【Palo Alto】アドレスオブジェクトの管理方法

アドレスオブジェクトの定義方法

Palo Altoでは、セキュリティポリシーを定義する際、IPアドレスで直接定義するのではなく、「アドレスオブジェクト」や 「アドレスグループ」を作成し、それらをポリシーへ適用します。

まずは、アドレスオブジェクトの定義方法についてみていきましょう。下記は画面イメージです。

画面遷移手順

1. Objects タブクリック
2. アドレス or アドレスグループ のリンクをクリック

①.アドレスオブジェクトの管理

アドレスオブジェクトの追加

1. アドレス のリンクをクリック
2. 画面左下の “追加” ボタンをクリック
3. 次の項目を選択／入力し、 “OK” ボタンをクリック
   • 名前
   • 内容　※任意
   • タイプ及び、アドレスオブジェクトの値
     範囲指定を行う場合は、”IP範囲” を選択
   • タグ　※任意（選択することで識別しやすくなります。）

アドレスオブジェクトの削除

1. 対象のアドレスオブジェクトをチェック
2. 画面左下の “削除” ボタンをクリック
3. “はい” ボタンをクリック

②.アドレスグループオブジェクトの管理

基本的にはアドレスオブジェクトの管理方法と同じです。

アドレスグループオブジェクトの追加

1. アドレスグループ のリンクをクリック
2. 画面左下の “追加” ボタンをクリック
3. 次の項目を選択／入力し、 “OK” ボタンをクリック
   • 名前
   • 内容　※任意
   • タイプ
     ほとんどの場合はスタティックでOKです。
   • アドレス
     アドレスオブジェクトを列挙します。
   • タグ　※任意（選択することで識別しやすくなります。）

アドレスグループオブジェクトの削除

1. 対象のアドレスオブジェクトをチェック
2. 画面左下の “削除” ボタンをクリック
3. “はい” ボタンをクリック

補足

PAN-OS8.0時点では、アドレス／アドレスグループオブジェクトを必ずしも定義する必要はありませんが、ポリシー画面等ではオブジェクト名で表示されているため、オブジェクト名を定義したほうが分かりやすくなります。

特に、複数名で管理している場合などにおいてもIPアドレスだけで管理するよりも便利です。

たとえば、オブジェクト名には該当端末の設置場所の情報等を含めることができます。

端末単位で管理する場合は、GUIから1つずつの端末のアドレスオブジェクトを作成することがかなり手間になるので、CLIからコマンドリストを流し込む方法をオススメします。

以上