はじめにビデオ - 設定 Firewall
Symptom
I'私の firewall 、今何を解凍しましたか?
新しいのをアンボックスにした firewall 後、または工場出荷時のリセット後、デバイスは空の状態になり、最小構成と工場出荷時にインストールされているソフトウェア イメージが表示されます。 ここからどこへ行きますか。 新しい「はじめに」シリーズの第1弾は、操作の準備の最初の段階を案内します firewall 。
Resolution
初めてに接続する方法 firewall 、新しいソフトウェアやコンテンツをダウンロードできるようにライセンスを設定する方法、初めてのセキュリティを準備する方法について説明します policy 。
最初に構成する必要があるのは管理 IP アドレスなので、後で新しいデバイスを設定し続けるのが簡単になります。
1. 初期セットアップ
新しいデバイスに接続する使用できる 2 つの方法どちらか管理ポートまたはイーサネット-db 9 コンソール ケーブルをネットワーク ケーブルを使用しています。
- 管理ポートを使用する場合、ネットワーク インターフェイスのアドレスが IP 192.168.1.0/24 の範囲に設定されるように、使用するワークステーションを再構成 IP する必要があります IP 。
- コンソール・ケーブルを使用する場合は、端末エミュレーターを 9600baud、8 データ・ビット、1 ストップ・ビット、パリティなし、VT100 に設定します。 PuTTY を使用する場合は、接続の種類が [シリアル] に設定されている場合は、適切な構成が付属している必要があります。
ケーブルとワークステーションを準備した後、ユニットをコンセントに差し込み、起動を確認 firewall します。
コンソールはブートシーケンスを出力します。
Welcome to PanOS Starting udev: [ OK ] Setting clock (utc): Wed Oct 14 11:10:53 PDT 2015 [ OK ] Setting hostname 200: [ OK ]Checking filesystems: Running filesystem check on sysroot0: [ OK ] Running filesystem check on pancfg: [ OK ] Running filesystem check on panrepo: [ OK ] [ OK ] Remounting root filesystem in read-write mode: [ OK ] Enabling /etc/fstab swaps: [ OK ] INIT: Entering runlevel: 3 Entering non-interactive startup Starting Networking: [ OK ] Starting system logger: [ OK ] Starting kernel logger: [ OK ] ....
デバイスが起動すると、コンソール接続にログインプロンプトが表示され SSH SSL 、192.168.1.1 への接続が可能になります。
コンソールと SSH ステップ 1.1 で、グラフィカル ユーザー インターフェイス ( ) GUI のステップ 1.2 で強調表示します。
1.1. コンソールと SSH 接続
デフォルトのユーザー名とパスワードは admin / adminなので、先に進んでログインして CLI . ここから、デバイスの適切な IP アドレスとサブネット、およびデフォルトゲートウェイと DNS デフォルト設定の設定を開始し、ユニットは後で更新を収集できるようにします。
login as: admin Using keyboard-interactive authentication. Password: Last login: Wed Oct 14 11:57:16 2015 from 192.168.1.168 Warning: Your device is still configured with the default admin account credentials. Please change your password prior to deployment. admin@PA-200> configure Entering configuration mode [edit] admin@PA-200# set deviceconfig system ip-address 10.0.0.10 netmask 255.255.255.0 default-gateway 10.0.0.1 dns-setting servers primary 4.2.2.2
commitコマンドを使用して、新しい設定をシステムに適用します。
admin@PA-200# commit ..................55%...60%75%.99%...........100% Configuration committed successfully [edit]
この時点で、 SSH SSL アドレスが変更され、 IP 管理サービスが再起動されてこれらの変更が適用され、デバイスにアクセスできなくなる可能性があります。 新しいアドレスに再接続する必要 IP があります。
