お役立ち情報 OCSPレスポンダの構築 各ユーザーに配布したクライアント証明書を失効させることで、クライアント証明書認証が成功しないように制御することができます。 例えば、「過って紛失してしまった」クライアントPCを接続できないようにしたい場合、クライアント証明書を失効させること... 2022.03.14 お役立ち情報
GP設定ガイド Active Directory認証の設定 ここでは、社内LANに設置されているMicrosoft Active Directoryを使った認証を行うための設定を行います。 想定ネットワーク構成はこちらをご参照ください。 Active DirectoryへのBIND用ユーザーの設定 ... 2022.02.25 GP設定ガイド
お役立ち情報 クライアント証明書の失効とCRLの発行 認証局 (CA) でクライアント証明書を失効させることで、そのクライアント証明書を持つクライアントPCは認証が完了しないので接続できなくなります。 失効の方法は、CRL配布ポイント(CDP)利用の場合もOCSPレスポンダ利用の場合も同じです... 2022.03.16 お役立ち情報
PA運用ガイド ACC (Application Command Center) の使い方 アプリケーションコマンドセンター(以降、ACC)は、ネットワーク内のアクティビティに関する実用的なインテリジェンスを提供する分析ツールです。 ACCは、ファイアウォールログを使用して、ネットワーク上のトラフィックの傾向をグラフィカルに表現し... 2022.02.02 PA運用ガイド
PA運用ガイド ログの確認方法 PA Firewallでは、トラフィックログや脅威ログなど、様々なログが大量に出力されます。 その大量のログから必要なものだけを抽出して確認する手法を解説します。 フィルタリング条件の指定 必要なログだけを抽出するために、フィルタリング条件... 2022.02.02 PA運用ガイド
PA設定ガイド グループマッピング ここでは、Active Directory (LDAPサーバー) から、ユーザーとグループのマッピング情報を取得する設定を行います。 グループマッピングは、グループ単位のセキュリティポリシーを設定したい、という場合に必要となる機能です。 勘... 2022.04.01 PA設定ガイドUser-ID
PA運用ガイド インターネットゲートウェイでのセキュリティ対策 ここでは、インターネットゲートウェイとしてPA Firewallを設置した場合のセキュリティ対策について、具体的に検討します。 想定ネットワーク構成 (インターネットゲートウェイ構成) 以下のネットワーク構成を前提とします。 セキュリティ対... 2022.02.04 PA運用ガイド
PA運用ガイド セキュリティ調査の流れ 既述のアラートメール設定により、緊急対応が必要なアラートメールを受信した場合に実施する調査ステップの例を示します。 「脆弱性防御」イベントの調査 脆弱性攻撃で、重大度がCritical且つActionがAlert(ブロックされていない)攻... 2022.02.14 PA運用ガイド
PA運用ガイド レポートの生成方法 日々発生するイベントの傾向を確認することを目的とした、レポートの生成方法を示します。 PDFレポート 事前に定義されたPDFレポートの確認と、PDFレポートをカスタマイズする方法を示します。 PDFレポートは前日の状況を示すものであり、現在... 2022.02.15 PA運用ガイド
PA設定ガイド NATの設定 その1(送信元NAT、宛先NAT) NATにはいくつかのパターンがありますが、ここでは比較的よく利用される以下2つの設定を紹介します。 送信元NAT 社内端末が、インターネット上のサーバへ接続する際によく使う設定です。 宛先NAT インターネット上の端末が、社内のサーバへ接続... 2022.07.22 PA設定ガイドNAT
PA設定ガイド NATの設定 その2(1対1NAT、双方向NAT) インターネット上にプライベートアドレスをもつサーバを公開する際に利用する1対1NATについて、よく利用される2つの設定をご紹介します。 1対1 NAT送信元NATポリシーと宛先NATポリシーを個別に設定する方法です。Bidirectiona... 2022.09.22 PA設定ガイドNAT
