お役立ち情報 FreeRADIUS構築メモ
PAとのRADIUS連携のために、CentOS7上にFreeRADIUSを構築した際のメモです。前提条件として、CentOSをminimalでインストールしておきます。以下2点の動作確認を行います。PAP(平文)によるRadius認証PAシ...
ぱんせ
お役立ち情報 
PA設定ガイド NAT設定の考え方
ここでは、PAシリーズにおけるNAT設定の基本的な概念についてご紹介します。NATの設定(その1)で紹介した宛先NATの設定を行う際、NATポリシーの送信元ゾーンと宛先ゾーンをどちらもUntrustゾーンに設定しました。その理由を知ることで...
PA設定ガイド セキュリティポリシーのタイプ
突然ですが、暗黙のDenyポリシーは設定していますか?実はPAシリーズには暗黙のDenyポリシーはデフォルトポリシーとして明示的に定義されているので設定する必要がありません。今回は、この明示的なデフォルトポリシーにも利用されているセキュリテ...
PA設定ガイド 外部ダイナミックリスト (EDL)
外部ダイナミックリストは、外部から提供されるIPアドレスのリストやURLのリストをPA Firewallに取り込む機能です。適当なWebサーバを構築して、そこに独自のIPアドレスリストのテキストファイルを置いておけば、PA Firewall...
PA設定ガイド 認証ポータル (旧キャプティブポータル) の設定
認証ポータル (PAN-OS9.xまでは「キャプティブポータル」と呼ばれていました) を利用すると、以下のようなことができます。社内LANのクライアントPCが、PA Firewallを経由してインターネットへアクセスしようとした際に、PA ...
URL URLフィルタリングサブスクリプションなしでURLログを出力する方法
ここでは、URLフィルタリングサブスクリプションのライセンスがなくても、URLのログ出力を行う設定方法をお伝えします。ライセンスがない場合の難点は、ログのカテゴリ名がすべて同じになってしまう、という点ですが、それが問題なければ「いつ、誰が、...
DNS DNS Proxyの設定方法
PAシリーズをDNS Proxyとして利用する方法を記載します。DNS Proxyを利用することで、拠点などのDNSサーバが存在しない環境でPAシリーズを簡易的なDNSサーバのように利用したり、ドメイン毎に問い合わせをするDNSサーバを変更...
PA設定ガイド Auto-Tagを利用したローカルブレイクアウト
今回はAuto-Tagについて紹介します。一般的にローカルブレイクアウトというとSD-WANをイメージされる方が多く、ローカルブレイクアウトのためだけにFWとは別にSD-WAN装置を導入されているユーザーも見受けられますが、実はPAシリーズ...
GP設定ガイド GlobalProtectの動作概要
設定の解説に入る前に、GlobalProtectの動作を説明します。ここで説明する動作については、GlobalProtect Agent (以降、GP Agent) ソフトウェアがクライアントPCへインストール済みである前提とします。Ext...
GP設定ガイド GlobalProtectネットワーク構成と事前準備設定
GlobalProtectネットワーク構成以下のネットワーク構成にて、GlobalProtectの動作を確認します。 検証用ネットワーク構成の概要GlobalProtect設定を行うPA-Firewallは、パブリッククラウド:Amazon...
お役立ち情報 ADCSサーバーの構築
ここでは、Active Directory Certificate Services (以降、ADCS) サーバーの構築ステップを記載します。Windows Server 2019のADCSはSCEP (Simple Certificate...
お役立ち情報 CRL配布ポイント (CDP) の構築
各ユーザーに配布したクライアント証明書を失効させることで、クライアント証明書認証が成功しないように制御することができます。例えば、「過って紛失してしまった」クライアントPCを接続できないようにしたい場合、クライアント証明書を失効させることで...
Packet Capture パケットキャプチャ機能
今回はPAシリーズのパケットキャプチャー機能についてご紹介します。トラブルシューティングの際に実際に流れているパケットをキャプチャしたいというケースはよくあると思います。L3SWやL2SWでパケットキャプチャーを行う場合、ミラーポートを作成...
GP設定ガイド Active Directory認証の設定
ここでは、社内LANに設置されているMicrosoft Active Directoryを使った認証を行うための設定を行います。想定ネットワーク構成はこちらをご参照ください。Active DirectoryへのBIND用ユーザーの設定PA ...
お役立ち情報 OCSPレスポンダの構築
各ユーザーに配布したクライアント証明書を失効させることで、クライアント証明書認証が成功しないように制御することができます。例えば、「過って紛失してしまった」クライアントPCを接続できないようにしたい場合、クライアント証明書を失効させることで...
