palo alto networks administrator's guide - xicongteam · palo alto networks • 3 2012 ? 12 ?...

Palo Alto Networks管理者ガイドリリース 5.0

12/12/28 ?????? ???? - Palo Alto Networks???

Palo Alto Networks, Inc.www.paloaltonetworks.com© 2007-2012 Palo Alto Networks. All rights reserved. Palo Alto Networks、PAN-OS、および Panorama は Palo Alto Networks, Inc. の商標です。その他の商標の所有権は、それぞれの所有者に帰属します。P/N 810-000107-00A

Palo Alto Networks • 3

2012 ? 12 ? 28 ? - Palo Alto Networks ???

序章 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

このガイドについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13Organization. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

表記規則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

メモと警告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

関連ドキュメント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

第 1 章

はじめに . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

ファイアウォールの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

機能と利点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

管理インターフェイス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

第 2 章

スタートガイド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

ファイアウォールの準備 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

ファイアウォールのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

ファイアウォール Web インターフェイスの使用 . . . . . . . . . . . . . . . 23

変更のコミット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

設定ページへの移動 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

設定ページのテーブルの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

必須フィールド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

トランザクションのロック . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

サポート対象のブラウザ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

ファイアウォール設定でのヘルプの表示 . . . . . . . . . . . . . . . . . . . . . . 28

詳細情報について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

テクニカルサポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

目次

4 • Palo Alto Networks

第 3 章

デバイス管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

システムセットアップ、設定、およびライセンス管理. . . . . . . . . . . . 30

管理設定の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

操作設定の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

サービス設定の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

コンテンツ ID 設定の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

セッション設定の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

統計サービス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

設定ファイルの比較 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

ライセンスのインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

PAN-OS ソフトウェアのアップグレードとダウングレード . . . . . . . . 51

高可用性設定の PAN-OS のアップグレード . . . . . . . . . . . . . . . . . . . . . . . 52

PAN-OS ソフトウェアのダウングレード . . . . . . . . . . . . . . . . . . . . . . . . . 54メンテナンスリリースのダウングレード . . . . . . . . . . . . . . . . . . . . . . 54

機能リリースのダウングレード. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

脅威およびアプリケーションの定義の更新 . . . . . . . . . . . . . . . . . . . . . 57

管理者ロール、プロファイル、およびアカウント . . . . . . . . . . . . . . . . 58ユーザー名とパスワードの要件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

管理者ロールの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

パスワードプロファイルの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

管理アカウントの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

管理者のアクセスドメインの指定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

認証プロファイル. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64認証プロファイルのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

ローカルユーザーデータベースの作成 . . . . . . . . . . . . . . . . . . . . . . . 66

RADIUS サーバーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

LDAP サーバーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

Kerberos 設定の設定 (Active Directory のネイティブ認証 ). . . . . . . . 69

認証シーケンス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70認証シーケンスのセットアップ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71

ファイアウォールログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72

設定のログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74ログのエクスポートのスケジューリング . . . . . . . . . . . . . . . . . . . . . . 74

ログ設定の設定の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

システムログの設定の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

HIP マッチログの設定の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

アラームログの設定の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

ログ設定の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78

SNMP トラップの宛先の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78

Syslog サーバーの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80カスタム Syslog フィールドの説明 . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

電子メール通知設定の指定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86


アラームの表示. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

Netflow 設定の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

セキュリティ証明書のインポート、エクスポート、および生成 . . . . 89

証明書 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

信頼された証明機関 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92

証明書プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92

OCSP レスポンダ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93

ファイアウォールでの秘密鍵とパスワードの暗号化 . . . . . . . . . . . . . . . . 94[ マスターキーおよび診断 ] の設定項目 . . . . . . . . . . . . . . . . . . . . . . . 94

マスターキーの更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94

高可用性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96

アクティブ / パッシブの HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96

アクティブ / アクティブの HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97

パケットフロー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98

導入オプション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99NAT に関する考慮事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100

HA のセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104

ファイアウォールの HA の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

仮想システム . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113

仮想システム間の通信 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114

共有ゲートウェイ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115仮想システムの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116

共有ゲートウェイの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117

カスタムレスポンスページの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . 117

サポート情報の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119

第 4 章

ネットワーク設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121

ファイアウォール導入 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122バーチャルワイヤー導入 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122

レイヤー 2 導入 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124

レイヤー 3 導入 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125

タップモード導入 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126

バーチャルワイヤーの定義. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126

パケットコンテンツの変更. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127

ファイアウォールインターフェイス. . . . . . . . . . . . . . . . . . . . . . . . . 127現在のインターフェイスの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128

レイヤー 2 インターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . 129

レイヤー 2 サブインターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . 130

レイヤー 3 インターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . 131

レイヤー 3 サブインターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . 135

バーチャルワイヤーインターフェイスの設定 . . . . . . . . . . . . . . . . 139

バーチャルワイヤーサブインターフェイスの設定 . . . . . . . . . . . . . 140

集約インターフェイスグループの設定 . . . . . . . . . . . . . . . . . . . . . . 142


Ethernet の集約インターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . 143

VLAN インターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144

ループバックインターフェイスの設定. . . . . . . . . . . . . . . . . . . . . . . 147

トンネルインターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . 148

タップインターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150

HA インターフェイスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151

セキュリティゾーン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152セキュリティゾーンの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153

VLAN サポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154

仮想ルーターとルーティングプロトコル. . . . . . . . . . . . . . . . . . . . . . 154Routing Information Protocol (RIP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155

Open Shortest Path First (OSPF) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155

Border Gateway Protocol (BGP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155

マルチキャストルーティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156

仮想ルーターの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157

DHCP サーバーと DHCP リレー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172

DNS プロキシ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174

ネットワークプロファイル. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176インターフェイス管理プロファイルの定義 . . . . . . . . . . . . . . . . . . . 177

モニタープロファイルの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178

ゾーンプロテクションプロファイルの定義 . . . . . . . . . . . . . . . . . . 179

第 5 章

ポリシーとセキュリティプロファイル . . . . . . . . . . . . . . . . . . . . . 183

ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183ポリシー定義のガイドライン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184

ポリシーのユーザーとアプリケーションの指定 . . . . . . . . . . . . . . . . 186

セキュリティポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187セキュリティポリシーの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187

NAT ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190NAT およびセキュリティポリシーでのゾーン設定の決定. . . . . . . . 192

NAT ルールオプション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192

ネットワークアドレス変換ポリシーの定義 . . . . . . . . . . . . . . . . . . . 193

NAT ポリシーの例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195

Nat64 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196

ポリシーベースの転送ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199

復号化ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202

アプリケーションオーバーライドポリシー . . . . . . . . . . . . . . . . . . . . . 204アプリケーションオーバーライドを指定するカスタムアプリケーション定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204

アプリケーションオーバーライドポリシーの定義 . . . . . . . . . . . . . 205

キャプティブポータルポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206キャプティブポータルポリシーの定義 . . . . . . . . . . . . . . . . . . . . . . 206

DoS プロテクションポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208DoS プロファイルの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208


セキュリティプロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210

アンチウイルスプロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212

アンチスパイウェアプロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213

脆弱性防御プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214

URL フィルタリングプロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217

ファイルブロッキングプロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . 220

データフィルタリングプロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . 223

DoS プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225

その他のポリシーオブジェクト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226

アドレスとアドレスグループ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227アドレス範囲の定義. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227

アドレスグループの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229

地域の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229

アプリケーションとアプリケーショングループ . . . . . . . . . . . . . . . . . . 230アプリケーションの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232

シグネチャを使ったカスタムアプリケーション . . . . . . . . . . . . . . . 235

アプリケーショングループの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . 237

アプリケーションフィルタ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237

サービス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238

サービスグループ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239

データパターン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240

カスタム URL カテゴリ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241

ダイナミックブロックリスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242

カスタムのスパイウェアシグネチャと脆弱性シグネチャ . . . . . . . . . . 243データパターンの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243

スパイウェアシグネチャと脆弱性シグネチャの定義 . . . . . . . . . . . 244

セキュリティプロファイルグループ . . . . . . . . . . . . . . . . . . . . . . . . . . 246

ログ転送 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247

復号プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248

スケジュール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250

第 6 章

レポートとログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251

ダッシュボードの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252

アプリケーションコマンドセンターの使用 . . . . . . . . . . . . . . . . . . . 253

アプリケーションスコープの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . 256サマリーレポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257

変化モニターレポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258

脅威モニターレポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259

脅威マップレポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260

ネットワークモニターレポート . . . . . . . . . . . . . . . . . . . . . . . . . . . 261

トラフィックマップレポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263

ログの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264セッション情報の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267


ボットネットレポートの処理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267ボットネットレポートの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268

ボットネットレポートの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269

PDF サマリーレポートの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270

ユーザーアクティビティレポートの管理 . . . . . . . . . . . . . . . . . . . . . 272

レポートグループの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272

電子メールで配信するレポートのスケジューリング . . . . . . . . . . . . . 273

レポートの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274

カスタムレポートの生成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274

不明なアプリケーションの識別と対処 . . . . . . . . . . . . . . . . . . . . . . . . 276対処 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277

Palo Alto Networks からの App-ID のリクエスト . . . . . . . . . . . . . . . 278

その他の不明なトラフィック . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278

パケットキャプチャの実行. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278

第 7 章

ユーザー識別のためのファイアウォール設定 . . . . . . . . . . . . . . . . 281

ユーザー ID の概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281

ユーザー ID の動作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282

ユーザーおよびグループの識別 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283

ユーザー ID コンポーネントの連携方法 . . . . . . . . . . . . . . . . . . . . . . . . . 283ユーザー ID エージェント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283

PAN-OS ユーザーマッピング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283

ターミナルサービスエージェント . . . . . . . . . . . . . . . . . . . . . . . . . . 284

PAN-OS LDAP グループクエリ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284

ユーザー ID エージェント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284キャプティブポータル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285

ユーザー識別のためのファイアウォールの設定 . . . . . . . . . . . . . . . . 286

PAN-OS ユーザーマッピング設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 292

PAN-OS ユーザーマッピングの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 293

ユーザーマッピングデータを共有するためのファイアウォールの

設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296

ユーザー ID エージェントのセットアップ . . . . . . . . . . . . . . . . . . . . . 298ユーザー ID エージェントのインストール . . . . . . . . . . . . . . . . . . . . 299

ユーザー ID エージェントの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300

ドメインコントローラの検出 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303

ユーザー ID エージェントの動作のモニタリング . . . . . . . . . . . . . . . 303

ユーザー ID エージェントのアンインストールとアップグレード . . 303

ターミナルサービスエージェントのセットアップ . . . . . . . . . . . . . . 304ターミナルサーバーでのターミナルサーバーエージェントの

インストールまたはアップグレード . . . . . . . . . . . . . . . . . . . . . . . . 304

ターミナルサーバーでのターミナルサーバーエージェントの

設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305


ターミナルサーバーでのターミナルサーバーエージェントの

アンインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309

第 8 章

IPSec トンネルの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311

仮想プライベートネットワーク . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312VPN トンネル. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313

IPSec と IKE. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313IPSec および IKE 暗号プロファイル . . . . . . . . . . . . . . . . . . . . . . . . . 314

IPSec VPN のセットアップ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315IKE ゲートウェイの定義. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316

IPSec トンネルのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317

IKE 暗号プロファイルの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321

IPSec 暗号プロファイルの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322

ファイアウォールの IPSec トンネル状態の表示. . . . . . . . . . . . . . . . 323

VPN 設定例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323既存のトポロジ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323

新しいトポロジ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324

VPN 接続の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325

VPN 接続のトラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . 326

GlobalProtect 大規模 VPN 導入 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327

概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327

大規模 VPN ネットワークの導入 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328証明書と OCSP レスポンダ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329

GlobalProtect ゲートウェイの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . 332

GlobalProtect ポータルの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334

GlobalProtect サテライトの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . 337

動的ルーティングプロトコルと大規模 VPN . . . . . . . . . . . . . . . . . . . . . 337

GlobalProtect ポータルのバックアップ . . . . . . . . . . . . . . . . . . . . . . . . . 338

第 9 章

GlobalProtect の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339

概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339

GlobalProtect の認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341

GlobalProtect のセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341

GlobalProtect エージェントのセットアップとアクティベーション. . . . 356

GlobalProtect エージェントのセットアップ . . . . . . . . . . . . . . . . . . . . . 356

第 10 章

Quality of Services (QoS) の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . 359

ファイアウォールでの QoS のサポート . . . . . . . . . . . . . . . . . . . . . . . 359

ファイアウォールインターフェイスの QoS の設定 . . . . . . . . . . . . . . . 360


QoS プロファイルの定義. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362

QoS ポリシーの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363

QoS 統計情報の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367

第 11 章

VM シリーズのファイアウォールのセットアップ . . . . . . . . . . . . . 369

概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369

システム要件と制限事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370

要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370

制限事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370

VM シリーズのファイアウォールのライセンス . . . . . . . . . . . . . . . . . 371

VM シリーズのファイアウォールのインストール . . . . . . . . . . . . . . . 372

トラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376

第 12 章

Panorama のセットアップ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377

概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377

バーチャルアプライアンスとしての Panorama のセットアップ . . . 378

Panorama のインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378

Panorama ネットワークインターフェイスの設定 . . . . . . . . . . . . . . . . 379

ログストレージ容量の拡張 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380

仮想ディスクの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380

ストレージパーティションのセットアップ . . . . . . . . . . . . . . . . . . . . . . 381

M シリーズのアプライアンスでの Panorama のセットアップ . . . . . 382

初期セットアップの実行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382

Panorama へのログイン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383

デフォルトのパスワードの変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383

高可用性 (HA) の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383

HA ペアでのログ優先順位の切り替え . . . . . . . . . . . . . . . . . . . . . . . . . . . 385

第 13 章

Panorama を使用したデバイス中央管理. . . . . . . . . . . . . . . . . . . . . 387

Panorama Web インターフェイスへのアクセス . . . . . . . . . . . . . . . . 388

Panorama インターフェイスの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . 388

[Panorama] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389

デバイスの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391

デバイスグループの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393

Panorama 管理者ロール、プロファイル、およびアカウント . . . . . . 394

Panorama 管理者ロールの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395

Panorama 管理アカウントの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396

管理者の Panorama アクセスドメインの指定 . . . . . . . . . . . . . . . . . . 398


デバイスグループ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398

ポリシーの処理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399

オブジェクトの処理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401

デバイスの処理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403

Panorama でのコミット操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403

Panorama の下位互換性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404

テンプレート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405

Panorama テンプレートの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406新しいテンプレートの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407

テンプレートの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407

テンプレート設定のオーバーライド . . . . . . . . . . . . . . . . . . . . . . . . . 408

テンプレートの削除. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408

ロギング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409

ログおよびレポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409

ユーザーアクティビティレポートの生成 . . . . . . . . . . . . . . . . . . . . . . . 409

ログ収集のための Panorama の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . 409分散ログ収集の導入. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410

ログコレクタの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413

ログコレクタグループの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416

ファイアウォール導入情報の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421

ファイアウォール設定のバックアップ . . . . . . . . . . . . . . . . . . . . . . . . 422

設定のエクスポートのスケジューリング . . . . . . . . . . . . . . . . . . . . . . 422

Panorama ソフトウェアのアップグレード . . . . . . . . . . . . . . . . . . . . . 423

第 14 章

WildFire の設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425

WildFire について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425

ファイアウォールでの WildFire のセットアップ . . . . . . . . . . . . . . . . 427

ファイアウォール上の WildFire 設定の設定 . . . . . . . . . . . . . . . . . . . . . 427

WildFire の転送の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 428

WildFire データフィルタリングログ. . . . . . . . . . . . . . . . . . . . . . . . . 429

WildFire ポータルの利用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 430

WildFire ポータル上の設定の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431

WildFire レポートの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431

付録 Aカスタムページ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433

デフォルトのアンチウイルスレスポンスページ . . . . . . . . . . . . . . . . . 433

デフォルトのアプリケーションブロックページ . . . . . . . . . . . . . . . . . 435

デフォルトのファイルブロッキングブロックページ . . . . . . . . . . . . . 435

デフォルトの URL フィルタリングレスポンスページ . . . . . . . . . . . . . 436

デフォルトのスパイウェア対策ダウンロードレスポンスページ . . . . 437

デフォルトの暗号解除オプトアウトレスポンスページ . . . . . . . . . . . . 437


キャプティブポータル確認ページ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438

URL フィルタリングの続行とオーバーライドページ . . . . . . . . . . . . . . 438

SSL VPN ログインページ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439

SSL 証明書無効通知ページ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440

付録 Bアプリケーションのカテゴリ、サブカテゴリ、テクノロジ、特徴 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441

アプリケーションのカテゴリとサブカテゴリ . . . . . . . . . . . . . . . . . . 441

アプリケーションテクノロジ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443

アプリケーションの特徴 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443

付録 CFIPS140-2 のサポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445

付録 Dオープンソースライセンス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447

アーティスティックライセンス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 448

BSD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449

GNU General Public License . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 450

GNU Lesser General Public License . . . . . . . . . . . . . . . . . . . . . . . . . . . 454

MIT/X11 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 460

OpenSSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461

PSF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464

PHP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464

Zlib . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465

索引 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 467

Palo Alto Networks 序章 • 13

２０１２年 12 月２８日 - Palo Alto Networks 社外秘

序章

この序章は、以下のセクションで設定されています。

• 次のセクションの「このガイドについて」

• 13 ページの「Organization」

• 15 ページの「表記規則」

• 15 ページの「メモと警告」

• 15 ページの「関連ドキュメント」

このガイドについて

このガイドは、Palo Alto Networks ファイアウォールを、ファイアウォールデバイスの Web インターフェイスを使用して管理する方法について説明します。

このガイドの対象読者は、ファイアウォールの導入、運用、保守を担当するシステム管理者です。

Organization

このガイドの設定は以下のとおりです。

• 第 1 章「はじめに」 — ファイアウォールについて概説します。

• 第 2 章「スタートガイド」 — ファイアウォールのインストール方法を説明します。

• 第 3 章「デバイス管理」 — 基本的なファイアウォールシステムの設定と保守について説明し

ます。具体的には、2 台のファイアウォールを設定して高可用性を実現する方法、ユーザーアカウントを定義する方法、ソフトウェアのアップデート方法、設定の管理方法を説明します。

• 第 4 章「ネットワーク設定」 — ルーティング設定など、ネットワーク用にファイアウォール

を設定する方法を説明します。

• 第 5 章「ポリシーとセキュリティプロファイル」 — ゾーン、ユーザー、送信元 / 宛先アドレ

ス、アプリケーションに基づいてセキュリティポリシーとプロファイルを設定する方法を説

明します。

• 第 6 章「レポートとログ」 — ファイアウォールによって生成されるレポートとログの表示方

法を説明します。

Organization

14 • 序章 Palo Alto Networks

• 第 7 章「ユーザー識別のためのファイアウォール設定」 — ネットワークにアクセスしようと

しているユーザーを識別するためのファイアウォールの設定方法を説明します。

• 第 8 章「IPSec トンネルの設定」 — ファイアウォールに IP Security (IPSec) トンネルを設定

する方法を説明します。

• 第 9 章「GlobalProtect の設定」 — どの場所にあるクライアントシステムからでも安全にロ

グインできる GlobalProtect を説明します。

• 第 10 章「Quality of Services (QoS) の設定」 — ファイアウォールに Quality of Services(QoS) を設定する方法を説明します。

• 第 12 章「Panorama のセットアップ」 — Palo Alto Networks ファイアウォールの中央管理

システムをインストールする方法について説明します。

• 第 13 章「Panorama を使用したデバイス中央管理」 — Panorama を使用して複数のファイア

ウォールを管理する方法を説明します。

• 第 14 章「WildFire の設定」 — WildFire を使用して、ファイアウォールを通過するマルウェ

アを分析およびレポートする方法を説明します。

• 付録 A「カスタムページ」 — エンドユーザーにポリシー違反や特殊なアクセス条件を通知す

るカスタムレスポンスページの HTML コードを示します。

• 付録 B「アプリケーションのカテゴリ、サブカテゴリ、テクノロジ、特徴」 — Palo Alto Networks が定義しているアプリケーションカテゴリの一覧を示します。

• 付録 C「FIPS140-2 のサポート」 — FIPS 140-2 のファイアウォールサポートについて説明し

ます。

• 付録 D「オープンソースライセンス」 — 関連するオープンソースライセンスに関する情報

が含まれています。

Palo Alto Networks 序章 • 15

表記規則

表記規則

このガイドでは、特殊な用語と手順に以下の表記規則を使用します。

メモと警告

このガイドでは、以下の記号でメモと警告を表します。

関連ドキュメント

このファイアウォールには以下のドキュメントが同梱されています。

• 『Quick Start (クイックスタート )』

• 『Palo Alto Networks License Agreement and Warranty (Palo Alto Networks 利用許諾契約

および保証書 )』

その他の関連ドキュメントは、https://live.paloaltonetworks.com/community/documentationを参照してください。

規則意味例

太字コマンド名、キーワード、Web インター

フェイスで選択可能な項目

セキュリティルールページを開くには、

[ セキュリティ ] をクリックします。

斜体パラメータ名、ファイル名、ディレク

トリ名、URLPalo Alto Networks のホームページのア

ドレスは、

http://www.paloaltonetworks.comです。

クーリエ体コード例、ユーザーがコマンドプロン

プトに入力したテキスト

以下のコマンドを入力します。

set deviceconfig system dns-

settings

クリック左マウスボタンのクリック [Devices] タブの [ 管理者 ] をクリックし

ます。

右クリック右マウスボタンのクリックコピーするルールの番号を右クリックし

て、[ ルールのコピー ] を選択します。

記号説明

メモ

役に立つ提案や補足情報です。

警告

データ損失を引き起こす可能性のあるアクションを示します。

https://live.paloaltonetworks.com/community/documentation

関連ドキュメント

16 • 序章 Palo Alto Networks

Palo Alto Networks はじめに • 17

第 1 章

はじめに

この章では、ファイアウォールの概要について説明します。

• 次のセクションの「ファイアウォールの概要」

• 18 ページの「機能と利点」

• 19 ページの「管理インターフェイス」

ファイアウォールの概要

Palo Alto Networks ファイアウォールでは、ネットワークにアクセスしようとしている各アプリ

ケーションを正確に識別し、その識別に応じたセキュリティポリシーを指定できます。プロトコ

ルとポート番号のみでアプリケーションを識別する従来型のファイアウォールとは異なり、パケッ

ト検査とアプリケーションシグネチャのライブラリを使用することで、使用するプロトコルとポー

ト番号が同じアプリケーションを区別し、危害を及ぼす可能性がある、標準以外のポート番号を使

用するアプリケーションを識別できます。

たとえば、ポート 80番を使用するすべての接続に対して同じポリシーを適用するのではなく、ア

プリケーション毎にセキュリティポリシーを定義できます。識別した各アプリケーションに対して

は、送信元および宛先のゾーンとアドレスに基づき、トラフィックをブロックするセキュリティポ

リシー、または許可するセキュリティポリシーを指定できます。各セキュリティーポリシーは、

ウィルス、スパイウェアや他の脅威から守るために、セキュリティプロファイルを指定することも

できます。

機能と利点

18 • はじめに Palo Alto Networks

機能と利点

このファイアウォールでは、ネットワークへのアクセスを許可されたトラフィックを詳細に制御で

きます。主な機能と利点は、以下のとおりです。

• アプリケーションベースでのポリシーの適用 — アプリケーションを、プロトコルとポート番

号以外の情報も使用して識別するため、アプリケーション毎に、より効果的なアクセス制御が

可能です。リスクが高いアプリケーションやファイル共有などのリスクの高い操作をブロック

できます。Secure Socket Layer (SSL) プロトコルで暗号化されたトラフィックの暗号を解読

して検査できます。

• ユーザー ID — ユーザー ID により管理者は、ネットワークゾーンとアドレスの代わりに (またはこれらに加えて )、ユーザーとユーザーグループに基づいてファイアウォールポリシーを

設定および適用できます。ファイアウォールは、Microsoft Active Directory、eDirectory、SunOne、OpenLDAP、および他のほとんどの LDAP ベースのディレクトリサーバーなど、

多くのディレクトリサーバーと通信して、ユーザーとグループの情報をファイアウォールに

提供できます。この情報を使用して保護された状態でアプリケーションを有効にするという優

れた方法を実現でき、ユーザーまたはグループ単位で定義することができます。たとえば管理

者は、会社内の 1 つの組織に、ある Web ベースのアプリケーションの使用を許可し、他の組

織でそのアプリケーションを使用できないようにすることが可能です。また、ユーザーおよび

グループに基づいてアプリケーションの特定のコンポーネントをよりきめ細かく制御するよ

うに設定することもできます。281 ページの「ユーザー識別のためのファイアウォール設定」

を参照してください。

• 脅威防御 — ウイルス、ワーム、スパイウェア、およびその他の悪意のあるトラフィックから

ネットワークを保護する脅威への対策サービスを、アプリケーションとトラフィックの送信元

毎に変えることができます (210 ページの「セキュリティプロファイル」を参照 )。

• URL フィルタリング — 送信コネクションをフィルタリングして、不適切な Web サイトへの

アクセスを止められます (217 ページの「URL フィルタリングプロファイル」を参照 )。

• トラフィックの可視性 — 幅広いレポート、ログ、および通知メカニズムにより、ネットワー

クアプリケーショントラフィックとセキュリティイベントを詳細に観察できます。Web インターフェイスの Application Command Center (ACC) を使用して、トラフィック量が大

