Palo Alto セキュリティゾーンについての基礎知識と設定方法

2025年3月16日

動作確認環境

PA-200
- Version 8.1.19

セキュリティゾーンとは

Palo Alto に限らず、ファイアウォールにはセキュリティゾーン（以下、単に「ゾーン」と記載）という概念があります。

ファイアウォールを設置する場合、ファイアウォールを境界としてネットワークを分割して通信制御が行われます。このときの分割された部分的なネットワークのことをゾーンと呼びます。

良く行われるネットワーク分割の方法として、Trust、Untrust、DMZ の3つのゾーンに分割する方法があります。

Trust ゾーン: 拠点内部のネットワーク
DMZ ゾーン: 外部に公開されているサーバがあるネットワーク
Untrust ゾーン: インターネットやキャリア網などの外部のネットワーク

上記のようにネットワークをいくつかのゾーンに分割した上で、ゾーン間の通信について許可・拒否を行うといった制御がファイアウォールで行われます。

ゾーンとインターフェース

Palo Alto ではインターフェースは必ずいずれかのゾーンに所属する必要があります。

例えばインターフェース1の所属ゾーンが Trust である場合、インターフェース1の先に存在するネットワークは Trust ゾーンであるというような考え方になります。

ゾーンとセキュリティポリシー

セキュリティポリシーとは、どの通信を許可または拒否するのかを定義する設定です。

Palo Alto においてセキュリティポリシーを設定する際には、必ず送信元ゾーンと宛先ゾーンを設定する必要があります。

ゾーンの設定

GUI でゾーンを新規作成・編集するためには [Network → ゾーン] から行います。

以下はゾーンの編集画面です。

基本的には以下の設定を行えば OK です。

名前: 任意のゾーン名を設定します
タイプ: そのゾーンに所属させるインターフェースのタイプと合わせます。基本的には「レイヤー3」とします。
インターフェース: そのゾーンに所属させるインターフェースを追加します。ゾーンのタイプと同じタイプのインターフェースのみ追加が可能です

CLI で設定する場合は以下の構文で設定します。

set zone <ゾーン名> network <タイプ>
- 所属インターフェースが存在しない場合の設定
set zone <ゾーン名> network <タイプ> <所属インターフェース名>
- 所属インターフェースが一つの場合の設定
set zone <ゾーン名> network <タイプ> [ <インターフェース1> <インターフェース2> … ]
- 所属インターフェースが 2 つ以上の場合の設定

設定可能なタイプのリスト:

> layer2                            Layer2 interfaces
> layer3                            Layer3 interfaces
> tap                               Tap mode interfaces
> virtual-wire                      Virtual-wire interfaces
  tunnel                            Tunnel inspection zone

設定例:

set zone Trust network layer3 ethernet1/2
set zone Untrust network layer3 ethernet1/1
set zone SampleZone network layer3 [ ethernet1/3 ethernet1/4 ]
set zone hogeZone network layer3