Palo Alto Networks 構築実践ガイド 次世代ファイアウォールの機能を徹底活用
2015年7月25日紙版発売
2015年8月12日電子版発売
パロアルトネットワークス合同会社 監修,三輪賢一 監修・著,株式会社エーピーコミュニケーションズ 伊原智仁,前川峻平,内藤裕之,パロアルトネットワークス合同会社 福井隆太 著
B5変形判/528ページ
定価5,280円(本体4,800円+税10%)
ISBN 978-4-7741-7521-8
ただいま弊社在庫はございません。
書籍の概要
この本の概要
従来型ファイアウォールでは昨今の巧妙化するネットワーク脅威に対抗できず,次世代ファイアウォールが注目を集めています。パロアルトネットワークスの次世代ファイアウォールは,ポート番号やプロトコル番号でポリシー制御するだけではなく,流入するトラフィックのアプリケーションを識別したうえでアプリケーションごとにフィルタリングや制御が行えます。本書では,パロアルトネットワークス 次世代ファイアウォールの機能を詳解しつつ,導入・実践についてまとめています。
こんな方におすすめ
- パロアルトネットワークスのユーザー/エンジニア,ネットワークエンジニア
目次
第1章 パロアルトネットワークスと次世代ファイアウォール
- 1.1 ネットワークアプリケーションの台頭による脅威の拡大
- 1.2 従来型ファイアウォールの限界
- 1.2.1 ファイアウォールの歴史
- 1.2.2 パロアルトネットワークスの誕生
- 1.2.3 ファイアウォール技術の推移
- 1.3 次世代ファイアウォールとは
- 1.3.1 次世代ファイアウォールの定義
- 1.3.2 パロアルトネットワークス製品の歴史
- 1.4 次世代ファイアウォールを支える技術
- 1.4.1 アプリケーション識別
- 1.4.2 ユーザー識別
- 1.4.3 コンテンツ識別
- 1.4.4 SP3アーキテクチャ
- 1.5 次世代ファイアウォールのラインナップ
- 1.5.1 PA-7050
- 1.5.2 PA-5000シリーズ
- 1.5.3 PA-3000シリーズ
- 1.5.4 PA-500とPA-200
- 1.5.5 VMシリーズ
- 1.5.6 販売終了製品の補足
- 1.6 次世代ファイアウォール以外の製品ラインナップ
- 1.6.1 PanoramaとM-100
- 1.6.2 WildFireとWF-500
- 1.6.3 GlobalProtectとGP-100
- 1.6.4 Traps
- 1.7 ライセンスとサブスクリプション
- 1.7.1 サポートライセンス
- 1.7.2 ライセンスの種類
- 1.7.3 サブスクリプションの種類
- 1.7.4 アクセサリ
- 1.8 サポートポリシー
- 1.8.1 ハードウェアサポートポリシー
- 1.8.2 ソフトウェアサポートポリシー
第2章 準備と初期設定
- 2.1 ファイアウォールアプライアンスの確認
- 2.1.1 デバイスの外観
- 2.2 ファイアウォールの起動
- 2.3 初期設定
- 2.3.1 管理インターフェイスとデバイス設定
- 2.3.2 設定の基礎知識
- 2.3.3 管理者アカウント
- 2.3.4 ライセンスのアクティベーション手順
- 2.3.5 コンテンツ更新の管理
- 2.3.6 ソフトウェア(PAN-OS)更新手順
- 2.4 インターフェイス概要
- 2.4.1 インターフェイス種別
- 2.4.2 論理インターフェイス
- 2.4.3 インターフェイス管理プロファイル
- 2.4.4 サービスルート設定
- 2.4.5 DHCPサーバーとDHCPリレー
- 2.4.6 仮想ルーター
- 2.5 ゾーンとセキュリティポリシーの概要
- 2.5.1 ゾーン
- 2.5.2 セキュリティポリシー
- 2.6 ネットワークとポリシー設定
- 2.6.1 導入計画
- 2.6.2 ネットワーク設定
- 2.6.3 セキュリティポリシー設定
- 2.6.4 セキュリティポリシーテスト
