マネジメントポート
PAシリーズのファイアウォールで特徴的なのは、マネジメントポートとイーサネットポートが別々についている点だ。
これはセキュリティ面で非常に重要な点だ。
従来のファイアウォールにはマネジメントポートは付いていない。
一つのイーサネットポートが通信と管理をどちらも行うのが普通だった。
しかしこれでは、ルーティングの経路を見ればどこに管理アクセスすればよいかわかってしまう。
そういうこともあり、セキュリティを考慮し、PAシリーズでは、アクセスに使うポートとマネジメントポートを物理的に分けているのだ。
しかし、アクセスポートにも一部のマネジメント機能を許可したいシーンがある。
例えばSSHは許可したくないが、HTTPSでWebUIで管理アクセスをしたい場合などだ。
方法は簡単である。
イーサネットポートが所属するゾーンに任意のマネジメント機能を割り当てればよい。
設定方法はこれだ。
設定方法
[ネットワーク] → [インターフェース管理]を表示し「追加」をクリック
設定方法は見たシンプルで簡単だ。
①プロファイル名を設定し、許可したい機能にチェックを付け、OKをクリック
②[ネットワーク] → [インターフェイス] → [Ethernet]から、プロファイルを適用したいインターフェースを選択
③詳細タブの「管理プロファイル」から先ほど作成したプロファイルを割り当て、OKをクリックする
管理プロファイルを割り当てたイーサネットポートは、従来の機能に加えて、任意の管理機能をもつことができる。
逆にPingのチェックを外して割り当てることで、Pingに応答させないようにすることも可能だ。
Paloalto PAシリーズを極める最短ルート
自宅で学習している場合は、ヤフオク!などで中古のPaloaltoファイアウォールを自己学習用に購入しておくことをオススメする。
何故ならセキュリティにおいて、概念としては理解できても、ではそれをどうすれば実装できるのかも同時に習得しておかねれば現場で活躍することはできないだろう。
しかし重要インフラに位置する機会がおおいPaloaltoファイアウォールを安易に操作するのは困難だ。
自宅環境に1台テスト用があればそれらの問題を解決できるだろう。
予算に余裕がある場合はPA220を持っておくことをおススメする。
PA200とPA220では、機能こそ同じだがハードウェア性能が全く異なるのだ。
PA200はとにかく遅いと感じるだろう。この待ち時間が学習意欲をそいでしまうならばPA220だ。
しかしPA200でもできることは同じなので、それで十分ならば安価な方がよいだろう。
PAシリーズを安価にGETする
PA-200は2018年10月31日に販売終了(EOL)になったため正規では購入できない。
しかし中古市場には安価に存在しており、入手可能だ。
コメント