ナレッジドキュメント

※この記事は以下の記事の日本語訳です。 Addressed: Palo Alto Networks Product Security Regarding the June 5th OpenSSL Security Advisory https://live.paloaltonetworks.com/t5/Threat-Articles/Addressed-Palo-Alto-Networks-Product-Security-Regarding-the-June/ta-p/59677     更新: 本文書に書かれた問題は既に対応済みです。 この問題は、PAN-OS 6.0.4, 5.1.9, 5.0.14にて対応済みです。これらのバージョン、もしくはそれ以降のバージョンにすることで問題は回避されます。   要約 Palo Alto Networks PAN-OS ソフトウェアは、特定の限られたケースにおいて、マン・イン・ザ・ミドル (MITM) 攻撃に繋がる脆弱性CVE-2014-0224の影響を受ける可能性があります。これに対応するため、Palo Alto Networksは、全てのサポート対象のバージョンに対し、次に予定されているメンテナンス リリースにおいて弊社の製品で使われているOpenSSLソフトウェアにパッチを適用します。なお、GlobalProtectは影響を受けません。   注: 2014年6月5日に報告されたOpenSSLの脆弱性のうち、その他6つのCVEに関しては、弊社のソフトウェア プラットフォームは影響を受けません。   詳細 Palo Alto Networksの製品セキュリティ エンジニア チームは2014年6月5日に報告されたOpenSSLの脆弱性が弊社の製品に影響を及ぼすかどうか解析を行いました。記載されている7つのCVEのうち、CVE-2014-0224のみが弊社のソフトウェアに関連していることがわかりました。残りのCVEに関しては、弊社のソフトウェアは DTLS (Datagram Transport Layer Security)、及びアノニマス ECDH (Elliptic curve Diffie-Hellman) を使わないため影響はありません。CVE-2014-0224による影響も限られています。何故なら、影響を受けるのはクライアントとサーバーが同時に脆弱である場合であるためです。PAN-OSはクライアントとしては影響を受けますが、サーバーとしては影響を受けません。結果、マン・イン・ザ・ミドル (MITM) 攻撃の影響を受ける可能性があるのは、脆弱性のあるOpenSSLバージョン(OpenSSL 1.0.1 and 1.0.2-beta1)を使っている外部のサーバーに弊社のソフトウェアが接続をしにいった際に作られるセッションのみに限られます。   お客様の設定によって、MITMに対して脆弱なサービスは様々です。例えば、脆弱なOpenSSLサーバーを動かしているプロキシをSSLを用いて使うファイアウォールのサービスであったり、脆弱なOpenSSLサーバーを動かしているsyslogサーバーへSSLでログ転送するサービスであったり、脆弱なOpenSSLサーバーを動かしているディレクトリ サーバーに接続に行くユーザーIDエージェントなどがあります。GlobalProtectポータルとゲートウェイは脆弱でないため、GlobalProtectは影響を受けません。   これに対応するため、Palo Alto Networksは、全てのサポート対象のバージョンのPAN-OS、ユーザーIDエージェント、GlobalProtectに対し、次に予定されているメンテナンス リリースにおいて弊社の製品で使われているOpenSSLソフトウェアにパッチを適用します。お客様は、自身が運用するサーバーにおいて脆弱性のあるOpenSSLのバージョン(1.0.1 and 1.0.2-beta1)を使わないようにすることで、上記に書かれた問題を回避することができます。不明な点がありましたら、Palo Alto Networks サポートチームにお問い合わせ下さい。    OpenSSL アドバイザリ: https://www.openssl.org/news/secadv_20140605.txt  (英文)   著者: gwesson
記事全体を表示
ymiyashita ‎07-11-2016 02:34 AM
3,101件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Transfer Licenses to a Spare Device https://live.paloaltonetworks.com/t5/Integration-Articles/How-to-Transfer-Licenses-to-a-Spare-Device/ta-p/58764     重要:ライセンスを転送する前に、RMAで交換されるデバイスの新しいシリアルナンバーが、お客様に登録されている必要があります。この登録により、新しいデバイスは"Spares"プール内に追加されます。   最新のPanoramaにつきまして、ライセンスの転送やMシリーズの交換を行う手順は以下をご覧ください。 How to Replace a Managed Device with a New Device on Panorama Migrate Logs to a New M-Series Appliance in Panorama Mode Migrate Logs to a New M-Series Appliance in Log Collector Mode  デバイスのライセンスをスペアに転送する方法: カスタマー サポート ポータル ( https://support.paloaltonetworks.com ) にログインします。 現在のアカウントがその資産を所有しているアカウントであることを確認します。 所有しているアカウントではない場合、"Change Account"リンクをクリックして、正しいアカウントを選択します。 "Assets"タブをクリックします。 "Spares"をクリックします。 "Register New Spare"をクリックし、新しいスペアのシリアルナンバーを登録します。 ライセンスを受け取るために、スペアのシリアルナンバーをクリックします。" DEVIDE INFORMATION"画面が表示されます。 "Transfer Licenses"ボタンをクリックします。 "TRANSFER LICENSE"画面にて、スペアに転送されるライセンスを持つデバイスを選択します。 "Submit"ボタンを押します。  ご自身のアカウント内に、不良品のシリアルナンバーが表示されていない場合、"Can't find defective device?"をクリックし、そのシリアルナンバーを入力します。 ライセンスを転送するために、上記の手順に沿って操作を行います。     ライセンスはスペア(交換機器)に転送されます。ご利用いただける準備ができますと、交換機器からライセンスを受け取ることになります(参照: How to Configure an RMA Replacement Firewall)。   注: ライセンスを転送する前に有効期間が切れた場合、交換機器においても有効期間が切れることになります。不良品については、転送前のライセンスの状況にかかわらず、転送日より30日間有効なライセンスが付与されます。以前に有効期間が切れていたライセンスは、不良品上での転送から30日間有効となります。     著:panagent
記事全体を表示
hshirai ‎07-10-2016 10:57 PM
2,973件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Block A Threat For a Specific Time Interval https://live.paloaltonetworks.com/t5/Threat-Articles/How-to-Block-A-Threat-For-a-Specific-Time-Interval/ta-p/58181     概要 本文書では、脅威を検知した際に、予め設定した一定時間その脅威をブロックする方法について説明します。   詳細 この制御は、アンチスパイウェアと脆弱性防御の両方において設定が可能です。   アンチスパイウェア Objects > セキュリティ プロファイル > アンチスパイウェア へ移動し、「追加」をクリックします。 アンチスパイウェア プロファイル > 例外 > 名前 の欄で、名前を入力します。 「すべてのシグネチャの表示」にチェックを入れ、該当の脅威 IDを入力し、「アクション」をクリックします。 「block-ip」を選択すると、時間を設定する項目が表示されます。時間は1秒から3600秒の間で設定が可能です。「追跡」では「IPソース」または「IPソース及び宛先」のどちらかを選択してください。 設定変更後のアクションは以下のように表示されます。 実際に攻撃が検知されるとセキュリティ ポリシーに割り当てた本プロファイルが適用されます。ソースIPと宛先IPアドレスがトラックされ、3600秒の間ブロックされ続けます。   脆弱性防御 Objects > セキュリティ プロファイル > 脆弱性防御 へ移動し「追加」をクリックします。 名前を設定し、「例外」タブへ移動します。 「すべてのシグネチャの表示」にチェックを入れ、該当の脅威 IDを入力します。 「block-ip」を選択すると、時間を設定する項目が表示されます。時間は1秒から3600秒の間で設定が可能です。「追跡」では「IPソース」または「IPソース及び宛先」のどちらかを選択してください。 設定変更後のアクションは以下のように表示されます。 実際に攻撃が検知されるとセキュリティ ポリシーに割り当てた本プロファイルが適用されます。ソースIPと宛先IPアドレスがトラックされ、3600秒の間ブロックされ続けます。   著者: dantony
記事全体を表示
ymiyashita ‎07-10-2016 10:46 PM
4,069件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to View Currently Installed SFP Modules https://live.paloaltonetworks.com/t5/Management-Articles/How-to-View-Currently-Installed-SFP-Modules/ta-p/60908   概要 SFPとは小型で、活線挿抜(ホットスワップ)可能なテレコム用途、データ通信用途双方で使用可能な光トランシーバーです。PA-2000シリーズ、PA-3000シリーズ、PA-4000シリーズ、PA-5000シリーズはSFPモジュールに対応しています。この文書は現在インストールしているSFPモジュールの確認方法について記載します。   詳細 PAN-OS 4.1.x やPAN-OS 5.0ではCLIから以下のコマンドを実行します。 >show system state filter sys.sX.pY.phy 例えばinterface1/21に実装している場合、 X=slot=1、Y=port=21と指定します。 通常のSFPモジュールの出力結果例 sys.s1.p21.phy: { 'link-partner': { }, 'media': SFP-Plus-Fiber, 'sfp': { 'connec tor': LC, 'encoding': Reserved, 'identifier': SFP, 'transceiver': , 'vendor-name ': FINISAR CORP.   , 'vendor-part-number': FTLX8571D3BCL   , 'vendor-part-rev': A   , }, 'type': Ethernet, }   故障したSFPモジュールの出力結果例 以下の例に似た出力の場合、該当のSFPモジュールは故障している可能性があります。 sys.s1.p21.phy: { 'link-partner': { }, 'media': SFP-Fiber, 'sfp': { 'connec tor': vendor specific, 'encoding': Reserved, 'identifier': SFP, 'transceiver': , 'vendor-name ': yyyyyyyyyyyyyyyy, 'vendor-part-number': yyyyyyyyyyyyyyyy , 'vendor-part-rev': yyyy, }, 'type': Ethernet, }   注:故障が疑われる出力結果例の場合、一度該当のSFPモジュールを抜き取り、異なるSFPポートに挿してみると良いでしょう。同じ show system state filter コマンドを再度実行してください。出力が同じなら該当のモジュールは故障していると考えられます。   著者:gcapuno
記事全体を表示
TShimizu ‎07-10-2016 10:45 PM
5,780件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Site-to-Site IPSec VPN Between Palo Alto Networks Firewall and Cisco Router using VTI Not Passing Traffic https://live.paloaltonetworks.com/t5/Configuration-Articles/Site-to-Site-IPSec-VPN-Between-Palo-Alto-Networks-Firewall-and/ta-p/62103   問題 パロアルトネットワークス ファイアウォールとCiscoルーターで仮想トンネル インターフェイス(VTI)を使用してサイト間VPNが設定されているとします。しかしIKEフェーズ2通信がパロアルトネットワークス ファイアウォールと Ciscoルーターで通りません。 まとめると、以下の状況でVPNはダウンしています。 トンネル インターフェイスがダウンしている。 IKEフェーズ1はアップしているが、IKEフェーズ2がダウンしている。   原因 PFSの不一致によりIKEフェーズ2が不一致となり、この問題が発生している可能性があります。   解決策 パロアルトネットワークス ファイアウォールとCiscoルーターが同じPFSの設定を持つように設定します。   パロアルトネットワークス ファイアウォール上では、[Network] >[IPSec 暗号]に移動します。トンネルに設定している[IPSec暗号プロファイル]を選び、DH グループの値がCiscoルーターと一致するか確認します。   Ciscoルーターではパロアルトネットワークス ファイアウォールと一致するようPFSを設定します。   以下はパロアルトネットワークス ファイアウォールのCLIで tail follow yes ikemgr.log コマンド を実行したときの出力です。 最初の赤線で囲った部分はPFSの不一致のメッセージとなります。二番目の赤線で囲った部分はPFSの不一致を修正したあとのメッセージとなります。   パロアルトネットワークス ファイアウォール上で show vpn flow tunnel-id <ID番号>  を実行すると、暗号化、復号化のパケットのカウントが増えていることを確認できます。   Ciscoルーターでは、 show crypto ipsec sa  と入力すると、暗号化、復号化のパケットが増加していることを確認できます。   著者:jlunario  
記事全体を表示
TShimizu ‎07-10-2016 10:44 PM