のアプリケーションや、セキュリティリスクがも高いアプリケーションを特定します

(251 ページの「レポートとログ」を参照 )。

• 多機能なネットワーキングと速度 — このファイアウォールは、既存のファイアウォールを補

完したり、置き換えたりできます。また、どのネットワークにも透過的にインストールでき、

スイッチまたはルーティング環境をサポートするように設定できます。マルチギガビットの速

度と単一パスのアーキテクチャを実現しているため、すべてのサービスでネットワークに遅延

は発生しません。

• GlobalProtect — GlobalProtect は、世界中のどこからでも簡単かつ安全にログインできるよ

うにすることで、現場で使用されるノートパソコンなどのクライアントシステムでセキュリ

ティを確保します。

• フェールセーフ機能 — 高可用性のサポートにより、ハードウェアやソフトウェアに障害が発

生した場合に自動的にフェイルオーバーされます (105 ページの「ファイアウォールの HA の有効化」を参照 )。

Palo Alto Networks はじめに • 19

管理インターフェイス

• マルウェアの分析とレポート — WildFire は、ファイアウォールを通過するマルウェアの詳細

な分析とレポートを提供します。

• VM-Series ファイアウォール — 仮想化データセンター環境で使用するように位置付けられ

た PAN-OS の仮想インスタンスで、特に専用およびパブリッククラウドの導入に適です。

Palo Alto Networks のハードウェアを導入しなくても、VMware ESXi を実行可能な x86 デバイスすべてにインストールできます。

• 管理および Panorama — 各ファイアウォールを直観的にわかる Web インターフェイスまた

はコマンドラインインターフェイス (CLI) によって管理するか、またはすべてのデバイスを、

デバイス Web インターフェイスに非常によく似た Panorama 中央管理システムで一元的に

管理することができます。


ファイアウォールでは、以下の管理インターフェイスがサポートされています。サポートされてい

るブラウザのリストについては、27 ページの「サポート対象のブラウザ」を参照してください。

• Web インターフェイス — Web ブラウザから HTTP または HTTPS 経由で設定とモニタリン

グを行います。

• CLI — Telnet、セキュアシェル (SSH)、またはコンソールポート経由でテキストベースの設

定とモニタリングを行います (『PAN-OS Command Line Interface Reference Guide (PAN-OS コマンドラインインターフェイスリファレンスガイド )』を参照 )。

• Panorama — 複数のファイアウォールを Web ベースで管理し、レポートし、ログを記録する

Palo Alto Networks 製品です。Panorama インターフェイスは、デバイスの Web インター

フェイスに似ています。ただし、いくつかの管理機能が追加されています。Panorama のイン

ストール手順の詳細は 377 ページの「Panorama のセットアップ」を、Panorama の使用方

法の詳細は 387 ページの「Panorama を使用したデバイス中央管理」を参照してください。

• Simple Network Management Protocol (SNMP) — RFC 1213 (MIB-II) および RFC 2665(Ethernet インターフェイス ) でのリモートモニタリング、また１つ以上のトラップ受信装置

に対する SNMP トラップの生成をサポートします。 (78 ページの「SNMP トラップの宛先の

設定」を参照 )。

• Syslog — 1 つ以上のリモート Syslog サーバー宛てにメッセージを生成します (80 ページの

「Syslog サーバーの設定」を参照 )。

• XML API — ファイアウォールからデバイス設定、動作ステータス、レポート、およびパケッ

トキャプチャにアクセスするための Representational State Transfer (REST) ベースのイン

ターフェイスを提供します。ファイアウォールで使用可能な API ブラウザがあります (https://<firewall>/api)。ここで、<firewall> は、ファイアウォールのホスト名または IP アドレスです。

このリンクは、API コールのそれぞれのタイプで必要とされるパラメータのヘルプを提供し

ます。XML API 利用ガイドは、http://live.paloaltonetworks.com の DevCenter オンラインコミュニティで利用できます。

http://live.paloaltonetworks.com


20 • はじめに Palo Alto Networks

Palo Alto Networks スタートガイド • 21

第 2 章

スタートガイド

この章では、ファイアウォールのセットアップ方法と使用開始手順について説明します。

• 次のセクションの「ファイアウォールの準備」

• 22 ページの「ファイアウォールのセットアップ」

• 23 ページの「ファイアウォール Web インターフェイスの使用」

• 28 ページの「ファイアウォール設定でのヘルプの表示」

ファイアウォールの準備

ファイアウォールをセットアップする前に、以下の準備作業を実行します。

1. 『Hardware Reference Guide (ハードウェアリファレンスガイド )』の説明に従って、ラック

にファイアウォールを設置し、電源をオンにします。

2. https://support.paloaltonetworks.com でファイアウォールを登録して、新のソフトウェアと

App-ID 更新を取得し、電子メールで送られている認証コードを利用してサポートまたは契約

をアクティベーションします。

3. ファイアウォールの管理ポートを設定するために、ネットワーク管理者から IP アドレスを取

得します。

注：Panorama 中央管理システムのインストール手順の詳細は、377 ページの

「Panorama のセットアップ」を参照してください。

ファイアウォールのセットアップ

22 • スタートガイド Palo Alto Networks

ファイアウォールのセットアップ

ファイアウォールの初期セットアップを実行するには、以下の手順を実行します。

1. RJ-45 Ethernet ケーブルを使用して、コンピュータをファイアウォールの管理ポート (MGT)に接続します。

2. コンピュータを起動します。192.168.1.0 ネットワークにあるコンピュータに、ネットマスク

255.255.255.0 を使用してスタティック IP アドレスを割り当てます (たとえば、192.168.1.5)。

3. サポート対象の Web ブラウザを起動し、「https://192.168.1.1」と入力します。

Palo Alto Networks のログインページが自動的に開きます。

4. [ 名前 ] と [ パスワード ] の両方に「admin」と入力して、[ ログイン ] をクリックします。デ

フォルトのパスワードを変更する必要があるという警告が表示されます。[OK] クリックして

続行します。

5. [Device] タブで、[セットアップ ] を選択して、以下の内容 (Web インターフェイスの設定を

設定する一般的な手順については、23 ページの「ファイアウォール Web インターフェイスの

使用」を参照 ) を設定します。

– [管理インターフェイス設定 ] の下の [管理 ] タブで、ファイアウォールの IP アドレス、ネッ

トマスク、およびデフォルトのゲートウェイを入力します。

– [サービス ] タブで、Domain Name System (DNS) サーバーの IP アドレスを入力します。

Network Time Protocol (NTP) サーバーの IP アドレス、またはホストとドメイン名を入

力し、タイムゾーンを選択します。

– サイドメニューで [サポート ] をクリックします。

社内で Palo Alto Networks ファイアウォールを初めて使用する場合は、[デバイスの登録

] をクリックし、ファイアウォールを登録します。(すでにファイアウォールを登録してい

る場合は、ユーザー名とパスワードを受け取っているはずです )。[認証コードを使用したサポートのアクティベーション ] リンクをクリックして、オプショ

ン機能で使用する電子メールで送られている認証コードを入力します。複数の認証コード

がある場合はスペースで区切ります。

6. [Devices] タブの [管理者 ] をクリックします。

7. [admin] をクリックします。

8. [新しいパスワード ] と [再入力新しいパスワード ] フィールドに、大文字、小文字を区別して

パスワード ( 大 15 文字 ) を入力し、確認します。

9. [OK] をクリックして、新しいパスワードを入力します。

10. 設定をコミットしてこれらの設定項目をアクティブにします。変更がコミットされると、ファ

イアウォールにステップ 5 で割り当てられた IP アドレスを介して到達できるようになりま

す。変更のコミットの詳細は、25 ページの「変更のコミット」を参照してください。

注：工場出荷時、または工場出荷時の状態に戻した後のデフォルト設定は

Ethernet ポート 1 と 2 の間のバーチャルワイヤーであり、インバウンドトラ

フィックをすべて拒否するとともにアウトバウンドトラフィックをすべて許

可するデフォルトポリシーが設定されています。


ファイアウォール Web インターフェイスの使用


ファイアウォールインターフェイスの使用操作には、以下の原則が適用されます。

• 一般的な機能カテゴリのメニュー項目を表示するには、ブラウザウィンドウの上部近くにあ

る [Objects] や [Devices] など、該当するタブをクリックします。

• パネルを表示するには、サイドメニューで項目をクリックします。

• サブメニュー項目を表示するには、項目の左にあるアイコンをクリックします。サブメ

ニュー項目を非表示にするには、項目の左にあるアイコンをクリックします。

• ほとんどの設定ページで、[追加 ] をクリックして新規項目を作成できます。

• 1 つ以上の項目を削除するには、項目のチェックボックスをオンにして [削除 ] をクリックし

ます。ほとんどの場合、[OK] をクリックして削除を確認するか、[キャンセル ] をクリックし

て削除をキャンセルするようにメッセージが表示されます。

• 一部の設定ページでは、項目のチェックボックスをオンにして [ コピー ] をクリックすると、

選択した項目と同じ情報で新規項目を作成できます。



• 項目を変更するには、下線の付いたリンクをクリックします。

• ページのヘルプ情報を表示するには、ページの右上エリアにある [ヘルプ ] アイコンをクリッ

クします。

• タスクの現在のリストを表示するには、ページの右下隅の [タスク ] アイコンをクリックしま

す。[ タスクマネージャ ] ウィンドウが開き、ステータス、開始時刻、関連付けられたメッ

セージ、およびアクションと共にタスクのリストを表示します。[表示 ] ドロップダウンリス

トを使用してタスクのリストをフィルタリングします。

• Web インターフェイス言語は、特定の優先言語が定義されていない場合、デバイスを管理し

ているコンピュータの現在の言語に従います。たとえば、ファイアウォールの管理に使用する

コンピュータのロケールがスペイン語の場合、そのファイアウォールにログインするときの

Web インターフェイスはスペイン語で表示されます。

コンピュータのロケールに関係なく所定のアカウントでいつも使用する言語を指定するには、

ページの右下にある [言語 ] アイコンをクリックして [言語設定 ] ウィンドウを開きます。ドロッ

プダウンリストをクリックして目的の言語を選択し、[OK] をクリックして変更を保存します。

注：オンデバイスヘルプシステムは、現在のところ英語のみでの提供です。他

の言語でヘルプの内容すべてを表示するには、『Palo Alto Networks 管理者ガ

イド』(https://live.paloaltonetworks.com/community/documentation) を参照してください。





• 変更できる情報を表示するページで ( たとえば、[Devices] タブの [ セットアップ ] ページ )、セクションの右上隅のアイコンをクリックして、設定を編集します。

• 設定を行った後は、[OK] または [保存 ] をクリックして変更を保存する必要があります。[OK]をクリックすると、現在の「候補」設定が更新されます。

変更のコミットWeb インターフェイスの上部で [コミット ] をクリックして、[コミット ] ダイアログボックスを

開きます。

[コミット ] ダイアログボックスでは、以下のオプションを使用できます。必要な場合は、[詳細 ] リンクをクリックして、オプションを表示します。

– デバイスとネットワーク設定を含める — コミット操作にデバイスおよびネットワークの

設定変更を含めます。

– 共有オブジェクト設定を含める — (マルチ仮想システムファイアウォールのみ ) コミット

操作に共有オブジェクトの設定変更を含めます。

– ポリシーとオブジェクト設定を含める — ( 非マルチ仮想システムファイアウォールのみ )コミット操作にポリシーとオブジェクトの設定変更を含めます。



– 仮想システム設定を含める — すべての仮想システムを含めるか、[1 つ以上の仮想システ

ムを選択します ] を選択します。

変更のコミットの詳細は、36 ページの「操作設定の定義」を参照してください。

– プレビューの変更 — 候補設定で提案される変更点が現在の実行中の設定と比較表示され

る 2 ペインウィンドウを表示するには、このボタンをクリックします。表示する行数を選

択するか、すべての行を表示できます。変更点は、追加、修正、または削除された項目に

応じて色分けされます。

[Device] > [設定監査 ] でも同じ機能が実行されます。49 ページの「設定ファイルの比較」


設定ページへの移動このガイドの各設定セクションには、設定ページへのメニューパスが記載されています。たとえ

ば、[脆弱性防御 ] ページを表示するには、[Objects] タブを選択してから、サイドメニューの [セキュリティプロファイル ] の下で [脆弱性防御 ] を選択します。このガイドでは、この操作は以下

のパスで示されます。

[Objects] > [セキュリティプロファイル ] > [脆弱性防御 ]

設定ページのテーブルの使用設定ページのテーブルには、ソートおよび列を選択するオプションが含まれます。列ヘッダーをク

リックしてその列をソートしてから、もう一度クリックしてソート順序を変更します。任意の列の

右にある矢印をクリックし、表示する列を選択するために、チェックボックスをオンにします。

必須フィールド必須フィールドは、淡い黄色の背景で表示されます。フィールドの入力領域をポイントまたはク

リックすると、フィールドが必須であることを示すメッセージが表示されます。



トランザクションのロックWeb インターフェイスは複数の管理者に対応しており、ある管理者が現在の一連のトランザク

ションをロックすると、別の管理者はロックが解除されるまで設定変更やコミット操作ができなく

なります。以下のタイプのロックがサポートされています。

• コンフィグロック — 他の管理者が設定を変更できないようにブロックします。このタイプの

ロックは、グローバルに設定することも、1 つの仮想システムに設定することもできます。こ

のロックを解除できるのは、ロックを設定した管理者またはシステムのスーパーユーザーだけ

です。

• コミットロック — すべてのロックが解除されるまで他の管理者が変更をコミットできない

ようにブロックします。このタイプのブロックでは、2 人の管理者が同時に変更を行い、2 番目の管理者が変更を完了させる前に初の管理者が変更を完了させてコミットするときに生

じる可能性がある競合を回避します。ロックは、ロックを適用した管理者によって現在の変更

がコミットされたときに解除されます。または手動で解除することもできます。

どの管理者でもロックウィンドウを開いて、ロックされている現在のトランザクションを表示で

きます。これは、それぞれのタイムスタンプと共に表示されます。

トランザクションをロックするには、上部のバーにあるロック解除アイコンをクリックして

[ロック ] ダイアログボックスを開きます。[ロック設定 ] をクリックし、ドロップダウンリストか

らロックの範囲を選択して [OK] をクリックします。必要に応じてロックを追加し、[ 閉じる ] をクリックして [ロック ] ダイアログボックスを閉じます。

トランザクションがロックされて、上部のバーにあるアイコンがロックアイコンに変わり、ロッ

クされている項目の数がかっこ内に表示されます。

トランザクションのロックを解除するには、上部のバーにあるロックアイコンをクリックし

て [ロック ] ウィンドウを開きます。解除するロックのアイコンをクリックし、[Yes] をクリッ

クして確定します。[閉じる ] をクリックして、[ロック ] ダイアログボックスを閉じます。

コミットロックを自動実施するには、[Device] タブの [セットアップ ] ページの [管理 ] 領域にあ

る [コミットロックの自動実施 ] チェックボックスをオンにします。30 ページの「システムセッ

トアップ、設定、およびライセンス管理」を参照してください。

サポート対象のブラウザファイアウォール Web インターフェイスのアクセスでは、以下の Web ブラウザがサポートされ

ています。

• Internet Explorer 7+

• Firefox 3.6+

• Safari 5+

• Chrome 11+

ファイアウォール設定でのヘルプの表示


ファイアウォール設定でのヘルプの表示

このセクションの情報を使用して、ファイアウォール使用時にヘルプを表示します。

詳細情報についてこのファイアウォールに関する詳細は、以下の情報を参照してください。

• 一般的な情報 — http://www.paloaltonetworks.com

• オンラインヘルプ — Web インターフェイスの右上隅にある [ヘルプ ] をクリックするとオン

ラインヘルプを参照できます。

• ヒント、スクリプト、およびシグネチャを共有するために顧客 /パートナが交流して協力する

分野 — https://live.paloaltonetworks.com/community/devcenter

テクニカルサポートテクニカルサポートが必要な場合は、お買い求めの販売代理店までお尋ねください。

• KnowledgePoint オンラインサポートコミュニティ : http://live.paloaltonetworks.com

• Web サイト : https://support.paloaltonetworks.com

http://www.paloaltonetworks.com

Palo Alto Networks デバイス管理 • 29

第 3 章

デバイス管理

この章では、ファイアウォールの基本的なシステム設定方法と管理方法を説明します。また、仮想

システム、高可用性、およびログ機能についても概説します。

• 次のセクションの「システムセットアップ、設定、およびライセンス管理」

• 49 ページの「設定ファイルの比較」

• 50 ページの「ライセンスのインストール」

• 51 ページの「PAN-OS ソフトウェアのアップグレードとダウングレード」

• 57 ページの「脅威およびアプリケーションの定義の更新」

• 58 ページの「管理者ロール、プロファイル、およびアカウント」

• 64 ページの「認証プロファイル」

• 70 ページの「認証シーケンス」

• 92 ページの「証明書プロファイル」

• 72 ページの「ファイアウォールログ」

• 78 ページの「SNMP トラップの宛先の設定」

• 80 ページの「Syslog サーバーの設定」

• 86 ページの「電子メール通知設定の指定」

• 87 ページの「アラームの表示」

• 88 ページの「Netflow 設定の設定」

• 89 ページの「セキュリティ証明書のインポート、エクスポート、および生成」

• 96 ページの「高可用性」

• 113 ページの「仮想システム」

• 117 ページの「カスタムレスポンスページの定義」

• 119 ページの「サポート情報の表示」

システムセットアップ、設定、およびライセンス管理

30 • デバイス管理 Palo Alto Networks


以下のセクションでは、ネットワーク設定の定義方法とファイアウォール設定の管理方法について

説明します。

• 次のセクションの「管理設定の定義」

• 36 ページの「操作設定の定義」

• 40 ページの「サービス設定の定義」

• 43 ページの「コンテンツ ID 設定の定義」

• 45 ページの「セッション設定の定義」

• 47 ページの「SNMP」

• 48 ページの「統計サービス」

• 50 ページの「ライセンスのインストール」

管理設定の定義[Device] > [セットアップ ] > [管理 ]

[セットアップ ] ページでは、ファイアウォールの管理、操作、サービス、コンテンツ識別、WildFireマルウェア分析およびレポート、およびセッションの動作を設定できます。

管理ポートを使用しない場合、ループバックインターフェイスを定義して、ループバックインター

フェイスの IP アドレスを介してファイアウォールを管理できます (147 ページの「ループバック

インターフェイスの設定」を参照 )。

必要に応じて、このページで以下の作業を実行します。

• ホスト名またはネットワーク設定を変更するには、ページの初のテーブルで [編集 ] をクリッ

クし、以下の情報を指定します。

注：[WildFire] タブ設定の設定の詳細は、425 ページの「WildFire の設定」を

参照してください。

表 1. 管理設定

項目説明

一般設定

ホスト名ホスト名 ( 大 31 文字 ) を入力します。名前の大文字と小文字は区別されま

す。また、一意の名前にする必要があります。文字、数字、スペース、ハイ

フン、およびアンダースコアのみを使用してください。

ドメインファイアウォールの完全修飾ドメイン名 (FQDN) を入力します ( 大 31 文字)。

ログインバナーファイアウォールの [ ログイン ] ページに表示されるカスタムテキストを入

力します。このテキストは、[名前 ] フィールドと [パスワード ] フィールドの

下に表示されます。



タイムゾーンファイアウォールのタイムゾーンを選択します。

表示言語ドロップダウンリストから、PDF レポートの言語を選択します。270 ページ

の「PDF サマリーレポートの管理」を参照してください。

Web インターフェイスに特定の言語設定が設定されている場合でも、PDF レポートではこの表示言語の設定で指定した言語が使用されます。23 ページの

「ファイアウォール Web インターフェイスの使用」の言語設定を参照してく

ださい。

日時ファイアウォールの日時を設定するには、[Set Time] をクリックします。現

在の日付 (YYYY/MM/DD) を入力するか、カレンダーアイコンをクリッ

クして月と日にちを選択します。現在の時刻を 24 時間形式 (HH:MM:SS)で入力します。[Device] > [セットアップ ] > [サービス ] から NTP サーバー

を定義することもできます。

シリアル番号 (Panorama のみ ) ファイアウォールのシリアル番号を入力します。

デバイス稼働場所ファイアウォールの緯度 (-90.0 ～ 90.0) と経度 (-180.0 ～ 180.0) を入力します。

コミットロックの自動

実施

候補設定を変更するときにコミットロックを自動的に適用します。詳細は、

27 ページの「トランザクションのロック」を参照してください。

証明書有効期限チェックデバイス内の証明書が有効期限に近くなったときに警告メッセージを作成す

るようにファイアウォールに指示します。

マルチ仮想システム機能複数の仮想システム ( ファイアウォールモデルでサポートされている場合 )を使用できるようにするには、[ セットアップ ] ページの上部にある [ マルチ

仮想システム機能 ] の [編集 ] をクリックします。チェックボックスをオンに

して [OK] をクリックします。仮想システムの詳細は、113 ページの「仮想シ

ステム」を参照してください。

認証設定

認証プロファイル管理者がファイアウォールへのアクセスに使用する認証プロファイルを選択

します。認証プロファイルの設定手順の詳細は、65 ページの「認証プロファ

イルのセットアップ」を参照してください。

証明書プロファイルファイアウォールへの管理者アクセスに使用する証明書プロファイルを選択

します。証明書プロファイルの設定手順の詳細は、92 ページの「証明書プロ

ファイル」を参照してください。

アイドルタイムアウトタイムアウト間隔 (1 ～ 1440 分 ) を入力します。値を 0 にすると、管理、Web、または CLI のセッションがタイムアウトしなくなります。

許容ログイン回数Web インターフェイスや CLI の大ログイン試行回数 (1 ～ 10、デフォルト

は 0) を入力します。(1 ～ 10、デフォルトは 0)。0 にすると、無制限になります。

ロックアウト時間大試行回数に達したときのユーザーのロックアウト時間 (0 ～ 60 分 ) を入

力します。デフォルトは 0 で、試行回数に上限はありません。

表 1. 管理設定（続き）

項目説明



Panorama 設定

Panorama サーバー Palo Alto Networks の中央管理システムである Panorama の IP アドレスを

入力します (存在する場合 )。Panorama を使用してデバイスを管理するには、

サーバーのアドレスが必要です。

注：Panorama が管理対象ファイアウォールに適用するポリシーを削除する

には、[Panorama ポリシーとオブジェクトを無効にする ] リンクをクリック

します。ポリシーとオブジェクトを Panorama から削除する前にローカルコピーをデバイスに保存する場合は、開いているダイアログボックスの [ 無効

にする前に Panorama ポリシーとオブジェクトをインポート ] チェックボッ

クスをオンにします。[OK] をクリックします。

注 : [インポート ] チェックボックスをオンにすると、ポリシーとオブジェク

トが現在の候補設定にコピーされます。この設定をコミットすると、ポリシー

とオブジェクトは設定の一部となり、Panorama による管理の対象外となり

ます。

デバイスおよびネットワークテンプレートを削除するには、[デバイスとネッ

トワークテンプレートを無効にする ] リンクをクリックします。デバイスと

ネットワークテンプレートのローカルコピーを保持する場合は、開いている

ダイアログボックスの [デバイスとネットワークテンプレートを無効にする

] チェックボックスをオンにし、[OK] をクリックします。

[インポート ] チェックボックスをオンにすると、デバイスとネットワークテンプレートで定義された設定が現在の候補設定にコピーされます。この設定

をコミットすると、これらの項目は設定の一部となり、Panorama による管

理の対象外となります。[デバイスとネットワークテンプレートを有効にする

] をクリックするまで、テンプレートはデバイスで受け入れられません。

Panorama サーバー 2 Panorama が高可用性 (HA) モードで動作している場合、HA 設定に含まれる

2 番目の Panorama システムを指定します。

Panorama へのデータ受

信のタイムアウト

Panorama から TCP メッセージを受信するときのタイムアウト (1 ～ 120 秒、

デフォルトは 20 秒 ) を入力します。

Panorama へのデータ送

信のタイムアウト

Panorama に TCP メッセージを送信するときのタイムアウト (1 ～ 120 秒、デ

フォルトは 20 秒 ) を入力します。

Panorama に送信される

SSL のカウントの再試行

Panorama に s レイヤー (SSL) メッセージを送信するときの再試行回数 (1 ～64、デフォルトは 25) を入力します。

未使用のアドレスとサー

ビスオブジェクトをデバ

イスと共有

(Panorama のみ )

すべての Panorama 共有オブジェクトおよびデバイスグループ固有のオブ

ジェクトを管理対象デバイスで共有するには、このチェックボックスをオン

にします。オフにすると、Panorama ポリシーのアドレス、アドレスグルー

プ、サービス、およびサービスグループオブジェクトへの参照がチェックさ

れ、参照されないオブジェクトは共有されません。このオプションにより、オ

ブジェクトの合計数を削減するために、必要なオブジェクトのみが管理対象

デバイスに送信されます。


項目説明



共有オブジェクトが優先

されます

(Panorama のみ )

