pkcs12 –in pfxfilename.pfx –out tempfile.pem と入力します。 "tempfile.pem"をテキスト エディターで開きます。 -----BEGIN RSA PRIVATE KEY----- で始まっているセクションを見つけます。 -----END RSA PRIVATE KEY----- までの全テキストを選択し、新しいファイルに貼り付けて、拡張子".key"をつけて保存します。 ".pem"ファイルからそれ以外のテキストをコピーし、別のファイルに貼り付け、拡張子".crt"をつけて保存します。 上記の手順により、keyファイルと証明書をインポートすることができます。   CLIコマンド お客様のルートCAがWebインターフェイスを備えていない場合もあり、その場合はCLIを通して 同じ操作を 行うことができます。 Microsoft CAにおけるコマンド:   certreq -submit -attrib "CertificateTemplate:SubCA" <certificate-signing-request>.csr   このコマンドを入力することでGUIプロンプトが表示され、そのプロンプトで申請するCAを選択します。通常、同じサーバ上にはルートCAは1つだけなので、表示されているCAを選択します。 その後、該当する申請がCAサーバーの保留中の申請の中に表示されます。     著者:panagent
記事全体を表示
hshirai ‎04-03-2017 08:33 PM
7,187件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 CLI Commands to View Hardware Status https://live.paloaltonetworks.com/t5/Learning-Articles/CLI-Commands-to-View-Hardware-Status/ta-p/61027     概要 この資料では、Palo Alto Networksデバイスのハードウェアの状態についての情報を提供する、CLIコマンドについて記載しています。   注:PAN-OS 5.0以降のバージョンに対応しています。この資料に記載のコマンドは、Palo Alto Networks VM-Seriesプラットフォームには対応していません。   詳細: ハードウェアのアラームを確認する ("False"は"no alarm"を示しています): > show system state | match alarm chassis.alarm: { } chassis.leds: { 'alarm': Off, 'fans': Green, 'ha': Off, 'status': Green, 'temp': Green, } env.s0.fan.0: { 'alarm': False, 'avg': True, 'desc': Fan #1 Operational, 'min': 1, } env.s0.fan.1: { 'alarm': False, 'avg': True, 'desc': Fan #2 Operational, 'min': 1, } env.s0.power.0: { 'alarm': False, 'avg': 1.051, 'desc': 1.05V Power Rail, 'hyst': 0.007, 'max': 1.130, 'min': 0.980, 'samples': [ 1.045, 1.055, 1.055, ], } env.s0.power.1: { 'alarm': False, 'avg': 1.094, 'desc': 1.1V Power Rail, 'hyst': 0.007, 'max': 1.180, 'min': 1.030, 'samples': [ 1.104, 1.084, 1.094, ], } env.s0.power.2: { 'alarm': False, 'avg': 1.214, 'desc': 1.2V Power Rail, 'hyst': 0.014, 'max': 1.350, 'min': 1.080, 'samples': [ 1.211, 1.221, 1.211, ], } env.s0.power.3: { 'alarm': False, 'avg': 1.807, 'desc': 1.8V Power Rail, 'hyst': 0.018, 'max': 1.980, 'min': 1.620, 'samples': [ 1.807, 1.807, 1.807, ], } env.s0.power.4: { 'alarm': False, 'avg': 2.490, 'desc': 2.5V Power Rail, 'hyst': 0.025, 'max': 2.750, 'min': 2.250, 'samples': [ 2.490, 2.490, 2.490, ], } env.s0.power.5: { 'alarm': False, 'avg': 3.340, 'desc': 3.3V Power Rail, 'hyst': 0.033, 'max': 3.630, 'min': 2.970, 'samples': [ 3.340, 3.340, 3.340, ], } env.s0.power.6: { 'alarm': False, 'avg': 4.980, 'desc': 5.0V Power Rail, 'hyst': 0.050, 'max': 5.500, 'min': 4.500, 'samples': [ 4.980, 4.980, 4.980, ], } env.s0.power.7: { 'alarm': False, 'avg': 2.490, 'desc': 3.0V RTC Battery, 'hyst': 0.175, 'max': 3.500, 'samples': [ 2.490, 2.490, 2.490, ], } env.s0.thermal.0: { 'alarm': False, 'avg': 30.500, 'desc': Temperature at MP [U6], 'hyst': 2.250, 'max': 50.000, 'min': 5.000, 'samples': [ 30.500, 30.500, 30.500, ], } env.s0.thermal.1: { 'alarm': False, 'avg': 34.500, 'desc': Temperature at DP [U7], 'hyst': 2.250, 'max': 50.000, 'min': 5.000, 'samples': [ 34.500, 34.500, 34.500, ], } ha.runtime.device.alarm: False hw.slot0.leds: { 'alarm': Off, 'fans': Green, 'ha': Off, 'status': Green, 'temp': Green, }   その他のコマンド例:     > show system state filter env.* | match alarm     > show system state | match fan     > show system state | match power   直近のクリティカルなハードウェアのアラームを確認する (イタリック体の文字のオプションを決めるために、tabキーを使用します:Backward = 直近の日時、forward = 最も古い日時) > show log system severity greater-than-or-equal critical direction equal backward Time          Severity Subtype Object EventID ID Description =============================================================================== 01/20 06:51:58 critical ha            unknown 0  HA Group 1: commit on local device with running configuration not synchronized; synchronize manually 12/23 14:29:21 critical ha            unknown 0  HA Group 1: moved from state Passive to state Active 12/23 14:29:12 critical ha            unknown 0  HA Group 1: moved from state Non-Functional to state Passive 12/23 14:27:15 critical general        unknown 0  Chassis Master Alarm: HA-event 12/23 14:27:15 critical ha            unknown 0  HA Group 1: moved from state Active to state Non-Functional 12/23 14:27:15 critical ha            unknown 0  HA Group 1: dataplane is down 12/23 14:27:01 critical general        unknown 0  Heartbeat triggering a restart of 'data-plane' from the control-plane 11/09 17:39:44 critical general        unknown 0  Chassis Master Alarm: Fans 11/09 17:39:44 critical general        unknown 0  Fan #3 Speed: 5778.70 above high-limit 5750.00 09/29 08:52:26 critical ha            unknown 0  HA Group 1: commit on local device with running configuration not synchronized; synchronize manually 09/20 09:09:44 critical general        unknown 0  Fan #3 Speed: 5778.70 above high-limit 5750.00 09/20 09:09:44 critical general        unknown 0  Chassis Master Alarm: Fans 09/20 09:09:04 critical general        unknown 0  Chassis Master Alarm: Fans 09/20 09:09:04 critical general        unknown 0  Fan #3 Speed: 5776.98 above high-limit 5750.00 06/20 12:37:04 critical general        unknown 0  Chassis Master Alarm: Fans 06/20 12:37:04 critical general        unknown 0  Fan #1 Speed: 5845.59 above high-limit 5750.00   温度、ファン、電源の状態を確認する: > show system environmentals ----Thermal---- Slot   Description                         Alarm      Degrees C S0    Temperature at 3830 [U85]           False      43.33 S0    Temperature at LION [U86]           False      43.83 S0    Temperature at Phy [U87]            False      38.33 S0    Temperature at CPLD [U88]           False      44.50   ----Fans---- Slot   Description                         Alarm      RPMs S0    Fan #1 RPM                          False      14673 S0    Fan #2 RPM                          False      14465 S0    Fan #3 RPM                          False      14261 S0    Fan #4 RPM                          False      15004   ----Power---- Slot   Description                         Alarm      Volts S0    1.0V Power Rail                     False      0.98 S0    1.2V Power Rail                     False      1.20 S0    1.5V Power Rail                     False      1.51 S0    1.8V Power Rail                     False      1.80 S0    2.5V Power Rail                     False      2.48 S0    3.3V Power Rail                     False      3.31 S0    5.0V Power Rail                     False      5.02 S0    3.3V RTC Battery                    False      3.22   ログの中でハードウェアのアラームを確認する: > less mp-log ehmon.log * * Ehmon (v3.0) * Jan 07 01:54:26 Start time. Jan 07 01:54:28 Loading: libfans.so... done Jan 07 01:54:28 Loading: libpower.so... done Jan 07 01:54:28 Loading: libthermal.so... done Jan 07 01:55:28 Sensor Alarm [True ]: Fan #1 RPM = 8472 Jan 07 01:55:48 Sensor Alarm [False]: Fan #1 RPM = 8509 Jan 07 01:56:48 Sensor Alarm [True ]: Fan #1 RPM = 8437 Jan 07 01:57:28 Sensor Alarm [False]: Fan #1 RPM = 8544   注:アラームのトリガーとなった状態が解消されることで、アラームを示していたLEDは消えているはずです。     著者:panagent
記事全体を表示
hshirai ‎12-15-2016 12:19 AM
