【Paloalto】PAN-OS9.0ファイアウォールの概要について
こんにちは!
インフラ関連のシステムエンジニアをやっているカユラ(@kayura_SE )です。
今回は、流行りの次世代ファイアウォールであるPaloalto製品について記載したいと思います。
本記事では全体的な概要について記載し、詳細は各記事で説明していきます。
Paloalto製品のファイアウォールとは
そもそも「Paloaltoのファイアウォールはどんなものなのか」、「他のファイアウォールと何が違うのか」、「今度Paloaltoのファイアウォールのプロジェクトを担当するけど不安だ」というのが私の第一印象でした。
主に以下のような機能が備わっているファイアウォールです。
- セキュリティとNATポリシー
- App-ID
- コンテンツID
- URLフィルタリング
- 復号化
- WildFire
- ユーザーID
- GlobalProtect
- サイト間VPN
- 監視とレポート
- アクティブ/パッシブ高可用性
他社製品のファイアウォールと比較して主なポイントは以下にあります。
- App-ID
ファイアウォールを通過するアプリケーションを識別して制御します。
例えば、WEB閲覧のポート番号は主に「444,80」ですが、「Twitter」や「Facebook」などのアクセスを詳細に識別し、制御出来ます。仕事中に遊んでいる人たちを撲滅するのに最適ですね。
※URLフィルタリングとの用途の違いを身につけましょう。
- 復号化
httpsなどで暗号化されたWEBサイトとの通信を復号化してセキュリティチェックを行います。
最近はhttpsでのWEBサイトがあたりまえの時代になってきているため、クライアントとWEBサイトがどんな通信をしているのかは普通のファイアウォールでは分かりません。そのため、復号する技術が必要になりました。
※ただし、なんでもかんでも復号化してしまうと法律に触れてしまう可能性もあります。(クレジットカード情報など)
- WildFire
ゼロデイ攻撃に対応するために生み出された機能の1つです。
情報が無いけど、なんか怪しいな判断したものを「WildFire」というサンドボックスで動作を確認します。
その結果を全世界かつ様々なセキュリティ会社と連携しているデータベースに反映します。
様々なOSの環境が用意されていてびっくりします。
- ユーザーID
どのユーザーが関係する通信なのかを識別し、制御することが出来ます。
例えば、「総務グループ」はNGだが「SEグループ」はOKなど制御します。
また、仕事中に「Twitter」や「Youtube」を使用しているユーザーがいた場合にアラート通知したりすることも出来ます。
大規模環境に最適な集中管理製品「Panorama」の存在
Paloalto製品には複数のPAファイアウォールを集中管理する「Panorama」という製品があります。
基本的に、ActiveDirectoryのグループポリシーのように設定用のポリシーを各PAファイアウォールに割り当てることで設定を一元管理することも可能です。
また、syslogサーバーとしても利用出来るため、サーバーやネットワーク機器のログを集中的に管理およびアクションを定義することも出来ます。
次回の記事からは基本的な操作や各機能について解説していきたいと思います。
現在悩んでいる方はTwitterでご連絡ください。
私も辛い日々を経験したのであなたの助けになりたいです。
カユラ(@kayura_SE )