PAシリーズ

PA設定ガイド

NATの設定 その3(UターンNAT)

Palo Alto を利用したUターンNATの設定方法です。
PA設定ガイド

NAT設定の考え方

ここでは、PAシリーズにおけるNAT設定の基本的な概念についてご紹介します。 NATの設定(その1)で紹介した宛先NATの設定を行う際、NATポリシーの送信元ゾーンと宛先ゾーンをどちらもUntrustゾーンに設定しました。その理由を知ること...
PA設定ガイド

セキュリティポリシーのタイプ

突然ですが、暗黙のDenyポリシーは設定していますか?実はPAシリーズには暗黙のDenyポリシーはデフォルトポリシーとして明示的に定義されているので設定する必要がありません。今回は、この明示的なデフォルトポリシーにも利用されているセキュリテ...
PA設定ガイド

外部ダイナミックリスト (EDL)

外部ダイナミックリストは、外部から提供されるIPアドレスのリストやURLのリストをPA Firewallに取り込む機能です。 適当なWebサーバを構築して、そこに独自のIPアドレスリストのテキストファイルを置いておけば、PA Firewal...
PA設定ガイド

認証ポータル (旧キャプティブポータル) の設定

認証ポータル (PAN-OS9.xまでは「キャプティブポータル」と呼ばれていました) を利用すると、以下のようなことができます。 社内LANのクライアントPCが、PA Firewallを経由してインターネットへアクセスしようとした際に、PA...
PA設定ガイド

URLフィルタリングサブスクリプションなしでURLログを出力する方法

ここでは、URLフィルタリングサブスクリプションのライセンスがなくても、URLのログ出力を行う設定方法をお伝えします。 ライセンスがない場合の難点は、ログのカテゴリ名がすべて同じになってしまう、という点ですが、それが問題なければ「いつ、誰が...
GP設定ガイド

全ユーザー共通のクライアント証明書で二要素認証

ユーザー名とパスワードによる認証に加え、2要素目としてのクライアント証明書認証を追加する方法の1つ目です。 ここでは「全ユーザーが共通のクライアント証明書を持ち、そのクライアント証明書を持たないクライアントPCは接続させない」という設定を行...
GP設定ガイド

インターネットからのVPN接続(外部GW)

ここでは、モバイルユーザーが外部 (インターネット) からVPN接続ができるように設定を行います。 GlobalProtectの接続動作の概要はこちらをご参照ください。 想定ネットワーク構成はこちらをご参照ください。 GlobalProte...
GP設定ガイド

社内LANからの接続 (内部GW:VPN接続なし)

ここでは、内部 (社内LAN) からVPN接続なしでPA Firewallにログインできるように設定を行います。 「VPN接続しないのに、設定する意味あるの?」と思われがちですが、大きく以下2つの意味があります。 社内でもUser-ID連携...
GP設定ガイド

各ユーザー個別のクライアント証明書で二要素認証 (SCEP利用による配布)

ユーザー名とパスワードによる認証に加え、2要素目としてのクライアント証明書認証を追加する方法の2つ目です。 ここでは「各ユーザーが個別のクライアント証明書を持ち、そのクライアント証明書を持たないクライアントPCは接続させない」という設定を行...
GP設定ガイド

CRLによるクライアント証明書の失効管理

各ユーザーに配布したクライアント証明書を失効させることで、クライアント証明書認証が成功しないように制御することができます。 ここでは、PA FirewallがCRL配布ポイントからCRL (Certification Revocation ...
GP設定ガイド

OCSPによるクライアント証明書の失効管理

各ユーザーに配布したクライアント証明書を失効させることで、クライアント証明書認証が成功しないように制御することができます。 例えば、「過って紛失してしまった」クライアントPCを接続できないようにしたい場合、クライアント証明書を失効させること...