Comportement par défaut de sécurité tout/toute/refus règle changements

Comportement par défaut de sécurité tout/toute/refus règle changements

71655
Created On 09/25/18 19:24 PM - Last Modified 06/09/23 08:54 AM


Resolution


Vue d’ensemble

Tous les pare-feu de Palo Alto Networks ont deux règles de sécurité implicites:

  • Refuser le trafic inter-zone
  • Autoriser le trafic de même zone

Les règles par défaut sont appliquées à moins qu'il existe une règle définie qui autorise le trafic à passer entre deux zones. Le trafic qui a atteint les règles par défaut ne sont pas journalisés. Certains utilisateurs ont constaté qu'en ajoutant une règle Deny All à la fin de la liste qui supprime tout le trafic de «n'importe quelle zone» à «n'importe quelle zone», ils peuvent maintenant voir les entrées du journal de trafic pour les paquets supprimés.  Lorsque cette règle «Deny All» est appliquée, elle a souvent le comportement indésirable de supprimer le trafic «même zone» qui est autorisé par défaut. Le trafic commençant sur la zone de confiance et se terminant sur la zone d'approbation correspond aux zones any/any de la règle de refus.  Le résultat final est que SSL VPN, BGP, IPSEC et tout autre protocole ou trafic qui reçoit et répond sur la même zone ne passera plus le trafic.

Avec GlobalProtect, une règle any/any/Deny peut provoquer les symptômes suivants:

  • Les clients GlobalProtect (GP) ne se connecteraient pas car leur connexion serait de la zone de non-confiance à la zone de non-approbation et serait bloquée par la règle any/any/Deny.
  • La connectivité aux services internes sur la même zone que GlobalProtect ne fonctionnerait pas sans une politique autorisant la même zone. La même connectivité avec le trafic Cross-zone S'il n'y avait pas de stratégie pour le trafic inter-zones.

Ce qui suit est un exemple de any/any/Deny avec SSL VPN:

L'interface publique d'un routeur virtuel fournit l'accès à Internet et termine le trafic VPN SSL. Cette interface fait partie d'une zone nommée unTRUST.  Toutes les connexions VPN SSL ingressaient l'interface à partir de l'interface de non-confiance et la réponse sortirait de l'interface de non-confiance.

Pour que cela fonctionne comme prévu, les deux dernières règles sont affichées dans L'exemple:

VPN. PNG. png

Si vous avez besoin de protocoles de routage ou d'autres trafics pour communiquer sur la même zone, vous devrez peut-être ajouter des règles supplémentaires:

Nier tout. PNG. png

Pour tester la journalisation des stratégies par défaut, exécutez la commande CLI suivante:

> définir la configuration système de journalisation par défaut-stratégie-journalisation<value></value>

où <value>est 0-300</value>

propriétaire : panagent
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClXkCAK&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language