ナレッジドキュメント

※この記事は以下の記事の日本語訳です。 How to Configure GlobalProtect SSO with Pre-Logon Access using Self-Signed Certificates https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-GlobalProtect-SSO-with-Pre-Logon-Access-using/ta-p/56297     概要 本文書には、自己署名証明書を使用した"Pre-Logon"方法で、GlobalProtect SSOを設定する方法が記載されています。   手順 下記の設定例は、同じPalo Alto Networksデバイス上に、1つのポータルと1つのゲートウェイがある場合のものですが、複数のゲートウェイ設定に拡張することができます。ローカル データベース認証は今回の例のために使用されていますが、他の認証方法 (LDAP、Kerberos、Radiusなど) も適用することができます。 ルート認証機関 (CA) 証明書をPalo Alto Networksデバイス上で生成します。これは、GlobalProtectポータルとゲートウェイ用のサーバー証明書に署名するために使われます。クライアント コンピューターに導入される、コンピュータ証明書も同様です。 サーバー証明書とコンピューター証明書を生成します。各証明書は、手順1で作成したCA証明書によって署名される必要があります。 GlobalProtectに関連付けられたデバイスの証明書は、以下のように表示されます: 証明書プロファイルを作成します。これは、CA証明書と相互に確認する際に、コンピューター証明書が有効かどうかを確認するために使われます。 CA証明書を追加する際は、CA証明書をリストから選択してください。 GobalProtect ポータルを以下のように作成します: "ポータル設定"にて、"ネットワーク設定"と"認証"を設定します。"サーバー証明書"には、上記の手順3で作成したサーバー証明書を選択します。"証明書プロファイル"には、手順4で作成したプロファイルを選択します。 "クライアント設定"にて、設定ファイルを作成します。これは、クライアントが最初に接続にしにいく際や、ネットワークの再検出をする際に、GlobalProtectのクライアントに展開されます。 "接続方式"で"pre-logon"を選択し、クライアント用に"pre-logon"設定ファイルを作成します。"pre-logon"ユーザーを含むすべてのユーザーが同じ設定ファイルを取得できるように、"any"ユーザーの設定ファイルも作成します。"信頼されたルート CA"にて、手順1で作成したルートCAを追加します。この証明書は、接続しているエージェントに展開されます。 GlobalProtect ゲートウェイの設定例は以下のとおりです。GlobalProtect ポータルの設定で使われているものと同じ"サーバー証明書"と"証明書プロファイル"が使用されていることを確認します。 下記図はGlobalProtect ゲートウェイの設定を表しており、tunnel.1 (L3-Trust ゾーン)にてユーザーを終端し、内部の信頼されたネットワーク (192.168.144.0/24) に対してだけ有効なアクセス ルートを持つ192.168.200.0/24 のスコープを使用する、という設定を表しています。 次の手順は、ローカル コンピューター上の信頼された証明書に追加されることになる、コンピューター証明書をエクスポートすることです。"ファイル フォーマット"として"PKCS12"を使用し、パスフレーズを入力します。 クライアント コンピューター上で、上記でエクスポートしたコンピューター証明書をインポートします。下記図は、ローカル コンピューター上でのMMC証明書のスナップ インの使用方法を表しています。 これにより、"Certificate Import Wizard"が起動します。以下の手順に従って、インポートを完了させます。今回の例における証明書の場合は、"PKCS12"というフォーマットでエクスポートされていました。正しい証明書が見つけられていることを確認します。 ローカル コンピューターの個人証明書ストアに、その証明書がインストールされていることを確認します。 Syslogは、ユーザー資格情報を使ってエージェントが接続に成功している最初の接続を示しています。その後、コンピューターからログオフします。その後もコンピューターが続けて、"pre-logon"ユーザーとしてCA証明書によって有効だとされたコンピューター証明書を使って、GlobalProtectポータルとゲートウェイに問題なく接続できることを確認します。     著者:rkalugdan
記事全体を表示
hshirai ‎07-15-2016 01:24 AM
5,335件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Check Interface Hardware Counters Including Errors https://live.paloaltonetworks.com/t5/Learning-Articles/How-to-Check-Interface-Hardware-Counters-Including-Errors/ta-p/55140     概要 ハードウェア エラーの可能性を含むインターフェースのハードウェア カウンタを確認するには以下のCLIコマンドを使用します: > show system state filter sys.s1.p*.detail   本コマンドの出力形式は以下のようになります: sys.s1.p.detail: { 'counter_label': value_in_hexadecimal(0x1234), ...} *where x is port number   詳細 出力結果内のカウンタ情報は ラベル:値 のペアで表示されます。カウンタ値は16進数です。 注: カウンタは値が0x0以上の場合にのみ作成され、一覧として出力されます。   以下は PA-2050 における出力例です: sys.s1.p1.detail: { 'collisions': 0x2cb0, 'late_collisions': 0x35, 'pkts1024tomax_octets': 0x11fac, 'pkts128to255_octets': 0x15235, 'pkts256to511_octets': 0x7fd2, 'pkts512to1023 _octets': 0xafe, 'pkts64_octets': 0xbae28, 'pkts65to127_octets': 0x1d9b0, } sys.s1.p10.detail: { } sys.s1.p11.detail: { } sys.s1.p12.detail: { } sys.s1.p13.detail: { } sys.s1.p14.detail: { } sys.s1.p15.detail: { } sys.s1.p16.detail: { } sys.s1.p17.detail: { } sys.s1.p18.detail: { } sys.s1.p19.detail: { } sys.s1.p2.detail: { 'pkts1024tomax_octets': 0x134b3, 'pkts128to255_octets': 0x1bca1, 'pkts256to511_octets': 0xe3ea, 'pkts512to1023_octets': 0x1ef1, 'pkts64_octets': 0xd0831, 'pk ts65to127_octets': 0x3fa20, } sys.s1.p20.detail: { } sys.s1.p3.detail: { 'pkts1024tomax_octets': 0xd2, 'pkts128to255_octets': 0xa3f9, 'pkts256to511_octets': 0x63d5, 'pkts512to1023_octets': 0x1, 'pkts64_octets': 0xb37b3, 'pkts65to1 27_octets': 0x17fee, } sys.s1.p4.detail: { } sys.s1.p5.detail: { } sys.s1.p6.detail: { } sys.s1.p7.detail: { } sys.s1.p8.detail: { } sys.s1.p9.detail: { }   この例では、ポート ethernet1/1 での duplex ミスマッチが collision カウンタによって容易に確認することができます。   著者: nbilly
記事全体を表示
dyamada ‎07-13-2016 05:39 AM
3,768件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Source NAT Translation Types and Typical Use Cases https://live.paloaltonetworks.com/t5/Management-Articles/Source-NAT-Translation-Types-and-Typical-Use-Cases/ta-p/66203   概要 以下は送信元アドレス変換のタイプと、よくある使用例です。   Dynamic IP and Port 指定された送信元IPアドレスについて、Palo Alto Networks のファイアウォールは送信元 IP アドレスまたは範囲を1つの IP アドレスへ変換します。マッピングは送信元ポートに基づいているため、複数の送信元 IP アドレスは送信元ポートが消費されるまで1つの変換されたアドレスを共有することができます。これは、1つのパブリック IP アドレスを多くのプライベート IP アドレスの間で共有する場合によく利用されます。ISP に接続するインターフェイスに割り当てられた IP アドレスを選択するのが一般的です:   アウトバウンド プールに IP アドレスを追加するには、アドレス タイプを "Translated Address" に変更し、有効なパブリック IP アドレスを追加します。ファイアウォールはセッションごとにアドレスをロードバランスします。   NAT プールの使用状況を確認するには次のコマンドを使用します:  > show running global-ippool   Dynamic IP 指定された送信元 IP アドレスについて、ファイアウォールは、定義されたプールまたは範囲内のIPに送信元IPを変換します。マッピングはポートベースではなく、セッションが持続する限り 1対1 のマッピングを行います。それぞれの同時セッションはプールからアドレスを使用し、他の送信元 IP アドレスはそのアドレスを使用できなくなります。このオプションを利用する場合、同時アウトバウンド セッションを作成するホストの数がダイナミック プール内の IP アドレスの数を超えた場合に、変換用アドレス プールが枯渇することに注意してください。これは2つ以上のパブリック IP アドレスを ISP から割り当てられたものの、すべての内部ホストに割り当てるには不十分なので、アウトバウンド ホストを必要な分だけアサインするときに利用されます。ダイナミック プールには IP アドレスの範囲を割り当てることが一般的です:   指定されたNAT ポリシーの現在の NAT プールのマッピングを表示するには、次のCLIコマンドを実行します。: > show running nat-rule-ippool rule <NAT rule name> Static IP ひとつの送信元アドレスを特定のパブリック アドレスに変換するにはこの変換タイプを使用してください。これは、一般的には変更されないアドレスを持つサーバー(電子メール、 Webまたは任意のアプリケーション)を公開するために使用されます。   Bi-directoinal を「Yes」にすると、送信元と宛先に基づいた双方向のマッピングを作成します。「No」に設定すると、送信元から宛先へのマッピングだけが作成されます。サーバーのアウトバウンド トラフィックとインバウンド トラフィックは同じアドレスを使用するため、通常、送信元 NAT ポリシーの Bi-directional は「Yes」が利用されます:   アドレス範囲全体を特定のアドレス範囲に 1対1 のマッピングで変換するよう Static IP マッピング タイプを使用してください。このポリシーを使用する送信元 IP アドレスの数は、変換後アドレスの範囲と正確に一致する必要があります。一般的には、ネットワークを統合する際の IP 範囲の重複解決するために使用されます。以下のポリシーでは、10.30.1.x 範囲内で一致するアドレスに (Corp) ゾーン宛て 10.20.1.x アドレスの持つすべての送信元アドレスを変換します。:   著者: jteetsel
記事全体を表示
dyamada ‎07-13-2016 05:35 AM