11,319件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Send a Test Email to Verify Email Profile Settings https://live.paloaltonetworks.com/t5/Learning-Articles/How-to-Send-a-Test-Email-to-Verify-Email-Profile-Settings/ta-p/60956     概要 電子メール サーバー プロファイル ( [ Device ] > [ サーバー プロファイル ] > [ 電子メール ] )を設定する際、この資料に記載されている手順によって、以下の設定が正しいかどうかを確認する方法を記載しています。 SMTP設定が正しいかどうか サーバーに到達できるかどうか   手順 [ Monitor ] > [ PDF レポート ] > [ レポート グループ ] を開き、事前定義済みレポートを追加します。今回の例では、"risky-users"を選択しています。 [ Monitor ] > [ PDF レポート ] > [ 電子メール スケジューラ ] を開き、追加ボタンを押して名前を入力します。テストするために、作成したレポート グループと電子メール プロファイルを選択します。 「テスト電子メールの送信」をクリックして、SMTPの設定を確認します。 SMTPの設定を確認する電子メールが送られます。   無効な受信者(Recipient) RCPT TO が外部のメールアドレスである場合、エラーが表示されることなく、テスト電子メールが失敗することがあります。多くのSMTPサーバーは、認証されていない送信元からの電子メールを中継しないように設定されています。   以下の手順に従い、受信者 (Recipient) のうちの1つが対応していないのかどうかを確認します。 ターミナルから (Linux, Mac)、あるいはコマンドプロンプトから (Windows)、SMTPサーバーにtelnet接続します。telnetはPAN-OS上では利用できないため、このテストはお手持ちのコンピュータから行う必要があります。 $ telnet <server_ip_or_fwdn> 25 注:接続が拒否される場合、サーバーが25番ポートで待ち受けていないか、接続を拒否する何らかのセキュリティ デバイスがあることを示します。 接続ができる場合、以下のコマンドを使用します。 HELO <server_ip_or_fwdn>       (250 - Hello messages and subsequent 250 messages expected) MAIL FROM: <you @ yourcompany.com>       (250 2.1.0 Sender OK expected) RCPT TO: <recipient1 @ yourcompany.com>        (250 2.1.5 Recipient OK expected) RCPT TO: <recipient2 @ othercompany.com>       (550 5.7.1 Unable to relay expected)   例:   注1: SMTPのトラブルシューティングに関する詳しい資料については、こちらを参照してください: Not authorized to view the specified document 1065 注2:現時点では、SMTP 認証には対応しておりません。     著者:mivaldi
記事全体を表示
hshirai ‎12-15-2016 12:01 AM
3,901件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Information Synchronized in an HA Pair https://live.paloaltonetworks.com/t5/Learning-Articles/Information-Synchronized-in-an-HA-Pair/ta-p/57292     概要 この資料は、高可用性 (HA) ペア メンバー間で同期される情報について説明しており、アクティブ-パッシブやアクティブ-アクティブでの構成に対応しています。   詳細 HA1リンクにおけるコントール プレーンの同期 設定:アクティブ、あるいはパッシブなユニットが、対となるデバイスに対して同期される設定の変更 同期されるタブ:[ Policies ]、[ Objects ]、[ Network ] Web証明書を除く、すべての証明書   HA2リンクにおけるデータ プレーンの同期 セッションの状態 IPSec SA MAC テーブル Neighbor Discoveryテーブル MACを返すIPv(4/6) HA2モニタ メッセージ ARPテーブル   以下のコマンドを使用して、HA2リンクにおいて何が同期されるのかを確認します: > show high-availability state-synchronization   同期されないオブジェクト ネットワーク内における、インターフェイスの特定のパラメータ (例:リンク速度やリンク デュプレックス) アプリケーション コマンド センター (ACC) とログのデータ Web証明書 HA間のログ リンクの設定 (参照:How Does the Log Link Feature Work?)   注:[ Device ] タブ内にある各オブジェクトは、すべてが同期されるというわけではありません。同期される全オブジェクトの一覧については、こちらをご覧ください:High Availability Synchronization   同期を手動で行うためのCLIコマンド 現在実行中の設定を同期するコマンド。 >request high-availability sync-to-remote running-config システム設定の一部として保存されていないオブジェクト、例えばカスタム ブロック ページやログオン ページを強制的に同期するコマンド。このプロセスは、HAコントロール リンク上で動作します。 >request high-availability sync-to-remote disk-state 手動でランタイム セッションの状況を同期するコマンド。これは、通常は自動的に行われますが、必要に応じて、以下のコマンドを実行することで、セッション テーブルを強制的に同期することができます。 >request high-availability sync-to-remote runtime-state   参照 High Availability Synchronization.     著者:akawimandan
記事全体を表示
hshirai ‎08-23-2016 06:19 PM
5,529件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure Email Alerts for System Logs https://live.paloaltonetworks.com/t5/Learning-Articles/What-does-the-Bi-directional-NAT-Feature-Provide/ta-p/60593   GUIにて Policies > NAT で送信元アドレスの変換の設定をする際、スタティック IPを選択すると "双方向" のチェック ボックス(訳注:PAN-OSのバージョンによってはラジオボタン)が表示されます。   詳細 以下はサーバーから外部へ接続するための双方向 NAT の設定であり、プライベート アドレス "A_private" とパブリック アドレス "A_public" を使用して送信元ゾーン "Inside" から宛先ゾーン "Outside" への送信元 NAT の例です。ユーザーのアウトバウンド トラフィックはプライベート アドレスからパブリック アドレスへ送信元 NAT が実施されます。"outside" ゾーンを含む全てのゾーンから "A_public" アドレス宛てのトラフィックに対しては "A_private" アドレスへの宛先 NAT が行われます:   注: 双方向オプションを有効にするとファイアウォールは送信元 NAT と宛先 NAT の2つのルールを作成し、これらはデバイス上のNATルールとしてそれぞれカウントされます。双方向オプションによって作成された2つのルールは次のように記述されます: 送信元 NAT 元のパケット: 送信元ゾーン "Inside"、宛先ゾーン "Outside"、送信元アドレス "A_private"、宛先アドレス "ANY" 変換済みパケット: 送信元アドレスの変換 "スタティクIP"、変換後アドレス "A_public" 宛先 NAT 元のパケット: 送信元ゾーン "ANY" (Inside と Outside を含む全てのゾーン)、宛先ゾーン "Outside"、送信元アドレス "ANY"、宛先アドレス "A_public" 変換済みパケット: 宛先アドレスの変換の変換後アドレス "A_private"   双方向 NAT 変換の設定するには NAT ポリシー ルールの変換済みパケット タブを開きます。送信元アドレス変換の中にある変換タイプで "スタティックIP" を選択します。必要に応じて双方向 NAT オプションの有効/無効を設定します: 双方向オプションを使用した場合、上記で記述したとおり NAT ポリシー数は2倍になります: オリジナルの送信元 NAT ポリシー 暗黙で作成される宛先 NAT ポリシー 宛先 NAT ポリシーは上記の例の場合、以下のようになります: 元のパケット: 送信元ゾーン "ANY" 宛先ゾーン "Outside" 送信元アドレス "ANY" 宛先アドレス "A_public"; オリジナル ルールの変換後宛先アドレス 変換済みパケット: 宛先アドレス "A_private"; オリジナル ルールの送信元アドレス   注: 双方向ルールによって作成された宛先 NAT ポリシーは元のパケット内の送信元ゾーンと送信元アドレスが "ANY" となります。ポリシーが双方向での送信元スタティック NAT として設定されると、意図しないトラフィックが NAT されることがあります。送信元/宛先 NAT ルールをきめ細かく制御したり、双方向 NAT が正しく動作していない場合にはこれらを個別に作成する必要があります。  
記事全体を表示
tsakurai ‎07-27-2016 08:16 PM
17,957件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Troubleshooting Slowness with Traffic, Management, or Intermittent SSL Decryption https://live.paloaltonetworks.com/t5/Management-Articles/Troubleshooting-Slowness-with-Traffic-Management-or-Intermittent/ta-p/61805    インターネットのトラフィックやデバイスの管理、あるいはPalo Alto Networksデバイスを通過するトラフィックの遅延が断続的に発生している場合、デバイス上の負荷を確認するためのコマンドがいくつかあります。それぞれについて簡易的な説明を以下に記述します。   > show system info – このコマンドはシステム情報を表示します。"uptime"を確認し、値がリセットされているように見える場合、デバイスかデータ プレーンはリセットされています。 hostname: Corp-FCS-vwire ip-address: 10.16.3.222 netmask: 255.255.252.0 default-gateway: 10.16.0.1 mac-address: 00:30:48:61:67:b8 time: Wed Jan 28 21:04:19 2009 uptime: 1 days, 7:35:43 family: 4000 model: PA-4050 serial: 0001a100269 sw-version: 2.0.8-h1 app-version: 106-807 threat-version: 106-807 url-filtering-version: 2191 logdb-version: 2.0.5   以下のコマンドを使うことで、SSL復号化メモリの使用率を表示することができます:"sz malloc size"は監視用の値です。この値は増減すべきですが、増加しかしない場合には注意する必要があります。 > show system setting ssl-decrypt memory > show system setting ssl-decrypt certificate-cache proxy allocator alloc size 516387, max 553169 fixed buf allocator, size 16767736 sz malloc size 1119232, max 1283072   ssl cert cache allocator alloc size 269178, max 269178 fixed chunk allocator, size 8376144 chunk size 3072 malloc size 688128, max 688128   > show system resources – このコマンドは、現在のシステムのプロセッサの動作状況のスナップショットを表示します。 top - 21:55:51 up 1 day, 8:27, 1 user, load average: 0.00, 0.00, 0.00 Tasks: 77 total,  1 running, 76 sleeping,  0 stopped,  0 zombie Cpu(s): 0.2%us, 0.1%sy, 0.0%ni 99.5%id, 0.1%wa, 0.0%hi, 0.0%si, 0.0%st Mem:  1035916k total, 1017948k used,   17968k free,  151768k buffers Swap: 2008084k total, 1000820k used, 1007264k free,  496848k cached PID USER  PR  NI  VIRT  RES  SHR S %CPU %MEM   TIME+  COMMAND   1 root  16   0  1648  472  452 S    0  0.0  0:01.11 init   2 root  RT   0     0    0    0 S    0  0.0  0:00.00 migration/0   3 root  34  19     0    0    0 S    0  0.0  0:00.00 ksoftirqd/0   4 root  RT   0     0    0    0 S    0  0.0  0:00.00 migration/1   5 root  34  19     0    0    0 S    0  0.0  0:00.00 ksoftirqd/1   6 root  10  -5     0    0    0 S    0  0.0  0:00.00 events/0   7 root  10  -5     0    0    0 S    0  0.0  0:00.00 events/1   8 root  10  -5     0    0    0 S    0  0.0  0:00.00 khelper   9 root  10  -5     0    0    0 S    0  0.0  0:00.00 kthread  12 root  10  -5     0    0    0 S    0  0.0  0:00.01 kblockd/0  13 root  10  -5     0    0    0 S    0  0.0  0:00.03 kblockd/1  14 root  13  -5     0    0    0 S    0  0.0  0:00.00 kacpid 120 root  10  -5     0    0    0 S    0  0.0  0:00.00 khubd 122 root  10  -5     0    0    0 S    0  0.0  0:00.00 kseriod 178 root  15   0     0    0    0 S    0  0.0  0:00.01 pdflush 179 root  15   0     0    0    0 S    0  0.0  0:02.23 kswapd0   > show session info – このコマンドは、セッションの統計とセッションの設定パラメーターを表示します。