パロ ・ アルトのネットワーク デバイスはないを必要とするセキュリティ ポリシーで動作する動的プロトコル
45517
Created On 09/25/18 19:24 PM - Last Modified 06/09/23 03:18 AM
Resolution
最もダイナミックなルーティング プロトコルとルーティング パラメーターやネットワークを交換するために通信するマルチキャスト アドレスがあります。それぞれのマルチキャスト アドレスと共通の動的なルーティング プロトコルは、今日を使用します。
- BGP: どれも
- OSPF: 224.0.0.5 (AllSPFRouters)、224.0.0.6 (AllDRRouters)
- リッピング: 224.0.0.9
- EIGRP: 224.0.0.10 (現在はパロ ・ アルトのネットワーク ファイアウォールのないサポート)
- PIM: 224.0.0.13
ほとんどのルーターのパロ ・ アルト ネットワーク ファイアウォールを含む既定にメッセージを送信対応するマルチキャスト アドレス制御飛行機から。制御平面のトラフィックはファイアウォールをセキュリティ ポリシーを操作するは、データ面に定義されたポリシー応じてありません。
詳細について
例として、任意に拒否ポリシーがセキュリティ規則で設定できないし、ピアリング デバイスと適切な隣人関係を形成まだ彼らの操作にマルチキャスト アドレスを使用上記動的プロトコルのいずれか。
- BGP は、通信にマルチキャスト アドレスを使用しません。デフォルトでは TCP/179 で通信してデータ プレーンの適切な機能のためのセキュリティ ポリシーで許可される必要がありますので。
- OSPF には注意。隣人関係をフォーム、OSPF こんにちはメッセージをマルチキャスト アドレスに送信する、ただし、における隣接関係を形成するには、OSPF 近隣ノードがメッセージを送信データベース記述子各ユニキャスト アドレスを使用して互いに。これらのユニキャスト通信は、セキュリティポリシーによって許可される必要があります。
注:これは、ルールベースの最下部に [拒否-any-] ルールがある場合に、同じゾーンのアプリケーション OSPF を許可するセキュリティポリシーが必要であることを意味します。 - RIP と PIM のみ通信にマルチキャスト アドレスを持つ彼らの操作のためのセキュリティ ポリシーは必要ありませんので。
パロ ・ アルトのネットワーク ファイアウォール上の他のプロトコル:
- ファイアウォールが DHCP サーバーとして機能しているとき、DHCPD サービスが制御飛行機で動作しますが、継続中の DHCP トランザクションに応じてセキュリティ ポリシーを必要ことがあります。
- ホストがネットワーク上の最初の時間パロ ・ アルトのネットワーク ファイアウォールと同じ LAN 上、そのホストでは、ブロードキャスト メッセージを使用して、新しい IP アドレスを取得します。これは動作するようにセキュリティ ポリシーを必要はありません。
- ホストは、しばらくの間アップしているし、の更新または既に持っている IP アドレスを解放しようとしては、ユニキャスト アドレスを使用してそれらの DHCP メッセージが送信されます。これらのメッセージは、セキュリティ ポリシーを許可する必要があります。
- パロ ・ アルトのネットワーク ファイアウォールは、DHCP サーバーがそのクライアントが同じ LAN 上だと、そのネットワークに DHCP リレーがある可能性が最も高い、ユニキャスト メッセージ ブロードキャスト DHCP を変換します。ネットワークの DHCP リレー ルーターからのユニキャスト要求は、セキュリティ ポリシーによって許可される必要があります。ファイアウォールが DHCP リレー エージェントの場合も同様です。
彼らのコミュニケーションのユニキャスト アドレスを使用するのでセキュリティ ポリシーによって許可される、DNS、NTP、SNMP、GlobalProtect および他のプロトコルのファイアウォールですべて必要があります。
所有者: tasonibare