ナレッジドキュメント

※この記事は以下の記事の日本語訳です。 How to Add Exempt IP Addresses from the Threat Monitor Logs https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Add-Exempt-IP-Addresses-from-the-Threat-Monitor-Logs/ta-p/58391     概要 この資料は、特定の脅威に対して除外をするIPアドレスを追加する手段を記載します。   手順 [ Monitor ] > [ ログ ] > [ 脅威 ] を表示します。 目的の脅威名をクリックします。この脅威に対して、除外するIPアドレスが追加することになります。 セキュリティ ポリシーに関連した脆弱性ポリシーがあるかどうかを確認します。今回の例では、脆弱性プロファイル'test123'が適用されています。プロファイルのチェックボックスにチェックを入れてハイライトし、IPアドレスを下記図のように追加します。OKボタンをクリックします。 注:下記のログ中に表示されているように、IPアドレス (送信元アドレス、あるいは宛先アドレス) は被害者にも攻撃者にもなり得ます。 脆弱性防御プロファイル画面を開き、例外タブをクリックすることで、更新されていることを確認します。この画面内の"IP Address Exemptions"をクリックしてアプレットを表示し、下記図に表示されているように、変更を確認します。 "IP Address Exemptions"ダイアログ ボックスを閉じ、アクションの下に表示されている"default (reset-both)"をクリックします。アクションを許可に変更します。     著者:rkalugdan
記事全体を表示
hshirai ‎07-21-2016 06:10 PM
3,334件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure GlobalProtect Portal Page to be Accessed on any Port https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-GlobalProtect-Portal-Page-to-be-Accessed-on-any/ta-p/53460   訳注:GlobalProtectの設定画面はPAN-OS Versionにより大幅に異なります。ご使用になるPAN-OSバージョンのWebインターフェイス リファレンス ガイドを合わせてご参照ください。   GlobalProtectが使用するポートを変更することはできませんが、ループバック IPアドレスとセキュリティ ルールによって他のポートを使うことができます。   設定方法: ループバック Interfaceを作成します。 Untrustのインターフェイスが、ループバックにpingできることを確認しておきます。 ポータルのアドレスとゲートウェイのアドレスに、ループバックアドレスを設定します。 GlobalProtectポータルにて、[クライアントの設定]タブよりクライアントの設定を作成し、[外部 ゲートウェイ]を設定します (例:10.30.6.56:7000) 。 ポート番号7000を使用する10.30.6.56 (Untrustのインターフェイス)が、ポート番号443を使用する10.10.10.1 (ループバック) に変換される宛先NATルールを作成します。 Untrustのインターフェイスを宛先アドレスとし、ポート番号7000と443をサービスとしてセキュリティ ポリシーを作成します。 この設定を行うことで、https://10.30.6.56:7000 でGlobalProtectポータルにアクセスできるようになります。https://10.30.6.56:7000  は https://10.10.10.1  が変換されたものです。 GlobalProtectクライアント ソフトウェアをダウンロードして、インストールします。 [ユーザー名]と[パスワード]で資格情報を使用します。[ポータル]欄では、以下の図のように10.30.6.56:7000 をIPアドレスとして使用します。                             著者:mvenkatesan
記事全体を表示
hshirai ‎07-20-2016 08:04 PM
3,732件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Configuring Administrator Authentication with Windows 2008 RADIUS Server (NPS/IAS) https://live.paloaltonetworks.com/t5/Configuration-Articles/Configuring-Administrator-Authentication-with-Windows-2008/ta-p/61651     概要 本文書はWindows 2008 RADIUS サーバーを使用した管理者認証を設定する手順を記載します。 設定を行うための前提条件: 管理インターフェースからのL3接続、あるいはデバイスのRADIUSサーバーへのサービス ルート ドメイン アカウントを確認できるWindows 2008サーバー   手順 パート 1:Palo Alto Networksファイアウォールの設定 [Device] > [サーバー プロファイル] > [RADIUS]に移動し、RADIUS サーバー プロファイルを追加します。 [Device] > [認証プロファイル]を開き、認証プロファイルを追加します。 [Device] > [管理者ロール]に移動し、管理者ロールを追加します。今回の場合は仮想システム用(vsys)の管理者ロールとし、デバイス全体への適用はしません。 [Device] > [アクセス ドメイン]に移動し、アクセスドメインを追加します。 [Device] > [セットアップ[ > [管理] > [認証設定]を開き、上記で作成した、RADIUSの認証プロファイルが選択されていることを確認します。 [Device > [管理者を開き、認証される必要のあるユーザーが予め定義されていないことを確認します。 コミットをクリックして、設定を反映させます。   パート 2:Windows 2008 serverの設定 (Server RoleとしてNPS(Network Policyand Access Services)が必要です) [Start] > [Administrative Tools] > [Network Policy Server]をクリックして、NPS設定画面を開きます。 Palo Alto NetworksデバイスをRADIUSクライアントとして追加します。 [RADIUS Clients and Servers]を開きます。 [RADIUS Clients]を選択します。 右クリックして、[New RADIUS Client]を選択します。 注:[Name and Address]のFriendly name:とAddress、[Shared secret:]を追加するだけです。[Vendor name:]は標準設定の"RADIUS Standard"のままにしておきます。 RADIUS Clientを追加した後の一覧は、以下のようになります: [Policies]に移動し、[Connection Request Policies]を選択します。 Windowsユーザーを認証するポリシーが設定/チェックされているかを確認します。 [Overview]タブを確認し、ポリシーが有効になっていることを確認します。 [Conditions]タブを確認します。 [Settings]タブを確認し、ユーザーの認証方法を確認します。 [Network Policies]上で右クリックし、新しいポリシーを追加します。 [Policy name:]を入力します。 [Conditions]タブを開き、認証することができるユーザーを選択します(グループによる指定が望ましい)。 [Constraints]タブを開き、"Unencrypted authentication (PAP, SPAP)"が有効になっていることを確認します。 [Settings]タブに移動し、ユーザーに正しい管理者ロールとアクセスドメインが割り当てられるよう、VSA (ベンダー固有属性)を設定します。 [RADIUS Attributes]から"Vendor Specific"を選択します。 右側の画面にて、[Add]ボタンをクリックします。 [Vendor:]ドロップダウン リストから"Custom"を選択します。 [Attributes:]リスト内にある唯一の選択肢が、"Vendor-Specific"の状態になります。 [Add]ボタンをクリックします。 The Attribute Information ウィンドウを開きます。 左側にある[Add]ボタンをクリックして、 Vendor-Specific Attribute Information ウィンドウを開きます。 VSAを設定します。 [Enter Vendor Code]を選択し、"25461"を入力します。 "Yes. It conforms"を選択すると、設定した属性が、RADIUS RFCでの"Vendor Specific Attributes"の定義に準拠することになります。 "Configure Attribute…"をクリックします。 管理者ロールの[Vendor-assigned attribute number:]は"1"とします。 [Attribute format:]は"String"を選択します。 [Attribute value:]は管理者ロールの名前のことであり、今回は"SE-Admin-Access"を入力します。 [OK]をクリックします。 [Add]ボタンをクリックして、2つ目の属性を必要に応じて設定します。[Vendor-assigned attribute number:]の"2"はアクセスドメイン 用となります。 ユーザーは、"User-Group 5"に設定する必要があります。 注:グループは手動で入力して、該当するポリシーの中で使うことができます。 異なるアクセス/認証オプションが、(一般的なアクセスのために)既知のユーザーを使用する場合だけでなく、より安全なリソース/ルールを適用するためにRADIUSが返したグループでも利用することができます。 属性の一覧は、以下のように表示されます。 すべてのオプションが保存されるまで、[OK]をクリックし続けます。 既存のポリシーを右クリックして、実施したいアクションを選択することもできます。   パート 3:設定の確認 ファイアウォール上での確認: Palo Alto Networksファイアウォール上で、誤ったパスワードを使用して、以下のシステム ログが表示されるかを確認します。[Monitor] > [ログ] > [システム] 正しいパスワードを使用すると、ログインは成功して以下のログ エントリーが表示されます。 アクセス権を確認します。   NPS側での確認: イベント ビューワーから( Start > Administrative Tools > Event Viewer)、  以下を探します: Security Event 6272, “Network Policy Server Granted access to a user.” Event 6278, “Network Policy Server granted full access to a user because the host met the defined health policy.” Windows ログ内のセキュリティー ログを選択します。 Task Category の中で “Network Policy Server” を探します。   参照: 類似の設定方法として、以下のドキュメントも参照してください。 RADIUS VSA dictionary file for Cisco ACS - PaloAltoVSA.ini   著:srommens  
記事全体を表示
hshirai ‎07-20-2016 01:41 AM
2,670件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How To Test Security, NAT, and PBF Rules via the CLI https://live.paloaltonetworks.com/t5/Management-Articles/How-To-Test-Security-NAT-and-PBF-Rules-via-the-CLI/ta-p/55911     概要 この資料は、CLI上でセキュリティ、アドレス変換(NAT)、ポリシーベース フォワーディング(PBF)ルールについて、CLI上での"test"コマンドを使用して、あるセッションがポリシーに期待通りにマッチするかを確認する方法を説明します。   セキュリティポリシー、NATポリシー、PBFポリシーのテストを実行する際に必要となる要素: source  - 送信元IPアドレス destination  - 宛先IPアドレス destination port  - 宛先ポート番号を明確にすること protocol  - 1番から255番までのIPプロトコル番号を明確にすること (TCP - 6, UDP - 17, ICMP - 1, ESP - 50)   上記のどの要素の値も分からない、あるいはルールにフィールド値として"any"が設定されているシナリオのように、その要素が重要ではない場合、偽の値、あるいは適当な値を入力しても構いません。また、'application'、'category'、'from'、'to'のゾーンについて指定することもできます。   注:送信元ゾーンと宛先ゾーンが同じに設定されたセキュリティー ポリシーが多数ある場合、期待したセキュリティー ポリシーにマッチさせるために、送信元ゾーンと宛先ゾーンを指定することを推奨します。ゾーンが指定されていない場合、"test"コマンドは、送信元と宛先のIPアドレスが属していないゾーンに基づいたルールの結果を返します。   詳細 セキュリティ ルールのテスト test security-policy-match + application        Application name + category          Category name + destination        destination IP address + destination-port  Destination port + from              from + protocol          IP protocol value + show-all          show all potential match rules + source            source IP address + source-user        Source User + to                to   <Enter>            Finish input   例1:(必要な要素の値が分かっている時) test security-policy-match protocol 6 from L3-Trust to L3-Untrust source 192.168.52.1 destination 74.125.225.69 destination-port 80 application gmail-base Trust_Untrust {         from L3-Trust;         source 192.168.52.1;         source-region any;         to L3-Untrust;         destination 74.125.225.69;         destination-region any;         user any;         category any;         application/service[ gmail-base/tcp/any/80 gmail-base/tcp/any/8080 web-browsing/tcp/any/80 web-browsing/tcp/any/8080 gmail-chat/tcp/any/80 gmail-chat/tcp/any/8080 gmail-enterprise/tcp/any/80 gmail-enterprise/tcp/any/8080 gmail-call-phone/tcp/any/80 gmail-call-hone/tcp/any/8080 gmail-video-chat/tcp/any/80 gmail-video-chat/tcp/any/8080 ];        action allow; }   例2:(フィールドに"any"が設定されているシナリオのように、必要な要素の値が分からない時) test