En la discusión de esta semana de la semana (DotW), estamos tomando una mirada más cercana a una pregunta interesante formulada por el miembro de la comunidad MicGioia:
Un factor importante para determinar qué tipo de conexiones funcionará y cuáles no sin intervención manual, es que los cortafuegos de Palo Alto Networks están basados en zonas. Esto significa que el tráfico se procesará basándose en la zona de origen y los paquetes de entrada de la zona de destino que pertenezcan.
Cada cortafuegos viene cargado con 2 políticas de seguridad implícitas al final del reglas (todas las reglas de seguridad se procesan de arriba a abajo):
Estas reglas son el valor predeterminado de intrazone e Interzone.
Estas 2 directivas asegurarán que todas las sesiones desde y hacia la misma zona (por ejemplo, confianza en confianza) se permitan a través de y cualquier sesión de una zona a cualquier otra zona (por ejemplo, confianza para no confiar) se bloquean a menos que una política anterior de las reglas de seguridad lo degobierne.
Estas políticas predeterminadas permiten automáticamente la pregunta anterior: ¿se permitirán los paquetes de salida a la misma interfaz en la que se ingresó?
Un posible caso de uso es una red remota que no está conectada directamente a una interfaz de cortafuegos, pero que se debe alcanzar a través de un router conectado localmente (por ejemplo, una oficina remota de MPLS) para el cual los clientes locales no tienen ninguna ruta.
Sin embargo, para este tipo de solución, es recomendable crear una directiva NAT de giro en U para que los paquetes que se devuelvan también se pasen a través de la interfaz del cortafuegos. Esto asegura que el Firewall puede inspeccionar ambas direcciones del flujo: Cómo configurar U-Turn NAT
¿Interesado en participar? Sigue la discusión original aquí: intra-Interface (los paquetes entran y salen de la misma interfaz)?
¡ Como siempre, sienta por favor libre de dejar cualquier comentario abajo, también!
¡Gracias!
usuario: