Ungelöste FQDNs in SicherheitsPolitik führen zu Schatten politischen Warnungen während der Übergabe
Resolution
Symptom
Wenn die Palo Alto Networks Firewall nicht in der Lage ist, FQDN-Einträge in einer Sicherheitsrichtlinie zu lösen, während Sie eine Übergabe durchführt, erscheint eine Meldung, die besagt, dass eine Regel von einer anderen Regel überschattet wird.
Ursache
Das obige Symptom entsteht, wenn FQDNs in mehreren Richtlinien ungültig sind oder der DNS-Server nicht erreichbar oder nicht ansprechbar ist. Die Übergabe gelingt, aber ein ungelöster FQDN in einer Sicherheitspolitik erzeugt die Botschaft, die darauf hinweist, dass eine Regel nicht mit einer anderen Regel übereinstimmen wird.
Zum Beispiel:
Die folgenden Sicherheitsrichtlinien werden von der Treuhand Zone bis zur unvertrauens Zone implementiert und verwenden FQDNs (not-exist.com und Not-exst2.net), die ungültig sind:
- test1-nicht-existieren-DST: Quelle any/Ziel FQDN: not-exist.com/Application
- test1-nicht-existieren-dST2: Quelle any/Ziel FQDN: Not-exist2.NET/Application
Zeigen Sie die Jobdetails für den Commit-Betrieb:
> Jobs ID 1 anzeigen
Enqueued ID Type Status Ergebnis abgeschlossen
--------------------------------------------------------------------------
2013/09/09 14:17:21 1 AutoCom FIN OK 14:19:03
Warnungen:
Details: VSYS1
Sicherheitspolitik:
- Regel ' test1-nicht-existieren-DST ' Schatten regieren ' test1-nicht-existieren-dST2 "
(Modul: Gerät)
Konfiguration erfolgreich begangen
Letzte Konfiguration erfolgreich begangen
Zeigen Sie den aktuellen Status des FQDN-Eintrags an:
> Request System FQDN Show
FQDN Table: letzte Anfragezeit Mon Sep 9 14:06:08-2013
--------------------------------------------------------------------------------
IP-Adresse, die verbleibenden TTL Secs seit aktualisiert
--------------------------------------------------------------------------------
VSYS: vsys1
not-exist.com (Objektname not-exist.com):
Nicht aufgelöst
Not-exist2.net (Objektname not-exist2.net):
Nicht aufgelöst
Besitzer: yogihara