4,166件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Packets are Dropped Due to TCP Reassembly https://live.paloaltonetworks.com/t5/Management-Articles/Packets-are-Dropped-Due-to-TCP-Reassembly/ta-p/57139   事象 TCP Reassembly によりパケットがドロップされている。   原因 本事象は通常はネットワークに非対称ルーティングがある場合に発生します。例えば、SYN パケットが Palo Alto Networks ファイアウォールを通過したが SYN-ACK がファイアウォールを通過せず、ファイアウォールが ACK を受信した場合です。ファイアウォールは TCP Reassembly の失敗によりそのパケットをドロップします。   確認するためには、パケット キャプチャを実行し Global カウンタをチェックします。パケット キャプチャの詳細情報については、次のドキュメントを参照してください: Using Packet Filtering through GUI with PAN-OS 4.1   以下に示すように、カウンタでは、パケットが TCP Reassembly によりドロップされていることを確認します。キャプチャでは、SYN パケットと ACK パケットを受信しており、SYN ACK を受信していないことを確認します:   解決策 次のコマンドを使用して、グローバルに非対称ルーティングをバイパスするようファイアウォールを設定します。 > configure # set deviceconfig setting tcp asymmetric-path bypass # commit   この変更は次のコマンドを使用して元に戻すことができます: > configure # delete deviceconfig setting tcp asymmetric-path # commit   非対称トラフィックに関する現在のアクションをチェックするためには次のコマンドを使用します: > show running tcp state | match asymmetric session with asymmetric path            : drop packet   代替手段として、Zone Protection Profile を作成することにより、非対称ルーティングのバイパスを、特定の宛先 Zone へのトラフィックのみに制限することができます。 Network > Zone Protection Profile へ移動します。 新規に Profile を追加し、名前を付けます。 Packet Based Attack Protection タブへ移動し、プルダウン メニューから次を選択します: Reject Non-SYN TCP: No Asymmetric Path: Bypass 目的の宛先 Zone へ移動し、Zone Protection Profile を割り当てます。 変更をコミットします。 注: トラフィックが 2 つの Security Zone に及ぶ場合は、Zone Protection Profile は宛先 Zone に合わせます。非対称トラフィックの必要性に応じて、一方の Zone または両方の Zone に適用します。トラフィックの発生が一方向の場合は宛先 Zone にのみ適用し、両方向の場合は両方の Zone に適用します。   著者: ashaikh
記事全体を表示
kishikawa ‎07-10-2016 10:41 PM
6,419件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Using LDAP to Authenticate to the Web UI https://live.paloaltonetworks.com/t5/Configuration-Articles/Using-LDAP-to-Authenticate-to-the-Web-UI/ta-p/53445   概要 この記事には Web UI の認証のための LDAP の設定手順が記載されています。   手順 LDAP Server Profile を作成し、ファイアウォールが通信により LDAP ツリーにクエリを行うことができるようにします。 Device タブ (もしくは、Panorama 上の場合は Panorama タブ) > Server Profiles 配下の LDAP をクリック > Add をクリック。 ポートを 389 のままにしておく場合は必ず SSL のチェックを外します。LDAP サーバーが LDAP over SSL で動作するように設定されている場合は、チェックが入ったままにしサーバー ポートを 636 に変更します。 Domain – ファイアウォールがマルチ ドメイン環境に設置されていなければ、Domain フィールドはブランクのままにします。 Base – クエリが開始する LDAP ツリーのレベル。そのレベル以降のユーザーはすべて PAN によってアクセス可能となります。 Bind DN – LDAP ツリーにクエリを行う権限をもつユーザーへのパスです。 上記で新規に作成した LDAP Server Profile を使用して Authentication Profile を作成します。 Device タブ (もしくは、Panorama 上の場合は Panorama タブ) > Authentication Profile をクリック > Add をクリック。 Authentication は LDAP になります。前の手順で作成したサーバー プロファイルを選択し、Login Attribute は "sAMAccountName" とします。これには大文字・小文字の区別があります。 この例では、Allow List はすべてのユーザーを許可します。このリストは必要に応じて制限することができます。 Palo Alto Networks デバイス上で Administrator アカウントを作成します。 Device タブ (もしくは、Panorama 上の場合は Panorama タブ) > Administrators > Add をクリック。 Authentication Profile のドロップ ダウンから、前の手順で作成した LDAP Authentication Profile を選択します。 Administrator の名前が LDAP サーバーに存在するユーザー名と一致するようにします。 コミットします。 現在の Web UI セッションからログアウトし、作成した LDAP ツリーに存在する Administrator アカウントを使用してログインを試みます。   著者: jseals
記事全体を表示
kishikawa ‎07-10-2016 10:40 PM
3,054件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to View, Create and Delete Security Policies on the CLI https://live.paloaltonetworks.com/t5/Management-Articles/How-to-View-Create-and-Delete-Security-Policies-on-the-CLI/ta-p/52494   概要 この記事では CLI (コマンド ライン インターフェース) でのセキュリティ ポリシーの確認、追加、及び削除の方法を説明します。   詳細 CLI にて新しくセキュリティ ポリシーを追加するには、以下を実行します。 > configure (Enterを入力) # set rulebase security rules <name> from <source zone> to <destination zone> destination <ip> application <application> service <any/application-default/service name> action <allow/deny> (Enterを入力) # exit   例: # set rulebase security rules Generic-Security from Outside-L3 to Inside-L3 destination 63.63.63.63 application web-browsing service application-default action allow (Enterを入力) 注: "?" を入力すると、全ての CLI コマンドのヘルプが確認できます。また [タブ] キーを入力することで入力可能なコマンドのリストが確認できます。   CLI で Palo Alto Networks デバイスのセキュリティ ポリシーを確認するには、以下を実行します。 > show running security-policy   Rule       From         Source        To           Dest.           User                Proto Port Range Application  Action ---------- ------------ ------------- ------------ --------------- ------------------- ----- ---------- ------------ ------ Doms DLP   untrust-vwir 10.16.0.92    Untrust-vwir any             any                 any   any        any          allow            trust-vwire                trust-vwire rule4      untrust-vwir any          untrust-vwir  10.16.0.92      any                 any   any        any          allow            trust-vwire                trust-vwire rule3      trust-vwire  any          untrust-vwir  any             any                 any   any        any          allow   以下のコマンドを実行すると、全てのコンフィグレーションを表示します。 > show config running   出力フォーマットを設定するには、以下を入力します。 > set cli config-output-format set > configure Entering configuration mode [edit] # edit rulebase security [edit rulebase security] # show set rulebase security rules rashi from trust-vwire set rulebase security rules rashi from untrust-vwire set rulebase security rules rashi to trust-vwire set rulebase security rules rashi to untrust-vwire set rulebase security rules rashi source 10.16.0.21 set rulebase security rules rashi destination any set rulebase security rules rashi service any set rulebase security rules rashi application adobe-meeting-remote-control set rulebase security rules rashi application adobe-meeting set rulebase security rules rashi application adobe-online-office set rulebase security rules rashi action deny set rulebase security rules rashi source-user any set rulebase security rules rashi option disable-server-response-inspection no set rulebase security rules rashi negate-source no set rulebase security rules rashi negate-destination no set rulebase security rules rashi disabled yes set rulebase security rules rashi log-start no set rulebase security rules rashi log-end yes   出力方法を元に戻す場合、以下を実行します。         configure モードから: # run set cli config-output-format default [edit rulebase security] # show security {   rules {     rashi {       from [ trust-vwire untrust-vwire];       to [ trust-vwire untrust-vwire];       source 10.16.0.21;       destination any;       service any;       application [ adobe-meeting-remote-control adobe-meeting adobe-online-office];       action deny;       source-user any;       option {         disable-server-response-inspection no;       }       negate-source no;       negate-destination no;       disabled yes;       log-start no;       log-end yes;       profile-setting {         profiles {           file-blocking rashi_file_alert;           data-filtering rashi_dlp;         }   XML フォーマットでコンフィグレーションを確認するには、以下を実行します。 configure モードから: # run set cli config-output-format xml [edit rulebase security] # show <response status="success" code="19">   <result total-count="1" count="1">     <security>       <rules>         <entry name="rashi">           <from>             <member>trust-vwire</member>             <member>untrust-vwire</member>           </from>           <to>             <member>trust-vwire</member>             <member>untrust-vwire</member>           </to>           <source>             <member>10.16.0.21</member>           </source>           <destination>             <member>any</member>           </destination>           <service>             <member>any</member>           </service>           <application>             <member>adobe-meeting-remote-control</member>             <member>adobe-meeting</member>             <member>adobe-online-office</member>           </application>           <action>deny</action>           <source-user>             <member>any</member>           </source-user>           <option>             <disable-server-response-inspection>no</disable-server-response-inspection>           </option>           <negate-source>no</negate-source>           <negate-destination>no</negate-destination>           <disabled>yes</disabled>           <log-start>no</log-start>           <log-end>yes</log-end>           <profile-setting>             <profiles>               <file-blocking>                 <member>rashi_file_alert</member>               </file-blocking>               <data-filtering>   また、configure モードから以下の2つのコマンドを実行することで、セキュリティ ポリシーをより短い方法で確認及び削除することができます。 ルールを見つけるには: show rulebase security rules <rulename>   ルールを削除するには: delete rulebase security rules <rulename>   参照 Command Line Interface Reference Guide Release 6.1 Command Line Interface Reference Guide Release 6.0 Command Line Interface Reference Guide Release 5.0   著者: panagent
