Palo Alto Networksの共通設定#

(1) 共通設定#

(A) ライセンス認証#

FUJITSU Hybrid IT Service FJcloud-O IaaS Palo Alto Networks スタートガイド(PDF形式)を参照してください。

(B) 初期設定・HA構成の設定#

必要に応じてPAN-OS® 管理者ガイド(PDF形式)スタートガイド以降を参照してください。
本構成におけるGUIでの設定例とキャプチャーを、以下に抜粋して記載します。

構築したSSL-VPNに接続した状態で、クライアントPCのWebブラウザーより以下のIPアドレスにアクセスしてください。
これ以降は、断りがない限り両系のPalo Alto Networksに対して設定します。

VM ホスト名 IPアドレス
Palo Alto Networks(Active) PAVM1 192.168.50.11
Palo Alto Networks(Passive) PAVM2 192.168.50.12

初回ログイン時のIDおよびパスワードは以下です。

Username: admin
Password: admin

各設定終了後、画面右上の「コミット」ボタンをクリックしてください。

■ [Device] > [セットアップ]

[管理] > [一般設定]より、ホスト名・タイムゾーン・表示言語を設定します。

VM ホスト名 タイムゾーン 表示言語
Palo Alto Networks(Active) PAVM1 Japan ja
Palo Alto Networks(Passive) PAVM2 Japan ja

image

[サービス]より、DNSサーバーおよびNTPサーバーを設定します。

ホスト名 プライマリDNSサーバー セカンダリDNSサーバー プライマリNTPサーバー セカンダリNTPサーバー
PAVM1 8.8.8.8 8.8.4.4 133.162.97.19 133.162.97.20
PAVM2 8.8.8.8 8.8.4.4 133.162.97.19 133.162.97.20

image

[インターフェイス] > [Management]より、ネットワークを設定します。

ホスト名 IPタイプ IPアドレス ネットマスク デフォルトゲートウェイ
PAVM1 スタティック 192.168.50.11 255.255.255.0 192.168.50.1
PAVM2 スタティック 192.168.50.12 255.255.255.0 192.168.50.1

image

[WildFire] > [一般設定]より、WildFire転送先を設定します。
転送先を国内データセンターに限定するため、WildFireパブリッククラウドの値に以下を設定します。

ホスト名 WildFire パブリッククラウド 安全なファイルのレポート レポートのグレイウェアファイル
PAVM1 jp.wildfire.paloaltonetworks.com チェックあり チェックあり
PAVM2 jp.wildfire.paloaltonetworks.com チェックあり チェックあり

image

■ [Network] > [インターフェイス]

[Ethernet]より、Palo Alto NetworksにアタッチされているNICを、どのネットワークに割り当てるか設定します。
Palo Alto Networksの両系ethernet1/3-1/6をHAとして使用します。

ホスト名 インターフェイス名 インターフェイスタイプ
PAVM1 ethernet1/3 HA
ethernet1/4 HA
ethernet1/5 HA
ethernet1/6 HA
PAVM2 ethernet1/3 HA
ethernet1/4 HA
ethernet1/5 HA
ethernet1/6 HA

image

確認のためコミットを実行し、リンク状態が緑色(アップ状態)になることを確認します。
image

■ [Device] > [高可用性]

[全般] > [セットアップ] および [全般] > [選択設定] より、HA構成を設定します。
PAVM1の優先度を90とし、優先的にActiveとなるよう設定します。

ホスト名 HA の有効化 グループID モード ピア HA IPアドレス バックアップ側 ピア HA IPアドレス デバイス優先度 プリエンティブ
PAVM1 チェックあり 1 アクティブ パッシブ 192.168.40.12 192.168.60.12 90 チェックなし
PAVM2 チェックあり 1 アクティブ パッシブ 192.168.40.11 192.168.60.11 100 チェックなし

image

image

[全般] > [コントロールリンク(HA1)]より、HAリンクを設定します。

ホスト名 ポート IPv4/IPv6 アドレス ネットマスク
PAVM1 ethernet1/3 192.168.40.11 255.255.255.0
PAVM2 ethernet1/3 192.168.40.12 255.255.255.0

image

[全般] > [コントロールリンクのバックアップ]より、バックアップリンクを設定します。

ホスト名 ポート IPv4/IPv6 アドレス ネットマスク
PAVM1 ethernet1/5 192.168.60.11 255.255.255.0
PAVM2 ethernet1/5 192.168.60.12 255.255.255.0

image

[全般] > [データリンク(HA2)]より、HAリンクを設定します。

ホスト名 ポート IPv4/IPv6 アドレス ネットマスク
PAVM1 ethernet1/4 192.168.70.21 255.255.255.0
PAVM2 ethernet1/4 192.168.70.22 255.255.255.0

image

[全般] > [データリンクのバックアップ]より、バックアップリンクを設定します。

ホスト名 ポート IPv4/IPv6 アドレス ネットマスク
PAVM1 ethernet1/6 192.168.80.21 255.255.255.0
PAVM2 ethernet1/6 192.168.80.22 255.255.255.0

image

■ [Device] > [管理者]

