DotW: intra-interface (les paquets entrent et quittent la même interface)?
Resolution
Dans la discussion de cette semaine de la semaine (DotW), nous examinons de plus près une question intéressante posée par les membres de la communauté MicGioia:
Un facteur important pour déterminer quel type de connexions fonctionnera et ceux qui ne seront pas sans intervention manuelle, c'est que les pare-feu de Palo Alto Networks sont à base de zone. Cela signifie que le trafic sera traité en fonction de la zone source et les paquets entrants zone de destination appartiennent.
Chaque pare-feu est chargé avec 2 stratégies de sécurité implicites à la fin du rulebase (toutes les règles de sécurité sont traitées de haut en bas):
Ces règles sont intrazone-default et interzone-default.
Ces 2 politiques garantiront que toutes les sessions de et vers la même zone (par exemple Trusted to Trusted) sont autorisées par le biais et toutes les sessions d'une zone à une autre zone (par exemple, la confiance à la non-confiance) sont bloquées à moins d'une politique antérieure dans les règles de sécurité.
Ces stratégies par défaut permettent automatiquement la question ci-dessus: les paquets seront-ils autorisés à sortir de la même interface qu'ils ont pénétré sur?
UN cas d'utilisation possible est un réseau distant qui n'est pas directement connecté à une interface de pare-feu, mais qui doit être atteint via un routeur connecté localement (par exemple un bureau distant MPLS) pour lequel les clients locaux n'ont pas de route.
Toutefois, pour ce type de contournement, il est conseillé de créer une stratégie NAT U-Turn afin de renvoyer les paquets sont également transmis via l'interface de pare-feu. Cela garantit que le pare-feu peut inspecter les deux directions du flux: Comment faire pour configurer U-Turn NAT
Vous souhaitez participer? Suivez la discussion originale ici: intra-interface (les paquets entrent et quittent la même interface )?
Comme toujours, S'il vous plaît n'hésitez pas à laisser des commentaires ci-dessous, aussi!
Merci !
Reaper