記事全体を表示
hfukasawa ‎07-10-2016 05:15 PM
23,342件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Packet Capture, Debug Flow-basic and Counter Commands https://live.paloaltonetworks.com/t5/Management-Articles/Packet-Capture-Debug-Flow-basic-and-Counter-Commands/ta-p/66224   始める前に:   下記コマンドを使用して設定されているフィルタを確認します。必要であれば、後で復旧できるように、フィルタをメモしておきます。 > debug dataplane packet-diag show setting すべての Packet Capture 設定をクリアします: > debug dataplane packet-diag clear all debug ログをクリアします: debug dataplane packet-diag clear log log • 以前にマークされたすべてのセッションをクリアします: > debug dataplane packet-diag clear filter-marked-session all • オフロードされるセッションのすべてのパケットをキャプチャするために、オフロードを一時的に無効にする必要がある場合もあります。 重要! オフロードを無効にする前に次のドキュメントを見直してください: Disabling Session Offload to Record Traffic During   Packet Capture 従来の PCAP: キャプチャするトラフィックの種類を制御するためにフィルタを設定します: > debug dataplane packet-diag set filter match <条件> > debug dataplane packet-diag set filter on • Packet Capture を有効にします: > debug dataplane packet-diag set capture stage receive file rx.pcap > debug dataplane packet-diag set capture stage transmit file tx.pcap > debug dataplane packet-diag set capture stage drop file dp.pcap > debug dataplane packet-diag set capture stage firewall file fw.pcap > debug dataplane packet-diag set capture on Packet Capture を参照します: > view-pcap filter-pcap rx.pcap   • PCAP 形式で Packet Capture をエクスポートします (SCP または TFTP): > scp export filter-pcap from fw.pcap to username@host:path > tftp export filter-pcap from fw.pcap to <TFTP ホスト>   • PCAP ファイルを削除します: > delete debug-filter file <ファイル名> Application Dump PCAP: • 該当アプリケーションの Application Dump を有効にします: > set application dump on application bittorent <他の条件>   Packet Capture を参照します: > view-pcap application-pcap fw.pcap (もしくは、GUI の Monitor タブを使用)  PCAP 形式で Packet Capture をエクスポートします (SCP または TFTP): > scp export application-pcap from fw.pcap to username@host:path > tftp export application-pcap from fw.pcap to <TFTP ホスト> Debug PCAP (IKE、DHCP、RPD) Packet Capture のデバッグを有効にします: > debug ike pcap on debug dhcp pcap on (など...) Packet Capture を参照します: > view-pcap debug-pcap fw.pcap PCAP 形式で Packet Capture をエクスポートします (SCP または TFTP): > scp export debug-pcap from fw.pcap to username@host:path > tftp export debug-pcap from fw.pcap to <TFTP ホスト>   Debug Flow Basic 重要: この操作は CPU 使用率を上げるので、常にフィルタを使用してください。 • フィルタを設定し、ログされるトラフィックの種類を制御します: > debug dataplane packet-diag set filter match <条件> > debug dataplane packet-diag set filter on debug ロギングを有効にします: > debug dataplane packet-diag set log feature flow basic > debug dataplane packet-diag set log on トラフィックをキャプチャし、その後直ちにロギングを無効にします: > debug dataplane packet-diag set log off debug  ログ を参照します: > debug dataplane packet-diag aggregate-logs (PAN-OS 5.0 以降のみ、ログ無効後 10-15 秒待ちます) > less dp-log pan_packet_diag.log   注: PA-5000 シリーズについては、dp-log の代わりに dp0-log、dp1-log または dp2-log を使用。PA-200 については、mp-log を使用。   Drop カウンタの表示: • フィルタを設定し、カウントされるトラフィックの種類を制御します: > debug dataplane packet-diag set filter on > debug dataplane packet-diag set filter match <条件> Drop カウンタを表示します (絶対値もしくは最後のコマンド実行からの相対値): > show counter global filter packet-filter yes | match drop > show counter global filter severity drop packet-filter yes delta yes 著者: vcappuccio
記事全体を表示
kishikawa ‎07-09-2016 12:46 AM
7,388件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure Group Mapping Settings https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-Group-Mapping-Settings/ta-p/57258   概要 Palo Alto Networks のファイアウォールは、Active Directory や eDirectory などの LDAP サーバーからユーザーとグループのマッピング情報を取得することが出来ます。マッピング データはファイアウォール(PAN-OS 5.0 から機能が追加されたエージェントレスの User-ID 経由)、あるいはファイアウォールのプロキシとして設定された User-ID Agent からのLDAP クエリによっても取得できます。このドキュメントでは、Palo Alto Networks のファイアウォールでのグループ マッピング設定方法を説明します。   手順 LDAP サーバー プロファイルを設定します。手順はこちらを参照してください。 How to Configure LDAP Server Profile Device > ユーザーID > グループ マッピング設定タブにて「追加」をクリックし、新しくグループ マッピング エントリを作成し、LDAP ディレクトリからどのようにグループとユーザを取得するか設定します。以下のスクリーンショットを参照してください。 名前を入力します。マルチ Virtual System を利用している場合、ドロップダウン リストの選択フォームが表示されます。 サーバー プロファイル タブのドロップダウン リストで、1. で作成した LDAP サーバー プロファイルを選択します。 注:すべての属性とオブジェクト クラスは、LDAP サーバー プロファイルで選択したディレクトリ タイプに基づいて値が入力されます。 デフォルトのユーザー グループのアップデート間隔は 3600 秒(1時間)です。変更する場合はアップデート間隔の値を入力してください。 許可リストのグループ化タブをクリックします。すべてのグループを取得する場合、「含まれたグループ」は空欄のままにしてください。選択したグループのみ取得する場合は、左側の欄からグループを選択します。 取得したグループ、LDAPサーバーとの接続をチェックするには以下のCLIコマンドを実行します。 > show user group-mapping state all > show user group list > show user group name <group name>   著者: apasupulati  
記事全体を表示
hfukasawa ‎07-09-2016 12:34 AM
3,857件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Forward Threat Logs to Syslog Server https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Forward-Threat-Logs-to-Syslog-Server/ta-p/59980   Threat ログを Syslog サーバーに転送するには、3 つの手順が必要です。 Syslog サーバー プロファイルを作成する Syslog サーバーへ転送される Threat ログを選択するためのログ転送プロファイルを作成 セキュリティ ルールでログ転送プロファイルを使用する 変更を Commit する     注: Informational の Threat ログには、URL、Data Filtering 及び WildFire ログが含まれます。   Syslog サーバー プロファイル Device > サーバー プロファイル > Syslog へ移動します。 名前 : Syslog サーバーの名前を指定します。 サーバー : ログが転送されるサーバーの IP アドレスを指定します。 ポート : デフォルトのポート番号は 514 です。 ファシリティ : 要件に応じてドロップ ダウンから選択します。 ログ転送プロファイル Objects > ログ転送に移動します。 Threat ログを転送するサーバーが設定された Syslog サーバー プロファイルを選択します。   一度設定すると、ログ転送は以下のように表示されます。     セキュリティ ルール Policies > セキュリティに移動します。 ログ転送が必要なルールを選択し、セキュリティ プロファイルをルールに適用します。 アクション > ログ転送に移動し、ログ転送プロファイルをドロップダウン リストから選択します。   変更を Commit します。    著者: ppatel  
記事全体を表示
hfukasawa ‎07-09-2016 12:24 AM
9,736件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Allow Ping and ICMP on Layer 3 Interface of Your Palo Alto Networks Device https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Allow-Ping-and-ICMP-on-Layer-3-Interface-of-Your-Palo/ta-p/58932   概要 Ping やその他の管理トラフィックを許可するには、インターフェース管理プロファイルを設定し、それをインターフェースに適用します。 手順 ネットワーク > ネットワークプロファイル > インターフェース管理に移動します。 ping を許可するプロファイルを作成します。 ネットワーク > インターフェースに移動し、詳細タブにて上記で作成したプロファイルをインターフェースに適用します。 変更を Commit します。 CLI では、以下を実行します。 > configure # set network profiles interface-management-profile mgmt ping yes # set network interface ethernet ethernet1/3 layer3 interface-management-profile mgmt 著者: panagent
記事全体を表示
hfukasawa ‎07-09-2016 12:14 AM
6,397件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です CLI Commands to Export/Import Configuration and Log Files https://live.paloaltonetworks.com/t5/Management-Articles/CLI-Commands-to-Export-Import-Configuration-and-Log-Files/ta-p/52661   詳細 以下の 4 つのコマンドを使って、複数のログとコンフィグ ファイルをエクスポート及びインポートすることができます。administrator であること以外は、このコマンドを実行するのに特別な権限は必要ありません。SCPオプションは、LinuxまたはUnixサーバーに対してのみ使用できます。 注:PAN-OS 7.0 でのインポート、エクスポート手順については以下の PAN-OS CLI Quick Start を参照してください。 Use Secure Copy to Import and Export Files   > scp export log data      data threat    threat traffic   traffic url       url   > scp export log-file control-plane      Use scp to export control-plane log-file data-plane0        Use scp to export data-plane0 log-file data-plane1        Use scp to export data-plane1 log-file data-plane2        Use scp to export data-plane2 log-file management-plane   Use scp to export management-plane log-file   > tftp export log-file control-plane      Use scp to export control-plane log-file data-plane0        Use scp to export data-plane0 log-file data-plane1        Use scp to export data-plane1 log-file data-plane2        Use scp to export data-plane2 log-file management-plane   Use scp to export management-plane log-file   以下の4つのコマンドを実行するには、「ダイナミック」のロールを設定したSuperuser、Superuser(読み取り専用)、CLI の superuser、superreader のいずれかの管理者ロール権限が必要です。 > scp export configuration remote-port   SSH port number on remote host source-ip     Set source address to specified interface address from          from to            Destination (username@host:path)   >  tftp export configuration remote-port   SSH port number on remote host source-ip     Set source address to specified interface address from          from to            Destination (username@host:path)   > scp import configuration remote-port   SSH port number on remote host source-ip     Set source address to specified interface address from          Source (username@host:path)   > tftp import configuration remote-port   SSH port number on remote host source-ip     Set source address to specified interface address from          Source (username@host:path) 以下の "scp import logdb" 及び "scp export logdb" コマンドは、PA-7000シリーズを除くPalo Alto Networks ファイアウォール、及び PAN-OS 5.1 以上のPanorama VM でのみ実行可能です。 > scp import logdb remote-port   SSH port number on remote host source-ip     Set source address to specified interface address from          Source (username@host:path)   > scp export logdb remote-port   SSH port number on remote host source-ip     Set source address to specified interface address to            Destination (username@host:path_to_destination_filename) 著者: panagent  
記事全体を表示
hfukasawa ‎07-08-2016 11:56 PM
9,969件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です How to Implement Certificates Issued from Microsoft Certificate Services https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Implement-Certificates-Issued-from-Microsoft-Certificate/ta-p/56757     概要 Microsoft Certification Authorityを使用すると、ユーザーはSSL復号化 (フォワード プロキシ)、GlobalProtectといった各種機能のシームレスなの展開が可能となります(ルート証明書がすべてのクライアントにプッシュされることを想定)。Microsoft Certification Authorityによって、管理用のweb UIアクセス時の証明書関連エラーも発生しなくなります。   Windows Server 2008 Enterpriseで Microsoft Certification Authorityを認証局としたルート証明書のバックアップ/エクスポート、ないしは下位認証局の証明書作成/エクスポートに使用します。これによりルート証明書が保全された上で下位にていつでも証明書の廃止ができ、またこれらはクライアントからは完全に透過的な実施となります。下位認証局は Microsoft Certificate Serviceのweb UIから‘Advanced Certificate Request’を使用して、その認証局が下位認証局テンプレートもつことで作成できます。   certificate services のwebページが機能しない場合、ドメイン コントローラーのコマンド ラインから下記のコマンドで証明書を生成してください。 C:\> certreq.exe -submit -attrib "CertificateTemplate:SubCA" <CSR file>   下位認証局を Microsoft Certificate Serviceにて作成できない場合、SSL復号化用の証明書を取り急ぎ署名する目的で、ルート証明書(秘密鍵有り)をエクスポートし、パロアルトネットワークス ファイアウォールにインポートすることができます。 重要! このワークアラウンドは十分な注意の上で適用してください。下位の認証局証明書の発行が行われたら、ルート証明書は即座にパロアルトネットワークス ファイアウォールから削除することを強く推奨します。    手順 ルート証明書をCAからバックアップ/エクスポートするために、 Certification Authorityスナップインを起動し、export wizardに従って操作します。 Certification Authorityスナップインを起動し、認証局上で右クリックします。下記の図の通りに表示のメニューから"All Tasks" そして "Back up CA…"を選択します。 Nextを選択して Backup Wizardを継続します。 "Private key and CA certificate"のチェックボックスを選択します。秘密鍵(Private key)なしでは認証局として署名をすることができなくなり、SSL復号化/フォワード プロキシの今回の要件を満たさなくなります。 パスワードを入力して安全な場所に保存します。パスワードはインポート時に必要になります。 Finishをクリックして backup/export 作業を終了します。証明書/秘密鍵は'.p12フォーマット'で保存されます。   回避策(workaround) Microsoft Certificate Authorityによるルート証明書で下位認証局証明書を作成するために、一時的にルート証明書を認証局からパロアルトネットワークス ファイアウォールにインポートします。そして新しい下位認証局証明書をルート証明書を用いて作成/署名します。この例ではMicrosoftルート認証局である'InternalCA'が、下位認証局証明書'SubordinateCA'を認証局として作成しています。 重要! 下位認証局証明書を発行し次第、ルート証明書は削除してください。 これによりルート認証局証明書(下位認証局証明書の作成後に削除する)を介さず、パロアルトネットワークス ファイアウォールによる組織内への下位認証局証明書の配布が可能となります。クライアントのシステムにルート証明書がインストールされていると(通常AD/GPO、スクリプトなどにより展開される)、下位証明書はルートにより署名されているため、デフォルトで信頼されます。以下の例はSSL復号化での完全/有効な証明書チェーンを示しています。証明書は下位認証局証明書により作成されたうえ、ルートで検証されています。 ルート証明書が認証局としてインポートしたり、下位証明書が認証局としてインポート/作成されたりすることによって、(以前はユーザーにより展開されていた)SSL復号化の展開の他にも、GPのサーバー用に署名された証明書や安全なWebUIへの管理者アクセス、クライアント証明書なども同様のメリットを享受できます。   著者:bryan
記事全体を表示
TShimizu ‎07-07-2016 02:18 AM
2,606件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure a Palo Alto Networks Device for Tap Mode Operation https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-a-Palo-Alto-Networks-Device-for-Tap-Mode/ta-p/59438     [Network] タブ > [ゾーン] に移動します。タイプがタップの新しいゾーンを作成し、名前をつけます(例:tapzone、intranetzone、など)。     [Network] タブ > [インターフェイス] に移動します。該当のインターフェイスのタイプをタップに編集します。それから前述の手順1で設定したゾーンを割り当てます(下記の図ではethernet1/1を使用しています)。       [Policies] > [セキュリティ] に移動します。ルールを作成し、手順1で作成したゾーンを送信元ゾーンと宛先ゾーンとしたルールを作成します。  例: 名前 = TAP_Allow 送信元ゾーン = Tap_Zone 宛先ゾーン = Tap_Zone ルール: any any any any any アクション = 許可 任意で脅威プロファイル(アンチウイルス、スパイウェアなど)を作成し、作成したルールに割り当てます。   著者: jnguyen
記事全体を表示
TShimizu ‎07-07-2016 01:57 AM
5,299件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Blocking Suspicious DNS Queries with DNS Proxy Enabled https://live.paloaltonetworks.com/t5/Management-Articles/Blocking-Suspicious-DNS-Queries-with-DNS-Proxy-Enabled/ta-p/66037   問題   パロアルトネットワークス ファイアウォール上にて、DNSプロキシを有効にした状態でアンチスパイウェアを有効にすると、設定が適切でないと、DNS要求がネットワーク全域で止められてしまう状況に陥ることがあります。これはパロアルトネットワークスの機器によるDNSリクエストと、疑わしいDNSクエリのブロック(アンチスパイウェアにより有効化)の取り扱いの仕方により発生します。 この文書はその発生の理由と解消方法について記載します。   原因 この問題は、パロアルトネットワークス ファイアウォールが外部DNSサーバー向けのセッションのみブロックしようとすることにより発生します。疑わしいDNSクエリを止めるためにアンチスパイウェア プロファイル(デフォルトの'strict'プロファイルも該当)を設定すると、ファイアウォールは悪意あるとみられるDNSのセッションをDISCARD(破棄)状態とします。これは該当するデバイスからのすべてのDNSトラフィックを、その悪意あるとみられるDNSのセッション開始からセッション タイムアウトまたはマニュアルでセッションをクリアするまで、ブロックし続けることを意味します。ユーザーが信頼された(内部)ゾーンから信頼されない(外部)ゾーンへのDNSクエリをブロックするアンチスパイウェア プロファイル設定を適用すると、望ましいDNSクエリもブロックされます(Diagram 1.0参照)。以下の図は前述のようなセキュリティ ポリシーが設定されている場合のパケット フローを説明するものです (Diagram 1.1参照) 。これは疑わしいDNSクエリが検知されると、望ましいものがあったとしても、すべてのパロアルトネットワークス ファイアウォールからDNSサーバーへのDNSクエリが拒否される原因となります。       解決策 以下に図示する2つのポリシーを設定してください。 (Diagram 2.0参照)。  最初のポリシーはユーザのファイアウォールからインターネットへのDNSクエリを許可するものです。これはネットワーク全域ですべてのDNSクエリをブロックしてしまうDISCARD(破棄)セッションの形成を防ぎます。二番目のポリシーはクライアントからファイアウォールに向かうトラフィックに対してのアンチスパイウェアを実行するためのものです。これは限定したクライアントからの疑わしいDNSクエリをブロックし、ネットワーク全域でのDNSクエリはブロックしません。     参考 How to Configure DNS Proxy on a Palo Alto Networks Firewall   著者:jwebb
記事全体を表示
TShimizu ‎07-06-2016 02:14 AM
5,815件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Troubleshooting RADIUS Authentication https://live.paloaltonetworks.com/t5/Management-Articles/Troubleshooting-RADIUS-Authentication/ta-p/59200   訳注:本文書にはPAN-OS 4.1以前の情報を元にした、2016年7月現在サポートされるPAN-OSでは該当しない記述が含まれます。     グループのメンバーシップが正しいことを確かめます。 [Monitor]タブ > [ログ] > [システム] “user is not in allow list”がないか探してください。   これは該当のユーザーが選択されている認証プロファイルのグループにいないことを意味します。   CLIからは以下のコマンドで確認できます(訳注:現在サポートされるPAN-OSにはこのコマンドはありません)。 > show user pan-agent user-IDs   該当のユーザ名を"/"に次いでタイプしてサーチし、パロアルトネットワークスのデバイス上で、そのユーザーをどのグループに関連付けているか確認します。   上記のエラーに該当しない場合は、RADIUSサーバー側の可能性が考えられます。   よくあるサーバー関連の問題としては以下が有ります。 誤ったIPアドレスがRADIUSサーバーの設定に入力されている。 共有暗号鍵 (Shared Secret) のミスタイプ。シークレット フィールドにパスワードを貼付けしないでください。 誤ったIPアドレスがRADIUSサーバーのクライアント設定に入力されている。 RADIUSサーバーのポリシーが以下で不正となっている。 誤ったWindowsのグループ NAS-IP アドレス PAP   RADIUSサーバーのイベントは  [Event Viewer] > [System]ログ > IASで確認ができます。   Windows 2008 のEvert Viewerの Systemログ、 IAS表示例   誤ったIPアドレスがRADIUSサーバーの設定で使用されていた場合、以下のシステム ログの出力が確認できます。   CLIで以下のコマンドで"authd.log"(認証関連のログ)を確認できます。 > less mp-log authd.log   共有暗号鍵 (Shared Secret) が間違っている場合、同様のエラーがauthd.logに表示されます。RADIUSサーバー側でもエラーが確認でき、RADIUS server 2003では以下の様にEvent Viewerで表示されます。 誤ったIPアドレスがRADIUSサーバーのクライアント設定で使用されている場合、以下のエラーメッセージがEvent Viewerで確認できます。   不正なポリシーがRADIUSサーバーで設定されている場合、ファイアウォールではシステム ログのエントリーは先の事例と同様になりますが、authd.logの表示は異なったものとなります。    誤ったWindowsグループ、誤ったNAS-IPアドレス、あるいはPAP認証が設定されていない場合、RADIUSサーバー上のEvent Viewerでは以下のエラーが表示されます。   RADIUS認証が成功した場合   > [Monitor]タブ > [ログ] > [システム]   > less mp-log authd.log   著者:bnitz
記事全体を表示
TShimizu ‎07-06-2016 12:36 AM
