GlobalProtect 無償・有償版の違い

Paloalto社のファイアウォールはリモートアクセスVPN（GlobalProtect）が利用できます。GlobalProtectは緊急事態宣言に伴うテレワーク化の対応でも非常に活躍した機能の一つですね。GlobalProtectは無償版

あて先NATポリシー設定時の注意事項

Paloaltoファイアウォールには、ご存じの通り優れたNAT変換機能が組み込まれている。従来のJuniperFWなどに比べ、あまりにも細かいNAT変換ルールを定義することが可能だ。NATポリシー自体はシンプルなので、ネットワークの前提知識

初期パスワード

工場出荷状態（デフォルト）のPaloaltoファイアウォールの初期パスワードはadminだ。マネジメントポートの初期設定はこのようになっている。工場出荷状態（デフォルト）マネジメントポート設定初期IP：192.168.1.1初期ユーザ名：a

web-browsing

この記事にアクセスした方は、自身が管理するPaloaltoファイアウォールのログを見て気になっているのでないかと思う。web-browsingとはPaloaltoが定義するアプリケーションの一種だ。ここではアプリケーション「web-brow

PA-220 フロントパネル

フロントパネルPA-220のフロントパネルです。イーサネットポートは10/100/1000です。マネジメントポートも10/100/1000です。PA-200のフロントパネルはこちらをご参照ください。↓コンソールポートについてコ...

福岡大学NTP-パブリックNTPサービス

この記事にアクセスした方は、自身が管理するPaloaltoファイアウォールのNTP設定について検討されているかと思う。日本国内で信頼できるNTPサーバは複数ある。その中でも、長年愛用されているパブリックNTPサービスが福岡大学のNTPサーバ

マネジメントポートとは

この記事にアクセスした方はおそらく、マネジメントポートについて理解したいと考えているだろう。この記事では、マネジメントポートとは何かを解説する。マネジメントポートに以下のような特徴がある。イーサネットポートとマネジメントポートは物理的に独立

管理者ロール

この記事にアクセスした方はおそらく、職務の分離といった原則に基づいてユーザに対して管理者権限（admin）ではなく、ロール(役割）ベースのコントロールを加えたいとかんがえているのではないだろPaloaltoファイアウォールではデフォルトで、

管理者ロールをカスタマイズする方法

この記事にアクセスした方はおそらく、職務の分離といった原則に基づいてユーザに対して管理者権限（admin）ではなく、ロール(役割）ベースのコントロールを加えたいとかんがえているのではないだろうか。管理者ロールに関する詳細はこの記事を確認して

タイムウェイト-タイムアウト/timewait-timeout とは

この記事にアクセスした方はおそらく、今まさにセッションタイムアウトの問題を抱えているか、過去に問題の直面し、苦労した経験をお持ちではないだろうか。もしかするとセッションタイムアウト値をFW側でカスタマイズできることに気付かずに、諦めた経験も

halfclose-timeout

この記事にアクセスした方はおそらく、今まさにセッションタイムアウトの問題を抱えているか、過去に問題の直面し、苦労した経験をお持ちではないだろうか。もしかするとセッションタイムアウト値をFW側でカスタマイズできることに気付かずに、諦めた経験も

CLIでサービスを設定する方法

Paloaltoシリーズファイアウォールで、サービスをCLIでサクッと作成する。もちろん1件程度であれば下記のようにGUIから作成した方が早いだろう。ただこの記事にアクセスした方はおそらく、大量のサービス設定を一括で作成したいが故にCLIで

TCPタイムアウトとは

Paloaltoシリーズファイアウォールで、サービスを新しく作成する際に、サービスタイムアウト設定をカスタマイズすることがある。この記事にアクセスした方はおそらく、今まさにセッションタイムアウトの設定変更に迫られている理由があるのではないだ

サービスのセッションタイムアウト(session time out)値をカスタマイズする方法

この記事にアクセスした方はおそらく、今まさにセッションタイムアウトの問題を抱えているか、過去に問題の直面し、苦労した経験をお持ちではないだろうか。もしかするとセッションタイムアウト値をFW側でカスタマイズできることに気付かずに、諦めた経験も

