PA Series Firewall 設定ガイド (PAN-OS 10.1)

PA Series Firewall 設定ガイド (PAN-OS 10.1) PA設定ガイド

ここでは、PAシリーズファイアウォール (以下、PA Firewall) の設定方法をご紹介します。

初めてPA Firewallを起動してから、最初に必要となるライセンス投入やシグネチャのダウンロード、OSのアップグレード方法、ネットワーク設定、SSL復号化、そして様々な脅威防御が行えるまでの、一通りの設定方法をまとめました。

PA Firewallには以下3つの特徴があり、それぞれの設定と動作確認の方法も記載しています。

  • App-ID: アプリケーションを識別
  • Content-ID: コンテンツを識別
  • User-ID: ユーザーを識別

パロアルトネットワークス社提供の正式ドキュメントと併用して頂き、新規設置作業や日々の運用時の設定変更作業時の参考ドキュメントとしてご活用ください。

※) 以降の設定画面はPAN-OS 10.1を基にしています。

旧バージョン版(PAN-OS8.1版)はこちら

ネットワーク構成

以下のネットワーク構成を前提として、以降、PA Firewallの設定を行います。

PA Firewallのマネージメントインターフェイスは、インターネットへの接続が可能な構成とします。

PA Firewallに以下2つのゾーンを設定し、この2つゾーン間のポリシー設定を行います。

  • Untrustゾーン:インターネット側 (ethernet1/3)
  • Trustゾーン:内部ネットワーク側 (ethernet1/2)

PA Firewall内部の仮想ルーターには、UntrustゾーンとTrustゾーンのサブネット間ルーティングに加えて、インターネットへのデフォルトルートを設定します。

インターネット方向のパケットは、送信元IPアドレスをethernet1/3に設定されたIPアドレスにアドレス変換(NAT)して送出することにします。

クライアントPCのDNSクエリ先は、内部DNS(Windows Server 2019)を指定しています。

クライアントPCは、Windowsドメイン:acme.comに参加しています。

PA設定ガイド

初期設定

PA Firewallデバイス自身に関わる、マネージメントインタフェースの設定やOSのアップグレードなど、最初実施しておくべき作業です。 想定ネットワーク構成はこちらを参照ください。 マネージメントIPの設定 マネージメントインターフェイス...
PA設定ガイド

ネットワーク設定

ゾーン、インターフェイス、ルーティングなど、ネットワーク関連の設定を行います。 想定ネットワーク構成はこちらを参照ください。 ゾーンの設定 ゾーンは、物理または仮想インターフェイスをグループとして扱うための設定です。 ゾーンによって、異なる...
PA設定ガイド

SSL/TLS復号化の設定

現在のインターネット通信は大半がWebアクセスですが、ほぼSSL/TLSで暗号化された通信になっています。 [参考]Google透明性レポート: ウェブ上での HTTPS 暗号化 SSL/TLSによって暗号化された通信は、Firewallで...
PA設定ガイド

コンフィグのバックアップと復元

PA Firewallは、実施したコンフィグレーションをスナップショットとして保存しておくことができます。 そのスナップショットをロードすることで、その時実施したコンフィグレーションまで戻ることができます。 スナップショットの保存 ここまで...
App-ID

App-ID

App-IDは、アプリケーション・シグネチャ、プロトコル・デコーディング、ヒューリスティクスなどの複数の技術を使ってアプリケーションを識別する機能です。 以降、App-IDを使ったポリシーを設定して、その動作を確認します。 [事前準備]HT...
Content-ID

Content-ID

Content-IDは、アンチウイルス、脆弱性防御、アンチスパイウェアなど、レイヤ7を検査して脅威を検出する機能です。 以降、それぞれの脅威防御を設定して、比較的容易に実現できる擬似攻撃で、動作を確認します。 アンチウイルス ウイルスをブロ...
PA設定ガイド

エージェントレス型User-ID (※工事中※)

※現在、WMIを利用した本記事の設定は利用できません。 [理由] ドメインコントローラーをホストしているWindowsサーバーにCVE-2021-26414に関連するMicrosoftのセキュリティパッチをインストールすると、ドメインコント...
PA設定ガイド

エージェント型User-ID

本記事では、User-IDエージェントを使った場合のUser-ID設定方法について記載します。 エージェントレス型の場合は、PA Firewallが直接Active Directoryに問い合わせを行いますが、 エージェント型の場合は、PA...
PA設定ガイド

グループマッピング

ここでは、Active Directory (LDAPサーバー) から、ユーザーとグループのマッピング情報を取得する設定を行います。 グループマッピングは、グループ単位のセキュリティポリシーを設定したい、という場合に必要となる機能です。 勘...
NAT

NATの設定 その1(送信元NAT、宛先NAT)

NATにはいくつかのパターンがありますが、ここでは比較的よく利用される以下2つの設定を紹介します。 送信元NAT 社内端末が、インターネット上のサーバへ接続する際によく使う設定です。 宛先NAT インターネット上の端末が、社内のサーバへ接続...
NAT

NATの設定 その2(1対1NAT、双方向NAT)

インターネット上にプライベートアドレスをもつサーバを公開する際に利用する1対1NATについて、よく利用される2つの設定をご紹介します。 1対1 NAT送信元NATポリシーと宛先NATポリシーを個別に設定する方法です。Bidirectiona...
NAT

