管理

概要
ネットワークオブジェクト
サービスオブジェクト
セキュリティルール
レビュー&送信
Rule Approval
コミット

概要

本機能では、［設定］→［FWAサーバー］→［装置ルール］機能において、CLIまたはAPIで接続を確立しているファイアウォール装置に対して、
Firewall Analyzerから、オブジェクトやルールの追加/編集/削除を行います。

本機能のサポート対象装置は、こちらのページをご確認ください。

ネットワークオブジェクト

本タブでは、ネットワークオブジェクトの追加やファイアウォールに設定されている既存オブジェクトの編集や削除を行います。

ネットワークオブジェクトの追加

［ローカルオブジェクト］画面右上の［追加］をクリック
［ネットワークオブジェクトの追加］画面で以下の項目を選択、入力
サポート装置に応じて、表示される項目が異なります。
- タイプ：Address Group、IP Host、IP Range、Domain
- アドレスグループ名
- アドレスの説明
- メンバーリスト（メンバーの選択から指定します）
［追加］をクリック
※追加後は、［ローカルオブジェクト］ならびに［レビュー&送信］タブに追加されます。
※追加だけでは、対象装置にオブジェクトは反映されません。

既存ネットワークオブジェクトの編集

［ローカルオブジェクト］または［ファイアウォールオブジェクト］を選択
※［ファイアウォールオブジェクト］は対象のファイアウォールに既に設定されている設定情報です。
［アクション］から編集アイコンをクリックし、アドレス情報などを任意に変更
※オブジェクトタイプの変更はできません。
［追加］をクリック
※追加後は、［ローカルオブジェクト］ならびに［レビュー&送信］タブに追加されます。
※この時点では、対象装置に変更内容は反映されません。

既存ネットワークオブジェクトの削除

［ローカルオブジェクト］または［ファイアウォールオブジェクト］を選択
［アクション］から削除アイコンをクリック
確認のダイアログが表示され、OKをクリック
※画面上のオブジェクトが［ローカルオブジェクト］の一覧から削除されます。
※この時点では、対象のファイアウォールから削除されません。
※［ファイアウォールオブジェクト］から削除アクションを行なった場合、［レビュー&送信］タブに追加されます。

サービスオブジェクト

本タブでは、サービスオブジェクトの追加やファイアウォールに設定されている既存オブジェクトの編集/削除を行います。

サービスオブジェクトの追加

［ローカルオブジェクト］画面右上の［追加］をクリック
［サービスオブジェクトの追加］画面で以下の項目を選択/入力
※サポート機器に応じて、表示される項目が異なります。
- タイプ：TCP Service、UDP Service、Service Group
- サービス名/サービスグループ名
- サービスの説明
- サービスポート/メンバーリスト（メンバーの選択から指定します）
［追加］をクリック
※追加後は、［ローカルオブジェクト］ならびに［レビュー&送信］タブに追加されます。
※追加だけでは、対象装置にオブジェクトは反映されません。

既存サービスオブジェクトの編集

［ローカルオブジェクト］または［ファイアウォールオブジェクト］を選択
※［ファイアウォールオブジェクト］は対象のファイアウォールに実装されている設定情報です。
［アクション］から編集アイコンをクリックし、サービスポート情報などを任意に変更
※サービスタイプやサービス名の変更はできません。
［追加］をクリック
※追加後は、［ローカルオブジェクト］ならびに［レビュー&送信］タブに追加されます。
※この時点では、対象装置に変更内容は反映されません。

既存サービスオブジェクトの削除

［ローカルオブジェクト］または［ファイアウォールオブジェクト］を選択
［アクション］から削除アイコンをクリック
確認のダイアログが表示され、OKをクリック
※画面上のオブジェクトが［ローカルオブジェクト］の一覧から削除されます。
※この時点では、対象のファイアウォールから削除されません。
※［ファイアウォールオブジェクト］から削除アクションを行なった場合、［レビュー&送信］タブに追加されます。

セキュリティルール

本タブでは、ルール（ポリシー）の追加や対象装置に設定されている既存ルールの編集/削除を行います。

ルールの追加

［ローカルルール］画面右上の［追加］をクリック
［装置の追加ルール］画面で以下の項目を選択/入力
※サポート装置に応じて、表示される項目が異なります。
- ルール名/ポリシー名
- ルールアクション：accept/permit、deny、drop
- ルールステータス：有効、無効
- ルールポジション
- 送信元/宛先アドレス、インターフェースゾーン
- サービス
- VPN：VPNコミュニティ
- NAT：No NAT、Enable NAT、Use Central NAT Table
- ログ転送
- インストール先
［保存］をクリック
※ローカルルールに追加されます。
※追加後は、［ローカルオブジェクト］ならびに［レビュー&送信］タブに追加されます。
※保存だけでは、対象装置にルールは反映されません。

ルール作成の際に、［追加（Add）］より、既存で作成されているオブジェクトの選択、または作成画面上で新規にオブジェクトを作成することができます。

既存ルールの編集

［ローカルルール］または［ファイアウォールルール］を選択
※［ファイアウォールルール］は対象のファイアウォールに実装されている設定情報です。
［アクション］から編集アイコンをクリックし、各アクションやオブジェクト情報を任意に変更
※［ファイアウォールルール］を編集する場合、ルール名の変更はできません。
［保存］をクリック
※追加後は、［ローカルオブジェクト］ならびに［レビュー&送信］タブに追加されます。
※この時点では、対象装置に変更内容は反映されません。

