APC 技術ブログ

株式会社エーピーコミュニケーションズの技術ブログです。

株式会社 エーピーコミュニケーションズの技術ブログです。

【PaloAlto-FW】構築時における確認ポイント(管理系編)

PaloAltoファイアウォールを構築する上で必要となりそうな設定項目&要素メモ(管理系編)です。

地味に忘れてしまう項目もあるので参考程度でご覧いただければと思います。

 

対象OSはPAN-OS 5.X系です。

 

 

・MGTインタフェースのIPアドレス

  ⇒有効/無効の設定はありません。設定必須の項目です。

   データポート(InterfaceXX)との競合はありません(独立している)。

   MGTインタフェース上でのスタティックルートはかけません(デフォルトルートを設定)。

 

・MGT Interface Service

  ⇒(HTTP/HTTPS/TELNET/SSH/PING/SNMP)

   ※デフォルトでHTTPSSSHが有効

   SNMPがPAN-OS5.0からオフになっているので注意!

 

・TimeZone

  ⇒"Japan"、"Asia/Tokyo"というのがあります。

 

・NTP

  ⇒後述の「DynamicUpdate」で必要な項目となります。

   時間がずれていると意図した時間で更新できないことがあります。

    ※尚、Paloalto自体をNTPサーバにすることはできません。

 

DNS

  ⇒後述の「DynamicUpdate」で必要な項目となります。

   コンテンツサーバ「update.paloaltonetworks.com」の名前解決に必要です。

 

・管理者アカウント

  ⇒WebUI及びCLI共通になります。

 

・DynamicUpdate設定

  ⇒App-ID、アンチウイルス等のシグネチャ自動アップデート設定

   自動更新は無効にできますが、手動更新での運用は非常に大変なので推奨設定です。

   意外と忘れがちな設定項目です。

 

SNMP

  ⇒設定箇所がバラバラにあるのでどれがどれなのかよくわからなくなることがあります。

   【SNMP Trap】

   [Device] - [Server Profiles]で送出先であるSNMPサーバの定義をします。

   ※この設定だけではSNMPトラップログは送出されません!

    別途[Log Settings](system log等)や[Log Forwarding](Threat Log等)での

    送出するログの指定が必要です。

 

   【MIB】

   [Device] - [Setup] - [Manamgent] - [Management Interface Settings]で有効/無効の定義

   [Device] - [Setup] - [Operations] - [SNMP Setup]でCommunity Stringの設定

 

・Mail & Syslog

  ⇒[Device] - [Server Profiles]で送出先であるsyslogサーバやSMTPサーバの定義をします。

   ※この設定だけではログは送出されません!

    別途[Log Settings](system log等)や[Log Forwarding](Threat Log等)での

    送出するログの指定が必要です。

 

www.ap-com.co.jp

 

www.ap-com.co.jp