PA運用ガイド ACC (Application Command Center) の使い方
アプリケーションコマンドセンター(以降、ACC)は、ネットワーク内のアクティビティに関する実用的なインテリジェンスを提供する分析ツールです。 ACCは、ファイアウォールログを使用して、ネットワーク上のトラフィックの傾向をグラフィカルに表現し...
ぱんせ
PA運用ガイド 
PA設定ガイド 初期設定
PA Firewallデバイス自身に関わる、マネージメントインタフェースの設定やOSのアップグレードなど、最初実施しておくべき作業です。 想定ネットワーク構成はこちらを参照ください。 マネージメントIPの設定 マネージメントインターフェイス...
お役立ち情報 PA自身への攻撃に対する防御手法
ご存知のようにPAシリーズは高度なセキュリティ機能を持っており、企業NWにおけるクライアントやサーバを悪意のある攻撃から守っています。ただPAシリーズもIT製品である以上、PA自身に脆弱性が発見され、PA自身が攻撃の対象となる可能性はゼロで...
PA設定ガイド ネットワーク設定
ゾーン、インターフェイス、ルーティングなど、ネットワーク関連の設定を行います。 想定ネットワーク構成はこちらを参照ください。 ゾーンの設定 ゾーンは、物理または仮想インターフェイスをグループとして扱うための設定です。 ゾーンによって、異なる...
お役立ち情報 デバイス証明書のインストール方法
(Panoramaで管理されていない)PAシリーズへのデバイス証明書のインストール方法を説明します。 デバイス証明書はCDSS等のパロアルトネットワークスのクラウドサービスとの連携に必要な証明書です。 デバイス証明書を設定していないとCor...
PA設定ガイド SSL/TLS復号化の設定
現在のインターネット通信は大半がWebアクセスですが、ほぼSSL/TLSで暗号化された通信になっています。 [参考]Google透明性レポート: ウェブ上での HTTPS 暗号化 SSL/TLSによって暗号化された通信は、Firewallで...
PA設定ガイド コンフィグのバックアップと復元
PA Firewallは、実施したコンフィグレーションをスナップショットとして保存しておくことができます。 そのスナップショットをロードすることで、その時実施したコンフィグレーションまで戻ることができます。 スナップショットの保存 ここまで...
PA設定ガイド App-ID
App-IDは、アプリケーション・シグネチャ、プロトコル・デコーディング、ヒューリスティクスなどの複数の技術を使ってアプリケーションを識別する機能です。 以降、App-IDを使ったポリシーを設定して、その動作を確認します。 [事前準備]HT...
PA設定ガイド Content-ID
Content-IDは、アンチウイルス、脆弱性防御、アンチスパイウェアなど、レイヤ7を検査して脅威を検出する機能です。 以降、それぞれの脅威防御を設定して、比較的容易に実現できる擬似攻撃で、動作を確認します。 アンチウイルス ウイルスをブロ...
PA設定ガイド エージェントレス型User-ID (※工事中※)
※現在、WMIを利用した本記事の設定は利用できません。 [理由] ドメインコントローラーをホストしているWindowsサーバーにCVE-2021-26414に関連するMicrosoftのセキュリティパッチをインストールすると、ドメインコント...
お役立ち情報 ISMAPへの登録が完了しました!
日本の政府情報システムにおけるクラウドサービスのセキュリティ評価制度であるISMAP(Information system Security Management and Assessment Program)にパロアルト製品が登録されまし...
ハードウェア情報 PAシリーズのインターフェイス情報
PAシリーズのインターフェイス構成の一覧を作成しました。※ 情報に差異がある場合は、公式ドキュメントを優先してください。 PA-5400 シリーズ PA-5400 PA-5400には、SFP-CG(1Gbps)が2つ同梱されています。また、...
お役立ち情報 EoS/EoL ポリシー
Palo Alto Networks製品の販売終了(EoS)、サポート終了(EoL)に関する情報を記載します。 End-of-Life(EoL) ポリシー ハードウェア製品のサポートポリシー 製品の販売終了(EoS)の 6か月前までに販売終...
PA設定ガイド エージェント型User-ID
本記事では、User-IDエージェントを使った場合のUser-ID設定方法について記載します。 エージェントレス型の場合は、PA Firewallが直接Active Directoryに問い合わせを行いますが、 エージェント型の場合は、PA...
PA設定ガイド グループマッピング
ここでは、Active Directory (LDAPサーバー) から、ユーザーとグループのマッピング情報を取得する設定を行います。 グループマッピングは、グループ単位のセキュリティポリシーを設定したい、という場合に必要となる機能です。 勘...