共有オブジェクトがデバイスグループオブジェクトよりも優先されること

を指定するには、このチェックボックスをオンにします。このオプションは

システム全体の設定であり、デフォルトではオフになっています。このオプ

ションをオフにすると、デバイスグループによって同じ名前の対応するオブ

ジェクトがオーバーライドされます。このオプションがオン (選択 ) になって

いると、デバイスグループによって共有の場所にある同じ名前の対応するオ

ブジェクトがオーバーライドされず、共有オブジェクトとしての同じ名前の

デバイスグループオブジェクトは廃棄されます。

管理インターフェイス設定

速度管理インターフェイスのデータ速度とデュプレックスオプションを設定しま

す。フルデュプレックスまたはハーフデュプレックスで、10Mbps、100Mbps、1Gbps のいずれかを選択できます。ファイアウォールにインター

フェイス速度を決定させるには、デフォルトのオートネゴシエート設定を使

用します。

この設定は、隣接するネットワーク機器のポート設定と一致する必要があり

ます。

IP アドレス管理ポートの IP アドレスを入力します。または、ループバックインターフェ

イスの IP アドレスを使用してデバイスを管理することもできます。このアド

レスは、リモートログの送信元アドレスとして使用されます。

ネットマスク IP アドレスのネットワークマスク (「255.255.255.0」など ) を入力します。

デフォルトゲートウェイデフォルトルータの IP アドレスを入力します (管理ポートと同じサブネット

にする必要があります )。

IPv6 アドレス/プレ

フィックス

( 任意 ) 管理ポートの IPv6 アドレスを入力します。ネットマスクを示すため

に、IPv6 プレフィックスの長さが必要です (たとえば、2001:400:f00::1/64)。

デフォルト IPv6 ゲート

ウェイ

管理ポートに IPv6 アドレスを割り当てた場合、デフォルトルータの IPv6 アドレスを入力します (管理ポートと同じサブネットにする必要があります )。

サービス指定した管理インターフェイスのアドレスで有効にするサービス (HTTP、HTTPS、Telnet、Secure Shell (SSH)、ping) を選択します。

アクセス許可 IP アドレスファイアウォール管理が許可される IP アドレスのリストを入力します。

ロギングおよびレポート

設定

ログ保存エリアハードディスクの各ログタイプに割り当てる容量のパーセンテージを指定

します。

パーセント値を変更する場合、関連付けられたディスクの割り当ては自動的

に変更します。すべての値の合計が 100% を超える場合、ページ上にメッセー

ジが赤で表示され、設定を保存しようとするときにエラーメッセージが提示

されます。これが発生する場合、合計が 100% の上限を超えないようにパー

センテージを再調整します。

[OK] をクリックして設定を保存し、[デフォルトの復元 ] をクリックして、す

べてのデフォルト設定を復元します。

注：ログが大サイズに達すると、も古いエントリから上書きが始まりま

す。既存のログを現在のサイズよりも小さくサイズ変更する場合、その変更

をコミットした直後にファイアウォールによってログの削減が開始されます

( も古いログが初に削除されます )。

ユーザーアクティビティ

レポートの大行数

詳細なユーザーアクティビティレポートでサポートされる大行数 (1 ～1048576、デフォルトは 65535) を入力します。


項目説明



CSV エクスポートの大

行数

トラフィックログビューの [CSV にエクスポート ] アイコンで生成される

CSV レポートに表示される大行数 ( 範囲は 1 ～ 1048576、デフォルトは

65535) を入力します。

設定監査のバージョン数保存可能な設定監査のバージョン数を入力します ( デフォルトは 100)。この

数を超えるとも古いバージョンが廃棄されます。

設定バックアップのバー

ジョン数

(Panorama のみ ) 保存可能な設定バックアップ数を入力します ( デフォルト

は 100)。この数を超えるとも古い設定バックアップが廃棄されます。

平均ブラウズ時間 (秒 ) 「ユーザーアクティビティレポート」のブラウズ時間計算方法を調整するに

は、この変数を設定します。

計算対象としては、Web 広告やコンテンツ配信ネットワークとして分類され

たサイトは無視されます。ブラウズ時間の計算は、URL フィルタリングログ

に記録されたコンテナページに基づきます。計算に含めるべきではない外部

サイトからコンテンツをロードするサイトが多くあるため、コンテナページ

がこの計算の基準として使用されます。コンテナページの詳細は、44 ページ

の「コンテナページ」を参照してください。

平均ブラウズ時間の設定は、管理者が想定するユーザーが Web ページを閲覧

する平均時間です。平均ブラウズ時間が経過した後に行われたリクエストは、

新しいブラウズアクティビティと見なされます。計算対象からは、初のリ

クエスト時間 (開始時間) から平均ブラウズ時間までの間にロードされる新し

い Web ページは無視されます。この動作は、任意の Web ページ内にロード

される外部サイトを除外するために設計されています。

たとえば、平均ブラウズ時間が 2 分に設定されている場合は、ユーザーが

Web ページを開き、そのページを 5 分間閲覧しても、そのページのブラウズ

時間は 2 分になります。ユーザーがあるページを閲覧する時間を判断する方

法がないため、このような動作が設定されています。

(範囲は 0 ～ 300 秒、デフォルトは 60 秒 )

ページロードしきい値 (秒) 「ユーザーアクティビティレポート」のブラウズ時間計算方法を調整するに

は、この変数を設定します。

このオプションを使用すると、ページ要素がページにロードされるまでの推

定時間を調整できます。初のページのロードからページロードしきい値ま

での間に発生するリクエストは、ページの要素と見なされます。ページロー

ドしきい値の範囲外で発生するリクエストは、ページ内のリンクをユーザー

がクリックしたものと見なされます。

(範囲は 0 ～ 60 秒、デフォルトは 20 秒 )

Syslog メッセージ内にホ

スト名を含める

Syslog メッセージでデバイスのホスト名フィールドを送信するには、この

チェックボックスをオンにします。

このオプションが設定されている場合、Syslog メッセージのヘッダーにファ

イアウォールデバイスのホスト名が含まれます。

LogDb 容量超過時ト

ラフィック転送を停止

ログデータベースに空きがない場合にファイアウォール経由のトラフィック

を停止するには、このチェックボックスをオンにします (デフォルトはオフ)。

DP 高負荷時にログを有効

にする

デバイスの負荷が大きい場合にシステムログエントリが生成されるように

するには、このチェックボックスをオンにします (デフォルトはオフ )。


項目説明



パスワード複雑性設定

有効ローカルアカウントのパスワードの小要件を有効にします。この機能を使

用すると、定義されたパスワード要件が、ファイアウォールのローカル管理

者アカウントで確実に順守されます。

これらのオプションのサブセットを使用したパスワードプロファイルを作成

し、設定をオーバーライドしたり、特定のアカウントに適用したりすること

もできます。詳細は、61 ページの「パスワードプロファイルの定義」を参照

してください。アカウントで使用できる有効な文字の詳細は、59 ページの

「ユーザー名とパスワードの要件」を参照してください。

注 : 入力できるパスワードの大文字数は 31 です。要件を設定するときには、

許容されない組み合わせを作成しないようにしてください。たとえば、大文

字 10 個、小文字 10 個、数字 10 個、特殊文字 10 個の要件は、大文字数の

31 を超えるため、設定できません。

注 : 高可用性 (HA) を設定してある場合は、パスワード複雑性のオプションを

設定するときに必ずプライマリデバイスを使用し、変更を加えた後にすぐに

コミットしてください。

少文字数少で 1 ～ 15 文字が必要です。

少大文字数少で 0 ～ 15 文字の大文字が必要です。

少小文字数少で 0 ～ 15 文字の小文字が必要です。

少数字数少で 0 ～ 15 文字の数字が必要です。

少特殊文字数少で 0 ～ 15 文字の特殊文字 (英数字以外 ) が必要です。

繰り返し文字のブロック指定した値に基づいて繰り返し文字を禁止します。たとえば、値を「4」に設

定する場合、「test2222」というパスワードは受け入れられませんが、「test222」は受け入れられます (範囲は 2 ～ 15)。

ユーザー名を含むパス

ワードを禁止 (逆順を含む)アカウントユーザー名 ( または名前の逆読みバージョン ) がパスワードで使

用されないようにするには、このチェックボックスをオンにします。

文字が異なる新規パス

ワード

管理者が自分のパスワードを変更するときに、文字は指定した値によって異

なる必要があります。

初回ログイン時にパス

ワードの変更を要求

管理者がデバイスに初めてログインするときにパスワードの変更を求めるプ

ロンプトを表示するには、このチェックボックスをオンにします。

パスワードの再使用禁止

制限

指定した数に基づいて、以前のパスワードを再使用しないように要求します。

たとえば、値を「4」に設定すると、直近のパスワード 4 つを再使用すること

ができません (範囲は 0 ～ 50)。

パスワード変更期間のブ

ロック (日 )指定した日数が経過するまで、ユーザーはパスワードを変更できません (範囲

は 0 ～ 365 日 )。

パスワード有効期限 (日数) 設定された日数 (0 ～ 365 日 ) で指定されたとおりに、管理者は定期的にパス

ワードを変更する必要があります。たとえば、値を「90」に設定すると、管

理者に 90 日ごとにパスワードの変更を求めるプロンプトが表示されます。

失効の警告を 0 ～ 30 日の範囲で設定して猶予期間を指定することもできます。

失効の警告期間 (日数 ) 必須のパスワード変更期間を設定すると、この設定を使用して、強制パスワー

ド変更日が近づくとユーザーがログインするたびにパスワードの変更を求め

るプロンプトを表示できます (範囲は 0 ～ 30 日 )。


項目説明



操作設定の定義[Device] > [セットアップ ] > [操作 ]

設定を変更して [OK] をクリックすると、アクティブコンフィグではなく現在の「候補」設定が

更新されます。ページ上部の [コミット ] をクリックすると、候補設定が実行中の設定に適用され、

前回のコミットからの設定の変更がすべてアクティベーションされます。

この方法によって、設定をアクティベーションする前に確認できます。複数の変更を同時にアク

ティベーションすると、変更をリアルタイムに適用するときに発生することがある無効な設定状態

を回避できます。

候補設定は必要に応じて何回でも保存やロールバック (復元 ) ができます。また、設定の読み込み、

検証、インポート、およびエクスポートを行うこともできます。[ 保存 ] をクリックすると、現在

の候補設定のコピーが作成され、[コミット ] を選択すると、アクティブコンフィグが候補設定の

内容で更新されます。

設定を管理するには、以下の表で説明するように、該当する設定管理機能を選択します。

許可された管理者失効ロ

グイン (数 )アカウントが失効した後に、管理者は指定した回数ログインできます。たとえ

ば、値を「3」に設定し、アカウントが失効した場合、管理者はアカウントが

ロックアウトされるまで 3 回ログインすることができます (範囲は 0 ～ 3 回 )。

失効後の猶予期間 (日数 ) アカウントが失効した後に、管理者は指定した日数ログインできます (範囲は

0 ～ 30 日 )。


項目説明

注：画面の右上隅にある [保存 ] リンクをクリックして、入力した設定を定期的に保存

することをお勧めします。

表 2. 設定管理機能

機能説明

設定の管理

候補設定の検証候補設定にエラーがないかどうかが確認されます。

後に保存した設定に戻す後に保存された候補設定がフラッシュメモリから復元されます。現在の候

補設定は上書きされます。候補設定が保存されていない場合、エラーが発生

します。

実行中の設定に戻す前回の実行中の設定が復元されます。現在の実行中の設定はオーバーライド

されます。

名前付き設定スナップ

ショットの保存

候補設定がファイルに保存されます。ファイル名を入力するか、上書きする

既存のファイルを選択します。現在のアクティブコンフィグファイル

(running-config.xml) はオーバーライドできません。

候補設定の保存候補設定がフラッシュメモリに保存されます (ページ上部の [保存 ] をクリッ

クした場合と同様 )。




ショットのロード

アクティブコンフィグ (running-config.xml) や以前にインポートまたは保存

された設定から候補設定が読み込まれます。ロードする設定ファイルを選択

します。現在の候補設定は上書きされます。

設定バージョンのエクス

ポート

指定したバージョンの設定が読み込まれます。


ショットのエクスポート

アクティブコンフィグ (running-config.xml) や以前に保存またはインポート

された設定がエクスポートされます。エクスポートする設定ファイルを選択

します。このファイルは、開いたり、ネットワーク上に保存したりすること

ができます。

設定バージョンのエクス

ポート

指定したバージョンの設定がエクスポートされます。

デバイス状態のエクス

ポート

この機能は、大規模な VPN 機能が有効にされた GlobalProtect ポータルとし

て設定されているファイアウォールから、設定および動的情報をエクスポー

トするために使用します。ポータルで障害が発生した場合、エクスポートファ

イルをインポートして、ポータルの設定および動的情報を復元できます。

エクスポートには、ポータルで管理されるすべてのサテライトデバイスのリ

スト、エクスポート時の実行中の設定、およびすべての証明書情報 ( ルート

CA、サーバー、およびサテライト証明書 ) が含まれます。

重要 : デバイス状態のエクスポートを手動で実行するか、スケジュール設定さ

れた XML API スクリプトを作成し、リモートサーバーにファイルをエクス

ポートする必要があります。サテライト証明書は頻繁に変更される可能性が

あるので、この操作を定期的に行う必要があります。

CLI からデバイス状態ファイルを作成するには、設定モードで save devicestate を実行します。

ファイルには、device_state_cfg.tgz という名前が付けられ、/opt/pancfg/mgmt/device-state に保存されます。デバイス状態ファイルをエクスポート

する操作コマンドは、scp export device-state です (tftp exportdevice-state を使用することもできます )。

XML API の使用の詳細は、https://live.paloaltonetworks.com/community/documentation にある『PAN-OS XML-Based Rest API Usage Guide (PAN-OS XML ベースの Rest API 利用ガイド )』を参照してください。

327 ページの「GlobalProtect 大規模 VPN 導入」を参照してください。


ショットのインポート

ネットワーク上から設定ファイルがインポートされます。[参照 ] をクリック

して、インポートする設定ファイルを選択します。

デバイス状態のインポート [デバイス状態のエクスポート ] オプションを使用してエクスポートされたデ

バイス状態の情報をインポートします。これには、現在の実行中の設定、

Panorama テンプレート、共有ポリシーが含まれます。デバイスが GlobalProtect ポータルの場合、エクスポートには認証局 (CA) 情報、サテライトデバイスおよび認証情報のリストが含まれます。

表 2. 設定管理機能（続き）

機能説明





デバイスの操作

デバイスの再起動ファイアウォールを再起動するには、[デバイスの再起動 ] をクリックします。

ユーザーはログアウトされ、PAN-OS ソフトウェアとアクティブコンフィグ

が再読み込みされます。また、既存のセッションが終了し、ログに記録され、

シャットダウンを開始した管理者名を示すシステムログエントリが作成さ

れます。保存またはコミットされていない設定の変更は失われます (36 ペー

ジの「操作設定の定義」を参照 )。

注：Web インターフェイスを使用できない場合は、CLI コマンド requestrestart system を使用します。詳細は、『PAN-OS Command LineInterface Reference Guide (PAN-OS コマンドラインインターフェイスリファレンスガイド )』を参照してください。

デバイスのシャットダウンファイアウォールのグレースフルシャットダウンを実行するには、[デバイス

のシャットダウン ] をクリックし、確認のプロンプトで [Yes] をクリックしま

す。保存またはコミットされていない設定の変更は失われます。すべての管

理者がログオフされ、以下のプロセスが発生します。

• すべてのログインセッションがログオフされます。

• インターフェイスが無効になります。

• すべてのシステムプロセスが停止します。

• 既存のセッションが終了し、ログに記録されます。

• シャットダウンを開始した管理者名を示すシステムログが作成されます。

このログエントリを書き込めない場合は、警告が表示され、システムは

シャットダウンしません。

• ディスクドライブが正常にアンマウントされ、デバイスの電源がオフにな

ります。

デバイスの電源をオンにするには、電源のプラグを抜いてから差し込み直す

必要があります。

注 : Web インターフェイスを使用できない場合は、CLI コマンド requestshutdown system を使用します。詳細は、『PAN-OS Command LineInterface Reference Guide (PAN-OS コマンドラインインターフェイスリファレンスガイド )』を参照してください。

データプレーンの再起動リブートせずにファイアウォールのデータ機能をリスタートするには、[デー

タプレーンの再起動 ] をクリックします。このオプションは PA-200 では使用

できません。

注：Web インターフェイスを使用できない場合は、CLI コマンド requestrestart dataplane を使用します。詳細は、『PAN-OS Command LineInterface Reference Guide (PAN-OS コマンドラインインターフェイスリファレンスガイド )』を参照してください。


機能説明



その他

カスタムロゴこのオプションを使用して、以下をカスタマイズします。

• ログイン画面の背景イメージ

• メイン UI (ユーザーインターフェイス ) ヘッダーのイメージ

• PDF レポートのタイトルページのイメージ。270 ページの「PDF サマリー

レポートの管理」を参照してください。

• PDF レポートフッターのイメージ

をクリックしてイメージファイルをアップロードし、をクリックし

てプレビューし、をクリックして以前にアップロードしたイメージを削

除します。

以下の内容に注意してください。

• サポートされているファイルタイプは、png、gif、および jpg です。

• デフォルトのロゴに戻るには、エントリを削除してコミットします。

• 任意のロゴイメージの大イメージサイズは、128 KB です。

• ログイン画面と主要なユーザーインターフェイスのオプションでは、

をクリックすると、これから表示されるイメージが表示されます。必要な場

合、イメージを切り取って収められます。PDF レポートの場合、イメージ

は切り取られずに自動的にサイズ変更されて、収まります。すべてのケース

において、プレビューは推奨されるイメージのサイズを表示します。

PDF レポートの生成の詳細は、270 ページの「PDF サマリーレポートの管理」


SNMP のセットアップ SNMP パラメータを指定します。47 ページの「SNMP」を参照してください。

統計サービスのセット

アップ

統計サービスの設定を指定します。48 ページの「統計サービス」を参照して

ください。

注：[ コミット ] をクリックするか、commit CLI コマンドを入力すると、Web インターフェイスおよび CLI で行った前回のコミット以降の変更がすべてアクティ

ベーションされます。競合を回避するには、27 ページの「トランザクションのロック」

で説明されているようにトランザクションロック機能を使用します。


機能説明



サービス設定の定義[Device] > [セットアップ ]> [サービス ]

[サービス ] タブを使用して、Domain Name System (DNS)、Network Time Protocol (NTP)、更

新サーバー、プロキシサーバー、およびサービスルートの設定を定義します。

表 3. サービス設定

機能説明

DNS DNS サービスのタイプを選択します。この設定は、FQDN アドレスオブジェ

クト、ログ、およびデバイス管理のサポートでファイアウォールによって開

始されるすべての DNS クエリで使用されます。オプションには、次の内容が

含まれます。

• ドメイン名解決に対するプライマリおよびセカンダリ DNS サーバー

• ファイアウォールに設定された DNS プロキシ

プライマリ DNS サーバープライマリ DNS サーバーの IP アドレスまたはホスト名を入力します。この

サーバーは、更新サーバーの検出、ログの DNS エントリの解決、FDQN ベー

スのアドレスオブジェクトなどのためにファイアウォールから DNS クエリ

を行う場合に使用されます。

セカンダリ DNS サーバープライマリサーバーを使用できない場合、使用するセカンダリ DNS サー

バーの IP アドレスまたはホスト名を入力します。(任意 )

プライマリ NTP サーバープライマリ NTP サーバーの IP アドレスまたはホスト名を入力します ( 存在

する場合 )。NTP サーバーを使用しない場合、デバイスの時刻を手動で設定

できます。

セカンダリ NTP サーバープライマリサーバーを使用できない場合、使用するセカンダリ NTP サーバー

の IP アドレスまたはホスト名を入力します。(任意 )

更新サーバーこの設定は、Palo Alto Networks から更新ファイルをダウンロードするのに

使用されるサーバーの IP アドレスまたはホスト名を表します。現在値は、

updates.paloaltonetworks.com です。テクニカルサポートから指示がない

限り、このサーバー名は変更しないでください。

保護されたプロキシサー

バー

デバイスがプロキシサーバーを使用して Palo Alto Networks 更新サービス

にアクセスする必要がある場合は、サーバーの IP アドレスまたはホスト名を

入力します。

保護されたプロキシポートプロキシサーバーを指定する場合、ポートを入力します。

保護されたプロキシユー

ザー

プロキシサーバーを指定する場合、サーバーにアクセスするためのユーザー

名を入力します。

保護されたプロキシパス

ワード

再入力保護されたプロキ

シパスワード

プロキシサーバーを指定する場合、サーバーにアクセスするユーザーのパス

ワードを入力して確認します。



サービスルートの設定 [DNS]、[電子メール ]、[Palo Alto Updates]、[NTP] など、ファイアウォー

ルがサービス通信のために他のサーバーまたはデバイスと通信する方法を指

定します。

すべての通知で組み込みの管理ポート (MGT) を使用するには、[ すべてに管

理インターフェイスを使用 ] を選択します。または、サービスごとに詳細な制

御を行うためにさまざまなインターフェイスを使用する場合は、特定の送信

元 IP アドレスを定義します。たとえば、ファイアウォールと電子メールサー

バー間のすべての電子メール通信に使用するインターフェイスの特定の送信

元 IP を設定し、Palo Alto 更新には別の送信元 IP またはインターフェイスを

使用できます。

[サービスルートの設定 ] をクリックし、以下を設定します。

• すべてに管理インターフェイスを使用 — 外部サーバーとのファイアウォー

ルサービス通信はすべて強制的に管理インターフェイス (MGT) を使用して

行われます。このオプションを選択する場合、ファイアウォールとサービス

を提供するサーバーまたはデバイスとの間の通信を許可するように MGTインターフェイスを設定する必要があります。MGT インターフェイスを設

定するには、[Device] > [セットアップ ] > [管理 ] タブに移動し、

[管理インターフェイス設定 ] を編集します。

• Select — サービス通信の詳細な制御を設定するには、このオプションを選

択します。使用可能なサービスのリストと送信元アドレスを選択するドロッ

プダウンを表示するテーブルが表示されます。目的のサービスを選択し、

[ 送信元アドレス ] ドロップダウンリストから送信元アドレスを選択しま

す。「送信元アドレス」とは、サービストラフィックの送信元となるイン

ターフェイスに割り当てられた IP アドレスを指します。宛先は特定のサー

ビスを設定するときに設定されるため、宛先アドレスを定義する必要はあり

ません。たとえば、[Device] > [セットアップ ] > [サービス ] タブの [サー

ビス ] で DNS サーバーを定義すると、DNS クエリの宛先が設定されます。

表 3. サービス設定（続き）

機能説明



サービスルートの設定 (続き )

• [ 宛先 ] フィールドと [ 送信元アドレス ] フィールド — ルートを指定する

サービスが [サービス ] 列に表示されていない場合は、[宛先 ] フィールドと

[ 送信元アドレス ] フィールドを使用して、他のサービスで使用されるルー

トを定義できます。リストに表示されないサービスには、Kerberos、LDAP、および Panorama ログコレクタ通信などがあります。宛先アドレスのサブ

ネットは入力する必要がありません。

マルチテナント環境では、共通サービスで異なる送信先アドレスが必要な、宛

先 IP ベースのサービスルートが必要になります。たとえば、2 つのテナント

が RADIUS を使用する必要がある場合がそうです。

サービスをルーティングするために使用されるインターフェイスにルーティ

ングとポリシーが適切に設定されていることが重要です。たとえば、Kerberos認証リクエストのルートを MGT ポート以外のインターフェイスに指定する

場合、Kerberos はデフォルトの [サービス ] 列には表示されないので、[サー

ビスルートの設定 ] ウィンドウの右側のセクションで [宛先 ] と [送信元アド

レス ] を設定する必要があります。例として、Ethernet1/3 の送信元 IP アド

レスが 192.168.2.1 で、Kerberos サーバーの宛先が 10.0.0.240 であるとしま

す。この場合は、デフォルトのルートを使用する既存の仮想ルーターに

Ethernet1/3 を追加する必要があります。または、[Network] > [ 仮想ルー

ター ] から新しい仮想ルーターを作成し、必要に応じてスタティックルート

を追加することができます。これにより、インターフェイスのすべてのトラ

フィックは確実に仮想ルーター経由でルーティングされ、適切な宛先に到達

します。この場合、宛先アドレスは 10.0.0.240 で、Ethernet1/3 の送信元 IPは 192.168.2.1/24 です。

宛先と送信元アドレスの CLI 出力は、以下のようになります。

PA-200-Test# show route

destination {

10.0.0.240 {

source address 192.168.2.1/24

}

この設定では、インターフェイス Ethernet1/3 のすべてのトラフィックは、

仮想ルーターで定義されたデフォルトのルートを使用して 10.0.0.240 に送信

されます。

表 3. サービス設定（続き）

機能説明



コンテンツ ID 設定の定義[Device] > [セットアップ ] > [コンテンツ ID]

