ナレッジドキュメント

※この記事は以下の記事の日本語訳です。 How to Create a New Customer Support Portal User https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClNPCA0     スーパーユーザーは新しいCSPユーザーを作成することができ、このユーザーをアカウントのメンバーとして追加することができます。 カスタマー サポート ポータルにログインします ( https://support.paloaltonetworks.com )。 現在使用しているアカウントが、資産を所有しているアカウントであることを確認します。資産を所有しているアカウントではない場合、"Current Account"メニューをクリックし、正しいアカウントを選択します。管理しているアカウント数が多い場合は、検索することができます。 "Members"の項目を展開し、"Create New User"をクリックします。 ユーザー登録フォームに記入します。 "Submit"ボタンをクリックします。 新しいユーザーアカウントが作成され、ユーザーはアカウントのメンバーとして追加されます。ユーザーの役割については以下をご覧ください。Support Portal User Role Matrix Eメールがログインする際の資格情報と共に新規ユーザー宛てに送られます。   スーパーユーザーは、新規ユーザーがアカウントにログインすることのできるリンクを作成することもできます。How to Use the Account Registration Link     著：panagent

※この記事は以下の記事の日本語訳です。 Viewing the configuration in set and XML format https://live.paloaltonetworks.com/t5/Configuration-Articles/Viewing-the-configuration-in-set-and-XML-format/ta-p/65757   対象 PAN-OS: 5.0, 6.0, 6.1（訳注 8.1.3でも同様の動作をすることを確認しています。）   概要 この文書はPalo Alto Networksファイアウォールにて、CLIから設定を"set"や"xml"フォーマットで閲覧する方法を記載します。   手順 それぞれのフォーマットで設定を閲覧するために、以下のコマンドを実行します。 "set" フォーマット： > set cli config-output-format set "xml" フォーマット： > set cli config-output-format xml 設定モードに入ります。 > configure 設定全体を確認するにはshowを入力します。show network interfaceのように、一部のコンポーネント部分のみを閲覧することも可能です。 注： 必ずしもshowの出力順どおりにコマンドを実行できるとは限りません。先に表示されたコマンドは後に定義されている箇所を参照する場合もありえます。   以下の例は"set" フォーマットで設定を閲覧する方法の例です。 > set cli config-output-format set > configure Entering configuration mode [edit] # show set mgt-config devices localhost.localdomain ip 127.0.0.1 set mgt-config user admin phash fnRL/G5lXVMug set mgt-config user admin permissions role-based superuser yes   set zone L3-Trust network layer3 ethernet1/3 set zone L3-Trust network layer3 ethernet1/4 set zone L3-Trust network layer3 ethernet1/5 set zone L3-Trust enable-user-identification no   set rulebase security rules rule1 from any set rulebase security rules rule1 to any set rulebase security rules rule1 source any set rulebase security rules rule1 destination any set rulebase security rules rule1 service any set rulebase security rules rule1 application any set rulebase security rules rule1 action allow ... 著者： panagent  

※この記事は以下の記事の日本語訳です。 GLOBALPROTECT: ONE-TIME PASSWORD-BASED TWO FACTOR AUTHENTICATION https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm8ICAS     原文はSivasekharan   Rajasekaranによるものです。 @ srajasekar   背景   企業では社内リソースへのアクセスの許可のために、ワンタイム パスワード（OTP）のような、より強力な認証手段が求められています。OTPベースの認証を要求することで、企業は攻撃者が不正にユーザーの資格情報を入手したり、承認されないアクセスをすることを防ぐことができます。しかしOTPを要求するどの実装も、エンドユーザーがOTPを使いづらく感じ、敬遠する恐れがあります。   目的   GlobalProtectはOTPベース認証をサポートし、ユーザー体験を維持する手段を提供します。この文書の目的は、企業の管理者に異なるGlobalProtectのOTP認証のワーク フローと、彼らのセキュリティとコンプライアンスの要求に合致しつつ、ユーザー体験を簡潔に維持するGlobalProtectの認証シナリオを決定する一助となることです。     GlobalProtectのOTP認証   GlobalProtectはRADIUSまたはSAML経由のOTPベースの認証をサポートし、OTPベンダーに全く依存しません。 RADIUSかSAMLをOTPベンダーが対応している限り、どのOTPベンダーも使用できます。OTPサービスをどのように設定したか次第で、ユーザーは2つのワーク フローのいずれかに従って認証されます。 ユーザーはユーザー名とパスワードを最初に入力し、その後にOTPによりChallengeが行われます。OTPは承認のプッシュ、SMS、トークン コードのいずれかを使用します。 ユーザーはユーザー名を入力し、Challengeを待つことなくワンタイム パスワード（あるいは同時にパスワード）を即認証します。 GlobalProtectはこれらのワークフローをサポートします。  Duoによる2つのワークフローを行うRADIUS設定のサンプルはこちらです。   Always-OnモードでのOTPベース認証が必要な場合 - こちらを参照   On-DemandモードでのOTPベース認証が必要な場合   GlobalProtectをOn-Demandモードで展開している場合、ユーザーは手動で必要に応じてGlobalProgtectに接続します。このモードは一般的な安全なリモート アクセスのユース ケースで、リモートのユーザーは社内データ センターのリソースにアクセスするためにVPNトンネルをセットアップし、内部のデータ センターへのアクセスが必要なくなったときにはVPNを切断します。   ユース ケース1： RADIUSを使用したOn-DemandモードでOTPを使用する   On-Demandによる接続では、GlobalProtectエージェントは、ユーザーがGlobalProtectへの接続を開始する毎に、常に最初にポータル、続いてゲートウェイを認証します。OTP認証がポータルとゲートウェイ両方に必要ということは、ユーザーが二回OTP認証を促されることを意味します（一回はポータル、続く一回はゲートウェイ）。しかし（PAN-OS 7.1およびGlobalProtect 3.1以降から）、ユーザーの認証の回数を最小化する認証オーバーライド機能を提供しています。認証オーバーライドの詳細は、Enhanced Two-Factor Authenticationをご覧ください。   推奨の設定： ポータルとゲートウェイ両方にOTP認証を必要とする。 ポータルにて、 ユーザー認証情報の保存を “Save Username Only” 認証オーバーライドの有効化と、"クッキーを生成して認証上書き"、"クッキーを受け入れて認証上書き"の両方の有効化。 Cookie有効期間を'N'時間に設定。'N'時間はユーザーが認証情報を再度入力を促されるまでの時間です。提供したいユーザー体験に基づいて決めてください。 ゲートウェイにて、 ユーザー認証情報の保存を “Save Username Only” 認証オーバーライドの有効化と、"クッキーを生成して認証上書き"、"クッキーを受け入れて認証上書き"の両方の有効化。 クッキーの暗号化/復号には、ポータルとゲートウェイで同じ証明書を使用するようにしてください。 注： 認証オーバーライドに使用する証明書を更新する必要ができたときに柔軟に対応するため、認証クッキーの暗号化と復号化に使用する証明書は専用のものとしてください。     この設定にて、エンドユーザーがGlobalProtectに手動で接続するとき、エンドユーザーの体験は次のようになります。   ワーク フロー – 1 ワーク フロー – 2       ユース ケース2： SAMLを使用したOn-DemandモードでOTPを使用する   GlobalProtectは、PAN-OS 8.0とGlobalProtect 4.0からSAML認証をサポートします。SAMLを使用するとGlobalProtectエージェントはSAMP IdPからの認証ページを、Web/組み込みブラウザーで表示し、ユーザーを認証します。ブラウザが異なる（組み込みブラウザー）ため、 GlobalProtectの認証により得られたSAMLクッキーは、他のSAML有効化アプリケーションによるSSOには使用できません。逆もまた同様です。 GlobalProtect の認証により得られたSAMLクッキーは、再起動やログアウト後には残りません。 SAMLによるOTPを使用した場合、透過的な認証を行うために推奨される設定は次のようになります。 ポータルとゲートウェイの両方にSAML認証を使用します。 IdP設定により、SAMLクッキーの有効な期間を決定します。SAMLクッキーが継続し有効である限り、ユーザーからみてGlobalProtectへの透過的な認証になります。 Oktaを使用したGlobalProtectのSAML認証の設定方法はこちらをご覧ください。   GlobalProtect認証オーバーライドを用いて、再起動やログアウト後も透過的な認証を提供する   ポータルにて、 ユーザー認証情報の保存を “Save Username Only” 認証オーバーライドの有効化と、"クッキーを生成して認証上書き"、"クッキーを受け入れて認証上書き"の両方の有効化。 Cookie有効期間を'N'時間に設定。'N'時間はユーザーが認証情報を再度入力を促されるまでの時間です。提供したいユーザー体験に基づいて決めてください。 ゲートウェイにて、 ユーザー認証情報の保存を “Save Username Only” 認証オーバーライドの有効化と、"クッキーを生成して認証上書き"、"クッキーを受け入れて認証上書き"の両方の有効化。 クッキーの暗号化/復号には、ポータルとゲートウェイで同じ証明書を使用するようにしてください。 注： 認証オーバーライドに使用する証明書を更新する必要ができたときに柔軟に対応するため、認証クッキーの暗号化と復号化に使用する証明書は専用のものとしてください。   GlobalProtect Always-OnモードでのOTP認証の推奨については、このシリーズのこちらの次記事を参照してください。   設定例   2つのワーク フロー実現のためのDuoによるサンプル設定です。 DuoによるOTP認証を提供する方法の詳細については、こちらをご覧ください。   ワーク フロー1： ユーザーはユーザー名とパスワードを最初に入力し、その後にOTPによりChallengeが行われます。OTPは承認のプッシュ、SMS、トークンコードのいずれかを使用します。   [ad_client] host=<AD-Server> service_account_username=<administrator> service_account_password=<administrator’s password> search_dn=DC=acme,DC=com   [duo_only_client] [radius_server_challenge] ikey=<duo-integration-key> skey=<duo-security-key> api_host=<duo-host-name> radius_ip_1=<firewall-mgmt-ip> radius_secret_1=<radius-secret> client=ad_client failmode=safe port=1812