お役立ち情報 Docker その1 コンテナ環境の構築(CentOS7)
コンテナ環境を利用するために、CentOS7上にDocker環境を構築してみました。Dockerを利用することで検証に利用するWebサーバなどを簡単に構築することができます。また、環境をコード化することが出来ますので、同じ環境を様々な場所で...
お役立ち情報 DoT / DoH について
最近よく聞くDoTとDoHについて調べてみました。 DoT / DoH とは? DoT(DNS over TLS)、DoH(DNS over HTTPS)のことで、どちらもDNS通信の暗号化(プライバシーの保護)を目的に開発されている暗号化...
PA設定ガイド NATの設定 その1(送信元NAT、宛先NAT)
NATにはいくつかのパターンがありますが、ここでは比較的よく利用される以下2つの設定を紹介します。 送信元NAT 社内端末が、インターネット上のサーバへ接続する際によく使う設定です。 宛先NAT インターネット上の端末が、社内のサーバへ接続...
PA設定ガイド NATの設定 その2(1対1NAT、双方向NAT)
インターネット上にプライベートアドレスをもつサーバを公開する際に利用する1対1NATについて、よく利用される2つの設定をご紹介します。 1対1 NAT送信元NATポリシーと宛先NATポリシーを個別に設定する方法です。Bidirectiona...
お役立ち情報 URLフィルタリングにEncrypted-DNS(DoH)カテゴリ追加
URLフィルタリングに新たにEncrypted-DNSカテゴリが追加されました。 2022年12月8日から利用可能になっています。(コンテンツアップデートが必要です)PAN-OS9.1以降で利用可能です。デフォルトプロファイルではEncry...
PA設定ガイド NATの設定 その3(UターンNAT)
Palo Alto を利用したUターンNATの設定方法です。
お役立ち情報 【要設定変更!】URLフィルタリングにランサムウェアカテゴリ追加
URLフィルタリングに新たにランサムウェアカテゴリが追加されました。 2022年9月27日から利用可能になっています。(コンテンツアップデートが必要です)PAN-OS9.1以降で利用可能です。デフォルトプロファイルではランサムウェアカテゴリ...
お役立ち情報 FreeRADIUS構築メモ
PAとのRADIUS連携のために、CentOS7上にFreeRADIUSを構築した際のメモです。 前提条件として、CentOSをminimalでインストールしておきます。以下2点の動作確認を行います。PAP(平文)によるRadius認証PA...
PA設定ガイド NAT設定の考え方
ここでは、PAシリーズにおけるNAT設定の基本的な概念についてご紹介します。 NATの設定(その1)で紹介した宛先NATの設定を行う際、NATポリシーの送信元ゾーンと宛先ゾーンをどちらもUntrustゾーンに設定しました。その理由を知ること...
PA設定ガイド セキュリティポリシーのタイプ
突然ですが、暗黙のDenyポリシーは設定していますか?実はPAシリーズには暗黙のDenyポリシーはデフォルトポリシーとして明示的に定義されているので設定する必要がありません。今回は、この明示的なデフォルトポリシーにも利用されているセキュリテ...
PA設定ガイド 外部ダイナミックリスト (EDL)
外部ダイナミックリストは、外部から提供されるIPアドレスのリストやURLのリストをPA Firewallに取り込む機能です。 適当なWebサーバを構築して、そこに独自のIPアドレスリストのテキストファイルを置いておけば、PA Firewal...
PA設定ガイド 認証ポータル (旧キャプティブポータル) の設定
認証ポータル (PAN-OS9.xまでは「キャプティブポータル」と呼ばれていました) を利用すると、以下のようなことができます。 社内LANのクライアントPCが、PA Firewallを経由してインターネットへアクセスしようとした際に、PA...
PA設定ガイド URLフィルタリングサブスクリプションなしでURLログを出力する方法
ここでは、URLフィルタリングサブスクリプションのライセンスがなくても、URLのログ出力を行う設定方法をお伝えします。 ライセンスがない場合の難点は、ログのカテゴリ名がすべて同じになってしまう、という点ですが、それが問題なければ「いつ、誰が...
DNS DNS Proxyの設定方法
PAシリーズをDNS Proxyとして利用する方法を記載します。DNS Proxyを利用することで、拠点などのDNSサーバが存在しない環境でPAシリーズを簡易的なDNSサーバのように利用したり、ドメイン毎に問い合わせをするDNSサーバを変更...
PA設定ガイド Auto-Tagを利用したローカルブレイクアウト
今回はAuto-Tagについて紹介します。一般的にローカルブレイクアウトというとSD-WANをイメージされる方が多く、ローカルブレイクアウトのためだけにFWとは別にSD-WAN装置を導入されているユーザーも見受けられますが、実はPAシリーズ...