Comments
Description
Transcript
View Now - パロアルトネットワークス
Palo Alto Networks VM-Series デプロイメント ガイド バージョン 7.0 連絡先情報 本社 : Palo Alto Networks 4401, Great America Parkway Santa Clara, CA 95054 www.paloaltonetworks.com/company/contact-us このガイドについて このガイドでは、VM-Series ファイアウォールをセットアップし、ライセンス認証する方法について説 明します。このガイドの対象読者は、VM-Series ファイアウォールをデプロイする管理者です。 詳細は、以下の資料を参照してください。 追加の機能およびファイアウォールの機能の設定方法についてはこちらを参照してください (https://www.paloaltonetworks.com/documentation) 。 ナレッジ ベース、ドキュメント セット一式、ディスカッション フォーラム、および動画へのアク セスはこちらを参照してください (https://live.paloaltonetworks.com) サポート窓口、サポート プログラムの詳細、アカウントまたはデバイスの管理 に関しては、こちら を参照してください (https://support.paloaltonetworks.com) 最新のリリース ノートへは、こちらのソフトウェアダウンロードページを参照してください (https://support.paloaltonetworks.com/Updates/SoftwareUpdates ) ドキュメントのフィードバックは、以下の宛先までご送付ください。[email protected] Palo Alto Networks, Inc. www.paloaltonetworks.com © 2007-2015 Palo Alto Networks, Inc。パロアルトネットワークスは、パロアルトネットワークスの登録商標です。商標のリ ストについては、http://www.paloaltonetworks.com/company/trademarks.html をご覧ください。本書に記述されているその他 の商標はすべて、各社の商標である場合があります。 改定日:2016年 4 月 26日 2 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks 目次 VM-Series ファイアウォールについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7 VM-Series モデル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 VM-Series デプロイメント. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 VM-Series の高可用性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 VM-Series Firewall 用のライセンス. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 VM-Series ファイアウォールのライセンスタイプ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 サポート アカウントの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 VM-Series ファイアウォールの登録 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 ライセンスのアクティベーション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 ライセンスの無効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 VM-Series ファイアウォールのアップグレード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 PAN-OS ソフトウェア バージョンのアップグレード(スタンドアロン版). . . . . . . . . . . . 28 PAN-OS ソフトウェア バージョンのアップグレード(NSX エディション). . . . . . . . . . . . 29 VM-Series モデルのアップグレード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 VM-Series ファイアウォールでジャンボフレームを有効化する. . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 ESXi サーバーでの VM-Series Firewall のセットアップ . . . . . . . . . . . . . . . . 35 VMware vSphere Hypervisor(ESXi)でサポートされているデプロイ . . . . . . . . . . . . . . . . . . . . . . . 36 システム要件と制限事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 要件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 制限事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 VMware vSphere Hypervisor(ESXi)への VM-Series firewall のインストール . . . . . . . . . . . . . . . . . 39 VM-Series ファイアウォールの ESXi サーバーへのプロビジョニング . . . . . . . . . . . . . . . . . . 39 ESXi 上の VM-Series の初期設定の実行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 VM-Series ファイアウォールにディスクスペースを追加する . . . . . . . . . . . . . . . . . . . . . . . . . . 43 ハイパーバイザによって割り当てられた MAC アドレスを使用可能にする . . . . . . . . . . . . 44 ESXi のデプロイメントのトラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 基本的なトラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 インストールの問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 ライセンスの問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 接続の問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 vCloud Air における VM-Series ファイアウォールのセットアップ. . . . . . . . 51 vCloud Air における VM-Series ファイアウォールについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 vCloud Air でサポートされる導入環境 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 vCloud Air に VM-Series ファイアウォールを導入する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 Citrix SDX サーバーに VM-Series Firewall を設定する . . . . . . . . . . . . . . . . . 61 SDX サーバー上の VM-Series ファイアウォールについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 システム要件と制限事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 3 目次 要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 制限事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 サポートされるデプロイメント — Citrix SDX の VM Series ファイアウォール . . . . . . . . . . . . . . 65 シナリオ 1 — North-South トラフィックの保護 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 シナリオ 2 — East-West トラフィックの保護(Citrix SDX の VM-Series ファイアウォール) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 SDX サーバーへの VM-Series Firewall のインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 SDX サーバーへのイメージのアップロード. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 SDX サーバーでの VM-Series ファイアウォールのプロビジョニング . . . . . . . . . . . . . . . . . . 71 VM-Series ファイアウォールでの North-South トラフィックの保護 . . . . . . . . . . . . . . . . . . . . . . . . 72 L3 インターフェイスを使用した VM-Series ファイアウォールのデプロイ. . . . . . . . . . . . . . 72 レイヤー 2 インターフェイス(L2)またはバーチャル ワイヤー インターフェイスを使用 して VM-Series ファイアウォールをデプロイする. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 VM-Series ファイアウォールを NetScaler VPX の前にデプロイする . . . . . . . . . . . . . . . . . . . . 79 VM-Series ファイアウォールでの East-West トラフィックの保護 . . . . . . . . . . . . . . . . . . . . . . . . . . 83 VM-Series NSX エディション ファイアウォールのセットアップ . . . . . . . . 87 VM-Series NSX エディション ファイアウォールの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NSX エディション ソリューションのコンポーネントは何か? . . . . . . . . . . . . . . . . . . . . . . . NSX エディション ソリューションのコンポーネントの連携の仕組み. . . . . . . . . . . . . . . . . NSX エディション ソリューションの利点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 88 92 97 VM-Series NSX エディション ファイアウォールのデプロイメントのチェックリスト . . . . . . . 98 Panorama でのデバイス グループとテンプレートの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 NSX Manager 上のサービスとしての VM-Series ファイアウォールの登録. . . . . . . . . . . . . . . . . . 102 VM-Series ファイアウォールのデプロイ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . SpoofGuard の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IP アドレス プールを定義する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VM-Series ファイアウォール用に ESXi ホストを準備する. . . . . . . . . . . . . . . . . . . . . . . . . . . . Palo Alto Networks NGFW サービスをデプロイする . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 105 107 108 109 ポリシーの作成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 NSX Manager でセキュリティ ポリシーを定義する. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 VM-Series ファイアウォールにポリシーを適用する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 VMware Tools を実行していないゲストからのトラフィックの誘導 . . . . . . . . . . . . . . . . . . . . . . 120 ダイナミック アドレス グループ — NSX Manager から Panorama への情報のリレー . . . . . . . 121 VM-Series NSX エディションファイアウォールの管理アドレスを ESXi ホストへマッピングす る . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 VM-Series NSX エディションファイアウォールにおけるゾーンベースの保護を有効化する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128 AWS での VM-Series ファイアウォールのセットアップ . . . . . . . . . . . . . . 131 AWS での VM-Series ファイアウォールについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132 AWS でサポートされるデプロイメント. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 AWS での VM-Series ファイアウォールのデプロイ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . AMI の取得 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . AWS における VM-Series のシステム要件と制限事項の確認 . . . . . . . . . . . . . . . . . . . . . . . . . AWS VPC での VM-Series 用プランニングワークシート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . AWS での VM-Series ファイアウォールの起動 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 • VM-Series 7.0 デプロイメントガイド 137 137 138 139 141 Palo Alto Networks 目次 AWS における VM-Series ファイアウォールの高可用性設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148 AWS における HA の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148 HA の IAM としての役割 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 HA リンク . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150 ハートビートポーリングおよび Hello メッセージ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151 デバイス優先度およびプリエンプション. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151 HA タイマー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151 AWS にアクティブ / パッシブ HA を設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 ユース ケース :AWS クラウドで EC2 インスタンスを保護する. . . . . . . . . . . . . . . . . . . . . . . . . . . 157 ユース ケース : ダイナミックアドレスグループを使用して VPC 内の新しい EC2 インス タンスを保護する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173 ユース ケース :VM-Series ファイアウォールを導入し、AWS 内でインターネットに接続 された高可用性アプリケーションを保護する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 ソリューション概要 — インターネットに接続された高可用性アプリケーションを 保護する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179 ソリューションコンポーネントを導入し、AWS 内でインターネットに接続された 高可用性アプリケーションを保護する. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 VPC のセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 VPC に VM-Series ファイアウォールを導入する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 VM-Series ファイアウォールと NetScaler VPX を起動する . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186 VPC からのアウトバウンドアクセスを保護するよう VM-Series ファイアウォールを 設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190 Web ファームを保護するファイアウォールを設定する. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193 VM-Series ファイアウォールと NetScaler VPX を起動する . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194 VPC に Web ファームを導入する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196 Amazon Relational Database サービス(RDS)を設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199 Citrix Netscaler VPX を設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202 Amazon ルート 53 のセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204 トラフィックの適用状況を確認する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 サービスオブジェクト用のポート変換. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 ユース ケース :AWS の GlobalProtect ゲートウェイとしての VM-Series ファイアウォール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208 GlobalProtect インフラストラクチャのコンポーネント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209 AWS への GlobalProtect ゲートウェイのデプロイ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210 AWS-VPC でモニターされる属性の一覧 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211 AWS VPC をモニタリングする際に必要な IAM の許可 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211 KVM での VM-Series ファイアウォールのセットアップ. . . . . . . . . . . . . . . 213 KVM 上の VM-Series — 要件と前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214 システム要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214 ネットワーク上の VM-Series に接続するためのオプション . . . . . . . . . . . . . . . . . . . . . . . . . . 215 KVM における VM-Series の前提条件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215 KVM でサポートされているデプロイ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218 単一ホストでのトラフィックの保護 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218 複数の Linux ホストでのトラフィックの保護 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219 KVM への VM-Series ファイアウォールのインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221 SCSI コントローラの使用の有効化. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227 VM-Series ファイアウォールでのネットワーク インターフェイスの順序を決定する PCI-ID の確認. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228 ISO ファイルを使用した VM-Series ファイアウォールのデプロイ . . . . . . . . . . . . . . . . . . . . 229 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 5 目次 6 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks VM-Series ファイアウォールについて Palo Alto Networks VM-Series firewall は、Palo Alto Networks の仮想化形式の次世代ファイアウォー ルです。仮想化環境やクラウド環境で使用するファイアウォールとして位置付けられており、 East-West および North-South トラフィックを保護して安全性を確保することができます。 VM-Series モデル VM-Series デプロイメント VM-Series の高可用性 VM-Series Firewall 用のライセンス VM-Series ファイアウォールのアップグレード VM-Series ファイアウォールでジャンボフレームを有効化する Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 7 VM-Series モデル VM-Series ファイアウォールについて VM-Series モデル VM-Series ファイアウォールには、VM-100、VM-200、VM-300、VM-1000-HV の 4 つのモデルがあ ります。 これら 4 種のモデルは、VMware ESXi、Citrix NetScaler SDX、Amazon ウェブサービス、および KVM にゲスト仮想マシンとしてデプロイできます。VMWare NSX では、VM-1000-HV のみがサ ポートされています。VM-Series ファイアウォールのデプロイに使用されるソフトウェア パッ ケージ(.xva または .ova ファイル)は、すべてのモデルに共通です。 VM-Series ファイアウォールにキャパシティライセンスを適用すると、ファイアウォールにモデ ル番号とその関連機能が実装されます。キャパシティは、VM-Series ファイアウォールで最適に 処理できるセッション数、ルール数、セキュリティ ゾーン数、アドレスオブジェクト数、IPSec VPN トンネル数、および SSL VPN トンネル数に基づいて定義されます。ネットワーク環境に 合ったモデルを購入するためにも、以下の表を使い、各モデルの最大キャパシティやモデル別の キャパシティの違いを把握してください。 モデル セッション数 セ キ ュ リ ダ イナミック IP セ キ ュ リ テ ィ IPSec VPN ト SSL VPN ト テ ィ ル ー ル アドレス数 ゾーン数 ンネル数 ンネル数 数 VM-100 50000 250 1000 10 25 25 VM-200 100000 2000 1000 20 500 200 VM-300 250000 5000 1000 40 2000 500 VM-1000-HV 250000 10000 100000 40 2000 500 VM-Series ファイアウォールをデプロイできるプラットフォームの詳細は、「VM-Series デプロイ メント」を参照してください。概要は、 「VM-Series ファイアウォールについて」を参照してくだ さい。 8 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks VM-Series ファイアウォールについて VM-Series デプロイメント VM-Series デプロイメント VM-Series ファイアウォールは、以下のプラットフォームにデプロイできます。 VMware vSphere Hypervisor(ESXi)用 VM-Series と vCloud Air VM-100、VM-200、VM-300、VM-1000-HV は、VMware ESXi にゲスト OS としてデプロイでき ます。仮想フォーム ファクタが必要なクラウドまたはネットワークに最適です。 詳細は、ESXi サーバーでの VM-Series Firewall のセットアップおよび vCloud Air における VM-Series ファイアウォールのセットアップを参照してください。 VMware NSX 用 VM-Series VM-1000-HV は、VMware NSX のネットワーク イントロスペクション サービス、および Panorama とともにデプロイします。このデプロイメントは、East-West トラフィック検査に適 しており、Nort-South トラフィックを保護することも可能です。 詳細は、 「VM-Series NSX エディション ファイアウォールのセットアップ」を参照してくださ い。 Citrix SDX 用 VM-Series VM-100、VM-200、VM-300、VM-1000-HV は、Citrix NetScaler SDX にゲスト OS としてデプロ イ でき ま す。SDX はマ ル チテ ナ ント の ADC と セキ ュ リテ ィ サ ービ ス およ び Citrix XenApp/XenDesktop デプロイメントを統合します。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 9 VM-Series デプロイメント VM-Series ファイアウォールについて 詳細は、「Citrix SDX サーバーに VM-Series Firewall を設定する」を参照してください。 Amazon Web Services(AWS)の VM-Series VM-100、VM-200、VM-300、または VM-1000-HV は、AWS クラウドの EC2 インスタンスにデ プロイできます。 詳細は、AWS での VM-Series ファイアウォールのセットアップを参照してください。 Kernel Virtualization Module(KVM)用の VM-Series VM-100、VM-200、VM-300、または VM-1000-HV は、KVM ハイパーバイザが実行されている Linux サーバーにデプロイできます。詳細は、KVM での VM-Series ファイアウォールのセット アップを参照してください。 ここでは、VM-Series ファイアウォールのデプロイでの要件を簡単に説明します(詳細について はガイドの該当セクションを参照してください)。 デプロイメント VMware vSphere Hypervisor(ESXi) 用 VM-Series (VMware NSX なし) サ ポ ー ト さ れ る Palo Alto Networks サポート ポータルか 関 連 す る キ ャ パ シ ハ イ パ ー バ イ ザ ら入手する必要がある基本イメージ ティ ライセンス のバージョン VM-100 5.1、5.5、および VM-Series 基本イメージの PAN-OS 6.0 たとえば、ダウンロード可能なイメー VM-200 ジ 名 は 以 下 の よ う な も の で す VM-300 :PA-VM-ESX-7.0.1.ova VM-1000-HV VMware NSX 用 VM-Series vSphere:5.5, 6.0; VM-Series NSX 基本イメージの PAN-OS VM-1000-HV N S X VMware NSX を 使 用 す る たとえば、ダウンロード可能なイメー M a n a g e r : 6 . 0 、ジ 名 は 以 下 の よ う な も の で す vSphere、および Panorama 6.1、6.2 :PA-VM-NSX-7.0.1.zip VM-100 たとえば、ダウンロード可能なイメー VM-200 ジ 名 は 以 下 の よ う な も の で す VM-300 :PA-VM-SDX-7.0.1.zip VM-1000-HV Citrix SDX 用 VM-Series SDX バージョン XenServer バージョン 10.1+ AWS 用 VM-Series なし なし KVM 用 VM-Series 以 下 の Linux デ ィ ス ト リ ビューション での KVM: • Ubuntu:12.04 LTS VM-Series KVM 基本イメージの PAN-OS VM-Series SDX 基本イメージの PAN-OS 6.0.2 以降 VM-100 VM-200 VM-300 VM-1000-HV VM-100 たとえば、ダウンロード可能なイメー VM-200 ジ 名 は 以 下 の よ う な も の で す VM-300 :PA-VM-7.0.1.qcow2 VM-1000-HV • CentOS/ RedHat Enterprise Linux:6.5 10 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks VM-Series ファイアウォールについて VM-Series デプロイメント デプロイメント サ ポ ー ト さ れ る Palo Alto Networks サポート ポータルか 関 連 す る キ ャ パ シ ハ イ パ ー バ イ ザ ら入手する必要がある基本イメージ ティ ライセンス のバージョン vCloud Air 用 VM-Series なし Palo Alto Networks VM-100 たとえば、ダウンロード可能なイメー VM-200 ジ 名 は 以 下 の よ う な も の で す VM-300 :PA-VM-ESX-7.0.1.ova VM-1000-HV VM-Series 基本イメージの PAN-OS VM-Series 7.0 デプロイメントガイド • 11 VM-Series の高可用性 VM-Series ファイアウォールについて VM-Series の高可用性 高可用性(HA)は、2 つのファイアウォールを 1 つのグループに配置して、ネットワーク上の 単一障害点を回避するために 2 つのファイアウォールの設定を同期させる機器構成を指します。 ファイアウォール ピア間のハートビート接続では、ピアがダウンした場合シームレスにフェイ ルオーバーを実行できます。2 つのデバイス クラスタでファイアウォールを設定すると冗長性が 得られるため、ビジネス継続性を確保できます。VM-Series ファイアウォールで HA を構成する 場合、両方のピアを同じタイプのハイパーバイザ上に配置し、同一のハードウェアリソース(CPU コアやネットワークインターフェイスなど)を割り当て、同様のライセンスやサブスクリプショ ン一式を付与する必要があります。Palo Alto Networks ファイアウォールによる HA に関する一般 的な情報については High Availability [ 高可用性 ] を参照してください。 VM-Series ファイアウォールでは、セッション同期および設定同期機能で、ステートフルアクティ ブ / パッシブまたはアクティブ / アクティブ高可用性をサポートします。以下のみが例外となり ます。 Amazon Web Services(AWS)クラウドの VM-Series ファイアウォールは、アクティブ / パッシブ 高可用性のみをサポートしています。詳細は、AWS における VM-Series ファイアウォールの 高可用性設定を参照してください。 HA は VM-Series NSX エディションファイアウォールに適していません。 アクティブ / アクティブデプロイメントは、バーチャル ワイヤーおよびレイヤー 3 のデプロイメントでサポートされてい ますが、推奨されるのは非対称ルーティングのネットワークの場合のみです。 サポートされる機能およびリンク ESX KVM Xen AWS NetX アクティブ / パッシブの HA はい はい はい はい いいえ アクティブ / アクティブの HA はい はい はい いいえ いいえ HA1 はい はい はい はい いいえ HA2—( セッションの同期とキー はい プアライブ ) はい はい はい いいえ HA3 はい はい いいえ いいえ はい VM-Series ファイアウォールを HA ペアとして設定する方法については Configure Active/Passive HA [ アクティブ / パッシブ HA の設定 ] および Configure Active/Active HA [ アクティブ / アクティブ HA の設定 ] を参照してください。 12 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks VM-Series ファイアウォールについて VM-Series Firewall 用のライセンス VM-Series Firewall 用のライセンス ファイアウォールを使用してネットワークのトラフィックを安全に保護することができるよう にするには、まず、購入したサービスのライセンスをアクティベートする必要があります。サ ポートアカウントの作成とライセンスのアクティベート方法の詳細については以下を参照して ください。 VM-Series ファイアウォールのライセンスタイプ サポート アカウントの作成 VM-Series ファイアウォールの登録 ライセンスのアクティベーション ファイアウォールに付与されたライセンスを開放する場合は、ライセンスの無効化を参照してく ださい。 VM-Series ファイアウォールのライセンスタイプ VM-Series ファイアウォールでは、以下のライセンスおよびサブスクリプションが利用可能です。 Capacity License [ キャパシティライセンス ] - VM-Series ファイアウォールは、モデルナンバー (VM-100、VM-200、VM300、VM-1000-HV)および、ファイアウォール上の関連するキャパシ ティを有効化する際に、capacity license [ キャパシティライセンス ] として知られるベースラ イセンスを必要とします。キャパシティライセンスには永久ライセンスと期間ベースのライ センスがあります。 – Perpetual License [ 永久ライセンス ] - ライセンスが付与されたキャパシティにおいて VM-Series ファイアウォールを無期限に使用できる、失効日のないライセンスです。永久 ライセンスがお求めいただけるのは VM-Series キャパシティライセンスのみです。 Term-Based License [ 期間ベースのライセンス ] - 期間ベースのライセンスでは、VM-Series ファイアウォールを特定の期間中使用することができます。これには失効日が設定され ていて、失効前に更新を促すお知らせが表示されます。キャパシティライセンス、サポー ト資格、およびサブスクリプションなどで期間ベースのライセンスがご利用頂けます。 更に、Individual バージョンや Enterpirse バージョンのキャパシティライセンスがお求めいただ けます。Individual バージョンは 1 個単位で購入可能です。PA-VM-300 などの注文 SKU 番号に は、VM-Series ファイアウォール ライセンスの 1 インスタンスに対する認証コードが含まれて い ます。Enterprise バ ー ジョ ン は 25 個単 位 で購 入 可能 で す。たと え ば、注 文 SKU 番 号 PAN-VM-100-ENT には、VM-100 の 25 インスタンスを登録できる 1 つの認証コードが含まれ ています。 – Support [ サポート ] - キャパシティライセンスに加え、テクニカルサポートやソフトウェア更 新が使用可能になるサポート資格が必要になります。 Subscriptions [ サブスクリプション ] - 脅威防御、URL フィルタ、GlobalProtect、そして WildFire 用に、必要に応じて 1 つ以上のライセンスを購入できます。これらのサブスクリプションで は、アプリケーションやネットワーク上のコンテンツの安全な利用を可能にするポリシーを 適用することができます。例えば、脅威防御のサブスクリプションでは、マルウェア検知の ため、脅威に関する最新情報を含む更新コンテンツの取得が可能になります。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 13 VM-Series Firewall 用のライセンス VM-Series ファイアウォールについて VM-Series NSX エディションファイアウォールのライセンス VMware が統合された NSX ソリューションの VM-Series NSX エディションファイアウォールのプ ロビジョニングとライセンス付与を自動化する場合は、2 種類のライセンスバンドルが利用可能 です。 一方のバンドルには VM-Series キャパシティライセンス(VM-1000-HV のみ) 、脅威防御ライセ ンス、およびプレミアムサポート資格が含まれています。 もう一方のバンドルには VM-Series キャパシティライセンス(VM-1000-HV のみ)に、脅威防 御、GlobalProtect、WildFire、PAN-DB URL フィルタリング、およびプレミアムサポート資格を 含む、全ライセンス一式が含まれています。 Amazon Web Services(AWS)用 VM-Series ファイアウォールのライセンス AWS の VM-Series ファイアウォールには 2 通りの方法でライセンス付与を行えます。 Bring Your Own License(BYOL)[ 持ち込みライセンス ] - パートナー、販売代理店、あるいは Palo Alto Networks から直接購入可能なライセンスです。BYOL ではキャパシティライセンス、 サポートライセンス、およびサブスクリプションライセンスがサポートされています。この ライセンスを使用する場合、VM-Series ファイアウォールの導入後にライセンスを適用する必 要があります。 Usage-Based License [従量制ライセンス] - pay-per-use [回数制] やpay-as-you-go [都度払い] ライセン スとも呼ばれています。このタイプのライセンスは AWS Marketplace から購入することができ ます。このライセンスでは、デプロイすると同時にファイアウォールが使用可能になります (認証コードは送付されません)。AWS コンソールのファイアウォールが停止あるいは強制終 了された場合は従量制ライセンスが停止あるいは失効したことを意味します。 従量制のライセンスについては時間制および年間契約のバンドルが利用可能です。 – 一方のバンドルには VM-Series キャパシティライセンス(VM-300 のみ) 、脅威防御ライセ ンス、およびプレミアムサポート資格が含まれています。 – もう一方のバンドルには VM-Series キャパシティライセンス(VM-300 のみ)に、脅威防 御、GlobalProtect、WildFire、PAN-DB URL フィルタリング、およびプレミアムサポート資 格のライセンスが含まれています。 VM-Series ファイアウォールの評価版を持っていて、購入した完全ライセンス版への変更を希望する場合、 VM-Series ファイアウォールのクローンを作成し、手順に従って購入版の VM-Series ファイアウォールを登録して からライセンスを適用します。手順は、「VM-Series モデルのアップグレード」を参照してください。 14 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks VM-Series ファイアウォールについて VM-Series Firewall 用のライセンス サポート アカウントの作成 ソフトウェア更新へのアクセスや、テクニカルサポートを受けたり、Palo Alto Networks テクニカ ルサポートとサポートケースをオープンする際にはサポートアカウントが必要になります。 従量制ライセンスを除き、現在 AWS から購入可能な全てのライセンスオプションには、VM-Series ファイアウォールのインストールに必要なソフトウェアパッケージをダウンロードできるよう サポートアカウントが必要となります。更に、サポートアカウントでは Palo Alto Networks で登 録した全てのアセット(アプライアンス、ライセンス、サブスクリプション)を閲覧し管理する ことが可能です。 既存のサポート アカウントがある場合は、「VM-Series ファイアウォールの登録」に進んでくだ さい。 サポート アカウントの作成 Step 1 https://support.paloaltonetworks.com にアクセスしてください。 Step 2 Register [ 登録 ] のリンクをクリックし、サポートアカウントに関連付けられている、会社の電子 メールアドレスを入力してください。 Step 3 以下のうちから 1 つを選択し、ユーザー登録フォームに詳細を入力します。 • (AWS の従量課金ライセンス用) 1. Register your Amazon Web Services VM-Series Instance [Amazon Web Services VM-Series インスタン スを登録 ] をクリックします。 2. AWS 管理コンソール上で、AWS インスタンス ID、AWS 製品コード、ファイアウォールをデプ ロイした AWS ゾーンの情報を参照します。 3. その他の情報を記入します。 • (他のライセンスの場合) 1. Register device using Serial Number or Authorization Code [ シリアルナンバーあるいは認証コードを使 用してデバイスを登録 ] をクリックします。 2. キャパシティ認証コードおよび販売注文番号あるいは顧客 ID を入力します。 3. その他の情報を記入します。 Step 4 フォームの Submit [ 送信 ] をクリックします。ユーザー アカウントをアクティブにするリンクが 含まれた電子メールが送られてきたら、アカウントをアクティベーションする手順を完了しま す。 アカウントが認証され登録が完了したらサポートポータルへログインできるようになります。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 15 VM-Series Firewall 用のライセンス VM-Series ファイアウォールについて VM-Series ファイアウォールの登録 VM-Series ファイアウォールの購入後、VM-Series モデルのキャパシティライセンス認証コード、 サポート資格認証コード(例 : PAN-SVC-PREM-VM-100 SKU)、および 1 つ以上のサブスクリプ ションライセンス用認証コードが記載された電子メールが届きます。認証コードを使用するに は、Palo Alto Network サポート ポータルで、そのコードをサポート アカウントに登録する必要 があります。VMware が統合された NSX ソリューションの場合、電子メールには、VM-1000-HV モデルの 1 つ以上のインスタンスのキャパシティ ライセンスをバンドルした単一の認証コード、 サポート資格、および 1 つ以上のサブスクリプション ライセンスが含まれています。 AWS の従量制ライセンスの場合、認証コードは不要です。しかし、Palo Alto Networks のプレミ アムサポート資格をアクティベートする際は、サポートアカウントを作成し、Palo Alto Networks サポートポータルで VM-Series ファイアウォールを登録する必要があります。 サポート アカウントを使用してキャパシティ認証コードあるいはファイアウォールを登録する 場合は、このセクションの手順に従ってください。 VM-Series ファイアウォールを登録する(認証コードを使用) AWS の VM-Series ファイアウォールの従量制モデルを登録する(認証コード不使用) VM-Series ファイアウォールを登録する(認証コードを使用) Step 1 アカウント認証情報を使用して https://support.paloaltonetworks.com にログインします。新しいア カウントが必要な場合はサポート アカウントの作成を参照してください。 Step 2 Assets [ アセット ] を選択して、Add VM-Series Auth-Codes [VM-Series 認証コードを追加 ] をクリック します。 16 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks VM-Series ファイアウォールについて VM-Series Firewall 用のライセンス VM-Series ファイアウォールを登録する(認証コードを使用) Step 3 Add VM-Series Auth-Codes [VM-Series 認証コードを追加 ] フィールドに、電子メールで送られてきた キャパシティ認証コードを入力し、一番右のチェックマークをクリックして入力内容を保存しま す。ページに、サポート アカウントに登録された認証コードのリストが表示されます。 デプロイ済みの VM-Series ファイアウォール数と、各認証コードで現在使用可能なライセンス数 を確認できます。すべてのライセンスが使用済みの場合、[VM-Series Auth-Codes] ページに認証コー ドは表示されません。デプロイされたすべてのアセットを表示するには、Assets > Devices [ アセット > デバイス ] の順に選択します。 AWS の VM-Series ファイアウォールの従量制モデルを登録する(認証コード不使用) Step 1 Palo Alto Networks サポートポータルの Assets [ アセット ] のタブで Register New Device [ 新しい デバイスの登録 ] をクリックしてください。 Step 2 Register device using AWS Instance ID and Product Name [AWS インスタンス ID および製品名からデバ イスを登録 ] を選択します。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 17 VM-Series Firewall 用のライセンス VM-Series ファイアウォールについて AWS の VM-Series ファイアウォールの従量制モデルを登録する(認証コード不使用) Step 3 デバイス情報のセクションで AWS Instance ID [AWS インスタンス ID] 、AWS Product [AWS 製品名 ] および VM-Series ファイアウォールをデプロイした AWS Region [AWS リージョン ] を入力します。 購入済みの AWS Instance ID [AWS インスタンス ID] および AWS Product [AWS 製品 ] は、AWS コン ソールの Your Account > Your Software Subscriptions [ アカウント > ソフトウェアサブスクリプ ション ] のページから確認することができます。ファイアウォールがデプロイされている AWS リージョンについては EC2 Dashboard > Instances [EC2 ダッシュボード > インスタンス ] のページ を確認してください。 Step 4 購入したライセンスの詳細が、サポートポータルの Assets [ アセット ] ページに表示されてい ることを確認してください。 ライセンスのアクティベーション VM-Series ファイアウォールのライセンスをアクティベーションするには、VM-Series ファイア ウォールをデプロイして初期設定を完了している必要があります。VM-Series ファイアウォール のデプロイ手順の詳細は、 「VM-Series デプロイメント」を参照してください。 AWS の BYOL についてはこちらのセクションの手順に従ってください(AWS の従量制ライセン スについてはアクティベートの必要はありません)。プレミアムサポート資格をアクティベート する場合に VM-Series ファイアウォールを登録する手順については AWS の VM-Series ファイア ウォールの従量制モデルを登録する(認証コード不使用)を参照してください。 VM-Series ファイアウォールのライセンスをアクティベーションするまで、ファイアウォールに シリアル番号はなく、データプレーン インターフェイスの MAC アドレスは一意ではありませ ん。また、最小数のセッションのみがサポートされます。ファイアウォールがライセンスされる まで MAC アドレスは一意ではないため、複数のライセンス認証されていない VM-Series ファイ アウォールを使用しないようにすることで、重複する MAC アドレスによる問題発生を防ぎます。 ライセンスをアクティベーションしたら、ライセンス サーバーが仮想マシンの UUID と CPU ID を使用して VM-Series ファイアウォールの一意のシリアル番号を生成します。キャパシティ認証 コードがシリアル番号とともにライセンスの検証に使用されます。 18 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks VM-Series ファイアウォールについて VM-Series Firewall 用のライセンス VM-Series ファイアウォールへのライセンス付与後に VM-Series ファイアウォールの削除と再デプロイが必要になった 場合はファイアウォールで必ずライセンスの無効化を行ってください。ライセンスを無効化することにより、テクニカ ルサポートの力を借りることなく、アクティブなライセンスを VM-Series ファイアウォールの新しいインスタンスに移 転することが可能です。 VM-Series ファイアウォール(スタンドアロン版)でのライセンスのアクティベーション VM-Series NSX エディション ファイアウォールのライセンスのアクティベーション VM-Series ファイアウォール(スタンドアロン版)でのライセンスのアクティベーション VM-Series ファイアウォールのライセンスをアクティベーションするには、VM-Series ファイア ウォールをデプロイして初期設定を完了している必要があります。 ライセンスのアクティベーション • VM-Series ファイアウォールからインター 1. ネットに直接アクセスできる場合 Device >Licenses [ デバイス > ライセンス ] の順に選択し、 Activate feature using authentication code[認証コードを使用 した機能のアクティベーション ] リンクを選択します。 ライセンスをアクティベートするには、IP アドレス、ネットマスク、デフォルトゲー 2. サポート ポータルで登録したキャパシティ認証コード を 入 力 し ま す。フ ァ イ ア ウ ォ ー ル が 更 新 サ ー バ ー トウェイ、DNS サーバー IP アドレスを使 (updates.paloaltonetworks.com)に接続され、ライセンス 用して、ファイアウォールを設定する必要 があります。 がダウンロードされてから自動的に再起動します。 3. Web インターフェイスにログインし直し、Dashboard に 有効なシリアル番号が表示されていることを確認しま す。 「unknown」と表示されている場合、デバイスはライ センスされていません。 4. Device >Licenses[ デバイス > ライセンス ] で、[PA-VM] ラ イセンスがデバイスに追加されていることを確認しま す。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 19 VM-Series Firewall 用のライセンス VM-Series ファイアウォールについて ライセンスのアクティベーション • VM-Series ファイアウォールからインター 1. ネットにアクセスできない場合 2. 3. 4. 5. 6. 7. 8. 20 • VM-Series 7.0 デプロイメントガイド Device >Licenses [ デバイス > ライセンス ] の順に選択し、 Activate Feature using Auth Code[認証コードを使用した機能 のアクティベーション ] リンクを選択します。 Download Authorization File[ 認証ファイルのダウンロード ] をクリックし、クライアント マシンに authorizationfile.txt をダウンロードします。 インターネットにアクセスできるコンピュータに authorizationfile.txt をコピーし、サポート ポータルにログ インします。My VM-Series Auth-Codes [ 自分の VM-Series 認証コード ] リンクをクリックし、リストから該当する 認証コードを選択して Register VM [VM 登録 ] リンクをク リックします。 Register Virtual Machine [ 仮想マシンを登録 ] タブで、認 証ファイルをアップロードします。これで登録プロセ スが完了し、VM-Series ファイアウォールのシリアル番 号がアカウント レコードに関連付けられます。 Assets > My Devices [ アセット > マイデバイス ] の順に移動 し、登録した VM-Series デバイスを探して PA-VM リンク をクリックします。VM-Series ライセンス キーがクライ アント マシンにダウンロードされます。 VM-Series ファイアウォールの Web インターフェイスに アクセス可能なマシンにライセンス キーをコピーし、 Device > Licenses [ デバイス > ライセンス ] の順に移動しま す。 Manually Upload License[ ライセンス キーの手動アップロー ド ] リンクをクリックしてライセンス キーを入力しま す。ファイアウォールでキャパシティ ライセンスがア クティベーションされるときに、自動的に再起動しま す。 デバイスにログインし、Dashboard [ ダッシュボード ] に 有効なシリアル番号が表示され、Device > Licenses [ デバ イス > ライセンス ] タブに PA-VM ライセンスが表示され ていることを確認します。 Palo Alto Networks VM-Series ファイアウォールについて VM-Series Firewall 用のライセンス VM-Series NSX エディション ファイアウォールのライセンスのアクティベーション Panorama では、VM-Series NSX エディション ファイアウォールを一元的に管理することができ、 ライセンスのアクティベーション プロセスが自動化されています。新しい VM-Series NSX エディ ション ファイアウォールは、デプロイされると Panorama と通信してライセンスを取得します。 そのため、Panorama からインターネットにアクセスでき、また、Palo Alto Networks 更新サーバー に接続してライセンスを取得できるようにする必要があります。VM-Series NSX エディション ファイアウォールのデプロイでのコンポーネントおよび要件の概要は、「VM-Series NSX エディ ション ファイアウォールの概要」を参照してください。 この統合ソリューションでは、認証コード(PAN-VM-!000-HV-SUB-BND-NSX2 など)に、脅威防 御、URL フィルタリングと WildFire のサブスクリプション、および要求期間のプレミアム サポー トが含まれています。 ライセンスをアクティベーションするには、以下のタスクを完了しておく必要があります。 認証コードをサポート アカウントに登録する。認証コードを登録しないと、ライセンス サー バーでライセンスの作成に失敗します。 VMware Service Manager を設定し、Panorama でこの認証コードを入力する。Panorama で、VMWare Service Manager を選択して Authorization Code[ 認証コード ] を追加します。 評価版認証コードを購入している場合は、30 日か 60 日の間、VM-1000-HV キャパシティ ライ センスで最大 5 つの VM-Series ファイアウォールにライセンスを適用することができます。こ のソリューションでは、ESXi ホストあたり 1 つの VM-Series ファイアウォールをデプロイで きるため、評価版ライセンスを使用する場合は、ESXi クラスタに最大 5 台の ESXi ホストを含 めることができます。 ライセンスをアクティベーションするには、以下のタスクを完了します。 デプロイした VM-Series ファイアウォールが、 Managed Devices[管理対象デバイス] として表示され、 Panorama に接続されていることを確認します。 Panorama > Device Deployment > Licenses [Panorama > デバイスのデプロイ > ライセンス ] の順に選択し、 Refresh[ 更新 ] をクリックします。サブスクリプション ライセンスを取得する VM-Series ファ イアウォールを選択し、OK をクリックします。 Panorama は、一致する認証コードでデプロイされている各ファイアウォールにライセンスを 適用します。 ライセンスの無効化 ライセンスの無効化により、ライセンスの自己管理が可能になります。ファイアウォール(ハー ドウェアベースあるいは VM-Series ファイアウォール)に付与された 1 つ以上のライセンスやサ ブスクリプションを削除したい場合や、VM-Series ファイアウォールを無効化し、アクティブな ライセンスやサブスクリプションを全て解除したい場合、ファイアウォールあるいは Panorama からディアクティベーションを行ってください(Palo Alto Networks サポートポータルでは行わな いでください)。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 21 VM-Series Firewall 用のライセンス VM-Series ファイアウォールについて ファイアウォール /Panorama からインターネット接続が可能で、Palo Alto Networks ライセンス サーバーとの通信が可能な場合、ライセンス解除はボタンをクリックするだけで自動的に完了し ます。ファイアウォール /Panorama にインターネットが接続されていない場合、手動で 2 段階の 手順を踏む必要があります。1 段階目の手順では、無効化されたキーの情報を含むライセンス トークンファイルをファイアウォールあるいは Panorama で生成し、エクスポートを行います。2 段階目にはトークンファイルを Palo Alto Networks サポートポータルへアップロードし、ファイ アウォールからライセンスキーを解除します。 CLI を使用して機能ライセンスまたはサブスクリプションを無効化する VM の無効化 CLI を使用して機能ライセンスまたはサブスクリプションを無効化する ファイアウォールに誤ってライセンス / サブスクリプションをインストールしてしまい、ライセ ンスを別のファイアウォールに移す必要がある場合、テクニカルサポートの力を借りることな く、個々のライセンスを無効化し、同じ認証コードを他のファイアウォールで使用することが可 能です。この機能は CLI のみでサポートされています(この手順はハードウェアベースのファ イアウォールと VM-Series ファイアウォールでサポートされています)。 CLI を使用して機能ライセンスまたはサブスクリプションを無効化する Step 1 ファイアウォールから CLI にログインします。 ファイアウォールから直接インターネットへ接続可能な場合は、以下のコマンドを使用してください。 1. 2. 無効化したい機能のライセンスキーファイルの名前を閲覧する。 request license deactivate key features ライセンスあるいはサブスクリプションを無効化する。 request license deactivate key features <name> mode auto 「name」の箇所にライセンスキーファイルのフルネームが表示されます。 例: admin@vmPAN2> request license deactivate key features WildFire_License_2015_01_28_I5820573.key mode auto 007200002599 WildFire License Success Successfully removed license keys ファイアウォールからインターネットへ直接接続できない場合は、以下のコマンドを使用してください。 1. 無効化したい機能のライセンスキーファイルの名前を閲覧する。 request license deactivate key features 22 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks VM-Series ファイアウォールについて VM-Series Firewall 用のライセンス CLI を使用して機能ライセンスまたはサブスクリプションを無効化する(続) 手動でライセンスを無効化する。 request license deactivate key features <name> mode manual 例: admin@PA-VM> request license deactivate key features PAN_DB_URL_Filtering_2015_01_28_I6134084.key mode manual 2. Successfully removed license keys dact_lic.01282015.100502.tok トークンファイルは dact_lic.timestamp.tok の形式で、タイムスタンプは dmmyyyy.hrminsec の形式で表示されます。 3. トークンファイルが生成されたことを確認します。 show license-token-files 4. トークンファイルを SCP または TFTP サーバーにエクスポートし、あなたのコンピュータ上に保存 します。 scp export license-token-file to <username@serverIP> from <token_filename> 例: scp export license-token-file to [email protected]:/tmp/ from dact_lic.01282015.100502.tok 5. Palo Alto Networks サポートポータルにログインします。 6. Assets [ アセット ] タブの Deactivate License(s) [ ライセンスの無効化 ] のリンクをクリックします。 7. トークンファイルを Palo Alto Networks サポートポータルにアップロードし、デアクティベーション を完了します。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 23 VM-Series Firewall 用のライセンス VM-Series ファイアウォールについて VM の無効化 VM-Series ファイアウォールのインスタンスが不要となった場合、ウェブインターフェイス、CLI、 または Panorama あるいはファイアウォール上の XML API を使用して、アクティブなライセンス を解放することができます。ライセンスのクレジットはアカウントに返還されるため、VM-Series ファイアウォールの別のインスタンスで同じ認証コードを使用できます。 VM を無効化すると、全てのライセンス / 資格が解除され、VM-Series ファイアウォールはライ センスのない状態になります(ファイアウォールはシリアルナンバーを失い、最低数のセッショ ンしかサポートできなくなります)。ファイアウォールの設定はそのままの状態で保存されてい るので、必要に応じてライセンスの再付与を行い、ファイアウォールの機能を完全に復元するこ とも可能です。 VM-Series ファイアウォールを削除する前に、ライセンスの無効化を必ず行うようにしてください。ライセンスの無効 化を行う前に VM-Series ファイアウォールを削除してしまった場合は 2 つの方法があります。 デバイスが Panorama で管理されていた場合、Panorama からライセンスを無効化することが可能です。 デバイスが Panorama で管理されていなかった場合、Palo Alto Networks テクニカルサポートに連絡してください。 24 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks VM-Series ファイアウォールについて VM-Series Firewall 用のライセンス VM の無効化 • ファイアウォールの場合 1. Web インターフェイスにログインして、Device > Licenses [ デバイス > ライセンス ] を選択します。 2. ライセンス管理セクションで Deactivate VM [VM の無効化 ] を選択します。 3. ファイアウォールから無効化されるライセンス / 資格 の一覧を確認してください。 4. VM の無効化を行う場合は以下の方法があります。 • ファイアウォールが Palo Alto Networks ライセンス サーバーと直接通信できる場合は、Continue [ 続行 ] をクリックします。ファイアウォールを再起動する よう通知され、再起動時にライセンスが無効化され ます。 • ファイアウォールからインターネットにアクセスで きない場合、Complete Manually [ 手動で完了 ] をクリッ クします。Export license token [ ライセンストークンの エクスポート ] リンクをクリックし、トークンファイ ルをローカルコンピュータに保存します。トークン のファイル名の例 : 20150128_1307_dact_lic.01282015.130737.tok フ ァ イ ア ウォールを再起動するよう通知され、再起動時にラ イセンスが無効化されます。 5. (手動の場合のみ)以下のタスクを行い、ライセンス サーバーへ変更内容を登録してください。 a. Palo Alto Networks サポートポータルにログインしま す。 b. Assets [ アセット ] タブの Deactivate License(s) [ ライセ ンスの無効化 ] のリンクをクリックします。 c. トークンファイルを Palo Alto Networks サポートポー タルにアップロードし、無効化を完了します。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 25 VM-Series Firewall 用のライセンス VM-Series ファイアウォールについて VM の無効化(続) • Panorama の場合 1. Panorama Web インターフェイスにログインして、 Panorama > Device Deployment > Licenses [Panorama > デバイスのデプロ イ > ライセンス ] を選択します。 2. Deactivate VMs [VM の無効化 ] をクリックし、無効化した い VM-Series ファイアウォールを選択してください。 3. VM の無効化を行う場合は以下の方法があります。 • Panorama が Palo Alto Networks ライセンスサーバーと 直接通信できる場合は、Continue [ 続行 ] をクリック し、変 更 内 容 を 登 録 し ま す。Panorama > Device Deployment > Licenses [Panorama > デバイスのデプロイ > ライセンス ] を開き、Refresh [ 更新 ] をクリックし、 ライセンスが無効化されたことを確認します。ファ イアウォールは自動的に再起動されます。 • Panorama からインターネットにアクセスできない場 合、 Complete Manually [ 手動で完了 ] をクリックします。 Panorama は、トークン ファイルを生成します。Export license token [ ライセンストークンのエクスポート ] リン クをクリックし、トークンファイルをローカルコン ピュータに保存します。正常に完了された旨のメッ セージが画面に表示され、ファイアウォールは自動 的に再起動されます。 4. (手動の場合のみ)トークンファイルを使用するには、 上記ステップ 5 のとおり、ライセンスサーバーに変更 内容を登録します。 26 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks VM-Series ファイアウォールについて VM-Series Firewall 用のライセンス VM の無効化(続) 5. 無効化された VM-Series ファイアウォールを Panorama の管理対象デバイスから削除します。 a. Panorama > Managed Devices [Panorama > 管理対象デバ イス ] の順に選択します。 b. 管理対象デバイスの一覧から無効化したファイア ウォールを選択し、Delete [ 削除 ] をクリックします。 ファイアウォールを削除する代わりに、別個 のデバイスグループを作成し、無効化した VM-Series ファイアウォールをこのグループ に入れる方法もあります。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 27 VM-Series ファイアウォールのアップグレード VM-Series ファイアウォールについて VM-Series ファイアウォールのアップグレード PAN-OS ソフトウェア バージョンのアップグレード(スタンドアロン版) PAN-OS ソフトウェア バージョンのアップグレード(NSX エディション) VM-Series モデルのアップグレード VM-Series ファイアウォールのインストール手順の詳細は、「VM-Series デプロイメント」を参照 してください。 PAN-OS ソフトウェア バージョンのアップグレード(スタンドアロン版) これで、VM-Series firewall がネットワークに接続され、ベース PAN-OS ソフトウェアがインストー ルされました。次に、PAN-OS の最新バージョンへのアップグレードについて考慮します。以下 に示す、高可用性(HA)設定でデプロイされていないファイアウォールの場合の指示に従いま す。HA でデプロイされているファイアウォールの場合は、『PAN-OS 7.0 New Features Guide (PAN-OS 6.1 新機能ガイド)』を参照してください。 PAN-OS バージョンのアップグレード(スタンドアロン版) Step 1 Web インターフェイスから Device > Licenses [ デバイス > ライセンス ] の順に移動し、正し い VM-Series firewall ライセンスがインストールされていて、そのライセンスがアクティ ベーションされていることを確認します。 VM-Series ファイアウォール スタンドアロン版で、Device > Support [ デバイス > サポート ] の 順に移動し、サポート ライセンスがアクティベーションされていることを確認します。 Step 2 (実稼働しているファイアウォールの場合に必要)現在の設定ファイルのバックアップを 保存します。 1. Device > Setup > Operations [ デバイス > セットアップ > 操作 ] の順に選択し、Export named configuration snapshot[ 名前付き設定スナップショットのエクスポート ] をクリックします。 2. 実行中の設定を含む XML ファイル(running-config.xml など)を選択し、OK をクリック して設定ファイルをエクスポートします。 3. エクスポート ファイルをファイアウォールの外側の場所に保存します。アップグレード で問題が発生した場合は、このバックアップを使用して設定を復元することができます。 Step 3 リリース ノートを調べ、PAN-OS バージョンで必要なコンテンツ リリース バージョンを 確認します。アップグレードするファイアウォールで、その PAN-OS バージョンで要求さ れるコンテンツ リリース バージョンが実行されている必要があります。 1. Device > Dynamic Updates [ デバイス > 動的アップデート ] の順に選択します。 2. Applications and Threats[ アプリケーションおよび脅威 ] または Applications[ アプリケーショ ン ] セクションを確認し、現在どの更新が実行されているのかを特定します。 3. ファイアウォールで必要なバージョン(またはそれ以降)の更新が実行されていない場 合、Check Now[ 今すぐチェック ] をクリックし、使用可能な更新のリストを取得します。 4. 必要な更新を見つけて Download[ ダウンロード ] をクリックします。 5. ダウンロードが完了したら、Install[ インストール ] をクリックします。 28 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks VM-Series ファイアウォールについて VM-Series ファイアウォールのアップグレード PAN-OS バージョンのアップグレード(スタンドアロン版) 6. VM-Series firewall の PAN-OS バージョンをアップグレードします。 1. Device > Software [ デバイス > ソフトウェア ] の順に選択します。 2. Refresh[ 更新 ] をクリックして最新のソフトウェア リリースを表示し、さらに Release リリースにおける変更内容の説明およびソフトウェ Notes[ リリース ノート ] を表示して、 アをインストールするための移行パスを確認します。 3. Download[ ダウンロード ] をクリックしてソフトウェアを取得し、Install[ インストール ] を クリックします。 PAN-OS ソフトウェア バージョンのアップグレード(NSX エディション) VM-Series ファイアウォールの NSX エディションの場合は、Panorama を使用してファイアウォー ルのソフトウェア バージョンをアップグレードします。 Panorama を使用した VM-Series NSX エディションファイアウォールのアップグレード Step 1 アップグレードする各管理対象ファ 1. イアウォールで、現在の設定ファイ ルのバックアップを保存します。 設定のバックアップはファイ アウォールで自動的に作成さ れますが、アップグレードの前 にバックアップを作成して、そ のバックアップを外部に保存 2. することをお勧めします。 Palo Alto Networks Device > Setup > Operations [ デバイス > セットアップ > 操 作 ] の 順 に 選 択 し、Export Panorama and devices config bundle[Panorama およびデバイスの設定バンドルのエク スポート ] をクリックします。このオプションは、 Panorama および管理対象デバイスの設定バックアップ の最新バージョンを手動で生成およびエクスポートす る場合に使用します。 エクスポート ファイルをファイアウォールの外側の 場所に保存します。アップグレードで問題が発生した 場合は、このバックアップを使用して設定を復元する ことができます。 VM-Series 7.0 デプロイメントガイド • 29 VM-Series ファイアウォールのアップグレード VM-Series ファイアウォールについて Panorama を使用した VM-Series NSX エディションファイアウォールのアップグレード(続) Step 2 リリース ノートを調べ、PAN-OS 1. バージョンで必要なコンテンツ リ リース バージョンを確認します。 2. アップグレードするファイアウォー ルで、その PAN-OS バージョンで要 求されるコンテンツ リリース バー ジョンが実行されている必要があり ます。 3. 4. Step 3 選択したファイアウォールにソフト 1. ウェア更新をデプロイします。 ファイアウォールが HA で設 2. 定 さ れ て い る 場 合 は、Group HA Peers[HA ピアのグループ 化 ] チェック ボックスをオフ にして、HA ピアを 1 つずつ アップグレードします。 3. 4. 5. 6. Panorama > Device Deployment > Dynamic Updates[Panorama > デバイスのデプロイ > 動的アップデート ] の順に選択します。 最新の更新があるかどうか確認します。Check Now[ 今 すぐチェック ](ウィンドウの左下)をクリックして最 新の更新があるかどうか確認します。Action[ アクショ ン ] 列のリンクは、更新が入手可能かどうかを示しま す。入手可能なバージョンがある場合は、Download[ ダ ウンロード ] リンクが表示されます。 選 択 し た バ ー ジ ョ ン を ダ ウ ン ロ ー ド す る に は、 Download [ ダウンロード ] をクリックします。 ダウンロー ドが正常に完了すると、Action [ アクション ] 列のリン クが Download [ ダウンロード ] から Install [ インストール ] に変わります。 Install[ インストール ] をクリックし、更新をインストー ルするデバイスを選択します。インストールが完了す ると、Currently Installed[ 現在インストール済み ] 列に チェック マークが表示されます。 Panorama > Device Deployment > Software [Panorama > デ バイスのデプロイ > ソフトウェア ] の順に選択します。 最新の更新があるかどうか確認します。Check Now[ 今 すぐチェック ](ウィンドウの左下)をクリックして最 新の更新があるかどうか確認します。Action[ アクショ ン ] 列のリンクは、更新が入手可能かどうかを示しま す。 File Name[ ファイル名 ] を確認し、Download[ ダウンロー ド ] をクリックします。ダウンロードしたソフトウェ ア バージョンがネットワークに導入されたファイア ウォール モデルと一致することを確認します。ダウン ロードが正常に完了すると、Action [ アクション ] 列のリ ンクが Download [ ダウンロード ] から Install [ インストー ル ] に変わります。 Install[ インストール ] をクリックし、ソフトウェア バー ジョンをインストールするデバイスを選択します。 Reboot device after install[ インストール後にデバイスを再 起動する ] をオンにし、OK をクリックします。 HA で設定されているデバイスがある場合は、Group HA Peers[HA ピアのグループ化 ] チェック ボックスをオフに して、HA ピアを 1 つずつアップグレードします。 30 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks VM-Series ファイアウォールについて VM-Series ファイアウォールのアップグレード Panorama を使用した VM-Series NSX エディションファイアウォールのアップグレード(続) Step 4 各管理対象デバイスで実行されてい 1. るソフトウェアおよびコンテンツ リリース バージョンを確認します。 2. Panorama > Managed Devices [Panorama > 管理対象デバイ ス ] の順に選択します。 デバイスを見つけ、表のコンテンツおよびソフトウェ アのバージョンを確認します。 VM-Series モデルのアップグレード VM-Series ファイアウォールのライセンス プロセスでは、UUID と CPU ID を使用して VM-Series ファイアウォールの一意のシリアル番号を生成します。そのため、ライセンスを生成するとき に、ライセンスは VM-Series ファイアウォールの特定のインスタンスにマッピングされ、変更す ることはできません。 以前にライセンス登録されているファイアウォールに新しいキャパシティ ライセンスを適用す るには、既存の(完全に設定された)VM-Series ファイアウォールのクローンを作成する必要が あります。クローン作成のプロセスで、ファイアウォールに一意の UUID が割り当てられるた め、ファイアウォールのクローンのインスタンスに新しいライセンスを適用することができま す。 以下の場合、このセクションの手順を実行します。 評価版ライセンスから製品ライセンスに移行する。 キャパシティの大きいモデルにアップグレードする。VM-200 から VM-1000-HV ライセンスへ のアップグレードなど。 VM-Series ファイアウォールでのライセンスの移行 Step 1 VM-Series ファイアウォールをパワー オフします。 Step 2 VM-Series ファイアウォールのク 手動でクローン作成する場合、プロンプトが表示されたら、 ローンを作成します。 ファイアウォールの移動ではなく、コピーを行うようにし ます。 Step 3 VM-Series ファイアウォールの新し 1. いインスタンスをパワーオンしま す。 2. vSphere/SDX Web インターフェイスでファイアウォー ルのシリアル コンソールを起動し、以下のコマンドを 入力します。 show system info 以下の状態であることを確認します。 • シリアル番号が unknown である • ファイアウォールにライセンスがない • 設定が変更されていない Step 4 サポート ポータルで新しい認証コー 「VM-Series ファイアウォールの登録」を参照してください。 ドを登録します。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 31 VM-Series ファイアウォールのアップグレード VM-Series ファイアウォールについて VM-Series ファイアウォールでのライセンスの移行 Step 5 新しいライセンスを適用します。 32 • VM-Series 7.0 デプロイメントガイド 「ライセンスのアクティベーション」を参照してください。 新しいファイアウォールに正常にライセンスを適用した ら、ファイアウォールの以前のインスタンスを削除して、 設定または IP アドレスの割り当てで競合が発生するのを 防止します。 Palo Alto Networks VM-Series ファイアウォールについて VM-Series ファイアウォールでジャンボフレームを有効化する VM-Series ファイアウォールでジャンボフレームを有効化 する Layer3 インターフェイスで送信されるパケットの最大転送単位(MTU)はデフォルトで 1500 バ イトに設定されています。このサイズはインターフェイスごとに、手動で 512 バイトから 1500 バイトの間で変更することが出来ます。設定項目によっては MTU 値が 1500 バイト以上のイーサ ネットフレームを必要とするものがあります。これらをジャンボフレームと呼びます。 ファイアウォールでジャンボフレームを使用する場合、グローバルレベルでジャンボフレームを 有効化する必要があります。ジャンボフレームが有効化された場合、全ての Layer3 インターフェ イスのデフォルト MTU サイズは 9192 バイトに設定されます。この値は再度 512 バイトから 9216 バイトの間の値に設定しなおすことができます。 グローバルジャンボフレームのサイズを設定すると、その値はインターフェイス設定で個別に MTU 値を設定されない限り、全ての Layer3 インターフェイスのデフォルト値となります。しか し、これでは一部のインターフェイスのみジャンボフレームを交換させたい場合に問題となりま す。こういった場合には、デフォルト値を適用したくない Layer3 インターフェイス全てにおい て MTU 値を設定していく必要があります。 以下の手順において、ファイアウォールでジャンボフレームを有効化し、全ての Layer3 インター フェイスのMTU値の設定を行い、 特定のインターフェイスにおいて個別の値を設定していきます。 ジャンボフレームを有効化し MTU 値を設定する Step 1 ジャンボフレームを有 1. 効化し、デフォルトの グローバルMTU値を設 2. 定します。 3. 4. 5. 6. 7. Palo Alto Networks Device > Setup > Session [ デバイス > 設定 > セッション ] の順に選択し、 [ セッション設定 ] のセクションを編集します。 Enable Jumbo Frame [Jumbo Frame の有効化 ] を選択します。 Global MTU[ グローバル MTU] 用の値を入力します。 デフォルト値は 9192 です。値の許容範囲は次の通りです :512 - 9216 OK をクリックします。 ジャンボフレームの有効化あるいは無効化には再起動が必要で、 Layer3 インターフェイスに Global MTU[ グローバル MTU] 値が設定さ れるという内容のメッセージが表示されます。 Yes[ はい ] をクリックします。 ジャンボフレームのサポートが有効化され、この変更を適用するに はデバイスの再起動が必要なことを知らせるメッセージが表示され ます。 OK をクリックします。 Commit[ コミット ] をクリックします。 VM-Series 7.0 デプロイメントガイド • 33 VM-Series ファイアウォールでジャンボフレームを有効化する VM-Series ファイアウォールについて ジャンボフレームを有効化し MTU 値を設定する Step 2 Layer3 インターフェイ 1. ス用の MTU 値を設定 し、ファイアウォール 2. を再起動します。 インターフェイ 3. ス用に設定され 4. た値はグローバ ル MTU値よりも 優先されます。 5. 6. 7. Network > Interfaces [ ネットワーク > インターフェイス ] の順に選択し ます。 Layer3 Interface type [ インターフェイスタイプ ] のインターフェイスを 選択します。 Advanced > Other Info [ 高度な設定 > その他の情報 ] を選択します。 MTU 用の値を入力します。 デフォルト値は 9192 です。値の許容範囲は次の通りです :512 - 9216 OK をクリックします。 Commit[ コミット ] をクリックします。 Device > Setup > Operations [ デバイス > 設定 > 操作 ] を開き、Reboot Device [ デバイスの再起動 ] を選択します。 34 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks ESXi サーバーでの VM-Series Firewall のセットアップ VM-Series firewall は、仮想マシンのパッケージングとデプロイのための標準手法である Open Virtualization Alliance format(OVA)を使用して配布されます。VMware ESXi を実行可能なすべて の x86 デバイスにこのソリューションをインストールできます。 VM-Series ファイアウォールをデプロイするには、vSphere ネットワーク、ESXi ホストのセット アップと設定、仮想マシン ゲストのデプロイメントなど、VMware と vSphere について精通して いる必要があります。 VM-Series ファイアウォールのデプロイ プロセスを自動化するには、最適な設定とポリシーが含 まれた標準テンプレートを作成します。 その後 vSphere API と PAN-OS XML API を使用して、ネッ トワークに新しい VM-Series ファイアウォールをすばやくデプロイできます。詳細は以下の記事 を参照してください。VM Series DataCenter Automation(英語) 以下の情報については、各トピックを参照してください。 VMware vSphere Hypervisor(ESXi)でサポートされているデプロイ システム要件と制限事項 VMware vSphere Hypervisor(ESXi)への VM-Series firewall のインストール ESXi のデプロイメントのトラブルシューティング Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 35 VMware vSphere Hypervisor(ESXi)でサポートされているデプロイ ESXi サーバーでの VM-Series Firewall のセッ VMware vSphere Hypervisor(ESXi)でサポートされてい るデプロイ ESXi サーバーには VM-Series ファイアウォールの 1 つ以上のインスタンスをデプロイできます。 ネットワークのどこに VM-Series ファイアウォールをデプロイするかは、トポロジによって異な ります。以下のいずれかのオプションを選択します(VMware NSX を使用しない環境の場合)。 ESXi ホストごとに 1 つの VM-Series ファイアウォール — ESXi ホスト上のすべての VM サー バーは、ホストから物理ネットワークに移動するときにファイアウォールを通過します。VM サーバーは、標準仮想スイッチを介してファイアウォールに接続されます。ゲスト サーバー はその他のネットワークには接続できないため、ファイアウォールは ESXi ホストからのすべ ての発信トラフィックを監視および制御できます。もう 1 つのバリエーションとして、同じ ESXi ホスト上のサーバー間(East-West トラフィック)を含め、すべてのトラフィックにも ファイアウォールを通過させるという方法もあります。 仮想ネットワークごとに 1 つの VM-Series ファイアウォール — すべての仮想ネットワークそ れぞれに 1 つの VM-Series ファイアウォールをデプロイします。1 つ以上の ESXi ホストに、内 部ネットワークに属する仮想マシンのグループ、外部ネットワークに属するグループ、およ び DMZ に属するその他のグループが含まれるネットワークを設計している場合、各グルー プ内のサーバーを保護するように VM-Series ファイアウォールをデプロイできます。グループ または仮想ネットワークが仮想スイッチやポート グループを他の仮想ネットワークと共有し ていない場合、ホスト内またはホスト間でその他すべての仮想ネットワークと完全に分離さ れます。他のネットワークへの物理パスや仮想パスは存在しないため、各仮想ネットワーク 上のサーバーはファイアウォールを使用して他のネットワークと通信する必要があります。 そのため、各仮想ネットワークに接続された(標準または分散)仮想スイッチからのすべて の発信トラフィックをファイアウォールで監視および制御できます。 ハイブリッド環境 — 物理ホストと仮想ホストの両方が使用されている場合、従来の集約場所 に物理ファイアウォール アプライアンスの代わりに VM-Series ファイアウォールをデプロイ することで、すべてのデバイスに対する共通のサーバー プラットフォームの利点を確保し、 ハードウェアおよびソフトウェア アップグレードの依存性を解除できます。 引き続き、 「システム要件と制限事項」および「VMware vSphere Hypervisor(ESXi)への VM-Series firewall のインストール」を参照してください。 36 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks ESXi サーバーでの VM-Series Firewall のセットアップ システム要件と制限事項 システム要件と制限事項 このセクションでは、VMware vSphere Hypervisor(ESXi)上で稼働する VM-Series ファイアウォー ルの要件と制限を示します。VM-Series ファイアウォールのデプロイ方法については、「VMware vSphere Hypervisor(ESXi)への VM-Series firewall のインストール」を参照してください。 要件 制限事項 要件 ESXi サーバーには、VM-Series ファイアウォールの複数のインスタンスを作成およびデプロイで きます。ファイアウォールの各インスタンスには ESXi サーバーの最小リソース割り当て(CPU 数、メモリおよびディスク領域)が必要であるため、最適なパフォーマンスを得るために以下の 仕様に従っていることを確認してください。 VM-Series firewall には以下の要件があります。 PAN-OS 7.0 を稼動している VM-Series 向けの VMware ESXi vSphere 5.1/5.5/6.0ESXi サーバー上の 仮想ハードウェアファミリータイプ(VMware 仮想ハードウェアバージョンとも呼ばれていま す)でサポートされている最小バージョンは vmx-09 ですのでご注意ください。 VM-Series firewall あたり 2 vCPU 以上。1 つを管理プレーンで使用し、もう 1 つをデータプレー ンで使用します。 2 つまたは 6 つの vCPU を追加して合計 2 つ、4 つ、または 8 つの vCPU をファイアウォール に割り当てることができます。管理プレーンは 1 つの vCPU のみを使用し、追加 vCPU はデー タプレーンに割り当てられます。 2 つ以上のネットワークインターフェイス(vmNIC)。1 つは管理インターフェイスの vmNIC 専用、もう 1 つはデータ インターフェイス用です。データ トラフィック用の vmNIC は 8 つ まで追加できます。インターフェイスを追加するには、ESXi サーバーで VLAN Guest Tagging (VGT)を使用するか、ファイアウォール上にサブインターフェイスを構成します。 デフォルトでは、VM-Series ファイアウォールは自身の保有しているアドレスプールの中から、 それぞれのデータプレーンに対し固有の MAC アドレスを割り当てます。これは、PAN-OS に 割り当てられた宛先 MAC アドレスと、vSphere に割り当てられた vmNIC MAC アドレスが異 なるためです。したがって、ファイアウォールにフレームを受信させるためには、VM-Series ファイアウォールでハイパーバイザによって割り当てられたMACアドレスを使用可能にする するか、ファイアウォールのデータプレーンインターフェイスが適用されている仮想スイッ チのポートグループで無差別モード(Step 2 を参照してください)を有効化する必要がありま す。 無差別モードとハイパーバイザによって割り当てられた MAC アドレスのいずれも無効の場 合、ファイアウォールはトラフィックを受信しません。これは、フレームの宛先 MAC アドレ スと vmNIC MAC アドレスが一致しない場合、vSphere は仮想マシンへのフレーム転送を行わ ないことに起因します。 4GB 以上のメモリ(5GB が必要な VM-1000-HV 以外のすべてのモデル)。5 GB を超えて割当 てられたメモリは、すべて管理プレーンに対して割り当てられます。VM-1000-HV ライセンス を適用している場合は、「VM-1000-HV 用に基本イメージ ファイルを変更するには ?」を参照 してください。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 37 システム要件と制限事項 ESXi サーバーでの VM-Series Firewall のセットアップ 40 GB 以上の仮想ディスク領域。ロギング用に 40 GB から 2 TB のディスク領域を追加できま す。 ESXi の VM-Series では VMware スナップショット機能を使用しないでください。スナップ ショットはパフォーマンスに影響を及ぼし、断続的かつ不定のパケットロスを引き起こす可能 性があります。VMWare で推奨されるスナップショットの使用方法を参照してください。 設定のバックアップが必要な場合は Panorama またはファイアウォールの Export named configuration snapshot[ 指定した設定のスナップショットをエクスポート ](Device > Set up > Operations [ デバイス > 設定 > 操作 ])を使用します。指定した設定のスナップショット をエクスポートを行うことで、ファイアウォールでアクティブな設定内容 (running-config.xml)がエクスポートされ、任意のネットワークロケーションに保存できるよ うになります。 制限事項 VM-Series firewall の機能は Palo Alto Networks のハードウェア ファイアウォールと非常によく似て いますが、以下の制限があります。 専用 CPU コアを使用することを推奨します。 高可用性(HA)リンクモニタリングは、ESXi の VM-Series ファイアウォールではサポートされ ていません。パスモニタリングを有効にして、ターゲット IP アドレスまたはネクスト ホップ IP アドレスとの接続を確認します。 最大 10 個のポートを設定できます。これは VMware の制限です。1 つのポートは管理トラ フィック用として使用され、残りの 9 ポートまではデータ トラフィック用として使用されま す。 vmxnet3 ドライバのみがサポートされています。 仮想システムはサポートされません。 ファイアウォールの vMotion はサポートされません。 VM-Series ファイアウォールのインターフェイス(vwire モードで設定されている場合)に接続 された、ESXi vSwtich ポートグループの VLAN トランクを有効化する必要があります。 38 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks ESXi サーバーでの VM-Series Firewall のセットアップ VMware vSphere Hypervisor(ESXi)への VM-Series firewall VMware vSphere Hypervisor(ESXi)への VM-Series firewall のインストール VM-Series ファイアウォールをインストールするには、Open Virtualization Alliance format(OVA)テン プレートへのアクセス権が必要です。受注完了電子メールで受け取った認証コードを使用し、 VM-Series ファイアウォールを登録して OVA テンプレートへのアクセス権を取得します。OVA は、3 つのファイルに展開される zip アーカイブとしてダウンロードされます。.ovf 拡張子はパッ ケージおよびそのコンテンツに関するすべてのメタデータが記述されている OVF 記述子ファイ ル用、.mf 拡張子はパッケージ内の個々のファイルの SHA-1 ダイジェストを含む OVF マニフェ ストファイル用、.vmdk 拡張子はファイアウォールの仮想化バージョンを含む仮想ディスクイ メージファイル用です。 VM-Series ファイアウォールの ESXi サーバーへのプロビジョニング ESXi 上の VM-Series の初期設定の実行 (任意)VM-Series ファイアウォールにディスクスペースを追加する ハイパーバイザによって割り当てられた MAC アドレスを使用可能にする VM-Series ファイアウォールの ESXi サーバーへのプロビジョニング VM-Series ファイアウォールを(スタンドアロンの)ESXi サーバー上にデプロイするには、以下 の手順を実行します。VM-Series NSX エディション ファイアウォールをデプロイする場合は、 「VM-Series NSX エディション ファイアウォールのセットアップ」を参照してください。 VM-Series ファイアウォールのプロビジョニング Step 1 OVA す。 ファイルをダウンロードしま VM-Series ファイアウォールを登録し、次の URL から OVA テンプレートを取得します。 https://support.paloaltonetworks.com. ファイルには基本インストールが含まれています。 基本インストールが完了した後は、サポート ポータ ルから最新の PAN-OS バージョンをダウンロードし てインストールする必要があります。これにより、基 本イメージが作成された後に実装された、最新の修 正を適用できます。手順は、「PAN-OS ソフトウェア バージョンのアップグレード(スタンドアロン版)」 を参照してください。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 39 VMware vSphere Hypervisor(ESXi)への VM-Series firewall のインストール ESXi サーバーでの VM-Series Firewall VM-Series ファイアウォールのプロビジョニング(続) Step 2 OVAテンプレートをデプロイする前 に、VM-Series firewall で必要になる標 準仮想スイッチと分散仮想スイッチ をセットアップします。 レイヤー2、バーチャルワイヤー、またはタップインターフェ イスで VM-Series firewall をデプロイする場合、 ファイアウォー ルのハイパーバイザによって割り当てられたMACアドレス を使用可能にするする必要があります。ハイパーバイザに よって割り当てられた MAC アドレスを有効化しない場合、 VM-Series ファイアウォールに適用される仮想スイッチで、以 下のモードを許可するよう設定する(Accept [ 承認 ] に変更す る)必要があります。 – 無差別モード – MAC アドレスの変更 – 偽装送信 詳細は、「要件」のネットワーク インターフェイスの要件 を参照してください。 VM-Series ファイアウォールのフレームを受信するように 仮想標準スイッチを設定するには : 1. Home > Inventory > Hosts and Clusters [ ホーム ] > [ インベ ントリ ] > [ ホストおよびクラスタ ] の順に移動して、 vSphere Client から標準仮想スイッチを設定します。 2. Configuration[ 構成 ] タブをクリックし、Hardware[ ハー ドウェア ] の下で Networking[ ネットワーク ] をクリック します。VM-Series firewall が連結された仮想スイッチご とに、Properties[ プロパティ ] をクリックします。 3. 仮想スイッチを強調表示して、Edit[ 編集 ] をクリックし ます。vSwitch のプロパティ画面で、Security[ セキュリ Promiscuous Mode, MAC Address ティ] タブをクリックし、 Changes[ 無差別モード、MAC アドレス変更 ] および Forged Transmits[ 偽装送信 ] を Accept[ 承諾 ] に設定して、OK を クリックします。この変更は、仮想スイッチ上のすべ てのポート グループに伝搬されます。 VM-Series ファイアウォールのフレームを受信するように 仮想分散スイッチを設定するには : 1. Home > Inventory > Networking[ ホーム > インベントリ > ネットワーク ] の順に選択します。編集する Distributed Port Group[ 分散ポート グループ ] を 強 調 表 示 し て、 Summary[ サマリ ] タブを選択します。 2. Edit Settings[ 設定の編集 ] をクリックして、Policies > Security [ ポリシー > セキュリティ ] の 順 に 選 択 し、 Promiscuous Mode, MAC Address Changes[ 無差別モード、 MAC アドレス変更 ] および Forged Transmits[ 偽装送信 ] を Accept[ 承諾 ] に設定して、OK をクリックします。 40 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks ESXi サーバーでの VM-Series Firewall のセットアップ VMware vSphere Hypervisor(ESXi)への VM-Series firewall VM-Series ファイアウォールのプロビジョニング(続) Step 3 OVA をデプロイします。 新規インターフェイスは起動時に検 出さ れ るた め、VM-Series フ ァ イア ウォールにインターフェイス (vmNIC)を追加した場合は、再起動 が必要になります。ファイアウォー ルを再起動せずに済むようにするに は、初期デプロイ時またはメンテナ ンス期間中にインターフェイスを追 加してファイアウォールを再起動し ておきます。 1. 2. 3. 4. 5. 6. 7. 8. インストールの進行状況を表示する には、Recent Tasks[ 最近のタスク ] リストをモニターします。 9. vSphere クライアントを使用して vCenter にログインします。必要に応 じて、ターゲットの ESXi ホストに直接移動することもできます。 vSphere クライアントから、File > Deploy OVF Template [ ファイル > OVF テンプレートのデプロイ ] の順に選択します。 Step 1 でダウンロードした OVA ファイルを参照し、ファイルを選択 して Next[ 次へ ] をクリックします。テンプレートの詳細ウィンドウ の内容を確認して、もう一度 Next[ 次へ ] をクリックします。 VM-Series firewall インスタンスに名前を付け、Inventory Location[ イン ベントリの場所 ] ウィンドウでデータ センターとフォルダを選択し、 Next[ 次へ ] をクリックします。 VM-Series firewall の ESXi ホストを選択し、Next[ 次へ ] をクリックし ます。 VM-Series firewall で使用するデータストアを選択し、Next[ 次へ ] を クリックします。 データストア プロビジョニングのデフォルト設定をそのままにし て、Next[ 次へ ] をクリックします。デフォルトは「Thick Provision Lazy Zeroed」です。 VM-Series ファイアウォールでは CPU アフィニティーを設定 しないようにしてください。vCenter および ESXi のサーバー は VM-Series 用の CPU 配置を最適化し、ファイアウォール は non-uniform memory access [ 不均一メモリアクセス ] (NUMA)設 定のまま使用した際にベストのパフォーマンスを発揮します。 最初に設定された 2 つの vmNIC を利用するネットワークを選択しま す。1 つ目の vmNIC は管理インターフェイスで使用され、2 つ目の vmNIC は最初のデータ ポートで使用されます。 Source Networks[ ソー ス ネットワーク ] が正しい Destination Networks[ ターゲット ネット ワーク ] にマップされていることを確認してください。 詳細ウィンドウの内容を確認し、Power on after deployment [ デプロイ後にパワーオン ] チェック ボックスをオンにして、Next[ 次へ ] をクリックします。 10. 導入が完了したら、Summary [ サマリー ] タブをクリックして現在の 状態を確認します。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 41 VMware vSphere Hypervisor(ESXi)への VM-Series firewall のインストール ESXi サーバーでの VM-Series Firewall ESXi 上の VM-Series の初期設定の実行 VM-Series ファイアウォールへのネットワーク アクセスを設定するには、ESXi サーバーでバー チャル アプライアンス コンソールを使用します。まず、管理インターフェイスを設定し、その 後 Web インターフェイスにアクセスして追加の設定タスクを完了する必要があります。中央管 理のために Panorama を使用している場合、Panorama を使用したデバイス管理の詳細については、 『Panorama 管理者ガイド』を参照してください。 管理インターフェイスの設定 Step 1 ネットワーク管理者から必要な情報 • MGT ポートの IP アドレス を入手します。 • ネットマスク • デフォルトゲートウェイ • DNS サーバーの IP アドレス Step 2 VM-Series ファイアウォールのコン 1. ソールにアクセスします。 2. 3. 4. Step 3 VM-Series ファイアウォール用の ESXi サーバーで Console[ コンソール ] タブを選択するか、VM-Series ファ イアウォールを右クリックして Open Console[ コンソー ルを開く ] を選択します。 Enter キーを押して、ログイン画面にアクセスします。 デフォルトのユーザー名 / パスワード(admin/admin) を入力して、ログインします。 設定モードに切り替えるには、「configure」 と入力し ます。 管理インターフェイスへのネット 以下のコマンドを入力します。 ワーク アクセス設定を行います。 set deviceconfig system ip-address <Firewall-IP> netmask <netmask> default-gateway <gateway-IP> dns-setting servers primary <DNS-IP> <Firewall-IP> は管理インターフェイスに割り当てる IP ア ドレス、<netmask> はサブネット マスク、<gateway-IP> は ネットワーク ゲートウェイの IP アドレス、<DNS-IP> は DNS サーバーの IP アドレスです。 Step 4 変更をコミットし、設定モードを終 「commit」 と入力します。 了します。 「exit」 と入力します。 Step 5 Palo Alto Networks 更新サーバーな ど、ファイアウォール管理に必要な 外部サービスへのネットワーク ア クセスを確認します。 ファイアウォールから外部ネットワーク アクセスが可能で あることを確認するには、ping ユーティリティを使用しま す。以下の例に示すように、デフォルトゲートウェイ、DNS サーバー、および Palo Alto Networks 更新サーバーへの接続 を確認します。 admin@VM_200-Corp> ping host updates.paloaltonetworks.com PING updates.paloaltonetworks.com (67.192.236.252) 56(84) bytes of data. 64 bytes from 67.192.236.252: icmp_seq=1 ttl=243 time=40.5 ms 64 bytes from 67.192.236.252: icmp_seq=1 ttl=243 time=53.6 ms 64 bytes from 67.192.236.252: icmp_seq=1 ttl=243 time=79.5 ms 接続を確認したら、Ctrl+C キーを押して ping を停止 します。 42 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks ESXi サーバーでの VM-Series Firewall のセットアップ VMware vSphere Hypervisor(ESXi)への VM-Series firewall ライセンスのない VM-Series ファイアウォールは、最大 200 個の同時セッションを処理するこ とができます。環境によっては、このセッション制限にすぐに到達する可能性があります。こ のため、VM-Series ファイアウォールのテストを開始する前にキャパシティ認証コードを適用 し、ライセンスを取得します。そうしないと、ポート グループに他のトラフィックがあった場 合に予期せぬ結果を引き起こす可能性があります。 VM-Series ファイアウォールにディスクスペースを追加する VM-Series ファイアウォールは 40GB の仮想ディスクを必要とし、うち 17GB はログ記録に使用さ れます。大規模な導入を行う場合、次世代ファイアウォールからデータを集約し、ネットワーク 上の全トラフィックを可視化するためにも、ログ記録とレポートの中央管理には Panorama を使 用してください。Panorama を使用しないがログ記録用の容量を必要とするような小規模の導入 を行う場合、以下の手順により新しく 40GB から 2TB までのログ記録用の仮想ディスクを追加す ることができます。 仮想ディスクを使用するように設定すると、デフォルトの 17GB のストレージはバーチャル ア プライアンスのログ記録には使用されません。このため、仮想ディスクへの接続が失われる と、障害期間中のログが損失する可能性があります。 冗長性を持たせるためには、新規作成した仮想ディスクを RAID による冗長性が確保された データストア上に配置します。RAID10 では、ロギングを大量に行うアプリケーションで最適 な書き込みパフォーマンスが得られます。 VM-Series ファイアウォールに仮想ディスクを追加する Step 1 VM-Series ファイアウォールをパワー オフします。 Step 2 ESX(i) サーバー上で、仮想ディスク 1. をファイアウォールに追加します。 2. 3. ESX(i) サーバー上の VM-Series ファイアウォールを選択 します。 Edit Settings[ 設定の編集 ] をクリックします。 Add[ 追加 ] をクリックして [ ハードウェア追加 ] ウィ ザードを起動し、プロンプトが表示されたら以下のオ プションを選択します。 a. ハードウェア タイプに Hard Disk[ ハード ディスク ] を 選択します。 b. Create a new virtual disk[ 新規仮想ディスクを作成 ] を選 択します。 c. 仮想ディスク タイプに SCSI を選択します。 d. Thick provisioning[ シック プロビジョニング ] ディスク フォーマットを選択します。 e. 場所フィールドで、Store with the virtual machine option[ 仮想マシン オプションを使用して保存 ] を選択し ます。データストアは ESX(i) サーバーに存在してい る必要はありません。 f. 設定が正しいことを確認し、Finish[ 完了 ] をクリッ クしてウィザードを終了します。新しいディスクが、 バーチャル アプライアンスのデバイス一覧に追加 されます。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 43 VMware vSphere Hypervisor(ESXi)への VM-Series firewall のインストール ESXi サーバーでの VM-Series Firewall VM-Series ファイアウォールに仮想ディスクを追加する Step 3 ファイアウォールをパワーオンしま パワーオンすると、初回の使用のために仮想ディスクが初 す。 期化されます。初期化処理が完了するまでの時間は、新し い仮想ディスクのサイズによって異なります。 仮想ディスクが初期化され準備が完了すると、既存のディ スクにあるすべてのログが新しい仮想ディスクに移動さ れます。新しく作成されるログは、この新しい仮想ディス クに記録されるようになりました。 新しいディスクを記録したシステムログエントリも新し く生成されます。 PAN-OS のログ記録に使用されていた仮想ディスク を再利用する場合、既存のディスクに記録されてい たログは仮想ディスクに移動されません。 Step 4 新しい仮想ディスクのサイズを確認 1. します。 2. Device > Setup > Management [ デバイス > セットアップ > 管 理 ] の順に選択します。 Logging and Reporting Settings[ ロギングおよびレポート 設 定 ] セ ク シ ョ ン で、新 し い デ ィ ス ク 容 量 が Log Storage[ ログ ストレージ ] に正しく表示されていること を確認します。 ハイパーバイザによって割り当てられた MAC アドレスを使用可能にする VM-Series ファイアウォールは、ホストまたはハイパーバイザによって物理インターフェイス割 り当てられた MAC アドレスを探知し、その MAC アドレスを VM-Series ファイアウォールで使用 する機能をサポートしています。この機能により、VMware vSwitch のような非学習性スイッチは vSwitch で無差別モードを起動することなく、ファイアウォールのデータプレーンへトラフィッ クを転送することが可能になります。無差別モードあるいはハイパーバイザによって割り当てら れた MAC アドレスのいずれも無効化されている場合、宛先のインターフェイス用 MAC アドレ スとホストにより割り当てられた MAC アドレスの不一致を検知した際に、ホストはフレームを 落とします。 VM-Series ファイアウォール上で、ハイパーバイザによって割り当てられた MAC アドレスの機能 を有効化した場合、以下の要件に注意してください。 インターフェイスの IPv6 アドレス — アクティブ / パッシブの高可用性ペアにおいて、IPv6 ア ドレスを使用する Layer3 インターフェイスでは、EUI-64 により生成されたアドレスをイン ターフェイス識別子(インターフェイス ID)として使用してはいけません。これは、EUI-64 が 48 ビットの MAC アドレスを使用しインターフェイス用の IPv6 アドレスを抽出しているた 44 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks ESXi サーバーでの VM-Series Firewall のセットアップ VMware vSphere Hypervisor(ESXi)への VM-Series firewall め、IP アドレスがスタティックではないからです。フェイルオーバーが発生した際に VM-Series ファイアウォールをホストしているハードウェアが変更されると、結果として、HA ピアの IP アドレスも変わってしまい、最終的には HA に障害が発生してしまいます。 IPアドレスのリース — MACアドレスが変更されると、 本来のIPアドレスのリースが解除され てしまう可能性があるため、DHCP クライアント、DHCP リレー、及び PPPoE インターフェ イスは、IP アドレスを解放する可能性があります。 MAC アドレスと Gratuitous ARP — 高可用性設定の中に配置され、ハイパーバイザによって割 り当てられた MAC アドレスを持つ VM-Series ファイアウォールは、MAC のアドレス指定に関 してハードウェアアプライアンスとは異なる挙動を示します。ハードウェアのファイアウォー ルは、HA ペアのデバイス間において自己生成したフローティング MAC アドレスを使用し、各 データプレーンで使用される固有の MAC アドレス(例えば eth1/1)は、HA の両方のピアが データプレーンインターフェイスと共通する仮想 MAC アドレスに置き換えられます。HA 環 境内の VM-Series ファイアウォールにおいてハイパーバイザにより割り当てられた MAC アドレ スの使用を許可した場合、仮想 MAC アドレスは使用されません。各 HA ピアのデータプレー ンインターフェースは固有のもので、ハイパーバイザにより特定されたものです。 各データプレーンインターフェイスは固有のMACアドレスを保有しているため、 フェイルオー バー発生時には、周囲のデバイスに新しい MAC/IP アドレスペアを周知するためにも、アク ティブとなった VM-Series ファイアウォールから gratuitous ARP を送る必要があります。このこ とから、ステートフルフェイルオーバーを行うためにも、相互ネットワークデバイスは gratuitous ARP をブロックあるいは無視しないようにする必要があります。求められた場合に は必ず、相互ネットワークデバイスの対 ARP ポイズニング機能を無効にしておいてください。 ハイパーバイザによって割り当てられた MAC アドレスを使用可能にする 以下の手順で、ホストまたはハイパーバイザによって割り当てられたインターフェイス MAC アドレスを VM-Series ファイアウォールで使用可能にします。 Step 1 Device > Management > Setup [ デバイス > 管理 > 設定 ] の順に選択します。 Step 2 Use Hypervisor Assigned MAC Address[ ハイパーバイザによって割り当てられた MAC アドレスを使用する ] を選択します。 MAC アドレスに変更がある場合、ファイアウォールはこの変更を記録するシステムログを生成 し、インターフェイスは gratuitous ARP を生成します。 Step 3 ファイアウォールへの変更を Commit [ コミット ] します。ファイアウォールを再起動する必要は ありません。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 45 ESXi のデプロイメントのトラブルシューティング ESXi サーバーでの VM-Series Firewall のセットアップ ESXi のデプロイメントのトラブルシューティング VM-Series firewall のトラブルシューティング手順の多くは、ハードウェア バージョンの PAN-OS の場合とよく似ています。問題が発生したら、インターフェイス カウンターやシステム ログ ファイルを調べ、必要な場合にはデバッグを使用してキャプチャを作成してください。PAN-OS のトラブルシューティングについての詳細は、「パケットベースのトラブルシューティング」を 参照してください。 以下のセクションでは、いくつかの一般的な問題のトラブルシューティング方法について説明し ます。 基本的なトラブルシューティング インストールの問題 ライセンスの問題 接続の問題 基本的なトラブルシューティング ネットワーク トラブルシューティング ツールの推奨 仮想環境でトラフィックをキャプチャしたり、テスト パケットを印加したりするために、別々 のトラブルシューティング ステーションがあると役立ちます。tcpdump、nmap、hping、 traceroute、iperf、tcpedit、netcat などの一般的なトラブルシューティング ツールがインス トールされた新規 OS を最初から作成することも有効です。このマシンは、パワーダウンして テンプレートに変換することができます。ツールが必要になるたびにトラブルシューティング クライアント(仮想マシン)を問題の仮想スイッチに素早くデプロイし、それを使用してネッ トワーク問題を分離することも可能です。テストが完了するとインスタンスは破棄され、テン プレートは次に必要になったときにまた使用されます。 ファイアウォールでのパフォーマンス関連の問題の場合は、まず、そのファイアウォールの Web インターフェイスから Dashboard をチェックします。アラートを表示したり、テクニカル サポー ト ファイルや状態ダンプ ファイルを作成するには、Device > Support [ デバイス > サポート ] の順に移 動します。 詳細については、vSphere クライアントで、Home > Inventory > VMs and Templates[ ホーム > インベントリ > 仮想マシンおよびテンプレート ] の順に移動し、VM-Series firewall インスタンスを選択して Summary[ サマリー ] タブをクリックします。Resources[ リソース ] の下で、消費メモリ、CPU、およびストレー ジの統計情報を確認します。リソース履歴の場合は、Performance[ パフォーマンス ] タブをクリック し、時間経過によるリソース消費量をモニターします。 インストールの問題 OVA のデプロイに関する問題 ファイアウォールが管理モードで起動するのはなぜですか ? VM-1000-HV 用に基本イメージ ファイルを変更するには ? 46 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks ESXi サーバーでの VM-Series Firewall のセットアップ ESXi のデプロイメントのトラブルシューティング OVA のデプロイに関する問題 VM-Series は、OVA(Open Virtualization Alliance format)内のファイルとして配信されます。OVA は zip アーカイブとしてダウンロードされ、3 つのファイルに展開されます。OVA のデプロイで 問題が生じている場合、3 つのファイルが展開されて存在しているかを確認し、必要に応じて OVA を再ダウンロードして解凍します。 OVF 拡張子は、パッケージとそのコンテンツに関するすべてのメタデータが記述されている OVF 記述子ファイル用の拡張子です。 mf 拡張子は、パッケージ内の個々のファイルの SHA-1 ダイジェストを含む OVF マニフェス ト ファイル用の拡張子です。 vmdk 拡張子は、仮想ディスク イメージ ファイル用の拡張子です。 VM-Series では、OVA の仮想ディスクのサイズが大きくなります(約 900MB)。OVA ファイルは、 vSphere クライアントを実行しているコンピュータ上に存在しているか、OVA の URL としてアク セス可能である必要があります。vSphere クライアント コンピュータとターゲット ESXi ホスト の間の接続が適切であることを確認します。パス上にあるすべてのファイアウォールは、vSphere から ESXi ホストまで TCP ポート 902 および 443 を許可する必要があります。接続には十分な帯 域幅があり、低遅延である必要があります。これを確保できない場合は OVA のデプロイが何時 間もかかったり、失敗したりします。 ファイアウォールが管理モードで起動するのはなぜですか ? VM-1000-HV ライ セ ンス を 購入 し、VMware ESXi サー バ ー また は Citrix SDX サー バ ー上 で VM-Series ファイアウォールをスタンドアロン モードでデプロイしている場合、VM-Series ファイ アウォールには最小で 5 GB のメモリを割り当てる必要があります。 この問題を修正するには、基本イメージファイルを変更するか(「VM-1000-HV 用に基本イメー ジ ファイルを変更するには ?」参照)、ESXi ホストまたは vCenter サーバーの設定を VM-Series ファイアウォールの電源を入れる前に編集する必要があります。 また、インターフェイスが VMXnet3 であることを確認してください。インターフェイス タイプ としてこれ以外のフォーマットを設定すると、ファイアウォールがメンテナンス モードで起動 されます。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 47 ESXi のデプロイメントのトラブルシューティング ESXi サーバーでの VM-Series Firewall のセットアップ VM-1000-HV 用に基本イメージ ファイルを変更するには ? VM-1000-HV ライセンスを購入し、 VMware ESXi サーバーまたは Citrix SDX サーバー上で VM-Series のファイアウォールをスタンドアロン モードでデプロイしている場合、VM-Series ファイア ウォールの基本イメージファイル(.ova または .xva)で定義される以下の属性を手順に従って変 更します。 重要 : ここに記載されている値以外の値を変更すると、 基本イメージファイルが無効になります。 基本イメージ ファイルの変更(VM-1000-HV ライセンスをスタンドアロン モードで使用している場合のみ) Step 1 基本イメージ ファイル(7.0.0 など)をメモ帳などのテキスト エディタで開きます。 Step 2 以下に示すように、4096 を探し、割り当てメモリを 5012 (5 GB)に変更します。 <Item> <rasd:AllocationUnits>byte * 2^20</rasd:AllocationUnits> <rasd:Description>Memory Size</rasd:Description> <rasd:ElementName>4096MB of memory</rasd:ElementName> <rasd:InstanceID>2</rasd:InstanceID> <rasd:ResourceType>4</rasd:ResourceType> <rasd:VirtualQuantity>4096</rasd:VirtualQuantity> <Item> <rasd:AllocationUnits>byte * 2^20</rasd:AllocationUnits> <rasd:Description>Memory Size</rasd:Description> <rasd:ElementName>5102MB of memory</rasd:ElementName> <rasd:InstanceID>2</rasd:InstanceID> <rasd:ResourceType>5</rasd:ResourceType> <rasd:VirtualQuantity>5012</rasd:VirtualQuantity> Step 3 割り当て仮想 CPU コアの数を 2 から、デプロイに適切な 4 または 8 に変更します。 <Item> <rasd:AllocationUnits>hertz * 10^6</rasd:AllocationUnits> <rasd:Description>Number of Virtual CPUs</rasd:Description> <rasd:ElementName>2 virtual CPU(s)</rasd:ElementName> <rasd:InstanceID>1</rasd:InstanceID> <rasd:ResourceType>3</rasd:ResourceType> <rasd:VirtualQuantity>2</rasd:VirtualQuantity> <vmw:CoresPerSocket ova:required="false">2</vmw:CoresPerSocket> </Item> <Item> <rasd:AllocationUnits>hertz * 10^6</rasd:AllocationUnits> <rasd:Description>Number of Virtual CPUs</rasd:Description> <rasd:ElementName>4 virtual CPU(s)</rasd:ElementName> <rasd:InstanceID>1</rasd:InstanceID> <rasd:ResourceType>3</rasd:ResourceType> <rasd:VirtualQuantity>4</rasd:VirtualQuantity> <vmw:CoresPerSocket ova:required="false">2</vmw:CoresPerSocket> </Item> または、ファイアウォールをデプロイし、VM-Series ファイアウォールをパワーオンする前に ESXi ホストまたは vCenter サーバーでメモリと CPU の割り当てを直接編集することもできます。 48 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks ESXi サーバーでの VM-Series Firewall のセットアップ ESXi のデプロイメントのトラブルシューティング ライセンスの問題 サポートライセンスまたは機能ライセンスを適用できないのはなぜですか ? コピーした VM-Series ファイアウォールに有効なライセンスがないのはなぜですか ? VM-Series ファイアウォールを移動するとライセンスは無効になりますか ? サポートライセンスまたは機能ライセンスを適用できないのはなぜですか ? VM-Series ファイアウォールにキャパシティ認証コードを適用していない可能性があります。サ ポート ライセンスまたは機能ライセンスのアクティベーション前に、デバイスがシリアル番号 を取得できるようにするためにキャパシティ認証コードを適用する必要があります。このシリア ル番号は、VM-Series ファイアウォールのその他のライセンスのアクティベーションに必要です。 コピーした VM-Series ファイアウォールに有効なライセンスがないのはなぜですか ? VMware は、VM-Series ファイアウォールを含む各仮想マシンに一意の UUID を割り当てます。そ のため、VM-Series ファイアウォールをコピーすると、新しい UUID がそのコピーに割り当てら れます。VM-Series ファイアウォールの各インスタンスのシリアル番号とライセンスは UUID に 関連付けられているため、ライセンスされた VM-Series ファイアウォールをコピーすると、新し いファイアウォールのライセンスは無効になります。新しくデプロイされたファイアウォールの ライセンスをアクティベーションするには、新しい認証コードが必要です。VM-Series ファイア ウォールで完全な機能、サポート、およびソフトウェア アップグレードを使用できるようにす るには、キャパシティ認証コードおよび新しいサポート ライセンスを適用する必要があります。 VM-Series ファイアウォールを移動するとライセンスは無効になりますか ? VM-Series ファイアウォールをホスト間で手動で移動する場合は、オプション This guest was moved [ このゲストは移動しました ] を選択してライセンスが無効化されないようにしてください。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 49 ESXi のデプロイメントのトラブルシューティング ESXi サーバーでの VM-Series Firewall のセットアップ 接続の問題 VM-Series ファイアウォールがネットワーク トラフィックを受信しないのはなぜですか ? VM-Series ファイアウォールで、トラフィック ログ( [Monitor] > [ ログ ])を確認します。ログが空 の場合、以下の CLI コマンドを使用して、VM-Series ファイアウォールのインターフェイスにパ ケットを表示します。 show counter global filter delta yes Global counters: Elapsed time since last sampling:594.544 seconds -------------------------------------------------------------------------------Total counters shown:0 -------------------------------------------------------------------------------- vSphere 環境では、以下の問題を確認します。 ポート グループを確認し、ファイアウォールと仮想マシンが正しいポート グループにあるこ とを確認する インターフェイスが正しくマッピングされていることを確認します。 Network adapter 1 = management Network adapter 2= Ethernet1/1 Network adapter 3 = Ethernet1/2 各仮想マシンの設定で、インターフェイスが正しいポート グループにマッピングされている ことを確認します。 各ポートグループまたはスイッチ全体で、無差別モードが有効になっているか、ファイア ウォールがハイパーバイザによって割り当てられたMACアドレスを使用可能にするしている ことを確認します。 データプレーンの PAN-OS MAC アドレスは vSphere で割り当てられる VMNIC MAC アドレス とは異なるため、ハイパーバイザによって割り当てられた MAC アドレスの使用が有効化され ていない場合、ポートグループ(または vSwitch 全体)が無差別ポートである必要があります。 – vSphere で VLAN 設定を確認する vSphere ポートグループの VLAN 設定には 2 つの意味があります。どのポートグループが Layer 2 ドメインを共有するか、そしてアップリンクポートにタグ付け(802.1Q)がされ るか否かを決定します。 – 物理スイッチのポート設定を確認する アップリンク ポートを含むポート グループで VLAN ID が指定されている場合、vSphere は 802.1Q を使用してアウトバウンド フレームにタグを付けます。タグは物理スイッチの 設定と一致する必要があります。一致しない場合、トラフィックは通過しません。 分散仮想スイッチ(vDS)を使用している場合、ポート統計を確認します。標準スイッチ ではポート統計は提供されていません。 50 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks vCloud Air における VM-Series ファイ アウォールのセットアップ VM-Series ファイアウォールは vCloud Air ポータルを使用し、vCloud Air 内の仮想データセンター (vDC) vCloud Air における VM-Series ファイアウォールについて vCloud Air でサポートされる導入環境 vCloud Air に VM-Series ファイアウォールを導入する Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 51 vCloud Air における VM-Series ファイアウォールについてvCloud Air における VM-Series ファイアウォールのセット vCloud Air における VM-Series ファイアウォールについて vCloud Director ポータル内の vCloud Air ポータルを利用するか、vCloud Air API を使用して、 VM-Series ファイアウォールを vCloud Air 内の仮想データセンター(vDC)に導入することができ ます。