Palo Alto CLI でポリシー設定のサービスを追加・削除する方法

2025年3月20日

動作確認環境

PA-200
- Version 8.1.19

Palo Alto 運用の中でのポリシーの設定変更

Palo Alto を運用している中で、セキュリティポリシーの設定変更を行うことがあります。

ここでは特にポリシーのサービス設定の変更を CLI で行う場合について記載します。

ポリシーのサービス設定のコンフィグ

ポリシーの設定はコンフィグ上では以下のように表示されます。

set rulebase security rules Policy01 to Trust
set rulebase security rules Policy01 from Untrust
set rulebase security rules Policy01 source 10.10.1.0_24
set rulebase security rules Policy01 destination 192.168.100.0_24
set rulebase security rules Policy01 source-user any
set rulebase security rules Policy01 category any
set rulebase security rules Policy01 application any
set rulebase security rules Policy01 service Service01
set rulebase security rules Policy01 hip-profiles any
set rulebase security rules Policy01 action allow

このうち、サービス設定に該当するコンフィグは以下です。

set rulebase security rules Policy01 service Service01

サービスとして Service01 というサービスオブジェクトのみが設定されています。

CLI でのポリシーのサービスの追加方法

CLI でポリシーのサービス設定にサービスを追加したい場合は、以下のコマンドで設定します。

ポリシーへのサービス追加コマンド

set rulebase security rules <ポリシー名> service <追加するサービスの名前>

設定例：

設定変更前のサービス設定が以下のように Service01 のみが設定されていたとします。

set rulebase security rules Policy01 service Service01

このサービス設定に Service02 を新たに追加したい場合は以下コマンドを実行します。

set rulebase security rules Policy01 service Service02

結果、以下のようにサービス設定に Service02 が追加されます。

set rulebase security rules Policy01 service [ Service01 Service02 ]

サービス設定コマンドは既存設定の上書きではなく、指定したオブジェクトの追加になる点に注意してください。

◆複数のサービスの追加

2つ以上のサービスを同時に追加したい場合は以下のようなコマンドを実行します。

ポリシーへの複数サービス追加コマンド

set rulebase security rules <ポリシー名> service [ <追加サービス①> <追加サービス②> … ]
- サービス指定部分を [] で囲い、サービス名を半角スペースで区切って指定する

設定例：

設定変更前のサービス設定が以下のように Service01 のみが設定されていたとします。

set rulebase security rules Policy01 service Service01

このサービス設定に Service02 と Serivce03 を新たに追加したい場合は以下コマンドを実行します。

set rulebase security rules Policy01 service [ Service02 Service03 ]

結果、以下のようにサービス設定に Service02 と Service03 が追加されます。

set rulebase security rules Policy01 service [ Service01 Service02 Service03 ]

CLI でのポリシーのサービスの削除方法

CLI でポリシーのサービス設定にサービスを追加したい場合は、以下のコマンドで設定します。

ポリシーからのサービス削除コマンド

delete rulebase security rules <ポリシー名> service <削除するサービスの名前>

設定例：

設定変更前のサービス設定が以下のように Service01,Service02,Service03 が設定されていたとします。

set rulebase security rules Policy01 service [ Service01 Service02 Service03 ]

このサービス設定から Service03 を削除したい場合は以下コマンドを実行します。

delete rulebase security rules Policy01 service Service03

結果、以下のようにサービス設定に Service03 が削除されます。

set rulebase security rules Policy01 service [ Service01 Service02 ]

◆複数のサービスを指定した削除について

さて、ここでサービス追加の時と同じように、複数のサービスを指定してサービスの削除ができるのではと思うかもしれません。

しかし、サービスの削除を行う場合は複数のサービスを同時に削除することはできません。

このため複数のサービスを削除したい場合は1つずつ削除する必要がありますので注意してください。

◆サービス設定の全削除

サービス設定をすべて削除する（何もサービスが設定されていない状態にする）ことは可能です。

サービス設定をすべて削除する場合は以下のコマンドを実行します。

ポリシーからのサービス全削除コマンド

delete rulebase security rules <ポリシー名> service

設定例：

admin@PA-200# show rulebase security rules Policy01
set rulebase security rules Policy01 to Trust
set rulebase security rules Policy01 from Untrust
set rulebase security rules Policy01 source 10.10.1.0_24
set rulebase security rules Policy01 destination 192.168.100.0_24
set rulebase security rules Policy01 source-user any
set rulebase security rules Policy01 category any
set rulebase security rules Policy01 application any
set rulebase security rules Policy01 hip-profiles any
set rulebase security rules Policy01 action allow
set rulebase security rules Policy01 service [ Service01 Service02 Service03 ]
[edit]
admin@PA-200# delete rulebase security rules Policy01 service

[edit]
admin@PA-200# show rulebase security rules Policy01
set rulebase security rules Policy01 to Trust
set rulebase security rules Policy01 from Untrust
set rulebase security rules Policy01 source 10.10.1.0_24
set rulebase security rules Policy01 destination 192.168.100.0_24
set rulebase security rules Policy01 source-user any
set rulebase security rules Policy01 category any
set rulebase security rules Policy01 application any
set rulebase security rules Policy01 hip-profiles any
set rulebase security rules Policy01 action allow
[edit]
admin@PA-200#