※この記事は以下の記事の日本語訳です。 How to Set Up DoS Protection https://live.paloaltonetworks.com/t5/Tutorials/How-to-Set-Up-DoS-Protection/ta-p/71164   ルールベースのDoS protectionを使用する場合、管理者はポリシーを設定して、DoS攻撃者から防御設定できます。ルールベースの設定はPolicies > DoS Protectionからできます。これらのポリシーは、ゾーン、インターフェイス、IPアドレス、ユーザ情報などが一致するものを条件として設定できます。     DoS protectionを使用するには、DoSのルールをセキュリティ・ポリシーのように、設定された条件で流れているトラフックが一致するよう作成します。これらの設定はObjectsタブ> Security Profiles > DoS Protectionにて設定できます。   まず初めに、プロファイルのタイプを明示的にします。aggregateかclassifiedを選びます。   Aggregate: プロファイル上のDoSの閾値をこのプロファイルに設定した条件ルールに一致する全てのパケットに対して適応します。例えば、秒間10000パケットのSyn flood閾値のaggregateルールは、その特定のDoSルールにヒットする全てのパケットをカウントします。 Classified: プロファイル上のDoSの閾値は分類基準別（送信元IP、宛先IPもしくは送信元、宛先IPの組み合わせ別）にカウントします。   DoS protectionプロファイルは、いくつかの種類のDoS攻撃を緩和させるために利用することができます。   Flood protectionはゾーン protectionプロファイルの一つに似ています。Syn floodでは、SYN CookieとRandom Early Drop(RED)がオプションで選べます。他のタイプのfloodではREDが使われます。ゾーン protectionプロファイルでは同じ設定オプションになっていることにお気づきになるでしょう。加えて、Block Durationがあり、攻撃しているIPを何秒間Denyするか設定できます。   Flood protectionに加えて、リソースprotectionも選択できます。このタイプのprotectionは、ホストの使用率を強制します。 特定の送信元IPアドレス、宛先IPアドレス、またはIP送信元と宛先ペアに対して許可されるセッションの最大数を制限します。   次に、Policies > DoS Protectionに移動し、セキュリティ・ルールと同様の手順で、DoSポリシーを作成します。   お気づきのように、ほとんどのパラメータはセキュリティ・ルールと同様です。 ルール名を設定した後、送信元、宛先、およびサービスを設定したら、Aggregateドロップダウンを使用してルールにプロファイルを添付するか、New DoS Protectionをクリックして新しいポリシーを作成できます。   deny/allow/protectの3種類の異なるアクションがあります。   Deny – トラフィックを全て落とします Allow - トラフィックを全て通します Protect - このルールに適用されるDoSプロファイルの一部として構成された閾値で設定された保護を実施します。   Schedule プルダウンを使用して、特定の日時にDoSルールを適用するスケジュールを割り当てることができます。 Log Forwarding プルダウンを使用して、脅威ログエントリをsyslogサーバやPanoramaなどの外部サービスに転送するようにログ転送を設定できます。 このチュートリアルのために、分類されたDoS保護プロファイルタイプを作成しました。 チェックボックスをオンにすると、Profile プルダウンメニューをから分類されたプロファイルタイプを選択できます。 下のAddressプルダウンメニューにて、先ほど述べた分類基準（source-ip-only / destination-ip-only / src-dest-ip-both）を選択できます。   例として、aggregate DoS protectionプロファイルとclassified DoS protectionプロファイルの両方を同じDoSルールに設定できます。   OKを選択し、Commitで設定を保存します。   CLIの場合、設定したDoS ルールを以下のコマンドで確認できます:   > show dos-protection rule <name> settings   このサンプル例では、以下のDoSルールが参照できます。 name = DosRule aggregate profile = DosProtection classified profile = Dos_classified classification criteria = source-only action = Protect   出力結果では、プロファイルで設定した全ての閾値も確認できます。   他にもVideo上で話されているトピックや、サンプルに関連した便利なリンク集が以下となります :   Understanding DoS Protection How to Configure a policy with DoS protection to protect hosted services  Differences between DoS protection and zone protection Video Tutorial – Zone protection profiles Understanding DoS logs and counters   著者: Kim

※この記事は以下の記事の日本語訳です。 How to Create Management Users, Assign Roles, and Change Password from the PAN-OS CLI https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Create-Management-Users-Assign-Roles-and-Change-Password/ta-p/54740   概要 この記事では管理ユーザーを追加/作成し、作成した管理ユーザーにロールを割り当て、 パスワードを設定する方法を記載しています。   手順 管理ユーザーの新規作成/追加 CLI へログイン Configure mode へ移行 >   configure 管理ユーザーを作成/追加およびパスワードを設定 # set mgt-config users <name> password 注:  <name> に指定したユーザー名が既存の管理ユーザーに存在しない場合にユーザーが作成されます。 管理ユーザーにロールを設定 # set mgt-config users <name> permissions role-based <role profile> custom deviceadmin devicereader superreader superuser Commit  を実行 # commit   既存の管理ユーザーのパスワードを変更 Configure mode へ移行 >   configure 新しいパスワードを設定（既存のパスワードが上書されます） # set mgt-config users admin password Commit を実行 # commit   WebGUI WebGUIでの手順、および個々の管理者ロールプロファイルを作成する手順については 各バージョンの管理者ガイドを参照してください。管理者ガイドへのリストを下記に記載します。   PAN-OS 7.0 Administrator's Guide   PAN-OS 7.1 Administrator's Guide   PAN-OS 8.0 Administrator's Guide   owner: sraghunandan

※この記事は以下の記事の日本語訳です。 How to Shut Down an Interface from the Web GUI or the CLI https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Shut-Down-an-Interface-from-the-Web-GUI-or-the-CLI/ta-p/53877   Web GUI Web GUIから、Network > Interface 落としたいインターフェイス設定を選択し、AdvancedタブのLink Stateプルダウンメニューからdownを選択します。 Commitで変更を反映します。     CLI ※ ethernet1/1を落とす設定の、実行例です。   > configure Entering configuration mode [edit] # set network interface ethernet ethernet1/1 link-state down #commit   著者: ppatel

※この記事は以下の記事の日本語訳です。 IPSec and tunneling - resource list https://live.paloaltonetworks.com/t5/Management-Articles/IPSec-and-tunneling-resource-list/ta-p/67721   以下のリストにIPSecおよびTunnel設定の理解に役立つ情報を記載しています： 記事名 備考 リソースタイプ 基本 How to configure IPSec VPN IPSec VPN設定 ドキュメント Configuring the Palo Alto Networks device as an IPSec IPSec Passthrough設定 ドキュメント IPSec crypto options IPSec暗号オプション ドキュメント Why is GlobalProtect slower on SSL VPN compared to IPSec VPN? GlobalProtectのSSLオプションがIPSecVPNオプションよりも遅い理由 ドキュメント How to improve performance for IPSec traffic IPSec通信のパフォーマンスを向上させる方法 ドキュメント NAT traversal in an IPSec gateway IPSecゲートウェイでのNAT traversal設定 ドキュメント Config guidelines when terminating IPSec VPN tunnels on the firewall ファイウォールでIPSec VPNを終端する場合のガイドライン ドキュメント Sample IPSec tunnel configuration - Palo Alto Networks firewall to Cisco ASA IPSec tunnel設定例 (Palo Altot NetowrksファイアウォールとCiso ASA) ドキュメント The IPSEC tunnel comes up but hosts behind peer are not reachable  IPSec tunnelトラブルシューティング ドキュメント IPSec VPN with peer ID set to FQDN IPSec VPNのpeer IDをFQDNで設定する場合の注意点  ドキュメント What encryption is used when enabling IPSec for GlobalProtect? GlobalProtectでIPSecを有効にした場合の暗号について ドキュメント How to create an IPSec tunnel that is a responder (not initiator) IPSec tunnel (レスポンダー)設定方法 ドキュメント 中級                   IPSec tunnel details IPSec tunnelトラブルシューティング ドキュメント Differences between IPSec and LSVPN tunnel monitoring LVPNとIPSec VPN のトンネルモニタリングの相違点 ドキュメント IPSec traffic being discarded IPSsec通信のトラブルシューティング ドキュメント How to verify if IPSec tunnel monitoring is working トンネルモニタリング動作状況の確認方法 ドキュメント IPSec VPN error: IKE phase-2 negotiation failed as initiator, quick mode IPSec VPNエラーのトラブルシューティング ドキュメント IPSec interoperability between Palo Alto Network firewalls and Cisco ASA Palo Alto Networks firewallsとCisco ASA firewallシリーズのIPSec相互接続について ドキュメント How to configure dynamic routing over IPSec against Cisco routers IPSec経由でCiscoルートとのダイナミックルーティングを設定する方法 ドキュメント Configuring route based IPSec with overlapping networks ルートベースIPSecの設定 ドキュメント IPSec with overlapping subnet 重複サブネットにおけるIPSec設定 ドキュメント GlobalProtect configuration for the IPSec client on Apple iOS devices Apple iOSのIPSecクライアント向けのGlobalProtect 設定 ドキュメント Site-to-site VPN between Palo Alto Networks firewall and Cisco router is unstable or intermittent Palo Alto Networks firewallとCiscoルータ間でのSite-to-site VPNが不安定になる事象について ドキュメント Configuring captive portal for users over site-to-site IPSec VPN Site-to-site IPSec VPN経由のCaptive Portal設定 ドキュメント IPSec VPN IKE phase 1 is down but tunnel is active IPSec VPNトンネルがアクティブの状態でIKE Phase 1がダウンしている事象について ドキュメント Tips for configuring a Juniper SRX IPSec VPN tunnel to a Palo Alto Networks firewall Juniper SRX IPSecとPalo Alto Networks firewall間のIPSec VPNトンネル設定における Tips ドキュメント Dynamic IPSec site-to-site between Cisco ASA and Palo Alto Networks firewall Cisco ASAとPalo Alto Networkファイウォール間におけるダイナミック site-to-site IPSecについて ドキュメント IPSec site-to-site between Palo Alto Networks firewall and Cisco with NAT device Cisco機器とPalo Alto Networkファイアウォール間にNAT機器がある場合のIPSec site-to-site接続について  ドキュメント How does the firewall handle diffserv headers in an IPSec tunnel? IPSecトンネルにおけるDiffservヘッダーの扱いについて ドキュメント IP phone switch not working through IPSec tunnel IPSecトンネル経由でIPフォンスイッチが動作しない ドキュメント 上級           IPSec tunnel is up and packet is getting dropped with wrong SPI counter increase "wrong SPI" カウンタが増加しパケットがドロップされる事象について ドキュメント Configuring route-based IPSec using OSPF OSPFを利用したRoute-based IPSec設定 ドキュメント IPSec error: IKE phase-1 negotiation is failed as initiator, main mode due to negotiation timeout IPSecラブルシューティング ドキュメント Site-to-site IPSec excessive rekeying on only one tunnel on system logs Site-to-Site IPSecで1つのトンネルのみ大量の rekeyが発生する ドキュメント CLI commands to status, clear, restore and monitor an IPSec VPN tunnel IPSec CLIコマンド ドキュメント What do the port numbers in an IPSec-ESP session represent? IPSec-ESPセッションのポート番号について ドキュメント Configuring IPSec VPN between PAN-OS and CheckPoint Edge / Safe@Office PAN-OSとCheck Point Edge / Safe@Office間のIPSec VPN設定 ドキュメント Configuring site-to-site IPSec VPN in layer 2 Layer 2 インターフェースでの site-to-site IPSec VPN 設定 ドキュメント Site-to-site IPSec VPN between Palo Alto Networks firewall and Cisco router using VTI not passing traffic Palo Alto NetworksファイアウォールとVTIを利用したCiscoルータ間のIPSecトラブルシューティング ドキュメント Configuring IKEv2 VPN for Microsoft Azure Environment Microsoft AzureとのIKEv2 VPN設定 ドキュメント  

