Palo Alto 通常インターフェースから管理アクセスするための設定【ping,https,ssh,etc.】

動作確認環境

• PA-200
  • Version 8.1.19

Palo Alto への管理アクセスについて

Palo Alto の管理者は Palo Alto に対して Ping、HTTPS、SSH などの管理アクセスを行いますが、これらのアクセスを許可するかどうかの設定が存在します。

管理アクセスは MGT インターフェースから行うことが多いと思いますが、MGT インターフェースからの Ping、HTTPS、SSH アクセスについてはデフォルトで許可の設定になっているため、管理アクセスの許可設定を特に意識せずに管理アクセスを行うことが可能です。

一方、通常のトラフィック転送に使用するインターフェースについてはデフォルトでは Ping、HTTPS、SSH などの管理アクセスはできない設定になっています。そのため、通常のインターフェースから管理アクセスを行うためにはこれを許可する設定を行う必要があります。

管理アクセスを許可するための設定手順

通常のインターフェースからの管理アクセスを許可するためには以下の設定を行います。

1. インターフェース管理プロファイルを作成する
2. インターフェース管理プロファイルをインターフェースに適用する

インターフェース管理プロファイルの作成

GUI からインターフェース管理プロファイルを作成する場合は、[Network → ネットワークプロファイル → インターフェイス管理] から行います。

許可したいサービスについてチェックを入れます。アクセス許可 IP アドレスの設定は任意です。設定すると設定した IP アドレスまたはセグメントを送信元とする場合のみ許可され、それ以外の送信元からのアクセスは拒否されます。

CLI で設定を行う場合は以下の構文で設定します。

• set network profiles interface-management-profile <プロファイル名> <サービス名> yes
  • 許可するサービスを設定する場合
• set network profiles interface-management-profile <プロファイル名> permitted-ip <IP>
  • アクセス許可 IP アドレスを設定する場合

◆設定例:

set network profiles interface-management-profile Ping_OK ping yes
set network profiles interface-management-profile Ping_OK https yes
set network profiles interface-management-profile Ping_OK ssh yes
set network profiles interface-management-profile Ping_OK permitted-ip 10.10.1.0/24
set network profiles interface-management-profile Ping_OK permitted-ip 192.168.1.0/24

指定できるサービス一覧は以下の通りです。

+ http                         http
+ http-ocsp                    http-ocsp
+ https                        https
+ ping                         ping
+ response-pages               response-pages
+ snmp                         snmp
+ ssh                          ssh
+ telnet                       telnet
+ userid-service               userid-service
+ userid-syslog-listener-ssl   userid-syslog-listener-ssl
+ userid-syslog-listener-udp   userid-syslog-listener-udp

管理プロファイルをインターフェースに適用

GUI で設定する場合は、インターフェース設定画面の [詳細 → その他情報 → 管理プロファイル] でインターフェース管理プロファイルを指定します。

CLI で設定する場合は以下の構文で設定します。

• set network interface ethernet <IF名> layer3 interface-management-profile <プロファイル名>
  • ※レイヤ3 インターフェースに対して設定する場合

◆設定例:

set network interface ethernet ethernet1/1 layer3 interface-management-profile Ping_OK