また、既存の Panorama を使用するか、新規の Panorama をオンプレミスまたは vCloud Air 上に導入することで、全ての物理的ファイアウォールと VM-Series ファイアウォールを中央管理 することができます。 vCloud Air 上に VM-Series ファイアウォールを導入する際は以下が必要になります。 Palo Alto Networks サポートポータルで入手できるソフトウェアイメージ(.ova)の ESXi バー ジョン。現在、vCloud Air Marketplace からは入手できません。 VM-Series ファイアウォールを効果的に導入するため、vApp 内にファイアウォールのソフト ウェアイメージを入れておいてください。vApp とは、単一のオブジェクトとして管理される、 事前に設定済みのバーチャルアプライアンス(仮想マシンやオペレーティングシステムイ メージ)を入れておくための容器です。例えば、vApp に多層型アプリケーションや VM-Series ファイアウォールが含まれている場合、vApp を展開するたびに、vApp と共に展開される VM-Series ファイアウォールが Web サーバーとデータベースサーバーを自動的に保護します。 パートナー、販売代理店、あるいは Palo Alto Networks から直接購入した Bring Your Own License (BYOL)モデルのライセンスやサブスクリプション(vCloud Air の VM-Series では、従量制ラ イセンスはお求めいただけません)。 vCloud Airのセキュリティ制約上の理由から、 vCloud AirにおけるVM-Seriesファイアウォールは Layer3 インターフェースとともに導入することをお勧めします。この場合、インターフェー スにおいてハイパーバイザから割り当てられたMACアドレスを使用できるように設定する必 要があります。ハイパーバイザから割り当てられた MAC アドレスを有効化していない場合、 vCloud Air の vSwitch はを無差別モードや MAC に偽装されたデータ送信をサポートしていない ため、VMware vSwitch は VM-Series ファイアウォールのデータプレーンインターフェイスへト ラフィックを転送することが出来ません。VM-Series ファイアウォールは、タップインター フェイス、レイヤー 2 インターフェイス、またはバーチャルワイヤーインターフェイスを使 用して導入することはできません。 vCloud Air の VM-Series ファイアウォールはアクティブ / パッシブの高可用性環境下に導入する ことができます。但し、vCloud Air の VM-Series ファイアウォールは、vCloud Air 上でホストされ ている仮想マシンに対する VM モニタリングの機能をサポートしていません。 vCloud Air について詳しく知りたい場合は、vCloud Air のマニュアルを参照してください。 52 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks vCloud Air における VM-Series ファイアウォールのセットアップ vCloud Air でサポートされる導入環境 vCloud Air でサポートされる導入環境 アプリケーションを安全に使用し、既知と未知の両方の脅威をブロックし、また、あなたの環境 の変化への対応を素早く行うためにも、Layer3 インターフェイスを持つ vCloud Air へ、以下のよ うな用途で VM-Series ファイアウォールを導入することができます。 仮想データセンターの境界を保護する — VM-Seriesファイアウォールを、vCloud Airの隔離ネッ トワークと経路指定されたネットワークを接続する仮想マシンとして導入します。この導入 例では、ファイアウォールが vCloud Air のインフラストラクチャを縦断する全てのトラフィッ クを保護します。 ハイブリッドクラウドを構築する — あなたのデータセンターとプライベートクラウドを vCloud Air に拡張し、企業ネットワークとデータセンター間の通信に VPN 接続を使用することができま す。この導入例において VM-Series ファイアウォールは、トラフィックの暗号化とクラウドへア クセスするユーザーを保護する際に IPSec を使用します。 vDC のアプリケーションサブネット間のトラフィックを保護する — アプリケーションを階 層化することでネットワークをセグメント化し、トラフィックを隔離させ、更に VM-Series ファイアウォールを導入することでサブネットとアプリケーション階層の間の水平方向の攻 撃を防ぎ、セキュリティを向上させることができます。 以下の図は、3 つの導入例と Panorama を全て含んだものです。Panorama は、ポリシー更新の合 理化、ポリシーの中央管理、そしてログの記録とレポートの一元化を可能にします。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 53 vCloud Air に VM-Series ファイアウォールを導入するvCloud Air における VM-Series ファイアウォールのセットアッ vCloud Air に VM-Series ファイアウォールを導入する このセクションに記載されている手順に従い、オンデマンドあるいは専用 vDC を vCloud Air に VM-Series ファイアウォールを導入してください。ここでは、vDC へのトラフィックの出入りに 必要なゲートウェイ及び管理トラフィックのルーティングと vDC を通すデータトラフィックに 必要なネットワークの設定を含め、vDC の設定が完了していることを前提にしています。 vCloud Air に VM-Series ファイアウォールを導入する https://paloaltonetworks.com/support へアクセスします。 PAN-OS for VM-Series Base Images で絞り込みを行い、 ova をダウンロードします。例 : PA-VM-ESX-7.0.1.ova Step 1 Palo Alto Networks サポートポータル 1. から VM-Series の ova ファイルを入手 2. してください(vCloud Air Marketplace からは現在入手することができま せん)。 Step 2 ova から ovf を抽出し、ovf を vCloud ova から ovf を抽出する手順については以下リンク先の Air カタログへインポートします。 VMware マニュアルを参照してください。 http://www.vmware.com/go/ovf_guide#sthash.WUp55ZyE. ova から抽出を行う際は、全てのファ dpuf イル(.mf、.ovf、.vmdk)を同じディ レクトリ内に入れておいてくださ ovf のインポートを行う際、VM-Series ファイアウォールの ソフトウェアイメージは My Organization’s Catalogs 内にあり い。 ます。 Step 3 ワークフローを選択してください。 • VM-Series ファイアウォールを含む新規の vDC と vApp を作成する場合は、Step 4 へ進んでください。 vApp とは、仮想マシンやオペレー • vDC を導入済かつ vApp を所持しており、VM-Series ファ ティングシステムのイメージを含 イアウォールを vApp セキュアトラフィックに追加した む、事前に設定済みのバーチャルア い場合は、Step 5 へ進んでください。 プライアンス用のテンプレートを 集めたものです。 54 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks vCloud Air における VM-Series ファイアウォールのセットアップvCloud Air に VM-Series ファイアウォールを導入す vCloud Air に VM-Series ファイアウォールを導入する(続) Step 4 VM-Series ファイアウォールを含む 1. vDC と vApp を設定します。 2. 3. 4. 5. vCloud Air にログインします。 VPC OnDemand [VPC オンデマンド ] を選択し、VM-Series ファイアウォールを導入するロケーションを選択して ください。 Virtual Data Centers [ 仮想データセンター ] を選択し、+ をク リックして新規の仮想データセンターを追加します。 vDC を右クリックして、Manage Catalogs in vCloud Director [vCloud Director のカタログを管理する ] を選択し ます。vCloud Director ウェブインターフェースへリダイ レクトされます。 VM-Series ファイアウォールを含め、1 つ以上の仮想マ シンを持つ新規の vApp 作成方法 a. My Cloud > vApps [ マイクラウド > vApps] を選択し、 Build New vApp [ 新規 vApp の作成 ] をクリックします。 b. Name and Location [ 名前とロケーション ] を選択し、次 に vApp を稼動させる Virtual Datacenter [ 仮想データセ ンター ] を選択します。初期設定ではランタイムとス トレージの Leases [ リース ] は無期限で有効となって おり、vApp が自動停止されることはありません。 c. Add Virtual Machines [ 仮想マシンの追加 ] Look in: [ 次を 参照する:] のドロップダウンから VM-Series ファイア ウ ォ ー ル の イ メ ー ジ を 追 加 す る 場 合 は、My Organization’s Catalog [ 組織のカタログ ] からイメージ を選択し、Add [ 追加 ] をクリックします。Next [ 次へ ] をクリックします。 d. Resources [ リソース ] の構成を編集し、仮想マシンが 配置された際のストレージポリシーを設定します。 VM-Series ファイアウォールは Standard [ 標準 ] オプ ションを使用します。 e. Virtual Machines [ 仮想マシン ] の設定各仮想マシンに 名前を付け、それぞれを接続したいネットワークを 選択してください。デフォルトルートのネットワー クには NIC 0 (管理アクセス用)を接続する必要が あります(NIC 1 はデータトラフィック用)。後で他 の NIC を追加することも可能です。 f. 設定を確認し、Finish [ 終了 ] をクリックします。 g. Step 6 に進みます。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 55 vCloud Air に VM-Series ファイアウォールを導入するvCloud Air における VM-Series ファイアウォールのセットアッ vCloud Air に VM-Series ファイアウォールを導入する(続) Step 5 VM-Series ファイアウォールを vApp 1. に追加する。 2. 3. 4. vCloud Air にログインします。 左のペインから既存の Virtual Data Center [ 仮想データセ ンター ] を 右 ク リ ッ ク し、Manage Catalogs in vCloud Director [vCloud Director のカタログを管理する ] を選択し ます。vCloud Director ウェブインターフェースへリダイ レクトされます。 My Cloud > vApps [ マイクラウド > vApps] を選択し、 VM-Series ファイアウォールを組み込みたい vApp の Name [ 名前 ] をクリックします。 名前をダブルクリックしてvAppを開き、 Virtual Machines [ 仮想マシン ] を選択し、 をクリックして仮想マシン を追加します。 a. Look in: [ 次を参照する:] のドロップダウンから、My Organization’s Catalog [ 組織のカタログ ] から VM-Series ファイアウォールのイメージを選択し、Add [追加] を クリックします。Next [ 次へ ] をクリックします。 b. Next [ 次へ ] をクリックして Configure Resources [ リ ソースの設定 ] をスキップします。VM-Series ファイア ウォールは Standard [ 標準 ] 設定を使用するため、ス トレージポリシーを変更する必要はありません。 c. ファイアウォールの Name[ 名前 ] を入力し、管理ア クセス(NIC 0)用にデフォルトルートのネットワー クおよび IP Mode [IP モード ] (スタティックもしく は DHCP)を選択します。Step 6 で NIC 1 の設定と NIC の追加を行うことができます。Next [ 次へ ] をク リックします。 d. この vApp に含まれる仮想マシンが使用するゲート ウェイアドレスやネットワークマスクなど、vApp の vDC への接続方法を確認します。 e. VM-Series ファイアウォールを追加済みであることを 確認し Finish [ 終了 ] をクリックします。 f. Step 6 に進みます。 56 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks vCloud Air における VM-Series ファイアウォールのセットアップvCloud Air に VM-Series ファイアウォールを導入す vCloud Air に VM-Series ファイアウォールを導入する(続) Step 6 お客様の導入環境に従い、VM-Series 1. ファイアウォールのデータイン ターフェイスを隔離または経路指 定されたネットワークに接続しま 2. す。 3. 4. vCloud Director から My Cloud > vApps [ マイクラウド > vApps] を開き、先ほど作成あるいは編集を行った vApp を選択します。 Virtual Machines [ 仮想マシン ] を選択し、VM-Series ファ イアウォールを選びます。右クリックして Properties [ プロパティ ] を選択します。 Hardware [ ハードウェア ] を選択し、NIC のセクション へスクロールして NIC 1 を選びます。 VM-Series ファイアウォールに向けたデータトラフィッ クの接続ニーズに合わせ、データプレーンネットワー クインターフェイスをvAppネットワークまたは組織の VDC ネットワークへ追加します。以下の手順を実行し、 新しいネットワークを作成します。 a. ネットワークのドロップダウンから Add Network [ ネットワーク追加 ] を選択します。 b. Network Type [ ネットワークタイプ ] を選択して名前を 付け、OK をクリックします。 c. インターフェイスに新しいネットワークが適用され ていることを確認します。 5. 6. ファイアウォールへ複数の NIC を追加する場合は、Add [ 追加 ] をクリックし、上記の手順 4 を繰り返します。 VM-Series ファイアウォールには、最大で 7 つのデータ プレーンインターフェイスを追加することができま す。 VM-Series ファイアウォールの管理インターフェイスが vDC のデフォルトルートサブネットに追加され、最低 でも 1 つのデータプレーンインターフェイスが経路指 定されたネットワークまたは隔離ネットワークに接続 されていることを確認してください。 a. My Cloud > vApps [ マイクラウド > vApps] を開き、先ほ ど編集をおこなった vApp の Name [ 名前 ] をダブル クリックします。 b. vApp Diagram [vApp ダイアグラム ] からネットワーク 接続性を確認します。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 57 vCloud Air に VM-Series ファイアウォールを導入するvCloud Air における VM-Series ファイアウォールのセットアッ vCloud Air に VM-Series ファイアウォールを導入する(続) Step 7 (任意)VM-Series に割り当てられた 1. ハードウェアリソースを編集しま す。 My Cloud > vApps [ マイクラウド > vApps] を開き、先ほど 追加したvAppの Name [名前] をダブルクリックします。 ファイアウォールに追加のCPUメモ リやハードディスクを割り当てる 必要がある場合のみこの手順を 行ってください。 2. Virtual Machine [ 仮想マシン ] を選択し、VM-Series ファ イアウォールの Name [ 名前 ] をクリックして仮想マシ ンのプロパティを開きます。 3. VM-Series ファイアウォールに Hardware [ ハードウェア ] リソースを追加します。 • CPU:2、4 または 8 • メモリ :4 GB、VM-1000-HV ライセンスの場合は 5GB • ハードディスク :40GB から 2TB • NIC: 管理用に 1 つ、最大 7 つのデータプレーン Step 8 VM-Series ファイアウォールをパワー オンします。 Step 9 VM-Series ファイアウォール管理イ ESXi 上の VM-Series の初期設定の実行。 ンターフェイス用のIPアドレスを設 定します。 58 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks vCloud Air における VM-Series ファイアウォールのセットアップvCloud Air に VM-Series ファイアウォールを導入す vCloud Air に VM-Series ファイアウォールを導入する(続) Step 10 VM-Series ファイアウォールのイン 1. ターネット接続を有効化するため、 vCloud Air エ ッ ジ ゲ ー ト ウ ェ イ の NAT ルールを定義します。 2. 3. Step 11 Virtual Data Centers > Gateways [ 仮想データセンター > ゲー トウェイ ] を開き、ゲートウェイをダブルクリックして NAT Rules [NAT ルール ] を追加します。 DNAT ルールを 2 つ作成します。一方は SSH アクセス 用、もう一方は VM-Series ファイアウォールの管理ポー ト用 IP アドレスへの HTTPS アクセス用です。 VM-Series ファイアウォールの管理ポートからへ向けた 全てのトラフィックに対し、内部ソース IP アドレスを 外部IPアドレスに変換するSNATルールを作成します。 ファイアウォールのデータプレーンインター フェイスからトラフィックの送受信を行う場合 は、 vCloud Airエッジゲートウェイで追加のDNAT および SNAT ルールを作成する必要があります。 ファイアウォールの Web インター この例におけるウェブインターフェイスの URL は フェイスにログインします。 https://107.189.85.254 です。 エッジゲートウェイの NAT ルールは、外部 IP アドレスお よびポート 107.189.85.254:443 を、それぞれプライベート IP アドレスとポート 10.0.0.102:443 に変換します。 Step 12 認 証 コ ー ド を 追 加 し、フ ァ イ ア ライセンスのアクティベーション。 ウォールのライセンスを有効化し ます。 Step 13 ハイパーバイザによって割り当て ハイパーバイザによって割り当てられた MAC アドレスを られた MAC アドレスを使用するた 使用可能にする め、VM-Series ファイアウォールの設 定を行います。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 59 vCloud Air に VM-Series ファイアウォールを導入するvCloud Air における VM-Series ファイアウォールのセットアッ vCloud Air に VM-Series ファイアウォールを導入する(続) Step 14 データプレーンインターフェイス 1. をレイヤー 3 インターフェイスとし て設定します。 2. Network > Interfaces > Ethernet [ ネットワーク > インスタン ス > イーサネット ] の順に選択します。 ethernet 1/1 [ イーサネット 1/1] のリンクをクリックし、 以下のように設定します。 • Interface Type [ インターフェイス タイプ ] :Layer3 • Config [ 設定 ] タブを選択し、インターフェイスをデ フォルト ルーターに割り当てます。 • Config [ 設定 ] タブで、Security Zone [ セキュリティゾー ン ] のドロップダウンリストから New Zone [ 新規ゾー 「untrust」など)を ン ] を選択します。新しいゾーン( 定義し、OK をクリックします。 • IPv4 を選択し、スタティック IP アドレスを割り当て ます。 • Advanced > Other Info [ 詳細 > その他の情報 ] の順に選択 し、Management Profile [ 管理プロファイル ] ドロップ ダウンリストを展開して、New Management Profile [ 新規管理プロファイル ] を選択します。 • プロファイルの Name [ 名前 ] (「allow_ping」など) を入力し、Permitted Services [ 許可されたサービス ] の リストから Ping を選択して、OK をクリックします。 • インターフェイス設定を保存するには、OK をクリッ クします。 3. 4. 60 • VM-Series 7.0 デプロイメントガイド インターフェイスを追加する場合は、この操作を繰り 返します。 Commit [ コミット ] をクリックして変更を保存します。 Palo Alto Networks Citrix SDX サーバーに VM-Series Firewall を設定する 二酸化炭素排出量を削減し、主要な機能を 1 つのサーバーに統合するために、VM-Series ファイ アウォールの 1 つ以上のインスタンスを Citrix SDX サーバーにデプロイできます。VM-Series ファ イアウォールを NetScaler VPX と連携させてデプロイすることで、アプリケーションの安全な配 信、ネットワーク セキュリティ、可用性、性能、および可視性を実現できます。 SDX サーバー上の VM-Series ファイアウォールについて システム要件と制限事項 サポートされるデプロイメント — Citrix SDX の VM Series ファイアウォール SDX サーバーへの VM-Series Firewall のインストール VM-Series ファイアウォールでの North-South トラフィックの保護 VM-Series ファイアウォールでの East-West トラフィックの保護 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 61 SDX サーバー上の VM-Series ファイアウォールについて Citrix SDX サーバーに VM-Series Firewall を設定する SDX サーバー上の VM-Series ファイアウォールについて ネットワークの East-West トラフィックや North-South トラフィックの安全性のため、1 つ以上の VM-Series ファイアウォールのインスタンスをデプロイすることができます。バーチャル ワイ ヤー インターフェイス、レイヤー 2 インターフェイス、およびレイヤー 3 インターフェイスを サポートしています。ファイアウォールをデプロイするには、「SDX サーバーへの VM-Series Firewall のインストール」を参照してください。 デプロイされた VM-Series ファイアウォールは、必要に応じて SDX サーバー上にデプロイされる仮 想 NetScaler アプライアンスである NetScaler VPX と連動します。NetScaler VPX は、負荷分散およびト ラフィック管理機能を提供し、サーバーへの効率的なアクセスを促進するために通常はサーバー ファームの前方にデプロイされます。NetScaler の機能の詳細な概要は、http:www.citrix.com/netscaler を 参照してください。VM-Series ファイアウォールが NetScaler VPX と連携する場合、補完機能により、 トラフィック管理、負荷分散、アプリケーションまたはネットワークのセキュリティ ニーズが強化 されます。 このドキュメントでは、NetScaler VPX のネットワークや設定に詳しい読者を想定しています。こ のセクションで使用する用語の背景を理解するために、このドキュメントで言及される NetScaler の IP アドレスについて簡単に説明します。 NetScaler IP アドレス(NSIP): NSIP は、管理および NetScaler 自体のへの全般的なシステム ア クセス、および HA 通信用に使用される IP アドレスです。 マッピングされた IP アドレス(MIP):MIP は、サーバー側コネクションに使用されます。 NetScaler の IP アドレスではありません。ほとんどの場合、NetScaler はパケットを受信すると 送信元 IP アドレスを MIP に置き換えてからサーバーにパケットを送信します。クライアント からサーバーが集約されることで、NetScaler はコネクションをより効率的に管理できます。 仮想サーバー IP アドレス(VIP):VIP は、Vserver に関連付けられた IP アドレスです。また、 クライアントが接続するパブリック IP アドレスです。幅広いトラフィックを管理している NetScaler には、多くの VIP が設定されている可能性があります。 サブネット IP アドレス(SNIP):NetScaler が複数のサブネットに属している場合、SNIP はそ れらのサブネットにアクセスを提供する MIP として設定することができます。SNIP は、特定 の VLAN およびインターフェイスにバインドされている場合があります。 VM-Series ファイアウォールと NetScaler VPX を一緒にデプロイする例については、「サポートさ れるデプロイメント — Citrix SDX の VM Series ファイアウォール」を参照してください。 62 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks Citrix SDX サーバーに VM-Series Firewall を設定する システム要件と制限事項 システム要件と制限事項 このセクションには、Citrix SDX サーバー上の VM-Series ファイアウォールについての要件およ び制限事項を記載します。 要件 制限事項 要件 Citrix SDX サーバーには、複数の VM-Series ファイアウォールのインスタンスをデプロイするこ とができます。ファイアウォールの各インスタンスには、SDX サーバー上に最小リソースの割 り当て(CPU 数、メモリおよびディスク スペース)が必要であるため、最適なパフォーマンス を確保するには、以下の仕様に準拠してください。 要件 詳細 SDX プラットフォーム • 11500、11515、11520、11530、11540、11542 • 13500、14500、16500、18500、20500 • 22040、22060、22080、22100、22120 • 24100、24150 • 17550、19550、20550、21550 SDX バージョン 10.1+ 10.1 はサポートされません。10.1. より新しいソフトウェア バージョンが必要です。 Citrix XenServer バージョン 6.0.2 以降 • 最小システム リソース VM-Series ファイアウォールで必要に なる可能性のあるデータ インター フェイスの総数を計画し、割り当てま す。これは、初期デプロイメントでの 非常に重要なタスクです。初期デプロ • イメントの後で VM-Series ファイア ウォールにインターフェイスを追加 または削除すると、VM-Series ファイ アウォール上のデータ インターフェ イス(Eth 1/1 および Eth 1/2)が SDX サーバー上のアダプタにリマッピン グすることがあるためです。各データ インターフェイスは、最小数値でアダ • プタに連続してマッピングするため、 このリマッピングがファイアウォー ル上の設定のミスマッチの原因になる可能 • 性があります。 Palo Alto Networks VM-Series firewall あたり 2 つの vCPU。1 つを管理プレーン で使用し、もう 1 つをデータプレーンで使用します。 vCPU は、次のような組み合わせで追加できます。2、4、 または 8 個の vCPU。追加の vCPU はデータプレーンに割 り当てられます。 ネットワーク インターフェイス : 1 つは管理トラフィック 専用、もう 1 つはデータ トラフィック用です。管理トラ フィックについては、0/x インターフェイスを管理プレー ンで使用し、10/x インターフェイスをデータプレーンで 使用できます。ネットワーク トポロジでのニーズに応じ て、データ トラフィック用のネットワーク インターフェ イスを割り当てます。 4 GB のメモリ(VM-1000-HV は 5 GB) 。追加のメモリを割 り当てる場合は、管理プレーンによってのみ使用されま す。 40 GB の仮想ディスク領域。Citrix SDX サーバーへ 40 GB から 60 GB のディスク領域を追加できます。追加ディス ク領域はロギング目的でのみ使用されます。 VM-Series 7.0 デプロイメントガイド • 63 システム要件と制限事項 Citrix SDX サーバーに VM-Series Firewall を設定する 制限事項 Citrix SDX サーバーにデプロイされた VM-Series firewall には以下の制限事項があります。 最大 24 ポートを設定可能です。1 つのポートは管理トラフィック用として使用され、残りの 23 ポートまではデータ トラフィック用として使用されます。 リンクアグリゲーションはサポートされません。 サポートされるデプロイメントは、「サポートされるデプロイメント — Citrix SDX の VM Series ファイアウォール」を参照してください。 ファイアウォールをデプロイするには、 「SDX サーバーへの VM-Series Firewall のインストール」 を参照してください。 64 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks Citrix SDX サーバーに VM-Series Firewall を設定するサポートされるデプロイメント — Citrix SDX の VM Series ファ サポートされるデプロイメント — Citrix SDX の VM Series ファイアウォール 以下のシナリオでは、VM-Series ファイアウォールでネットワーク上のサーバーを宛先とするト ラフィックを保護します。トラフィックが NetScaler VPX に到達する前後に、NetScaler VPX と連 携してトラフィックを管理します。 シナリオ 1 — North-South トラフィックの保護 シナリオ 2 — East-West トラフィックの保護(Citrix SDX の VM-Series ファイアウォール) シナリオ 1 — North-South トラフィックの保護 SDX サーバーの VM-Series ファイアウォールを使用して North-South トラフィックを保護するに は、以下のオプションがあります。 NetScaler VPX と サーバーの間の VM-Series ファイアウォール NetScaler VPX の前に配置された VM-Series ファイアウォール Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 65 サポートされるデプロイメント — Citrix SDX の VM Series ファイアウォール Citrix SDX サーバーに VM-Series NetScaler VPX と サーバーの間の VM-Series ファイアウォール 境界ファイアウォールは、ネットワークが受信するすべてのトラフィックを制御します。ネット ワークへの流入が許可されたすべてのトラフィックは、要求がサーバーに転送される前に、 NetScaler VPX を経由して VM-Series ファイアウォールを通過します。 このシナリオでは、VM-Series ファイアウォールは North-South トラフィックを保護し、バーチャ ル ワイヤー、L2、または L3 インターフェイスを使用してデプロイできます。 L3 インターフェイスを使用した VM-Series ファイアウォール L2 またはバーチャル ワイヤー インターフェイスを使用した VM-Series ファイアウォール L3 インターフェイスを使用した VM-Series ファイアウォール L3 インターフェイスでファイアウォールをデプロイすることで、新しいサーバーと新しいサ ブネットをデプロイするときにより簡単にスケーリングできます。新しい各サブネットへの トラフィックを管理するためにファイアウォールの複数のインスタンスをデプロイしてか ら、必要に応じて高可用性ペアとしてファイアウォールを設定できます。 L3 インターフェイスでは、サーバーに到達するための SNIP は NetScaler VPX から削除されて VM-Series ファイアウォールで設定されるため、SDX サーバー / ネットワーク設定への変更は 最小限で済みます。このアプローチでは、VM-Series ファイアウォールでデータ インターフェ イスのみが使用されるため、定義できるのは 1 つのゾーンのみです。このため、ポリシー ルー ルを定義するときに、セキュリティ ルールを適用する送信元および宛先 IP アドレス / サブ ネットを指定する必要があります。詳細は、L3 インターフェイスを使用した VM-Series ファ イアウォールのデプロイを参照してください。 66 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks Citrix SDX サーバーに VM-Series Firewall を設定するサポートされるデプロイメント — Citrix SDX の VM Series ファ L3 インターフェイスを使用して VM-Series ファイアウォールを追加した後のトポロジ こ の例 で は、ク ラ イア ン トが 接 続す る パブ リ ック IP アド レ ス(NetScaler VPX の VIP)は 192.168.1.10 です。サブネット 192.168.2.x のサーバーへのアクセスを許可するには、VPX の設定 でサブネット(SNIP)192.168.1.1 と 192.168.2.1 を参照します。ネットワーク設定とデフォルト ルートに基づき、サーバーのルーティングの変更が必要な可能性があります。 VM-Series ファイアウォールをセットアップするときに、データ インターフェイス(eth1/1 など) を追加し、そのインターフェイスに 2 つの IP アドレスを割り当てる必要があります。1 つの IP アドレスは VIP と同じサブネットにし、もう 1 つの IP アドレスはサーバーと同じサブネットに する必要があります。この例では、データ インターフェイスに割り当てられた IP アドレスは 192.168.1.2 と 192.168.2.1 です。VM-Series ファイアウォールでは 1 つのデータ インターフェイス のみが使用されるため、すべてのトラフィックは 1 つのゾーンに属し、すべてのゾーン内トラ フィックがポリシーで暗黙的に許可されます。このため、ポリシー ルールを定義するときに、セ キュリティ ルールを適用する送信元および宛先 IP アドレス / サブネットを指定する必要があり ます。 VM-Series ファイアウォールを SDX サーバーに追加した後も、クライアントが継続して接続する IP アドレスは NetScaler VPX の VIP(192.168.1.10)です。ただし、すべてのトラフィックがファ イアウォールを介してルーティングされるには、NetScaler VPX でサブネット 192.168.2.x へのルー トを定義する必要があります。この例では、サーバーにアクセスするには、VM-Series ファイア ウォールのデータ インターフェイスに割り当てられた IP アドレス 192.168.1.2 がこのルートで参 照されている必要があります。これで、サーバーを宛先とするすべてのトラフィックは NetScaler VPX からファイアウォールにルーティングされてから、サーバーにルーティングされます。戻 りのトラフィックは VM-Series のインターフェイス 192.168.2.1 を使用し、そのネクスト ホップと して SNIP 192.168.1.1 を使用します。 セキュリティに対応するため USIP(クライアント送信元 IP の使用)が NetScaler VPX で有効 になっている場合、VM-Series ファイアウォールに SNIP(この例では 192.168.1.1)を指し示 すデフォルト ルートが必要です。デフォルトの NAT(マッピング済み /SNIP)IP アドレスが 使用されている場合、VM-Series ファイアウォールにデフォルト ルートを定義する必要があり ます。 手順は、「L3 インターフェイスを使用した VM-Series ファイアウォールのデプロイ」を参照して ください。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 67 サポートされるデプロイメント — Citrix SDX の VM Series ファイアウォール Citrix SDX サーバーに VM-Series L2 またはバーチャル ワイヤー インターフェイスを使用した VM-Series ファイアウォール L2 インターフェイスまたはバーチャル ワイヤー インターフェイスを使用した VM-Series ファ イアウォールのデプロイでは、NetScaler VPX を再設定し、サーバーへの直接接続を削除する 必要があります。次に、VM-Series ファイアウォールをケーブル接続して透過的にインターセ プトするように設定し、サーバーを宛先とするトラフィックのポリシーを適用します。この アプローチでは、ファイアウォールで 2 つのデータ インターフェイスが作成され、各インター フェイスは個別のゾーンに属します。セキュリティ ポリシーは、送信元ゾーンと宛先ゾーン 間のトラフィックを許可するように定義されます。詳細は、レイヤー 2 インターフェイス (L2)またはバーチャル ワイヤー インターフェイスを使用して VM-Series ファイアウォールを デプロイするを参照してください。 L2 またはバーチャル ワイヤー インターフェイスを使用して VM-Series ファイアウォールを追加した後のトポロジ NetScaler VPX の前に配置された VM-Series ファイアウォール このシナリオでは、L3、L2、またはバーチャル ワイヤー インターフェイスを使用してデプロイ できる VM-Series ファイアウォールを境界ファイアウォールの代わりに置きます。ネットワーク 上のすべてのトラフィックは、要求が NetScaler VPX に到達する前に、VM-Series ファイアウォー ルで保護されてからサーバーに転送されます。詳細は、 「VM-Series ファイアウォールを NetScaler 68 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks Citrix SDX サーバーに VM-Series Firewall を設定するサポートされるデプロイメント — Citrix SDX の VM Series ファ VPX の前にデプロイする」を参照してください。 シナリオ 2 — East-West トラフィックの保護(Citrix SDX の VM-Series ファイアウォール) VM-Series ファイアウォールは、ネットワーク上の異なるサーバー セグメントでサービスを提供 するか、SSL トンネルの終端点として動作する、2 つの NetScaler VPX システムとともにデプロイ されます。このシナリオでは、境界ファイアウォールが受信トラフィックを保護します。次に、 DMZ サーバーを宛先とするトラフィックが、要求を負荷分散する NetScaler VPX に転送されま す。内部ネットワークにセキュリティの追加レイヤーを適用するため、DMZ と企業ネットワー ク間のすべての East-West トラフィックは VM-Series ファイアウォールを介してルーティングさ れます。ファイアウォールはネットワーク セキュリティを適用し、そのトラフィックのアクセ スを検証できます。詳細は、VM-Series ファイアウォールでの East-West トラフィックの保護を参 照してください。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 69 SDX サーバーへの VM-Series Firewall のインストール Citrix SDX サーバーに VM-Series Firewall を設定する SDX サーバーへの VM-Series Firewall のインストール SDX サーバーでの VM-Series ファイアウォールのインストールに必要な .xva のベースイメージを 取得するには、サポート アカウントと有効な VM-Series ライセンスが必要です。サポート アカ ウントを使用して、受注完了電子メールで受け取ったキャパシティ認証コードをまだ登録してい ない場合は、 「VM-Series ファイアウォールの登録」を参照してください。登録が完了したら、以 下のタスクに進みます。 SDX サーバーへのイメージのアップロード SDX サーバーでの VM-Series ファイアウォールのプロビジョニング SDX サーバーへのイメージのアップロード VM-Series ファイアウォールをプロビジョニングするには、.xva イメージ ファイルを取得して SDX サーバーにアップロードする必要があります。 SDX サーバーへの XVA イメージのアップロード Step 1 Step 2 ローカル コンピュータに Base 1. Imange.zip ファイルをダウンロード し、解凍します。 2. https://support.paloaltonetworks.com/ に移動し、 VM-Series Citrix SDX Base Image.zip ファイルをダウンロードしま ローカル コンピュータから Citrix 1. SDX サーバーにイメージをアップ ロードします。 2. Web ブラウザを起動し、SDX サーバーにログインしま す。 す。 基本イメージ zip ファイルを解凍し、.xva ファイル を抽出します。 この .xva ファイルは、VM-Series ファイアウォールのイ ンストールに必要です。 Configuration > Palo Alto VM-Series > Software Images [ 構 成 > Palo Alto VM-Series > ソフトウェアイメージ ] の順に選 択します。 3. 4. 5. 70 • VM-Series 7.0 デプロイメントガイド Action [ アクション ] ドロップダウンから Upload... [ アッ プロード ] を選択し、Browse [ ブラウズ ] をクリックして 保存した .xva イメージ ファイルの場所を指定します。 イメージを選択して Open [ 開く ] をクリックします。 Upload [ アップロード ] をクリックしてイメージを SDX サーバーにアップロードします。 Palo Alto Networks Citrix SDX サーバーに VM-Series Firewall を設定する SDX サーバーへの VM-Series Firewall のインストール SDX サーバーでの VM-Series ファイアウォールのプロビジョニング SDX サーバーでの VM-Series ファイアウォールのプロビジョニング Step 1 SDX サーバーにアクセスします。 Web ブラウザを起動し、SDX サーバーに接続します。 Step 2 VM-Series ファイアウォールを作成 1. します。 2. 3. 4. 5. 初 期 デ プ ロ イ メ ン ト 時 に、 VM-Series フ ァ イ ア ウ ォ ー ル で必要なデータ インター フェイスの合計数を割り当て 6. ます。初期デプロイメント後 に VM-Series ファイアウォー ルのインターフェイスを追加 または削除すると、VM-Series ファイアウォールのデータ インターフェイス(Eth 1/1 お よび Eth 1/2)が SDX サーバー のアダプタに再マッピングさ れます。各デ ータ インタ ー フェイスは最小の数値でアダ プタに順次マッピングされる ため、ファイアウォールで設 定の不一致が発生します。 7. Configuration > Palo Alto VM-Series > Instances [ 構成 > Palo Alto VM-Series > インスタンス ] の順に選択します。 Add[ 追加 ] をクリックします。 VM-Series ファイアウォールの名前を入力します。 前の手順でアップロードした .xva イメージを選択しま す。このイメージはファイアウォールのプロビジョニ ングに必要です。 VM-Series ファイアウォールのメモリ、追加ディスク領 域、および仮想 CPU を割り当てます。リソース割り当 ての推奨事項を確認するには、 「要件」を参照してくだ さい。 ネットワーク インターフェイスを選択します。 • 管理インターフェイス 0/1 または 0/2 を使用して、IP アドレス、ネットマスク、およびゲートウェイ IP ア ドレスを割り当てます。 必要に 応じて、ファイア ウォール の管理に SDX サーバーのデータ インターフェイスを使 用できます。 • ファイアウォールに出入りするトラフィックの処理 に使用されるデータ インターフェイスを選択します。 インターフェイスをレイヤー 2 またはバー チャル ワイヤー インターフェイスとしてデプ ロイする場合、ファイアウォールが独自の MAC アドレス以外の MAC アドレスでパケットの受 信と転送を実行できるようにするため、Allow L2 Mode [L2 モード許可 ] オプションを選択します。 サマリーを確認し、Finish [ 完了 ] をクリックしてインス トールを開始します。ファイアウォールのプロビジョ ニングには 5 ∼ 8 分かかります。完了したら、管理 IP アドレスを使用してファイアウォールの Web インター フェイスを起動します。 「ライセンスのアクティベーション」に進みます。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 71 VM-Series ファイアウォールでの North-South トラフィックの保護 Citrix SDX サーバーに VM-Series Firewall を設定 VM-Series ファイアウォールでの North-South トラフィッ クの保護 このセクションでは、Citrix SDX サーバーへの NetScaler VPX および VM-Series ファイアウォール のデプロイについて説明します。 L3 インターフェイスを使用した VM-Series ファイアウォールのデプロイ レイヤー 2 インターフェイス(L2)またはバーチャル ワイヤー インターフェイスを使用して VM-Series ファイアウォールをデプロイする VM-Series ファイアウォールを NetScaler VPX の前にデプロイする(バーチャル ワイヤー インター フェイスを使用) L3 インターフェイスを使用した VM-Series ファイアウォールのデプロイ North-South トラフィックを保護するこのシナリオでは、VM-Series ファイアウォールを L3 デプ ロイメントとしてデプロイする方法を示します。NetScaler VPX とネットワーク上のサーバー間 のトラフィックを保護するように VM-Series ファイアウォールを配置します。 VM-Series ファイアウォール追加前のトポロジ 72 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks Citrix SDX サーバーに VM-Series Firewall を設定する VM-Series ファイアウォールでの North-South トラフィックの VM-Series ファイアウォールを追加した後のトポロジ 以下の表に、VM-Series ファイアウォールをデプロイするために実行する必要があるタスクを示 『PAN-OS ドキュメント』を参照してください。NetScaler します。ファイアウォールの設定手順は、 VPX のワークフローと設定は、このドキュメントの範囲外です。NetScaler VPX の設定の詳細は、 Citrix ドキュメントを参照してください。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 73 VM-Series ファイアウォールでの North-South トラフィックの保護 Citrix SDX サーバーに VM-Series Firewall を設定 L3 インターフェイスを使用して North-South トラフィックを処理する VM-Series ファイアウォールのセットアッ プ Step 1 SDX サーバーへの VM-Series Firewall SDX サーバーで VM-Series ファイアウォールをプロビジョ のインストール。 ニングする場合、ファイアウォールがサーバーにアクセス できるように、データ インターフェイスを正確に選択する 必要があります。 Step 2 ファイアウォールでデータインター 1. フェイスを設定します。 Network > Virtual Router [ ネットワーク > 仮想ルーター ] の 順に選択し、default[ デフォルト ] リンクを選択して [ 仮 想ルーター ] ダイアログを開き、Add[ 追加 ] をクリック して仮想ルーターにインターフェイスを追加します。 2. (NetScaler VPX で USIP オプションが有効になっている 場合のみ)仮想ルーターの Static Routes [ スタティック ルート ] タブで、インターフェイスを選択して Next Hop [ ネクスト ホップ ] として NetScaler SNIP(この例では 192.68.1.1)を追加します。ここで定義したスタティッ ク ルートは、ファイアウォールから NetScaler VPX への トラフィックのルーティングに使用されます。 3. Network > Interfaces> Ethernet [ ネットワーク > インター フェイス > イーサネット ] の順に選択し、設定するイン ターフェイスを選択します。 4. Interface Type [ インターフェイスタイプ ] を選択します。 こ こで選択するタイプはご使用のネットワーク トポロジ に応じて異なりますが、この例では、Layer3[ レイヤー 3] を使用します。 5. Config[ 設定 ] タブで、Virtual Router[ 仮想ルーター] ドロッ プダウン リストから default[ デフォルト ] を選択しま す。 6. New Zone[ セキュリティ ゾーン ] ドロップダウン リスト から ecurity Zone[ 新規ゾーン ] を選択します。[ ゾーン ] ダイアログの Name[ 名前 ] で「default」などの名前を付 けて新しいゾーンを定義し、OK をクリックします。 7. IPv4 or IPv6[IPv4 または IPv6] タブを選択し、IP セクショ ンの Add[ 追加 ] をクリックして、インターフェイスに 割り当てる 2 つの IP アドレスとネットワーク マスク (サービスを許可する各サブネットに対して 1 つ)を入 力します。たとえば、 「192.168.1.2」と「192.168.2.1」と 入力します。 8. (任意)インターフェイスへの ping または SSH を有効に するには、Advanced > Other Info[ 詳細 > その他の情報 ] の順 にクリックし、Management Profile[ 管理プロファイル ] ド ロ ッ プ ダ ウ ン リ ス ト を 展 開 し て New Management Profile[ 新規管理プロファイル ] を選択します。Name [ 名 前 ] フィールドにプロファイル名を入力し、Ping と SSH を選択してから OK をクリックします。 9. インターフェイス設定を保存するには、OK をクリック します。 10. Commit [ コミット ] をクリックして、設定変更内容を適 用します。 74 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks Citrix SDX サーバーに VM-Series Firewall を設定する VM-Series ファイアウォールでの North-South トラフィックの L3 インターフェイスを使用して North-South トラフィックを処理する VM-Series ファイアウォールのセットアッ プ(続) Step 3 NetScaler VPX と Web サーバー間の 1. トラフィックを許可する基本ポリ シーを作成します。 2. この例では、1 つのデータ インター フェイスのみをセットアップしてい 3. るため、NetScaler VPX とサーバー間 のトラフィックを許可する送信元お よび宛先 IP アドレスを指定します。 4. Policies > Security[ ポリシー > セキュリティ ] の順に選択 し、Add[ 追加 ] をクリックします。 General [ 全般 ] タブで、ルールに分かりやすい名前を付 5. Destination [ 宛先 ] タブの [ 宛先アドレス ] セクションで Add [ 追加 ] をクリックし、新規 Address [ アドレス ] リン 6. けます。 Source[ 送信元 ] タブの [ 送信元アドレス ] セクションで Add[ 追加 ] をクリックし、Address[ 新規アドレス ] リンク を選択します。 NetScaler VPX の SNIP を指定する新しいアドレス オブ ジェクトを作成します。この例では、この IP アドレス はサーバーに対するすべての要求の送信元です。 クを選択します。 Web サーバーのサブネットを指定する新しいアドレス オブジェクトを作成します。この例では、このサブネッ トはサービスが要求するすべての Web サーバーをホス トします。 7. Application [ アプリケーション ] タブで、[web-browsing] を 8. Actions [ アクション ] タブで以下の手順を実行します。 a. Action Setting [ アクション設定 ] を Allow [ 許可 ] に設定 選択します。 します。 b. Profile Setting[ プロファイル設定 ] で、[ アンチウイル ス ]、[ アンチスパイウェア ]、[ 脆弱性防御 ] のデフォ ルト プロファイルを関連付けます。 9. Options [ オプション ] でセッション終了時のログが有効 であることを確認します。セキュリティ ルールと一致 するトラフィックのみがログに記録されます。 10. ネットワーク上の任意の送信元および宛先 IP アドレス からの他のすべてのトラフィックを拒否する別のルー ルを作成します。 すべてのゾーン内トラフィックはデフォルトで許可さ れているため、web-browsing 以外のトラフィックを拒 否するには、その他すべてのトラフィックを明示的に ブロックする拒否ルールを作成する必要があります。 「VM-Series ファイアウォールでの North-South トラフィックの保護」に戻るか、「VM-Series ファ イアウォールでの East-West トラフィックの保護」を参照してください。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 75 VM-Series ファイアウォールでの North-South トラフィックの保護 Citrix SDX サーバーに VM-Series Firewall を設定 デプロイメントの概要は、 「サポートされるデプロイメント — Citrix SDX の VM Series ファイア ウォール」を参照してください。 レイヤー 2 インターフェイス(L2)またはバーチャル ワイヤー インター フェイスを使用して VM-Series ファイアウォールをデプロイする North-South トラフィックを保護するため、このシナリオではレイヤー 2 インターフェイスまたは バーチャル ワイヤー インターフェイスで VM-Series ファイアウォールをデプロイする方法を示し ます。VM-Series ファイアウォール は、サーバーを宛先とするトラフィックを保護します。NetScaler VPX の VIP アドレスにリクエストが到達し、 サーバー到達前に VM-Series ファイアウォールによっ て処理されます。リターン パスでは、トラフィックは NetScaler VPX 上の SNIP に向けられ、クラ イアントに送り返される前に VM-Series ファイアウォールによって処理されます。 VM-Series ファイアウォール追加前のトポロジについては、「VM-Series ファイアウォール追加前 のトポロジ」を参照してください。 VM-Series ファイアウォールを追加した後のトポロジ 以下の表には、VM-Series ファイアウォールをデプロイするために実行する必要がある基本構成 タスクが記載されています。ファイアウォールの設定手順は、『PAN-OS ドキュメント』を参照 してください。NetScaler VPX のワークフローと設定は、このドキュメントの範囲外です。NetScaler VPX の設定の詳細は、Citrix ドキュメントを参照してください。 76 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks Citrix SDX サーバーに VM-Series Firewall を設定する VM-Series ファイアウォールでの North-South トラフィックの VM-Series ファイアウォールを L2 インターフェイスまたはバーチャル ワイヤー インターフェイスを使用して North-South トラフィックを処理するように設定する Step 1 SDX サーバーへの VM-Series Firewall SDX サーバーで、各データ インターフェイスの Allow L2 のインストール。 この設定により、 Mode [L2 モード許可 ] を必ず有効にします。 ファイアウォールが NetScaler VPX の VIP を宛先とするパ ケットをブリッジできるようになります。 Step 2 NetScaler VPX に割り当てられたサー すでに NetScaler VPX をデプロイしており、現在 VM-Series バー側のインターフェイスのケーブ ファイアウォールを SDX サーバーに追加している場合、 VPX には 2 つのポートが割り当てられています。VM-Series ルを取り付け直します。 ファイアウォールをデプロイするとき、NetScaler VPX でク NetScaler VPX は、ケーブルが再接続 ライアント側のトラフィックを処理するために必要なポー されると再起動し、メンテナンス期 トは 1 つだけです。 間中にこのタスクを実行するかどう このため、VM-Series のデータ インターフェイスを設定する かを判断します。 前に、VPX をサーバー ファームに接続するインターフェー スからケーブルを外し、それをファイアウォールに接続し て、サーバーファームへのすべてのトラフィックがファイ アウォールで処理されるようにします。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 77 VM-Series ファイアウォールでの North-South トラフィックの保護 Citrix SDX サーバーに VM-Series Firewall を設定 VM-Series ファイアウォールを L2 インターフェイスまたはバーチャル ワイヤー インターフェイスを使用して North-South トラフィックを処理するように設定する(続) Step 3 インターフェイスを設定し 1. ファイアウォールの Web インターフェイスを起動しま す。 この例では、バーチャル ワイヤー イ 2. ンターフェイスの設定を示します。 3. Network > Interfaces> Ethernet[ ネットワーク > インター フェイス > イーサネット ] の順に選択します。 データ ます。 インターフェイスのリンク(Ethernet 1/1 など)をクリッ クし、Interface Type[ インターフェイス タイプ ] に Layer2[ レイヤー 2] または Virtual Wire[ バーチャル ワイヤー] を選 択します。 バーチャル ワイヤー設定 各バーチャル ワイヤー インターフェイス(Ethernet 1/1 お よび Ethernet 1/2)は、セキュリティ ゾーンおよびバーチャ ル ワイヤーに接続されている必要があります。これらの設 定を構成するには、Config タブを選択し、以下のタスクを 完了します。 a. [ バーチャル ワイヤー] ドロップダウンで New Virtual Wire[ 新規バーチャル ワイヤー ] をクリックし、Name [ 名前 ] を定義して 2 つのデータ インターフェイス (Ethernet 1/1 および Ethernet 1/2)を割り当てた後、 OK をクリックします。 Ethernet 1/2 を設定する場合は、このバーチャル ワイ ヤーを選択します。 b. Security Zone [ セキュリティ ゾーン ] のドロップダウン から New Zone [ 新規ゾーン ] を選択し、新しいゾーン の Name [ 名前 ] (たとえば「クライアント」)を定義 した後、OK [ はい ] をクリックします。 レイヤー 2 の設定 各レイヤー 2 インターフェイスは、1 つのセキュリティ ゾー ンが必要です。Config タブを選択し、以下のタスクを完了 します。 a. Security Zone [ セキュリティ ゾーン ] のドロップダウン から New Zone [ 新規ゾーン ] を選択し、新しいゾーン の Name [ 名前 ] (たとえば「クライアント」)を定義 した後、OK [ はい ] をクリックします。 4. 5. 78 • VM-Series 7.0 デプロイメントガイド もう 1 つのインターフェイスについても、ステップ 2 お よび 3 を繰り返します。 Commit [ コミット ] をクリックして、設定変更内容を適 用します。 Palo Alto Networks Citrix SDX サーバーに VM-Series Firewall を設定する VM-Series ファイアウォールでの North-South トラフィックの VM-Series ファイアウォールを L2 インターフェイスまたはバーチャル ワイヤー インターフェイスを使用して North-South トラフィックを処理するように設定する(続) Step 4 基本ポリシー ルールを作成し、トラ 1. フィックがファイアウォールを通過 できるようにします。 2. こ の 例 で は、NetScaler VPX と Web サーバーの間のトラフィックを有効 3. にする方法を示します。 4. 5. 6. Policies > Security[ ポリシー > セキュリティ ] の順に選択 し、Add[ 追加 ] をクリックします。 General [ 全般 ] タブで、ルールに分かりやすい名前を付 けます。 Source[ 送信元 ] タブで Source Zone[ 送信元ゾーン ] を自 分で定義したクライアントサイド ゾーンに設定しま す。この例では「client」を選択します。 Destination[ 宛先 ] タブで Destination Zone[ 宛先ゾーン ] を 自分で定義したサーバーサイド ゾーンに設定します。 この例では「server」を選択します。 Application[ アプリケーション ] タブで Add[ 追加 ] をクリッ クし、アクセスを許可するアプリケーションを選択し ます。 Actions [ アクション ] タブで以下の手順を実行します。 a. Action Setting [ アクション設定 ] を Allow [ 許可 ] に設定 します。 b. Profile Setting[ プロファイル設定 ] で、[ アンチウイル ス ]、[ アンチスパイウェア ]、[ 脆弱性防御 ]、[URL フィルタリング ] のデフォルト プロファイルを関連 付けます。 7. Options [ オプション ] でセッション終了時のログが有効 であることを確認します。セキュリティ ルールと一致 するトラフィックのみがログに記録されます。 「VM-Series ファイアウォールでの North-South トラフィックの保護」に戻るか、「VM-Series ファ イアウォールでの East-West トラフィックの保護」を参照してください。 デプロイメントの概要は、 「サポートされるデプロイメント — Citrix SDX の VM Series ファイア ウォール」を参照してください。 VM-Series ファイアウォールを NetScaler VPX の前にデプロイする 以下の例は、VM-Series ファイアウォールで NetScaler VPX 到達前のトラフィックを処理し、保護 するためのデプロイ方法を示したものです。この例では、VM-Series ファイアウォールがバーチャ ル ワイヤー インターフェイスと共にデプロイされ、クライアントの接続リクエストは NetScaler VPX の VIP に向けられています。特定のニーズに応じて、L2 インターフェイスまたは L3 イン ターフェイスを使用して VM-Series ファイアウォールをデプロイすることができます。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 79 VM-Series ファイアウォールでの North-South トラフィックの保護 Citrix SDX サーバーに VM-Series Firewall を設定 VM-Series ファイアウォール追加前のトポロジ VM-Series ファイアウォールを追加した後のトポロジ 以下の表には、VM-Series ファイアウォールで実行する必要がある基本設定タスクが記載されて います。ファイアウォールの設定手順は、 『PAN-OS ドキュメント』を参照してください。NetScaler VPX のワークフローと設定は、このドキュメントの範囲外です。NetScaler VPX の設定の詳細は、 Citrix ドキュメントを参照してください。 NetScaler VPX とバーチャル ワイヤー インターフェイスの前に VM-Series ファイアウォールを設定する Step 1 SDX サーバーへの VM-Series Firewall SDX サーバーで、データ インターフェイスの Allow L2 Mode のインストール。 [L2 モード許可 ] を必ず有効にします。この設定により、ファ イアウォールが NetScaler VPX の VIP を宛先とするパケッ トをブリッジできるようになります。 80 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks Citrix SDX サーバーに VM-Series Firewall を設定する VM-Series ファイアウォールでの North-South トラフィックの NetScaler VPX とバーチャル ワイヤー インターフェイスの前に VM-Series ファイアウォールを設定する(続) Step 2 NetScaler VPX に割り当てられたク すでに NetScaler VPX をデプロイしており、現在 VM-Series ライアント側のインターフェイスの ファイアウォールを SDX サーバーに追加している場合、 VPX には 2 つのポートが割り当てられています。VM-Series ケーブルを接続し直します。 ファイアウォールをデプロイするとき、NetScaler VPX から NetScaler VPX は、ケーブルが再接続 サーバー ファームに接続するために必要なポートは 1 つだ されると再起動し、メンテナンス期 けです。 間中にこのタスクを実行するかどう このため、VM-Series のデータ インターフェイスを設定する かを判断します。 前に、VPX をクライアン側トラフィックに接続するイン ターフェースからケーブルを外し、それをファイアウォー ル に 接 続 し て、す べ て の 受 信 ト ラ フ ィ ッ ク が フ ァ イ ア ウォールで処理されるようにします。 Step 3 データ ます。 インターフェイスを設定し 1. ファイアウォールの Web インターフェイスを起動しま す。 2. Network > Interfaces> Ethernet [ ネットワーク > インター フェイス > イーサネット ] の順に選択します。 3. インターフェイスのリンク(Ethernet 1/1 など)をクリッ クし、Interface Type[ インターフェイス タイプ ] に Virtual Wire[ バーチャル ワイヤー ] を選択します。 もう 1 つのインターフェイスのリンクをクリックし、 Interface Type[ インターフェイス タイプ ] に Virtual Wire [ バーチャル ワイヤー ] を選択します。 各バーチャル ワイヤー インターフェイスは、セキュリ ティ ゾーンおよびバーチャル ワイヤーに接続されてい る 必 要 が あ り ま す。こ れ ら の 設 定 を 構 成 す る に は、 Config タブを選択し、以下のタスクを完了します。 • Virtual wire [ バーチャル ワイヤー ] ドロップダウンリ ストで New Virtual Wire[ 新規バーチャル ワイヤー] をク リックし、Name [ 名前 ] を定義して 2 つのデータ イ ンターフェイス(Ethernet 1/1 および Ethernet 1/2)を 割り当てた後、OK をクリックします。 