※この記事は以下の記事の日本語訳です。 Apply QoS for Youtube or Streaming Media https://live.paloaltonetworks.com/t5/Configuration-Articles/Apply-QoS-for-Youtube-or-Streaming-Media/ta-p/66036   この記事は、ストリーミング メディアサイトにQoSを設定する方法について述べています。   以下のようなトポロジーで、 Ethernet 1/3はLAN側に、Ethernet 1/1はWAN側に設定されています。   QoSプロファイルを作成します。 QoSプロファイルの作成 QoSポリシーでトラフィックを特定のクラスにカテゴライズ設定します。 QoSポリシー名 QoSポリシー送信元 QoSポリシ - 宛先 制限をかけたい全てのアプリケーションを追加します： QoSポリシー - アプリケーション 必要に応じて、URLフィルタリング・カテゴリーを設定します： QoSポリシー - URLカテゴリー そして最後に、作成したポリシーをQoSプロファイルで一致させたいクラスに設定します： QoSポリシー – クラス これは重要なステップです。QoS プロファイルは送出パケットに適応されますので、ファイアウォールから大きなデータストリームが出ていくインターフェイスにそのプロファイルを割り当てる必要があります。この例では、クライアントはストリーミングをインターネットから受け取っており、大量のデータ フローがインターネットからクライアントへ流れているため、QoSプロファイルをクライアント サイドに適応することによって、フロー制御をします。 QoS インターフェイス QoS統計情報を確認します。Network > QoSに移動し、statisticsをクリックします。 QoS帯域実行結果   QoSについてのさらなる情報については、以下のGetting Started記事をご参照ください：   Getting Started: Quality of Service   著者: pankaku  

※この記事は以下の記事の日本語訳です。 Backing Up and Restoring Configurations https://live.paloaltonetworks.com/t5/Featured-Articles/Backing-Up-and-Restoring-Configurations/ta-p/65781   パロアルトネットワークス次世代ファイアウォールのバックアップからの設定情報の復元方法、保存とコミットの違い、Device > Setup > Operations > Configuration Management配下の様々なアクションについて学びます。         保存とコミットの違い   変更を設定情報ファイルに保存することと、変更をファイルにコミットすることは大きな違いがあります。パロアルトネットワークスは管理者が将来利用目的で、変更したり、それらを保存したりすることができます。しかしながら、管理者が変更を設定ファイルにコミットした場合、変更は、実行中の設定に上書きされ、即有効となります。   それゆえに、設定変更を加える前に、 実行中の設定を保存することをお勧めします。シリアスな設定ミスをして、バックアップを取得しておかなかったために、変更を戻したり、前回の設定に引き戻しすることが困難になります。   設定の保存、リストアについて パロアルトネットワークスのオペレーティングシステムは管理者に以下のオプションを提供します：     検証 候補設定の検証 戻す 最後に保存した設定に戻す   実行中の設定に戻す 保存 名前付き設定スナップショットの保存   候補設定の保存 ロード 名前付き設定スナップショットのロード   設定バージョンのロード エクスポート 名前付き設定スナップショットのエクスポート   設定バージョンのエクスポート   デバイス状態のエクスポート インポート 名前付き設定スナップショットのインポート   デバイス状態のインポート   検証—候補設定の検証   候補設定のエラーをチェックします。パロアルトネットワークスOSでは、管理者がコミットしていない、保存した設定ファイルの検証をすることができます。検証プロセスでは、設定情報上の、可能性のあるエラー、競合を精査します。管理者には出力結果が提示されます。この機能は、設定ミスや、間違った設定情報ファイルをロードすることを避けるのに、役立ちます。   戻す   もし設定情報の間違いをしてしまった場合に、オペレーティングシステムは最後に保存した設定情報、実行中の設定に即座に戻すことができます。最後に保存した設定情報、実行中の設定に違いがある場合、これらの2つのオプションは、ワンクリック復元と呼びます。どのファイルから復元するかは選択できません。両方のオプションは、2つの違う情報ソースから設定を復元します：   保存した設定情報から戻すのは、xmlファイルから復元します。 実行中の設定から戻すのは、running-config.xmlファイルから復元します。   最後の保存した設定情報に戻す   戻すオプションは、ローカル装置上の最後に保存した候補設定から復元します。現在の候補設定は上書きされます。 候補設定が保存されていない場合、エラーが発生します。重要な装置を設定している際に、素早く復元する便利な機能です。   これは最初に表示されるプロンプトで、復元を継続していいか聞いています。   2個目のメッセージでは、どのファイルから復元したか通知します。     パロアルトネットワークスの装置は、実行中の設定のスナップショットを生成し、ハードディスク上に保存します。実行中の設定の新しいバージョンは、変更したり、コミットした際に毎回作られます。これはとても便利な機能で、管理者が意図していない変更を加えた場合に素早く設定情報を以前の状態に戻すことができます。   実行中の設定に戻す   このオプションは、running-config.xmlから設定を復元します。現状の実行中の設定は上書きされます。   これは最初に表示されるプロンプトで、復元を継続していいか聞いています。     2個目のメッセージでは、どのファイルから復元したか通知します。       設定ファイルを保存する   設定ファイルを保存する方法は２つあります。   名前付き設定スナップショットを保存する。 候補設定を保存する。   これらはどういう違いがあって、なぜ2つのオプションがあるのでしょうか？   名前付き設定スナップショットの保存オプションは候補設定をファイルに保存します。保存している設定情報ファイルは実行中の設定に上書きされません。この機能は、バックアップファイルを作成したり、将来的に変更、もしくはラボ環境で試験をするためにダウンロードされた試験用の設定情報ファイルとして利用するのにとても便利です。ファイルに名前付けすることも、既存のファイルに上書きすることも可能です。注意：実行中の設定(running-config.xml)には上書きできません。   候補設定を保存 候補設定をフラッシュメモリ(ページトップにある、Saveをクリックするのと同様の意味)に保存します。   名前付き設定スナップショットのロード   候補設定を実行中の設定(running-config.xml)もしくは、以前インポートされた、保存された設定情報からロードします。ロードすべきファイルを選択します。現行の候補設定は上書きされます。   設定バージョンのロード 特定バージョンの設定情報をロードします。   名前付きされた設定スナップショットのエクスポート 実行中の設定情報(running-config.xml)もしくは過去に保存、インポートされた設定情報をエクスポートします。エクスポートすべきファイルを選択します。ファイルを開く、もしくはネットワーク上のロケーションに保存します。   設定情報バージョンのエクスポート 特定バージョンの設定情報をエクスポートします。   Panoramaおよびデバイスの設定バンドルのエクスポート(Panoramaのみ) Panoramaと管理している各々のファイアウォールの最新バージョンの実行中の設定情報バックアップを手動で生成、エクスポートします。自動的に生成、エクスポートするバンドル設定情報を日次でSCPもしくはFTPサーバに保存する方法については“Scheduling Configuration Exports"を参照ください。   デバイス状態のエクスポート(ファイアウォールのみ) この機能は設定情報と動的情報をGlobalProtectポータルにて、大規模なVPN機能を有効設定しているファイアウォールからエクスポートする場合に使われます。もしポータルが失敗に遭遇している場合に、エクスポートされたファイルをインポートすることによって、ポータルの設定や、動的情報を復元することができます。   エクスポートされたファイルには、ポータルが管理しているサテライトデバイスリストや、エクスポートされたタイミングでの実行中の設定情報、そして、全ての証明書情報(Root CA, サーバ情報、サテライト証明書)が含まれます。   重要 ： 手動で、機器ステートのエクスポートを走らせるか、ファイルをリモートサーバにエクスポートするスケジュールされたXML APIスクリプトを作成する必要があります。サテライト証明書がしばしば変更になる可能性があるため、これは定期的に実施する必要があります。   デバイス状態ファイルをCLIから作成するためには、設定モードから、デバイス状態の保存を実行する必要があります。 ファイル名はdevice_state_cfg.tgzとなり、/opt/pancfg/mgmt/device-stateディレクトリに保存されます。ファイルをエクスポートするオペレーショナルコマンドは、scp export device-state(tftp export device-stateも利用可能)です。XML APIを使用した情報については、XML API Usage Guideを参照ください。   名前付き設定スナップショットのインポート 設定情報ファイルをネットワークのロケーションからインポートします。Browseをクリックし、設定すべき設定情報ファイルを選んでください。   デバイス状態のインポート (ファイアウォールのみ) エクスポートオプションを使ってエクスポートされたデバイス状態をインポートします。これは、実行中の設定、Panoramaテンプレート、共有のポリシーを含みます。もし装置がGlobal Protectポータル設定がある場合、エクスポートされたファイルは、証明局（CA）情報、サテライト装置のリスト、そしてそれらの認証情報を含みます。   著者: rchougale

