機能リリースの [ アクション ] 列にある [ インストール ] をクリックします。目的のバージョンに [ ダウンロード ] が表示されている場合は、 [ ダウンロード ] リンクをクリックしてソフト

レード

ステップ 3 のように非 SYN TCP を許可している場合、 set session tcp-reject-non-syn yes を実行して元に戻すことができます。

3. 機能リリースの [ アクション ] 列にある [ インストール ] をクリックします。目的のバージョンに [ ダウンロード ] が表示されている場合は、 [ ダウンロード ] リンクをクリックしてソフト

ウェアパッケージを取得し、

[

インストール

]

をクリックします。

注：この手順では、機能リリースにアップグレードする前の設定にデバイスが

復元されます。アップグレード後に行われた変更は失われます。新しいリリー

スに戻すときに、これらの変更を復元する場合に備え、現在の設定をバック

アップしてください。

PAN-OS

ソフトウェアのアップグレードとダウングレード

56 •

^{デバイス管理}

Palo Alto Networks 4.

デバイスの再起動後に使用される設定を選択できるプロンプトが表示されます。これは機能リリースのダウングレードであるため、ほとんどの場合は、デバイスを次の機能リリースにアップグレードしたときに自動保存された設定を選択します。たとえば、

PAN-OS 5.0

を実行していて、

PAN-OS 4.1

にダウングレードする場合は、図

に示すように、

[

アクション

]

列の

[

インストール

]

をクリックし、

[

ダウンロード用設定ファイルの選択

]

ドロップダウンで

「

autosave-4.1.0

」を選択します。

図 2. 以前の機能リリースへのダウングレード

5. PAN-OS

をインストールしたら、

[OK]

をクリックしてデバイスを再起動し、新しいバージョ

ンをアクティベーションします。

PAN-OS

の選択した機能リリースと設定がアクティベーションされます。

注：

4.1

より前のリリースでは、出荷時状態に戻し、デバイスの復元が必要に

なる場合があります。たとえば、

4.0

から

3.1

にダウングレードする場合がそ

うです。

Palo Alto Networks

^{デバイス管理}

• 57

脅威およびアプリケーションの定義の更新

[Device] > [

ダイナミック更新

]

Palo Alto Networks

では、新規または改訂されたアプリケーションの定義や、アンチウイルスシグ

ネチャ

(

入手するには脅威防御ライセンスが必要です

)

、

URL

フィルタリング基準、

GlobalProtect

データの更新、

WildFire

のシグネチャ

(

入手するには

WildFire

サブスクリプションが必要です

)

などの新しいセキュリティの脅威に関する情報が含まれている更新ファイルを定期的に公開しています。最新の更新ファイルを表示し、各更新ファイルのリリースノートを読み、ダウンロードおよびインストールする更新ファイルを選択できます。以前にインストールした更新のバージョンに戻すこともできます。

必要に応じて、このページで以下の機能を実行します。

• ^[

^{今すぐチェック}

^{をクリックして、}

Palo Alto Networks

から最新情報を取得します。

• [

アクション

]

列にある

[

インストール

]

をクリックして、そのバージョンに更新します。

•

^{バージョンの}

^戻す

をクリックして、そのバージョンに戻します。

•

更新ファイルの説明を表示するには、

[

リリースノート

]

をクリックします。

•

^以前に

^PC

に保存したファイルをインストールするには、

[

アップロード

]

をクリックします。

ファイルを参照して選択し、

[

ファイルからインストール

]

をクリックします。ドロップダウンリストから選択したファイルを選択し、

[OK]

をクリックしてインストールします。

•

自動更新をスケジュールするには、

[

スケジュール

]

リンクをクリックします。更新の頻度とタイミングを指定し、更新ファイルをダウンロードしてインストールするのか、またはダウンロードのみを行うのかを指定します。

[

ダウンロードのみ

]

を選択すると、

[

ダイナミック更新

]

ページの

[

アクション

]

列の

[

インストール

]

リンクをクリックしてダウンロードした更新ファイルがインストールされます。

[OK]

をクリックすると、更新がスケジュールされます。

コミットは必要ありません。また、アクションを実行するために必要なコンテンツの持続時間

を指定したり、アップロードをピアファイアウォールと同期させるかどうかを指定したりで

きます。

管理者ロール、プロファイル、およびアカウント

58 •

^{デバイス管理}

Palo Alto Networks

管理者ロール、プロファイル、およびアカウント

ファイアウォールでは、ファイアウォールにログインしようとする管理ユーザーを認証するために以下のオプションをサポートしています。

•

^ローカル ^{データベース}

—

ユーザーのログインおよびパスワード情報がファイアウォールデータベースに直接入力されます。

• RADIUS —

ユーザーの認証に既存の

RADIUS (Remote Authentication Dial In User Service)

