レック・テクノロジー・コンサルティング株式会社TECH BLOG

MENU

AWS環境でPaloAltoを構築してみた#5 ~PaloAlto設定_基本設定、ポリシー~

2025.09.15

  • AWS
  • クラウド
  • セキュリティ
  • ネットワーク
  • Facebook
  • X
  • Pocket
  • Line
  • Hatena
  • Linkedin
前回までの手順で、AWS側とサーバの設定が完了しましたので、今回は、いよいよ Palo Alto側の設定に入っていきます。

ログイン(GUIアクセス有効化)

現状、Palo Altoのログインには、AWSで作成したキーペアを使用しなければならず、GUIでのアクセスが出来ません。
そこで、まずはCLI経由でパスワードを設定し、GUIアクセスを有効化します。

> ssh -i <AWSで作成したキーペア名> admin@10.0.10.254

ログインができたら、パスワードを設定します。
admin@PA-VM> configure
admin@PA-VM# set mgt-config users admin password
・・・(中略)・・・
admin@PA-VM# commit
admin@PA-VM# exit

パスワードの設定が完了したら、Palo AltoにGUIアクセスしログインをしてみます。
URL:https://10.0.10.254
ユーザ名:admin
パスワード:先ほど設定したパスワード

01_GUIログイン画面.png

GUIでログイン後、ダッシュボードが表示されていると思います。ホップアップは無視してOKです。

Device設定

Device項目の設定に入っていきます。
ホスト名、DNS、NTPなど基本情報の設定を行います。

セットアップ

セットアップ > 管理の一般設定を設定します。
基本情報として下記の項目を設定します。
  • ホスト名
  • タイムゾーン
  • 表示言語
  • 日付
  • 時間

02_一般設定画面.png

続いて、
セットアップ > サービスのサービスを設定します。
DNSとNTPの情報を設定します。03_サービス設定画面.png

ここまで設定出来たら一度コミットして反映させます。

ダイナミック更新

Palo Altoのセキュリティ機能を検証するために、シグネチャのダウンロードとインストールを行います。
※ブログ作成時とPalo Altoの構築時で時期が少しずれているため、写真では、すでにダウンロード/インストールが完了してるものがあります。

「今すぐチェック」をクリックします。

04_ダイナミック更新の写真1.png

更新が完了したら、「アプリケーション及び脅威」にダウンロードできるファイルが追加されていきます。
構築時インストールしてあるものがあるため、今回は2025/08/07のファイルをダウンロードします。
※基本的には、最新をダウンロードするようにしてください。

05_ダイナミック更新の写真2.png

ダウンロードが完了するとダウンロード済みにチェックが入ります。
続いて、ダウンロードしたファイルには、インストールの表示があるためクリックします。

06_ダイナミック更新の写真3.png

インストールが完了すると、アンチウイルスにもファイルが表示されるようになります。
※構築時に一度インストールが完了しているため、既に表示されています。

07_ダイナミック更新の写真4.png

「アプリケーション及び脅威」と同様にファイルのダウンロード及びインストールをしていきます。
今回は、2025/08/10のものをダウンロードしていきます。

07_ダイナミック更新の写真5.png

ダウンロードが完了後、ダウンロードしたファイルをインストールしていきます。

08_ダイナミック更新の写真6.png

以上で、ダイナミック更新は完了となります。

Network設定

ここでは、ゾーン、インターフェース、ルータとネットワーク関連の設定を行います。

ゾーンの作成

各セグメント用のゾーンを作成します。
  • DMZ
  • Trust
  • Untrust

DMZ

名前:DMZ
タイプ:レイヤー3
インターフェイス:インターフェイスの設定後自動的に関連付きます。
9_DMZゾーン.png


Trust

名前:Trust
タイプ:レイヤー3
インターフェイス:インターフェイスの設定後自動的に関連付きます。
10_Trustゾーン.png


Untrust

名前:Untrust
タイプ:レイヤー3
インターフェイス:インターフェイスの設定後自動的に関連付きます。
11_Untrustゾーン.png

インターフェイスの設定

各セグメントのデフォルトゲートウェイとなるインターフェイスを設定します。
インターフェイスはAWSで設定しているため、IPアドレスはDCHPで受け取ります。
そのため、DCHPに設定後コミットし、CLIにて以下のコマンドでどのインターフェイスにどのIPアドレスが振られたか確認してくだい。

