【Palo Alto】セキュリティポリシー設定を完全理解する

ファイアウォール(UTM)

作業環境

  • 型番: PA-200
  • バージョン: 8.1.19

はじめに

案件で Palo Alto の構築をする場合、設定値はパラメータシートと CLI のコンフィグという形で共有される場合がほとんどかと思います。

新機器のコンフィグを作成する際にコンフィグと GUI 設定項目の対応が付いていると作業しやすいかと思いますので以下に整理しました。

セキュリティポリシーの設定項目

コンフィグの基本構造

Palo Alto のセキュリティポリシー設定のコンフィグ構造は以下のようになっています。

  • set rulebase security rules <ポリシー名> <設定項目名> <設定値>

ポリシー名は、以下画面の赤枠部分で設定した名前が該当します。

[全般] タブの設定

上の画像の通り設定していた場合、コンフィグは以下のようになります。

set rulebase security rules Trust_to_UnTrust description Naiyou-Sample
set rulebase security rules Trust_to_UnTrust tag Tag-Sample

ルールタイプについてはデフォルト値だとコンフィグに表示されません。ルールタイプの設定値の選択肢は以下の通りです。

admin@PA-200# set rulebase security rules Trust_to_UnTrust rule-type
  interzone   interzone
  intrazone   intrazone
  universal   default

ルールタイプ設定

  • set rulebase security rules <policy-name> rule-type <設定値>

内容設定

  • set rulebase security rules <policy-name> description <設定値>

タグ設定

  • set rulebase security rules <policy-name> tag <設定値>

[送信元] タブの設定

以下の画像の通り設定していたとします。

この場合のコンフィグは以下の通りになります。

set rulebase security rules Trust_to_UnTrust from Trust
set rulebase security rules Trust_to_UnTrust source [ 10.0.0.0_8 172.16.0.0-172.31.255.255 192.168.0.0_16 ]

送信元ゾーン設定

  • set rulebase security rules <policy-name> from <設定値>

送信元アドレス設定

  • set rulebase security rules <policy-name> source <設定値>
    • 送信元アドレスが複数の場合は、 [ A B C ] のように [ ] で囲いつつ、設定値を半角スペースで区切って指定する

画面右下の Negate にチェックを入れると、「指定した送信元アドレスに該当しないアドレス」という条件になります。

送信元アドレスの Negate 設定

  • set rulebase security rules <policy-name> negate-source <設定値>
    • 設定値には no または yes を指定

Negate 設定はデフォルトでは OFF でコンフィグ上に表示されていませんが、一度でも設定変更すると以降はコンフィグ上に表示されます。

[ユーザー] タブの設定

以下の画像の通り設定していたとします。

この場合のコンフィグは以下の通りになります。

set rulebase security rules Trust_to_UnTrust source-user any
set rulebase security rules Trust_to_UnTrust hip-profiles any

送信元ユーザー設定

  • set rulebase security rules <policy-name> source-user <設定値>

HIP プロファイル設定

  • set rulebase security rules <policy-name> hip-profiles <設定値>

送信元ユーザーの設定値の選択肢は以下の通りです。

admin@PA-200# set rulebase security rules Trust_to_UnTrust source-user
  [            Start a list of values.
  any          any user
  known-user   any known user
  pre-logon    prelogon client machine
  unknown      unknown user

HIP プロファイルの設定値の選択肢は以下の通りです。

admin@PA-200# set rulebase security rules Trust_to_UnTrust hip-profiles
  [        Start a list of values.
  any      any hip-profile
  no-hip   no hip-profile

[宛先] タブの設定

以下の画像の通り設定していたとします。

この場合のコンフィグは以下の通りになります。

set rulebase security rules Trust_to_UnTrust to UnTrust
set rulebase security rules Trust_to_UnTrust destination any

宛先ゾーン設定

  • set rulebase security rules <policy-name> to <設定値>

宛先アドレス設定

  • set rulebase security rules <policy-name> destination <設定値>

画面右下の Negate にチェックを入れると、「指定した宛先アドレスに該当しないアドレス」という条件になります。

宛先アドレスの Negate 設定

  • set rulebase security rules <policy-name> negate-destination <設定値>
    • 設定値には no または yes を指定

Negate 設定はデフォルトでは OFF でコンフィグ上に表示されていませんが、一度でも設定変更すると以降はコンフィグ上に表示されます。

[アプリケーション] タブの設定

以下の画像の通り設定していたとします。

この場合のコンフィグは以下の通りになります。

set rulebase security rules Trust_to_UnTrust application any

アプリケーション設定

  • set rulebase security rules <policy-name> application <設定値>

[サービス/URL カテゴリ] タブの設定

以下の画像の通り設定していたとします。

この場合のコンフィグは以下の通りになります。

set rulebase security rules Trust_to_UnTrust service [ HTTP HTTPS ]
set rulebase security rules Trust_to_UnTrust category any

サービス設定

  • set rulebase security rules <policy-name> service <設定値>

URL カテゴリ設定

  • set rulebase security rules <policy-name> category <設定値>

[アクション] タブの設定

アクション設定

以下の画像の通り設定していたとします。

この場合のコンフィグは以下の通りになります。

set rulebase security rules Trust_to_UnTrust action allow

アクション設定

  • set rulebase security rules <policy-name> action <設定値>

アクション設定の設定値の選択肢は以下の通りです。

admin@PA-200# set rulebase security rules Trust_to_UnTrust action
  allow          Allow
  deny           Deny
  drop           Drop
  reset-both     Reset both client and server
  reset-client   Reset client
  reset-server   Reset server

