動作確認環境
- PA-200
- Version 8.1.19
Palo Alto への管理アクセスについて
Palo Alto の管理者は Palo Alto に対して Ping、HTTPS、SSH などの管理アクセスを行いますが、これらのアクセスを許可するかどうかの設定が存在します。
管理アクセスは MGT インターフェースから行うことが多いと思いますが、MGT インターフェースからの Ping、HTTPS、SSH アクセスについてはデフォルトで許可の設定になっているため、管理アクセスの許可設定を特に意識せずに管理アクセスを行うことが可能です。
一方、通常のトラフィック転送に使用するインターフェースについてはデフォルトでは Ping、HTTPS、SSH などの管理アクセスはできない設定になっています。そのため、通常のインターフェースから管理アクセスを行うためにはこれを許可する設定を行う必要があります。
管理アクセスを許可するための設定手順
通常のインターフェースからの管理アクセスを許可するためには以下の設定を行います。
- インターフェース管理プロファイルを作成する
- インターフェース管理プロファイルをインターフェースに適用する
インターフェース管理プロファイルの作成
GUI からインターフェース管理プロファイルを作成する場合は、[Network → ネットワークプロファイル → インターフェイス管理] から行います。
許可したいサービスについてチェックを入れます。アクセス許可 IP アドレスの設定は任意です。設定すると設定した IP アドレスまたはセグメントを送信元とする場合のみ許可され、それ以外の送信元からのアクセスは拒否されます。
CLI で設定を行う場合は以下の構文で設定します。
set network profiles interface-management-profile <プロファイル名> <サービス名> yes- 許可するサービスを設定する場合
set network profiles interface-management-profile <プロファイル名> permitted-ip <IP>- アクセス許可 IP アドレスを設定する場合
◆設定例:
set network profiles interface-management-profile Ping_OK ping yes
set network profiles interface-management-profile Ping_OK https yes
set network profiles interface-management-profile Ping_OK ssh yes
set network profiles interface-management-profile Ping_OK permitted-ip 10.10.1.0/24
set network profiles interface-management-profile Ping_OK permitted-ip 192.168.1.0/24指定できるサービス一覧は以下の通りです。
+ http http
+ http-ocsp http-ocsp
+ https https
+ ping ping
+ response-pages response-pages
+ snmp snmp
+ ssh ssh
+ telnet telnet
+ userid-service userid-service
+ userid-syslog-listener-ssl userid-syslog-listener-ssl
+ userid-syslog-listener-udp userid-syslog-listener-udp管理プロファイルをインターフェースに適用
GUI で設定する場合は、インターフェース設定画面の [詳細 → その他情報 → 管理プロファイル] でインターフェース管理プロファイルを指定します。
CLI で設定する場合は以下の構文で設定します。
set network interface ethernet <IF名> layer3 interface-management-profile <プロファイル名>- ※レイヤ3 インターフェースに対して設定する場合
◆設定例:
set network interface ethernet ethernet1/1 layer3 interface-management-profile Ping_OK
コメント