ポリシーベースの転送は、パロアルトネットワークファイアウォールから供給されたトラフィックのために動作しません

問題

1つのゾーンからインターネットへのすべてのトラフィックを ISP 経由で転送するようにポリシーベースの転送 (PBF) ルールを構成する場合、ルールは、ファイアウォールから供給されるトラフィックではなく、パロアルトネットワークファイアウォールの背後にあるワークステーションに対してのみ有効になります。.

原因

ルートが PBF ルールと共にルーティングテーブルに存在する場合、PBF ルールだけが最初に特定のエントリに一致する上から下の基準で評価されます。ただし、これはファイアウォールの背後にあるワークステーションからのトラフィックに対してのみ適用されます。信頼されたゾーンから信頼されていないゾーンへのすべてのトラフィックを転送するために PBF ルールが適用されている場合、そのルールは、パロアルトネットワークファイアウォールの背後にあるワークステーションからトラフィックが発生した場合にのみ有効になります。しかし、ファイアウォールからのトラフィックをソースしようとすると、それは PBF テーブルの評価をバイパスし、代わりに、出口のインターフェイスからトラフィックを転送するために対応する一致するルートのためのルーティングテーブルのチェックを評価するために開始されます。

WebGUI からネットワーク > インタフェース > イーサネットに移動すると、次のような場合にインタフェースが構成されます。

[ネットワーク] > [仮想ルーター] > [静的ルート] の下に、次に示すように既定のルートが配置されています。

ワークステーションからトラフィックを調達する場合は、次に示すように、セッション情報を参照してください。

WebGUI から、[デバイス] > [ポリシーベースの転送] に移動し、既定のルートと同じ次の PBF ルールを作成します。

ワークステーションからトラフィックを調達する場合は、次に示すようにセッション情報を参照してください (既に存在するデフォルトのルートにもかかわらず、PBF ルールは最初に評価されます)。

ファイアウォールとファイアウォールの信頼されたインターフェイスの背後にあるワークステーションから、パブリック ip 4.2.2.2 への連続的な ping を実行しようとすると、両方の ping が成功しました。これは、ワークステーションから供給されたトラフィックが PBF ルールを使用し、ファイアウォールから発信されたトラフィックがルーティングテーブルを使用したためです。

既定のルートだけが削除され、ワークステーションから送信されたトラフィックは PBF ルールを使用して正常に通過しましたが、ファイアウォールから供給されたトラフィックは次のように既定のルートが削除されて失敗しました。

PBF は、ファイアウォールの背後にあるマシンから供給されたトラフィックに対してのみ動作し、ファイアウォールからのトラフィックは対象としません。

以下に既知の制限事項を示します。

1. PBF は、パロアルトネットワークファイアウォールへの IPSec トンネルトラフィックに対しては機能しません。
2. PBF はフェーズ1のトンネルのために機能しない、それは IKE を開始するためにルーティングテーブルのデフォルトルートを使用する必要があります
3. PBF が GlobalProtect 接続に対して機能しない
4. PBF ルールにアプリケーションを使用する場合、TCP トラフィックに対するアプリケーションシグネチャ一致は、3ウェイハンドシェイクの後に行われます。したがって、PBF ルールは、最初の3ウェイハンドシェイクと一致しないため、ルートルックアップのみに基づいてファイアウォールを走査することができます。

所有者: dantony