ファイアウォールに来ていないサブネットからのトラフィック-GlobalProtect ゲートウェイ

ファイアウォールに来ていないサブネットからのトラフィック-GlobalProtect ゲートウェイ

25979
Created On 09/25/18 19:49 PM - Last Modified 06/09/23 05:54 AM


Symptom


兆候

  • パロアルトネットワークファイアウォールは、すべての内部サブネットに到達することができます。
  • GlobalProtect ユーザーがこれらの内部サブネットにアクセスすると、いくつかのサブネットでは、トラフィックがパロアルトネットワークファイアウォールに来ません。
  • 他のすべてのサブネットは正常に動作しています--問題は1つのサブネットのみ、アクセスルート 0.0.0.0/0 に発生します。

診断

LAN 内のより具体的なルートは、アクセスルート 0.0.0.0/0 よりも優先されます。

Resolution


(フルトンネリング) の場合は、アクセスルートとして 0.0.0.0/0 を入力します。 この構成の利点は、すべてのクライアントトラフィックの可視性があり、LAN に物理的に接続されていない場合でも、クライアントがポリシーに従ってセキュリティ保護されるようにすることです。 

 

この構成では、ローカルサブネット宛てのトラフィックは、ゲートウェイにトンネリングされるのではなく、物理アダプタを経由します。

 

アクセスルート 0.0.0.0/0 を記載している場合でも、これらのルートはローカルルーティングテーブルでより正確に一致しているため、特定のサブネットがパロアルトネットワークファイアウォールに到達しないことを happe ことがあります。

 

  • 分割トンネリングにより具体的なルートを使用するか 
  • または、PAN OS 7.0. x 以降で導入された機能を使用する

 

PAN OS 7.0 x の機能は、 ゲートウェイ構成でローカルネットワークに直接アクセスできないことを確認することです。これにより、ユーザーがプロキシやローカルリソース (ホームプリンタなど) にトラフィックを送信できなくなります。

 

トンネルが確立されると、すべてのトラフィックは、ファイアウォールによってポリシーが適用されるトンネルを経由してルーティングされます。すべてのトラフィックはトンネルを通過し、ローカルルーティングテーブルは無視されます。

 

 

Gp。Png

 

 
 ありがとう。
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CleNCAS&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language