security-policy-match protocol 1 from L3-Trust to L3-Untrust source 192.168.52.1 destination 4.4.4.4 destination-port 80   Trust.Untrust {         from L3-Trust;         source any;         source-region any;         to L3-Untrust;         destination any;         destination-region any;         user any;         category any;         application/service any/any/any/any;         action allow; }   例3:(該当するルールがない) test security-policy-match protocol 6 from L3-Trust to L3-Untrust source 192.168.52.1 destination 69.171.242.11 destination-port 80 application facebook-base   No rule matched   NATルールのテスト test nat-policy-match + destination        destination IP address + destination-port  Destination port + from              from + ha-device-id      HA Active-Active device ID + protocol          IP protocol value + source            source IP address + source-port        Source port + to                to + to-interface      Egress interface to use   <Enter>            Finish input   例1:(必要な要素の値が分かっている時) test nat-policy-match protocol 6 from L3-Trust to L3-Untrust source 192.168.52.1 destination 171.161.148.173 destination-port 443   Source-NAT: Rule matched: Src_NAT 192.168.52.1:0 => 10.30.6.52:15473 (6),   例2:( フィールドに"any"が設定されているシナリオのように、必要な要素の値が分からない時) test nat-policy-match protocol 17 from L3-Trust to L3-Untrust source 192.168.52.1 destination 69.171.242.11 destination-port 80   Source-NAT: Rule matched: Source_NAT 192.168.52.1:0 => 10.30.6.52:4792 7 (17),   例3:(該当するルールがない) test nat-policy-match protocol 6 from L3-Trust to L3-Untrust source 192.168.52.1 destination 212.58.241.131 destination-port 443   Server error :   PBFルールのテスト test pbf-policy-match + application        Application name + destination        destination IP address + destination-port  Destination port + from              From zone + from-interface    From interface + ha-device-id      HA Active-Active device ID + protocol          IP protocol value + source            source IP address + source-user        Source User   <Enter>            Finish input   例1:(必要な要素の値が分かっている時) test pbf-policy-match protocol 6 from L3-Trust source 192.168.52.1 destination 74.125.225.69 destination-port 80 application web-browsing PBF {         from L3-Trust;         source 192.168.52.1;         destination 74.125.225.69;         user any;         application/service web-browsing/any/any/any;         action Forward;         forwarding-egress-IF/VSYS ethernet1/3;         next-hop 0.0.0.0; }   例2:( フィールドに"any"が設定されているシナリオのように、必要な要素の値が分からない時) test pbf-policy-match protocol 6 from L3-Trust source 192.168.52.1 destination 171.161.148.173 destination-port 80   "PBF any" {         from L3-Trust;         source any;         destination any;         user any;         application/service any/any/any/any;         action Forward;         forwarding-egress-IF/VSYS ethernet1/3;         next-hop 0.0.0.0; }   例3:(該当するルールがない) test pbf-policy-match protocol 17 from L3-Trust source 192.168.52.1 destination 69.171.242.11 destination-port 80   Server error : Error running policy lookup   Multi-vsys環境 Multi-vsys環境で上記の"test"コマンドを実行するには、最初に特定の vsysに対して、CLI上で  set system setting target-vsys <vsys> コマンドを使ってコンテキストを変更します。それから、"test"を実行します : admin@PA-5050 vsys2(passive)> test security-policy-match from vsys2_trust to vsys2_untrust destination-port 80 protocol 6 source 1.1.1.1 destination 2.2.2.2   Temp {         from any;         source any;         source-region none;         to any;         destination any;         destination-region none;         user any;         category any;         application/service  any/any/any/any;         action allow;         terminal yes; }   初期設定に戻すには、 set system setting target-vsys none コマンドを実行します。     著:gchandrasekaran
記事全体を表示
hshirai ‎07-19-2016 03:15 AM
8,305件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure an RMA Replacement Firewall https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Configure-an-RMA-Replacement-Firewall/ta-p/61644   概要 交換や修理のため、弊社認定のサービス提供者よりRMA要求のケースがオープンが行われます。この文書はそれに伴う実稼働環境のファイアウォール交換の準備について記載します。   手順 故障した機器を返却します。返却前に工場出荷時の設定に戻すため、How to Factory Reset a Palo Alto Networks Device  (日本語訳:Palo Alto Networks デバイスのファクトリー リセット手順)またはPAN-OS 6.0以降の装置であれば How to SSH into Maintenance Mode (日本語訳:メンテナンス モードでのSSH接続方法)を参照してSSHでのメンテナンス モードを使用してください。故障機の先行交換(advance replacement)有りのサポート サブスクリプションの場合、故障機は代替品の受領後にパロアルトネットワークスに返却頂く必要があります。 アメリカ合衆国のお客様 - 返送用のラベルが代替機の梱包に入っています。故障機の返却時にはそのラベルを梱包に貼り付けてください。 他国のお客様 - 代替機の梱包に含まれる、返却案内の文書の指示に従ってください。 新しいファイアウォールの登録とライセンスの移行 受領の後、新しい機器の登録と古い機器からのライセンスの移行をします。パロアルトネットワークスでの故障機の受領後、ライセンスは該当機器から外されるので、早急なライセンスの移行は重要です。 ライセンスを移行するには次のドキュメントの案内に従ってください。How to Transfer Licenses to a Spare Device(日本語訳:ライセンスをスペアに転送する方法) 注:ライセンスをスペア機器に移行すると、元の機器には30日間有効の評価ライセンスが付与されます。  管理用インターフェイスの設定 工場出荷時の管理インターフェイスのIPアドレスは 192.168.1.1、 ログインの名前/パスワードはadmin/adminです。 [Device] > [セットアップ]にて管理用インターフェイスにインターネットアクセスとDNSサーバーを設定します。管理インターフェイスは updates.paloaltonetworks.comとの接続ができる必要があります。 またはインターネットへ接続できるレイヤー3インターフェイスに、管理目的でサービス ルートを設定できます。ファイアウォールには適切なインターフェイス、ルーティング、ポリシーが設定されている必要があります。[ Device] > [セットアップ] > [サービス機能] > [サービス ルートの設定]に移動し、パロアルトネットワークスのアップデートとDNSのため、適切な送信元インターフェイスと送信元IPアドレスを選択してください。例として以下の図をご参照ください。 注: 管理インターフェイスのIPアドレス設定方法は How to Configure the Management Interface IP (日本語訳:管理インターフェイスの IP アドレスの設定方法)を参照してください。 先に新しい機器に移行をしたライセンスを取得します。[Device] > [ライセンス] > [ライセンス サーバーからライセンス キーを取得]をクリックします。同ページに各機能のライセンスが表示されます。URLフィルタリングライセンスを見て、アクティブとなっており、[ダウンロードの状態]を確認してください。"今すぐダウンロード"のリンクが表示されている場合、データベースがダウンロードされていません。アクティブかつPAN-DB URL Filtering データベースがダウンロードされている場合、以下のようになります。 該当の機器は必要であればダイナミック更新を行うことができます。アプリケーションおよび脅威のパッケージを[Device] > [ダイナミック更新] で[今すぐチェック]を行います。ダウンロードおよびインストールが可能な[ アプリケーションおよび脅威 ]のパッケージが表示されます。 PAN-OSを更新するには[Device] > [ソフトウェア] > [今すぐチェック]を行います。 詳細はHow to Upgrade PAN-OS and Panoramaを御覧ください。 先に保存した設定を新しい機器にロードするには、 [Device] > [セットアップ] > [名前付き 設定スナップショットのインポート]に移動し、古い機器からエクスポートしてあった設定を、新しい機器にインポートしてください。 インポートした設定をロードするには [Device] > [セットアップ] > [名前付き 設定スナップショットのロード ]を行なってください。 コミットします。   著者:  achitwadgi  
記事全体を表示
TShimizu ‎07-18-2016 10:31 PM
3,706件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Identify Unused Policies on a Palo Alto Networks Device https://live.paloaltonetworks.com/t5/Learning-Articles/How-to-Identify-Unused-Policies-on-a-Palo-Alto-Networks-Device/ta-p/53202   概要 このドキュメントは、Palo Alto Networks Device上で使用されてないポリシーの特定方法を紹介しています。 詳細 Web UIを利用した場合 使用されてないポリシーを特定するには、以下を実施します。 Policies > Securityの順にクリックします。 表示された画面下にある、Highlight Unused Rulesにチェックをいれます。 データプレーンが起動してから、未使用のルールがハイライト表示されます。 データプレーンが起動した際に、未使用のルールに関わるカウンター値は初期化され、それらはデータプレーンの再起動とともにクリアされます。   ハイライト表示されたルールが使用されているのかどうか確認するためには、Security Policiesレポートを 生成して確認します。このレポートはルール、セッションに関するバイト数、セッションの量を表示します。 Monitor > Reportsの順にクリックします。 表示された画面の右端のTraffic Reports > Security Rulesを順にクリックします。 日数を指定し、レポートを作成します。   CLIを利用した場合 vsys1における使用されてないポリシーを表示させる場合、以下のコマンドを実行します。 > show running rule-use rule-base security type unused vsys vsys1   その他の使用されてないポリシーを表示させる場合 (NAT, decryption, app-override, PBF, QOSや Captive Portal)は、 <option> に必要な引数を指定することで表示できます。 > show running rule-use rule-base <option> type unused vsys vsys1 <option> に指定できる引数は以下のいずれかになります。   app-override   application override policy   cp             captive portal policy   decryption     ssl decryption policy   dos            dos protection policy   nat            nat policy   pbf            policy based forwarding policy   qos            qos policy   security       security policy   WebUIのケースと同じように、CLIでの表示もデータプレーンが起動してから使用されてないポリシーが表示されます。   著: nayubi
記事全体を表示
kkawachi ‎07-18-2016 10:29 PM