※この記事は以下の記事の日本語訳です。 Getting Started: Layer 3 Subinterfaces https://live.paloaltonetworks.com/t5/Featured-Articles/Getting-Started-Layer-3-Subinterfaces/ta-p/67395   ファイアウォールを開梱して、Vlan（サブ・インターフェイス）の設定をしたい     現在、新しいパロアルトネットワークス・ファイアウォールが起動して、動作している状況です。作成した様々なLayer 3サブ・インターフェイスにタグ付けしたVLANを追加してみましょう。一連の導入設定ガイドでは、ファイアウォールの箱を開梱し、ソフトウェアのアップグレード、VWireもしくはLayer3モードの設定が終わった後の最初のステップについて記述しています。 I've unpacked my firewall, now what?  と  I've unpacked my firewall and did what you told me, now what?  を参照してください。   あなたの組織では、インターネット上のWeb Serverとユーザのワークステーションを分けるために複数のネットワークセグメントが存在しているかもしれません。これらのネットワークが相互に通信するのを防ぐには、コアスイッチにVLANを実装し、両方のバーチャルネットワークを接続するブリッジやゲートウェイなしで、1つのVLANにあるホストが別のVLANにあるホストと通信できないようにします。   まず、前回の導入設定ガイドの続きから見ていきましょう。ファイアウォールにはLayer3インターフェイスがあり、トランクインターフェイスと通信できるようにTrustインターフェイスを変更する予定です。   レギュラーもしくはアクセス・スイッチポートとトランク・スイッチポートの違いは、アクセス・ポートがいかなるパケットでもイーサネットヘッダーを改ざんしないのに対して、トランク・ポートは IEEE 802.1Q ヘッダーの形式でVLANタグを付加することです。これにより、パケットはスイッチ外でVLAN情報を保持し、これらのパケットを受信する次のホストによって違うLANネットワークとして扱われることが保証されます。   interface GigabitEthernet1/36  switchport  switchport access vlan 100  switchport mode access  switchport nonegotiate  spanning-tree portfast ...reconfigure... interface GigabitEthernet1/36  switchport  switchport trunk allowed vlan 100,200  switchport mode trunk  switchport nonegotiate spanning-tree portfast インターフェイス設定を、VLANタグ設定のサブインターフェイスに変更します。   1. サブインターフェイス設定   最初に物理ファイアウォールからIP設定を削除します。 Networkタブに移動。 左パネルのInterfacesに移動。 Interface設定を開く。 IPv4タブを開く。 ネットワークアドレスを選択。 Deleteをクリック。   サブインターフェイスを追加する準備ができました。   サブインターフェイス設定では、インターフェイス番号とタグを割り当てます。タグはVLANと一致している必要がありますが、インターフェイス番号は違っても構いません。管理を容易にするために、双方を同じにしたほうがよいでしょう。そしてインターフェイスをDefault Virtual Routerに割り当て、Trustセキュリティ・ゾーンに設定します。     次に、IPv4タブに移って、インターフェイスにIPアドレスを追加します。   次に、Advancedタブに移り、Management Profileで'ping'を選択します。     次に、Webサーバーを次の図のようにスイッチのVLAN 200に加えます。   第2のサブインターフェイス設定が必要で、それをVLAN 200タグに設定します。違うセキュリティ・ゾーンを作成し、違うセキュリティ・ポリシーを設定することができます。   'dmz'ゾーンを作成します。     そして、違うインターフェイスとIPサブネットを割り当てます。   そしてManagement Profileに'ping'を設定します。   インターフェイス設定は以下のようになっているかと思います。   2. DHCP再設定   前回設定したDHCPサーバー設定を新しいサブインターフェイス設定に移動します。 Networkタブに移動。 左パネルから、DHCPメニューを選択。 インターフェイスethernet1/2用のDHCP設定を開く。 インターフェイスをethernet1/2.100に新しいサブインターフェイス設定に一致するよう変更。   3. 新しいNAT ポリシー設定   次のステップは、ファイアウォールの外部アドレス経由で、インターネット上のWebサーバにホストが接続するためのNATポリシーを設定します。 Policiesタブに移動。 NAT設定を左側パネルから選択。 Addをクリックして、新しいNATポリシーを作成。     Original Packetタブでは送信元、宛先ゾーンをuntrustそして、宛先アドレスを、ファイアウォールの外部アドレスに設定します。宛先ゾーンがuntrustなのは、ファイアウォールは宛先ゾーンを受信パケットのルーティングテーブルベースで決定するからです。この場合、NAT変換前の宛先IPアドレスが適用され、untrustゾーンとなります。   Translated Packetタブでは、Webサーバーの物理アドレスを設定します。   4. Securityポリシーの追加   最後のステップでは、Webサーバーにアクセスするために、TrustからUntrustゾーンを許可するSecurityポリシーを追加します。 Policiesタブに移動。 左パネルからSecurityを開く。 Addをクリックして、access_to_webserverという名前のSecurityポリシーを追加。 ここでは、送信元ゾーンが'untrust'を選択、   宛先には'dmz'を選択、宛先アドレスには、ファイアウォールの外部IPアドレスを設定します。   アプリケーションにはweb-browsingを追加し、   攻撃者からWebサーバーを守るために、必要なSecurityプロファイルを選択します。   TrustゾーンからのSecurityポリシーのステップを繰り返し、追加のアプリケーションを設定します。   Destinationでは、Securityゾーンに'dmz'を、アドレスにはWebサーバーの内部アドレスを設定します。   追加の管理用Applicationsを加えます。   設定されたSecurityポリシーは以下の様になっています。   新しい設定をcommitした後に、インターフェイスethernet1/2がVLAN 100と200のタグ付きパケットを処理でき、Webサーバーが外部インターネットに対して公開されていることが確認できます。    もしこの記事に興味がありましたら、次のフォローアップ記事も併せてご参照ください。 I’ve unpacked my firewall, but where are the logs?   著者: reaper

※この記事は以下の記事の日本語訳です。 Tips & Tricks: Forward traffic logs to a syslog server https://live.paloaltonetworks.com/t5/Featured-Articles/Tips-amp-Tricks-Forward-traffic-logs-to-a-syslog-server/ta-p/71966   トラフィックログをPalo Alto Networks ファイアウォールからSyslog サーバに転送する必要がありますか？レポーティング、法令上、保存領域といった理由から、それらのログをファイアウォールからSyslog サーバに転送設定する必要があります。このステップ バイ ステップにそって設定してみてください。トラフィック ログをSyslog サーバに転送するには以下の4つのステップが必要です。   Syslog サーバ プロファイルの作成。 ログ転送プロファイルの作成。 作成したログ転送プロファイルをセキュリティ ポリシーに設定。 コミットにて変更を反映。 ステップ1. Syslog サーバ プロファイルの作成 WebUIからDevice > サーバー プロファイル (Server Profiles) > Syslogに移動。 2. 名前 (Name) : Syslog サーバ プロファイルの名前を入力 (最大31文字)。名前は大文字小文字を区別し、ユニークでなければなりません。      使える文字は、アルファベット、数字、スペース、ハイフンとアンダースコアです。 3. 追加 (Add) をクリックし、Syslog サーバ名を入力 (最大31文字)。名前は大文字小文字を区別し、ユニークでなければなりません。      使える文字は、アルファベット、数字、スペース、ハイフンとアンダースコアです。     Syslog サーバー (Syslog Server): Syslog サーバのIPアドレスを入力。 転送 (Transport): Syslog メッセージを送付するプロトコルをUDP、TCPもしくはSSLから選択。 ポート (Port): Syslog サーバのポート (スタンダードポート : UDPは514; SSLは6514; TCPは任意の番号を指定)を入力。 フォーマット (Format): 使用するSyslog フォーマット: BSD (デフォルト設定) もしくはIETFを指定。 ファシリティ (Facility):  Syslogのスタンダード値の一つを選択。Syslog サーバがFacility フィールドをどのように使ってメッセージを管理するかマッピングします。Facility フィールドの詳細については、 RFC 3164  (BSD format)もしくは RFC 5424 を参照ください。   あなたのSyslog サーバ プロファイルが、以下の設定例のように作成できました。     外部レポーティング ツールと連携するために、ファイアウォールはログ フォーマットをカスタマイズできます。さらに、カスタム キーの追加もできます。カスタム フォーマットは以下から設定できます。 Device > サーバー プロファイル (Server Profiles) > Syslog > プロファイル名 > カスタム ログ フォーマット (Custom Log Format):   ArcSightのCommon Event Format (CEF)に準拠したログフォーマットについては CEF Configuration Guides  を参照ください。   ステップ2. ログ転送 (Log forwarding) プロファイルの作成 WebUIからObjects > ログ転送 (Log forwarding)に移動し、追加 (Add)をクリックします。         名前 (Name): プロファイル名(最大31文字)。この名前はセキュリティ ポリシーに設定した場合に、ログ転送プロファイルの一覧に表示されます。名前は大文字小文字を区別し、ユニークでなくてはなりません。使えるのはアルファベット、番号、スペース、ハイフンそして、アンダースコアです。 Syslog : トラフィック ログを送付する宛先を指定するために、Syslog サーバ プロファイルを選択します。 設定を確認してOKをクリックします。   ログ転送プロファイルが作成できました。以下のサンプルのようになっていると思います。     ステップ3. 作成したログ転送プロファイルをセキュリティ ポリシーに設定   WebUIからPolicies > セキュリティ (Security)に移動。     ログの転送設定をしたいルールを選びます。画面サンプル例はAny Allowを選択。         次に、アクション (Actions) タブに移動し、ドロップダウンから作成したログ転送プロファイルを選択し、設定が完了したらOKをクリック。     OKをクリックした後、設定したセキュリティ ルールのオプション (Options)欄に、Forwarding アイコンが表示されます。     ステップ4. 設定が完了したら、コミット (Commit)し設定を反映する。   著者: Kim