[ コンテンツ ID] タブを使用して、URL フィルタリング、データ保護、およびコンテナページの

設定を定義します。

表 4. コンテンツ ID 設定

機能説明

URL フィルタリング

ダイナミック URL キャッ

シュのタイムアウト

[編集 ] をクリックし、タイムアウト値 (時間単位 ) を入力します。この値はダ

イナミック URL フィルタリングで使用され、この値により、エントリが URLフィルタリングサービスから返された後にキャッシュに保持される期間が決

定します。このオプションは、BrightCloud データベースのみを使用する

URL フィルタリングに適用されます。URL フィルタリングの詳細は、

217 ページの「URL フィルタリングプロファイル」を参照してください。

URL コンティニュータイ

ムアウト

ユーザーの [continue] アクションのタイムアウト時間を指定します ( 範囲は

1 ～ 86400 分、デフォルトは 15 分 )。この時間に達する前に同じカテゴリの

URL に対して [continue] をもう一度押す必要があります。

URL 管理オーバーライド

タイムアウト

ユーザーが管理オーバーライドパスワードを入力したあとタイムアウトする

までの時間を指定します (範囲は 1 ～ 86400 分、デフォルトは 900 分 )。この

時間に達する前に同じカテゴリの URL に対して管理オーバーライドパス

ワードを再入力する必要があります。

URL 管理ロックアウトタイムアウト

ユーザーが URL 管理オーバーライドパスワードの試行が 3 回失敗したとき

に試行からロックアウトされる時間を指定します (1 ～ 86400 分、デフォルト

は 1800 分 )。

x-forwarded-for ヘッダ

情報の記録

送信元 IP アドレスが含まれている X-Forwarded-For ヘッダーを含めます。

このオプションをオンにすると、ファイアウォールによって HTTP ヘッダー

に X-Forwarded-For ヘッダーがあるかどうかが検査されます。プロキシで

は、X-Forwarded-For ヘッダーを使用して元のユーザーの送信元 IP アドレ

スを保持できます。

システムによってこの値が取得されて URL ログの [送信元ユーザー ] フィー

ルドに Src: x.x.x.x が配置されます (x.x.x.x はヘッダーから読み込まれる IPアドレスです )。

x-forwarded-for 除去送信元 IP アドレスが含まれている X-Forwarded-For ヘッダーを削除しま

す。このオプションをオンにすると、ファイアウォールによってリクエスト

を転送する前にヘッダーの値がゼロに設定されるため、転送されるパケット

には内部送信元 IP 情報が含まれなくなります。

復号化されたコンテンツ

の転送を許可

ファイアウォールで外部のサービスに復号化されたコンテンツの転送を許可

するには、このチェックボックスをオンにします。たとえば、このオプショ

ンを設定すると、分析のためにファイアウォールから WildFire へ復号化され

たコンテンツを送信できます。マルチ VSYS 設定の場合、このオプションは

VSYS ごとに設定されます。





の設定

ページが URL フィルタリングプロファイルによってブロックされ、[ オー

バーライド ] アクションが指定されている場合に使用される設定を指定しま

す。217 ページの「URL フィルタリングプロファイル」を参照してください。

[追加 ] をクリックし、URL 管理オーバーライドに設定する仮想システム毎に

以下を設定します。

• 場所 — ドロップダウンリストから仮想システムを選択します (マルチ VSYSデバイスのみ )。

• パスワード /パスワード再入力 — ブロックページをオーバーライドするた

めにユーザーが入力する必要があるパスワードを入力します。

• サーバー証明書 — 指定したサーバーを介してリダイレクトされたときに SSL通信で使用するサーバー証明書を選択します。

• モード — ブロックページが透過的に配信されるか (ブロックされた Web サイトから発信したように見える )、指定したサーバーにユーザーをリダイレク

トするかを決定します。[ リダイレクト ] を選択した場合、リダイレクトす

るための IP アドレスを入力します。

エントリを削除するには、をクリックします。

データ保護の管理クレジットカード番号や社会保障番号など重要な情報を含むログへのアクセ

スに対し拡張防御を追加します。

[データ保護の管理 ] をクリックし、以下を設定します。

• 新しいパスワードを設定するには ( まだ設定していない場合 )、[ パスワード

の設定 ] をクリックします。パスワードを入力し、確認のために再入力します。

• パスワードを変更するには、[ パスワードの変更 ] をクリックします。現在

のパスワードを入力し、新しいパスワードを入力し、確認のために新しいパ

スワードを再入力します。

• パスワードと保護されていたデータを削除するには、[ パスワードの削除 ]をクリックします。

コンテナページコンテンツタイプ ( たとえば、application/pdf、application/soap+xml、application/xhtml+、text/html、text/plain、text/xml) に基づいてファイ

アウォールで追跡または記録する URL のタイプを指定するには、これらの設

定を使用します。[場所 ] ドロップダウンリストから選択する仮想システム毎

にコンテナページが設定されます。仮想システムに明示的なコンテナページ

が定義されていない場合、デフォルトのコンテンツタイプが使用されます。

[追加 ] をクリックし、コンテンツタイプを入力または選択します。

仮想システムの新しいコンテンツタイプを追加すると、コンテンツタイプの

デフォルトのリストがオーバーライドされます。仮想システムに関連付けら

れているコンテンツタイプがない場合、コンテンツタイプのデフォルトのリ

ストが使用されます。

表 4. コンテンツ ID 設定（続き）

機能説明



セッション設定の定義[Device] > [セットアップ ] > [セッション ]

[ セッション ] タブでは、IPv6 トラフィックのファイアウォールおよびポリシー変更時の既存の

セッションへのセキュリティポリシーの再マッチングなどのセッションのエイジアウト時間とグ

ローバルなセッション関連の設定を設定できます。

表 5. セッション設定

フィールド説明

セッション設定

セッションの再マッチ

ング

[ 編集 ] をクリックし、[ 設定ポリシー変更のすべてのセッションを再マッチン

グ ] チェックボックスをオンにします。

たとえば、以前は許可されていた Telnet が前回のコミットで [拒否 ] に変更さ

れたとします。デフォルトの動作では、コミット前に開始した Telnet セッショ

ンは再マッチングされてブロックされます。

ICMPv6 トークンバケッ

トサイズ

ICMPv6 エラーメッセージの帯域制限に対応するバケットサイズを入力しま

す。トークンバケットサイズは、ICMPv6 エラーパケットのバーストをどの

程度許容するかを制御するトークンバケットアルゴリズムのパラメータです

(範囲は 10 ～ 65535 パケット、デフォルトは 100)。

ICMPv6 エラーパケッ

ト速度

全体として 1 秒間に許容される ICMPv6 エラーパケットの平均数を入力しま

す ( 範囲は 10 ～ 65535 パケット / 秒、デフォルトは 100)。この値はすべての

インターフェイスに適用されます。

Jumbo Frame

Jumbo Frame の MTU

ジャンボフレームのサポートを有効にする場合に選択します。ジャンボフレー

ムの大 MTU は 9192 で、特定のプラットフォームで使用できます。http://www.paloaltonetworks.com で入手できるファイアウォールモデルのスペック

シートを参照してください。

IPv6 ファイアウォール

の有効化

IPv6 のファイアウォール機能を有効にするには、[編集 ] をクリックして、[IPv6ファイアウォール設定 ] チェックボックスをオンにします。

IPv6 が有効になっていないと、IPv6 ベースの設定はすべて無視されます。

NAT64 IPv6 小MTU IPv6 変換トラフィックのグローバル MTU 設定を変更できます (デフォルトは

1280)。デフォルトは、IPv6 トラフィックの標準の小 MTU に基づきます。

セッション保持時間自動

短縮

アイドル状態のセッションの加速されたエージングアウトを許可します。

加速されたエージングを有効にして、しきい値 (%) と倍率を指定するには、こ

のチェックボックスをオンにします。

セッションテーブルが [セッション保持時間短縮の開始しきい値 ] (% フル ) に達すると、[セッション保持時間短縮倍率 ] がすべてのセッションのエージング

計算に適用されます。セッションのアイドル状態の時間は、実際のアイドル時間

に倍率をかけて計算されます。たとえば、10 の倍率が使用された場合、3600 秒

後ではなく、360秒後にセッションがタイムアウトします。

セッションタイムアウト

タイムアウト各カテゴリのタイムアウトを秒数で指定します。範囲とデフォルトが表示され

ています。





セッション機能

暗号証明書失効の設定ファイアウォールの証明書管理オプションを設定する場合に選択します。

有効化証明書無効リスト (CRL) を使用して SSL 証明書の有効性を確認するには、この

チェックボックスをオンにします。

信頼された認証局 (CA) はそれぞれ CRL を管理し、SSL 証明書が SSL 復号化

に有効かどうか ( 無効でないか ) を判断します。オンライン証明書状態プロト

コル (OCSP) を使用することでも、証明書の無効状態を動的に確認することが

できます。SSL 復号化の詳細は、202 ページの「復号化ポリシー」を参照して

ください。

受信の有効期限 CRL リクエストがタイムアウトして状態が不明と判断されるまでの時間を指

定します (1 ～ 60 秒 )。

OCSP の有効化 OCSP を使用して SSL 証明書の有効性を確認するには、このチェックボック

スをオンにします。

受信の有効期限 OCSP リクエストがタイムアウトして状態が不明と判断されるまでの時間を

指定します (1 ～ 60 秒 )。

証明書の状態が不明な

セッションをブロックし

ます

検証できない証明書をブロックするには、このチェックボックスをオンにし

ます。

証明書の状態のチェック

がタイムアウトしたセッ

ションをブロックします

証明書情報リクエストがタイムアウトした場合に証明書をブロックするには、

このチェックボックスをオンにします。

証明書の有効期限証明書状態のリクエストがタイムアウトするまでの時間を入力します (1 ～ 60 秒 )。

表 5. セッション設定（続き）




SNMP[Device] > [セットアップ ] > [操作 ]

SNMPv2c および SNMPv3 の SNMP 管理情報ベース (MIB) へのアクセスを定義するには、この

ページを使用します。[ セットアップ ] ページの [SNMP のセットアップ ] をクリックし、以下の

設定を指定します。

MIB モデルは、システムによって生成されたすべての SNMP トラップを定義します。システム内

の各イベントログは、独自のオブジェクト識別子 (OID) を使用した独立した SNMP トラップと

して定義され、イベントログ内の各フィールドは、変数のバインド (varbind) リストとして定義

されます。

表 6. SNMP のセットアップ


場所ファイアウォールの物理的な場所を指定します。

連絡先ファイアウォールの管理者の名前や電子メールアドレスを入力します。この設

定は、標準システム情報の MIB でレポートされます。

イベント固有のトラップ

定義を使用

イベントタイプに基づいて各 SNMP トラップの一意の OID を使用するには、

このチェックボックスをオンにします (デフォルトはオン )。

バージョン SNMP バージョン (V2c または V3) を選択します。この設定で MIB 情報への

アクセスを制御します。デフォルトでは、V2c が「public」コミュニティ文字

列に選択されています。

V2c の場合、以下の設定を設定します。

• SNMP コミュニティ名 — ファイアウォールのアクセスに使用する SNMPコミュニティ文字列を入力します (デフォルトは [public])。

V3 の場合、以下の設定を設定します。

• 表示 — [追加 ] をクリックして、以下の設定を指定します。

– 名前 — ビューのグループ名を指定します。

– 表示 — ビューの名前を指定します。

– OID — オブジェクト識別子 (OID) ( たとえば、1.2.3.4) を指定します。

– オプション — OID をビューに含めるのか、ビューから除外するのかを選

択します。

– マスク — OID に適用するフィルタのマスク値を 16 進数形式で指定します

( たとえば、0xf0)。

• ユーザー — [追加 ] をクリックして、以下の設定を指定します。

– ユーザー — ユーザー名を指定します。

– 表示 — ユーザーのビューのグループを指定します。

– 認証パスワード — ユーザーの認証パスワードを指定します ( 小 8 文字、

大 256 文字、文字制限なし )。あらゆる文字を使用できます。SecureHash Algorithm (SHA) だけがサポートされています。

– 専用パスワード — ユーザーの暗号化パスワードを指定します ( 小 8 文字、大 256 文字、文字制限なし )。Advanced Encryption Standard (AES)だけがサポートされています。



統計サービス[Device] > [セットアップ ] > [操作 ]

統計サービス機能では、アプリケーション、脅威、およびクラッシュに関する匿名情報をファイア

ウォールから Palo Alto Networks 調査チームに送信できます。この情報を収集することで、調査

チームは実際の情報に基づいて Palo Alto Networks 製品の有効性を継続的に改善することがで

きます。このサービスはデフォルトでは無効になっています。有効にすると、情報は 4 時間おきに

アップロードされます。

ファイアウォールで以下のタイプの情報を送信することを許可できます。

• アプリケーションおよび脅威レポート

• 不明なアプリケーションレポート

• URL レポート

• クラッシュのデバイストレース

送信される統計レポートのコンテンツのサンプルを表示するには、レポートアイコンをク

リックします。[レポートサンプル ] タブが開き、レポートコードが表示されます。レポートを表

示するには、目的のレポートの横のチェックボックスをクリックし、[レポートサンプル ] タブを

クリックします。


設定ファイルの比較

設定ファイルの比較

[Device] > [設定監査 ]

設定ファイルを表示および比較するには、[設定監査 ] ページを使用します。ドロップダウンリス

トから、比較する設定を選択します。コンテキストに含める行数を選択して、[ 実行 ] をクリック

します。

以下の図のように、差異が強調された状態で設定が表示されます。

ページには、ドロップダウンリストの隣におよびボタンもあります。2 つの連続した設

定バージョンを比較するときに有効になります。をクリックして保存された設定の前のセッ

トに比較される設定を変更し、をクリックして保存された設定の次のセットに比較される設定

を変更します。

図 1. 設定の比較

Panorama では、Panorama インターフェイスまたはローカルのファイアウォールのどちらで変更

を行っても、各管理対象ファイアウォールでコミットされたすべての設定ファイルが自動的に保存

されます。

ライセンスのインストール


ライセンスのインストール

[Device] > [ライセンス ]

Palo Alto Network からサブスクリプションを購入すると、1 つ以上のライセンスキーを有効にす

るために認証コードが送信されます。

URL フィルタリングの URL ベンダーライセンスをアクティベーションするには、ライセンスを

インストールし、データベースをダウンロードし、[ アクティベーション ] をクリックする必要が

あります。

以下の機能は、[ライセンス ] ページで使用できます。

• URL フィルタリングのライセンスを有効にするには、[アクティベーション] をクリックします。

• 認証コードを必要とする購入済みのサブスクリプションを有効にし、サポートポータルをア

クティベーションした場合は、[ライセンスサーバーからライセンスキーを取得 ] をクリック

します。

• 認証コードを必要とする購入済みのサブスクリプションを有効にし、サポートポータルをア

クティベーションしていない場合は、[ 認証コードを使用した機能のアクティベーション ] をクリックします。認証コードを入力し、[OK] をクリックします。

• ファイアウォールがライセンスサーバーに接続されておらず、ライセンスキーを手動でアッ

プロードする場合は、以下の手順を実行します。

a. http://support.paloaltonetworks.com からライセンスキーのファイルを取得します。

b. ライセンスキーのファイルをローカルに保存します。

c. [ライセンスキーの手動アップロード] をクリックし、[参照] をクリックしてファイルを選

択し、[OK] をクリックします。

ライセンスのインストール時に考慮すべき重要な項目

Web インターフェイスを使用して URL フィルタをアクティベーションできない場合、CLI コマン

ドを使用できます。詳細は、『PAN-OS Command Line Interface Reference Guide (PAN-OS コマンドラインインターフェイスリファレンスガイド )』を参照してください。

http://support.paloaltonetworks.com


PAN-OS ソフトウェアのアップグレードとダウングレード


[Device] > [ソフトウェア ]

新しいバージョンの PAN-OS ソフトウェアにアップグレードするには、Palo Alto Networks から

入手可能な PAN-OS ソフトウェアの新バージョンを表示し、各バージョンのリリースノートを

読み、ダウンロードおよびインストールするバージョンを選択します (サポートライセンスが必要

です )。

必要に応じて、[ソフトウェア ] ページで以下の機能を実行します。

• [更新 ] をクリックして、Palo Alto Networks から入手可能なソフトウェアの新バージョン

を確認します。

• バージョンの変更内容の説明およびソフトウェアをインストールするための移行パスを表示

するには、[リリースノート ] をクリックします。

機能リリースをスキップすることはできません。ある機能リリースから上位の機能リリースの

メンテナンスリリースにアップグレードするには、先に基本イメージをダウンロードする必

要があります。メンテナンスリリースには基本イメージのリリース後に行われた変更のみが

含まれ、完全なソフトウェアビルドは含まれていないため、アップグレードには基本イメー

ジが必要になります。たとえば、4.0.12 から 4.1.7 にアップグレードする場合、4.1.7 のメンテ

ナンスリリースアップグレードが 4.1.0 の基本イメージファイルにアクセスできるように、

4.1.0 の基本イメージをダウンロードする必要があります (インストールは不要 )。あるリリー

スから 2 つ上位の機能リリースにアップグレードする場合は、それぞれの機能リリースにアッ

プグレードする必要があります。たとえば、4.0 から 5.0 にアップグレードするには、4.0 から

4.1 にアップグレードした後に、4.1 から 5.0 にアップグレードする必要があります。

基本イメージファイルは、アップグレードが完了した後に削除できますが、次回のメンテナ

ンスリリースにアップグレードするときに基本イメージが必要となるため、削除することは

お勧めしません。アップグレードの必要がない古いリリースの基本イメージのみを削除してく

ださい。たとえば、4.1 を実行している場合、ダウングレードする予定がなければ、3.1 や 4.0の基本イメージは必要ありません。

• ダウンロードサイトにある新しいバージョンをインストールするには、[ダウンロード ] をク

リックします。ダウンロードが完了すると、[ ダウンロード済み ] 列にチェックマークが表示

されます。ダウンロードしたバージョンをインストールするには、そのバージョンの横にある

[インストール ] をクリックします。

インストール時に、インストールが完了したら再起動するかどうか尋ねられます。インストー

ルが完了すると、ファイアウォールの再起動中はログアウトされます。再起動するように選択

した場合、ファイアウォールが再起動します。

機能リリースにアップグレードするときには (PAN-OS バージョンの先頭または 2 番目の数

字が変更される。4.0 から 4.1、4.1 から 5.0 など )、[インストール ] をクリックすると、これ

から機能リリースアップグレードを実行するというメッセージが表示されます。機能リリー

スでは、新機能に対応するために特定の設定が移行される場合があるので、現在の設定をバッ

クアップする必要があります。54 ページの「PAN-OS ソフトウェアのダウングレード」を参

照してください。



• 以前に PC に保存したバージョンをインストールするには、[ アップロード ] をクリックしま

す。ソフトウェアパッケージを参照して選択し、[ファイルからインストール ] をクリックし

ます。ドロップダウンリストから選択したファイルを選択し、[OK] をクリックしてイメージ

をインストールします。

• 古いバージョンを削除するには、[削除 ] アイコンをクリックします。

PAN-OS ソフトウェアのアップグレード時の注意事項

• PAN-OS の以前のバージョンからアップグレードする場合、リリースノートで説明されてい

る推奨パスに従って新リリースにアップグレードします。

• 高可用性 (HA) ペアを新しい機能リリースにアップグレードするときには (PAN-OS バー

ジョンの先頭または 2 番目の数字が変更される。4.0 から 4.1、4.1 から 5.0 など )、新機能に

対応するために設定が移行される場合があります。セッション同期が有効になっている場合、

クラスタ内に PAN-OS 機能リリースが異なるデバイスが 1 つでもあると、セッションは同期

されません。

• ファイアウォールの日時設定には現在の日時を使用する必要があります。PAN-OS ソフトウェ

アはデジタル署名されており、署名は新バージョンをインストールする前にデバイスによって

確認されています。ファイアウォールで現在以外の日付が設定されていると、デバイスはソフ

トウェア署名の日付が誤って将来になっていると認識し、次のメッセージを表示します。

Decrypt failed: GnuPG edit non-zero, with code 171072 Failed to load intoPAN software manager.

高可用性設定の PAN-OS のアップグレードこのセクションでは、アクティブ/パッシブモードまたはアクティブ/アクティブモードの高可

用性 (HA) 設定で実行する PAN-OS ソフトウェアのアップグレードについて説明します。

セッション同期が有効になっている場合、クラスタ内に PAN-OS 機能リリースが異なるデバイス

が 1 つでもあると、セッションは同期されません。セッションの継続が必要な場合は、セッション

テーブルの再作成中に非 SYN TCP を一時的に許可する必要があります。

高可用性 (HA) 設定の詳細は、96 ページの「高可用性」を参照してください。HA 設定の一般的

な状態を表示するには、[Dashboard] タブの [高可用性 ] ウィジットを表示します。ウィジットが

表示されていない場合は、[ウィジット ] ドロップダウンをクリックして、[システム ] > [高可用性 ]を選択します。

以下の手順では、新しい機能リリースアップグレードを行うと想定しています。メンテナンスリリースでも同じ手順を使用できますが、セッション同期が有効になっていると、両方のデバイスが

稼働している間は同期処理は中断されません。また、ペアで実行される上位リビジョンへのメンテ

ナンスリリースにおいては、機能リリースとは異なり、非稼働状態にはなりません。

HA ペアを新しい機能リリースにアップグレードするには、以下の手順を実行します。

注：以下の手順では、アクティブ / パッシブおよびアクティブ / アクティブが

適用されますが、用語が少し異なります。アクティブ/パッシブには、アクティ

ブデバイスとパッシブデバイスがあります。アクティブ/アクティブでは、ア

クティブなプライマリデバイスとアクティブなセカンダリデバイスがあり、ク

ラスタが稼働しているときには両方のデバイスをトラフィックが通過します。



1. アップグレードプロセスの一般的な情報と重要な注意事項につていは、51 ページの「PAN-OS ソフトウェアのアップグレードとダウングレード」を参照しくてださい。

2. 両方のデバイスの現在の設定ファイルのバックアップを保存します。[Device] > [セットアッ

プ ] > [ 操作 ] タブに移動し、[ 指定した設定のスナップショットをエクスポート ] を選択し、

[running-config.xml] を選択して [OK] をクリックすると、コンピュータに設定ファイルが

保存されます。

3. パッシブファイアウォールまたはアクティブなセカンダリファイアウォール (デバイス B) を新しい PAN-OS 機能リリースにアップグレードし、再起動してインストールを完了します。

再起動すると、デバイスはデバイス A (アクティブまたはアクティブなプライマリ ) が稼働す

るまでサスペンド状態になります。

セッション同期が有効になっている場合、操作コマンド set session tcp-reject-non-syn no を実行できます。このコマンドにより、セッションテーブルが再作成され、アップグ

レード前のセッションが続行されます。両方のデバイスの機能リリースが同じになったら、

set session tcp-reject-non-syn yes を実行してこのオプションを有効にします。

アクティブ / パッシブモードでは、優先度の高いオプションが設定されている場合、状態同

期が完了すると、現在のパッシブデバイスがアクティブに戻ります。

4. アクティブファイアウォールまたはアクティブなプライマリファイアウォールをサスペンド

状態にします。これにより、強制的にパッシブファイアウォールまたはアクティブなセカン

ダリファイアウォール (デバイス B) が稼働するようになります。この時点で、両方のデバイ

スの PAN-OS 機能リリースが同じではないため、セッション同期が停止します。引き続きデ

バイス A のアップグレードを行う前に、デバイス B が稼働していて、トラフィックが通過し

ていることを確認します。

5. 「デバイス A」を新しい PAN-OS リリースにアップグレードし、デバイスを再起動してインス

トールを完了します。デバイス A が稼働するようになると、セッション同期も含め、すべて

の HA 機能が再開されます。

ステップ 3 のように非 SYN TCP を許可している場合、set session tcp-reject-non-syn

yes を実行して元に戻すことができます。

6. [Monitor] > [ セッションブラウザ ] を表示するか、CLI から show session all を実行し

て、トラフィックがアクティブデバイスを通過していることを確認します。

デバイスの HA の状態は、show high-availability all | match reason を実行して確

認することもできます。これがアクティブ/アクティブ設定の場合は、トラフィックが両方の

デバイスを通過していることを確認します。

セッション同期を確認するには、show high-availability interface ha2 を実行します。

[Hardware Interface counters read from CPU] テーブルで、カウンタの値が大きくなってい

ることを確認します。アクティブ / パッシブコンフィグでは、送信済みパケットはアクティ

ブデバイスのみで表示され、パッシブデバイスには受信したパケットのみが表示されます。

アクティブ/アクティブでは、両方のデバイスで受信したパケットと送信したパケットが表示

されます。



PAN-OS ソフトウェアのダウングレードPAN-OS ソフトウェアをダウングレードする場合、PAN-OS リリースの種類 ( 機能またはメンテ

ナンス ) に基づいて、異なる手順を実行する必要があります。機能リリース (PAN-OS バージョン

の先頭または 2 番目の数字が変更される。4.0 から 4.1、4.1 から 5.0 など ) では、新機能に対応す

るために設定が移行される場合があるため、前のリリースの設定も復元するのではない限り、ダウ

ングレードはお勧めしません。メンテナンスリリースの場合は、設定の復元について心配せずに

ダウングレードできます。

• 次のセクションの「メンテナンスリリースのダウングレード」

• 55 ページの「機能リリースのダウングレード」

メンテナンスリリースのダウングレード

メンテナンスリリースでは、リリース番号の 3 番目の数字が変更されます (4.1.4 から 4.1.5、また

は 5.0.0 から 5.0.1)。あるメンテナンスリリースから別のメンテナンスリリースにアップグレード

する場合は機能変更がないため、ダウングレード時に設定を復元する必要はありません。

以前のメンテナンスリリースにダウングレードするには、以下の手順を実行します。

1. 現在の設定ファイルのバックアップを保存します。[Device] > [セットアップ ] > [操作 ] タブ

に移動し、[ 指定した設定のスナップショットをエクスポート ] を選択し、[running-config.xml] を選択して [OK] をクリックすると、設定ファイルが保存されます。ダウング

