はじめに
IBM CloudではIDS/IPSとして、Palo Alto社のVM-Seriesをデプロイすることができます。
本記事では、設定手順を記載いたします。
- VM-Series のオーダー
- デバイスの初期設定
- ライセンス登録
- ポリシーの設定
VM-Series のオーダー
IBM Cloudポータルのカタログより、「VM-Series Firewall - BYOL」オーダー画面へ遷移します。以下、オーダー画面のリンクです。
デプロイはIBM Cloudの Infrastracture As a Code サービスであるIBM Cloud Schematicsにより実行されます。
オーダーに必要な情報を入力します。
|Configure your Workspace|
| 項目 | 値 | 備考 |
|---|---|---|
| Name | レイヤー 3 | サーバー名とは異なります。任意の文字列で構いません。 |
| Resource Group | default | Schematics Workspaceに付与するリソース・グループを指定します |
| Location | eu-de | Schematicsを実行する任意のリージョンを指定します |
| Tag | prod, dev | (任意) 付与するタグを指定します |
|Set Input Variable
| 項目 | 値 | 備考 |
|---|---|---|
| image_name | pa-vm-kvm-9-1-3-1 | イメージ名を指定します。初めはデフォルト値が入力されており、バージョン要件がなければ変更不要です。 |
| region | jp-tok (東京)またはjp-osa(大阪) | デプロイするリージョンを入力します |
| ssh_key_name | dsp-sshkey | sshログインの際に使用する、IBM Cloudに登録されたsshキー名を入力します。 |
| subnet_id1 | xxx-xxx-xxx | サブネット詳細画面よりコピーします |
| vnf_instance_name | vm-series-byol-vsi | 任意のサーバー名を入力します |
| vnf_profile | bx2-8x32 | サーバースペックを入力します。 |
| vnf_security_group | management-sg | Management interfaceに紐付けるセキュリティ・グループ名を入力します |
インストールをクリックすると、作成が開始されます。
作成が完了すると、インターフェースが2つ作成されます。それぞれIP Spoofingを有効化する必要があります。ペンマークをクリックし変更します。
デバイスの初期設定
ログイン設定
management IPアドレス(eth0)と疎通可能な環境にて、Webブラウザよりmanagement IPアドレスを入力して管理ポータルへアクセスします。
ログイン画面が表示されますので、下記の初期ID/Password でログインします。
- Username: admin
- Password: admin
パスワード変更を求められるので、任意のパスワードに変更します。
次に、タイムゾーン・表示言語を設定します。
「Device」→ 「Setup」→「Management」をクリックし、「General Settings」の歯車をクリックします。
「Time Zone」「Locale」をそれぞれ変更し、「OK」をクリックします。
- Time Zone: Japan
- Locale: ja
表示言語が変更されない場合は右下の「Language」より「日本語」選択します。
DNS・NTPサーバーを設定します。
「サービス」をクリックし、「サービス」の歯車をクリックしてDNSサーバー・NTPサーバーを設定します。
DNSサーバーのIPアドレスを指定します。
IBM Cloud では下記の2つのDNSサーバーを提供しています。
- 161.26.0.10
- 161.26.0.11
NTPサーバーのIPアドレスを指定します。
IBM Cloud では下記のNTPサーバーを提供しています。
- 161.26.0.6
インターフェースを設定します。
「ネットワーク」→ 「Ethernet」をクリックし、「Enternet1/1」をクリックします。
| 項目 | 値 |
|---|---|
| インターフェース | レイヤー 3 |
| 仮想ルーター | default |
| IPv4 | タイプ |
| IP | 10.244.1.11/24 (IPアドレスを追加) |
zoneを設定します。
「ネットワーク」→「zone」をクリックし、左下「追加」をクリックします。
以下の項目を入力し、「OK」をクリックします。
| 項目 | 値 | 備考 |
|---|---|---|
| 名前 | private-zone | 任意の名前を入力します |
| タイプ | レイヤー3 | |
| インターフェース | ethernet1/1 | 追加をクリックし、作成したインターフェースを選択します |
仮想ルーターを設定します。
「ネットワーク」→ 「仮想ルーター」をクリックし、「default」をクリックします。
「スタティックルート」をクリックし、左下「追加」をクリックします。
以下の項目を入力し、「OK」をクリックします。
| 項目 | 値 | 備考 |
|---|---|---|
| 名前 | comm-all | 任意のルーティング名前を入力します |
| 宛先 | 0.0.0.0/0 | 全ての通信を作成したインターフェース経由にします |
| インターフェース | ethernet1/1 | 作成したインターフェースを選択します |
| ネクストホップ | IPアドレス、10.244.1.1 | 通信用インターフェースのゲートウェイIPアドレスを入力します |