PA運用ガイド ログの確認方法
PA Firewallでは、トラフィックログや脅威ログなど、様々なログが大量に出力されます。その大量のログから必要なものだけを抽出して確認する手法を解説します。フィルタリング条件の指定必要なログだけを抽出するために、フィルタリング条件を指定...
お役立ち情報 クライアント証明書の失効とCRLの発行
認証局 (CA) でクライアント証明書を失効させることで、そのクライアント証明書を持つクライアントPCは認証が完了しないので接続できなくなります。失効の方法は、CRL配布ポイント(CDP)利用の場合もOCSPレスポンダ利用の場合も同じです。...
PA運用ガイド インターネットゲートウェイでのセキュリティ対策
ここでは、インターネットゲートウェイとしてPA Firewallを設置した場合のセキュリティ対策について、具体的に検討します。想定ネットワーク構成 (インターネットゲートウェイ構成)以下のネットワーク構成を前提とします。 セキュリティ対策の...
Packet Capture パケットキャプチャ機能(マネジメントポート編)
今回は、PAシリーズのマネジメントポートでのパケットキャプチャ方法について記載します。パケットキャプチャ手順パケットのキャプチャ方法マネジメントポートのパケットキャプチャはすべてCLIで実行します。コマンド構文tcpdump [filter...
PA運用ガイド セキュリティ調査の流れ
既述のアラートメール設定により、緊急対応が必要なアラートメールを受信した場合に実施する調査ステップの例を示します。 「脆弱性防御」イベントの調査脆弱性攻撃で、重大度がCritical且つActionがAlert(ブロックされていない)攻撃が...
PA運用ガイド レポートの生成方法
日々発生するイベントの傾向を確認することを目的とした、レポートの生成方法を示します。PDFレポート事前に定義されたPDFレポートの確認と、PDFレポートをカスタマイズする方法を示します。PDFレポートは前日の状況を示すものであり、現在発生し...
PA設定ガイド トラブルシューティング機能について
PAシリーズのトラブルシューティング機能を使ってみました。主な機能は以下の通りです。項目内容Security Policy Matchどのセキュリティポリシーにマッチしているか?QoS Policy MatchどのQoSポリシーにマッチして...
PAN-OS PAN-OSのバージョンアップ手順
PAN-OSのバージョンアップ手順について記載したいと思います。PAN-OS10.1以上で利用可能になるスキップソフトウェアバージョンアップグレード機能についても参照してください。PAN-OSのバージョン表記についてPAN-OSのバージョン...
PAN-OS (新機能)スキップ ソフトウェア バージョン アップグレード!!!
今回は、PAN-OS11.0で実装された「Skip Software Version Upgrade」についてご紹介します。前回ご紹介したPAN-OSバージョンアップ手順で、PAN-OSはメジャーバージョンおよびメンテナンスバージョン単位で...
PA設定ガイド スキップ ソフトウェア バージョン アップグレードをHA構成で試してみた
Skip Software Version UpgradeをHA構成で試してみました。この機能について公式ドキュメントには以下のように記載されていますが、現状HAサポートについて公式ドキュメント上で確認することができませんでした。ただ、Li...
PA設定ガイド 冗長構成(HA)Active/Passiveの設定 その1
冗長構成(HA)Active/Passiveの設定 その2 →今回はPAシリーズの冗長構成(Active/Passive構成)について説明します。【前提条件】MGTインタフェースなどの基本的な設定は終わっていること同じPAN-OSバージョン...
PA設定ガイド 冗長構成(HA)Active/Passiveの設定 その2
← 冗長構成(HA)Active/Passiveの設定 その1前回に引き続き、HA構成について記載します。今回は、実際にHAを組んだ際の挙動や手動での切替方法について説明します。なお、今回はPA-445を使用しています。設定関連基本的に前回...
GP設定ガイド 全ユーザー共通のクライアント証明書で二要素認証
ユーザー名とパスワードによる認証に加え、2要素目としてのクライアント証明書認証を追加する方法の1つ目です。ここでは「全ユーザーが共通のクライアント証明書を持ち、そのクライアント証明書を持たないクライアントPCは接続させない」という設定を行い...
GP設定ガイド インターネットからのVPN接続(外部GW)
ここでは、モバイルユーザーが外部 (インターネット) からVPN接続ができるように設定を行います。GlobalProtectの接続動作の概要はこちらをご参照ください。想定ネットワーク構成はこちらをご参照ください。GlobalProtect用...
GP設定ガイド 社内LANからの接続 (内部GW:VPN接続なし)
ここでは、内部 (社内LAN) からVPN接続なしでPA Firewallにログインできるように設定を行います。「VPN接続しないのに、設定する意味あるの?」と思われがちですが、大きく以下2つの意味があります。社内でもUser-ID連携がで...