1.2. Webインターフェイスの初期設定
Web インターフェイスに初めて接続すると、ブラウザにエラーメッセージが表示されることがあります。 これは、web インターフェイスによって使用される証明書は自己署名証明書のブラウザーが信頼していないためにです。 この時点でエラー メッセージを無視しても問題なく、ログイン画面に移動
します。
[デバイス >セットアップ>管理] に移動し、管理インターフェイス設定を変更できます。
- インターフェイスの構成を変更し、 OK をクリックします。
- 次に、[サービス] タブを選択し、サーバーを構成 DNS します。
- デバイスに変更を適用するには、右上の [コミット] リンクをクリックします。
1.3 最初のステップを終える
これで firewall 、 IP ネットワークで動作する適切なアドレスが設定 LAN されているので、ケーブルを接続してください。
- ルーター インターフェイス 1 に接続します。
- インターフェイス 2 をスイッチに接続します。
- 管理(mgmt)インターフェイスをスイッチに接続します。
2. ライセンスの準備とシステムの更新
コンテンツやアプリケーションの更新やソフトウェアのアップグレードをダウンロードするには、システムのライセンスが必要です。 様々なライセンスは、システムのさまざまな機能を制御するので、-
- サポート ライセンスは、ソフトウェアと AppID の更新プログラムにシステムを付与します。
- 脅威防止 ライセンスは、ウイルス、脅威、マルウェアのシグネチャを追加します
- URL ライセンスは URL 、セキュリティ ポリシーで使用するカテゴリを有効にします。
デバイス タブに移動し、左側のウィンドウから [ライセンス] を選択します。
- デバイスが上記の方法で登録されており、認証コードが既に追加されている場合は、先に進み、[ライセンスサーバーからライセンスキーを取得]を選択します。
- デバイスが登録されているが、まだライセンスが追加されていない場合は、[ 認証コードを使用して機能をアクティブ化する ] を選択して、Palo Alto の販売担当者から受け取った認証コードを通じてライセンスをアクティブ化します。
これで、このデバイスのコンテンツの更新を開始する準備が整ったので、[デバイス] >動的更新に移動します。
2.1 コンテンツの更新
このページが初めて開かれた時には、ダウンロード用のパッケージは表示されません。 システムは、利用可能な更新のリストを表示する前に、まず利用可能な更新のリストを取得する必要があるため、[今すぐチェック] を選択します。
システムが利用可能な更新プログラムの一覧を取得すると、アプリケーションと脅威パッケージが利用可能になります。 ウイルス対策パッケージが見つからないことがあります。 アプリケーションと脅威パッケージをダウンロードしてインストールした後にのみ表示されます。
パッケージをダウンロードしたら、システムにインストールします。
アプリケーションと脅威のパッケージがインストールされたら、別のチェックを実行して Antivirus パッケージを取得します。
今すぐダウンロードして、アプリケーションと脅威パッケージと同じように、ウイルス対策パッケージをインストールします。
2.2 スケジュールの設定
これらのタスクが完了したら、都合のよい時間に各パッケージを自動的にダウンロードしてインストールするスケジュールを設定することをお勧めします。 コンテンツの更新生産中にインストールすることができます、既存のセッションを中断しないで、だから安全です日中に更新を適用します。 ただし、ほとんどの組織では、リスクを最小限に抑えるために夜間または営業時間外に更新を実行することを選択します。
スケジュールの横にある時間枠をクリックしてスケジュールを設定します。
適切なスケジュールを設定した後、変更をコミットします。
2.3 システムのアップグレード
コミットが完了したら、ユニットが PAN-OS 古いにインストールされている場合に備えて、システムをアップグレードしてより新しいに OS します
。デバイス > ソフトウェアに移動します。 このタブに初めてアクセスすると、システムが更新サーバーとの以前の接触がなく、どの更新プログラムが利用可能であるかわからないため、ポップアップに更新情報が表示されません。 このポップアップを閉じてから、[今すぐ確認] を選択します。
BEST PRACTICES GUIDE FOR PAN-OS UPGRADEデバイスを適切にアップグレードする方法の詳細については、を参照してください。
3. セキュリティ プロファイル
の準備 システムには、各カテゴリの既定のセキュリティ プロファイルがあらかじめ読み込まれます。
ここでは、フィルター以外の既定のプロファイルで構成 URL を開始します。 [オブジェクト] タブに移動し、[セキュリティ プロファイル>フィルタリング] を選択 URL して、新しい URL フィルタリング プロファイルを追加します。
この最初のカスタム URL フィルター プロファイルでは、allow アクションではフィルター ログ エントリが作成されないので、すべてのアクションを許可ではなくアラートに設定します URL 。 ネットワーク上で発生している Web 閲覧の種類について、ある程度の洞察を得るために、アラートを設定します。
