ナレッジドキュメント

※この記事は以下の記事の日本語訳です。 How to Allow a Single YouTube Video and Block All Other Videos https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClGzCAK     1 つの YouTube 動画へのアクセスのみ許可し、それ以外の動画は全てブロックする方法 この記事は、1つのYouTube動画(https://www.youtube.com/watch?v=hHiRb8t2hLM)へのアクセスのみ許可し、それ以外の動画のアクセスは拒否したい場合の例です。 これを達成するには、以下の手順に従ってください。   手順 URL フィルタリングプロファイルにて、streaming-mediaをブロックに設定してください。WebGUI > Objects > セキュリティ プロファイル > URL フィルタリング > 利用したい URL フィルタリングプロファイルをクリックします。 これはURL フィルタリングプロファイルでstreaming-mediaをブロックに設定した際の画面です。   Objects > カスタム オブジェクト > URL カテゴリ から、カスタム URL カテゴリを作成します。 カスタム URL カテゴリには以下のエントリを追加する必要があります。   *.youtube.com *.googlevideo.com www.youtube-nocookie.com www.youtube.com/yts/jsbin/ www.youtube.com/yts/cssbin/   これですべてのYouTubeページやコンテンツが復号化され、完全なHTTP GETが取得できるようになります。   「SSL フォワードプロキシ」タイプの復号ポリシーを追加し、その「サービス/URL カテゴリ」に、上記で追加したカスタムURLカテゴリを設定します。 SSL 復号に関しては、以下の記事を参照してください。 How to Implement and Test SSL Decryption URL フィルタリングプロファイルに移動し、以下のURLを許可リストに追加します。   www.youtube.com/watch?v=hHiRb8t2hLM *.googlevideo.com   1つ目のエントリはコンテナページ自体のURL、2つ目の *.googlevideo.comは、*.googlevideo.com の Google CDN で表示されるコンテナページから取得されるメディアを許可します。   また、URLフィルタリングプロファイル上で、作成したカスタムURLカテゴリが"allow"になっていることを確認してください。 これはURLフィルタリングプロファイルで許可リストを設定した際の画面です。   Commitを実行し、動作をテストします。   Milvaldiの貢献に感謝します。   注:この手順はこの記事が発行された時点では有効でしたが、YouTubeはサーバーの設定を絶えず変更しているため、今後動作しなくなる可能性もあります。   著者: jdelio  
記事全体を表示
hfukasawa ‎12-21-2018 02:50 AM
6,108件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Packet drop caused by DoS Protection Rule with "src-dest-ip-both" Classified setting https://live.paloaltonetworks.com/t5/Configuration-Articles/Packet-drop-caused-by-DoS-Protection-Rule-with-quot-src-dest-ip/ta-p/227001     事象 DoS プロテクション ルール適用後にパケット ドロップが発生。 脅威ログには、DoS  プロテクションに関連したログは生成されない。   この事象は、DoS プロテクション ルールにおいて Classified 設定がされており、その中のアドレスの設定で "src-dest-ip-both" を選択した際に起きる傾向にあります。   この問題は、実際のアクティブ セッション数がプラットフォームがサポートする最大セッション数、また DoS プロテクション プロファイル内の "最大同時セッション数" よりも少ない状況下であっても起き得ます。     この間、以下のグローバル カウンターがカウントされます。 flow_dos_rule_drop             Packets dropped: Rate limited or IP blocked flow_dos_rule_drop_classified  Packets dropped: due to classified rate limiting flow_dos_no_empty_entp         Unable to find empty classified entry during insertion   原因 もし上記のカウンターに同じ数の上昇が見受けられるようであれば、 classificationテーブルへの ハッシュの挿入に失敗したことによるパケットがドロップが起きたことを指し示します。 ハッシュの挿入の失敗は、 classificationテーブルを使い切ってしまった場合か、ハッシュの衝突が起きたときに発生します。 "src-dest-ip-both" の設定を行った場合、ファイアウォールは送信元IPと宛先IPのペアを基にセッションをトラックする必要があり、それによってより多くのエントリーがclassificationテーブルに追加されることになります。エントリー数が増えれば増えるほど、ハッシュの衝突が起きる可能性は高くなります。   解決方法 -  Classified設定の中で、"src-dest-ip-both" の代わりに  "source-ip-only" または "destination-ip-only" を選択する。 - Classified設定の代わりにAggregate設定を使用する。 - "debug dataplane reset dos classification-table" コマンドを実行し、classificationテーブルをクリアする。注: これは一時的な回避策となります。 - DoS プロテクション ルールを設定する際に、適用範囲をより限定的にする。例えば、すべてのゾーンを含めるのではなく、適用するゾーンの数を減らす等。      
記事全体を表示
ymiyashita ‎08-26-2018 04:56 PM
4,191件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Backing Up and Restoring Configurations https://live.paloaltonetworks.com/t5/Featured-Articles/Backing-Up-and-Restoring-Configurations/ta-p/65781   パロアルトネットワークス次世代ファイアウォールのバックアップからの設定情報の復元方法、保存とコミットの違い、Device > Setup > Operations > Configuration Management配下の様々なアクションについて学びます。         保存とコミットの違い   変更を設定情報ファイルに保存することと、変更をファイルにコミットすることは大きな違いがあります。パロアルトネットワークスは管理者が将来利用目的で、変更したり、それらを保存したりすることができます。しかしながら、管理者が変更を設定ファイルにコミットした場合、変更は、実行中の設定に上書きされ、即有効となります。   それゆえに、設定変更を加える前に、 実行中の設定を保存することをお勧めします。シリアスな設定ミスをして、バックアップを取得しておかなかったために、変更を戻したり、前回の設定に引き戻しすることが困難になります。   設定の保存、リストアについて パロアルトネットワークスのオペレーティングシステムは管理者に以下のオプションを提供します:     検証 候補設定の検証 戻す 最後に保存した設定に戻す   実行中の設定に戻す 保存 名前付き設定スナップショットの保存   候補設定の保存 ロード 名前付き設定スナップショットのロード   設定バージョンのロード エクスポート 名前付き設定スナップショットのエクスポート   設定バージョンのエクスポート   デバイス状態のエクスポート インポート 名前付き設定スナップショットのインポート   デバイス状態のインポート   検証—候補設定の検証   候補設定のエラーをチェックします。パロアルトネットワークスOSでは、管理者がコミットしていない、保存した設定ファイルの検証をすることができます。検証プロセスでは、設定情報上の、可能性のあるエラー、競合を精査します。管理者には出力結果が提示されます。この機能は、設定ミスや、間違った設定情報ファイルをロードすることを避けるのに、役立ちます。   戻す   もし設定情報の間違いをしてしまった場合に、オペレーティングシステムは最後に保存した設定情報、実行中の設定に即座に戻すことができます。最後に保存した設定情報、実行中の設定に違いがある場合、これらの2つのオプションは、ワンクリック復元と呼びます。どのファイルから復元するかは選択できません。両方のオプションは、2つの違う情報ソースから設定を復元します:   保存した設定情報から戻すのは、xmlファイルから復元します。 実行中の設定から戻すのは、running-config.xmlファイルから復元します。   最後の保存した設定情報に戻す   戻すオプションは、ローカル装置上の最後に保存した候補設定から復元します。現在の候補設定は上書きされます。 候補設定が保存されていない場合、エラーが発生します。重要な装置を設定している際に、素早く復元する便利な機能です。   これは最初に表示されるプロンプトで、復元を継続していいか聞いています。   2個目のメッセージでは、どのファイルから復元したか通知します。     パロアルトネットワークスの装置は、実行中の設定のスナップショットを生成し、ハードディスク上に保存します。実行中の設定の新しいバージョンは、変更したり、コミットした際に毎回作られます。これはとても便利な機能で、管理者が意図していない変更を加えた場合に素早く設定情報を以前の状態に戻すことができます。   実行中の設定に戻す   このオプションは、running-config.xmlから設定を復元します。現状の実行中の設定は上書きされます。   これは最初に表示されるプロンプトで、復元を継続していいか聞いています。     2個目のメッセージでは、どのファイルから復元したか通知します。       設定ファイルを保存する   設定ファイルを保存する方法は2つあります。   名前付き設定スナップショットを保存する。 候補設定を保存する。   これらはどういう違いがあって、なぜ2つのオプションがあるのでしょうか?   名前付き設定スナップショットの保存オプションは候補設定をファイルに保存します。保存している設定情報ファイルは実行中の設定に上書きされません。この機能は、バックアップファイルを作成したり、将来的に変更、もしくはラボ環境で試験をするためにダウンロードされた試験用の設定情報ファイルとして利用するのにとても便利です。ファイルに名前付けすることも、既存のファイルに上書きすることも可能です。注意:実行中の設定(running-config.xml)には上書きできません。   候補設定を保存 候補設定をフラッシュメモリ(ページトップにある、Saveをクリックするのと同様の意味)に保存します。   名前付き設定スナップショットのロード   候補設定を実行中の設定(running-config.xml)もしくは、以前インポートされた、保存された設定情報からロードします。ロードすべきファイルを選択します。現行の候補設定は上書きされます。   設定バージョンのロード 特定バージョンの設定情報をロードします。   名前付きされた設定スナップショットのエクスポート 実行中の設定情報(running-config.xml)もしくは過去に保存、インポートされた設定情報をエクスポートします。エクスポートすべきファイルを選択します。ファイルを開く、もしくはネットワーク上のロケーションに保存します。   設定情報バージョンのエクスポート 特定バージョンの設定情報をエクスポートします。   Panoramaおよびデバイスの設定バンドルのエクスポート(Panoramaのみ) Panoramaと管理している各々のファイアウォールの最新バージョンの実行中の設定情報バックアップを手動で生成、エクスポートします。自動的に生成、エクスポートするバンドル設定情報を日次でSCPもしくはFTPサーバに保存する方法については“Scheduling Configuration Exports"を参照ください。   デバイス状態のエクスポート(ファイアウォールのみ) この機能は設定情報と動的情報をGlobalProtectポータルにて、大規模なVPN機能を有効設定しているファイアウォールからエクスポートする場合に使われます。もしポータルが失敗に遭遇している場合に、エクスポートされたファイルをインポートすることによって、ポータルの設定や、動的情報を復元することができます。   エクスポートされたファイルには、ポータルが管理しているサテライトデバイスリストや、エクスポートされたタイミングでの実行中の設定情報、そして、全ての証明書情報(Root CA, サーバ情報、サテライト証明書)が含まれます。   重要 : 手動で、機器ステートのエクスポートを走らせるか、ファイルをリモートサーバにエクスポートするスケジュールされたXML APIスクリプトを作成する必要があります。サテライト証明書がしばしば変更になる可能性があるため、これは定期的に実施する必要があります。   デバイス状態ファイルをCLIから作成するためには、設定モードから、デバイス状態の保存を実行する必要があります。 ファイル名はdevice_state_cfg.tgzとなり、/opt/pancfg/mgmt/device-stateディレクトリに保存されます。ファイルをエクスポートするオペレーショナルコマンドは、scp export device-state(tftp export device-stateも利用可能)です。XML APIを使用した情報については、XML API Usage Guideを参照ください。   名前付き設定スナップショットのインポート 設定情報ファイルをネットワークのロケーションからインポートします。Browseをクリックし、設定すべき設定情報ファイルを選んでください。   デバイス状態のインポート (ファイアウォールのみ) エクスポートオプションを使ってエクスポートされたデバイス状態をインポートします。これは、実行中の設定、Panoramaテンプレート、共有のポリシーを含みます。もし装置がGlobal Protectポータル設定がある場合、エクスポートされたファイルは、証明局(CA)情報、サテライト装置のリスト、そしてそれらの認証情報を含みます。   著者: rchougale
記事全体を表示
kkondo ‎08-16-2018 10:27 PM