Ethernet 1/2 を設定する場合は、このバーチャル ワイ ヤーを選択します。 4. 5. • Security Zone[ セキュリティ ゾーン ] ドロップダウンか ら New Zone[ 新規ゾーン ] を選択し、新しいゾーンの Name[ 名前 ](たとえば「クライアント」 )を定義した 後、OK をクリックします。 6. 7. Palo Alto Networks もう 1 つのインターフェイスについても、ステップ 5 を 繰り返します。 Commit [ コミット ] をクリックして、設定変更内容を適 用します。 VM-Series 7.0 デプロイメントガイド • 81 VM-Series ファイアウォールでの North-South トラフィックの保護 Citrix SDX サーバーに VM-Series Firewall を設定 NetScaler VPX とバーチャル ワイヤー インターフェイスの前に VM-Series ファイアウォールを設定する(続) Step 4 基本ポリシー ルールを作成し、トラ 1. フィックがファイアウォールを通過 できるようにします。 2. こ の 例 で は、NetScaler VPX と Web サーバーの間のトラフィックを有効 3. にする方法を示します。 4. 5. 6. Policies > Security[ ポリシー > セキュリティ ] の順に選択 し、Add[ 追加 ] をクリックします。 General [ 全般 ] タブで、ルールに分かりやすい名前を付 けます。 Source[ 送信元 ] タブで Source Zone[ 送信元ゾーン ] を自 分で定義したクライアントサイド ゾーンに設定しま す。この例では「client」を選択します。 Destination[ 宛先 ] タブで Destination Zone[ 宛先ゾーン ] を 自分で定義したサーバーサイド ゾーンに設定します。 この例では「server」を選択します。 Application[アプリケーション] タブで Add[ 追加 ] をクリッ クし、アクセスを許可するアプリケーションを選択し ます Actions [ アクション ] タブで以下の手順を実行します。 a. Action Setting [ アクション設定 ] を Allow [ 許可 ] に設定 します。 b. Profile Setting[ プロファイル設定 ] で、[ アンチウイル ス ]、[ アンチスパイウェア ]、[ 脆弱性防御 ]、[URL フィルタリング ] のデフォルト プロファイルを関連 付けます。 7. Options [ オプション ] でセッション終了時のログが有効 であることを確認します。セキュリティ ルールと一致 するトラフィックのみがログに記録されます。 「VM-Series ファイアウォールでの North-South トラフィックの保護」に戻るか、「VM-Series ファ イアウォールでの East-West トラフィックの保護」を参照してください。 デプロイメントの概要は、 「サポートされるデプロイメント — Citrix SDX の VM Series ファイア ウォール」を参照してください。 82 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks Citrix SDX サーバーに VM-Series Firewall を設定する VM-Series ファイアウォールでの East-West トラフィックの保 VM-Series ファイアウォールでの East-West トラフィック の保護 この例は、VM-Series ファイアウォールでネットワークのアプリケーション サーバーまたはデー タベース サーバーを保護するためのデプロイ方法を示したものです。NetScaler VPX インスタン スが 2 つあり、1 つのインスタンスでユーザーの認証と SSL 接続の終端、DMZ サーバーに対す るアクセスの負荷分散を行い、もう 1 つの VPX インスタンスでネットワーク上のアプリケー ション サーバーおよびデータベースサーバーに対するアクセスをホストする企業サーバーへの 接続の負荷分散を行う場合、このシナリオが参考になります。 VM-Series ファイアウォール追加前のトポロジ DMZ 内サーバーと企業データセンター内のサーバーの間の通信は、NetScaler VPX の両方のイン スタンスによって処理されます。企業データセンターに存在するコンテンツについて、新しいリ クエストが NetScaler VPX のもう 1 つのインスタンスに渡され、適切なサーバーに転送されます。 VM-Series ファイアウォールがデプロイされるとき(この例では L3 インターフェイスを使用)、 トラフィックのフローは以下のようになります。 すべての受信リクエストは認証され、SSL 接続は NetScaler VPX の最初のインスタンスで終端 されます。DMZ 内にあるコンテンツについて、NetScaler VPX はサーバーへの新しい接続を開 始し、リクエストされたコンテンツを取得します。企業データセンターまたは DMZ にある サーバーを宛先とする North-South トラフィックは、VM-Series ファイアウォールではなくイ ンターネット等の外部ネットワークに接続されたファイアウォール によって処理されます。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 83 VM-Series ファイアウォールでの East-West トラフィックの保護 Citrix SDX サーバーに VM-Series Firewall を設定す たとえば、ユーザー(送信元 IP 1.1.1.1)が DMZ にあるサーバーのコンテンツをリクエストす る場合、宛先 IP アドレスは 20.5.5.1(NetScaler VPX の VIP)です。次に、NetScaler VPX は、 NAT 設定に基づき宛先 IP アドレスを内部サーバーの IP アドレス(192.168.10.10 など)に置き 換えます。サーバーからの戻りトラフィックが 20.5.5.1 の NetScaler VPX に送り返され、IP ア ドレスが 1.1.1.1 のユーザーに送られます。 DMZ サーバーと企業データセンターの間のすべてのリクエストは、VM-Series ファイアウォー ルによって処理されます。企業データセンターに存在するコンテンツの場合、リクエストは VM-Series ファイアウォールによって透過的に処理 (L2 インターフェイスまたはバーチャル ワ イヤー インターフェイスを使用したデプロイの場合)されるか、ルーティング(L3 インター フェイスを使用した場合)されます。次に、リクエストされたトラフィックは NetScaler VPX の 2 つめのインスタンスに渡されます。この NetScaler VPX のインスタンスは、企業データセ ンターの複数のサーバーに対するアクセス リクエストの負荷分散を行い、リクエストされた トラフィックを処理します。戻りトラフィックは、受信リクエストと同じパスを使用します。 たとえば、DMZ(192.168.10.10 など)にあるサーバーが企業データ センターにあるサーバー (172.16.10.20 など)のコンテンツを必要とする場合、宛先 IP アドレスは 172.168.10.3(2 つめ のインスタンスで動作している NetScaler の VIP)です。リクエストが 192.168.10.2 にある VM-Series ファイアウォールに送信され、そこでファイアウォールがポリシーの検索および 172.168.10.3 へのリクエストのルーティングを実行します。2 つめの NetScaler VPX は、NAT 設 定に基づき宛先 IP アドレスを内部サーバー IP アドレス(172.16.10.20)に置き換えます。次 に、172.168.10.20 からの戻りトラフィックが、172.168.10.3 にある NetScaler VPX に送信され、 リクエストの送信元 IP アドレスが 172.168.10.3 に設定され、172.168.10.2 にある VM-Series ファ イアウォールにルーティングされます。VM-Series ファイアウォールでは、ポリシー検索が再 度実行され、トラフィックが DMZ(192.168.10.10)にあるサーバーにルーティングされます。 すべてのリクエストは NetScaler VPX から開始されるため、ネットワーク上のユーザー アク ティビティをフィルタリングし、報告するには、NetScaler VPX の最初のインスタンス上の HTTP Header insertion または TCP Option for IP Insertion を有効にする必要があります。 . VM-Series ファイアウォールを設定して East-West トラフィックを保護する Step 1 SDX サーバーへの VM-Series Firewall バーチャル ワイヤーまたは L2 インターフェイスを使用し のインストール た VM-Series ファイアウォールのデプロイを計画している 場合、必ず SDX サーバー上の各データ インターフェイスで L2 モードを有効にします。 Step 2 NetScaler VPX に割り当てられたイ NetScaler VPX は、ケーブルが再接続されると再起動し、メ ンターフェイスのケーブルを接続し ンテナンス期間中にこのタスクを実行するかどうかを判断 直します。 します。 Step 3 データ ます。 インターフェイスを設定し Network > Interfaces [ ネットワーク > インターフェース ] の順に 選択し、インターフェイス タイプを、レイヤー 3(Step 2 を 参照)、レイヤー 2(Step 3 を参照)またはバーチャル ワイ ヤー(Step 3 を参照)として割り当てます。 84 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks Citrix SDX サーバーに VM-Series Firewall を設定する VM-Series ファイアウォールでの East-West トラフィックの保 VM-Series ファイアウォールを設定して East-West トラフィックを保護する Step 4 セキュリティ ポリシーを作成し、 1. DMZ と企業データ センターの間の アプリケーション トラフィックを 2. 許可します。 ゾーン :DMZ から Corporate へ 3. Policies > Security[ ポリシー > セキュリティ ] セクション で、Add[ 追加 ] をクリックします。 General [ 全般 ] タブで、ルールに分かりやすい名前を付 けます。 Source[送信元] タブで Source Zone[送信元ゾーン] を 「DMZ」 、 Source Address[ 送信元アドレス ] を「192.168.10.0/24」に設 暗黙的な拒否ルールは、セキュリ 定します。 ティ ポリシーによって明示的に許 可されたトラフィックを除くすべて 4. Destination[ 宛先 ] タブで Destination Zone[ 宛先ゾーン ] を 「Corporate」、Destination Address[ 宛先アドレス ] を のゾーン内トラフィックを拒否しま 「172.168.10.0/24」に設定します。 す。 5. Application[ アプリケーション ] タブで、許可するアプリ ケーションを選択します(Oracle など)。 6. Service[ サービス ] を application-default に設定します。 7. Actions [ アクション ] タブで、Action Setting [ アクション 設定 ] を「許可」に設定します。 8. それ以外のオプションは、すべてデフォルト値にして おきます。 9. Commit [ コミット ] をクリックして、設定変更内容を適 用します。 North-South トラフィックの保護については、 「VM-Series ファイアウォールでの North-South トラ フィックの保護」を参照してください。 デプロイメントの概要は、 「サポートされるデプロイメント — Citrix SDX の VM Series ファイア ウォール」を参照してください。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 85 VM-Series ファイアウォールでの East-West トラフィックの保護 Citrix SDX サーバーに VM-Series Firewall を設定す 86 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks VM-Series NSX エディション ファイ アウォールのセットアップ VM-Series NSX エディション ファイアウォールは、Palo Alto Networks と VMware が共同で開発し たものです。このソリューションは、NetX API を使用して Palo Alto Networks の次世代ファイア ウォールおよび VMware ESXi サーバー上の Panorama を統合し、ホスト間の仮想マシン通信を含 むすべてのデータセンター トラフィックに対する包括的な可視化および安全なネットワーク ア プリケーションの利用を実現します。 このトピックでは、VM-Series NSX エディション ファイアウォールに関する次の情報を提供しま す。 VM-Series NSX エディション ファイアウォールの概要 VM-Series NSX エディション ファイアウォールのデプロイメントのチェックリスト Panorama でのデバイス グループとテンプレートの作成 NSX Manager 上のサービスとしての VM-Series ファイアウォールの登録 VM-Series ファイアウォールのデプロイ ポリシーの作成 VMware Tools を実行していないゲストからのトラフィックの誘導 ダイナミック アドレス グループ — NSX Manager から Panorama への情報のリレー VM-Series NSX エディションファイアウォールの管理アドレスを ESXi ホストへマッピングする VM-Series NSX エディションファイアウォールにおけるゾーンベースの保護を有効化する Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 87 VM-Series NSX エディション ファイアウォールの概要VM-Series NSX エディション ファイアウォールのセットアッ VM-Series NSX エディション ファイアウォールの概要 NSX は、Software-Defined Data Center(SDDC)用に設計された VMware のネットワーキングおよ びセキュリティ用プラットフォームであり、これにより、Palo Alto Networks ファイアウォールを ESXi サーバーのクラスタ上のサービスとしてデプロイできます。SDDC という用語は、VMware NSX を使用してインフラストラクチャ(演算リソース、ネットワークおよびストレージ)が仮 想化されたデータセンターを指す VMware の用語です。 SDDC の俊敏な変化に後れをとらないように、VM-Series ファイアウォールの NSX エディション では、Palo Alto Networks の次世代ファイアウォールのデプロイ プロセスを簡素化し、SDDC 内 の East-West トラフィックのセキュリティおよびコンプライアンスを継続的に適用します。 VM-Series NSX エディションの詳細は、以下のトピックを参照してください。 NSX エディション ソリューションのコンポーネントは何か? NSX エディション ソリューションのコンポーネントの連携の仕組み NSX エディション ソリューションの利点 NSX エディション ソリューションのコンポーネントは何か? 「表:VMware コンポーネント」および「表:Palo Alto Networks コンポーネント」に、Palo Alto Networks および VMware の共同ソリューションのコンポーネントを示します。以下のトピックで は、各コンポーネントについて詳細に説明します。 vCenter Server NSX Manager Panorama VM-Series NSX エディション ネットワーク通信で使用されるポート / プロトコル 表:VMware コンポーネント コンポーネント 内容 vCenter Server vCenter サーバーは、vSphere スイート用の中央管理ツールです。 NSX Manager VMware のネットワーキングおよびセキュリティ用プラットフォームは、 vCenter サーバーにインストールし、登録する必要があります。ESXi クラスタ 内の ESXi ホストに VM-Series NSX エディション ファイアウォールをデプロイ するには、この NSX Manager が必要です。 ESXi サーバー ESXi は、コンピュータの仮想化を実現するためのハイパーバイザです。 88 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks VM-Series NSX エディション ファイアウォールのセットアップVM-Series NSX エディション ファイアウォールの概 表:Palo Alto Networks コンポーネント コンポーネント 内容 PAN-OS VM-Series の基本イメージ(PA-VM-NSX-7.0.1.zip)は、PAN-OS 7.0 で VM-Series NSX エディション ファイアウォールをデプロイするために使用されます。 ESXi サーバーに VM-Series NSX エディション ファイアウォールをデプロイす る場合の最小システム要件は以下のとおりです。 • 2 つの vCPU。1 つを管理プレーンで使用し、もう 1 つをデータプレーンで 使用します。 2 つまたは 6 つの vCPU を追加して合計 2 つ、4 つ、または 8 つの vCPU を ファイアウォールに割り当てることができます。管理プレーンは 1 つの vCPU のみを使用し、追加 vCPU はデータプレーンに割り当てられます。 • 5GB のメモリ。5 GB を超えて割当てられたメモリは、すべて管理プレーン に対して割り当てられます。 • 40 GB の仮想ディスク領域。 Panorama Panorama の バー ジ ョ ン は、管 理 対 象 フ ァ イ ア ウォールと同じかそれ 以降のバージョンであ る必要があります。 Panorama は、Palo Alto Networks の次世代ファイアウォール用中央管理ツール です。このソリューションでは、Panorama が NSX Manager と連携して VM-Series NSX エディション ファイアウォールのデプロイ、ライセンスの付与、中央管 理 ( 設定やポリシー ) を実行します。 Panorama は、NSX Manager や vCenter サーバー、VM-Series ファイアウォール、 および Palo Alto Networks の 更新サーバーに アクセス出来る必要があります。 Panorama の最小システム要件は以下のとおりです。 • 2 つの 8 コア vCPU(2.2GHz)。管理対象のファイアウォール数が 10 以上の 場合は 3 GHz 以上の CPU を使用 ( 割り当て ) する必要があります。 • 4 GB の RAM。管理対象のファイアウォール数が 10 以上の場合は 16 GB を 推奨。 • 40 GB のディスク領域。ログ容量を拡張するには、仮想ディスクを追加す るか、NFS データストアへのアクセスを設定する必要があります。詳細 は、『Panorama 管理者ガイド』を参照してください。 VM-Series NSX エ デ ィ このソリューションで使用可能な VM-Series ライセンスは VM-1000 (VM-1000-HV) ション のみです。 表:サポートされるバージョン コンポーネント サポートされるバージョン vCenter サーバー 5.5、6.0 vCenter サーバー 6.0 および ESXi 6.0 を使用する場合は Panorama 7.0.1 以降が必 要となります。 ESXi サーバー 5.5、6.0 NSX Manager 6.1、6.2 NSX Manager6.1 は以下で動作します: • Panorama 6.1.1 および PAN-OS 6.1.x もしくは 6.0.x • Panorama 7.0.1 以降 および PAN-OS 7.0.x もしくは 6.1.x NSX Manager 6.0 または 6.1 で VM-Series NSX エディションファイア ウォール(Panorama 6.0 および PAN-OS 6.0)をデプロイする方法につ いては、バージョン 6.0/6.1 の 『VM-Series デプロイメント ガイド』 を参照してください。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 89 VM-Series NSX エディション ファイアウォールの概要VM-Series NSX エディション ファイアウォールのセットアッ vCenter Server データセンターで NSX Manager および ESXi ホストを管理するには、vCenter サーバーが必要で す。この共同ソリューションでは、ESXi ホストが vCenter サーバー上で 1 つ以上のクラスタに設 定され、分散仮想スイッチに接続されている必要があります。 クラスタ、分散仮想スイッチ、DRS、および vCenter サーバーの詳細は、以下のリンクから VMware ドキュメントを参照してください。http://www.vmware.com/support/vcenter-server.html. NSX Manager NSX は、vSphere と完全に統合された VMware のネットワーク仮想化プラットフォームです。NSX ファイアウォールおよび Service Composer は、NSX Manager の主要機能です。NSX ファイアウォー ルは、ネットワーク サービスおよびセキュリティ サービスを仮想マシンに適用できるようにす る論理ファイアウォールであり、Service Composer では、仮想マシンをグループ化してトラフィッ クを VM-Series ファイアウォール(NSX Manager では Palo Alto Networks NGFW サービスと呼ばれ る ) にリダイレクトするポリシーを作成することができます。 Panorama Panorama は、NSX エディションの VM-Series ファイアウォールを NSX Manager 上の Palo Alto Networks NGFW サービスとして登録するのに使用されます。Palo Alto Networks NGFW サービスを NSX Manager に登録すると、NSX Manager で、ESXi クラスタ内の各 ESXi ホストに NSX エディ ションの VM-Series ファイアウォールをデプロイできるようになります。 Panorama は、VM-Series NSX エディション ファイアウォール管理の中心的な役割を果たします。 新しい VM-Series NSX エディション ファイアウォールがデプロイされると、Panorama と通信を 行い、ライセンスを取得し、設定やポリシーを Panorama から受け取ります。VM-Series NSX エ ディション ファイアウォール上のすべての構成要素、ポリシー、ダイナミック アドレス グルー プは、デバイス グループおよびテンプレートを使用して Panorama で中央管理されます。このソ リューションでは、REST ベースの XML API を使用して 、Panorama は NSX Manager および VM-Series NSX エディション ファイアウォールと同期することができ、ダイナミック アドレス グループの使用および仮想環境とセキュリティ処理の間のコンテキスト共有が可能になります。 詳細は、ダイナミック アドレス グループを使用したポリシー適用をご参照ください。 VM-Series NSX エディション VM-Series NSX エディションは、ESXi ハイパーバイザにデプロイされる VM-Series ファイア ウォールです。NetX API との統合により、VM-Series ファイアウォールを ESXi ハイパーバイザ に直接インストールする手続きの自動化が可能になり、ハイパーバイザは vSwitch 設定を使用せ ずに VM-Series ファイアウォールにトラフィックを転送できるようになります。したがって、仮 想ネットワークのトポロジを変更する必要はありません。 VM-Series NSX エディションは、バーチャル ワイヤー インターフェイスのみをサポートしていま す。このエディションでは、Ethernet 1/1 および Ethernet 1/2 がバーチャル ワイヤーによって 1 つにバインドされ、 NetX データプレーン API を使用してハイパーバイザと通信します。VM-Series 90 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks VM-Series NSX エディション ファイアウォールのセットアップVM-Series NSX エディション ファイアウォールの概 NSX エディションでは、レイヤー 2 またはレイヤー 3 インターフェイスは不要なため、サポー トされていません。したがって、ファイアウォール システム上ではスイッチングやルーティン グも実行されません。 このバージョンの VM-Series ファイアウォールで利用可能なライセンスは、VM-1000-HV のみで す。システムのキャパシティについての概要は、 「VM-Series モデル」を参照してください。 VM-1000-HV ライセンスでサポートされる最大キャパシティについての詳細は、VM-Series スペッ クシートを参照してください。 ネットワーク通信で使用されるポート / プロトコル VMWare NSX エディション ファイアウォールのデプロイに必要なネットワーク通信を有効にす るには、以下のプロトコル / ポートおよびアプリケーションの使用を許可する必要があります。 Panorama — Panorama は、ソフトウェア更新およびダイナミックアップデートを実行するた めに、SSL を使用して TCP/443 で updates.paloaltonetworks.com にアクセスします。この URL で は CDN イ ンフ ラ スト ラ クチ ャ が利 用 され て いま す。IP ア ド レス が 必 要な 場 合は、 staticupdates.paloaltonetworks.com を使用します。更新用の通信は、App-ID では paloalto-updates で識別されます。 NSX Manager および Panorama は、SSL を使用して TCP/443 で通知します。 VM-Series NSX Edition[VM-Series NSX エディション ] — WildFire を使用する場合、VM-Series ファイアウォールがポート 443 で wildfire.paloaltonetworks.com にアクセスできる必要がありま す。これは SSL 接続で、App-ID では paloalto-wildfire-cloud として識別されます。 VM-Series ファイアウォールの管理インターフェイスは、SSL を使用して TCP/3789 で Panorama と通信します。 vCenter Server [vCenter サーバー] — vCenter サーバーは、VM-Series の OVA をホストしているデ プロイメント Web サーバーにアクセス可能にしておく必要があります。デフォルトでは、 TCP/80 のポートを使用します、また APP-ID では、web-browsing として識別されます。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 91 VM-Series NSX エディション ファイアウォールの概要VM-Series NSX エディション ファイアウォールのセットアッ NSX エディション ソリューションのコンポーネントの連携の仕組み Software-Defined Data Center におけるセキュリティ上の課題に対応するため、NSX Manager、ESXi サーバー、および Panorama が連携し、VM-Series ファイアウォールのデプロイメントを自動化し ます。 1.Palo Alto Networks NGFW サービスの登録 — 最初に、NSX Manager で Palo Alto Networks NGFW をサービスとして登録します。登録プロセスでは NetX 管理プレーン API を使用し、Panorama と NSX Manager 間の双方向通信を有効にします。Panorama には、NSX Manager と接続を行うための IP アドレスとアクセス認証情報を設定し、Palo Alto Networks NGFW をサービスとして NSX Manager 登録します。この設定には、VM-Series NSX エディション ファイアウォールのデプロイ に必要な VM-Series ベースイメージにアクセスする URL、ライセンスを取得するための認証コー ド、および VM-Series ファイアウォールが属するデバイス グループが含まれています。NSX Manager はこの管理プレーン接続を使用して、仮想環境内の変更の更新を Panorama と共有しま す。 2.NSX からの自動的な VM-Series のデプロイ — NSX Manager は、登録時に指定された URL から VM-Series のベースイメージを取得し、ESXi クラスタ内の各 ESXi ホストに VM-Series ファイア ウォールのインスタンスをインストールします。スタティック管理 IP プール(NSX Manager で 定義)から、管理 IP アドレスが VM-Series ファイアウォールに割り当てられ、Panorama IP アド レスがファイアウォールに提供されます。ファイアウォールの起動時に、NetX データプレーン 統合 API によって VM-Series ファイアウォールがハイパーバイザに接続され、vSwitch からのトラ フィックを受信できるようになります。 92 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks VM-Series NSX エディション ファイアウォールのセットアップVM-Series NSX エディション ファイアウォールの概 3.VM-Series ファイアウォールと Panorama 間の通信を確立する:VM-Series ファイアウォールは ライセンス取得のため、Panorama への接続を開始します。Panorama が更新サーバーからライセ ンスを取得し、そのライセンスをファイアウォールにプッシュします。VM-Series ファイアウォー ルがライセンス(VM-1000-HV)を受信し、有効なシリアル番号で再起動します。 4.Panorama から VM-Series ファイアウォールへ設定およびポリシーをインストールする: VM-Series ファイアウォール Panorama に再接続を行い、ファイアウォールのシリアルナンバーが 送信されます。次に、Panorama が登録プロセスで定義されたデバイス グループにファイアウォー ルを追加し、デフォルト ポリシーをファイアウォールにプッシュします。これで VM-Series ファ イアウォールがセキュリティ仮想マシンとして使用可能になり、詳細な設定を行うことで、ネッ トワーク上の アプリケーションを安全に利用できるようになります。 5.NSX ファイアウォールからトラフィック転送ルールをプッシュする:NSX Firewall の Service Composer でセキュリティグループを作成し、トラフィックが VM-Series ファイアウォールに誘導 されるゲストを指定するネットワーク イントロスペクション ルールを定義します。詳細は、 「統 合されたポリシー ルール」を参照してください。 ゲストからのトラフィックを確実に VM-Series ファイアウォールへ誘導するためには、各ゲス トが VMware Tools をインストールしている必要があります。VMware Tools がインストールさ れていない場合、NSX Manager はゲストの IP アドレスを判別することができず、トラフィッ クを VM-Series ファイアウォールに誘導することができません。詳細は、VMware Tools を実 行していないゲストからのトラフィックの誘導をご参照ください。 6. 更新を NSX Manager からリアルタイムで受信する:NSX Manager は仮想環境内の変更のリア ルタイム更新を Panorama に送信します。これらの更新には、トラフィックが VM-Series ファイア ウォールにリダイレクトされるセキュリティグループの一部である、ゲストのセキュリティグ ループと IP アドレスに関する情報が含まれています。詳細は、 「統合されたポリシー ルール」を 参照してください。 7. ポリシー内のダイナミックアドレスグループを使用し、Panorama から VM-Series ファイア ウォールへ動的アップデートのプッシュを行う:Panorama でセキュリティグループのリアルタイ ム更新を使用してダイナミックアドレスグループを作成し、それをセキュリティグループにバイ ンドしたのちに VM-Series ファイアウォールへこれらのポリシーをプッシュします。デバイス グ ループ内のすべての VM-Series ファイアウォールに同じポリシー セットが適用され、統一的な ネットワーク セキュリティ システムとして総合的に SDDC を保護します。詳細は、 「ダイナミッ ク アドレス グループを使用したポリシー適用」を参照してください。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 93 VM-Series NSX エディション ファイアウォールの概要VM-Series NSX エディション ファイアウォールのセットアッ 統合されたポリシー ルール NSX Firewall と VM-Series ファイアウォールは連携して動作し、それぞれが各 ESXi ホストのトラ フィックに適用されるトラフィック管理ルール セットを提供します。最初のルール セットは NSX Firewall で定義されます。これらのルールは、クラスタ内のゲストから VM-Series ファイア ウォールに誘導されるトラフィックを決定します。2 番目のルール セット(Palo Alto Networks 次 世代ファイアウォール ルール)は Panorama で定義され、VM-Series ファイアウォールにプッシュ されます。これらのルールは、Palo Alto Networks NGFW サービスに誘導されるトラフィックの セキュリティ適用ルールです。これらのルールによって、ネットワーク上でアプリケーションを 安全に利用するために、VM-Series ファイアウォールでどのように処理(許可、拒否、検査、制 約)するかが決定されます。 NSX Firewall で定義されるルール — 各 ESXi ホストのゲストからのトラフィックを誘導する ルールは、NSX Manager で設定されます。NSX Manager の Service Composer では、ESXi クラス タ内のゲストにどのようなセキュリティ保護(ファイアウォール ルールなど)が適用される かを定義できます。NSX Firewall でルールを定義するには、最初にゲストをセキュリティグ ループに集約してから、これらのセキュリティグループから Palo Alto Networks NGFW サービ スや NSX Firewall にトラフィックをリダイレクトする NSX Service Composer ポリシーを作成し ます。 以下の図に、クラスタ内の異なる ESXi ホストのゲストでどのようにセキュリティグループを 構成できるかを示します。 VM-Series ファイアウォールによる検査と保護が必要なトラフィックの場合、NSX Service Composer ポリシーによってトラフィックが Palo Alto Networks NGFW サービスにリダイレク トされます。次に、このトラフィックが VM-Series ファイアウォールに誘導され、最初に VM-Series ファイアウォールで処理された後、仮想スイッチに移動します。 94 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks VM-Series NSX エディション ファイアウォールのセットアップVM-Series NSX エディション ファイアウォールの概 ネットワーク データ バックアップ、内部ドメイン コントローラへのトラフィックなど、 VM-Series ファイアウォールによる検査が不要なトラフィックは、VM-Series ファイアウォール にリダイレクトされる必要はなく、順次処理するために仮想スイッチに送信できます。 Panorama で一元的に管理され VM-Series ファイアウォールに適用されるルール — 次世代 ファイアウォール ルールは、VM-Series ファイアウォールによって適用されます。これらの ルールは、Panorama でテンプレートとデバイス グループを使用して一元的に定義および管理 され、VM-Series ファイアウォールにプッシュされます。次に、VM-Series ファイアウォールが 送信元または宛先 IP アドレスを照合してセキュリティ ポリシーを適用し(ファイアウォール はダイナミック アドレス グループを使用してリアルタイムでグループのメンバーを追加可 能)、トラフィックを NSX Firewall のフィルタに転送します。 NSX Manager と Panorama で SDDC の変更内容の同期を保ち、VM-Series ファイアウォールで常 にポリシーが適用されるようにする方法の詳細は、「ダイナミック アドレス グループを使用 したポリシー適用」を参照してください。 ダイナミック アドレス グループを使用したポリシー適用 他のバージョンの VM-Series ファイアウォールとは異なり、NSX エディションでは両方のバー チャル ワイヤー インターフェイスが同じゾーンに属するため、プライマリ トラフィック セグメ ンテーション メカニズムとしてセキュリティ ゾーンは使用されません。代わりに、NSX エディ ションではトラフィック セグメンテーションにダイナミック アドレス グループが使用されま す。 ダイナミック アドレス グループは、セキュリティ ポリシー内の送信元または宛先オブジェクト として使用されます。データセンター環境の IP アドレスは常に変化するため、ダイナミック ア ドレス グループはセキュリティ ポリシー内の送信元アドレスや宛先アドレスの参照プロセスを 自動化する方法を提供します。設定内で手動で更新し、アドレスが変更(追加、削除、または移 動)されるたびに手動での設定変更が必要がある静的なアドレス オブジェクトとは異なり、ダ イナミック アドレス グループは自動的に変更に対応します。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 95 VM-Series NSX エディション ファイアウォールの概要VM-Series NSX エディション ファイアウォールのセットアッ NSX Manager で定義されたすべてのセキュリティグループは、NetX API 管理プレーン統合を使 用した Panorama への更新として自動的に提供され、ダイナミック アドレス グループを作成する フィルタ基準として使用できます。ファイアウォールはセキュリティグループの名前(タグ)を フィルタし、セキュリティグループに属するすべてのメンバーを検出します。 たとえば、Web アプリケーションに多層アーキテクチャを使用し、NSX Manager で Web フロント エンド サーバー、アプリケーション サーバー、およびデータベース サーバー用の 3 つのセキュ リティグループを作成するとします。NSX Manager は、セキュリティグループの名前、および各 セキュリティグループに含まれるゲストの IP アドレスで Panorama を更新します。 次に、Panorama でデータベース、アプリケーション、および Web フロントエンド としてタグ付 けされたオブジェクトを照合する 3 つのダイナミック アドレス グループを作成します。次に、 セキュリティ ポリシーでダイナミック アドレス グループを送信元または宛先オブジェクトと して使用し、これらのサーバーの通過を許可するアプリケーションを定義してから、VM-Series ファイアウォールにルールをプッシュできます。 ESXi クラスタ内のゲストの追加や変更が行われるたび、またはセキュリティグループの更新や 作成が行われるたびに、NSX Manager は PAN-OS REST ベースの XML API を使用して、ゲストの IP アドレス、およびゲストが属するセキュリティグループを Panorama で更新します。情報のフ ローを追跡する方法については、 「ダイナミック アドレス グループ — NSX Manager から Panorama への情報のリレー」を参照してください。 96 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks VM-Series NSX エディション ファイアウォールのセットアップVM-Series NSX エディション ファイアウォールの概 各セキュリティグループの名前が一意になるように、vCenter サーバーによって、セキュリ ティグループに定義した名前に Managed Object Reference(MOB)ID が割り当てられます。 Panorama でセキュリティグループの名前を表示する構文は、 specified_name-securitygroup-number です。たとえば、WebFrontEnd-securitygroup-47 と指 定します。 Panorama が API 通知を受け取ると、各ゲストの IP アドレス、およびそのゲストが属するセキュ リティグループを確認 / 更新します。次に、Panorama がこれらのリアルタイム更新をデバイス グループに含まれるすべてのファイアウォールにプッシュし、Panorama のサービス マネージャ 設定内のデバイス グループに通知します。 各ファイアウォールの実行時にこれらのダイナミック アドレス グループを参照するすべてのポ リシー ルールが更新されます。ファイアウォールはセキュリティグループ タグを照合してダイ ナミック アドレス グループのメンバーを特定するため、仮想環境に変更を加えたときにポリ シーを変更または更新する必要はありません。ファイアウォールはタグを照合して各ダイナミッ ク アドレス グループの現在のメンバーを検索し、そのグループに含まれる送信元 / 宛先 IP アド レスにセキュリティ ポリシーを適用します。 NSX エディション ソリューションの利点 VM-Series ファイアウォールの NSX エディションは、Software-Defined Data Center 内の East-West 通信のセキュリティ強化に重点を置いています。ファイアウォールのデプロイには以下の利点が あります。 自動デプロイメント — NSX Manager は、次世代ファイアウォール セキュリティ サービスの 提供プロセスを自動化し、VM-Series ファイアウォールでは、透過的なセキュリティ適用を行 うことができます。新しい ESXi ホストがクラスタに追加されると、新しい VM-Series ファイ アウォールが自動的にデプロイされてプロビジョニングされ、手動操作なしで即座にポリ シーを適用できます。自動ワークフローによって、データセンター内の仮想マシン デプロイ メントに対応できます。ファイアウォールはハイパーバイザ上で動作するため、デプロイ後 に、ポート /vSwitch/ ネットワーク トポロジを再設定する必要はありません。各 ESXi ホスト にはファイアウォールのインスタンスがあるため、トラフィックがネットワークを通過した り、検査や一貫したポリシー適用のために逆戻りする必要はありません。 ダイナミック セキュリティでの仮想環境とセキュリティ適用の緊密な統合 — ダイナミック アドレス グループは仮想マシン / アプリケーションの変更を絶えず認識し、セキュリティ ポ リシーがネットワーク内の変更と常に連動していることを保証します。これにより、サーバー 構成が頻繁に変更される SDDC 環境におけるアプリケーションの可視化と保護が可能になり ます。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 97 VM-Series NSX エディション ファイアウォールのデプロイメントのチェックリスト VM-Series NSX エディション 強固な中央管理 — このソリューションを使用してデプロイされたファイアウォールは、Palo Alto Networks の中央管理ツールである Panorama によってライセンスおよび管理されます。 Panorama を使用して外部ネットワークとの境界に配置されるファイアウォールとデータセン ター ファイアウォール(ハードウェア ベースのファイアウォールと仮想ファイアウォール) の両方を管理することで、ポリシー管理を一元化し、ネットワーク全体のポリシー適用の迅 速性と一貫性を確保できます。 つまり、このソリューションを使用することで、仮想ネットワーク の動的性質が最小限の管理 負担で保護されます。より優れた速度、効率、およびセキュリティでアプリケーションをデプロ イできます。 VM-Series NSX エディション ファイアウォールのデプロ イメントのチェックリスト VM-Series ファイアウォールの NSX エディションをデプロイするには、以下のワークフローを使 用します。 ステップ 1: コンポーネントのセットアップ — VM-Series NSX エディションをデプロイするに は、以下のコンポーネント(「NSX エディション ソリューションのコンポーネントは何 か?」を参照)をセットアップします。 – vCenter サーバーをセットアップし、vCenter サーバーで NSX Manager をインストールして 登録します。 仮想スイッチのセットアップと ESXi ホストのクラスタへのグループ化をまだ行ってい ない場合、VMware ドキュメントに記載されている vSphere 環境のセットアップ手順を参 照してください。このドキュメントでは、このソリューションの VMware コンポーネン トのセットアップ プロセスは説明されていません。 – Panorama をバージョン 7.0 にアップグレードします。Panorama でのデバイス グループと テンプレートの作成 . Panorama を初めて使用する場合は、 『Panorama ドキュメント』に記 載されている Panorama のセットアップ手順を参照してください。 – Web サーバで、VM-Series ファイアウォールの NSX エディション用 OVA テンプレートを ダウンロードして保存します。必要に応じて VM-Series ファイアウォールをデプロイでき るように、NSX Manager はネットワークを介してこの Web サーバにアクセスできる必要 があります。OVF テンプレートを Panorama 上にホストできません。 OVA にはバージョンナンバーを含まない、包括的なファイル名をつけます。 https://acme.com/software/PA-VM-NSX.ova のように包括的なファイル名をつけることで、 新しいバージョンがリリースされる度に OVA の差し替えを行うことができます。 – サポート ポータルのサポートアカウントを使用して、VM-Series NSX エディション ファ イアウォールのキャパシティ認証コードを登録します。詳細は、VM-Series Firewall 用のラ イセンスを参照してください。 ステップ 2: 登録 - Panorama が NSX Manager 上のサービスとしての VM-Series ファイアウォー ルの登録するように設定する。登録が完了すると、VM-Series ファイアウォールがネット ワーク サービスのリストに追加され、NSX Manager で透過的にサービスとしてデプロイで きるようになります。 98 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks VM-Series NSX エディション ファイアウォールのセットアップVM-Series NSX エディション ファイアウォールのデ Panorama と NSX Manager 間の接続は、ファイアウォールのライセンスやコンフィグレーショ ンの管理用としても必要になります。 ステップ 3: ファイアウォールのデプロイとポリシーの作成 — VM-Series ファイアウォールを インストールし、トラフィックを VM-Series ファイアウォールにリダイレクトしてそのトラ フィックのセキュリティを強化するポリシーを作成します。VM-Series ファイアウォールの デプロイおよびポリシーの作成を参照してください。 – (NSX Manager)SpoofGuard を有効にし、非 IP プロトコルをブロックするルールを定義し ます。 – (NSX Manager)IP アドレス プールを定義します。定義された範囲内の IP アドレスが VM-Series ファイアウォールの各インスタンスの管理インターフェイスに割り当てられま す。 – (NSX Manager)VM-Series ファイアウォールをデプロイします。NSX Manager によって、 クラスタ内の各 ESXi ホストに VM-1000-HV のインスタンスが自動的にデプロイされま す。 – (NSX Manager)セキュリティグループをセットアップします。セキュリティグループは、 指定されたゲスト / アプリケーションをグループ化してポリシーをグループに適用でき るようにします。次に、Palo Alto Networks サービス プロファイルにトラフィックをリダ イレクトする NSX ファイアウォール ポリシーを作成します。 NSX Manager は、IP アドレスを一致条件として使用し、トラフィックを VM-Series ファイアウォールに誘導します。 VMware Tools がゲストにインストールされていない場合は、「VMware Tools を実行していないゲストからのトラフィッ クの誘導」を参照してください。 – (Panorama)VM-Series ファイアウォールにポリシーを適用します。Panorama から、すべ ての VM-Series ファイアウォールのポリシーを一元的に定義、プッシュ、および管理しま す。Panorama で、各セキュリティグループのダイナミック アドレス グループを作成し、 ポリシー内でダイナミック アドレス グループを参照してから、管理対象ファイアウォー ルにポリシーをプッシュします。 この中央管理メカニズムによって、最小限の管理操作でゲスト / アプリケーションを保 護できます。 ステップ 4: ネットワーク セキュリティのモニターと管理 — Panorama では、ネットワーク トラフィックを包括的にグラフィックで表示できます。Panorama の可視化ツール(アプリ ケーション コマンド センター(ACC) 、ログ、レポート生成機能)を使用すると、すべての ネットワーク アクティビティを一元的に分析、調査およびレポートして、潜在的なセキュ リティへの影響があるエリアを識別し、安全なアプリケーション有効化ポリシーに変換で きます。詳細は、『Panorama 管理者ガイド』を参照してください。 ステップ 5: ソフトウェアバージョンのアップグレード — VM-Series NSX エディションのファ イアウォールをアップグレードする場合、ファイアウォールをアップグレードする前に、 まず Panorama をアップグレードする必要があります。ファイアウォールをアップグレード する方法は、 「PAN-OS ソフトウェア バージョンのアップグレード(NSX エディション)」 を参照してください。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 99 Panorama でのデバイス グループとテンプレートの作成 VM-Series NSX エディション ファイアウォールのセット ファイアウォールの PAN-OS バージョンをアップグレードする場合、 Panorama > VMware Service Manager [Panorama > VMware サービスマネージャー ] の VM-Series OVA URL は変更しないでください。 VM-Series NSX エディションファイアウォールでは VMware スナップショット機能を使用しないでください。スナップ ショットはパフォーマンスに影響を及ぼし、断続的かつ不定のパケットロスを引き起こす可能性があります。VMWare で 推奨されるスナップショットの使用方法を参照してください。 設定のバックアップが必要な場合は Panorama またはファイアウォールの Export named configuration snapshot[ 指 定した設定のスナップショットをエクスポート ](Device > Set up > Operations [ デバイス > 設定 > 操作 ]) を使用します。Export named cinfiguration [ 指定した設定のスナップショット ] 使用して、ファイアウォールでアク ティブな設定内容(running-config.xml)がエクスポートされ、任意のネットワークロケーションに保存できるようにな ります。 Panorama でのデバイス グループとテンプレートの作成 Panorama を使用して VM-Series NSX エディション ファイアウォールを管理するには、ファイア ウォールがデバイス グループに属している必要があります。テンプレートへのファイアウォー ルの追加は任意です。デバイス グループでは、同様のポリシーとオブジェクトが必要なファイ アウォールを論理的なユニットとしてグループ化できます。この設定は Panorama の Objects [ オブ ジェクト ] タブと Policies [ ポリシー ] タブを使用して定義します。テンプレートは、VM-Series ファ イアウォールがネットワーク上で動作するために必要な設定を行うために使用します。この設定 は、Panorama の Device [ デバイス ] タブと Network [ ネットワーク ] タブを使用して定義します。たと えば、テンプレートを使用してファイアウォールへの管理アクセスの定義、または管理対象ファ イアウォール上でのログ設定とサーバー プロファイルの定義を行うことができます。 Panorama を初めて使用する場合は、 『Panorama 管理者ガイド』に記載されている Panorama のセッ トアップ手順を参照してください。 Panorama でのデバイス グループとテンプレートの作成 Step 1 Panorama Web インターフェイスに Web ブラウザから安全な接続(https)を使用し、初期設定 ログインします。 時に割り当てられた IP アドレスとパスワードを使用して ログインします(https://<IP address>)。 Step 2 デバイス グループを追加します。 1. 2. 3. 4. 100 • VM-Series 7.0 デプロイメントガイド Panorama > Device Groups [Panorama > デバイス グループ ] の順に選択し、Add[ 追加 ] をクリックします。 デバイスグループを識別するために、一意の Name [ 名 前 ] と Description [ 内容 ] を入力します。 OK をクリックします。 ファイアウォールがデプロイされてプロビジョニング されると、Panorama > Managed Devices [Panorama > 管理 対象デバイス ] に表示され、デバイス グループのリスト にも表示されます。 Commit [ コミット ] をクリックし、Commit Type[ コミット タイプ ] として Panorama を選択して、Panorama で実行 中の設定への変更を保存します。 Palo Alto Networks VM-Series NSX エディション ファイアウォールのセットアップ Panorama でのデバイス グループとテンプレートの Panorama でのデバイス グループとテンプレートの作成 Step 3 (任意)テンプレートを追加します。 1. 2. 3. 4. Step 4 Panorama > Templates[Panorama > テンプレート ] の順に 選択し、Add[ 追加 ] をクリックします。 テンプレートを識別するために、一意の Name[ 名前 ] と Description[ 内容 ] を入力します。 Operational Mode[ 操作モード ] オプション、 Virtual Systems[ 仮想システム ] チェック ボックス、およ び VPN Disable Mode[VPN 無効モード ] チェック ボックスは、VM-Series ファイアウォールには適用 されません。 OK をクリックします。 Commit[ コミット ] をクリックし、Commit Type[ コミット タイプ ] として Panorama を選択して、Panorama で実行 中の設定に変更を保存します。 ファイアウォールで User-ID と 「VM-Series NSX エディションファイアウォールにおける ゾーンベースプロテクション を ゾーンベースの保護を有効化する」を参照してください。 有効化してください。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 101 NSX Manager 上のサービスとしての VM-Series ファイアウォールの登録 VM-Series NSX エディション ファイア NSX Manager 上のサービスとしての VM-Series ファイア ウォールの登録 VM-Series NSX エディション ファイアウォールのプロビジョニングを自動化するには、NSX Manager と Panorama 間の通信を有効にします。これは 1 回限りのセットアップで、NSX Manager の IP アドレスが変更された場合、または VM-Series ファイアウォール デプロイ用のキャパシティ ライセンスを超えた場合にのみ変更する必要があります。 Panorama を使用したサービスとしての VM-Series ファイアウォールの登録 Step 1 Panorama Web インターフェイス Web ブラウザから安全な接続(https)を使用し、初期 にログインします。 設定時に割り当てられた IP アドレスとパスワードを使 用してログインします(https://<IP address>)。 Step 2 NSX Manager へのアクセスを 1. セットアップします。 2. Panorama > VMware Service Manager の順に選択しま す。 Service Manager Name[ サービス マネージャ名 ] を入力 します。 NSX Manager で、Networking & Security > Service Definitions [ ネットワークとセキュリティ > サービス定 義 ] の Service Manager 列にこの名前が表示さ れます。Step 9 のスクリーンショットを参照して ください。 3. (任意)VM-Series ファイアウォールをサービスとし て識別するための Description[ 説明 ] を入力します。 4. NSX Manager URL (NSX Manager がアクセスする IP アドレスまたは FQDN )を入力します。 5. Panorama が NSX Manager への認証を行えるように NSX Manager Login[NSX Manager ログイン ] に認証情 報(ユーザー名とパスワード)を入力します。 Step 3 OVA ファイルの場所を指定しま VM-Series OVF URL [VM-Series の OVF URL] に、OVF ファ す。 イルをホストする Web サーバの場所を追加します。http および https の両方がサポートされています。たとえば、 .ova ファイルと .vmdk ファイルの 「https://acme.com/software/PA-VM-NSX.ova」 と入力しま 両方を解凍して、同じディレクト す。 リに保存します。どちらのファイ ova ファイルに包括的なファイル名をつけること ルもファイアウォールの各イン で、イメージが柔軟に上書きされ、NSX Manager スタンスのデプロイに使用され と Panorama が非同期になることを防ぎます。 ます。 VM-Series OVF URL に非包括的な名前をつけた場 該当するファイル タイプをダウ 合、NSX Manager の定義が Panorama と同期され ンロードできるように、サーバの なくなります。この競合を解決するためには、 セキュリティ設定を変更する必 URL に記載されたイメージを使用してクラスタ 要 が あ る 場 合、IIS サ ー バ ー で 内の各ホストの VM-Series ファイアウォールを再 Mime タイプ設定を変更したり、 デプロイする必要があります。 Apache サーバで .htaccess ファイル を編集したりします。 102 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks VM-Series NSX エディション ファイアウォールのセットアップ NSX Manager 上のサービスとしての VM-Series Panorama を使用したサービスとしての VM-Series ファイアウォールの登録(続) Step 4 受注完了電子メールで通知された認証コードを入力し ます。この認証コードは、VM-Series の各インスタンス この認証コードは、 のライセンス付与に使用されます。 VM-Series モデルの NSX バ サポート ポータルで、デプロイ可能なファイアウォー ンドル (PAN-VM-1000-HV-PERP- ルの総数および認証コードで使用可能なライセンス総 BND-NSX など)用のもの 数に対する使用済みライセンス数の比率を表示できま である必要があります。 す。 認証コードを追加します。 注文数量およびキャパシ ティがネットワークの ニーズをサポートするの に適切であることを確認します。 Step 5 ファイアウォールが属するデバ このソリューションでデプロイされるファイアウォー イス グループおよび任意でテン ルは、Panorama から集中管理されるため、ファイア プレートを指定します。 ウォールが属する Device Group[ デバイス グループ ] を指 定する必要があります。 Step 4 で定義される認証コードを使用してデプロイさ れるすべてのファイアウォールは、初期デプロイメン ト時に指定したテンプレートおよびデバイス グループ に属します。ファイアウォールの再割り当てを行う場 合は、デプロイ後に手動でそのファイアウォールを別 のテンプレートまたはデバイスグループに移動する必 要があります。 Step 6 新しい仮想マシンがプロビジョ ニングされるか、ネットワークに 変更がある場合、別のデバイス グループへの通知をセット アッ プします。 Step 7 変更を Panorama にコミットしま Commit [ コミット ] を選択し、[ コミット タイプ ] から 次のものを選択します:Panorama す。 Palo Alto Networks ファイアウォールに向かうすべてのトラフィックに常 にポリシーが適用されるように、仮想環境とセキュリ ティ環境の間でコンテキスト認識を作成するには、通 知を行う必要があるデバイス グループを選択する必要 があります。 Notify Device Groups[ デバイス グループに通知] から適用す るデバイス グループを選択します。 指定したデバイス グループに含まれるファイアウォー ルは、セキュリティグループおよび IP アドレスのリア ルタイム更新を受信します。ファイアウォールは、こ の更新を使用してポリシーで参照しているダイナミッ ク アドレス グループを構成する最新メンバーリストを 決定します。 VM-Series 7.0 デプロイメントガイド • 103 NSX Manager 上のサービスとしての VM-Series ファイアウォールの登録 VM-Series NSX エディション ファイア Panorama を使用したサービスとしての VM-Series ファイアウォールの登録(続) Step 8 Panorama の接続状態を確認しま Panorama と NSX Manager 間の接続状態が表示されます。 す。 接続が成功すると、状態は Registered[ 登録済み ] と表示 されます。これは、Panorama および NSX Manager が同 期 さ れ て お り、VM-Series フ ァ イ ア ウ ォ ー ル が NSX Manager 上のサービスとして登録されていることを示 します。 失敗した状態では、以下のメッセージが表示されます。 • Not connected [ 接続されていません ]: NSX Manager に アクセスできないか、NSX Manager へのネットワー ク接続を確立できません。 • Not authorized [ 権限がありません ]: アクセス認証情報 (ユーザー名 / パスワード)が正しくありません。 • Not registered [ 登録されていません ]: サービス、サー ビス マネージャ、またはサービス プロファイルが NSX Manager で使用できないか、削除されています。 • Out of sync [ 同期されていません ]: Panorama に定義され ている設定が、NSX Manager に定義されている設定 と異なります。 • No service/ No service profile [ サービス / サービス プロ ファイルがありません ]:NSX Manager の設定が不完全 であることを示します。 Step 9 ファイアウォールが NSX Manager 上のサービスとして登録されていることを確認します。 1. vSphere Web クライアントから、Networking & Security > Service Definitions [ ネットワーク とセキュリティ > サービス定義 ] の順に選択します。 2. インストール可能なサービスのリストに Palo Alto Networks NGFW が表示されているこ とを確認します。 104 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks VM-Series NSX エディション ファイアウォールのセットアップ VM-Series ファイアウォールのデプロイ VM-Series ファイアウォールのデプロイ VM-Series ファイアウォールを NSX Manager 上のサービス(Palo Alto Networks NGFW)として登 録した後、NSX Manager で以下のタスクを完了します。 SpoofGuard の有効化 IP アドレス プールを定義する VM-Series ファイアウォール用に ESXi ホストを準備する Palo Alto Networks NGFW サービスをデプロイする SpoofGuard の有効化 NSX 分散ファイアウォールは、vCenter Server が認識している IP アドレスに一致するトラフィッ クのみを VM-Series ファイアウォールにリダイレクトできます。つまり、非 IP L2 トラフィック (vCenter Server が認識している IP アドレスに一致しない IP トラフィック)は、NSX Manager で 定義されたリダイレクト ルールに一致せず、VM-Series ファイアウォールに誘導されません。そ のため、すべてのトラフィックが正しくフィルタリングされるようにするには、以下の手順を実 行する必要があります。 SpoofGuard を有効にして、VM-Series ファイアウォールをバイパスする可能性のある不明な IP トラフィックを防止します。 SpoofGuard が有効になっている場合、仮想マシ ンの IP アドレスが変 更されると、NSX SpoofGaurd インターフェイスで IP アドレスの変更を検査して承認するまで、仮想マシンから のトラフィックはブロックされます。 VM-Series ファイアウォールに誘導できない非 IP L2 トラフィックをブロックする NSX ファイ アウォール ルールを設定します。 vCenter は VMware Tools を使用して、各ゲストの IP アドレスを学習します。VMware Tools が 一部のゲストにインストールされていない場合は、 「VMware Tools を実行していないゲストか らのトラフィックの誘導」を参照してください。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 105 VM-Series ファイアウォールのデプロイ VM-Series NSX エディション ファイアウォールのセットアップ SpoofGuard の有効化および非 IP L2 トラフィックのブロック Step 1 ゲストが含まれているポートグループの SpoofGuard を有効にします。 有効になると、SpoofGuard はネットワーク アダプタごとに、指定された MAC のパケットとそれ に対応する IP アドレスを検査します。 1. Networking and Security > SpoofGuard [ ネットワークとセキュリティ > SpoofGuard] の順に選択しま す。 2. Add をクリックして新しいポリシーを作成し、以下のオプションを選択します。 • SpoofGuard: 有効 • Operation Mode [ 動作モード ]:Automatically trust IP assignments on their first use [ 初回使用時に 付与される IP を自動的に信用する ] • Allow local address as valid address in this namespace [ この名前空間ではローカルアドレスを有効な アドレスとして許可 ] します。 • Select Networks: ゲストが接続されるポートグループを選択します。 Step 2 許可する IP プロトコルを選択します。 1. Networking and Security > Firewall > Ethernet [ ネットワークとセキュリティ > ファイアウォール > イー サネット ] の順に選択します。 2. Add [ 追加 ] をクリックし、ARP、IPv4 および IPv6 トラフィックを許可するルールを追加します。 3. Add [ 追加 ] をクリックし、その他のすべてのトラフィックをブロックするルールを追加します。 106 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks VM-Series NSX エディション ファイアウォールのセットアップ VM-Series ファイアウォールのデプロイ IP アドレス プールを定義する IP アドレス プールは、VM-Series ファイアウォールに対する管理アクセスを確立するために予約 されている(静的)IP アドレスの範囲です。NSX Manager が新しい VM-Series ファイアウォール をデプロイする場合、この範囲で利用可能な最初の IP アドレスが、ファイアウォールの管理イ ンターフェイスに割り当てられます。 IP アドレス プールを定義する Step 1 Networking & Security Inventory[ ネットワークとセキュリティインベントリ ] で、NSX Manager を選択 し、ダブル クリックして NSX Manager の設定詳細を開きます。 Step 2 Manage > Grouping Objects > IP Pools [ 管理 > グループオブジェクト > IP プール ] を選択します。 Step 3 Add IP Pool [IP プールを追加 ] をクリックし、Palo Alto Networks NGFW で使用する静的 IP アドレ スの範囲を含む、画面で要求されるネットワーク アクセス詳細を指定します。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 107 VM-Series ファイアウォールのデプロイ VM-Series NSX エディション ファイアウォールのセットアップ VM-Series ファイアウォール用に ESXi ホストを準備する VM-Series ファイアウォールをデプロイするには、クラスタ内の各ゲストに、NSX ファイアウォー ルと VM-Series ファイアウォールの連携に必要な NSX コンポーネントが存在している必要があ ります。NSX Manager で、VM-Series ファイアウォールのデプロイに必要なコンポーネント (Ethernet アダプタ モジュール(.eam)と SDK)をインストールします。 VM-Series ファイアウォール用に ESXi ホストを準備する Step 1 NSX Manager で Networking and Security > Installation > Host Preparation [ ネットワークとセキュリ ティ > インストール環境 > ホスト準備 ] を選択します。 Step 2 Install [ インストール ] をクリックし、インストール状態が成功であることを確認します。 新しい ESXi ホストがクラスタに追加されると、このプロセスが自動化され、必要な NSX コンポーネントが ESXi ホスト上の各ゲストに自動的にインストールされます。 Step 3 インストール状態が成功ではない、または画面上に警告が表示される場合は、Resolve [ 解決 ] リンクをクリックします。再インストールの進行状況をモニターするには、More Tasks [ さらな るタスク ] リンクをクリックし、以下のタスクが正常に完了するのを確認します。 108 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks VM-Series NSX エディション ファイアウォールのセットアップ VM-Series ファイアウォールのデプロイ Palo Alto Networks NGFW サービスをデプロイする 以下の手順を実行して、VM-Series NSX エディションのファイアウォールのインスタンスを指定 したクラスタの各 ESXi ホストにデプロイするプロセスを自動化します。 Palo Alto Networks NGFW サービスをデプロイする Step 1 Networking and Security > Installation > Service Deployments [ ネットワークとセキュリティ > インス トール環境 > サービスデプロイ ] を選択します。 Step 2 New Service Deployment[ 新規サービスデプロイ (緑の+アイコン) ] をクリックし、Palo Alto Networks NGFW サービスを選択します。Next [ 次へ ] をクリックします。 Step 3 Datacenter [ データセンター ] を選択し、サービスをデプロイするクラスタを選択します。選択し Step 4 ファイアウォール用のディスク領域を割り当てるデータストアを選択します。デプロイメントの 状況に合わせて、以下のいずれかのオプションを選択します。 • クラスタに共有ストレージを割り当てた場合は、利用可能な共有データストアを選択します。 • クラスタに共有ストレージを割り当てなかった場合は、Specified-on-host オプションを選択し ます。クラスタ内の各 ESXi ホストについて必ずストレージを選択します。また、VM-Series ファイアウォールの管理トラフィックに使用するネットワークも選択します。 たクラスタ内の各ホストにファイアウォールのインスタンスが 1 つずつデプロイされます。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 109 VM-Series ファイアウォールのデプロイ VM-Series NSX エディション ファイアウォールのセットアップ Palo Alto Networks NGFW サービスをデプロイする(続) Step 5 ファイアウォールへの管理ネットワーク トラフィック アクセスを提供するポート グループを選 択します。 Step 6 各ファイアウォールをデプロイするときに、管理 IP アドレスの割り当てに使用する IP アドレス プール(「IP アドレス プールを定義する」で定義)を選択します。 Step 7 設定を確認し、Finish [ 完了 ] をクリックします。 Step 8 NSX Manager の Installation Status [ インストールステータス ] が Successful [ 成功 ] であることを確認 します。このプロセスには時間がかかる可能性があります。インストールの進行状況をモニター するには、vCenter で More Tasks [ さらなるタスク ] リンクをクリックします。 VM-Series ファイアウォールのインストールが失敗すると、Installation Status 列にエラー メッセージが表示されます。NSX Manager の Tasks [ タスク ] タブおよび Log Browser [ ログ ブラウザ ] を使用して、エラー詳細を表示し、VMware ドキュメントのトラブルシューティ ング手順を参照することができます。 110 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks VM-Series NSX エディション ファイアウォールのセットアップ VM-Series ファイアウォールのデプロイ Palo Alto Networks NGFW サービスをデプロイする(続) Step 9 ファイアウォールが正常にデプロイされ、Panorama に接続されていることを確認します。 vCenter サーバーで、Hosts and Clusters[ ホストおよびクラスタ ] を選択し、クラスタ内の各ホスト にファイアウォールのインスタンスが 1 つあることを確認します。 VM-Series ファイアウォールでは VMware Tools がサポートされていないので、管理インター フェイスに割り当てられた IP アドレスと MAC アドレスを参照する場合については VM-Series NSX エディションファイアウォールの管理アドレスを ESXi ホストへマッピング するをご覧ください。 Step 10 Panorama Web インターフェイスにアクセスし、VM-Series ファイアウォールが Panorama に接続さ れ、同期していることを確認します。 1. Panorama > Managed Devices[Panorama > 管理対象デバイス ] の順に選択し、ファイアウォールが 接続され、同期していることを確認します。 2. Commit [ コミット ] をクリックし、[ コミット タイプ ] で Panorama を選択します。 Panorama でデバイスのシリアル番号を確実に設定に保存するには、定期的な Panorama の コミットが必要です。変更をコミットせずに Panorama を再起動すると、管理対象デバイ スは Panorama に接続し直されません。デバイスのリストにデバイス グループは表示され ますが、そのデバイスは Panorama > Managed Devices[Panorama > 管理対象デバイス ] には表示され ません。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 111 VM-Series ファイアウォールのデプロイ VM-Series NSX エディション ファイアウォールのセットアップ Palo Alto Networks NGFW サービスをデプロイする(続) Step 11 キャパシティ ライセンスが適用されていることを確認し、購入した追加ライセンスを適用しま す。少なくとも、各ファイアウォールでサポート ライセンスをアクティベーションする必要が あります。 1. Panorama > Device Deployment > Licenses [Panorama > デバイスのデプロイ > ライセンス ] を選択し、 VM-Series のキャパシティ ライセンスが適用されていることを確認します。 2. VM-Series ファイアウォールに追加ライセンスを適用するには、以下の手順を実行します。 • Panorama > Device Deployment > Licenses[Panorama > デバイスのデプロイ > [ ライセンス ] で Activate[ アクティベーション ] をクリックします。 • ファイアウォールを検索するか、フィルタリングして、Auth Code[ 認証コード ] 列に認証 コードを入力し、ライセンスをアクティベーションします。各ファイアウォールに一度に 入力できる 認証コードは 1 つだけです。 3. Activate[ アクティベーション ] をクリックし、ライセンスのアクティベーションの結果が成功で あることを確認します。 Step 12 (任意)VM-Series ファイアウォールの PAN-OS バージョンをアップグレードします。 「PAN-OS ソ フトウェア バージョンのアップグレード(NSX エディション)」を参照してください。 112 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks VM-Series NSX エディション ファイアウォールのセットアップ ポリシーの作成 ポリシーの作成 以下のトピックでは、NSX Manager でポリシーを作成してトラフィックを VM-Series ファイア ウォールにリダイレクトする方法と、Panorama でポリシーを作成してそのポリシーを VM-Series ファイアウォールに適用し、VM-Series ファイアウォールがリダイレクトされてきたトラフィッ クにポリシーを適用できるようにする方法について説明します。 NSX Manager でセキュリティ ポリシーを定義する VM-Series ファイアウォールにポリシーを適用する NSX Manager でセキュリティ ポリシーを定義する VM-Series ファイアウォールでトラフィックを保護するには、以下のタスクを実行する必要があ ります。 NSX Manager でのセキュリティグループの設定 VM-Series ファイアウォールへのトラフィックのリダイレクト VM-Series ファイアウォールにポリシーを適用する。 NSX Manager でのセキュリティグループの設定 セキュリティグループは、クラスタ内の複数の ESXi ホストのゲストをグループ化する論理コン テナです。セキュリティグループを作成するとゲストの管理や保護が容易になります。セキュリ ティグループでのポリシーの適用の詳細は、「ダイナミック アドレス グループを使用したポリ シー適用」を参照してください。 NSX Manager でのセキュリティグループの設定 Step 1 Networking and Security > Service Composer > Security Groups [ ネットワークとセキュリティ > サービス New Security Group [ 新規セキュリティグループ ] コンポーザー > セキュリティグループ ] の順に選択し、 を追加します。 Step 2 Name [ 名前 ] と Description [ 説明 ] を入力します。この名前は、Panorama でダイナミック アドレ ス グループを定義するときに一致条件のリストに表示されます。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 113 ポリシーの作成 VM-Series NSX エディション ファイアウォールのセットアップ NSX Manager でのセキュリティグループの設定(続) Step 3 セキュリティグループを構成するゲストを選択します。メンバーは動的または静的に追加できま す。Define Dynamic Membership [ ダイナミックメンバーシップを定義 ] を使用して、セキュリティ タ グ(推奨)の照合で動的メンバーシップを定義したり、Select the Objects to Include [ インクルード するオブジェクトを選択 ] を使用して、含めるオブジェクトを静的に選択したりできます。以下の スクリーンショットでは、セキュリティグループに属するゲストを、次のオプションを使用して 選択しています。Objects Type: Virtual Machine [ オブジェクトタイプ:仮想マシン ] Step 4 詳細を確認し、OK をクリックしてセキュリティグループを作成します。 VM-Series ファイアウォールへのトラフィックのリダイレクト NSX Manager、VM-Series ファイアウォールおよび Panorama でどのようにルールが機能するか理 解するまでは、トラフィック リダイレクト ポリシーを適用しないでください。VM-Series ファイ アウォール上のデフォルト ポリシーは、deny all トラフィックに設定されます。これは、VM-Series ファイアウォールにリダイレクトされるすべてのトラフィックがドロップされることを意味し ます。Panorama でポリシーを作成し、VM-Series ファイアウォールにプッシュするには、 「VM-Series ファイアウォールにポリシーを適用する」を参照してください。 VM-Series ファイアウォールにトラフィックをリダイレクトする NSX ファイアウォールルールの定義 Step 1 Networking and Security > Firewall > Configuration [ネットワークとセキュリティ > ファイアウォール > 構 成 ] の順に選択し、Partner Security Services [ パートナーセキュリティサービス ] をクリックします。 Step 2 Action 列で、緑の+アイコンをクリックし、Name [ 名前 ] にルールの名前を追加します。 114 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks VM-Series NSX エディション ファイアウォールのセットアップ ポリシーの作成 VM-Series ファイアウォールにトラフィックをリダイレクトする NSX ファイアウォールルールの定義(続) Step 3 Source [ ソース ] で、トラフィックのリダイレクト元を指定します。Object Type [ オブジェクトタイ プ ] ドロップダウンで、Security Group [ セキュリティグループ ] を選択し、以前に定義したグループ から選択します。OK をクリックします。 Step 4 Destination [ 宛先 ] で、トラフィックのフローの宛先を指定します。Object Type [ オブジェクトタイ プ ] ドロップダウンで、Security Group [ セキュリティグループ ] を選択し、関連するグループを選択 します。OK をクリックします。 Step 5 Action [ アクション ] で、トラフィックのアクションを指定します。作成済みの Palo Alto Networks サービス プロファイル(このワークフローでは Palo Alto Networks profile 1)にトラフィックをリ ダイレクトします。このプロファイルは、ファイアウォールへのデータ トラフィックの送信元と なるネットワーク / ポート グループ / セキュリティグループを指定します。 たとえば、セキュリティグループから Web フロント エンド サーバーに向かうすべての受信トラ フィックと、サーバーからセキュリティグループに向かうすべてのアウトバウンド トラフィック を検査する場合、ルールは以下のようになります。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 115 ポリシーの作成 VM-Series NSX エディション ファイアウォールのセットアップ VM-Series ファイアウォールにトラフィックをリダイレクトする NSX ファイアウォールルールの定義(続) Step 6 1 つ以上のセキュリティグループ、分散ポート グループまたは論理スイッチを Palo Alto Networks サービス プロファイルにバインドします。オブジェクト タイプを組み合わせることはできませ ん。選択した各 ESXi ホストからのトラフィックは、ファイアウォールにリダイレクトされます。 1. 作成したファイアウォール ルールの Action [ アクション ] 列で、Palo Alto Networks profile 1 リン クをクリックします。 2. Object Type [ オブジェクトタイプ ] を選択して、プロファイルにバインドするオブジェクトを 1 つ以上選択し、OK をクリックします。 3. Publish [ 公開 ] をクリックして変更を公開します。 VM-Series ファイアウォールにポリシーを適用する NSX Manager でセキュリティ ポリシーを作成したので、セキュリティ ポリシーで参照している セキュリティグループの名前が Panorama で利用できるようになります。これで、Panorama を使 用して VM-Series ファイアウォール上のポリシーを中央管理できます。 一元化されたポリシーを管理するには、まず NSX Manager で定義したセキュリティグループの 名前と一致するダイナミック アドレス グループを作成する必要があります。次に、ダイナミッ ク アドレス グループをセキュリティポリシーの送信元アドレスまたは宛先アドレスとして適用 し、ファイアウォールにプッシュします。ファイアウォールは、各セキュリティグループに含ま れる仮想マシンの IP アドレスを動的に取得することができ、指定されたグループにある仮想マ シンからのトラフィックまたは仮想マシンへのトラフィックにコンプライアンスを適用します。 116 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks VM-Series NSX エディション ファイアウォールのセットアップ ポリシーの作成 Panorama でポリシーを定義する Step 1 ダイナミック アドレス グループを 1. 作成します。 2. Object > Address Groups [ オブジェクト > アドレスグループ ] を選択します。 3. Panorama でのデバイス グループとテンプレートの作成 で VM-Series NSX エディション ファイアウォールを管理 するために作成した Device Group[ デバイス グループ ] を選択します 4. Add[ 追加 ] をクリックし、Name[ 名前 ] にアドレス グ ループの名前を、Description[ 内容 ] にアドレス グルー 5. 6. 7. 8. 9. Palo Alto Networks Panorama Web インターフェイスにログインします。 プの内容を入力します。 Type[ タイプ ] で Dynamic[ ダイナミック ] を選択します。 Add Match Criteria[ 条件の追加 ] をクリックします。And または Or 演算子 を選択して、一致させたいセキュリ ティグループの名前の隣の を選択します。 一致条件のダイアログに表示されるセキュリ ティグループは、NSX Manager の Service Composer で定義したグループから取得されています。ここ では、セキュリティ ポリシーで参照されているセ キュリティグループと VM-Series ファイアウォー ルにトラフィックをリダイレクトしているセ キュリティ ポリシーのみが表示されます。 OK をクリックします。 ステップ 4 から 7 を繰り返し、ネットワークに適切な 個数のダイナミック アドレス グループを作成します。 Commit[ コミット ] をクリックします。 VM-Series 7.0 デプロイメントガイド • 117 VM-Series NSX エディション ファイアウォールのセットアップ ポリシーの作成 Panorama でポリシーを定義する(続) Step 2 セキュリティポリシールールを作成 1. する 2. 3. 4. 5. Policies > Security [ ポリシー > セキュリティ ] の順に選択 します。 Panorama でのデバイス グループとテンプレートの作成 で VM-Series NSX エディション ファイアウォールを管 理するために作成した Device Group[ デバイス グループ ] を選択します Add[ 追加 ] をクリックし、ルールの Name[ 名前 ] および Description[ 内容 ] を入力します。この例では、セキュリ ティ ルールが Web フロントエンド サーバとアプリケー ション サーバの間のすべてのトラフィックを許可して います。 Source Address[ 送信元アドレス ] および Destination Address[ 宛先アドレス ] には、アドレス、アドレスグルー プ、または国を選択または入力します。この例では、ア ドレス グループに上記の Step 1 で作成したダイナミッ ク アドレス グループを選択します。 許可する Application[ アプリケーション ] を選択します。 この例では、グループ化された特定のアプリケーショ ンの静的グループを含む Application Group[ アプリケー ショングループ ] を作成します。 a. Add [ 追加 ] をクリックし、New Application Group[ 新規 アプリケーション グループ ] を選択します。 b. Add[ 追加 ] をクリックし、グループに含めるアプリ ケーションを選択します。この例では、以下を選択 します。 c. OK をクリックしてアプリケーショングループを作成 します。 6. 7. 8. 118 • VM-Series 7.0 デプロイメントガイド トラフィックについてのアクションを Allow または Deny に指定し、任意で Profiles[ プロファイル ] の [ アン チウイルス ]、[ アンチスパイウェア ]、[ 脆弱性防御 ] の デフォルト セキュリティ プロファイルを関連付けま す。 ステップ 3 から 6 を繰り返し、関連するポリシー ルー ルを作成します。 Commit [ コミット ] をクリックし、 [ コミット タイプ ] で Panorama を選択します。OK をクリックします。 Palo Alto Networks VM-Series NSX エディション ファイアウォールのセットアップ ポリシーの作成 Panorama でポリシーを定義する(続) Step 3 VM-Series NSX エディション ファイ 1. アウォールにポリシーを適用しま す。 2. 3. Step 4 ダイナミック アドレス グループの 1. メ ン バ ー が、VM-Series フ ァ イ ア ウォール上に存在することを確認し ます。 Panorama では、ダイナミック アドレス グループのメン バー(登録された IP アドレ ス)を確認することができま せん。この情報は、ポリシー を適用する VM-Series ファイ アウォールからのみ表示可能 2. です。 3. 4. Commit [ コミット ] をクリックし、[ コミットタイプ ] か ら Device Groups [ デバイスグループ ] を選択します。 デバイス グループ(この例では NSX デバイス グルー プ)を選択し、OK をクリックします。 コミットが成功したことを確認します。 Panorama からは、デバイス コンテキストを切り替えて ポリシーのプッシュ対象のファイアウォールの Web イ ンターフェイスを起動します。 VM-Series ファイアウォールで、Policies > Security [ ポリ ルールを選択します。 シー > セキュリティ]の順に選択し、 アドレス グループのリンクの隣にあるドロップダウン の矢印を選択し、Inspect[ 検査 ] をクリックします。一 致基準が正確であるか確認することもできます。 more[ 詳細 ] リンクをクリックし、登録された IP アドレ スのリストが表示されることを確認します。 このアドレス グループに属し、ここに表示されるすべ ての IP アドレスについてポリシーが適用されます。 Step 5 (任意)テンプレートを使用して、 テンプレートの使用については、『Panorama 管理者ガイド』 DNS サーバ、NTP サーバ、Syslog サー を参照してください。 バ、およびログイン バナーなどの ネットワーク基本設定およびデバイ ス設定をプッシュします。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 119 VMware Tools を実行していないゲストからのトラフィックの誘導VM-Series NSX エディション ファイアウォールの VMware Tools を実行していないゲストからのトラフィッ クの誘導 VMware Tools には、クラスタ内で実行されている各ゲストの IP アドレスを NSX Manager で収集 できるようにするユーティリティがあります。NSX Manager は、IP アドレスを一致条件として使 用し、トラフィックを VM-Series ファイアウォールに誘導します。VMware Tools を各ゲストにイ ンストールしていない場合、NSX Manager でゲストの IP アドレスを使用できず、トラフィック を VM-Series ファイアウォールに誘導できません。 以下のステップでは、VMware Tools を使用せずにゲストを手動でプロビジョニングして、これら の各ゲストからのトラフィックを VM-Series ファイアウォールで管理できます。 VMware Tools を実行していないゲストからのトラフィックの誘導 Step 1 VM-Series ファイアウォールで保護する必要があるゲストが含まれる IP セットを作成します。こ の IP セットは、以下の Step 4 に記載されている NSX 分散ファイアウォール ルールの送信元オブ ジェクトまたは宛先オブジェクトとして使用されます。 1. NSX Managers > Manage > Grouping Objects > IP Sets [NSX Managers > 管理 > グループオブジェクト > IP セット ] の順に選択します。 2. Add [ 追加 ] をクリックし、VMware Tools がインストールされておらず、VM-Series ファイア ウォールで保護する必要のあるゲストの IP アドレスを入力します。コンマを使用して個々の IP アドレスを区切ります。IP 範囲やサブネットは使用できません。 Step 2 SpoofGaurd が有効になっていることを確認します。有効になっていない場合は、「SpoofGuard の 有効化」を参照してください。 Step 3 SpoofGuard で各ゲストの IP アドレスを手動で承認します。これにより、承認された IP アドレス がそのネットワーク アダプタの正しいアドレスであると認められます。手動で設定した IP アド レスの場合、SpoofGuard で承認する前に IP アドレスを IP セットに追加してください。 1. 以前に作成した新しい SpoofGuard ポリシーを選択し、View: Inactive Virtual NICs を選択します。 2. ゲストを選択して Approved IP フィールドに IP アドレスを追加し、Publish をクリックして変更 を公開します。 3. 以前に承認したすべての IP アドレスも確認して承認します。 Step 4 IP セットを NSX のセキュリティグループに割り当てて、ポリシーを適用します。 1. Networking and Security > Service Composer > Security Groups [ ネットワークとセキュリティ > サービ スコンポーザー > セキュリティグループ ] の順に選択します。 2. Select objects to include > IP Sets [ インクルードするオブジェクトを選択 > IP セット ] の順に選択し、 含める IP セット オブジェクトを追加します。 120 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks VM-Series NSX エディション ファイアウォールのセットアップダイナミック アドレス グループ — NSX Manager か ダイナミック アドレス グループ — NSX Manager から Panorama への情報のリレー VM-Series および NSX 統合データセンターでセキュリティ ポリシーを適用するには、 Panorama が 仮想環境の変更に関する情報を取得できる必要があります。新しい仮想マシンがデプロイ、変 更、削除されると、NSX Manager は、NSX Manager のセキュリティグループで追加または削除さ れた IP アドレスを Panorama に通知します。その後、Panorama は、この情報を VM-Series ファイ アウォールにプッシュします。ファイアウォール ポリシーで参照されるダイナミック アドレス グループがこの情報に対して照合され、グループに属するメンバが決まります。このプロセスに より、ファイアウォールはコンテキストを認識するセキュリティ ポリシーを適用できるように なり、これらの仮想マシンの送受信トラフィックが保護されます。ダイナミック アドレス グルー プの詳細は、 「ダイナミック アドレス グループを使用したポリシー適用」を参照してください。 以下の図は、どのように情報が NSX Manager から Panorama にリレーされるのかを示しています。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 121 ダイナミック アドレス グループ — NSX Manager から Panorama への情報のリレー VM-Series NSX エディション このプロセスを理解するために、 新しいサーバがセキュリティグループに追加されるときにNSX Manager から Panorama に送信される情報の更新を追跡しましょう。この例の各フェーズの出力内 の強調表示されている要素を使用して、どこでプロセスが失敗したのかをトラブルシューティン グします。 NSX Manager から Panorama への情報リレー Step 1 リアルタイムに更新を表示するため Panorama でコマンド ライン インターフェイスにログイン に、Panorama CLI にログインします。 します。 Step 1 NSX Manager からのリクエストが NSX セキュリティグループの更新時に Panorama の Web Panorama の Web サーバにルーティ サーバ ログを確認するには、以下のコマンドを使用します。 admin@Panorama> tail follow yes webserver-log cmsaccess.log ングされていること確認します。 127.0.0.1 - - [Wed Dec 03 14:24:11 2014 PST] "POST /unauth/php/RestApiAuthenticator.php HTTP/1.1" 200 433 127.0.0.1 - - [Wed Dec 03 14:24:11 2014 PST] "PUT /api/index.php?client=wget&file-name=dummy&type=vmware/vmware/2. 0/si/serviceprofile/serviceprofile-1/containerset HTTP/1.0" 200 446 出力に上記の要素が含まれていない場合、ルーティ ングに問題がないかどうか確認してください。NSX Manager から Panorama に ping し、ACL、または NSX Manager と Panorama 間の通信をブロックする可能性 のあるその他のネットワーク セキュリティ デバイ スをチェックします。 122 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks VM-Series NSX エディション ファイアウォールのセットアップダイナミック アドレス グループ — NSX Manager か NSX Manager から Panorama への情報リレー(続) Step 2 要求が Panorama の PHP デーモンに 1. よって解析されていることを確認し ます。 2. 以下の URL を使用したデバッグを有効化する :https://<Panorama_IP>/php/utils/debug.php CLI から以下のコマンドを入力して、PHP サーバーで 生成されたログを表示します。 admin@Panorama> tail follow yes mp-log php.debug.log [2014/12/03 14:24:11] <request cmd="op" cookie="0604879067249569" refresh="no"> <operations xml="yes"> <show> <cli> ... <request> <partner> <vmware-service-manager> <update> <method>PUT</method> <type>update</type> <username>_vsm_admin</username> <password>4006474760514053</password> <url>/vmware/2.0/si/serviceprofile/serviceprofile1/containerset</url> <data><![CDATA[ <containerSet><container><id>securitygroup-10</id> <name>WebServers</name><description></description> <revision>8</revision><type>IP</type><address>10.3 .4.185</address><address>10.3.4.186</address><addr ess>15.0.0.203</address><address>15.0.0.202</addre ss></container></containerSet>]]></data> </update> </vmware-service-manager> </partner> </request> </operations> </request> Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 123 ダイナミック アドレス グループ — NSX Manager から Panorama への情報のリレー VM-Series NSX エディション NSX Manager から Panorama への情報リレー(続) Step 3 この情報は、Panorama の管理サーバ 1. によって処理されます。 以下のコマンドを使用して、管理サーバのデバッグを 有効にします。 admin@Panorama> debug management-server on debug 2. 以下のコマンドを入力して、設定ログで生成されたロ グを表示します。 admin@Panorama> tail follow yes mp-log configd.log 3. 出力で、更新が PHP デーモンから管理サーバ デーモン にリレーされたことを確認します。 2014-12-03 14:24:11.143 -0800 debug: pan_job_progress_monitor(pan_job_mgr.c:3694): job-monitor: updated 0 jobs \xc9 \xc9 2014-12-03 14:24:11.641 -0800 debug: recursive_add_params(pan_op_ctxt.c:158):> 'url'='/vmware/2.0/si/serviceprofile/serviceprofil e-1/containerset' 2014-12-03 14:24:11.641 -0800 debug: recursive_add_params(pan_op_ctxt.c:158):> 'data'=' <containerSet><container><id>securitygroup-10</id> <name>WebServers</name><description></description> <revision>8</revision><type>IP</type><address>10.3 .4.185</address><address>10.3.4.186</address><addr ess>15.0.0.203</address><address>15.0.0.202</addre ss></container></containerSet>' 2014-12-03 14:24:11.641 -0800 Received vshield update:PUT /vmware/2.0/si/serviceprofile/serviceprofile-1/con tainerset Received dynamic address update from VSM: <request cmd='op' cookie='0604879067249569' client="xmlapi"><operations xml='yes'><request> <partner> <vmware-service-manager> <update> <method>PUT</method> <type>update</type> <username>_vsm_admin</username> <password>4006474760514053</password> <url>/vmware/2.0/si/serviceprofile/serviceprofile1/containerset</url><data><![CDATA[ <containerSet><container><id>securitygroup-10</id> <name>WebServers</name><description></description> <revision>8</revision><type>IP</type><address>10.3 .4.185</address><address>10.3.4.186</address><addr ess>15.0.0.203</address><address>15.0.0.202</addre ss></container></containerSet>]]> </data> </update> 124 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks VM-Series NSX エディション ファイアウォールのセットアップダイナミック アドレス グループ — NSX Manager か NSX Manager から Panorama への情報リレー(続) 4. IP アドレスおよびセキュリティグループ タグのリスト を探します。 2014-12-03 14:24:11.646 -0800 debug: pan_cfg_mongo_sel_ip_taglist_by_tag_rev(src_cms/pa n_cfg_mongo_tables.c:3721):ip:10.3.4.185 2014-12-03 14:24:11.646 -0800 debug: pan_cfg_mongo_sel_ip_taglist_by_tag_rev(src_cms/pa n_cfg_mongo_tables.c:3738):tag:WebServers-security group-10 2014-12-03 14:24:11.646 -0800 debug: pan_cfg_mongo_sel_ip_taglist_by_tag_rev(src_cms/pa n_cfg_mongo_tables.c:3721):ip:15.0.0.202 2014-12-03 14:24:11.646 -0800 debug: pan_cfg_mongo_sel_ip_taglist_by_tag_rev(src_cms/pa n_cfg_mongo_tables.c:3738):tag:WebServers-security group-10 pan_cfg_mongo_sel_ip_taglist_by_tag_rev(src_cms/pa n_cfg_mongo_tables.c:3738):tag:DomainControllers-s ecuritygroup-16 2014-12-03 14:24:11.647 -0800 debug: pan_cfg_mongo_sel_ip_taglist_by_tag_rev(src_cms/pa n_cfg_mongo_tables.c:3721):ip:15.0.0.201 2014-12-03 14:24:11.648 -0800 debug: pan_cfg_mongo_sel_ip_taglist_by_tag_rev(src_cms/pa n_cfg_mongo_tables.c:3738):tag:SQLServers-security group-11 2014-12-03 14:24:11.665 -0800 debug: pan_cfg_mongo_sel_ip_taglist_by_tag_rev(src_cms/pa n_cfg_mongo_tables.c:3738):tag:SharePointServers-s ecuritygroup-13 2014-12-03 14:24:11.665 -0800 debug: pan_cfg_mongo_sel_ip_taglist_by_tag_rev(src_cms/pa n_cfg_mongo_tables.c:3721):ip:10.3.4.187 2014-12-03 14:24:11.665 -0800 debug: pan_cfg_mongo_sel_ip_taglist_by_tag_rev(src_cms/pa n_cfg_mongo_tables.c:3738):tag:SharePointServers-s ecuritygroup-13 ... 5. 最後に、更新が管理サーバ デーモンから管理対象ファ イアウォールにリレーされたことを確認します。 Send to device:007900002079 [UNREG:0; REG:2] with dynamic address update :<request cmd='op' cookie='0604879067249569' target\xc9 . <register> <entry ip="15.0.0.203"> <tag> <member>WebServers-securitygroup-10</member> </tag> </entry> <entry ip="10.3.4.186"> <tag> <member>WebServers-securitygroup-10</member> </tag> </entry> </register> このプロセスが完了すると、ファイアウォールはポリシーを適用し、これらのサーバを正常に保 護できます。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 125 VM-Series NSX エディションファイアウォールの管理アドレスを ESXi ホストへマッピングする VM-Series NSX エ VM-Series NSX エディションファイアウォールの管理ア ドレスを ESXi ホストへマッピングする 新規の ESXi ホストがクラスタに追加され、NSX Manager が事前定義済みの IP アドレスプールか ら管理 IP を割り当てると、VM-Series NSX エディションファイアウォールのインスタンスが自動 的にデプロイされます。IP アドレスの自動割り当てを使用する場合は、ホストする ESXi サーバ からファイアウォールに管理 IP をマッピングする手段が必要になります。VM-Series ファイア ウォールは、VMware Tools のようにゲストに割り当てられた IP アドレスなどの取得 / 監視が可 能なユーティリティを持たないため、 (手動またはスクリプトを使用して)この情報をこの統合 ソリューションの様々なコンポーネントと照合する必要があります。 vCenter サーバー VM-Series ファイアウォール ESXi サーバー • VM-Series ファイアウォールの管理 • VM-Series ファイアウォール • ファイアウォールの管理イン インターフェイスに割り当てられ に割り当てられた IP アドレ ターフェイスの IP アドレス た MAC アドレス スプール • ファイアウォールのホスト名こ • vCenter サーバ形式と一致する名称 • VM-Series ファイアウォール れはユーザー設定によるもの の VM-Series ファイアウォール例 : をホストする ESXi サーバの で、vCenter サーバーあるいは IP アドレス ESXi サーバのフォーマットはあ Palo Alto Networks NGFW (1) りません。 • 次の形式で表記された VM-Series ファイアウォール • ファイアウォールのシリアル番 の名称 : 号 Palo Alto Networks NGFW (number) • ファイアウォールの管理イン ターフェイスの MAC アドレス さらに、デプロイされる VM-Series ファイアウォールについて以下の情報を含むアウトプットを 作成します。 VM-Seriesホスト名 管理 IP アドレス 管理 MAC アドレス ESXi ホスト シリアル番号 PA-VM-01 00:50:56:be:22:9c 10.3.4.94 007200002624 10.3.4.98 ESXi ホスト IP アドレスを使用して VM-Series の情報のマッピングを行う Step 1 vCenter サーバで VM-Series ファイア 1. ウォールに割り当てられたIPアドレ スプールを見つけます。 2. 126 • VM-Series 7.0 デプロイメントガイド Networking & Security Inventory [ ネットワークとセキュリ ティのインベントリ ] を選択します。 NSX Manager を選択し、Manage >Grouping Objects > IP Pools [ 管理 > グループ化オブジェクト > IP プール ] の順に 開きます。 Palo Alto Networks VM-Series NSX エディション ファイアウォールのセットアップ VM-Series NSX エディションファイアウォールの管 ESXi ホスト IP アドレスを使用して VM-Series の情報のマッピングを行う(続) Step 2 VM-Series ファイアウォールから、管 1. 理インターフェイス用のホスト名、 シリアルナンバー、IP アドレスと 2. MAC アドレスを取得します。 アドレスプールから VM-Series ファ イアウォールに割り当てられた各IP アドレスの数だけ、この手順を繰り 返す必要があります。 SSH を使用して VM-Series ファイアウォールの管理 IP アドレスにログインします。 以下の CLI コマンドを実行して情報を取得します。 a. admin@PA-VM-01> show system info | match hostname hostname:PA-VM-01 b. admin@PA-VM-01> show system info | match ip-address ip-address:10.3.4.98 c. admin@PA-VM-01> show system info | match mac-address mac-address:00:50:56:be:22:9c d. admin@PA-VM-01> show system info | match serial serial:007200002624 Step 3 クラスタ内のそれぞれの ESXi サーバ上で、VM-Series ファ イアウォールの管理インターフェイスに割り当てられた MAC アドレスを取得します。 1. SSH を使用して ESXi ホストにアクセスします。 次に、Step 2-c で取得した MAC アド 2. ホスト名を使用した場合は以下のコマンドを実行して ESXi ホストの IP アドレスを取得してください。 レス一致させ、ファイアウォールを [root@localhost:~] esxcfg-vmknic -l | grep vmk0 ホストする ESXi サーバを参照する vmk0 6 IPv4 10.3.4.94 255.255.254.0 ことが出来ます。 ESXi サーバ上で、VM-Series ファイ アウォールの管理インターフェイ スに割り当てられた MAC アドレス を判別します。 クラスタ内の各 ESXi サーバ用にこ 3. の手順を繰り返してください。 10.3.5.255 00:21:cc:de:cb:99 1500 true STATIC defaultTcpipStack 65535 ホストのローカルデータストアにアクセスします。 [root@localhost:~] cd "/vmfs/volumes/<local datastore>" 4. ディレクトリの一覧を作成します。 [root@localhost:/vmfs/volumes/5570e75b-649e99c9-24 27-0021ccdecb99] ls 5. この手順は、ESXi サーバのローカル データストアにインストールされた VM-Seriesファイアウォール用のもので すので、NFS など、共有データストア にインストールされたVM-Seriesファイ アウォールには使用できません。 Palo Alto Networks NGFW (2) VM-Series ファイアウォールのファイルを格納している ディレクトリを参照します。 a. [root@localhost:/vmfs/volumes/5570e75b-649e99c92427-0021ccdecb99] cd \xd2 Palo Alto Networks NGFW (2)\xd3 b. [root@localhost:/vmfs/volumes/5570e75b-649e99c92427-0021ccdecb99/Palo Alto Networks NGFW (2)] ls 6. MAC アドレスを検出します。 [root@localhost:/vmfs/volumes/5570e75b-649e99c9-24 27-0021ccdecb99/Palo Alto Networks NGFW (2)] grep Address *.vmx ethernet0.generatedAddress = "00:50:56:be:22:9c" Step 4 これらを組み合わせて各 ESXi ホ 以下の情報を特定できました: ESXi サーバ :10.4.3.94 ストと VM-Series ファイアウォー ルのマッピングを行ってくださ ホスト名 :PA-VM-01 (vCenter サーバ上では Palo Alto い。 Networks NGFW (2) と表示されます ) 管理 IP アドレス :10.3.4.98 管理 MAC アドレス :00:50:56:be:22:9c Serial Number:007200002624 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 127 VM-Series NSX エディションファイアウォールにおけるゾーンベースの保護を有効化する VM-Series NSX エディ VM-Series NSX エディションファイアウォールにおける ゾーンベースの保護を有効化する VM-Series NSX エディションファイアウォールをデプロイした場合、イーサネット 1/1 およびイー サネット 1/2 のインターフェイスは、default-vwire という名前のバーチャルワイヤーと default-zone という名前のセキュリティゾーンに割り当てられたバーチャルワイヤインターフェイスとして 自動的に設定が行われます。よって、User-ID とゾーンベースの保護を有効化するためには、手 動で Panorama 上に同じインターフェースとゾーン設定を作成し、更にテンプレート上でゾーン ベースの保護を設定し、管理対象のファイアウォールへテンプレートをプッシュする必要があり ます。 VM-Series NSX エディションファイアウォールでゾーンベースの保護を有効化することで、あな たのネットワークはさまざまな種類のフラッドや偵察攻撃あるいはパケットベースの回避行為 から保護され、以下が保護されます。 あなたのデータセンター内の仮想マシン間の階層内および階層間トラフィック あなたのデータセンター内の仮想マシンに向けたインターネットからのトラフィック VM-Series NSX エディションファイアウォールにおけるゾーンベースの保護を有効化する Step 1 Panorama にネットワークインター 1. フェイスのテンプレートを作成し ます。 2. 3. Network > Interfaces [ ネットワーク > インターフェイス ] の 順に選択します。 表示される Template [ テンプレート ] が VM-Series NSX エ ディションファイアウォールと一致していることを確 認します。異なっている場合は正しいテンプレートを 選択してください。 Add Interface [ インターフェイスの追加 ] を選択して、以 下の設定を編集します。 a. Slot [ スロット ]:Slot 1 b. Interface Name [インターフェイス名]: イーサネット1/1 (もう一方のインターフェイス用に設定を再度行っ ている場合はイーサネット 1/2 を使用してください) c. Interface Type [ インターフェイス タイプ ] : バーチャル ワイヤ d. Virtual Wire [ バーチャルワイヤ ]: 新規のバーチャルワ イヤーを作成し、default-vwire と名づけてください。 e. Security Zone [ セキュリティゾーン ]: 新規のセキュリ ティゾーンを作成し、default-zone と名づけてくださ い。 4. Step 2 上記の 3 を繰り返し行い、イーサネット 1/2 の設定を 行ってください。 default-zone で User-ID を有効化しま User-ID を設定済みで、ファイアウォールのログに す。これによりポリシー内に含まれ ユーザー名を含めたい場合は以下の操作を行ってく るユーザーベースのアクセス制御 ださい。 を適用することができます。 1. Network > Zones [ ネットワーク > ゾーン ] を選択し、 default-zone の名前をクリックします。 2. Enable User Identification [ ユーザーID の有効化 ] のチェッ クボックスをオンにしてから OK をクリックします。 128 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks VM-Series NSX エディション ファイアウォールのセットアップ VM-Series NSX エディションファイアウォールにお VM-Series NSX エディションファイアウォールにおけるゾーンベースの保護を有効化する(続) Step 3 変更をコミットします。 1. 2. Commit [ コミット ] から、Commit Type: Panorama を選択 し、Commit [ コミット ] をクリックします。 Commit [ コミット ] を選択します。 a. コミットタイプ :Template [ テンプレート ] から、ダイ アログ内のテンプレート名を選択します。 b. Force Template Values [テンプレートの値を適用] のチェッ クボックスがオンになっていることを確認します。 c. Commit[ コミット ] をクリックします。 Step 4 Step 5 ゾーンプロテクションのプロファイ 1. ルを作成し、ゾーンに適用します。 2. ゾーンプロテクションプロファイル は、フラッド、ポートスキャン、ポー トスイープやパケットベースの攻撃 3. に対する防御を行うことができま す。データセンターのトラフィック 用のインターネット接続と、データ センター内およびデータセンター間 の VM トラフィックを確保します。 DoS プロテクションのプロファイル 1. を作成し、DoS 保護のポリシールー 2. ルに適用します。 Template [ テンプレート ] を選択します。 Network > Network Profiles > Zone Protection [ ネットワー ク > ネットワークプロファイル > ゾーン保護 ] の順に進み、 新規プロファイルの追加と編集を行います。 Network > Zones [ ネットワーク > ゾーン ] を選択し、表示 された default-zone を選び、Zone Protection Profile [ ゾー ン保護プロファイル ] の中からプロファイルを選択しま す。 Device Group [ デバイスグループ ] を選択してください。 Objects > Security Profiles > DoS Protection [ オブジェクト > セキュリティルール > DoS 保護 ] の順に進み、新規プロ ファイルの追加と編集を行います。 • 細かく分類されたプロファイルを作成することで、 単一の送信元 IP に適用されるしきい値の設定が可能 になります。例えば、ポリシーに合致した IP アドレ スに対して最大セッションレートを設定し、このし きい値がトリガーされた際に、当該の IP アドレスを ブロックすることができます。 • 集約ポリシーを使用することで、ポリシーに合致す る全てのパケットに対して最大セッションレートを 設定することが出来ます。このしきい値は集約され た全 IP アドレスの新セッションレートに対して適用 されます。しきい値がトリガされると、ポリシーに 合致するトラフィックすべてに作用します。 3. Step 6 Policy > DoS Protection [ ポリシー > DoS 保護 ] から新規の DoS 保護ポリシールールを作成し、新しいプロファイ ルを適用します。 必要に応じて、変更点を Panorama、 テンプレート、およびデバイスグ ループにコミットしてください。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 129 VM-Series NSX エディションファイアウォールにおけるゾーンベースの保護を有効化する 130 • VM-Series 7.0 デプロイメントガイド VM-Series NSX エディ Palo Alto Networks AWS での VM-Series ファイアウォー ルのセットアップ VM-Series ファイアウォールは、Amazon Web Services(AWS)クラウドにデプロイできます。その 後、EC2 インスタンスにデプロイされているアプリケーションへのアクセスを保護するように設 定し、AWS の Virtual Private Cloud(VPC)に配置することができます。 AWS での VM-Series ファイアウォールについて AWS でサポートされるデプロイメント AWS での VM-Series ファイアウォールのデプロイ AWS における VM-Series ファイアウォールの高可用性設定 ユース ケース :AWS クラウドで EC2 インスタンスを保護する ユース ケース:ダイナミックアドレスグループを使用してVPC内の新しいEC2インスタンスを保護す る ユース ケース :AWS の GlobalProtect ゲートウェイとしての VM-Series ファイアウォール ユース ケース :VM-Series ファイアウォールを導入し、AWS 内でインターネットに接続された高可用 性アプリケーションを保護する AWS-VPC でモニターされる属性の一覧 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 131 AWS での VM-Series ファイアウォールについて AWS での VM-Series ファイアウォールのセットアップ AWS での VM-Series ファイアウォールについて Amazon Web Service(AWS)はパブリック クラウド サービスの 1 つで、Amazon が管理する共有 インフラストラクチャでアプリケーションを実行できます。これらのアプリケーションは、さま ざまな AWS リージョンの拡張可能なコンピューティング キャパシティ(EC2 インスタンス)に デプロイすることができ、ユーザーはインターネットを介してそれらのアプリケーションにアク セスできます。ネットワークの整合性を保ち、EC2 インスタンスを管理しやすくするため、 Amazon では Virtual Private Cloud(VPC)を提供しています。VPC は AWS パブリック クラウドか ら分配され、プライベート ネットワーク領域から CIDR ブロックが割り当てられます(RFC 1918)。VPC 内では、必要に応じてパブリック / プライベート サブネットを振り分け、それらの サブネット内の EC2 インスタンスにアプリケーションをデプロイすることができます。その後、 VPC 内のアプリケーションにアクセスできるようにするため、EC2 インスタンスに VM-Series ファイアウォールをデプロイできます。次に、その VM-Series ファイアウォールを、VPC 内の EC2 インスタンスとの間で送受信されるトラフィックを保護するように設定します。 このドキュメントでは、AWS VPC のネットワークや設定に詳しい読者を想定しています。この セクションで使用する用語の背景を理解するために、このドキュメントで言及される AWS の用 語(一部の定義は AWS 用語集から直接引用しています)について簡単に説明します。 用語 内容 EC2 Elastic Compute Cloud Amazon のデータセンターで Linux/UNIX インスタンスおよび Windows Server インスタンスを起動および管理するための Web サービス。 AMI Amazon マシン イメージ AMI は、クラウド内の仮想サーバー インスタンスの起動に必要な情報を提 供します。 VM-Series AMI は暗号化されたマシン イメージであり、EC2 インスタンス で VM-Series ファイアウォールをインスタンス化するために必要なオペ レーティング システムが組み込まれています。 インスタンス タイプ メモリ、CPU、ストレージ容量、およびインスタンスの 1 時間あたりのコ ストが規定されている、Amazon が定義した仕様。インスタンスタイプに は、標準アプリケーション用に設計されているものと、CPU やメモリの使 用量が多いアプリケーション用に設計されているものがあります。 ENI Elastic ネットワーク インターフェイス EC2 インスタンスにアタッチできる追加のネットワーク インターフェイ ス。ENI には、プライマリ プライベート IP アドレス、1 つ以上のセカンダ リ プライベート IP アドレス、パブリック IP アドレス、Elastic IP アドレス (任意)、MAC アドレス、指定セキュリティグループでのメンバーシップ、 説明、および送信元 / 送信先チェック フラグなどがあります。 132 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks AWS での VM-Series ファイアウォールのセットアップ 用語 AWS での VM-Series ファイアウォールについて 内容 EC2 インスタンスの IP ア EC2 インスタンスでは、さまざまな種類の IP アドレスを使用できます。 ドレス タイプ • パブリック IP アドレス : インターネットを介してルーティング可能な IP アドレス。 • プライベート IP アドレス :RFC 1918 で定義されているプライベート IP アドレス範囲内の IP アドレス。IP アドレスを手動で割り当てるか、ま たは EC2 インスタンスを起動するサブネットの CIDR ブロックの範囲内 で IP アドレスを自動で割り当てるかを選択できます。 Amazon では、すべてのサブネットで最初の 4 つの IP アドレスと最後の 1 つの IP アドレスを IP ネットワーキング用に予約しており、IP アドレ スを手動で割り当てる場合にはそれらのアドレスは使用できません。 • Elastic IP アドレス(EIP):Amazon EC2 または Amazon VPC から割り当 てられ、インスタンスで利用可能なスタティック IP アドレス。Elastic IP アドレスは、特定のインスタンスではなく、ユーザーのアカウント に関連付けられます。この IP アドレスは、必要に応じて簡単に割り当 て、アタッチ、デタッチ、解放することができるという意味で柔軟性 があります。 パブリック サブネットのインスタンスでは、プライベート IP アドレス、パ ブリック IP アドレス、および Elastic IP アドレス(EIP)を使用でき、プラ イベート サブネットのインスタンスでは、プライベート IP アドレスおよ び任意で EIP を使用できます。 VPC バーチャル プライベート クラウド 共通のセキュリティと相互接続を共有するインフラストラクチャ、プラッ トフォーム、およびアプリケーションの各サービスが取り込まれた柔軟性 のあるネットワーク。 IGW Amazon が提供するインターネット ゲートウェイ。 ネットワークをインターネットに接続します。VPC 外部の IP アドレスへの トラフィックをインターネット ゲートウェイにルーティングできます。 IAM ロール ID とアクセス管理 AWS で VM-Series ファイアウォールの高可用性を有効化する際に必要とな ります。IAM ロールは API アクションやそのロールを割り当てた後利用可 能になるアプリケーションのリソースの定義をします。フェイルオーバー が発生すると、IAM ロールは、データプレーンインターフェイスのアク ティブピアからパッシブピアへの切り替えを求める API 要求を確実に行え るよう割り当てを行います。 IAM ロールは VM モニタリングにも必要となります。 「AWS-VPC でモニター される属性の一覧」を参照してください。 サブネット EC2 インスタンスをアタッチできる VPC の IP アドレス範囲のセグメント。 EC2 インスタンスは、セキュリティおよび操作上の必要に応じてサブネッ トにグループ化されます。 サブネットには、以下の 2 つのタイプがあります。 • プライベートサブネット : このサブネットに含まれる EC2 インスタン スには、インターネットからアクセスできません。 • パブリックサブネット : インターネットゲートウェイがパブリック サブ ネットにアタッチされ、このサブネットに含まれる EC2 インスタンス にインターネットからアクセスできます。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 133 AWS での VM-Series ファイアウォールについて AWS での VM-Series ファイアウォールのセットアップ 用語 内容 セキュリティグループ セキュリティグループは ENI にアタッチされます。このグループにより、 インターフェイスでインバウンド / アウトバウンド接続の確立が許可され る、プロトコル、ポート、および IP アドレス範囲のリストが指定されます。 AWS VPC では、セキュリティグループとネットワーク ACL によっ てインバウンド / アウトバウンドのトラフィックが制御されます。 このとき、セキュリティグループによって EC2 インスタンスへのア クセスが規制され、ネットワーク ACL によってサブネットへのアク セスが規制されます。VM-Series ファイアウォールをデプロイする場 合は、セキュリティグループとネットワーク ACL でさらに許可グ ループを設定し、ファイアウォールで VPC 内のアプリケーションを安全に 有効にできるようにします。 ルート テーブル ルート テーブルに関連付けられた任意のサブネットから送出されるトラ フィックを制御するルーティング ルール個々のサブネットは、1 つのルー ト テーブルにのみ関連付けることができます。 キー ペア ID を電子的に証明するために使用するセキュリティ認証情報キー ペアは パブリック キーとプライベート キーで構成されています。VM-Series ファ イアウォールの起動時には、キー ペアを生成するか、VM-Series 用の既存 のキー ペアを選択する必要があります。プライベート キーは、メンテナン ス モードでファイアウォールにアクセスするために必要です。 134 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks AWS での VM-Series ファイアウォールのセットアップ AWS でサポートされるデプロイメント AWS でサポートされるデプロイメント VM-Series ファイアウォールにより、AWS Virtual Private Cloud(EC2)内の VPC インスタンスとの 間で送受信されるインバウンド / アウトバウンド トラフィックが保護されます。AWS VPC でサ ポートされるのは IP ネットワーク(レイヤー 3 ネットワーキング機能)に限られるため、VM-Series ファイアウォールはレイヤー 3 インターフェイスでのみデプロイすることができます。 