セキュリティポリシーで未解決の fqdn がコミット時にシャドウポリシーの警告になります。
Resolution
問題の状況
コミットの実行中に、パロアルトネットワークファイアウォールがセキュリティポリシーの FQDN エントリを解決できない場合は、ルールが別のルールによってシャドウされていることを示すメッセージが表示されます。
原因
上記の現象は、複数のポリシーの fqdn が無効であるか、DNS サーバーに到達できないか、応答がない場合に発生します。コミットは成功しますが、セキュリティポリシーの未解決の FQDN によって、別のルールによってシャドウされているためにルールが一致しないことを示すメッセージが生成されます。
例えば:
次のセキュリティポリシーは、信頼ゾーンから untrust ゾーンに実装され、無効な fqdn (not-exist.com および not-exst2.net) を使用 します。
- -存在しない-dst: ソースの任意/宛先の FQDN: not-exist.com/アプリケーション任意
- dst2: ソース任意/宛先 FQDN: not-exist2.net/アプリケーション任意
コミット操作のジョブの詳細を表示します。
> ジョブ id を表示1
キューに入っている ID タイプのステータス結果の完了
--------------------------------------------------------------------------
2013/09/09 14:17:21 1 AutoCom フィン OK 14:19:03
警告:
詳細: VSYS1
セキュリティ ポリシー:
-ルール ' ではない-存在しない-dst ' シャドウルール ' の dst2
(モジュール: デバイス)
構成が正常にコミット
最後の構成を正常にコミット
FQDN エントリの現在の状態を表示します。
> システム fqdn 表示の要求
FQDN テーブル: 最後の要求時間月 Sep 9 14:06:08 2013
--------------------------------------------------------------------------------
IP アドレスが残っているから TTL 秒更新
--------------------------------------------------------------------------------
VSYS: vsys1
not-exist.com (Objectname not-exist.com):
解決しません。
not-exist2.net (Objectname not-exist2.net):
解決しません。
所有者: yogihara