目次
セキュリティポリシーが先か NAT が先か問題
Palo Alto ファイアウォールでは、セキュリティポリシーと NAT ルールは互いに独立して設定します。
ここで気になるのが、セキュリティポリシーの評価と NAT はどちらが先に実施されるのかということです。
その順序によってセキュリティポリシーで設定すべきアドレスも変わってきます。
答え:複雑なので以下参照
Palo Alto ファイアウォールがパケット受信時の各処理の順序は以下の通りです。
NATに関わる処理プロセス
- パケットを着信したインターフェースから送信元ゾーンが確定する
- 入力パケットの宛先 IP アドレスに基いてルーティングされ、出力インターフェース及び宛先ゾーンが決定される
- この時点の [送信元/宛先] IP アドレス、及び [送信元/宛先] ゾーンに基いて NAT ルールの適用有無を検査・確定する
- NAT 後の宛先 IP アドレスに基いて再度ルーティングされ、宛先ゾーンが再決定される(宛先 NAT が適用される場合)
- NAT 前の [送信元/宛先] IP アドレス、及びこの時点での [送信元/宛先] ゾーンに基づいて、一致するセキュリティポリシーを検査・適用する
- [送信元/宛先] アドレス、送信元ゾーン: NAT 前のもので検査
- 宛先ゾーン: NAT 後のもので検査
- 一致する NAT ルールに基づいて、出力時に送信元・宛先アドレス、ポート番号を変換する
以上の処理順序から、セキュリティポリシーを設定する際には以下のように設定する必要があります。
- 宛先ゾーン: 宛先 NAT 後にルーティングされた結果決まる宛先ゾーンを設定
- それ以外(送信元/宛先 IP、送信元ゾーン): NAT 前の IP アドレス、送信元ゾーンを設定
Palo Alto 関連記事一覧
- 基礎知識
- システム設定
- 初期設定
- NTP
- DNS
- Syslog
- SNMP
- HA 設定(冗長化)
- インターフェース設定
- ルーティング設定
- ポリシー
- 基礎知識
- アドレス・サービス
- セキュリティポリシー
- NAT
- TIPS
- VPN
- サービス機能
- TIPS
- 参考資料
- https://docs.paloaltonetworks.com/
- https://docs.paloaltonetworks.com/translated/japanese#sort=relevancy&layout=card&numberOfResults=25
- https://docs.paloaltonetworks.com/search.html#q=pan-os%20admin%20guide&sort=relevancy&layout=card&numberOfResults=25
- https://docs.paloaltonetworks.com/pan-os/10-1/pan-os-cli-quick-start/cli-command-hierarchy-for-pan-os-101/pan-os-101-configure-cli-command-hierarchy
Amazon で買えるおすすめアイテム
以下は Amazon アフィリエイトリンクです。ネットワーク作業向けにそこそこおすすめなアイテムです。
【整備済み品】HP ノートパソコン 830G5/13.3型フルHD/Win 11/MS Office H&B 2019/第7世代i5-7200U 2.50GHz/メモリ 16GB/SSD 512GB/指紋リーダー/USB 3.0/WEBカメラ/初期設定済
コメント