Palo Alto Networksの共通設定#
(1) 共通設定#
(A) ライセンス認証#
FUJITSU Hybrid IT Service FJcloud-O IaaS Palo Alto Networks スタートガイド(PDF形式)を参照してください。
(B) 初期設定・HA構成の設定#
必要に応じてPAN-OS® 管理者ガイド(PDF形式)のスタートガイド
以降を参照してください。
本構成におけるGUIでの設定例とキャプチャーを、以下に抜粋して記載します。
構築したSSL-VPNに接続した状態で、クライアントPCのWebブラウザーより以下のIPアドレスにアクセスしてください。
これ以降は、断りがない限り両系のPalo Alto Networksに対して設定します。
VM | ホスト名 | IPアドレス |
---|---|---|
Palo Alto Networks(Active) | PAVM1 | 192.168.50.11 |
Palo Alto Networks(Passive) | PAVM2 | 192.168.50.12 |
初回ログイン時のIDおよびパスワードは以下です。
Username: admin
Password: admin
各設定終了後、画面右上の「コミット」ボタンをクリックしてください。
■ [Device] > [セットアップ]
[管理] > [一般設定]より、ホスト名・タイムゾーン・表示言語を設定します。
VM | ホスト名 | タイムゾーン | 表示言語 |
---|---|---|---|
Palo Alto Networks(Active) | PAVM1 | Japan | ja |
Palo Alto Networks(Passive) | PAVM2 | Japan | ja |
[サービス]より、DNSサーバーおよびNTPサーバーを設定します。
ホスト名 | プライマリDNSサーバー | セカンダリDNSサーバー | プライマリNTPサーバー | セカンダリNTPサーバー |
---|---|---|---|---|
PAVM1 | 8.8.8.8 | 8.8.4.4 | 133.162.97.19 | 133.162.97.20 |
PAVM2 | 8.8.8.8 | 8.8.4.4 | 133.162.97.19 | 133.162.97.20 |
[インターフェイス] > [Management]より、ネットワークを設定します。
ホスト名 | IPタイプ | IPアドレス | ネットマスク | デフォルトゲートウェイ |
---|---|---|---|---|
PAVM1 | スタティック | 192.168.50.11 | 255.255.255.0 | 192.168.50.1 |
PAVM2 | スタティック | 192.168.50.12 | 255.255.255.0 | 192.168.50.1 |
[WildFire] > [一般設定]より、WildFire転送先を設定します。
転送先を国内データセンターに限定するため、WildFireパブリッククラウドの値に以下を設定します。
ホスト名 | WildFire パブリッククラウド | 安全なファイルのレポート | レポートのグレイウェアファイル |
---|---|---|---|
PAVM1 | jp.wildfire.paloaltonetworks.com | チェックあり | チェックあり |
PAVM2 | jp.wildfire.paloaltonetworks.com | チェックあり | チェックあり |
■ [Network] > [インターフェイス]
[Ethernet]より、Palo Alto NetworksにアタッチされているNICを、どのネットワークに割り当てるか設定します。
Palo Alto Networksの両系ethernet1/3-1/6をHAとして使用します。
ホスト名 | インターフェイス名 | インターフェイスタイプ |
---|---|---|
PAVM1 | ethernet1/3 | HA |
ethernet1/4 | HA | |
ethernet1/5 | HA | |
ethernet1/6 | HA | |
PAVM2 | ethernet1/3 | HA |
ethernet1/4 | HA | |
ethernet1/5 | HA | |
ethernet1/6 | HA |
確認のためコミットを実行し、リンク状態が緑色(アップ状態)になることを確認します。
■ [Device] > [高可用性]
[全般] > [セットアップ] および [全般] > [選択設定] より、HA構成を設定します。
PAVM1の優先度を90とし、優先的にActiveとなるよう設定します。
ホスト名 | HA の有効化 | グループID | モード | ピア HA IPアドレス | バックアップ側 ピア HA IPアドレス | デバイス優先度 | プリエンティブ |
---|---|---|---|---|---|---|---|
PAVM1 | チェックあり | 1 | アクティブ パッシブ | 192.168.40.12 | 192.168.60.12 | 90 | チェックなし |
PAVM2 | チェックあり | 1 | アクティブ パッシブ | 192.168.40.11 | 192.168.60.11 | 100 | チェックなし |
[全般] > [コントロールリンク(HA1)]より、HAリンクを設定します。
ホスト名 | ポート | IPv4/IPv6 アドレス | ネットマスク |
---|---|---|---|
PAVM1 | ethernet1/3 | 192.168.40.11 | 255.255.255.0 |
PAVM2 | ethernet1/3 | 192.168.40.12 | 255.255.255.0 |
[全般] > [コントロールリンクのバックアップ]より、バックアップリンクを設定します。
ホスト名 | ポート | IPv4/IPv6 アドレス | ネットマスク |
---|---|---|---|
PAVM1 | ethernet1/5 | 192.168.60.11 | 255.255.255.0 |
PAVM2 | ethernet1/5 | 192.168.60.12 | 255.255.255.0 |
[全般] > [データリンク(HA2)]より、HAリンクを設定します。
ホスト名 | ポート | IPv4/IPv6 アドレス | ネットマスク |
---|---|---|---|
PAVM1 | ethernet1/4 | 192.168.70.21 | 255.255.255.0 |
PAVM2 | ethernet1/4 | 192.168.70.22 | 255.255.255.0 |
[全般] > [データリンクのバックアップ]より、バックアップリンクを設定します。
ホスト名 | ポート | IPv4/IPv6 アドレス | ネットマスク |
---|---|---|---|
PAVM1 | ethernet1/6 | 192.168.80.21 | 255.255.255.0 |
PAVM2 | ethernet1/6 | 192.168.80.22 | 255.255.255.0 |
