プロキシサーバーを介してパロアルトの更新を構成する

概要

すべてのインターネットバインドトラフィックをプロキシサーバー経由で送信する必要がある特定の環境があります。 このトラフィックはまた、パロアルトネットワークのトラフィックの更新を含めることができます。この資料では、プロキシサーバーを介してパロアルトネットワークの更新を許可するために対処する必要がある基本的なポイントについて説明します。

詳細

この記事を使用するトポロジ:

 パロアルトネットワーク (管理ポート)---プロキシサーバー----(トラストポート) PA (Untrust ポート)----インターネット

設定

1. プロキシサーバーの構成は、[デバイス] > [セットアップ] > [サービス] の下で行います
2. プロキシサーバーポートは、プロキシサーバーが構成されているポートで、HTTP 要求をリッスンします。
3. ユーザー名とパスワードは、プロキシサーバーが認証用に構成されているものです。
4. パロアルトネットワークファイアウォールは、ポート443の更新サーバーへの接続を確立するために、プロキシサーバーに設定されたプロキシポート上の HTTP Connect メソッドを送信します。
   
   
5. パロアルトネットワークファイアウォールでは、プロキシ認証ヘッダーに資格情報を送信する基本的なプロキシ証明方法が使用されます。
6. プロキシサーバーは、基本的なプロキシ認証方法を受け入れるように構成し、入力するユーザー名とパスワードを要求しないようにする必要があります。
   
7. プロキシサーバーが (このトポロジで使用されるように) パロアルトネットワークファイアウォールの信頼インターフェイスを介してインターネットに接続している場合、アプリケーション"paloalto-更新" を
   
   
   許可するようにセキュリティポリシーを構成する必要があります。
8. プロキシサーバーは、パロアルトネットワークの更新サーバーに接続することができると、それは、ファイアウォール管理インターフェイスに接続を確立したメッセージを送信し、 SSL ハンドシェイク、さらに通信は、プロキシを介して更新をフェッチするために開始されます。
   
   注:スニペットのソース IP は、パロアルトネットワークファイアウォールを介してインターネット接続に使用されるプロキシサーバー上の別の NIC です。