【Paloalto】基本設定(ログイン、ホスト名、インタフェース、ルーティング、ポリシー)手順と動作確認 PANOS9.0.9-h1.xfr

2020.11.01

Paloaltoの初期設定としてインターネットへ接続できるまでの基本的な設定を確認します。

スポンサーリンク

管理画面へのログイン

管理ポートへHTTPSでアクセスします。デフォルトでは、IPアドレスが192.168.1.1で、ユーザ名、パスワードともadminです。

スポンサーリンク

GUIの言語変更

GUI右下にあるLanguageをクリックします。

以下の画面で日本語を選択し、OKをクリックします。

ブラウザがリロードし、日本語画面になります。

スポンサーリンク

ホスト名

Deviceセットアップ管理一般設定より、歯車マークをクリックします。

以下の画面が出力されます。ホスト名をFW-1と入力し、OKをクリックします。

スポンサーリンク

インタフェース設定

インタフェースにゾーンやIPアドレスを設定します。

NetworkインタフェースEthernet へ移動し、ethernet1/1をクリックします。

以下の画面が表示されます。

  • インタフェースタイプレイヤー3を選択します。
  • 設定 – インタフェースの割り当て先 – 仮想ルータdefaultを選択します。

セキュリティゾーンの設定をするため、以下のゾーンをクリックします。

名前をInternetと設定し、OKをクリックします。

以下のようにゾーンが割り当てられます。

次にIPv4のタブをクリックすると、IPアドレスの設定画面が表示されます。

上記のようにIPアドレスを192.168.20.145/24と設定し、OKをクリックします。

その後、Ethernet1/2も以下のパラメータで同様に設定します。

  • インタフェースタイプレイヤー3を選択します。
  • 設定 – インタフェースの割り当て先 – 仮想ルータdefaultを選択
  • セキュリティゾーンLANを新規作成
  • IPv4 – タイプスタティック を選択
  • IPv4 -IP : 192.168.10.145/24

設定変更後、以下のような表示になります。

スポンサーリンク

ルーティングの設定

インターネットへのデフォルトルートを設定します。

Network仮想ルーターへ移動し、defalutをクリックします。

スタティックルート-IPv4 へ移動し、追加をクリックします。

以下の画面が表示されます。ここでデフォルトルートを設定します。

  • 名前:任意の名前。Default-Route とします。
  • 宛先0.0.0.0/0
  • インタフェース:インターネット向けインタフェースであるethernet1/1を選択
  • ネクストホップ:IPアドレスを選択後、ゲートウェイアドレス192.168.20.1を入力

設定後、OKをクリックします。

以下の画面が表示されるので、OKをクリックします。

スポンサーリンク

NAT設定

インターネット側から192.168.10.0/24へのルート設定がないため、端末からの通信に対して送信元NATを設定します。 送信元アドレスはPaloaltoのインタフェースアドレスに変換するものとします。

PaloaltoのNAT動作については、下記の記事も参考にしてください。

  >> 参考記事 :  NAT設定の動作確認(送信元・宛先・双方向)PANOS 10.0.7
【Paloalto】NAT設定の動作確認(送信元・宛先・双方向)PANOS 10.0.7
PaloaltoでNATを設定し、通信制御する場合、NATポリシーとセキュリティポリシーの両方を設定する必要があります。NATポリシーとセキュリティポリシーがそれぞれどのように動作するのか、確認します。NATポリシーやセキュリティポリシーの...
hirotanoblog.com
2021.09.19

PolicesNAT へ移動し、追加をクリックします。

全般タブの名前は、任意の名前を設定します。今回、LAN-to-Internetとします。

次に、元のパケットタブへ移動します。

  • 送信元ゾーンLANを選択します。
  • 宛先ゾーンInternetを選択します。

次に、変換済みパケットタブへ移動します。

  • 変換タイプダイナミックIPおよびポート を選択します。
  • アドレスタイプインタフェースアドレスを選択します。
  • インタフェースethernet1/1を選択します。

変更後、OKをクリックします。

スポンサーリンク

ポリシー設定

セキュリティポリシーで、LANからInternet方向の通信を全て許可させます。

Policesセキュリティへ移動し、追加をクリックします。

ポリシーを追加します。

全般タブで名前は任意の名前、今回は、LAN-to-Internetと入力します。

送信元タブでは、送信元ゾーン追加をクリックし、LAN を選択します。送信元アドレスの設定は変更をしません。

宛先タブでは、宛先ゾーン追加をクリックし、Internetを選択します。宛先アドレスの設定は変更しません。

アプリケーションサービス/URLカテゴリアクション それぞれのタブ内の設定は変更はしません。

スポンサーリンク

設定の反映(コミット:commit)

Paloaltoでは、設定反映する際に、コミット処理が必要です。この処理で稼動中の機器に設定が反映されます。 GUI右上のコミットをクリックします。

以下のような画面が表示されるので、コミットをクリックします。

コミットが開始されます。

しばらくすると、コミットが完了します。これで設定反映も完了です。

スポンサーリンク

動作確認

端末からインターネットサイトへアクセス後、トラフィックログを確認します。 トラフィックログは、Monitorログトラフィックで確認できます。

LAN-to-Internetのルールを使用し、アプリケーションsslで通信が確立できていることが確認できます。

コメント