アクティブなセッションが増加することを確認するために、数回このコマンドを実行します。 ----------------------------------------------------------- number of sessions supported:                   2097151 number of active sessions:                      543 number of active TCP sessions:                  378 number of active UDP sessions:                  148 number of active ICMP sessions:                 3 session table utilization:                      0% number of sessions created since system bootup: 912668 Packet rate:                                    234/s Throughput:                                     1067 Kbps ----------------------------------------------------------- session timeout   TCP default timeout:                        3600 seconds   TCP session timeout before 3-way handshaking:  5 seconds   TCP session timeout after FIN/RST:            30 seconds   UDP default timeout:                          30 seconds   ICMP default timeout:                          6 seconds   other IP default timeout:                     30 seconds ----------------------------------------------------------- session accelerated aging:                      enabled   accelerated aging threshold:                  80% of utilization   scaling factor:                               2 X ----------------------------------------------------------- session setup   TCP - reject non-SYN first packet:            yes   hardware session offloading:                  yes ----------------------------------------------------------- application trickling scan parameters:   timeout to determine application trickling:   10 seconds   resource utilization threhold to start scan:  80%   scan scaling factor over regular aging:       8 -----------------------------------------------------------   > show system statistics – このコマンドは、リアルタイムなシステムの統計を表示します:表示を切り替えるための追加キーがあり、下記に記載しています。 Device is up          : 1 day 9 hours 10 mins 55 sec Packet rate           : 597/s Throughput            : 3211 Kbps Total active sessions : 642 Active TCP sessions   : 477 Active UDP sessions   : 155 Active ICMP sessions  : 4 You can type the following key to switch what to display -------------------------------------------------------- 'a' - Display application statistics 'h' - Display this help page 'l' - Display logging statistics 'q' - Quit this program 's' - Display system statistics   > debug dataplane pool statistics – このコマンドは、現在のプールの使用率を表示します。2つ目の数字はバッファー サイズを表し、最初の数字は利用可能なバッファーを表しています。 Hardware Pools [ 0] Packet Buffers            :    57240/57344    0x8000000410000000 [ 1] Work Queue Entries        :   229290/229376   0x8000000417000000 [ 2] Output Buffers            :      975/1024     0x8000000418c00000 [ 3] DFA Result                :     4095/4096     0x8000000419100000      DFA Result                : [ 4] Timer Buffers             :     4092/4096     0x8000000418d00000      Timer Buffers             : [ 5] Buffers with 256 bytes    :     1024/1024     0x8000000419500000 [ 6] Buffers with 2048 bytes   :     1023/1024     0x8000000419540000 Software Pools [ 0] software packet buffer 0  :    65514/65536    0x8000000024d00680 [ 1] software packet buffer 1  :    32768/32768    0x8000000026d50780 [ 2] software packet buffer 2  :    32768/32768    0x8000000028d78880 [ 3] software packet buffer 3  :    32768/32768    0x800000002cda0980 [ 4] software packet buffer 4  :      256/256      0x800000004edc8a80 [ 5] Pktlog logs               :    10000/10000    0x8000000020c68930 [ 6] Pktlog threats            :     4999/5000     0x8000000020ebec70 [ 7] Pktlog packet             :     4999/5000     0x8000000020fe9e90 [ 8] Pktlog large              :       56/56       0x8000000021871cf0 [ 9] CTD Flow                  :  1048302/1048576  0x8000000099365498 [10] CTD AV Block              :       32/32       0x80000000b9865598 [11] SML VM Fields             :   130843/131072   0x80000000b986d718 [12] SML VM Vchecks            :    65536/65536    0x80000000b9d0d818 [13] Detector Threats          :    64710/65536    0x80000000b9e5d918 [14] Regex Results             :      512/512      0x8000000021bf9090 [15] TIMER Chunk               :   131072/131072   0x80000000bbbf6460 [16] FPTCP segs                :    32768/32768    0x80000000bdc96588 [17] Proxy session             :    16384/16384    0x80000000bdd3e688 [18] SSL  Handshake State      :    32768/32768    0x80000000c2892788   > debug dataplane show resource-monitor – このコマンドは、異なる時間におけるCPUの負荷を表示します。ここでは、90%か、それよりもっと高い値を探します。 PANOS  3.1.x > show running resource-monitor Resource monitoring sampling data (per second): CPU load (%) during last 60 seconds: core  0   1   2   3   4   5   6   7   8   9  10  11  12  13  14  15       0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0       0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0       0   0   0   1   0   0   0   0   0   0   0   0   0   0   0   0       0   0   0   1   0   0   0   0   0   0   0   0   0   0   0   0       0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0       0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0    -- 以下略 --   Resource utilization (%) during last 60 seconds: session:  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0 packet buffer:  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0 packet descriptor:  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0  0 packet descriptor (on-chip):  2  1  1  1  1  1  1  1  1  1  1  2  1  1  1  1  2  2  2  2  1  2  2  2  2  2  2  2  2  1  1  1  2  1  2  2  1  2  2  1  1  1  1  1  1  1  2  2  1  1  2  1  1  1  1  1  1  2  1  2   Resource monitoring statistics (per minute): CPU load (%) during last 60 minutes: core  0    1    2    3    4    5    6    7 avg max avg max avg max avg max avg max avg max avg max avg max   0   0   0   0   0   0   0   1   0   0   0   0   0   0   0   0   0   0   0   0   0   0   1   1   0   0   0   0   0   0   0   1   0   0   0   0   0   0   1   2   0   1   0   1   0   1   0   1   0   0   0   0   0   0   0   1   0   0   0   0   0   0   0   1   0   0   0   0   0   0   1   2   0   1   0   0   0   0   0   2  -- 以下略 --   > show counter global – このコマンドは、すべてのシステムのカウンタ値を表示します。"pkt recv"と"pkt sent"の値が増加していることを確認します。 