13,164件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How To Packet Capture (tcpdump) On Management Interface https://live.paloaltonetworks.com/t5/Management-Articles/How-To-Packet-Capture-tcpdump-On-Management-Interface/ta-p/55415   管理インターフェイスを介してトラフィックが送信/受信されているかどうかの解析/検証が必要となる場合があります。その一例は、認証試験中にリクエストが LDAP または RADIUS サーバーにデバイスから送信されているかどうかの確認があります。別の例としては、デバイスが SNMP サーバーにポーリング/到達されているかどうかを確認することもあります。 PAN-OS 5.0 以降では、管理インタフェイス宛/発の PCAP トラフィックを知ることができます。使用するオプションは厳密に CLI の tcpdump に基づいています。   以下例: このキャプチャは厳密に/暗黙的に管理インターフェイスを利用するため、通常の tcpdump のように手動でインターフェイスを指定する必要はありません。例えば: 注: フィルタは引用符で囲む必要があります。: > tcpdump filter "host 10.16.0.106 and not port 22"   キャプチャが完了したら、 Ctrl-C を押しキャプチャを停止します: CLI でのPCAP を表示するには、view-pcap コマンドを実行します。例: > view-pcap mgmt-pcap mgmt.pcap   パケット キャプチャ セッションの例: > tcpdump filter "host 10.16.0.106 and not port 22" Press Ctrl-C to stop capturing   tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 68 bytes ^C506 packets captured 1012 packets received by filter 0 packets dropped by kernel   > view-pcap mgmt-pcap mgmt.pcap   21:19:30.264789 IP 10.16.0.106.61942 > 10.30.14.108.https: . 2376621033:2376621034(1) ack 1605246872 win 505 21:19:30.266422 IP 10.16.0.106.61952 > 10.30.14.108.https: . 996999225:996999226(1) ack 1613111617 win 353 21:19:30.274892 IP 10.16.0.106.61950 > 10.30.14.108.https: . 385255393:385255394(1) ack 1621385090 win 251 21:19:30.294503 IP 10.16.0.106.61951 > 10.30.14.108.https: . 3013860059:3013860060(1) ack 1619361601 win 254 21:19:31.696061 IP 10.16.0.106.61948 > 10.30.14.108.https: . 3206764451:3206764452(1) ack 1612181557 win 256 21:19:31.714608 IP 10.16.0.106.61949 > 10.30.14.108.https: . 3271787020:3271787021(1) ack 1618663520 win 727 21:28:00.170383 IP 10.16.0.106.54641 > 10.30.14.108.snmp:  GetRequest(26) [|snmp] 21:28:15.866735 IP 10.16.0.106.61949 > 10.30.14.108.https: . 20220:20221(1) ack 30253 win 608 21:28:15.944086 IP 10.16.0.106.61948 > 10.30.14.108.https: . 25004:25005(1) ack 31229 win 1175 21:28:16.095081 IP 10.16.0.106.61952 > 10.30.14.108.https: . 23198:23199(1) ack 32575 win 656 21:28:16.234194 IP 10.16.0.106.61950 > 10.30.14.108.https: . 65220:65221(1) ack 68539 win 256 21:28:16.244155 IP 10.16.0.106.61951 > 10.30.14.108.https: . 32492:32493(1) ack 44141 win 254 21:28:16.444185 IP 10.16.0.106.61942 > 10.30.14.108.https: . 23502:23503(1) ack 38660 win 640   以下は参照/利用/適用可能なフィルタの一例(これらに限定されるものではありませんが)です。: ポートによるフィルタ > tcpdump filter "port 80" 送信元IPによるフィルタ > tcpdump filter "src x.x.x.x" 宛先IPによるフィルタ > tcpdump filter "dst x.x.x.x" ホスト (送信元 & 宛先) IP によるフィルタ > tcpdump filter "host x.x.x.x" ホスト (送信元 & 宛先) IP によるフィルタからSSHを除外する > tcpdump filter "host x.x.x.x and not port 22"   また、手動で SCP または TFTP を通じて PCAP をエクスポートすることができます。例: > scp export mgmt-pcap from mgmt.pcap to   <value>  Destination (username@host:path)   > tftp export mgmt-pcap from mgmt.pcap to   <value>  tftp host   注: PA-200、PA-500、PA-2000では、デフォルトでパケットあたり最大68バイト(Snap Length) の制限があります。 PA-3000、PA-4000、PA-5000の場合は、デフォルトの制限はパケットあたり96バイトです。この制限を拡張するには、"snaplen" オプションを使用します。.   以下も参照 Tcpdump Packet Capture Truncated   著者: bryan
記事全体を表示
dyamada ‎07-13-2016 05:22 AM
11,237件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Cisco Link Aggregation Traffic Through a Palo Alto Networks Device https://live.paloaltonetworks.com/t5/Configuration-Articles/Cisco-Link-Aggregation-Traffic-Through-a-Palo-Alto-Networks/ta-p/61067     バーチャル ワイヤ モードが有効になっている場合、Palo Alto Networks デバイスは、Cisco リンク アグリゲーション  コントロール プロトコル トラフィックを通すことができます。この例では、デバイスはリンク アグリゲーションを構成する役割は持っていません。2つのスイッチを接続し、LACPトラフィックをパススルーさせるのみです。 注意:  PAN-OS 6.1以前では、 LACP は対応しておらず、複数のネットワーク ポートを論理的な一つのポートに集約するといった要件の中で、Palo Alto Networks デバイスを使用することはできません。 この例の中では、静的なポート設定での利用が 想定されています。   トポロジー例   Switch 1 Configuration Switch 2 Configuration port-channel load-balance dst-ip interface Port-channel5 switchport access vlan 10 switchport mode access   interface GigabitEthernet0/1 switchport access vlan 10 switchport mode access channel-group 5 mode active ! interface GigabitEthernet0/2 switchport access vlan 10 switchport mode access channel-group 5 mode active ! interface GigabitEthernet0/3 switchport access vlan 10 switchport mode access !   port-channel load-balance dst-ip interface Port-channel10 switchport access vlan 10 switchport mode access !   interface GigabitEthernet0/13 switchport access vlan 10 switchport mode access channel-group 10 mode active ! interface GigabitEthernet0/14 switchport access vlan 10 switchport mode access channel-group 10 mode active ! interface GigabitEthernet0/15 switchport access vlan 10 b switchport mode access !   ファイアウォールの設定   802.3ad リンク アグリゲーションの詳細情報は、wikipediaのLink aggregation をご参照ください。 著者: wtam  
記事全体を表示
kkawachi ‎07-12-2016 01:20 AM
4,831件の閲覧回数
0 Replies
1 Like
※この記事は以下の記事の日本語訳です。 How to Provide Quality of Service to a Single IP adress https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Provide-Quality-of-Service-to-a-Single-IP-adress/ta-p/55486   Quality of Service (QoS)を1つのIPアドレスに適用するステップ プロファイルの作成 Device > Network > QoS Profile     2つのclassを作成し、各々違うユーザで違う帯域制御を設定します(以下参照)           プロファイルを帯域制御に実施するインターフェイスに割当てます。この例では、インターフェイス1/3(Untrustゾーン) Device > Network Tab > QOS QoSプロファイルはクリアー テキスト トラフィックに設定しています。 QoSルールの作成 ユーザIPアドレスを選択し、そのユーザの為にclassを定義します。QoSプロファイルでは、このclass毎に帯域制限を設定します。 Device > Policies > QOS Rules IP 192.168.141.41 (QOS Rule User2)にて試験 IPの第4オクテット目が.40で終わるUser 1は最大外向け帯域幅を2MB、 IPの第4オクテット目が.41で終わるuser 2に帯域幅を10MBが最初の図のようにclass定義されています。 WebUIで試験結果を統計情報で確認する。 Device > Network > QOS トラブルシューティング用コマンド   QoSに関連したセッションだけを表示する。 