最初に
ファイアウォールの設定は触らせたくないが、ログは見てほしい、といった個別要件がでてくることがある。
そんな時は管理者ロールをカスタマイズしてみよう。
あなたが見せたい画面だけ表示させることが可能だ。早速やってみる
デフォルトの管理者ロールタイプ
デフォルトの管理者ロールについては下記の通りだ。
・監査管理者(auditadmin)
・暗号管理者(cryptoadmin)
・セキュリティ管理者(securityadmin)
それぞれ役割に応じたロールが設定されている。
例えば監査管理者については、設定変更をする役割ではないため、ポリシー関係の設定は見えない。
しかし通信ログは確認できる権限をもっている。
管理者ロールはカスタマイズした方が良い
デフォルトでも管理者ロールは用意されているのだが、結論からいうと、自分で作った方が良い。
というのは、正直何ができて、何が出来ないのか分かりづらいし、把握するのが大変だ。
最初からカスタマイズすれば自分の好きなように権限設定を変更する方がよっぽどラクだ。
設定方法を解説する
設定方法
①[デバイス] → [管理者ロール]を表示し「追加」をクリック
各設定に対して、有効化・読み取り専用・無効化を選択できる。

②作成したプロファイルを個別のユーザアカウントに割り当てる

設定は以上だ。
③確認する
実際どう見えるか確認してみよう。
下記のサンプルでは、ACCとモニタ関係以外は全て無効化している。
他のタブがそもそも非表示になっていることがわかる。

これで、ログチェックのみできるが、ポリシー変更はできない、といった細かい要件を実現することができる便利機能だ。
Paloalto PAシリーズを極める最短ルート
自宅で学習している場合は、ヤフオク!などで中古のPaloaltoファイアウォールを自己学習用に購入しておくことをオススメする。
何故ならセキュリティにおいて、概念としては理解できても、ではそれをどうすれば実装できるのかも同時に習得しておかねれば現場で活躍することはできないだろう。
しかし重要インフラに位置する機会がおおいPaloaltoファイアウォールを安易に操作するのは困難だ。
自宅環境に1台テスト用があればそれらの問題を解決できるだろう。
予算に余裕がある場合はPA220を持っておくことをおススメする。
PA200とPA220では、機能こそ同じだがハードウェア性能が全く異なるのだ。
PA200はとにかく遅いと感じるだろう。この待ち時間が学習意欲をそいでしまうならばPA220だ。
しかしPA200でもできることは同じなので、それで十分ならば安価な方がよいだろう。
PAシリーズを安価にGETする
PA-200は2018年10月31日に販売終了(EOL)になったため正規では購入できない。
しかし中古市場には安価に存在しており、入手可能だ。
コメント