7,676件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Tips & Tricks: What Does Application-default Under Service Mean? https://live.paloaltonetworks.com/t5/Learning-Articles/Tips-amp-Tricks-What-Does-Application-default-Under-Service-Mean/ta-p/54167     サービスの Application-default は何を意味するか? ルールを作成する際には、ルールを構成する多くのコンポーネントがあります。よく質問される紛らわしいものの1つは、サービスの設定にある"Application Default"です。   "サービス/URL カテゴリ"セクションでは、アプリケーションが使用するポートを定義できます。 例: アプリケーション "web-browsing" (http)は、TCP ポート 80を使用します。 どのルールの中であっても、"サービス/URL カテゴリ"タブの下には、画面の左側にドロップ ダウン メニューがあります。 次の3つのオプションを見ることができます: Any 選択 (Select) Application-default   これらはどういう意味ですか? Any - これは単純に全てのポート(TCP/UDP: 1-65535)を意味します。選択したアプリケーションは、全てのプロトコルまたはポートで許可または拒否されます。 選択 (Select) - これは許可またはブロックしたいアプリケーションが使用するTCPまたはUDPのポートを正確に指定する必要があることを意味します。既存のサービスを選択するか、"サービス"または"サービス グループ"をクリックし、新しいエントリを作成します。 Application-Default - これは選択したアプリケーションがPalo Alto Networksによって定義された標準ポートでのみ許可または拒否されることを意味します。アプリケーションが通常ではないポートやプロトコルで実行されることを防ぐのでこのオプションは許可ポリシーの作成において推奨されています。通常ではないポートやプロトコルの通信は、意図的ではない場合、望ましくないアプリケーションの動作や使用状況の兆候となります。 注: このオプションを使用する場合、デバイスは引き続き全てのポートで全てのアプリケーションをチェックしますが、この設定ではアプリケーションは標準ポート/プロトコルでのみ使用できます。   以下にDNSを例として見てみます: 最初のルールはDNS アプリケーションを許可するように設定されていますが、サービスとしてUDP ポート 53のみが設定されています。 2番目のルールはDNS アプリケーションを許可するように設定されていますが、サービスとして"application-default"が設定されています。   これはDNSがTCP ポート 53を使用していた場合、これが最初のルールで許可されないことのデモンストレーションです。 しかし、2番目のルールはそれを許可します。   DNSアプリケーションを確認する場合は、Objects > アプリケーション へ移動し、検索スペースに"DNS"と入力し、下部の一覧表示から"dns"をクリックすると、次の画面が表示されます: アプリケーションの標準ポートが一覧表示されています: tcp/53, udp/53, 5353   最初のルールではUDP ポート 53のみが許可されており、アプリケーションがTCP ポート 53やUDP ポート 5353を使用する場合は、ルールで"application-default"が使用されていないので許可されません。 これはアプリケーションをブロックするためにも使用できます。これは全てのTCPまたはUDP ポートを指定する代わりに、"application-default"を許可するほうがはるかに簡単であることを示す簡単な例です。   これはアプリケーションとして"any"が設定されたルールにも適用され、どのアプリケーションと識別されたとしても、そのアプリケーションでは標準ポートのみ許可されます。   CLIを用いてアプリケーションの標準ポートに関する詳細を表示するには以下記事を参照してください: How to View Application-Default Ports for an Application (英文)   著者: Joe Delio  
記事全体を表示
tsakurai ‎07-30-2018 01:45 AM
5,241件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Tips & Tricks: How to Create an Application Override https://live.paloaltonetworks.com/t5/Learning-Articles/Tips-amp-Tricks-How-to-Create-an-Application-Override/ta-p/65513   アプリケーション オーバーライドとは? アプリケーション オーバーライドは、Palo Alto Networks ファイアウォールを通過する特定のトラフィックに対して、通常のアプリケーション識別(App-ID)を特定のアプリケーションで上書きするように設定することです。アプリケーション オーバーライド ポリシーが有効になると、すぐにそのトラフィックの全てのApp-ID検査が停止され、セッションのアプリケーションはカスタム アプリケーションとして識別されます。   使用例 あなたはアプリケーション識別を上書きする必要がある理由を尋ねるかもしれません。場合によって、顧客固有のニーズに対応する独自のカスタム アプリケーションを作成する場合があります。これらのアプリケーションでは、ファイアウォールがトラフィックの動作を認識し、既知のアプリケーションとして適切に識別するためのシグネチャがない場合があります。このような場合は、識別やレポートを簡単にし混乱を避けるためのアプリケーション オーバーライドを作成することをお勧めします。   アプリケーション オーバーライドを使用する典型的なシナリオを見てみましょう。例えば、TCP ポート 23を使用する独自のアプリケーションがあったとします。しかしファイアウォールを通過するトラフィックが"temenos-t24"と誤判定されることで混乱する場合は、トラフィックを正しく識別するためにアプリケーション オーバーライドを実装することができます。   セットアップに必要なもの アプリケーション オーバーライドを設定するには、WebUIで、Policies > アプリケーション オーバーライド に移動します。設定には次のものが必要となります: アプリケーション オーバーライド ポリシーで使用するカスタム アプリケーション(推奨) アプリケーション オーバーライド ポリシー 新しく作成されたカスタム アプリケーションを許可するセキュリティ ポリシー 手順 TCP ポート 23を使用するTelnetのための新しいカスタム アプリケーションを設定する: 当該トラフィックに対して新しいカスタム アプリケーションを作成します。WebUIで、Objects > アプリケーション に移動し、左下の"追加"をクリックします。 アプリケーションに名前をつけます(この場合、既に使用されているTelnet以外のもの)。この例では"Telnet_Override"を名前として使用します。またカテゴリ、サブカテゴリ、テクノロジの値を選択します。 オプション手順: これは必須ではない別のレイヤーまたは詳細を追加するものです。 詳細 > デフォルト に進み、ポートを選択し、アプリケーションのポートを一覧表示します。 この例ではTCP ポート 23が表示されています: パラメータとして"ポート"を選択した後、"追加"をクリックし、必要に応じて例のようにプロトコルとポートを入力します。この例ではシグネチャは必要ないため、このカスタム アプリケーションの作成を完了するために"OK"をクリックします。 アプリケーション オーバーライド ポリシーを作成するために、Policies > アプリケーション オーバーライドに移動し、"追加"をクリックします: "全般"タブでポリシーの名前を入力します。この例では"Telnet_Override"を使用します。 "送信元"に移動し、送信元ゾーンを追加します。送信元が静的の場合は送信元アドレスを入力します(例を参照)。静的でない場合は"いずれか"のままにします。 "宛先に"に移動し、宛先ゾーンを追加します。宛先が静的の場合は宛先アドレスを入力します(例を参照)。静的でない場合は"いずれか"のままにします。 プロトコル/アプリケーションに移動し、プロトコルを選択してからポート番号を入力し、作成したカスタム アプリケーションを選択します。 独自のアプリケーションを使って作成したアプリケーション オーバーライドが正しく動作することの確認   この新しいアプリケーションがファイアウォールを通過することを許可するためのセキュリティ ポリシーを作成するか、既存のルールを変更します。   新しいルールを作成するには、Policies > セキュリティ に移動し、左下の"追加"をクリックします。トラフィックがカスタム アプリケーションを使用して通過するゾーンのセキュリティ ポリシーを作成します。サービスで使用されるポートを指定します。全ての新しいセッションは新しいカスタム アプリケーションで検出され、トラフィックは許可されます。 コミットを実行し、テストします。前述のようにトラフィックは"telnet"や"temenos-t24"の代わりに、Telnet_Override"を使用する必要があります。 ポリシーの変更を反映するためにコミットを実行した後、CLIで以下のコマンドを実行し、セッションの詳細を表示します。 > show session all filter application Telnet_Override  
記事全体を表示
tsakurai ‎06-26-2018 06:40 PM
4,483件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Can Policies be Exported from the Firewall? https://live.paloaltonetworks.com/t5/Management-Articles/Can-Policies-be-Exported-from-the-Firewall/ta-p/60321   ポリシーを見やすくするために、Palo Alto Networksファイアウォールからエクスポートすることはできますか?   ポリシーのエクスポート機能はありませんが、CLIより"set" フォーマットでルールを表示することが可能です。   CLIより下記のコマンドを実行:  > set cli config-output-format set   Configureモードにて下記のコマンドを実行: # show rulebase security rules  # show rulebase   (他のポリシーを表示する場合は種類を指定)   著者:  odaos
記事全体を表示
anishinoya ‎06-25-2018 10:17 PM
3,091件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 PAN-OS 7.1 Policy behavior change application-default https://live.paloaltonetworks.com/t5/Configuration-Articles/PAN-OS-7-1-Policy-behavior-change-application-default/ta-p/75664     PAN-OS 7.1において、セキュリティ ポリシー ルールがアプリケーション  'Any' かつサービス設定 'application-default'  に設定されている場合、そのルールのアクションは標準ポートを使用するアプリケーションにのみ適用されます。   例えば、もしセキュリティ ポリシー ルールがデフォルトのアプリケーション ポートを使用するアプリケーションのみ許可する設定になっていた場合、 web-browsingはポート80番のみで許可されることになります。   以前の PAN-OS リリース バージョンでは、アプリケーション設定が 'Any' になっていた場合、サービス設定 'application-default' は適用されませんでした。
記事全体を表示
ymiyashita ‎04-25-2018 08:52 PM
5,553件の閲覧回数
0 Replies
 ※この記事は以下の記事の日本語訳です。 How to Create and View NAT Rules on the CLI https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Create-and-View-NAT-Rules-on-the-CLI/ta-p/66162   このドキュメントでは、CLI(コマンドラインインターフェイス)でNATルールを作成および表示する方法について説明します。     CLIでNATルールを作成するには、次のコマンドを使用します: # set rulebase nat rules <NAT Rule Name> description <Description of NAT rule> from <Source Zone> to <Destination Zone> service <Service Type> source <Source IP Address>  destination <Destination IP address> source-translation <Type of Source Translation> interface-address interface <Interface Port number>   以下の例では、ダイナミックIPとポートを使用してスタティックNATを作成し、ethernet1/4 を使用しています。 > configure # set rulebase nat rules   StaticNAT   description   staticNAT   from   DMZ   to   L3-Untrust   service   any   source   any   destination   any   source-translation   dynamic-ip-and-port   interface-address interface   ethernet1/4 # commit # exit   コミット後、次のコマンドを使用してNATルールの作成を確認します。 > show running nat-policy   StaticNAT {         from DMZ;         source any;         to L3-Untrust;         to-interface  ;         destination any;         service  any/any/any;         translate-to "src: ethernet1/4 10.46.40.56 (dynamic-ip-and-port) (pool idx: 2)";         terminal no; }   owner: rupalekar
記事全体を表示
dyamada ‎04-17-2018 09:15 PM
