はじめに
PaloaltoシリーズのURLフィルタリングについて備忘録的にまとめます。
URLフィルタリングとは
Paloalto社が保持するURLフィルタリング データベースを利用して、危険なカテゴリに属するサイトへのアクセス制御をきめ細かく制御できる機能になります。
なお、こちらの機能を利用するにはPANDB URL Filtering subscriptionのオプションライセンスの追加購入が必要になります。
※以前はBrightCloud Filtering subscriptionという名前でBlightCloud社のデータベースを参照してましたが、こちらの販売は終了し現在はPANDBのほうで移行しています。BrightCloudとPANDBとの違いは以下コミュニティ資料が役立ちます。
プロファイルの作成
URLフィルタリングを適用するためには、まずURLフィルタリングプロファイルの作成が必要になります。
プロファイルの作成では、主にPANDBが用意しているカテゴリに対して許可・拒否の設定を行います。
(例:アダルト系、ギャンブル系、マルウェア、フィッシング系は拒否など)
ただ、このPANDBによるカテゴライズは定期的に変更される可能性がある(Wildfireの判定結果等)ため、昨日まで閲覧できていたサイトが今日になったらマルウェアサイト扱いになっていてアクセスできなくなったなんてことはよくあります。
その回避策としては以下の2つがあります。
・オーバーライド
・サイトのカテゴリ変更依頼申請
オーバーライドに特定のURLを記述すると、PANDBのカテゴライズよりも優先して処理されます。
オーバーライドには許可リスト、ブロックリストの2種類が登録できるため
例えば上記のように急にアクセスできなくなったサイトも許可リストに登録すればすぐにアクセスできるようになります。
オーバーライドの記述方法については、以下サイトが参考になります。
https://docs.paloaltonetworks.com/pan-os/8-1/pan-os-admin/url-filtering/url-filtering-concepts/block-and-allow-lists
【PaloaltoのURLフィルタリング処理優先度】
1.オーバーライド(ブロックリスト)
2.オーバーライド(許可リスト)
3.カテゴリ(カスタムURLカテゴリ)
4.DP URLキャッシュ
5.MP URLキャッシュ
6.カテゴリ(PANDBカテゴリ)
3のカスタムURLカテゴリは、PANDBのカテゴリではなく自分でURLカテゴリを作成できるものになります。
個別に許可サイト・ブロックサイトを登録できるため、こちらオーバーライドではなくこちらを利用するケースもあります。
Test A SiteというサイトからPaloalto社にサイトのカテゴリ変更依頼を申請することもできます。
申請してから実際に変更処理が行われるまで時間がかかる場合もあリます。
そのため、急にアクセスできなくなったサイトへの対応についてはまずオーバーライドして運用上回避したあとに申請を行うケースが多いと思います。
セキュリティポリシールール
該当のポリシールールに、プロファイル設定で作成したURLフィルタリングプロファイルを割り当てます。
尚、PaloaltoのURLフィルタリングはポート、プロトコルに依存せず動作するので、HTTP、HTTPS以外のポリシーに適用しても動作します。
SSL復号化とURLフィルタリング
一般的にSSLインスペクションなどと呼ばれていますが、PaloaltoでHTTPSなどの暗号化された通信でURLフィルタリングを動作させるためには復号化ポリシーも合わせて設定する必要があります。
宛先URLアドレスも暗号化されておりURLの中身を見ることができなければPaloaltoもフィルタリング判別ができないからです。
この復号化ポリシーのルール条件にはURLカテゴリやカスタムURLカテゴリを利用することができます。
復号化専用のカスタムURLカテゴリを作成しておくことを推奨します。