いずれか/すべて/拒否セキュリティ ルール変更の既定の動作
Resolution
概要
すべてのパロアルトネットワークファイアウォールには、2つの暗黙のセキュリティルールがあります。
- クロスゾーントラフィックを拒否する
- 同じゾーンのトラフィックを許可する
既定の規則は、トラフィックが2つのゾーン間を通過できるように定義された規則がない限り適用されます。既定のルールにヒットしたトラフィックはログに記録されません。一部のユーザーは、"すべてのゾーン" から "任意のゾーン" にすべてのトラフィックをドロップするリストの末尾に拒否するすべてのルールを追加することによって、彼らは今、ドロップパケットのトラフィックログエントリを見ることができることを発見した。 この "すべてを拒否" ルールが適用されると、多くの場合、デフォルトで許可されている "同じゾーン" トラフィックを削除するという望ましくない動作があります。信頼ゾーンで開始され、信頼ゾーンで終了するトラフィックは、拒否規則の任意のゾーンと一致します。 結果として、SSL VPN、BGP、IPSEC、および同じゾーンで受信および応答する他のプロトコルまたはトラフィックは、トラフィックを通過しなくなります。
GlobalProtect を使用すると、任意/任意/拒否ルールによって次の現象が発生することがあります。
- GlobalProtect (GP) クライアントは、接続が Untrust ゾーンから Untrust ゾーンにあり、任意/任意/拒否ルールによってブロックされるため、接続できません。
- GlobalProtect と同じゾーンの内部サービスへの接続は、同じゾーンを許可するポリシーなしでは動作しません。クロスゾーントラフィックのポリシーがない場合、クロスゾーントラフィックと同じ接続。
以下は、SSL VPN を使用した任意/任意/拒否の例です。
仮想ルーターのパブリックインターフェイスは、インターネットアクセスを提供し、SSL VPN トラフィックを終了します。このインターフェイスは、UNTRUST という名前のゾーンの一部です。 すべての SSL VPN 接続は UNTRUST インターフェイスからインターフェイスに侵入し、応答は UNTRUST インターフェイスから送信されます。
この作業を意図したとおりにするには、最後の2つのルールを例に示します。
ルーティングプロトコルやその他のトラフィックが同じゾーンで通信する必要がある場合は、次の規則を追加する必要があります。
既定のポリシーログをテストするには、次の CLI コマンドを実行します。
> システム設定ログのデフォルト設定-ポリシー-ロギング<value></value>
<value>0-300 はどこです</value>か
所有者: panagent