基于策略的转发对来自帕洛阿尔托网络防火墙的通信不起作用

问题

在配置基于策略的转发 (PBF) 规则时, 通过 ISP 将来自一个区域的所有通信转发到 internet, 该规则将仅对帕洛阿尔托网络防火墙后面的工作站生效, 而不适用于来自防火墙的通信量。.

原因

当路由表中存在路由以及 PBF 规则时, 只有 PBF 规则将首先在与特定项匹配的自上而下基础上计算。但是, 这仅适用于来自防火墙后面工作站的通信量。当 PBF 规则用于将受信任区域中的所有通信转发到不受信任的区域时, 只有当通信来自帕洛阿尔托网络防火墙后面的工作站时, 该规则才会生效。但是, 当试图从防火墙中源通信时, 它将绕过对 PBF 表的评估, 而是开始评估路由表检查是否有相应的匹配路由, 以便将通信量从出口接口中转发出去。

从 WebGUI 转到网络 > 接口 > 以太网, 在以下情况下配置接口, 如下所示:

在网络 > 虚拟路由器 > 静态路由中, 有一个默认路由, 如下所示:

当从工作站采购通信时, 请参阅会话信息, 如下所示:

从 WebGUI, 转到设备 > 基于策略的转发, 并创建以下 PBF 规则, 它与默认路由相同:

在从工作站获取通信量时, 请参阅下面所示的会话信息 (尽管已经存在默认路由, 但仅 PBF 规则首先得到评估):

当试图从防火墙后面的工作站和防火墙的受信任接口到公共 ip 4.2.2.2 进行连续 ping 时, ping 都是成功的。这是因为来自工作站的通信使用了 PBF 规则, 来自防火墙的通信使用了路由表:

仅删除了默认路由, 从工作站发送的通信通过使用 PBF 规则成功传递, 但从防火墙来源的通信失败, 如下面的默认路由被删除:

PBF 将只用于从防火墙后面的机器传输的通信, 而不是来自防火墙的通信量。

以下是已知的限制:

1. PBF 对帕洛阿尔托网络防火墙的 IPSec 隧道通信不起作用。
2. PBF 1 阶段隧道不起作用, 需要使用路由表的默认路由来启动 IKE。
3. PBF 对 GlobalProtect 连接不起作用
4. 在使用 PBF 规则的应用程序时, TCP 通信的应用程序签名匹配是在3路握手之后进行的。因此, PBF 规则可能与初始的3路握手不匹配, 因此只能基于路由查找来遍历防火墙.

所有者： dantony