4,585件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Perform a Graceful Shutdown https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Perform-a-Graceful-Shutdown/ta-p/59414   PAN-OS 5.0から、装置のグレースフル シャットダウンがサポートされています。グレースフル シャットダウンの実行の際は、デバイスは以下のタスクを実行します。   すべてのログイン セッションのログオフ インターフェイスの無効化 すべてのシステムのプロセスの停止 既存のセッションのクローズとログアウト シャットダウンを実行した管理者名のシステム ログへの記録。このエントリーがログに書き込めない場合、警告が表示されシャットダウンは行われません ディスク ドライブのアンマウントとデバイスの電源断   注:保存されていない、またはコミットされていない設定は失われます。   グレースフル シャットダウンの実行には、以下の二つの方法があります。 GUI: 「Device」 タブ > 「セットアップ」 リンク > 「操作」 タブ とクリックしていきます 「デバイスの操作」の「 デバイスのシャットダウン」 をクリック 確認画面上が表示されるので「はい」をクリック シャットダウンの進行が完了するまで、数分待ちます。 CLI: request shutdown system コマンドを実行します。 出力例 > request shutdown system Warning: executing this command will leave the system in a shutdown state. Power must be removed and reapplied for the system to restart. Do you want to continue? (y or n) System Halted が画面上に表示されるまで待ちます。   電源を抜きます。起動するためには電源を接続しなおします。   著者:nayubi
記事全体を表示
TShimizu ‎07-06-2016 12:16 AM
5,676件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Troubleshoot Using Counters via the CLI https://live.paloaltonetworks.com/t5/Learning-Articles/How-to-Troubleshoot-Using-Counters-via-the-CLI/ta-p/57496   カウンターはパロアルトネットワークス ファイアウォールにおいて、プロセス群、パケット フロー、そしてセッション管理における大変有用な指標です。トラブルシューティングの際は様々な状況で大変強力なツールとなります。   パケット ドロップのトラブルシューティング 以下はパケット ドロップが疑われる状況で有効なコマンドです。パケット ドロップの理由は問題原因の絞込の一助となります。   > show counter global filter severity drop Global counters: Elapsed time since last sampling: 34.999 seconds   name                                   value     rate severity  category  aspect    description -------------------------------------------------------------------------------- flow_rcv_err                              98        0 drop      flow      parse     Packets dropped: flow stage receive error flow_rcv_dot1q_tag_err                     1        0 drop      flow      parse     Packets dropped: 802.1q tag not configured flow_no_interface                        263        0 drop      flow      parse     Packets dropped: invalid interface flow_ipv6_disabled                     30622        0 drop      flow      parse     Packets dropped: IPv6 disabled on interface flow_policy_nat_land                    6732        0 drop      flow      session   Session setup: source NAT IP allocation result in LAND attack flow_fwd_l3_mcast_drop                  2756        0 drop      flow      forward   Packets dropped: no route for IP multicast flow_fwd_l3_ttl_zero                       4        0 drop      flow      forward   Packets dropped: IP TTL reaches zero flow_fwd_l3_noroute                        5        0 drop      flow      forward   Packets dropped: no route flow_fwd_l3_noarp                          1        0 drop      flow      forward   Packets dropped: no ARP flow_action_reset                          1        0 drop      flow      pktproc   TCP clients reset via responding RST flow_arp_rcv_err                         162        0 drop      flow      arp       ARP receive error flow_host_decap_err                      412        0 drop      flow      mgmt      Packets dropped: encapsulation error to control plane flow_host_service_deny                153865        0 drop      flow      mgmt      Device management session denied flow_host_service_unknown               2762        0 drop      flow      mgmt      Session discarded: unknown application to control plane flow_tunnel_encap_err                     33        0 drop      flow      tunnel    Packet dropped: tunnel encapsulation error appid_lookup_invalid_flow                  1        0 drop      appid     pktproc   Packets dropped: invalid session state proxy_offload_check_err                 1030        0 drop      proxy     pktproc   The number offload proxy setup check failed because of not SYN or no certificate url_request_pkt_drop                     204        0 drop      url       pktproc   The number of packets get dropped because of waiting for url category request -------------------------------------------------------------------------------- Total counters shown: 18 --------------------------------------------------------------------------------   上記のコマンドは差分(Delta)オプションとともに使用できます。前回のコマンド実行時からの差分のみ確認することができます。 > show counter global filter delta yes severity drop   Global counters: Elapsed time since last sampling: 55.446 seconds name                                   value     rate severity  category  aspect    description -------------------------------------------------------------------------------- flow_ipv6_disabled                         3        0 drop      flow      parse     Packets dropped: IPv6 disabled on interface flow_fwd_l3_mcast_drop                     2        0 drop      flow      forward   Packets dropped: no route for IP multicast flow_host_service_deny                    26        0 drop      flow      mgmt      Device management session denied flow_host_service_unknown                  2        0 drop      flow      mgmt      Session discarded: unknown application to control plane -------------------------------------------------------------------------------- Total counters shown: 4 --------------------------------------------------------------------------------   severity dropの他にも、状況に応じた様々なseverity(重大度)が定義されています。例として error、informational、そしてwarningがあります。     マネジメント サーバー統計情報に関するトラブルシューティング カウンターはマネジメント サーバー統計情報も確認することができます(内部のログの追記に伴い、各マネジメント サーバー関連プロセスに関連付けられたカウンターが変化します)。   RMAによる交換対応の必要性が疑われるような状況で、下記のコマンドは有効です。   > show counter management-server Log action not taken            :          0 Logs dropped because not logging:          0 User information from AD read   :          2 Certificates information read   :          0 License information fetched from update server:          0 Sighash refcount                :          1 Tunnelhash refcount             :          1 URLcat refcount                 :          1 ip2loc refcount                 :          1   管理用インターフェイスの統計 管理用インターフェイスもまた統計情報を持ち、接続性の問題の確認に有効な情報です。   > show counter interface management Interface: Management Interface ------------------------------------------------------------------------------- Logical interface counters: ------------------------------------------------------------------------------- bytes received                    505700037 bytes transmitted                 295080711 packets received                  772181 packets transmitted               874087 receive errors                    0 transmit errors                   0 receive packets dropped           0 transmit packets dropped          0 multicast packets received        0 -------------------------------------------------------------------------------   データプレーン インターフェイス統計情報 show counter interfaceコマンドは各ポートの統計情報を表示します。    > show counter interface tunnel.51 Interface: tunnel.51 -------------------------------------------------------------------------------- Logical interface counters read from CPU: -------------------------------------------------------------------------------- bytes received                           0 bytes transmitted                        0 packets received                         0 packets transmitted                      0 receive errors                           0 packets dropped                          0 packets dropped by flow state check      0 forwarding errors                        0 no route                                 0 arp not found                            0 neighbor not found                       0 neighbor info pending                    0 mac not found                            0 packets routed to different zone         0 land attacks                             0 ping-of-death attacks                    0 teardrop attacks                         0 ip spoof attacks                         0 mac spoof attacks                        0 ICMP fragment                            0 layer2 encapsulated packets              0 layer2 decapsulated packets              0 --------------------------------------------------------------------------------   レイヤー2接続性のトラブルシューティング レイヤー2のトラブルシューティングはARPエントリーの異常として現れます。