DotW: intra-Interface (los paquetes entran y salen de la misma interfaz)?

DotW: intra-Interface (los paquetes entran y salen de la misma interfaz)?

17148
Created On 09/25/18 18:59 PM - Last Modified 06/07/23 06:28 AM


Resolution


En la discusión de esta semana de la semana (DotW), estamos tomando una mirada más cercana a una pregunta interesante formulada por el miembro de la comunidad MicGioia:

intra-Interface (los paquetes entran y salen de la misma interfaz) _. png

 

Un factor importante para determinar qué tipo de conexiones funcionará y cuáles no sin intervención manual, es que los cortafuegos de Palo Alto Networks están basados en zonas. Esto significa que el tráfico se procesará basándose en la zona de origen y los paquetes de entrada de la zona de destino que pertenezcan.

 

Cada cortafuegos viene cargado con 2 políticas de seguridad implícitas al final del reglas (todas las reglas de seguridad se procesan de arriba a abajo):

políticas implícitas. png

Estas reglas son el valor predeterminado de intrazone e Interzone.

 

Estas 2 directivas asegurarán que todas las sesiones desde y hacia la misma zona (por ejemplo, confianza en confianza) se permitan a través de y cualquier sesión de una zona a cualquier otra zona (por ejemplo, confianza para no confiar) se bloquean a menos que una política anterior de las reglas de seguridad lo degobierne.

 

Estas políticas predeterminadas permiten automáticamente la pregunta anterior: ¿se permitirán los paquetes de salida a la misma interfaz en la que se ingresó?

 

Un posible caso de uso es una red remota que no está conectada directamente a una interfaz de cortafuegos, pero que se debe alcanzar a través de un router conectado localmente (por ejemplo, una oficina remota de MPLS) para el cual los clientes locales no tienen ninguna ruta.

 

ruta a través de la interfaz de ingreso. png

Sin embargo, para este tipo de solución, es recomendable crear una directiva NAT de giro en U para que los paquetes que se devuelvan también se pasen a través de la interfaz del cortafuegos. Esto asegura que el Firewall puede inspeccionar ambas direcciones del flujo: Cómo configurar U-Turn NAT

 

 

 

¿Interesado en participar? Sigue la discusión original aquí: intra-Interface (los paquetes entran y salen de la misma interfaz)?

 

¡ Como siempre, sienta por favor libre de dejar cualquier comentario abajo, también!

 

¡Gracias!

usuario:
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClSfCAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language