NACの設定

Palo Alto Networksのレイヤ3ファイアウォールDAG NACまたはCisco Identity Services Engine (ISE)のpxGrid NACを設定します。NACの設定後、エンドポイントの隔離を開始できます。

NACを作成または編集するにはNetwork Quarantine管理者ロールが必要です。ユーザーロールの要件を参照してください。

Palo Alto Networksレイヤ3ファイアウォールDAG NAC

Palo Alto Networks Dynamic Address Group (DAG)を使用している場合、Network QuarantineはPalo AltoにIPアドレスのネットワークアクセスをブロックする要求を送信できます。

Palo Alto Networks Panoramaはサポートされていません。

使用を開始する前に

Network QuarantineでPalo Alto DAG NACを設定する前に、次のものが必要です。 

  • ファイアウォールのホスト名、ユーザー名、およびパスワード。
  • ファイアウォール上に構成された隔離されたエンドポイントに適用するタグ。
  • 必要な証明書が設定されている。Network Quarantine構成にファイアウォールを追加するには、サーバ証明書が必要です。以下のPAN文書を参照してください:証明書管理

Palo Alto NetworksのファイアウォールAPIへのアクセスを設定する

 APIアクセス権を持つ管理者ユーザーをPANファイアウォール内で作成します。ネットワーク隔離のNACを設定するときにこのユーザーを指定します。

  1. PANファイアウォールに管理者としてログインします。
  2. WebUI権限のない管理者ロールを作成します。XML API権限の場合、[Operational Requests (操作要求)]および[UserID-Agent]しか選択できません。
  3. 新しい管理者ユーザーとパスワードを追加します。[Profile (プロファイル)]を、新しいユーザーに作成した管理者ロールに設定します。
  4. [Commit (コミット)]をクリックして変更を保存します。
  5. ユーザーのAPIキーを取得します。以下のPAN文書を参照してください:APIキーの取得

証明書を設定する

  1. ファイアウォール証明書をダウンロードします。
  2. Network Quarantineメニューから、[Configuration (構成)] > [Certificates (証明書)] > [Create Certificate (証明書の作成)]をクリックします。
  3. 証明書の名前を作成します。[Certificate Type (証明書タイプ)]では、[Server Certificate / Certificate Chain (サーバ証明書/証明書チェーン)]を選択します。証明書をアップロードします。[Save (保存)]をクリックします。

 

 

NAC設定を編集するには、最初にNACを停止する必要があります。

Palo Alto DAGタガーを設定する

  1. Network Quarantineメニューから、[Configuration (構成)] > [NAC]をクリックします。[Create NAC (NACの作成)]をクリックします。

  2. NACタイプの場合、[Palo Alto DAG Tagger]を選択します。NACの表示名を入力して、Network Quarantineサービスが再起動したとき、NACを有効にして再起動するかどうかを選択します。
  3. Palo Alto DAG NAC設定を編集します。設定したPAN APIユーザー名とパスワードおよび、Network Quarantineにアップロードした証明書を使用します。NACに送信するタグのリストを指定します。[Save (保存)]をクリックします。



  4. NACを開始します。リストからNACを選択し、[Start (開始)]をクリックします。

NAC設定を編集するには、最初にNACを停止する必要があります。

Cisco Identity Services Engine(ISE) pxGrid NAC

Cisco ISE pxGrid NACを設定するには、自己署名証明書またはサーバ署名証明書を使用できます。NACを設定すると、ISEで設定されている適応型ネットワーク制御(ANC)ポリシーで、特定のMACアドレスを隔離できます。

ユーザーインターフェイス、またはSSHを使用して、ISEにログインすることができます。

サーバおよびクライアントの自己署名証明書の作成

ISEでは、サーバ認証とクライアント認証の両方で自己署名証明書を使用できます。

  1. サーバから自己署名証明書を取得します。ISE UIで、[Administration (管理)] > [Certificates(証明書)] > [System Certificates (システム証明書)]に進みます。証明書が必要な場合は、UIから公開証明書をエクスポートします。
  2. クライアント用に自己署名証明書を生成します。
    1. シスココミュニティ:pxGridを使用した証明書のデプロイを参照してください。
    2. ISE UIでは、[Administration (管理)] > [Certificates (証明書)] > [System Certificates (システム証明書)]に進み、証明書を[Trusted Certificates (信頼できる証明書)]セクションにアップロードします。
  3. pxGrid証明書を変更した場合は、ISEサーバを再起動してください。Cisco ISEクライアントコマンド:開始/停止コマンドを参照してください。
  4. Network Quarantineで証明書構成を作成するための、サーバ証明書、クライアント証明書、およびクライアントキーがあることを確認します。

署名付き証明書を生成する

Network QuarantineでNACを設定した場合、pxGrid証明書を生成して、証明機関(CA)として提供します。

  1. pxGrid UIで、[Administration (管理)] > [pxGrid Services (pxGridサービス)] > [Certificates (証明書)]に進みます。1つの証明書を生成します(証明書署名要求(CSR)なし)。Common Name (CN)には、IPアドレスなどの識別値を使用します。PEMダウンロード形式を選択します。証明書のパスワードを入力します。
  2. [Create (作成)]をクリックして、サーバ証明書を含むZIPファイルをダウンロードします。このZIPファイルを解凍して、Network Quarantineで設定する必要があるサーバ証明書を取得します。

Network Quarantineで証明書を構成する

Network Quarantineでサーバ証明書とクライアント証明書を作成します。

  1. Network Quarantineメニューから、[Configuration (構成)] > [Certificates (証明書)]をクリックします。
  2. クライアント証明書を作成します。[Create Certificate (証明書の作成)]をクリックします。証明書の名前を作成します。[Certificate Type (証明書タイプ)]では、[Client Certificate (クライアント証明書)]を選択します。クライアント証明書とキーをアップロードします。[Save (保存)]をクリックします。
  3. サーバ証明書を作成します。[Create Certificate (証明書の作成)]をクリックします。証明書の名前を作成します。[Certificate Type (証明書タイプ)]では、[Server Certificate / Certificate Chain (サーバ証明書/証明書チェーン)]を選択します。pxGridウェブ管理UIで作成したpxGrid証明書をアップロードします。[Save (保存)]をクリックします。


pxGrid NACを設定する

  1. Network Quarantineメニューから、[Configuration (構成)] > [NAC]をクリックします。[Create NAC (NACの作成)]をクリックします。

  2. NACタイプでは、[Cisco ISE pxGrid NAC]を選択します。NACの表示名を入力して、Network Quarantineサービスが再起動したとき、NACを有効にして再起動するかどうかを選択します。
  3. Cisco ISE pxGrid NAC設定を編集します。
    設定したクライアント証明書を選択します。[Certificate Authority (証明機関)]では、設定したサーバ証明書を選択します。自己署名証明書を使用している場合は、[Check Server Identity (サーバIDの確認)]の選択を解除します。



  4. NACを開始します。リストからNACを選択し、[Start (開始)]をクリックします。

  5. NAC設定を編集するには、最初にNACを停止する必要があります。

次にやるべきこと

Network QuarantineでNACを設定後、エンドポイントの隔離を開始できます。エンドポイントの隔離を参照してください。

最終更新:2019/06/0510:24| フィードバック

Powered by Translations.com GlobalLink OneLink Software