最初に
この記事では、PAシリーズの初期ポリシーについてについて解説する。
ポリシー設定を見ると、interzone-defaultと書かれたポリシーがあり
消すことも設定を変更することもできないポリシーがあることがわかる。
interzone-defaultとは何か
interzoneとはつまり、”ゾーン外”という意味だ。
つまりデフォルトでは、”ゾーン外の通信は全て遮断する”という設定が施されている。
具体的には、TrustゾーンからUnTrustゾーンの通信を拒否する、ということだ。
ゾーン外の通信もセグメント毎に通信許可・拒否が可能
PAシリーズでは、初期ポリシーであるinterzone-defaultよりも上に
別途ポリシーを設定すればで、ゾーン内の通信を制御することも可能だ。
例えば、同じゾーン内であっても、各セグメント間で通信させたくないといった場合がある。
そういう時は、同じゾーン間の通信許可・拒否を個別で書くことで要件を満たすことができる。
柔軟なポリシー制御ができるのが、PAシリーズの素晴らしい点であると言える。
intrazone-defaultとは
intrazone-defaultは似ているが少し異なる性質を持っている。
Paloalto PAシリーズを極める最短ルート
自宅で学習している場合は、ヤフオク!などで中古のPaloaltoファイアウォールを自己学習用に購入しておくことをオススメする。
何故ならセキュリティにおいて、概念としては理解できても、ではそれをどうすれば実装できるのかも同時に習得しておかねれば現場で活躍することはできないだろう。
しかし重要インフラに位置する機会がおおいPaloaltoファイアウォールを安易に操作するのは困難だ。
自宅環境に1台テスト用があればそれらの問題を解決できるだろう。
予算に余裕がある場合はPA220を持っておくことをおススメする。
PA200とPA220では、機能こそ同じだがハードウェア性能が全く異なるのだ。
PA200はとにかく遅いと感じるだろう。この待ち時間が学習意欲をそいでしまうならばPA220だ。
しかしPA200でもできることは同じなので、それで十分ならば安価な方がよいだろう。
PAシリーズを安価にGETする
PA-200は2018年10月31日に販売終了(EOL)になったため正規では購入できない。
しかし中古市場には安価に存在しており、入手可能だ。
コメント