動作確認環境
- PA-200
- Version 8.1.19
サービスオブジェクトとは
サービスオブジェクトとは、サービス(プロトコル及びポート番号)情報の定義です。
セキュリティーポリシーを設定する際、宛先サービスを指定します。このサービスを指定する際は、直接プロトコルやポート番号情報を入力するのではなく既に作成済みのサービスオブジェクトを指定するという方式をとります。
このためセキュリティーポリシーを設定する前にサービスオブジェクトを作成しておく必要があります。
複数のサービスオブジェクトを一つのオブジェクトにまとめたサービスグループというオブジェクトも作成可能です。
サービスオブジェクトの設定方法
GUI で設定する場合は [Objects → サービス] 画面の右下にある [追加] をクリックします。
以下のサービス設定画面が表示されるため、各項目を設定します。
- 名前: 任意のオブジェクト名を指定します
- 使用できる記号は「-」「_」「.」です
- 内容: 説明文を設定したい場合のみ入力します
- プロトコル: TCP、UDP、SCTP Association Activity から選択します
- 宛先ポート: 宛先ポート番号を入力します
- カンマ区切りでの複数指定、「-」での範囲指定が可能です
- 送信元ポート: 送信元ポートを限定したい場合は指定します
- セッションタイムアウト: アプリケーションから継承、オーバーライドから選択します
- デフォルトはアプリーケーションから継承です
- タグ: オブジェクトにタグを設定したい場合のみ設定します
CLI で設定する場合は以下の構文で設定します。
set service <オブジェクト名> tag <タグ> description <内容> protocol <tcp|udp|sctp> port <宛先ポート> source-port <送信元ポート> override <no|yes>tagdescription、source-portは指定する場合のみコマンドに含めますoverrideがnoの場合「アプリケーションから継承」の意味です
設定例: オブジェクト名が TCP_1234 で TCP 1234 ポートで、セッションタイムアウトが「アプリケーションから継承」のオブジェクトを設定する場合
set service TCP_1234 protocol tcp port 1234 override noコンフィグ上の表示では、以下のように override の設定は別の行で表示されます。
set service TCP_1234 protocol tcp port 1234
set service TCP_1234 protocol tcp override noサービスグループの作成方法
複数のサービスをグループ化したサービスグループの作成方法です。
GUI で設定する場合、[Objects → サービスグループ] 画面を開き 画面左下の [追加] をクリックします。
以下のサービスグループ設定画面が表示されるため、各項目を設定します。
- 名前: 任意のオブジェクト名を設定します
- アドレス: アドレスグループに含めたいアドレスオブジェクトを追加します
- 欄下側にある「追加」からサービスオブジェクトを追加できます
- タグ: オブジェクトにタグを設定したい場合のみ設定します
CLI で設定する場合は以下の構文で設定します。
set service-group <オブジェクト名> tag <タグ> members [ <サービスobj①><サービスobj②>... ]tagは指定する場合のみコマンドに含める
設定例: オブジェクト名が SampleServiceGroup、含めるサービスが TCP_1234、TCP_1235、TCP_1236 の場合
set service-group SampleServiceGroup members [ TCP_1234 TCP_1235 TCP_1236 ]
コメント