この記事を評価した人

PAN-OS 9.0からAutoTag機能にタイマー機能が追加されていますが、AutoTagを使った利用例をご紹介します。

このAutoTag機能を利用することで、各端末(IPアドレス）単位でインターネット利用時間を制限する方法です。

具体的には以下のような制御を行うことが可能です。

1. 利用者が利用し始めてから1日3時間だけインターネット利用が可能。3時間を経過するとその日はインターネット利用できなくなる。
   
   もしくは、
   
   
2. 利用者のインターネット利用は最長1時間のみ。1時間経過すると利用不可となる。しかし、その後、1時間経過すると再度インターネットが1時間利用可能となる。

このような制御のニーズとしては、例えば、学校や公衆ネットワークなどでのインターネットの利用時間を制限したり、連続でインターネット利用をやめさせたい場合などには役に立ちます。

上記のような制御を行うことが可能となるのは、AutoTagで付与する各タグにタイマー設定ができることです。

タイマー設定は分単位で指定できます。

上記2の例であれば、具体的には以下のようなAutoTag設定を行えば実現することが可能です。

1. Tagおよびダイナミックアドレスグループを作成
   ここでは例として、PermitとBlockというTagを設定します。また、それぞれのTagが付与されたIPアドレスをセキュリティポリシーで利用するために、それぞれのPermit-AddressGroupとBlock-AddressGroupというアドレスオブジェクトを設定します。
   
   
2. ログ転送プロファイルを作成
   Traffic logが生成された時、その送信元IPアドレスに、PermitとBlockの両方のタグを付与する設定を行う。ここでPermitタグは1時間、Blockタグは2時間のタイマーを設定する（ここがポイントです！）
   
   
3. セキュリティルールを設定
   セキュリティルールとしては以下の3つが必要です。

　ルール1: 送信元IPアドレスがPermit-AddressGroupの通信を許可（利用開始後、許可するルール）

　ルール2: 送信元IPアドレスがBlock-AddressGroupの通信をブロック（1時間利用後、ブロックするルール）

　ルール3: 送信元Anyの通信を許可し、タグを付与するログ転送プロファイルを設定
　　　　　（利用開始時にTagをつけるルール）

上記の設定を行うことで、以下のような動作となります。

1. 端末から通信を始めると、最初ルール3にヒットし、その結果その端末のIPアドレスに対し、2つのTagが自動的に付与されます。
2. Tagが付与されることで、そのIPアドレスはPermit-AddressGroupとBlock-AddressGroupの2つに属することになりますが、上記ルール1にヒットすることで通信が許可されます。
3. 1時間経過後、Permitのタグがタイムアウトし削除されます。結果Block-AddressGroupのみに属することになり、結果ルール2により、その端末からの通信がブロックされます。
4. さらに1時間後、BlockのTagも削除されます。すると、初期状態に戻り、再度その端末が通信を始めると1.から同様の動作が繰り返されます。

いかがでしょうか？

AutoTagの設定方法については、下記のリンクより資料が参照できます。

https://live.paloaltonetworks.com/t5/info/autotag/ta-p/254876

AutoTag機能は、内部で生成されるトラフィックログ、URLフィルタリングログ、脅威ログなどの各種ログをトリガーに自動的にTagを付与することができ、そのTagを利用して動的にセキュリティルール、QoS、PBFなど様々なポリシーを動的に変更させることが可能です。Tagをつけるトリガー、そのタイマー、そしてTagによる制御により、様々なニーズに対しての自動制御が可能になります。是非、ご活用ください。