今週の週 (DotW) の議論では、我々は興味深い質問コミュニティメンバー MicGioia によって尋ねられたの詳細を見ている:
1つの重要な要因は、接続の種類が動作し、どのようなものが手動での介入なしではないかを決定するために、パロアルトネットワークのファイアウォールは、ゾーンに基づいているということです。これは、受信パケットが属するソースゾーンと宛先ゾーンに基づいてトラフィックが処理されることを意味します。
すべてのファイアウォールには、rulebase の最後に2つの暗黙のセキュリティポリシーがロードされます (すべてのセキュリティルールは、上から下への処理が行われます)。
これらの規則は、intrazone と interzone の既定値です。
これらの2つのポリシーにより、同じゾーンからのセッション (信頼された信頼など) が許可され、1つのゾーンから他のゾーン (たとえば、untrust への信頼など) へのセッションは、セキュリティルールの前のポリシーによって却下されない限りブロックします。
これらの既定のポリシーにより、上記の質問が自動的に許可されます: パケットは、ingressed と同じインターフェイスから送信されますか。
使用可能なケースは、ファイアウォールインターフェイスに直接接続されていないリモートネットワークで、ローカルクライアントがルートを持たないローカル接続ルーター (MPLS リモートオフィスなど) を介してアクセスする必要があります。
ただし、この種の回避策では、U ターン NAT ポリシーを作成して、パケットを返すこともファイアウォールインターフェイスを介して行われるようにすることをお勧めします。これにより、ファイアウォールがフローの両方の方向を検査できるようになります 。U ターン NAT の設定方法
参加に興味がありますか?ここでは、元の議論に従ってください:イントラインターフェイス (パケットを入力して、同じインターフェイスを終了)?
いつものように、また、以下のコメントを残して自由に感じてください!
ありがとうございます。
死神