※この記事は以下の記事の日本語訳です。 How to View Active Session Information Using the CLI https://live.paloaltonetworks.com/t5/Management-Articles/How-to-View-Active-Session-Information-Using-the-CLI/ta-p/55630   概要 この記事はCLIでアクティブなセッションの情報を確認する方法について記載しています。   詳細 アクティブなセッションを確認するために次のコマンドを実行します: > show session all filter state active ------------------------------------------------------------------------------- ID/vsys  application    state  type flag  src[sport]/zone/proto (translated IP[port])                                               dst[dport]/zone (translated IP[port] ------------------------------------------------------------------------------- 35299/1  facebook       ACTIVE  FLOW        10.16.2.100[52648]/corp-trust/6 (10.16.2.100[52648])                                             69.63.176.170[80]/corp-untrust (69.63.176.170[80]) 32026/1  ssl            ACTIVE  FLOW        10.16.3.220[45307]/corp-untrust/6 (10.16.3.220[45307])   特定のセッション IDのすべての情報を表示するには、次のコマンドを使用します: > show session id <session id> > show session id 35299 session    35299         c2s flow:                 source:  x.x.x.x[corp-trust]                 dst:      x.x.x.x                 sport:    52648        dport:    80                 proto:    6            dir:      c2s                 state:    INIT          type:    FLOW                 ipver:    4                      src-user: unknown                 dst-user: unknown         s2c flow:                 source:  x.x.x.x[corp-untrust]                 dst:      x.x.x.x                 sport:    80            dport:    52648                 proto:    6            dir:      s2c                 state:    INIT          type:    FLOW                 ipver:    4                      src-user: unknown                 dst-user: unknown         start time            : Thu May 28 11:31:58 2009         timeout              : 30 sec         total byte count      : 1603         layer7 packet count  : 13         vsys                  : vsys1         application          : facebook         rule                  : rule38         session to be logged at end      : yes         session in session ager          : no         session sync'ed from HA peer    : no         layer7 processing                : enabled         URL filtering enabled            : yes         URL category                    : personal-sites-and-blogs         session QoS rule index          : default (class 4)   vsys単位で表示するには、次のコマンドを使用します: > show session all filter vsys-name < vsys >state active > show session all filter vsys-name vsys1 state active -------------------------------------------------------------------------------- ID          Application    State   Type Flag  Src[Sport]/Zone/Proto (translated IP[Port]) Vsys                                          Dst[Dport]/Zone (translated IP[Port]) -------------------------------------------------------------------------------- 67137512     ldap           ACTIVE  FLOW  NS   192.168.55.218[62453]/trust-L3/17  (10.66.22.55[17114]) vsys1                                          10.66.22.243[389]/dmz-L3  (10.66.22.243[389]) 67137503     ldap           ACTIVE  FLOW  NS   192.168.55.218[54391]/trust-L3/17  (10.66.22.55[20289]) vsys1                                          10.66.22.243[389]/dmz-L3  (10.66.22.243[389]) 67137521     ldap           ACTIVE  FLOW  NS   192.168.55.218[49393]/trust-L3/17  (10.66.22.55[64245]) vsys1                                          10.66.22.243[389]/dmz-L3  (10.66.22.243[389]) 67137501     ldap           ACTIVE  FLOW  NS   192.168.55.218[53507]/trust-L3/17  (10.66.22.55[23654]) vsys1                                          10.66.22.243[389]/dmz-L3  (10.66.22.243[389]) 67137489     ldap           ACTIVE  FLOW  NS   192.168.55.218[64742]/trust-L3/17  (10.66.22.55[10889]) vsys1                                          10.66.22.243[389]/dmz-L3  (10.66.22.243[389]) 67137523     ssl            ACTIVE  FLOW  NS   192.168.55.218[4958]/trust-L3/6  (10.66.24.55[61829]) vsys1                                          74.125.227.233[443]/untrust-L3  (74.125.227.233[443])   著者: wtam

※この記事は以下の記事の日本語訳です。 Dynamic Updates Display Error after Clicking on Check Now Button https://live.paloaltonetworks.com/t5/Management-Articles/Dynamic-Updates-Display-Error-after-Clicking-on-Check-Now-Button/ta-p/62294 症状 ダイナミック更新タブで最新のシグネチャを確認するために、"今すぐチェック" ボタンをクリックした際に、次のエラーが表示されることがあります: "Failed to check content upgrade info due to generic communication error. Please check network connectivity and try again."   原因 このエラーが表示される理由はいくつかありますが、通常はファイアウォールがインターネットに到達できるかどうかが関係しています。   解決方法   ファイアウォールで、updates.paloaltonetworks.comを解決できるようにDNS サーバーが設定されていることを確認します: WebUIから、Device > セットアップ > サービスに移動します: DNS servers ファイアウォールに適切なデフォルト ゲートウェイが設定されており、インターフェイス速度とデュプレックスが接続先のスイッチと一致するように設定されていることを確認します: Management interface properties Pingコマンドを使用してファイアウォールがFQDNを解決できることを確認します: admin@firewall> ping host www.example.com PING www.example.com (93.184.216.34) 56(84) bytes of data. 64 bytes from 93.184.216.34: icmp_seq=1 ttl=52 time=107 ms 64 bytes from 93.184.216.34: icmp_seq=2 ttl=52 time=106 ms 64 bytes from 93.184.216.34: icmp_seq=3 ttl=52 time=106 ms ^C --- www.example.com ping statistics --- 3 packets transmitted, 3 received, 0% packet loss, time 2002ms rtt min/avg/max/mdev = 106.349/106.643/107.025/0.388 ms Tracerouteコマンドを使用して、updates.paloaltonetworks.comへの通信が正しい経路を通ることを確認してください（最終ホストは応答しません） admin@firewall> traceroute host updates.paloaltonetworks.com traceroute to 199.167.52.141 (199.167.52.141), 30 hops max, 40 byte packets 1   10.192.16.1 (10.192.16.1)   0.522 ms   0.507 ms   0.497 ms 2   1.111-11-1.adsl-static.isp.belgacom.be (1.11.111.1)   32.761 ms   32.753 ms   32.740 ms 3   2 .222-22-2.adsl-static.isp.belgacom.be (2.22.222.2)   81.856 ms * * 4   * * * 5   * * * 6   * * * 7   prs-bb4-link.telia.net (213.155.136.222)   82.884 ms * * 8   ash-bb4-link.telia.net (62.115.122.159)   142.306 ms   147.212 ms * 9   sjo-b21-link.telia.net (80.91.248.188)   226.073 ms   222.208 ms   214.858 ms 10   internap-ic-140172-sjo-b21.c.telia.net (213.248.81.134)   201.253 ms   198.637 ms   219.945 ms 11   66.151.144.15 (66.151.144.15)   225.185 ms   242.096 ms   178.880 ms 12   paloaltonetit-5.border3.sje011.pnap.net (66.151.155.74)   194.397 ms * paloaltonetit-5.border3.sje011.pnap.net (66.151.155.74)   206.609 ms 13   * * * 14   * * * 15   * * * 16   * * * サービス ルートが期待どおりに設定されていることを確認します。管理ネットワークが分離されている場合は、インターネット接続のためにデータプレーンのインターフェイスを介して通信する必要があるサービスがあります: Use Default or Custom settings ファイアウォールが外部接続を行うことを許可しているセキュリティ ポリシーがあることを確認します: Note there is no URL filtering or file blocking profile SSL復号を使用している場合、updates.paloaltonetworks.comを復号対象から除外していない場合は、"更新サーバー ID の確認 (Verify Update Server Identity)"を無効にする必要があります: Verify Update Server Identity    

※この記事は以下の記事の日本語訳です。 Can Policies be Exported from the Firewall? https://live.paloaltonetworks.com/t5/Management-Articles/Can-Policies-be-Exported-from-the-Firewall/ta-p/60321   ポリシーを見やすくするために、Palo Alto Networksファイアウォールからエクスポートすることはできますか？   ポリシーのエクスポート機能はありませんが、CLIより"set" フォーマットでルールを表示することが可能です。   CLIより下記のコマンドを実行：  > set cli config-output-format set   Configureモードにて下記のコマンドを実行： # show rulebase security rules  # show rulebase   (他のポリシーを表示する場合は種類を指定)   著者:  odaos

※この記事は以下の記事の日本語訳です。 How to View and Install PAN-OS Software through the CLI https://live.paloaltonetworks.com/t5/Management-Articles/How-to-View-and-Install-PAN-OS-Software-through-the-CLI/ta-p/51976   概要 このドキュメントでは、CLIを使用して利用可能なPAN-OS ソフトウェアを表示したり、インストールする方法について説明します。   詳細 利用可能なPAN-OS ソフトウェアのリストを表示するために、次のコマンドを使用します: > request system software info   このコマンドは以下に示すように、利用可能なソフトウェアとダウンロード済みソフトウェアの一覧を表示します: 目的のソフトウェア バージョンが一覧にない場合は、次のコマンドで最新の利用可能なPAN-OSの一覧を取得できます: > request system software check   このコマンドは以下に示すように、このファイアウォールで利用可能な全てのソフトウェア バージョンを取得します: 目的のソフトウェア バージョンにダウンロード済みのマークが付いていない場合は、まずダウンロードしてください: > request system software download version 6.1.2   ダウンロード済みのソフトウェアをインストールするには、次のコマンドを使用してください: > request system software install version 6.1.2   インストール後、以下のコマンドを使用してデバイスを再起動します: > request restart system   参照 コマンド ライン インターフェース (CLI)の詳細については、次のドキュメントを参照してください: (訳注:原文ではPAN-OS 6.0のCLI リファレンスガイドへのリンクとなっていますので、翻訳に際しPAN-OS 7.1以降のCLI Quilck Startへのリンクと差し替えさせていただきます。) PAN-OS 7.1 CLI Quick Start PAN-OS 8.0 CLI Quick Start PAN-OS 8.1 CLI Quick Start 著者: rkotty