VM-Series ファイアウォールをデプロイして、AWS Virtual Private Cloud でホストされる EC2 イ ンスタンスを保護します。 AWS クラウドでアプリケーションをホストする場合は、VM-Series ファイアウォールを利用し て、インターネット経由でそれらのアプリケーションにアクセスするユーザーのアプリケー ションを保護し、安全に有効にします。たとえば、以下の図は、インターネット ゲートウェ イがアタッチされた Edge サブネットにデプロイされている VM-Series ファイアウォールを示 しています。アプリケーションはプライベート サブネットにデプロイされ、インターネット に直接アクセスできません。 ユーザーがプライベート サブネット内のアプリケーションへのアクセスを要求すると、ファ イアウォールはその要求を受け取り、セキュリティ ポリシーを確認し、宛先 NAT を実行し てから、その要求を該当するアプリケーションに転送します。リターン パスにおいてファイ アウォールは、トラフィックを受信してセキュリティ ポリシーを適用し、送信元 NAT を使 用してコンテンツをユーザーに配信します。 「ユース ケース :AWS クラウドで EC2 インスタン スを保護する」を参照してください。 企業ネットワークと AWS Virtual Private Cloud 内の EC2 インスタンスとの間の VPN アクセスの ために、VM-Series ファイアウォールをデプロイします。 企業ネットワークを AWS クラウドにデプロイされたアプリケーションと接続するため、ファ イアウォールを IPSec VPN トンネルの終端ポイントとして設定することができます。この VPN トンネルにより、ネットワーク上のユーザーはクラウド内のアプリケーションに保護さ れた状態でアクセスできます。 中央管理、ネットワーク全域でのポリシーの一貫した適用、および一元的なロギングとレポー ト作成のために、企業ネットワークに Panorama をデプロイすることもできます。複数 VPC へ の VPN アクセスをセットアップする必要がある場合は、Panorama を使用することで地域別に ファイアウォールをグループ化し、それらのグループを容易に管理することができます。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 135 AWS でサポートされるデプロイメント AWS での VM-Series ファイアウォールのセットアップ VM-Series ファイアウォールを GlobalProtect ゲートウェイとしてデプロイして、ラップトップ を使用するリモート ユーザーのアクセスを保護します。ラップトップ上の GlobalProtect エー ジェントがゲートウェイに接続すると、そのゲートウェイでは、要求に基づいて企業ネット ワークへの VPN 接続を設定するか、その要求をインターネットにルーティングします。モバ イル デバイス(GlobalProtect アプリを使用)でのユーザーのセキュリティ コンプライアンス を適用するため、GlobalProtect ゲートウェイを GlobalProtect Mobile Security Manager と連携させ て使用します。GlobalProtect Mobile Security Manager により、企業のアプリケーションとネット ワークで使用されるデバイス設定とアカウント情報に基づいて、確実にモバイル デバイスが 管理および設定されるようになります。 上記の各使用例では、アクティブ / パッシブの高可用性(HA)ペアで VM-Series ファイア ウォールをデプロイ可能です。HA 環境での VM-Series ファイアウォールのセットアップにつ いては、「ユース ケース : ダイナミックアドレスグループを使用して VPC 内の新しい EC2 イ ンスタンスを保護する」を参照してください。 136 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks AWS での VM-Series ファイアウォールのセットアップ AWS での VM-Series ファイアウォールのデプロイ AWS での VM-Series ファイアウォールのデプロイ AMI の取得 AWS における VM-Series のシステム要件と制限事項の確認 AWS VPC での VM-Series 用プランニングワークシート AWS での VM-Series ファイアウォールの起動 AMI の取得 VM-Series ファイアウォールの AMI は、Bring Your Own License(BYOL)と従量制の二種の価格で AWS Marketplace から購入できます。 BYOL オプションでライセンスを購入する場合は、Palo Alto Networks のセールスエンジニアまた は販売代理店にお問い合わせください。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 137 AWS での VM-Series ファイアウォールのデプロイ AWS での VM-Series ファイアウォールのセットアップ AWS における VM-Series のシステム要件と制限事項の確認 要件 詳細 EC2 インスタンスタイプ 以下の EC2 インスタンスタイプのいずれかに VM-Series ファイアウォール をデプロイします。 • m3.xlarge • m3.2xlarge • c3.xlarge • c3.2xlarge • c3.4xlarge • c3.8xlarge • c4.xlarge • c4.2xlarge • c4.4xlarge VM-Series ファイアウォールの最小リソース要件は以下のとおりです。 vCPU:2、メモリ :4GB、VM-1000-HV の場合は 5GB、ディスク :40GB これらの要件を満たさない EC2 インスタンスタイプに VM-Series ファイア ウォールをデプロイすると、ファイアウォールはメンテナンス モードで起 動します。 より幅広い帯域(ネットワークパフォーマンス)のために 8 個以上 の vCPU 使 用 す るイ ン ス タン ス タイ プ を 選択 可 能 な場 合 で も、 VM-Series ファイアウォールが使用する vCPU は最大 8 個までです。 Amazon Elastic Block Storage(EBS) VM-Series ファイアウォールでは、ストレージとして Amazon Elastic Block Storage(EBS)ボリュームを使用する必要があります。EBS の最適化によ り、Amazon EBS の I/O 用に、最適化された設定スタックと追加の専用キャ パシティが提供されます。 ネットワーク AWS でサポートされるのはレイヤー 3 ネットワーキング機能に限られるた め、VM-Series ファイアウォールはレイヤー 3 インターフェイスでのみデプ ロイすることができます。レイヤー 2 インターフェイス、バーチャル ワイ ヤー、VLAN、およびサブインターフェイスは、AWS VPC にデプロイされ ている VM-Series ファイアウォールではサポートされていません。 インターフェイス 合計で 8 つのインターフェイスをサポートし、管理インターフェイスとし て 1 つ、またデータ トラフィック用に最大 7 つの Elastic ネットワーク イン ターフェイス(ENI)を使用できます。VM-Series ファイアウォールは ENI のホットアタッチをサポートしていないため、ENI の追加または削除を検 出するにはファイアウォールを再起動する必要があります。 選択する EC2 インスタンスタイプにより、有効にできる ENI 合計数 が決まります。たとえば、c3.8xlarge は 8 つの ENI をサポートします。 138 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks AWS での VM-Series ファイアウォールのセットアップ AWS での VM-Series ファイアウォールのデプロイ 要件 詳細 サポート資格とサポート ライセンス Bring Your Own License モデルの場合、AWS VPC での VM-Series ファイア ウォールのインストールに必要な Amazon マシンイメージ(AMI)ファイ ルを取得するには、サポートアカウントと有効な VM-Series ライセンスが 必要です。VM-Series ファイアウォールで必要とされるライセンス(脅威防 御、URL フィルタリング、WildFire のキャパシティ ライセンス、サポート ライセンス、およびサブスクリプションなど)は、Palo Alto Networks から 購入する必要があります。ライセンスを購入するには、販売代理店にお問 い合わせください。 「Amazon Web Services(AWS)用 VM-Series ファイア ウォールのライセンス」を参照してください。 従量制のライセンスについては時間制や年間契約のモデルがあり、購入す ると AWS に直接請求されます。但し、Palo Alto Networks のサポート資格を 登録する必要があります。詳細は、AWS の VM-Series ファイアウォールの 従量制モデルを登録する(認証コード不使用)を参照してください。 AWS VPC での VM-Series 用プランニングワークシート デプロイメントを容易にするため、VPC 内のサブネットと、各サブネット内にデプロイする EC2 インスタンスを計画します。開始する前に、以下の表を使用してデプロイに必要なネットワーク 情報を照合し、VM-Series ファイアウォールを VPC のトラフィック フローに挿入します。 設定項目 値 VPC CIDR セキュリティ グループ サブネット(パブリック)CIDR サブネット(プライベート)CIDR サブネット(パブリック)ルート テー ブル サブネット(プライベート)ルート テーブル セキュリティグループ • ファイアウォールへの管理ア クセスのルール(eth0/0) • ファイアウォールのデータプ レーン インターフェイスへの アクセスのルール • アプリケーション サーバーに 割り当てられたインターフェ イスへのアクセスのルール Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 139 AWS での VM-Series ファイアウォールのデプロイ 設定項目 AWS での VM-Series ファイアウォールのセットアップ 値 EC2 インスタンス 1(VM-Series ファ サブネット : イアウォール) インスタンスタイプ : 管理インターフェイス IP: 管理インターフェイス EIP: データプレーン インターフェイス eth1/1 EIP は、パブリック サブネッ • プライベート IP: トにアタッチされるデータプ • EIP(必要な場合): レーン インターフェイスの場 合にのみ必要です。 • セキュリティグループ : データプレーン インターフェイス eth1/2 • プライベート IP: • EIP(必要な場合): • セキュリティグループ : EC2 インスタンス 2(保護されるア プリケーション) デプロイされる追加のアプリケー ションで、これらの値セットを繰り 返し設定します。 サブネット : インスタンスタイプ : 管理インターフェイス IP: デフォルト ゲートウェイ : データプレーン インターフェイス 1 • プライベート IP HA の導入要件 VM-Series ファイアウォールを高可用性設定(アクティブ / パッ シブ)でデプロイする場合、以下を確認する必要があります。 • IAM ロールを作成し、インスタンスのデプロイ時にその ロールを VM-Series ファイアウォールに割り当てているこ と。「HA の IAM としての役割」を参照してください。 • HA ピアを同じ AWS 可用性ゾーンの中にデプロイしている こと。 • HA ペアの内のアクティブなファイアウォールは最低で 3 つ (データプレーンインターフェイス 2 つ、管理インターフェ イス 1 つ)の ENI を保有している必要があります。 HA ペアの内のパッシブなファイアウォールは、管理用 ENI を 1 つ、データプレーンインターフェイスとして機能する ENI を 1 つ保有している必要があります。データプレーンイ ンターフェイスはHA2インターフェイスとして設定します。 HA ペアの内のパッシブなファイアウォールにはデー タプレーンを追加しないでください。フェイルオー バーが発生すると、それまでアクティブであったファ イアウォールのデータプレーンインターフェイスが 取り外され、アクティブになった(それまでパッシブ であった)ファイアウォールに取り付けられます。 140 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks AWS での VM-Series ファイアウォールのセットアップ AWS での VM-Series ファイアウォールのデプロイ AWS での VM-Series ファイアウォールの起動 サポート アカウントを使用して、受注完了電子メールで受け取ったキャパシティ認証コードを まだ登録していない場合は、「VM-Series ファイアウォールの登録」を参照してください。登録 後、以下の手順に従って VM-Series ファイアウォールを AWS VPC で起動し、導入します。 AWS VPC における VM-Series ファイアウォールの起動 Step 1 AWS コンソールにアクセスします。 AWS コンソールにログインし、EC2 Dashboard を選択します。 Step 2 ネットワークの必要に応じて をセットアップします。 VPC 1. 既 存 の VPC で 起 動 す る か 新 規 の 2. VPC を 作 成 す る か に 関 係 な く、 VM-Series ファイアウォールが EC2 インスタンスからトラフィックを受 信し、VPC とインターネットの間で インバウンド / アウトバウンド通信 を実行できるようにしておく必要が あります。 VPC の作成およびアクセスするた めのセットアップに関する指示につ いては、AWS VPC のドキュメントを 参照してください。 完全なワークフローの例は、 「ユース ケース :AWS クラウドで EC2 インス タンスを保護する」を参照してくだ さい。 新規 VPC を作成するか、既存の VPC を使用します。 AWS の「スタートガイド」を参照してください。 ネットワーク コンポーネントとセキュリティ コンポー ネントが適切に定義されていることを確認します。 • インターネットへの通信を有効にします。デフォル トの VPC にはインターネット ゲートウェイが組み 込まれており、VM-Series ファイアウォールをデフォ ルトのサブネットにインストールすれば、インター ネットにアクセスすることができます。 • サブネットを作成します。サブネットは、EC2 イン スタンスを起動できる VPC に割り当てられた IP ア ドレス範囲のセグメントです。VM-Series ファイア ウォールは、インターネットへのアクセス設定がで きるよう、パブリック サブネットに属している必要 があります。 • EC2 インスタンス / サブネットからのインバウンド / アウトバウンド トラフィックを管理するには、必 要に応じてセキュリティグループを作成します。 • プライベート サブネットのルート テーブルにルー トを追加し、該当する VPC 内のセブネットおよびセ キュリティグループ全体に確実にトラフィックを ルーティングできるようにします。 3. Palo Alto Networks HA 環境で VM-Series ファイアウォールをペアでデプロ イしたい場合、HA の IAM としての役割する前に AWS にアクティブ / パッシブ HA を設定するする必要があ ります。 VM-Series 7.0 デプロイメントガイド • 141 AWS での VM-Series ファイアウォールのデプロイ AWS での VM-Series ファイアウォールのセットアップ AWS VPC における VM-Series ファイアウォールの起動(続) Step 3 VM-Series ファイアウォールを起動 1. します。 2. EC2 Dashboard で、Launch Instance [ インスタンスのロー ンチ ] をクリックします。 VM-Series AMI を選択します。AMI を取得するには、 「AMI の取得」を参照してください。 3. EC2 インスタンスで VM-Series ファイアウォールを起動 します。 a. ファイアウォールで必要とされるリソースを割り当 てるため、EC2 instance type [EC2 インスタンスタイプ ] を選択し、Next [ 次へ ] をクリックします。サポート されているタイプの一覧については、EC2 インスタ ンスタイプを参照してください。 b. VPC を選択します。 c. VM-Series 管理インターフェイスにアタッチするパブ リック サブネットを選択します。 VM-Series ファイアウォールを起動 d. Automatically assign a public IP address[ パブリック IP アドレ する際にネットワークインター スを自動割り当て ] を選択します。これにより、VM-Series フェイス(ENI)を追加することは ファイアウォールの管理インターフェイス用に、公開 可能ですが、この場合、ファイア された IP アドレスを取得することができます。 ウォールを再起動した際に、AWS は 後で、管理インターフェイスに Elastic IP アドレスをア 管理インターフェイスに自動的に タッチできます。インスタンスが終了するとファイア 割り当てられたパブリック IP アド ウォールから関連付けが解除されるパブリック IP アド レスを放棄します。管理インター レスとは異なり、Elastic IP アドレスには永続性があり、 フェイスへの接続を確保するため どこで IP アドレスを参照する場合も、IP アドレスを再 には、ファイアウォールへこれ以上 設定することなく VM-Series ファイアウォールの新しい のインターフェイスを追加する前 (または代替の)インスタンスに再アタッチできます。 に、管理インターフェイスへ Elastic e. Launch as an EBS-optimized instance [EBS 最適化インス IP アドレスを割り当てる必要があ タンスとしてローンチ ] を選択します。 ります。 f. デフォルトの Storage [ストレージ] 設定を受け入れます。 g. (任意)Tagging [ タグ付け ] VM-Series ファイアウォー EIP アドレスを保存したい場合、eth ルの識別とグループ分けのため、複数のタグを付与 1/1 インターフェイスに EIP アドレ することができます。例えば、VM-Series ファイア スを 1 つ割り当て、このインター ウォールのすべてのインスタンスを検索できるよう フェイスを管理トラフィックと なネームタグをつけることが可能です。 データトラフィックの両方に使用 h. Security Group [ セキュリティグループ ] で既存のセキュ することも可能です。インターフェ リティグループを選択するか、新しいセキュリティ イスで許可されるサービスを制限 グループを作成します。このセキュリティグループ したい場合、あるいは eth 1/1 にロ の目的は、ファイアウォールの管理インターフェイ グイン可能な IP アドレスを制限し スへのアクセスを制限することです。管理インター たい場合はインターフェイスに管 フェイス用に、最低でも https と ssh のアクセスを許 理プロファイルを適用してくださ 可しておいてください。 い。 i. プロンプトが表示されたら、セットアップに適した SSD オプションを選択します。 このキー ペアは、ファイアウォール j. Review and Launch [ 確認してローンチ ] を選択します。 に初めてアクセスする場合に必要 選択内容が正しいことを確認し、Launch [ ローンチ ] です。また、メンテナンス モードで をクリックします。 ファイアウォールにアクセスする 場合にも必要になります。 k. 既存のキー ペアを選択するか、新しいキー ペアを作 成し、キーに関する免責事項に同意します。 l. プライベート キーをダウンロードして安全な場所に 保存します。ファイル拡張子は .pem です。このキー は失うと再生成できません。 VM-Series ファイアウォールの起動には 5 ∼ 7 分かか ります。進捗状況は EC2 ダッシュボードで確認可能 で す。プ ロ セ ス が 完 了 す る と、EC2 Dashboard の Instances [ インスタンス ] ページに VM-Series ファイ アウォールが表示されます。 142 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks AWS での VM-Series ファイアウォールのセットアップ AWS での VM-Series ファイアウォールのデプロイ AWS VPC における VM-Series ファイアウォールの起動(続) Step 4 ファイアウォールの新しい管理パス 1. ワードを設定します。 デフォルトのパスワードは admin で す。ファイアウォールの Web イン ターフェイスにアクセスするには、 事 前 に CLI を 使 用 し て フ ァ イ ア ウォールの一意のパスワードを設定 しておく必要があります。 2. 3. パブリック IP アドレスを使用して、VM-Series ファイア ウォールのコマンド ライン インターフェイス(CLI)に SSH で接続します。 CLI にアクセスするには、Step 3-k で使用または作成し たプライベート キーが必要です。 SSH アクセス用に PuTTY を使用している場合、「.pem」 形式を「.ppk」形式に変換する必要があります。See https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/p utty.html 以下のコマンドを入力してファイアウォールにログイ ンします。 ssh-i <private_key.pem> admin@<public-ip_address> 以下のコマンドを使用し、画面上のプロンプトに従っ て新しいパスワードを設定します。 configure set mgt-config users admin password 4. アクティベートが必要な BYOL を所有している場合、 ファイアウォールが Palo Alto Networks ライセンスサー バーにできるように DNS サーバーの IP アドレスを設 定してください。DNS サーバーの IP アドレスを設定す る場合は以下のコマンドを実行してください。 set deviceconfig system dns-setting servers primary <ip_address> 5. 以下のコマンドで変更内容をコミットします。 6. SSH セッションを終了します。 commit Step 5 VM-Series ファイアウォールを 1. シャットダウンします。 2. EC2 Dashboard で、Instances [ インスタンス ] を選択しま す。 リストから VM-Series ファイアウォールを選択し、 Actions > Stop [ アクション > 停止 ] の順にクリックします。 Step 6 Elastic IP アドレス(EIP)を作成し、 1. 管理アクセス用 ENI に割り当て、 VM-Serie ファイアウォールを再起動 2. します。 Elastic IPs を選択し、Allocate New Address [ 新規アドレス を割り当て ] をクリックします。 EC2-VPC を選択し、Yes, Allocate [ 関連付けを行う ] をク 3. 4. Palo Alto Networks リックします。 新しく割り当てられた EIP を選択し、Associate Address [ 関連アドレス ] をクリックします。 Network Interface [ ネットワークインターフェイス ] を選択 し、Private IP address [ プライベート IP アドレス ] から管 理インターフェイスに関連付けられたプライベート IP アドレスを選択し、Yes, Associate [ 関連付けを行う ] をク リックします。 VM-Series 7.0 デプロイメントガイド • 143 AWS での VM-Series ファイアウォールのデプロイ AWS での VM-Series ファイアウォールのセットアップ AWS VPC における VM-Series ファイアウォールの起動(続) Step 7 仮想ネットワーク インターフェイ 1. スを作成し、インターフェイスを VM-Series フ ァ イ ア ウ ォ ー ル に ア タッチします。仮想ネットワーク イ 2. ンターフェイスは、AWS では Elastic ネ ッ ト ワ ー ク イ ン タ ー フ ェ イ ス 3. (ENI)と呼ばれ、ファイアウォール 上のデータプレーン ネットワーク インターフェイスとして機能しま す。これらのインターフェイスは、 4. ファイアウォールとの間のデータ トラフィックの処理に使用されま す。 ファイアウォールからのインバウン 5. ド / アウトバウンドのトラフィック を許可する ENI が最低でも 2 つ必要 と な り ま す。VM-Series フ ァ イ ア 6. ウォール上のデータ トラフィック を処理するために 7 個まで ENI を追 加できます。EC2 インスタンスタイ プをチェックして、サポートされる 最大数を確認してください。 新 し く ア タ ッ チ さ れ た ENI を 検 出 す る に は、VM-Series 7. ファイアウォールの再起動が 必 要 で す。ま だ フ ァ イ ア ウォールをシャットダウンし ていない場合は、ライセンス アクティベーション プロセ スに進みます。これにより、 ファイアウォールの再起動が トリガーされます。ファイア ウ ォ ー ル が 再 起 動 す る と、 ENI が検出されます。 8. 9. Step 8 EC2 Dashboard で Network Interfaces [ ネットワークインス タンス ] を選択し、Create Network Interface [ ネットワー クインスタンスを生成 ] をクリックします。 分かりやすいインターフェイス名を入力します。 サブネットを選択します。サブネット ID を使用して、 正しいサブネットを選択したことを確認します。ENI は、同じサブネット内のインスタンスにのみアタッチ できます。 インターフェイスに割り当てるアドレスを Private IP [ プライベート IP] に入力するか、Auto-assign [ 自動割り当 選択されたサブネット内で使用可能な IP て ] を選択し、 アドレスから自動的に IP アドレスを割り当てます。 Security group [ セキュリティグループ ] を選択してデータ プレーン ネットワーク インターフェイスへのアクセス を制御します。 Yes, Create [ 生成する ] をクリックします。 VM-Series ファイアウォールに ENI をアタッチするに は、上記で作成したインターフェイスを選択し、Attach [ アタッチ ] をクリックします。 Instance ID [ インスタンス ID] で VM-Series ファイアウォー ルのインスタンス ID を選択し、Attach [ アタッチ ] をク リックします。 上記の手順を繰り返し、さらに少なくとも 1 つの ENI を作成してファイアウォールにアタッチします。 VM-Series ファイアウォールのライ 「ライセンスのアクティベーション」を参照してください。 センスをアクティベートします(従 量性ライセンスのモデルに関しては 不要となります)。 このタスクは、AWS 管理コン ソールでは実行されません。 ライセンスのアクティベー ションには、Palo Alto Networks サポート ポータルへのアクセ ス と VM-Series フ ァ イ ア ウォールの Web インターフェ イスが必要です。 144 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks AWS での VM-Series ファイアウォールのセットアップ AWS での VM-Series ファイアウォールのデプロイ AWS VPC における VM-Series ファイアウォールの起動(続) Step 9 ファイアウォールのデータプレーン 1. EC2 Dashboard の Network Interfaces [ ネットワークイン ネットワーク インターフェイスご ターフェイス ] タブで、ネットワーク インターフェイス とに送信元 / 送信先チェックを無効 ([eth1/1] など)を選択します。 にします。このオプションを無効に 2. Action [ アクション ] のドロップダウンから、Change すると、ネットワーク インターフェ Source/Dest.Check [ 送信元変更 / 宛先確認 ] を選択します。 イスに割り当てられた IP アドレス 宛てではないネットワーク トラ フィックをインターフェイスで処理 できるようになります。 3. 4. Palo Alto Networks Disabled [ 無効 ] をクリックし、Save [ 保存 ] をクリック して変更を保存します。 ファイアウォールのデータプレーン インターフェイス ごとにステップ 1 ∼ 3 を繰り返します。 VM-Series 7.0 デプロイメントガイド • 145 AWS での VM-Series ファイアウォールのデプロイ AWS での VM-Series ファイアウォールのセットアップ AWS VPC における VM-Series ファイアウォールの起動(続) Step 10 データプレーン ネットワーク イン 1. ターフェイスをファイアウォール上 のレイヤー 3 インターフェイスとし て設定します。 設定例は、 「ユース ケース :AWS クラ ウドで EC2 インスタンスを保護す 2. る」の Step 14 ∼ Step 17 を参照して ください。 3. Web ブラウザからの安全な接続(https)を使用し、初 期設定時に割り当てた EIP アドレスとパスワードを入 力してログインします(https://<Elastic IP address>)。証 明書の警告が表示されますが、問題ありません。その まま続行して Web ページを開きます。 Network > Interfaces > Ethernet [ ネットワーク > インスタン ス > イーサネット ] の順に選択します。 ethernet 1/1 [ イーサネット 1/1] のリンクをクリックし、 以下のように設定します。 – Interface Type [ インターフェイス タイプ ] :Layer3 – Config [ 設定 ] タブで、インターフェイスをデフォ ルト ルーターに割り当てます。 – Config [ 設定 ] タブで、Security Zone [ セキュリティ ゾーン ] ドロップダウン リストを展開して New Zone [ 新規ゾーン ] を 選 択 し ま す。新 し い ゾ ー ン (「VM_Series_untrust」など)を定義し、OK をクリッ クします。 – IPv4 タブで、Static [ スタティック ] または DHCP Client [DHCP クライアント ] を選択します。 VPC 内のアプリケーション サーバー で、ファイアウォールのデータプレー ン ネットワーク インターフェイスを デフォルトゲートウェイとして定義 します。 Static [ スタティック ] オプションを使用する場合、 IP セクションの Add [ 追加 ] をクリックして、インター フ ェ イ ス の IP ア ド レ ス と ネ ッ ト ワ ー ク マ ス ク (「10.0.0.10/24」など)を入力します。 この IP アドレスが前に割り当てた ENI の IP アド レスと一致することを確認します。 DHCP を使用する場合は、DHCP Client [DHCP クライ アント ] を選択します。AWS 管理コンソールで ENI に割り当てたプライベート IP アドレスが自動的に 取得されます。 4. ethernet 1/2 [ethernet 1/2] のリンクをクリックし、以下 のように設定します。 – Interface Type [ インターフェイス タイプ ] :Layer3 – セキュリティ ゾーン :VM_Series_trust – IP アドレス :Static [ スタティック ] または DHCP Client [DHCP クライアント ] のラジオボタンを選択します。 スタティックの場合、IP セクションの Add [ 追加 ] をクリックして、インターフェイスの IP アドレス とネットワーク マスクを入力します。この IP アド レスが、前に割り当てたアタッチされている ENI の IP アドレスと一致することを確認します。 5. 146 • VM-Series 7.0 デプロイメントガイド Commit[ コミット ] をクリックします。インターフェイ スが接続されていることを確認してください。 . Palo Alto Networks AWS での VM-Series ファイアウォールのセットアップ AWS での VM-Series ファイアウォールのデプロイ AWS VPC における VM-Series ファイアウォールの起動(続) DHCP の 場 合、Automatically create default route to default gateway provided by server [ サーバー提供のデフォルトゲートウェイを指す デフォルト ルートを自動的に作成 ] のチェック ボックスをオフにします。VPC のプライベー ト サブネットにアタッチされているイン ターフェイスの場合、このオプションを無効 にすると、このインターフェイスで処理されるトラ フィックが VPC のインターネット ゲートウェイに 直接流れなくなります。 Step 11 VPC 内に展開されたサーバーから 1. のインバウンドおよびアウトバウン ド ト ラ フ ィ ッ ク を 許 可 す る NAT 2. ルールを作成します。 3. ファイアウォールの Web インターフェイスで Policies > NAT [ ポリシー > NAT] の順に選択します。 ファイアウォールのデータプレーン ネットワーク イン ターフェイスから VPC の Web サーバー インターフェ イスへのトラフィックを許可する NAT ルールを作成し ます。 Web サーバーからインターネットへのトラフィックの アウトバウンド アクセスを許可する NAT ルールを作 成します。 Step 12 VPC 内に展開されたサーバーとの 1. 間のトラフィックを許可 / 拒否する セキュリティ ポリシーを作成しま 2. す。 ファイアウォールの Web インターフェイスで Policies > Security [ ポリシー > セキュリティ ] の順に選択します。 Add [ 追加 ] をクリックして、ネットワークを通過する トラフィックを制限および監査するために実行する ゾーン、アプリケーション、およびログ オプションを 指定します。 Step 13 ファイアウォールで変更をコミット 1. します。 Commit[ コミット ] をクリックします。 Step 14 VM-Series ファイアウォールがトラ 1. フィックを保護し、NAT ルールが有 効であることを確認します。 2. ファイアウォールの Web インターフェイスで Monitor > Logs > Traffic [監視 > ログ > トラフィック] の順に選択します。 Palo Alto Networks ログを表示し、実装したセキュリティ ポリシーにネッ トワークを通過するアプリケーションが適合している ことを確認します。 VM-Series 7.0 デプロイメントガイド • 147 AWS における VM-Series ファイアウォールの高可用性設定 AWS での VM-Series ファイアウォールのセットアップ AWS における VM-Series ファイアウォールの高可用性設定 AWS における HA の概要 HA の IAM としての役割 HA リンク ハートビートポーリングおよび Hello メッセージ デバイス優先度およびプリエンプション HA タイマー AWS にアクティブ / パッシブ HA を設定する AWS における HA の概要 冗長性を確保するため、アクティブ / パッシブの高可用性(HA)ペアで VM-Series ファイアウォー ルを AWS へ導入可能です。アクティブピアは、まったく同一に構成されているパッシブピアと 絶え間なく設定とセッション情報を同期させています。2 台のデバイス間のハートビート接続に より、アクティブなデバイスがダウンした場合のフェイルオーバーが可能です。パッシブなピア が障害を検知するとアクティブに切り替わり、AWS インフラストラクチャへの API を通じて、障 害を起こしたピアからもう一方のピアへ全てのデータプレーンインターフェイス(ENI)が移転 されます。AWS インフラストラクチャの応答状態により、フェイルオーバーは 20 秒から 1 分強 を必要とします。 148 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks AWS での VM-Series ファイアウォールのセットアップ AWS における VM-Series ファイアウォールの高可用性設定 HA の IAM としての役割 AWS では、全ての API 要求が AWS 自身が発行する認証情報を使用して暗号化署名されている必 要があります。HA ペアとして展開する VM-Series ファイアウォールの API 権限を有効化するた めには、AWS アイデンティティおよびアクセス管理(IAM)サービスにロールを作成しユーザー/ グループを割り当て、VM-Series ファイアウォール起動時に IAM ロールを適用する必要がありま す。IAM ロールは、フェイルオーバーがトリガーされた場合に HA ペアのアクティブなピアか らネットワークインターフェイスを取り外し、パッシブなピアへ取り付ける API アクションを 開始する際に許可を必要とします。 AWS コンソールで設定される IAM ロールは、以下の動作を行う際は、最低でも許可の取得を必 要とします。 AttachNetworkInterface - ENI をインスタンスに取り付ける際の許可 DescribeNetworkInterface - インスタンスにインターフェイスを取り付けるために ENI パラメー タを取得する許可 DetachNetworkInterface - ENI を EC2 インスタンスから取り外す許可 DescribeInstances - VPC 内の EC2 インスタンスについて情報を取得するための許可 以下のスクリーンショットは、上述の IAM ロールのアクセス管理設定を写したものです。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 149 AWS における VM-Series ファイアウォールの高可用性設定 AWS での VM-Series ファイアウォールのセットアップ ロールを引き渡すアカウントや AWS サービスを定義する方法や、ロールを引き受けたアプリケーション が使用してよい API アクションやリソースを定義する方法については、IAM ロールを作成する場合の詳細 な手順については AWS ドキュメントの IAM Roles for Amazon EC2 [Amazon EC2 用の IAM ロール ] を参照し てください。 HA リンク HA ペアのデバイスでは、HA リンクを使用してデータを同期し、状態情報を管理します。AWS において、VM-Series ファイアウォールは以下のポートを使用します。 Control Link [ コントロールリンク ] - HA1 リンクは、Hello、ハートビート、HA の状態、ルー ティング用の管理プレーンの同期、User-ID などの情報交換に使用します。またこのリンクを 使用して、アクティブ デバイスまたはパッシブ デバイスの設定変更をピア デバイスと同期 します。 管理ポートは HA1 が使用します。クリアテキスト通信には TCP ポート 28769 と 28260、暗号 化通信(SSH over TCP)にはポート 28 を使用します。 Data Link [ データリンク ] - HA2 リンクを使用して、 セッションの同期、テーブルの転送、IPSec SA、および ARP テーブルを HA ペアのデバイス間で同期します。HA2 リンクのデータ フロー は (HA2 キープアライブを除き ) 常に単向性なので、データはアクティブ デバイスからパッシ ブ デバイスに流れます。 イーサネット 1/1 は HA2 リンクとして割り当てる必要があります。HA データリンクは、IP (プロトコル番号 99)または UDP(ポート 29281)のいずれかを転送ポートとして使用するよ うに設定できます。 AWS の VM-Series は、HA1 あるいは HA2 用のバックアップリンクをサポートしていません。 150 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks AWS での VM-Series ファイアウォールのセットアップ AWS における VM-Series ファイアウォールの高可用性設定 ハートビートポーリングおよび Hello メッセージ ファイアウォールでは、Hello メッセージおよびハートビートを使用して、ピアの応答状態と動 作状態を確認します。設定した Hello 間隔で Hello メッセージがピアの一方からもう一方へ送信さ れ、デバイスの状態を検証します。ハートビートは、コントロール リンクを介した HA ピアに 対する ICMP ping の一種で、ピアがこの ping に応答することで、デバイスの接続および応答状態 を証明します。フェイルオーバーをトリガーする HA タイマーの詳細は、HA タイマーを参照し てください。 (VM-Series ファイアウォール用の HA タイマーは、PA-5000 Series ファイアウォール 用の同等のものと同じものです) デバイス優先度およびプリエンプション HA ペアのデバイスにデバイス優先度の値を割り当てることにより、フェイルオーバー発生時に どちらのデバイスにアクティブな役割を持たせて優先的にトラフィックを管理させるかを示す ことができます。HA ペアの特定のデバイスを使用してアクティブにトラフィックを保護する必 要がある場合、両方のファイアウォールでプリエンプティブ機能を有効にし、各デバイスに優先 度の値を割り当てる必要があります。数値の小さい方のデバイス、つまり優先度の高いデバイス がアクティブ デバイスに指定され、ネットワーク上のすべてのトラフィックを管理します。も う一方のデバイスはパッシブ状態となり、アクティブ デバイスと設定情報や状態の情報を同期 し、障害が発生した場合のアクティブ状態への移行に備えます。 デフォルトでは、ファイアウォールでプリエンプションが無効になっているため、両方のデバイ スで有効にする必要があります。プリエンプティブの動作を有効にすると、優先度の高い ( 数値 の低い方の ) ファイアウォールが障害から回復した後に、そのファイアウォールをアクティブ ファイアウォールとして再開させることができます。プリエンプションが発生すると、そのイベ ントがシステム ログに記録されます。 HA タイマー 高可用性(HA)タイマーは、ファイアウォール障害の検出およびフェイルオーバーのトリガー に使用します。HA タイマーの設定時に煩雑さを軽減するため、以下 3 種類のプロファイルから 選択できます。Recommended [ 推奨 ]、Aggressive [ アグレッシブ ] および Advanced [ 高度 ] これらのプロ ファイルでは、特定のファイアウォール プラットフォームに最適な HA タイマー値が自動入力 され、HA の導入速度を高めることができます。 通常のフェイルオーバー タイマー設定には Recommended [ 推奨 ] プロファイルを使用し、高速な フェイルオーバー タイマー設定には Aggressive [ アグレッシブ ] プロファイルを使用します。Advanced [ 詳細 ] プロファイルでは、ネットワーク要件に合わせてタイマー値をカスタマイズできます。 AWS における VM-Series の HA タ 推奨 / アグレッシブプロファイルの初期設定値 イマー プロモーションホールドタイム 2000/500 ms Hello 間隔 8000/8000 ms Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 151 AWS における VM-Series ファイアウォールの高可用性設定 AWS での VM-Series ファイアウォールのセットアップ AWS における VM-Series の HA タ 推奨 / アグレッシブプロファイルの初期設定値 イマー ハートビート間隔 2000/1000 ms 最大フラップ数 3/3 プリエンプションホールドタイム 1/1 分 モニター障害時ホールドアップタイ 0/0 ms ム 追加のマスターホールドアップタイ 500/500 ms ム AWS にアクティブ / パッシブ HA を設定する AWS にアクティブ / パッシブ HA を設定する Step 1 前 提 条 件 を 満 た し て い AWS クラウドの HA に VM-Series ファイアウォールのペアを る こ と を 確 認 し て く だ 導入する場合、以下を確認してください。 さい。 • EC2 インスタンス上の VM-Series ファイアウォール起動時 に作成した IAM ロールを選択します(既に稼働中のイン スタンスにロールを割り当てることはできません)。「HA の IAM としての役割」を参照してください。 ロールを引き渡すアカウントや AWS サービスを定義する 方法や、ロールを引き受けたアプリケーションが使用して よい API アクションやリソースを定義する方法について は、IAM ロールを作成する場合の詳細な手順については AWS ドキュメントを参照してください。 • HA ペアの内のアクティブなファイアウォールは最低で 3 つ(データプレーンインターフェイス 2 つ、管理インター フェイス 1 つ)の ENI を保有している必要があります。 HAペアの内のパッシブなファイアウォールは、管理用ENI を 1 つ、データプレーンインターフェイスとして機能する ENI を 1 つ保有している必要があります。データプレーン インターフェイスは HA2 インターフェイスとして設定し ます。 HA ペアの内のパッシブなファイアウォールには データプレーンを追加しないでください。フェイル オーバーが発生すると、それまでアクティブであっ たファイアウォールのデータプレーンインターフェ イスが取り外され、アクティブになった(それまで パッシブであった)ファイアウォールに取り付けら れます。 • HA ピアは AWS の同じ可用性ゾーンに配置されている必 要があります。 Step 2 AWS での VM-Series ファ イアウォールの起動。 152 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks AWS での VM-Series ファイアウォールのセットアップ AWS における VM-Series ファイアウォールの高可用性設定 AWS にアクティブ / パッシブ HA を設定する(続) Step 3 HA を有効にします。 1. Device > High Availability > General [ デバイス > 高可用性 > 全 般 ] の順に選択し、セットアップのセクションを編集し ます。 2. Step 4 イーサネット 1/1 を HA 1. インターフェイスとし て 設 定 し て く だ さ い。 2. HA2の通信にはこのイン ターフェイスを使用す 3. る必要があります。 Step 5 管 理 ポ ー ト を 使 用 す る 1. ためにはコントロール リンク(HA1)を設定し ます。 Enable HA [HA の有効化 ] を選択します。 Network > Interfaces [ ネットワーク > インターフェイス ] の 順に選択します。 イーサネット 1/1 が接続されていることを確認してくだ さい。 イーサネット 1/1 のリンクをクリックし、Interface Type [ インターフェイスタイプ ] を HA に設定します。 Device > High Availability > General [ デバイス > 高可用性 > 全 般 ] の順に選択し、Control Link (HA1) [ コントロール リ ンク (HA1)] セクションを編集します。 2. (任意)ピア間の通信を保護する場合は Encryption Enabled [ 暗号化を有効にする ] を選択します。暗号化を有効にする 場合は、HA キーをデバイスからエクスポートして、ピ ア デバイスにインポートします。 a. Device > Certificate Management > Certificates [ デバイス > 証明書の管理 > 証明書 ] の順に選択します。 b. Export HA key [HA キーのエクスポート ] を選択します。ピ ア デバイスがアクセスできるネットワーク上の場所 に、HA キーを保存します。 c. ピア デバイスで Device > Certificate Management > Certificates [ デバイス > 証明書の管理 > 証明書 ] の順に選 択し、Import HA key [HA キーのインポート ] を選択し てキーを保存した場所を検索し、そのキーをピア デバ イスにインポートします。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 153 AWS における VM-Series ファイアウォールの高可用性設定 AWS での VM-Series ファイアウォールのセットアップ AWS にアクティブ / パッシブ HA を設定する(続) Step 6 イーサネット 1/1 を使用 1. するためにはデータリ ンク(HA2)を設定しま す。 2. 3. 4. 5. 6. Device > High Availability > General [ デバイス > 高可用性 > 全 般 ] の順に選択し、[ データ リンク (HA2)] セクションを 編集します。 Port [ ポート ] は ethernet1/1 を選択します。 ethernet1/1 の IP アドレスを入力します。ここで入力する IP アドレスは EC2 ダッシュボードの ENI に割り当てら れたものと同じものである必要があります。 Netmask [ ネットマスク ] を入力します。 HA1 インターフェイスがそれぞれ別のサブネット上にあ る場合は、Gateway [ ゲートウェイ ] の IP アドレスを入力 します。 Transport [ トランスポート ] には IP もしくは UDP を選択し ます。第 3 層トランスポートが必要な場合は IP を使用し てください(IP プロトコルナンバー 99)。IP オプション での場合と同じように、ファイアウォールにヘッダのみ でなくパケット全体からチェックサムを実行させたい場 合は UDP を使用してください(UDP ポート 29281)。 7. (任意)HA2 Keep-alive [HA2 キープアライブ ] パケットの Threshold [ しきい値 ] を変更します。初期設定では、ピア 間の HA2 データリンクをモニタリングするため HA2 Keep-alive [HA2 キープアライブ ] が有効化されています。 障害が発生し、このしきい値(初期設定は 1000ms です) を超えた場合は、定義されたアクションが実行されます。 HA2 キープアライブに障害が発生すると、 「critical」レベ ルのシステムログ メッセージが生成されます。 HA2 keep-alive [HA2 キープアライブ ] オプションは、 HA ペアの両方のデバイス、または一方のデバイ スに設定できます。一方のデバイスでこのオプ ションが有効化されている場合、キープアライブ メッセージはそのデバイス単体から送信されます。 154 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks AWS での VM-Series ファイアウォールのセットアップ AWS における VM-Series ファイアウォールの高可用性設定 AWS にアクティブ / パッシブ HA を設定する(続) Step 7 デ バ イ ス 優 先 度 を 設 定 1. してプリエンプション を有効にします。 2. 特定のデバイスがアク ティブ デバイスに指定 されていることを確認 する場合には、この設定 を使用してください。詳 細は、デバイス優先度お よ び プ リ エ ン プ シ ョ ン 3. を参照してください。 4. Step 8 (任 意)フ ェ イ ル オ ー 1. バーがトリガーされる までのウェイトタイム を変更します。 2. Device > High Availability > General [ デバイス > 高可用性 > 全 般 ] の順に選択し、[ 選択設定 ] セクションを編集します。 Device Priority [ デバイス優先度 ] で優先度の数値を設定し ます。優先度を高くするデバイスの数値を小さく設定す る必要があります。 両方のファイアウォールで優先度の値が同じ場 合、HA1 コントロール リンクで MAC アドレスが 最も小さいファイアウォールがアクティブ デバイ スとなります。 Preemptive [ プリエンプティブ ] を選択します。 アクティブ デバイスとパッシブ デバイスの両方でプリ エンプティブを有効にする必要があります。 フェイルオーバー タイマーを変更します。デフォルトで は、HA タイマー プロファイルが、ほとんどの HA 導入 に適している Recommended [ 推奨 ] プロファイルに設定 されています。 Device > High Availability > General [ デバイス > 高可用性 > 全 [ アクティブ / パッシブ設定 ] セクショ 般 ] の順に選択し、 ンを編集します。 Monitor fail hold up time [ モニター障害時ホールドアップタイ 。こ ム ] を 1 ∼ 60 分の値に変更します(初期設定は 1 分) こで指定した時間がリンクモニターに障害が発生した後 にファイアウォールがアクティブのままでいる時間間隔 となります。この設定を利用して、隣接するデバイスの 偶発的なフラッピングによる HA のフェイルオーバーを 回避してください。 Step 9 HA ピアの IP アドレスを 1. 設定します。 2. 3. Device > High Availability > General [ デバイス > 高可用性 > 全 般 ] の順に選択し、セットアップのセクションを編集し ます。 ピアの HA1 ポートの IP アドレスを入力します。これは 管理インターフェイス(イーサネット 0/0)に割り当て られた IP アドレスであるとともに、もう一方のファイア ウォールの HA1 リンクでもあります。 Group ID[ グループ ID] ナンバーを 1 から 63 の間で設定し ます。この値は AWS の VM-Series ファイアウォールでは 使用しませんが、空欄にしておくことが出来ません。 Step 10 も う 一 方 の ピ ア の 設 定 HA ピア上で Step 3 から Step 9 を繰り返します。 を行います。 Step 11 両 方 の デ バ イ ス で 設 定 1. が完了したら、アクティ ブ / パッシブ HA でそれ 2. らのデバイスがペアに なっていることを確認 3. します。 Palo Alto Networks 両方のデバイスで Dashboard にアクセスして、High Availability [ 高可用性 ] ウィジェットを表示します。 アクティブ デバイスで、Sync to peer [ ピアと同期 ] リンク をクリックします。 下に示すように、デバイスがペアになっていて同期され ていることを確認します。 VM-Series 7.0 デプロイメントガイド • 155 AWS における VM-Series ファイアウォールの高可用性設定 AWS での VM-Series ファイアウォールのセットアップ AWS にアクティブ / パッシブ HA を設定する(続) パッシブ デバイス:ローカル デバ アクティブ デバイス : ローカル デバイスの状態が active[ アク イスの状態が passive[ パッシブ ]、 ティブ ]、設定が synchronized [ 同期済み ] と表示されます。 設定が synchronized [同期済み]と 表示されます。 Step 12 フ ェ イ ル オ ー バ ー が 正 1. しく行われていること を確認してください。 2. HA ピアをシャットダウンします。 a. EC2 Dashboard で、 Instances [インスタンス] を選択します。 b. リストから VM-Series ファイアウォールを選択し、 Actions > Stop [ アクション > 停止 ] の順にクリックします。 パッシブピアがアクティブピアのロールを引き継ぎ、ア クティブに切り替わった HA ピアにデータプレーンイン ターフェイスが移動されたことを確認してください。 156 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks AWS での VM-Series ファイアウォールのセットアップ ユース ケース :AWS クラウドで EC2 インスタンスを保護す ユース ケース :AWS クラウドで EC2 インスタンスを保 護する この例では、VPC は、以下の 2 つの /24 サブネットを含む 10.0.0.0/16 ネットワークに展開されて います :10.0.0.0/24 および 10.0.1.0/24.VM-Series ファイアウォールは、インターネット ゲートウェ イがアタッチされている 10.0.0.0/24 サブネットで起動されます。10.0.1.0/24 サブネットは、 VM-Series ファイアウォールによる保護が必要な EC2 インスタンスをホストするプライベート サブネットです。このプライベート サブネット上のサーバーでは、NAT を使用してルーティン グ可能な IP アドレス(Elastic IP アドレス)でインターネットにアクセスします。AWS VPC での VM-Series 用プランニングワークシートを使用して、VPC 内の設計を計画します。EC2 インスタ ンスのサブネット範囲、ネットワーク インターフェイス、および関連付けられた IP アドレスと セキュリティグループを記録すると、セットアップ プロセスが容易かつ効率的になります。 以下の図は、Web サーバーとの間およびインターネットへのトラフィックの論理フローを表して います。Web サーバーとの間のトラフィックは、プライベート サブネットにアタッチされてい る VM-Series ファイアウォールのデータ インターフェイスに送信されます。ファイアウォール は、VPC のインターネット ゲートウェイとの間で送受信されるトラフィックにポリシーを適用 して処理します。この図はまた、データ インターフェイスがアタッチされているセキュリティ グループも示しています。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 157 ユース ケース :AWS クラウドで EC2 インスタンスを保護する AWS での VM-Series ファイアウォールのセットアッ クラウド ゲートウェイとして VM-Series ファイアウォールをデプロイ Step 1 パブリック サブネットを含む新し 1. い VPC を作成します(または既存の VPC を選択します)。 2. 3. AWS コンソールにログインし、VPC Dashboard を選択し ます。 正しい地理上の領域(AWS リージョン)を選択したこ とを確認します。VPC は現在選択されているリージョ ンに展開されます。 Start VPC Wizard [VPC ウィザードを開始 ] を選択し、VPC with a Single Public Subnet [VPC 単一パブリックサブネット あり ] を選択します。 この例では、VPC の IP CIDR ブロックは 10.0.0.0/16、 VPC 名は Cloud DC、パブリック サブネットは 10.0.0.0/24、サブネット名は Cloud DC Public Subnet で す。VPC の作成後、プライベート サブネットを作成し ます。 4. 158 • VM-Series 7.0 デプロイメントガイド Create VPC [VPC を作成 ] をクリックします。 Palo Alto Networks AWS での VM-Series ファイアウォールのセットアップ ユース ケース :AWS クラウドで EC2 インスタンスを保護す クラウド ゲートウェイとして VM-Series ファイアウォールをデプロイ(続) Step 2 プライベート ます。 Palo Alto Networks サブネットを作成し Subnets [ サブネット ] を選択し、Create a Subnet [ サブネット を作成 ] をクリックします。情報を入力します。 この例では、サブネットの Name tag [ ネームタグ ] は Web/DB Server Subnet です。これは、Cloud Datacenter VPC で作成さ れ、CIDR ブロック 10.0.1.0/24 が割り当てられています。 VM-Series 7.0 デプロイメントガイド • 159 ユース ケース :AWS クラウドで EC2 インスタンスを保護する AWS での VM-Series ファイアウォールのセットアッ クラウド ゲートウェイとして VM-Series ファイアウォールをデプロイ(続) Step 3 サ ブ ネ ッ ト ご と に 新 し い ル ー ト 1. テーブルを作成します。 メ イ ン ル ー ト テ ー ブ ル は 2. VPC に自動的に作成されます が、デフォルトのルート テー ブルを変更するのではなく、 3. 新しいルート テーブルを作成 することをお勧めします。 Route Tables > Create Route Table [ ルートテーブル > ルート テーブルを作成 ] の順に選択します。 Name [ 名前 ] で名前( 「CloudDC-public-subnet-RT」など) を追加し、Step 1 で作成した VPC を VPC で選択して、 Yes, Create [ 作成する ] をクリックします。 ルート テーブルを選択し、Subnet Associations [ サブネッ ト関連付け ] をクリックしてパブリック サブネットを選 択します。 各サブネットからアウトバウ ンド トラフィックを送信する には、後にこのワークフローで、ルー トを各サブネットに関連付けられた ルート テーブルに追加します。 4. 5. 6. Create Route Table [ ルートテーブルを作成 ] を選択します。 Name [ 名前 ] で名前( 「CloudDC-private-subnet-RT」など) を追加し、Step 1 で作成した VPC を VPC で選択して、 Yes, Create [ 作成する ] をクリックします。 ルート テーブルを選択し、Subnet Associations [ サブネッ ト関連付け ] をクリックしてプライベート サブネットを 選択します。 160 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks AWS での VM-Series ファイアウォールのセットアップ ユース ケース :AWS クラウドで EC2 インスタンスを保護す クラウド ゲートウェイとして VM-Series ファイアウォールをデプロイ(続) Step 4 インバウンド / アウトバウンド イン タ ー ネ ッ ト ア ク セ ス を VPC 内 の EC2 インスタンスに制限するセキュ リティグループを作成します。 Security Groups [ セキュリティグループ ] を選択し、Create Security Group [ セキュリティグループを作成 ] ボタンをクリッ クします。この例では、以下のインバウンド アクセス用 ルールを設定した 3 つのセキュリティグループを作成しま す。 デフォルトでは、AWS は、異なるセ • CloudDC-Management。VM-Series ファイアウォールの キュリティグループに属するイン 管理インターフェイスに接続できるプロトコルと送 ターフェイス間の通信を禁止してい 信元 IP アドレスを指定します。少なくとも、SSH と ます。 HTTPS が必要です。この例では、このセキュリティ グループにアタッチされているネットワーク イン ターフェイス上で SSH、ICMP、HTTP、および HTTPS を有効にします。 CloudDC-Management セキュリティグループには、 VM-Series ファイアウォールの管理インターフェイス (eth 0/0)が割り当てられます。 • Public-Server-CloudDC。VPC 内で HTTP、FTP、SSH を 介して接続可能な送信元 IP アドレスを指定します。 このグループでは、外部ネットワークからファイア ウォールへのトラフィックを許可します。 Public-Server-CloudDC には、VM-Series ファイアウォー ルのデータプレーン インターフェイス(eth1/1)が 割り当てられます。 • Private-Server-CloudDC。アクセスが非常に制限されま す。許可するのは、同じサブネット上の他の EC2 イ ン ス タ ン ス に よ る 相 互 ま た は VM-Series フ ァ イ ア ウォールとの通信のみです。 このセキュリティグループには、VM-Series ファイア ウォールのデータプレーン インターフェイス (eth1/2)とプライベート サブネットの内のアプリ ケーションがアタッチされます。 以下のスクリーンショットは、このユースケースの セキュリティグループを示しています。 Step 5 VM-Series ファイアウォールを展開 「AWS での VM-Series ファイアウォールの起動」の Step 3 を します。 参照してください。 初期起動時には、管理インター フェイスとして機能するプライマ リ ネットワーク インターフェイ スのみがファイアウォールにア タッチされ、設定されます。デー タ トラフィックの処理に必要な ネットワーク インターフェイス は、Step 6 で追加されます。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 161 ユース ケース :AWS クラウドで EC2 インスタンスを保護する AWS での VM-Series ファイアウォールのセットアッ クラウド ゲートウェイとして VM-Series ファイアウォールをデプロイ(続) Step 6 Elastic ネットワーク インターフェイ 1. ス(ENI)と呼ばれる仮想ネットワー ク イ ン タ ー フ ェ イ ス を 作 成 し、 VM-Series フ ァ イ ア ウ ォ ー ル に ア 2. タ ッ チ し ま す。こ れ ら の ENI は、 ファイアウォールとの間のデータ 3. トラフィックの処理に使用されま す。 4. 5. 6. EC2 Dashboard で Network Interfaces [ ネットワークインス タンス ] を選択し、Create Network Interface [ ネットワー クインスタンスを生成 ] をクリックします。 分かりやすいインターフェイス名を入力します。 サブネットを選択します。サブネット ID を使用して、 正しいサブネットを選択したことを確認します。ENI は、同じサブネット内のインスタンスにのみアタッチ できます。 インターフェイスに割り当てるアドレスを Private IP [ プライベート IP] に入力するか、Auto-assign [ 自動割り当 選択されたサブネット内で使用可能な IP て ] を選択し、 アドレスから自動的に IP アドレスを割り当てます。 Security group [ セキュリティグループ ] を選択してネット ワーク インターフェイスへのアクセスを制御します。 Yes, Create [ 生成する ] をクリックします。 この例では、以下の設定で 2 つのインターフェイスを 作成します。 • Eth1/1(VM-Series-Untrust) – サブネット :10.0.0.0/24 – プライベート IP:10.0.0.10 – セキュリティグループ :Public-Server-CloudDC • Eth1/2(VM-Series-Trust) – サブネット :10.0.1.0/24 – プライベート IP:10.0.1.10 – セキュリティグループ :Private-Server-CloudDC 7. VM-Series ファイアウォールに ENI をアタッチするに は、上記で作成したインターフェイスを選択し、Attach [ アタッチ ] をクリックします。 8. Instance ID [ インスタンス ID] で VM-Series ファイアウォー ルのインスタンス ID を選択し、Attach [ アタッチ ] をク リックします。 ステップ 7 および 8 を繰り返してもう一方のネット ワーク インターフェイスをアタッチします。 9. 162 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks AWS での VM-Series ファイアウォールのセットアップ ユース ケース :AWS クラウドで EC2 インスタンスを保護す クラウド ゲートウェイとして VM-Series ファイアウォールをデプロイ(続) Step 7 Elastic IP アドレスを作成し、イン 1. ターネットへの直接アクセスが必要 なファイアウォールのデータプレー 2. ン ネットワーク インターフェイス にアタッチします。 3. こ の 例 で は、VM-Series_Untrust が EIP に割り当てられます。インター 4. フェイスに関連付けられた EIP は、 プライベート サブネット内の Web サーバー用の公開された IP アドレ スです。 Elastic IPs を選択し、Allocate New Address [ 新規アドレス を割り当て ] をクリックします。 EC2-VPC を選択し、Yes, Allocate [ 関連付けを行う ] をク リックします。 新しく割り当てられた EIP を選択し、Associate Address [ 関連アドレス ] をクリックします。 