Cualquier/cualquiera/negar seguridad regla cambios comportamiento predeterminado

Cualquier/cualquiera/negar seguridad regla cambios comportamiento predeterminado

71647
Created On 09/25/18 19:24 PM - Last Modified 06/09/23 08:54 AM


Resolution


Resumen

Todos los cortafuegos de Palo Alto Networks tienen dos reglas de seguridad implícitas:

  • DeNegar el tráfico entre zonas
  • Permitir tráfico de la misma zona

Las reglas predeterminadas se aplican a menos que exista una regla definida que permita que el tráfico pase entre dos zonas. El tráfico que golpeó las reglas predeterminadas no se registra. Algunos usuarios han encontrado que al agregar una regla denegar toda al final de la lista que deja todo el tráfico de "cualquier zona" a "cualquier zona" ahora pueden ver las entradas de registro de tráfico para los paquetes caídos.  Cuando se aplica esta regla "denegar todo", a menudo tiene el comportamiento no deseado de dejar caer el tráfico "misma zona" que está permitido por defecto. El tráfico que comienza en la zona de confianza y termina en la zona de confianza coincide con cualquier/cualquier zona de la regla denegar.  El resultado final es que SSL VPN, BGP, IPSEC y cualquier otro protocolo o tráfico que recibe y responde en la misma zona ya no pasará tráfico.

Con GlobalProtect, una regla cualquiera/cualquier/deNegar puede causar los siguientes síntomas:

  • Los clientes de GlobalProtect (GP) no se conectarían ya que su conexión sería de la zona de desconfianza a la zona de desconfianza y se bloquearía por la regla any/any/denegar.
  • La conectividad a servicios internos en la misma zona que GlobalProtect no funcionaría sin una directiva para permitir la misma zona. La misma conectividad con el tráfico de zonas cruzadas si no había ninguna directiva para el tráfico de zonas cruzadas.

El siguiente es un ejemplo de cualquiera/cualquier/deny con SSL VPN:

La interfaz pública de un enrutador virtual está proporcionando acceso a Internet y terminando el tráfico VPN SSL. Esta interfaz forma parte de una zona denominada unTRUST.  Todas las conexiones VPN SSL ingresarían a la interfaz de la interfaz Untrust y la respuesta se desviaría de la interfaz Untrust.

Para hacer este trabajo como se pretendía, las dos últimas reglas se muestran en el ejemplo:

VPN. PNG. png

Si necesita protocolos de enrutamiento u otro tráfico para comunicarse en la misma zona, puede que necesite agregar reglas adicionales:

Negar todo. PNG. png

Para probar el registro de directivas predeterminado, ejecute el siguiente comando CLI:

> establecer configuración del sistema registro predeterminado-política-registro<value></value>

¿Dónde <value>está 0-300</value>

Propietario: panagent
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClXkCAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language