任何/任何/拒绝安全规则的更改默认行为
71657
Created On 09/25/18 19:24 PM - Last Modified 06/09/23 08:54 AM
Resolution
概述
所有帕洛阿尔托网络防火墙都有两个隐式安全规则:
- 拒绝跨区域通信
- 允许相同区域通信量
除非有定义的规则允许通信在两个区域之间传递, 否则将应用默认规则。未记录命中默认规则的通信量。一些用户发现, 通过在列表末尾添加 "拒绝所有" 规则, 将从 "任何区域" 到 "任何区域" 的所有通信都删除, 现在可以看到丢弃的数据包的通信日志条目。 当应用此 "拒绝所有" 规则时, 它通常会有删除 "相同区域" 通信的不需要的行为, 默认情况下允许这样做。从信任区域开始的通信和在信任区域上结束的通讯与拒绝规则的任何/任何区域匹配。 最终结果是, SSL VPN、BGP、IPSEC 以及在同一区域接收和回复的任何其他协议或通信将不再传递通信量。
使用 GlobalProtect, 任何/任何/拒绝规则都可能导致以下症状:
- GlobalProtect (GP) 客户端将无法连接, 因为它们的连接将从不信任区域到不信任区域, 并且被任何/任何/拒绝规则阻止。
- 如果没有允许相同区域的策略, 则与 GlobalProtect 相同区域内的内部服务的连接将无法运行。如果没有跨区域通信策略, 则与跨区域通信具有相同的连接性。
下面是 SSL VPN 的任何/任何/拒绝的示例:
虚拟路由器的公共接口提供 internet 访问和终止 SSL VPN 通信。此接口是名为不信任的区域的一部分。 所有 SSL VPN 连接都将从不信任接口进入接口, 响应将离开不信任接口。
为使此工作按预期进行, 最后两条规则显示在示例中:
如果需要路由协议或其他通信在同一区域上进行通信, 则可能需要添加其他规则:
要测试默认策略日志记录, 请运行以下 CLI 命令:
>> 设置系统设置日志记录默认值-策略日志记录<value></value>
哪里<value>是 0-300</value>
所有者︰ panagent