show session all filter qos-class 2 show session all filter qos-rule User2   QoSトラフィックの帯域量を確認するには show qos interface ethernet1/3 throughput 0 0はdefault groupのQid   インターフェイス1/3のQoS帯域量、ノードdefault-group (Qid 0): class 1:      299 kbps class 4:        6 kbps   QoS Sessionのセッション情報詳細のサンプル例 show session id  26680 Session           26680         c2s flow:                 source:      192.168.141.41 [L3-T]                 dst:         204.160.102.126                 proto:       6                 sport:       31160           dport:      80                 state:       ACTIVE          type:       FLOW                 src user:    unknown                 dst user:    unknown                 qos node:    ethernet1/3, qos member N/A Qid 0           s2c flow:                 source:      204.160.102.126 [L3-U]                 dst:         172.17.128.141                 proto:       6                 sport:       80              dport:      27607                 state:       ACTIVE          type:       FLOW                 src user:    unknown                 dst user:    unknown           start time                    : Sat Jun 30 15:21:55 2012         timeout                       : 30 sec         time to live                  : 18 sec         total byte count(c2s)         : 837         total byte count(s2c)         : 506         layer7 packet count(c2s)      : 6         layer7 packet count(s2c)      : 5         vsys                          : vsys1         application                   : web-browsing         rule                          : rule1         session to be logged at end   : True         session in session ager       : True         session synced from HA peer   : False         address/port translation      : source + destination         nat-rule                      : In-Out(vsys1)         layer7 processing             : enabled         URL filtering enabled         : False         session via syn-cookies       : False         session terminated on host    : False         session traverses tunnel      : False         captive portal session        : False         ingress interface             : ethernet1/4         egress interface              : ethernet1/3         session QoS rule              : User2 (class 2)   著者 :  ssunku
記事全体を表示
kkondo ‎07-12-2016 12:28 AM
6,457件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Create-Tagged-Sub-Interfaces/ta-p/58712   手順 複数のVLANを同じ物理インターフェースに終端させるには、複数のタグ付きサブインターフェースを作成する必要があります。(VLAN一個あたり一つ) WebGUIからNetwork> Interfacesの順に選択。 次にL3かL2のインターフェースを選択し(上記の例ではethernet1/6が選択されてます)Add Subinterfaceを選択します。 L2インターフェースの場合: L3インターフェースの場合 :
記事全体を表示
oconnellm ‎07-11-2016 10:16 PM
5,841件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to View Currently Installed SFP Modules https://live.paloaltonetworks.com/t5/Management-Articles/How-to-View-Currently-Installed-SFP-Modules/ta-p/60908   概要 SFPとは小型で、活線挿抜(ホットスワップ)可能なテレコム用途、データ通信用途双方で使用可能な光トランシーバーです。PA-2000シリーズ、PA-3000シリーズ、PA-4000シリーズ、PA-5000シリーズはSFPモジュールに対応しています。この文書は現在インストールしているSFPモジュールの確認方法について記載します。   詳細 PAN-OS 4.1.x やPAN-OS 5.0ではCLIから以下のコマンドを実行します。 >show system state filter sys.sX.pY.phy 例えばinterface1/21に実装している場合、 X=slot=1、Y=port=21と指定します。 通常のSFPモジュールの出力結果例 sys.s1.p21.phy: { 'link-partner': { }, 'media': SFP-Plus-Fiber, 'sfp': { 'connec tor': LC, 'encoding': Reserved, 'identifier': SFP, 'transceiver': , 'vendor-name ': FINISAR CORP.   , 'vendor-part-number': FTLX8571D3BCL   , 'vendor-part-rev': A   , }, 'type': Ethernet, }   故障したSFPモジュールの出力結果例 以下の例に似た出力の場合、該当のSFPモジュールは故障している可能性があります。 sys.s1.p21.phy: { 'link-partner': { }, 'media': SFP-Fiber, 'sfp': { 'connec tor': vendor specific, 'encoding': Reserved, 'identifier': SFP, 'transceiver': , 'vendor-name ': yyyyyyyyyyyyyyyy, 'vendor-part-number': yyyyyyyyyyyyyyyy , 'vendor-part-rev': yyyy, }, 'type': Ethernet, }   注:故障が疑われる出力結果例の場合、一度該当のSFPモジュールを抜き取り、異なるSFPポートに挿してみると良いでしょう。同じ show system state filter コマンドを再度実行してください。出力が同じなら該当のモジュールは故障していると考えられます。   著者:gcapuno
記事全体を表示
TShimizu ‎07-10-2016 10:45 PM
5,367件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Site-to-Site IPSec VPN Between Palo Alto Networks Firewall and Cisco Router using VTI Not Passing Traffic https://live.paloaltonetworks.com/t5/Configuration-Articles/Site-to-Site-IPSec-VPN-Between-Palo-Alto-Networks-Firewall-and/ta-p/62103   問題 パロアルトネットワークス ファイアウォールとCiscoルーターで仮想トンネル インターフェイス(VTI)を使用してサイト間VPNが設定されているとします。しかしIKEフェーズ2通信がパロアルトネットワークス ファイアウォールと Ciscoルーターで通りません。 まとめると、以下の状況でVPNはダウンしています。 トンネル インターフェイスがダウンしている。 IKEフェーズ1はアップしているが、IKEフェーズ2がダウンしている。   原因 PFSの不一致によりIKEフェーズ2が不一致となり、この問題が発生している可能性があります。   解決策 パロアルトネットワークス ファイアウォールとCiscoルーターが同じPFSの設定を持つように設定します。   パロアルトネットワークス ファイアウォール上では、[Network] >[IPSec 暗号]に移動します。トンネルに設定している[IPSec暗号プロファイル]を選び、DH グループの値がCiscoルーターと一致するか確認します。   Ciscoルーターではパロアルトネットワークス ファイアウォールと一致するようPFSを設定します。   以下はパロアルトネットワークス ファイアウォールのCLIで tail follow yes ikemgr.log コマンド を実行したときの出力です。 最初の赤線で囲った部分はPFSの不一致のメッセージとなります。二番目の赤線で囲った部分はPFSの不一致を修正したあとのメッセージとなります。   パロアルトネットワークス ファイアウォール上で show vpn flow tunnel-id <ID番号>  を実行すると、暗号化、復号化のパケットのカウントが増えていることを確認できます。   Ciscoルーターでは、 show crypto ipsec sa  と入力すると、暗号化、復号化のパケットが増加していることを確認できます。   著者:jlunario  
記事全体を表示
TShimizu ‎07-10-2016 10:44 PM
4,024件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Set the Palo Alto Networks Firewall to Allow non-Syn First Packet https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Set-the-Palo-Alto-Networks-Firewall-to-Allow-non-Syn/ta-p/62868   PAN-OS 5.0、6.0   概要 Palo Alto Networks ファイアウォールは、デフォルトでは、セキュリティ対策として、SYN フラグが立っていない最初のパケットを拒否します。正常な TCP コネクションは 3-ウェイ ハンドシェイクから開始します。つまり、ファイアウォールが確認した最初のパケットが SYN パケットではない場合、それは有効なパケットではない可能性があるため、破棄されます。   まれに、このセキュリティ チェックをせずにパケットを許可することが必要な場合があります。通常、非対称ルーティングが理由で、この機能を無効にすることが必要とされます。   詳細 このオプションを恒久的に無効にするためには、次の CLI コマンドを実行します: > configure # set deviceconfig setting session tcp-reject-non-syn no # commit この機能を元に戻す場合は、次の CLI コマンドを使用します: > configure # set deviceconfig setting session tcp-reject-non-syn yes # commit 非 SYN の TCP パケットを一時的に許可するためには、次の CLI コマンドを実行します (Configure モードではありません): > set session tcp-reject-non-syn no 注: このコマンドは一時的であり、コミットもしくはコミットを発生させる変更もしくはリブートの後に元に戻ります。 さらに、これらの設定はゾーンごとの GUI で、以下のように Zone Protection を使用して変更できます。 Network > Zone Protection へ移動 Add をクリック Packet Based Attack Protection > TCP/IP Drop を選択 Packet-Based Attack Protection の定義を参照するためには、ウィンドウの右上角のヘルプ ('?') をクリックします。いくつかの重要な定義を以下に説明します: Reject Non-SYN TCP - TCP セッション セットアップの最初のパケットが SYN パケットでない場合にパケットを拒否するかどうかを決定します: Global - CLI で割り当てたシステム全体の設定を使用します。 yes - 非 SYN TCP を拒否します。 no - 非 SYN TCP を受け入れます。 注: 非 SYN TCP トラフィックを許可すると、ブロック発生後クライアントおよび/またはサーバー コネクションが設定されていない場合に、ファイルをブロックするポリシーが期待通りに動作しない可能性があります。   Asymmetric Path - 非同期 ACK またはウィンドウ範囲外のシーケンス番号を含むパケットをドロップまたはバイパスするかどうかを決定します: global - CLI で割り当てたシステム全体の設定を使用します。 drop - 非対称パスを含むパケットをドロップします。 bypass - 非対称パスを含むパケットのスキャンをバイパスします。   Network > Zones へ移動し、この Zone Protection Profile を必要な Interface/Zone に適用します。下記例では Zone Protection Profile は適用されていません。 Zone、例えば "Untrust1" をクリックし、下記に示すように Zone Protection Profile を追加して、Zone Protection Profile のドロップ ダウン メニューからその Zone Protection Profile を選択します。 目的の Zone Protection Profile を選択したら、OK をクリックします。下記例では "Untrust1" ゾーンに Zone Protection Profile "Recon-Protect-Alert" が適用されています。   著者: ppatel
