PAシリーズ 新しいURLカテゴリが追加された場合の動作について
今年に入ってAI関連の新しいURLカテゴリが追加されました。PAN-OSでは、追加されたカテゴリによってNGFWの動作が変わらないように、デフォルトプロファイル(default)を除き、新しいカテゴリは「allow(ログ取得なし)」で追加さ...
PAシリーズ
PAシリーズ API カスタムレポートのデータをAPI経由で動的に取得する方法
PAN-OS(含 Panorama)のカスタムレポート機能は、スケジュールで1日1回のレポートを作成する利用方法、もしくはWeb-UIのカスタムレポート内の"Run Now"ボタンからオンデマンドで作成する利用方法があります。1時間毎にカス...
PAシリーズ プロキシ機能その2 透過型プロキシ(Transparent Proxy)
今回は、透過型プロキシについて記載していきます。透過型プロキシはPC側にプロキシの設定を行わずにプロキシを行う機能です。クライアントの設定を変更せずに、WEBセキュリティを実行できるため、カフェなど不特定多数のユーザーが利用するNWではよく...
PAシリーズ プロキシ機能その1 明示型プロキシ(Explicit Proxy)
PAN-OS 11.0以降でPAシリーズにプロキシ機能が実装されましたので紹介します。明示型プロキシ(Explicit Proxy)と透過型プロキシ(Transparent Proxy)どちらも利用可能です。今回は明示型プロキシの設定方法に...
PAN-OS ハイブリットキーを用いた耐量子拠点間VPN
量子コンピュータの実現と普及に伴い、既存暗号技術、特に公開鍵暗号(RSA、ECDSA、ECDHなど)が解読されるリスクが指摘されています。この脅威はすでに存在し、先に暗号化されたデータを収集し、将来量子コンピュータが実用化された後に解読する...
IoT New Feature “OT Device Polling”を利用したデバイスの識別
IoTセキュリティが資産を検出し学習するのを助けるために、次世代ファイアウォールは、追加のセンサーやハードウェアを必要とせずに、特定のプロトコルを使用してデバイスをポーリングできます。ネットワークの展開によっては、IoTセキュリティを備えた...
PAN-OS Okta SAML 2.0を利用したPAN-OS管理者画面へのログイン設定
PAN-OS 管理者画面にログインする際、機器内部に保存されているユーザ名・パスワードを用いるのではなく、外部認証サーバを用いることがあります。今回はOktaを外部認証サーバとして、SAML 2.0を用いたシングルサインオンの設定方法をご紹...
PA運用ガイド ACC (Application Command Center) の使い方
アプリケーションコマンドセンター(以降、ACC)は、ネットワーク内のアクティビティに関する実用的なインテリジェンスを提供する分析ツールです。 ACCは、ファイアウォールログを使用して、ネットワーク上のトラフィックの傾向をグラフィカルに表現し...
PA設定ガイド 初期設定
PA Firewallデバイス自身に関わる、マネージメントインタフェースの設定やOSのアップグレードなど、最初実施しておくべき作業です。想定ネットワーク構成はこちらを参照ください。マネージメントIPの設定マネージメントインターフェイスのデフ...
PA設定ガイド ネットワーク設定
ゾーン、インターフェイス、ルーティングなど、ネットワーク関連の設定を行います。想定ネットワーク構成はこちらを参照ください。ゾーンの設定ゾーンは、物理または仮想インターフェイスをグループとして扱うための設定です。ゾーンによって、異なるゾーン間...
PA設定ガイド SSL/TLS復号化の設定
現在のインターネット通信は大半がWebアクセスですが、ほぼSSL/TLSで暗号化された通信になっています。[参考]Google透明性レポート: ウェブ上での HTTPS 暗号化SSL/TLSによって暗号化された通信は、Firewallで脅威...
PA設定ガイド コンフィグのバックアップと復元
PA Firewallは、実施したコンフィグレーションをスナップショットとして保存しておくことができます。そのスナップショットをロードすることで、その時実施したコンフィグレーションまで戻ることができます。スナップショットの保存ここまで実施し...
App-ID App-ID
App-IDは、アプリケーション・シグネチャ、プロトコル・デコーディング、ヒューリスティクスなどの複数の技術を使ってアプリケーションを識別する機能です。以降、App-IDを使ったポリシーを設定して、その動作を確認します。[事前準備]HTTP...
Content-ID Content-ID
Content-IDは、アンチウイルス、脆弱性防御、アンチスパイウェアなど、レイヤ7を検査して脅威を検出する機能です。以降、それぞれの脅威防御を設定して、比較的容易に実現できる擬似攻撃で、動作を確認します。アンチウイルスウイルスをブロックす...