レードで問題が発生し、出荷時状態に戻す必要がある場合には、このバックアップを使用して

設定を復元できます。

2. [Device] > [ソフトウェア] に移動すると、ダウンロード可能またはダウンロード済みの PAN-OS バージョンを一覧表示するソフトウェアページが表示されます。

3. 以前のメンテナンスリリースにダウングレードするには、目的のリリースの [アクション ] 列で [インストール ] をクリックします。目的のバージョンに [ダウンロード ] が表示されている

場合は、[ ダウンロード ] リンクをクリックしてソフトウェアパッケージを取得し、[ インス

トール ] をクリックします。

4. PAN-OS をダウングレードしたら、[OK] をクリックしてデバイスを再起動し、新しいバー

ジョンをアクティベーションします。

警告 : ソフトウェアバージョンに一致する設定にダウングレードすることを

お勧めします。ソフトウェアと設定が一致しないと、ダウングレードが失敗す

るか、システムが管理モードに強制される場合もあります。これは、メンテナ

ンスリリースではなく、機能リリース間のダウングレードにのみ適用されます。

ダウングレードで問題が発生した場合は、管理モードでデバイスを工場出荷時

状態に戻し、アップグレード前にエクスポートされた元の設定ファイルから設

定を復元します。



機能リリースのダウングレード

機能リリースでは、リリース番号の先頭または 2 番目の数字が変更されます (4.0 から 4.1、または

4.1 から 5.0)。ある機能リリースから別の機能リリースにアップグレードすると、新しい機能に対

応するために設定が変更される場合があります。そのため、デバイスが機能リリースにアップグ

レードされる前に作成された設定バックアップを復元する必要があります。PAN-OS 4.1 では、機

能リリースにアップグレードするときに、この設定バックアップが自動的に作成されます。

以前の機能リリースにダウングレードするには、以下の手順を実行します。

1. 現在の設定ファイルのバックアップを保存します。[Device] > [セットアップ ] > [操作 ] タブ

に移動し、[ 指定した設定のスナップショットをエクスポート ] を選択し、[running-config.xml] を選択して [OK] をクリックすると、設定ファイルが保存されます。ダウング

レードで問題が発生し、出荷時状態に戻す必要がある場合には、このバックアップを使用して

設定を復元できます。

2. 以前の機能リリースにダウングレードするには、[Device] > [ソフトウェア ] に移動し、目的

のリリースを含むページを参照して、以前の機能リリースを指定する必要があります。図 2を参照してください。

3. 機能リリースの [アクション ] 列にある [インストール ] をクリックします。目的のバージョン

に [ ダウンロード ] が表示されている場合は、[ ダウンロード ] リンクをクリックしてソフト

ウェアパッケージを取得し、[インストール ] をクリックします。

注：この手順では、機能リリースにアップグレードする前の設定にデバイスが

復元されます。アップグレード後に行われた変更は失われます。新しいリリー

スに戻すときに、これらの変更を復元する場合に備え、現在の設定をバック

アップしてください。



4. デバイスの再起動後に使用される設定を選択できるプロンプトが表示されます。これは機能リ

リースのダウングレードであるため、ほとんどの場合は、デバイスを次の機能リリースにアッ

プグレードしたときに自動保存された設定を選択します。たとえば、PAN-OS 5.0 を実行して

いて、PAN-OS 4.1 にダウングレードする場合は、図 2に示すように、[アクション ] 列の [インストール ] をクリックし、[ ダウンロード用設定ファイルの選択 ] ドロップダウンで

「autosave-4.1.0」を選択します。

図 2. 以前の機能リリースへのダウングレード

5. PAN-OS をインストールしたら、[OK] をクリックしてデバイスを再起動し、新しいバージョ

ンをアクティベーションします。PAN-OS の選択した機能リリースと設定がアクティベー

ションされます。

注：4.1 より前のリリースでは、出荷時状態に戻し、デバイスの復元が必要に

なる場合があります。たとえば、4.0 から 3.1 にダウングレードする場合がそ

うです。


脅威およびアプリケーションの定義の更新

脅威およびアプリケーションの定義の更新

[Device] > [ダイナミック更新 ]

Palo Alto Networks では、新規または改訂されたアプリケーションの定義や、アンチウイルスシグ

ネチャ ( 入手するには脅威防御ライセンスが必要です )、URL フィルタリング基準、GlobalProtectデータの更新、WildFire のシグネチャ ( 入手するには WildFire サブスクリプションが必要です )などの新しいセキュリティの脅威に関する情報が含まれている更新ファイルを定期的に公開して

います。新の更新ファイルを表示し、各更新ファイルのリリースノートを読み、ダウンロード

およびインストールする更新ファイルを選択できます。以前にインストールした更新のバージョン

に戻すこともできます。

必要に応じて、このページで以下の機能を実行します。

• [今すぐチェック ] をクリックして、Palo Alto Networks から新情報を取得します。

• [アクション ] 列にある [インストール ] をクリックして、そのバージョンに更新します。

• バージョンの [戻す ] をクリックして、そのバージョンに戻します。

• 更新ファイルの説明を表示するには、[リリースノート ] をクリックします。

• 以前に PC に保存したファイルをインストールするには、[アップロード ] をクリックします。

ファイルを参照して選択し、[ ファイルからインストール ] をクリックします。ドロップダウ

ンリストから選択したファイルを選択し、[OK] をクリックしてインストールします。

• 自動更新をスケジュールするには、[ スケジュール ] リンクをクリックします。更新の頻度と

タイミングを指定し、更新ファイルをダウンロードしてインストールするのか、またはダウン

ロードのみを行うのかを指定します。[ダウンロードのみ ] を選択すると、[ダイナミック更新

] ページの [ アクション ] 列の [ インストール ] リンクをクリックしてダウンロードした更新

ファイルがインストールされます。[OK] をクリックすると、更新がスケジュールされます。

コミットは必要ありません。また、アクションを実行するために必要なコンテンツの持続時間

を指定したり、アップロードをピアファイアウォールと同期させるかどうかを指定したりで

きます。

管理者ロール、プロファイル、およびアカウント



ファイアウォールでは、ファイアウォールにログインしようとする管理ユーザーを認証するために

以下のオプションをサポートしています。

• ローカルデータベース — ユーザーのログインおよびパスワード情報がファイアウォールデー

タベースに直接入力されます。

• RADIUS — ユーザーの認証に既存の RADIUS (Remote Authentication Dial In User Service)サーバーが使用されます。

• LDAP — 既存の Lightweight Directory Access Protocol (LDAP) サーバーがユーザーの認

証に使用されます。

• Kerberos — 既存の Kerberos サーバーがユーザーの認証に使用されます。

• クライアント証明書 — 既存のクライアント証明書がユーザーの認証に使用されます。

管理アカウントを作成するとき、ローカル認証またはクライアント証明書 (認証プロファイルなし )あるいは認証プロファイル (RADIUS、LDAP、Kerberos またはローカル DB 認証 ) を指定します。

この設定によって、管理者の認証の確認方法が決まります。

管理者ロールによって、管理者がログイン後に実行を許可される機能が決まります。ロールを管理

者アカウントに直接割り当てることも、ロールプロファイルを定義して詳細な権限を指定し、それ

を管理者アカウントに割り当てることもできます。

詳細は、以下のセクションを参照してください。

• 認証プロファイルのセットアップ手順の詳細は、65 ページの「認証プロファイルのセットアッ

プ」を参照してください。

• ロールプロファイルのセットアップ手順の詳細は、60 ページの「管理者ロールの定義」を参


• 管理者アカウントのセットアップ手順の詳細は、61 ページの「管理アカウントの作成」を参


• SSL 仮想プライベートネットワーク (VPN) の詳細は、339 ページの「GlobalProtect の設定」


• 管理者用の仮想システムドメインの定義手順の詳細は、63 ページの「管理者のアクセスドメ

インの指定」を参照してください。

• 管理者の証明書プロファイルの定義手順の詳細は、92 ページの「証明書プロファイル」を参




ユーザー名とパスワードの要件

PAN-OS および Panorama アカウントのユーザー名とパスワードに使用できる有効な文字を以下

の表に示します。

注：PAN-OS 3.1 以降には以下の制限が適用されます。

表 7 ユーザー名とパスワードの有効な文字

アカウントの種類制限

パスワード文字

セット

パスワードフィールドの文字セットには制限がありません。

リモート管理者、

SSL-VPN、キャプ

ティブポータル

ユーザー名には以下の文字を使用できません。

• バックティック (`)

• 山かっこ (< と >)

• アンパサンド (&)

• アスタリスク (*)

• アット記号 (@)

• 疑問符 (?)

• パイプ (|)

• 一重引用符 (\)

• セミコロン (;)

• 二重引用符 (")

• ドル記号 ($)

• かっこ ( '(' と ')' )

• コロン (':')

ローカル管理者アカ

ウント

ローカルユーザー名には以下の文字を使用できます。

• アット記号 (@)

• キャレット (^)

• 左角かっこ ([)

• 小文字 (a ～ z)

• 大文字 (A ～ Z)

• 数字 (0 ～ 9)

• アンダースコア (_)

• ピリオド (.)

• ハイフン (-)

• 右角かっこ (])

• プラス記号 (+)

• ドル記号 ($)

注：応答ページの文字セットには制限は適用されません。



管理者ロールの定義

[Device] > [管理者ロール ]

管理ユーザーが行使可能なアクセス権と役割を決めるロールプロファイルを定義するには、[管理

者ロール ] ページを使用します。管理者アカウントの追加手順の詳細は、61 ページの「管理アカウ

ントの作成」を参照してください。

共通基準の目的で使用できる、事前に定義された 3 つの管理者ロールがあります。初にデバイス

の初期設定でスーパーユーザーロールを使用して、セキュリティ管理者、監査管理者、および暗

号管理者の管理者アカウントを作成します。アカウントを作成し、適切な共通基準管理者ロールを

適用したら、それらのアカウントを使用してログインします。FIPS または CC モードのデフォル

トのスーパーユーザーアカウントは、「admin」で、デフォルトのパスワードは「paloalto」です。

標準操作モードでは、「admin」のデフォルトのパスワードは「admin」です。事前定義の管理者

ロールは、すべてのロールに監査証跡への読み取り専用のアクセス権があるという点を除き、機能

が重複しないように作成されています (読み取りと削除のフルアクセス権がある監査管理者は除く )。これらの管理者ロールは変更できず、以下のように定義されています。

• auditadmin — 監査管理者は、ファイアウォールの監査データの定期的な確認を担当する責任

者です。

• cryptoadmin — 暗号管理者は、ファイアウォールの安全な接続確立に関連する暗号要素の設

定と保守を担当する責任者です。

• securityadmin — セキュリティ管理者は、他の 2 つの管理ロールで対処されない、その他す

べての管理タスク (ファイアウォールのセキュリティポリシーの作成など) を担当する責任者

です。

表 8. 管理者ロール設定


名前管理者ロールの識別に使用する名前を入力します ( 大 31 文字 )。名前の大文

字と小文字は区別されます。また、一意の名前にする必要があります。文字、

数字、スペース、ハイフン、およびアンダースコアのみを使用してください。

内容ロールの説明 ( 大 255 文字 ) を入力します (任意 )。

ロールドロップダウンリストから管理役割の適用範囲を選択します。

WebUI Web インターフェースで許可するアクセスのタイプを示す

アイコンをクリックします。

• 指定ページに読み書きアクセスできます。

• 指定ページに読み取り専用でアクセスできます。

• 指定ページにアクセスできません。

CLI ロール CLI アクセスのロールのタイプを選択します。

• 無効化 — デバイスの CLI にはアクセスできません。

• superuser — 現在のデバイスにフルアクセスできます。

• superreader — 現在のデバイスに読み取り専用でアクセスできます。

• デバイス管理 — 新しいアカウントまたは仮想システムを定義する場合を

除き、選択したデバイスにフルアクセスできます。

• デバイスリーダー — 選択したデバイスに読み取り専用でアクセスできます。



パスワードプロファイルの定義

[Device] > [パスワードプロファイル ]

パスワードプロファイルを使用して、各ローカルアカウントにパスワードの基本要件を設定でき

ます。すべてのローカルアカウントにパスワード要件を指定する [パスワード複雑性設定 ] を有効

にすると、このパスワードプロファイルはそれらの設定でオーバーライドされます。詳細は、

35 ページの「パスワード複雑性設定」を参照してください。アカウントで使用できる有効な文字

の詳細は、59 ページの「ユーザー名とパスワードの要件」を参照してください。

アカウントにパスワードプロファイルを適用するには、[Device] > [管理者 ] に移動し、アカウン

トを選択して、[パスワードプロファイル ] ドロップダウンからプロファイルを選択します。

管理アカウントの作成

[Device] > [管理者 ]

ファイアウォールへのアクセス権は管理者アカウントに基づいて制御されます。各管理者には、1 台のデバイスか、1 台のデバイス上の仮想システムへのフルアクセス権または読み取り専用アクセス

権を付与できます。事前に定義されている admin アカウントには、フルアクセス権があります。

以下の認証オプションがサポートされています。

• パスワード認証プロトコル — ユーザーがログインするユーザー名とパスワードを入力します。

証明書は必要ありません。

• クライアント証明書の認証 (Web) — このチェックボックスをオンにすると、ユーザー名とパ

スワードは必要なく、ファイアウォールへのアクセス認証には証明書で十分になります。

表 9 パスワードプロファイル設定


名前

パスワードプロファイルの識別に使用する名前を入力します ( 大 31 文字 )。名前

の大文字と小文字は区別されます。また、一意の名前にする必要があります。文

字、数字、スペース、ハイフン、およびアンダースコアのみを使用してください。

パスワード有効期限

(日数 )

設定された日数 (0 ～ 365 日 ) で指定されたとおりに、管理者は定期的にパスワー

ドを変更する必要があります。たとえば、値を「90」に設定すると、管理者に 90日ごとにパスワードの変更を求めるプロンプトが表示されます。

失効の警告を 0 ～ 30 日の範囲で設定して猶予期間を指定することもできます。

失効の警告期間

(日数 )

必須のパスワード変更期間を設定すると、この設定を使用して、強制パスワード変

更日が近づくとユーザーがログインするたびにパスワードの変更を求めるプロン

プトを表示できます (範囲は 0 ～ 30 日 )。

失効後の猶予期間 (日数 )

アカウントが失効した後に、管理者は指定した日数ログインできます (範囲は 0 ～30 日 )。

許可された管理者失

効ログイン (数 )

アカウントが失効した後に、管理者は指定した回数ログインできます。たとえば、

値を「3」に設定し、アカウントが失効した場合、管理者はアカウントがロックア

ウトされるまで 3 回ログインすることができます (範囲は 0 ～ 3 回 )。



• 公開キーの認証 (SSH) — ファイアウォールへのアクセスが必要なマシン上で公開/秘密鍵の

ペアを生成して、ファイアウォールに公開鍵をアップロードして、ユーザーがユーザー名とパ

スワードを入力せずに、安全にアクセスできるようにします。

注：デバイス管理インターフェイスの安全性を維持するには、管理パスワード

を定期的に変更することをお勧めします。管理パスワードには、小文字、大文

字、および数字を混在させてください。また、[ セットアップ ] > [ 管理 ] から

「パスワード複雑性設定」を適用することもできます。

表 10. 管理者アカウント設定


名前ユーザーのログイン名 ( 大 15 文字 ) を入力します。名前の大文字と小

文字は区別されます。また、一意の名前にする必要があります。文字、

数字、ハイフン、およびアンダースコアのみを使用してください。

認証プロファイル指定した認証プロファイルの設定に従って管理者認証を行うための認

証プロファイルを選択します。この設定は、RADIUS、LDAP、Kerberosまたはローカル DB 認証に使用できます。

認証プロファイルのセットアップ手順の詳細は、65 ページの「認証プ

ロファイルのセットアップ」を参照してください。

クライアント証明書認証のみを

使用 (Web)Web アクセスのクライアント証明書認証を使用するには、このチェッ

クボックスをオンにします。このチェックボックスをオンにすると、

ユーザー名とパスワードは必要なく、ファイアウォールへのアクセス認

証には証明書で十分になります。

新しいパスワード

再入力新しいパスワード

ユーザーのパスワード ( 大 15 文字 ) を入力し、確認のためにパスワー

ドを再入力します。これらのパスワードの大文字と小文字は区別されま

す。[セットアップ ] > [管理 ] から [パスワード複雑性設定 ] を適用する

こともできます。

公開キーの認証 (SSH) の使用 SSH 公開キーの認証を使用するには、このチェックボックスをオンに

します。[ キーのインポート ] をクリックし、公開キーファイルを参照

して選択します。アップロードした鍵は、読み取り専用テキストエリ

アで表示されます。

サポート対象の鍵ファイルのフォーマットは、IETF SECSH と OpenSSHです。サポート対象の鍵アルゴリズムは、DSA (1024 ビット ) と RSA (768-4096 ビット ) です。

注：公開キーの認証が失敗すると、ユーザー名とパスワードの入力を要

求するプロンプトが表示されます。



管理者のアクセスドメインの指定

[Device] > [アクセスドメイン ]

ファイアウォールへの管理者アクセスのドメインを指定するには、[アクセスドメイン ] ページを

使用します。アクセスドメインは RADIUS ベンダー固有属性 (VSA) にリンクされており、管理

者の認証に RADIUS サーバーが使用されている場合にのみ、使用することができます。RADIUSの設定の詳細は、68 ページの「RADIUS サーバーの設定」を参照してください。

管理者がファイアウォールにログインしようとすると、ファイアウォールは RADIUS サーバーに

管理者のアクセスドメインを問い合わせます。関連付けられているドメインが RADIUS サーバー

に存在する場合、その情報が返されて、管理者はデバイス上の当該アクセスドメインで定義され

た仮想システムだけに管理が制限されます。RADIUS が使用されていない場合、このページのア

クセスドメイン設定は無視されます。Panorama のアクセスドメインの詳細は、398 ページの「管

理者の Panorama アクセスドメインの指定」を参照してください。

ロールロールをこのユーザーに割り当てるためのオプションを選択します。こ

のロールによって、ユーザーが表示および変更できる対象が決まります。

[ダイナミック ] を選択した場合、ドロップダウンリストから以下の事

前指定されたロールを選択できます。

• スーパーユーザー — 現在のデバイスにフルアクセスできます。

• スーパーユーザー（読み取り専用） — 現在のデバイスに読み取り専

用でアクセスできます。

• デバイスの管理者 — 新しいアカウントまたは仮想システムの定義を

除き、選択したデバイスにフルアクセスできます。

• デバイスの管理者 (読み取り専用 ) — 選択したデバイスに読み取り専

用でアクセスできます。

• Vsys 管理者 — 特定デバイスの選択した仮想システム (マルチ仮想シ

ステムが有効になっている場合 ) にフルアクセスできます。

• Vsys 管理者 ( 読み取り専用 ) — 特定デバイスの選択した仮想システ

ムに読み取り専用でアクセスできます。

• ロールベース管理者 — 60 ページの「管理者ロールの定義」で定義さ

れているように、割り当てられたロールに基づいてアクセスできます。

[ロールベース ] を選択した場合、ドロップダウンリストから以前に定

義したロールプロファイルを選択します。ロールプロファイルの定義

手順の詳細は、60 ページの「管理者ロールの定義」を参照してください。

仮想システム管理者からアクセス可能にする仮想システムを選択し、[追加 ] をクリッ

クして [使用可能 ] エリアから [選択済み ] エリアに移動します。

注：Panorama の「superuser」の [管理者 ] ページでは、アカウントがロック

アウトされていると右列にロックアイコンが表示されます。管理者は、このア

イコンをクリックしてアカウントのロックを解除できます。

表 10. 管理者アカウント設定（続き）


認証プロファイル



認証プロファイルには、ローカルデータベース、RADIUS、LDAP、または Kerberos 設定を指定

します。また、認証プロファイルは、管理者アカウント、SSL-VPN アクセス、およびキャプティ

ブポータルに割り当てることができます。管理者がファイアウォールに直接、あるいは SSL-VPNまたはキャプティブポータル経由でログインしようとすると、ファイアウォールはアカウントに

割り当てられている認証プロファイルを確認し、その認証設定に基づいてユーザーを認証します。

ユーザーにローカル管理者アカウントがない場合、デバイスの [セットアップ ] ページで指定され

た認証プロファイルによってユーザーの認証方法が決まります (30 ページの「管理設定の定義」を

参照 )。

• [セットアップ ] ページで [RADIUS] 認証設定を指定し、ファイアウォールにユーザーのロー

カルアカウントがない場合、ファイアウォールは RADIUS サーバーにユーザーの認証情報

(ロールを含む) をリクエストします。さまざまなロールの属性が含まれる Palo Alto NetworksRADIUS ディクショナリファイルは、サポートサイト (https://live.paloaltonetworks.com/docs/DOC-3189) から入手できます。

• [ 設定 ] ページで [None] が認証プロファイルとして指定されている場合、ファイアウォール

はユーザーに指定された認証プロファイルに従ってローカルにユーザーを認証する必要があ

ります。

表 11. アクセスドメイン設定


名前アクセスドメインの名前 ( 大 31 文字 ) を入力します。名前の大文字

と小文字は区別されます。また、一意の名前にする必要があります。文

字、数字、ハイフン、およびアンダースコアのみを使用してください。

仮想システム [使用可能な列 ] で仮想システムを選択し、[追加 ] をクリックして選択

します。

注：アクセスドメインは、仮想システムをサポートするデバイスで

のみサポートされます。



認証プロファイルのセットアップ

[Device] > [認証プロファイル ]

ファイアウォールへのアクセスを管理するためにアカウントに適用できる認証設定を指定するに

は、[認証プロファイル ] ページを使用します。

表 12. 認証プロファイル設定


名前プロファイルの識別に使用する名前を入力します ( 大 31 文字 )。名前の大文



共有デバイスがマルチ仮想システムモードである場合、プロファイルをすべての

仮想システムで共有できるようにするには、このチェックボックスをオンに

します。

ロックアウト時間失敗回数が大試行回数に達したときのユーザーのロックアウト時間を分単

位で入力します (0 ～ 60 分、デフォルトは 0)。0 を指定すると、手動でロック

解除するまでロックアウト状態が続きます。

許容ログイン回数許容される大ログイン試行失敗回数を入力します (1 ～ 10、デフォルトは 0)。この回数に達するとユーザーはロックアウトされます。0 にすると、無制限に

なります。

許可リスト認証を明示的に許可するユーザーとグループを指定します。[許可リストの編集 ]をクリックして、以下のいずれかを実行します。

• [ 使用可能な列 ] の該当するユーザーやユーザーグループの横にあるチェッ

クボックスをオンにし、[追加 ] クリックしてそれらを [選択した列 ]に追加

します。

• すべてのユーザーに適用するには、[All] チェックボックスを使用します。

• [ 検索 ] フィールドに名前の初の数文字を入力すると、その文字で始まる

ユーザーおよびユーザーグループがすべて表示されます。リストの項目を選

択すると [ 使用可能な列 ] のチェックボックスがオンになります。このプロ

セスを必要な回数だけ繰り返し、次に [追加 ] をクリックします。

• ユーザーまたはユーザーグループを削除するには、[選択した列 ] の該当する

チェックボックスをオンにして [削除 ] をクリックするか、[いずれか ] を選

択してすべてのユーザーをクリアします。

認証認証のタイプを選択します。

• None — ファイアウォールで認証を使用しません。

• Local Database — ファイアウォールの認証データベースを使用します。

• RADIUS — 認証に RADIUS サーバーを使用します。

• LDAP — 認証方法として LDAP を使用します。

• Kerberos — 認証方法として Kerberos を使用します。



サーバープロファイル認証方法として RADIUS、LDAP、または Kerberos を選択した場合、ドロッ

プダウンリストから認証サーバーを選択します。サーバーは [サーバー ] ペー

ジで設定されます。68 ページの「RADIUS サーバーの設定」、68 ページの

「LDAP サーバーの設定」、および 69 ページの「Kerberos 設定の設定 (ActiveDirectory のネイティブ認証 )」を参照してください。

ログイン属性認証方法として [LDAP] を選択した場合、ユーザーを一意に識別する LDAPディレクトリ属性を入力します。

パスワード失効の警告認証方法として [LDAP] を選択した場合、パスワードの有効期限が切れる何日

前に自動メッセージをユーザーに送信するのかを入力します。このフィールド

を空白のままにすると、警告が表示されなくなります。これは、ActiveDirectory、eDirectory、および Sun ONE Directory のデータベースでサポー