記事全体を表示
kishikawa ‎07-10-2016 10:42 PM
8,425件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Packets are Dropped Due to TCP Reassembly https://live.paloaltonetworks.com/t5/Management-Articles/Packets-are-Dropped-Due-to-TCP-Reassembly/ta-p/57139   事象 TCP Reassembly によりパケットがドロップされている。   原因 本事象は通常はネットワークに非対称ルーティングがある場合に発生します。例えば、SYN パケットが Palo Alto Networks ファイアウォールを通過したが SYN-ACK がファイアウォールを通過せず、ファイアウォールが ACK を受信した場合です。ファイアウォールは TCP Reassembly の失敗によりそのパケットをドロップします。   確認するためには、パケット キャプチャを実行し Global カウンタをチェックします。パケット キャプチャの詳細情報については、次のドキュメントを参照してください: Using Packet Filtering through GUI with PAN-OS 4.1   以下に示すように、カウンタでは、パケットが TCP Reassembly によりドロップされていることを確認します。キャプチャでは、SYN パケットと ACK パケットを受信しており、SYN ACK を受信していないことを確認します:   解決策 次のコマンドを使用して、グローバルに非対称ルーティングをバイパスするようファイアウォールを設定します。 > configure # set deviceconfig setting tcp asymmetric-path bypass # commit   この変更は次のコマンドを使用して元に戻すことができます: > configure # delete deviceconfig setting tcp asymmetric-path # commit   非対称トラフィックに関する現在のアクションをチェックするためには次のコマンドを使用します: > show running tcp state | match asymmetric session with asymmetric path            : drop packet   代替手段として、Zone Protection Profile を作成することにより、非対称ルーティングのバイパスを、特定の宛先 Zone へのトラフィックのみに制限することができます。 Network > Zone Protection Profile へ移動します。 新規に Profile を追加し、名前を付けます。 Packet Based Attack Protection タブへ移動し、プルダウン メニューから次を選択します: Reject Non-SYN TCP: No Asymmetric Path: Bypass 目的の宛先 Zone へ移動し、Zone Protection Profile を割り当てます。 変更をコミットします。 注: トラフィックが 2 つの Security Zone に及ぶ場合は、Zone Protection Profile は宛先 Zone に合わせます。非対称トラフィックの必要性に応じて、一方の Zone または両方の Zone に適用します。トラフィックの発生が一方向の場合は宛先 Zone にのみ適用し、両方向の場合は両方の Zone に適用します。   著者: ashaikh
記事全体を表示
kishikawa ‎07-10-2016 10:41 PM
6,098件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Allow Ping and ICMP on Layer 3 Interface of Your Palo Alto Networks Device https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Allow-Ping-and-ICMP-on-Layer-3-Interface-of-Your-Palo/ta-p/58932   概要 Ping やその他の管理トラフィックを許可するには、インターフェース管理プロファイルを設定し、それをインターフェースに適用します。 手順 ネットワーク > ネットワークプロファイル > インターフェース管理に移動します。 ping を許可するプロファイルを作成します。 ネットワーク > インターフェースに移動し、詳細タブにて上記で作成したプロファイルをインターフェースに適用します。 変更を Commit します。 CLI では、以下を実行します。 > configure # set network profiles interface-management-profile mgmt ping yes # set network interface ethernet ethernet1/3 layer3 interface-management-profile mgmt 著者: panagent
記事全体を表示
hfukasawa ‎07-09-2016 12:14 AM
6,099件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Blocking Suspicious DNS Queries with DNS Proxy Enabled https://live.paloaltonetworks.com/t5/Management-Articles/Blocking-Suspicious-DNS-Queries-with-DNS-Proxy-Enabled/ta-p/66037   問題   パロアルトネットワークス ファイアウォール上にて、DNSプロキシを有効にした状態でアンチスパイウェアを有効にすると、設定が適切でないと、DNS要求がネットワーク全域で止められてしまう状況に陥ることがあります。これはパロアルトネットワークスの機器によるDNSリクエストと、疑わしいDNSクエリのブロック(アンチスパイウェアにより有効化)の取り扱いの仕方により発生します。 この文書はその発生の理由と解消方法について記載します。   原因 この問題は、パロアルトネットワークス ファイアウォールが外部DNSサーバー向けのセッションのみブロックしようとすることにより発生します。疑わしいDNSクエリを止めるためにアンチスパイウェア プロファイル(デフォルトの'strict'プロファイルも該当)を設定すると、ファイアウォールは悪意あるとみられるDNSのセッションをDISCARD(破棄)状態とします。これは該当するデバイスからのすべてのDNSトラフィックを、その悪意あるとみられるDNSのセッション開始からセッション タイムアウトまたはマニュアルでセッションをクリアするまで、ブロックし続けることを意味します。ユーザーが信頼された(内部)ゾーンから信頼されない(外部)ゾーンへのDNSクエリをブロックするアンチスパイウェア プロファイル設定を適用すると、望ましいDNSクエリもブロックされます(Diagram 1.0参照)。以下の図は前述のようなセキュリティ ポリシーが設定されている場合のパケット フローを説明するものです (Diagram 1.1参照) 。これは疑わしいDNSクエリが検知されると、望ましいものがあったとしても、すべてのパロアルトネットワークス ファイアウォールからDNSサーバーへのDNSクエリが拒否される原因となります。       解決策 以下に図示する2つのポリシーを設定してください。 (Diagram 2.0参照)。  最初のポリシーはユーザのファイアウォールからインターネットへのDNSクエリを許可するものです。これはネットワーク全域ですべてのDNSクエリをブロックしてしまうDISCARD(破棄)セッションの形成を防ぎます。二番目のポリシーはクライアントからファイアウォールに向かうトラフィックに対してのアンチスパイウェアを実行するためのものです。これは限定したクライアントからの疑わしいDNSクエリをブロックし、ネットワーク全域でのDNSクエリはブロックしません。     参考 How to Configure DNS Proxy on a Palo Alto Networks Firewall   著者:jwebb
記事全体を表示
TShimizu ‎07-06-2016 02:14 AM
5,655件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Set Session, TCP, and UDP Timeout Values https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Set-Session-TCP-and-UDP-Timeout-Values/ta-p/53385     概要 この文書はTCP、UDPのセッション タイムアウト設定値について、PAN-OSのweb UIとCLIでの変更、確認方法を記載します。   詳細 セッション タイムアウト設定方法: web UIから、Device >セットアップ > セッション > セッション タイムアウト PAN-OS 5.0, 6.0 PAN-OS 6.1 CLIから、以下のコマンドにて変更可能。この変更は一時的なもので再起動によりクリアされます。     > set session timeout-udp <1-15999999>     > set session timeout-tcp <1-15999999>   再起動後も継続する恒久的な変更をCLIから行うには、コンフィグレーション モードで以下のコマンドで設定します。 デフォルトのセッション タイムアウト設定の変更 # set deviceconfig setting session timeout-default   <value>  <1-15999999> set session default timeout value in seconds   TCPのセッション タイムアウト設定の変更 # set deviceconfig setting session timeout-udp   <value>  <1-15999999> set udp timeout value in seconds   UDPのセッション タイムアウト設定の変更 # set deviceconfig setting session timeout-tcp <value>  <1-15999999> set tcp timeout value in seconds           設定の保存、反映のため、コミットを実行 # commit   コミット実行の後、変更したセッション タイムアウトの値はsession informationにて確認が可能。 > show session info | match timeout Session timeout        TCP default timeout:                           3600 secs        TCP session timeout before SYN-ACK received:      5 secs        TCP session timeout before 3-way handshaking:    10 secs        TCP session timeout after FIN/RST:               30 secs        UDP default timeout:                             30 secs        ICMP default timeout:                             6 secs        other IP default timeout:                        30 secs        Captive Portal session timeout:                  30 secs        Session timeout in discard state:          TCP: 90 secs, UDP: 60 secs, other IP protocols: 60 secs   著者:ppatel
記事全体を表示
TShimizu ‎07-05-2016 07:50 PM
