トレースルートからパロアルトネットワークファイアウォールを非表示にする方法
Symptom
Resolution
トレース結果からのインターフェイスの非表示
ttl 1 から始まる ttl 値を徐々に増加させてパケットを送信することにより、トレースルートが動作します。
パケット receiviny 最初の L3 デバイスは ttl をデクリメントし、ttl が0の値を持つようにパケットをドロップします。同時に、L3 デバイスは送信者に ICMP 時間超過メッセージを送り返します (ただし、これでホップが検出されます)。
ソースが時間超過メッセージを受信すると、TTL 値が増加し、このプロセスは宛先ポート到達不能メッセージを受信するまで進みます。
したがって、トレース結果からインターフェイスを非表示にするには、ゾーン保護プロファイルを使用して行うことができる ICMP 時間超過メッセージの送信からそのインターフェイスを制限する必要があります。
ケース 1: ゾーン proctection プロファイルが構成されていない場合のトレース結果
内部ホストから Google DNS サーバーへのトレースルートを行うと、最初のホップとしてパロアルトネットワークファイアウォールを観察します。
C:\Users\Administrator > tracert-d 8.8.8.8
最大30ホップの8.8.8.8 へのルートのトレース
1 1 ms < palo="" alto="" netowks="" firewall="" inside="" interface=""> </>> また内部ユーザーのためのゲートウェイ2 1 ms 1 ms 1 ms 10.50.241.75 3 5 ms 4 ミリ秒3ミリ秒 103.245.157.17 4 10 ms 4 ms 14 ミリ秒 103.245.157.177 5 6 ms 31 ミリ秒 5 ms 182.74.212.225 6 268 ms 27 ミリ秒 129 ms 182.79.243.26 7 27 ミリ秒5ミリ秒11 ms 72.14.242.178 8 6 ms 13 ms 14 ミリ秒 72.14.236.57 9 14 ms 6 ミリ秒5ミリ秒 66.249.94.189<x 9=""> 10 * 17 ミリ秒22ミリ秒 8.8.8.8 </x>
追跡完了
注: 管理プロファイルは、そのインターフェイス宛てのトラフィックに対してのみ行われます。パススルートラフィックでは、管理プロファイルは考慮されません。また、セキュリティポリシーを使用すると、トレースからインターフェイスを非表示にすることはできません。
ケース 2: ゾーン保護プロファイルによるトレース結果
トレースルートからパロアルトネットワークファイアウォールを非表示にするには、traceroute 機能を中断する icmp ttl の期限切れエラーを抑制します (icmp ttl の期限切れメッセージの送信を停止します)。
TTL 時間を超えたメッセージは、ソース (ゾーンの保護を使用してインターフェイスに適用される) にそれを作ることはありませんように、パロアルトのネットワークは、そのアイデンティティを隠します。
ゾーン保護プロファイルを適用した後のトレース結果:
C:\Users\Administrator > tracert-d 8.8.8.8
最大30ホップの8.8.8.8 へのルートのトレース
1 * * * 要求がタイムアウトしました。 * * * は、ファイアウォールの設定によって身元が明らかにならないことを示します。
2 1 ms 1 ms 1 ms 10.50.241.75
3 186 ms 24 ms 4 ms 103.245.157.17
4 212 ms 112 ms 20 ms 103.245.157.177 5 240 ms 170 ms 247 ms 182.74.212.225 6 233 ミリ秒 381 ms 160 ms
182.79.243.26
7 213 ms 77 ms 155 ms 72.14.242.178 8 7 ms
11 ms 8 ミリ秒72.14.236.57
9 64 ms 52 ms 56 ms 66.249.94.189
10 17 ms 16 ms 7 ms 8.8.8.8
追跡完了
したがって、トレースルートからパロアルトネットワークファイアウォールを非表示にする場合は、上記の方法を使用します。