作業環境
- 型番: PA-200
- バージョン: 8.1.19
はじめに
案件で Palo Alto の構築をする場合、設定値はパラメータシートと CLI のコンフィグという形で共有される場合がほとんどかと思います。
新機器のコンフィグを作成する際にコンフィグと GUI 設定項目の対応が付いていると作業しやすいかと思いますので以下に整理しました。
セキュリティポリシーの設定項目
コンフィグの基本構造
Palo Alto のセキュリティポリシー設定のコンフィグ構造は以下のようになっています。
set rulebase security rules <ポリシー名> <設定項目名> <設定値>
ポリシー名は、以下画面の赤枠部分で設定した名前が該当します。
[全般] タブの設定
上の画像の通り設定していた場合、コンフィグは以下のようになります。
set rulebase security rules Trust_to_UnTrust description Naiyou-Sample
set rulebase security rules Trust_to_UnTrust tag Tag-Sampleルールタイプについてはデフォルト値だとコンフィグに表示されません。ルールタイプの設定値の選択肢は以下の通りです。
admin@PA-200# set rulebase security rules Trust_to_UnTrust rule-type
interzone interzone
intrazone intrazone
universal defaultルールタイプ設定
set rulebase security rules <policy-name> rule-type <設定値>
内容設定
set rulebase security rules <policy-name> description <設定値>
タグ設定
set rulebase security rules <policy-name> tag <設定値>
[送信元] タブの設定
以下の画像の通り設定していたとします。
この場合のコンフィグは以下の通りになります。
set rulebase security rules Trust_to_UnTrust from Trust
set rulebase security rules Trust_to_UnTrust source [ 10.0.0.0_8 172.16.0.0-172.31.255.255 192.168.0.0_16 ]送信元ゾーン設定
set rulebase security rules <policy-name> from <設定値>
送信元アドレス設定
set rulebase security rules <policy-name> source <設定値>- 送信元アドレスが複数の場合は、
[ A B C ]のように [ ] で囲いつつ、設定値を半角スペースで区切って指定する
- 送信元アドレスが複数の場合は、
画面右下の Negate にチェックを入れると、「指定した送信元アドレスに該当しないアドレス」という条件になります。
送信元アドレスの Negate 設定
set rulebase security rules <policy-name> negate-source <設定値>- 設定値には
noまたはyesを指定
- 設定値には
Negate 設定はデフォルトでは OFF でコンフィグ上に表示されていませんが、一度でも設定変更すると以降はコンフィグ上に表示されます。
[ユーザー] タブの設定
以下の画像の通り設定していたとします。
この場合のコンフィグは以下の通りになります。
set rulebase security rules Trust_to_UnTrust source-user any
set rulebase security rules Trust_to_UnTrust hip-profiles any送信元ユーザー設定
set rulebase security rules <policy-name> source-user <設定値>
HIP プロファイル設定
set rulebase security rules <policy-name> hip-profiles <設定値>
送信元ユーザーの設定値の選択肢は以下の通りです。
admin@PA-200# set rulebase security rules Trust_to_UnTrust source-user
[ Start a list of values.
any any user
known-user any known user
pre-logon prelogon client machine
unknown unknown userHIP プロファイルの設定値の選択肢は以下の通りです。
admin@PA-200# set rulebase security rules Trust_to_UnTrust hip-profiles
[ Start a list of values.
any any hip-profile
no-hip no hip-profile[宛先] タブの設定
以下の画像の通り設定していたとします。
この場合のコンフィグは以下の通りになります。
set rulebase security rules Trust_to_UnTrust to UnTrust
set rulebase security rules Trust_to_UnTrust destination any宛先ゾーン設定
set rulebase security rules <policy-name> to <設定値>
宛先アドレス設定
set rulebase security rules <policy-name> destination <設定値>
画面右下の Negate にチェックを入れると、「指定した宛先アドレスに該当しないアドレス」という条件になります。
宛先アドレスの Negate 設定
set rulebase security rules <policy-name> negate-destination <設定値>- 設定値には
noまたはyesを指定
- 設定値には
Negate 設定はデフォルトでは OFF でコンフィグ上に表示されていませんが、一度でも設定変更すると以降はコンフィグ上に表示されます。
[アプリケーション] タブの設定
以下の画像の通り設定していたとします。
この場合のコンフィグは以下の通りになります。
set rulebase security rules Trust_to_UnTrust application anyアプリケーション設定
set rulebase security rules <policy-name> application <設定値>
[サービス/URL カテゴリ] タブの設定
以下の画像の通り設定していたとします。
この場合のコンフィグは以下の通りになります。
set rulebase security rules Trust_to_UnTrust service [ HTTP HTTPS ]
set rulebase security rules Trust_to_UnTrust category anyサービス設定
set rulebase security rules <policy-name> service <設定値>
URL カテゴリ設定
set rulebase security rules <policy-name> category <設定値>
[アクション] タブの設定
アクション設定
以下の画像の通り設定していたとします。
この場合のコンフィグは以下の通りになります。
set rulebase security rules Trust_to_UnTrust action allowアクション設定
set rulebase security rules <policy-name> action <設定値>
アクション設定の設定値の選択肢は以下の通りです。
admin@PA-200# set rulebase security rules Trust_to_UnTrust action
allow Allow
deny Deny
drop Drop
reset-both Reset both client and server
reset-client Reset client
reset-server Reset server設定値として allow , deny 以外を設定した場合は、[ICMP 送信到達不能] を有効化できます。
ICMP 送信到達不能の設定
set rulebase security rules <policy-name> icmp-unreachable <設定値>- 設定値には
noまたはyesを指定
- 設定値には
