ユーザー ID エージェントから予期しないトラフィックが表示される

問題

UDP ポート135および137を介して、ユーザー ID エージェントから予期しないトラフィックが見られています。

• アプリケーションが不完全、ただしまたは netbios-ns として表示されます。
• 宛先は、ランダムなパブリック IP アドレスであることが表示されます。
• エージェントのイベントビューアーの下に、システムログにイベント10009イベント DCOM イベントがたくさんあります。

原因

この問題は、信頼されていない (パブリックに直面している) ゾーンでユーザー id が有効になっていて、ユーザー id エージェントで WMI プロービングが有効になっている場合に発生する可能性があります。この問題は、このゾーンでユーザー ID が有効になっているために、パブリックに直面しているゾーンからのすべての受信接続が不明な ip アドレスになる可能性があるため、パロアルトネットワークファイアウォールはソース ip アドレスのユーザーマッピングを特定しようとします。マッピングがファイアウォールまたはユーザー ID エージェントに存在しないため、エージェントは WMI プローブを使用して IP ユーザーマッピングを解決しようとしますが、ほとんどの場合、失敗します。これにより、ファイアウォールとエージェントの両方でパフォーマンスの問題が発生する可能性があります。

生成され、公開されているゾーンに送られるトラフィックは、次に示すように、ランダムなパブリック IP アドレス宛てのトラフィックを参照し、ポート137に宛てたもので、アプリケーションは netbios ns です。

以下に示すように、アプリケーションただしのトラフィックと不完全な場合があります。

解決方法

パブリックに直面するゾーンでは、ユーザー ID を有効にしないでください。ほとんどの場合、ユーザー ID は、信頼できるゾーンまたは内部領域でのみ有効にする必要があります。ユーザー ID が公開されているゾーンで有効になっている場合は、[ネットワーク] > [ゾーン] > Untrust ゾーンをクリックして無効にし、[ユーザー識別を有効にする] チェックボックスをオフにします。

最終的なゾーン構成は、次の例のようになります。

所有者: jteetsel