安全策略中未解决的 FQDNs 在提交过程中导致阴影策略警告
Resolution
症状
如果帕洛阿尔托网络防火墙在执行提交时无法解析安全策略中的 FQDN 项, 则会显示一条消息, 指出规则正被另一个规则遮蔽。
原因
当多个策略中的 FQDNs 无效或 DNS 服务器无法访问或无法响应时, 上述症状就会出现。提交成功, 但安全策略中未解析的 FQDN 会产生消息, 指示由于被另一个规则阴影而导致规则不匹配。
例如:
以下安全策略由信任区域实现到不信任区域, 并使用无效的 FQDNs (不存在. com 和非 exst2. net):
- test1-not-exist-dst: 源任何/目标 FQDN: 不存在. com/应用程序任何
- test1-not-exist-dst2: 源任何/目标 FQDN: 不 exist2. net/应用程序任何
显示提交操作的作业详细信息:
>> 显示作业 id 1
排队 ID 类型状态结果已完成
--------------------------------------------------------------------------
2013/09/09 14:17:21 1 AutoCom 鳍 OK 14:19:03
警告:
Details:VSYS1
安全策略:
-规则 ' test1-not-exist-dst ' 阴影规则 ' test1-not-exist-dst2 '
(模块: 设备)
已成功提交配置
成功提交了上次配置
显示 FQDN 项的当前状态:
>> 请求系统 fqdn 显示
FQDN 表: 上次请求时间星期一 9月9日 14:06:08 2013 年
--------------------------------------------------------------------------------
IP 地址剩余以来 TTL 秒刷新
--------------------------------------------------------------------------------
VSYS: vsys1
不存在. com (Objectname 不存在. com):
未解决
不 exist2. net (Objectname 不 exist2. net):
未解决
所有者: yogihara