Paloalto でセキュリティポリシーの設定を投入する際に利用する CLI コマンドをまとめてみました。
PAN-OSは [10.2.3] を利用しています。
セキュリティポリシーの作成
各設定値に対して1行ずつ設定が必要になります。
今回はポリシーを利用するにあたってよく設定を入れる箇所について記載しています。
#送信元ゾーンの指定
set rulebase security rules <セキュリティポリシー名> from <送信元ゾーン名>
#宛先ゾーンの指定
set rulebase security rules <セキュリティポリシー名> to <宛先ゾーン名>
#送信元アドレスの指定
set rulebase security rules <セキュリティポリシー名> source <送信元IPアドレス(オブジェクトの指定も可)>
#宛先アドレスの指定
set rulebase security rules <セキュリティポリシー名> destination <宛先IPアドレス(オブジェクトの指定も可)>
#URLカテゴリの設定
set rulebase security rules <セキュリティポリシー名> category <URLカテゴリ名>
#アプリケーションの設定
set rulebase security rules <セキュリティポリシー名> application <アプリケーション名>
#サービスの設定
set rulebase security rules <セキュリティポリシー名> service <サービス名>
#アクションの設定
set rulebase security rules <セキュリティポリシー名> action <allow or deny>
#ログ設定(開始時にログ)
set rulebase security rules <セキュリティポリシー名> log-start <yes or no>
#ログ設定(開始時にログ)
set rulebase security rules <セキュリティポリシー名> log-end <yes or no>
#ログ転送設定
set rulebase security rules <セキュリティポリシー名> log-setting <ログ転送名>・記載例
set rulebase security rules SecurityPolicy01 from Trust
set rulebase security rules SecurityPolicy01 to Untrust
set rulebase security rules SecurityPolicy01 source [ 11.11.11.11 11.11.11.12 ]
set rulebase security rules SecurityPolicy01 destination any
set rulebase security rules SecurityPolicy01 category any
set rulebase security rules SecurityPolicy01 application any
set rulebase security rules SecurityPolicy01 service any
set rulebase security rules SecurityPolicy01 action allow
set rulebase security rules SecurityPolicy01 log-start yes
set rulebase security rules SecurityPolicy01 log-end yes
set rulebase security rules SecurityPolicy01 log-setting Logset01上記の送信元アドレスの設定値のようにリスト形式で指定することも可能です。
その他の設定項目
プロファイルなどのその他の設定についても参考として記載しておきます。
#サーバーレスポンス検査の無効化
set rulebase security rules <セキュリティポリシー名> option disable-server-response-inspection <yes or no>
#URLフィルタリングプロファイルの設定
set rulebase security rules <セキュリティポリシー名> profile-setting profiles url-filtering <URLフィルタリングプロファイル名>
#ファイルブロッキングプロファイルの設定
set rulebase security rules <セキュリティポリシー名> profile-setting profiles file-blocking <ファイルブロッキングプロファイル名>
#アンチウイルスプロファイルの設定
set rulebase security rules <セキュリティポリシー名> profile-setting profiles virus <アンチウイルスプロファイル名>
#アンチスパイウェアプロファイルの設定
set rulebase security rules <セキュリティポリシー名> profile-setting profiles spyware <アンチスパイウェアプロファイル名>
#脆弱性プロファイルの設定
set rulebase security rules <セキュリティポリシー名> profile-setting profiles vulnerability <脆弱性プロファイル名>セキュリティポリシーの削除
一括削除
セキュリティポリシーそのものを削除したい場合には、セキュリティポリシー名を指定するだけで削除可能です。
delete rulebase security rules <セキュリティポリシー名>・記載例
delete rulebase security rules SecurityPolicy01特定の設定のみ削除(送信元アドレスの削除など)
特定のアドレスだけを削除する場合には、引数として削除するアドレスオブジェクトを明示的に記載する必要があります。
#送信元アドレスの削除
delete rulebase security rules <セキュリティポリシー名> source <送信元IPアドレス(オブジェクトの指定も可)>
#宛先アドレスの削除
delete rulebase security rules <セキュリティポリシー名> destination <宛先IPアドレス(オブジェクトの指定も可)>・記載例
delete rulebase security rules SecurityPolicy01 source 11.11.11.11[注意点] 削除でリスト形式は利用できない
セキュリティポリシーにおいても削除する場合にはリスト形式は利用できません。
1つずつ行を分けて削除する必要があります。
リスト形式で削除しようとすると以下のようなエラーが出ます。
なので今回の例を利用すると、[SecurityPolicy01] の送信元アドレスに含まれる [11.11.11.11] と [11.11.11.12] を削除したい場合には、それぞれ削除するコマンドを記載する必要があります。
delete rulebase security rules SecurityPolicy01 source 11.11.11.11
delete rulebase security rules SecurityPolicy01 source 11.11.11.12セキュリティポリシーの順序を指定する
上記のコマンドで作成した場合、ポリシーの末尾に作成されます。
新規作成するセキュリティポリシーを特定の場所に配置したい場合もあるかと思いますので、その場合には「move」コマンドを利用することで特定の順序に移動することが可能です。
#先頭に移動させる
move rulebase security rules <移動させたいポリシー名> top
#<既存のポリシー名>の上(手前)に移動させる
move rulebase security rules <移動させたいポリシー名> before <既存のポリシー名>
#<既存のポリシー名>の下(次)に移動させる
move rulebase security rules <移動させたいポリシー名> after <既存のポリシー名>
#最後尾に移動させる
move rulebase security rules <移動させたいポリシー名> bottom・記載例
move rulebase security rules SecurityPolicy01 top
move rulebase security rules SecurityPolicy01 before test-policy
move rulebase security rules SecurityPolicy01 after test-policy
move rulebase security rules SecurityPolicy01 bottom
コメント