AWS環境でPaloAltoを構築してみた#4 ~Webサーバおよび管理サーバの初期設定、Webサーバ構築~
2025.09.14
- AWS
- クラウド
- セキュリティ
- ネットワーク
前回までの手順で、各セグメントに配置する EC2 インスタンスの構築が完了しました。本記事では、次のステップでは、Webサーバおよび管理サーバの初期設定、Webサーバ構築に進めていきます。
管理サーバの初期設定
サーバへ接続
まず マネジメントコンソール にログインし、EC2 サービス を開きます。左メニューの 「インスタンス」 から「管理サーバ」を選択し、「接続」 をクリックします。
パスワード取得
続いて、RDP クライアント を選択し、「パスワードを取得」 をクリックします。
ローカルにダウンロードしてある キーペアファイル を指定し、パスワードを復号化します。復号化したパスワードは、後ほどログインに使用するため 控えておきましょう。
リモートデスクトップ接続(RDP)
次に、自端末から リモートデスクトップ接続(RDP) を開き、管理サーバの ENI に関連付けた Elastic IP(EIP) を入力して接続します。
ログイン画面が表示されたら、ユーザー名に 「Administrator」 を入力し、先ほど控えたパスワードを入力して 「OK」 をクリックします。
接続時に証明書エラーが表示されますが、そのまま無視して 「はい(Y)」 をクリックすれば接続が完了します。
パスワード変更
Windows サーバの検索メニューから 「Computer Management」 と入力して検索します。続いて、「Local Users and Groups」 → 「Users」 をクリックし、Administrator を右クリックします。メニューから 「Set Password」 を選択し、パスワードを変更します。
Trustサーバの初期設定
リモートデスクトップ接続(RDP)
前提条件として、パスワードの復号化手順 まで完了していることを想定します。まだ実施していない場合は、先に上記のパスワード復号化手順を行ってください。続いて、管理サーバからリモートデスクトップ接続(RDP) を開き、Trust サーバの管理セグメント用 IP アドレス を入力して接続します。
ログイン画面が表示されたら、ユーザー名に 「Administrator」 を入力し、先ほど控えたパスワードを入力して 「OK」 をクリックします。
接続時に証明書エラーが表示されますが、そのまま無視して 「Yes」 をクリックすれば接続が完了します。
パスワード変更
Windows サーバの検索メニューから 「Computer Management」 と入力して検索します。続いて、「Local Users and Groups」 → 「Users」 をクリックし、Administrator を右クリックします。メニューから 「Set Password」 を選択し、パスワードを変更します。
ルーティング優先順位の変更
Trust サーバには 管理用とサービス用の2つの ENI がアタッチされています。
デフォルトでは通信が 管理用インターフェース から出てしまうため、他の踏み台サーバへの通信は サービス用インターフェース から出るように、ルーティングの優先順位をコマンドプロンプトから設定します。
1.現在のインターフェースリストを確認
2.サブネット 10.0.10.0/24 へのルートを追加
3.管理用インターフェースのデフォルトゲートウェイ優先度を下げる
4.サービス用インターフェースのデフォルトゲートウェイ優先度を上げる
ポイント:metric の値が小さいほど優先度が高くなります
前提条件として、パスワードの復号化手順 まで完了していることを想定します。まだ実施していない場合は、上記のパスワード復号化手順を行ってください。続いて、管理サーバからリモートデスクトップ接続(RDP) を開き、Untrust サーバの管理セグメント用 IP アドレス を入力して接続します。
ログイン画面が表示されたら、ユーザー名に 「Administrator」 を入力し、控えたパスワードを入力して 「OK」 をクリックします。
接続時に証明書エラーが表示されますが、そのまま無視して 「Yes」 をクリックすれば接続が完了します。
パスワード変更
Windows サーバの検索メニューから 「Computer Management」 と入力して検索します。続いて、「Local Users and Groups」 → 「Users」 をクリックし、Administrator を右クリックします。メニューから 「Set Password」 を選択し、パスワードを変更します。
ルーティング優先順位の変更
Untrust サーバにも管理用とサービス用の2つの ENI がアタッチされています。
デフォルトでは通信が 管理用インターフェース から出てしまうため、他の踏み台サーバへの通信は サービス用インターフェース から出るように、ルーティングの優先順位をコマンドプロンプトから設定します。
1.現在のインターフェースリストを確認
2.サブネット 10.0.10.0/24 へのルートを追加
3.管理用インターフェースのデフォルトゲートウェイ優先度を下げる
4.サービス用インターフェースのデフォルトゲートウェイ優先度を上げる
ポイント:metric の値が小さいほど優先度が高くなります
DMZサーバの初期設定及びWebサーバ構築
サーバへログイン
前提条件として、管理サーバから接続するために、ローカルにダウンロードしたキーペアファイル を管理サーバ上にコピー&ペーストして準備しておきます。準備ができたら、コマンドプロンプト を開き、キーペアファイルを保存したディレクトリに移動します。その後、以下のように SSH コマンド を使用して、キーペアファイルを指定しログインします。
静的ルート設定
Webサーバから他のセグメントへ通信するために、静的ルートを設定します。ここでは nmcli コマンドを使用して設定します。
1.現在の接続を確認
2.静的ルートの追加
Trust/Untrust など、他セグメントへのルートを追加します。
3.ネットワーク接続の再起動
変更を反映させるため、接続を一度ダウンしてからアップします。
Webサーバ構築
前提条件
Web サーバを構築するにあたり、通常オンプレミス環境では ISO をマウントしてローカルリポジトリを作成することで、インターネットに接続せずとも環境構築が可能です。しかし、AWS 環境では ISO を直接マウントできないため、一時的にインターネットへ接続できる環境 を用意する必要があります。ここでは、事前に Elastic IP(EIP)を割り当て、Web サーバの ENI と関連付けが完了している状態 を前提とします。
まず、管理サーバからWebサーバへログインし、以下の手順を実施する。
1.システム更新
2.Apache HTTPD インストール
3.サービス起動・状態確認
4.Web コンテンツ作成
5.SSL モジュールインストール
6.証明書・秘密鍵作成
7.Apache SSL 設定
8.Apache 再起動
最後はWeb サーバの ENI と関連付けたEIPを忘れずに解放してください。
ここまでで、各セグメントに配置した踏み台サーバの初期設定および Web サーバの構築 が完了しました。
次回の手順では、いよいよ Palo Alto の基本設定やポリシー設定など、ファイアウォール本体の構築 に進めていきます。
RELATED ARTICLE関連記事
RELATED SERVICES関連サービス
この記事をシェアする
