トレースルートからパロアルトネットワークファイアウォールを非表示にする方法

33431

Created On 09/25/18 17:41 PM - Last Modified 06/08/23 06:27 AM

Symptom

兆候

誰もがパロアルトネットワークファイアウォールの背後にあるサーバーへのトレースルートを行う場合は、外部インターフェイスの IP は、トレース結果に表示されるべきではありません。
内部ユーザーがインターネットにアクセスすると、インターフェイス内のパロアルトネットワークはトレース結果に表示されません。
トレースルートからパロアルトネットワークファイアウォールを非表示にしたいですか?方法を学びます。

診断

我々は、ゾーンプロテクションプロファイルを使用してホップを検出するために使用される TTL 期限切れメッセージを送信するからインターフェイスを制限することができます。

Resolution

トレース結果からのインターフェイスの非表示

ttl 1 から始まる ttl 値を徐々に増加させてパケットを送信することにより、トレースルートが動作します。

パケット receiviny 最初の L3 デバイスは ttl をデクリメントし、ttl が0の値を持つようにパケットをドロップします。同時に、L3 デバイスは送信者に ICMP 時間超過メッセージを送り返します (ただし、これでホップが検出されます)。

ソースが時間超過メッセージを受信すると、TTL 値が増加し、このプロセスは宛先ポート到達不能メッセージを受信するまで進みます。

したがって、トレース結果からインターフェイスを非表示にするには、ゾーン保護プロファイルを使用して行うことができる ICMP 時間超過メッセージの送信からそのインターフェイスを制限する必要があります。

ケース 1: ゾーン proctection プロファイルが構成されていない場合のトレース結果

インターフェイス。PNG

内部ホストから Google DNS サーバーへのトレースルートを行うと、最初のホップとしてパロアルトネットワークファイアウォールを観察します。

C:\Users\Administrator > tracert-d 8.8.8.8

最大30ホップの8.8.8.8 へのルートのトレース

1 1 ms < palo="" alto="" netowks="" firewall="" inside="" interface=""> </>> また内部ユーザーのためのゲートウェイ2 1 ms 1 ms 1 ms 10.50.241.75 3 5 ms 4 ミリ秒3ミリ秒 103.245.157.17 4 10 ms 4 ms 14 ミリ秒 103.245.157.177 5 6 ms 31 ミリ秒 5 ms 182.74.212.225 6 268 ms 27 ミリ秒 129 ms 182.79.243.26 7 27 ミリ秒5ミリ秒11 ms 72.14.242.178 8 6 ms 13 ms 14 ミリ秒 72.14.236.57 9 14 ms 6 ミリ秒5ミリ秒 66.249.94.189<x 9=""> 10 * 17 ミリ秒22ミリ秒 8.8.8.8 </x>

追跡完了

注: 管理プロファイルは、そのインターフェイス宛てのトラフィックに対してのみ行われます。パススルートラフィックでは、管理プロファイルは考慮されません。また、セキュリティポリシーを使用すると、トレースからインターフェイスを非表示にすることはできません。

ケース 2: ゾーン保護プロファイルによるトレース結果

トレースルートからパロアルトネットワークファイアウォールを非表示にするには、traceroute 機能を中断する icmp ttl の期限切れエラーを抑制します (icmp ttl の期限切れメッセージの送信を停止します)。

TTL 時間を超えたメッセージは、ソース (ゾーンの保護を使用してインターフェイスに適用される) にそれを作ることはありませんように、パロアルトのネットワークは、そのアイデンティティを隠します。

3. PNG

4. PNG

ゾーン保護プロファイルを適用した後のトレース結果: