既定の管理ポートを変更する方法

概要

任意のインターフェイス上のデフォルト以外のポートを使用して、パロアルトネットワークファイアウォールへのアクセスを許可することが可能です。このドキュメントでは、信頼ゾーンのループバックインターフェイスを使用して、Untrust ゾーンからファイアウォールへの HTTPS および SSH アクセスを構成する方法について説明します。

手順

1. ファイアウォールでループバックインターフェイスを構成し、必要な種類のアクセスを許可するインターフェイス管理プロファイルを割り当てます。
   注意: -アクセスを許可する管理プロファイルは、Untrust インタフェースではなく、ループバックインタフェース上にある必要があります。
              -ループバックインターフェイスに割り当てられた IP は、dataplane または管理インターフェイスとは異なる一意である必要があります。
   
2. ファイアウォールへのアクセスを許可する既定以外のポートのカスタムサービスを構成します。この例では、SSH アクセス用の HTTPS および tcp/7778 に対して tcp/7777 が選択されています。
   
3. 個々の宛先 NAT ポリシーを構成して、カスタムポートを既定のアクセスポートに変換します。
   
4. Untrust インターフェイスへの受信アクセスを許可するセキュリティポリシーを構成します。必要に応じて、このセキュリティポリシーで許可される特定のポートを含めることができます。
   
5. 変更をコミットします。
6. コミット操作が完了したら、アクセスを許可するように構成されたカスタムポートを使用して、ファイアウォールへのアクセスを Untrust インターフェイスで使用できるようにする必要があります。
   

所有者: tasonibare