DNS DNS セキュリティ機能(TPサブスクリプション)
PAシリーズのクラウドと連携したDNS セキュリティ機能をフルで利用する場合、Threat Prevention(TP) サブスクリプションとDNSセキュリティ サブスクリプションの2つのサブスクリプションが必要になります。Advanced...
PA設定ガイド エージェントレス型User-ID (※工事中※)
※現在、WMIを利用した本記事の設定は利用できません。[理由] ドメインコントローラーをホストしているWindowsサーバーにCVE-2021-26414に関連するMicrosoftのセキュリティパッチをインストールすると、ドメインコントロ...
PA設定ガイド エージェント型User-ID
本記事では、User-IDエージェントを使った場合のUser-ID設定方法について記載します。エージェントレス型の場合は、PA Firewallが直接Active Directoryに問い合わせを行いますが、エージェント型の場合は、PA F...
PA設定ガイド グループマッピング
ここでは、Active Directory (LDAPサーバー) から、ユーザーとグループのマッピング情報を取得する設定を行います。グループマッピングは、グループ単位のセキュリティポリシーを設定したい、という場合に必要となる機能です。勘違い...
NAT NATの設定 その1(送信元NAT、宛先NAT)
NATにはいくつかのパターンがありますが、ここでは比較的よく利用される以下2つの設定を紹介します。 送信元NAT社内端末が、インターネット上のサーバへ接続する際によく使う設定です。 宛先NATインターネット上の端末が、社内のサーバへ接続する...
NAT NATの設定 その2(1対1NAT、双方向NAT)
インターネット上にプライベートアドレスをもつサーバを公開する際に利用する1対1NATについて、よく利用される2つの設定をご紹介します。1対1 NAT送信元NATポリシーと宛先NATポリシーを個別に設定する方法です。Bidirectional...
URL URLフィルタリングにEncrypted-DNS(DoH)カテゴリ追加
URLフィルタリングに新たにEncrypted-DNSカテゴリが追加されました。2022年12月8日から利用可能になっています。(コンテンツアップデートが必要です)PAN-OS9.1以降で利用可能です。デフォルトプロファイルではEncryp...
NAT NATの設定 その3(UターンNAT)
Palo Alto を利用したUターンNATの設定方法です。
NAT NAT設定の考え方
ここでは、PAシリーズにおけるNAT設定の基本的な概念についてご紹介します。NATの設定(その1)で紹介した宛先NATの設定を行う際、NATポリシーの送信元ゾーンと宛先ゾーンをどちらもUntrustゾーンに設定しました。その理由を知ることで...
PA設定ガイド セキュリティポリシーのタイプ
突然ですが、暗黙のDenyポリシーは設定していますか?実はPAシリーズには暗黙のDenyポリシーはデフォルトポリシーとして明示的に定義されているので設定する必要がありません。今回は、この明示的なデフォルトポリシーにも利用されているセキュリテ...
EDL 外部ダイナミックリスト (EDL)
外部ダイナミックリストは、外部から提供されるIPアドレスのリストやURLのリストをPA Firewallに取り込む機能です。適当なWebサーバを構築して、そこに独自のIPアドレスリストのテキストファイルを置いておけば、PA Firewall...
PA設定ガイド 認証ポータル (旧キャプティブポータル) の設定
認証ポータル (PAN-OS9.xまでは「キャプティブポータル」と呼ばれていました) を利用すると、以下のようなことができます。社内LANのクライアントPCが、PA Firewallを経由してインターネットへアクセスしようとした際に、PA ...
PA設定ガイド URLフィルタリングサブスクリプションなしでURLログを出力する方法
ここでは、URLフィルタリングサブスクリプションのライセンスがなくても、URLのログ出力を行う設定方法をお伝えします。ライセンスがない場合の難点は、ログのカテゴリ名がすべて同じになってしまう、という点ですが、それが問題なければ「いつ、誰が、...
DNS DNS Proxyの設定方法
PAシリーズをDNS Proxyとして利用する方法を記載します。DNS Proxyを利用することで、拠点などのDNSサーバが存在しない環境でPAシリーズを簡易的なDNSサーバのように利用したり、ドメイン毎に問い合わせをするDNSサーバを変更...
Auto-Tag Auto-Tagを利用したローカルブレイクアウト
今回はAuto-Tagについて紹介します。一般的にローカルブレイクアウトというとSD-WANをイメージされる方が多く、ローカルブレイクアウトのためだけにFWとは別にSD-WAN装置を導入されているユーザーも見受けられますが、実はPAシリーズ...
GP設定ガイド GlobalProtectの動作概要
設定の解説に入る前に、GlobalProtectの動作を説明します。ここで説明する動作については、GlobalProtect Agent (以降、GP Agent) ソフトウェアがクライアントPCへインストール済みである前提とします。Ext...