Los FQDN no resueltos en la Directiva de seguridad dan como resultado una advertencia de directiva de sombra durante el commit

Los FQDN no resueltos en la Directiva de seguridad dan como resultado una advertencia de directiva de sombra durante el commit

27187
Created On 09/25/18 19:24 PM - Last Modified 06/06/23 19:49 PM


Resolution


Síntoma

Si el cortafuegos de Palo Alto Networks no es capaz de resolver las entradas de FQDN en una directiva de seguridad mientras realiza una confirmación, aparece un mensaje que indica que una regla está siendo sombreada por otra regla.

2013y10m23d_133408458. jpg

Causa

El síntoma anterior se presenta cuando los FQDN en varias directivas no son válidos o el servidor DNS es inalcanzable o no responde. El commit tiene éxito, pero un FQDN sin resolver en una directiva de seguridad produce el mensaje que indica que una regla no se emparejará debido a que otra regla la sombrea.

Por ejemplo:

Las siguientes directivas de seguridad se implementan desde la zona de confianza hasta la zona de no confianza y utilizan FQDN (not-exist.com y not-exst2.net) que no son válidas:

  • prueba1-not-exist-DST: fuente cualquiera/destino FQDN: not-exist.com/aplicación any
  • prueba1-no existe-dst2: fuente cualquiera/destino FQDN: Not-exist2.net/aplicación any

Mostrar los detalles del trabajo para la operación commit:

> Mostrar trabajo ID 1

Resultado de estado de tipo de ID en cola completado

--------------------------------------------------------------------------

2013/09/09 14:17:21 1 AutoCom FIN OK 14:19:03

ADVERTENCIAS:

Detalles: VSYS1

  Política de seguridad:

  - Regla ' prueba1-not-exist-DST ' sombras regla ' prueba1-not-exist-dst2 '

(Módulo: dispositivo)

Configuración confirmada correctamente

Última configuración confirmada satisfactoriamente

Mostrar el estado actual de la entrada de FQDN:

> solicitud de FQDN del sistema Mostrar

FQDN, tabla: última hora de solicitud LUN Sep 9 14:06:08 de 2013

--------------------------------------------------------------------------------

  Dirección IP restante TTL segundos desde renovados

--------------------------------------------------------------------------------

VSYS: vsys1

not-exist.com (objectname not-exist.com):

                    No resuelto

not-exist2.net (objectname not-exist2.net):

                    No resuelto

Propietario: yogihara
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClXUCA0&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language