既存ルールの削除

［ローカルルール］または［ファイアウォールルール］を選択
［アクション］から削除アイコンをクリック
確認のダイアログが表示され、OKをクリック
※画面上のルールが一覧から削除されます。
※［ファイアウォールオブジェクト］から削除アクションを行なった場合、［レビュー&送信］タブに追加されます。
※この時点では、対象装置からルールは削除されません。

レビュー&送信

新規追加、編集、削除予定のオブジェクトとルールは、それぞれ［ローカルオブジェクト］と［ローカルルール］に追加されます。
加えて、［レビュー&送信］タブにも追加されます。

［レビュー&送信］タブで、対象のオブジェクトまたはルールにチェックを入れて、画面右上の［送信］をクリックすることで、対象のファイアウォールに設定を送信します。
編集や削除もこのタブから実行できます。

Palo Alto、Check Pointを管理対象としてご利用の場合には、以下の点に留意してください。

Palo Alto（APIの場合）
Palo Alto（CLIの場合）
Check Point（APIの場合）
Check Point（CLIの場合）

Palo Alto（APIの場合）

［送信］画面の表示を確認
以下の各項目に適切な値を入力
Select Device：対象装置（編集不可）
Mode：API
Web Server URL：Palo AltoのWebサーバーURL
Username：Webサーバーのユーザー名
Password：Webサーバーのパスワード
［検証（Validate）］をクリック
［送信］の表示を確認
認証情報が適切な場合に表示されます。
［送信］をクリック
選択したオブジェクトまたはルールが適用されます。

Palo Alto（CLIの場合）

［送信］画面の表示を確認
以下の各項目に適切な値を入力
Select Device：対象装置（編集不可）
Mode：CLI
Protocol：SSH、Telnet
Login Name：Palo Altoのログイン名
Password：Palo Altoのパスワード
Prompt：プロンプト情報
［Additional］画面で必要に応じて、以下の値を入力
Port
Login Prompt
Password Prompt
Enable User Prompt
Enable Password Prompt
Banner Prompt
Banner Input
Timeout
Enable Command
Enable Username
Enable Password
Enable Prompt
Pre-execution commands
Managed by Panorama
［検証（Validate）］をクリック
［送信］の表示を確認
認証情報が適切な場合に表示されます。
［送信］をクリック
選択したオブジェクトまたはルールが適用されます。

Check Point（APIの場合）

［送信］画面の表示を確認
以下の各項目に適切な値を入力
Select Device：対象装置（編集不可）
Mode：API
Management Server URL / Multi-Domain Server URL：Check Pointの管理サーバーURL。multi-domain環境の場合には、Multi-DomainサーバーのURLを入力
Login Name：管理サーバーのユーザー名
Password：管理サーバーのパスワード
Domain Name：ドメインが設定されている場合には、チェックを入れ、ドメイン名を入力
［検証（Validate）］をクリック
［送信］の表示を確認
認証情報が適切な場合に表示されます。
［送信］をクリック
選択したオブジェクトまたはルールが適用されます。

Check Point（CLIの場合）

［送信］画面の表示を確認
以下の各項目に適切な値を入力
Select Device：対象装置（編集不可）
Mode：CLI
Protocol：SSH、Telnet
Port：選択したプロトコルのポート番号
Management Server IP：Check Pointの管理サーバーIPアドレス
Login Name：管理サーバーのログイン名
Login Password：管理サーバーのパスワード
Security Management Administrator Username
Security Management Administrator Password
Prompt
Timeout
Domain Name
［検証（Validate）］をクリック
［送信］の表示を確認
認証情報が適切な場合に表示されます。
［送信］をクリック
選択したオブジェクトまたはルールが適用されます。

Rule Approval

ファイアウォールのルールやオブジェクトを変更する際に、ユーザー間での承認プロセスを実現します。

承認依頼者の設定

管理者（Administrator）権限のユーザーアカウントに対して、以下のいずれかの権限を付与します。

Add/Edit/Delete Rules or Objects
ルールやオブジェクトの追加、変更、削除のみを行い、承認や装置への投入（プッシュ）はできません。
変更依頼の際は、承認者（Approver）へ承認依頼を送信します。
Approve Privilege
ルールやオブジェクトの追加、変更、削除に加え、自身で変更内容を投入（プッシュ）することや、他ユーザーからのリクエストを承認、拒否します。

デフォルトのadminアカウントで、［ルール管理］→［管理］→［Rule Approval］画面右上の［設定］より、
対象装置への上記の承認権限を付与することができます。

承認リクエストの送信

管理者権限のユーザー、承認者にリクエストを送信する流れは以下の通りです。

ネットワークオブジェクト、サービスオブジェクト、セキュリティルールで、追加、編集を実施
［レビュー&送信］タブに追加されます。
追加された変更対象にチェックを付け、画面右上の［Raise Request］をクリック
承認者（Approver）とプライオリティ（Low、通常、High）を選択し、［Raise］をクリック
選択した承認者に、リクエストが送信されます。

リクエストの承認、拒否、投入

依頼者からのリクエストは、承認者のユーザーアカウントの画面で承認や拒否、変更の投入を行うことができます。

［ルール管理］→［管理］→［Rule Approval］→［保留中のリクエスト］画面で、リクエスト内容を表示
対象のリクエストをチェックし、画面右上の［Approve/Reject Request］をクリック
以下の中から、リクエストへの操作を実行
- 拒否
  対象のリクエストを拒否します。
- 承認
  対象のリクエストを承認します。
  承認のみで、対象装置への投入（プッシュ）は行われません。承認されたリクエストは、依頼者が投入（プッシュ）します。
- Approval&Push
  対象のリクエストを承認し、装置へ変更を投入（プッシュ）します。