以上の設定変更を反映するため、コミットします。
右上の「コミット」をクリックし、表示された変更点を確認したのち「コミット」をクリックします。
続いてIBM Cloudポータルより、リブートを実行します。
再度、Webブラウザよりmanagement IPアドレスを入力してアクセスします。サーバーのステータスが「稼働中」になってからブラウザアクセスできるようになるまで数分かかる場合があります。
ethernetが緑になっていることを確認します。
「ネットワーク」→ 「Ethernet」をクリックし、「Enternet1/1」をクリックし、「リンク状態」が緑になっていることが確認できました。
ライセンス登録
ライセンス発行が完了すると、メールを受信します。メールに記載されている「Activate Now」をクリックします。ブラウザにてPalo Altoサイトのページにアクセスされます。
ページに記載されているクレジットを選択し、「Start Activation」をクリックします。
発行されたクレジットを紐づけるアカウントを検索し、選択します。
クレジットの紐付けが完了すると、アカウントのダッシュボードが開きます。
次に、サーバーへ割り当てるクレジットを作成します。
「Create Deployment Profile」をクリックし、以下の項目を選択します。
| 項目 | 値 |
|---|---|
| Select firewall type | VM-Series |
| Select vCPU configuration type | Flexible vCPUs |
次に、以下の項目を入力し、「Create Deployment Profile」をクリックします。
| 項目 | 入力 |
|---|---|
| Profile Name | 任意の名前を入力します |
| Number of Firewalls | クレジットを適用するVNFサーバー数を入力します |
| Planned vCPU per Firewall | VNFサーバーのCPU数を入力します |
| Security Use Case | 「Custom」を選択します |
| Customize Subscriptions | 利用する機能にチェックを入れます |
| Use Credits to Enable VM Panorama | 空欄にします |
Deployment Profileを紐づける必要があります。
作成されたDeployment Profileの右側「︙」をクリックし、「Register Firewall」をクリックします。
入力には「UUID」「CPU ID」が必要となるため、管理ポータルの「Dashboard」よりコピーします。
| 項目 | 入力 |
|---|---|
| UUID | Dashboardよりコピーします |
| CPUID | Dashboardよりコピーします |
| Number of vCPU | オーダー時に選択したバージョンを選択します |
| Memory | オーダー時に選択したバージョンを選択します |
| PAN-OS Release | オーダー時に選択したバージョンを選択します |
| Virtual Platform | KVMを選択します |
続いて「Device」→「ライセンス」へ移動し、ライセンス管理の「ライセンス サーバーからライセンス キーを取得」をクリックし、ライセンスキーを取得します。
ポリシーの設定
ネットワークポリシー設定を行う場合は、「Policies」→「セキュリティ」へ移動します。
デフォルトで「intrazone-default」が定義されており、上位から評価されます。
追加には、左下の追加をクリックし、以下の項目を入力します。
- 全般
| 項目 | 値 |
|---|---|
| 名前 | ルールの名前を入力します |
| ルールタイプ | "Universal" を選択します。これにより全ての通信にルールを適用します。 |
- 送信元
| 項目 | 値 |
|---|---|
| 送信元ゾーン | 指定する場合、「追加」をクリックします。指定しない場合、「いずれか」にチェックを入れます。 |
| 送信元アドレス | 指定する場合、「追加」をクリックします。指定しない場合、「いずれか」にチェックを入れます。 |
- 宛先
| 項目 | 値 |
|---|---|
| 宛先ゾーン | 指定する場合、「追加」をクリックします。指定しない場合、「いずれか」にチェックを入れます。 |
| 宛先アドレス | 指定する場合、「追加」をクリックします。指定しない場合、「いずれか」にチェックを入れます。 |
- アプリケーション
| 項目 | 値 |
|---|---|
| アプリケーション | 指定する場合、「追加」をクリックします。指定しない場合、「いずれか」にチェックを入れます。 |
- サービス/URLカテゴリ
| 項目 | 値 |
|---|---|
| サービス | 指定する場合、「追加」をクリックします (定義は「Objects」→「サービス」)。指定しない場合、「any」を指定します。 |
| URLカテゴリ | 指定する場合、「追加」をクリックします(定義は「Objects」→「URLカテゴリ」)。指定しない場合、「いずれか」にチェックを入れます。 |
- アクション
| 項目 | 値 |
|---|---|
| アクション設定 | ポリシーが適用された際のアクションを選択します。 |
| プロファイル設定 | 使用するプロファイルを選択します。(定義は「Objects」→「セキュリティ プロファイル」) |
| ログ設定 | ログ出力のタイミングを指定します。ログを転送する場合、転送先を指定します(定義は「Objects」→「ログ転送」)。 |
以上で設定が完了となります。