3,251件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Occasionally forwarding fails for specific traffic that matches a PBF rule with symmetric return https://live.paloaltonetworks.com/t5/Management-Articles/Occasionally-forwarding-fails-for-specific-traffic-that-matches/ta-p/198119   事象 "対称リターンの適用" オプションを有効にして、ネクスト ホップ アドレスを設定せずにポリシー ベース フォワーディング(PBF)を設定すると、転送が失敗する場合があります。   参考: シンメトリック リターンの設定方法     診断 問題が発生しているときに、show pbf return-mac all コマンドを実行すると、return MAC エントリが上限に達していることが確認できます。このエントリが上限に達している場合、新たにreturn MAC エントリの追加ができず戻りのパケットがDropされる原因となります。 user@firewall> show pbf return-mac all current pbf configuation version:   1 total return nexthop addresses :    0 index   pbf id  ver  hw address          ip address                      return mac          egress port -------------------------------------------------------------------------------- maximum of ipv4 return mac entries supported :     1000 total ipv4 return mac entries in table :           1000 total ipv4 return mac entries shown :              1000 status: s - static, c - complete, e - expiring, i - incomplete pbf rule        id   ip address      hw address        port         status   ttl --------------------------------------------------------------------------------   注:このARP テーブルがサポートするエントリの最大数は、ファイアウォール モデルによって上限値が設定されており、この値はユーザー側で設定できません。 お使いのモデルでの上限値を確認するには、CLI コマンド: show pbf return-mac all を使用します。     解決方法 この問題は、対称リターンが有効になっているPBFルールに「ネクスト ホップ アドレス」が設定されていない場合にのみ発生します。したがって、ネクスト ホップ アドレス リストに有効なピア IP アドレスを設定して、問題を回避してください。 Add a Next Hop Address ネクスト ホップ アドレスを設定すると、適切なリターン MAC アドレスが対称リターンのために学習されます。 >show pbf return-mac all maximum of ipv4 return mac entries supported : 16000 total ipv4 return mac entries in table : 12800 total ipv4 return mac entries shown : 12800 status: s - static, c - complete, e - expiring, i - incomplete pbf rule id ip address hw address port status ttl -------------------------------------------------------------------------------- symmectric 1 8.0.0.2 00:1b:17:05:f1:17 ethernet1/1 c 737 symmectric 1 8.0.0.3 00:1b:17:05:f1:17 ethernet1/1 c 742 symmectric 1 8.0.0.4 00:1b:17:05:f1:17 ethernet1/1 c 741 symmectric 1 8.0.0.5 00:1b:17:05:f1:17 ethernet1/1 c 743 symmectric 1 8.0.0.6 00:1b:17:05:f1:17 ethernet1/1 c 746 symmectric 1 8.0.0.7 00:1b:17:05:f1:17 ethernet1/1 c 743 symmectric 1 8.0.0.8 00:1b:17:05:f1:17 ethernet1/1 c 742 symmectric 1 8.0.0.9 00:1b:17:05:f1:17 ethernet1/1 c 741 symmectric 1 8.0.0.10 00:1b:17:05:f1:17 ethernet1/1 c 745 symmectric 1 8.0.0.11 00:1b:17:05:f1:17 ethernet1/1 c 746      著者: tsakurai
記事全体を表示
tsakurai ‎03-07-2018 09:07 PM
5,196件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to See Traffic from Default Security Policies in Traffic Logs https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-See-Traffic-from-Default-Security-Policies-in-Traffic/ta-p/57393   PAN-OS 7.0 以前 概要 Paloalto Networks 次世代ファイアウォールにはデフォルトルールとして以下のセキュリティ ポリシーがあります: ゾーン間トラフィックの拒否 ゾーン内のトラフィックの許可 デフォルトでは、これらのデフォルトのポリシーにマッチするトラフィックは、トラフィックログに記録されません。トラブルシューティングにおいては、同一の送信元と宛先ゾーンを持つトラフィック、あるいはどのようなトラフィックが許可されずにデフォルトのルールによって拒否されたかの確認、といった情報が必要になる場合があります。一時的に暗黙のブロック ルールによるログを出力するには、以下のコマンドを実行します:   > set system setting logging default-policy-logging <value>   (value は"0-300"秒で指定)   注:PAN-OS 6.1以降ではこれらのデフォルトのポリシーはPocilies > セキュリティに緑の背景色(訳注:PAN-OS 7.1以降は黄色)で表示されます。 ルールはゾーン内(intrazone)、ゾーン間(interzone)、または両方の性質(universal)のいずれかに分類されます。 詳細はPAN-OS 6.1 New Features Guide: Security Policy Rulebase Enhancementsをご参照ください。     詳細 該当するトラフィックをトラフィックログで確認する方法はいくつかあります:   同じゾーン内のトラフィック Policies > セキュリティに移動し、以下の例のように送信元と宛先ゾーンが同じ通信を許可するセキュリティ ポリシーを作成します: 異なるゾーン間のトラフィック Policies > セキュリティに移動し、以下の例のようにゾーン間の通信を許可するセキュリティ ポリシーを作成します:   重要:  上記のポリシー例が示すとおり、ネットワークをセキュアに保つため、信頼されないトラフィックが信頼されたネットワークのゾーンへ流入することを許可するのは望ましくない場合があります。従って、どのようなルールの個別作成が必要かを検討するには、トラフィックをまとめて許可してしまうのではなく、クリーンアップ用ルールとして全て拒否するポリシーを使います。以下が、クリーンナップ用の拒否のポリシーの一例です。   全て拒否(DENY ALL) 以下は外部からのGlobalProtectのみを許可するよう指定した例です。全て拒否のポリシーが設定されているのと同時に、全ての信頼されたゾーンとDMZのトラフィックの出力を許可し、全ての信頼されたゾーン間のトラフィックを許可、そして同じゾーン間のトラフィックを許可します。DENY ALLの上にあるルールにマッチしないトラフィックは、DENY ALLルールにてキャッチされ、denyとしてログに残ります。 トラフィックログ中で拒否されたトラフィック、そしてその中から許可が必要な特定のトラフィックを確認します。これにより新しい何らかのトラフィックや、望まないトラフィックがネットワークを危険にさらすことを防ぐ事ができます。 注:全て拒否のポリシーはデフォルトの同じゾーン内通信を許可するポリシーをオーバーライドします。詳細は次のドキュメントをご参照ください: Any/Any/Deny Security Rule Changes Default Behavior.   PAN-OS 7.0以降   PAN-OS 7.0以降ではゾーン内通信、ゾーン間通信のポリシーは可視化、ログの有効化ができます。 著者: glasater  
記事全体を表示
TShimizu ‎11-20-2017 07:26 PM
7,368件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 App-IDs for SSL-Secured Versions of Well-Known Services https://live.paloaltonetworks.com/t5/Configuration-Articles/App-IDs-for-SSL-Secured-Versions-of-Well-Known-Services/ta-p/57428   詳細 LDAP、IMAP、POP3、SMTP、そしてFTPのような多くのwell-known ポートを使用したサービスが、それらの標準のポートとは異なる代替のSSL用ポートで稼働する、SSLによるセキュアなバージョンが利用可能となっています。これらのすべての場合においてトラフィックはPalo Alto Networks 次世代ファイアウォールのApp-IDにより、'ssl'アプリケーションとして識別されます。   これらのサービスを許可するセキュリティ ポリシーを作成する、いくつか異なるアプローチがあります。以下の記載をご覧ください。 これらのプロトコルでサポートされるStartTLSを使用します。StartTLSについてはhttps://ja.wikipedia.org/wiki/STARTTLS / http://en.wikipedia.org/wiki/STARTTLSをご覧ください。 この場合SSL用に変更したポートでのはない標準のポートにて、'ssl'としてではなく該当するプロトコル(ldap、imap、pop3など)にそれぞれ識別されます。 SSL用に変更されたポートのサービス オブジェクト(S MTPS:TCP/465、IMAPS:TCP/993、POP3S:995、 FTPS:TCP/990 )を作成し、それらのサービスの'ssl' App-IDをセキュリティ ポリシー上で許可します。 サーバー証明書をもとにカスタムアプリケーションを 作成します。   Custom Application for SSL-based traffic をご覧ください。 復号を有効にすると、これらは対応するApp-ID(smtp、imap、pop3など)で識別されます。   参照 SSL Decryption設定と試験方法   著者: savasarala
記事全体を表示
TShimizu ‎11-06-2017 05:55 PM
4,610件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Change the Default Management Port https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Change-the-Default-Management-Port/ta-p/62333   概要 デフォルトのマネジメント ポート以外からのどのポートからも、  Palo Alto Networksファイアウォールへのアクセスを許可することは可能です。この文書はTrustゾーンのloopbackインターフェイスを使用した、UntrustゾーンからのHTTPSとSSHでのファイアウォールへのアクセス方法について記載します。     手順 ファイアウォール上でloopbackインターフェイスを設定し、必要なタイプのアクセスを許可するインターフェイス管理プロファイルを割り当てます。 注: - アクセスを許可するインターフェイス管理プロファイルはUntrustインターフェイスではなく、loopbackインターフェイスにのみ設定する必要があります。The management profile permitting access only needs to be on the loopback interface, and not the Untrust interface.            - loopbackインターフェイスに割り当てるIPアドレスは、データ プレーンあるいはマネジメント プレーンとは異なるユニークなものとしてください。 ファイアウォールへのアクセスを許可するデフォルトでないポートのためのユーザー定義のサービスを設定します。この例ではTCP/7777をHTTPSに、TCP/7778をHTTTPに割り当てます。 ユーザー定義のポートをデフォルトのアクセスのポートに変換するNAT ポリシーをそれぞれ設定します。 Untrustインターフェイスへのインバウンド アクセスを許可するセキュリティ ポリシーを設定します。このセキュリティ ポリシーに、特定のポートを許可する設定としても構いません。 変更をコミットします。 コミットが完了すると、アクセスを許可するユーザー定義のポートを使用して、Untrustインターフェイス経由でのファイアウォールへのアクセスが可能となります。   著者: tasonibare
記事全体を表示
TShimizu ‎11-06-2017 05:54 PM
6,582件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Improve Performance for Protocols like SMB and FTP Without Application Override https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Improve-Performance-for-Protocols-like-SMB-and-FTP/ta-p/60544     概要 SMBやFTP ファイル転送は多量の双方向トラフィックを生成します。SMBはほとんどすべてのデータ パケットの生成毎に、応答パケットを生成し、それゆえにやりとりが多くなります。Palo Alto Networksファイアウォールは、デフォルトでクライアント→サーバー方向(C2S)とサーバー→クライアント方向(S2C)の双方向を検査をします。これによりファイアウォールを通過するSMBやFTPファイル転送は遅くなりがちです。   トラフィックのパフォーマンスを向上する方法の一つとして、レイヤー7の検査とアプリケーション識別を行わないようにする、アプリケーション オーバーライドを使用する方法があります。   もしレイヤー7の検査が必要、かつパフォーマンス向上が必要な場合は、関連のトラフィックが該当するセキュリティ ポリシーにて'サーバー レスポンス検査の無効化(DSRI)'オプションをチェックする方法があります。これは該当のサーバーが信用できる場合にのみチェックされるべきです。 'サーバー レスポンス検査の無効化(DSRI)'がチェックされると、ファイアウォールはC2Sのトラフィックのみ検査し、転送レートが向上します。   詳細 'サーバー レスポンス検査の無効化(DSRI) ' を有効にするには、WebUIにてPolicies > セキュリティ > アクションに移動する必要があります。   ポリシーが作成されると、 'サーバー レスポンス検査の無効化(DSRI) ' オプションがチェックされたことを示すアイコンがセキュリティ ルール上に表示されます。   著者: kadak