- 2.6.5 疎通確認
第3章 アプリケーション識別(App-ID)
- 3.1 App-ID概要
- 3.1.1 なぜアプリケーション可視化が必要か
- 3.1.2 アプリケーションとは
- 3.1.3 アプリケーション依存関係(Application dependency)
- 3.1.4 アプリケーションカテゴリ
- 3.1.5 他社の次世代ファイアウォールとの違い
- 3.2 App-IDフロー
- 3.2.1 アプリケーションプロトコルの検出と復号化
- 3.2.2 アプリケーションプロトコルのデコーディング
- 3.2.3 アプリケーションプロコトルシグネチャ
- 3.2.4 ヒューリスティック
- 3.3 App-IDセキュリティポリシーの設定
- 3.3.1 アドレスオブジェクト
- 3.3.2 アプリケーションオブジェクト
- 3.3.3 セキュリティポリシーの依存関係
- 3.3.4 セキュリティポリシーの移動
- 3.3.5 セキュリティポリシーのフィルタリング
- 3.3.6 ポート番号の使用
- 3.3.7 セキュリティプロファイルの概要
- 3.4 App-IDセキュリティポリシーの設定例
- 3.4.1 設定要件
- 3.4.2 App-IDセキュリティポリシーの設定手順
- 3.5 セキュリティポリシー設定リファレンス
- 3.5.1 全般タブ
- 3.5.2 送信元タブ
- 3.5.3 ユーザータブ
- 3.5.4 宛先タブ
- 3.5.5 アプリケーションタブ
- 3.5.6 サービス/URLカテゴリタブ
- 3.5.7 アクションタブ
- 3.6 App-IDログ
- 3.6.1 【要件1】管理者セグメントからの通信
- 3.6.2 【要件2】一般社員セグメントからの通信
第4章 脅威防御(Content-ID)
- 4.1 統合脅威防御の必要性
- 4.1.1 ゲートウェイ型とホスト型のアンチウイルス
- 4.1.2 ゼロデイマルウェア(未知のマルウェア)
- 4.1.3 パロアルトネットワークスのアンチウイルス
- 4.1.4 ストリームベースとファイルベース
- 4.1.5 アンチウイルスのデフォルトプロファイル
- 4.1.6 誤検知と例外
- 4.1.7 ユーザー通知
- 4.2 アンチウイルスプロファイル設定
- 4.2.1 アンチウイルスプロファイルの設定手順
- 4.3 アンチウイルスプロファイル設定項目
- 4.4 アンチスパイウェア
- 4.4.1 アンチスパイウェアプロファイル
- 4.4.2 アンチスパイウェアシグネチャ
- 4.4.3 DNSシンクホール
- 4.4.4 パッシブDNSモニタリング
- 4.5 アンチスパイウェアプロファイル設定
- 4.5.1 アンチスパイウェアプロファイルの設定手順
- 4.6 アンチスパイウェアプロファイル設定項目
- 4.7 脆弱性防御(IPS)
- 4.7.1 脆弱性防御プロファイル
- 4.7.2 脆弱性防御シグネチャ
- 4.7.3 シグネチャのチューニング
- 4.7.4 カスタムシグネチャ
- 4.8 脆弱性防御プロファイル設定
- 4.8.1 脆弱性防御プロファイルの設定手順
- 4.9 脆弱性防御プロファイル設定項目
- 4.10 URLフィルタリング
- 4.10.1 他社URLフィルタリング製品との違い
- 4.10.2 パロアルトネットワークスのURLフィルタリング
- 4.10.3 URLフィルタリングデータベース
- 4.10.4 カスタムURLカテゴリ
- 4.10.5 データベース識別の順番
- 4.11 URLフィルタリングプロファイル設定
- 4.11.1 URLフィルタリングプロファイルの設定手順
- 4.12 URLフィルタリングプロファイル設定項目
- 4.13 PAN-DB URLカテゴリ変更リクエスト
- 4.13.1 管理画面からのリクエスト
- 4.13.2 専用サイトからのリクエスト
- 4.14 ファイルブロッキングとデータフィルタリング
- 4.14.1 DLPとは?
