動作確認環境
- PA-200
- Version 8.1.19
セキュリティポリシーの設定例
以下の構成で、Trust ゾーンにいるクライアント 10.1.1.100/24 から DMZ ゾーンにいるサーバ 10.1.2.123/24 に TCP/12345 の通信をすることを想定し、Palo Alto でこの通信を許可するためのセキュリティポリシーを設定してみます。
設定するセキュリティポリシーの内容は以下のようにすることとします。
- 送信元情報
- ゾーン: Trust
- アドレス: 10.1.1.0/24
- 宛先情報
- ゾーン: DMZ
- アドレス 10.1.2.0/24
- サービス: TCP/12345
- アプリケーション: Any
- アクション: 許可
アドレスオブジェクトの作成
まず、セキュリティポリシーの送信元アドレス及び宛先アドレスの設定で使用するアドレスオブジェクトを作成します。
送信元として 10.1.1.0/24 を指定するため、以下のような内容のアドレスオブジェクトを作成します。
また宛先として 10.1.2.0/24 を指定するため、以下のような内容のアドレスオブジェクトを作成します。
アドレスオブジェクトの作成について詳しくはこちらの記事を参照してください。
サービスオブジェクトの作成
次にセキュリティポリシーのサービスのの設定で使用するサービスオブジェクトを作成します。
今回 TCP/12345 のサービスを設定するため、以下のような内容のサービスオブジェクトを作成します。
サービスオブジェクトの作成について詳しくはこちらの記事を参照してください。
セキュリティポリシーの設定
アドレス・サービスオブジェクトの作成ができたらセキュリティポリシーを設定します。
セキュリティポリシーを追加するためには [Policies → セキュリティ] 画面の右下の [追加] をクリックします。
するとセキュリティポリシールール設定画面が表示されるため、この画面の各タブで設定を行います。
[全般] タブでは以下のように設定します。
- 名前: 任意のセキュリティポリシー名を入力
- ルールタイプ: universal
- 内容: 未設定(必要な場合のみ設定)
- タグ: 未設定(必要な場合のみ設定)
[送信元] タブでは以下のように設定します。
- 送信元ゾーン: 送信元が属するゾーン。今回の例では Trust
- 送信元アドレス: 今回の例では 10.1.1.0/24 のアドレスオブジェクトを指定
[ユーザー] タブでは以下のように設定します。
- 送信元ユーザー: any(デフォルト)
- HIP プロファイル: any(デフォルト)
[宛先] タブでは以下のように設定します。
- 宛先ゾーン: 宛先が属するゾーン。今回の例では DMZ
- 宛先アドレス: 今回の例では 10.1.2.0/24 のアドレスオブジェクトを指定
[アプリケーション] タブでは以下のように設定します。
- アプリケーション: いずれか(any)(デフォルト)
[サービス/URL カテゴリ] では以下のように設定します。
- サービス: 対象通信のサービス。今回の例では TCP/12345 のサービスオブジェクトを指定
- URL カテゴリ: いずれか(any)(デフォルト)
[アクション] タブでは以下のように設定します。
- アクション: Allow(許可)
- その他の項目: デフォルト
以上が設定できたら、セキュリティポリシールール設定画面右下の [OK] をクリックします。
ちなみに CLI でこのセキュリティポリシーを設定する場合以下のコマンドになります。
set rulebase security rules Trust_to_DMZ_Rule_01 to DMZ
set rulebase security rules Trust_to_DMZ_Rule_01 from Trust
set rulebase security rules Trust_to_DMZ_Rule_01 source Net_10.1.1.0_24
set rulebase security rules Trust_to_DMZ_Rule_01 destination Net_10.1.2.0_24
set rulebase security rules Trust_to_DMZ_Rule_01 source-user any
set rulebase security rules Trust_to_DMZ_Rule_01 category any
set rulebase security rules Trust_to_DMZ_Rule_01 application any
set rulebase security rules Trust_to_DMZ_Rule_01 service TCP_12345
set rulebase security rules Trust_to_DMZ_Rule_01 hip-profiles any
set rulebase security rules Trust_to_DMZ_Rule_01 action allowセキュリティポリシーを追加後、[Device → セキュリティ] 画面のセキュリティポリシー一覧の中に、追加したセキュリティポリシーが表示されていることを確認します。
セキュリティポリシーの位置の調整
新規追加されたセキュリティポリシーは、セキュリティポリシーの中の一番下に追加されます。つまり、セキュリティポリシーの中で一番最後に評価される位置に追加されます。
今回の例では、既存ですべての通信を拒否する ALL_Deny ルールを設定していたため、新規追加したセキュリティポリシーは ALL_Deny の下に追加されます。
この場合、新規追加したセキュリティポリシーが評価される前に ALL_Deny ポリシーで通信が拒否されてしまうため、新規追加したセキュリティポリシーの位置を ALL_Deny ポリシーの上に移動する必要があります。そのため、セキュリティポリシーの位置を移動します。
セキュリティポリシーを移動するためには、[Policies → セキュリティ] 画面で、移動対象のセキュリティポリシーをクリックして選択状態にしたうえで、画面下側の [移動 → 上へ] をクリックします。これで一つ上に移動することができます。
この操作を実行した結果、以下のようにセキュリティポリシーが1つ上に移動し1番となりました。
CLI でセキュリティポリシーの移動を行う場合はコンフィギュレーションモードで以下のコマンドで行います。
- ポリシー名①をポリシー名②の上(前)に移動する場合:
- move rulebase security rules <ポリシー名①> before <ポリシー名②>
- ポリシー名①をポリシー名②の下(後)に移動する場合:
- move rulebase security rules <ポリシー名①> after <ポリシー名②>
- ポリシー名①をポリシーの中で一番上(前)に移動する場合:
- move rulebase security rules <ポリシー名①> top
- ポリシー名①をポリシーの中で一番下(後)に移動する場合:
- move rulebase security rules <ポリシー名①> bottom
実行例: セキュリティポリシー Trust_to_DMZ_Rule_01 を セキュリティポリシー ALL_Deny の上に移動する場合
admin@PA-200# move rulebase security rules Trust_to_DMZ_Rule_01 before ALL_Deny
[edit]
admin@PA-200#vsys(仮想システム)を使用している場合は、ポリシー移動コマンドは vsys 情報を追加した形のコマンドになります。
参考資料
Palo Alto 関連記事一覧
- 基礎知識
- システム設定
- 初期設定
- NTP
- DNS
- Syslog
- SNMP
- HA 設定(冗長化)
- インターフェース設定
- ルーティング設定
- ポリシー
- 基礎知識
- アドレス・サービス
- セキュリティポリシー
- NAT
- TIPS
- VPN
- サービス機能
- TIPS
- 参考資料
- https://docs.paloaltonetworks.com/
- https://docs.paloaltonetworks.com/translated/japanese#sort=relevancy&layout=card&numberOfResults=25
- https://docs.paloaltonetworks.com/search.html#q=pan-os%20admin%20guide&sort=relevancy&layout=card&numberOfResults=25
- https://docs.paloaltonetworks.com/pan-os/10-1/pan-os-cli-quick-start/cli-command-hierarchy-for-pan-os-101/pan-os-101-configure-cli-command-hierarchy
Amazon で買えるおすすめアイテム
以下は Amazon アフィリエイトリンクです。ネットワーク作業向けにそこそこおすすめなアイテムです。
コメント