Go to Qiita Advent Calendar 2024 Top
LoginSignup
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@kouhei-ioroi(五百藏 康平)in株式会社船井総合研究所

Palo Alto NetworksのPanorama/GlobalProtectの運用Tips

Posted at

初めに

ここでは自分がPanorama/GlobalProtectに触れて気づいた点などを残しておきます。

Q. Panorama上でADのグループマッピングを使いたいけどユーザー一覧から選択できない!出てこない!

A. ADグループのDistinguished Nameを直接指定してやる必要があります

事前にADに対しエージェントを導入してUser MappingとGroup Mappingを設定しておく必要があります。
DEVICEUser IdentificationにあるUser MappingGroup Mapping Settingsにて設定できます。
デフォルトのGroup Mappingの更新間隔は3600秒(1時間)だったと思うので、一時的に60秒とかにしておくとテストが楽になると思います。

ADにアクセスできるPCでdsquery group -name "グループ名"を叩くと出てくるのがDistinguished Name(以下DN)です。
これをUSER/USER GROUPの箇所に直接入れるとグループ内のユーザーを一括して処理出来ました。
GlobalProtectのPortal/Gatewayの両方で適用できたことを確認済みです。
ほかの場所でも同じようにできるはずです。

Q. 設定項目がところどころ空白でよく分からない!

A. 英語にするとちゃんと表示されます

翻訳がクソなのか、MTUなどの設定が日本語状態では空白になり正しく表示されません。
右下の言語設定から英語に設定するとすべての項目が正しく表示されるようになります。

Q.GlobalProtectのクライアントの最新版はどこで入手できるの?

A. 基本的にはPANORAMACloud ServicesConfigurationからGlobalProtect App Activationで最新版をアクティベートすれば最新のものをユーザーに配信できます

image.png

最初にPANORAMADevice DeploymentGlobalProtect ClientからCheck Nowをクリックして更新しないと出てこないかもです。

ですが、この画面で新しいバージョンをアクティベートするとコミット&プッシュせずとも即座にアクティベートされてしまいます。
動作テストしてからユーザーに利用させたい場合、毎回各プロファイルでアップデートを禁止してコミット&プッシュしからてテストして許可して配布して…とやるのは結構面倒です。

若干裏技味のある方法になりますが、公式のS3ストレージから同じ物を入手することが出来ます。
自分はダウンロードツールを自作してますが、普通にURL叩いた方が早いです。

上記からダウンロード、少数の端末でテストして問題がないことを確認してから本番でアクティベートすると問題が少なくてみんな幸せになりますね。

URLカテゴリ判定が間違ってるぽいので特定URLだけ通信を許可したいけどどこで設定すればいいのかわからん!

A. POLICIESSecurityPre Rulesから地道に追っていきましょう

ぶっちゃけほとんどの環境ではOBJECTSCustom ObjectsURL CategoryからWhite-Listに追加するだけでOKだと思います。が、そうじゃない可能性もあるので一応全手順を書いておきます。

特に重要なのはPROFILE列です。
各ルールのPROFILE列にマウスオーバーすると、Profile Group:????といった感じでどのグループが紐づいているのかが表示されます。
HTTP/HTTPSなど、それっぽいルールに対応するグループ名が分かったら、OBJECTSSecurity Profile Groupsを開き、該当のグループをクリックします。
すると、

  • Antivirus
  • Anti-Spyware
  • Vulnerability Protectiion
  • URL Filtering
  • File Blocking
  • Data Filtering
  • WildFire Analysis

の7つのプロファイルでどれが使用されているのかが表示されます。

URLブロックを解除する場合はURL Filteringを変更すればよいので、OBJECTSSecurity ProfilesURL Filteringを開き、該当のプロファイルをクリックします。

おそらくほとんどの環境ではWhite-Listがalertもしくはnoneで登録されていると思いますので
OBJECTSCustom ObjectsURL CategoryからWhite-Listに該当のURLを追加してコミット&プッシュしてください。

White-Listやそれっぽいルールが無かったら頑張って作って紐づけてください

以上でアクセスが許可されるようになります。

1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?