トされています。

この設定は SSL-VPN で使用されます。詳細は、339 ページの「GlobalProtectの設定」を参照してください。

スクリプトを編集すれば、SSL-VPN のログインページに有効期限切れの警告

メッセージが表示されるようにカスタマイズできます。

<SCRIPT>function getPassWarnHTML(expdays){ var str = "Your password will expire in " + expdays + " days"; return str;}</SCRIPT>

str 変数の値を変更すると、表示されるメッセージが変わります。

表 12. 認証プロファイル設定（続き）




ローカルユーザーデータベースの作成

リモートアクセスユーザー、デバイス管理者、およびキャプティブポータルユーザーの認証情報

を格納するためのローカルデータベースをファイアウォール上に設定できます。この設定で外部

の認証サーバーは必要ありません。したがって、すべてのアカウント管理はデバイス上または

Panorama から行われます。

キャプティブポータルを設定するときには、初にローカルアカウントを作成し、このアカウン

トをユーザーグループに追加し、この新しいグループを使用して認証プロファイルを作成します。

次に、[Device] > [ ユーザー ID] > [キャプティブポータル ] からキャプティブポータルを有効に

し、認証プロファイルを選択します。この設定を行ったら、[Policies] > [キャプティブポータル ]からポリシーを作成できます。詳細は、285 ページの「キャプティブポータル」を参照してください。

ローカルユーザーの追加

[Device] > [ローカルユーザーデータベース ] > [ユーザー ]

ユーザー情報をローカルデータベースに追加するには、[ローカルユーザー] ページを使用します。

ローカルユーザーグループの追加

[Device] > [ローカルユーザーデータベース ] > [ユーザーグループ ]

ユーザーグループ情報をローカルデータベースに追加するには、[ ローカルユーザーグループ ]ページを使用します。

表 13. ローカルユーザー設定


ローカルユーザー名ユーザーを識別する名前を入力します ( 大 31 文字 )。名前の大文字と小文字

は区別されます。また、一意の名前にする必要があります。文字、数字、ス

ペース、ハイフン、およびアンダースコアのみを使用してください。

場所仮想システムを 1 つ選択するか、または [ 共有 ] を選択してすべての仮想シス

テムで証明書を使用可能にします。

モード以下のいずれかの認証オプションを指定します。

• パスワード — ユーザーのパスワードを入力および確認します。

• パスワードハッシュ — ハッシュされたパスワード文字列を入力します。

有効化ユーザーアカウントをアクティベーションするには、このチェックボックス

をオンにします。

表 14. ローカルユーザーグループ設定


ローカルユーザーグループ名

グループの識別に使用する名前 ( 大 31 文字 ) を入力します。名前の大文字と

小文字は区別されます。また、一意の名前にする必要があります。文字、数字、

スペース、ハイフン、およびアンダースコアのみを使用してください。

場所仮想システムを 1 つ選択するか、または [ 共有 ] を選択してすべての仮想シス


すべてのローカルユー

ザー

[追加 ] をクリックし、グループに追加するユーザーを選択します。



RADIUS サーバーの設定

[Device] > [サーバープロファイル ] > [RADIUS]

認証プロファイルで識別される RADIUS サーバーを設定するには、[RADIUS] ページを使用しま

す。64 ページの「認証プロファイル」を参照してください。

LDAP サーバーの設定

[Device] > [サーバープロファイル ] > [LDAP]

認証プロファイルによる認証で使用される LDAP サーバーを設定するには、[LDAP] ページを使

用します。64 ページの「認証プロファイル」を参照してください。

表 15. RADIUS サーバー設定


名前サーバーを識別する名前を入力します ( 大 31 文字 )。名前の大文字と小文字



場所仮想システムを選択するか、[ 共有 ] を選択してすべての仮想システムでプロ

ファイルを使用可能にします。

管理者使用のみ管理者の認証のみにこのサーバープロファイルを使用します。

ドメイン RADIUS サーバーのドメインを入力します。このドメインの設定は、ユーザー

がログイン時にドメインを指定しなかった場合に使用されます。

タイムアウト認証リクエストがタイムアウトするまでの時間を入力します (1 ～ 30 秒、デ

フォルトは 3 秒 )。

再試行タイムアウト後に行われる自動再試行回数を入力します (1 ～ 5、デフォルトは 3)。自動試行がこの回数に達すると、リクエストは失敗します。

ユーザーグループの取得 RADIUS の VSA を使用してファイアウォールへのアクセス権を持つグループ

を定義するには、このチェックボックスをオンにします。

サーバー適切な順序で各サーバーの情報を設定します。

• 名前 — サーバーの識別に使用する名前を入力します。

• IP アドレス — サーバーの IP アドレスを入力します。

• ポート — 認証リクエストに使用するサーバーのポートを入力します。

• シークレット / 再入力シークレット — ファイアウォールと RADIUS サー

バー間の接続の検証と暗号化に使用する鍵を入力し、確認します。

表 16. LDAP サーバー設定










Kerberos 設定の設定 (Active Directory のネイティブ認証 )[Device] > [サーバープロファイル ] > [Kerberos]

RADIUS に対応するためにユーザーが Internet Authentication Service (IAS) を起動する必要の

ない Active Directory 認証を設定するには、[Kerberos] ページを使用します。Kerberos サーバー

を設定すると、ドメインコントローラに対してユーザーをネイティブに認証できます。

Kerberos を設定すると、認証プロファイルを定義するときに Kerberos をオプションとして使用

できるようになります。64 ページの「認証プロファイル」を参照してください。

ユーザーアカウントが以下のいずれかの形式で識別されるように Kerberos を設定できます。

domain と realm は Kerberos サーバーの設定時に指定されます。

• domain\username

• username@realm

• username

サーバー大 3 台の LDAP サーバーのホスト名、IP アドレス、およびポートを指定し

ます。

ドメインサーバーのドメイン名を入力します。このドメイン名には、ドメインの

NetBIOS 名を使用します。ドメイン名は認証が行われるときにユーザー名に追

加されます。たとえば、ドメインが「paloaltonetworks.com」の場合は、

「paloaltonetworks」とだけ入力します。

タイプドロップダウンリストからサーバータイプを選択します。

ベースユーザーまたはグループ情報の検索を絞り込むための、ディレクトリサーバー

のルートコンテキストを指定します。

バインド DN ディレクトリサーバーのログイン名 (識別名 ) を指定します。

バインドパスワード/再入力バインドパス

ワード

バインドアカウントのパスワードを指定します。エージェントは暗号化したパ

スワードを設定ファイルに保存します。

SSL セキュア SSL または TLS (Transport Layer Security) 通信を Palo AltoNetworks のデバイスとディレクトリサーバーの間で使用するには、オンにし

ます。

時間制限ディレクトリ検索を実行するときの時間制限を指定します (0 ～ 60 秒、デフォ

ルトは 30 秒 )。

バインド時間制限ディレクトリサーバーに接続するときの時間制限を指定します (0 ～ 60 秒、デ

フォルトは 30 秒 )。

再試行間隔システムが LDAP サーバーへの接続試行に失敗してから次に接続を試みるま

での間隔を指定します (1 ～ 3600 秒 )。

表 16. LDAP サーバー設定（続き）


認証シーケンス



環境によっては、ユーザーアカウントが複数のディレクトリに存在することがあります。Guestアカウントや他のアカウントも別のディレクトリに格納されている場合があります。認証シーケン

スは、ユーザーがファイアウォールにログインしようとしたときに順番に適用される一連の認証プ

ロファイルです。ファイアウォールは、ユーザーを識別するまで、初にローカルデータベース、

次に各プロファイルを順番に試していきます。認証シーケンスのすべてのプロファイルで認証が失

敗した場合にのみファイアウォールへのアクセスが拒否されます。

たとえば、ローカルデータベースが確認された後に、RADIUS、LDAP の順番で認証される認証

シーケンスを設定できます。

表 17. Kerberos サーバー設定


名前サーバーを識別する名前を入力します ( 大 31 文字 )。名前の大文字と小文字






レルムユーザーのログイン名のホスト名部分を指定します ( 大 127 文字 )。

例 : ユーザーアカウント名が [email protected] の場合、レルムは example.localになります。

ドメインユーザーアカウントのドメインを指定します ( 大 31 文字 )。

サーバー Kerberos サーバー毎に、[追加 ] をクリックして以下の設定を指定します。

• サーバー — サーバーの IP アドレスを入力します。

• ホスト — サーバーの FQDN を入力します。

• ポート — サーバーと通信するためのポート番号を入力します (任意 )。



認証シーケンスのセットアップ

[Device] > [認証シーケンス ]

ユーザーがファイアウォールへのアクセスをリクエストしたときに順番に試行される一連の認証

プロファイルを設定するには、[ 認証シーケンス ] ページを使用します。シーケンスのいずれかの

認証プロファイルを使用して認証が成功した場合、ユーザーにアクセスが許可されます。詳細は、

64 ページの「認証プロファイル」を参照してください。

表 18. 認証シーケンス設定


プロファイル名プロファイルの識別に使用する名前を入力します ( 大 31 文字 )。名前の大文



共有デバイスがマルチ仮想システムモードである場合、すべての仮想システムで共

有できるようにするには、このチェックボックスをオンにします。

ロックアウト時間失敗回数が大試行回数に達したときのユーザーのロックアウト時間を分単

位で入力します (0 ～ 60 分、デフォルトは 0)。0 を指定すると、手動でロック

解除するまでロックアウト状態が続きます。

許容ログイン回数許容される大ログイン試行失敗回数を入力します (1 ～ 10、デフォルトは 0)。この回数に達するとユーザーはロックアウトされます。0 にすると、無制限に

なります。

プロファイルリスト認証シーケンスに含める認証プロファイルを選択します。リストの順番を変更

するには、エントリを選択して [上へ ] または [下へ ] をクリックします。

ファイアウォールログ



[Monitor] > [ログ ]

ファイアウォールでは、設定の変更、システムイベント、セキュリティの脅威、およびトラフィッ

クフローが記録されたログが生成されます。ログ毎に Panorama サーバーへのリモートログの記

録を有効にし、SNMP トラップ、Syslog メッセージ、および電子メール通知を生成できます。

以下の表に、ログとログオプションを示します。

表 19 ログのタイプと設定

ログ説明

アラームアラームログは、システムによって生成されたアラームの詳細情報を記録します。

このログの情報は、[アラーム ] ウィンドウでも報告されます。87 ページの「アラー

ムの表示」を参照してください。

設定設定ログには、各設定の変更 (日時、管理者ユーザー名、および変更の失敗/成功

など ) が記録されます。

すべての設定ログエントリは、Panorama、Syslog、および電子メールサーバー

に送信できますが SNMP トラップは生成できません。

ログエントリの設定に関する詳細を表示するには、[ 変更後 ] 列の [ 変更前 ] 上に

カーソルを移動して、省略

記号をクリックします。ポップアップウィンドウが開いて、エントリの全詳

細が表示されます。

データフィルタリ

ング

データフィルタリングログには、セキュリティポリシーに関する情報が記録され

ます。セキュリティポリシーを使用すると、クレジットカード番号や社会保障番

号などの機密情報が、ファイアウォールで保護されているエリアから外部に送信さ

れるのを防止できます (223 ページの「データフィルタリングプロファイル」を参照 )。

ファイルブロッキングプロファイルを設定して特定のファイルタイプをブロッ

クする場合、ファイルタイプとファイル名がデータフィルタリングログに記録さ

れるため、何がブロックされたのかを把握することができます。

HIP マッチ HIP マッチログは、GlobalProtect の Host Information Profile (HIP) マッチリク

エストを表示します。339 ページの「GlobalProtect の設定」を参照してください。

システムシステムログには、各システムイベント (HA の障害、リンク状態の変更、および

管理者のログイン/ログアウトなど ) が記録されます。各エントリには、日時、イベ

ントの重大度、およびイベントの説明が含まれています。

システムログエントリは、重大度レベル別にリモートでログに記録できます。た

とえば、[critical] または [high] のレベルのイベントのみを対象として SNMP トラップや電子メール通知を生成できます。



脅威脅威ログには、ファイアウォールで生成された各セキュリティアラームが記録さ

れます。各エントリには、日時、脅威の種別 (ウイルスやスパイウェア/脆弱性の

フィルタリング違反など )、送信元と宛先のゾーン、アドレス、ポート、アプリケー

ション名、アクション、重大度が含まれています。

脅威ログのエントリは、重大度別にリモートでログに記録できます。これを行うに

は、ログ転送プロファイルを定義し、そのプロファイルをセキュリティルールに

割り当てます (187 ページの「セキュリティポリシー」を参照 )。ログのプロファ

イルが割り当てられたセキュリティルールに一致するトラフィックのみを対象と

して、脅威がリモートでログに記録されます。

脅威ログは、レポートの生成および Application Command Center で使用されま

す (251 ページの「レポートとログ」を参照 )。

トラフィックトラフィックログには、各セッションの開始や終了のエントリを記録できます。各

エントリには、日時、送信元と宛先のゾーン、アドレス、ポート、アプリケーショ

ン名、セッションに適用されているセキュリティルール、ルールのアクション (許可、拒否、または廃棄 ) 入力/出力インターフェイス、バイト数が含まれています。

各セキュリティルールでは、ルールに一致するトラフィックを対象として、各セッ

ションの開始や終了がローカルでログに記録されるかどうかが定義されます。ルー

ルに割り当てられたログ転送プロファイルによって、ローカルでログに記録された

エントリがリモートでも記録されるかどうかが決まります。

トラフィックログは、レポートの生成およびアプリケーションコマンドセンター

で使用されます (251 ページの「レポートとログ」を参照 )。

URL フィルタリング URL フィルタリングログには、URL フィルタのエントリが記録されます。URLフィルタは、特定の Web サイトおよび Web サイトカテゴリへのアクセスをブ

ロックしたり、ユーザーが禁止されている Web サイトにアクセスした場合にア

ラートを生成したりします。

PAN-DB を使用していて、Web サイトの URL カテゴリの変更を要求する場合は、

URL フィルタリングログで目的のログエントリの詳細を開き、[分類の変更要求 ]をクリックします。ドロップダウンメニューから推奨されるカテゴリを選択し、電

子メールアドレス (任意) とコメント (任意) を入力して [送信] をクリックします。

BrightCloud DB を使用している場合は、[ 分類の変更要求 ] をクリックすると、

BrightCloud のサポートページに移動します。このページから要求を送信できます。

(217 ページの「URL フィルタリングプロファイル」を参照 )

WildFire WildFire ログには、WildFire で分析されたファイルの結果が表示されます。表示

されるフィールドには、[ファイル名 ]、[送信元ゾーン ]、[宛先ゾーン ]、[攻撃者 ]、[被害者 ]、[アプリケーション ] などがあります。

注：ログの統合には、WildFire サブスクリプションが必要です。サブスクリプショ

ンがない場合は、WildFire ポータル (https://wildfire.paloaltonetworks.com.) を使用

してログ情報を参照できます。

(425 ページの「WildFire について」と 430 ページの「WildFire ポータルの利用」

を参照 )

表 19 ログのタイプと設定（続き）

ログ説明

https://wildfire.paloaltonetworks.com



設定のログファイアウォールの設定によって、ログエントリを Panorama 中央管理システム、SNMP トラッ

プ受信装置、Syslog サーバー、および電子メールのアドレスに送信できます。

以下の表に、リモートログの宛先を示します。

ログのエクスポートのスケジューリング

[Device] > [スケジュール設定されたログのエクスポート ]

ログのエクスポートをスケジューリングして File Transfer Protocol (FTP) サーバーに CSV 形式

で保存するか、Secure Copy (SCP) を使用してデバイスとリモートホスト間でデータを安全に転

送できます。ログのプロファイルには、スケジュールと FTP サーバーの情報が含まれています。

たとえば、プロファイルを使用して、毎日 3:00 AM に前日のログを収集して特定の FTP サーバー

に保存するように指定できます。

新しいエントリを作成してから [OK] をクリックすると、新しいプロファイルが [スケジュール設

定されたログのエクスポート ] ページに追加されます。エクスポートが行われるには、変更をコ

ミットする必要があります。SCP を使用している場合は、[SCP サーバー接続のテスト ] ボタンを

クリックして、ファイアウォールと SCP サーバー間の接続をテストし、SCP サーバーのホスト

キーを検証して受け入れる必要があります。

表 20 リモートログの宛先

宛先説明

Panorama すべてのログエントリは Panorama 中央管理システムに転送できます。

Panorama サーバーのアドレスを指定する方法については、30 ページの「管理設

定の定義」を参照してください。

SNMP トラップ SNMP トラップは、システム、脅威、およびトラフィックログエントリの重大度

レベル別に生成できます。ただし、設定ログエントリは対象外となります。SNMPトラップの宛先を定義する方法については、78 ページの「SNMP トラップの宛先

の設定」を参照してください。

Syslog Syslog メッセージは、システム、脅威、トラフィック、設定ログエントリの重大

度レベル別に生成できます。Syslog の宛先を定義する方法については、80 ページ

の「Syslog サーバーの設定」を参照してください。

電子メール電子メールは、システム、脅威、トラフィック、および設定ログエントリの重大

度レベル別に生成できます。電子メールのアドレスとサーバーを定義する方法につ

いては、81 ページの「[Device] > [サーバープロファイル ] > [Syslog] の [カスタ

ムログフォーマット ] タブを選択して、Syslog サーバープロファイルのカスタム

ログフォーマットを設定できます。目的のログタイプ ([設定 ]、[システム ]、[脅威 ]、[トラフィック ]、[HIP マッチ ]) をクリックして、ログに表示するフィールド

をクリックします。各ログタイプの各フィールドの意味を以下の表に示します。.」を参照してください。



ログ設定の設定の定義

[Device] > [ログ設定 ] > [設定 ]

設定ログの設定では、設定ログエントリを指定します。このエントリは、Panorama を使用して

リモートでログに記録され、Syslog メッセージや電子メール通知として送信されます。

表 21. スケジューリングされたログのエクスポート設定





プロファイルを作成した後でこの名前を変更することはできません。

内容説明 ( 大 255 文字 ) を入力します (任意 )。

有効ログのエクスポートのスケジューリングを有効にするには、このチェックボッ

クスをオンにします。

ログタイプログのタイプ ([traffic]、[threat]、[url]、[data]、または [hipmatch]) を選択し

ます。デフォルトは [traffic] です。

エクスポートの開始予定

時刻 (毎日 )エクスポートを開始する時間 (hh:mm) を 24 時間形式 (00:00 ～ 23:59) で入力

します。

プロトコルファイアウォールからリモートホストへのログのエクスポートに使用するプ

ロトコルを選択します。SCP を使用すると、ログを安全にエクスポートできま

すが、安全なプロトコルではない FTP も使用できます。

ホスト名エクスポートに使用する FTP サーバーのホスト名または IP アドレスを入力し

ます。

ポート FTP サーバーで使用するポート番号を入力します。デフォルトは 21 です。

パスエクスポートした情報の保存に使用する FTP サーバー上のパスを指定します。

FTP パッシブモードを

有効にする

エクスポートにパッシブモードを使用するには、このチェックボックスをオ

ンにします。デフォルトでは、このオプションはオンになっています。

ユーザー名 FTP サーバーへのアクセスに使用するユーザー名を入力します。デフォルトは

[anonymous] です。

パスワード FTP サーバーへのアクセスに使用するパスワードを入力します。ユーザーが

「anonymous」の場合、パスワードは必要ありません。

表 22. 設定ログの設定


Panorama 設定ログエントリを Panorama 中央管理システムに送信できるようにする

には、このチェックボックスをオンにします。

SNMP トラップ設定ログエントリの SNMP トラップを生成するには、トラップ名を選択しま

す。SNMP トラップの新しい宛先を指定する方法については、78 ページの

「SNMP トラップの宛先の設定」を参照してください。



システムログの設定の定義

[Device] > [ログ設定 ] > [システム ]

システムログの設定では、システムログエントリの重大度レベルを指定します。このエントリは、

Panorama を使用してリモートでログに記録され、SNMP トラップ、Syslog メッセージ、および

電子メール通知として送信されます。システムログでは、システムイベント (HA の障害、リン

ク状態の変更、および管理者のログイン/ログアウトなど ) が示されます。

電子メール設定ログエントリの電子メール通知を生成するには、ドロップダウンメニューから電子メールプロファイルを選択します。新しい電子メールプロ

ファイルを指定する方法については、86 ページの「電子メール通知設定の指定」


Syslog 設定ログエントリの Syslog メッセージを生成するには、Syslog サーバーの

名前を選択します。新しい Syslog サーバーを指定する方法については、

80 ページの「Syslog サーバーの設定」を参照してください。

表 22. 設定ログの設定（続き）


表 23. システムログの設定


Panorama 各重大度レベルのシステムログエントリが Panorama 中央管理システムに

送信されるようにするには、このチェックボックスをオンにします。

Panorama サーバーのアドレスを指定する方法については、30 ページの「管

理設定の定義」を参照してください。

以下の重大度レベルがあります。

• Critical — HA フェイルオーバーなどのハードウェア障害やリンク障害です。

• High — 外部デバイス (Syslog サーバーや RADIUS サーバーなど ) との接

続の切断など、深刻な問題です。

• Medium — アンチウイルスパッケージのアップグレードなど、中レベルの

通知です。

• Low — ユーザーパスワードの変更など、それほど重要ではない通知です。

• Informational — ログイン / ログオフ、管理者名やパスワードの変更、設

定の変更、および重大度レベルに含まれない他のすべてのイベントです。

SNMP トラップ

電子メール

Syslog

重大度レベル毎に SNMP、Syslog、電子メールの設定を選択します。この設

定では、システムログエントリの追加の宛先を指定します。新しい宛先を定

義する方法については、以下のセクションを参照してください。

• 78 ページの「SNMP トラップの宛先の設定」

• 80 ページの「Syslog サーバーの設定」

• 86 ページの「電子メール通知設定の指定」



HIP マッチログの設定の定義

[Device] > [ログ設定 ] > [HIP マッチ ]

ホストインフォーメーションプロファイル (HIP) 一致ログの設定は、GlobalProtect クライアン

トに適用されるセキュリティポリシーに関する情報を提供するために使用されます。詳細は、

339 ページの「概要」を参照してください。

アラームログの設定の定義

[Device] > [ログ設定 ] > [アラーム ]

一定期間繰り返しセキュリティルール (またはルールグループ ) に該当する場合、[アラーム ] ペー

ジを使用して通知を設定します。

表 24. HIP マッチログの設定


Panorama 設定ログエントリを Panorama 中央管理システムに送信できるようにする

には、このチェックボックスをオンにします。

SNMP トラップ HIP マッチログエントリの SNMP トラップを生成するには、トラップの宛

先の名前を選択します。SNMP トラップの新しい宛先を指定する方法につい

ては、78 ページの「SNMP トラップの宛先の設定」を参照してください。

電子メール設定ログエントリの電子メール通知を生成するには、適切な電子メールアド

レスが指定されている電子メール設定の名前を選択します。新しい電子メー

ル設定を指定する方法については、81 ページの「[Device] > [ サーバープロ

ファイル ] > [Syslog] の [ カスタムログフォーマット ] タブを選択して、

Syslog サーバープロファイルのカスタムログフォーマットを設定できま

す。目的のログタイプ ([設定 ]、[システム ]、[脅威 ]、[トラフィック ]、[HIPマッチ ]) をクリックして、ログに表示するフィールドをクリックします。各

ログタイプの各フィールドの意味を以下の表に示します。.」を参照してくだ

さい。

Syslog 設定ログエントリの Syslog メッセージを生成するには、Syslog サーバーの

名前を選択します。新しい Syslog サーバーを指定する方法については、

80 ページの「Syslog サーバーの設定」を参照してください。

表 25. アラームログの設定


アラームの有効化このページに表示されたイベントに基づいてアラームを有効にします。

CLI アラーム通知の有効化アラームが発生するたびに CLI アラーム通知を有効にします。

Web アラーム通知の

有効化

ウィンドウを開いてユーザーセッションに関するアラーム ( ユーザーセッ

ションの発生や承認のタイミングなど ) を表示します。

音声アラームの有効化 Web インターフェイスまたは CLI に未承認のアラームがある場合に可聴音

を再生し続けます。

暗号化/復号化エラーしきい値

アラームが生成されるまでの暗号化/復号化の失敗回数を指定します。

ログ DB アラームしきい

値 (パーセントフル）

ログのデータベースが指定した大サイズのパーセンテージに達した場合に

アラームを生成します。

SNMP トラップの宛先の設定


ログ設定の管理

[Device] > [ログ設定 ] > [ログの管理 ]

このページにあるリンクをクリックして、表示されたログをクリアします。


[Device] > [サーバープロファイル ] > [SNMP トラップ ]