■ [Device] > [管理者]
[admin]より、GUIのログインIDに対するパスワードを設定します。
ホスト名 | 名前 | パスワード |
---|---|---|
PAVM1 | admin | (任意のパスワードを設定) |
PAVM2 | admin | (任意のパスワードを設定) |
(C) 脅威に関する設定#
■ [Device] > [応答ページ]
[アプリケーションブロックページ]より、アクションを設定します。
アンチウイルス機能やアプリケーション識別機能がリクエストをブロックした場合、ブラウザーにその旨を表示できます。
ホスト名 | アクション |
---|---|
PAVM1 | 有効 |
PAVM2 | 有効 |
■ [Device] > [ダイナミック更新]
アプリケーションおよび脅威定義ファイルの更新スケジュールを設定します。
ホスト名 | 繰り返し | 分(過去 30 分間) | アクション | ピアと同期 |
---|---|---|---|---|
PAVM1 | 30分ごと | 15 | download-and-install | チェックあり |
PAVM2 | 30分ごと | 20 | download-and-install | チェックあり |
アンチウイルス定義ファイルの更新スケジュールを設定します。
ホスト名 | 繰り返し | 分(過去 1 時間) | アクション | ピアと同期 |
---|---|---|---|---|
PAVM1 | 毎時 | 30 | download-and-install | チェックあり |
PAVM2 | 毎時 | 35 | download-and-install | チェックあり |
Note
「アンチウイルス」項目が表示されていない場合
WildFire定義ファイルの更新スケジュールを設定します。
ホスト名 | Choice | 分 | アクション | ダウンロード/インストール後にHAピアとコンテンツを同期 |
---|---|---|---|---|
PAVM1 | 15分ごと | 5 | download-and-install | チェックあり |
PAVM2 | 15分ごと | 10 | download-and-install | チェックあり |
(D) ネットワークインターフェイス・仮想ルーターの設定#
■ [Network] > [ネットワーク プロファイル] > [インターフェイス管理]
ネットワークプロファイルでインターフェイスのPING応答を有効化します。
名前 | ネットワークサービス |
---|---|
PING | PING(チェックあり) |
■ [Network] > [インターフェイス]
「Palo Alto Networks VM SeriesのHA構成による社内イントラネットの保護」パターンでの個別設定です。
「Palo Alto Networks VM SeriesとBIG-IP ASMによるセキュアーなWebアプリケーションの公開」パターンで構築の場合、スキップしてください。
[Ethernet]より、両系Palo Alto Networksのethernet1/1-1/2にIPアドレスを割り当てます。
Palo Alto NetworksのActive・Passive間で共有するため、同じ値を設定します。
ホスト名 | インターフェイス名 | インターフェイス タイプ | 管理プロファイル | IPアドレス | 仮想ルーター |
---|---|---|---|---|---|
PAVM1 | ethernet1/1 | Layer3 | PING | 192.168.10.100/24 "external-net-vip"という名前のIPアドレスを作成 |
default |
ethernet1/2 | Layer3 | PING | 192.168.20.100/24 "DMZ-net-vip"という名前のIPアドレスを作成 |
default | |
PAVM2 | ethernet1/1 | Layer3 | PING | 192.168.10.100/24 "external-net-vip"という名前のIPアドレスを作成 |
default |
ethernet1/2 | Layer3 | PING | 192.168.20.100/24 "DMZ-net-vip"という名前のIPアドレスを作成 |
default |
個別設定ここまで
■ [Network] > [インターフェイス]
「Palo Alto Networks VM SeriesとBIG-IP ASMによるセキュアーなWebアプリケーションの公開」パターンでの個別設定です。
「Palo Alto Networks VM SeriesのHA構成による社内イントラネットの保護」パターンで構築の場合、スキップしてください。
[Ethernet]より、両系Palo Alto Networksのethernet1/1-1/2にIPアドレスを割り当てます。
Palo Alto NetworksのActive・Passive間で共有するため、同じ値を設定します。
ホスト名 | インターフェイス名 | インターフェイス タイプ | 管理プロファイル | IPアドレス(IPv4tab) | 仮想ルーター |
---|---|---|---|---|---|
PAVM1 | ethernet1/1 | Layer3 | PING | 192.168.10.100/24 "external-net-vip"という名前のIPアドレスを作成 |
default |
ethernet1/2 | Layer3 | PING | 192.168.30.100/24 "boundary-net-vip"という名前のIPアドレスを作成 |
default | |
PAVM2 | ethernet1/1 | Layer3 | PING | 192.168.10.100/24 "external-net-vip"という名前のIPアドレスを作成 |
default |
ethernet1/2 | Layer3 | PING | 192.168.30.100/24 "boundary-net-vip"という名前のIPアドレスを作成 |
default |
個別設定ここまで
■ [Network] > [ゾーン]
ゾーンと対応するインターフェイスを設定します。
名前 | タイプ | インターフェイス |
---|---|---|
trust | layer3 | ethernet1/2 |
untrust | layer3 | ethernet1/1 |
■ [Network] > [仮想ルーター]
仮想ルーターと対応するインターフェイスを設定します。
[default]をクリックします。
名前 | インターフェイス |
---|---|
default | ethernet1/1 ethernet1/2 |
スタティックルートとしてルーターA1のゲートウェイアドレスを指定します。
名前 | 宛先 | インタフェース | タイプ | 値 |
---|---|---|---|---|
default_route | 0.0.0.0/0 | ethernet1/1 | ip-address | 192.168.10.1/32 |