チュートリアル: 構成を強化する (CC)

こんにちは

これは、コミュニティチームとトムであり、今日我々はあなたの構成を強化する方法を見ていくつもりだ。

パロアルトのファイアウォールはセキュリティを念頭に設計されていますが、管理インターフェイスのセキュリティを強化するには、いくつかの手順を実行する必要があります。

最初に行うことの1つは、既定の管理者パスワードを変更することです。[デバイス] タブを参照して管理者に移動する場合: 

• 管理者アカウントを開く
• 簡単に推測される ' admin' ' のデフォルトのパスワードを、より安全なものに変更する

これにより、ファイアウォールをさらに展開する準備をしている間は、既に不正アクセスが防止されます。

別の手順として、管理者を別のグループに分離し、異なるアクセスを提供します。これを行うには、管理者ロールに行って、新しいロールを作成します。そこにすでにデフォルトのカップルがありますが、私は私たちが何ができるかを示すために新鮮なものから始めましょう。

たとえば、特定のログにアクセスする必要がある管理者のグループがある場合などです。私たちは、単にアクセスする必要がないすべての部品を無効にすることができます。たとえば、ポリシーを無効にして、オブジェクト、ネットワーク、デバイスタブを無効にすることができます。ログに添付されたフル IP アドレスまたはユーザー名を表示できないようにするには、プライバシーを無効にすることもできます。

我々は今、管理者を作成し、' ロールベース ' に設定し、ログ管理プロファイルを選択する場合。

先に行ってこれを託す...

私は、ログアウトするつもりだし、私は再び新たに作成された logadmin としてログインするつもりです。

あなたが見ることができるように、通常のタブのいくつかは削除されている: これ以上のネットワークのタブがない、これ以上のオブジェクトがない、これ以上のシステムがあります。利用可能な唯一のものは、プロファイルに残っていた機能です。だから私は今、この管理者アカウントを使用してダッシュボード、ACC とモニターにアクセスすることができます。すべての ip アドレスも anonomized されているため、この管理者は1つの ip アドレスを識別できません。

私は再びログオンしてみましょう。

[管理] タブから、パスワードの複雑さの最小値を選択できます。 

これは、いくつかのパラメータを設定することができます, 最小パスワードの長さのような, 上/下の最小数, 数字と特殊文字. 文字の繰り返しをブロックします。管理者は、最初のログオン時にパスワードを変更し、各パスワードが有効になるまでの期間を設定する必要があります。 

の最小パスワードの長さの7のような共通の値のカップルを設定してみましょう、大文字1の最小数は、小文字の1つの最小数、最小数値1、特別なキャラクターの最小数の1つ。パスワードを変更する必要があり、管理者が最初にログオンしたときにパスワードを変更する必要がある前に、2つのパスワードの再利用を防ぎ、60日ごとにパスワードの変更を要求し、10日間の猶予期間を持つようにします。

また、パスワードプロファイルを設定することもできます, これは、最小のパスワードの複雑さの簡略化されたバージョンです. パスワードの複雑さは、グローバル設定を上書きする単一の管理者にパスワードプロファイルを適用できるように、グローバルに適用されます。だから私は、例えば、10日間、何もこれを変更する場合、私は管理者に行くことができると私のパスワードプロファイルを使用してグローバル設定を上書きします。

次の手順: インターフェイス自体へのアクセスを制限することは、常に良いアイデアです。[セットアップ] タブに移動して [インターフェイス] を選択し、管理インターフェイスを開きます。

まず、インターフェイス自体で利用可能になるサービスを選択できます。それは常に ping を無効にすることをお勧めします, それは、ping でインターフェイスを undiscoverable になります: それは誰かがインターフェイスにつまずくことが少ない可能性があります. dataplane インターフェイスに適用されるすべての管理プロファイルについても同様です。また、管理者に許可されている ip アドレスの一覧を追加し、サブネットまたは1つのスラッシュ 32 (.../32) ip アドレスだけがこのインターフェイスにアクセスできるようにします。

dataplane インターフェイスの場合は、[ネットワーク] タブに移動し、インターフェイス管理にアクセスし、プロファイルを作成して、利用可能にするサービスを有効にすることができます。従って管理者のために SSH および SSL は興味深い場合もある。snmp は、いくつかの監視のための良いアイデアかもしれないし、任意の、すべての snmp モニタを含むこのインターフェイスにアクセスできるようにする必要がありますすべての IP アドレスを追加します。その後、先に行くとインターフェイスにアクセスし、インターフェイスにプロファイルを追加します。

snmp のトピックについて説明していますが、操作に移動して snmp の設定を変更すると、snmp コミュニティ文字列を複雑なものに変更し、簡単に推測できず、ユーザーが snmp 環境を悪用できないようにしたり、SNMPv3 が有効になっている snmp サーバ、先に行って、さらに安全であるこれを有効にします。

最後に、システムログのログ転送プロファイルを、ここで設定ログエントリに対してセットアップすることをお勧めします。あなたのシステム上で何かが発生した場合、そのように、多分誰かがあなたの設定を変更するか、他の何かが起こる、あなたのログは多分パノラマまたはおそらく電子メールアドレスにシステムをオフに転送されます。

私はどのように見えるかを示してみましょう: あなたは、電子メールプロファイルを追加することができます, あなたは、サーバーを追加することができます, 表示名, から, へ, 追加の受信者 (let の今のところは空のまま), して、電子メールゲートウェイ.

私の最後の勧告は、物理的な性質の詳細です: 管理インターフェイスが隔離されたネットワーク内にあることを確認してください, どちらかの帯域外ネットワークまたは別の VLAN, それはアクセスすることになっている管理者によってのみアクセスすることができますインターフェイス。

 さて、最後のステップ:

• [好きなボタン]
• チャンネルを購読する
• コメントを残す

感謝！

 死神