システム、トラフィック、または脅威の各ログの SNMP トラップを生成するには、SNMP トラッ

プの宛先を 1 つ以上指定する必要があります。トラップの宛先を定義したら、システムログエン

トリに使用できます (76 ページの「システムログの設定の定義」を参照 )。

セキュリティポリシーの

制限

[セキュリティ違反時間 ] 設定で指定した期間 (秒数 )に特定の IP アドレスま

たはポートが [セキュリティ違反のしきい値] 設定で指定した回数にヒットし

た場合、アラームが生成されます。

セキュリティポリシーグループ制限

[違反の期間 ] フィールドで指定した期間に一連のルールが [違反のしきい値 ]フィールドで指定したルール制限違反数に達した場合、アラームが生成され

ます。セッションが明示的な拒否ポリシーに一致するときに、違反が数えら

れます。

[セキュリティポリシータグ ] を使用して、ルールの制限しきい値でアラーム

が生成されるタグを指定します。これらのタグは、セキュリティポリシーを

定義するときに指定できるようになります。

選択的監査注：これらの設定は、共通基準モードの場合にのみ [アラーム ] ページに表示

されます。

以下の設定を指定します。

• CC 固有のロギング — 情報セキュリティ国際評価基準 (CC) に準拠するた

めに必要な詳細なログ記録が有効になります。

• ログイン成功ログ — ファイアウォールへの管理者ログインの成功が記録さ

れます。

• ログイン失敗ログ — ファイアウォールへの管理者ログインの失敗が記録さ

れます。

• 抑制された管理者 — リストの管理者がファイアウォール設定に対して行っ

た変更のログが生成されません。

表 25. アラームログの設定（続き）


表 26. SNMP トラップの宛先設定


名前 SNMP プロファイルの名前を入力します ( 大 31 文字 )。名前の大文字と小

文字は区別されます。また、一意の名前にする必要があります。文字、数字、


共有デバイスがマルチ仮想システムモードである場合、すべての仮想システムで

共有できるようにするには、このチェックボックスをオンにします。



SNMP MIBファイアウォールでは、以下の SNMP MIB がサポートされています。

• SNMPv2-MIB

• DISMAN-EVENT-MIB

• IF-MIB

• HOST-RESOURCES-MIB

• ENTITY-SENSOR-MIB

• PAN-COMMON-MIB

• PAN-TRAPS-MIB

エンタープライズ MIB の完全なセットは、Palo Alto Networks サイトの Technical Documentationセクション (https://live.paloaltonetworks.com/community/documentation) で入手できます。

バージョン SNMP バージョンを選択するか、SNMP を無効にします。デフォルトは [無効 ] です。

V2c の設定 V2c を選択する場合は、以下の設定を指定します。

• サーバー — SNMP トラップの宛先の名前を指定します ( 大 31 文字 )。

• マネージャ — トラップの宛先の IP アドレスを指定します。

• コミュニティ — 指定した宛先にトラップを送信するために必要なコミュニ

ティ文字列を指定します (デフォルトは public)。

V3 の設定 V3 を選択する場合は、以下の設定を指定します。

• サーバー — SNMP トラップの宛先の名前を指定します ( 大 31 文字 )。

• マネージャ — トラップの宛先の IP アドレスを指定します。

• ユーザー — SNMP ユーザーを指定します。

• エンジン ID — ファイアウォールのエンジン ID を指定します。入力値は、

16 進数表現の文字列です。エンジン ID は、5 ～ 64 バイトの任意の数値に

なります。これを 16 進数文字列として表現すると、10 ～ 128 文字 (各バイ

トに 2 文字 ) に、入力文字列のプレフィックスとして使用する必要がある 0xの 2 文字が追加されます。

各ファイアウォールには一意のエンジン ID があり、これは MIB ブラウザ

を使用し、OID 1.3.6.1.6.3.10.2.1.1.0 に対して GET コマンドを実行して取

得できます。

• 認証パスワード — ユーザーの認証パスワードを指定します ( 小 8 文字、

大 256 文字、文字制限なし )。あらゆる文字を使用できます。Secure HashAlgorithm (SHA) だけがサポートされています。

• 専用パスワード — ユーザーの暗号化パスワードを指定します ( 小 8 文字、

大 256 文字、文字制限なし )。Advanced Encryption Standard (AES) だけがサポートされています。

注：システムログの設定やログのプロファイルで使用されている宛先は削除し

ないでください。

表 26. SNMP トラップの宛先設定



Syslog サーバーの設定



[Device] > [サーバープロファイル ] > [Syslog]

システム、設定、トラフィック、脅威、または HIP Match ログの Syslog メッセージを生成する

には、Syslog サーバーを 1 つ以上指定する必要があります。Syslog サーバーを定義したら、シス

テムログエントリと設定ログエントリに使用できます (76 ページの「システムログの設定の定義」

を参照 )。

表 27. 新しい Syslog サーバー


名前 Syslog プロファイルの名前 ( 大 31 文字 ) を入力します。名前の大文字と小

文字は区別されます。また、一意の名前にする必要があります。文字、数字、


共有デバイスがマルチ仮想システムモードである場合、すべての仮想システムで

共有できるようにするには、このチェックボックスをオンにします。

[サーバー ] タブ

名前 [追加 ] をクリックし、Syslog サーバーの名前 ( 大 31 文字 ) を入力します。

名前の大文字と小文字は区別されます。また、一意の名前にする必要があり

ます。文字、数字、スペース、ハイフン、およびアンダースコアのみを使用

してください。

サーバー Syslog サーバーの IP アドレスを入力します。

ポート Syslog サーバーのポート番号 (標準のポート番号は 514) を入力します。

ファシリティドロップダウンリストからレベルを選択します。

[カスタムログフォー

マット ] タブ

ログタイプログタイプをクリックして、カスタムログ形式を指定するためのダイアログ

ボックスを開きます。ダイアログボックスで、フィールドをクリックして

[ログ形式 ] エリアに追加します。その他のテキスト文字列は、[ログ形式 ] エリアで直接編集できます。[OK] をクリックして設定を保存します。

カスタムログで使用できるフィールドの詳細は、81 ページの「カスタム

Syslog フィールドの説明」を参照してください。

エスケープエスケープシーケンスを指定します。[エスケープされた文字 ] ボックスを使

用して、エスケープするすべての文字をスペースなしで表示します。

注：システムまたは設定のログの設定やログのプロファイルで使用されている

サーバーは削除できません。



カスタム Syslog フィールドの説明

[Device] > [サーバープロファイル] > [Syslog] の [カスタムログフォーマット] タブを選択して、

Syslog サーバープロファイルのカスタムログフォーマットを設定できます。目的のログタイプ

([設定 ]、[システム ]、[脅威 ]、[トラフィック ]、[HIP マッチ ]) をクリックして、ログに表示する

フィールドをクリックします。各ログタイプの各フィールドの意味を以下の表に示します。.

表 28 設定フィールド

フィールド意味

actionflags ログが Panorama に転送されたかどうかを示すビットフィールド。

PAN-OS 4.0.0 以降で使用できます。

admin 設定を実行する管理者のユーザー名。

after-change-detail 変更後の設定の詳細。

before-change-detail 変更前の設定の詳細。

formtted-receive_time 管理プレーンでログが受信された時間。CEF 準拠の時間形式で表示

されます。

cef-formatted-time_generated ログが生成された時間。CEF 準拠の時間形式で表示されます。

client 管理者によって使用されるクライアント。値は「Web」と「CLI」です。

cmd 管理者によって実行されたコマンド。値は、「add」、「clone」、

「commit」、「delete」、「edit」、「move」、「rename」、「set」、「validate」です。

host クライアントマシンのホスト名または IP アドレス。

path 発行された設定コマンドのパス。大長は 512 バイトです。

receive_time 管理プレーンでログが受信された時間。

result 設定アクションの結果。値は、「Submitted」、「Succeeded」、「Failed」、「Unauthorized」です。

seqno 順次増分される 64 ビットのログエントリ識別子。各ログタイプに

は、一意の番号空間があります。PAN-OS 4.0.0 以降で使用できます。

serial ログを生成したデバイスのシリアル番号。

subtype 設定ログのサブタイプ。未使用。

time_generated データプレーンでログが受信された時間。

type ログのタイプを指定します。値は、「traffic」、「threat」、「config」、「system」、「hip-match」です。

vsys 設定ログに関連付けられている仮想システム。

表 29 システムフィールド




cef-formatted-receive_time 管理プレーンでログが受信された時間。CEF 準拠の時間形式で表示

されます。


eventid イベントの名前を示す文字列。

fmt イベントの詳細な説明。大長は 512 バイトです。



module このフィールドは、[サブタイプ ] フィールドの値が「general」の場

合にのみ有効です。ログを生成するサブシステムについての追加情

報を提供します。値は、「general」、「management」、「auth」、「ha」、「upgrade」、「chassis」です。

number-of-severity 整数で表された重大度レベル。情報 - 1、低 - 2、中 - 3、高 - 4、重要 - 5

object システムログに関連付けられているオブジェクトの名前。

opaque イベントの詳細な説明。大長は 512 バイトです。





severity イベントに関連付けられた重大度。値は、「informational」、「low」、

「medium」、「high」、「critical」です。

subtype システムログのサブタイプ。ログを生成するシステムデーモンです。

値は、「crypto」、「dhcp」、「dnsproxy」、「dos」、「general」、「global-protect」、「ha」、「hw」、「nat」、「ntpd」、「pbf」、「port」、「pppoe」、

「ras」、「routing」、「satd」、「sslmgr」、「sslvpn」、「userid」、「url-filtering」、「vpn」です。

time_generated データプレーンでログが受信された時間。


vsys システムイベントに関連付けられている仮想システム。

表 30 脅威フィールド


action セッションに対して実行されたアクション。値は、「alert」、「allow」、

「deny」、「drop」、「drop-all-packets」、「reset-client」、「reset-server」、「reset-both」、「block-url」です。各値の意味は、後述の [アクション ]フィールドの表を参照してください。



app セッションに関連付けられたアプリケーション。

category URL サブタイプの場合は、URL カテゴリ。WildFire サブタイプの

場合は、ファイルの判定 (「malicious (マルウェア )」または「benign(安全 )」)、その他のサブタイプの場合、値は「any」です。


されます。


コンテンツタイプ HTTP 応答データのコンテンツタイプ。大長は 32 バイトです。サ

ブタイプが URL の場合にのみ適用されます。PAN-OS 4.0.0 以降で

使用できます。

direction 攻撃の方向を示します。「client-to-server」または「server-to-client」

dport セッションで使用された宛先ポート。

表 29 システムフィールド（続き）




dst 元のセッション宛先 IP アドレス。

dstloc プライベートアドレスの宛先の国または国内地域。大長は 32 バイ

トです。PAN-OS 4.0.0 以降で使用できます。

dstuser セッションの宛先ユーザーのユーザー名。

flags セッションの詳細を表示する 32 ビットのフィールド。各値の意味は

[フラグ ] フィールドの表を参照してください。

from セッションの送信元ゾーン。

inbound_if セッションの送信元インターフェイス。

logset セッションに適用されたログ転送プロファイル。

misc サブタイプが「URL」の場合は実際の URI。サブタイプが「file」の

場合はファイル名またはファイルタイプ。サブタイプが「virus」の

場合はファイル名。サブタイプが「wildfire」の場合はファイル名。

PAN-OS 4.0 より前のバージョンでは、長さは 63 文字です。バージョ

ン 4.0 以降は、大 1023 文字の可変長です。

natdport NAT 後の宛先ポート。

natdst 宛先 NAT を行った場合は、NAT 後の宛先 IP アドレス。

natsport NAT 後の送信元ポート。

natsrc 送信元 NAT を行った場合は、NAT 後の送信元 IP アドレス。

number-of-severity 整数で表された重大度レベル。情報 - 1、低 - 2、中 - 3、高 - 4、重要 - 5

outbound_if セッションの宛先だったインターフェイス。

proto セッションに関連付けられた IP プロトコル。


repeatcnt 5 秒以内に同じ送信元 IP、宛先 IP、脅威 ID を示したログの数。URL以外のすべてのサブタイプに適用されます。

rule セッションで一致したルールの名前。




sessionid 各セッションに適用される内部の数値識別子。

severity 脅威に関連付けられた重大度。値は、「informational」、「low」、

「medium」、「high」、「critical」です。

sport セッションで使用された送信元ポート。

src 元のセッション送信元 IP アドレス。

srcloc プライベートアドレスの送信元の国または国内地域大長は 32 バイトです。PAN-OS 4.0.0 以降で使用できます。

srcuser セッションを開始したユーザーのユーザー名。

subtype 脅威ログのサブタイプ。値は「URL」、「virus」、「spyware」、

「vulnerability」、「file」、「scan」、「flood」、「data」、「wildfire」です。

threatid 脅威の Palo Alto Networks 識別子。一部のサブタイプでは、説明の

文字列にかっこで囲んだ数値識別子が続きます。PAN-OS 5.0 以降で

は、数値識別子は 64 ビットの数値です。

表 30 脅威フィールド（続き）




time_generated データプレーンでログが生成された時間。

time_received データプレーンでログが受信された時間。

to セッションの宛先だったゾーン。


vsys セッションに関連付けられている仮想システム。

WildFire WildFire で生成されたログ。

表 31 トラフィックフィールド


action セッションに対して実行されたアクション。値は「allow」または

「deny」です。[アクション ] フィールドの表を参照してください。


PAN-OS 4.0.0 で使用できます。

app セッションに関連付けられたアプリケーション。

bytes セッションの合計バイト数 (送受信 )

bytes_received セッションのサーバーからクライアント方向へのバイト数。PA-4000シリーズ以外のすべてのモデルの PAN-OS 4.1.0 以降で使用できます。

bytes_sent セッションのクライアントからサーバー方向へのバイト数。PA-4000シリーズ以外のすべてのモデルの PAN-OS 4.1.0 以降で使用できます。

category セッションに関連付けられた URL カテゴリ (該当する場合 )。


されます。


dport セッションで使用された宛先ポート。

dst 元のセッション宛先 IP アドレス。

dstloc プライベートアドレスの宛先の国または国内地域。大長は 32 バイ

トです。PAN-OS 4.0.0 以降で使用できます。

dstuser セッションの宛先だったユーザーのユーザー名。

elapsed セッションの経過時間。

flags セッションの詳細を表示する 32 ビットのフィールド。各値の意味は

[ フラグ ] フィールドの表を参照してください。このフィールドは、

値とログ値を AND 結合して解読できます。

from セッションの送信元だったゾーン。

inbound_if セッションの送信元だったインターフェイス。

logset セッションに適用されたログ転送プロファイル。

natdport NAT 後の宛先ポート。

natdst 宛先 NAT を行った場合は、NAT 後の宛先 IP アドレス。

natsport NAT 後の送信元ポート。

natsrc 送信元 NAT を行った場合は、NAT 後の送信元 IP アドレス。

表 30 脅威フィールド（続き）




outbound_if セッションの宛先だったインターフェイス。

packets セッションの合計パケット数 (送受信 )。

pkts_received セッションのサーバーからクライアントへのパケット数。PA-4000シリーズ以外のすべてのモデルの PAN-OS 4.1.0 以降で使用できます。

pkts_sent セッションのクライアントからサーバーへのパケット数。PA-4000シリーズ以外のすべてのモデルの PAN-OS 4.1.0 以降で使用できます。

proto セッションに関連付けられた IP プロトコル。


repeatcnt 5 秒以内に同じ送信元 IP、宛先 IP、アプリケーション、サブタイプ

を示したログの数。ICMP のみで使用されます。

rule セッションで一致したルールの名前。




sessionid 各セッションに適用される内部の数値識別子。

sport セッションで使用された送信元ポート。

src 元のセッション送信元 IP アドレス。

srcloc プライベートアドレスの送信元の国または国内地域大長は 32 バイトです。PAN-OS 4.0.0 以降で使用できます。

srcuser セッションを開始したユーザーのユーザー名。

start セッションの開始時間。

subtype トラフィックログのサブタイプ。値は、「start」、「end」、「drop」、「deny」です。各値の意味は、[ サブタイプ ] フィールドの表を参照

してください。


time_received データプレーンでログが受信された時間。

to セッションの宛先だったゾーン。


vsys セッションに関連付けられている仮想システム。

表 32 HIP マッチフィールド





されます。


machinename ユーザーのマシンの名前です。

matchname HIP オブジェクトまたはプロファイルの名前。

表 31 トラフィックフィールド（続き）


電子メール通知設定の指定


電子メール通知設定の指定

[Device] > [サーバープロファイル ] > [電子メール ]

ログの電子メールメッセージを生成するには、電子メールプロファイルを設定する必要がありま

す。電子メール設定を定義したら、システムログエントリと設定ログエントリ用に電子メール通

知を有効にできます (76 ページの「システムログの設定の定義」を参照 )。電子メールレポート配

信のスケジューリングの詳細は、273 ページの「電子メールで配信するレポートのスケジューリング」


matchtype [HIP] フィールドが HIP オブジェクトと HIP プロファイルのどち

らを表すのかを指定します。


repeatcnt HIP プロファイルが一致した回数。




src 送信元ユーザーの IP アドレス。

srcuser 送信元ユーザーのユーザー名。

subtype HIP マッチログのサブタイプ。未使用。



vsys HIP マッチログに関連付けられている仮想システム。

表 32 HIP マッチフィールド（続き）


表 33. 電子メール通知設定


名前電子メール設定の名前 ( 大 31 文字 ) を入力します。名前の大文字と小文字



共有デバイスがマルチ仮想システムモードである場合、プロファイルをすべての

仮想システムで共有できるようにするには、このチェックボックスをオンに

します。

[サーバー ] タブ

サーバーサーバーの識別に使用する名前を入力します (1 ～ 31 文字 )。このフィールド

は単なるラベルで、既存の SMTP サーバーのホスト名である必要はありません。

表示名電子メールの [送信者 ] フィールドに表示される名前を入力します。

送信者 IP 送信元の電子メールアドレス (「[email protected]」など ) を入

力します。

宛先受信者の電子メールアドレスを入力します。


アラームの表示

アラームの表示

[アラーム ] オプションが設定されている場合は、Web インターフェイスの右下隅にある [アラー

ム ] アイコンをクリックして、いつでもアラームの現在のリストを表示できます。これに

より、現在のアラームログに未承認のアラームおよび承認済みのアラームを表示するウィンドウ

が開きます。アラームを承認するには、チェックボックスをオンにして [確認 ] をクリックします。

このアクションは、[確認されたアラーム ] リストにアラームを移動します。アラームウィンドウ

には、ページ送り、列のソート、およびリフレッシュ制御も含まれます。

Alarms ボタンは、[Device] > [ログ設定 ] > [アラーム ] > [アラーム設定 ] ページで [アラームの

有効化 ] チェックボックスがオンのときにのみ認識できます。

その他の受信者別の受信者の電子メールアドレスを入力します (任意 )。

ゲートウェイ電子メールの送信に使用される Simple Mail Transport Protocol (SMTP)サーバーの IP アドレスまたはホスト名を入力します。

[カスタムログフォー

マット ] タブ

ログタイプログタイプをクリックして、カスタムログ形式を指定するためのダイアログ

ボックスを開きます。ダイアログボックスで、フィールドをクリックして [ログ形式 ] エリアに追加します。[OK] をクリックして設定を保存します。

エスケープエスケープされた文字を組み込み、エスケープ文字を指定します。

注：システムまたは設定のログ設定やログのプロファイルで使用されている電

子メール設定は削除できません。

表 33. 電子メール通知設定（続き）


Netflow 設定の設定


Netflow 設定の設定

[Device] > [サーバープロファイル ] > [Netflow]

ファイアウォールは、単向性の IP トラフィックフロー情報付きの NetFlow Version 9 レコードを

外部のコレクターに生成して、エクスポートできます。NetFlow エクスポートは、システム内の

すべての入力インターフェイスで有効にできます。別個のテンプレートレコードは IPv4、NATを利用した IPv4、および IPv6 トラフィックに対して定義され、App-ID および User-ID の PAN-OS 特定フィールドが任意でエクスポートされます。この機能は、PA-4000 シリーズモデル以外の

すべてのプラットフォームで使用できます。

ファイアウォールは標準の NetFlow テンプレートをサポートし、データに基づいて正しいものを

エクスポートします。

NetFlow データエクスポートを設定するには、NetFlow サーバープロファイルを定義します。こ

れは、エクスポートされたデータを受け取る NetFlow サーバーと共にエクスポートの頻度を指定

します。

そして既存のファイアウォールインターフェイスにプロファイルを割り当てるときに、そのイン

ターフェイスにフローするすべてのトラフィックが指定されたサーバーにエクスポートされます。

すべてのインターフェイスタイプは、NetFlow プロファイルの割り当てをサポートします。イン

ターフェイスへの NetFlow プロファイルの割り当ての詳細は、127 ページの「ファイアウォール

インターフェイス」を参照してください。

表 34. Netflow 設定


名前 Netflow 設定の名前 ( 大 31 文字 ) を入力します。名前の大文字と小文字は

区別されます。また、一意の名前にする必要があります。文字、数字、スペー

ス、ハイフン、およびアンダースコアのみを使用してください。

テンプレート更新レート Netflow テンプレートがリフレッシュするまでの分数またはパケット数を指

定します (分の範囲は 1 ～ 3600、デフォルトは 30 分、パケットの範囲は 1 ～600、デフォルトは 20)。

アクティブタイムアウトデータレコードが各セッションでエクスポートされた頻度を指定します (分数)。

PAN-OS 固有のフィール

ドタイプのエクスポート

Netflow レコードの App-ID と User-ID などの PAN-OS 特定フィールドを

エクスポートします。

サーバー

名前サーバーを識別する名前を指定します ( 大 31 文字 )。名前の大文字と小文字

は区別されます。また、一意の名前にする必要があります。文字、数字、スペー

ス、ハイフン、およびアンダースコアのみを使用してください。

サーバーサーバーのホスト名または IP アドレスを指定します。プロファイル毎に大

2 つのサーバーを追加できます。

ポートサーバーアクセスのポート番号を指定します (デフォルトは 2055)。


セキュリティ証明書のインポート、エクスポート、および生成


証明書[Device] > [証明書の管理 ] > [証明書 ]

[証明書 ] ページでは、以下のセキュリティ証明書を生成できます。

• 信頼された証明書の転送 — この証明書は、クライアントの接続先サーバーがファイアウォー

ルの信頼された認証局リストにある認証局によって署名される場合、復号時にクライアントに

対して提示されます。転送プロキシの復号化で自己署名証明書を使用する場合は、[ 証明書 ]ページで証明書名をクリックし、[信頼された証明書の転送 ] チェックボックスをオンにする

必要があります。

• 信頼されない証明書の転送 — この証明書は、クライアントの接続先サーバーがファイアウォー

ルの信頼された認証局リストにない認証局によって署名される場合、復号時にクライアントに

対して提示されます。

• 信頼されたルート CA — この証明書は、転送復号化の目的で、信頼された認証局としてマー

クされます。

ファイアウォールは、トラフィックを復号化するときにアップストリームの証明書が信頼され

た認証局から発行されたものかどうかを確認します。発行されたものではない場合、特殊な信

頼されていない認証局証明書を使用して復号化証明書に署名します。この場合、ユーザーが

ファイアウォールにアクセスすると通常の証明書エラーページが表示され、ログインの警告

を無視する必要があります。

ファイアウォールには、既存の信頼された認証局が数多く登録されたリストが設定されていま

す。ここでの信頼されたルート認証局証明書とは、組織用に追加される信頼された認証局であ

り、予めインストールされている信頼された認証局リストに含まれるものではありません。

• SSL 除外証明書 — この証明書は、SSL 転送プロキシの復号化中に接続が検出された場合、そ

の接続を除外します。

• 保護された Web GUI の証明書 — この証明書により、ファイアウォール Web インターフェ

イスにアクセスできるようユーザーを認証します。証明書のチェックボックスをオンにする

と、ファイアウォールでは、次のコミット操作に続いて、その後のすべての Web ベース管理

セッションでこの証明書を使用します。

必要に応じて、[証明書 ] ページで以下の機能を実行します。

• 証明書を無効にするには、以下の手順を実行します。

a. 無効にする証明書を選択します。

b. [無効化 ] をクリックすると、証明書はただちに無効状態に設定されます。コミットは必要

ありません。

既存の証明書をクリックして、[無効化 ] アイコンをクリックすることもできます。



• 証明書を更新するには、以下の手順を実行します。

a. 更新する証明書を選択します。

b. [更新 ] をクリックして、証明書の拡張日数を設定し、[OK] をクリックします。属性は同

じですが、新しいシリアル番号で新しい証明書が生成されます。古い証明書は新しい証明

書に置き換えられます。

• Web インターフェイス証明書、信頼された認証局証明書、または SSL 転送プロキシ証明書を

インポートするには、以下の手順を実行します。

a. [インポート ] をクリックします。

b. 証明書を識別する名前を入力します。

c. 証明書ファイルを選択します。PKCS #12 証明書と秘密鍵をインポートする場合、これは

両方のオブジェクトを含んだ 1 つのファイルになります。PEM を使用する場合、これは

パブリック証明書のみになります。

d. [秘密鍵のインポート] チェックボックスをクリックして秘密鍵をロードし、パスフレーズ

を 2 回入力します。PKCS #12 を使用する場合、鍵ファイルは上の手順で選択されました。

PEM を使用する場合は、暗号化された秘密鍵ファイル ( 通常のファイル名は *.key) を参

照します。

e. ドロップダウンリストから、証明書のインポート先の仮想システムを選択します。

• 証明書をエクスポートするには、以下の手順を実行します。

a. エクスポートする証明書を選択します。

b. [エクスポート ] をクリックします。

c. エクスポートする証明書で使用するファイル形式 (PKCS #12 の場合の .pfx または .pem)を選択します。

d. [秘密鍵のエクスポート] チェックボックスをオンにしてパスフレーズを 2 回入力し、証明

書の他に秘密鍵をエクスポートします。

• [保存 ] をクリックし、ファイルをコピーするローカルコンピュータの場所を選択します。証

明書を生成するには、以下の手順を実行します。

a. [生成] をクリックして [証明書の生成] ウィンドウを開き、以下の表に示す情報を指定します。

b. 証明書を生成したら、証明書リンクをクリックし、証明書タイプ (「信頼された証明書の

転送」、「信頼されない証明書の転送」、「信頼されたルート CA」、「SSL 除外証明書」、ま

たは「保護された Web GUI の証明書」) を指定します。

• 高可用性 (HA) の鍵をインポートするには、[HA キーのインポート ] をクリックし、参照して

インポートする鍵ファイルを指定します。HA の鍵をエクスポートするには、[HA キーのエ

クスポート ] クリックして、ファイルを保存する場所を指定します。HA キーは、2 つのファ

イアウォール間でスワッピングされる必要があります。つまり、ファイアウォール 1 のキーは

エクスポートされてから、ファイアウォール 2 にインポートされる必要があります。逆の場合

も同じです。

注：Panorama を使用している場合、Panorama サーバーの自己署名証明書

の生成に関するオプションがあります。Panorama の詳細は、387 ページの

「Panorama を使用したデバイス中央管理」を参照してください。



表 35. 証明書を生成するための設定


証明書名証明書を識別する名前 ( 大 31 文字 ) を入力します。名前の大文字と小文字


ペース、ハイフン、およびアンダースコアのみを使用してください。名前の

みが必須です。

共通名証明書に表示される IP アドレスまたは FQDN を入力します。

場所仮想システムを 1 つ選択するか、または [共有 ] を選択してすべての仮想シス


署名者ファイアウォールで生成された認証局証明書のリストから選択します。選択

した証明書を使用して、作成中の証明書に署名できます。

認証局この証明書を認証局としてマークし、ファイアウォールの他の証明書への署

名で使用できるようにします。

OCSP レスポンダドロップダウンリストから OSCP レスポンダプロファイルを選択します。プ

ロファイルは、[Device] > [証明書の管理 ] > [OCSP レスポンダ ] で設定され

ます。証明書を生成し、OCSP レスポンダを入力すると、OCSP レスポンダ

URL を生成するために IP アドレスのホスト名の検索が実行され、このドロッ

プダウンに表示されます。

ビット数証明書の鍵長を選択します。

ダイジェスト証明書のダイジェストアルゴリズムを選択します。

有効期限 (日 ) 証明書が有効な日数を指定します。デフォルトは 365 日です。

GlobalProtect ポータルサテライト設定で [ 有効期間 ] を指定すると、この

フィールドに入力した値はその値でオーバーライドされます。

CountryStateLocalityOrganizationDepartmentEmail

証明書の識別に使用するその他の情報を指定します (任意 )。

国コードの定義リストを表示するには、[ISO 6366 国コード ] リンクをクリッ

クします。



信頼された証明機関[Device] > [証明書の管理 ] > [証明書 ] > [信頼された証明機関 ]