他のすべてのデフォルト プロファイルは、ネットワーク セキュリティと、適切なログに攻撃的なセッションが表示されるようにするための十分なカバレッジを既に提供する必要があります。 次に、不要なアプリケーションのグループを準備します。
4. アプリケーション
更新パッケージをダウンロードした後、 firewall には セキュリティを作成するために使用できるアプリケーションが多数含まれています policy が、これらのアプリケーションには、アプリケーションフィルタと呼ばれる動作に基づいてアプリケーションのグループを作成するための便利なメタデータも含まれています。 アプリケーションをグループに手動で追加してリストを最新の状態に保つ必要がないように、アプリケーション フィルタは、特定の動作に一致する新しいアプリケーションをアプリケーション フィルタに自動的に追加し、セキュリティ policy が適切なアクションを実行できるようにします。
最初の アプリケーション フィルタに望ましくない動作を伴う フィルタを作成 policy します。 [オブジェクト] タブに移動し、[アプリケーション フィルター] を選択します。
たとえば、ピアツーピアと呼ばれるアプリケーション フィルタを作成し、そこで Subcategory ファイル共有 とテクノロジ ピアツーピア
に一致するすべてのアプリケーションを追加します。これで、最初のセキュリティを設定 policy してログを確認する準備が整いましたが、まずは、ネットワーク構成を見て回り回してみましょう。
5. ネットワーク設定[
ネットワーク]タブに移動して[インターフェイス]を参照すると、インターフェイス 1 と 2 が両方とも仮想ワイヤ(vwire)として設定され、両方とも default-vwire に追加されます
A IP 。 それは単にあなたのルータの間に差し込むことができるし、トラフィックを渡すことを開始に切り替えます。 今後の記事では他のインターフェイスタイプについて説明しますが、ここでは vwire の設定に固執しましょう。
6. セキュリティ policy とログ
デバイスを準備したら、セキュリティ ポリシーを確認し、良好なトラフィックが出て行き、不正なトラフィックをブロックできる初期構成を設定します。
初期セキュリティでは policy 、インスペクションなしですべての送信トラフィックが許可されます。 Intrazone、interzone トラフィックをブロックと 2 つの既定の規則があります。 これらの最後の 2 つを、vwire に現在関連付けられていないため、今後のセッションで拡大します。
rule1 を編集して、それを 「不正なアプリケーション」ブロック規則にします。
- ソースとデスティネーションはそのままに。
- [アプリケーション > アプリケーション フィルター、選択ピア ツー ピア。 追加するアプリケーションまたはグループの名前を入力するのに役立ちます 。
- [アクション] で、ピアツーピアが好きでないアクションを [拒否] に設定し、[ OK ] をクリックします。
- [ソース] で、スイッチに接続されているインターフェイス 2 に関連付けられたソース ゾーンとして信頼を選択 LAN します。
- [宛先] で、インターフェイス 1 に関連付けられており、インターネット ルーターに接続されているゾーンとして [信頼しない] を選択します。
- 今のところ、アプリケーションは任意のままにします。
- [アクション] で、セキュリティ プロファイルを追加して、悪意のあるコンテンツの発信接続のスキャンを有効にしたり、 URL 閲覧セッションにフィルタを適用したりします。
次に、これらの変更をコミットして、[モニター]タブに移動します。 コミット操作が完了すると、感染が検出された場合、ログは対象トラフィック、および脅威情報でいっぱいになり始めます URL
I 。 コメントを残して、 始まるシリーズの他のエピソードをチェックしてください。
よろしく、
トム・ピエンス
Additional Information
1 日目の構成: それは何をしますか?
登録プロセスの最後に新しいデバイスを登録すると、オプションの新しいステップが表示され 、Day 1 の構成を実行するよう要求されます。
このステップは何を行い、それを実行することの利点は何ですか?
Day 1 構成ツールは、構成の残りの部分を構築できる基盤としてベスト プラクティス構成を導入するテンプレートを提供することで、より頑丈なベースライン構成を構築するのに役立ちます。
構成テンプレートは、パロアルトネットワークスの既存のベスト プラクティスの推奨事項に基づいています。
Day 1 の構成テンプレートは、広範かつ詳細な「操作方法」のドキュメントではなく、ユース ケースに依存しない実装が容易な構成モデルを提供します。 動的更新、セキュリティ プロファイル、ルール、およびロギングなど、展開間で一貫性を保つ必要がある、重要なセキュリティ要素に重点を置いています。
BLOG: DAY 1CONFIGURATION
DAY1 : CONFIGURATION WHAT DOES IT DO ?
BLOG: DAY CONFIGURATION TOOL FOR PANORAMA
VIDEO TUTORIAL: DAY 1CONFIGURATION TOOL