サーバーが使用されます。

• LDAP —

既存の

Lightweight Directory Access Protocol (LDAP)

サーバーがユーザーの認

証に使用されます。

• Kerberos —

既存の

Kerberos

サーバーがユーザーの認証に使用されます。

•

^{クライアント証明書}

^—

既存のクライアント証明書がユーザーの認証に使用されます。

管理アカウントを作成するとき、ローカル認証またはクライアント証明書

(

認証プロファイルなし

)

あるいは認証プロファイル

(RADIUS

、

LDAP

、

Kerberos

またはローカル

認証

)

を指定します。

この設定によって、管理者の認証の確認方法が決まります。

管理者ロールによって、管理者がログイン後に実行を許可される機能が決まります。ロールを管理者アカウントに直接割り当てることも、ロールプロファイルを定義して詳細な権限を指定し、それを管理者アカウントに割り当てることもできます。

詳細は、以下のセクションを参照してください。

•

認証プロファイルのセットアップ手順の詳細は、

ページの「認証プロファイルのセットアップ」を参照してください。

•

^ロールプロファイルのセットアップ手順の詳細は、

ページの「管理者ロールの定義」を参照してください。

•

管理者アカウントのセットアップ手順の詳細は、

ページの「管理アカウントの作成」を参照してください。

• SSL

仮想プライベートネットワーク

(VPN)

の詳細は、

339

ページの「

GlobalProtect

の設定」

を参照してください。

•

管理者用の仮想システムドメインの定義手順の詳細は、

ページの「管理者のアクセスドメインの指定」を参照してください。

•

管理者の証明書プロファイルの定義手順の詳細は、

ページの「証明書プロファイル」を参

照してください。

Palo Alto Networks

^{デバイス管理}

• 59

管理者ロール、プロファイル、およびアカウント

ユーザー名とパスワードの要件

PAN-OS

および

Panorama

アカウントのユーザー名とパスワードに使用できる有効な文字を以下

の表に示します。

注：

PAN-OS 3.1

以降には以下の制限が適用されます。

表

ユーザー名とパスワードの有効な文字

アカウントの種類制限

パスワード文字セット

パスワードフィールドの文字セットには制限がありません。

リモート管理者、

SSL-VPN^、キャプティブポータル

ユーザー名には以下の文字を使用できません。

•^{バックティック} (`)

•^山かっこ (< ^と >)

•^{アンパサンド} (&)

•^{アスタリスク} (*)

•^{アット記号} (@)

•^疑問符 (?)

•^パイプ (|)

•^{一重引用符} (\)

•^{セミコロン} (;)

•^{二重引用符} (")

•^ドル記号 ($)

•^かっこ ( '(' ^と ')' )

•^コロン (':') ローカル管理者アカ

ウント

ローカルユーザー名には以下の文字を使用できます。

•^{アット記号} (@)

•^{キャレット} (^)

•^{左角かっこ} ([)

•^小文字 (a ^～ z)

•^大文字 (A ^～ Z)

•^数字 (0 ^～ 9)

•^{アンダースコア} (_)

•^ピリオド (.)

•^ハイフン (-)

•^{右角かっこ} (])

•^{プラス記号} (+)

•^ドル記号 ($)

注：応答ページの文字セットには制限は適用されません。

管理者ロール、プロファイル、およびアカウント

60 •

^{デバイス管理}

Palo Alto Networks

管理者ロールの定義

[Device] > [

管理者ロール

]

管理ユーザーが行使可能なアクセス権と役割を決めるロールプロファイルを定義するには、

[

管理者ロール

]

ページを使用します。管理者アカウントの追加手順の詳細は、

ページの「管理アカウントの作成」を参照してください。

共通基準の目的で使用できる、事前に定義された

つの管理者ロールがあります。最初にデバイスの初期設定でスーパーユーザーロールを使用して、セキュリティ管理者、監査管理者、および暗号管理者の管理者アカウントを作成します。アカウントを作成し、適切な共通基準管理者ロールを適用したら、それらのアカウントを使用してログインします。

FIPS

または

モードのデフォルトのスーパーユーザーアカウントは、「

admin

」で、デフォルトのパスワードは「

paloalto

」です。

標準操作モードでは、「

admin

」のデフォルトのパスワードは「

admin

」です。事前定義の管理者ロールは、すべてのロールに監査証跡への読み取り専用のアクセス権があるという点を除き、機能が重複しないように作成されています

(

読み取りと削除のフルアクセス権がある監査管理者は除く

)

。これらの管理者ロールは変更できず、以下のように定義されています。

• auditadmin —

監査管理者は、ファイアウォールの監査データの定期的な確認を担当する責任

者です。

• cryptoadmin —

暗号管理者は、ファイアウォールの安全な接続確立に関連する暗号要素の設

定と保守を担当する責任者です。

• securityadmin —

セキュリティ管理者は、他の

つの管理ロールで対処されない、その他す

べての管理タスク

(

ファイアウォールのセキュリティポリシーの作成など

)

