ぱんせ

PA設定ガイド

Auto-Tagを利用したローカルブレイクアウト

今回はAuto-Tagについて紹介します。一般的にローカルブレイクアウトというとSD-WANをイメージされる方が多く、ローカルブレイクアウトのためだけにFWとは別にSD-WAN装置を導入されているユーザーも見受けられますが、実はPAシリーズ...
GP設定ガイド

GlobalProtectの動作概要

設定の解説に入る前に、GlobalProtectの動作を説明します。ここで説明する動作については、GlobalProtect Agent (以降、GP Agent) ソフトウェアがクライアントPCへインストール済みである前提とします。Ext...
GP設定ガイド

GlobalProtectネットワーク構成と事前準備設定

GlobalProtectネットワーク構成以下のネットワーク構成にて、GlobalProtectの動作を確認します。 検証用ネットワーク構成の概要GlobalProtect設定を行うPA-Firewallは、パブリッククラウド:Amazon...
お役立ち情報

ADCSサーバーの構築

ここでは、Active Directory Certificate Services (以降、ADCS) サーバーの構築ステップを記載します。Windows Server 2019のADCSはSCEP (Simple Certificate...
お役立ち情報

CRL配布ポイント (CDP) の構築

各ユーザーに配布したクライアント証明書を失効させることで、クライアント証明書認証が成功しないように制御することができます。例えば、「過って紛失してしまった」クライアントPCを接続できないようにしたい場合、クライアント証明書を失効させることで...
Packet Capture

パケットキャプチャ機能

今回はPAシリーズのパケットキャプチャー機能についてご紹介します。トラブルシューティングの際に実際に流れているパケットをキャプチャしたいというケースはよくあると思います。L3SWやL2SWでパケットキャプチャーを行う場合、ミラーポートを作成...
GP設定ガイド

Active Directory認証の設定

ここでは、社内LANに設置されているMicrosoft Active Directoryを使った認証を行うための設定を行います。想定ネットワーク構成はこちらをご参照ください。Active DirectoryへのBIND用ユーザーの設定PA ...
お役立ち情報

OCSPレスポンダの構築

各ユーザーに配布したクライアント証明書を失効させることで、クライアント証明書認証が成功しないように制御することができます。例えば、「過って紛失してしまった」クライアントPCを接続できないようにしたい場合、クライアント証明書を失効させることで...
PA運用ガイド

ログの確認方法

PA Firewallでは、トラフィックログや脅威ログなど、様々なログが大量に出力されます。その大量のログから必要なものだけを抽出して確認する手法を解説します。フィルタリング条件の指定必要なログだけを抽出するために、フィルタリング条件を指定...
お役立ち情報

クライアント証明書の失効とCRLの発行

認証局 (CA) でクライアント証明書を失効させることで、そのクライアント証明書を持つクライアントPCは認証が完了しないので接続できなくなります。失効の方法は、CRL配布ポイント(CDP)利用の場合もOCSPレスポンダ利用の場合も同じです。...
PA運用ガイド

インターネットゲートウェイでのセキュリティ対策

ここでは、インターネットゲートウェイとしてPA Firewallを設置した場合のセキュリティ対策について、具体的に検討します。想定ネットワーク構成 (インターネットゲートウェイ構成)以下のネットワーク構成を前提とします。 セキュリティ対策の...
Packet Capture

パケットキャプチャ機能(マネジメントポート編)

今回は、PAシリーズのマネジメントポートでのパケットキャプチャ方法について記載します。パケットキャプチャ手順パケットのキャプチャ方法マネジメントポートのパケットキャプチャはすべてCLIで実行します。コマンド構文tcpdump [filter...
PA運用ガイド

セキュリティ調査の流れ

既述のアラートメール設定により、緊急対応が必要なアラートメールを受信した場合に実施する調査ステップの例を示します。 「脆弱性防御」イベントの調査脆弱性攻撃で、重大度がCritical且つActionがAlert(ブロックされていない)攻撃が...
PA運用ガイド

