AutoTag機能で利用者(IPアドレス)単位でネットワークの利用時間を制限する方法

khayakawa · ‎06-09-2020

PAN-OS 9.0からAutoTag機能にタイマー機能が追加されていますが、AutoTagを使った利用例をご紹介します。

このAutoTag機能を利用することで、各端末(IPアドレス）単位でインターネット利用時間を制限する方法です。

具体的には以下のような制御を行うことが可能です。

利用者が利用し始めてから1日3時間だけインターネット利用が可能。3時間を経過するとその日はインターネット利用できなくなる。

もしくは、
利用者のインターネット利用は最長1時間のみ。1時間経過すると利用不可となる。しかし、その後、1時間経過すると再度インターネットが1時間利用可能となる。

このような制御のニーズとしては、例えば、学校や公衆ネットワークなどでのインターネットの利用時間を制限したり、連続でインターネット利用をやめさせたい場合などには役に立ちます。

上記のような制御を行うことが可能となるのは、AutoTagで付与する各タグにタイマー設定ができることです。

タイマー設定は分単位で指定できます。

上記2の例であれば、具体的には以下のようなAutoTag設定を行えば実現することが可能です。

Tagおよびダイナミックアドレスグループを作成
ここでは例として、PermitとBlockというTagを設定します。また、それぞれのTagが付与されたIPアドレスをセキュリティポリシーで利用するために、それぞれのPermit-AddressGroupとBlock-AddressGroupというアドレスオブジェクトを設定します。
ログ転送プロファイルを作成
Traffic logが生成された時、その送信元IPアドレスに、PermitとBlockの両方のタグを付与する設定を行う。ここでPermitタグは1時間、Blockタグは2時間のタイマーを設定する（ここがポイントです！）
セキュリティルールを設定
セキュリティルールとしては以下の3つが必要です。

　ルール1: 送信元IPアドレスがPermit-AddressGroupの通信を許可（利用開始後、許可するルール）

　ルール2: 送信元IPアドレスがBlock-AddressGroupの通信をブロック（1時間利用後、ブロックするルール）

　ルール3: 送信元Anyの通信を許可し、タグを付与するログ転送プロファイルを設定
　　　　　（利用開始時にTagをつけるルール）

上記の設定を行うことで、以下のような動作となります。

端末から通信を始めると、最初ルール3にヒットし、その結果その端末のIPアドレスに対し、2つのTagが自動的に付与されます。
Tagが付与されることで、そのIPアドレスはPermit-AddressGroupとBlock-AddressGroupの2つに属することになりますが、上記ルール1にヒットすることで通信が許可されます。
1時間経過後、Permitのタグがタイムアウトし削除されます。結果Block-AddressGroupのみに属することになり、結果ルール2により、その端末からの通信がブロックされます。
さらに1時間後、BlockのTagも削除されます。すると、初期状態に戻り、再度その端末が通信を始めると1.から同様の動作が繰り返されます。

いかがでしょうか？

AutoTagの設定方法については、下記のリンクより資料が参照できます。

https://live.paloaltonetworks.com/t5/info/autotag/ta-p/254876

AutoTag機能は、内部で生成されるトラフィックログ、URLフィルタリングログ、脅威ログなどの各種ログをトリガーに自動的にTagを付与することができ、そのTagを利用して動的にセキュリティルール、QoS、PBFなど様々なポリシーを動的に変更させることが可能です。Tagをつけるトリガー、そのタイマー、そしてTagによる制御により、様々なニーズに対しての自動制御が可能になります。是非、ご活用ください。

khayakawa · ‎06-09-2020

このAutoTagを利用した場合の注意点として、AutoTagで動的に適応ポリシーが変更された時、その後の新規セッションに対して適応されます。既存セッションに対しては適応されません。従いまして、AutoTagでブロックポリシーが適応されたとしても、その時点で既存セッションは通信が継続されます。これは、ファイル転送やWeb会議などで時間が来たら強制的に切断されない、という意味ではメリットと考えられますが、課金の為の利用時間を制御するケースなどでは、問題になる可能性もあると思いますので、ニーズに応じてご利用ください。

Englersa · ‎09-13-2022

I appreciate the information and advice you have shared. I will try to figure it out for more.

