Die meisten dynamischen routing-Protokolle haben eine multicast-Adresse, der sie mit zu kommunizieren, um routing Parameter und Netzwerken auszutauschen. Die gemeinsame dynamische routing-Protokolle verwendet heute und ihre multicast-Adressen sind:
- BGP: keiner
- OSPF: 224.0.0.5 (AllSPFRouters), 224.0.0.6 (AllDRRouters)
- RIP: 224.0.0.9
- EIGRP: 224.0.0.10 (derzeit nicht auf Firewalls von Palo Alto Networks unterstützt)
- PIM: 224.0.0.13
Die meisten Router versenden standardmäßig, einschließlich Firewalls von Palo Alto Networks, Nachrichten zum jeweiligen multicast-Adressen aus der Steuerungsebene. Der Steuerung Flugzeug Verkehr unterliegt nicht definiert für die Datenebene, die Sicherheitsrichtlinien auf der Firewall tätig ist.
Erklärung
Als Beispiel eine Deny-any-any Politik in die Sicherheitsregeln konfiguriert werden und eines dynamischen Protokolle, die oben aufgeführten, die multicast-Adressen für ihren Betrieb nutzen würde noch richtige Nachbarbeziehungen mit peering Geräte bilden.
- BGP verwendet keine multicast-Adresse für die Kommunikation. Es kommuniziert standardmäßig auf TCP/179 und so muss es durch eine Sicherheitsrichtlinie auf der Datenebene für ordnungsgemäße zulässig sein.
- OSPF hat eine Einschränkung. Form-Nachbar-Beziehung OSPF sendet Hello-Nachrichten an die multicast-Adresse, jedoch um vollständige Nachbarschaft bilden, könnte OSPF-Nachbarn Datenbank Deskriptor Nachrichten miteinander über ihre jeweiligen Unicast-Adressen senden. Diese Unicast-Mitteilungen müssen durch eine Sicherheitspolitik erlaubt werden.
Hinweis: Dies bedeutet, dass eine Sicherheitsrichtlinie, die die Anwendung von OSPF für die gleiche Zone zulässt, erforderlich ist, wenn es eine Best-any-Regel am Ende der Regel-Basis gibt. - RIP und PIM kommunizieren nur mit ihrer multicast-Adressen, so dass keine Sicherheitsrichtlinien für ihren Betrieb notwendig sind.
Andere Protokolle auf der Palo Alto Networks Firewall:
- Wenn die Firewall als ein DHCP-Server fungiert, die DHCPD verkehrt in der Steuerungsebene, aber abhängig von der laufenden DHCP-Transaktion eine Sicherheitsrichtlinie erforderlich sein könnte.
- Wenn ein Host bis auf das Netzwerk zum ersten Mal kommt und es im gleichen LAN wie Palo Alto Networks Firewall ist, verwendet dieser Host broadcast-Nachrichten, um eine neue IP-Adresse erhalten. Dies braucht keine Sicherheitsrichtlinie zu arbeiten.
- Wenn der Host für eine Weile gewesen ist und versucht, zu erneuern oder lassen Sie die IP-Adresse, die sie bereits hat, sind die DHCP-Nachrichten mit Unicast-Adressen. Diese Nachrichten müssen mit einer Sicherheitsrichtlinie zugelassen werden.
- Wenn die Palo Alto Networks Firewall ein DHCP-Server ist, aber die Kunden nicht in demselben LAN sind wie, dann ist es wahrscheinlich gibt es im Netzwerk ein DHCP-Relay, sendet Umwandlung den DHCP auf Unicast-Nachrichten. Diese Unicast-Anfragen aus dem DHCP-Relay Router im Netzwerk müsste durch eine Sicherheitsrichtlinie zugelassen werden. Dies gilt auch dann, wenn die Firewall einen DHCP-Relay-Agent ist.
DNS, NTP, SNMP, GlobalProtect und andere Protokolle auf der Firewall müsste alles durch Sicherheitsrichtlinien gestattet werden, da sie Unicast-Adressen für ihre Kommunikation nutzen.
Besitzer: Tasonibare