10,778件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure VPN Tunnel Between a Palo Alto Networks Firewall and Azure https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-VPN-Tunnel-Between-a-Palo-Alto-Networks/ta-p/59065   概要 このドキュメントでは、Palo Alto Networks ファイアウォールと Azure のサイト間の VPN トンネルの設定方法について説明します。現時点では、Palo Alto Networks は IKE バージョン 1 のみをサポートしています。静的 IP アドレスを使用するとAzure は IKE バージョン 1 のみをサポートします。またAzure トンネルが動的 IP アドレスで設定されている場合、Azure は IKE バージョン 2 のみをサポートします。 このためAzure トンネルは静的 IP アドレスで設定しなければなりません。     手順 Azure 側の設定情報に関しては、Azure のドキュメントを参照してください。下記例は Azure のアドレス空間の設定を示しています。 Palo Alto Networks ファイアウォール VPN エンドポイント のローカル ネットワークとそのゲートウェイ アドレスを定義する設定例: 次に、トンネル インターフェイスを設定します。 Azure ゲートウェイ サブネットと同じサブネット上の IP を割り当てます。 仮想ルータと適切なセキュリティ ゾーンを選択します。既存のゾーン (他のサーバーを含む) を選択すると、新規ポリシーを作成する必要がなくなると考えられます。 デフォルトの IKE 暗号化プロファイルの設定は、Azure の IKE 暗号化プロファイルの設定と同じである必要があります。 新規に Azure 用の IPSec 暗号化プロファイルを、ライフタイム値が同じになるように作成します。例えば、Azure のライフタイムが 3600 秒で、その値がネットワークの他のトンネルとは異なる場合、Azure 用に新規の作成が必要となります。Perfect Forward Secrecy (PFS) 無しの場合、DH グループには "no-pfs" を選択するのが正しいです。 注: ライフタイムのサイズは 98 GB になります。 トンネルがこれ 1 つのみの場合、または、他のトンネルが同一の設定を使用する場合は、デフォルトの設定を修正することができます。 IKE ゲートウェイの作成で、Palo Alto Networks ファイアウォールの外部インターフェイスを選択し、「Local IP Address」にそのインターフェイスの IP を選択します。この IP アドレスは、トンネル接続する Azure の「ローカル アドレス」にて設定された「VPN ゲートウェイ アドレス」と一致します。「Peer IP Address」は、同一の Azure 仮想ネットワークの Azure 仮想ネットワーク ダッシュボードから取得できます。「Local Identification」の IP アドレスは、同じ画面上の「Local IP Address」と一致している必要があります。「Pre-shared Key」は Azure 仮想ネットワークの Azure 仮想ネットワーク ダッシュボード上の「キーの管理」をクリックすることで取得できます。あとはコピー & ペーストするだけです。 次に、先ほど作成したトンネル インターフェイス、IKE ゲートウェイ、IPSec 暗号化プロファイルで、新規に IPSec トンネルを設定します。 「Proxy IDs」タブに移動し、適切なローカル サブネットおよびリモート サブネットで最低 1 つの ID を作成します。「Local」は、Palo Alto Networks ファイアウォール IPSec トンネル エンドポイントの適切なゲートウェイ アドレスが設定された Azure の「ローカル ネットワーク」の定義に一致している必要があります。「Remote」は Azure のアドレス空間の設定に一致している必要があります。 最後に、トンネル インターフェイスを経由して Azure 仮想ネットワークへトラフィックを転送するためのルートを作成します。 この時点で Azure 仮想ネットワークに ping するとトンネルがアップするはずですが、もしアップしない場合は System ログを確認しトラブルシューティングを行います (例えば、ping 応答は無いが、他の通信はできている、など)。   注: このドキュメントは次のディスカッションから作成されました: How to configure PAN to Azure VPN tunnel 著者:panagent
記事全体を表示
kishikawa ‎06-08-2016 04:37 AM
3,988件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 SYN-ACK Issues with Asymmetric Routing https://live.paloaltonetworks.com/t5/Configuration-Articles/SYN-ACK-Issues-with-Asymmetric-Routing/ta-p/54090   問題 非対称ルーティング環境での共通の問題として、以下のような事象が発生することがあります。 ウェブサイトが部分的にしかロードされない アプリケーションが動作しない   原因 デフォルトでは、"TCP reject non-SYN" フラグが yes に設定されています。これは、アプリケーションデータが許可されるためにはコネクションが同一のファイアウォールを通って開始されなければいけないことを示しています。もし SYN パケットが 1 台目のファイアウォールを通過し、SYN/ACK パケットが別のファイアウォールを通過した場合、コネクションの最初のパケットは 1 台目のファイアウォールで利用されているため、SYN/ACK パケットは拒否されることになります。 non-SYN TCP が発生したフローについては "show counter global" の "flow_tcp_non_syn_drop" をチェックしてください。 > show counter global | match drop name                    value    rate severity  category  aspect    description -------------------------------------------------- --------------------------------- flow_rcv_err            1705        0 drop      flow      parse    Packets dropped: flow stage receive error flow_rcv_dot1q_tag_err  7053        0 drop      flow      parse    Packets dropped: 802.1q tag not configured flow_no_interface        7053        0 drop      flow      parse    Packets dropped: invalid interface flow_ipv6_disabled      20459        0 drop      flow      parse    Packets dropped: IPv6 disabled on interface flow_tcp_non_syn_drop    156        0 drop      flow      session  Packets dropped: non-SYN TCP without session match flow_fwd_l3_mcast_drop  14263        0 drop      flow      forward  Packets dropped: no route for IP multicast flow_parse_l4_cksm          1        0 drop      flow      parse    Packets dropped: TCP/UDP checksum failure flow_host_decap_err        31        0 drop      flow      mgmt      Packets dropped: decapsulation error from control plane flow_host_service_deny  90906        0 drop      flow      mgmt      Device management session denied flow_lion_rcv_err        1700        0 drop      flow      offload  Packets dropped: receive error from offload processor "show counter global | match drop" コマンドを複数回実行し、drop のカウンタが増加しているかどうか確認します。   現在の設定を確認するには、以下コマンドを実行します。 > show session info -------------------------------------------------- ----------------------------- number of sessions supported:                  262143 number of active sessions:                      1 number of active TCP sessions:                  0 number of active UDP sessions:                  0 number of active ICMP sessions:                0 number of active BCAST sessions:                0 number of active MCAST sessions:                0 number of predict sessions:                    0 session table utilization:                      0% number of sessions created since system bootup: 7337 Packet rate:                                    8/s Throughput:                                    3 Kbps -------------------------------------------------- ----------------------------- session timeout   TCP default timeout:                          3600 seconds   TCP session timeout before 3-way handshaking:    5 seconds   TCP session timeout after FIN/RST:              30 seconds   UDP default timeout:                            30 seconds   ICMP default timeout:                            6 seconds   other IP default timeout:                      30 seconds   Session timeout in discard state:     TCP: 90 seconds, UDP: 60 seconds, other IP protocols: 60 seconds -------------------------------------------------- ----------------------------- session accelerated aging:                      enabled   accelerated aging threshold:                  80% of utilization   scaling factor:                              2 X -------------------------------------------------- ----------------------------- session setup   TCP - reject non-SYN first packet:            yes   hardware session offloading:                  yes   IPv6 firewalling:                            no -------------------------------------------------- ----------------------------- application trickling scan parameters:   timeout to determine application trickling:  10 seconds   resource utilization threshold to start scan: 80%   scan scaling factor over regular aging:      8 -------------------------------------------------- -----------------------------   解決方法 この事象に関しては 2 つの回避策があります。 非対称ルーティングとならないようネットワーク構成を変更し、通信が開始されたファイアウォール上を全ての戻りトラフィックが通過する構成とする SYN パケットで開始されなかったコネクションを拒否するオプション (tcp-reject-non-syn) をオフにする 一時的に non-SYN TCP フローを拒否するオプションを無効にするには、以下のコマンドを実行します。これは機器が再起動されるまで有効です。 > set session tcp-reject-non-syn no 恒久的にこのオプションを無効にするには、以下を実行します。 > configure # set deviceconfig setting session tcp-reject-non-syn no # commit ファイアウォール上で non-SYN TCP フローが確立されるかどうか確認するには、以下コマンドを実行します。 > show session info . . . . -------------------------------------------------- ------------------------------ Session setup   TCP - reject non-SYN first packet:            False   Hardware session offloading:                  True   IPv6 firewalling:                              True   著者: panagent
