PaloaltoシリーズファイアウォールでサービスをCLIでサクッと作成する。
もちろん1件程度であれば下記のようにGUIから作成した方が早いだろう。
ただこの記事にアクセスした方はおそらく、大量のサービス設定を一括で作成したいが故にCLIでの設定方法を探しているはずだ。
この記事ではその方法を解説するが、サービス作成については以下の記事も参考にしてほしい。
CLIでサービスを作成する
このコマンドでは「custom-service」という名称で、プロトコルはTCP、ポートは443で作成している。
設定する際には、必要に応じて任意で変更してほしい。
set service custom-service protocol tcp port 443
CLIでサービスのディスカッションを設定する
このコマンドでは「custom-service」という名称のサービスにsampleというディスクリプションを設定している。
seset service custom-service description sample
ディスクリプションとは、いわゆる名前であるが、あえてサービス名以外にディスクリプションを設定しておくメリットは、例えばサービスを作成した日付や、目的等、任意の識別子を付けられることだ。
運用上、このようなテクニックを駆使できるかどうかは、ネットワークアドミニストレータの力量の一つといっても過言ではない。
オーバーライド設定
もちろん、サービスタイムアウト等のオーバーライドの設定もCLIで流し込むことができる。
admin@FW# set service custom-service protocol tcp override yes
- halfclose-timeout tcp session half-close timeout value (in second)
- timeout tcp session timeout value (in second)
- timewait-timeout tcp session time-wait timeout value (in second)
Finish input
ネットワークアドミニストレータ必携 オススメ最新コンソールケーブル
Paloalto PAシリーズを極める最短ルート
自宅で学習している場合は、ヤフオク!などで中古のPaloaltoファイアウォールを自己学習用に購入しておくことをオススメする。
何故ならセキュリティにおいて、概念としては理解できても、ではそれをどうすれば実装できるのかも同時に習得しておかねれば現場で活躍することはできないだろう。
しかし重要インフラに位置する機会がおおいPaloaltoファイアウォールを安易に操作するのは困難だ。
自宅環境に1台テスト用があればそれらの問題を解決できるだろう。
予算に余裕がある場合はPA220を持っておくことをおススメする。
PA200とPA220では、機能こそ同じだがハードウェア性能が全く異なるのだ。
PA200はとにかく遅いと感じるだろう。この待ち時間が学習意欲をそいでしまうならばPA220だ。
しかしPA200でもできることは同じなので、それで十分ならば安価な方がよいだろう。
PAシリーズを安価にGETする
PA-200は2018年10月31日に販売終了(EOL)になったため正規では購入できない。
しかし中古市場には安価に存在しており、入手可能だ。
コメント