動作確認環境
- PA-200
- Version 8.1.19
セキュリティゾーンとは
Palo Alto に限らず、ファイアウォールにはセキュリティゾーン(以下、単に「ゾーン」と記載)という概念があります。
ファイアウォールを設置する場合、ファイアウォールを境界としてネットワークを分割して通信制御が行われます。このときの分割された部分的なネットワークのことをゾーンと呼びます。
良く行われるネットワーク分割の方法として、Trust、Untrust、DMZ の3つのゾーンに分割する方法があります。
- Trust ゾーン: 拠点内部のネットワーク
- DMZ ゾーン: 外部に公開されているサーバがあるネットワーク
- Untrust ゾーン: インターネットやキャリア網などの外部のネットワーク
上記のようにネットワークをいくつかのゾーンに分割した上で、ゾーン間の通信について許可・拒否を行うといった制御がファイアウォールで行われます。
ゾーンとインターフェース
Palo Alto ではインターフェースは必ずいずれかのゾーンに所属する必要があります。
例えばインターフェース1の所属ゾーンが Trust である場合、インターフェース1の先に存在するネットワークは Trust ゾーンであるというような考え方になります。
ゾーンとセキュリティポリシー
セキュリティポリシーとは、どの通信を許可または拒否するのかを定義する設定です。
Palo Alto においてセキュリティポリシーを設定する際には、必ず送信元ゾーンと宛先ゾーンを設定する必要があります。
ゾーンの設定
GUI でゾーンを新規作成・編集するためには [Network → ゾーン] から行います。
以下はゾーンの編集画面です。
基本的には以下の設定を行えば OK です。
- 名前: 任意のゾーン名を設定します
- タイプ: そのゾーンに所属させるインターフェースのタイプと合わせます。基本的には「レイヤー3」とします。
- インターフェース: そのゾーンに所属させるインターフェースを追加します。ゾーンのタイプと同じタイプのインターフェースのみ追加が可能です
CLI で設定する場合は以下の構文で設定します。
set zone <ゾーン名> network <タイプ>- 所属インターフェースが存在しない場合の設定
set zone <ゾーン名> network <タイプ> <所属インターフェース名>- 所属インターフェースが一つの場合の設定
set zone <ゾーン名> network <タイプ> [ <インターフェース1> <インターフェース2> ... ]- 所属インターフェースが 2 つ以上の場合の設定
設定可能なタイプのリスト:
> layer2 Layer2 interfaces
> layer3 Layer3 interfaces
> tap Tap mode interfaces
> virtual-wire Virtual-wire interfaces
tunnel Tunnel inspection zone設定例:
set zone Trust network layer3 ethernet1/2
set zone Untrust network layer3 ethernet1/1
set zone SampleZone network layer3 [ ethernet1/3 ethernet1/4 ]
set zone hogeZone network layer3インターフェース設定でのゾーン設定
GUI ではインターフェース設定画面でそのインターフェースの所属ゾーンを設定することができます。
コメント