※この記事は以下の記事の日本語訳です。 How to Delete Unnecessary Downloaded Software Versions https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Delete-Unnecessary-Downloaded-Software-Versions/ta-p/66014   詳細 Palo Alto Networks ファイアウォールは、ダウンロード済みソフトウェア・バージョンを、いつでも古いバージョンに戻すことができるために保存しています。アップグレード後、ディスクスペースの確保のために、古い、不必要なソフトウェアを削除したいかもしれません。   WebGUIから WebGUI > Device > Softwareを選択し、内側のパネルから実行できます。内側のパネルには現在ダウンロード済みのソフトウェアが表示されています。そして現在使用していないソフトウェアを削除することができます。例えば、現在PAN-OS 7.1.2（ベースOSイメージとしてPAN-OS 7.1.0も必要です）にて起動しているとします。PAN-OS 7.0.1 or 6.1.0といった古いVersionが不必要だった場合、削除することができます。   Device > Software tab showing the installed versions. Use the X to delete a version that is not currently activated. Device > SoftwareタブではインストールされたVersionが表示されています。”X”ボタンで、未使用なVersionを削除できます。 内側のパネルに表示されている、未使用の各PAN-OSの右側に”X”ボタンがあり、それをクリックすることで削除することができます。システムの起動には現行Versionとベース Version（例：PAN-OS 7.1.3が現行Versionで、PAN-OS 7.1.0がベース Versionの場合、双方とも削除することができません）が必要です。それ以外のVersionは削除することができます。   CLIから 以下のコマンドで古いソフトウェアを削除することができます : > delete software version <filename> PAN-OS 5.0.8を削除するコマンドの例です : > delete software version 5.0.8   ?キーや<tab>キーを入力すると、その他のオプションが表示されます。   消したいVersionを選択してください。この例では、PAN-OS 6.0.6が現行Versionで、ベース VersionのPAN-OS 6.0.0は削除できません。   注意: これらのファイルが保存されているパーティションは”/opt/panrepo”です。”> show system disk-space”コマンドをファイル削除・前後で確認してみてください。古いVersionを削除後、スペースが確保されていることが確認できます。   著者: rborda

※この記事は以下の記事の日本語訳です。 How to Unlock Users on the Lock List for Failed Maximum Authentication Attempts https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Unlock-Users-on-the-Lock-List-for-Failed-Maximum/ta-p/66195   事象 認証の試行が許容されたログイン回数を超えると、ユーザーはロックされた状態になり、以下のエラーメッセージがauthdログに表示されます。   "pan_authd_generate_alarm(pan_authd.c:808): Generating alarm for auth failure log: Admin jai failed to authenticate 2 times - the unsuccessful authentication attempts threshold reached. Admin jai's account is being disabled due to excessive failed authentication attempts".   原因 ユーザーが最初に認証しようとしたときに、許容ログイン回数が2に設定され、ロックアウト時間が10分に設定されている場合、最初の プロファイルがチェックされます。試行が失敗すると "Profile2" がチェックされ、それでも失敗すると、ロックアウト時間に指定された短い時間ロックされた状態にプッシュされます。   失敗した試行が3に設定されている場合、最初の試行でプロファイル  "Profile" を確認し、2回目の試行で "Profile2" をプロファイルし、3回目の試行で プロファイル "Profile" を再度チェックします。ユーザーに2つの認証プロファイルがあり、失敗した試行が1と設定されている場合、2番目のプロファイル "Profile2" は評価されず、ユーザーは直ちにロックされた状態に移行します。   デバイス> 認証シーケンス は以下になります:   注 : ロックアウト時間が0分に設定されている場合、ユーザーは特定の時間が経過してもロックが解除されないため、対象者が管理者の場合は Device > 管理者 タブ、ほかのユーザーの場合は Device > 認証プロファイル を使用して管理者が手動でロックを解除する必要があります。   ユーザーがロックされると、次のCLIコマンドを実行した際に以下のログが表示されます。 >   tail follow yes mp-log authd.log   2回試行した後、ユーザーは無効になり、ロック状態になります:   syslogは次のログを生成します。これは、アカウントがロックされ、ロックされたユーザーリストに置かれていることを示しています。   解決策 デバイス > 認証プロファイル に移動します 最後「ロックされたユーザー」列で、「ロック解除」アイコンをクリックします: 対象ユーザーは以下のようにロックが解除されます: デバイス> 管理者 で対象の管理者ユーザーのロックを解除することもできます:   owner: dantony

 ※この記事は以下の記事の日本語訳です。 Error: Failed to find PANGP virtual adapter interface when connecting to GlobalProtect https://live.paloaltonetworks.com/t5/Management-Articles/Error-Failed-to-find-PANGP-virtual-adapter-interface-when/ta-p/65259   事象 このエラーは、通常、GlobalProtectクライアントがアップグレードされたか、GlobalProtectが正しくインストールされていない場合に見られるものです。   解決策 以下の手順を実施してください。   WMIサービスを無効にします：ファイル名を指定して実行 - services.msc - Windows Management Instrumentation(WMI) - 停止 C:\Windows\System32\wbem\Repository 下のファイルを削除します regeditを開く HKEY_LOCAL_MACHINE > Software and HKEY_CURRENT_USER > Software に移動します。 Palo Alto Networks フォルダを削除します。 同じフォルダがHKEY_USERSの下の他のユーザーに存在する場合は、同じフォルダを削除します。 Windowsの「プログラムと機能」からGlobalProtectをアンインストールします。 仮想アダプタがネットワークアダプタの設定に存在しないことを確認します。 マシンを再起動します。 管理者権限でGlobalProtectを再インストールします。 WMIサービスが実行されていることを確認します。 これで問題が解決するはずです。   著者: rchougale

※この記事は以下の記事の日本語訳です。 Firewall Showing as Disconnected on the Panorama https://live.paloaltonetworks.com/t5/Management-Articles/Device-Showing-as-Disconnected-on-the-Panorama/ta-p/76666   現象 パロアルトネットワークス・ファイアウォールをPanoramaで中央管理している際に、新しく追加したファイアウォールが管理画面（Panorama > Managed devices）で、Disconnectedと表示される。     診断 ## 1つのよくある事例として、セキュリティ ポリシー上で、ファイアウォールとPanorama間で通信するTCPポート、アプリケーションが不許可設定になっている可能性があります。 もしくは ## ファイアウォール、Panorama間で通信するTCPポートが中継装置でブロックされている可能性があります。   解決方法 ほとんどのケースでは、ファイアウォールの管理インターフェイスとPanorama間でSSLトンネルが作られます。 ファイアウォールは、ファイアウォールとPanorama間の通信でTCPポート番号3978を宛先として使用します。 もしセキュリティ ポリシーでTCPポート番号3978 / アプリケーションPanoramaを明示的に許可していない場合、対象機器はPanorama上で接続 (Connected) ステータスとして表示されず、トラフィックは最終的なポリシーによって拒否されます。 トラフィック ログを、 送信元を 管理インターフェースのIPアドレスで、宛先をPanoramaのIPアドレスでフィルター設定してみてください。もし、Panoramaセッション用にサービスルート設定を使用している場合は、適切なデータープレーン・インターフェースのIPアドレスを用いてください。 もし、セキュリティ ポリシーでアクションが拒否表示されていた場合、既存のセキュリティ ポリシーを、前述したように適切に変更してください。該当のファイアウォールがPanoramaで接続 (Connected) ステータスになるか確認してください。           セキュリティ ポリシー変更後、トラフィック ログ上で許可されています。     注意事項 -- もしファイアウォールの管理インターフェースとPanoramaにパブリックIPアドレスを使用していて、かつセッションが、マネージメント プレーンで管理されている場合（もしそのパケットがファイアウォールのデータポートを経由していない場合）、管理インターフェースで  TCP dump をとり 、宛先TCPポート3978でフィルター設定して、宛先に到達しているか確認してみてください（中継装置によって、通信に必要なポートがブロックされているかもしれません）。    著者: Tarang

PPPoE 構成における基本的なトラブルシューティングガイドです。

※この記事は以下の記事の日本語訳です。 Fatal exception with factory reset on PA-200 PAN-OS 6.1.16 and later https://live.paloaltonetworks.com/t5/Management-Articles/Fatal-exception-with-factory-reset-on-PA-200-PAN-OS-6-1-16-and/ta-p/193002   事象 PA-200 ファイアウォールをPAN-OS 6.1.16以降（7.X及び8.Xを除く）でファクトリー リセットを実施した際、"Fatal exception" エラーがコンソール ログに出力され、PA-200が正常に起動しなくなります。    Fatal exception: panic in 5 seconds ..Kernel panic - not syncing: Fatal exception 注： このメッセージが表示された場合、メンテナンス モードでの起動もできません。   診断 PA-200 ファイアウォールをPAN-OS 6.1.16以降（7.Xおよび8.Xを除く）でファクトリー リセットを実施した後、コンソール アクセスを介して次の出力が繰り返し表示され、デバイスを起動できません。 ファクトリー リセットを実行した後にこのエラー メッセージが表示された場合は、下記の「解決方法」の項の指示に従ってシステムを修復してください。   注： この問題はPAN-OS 7.X及び8.X では発生しません。そのため、6.1.16以降で動作しているPA-200 ファイアウォールをファクトリー リセットする必要がある場合は、この問題を回避する為にファクトリー リセット実行前にPAN-OS 7.X以降にアップグレードすることをお勧めします。 Fatal exception: panic in 5 seconds ..Kernel panic - not syncing: Fatal exception Rebooting in 5 seconds..     Welcome to the PanOS Bootloader. : <omit> : Traceback (most recent call last):   File "/usr/local/bin/mrt", line 12, in ?     import cpldlib   File "/usr/lib/python2.4/site-packages/cpldlib.py", line 1     :52  rstory     ^ SyntaxError: invalid syntax Traceback (most recent call last):   File "/usr/local/bin/mrt", line 12, in ?     import cpldlib   File "/usr/lib/python2.4/site-packages/cpldlib.py", line 1     :52  rstory     ^ SyntaxError: invalid syntax   解決方法 お使いのPA-200 ファイアウォールでこの問題が発生した場合は以下の手順に従って修復できるか試してください。   手順1. 機器の起動中にEntryが表示されてから5秒以内に "other" と入力する。 Step1. Type in "other" during the count down steps 手順2. ”Disk Image" を選択する。 Step2. Select "Disk image" 手順3. "Revert to X.X.X" で6.1.X 以外を選択する。 Step3. Select "Revert to X.X.X" 手順4. "Reboot" を選択し再起動する。 Step4. Select "Reboot" "other" オプションを用いてもメンテナンス モードで起動できない場合は復旧可能な他の選択肢はありません。システムを復旧するためにサポートにご連絡ください。