- 4.14.2 ファイルブロッキング
- 4.14.3 ファイル検出時のアクション
- 4.14.4 ファイルブロッキング対応ファイルタイプ
- 4.14.5 データフィルタリング
- 4.14.6 重みとしきい値
- 4.15 ファイルブロッキングプロファイル設定
- 4.15.1 ファイルブロッキングプロファイルの設定手順
- 4.16 WildFire
- 4.16.1 WildFireで分析できるファイル
- 4.16.2 WildFireシグネチャ
- 4.17 WildFire設定
- 4.17.1 WildFire設定手順
- 4.18 ゾーンプロテクションとDoSプロテクション
- 4.18.1 DoS攻撃とは
- 4.18.2 ゾーンプロテクションプロファイル
- 4.18.3 DoSプロテクションプロファイル
- 4.19 ゾーンプロテクション設定
- 4.19.1 ゾーンプロテクション設定手順
- 4.20 DoSプロテクションプロファイル設定
- 4.20.1 DoSプロテクションプロファイルの設定手順
第5章 ログとレポート
- 5.1 ログとレポートの概要
- 5.2 Dashboard
- 5.2.1 アプリケーション
- 5.2.2 システム
- 5.2.3 ログ
- 5.3 ACC(アプリケーションコマンドセンター)
- 5.3.1 ACC表示条件
- 5.3.2 アプリケーション
- 5.3.3 URLフィルタリング
- 5.3.4 脅威防御
- 5.3.5 データフィルタリング
- 5.3.6 ドリルダウンページ
- 5.4 ローカルログの表示
- 5.4.1 ログ画面
- 5.4.2 各種ログ
- 5.5 外部サーバーへのログ転送
- 5.5.1 サーバープロファイル作成
- 5.5.2 ログ転送プロファイル作成
- 5.5.3 セキュリティポリシーへの適用
- 5.6 アプリケーションスコープの利用
- 5.6.1 サマリーレポート
- 5.6.2 変化モニターレポート
- 5.6.3 脅威モニターレポート
- 5.6.4 脅威マップレポート
- 5.6.5 ネットワークモニターレポート
- 5.6.6 トラフィックマップ
- 5.7 ボットネットレポート
- 5.7.1 設定
- 5.8 PDFレポート
- 5.8.1 PDFサマリーの管理
- 5.8.2 ユーザーアクティビティレポート
- 5.8.3 レポートグループ
- 5.8.4 電子メールスケジューラ
- 5.9 カスタムレポートの管理
- 5.9.1 カスタムレポートの生成
- 5.10 レポート
- 5.10.1 アプリケーションレポート
- 5.10.2 トラフィックレポート
- 5.10.3 脅威レポート
- 5.10.4 URLフィルタリングレポート
- 5.10.5 PDFサマリーレポート
第6章 ユーザー識別(User-ID)
- 6.1 ユーザー識別の概要
- 6.1.1 ユーザーを識別するための収集情報
- 6.1.2 ユーザーおよびユーザーグループの識別
- 6.1.3 KnownユーザーとUnknownユーザー
- 6.2 ユーザー識別の流れ
- 6.2.1 User-ID エージェントとエージェントレス
- 6.3 キャプティブポータルの概要
- 6.4 ユーザー識別機能利用における注意事項
- 6.5 ユーザー識別の基本設定
- 6.5.1 Active Directory連携設定(Windows User-IDエージェント利用)
- 6.5.2 Active Directory連携設定(エージェントレス)
- 6.5.3 グループ情報取得設定
- 6.5.4 キャプティブポータル設定
- 6.6 ユーザー識別設定リファレンス
- 6.6.1 Windows User-IDエージェント連携設定項目
- 6.6.2 User-ID エージェントレス設定項目
- 6.6.3 グループ情報取得設定
- 6.6.4 キャプティブポータル設定項目
第7章 ポリシー制御
- 7.1 ポリシーの種類
- 7.2 NATポリシー
- 7.2.1 NATとは
- 7.2.2 NATポリシーの動作
- 7.2.3 送信元NATポリシーの設定手順
- 7.2.4 宛先NATポリシーの設定手順
- 7.2.5 NATポリシーの設定項目
- 7.3 QoSポリシー
- 7.3.1 クラス分類(Classification)と帯域幅制限(Bandwidth Limitation)
- 7.3.2 フォワーディングクラス,プライオリティキュー,スケジュール
- 7.3.3 輻輳管理とパケットマーキング
- 7.3.4 出力インターフェイスにおけるQoS
- 7.3.5 QoSポリシーの設定手順
- 7.3.6 QoSポリシーの設定項目