Global counters: name                           value    description ------------------------------------------------------------------------------- pkt_recv                   128014692    Packets received pkt_recv_err                       0    Packet receive error pkt_recv_multiple_bufs             0    Packets received with multiple buffers pkt_recv_short_pkt                 0    Packet receive short packets pkt_recv_throttle_cos              0    Packets throttled by QoS control pkt_sent                    82097891    Packets transmitted pkt_sent_err                      13    Packet transmit error pkt_outstanding                    0    Outstanding packet to be transmitted pkt_alloc                    3236305    Packets allocated   > show counter global | match drop – このコマンドは、"drop"という文字に合致するすべてのシステム値を表示します。このコマンドを数回実行し、高い割合で増加している値を探します。 flow_rcv_err                 293    Packets dropped: flow stage receive error flow_no_interface              0    Packets dropped: invalid interface flow_np_rcv_err                0    Packets dropped: receive error from offload processor flow_np_rcv_ihdr_err           0    Packets dropped: invalid packet header flow_np_rcv_tag_err            0    Packets dropped: invalid packet header content flow_scan_drop                 0    Session setup: denied by scan detection flow_tcp_non_syn_drop      10886    Packets dropped: non-SYN TCP without session match   > show counter global | match deny - このコマンドは、"deny"という文字に合致するすべてのシステム値を表示します。このコマンドを数回実行し、高い割合で増加している値を探します。 flow_policy_deny               0    Session setup: denied by policy flow_host_service_deny         0    Device management session denied binahara@Corp-FCS-vwire>   > show counter global | match syn - このコマンドは、"syn"という文字に合致するすべてのシステム値を表示します。このコマンドを数回実行し、高い割合で増加している値を探します。 flow_tcp_non_syn                     10896    Non-SYN TCP packets without session match flow_tcp_non_syn_drop                10896    Packets dropped: non-SYN TCP without session match flow_parse_l4_tcpsynurg                  0    Packets dropped: invalid TCP flags (SYN+URG+*) flow_parse_l4_tcpsynrst                  0    Packets dropped: invalid TCP flags (SYN+RST+*) flow_parse_l4_tcpsynfin                  0    Packets dropped: invalid TCP flags (SYN+FIN+*) flow_dos_red_tcp                         0    Packet dropped: Zone protection protocol "tcp-syn" RED flow_dos_syncookie                       0    Packet dropped: SYN cookies maximum threshold reached flow_dos_syncookie_cookie_sent           0    TCP SYN cookies: cookies sent flow_dos_syncookie_ack_recv              0    TCP SYN cookies: ACKs to cookies received flow_dos_syncookie_ack_err               0    TCP SYN cookies: Invalid ACKs received flow_dos_syncookie_svr_ack_recv          0    TCP SYN cookies: Server ACKs received tcp_syn_missing                      10150    miss SYN packet for tcp session   > show counter global | match error - このコマンドは、"error"という文字に合致するすべてのシステム値を表示します。このコマンドを数回実行し、高い割合で増加している値を探します。 pkt_recv_err                   0    Packet receive error pkt_sent_err                  13    Packet transmit error pkt_alloc_failure              0    Packet allocation error pkt_alloc_failure_cos          0    Packet allocation error due to QoS control pkt_swbuf_alloc_failure        0    Software packet buffer allocation error wqe_alloc_failure              0    Packet descriptor allocation error session_alloc_failure          0    Session allocation error session_install_error          0    Sessions installation error session_state_error            0    Session state error session_peer_not_close         0    installation flow close error session_timer_error            0    Session aging timer error flow_rcv_err                 293    Packets dropped: flow stage receive error   > show system state - このコマンドは、すべてのシステムのスナップショットを表示します。このコマンドでは、複数行 (約1,000行) が表示されます。 <response status="success"><result>cfg.agent.buf-size: 0xf00000 cfg.agent.max-buckets: 0x8000 cfg.app.capture.disk: 0x1400000 cfg.apptracker.entries: 0x10000 cfg.capability.regex.alt: 0x0 cfg.cdfa.buf-size: 0x500000 cfg.cfg.buf-size: 0xc00000 cfg.cfg.general.max-device: 1 cfg.cfg.if-shm-size: 0x1000000 cfg.cfg.max-pool-entry: 0x200 cfg.cfg.max-ucache-entry: 0x9c40 cfg.cfg.ucache-size: 0xa00000 cfg.cfg.vsys-size-large: 0x200000 cfg.cfg.vsys-size-medium: 0x80000 cfg.cfg.vsys-size-small: 0x10000   参照 How to Interpret: show system resources How to Interpret: show running resource-monitor     著者:panagent
記事全体を表示
hshirai ‎07-27-2016 01:34 AM
8,188件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Interpret: show running resource-monitor https://live.paloaltonetworks.com/t5/Learning-Articles/How-to-Interpret-show-running-resource-monitor/ta-p/57654   " show running resource-monitor"コマンドは、 データプレーン (DP) のCPUとバッファーの使用率について、様々な時間間隔での概要を示します。 CPU使用率の出力の中で規定されている"Core"は、それぞれ専用の機能を備えています: Core 0:管理プレーン (MP) とデータ プレーン (DP) との通信に使用されます Core 1:セッションとフロー管理に使用されます Core 2、及びそれ以降:ネットワーク トラフィックとログの処理のために使用されます "Resource utilization"は、セッションとバッファーの使用率を%で示します。"packet descriptors"あるいは"packet buffers"の出力が80%よりも大きい場合、デバイスがオーバー ロードしていることを示唆しており、パケット ロスやデバイスが異常な挙動につながる可能性があります。 同じ出力を"dp-monitor"ログファイルから得ることもできます: less dp-log dp-monitor.log 出力例は以下の通りです: admin@PA-2050(active)> show running resource-monitor Resource monitoring sampling data (per second): CPU load sampling by group: flow_lookup         :  0% flow_fastpath       :  0% flow_slowpath       :  0% flow_forwarding     :  0% flow_mgmt           :  1% flow_ctrl           :  1% nac_result          :  0% flow_np             :  0% dfa_result          :  0% module_internal     :  0% aho_result          :  0% zip_result          :  0% pktlog_forwarding   :  0% pci                 :  0% flow_host           :  1% CPU load (%) during last 60 seconds: core 0  1  2  3      0  1  0  0      0  1  0  0      0  1  0  0      0  1  0  0      0  1  0  0      0  1  0  0      0  1  0  0      0  1  0  0      0  1  0  0      0  1  0  0      0  1  0  0      0  1  0  0      0  1  0  0      0  1  0  0      0  1  0  0      0  1  0  0      0  1  0  0      0  1  0  0      0  1  0  0      0  1  0  0      -- 以下略 --   Resource utilization (%) during last 60 seconds: session:   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0 packet buffer:   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0 packet descriptor:   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0 packet descriptor (on-chip):   1  1  1  1  1  1  1  1  1  1  1  1  1  1  1   1  1  1  1  1  1  1  1  1  1  1  1  1  1  1   1  1  1  1  1  1  1  1  1  1  1  1  1  1  1   1  1  1  1  1  1  1  1  1  1  1  1  1  1  1 Resource monitoring sampling data (per minute): CPU load (%) during last 60 minutes: core  0   1   2   3 avg max avg max avg max avg max   0   0   1   1   0   0   0   0   0   0   1   1   0   0   0   0   0   0   1   1   0   0   0   0   0   0   1   1   0   0   0   0   0   0   1   1   0   0   0   0   0   0   1   1   0   0   0   0   0   0   1   1   0   0   0   0   0   0   1   1   0   0   0   0   0   0   1   1   0   0   0   0   0   0   1   3   0   0   0   0   0   0   1   1   0   0   0   0   0   0   1   1   0   0   0   0   0   0   1   1   0   0   0   0   0   0   1   1   0   0   0   0   0   0   1   1   0   0   0   0   0   0   