記事全体を表示
TShimizu ‎11-06-2017 05:51 PM
5,355件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Receive Email Threat Notification from the Firewall https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Receive-Email-Threat-Notification-from-the-Firewall/ta-p/58911     脅威検知を電子メールで通知するログ転送プロファイルを作成するには、以下を設定します。 電子メール サーバー プロファイルの設定。 ログ転送 プロファイルの作成。 関連するセキュリティ ポリシーに脅威プロファイルを割り当てます。 関連するセキュリティ ポリシーにログ転送プロファイルを割り当てます。   電子メール サーバー プロファイル Device > サーバープロファイル > 電子メールに移動し、"追加"をクリックして以下の例で示す情報を入力します。(訳注1) 名前: 電子メール設定の名前を入力 サーバー: 電子メールサーバーのラベルを半角1-31文字で入力。 表示名: 電子メールの送信者フィールドに表示される名前 送信者 IP(訳注2): 送信者となる電子メールアドレスを入力。 宛先: 受信者の電子メールアドレスを入力。 Cc: 他の受信者の電子メールアドレスを入力(オプション)。 ゲートウェイ: Simple Mail Transport Protocol のIPアドレス、またはホスト名を入力。   ログ転送プロファイル Objects > ログ転送に移動します。 以下の例で示す情報を入力します。   セキュリティ ポリシー 以下の例で示すとおりトラフィックに関する既存、または新しいルールを作成します。 名前: Outbound 送信元ゾーン: TrustL3 宛先ゾーン: UntrustL3 プロファイル: アンチウイルス: Default 脆弱性防御: Default URL フィルタリング: Default   脅威プロファイルの割当 まだ設定していない場合は、セキュリティ ルールに脅威プロファイルを割り当てます。   ログ転送プロファイルの割当 ログ転送プロファイルをセキュリティ ポリシーに適用します。 オプションからログ転送プロファイルを選択してください。          変更をコミットします。 ポリシーをテストするには、ワークステーションからテスト ウイルスのダウンロードを試みます。例えばeicar.orgからテストファイルをダウンロードします。 脅威プロファイルのアクションが'block'に設定していれば、ブロックページがブラウザ上で表示されます。 脅威ログをチェックするために、 Monitor > ログ > 脅威に移動します。 該当のトラフィックがきっかけとなり、電子メールが送信されます。   訳注1:英語、日本語ともPAN-OS Version毎に項目の名称に差異があります。本文書はPAN-OS 7.0に準拠しています。 訳注2:英文では本項目は"From"であり、送信者 ”IP"は日本語GUI上の誤記となります。PAN-OS 8.0から"送信者"に修正しています。   著者: ppatel
記事全体を表示
TShimizu ‎11-06-2017 05:46 PM
5,504件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Differences between DoS Protection and Zone Protection https://live.paloaltonetworks.com/t5/Learning-Articles/Differences-between-DoS-Protection-and-Zone-Protection/ta-p/57761   DoS プロテクション ポリシーは ある程度はゾーン プロテクションと同等の目的を達するために使用されますが、いくつか主要な違いがあります。 大きな違いはClassifiedとAggregateがDoS プロテクション ポリシーにあることです。ゾーンプロテクションではAggregateが利用可能です。 Classifiedのプロファイルは一つの送信元 IPに対する閾値の作成を可能とします。 例:ポリシーにマッチするすべてのトラフィックに対して、IPごとの最大セッション レートを設定し、一つのIPアドレスが閾値に達したらブロックする。 Agregate プロファイルはポリシーにマッチするすべてのトラフィックに対しての最大セッション レートの作成を可能とします。閾値はすべてのIPを合わせた新規セッション レートに対して適用されます。閾値に達するとすべてのマッチするトラフィックに適用されます。 ゾーン プロテクション ポリシーはフラッド防御とポートスキャニング/スイープとパケットベース攻撃に対して防御することが可能となります。例としてIPスプーフィング、フラグメント、オーバーラッピング セグメント、 tcp-non-syn拒否が挙げられます。 ゾーン プロテクション プロファイルは、セッション生成前に適用されてポリシー エンジンの処理に入らないため、パフォーマンスへのインパクトが小さくなります。   著者: jteetsel
記事全体を表示
TShimizu ‎09-12-2017 11:08 PM
8,327件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Zone Protection Recommendations https://live.paloaltonetworks.com/t5/Learning-Articles/Zone-Protection-Recommendations/ta-p/55850     以下の記事は、Palo Alto NetworksのエンジニアであるGraham Garrisonによって執筆されました。   PAN-OSを実行しているPalo Alto Networksデバイスは、ユーザーやネットワーク、クリティカルなシステムを守るために、App-IDやUser-IDのような数々の次世代ファイアウォールの機能を提供しています。これらの強力な技術に加え、PAN-OSはネットワーク及びトランスポートレイヤーでの悪意ある活動に対して、ゾーン プロテクション プロファイルを使用した防御も提供します。セキュリティ ゾーンに対してこれらのプロファイルを適用は、フラッド攻撃や偵察行為、その他のパケット ベースの攻撃への防御の一助となります。   ゾーン プロテクションを設定する際、それがシステムによりどのように適用されるのかを理解することや、パケット処理のどのステージで適用されるのかを理解することが重要です。ゾーン プロテクションは常に入力インターフェイスに適用されるため、インターネットからのフラッド攻撃や偵察行為から防御したい場合、信頼されないインターネットのインターフェイスを含むゾーンに対してプロファイルを設定して適用します。ネットワークをより強化したいと思われるセキュリティの管理者は、防御する手段がすべての環境に適用されていることを確実にするために、さらに内外両方のすべてのインターフェイスに対してゾーン プロテクションを適用することができます。このタイプのゼロ トラスト アプローチは、企業におけるモビリティが増大し続ける中で、ますます推奨されるようになってきました。   また各ネットワーク環境は各々異なり、それゆえ防御措置を適用するにあたってフラッドの閾値を調整する必要があることへの理解も重要です。設定されたフラッドの閾値を超えた場合は脅威ログが生成され、Syslogを使用している場合は外部に転送することができます。ご利用の環境においてどのような設定が適切かを決めるために、ベースラインを確立するためのピーク時間中の平均的なネットワークの稼働状態を決めることから始めてください。そして、ネットワークの稼働状態に通常の範囲の変動の余地を残しつつ、セキュリティの目標を満たすポイントに達するまで、閾値を徐々に下げて調整してます。正当なトラフィックを通すために防御を有効化したり最大の閾値が低くなりすぎるのを避けたいでしょうが、望まないトラフィック量のスパイクを緩和に効果的になるように高すぎるのも避けたいはずです。   その一方で、いくつかのパケット ベースの攻撃保護は、組織全体に多少は等しく適用されます。例えば、「不明」や「異常な形式」のIPオプションは一般的に不要であり、ドロップできます。「重複するTCPセグメントの不一致」や「TCP タイムスタンプの削除」をドロップするためにオプションの選択は、ファイアウォールを通過する回避技術を防ぎ、一般的にすべてのお客様に推奨されます。さらに、「スプーフされたIPアドレス」に対する防御を有効にすることで、セキュリティ ゾーンにおけるアドレス詐称を防ぐことができます。このことが、パケット入力においてファイアウォールのルーティング テーブルに合致する送信元アドレスを持つトラフィックだけ許可されることを確実にします。   上記の推奨事項の従うことで、所属する組織をより安全にすることとなります。その他の有益な秘訣やコツについては、Live Communityを継続して閲覧の上、確認するようにしてください。   追加資料: Threat Prevention Deployment Tech Note Understanding DoS Protection What Are The Differences Between Dos Protection and Zone Protection?     著者:Graham Garrison
記事全体を表示
hshirai ‎03-21-2017 11:02 PM
8,934件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Policy-based forwarding doesn't work for traffic sourced from the Palo Alto Networks firewall https://live.paloaltonetworks.com/t5/Management-Articles/Policy-based-forwarding-doesn-t-work-for-traffic-sourced-from/ta-p/58821     問題 あるゾーンからISP経由でインターネットへ向かうすべてのトラフィックを転送するためにポリシー ベース フォワーディング (PBF) ルールを設定している場合、そのルールは、Palo Alto Networksファイアウォールの背後にある端末にだけ適用されるが、ファイアウォール自身を送信元とするトラフィックには適用されない。   原因 PBFルールに加えてルートがルーティング テーブルにある場合、最初にPBFルールだけが上から順番に評価されます。しかし、これはファイアウォールの背後にある端末にだけ適用されます。PBFがTrustゾーンからUntrustゾーンへ向かうすべてのトラフィックを転送するよう設定されていると、Palo Alto Networksファイアウォールの背後にある端末を送信元とするトラフィックにのみ、ルールが適用されます。しかしファイアウォールを送信元とするトラフィックは、PBFテーブルの評価をバイパスし、代わりに出力インターフェイスからトラフィックを転送するルートに合致するかのルーティング テーブルの評価が開始されます。   WebGUIから、[ Network ] > [ インターフェイス ] > [ Ethernet ] を開きます。続くシナリオでは、インターフェイスは以下の通り設定されています:   [ Network ] > [ 仮想ルーター ] > [ スタティック ルート ] 内に、デフォルト ルートが以下の通り設定されています:   端末から来ているトラフィックである場合、セッション情報は以下の通り表示されます:   WebGUIから、[ Policies ] > [ ポリシー ベース フォワーディング ] を開き、以下のデフォルト ルートと同じPBFルールを作成します:   端末から来ているトラフィックの場合、セッション情報は以下の通り表示されます(デフォルト ルートがあるにもかかわらず、PBFルールだけがまず評価されています):   ファイアウォールの背後にある端末からや、ファイアウォールの信頼済みインターフェイスから、パブリックなIPアドレス 4.2.2.2 へ継続的なPingをすると、どちらもPingは成功しました。これはPBFルールを使用する端末からのトラフィックであるため、そしてルーティング テーブルを使用しているファイアウォールからのトラフィックであるためです:   デフォルト ルートだけが削除し、端末からのトラフィックはPBFルールを使用して通過することに成功していますが、デフォルト ルートが削除されたため以下の通りファイアウォールからのトラフィックは失敗しました:   PBFは、ファイアウォールの背後にいる端末からのトラフィックに対してのみ動作し、ファイアウォールからのトラフィックに対しては動作しません。   以下が既知の制限事項となります: PBFは、Palo Alto NetworksファイアウォールへのIPsecトンネルのトラフィックには機能しません。 PBFは、フェーズ1トンネルに対して機能しないので、IKEを開始するためにルーティング テーブルのデフォルト ルートを使用する必要があります。 PBFは、GlobalProtect接続に対して機能しません。 PBFルールのためにアプリケーションを使用している場合、TCPトラフィックに合致するアプリケーションのシグネチャは、3ウェイ ハンドシェイクの後に識別されます。そのため、PBFルールは、最初の3ウェイ ハンドシェイクには合致しないかもしれず、ルート探索にだけ基づいてファイアウォールを通過します。   著者:dantony
記事全体を表示
hshirai ‎03-21-2017 08:41 PM
11,840件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 URL Filtering Order https://live.paloaltonetworks.com/t5/Management-Articles/URL-Filtering-Order/ta-p/59334   問題 URL Filtering プロファイルの中で URL が複数の箇所(複数のカスタム URL フィルタリング カテゴリや、許可/ブロック リスト)にマッチした場合、どうなりますか?   解答 その場合、下記の中で一番厳しいアクションが設定されたカテゴリが選択されます(block が最も厳しく、allow が最も軽い)。 block override continue alert allow   例えば、*.yahoo.com が同じ URL Filtering プロファイル内の MyAlertList と MyBlockList というカスタム カテゴリに同時に存在する場合、www.yahoo.com という URL に対するアクションは block となり、そのカテゴリは MyBlockList となります。これは、許可リストとブロック リストに同時にマッチする URL があった場合、許可リストより先にブロック リストがチェックされるのと同様です。 URL Filtering のプライオリティは以下の通りです。 ブロック リスト 許可リスト カスタム カテゴリ キャッシュ 事前定義済みのカテゴリ   著者:  ukhapre
