AutoTag機能で利用者(IPアドレス)単位でネットワークの利用時間を制限する方法

キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
L2 Linker
この記事は役に立ちましたか? はい いいえ
評価なし

PAN-OS 9.0からAutoTag機能にタイマー機能が追加されていますが、AutoTagを使った利用例をご紹介します。

このAutoTag機能を利用することで、各端末(IPアドレス)単位でインターネット利用時間を制限する方法です。

具体的には以下のような制御を行うことが可能です。

 

  1. 利用者が利用し始めてから1日3時間だけインターネット利用が可能。3時間を経過するとその日はインターネット利用できなくなる。

    もしくは、

  2. 利用者のインターネット利用は最長1時間のみ。1時間経過すると利用不可となる。しかし、その後、1時間経過すると再度インターネットが1時間利用可能となる。

このような制御のニーズとしては、例えば、学校や公衆ネットワークなどでのインターネットの利用時間を制限したり、連続でインターネット利用をやめさせたい場合などには役に立ちます。

 

上記のような制御を行うことが可能となるのは、AutoTagで付与する各タグにタイマー設定ができることです。

タイマー設定は分単位で指定できます。

上記2の例であれば、具体的には以下のようなAutoTag設定を行えば実現することが可能です。

 

  1. Tagおよびダイナミックアドレスグループを作成
    ここでは例として、PermitとBlockというTagを設定します。また、それぞれのTagが付与されたIPアドレスをセキュリティポリシーで利用するために、それぞれのPermit-AddressGroupとBlock-AddressGroupというアドレスオブジェクトを設定します。

  2. ログ転送プロファイルを作成
    Traffic logが生成された時、その送信元IPアドレスに、PermitとBlockの両方のタグを付与する設定を行う。ここでPermitタグは1時間、Blockタグは2時間のタイマーを設定する(ここがポイントです!)

  3. セキュリティルールを設定
    セキュリティルールとしては以下の3つが必要です。

 ルール1: 送信元IPアドレスがPermit-AddressGroupの通信を許可(利用開始後、許可するルール)

 ルール2: 送信元IPアドレスがBlock-AddressGroupの通信をブロック(1時間利用後、ブロックするルール)

 ルール3: 送信元Anyの通信を許可し、タグを付与するログ転送プロファイルを設定
     (利用開始時にTagをつけるルール)

 

上記の設定を行うことで、以下のような動作となります。

 

  1. 端末から通信を始めると、最初ルール3にヒットし、その結果その端末のIPアドレスに対し、2つのTagが自動的に付与されます。
  2. Tagが付与されることで、そのIPアドレスはPermit-AddressGroupとBlock-AddressGroupの2つに属することになりますが、上記ルール1にヒットすることで通信が許可されます。
  3. 1時間経過後、Permitのタグがタイムアウトし削除されます。結果Block-AddressGroupのみに属することになり、結果ルール2により、その端末からの通信がブロックされます。
  4. さらに1時間後、BlockのTagも削除されます。すると、初期状態に戻り、再度その端末が通信を始めると1.から同様の動作が繰り返されます。

 

いかがでしょうか?

AutoTagの設定方法については、下記のリンクより資料が参照できます。

https://live.paloaltonetworks.com/t5/info/autotag/ta-p/254876

 

AutoTag機能は、内部で生成されるトラフィックログ、URLフィルタリングログ、脅威ログなどの各種ログをトリガーに自動的にTagを付与することができ、そのTagを利用して動的にセキュリティルール、QoS、PBFなど様々なポリシーを動的に変更させることが可能です。Tagをつけるトリガー、そのタイマー、そしてTagによる制御により、様々なニーズに対しての自動制御が可能になります。是非、ご活用ください。

この記事を評価:
(2)
コメント
L2 Linker

このAutoTagを利用した場合の注意点として、AutoTagで動的に適応ポリシーが変更された時、その後の新規セッションに対して適応されます。既存セッションに対しては適応されません。従いまして、AutoTagでブロックポリシーが適応されたとしても、その時点で既存セッションは通信が継続されます。これは、ファイル転送やWeb会議などで時間が来たら強制的に切断されない、という意味ではメリットと考えられますが、課金の為の利用時間を制御するケースなどでは、問題になる可能性もあると思いますので、ニーズに応じてご利用ください。

Register or Sign-in
記事ダッシュボード
バージョン履歴
最終更新:
‎06-09-2020 10:22 AM
更新者:
寄稿者: