また、レイヤー 3 の物理インターフェイスごとに論理サブインターフェイスを作成することによ り、たとえばマルチテナンシーなどの場合は、 VLAN タグ (VLAN トランクを使用している場合 ) に基づいて、または IP アドレス単位で、インターフェイス上のトラフィックを分離することも 可能です。
さらに、レイヤー 3 導入ではファイアウォールでのトラフィックをルーティングする必要がある ため、仮想ルーターを設定する必要があります。スタティック ルートを追加するのと同じよう に、動的ルーティング プロトコル (BGP 、 OSPF 、 RIP など ) に参加するように仮想ルーターを設 定できます。また、複数の仮想ルーターを作成し、各ルーターが他のルーターと共有しない独立 したルートを保持することにより、インターフェイス間で異なるルーティングの動作を設定でき ます。
この章の設定例は、スタティック ルートを使用してファイアウォールをレイヤー 3 ネットワー クに組み込む方法を表しています。その他のタイプのルーティングによる統合の詳細は、以下の ドキュメントを参照してください。
•
How to Configure OSPF Tech Note•
How to Configure BGP Tech Noteネットワーク アドレス変換 (NAT) について
内部ネットワークでプライベート IP アドレスを使用する場合、プライベート アドレスを外部 ネットワークにルーティングできるパブリック アドレスに変換するために、ネットワーク アド
レス変換 (NAT) を使用する必要があります。 PAN-OS では、変換が必要なパケットおよび変換方
法についてファイアウォールに指示する NAT ポリシー ルールを作成します。ファイアウォール では、送信元アドレスとポートの変換、宛先アドレスとポートの変換のどちらにも対応します。
さまざまなタイプの NAT ルールの詳細は、
Understanding and Configuring NAT Tech Noteを参照してく ださい。
定義したゾーンに応じて必要なポリシーを決定するために、ファイアウォールで NAT ポリシー
およびセキュリティ ポリシーを適用する方法について理解することが重要です。パケットの着
信時に、送信元ゾーンと宛先ゾーンに基づいて、そのパケットが定義済みの NAT ルールと一致
するかどうかをファイアウォールが検査します。次に、元の (NAT 前の ) 送信元アドレスと宛先
アドレスに基づいて、パケットと一致するセキュリティ ルールを評価および適用します。最後
に、出力時に送信元ポートまたは宛先ポートの番号に一致する NAT ルールに変換します。これ
は、ファイアウォールでパケットの宛先ゾーンを決定する基準がパケットのアドレスであり、内
スタート ガイド 41 ペリメータセキュリティの確立 ペリメータセキュリティの概要
セキュリティ ポリシーについて
セキュリティ ポリシーにより、ネットワーク資産を脅威や障害から保護し、ネットワーク リソー スの最適な割り当てを補助することで、ビジネス プロセスでの生産性や効率性を強化します。
Palo Alto Networks のファイアウォールでは、セキュリティ ポリシーにより、送信元および宛先
のセキュリティ ゾーン、送信元および宛先の IP アドレス、アプリケーション、ユーザー、サー ビスなどのトラフィック属性に基づいて、セッションをブロックするか許可するかを決定しま す。デフォルトでは、ゾーン内トラフィック (trust ゾーンから trust ゾーンなど、同じゾーン内の トラフィック ) が許可されています。異なるゾーン間のトラフィック ( ゾーン間トラフィック ) は、セキュリティ ポリシーによりそのトラフィックが許可されない限りブロックされます。
セキュリティ ポリシーの評価は、左から右、上から下で行われます。定義済みの基準を満たす 最初のルールとパケットが一致すると、それが引き金となり、それ以降のルールは評価されませ ん。そのため、ベストマッチする基準を適用するには、個別のルールを一般的なルールよりも優 先的に評価する必要があります。トラフィックがルールと一致すると、そのルールでログが有効 になっていれば、セッションの最後にログのエントリがトラフィック ログに記録されます。ロ グのオプションはルールごとに設定可能で、セッションの最後ではなく最初にログを記録するよう に設定したり、セッションの最初と最後の両方でログを記録するように設定することも可能です。
セキュリティ ポリシーのコンポーネント
セキュリティ ポリシーを作成することにより、以下に挙げるような必須コンポーネントとオプ ション コンポーネントの組み合わせが可能になります。
フィールド 説明 必 須 フ ィ ー
ルド
名前 31 文字まで対応可能なラベルで、ルールの識別に使用します。
送信元ゾーン トラフィックの送信元となるゾーン。
宛先ゾーン トラフィックの宛先となるゾーン。NAT を使用している場合、
