Paloalto でオブジェクトの設定を投入する際によく利用する CLI コマンドをまとめてみました。
この記事では URLカテゴリ、URLフィルタリングの2つのオブジェクトの CLI コマンドをまとめています。
PAN-OSは [10.2.3] を利用しています。
URLカテゴリ(URLリスト)
URLカテゴリ作成
URLカテゴリのタイプの指定が必要になります
今回は「URLリスト」を指定して、ユーザが指定する URL を登録します。
set profiles custom-url-category <URLカテゴリ名> type 'URL List'
・記載例
set profiles custom-url-category url-category-01 type 'URL List'
注意点(クォーテーションが必要)
[type] の引数である [URL list] は ”(クォーテーション)で囲むことに注意してください。
クォーテーションがないと [URL list] の空白がコマンドとして読み込まれエラーとなります。
URLリスト追加
上記で URLカテゴリを作成したので次にそのカテゴリ内に URL を登録していきます。
set profiles custom-url-category <URLカテゴリ名> list <URL>
・記載例
set profiles custom-url-category url-category-01 list www.google.com
複数の URL を一度に登録したい場合には [] を利用することで一度に登録可能です。
set profiles custom-url-category url-category-01 list [ www.google.com www.yahoo.co.jp ]
各 URL は ” で囲んでも囲まなくても設定可能です。
URLカテゴリ削除
URLカテゴリをオブジェクトごと削除したい場合には、オブジェクト名を指定するだけで削除可能です。
delete profiles custom-url-category <URLカテゴリ名>
・記載例
delete profiles custom-url-category url-category-01
特定のURLのみ削除
特定の URL だけを削除する場合には、引数として削除する URL を明示的に記載する必要があります。
delete profiles custom-url-category <URLカテゴリ名> list <URL>
・記載例
delete profiles custom-url-category url-category-01 list www.google.com
注意点(削除コマンドでリスト形式は利用できない)
複数の URL を削除したい場合にはリスト形式は利用できないので1つの URL ずつ行を分けて削除する必要があります。
リスト形式で削除しようとすると以下のようなエラーが出ます。
なので、今回の例では [url-category-01] に含まれる [www.google.com] と [www.yahoo.co.jp] を削除したい場合には、それぞれ削除するコマンドを記載する必要があります。
delete profiles custom-url-category url-category-01 list www.google.com
delete profiles custom-url-category url-category-01 list www.yahoo.co.jp
URLフィルタリング
URLフィルタリングプロファイル作成
プロファイルの作成自体はプロファイル名を指定するだけで作成可能です。
set profiles url-filtering <URLフィルタリングプロファイル名>
・記載例
set profiles url-filtering url-fitering-01
作成直後の状態だと、「事前定義のカテゴリ」はすべて「Allow」になっています。
なので各カテゴリに対して [block] や [alert] などの指定は別途する必要があります。
なお、プロファイル名の最大文字数は31文字までなのでその点も注意してください。
カテゴリごとのサイトアクセスの許可/拒否
カテゴリごとにサイトアクセスをどのように設定するかはリスト形式で設定可能です。
#alert
set profiles url-filtering <URLフィルタリングプロファイル名> alert <カテゴリ>
#block
set profiles url-filtering <URLフィルタリングプロファイル名> block <カテゴリ>
・記載例
#alert
set profiles url-filtering url-fitering-01 alert [ url-category-01 adult ]
#block
set profiles url-filtering url-fitering-01 block [ url-category-01 adult ]
上記の例ではカスタムカテゴリの [url-category-01] と事前定義済みカテゴリの [adult] の設定を変更しています。
設定値としては [alert] [block] 以外にも [none] [continue] [override] などもあります。
※デフォルトの設定値の [allow] は除いています。
ちなみに [block] を指定すると「ユーザー証明書送信」の設定も [block] となります。
[alert] [continue] [override] も試しましたが、この挙動は [block] を指定した際のみ起こるようです。
また、下部の「[参考] [defaut]プロファイルと同じカテゴリにするコマンド」にデフォルトのカテゴリと同じカテゴリ設定にするコマンドを記載してみましたので参考にしてください。
カテゴリごとのユーザー証明書送信の許可/拒否
カテゴリごとにユーザー証明書送信をどのように設定するかはリスト形式で設定可能です。
#alert
set profiles url-filtering <URLフィルタリングプロファイル名> credential-enforcement alert <カテゴリ>
#block
set profiles url-filtering <URLフィルタリングプロファイル名> credential-enforcement block <カテゴリ>
・記載例
#alert
set profiles url-filtering url-fitering-01 credential-enforcement alert [ url-category-01 adult ]
#block
set profiles url-filtering url-fitering-01 credential-enforcement block [ url-category-01 adult ]
「サイトアクセス」の設定とは異なり、
「ユーザー証明書送信」の設定で [block] を指定しても「サイトアクセス」の設定は [block] にはなりません。
URLフィルタリングプロファイル削除
プロファイルの削除はプロファイル名を指定するだけで削除可能です。
delete profiles url-filtering url-fitering-01
気づいた点(URLフィルタリング設定)
一度サイトアクセスの設定を入れるとCLIでは設定値を変更できない
サイトアクセスの設定で一度 CLI で設定を入れると、設定後に [allow] や [alert] などの別の設定値に変更することができませんでした。
上記では、一度 [block] に設定した後に [allow] や [alert] への設定変更を試してみましたが変更することはできませんでした。
また、一度 [alert] に設定した後に [allow] や [block] への設定変更を試してみましたがこれもダメでした。
webコンソール側では変更できたので、一度変更した設定値は webコンソール上で設定変更するしかないのかなと思います。
デフォルトのプロファイルのコピーはCLIではできない
URLフィルタリングプロファイルには、デフォルトで設定されている [default] というプロファイルが存在しますが、 CLI ではこの [default] プロファイルをコピーすることができませんでした。
そもそも CLI 上では URLフィルタリングプロファイルのリストにないように見えます。
copy コマンド利用時にプロファイルの選択肢に [default] がありません。
ただ、これも webコンソール上からであればコピー可能であるので、 [default] のプロファイルを利用したい場合には、webコンソールを利用してコピーして編集をする必要があるかと思います。
[参考] [defaut]プロファイルと同じカテゴリにするコマンド
2022/11/5時点の [default] のカテゴリ設定では、サイトアクセスのブロックカテゴリは11個、アラートカテゴリは5個でした。
この [default] プロファイルと同じカテゴリにすることができるコマンドを参考として以下にまとめてみました。^^
set profiles url-filtering <URLフィルタリングプロファイル名> alert [ high-risk medium-risk newly-registered-domain cryptocurrency real-time-detection ]
set profiles url-filtering <URLフィルタリングプロファイル名> block [ adult questionable abused-drugs hacking gambling weapons malware phishing command-and-control grayware ransomware ]