5,755件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Check Throughput of Interfaces https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Check-Throughput-of-Interfaces/ta-p/58812   概要 以下のコマンドを使用したときは、オフロードされたトラフィックは表示されません: > show system statistics session   このドキュメントでは " show system state browser " コマンドを使用してインターフェイスのスループットを確認する方法について記述しています。   手順 全ての統計情報を確認するために " show system state browser " コマンドを実行します: > show system state browser Shift + L を押下し、 "port stats" を選択します。 'Y' と 'U' を押下します。初期状態では 20 port の統計情報が表示されます。追加のポートを表示するためには、スペースキーを押下し "node" の値を表示したいポートに変更します。   著者 :  ukhapre
記事全体を表示
tsakurai ‎07-18-2016 08:19 PM
3,146件の閲覧回数
0 Replies
1 Like
※この記事は以下の記事の日本語訳です。 How to Designate Source Interface for the Ping Host Command https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Designate-Source-Interface-for-the-Ping-Host-Command/ta-p/55051   概要 送信元を明示せずに " ping host " コマンドを使用したとき、ファイアウォール自身 (データ プレーン) に設定されていないアドレスに送信する場合は、Palo Alto Networks デバイスはデフォルトで管理 (MGMT) インターフェイスを使用します。データプレーンアドレスへ送信する場合、送信元アドレスが明示的に指定されていないと、ping トラッフィクがファイアウォールの内部を通過します。この理由はデータプレーンに設定されたアドレスが、マネジメントプレーン カーネルに割り当てられているからです。したがって、" ping host <ip_dataplane> " コマンドが実行されたときは、基本的にマネジメントプレーン (MP) のカーネル上で ping します。 注: " debug dataplane internal vif address " コマンドは MP カーネルに割り当てられた全ての設定 IP アドレスを示します。   詳細 ping host コマンドの使用法: > ping host <not_ip_dataplane> - デフォルトで MGMT インターフェイスから送出されます > ping host <ip_dataplane>     - local ping のような動作 (MGMT インターフェイスから送出されません)   データプレーンのIPアドレスに対して MGMT インターフェイスから ping を送出したい場合は、"source" オプションを指定する必要があります: > ping source <mgmt_address> host <ip_data_plane>   例としてレイヤー3インターフェイスからpingを発信する場合のコマンドは以下となります: > ping source <x.x.x.x> host <y.y.y.y>     x.x.x.x はPalo Alto Networks デバイスのレイヤー3インターフェイス アドレスであり、 y.y.y.y は送信先 host です。   著者:  gbogojevic
記事全体を表示
tsakurai ‎07-18-2016 08:17 PM
10,652件の閲覧回数
0 Replies
1 Like
※この記事は以下の記事の日本語訳です。 Setting a Service Route for Services to Use a Dataplane Interface from the Web UI and CLI https://live.paloaltonetworks.com/t5/Configuration-Articles/Setting-a-Service-Route-for-Services-to-Use-a-Dataplane/ta-p/59433   概要 標準ではファイアウォールはDNS、Email、Palo Alto Updates, User-ID エージェント, Syslog, Panorama 等を含む様々なサービスの通信にマネジメント インターフェイスを使用します。サービスルートを使用することでファイアウォールとサーバー間の通信についてデータプレーンを通過するように設定することができます。   詳細 Web UIでの設定 Device > セットアップ > サービス > サービス ルートの設定 へ移動し、適切なサービスルートを設定します。   以下に示すように、事前に定義されていないサービスのサービスルートを設定する場合は、宛先アドレスを手動で入力することで設定できます: 上記の例では、10.66.22.245 または 10.66.18.252 宛てのサービスルートがそれぞれ 10.66.22.88 およびマネジメント インターフェイスを送信元として設定されています。   CLI での設定 コマンドのオプションを表示するために次のコマンドを実行します。 set deviceconfig system route service : > configure # set deviceconfig system route service <tab or '?' key>   dns                DNS server(s)   email              SMTP gateway(s)   netflow            Netflow server(s)   ntp                NTP server(s)   paloalto-updates   Palo Alto update server   panorama           Panorama serve   proxy              Proxy server   radius             RADIUS server   snmp               SNMP server(s)   syslog             Syslog server(s)   uid-agent          UID agent(s   url-updates        URL update server   wildfire           WildFire service   <value>            Service name   Palo Alto Networks のアップデートを受信するためにサービスルートとして利用可能なデータプレーン インターフェイスを表示するコマンド: # set deviceconfig system route service paloalto-updates source-address   10.10.10.2/24     10.10.10.2/24   10.140.59.2/30    10.140.59.2/30   10.30.14.59       mgmt 10.30.14.59   10.30.6.59/24     10.30.6.59/24   172.15.1.2/24     172.15.1.2/24   192.168.59.1/16   192.168.59.1/16   <value>           Source IP address to use to reach destination   以下の例示コマンドでは特定のデータプレーン インターフェイスを使用する Palo Alto Networks のアップデート通信に対するサービスルートを設定しています: # set deviceconfig system route service paloalto-updates source-address 10.140.59.2/30   事前に定義されていないサービスのサービスルートはCLIを通して設定することも可能です。 例: # set deviceconfig system route destination 10.66.22.245 source-address 10.66.22.88/23   注: セキュリティ ルール ベースで通信を許可しログに記録するための明示的なポリシーが必要となります。   著者 :  pchanda
記事全体を表示
tsakurai ‎07-18-2016 08:13 PM
7,621件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Wildfire Configuration, Testing, and Monitoring https://live.paloaltonetworks.com/t5/Management-Articles/Wildfire-Configuration-Testing-and-Monitoring/ta-p/57722   Wildfireは Palo Alto ファイアウォールと統合し、マルウェアの検出や防止を提供するクラウドベースのサービスです。 PAN-OS 7.0以前のWildfireはファイル ブロッキング プロファイルとして、PAN-OS 7.0 からは WildFire 分析プロファイルとして設定され、分析が必要なトラフィックにマッチするセキュリティ ポリシーに適用することができます。     セキュリティ ポリシーにて:   厳格なセキュリティー ポリシーが適用されている場合、管理インターフェースからインターネットへの出力トラフィックにおいて "paloalto-wildfire-cloud" アプリケーションが許可されているか確認してください。本アプリケーションは "paloalto-updates" および同様のサービスを含む既存のサービス ポリシーに追加しなければならない場合があります。また、外部インターフェースへ wildfire-cloud を統合するためには、サービス ルートを追加する必要があります。     Wildfire は ファイル ブロッキング プロファイルのフォワード アクションとしてセットアップすることができます。 Forward: ファイルは "Wildfire" クラウドへ自動的に送信されます。 Continue and Forward: ユーザーはダウンロードと Wildfire への情報転送の前に "continue" アクションを促されます。 PAN-OS 7.0 でもファイル ブロッキング プロファイルでまだ "continue" アクションを選択することができますが、WildFire 分析プロファイルでは単純に"public-cloud" または "WF-500" アプライアンスが利用可能な場合は"private-cloud"に送信するように設定することができます。   Wildfire 設定で決定したファイル タイプが Wildfire クラウドによってマッチングされます。 Palo Alto Networks ファイアウォールはファイルのハッシュを計算し、Wildfire クラウドに計算されたハッシュのみを送信します。 クラウド内のハッシュはファイアウォール上のハッシュと比較されます。ハッシュがマッチしなかった場合、Wildfire ポータル (https://wildfire.paloaltonetworks.com/) 上にアップロードされ、検査したファイルの詳細を閲覧したりできます。 ファイルは解析のために Wildfire ポータルへ手動でアップロードすることもできます。   Wildfire のテスト/モニタリング: 管理ポートが Wildfire と通信できるかCLIで "test wildfire registration" コマンドを使用することで確認することができます。 > test wildfire registration This test may take a few minutes to finish. Do you want to continue? (y or n) Test wildfire         wildfire registration:        successful         download server list:          successful         select the best server:        va-s1.wildfire.paloaltonetworks.com 有効な Wildfire ライセンスが存在する場合、デバイスは Wildfire クラウドに登録されます。   以下のコマンドは WildFire の動作を確認するために使用することができます: > show wildfire status Connection info: Signature verification: enable Server selection: enable File cache: enable WildFire Public Cloud: Server address: wildfire.paloaltonetworks.com Status: Idle Best server: eu-west-1.wildfire.paloaltonetworks.com Device registered: yes Through a proxy: no Valid wildfire license: yes Service route IP address: File size limit info: pe 2 MB apk 10 MB pdf 200 KB ms-office 500 KB jar 1 MB flash 5 MB ... cut for brevity > show wildfire statistics Packet based counters: Total msg rcvd: 1310 Total bytes rcvd: 1424965 Total msg read: 1310 Total bytes read: 1393525 ... cut for brevity > show wildfire cloud-info Public Cloud channel info: Cloud server type: wildfire cloud Supported file types: jar flash ms-office pe pdf apk email-link   Wildfireへの送信ログは Wildfire アクションの詳細を提供します: wildfire-upload-success: ファイルは WildFire クラウドへのアップロードに成功しました wildfire-upload-skip: Wildfire クラウドは既にファイルを検査しており、ファイルのアップロードはされません。Benignファイルについては、Wildfire ポータル上でレポートは作成されません。     ファイルがアップロードされているか既に過去に分析されておりアップロードされなかった場合においても、この sha256に対する ログ エントリは Wildfire レポートと共に生成されます。ファイルが直近でアップロードされている場合には、WildFire 解析がまだ完了していない可能性があり、その場合レポートはまだ利用できません。                                   著者: tpiens  
記事全体を表示
tsakurai ‎07-17-2016 05:21 PM
10,738件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure a Policy with DoS Protection to Protect Hosted Services https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Configure-a-Policy-with-DoS-Protection-to-Protect-Hosted/ta-p/56507   概要 この環境では、Paloalto Networks ファイアーウォールはサービスをホストするように設定されています。この例では、ファイアーウォールは Trust ネットワークにある Web サーバーに対して Destination NAT が設定されているとします。この場合、DoS 攻撃に対しての防御ポリシーが必要になります。   手順 カスタム DoS プロテクション プロファイルを作成します。 Objects > DoS プロテクションに移動します。 「追加」をクリックします。 DoS プロテクション プロファイルを設定します。(以下の例を参照してください)   手順1.で作成した DoS プロテクション プロファイルを使った DoS プロテクション ポリシーを作成します。 Policies > DoS プロテクションに移動します。 「追加」をクリックして、新しい DoS ルール ダイアログを表示させます。 上記で作成した DoS プロテクション プロファイルを適用します。 アクションを「Protect」に設定します。デフォルトのアクションは「Deny」となっているため、このフローにマッチしたトラフィックは全て拒否されます。       注:この例では、閾値に検証環境の設定を反映させています。運用環境に適用する場合は、そのネットワークにおいて想定されるトラフィックに応じて値を設定してください。   著者: sberti
