Jede/jeder/verweigern Sicherheit Regel Änderungen Standardverhalten

Jede/jeder/verweigern Sicherheit Regel Änderungen Standardverhalten

71659
Created On 09/25/18 19:24 PM - Last Modified 06/09/23 08:54 AM


Resolution


Übersicht

Alle Palo Alto Networks Firewalls haben zwei implizite SicherheitsRegeln:

  • Cross-Zone-Verkehr verweigern
  • Erlauben Sie den Verkehr in gleicher Zone

Die Standardregeln werden angewendet, es sei denn, es gibt eine definierte Regel, die den Verkehr zwischen zwei Zonen passieren lässt. Der Verkehr, der die Standardregeln trifft, wird nicht protokolliert. Einige Benutzer haben herausgefunden, dass Sie durch das Hinzufügen einer deny-all-Regel am Ende der Liste, die den gesamten Verkehr von "jeder Zone" in "jede Zone" ablässt, nun Verkehrsprotokoll Einträge für Abgefallene Pakete sehen können.  Wenn diese "Deny-All"-Regel angewendet wird, hat Sie oft das unerwünschte Verhalten, den "gleichen Zonen Verkehr" zu fallen, der standardmäßig erlaubt ist. Der Verkehr, der auf der Treuhand Zone beginnt und auf der Treuhand Zone endet, entspricht den Zonen der Deny-Regel.  Das Endergebnis ist, dass SSL VPN, BGP, IPSEC und jedes andere Protokoll oder Traffic, das auf der gleichen Zone empfängt und antwortet, nicht mehr den Verkehr passieren wird.

Bei GlobalProtect kann eine beliebige/jede/Deny-Regel folgende Symptome hervorrufen:

  • Die Kunden von GlobalProtect (GP) würden sich nicht vernetzen, da ihre Verbindung von der Unvertrauens Zone in die Unvertrauens Zone ginge und durch die Any/any/Denial-Regel blockiert werde.
  • Die Konnektivität zu internen Diensten auf der gleichen Zone wie GlobalProtect würde nicht ohne eine Politik funktionieren, die die gleiche Zone zulässt. Die gleiche Konnektivität mit dem quer Zonen Verkehr, wenn es keine Politik für den Querverkehr gäbe.

Das folgende ist ein Beispiel für jede/jede/Deny mit SSL VPN:

Die öffentliche Schnittstelle eines virtuellen Routers bietet Internetzugang und beendet SSL-VPN-Verkehr. Diese Schnittstelle ist Teil einer Zone namens UNTRUST.  Alle SSL-VPN-Verbindungen würden die Schnittstelle von der UNTRUST-Schnittstelle eindringen und die Antwort würde die UNTRUST-Schnittstelle Egress.

Um diese Arbeit wie beabsichtigt zu machen, werden die letzten beiden Regeln im Beispiel gezeigt:

VPN. PNG. png

Wenn Sie Routing-Protokolle oder einen anderen Traffic benötigen, um auf der gleichen Zone zu kommunizieren, dann müssen Sie eventuell zusätzliche Regeln hinzufügen:

Alle verleugnen. PNG. png

Um den Standard-Policy-Logging zu testen, führen Sie den folgenden CLI-Befehl

> Systemeinstellung Protokollierungs-Voreinstellung-Policy-Protokollierung<value></value>

wo <value>ist 0-300</value>

Besitzer: Panagent
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClXkCAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language