ここでは、PAシリーズファイアウォール (以下、PA Firewall) の設定方法をご紹介します。
初めてPA Firewallを起動してから、最初に必要となるライセンス投入やシグネチャのダウンロード、OSのアップグレード方法、ネットワーク設定、SSL復号化、そして様々な脅威防御が行えるまでの、一通りの設定方法をまとめました。
PA Firewallには以下3つの特徴があり、それぞれの設定と動作確認の方法も記載しています。
- App-ID: アプリケーションを識別
- Content-ID: コンテンツを識別
- User-ID: ユーザーを識別
パロアルトネットワークス社提供の正式ドキュメントと併用して頂き、新規設置作業や日々の運用時の設定変更作業時の参考ドキュメントとしてご活用ください。
※) 以降の設定画面はPAN-OS 10.1を基にしています。
ネットワーク構成
以下のネットワーク構成を前提として、以降、PA Firewallの設定を行います。
PA Firewallのマネージメントインターフェイスは、インターネットへの接続が可能な構成とします。
PA Firewallに以下2つのゾーンを設定し、この2つゾーン間のポリシー設定を行います。
- Untrustゾーン:インターネット側 (ethernet1/3)
- Trustゾーン:内部ネットワーク側 (ethernet1/2)
PA Firewall内部の仮想ルーターには、UntrustゾーンとTrustゾーンのサブネット間ルーティングに加えて、インターネットへのデフォルトルートを設定します。
インターネット方向のパケットは、送信元IPアドレスをethernet1/3に設定されたIPアドレスにアドレス変換(NAT)して送出することにします。
クライアントPCのDNSクエリ先は、内部DNS(Windows Server 2019)を指定しています。
クライアントPCは、Windowsドメイン:acme.comに参加しています。