@khayakawa さんは書きました:
PAN-OS 9.0からAutoTag機能にタイマー機能が追加されていますが、AutoTagを使った利用例をご紹介します。
このAutoTag機能を利用することで、各端末(IPアドレス）単位でインターネット利用時間を制限する方法です。
具体的には以下のような制御を行うことが可能です。

利用者が利用し始めてから1日3時間だけインターネット利用が可能。3時間を経過するとその日はインターネット利用できなくなる。

もしくは、

利用者のインターネット利用は最長1時間のみ。1時間経過すると利用不可となる。しかし、その後、1時間経過すると再度インターネットが1時間利用可能となる。
このような制御のニーズとしては、例えば、学校や公衆ネットワークなどでのインターネットの利用時間を制限したり、連続でインターネット利用をやめさせたい場合などには役に立ちます。

上記のような制御を行うことが可能となるのは、AutoTagで付与する各タグにタイマー設定ができることです。
タイマー設定は分単位で指定できます。
上記2の例であれば、具体的には以下のようなAutoTag設定を行えば実現することが可能です。

Tagおよびダイナミックアドレスグループを作成
ここでは例として、PermitとBlockというTagを設定します。また、それぞれのTagが付与されたIPアドレスをセキュリティポリシーで利用するために、それぞれのPermit-AddressGroupとBlock-AddressGroupというアドレスオブジェクトを設定します。

ログ転送プロファイルを作成
Traffic logが生成された時、その送信元IPアドレスに、PermitとBlockの両方のタグを付与する設定を行う。ここでPermitタグは1時間、Blockタグは2時間のタイマーを設定する（ここがポイントです！）

セキュリティルールを設定
セキュリティルールとしては以下の3つが必要です。
　ルール1: 送信元IPアドレスがPermit-AddressGroupの通信を許可（利用開始後、許可するルール）
　ルール2: 送信元IPアドレスがBlock-AddressGroupの通信をブロック（1時間利用後、ブロックするルール）
　ルール3: 送信元Anyの通信を許可し、タグを付与するログ転送プロファイルを設定
　　　　　（利用開始時にTagをつけるルール）

上記の設定を行うことで、以下のような動作となります。

端末から通信を始めると、最初ルール3にヒットし、その結果その端末のIPアドレスに対し、2つのTagが自動的に付与されます。
Tagが付与されることで、そのIPアドレスはPermit-AddressGroupとBlock-AddressGroupの2つに属することになりますが、上記ルール1にヒットすることで通信が許可されます。
1時間経過後、Permitのタグがタイムアウトし削除されます。結果Block-AddressGroupのみに属することになり、結果ルール2により、その端末からの通信がブロックされます。
さらに1時間後、BlockのTagも削除されます。すると、初期状態に戻り、再度その端末が通信を始めると1.から同様の動作が繰り返されます。

いかがでしょうか？
AutoTagの設定方法については、下記のリンクより資料が参照できます。
https://live.paloaltonetworks.com/t5/info/autotag/ta-p/254876
BK Link Global Login

AutoTag機能は、内部で生成されるトラフィックログ、URLフィルタリングログ、脅威ログなどの各種ログをトリガーに自動的にTagを付与することができ、そのTagを利用して動的にセキュリティルール、QoS、PBFなど様々なポリシーを動的に変更させることが可能です。Tagをつけるトリガー、そのタイマー、そしてTagによる制御により、様々なニーズに対しての自動制御が可能になります。是非、ご活用ください。

サインインで完全なコミュニティ体験を！

AutoTag機能で利用者(IPアドレス)単位でネットワークの利用時間を制限する方法

AutoTag機能で利用者(IPアドレス)単位でネットワークの利用時間を制限する方法