※この記事は以下の記事の日本語訳です。 IPSec VPN Tunnel with Peer Having Dynamic IP Address https://live.paloaltonetworks.com/t5/Configuration-Articles/IPSec-VPN-Tunnel-with-Peer-Having-Dynamic-IP-Address/ta-p/94161   トポロジー   PA-ファイアウォールA (10.129.70.38)  -----  ルーター (DHCP サーバー) -------  (DHCP IP) PA-ファイアウォールB     PA-ファイアウォールBの設定   ファイアウォールBのインターフェースは、DHCPサーバー(ルーターのインターフェースがDHCPサーバーとして設定されている)から動的にIPアドレスを取得します。     IKE ゲートウェイ       注: この例では、ローカルIDはFQDN(メールアドレス)として記述しています。しかし、ピア側でも同じであることを確認できれば、どんな修飾子でも利用できます。対向側で同じであれば、何でも利用できます。これは動的なゲートウェイを識別するただ一つの方法であるため、非常に重要な設定です。       注: ファイアウォールBは動的なIPアドレスを持っているため、その都度VPNトンネルのイニシエーターである必要があります。従って、「Enable Passive Mode(パッシブ モードを有効にする)」は選択しないでください。     IPSec の設定       PA-ファイアウォールAの設定   IKE ゲートウェイ     注: 静的ピアのピアIDは、動的ピアのローカルIDと同じである必要があります。また、対向側のIPアドレスは不明であるため、ここではピアIPタイプをダイナミックとします。       注: こちら側は静的ピアであり、対向の動的ピアのIPアドレスがわからないため、VPNを開始することができません。従って、「Enable Passive Mode(パッシブ モードを有効にする)」を選択します。     IPSec の設定     最初にトンネルがダウンしている時、IPアドレスは不明であるためipsec-espセッションの宛先は0.0.0.0であることが確認できます。   admin@PA-Firewall-A> show session all -------------------------------------------------------------------------------- ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port]) Vsys Dst[Dport]/Zone (translated IP[Port]) -------------------------------------------------------------------------------- 1 ipsec-esp ACTIVE TUNN 10.129.72.38[0]/L3-Trust/50 (10.129.72.38[0]) vsys1 0.0.0.0[0]/L3-Untrust (0.0.0.0[0])     注: L3-Trust はトンネルインターフェースのゾーン、L3-Untrust は外部インターフェースのゾーンです。   トンネルがアップするとすぐに、実際の動的ピアのIPアドレスに置き換わります。   admin@PA-Firewall-A> show session all -------------------------------------------------------------------------------- ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port]) Vsys Dst[Dport]/Zone (translated IP[Port]) -------------------------------------------------------------------------------- 11 ipsec-esp ACTIVE TUNN 10.129.72.38[53613]/L3-Trust/50 (10.129.72.38[61655]) vsys1 1.1.1.5[12024]/L3-Untrust (1.1.1.5[43745])    

※この記事は以下の記事の日本語訳です。 Mitigate Vulnerabilities Through Proper Application of Threat Prevention https://live.paloaltonetworks.com/t5/Management-Articles/Mitigate-Vulnerabilities-Through-Proper-Application-of-Threat/ta-p/194158   問題 脆弱性漏洩を防御、検知を行うために、PAN-OS装置を適切に設定する必要があります。 パロアルト ネットワークスは、PAN-OS装置を含む全ての脆弱な装置に対して、セキュリティ勧告に明記されている修正パッチ適用を推奨アクションとしていますが、緊急コンテンツ リリースに含まれるシグネチャはPAN-OSを保護するのに役立ちます。   解決方法 解決方法は細かなステップを踏む必要があります。 最新のコンテントをインストール 脆弱性プロファイルで、シグネチャパターンマッチに適切なアクション（例 : Reset-both）を設定 設定した脆弱性プロファイルをセキュリティポリシーに設定 内向きSSL復号化設定   詳細 最新のコンテントをインストール コンテントを最新のバージョンに更新してください。 脆弱性プロファイルの設定 このセクションでは、セキュリティ勧告に関連した脅威IDの検知を防御する脆弱防御プロファイル設定をする方法について大まかに説明します。 2つの設定方法があります。 この設定例では、脆弱防御プロファイル"strict"設定に重要度の高いシグネチャ（脅威ID : 38902, 38903, 38904）の検知に対して、RESET-BOTHアクション設定をしています。このようなプロファイルはファイアウォール向けの内向きの通信に合致するセキュリティルールに適応できます。 この3つのシグネチャをRESET-BOTHに設定したカスタム脆弱防御プロファイルです。設定の詳細についてはリンクを参照ください。   脆弱防御プロファイルをセキュリティルールに設定する このセクションでは以前設定した脆弱防御プロファイルをグローバル・プロテクト、データポート経由したマネージメント向け通信にマッチするセキュリティルールに設定します。 この作業では、グローバル・プロテクトが"Untrust"ゾーンのインターフェースでホストされていて、VPNトラフィックも"Untrust"ゾーンから送信されていると推測します。   データポート経由したグローバル・プロテクト、もしくは他のサービスに対する脆弱行為から保護するために、脆弱防御プロファイルを"Untrust"ゾーンから"Untrust"ゾーン通信検査をするセキュリティルールに設定する必要があります。 上記のスクリーンショットでは、プロファイル欄のアイコンは、前のステップで示したように脆弱防御プロファイル"strict"になっています。送信元、宛先ゾーン共に"Untrust"ゾーン設定となっています。 以下のステップではデータポート経由でのデバイス管理をする場合に必要なステップです。 内向きSSL復号化設定 内向きSSL復号化設定については以下のKBをご参照ください。 Configure SSL Inbound Inspection  How to Implement and Test SSL Decryption

※この記事は以下の記事の日本語訳です。 How to Secure the Management Access of your Palo Alto Networks Device https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Secure-the-Management-Access-of-your-Palo-Alto-Networks/ta-p/194154   問題 管理インターフェイス、ネットワークを悪意から防御するために保護することはとても重要です。管理者がリモート管理するためにデータプレーンにて管理プロファイルを適応いただくかどうかに関わらず、我々はいかなる装置の管理インターフェイスをインターネットに公開しないことを、強く推奨しています。しかしながら、インターネットに公開する必要がある場合、以下のガイドラインに沿って、あなたの管理インターフェイス、ネットワークを保護してください。   解決方法 いくつかの動作環境では管理ネットワークがインターネットに接続する必要性は理解しています。キーポイントとしては、攻撃者に対して攻撃が難しいターゲットと認識させること、そしてファイアウォール／Panoramaを保護することです。以下の知見はあなたの管理インターフェイスを公開することを留めることができるでしょう。 管理インターフェイス専用ネットワーク（管理専用VLAN ）で VPN を経由して接続する。 管理ネットワークIP にアクセスするために、サーバーを経由する、リモートデスクトップ接続を経由してのみファイアウォール／ Panorama に接続できる。 管理インターフェイスへの特定IP アドレスのみの接続許可、接続するプロトコルも SSH/HTTPS に限定する。 管理インターフェイスへのアクセスをファイアウォールのデータポート経由にして、ファイアウォールの検査を行う。   詳細   管理インターフェース専用ネットワーク(VLAN) この手法が提示している4つの中で最もセキュアです。VPNを経由して、企業、管理ネットワークに接続し、管理IPに接続しなければなりません。この手法は、外部公開を限定し、ファイアウォール管理ネットワークへのアクセスを、特定ユーザーもしくはネットワークに限定することができます。これはVPN接続による管理専用ネットワークへのアクセスを要求します。管理ネットワークへのアクセスをデータ ポート経由にし、パロアルト ネットワークス・ファイアウォールからVPNアクセスを提供させることもできます。以下のKBは、サイトtoサイトのVPNトネルの設定資料となります。併せてご参照ください。 Set Up an IPsec tunnel サーバーを経由する サーバーを経由することによって、装置の管理インターフェイス アクセスを保護することができます。管理ポートへのアクセスはサーバーを経由してのみアクセスできます。 管理インターフェイスへの特定IPアドレスのみの接続許可 管理インターフェイスへの特定IPアドレス、サービスのみの接続許可を設定することができます。 WebUI管理インターフェイス上で、Device > Setup > Interfaces > Managementと移動し、”Management”をクリックして編集してください。Addをクリックして、管理者がファイアウォールにアクセスできるIPアドレスを“Permitted IP addresses”に追加していきます。“Permitted IP addresses”が空白（デフォルト）の場合、全てのIPアドレスからアクセス可能となります。   重要！ 空白設定のままにしないでください、ファイアウォール管理者IPアドレスのみ設定し、非承認アクセスを防御してください “Network Connectivity Services”設定では、HTTPS、SSHなど、セキュアな接続のみ設定します。 管理ネットワーク接続は、データポート経由 これは最初に紹介した手法のVPN接続がない場合に似ています。VPN接続設定ができない場合、少なくともファイアウォール検査を全てのマネージメント・インターフェース向けのトラフィックに実施します。マネージメントアクセスを制限するセキュリティポリシーを作り、攻撃者が管理ネットワークから侵入することを防ぐセキュリティプロファイルを追記します。さらにSSL復号化設定をし、暗号化通信を検査します。セキュリティプロファイルによるネットワーク保護については、以下の記事をご参照ください。  Create Best Practice Security Profiles   追加情報 以下は、SSL 復号化設定、テストに関する記事です。併せてご参照ください。 Configure SSL Inbound Inspection How to Implement and Test SSL Decryption

※この記事は以下の記事の日本語訳です。 How to Release DHCP-Assigned Addresses from a DHCP Server https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Release-DHCP-Assigned-Addresses-from-a-DHCP-Server/ta-p/66068   概要 このドキュメントでは、Palo Alto Networks ファイアウォールで設定されたDHCPサーバーによって払い出されたIPアドレスをリリースする方法を説明します。既にDHCPサーバーを設定済みで、アサインされたアドレスをリリースしようとしているものとします。最初にDHCPサーバーをセットアップする方法については、次の記事を参照して下さい。How to Configure DHCP Reserved Addresses on a Palo Alto Networks Firewall.   手順 Network > DHCP > DHCP サーバー に移動します。 ファイアウォール上のDHCPサーバーによってアサインされたアドレスを確認するには、設定したDHCPサービスのIPプール列にある"割り当ての表示"をクリックします。 View Allocation DHCPサーバーのIPアドレス割り当てのリストが表示されたウィンドウが表示されます。 IP Pools Allocated DHCPでアサインされたアドレスをリリースするには、CLIコマンド"clear dhcp lease interface <ethernet interface> ip <ip-address>"を使用します。以下の例では、上記で表示されているアドレス10.192.16.163をクリアします。 > clear dhcp lease interface ethernet1/1 ip 10.192.16.163 > > Cleared 1 leases. 注: DHCPリースはMACアドレスを使ってもクリア可能です。   上記の2.と同様にDHCPサーバーのスクリーンを表示し、アサインされたアドレスを確認して該当アドレスがリリースされたことを確認します。 IP Pools Allocated 2   CLI上で実行 DHCPでインターフェイスにアサインされたIPアドレスは、以下のコマンドでリリース、および更新が出来ます。 > request dhcp client release ethernet1/1 Initiated DHCP RELEASE on interface:ethernet1/1 > request dhcp client renew ethernet1/1 Initiated DHCP RENEW on interface :ethernet1/1   著者: spolo

