Palo Altoファイアウォールを使用したセキュアアクセスの設定

ダウンロード オプション

  • PDF     (3.0 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (2.8 MB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (1.9 MB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2024 年 1 月 31 日
Document ID:221589

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、Palo Altoファイアウォールを使用してセキュアアクセスを設定する方法について説明します。

    前提条件

    要件

    次の項目に関する知識があることが推奨されます。

    • Palo Alto 11.xバージョンのファイアウォール
    • セキュアなアクセス
    • Cisco Secure Client - VPN(トンネルモード)
    • Cisco Secureクライアント – ZTNA
    • クライアントレスZTNA

    使用するコンポーネント

    このドキュメントの情報は、次のハードウェアに基づくものです。 

    • Palo Alto 11.xバージョンのファイアウォール
    • セキュアなアクセス
    • Cisco Secure Client - VPN(トンネルモード)
    • Cisco Secureクライアント – ZTNA

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    背景説明

    セキュアアクセス – Palo Altoセキュアアクセス – Palo Alto

    シスコは、プライベートアプリケーション(オンプレミスとクラウドベースの両方)を保護し、アクセスを提供するセキュアなアクセスを設計しました。また、ネットワークからインターネットへの接続も保護します。これは、複数のセキュリティ方式とレイヤの実装によって実現されます。すべての目的は、クラウド経由でアクセスする情報を保持することです。

    設定

    セキュアアクセスでのVPNの設定

    Secure Accessの管理パネルに移動します。

    セキュアアクセス – メインページセキュアアクセス – メインページ

    • クリック Connect > Network Connections

    セキュアアクセス – ネットワーク接続セキュアアクセス – ネットワーク接続

    • Network Tunnel Groups」で、 + Add
      •

    セキュアアクセス – ネットワークトンネルグループセキュアアクセス – ネットワークトンネルグループ

    • Tunnel Group Name、Regionの設定 Device Type
    • クリック Next
      •

    ネットワークトンネルグループ – 一般設定

    note-icon

    :ファイアウォールの場所に最も近い地域を選択します。

    Tunnel ID Format
    • コマンドと Passphrase
    • クリック Next
      •

    ネットワークトンネルグループ – トンネルIDの形式

    • ネットワークで設定したIPアドレス範囲またはホストを設定し、トラフィックをセキュアアクセス経由で通過させる
    • クリック Save
      •

    セキュアアクセス – トンネルグループ – ルーティングオプションセキュアアクセス – トンネルグループ – ルーティングオプション

    トンネルに関すSave る情報をクリックして表示した後、次の手順Configure the tunnel on Palo Altoでその情報を保存してください。

    トンネルデータ

    セキュアアクセス – トンネルセットアップのデータ

    Palo Altoでのトンネルの設定

    トンネルインターフェイスの設定

    Palo Altoダッシュボードに移動します。

    • Network > Interfaces > Tunnel
    • Click Add
      •

    Palo Alto – インターフェイス

    • ConfigメニューでVirtual Router、Security Zoneを設定し、Suffix Number
      • IPv4

    Palo Alto:トンネルインターフェイス

    • の下で、ルーティング不能IPを設定します。たとえば、 169.254.0.1/30
    • クリックOK
      •

    Palo Alto – トンネルインターフェイス – IPV4

    その後、次のように設定できます。

    Palo Alto – トンネル設定

    このように設定してある場合は、Commit をクリックして設定を保存し、次のステップConfigure IKE Crypto Profileに進みます。

    IKE暗号化プロファイルの設定

    暗号化プロファイルを設定するには、次の場所に移動します。 

    • Network > Network Profile > IKE Crypto  
    • クリックAdd
      •

    Palo Alto - IKE暗号化

    • 次のパラメータを設定します。
      • Name:プロファイルを識別するための名前を設定します。
      • DH GROUP:グループ19
      • AUTHENTICATION:非認証
      • ENCRYPTION: aes-256-gcm
      • Timers
        • Key Lifetime:8 時間
        • IKEv2 Authentication:0
          •
    • すべての設定が完了したら、 OK
      •

    Palo Alto - IKE暗号化プロファイル

    このように設定してある場合は、Commit をクリックして設定を保存し、次のステップに進みます。 Configure IKE Gateways.

