ファイアウォールシステムを検討する場合、ほとんどの管理者は、LAN ネットワークからインターネットまたは DMZ 領域に出てくるトラフィック、およびインターネットから会社のデータセンター内の web サーバーまたはメールサーバーへの接続について考えています。ファイアウォール自体への接続は、通常、管理に関してのみ考慮されます。
今週のヒント & トリックでは、我々はトラフィックの種類は、ファイアウォールから来ることができると、すべてがスムーズにセキュリティを損なうことなく実行していることを確認する方法を見てみましょう。
可能なすべてのライセンスがファイアウォールに適用され、すべての更新が自動的にダウンロードされるように構成されていると仮定します。
管理インターフェイスから発信される複数の送信接続は、インターネットに到達できる必要があります。ファイアウォールは、更新プログラムのダウンロード、新しい AV 署名の取得、適切なカテゴリの url のチェック、および他のアクティビティのホストを行う必要があります。
発信接続は、すべての web ブラウジングおよび SSL セッションで、コンテンツのアップまたはダウンロードに応じて、いくつかの異なる url 宛てに送信されます。
- updates.paloaltonetworks.com および downloads.paloaltonetworks.com は、AV、アプリ ID、コンテンツ、およびパン OS の更新に使用されます。
- wildfire.paloaltonetworks.com は、山火事のコンテンツの更新や分析のためのファイルのアップロードに使用されます。
- urlcloud.paloaltonetworks.com と service.brightcloud.com は、URL の参照とベース db のダウンロードに使用されます。
ただし、上記の url は、ファイアウォールを地域ベースのサブドメイン (s0100.urlcloud.paloaltonetworks.com、eu-west-1.wildfire.paloaltonetworks.com など) にリダイレクトするメイン url です。
お使いのデバイスに適したすべての地域 url のリストを収集できる場合は、 url フィルタリングプロファイルを有効にしてこれらの接続を許可することもできますが、これはかなり面倒なので、セキュリティポリシーで使用されるいくつかのアプリケーションを提供しました。物事は少し簡単に。
- pan-db-クラウドは 、url フィルタリングを操作するために必要なすべての url と suburls への送信接続を可能にします。
- brightcloud は、 brightcloud URL フィルタリングデータベースが使用されている場合、 同じ機能を許可します。
- paloalto-更新は、 すべてのアプリケーション、脅威とコンテンツ、汎 OS 更新、GlobalProtect ソフトウェアと更新の取得を可能にします。
- paloalto-cloud は、 山火事のコンテンツの更新をダウンロードし、検査のためにクラウドにファイルをアップロードすることができます。
アプリケーションは、単純なセキュリティポリシーを有効にするので、すべてのサービスは、山火事の場合には、分析のためにクラウドにアップロードされた更新またはファイルを受け取ることができます。
場合によっては、管理インターフェイスがローカル LAN に接続されていないか、またはインターネットにアクセスできない帯域外ネットワークにある場合があります。管理者がこれらのタスクを手動で実行しなくても、重要な更新をシステムにインストールするには、サービスごとにサービスルートを作成します。
サービスルートとは、内部バックボーンを横断して、内部または外部インタフェースにバインドできる dataplane に、管理平面からの内部ルートです。サービスルートが内部インターフェイスにバインドされている場合でも、上記のセキュリティポリシーを使用して、発信接続でアプリ ID を制御および実行することができ、必要に応じて、AV とコンテンツのスキャンも行います。
サービスルートが外部インターフェイスにバインドされている場合、サービスは、セキュリティポリシーのさらなる構成を必要とせずに、それぞれのパロアルトネットワーククラウドサービスに接続できます。 サービスルートが外部インターフェイスにバインドされている場合、接続は、セキュリティポリシーのさらなる構成を必要とせずに、パロアルトネットワーククラウドサービスに接続するだけで許可されます。
私はあなたが今週のヒント & トリックを楽しんでほしい。いつものように、コメントや提案は、以下のセクションで歓迎されています。
トム Piens