最新コンソールケーブル事情

最新コンソールケーブル事情最近、通称キシメンケーブルと呼ばれる、平たいコンソールケーブルを愛用する往年のエンジニアが驚く製品が登場した。それが、USBコンソールケーブルである。名前の通り、最初からUSBタイプのコネクタなので、わざわざキシメ

特定の通信が複数のアプリケーションに識別されてしまうりゆう

App-IDPaloaltoファイアウォールの最大の特徴は、App-IDだ。このApp-IDを使って、アプリケーション単位で通信の許可・拒否、そして可視化が可能だ。この機能はライセンス不要で標準で利用できる。App-IDは完璧ではない...

WindowsUpdateだけを許可する方法

WindowsUpdateだけを許可するこの記事では、Paloaltoファイアウォールを使って、WindowsUpdateだけを許可する方法について記載する。しかしこの壁を超えるためには前提知識が必要だ。注意点も多くある。それらをすべて理解

WindowsUpdateだけを許可するために必要な前提知識・課題

WindowsUpdateだけを許可するこの記事では、Paloaltoファイアウォールを使って、WindowsUpdateだけを許可する方法について記載する。しかし設定方法だけを説明されても、おそらくなぜこんな設定が必要なのか全く理解できな

アプリケーションへのタグ付け

アプリケーションとはこの記事では、Paloaltoファイアウォールのアプリケーションリスクをカスタマイズする方法について記載する。まずアプリケーションについてはこちらの記事で詳細を記載しているので、そもそもアプリケーション識別機能について知

アプリケーションのリスクレベルをカスタマイズする方法

アプリケーションとはこの記事では、Paloaltoファイアウォールのアプリケーションリスクをカスタマイズする方法について記載する。まずアプリケーションについてはこちらの記事で詳細を記載しているので、そもそもアプリケーション識別機能について知

アプリケーションの特徴とセキュリティ対策のすゝめ

アプリケーションとはこの記事では、Paloaltoファイアウォールのアプリケーション識別機能を使った簡単なセキュリティ対策について記載する。まずアプリケーションについてはこちらの記事で詳細を記載しているので、そもそもアプリケーション識別機能

アプリケーションデフォルト（application-default）

アプリケーションデフォルト（application-default）とは結論からいうと、Paloalto社が定義したアプリケーションの設定に従う。という意味の設定だ。では、アプリケーションではどう設定されているのか確認してみる。object

マネジメントポート（MGTポート）設定

マネジメントポートとはPaloaltoファイアウォールには、アクセスポートとは別にマネジメントポート（MGT）が必ず付いている。このMGTポートは、アクセスポートとは物理的に切り離されており、そのままでは相互通信ができないようになっている。

ライセンス無しでも最新アプリケーションリストを取得する方法

Paloaltoのアプリケーション識別Paloaltoファイアウォールには標準機能でアプリケーションレベルの通信の可視化・制御が可能だ。ライセンスがないと使えないと思われガチだが、実際にはライセンスがなくても常に最新のアプリケーションを取得

アプリケーション

Paloaltoのアプリケーション識別Paloaltoファイアウォールには標準機能でアプリケーションレベルの通信の可視化・制御が可能だ。ライセンスがないと使えないと思われガチだが、実際にはライセンスがなくても常に最新のアプリケーションを取得

サーバーレスポンス検査の無効化

サーバーレスポンス検査の無効化Paloaltoのポリシーに設定できるオプション設定に「サーバーレスポンス検査の無効化」という設定値がある。この機能を有効に使う方法を紹介する。サーバーレスポンス検査とはサーバーレスポンス検査とは一体...