を担当する責任者です。

表

管理者ロール設定

フィールド説明

名前管理者ロールの識別に使用する名前を入力します (^最大 31 ^文字)^{。名前の大文} 字と小文字は区別されます。また、一意の名前にする必要があります。文字、

数字、スペース、ハイフン、およびアンダースコアのみを使用してください。

内容ロールの説明 (^最大 255 ^文字) ^{を入力します} (^任意)^。

ロールドロップダウンリストから管理役割の適用範囲を選択します。

WebUI Web インターフェースで許可するアクセスのタイプを示す

アイコンをクリックします。

•指定ページに読み書きアクセスできます。

•指定ページに読み取り専用でアクセスできます。

•指定ページにアクセスできません。

CLI ^ロール CLI アクセスのロールのタイプを選択します。

•無効化 — ^{デバイスの} CLI にはアクセスできません。

•superuser — ^{現在のデバイスにフル}^{アクセスできます。}

•superreader — 現在のデバイスに読み取り専用でアクセスできます。

•^{デバイス管理} — 新しいアカウントまたは仮想システムを定義する場合を除き、選択したデバイスにフルアクセスできます。

•^デバイス^リーダー — 選択したデバイスに読み取り専用でアクセスできます。

Palo Alto Networks

^{デバイス管理}

• 61

管理者ロール、プロファイル、およびアカウント

パスワードプロファイルの定義

[Device] > [

パスワードプロファイル

]

パスワードプロファイルを使用して、各ローカルアカウントにパスワードの基本要件を設定できます。すべてのローカルアカウントにパスワード要件を指定する

[

パスワード複雑性設定

]

を有効にすると、このパスワードプロファイルはそれらの設定でオーバーライドされます。詳細は、

ページの「パスワード複雑性設定」を参照してください。アカウントで使用できる有効な文字の詳細は、

ページの「ユーザー名とパスワードの要件」を参照してください。

アカウントにパスワードプロファイルを適用するには、

[Device] > [

管理者

]

に移動し、アカウントを選択して、

[

パスワードプロファイル

]

ドロップダウンからプロファイルを選択します。

管理アカウントの作成

[Device] > [

管理者

]

ファイアウォールへのアクセス権は管理者アカウントに基づいて制御されます。各管理者には、

台のデバイスか、

台のデバイス上の仮想システムへのフルアクセス権または読み取り専用アクセス権を付与できます。事前に定義されている

admin

アカウントには、フルアクセス権があります。

以下の認証オプションがサポートされています。

•

パスワード認証プロトコル

—

ユーザーがログインするユーザー名とパスワードを入力します。

証明書は必要ありません。

•

クライアント証明書の認証

(Web) —

このチェックボックスをオンにすると、ユーザー名とパスワードは必要なく、ファイアウォールへのアクセス認証には証明書で十分になります。

表

^{パスワード} ^{プロファイル設定}

フィールド説明

名前

パスワードプロファイルの識別に使用する名前を入力します (^最大 31 ^文字)^。名前の大文字と小文字は区別されます。また、一意の名前にする必要があります。文字、数字、スペース、ハイフン、およびアンダースコアのみを使用してください。

パスワード有効期限 (^日数)

設定された日数 (0 ^～ 365 ^日) で指定されたとおりに、管理者は定期的にパスワードを変更する必要があります。たとえば、値を「90」に設定すると、管理者に 90 日ごとにパスワードの変更を求めるプロンプトが表示されます。

失効の警告を 0 ^～ 30 日の範囲で設定して猶予期間を指定することもできます。

失効の警告期間 (^日数)

必須のパスワード変更期間を設定すると、この設定を使用して、強制パスワード変更日が近づくとユーザーがログインするたびにパスワードの変更を求めるプロンプトを表示できます (^範囲は 0 ^～ 30 ^日)^。

失効後の猶予期間 (^日数)

アカウントが失効した後に、管理者は指定した日数ログインできます (^範囲は 0 ^～ 30 ^日)^。

許可された管理者失効ログイン (^数)

アカウントが失効した後に、管理者は指定した回数ログインできます。たとえば、

値を「3」に設定し、アカウントが失効した場合、管理者はアカウントがロックアウトされるまで 3 回ログインすることができます (^範囲は 0 ^～ 3 ^回)^。

ドキュメント内 Palo Alto Networks Administrator's Guide (ページ 55-95)

機能リリースの [ アクション ] 列にある [ インストール ] をクリックします。目的のバージョン に [ ダウンロード ] が表示されている場合は、 [ ダウンロード ] リンクをクリックしてソフト