記事全体を表示
hfukasawa ‎05-23-2016 12:33 AM
10,397件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Graphic Traffic Monitoring for Interfaces - QoS Statistics https://live.paloaltonetworks.com/t5/Management-Articles/Graphic-Traffic-Monitoring-for-Interfaces-QoS-Statistics/ta-p/56912   概要 NetFlow や SNMP のようなファイアウォールの監視プロトコルや、 Pan(w)chrome のようなアプリケーションを使用することで、 Palo Alto Networks ファイアウォールのインターフェイスを通過するトラフィックを表示することができます。Netflow のために ntop や nfsen 、または SNMP のために MRTG や Cacti のようなツールを実装することは、展開するための余計な労力を必要とします。さらに Netflow コレクタはアプリケーションで対応していない場合、ドリル ダウンしたりグラフィカルにトラフィックを表現できないかもしれません。 トラフィックのグラフィカルな可視化は、ネットワーク飽和の原因を特定する際や、 iperf のようなツールを用いてネットワークのスループットを測定する際に役立ちます。 PAN-OS に組み込まれたグラフ化ツールはインターフェイスを通過するトラフィック量を可視化するのに役立ちます。 この記事では PAN-OS でグラフ化ツールを使用する方法と、アプリケーションによるグラフのグループ分けに役立つ QoS クラスの活用について説明します。 注: 実際のトラフィックに QoS は適用されません。 QoS を適用したい場合は PAN-OS Administrator's Guide の Quality of Service を参照してください。   手順 WebGUIにて Network > QoS に移動し、追加をクリックする: 情報を入力し監視するインターフェイスを選択します。グラフで表されるトラフィックは出力インターフェイスのものとなります。ISP に 接続している Untrust インターフェイスを選択している場合、グラフはアップロード トラフィックを表すことになります。このインターフェイスは IPSec トンネルに関連付けることもできます。IPSec トンネルが存在する場合、「トンネル対象トラッフィク」タブでトンネル インターフェイスについての情報を入力します。 注:インターフェイスから出力されるトラフィックを可視化するのに役立つので、ダウンロード トラフィックを可視化するために、内部ネットワークに面した各インターフェイスを QoS インターフェイスに追加します。 Commit を実行し、右側の"統計"をクリックします。 次の例では現在のアップロード トラフィック、または選択したインターフェイスから出力されるトラフィックのグラフを示しています: 注: 全てのトラフィックはデフォルトでは"class4"として分類されます。   QoS クラスへのアプリケーション マッチ 特定のアプリケーションやアプリケーション グループは QoS ポリシー上で定義することができ、アプリケーション単位でのクラス分類が可能となります。これはインターフェイスから出力される特定の種類のトラフィック可視化や定量化に役立ちます。   次のスクリーン ショットではクラス8としてピア ツー ピア トラフィックがどのように観測されるかを表します。 ピア ツー ピア トラフィックを表示するには以下の手順に従ってください: どのようなアプリケーションがインターフェイス上を通過しているかを確認するには、アプリケーション タブに移動します。 クラス毎のグラフを組み合わせて参照する場合はデフォルト グループを選択します。   QoSクラス毎の動作定義 QoS プロファイルは各QoSクラスの動作を定義するように変更することができます。詳細については PAN-OS Administrator's Guide をご参照ください。   注: 同時に複数のグラフを参照したい場合は、別のブラウザ タブやウィンドウに分けて開きます。  
記事全体を表示
tsakurai ‎05-21-2016 07:51 AM
4,458件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure the Management Interface IP https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-the-Management-Interface-IP/ta-p/60493   概要 このドキュメントでは Palo Alto Networks デバイスの管理インターフェイスの IP アドレスを設定する方法を説明します。   手順 CLI (コマンド ライン インターフェイス):   >>> Palo Alto Networks デバイスにコンソール接続します。   コンフィグレーション モードに入ります。 > configure 次のコマンドを使用して管理インターフェイスの IP アドレスを設定します。 # set deviceconfig system ip-address <ip address> netmask <netmask> default-gateway <default gateway> dns-setting servers primary <DNS ip address> 変更をコミットします。 # commit   WebGUI (グラフィカル ユーザー インターフェイス): Device > Setup > Management へ移動します。 右上角の Edit アイコンをクリックし、管理インターフェイスの IP アドレスを設定します。 Device > Setup > Services へ移動します。 Edit アイコンをクリックし、DNS サーバーを追加します。 OK をクリックして変更をコミットします。   著者: jebel
記事全体を表示
kishikawa ‎04-30-2016 09:38 PM
6,289件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Session Tracker Feature https://live.paloaltonetworks.com/t5/Learning-Articles/Session-Tracker-Feature/ta-p/61790   PAN-OS 6.0, 6.1   詳細 PAN-OS 6.0 において、"show session id" コマンドでのセッション終了理由の追跡機能が追加されました。セッションの終了理由が、"show session id <ID番号>" 結果の下部にある "tracker stage firewall" 部分に出力されます。 セッションはパケットの処理の様々なフェーズでクローズされる可能性があります。例えば、以下のようなケースがあります。 セッションが拒否された、あるいはタイムアウトした 脅威が検知されたことによりパケットが破棄された エンド端末によりリセットされた セッション追跡の目的は、特定のセッション上で取られたアクションに対して、より明確な理由を確認することにあります。表示された情報によって、セッション切断について過去に遡って分析することが出来ます。また多くの場合事象を再現させることは難しいですが、この機能によって事象再現に要する時間を削減することが出来ます。 以下のような複数のステータスが用意されています。   Aged out - セッションがタイムアウトにより終了しました。 TCP FIN - 接続の一方または両方のホストが TCP FIN パケットを送信してセッションをクローズしました。 TCP RST - client - クライアントがサーバーへ TCP リセットを送信しました。 TCP RST - server - サーバーがクライアントへ TCP リセットを送信しました。 appid policy lookup deny - セッションが、拒否またはドロップ アクションが指定されたセキュリティ ポリシーと一致しました。 mitigation tdb - 脅威を検知したためセッションは終了しました。 resource limit - セッションがリソース制限の問題によりドロップされました。たとえば、セッションの順序外パケット数が、フローまたはグローバル順序外パケット キューごとに許容された数を超えた場合などが考えられます。他の多数の理由によっても出力される場合があります。 host service - トラフィックがファイアウォールへ送信されましたが、サービスが許可されていないあるいは有効になっていません。 以下は "show session id" コマンドのセッション終了理由の例です。   > show session id 4632   Session            4632   c2s flow: source:      192.168.210.103 [trust] dst:         198.172.88.58 proto:       6 sport:       4475            dport:      80 state:       INIT            type: FLOW src user:    unknown dst user:    unknown pbf rule:    wt-VPNTest 1   s2c flow: source:      198.172.88.58 [VPN] dst:         192.168.210.103 proto:       6 sport:       80              dport:      4475 state:       INIT            type:       FLOW src user:    unknown dst user:    unknown   start time                    : Mon Sep  9 16:39:06 2013 timeout                       : 30 sec total byte count(c2s)         : 1063 total byte count(s2c)         : 1461 layer7 packet count(c2s)      : 12 layer7 packet count(s2c)      : 10   […..]   session via syn-cookies       : False session terminated on host    : False session traverses tunnel      : True captive portal session        : False ingress interface             : ethernet1/6 egress interface              : tunnel.179 session QoS rule              : N/A (class 4) tracker stage firewall        : TCP FIN   以下のコマンドは、"tracker stage" が有効なセッション一覧を出力させるコマンドです。   > show log traffic direction equal backward show-tracker equal yes Time                App             From            Src Port          Source Rule                Action          To              Dst Port          Destination Src User            Dst User        Session Info ================================================== ============================= 2013/09/09 16:44:01 flash           trust           4433              192.168.210.103 TCP-logging         allow           VPN             80                74.125.239.124                                                      TCP FIN 2013/09/09 16:44:00 incomplete      untrust         52405             10.30.6.210 allow-any           allow           untrust         135               10.30.14.212                                                      Aged out 2013/09/09 16:40:25 ms-update       trust           4402              192.168.210.103 TCP-logging         allow           VPN             80                96.17.148.40                                                      TCP RST – client   著者: djoksimovic  
記事全体を表示
hfukasawa ‎04-20-2016 03:09 AM
19,163件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure ISP Redundancy and Load Balancing https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-ISP-Redundancy-and-Load-Balancing/ta-p/58361   定義 ISP ロード バランシングは 1 つ以上のインターネット プロバイダがファイアウォールに接続している場合に使用されます。ポリシー ベース フォワーディング (PBF) は送信元サブネットに基づいてトラフィックを転送するために使用されます。 ISP 冗長化は、1 つのサービス プロバイダがダウンし、すべてのトラフィックがその他のサービス プロバイダにルーティングされる必要がある場合に使用されます。   通常、ファイアウォールはパケット中の宛先 IP アドレスを使用して出力インターフェイスを決定します。ファイアウォールは、そのインターフェイスが接続している仮想ルータに関連するルーティング テーブルを使用してルートのルックアップを行います。ポリシー ベース フォワーディング (PBF) を使用することにより、ユーザーは、ルーティング テーブルをオーバーライドして、送信元/宛先 IP アドレスやトラフィックのタイプのような特定のパラメータに基づいて出力インターフェイスを指定することができます。   次のトポロジーは以下を含んでいます: 2 つの内部サブネット サブネット1: 192.168.1.0/24 サブネット2: 172.16.1.0/24 2 つの ISP ゲートウェイ ISP1: 10.30.6.254 ISP2: 10.30.1.254   覚えておくべき 2 つの重要事項: PBF ルールは 1 つ目のパケット (SYN) または 1 つ目のパケットに対する最初のレスポンス (SYN/ACK) のいずれかに適用されます。アプリケーション固有のルールを PBF と併用することは推奨されません。 アドレス変換 (NAT) ルールは、セキュリティ ルールがコネクションにマッチしなかった場合は適用されません。そのため、アドレス変換が正常に行われるためにはセキュリティ ルールが適切に設定されている必要があります。   冗長化の設定 プライマリ ISP の設定: デフォルト ゲートウェイにトラフィックを転送する PBF ルールを作成する。 トンネル モニター プロファイルを追加して、アクションを「失敗した場合は無効」となるよう設定します。 モニター プロファイル:   この設定は、192.168.1.0/24 サブネットから送信されたすべてのトラフィックを強制的に Ethernet 1/3 から送出します。 モニター プロファイルは、IP アドレスをモニターするために設定します。このテスト コンフィグでは、モニター ファイル "multiple isp" はパブリック DNS 8.8.8.8 をモニターするために使用します。   モニターがこの IP アドレスに到達できなくなると、定義したアクション (fail-over) が発生します。PBF ルールは無効化され、下記にあるように、ファイアウォールは仮想ルータに作成されているスタティック ルートにフォールバックします。Path Monitoring が IP アドレスへの接続性を確認することで、ファイアウォールはトラフィックを代替ルートへ転送することが可能になります。ファイアウォールは、指定の IP アドレスが到達可能であることを確認するためにハートビートとして ICMP ping を使用します。   モニター プロファイルにて、IP アドレスが到達可能かどうかを判断するためのハートビート数のしきい値を指定できます。モニター対象の IP アドレスが到達不能な場合、ユーザーは PBF ルールを無効にするか、fail-over アクションか、wait-recover アクションを指定することができます。PBF ルールを無効にすると、仮想ルータがルーティングの決定を引き継ぐことができます。   セカンダリー ISP の設定 通常のメトリックでスタティック ルートを作成する   ロード シェアリングの設定   例 1: バックアップなしのロード バランシング この場合、PBF は、異なるサブネットからのトラフィックが各 ISP を経由して送信されるようにするために使用されます。このシナリオでは、サブネット 192.168.1.0/24 からのトラフィックはすべて Ethernet 1/3 から転送され、サブネット 172.16.1.0/24 からのトラフィックはすべて Ethernet 1/4 から転送されます。   ルール: Rule 1: サブネット 192.168.1.0/24 が 0.0.0.0/0 へ行く場合、ネクスト ホップは ISP 1 Rule 2: サブネット 172.16.1.0/24 が 0.0.0.0/0 へ行く場合、ネクスト ホップは ISP 2   例 2: ロード バランシングと冗長化 この場合、PBF は、送信元に基づいて特定のインターフェイスからトラフィックを転送するために使用されます。 ISP がダウンした場合のバックアップを設定します。   ルール: Rule 1: サブネット 192.168.0.0/24 が 0.0.0.0/0 へ行く場合、ネクスト ホップは ISP 1 Rule 2: サブネット 172.16.0.0/24 が 0.0.0.0/0 へ行く場合、ネクスト ホップは ISP 2 Backup for Rule 1: サブネット 192.168.0.0/24 が 0.0.0.0/0 へ行く場合、ネクスト ホップは ISP 2 Backup for Rule 2: サブネット 172.16.0.0/24 が 0.0.0.0/0 へ行く場合、ネクスト ホップは ISP 1 Rule 1 と Rule 2 は、例 1 と同じアクションを実行します。 バックアップ ルールにより、どちらかの ISP の接続が失敗した場合にトラフィックが接続性のある ISP を経由することが可能になります。   VPN を設定する場合 (IPSec または GlobalProtect)、VPN の設定方法に関する情報については下記ドキュメントを参照してください: GlobalProtect Client Issues with Multiple ISPs How to Configure Dual VPNs with Dual ISPs from a Single Firewall to a Remote Site Administrator Guide: PBF Section PBF Step by Step configuration Use Case for PBF   著者: dpalani
記事全体を表示
kishikawa ‎04-20-2016 03:07 AM
6,557件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure DNS Proxy on a Palo Alto Networks Firewall https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-DNS-Proxy-on-a-Palo-Alto-Networks-Firewall/ta-p/61619   概要 本文では Palo Alto Networks ファイアウォールにおける DNS Proxy 有効、設定、確認方法について記述しています。   手順 Webユーザーインターフェイス画面上: Network > DNS Proxyを選択 Add をクリックし、 DNS Proxy 設定画面を表示します。 DNS proxy を有効化するインターフェイスを選択します。下の図例では、 Ethernet 1/2 と 1/3 が選択されています。 ファイアウォールから DNS クエリーが転送される、プライマリーとセカンダリー サーバーが設定されています。 プライマリー サーバー 10.0.0.246 が設定されています。 静的エントリーを DNS Proxy に追加することができます。 FQDN と相対する Address 情報を Static Entries タブに追加します。 Palo Alto Networksファイアウォールは DNSサーバー からの結果を保持するかどうか設定できます。 DNSサーバー からの結果を保持する設定については、How to Configure Caching for the DNS Proxy を参照ください。 注意 : DNSエントリーが過去の結果から得られない場合、 Domain の検索が静的エントリー リストに対して実行されます。合致したエントリーが見つかった場合、それに応じたアドレスが提供されます。もし合致したエントリーがない場合、 DNS query の送信元が DNS Proxy が設定されたインターフェイスの場合(この設定例では Ethernet 1/2 か 1/3 になります)、 DNS リクエストは設定されたプライマリーかセカンダリー サーバーに送られます。 DNS Proxy Rulesタブでは、ルールを設定することができます。 Palo Alto Networks ファイアウォールでは、ドメイン名によって転送するプライマリーとセカンダリー サーバーを個別に設定ができます。以下の設定例では、 DNS proxy ルールにおいて、 techcrunch.com ドメイン名については、 DNS サーバー( 10.0.0.36 )に送付されます。 注意 : Palo Alto Networksファイアウォールはリバース DNS proxy ルックアップを実行できます。クライアント側で、 DNS proxy 設定されいてるインターフェイスの IP アドレスがクライアントに設定されている DNSサーバー で設定されている必要があります。   CLIによる設定 : > configure # set network dns-proxy dnsruletest interface ethernet1/2 enabled yes # set network dns-proxy dnsruletest default primary 10.0.0.246 # set network dns-proxy dnsruletest static-entries tss domain xyx.com address 1.1.1.1 # set network dns-proxy dnsruletest domain-servers test cacheable no primary 10.0.0.246 domain-name yahoo.com # commit   設定確認 DNS Proxyの設定は以下のコマンドにて確認します。 > show dns-proxy statistics all   Name: dnsruletest Interfaces: ethernet1/2 ethernet1/3 ethernet1/4 Counters:   Queries received from hosts:12   Responses returned to hosts:12   Queries forwarded to servers:6   Responses received from servers:6   Queries pending:0     TCP:0     UDP:0 --------------------------------------   > show dns-proxy cache all   Name: dnsruletest Cache settings:   Size:1024 entries   Timeout:14400 seconds                               Domain                 IP/Name                 Type  Class     TTL       Hits -------------------------------------------------- ---------------------------- 2.2.2.4.in-addr.arpa   b.resolvers.l evel3.net   PTR    IN      60598      1   さらなる解析情報として、 dnsproxyd.log を参照ください。 > tail follow yes mp-log dnsproxyd.log   デフォルトの動作として同じゾーンの通信は許可します。しかし "deny all" ルールが存在していると、セキュリティー ルールで通信を許可する必要があります。 DNS トラフィックを許可するセキュリティー ルールを追加してください。   注意 : DNS Proxyルールはマネージメント インターフェイスからの通信には適応されません。 例えば、マネージメント インターフェイスから DNS Proxy に定義されているエントリーに Ping した場合、 DNS Proxy ルールは適応されず、 DNSサーバー からのエントリーが使用されます。   参考 Not authorized to view the specified document 3522 Blocking Suspicious DNS Queries with DNS Proxy Enabled  
記事全体を表示
kkondo ‎04-11-2016 10:44 PM
7,950件の閲覧回数
0 Replies
  ※この記事は以下の記事の日本語訳です。 How to Factory Reset a Palo Alto Networks Device https://live.paloaltonetworks.com/t5/Management-Ar ticles/How-to-Factory-Reset-a-Palo-Alto-Networks-D ...   概要 後述の手順では、Palo Alto Networks デバイスのファクトリー リセット手順を紹介しています。 注釈:PAN-OS 6.0 (もしくは、6.0以降)をご利用で、かつSSHを使用してMaintenance Modeに入る場合、下記のリンクについてもご参照ください。 How to SSH into Maintenance Mode   手順 Palo Alto Networksから提供されているコンソールケーブルを使用し、コンピューターとPalo Alto Networks デバイスを接続します。接続に使用するターミナル ソフトでは、9600,8,n,1の設定を御利用ください。 注釈:御利用のコンピューターに9ピンのシリアル ポートが準備されていない場合、USB ポートを使い、USBシリアル変換ケーブルをご利用ください。 Palo Alto Networks deviceの電源を入れます。 起動中、ターミナル ソフトの画面に、メッセージが出力されます:(下記画面) maintenance modeに入るため、maint と入力します。 maintenance modeに入ると、下記画面が表示されます。 メニューを表示させるため、Enterをクリックします: Factory Reset を選択し、Enter をクリックします: Factory Reset を選択し、Enter をもう一度クリックします。   参考 Admin-Admin not Working After Factory Reset  (英文)
記事全体を表示
kkawachi ‎04-06-2016 05:21 PM
12,051件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure a Palo Alto Networks Firewall with Dual ISPs and Automatic VPN Failover https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-a-Palo-Alto-Networks-Firewall-with-Dual-ISPs/ta-p/59774     概要 本文書はVPNトンネルを用いて2つのISP接続をPalo Alto Networks ファイアーウォールに設定する際の、設定手順を解説します。   設定目標: 1つのデバイスが2つのインターネット接続を持つ(高可用性) 静的なサイト間VPN インターネット接続とVPNの自動フェイルオーバー   構成 この構成は本社、支社間の接続方法として一般的なものです。ISP1は Ethernet1/3でプライマリとして、ISP2はバックアップとしてEthernet1/4に接続します。   設定 2つのファイアウォールの設定は同一のため、ここでは1台についてのみ説明します。この例では2つのヴァーチャルルーター(VR)を設定します。 インターフェイス設定 2つのインターフェイスを設定: Eth 1/3: 10.185.140.138/24 (ISP1に接続) をuntrust zoneに配置 Eth 1/4: 10.80.40.38/24 (ISP2に接続)を the untrust zoneに配置   ヴァーチャルルーター 2つのヴァーチャルルーター を設定: VR1: プライマリ (ISP1) (Ethernet1/3) VR2: セカンダリ (ISP2) (Ethernet1/4)   各VRに1つのISP向けインターフェイスを追加しますが、他のすべてのインターフェイス(将来の追加分も含め)はセカンダリのVRに追加します。これはメインのISP障害時に、すべてのインターフェイスの存在をコネクティッドルートとVR上のルートによって、ルーティングを用いて明示するためです。 プライマリのVRにはEthernet1/3を追加 プライマリVRのルートはデフォルトルートと、すべてのプライベートアドレスの戻りルートとなり、これらはインターフェイスのConnectedルートがあるセカンダリVRに向かいます。トラフィックがPBFによってインターフェイスから出力される場合、それらのトラフィックはセカンダリVRの生存しているインターフェイスによって戻りのルートを知ることになります。 セカンダリVRには  下記の通りEthernet1/4 と他のすべてのインターフェイスを追加。 セカンダリVRに接続したインターフェイスのルートは、ルーティング上にコネクティッドルートとしてルーティングテーブルに現れます。そして、トンネル向けのルートはポリシーベースフォワーディング(PBF)にて扱われます。 プライマリISP向けインターフェイスからトラフィックを出力するために、PBFの送信元ルーティングにてTrustedゾーンを追加します。 ファイアウォールはPBFにてプライベートネットワーク向けにトラフィックを転送しません。これはプライベートアドレスはインターネット上ではルーティングされないためです。プライベートアドレスの転送が必要となるため、Negateをチェックします。 下記の例の通り、プライマリインターフェイスから出力するように設定し、またモニター機能にてルールを無効化を設定します。すべてのコネクティッドルートを持つセカンダリVRのルーティングテーブルを使って切り替えを行います。 送信元NATポリシーを両方のISP用に設定します。両方のNATルールにて"元のパケット"タブにある宛先インターフェイスを確実に設定してください。 複数のVRを設定するのは、両方のトンネルが同時にアップとなり稼働するためです。もしISP1へのVPNの接続性の問題が発生すれば、すみやかにISP2にフェイルオーバーします。もしISP2へのバックアップVPNがネゴシエーション済みであれば、フェイルオーバーの高速化につながります。   フェーズ1設定 それぞれのVPNトンネルのためIKEゲートウェイを設定します。   フェーズ2設定 それぞれのVPNトンネルにIPSecトンネルを設定します。トンネルが別の Palo Alto Networks ファイアウォールに接続する場合、 IPSecトンネルにてトンネルモニターによるフェイルオーバーを設定します。そうでない場合はPBFでモニターを有効化し、セカンダリのトンネルにルートする設定を行います。   トンネルモニタリング(Palo Alto Networks ファイアウォール同士の接続) トンネルモニター有りのプライマリトンネル。 トンネルモニター有りのセカンダリトンネル。 モニターのプロファイルにて、アクションでフェイルオーバーを選択。 この設定方法ではトンネルモニターに2つのルートがルーティングテーブルにあることを利用します。1つ目のルートはメトリック10のプライマリVPNトラフィック向け、2つ目はメトリック20のセカンダリVPN向けです。トンネルはセカンダリVRで終端されるので、これらのルートはセカンダリのVRに置かれます。   ポリシーベースフォワーディング (Palo Alto Networks ファイアウォールと他ベンダーのファイアウォールとの接続) この設定方法は2つのファイアウォール感での接続に使用されます。 送信元ゾーンを設定します。 対抗のネットワーク向けの宛先トラフィックを指定します。(この例では192.168.10.0/24)。 トラフィックをトンネルに転送します。 PBFが無効になると宛先は到達不能となるので、もう一つのVPNはルーティングテーブルを使用し始めます。そのルーティングテーブルには、同じ宛先ですが、別に設定したトンネルがエントリとして存在しています。   注: 上記の例では接続性を確認するため192.168.10.2にプローブをします。プローブは送信元IPアドレスがなければならず、出力インターフェイス、つまりトンネルインターフェイスのIPアドレスを使用します。もしIP アドレスがトンネルインターフェイスに設定されていないと、PBFルールは有効になりません。この設定例では、例えば172.16.0.1/30といった任意のIPが設定されている必要があります。192.168.10.2宛のスタティックルートはトンネルインターフェイスを選択の上、ネクストホップを指定しなければなりません。さもないとファイアウォールから開始されるトラフィックがPBF対象とならずに、PBFは常に失敗します。対抗のデバイスが復路のパケットを適切に送信できることを確認する必要があります。Cisco ASAを使用している場合、172.16.0.1/30宛の復路のトラフィックを適切に処理できることを確認しておいてください。さらに、Palo Alto NetworksファイアウォールでのIPSecトンネルのプロキシIDを設定しておく必要があります。     著者: rvanderveken
記事全体を表示
TShimizu ‎04-04-2016 09:37 PM
3,114件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 IPSec VPN Error: IKE Phase-2 Negotiation is Failed as Initiator, Quick Mode https://live.paloaltonetworks.com/t5/Management-Articles/IPSec-VPN-Error-IKE-Phase-2-Negotiation-is-Failed-as-Initiator/ta-p/60725   問題 Palo Alto Networks ファイアーウォール と他ベンダーの機器間で拠点間 IPsec VPN (site-to-site IPsec VPN) を設定した際、IKEフェーズ1 は成功しますが、IKEフェーズ2 のネゴシエーションに失敗します。 ikemgr.logの内容を以下のコマンドで確認します。 > tail follow yes mp-log ikemgr.log   以下のエラーが確認されます: ( description contains 'IKE protocol notification message received: INVALID-ID-INFORMATION (18).' ) および IKE phase-2 negotiation is failed as initiator, quick mode. Failed SA: 192.168.1.150[500]-192.168.5.108[500] message id:0x43D098BB. Due to negotiation timeout   解決策 最も良くあるIKEフェーズ2失敗の原因は、Proxy ID の不一致によるものです。 Palo Alto Networksファイアーウォールと他ベンダーの機器上でProxy ID の設定を確認します。 Note: 他ベンダーの機器上では、Proxy ID は アクセスコントロールリスト(アクセスリスト、ACL)と呼ばれる場合があります。 IPsec でネゴシエーションされる暗号化方式についても、両サイドで確認します。
記事全体を表示
dyamada ‎04-01-2016 07:39 AM
3,747件の閲覧回数
0 Replies
Ask Questions Get Answers Join the Live Community