1   1   0   0   0   0   0   0   1   1   0   0   0   0   0   0   1   1   0   0   0   0   0   0   1   1   0   0   0   0   0   0   1   1   0   0   0   0   -- 以下略 --   Resource utilization (%) during last 60 minutes: session (average):   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0 session (maximum):   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0 packet buffer (average):   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0 packet buffer (maximum):   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0 packet descriptor (average):   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0 packet descriptor (maximum):   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0 packet descriptor (on-chip) (average):   1  1  1  1  1  1  1  1  1  1  1  1  1  1  1   1  1  1  1  1  1  1  1  1  1  1  1  1  1  1   1  1  1  1  1  1  1  1  1  1  1  1  1  1  1   1  1  1  1  1  1  1  1  1  1  1  1  1  1  1 packet descriptor (on-chip) (maximum):   1  1  1  1  1  1  1  1  1  1  1  1  1  1  1   1  1  1  1  1  1  1  1  1  1  1  1  1  1  1   1  1  1  1  1  1  1  1  1  1  1  1  1  1  1   1  1  1  1  1  1  1  1  1  1  1  1  1  1  1 Resource monitoring sampling data (per hour): CPU load (%) during last 24 hours: core  0   1   2   3 avg max avg max avg max avg max   0   0   1   3   0   0   0   0   0   0   1   3   0   0   0   0   0   0   1   3   0   0   0   0   0   0   1   3   0   0   0   0   0   0   1   3   0   0   0   0   0   0   1   3   0   0   0   0   0   0   1   3   0   0   0   0   0   0   1   3   0   0   0   0   0   0   1   3   0   0   0   0   0   0   1   3   0   0   0   0   0   0   1   3   0   0   0   0   0   0   1   3   0   0   0   0   0   0   1   3   0   0   0   0   0   0   1   3   0   0   0   0   0   0   1   3   0   0   0   0   0   0   1   3   0   0   0   0   0   0   1   3   0   0   0   0   0   0   1   3   0   0   0   0   0   0   1   3   0   0   0   0   0   0   1   1   0   0   0   0   0   0   1   3   0   0   0   0   0   0   1   3   0   0   0   0   0   0   1   3   0   0   0   0   0   0   1   3   0   0   0   0 Resource utilization (%) during last 24 hours: session (average):   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0 session (maximum):   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0 packet buffer (average):   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0 packet buffer (maximum):   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0 packet descriptor (average):   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0 packet descriptor (maximum):   0  0  0  0  0  0  0  0  0  0  0  0  0  0  0   0  0  0  0  0  0  0  0  0 packet descriptor (on-chip) (average):   1  1  1  1  1  1  1  1  1  1  1  1  1  1  1   1  1  1  1  1  1  1  1  1 packet descriptor (on-chip) (maximum):   1  1  1  1  1  1  1  1  1  1  1  1  1  1  1   1  1  1  1  1  1  1  1  1 Resource monitoring sampling data (per day): CPU load (%) during last 7 days: core  0   1   2   3 avg max avg max avg max avg max   0   0   1   3   0   0   0   0   0   0   1   3   0   7   0   4   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0 Resource utilization (%) during last 7 days: session (average):   0   0   0   0   0   0   0 session (maximum):   0   0   0   0   0   0   0 packet buffer (average):   0   0   0   0   0   0   0 packet buffer (maximum):   0   0   0   0   0   0   0 packet descriptor (average):   0   0   0   0   0   0   0 packet descriptor (maximum):   0   0   0   0   0   0   0 packet descriptor (on-chip) (average):   1   1   0   0   0   0   0 packet descriptor (on-chip) (maximum):   1   1   0   0   0   0   0 Resource monitoring sampling data (per week): CPU load (%) during last 13 weeks: core  0   1   2   3 avg max avg max avg max avg max   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0   0 Resource utilization (%) during last 13 weeks: session (average):   0   0   0   0   0   0   0   0   0   0   0   0   0 session (maximum):   0   0   0   0   0   0   0   0   0   0   0   0   0 packet buffer (average):   0   0   0   0   0   0   0   0   0   0   0   0   0 packet buffer (maximum):   0   0   0   0   0   0   0   0   0   0   0   0   0 packet descriptor (average):   0   0   0   0   0   0   0   0   0   0   0   0   0 packet descriptor (maximum):   0   0   0   0   0   0   0   0   0   0   0   0   0 packet descriptor (on-chip) (average):   0   0   0   0   0   0   0   0   0   0   0   0   0 packet descriptor (on-chip) (maximum):   0   0   0   0   0   0   0   0   0   0   0   0   0   上記の"CPU load"、"session"、"packet buffer"、"packet descriptors"の%値の行列状(マトリクス)の出力について説明します。" during last 60 minutes: )"部分の出力を例に取ると、最初のエントリは1秒前のもの、最後のエントリは60秒前のものを意味します。 " show running resource-monitor"は1日毎、1時間毎などのように、結果をフィルタすることができます: admin@PA-2050(active)> show running resource-monitor > day      Per-day monitoring statistics > hour     Per-hour monitoring statistics > minute   Per-minute monitoring statistics > second   Per-second monitoring statistics > week     Per-week monitoring statistics   |        Pipe through a command   <Enter>  Finish input   著者:sdarapuneni
記事全体を表示
hshirai ‎07-26-2016 01:32 AM
8,705件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Interpret: show system resources https://live.paloaltonetworks.com/t5/Learning-Articles/How-to-Interpret-show-system-resources/ta-p/59364     show system resourcesのコマンドは、実行した時点でのCPUやメモリーを含んだManagement Plane (MP)のリソース使用率を表示します。これはLinuxの'top'コマンドと同様の物です。   show system resourcesは使用しているメモリーの量、利用可能なメモリーの量、およびMPがSWAPを使用しているかどうかなどの情報も表示します。 一貫してSWAPの使用率が高い場合、ファイアウォール上のプロセスがメモリーの解放に失敗しているかもしくはメモリーが不足している可能性があります。   MPが長時間SWAPを使用しているのを確認するには、以下の出力例でハイライトしたkswapd プロセスを参照します。このプロセスが何時間も動いている場合、絶えずメモリースワップが動いていることになりメモリーの使用量を減らす必要があるかもしれません。   重要な値はSwap、 Mem、 CPU 待機時間 (%wa)、 仮想メモリー使用率 (VIRT) 、そして CPU 使用率 (%CPU)です。これらの値はMP CPUの高負荷やMP反応の遅延の原因調査に役立ちます。CPU 待機時間が高い場合、MPはプロセスがCPUを解放するのを待っている状態であることを示します。   メモリーやCPUの使用率をリアルタイムで表示したい場合はこのコマンドを実行します:show system resources follow  このコマンド出力の見本が以下です:   admin@PA-2050(active)> show system resources   top - 21:20:50 up 2 days,  9:13,  1 user,  load average: 0.00, 0.03, 0.01 Tasks:  94 total,   1 running,  93 sleeping,   0 stopped,   0 zombie Cpu(s):  3.7%us,  2.0%sy,  1.0%ni, 92.8%id,  0.3%wa ,  0.0%hi,  0.1%si,  0.0%st Mem:     995888k total,   589744k used,   406144k free,     6360k buffers Swap:   2008084k total,   229308k used,  1778776k free,   143536k cached     PID USER      PR  NI  VIRT   RES  SHR S %CPU %MEM    TIME+  COMMAND           28868       20   0  4468 1020  800 R    4  0.1   0:00.06 top               2110       15  -5 44732  10m 1284 S    2  1.1  41:27.91 sysd                  1       20   0  1836  560  536 S    0  0.1   0:02.37 init                  2       20   0     0    0    0 S    0  0.0   0:00.00 kthreadd              3       RT   0     0    0    0 S    0  0.0   0:00.99 migration/0           4       20   0     0    0    0 S    0  0.0   0:00.01 ksoftirqd/0           5       RT   0     0    0    0 S    0  0.0   0:00.87 migration/1           6       20   0     0    0    0 S    0  0.0   0:00.02 ksoftirqd/1           7       20   0     0    0    0 S    0  0.0   0:00.02 events/0              8       20   0     0    0    0 S    0  0.0   0:00.00 events/1              9       20   0     0    0    0 S    0  0.0   0:00.04 khelper              12       20   0     0    0    0 S    0  0.0   0:00.00 async/mgr           112       20   0     0    0    0 S    0  0.0   0:00.00 sync_supers         114       20   0     0    0    0 S    0  0.0   0:00.00 bdi-default         115       20   0     0    0    0 S    0  0.0   0:00.50 kblockd/0           116       20   0     0    0    0 S    0  0.0   0:00.28 kblockd/1           125       20   0     0    0    0 S    0  0.0   0:00.00 ata/0               126       20   0     0    0    0 S    0  0.0   0:00.00 ata/1               127       20   0     0    0    0 S    0  0.0   0:00.00 ata_aux             132       20   0     0    0    0 S    0  0.0   0:00.00 khubd               135       20   0     0    0    0 S    0  0.0   0:00.00 kseriod             154       20   0     0    0    0 S    0  0.0   0:00.00 rpciod/0            155       20   0     0    0    0 S    0  0.0   0:00.00 rpciod/1            167       20   0     0    0    0 S    0  0.0   0:22.37 kswapd0             168       20   0     0    0    0 S    0  0.0   0:00.00 aio/0               169       20   0     0    0    0 S    0  0.0   0:00.00 aio/1               170       20   0     0    0    0 S    0  0.0   0:00.00 nfsiod              723       20   0     0    0    0 S    0  0.0   0:00.00 octeon-ethernet     741       20   0     0    0    0 S    0  0.0   0:00.00 scsi_eh_0           743       20   0     0    0    0 S    0  0.0   0:00.00 scsi_eh_1           750       20   0     0    0    0 S    0  0.0   0:01.22 mtdblockd           773       20   0     0    0    0 S    0  0.0   0:00.00 usbhid_resumer      812       20   0     0    0    0 S    0  0.0   0:08.53 kjournald           865       16  -4  2008  404  400 S    0  0.0   0:01.44 udevd             1699       20   0     0    0    0 S    0  0.0   0:00.23 kjournald         1700       20   0     0    0    0 S    0  0.0   0:00.00 kjournald         1786       20   0     0    0    0 S    0  0.0   0:09.67 flush-8:0         1845       20   0  2008  620  572 S    0  0.1   0:01.71 syslogd           1848       20   0  1892  332  328 S    0  0.0   0:00.03 klogd             1856 rpc       20   0  2084  492  488 S    0  0.0   0:00.00 portmap           1874       20   0  2116  652  648 S    0  0.1   0:00.05 rpc.statd         1943       20   0  6852  632  548 S    0  0.1   0:00.37 sshd              1991       20   0  6788  396  392 S    0  0.0   0:00.00 sshd              2000       20   0  3280  616  612 S    0  0.1   0:00.02 xinetd            2019       20   0     0    0    0 S    0  0.0   0:00.00 lockd             2020       20   0     0    0    0 S    0  0.0   0:17.21 nfsd              2021       20   0     0    0    0 S    0  0.0   0:16.13 nfsd              2022       20   0     0    0    0 S    0  0.0   0:17.91 nfsd              2023       20   0     0    0    0 S    0  0.0   0:18.69 nfsd              2024       20   0     0    0    0 S    0  0.0   0:18.05 nfsd              2025       20   0     0    0    0 S    0  0.0   0:20.57 nfsd              2026       20   0     0    0    0 S    0  0.0   0:20.01 nfsd              2027       20   0     0    0    0 S    0  0.0   0:21.30 nfsd              2030       20   0  2360  676  580 S    0  0.1   0:00.78 rpc.mountd        2093        0 -20 62128 4608 1912 S    0  0.5   5:40.59 masterd_core      2096       20   0  1888  456  452 S    0  0.0   0:00.00 agetty            2103        0 -20 26132 1348 1000 S    0  0.1   0:18.85 masterd_manager   2112        0 -20 30196 4820 1068 S    0  0.5   9:06.26 masterd_manager   2116       20   0 89320 4144 1912 S    0  0.4   0:03.50 dagger            2117       30  10 38644 3628 1664 S    0  0.4   9:34.83 python            2118       20   0 76972 3800 1708 S    0  0.4   0:07.12 cryptod           2119       20   0  164m 1948 1224 S    0  0.2   1:29.02 sysdagent         2135       20   0  7212  644  640 S    0  0.1   0:00.09 tscat             2136       20   0 69884 1088  940 S    0  0.1   0:53.74 brdagent          2137       20   0 30080 1152  968 S    0  0.1   0:21.93 ehmon             2138       20   0 45560 1196 1032 S    0  0.1   0:00.81 chasd             2286       20   0     0    0    0 S    0  0.0   0:00.04 kjournald         2343       20   0  464m 204m 4268 S    0 21.1  88:22.09 mgmtsrvr          2364       20   0  390m  78m  10m S    0  8.1  88:19.21 devsrvr           2372       20   0 88812 2344 1788 S    0  0.2   0:00.85 ikemgr            2373       20   0  239m  11m 2004 S    0  1.2   0:04.17 logrcvr           2374       20   0 96188 2320 1808 S    0  0.2   0:00.60 rasmgr            2375       20   0 95036 1148 1008 S    0  0.1   0:00.46 keymgr            2376       20   0  199m 1516 1180 S    0  0.2   0:00.74 varrcvr           2377       17  -3 54936 2272 1524 S    0  0.2   0:29.27 ha_agent          2378       20   0 86468 1904 1380 S    0  0.2   0:02.32 sslmgr            2379       20   0 55576 3016 1408 S    0  0.3   0:01.16 dhcpd             2380       20   0  168m  33m  32m S    0  3.5   0:15.94 useridd           2381       20   0 73352 4024 1712 S    0  0.4   0:06.71 dnsproxyd         2382       20   0 72592 1928 1512 S    0  0.2   0:00.87 pppoed            2383       20   0  133m 3848 1832 S    0  0.4   0:27.02 routed            2384       20   0  127m 4348 3460 S    0  0.4   0:16.43 authd             3014       20   0 25320 2140 1344 S    0  0.2   0:02.84 snmpd             3051 nobody    20   0  203m  41m 4888 S    0  4.3  10:46.93 appweb3           3640 nobody    20   0  133m 4788 1732 S    0  0.5   0:16.00 appweb3           3654 nobody    20   0  113m 2556 1916 S    0  0.3   0:08.02 appweb3           6952       20   0  2900  628  572 S    0  0.1   0:00.11 crond             9129       20   0  3980 3848 2956 S    0  0.4   0:00.06 ntpd              26980       20   0 21324 2440 2012 S    0  0.2   0:00.18 sshd              26991 admin     20   0 21324 1504 1060 S    0  0.2   0:00.03 sshd              26992 admin     20   0 95068  21m  10m S    0  2.2   0:03.55 cli               28865 admin     20   0  2976  668  564 S    0  0.1   0:00.06 less              28867       20   0  3832 1192 1056 S    0  0.1   0:00.04 sh                28869       20   0  1940  540  464 S    0  0.1   0:00.00 sed                          著者:sdarapuneni  
記事全体を表示
oconnellm ‎07-25-2016 10:29 PM
