App-ID
Paloaltoファイアウォールの最大の特徴は、App-IDだ。
このApp-IDを使って、アプリケーション単位で通信の許可・拒否、そして可視化が可能だ。
この機能はライセンス不要で標準で利用できる。
App-IDは完璧ではない
App-IDは素晴らしい機能だが完璧ではない。
その理由はアプリケーションを識別するまでに時間がかかるからだ。
例えば下記のような通信の流れがあり、Paloaltoファイアウォールが真ん中でアプリケーション識別をしているとする。
■通信の流れ
クライアント → Paloaltoファイアウォール → サーバ
間にいるファイアウォールが流れてくる通信に対して、どのアプリケーションなのか判別できるタイミングがいつなのかというと、アプリケーション固有の通信が流れたタイミング、になる。
そのアプリケーション固有の通信とは何か、厳密にはメーカーから公開されていない。
しかし現実的な範囲でいうと、ただ単に一般的によくあるHTTPSの通信が流れただけで、どれか単一のアプリケーションと識別し、あとからやっぱり違うとなった場合に、通信ログがおかしくなってしまうわけなのだから、識別できない間はHTTPS(SSL)と識別しておいて、識別できるようになってから特定アプリケーションと判別するのが至極まっとうな挙動であるといえる。
これが、App-IDが完璧ではない理由だ。
さいごに
App-IDを使うことで従来のファイアウォールではなしえなかったことが実現可能だ。
是非利用してほしい。
最新コンソールケーブル事情
最近、通称キシメンケーブルと呼ばれる、平たいコンソールケーブルを愛用する往年のエンジニアが驚く製品が登場した。
それが、USBコンソールケーブルである。
名前の通り、最初からUSBタイプのコネクタなので、わざわざキシメンケーブルとUSB変換アダプタ2つを用意する必要がない。
もう、2つ繋げて長すぎて邪魔なコンソールケーブルとはおさらばできるのだ。
最近では、USBポートが標準で備わっているコンソールケーブルがあるのでおススメだ。
といっても、従来のキシメンケーブルは、ネットワーク機器を購入すると、段ボール箱に同梱して送られてくるのが常である。
そういった場合には、従来通りUSB変換ケーブルがあればいいので、その方が安価であるため、それで十分であろう。
Paloalto PAシリーズを極める最短ルート
自宅で学習している場合は、ヤフオク!などで中古のPaloaltoファイアウォールを自己学習用に購入しておくことをオススメする。
何故ならセキュリティにおいて、概念としては理解できても、ではそれをどうすれば実装できるのかも同時に習得しておかねれば現場で活躍することはできないだろう。
しかし重要インフラに位置する機会がおおいPaloaltoファイアウォールを安易に操作するのは困難だ。
自宅環境に1台テスト用があればそれらの問題を解決できるだろう。
予算に余裕がある場合はPA220を持っておくことをおススメする。
PA200とPA220では、機能こそ同じだがハードウェア性能が全く異なるのだ。
PA200はとにかく遅いと感じるだろう。この待ち時間が学習意欲をそいでしまうならばPA220だ。
しかしPA200でもできることは同じなので、それで十分ならば安価な方がよいだろう。
PAシリーズを安価にGETする
PA-200は2018年10月31日に販売終了(EOL)になったため正規では購入できない。
しかし中古市場には安価に存在しており、入手可能だ。
コメント