In der Diskussion der Woche (DotW) in dieser Woche schauen wir uns eine interessante Frage an, die das Gemeindemitglied MicGioia gestellt hat:
Ein wichtiger Faktor, um festzustellen, welche Art von Verbindungen funktionieren werden und welche nicht ohne manuelle Eingriffe, ist, dass die Palo Alto Networks Firewalls Zonen basiert sind. Das bedeutet, dass der Verkehr auf der Grundlage der Quell-und Zielzone, zu der eingehende Pakete gehören, abgewickelt wird.
Jede Firewall wird mit 2 impliziten Sicherheitsrichtlinien am Ende der rulebase geladen (alle Sicherheitsregeln werden von oben nach unten bearbeitet):
Diese Regeln sind die intrazone-default und Interzone-default.
Diese beiden Richtlinien werden sicherstellen, dass alle Sitzungen von und in der gleichen Zone (z.b. vertrauenswürdig) durch erlaubt sind und alle Sitzungen von einer Zone in eine andere Zone (z.b. Vertrauen auf unvertrauen) blockiert werden, es sei denn, Sie werden von einer vorherigen Politik in den Sicherheitsregeln überstimmt.
Diese Standard-Richtlinien erlauben automatisch die obige Frage: werden Pakete die gleiche Schnittstelle, auf der Sie eindringen, überschreiten dürfen?
EIN möglicher Anwendungsfall ist ein entferntes Netzwerk, das nicht direkt an eine Firewall-Schnittstelle angeschlossen ist, sondern über einen lokal angeschlossenen Router (z.b. ein MPLS-Remote-Büro) erreicht werden muss, für den die Kunden vor Ort keine Route haben.
Für diese Art von Workaround ist es jedoch ratsam, eine U-Turn-NAT-Richtlinie zu erstellen, so dass wiederkehrende Pakete auch über die Firewall-Schnittstelle übergeben werden. Dies stellt sicher, dass die Firewall beide Richtungen des Flusses überprüfen kann: wie man U- Turn NAT konfiguriert
Interesse an einer Teilnahme? Verfolgen Sie die ursprüngliche Diskussion hier: Intra-Interface (Pakete eingeben und verlassen die gleiche Schnitt Stelle)?
Wie immer können Sie auch hier Kommentare abgeben!
Vielen Dank!
Schnitter