13,291件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Vulnerability Profile Actions https://live.paloaltonetworks.com/t5/Management-Articles/Vulnerability-Profile-Actions/ta-p/61708     この資料では、脆弱性防御プロファイルで利用できる様々なアクションについて説明します。アクションはセキュリティ プロファイルの各ルールや、特定の脅威IDの例外に対して指定することができます。   アクションの種類(訳注) アクション 対象 アクションの詳細 Default (デフォルト) 重大度に基づいた定義済みのアクション ルール 脅威ごとに選択された定義済みのアクションが適用されます。 Allow (許可) セッションは許可するが、脅威ログに記録しない           ルール       脅威ログに記録しないように、イベント用の例外を作成することができます。 Alert セッションを許可し、脅威ログに記録する ルール 重大度に関係なく、すべての脅威に対してログが有効になります。 Block (ブロック) セッションのすべてのパケットを破棄する ルール パケットが破棄されます。TCPは再度パケットを転送しようとしますが、再度破棄される点にご注意ください。実質的に、セッションそのものが遮断されます。 reset-server RSTパケットをサーバーに送信する 例外 パケットは破棄され、TCPリセットがTCP コネクションのサーバー側に送信されます。 reset-both RSTパケットをクライアントとサーバーに送信する 例外 パケットは破棄され、TCPリセットがクライアントとサーバーの両方に送信されます。 reset-client RSTパケットをクライアントに送信する 例外 パケットは破棄され、TCPリセットがTCPコネクションのクライアント側に送られます。 drop-all-packets セッションのすべてのパケットを破棄する 例外 セッションに対してのすべてのパケットが破棄されます。 drop 特定のパケットを破棄する 例外 特定のパケットが破棄されます。TCPは再度パケットを転送しようとしますが、再度破棄される点にご注意ください。 実質的に、セッションそのものが遮断されます。 block-ip 送信元IPアドレスからのすべてのパケットを破棄する 例外 ある送信元IPアドレスから送られてきた、特定の期間のすべてのセッションが遮断されます。   *「セッション」という言葉は、プロトコルがUDPの時のファイアウォール テーブルへの参照という意味で使用されています。   * 脅威ログに記録されるアクションは、プロトコルよっては脅威シグネチャ毎の既定のアクションの定義とは異なる場合があります。例えば"drop"がセキュリティ プロファイルに設定されている場合、TCPセッションでは" drop-all-packets" 、UDPセッションでは"drop"がアクション欄に記録されます。   訳注:括弧内はWeb UIで言語の表記を日本語にした際の表記です。   著者:jjosephs
記事全体を表示
hshirai ‎07-25-2016 08:46 PM
13,617件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Working with External Block List (EBL) Formats and Limitations https://live.paloaltonetworks.com/t5/Learning-Articles/Working-with-External-Block-List-EBL-Formats-and-Limitations/ta-p/58795   訳注:本文書で紹介するダイナミック ブロック リストはPAN-OS 5.0以降が対象です。   概要 PAN-OS 5.0 で導入された ダイナミック ブロック リスト(Objects > ダイナミック ブロック リスト) を使用すると、外部で作成された IP アドレスのリストをインポートしセキュリティ ポリシーの中でアドレス オブジェクトとして使用することが可能になります。このドキュメントでは、IP アドレス リスト用のテキスト ファイルを作成する際に考慮すべきフォーマートの規則を説明します。   詳細 EBL(外部ブロック リスト)の各行には IP アドレス、IP 範囲、もしくはサブネット(IPv6 サポート)が入力できます: 192.168.20.10/32 は 1 つの IP アドレスを意味します 192.168.20.0/24 はサブネットを意味します 192.168.20.40-192.168.20.50 IP 範囲を意味します 2001:db8:123:1::1 は 1 つの IP アドレスを意味します 2001:db8:123:1::/64 はサブネットを意味します 注: EBL の各行は改行文字 (LF) で終端します。Windows 形式 (CR-LF) はサポートされません。 EBL を使用した URL または FQDN の動的なブロックは現在されポートされていません。 ファイアウォール上のリストの最後の IP アドレスの最後のオクテットを参照するためには、テキスト ファイルの最後の IP アドレスの後に "リターン" が入力されている必要があります。 サービス ルートの設定では、EBL は 'Palo Alto Updates' の選択に分類されます。   役立つコマンド: CLI 上で EBL を表示します: > request system external-list show name <オブジェクト名>   CLI から EBL リフレッシュをリクエストします: > request system external-list refresh name <オブジェクト名>   EBL リフレッシュのステータスを表示します: > show jobs id <ジョブ ID>   追加情報: 次のエラー (各コマンドからのエラー)が CLI 上で確認される場合があります: > request system external-list show name <オブジェクト名> Server error : external list file not found.   または > show jobs id <値>  (<値> は EBL リフレッシュ ジョブ)は次のエラーを返す場合があります: Warnings: EBL(vsys1/test) Unable to fetch external list. Using old copy for refresh.   上記エラーは IP アドレス リストをホストする Web サーバーに問題がある可能性があることを示唆しています。しかし、多くの場合、リストは正常に取得されたが (GUI でテストすると "Source URL is accessible" となる)、Palo Alto Networks デバイスがそのリストを読むことができなかったことが考えられます。ソース アドレスが HTTP/HTTPS URL 上の .txt ファイルを指していることを確認してください。 例えば: https://www.example.com/blocklist.txt   HTTPS ロケーションを使用する場合は、PAN-OS 5.0.10 以上であることを確認してください。それより前のバージョンを稼動している場合、正常に動作していてもGUI の Test URL オプションがエラーを返す場合があります。 注: ファイアウォール上のリストを参照するためには DBL(ダイナミック ブロック リスト)がポリシーで使用されている必要があります。   同エラーは、セキュリティ ルールがダイナミック ブロック リストを使用して設定されていない場合や、対象 vsys が マルチ vsys システムに設定されていない場合にも現れる場合があります。 ダイナミック ブロック リストをセキュリティ ルールに適用するためには、次の例を参照してください: EBL オブジェクトを宛先として使用するルールに対しては、アクションは 'Allow' ではなく 'Block' を設定します。 対象 vsys を設定するためには: > set system setting target-vsys <vsys1>   EBL(非共有 EBL)を Panorama 上で作成する場合は、プレ ルールに適用しマルチ vsys(仮想システム) の管理デバイスにプッシュします。   注 1: 'Palo Alto Updates' サービス ルートは EBL にも影響を及ぼします。   注 2: PAN-OS 6.1 より前では、コメントのある行はセキュリティ ポリシーに適用されると削除されます。6.1 以降では、コメントのある行は適切に適用されます。   例: #test dbl 1.2.3.4 10.10.10.10 10.11.12.13 testingcommentsread here 10.12.12.14 #testingcommentsread here   > show running security-policy TestDBL { from trust-L3; source any; source-region none; to untrust-L3; destination [ 1.2.3.4 10.10.10.10 ]; destination-region none; user any; category any; application/service any/any/any/any; action allow; terminal yes; }   注: EBL をリフレッシュした際に他のエラーが表示される場合、management server debug を有効にし ms.log を追跡することができます。EBL リストのフォーマットに問題がある場合は、ms.log に明確に記されます。ms.log ファイルの記録例を次に示します:   Feb 15 12:43:21 EBL entry(0xf30a77f0, 0xe0b6ac60, 0xe210b998 vsys1/test, 1, 0) Refresh job cancelled Feb 15 12:43:21 EBL entry(0xf30a77f0, 0xe0b6ac60, 0xe210b998 vsys1/test, 1, 0) EBL Refresh job success Feb 15 12:43:21 EBL ALLOC free timer (0xdbfbecb0, 1356) Feb 15 12:43:21 EBL entry(0xf30a77f0, 0xe0b6ac60, 0xe210b998 vsys1/test, 1, 0) Releasing ebl Feb 15 12:43:21 EBL ALLOC free size(0xe0b6ac60 1196)   外部ブロック リストと各リスト内のアドレス エントリーの最大数:   各プラットフォームは最大 10 個の外部ブロック リストを持つことができます。 各リストにはファイアウォールのモデルがサポートする最大アドレス数 から300少ないアドレス を含めることができます。 各 EBL は 1 アドレス オブジェクトとして数えられ、max-address のプラットフォームの最大数には影響を与えません。すなわち、デバイスの最大アドレス数が 5000 の場合、それぞれ 4700 アドレスのサイズの EBL を 10 個持つことができ、その他に 4990 個のアドレス オブジェクトを持つことができます。   ご使用のシステムの最大アドレス数を確認するためには、CLI より次のコマンドを入力してください:   PA-200 上ではコマンドと出力はこのように見えるはずです: > show system state | match cfg.general.max-address cfg.general.max-address: 2500   こちらはハードウェアと最大アドレス エントリーを示すグラフです: ハードウェア 最大アドレス エントリー PA-200 PA-500 2500 PA-3020 5000 PA-3050 PA-3060 PA-5020 10000 PA-5050 40000 PA-5060 PA-7050 80000     PA-200 で PAN-OS 7.0.x を稼動している場合は、以下の最大数をもつことができます: 最大 10 個の外部ブロック リスト 全ての外部リスト合わせて最大 50000 個の IP (50000 個の IP をもつ 1 つのリスト、または、5000 個の IP をもつ 10 個のリストは両方ともサポートされます) 1 つのデバイスで 10 個以上の EBL を使用した場合、コミット中に次のエラーが表示されます:       Exceeding max number of supported external block lists (10)   注: 共有 EBL オブジェクトを Panorama から マルチ vsys が有効化されたデバイスにプッシュする場合は、各 EBL が vsys ごとに 1 カウントされる問題に遭遇する可能性があります。この問題はアーキテクチャの変更により PAN-OS 7.1 で解決しています。   エントリ数がキャパシティの総数を超えた場合は、次のエラーがシステム ログに表示されます:       EBL(<EBL 名>) Exceeding max number of ips at line XXXX     著者: jdelio 
記事全体を表示
kishikawa ‎07-25-2016 06:26 PM
5,662件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Identify Unused Policies on a Palo Alto Networks Device https://live.paloaltonetworks.com/t5/Learning-Articles/How-to-Identify-Unused-Policies-on-a-Palo-Alto-Networks-Device/ta-p/53202   概要 このドキュメントは、Palo Alto Networks Device上で使用されてないポリシーの特定方法を紹介しています。 詳細 Web UIを利用した場合 使用されてないポリシーを特定するには、以下を実施します。 Policies > Securityの順にクリックします。 表示された画面下にある、Highlight Unused Rulesにチェックをいれます。 データプレーンが起動してから、未使用のルールがハイライト表示されます。 データプレーンが起動した際に、未使用のルールに関わるカウンター値は初期化され、それらはデータプレーンの再起動とともにクリアされます。   ハイライト表示されたルールが使用されているのかどうか確認するためには、Security Policiesレポートを 生成して確認します。このレポートはルール、セッションに関するバイト数、セッションの量を表示します。 Monitor > Reportsの順にクリックします。 表示された画面の右端のTraffic Reports > Security Rulesを順にクリックします。 日数を指定し、レポートを作成します。   CLIを利用した場合 vsys1における使用されてないポリシーを表示させる場合、以下のコマンドを実行します。 > show running rule-use rule-base security type unused vsys vsys1   その他の使用されてないポリシーを表示させる場合 (NAT, decryption, app-override, PBF, QOSや Captive Portal)は、 <option> に必要な引数を指定することで表示できます。 > show running rule-use rule-base <option> type unused vsys vsys1 <option> に指定できる引数は以下のいずれかになります。   app-override   application override policy   cp             captive portal policy   decryption     ssl decryption policy   dos            dos protection policy   nat            nat policy   pbf            policy based forwarding policy   qos            qos policy   security       security policy   WebUIのケースと同じように、CLIでの表示もデータプレーンが起動してから使用されてないポリシーが表示されます。   著: nayubi