プロファイル設定
セキュリティプロファイルの設定です。以下の画像の通り設定していたとします。
この場合のコンフィグは以下の通りになります。
set rulebase security rules Trust_to_UnTrust profile-setting profiles virus default
set rulebase security rules Trust_to_UnTrust profile-setting profiles vulnerability default
set rulebase security rules Trust_to_UnTrust profile-setting profiles spyware default
set rulebase security rules Trust_to_UnTrust profile-setting profiles url-filtering default
set rulebase security rules Trust_to_UnTrust profile-setting profiles file-blocking "basic file blocking"
set rulebase security rules Trust_to_UnTrust profile-setting profiles data-filtering default
set rulebase security rules Trust_to_UnTrust profile-setting profiles wildfire-analysis defaultアンチウイルス
set rulebase security rules <policy-name> profile-setting profiles virus <設定値>
脆弱性防御
set rulebase security rules <policy-name> profile-setting profiles vulnerability <設定値>
アンチスパイウェア
set rulebase security rules <policy-name> profile-setting profiles spyware <設定値>
URL フィルタリング
set rulebase security rules <policy-name> profile-setting profiles url-filtering <設定値>
ファイル ブロッキング
set rulebase security rules <policy-name> profile-setting profiles file-blocking <設定値>
データ フィルタリング
set rulebase security rules <policy-name> profile-setting profiles data-filtering <設定値>
WildFire 分析
set rulebase security rules <policy-name> profile-setting profiles wildfire-analysis <設定値>
設定値には各機能のプロファイル名を指定します。
プロファイルタイプがグループの場合
以下のようにプロファイルタイプをグループとして設定していたとします。
この場合のコンフィグは以下の通りになります。
set rulebase security rules Trust_to_UnTrust profile-setting group defaultプロファイルグループの設定
set rulebase security rules <policy-name> profile-setting group <設定値>- 設定値にはセキュリティプロファイルグループ名を指定
ログ設定
以下の画像の通り設定していたとします。
この場合のコンフィグは以下の通りになります。
set rulebase security rules Trust_to_UnTrust log-start yes
set rulebase security rules Trust_to_UnTrust log-end yes
set rulebase security rules Trust_to_UnTrust log-setting Log-Tensou-Profセッション開始時にログ
set rulebase security rules <policy-name> log-start <設定値>- 設定値には
noまたはyesを指定
- 設定値には
セッション終了時にログ
set rulebase security rules <policy-name> log-end <設定値>- 設定値には
noまたはyesを指定
- 設定値には
ログ転送
set rulebase security rules <policy-name> log-setting <設定値>- 設定値にはログ転送プロファイル名を指定
その他の設定
以下の画像の通り設定していたとします。
スケジュールと QoS マーキングについては、None と設定した場合はコンフィグに何も表示されません。
スケジュール設定
set rulebase security rules <policy-name> schedule <設定値>- 設定値にはスケジュール名を指定
QoS マーキング
set rulebase security rules <policy-name> qos marking <設定値>
サーバー レスポンス検査の無効化
set rulebase security rules <policy-name> option disable-server-response-inspection <設定値>- 設定値には
noまたはyesを指定
- 設定値には
QoS マーキングの設定値の選択肢は以下の通りです。
admin@PA-200# set rulebase security rules Trust_to_UnTrust qos marking
> ip-dscp IP DSCP
> ip-precedence IP Precedence
follow-c2s-flow Follow Client-to-Server Flow
admin@PA-200# set rulebase security rules Trust_to_UnTrust qos marking ip-dscp
af11 codepoint 001010
af12 codepoint 001100
af13 codepoint 001110
af21 codepoint 010010
af22 codepoint 010100
af23 codepoint 010110
af31 codepoint 011010
af32 codepoint 011100
af33 codepoint 011110
af41 codepoint 100010
af42 codepoint 100100
af43 codepoint 100110
cs0 codepoint 000000
cs1 codepoint 001000
cs2 codepoint 010000
cs3 codepoint 011000
cs4 codepoint 100000
cs5 codepoint 101000
cs6 codepoint 110000
cs7 codepoint 111000
ef codepoint 101110, expedited forwarding
admin@PA-200# set rulebase security rules Trust_to_UnTrust qos marking ip-precedence
cs0 codepoint 000
cs1 codepoint 001
cs2 codepoint 010
cs3 codepoint 011
cs4 codepoint 100
cs5 codepoint 101
cs6 codepoint 110
cs7 codepoint 111
共通事項:設定値が複数の場合の書式
以下のように設定値が複数の場合は、 [ A B C ] のように [ ] で囲いつつ、設定値を半角スペースで区切って指定します。
set rulebase security rules Trust_to_UnTrust source [ 10.0.0.0_8 172.16.0.0-172.31.255.255 192.168.0.0_16 ]ポリシーの無効化/有効化
ポリシーの無効化
set rulebase security rules <policy-name> disabled yes
ポリシーの有効化
set rulebase security rules <policy-name>disabled no
