Palo Alto Networks 次世代ファイアウォールはどのような導入の仕方がありますか？

Palo Alto Networks 次世代ファイアウォールでは、L2、L3モードの他、Vwireモード(L1モード)やTAPモード(ミラーポートと接続)など、多彩な導入モードにより、従来型ファイアウォールと共存して利用することが可能です。詳細は下記の構築サービスページをご参照下さい。

既存のファイアウォールの後ろにインラインで導入し、制御を行うことは可能ですか？

はい、既存の構成を崩さず、Palo Alo Networks 次世代ファイアウォールをL1、またはL2で導入することが可能です。

Virtual Wireとは何ですか？

２つのポートで構成される動作モードです。同一Virtual Wireに属するポート間を流れるトラフィックに対してはスイッチングもルーティングもせず、機器は仮想的なケーブルのように振る舞います。尚、トラフィックはセキュリティポリシーにしたがって反対側のポートに転送されます。

同じ筐体にL2とL3モードを同時に利用可能ですか？

Palo Alto Networks 次世代ファイアウォールではインターフェースごとにモードを設定可能です。

VLANをサポートしていますか？

802.1qに対応しております。

ダイナミックルーティングプロトコルに対応していますか？

RIPv2、OSPFv2、OSPFv3、BGPをサポートしています。RIPv1はサポートしていません。

DNSサーバーとして運用できますか？

DNSサーバーとして運用することはできません。

DHCPリレー機能はありますか？

DHCPサーバー機能、DHCPリレー機能とも実装しております。

PPPoE接続は可能ですか？

全機種でPPPoE接続が可能です。また、Palo Alto Networks 次世代ファイアウォールはRFC1661, RFC2516 および NTT東西 PPPoE 技術仕様に準拠しています。

IPv6に対応していますか？

全てのモード(Tapモード、Vwireモード(L1)、L2モード、L3モード)に対応しております。

L3レベルの偵察行為／DoS攻撃を検知／防御することはできますか？

SYN Flood, UDP Flood, ICMP Flood, ICMPv6 Flood ,Other IP Flood, TCP Port Scan, UDP Port Scan, Host Sweepの検知／防御設定が可能です。

SSL経由の攻撃を検知／防御することはできますか？

WebUIのPoliciesタブ > SSL Decryption設定にて、特定のSSL通信を仲介して、デコードして攻撃の有無を検査し、再エンコードして目的のSSLサーバーへ転送という動作が可能になります。

VPNには対応してますか？

Palo Alto Networks 次世代ファイアウォールは拠点間のIPSec VPNと、リモートアクセスのSSL VPNをサポートしております。

ポリシーベースVPN、ルートベースVPNの両方をサポートしていますか？

ルートベースVPNのみサポートしております。

IPSecの暗号化と認証アルゴリズムは何をサポートしてますか？

サポート対象は下記です。暗号アルゴリズム： 3DES（112ビット）、AES-cbc(128/192/256ビット)、AES-ccm(128ビット）、AES-gcm(128/256ビット)、des(56ビット) 認証アルゴリズム： MD5/SHA-1/SHA-256/SHA-384/SHA-512

VPNでハブアンドスポーク構成の場合でも構成可能でしょうか？

ハブアンドスポーク構成も可能です。

リモートアクセスは可能ですか？

AシリーズはSSL-VPN方式とIPSec-VPN方式をサポートします。

SSL-VPNについて、OSの対応状況を教えてください。

下記、メーカURLに最新の情報が掲載されているのでご確認下さい。・GlobalProtect > Where Can I Install the GlobalProtect App? https://docs.paloaltonetworks.com/compatibility-matrix/globalprotect/where-can-i-install-the-globalprotect-app.html

SSL-VPN利用時、DNSはPalo Alto Networks 次世代ファイアウォールで設定したDNSが、プロバイダーDNSより優先されますか？

VPNで渡されるDNSが優先されます。

Palo Alto Networks Products

Q: VLANをサポートしていますか？

802.1qに対応しております。

技術：Networking

Palo Alto Networks 次世代ファイアウォールはどのような導入の仕方がありますか？
Palo Alto Networks 次世代ファイアウォールでは、L2、L3モードの他、Vwireモード(L1モード)やTAPモード(ミラーポートと接続)など、多彩な導入モードにより、従来型ファイアウォールと共存して利用することが可能です。
詳細は下記の構築サービスページをご参照下さい。
- 構築サービス
既存のファイアウォールの後ろにインラインで導入し、制御を行うことは可能ですか？