     IKEゲートウェイの設定

    IKEゲートウェイを設定するには

    • Network > Network Profile > IKE Gateways
    • クリックAdd
      •

    Palo Alto - IKEゲートウェイ

    • 次のパラメータを設定します。
      • Name:Ikeゲートウェイを識別するための名前を設定します。
      • Version : IKEv2専用モード
      • Address Type : IPv4
      • Interface :インターネットWANインターフェイスを選択します。
      • Local IP Address:インターネットWANインターフェイスのIPを選択します。
      • Peer IP Address Type :IP
      • Peer Address:手順「Tunnel Data」で指定したPrimary IP Datacenter IP AddressのIPを使用します。
      • Authentication:Pre-Shared Key
      • Pre-shared Key : Tunnel Dataの手順で指定した passphrase を使用します。
      • Confirm Pre-shared Key : Tunnel Dataの手順で指定した passphrase を使用します。
      • Local Identification :を選択User FQDN (Email address) し、手順「Tunnel Data」で指定したPrimary Tunnel ID を使用します。
      • Peer Identification : IP Addressを選択してPrimary IP Datacenter IP Addressを使用します。
        •

    Palo Alto - IKEゲートウェイ – 汎用

    • クリックAdvanced Options
      • Enable NAT Traversal
      • ステップConfigure IKE Crypto Profileで作IKE Crypto Profile 成した
      • チェックボックスをオンにする Liveness Check
      • クリック OK
        •

    Palo Alto - IKEゲートウェイ – 詳細オプション

    このように設定してある場合は、Commit をクリックして設定を保存し、次のステップに進みます。 Configure IPSEC Crypto.

    IPSEC暗号化プロファイルの設定

    IKEゲートウェイを設定するには、 Network > Network Profile > IPSEC Crypto

    • クリックAdd
      •

    Palo Alto - IPSec暗号化

    • 次のパラメータを設定します。 
      • Name:名前を使用してセキュアアクセスIPsecプロファイルを識別します。
      • IPSec Protocol:ESP
      • ENCRYPTION: aes-256-gcm
      • DH Group: pfsなし、1時間
        •
    • クリック OK
      •

    Palo Alto - IPSec暗号化プロファイル

    このように設定してある場合は、Commit をクリックして設定を保存し、次のステップに進みます。 Configure IPSec Tunnels.

    IPSecトンネルの設定

    IPSec Tunnelsを設定するには、Network > IPSec Tunnelsに移動します。

    • クリック Add
      •

    Palo Alto - IPSecトンネル

    • 次のパラメータを設定します。
      • Name:セキュアアクセストンネルを識別する名前を使用します。
      • Tunnel Interface:ステップConfigure the tunnel interfaceで設定したトンネルインターフェイスを選択します
      • Type:オートキー
      • Address Type: IPv4
      • IKE Gateways:ステップ「IKEゲートウェイの設定」で設定したIKEゲートウェイを選択します。
      • IPsec Crypto Profile:ステップConfigure IPSEC Crypto Profileで設定したIKEゲートウェイを選択します。
      • チェックボックスをオンにする Advanced Options
        • IPSec Mode Tunnel:Tunnelを選択します。
        •
    • クリック OK
      •

    Palo Alto - IPSecトンネル – 設定

    VPNが正常に作成されたら、 Configure Policy Based Forwardingの手順に進みます。

    ポリシーベースの転送の設定

    Policy Based Forwardingを設定するには、 Policies > Policy Based Forwarding.

    • クリック Add
      •

    Palo Alto:ポリシーベースの転送

    • 次のパラメータを設定します。
      • General 
        • Name:名前を使用して、セキュアアクセス、ポリシーベース転送(発信元によるルーティング)を識別します。
      • Source 
        • Zone:送信元に基づいてトラフィックをルーティングする計画があるゾーンを選択します。
        • Source Address:送信元として使用する1つまたは複数のホストを設定します。
        • Source Users:トラフィックをルーティングするユーザを設定します(該当する場合のみ)。
          •
      • Destination/Application/Service 
        • Destination Address:これをAnyのままにしておくか、セキュアアクセス(100.64.0.0/10)のアドレス範囲を指定できます。
      • Forwarding 
        • Action:転送
        • Egress Interface:ステップConfigure the tunnel interfaceで設定したトンネルインターフェイスを選択します
        • Next Hop:None
          • OK
    • をクリックし、 Commit
      •

    Palo Alto – ポリシーベースの転送 – 全般

    Palo Alto – ポリシーベースの転送 – 送信元

    Palo Alto – ポリシーベースの転送 – 宛先

    Palo Alto – ポリシーベースフォワーディング – ルーティング

    これで、Palo Altoですべての設定が完了しました。ルートの設定後にトンネルを確立できるため、引き続きSecure Access DashboardでRA-VPN、Browser-Based ZTA、またはClient Base ZTAを設定する必要があります。

    更新履歴

    改定 発行日 コメント
    1.0
    31-Jan-2024
    初版
    TAC Authored

    シスコ エンジニア提供

    • ジャイロモレノ
      TAC

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています