パノラマで切断されたファイアウォールの表示

パノラマで切断されたファイアウォールの表示

203415
Created On 09/25/18 19:30 PM - Last Modified 07/31/23 13:10 PM


Symptom


兆候

集中管理のためのパノラマにパロアルトネットワークファイアウォールを追加しようとすると、新たに追加されたパロアルトネットワークファイアウォールは、パノラマ > 管理対象デバイスの下で切断されたとして示されている。

 

kb1。PNG

 

デン。PNG

診断

# # 主な理由の一つは、ポート/アプリケーションをパノラマ通信にファイアウォールのために必要な拒否するセキュリティポリシーになります。

または

 

# # 任意の中間デバイスは、ファイアウォールのパノラマ通信に 必要なポートをブロックしています。

Resolution


  • ほとんどの場合、ファイアウォールの管理インターフェイスとパノラマの SSL トンネルが作成されます。
  • ファイアウォールは、ファイアウォールからパノラマへの通信に 宛先 TCP ポート3978を使用します。
  • デバイスがない場合はこのトラフィックを運ぶセキュリティ ポリシーが TCP ポート 3978 ない/パノラマ アプリケーションが許可されて、ショー、パノラマ、このトラフィックの接続がクリーンアップ ポリシーによって拒否されます。
  • 管理インターフェイスの発信元 IP アドレスと宛先 IP アドレス パノラマのトラフィックのログをフィルター処理します。ServiceRoute パノラマ セッションを使用する場合は、適切なデータ プレーン ・ インタ フェースの IP アドレスを使用します。
  • アプリケーションまたはポート、上記のこのトラフィックに対して責任がある既存のセキュリティ ポリシーを変更し、ファイアウォールとして表示されますアクションがセキュリティ ポリシーによって拒否された場合は、パノラマに接続されています。

 

wrk。PNG       

トラフィックのログは、セキュリティ ポリシーを変更した後に許可されます。

 

rel.PNG

 

注: ファイアウォールとパノラマの両方で管理インターフェイスにパブリック Ip アドレスを使用している場合は、セッションは管理面によって管理されます (パケットがデータポートのいずれかを通過していない場合---場合)。

trobleshooting の宛先ポート3978の管理インターフェイスで TCP ダンプを取り、パケットがパロ atlo に到達していることを確認します (中間デバイスが目的のポートをブロックしている場合があります)。 

 

ありがとう。

 

Tarang Srivastava

 

 

 

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClZnCAK&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language