記事全体を表示
hfukasawa ‎02-13-2017 12:55 AM
7,663件の閲覧回数
0 Replies
この記事は以下の記事の日本語訳です。 Incorrect QoS Configuration Caused Network Traffic Outage https://live.paloaltonetworks.com/t5/Configuration-Articles/Incorrect-QoS-Configuration-Caused-Network-Traffic-Outage/ta-p/62576 問題 特定のクラスに対してQoSプロファイルにて帯域を制限しようとすると、QoS機能により通信障害が発生する。   詳細 以下の例は、QoSを使用するインターフェイスに関連付けられた誤った設定の例です。 この例のシナリオでは、10Gbインターフェイスが使用されており、上記のスクリーンショットは最大保証帯域 出力側を100Mbpsと設定していることを示します。プロファイル部の最大保証帯域 出力側には、この10Gbインターフェイスを通過するトラフィックのための、すべてのクラスに対しての最大の出力帯域を設定します。   多くの場合に、上記の設定がユーザーより重度の輻輳や通信断の振る舞いとして報告される問題の原因となっています。   解決策 QoSプロファイルを設定するときは、該当のインターフェイスに流れ込む総合的な帯域を考慮し、最大保証帯域 出力側を慎重に設定する必要があります。前述の意図した設定は、class7 のトラフィックを最大保証帯域 出力側を100、そして最低保障帯域 出力側を10とすることでしたが、他のすべてのトラフィックも該当インターフェイスの残りの帯域を使用します。   以下のスクリーンショットは、プロファイルの最大保証帯域 出力側を10000Mbpsとし、class7 トラフィックの最大保証帯域 出力側を100、最低保障帯域 出力側を10とした 正しい設定です。   該当のQoS インターフェイス設定も正しい値で最大保証帯域 出力側が設定されている必要があります。   注: 必要なクラスのみをQoS プロファイルで設定するだけで構いません。他のトラフィックはデフォルトのclass4となります。   著者: fkhan
記事全体を表示
TShimizu ‎02-09-2017 07:16 PM
6,542件の閲覧回数
0 Replies
この記事は以下の記事の日本語訳です。 Using IP Address Lists on Palo Alto Networks Policies https://live.paloaltonetworks.com/t5/Configuration-Articles/Using-IP-Address-Lists-on-Palo-Alto-Networks-Policies/ta-p/57411     詳細 ファイアウォールのポリシーにて使用するIPアドレス リストおよびそのインポート手段には、複数の方法があります。   選択肢 定義済みの地域(Region)またはカスタムの地域の使用 定義済みの地域あるいはカスタムで作成した地域の使用法については How to Configure a Security Policy to Use a Region(訳注1)をご覧ください。 カスタムの地域は単体のIP(x.x.x.x)、範囲指定(x.x.x.x-y.y.y.y)ないしはIP/ネットマスク(x.x.x.x/n)となります。もしカスタムの地域を使用しており、そして隣接していないアドレス体系をWeb GUIかCLIで手動で追加した場合、CLI端末上でのコマンドのリストをコピーしたり、バッチ処理したりすることができます。   > configure # set region <RegionName> # set region <RegionName> address <IPAddress_01> where <RegionName> is a string (31 characters max) <IPAddress> is a list of values, an IP range, or ip/netmask   エントリーの削除 # delete region <MyRegion> address <IPAddress_nn>   使用しているすべての地域の削除 # delete region <MyRegion> 注: 変更後はコミットを実行してください。   FQDNアドレスオブジェクトの使用 DNS Aレコードは権威のない複数の回答に関連付けられます。Palo Alto Networks ファイアウォールは権威のない回答のうち最初の10個の回答のみを読み込んでキャッシュします。この動作の詳細はFQDN オブジェクトの設定およびテスト方法を参照してください。このソリューションは10個以上のIPアドレスがリストにある場合にはスケールせず、DNS問い合わせは設定されたDNSサーバーに到達するインターフェイスのIPアドレスを送信元として使用します。サービスルートを設定しない限りは、デフォルトの管理インターフェイスのアドレスがDNS問い合わせに使用されます。DNS サービスルートの設定とその注意点についてはDNS Service Route is Applied to All Traffic Going to DNS Server IP Addressを参照してください。     ダイナミック ブロック リスト(EBL)の使用(訳注2) この方法はウェブサーバー上へのテキストファイルのホスティングが必要となります。"繰り返し”オプションにて毎時、毎日、毎週、月次といった形での更新が可能です。ダイナミック ブロック リスト オブジェクトの作成後は、該当のアドレス オブジェクトをポリシーの送信元や宛先のフィールドに使用できます。インポートしたリストはIPアドレス(IPv4とv6の合計)、IPの範囲、またはサブネット指定です。エントリーの上限については 外部ブロック リスト (EBL) のフォーマットと制限の操作をご覧ください (訳注3)。また設定の詳細はDynamic Block List (DBL) や External Block List (EBL)の構成方法について をご覧ください。     ダイナミック アドレス グループの使用 ダイナミック アドレス グループを使うとPalo Alto Networks APIを活用できます。IPアドレスのリストはXMLフォーマットに準拠する必要があります。この方法は大変スケーラブルかつフレキシブルで、自動でダイナミック アドレス グループをサードパーティーのスクリプトで変更する場合に推奨されます。ダイナミック アドレス グループを使用する大きな利点は、既存のダイナミック アドレス グループに対してIPアドレスの追加や削除をコミットなしで迅速に行えることです。詳細は Working with Dynamic Address Groups on the Palo Alto Networks firewall をご覧ください。   スタティック アドレス グループの使用 アドレス オブジェクトはWeb GUI上で作成でき、アドレス グループに関連付けられます。この処理はCLIでバッチ化することも可能です。詳細は How to Add and Verify Address Objects to Address Group and Security Policy through the CLIをご覧ください。 > configure # set address <AddressObject_01> ip-netmask 1.1.1.1/32 # set address <AddressObject_02> fqdn my.example.com . . . # set address <AddressObject_nn> ip-range 2.2.2.2-3.3.3.3 # set address-group <AddressGroup> static [ <AddressObject_01> <AddressObject_02> ...<AddressObject_nn> ]   変更を有効にするためにコミットを実行してください。   注: <AddressObject> 部分は以下のフォーマットとなります。      <ip-range>      <ip/netmask>      <fqdn>   アドレス オブジェクトを削除するには以下のコマンドを使用してください。 # delete address <AddressObject_01> ip-netmask 1.1.1.1/32 # delete address <AddressObject_02> fqdn my.example.com . . . # delete address <AddressObject_nn> ip-range 2.2.2.2-3.3.3.3   注:アドレス オブジェクトは個別のエントリーであり、スタティック アドレス グループを削除しても、そのグループが参照するアドレス オブジェクトは削除されません。 以下のコマンドのいずれかでアドレス オブジェクトの関連付けを解除します。 # delete address-group <AddressGroup> static <AddressObject_nn> # delete address-group <AddressGroup> static ><AddressObject_01> <AddressObject_02> ... <AddressObject_nn> ]   すべてのグループを削除するには以下のコマンドを使用します。 # delete address-group <AddressGroup> static   変更を有効にするためにコミットを実行してください。   訳注1:原文では Palo Alto Networks Pre-defined Regions を参照していますが、現在このドキュメントは参照ができないため、本文中では別のドキュメントを参照しています。 訳注2:PAN-OS 7.1から"外部ダイナミック リスト"に名称を変更しています。 訳注3:参照ドキュメントを加えた上で、原文より記載を変更しています。   著者:mivaldi
記事全体を表示
TShimizu ‎02-09-2017 07:11 PM
10,493件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Block Web Browsing while Allowing Microsoft Update https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Block-Web-Browsing-while-Allowing-Microsoft-Updates/ta-p/58399     以下の手順を行うことで、Microsoftのアップデートを許可しながら、Webブラウジングをブロックすることができます。   すべてのURLカテゴリをブロックするために、URLフィルタを作成します ( [ Objects ] > [ セキュリティ プロファイル ] > [ URL フィルタリング ] )。 許可リストに以下のサイトを追加します。 windowsupdate.microsoft.com *.microsoft.com download.windowsupdate.com *.windowsupdate.com 以下のアプリケーションを許可するためのセキュリティ ポリシーを作成します。 [ Policies ] > [ セキュリティ ] を開き、新しいルールを追加します。アプリケーション タブ内にて、 ms-update と web-browsing を追加します。 アクション タブ内のプロファイル設定にて、 ms-update 用に作成したURL フィルタリングを追加します。   著者:panagent
記事全体を表示
hshirai ‎01-10-2017 05:27 PM
6,468件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 What are Universal, Intrazone and Interzone Rules? https://live.paloaltonetworks.com/t5/Management-Articles/What-are-Universal-Intrazone-and-Interzone-Rules/ta-p/57491     詳細 セキュリティ ポリシーを設定する時、ルールベースを見ても、どのルールにも合致していないトラフィックがどうなるのか明確にはわかりません。さらに、明示的にルールを作成する以外にそのトラフィックに対する扱い方を変える方法はありません。多くの場合、ユーザーは単にこれらのトラフィックに対してロギングすることだけを必要とすることが多いでしょう。あるいはイントラ ゾーンのトラフィックの処理を簡単に変更することを要求するユーザもいるかもしれません。現時点では、これらの要求に対しては各ゾーンに対して明示的なルールを設定する必要があります。   PAN-OS 6.1より前のリリースでは、セキュリティ ポリシーの中にはルール タイプという分類はありませんでした。ルール タイプは、PAN-OSのバージョン6.1から組み込まれた新しい機能です。この機能により、"interzone"や"intrazone"、"universal"というパラメータに基づいてルールを作成するオプションが提供されるようになりました。この機能を利用すると、どのルールがネットワーク内のゾーンに基づいて作られているか管理者が制御することができ、監査をしている最中にも役立ちます。   PAN-OS 6.1以降のバージョンでは、デフォルトのセキュリティ ルールは、以下に示されているように通常のセキュリティ ルールの最後に付与されています。 "intrazone-default"ルール名の隣にある緑色の歯車アイコンは、そのルールは事前定義済みのものか、あるいはPanoramaからきているものであることを示しています。歯車アイコンにカーソルを合わせると、ツール チップが表示されます。 "interzone-default"ルール名の隣にある二重の歯車イメージは、ルールが現在のVSYSにあり、事前定義済みあるいはPanoramaからプッシュされた別のルールの値をオーバーライドしていることを示しています。 "intrazone-default"ルールのアクションは許可です。 "interzone-default"ルールのアクションは拒否です。   下記の表は、ルール タイプとその説明を詳細に記載しています。 ルール タイプ 説明 Universal デフォルトではこのルール タイプの場合、2つのゾーン間のすべてのトラフィックは、同じゾーンまたは異なるゾーンに関係なく、指定された送信元ゾーンおよび宛先ゾーンにマッチする全てのトラフィックに適用されます。 例えば、送信元ゾーンをAとB、宛先ゾーンをAとBと設定したUniversalルールを作成した場合、そのルールはゾーンA間(ゾーンAからゾーンA)のすべてのトラフィック、ゾーンB間(ゾーンBからゾーンB)のすべてのトラフィック、そしてゾーンAからゾーンBへのすべてのトラフィック、ゾーンBからゾーンAへのすべてのトラフィックに適用されます。 Intrazone 同じゾーン間のトラフィックを許可するセキュリティ ポリシーです。このルール タイプでは指定された送信元ゾーン内のマッチする全てのトラフィックに適用されます。 (intrazoneルールでは、宛先ゾーンを特定することはできません)。 例えば、送信元ゾーンをAとBに設定する場合、そのルールは、ゾーンA間(ゾーンAからゾーンA)のすべてのトラフィックとゾーンB間(ゾーンBからゾーンB)のすべてのトラフィックに対して適用されますが、ゾーンAとゾーンB間のトラフィックには適用されません。 