レポートの生成方法

日々発生するイベントの傾向を確認することを目的とした、レポートの生成方法を示します。PDFレポート事前に定義されたPDFレポートの確認と、PDFレポートをカスタマイズする方法を示します。PDFレポートは前日の状況を示すものであり、現在発生し...
PA設定ガイド

トラブルシューティング機能について

PAシリーズのトラブルシューティング機能を使ってみました。主な機能は以下の通りです。項目内容Security Policy Matchどのセキュリティポリシーにマッチしているか?QoS Policy MatchどのQoSポリシーにマッチして...
PAN-OS

PAN-OSのバージョンアップ手順

PAN-OSのバージョンアップ手順について記載したいと思います。PAN-OS10.1以上で利用可能になるスキップソフトウェアバージョンアップグレード機能についても参照してください。PAN-OSのバージョン表記についてPAN-OSのバージョン...
PAN-OS

(新機能)スキップ ソフトウェア バージョン アップグレード!!!

今回は、PAN-OS11.0で実装された「Skip Software Version Upgrade」についてご紹介します。前回ご紹介したPAN-OSバージョンアップ手順で、PAN-OSはメジャーバージョンおよびメンテナンスバージョン単位で...
PA設定ガイド

スキップ ソフトウェア バージョン アップグレードをHA構成で試してみた

Skip Software Version UpgradeをHA構成で試してみました。この機能について公式ドキュメントには以下のように記載されていますが、現状HAサポートについて公式ドキュメント上で確認することができませんでした。ただ、Li...
PA設定ガイド

冗長構成(HA)Active/Passiveの設定 その1

冗長構成(HA)Active/Passiveの設定 その2 →今回はPAシリーズの冗長構成(Active/Passive構成)について説明します。【前提条件】MGTインタフェースなどの基本的な設定は終わっていること同じPAN-OSバージョン...
PA設定ガイド

冗長構成(HA)Active/Passiveの設定 その2

← 冗長構成(HA)Active/Passiveの設定 その1前回に引き続き、HA構成について記載します。今回は、実際にHAを組んだ際の挙動や手動での切替方法について説明します。なお、今回はPA-445を使用しています。設定関連基本的に前回...
GP設定ガイド

全ユーザー共通のクライアント証明書で二要素認証

ユーザー名とパスワードによる認証に加え、2要素目としてのクライアント証明書認証を追加する方法の1つ目です。ここでは「全ユーザーが共通のクライアント証明書を持ち、そのクライアント証明書を持たないクライアントPCは接続させない」という設定を行い...
GP設定ガイド

インターネットからのVPN接続(外部GW)

ここでは、モバイルユーザーが外部 (インターネット) からVPN接続ができるように設定を行います。GlobalProtectの接続動作の概要はこちらをご参照ください。想定ネットワーク構成はこちらをご参照ください。GlobalProtect用...
GP設定ガイド

社内LANからの接続 (内部GW:VPN接続なし)

ここでは、内部 (社内LAN) からVPN接続なしでPA Firewallにログインできるように設定を行います。「VPN接続しないのに、設定する意味あるの?」と思われがちですが、大きく以下2つの意味があります。社内でもUser-ID連携がで...
GP設定ガイド

各ユーザー個別のクライアント証明書で二要素認証 (SCEP利用による配布)

ユーザー名とパスワードによる認証に加え、2要素目としてのクライアント証明書認証を追加する方法の2つ目です。ここでは「各ユーザーが個別のクライアント証明書を持ち、そのクライアント証明書を持たないクライアントPCは接続させない」という設定を行い...
GP設定ガイド

CRLによるクライアント証明書の失効管理

各ユーザーに配布したクライアント証明書を失効させることで、クライアント証明書認証が成功しないように制御することができます。ここでは、PA FirewallがCRL配布ポイントからCRL (Certification Revocation L...
GP設定ガイド

OCSPによるクライアント証明書の失効管理

各ユーザーに配布したクライアント証明書を失効させることで、クライアント証明書認証が成功しないように制御することができます。例えば、「過って紛失してしまった」クライアントPCを接続できないようにしたい場合、クライアント証明書を失効させることで...