Network Interface [ ネットワークインターフェイス ] でネッ トワーク インターフェイス、Private IP address [ プライ ベート IP アドレス ] でインターフェイスに関連付けられ たプライベート IP アドレスを選択し、Yes, Associate [ 関 連付けを行う ] をクリックします。 この例では、以下のような設定になります。 Step 8 VM-Series ファイアウォールにアタッ チされたネットワーク インターフェ イスごとに送信元 / 送信先チェック を無効にします。この属性を無効に すると、インターフェイスの IP アド レス宛てではないネットワーク トラ フィックをインターフェイスで処理 できるようになります。 Palo Alto Networks 1. 2. 3. 4. Network Interfaces [ ネットワークインターフェイス ] タブ でネットワーク インターフェイスを選択します。 Action [ アクション ] のドロップダウンから、Change Source/Dest.Check [ 送信元変更 / 宛先確認 ] を選択します。 Disabled [ 無効 ] をクリックし、Save [ 保存 ] をクリック して変更を保存します。 追加のネットワーク インターフェイス(この例では ファイアウォール 1/2)について、ステップ 1 ∼ 3 を繰 り返します。 VM-Series 7.0 デプロイメントガイド • 163 ユース ケース :AWS クラウドで EC2 インスタンスを保護する AWS での VM-Series ファイアウォールのセットアッ クラウド ゲートウェイとして VM-Series ファイアウォールをデプロイ(続) Step 9 (Step 3 で)パブリック サブネットに 1. 関連付けられたルート テーブルで、 VPC のインターネット ゲートウェ イにデフォルト ルートを追加しま 2. す。 3. VPC Dashboard から Route Tables [ ルートテーブル ] を選 択し、パブリック サブネットに関連付けられたルート テーブルを見つけます。 ルート テーブルを選択し、Routes [ ルート ] を選択して、 Edit [ 編集 ] をクリックします。 このサブネットからインターネット ゲートウェイにパ ケットを転送するルートを追加します。この例では、 0.0.0.0.0 は、こ の サ ブ ネ ッ ト と の 間 の す べ て の ト ラ フィックで、VPC にアタッチされたインターネット ゲートウェイが使用されることを示します。 VPC Dashboard から、Route Tables [ ルートテーブル ] を選 択し、プライベート サブネットに関連付けられたルー ト テーブルを見つけます。 ルート テーブルを選択し、Routes [ ルート ] を選択して、 Edit [ 編集 ] をクリックします。 このルートを追加すると、このプラ 3. このサブネットから同じサブネット上にある VM-Series イベート サブネットの EC2 インス ファイアウォールのネットワーク インターフェイスに タ ン ス か ら VM-Series フ ァ イ ア パケットを転送するルートを追加します。この例では、 ウォールへのトラフィックの転送が 0.0.0.0/0 は、このサブネットとの間のすべてのトラ 可能になります。 フィックで、VM-Series ファイアウォール上の eni-abf355f2 (ethernet 1/2、つまり CloudDC-VM-Series-Trust)が使用さ れることを示します。 Step 10 プライベート サブネットに関連付 1. けられたルート テ ー ブ ル で、 VM-Series ファイアウォールにトラ フ ィ ッ ク を 送 信 す る デ フ ォ ル ト 2. ルートを追加します。 . プライベート サブネットの EC2 インスタンスにデプ ロイされている Web サーバーまたはデータベース サーバーごとに、デフォルトゲートウェイとして VM-Series ファイアウォールの IP アドレスも追加す る必要があります。 VM-Series フ ァ イ ア ウ ォ ー ル で Step 11 か ら Step 16 を実行します。 164 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks AWS での VM-Series ファイアウォールのセットアップ ユース ケース :AWS クラウドで EC2 インスタンスを保護す クラウド ゲートウェイとして VM-Series ファイアウォールをデプロイ(続) Step 11 ファイアウォールの新しい管理パス 1. ワードを設定します。 ファイアウォールで CLI にアクセス し、デフォルトの管理者パスワード を変更するには、PuTTY などの SSH ツールが必要です。SSH で接続して デフォルト パスワードを変更する 2. まで、Web インターフェイスにはア クセスできません。 ファイアウォールに設定したパブリック IP アドレスを 使用して、VM-Series ファイアウォールのコマンド ライ ン インターフェイス(CLI)に SSH で接続します。 CLI にアクセスするには、「VM-Series ファイアウォー ルを起動します。」の Step 3 ∼ k で使用または作成した プライベート キーが必要になります。 以下のコマンドを入力してファイアウォールにログイ ンします。 3. 以下のコマンドを使用し、画面上のプロンプトに従っ て新しいパスワードを設定します。 ssh-i <private_key_name> admin@<public-ip_address> set password configure commit 4. SSH セッションを終了します。 Step 12 VM-Series ファイアウォールの Web Web ブラウザを開き、管理インターフェイスの EIP を入力 インターフェイスにアクセスしま します。例 : https://54.183.85.163 す。 Step 13 VM-Series ファイアウォールでライ 「ライセンスのアクティベーション」を参照してください。 センスをアクティベーションしま す。この手順は BYOL ライセンスの 場合のみ必要となります(従量制ラ イセンスは自動的にアクティベート されます)。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 165 ユース ケース :AWS クラウドで EC2 インスタンスを保護する AWS での VM-Series ファイアウォールのセットアッ クラウド ゲートウェイとして VM-Series ファイアウォールをデプロイ(続) Step 14 VM-Series ファイアウォールで、ファイ 1. ア ウ ォ ール の デ ータ プ レ ーン ネ ッ ト ワーク インターフェイスをレイヤー 3 2. インターフェイスとして設定します。 3. 4. 166 • VM-Series 7.0 デプロイメントガイド Network > Interfaces > Ethernet [ ネットワーク > インスタン ス > イーサネット ] の順に選択します。 ethernet 1/1 [ イーサネット 1/1] のリンクをクリックし、以 下のように設定します。 • Interface Type [ インターフェイス タイプ ] :Layer3 • Config [ 設定 ] タブを選択し、インターフェイスをデフォ ルト ルーターに割り当てます。 • Config [ 設定 ] タブで、Security Zone [ セキュリティ ゾー ン]ドロップダウン リストを展開して New Zone [新規ゾー ン ] を選択します。新しいゾーン(「untrust」など)を定義 し、OK をクリックします。 • IPv4 を選択し、DHCP Client [DHCP クライアント ] を選択 します。AWS 管理コンソールでネットワーク インターフェ イスに割り当てたプライベート IP アドレスが自動的に取 得されます。 • Advanced > Other Info [ 詳細 > その他の情報 ] タブで、 [ 管理プロファイル ] ドロップダウン リストを展開して New Management Profile [ 新規管理プロファイル ] を選択 します。 • プロファイルの Name[ 名前 ] (「allow_ping」など)を入力 し、Permitted Services リストから Ping を選択して、OK を クリックします。 • インターフェイス設定を保存するには、OK をクリックし ます。 ethernet 1/2 [ イーサネット 1/2] のリンクをクリックし、以 下のように設定します。 • Interface Type [ インターフェイス タイプ ] :Layer3 • Config [ 設定 ] タブを選択し、インターフェイスをデフォ ルト ルーターに割り当てます。 • Config [ 設定 ] タブで、Security Zone [ セキュリティ ゾー ン]ドロップダウン リストを展開して New Zone [新規ゾー ン ] を選択します。新しいゾーン( 「trust」など)を定義し、 OK をクリックします。 • IPv4 を選択し、DHCP Client [DHCP クライアント ] を選択 します。 • IPv4 タブで、Automatically create default route to default gateway provided by server [ サーバーから提供されたデ フォルトゲートウェイを指すデフォルト ルートを自動的 に作成 ] チェックボックスをオフにします。VPC のプライ ベート サブネットにアタッチされているインターフェイ スの場合、このオプションを無効にすると、このインター フェイスで処理されるトラフィックが VPC の IGW に直接 流れなくなります。 • Advanced > Other Info [ 詳細 > その他の情報 ] の順に選択 し、[ 管理プロファイル ] ドロップダウン リストを展開し て、前に作成した [allow_ping] プロファイルを選択します。 • OK をクリックして、インターフェイス設定を保存します。 Commit [ コミット ] をクリックして変更を保存します。イン ターフェイスのリンク状態がアップしていることを確認しま す。 . リンク状態がアップでない場合は、ファイア ウォールを再起動します。 Palo Alto Networks AWS での VM-Series ファイアウォールのセットアップ ユース ケース :AWS クラウドで EC2 インスタンスを保護す クラウド ゲートウェイとして VM-Series ファイアウォールをデプロイ(続) Step 15 VM-Series ファイアウォールで、VPC 1. 内にデプロイされたアプリケーショ 2. ンとの間のインバウンド / アウトバ ウンド トラフィックを許可する宛 先 NAT ルールと送信元 NAT ルール を作成します。 Policies > NAT [ ポリシー > NAT] の順に選択します。 ファイアウォールからのトラフィックを Web サーバー に送信する宛先 NAT ルールを作成します。 a. Add [ 追加 ] をクリックし、ルールの名前を入力しま す(「NAT2WebServer」など)。 b. Original Packet [元のパケット] タブで、 以下を選択します。 – 送信元ゾーン : untrust(トラフィックの発信元) – Destination Zone[ 宛先ゾーン ]: untrust(Web サーバー の EIP が関連付けられている、ファイアウォールの データプレーン インターフェイスのゾーン) – Source Address [ 送信元アドレス ] : 任意 – Destination Address [ 宛先アドレス ] :10.0.0.10 – Translated Packet [ 変換済みパケット ] タブで、[ 宛先アド レスの変換 ] チェックボックスをオンにしてから、 Translated Address [ 変換後アドレス ] に「10.0.1.62」 (Web サーバーのプライベート IP アドレス) と設定します。 c. OK をクリックします。 3. Web サーバーからインターネットへのアウトバウンド ト ラフィックを許可する送信元 NAT ルールを作成します。 a. Add [ 追加 ] をクリックし、ルールの名前を入力しま す(「NAT2External」など)。 b. Original Packet [ 元のパケット ] タブで、以下を選択し ます。 – Source Zone[ 送信元ゾーン ]: trust(トラフィックの発 信元) – Destination Zone[ 宛先ゾーン ]: untrust(Web サーバー の EIP が関連付けられている、ファイアウォールの データプレーン インターフェイスのゾーン) – Source Address [ 送信元アドレス ] : 任意 – Destination Address [ 宛先アドレス ] : 任意 c. Translated Packet [ 変換済みパケット ] タブの [ 送信元 アドレスの変換 ] セクションで以下を選択します。 – Translation Type [ 変換タイプ ] : ダイナミック IP およ びポート – Address Type [ アドレスタイプ ] : 変換後アドレス – Translated Address [ 変換後アドレス ] :10.0.0.10 (untrust ゾーンのファイアウォールのデータプレーンイン ターフェイス) Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 167 ユース ケース :AWS クラウドで EC2 インスタンスを保護する AWS での VM-Series ファイアウォールのセットアッ クラウド ゲートウェイとして VM-Series ファイアウォールをデプロイ(続) d. OK をクリックします。 4. 168 • VM-Series 7.0 デプロイメントガイド Commit [ コミット ] をクリックして NAT ポリシーを保 存します。 Palo Alto Networks AWS での VM-Series ファイアウォールのセットアップ ユース ケース :AWS クラウドで EC2 インスタンスを保護す クラウド ゲートウェイとして VM-Series ファイアウォールをデプロイ(続) Step 16 VM-Series ファイアウォールで、トラ 1. フィックを管理するセキュリティ ポリシーを作成します。 2. Policies > Security [ ポリシー > セキュリティ ] の順に選択 します。 この例では、4 つのルールがあります。ファイア ウォール トラフィックへの管理アクセスを許可する ルール、Web サーバーへのインバウンド トラフィック を許可するルール、Web サーバーへのインターネット アクセスを許可する 3 つ目のルール、最後は、事前定 義された intrazone-default ルールを変更して、拒否され たすべてのトラフィックがログに記録されるようにす るルールです。 ファイアウォールへの管理アクセスを許可するルール を作成します。 a. Add [ 追加 ] をクリックし、Name [ 名前 ] にルールの名 前を入力します。Rule Type [ ルール タイプ ] が universal であることを確認します。 b. Source[ 送信元 ] タブで、Source Zone[ 送信元ゾーン ] に untrust を追加します。 c. Destination [ 宛先 ] タブで、Destination Zone [ 宛先ゾー ン ] に trust を追加します。 d. Applications [ アプリケーション ] タブの Add[ 追加 ] か ら、ping と ssh を追加します。 e. Actions [ アクション ] タブで、Action [ アクション ] を Allow に設定します。 f. OK をクリックします。 3. Web サーバーへのインバウンド トラフィックを許可す るルールを作成します。 a. Add[ 追加 ] をクリックし、Name[ 名前 ] にルールの名 前を入力して、Rule Type[ ルール タイプ ] が universal で あることを確認します。 b. Source[ 送信元 ] タブで、Source Zone[ 送信元ゾーン ] に untrust を追加します。 c. Destination [ 宛先 ] タブで、Destination Zone [ 宛先ゾー ン ] に trust を追加します。 d. Applications[ アプリケーション ] タブの Add[ 追加 ] か ら、web-browsing を追加します。 e. Service/URL Category [ サービス /URL カテゴリ ] タブで、 service[ サービス ] が [application-default] に設定されて いることを確認します。 f. Actions [ アクション ] タブで、Action [ アクション ] を Allow に設定します。 g. Actions [ アクション ] タブの [ プロファイル設定 ] セク ションで、Profiles[ プロファイル ] を選択し、アンチ ウイルス、アンチスパイウェア、脆弱性防御にデフォ ルト プロファイルを関連付けます。 h. OK をクリックします。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 169 ユース ケース :AWS クラウドで EC2 インスタンスを保護する AWS での VM-Series ファイアウォールのセットアッ クラウド ゲートウェイとして VM-Series ファイアウォールをデプロイ(続) Web サーバーのスタティック IP アド 4. レスを入力するのではなく、ダイナ ミック アドレス グループを使用しま す。ダイナミック アドレス グループを 使用すると、変更に適応するポリシー を自動的に作成できるため、サブネッ ト内で追加の Web サーバーを起動し たときにポリシーを更新する必要がな くなります。詳細は、ユース ケース : ダイナミックアドレスグループを使用 して VPC 内の新しい EC2 インスタン スを保護するを参照してください。 Web サーバーへのインターネット アクセスを許可する ルールを作成します。 a. Add[ 追加 ] をクリックし、Name[ 名前 ] にルールの名 前を入力して、Rule Type[ ルール タイプ ] が universal であることを確認します。 b. Source[ 送信元 ] タブで、Source Zone[ 送信元ゾーン ] に trust を追加します。 c. Source[ 送信元 ] タブの [ 送信元アドレス ] セクション で、Web サーバーの IP アドレスである「10.0.1.62」を 追加します。 d. Destination[ 宛先 ] タブで、Destination Zone[ 宛先ゾー ン ] に untrust を追加します。 e. Service/URL Category [ サービス /URL カテゴリ ] タブで、 サービスが application-default に設定されていること を確認します。 f. Actions [ アクション ] タブで、Action [ アクション ] を Allow に設定します。 g. Actions [ アクション ] タブの [ プロファイル設定 ] セク ションで、Profiles[ プロファイル ] を選択し、アンチ ウイルス、アンチスパイウェア、脆弱性防御にデフォ ルト プロファイルを関連付けます。 h. OK をクリックします。 170 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks AWS での VM-Series ファイアウォールのセットアップ ユース ケース :AWS クラウドで EC2 インスタンスを保護す クラウド ゲートウェイとして VM-Series ファイアウォールをデプロイ(続) 5. 拒否されたすべてのトラフィックをログに記録するよ うに interzone-default ルールを編集します。この事前定 義された interzone( ゾーン間 ) ルールは、異なるゾーン 間を移動するトラフィックと一致する他のルールが明 示的に定義されていない場合に評価されます。 a. interzone-default ルールを選択し、Override [ オーバー ライド ] をクリックします。 b. Actions[ アクション ] タブで、Log at session end[ セッ ション終了時にログ ] を選択します。 c. OK をクリックします。 Palo Alto Networks 6. ファイアウォールに対して定義した一連のセキュリ ティ ルールすべてを確認します。 7. Commit[ コミット ] をクリックしてポリシーを保存しま す。 VM-Series 7.0 デプロイメントガイド • 171 ユース ケース :AWS クラウドで EC2 インスタンスを保護する AWS での VM-Series ファイアウォールのセットアッ クラウド ゲートウェイとして VM-Series ファイアウォールをデプロイ(続) Step 17 VM-Series ファイアウォールがトラ 1. フィックを保護することを確認しま す。 2. Web ブラウザを起動し、Web サーバーの IP アドレスを 入力します。 VM-Series ファイアウォールの Web インターフェイスに ログインし、Monitor > Logs > Traffic [ 監視 > ログ > トラ フィック ] の順に選択してセッションのトラフィック ロ グを表示できることを確認します。 • Web サーバーへのインバウンド トラフィック(AWS VPC の EC2 インスタンスに到達) • Web サーバーからのアウトバウンド トラフィック (AWS VPC の EC2 インスタンス) VM-Series ファイアウォールがクラウド ゲートウェイとして正常にデプロイされました。 172 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks AWS での VM-Series ファイアウォールのセットアップ ユース ケース : ダイナミックアドレスグループを使用して ユース ケース : ダイナミックアドレスグループを使用して VPC 内の新しい EC2 インスタンスを保護する オンデマンドで新しい EC2 インスタンスが起動される AWS-VPC のような動的な環境では、セ キュリティ ポリシーの管理負担が煩雑になることがあります。セキュリティ ポリシーでダイナ ミック アドレス グループを使用すると、俊敏性が向上し、サービスの中断や保護の間隙を防止 できます。 この例では、VPC をモニターし、セキュリティ ポリシーでダイナミック アドレス グループを使 用して EC2 インスタンスを検出および保護する方法について説明します。EC2 インスタンスが 作成されると、ダイナミック アドレス グループは、グループ メンバーシップに対して定義され た条件に一致するすべてのインスタンスの IP アドレスを順に並べ、グループのセキュリティ ポ リシーを適用します。この例のセキュリティ ポリシーでは、グループのすべてのメンバーへの インターネット アクセスが許可されます。 以下のセクションのワークフローでは、すでに AWS VPC が作成され、VM-Series ファイアウォー ルと一部のアプリケーションが EC2 インスタンスにデプロイされていると想定されています。 VM-Series の VPC セットアップ手順は、「ユース ケース :AWS クラウドで EC2 インスタンスを保 護する」を参照してください。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 173 ユース ケース : ダイナミックアドレスグループを使用して VPC 内の新しい EC2 インスタンスを保護する AWS での ポリシー内でのダイナミック アドレス グループの使用 Step 1 VPC をモニターするようにファイ 1. アウォールを設定します。 2. 3. Device > VM Information Sources [ デバイス > VM 情報ソース ] を選択します。 Add [ 追加 ] をクリックして、以下の情報を入力します。 a. Name [ 名前 ] に、モニターする VPC を識別する名前 を入力します(「VPC-CloudDC」など)。 b. Type[ タイプ ] を AWS VPC に設定します。 c. Source[ 送信元 ] に VPC の URL を入力します。構文 : ec2.<your_region>.amazonaws.com d. ファイアウォール が AWS サービスへの API コール にデジタル署名するために必要な認証情報を追加し ます。以下の設定が必要です。 – Access Key ID [ アクセスキー ID]:AWS アカウントを所 有するか、アクセスを許可されているユーザーを一 意に識別する英数字のテキスト文字列を入力しま す。 – Secret Access Key [ 秘密アクセスキー ] : パスワードを 入力し、確認のために再入力します。 e.(任意)Update interval [ 更新間隔 ] を 5 ∼ 600 秒の値 に変更します。デフォルトでは、ファイアウォール は 5 秒ごとにポーリングします。API 呼び出しは毎回 60 秒以内にキューに登録され取得されるため、更新 の最大所要時間は 60 秒に設定ポーリング間隔を加え た値となります。 f. VPC ID に、AWS 管理コンソールの VPC Dashboard に 表示される VPC ID を入力します。 g. OK をクリックし、変更を Commit[ コミット ] します。 h. Status [ 状態 ] に接続状態が (接続済み)と表示さ れていることを確認します。 174 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks AWS での VM-Series ファイアウォールのセットアップ ユース ケース : ダイナミックアドレスグループを使用して ポリシー内でのダイナミック アドレス グループの使用(続) Step 2 VPC の EC2 インスタンスにタグ付 けします。 VM-Series ファイアウォールによっ てモニターできるタグの一覧は、 「AWS-VPC でモニターされる属性の 一覧」を参照してください。 Palo Alto Networks タグは、名前 - 値ペアです。EC2 インスタンスへのタグ付 けは、AWS 管理コンソールの EC2 Dashboard か、AWS API または AWS CLI を使用して行うことができます。 この例では、EC2 Dashboard を使用してタグを追加します。 VM-Series 7.0 デプロイメントガイド • 175 ユース ケース : ダイナミックアドレスグループを使用して VPC 内の新しい EC2 インスタンスを保護する AWS での ポリシー内でのダイナミック アドレス グループの使用(続) Step 3 ファイアウォール上にダイナミック 4. アドレス グループを作成します。 この機能の概略を把握するた 5. めに、チュートリアルを参照 6. してください。 7. 8. Object > Address Groups [ オブジェクト > アドレスグループ ] を選択します。 Add [ 追加 ] をクリックし、アドレス グループの Name [ 名前 ] および Description[ 説明 ] を入力します。 Type[ タイプ ] で Dynamic[ ダイナミック ] を選択します。 一致条件を指定します。 a. Add Match Criteria[ 条件の追加 ] をクリックし、AND 演 算子を追加します。 b. 絞り込みまたは照合の基準となる属性を選択しま す。この例では、作成した ExternalAccessAllowed タグ と、VPC のプライベート サブネットのサブネット ID を選択します。 9. OK をクリックします。 10. Commit[ コミット ] をクリックします。 176 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks AWS での VM-Series ファイアウォールのセットアップ ユース ケース : ダイナミックアドレスグループを使用して ポリシー内でのダイナミック アドレス グループの使用(続) Step 4 セキュリティ ポリシー内でダイナ ExternalServerAccess というダイナミック アドレス グループ ミック アドレス グループを使用し に属する Web サーバーへのインターネット アクセスを許 ます。 可するルールを作成するには、以下の手順を実行します。 1. Policies > Security [ ポリシー > セキュリティ ] の順に選択 します。 2. Add[ 追加 ] をクリックし、Name[ 名前 ] にルールの名前 を入力して、Rule Type[ ルール タイプ ] が universal である ことを確認します。 3. Source[ 送信元 ] タブで、Source Zone[ 送信元ゾーン ] に trust を追加します。 4. Source[ 送信元 ] タブの [ 送信元アドレス ] セクションで、 Add[追加] をクリックして、 作成した ExternalServerAccess グループを追加します。 5. Destination[ 宛先 ] タブで、Destination Zone[ 宛先ゾーン ] に untrust を追加します。 6. Service/URL Category [ サービス /URL カテゴリ ] タブで、 サービスが application-default に設定されていることを 確認します。 7. Actions [ アクション ] タブで、Action [ アクション ] を Allow に設定します。 8. Actions [ アクション ] タブの [ プロファイル設定 ] セク ションで、Profiles[ プロファイル ] を選択し、アンチウ イルス、アンチスパイウェア、脆弱性防御にデフォル ト プロファイルを関連付けます。 9. OK をクリックします。 10. Commit[ コミット ] をクリックします。 Step 5 ファイアウォール上に、ダイナミッ 1. ク アドレス グループのメンバーが 入力されていることを確認します。 2. このアドレス グループに属し、ここ に表示されるすべての IP アドレス についてポリシーが適用されます。 3. Palo Alto Networks Policies > Security [ ポリシー > セキュリティ ] の順に選択 し、ルールを選択します。 アドレス グループのリンクの隣にあるドロップダウン の矢印を選択し、Inspect[ 検査 ] をクリックします。一 致基準が正確であるか確認することもできます。 more[ 詳細 ] リンクをクリックし、登録された IP アドレ スのリストが表示されることを確認します。 VM-Series 7.0 デプロイメントガイド • 177 ユース ケース :VM-Series ファイアウォールを導入し、AWS 内でインターネットに接続された高可用性アプリケー ユース ケース :VM-Series ファイアウォールを導入し、 AWS 内でインターネットに接続された高可用性アプリ ケーションを保護する AWS のインフラストラクチャ及びサービスはあなたのビジネスに合わせた拡大と成長が可能な 構造となっています。また、パフォーマンスや有効なアプリケーションに対するニーズに加え、 あなたのビジネスには確実なセキュリティと確実に使用できるアプリケーションが必要と考え ています。攻撃の入り口を減らし、ビジネスクリティカルなサーバー、アプリケーションおよび データを安全に保つためには、Palo Alto Networks VM-Series ファイアウォールが必須です。AWS および VM-Series ファイアウォールは、柔軟かつ機敏な最上のセキュリティを実現しつつ、業務 効率を向上させます。 ソリューション概要 — インターネットに接続された高可用性アプリケーションを保護する ソリューションコンポーネントを導入し、AWS 内でインターネットに接続された高可用性アプリ ケーションを保護する 178 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks AWS での VM-Series ファイアウォールのセットアップ ユース ケース :VM-Series ファイアウォールを導入し、AWS ソリューション概要 — インターネットに接続された高可用性アプリケー ションを保護する こちらのケースでは、ユーザーがインターネット経由でアクセスする、Amazon ウェブサービス (AWS)の 2 階層化された高可用性アプリケーションを保護する方法をご紹介します。こちらは WordPress および MySQL を 2 階層化アプリケーションとして使用した構成の具体例です。ここに は、Amazon Virtual Private Cloud (VPC) 上の Relational Database サービス、DNS ベースのグローバ ルなロードバランサーウェブサービス、Citrix NetScaler ロードバランサー、および、Amazon Virtual Private Cloud(VPC)のアプリケーションへ向けた Nort-South と East-West トラフィックを保護す る数カ所の複数の VM-Series ファイアウォールが North-Sount と East-West トラフィックの流れを アプリケーションレベルで安全にすることが含まれます。が含まれています。高可用性を確保す るため、VPC は AWS の 2 つの可用性ゾーン(AZ)にまたがっています。Palo Alto Networks ファ イアウォールは他にも多くのアプリケーションやアーキテクチャを保護することができます。こ れは具体例の一つにすぎません。 以下の表は、AWS でインターネットに接続された高可用性アプリケーション用のソリューショ ンを導入する際に必要な要素を一覧にしたものです。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 179 ユース ケース :VM-Series ファイアウォールを導入し、AWS 内でインターネットに接続された高可用性アプリケー ソリューションの要素 ソリューションのコンポー 内容 ネント インターネットに接続さ Amazon Elastic Compute インターネット経由でユーザーがアクセス れたアプリケーション Cloud (EC2)インスタン する Web アプリケーションこれらのアプリ ス ケーションは一般的に、AWS VPC 内の EC2 インスタンスの多層アーキテクチャに配置 されています。AWS では、あなたのビジネス ニーズを満たせるよう、稼動時間、拡張性、 およびパフォーマンスを確保するためのイ ンフラストラクチャを用意しています。 ロードバランサー 例として以下のようなも のが挙げられます。Citrix NetScaler VPX、F5 Networks BIG-IP Local Traffic Manager (LTM)、お よび NGINX Plus ロードバランサーはサーバー、データベー スサービス、そしてファイアウォールの可 用性を監視し、インスタンスに障害が発生 した場合のシームレスなフェイルオーバー を可能にします。 こちらの例では、Citrix NetScaler VPX を使 用して高可用性 Web アプリケーションを導 入する方法を示していますが、別のロード バランサーを使用しても構いません。 ファイアウォール VM-Series アプリケーションやデータベースサーバー を全て保護するために、VM-Series ファイア ウォールの複数のインスタンスが配置され ています。ファイアウォールはあなたのビ ジネスや多層アーキテクチャの技術要件に 適した方法で、各サブネットの保護とアク セス制限を行います。セグメント化を行う ことにより多層の防御を行い、ビジネスク リティカルなサーバーやデータの安全を確 実に保つことが可能です。 グローバルサーバー負荷 Amazon ルート 53 分散サービス(GSLB) データベースサービス Amazon ルート 53 は、DNS および複数可用 性ゾーン(AZ)/VPC 冗長性を担保する、 DNS ベースの GSLB ウェブサービスです。 ルート 53 では、DNS 記録の作成と管理を 行い、ユーザーの要求を AWS で稼働中の ウェブサーバーやロードバランサーなどの インフラストラクチャに繋ぎ、更にヘルス チェックによりサーバーの状態を監視し、 トラフィックを適切にルーティングさせる ことが可能です。 Amazon Relational Database Amazon RDS は他の Amazon ウェブサービス サービス (RDS) (AWS)と緊密に統合されています。Amazon RDS はデータベースインスタンス用に様々 なエンジンをご用意しています。 設定の詳細については、 「ソリューションコンポーネントを導入し、AWS 内でインターネットに 接続された高可用性アプリケーションを保護する」を参照してください。 180 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks AWS での VM-Series ファイアウォールのセットアップ ユース ケース :VM-Series ファイアウォールを導入し、AWS ソリューションコンポーネントを導入し、AWS 内でインターネットに接 続された高可用性アプリケーションを保護する ソリューション概要 — インターネットに接続された高可用性アプリケーションを保護するに記 載されたコンポーネントをデプロイする場合は以下の高次タスクを行ってください。 VPC のセットアップ VPC を作成し、サブネット、セキュリティグループ、インターネットゲートウェイ、および ルートテーブルを追加する。更に Elastic ネットワーク インターフェイス(ENI)を作成し、 VPC の一部のインスタンス用に Elastic IP アドレスを割り当てます。冗長性確保のため、この 設定を複製し、もう一つの可用性ゾーンを設定してください。 VPC に VM-Series ファイアウォールを導入する 各可用性ゾーンにそれぞれ 4 台の VM-Series ファイアウォールをデプロイし、その設定を行い ます。2 台はウェブファームの保護、1 台は RDS の保護を行い、もう 1 台は VPC からのアウ トバウンド接続用です。インターネットへのアウトバウンド接続を制御するファイアウォー ルは、同時に、ファイアウォール、サーバー、および VPC のサービスに出入りする全ての管 理トラフィックを保護します。このユースケースでは、インターネットに接続された多層ア プリケーションを保護するファイアウォールのセットアップ方法に主眼を置いています。 NetScaler VPX のデプロイと設定を行い、VM-Series ファイアウォールにバランストラフィック を流す手順についても簡単に触れています。 VPC に Web ファームを導入する Amazon Relational Database サービス(RDS)を設定する Citrix Netscaler VPX を設定する トラフィックの適用状況を確認する Amazon ルート 53 のセットアップ VPC のセットアップ VPC の設定には、最低でも、VPC の作成、サブネットの追加、セキュリティーグループの作成、 EC2 インスタンスのデプロイ、さらに ENI への IP アドレス付与が必要となります。VPC 内の サーバーへ外部アクセスを許可する場合は、インターネット接続が必要なそれぞれの EC2 イン スタンス用に、更にインターネットゲートウェイと Elastic IP アドレスが必要になります。こち らのユースケースにおける VPC のセットアップ手順は以下の通りです。 VPC のセットアップ Step 1 VPCを作成してサブネットを追加し こちらの例では、192.168.0.0/16 VPC に以下のように 4 つの ます。 サブネットを作成します。 • 192.168.0.0/24(パブリック : 外部アクセス及び管理用) • 192.168.1.0/24(ファイアウォール : ファイアウォール接 続用) • 192.168.2.0/24(Web: ウェブファーム接続用) • 192.168.3.0/24(DB: データベースサーバー接続用) Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 181 ユース ケース :VM-Series ファイアウォールを導入し、AWS 内でインターネットに接続された高可用性アプリケー VPC のセットアップ(続) 182 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks AWS での VM-Series ファイアウォールのセットアップ ユース ケース :VM-Series ファイアウォールを導入し、AWS VPC のセットアップ(続) Step 2 VPC内にその他の基本的なコンポー • VPC から出入りするトラフィック用にインターネット ネントを設定する。 ゲートウェイを設定し、VPC へインターネットゲート ウェイを適用します。 • セキュリティーグループを設定します。これらのグルー プは、IP アドレス、ポート、プロトコルを使用するセ キュリティの基本形を示しています。セキュリティーグ ループでは App-ID や脅威防御などの次世代的な機能を 使用することはできませんが、これらは VPC の保護機 能を向上させる無料のソリューションの一部です。 ウェブサーバーのセキュリティー グループで、同じサブネット内への アクセスのみが許可されているこ とを確認してください。 こちらの例では、VPC 内のサブネットへのアクセスを管 理する 6 つのセキュリティーグループを挙げています。 • PANOS-MGMT — 各 VM-Series ファイアウォールの管 理インターフェイスに適用してください。このセキュ リティーグループのルールは、インバウンドアクセス を SSH および HTTPS トラフィックに制限します。 • PANOS-Dataplane — 各 VM-Series ファイアウォールの データプレーンインターフェイスに適用してくださ い。このセキュリティーグループのルールは、全ての トラフィックのインバウンドアクセスを許可します。 • Webserver — 各ウェブサーバーのインターフェイス に適用してください。このセキュリティーグループ のルールは、インバウンドアクセスを PAN-OS デー タプレーンセキュリティーグループからのトラ フィックに制限します。 • NetScaler-MGMT — Citrix NetScaler ロードバランサー の管理インターフェイスに適用してください。このセ キュリティーグループのルールは、インバウンドアク セスを SSH および HTTPS トラフィックに制限します。 • NetScaler-Loadbalancing — ウェブファームにバラン ストラフィックを流す際に使われる、Citrix NetScaler ロードバランサーのその他のインターフェイスに適 用してください。このセキュリティーグループの ルールは、全てのトラフィックのインバウンドアク セスを許可します。 • Amazon RDS SG — Relational Database Service のイン ターフェイスに適用してください。このセキュリ ティーグループのルールは、インバウンドアクセス をポート 3306 のトラフィックに制限します。 手順については、 『AWS 管理者ガイド』 を参照してください。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 183 ユース ケース :VM-Series ファイアウォールを導入し、AWS 内でインターネットに接続された高可用性アプリケー VPC のセットアップ(続) • Elastic IP アドレスを割り当てます。Elastic IP アドレスを 割り当てる際の詳細については AWS ドキュメントを参 照してください。 AWSはElastic IPの最大数が初期設定されています。 あなたのアーキテクチャで初期設定数より多くを 必要とする場合、AWS を通じてさらに多くの Elastic IP アドレスを要求することができます。 この例では 7 つの Elastic IP を使用しています。ファ イアウォールおよび NetScaler VPX に Elastic IP の特 定と付与を行う。を参照してください。 • ルートテーブルを設定します。 • メインルーターに分かりやすい名前をつけ(この ルートテーブルは VPC 作成時に自動的に作成されま す) 、インターネットゲートウェイを適用します。 • 新規のルートテーブルを追加します。このルート テーブルはウェブサーバーから VM-Series ファイア ウォールへトラフィックをルーティングする際に必 要になります。このルートテーブルは、あなたのウェ ブファームを横展開する際に、各ウェブサーバー用 にデフォルトルートを作成する必要性を低下させま す。 Step 3 も う 一 方 の 可 用 性 ゾ ー ン の サ ブ 繰り返し ネット、セキュリティグループ、そ してルートを作成します。 詳細なワークフローについてはソリューションコンポーネントを導入し、 AWS 内でインターネッ トに接続された高可用性アプリケーションを保護するを参照してください。 184 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks AWS での VM-Series ファイアウォールのセットアップ ユース ケース :VM-Series ファイアウォールを導入し、AWS VPC に VM-Series ファイアウォールを導入する ファイアウォールをデプロイし、適切にファイアウォールにライセンスを付与し、ネットワーク インターフェイスを設定し、各サーバーやアプリケーション用にアプリケーションやデータのト ラフィックフローを適切に制限するポリシーを作成する必要があります。 このケースの場合、 それぞれの利用可能なゾーンに4つのファイアウォールが配置されています。 Mgmt-FW — インフラストラクチャの管理と更新に必要なインバンドおよびアウトバウンド のトラフィックを保護するファイアウォールです。データベースエンジンの更新、EC2 イン スタンスやサービスへの SSH および HTTPS アクセス、そして SNMP を含め、VPC の EC2 イ ンスタンスやサービスに出入りする全てのインバンドおよびアウトバウンドの管理トラ フィックを保護します。VM-Series ファイアウォールと NetScaler VPX を起動するおよび VPC からのアウトバウンドアクセスを保護するようVM-Seriesファイアウォールを設定するを参照 してください。 AZ1-FW1 and AZ1-FW2[AZ1-FW1 および AZ1-FW2] — NetScaler VPX からウェブファームへのト ラフィックを管理する 1 対のファイアウォールです。ファイアウォールに障害が発生した場 合、ロードバランサーはサービスモニターを使用して障害を検知し、トラフィックをもう一 方のファイアウォールを通すようにリダイレクトします。VM-Series ファイアウォールと NetScaler VPX を起動するおよび Web ファームを保護するファイアウォールを設定するを参照 してください。 AZ1-DB - Relational Database Service (RDS)からウェブファームを区分するファイアウォール です。このアーキテクチャはセキュリティの層を追加してデータベースサービスを隔離し、 フロントエンドサーバーがリスクや脅威にさらされる度合いを制限します。VM-Series ファイ アウォールと NetScaler VPX を起動するおよび VM-Series ファイアウォールと NetScaler VPX を 起動するを参照してください。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 185 ユース ケース :VM-Series ファイアウォールを導入し、AWS 内でインターネットに接続された高可用性アプリケー VM-Series ファイアウォールと NetScaler VPX を起動する AWS 管理コンソールでファイアウォールとロードバランサーを起動し、VPC 作成時に追加した ルートテーブルを編集します。 186 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks AWS での VM-Series ファイアウォールのセットアップ ユース ケース :VM-Series ファイアウォールを導入し、AWS VM-Series ファイアウォールを起動します。 Step 1 ファイアウォールを起動し、初期設 1. 定を行います。 ファイアウォールを起動します。システム要件や、ファ イアウォールの起動と初期設定の手順については VM-Series ファイアウォールを AWS にデプロイするを 参照してください。こちらのユースケースではそれぞ れの AZ に 4 つの VM-Series ファイアウォールをデプロ イします。 管理インターフェイル(eth0)に割り当てられた IP アド レスは以下のとおりです。 • Mgmt-FW192.168.0.10 • AZ1-FW1 — 192.168.0.11 • AZ1-FW2 — 192.168.0.12 • AZ1-DB — 192.168.0.13 2. 3. 管理インターフェイスに割り当てられた IP アドレスへ の SSH 接続を確立し、VM-Series ファイアウォールのコ マンドラインインターフェイス(CLI)で初期設定を行 います。 それぞれのファイアウォール用に ENI を 2 つずつ作成 し適用します。これらのインターフェイスは各ファイ アウォールのデータプレーンとして機能します。それ ぞれの ENI を適切なサブネットとセキュリティグルー プへ接続します。 • Mgmt-FW — データプレーンインターフェイスの IP アドレスは以下の通りです。 – 192.168.2.254 (Web ファーム向け ) – 192.168.0.254 ( インターネットアクセス用外部接続 ) • AZ1-FW1 — データプレーンインターフェイスの IP アドレスは以下の通りです。 – 192.168.1.11 (NetScaler 向け ) – 192.168.2.11 (Web ファーム向け ) • AZ1-FW2 — データプレーンインターフェイスの IP アドレスは以下の通りです。 – 192.168.1.12 (NetScaler 向け ) – 192.168.2.12 (Web ファーム向け ) • AZ1-DB — データプレーンインターフェイスの IP ア ドレスは以下の通りです。 • 192.168.2.13 (Web ファーム向け ) • 192.168.3.13 (RDS 向け ) Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 187 ユース ケース :VM-Series ファイアウォールを導入し、AWS 内でインターネットに接続された高可用性アプリケー VM-Series ファイアウォールを起動します。 (続) Step 2 NetScaler VPX を起動します。 1. AWS Marketplace で Amazon マシンイメージ(AMI)を 選択し、NetScaler VPX を起動します。こちらの例で管 理アクセス用に使用されている NetScaler IP アドレスは 192.168.0.14 です。 NetScaler 管理コンソールにログインする場合 は、管理インターフェイスに Elastic IP アドレ スを割り当てる必要があります。 2. NetScaler VPX に ENI を 2 つ適用します。この例ではの ちほど、Citrix Netscaler VPX を設定するインターフェイ スの IP アドレスを以下のように設定します。 • 192.168.0.50 - 外部アクセスに使用される仮想 IP アド レス 手順については Citrix NetScaler のド キュメントを参照してください。 • 192.168.1.50 — VPC内のウェブファームに接続する際 に使用されるサブネット IP アドレス Step 3 ファイアウォールおよび NetScaler インターネットからのアクセスを可能にするインターフェ VPX に Elastic IP の特定と付与を行 イスに Elastic IP アドレスを割り当てます。この例における う。 Elastic IP アドレスは以下のとおりです。 • EIP アドレスのうちの 1 つは、4 つある VM-Series ファ イアウォールのそれぞれの管理インターフェイスの マッピングを行います。 管理アクセスを保護する VM-Series ファイア ウォールを除き、各 VM-Series ファイアウォー ルの管理インターフェイスのマッピングを行 う Elastic IP アドレスはアウトオブバンド管理 に使用されます。 • EIP アドレスのうち 1 つは、VPC からのアウトバウ ンド接続を管理する、VM-Series ファイアウォールの パブリック接続インターフェイスのマッピングを行 います。 • さらに 2 つの EIP アドレスが NetScaler VPX のマッピ ングを行います。うち 1 つは NetScaler IP アドレスに、 もう一方は仮想 IP アドレスに関連付けられます。 188 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks AWS での VM-Series ファイアウォールのセットアップ ユース ケース :VM-Series ファイアウォールを導入し、AWS VM-Series ファイアウォールを起動します。(続) Step 4 ルートテーブルを編集します。 1. 2. 3. Palo Alto Networks VPC 設定時に追加していない場合は新規のテーブルを ここで追加してください。 ウ ェ ブ フ ァ ー ム か ら の 全 て の ト ラ フ ィ ッ ク を、 VM-Series ファイアウォール(Mgmt-FW)のウェブサー バーサブネットに適用された ENI へ転送する新規ルー トを追加します。 VPC からのインターネット接続を可能にするため、イ ンターネットゲートウェイを作成し VPC のメインルー ターに適用します。 VM-Series 7.0 デプロイメントガイド • 189 ユース ケース :VM-Series ファイアウォールを導入し、AWS 内でインターネットに接続された高可用性アプリケー VPC からのアウトバウンドアクセスを保護するよう VM-Series ファイア ウォールを設定する こちらのユースケースにある Mgmt-FW は、全ウェブサーバー用の DNS や apt-get 更新を含む、 インフラストラクチャ更新などのインバウンドの管理トラフィックを保護する VM-Series ファイ アウォールです。また、このファイアウォールは、ウェブファームからインターネットに向けた 全てのアウトバウンドトラフィック用のデフォルトゲートウェイになっています。 アウトバウンド接続を保護する VM-Series ファイアウォールを設定する Step 1 ファイアウォールを起動し、初期設定を行います。 Step 2 Elastic IP アドレスを定め、割り当てを行います。 こちらのケースでは、VM-Series ファイアウォールの管理インターフェイス用に 1 つ、更に VPC からのインターネットアクセスを許可するデータプレーンインターフェイス用にもう 1 つの Elastic IP アドレスが必要になります。「Step 3」を参照してください。 Step 3 管理インターフェイスに割り当てられた Elastic IP アドレスを使用して VM-Series ファイアウォー ルのウェブインターフェイスにログインします。 Step 4 ネットワークインターフェイスを設定します。Network > Interfaces > Ethernet [ ネットワーク > イ リンクをクリックしてイーサネット 1/1 およびイーサネッ ンタフェイス > イーサネット ] を選択し、 ト 1/2 の編集を行います。 1. それぞれのインターフェイス上に DHCP クライアントを設定し、更にセキュリティゾーンを 作成しそれぞれのインターフェイスに適用します。 2. ウェブファーム(このユースケースではイーサネット 1/2)に接続されたインターフェイスを 設定する場合、チェックボックスのチェックを外し、Automatically create default route to default gateway provided by server [ サーバー提供のデフォルトゲートウェイを指すデフォルトルートを自動的 に作成 ] します。VPC のプライベート サブネットにアタッチされているインターフェイスの場 合、このオプションを無効にすると、このインターフェイスで処理されるトラフィックが VPC のインターネット ゲートウェイに直接流れなくなります。 190 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks AWS での VM-Series ファイアウォールのセットアップ ユース ケース :VM-Series ファイアウォールを導入し、AWS アウトバウンド接続を保護する VM-Series ファイアウォールを設定する(続) Step 5 サービスオブジェクトおよびサービスグループを作成します。 サービスオブジェクトでは、アプリケーションに非デフォルトのポートを使用させたい場合に、 アプリケーションが使用可能なポートナンバーを指定することができます。これらのオブジェク トは、正しくトラフィックを転送するためにポート変換を行えるよう、NAT ポリシー(Step 7) で使用するものです。 1. Objects > Services [ オブジェクト > サービス ] を選択し、ポート 10000、10001、10002、10003 の ウェブサーバーへサービスオブジェクトを Add [ 追加 ] します。 2. サービスオブジェクトをまとめてサービスグループを作成します。Objects > Service Groups [ オ Webserver_Services と名付けたサービスグループを Add ブジェクト > サービスグループ ] を選択し、 [ 追加 ] し、グループに Web1、Web2、Web3、Web4 を Add [ 追加 ] します。 Step 6 アクセスを許可されたアプリケーションに対するセキュリティポリシーを定義する 例えば、インバウンド管理用に SSH を許可し、アプリケーションや DNS 更新には VPC のウェ ブサーバーの使用を許可することが出来ます。この例では、SSH アクセス用に非デフォルトの ポートを使用し、ウェブサーバーへのアクセスを提供するポートを指定するため SSH 管理用の サービスを「application-default」から「Webserver_Services」 (先ほどの手順で作成したサービスグ ループ)へ変更するためです。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 191 ユース ケース :VM-Series ファイアウォールを導入し、AWS 内でインターネットに接続された高可用性アプリケー アウトバウンド接続を保護する VM-Series ファイアウォールを設定する(続) Step 7 NAT ポリシールールを定義するこれらのルールは、ファイアウォールによる IP アドレスとポー トの変換と、ウェブサーバーファーム上の全てのインバウンドおよびアウトバウンドのトラ フィックの保護が確実に行われるようにするためのものです。 1. 各ウェブサーバーへのインバウンド接続を許可する NAT ルールを作成します。先ほど各ウェ ブサーバー用に定義したサービスオブジェクトで宛先変換を有効化する必要があります。 2. VPC 内のウェブサーバーへのインターネット接続を許可するアウトバウンド NAT ルールを作 成します。このルールによりファイアウォールは、送信元 IP アドレスを管理ファイアウォー ル上のパブリック接続インターフェイスへ変換できるようになります。更にAWSインターネッ トゲートウェイは、プライベート IP アドレスを、インターネットへのトラフィック転送を行 うインターフェイスに割り当てられた Elastic IP アドレスに変換します。 トラフィックの正しい転送のために、ファイアウォールがどのように IP アドレスと ポートの変換を行っているかについてはサービスオブジェクト用のポート変換を参照 してください。 Step 8 トラフィックがファイアウォールに確実に転送されるようにするためには、AWS 管理コンソー ルで以下のタスクを行ってください。 1. ウェブファームのサブネットようにルートテーブルを作成し、ウェブファームからの全てのト ラフィックを VM-Series ファイアウォール(Mgmt-FW)のウェブサーバーサブネットに適用さ れた ENI へ転送する新規ルートを追加します(Step 4-2 を参照してください)。 2. ファイアウォールに割り当てられたデータプレーンインターフェイスの送信元と宛先の チェックを無効化します。このオプションを無効にすると、インターフェイスに割り当てられ たていない IP アドレスに宛てたネットワーク トラフィックをインターフェイスで処理できる ようになります。EC2 ダッシュボードの Network Interfaces [ ネットワークインターフェイス ] の タブから、例えば eth1/1 などのネットワークインターフェイスを選択し、Action [ アクション ] のドロップダウンから、Change Source/Dest.Change Source/Dest. Check [ 送信元変更 / 宛先確認 ] を選択します。Disabled [ 無効 ] をクリックし、Save [ 保存 ] をクリックして変更を保存します。 192 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks AWS での VM-Series ファイアウォールのセットアップ ユース ケース :VM-Series ファイアウォールを導入し、AWS Web ファームを保護するファイアウォールを設定する 以下の手順から、可用性ゾーン内のウェブサーバーを保護する VM-Series ファイアウォールの冗 長ペアを設定してください。 トポロジとソリューションの詳細についてはユース ケース :VM-Series ファイアウォールを導入 し、AWS内でインターネットに接続された高可用性アプリケーションを保護するとソリューショ ン概要 — インターネットに接続された高可用性アプリケーションを保護するを参照してくださ い。 Web ファームを保護する VM-Series ファイアウォールを設定する Step 1 ファイアウォールを起動し、初期設定を行います。 Step 2 Elastic IP アドレスを定め、割り当てを行います。 こちらのユースケースでは各 VM-Series ファイアウォールの管理インターフェイス用に 1 つの Elastic IP アドレスが必要です。「Step 3」を参照してください。 Step 3 管理インターフェイスに割り当てられた EIP アドレスを使用して VM-Series ファイアウォールの ウェブインターフェイスにログインします。 Step 4 ネットワークインターフェイスを設定します。Network > Interfaces > Ethernet [ ネットワーク > イ リンクをクリックしてイーサネット 1/1 およびイーサネッ ンタフェイス > イーサネット ] を選択し、 ト 1/2 の編集を行います。 1. それぞれのインターフェイス上に DHCP クライアントを設定し、更にセキュリティゾーンを 作成しそれぞれのインターフェイスに適用します。 2. チェックボックスのチェックを外し、ファイアウォールが設定したデフォルトルートをウェブ サ ー バ ー が 使 用 し な い よ う に す る た め、Automatically create default route to default gateway provided by server [ サーバー提供のデフォルトゲートウェイを指すデフォルトルートを自動的に作成 ] します。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 193 ユース ケース :VM-Series ファイアウォールを導入し、AWS 内でインターネットに接続された高可用性アプリケー Web ファームを保護する VM-Series ファイアウォールを設定する(続) Step 5 アクセスを許可されたアプリケーションを許容するセキュリティポリシールールを作成します。 この例では WordPress を使用するため、ポリシールールは WordPress 用にウェブ閲覧とブログ投 稿用のアプリケーションを許可しています。 Step 6 NAT ポリシールールを作成し、ウェブサーバーを保護する 2 つ以上のファイアウォールに対し NetScaler VPX がバランストラフィックを流す際、トラフィックの対称ルーティングが行われる ようにします。この NAT ポリシールールはプライベート IP アドレスを、外部ネットワークへ転 送可能なパブリック IP アドレスに変換する際に必要になります。また、ウェブファーム内の特 定のウェブサーバーに対し、同一のファイアウォールがリクエストを管理しトラフィックを返す ようにします。 VM-Series ファイアウォールと NetScaler VPX を起動する このタスクでは AWS のデータベースサービスを保護する VM-Series ファイアウォールの設定を行 います。トポロジとソリューションの詳細については、、ユース ケース :VM-Series ファイアウォー ルを導入し、AWS 内でインターネットに接続された高可用性アプリケーションを保護するとソ リューション概要 — インターネットに接続された高可用性アプリケーションを保護するを参照 してください。 RDS を保護する VM-Series ファイアウォールを設定する Step 1 ファイアウォールを起動し、初期設定を行います。 Step 2 VM-Series ファイアウォールの管理インターフェイス用に Elastic IP アドレスの特定と割り当てを 行います。「Step 3」を参照してください。 Step 3 管理インターフェイスに割り当てられた Elastic IP アドレスを使用して VM-Series ファイアウォー ルのウェブインターフェイスにログインします。 194 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks AWS での VM-Series ファイアウォールのセットアップ ユース ケース :VM-Series ファイアウォールを導入し、AWS RDS を保護する VM-Series ファイアウォールを設定する(続) Step 4 ネットワークインターフェイスを設定します。Network > Interfaces > Ethernet [ ネットワーク > イ リンクをクリックしてイーサネット 1/1 およびイーサネッ ンタフェイス > イーサネット ] を選択し、 ト 1/2 の編集を行います。 1. それぞれのインターフェイス上に DHCP クライアントを設定し、更にセキュリティゾーンを 作成しそれぞれのインターフェイスに適用します。 2. チェックボックスのチェックを外し、RDS がインターネットに直接アクセスする際に、ファ イアウォールが設定したデフォルトルートを使用しないようにするため、Automatically create default route to default gateway provided by server [ サーバー提供のデフォルトゲートウェイを指すデ フォルトルートを自動的に作成 ] します。 Step 5 ウェブサーバーからデータベースサーバーへのトラフィックの通過を許可するセキュリティポ リシールールを作成します。 Step 6 データベースサーバーが発するアウトバウンドトラフィックに対し、ファイアウォール上のイー サネット 1/2 インターフェイス(192.168.3.13)からウェブサーバーへのルーティングを許可する、 送信元 NAT ポリシーを作成します。 Amazon RDS ではルーティングを設定することができません。トラフィックを正しくルー ティングするためにはファイアウォールの送信元 NAT ポリシーが必要になります。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 195 ユース ケース :VM-Series ファイアウォールを導入し、AWS 内でインターネットに接続された高可用性アプリケー VPC に Web ファームを導入する こちらのワークフローはウェブサーバーのデプロイ方法と WordPress アプリケーションの設定方 法を示しています。これらの手順はこのユースケースにおける導入方法をご紹介するために取り 上げています。WordPress の導入に関するコンセプトや詳細については WordPress ドキュメント を参照してください。 トポロジとソリューションの詳細については、ユース ケース :VM-Series ファイアウォールを導入 し、AWS 内でインターネットに接続された高可用性アプリケーションを保護するとソリューショ ン概要 — インターネットに接続された高可用性アプリケーションを保護するを参照してくださ い。 VPC に Web ファームを導入する Step 1 VPCのウェブインターフェイスを起 1. 動します。 2. 3. Webサーバーサブネット内でUbuntuインスタンス(バー ジョン 14.04)を起動します。 ENI を追加し、IP アドレス(例えば 192.168.2.50)を割 り当てます。 管理アクセス用に設定されたVM-Seriesファイアウォー ルを使用してウェブサーバーへログインします。 ssh –i Step 2 ウェブサーバーをアクセス用に設 1. 定します。 2. keypair.pem –p 10000 [email protected] eth0.cfg ファイルの作成と編集を行います。 sudo vi /etc/network/interfaces.d/eth0.cfg ファイルにスタティックネットワークの設定を行い、 データベースサービスを保護する VM-Series ファイア ウォールへデータベーストラフィックを転送させます。 それぞれのウェブサーバーに以下の設定を行います。 # The primary network interface auto eth0 iface eth0 inet dhcp #static route for database segment up route add -net 192.168.3.0 netmask 255.255.255.0 gw 192.168.2.13 dev eth0 3. 再起動を行い、ウェブサーバーのネットワークを接続 しなおします。 