記事全体を表示
kkawachi ‎07-18-2016 10:29 PM
5,751件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Check Users in LDAP Groups https://live.paloaltonetworks.com/t5/Learning-Articles/How-to-Check-Users-in-LDAP-Groups/ta-p/59028   概要 Palo Alto Networks デバイスはセキュリティ ポリシーを作成するためにユーザーとグループを必要に応じて利用することができます。LDAPグループ内のユーザーを確認して管理者はグループ メンバーシップに基づいたアクセス許可ポリシーを作成できます。   詳細 デバイス管理者はIPアドレスではなくユーザーに基づいたアクセスを提供するために LDAP グループを使用します。User-ID エージェントは IP アドレスとユーザーのマッピング情報および Palo Alto Networks ファイアウォールに対する接続性が必要となります。LDAPプロファイルに基づいて User-ID エージェントは LDAP サーバーからグループ情報を読み取ります。これらのマッピングはファイアウォールの IP-user-mapping テーブルに格納され、グループとグループのメンバーはグループ マッピング リストに保存されます。   手順 Palo Alto Networks ファイアウォールにて以下の手順を実行することで LDAP プロファイルからグループを検索します。 全てのグループリストは次のCLIコマンドを使用して読み取ることができます: > show user group list cn=sales,cn=users,dc=al,dc=com cn=it_development,cn=users,dc=al,dc=com cn=groùpé,cn=users,dc=al,dc=com cn=domain admins,cn=users,dc=il,dc=al,dc=com cn=domain guests,cn=users,dc=al,dc=com cn=it,cn=users,dc=al,dc=com cn=marketing,cn=users,dc=al,dc=com cn=it_operations,cn=it,ou=groups,dc=al,dc=openldap,dc=com cn=it_operations,ou=groups,dc=al,dc=openldap,dc=com cn=it_operations,cn=users,dc=al,dc=com cn=domain users,cn=users,dc=il,dc=al,dc=com cn=hr,cn=users,dc=al,dc=com cn=it,ou=groups,dc=al,dc=openldap,dc=com cn=vpn_users,cn=users,dc=al,dc=com cn=domain users,cn=users,dc=al,dc=com 詳細なグループ情報を確認するためには以下のコマンドを実行します: > show user group name cn=it_operations,cn=users,dc=al,dc=com source type: service source:      AD_Group_Mapping_al.com [1     ] al\alex [2     ] al\biljanap [3     ] al\damem [4     ] al\ilija [5     ] al\ilijaal [6     ] al\ristok [7     ] al\jovan 注意: PAN-OS 6.0 以降では無効な AD ユーザーをリストに追加しません。 次の例では無効になっているADドメインユーザーの "alex" 示しています: LDAP プロファイル上のグループマッピングは次のコマンドでリセットすることができます: > debug user-id reset  group-mapping AD_Group_Mapping group mapping 'AD_Group_Mapping' in vsys1 is marked for reset. 以下のコマンドを実行したときに、該当ユーザーは出力に表示されていません: > show user group name cn=it_operations,cn=users,dc=al,dc=com short name:  al\it_operations source type: service source:      AD_Group_Mapping [1     ] al\biljanap [2     ] al\damem [3     ] al\ilija [4     ] al\ilijaal [5     ] al\ristok [6     ] al\jovan   著者 :  ialeksov  
記事全体を表示
tsakurai ‎07-18-2016 08:15 PM
6,745件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Best practices for securing User-ID deployments https://live.paloaltonetworks.com/t5/Learning-Articles/Best-practices-for-securing-User-ID-deployments/ta-p/61606   概要 User-ID サービスはユーザーに対してIP アドレスのマッピングを可能にし、有効にした場合はPalo Alto Networks 次世代ファイアウォールによってフィルタするときにネットワーク管理者にユーザー単位のきめ細かな制御を提供します。あらゆるネットワーク サービスを有効にする場合と同様に、次のベスト プラクティスと設定ガイドラインは User-ID の展開を行うときに潜在的なリスクへの露呈を減らしたり取り除くことを助けます。この記事はネットワークおよびセキュリティ管理者が設定ミスを避け、安全に User-ID サービスを有効にするのに役立つことを目的とします。   詳細 トラスト ゾーンのみで User-ID を有効にする 内部およびトラスト ゾーンでのみ User-ID を有効にすることにより、インターネット上へのこれらのサービスがさらされることなく、潜在的な攻撃から User-ID サービスの保護を維持することに役立ちます。もし User-ID と WMI プローブが外部のアントラスト ゾーン (インターネットなど) で有効にされていると、プローブは結果として User-ID エージェントのサービス アカウント名、ドメイン名、暗号化されたパスワード ハッシュの情報開示となりうる通信を保護されたネットワークの外部に送信することができます。この情報は保護されたリソースへの不正アクセスを得るために、攻撃者によってクラックや悪用に用いられる可能性があります。この重要な理由から User-ID はアントラスト ゾーンで有効にすべきではありません。   .   User-IDを設定する際の許可および除外ネットワークの指定について User-ID エージェントでは PAN ファイアウォール上のエージェントレス User-ID と同様に User-ID の範囲を限定するために許可および除外リストが利用可能です。一般的に自組織内で使用している IP アドレス空間の一部に管理者達は関心を持つだけです。 User-ID から含まれるか除外されるかを明示的にネットワークを指定することで、信頼されたものや会社保有の資産にのみプローブさせ、不要なマッピングが予期せず作成されないようにすることを、より確実にします。   .   ハイ セキュリティ ネットワークにおける WMI プロービングの無効化 Windows Management Instrumentation (WMI) は Windows 管理対象システムの IP とユーザーのマッピングを学習するためにアクティブ プローブを使用することができるメカニズムです。WMI プロービングはエンドポイントから信頼されたデータを受け取るため、ハイ セキュリティ ネットワーク内の User-ID 情報を取得するための推奨される方法ではなく、通常必須ではありません。固定されたワークステーションなど一般的なオフィス環境によくあるスタティック IP-User マッピングを含む環境では、動的な WMI プロービングは必要ありません。ローミングやその他のモバイル機器が移動することでIPアドレスが変動したときなどに、 Syslog 統合の User-ID やXML APIを利用することで、Windows 以外の機器からでも同様に IP とユーザーのマッピングを取得することで簡単に識別することができます。センシティブかつハイ セキュリティなネットワークでは、 WMI プロービングは全体的な攻撃面を増加させるので、管理者は WMI プロービングを無効にし、代わりにドメイン コントローラーのような、より単離され信頼できる送信元から取得したユーザーとIPのマッピング情報を利用することをお勧めします。User-ID マッピングを取得するためにAD セキュリティ イベント ログやsyslog メッセージ、またはXML API を解析するために User-ID エージェントを使用している場合は、WMI プロービングを無効にするべきです。キャプティブ ポータルはセキュリティ イベント ログが古くなった場合にユーザーの再認証のためにフォールバック メカニズムとして使用することができます。 WMI プロービングを使用している場合、WMI プロービングはネットワークの外に User-ID エージェントが使用するためのユーザー名、ドメイン名、パスワード ハッシュなどの機密情報を含んだサービス アカウント設定を送信するため、外部の信頼されないインターフェースでは有効にするべきではありません。この情報は潜在的にネットワークに侵入するための更なるアクセスを得ようとする攻撃者に悪用される可能性があります。   .   User-ID サービスのための必要最小限な権限を持った専用サービス アカウントを使用します User-ID の展開はサービスが正しく機能するための必要最小限の権限をのみを含むことで強固にすることができます。これは DCOM ユーザー、イベントログの読み取り、サーバー オペレーターが含まれます。User-ID サービス アカウントが攻撃者によって侵害された場合、管理者権限や他の不必要な権限を有していると機密データの破壊や盗難の付加的なリスクを企業が公開することになります。セキュリティ イベント ログの読み取りに必須ではないため、ドメイン管理者とエンタープライズ管理者の権限は付与されるべきではありません。   .   User-ID サービス アカウントに対する対話型ログオンを拒否する User-ID サービス アカウントはActive Directory のセキュリティ イベント ログを読み取り、解析するために特定の権限を必要としますが、それは対話的にサーバやドメイン システムへログインするための機能を必要としません。この権限は User-ID 用のグループ ポリシーや、管理サービス アカウントを使用することによって ( グループ ポリシーと管理サービス アカウントの設定についてより多くの情報を得るためにMicrosoft Technet をご参照ください。) User-ID サービス アカウントが不審なユーザーによって侵害された場合でも、対話的なログオンを拒否することによって潜在的な攻撃面は大幅に減少させることができます。   .   User-ID サービス アカウントに対するリモート アクセスを拒否する 一般的に、サービス アカウントはリモート アクセスの許可するために使用される全てのセキュリティ グループのメンバーであるべきではありません。これはUser-ID サービス アカウントの資格情報が侵害された場合、VPNを使用し外部からネットワークにアクセスしようとする攻撃者を防止することができます。   .   アウトバウンド インターフェース通信に出力フィルタリングを設定する 境界ファイアウォールに出力フィルタリングを実装することによって(潜在的に不要な User-ID エージェントのトラフィックを含む)不要なトラフィックが保護されたネットワークからインターネットへ送出されることを防ぎます。センシティブな環境では、信頼されたホワイトリストやビジネス アプリケーションを使用することで不要なトラフィックが許可される可能性を減少させ、またデータを抜き出すために使用可能なベクトルを減少させること役立ちます。   .   参照 User-IDのセットアップや 設定についての情報を得るためには以下を参照してください: PAN-OS 6.1 Web Interface Reference の User-ID セクション User-ID Best Practices - PAN-OS 5.0, 6.0 How to Configure Agentless User-ID  
記事全体を表示
tsakurai ‎07-18-2016 07:23 PM
3,883件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure a Policy with DoS Protection to Protect Hosted Services https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Configure-a-Policy-with-DoS-Protection-to-Protect-Hosted/ta-p/56507   概要 この環境では、Paloalto Networks ファイアーウォールはサービスをホストするように設定されています。この例では、ファイアーウォールは Trust ネットワークにある Web サーバーに対して Destination NAT が設定されているとします。この場合、DoS 攻撃に対しての防御ポリシーが必要になります。   手順 カスタム DoS プロテクション プロファイルを作成します。 Objects > DoS プロテクションに移動します。 「追加」をクリックします。 DoS プロテクション プロファイルを設定します。(以下の例を参照してください)   手順1.で作成した DoS プロテクション プロファイルを使った DoS プロテクション ポリシーを作成します。 Policies > DoS プロテクションに移動します。 「追加」をクリックして、新しい DoS ルール ダイアログを表示させます。 上記で作成した DoS プロテクション プロファイルを適用します。 アクションを「Protect」に設定します。デフォルトのアクションは「Deny」となっているため、このフローにマッチしたトラフィックは全て拒否されます。       注:この例では、閾値に検証環境の設定を反映させています。運用環境に適用する場合は、そのネットワークにおいて想定されるトラフィックに応じて値を設定してください。   著者: sberti
記事全体を表示
hfukasawa ‎07-17-2016 04:55 PM
8,804件の閲覧回数
0 Replies
Ask Questions Get Answers Join the Live Community