設定値として allow , deny 以外を設定した場合は、[ICMP 送信到達不能] を有効化できます。

ICMP 送信到達不能の設定

  • set rulebase security rules <policy-name> icmp-unreachable <設定値>
    • 設定値には no または yes を指定

プロファイル設定

セキュリティプロファイルの設定です。以下の画像の通り設定していたとします。

この場合のコンフィグは以下の通りになります。

set rulebase security rules Trust_to_UnTrust profile-setting profiles virus default
set rulebase security rules Trust_to_UnTrust profile-setting profiles vulnerability default
set rulebase security rules Trust_to_UnTrust profile-setting profiles spyware default
set rulebase security rules Trust_to_UnTrust profile-setting profiles url-filtering default
set rulebase security rules Trust_to_UnTrust profile-setting profiles file-blocking "basic file blocking"
set rulebase security rules Trust_to_UnTrust profile-setting profiles data-filtering default
set rulebase security rules Trust_to_UnTrust profile-setting profiles wildfire-analysis default

アンチウイルス

  • set rulebase security rules <policy-name> profile-setting profiles virus <設定値>

脆弱性防御

  • set rulebase security rules <policy-name> profile-setting profiles vulnerability <設定値>

アンチスパイウェア

  • set rulebase security rules <policy-name> profile-setting profiles spyware <設定値>

URL フィルタリング

  • set rulebase security rules <policy-name> profile-setting profiles url-filtering <設定値>

ファイル ブロッキング

  • set rulebase security rules <policy-name> profile-setting profiles file-blocking <設定値>

データ フィルタリング

  • set rulebase security rules <policy-name> profile-setting profiles data-filtering <設定値>

WildFire 分析

  • set rulebase security rules <policy-name> profile-setting profiles wildfire-analysis <設定値>

設定値には各機能のプロファイル名を指定します。

プロファイルタイプがグループの場合

以下のようにプロファイルタイプをグループとして設定していたとします。

この場合のコンフィグは以下の通りになります。

set rulebase security rules Trust_to_UnTrust profile-setting group default

プロファイルグループの設定

  • set rulebase security rules <policy-name> profile-setting group <設定値>
    • 設定値にはセキュリティプロファイルグループ名を指定

ログ設定

以下の画像の通り設定していたとします。

この場合のコンフィグは以下の通りになります。

set rulebase security rules Trust_to_UnTrust log-start yes
set rulebase security rules Trust_to_UnTrust log-end yes
set rulebase security rules Trust_to_UnTrust log-setting Log-Tensou-Prof

セッション開始時にログ

  • set rulebase security rules <policy-name> log-start <設定値>
    • 設定値には no または yes を指定

セッション終了時にログ

  • set rulebase security rules <policy-name> log-end <設定値>
    • 設定値には no または yes を指定

ログ転送

  • set rulebase security rules <policy-name> log-setting <設定値>
    • 設定値にはログ転送プロファイル名を指定

その他の設定

以下の画像の通り設定していたとします。

スケジュールと QoS マーキングについては、None と設定した場合はコンフィグに何も表示されません。

スケジュール設定

  • set rulebase security rules <policy-name> schedule <設定値>
    • 設定値にはスケジュール名を指定

QoS マーキング

  • set rulebase security rules <policy-name> qos marking <設定値>

サーバー レスポンス検査の無効化

  • set rulebase security rules <policy-name> option disable-server-response-inspection <設定値>
    • 設定値には no または yes を指定

QoS マーキングの設定値の選択肢は以下の通りです。

admin@PA-200# set rulebase security rules Trust_to_UnTrust qos marking
> ip-dscp           IP DSCP
> ip-precedence     IP Precedence
  follow-c2s-flow   Follow Client-to-Server Flow

admin@PA-200# set rulebase security rules Trust_to_UnTrust qos marking ip-dscp
  af11     codepoint 001010
  af12     codepoint 001100
  af13     codepoint 001110
  af21     codepoint 010010
  af22     codepoint 010100
  af23     codepoint 010110
  af31     codepoint 011010
  af32     codepoint 011100
  af33     codepoint 011110
  af41     codepoint 100010
  af42     codepoint 100100
  af43     codepoint 100110
  cs0      codepoint 000000
  cs1      codepoint 001000
  cs2      codepoint 010000
  cs3      codepoint 011000
  cs4      codepoint 100000
  cs5      codepoint 101000
  cs6      codepoint 110000
  cs7      codepoint 111000
  ef       codepoint 101110, expedited forwarding

admin@PA-200# set rulebase security rules Trust_to_UnTrust qos marking ip-precedence
  cs0      codepoint 000
  cs1      codepoint 001
  cs2      codepoint 010
  cs3      codepoint 011
  cs4      codepoint 100
  cs5      codepoint 101
  cs6      codepoint 110
  cs7      codepoint 111

共通事項:設定値が複数の場合の書式

以下のように設定値が複数の場合は、 [ A B C ] のように [ ] で囲いつつ、設定値を半角スペースで区切って指定します。

set rulebase security rules Trust_to_UnTrust source [ 10.0.0.0_8 172.16.0.0-172.31.255.255 192.168.0.0_16 ]

このルールはポリシー設定に限ったルールです。例えばサービスオブジェクト設定で複数の宛先ポート番号を指定する場合はカンマ「,」区切りで指定するなど、設定項目によってルールが異なるため注意してください。

ポリシーの無効化/有効化

ポリシーの無効化

  • set rulebase security rules <policy-name> disabled yes

ポリシーの有効化

  • set rulebase security rules <policy-name> disabled no


タイトルとURLをコピーしました