如何看到交通从交通日志中的默认安全策略

前潘-OS 7.0

概述

关于安全策略, 帕洛阿尔托网络防火墙有两个默认规则:

1. 拒绝跨区域通信
2. 允许相同的区域通信量

默认情况下, 命中默认策略的通信不会被记录到通信日志中。有时, 如果通信量具有相同的源和目标区域, 则需要进行故障排除, 或者在允许通信之前查看默认规则拒绝的通信量。  要临时记录隐含的块规则, 请发出以下命令:

>> 设置系统设置记录默认值-策略日志记录<value> (值为0-300 秒)</value>

注意:从 PAN OS 6.1 开始, 两个默认策略现在显示在 "策略 > 安全" 下的绿色背景下.

现在规则匹配 intrazone 通信量、区间通信量或两者 (称为通用)。  帕诺斯新功能

详细

有几种方法可以查看通信日志中的通信量:

对于同一区域通信量

• 转到策略 > 安全性并创建允许通信来源和与下面的示例相同的区域的安全策略指示:
  

对于跨区域通信

• 转到 "策略 > 安全性" 并创建一个开放规则, 允许跨区域访问以查看通信量。
  

重要提示:可能不希望允许所有不可信的通信进入网络的受信任区域, 因为上述策略指示, 因为目标是保持网络安全. 因此, 使用 "拒绝所有策略" 会注销策略不允许的所有通信, 在清除规则中为 "拒绝", 以查看在不允许初始设置的情况下需要专门创建哪些规则。下面的点是拒绝所有策略的示例。

拒绝所有

• 下面显示的示例说明了具体允许从外部只 GlobalProtect。它将允许所有信任和 DMZ 通信, 所有内部受信任的交叉通信, 并允许在使用拒绝所有策略时相同的区域通信。任何与 "拒绝" 规则以上的策略匹配的通信都将被 "拒绝所有" 策略捕获并被记录为 "拒绝"。
  
• 请参阅通信日志中被拒绝的通信量, 并查看根据被拒绝的通信日志而特别需要允许的通信量, 而不允许任何新的内容进入网络并危及网络的不需要的通信量。
  注意: 创建拒绝所有策略将覆盖允许相同区域通信的默认策略. 有关详细信息, 请查看以下文档:任何/任何/拒绝安全规则都将更改默认行为.

后盘 OS 7。0

从 PAN OS 7.0 intrazone 和区间安全策略开始在安全策略中可见, 并且可以编辑以启用日志记录

所有者: glasater