Interzone 2つの異なるゾーン間のトラフィックを許可するセキュリティ ポリシーです。しかしこのタイプが指定された場合、同じゾーン間のトラフィックは許可されません。このルール タイプでは、指定された異なるゾーン間の全てのマッチするトラフィックに適用されます。 例えば、送信元ゾーンをAとBとCに、宛先ゾーンをAとBに設定する場合、そのルールは、ゾーンAからゾーンBへ、ゾーンBからゾーンAへ、ゾーンCからゾーンAへ、ゾーンCからゾーンBへのトラフィックに適用されますが、同じゾーン間(AやBやC)のトラフィックには適用されません。   ユーザーが定義したセキュリティ ルールは、以下のように"universal"や"intrazone"、"interzone”として設定することができます。   あるルールが"intrazone"として設定されている時、宛先ゾーンは変更することができません (グレーアウトしています)。その値は、送信元ゾーンから来ています。   事前定義済みであったり、Panoramaからの"intrazone-default"と"interzone-default"ルール名、あるいは機能は、変更することができません。 画面の縁が緑色で囲われ、タイトルに「読み取り専用」と書かれていることが、変更できないことを示しています。 事前定義済みのものや、Panoramaからの"intrazone-default"と"interzone-default"ルールを変更するためには、ユーザーは、これらのルールをオーバーライドしなければなりません。 "intrazone-default"と"interzone-default"ルールは、ルール名の隣に二重になっていない緑色の歯車アイコンがある場合にはオーバーライドできます。 「オーバーライド」をクリックすると、2つのタブだけを持つ、セキュリティ ルールの編集画面が表示されます。 全般タブでは、タグだけを変更することができます。   アクション タブにて、プロファイル設定とログ設定だけを変更することができます。   事前定義済みのものや、Panoramaがプッシュした値を元に戻すには、「戻す」アクションにより行うことができます。Panoramaでは、デフォルトのルールはセキュリティのノードの中にあり、プレ ルールとポスト ルールの下にあります。 ルール名の隣にある緑色の歯車アイコンは、そのルールは"ancestor"デバイス グループや"shared"、"Predefined"から来ていることを示しています。 ルール名の隣にある二重の歯車アイコンは、そのルールは"ancestor"デバイス グループのルールや"shared"ルール、"Predefined"ルールをオーバーライドしていることを示しています。 ユーザーは、以下のように、"intrazone-default"、あるいは"interzone-default" ルールをオーバーライドすることができます。   Panorama VMとM-100 Panoramaは新しい機能をサポートしています。新しいデフォルト ルールは、ポスト ルールの下に表示されています。   Panoramaについての詳細: デフォルトのルールは、デバイスのデータプレーンにプッシュされると、他のどのルールよりも後に実行されることになります。 Palo Alto Networksデバイス上で、ローカルに"interzone-default"や"intrazone-default"に行われた変更は、Panoramaからプッシュされたどの変更よりも優先されます。   Panorama 6.1 と 5.x/6.0 PAN-OSデバイスとの相互作用: バージョン6.1のPanorama からバージョン6.1より前のPANOSデバイスへセキュリティ ルールをプッシュする場合、期待される動作は以下のとおりです。 事前定義済みのデフォルト ルールは、プッシュされるルールベースから削除される。 "intrazone"や"interzone"タイプのルールはプッシュされるルールベースから削除される。 "universal"タイプのルールは、バージョン6.1以前のルールに変換される。 Panoramaは、すべてのルールがバージョン6.1以前のデバイスにプッシュされるわけではないという警告を出す。 admin@Panorama> show jobs id 25970   Enqueued            ID Type      Status    Result     Completed -------------------------------------------------------------------------- 2014/07/22 22:03:38 25970        CommitAll FIN        OK 100 %    Warnings: 001606007416 is below 6.1, removing intrazone and interzone rules - 010401000006                   commit succeeded     OK 22:03:39 22:03:57 - 001606007416                   commit succeeded     OK 22:03:39 22:05:15   アップグレード/ダウングレード: アップグレード:"intrazone-default"や"interzone-default"という名前のルールが既にある場合、"custom-intrazone-default"や"custom-interzone-default"に名前を変更する必要があります。 注:PAN-OS 6.1にアップグレードする時、セキュリティ ルールベースの中にあるすべての既存のルールは、"universal"ルールに変換されます。 ダウングレード:全ての"universal"ルールから「ルール タイプ」を削除します。全ての"intrazone"や"interzone"ルールを削除します。   参照 PAN-OS 6.1 Administrator's Guide     著者:jdelio
記事全体を表示
hshirai ‎01-09-2017 07:12 PM
6,161件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 After Allowing ICMP, Ping is Still Denied https://live.paloaltonetworks.com/t5/Configuration-Articles/After-Allowing-ICMP-Ping-is-Still-Denied/ta-p/61589     症状 ICMPを許可するルールを作成した後でも、ホストへPingしようとすると拒否されてしまう。   問題 ICMP タイプ 8 メッセージ (ping) は独自のものであり、ICMPを利用する、よく使用される「アプリケーション」です。そのため、1つの別のアプリケーションとして定義されています。   解決方法 セキュリティ ルールを使用してPingを許可するためには、アプリケーションとして"ping"を選択します。ICMPを許可するだけでは、Pingを許可したことにはなりません。pingプリケーションはICMPへの依存性はなく、単独で正しく動作します。   注:TracerouteはPingを使用しているので、アプリケーションとしてPingを許可することは、Tracerouteも同様に許可することになります。       著者:gwesson
記事全体を表示
hshirai ‎11-16-2016 09:32 PM
8,659件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure Group-Mapping in a Multi-Domain Active Directory Domain Services (AD DS) Forest https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-Group-Mapping-in-a-Multi-Domain-Active/ta-p/60784     PAN-OS 6.1にまで対応していますが、以降のバージョンについては、以下をご参照ください。   概要 この資料は、マルチ ドメイン Active Directoryドメイン サービス (AD DS) フォレスト環境下で、クロス ドメイン ユーザーのユーザー名のフォーマットが矛盾しないように、グループ マッピングを正しく設定する方法について記載します。そのフォレストにおいて、他のドメインからすべてのオブジェクト (ユーザーあるいはグループ) を取得する場合、グループ マッピングに際して、「グローバル カタログ」として定義されたADサーバーを使用します。グローバル カタログは分散型のデータの貯蔵庫であり、そのフォレストの各ドメイン メンバーの中の各オブジェクトの検索可能な部分的な属性を保持します。   重要!適切に設定されていない場合、グループ マッピングの中の一部ユーザーが、netbios/domain-name (dummydomain/username) となる代わりに fqdn-domain-name/username (dummy.example.com/username) としてフォーマットされてしまい、User-IDエージェント、あるいはエージェト レスなUser-IDサービスから取得されたIPアドレスとユーザーのマッピングに矛盾を生んでしまう問題を起こす可能性があります。   手順 グローバル カタログ(通常はルート ドメイン)として設定されているADサーバーは、LDAPサーバーのプロファイル内に設定される必要があります。このサーバーの3268(あるいはSSL用の3269)ポートに接続します。 通常、PAN-OSにドメイン名を置き換えさせるために、ドメイン欄を設定します。そうしたくない場合は、空欄のままにします。 注:グローバル カタログに対してこの設定を行うことで、他のドメイン(フォレストのメンバー)も含め、このサーバーから取得されるすべてのユーザーとグループのドメイン名を置き換えてしまいますので、ご注意ください。空欄にしておくことで問題が起きる場合、ドメイン名(訳注:フルFQDNでないNetBIOS名の意)のみをこの欄に入力します。例えばドメインは"acme.local"の場合、"acme"が必要なので、"acme"とドメイン欄に入力します。 グループ マッピングの設定に、このプロファイルを使用します(また必要に応じて、設定済みのリストを使用します)。 ドメイン名が手順2にて手動で設定していない場合、別のLDAPサーバー プロファイルを使用するグループ マッピングの追加が必須であり、同じADサーバーに通常の389(あるいはSSL用の636)ポートの同じADサーバーにクエリを行います。この操作は、ユーザーのフォーマットを netbios_domain_name/username として正規化 するためのドメイン マップを正しく生成するために必要です。 このプロファイルは、ドメイン マップを取得するために使用するため、ドメイン欄を設定する必要はありませんが、空欄のままにしておくこともできます。ここで使用されているADサーバーは、フォレストの別のドメイン コントローラーになることができ、ドメイン マップにクエリするパーティション コンテナは、すべてのドメイン コントローラーで複製されます。手順2の注をご覧ください。 Active Directoryが多数のユーザーやグループを保持している場合、GM-AD設定の中で、それらのためにいくつかの検索フィルタを設定すると良いでしょう。これはこのグループ マッピングでのLDAPのクエリ結果による、管理プレーンのリソース影響を抑えるためです。 このグループ マッピングは、ドメイン マップを決めるためにだけ使用されているので、ユーザーやグループのために結果を取得したり操作したりする必要はありません。   この例では、検索フィルタは"Dummy"という文字列で設定していますが、LDAPのクエリ結果を確実に 0 とするために、ユーザーとグループのDescriptionフィールドにはその文字列"Dummy"が含まれなければいけません。   参照: LDAP Group Mappings in a Mixed 6.x and 7.x Environment with Panorama       著者:nbilly
記事全体を表示
hshirai ‎08-18-2016 07:34 PM
5,383件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure Email Alerts for System Logs https://live.paloaltonetworks.com/t5/Learning-Articles/What-does-the-Bi-directional-NAT-Feature-Provide/ta-p/60593   GUIにて Policies > NAT で送信元アドレスの変換の設定をする際、スタティック IPを選択すると "双方向" のチェック ボックス(訳注:PAN-OSのバージョンによってはラジオボタン)が表示されます。   詳細 以下はサーバーから外部へ接続するための双方向 NAT の設定であり、プライベート アドレス "A_private" とパブリック アドレス "A_public" を使用して送信元ゾーン "Inside" から宛先ゾーン "Outside" への送信元 NAT の例です。ユーザーのアウトバウンド トラフィックはプライベート アドレスからパブリック アドレスへ送信元 NAT が実施されます。"outside" ゾーンを含む全てのゾーンから "A_public" アドレス宛てのトラフィックに対しては "A_private" アドレスへの宛先 NAT が行われます:   注: 双方向オプションを有効にするとファイアウォールは送信元 NAT と宛先 NAT の2つのルールを作成し、これらはデバイス上のNATルールとしてそれぞれカウントされます。双方向オプションによって作成された2つのルールは次のように記述されます: 送信元 NAT 元のパケット: 送信元ゾーン "Inside"、宛先ゾーン "Outside"、送信元アドレス "A_private"、宛先アドレス "ANY" 変換済みパケット: 送信元アドレスの変換 "スタティクIP"、変換後アドレス "A_public" 宛先 NAT 元のパケット: 送信元ゾーン "ANY" (Inside と Outside を含む全てのゾーン)、宛先ゾーン "Outside"、送信元アドレス "ANY"、宛先アドレス "A_public" 変換済みパケット: 宛先アドレスの変換の変換後アドレス "A_private"   双方向 NAT 変換の設定するには NAT ポリシー ルールの変換済みパケット タブを開きます。送信元アドレス変換の中にある変換タイプで "スタティックIP" を選択します。必要に応じて双方向 NAT オプションの有効/無効を設定します: 双方向オプションを使用した場合、上記で記述したとおり NAT ポリシー数は2倍になります: オリジナルの送信元 NAT ポリシー 暗黙で作成される宛先 NAT ポリシー 宛先 NAT ポリシーは上記の例の場合、以下のようになります: 元のパケット: 送信元ゾーン "ANY" 宛先ゾーン "Outside" 送信元アドレス "ANY" 宛先アドレス "A_public"; オリジナル ルールの変換後宛先アドレス 変換済みパケット: 宛先アドレス "A_private"; オリジナル ルールの送信元アドレス   注: 双方向ルールによって作成された宛先 NAT ポリシーは元のパケット内の送信元ゾーンと送信元アドレスが "ANY" となります。ポリシーが双方向での送信元スタティック NAT として設定されると、意図しないトラフィックが NAT されることがあります。送信元/宛先 NAT ルールをきめ細かく制御したり、双方向 NAT が正しく動作していない場合にはこれらを個別に作成する必要があります。  