記事全体を表示
hfukasawa ‎07-17-2016 04:55 PM
8,810件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Import/Export Running Configuration Using Secure File Copy (SCP) https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Import-Export-Running-Configuration-Using-Secure-File/ta-p/56647     詳細 CLIからセキュア コピーを使用することで、Palo Alto Networksデバイスから、デバイスの設定をインポート、あるいはエクスポートすることができます。   注:デフォルトで、デバイスは管理インターフェースを利用してSCPサーバーと通信を行います。管理インターフェース以外のインターフェースを使いたい場合、SCPのインポート/エクスポート コマンドで、送信元IPアドレスを指定する必要があります。   SCPを使用した"running configuration"のエクスポート方法: スーパーユーザー、またはデバイス アドミンの権限を持つ"admin"としてCLIにログインします。以下のコマンドは、定期的に設定のバックアップを取得するためのスクリプトを使いたい場合にご利用いただけます: > scp export configuration from running-config.xml to username@host-ip:path "path"は、宛先のSCPサーバー上で有効なディレクトリのパスである必要があります。このファイルは、"running-config.xml"という名前でSCPサーバー上に保存されます。   SCPを使用した設定のインポート方法: スーパーユーザー、またはデバイス アドミンの権限を持つ"admin"としてCLIにログインし、以下のコマンドを実行します: > scp import configuration from name@host:path/xyz.xml 注:この"xyz.xml"ファイルの名前は、"running-config.xml"以外の名前であれば、どんな名前でも問題ありません。 インポートした設定を適用するためにコミットをクリックします。     著者:sjanita
記事全体を表示
hshirai ‎07-15-2016 12:35 AM
3,123件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Troubleshooting Captive Portal Redirect Page Issues https://live.paloaltonetworks.com/t5/Management-Articles/Troubleshooting-Captive-Portal-Redirect-Page-Issues/ta-p/55360     キャプティブ ポータルが構築されていても、ブラウザで開くとリダイレクト ページが返ってこないことがあります。この問題が起きるのには様々な理由が考えられます。 この問題をトラブルシュートするためには、以下の項目を確認します: キャプティブ ポータル は、まだ特定されていない送信元のIPアドレスによってのみトリガーされます。 該当の送信元IPアドレスが、ユーザー名に紐付けられているかどうかを確認します。確認するためには、次のコマンドを実行します: > show user ip-user-mapping all Device > ユーザー ID >  キャプティブ ポータルの設定  に移動し、 キャプティブ ポータル が有効になっていることを確認します。 Network > ゾーン にて該当のゾーン名をクリックし、"ユーザー ID の有効化" が該当トラフィックの送信元ゾーンで有効になっていることを確認します。 リダイレクト ホスト用に設定されているホスト名、またはIPアドレスが、 キャプティブ ポータル を使うシステムから接続できることを確認します。ホスト名を使用している場合は、DNSの名前解決ができることを確認します。Telnet を使用し、ポート番号6082番でそのホスト名/IPアドレスに接続できることを確認します。接続エラーのない何も表示されていない画面が表示されていることを確認します。 Network > インターフェイス管理 に移動し、リダイレクト ホスト用に使われているインターフェースにおいて、"応答ページ" が有効になっている管理インターフェイス プロファイルが使われていることを確認します。 インターフェース管理プロファイルは以下の箇所で設定します。 "Network > インターフェイス > Ethernet > 管理プロファイル" キャプティブ ポータル のポリシーが、正しいサービスでトリガーされる設定になっていることを確認します。下記図は、"http"と"https"の両方の接続用に キャプティブ ポータル が設定されているところです: 注:"https"用に キャプティブ ポータル をトリガーするためには、SSL復号化の設定がされている必要があります。     著者:jteetsel
記事全体を表示
hshirai ‎07-15-2016 12:13 AM
5,009件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Display the Log Filter Expressions https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Display-the-Log-Filter-Expressions/ta-p/54161   概要 ログで利用可能なフィルタ式は、 [Monitor] タブの下の適切なログのフィルタ式ボタンを選択することで表示することができます。   詳細 Attirubute 配下のさまざまな操作オプションで作成されるログ フィルタが変更されます:   次の例では、"google" という単語を含むURLログをフィルタします:   次の例では 10.10.10.0 - 10.10.10.255 の範囲の IP アドレスを検索します:   "or" コネクターを使用して、複数の送信元アドレスを検索します。例えば:   著者: panagent
記事全体を表示
dyamada ‎07-13-2016 05:29 AM
7,832件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How To Packet Capture (tcpdump) On Management Interface https://live.paloaltonetworks.com/t5/Management-Articles/How-To-Packet-Capture-tcpdump-On-Management-Interface/ta-p/55415   管理インターフェイスを介してトラフィックが送信/受信されているかどうかの解析/検証が必要となる場合があります。その一例は、認証試験中にリクエストが LDAP または RADIUS サーバーにデバイスから送信されているかどうかの確認があります。別の例としては、デバイスが SNMP サーバーにポーリング/到達されているかどうかを確認することもあります。 PAN-OS 5.0 以降では、管理インタフェイス宛/発の PCAP トラフィックを知ることができます。使用するオプションは厳密に CLI の tcpdump に基づいています。   以下例: このキャプチャは厳密に/暗黙的に管理インターフェイスを利用するため、通常の tcpdump のように手動でインターフェイスを指定する必要はありません。例えば: 注: フィルタは引用符で囲む必要があります。: > tcpdump filter "host 10.16.0.106 and not port 22"   キャプチャが完了したら、 Ctrl-C を押しキャプチャを停止します: CLI でのPCAP を表示するには、view-pcap コマンドを実行します。例: > view-pcap mgmt-pcap mgmt.pcap   パケット キャプチャ セッションの例: > tcpdump filter "host 10.16.0.106 and not port 22" Press Ctrl-C to stop capturing   tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 68 bytes ^C506 packets captured 1012 packets received by filter 0 packets dropped by kernel   > view-pcap mgmt-pcap mgmt.pcap   21:19:30.264789 IP 10.16.0.106.61942 > 10.30.14.108.https: . 2376621033:2376621034(1) ack 1605246872 win 505 21:19:30.266422 IP 10.16.0.106.61952 > 10.30.14.108.https: . 996999225:996999226(1) ack 1613111617 win 353 21:19:30.274892 IP 10.16.0.106.61950 > 10.30.14.108.https: . 385255393:385255394(1) ack 1621385090 win 251 21:19:30.294503 IP 10.16.0.106.61951 > 10.30.14.108.https: . 3013860059:3013860060(1) ack 1619361601 win 254 21:19:31.696061 IP 10.16.0.106.61948 > 10.30.14.108.https: . 3206764451:3206764452(1) ack 1612181557 win 256 21:19:31.714608 IP 10.16.0.106.61949 > 10.30.14.108.https: . 3271787020:3271787021(1) ack 1618663520 win 727 21:28:00.170383 IP 10.16.0.106.54641 > 10.30.14.108.snmp:  GetRequest(26) [|snmp] 21:28:15.866735 IP 10.16.0.106.61949 > 10.30.14.108.https: . 20220:20221(1) ack 30253 win 608 21:28:15.944086 IP 10.16.0.106.61948 > 10.30.14.108.https: . 25004:25005(1) ack 31229 win 1175 21:28:16.095081 IP 10.16.0.106.61952 > 10.30.14.108.https: . 23198:23199(1) ack 32575 win 656 21:28:16.234194 IP 10.16.0.106.61950 > 10.30.14.108.https: . 65220:65221(1) ack 68539 win 256 21:28:16.244155 IP 10.16.0.106.61951 > 10.30.14.108.https: . 32492:32493(1) ack 44141 win 254 21:28:16.444185 IP 10.16.0.106.61942 > 10.30.14.108.https: . 23502:23503(1) ack 38660 win 640   以下は参照/利用/適用可能なフィルタの一例(これらに限定されるものではありませんが)です。: ポートによるフィルタ > tcpdump filter "port 80" 送信元IPによるフィルタ > tcpdump filter "src x.x.x.x" 宛先IPによるフィルタ > tcpdump filter "dst x.x.x.x" ホスト (送信元 & 宛先) IP によるフィルタ > tcpdump filter "host x.x.x.x" ホスト (送信元 & 宛先) IP によるフィルタからSSHを除外する > tcpdump filter "host x.x.x.x and not port 22"   また、手動で SCP または TFTP を通じて PCAP をエクスポートすることができます。例: > scp export mgmt-pcap from mgmt.pcap to   <value>  Destination (username@host:path)   > tftp export mgmt-pcap from mgmt.pcap to   <value>  tftp host   注: PA-200、PA-500、PA-2000では、デフォルトでパケットあたり最大68バイト(Snap Length) の制限があります。 PA-3000、PA-4000、PA-5000の場合は、デフォルトの制限はパケットあたり96バイトです。この制限を拡張するには、"snaplen" オプションを使用します。.   以下も参照 Tcpdump Packet Capture Truncated   著者: bryan
記事全体を表示
dyamada ‎07-13-2016 05:22 AM
11,468件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Generate a New Self-Signed SSL Certificate https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Generate-a-New-Self-Signed-SSL-Certificate/ta-p/53215   概要 デバイスに独自の証明書をロードしたくない場合やデフォルトの自己署名証明書を使用したくない場合は、新しい自己署名証明書を Web インタフェースまたは CLI を使用して生成することができます。 この新しい自己署名証明書は、SSL 復号化または GlobalProtect ポータルまたはゲートウェイ証明書に使用することができます。     手順 1. WebGUI から [デバイス]> [証明書]に移動します。 2. 画面の一番下の Genarate をクリックします。 3. 証明書の目的の詳細を入力します。ここで入力した詳細は、ブラウザを使用して暗号化されたセッションの CA 証明書を表示する場合ユーザーが見るものとなります。 注: 365日(1年)より長い有効期限を持つ証明書を作成したい場合は、証明書を作成する前に Expiration (days) を 365 より大きい値に変更してください。   4. Generate Certificate ウインドウで Generate をクリックします:   5. 証明書が正しく作成されたことを確認するために、新たに生成された証明書をクリックしてください。 注: SSL 復号化のためにこの証明書を使用している場合は、 "Forward Trust Certificate" と "Forward Untrust Certificate" にチェックを入れます。証明書を削除する場合、両方のオプションのチェックを外さないとエラーが生成されます。   6. 変更をコミットします。コミット処理が完了すると、自己署名 CA 証明書はインストールされます。   CLI CLIでは、新しい自己署名証明書を作成するには次のコマンドを <すべて1行として> 実行します。( 5.0 から 6.1 )   > request certificate self-signed country-code US email support @ paloaltonetworks.com locality Alviso state CA organization “Palo Alto Networks” organization-unit “Session inspected by policy” nbits 1024 name “SSL Inspection” passphrase bubba for-use-by ssl-decryption   6.0 の CLI コマンドに関する追加情報は、以下記事を参照してください: Command Line Interface ( CLI ) Reference Guide Release 6.0   7.0 の場合、非常にシンプルな自己署名証明書を以下のコマンドで作成することができます:   > request certificate generate name "Firewall-a" certificate-name "ssl test"   CLI 行で次に使えるコマンドを確認するために、常時 <tab> または "?" を使用することができます。   7.0 におけるCLIおよび管理情報の追加情報ついては、こちらの記事を参照してください: Palo Alto Networks Documentation for PAN-OS 7.0   owner: jebel  
