Palo Alto セキュリティポリシーを設定するための基礎知識

セキュリティポリシーとは

セキュリティポリシー（以下、「ポリシー」と記載）とは、Palo Alto ファイアウォールを通過する通信について、「許可」または「拒否」するという動作を定義した設定です。

Palo Alto 以外のメーカのファイアウォールも含め、ファイアウォールでは何もポリシーが設定されていない状態ではすべての通信を拒否します。これは「暗黙のdeny」と呼ばれる、すべての通信を拒否するポリシーがデフォルトで存在するためです。

ファイアウォールの管理者は、許可したい通信については動作が許可のポリシーを設定し、拒否したい通信については動作が拒否のポリシーを設定することによって、ファイアウォールを通過する通信を制御します。

Palo Alto ファイアウォールのデフォルトのポリシー

Palo Alto ファイアウォールでは、デフォルトで以下の 2 つのポリシーが存在します。

• intrazone-default
  • 送信元ゾーンと宛先ゾーンが同一の通信をすべて「許可」するポリシー
• interzone-default
  • 送信元ゾーンと宛先ゾーンが異なる通信をすべて「拒否」するポリシー

上記のデフォルトのポリシーが存在することから、ポリシーを手動で設定しない限りは以下の動作になります。

「セキュリティゾーン」という概念

ファイアウォールやポリシーに関連して、セキュリティゾーン（以下、「ゾーン」と記載）という概念が存在します。

ゾーンとは、ファイアウォールを境界としてネットワークを分割した際に、分割された結果のそれぞれの部分的なネットワークのことです。

ファイアウォールを扱う際にはゾーンの理解は必須となります。

ゾーンについて詳しくは以下の記事に記載しています。

あわせて読みたい

Palo Alto セキュリティゾーンについての基礎知識と設定方法 動作確認環境 PA-200 Version 8.1.19 セキュリティゾーンとは Palo Alto に限らず、ファイアウォールにはセキュリティゾーン（以下、単に「ゾーン」と記載）という概念...

ポリシーの構成要素

ポリシーは以下のような項目から構成されます。

ステートフルインスペクション

ネットワーク通信には、片方向の通信と双方向の通信があります。

双方向の通信では、送信元端末から宛先端末に通信を行った後、宛先端末から送信元端末への応答の通信が発生します。

この双方向の通信をファイアウォールで許可したい場合を考えてみます。

単純に考えると、以下の 2 つのポリシー設定が必要に思えます。

• 送信元端末から宛先端末への通信を許可するポリシー
• 宛先端末から送信元端末への通信を許可するポリシー

しかし、実際には「送信元端末から宛先端末への通信を許可するポリシー」だけを設定すれば十分です。

なぜなら、送信元端末から宛先端末への通信がポリシーによって許可された時点で、ファイアウォールのセッションテーブルに通信内容が記録され、そのセッションテーブルの内容に基づいて宛先端末から送信元端末への応答の通信は自動で許可されるためです。

この仕組みをステートフルインスペクションといいます。

ポリシーの評価順序に関する注意点

ファイアウォールの管理者によってポリシーは複数設定されることになりますが、それらのポリシーには評価順序があります。

Palo Alto ファイアウォールの場合は以下の順序で評価されます。

また、手動で設定したポリシーをすべて評価した後、デフォルトのポリシーである intrazone-default、interzone-default の順で評価されます。

一つずつ順番にポリシーを評価していく中で条件に合致するポリシーが見つかった場合、そのポリシーに基づいて通信の許可/拒否が決定され、それ以降のポリシーは無視されます。

新規作成したポリシーは一番下に追加される

新規作成したポリシーは一番下に追加されます。

よって、既存のポリシーで通信を拒否するポリシーがある場合、その拒否ポリシーが先に評価されて許可したい通信が拒否されてしまうといったことが起こりえます。

新規にポリシーを追加する際は、追加するポリシーをどの位置に追加する必要があるのかも考慮する必要があります。

---