admin@palo-lab> show interface all

ethernet1/1

設定
インターフェイスタイプ:レイヤー3
仮想ルーター:default
セキュリティ ゾーン:DMZ (DHCPでDMZセグメントのIPが振られたため)
IPv4
タイプ:DHCPクライアント
詳細
管理プロファイル:allow-ping (新規作成)
管理プロファイル.png
allow-pingを作成した意味は、各サーバからデフォルトゲートウェイに疎通確認を行うため。
Noneのままでも通信に問題はない。

ethernet1/2

設定
インターフェイスタイプ:レイヤー3
仮想ルーター:default
セキュリティ ゾーン:Trust (DHCPでTrustセグメントのIPが振られたため)
IPv4
タイプ:DHCPクライアント
詳細
管理プロファイル:allow-ping(ethernet1/1で作成したものを使用)

ethernet1/3

設定
インターフェイスタイプ:レイヤー3
仮想ルーター:default
セキュリティ ゾーン:Untrust (DHCPでUntrustセグメントのIPが振られたため)
IPv4
タイプ:DHCPクライアント
詳細
管理プロファイル:allow-ping(ethernet1/1で作成したものを使用)

仮想ルーターの設定

インターネットに出るためのデフォルトゲートウェイを設定します。
defaultの仮想ルーターに設定を追加していきます。

Router Settingの項目では、defaultの仮想ルーターに紐づけられているインターフェイスが表示されます。
先ほど設定したインターフェイスが紐づけられていない場合は、「追加」から紐づけてください。

12_仮想ルーター1.png

インターネットに出るためのルートを作成します。

default route

名前:default route
宛先:0.0.0.0/0
インターフェイス:ethernet1/3(AWS側でElasticIPを付与したインターフェイス)
ネクストホップ:10.0.12.1 (AWSが用意しているVPC用ルータのIPアドレスを指定)

13_仮想ルーター2 .png

Policies設定

今回は、事前に決めた通信要件に沿って、ポリシーを作成していきます。

Policyの作成

通信要件
  • Trust→Untrust:許可
  • Trust→DMZ:Ping,Tracerote,Http,Httpsのみ許可
  • Trust→インターネット:許可
  • Untrust→Trust:拒否
  • Untrust→DMZ:Ping,Tracerote,Http,Httpsのみ許可
  • Untrust→インターネット:許可
  • DMZ→Trust:拒否
  • DMZ→Untrust:拒否
  • インターネット→Trust:拒否
  • インターネット→Untrust:拒否

通信要件に合わせポリシーを作成していきます。
この時、注意しなければならないのは、インターネットに出る際に使用するElasticIPがUntrustゾーンに紐づいていることです。
例えば、Trust→Untrustの通信では、Trustからインターネットへ出る通信も、Untrustセグメント内への通信も、同じポリシーを通ってしまいます。
これでは、柔軟なフィルタリングができません。そこで、ゾーンだけでなくアドレスでIPの範囲を絞ることで対応します。

実際に作成したポリシーはこんな感じです。

14_ポリシー一覧の写真.png

SNATの作成

戻り通信の維持のためSNATを設定します。

Trust_SNAT

全般
名前:Trust_SNAT
15_Trust_SNATの写真1.png
元のパケット
送信元ゾーン:Trust
宛先ゾーン:Untrust
宛先インターフェイス:ethernet1/3
サービス:any
送信元アドレス:10.0.11.100
16_Trust_SNATの写真2.png
変換済みパケット
送信元アドレスの変換
変換タイプ:ダイナミックIPおよびポート
アドレスタイプ:変換後のアドレス
変換後アドレス:10.0.12.254(Palo Altoのデフォルトゲートウェイ)
17_Trust_SNATの写真3.png

