既定の管理ポートを変更する方法
111452
Created On 09/25/18 17:27 PM - Last Modified 04/14/23 23:07 PM
Resolution
概要
任意のインターフェイス上のデフォルト以外のポートを使用して、パロアルトネットワークファイアウォールへのアクセスを許可することが可能です。このドキュメントでは、信頼ゾーンのループバックインターフェイスを使用して、Untrust ゾーンからファイアウォールへの HTTPS および SSH アクセスを構成する方法について説明します。
手順
- ファイアウォールでループバックインターフェイスを構成し、必要な種類のアクセスを許可するインターフェイス管理プロファイルを割り当てます。
注意: -アクセスを許可する管理プロファイルは、Untrust インタフェースではなく、ループバックインタフェース上にある必要があります。
-ループバックインターフェイスに割り当てられた IP は、dataplane または管理インターフェイスとは異なる一意である必要があります。
- ファイアウォールへのアクセスを許可する既定以外のポートのカスタムサービスを構成します。この例では、SSH アクセス用の HTTPS および tcp/7778 に対して tcp/7777 が選択されています。
- 個々の宛先 NAT ポリシーを構成して、カスタムポートを既定のアクセスポートに変換します。
- Untrust インターフェイスへの受信アクセスを許可するセキュリティポリシーを構成します。必要に応じて、このセキュリティポリシーで許可される特定のポートを含めることができます。
- 変更をコミットします。
- コミット操作が完了したら、アクセスを許可するように構成されたカスタムポートを使用して、ファイアウォールへのアクセスを Untrust インターフェイスで使用できるようにする必要があります。
所有者: tasonibare