パロアルトネットワークスの次世代ファイアウォールでは、SSL/TLSおよびSSH暗号化トラフィックを検査して制御することができます。弊社の復号化機能を使用すれば、暗号化トラフィック内に潜んでいる脅威を食い止めることができ、また、機密内容の組織外への流出も防止できます。

復号化するトラフィックは(組織または法令の要件に基づいて)お客様が制御でき、ユーザーへの通知やオプトアウト オプションもあります。復号化されたトラフィックのコピーをDLPまたはフォレンジック/コンプライアンス システムに「ミラーリング」することもできます。ファイアウォールでは、特定の暗号スイートやプロトコル バージョンなどの強力な暗号化オプションの使用を強制することができます。

復号化の制御

復号化は、URLカテゴリ、接続元、接続先、ユーザー、ユーザー グループおよびポートに基づいて選択的に制御(有効化または無効化)できます。制御は、ファイアウォールの復号化ポリシーで設定されます。復号化使用許可ポリシーと一致する接続では、ユーザーが「オプトアウト」できるオプションがあります(ユーザーがオプトアウトすると、そのセッションは終了します)。

復号化ポリシー(復号化する接続を指定)の他に、復号化プロファイルを割り当てて、ポリシーによって制御されるセッションのさまざまなオプションを制御できます。たとえば、特定の暗号化スイートの使用や、暗号化プロトコル バージョンが必要になる場合があります。

復号化トラフィックの制御

SSL/TLSトラフィックが選択的に復号化されると、通常のApp-ID™やセキュリティ ポリシー(脅威防御、WildFire™への転送、URLフィルタリング、ファイル ブロッキング プロファイルなど)が適用されます。このトラフィックは、ファイアウォールを出るときに再暗号化されます(サーバーまたはクライアントのいずれかに向かいます)。

復号化されたSSHトラフィックはコンテンツや脅威の検査を受けませんが、設定されているセキュリティ ポリシーに応じて、SSHトンネリング(ポート フォワーディング)を検出してブロックできます。



復号ポート ミラーリング

復号化されたトラフィックのコピーは、設定済みのファイアウォール インターフェイスに「ミラーリング」できます*。これは、サードパーティDLPまたはフォレンジック/コンプライアンス システムを統合する際に便利です。復号化ファイアウォール トラフィックすべてをミラーリングするオプション、またはすべてのセキュリティ ポリシー適用後にファイアウォールによって転送されたトラフィックのみをミラーリングするオプションを使用できます。

この機能は、すべての次世代ファイアウォールで使用できます。

*復号化ポート ミラーリングは、PA-7000シリーズ、PA-5000シリーズ、およびPA-3000シリーズでのみ使用できます。

詳細な分析・アーカイブ化のためのSSLトラフィックのオフロード

攻撃証拠の保全や履歴保持の目的や、情報漏洩・流出防止(DLP)機能のために、データ全体のキャプチャが必要な場合、 ポートミラーリング機能を使ってNetWitnessやSoleraなどサードパーティのソリューションにSSLトラフィックのコピーを渡し、 さらにきめ細かい分析アーカイブ化を実行できます。PA-5000シリーズとPA-3000シリーズでのみサポート 

 


SSHトラフィックの識別と制御

パロアルトのエンタープライズ向けセキュリティ プラットフォームでは、SSHでトンネリングされたトラフィックに対してポリシーベースの識別・制御を実行できます。SSH内でポート フォワーディングやX11フォワーディングをSSHトンネルとして検知する際にはMITM方式が用いられます。また、リモートマシンへの通常のシェルやscpおよびsftpによるアクセスはSSHとしてレポートされます。デフォルトでは、SSH制御は無効に設定されています。

 



 

パロアルトネットワークス管理者ガイド日本語版

このガイドで、パロアルトネットワークスのファイアウォールのWeb管理画面の使用方法を説明します。対象は設置、運用管理、メンテナンスを行うシステム管理者向けです。 ※このページで提供する管理者ガイドが最新版でない可能性があります。最新版に関しては、製品をご購入された販売代理店にご相談ください。  

  • 0
  • 7142

PA-800 シリーズ

主なセキュリティ機能: すべてのアプリケーションをすべてのポートで常時識別 • 使用されているポートや暗号化(SSLまたはSSH)、セキュリティの回避技術に関わらず、アプリケーションを識別します。 • 許可、拒否、スケジュール、スキャン、帯域制御の適用などのセキュリティ ポリシー決定の要素として、ポートではなくアプリケーションを使用します。 • 不明なアプリケーションを、ポリシー制御、脅威のフォレンジック、またはApp-ID™アプリケーション識別テクノロジの開発が行えるよう分類します。

  • 0
  • 5870

PA-3000シリーズ スペックシート

PA-3000シリーズの主な機能、パフォーマンスと容量、および仕様。

  • 0
  • 4514

PA-5200 シリーズ

パロアルトネットワークス® PA-5200シリーズの次世代ファイアウォール アプライアンスは、PA-5260、PA-5250、PA-5220から構成されており、高速データセンター、インターネット ゲートウェイ、およびサービス プロバイダでの導入に適しています。PA-5200シリーズは、ネットワーキング、セキュリティ、脅威からの防御と管理の重要な機能領域専用の処理機能とメモリを使用して、最大80Gbpsのスループットを提供します。

  • 0
  • 2455