記事全体を表示
dyamada ‎07-13-2016 05:05 AM
6,126件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 List of Apps with metadata change for Content version 575 https://live.paloaltonetworks.com/t5/Management-Articles/List-of-Apps-with-metadata-change-for-Content-version-575/ta-p/75836   これは、Application and Threat コンテンツバージョン 575 のリリース・ノートを理解を助けるための記事です。このバージョンにおいて、Palo Alto Networks はこれらのアプリケーション上のウイルス検出能力を向上させるために、これらのアプリケーションが識別される方法に影響を与えないようにメタデータ変更を実施しています。   よくある質問:   1. この変更は以下の App-ID が識別される方法に影響をあたえるのでしょうか? 回答:いいえ、この変更は以下の App-ID が識別される方法を変更しません。これは、以下の App-ID のシグネチャ変更ではありません。   2. メタデータとは何ですか?そして、メタデータの変更とは何ですか? 回答:App-ID メタデータは、App-ID の特性と機能を定義するの App-ID の属性です。たとえば、アプリケーションのタイムアウトやリスク値は、App-ID のメタデータの例です。これらの属性のいずれかがアプリケーションの性能を改善するために変更された場合、メタデータの変更が行われます。   3. どのようなメタデータの変更が以下の App-ID のされたのですか? 回答:以下の App-ID のメタデータの変更は、ウイルス検出とレポート作成機能を向上させるために実施されました。   4. このメタデータの変更は、私のアプリケーションフィルタ等の設定に影響はありますか? 回答:いいえ、この変更は現在の設定への影響はありません。   2ch 2ch-posting 51.com 51.com-bbs 51.com-games 51.com-mail 51.com-music 51.com-posting adnstream adobe-connectnow adobe-echosign adobe-meeting-remote-control afreeca aim-express amazon-aws-console amazon-instant-video ameba-blog-posting apple-vpp arcgis asana asf-streaming asproxy atmail att-locker autodesk360 avaya-webalive-desktop-sharing avoidr badoo baidu-webmessenger base-crm bbc-iplayer beamyourscreen beats-music bebo-mail bet365 blogger-blog-posting blokus bluejeans boldchat-logmein boxnet boxnet-consumer-access boxnet-editing boxnet-enterprise-access boxnet-uploading brighttalk buzzsaw callpilot camo-proxy campfire carbonite cbs-video cgi-irc channel4 chatroulette chinaren chinaren-apps chinaren-chat chinaren-mail chrome-remote-desktop circumventor classmates clubbox cnn-video concur constant-contact convo convo-chat cooltalk dabbledb dailymotion dcinside dcinside-posting deezer digg-posting disqus docusign dostupest dotvpn ebuddy elastic-search elluminate emc-documentum-webtop evony eyejot ezpeer facebook facebook-apps facebook-chat facebook-posting facebook-rooms facebook-social-plugin fc2-blog-posting fcc-speed-test firefox-update flixster fotki freecast freeetv friendfeed friendster friendvox fuze-meeting fuze-meeting-desktop-sharing gifboom gogobox google-analytics google-buzz google-cache google-calendar google-calendar-enterprise google-cloud-print google-docs-editing google-drive-web google-finance-posting google-hangouts google-hangouts-audio-video google-hangouts-chat google-lively google-location-service google-maps google-play google-plus google-plus-email google-safebrowsing google-translate google-translate-auto google-translate-manual google-video gotoassist gyao hi5 highrise hootsuite howardforums-posting http-audio http-video hulu hulu-posting hyves hyves-games hyves-mail hyves-music icq2go iheartradio iloveim im-plus imeet imgur imo insightly-crm instan-t-webmessenger intuit-quickbase iqiyi issuu jango jaspersoft jira join-me jotspot-editing kaixin-chat kaixin-mail kaixin001 kanban-tool khan-academy kino koolim labnol-proxy laconica last.fm lastpass letv libero-video linkedin linkedin-apps linkedin-intro linkedin-mail linkedin-posting live365 livelink liveperson livestream lokalisten lotuslive lotuslive-meeting lotuslive-meeting-apps-sharing magister mail.ru-moimir mail.ru-webagent mcafee-epo-admin me2day meebome meetup meetup-email meetup-forum meevee mega megaproxy megavideo meinvz mekusharim meldium messengerfx meta4 metacafe mgoon mibbit minecraft minus mixi mlb.tv morningstar-posting motleyfool-posting ms-exchange-admin-center ms-lync-online-apps-sharing ms-office365 ms-virtualserver msn-money-posting msn-webmessenger msn2go mymarkets myspace-video napster nate-video nbc-video netbackup netbotz netflix-streaming netspoke new-relic nextmedia-video niconico-douga ning ning-apps ning-mail nomadesk noteworthy-admin odnoklassniki odnoklassniki-messaging okta omegle onelogin onepagecrm ontv ooyala oracle-forms orb paltalk-express pandora pandora-tv panos-web-interface party-poker pathview pentaho photobucket phweet pingone pinterest pivotaltracker plaxo plex plugoo-widget pogo powow powow-file-transfer proofhub proxeasy proxylocal psiphon puffin pullbbang-video quora radiusim ragingbull-posting rally-software rdio readytalk readytalk-chat readytalk-desktop-sharing renren renren-apps renren-chat renren-music renren-posting rightscale rover rtmpt ruckus salesforce samsung-updates sap-jam sap-jam-uploading sbs-netv schmedley screencast secret secure-access securemeeting seesmic sentillion service-now sharepoint-blog-posting shutterfly signnow silverlight sina-webuc sina-weibo sina-weibo-posting slacker smugmug socialtv solarwinds solarwinds-npm solarwinds-sam speedtest stagevu stocktwits stocktwits-posting streamaudio studivz stumbleupon sugar-crm svtplay t-online-mail techinline tidaltv tokbox torch-browser torch-browser-games torch-browser-music tudou tuenti tumblr tv4play tvb-video twitch twitpic twitter twitter-posting usermin userplane ustream vbulletin-posting veetle veohtv vevo viadeo vimeo vkontakte vkontakte-chat vkontakte-mail vnc-http vtunnel vyew war2glory watch-abc watchdox weather-desktop webqq websocket whisper winamp-remote windows-azure wink woome workday xm-radio yahoo-blog-posting yahoo-calendar yahoo-douga yahoo-finance-posting yahoo-notepad yahoo-web-analytics yahoo-webmessenger youku youku-uploading yourminis youtube youtube-posting youtube-safety-mode yugma zango zoho-meeting zoho-people zoho-share zwiki-editing zynga-games  
記事全体を表示
dyamada ‎07-13-2016 01:53 AM
2,789件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Steps to Reduce MP CPU on PA-2000 Series and PA-4000 Series https://live.paloaltonetworks.com/t5/Management-Articles/Steps-to-Reduce-MP-CPU-on-PA-2000-Series-and-PA-4000-Series/ta-p/56675   問題 PA-2000 シリーズと PA-4000 シリーズのファイアウォールのマネジメントプレーン負荷が一貫して高く、デバイスにアクセスする際に緩慢な動作を引き起こします。   解決方法 DNS、NetBios、ダイナミックルーティングプロトコル、SNMP、ICMPなどの利用者にとって有意義ではないトラフィックのログを削除する Firewall 自身ではなく、Panorama にログを転送し、レポートを Panorama 上で実行する ログインデックス作成を高速に実行できるように、最新のものを除くすべてのログを削除する すべてのポリシーにおいて、セッション終了時のみにロギングされていることを確認する 内部から内部宛の信頼できるトラフィック用のセキュリティポリシーからロギングをはずす 外部向け DNS トラフィックを減らすために内部 DNS サーバーを使用する ファイアウォールを通過するバックアッププロセスがビジネスピーク時間の前に完了していることを確認する 営業時間中の admin ログインを最小限に抑える(ログリフレッシュと ACC ビューはリソースを消費します) PAN-OS 6.0 および 6.1 のソフトウェアバージョンでは、コミットプロセスの最適化コードが導入されている 注: PAN-OS 6.0 のバージョンのもう一つの有用な機能は、ファイアウォール上の定義済みレポートを無効にすることです。詳細については、次の文書を参照してください: How to Disable Predefined Reports on a Palo Alto Networks Device FQDN 更新、WildFire、コンテンツおよび脅威更新の頻度を減らす。アンチウイルスの更新を12時間または24時間の代わりに、15分や1時間ごとに設定する FQDN の更新間隔を変更するには、次のコマンドを使用します: # set deviceconfig system fqdn-forcerefresh-time GUI の更新をマニュアルに変更します。 顧客レポートの数を減らす - デバイスのローカルレポートとパノラマからプッシュされるレポートの両方で実施します   owner: kprakash
記事全体を表示
dyamada ‎07-13-2016 01:52 AM
