色分けされたタグを構成する方法
Resolution
PAN-OS 6.0 と後
概要
色分けされたタグは、PAN-OS 6.0 で導入され、多くの種類のオブジェクトの分類を視覚的に区別できるようにします。管理者は、ポリシーをスキャンし、オブジェクトの色分けが目的のスキームに従っていることを確認することによって、ポリシーが正しく作成されたかどうかを簡単に判断できます。
詳細
デバイス/パノラマ GUI で、[オブジェクト] タブに移動します。下図のように、左側のオブジェクトツリーパネルには、色分けされたタグ管理用の "タグ" という新しいツリーノードがあります。
tag オブジェクトには、次の3つのフィールドがあります。
- 名
- 色
- コメント
タグを割り当てるときに分離文字として使用されるため、名前にコンマ (,) を含めることはできません。
tag オブジェクトのカラー値は、定義済みの16色のカラーパレットから選択できます。既定値は "None" で、色はありません。
タグの作成時には、色の選択は必要ありません。
パロアルトネットワークデバイス/パノラマでは、次のオブジェクトを新しい tag 属性と共に使用できます。
- オブジェクト > アドレス
- オブジェクト > アドレスグループ
- オブジェクト > サービス
- オブジェクト > サービスグループ
- ネットワーク > ゾーン
メモ: タグとゾーンを使用する場合、ゾーンの編集中にタグを選択できないため、ドロップダウンを汎用名の代わりに使用する必要があります。
ポリシーには既にタグがありますが、新しい tag オブジェクトを使用するために活用されます。上のオブジェクトには、トップレベルのグリッドに新しいタグ列があります。オブジェクトの最初のタグだけが色を持つことができます。
上記のオブジェクトの追加/編集中に、以下に示すように、タグ属性を指定することができます。
タグは既存のタグから選択できます。また、タグ補完は大文字小文字を区別しません。管理者が新しいタグを追加すると、"ok" の後にタグオブジェクトとして追加されます。ユーザーは、オブジェクト/ルールエディタで、オブジェクトの "色付きタグ" としてタグを選択できます。"色付きのタグ" は、"ok" の後の最初のタグとして保存されます。
ポリシーテーブルから、ユーザーにはルールタグが表示されます。ルールの最初のタグだけが色を持つことができます。
次に、カラータグを使用しないセキュリティ Rulebase の例を示します。
ゾーンとオブジェクトの内部で使用されるカラータグを持つセキュリティ Rulebase の例を次に示します。
カラータグを使用すると、ポリシーが読みやすくなることに注意してください。
追加情報
- タグ名の長さは127文字に制限されています。
- 16色のみで、カスタムカラーを作成することはできません。
- 複数のタグは同じ色を使用できます。
- アイテムに異なる色のタグが複数ある場合は、最初のタグの色が表示されます。だから、注文事項。
- Config は、カラー # (1-16) として CLI で表示されます (たとえば、設定タグ color4 カラー)
- パノラマは、タグの色の configs をプッシュできます。ファイアウォール上の既存のタグと競合する場合は、デバイスの設定を優先する必要があります。
- 同様に、共有と VSYS の特定のオブジェクトの間に競合がある場合は、VSYS が優先されます。
ログ記録
構成ログは、タグオブジェクトの追加/編集/削除、および他のオブジェクトへのタグの設定に対して生成されます。
インフラストラクチャコンポーネントとの機能の相互作用:
- 高可用性タグ構成は、他のオブジェクト構成と同様に同期されます。
- 仮想システム-タグの管理とタグの割り当ては、VSYS ごとに行うことができます
- パノラマタグの管理とタグの割り当ては、パノラマで利用可能です。
パノラマ
ネットワークテンプレート内の指定されたオブジェクトとゾーンには、タグの構成があります。タグ構成は、オブジェクトおよびデバイステンプレートと共にデバイスグループおよびデバイスにプッシュされます。ファイアウォール上の既存のタグと競合している場合は、デバイスの構成を優先する必要があります。パノラマゾーンのネットワークテンプレートでは、タグを指定できますが、完了 (ドロップダウン) はありません。ユーザーは、タグ名のみを入力できます。
タグは、デバイスとデバイスグループの VSYS または共有に属することも、パノラマで共有することもできます。
所有者: jdelio