常に NAT 後のゾーンを参照するようにしてください。
アプリケーション 制御するアプリケーション。ファイアウォールでは、トラ フィックの分類テクノロジーである App-ID を使用して、ネッ トワーク上のトラフィックを識別します。App-ID により、作 成されたセキュリティポリシーの中でアプリケーションを制 御および可視化し、不明なアプリケーションをブロックすると 同時に、許可されるアプリケーションを有効化、検査、および 形成できます。
アクション ルールで定義する基準に基づいて、トラフィックのアクション を
[ 許可 ]
または[ 拒否 ]
に指定します。ペリメータセキュリティの概要 ペリメータセキュリティの確立
オ プ シ ョ ン フィールド
タグ セキュリティ ルールをフィルタリングできるようにするため の、キーワードまたはフレーズ。多数のルールを定義してい
て、Inbound to DMZなど、特定のキーワードによりタグ付けさ
れているルールをレビューする場合には、これらのタグが便利 です。
説明 255 文字まで対応可能なテキストフィールドで、ルールの説明 に使用します。
送信元 IP アドレス ホスト IP または FQDN、サブネット、名前付きグループ、ま
たは国ベースの適用を定義します。NAT を使用している場合、
常にパケットの元の IP アドレス (NAT 前の IP アドレスなど ) を参照するようにしてください。
宛先 IP アドレス トラフィックの場所または宛先。NAT を使用している場合、常 にパケットの元の IP アドレス (NAT 前の IP アドレスなど) を 参照するようにしてください。
ユーザー ポリシーの適用対象となるユーザーまたはユーザーグループ。
ゾーンで User-ID を有効にする必要があります。User-ID を有
効にする方法の詳細は、101ページの「ユーザー ID の設定」を 参照してください。
URL カテゴリ URL カテゴリを一致基準として使用すると、例外ベースのルー ルによる詳細なポリシーを適用できます。コンテンツへのアク セスを大まかに許可または拒否するのではなく、例外を使用し
て HTTP や HTTPS トラフィックへのアクセスを制御または制
限できます。また、URL カテゴリ ベースでセキュリティ プロ ファイルとログへのアクセスを関連付けることもできます。た とえば、危険度の高いことを示す URL カテゴリの .exe ファイ ルをダウンロード/アップロードできないようにし、それ以外 のカテゴリのファイルを許可することが可能です。あるいは、
SSL の復号化ポリシーを適用することにより、金融やショッピン グなどのカテゴリについては暗号化アクセスを許可し、それ以 外のカテゴリについてはトラフィックを復号化して検査する ことも可能です。
注意 URL カ テ ゴ リ は デ バ イ ス で 手 動 設 定 で き ま す が 、
PAN-DB または BrightCloud で提供されるカテゴリの動
的更新を利用するには、URL フィルタリングライセン スを購入する必要があります。
フィールド 説明(続き)
スタート ガイド 43 ペリメータセキュリティの確立 ペリメータセキュリティの概要
サービス レイヤー 4 (TCP または UDP) のポートをアプリケーション用
に 選 択 す る こ と も で き ま す。
any
、ポ ー ト の 指 定、ま た はapplication - default
を選択して、アプリケーションの標準ベー スのポートの使用を許可できます。たとえば DNS など、既知 のポート番号を持つアプリケーションの場合、application -default
オプションを選択すると、TCP ポート 53 でのみ DNS ト ラフィックと一致します。カスタム アプリケーションを追加 して、そのアプリケーションで使用可能なポートを定義するこ ともできます。注意 インバウンド ルール (Untrust ゾーンから Trust ゾーン など) の場合サービスは、常に application default ポートを 使用するように定義するか、ポートを手動で指定しま す。サービスで any のポートの使用を許可しないよう にします。
セキュリティプロ ファイル
脅威、脆弱性、データの漏洩などから、さらにシステムを保護し ます。セキュリティプロファイルは、
許可
のアクションを含む ルールに対してのみ評価されます。詳細については、69ページ の「セキュリティポリシーについて」を参照してください。HIP プロファイル (GlobalProtect の場合)
ホスト インフォーメーションプロファイル (HIP) を持つクラ イアントを識別してから、アクセス権を適用できます。
オプション セッションのログの定義、ログの転送設定、ルールに一致する パケットの Quality of Service (QoS) マーキングの変更、およびセ キュリティ ルールを有効にするタイミング ( 日時 ) のスケ ジュールなどの設定が可能です。