Los FQDN no resueltos en la Directiva de seguridad dan como resultado una advertencia de directiva de sombra durante el commit
Resolution
Síntoma
Si el cortafuegos de Palo Alto Networks no es capaz de resolver las entradas de FQDN en una directiva de seguridad mientras realiza una confirmación, aparece un mensaje que indica que una regla está siendo sombreada por otra regla.
Causa
El síntoma anterior se presenta cuando los FQDN en varias directivas no son válidos o el servidor DNS es inalcanzable o no responde. El commit tiene éxito, pero un FQDN sin resolver en una directiva de seguridad produce el mensaje que indica que una regla no se emparejará debido a que otra regla la sombrea.
Por ejemplo:
Las siguientes directivas de seguridad se implementan desde la zona de confianza hasta la zona de no confianza y utilizan FQDN (not-exist.com y not-exst2.net) que no son válidas:
- prueba1-not-exist-DST: fuente cualquiera/destino FQDN: not-exist.com/aplicación any
- prueba1-no existe-dst2: fuente cualquiera/destino FQDN: Not-exist2.net/aplicación any
Mostrar los detalles del trabajo para la operación commit:
> Mostrar trabajo ID 1
Resultado de estado de tipo de ID en cola completado
--------------------------------------------------------------------------
2013/09/09 14:17:21 1 AutoCom FIN OK 14:19:03
ADVERTENCIAS:
Detalles: VSYS1
Política de seguridad:
- Regla ' prueba1-not-exist-DST ' sombras regla ' prueba1-not-exist-dst2 '
(Módulo: dispositivo)
Configuración confirmada correctamente
Última configuración confirmada satisfactoriamente
Mostrar el estado actual de la entrada de FQDN:
> solicitud de FQDN del sistema Mostrar
FQDN, tabla: última hora de solicitud LUN Sep 9 14:06:08 de 2013
--------------------------------------------------------------------------------
Dirección IP restante TTL segundos desde renovados
--------------------------------------------------------------------------------
VSYS: vsys1
not-exist.com (objectname not-exist.com):
No resuelto
not-exist2.net (objectname not-exist2.net):
No resuelto
Propietario: yogihara