NATの設定 その3(UターンNAT)

Palo Alto を利用したUターンNATの設定方法です。
NAT

NAT設定の考え方

ここでは、PAシリーズにおけるNAT設定の基本的な概念についてご紹介します。 NATの設定(その1)で紹介した宛先NATの設定を行う際、NATポリシーの送信元ゾーンと宛先ゾーンをどちらもUntrustゾーンに設定しました。その理由を知ること...
PA設定ガイド

セキュリティポリシーのタイプ

突然ですが、暗黙のDenyポリシーは設定していますか?実はPAシリーズには暗黙のDenyポリシーはデフォルトポリシーとして明示的に定義されているので設定する必要がありません。今回は、この明示的なデフォルトポリシーにも利用されているセキュリテ...
EDL

外部ダイナミックリスト (EDL)

外部ダイナミックリストは、外部から提供されるIPアドレスのリストやURLのリストをPA Firewallに取り込む機能です。 適当なWebサーバを構築して、そこに独自のIPアドレスリストのテキストファイルを置いておけば、PA Firewal...
PA設定ガイド

認証ポータル (旧キャプティブポータル) の設定

認証ポータル (PAN-OS9.xまでは「キャプティブポータル」と呼ばれていました) を利用すると、以下のようなことができます。 社内LANのクライアントPCが、PA Firewallを経由してインターネットへアクセスしようとした際に、PA...
PA設定ガイド

URLフィルタリングサブスクリプションなしでURLログを出力する方法

ここでは、URLフィルタリングサブスクリプションのライセンスがなくても、URLのログ出力を行う設定方法をお伝えします。 ライセンスがない場合の難点は、ログのカテゴリ名がすべて同じになってしまう、という点ですが、それが問題なければ「いつ、誰が...
DNS

DNS Proxyの設定方法

PAシリーズをDNS Proxyとして利用する方法を記載します。DNS Proxyを利用することで、拠点などのDNSサーバが存在しない環境でPAシリーズを簡易的なDNSサーバのように利用したり、ドメイン毎に問い合わせをするDNSサーバを変更...
Auto-Tag

Auto-Tagを利用したローカルブレイクアウト

今回はAuto-Tagについて紹介します。一般的にローカルブレイクアウトというとSD-WANをイメージされる方が多く、ローカルブレイクアウトのためだけにFWとは別にSD-WAN装置を導入されているユーザーも見受けられますが、実はPAシリーズ...
Packet Capture

パケットキャプチャ機能

今回はPAシリーズのパケットキャプチャー機能についてご紹介します。 トラブルシューティングの際に実際に流れているパケットをキャプチャしたいというケースはよくあると思います。L3SWやL2SWでパケットキャプチャーを行う場合、ミラーポートを作...
Packet Capture

パケットキャプチャ機能(マネジメントポート編)

今回は、PAシリーズのマネジメントポートでのパケットキャプチャ方法について記載します。 パケットキャプチャ手順 パケットのキャプチャ方法 マネジメントポートのパケットキャプチャはすべてCLIで実行します。 コマンド構文 tcpdump [f...
PA設定ガイド

トラブルシューティング機能について

PAシリーズのトラブルシューティング機能を使ってみました。主な機能は以下の通りです。 項目内容Security Policy Matchどのセキュリティポリシーにマッチしているか?QoS Policy MatchどのQoSポリシーにマッチし...
PAN-OS

PAN-OSのバージョンアップ手順

PAN-OSのバージョンアップ手順について記載したいと思います。PAN-OS10.1以上で利用可能になるスキップソフトウェアバージョンアップグレード機能についても参照してください。 PAN-OSのバージョン表記について PAN-OSのバージ...
PAN-OS

(新機能)スキップ ソフトウェア バージョン アップグレード!!!

今回は、PAN-OS11.0で実装された「Skip Software Version Upgrade」についてご紹介します。前回ご紹介したPAN-OSバージョンアップ手順で、PAN-OSはメジャーバージョンおよびメンテナンスバージョン単位で...
HA

冗長構成(HA)Active/Passiveの設定 その1

冗長構成(HA)Active/Passiveの設定 その2 → 今回はPAシリーズの冗長構成(Active/Passive構成)について説明します。 【前提条件】 MGTインタフェースなどの基本的な設定は終わっていること 同じPAN-OSバ...
HA

冗長構成(HA)Active/Passiveの設定 その2

← 冗長構成(HA)Active/Passiveの設定 その1 前回に引き続き、HA構成について記載します。今回は、実際にHAを組んだ際の挙動や手動での切替方法について説明します。なお、今回はPA-445を使用しています。 設定関連 基本的...
SD-WAN

Palo Alto NetworksのSD-WAN その1

Palo Alto NetworksのSD-WANについて調べたので備忘録として纏めます。
SD-WAN

Palo Alto NetworksのSD-WAN その2

Palo Alto NetworksのSD-WANについて調べたので備忘録として纏めます。
IoT

New Feature “IoT Security SNMP Network Discovery”を利用したデバイスの検出

PAシリーズで利用可能なサブスクリプションにIoT Security(Enterprise IoT Security/Enterprise IoT Security+/Industrial OT Security/Medial IoT Se...