Palo Altoファイアウォールによるセキュアなアクセスの設定
はじめに
このドキュメントでは、Palo Altoファイアウォールを使用してセキュアアクセスを設定する方法について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Palo Alto 11.xバージョンのファイアウォール
- セキュアなアクセス
- Cisco Secure Client:VPN(トンネルモード)
- Cisco Secureクライアント – ZTNA
- クライアントレスZTNA
使用するコンポーネント
このドキュメントの情報は、次のハードウェアに基づくものです。
- Palo Alto 11.xバージョンのファイアウォール
- セキュアなアクセス
- Cisco Secure Client:VPN(トンネルモード)
- Cisco Secureクライアント – ZTNA
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
セキュアなアクセス – Palo Alto
シスコは、プライベートアプリケーション(オンプレミスとクラウドベースの両方)を保護し、アクセスを提供するセキュアなアクセスを設計しました。また、ネットワークからインターネットへの接続も保護します。これは、複数のセキュリティ方式とレイヤの実装によって実現されます。すべての目的は、クラウド経由でアクセスする情報を保持することです。
設定
セキュアアクセスでのVPNの設定
Secure Accessの管理パネルに移動します。
セキュアアクセス – メインページ
- クリック
[接続] > [ネットワーク接続]
セキュアなアクセス:ネットワーク接続
Network Tunnel Groupsの下で、+ Addをクリックします。
セキュアアクセス – ネットワークトンネルグループ
トンネルグループ名、リージョン、およびデバイスタイプの設定- [Next] をクリックします。
注:ファイアウォールの場所に最も近い地域を選択してください。
トンネルIDの形式とパスフレーズの設定- [Next] をクリックします。
- ネットワーク上で設定したIPアドレス範囲またはホストを設定し、トラフィックをセキュアアクセス経由で通過させる
- [Save] をクリックします。
セキュアアクセス – トンネルグループ – ルーティングオプション
Saveをクリックすると、トンネルに関する情報が表示されます。この情報を保存して、次のステップ「Palo Altoでのトンネルの設定」に進んでください。
トンネルデータ
Palo Altoでのトンネルの設定
トンネルインターフェイスの設定
Palo Altoダッシュボードに移動します。
ネットワーク>インターフェイス>トンネル[Add] をクリックします。
Configメニューで、仮想ルータ、セキュリティゾーンを設定し、サフィックス番号を割り当てます
IPv4で、ルーティング不能IPを設定します。たとえば、169.254.0.1/30を使用できますOKをクリックします
その後、次のように設定できます。
このように設定されている場合は、Commitをクリックして設定を保存し、次のステップであるConfigure IKE Crypto Profileから続行できます。
IKE暗号化プロファイルの設定
暗号化プロファイルを設定するには、次の場所に移動します。
Network > Network Profile > IKE Cryptoの順に選択します追加をクリック
- 次のパラメータを設定します。
Name:プロファイルを識別する名前を設定します。DHグループ:group19認証:非認証暗号化:aes-256-gcmタイマー
キーのライフタイム:8時間IKEv2認証:0
- すべての設定が完了したら、
OKをクリックします
このように設定されている場合は、Commitをクリックして設定を保存し、次のステップ「IKEゲートウェイの設定」に進みます。
IKEゲートウェイの設定
IKEゲートウェイを設定するには
Network > Network Profile > IKE Gateways追加をクリック
- 次のパラメータを設定します。
Name:Ikeゲートウェイを識別する名前を設定します。バージョン:IKEv2専用モードアドレスタイプ:IPv4Interface:インターネットWANインターフェイスを選択します。Local IP Address:インターネットWANインターフェイスのIPを選択します。ピアIPアドレスタイプ:IPPeer Address:Primary IP Datacenter IP AddressのIPを使用します。これは、Tunnel Dataの手順で指定します。認証:事前共有キー事前共有キー(PSK):ステップ「トンネルデータ」で指定したパスフレーズを使用します。Confirm Pre-shared Key:ステップ「Tunnel Data」で指定したパスフレーズを使用します。Local Identification:User FQDN (Email address)を選択し、ステップTunnel Dataで指定したPrimary Tunnel IDを使用します。ピアの識別:IPアドレスを選択し、プライマリIPデータセンターのIPアドレスを使用します。
ClickAdvancedオプションNATトラバーサルの有効化- ステップ
Configure IKE Crypto Profileで作成したIKE Crypto Profileを選択します。 活性チェックのチェックボックスをオンにします。- [OK] をクリックします。
このように設定されている場合は、Commitをクリックして設定を保存し、次のステップ「Configure IPSEC Crypto」に進みます。
IPSEC暗号化プロファイルの設定
IKEゲートウェイを設定するには、Network > Network Profile > IPSEC Cryptoの順に選択します。
追加をクリック
- 次のパラメータを設定します。
Name:名前を使用して、セキュアアクセスIPSecプロファイルを識別しますIPSecプロトコル:ESP暗号化:aes-256-gcmDHグループ:no-pfs、1時間
- [OK] をクリックします。
このように設定されている場合は、Commitをクリックして設定を保存し、次のステップ「IPSecトンネルの設定」に進みます。
IPSecトンネルの設定
IPSecトンネルを設定するには、Network > IPSec Tunnelsの順に選択します。
- [Add] をクリックします。
- 次のパラメータを設定します。
Name:セキュアアクセストンネルを識別する名前を使用しますTunnel Interface:ステップで設定したトンネルインターフェイスを選択します。Configure the tunnel interface.タイプ:オートキーアドレスタイプ:IPv4IKE Gateways:ステップ「Configure IKE Gateways」で設定したIKEゲートウェイを選択します。IPsec Crypto Profile:ステップ「Configure IPSEC Crypto Profile」で設定したIKEゲートウェイを選択します。詳細オプションのチェックボックスをオンにするIPSec Mode Tunnel:Tunnelを選択します。
- [OK] をクリックします。
注意:プロキシIDはサポートされていません。セキュアアクセスを使用したPalo Alto IPSECトンネルでは、プロキシIDを使用した設定は避けてください。
VPNが正常に作成されたら、「ポリシーベースの転送の設定」の手順に進みます。
ポリシーベースの転送の設定
ポリシーベースの転送を設定するには、Policies > Policy Based Forwardingの順に移動します。
- [Add] をクリックします。
- 次のパラメータを設定します。
一般Name:名前を使用して、セキュアアクセス、ポリシーベース転送(発信元によるルーティング)を識別します。
出典ゾーン:送信元に基づいてトラフィックをルーティングする計画があるゾーンを選択します発信元アドレス:発信元として使用する1つまたは複数のホストを設定します。送信元ユーザ:トラフィックをルーティングするユーザを設定します(該当する場合のみ)。
宛先/アプリケーション/サービス宛先アドレス:Anyのままにするか、セキュアアクセス(100.64.0.0/10)のアドレス範囲を指定できます
フォワーディングアクション:転送出力インターフェイス:ステップ「トンネルインターフェイスの設定」で設定したトンネルインターフェイスを選択します。.ネクストホップ:なし
- 「
OK」をクリックして、確定します。
これで、Palo Altoですべてが設定されました。ルートを設定した後、トンネルを確立できます。次に、Secure Access DashboardでRA-VPN、Browser-Based ZTA、またはClient Base ZTAの設定を続行する必要があります。
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
31-Jan-2024
|
初版 |
フィードバック