Untrust_SNAT

全般
名前:Untrust_SNAT
18_Untrust_SNATの写真1.png
元のパケット
送信元ゾーン:Untrust
宛先ゾーン:Untrust
宛先インターフェイス:ethernet1/3
サービス:any
送信元アドレス:10.0.12.100
19_Untrust_SNATの写真2.png
変換済みパケット
送信元アドレスの変換
変換タイプ:ダイナミックIPおよびポート
アドレスタイプ:変換後のアドレス
変換後アドレス:10.0.12.254(Palo Altoのデフォルトゲートウェイ)
20_Untrust_SNATの写真3.png

通信試験

ポリシーが正しく機能しているかを確認します。
実際に各ゾーンから通信を試し、その結果を Monitor > トラフィック 画面でチェックしていきます。

送信元:Trust

まずは Trustゾーン からの通信テストです。
許可された宛先に正常に通信できていることが確認できます。ss047 - 44.250.80.190 - リモート デスクトップ接続.png

送信元:Untrust

次に Untrustゾーン からの通信テスト。
こちらも要件通り、許可された宛先には正常に通信でき、拒否された宛先はブロックされていることが確認できます。

ss049 - 44.250.80.190 - リモート デスクトップ接続.png

送信元:DMZ

DMZゾーンからの通信では、Trust、Untrust両方とブロックされていることを確認できます。
こちらもポリシー設定通りの動きです。
ss050 - 44.250.80.190 - リモート デスクトップ接続.png

インターネット間の通信

最後に、インターネット間の通信を確認します。
外向きは許可され、内向きはしっかり拒否されていることを確認できます。

ss052 - 44.250.80.190 - リモート デスクトップ接続.png


以上が、Palo Altoの基本設定とポリシーの設定となります。
次回の手順では、Palo Altoのセキュリティ機能検証を行っていきます。

ブログ一覧へ戻る

RELATED ARTICLE関連記事

2025.09.16

AWS環境でPaloAltoを構築してみた#6 ~PaloAlto設定及びセキュリティ機能検証~

  • AWS
  • クラウド
  • セキュリティ
  • ネットワーク

2025.09.14

AWS環境でPaloAltoを構築してみた#4 ~Webサーバおよび管理サーバの初期設定、Webサーバ構築~

  • AWS
  • クラウド
  • セキュリティ
  • ネットワーク

2025.09.13

AWS環境でPaloAltoを構築してみた#3 ~各セグメントへのWebサーバおよび管理サーバ用インスタンスの作成~

  • AWS
  • クラウド
  • セキュリティ
  • ネットワーク

2025.09.12

AWS環境でPaloAltoを構築してみた#2 ~Palo Alto 用インスタンスの作成~

  • AWS
  • クラウド
  • セキュリティ
  • ネットワーク

2025.09.11

AWS環境でPaloAltoを構築してみた#1 ~AWS環境設定 VPC編~

  • AWS
  • クラウド
  • セキュリティ
  • ネットワーク

RELATED SERVICES関連サービス

クラウドサービス

GCP、 AWS、Azure、OCIのクラウドを中心にインフラ基盤を構築します。
また、SRE技術支援、コンテナ技術支援、ガバメントクラウド移行支援などクラウド環境で必要となる技術支援をいたします。

ネットワークサービス

可用性、柔軟性、拡張性の高いネットワークをご提案、構築いたします。また、ネットワーク仮想化など先進ネットワーク技術の導入もご支援いたします。

この記事をシェアする

  • Facebook
  • X
  • Pocket
  • Line
  • Hatena
  • Linkedin

資料請求・お問い合わせはこちら

WEB説明会実施中!

各技術領域ごとの業務内容や取り組んでいる最新技術についてお話します。
カメラ・マイクオフでの参加OK!
気軽にご参加ください。

お申込みはこちら

Re:Qチャンネル

Re:Qの技術領域や、これまで培ってきた経験を元にIT技術についての解説動画などを投稿しています。
是非ご覧ください!

公式Youtubeはこちら

LATEST ARTICLE

CATEGORY

ページトップへ戻る