ファイアウォールが信頼する証明機関 (CA) を制御するには、このページを使用します。必要に応

じて認証局を無効または有効にできます。

証明書プロファイル[Device] > [証明書の管理 ] > [証明書プロファイル ]

証明書プロファイルを作成し、プロファイルを [セットアップ ] ページで管理者ログインに添付す

るか、SSL-VPN ログインに添付して認証またはキャプティブポータルで使用することができま

す。また、GlobalProtect ゲートウェイで認証のために使用される証明書プロファイルを作成する

こともできます。30 ページの「管理設定の定義」および 285 ページの「キャプティブポータル」


表 36 信頼された証明機関設定


有効化無効にした認証局を有効にする場合は、その認証局の横のチェック

ボックスをオンにして、[有効化 ] をクリックします。

無効化

無効にする認証局の横のチェックボックスをオンにして、[ 無効化 ]をクリックします。この操作は、特定の認証局のみを信頼する場合

に適しています。または、ローカル認証局のみを信頼するには、すべ

ての認証局を削除します。

エクスポート

認証局証明書をエクスポートするには、認証局の横のチェックボッ

クスをオンにして、[エクスポート ] をクリックします。この操作は、

別のシステムにインポートする場合や、証明書をオフラインで表示

する場合に実行します。

表 37. 証明書プロファイル設定

ページタイプ説明

名前プロファイルの識別に使用する名前を入力します ( 大 31 文字 )。名前

の大文字と小文字は区別されます。また、一意の名前にする必要があり

ます。文字、数字、スペース、ハイフン、およびアンダースコアのみを

使用してください。

場所デバイスがマルチ仮想システムモードである場合、すべての仮想システ

ムで共有できるようにするには、このチェックボックスをオンにします。

ユーザー名フィールドドロップダウンリストから、ユーザー名オプションを選択します。

ドメインプロファイルのドメインを入力します。

CA 証明書ドロップダウンリストから認証局 (CA) 証明書を選択し、デフォルトの

OCSP URL を指定し、CA 証明書を検証するオプションを選択して、

[ 追加 ] をクリックします。証明書を追加する場合は、この操作を繰り

返します。

証明書を検証できる別個の OCSP レスポンダがある場合は、[OCSP 検証 CA 証明書 ] ドロップダウンが使用されます。



OCSP レスポンダ[Device] > [証明書の管理 ] > [OCSP レスポンダ ]

PAN-OS デバイスで発行された証明書の無効状態を検証するために使用されるサーバーを定義す

るには、[OCSP レスポンダ ] (オンライン証明書状態プロトコルレスポンダ ) ページを使用します。

新しい証明書を生成するときに、使用される OCSP レスポンダを指定できます。

OCSP を有効にするには、[Device] > [セットアップ ] > [セッション ] に移動し、[セッション機能 ]の [暗号証明書失効の設定 ] をクリックします。

CRL の使用証明書無効リスト (CRL) を使用するには、このチェックボックスをオ

ンにします。

OCSP の使用オンライン証明書状態プロトコル (OCSP) サーバーを使用するには、こ

のチェックボックスをオンにします。OCSP は CRL よりも優先されます。

CRL 受信の有効期限 CRL リクエストがタイムアウトするまでの時間を指定します (1 ～ 60 秒)。

OCSP 受信の有効期限 OCSP リクエストがタイムアウトするまでの時間を指定します (1 ～60 秒 )。

証明書の有効期限証明書状態のリクエストがタイムアウトするまでの時間を入力します

(1 ～ 60 秒 )。

証明書状態が不明な場合にセッ

ションをブロック

証明書状態が不明の場合にセッションをブロックするには、このチェッ

クボックスをオンにします。

タイムアウト時間内に証明書状

態を取得できない場合にセッ

ションをブロック

タイムアウト時間内に証明書状態を取得できない場合にセッションを

ブロックするには、このチェックボックスをオンにします。

表 37. 証明書プロファイル設定（続き）

ページタイプ説明

表 38 OCSP レスポンダ設定


名前

OCSP レスポンダサーバーを識別する名前を入力します ( 大 31 文字 )。名前の大文字と小文字は区別されます。また、一意の名前にす

る必要があります。文字、数字、スペース、ハイフン、およびアン

ダースコアのみを使用してください。

ホスト名デバイスの証明書の無効状態をチェックするために使用する OCSPレスポンダサーバーのホスト名を入力します。



ファイアウォールでの秘密鍵とパスワードの暗号化[Device] > [マスターキーおよび診断 ]

[マスターキーおよび診断 ] ページを使用して、ファイアウォールで秘密鍵を暗号化するためのマ

スター鍵を指定します。秘密鍵は、新しいマスター鍵が指定されていない場合でも、デフォルトで

暗号化形式を使用して保存されます。ファイアウォールが共通基準モードの場合、いくつかの暗号

診断機能を使用できます。これらの診断では、暗号自己テストをスケジューリングして実行した

り、要求時に実行したりできます。

新しいマスターキーを作成するには、[新規マスターキー ] フィールドに 16 文字の文字列を入力

し、キーを確定します。ライフタイムとリマインダーの値を入力し、[OK] をクリックします。有

効期限が切れる前にマスターキーを更新する必要があります。マスターキーの更新の詳細は、

94 ページの「マスターキーの更新」を参照してください。

• 94 ページの「[マスターキーおよび診断 ] の設定項目」

• 94 ページの「マスターキーの更新」

[マスターキーおよび診断 ] の設定項目

マスターキーの更新

新しいマスターキーを作成するときに有効期間を定義するため、有効期間に達する前にキーを更

新することが重要です。また、高可用性 (HA) 設定でマスターキーを使用するときには、秘密鍵

と証明書が同じマスターキーで暗号化されるように、両方のデバイスで同じマスターキーを使用

することが重要です。マスターキーが異なると、HA 設定の同期は適切に動作しません。以下の

セクションでは、適切に動作しているマスターキーを更新する方法、およびマスターキーの期限

がすでに切れている場合や HA ペアの各デバイスのマスターキーが同期していない場合の手順に

ついても説明します。

PAN-OS 5.0 では、HA ペアのマスターキーが一致しない場合、「critical」のシステムログが生成

されます。

表 39. [マスターキーおよび診断 ] の設定項目


マスターキーファイアウォールでのすべての秘密鍵とパスワードの暗号化で現在使用され

ている鍵を指定します。

新規マスターキー

再入力新規マスターキー

マスターキーを変更するには、新しい鍵を入力して確認します。

ライフタイムマスターキーが期限切れになるまでの期間を日数と時間数で指定します ( 範囲は 1 ～ 730 日 )。

リマインダーの時間有効期限が迫っていることをユーザーに通知する時期を、期限切れまでの日

数と時間数で指定します (範囲は 1 ～ 365 日 )。

共通基準共通基準モードでは、別のボタンを使用して、暗号化アルゴリズム自己テス

トとソフトウェア整合性自己テストを実行できます。また、この 2 つの自己

テストを実行する時刻を指定するためのスケジューラも用意されています。



以下のような場合にマスターキーを更新します。

• デフォルトのマスターキーを変更する、または作成したマスターキーを変更する。

• HA 設定のマスターキーが同期していない。

• マスターキーがもう少しで期限切れになる。

HA マスターキーの更新 (キーが同期していて、有効期限に達していない )

1. 期限切れになっていない、同期しているマスターキーを更新する場合は、キーを更新する前

に、設定をコミットし、HA ペアの両方のデバイスに保留されている設定更新がないことを確

認する必要があります。

コミットの状態は、各デバイスの Web インターフェイスの右下にある [ タスク ] リンクをク

リックすると表示できます。実行中のジョブをすべて表示するには、CLI から show jobsall を実行します。保留中のジョブを表示するには、show jobs pending を実行します。

保留中の更新がないことを確認するには、設定モードから check pending-changes を実

行すると、「No」が表示されます。

2. 両方のデバイスで [Device] > [高可用性 ] に移動し、[全般 ] タブで [設定の同期化の有効化 ]チェックボックスをオフにして、設定の同期を無効にします。両方のデバイスの設定をコミッ

トします。

3. 16 文字を使用してデバイス A のマスターキーを更新し、設定をコミットします。

4. 同じマスターキーを使用してデバイス B のマスターキーを更新し、設定をコミットします。

5. これでマスターキーが同期します。ログをチェックし、マスターキーに関連する「critical」のシステムログがないことを確認します。

6. [ 設定の同期化の有効化 ] チェックボックスをオンにして設定の同期を有効にし、設定をコ

ミットします。

HA マスターキーの更新 (キーが同期していない、または期限が切れている )

1. マスターキーが同期していない、または期限が切れている場合、システムログに「critical」のエラーが表示されます。これが発生した場合は、HA ペアの両方のデバイスで HA 設定の

同期をただちに無効にする必要があります。両方のデバイスで [Device] > [高可用性 ] に移動

し、[全般 ] タブで [設定の同期化の有効化 ] チェックボックスをオフにします。両方のデバイ

スの設定をコミットします。

2. HA ペアの両方のデバイスに保留されている設定更新がないことを確認します。保留されてい

る変更がある場合は、両方のデバイスで設定をコミットし、すべての設定更新が完了するまで

待機します。

コミットの状態は、各デバイスの Web インターフェイスの右下にある [ タスク ] リンクをク

リックすると表示できます。実行中のジョブをすべて表示するには、CLI から show jobsall を実行します。保留中のジョブを表示するには、show jobs pending を実行します。

保留中の更新がないことを確認するには、設定モードから check pending-changes を実

行すると、「No」が表示されます。

3. 16 文字を使用してデバイス A のマスターキーを更新し、設定をコミットします。

4. 同じマスターキーを使用してデバイス B のマスターキーを更新し、設定をコミットします。

5. 両方のデバイスで設定の同期を有効にし、設定をコミットします。

6. これでマスターキーが同期します。ログをチェックし、マスターキーに関連する「critical」のシステムログがないことを確認します。

7. [ 設定の同期化の有効化 ] チェックボックスをオンにして設定の同期を有効にし、設定をコ

ミットします。問題が解決しない場合は、テクニカルサポート部門にお問い合わせください。

高可用性


高可用性

PAN-OS では、アクティブ / パッシブおよびアクティブ / アクティブの高可用性 (HA) をサポー

トします。

アクティブ /パッシブの HAアクティブ / パッシブコンフィグでは、2 つのデバイスで HA グループを形成して冗長な構成に

しています。2 つのファイアウォールは相互にコンフィグをミラーリングします。何かの理由でア

クティブファイアウォールで障害が発生すると、パッシブファイアウォールが自動的にアクティ

ブになり、サービスは中断されることなく提供されます。選択した Ethernet リンクに障害が発生

した場合や、指定した 1 つ以上の宛先にアクティブファイアウォールが到達できない場合にも、

フェイルオーバーが発生することがあります。トラフィック処理の観点からすると、任意の時点に

おいて 1 つのデバイスがパケットを受信します。

以下のルールは HA の動作とフェイルオーバーに適用されます。

• アクティブファイアウォールは、HA インターフェイスを介して設定情報とセッション情報

をパッシブファイアウォールと継続的に同期します。

• アクティブファイアウォールで障害が発生すると、パッシブファイアウォールがハートビー

トの喪失を検出して自動的にアクティベーションされます。

• 1 つの HA インターフェイスに障害が発生しても、残りのインターフェイスで同期が続行され

ます。状態同期用の接続 (HA2 リンク ) が失われると、状態が同期されなくなります。設定同

期用の接続 (HA1リンク ) が失われると、設定が同期されなくなり、さらにHAデバイス間の

ハートビートも喪失します。このとき両方のデバイスでもう一方のデバイスがダウンしている

と判断され、両デバイスともアクティブになります。

• HA デバイスの管理ポート (MGT) を設定して、ハートビートおよび hello メッセージのバッ

クアップパスを提供します。管理ポート上に HA1 または HA1 バックアップを設定する場合

は、ハートビートバックアップオプションを有効にする必要はありません。

注：HA ペアでは、両方のファイアウォールで同じモデルとライセンスを使用する

必要があります。状態同期化が有効になっている場合、スイッチオーバーの後も既

存のセッションは維持されますが、脅威防御機能は継続されません。脅威対策は新

しいセッションに適用されます。


高可用性

アクティブ /アクティブの HAアクティブ/アクティブの高可用性により、HA ペアの両方のデバイスはトラフィックを同時に送

ることができます。この高可用性は主に、App-ID および Content-ID のサポートが必要とされる

非対称のルーティング環境で導入されます。App-ID および Content-ID のレイヤー 7 検査は、セッ

ション毎に 1 つのデバイス ( セッションオーナーと呼ばれます ) で実行されます。PAN-OS では

(HA3 リンクを介して ) パケット転送を使用し、必要であれば指定されたセッションオーナーにパ

ケットを送信して処理されるようにします。

アクティブ/アクティブのデバイスは、レイヤー 3 またはバーチャルワイヤーインターフェイス

を使用して導入できます。レイヤー 3 導入では、スキャンされたパケットをセッションオーナー

が処理後に直接転送できます。バーチャルワイヤー導入では、スキャンされたパケットを受信ファ

イアウォールに戻して転送パスを維持する必要があります。初にセッションオーナーがパケッ

トを受信する場合、HA3 リンクは使用されません。App-ID および Content-ID が不要なセッショ

ンは、(セッションオーナーではなくても ) 受信デバイスによって直接転送され、パフォーマンス

が大化されます。

柔軟性を保つため、さまざまな方法でレイヤー 3 インターフェイスを設定できます。仮想アドレス

( フローティング IP アドレスまたは ARP ロードシェアリング IP アドレス ) に加え、スタティッ

クインターフェイス IP アドレスを使用してレイヤー 3 インターフェイスを設定することが理に

かなっている場合が多くあります。

• スタティックインターフェイス IP — ファイアウォールが隣接するデバイスと動的ルーティ

ングプロトコルに加わるときは常に、レイヤー 3 インターフェイスにスタティック IP アドレ

スが割り当てられている必要があります。見込まれる 1 つのアクティブ/アクティブ導入オプ

ションは、動的ルーティングプロトコルコストメトリックを使用して、HA ペアを介した対

称パスを強制します。この場合、すべてのトラフィックは対称となり、アクティブ/アクティ

ブペアの効率が大化されます。

• フローティング IP — このモードは、HA ペアメンバーの状態に関係なく IP アドレスを使用

可能にする必要がある場合など、VRRP (Virtual Router Redundancy Protocol) のような機能

が必要な場合に使用します。各ファイアウォールが 1 つを所有できるように特定のインター

フェイスに 2 つのフローティング IP アドレスを設定するのが典型的です。オーナーシップは、

優先度の高いデバイス ID に割り当てられます。どちらかのファイアウォールが失敗すると、

フローティング IP アドレスが HA ピアに移行されます。

• ARP ロードシェアリング — このモードは、ARP (Address Resolution Protocol) を使用して

2 つのファイアウォール間でホストトラフィックの負荷を分散するときに使用します。

これらのオプションの詳細は、この項の以降の説明を参照してください。

高可用性


パケットフローアクティブ/アクティブコンフィグでのパケットフローは以下のとおりです。

• セッションオーナーは、App-ID および Content-ID のすべてのパケット処理の責任を担いま

す。セッションオーナーは、(1) セッションのパケットを受信する初のデバイス、または (2)プライマリデバイスとなるように設定できます。設定オプションを「プライマリデバイス」

に設定すると、すべてのセッションはプライマリデバイスでセットアップされます。

• すべての新しいセッションでは、1 つのデバイスがセッションセットアップデバイスとして

選択されます。これが必要なのは、非対称のルーティング環境で発生する可能性がある競合状

態を回避するためです。セッションセットアップデバイスは、以下のいずれかの方法によっ

て決定されます。

– IP モジュロ — ソース IP アドレスでの単純な剰余演算を使用して、セッションをセット

アップするデバイスを決定します。IP モジュロでは、IP アドレスのパリティに従い、特定

の HA デバイスに対してセッションをセットアップする責任を配分します。

– プライマリデバイス — セッションセットアップはいつでもプライマリデバイスで行わ

れます。

– ハッシュ — ハッシュ化を使用して、セットアップデバイスの選択プロセスでのランダム

性を高めます。

• 新しいセッションが開始すると、受信ファイアウォールは、セッションをセットアップする

か、または HA ピアに転送します。アクションは、上記の説明にあるように、セッションセッ

トアップの設定によって決まります。この期間中、セッションオーナー (App-ID および

Content-ID の状態を保持する責任を担うデバイス ) はその設定に従って決定されます。

• パケットがセッションオーナーに到達すると、そのパケットは脅威がないかどうかスキャン

され (セキュリティポリシーで設定されている場合 )、デバイスのネットワーク設定に従って

転送されます。パケットが HA ピアに到達すると、セッションテーブルのルックアップによ

り、セッションが他のデバイスによって所有されており、HA3 全体にわたってセッション

オーナーにパケットを転送可能であることが識別されます。セッションでレイヤー 7 検査が不

要な場合、受信デバイスでは、セッションを既存のセッションテーブルのエントリと照合し、

その終宛先に向けてパケットを転送できます。

注：アクティブ/アクティブの HA ペアを介して渡されるログは、セッション

オーナーとして指定されるデバイスに表示されます。


高可用性

導入オプションアクティブ/アクティブの HA では、バーチャルワイヤーおよびレイヤー 3 インターフェイスの

同時使用をサポートします。IPv6 環境では、IPv6 パスのモニタリングを含め、すべてのアクティ

ブ/アクティブ導入オプションがサポートされています。

バーチャルワイヤー導入

バーチャルワイヤー導入では、他のアクティブ / アクティブ導入の場合と同様に、完全な非対称

ルーティングをサポートしています。App-ID および Content-ID 検査のセッションオーナーに転

送されるパケットは、必ず受信ファイアウォールに戻し、転送パスを維持することが重要です。

レイヤー 3 フローティング IP 導入

この導入オプションでは、リンク障害またはデバイス障害が発生したときに HA デバイス間を移

動できるフローティング IP アドレスを作成できます。フローティング IP アドレスを所有するポー

トは、仮想 MAC アドレスを持つ ARP リクエストに応答します。VRRP のような機能が必要な場

合は、フローティング IP アドレスの使用をお勧めします。フローティング IP アドレスは、VPNとネットワークアドレス変換 (NAT) 構成で使用でき、このようなサービスを提供するデバイスで

障害が発生した場合に接続を持続させることができます。

レイヤー 3 ARP ロードシェアリング

ARP ロードシェアリングにより、HA ペアは IP アドレスを共有しゲートウェイサービスを提供

できます。この例では、すべてのホストが 1 つのゲートウェイ IP アドレスで構成されています。

ゲートウェイ IP アドレスに対する ARP リクエストには、ARP リクエストの送信元に応じて、ペ

ア内の 1 つのデバイスが応答します。2 つのファイアウォール間でホストトラフィックがより均

等に配信されるように、デバイス選択アルゴリズムを調整できます。ARP ロードシェアリングは、

ファイアウォールとホストが同じブロードキャストドメインに存在する場合に使用する必要があ

ります。レイヤー 3 の分離がある場合は、ARP 負荷分散の利益が失われます。

レイヤー 3 ルートベースの冗長性 (スタティックインターフェイス IP)ルートベースの冗長性により、ファイアウォールおよび隣接するデバイスで Open Shortest PathFirst (OSPF) コストなどのルーティングメトリックを使用してトラフィックが対称になるように

することができます。ロードシェアリングを操作するには、両方のファイアウォールを介してトラ

フィックをルーティングするようにコストを調整します。この場合、デバイスインターフェイス

に割り当てられた IP アドレスは固定され、フェイルオーバー中に HA ピアにフェイルオーバーし

ません。

注：フローティング IP アドレスでは、障害が発生し、IP が HA デバイス間を

移動する場合に、異なる仮想 MAC アドレスが使用されます。

注：アクティブ/アクティブモードで ARP ロードシェアリングを行っている

IPアドレスについては、Ping 発行や管理サービスの提供はできません。

高可用性


NAT に関する考慮事項

アクティブ / アクティブモードでは、すべての NAT ルールでアクティブ / アクティブデバイス

のバインドを定義する必要があります。HA モードがアクティブ/アクティブに変更されると、ア

クティブ / アクティブデバイスのバインドが Web インターフェイスで利用できるようになりま

す。新しいセッションが作成されると、デバイスのバインドにより、ファイアウォールによって照

合される NAT ルールが決定されます ( 照合を行うためには、デバイスのバインドにセッション

オーナーのデバイスが含まれている必要があります )。NAT ポリシーの照合はセッションセット

アップデバイスによって実行されますが、NAT ルールはセッションオーナーの観点から評価さ

れます。セッションは、セッションオーナーのデバイスに結合された NAT ルールに基づいて変

換されます。デバイス固有のルールの場合、NAT ポリシーの照合が実行されるときに、ファイア

ウォールはセッションオーナーに関連付けられていないすべての NAT ルールを省略します。

たとえば、デバイス 1 がセッションオーナーであり、さらにセッションのセットアップも実行す

ると仮定します。デバイス 1 は、セッションと NAT ルールを照合しようとするとき、デバイス 0のデバイスのバインドを持つすべてのルールを省略します。

NAT デバイスのバインドオプションには、以下のものがあります。

• デバイス 0 とデバイス 1 — セッションオーナーと NAT ルール内のデバイス ID が一致する

場合に限り、デバイス固有のバインドに基づいて変換が実行されます。2 つのファイアウォー

ルが変換のために一意のパブリック IP アドレスを使用する場合、一般的にデバイス固有の

NAT ルールが使用されます。

• 両方 — このオプションを使用すると、どちらかのデバイスが新しいセッションと NAT ルー

ルを照合できます。このオプションは、一般的に宛先 NAT で使用されます。

• プライマリ — このオプションを使用すると、アクティブなプライマリデバイスのみが新しい

セッションと NAT ルールを照合できます。この設定は、1 つのファイアウォールのみが ARPリクエストに応答する必要がある受信静的 NAT で主に使用されます。デバイス 0/1 のバイン

ドとは異なり、プライマリデバイスのバインドは、プライマリロールが変換されるときにデ

バイス間を移動できます。

以下の例は、アクティブ/アクティブ NAT 導入に適用されます。

palo alto networks administrator's guide - xicongteam · palo alto networks • 3 2012 ? 12 ?...

Documents