2,595件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How Session Rematch Works https://live.paloaltonetworks.com/t5/Learning-Articles/How-Session-Rematch-Works/ta-p/60326   概要 このドキュメントでは、セッションの再マッチング (Session Rematch) が Palo Alto Networks ファイアウォール上でどのように動作するかを説明します。   詳細 セキュリティポリシーに変更が行われコミットされます。セッションの再マッチングが有効になっている場合、ファイアウォールは、すべての既存のセッションを精査してすべての一致するトラフィックに新しいセキュリティポリシーを適用します。   WebGUI から Device > Setup > Session へ行くと、"Rematch Sessions "が以下のページで見つかります。   注: セッションの再マッチングは、 PAN-OS 5.0 以上ではデフォルトで有効になっています。   例 次の例では、セッションの再マッチングが有効になっている場合の動作を示しています。   以下に表示されているのがオリジナルのセキュリティポリシーです:   オリジナルセッションは以下で表示されます:     以下の表示がセキュリティポリシーです:     ポリシーがコミットされた後のセッション: コミットされた直後、セッションは新しいポリシーに再照合し、Active状態からからDiscard状態に変更されたことに注意してください。   owner: mbutt
記事全体を表示
dyamada ‎07-13-2016 01:50 AM
4,279件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Generate and Upload a Tech Support File Using the WebGUI and CLI https://live.paloaltonetworks.com/t5/Featured-Articles/How-to-Generate-and-Upload-a-Tech-Support-File-Using-the-WebGUI/ta-p/60757   概要 本ドキュメントでは、WebGUIもしくはCLIを使用した、tech support fileを作成方法/アップロード方法を説明しています。   手順 Tech Support Fileの作成  WebGUIを使用した場合: Device > Supportの順にクリックします。Panoramaの場合, Panorama > Supportの順にクリックします。 Tech Support Fileの下にあるGenerate Tech Support Fileをクリックします。 Note: Device Administratorの権限をもつユーザーでログインしていた場合、本機能は使用できません。Web UIからTech Support Fileを作成するには、Super Userの権限が必要です。 Tech Support Fileが作成されるまで待ちます。 注意: Tech Support Fileが最後に作成された時間が Web UIから確認することができます。 Download Tech Support Fileが表示されたら、Click Download Tech Support Fileをクリックし保存します。 Device > Support , showing you where to generate the Tech Support file from the WebGUI. CLIを使用した場合: SSHもしくはTelnetを使用して、Palo Alto Networks deviceに接続します。 注意: ファイルが保存できるTFTP/SCPサーバが必要となります。 Tech Support Fileを作成するために以下のコマンドを実行します。 > request tech-support dump 準備しているサーバに応じ、Tech Support Fileを保存するため、 以下のいずれかのコマンドを実行します。 > tftp export tech-support to <tftp host> > scp export tech-support to <username@host:path>   Tech Support File をアップロード 以下のいずれかの方法で、Palo Alto Networks support caseの調査用のTech Support fileをアップロードします。Tech Support fileをアップロードするためには、事前にケースオープンが必要です。   方法 1: Palo Alto Networks Support Portalを利用する場合  https://support.paloaltonetworks.comから、Palo Alto Networks Support Portalにログインします。 Case Managementをクリックします。 Palo Alto Networks Support Portal showing where the Case Management option is. case numberもしくはcase subjectをクリックします。注意: edit ボタンはクリックしないでください. Case Filesを表示させるため、画面を一番下までスクロールさせます。 Upload File(s)をクリックし、Tech Support Fileをアップロードします。 Upload file option inside of Support site.   方法 2: TAC Upload Service を利用する場合 tacupload.paloaltonetworks.com にアクセスします。 ケース番号とケースオープン時に利用した email addressを入力します。 ログインします。 .Tech Support File をChoose Fille から選択し、Upload ボタンでアップロードします。 注意: 一度に一つのファイルのみ選択/アップロードできます。 正常にファイルがアップロードされると, 自動送信されたメールにより通知がされます   方法 3: CLIでTAC Upload Server に直接アップロードする場合 SCP export tech-support to xxxxxxxx @ tacupload.paloaltonetworks.com:/   xxxxxxxxはケース番号になります。ケース番号には、最初に00が続きます。 例: 00654321@tacupload.paloaltonetworks.com:/   実行するには、ケースオープン時に利用したemail addressをパスワードとして入力する必要があります。     よく聞かれる質問:  'Tech support file' にはどういったデータが含まれるのでしょうか?装置に関わる設定ファイルはすべて含まれるのですか?PaloAltoサポートに提供することは安全なのでしょうか。   答え: Tech Support fileには、装置に関わる構成ファイル、システムに関わる情報、ログ等が含まれます。(Trafficログは含まれません。) PaloAltoサポートでは、提供された情報を安全に管理します。Tech Support fileは、サポートエンジニアがお客様の設定を理解する上で必要な情報で、調査を円滑に進めることを可能にするものです。すべての情報は安全に管理されます。
記事全体を表示
kkawachi ‎07-12-2016 08:12 PM
12,272件の閲覧回数
0 Replies
1 Like
※この記事は以下の記事の日本語訳です。 How to Create a Support Portal Account with a VM-Series Usage Based Model (Amazon, Azure, CSSP) https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Create-a-Support-Portal-Account-with-a-VM-Series-Usage/ta-p/59182     Palo Alto Networks VM-Seriesを、パブリック クラウド市場やCloud Security Service Provider (CSSP)からご購入いただいた場合、サポート ポータル アカウントを作成することができます。   サポート ポータルのユーザーアカウントを作成: 登録する(Register) Eメールアドレスと表示されている文字列を入力する。 " Register usage-based VM-Series models (hourly/annual) purchased from public cloud Marketplace or Cloud Security Service Provider (CSSP)"をクリックする。 ドロップダウンリストから、クラウド プロバイダーを選択する。 新規ユーザーの登録フォームに必要事項を入力する。 "Display Name"は一意のものである必要があります。 注:"Display Name"はPalo Alto Networksサポート コミュニティーにおいて、一意にご自身を特定するために使用され、一般の検索エンジンによって、検索、及び 閲覧の対象となります。プライバシー保護のため、Display Nameにはご自身のEメールアドレスや氏名のご利用をお控えいただきますようお願いいたします。  AWSユーザーは以下の情報が必要です : 会社名を"Support Account Name"の下に入力します。 VMダッシュボードから、"AWS Instance ID  (i-xxxxx)"を入力します。 例:i-f68cf626 購入したAWSの製品コードを入力します。 VMを使用しているAWSの地域を入力します。  Azureユーザーは以下の情報が必要です:   会社名を"Support Account Name"の下に入力します。 VMダッシュボードから、Azure VMのシリアルナンバーを入力します。            例:ABE7C2D77DD231 購入したAzureの製品コードを入力します。   VMを使用しているAzureの地域を入力します。     ご購読されたいEメール アドバイザリーを選択し、EULAにご同意後、"Submit"ボタンを押してください。 アカウントを有効化するためのリンクを含むメールが送られてきます。   サポート ポータルでVMを表示する: サポート ポータルにログインします。 "ASSETS"タブ内の"Devices"リンクをクリックします。   こちらもご覧ください。 How to Open a Support Case for a VM-Series Usage Based Model     著:nrice
記事全体を表示
hshirai ‎07-12-2016 01:20 AM
2,697件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to open a Support Case for a VM-Series Usage Based Model (Amazon, Azure, CSSP) https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Open-a-Support-Case-for-a-VM-Series-Usage-Based-Model/ta-p/57741     ケースを開くために、VM-Series用に作成した サポート ポータル アカウントにログインします。 参照:How to Create a Support Portal Account with a VM-Series Usage Based Model.   サポート ポータルにログイン後、以下の手順でケースを作成: "CASE MANAGEMENT"をクリックする。 "Create New > Case"を選択します。 シリアルナンバーを入力するか、"View My Devices"をクリックします。 正しいシリアルナンバーであることを確認します。 "Create New Case"をクリックします。 フォームに必要事項を入力し、"Submit"をクリックします   選択いただいた"Priority"のSLAに従って連絡が入ります。緊急性を要する問題で、迅速なアシスタンスが必要な場合は、サポート窓口にご連絡いただき、音声ガイダンスに従って、ケース番号を入力してください。サポート担当者がその場で対応させていただきます。     著:nrice
記事全体を表示
hshirai ‎07-12-2016 01:16 AM
2,619件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Create an Application Filter to Block High-Risk Applications https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Create-an-Application-Filter-to-Block-High-Risk/ta-p/62794       概要 本ドキュメントでは、 peer-to-peer テクノロジーを利用したhigh-risk (5) file-sharing applicationsをブロックするためのセキュリティポリシーの作成方法を説明しています。   手順 Policies タブからSecurityを選択し、セキュリティ ポリシーの追加を行います。 General, Source,User,Destination タブの必要情報を入力します。その後、Applicationタブを選択します。 Addを選択し、 ドロップダウン リストの一番下までスクロールさせ、Application Filterを選択します。 作成するApplication Filterに対し、名前をつけます。 peer-to-peer technologyベースのhigh-risk (5) file-sharing applicationsに対して制御を行いたいため、以下の流れで指定します。 Category カラムの下にある、 highlight general-internetをクリックします。 Subcategoryの下にあるfile-sharingを選択します。 技術的な部分では、peer-to-peer Risk が 5 OKをクリックし、保存します。Application Filterがルール上に表示されます。 Security Policyの設定の残りを入力します。 Service/Urlカテゴリは、Anyを選択し、ActionについてはDenyを選択することが推奨となります。   これまでの手順を実施することで、ファイアウォールを経由するトラフィックは、application filterによりカテゴライズされます。   注: アプリケーション フィルターは、動的なものです。ビルト イン カテゴリ が選択された場合は、グループがルール内で利用できるようになります。この結果、選択されたカテゴリに該当するものはすべてグループに含まれる結果となります。 アプリケーションはリカテゴライズされたり、 もしくは、新しいアプリケーションがそのカテゴリに追加されるため、 そういったアプリケーションは、アプリケーションフィルターから動的に追加されたり、削除されたりすることになります。この動作により問題が発生する可能性があります。なぜなら、リカテゴライズにより、過去許可していたアプリケーションが突然ブロックされたり、過去ブロックしていたアプリケーションが突然許可されることが発生するからです。アプリケーション グループを使用していたケースでも、アプリケーションは、サービス グループやアドレス グループと同様に分類されます。ブロック、許可を行う対象のアプリケーションが追加されるたび、使用しているアプリケーション グループに手動で追加していく必要が見込まれます。   参考情報 セキュリティ ポリシー内で、効果的にHigh-Risk Appを活用したい場合、アプリケーションの依存関係について深い理解を得る必要があります。こちらのドキュメントをご参照ください。 How to Check if an Application Needs to have Explicitly Allowed Dependency Apps  (英文)   著者: sodhegba    
記事全体を表示
kkawachi ‎07-12-2016 01:01 AM
