GP設定ガイド GlobalProtectの動作概要
設定の解説に入る前に、GlobalProtectの動作を説明します。ここで説明する動作については、GlobalProtect Agent (以降、GP Agent) ソフトウェアがクライアントPCへインストール済みである前提とします。Ext...
PAシリーズ
GP設定ガイド GP設定ガイド GlobalProtectネットワーク構成と事前準備設定
GlobalProtectネットワーク構成以下のネットワーク構成にて、GlobalProtectの動作を確認します。 検証用ネットワーク構成の概要GlobalProtect設定を行うPA-Firewallは、パブリッククラウド:Amazon...
Packet Capture パケットキャプチャ機能
今回はPAシリーズのパケットキャプチャー機能についてご紹介します。トラブルシューティングの際に実際に流れているパケットをキャプチャしたいというケースはよくあると思います。L3SWやL2SWでパケットキャプチャーを行う場合、ミラーポートを作成...
GP設定ガイド Active Directory認証の設定
ここでは、社内LANに設置されているMicrosoft Active Directoryを使った認証を行うための設定を行います。想定ネットワーク構成はこちらをご参照ください。Active DirectoryへのBIND用ユーザーの設定PA ...
PA運用ガイド ログの確認方法
PA Firewallでは、トラフィックログや脅威ログなど、様々なログが大量に出力されます。その大量のログから必要なものだけを抽出して確認する手法を解説します。フィルタリング条件の指定必要なログだけを抽出するために、フィルタリング条件を指定...
PA運用ガイド インターネットゲートウェイでのセキュリティ対策
ここでは、インターネットゲートウェイとしてPA Firewallを設置した場合のセキュリティ対策について、具体的に検討します。想定ネットワーク構成 (インターネットゲートウェイ構成)以下のネットワーク構成を前提とします。 セキュリティ対策の...
Packet Capture パケットキャプチャ機能(マネジメントポート編)
今回は、PAシリーズのマネジメントポートでのパケットキャプチャ方法について記載します。パケットキャプチャ手順パケットのキャプチャ方法マネジメントポートのパケットキャプチャはすべてCLIで実行します。コマンド構文tcpdump [filter...
PA運用ガイド セキュリティ調査の流れ
既述のアラートメール設定により、緊急対応が必要なアラートメールを受信した場合に実施する調査ステップの例を示します。 「脆弱性防御」イベントの調査脆弱性攻撃で、重大度がCritical且つActionがAlert(ブロックされていない)攻撃が...
PA運用ガイド レポートの生成方法
日々発生するイベントの傾向を確認することを目的とした、レポートの生成方法を示します。PDFレポート事前に定義されたPDFレポートの確認と、PDFレポートをカスタマイズする方法を示します。PDFレポートは前日の状況を示すものであり、現在発生し...
PAシリーズ BPA(Best Practice Assessment)のご紹介
以前からNGFWに対する設定分析ツールとしてBPAを提供しておりましたが、2023年7月17日より提供方法が変わっておりますので、改めてご紹介いたします。NGFWの新規導入・リプレース時やOSアップグレード時など設定の見直しを行う際などにご...
PA設定ガイド トラブルシューティング機能について
PAシリーズのトラブルシューティング機能を使ってみました。主な機能は以下の通りです。項目内容Security Policy Matchどのセキュリティポリシーにマッチしているか?QoS Policy MatchどのQoSポリシーにマッチして...
PAN-OS PAN-OSのバージョンアップ手順
PAN-OSのバージョンアップ手順について記載したいと思います。PAN-OS10.1以上で利用可能になるスキップソフトウェアバージョンアップグレード機能についても参照してください。PAN-OSのバージョン表記についてPAN-OSのバージョン...
PAN-OS (新機能)スキップ ソフトウェア バージョン アップグレード!!!
今回は、PAN-OS11.0で実装された「Skip Software Version Upgrade」についてご紹介します。前回ご紹介したPAN-OSバージョンアップ手順で、PAN-OSはメジャーバージョンおよびメンテナンスバージョン単位で...
HA スキップ ソフトウェア バージョン アップグレードをHA構成で試してみた
Skip Software Version UpgradeをHA構成で試してみました。この機能について公式ドキュメントには以下のように記載されていますが、現状HAサポートについて公式ドキュメント上で確認することができませんでした。ただ、Li...
HA 冗長構成(HA)Active/Passiveの設定 その1
冗長構成(HA)Active/Passiveの設定 その2 →今回はPAシリーズの冗長構成(Active/Passive構成)について説明します。【前提条件】MGTインタフェースなどの基本的な設定は終わっていること同じPAN-OSバージョン...
HA 冗長構成(HA)Active/Passiveの設定 その2
← 冗長構成(HA)Active/Passiveの設定 その1前回に引き続き、HA構成について記載します。今回は、実際にHAを組んだ際の挙動や手動での切替方法について説明します。なお、今回はPA-445を使用しています。設定関連基本的に前回...
SD-WAN Palo Alto NetworksのSD-WAN その1
Palo Alto NetworksのSD-WANについて調べたので備忘録として纏めます。
SD-WAN Palo Alto NetworksのSD-WAN その2
Palo Alto NetworksのSD-WANについて調べたので備忘録として纏めます。
IoT New Feature “IoT Security SNMP Network Discovery”を利用したデバイスの検出
PAシリーズで利用可能なサブスクリプションにIoT Security(Enterprise IoT Security/Enterprise IoT Security+/Industrial OT Security/Medial IoT Se...
GP設定ガイド 全ユーザー共通のクライアント証明書で二要素認証
ユーザー名とパスワードによる認証に加え、2要素目としてのクライアント証明書認証を追加する方法の1つ目です。ここでは「全ユーザーが共通のクライアント証明書を持ち、そのクライアント証明書を持たないクライアントPCは接続させない」という設定を行い...
GP設定ガイド インターネットからのVPN接続(外部GW)
ここでは、モバイルユーザーが外部 (インターネット) からVPN接続ができるように設定を行います。GlobalProtectの接続動作の概要はこちらをご参照ください。想定ネットワーク構成はこちらをご参照ください。GlobalProtect用...
GP設定ガイド 社内LANからの接続 (内部GW:VPN接続なし)
ここでは、内部 (社内LAN) からVPN接続なしでPA Firewallにログインできるように設定を行います。「VPN接続しないのに、設定する意味あるの?」と思われがちですが、大きく以下2つの意味があります。社内でもUser-ID連携がで...
GP設定ガイド 各ユーザー個別のクライアント証明書で二要素認証 (SCEP利用による配布)
ユーザー名とパスワードによる認証に加え、2要素目としてのクライアント証明書認証を追加する方法の2つ目です。ここでは「各ユーザーが個別のクライアント証明書を持ち、そのクライアント証明書を持たないクライアントPCは接続させない」という設定を行い...
GP設定ガイド CRLによるクライアント証明書の失効管理
各ユーザーに配布したクライアント証明書を失効させることで、クライアント証明書認証が成功しないように制御することができます。ここでは、PA FirewallがCRL配布ポイントからCRL (Certification Revocation L...
GP設定ガイド OCSPによるクライアント証明書の失効管理
各ユーザーに配布したクライアント証明書を失効させることで、クライアント証明書認証が成功しないように制御することができます。例えば、「過って紛失してしまった」クライアントPCを接続できないようにしたい場合、クライアント証明書を失効させることで...