はい、既存の構成を崩さず、Palo Alto Networks 次世代ファイアウォールをL1、またはL2で導入することが可能です。
Virtual Wireとは何ですか？

２つのポートで構成される動作モードです。同一Virtual Wireに属するポート間を流れるトラフィックに対してはスイッチングもルーティングもせず、機器は仮想的なケーブルのように振る舞います。尚、トラフィックはセキュリティポリシーにしたがって反対側のポートに転送されます。
同じ筐体にL2とL3モードを同時に利用可能ですか？

Palo Alto Networks 次世代ファイアウォールではインターフェースごとにモードを設定可能です。
VLANをサポートしていますか？

802.1qに対応しております。
ダイナミックルーティングプロトコルに対応していますか？

RIPv2、OSPFv2、OSPFv3、BGPをサポートしています。RIPv1はサポートしていません。
DNSサーバーとして運用できますか？

DNSサーバーとして運用することはできません。
DHCPリレー機能はありますか？

DHCPサーバー機能、DHCPリレー機能とも実装しております。
PPPoE接続は可能ですか？
全機種でPPPoE接続が可能です。
また、Palo Alto Networks 次世代ファイアウォールはRFC1661, RFC2516 および NTT東西 PPPoE 技術仕様に準拠しています。
- 詳細はこちら
IPv6に対応していますか？

全てのモード(Tapモード、Vwireモード(L1)、L2モード、L3モード)に対応しております。
L3レベルの偵察行為／DoS攻撃を検知／防御することはできますか？

SYN Flood, UDP Flood, ICMP Flood, ICMPv6 Flood ,Other IP Flood, TCP Port Scan, UDP Port Scan, Host Sweepの検知／防御設定が可能です。
SSL経由の攻撃を検知／防御することはできますか？

WebUIのPoliciesタブ > SSL Decryption設定にて、特定のSSL通信を仲介して、デコードして攻撃の有無を検査し、再エンコードして目的のSSLサーバーへ転送という動作が可能になります。
VPNには対応してますか？

Palo Alto Networks 次世代ファイアウォールは拠点間のIPSec VPNと、リモートアクセスのSSL VPNをサポートしております。
ポリシーベースVPN、ルートベースVPNの両方をサポートしていますか？

ルートベースVPNのみサポートしております。
IPSecの暗号化と認証アルゴリズムは何をサポートしてますか？

サポート対象は下記です。
暗号アルゴリズム： 3DES（112ビット）、AES-cbc(128/192/256ビット)、AES-ccm(128ビット）、AES-gcm(128/256ビット)、des(56ビット)
認証アルゴリズム： MD5/SHA-1/SHA-256/SHA-384/SHA-512
VPNでハブアンドスポーク構成の場合でも構成可能でしょうか？

ハブアンドスポーク構成も可能です。
リモートアクセスは可能ですか？

Palo Alto Networks 次世代ファイアウォールはSSL-VPN方式とIPSec-VPN方式をサポートします。
SSL-VPNについて、OSの対応状況を教えてください。

下記、メーカURLに最新の情報が掲載されているのでご確認下さい。
・GlobalProtect > Where Can I Install the GlobalProtect App?

https://docs.paloaltonetworks.com/
compatibility-matrix/globalprotect/where-can-i-install-the-globalprotect-app.html
SSL-VPN利用時、DNSはPalo Alto Networks 次世代ファイアウォールで設定したDNSが、プロバイダーDNSより優先されますか？

VPNで渡されるDNSが優先されます。
L2インターフェースから、L3インターフェースへの通信は可能ですか？

L2インターフェースが含まれるVLANに仮想インターフェース(VLANインターフェース)を設定し、IPを振ることで、VLANインターフェースを経由してL2とL3間の通信を行うことが可能です。