Palo Alto サービスオブジェクトの概要と設定方法

動作確認環境

• PA-200
  • Version 8.1.19

サービスオブジェクトとは

サービスオブジェクトとは、サービス（プロトコル及びポート番号）情報の定義です。

セキュリティーポリシーを設定する際、宛先サービスを指定します。このサービスを指定する際は、直接プロトコルやポート番号情報を入力するのではなく既に作成済みのサービスオブジェクトを指定するという方式をとります。

このためセキュリティーポリシーを設定する前にサービスオブジェクトを作成しておく必要があります。

複数のサービスオブジェクトを一つのオブジェクトにまとめたサービスグループというオブジェクトも作成可能です。

サービスオブジェクトの設定方法

GUI で設定する場合は [Objects → サービス] 画面の右下にある [追加] をクリックします。

以下のサービス設定画面が表示されるため、各項目を設定します。

• 名前: 任意のオブジェクト名を指定します
  • 使用できる記号は「-」「_」「.」です
• 内容: 説明文を設定したい場合のみ入力します
• プロトコル: TCP、UDP、SCTP Association Activity から選択します
• 宛先ポート: 宛先ポート番号を入力します
  • カンマ区切りでの複数指定、「-」での範囲指定が可能です
• 送信元ポート: 送信元ポートを限定したい場合は指定します
• セッションタイムアウト: アプリケーションから継承、オーバーライドから選択します
  • デフォルトはアプリーケーションから継承です
• タグ: オブジェクトにタグを設定したい場合のみ設定します

CLI で設定する場合は以下の構文で設定します。

設定例: オブジェクト名が TCP_1234 で TCP 1234 ポートで、セッションタイムアウトが「アプリケーションから継承」のオブジェクトを設定する場合

set service TCP_1234 protocol tcp port 1234 override no

コンフィグ上の表示では、以下のように override の設定は別の行で表示されます。

set service TCP_1234 protocol tcp port 1234
set service TCP_1234 protocol tcp override no

上記コンフィグ例のように設定項目別に行を分けて設定投入することも可能です。

サービスグループの作成方法

複数のサービスをグループ化したサービスグループの作成方法です。

GUI で設定する場合、[Objects → サービスグループ] 画面を開き 画面左下の [追加] をクリックします。

以下のサービスグループ設定画面が表示されるため、各項目を設定します。

• 名前: 任意のオブジェクト名を設定します
• アドレス: サービスグループに含めたいサービスオブジェクトを追加します
  • 欄下側にある「追加」からサービスオブジェクトを追加できます
• タグ: オブジェクトにタグを設定したい場合のみ設定します

CLI で設定する場合は以下の構文で設定します。

設定例: オブジェクト名が SampleServiceGroup、含めるサービスが TCP_1234、TCP_1235、TCP_1236 の場合

set service-group SampleServiceGroup members [ TCP_1234 TCP_1235 TCP_1236 ]