- 7.3.7 QoS設定項目
- 7.3.8 QoSプロファイル設定項目
- 7.4 ポリシーベースフォワーディング(PBF)
- 7.4.1 ポリシーベースフォワーディングの設定手順
- 7.4.2 ポリシーベースフォワーディングの設定項目
- 7.5 復号ポリシー
- 7.5.1 復号化の注意点
- 7.5.2 SSL復号化できない通信
- 7.5.3 SSL復号化とURLフィルタリング
- 7.5.4 復号化とパフォーマンス
- 7.5.5 復号ポリシーの設定手順
- 7.5.6 復号ポリシーの設定項目
- 7.6 アプリケーションオーバーライド
- 7.6.1 カスタムアプリケーションの定義
- 7.6.2 アプリケーションオーバーライドの設定手順
- 7.6.3 アプリケーションオーバーライドの設定項目
- 7.7 キャプティブポータルポリシー
- 7.7.1 キャプティブポータルポリシーの設定手順
- 7.7.2 キャプティブポータルポリシーの設定項目
- 7.8 DoSプロテクションポリシー
- 7.8.1 DoSプロテクションポリシーの設定手順
- 7.8.2 DoSプロテクションポリシーの設定項目
第8章 リモートアクセス(GlobalProtect)
- 8.1 GlobalProtectの概要
- 8.2 GlobalProtectの構成要素
- 8.2.1 GlobalProtectポータル
- 8.2.2 GlobalProtectゲートウェイ
- 8.2.3 GlobalProtectクライアント
- 8.2.4 GlobalProtectサテライト
- 8.2.5 HIP(HostInformation Profile)
- 8.2.6 GlobalProtect Mobile Security Manager
- 8.3 GlobalProtect の動作フロー
- 8.4 GlobalProtect 認証方法
- 8.4.1 ユーザー認証
- 8.4.2 GlobalProtectで使用する証明書
- 8.5 GlobalProtect の基本設定
- 8.5.1 設定要件および設定手順
- 8.5.2 GlobalProtectの設定手順
- 8.6 GlobalProtect リファレンス
- 8.6.1 GlobalProtectポータル設定項目
- 8.6.2 GlobalProtectゲートウェイ設定項目
- 8.6.3 HIP(HostInformation Profile)設定項目
- 8.6.4 証明書の管理
- 8.7 VPNの概要
- 8.8 VPNの基本設定
- 8.8.1 設定要件および設定手順
- 8.8.2 IPsec VPNの設定手順
- 8.9 VPNリファレンス
- 8.9.1 IPsecトンネル設定項目
- 8.9.2 IKEゲートウェイ設定項目
- 8.9.3 IPsec暗号プロファイル設定項目
- 8.9.4 IKE暗号プロファイル設定項目
- 8.9.5 モニター設定項目
第9章 高可用性(High Availability)
- 9.1 高可用性の概要
- 9.2 HAモード
- 9.2.1 アクティブ/パッシブ
- 9.2.2 アクティブ/アクティブ
- 9.2.3 推奨の構成
- 9.3 高可用性設定オプション
- 9.3.1 HAリンク
- 9.3.2 プリエンプティブ
- 9.3.3 HAタイマー
- 9.4 フェイルオーバーのトリガー
- 9.4.1 フェイルオーバーのトリ^ガー設定
- 9.5 HAステータスの遷移
- 9.5.1 HAステータス
- 9.5.2 ステータスの遷移
- 9.6 高可用性設定の基本設定
- 9.6.1 要件および設定手順
- 9.6.2 高可用性の設定手順
- 9.7 高可用性設定リファレンス
- 9.7.1 高可用性設定基本項目
- 9.7.2 リンクモニタリングおよびパスモニタリング
この本に関連する書籍
-
インフラエンジニア教本 ――ネットワーク構築技術解説
「SoftwareDesignの人気特集記事を再編集!」 自社のネットワークやサーバを管理する技術力がなければ,クラウド環境を安心して使いこなせません。本書はネットワーク...
-
【改訂3版】TCP/IPネットワーク ステップアップラーニング
TCP/IPネットワークを理解する上で必要な知識を無理なく,段階的に学習できる入門書です。インターネットの成り立ちからIPアドレスのしくみ,インターネットでは大変重...
-
プロのための[図解]ネットワーク機器入門
ネットワークの基礎を学習したエンジニア向けに,より実践的な製品知識をつけるため,スイッチやルータといったネットワーク機器に主眼を置いて構成した解説書です。企...