以下のコマンドにてグローバル カウンターのarp 関連項目を確認することができます。 > show counter global filter aspect arp   Global counters: Elapsed time since last sampling: 8.330 seconds   name                                   value     rate severity  category  aspect    description -------------------------------------------------------------------------------- flow_arp_pkt_rcv                       42685        0 info      flow      arp       ARP packets received flow_arp_pkt_xmt                        1875        0 info      flow      arp       ARP packets transmitted flow_arp_pkt_replied                    6995        0 info      flow      arp       ARP requests replied flow_arp_pkt_learned                      17        0 info      flow      arp       ARP entry learned flow_arp_rcv_gratuitous                  494        0 info      flow      arp       Gratuitous ARP packets received flow_arp_rcv_err                         162        0 drop      flow      arp       ARP receive error flow_arp_resolve_xmt                    1843        0 info      flow      arp       ARP resolution packets transmitted -------------------------------------------------------------------------------- Total counters shown: 7     他の有用な統計情報 トラブルシューティングにおいて様々なカウンターを使用できます。以下はその例です。   anatrajan@PAN_WICH_52> show counter global name   aho_alloc_lookup_failed              warn      failed to alloc regex lookup   aho_fpga                             info      The total requests to FPGA for AHO   aho_fpga_invalid_wqe                 error     when getting result from fpga, wqe index was not valid   aho_fpga_ret_error                   error     Dropped results from FPGA caused by unexecpted type   aho_fpga_ret_invalid_fid             error     Dropped results from FPGA caused by invalid flow id   aho_fpga_ret_length_error            error     Dropped results from FPGA caused by short length   aho_fpga_ret_multi_bufs              info      Aho fpga result with multiple buffers   aho_fpga_ret_offset_error            error     Dropped results from FPGA caused by invalid offset   aho_fpga_ret_wrong_size              error     Dropped results from FPGA caused by wrong packet size   aho_fpga_state_verify_failed         info      when getting result from fpga, session's state was changed   aho_fpga_unmatched_type              error     when getting result from fpga, type in session was not matched   aho_fpga_unmatched_wqe               warn      when getting result from fpga, wqe was not matched in session   aho_match_overflow                   info      number of aho matches overflow   aho_sw                               info      The total usage of software for AHO   aho_sw_fpga_fail                     warn      Usage of software AHO caused by failure for sending fpga request   aho_sw_fpga_full                     info      Usage of software AHO caused by fpga requests threshold   aho_sw_fpga_unavailable              warn      Usage of software AHO caused by fpga unavailable   aho_too_many_matches                 info      too many signature matches within one packet   aho_too_many_mid_res                 info      too many signature middle results within one packet   appid_dfa_invalid_result             error     The invalid dfa result for appid   appid_exceed_pkt_limit               warn      App. identification failed caused by limitation of total queued packe   appid_exceed_queue_limit             warn      App. identification failed caused by limitation of session queued pac   appid_exceed_queue_limit_post        warn      App. identification failed caused by limitation of session queued pac   appid_fini_with_wqe_2_fpga           info      session ends with wqe in fpga   appid_flow_state_fail                info      The session's state was changed   appid_ident_by_cache                 info      Application identified by cache   appid_ident_by_dport                 info      Application identified by L4 dport   appid_ident_by_dport_first           info      Application identified by L4 dport first   appid_ident_by_heuristics            info      Application identified by heuristics   appid_ident_by_icmp                  info      Application identified by icmp type   appid_ident_by_ip                    info      Application identified by ip protocol   appid_ident_by_sport                 info      Application identified by L4 sport   appid_ident_by_sport_first           info      Application identified by L4 sport first   appid_ident_by_supernode             info      Application identified by supernode   appid_lookup_invalid_flow            drop      Packets dropped: invalid session state   appid_match_overflow                 info      The dfa matches overflow   appid_no_policy                      error     App. identification failed because of no policy   appid_override                       info      Application identified by override rule   appid_proc                           info      The number of packets processed by Application identification   appid_reset_sess_tcp_reass           error     reset sess failed at tcp reassembly   appid_result_id_changed              info      The session's appid status was changed   appid_result_no_policy               info      The session's policy was changed during appid proc   appid_skip_terminal                  info      The dfa result is terminal   appid_ssl_no_cert_no_reset           info      ssl sessions with unknown server certificate but no previous reset   appid_stop_by_ager                   info      Application identification terminated by session ager   appid_stop_by_ager_nopkts            info      Ager can't stop appid because no packets were queued   appid_unknown_by_stop                info      The number of unknown applications because of being stopped   著者: anatrajan
記事全体を表示
TShimizu ‎07-05-2016 08:06 PM
5,818件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to SSH into Maintenance Mode https://live.paloaltonetworks.com/t5/Management-Articles/How-to-SSH-into-Maintenance-Mode/ta-p/59635   概要 パロアルトネットワークスの機器はメンテナンス モードで起動が必要な場合があります。しかしコンソール ケーブルが接続できない状況も考えられます。この文書は パロアルトネットワークスの機器がメンテナンス モードで起動中にSSH接続する方法を記載します。   手順 再起動を実施するに先立ち、 show system infoコマンドを実行しておき、管理用IPアドレスと機器のシリアル番号を控えておきます(大文字小文字の区別が有ります)。 メンテナンス モードで再起動するために、 debug system maintenance-mode を実施します。 新しいterminal window (MACの場合)、ないしは他のSSHクライアント(例:putty)などを実行し管理用IPアドレスに接続します。ユーザー名とパスワードには下記の情報を使用します。 ユーザー: maint パスワード: 機器のシリアル番号 メンテナンス モードでSSH接続が完了した場合の画面は下記のようになります。   著者: rvanderveken
記事全体を表示
TShimizu ‎07-05-2016 07:59 PM
2,776件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Set Session, TCP, and UDP Timeout Values https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Set-Session-TCP-and-UDP-Timeout-Values/ta-p/53385     概要 この文書はTCP、UDPのセッション タイムアウト設定値について、PAN-OSのweb UIとCLIでの変更、確認方法を記載します。   詳細 セッション タイムアウト設定方法: web UIから、Device >セットアップ > セッション > セッション タイムアウト PAN-OS 5.0, 6.0 PAN-OS 6.1 CLIから、以下のコマンドにて変更可能。この変更は一時的なもので再起動によりクリアされます。     > set session timeout-udp <1-15999999>     > set session timeout-tcp <1-15999999>   再起動後も継続する恒久的な変更をCLIから行うには、コンフィグレーション モードで以下のコマンドで設定します。 デフォルトのセッション タイムアウト設定の変更 # set deviceconfig setting session timeout-default   <value>  <1-15999999> set session default timeout value in seconds   TCPのセッション タイムアウト設定の変更 # set deviceconfig setting session timeout-udp   <value>  <1-15999999> set udp timeout value in seconds   UDPのセッション タイムアウト設定の変更 # set deviceconfig setting session timeout-tcp <value>  <1-15999999> set tcp timeout value in seconds           設定の保存、反映のため、コミットを実行 # commit   コミット実行の後、変更したセッション タイムアウトの値はsession informationにて確認が可能。 > show session info | match timeout Session timeout        TCP default timeout:                           3600 secs        TCP session timeout before SYN-ACK received:      5 secs        TCP session timeout before 3-way handshaking:    10 secs        TCP session timeout after FIN/RST:               30 secs        UDP default timeout:                             30 secs        ICMP default timeout:                             6 secs        other IP default timeout:                        30 secs        Captive Portal session timeout:                  30 secs        Session timeout in discard state:          TCP: 90 secs, UDP: 60 secs, other IP protocols: 60 secs   著者:ppatel
記事全体を表示
TShimizu ‎07-05-2016 07:50 PM
11,156件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Check or Edit the Default Action of a Threat Signature https://live.paloaltonetworks.com/t5/Threat-Articles/How-to-Check-or-Edit-the-Default-Action-of-a-Threat-Signature/ta-p/56156     手順 ウェブGUIより、Objects > セキュリティ プロファイル > アンチスパイウェア (または 脆弱性防御) へ移動します。 任意のプロファイルをクリックし、例外タブへ移動します。 "すべてのシグネチャの表示" ("show all signatures") のチェックボックスにチェックを入れ、各脅威とそれに対応するアクションを表示します。特定の脅威に対するアクションを変更するには、"アクション" をクリックします。 注:"predefined" プロファイル(strict, default) は読み取り専用となっており、編集できません。 また、デフォルト アクションの確認は T hreat Vault ( https://threatvault.paloaltonetworks.com/ ) で行うこともできます。 (訳注: 以下のスクリーンショットは、古いバージョンのThreat Vaultをベースにしています。) 脅威ID を入力し、脅威のタイプを選択します。 脅威IDの横にある虫眼鏡アイコンをクリックすると詳細が表示されます。   著者: harshanatarajan
記事全体を表示
ymiyashita ‎06-08-2016 04:37 AM
6,688件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure VPN Tunnel Between a Palo Alto Networks Firewall and Azure https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-VPN-Tunnel-Between-a-Palo-Alto-Networks/ta-p/59065   概要 このドキュメントでは、Palo Alto Networks ファイアウォールと Azure のサイト間の VPN トンネルの設定方法について説明します。現時点では、Palo Alto Networks は IKE バージョン 1 のみをサポートしています。静的 IP アドレスを使用するとAzure は IKE バージョン 1 のみをサポートします。またAzure トンネルが動的 IP アドレスで設定されている場合、Azure は IKE バージョン 2 のみをサポートします。 このためAzure トンネルは静的 IP アドレスで設定しなければなりません。     手順 Azure 側の設定情報に関しては、Azure のドキュメントを参照してください。下記例は Azure のアドレス空間の設定を示しています。 Palo Alto Networks ファイアウォール VPN エンドポイント のローカル ネットワークとそのゲートウェイ アドレスを定義する設定例: 次に、トンネル インターフェイスを設定します。 Azure ゲートウェイ サブネットと同じサブネット上の IP を割り当てます。 仮想ルータと適切なセキュリティ ゾーンを選択します。既存のゾーン (他のサーバーを含む) を選択すると、新規ポリシーを作成する必要がなくなると考えられます。 デフォルトの IKE 暗号化プロファイルの設定は、Azure の IKE 暗号化プロファイルの設定と同じである必要があります。 新規に Azure 用の IPSec 暗号化プロファイルを、ライフタイム値が同じになるように作成します。例えば、Azure のライフタイムが 3600 秒で、その値がネットワークの他のトンネルとは異なる場合、Azure 用に新規の作成が必要となります。Perfect Forward Secrecy (PFS) 無しの場合、DH グループには "no-pfs" を選択するのが正しいです。 注: ライフタイムのサイズは 98 GB になります。 トンネルがこれ 1 つのみの場合、または、他のトンネルが同一の設定を使用する場合は、デフォルトの設定を修正することができます。 IKE ゲートウェイの作成で、Palo Alto Networks ファイアウォールの外部インターフェイスを選択し、「Local IP Address」にそのインターフェイスの IP を選択します。この IP アドレスは、トンネル接続する Azure の「ローカル アドレス」にて設定された「VPN ゲートウェイ アドレス」と一致します。「Peer IP Address」は、同一の Azure 仮想ネットワークの Azure 仮想ネットワーク ダッシュボードから取得できます。「Local Identification」の IP アドレスは、同じ画面上の「Local IP Address」と一致している必要があります。「Pre-shared Key」は Azure 仮想ネットワークの Azure 仮想ネットワーク ダッシュボード上の「キーの管理」をクリックすることで取得できます。あとはコピー & ペーストするだけです。 次に、先ほど作成したトンネル インターフェイス、IKE ゲートウェイ、IPSec 暗号化プロファイルで、新規に IPSec トンネルを設定します。 「Proxy IDs」タブに移動し、適切なローカル サブネットおよびリモート サブネットで最低 1 つの ID を作成します。「Local」は、Palo Alto Networks ファイアウォール IPSec トンネル エンドポイントの適切なゲートウェイ アドレスが設定された Azure の「ローカル ネットワーク」の定義に一致している必要があります。「Remote」は Azure のアドレス空間の設定に一致している必要があります。 最後に、トンネル インターフェイスを経由して Azure 仮想ネットワークへトラフィックを転送するためのルートを作成します。 この時点で Azure 仮想ネットワークに ping するとトンネルがアップするはずですが、もしアップしない場合は System ログを確認しトラブルシューティングを行います (例えば、ping 応答は無いが、他の通信はできている、など)。   注: このドキュメントは次のディスカッションから作成されました: How to configure PAN to Azure VPN tunnel 著者:panagent
記事全体を表示
kishikawa ‎06-08-2016 04:37 AM
4,198件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 SYN-ACK Issues with Asymmetric Routing https://live.paloaltonetworks.com/t5/Configuration-Articles/SYN-ACK-Issues-with-Asymmetric-Routing/ta-p/54090   問題 非対称ルーティング環境での共通の問題として、以下のような事象が発生することがあります。 ウェブサイトが部分的にしかロードされない アプリケーションが動作しない   原因 デフォルトでは、"TCP reject non-SYN" フラグが yes に設定されています。これは、アプリケーションデータが許可されるためにはコネクションが同一のファイアウォールを通って開始されなければいけないことを示しています。もし SYN パケットが 1 台目のファイアウォールを通過し、SYN/ACK パケットが別のファイアウォールを通過した場合、コネクションの最初のパケットは 1 台目のファイアウォールで利用されているため、SYN/ACK パケットは拒否されることになります。 non-SYN TCP が発生したフローについては "show counter global" の "flow_tcp_non_syn_drop" をチェックしてください。 > show counter global | match drop name                    value    rate severity  category  aspect    description -------------------------------------------------- --------------------------------- flow_rcv_err            1705        0 drop      flow      parse    Packets dropped: flow stage receive error flow_rcv_dot1q_tag_err  7053        0 drop      flow      parse    Packets dropped: 802.1q tag not configured flow_no_interface        7053        0 drop      flow      parse    Packets dropped: invalid interface flow_ipv6_disabled      20459        0 drop      flow      parse    Packets dropped: IPv6 disabled on interface flow_tcp_non_syn_drop    156        0 drop      flow      session  Packets dropped: non-SYN TCP without session match flow_fwd_l3_mcast_drop  14263        0 drop      flow      forward  Packets dropped: no route for IP multicast flow_parse_l4_cksm          1        0 drop      flow      parse    Packets dropped: TCP/UDP checksum failure flow_host_decap_err        31        0 drop      flow      mgmt      Packets dropped: decapsulation error from control plane flow_host_service_deny  90906        0 drop      flow      mgmt      Device management session denied flow_lion_rcv_err        1700        0 drop      flow      offload  Packets dropped: receive error from offload processor "show counter global | match drop" コマンドを複数回実行し、drop のカウンタが増加しているかどうか確認します。   現在の設定を確認するには、以下コマンドを実行します。 > show session info -------------------------------------------------- ----------------------------- number of sessions supported:                  262143 number of active sessions:                      1 number of active TCP sessions:                  0 number of active UDP sessions:                  0 number of active ICMP sessions:                0 number of active BCAST sessions:                0 number of active MCAST sessions:                0 number of predict sessions:                    0 session table utilization:                      0% number of sessions created since system bootup: 7337 Packet rate:                                    8/s Throughput:                                    3 Kbps -------------------------------------------------- ----------------------------- session timeout   TCP default timeout:                          3600 seconds   TCP session timeout before 3-way handshaking:    5 seconds   TCP session timeout after FIN/RST:              30 seconds   UDP default timeout:                            30 seconds   ICMP default timeout:                            6 seconds   other IP default timeout:                      30 seconds   Session timeout in discard state:     TCP: 90 seconds, UDP: 60 seconds, other IP protocols: 60 seconds -------------------------------------------------- ----------------------------- session accelerated aging:                      enabled   accelerated aging threshold:                  80% of utilization   scaling factor:                              2 X -------------------------------------------------- ----------------------------- session setup   TCP - reject non-SYN first packet:            yes   hardware session offloading:                  yes   IPv6 firewalling:                            no -------------------------------------------------- ----------------------------- application trickling scan parameters:   timeout to determine application trickling:  10 seconds   resource utilization threshold to start scan: 80%   scan scaling factor over regular aging:      8 -------------------------------------------------- -----------------------------   解決方法 この事象に関しては 2 つの回避策があります。 非対称ルーティングとならないようネットワーク構成を変更し、通信が開始されたファイアウォール上を全ての戻りトラフィックが通過する構成とする SYN パケットで開始されなかったコネクションを拒否するオプション (tcp-reject-non-syn) をオフにする 一時的に non-SYN TCP フローを拒否するオプションを無効にするには、以下のコマンドを実行します。これは機器が再起動されるまで有効です。 > set session tcp-reject-non-syn no 恒久的にこのオプションを無効にするには、以下を実行します。 > configure # set deviceconfig setting session tcp-reject-non-syn no # commit ファイアウォール上で non-SYN TCP フローが確立されるかどうか確認するには、以下コマンドを実行します。 > show session info . . . . -------------------------------------------------- ------------------------------ Session setup   TCP - reject non-SYN first packet:            False   Hardware session offloading:                  True   IPv6 firewalling:                              True   著者: panagent