4,018件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure a Custom Syslog Sender and Test User Mappings https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-a-Custom-Syslog-Sender-and-Test-User-Mappings/ta-p/52896   PAN-OS 6.0, 6.1   概要 PAN-OS 6.0からパロアルトネットワークス・ファイアウォールをSyslogリスナーとして使うことができ、違うネットワーク エレメントや、ユーザーとIPアドレスをマッピングさせてSyslogを収集することができます。それらはセキュリティ ルールやポリシーで使われます。この機能を有効にすると、Syslogリスナーは自動的に設定され、UDPを選択した場合は、ポート番号514を、SSL暗号化を選択した場合は、ポート番号6514が使われます。 このオプションはファイアウォールに限定されたものではなく、Windowsサーバ上にインストールされたUser-IDエージェントでも設定できます。Windowsエージェントでは、SSLは使われず、UDP/TCPともにポート番号514が使われます。   この文章では、どのようにしてパロアルトネットワークス・ファイアウォールでカスタム フィルターを設定するのか説明します。 注 : アプリケーション コンテンツ バージョン418より、パロアルトネットワークスは事前設定されたSyslogセンダーのリストを含みます。アプリケーションのアップデートは、WebUI (Device > Dynamic Updates)からダウンロード、インストールができます。   要求要件 : Syslogセンダー・ログ 送信者のIPアドレス ログの送付方法(暗号化されているか、暗号化されないか) ユーザーがアクセスしているドメインとログインした時に使われている“domain\”表記方法 フィールドもしくはRegex 識別子を使用するのかの決定   この文章では、ファイアウォールに直接設定する方法について記述しています。しかしながら、User-IDエージェントに設定を実行する場合も手順は同様です。   ステップ ログの解析 一部のログを取得し、User-IPマッピングに必要なフィールドを決定します。常に必要なのは、ユーザ名、IPアドレス、フィールドに必要な区切り文字(デリミター)そしてイベント・ストリングです。イベント・ストリングはファイアウォールにユーザがログインに成功して、ユーザ名、IPアドレスが収集され、User-IPマッピング・データベースに登録されたことを通知します。   以下のSyslogサンプルは、アルーバ・ワイヤレス・コントローラーからのログ出力例です。 2013-03-20 12:56:53 local4.notice Aruba-Local3 authmgr[1568]: <522008> <NOTI> <Aruba-Local3 10.200.10.10>  User Authentication Successful: username=ilija MAC=78:f5:fd:dd:ff:90 IP=10.200.27.67 2013-03-20 12:56:53 local4.notice Aruba-Local3 authmgr[1568]: <522008> <NOTI> <Aruba-Local3 10.200.10.10>  User Authentication Successful: username=jovan MAC=78:f5:fd:dd:ff:90 IP=10.200.27.68 role=MUST-STAFF_UR VLAN=472 AP=00:1a:1e:c5:13:c0 SSID=MUST-DOT1X AAA profile=MUST-DOT1X_AAAP auth method=802.1x auth server=STAFF 2013-03-20 12:56:57 local4.notice Aruba-Local3 authmgr[1568]: <522008> <NOTI> <Aruba-Local3 10.200.10.10>  User Authentication Successful: username=1209853ab111018 MAC=c0:9f:42:b4:c5:78 IP=10.200.36.176 role=Guest VLAN=436 AP=00:1a:1e:c5:13:ee SSID=Guest AAA profile=Guest auth method=Web auth server=Guest 2013-03-20 12:57:13 local4.notice Aruba-Local3 authmgr[1568]: <522008> <NOTI> <Aruba-Local3 10.200.10.10>  User Authentication Successful: username=1109853ab111008 MAC=00:88:65:c4:13:55 IP=10.200.40.201 role=Guest VLAN=440 AP=00:1a:1e:c5:ed:11 SSID=Guest AAA profile=Guest auth method=Web auth server=Guest   上記のSyslogサンプルを参照すると、構文解析には、フィールド識別子使われているのが解ります。 イベント・ストリングには “User Authentication Successful:”フレーズを探します。 ユーザ名の接頭語は“username=”です ユーザ名の区切り文字は “\s”です アドレスの接頭語は “IP=” です アドレスの区切り文字は“\s” です   注: Syslog中の区切り文字が空白の場合によくある間違えが、区切り文字フィールドとして空白や “ ”が使われることです。これは正しくなく、例えRegex識別子が使われていなくとも'\s'が正しい区切り文字としての空白スペースの表記方法です。しかしながら、User-IDエージェントで同様の設定した場合、空白スペースを区切り文字として使う必要があります。なぜなら、'\s'はデバッグ ログで認識されず、エラーとなるからです。   設定 ファイアウォールをリスナーとした際に、送られてくるSyslogに使われるSyslog解析プロファイルを定義します。 Device > User Identification > User Mappingに移動します。 "Palo Alto Networks User ID Agent Setup"セクションで編集を選択します。 Syslog Filterタブに移動し、新しいSyslog解析プロファイル追加を選びます。 ログの複雑度からプロファイル・タイプを選択します(Regex識別子かフィールド識別子)。 フィールドの値を上記の解析結果から入力します。 サーバー・モニターを設定します。 Device > User Identification > User Mappingに移動します。 Server Monitoringセクションで、新しいServer Monitorを追加します。 Syslogセンダーのタイプを選択します。 Syslogセンダーの適切なConnection Type、Filter(この設定例では、前のステップで設定したものを選択しています)、Default Domain Nameなどの設定を選んで)を選択します。 注:  Default Domain Nameが使われた場合、入力されたドメイン名がこのサーバー・コネクション経由で発見されたユーザーすべてに付与されます。 全ての設定が完了したら、コネクションを確立するための特定のインターフェイスを許可します。 Network > Network Profiles > Interface Mgmtに移動 接続タイプによって、User-ID-Syslog-Listener-UDPかUser-ID-Syslog-Listener-SSLのコネクション・タイプを選択します。 ManagementプロファイルをEthernetインターフェイスのAdvancedタブで選択します。 接続試験を実施して、サーバーから生成されたログを解析確認してください。 送付されてきているサーバーから受信されているか確認してください。そしてファイアウォール上でマッピングが生成されているか確認してください。 サンプル例 : > show user server-monitor state all UDP Syslog Listener Service is enabled SSL Syslog Listener Service is disabled   Proxy: ilija-syslog(vsys: vsys1)   Host: ilija-syslog(10.193.17.29) number of log messages                            : 1 number of auth. success messages                  : 1   > show user ip-user-mapping all type SYSLOG IP              Vsys   From    User                             IdleTimeout(s) MaxTimeout(s) --------------- ------ ------- -------------------------------- -------------- ------------- 10.200.40.201   vsys1  SYSLOG  al.com\1109853ab111008 2696      2696         Total: 1 users   著者 :  ialeksov    
記事全体を表示
kkondo ‎07-12-2016 12:38 AM
3,355件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Admin-Admin Does Not Work After Factory Reset https://live.paloaltonetworks.com/t5/Management-Articles/Admin-Admin-Does-Not-Work-After-Factory-Reset/ta-p/57669   問題 : デフォルトの管理者アカウント(admin/admin)がファクトリー リセット後動作しない   解決方法 : ファクトリー リセット後、CLIコンソール プロンプト(例:PA-500)は、管理者アカウント(admin/admin)を受け付けるまでに、以下のように遷移していきます。   1.  500 login: 2.  PA-HDF login: 3.  PA-500 login:   3番目の「PA-500 login」になったとき(何度かEnterキーを打って、コンソール プロンプト出力が変わるかご確認ください)管理者アカウント(admin/admin)を受付け準備ができた状態です。   著者:  achitwadgi
記事全体を表示
kkondo ‎07-12-2016 12:15 AM
3,260件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Reset the Administrator Password https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Reset-the-Administrator-Password/ta-p/57581   管理者パスワードを復元することはできません。パスワードリセットは以下の手順を実施してください。 Maintenanceモードに入り、前回保存した(パスワード変更前)の設定を再読み込みする必要があります。 Maintenanceモードに入るためには、ターミナルソフトからシリアル コンソール接続を開く必要があります。 ファイアウォール起動中に、継続して'm' (もしくは新しいバージョンでは'maint'と入力する必要があります)を押し続けます。 一旦Maintenanceモードに入った後は、'Select Running Config'オプションを選択します。 管理者パスワードを知っている、以前のバージョンのrunning configを選択して、そのConfigで再起動します。 もし以前のConfigがロードできず、全ての保存されたConfigにてパスワードが解らない場合は、ファイアウォールをファクトリー リセットを実施して、管理者パスワードを再設定する必要があります。   著者:  panagent
記事全体を表示
kkondo ‎07-12-2016 12:13 AM
4,315件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Identify Root Cause for SSL Decryption Failure Issues https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Identify-Root-Cause-for-SSL-Decryption-Failure-Issues/ta-p/59445   概要 この文章では、サポートされていない暗号スイートによって、復号化されず失敗する場合において、原因を特定する方法について述べています。   Palo Alto Networks ファイアウォールによって、サポートする暗号スイートは以下です: TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_AES128_CBC_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA TLS_RSA_WITH_RC4_128_MD5 TLS_RSA_WITH_RC4_128_SHA   問題 この例では、サーバーがDiffie-Hellman (DH)とElliptec Curve Ephemeral Diffie-Hellman (ECDHE)しかサポートせず、SSLプロキシが復号化に失敗しています。 以下のステップによって問題を確認します。   Palo Alto Networks ファイアウォールにてパケットキャプチャーを取得します(How to Run a Packet Captureを参照)。クライアントから送付されたClient Helloパケットとサーバーから応答されたパケットを調査します。 下記に示すような"Handshake Failure"を探します。 クライアントでサポートされている暗号スイートを参照するか、パロアルトネットワークス装置のClient Helloパケットを確認します。 SSLスキャンツール https://www.ssllabs.com/ssltest/index.html を使って、サーバーによってサポートされる暗号スイートを調べます。下記出力例を参照: 上記の出力結果によって、サポートされていない暗号スイートによって発生していたことが確認できます。   解決方法 No Decryptポリシーを作成します 該当サイトのCustom URL Categoryを作成します Objects > URL Categoryに移動します Addボタンをクリックします Custom URL Categoryの名前を設定します Addボタンを追加し、サーバーサイトを追加して、Commitを実行します 追加したURLサイト用のNo Decryptアクションの復号化ルールを作成します Policies > Decryptionに移動します Decryption Ruleを選択します Decryption Ruleをクローニングします クローンしたDecryption Policyを復号化するDecryption Policyの上に移動します クローンしたDecryption Policy > URL Categoryを選択します Addボタンをクリックします 設定したURL siteを追加し、コミットします   著者: ssastera
記事全体を表示
kkondo ‎07-12-2016 12:10 AM
