レック・テクノロジー・コンサルティング株式会社TECH BLOG

MENU

AWS環境でPaloAltoを構築してみた#1 ~AWS環境設定 VPC編~

2025.09.11

  • AWS
  • クラウド
  • セキュリティ
  • ネットワーク
  • Facebook
  • X
  • Pocket
  • Line
  • Hatena
  • Linkedin

はじめに

最近は Palo Alto Networks 製品に触れる機会が増えてきたため、学習の一環として AWS環境上にPalo Altoを構築 してみました。
本シリーズでは、AWS上にPalo Altoを導入し、各セグメントにサーバを配置して 通信試験 を行ったうえで、セキュリティ機能である
IPS、アンチウイルス、アンチスパイウェア、URLフィルタリング の動作確認までを手順としてまとめています。
記事は 全6回構成 となっており、環境構築からセキュリティ検証までの流れを一通り解説しています。最後までご覧いただくことで、
AWS上でのPalo Alto環境の構築方法とセキュリティ機能の検証ポイントを体系的に理解できる内容になっています。

構成

今回は、下記の要件で構成しました。
  • Palo Alto及びサーバは、AWS上に用意
  • 冗長構成無し
  • 用意するセグメント
    - Trust(社内想定)
    - Untrust(社外想定)
    - DMZ(Webサーバ)
    - 管理(PaloAlto及び各サーバの管理用)
  • 各セグメントには、1台以上のサーバを用意。

00_Palo検証.drawio.png



VPC

まず、10.0.0.0/16のVPCを作成します。

01_VPC.png


サブネット

各セグメント用のサブネットを作成します。
  • 管理用サブネット:10.0.10.0/24
  • Trust用サブネット:10.0.11.0/24
  • Untrust用サブネット:10.0.12.0/24
  • DMZ用サブネット:10.0.13.0/24

02_subnet.png


ルートテーブル

インターネットゲートウェイを作成し、ルートテーブルに経路を追加します。
通常であれば、VPC内の自動ルーティングによってサーバ間は直接通信できます。
ですが、今回はサーバ間の通信をPalo Alto経由でフィルタリングしたいため、AWS側のルートテーブルで経路を制御するのではなく、サーバ内のルートテーブルを使って、デフォルトゲートウェイをPalo Altoに向ける構成にしています。

03_route-table.png


作成したサブネットをすべて関連付けます。
04_route-table02.png

セキュリティグループ

以下のセキュリティグループを作成します。
  • Palo Alto管理ポート用
  • Palo Altoサービスポート用
  • 管理サーバ用
  • Trust、Untrust、DMZサーバの管理ポート用
  • Trust、Untrust、DMZサーバのサービスポート用

Palo Alto管理ポート用

Palo AltoのGUI、CLI操作をするため、SSH,HTTPS通信のみを許可します。

Inbound

05_Inboud_palo.png

Outbound
06_Outbound_palo.png

Palo Altoサービスポート用

Palo Altoのフィルタリングに制限を寄せるため、Inbound及びOutboundは全許可とします。

Inbound
07_Inboud_palo.png
Outbound
08_Outbound_palo.png

管理サーバ用

管理サーバにアクセスするために、自端末のグローバルIPのみを許可します。

Inbound

09_Inboud_server-mnager.png
Outbound
10_Outbound_server-mnager.png

Trust、Untrust、DMZサーバの管理ポート用

各サーバを管理するために、Inboundで管理サーバの通信のみを許可します。

Inbound

11_Inboud_server-mgt.png
Outbound
12_Outbound_server-mgt.png

Trust、Untrust、DMZのサービスポート用

Palo Altoサービスポート用と同様に、Palo Altoのフィルタリングに制限を寄せるため、Inbound及びOutboundは全許可とします。

Inbound

13_Inboud_server.png

Outbound
14_Outbound_server.png

ここまでが、AWSのVPCまわりの設定となります。
次回の手順では、AWSのインスタンス作成と周辺環境の設定に入っていきます。

ブログ一覧へ戻る

RELATED ARTICLE関連記事

2025.09.16

AWS環境でPaloAltoを構築してみた#6 ~PaloAlto設定及びセキュリティ機能検証~

  • AWS
  • クラウド
  • セキュリティ
  • ネットワーク

2025.09.15

AWS環境でPaloAltoを構築してみた#5 ~PaloAlto設定_基本設定、ポリシー~

  • AWS
  • クラウド
  • セキュリティ
  • ネットワーク

2025.09.14

AWS環境でPaloAltoを構築してみた#4 ~Webサーバおよび管理サーバの初期設定、Webサーバ構築~

  • AWS
  • クラウド
  • セキュリティ
  • ネットワーク

2025.09.13

AWS環境でPaloAltoを構築してみた#3 ~各セグメントへのWebサーバおよび管理サーバ用インスタンスの作成~

  • AWS
  • クラウド
  • セキュリティ
  • ネットワーク

2025.09.12

AWS環境でPaloAltoを構築してみた#2 ~Palo Alto 用インスタンスの作成~

  • AWS
  • クラウド
  • セキュリティ
  • ネットワーク

RELATED SERVICES関連サービス

クラウドサービス

GCP、 AWS、Azure、OCIのクラウドを中心にインフラ基盤を構築します。
また、SRE技術支援、コンテナ技術支援、ガバメントクラウド移行支援などクラウド環境で必要となる技術支援をいたします。

ネットワークサービス

可用性、柔軟性、拡張性の高いネットワークをご提案、構築いたします。また、ネットワーク仮想化など先進ネットワーク技術の導入もご支援いたします。

Careersキャリア採用

キャリア採用 募集職種

ステップアップのために環境をかえることをお考えですか?
でしたら、ぜひこちらをご覧下さい。技術領域別説明会やカジュアルWeb面談など、ご状況にあった方法をご案内させて頂きます。

キャリア・ストーリー

社員のキャリアップ・ストーリーを掲載しています。
一人一人の志向にあわせたキャリア形成をプロジェクト、研修、国内外のイベント等を通してサポートしています。あなたはどのようにステップアップしたいですか?

この記事をシェアする

  • Facebook
  • X
  • Pocket
  • Line
  • Hatena
  • Linkedin

資料請求・お問い合わせはこちら

WEB説明会実施中!

各技術領域ごとの業務内容や取り組んでいる最新技術についてお話します。
カメラ・マイクオフでの参加OK!
気軽にご参加ください。

お申込みはこちら

Re:Qチャンネル

Re:Qの技術領域や、これまで培ってきた経験を元にIT技術についての解説動画などを投稿しています。
是非ご覧ください!

公式Youtubeはこちら

LATEST ARTICLE

CATEGORY

ページトップへ戻る