記事全体を表示
hfukasawa ‎05-23-2016 12:33 AM
11,047件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Graphic Traffic Monitoring for Interfaces - QoS Statistics https://live.paloaltonetworks.com/t5/Management-Articles/Graphic-Traffic-Monitoring-for-Interfaces-QoS-Statistics/ta-p/56912   概要 NetFlow や SNMP のようなファイアウォールの監視プロトコルや、 Pan(w)chrome のようなアプリケーションを使用することで、 Palo Alto Networks ファイアウォールのインターフェイスを通過するトラフィックを表示することができます。Netflow のために ntop や nfsen 、または SNMP のために MRTG や Cacti のようなツールを実装することは、展開するための余計な労力を必要とします。さらに Netflow コレクタはアプリケーションで対応していない場合、ドリル ダウンしたりグラフィカルにトラフィックを表現できないかもしれません。 トラフィックのグラフィカルな可視化は、ネットワーク飽和の原因を特定する際や、 iperf のようなツールを用いてネットワークのスループットを測定する際に役立ちます。 PAN-OS に組み込まれたグラフ化ツールはインターフェイスを通過するトラフィック量を可視化するのに役立ちます。 この記事では PAN-OS でグラフ化ツールを使用する方法と、アプリケーションによるグラフのグループ分けに役立つ QoS クラスの活用について説明します。 注: 実際のトラフィックに QoS は適用されません。 QoS を適用したい場合は PAN-OS Administrator's Guide の Quality of Service を参照してください。   手順 WebGUIにて Network > QoS に移動し、追加をクリックする: 情報を入力し監視するインターフェイスを選択します。グラフで表されるトラフィックは出力インターフェイスのものとなります。ISP に 接続している Untrust インターフェイスを選択している場合、グラフはアップロード トラフィックを表すことになります。このインターフェイスは IPSec トンネルに関連付けることもできます。IPSec トンネルが存在する場合、「トンネル対象トラッフィク」タブでトンネル インターフェイスについての情報を入力します。 注:インターフェイスから出力されるトラフィックを可視化するのに役立つので、ダウンロード トラフィックを可視化するために、内部ネットワークに面した各インターフェイスを QoS インターフェイスに追加します。 Commit を実行し、右側の"統計"をクリックします。 次の例では現在のアップロード トラフィック、または選択したインターフェイスから出力されるトラフィックのグラフを示しています: 注: 全てのトラフィックはデフォルトでは"class4"として分類されます。   QoS クラスへのアプリケーション マッチ 特定のアプリケーションやアプリケーション グループは QoS ポリシー上で定義することができ、アプリケーション単位でのクラス分類が可能となります。これはインターフェイスから出力される特定の種類のトラフィック可視化や定量化に役立ちます。   次のスクリーン ショットではクラス8としてピア ツー ピア トラフィックがどのように観測されるかを表します。 ピア ツー ピア トラフィックを表示するには以下の手順に従ってください: どのようなアプリケーションがインターフェイス上を通過しているかを確認するには、アプリケーション タブに移動します。 クラス毎のグラフを組み合わせて参照する場合はデフォルト グループを選択します。   QoSクラス毎の動作定義 QoS プロファイルは各QoSクラスの動作を定義するように変更することができます。詳細については PAN-OS Administrator's Guide をご参照ください。   注: 同時に複数のグラフを参照したい場合は、別のブラウザ タブやウィンドウに分けて開きます。  
記事全体を表示
tsakurai ‎05-21-2016 07:51 AM
4,740件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 The description change in Threat Prevention license https://live.paloaltonetworks.com/t5/Management-Articles/The-description-change-in-Threat-Prevention-license/ta-p/76976     2015年8月中旬に、Threat Preventionライセンスのdescriptionの記載が以下のように変更になりました。 [変更前] > request license info License entry: Feature: Threat Prevention Description: Antivirus, anti-spyware, vulnerability protection [変更後] > request license info License entry: Feature: Threat Prevention Description: Threat Prevention この変更は、ライセンス内の文字数を減らす目的で行われたものであり、脅威防御(Threat Prevention)の機能自体に変わりはありません。
記事全体を表示
ymiyashita ‎05-08-2016 05:11 PM
1,362件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Uninstall GlobalProtect Client Mac OS X https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Uninstall-GlobalProtect-Client-Mac-OS-X/ta-p/58933   概要 このドキュメントでは MAC 用 GlobalProtect のアンインストールに使用する 2 つの方法を説明します。   詳細 ターミナルを使ったアンインストール $ sudo /Applications/GlobalProtect.app/Contents/Resources/uninstall_gp.sh   pkg ファイルによるアンインストール インストールに使用した最初の .pkg ファイルを実行します。このファイルは GlobalProtect Portal ページからダウンロードできます。 Introduction ページで Continue を選択します。 Destination Select ページで "Install for all users of this computer" にチェックし、Continue をクリックします。   "GlobalProtect" のチェックを外して、"Uninstall GlobalProtect" にチェックし、Continue をクリックします。 "Install" をクリックします。   著者: sspringer
記事全体を表示
kishikawa ‎04-30-2016 09:42 PM
4,928件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure the Management Interface IP https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-the-Management-Interface-IP/ta-p/60493   概要 このドキュメントでは Palo Alto Networks デバイスの管理インターフェイスの IP アドレスを設定する方法を説明します。   手順 CLI (コマンド ライン インターフェイス):   >>> Palo Alto Networks デバイスにコンソール接続します。   コンフィグレーション モードに入ります。 > configure 次のコマンドを使用して管理インターフェイスの IP アドレスを設定します。 # set deviceconfig system ip-address <ip address> netmask <netmask> default-gateway <default gateway> dns-setting servers primary <DNS ip address> 変更をコミットします。 # commit   WebGUI (グラフィカル ユーザー インターフェイス): Device > Setup > Management へ移動します。 右上角の Edit アイコンをクリックし、管理インターフェイスの IP アドレスを設定します。 Device > Setup > Services へ移動します。 Edit アイコンをクリックし、DNS サーバーを追加します。 OK をクリックして変更をコミットします。   著者: jebel
記事全体を表示
kishikawa ‎04-30-2016 09:38 PM
6,727件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure and Test FQDN Objects https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-and-Test-FQDN-Objects/ta-p/61903     考察 FQDN オブジェクトはアドレス オブジェクトです。すなわち、セキュリティ ポリシーで送信元アドレスや宛先アドレスを参照するのと同様の使い方ができます。 そのため、Palo Alto Networks ファイアウォールは、30 分ごとに FQDN リフレッシュを行います。FQDN リフレッシュでは、設定されている DNS サーバー (Setup > Services) へ NS ルックアップを行います。 Palo Alto Networks ファイアウォールでは 1 つの FQDN オブジェクトに IP アドレス 10 個までマッピングできます。 この DNS サーバーが、ホストが使用しているのと同じ DNS サーバーであることを確認してください。DNS マルウェアはこのようなソリューションに悪影響を及ぼす場合があります。 この方法はIP アドレスを使用することができない場合のみ使用してください。つまり、このタイプのオブジェクトを URL フィルタリング ポリシーの一部として使用しないでください。 この方法はまた、Web Browsing と関連のない他のサービス (FTP、SSH、またはその他のサービス) を制御するのにも役立ちます。 オブジェクトが IPv6 アドレスに解決される場合は、IPv6 Firewalling (Setup > Session) を有効にします。   オブジェクトの設定 FQDN オブジェクトの設定を始めるために、Objects > Addresses へ移動します。 Add をクリックして新しいアドレス オブジェクトを作成します。 タイプを‘IP/Netmask’から‘FQDN’へ変更します。 アドレスを入力します (http:// またはその他のヘッダーは含めないでください)。 OK をクリックします。 変更をコミットします。   FQDN オブジェクトは CLI のコンフィグレーション モードで以下のコマンドを使用して設定できます。 # set address Google fqdn www.google.com   変更の確認 自動 FQDN リフレッシュ タスクはバックグラウンドで実行されます。このジョブのステータスは GUI の右下角の Tasks ボタンをクリックして確認できます。 CLI コマンド 'request system fqdn show' は、FQDN オブジェクトとその名前に紐づく IP アドレスの一覧を参照するために使用できます。 リフレッシュの強制実行は 'request system fqdn refresh' コマンドを実行することにより可能です。 推奨される追加の確認としては、デスクトップからホストへ ping し、その IP アドレスが 'request system fqdn refresh' コマンド実行後一覧に表示された IP アドレスに一致することを確認することが挙げられます。   著者: kgotlob
記事全体を表示
kishikawa ‎04-25-2016 08:32 PM
12,348件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Steps to Change the Default Action for Signatures https://live.paloaltonetworks.com/t5/Threat-Articles/Steps-to-Change-the-Default-Action-for-Signatures/ta-p/56719     概要 本ドキュメントでは、シグネチャのDefaultアクション変更手順を記載しています。   前提条件 最新のコンテントのバージョンがダウンロードされインストールされていること。 Device > "ダイナミック更新" へ移動し、"今すぐチェック" をクリックし最新のバージョンを確認します。 もし最新のバージョンが適用されていなければ、ダウンロードとインストールを行ってください。 注:もし最新のバージョンが既にインストールされておらず、上記の手順でインストールを行った場合は、一度GUIからログアウトをし、ログインしなおしてください。 脆弱性プロファイルが作成され、セキュリティ ルールに適用されていること。   手順 Objects > "セキュリティ プロファイル" > "脆弱性防御" へ移動し、セキュリティ ポリシー ルールで使われている脆弱性防御プロファイルの名前をクリックします。 "例外" タブをクリックします。 "すべてのシグネチャの表示" (Show all signatures) のチェックボックスにチェックを入れます。 検索ボックスにシグネチャIDを入力し<enter>を押すか、右側にある緑の矢印をクリックします。 シグネチャIDの左にある"有効化" (Enable) のチェックボックスにチェックを入れ例外を有効にし、任意のアクションを選択します (drop/alert/allow/block)。 OKボタンをクリックします。 変更をコミットします。   コミットが完了したら、Palo Alto Networksファイアウォールは該当のシグネチャに対し設定したアクションを実行します。   参考: Palo Alto Networksファイアウォールにおける脅威シグネチャ数の確認方法 マッチする脆弱性防御シグネチャの見つけ方   著者: parmas
記事全体を表示
ymiyashita ‎04-20-2016 01:31 AM
3,075件の閲覧回数
0 Replies
Ask Questions Get Answers Join the Live Community