記事全体を表示
tsakurai ‎07-27-2016 08:16 PM
17,441件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Serve a URL Response Page Over an HTTPS Session Without SSL Decryption https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Serve-a-URL-Response-Page-Over-an-HTTPS-Session-Without/ta-p/55998   詳細 このドキュメントは SSL 複合化を実施せずに HTTPS セッション上で URL 応答ページを表示する方法 について記述しています。   必要条件 セキュリティ ポリシー内の URL フィルタリング プロファイル にて、対象のHTTPS サイトへのアクセスに対して "Block" アクションが設定されていること 応答ページを有効にする必要があります。V-wire インターフェイスで応答ページを表示するためには SSL 復号化が必要になるため、V-wireでは実行することができません Network > ネットワーク プロファイル > インターフェイス管理 応答ページを有効にしたインターフェイス管理プロファイルを作成します Network > インターフェイス > Ethernet?/? > 詳細 > 管理プロファイル a で作成した管理プロファイルを選択します 証明書は Palo Alto Networks デバイス上でフォワード プロキシ用の信頼された証明書として使用されます。それは次のいずれかとなります: "認証局" にチェックされた自己署名/自己生成した証明書 注: 自己署名/自己生成した証明書を使用している場合、ブラウザ上に表示される証明書エラーを回避するためにはクライアント PC の証明書ストアにこの証明書をインポートする必要があります。 組織内の内部CAによって生成された Palo Alto Networks デバイス用の中間CA証明書 "認証局" にチェックされた自己署名/自己生成したフォワードプロキシ用の信頼されない証明書。この証明書は受け取った全てのクライアントで信頼されません 注: BrightCloudのダイナミック URL フィルタリングを使用する場合、全てのURL フィルタリング プロファイル上でダイナミック URL フィルタリングを有効にした上、デバイス全体でも有効にしてください。デバイスのCLIで configure モードから次のコマンドを入力します: # set deviceconfig setting url dynamic-url yes 上記のコマンドはファイアウォール上で BrightCloud の URL フィルタリング ライセンスが有効な場合にのみ動作します。PAN-DB URL フィルタリングでは動作しません。   上記の要件が満たされた時点で、次のコンフィグレーション コマンドを実行するとPalo Alto Networks デバイスが HTTPS セッション上で URL フィルタリング レスポンス ページを表示できるようにします。このコマンドは BrightCloud か PAN-DB に関わらず動作します: # set deviceconfig setting ssl-decrypt url-proxy yes   クライアント PC では HTTPS セッション上で URL フィルタリング ポリシーによって指定された URL フィルタリング レスポンス ページが表示されます。   アクション タイプ "continue(続行)" と "override(オーバーライド)" に関する注意 今日のウェブサイトのサーバー コンテンツは複数の送信元から提供されているため、URL フィルタリング レスポンス ページのアクション タイプを "continue" または "override" で提供する場合、ページ上の一部のコンテンツが正しく表示されない可能性があります。アクションを "block(ブロック)" や "continue"、"override" に設定しているカテゴリのサイトからコンテンツが提供される場合に発生し、ファイアウォールはそれぞれの埋め込まれたリンクに対して "continue" や "override" のレスポンスページを表示しません。   注: 有効期限を更新するために証明書を置き換えた場合は、データプレーンの再起動かデバイスの再起動を実施します。 これによりデータプレーン上の有効期限切れ証明書のキャッシュが削除されます。  
記事全体を表示
tsakurai ‎07-27-2016 01:43 AM
9,191件の閲覧回数
0 Replies
2 Likes
※この記事は以下の記事の日本語訳です。 How to Deal with Conficker using DNS Sinkhole https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Deal-with-Conficker-using-DNS-Sinkhole/ta-p/52920     訳注:本文書で紹介するDNSのシンクホール機能はPAN-OS 6.0から対応しています。   概要 Confickerは2008年11月に初めて見つかり、Windowsを実行しているコンピューターに最も広く感染したワームの1つです。 Palo Alto Networksは、Confickerワームを見つけ、遮断することができるシグネチャ群を作成しました。それらの中でもConfickerの亜種によって使用されるDNSドメインを見つけることのできるアンチ ウィルス/アンチ スパイウェアのシグネチャがあります。 このドメインは、Confickerの亜種が見つかるとすぐに更新されます。WildFireライセンスが使用されている場合、新しく見つかったドメインは、WildFireシグネチャをとおして、1時間ごとにPalo Alto Networksファイアウォールに展開されます。ライセンスを使用していない場合、シグネチャは24時間ごとに展開され、すべてのPalo Alto Networksデバイスに対して、ダイナミック アップデートによってダウンロードされます。次回の更新時に、新しいAVシグネチャに対してもアップデートが実施されます。この保護は、ネットワーク内のユーザーが「悪意ある」ドメインを要求している時に機能します。ログの分析を行うことで、感染したドメインに対する要求が、ローカルのDNSサーバーから来ていることを確認することができます。これは、DNSの階層構造により発生します。   詳細 すべてのPalo Alto Networksプラットフォームは、有害なドメインに対するクエリに対して、シンクホール機能を実装しています。この機能を使用して、Palo Alto Networksファイアウォールは、ネットワーク内の感染したホストを見つけることができ、セキュリティの管理者に通知を行うことができます。これにより、そのネットワークから感染した端末を隔離することができます。   一連の動作: 感染したコンピューターは、ローカルのDNSサーバーから、感染したドメインの名前解決を依頼します。 ローカルのDNSサーバーは、公開されているDNSサーバーにクエリを送ります。 Palo Alto Networksデバイスは、最新のシグネチャを使用して、そのクエリー内容から有害なドメインを見つけます。 管理者が設定したIPアドレス (シンクホール アドレス) を付与してDNS要求に対する回答を上書きし、クライアントに対して改変された回答を送ります。 クライアントは、シンクホールのIPアドレスに接続しようとします。 Palo Alto Networksは、そのトラフィックを遮断し、その試みをログに記録します。 ファイアウォールの管理者は、そのイベントの通知を受け取ります。 有害なクライアントは、ネットワークから隔離、除去されます。   手順 DNSシンクホール機能を設定するために、こちらをご覧ください: How to Configure DNS Sinkholing on PAN-OS 6.0 L3インターフェイスが、シンクホール インターフェイスとして設定されているPalo Alto Networksデバイスを使用して(ループバック インターフェイスを使用することもできます) 、以下の手順を行います: 仮想 ルーターとセキュリティ ゾーンに、以下の例のようにインターフェイスを追加します。このゾーンは、ユーザーが接続を開始するものとは異なります。有害なコンピューターはトラフィックを送り出すかは定かではありませんが、ベストプラクティスとしてはこのインターフェイスに対して新しいシンクホール ゾーンを作成します。 新しい"sinkhole"ゾーンの作成にし、作成したループバック インターフェイスを"loopback.222"を追加します。 現在使用されておらず、管理者に対して分かりやすいIPアドレスをインターフェイスに割り当てます。 社内でIPv6が使用されている場合、インターフェイスにIPv6アドレスも割り当てます。 [ Objects ] > [ セキュリティ プロファイル ] > [ アンチ スパイウェア ] を開き、インターネット ユーザーに割り当てられるプロファイルを選択(あるいは作成)します。 DNS シグネチャ タブ内で、DNSクエリ時のアクションとして"シンクホール"を選択します。"ブロック"を選択した場合、有害なドメインに対してのクエリを遮断し、ログにはローカルのDNSのみが"attacker"として表示されます。先ほど作成したシンクホールIPアドレス (222.222.222.222) を選択します。 IPv6のDNSクエリ用には、IPv6のIPアドレスを選択します。 「パケット キャプチャ」欄で、シグネチャをトリガーにしたパケットだけではなく、より多くのパケットをキャプチャするために、"extended-capture"を選択します。この値は、[ Device ] > [ セットアップ ] > [ コンテンツ ID ] > [ コンテンツ ID 設定 ] で定義されています。 アンチ スパイウェア プロファイルをセキュリティ ルールに適用し、「セッション終了時にログ」を有効にします。 コミットをクリックして、設定を反映させます。   検証 設定の反映が完了した後、トラフィックがキャプチャされることを確認し、有害なコンピューターを特定します。 ファイアウォールの背後にある検証機を使用します。 Confickerドメインの1つに対して、DNSトラフィックを開始します(この検証では"fetyeq.net"を使用します)。 注:他のConfickerドメインを確認するためには、Palo Alto Networksデバイス上にインストールされているダイナミック アップデートのアンチウィルス リリース ノートを開きます。Palo Alto Networksは、これらのドメインを定期的に更新しており、アンチウィルス シグネチャのリリース ノート内で確認することができます。 [ Device ] > [ ダイナミック更新 ] > [ アンチ ウィルス ] > [ リリース ノート ] を開き、"conficker"を検索すると、約1,000件のドメインを見ることができます。 脅威ログにて、アクションが"sinkhole"となっているログを確認します。 必要に応じて、パケット キャプチャを確認します。 クエリ ビルダーにて、フィルタとして"( action eq sinkhole)" を使用してカスタム レポートを作成します。毎日実行するために、スケジュール設定にチェックを入れます。 翌日、データが収集、表示されていることを確認するために、レポートを確認します。 上記の手順に従うことで、特定のネットワーク内の有害なコンピューターを追跡したり、隔離することができます。     著者:ialeksov
記事全体を表示
hshirai ‎07-22-2016 01:43 AM
6,454件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure GlobalProtect Portal Page to be Accessed on any Port https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-GlobalProtect-Portal-Page-to-be-Accessed-on-any/ta-p/53460   訳注:GlobalProtectの設定画面はPAN-OS Versionにより大幅に異なります。ご使用になるPAN-OSバージョンのWebインターフェイス リファレンス ガイドを合わせてご参照ください。   GlobalProtectが使用するポートを変更することはできませんが、ループバック IPアドレスとセキュリティ ルールによって他のポートを使うことができます。   設定方法: ループバック Interfaceを作成します。 Untrustのインターフェイスが、ループバックにpingできることを確認しておきます。 ポータルのアドレスとゲートウェイのアドレスに、ループバックアドレスを設定します。 GlobalProtectポータルにて、[クライアントの設定]タブよりクライアントの設定を作成し、[外部 ゲートウェイ]を設定します (例:10.30.6.56:7000) 。 ポート番号7000を使用する10.30.6.56 (Untrustのインターフェイス)が、ポート番号443を使用する10.10.10.1 (ループバック) に変換される宛先NATルールを作成します。 Untrustのインターフェイスを宛先アドレスとし、ポート番号7000と443をサービスとしてセキュリティ ポリシーを作成します。 この設定を行うことで、https://10.30.6.56:7000 でGlobalProtectポータルにアクセスできるようになります。https://10.30.6.56:7000  は https://10.10.10.1  が変換されたものです。 GlobalProtectクライアント ソフトウェアをダウンロードして、インストールします。 [ユーザー名]と[パスワード]で資格情報を使用します。[ポータル]欄では、以下の図のように10.30.6.56:7000 をIPアドレスとして使用します。                             著者:mvenkatesan
記事全体を表示
hshirai ‎07-20-2016 08:04 PM