セッションスタートログを取得する方法

セッションスタートとはセッションとはTCP/IPの世界では重要なキーワードだ。通信には必ず行きと帰りの二つ存在している。それをセッションということばで言い表すと、セッションスタートは行き、セッションエンドが戻りとなる。厳密には単純に行って帰

ポリシーの列情報の表示を増やす・減らす方法

何故かポリシーに設定できるはずの項目がない例えばこのように、ポリシー設定を開くとする。ここでは明らかに、「URLカテゴリ」や「アプリケーション」といった使えるはずの機能が表示されていないことがわかる。安心してほしい。決して故障しているわけで

カスタムオブジェクト-URLカテゴリ

URLカテゴリとはURLカテゴリには、大きく二つの種類がある。一つはURLライセンスを適用した時に利用できる、動的なURLカテゴリ/リストだ。例えば「Malware」といったURLカテゴリが動的に作成され、そのカテゴリにHITする通信を遮断

国別制限

最初にファイアウォールといえば、特にインターネットへシステムを公開する際に非常に重要なアイテムだ。公開する際は、通常世界中からアクセスできるように、下記のように設定することが多い。■システムを公開する時のポリシー例送信元：Any（すべて）

スケジュール設定

最初にこの記事では、PAシリーズのポリシー設定オプションである、スケジュール設定について解説する。スケジュール設定とは、簡単に言うと有効化したい日時だけ特定のポリシーを有効化する方法だ。逆にいうと設定した日時以外は自動的にポリシーが無効化さ

設定情報（コンフィグ）の状態と、コミット（Commit）セーブ（Save）

PAシリーズではコンフィグ（設定情報）を以下の様に見ると理解しやすいです。■設定情報の状態 ⇒ ⇒ Candidate Config とは昔のファイアウォールは、設定変更すると即時反映され、動作にも影響しましたがPAシリーズや最近のファイ

初期化（Factory Reset）で工場出荷時状態へリセットする方法

初期化（Factory Reset）の正しいお作法。たまにソフトウェアが異常を起こすことがあったり、出荷時状態に戻したい時は初期化をしみよう。初期化方法■手順コンソールケーブルを使用しデバイスに接続Palo Alto Networks de

再起動

再起動の正しいお作法です。従来NW機器は、あえてシャットダウンせずにそのまま電源抜くタイプも昔は良くありましたが、ソフトウェアが異常を起こす可能性があるので、正しいお作法で再起動しましょう。WebUIから再起動する■操作の流れ → →

シャットダウン

シャットダウンの正しいお作法です。従来NW機器は、あえてシャットダウンせずにそのまま電源抜くタイプも昔は良くありましたが、ソフトウェアが異常を起こす可能性があるので、正しいお作法でシャットダウンしましょう。WebUIからシャットダウンする■

初期状態

PA-200または220を購入したら、早速触りたいですが、初期状態をまずは確認しましょう。ということで、この記事では初期状態についてまとめました。起動時間■起動時間・PA-200の場合、約10分・PA-220の場合、約3分これは、起動にかか

PA-200のUSBポートをおそらく最もクールな方法で使ってみる

フロントパネルPA-200のフロントパネルは何故かUSBポートがついていて、メーカー公式情報を見ると、「1 USB port for future use.」となっています。折角、PA-200を個人利用するならこのUSBポートもちゃんと使っ

PA-200 フロントパネル

フロントパネルPA-200のフロントパネルにはイーサネットポートは10/100/1000マネジメントポートは10/100があります。コンソールポートについてコンソールケーブルはコマンドラインで設定変更する場合や、初期化する場合に必要です。.

PA-220Rとは

スペックPA-220Rという機種が存在する。PA-220との違いはほとんどない。モデルPA-220PA-220Rサイズ1U程度1U程度インターフェース10/100/1000×8MGMTポート×1Console port×110/100/10

PA-200とPA-220の違い

PAシリーズのラインナップは小規模はPA-220ではじまり、大規模ではPA-7080とった、大規模データセンター仕様のハイエンドモデルが存在する。個人利用するならPAシリーズは、基本的には法人向けの高価なファイアウォール製品だ。そのためスペ

PA-220純正電源アダプタがない時の代替策

この記事では、同社のPA-220の電源アダプタが無くて困っている方向けの暫定対処法次世代ファイアウォールとしての地位を確立しているパロアルトネットワークス社。最近は中古市場でもPA-220が出回るようになってきたが、それでも10万超はするの