※この記事は以下の記事の日本語訳です。 How to Change the Default Management Port https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Change-the-Default-Management-Port/ta-p/62333   概要 デフォルトのマネジメント ポート以外からのどのポートからも、  Palo Alto Networksファイアウォールへのアクセスを許可することは可能です。この文書はTrustゾーンのloopbackインターフェイスを使用した、UntrustゾーンからのHTTPSとSSHでのファイアウォールへのアクセス方法について記載します。     手順 ファイアウォール上でloopbackインターフェイスを設定し、必要なタイプのアクセスを許可するインターフェイス管理プロファイルを割り当てます。 注： - アクセスを許可するインターフェイス管理プロファイルはUntrustインターフェイスではなく、loopbackインターフェイスにのみ設定する必要があります。The management profile permitting access only needs to be on the loopback interface, and not the Untrust interface.            - loopbackインターフェイスに割り当てるIPアドレスは、データ プレーンあるいはマネジメント プレーンとは異なるユニークなものとしてください。 ファイアウォールへのアクセスを許可するデフォルトでないポートのためのユーザー定義のサービスを設定します。この例ではTCP/7777をHTTPSに、TCP/7778をHTTTPに割り当てます。 ユーザー定義のポートをデフォルトのアクセスのポートに変換するNAT ポリシーをそれぞれ設定します。 Untrustインターフェイスへのインバウンド アクセスを許可するセキュリティ ポリシーを設定します。このセキュリティ ポリシーに、特定のポートを許可する設定としても構いません。 変更をコミットします。 コミットが完了すると、アクセスを許可するユーザー定義のポートを使用して、Untrustインターフェイス経由でのファイアウォールへのアクセスが可能となります。   著者： tasonibare

※この記事は以下の記事の日本語訳です。 Show System Resource Command Displays CPU Utilization of 9999% https://live.paloaltonetworks.com/t5/Management-Articles/Show-System-Resource-Command-Displays-CPU-Utilization-of-9999/ta-p/58149   症状 PAN-OS CLIにて  show system resources  コマンドを実行すると、topプロセスの出力で9999%の CPU使用率が表示される。   以下が出力例です。 > show system resources   top - 09:41:01 up 11 days, 14:40,  2 users, load average:   0.00, 0.00, 0.00 Tasks: 138 total,   3 running, 134 sleeping,   0 stopped,   1 zombie Cpu(s):  0.2%us,  0.1%sy, 0.0%ni,   99.7%id,  0.0%wa,  0.0%hi, 0.0%si,  0.0%st Mem:   4055392k total,  3643912k used,   411480k free,   366956k buffers Swap:  2007992k total,        0k used,  2007992k free,  2340368k cached     PID USER      PR NI  VIRT  RES SHR S %CPU %MEM    TIME+  COMMAND 2359 root      20 0  430m 251m 6068 S   9999   25.9   4:57.37 mgmtsrvr     1 root      20 0  1772  560 492  S    0  0.0   47:29.14 init     2 root      20 0     0    0 0    S    0  0.0   0:00.00 kthreadd     3 root      RT 0     0    0 0    S    0  0.0   0:06.82 migration/0     4 root      20 0     0    0 0    S    0  0.0   0:00.00 ksoftirqd/0     5 root      RT 0     0    0 0    S    0  0.0   0:06.78 migration/1     6 root      20 0     0    0 0    S    0  0.0   0:00.00 ksoftirqd/1   原因 9999の値は   show system resources  （ Linux "top"と同等）コマンド実行時に誤った計算が行割れたことに寄るものと考えられます。正しい出力は数回コマンドを実行し直すと表示されます。上記の出力例では正しい使用率の値は表示の上部で見ることができます。load averageが0.00で、cpu情報は99.7%がidleとなっています。     著者: kkondo

※この記事は以下の記事の日本語訳です。 How to Receive Email Threat Notification from the Firewall https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Receive-Email-Threat-Notification-from-the-Firewall/ta-p/58911     脅威検知を電子メールで通知するログ転送プロファイルを作成するには、以下を設定します。 電子メール サーバー プロファイルの設定。 ログ転送 プロファイルの作成。 関連するセキュリティ ポリシーに脅威プロファイルを割り当てます。 関連するセキュリティ ポリシーにログ転送プロファイルを割り当てます。   電子メール サーバー プロファイル Device > サーバープロファイル > 電子メールに移動し、"追加"をクリックして以下の例で示す情報を入力します。（訳注1） 名前: 電子メール設定の名前を入力 サーバー: 電子メールサーバーのラベルを半角1-31文字で入力。 表示名: 電子メールの送信者フィールドに表示される名前 送信者 IP（訳注2）: 送信者となる電子メールアドレスを入力。 宛先: 受信者の電子メールアドレスを入力。 Cc: 他の受信者の電子メールアドレスを入力（オプション）。 ゲートウェイ: Simple Mail Transport Protocol のIPアドレス、またはホスト名を入力。   ログ転送プロファイル Objects > ログ転送に移動します。 以下の例で示す情報を入力します。   セキュリティ ポリシー 以下の例で示すとおりトラフィックに関する既存、または新しいルールを作成します。 名前: Outbound 送信元ゾーン: TrustL3 宛先ゾーン: UntrustL3 プロファイル: アンチウイルス: Default 脆弱性防御: Default URL フィルタリング: Default   脅威プロファイルの割当 まだ設定していない場合は、セキュリティ ルールに脅威プロファイルを割り当てます。   ログ転送プロファイルの割当 ログ転送プロファイルをセキュリティ ポリシーに適用します。 オプションからログ転送プロファイルを選択してください。          変更をコミットします。 ポリシーをテストするには、ワークステーションからテスト ウイルスのダウンロードを試みます。例えばeicar.orgからテストファイルをダウンロードします。 脅威プロファイルのアクションが'block'に設定していれば、ブロックページがブラウザ上で表示されます。 脅威ログをチェックするために、 Monitor > ログ > 脅威に移動します。 該当のトラフィックがきっかけとなり、電子メールが送信されます。   訳注1：英語、日本語ともPAN-OS Version毎に項目の名称に差異があります。本文書はPAN-OS 7.0に準拠しています。 訳注2：英文では本項目は"From"であり、送信者 ”IP"は日本語GUI上の誤記となります。PAN-OS 8.0から"送信者"に修正しています。   著者: ppatel

※この記事は以下の記事の日本語訳です How to Free Up Disk Space in PAN-OS https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Free-Up-Disk-Space-in-PAN-OS/ta-p/63151     概要 利用可能なディスク領域が極めて少なくなった場合、新しいダイナミック更新が領域の不足によりインストール出来ない場合があります。PAN-OS 5.0以降ではデバイスの領域開放のために、新たにCLIコマンドとして delete content cache old-contentを導入しています 。     詳細 一般にダイナミック更新は /opt/pancfgの領域を使用します。領域が開放されたことを確認するには、 show system disk-spaceをdelete content cache old-contentの実行前後に行なって、その比較をします。   例： > show system disk-space Filesystem            Size  Used Avail Use% Mounted on /dev/sda5             6.6G  3.5G  2.9G  55% /opt/pancfg > delete content cache old-content successfully removed oldcontent path /opt/pancfg/mgmt/updates/oldcontent/cache cmdbuf > show system disk-space Filesystem            Size  Used Avail Use% Mounted on /dev/sda5             6.6G  3.3G  3.0G  53% /opt/pancfg 古いコンテンツのキャッシュの削除の後、使用可能な領域が増加し、新しいコンテンツのインストールが可能となります。   アンチウイルスのファイルを削除するには、以下のコマンドを実行します： delete anti-virus update <filename> <filename>部分には、更新ファイルの正確な名前（例：  panup-all-antivirus- 2252-2691 .tgz ）を入力します。   著者：ssunku

※この記事は以下の記事の日本語訳です。 How to Import and Export Address and Address Objects https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Import-and-Export-Address-and-Address-Objects/ta-p/56124   詳細 この文書は、あるファイアウォールから別のファイアウォールへのアドレスとアドレスオブジェクトを再度手動で定義し直すことなく、インポート/エクスポートする方法を記載します。複数のパロアルトネットワークス ファイアウォールが異なるサイトにあり、既存のアドレスおよびアドレスグループ設定を活用したい状況を想定しています。   手順 既存のファイアウォールにアドレスとアドレス オブジェクトがあることを確認します。 CLIから設定の出力フォーマットを'set'として、アドレスとアドレスグループ 情報を抽出します。 > set cli config-output-format set > configure Entering configuration mode [edit] # show address set address google fqdn google.com set address google description "FQDN address object for google.com" set address mgmt-L3 ip-netmask 10.66.18.0/23 set address mgmt-L3 description "IP Netmask address object for mgmt-L3" set address trust-L3 ip-netmask 10.66.20.0/23 set address untrust-L3 ip-netmask 10.66.24.0/23 set address dmz-L3 ip-netmask 10.66.22.0/23 [edit] # show address-group set address-group Inside static [ dmz-L3 mgmt-L3 trust-L3 ] set address-group Outside static [ google untrust-L3 ] [edit] 上記の出力から全ての'set' コマンドをメモ帳などでファイルに保存し、他のファイアウォール向けに編集します。アドレス グループについては、'[]'部分も含めて全てsetコマンドをコピー/ペーストするようにしてください。 他のファイアウォールのCLIにログインし、CLI 設定出力フォーマットを 'set' として、コマンドの出力結果をコンフィグレーションモードでペーストします。 > set cli config-output-format set > configure # <paste all the set commands here> # commit   著者：  kadak