PA設定ガイド NAT設定の考え方 ここでは、PAシリーズにおけるNAT設定の基本的な概念についてご紹介します。 NATの設定(その1)で紹介した宛先NATの設定を行う際、NATポリシーの送信元ゾーンと宛先ゾーンをどちらもUntrustゾーンに設定しました。その理由を知ること... 2022.08.27 PA設定ガイドNAT
PA設定ガイド セキュリティポリシーのタイプ 突然ですが、暗黙のDenyポリシーは設定していますか?実はPAシリーズには暗黙のDenyポリシーはデフォルトポリシーとして明示的に定義されているので設定する必要がありません。今回は、この明示的なデフォルトポリシーにも利用されているセキュリテ... 2022.11.09 PA設定ガイド
PA設定ガイド 外部ダイナミックリスト (EDL) 外部ダイナミックリストは、外部から提供されるIPアドレスのリストやURLのリストをPA Firewallに取り込む機能です。 適当なWebサーバを構築して、そこに独自のIPアドレスリストのテキストファイルを置いておけば、PA Firewal... 2022.02.09 PA設定ガイドEDL
PA設定ガイド 認証ポータル (旧キャプティブポータル) の設定 認証ポータル (PAN-OS9.xまでは「キャプティブポータル」と呼ばれていました) を利用すると、以下のようなことができます。 社内LANのクライアントPCが、PA Firewallを経由してインターネットへアクセスしようとした際に、PA... 2022.05.24 PA設定ガイドUser-ID
PA設定ガイド URLフィルタリングサブスクリプションなしでURLログを出力する方法 ここでは、URLフィルタリングサブスクリプションのライセンスがなくても、URLのログ出力を行う設定方法をお伝えします。 ライセンスがない場合の難点は、ログのカテゴリ名がすべて同じになってしまう、という点ですが、それが問題なければ「いつ、誰が... 2022.04.04 PA設定ガイド
GP設定ガイド 全ユーザー共通のクライアント証明書で二要素認証 ユーザー名とパスワードによる認証に加え、2要素目としてのクライアント証明書認証を追加する方法の1つ目です。 ここでは「全ユーザーが共通のクライアント証明書を持ち、そのクライアント証明書を持たないクライアントPCは接続させない」という設定を行... 2022.03.07 GP設定ガイド
GP設定ガイド インターネットからのVPN接続(外部GW) ここでは、モバイルユーザーが外部 (インターネット) からVPN接続ができるように設定を行います。 GlobalProtectの接続動作の概要はこちらをご参照ください。 想定ネットワーク構成はこちらをご参照ください。 GlobalProte... 2022.02.25 GP設定ガイド
GP設定ガイド 社内LANからの接続 (内部GW:VPN接続なし) ここでは、内部 (社内LAN) からVPN接続なしでPA Firewallにログインできるように設定を行います。 「VPN接続しないのに、設定する意味あるの?」と思われがちですが、大きく以下2つの意味があります。 社内でもUser-ID連携... 2022.03.03 GP設定ガイド
GP設定ガイド 各ユーザー個別のクライアント証明書で二要素認証 (SCEP利用による配布) ユーザー名とパスワードによる認証に加え、2要素目としてのクライアント証明書認証を追加する方法の2つ目です。 ここでは「各ユーザーが個別のクライアント証明書を持ち、そのクライアント証明書を持たないクライアントPCは接続させない」という設定を行... 2022.03.08 GP設定ガイド
GP設定ガイド CRLによるクライアント証明書の失効管理 各ユーザーに配布したクライアント証明書を失効させることで、クライアント証明書認証が成功しないように制御することができます。 ここでは、PA FirewallがCRL配布ポイントからCRL (Certification Revocation ... 2022.03.10 GP設定ガイド
GP設定ガイド OCSPによるクライアント証明書の失効管理 各ユーザーに配布したクライアント証明書を失効させることで、クライアント証明書認証が成功しないように制御することができます。 例えば、「過って紛失してしまった」クライアントPCを接続できないようにしたい場合、クライアント証明書を失効させること... 2022.03.17 GP設定ガイド