デフォルトではインターフェースには管理プロファイルは何も適用されていません。

Palo Alto 関連記事一覧

• 基礎知識
  • Palo Alto 初期アドレス、初期ユーザパスワード【管理アクセス用】
  • Palo Alto コンフィグの種類とコミットとは【基礎知識】
  • Palo Alto コンフィグを set 形式で表示する方法 (CLI)
  • Palo Alto システムシャットダウンと再起動の実施方法
  • Palo Alto コンフィグを初期化する方法
  • Palo Alto candidate config を削除する方法
  • Palo Alto コンフィグバックアップとリストアの実施方法
• システム設定
  • 初期設定
    • Palo Alto 管理インターフェースの IP アドレスとデフォルトゲートウェイの設定方法
    • Palo Alto ホスト名とドメイン名の設定方法
  • NTP
    • Palo Alto NTP サーバとタイムゾーンの設定方法
  • DNS
    • Palo Alto DNS サーバの設定方法と名前解決のテスト方法
  • Syslog
    • Palo Alto システムログを Syslog サーバに転送するための設定方法
    • Palo Alto トラフィックログを Syslog サーバへ転送するための設定方法
  • SNMP
    • Palo Alto SNMP トラップを送信するための設定方法
    • Palo Alto SNMP コミュニティの設定方法
• HA 設定（冗長化）
  • Palo Alto HA についての基礎知識【初学者向け】
  • Palo Alto アクティブ/パッシブ HA の設定方法【一番詳しい】
  • Palo Alto HA で設定変更時のコンフィグ同期について
  • Palo Alto HA で 4 回切り替わると suspended 状態になります
  • Palo Alto HA heartbeat backup でスプリットブレインを防止
  • Palo Alto HA1 リンクと HA2 リンクの違いとは
• インターフェース設定
  • Palo Alto レイヤ 3 インターフェースの基本設定
  • Palo Alto セキュリティゾーンについての基礎知識と設定方法
  • Palo Alto 通常インターフェースから管理アクセスするための設定【ping,https,ssh,etc.】
  • Palo Alto PPPoE クライアントの設定方法
  • Palo Alto で L2 スイッチングと Vlan インターフェースによるルーティングをさせる設定方法
• ルーティング設定
  • Palo Alto 仮想ルータの基礎知識とスタティックルートの設定方法
  • Palo Alto OSPF の基本設定例
• ポリシー
  • 基礎知識
    • Palo Alto セキュリティポリシーを設定するための基礎知識
  • アドレス・サービス
    • Palo Alto アドレスオブジェクトの概要と設定方法
    • Palo Alto サービスオブジェクトの概要と設定方法
    • Palo Alto サービスとアプリケーションの違いとは
  • セキュリティポリシー
    • Palo Alto セキュリティポリシーの簡単な設定例
    • Palo Alto Ping を許可するセキュリティポリシーの設定方法
    • Palo Alto セキュリティポリシーを無効化/有効化する方法
    • Palo Alto CLI でポリシー設定のサービスを追加・削除する方法
  • NAT
    • Palo Alto 送信元 NAT の設定方法と NAT テストコマンド
    • Palo Alto 宛先 NAT の設定方法と NAT テストコマンド
    • Palo Alto ポートフォワーディング（ポート開放）の設定方法
    • Palo Alto ダイナミック NAPT の設定方法
    • Palo Alto セキュリティポリシー と NAT の適用順序
  • TIPS
    • Palo Alto ポリシーカウンター（ヒットカウント）の確認方法
    • Palo Alto 拒否された通信のトラフィックログを保存する方法
• VPN
  • Palo Alto IPsec VPN の設定例（対向: Cisco ルータ）
• サービス機能
  • Palo Alto DHCP サーバとして使用するための設定方法
  • Palo Alto DNS サーバ（DNS プロキシ）として使用するための設定方法
• TIPS
  • Palo Alto 各種状態確認用 show コマンドまとめ
  • Palo Alto シリアルコンソール接続時にログ表示が見辛い件の解消法
  • Palo Alto コンフィグに「shared content-preview application」が勝手に追加される件
  • Palo Alto ログ転送プロファイルの設定が CLI コンフィグに表示されない事象
  • Palo Alto で Ping/Traceroute を実行する方法と注意点
• 参考資料
  • https://docs.paloaltonetworks.com/
  • https://docs.paloaltonetworks.com/translated/japanese#sort=relevancy&layout=card&numberOfResults=25
  • https://docs.paloaltonetworks.com/search.html#q=pan-os%20admin%20guide&sort=relevancy&layout=card&numberOfResults=25
  • https://docs.paloaltonetworks.com/pan-os/10-1/pan-os-cli-quick-start/cli-command-hierarchy-for-pan-os-101/pan-os-101-configure-cli-command-hierarchy

---

Amazon で買えるおすすめアイテム

以下は Amazon アフィリエイトリンクです。ネットワーク作業向けにそこそこおすすめなアイテムです。

monofive RJ45-USB Cisco互換コンソールケーブル コネクタ保護カバー付き FTDIチップ MF-CBRJ45USB

Amazonで詳しくみる

エレコム CAT6中継コネクタ LD-RJ45JJ6Y2

Amazonで詳しくみる

エレコム CAT6 GigabitやわらかLANケーブル (ブルー)

Amazonで詳しくみる

バッファロー BUFFALO 有線LANアダプター LUA4-U3-AGTE-NBK ブラック Giga USB3.0対応 簡易パッケージ

Amazonで詳しくみる

サンワサプライ(Sanwa Supply) RJ-45プラグSOS ADT-RJ45SOS-10

Amazonで詳しくみる

【整備済み品】HP ノートパソコン 830G5/13.3型フルHD/Win 11/MS Office H&B 2019/第7世代i5-7200U 2.50GHz/メモリ 16GB/SSD 512GB/指紋リーダー/USB 3.0/WEBカメラ/初期設定済

Amazonで詳しくみる

ブログ始めるなら 【アフィリエイトリンク】

当サイト利用中レンタルサーバ【エックスサーバ】

安定性に定評があります

詳しくみる

当サイト利用中 WordPress テーマ 【SWELL】

シンプル・高機能・高速です

詳しくみる