侵入スキャン中にログが生成されないゾーン保護プロファイル

侵入スキャン中にログが生成されないゾーン保護プロファイル

45130
Created On 09/25/18 19:38 PM - Last Modified 04/19/24 19:20 PM


Resolution


概要

ゾーン保護プロファイルを展開して侵入スキャンを検出する場合は、対応するトラフィックをセキュリティポリシーで許可する必要があります。そうしないと、ゾーン保護プロファイルは脅威ログを生成せず、トラフィックを拒否するセキュリティ規則のために問題のあるトラフィックが削除されます。

 

詳細

ゾーン保護プロファイルの例を以下に示します。このプロファイルの名前は "テストゾーン-Prot" です。

  1. 洪水保護タブ:
    zone-prot-flood
  2. 偵察保護タブ:
    スクリーンショット2013-11-04 で 7.37.00 pm.
  3. パケットベースの攻撃保護タブ:
    スクリーンショット2013-11-04 で 7.37.11 pm.

 

上記のゾーン保護プロファイルは、"テストゾーン-Prot" は、ゾーンに適用されている侵入スキャンされます。目標は、ethernet1/3 でスキャンを有効にすることです。

zone-prot-apply

 

トラフィックを許可するように設定されたセキュリティポリシー

デモンストレーションの目的で、アクティブなセキュリティポリシーはすべてのトラフィックを許可するように設定されています。これは通常、実稼働環境ではそうではありません。

sec-allow

上記の構成では、最初の NMAP の侵入スキャンの結果は次のとおりです。

scan-allow

結果の脅威ログ (監視 > ログ > 脅威) を以下に示します。
threat-log-allow

上記のように、ゾーン保護プロファイルが有効になっており、期待どおりに機能します。

 

トラフィックを拒否するように設定されたセキュリティポリシー

ターゲットインターフェイスへのトラフィックを許可するセキュリティポリシーがない場合は、ゾーンの保護によって、そのインターフェイスの侵入スキャン中に脅威ログを作成できなくなります。

この構成では、最後のセキュリティポリシーがトラフィックを拒否するように構成されています。

sec-deny

この構成の NMAP の侵入スキャンの結果を次に示します。

scan-deny

生成される脅威ログは空です。

threat-log-deny

"拒否" セキュリティポリシーによってトラフィックが直ちに削除されたため、脅威ログはありません。

 

注意:外部ゾーンの「オープンポート」に対してスキャンが実行されている場合、ゾーン保護プロファイルによって脅威ログにエントリがあるだけです。

 

所有者: cchristiansen
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClbCCAS&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language