3,526件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How To Test Security, NAT, and PBF Rules via the CLI https://live.paloaltonetworks.com/t5/Management-Articles/How-To-Test-Security-NAT-and-PBF-Rules-via-the-CLI/ta-p/55911     概要 この資料は、CLI上でセキュリティ、アドレス変換(NAT)、ポリシーベース フォワーディング(PBF)ルールについて、CLI上での"test"コマンドを使用して、あるセッションがポリシーに期待通りにマッチするかを確認する方法を説明します。   セキュリティポリシー、NATポリシー、PBFポリシーのテストを実行する際に必要となる要素: source  - 送信元IPアドレス destination  - 宛先IPアドレス destination port  - 宛先ポート番号を明確にすること protocol  - 1番から255番までのIPプロトコル番号を明確にすること (TCP - 6, UDP - 17, ICMP - 1, ESP - 50)   上記のどの要素の値も分からない、あるいはルールにフィールド値として"any"が設定されているシナリオのように、その要素が重要ではない場合、偽の値、あるいは適当な値を入力しても構いません。また、'application'、'category'、'from'、'to'のゾーンについて指定することもできます。   注:送信元ゾーンと宛先ゾーンが同じに設定されたセキュリティー ポリシーが多数ある場合、期待したセキュリティー ポリシーにマッチさせるために、送信元ゾーンと宛先ゾーンを指定することを推奨します。ゾーンが指定されていない場合、"test"コマンドは、送信元と宛先のIPアドレスが属していないゾーンに基づいたルールの結果を返します。   詳細 セキュリティ ルールのテスト test security-policy-match + application        Application name + category          Category name + destination        destination IP address + destination-port  Destination port + from              from + protocol          IP protocol value + show-all          show all potential match rules + source            source IP address + source-user        Source User + to                to   <Enter>            Finish input   例1:(必要な要素の値が分かっている時) test security-policy-match protocol 6 from L3-Trust to L3-Untrust source 192.168.52.1 destination 74.125.225.69 destination-port 80 application gmail-base Trust_Untrust {         from L3-Trust;         source 192.168.52.1;         source-region any;         to L3-Untrust;         destination 74.125.225.69;         destination-region any;         user any;         category any;         application/service[ gmail-base/tcp/any/80 gmail-base/tcp/any/8080 web-browsing/tcp/any/80 web-browsing/tcp/any/8080 gmail-chat/tcp/any/80 gmail-chat/tcp/any/8080 gmail-enterprise/tcp/any/80 gmail-enterprise/tcp/any/8080 gmail-call-phone/tcp/any/80 gmail-call-hone/tcp/any/8080 gmail-video-chat/tcp/any/80 gmail-video-chat/tcp/any/8080 ];        action allow; }   例2:(フィールドに"any"が設定されているシナリオのように、必要な要素の値が分からない時) test security-policy-match protocol 1 from L3-Trust to L3-Untrust source 192.168.52.1 destination 4.4.4.4 destination-port 80   Trust.Untrust {         from L3-Trust;         source any;         source-region any;         to L3-Untrust;         destination any;         destination-region any;         user any;         category any;         application/service any/any/any/any;         action allow; }   例3:(該当するルールがない) test security-policy-match protocol 6 from L3-Trust to L3-Untrust source 192.168.52.1 destination 69.171.242.11 destination-port 80 application facebook-base   No rule matched   NATルールのテスト test nat-policy-match + destination        destination IP address + destination-port  Destination port + from              from + ha-device-id      HA Active-Active device ID + protocol          IP protocol value + source            source IP address + source-port        Source port + to                to + to-interface      Egress interface to use   <Enter>            Finish input   例1:(必要な要素の値が分かっている時) test nat-policy-match protocol 6 from L3-Trust to L3-Untrust source 192.168.52.1 destination 171.161.148.173 destination-port 443   Source-NAT: Rule matched: Src_NAT 192.168.52.1:0 => 10.30.6.52:15473 (6),   例2:( フィールドに"any"が設定されているシナリオのように、必要な要素の値が分からない時) test nat-policy-match protocol 17 from L3-Trust to L3-Untrust source 192.168.52.1 destination 69.171.242.11 destination-port 80   Source-NAT: Rule matched: Source_NAT 192.168.52.1:0 => 10.30.6.52:4792 7 (17),   例3:(該当するルールがない) test nat-policy-match protocol 6 from L3-Trust to L3-Untrust source 192.168.52.1 destination 212.58.241.131 destination-port 443   Server error :   PBFルールのテスト test pbf-policy-match + application        Application name + destination        destination IP address + destination-port  Destination port + from              From zone + from-interface    From interface + ha-device-id      HA Active-Active device ID + protocol          IP protocol value + source            source IP address + source-user        Source User   <Enter>            Finish input   例1:(必要な要素の値が分かっている時) test pbf-policy-match protocol 6 from L3-Trust source 192.168.52.1 destination 74.125.225.69 destination-port 80 application web-browsing PBF {         from L3-Trust;         source 192.168.52.1;         destination 74.125.225.69;         user any;         application/service web-browsing/any/any/any;         action Forward;         forwarding-egress-IF/VSYS ethernet1/3;         next-hop 0.0.0.0; }   例2:( フィールドに"any"が設定されているシナリオのように、必要な要素の値が分からない時) test pbf-policy-match protocol 6 from L3-Trust source 192.168.52.1 destination 171.161.148.173 destination-port 80   "PBF any" {         from L3-Trust;         source any;         destination any;         user any;         application/service any/any/any/any;         action Forward;         forwarding-egress-IF/VSYS ethernet1/3;         next-hop 0.0.0.0; }   例3:(該当するルールがない) test pbf-policy-match protocol 17 from L3-Trust source 192.168.52.1 destination 69.171.242.11 destination-port 80   Server error : Error running policy lookup   Multi-vsys環境 Multi-vsys環境で上記の"test"コマンドを実行するには、最初に特定の vsysに対して、CLI上で  set system setting target-vsys <vsys> コマンドを使ってコンテキストを変更します。それから、"test"を実行します : admin@PA-5050 vsys2(passive)> test security-policy-match from vsys2_trust to vsys2_untrust destination-port 80 protocol 6 source 1.1.1.1 destination 2.2.2.2   Temp {         from any;         source any;         source-region none;         to any;         destination any;         destination-region none;         user any;         category any;         application/service  any/any/any/any;         action allow;         terminal yes; }   初期設定に戻すには、 set system setting target-vsys none コマンドを実行します。     著:gchandrasekaran
記事全体を表示
hshirai ‎07-19-2016 03:15 AM
8,003件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Identify Unused Policies on a Palo Alto Networks Device https://live.paloaltonetworks.com/t5/Learning-Articles/How-to-Identify-Unused-Policies-on-a-Palo-Alto-Networks-Device/ta-p/53202   概要 このドキュメントは、Palo Alto Networks Device上で使用されてないポリシーの特定方法を紹介しています。 詳細 Web UIを利用した場合 使用されてないポリシーを特定するには、以下を実施します。 Policies > Securityの順にクリックします。 表示された画面下にある、Highlight Unused Rulesにチェックをいれます。 データプレーンが起動してから、未使用のルールがハイライト表示されます。 データプレーンが起動した際に、未使用のルールに関わるカウンター値は初期化され、それらはデータプレーンの再起動とともにクリアされます。   ハイライト表示されたルールが使用されているのかどうか確認するためには、Security Policiesレポートを 生成して確認します。このレポートはルール、セッションに関するバイト数、セッションの量を表示します。 Monitor > Reportsの順にクリックします。 表示された画面の右端のTraffic Reports > Security Rulesを順にクリックします。 日数を指定し、レポートを作成します。   CLIを利用した場合 vsys1における使用されてないポリシーを表示させる場合、以下のコマンドを実行します。 > show running rule-use rule-base security type unused vsys vsys1   その他の使用されてないポリシーを表示させる場合 (NAT, decryption, app-override, PBF, QOSや Captive Portal)は、 <option> に必要な引数を指定することで表示できます。 > show running rule-use rule-base <option> type unused vsys vsys1 <option> に指定できる引数は以下のいずれかになります。   app-override   application override policy   cp             captive portal policy   decryption     ssl decryption policy   dos            dos protection policy   nat            nat policy   pbf            policy based forwarding policy   qos            qos policy   security       security policy   WebUIのケースと同じように、CLIでの表示もデータプレーンが起動してから使用されてないポリシーが表示されます。   著: nayubi
記事全体を表示
kkawachi ‎07-18-2016 10:29 PM
5,506件の閲覧回数
0 Replies
Ask Questions Get Answers Join the Live Community