[admin]より、GUIのログインIDに対するパスワードを設定します。

ホスト名 名前 パスワード
PAVM1 admin (任意のパスワードを設定)
PAVM2 admin (任意のパスワードを設定)

image

(C) 脅威に関する設定#

■ [Device] > [応答ページ]

[アプリケーションブロックページ]より、アクションを設定します。
アンチウイルス機能やアプリケーション識別機能がリクエストをブロックした場合、ブラウザーにその旨を表示できます。

ホスト名 アクション
PAVM1 有効
PAVM2 有効

image

■ [Device] > [ダイナミック更新]

アプリケーションおよび脅威定義ファイルの更新スケジュールを設定します。

ホスト名 繰り返し 分(過去 30 分間) アクション ピアと同期
PAVM1 30分ごと 15 download-and-install チェックあり
PAVM2 30分ごと 20 download-and-install チェックあり

image

アンチウイルス定義ファイルの更新スケジュールを設定します。

ホスト名 繰り返し 分(過去 1 時間) アクション ピアと同期
PAVM1 毎時 30 download-and-install チェックあり
PAVM2 毎時 35 download-and-install チェックあり

image

Note

「アンチウイルス」項目が表示されていない場合

  • 「アプリケーションおよび脅威」内の最新版パッチをダウンロード・インストール
  • 「今すぐチェック」をクリック

    • WildFire定義ファイルの更新スケジュールを設定します。

    ホスト名 Choice アクション ダウンロード/インストール後にHAピアとコンテンツを同期
    PAVM1 15分ごと 5 download-and-install チェックあり
    PAVM2 15分ごと 10 download-and-install チェックあり

    image

    (D) ネットワークインターフェイス・仮想ルーターの設定#

    ■ [Network] > [ネットワーク プロファイル] > [インターフェイス管理]

    ネットワークプロファイルでインターフェイスのPING応答を有効化します。

    名前 ネットワークサービス
    PING PING(チェックあり)

    image

    ■ [Network] > [インターフェイス]
    「Palo Alto Networks VM SeriesのHA構成による社内イントラネットの保護」パターンでの個別設定です。
    「Palo Alto Networks VM SeriesとBIG-IP ASMによるセキュアーなWebアプリケーションの公開」パターンで構築の場合、スキップしてください。

    [Ethernet]より、両系Palo Alto Networksのethernet1/1-1/2にIPアドレスを割り当てます。
    Palo Alto NetworksのActive・Passive間で共有するため、同じ値を設定します。

    ホスト名 インターフェイス名 インターフェイス タイプ 管理プロファイル IPアドレス 仮想ルーター
    PAVM1 ethernet1/1 Layer3 PING 192.168.10.100/24
    "external-net-vip"という名前のIPアドレスを作成    		 default
    ethernet1/2 Layer3 PING 192.168.20.100/24
    "DMZ-net-vip"という名前のIPアドレスを作成    		 default
    PAVM2 ethernet1/1 Layer3 PING 192.168.10.100/24
    "external-net-vip"という名前のIPアドレスを作成    		 default
    ethernet1/2 Layer3 PING 192.168.20.100/24
    "DMZ-net-vip"という名前のIPアドレスを作成    		 default

    image

    個別設定ここまで

    ■ [Network] > [インターフェイス]
    「Palo Alto Networks VM SeriesとBIG-IP ASMによるセキュアーなWebアプリケーションの公開」パターンでの個別設定です。
    「Palo Alto Networks VM SeriesのHA構成による社内イントラネットの保護」パターンで構築の場合、スキップしてください。

    [Ethernet]より、両系Palo Alto Networksのethernet1/1-1/2にIPアドレスを割り当てます。
    Palo Alto NetworksのActive・Passive間で共有するため、同じ値を設定します。

    ホスト名 インターフェイス名 インターフェイス タイプ 管理プロファイル IPアドレス(IPv4tab) 仮想ルーター
    PAVM1 ethernet1/1 Layer3 PING 192.168.10.100/24
    "external-net-vip"という名前のIPアドレスを作成    		 default
    ethernet1/2 Layer3 PING 192.168.30.100/24
    "boundary-net-vip"という名前のIPアドレスを作成    		 default
    PAVM2 ethernet1/1 Layer3 PING 192.168.10.100/24
    "external-net-vip"という名前のIPアドレスを作成    		 default
    ethernet1/2 Layer3 PING 192.168.30.100/24
    "boundary-net-vip"という名前のIPアドレスを作成    		 default

    image

    個別設定ここまで

    ■ [Network] > [ゾーン]

    ゾーンと対応するインターフェイスを設定します。

    名前 タイプ インターフェイス
    trust layer3 ethernet1/2
    untrust layer3 ethernet1/1

    image

    ■ [Network] > [仮想ルーター]

    仮想ルーターと対応するインターフェイスを設定します。
    [default]をクリックします。

    名前 インターフェイス
    default ethernet1/1
    ethernet1/2

    image

    スタティックルートとしてルーターA1のゲートウェイアドレスを指定します。

    名前 宛先 インタフェース タイプ
    default_route 0.0.0.0/0 ethernet1/1 ip-address 192.168.10.1/32

    image