マネジメントポートとは

この記事にアクセスした方はおそらく、マネジメントポートについて理解したいと考えているだろう。

この記事では、マネジメントポートとは何かを解説する。

マネジメントポートに以下のような特徴がある。

イーサネットポートとマネジメントポートは物理的に独立している

例えば二つのイーサネットポートに２台のPCを接続したとする。

この２台のPCはお互いにイーサネットポートを通り通信することができる。

最も一般的な例であり、従来のスイッチやルータ、L4ファイアウォールでも同様だ。

しかしマネジメントポートとイーサネットポートに１台ずつPCを接続しても、これらはお互いに通信することができない。

なぜなら、物理的、更に言うと銅線レベルでお互いが繋がっていないからだ。

イーサネットポートとマネジメントポートは直接通信できない

すでに書いた、物理的に独立しているゆえに直接通信ができないのだが、そもそもなぜこれらは物理的に独立されているのか。

それはセキュリティ上の理由だ。

従来のファイアウォールはマネジメントポートという概念はそもそも存在しなかった。

つまりデフォルトゲートウェイなど、クライアント側からも見える通信経路上のIPにTeratermやブラウザからアクセスすると管理画面に到達することができたのだ。

それはイーサネットポート自体がマネジメントの機能を有していたため、そのようなことが起きる。

しかし第３者が管理画面に到達できること自体にそもそもセキュリティリスクがないだろうか。

だからこそ、イーサネットポートが有していたマネジメントの機能が分離・独立されるべきだ。

そうして生まれたのがマネジメントポートなのだ。

マネジメントポートの 機能はイーサネットポートへ委任することができる

とはいえ、運用上の理由からイーサネットポートへマネジメントの機能を持たせたい場合もあるだろう。

もちろん設定すれば可能だ。

設定方法については以下の記事で纏めている。

マネジメントポートは奥が深い。

実機をさわって実際に動きを確認していくのが最短の学習ルートだ。

さいごに

マネジメントポートとは何か、なぜマネジメントポートが誕生したのかについて記載した。

マネジメントポートはセキュリティの概念と密接に結びついていることが伝われば幸いだ。

つまり、このコントロールはセキュリティ管理者にとって必須のスキルセットと言えるだろう。

---

Paloalto PAシリーズを極める最短ルート

自宅で学習している場合は、ヤフオク！などで中古のPaloaltoファイアウォールを自己学習用に購入しておくことをオススメする。

何故ならセキュリティにおいて、概念としては理解できても、ではそれをどうすれば実装できるのかも同時に習得しておかねれば現場で活躍することはできないだろう。

しかし重要インフラに位置する機会がおおいPaloaltoファイアウォールを安易に操作するのは困難だ。

自宅環境に１台テスト用があればそれらの問題を解決できるだろう。

予算に余裕がある場合はPA220を持っておくことをおススメする。

PA200とPA220では、機能こそ同じだがハードウェア性能が全く異なるのだ。

PA200はとにかく遅いと感じるだろう。この待ち時間が学習意欲をそいでしまうならばPA220だ。

しかしPA200でもできることは同じなので、それで十分ならば安価な方がよいだろう。