レード

ステップ 3 のように非 SYN TCP を許可している場合、 set session tcp-reject-non-syn yes を実行して元に戻すことができます。

3. 機能リリースの [ アクション ] 列にある [ インストール ] をクリックします。目的のバージョン に [ ダウンロード ] が表示されている場合は、 [ ダウンロード ] リンクをクリックしてソフト

ウェア パッケージを取得し、

インストール

をクリックします。

注：この手順では、機能リリースにアップグレードする前の設定にデバイスが

復元されます。アップグレード後に行われた変更は失われます。新しいリリー

スに戻すときに、これらの変更を復元する場合に備え、現在の設定をバック

アップしてください。

ソフトウェアのアップグレードとダウングレード

デバイス管理

を実行して いて、

にダウングレードする場合は、図

に示すように、

アクション

列の

イ ンストール

をクリックし、

ダウンロード用設定ファイルの選択

ドロップダウンで

「

」を選択します。

をインストールしたら、

をクリックしてデバイスを再起動し、新しいバージョ

ンをアクティベーションします。

の選択した機能リリースと設定がアクティベー ションされます。

注：

より前のリリースでは、出荷時状態に戻し、デバイスの復元が必要に

なる場合があります。たとえば、

から

にダウングレードする場合がそ

うです。

デバイス管理

脅威およびアプリケーションの定義の更新

脅威およびアプリケーションの定義の更新

ダイナミック更新

では、新規または改訂されたアプリケーションの定義や、アンチウイルス シグ

ネチャ

入手するには脅威防御ライセンスが必要です

、

フィルタリング基準、

データの更新、

のシグネチャ

入手するには

サブスクリプションが必要です

必要に応じて、このページで以下の機能を実行します。

今すぐチェック

をクリックして、

から最新情報を取得します。

アクション

列にある

インストール

をクリックして、そのバージョンに更新します。

バージョンの

戻す

をクリックして、そのバージョンに戻します。

更新ファイルの説明を表示するには、

リリース ノート

をクリックします。

以前に

に保存したファイルをインストールするには、

アップロード

をクリックします。

ファイルを参照して選択し、

ファイルからインストール

をクリックします。ドロップダウ ン リストから選択したファイルを選択し、

をクリックしてインストールします。

自動更新をスケジュールするには、

スケジュール

リンクをクリックします。更新の頻度と タイミングを指定し、更新ファイルをダウンロードしてインストールするのか、またはダウン ロードのみを行うのかを指定します。

ダウンロードのみ

を選択すると、

ダイナミック更新

ページの

アクション

列の

インストール

リンクをクリックしてダウンロードした更新 ファイルがインストールされます。

機能リリースの [ アクション ] 列にある [ インストール ] をクリックします。目的のバージョンに [ ダウンロード ] が表示されている場合は、 [ ダウンロード ] リンクをクリックしてソフト

3. 機能リリースの [ アクション ] 列にある [ インストール ] をクリックします。目的のバージョンに [ ダウンロード ] が表示されている場合は、 [ ダウンロード ] リンクをクリックしてソフト

ウェアパッケージを取得し、

^{デバイス管理}

を実行していて、

インストール

の選択した機能リリースと設定がアクティベーションされます。

^{デバイス管理}

では、新規または改訂されたアプリケーションの定義や、アンチウイルスシグ

^{今すぐチェック}

^{をクリックして、}

^{バージョンの}

^戻す

リリースノート

^以前に

をクリックします。ドロップダウンリストから選択したファイルを選択し、

リンクをクリックします。更新の頻度とタイミングを指定し、更新ファイルをダウンロードしてインストールするのか、またはダウンロードのみを行うのかを指定します。

リンクをクリックしてダウンロードした更新ファイルがインストールされます。

を指定したり、アップロードをピアファイアウォールと同期させるかどうかを指定したりで

^{デバイス管理}

ファイアウォールでは、ファイアウォールにログインしようとする管理ユーザーを認証するために以下のオプションをサポートしています。

^ローカル ^{データベース}

ユーザーのログインおよびパスワード情報がファイアウォールデータベースに直接入力されます。

^{クライアント証明書}

ページの「認証プロファイルのセットアップ」を参照してください。

^ロールプロファイルのセットアップ手順の詳細は、

ページの「管理者ロールの定義」を参照してください。

ページの「管理アカウントの作成」を参照してください。

仮想プライベートネットワーク

管理者用の仮想システムドメインの定義手順の詳細は、

ページの「管理者のアクセスドメインの指定」を参照してください。

^{デバイス管理}

^{デバイス管理}

管理ユーザーが行使可能なアクセス権と役割を決めるロールプロファイルを定義するには、

管理者ロール

ページの「管理アカウントの作成」を参照してください。