6,715件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Verify if IPSec Tunnel Monitoring is Working https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Verify-if-IPSec-Tunnel-Monitoring-is-Working/ta-p/56466   概要 IPSecトンネル モニタは監視するIPアドレスにトンネル設定されたインターフェイスから継続的にPingを送付するメカニズムです。Ping間隔は、WebUI管理画面上のMonitorプロファイル (Network > Network Profiles > Monitor > Interval)にて設定します。 注意 : WebUI管理画面上の監視対象のIPアドレス設定は(Network > IPSec Tunnels > General Tab > Destination IP)になります。   詳細 トンネル モニタがupもしくはdownしているかのチェックは、以下のコマンドにて確認します。 > show vpn flow id  name               state     monitor  local-ip        peer-ip      tunnel-i/f ------------------------------------------------------------------------------------ 1  tunnel-to-remote    active    up       10.66.24.94     10.66.24.95  tunnel.2   上記の表示例では、モニターステータスが"up"になっていることを示します。   Pingした回数を確認するには、”show vpn flow tunnel-id <id>”コマンドで確認します。 出力例 : > show vpn flow tunnel-id 1 tunnel  tunnel-to-remote         id:                    1         type:                  IPSec         gateway id:            1         local ip:              10.66.24.94         peer ip:                10.66.24.95         inner interface:        tunnel.2         outer interface:        ethernet1/3         state:                  active         session:                6443         tunnel mtu:            1436         lifetime remain:        2663 sec         latest rekey:          937 seconds ago         monitor:                on         monitor status:        up         monitor interval:      3 seconds         monitor threshold:      5 probe losses         monitor packets sent:  739180         monitor packets recv:  732283         monitor packets seen:  584         monitor packets reply:  584         en/decap context:      76         local spi:              F18E58FF         remote spi:            B90FCFB2   上記の表示例において、 monitor packets sent - Pingが何回送付されたか monitor packets recv - 送られたPingに対して何回応答があったか monitor packets seen - 対向側の問い合わせから、受信されたモニター パケットの数 monitor packets reply - "monitor packets seen"に対して何回応答したか。トンネル インターフェイスIPに対してリクエストが作られた場合のみカウントします。   特定のトンネルの、リアルタイムのステータスを監視するためには以下のコマンドを実行してください : > show running tunnel flow tunnel-id 1 | match monitor         monitor:                on         monitor status:        up         monitor interval:      3 seconds         monitor threshold:      5 probe losses         monitor packets sent:  739180         monitor packets recv:  732283         monitor packets seen:  584         monitor packets reply:  584   もしモニターが"on"でステータスが何らかの理由で"down"場合、"monitor packets sent"が増えているにも関わらず、"monitor packets recv"は一定かもしれません。トンネルがダウンかつモニター ステータスがdownでも、"monitor packets sent"は定期的な間隔でPingを送付しているからです。   注意: トンネルがダウンした時はいつでも、Palo Alto Networks ファイアウォールはsystem logs (severityはcriticalに設定)にイベントを通知します。Criticalログに電子メールの通知設定がなされている場合、電子メール通知が送付されます。詳しくは、 How to Configure Email Alerts for System Logs? 注意   他の参照リンク Dead Peer Detection and Tunnel Monitoring CLI Commands to Status, Clear, Restore, and Monitor an IPSEC VPN Tunnel   著者: dreputi
記事全体を表示
kkondo ‎07-12-2016 12:04 AM
5,178件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Upgrade-PAN-OS-and-Panorama/ta-p/58700   本ドキュメントでは、PAN-OS や Panoramaのアップグレード手順を紹介しています。メジャー/マイナーリリースは、新機能、複数の問題の修正を含みます。メンテナンスリリースは、複数の問題の修正を含みます。リリース番号の最初の数字がメジャーリリースの番号を示します。(例.6.0.0) リリース番号の最初の数字、2番目の数字がマイナーリリースの番号を示します。(6.1.0) リリース番号の最後の数字がメンテナンスリリースの番号を示します。(6.1.1)   リリースの種類 提供されるもの 判別方法 メジャー 機能 & 修正 6.0.0 マイナー 機能 & 修正 6.1.0 メンテナンス 修正 6.1.1   注意: アップグレードを行う前に必ずリリースノートを確認するようにしてください。   以下の内容について言及します。   要件 新しいPAN-OS メジャーリリースにアップグレードする手順 ダウングレードする手順 Panoramaをアップグレードする手順 PanoramaからDevicesをアップグレードする手順 HA Pairをアップグレードする手順 HA Pairをダウングレードする手順 Intermediate Operating Systemをインストールする必要性   The Palo Alto Networks firewallやPanoramaは、最新のPAN-OSを入手できるよう、有効なサポートサブスクリプションとともに登録されている必要があります。有効なサポートサブスクリプションと装置の登録は、Customer Support Portal で行えます。   要件 新しいPAN-OSのメジャーリリースにアップグレードするためには、firewallやPanoramaはアップグレード可能なPAN-OSを起動させている必要があります。 例えば、6.1.xにアップグレードしたい場合、事前に6.0.0を起動させておく必要があります。一般的には, 以前のリリースのどのバージョンからでも新しいリリースへのアップグレードが可能です。例えば、PAN-OS 6.0.5 から、PAN-OS 6.1へアップグレードする場合、より新しいPAN-OS 6.0.x をダウンロードする必要はありません。PAN-OS 5.0.x からPAN-OS 6.1に直接アップグレードすることはできません。ハードウェアがサポートされているもので、インターネットに接続されていれば、現状でサポートされているPAN-OSのバージョンは、Check Nowをクリックすれば自働的に検出されます。このCheck Nowは、Device > Software ページの左下にあります。   装置とPanoramaが、信頼性のある電源設備から、正常に電源供給されていることを確認してください。アップグレードの最中に電源障害が発生すると、装置が故障してしまう可能性があります。 既存設定のバックアップを取得します。Save named configuration snapshotをクリックすることで取得可能です。本機能は、GUIのDevice=>SetupもしくはPanorama=>SetupのOperationsにあります。 アップグレードを行うためにminimum content versionを考慮する必要があるか、リリースノートのUpgrade/Downgrade Procedures を確認します。 アップグレードを行うPAN-OSの最新版をダウンロードする前に、 そのPAN-OSのベースイメージをPanoramaもしくは装置上にダウンロードしておく必要があります。PAN-OSのベースイメージは、通常x.x.0といったバージョンです。アップグレードを行う装置上にインストールしておく必要はなく、ダウンロードしておくのみで結構です。 例えば、もし、Palo Alto Networks deviceをPAN-OS 5.0.8から6.1.3にアップグレードする場合、 6.0.0 ベースリリースをダウンロードのみします。(インストールしません) 6.0.13といった最新の6.0.xメンテナンスリリースをダウンロードし、インストールし、リブートします。 6.1.0ベースリリースをダウンロードのみします。(インストールしません) 6.1.13といった最新の6.1.xメンテナンスリリースをダウンロードし、インストールし、リブートします。 注意:インストールが完了したら、インストールした新しいOSを反映させるため、Palo Alto Networks deviceを再起動する必要があります。 Panoramaから装置をアップグレードする場合、Panoramaを最初にアップグレードします。手順は、Panoramaをアップグレードする手順のとおり実施してください。 PAN-OSのアップグレードを行う場合、 関連するソフトウェアのアップグレードを行う必要性が見込まれます。必要の有無は、リリースノート内のAssociated Software Versions項目を確認しご判断ください。 新しいPAN-OS メジャーリリースにアップグレードする手順 Device > Softwareの順にクリックします。 Check Nowをクリックします (左下)。Palo Alto Networksで利用可能なPAN-OSが表示されます。アップグレードするPAN-OSの変更内容を確認するために、Release Notesをクリックします。 PAN-OSのダウンロードとインストール Web UIから実施する場合: アップグレードするPAN-OSの隣にある、Downloadをクリックします。ダウンロードが完了すると、Downloadedのカラムにチェックマークがつきます。 アップグレードするPAN-OSの隣にある、Installをクリックします。インストールが開始されてます。 インストールの最中に、インストールが完了したら自働的に装置を再起動させる機能が利用可能になります。本機能が有効であった場合、インストールが完了した時点で装置は自動的に再起動します。 注意: 再起動はこの時点で実施する必要性はありません。ただし、インストールされたソフトウェアは再起動するまで有効となりません。 手動でダウンロード、インストールを実施する場合: ブラウザでサポートサイトを開きます。 Software Updates ページに行き、インストールしたいPAN-OSをダウンロードします。 Web UIで Device > Softwareの順にクリックし、Uploadをクリックします。ダウンロードしたPAN-OSを選択しOKボタンを押します。装置にPAN-OSがアップロードされます。 Install from Fileをクリックし、アップロードしたPAN-OSを選択します。 OKを押します。アップグレードが開始します。 注意: 古いリリースを削除する場合、Device > Softwareの順にクリックし、リリースの隣にあるXをクリックします。 ベースとなるPAN-OSリリースは削除しないでください。   ダウングレードする手順 装置をダウングレードする必要があった場合、こちらのKBを参照ください。How to Downgrade PAN-OS   Panoramaをアップグレードする手順 Panorama GUIから、Panorama タブをクリックし、次に Software タブをクリックします。注意: Panorama > Device Deployment > Softwareの順ではありません。 Check Nowをクリックします (左下)。Panoramaで利用可能なPAN-OSが表示されます。 アップグレードするPAN-OSをPanoramaにダウンロードするため、Downloadをクリックします。(VMware ESXを使用している場合、対応しているイメージを選択してください。) ダウンロードが完了した後、Installリンクをクリックし、アップグレードを実施します。要求されたら、リブートします。 PanoramaからDevicesをアップグレードする手順 Panorama タブをクリックします。Device Deployment > Softwareの順にクリックし、Check Nowをクリックします。Palo Alto Networksで利用可能なPAN-OSが表示されます。 Downloadをクリックし、アップグレードする装置の種類に応じたソフトウェアをダウンロードします。プラットフォームリストが表示されます。上記で説明した同じルールが 適用されます。 正しいイメージをダウンロードした後、Installをクリックします。 次にソフトウェアをインストールしたい装置を選択します。画面下部にある、Upload only to device (do not install)とReboot device after installに注意してください。  3.Panorama > Managed Devicesの順にクリックし、画面下部にあるInstallをクリックすることでも、ソフトウェアをインストールすることが可能です。       'install'をクリックすることで、上記の手順での同じインストール画面が表示されます。     HA Pairをアップグレードする手順 HA Pairをアップグレードする手順については、こちらのKBを参照ください。How to Upgrade a High Availability (HA) Pair   HA Pairをダウングレードする手順 2つ目の装置をアップグレードする前にフォールバックさせるには、以下の手順を実施します。 アップグレードした装置をSuspendします。パッシブ装置がアクティブになります。サスペンドされた装置がダウングレードできるようになります。ダウングレードの手順については、こちらのKBを参照ください。 How to Downgrade PAN-OS ダウングレードが完了した後、GUIで装置をアクティブにし、設定が正しくロードされていることを確認します。   Intermediate operating systemをインストールする必要性 アップグレードパスに応じて、ターゲットとするPAN-OSにアップグレードするために、intermediate operating systemをインストールする必要があります。たとえば6.0から7.0にアップグレードする場合、まず最初に、6.1をIntermediate Operating Systemとしてインストールする必要があります。   アップグレード中の問題を防ぐために、最新のメンテナンスリリースバージョンを、Intermediate Operating Systemとしてインストールすることを推奨します。例えば、6.0.5から7.0.6にアップグレードする場合、6.0.5から6.1.13、6.1.13から7.0.6といった流れで実施します。   参考情報: How to Downgrade PAN-OS How to Upgrade a High Availability (HA) Pair How to Downgrade PAN-OS   著者: jdelio  
記事全体を表示
kkawachi ‎07-11-2016 10:23 PM
30,184件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Create-Tagged-Sub-Interfaces/ta-p/58712   手順 複数のVLANを同じ物理インターフェースに終端させるには、複数のタグ付きサブインターフェースを作成する必要があります。(VLAN一個あたり一つ) WebGUIからNetwork> Interfacesの順に選択。 次にL3かL2のインターフェースを選択し(上記の例ではethernet1/6が選択されてます)Add Subinterfaceを選択します。 L2インターフェースの場合: L3インターフェースの場合 :
記事全体を表示
oconnellm ‎07-11-2016 10:16 PM
6,017件の閲覧回数
0 Replies
Ask Questions Get Answers Join the Live Community