sudo reboot now 196 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks AWS での VM-Series ファイアウォールのセットアップ ユース ケース :VM-Series ファイアウォールを導入し、AWS VPC に Web ファームを導入する(続) Step 3 ウ ェ ブ サ ー バ ー を デ ー タ ベ ー ス 1. 再起動後にサーバーへの SSH 接続を確立します。 サービスに接続します。 2. (最初のウェブサーバーをデプロイする場合のみ行っ てください)データベース Endpoint 名を設定します。こ ちらが DB インスタンス用の DNS 名とポートで、RDS インスタンスに表示されます。 3. データベースに接続します。例 : mysql -u awsuser -h myrdbinstances.cdfujxufuwlc.us-west-2.rds.amazonaw s.com -p 4. データベースを作成し、WordPress ユーザーや許可を追 加します。 例: CREATE DATABASE Ignite; CREATE USER 'student'@'%' IDENTIFIED BY 'paloalto'; GRANT ALL PRIVILEGES ON Ignite.*TO 'student'@'%'; FLUSH PRIVILEGES; Exit Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 197 ユース ケース :VM-Series ファイアウォールを導入し、AWS 内でインターネットに接続された高可用性アプリケー VPC に Web ファームを導入する(続) Step 4 WordPress のインストールと設定を 1. 行います。 それぞれのサーバをアップデートし、Apache、WordPress をインストールします。 sudo apt-get update sudo apt-get install apache2 sudo apt-get install wordpress 2. Apache 内に WordPress のパスを作成します。 sudo ln -s /usr/share/wordpress /var/www/html/wordpress 3. WordPress 設定ファイルを作成し、新規ユーザー用の ユーザーネームおよびパスワードを追加します。例 : sudo gzip -d /usr/share/doc/wordpress/examples/setup-mysql.gz sudo bash /usr/share/doc/wordpress/examples/setup-mysql -n Ignite -u student -t myrdbinstances.cdfujxufuwlc.us-west-2.rds.amazonaw s.com 192.168.2.50 4. 既存のWordPress設定ファイルをドメイン名の一致した ファイルに移動します。 Sudo mv /etc/wordpress/config-192.168.2.50.php /etc/wordpress/config-wordpress.ignite-aws-demo.co m.php WordPress アプリケーションへのアクセスを認 証した際に config-<Route53>.php file is inaccessible [config-<Route53>.php ファイルへのア クセス不可 ] エラーが現れた場合は、ファイル 所有者が www-data に設定され、つづりや構文に誤りが ないことを確認してください。 198 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks AWS での VM-Series ファイアウォールのセットアップ ユース ケース :VM-Series ファイアウォールを導入し、AWS Amazon Relational Database サービス(RDS)を設定する こちらのセクションではこのユースケース用にデータベースサービスを設定する方法をご紹介 します。以下の手順ではこの特定のユースケースにおける導入方法をご紹介しています。サービ スの設定と概念については Amazon Relational Database サービスドキュメントを参照してください。 トポロジとソリューションの詳細については、 ユース ケース :VM-Series ファイアウォールを導入 し、AWS 内でインターネットに接続された高可用性アプリケーションを保護するとソリューショ ン概要 — インターネットに接続された高可用性アプリケーションを保護するを参照してくださ い。 Relational Database サービスを設定する Step 1 VPC ダッシュボードに 2 つのデータベースサブネットがあることを確認してください。見つから ない場合は 2 つめを作成します(RDS 用に最低 2 つのサブネットが必要になります)。 Step 2 RDS ダッシュボードで両方のサブネットを含む DB Subnet Group [DB サブネットグループ ] を作成 します。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 199 ユース ケース :VM-Series ファイアウォールを導入し、AWS 内でインターネットに接続された高可用性アプリケー Relational Database サービスを設定する(続) Step 3 Create DB Wizard [DB 作成ウィザード ] を起動します。この例では、以下のオプションを使用しま す。 • DB Engine [DB エンジン ] — My SQL • Multi-AZ Deployment [Multi-AZ デプロイメント ] —Yes • DB Instance class and Advanced Settings [DB インスタンスクラスおよび詳細設定 ]— お客様の デプロイ環境のニーズに合わせて設定 200 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks AWS での VM-Series ファイアウォールのセットアップ ユース ケース :VM-Series ファイアウォールを導入し、AWS Relational Database サービスを設定する(続) Step 4 RDS が稼動していることを確認します。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 201 ユース ケース :VM-Series ファイアウォールを導入し、AWS 内でインターネットに接続された高可用性アプリケー Citrix Netscaler VPX を設定する こちらのセクションではこのユースケース用に NetScaler VPX ロードバランサーを設定する方法 をご紹介します。これらの手順ではこのユースケースにおける導入方法をご紹介しています。 NetScaler VPX の設定と概念については Citrix のドキュメントを参照してください。 トポロジとソリューションの詳細については、 ユース ケース :VM-Series ファイアウォールを導入 し、AWS 内でインターネットに接続された高可用性アプリケーションを保護するとソリューショ ン概要 — インターネットに接続された高可用性アプリケーションを保護するを参照してくださ い。 Citrix Netscaler VPX を設定する Step 1 NetScaler VPX を起動し、Elastic IP ア 1. ドレスを割り当てます。 2. NetScaler VPX を起動します。 ファイアウォールおよび NetScaler VPX に Elastic IP の特 定と付与を行う。 Step 2 NetScaler VPX で仮想 IP およびサブ 1. ネット IP を設定します。 NetScaler 管理コンソールから Configuration > System > Network > IPs [ 設定 > システム > ネットワーク > IP] を開き 2. Step 3 ウェブサーバーへトラフィックを 転送するため、スタティックルート を追加します。この際、両方のアベ イラビリティゾーンでウェブサー バー用のルートを追加するように してください。 202 • VM-Series 7.0 デプロイメントガイド ます。 仮想 IP およびサブネット IP を Add [ 追加 ] します。 Configuration > System > Network > Routes [ 設定 > システム > ネットワーク > ルート ] からルートを Add [ 追加 ] します。こ ちらの例では、ルートを追加し、web1 および web2 からの トラフィックは AZ1-FW1 の eth1/1 に、web3 および web4 か らのトラフィックを AZ1-FW2 の eth1/1 に流すように設定 します。 Palo Alto Networks AWS での VM-Series ファイアウォールのセットアップ ユース ケース :VM-Series ファイアウォールを導入し、AWS Citrix Netscaler VPX を設定する(続) Step 4 それぞれのサーバー用にサービス Configuration > Traffic Management > Load Balancing > Services [ 設定 > トラフィック管理 > 負荷分散 > サービス ] からウェブ を作成します。 サービスを追加します。 Step 5 仮想サーバーを設定します。仮想 1. サーバー IP アドレスは、インター ネット経由でウェブサーバーに接 続するユーザーに公開される唯一 の IP アドレスです。 Configuration > Traffic Management > Load Balancing > Virtual Servers [ 設定 > トラフィック管理 > 負荷分散 > 仮想 サーバー ] から仮想 IP アドレスを Add [ 追加 ] します。 2. Step 4 で作成したウェブサービスをこの仮想サーバー にまとめます。 IP アドレスを固定するため、仮想サーバーの設定を編 集します。アプリケーションを正しく認証させるため には IP アドレスを固定化する必要があります。好みに 応 じ て Cookie-based [ クッキーベース ] あ る い は Source-IP-based [ 送信元 IP ベース ] による固定化を選択 してください。 3. Step 6 設定のテストを行います。 Palo Alto Networks ウェブサーバーにログインできることを確認します。 The WordPress application in this use case would be accessible at http://ignite-aws-demo.com/wordpress. VM-Series 7.0 デプロイメントガイド • 203 ユース ケース :VM-Series ファイアウォールを導入し、AWS 内でインターネットに接続された高可用性アプリケー Amazon ルート 53 のセットアップ 登録されたドメイン名への DNS サービスとして Amazon ルート 53 を使用します。 トポロジの概要とソリューションの詳細については、 、ユース ケース :VM-Series ファイアウォー ルを導入し、AWS 内でインターネットに接続された高可用性アプリケーションを保護するとソ リューション概要 — インターネットに接続された高可用性アプリケーションを保護するを参照 してください。 ルート 53 のセットアップ Step 1 ドメイン用にホストされたゾーン パブリックにホストされたゾーンの作成のAWSドキュメン を作成します。 トを参照してください。 Step 2 ドメインにトラフィックを転送す ホストされたゾーン内にリソースレコードのセットを作成 るように設定したリソースレコー する方法はリソースレコードセットの処理を参照してくだ ドのセットを追加します。 さい。 こちらの例では、VPC のウェブサーバーに面した NetScaler VPX の Elastic IP アドレスへ希望のドメインを結び付けま す。NexScaler VPX の VIP(192.168.0.50)に割り当てられた Elastic IP アドレスは、タイプ A の IPv4 アドレスです。 冗長構成においては、NetScaler VPX の VIP に関連 付けられた全ての Elastic IP アドレスの名前解決を 行うようにドメインを設定してください。 Citrix NetScaler は、1 つの IP アドレスに、コンテン ツスイッチングが有効化された複数のアプリケー ションをホストさせることが可能です。 Step 3 ヘルスチェックを作成し、レコード ルート 53 ヘルスチェックを使用して、アプリケーションが セットと関連付けします。 特定のアベイラビリティゾーンで使用可能かどうか確認し ます。ルート 53 がアベイラビリティゾーン障害、NetScaler VPX 障害、あるいはウェブサーバー障害などの障害を検知 した場合、ヘルスチェックの結果が良好になるまで、DNS の結び付けによって割り当てられた Elastic IP アドレスの提 供が停止されます。 204 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks AWS での VM-Series ファイアウォールのセットアップ ユース ケース :VM-Series ファイアウォールを導入し、AWS ルート 53 のセットアップ(続) トラフィックの適用状況を確認する WordPress サーバーにアクセスして VM-Series ファイアウォールのログを監視し、AWS 内の多層 アプリケーションにポリシーが適用されている事を確認します。 トラフィックの適用状況を確認する Step 1 VM-Series ファイアウォールのウェブインターフェイスから Monitor > Logs > Traffic [ 監視 > ログ > 以下の Mgmt-FW ファイアウォールのスクリーンショットは、 トラフィック ] を選択してください。 ウェブサーバーに向けた管理トラフィック(SSH)およびインフラストラクチャトラフィック (アプリケーション更新)が保護されていることを示しています。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 205 ユース ケース :VM-Series ファイアウォールを導入し、AWS 内でインターネットに接続された高可用性アプリケー トラフィックの適用状況を確認する(続) Step 2 ファイアウォールのセッションブラウザ(Monitor > Session Browser [ 監視 > セッションブラウザ ] ) から、進行中のセッションを確認します。初期設定では、セッション終了後にトラフィックログ が作成されるようになっています。以下のスクリーンショットは RDS を保護する VM-Series ファ イアウォールのものです。 トポロジの概要とソリューションの詳細については、ユース ケース :VM-Series ファイアウォール を導入し、AWS 内でインターネットに接続された高可用性アプリケーションを保護するとソ リューション概要 — インターネットに接続された高可用性アプリケーションを保護するを参照 してください。 206 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks AWS での VM-Series ファイアウォールのセットアップ ユース ケース :VM-Series ファイアウォールを導入し、AWS サービスオブジェクト用のポート変換 こちらの表は、VPC からのアウトバウンドアクセスを保護するよう VM-Series ファイアウォール を設定するの Step 5 および Step 7 で NAT ポリシーを設定したサービスオブジェクトが存在する 場合に、ファイアウォールがどのように IP アドレスとポートの変換を行っているかを示してい ます。 サーバー プライベート IP: ポー プライベート IP: 変換済み パブリック IP: ポート ト ポート Web1 192.168.2.50:22 192.168.2.50:10000 52.8.66.226:10000 Web2 192.168.2.51:22 192.168.2.51:10001 52.8.66.226:10001 Web3 192.168.2.52:22 192.168.2.52:10002 52.8.66.226:10002 Web4 192.168.2.53:22 192.168.2.53:10003 52.8.66.226:10003 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 207 ユース ケース :AWS の GlobalProtect ゲートウェイとしての VM-Series ファイアウォール AWS での VM-Series ファ ユース ケース :AWS の GlobalProtect ゲートウェイとして の VM-Series ファイアウォール モバイルユーザーを脅威や危険なアプリケーションから保護するには、多くの場合、セキュリティ および IT インフラストラクチャの調達とセットアップ、世界各地の帯域幅およびアップタイム要 件の保証などが複雑に混ざり合った作業が伴い、しかもすべて予算内で行う必要があります。 AWS で VM-Series ファイアウォールを使用すると、セキュリティと IT 機器とを融合させて実装 し、拠点のない地域でモバイル ユーザーが使用するデバイスを一貫して確実に保護することが できます。通常、各自のリソースを使用してこのインフラストラクチャをセットアップする場 合、コストや IT 機器の負担が生じますが、VM-Series ファイアウォールを AWS クラウドにデプ ロイすると、このような負担を負うことなく、GlobalProtect ゲートウェイを任意の領域にすばや く簡単にデプロイできます。 遅延を最小限に抑えるには、ユーザーに最も近い AWS リージョンを選択して EC2 インスタンス に VM-Series ファイアウォールをデプロイし、ファイアウォールを GlobalProtect ゲートウェイと して設定します。このソリューションでは、AWS クラウド内の GlobalProtect ゲートウェイによ りインターネットトラフィックに関するセキュリティポリシーが適用されるため、そのトラ フィックを企業ネットワークに戻す必要がありません。さらに、企業ネットワーク上にあるリ ソースにアクセスする場合は、AWS の VM-Series ファイアウォールが LSVPN 機能を利用して、 企業ネットワーク上のファイアウォールに戻る IPsec トンネルを確立します。 この分散インフラストラクチャのデプロイメントと中央管理を容易にするには、Panorama を使 用して、このソリューションで使用される GlobalProtect コンポーネントを設定します。必要に応 じて、ネットワークでモバイルデバイス(スマートフォンやタブレット)を安全に使用できるよ うに、モバイルデバイスマネージャを使用してモバイルデバイスの設定および管理を行います。 208 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks AWS での VM-Series ファイアウォールのセットアップ ユース ケース :AWS の GlobalProtect ゲートウェイとしての GlobalProtect インフラストラクチャのコンポーネント 危険なアプリケーションをブロックし、モバイル ユーザーをマルウェアから保護するには、 GlobalProtect ポ ー タル、GlobalProtect ゲー ト ウェ イ、GlobalProtect ア プ リケ ー ショ ン を含 む GlobalProtect インフラストラクチャをセットアップする必要があります。さらに、企業のリソー スにアクセスするために、AWS の VM-Series ファイアウォールと本社のファイアウォール間に、 LSVPN(ハブ アンド スポーク VPN デプロイメント)を使用して IPsec VPN 接続をセットアップ する必要があります。 GlobalProtect エージェント / アプリケーションは、企業のアプリケーションおよびリソースへ のアクセスを許可されている各エンドユーザーシステム上にインストールされます。エー ジ ェ ン ト は、最 初 に ポ ー タ ル に 接 続 し て ゲ ー ト ウ ェ イ 上 の 情 報 を 取 得 し、最 も 近 い GlobalProtect ゲートウェイへのセキュアな VPN 接続を確立します。エンドユーザー システム とゲートウェイ間の VPN 接続により、データの機密性が確保されます。 GlobalProtect ポータルは、GlobalProtect インフラストラクチャの管理機能を提供します。すべ てのエンドユーザー システムは、ポータルから設定情報を受信します。これには、使用可能 なゲートウェイ、GlobalProtect ゲートウェイへの接続に必要になる可能性のあるクライアント 証明書などの情報が含まれます。このユース ケースでは、GlobalProtect ポータルは、本社に デプロイされたハードウェアベースのファイアウォールです。 GlobalProtect ゲートウェイは、アプリケーション、ユーザー、コンテンツ、デバイス、デバイ ス状態に基づいてモバイル脅威防御とポリシー適用を行います。このユース ケースでは、AWS の VM-Series ファイアウォールが GlobalProtect ゲートウェイとして機能します。GlobalProtect ゲートウェイは各ユーザー要求をマルウェアやその他の脅威がないかスキャンし、ポリシー で許可されていれば、(LSVPN ゲートウェイへの)IPsec トンネル経由で要求をインターネッ トまたは企業ネットワークに送信します。 LSVPN については、GlobalProtect ポータル、LSVPN 用の GlobalProtect ゲートウェイ(ハブ)、お よび GlobalProtect サテライト(スポーク)を設定する必要があります。 このユース ケースでは、事業所のハードウェアベースのファイアウォールが GlobalProtect ポータルおよび LSVPN ゲートウェイとしてデプロイされます。AWS の VM-Series ファイア ウォールは、GlobalProtect サテライトとして機能するように設定されます。GlobalProtect サテ ライトおよびゲートウェイは、ゲートウェイで終端する IPsec トンネルを確立するために設定 されます。モバイル ユーザーが企業ネットワーク上のアプリケーションまたはリソースを要 求すると、VM-Series ファイアウォールは要求を IPsec トンネル経由でルーティングします。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 209 ユース ケース :AWS の GlobalProtect ゲートウェイとしての VM-Series ファイアウォール AWS での VM-Series ファ AWS への GlobalProtect ゲートウェイのデプロイ モバイルユーザーを保護するには、AWS への GlobalProtect ゲートウェイのデプロイと設定に加 え、この統合ソリューションに必要なその他のコンポーネントをセットアップする必要がありま す。以下の表で、推奨ワークフローを説明します。 AWS への GlobalProtect のデプロイ • AWS に VM-Series ファイアウォールをデプ「AWS での VM-Series ファイアウォールのデプロイ」を参照 ロイします。 してください。 • GlobalProtect ポータルの設定 • 本社にファイアウォールを設定します。 このユース ケースでは、ファイアウォール • LSVPN の GlobalProtect ポータルの設定 は GlobalProtect ポ ー タ ル お よ び LSVPN • LSVPN サテライトを認証するためのポータルの設定 ゲートウェイとして設定されます。 • LSVPN の GlobalProtect ゲートウェイの設定 • Panorama で、AWS の VM-Series ファイア • ウォールを GlobalProtect ゲートウェイお よび LSVPN サテライトとして設定するた めのテンプレートをセットアップします。 • この分散デプロイメントを容易に管理す る た め に、Panorama を 使 用 し て AWS の • ファイアウォールを設定します。 Panorama でのテンプレートの作成 次に、以下のリンクを使用してテンプレートの設定を定 義します。 GlobalProtect ゲートウェイとしてのファイアウォールの 設定 LSVPN に参加するためのサテライトの準備 「デバイス グループの作成」を参照してください。 • Panorama でデバイス グループを作成して、 ネットワーク アクセス ポリシーおよびイ ンターネット アクセス ルールを定義し、 AWS のファイアウォールに適用します。 • AWS の VW-Series ファイアウォールにテン プレートとデバイス グループを適用し、 ファイアウォールが正しく設定されてい ることを確認します。 • GlobalProtect クライアント ソフトウェア をデプロイします。 210 • VM-Series 7.0 デプロイメントガイド すべてのエンドユーザー システムに、GlobalProtect ゲート ウェイに接続するための GlobalProtect エージェントまた はアプリケーションが必要です。 「GlobalProtect クライアント ソフトウェアのデプロイ」を参 照してください。 Palo Alto Networks AWS での VM-Series ファイアウォールのセットアップ AWS-VPC でモニターされる属性の一覧 AWS-VPC でモニターされる属性の一覧 以下の属性(またはタグ名)は、ダイナミック アドレス グループの一致条件として使用できます。 属性 フォーマット アーキテクチャ Architecture.< アーキテクチャ文字列 > ゲスト OS GuestOS.< ゲスト OS 名 > イメージ ID ImageId.< イメージ ID 文字列 > インスタンス ID InstanceId.< インスタンス ID 文字列 > インスタンスの状態 InstanceState.< インスタンスの状態 > インスタンスタイプ InstanceType.< インスタンスタイプ > キー名 KeyName.< キー名文字列 > 配置 — テナンシー、グ ループ名、可用性 Placement.Tenancy.< 文字列 > Placement.GroupName.< 文字列 > Placement.AvailabilityZone.< 文字列 > プライベート DNS 名 PrivateDnsName.< プライベート DNS 名 > パブリック DNS 名 PublicDnsName.< パブリック DNS 名 > サブネット ID SubnetID.< サブネット ID 文字列 > タグ(キー、値) aws-tag.< キー >.< 値 > インスタンスごとにこれらのタグを最大 5 個サポート VPC ID VpcId.<VPC ID 文字列 > AWS VPC をモニタリングする際に必要な IAM の許可 VM モニタリングを有効化するには、AWS アクセスキーおよびに関連付けられた AWS ログイン 認証情報は上記リストの属性に対する許可を取得している必要があります。これらの権限が付与 されることで、ファイアウォールは API 発信を行ったり、AWS VPC の仮想マシンの監視が可能 になります。 ユーザーに関連付けられた IAM ポリシーは、AmazonEC2ReadOnlyAccess のようなグローバルな 読み取り専用アクセスを持っているか、監視を行う属性に対して個別に許可を取得している必要 があります。以下の IAM ポリシー例では、AWS VPC のリソースを監視する際の API アクション をリスト化しています。 { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 211 AWS-VPC でモニターされる属性の一覧 AWS での VM-Series ファイアウォールのセットアップ "Action":[ "ec2:DescribeAvailabilityZones", "ec2:DescribeImages", "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "ec2:DescribeKeyPairs", "ec2:DescribePlacementGroups", "ec2:DescribeRegions", "ec2:DescribeSubnets", "ec2:DescribeTags", "ec2:DescribeVpcs" ], "Resource":[ "*" ] } ] } 212 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks KVM での VM-Series ファイアウォー ルのセットアップ カーネル ベースの仮想マシン(KVM)は、Linux ディストリビューションを実行しているサー バー向けのオープンソースの仮想モジュールです。VM-Series ファイアウォールは、KVM ハイ パーバイザを実行している Linux サーバー上にデプロイできます。 このガイドでは、Linux を使用する既存の IT インフラストラクチャが存在しており、Linux およ び Linux ツールを使用するための基盤があることを前提としています。ここでの説明は、KVM 上に VM-Series ファイアウォールをデプロイする場合にのみ該当するものです。 KVM 上の VM-Series — 要件と前提条件 KVM でサポートされているデプロイ KVM への VM-Series ファイアウォールのインストール Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 213 KVM 上の VM-Series — 要件と前提条件 KVM での VM-Series ファイアウォールのセットアップ KVM 上の VM-Series — 要件と前提条件 システム要件 ネットワーク上の VM-Series に接続するためのオプション KVM における VM-Series の前提条件 システム要件 要件 内容 ハードウェア リソース • vCPU: 2、4、8 • メモリ :4 GB、VM-1000-HV の場合は 5 GB • ディスク :40GB • サポートされるディスクタイプ :Virtio および SCSI(最高のパフォー マンスを求める場合)、IDE • ディスク コントローラ : virtio、virt-scsi、IDE • ハードウェア支援仮想化をサポートする Intel-VT または AMD-V チップ セット ソフトウェア バージョン • Ubuntu:12.04 LTS • CentOS/ RedHat Enterprise Linux:6.5 • Open vSwitch:1.9.3 (ブリッジ互換モードあり) ネットワーク インター KVM 上の VM-Series では合計 25 個のインターフェイス(1 つの管理イン フェイス — ネットワーク ターフェイスと最大 24 個のデータ トラフィック用ネットワーク インター インターフェイス カード フェイス)をサポートしています。 とソフトウェア ブリッジ KVM 上にデプロイされる VM-Series は、Linux ブリッジや Open vSwitch ブ リッジといったソフトウェア ベースの仮想スイッチをサポートしていま す。また、PCI パススルーや SR-IOV 対応アダプタに直接接続することもで きます。 • Linux ブリッジおよび OVS 上では、e1000 および virtio ドライバがサポート されています。デフォルトのドライバ rtl8139 はサポートされていません。 • VM-Series ファイアウォールにおける PCI パススルーと SR-IOV のサポー トについては、以下のネットワーク カードでテスト済みです。 – Intel 82576 ベースの 1G NIC:SR-IOV はすべてのサポート対象 Linux ディストリビューションでサポートされています。PCI パススルー は、Ubuntu 12.04 LTS を除くすべてのディストリビューションでサ ポートされます。 – Intel 82599 ベースの 10G NIC:SR-IOV はすべてのサポート対象 Linux ディストリビューションでサポートされています。PCI パススルー は、Ubuntu 12.04 LTS を除くすべてのディストリビューションでサ ポートされます。 – Broadcom 57112 および 578xx ベースの 10G NIC:SR-IOV はすべての サポート対象 Linux ディストリビューションでサポートされてい ます。PCI パススルーはサポートされません。 • ドライバ : igb、ixgbe、bnx2x • ドライバ : igbvf、ixgbevf、bnx2x VM-Series ファイアウォールに割り当てられた SR-IOV 対応のイン ターフェイスは、レイヤー 3 インターフェイスまたは HA イン ターフェイスとして構成する必要があります。 214 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks KVM での VM-Series ファイアウォールのセットアップ KVM 上の VM-Series — 要件と前提条件 ネットワーク上の VM-Series に接続するためのオプション Linux ブリッジや OVS では、データ トラフィックはソフトウェア ブリッジを介して、同一ホ スト上のゲストを接続します。外部と接続する場合、データ トラフィックは、ブリッジの接 続先である物理インターフェイスを使用します。 PCI パススルーでは、データ トラフィックはゲストとその接続先物理インターフェイス間で 直接やり取りされます。ゲストに接続されているインターフェイスを、ホストまたはホスト 上の他のゲストから使用することはできません。 SR-IOV では、データ トラフィックはゲストとその接続先仮想機能間で直接やり取りされます。 KVM における VM-Series の前提条件 Linux サーバーに VM-Series ファイアウォールをインストールする際には、事前に以下の各セク ションの内容を確認してください。 Linux サーバーの準備 VM-Series ファイアウォールのデプロイ準備 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 215 KVM 上の VM-Series — 要件と前提条件 KVM での VM-Series ファイアウォールのセットアップ Linux サーバーの準備 Linux ディストリビューションのバージョンを確認します。サポートされているバージョン の一覧については、 「システム要件」を参照してください。 仮想マシンの作成と管理に必要な KVM ツールとパッケージ(Libvirt など)がインストール および設定されていることを確認します。 SCSI ディスク コントローラを使用して、VM-Series ファイアウォールのデータ格納先ディス クにアクセスする場合は、virsh を使用して virtio-scsi コントローラを VM-Series ファイア ウォールに接続する必要があります。コントローラを接続したら、VM-Series ファイア ウォールの XML テンプレートを編集して、virtio-scsi コントローラの使用を有効にします。 手順は、「SCSI コントローラの使用の有効化」を参照してください。 Ubuntu 12.04 上で動作する KVM は、virtio-scsi コントローラをサポートしていません。 ゲストと VM-Series ファイアウォール間のトラフィック操作、およびインターネット上の外 部サーバーと接続するためのネットワーク インフラストラクチャが設定済みであることを 確認します。VM-Series ファイアウォールは、Linux ブリッジ、Open vSwitch、PCI パスス ルー、または SR-IOV 対応のネットワーク カードを使用して接続できます。 – 使用するすべてのインターフェイスのリンク状態が UP になっていることを確認します。 場合によっては、これらのインターフェイスを手動で UP 状態にする必要があります。 – すべてのインターフェイスの PCI ID を確認します。リストを参照する場合は以下のコマ ンドを使用します。Virsh nodedev-list –tree – Linux ブリッジまたは OVS を使用している場合は、ファイアウォールとのトラフィック の送受信に必要なブリッジが設定済みであることを確認します。ブリッジが設定されて いない場合は、ブリッジを作成して、UP 状態になっていることを確認してから、ファイ アウォールのインストールを開始します。 – PCI パススルーまたは SR-IOV を使用している場合は、BIOS の仮想化拡張機能 (VT-d/IOMMU)が有効になっていることを確認します。たとえば、IOMMU を有効にす るには、/etc/grub.conf に intel_iommu=on が定義されている必要があります。手順について は、システム ベンダーが提供しているドキュメントを参照してください。 – PCI パススルーを使用している場合は、VM-Series ファイアウォールが接続先のインター フェイスに対して排他的アクセス権を持つようにします。 排他的アクセスを許可するには、Linux サーバーから手動でインターフェイスを切り離 す必要があります。手順については、ネットワーク カード ベンダーが提供しているド キュメントを参照してください。 サーバーから手動でインターフェイスを切り離すには、次のコマンドを実行します。 Virsh nodedev-detach <pci id of interface> 例 : pci_0000_07_10_0 など 場合によっては、/etc/libvirt/qemu.conf で、relaxed_acs_check 要があります。 – = 1 のコメントを解除する必 SR-IOV を使用している場合は、ネットワーク カードが使用する各ポートで仮想機能が有 効になっていることを確認します。SR-IOV では、1 つの Ethernet ポート(物理機能)を 216 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks KVM での VM-Series ファイアウォールのセットアップ KVM 上の VM-Series — 要件と前提条件 複数の仮想機能に分割できます。また、1 つのゲストを 1 つ以上の仮想機能にマッピング できます。 仮想機能を有効にするには、以下の手順を実行する必要があります。 1. 以下のロケーションに新規ファイルを作成します。/etc/modprobe.d/ 2. このファイルを vi エディタを使用して編集し、仮想機能を永続化します : vim /etc/modprobe.d/igb.conf 3. 必要な仮想機能の数を有効にします : options igb max_vfs=4 変更内容を保存して Linux サーバーを再起動すると、この例では、各インターフェイス (物理インターフェイス)ごとに 4 つの仮想機能が割り当てられます。 実際にサポートされている仮想機能の数と仮想機能を有効にするための手順の詳細は、 ネットワーク ベンダーが提供しているドキュメントを参照してください。 VM-Series ファイアウォールのデプロイ準備 VM-Series モデルを購入し、Palo Alto Networks サポート ポータルで認証コードを登録します。 サポート アカウントの作成および VM-Series ファイアウォールの登録を参照してください。 qcow2 イメージを取得して、Linux サーバー上に保存します。このイメージを以下のフォル ダにコピーすることをお勧めします。/var/lib/libvirt/qemu/images. VM-Series ファイアウォールの複数のインスタンスをデプロイする場合は、qcow2 イメージを 必要な数だけコピーします。VM-Series ファイアウォールの各インスタンスは、ファイア ウォールのデプロイ時に使用した qcow2 イメージとのリンクを保持しています。データの破 損を防ぐため、各イメージが独立しており、また、各イメージがファイアウォールの 1 つの インスタンスで使用されるようにする必要があります。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 217 KVM でサポートされているデプロイ KVM での VM-Series ファイアウォールのセットアップ KVM でサポートされているデプロイ Linux ホストごとに単一の VM-Series ファイアウォールをデプロイする方法と、1 つの Linux ホス ト に VM-Series フ ァ イア ウ ォー ル の複 数 のイ ン スタ ン スを デ プロ イ する 方 法 があ り ます。 VM-Series ファイアウォールは、バーチャル ワイヤー、レイヤー 2、またはレイヤー 3 インター フェイスを使用してデプロイできます。VM-Series ファイアウォールで SR-IOV 対応のインター フェイスを使用する場合、そのインターフェイスは、レイヤー 3 インターフェイスとしてのみ設 定可能です。 単一ホストでのトラフィックの保護 複数の Linux ホストでのトラフィックの保護 単一ホストでのトラフィックの保護 Linux サーバー上のゲスト間の水平トラフィックを保護する場合は、VM-Series ファイアウォール を、バーチャル ワイヤー、レイヤー 2、レイヤー 3 インターフェイスを使用してデプロイできま す。下図に、レイヤー 3 インターフェイスを使用したファイアウォールを示します。この例で は、ファイアウォールとサーバー上の他のゲストが Linux ブリッジで接続されています。このデ プロイでは、Web サーバーとデータベース サーバー間のすべてのトラフィックがファイア ウォール経由でルーティングされます。データベース サーバー同士、または Web サーバー同士 のトラフィックはブリッジによって処理され、ファイアウォールにはルーティングされません。 218 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks KVM での VM-Series ファイアウォールのセットアップ KVM でサポートされているデプロイ 複数の Linux ホストでのトラフィックの保護 各種ワークロードを保護する場合は、1 台の Linux ホスト上に VM-Series ファイアウォールの複数 のインスタンスをデプロイできます。たとえば、異なる部門や顧客のトラフィックを分離する必 要がある場合は、VLAN タグを使用してネットワーク トラフィックを論理的に切り離し、それ ぞれ適切な VM-Series ファイアウォールにルーティングできます。次の例では、1 台の Linux ホス トが、2 つの顧客(顧客 A と顧客 B)の VM-Series ファイアウォールをホストしており、顧客 B のワークロードは 2 台のサーバー間に分散しています。トラフィックを切り離して、各顧客用に 設定された VM-Series ファイアウォールに向けるために、VLAN を使用しています。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 219 KVM でサポートされているデプロイ KVM での VM-Series ファイアウォールのセットアップ このデプロイ環境の別のバリエーションとして、VM-Series ファイアウォールのペアを高可用性 設定でデプロイする方法があります。次の例では、SR-IOV 対応のアダプタを搭載した Linux サー バーに VM-Series ファイアウォールをデプロイしています。SR-IOV では、1 つの Ethernet ポート (物理機能)を複数の仮想機能に分割できます。VM-Series ファイアウォールに接続された各仮想 機能は、レイヤー 3 インターフェイスとして構成されます。HA ペアのアクティブなピアは、異 なる Linux サーバー上にデプロイされているゲストから自分宛にルーティングされたトラ フィックを保護します。 220 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks KVM での VM-Series ファイアウォールのセットアップ KVM への VM-Series ファイアウォールのインストール KVM への VM-Series ファイアウォールのインストール KVM の管理に使用する libvirt API には、仮想マシンを作成および管理するためのさまざまなツー ルが用意されています。KVM 上に VM-Series ファイアウォールをインストールするには、以下 のいずれかの方法を使用できます。 VM-Series ファイアウォールの XML 定義を手動で作成し、virsh を使用してその定義をイン ポートします。virsh は、仮想マシンのあらゆる側面の管理が可能な極めて強力なツールです。 virt-install を使用して、VM-Series ファイアウォールの定義を作成し、インストールします。 virt-manager と呼ばれるデスクトップ ユーザー インターフェイスを使用します。virt-manager には、インストール プロセスを支援する便利なウィザードが用意されています。 以下の手順では、RHEL 上で KVM を実行しているサーバー上に、virt-manager を使用して VM-Series ファイアウォールをインストールします。このドキュメントでは、virsh や virt-install の 使用方法については触れていません。 複数の VM-Series ファイアウォールをデプロイする場合で、ファイアウォールでの初期設定を自 動化する必要がある場合は、「ISO ファイルを使用した VM-Series ファイアウォールのデプロイ」 を参照してください。 Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 221 KVM への VM-Series ファイアウォールのインストール KVM での VM-Series ファイアウォールのセットアップ KVM への VM-Series のインストール Step 1 VM-Series ファイアウォールをイン 1. ストールします。 2. Virt-manager で、Create a new virtual machine [ 新規仮想マ シンを作成 ] を選択します。 VM-Series ファイアウォールの分かりやすい名前を Name [ 名前 ] に入力します。 3. Import existing disk image [ 既存のディスクイメージをイン ポート ] を選択し、該当のイメージを探し、OS Type [OS タイプ ] を設定します :Linux とその Version [ バージョン ] :Red Hat Enterprise Linux 6 OS Type と Version は、Generic のままでもかま いません。 222 • VM-Series 7.0 デプロイメントガイド 4. Memory [メモリ] を 4096 MB または 5120 MB(VM-1000-HV 5. CPU を、2、4、または 8 に設定します。 ライセンスを購入した場合)に設定します。 Palo Alto Networks KVM での VM-Series ファイアウォールのセットアップ KVM への VM-Series ファイアウォールのインストール KVM への VM-Series のインストール(続) Palo Alto Networks 6. Customize configuration before install [ インストール前に構 成をカスタマイズ ] を選択します。 7. Advanced options セクションで、管理インターフェイス 用のブリッジを選択し、デフォルトの設定をそのまま 受け入れます。 VM-Series 7.0 デプロイメントガイド • 223 KVM への VM-Series ファイアウォールのインストール KVM での VM-Series ファイアウォールのセットアップ KVM への VM-Series のインストール(続) 8. ディスクの設定を変更するには、以下の手順を実行し ます。 a. Disk [ ディスク ] を選択し、Advanced options を展開し て、Storage format で qcow2、Disk Bus [ ディスクバス ] で Virtio or IDE を選択します(この選択内容はお使 いの設定によって異なります)。 SCSI ディスクを使用する場合は、 「SCSI コント ローラの使用の有効化」を参照してください。 b. Performance options を展開して、Cache mode [ キャッ シュモード ] を writethrough に設定します。この設定 により、インストール所要時間が短縮され、VM-Series ファイアウォールの実行速度が向上します。 224 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks KVM での VM-Series ファイアウォールのセットアップ KVM への VM-Series ファイアウォールのインストール KVM への VM-Series のインストール(続) 9. データ インターフェイス用のネットワーク アダプタを 追加するには、以下の手順を実行します。 a. Linux ブリッジや Open vSwitch などのソフトウェア ブ リッジを使用している場合は、Add Hardware > Network [ ハードウェア追加 > ネットワーク ] の順に選択します。 • Host Device [ ホストデバイス ] で、ブリッジの名前 を入力するか、ドロップダウン リストから選択 します。 • ドライバを指定する場合は、Device Model [ デバイ スモデル ] を e-1000 または virtio に設定します。サ ポートされている仮想マシン タイプはこの 2 つ だけです。 b. PCI パススルーまたは SR-IOV 対応デバイスの場合 は、Add Hardware > PCI Host Device [ ハードウェア追加 > PCI ホストデバイス ] の順に選択します。 • Host Device [ ホストデバイス ] リストで、カードま たは仮想機能のインターフェイスを選択します。 c. Apply [ 適用 ] または Finish [ 完了 ] をクリックします。 10. Begin Installation [ インストール開始 ] リックします。 Palo Alto Networks をク VM-Series 7.0 デプロイメントガイド • 225 KVM への VM-Series ファイアウォールのインストール KVM での VM-Series ファイアウォールのセットアップ KVM への VM-Series のインストール(続) デフォルトでは、VM-Series ファイア 11. インストールが完了するまで、5 ∼ 7 分待ちます。 ウ ォ ー ル の XML テ ン プ レ ー ト は、 etc/libvirt/qemu に作成および保存さ れます。 Step 2 管理インターフェイスへのネット 1. ワーク アクセス設定を行います。 2. 3. コンソールとの接続を開きます。 ユーザー名とパスワード(admin/admin)を使用してファ イアウォールにログインします。 以下のコマンドを入力して設定モードに切り替えま す。 configure 4. 以下のコマンドを入力して管理インターフェイスの設 定を行います。 set deviceconfig system ip-address <Firewall-IP> netmask <netmask> default-gateway <gateway-IP> dns-setting servers primary <DNS-IP> <Firewall-IP> は管理インターフェイスに割り当てる IP アド レス、<netmask> はサブネットマスク、<gateway-IP> はネッ トワーク ゲートウェイの IP アドレス、<DNS-IP> は DNS サーバーの IP アドレスです。 Step 3 Step 4 ホスト上の各ポートが VM-Series ファイアウォールのどのインター フェイスにマッピングされているの かを確認します。Linux ホスト上のイ ンターフェイスの順序を確認するに は、 「VM-Series ファイアウォールで のネットワーク インターフェイス の順序を決定する PCI-ID の確認」を 参照してください。 トラフィックが正しいインターフェイスによって処理され ていることを確認するには、次のコマンドを使用してホス ト上のポートと VM-Series ファイアウォール上のポートの マッピングを確認します。 admin@PAN-VM> debug show vm-series interfaces all Phoenix_interface Base-OS_port Base-OS_MAC PCI-ID mgt eth0 52:54:00:d7:91:52 0000:00:03.0 Ethernet1/1 eth1 52:54:00:fe:8c:80 0000:00:06.0 Ethernet1/2 eth2 0e:c6:6b:b4:72:06 0000:00:07.0 Ethernet1/3 eth3 06:1b:a5:7e:a5:78 0000:00:08.0 Ethernet1/4 eth4 26:a9:26:54:27:a1 0000:00:09.0 Ethernet1/5 eth5 52:54:00:f4:62:13 0000:00:10.0 VM-Series ファイアウォールの Web 『PAN-OS 管理者ガイド』を参照してください。 インターフェイスにアクセスして、 インターフェイスを設定し、セキュ リティ ルールと NAT ルールを定義 して、保護する必要のあるアプリ ケーションを安全に有効化します。 226 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks KVM での VM-Series ファイアウォールのセットアップ KVM への VM-Series ファイアウォールのインストール SCSI コントローラの使用の有効化 VM-Series ファイアウォールで仮想ディスクへのアクセスにディスク バス タイプとして SCSI を 使用する場合は、以下の手順を実行して virtio-scsi コントローラをファイアウォールに接続し、 virtio-scsi コントローラの使用を有効にします。 Ubuntu 12.04 上で動作する KVM では、virtio-scsi コントローラをサポートしていません。 virtio-scsi コントローラは、RHEL または CentOS 上で稼働している VM-Series ファイア ウォール上でのみ有効化できます。 Virt マネージャは virtio-scsi コントローラをサポートしていないため、以下の手順では virsh が 必要です。 VM-Series ファイアウォールでの SCSI コントローラの有効化 1. SCSI コントローラ用の XML ファイルを作成します。以下の例では、virt-scsi.xml という名前の XML ファイルを作成しています。 [root@localhost ~]# cat /root/virt-scsi.xml <controller type='scsi' index='0' model='virtio-scsi'> <address type='pci' domain='0x0000' bus='0x00' slot='0x0b'function='0x0'/> </controller> virtio-scsi コントローラ用のスロットが、他のデバイスと競合していないことを確認します。 2.このコントローラを、VM-Series ファイアウォールの XML テンプレートに関連付けます。 [root@localhost ~]# virsh attach-device --config <VM-Series_name> /root/virt-scsi.xml Device attached successfully 3. ファイアウォールが SCSI コントローラを使用できるようにします。 [root@localhost ~]# virsh attach-disk <VM-Series_name>/var/lib/libvirt/images/PA-VM-6.1.0-c73.qcow2 sda --cache none --persistent Disk attached successfully 4. VM-Series ファイアウォールの XML テンプレートを編集します。XML テンプレートでは、ファイア ウォールによって使用されるターゲット ディスクとディスク バスを変更する必要があります。 デフォルトでは、XML テンプレートは、etc/libvirt/qemu に保存されます。 <disk type='file' device='disk'> <driver name='qemu' type='qcow2' cache='writeback'/> <source file='/var/lib/libvirt/images/PA-VM-7.0.0-c73.qcow2'/> <target dev='sda' bus='scsi'/> <address type='drive' controller='0' bus='0' target='0' unit='0'/> </disk> Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 227 KVM への VM-Series ファイアウォールのインストール KVM での VM-Series ファイアウォールのセットアップ VM-Series ファイアウォールでのネットワーク インターフェイスの順序を 決定する PCI-ID の確認 VM-Series ファイアウォールとの接続に仮想インターフェイス(Linux/OVS ブリッジ)または PCI デバイス(PCI パススルーまたは SR-IOV 対応アダプタ)のどちらを使用するかに関係なく、 VM-Series ファイアウォールはインターフェイスを PCI デバイスとみなします。VM-Series ファイ アウォール上でのインターフェイスの割り当ては、PCI-ID に基づいて行われます。PCI-ID とは、 バス、デバイスまたはスロット、およびインターフェイスの機能を組み合わせた値です。イン ターフェイスは、PCI-ID の小さい順に並べられます。つまり、ファイアウォールの管理インター フェイス(eth0)は PCI-ID の最も小さいインターフェイスに割り当てられます。 たとえば、VM-Series ファイアウォールに 4 つのインターフェイス(最初の 3 つは、タイプが virtio または e1000 の仮想インターフェイス、4 つ目は PCI デバイス)を割り当てるとします。各イン ターフェイスの PCI-ID を確認するには、Linux ホスト上でコマンド virsh dumpxml $domain <VM-Series ファイアウォールの名前 > を入力します。このコマンドにより、VM-Series ファイアウォールに接続さ れているインターフェイスのリストが表示されます。コマンドの出力で、以下のネットワーク設 定を確認します。 <interface type='bridge'> <mac address='52:54:00:d7:91:52'/> <source bridge='mgmt-br'/> <model type='virtio'/> <address type='pci' domain='0x0000' bus='0x00' slot='0x03' function='0x0'/> </interface> <interface type='bridge'> <mac address='52:54:00:f4:62:13'/> <source bridge='br8'/> <model type='e1000'/> <address type='pci' domain='0x0000' bus='0x00' slot='0x10' function='0x0'/> </interface> <interface type='bridge'> <mac address='52:54:00:fe:8c:80'/> <source bridge='br8'/> <model type='e1000'/> <address type='pci' domain='0x0000' bus='0x00' slot='0x06' function='0x0'/> </interface> <hostdev mode='subsystem' type='pci' managed='yes'> <source> <address domain='0x0000' bus='0x08' slot='0x10' function='0x1'/> </source> <address type='pci' domain='0x0000' bus='0x00' slot='0x07' function='0x0'/> </hostdev> この例では、各インターフェイスの PCI-ID は次のようになっています。 最初の仮想インターフェイスの PCI-ID は 00:03:00 2 番目の仮想インターフェイスの PCI-ID は 00:10:00 228 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks KVM での VM-Series ファイアウォールのセットアップ KVM への VM-Series ファイアウォールのインストール 3 番目の仮想インターフェイスの PCI-ID は 00:06:00 4 番目の仮想インターフェイスの PCI-ID は 00:07:00 したがって、この VM-Series ファイアウォールでは、PCI-ID 00:03:00 を持つインターフェイスが eth0(管理インターフェイス)に、PCI-ID 00:06:00 を持つインターフェイスが eth1(ethernet1/1) に、PCI-ID 00:07:00 を持つインターフェイスが eth2(ethernet1/2)に、PCI-ID 00:10:00 を持つイン ターフェイスが eth3(ethernet1/3)に、それぞれ割り当てられます。 ISO ファイルを使用した VM-Series ファイアウォールのデプロイ 起動時に VM-Series ファイアウォールにスクリプトを渡す必要がある場合は、ISO ファイルを使 用して CD-ROM をマウントします。ISO ファイルを使用すると、ファイアウォールの管理ポー トの初期設定パラメータが記述されたブートストラップ用 XML ファイルを定義できます。 VM-Series ファイアウォールは最初の起動時に、bootstrap-networkconfig.xml ファイルをチェックし、そ こに定義されている値を使用します。 ブートストラップ ファイルの解析時に 1 つでもエラーが見つかると、VM-Series ファイアウォールはそのファイルのす べての設定を拒否し、デフォルト値で起動します。 ブート可能な ISO ファイルの作成 Step 1 XML ファイルを作成し、仮想マシン 例 : user-PowerEdge-R510:~/kvm_script$ sudo vi インスタンスとして定義します。 /etc/libvirt/qemu/PAN_Firewall_DC1.xml サ ン プ ル フ ァ イ ル に つ い て は、 「VM-Series ファイアウォールのサン プル XML ファイル」を参照してく user-PowerEdge-R510:~/kvm_script$ sudo virsh define/etc/libvirt/qemu/PAN_Firewall_DC1.xm ださい。 l 以下に、PAN_Firewall_DC1 という名 前の VM-Series ファイアウォールの Domain PAN_Firewall_DC1_bootstp defined from 例を示します。 /etc/libvirt/qemu/PAN_Firewall_DC1.xml user-PowerEdge-R510:~/kvm_script$ sudo virsh -q attach-interface PAN_Firewall_DC1_bootstp bridge br1 --model=virtio --persistent user-PowerEdge-R510:~/kvm_script$ virsh list --all Id Name State --------------------------------------------PAN_Firewall_DC1_bootstp shut off Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 229 KVM への VM-Series ファイアウォールのインストール KVM での VM-Series ファイアウォールのセットアップ ブート可能な ISO ファイルの作成(続) Step 2 ブートストラップ用 XML ファイル 次の例を bootstrap-networkconfig ファイルのテンプレート として使用してください。bootstrap-networkconfig ファイル を作成します。 には、以下のパラメータのみ含めることができます。 このファイルに初期設定パラメータ <vm-initcfg> を定義して、bootstrap-networkconfig という名前を付けることもできま <hostname>VM_ABC_Company</hostname> <ip-address>10.5.132.162</ip-address> す。 <netmask>255.255.254.0</netmask> 特定のパラメータ、たとえば、 <default-gateway>10.5.132.1</default-gatewa panorama-server-secondary を除 y> 外する必要があるとします。 その場合は、その行全体を削除しま <dns-primary>10.44.2.10</dns-primary> す。IP アドレス フィールドを空のま <dns-secondary>8.8.8.8</dns-secondary> まにすると、ファイルの解析に失敗 <panorama-server-primary>10.5.133.4</panora ma-server-primary> します。 <panorama-server-secondary>10.5.133.5</pano rama-server-secondary> </vm-initcfg> Step 3 ISO ファイルを作成します。この例 例 : # mkisofs -J -R -v -V "Bootstrap" -A では、mkisofs を使用します。 "Bootstrap" -ldots -l -allow-lowercase ISO ファイルをイメージ ディ -allow-multidot -o <iso-filename> レクトリ bootstrap-networkconfig.xml (/var/lib/libvirt/image)また は qemu ディレクトリ (/etc/libvirt/qemu)に保存して、 ファイアウォールにその ISO ファイ ルに対する読み取りアクセス権があ ることを確認します。 Step 4 ISO ファイルを CD-ROM にアタッ 例 : # virsh -q attach-disk <vm-name> チします。 <iso-filename> sdc --type cdrom --mode readonly –persistent\ 230 • VM-Series 7.0 デプロイメントガイド Palo Alto Networks KVM での VM-Series ファイアウォールのセットアップ KVM への VM-Series ファイアウォールのインストール VM-Series ファイアウォールのサンプル XML ファイル <?xml version="1.0"?> <domain type="kvm"> <name>PAN_Firewall_DC1</name> <memory>4194304</memory> <currentMemory>4194304</currentMemory> <vcpu placement="static">2</vcpu> <os> <type arch="x86_64">hvm</type> <boot dev="hd"/> </os> <features> <acpi/> <apic/> <pae/> </features> <clock offset="utc"/> <on_poweroff>destroy</on_poweroff> <on_reboot>restart</on_reboot> <on_crash>restart</on_crash> <devices> <emulator>/usr/libexec/qemu-kvm</emulator> <disk type="file" device="disk"> <driver type="qcow2" name="qemu"/> <source file="/var/lib/libvirt/images/panos-kvm.qcow2"/> <target dev="vda" bus="virtio"/> </disk> <controller type="usb" index="0"/> <controller type="ide" index="0"/> <controller type="scsi" index="0"/> <serial type="pty"> <source path="/dev/pts/1"/> <target port="0"/> <alias name="serial0"/> </serial> <console type="pty" tty="/dev/pts/1"> <source path="/dev/pts/1"/> <target type="serial" port="0"/> <alias name="serial0"/> </console> <input type="mouse" bus="ps2"/> <graphics type="vnc" port="5900" autoport="yes"/> </devices> </domain> VM-Series ファイアウォールに割り当てられた vCPU の数を変更する場合、サンプル XML ファイルの以下の行にある vCPU の値を 2 から 4 または 8 に変更します。 <vcpu placement="static">2</vcpu> Palo Alto Networks VM-Series 7.0 デプロイメントガイド • 231 KVM への VM-Series ファイアウォールのインストール 232 • VM-Series 7.0 デプロイメントガイド KVM での VM-Series ファイアウォールのセットアップ Palo Alto Networks