Palo Alto 関連記事一覧

• 基礎知識
  • Palo Alto 初期アドレス、初期ユーザパスワード【管理アクセス用】
  • Palo Alto コンフィグの種類とコミットとは【基礎知識】
  • Palo Alto コンフィグを set 形式で表示する方法 (CLI)
  • Palo Alto システムシャットダウンと再起動の実施方法
  • Palo Alto コンフィグを初期化する方法
  • Palo Alto candidate config を削除する方法
  • Palo Alto コンフィグバックアップとリストアの実施方法
• システム設定
  • 初期設定
    • Palo Alto 管理インターフェースの IP アドレスとデフォルトゲートウェイの設定方法
    • Palo Alto ホスト名とドメイン名の設定方法
  • NTP
    • Palo Alto NTP サーバとタイムゾーンの設定方法
  • DNS
    • Palo Alto DNS サーバの設定方法と名前解決のテスト方法
  • Syslog
    • Palo Alto システムログを Syslog サーバに転送するための設定方法
    • Palo Alto トラフィックログを Syslog サーバへ転送するための設定方法
  • SNMP
    • Palo Alto SNMP トラップを送信するための設定方法
    • Palo Alto SNMP コミュニティの設定方法
• HA 設定（冗長化）
  • Palo Alto HA についての基礎知識【初学者向け】
  • Palo Alto アクティブ/パッシブ HA の設定方法【一番詳しい】
  • Palo Alto HA で設定変更時のコンフィグ同期について
  • Palo Alto HA で 4 回切り替わると suspended 状態になります
  • Palo Alto HA heartbeat backup でスプリットブレインを防止
  • Palo Alto HA1 リンクと HA2 リンクの違いとは
• インターフェース設定
  • Palo Alto レイヤ 3 インターフェースの基本設定
  • Palo Alto セキュリティゾーンについての基礎知識と設定方法
  • Palo Alto 通常インターフェースから管理アクセスするための設定【ping,https,ssh,etc.】
  • Palo Alto PPPoE クライアントの設定方法
  • Palo Alto で L2 スイッチングと Vlan インターフェースによるルーティングをさせる設定方法
• ルーティング設定
  • Palo Alto 仮想ルータの基礎知識とスタティックルートの設定方法
  • Palo Alto OSPF の基本設定例
• ポリシー
  • 基礎知識
    • Palo Alto セキュリティポリシーを設定するための基礎知識
  • アドレス・サービス
    • Palo Alto アドレスオブジェクトの概要と設定方法
    • Palo Alto サービスオブジェクトの概要と設定方法
    • Palo Alto サービスとアプリケーションの違いとは
  • セキュリティポリシー
    • Palo Alto セキュリティポリシーの簡単な設定例
    • Palo Alto Ping を許可するセキュリティポリシーの設定方法
    • Palo Alto セキュリティポリシーを無効化/有効化する方法
    • Palo Alto CLI でポリシー設定のサービスを追加・削除する方法
  • NAT
    • Palo Alto 送信元 NAT の設定方法と NAT テストコマンド
    • Palo Alto 宛先 NAT の設定方法と NAT テストコマンド
    • Palo Alto ポートフォワーディング（ポート開放）の設定方法
    • Palo Alto ダイナミック NAPT の設定方法
    • Palo Alto セキュリティポリシー と NAT の適用順序
  • TIPS
    • Palo Alto ポリシーカウンター（ヒットカウント）の確認方法
    • Palo Alto 拒否された通信のトラフィックログを保存する方法
• VPN
  • Palo Alto IPsec VPN の設定例（対向: Cisco ルータ）
• サービス機能
  • Palo Alto DHCP サーバとして使用するための設定方法
  • Palo Alto DNS サーバ（DNS プロキシ）として使用するための設定方法
• TIPS
  • Palo Alto 各種状態確認用 show コマンドまとめ
  • Palo Alto シリアルコンソール接続時にログ表示が見辛い件の解消法
  • Palo Alto コンフィグに「shared content-preview application」が勝手に追加される件
  • Palo Alto ログ転送プロファイルの設定が CLI コンフィグに表示されない事象
  • Palo Alto で Ping/Traceroute を実行する方法と注意点
• 参考資料
  • https://docs.paloaltonetworks.com/
  • https://docs.paloaltonetworks.com/translated/japanese#sort=relevancy&layout=card&numberOfResults=25
  • https://docs.paloaltonetworks.com/search.html#q=pan-os%20admin%20guide&sort=relevancy&layout=card&numberOfResults=25
  • https://docs.paloaltonetworks.com/pan-os/10-1/pan-os-cli-quick-start/cli-command-hierarchy-for-pan-os-101/pan-os-101-configure-cli-command-hierarchy

---

Amazon で買えるおすすめアイテム

以下は Amazon アフィリエイトリンクです。ネットワーク作業向けにそこそこおすすめなアイテムです。

monofive RJ45-USB Cisco互換コンソールケーブル コネクタ保護カバー付き FTDIチップ MF-CBRJ45USB

Amazonで詳しくみる

エレコム CAT6中継コネクタ LD-RJ45JJ6Y2

Amazonで詳しくみる

エレコム CAT6 GigabitやわらかLANケーブル (ブルー)

Amazonで詳しくみる

バッファロー BUFFALO 有線LANアダプター LUA4-U3-AGTE-NBK ブラック Giga USB3.0対応 簡易パッケージ

Amazonで詳しくみる

サンワサプライ(Sanwa Supply) RJ-45プラグSOS ADT-RJ45SOS-10

Amazonで詳しくみる

【整備済み品】HP ノートパソコン 830G5/13.3型フルHD/Win 11/MS Office H&B 2019/第7世代i5-7200U 2.50GHz/メモリ 16GB/SSD 512GB/指紋リーダー/USB 3.0/WEBカメラ/初期設定済

Amazonで詳しくみる

ブログ始めるなら 【アフィリエイトリンク】

当サイト利用中レンタルサーバ【エックスサーバ】

安定性に定評があります

詳しくみる

当サイト利用中 WordPress テーマ 【SWELL】

シンプル・高機能・高速です

詳しくみる