FQDN non résolu dans la stratégie de sécurité résultat de l'Avertissement de stratégie d'Ombre lors de la validation
Resolution
Symptôme
Si le pare-feu de Palo Alto Networks n'est pas en mesure de résoudre les entrées de FQDN dans une stratégie de sécurité lors de l'exécution d'une validation, un message s'affiche indiquant qu'une règle est occultée par une autre règle.
Cause
Le symptôme ci-dessus se produit lorsque FQDN dans plusieurs stratégies ne sont pas valides ou le serveur DNS est inaccessible ou non réactive. Le commit réussit, mais un FQDN non résolu dans une stratégie de sécurité produit le message indiquant qu'une règle ne sera pas appariée en raison d'être masquée par une autre règle.
Par exemple :
Les stratégies de sécurité suivantes sont implémentées depuis la zone d'approbation vers la zone de non-approbation et utilisent FQDN (not-exist.com et not-exst2.net) qui ne sont pas valides:
- test1-not-exist-DST: source any/destination FQDN: not-exist.com/application any
- test1-not-exist-DST2: source any/destination FQDN: not-exist2.net/application any
Afficher les détails du travail pour l'opération de validation:
> afficher les Jobs ID 1
Résultat d'état de type d'ID en file d'attente terminé
--------------------------------------------------------------------------
2013/09/09 14:17:21 1 AutoCom FIN OK 14:19:03
Avertissements :
Détails: VSYS1
Politique de sécurité :
- Règle'test1-not-exist-dst'ombres règle'test1-not-exist-DST2 '
(Module : dispositif)
Configuration validée avec succès
La dernière configuration a été validée avec succès
Afficher l'état actuel de l'Entrée FQDN:
> Request System FQDN afficher
FQDN table: Last Request Time LUN Sep 9 14:06:08 2013
--------------------------------------------------------------------------------
Adresse IP reste TTL Secs depuis rafraîchi
--------------------------------------------------------------------------------
VSYS : vsys1
not-exist.com (ObjectName not-exist.com):
Non résolue
not-exist2.net (ObjectName not-exist2.net):
Non résolue
propriétaire: yogihara