PAN OS 7.1 用户 ID 增强功能

用户 ID 是任何 sucsessful 帕洛阿尔托网络提供或解决方案的关键组成部分。帕洛阿尔托网络改进了用户 ID 在 PAN OS 7.1 中的工作方式, 通过三项增强功能:

• 用户 ID 重新分发
• 用户 ID 可配置忽略用户列表
• 用户 ID 组容量增加

用户 ID 重新分发

问题
在泛 OS 7.0 中, 从重新分发防火墙接收 IP/用户映射的防火墙无法进一步重新发布它们.
具有复杂用户 id 拓扑的用户需要多跳分布式用户 id 信息重新分发.

解决方案
使用帕洛阿尔托网络防火墙运行泛型 OS 7.1 作为用户 ID 代理, IP/用户映射可以分布到深度10级.

描述
重新分发代理可以从所有可用的用户 ID 信息源接收 IP/用户映射, 包括 Windows UID 代理、GlobalProtect、固定门户、XML API、系统日志和服务器监视. 标记为分发点的防火墙代理会聚合来自多个上游防火墙代理的用户 id 数据, 并解决来自这些代理的任何冲突的用户 id 映射。

限制

• 给定的 ip/用户映射可再发行到来自最初学习此 IP/用户映射的源的最大10跃点数。
• 在所有 PAN OS 平台上, 最多可将100个代理配置为每个平台的用户 ID 代理。
• 重新分发此功能超出范围的组件:
  • ldap 组的重新分发 (变通办法: 使用 LDAP 代理)
  • 终端服务信息的再分配
  • 将 Windows UID 代理用作重新分发点
  • 将全景图用作再分配点
  • 髋关节再分配

配置
用户 id 重新分发是使用现有的用户 id 配置选项配置的.

该示例显示了重新分发链中间的防火墙。

内部设备 >> 用户标识 > 用户映射, 单击右上角的链轮图标可到达此窗口:

内部设备 >> 用户标识 > 用户 ID 代理, 单击 "添加" 新代理, 或单击现有代理.

降级
的泛 OS 降级, 配置保持到位, 但 IP/用户映射不能分布在7.0 或更早版本的一个以上跃点数. 在这种情况下, 任何配置的重新分发选项都将被有效忽略。

用户 ID 可配置忽略用户列表

一个新的选项卡, "忽略用户列表" 添加到设备 >> 用户标识 > 帕洛阿尔托 Netoworks 用户 ID 代理安装配置部分.

在输入末尾支持通配符, 例如, conedomain1\dom * 覆盖 conedomain1\domainuser、conedomain1\domainadmin 等。

PA-5060、PA-7050 和 PA-7080 的用户 ID 组容量增加

向零信任模型演进的问题网络通常需要大量的用户组, 其中每一个都通常表示网络资源或应用程序.

目前, 在策略中只有640组是可配置的。

解决方案
允许在 PA-5060、PA-7050 和 PA-7080 平台上的任何用户 ID 感知策略构造中配置多达3200组, 当这些平台在单个 vsys 模式下使用时.

• 仅当设备在单 vsys 模式下运行时, 增量才可配置。如果启用了多个虚拟系统, 则用户 ID 每 vsys 返回640组。
• 增加适用于安全、QoS、解密和固定门户策略。
  如果在单 vsys 模式下配置了7.1 个以上的泛型 OS 设备, 并且管理员进行了配置更改以启用多个虚拟系统, 则该命令将失败.

降级
如果从 PAN OS 7.1 请求降级, 并且配置承载了640多个组, 降级请求将停止, 并出现错误.

全景
配置从全景推送到不支持超过640组的设备失败.