Was sind universelle, intrazone und interzonale Regeln?

Was sind universelle, intrazone und interzonale Regeln?

217624
Created On 09/26/18 13:47 PM - Last Modified 06/08/23 08:26 AM


Resolution


Details

Bei der Konfiguration einer Sicherheitspolitik ist bei der Betrachtung der rulebase nicht ersichtlich, was mit dem Verkehr geschehen wird, der keiner Regel entspricht. Darüber hinaus gibt es keine Möglichkeit, die Behandlung für diesen Verkehr zu ändern, ohne eine explizite Regel zu schaffen. In vielen Fällen wollen Nutzer einfach die Protokollierung für diesen Verkehr ermöglichen. In einigen Fällen wollen Sie die Behandlung für den intrazone-Verkehr leicht ändern. Dies erfordert derzeit die Konfiguration von expliziten Regeln für jede Zone.

 

In früheren Versionen von Pan-OS vor 6,1 gibt es keine Klassifizierung, die in der Sicherheitspolitik als "Regeltyp" bezeichnet wird. Dies ist ein neues Feature, das in der 6,1-Version von Pan-OS enthalten ist. Diese Funktion gibt uns die Möglichkeit, Regeln zu erstellen, die auf den Parametern von Interzone, intrazone und Universal basieren. Diese Funktion hilft den Administratoren, die Kontrolle darüber zu haben, welche Regeln auf der Grundlage der Zonen in Ihrem Netzwerk erstellt werden, die auch während einer Prüfung nützlich sein können.

 

Auf Pan-OS 6,1 und höher werden die Standard-Sicherheitsregeln an das Ende der normalen Sicherheitsregeln angehängt, wie unten gezeigt:

  • Ein grünes Zahnrad Bild neben dem Regel Namen "intrazone-default" zeigt an, dass die Regel von "vordefiniert" oder von "Panorama" ist.  Ein Werkzeugtipp ist auf dem Bild verfügbar.
  • Ein doppeltes Zahnrad-Bild neben dem "Interzone-default"-Regelnamen zeigt an, dass die Regel in den aktuellen Vsys liegt und die Werte einer anderen Regel von "vorgegeben" oder Panorama übersteigt.
  • "intrazone-default"-Regel Aktion ist erlaubt
  • "Interzone-default"-Regel Aktion ist Deny

doc-57491-2. png

 

Die folgende Tabelle beschreibt die Regel Typen und Beschreibungen:

RegeltypBeschreibung
Universal

Standardmäßig ist der gesamte Verkehr, der zwischen zwei Zonen bestimmt ist, unabhängig davon, dass er aus der gleichen Zone oder einer anderen Zone besteht, die Regel für alle passenden Interzone-und intrazone-Verkehr in den angegebenen Quell-und Zielzonen.

Wenn zum Beispiel eine universelle Rolle mit den Quell Zonen a und b und den Ziel Zonen a und b geschaffen wird, würde die Regel für den gesamten Verkehr innerhalb der Zone a gelten, den gesamten Verkehr innerhalb der Zone b und den gesamten Verkehr von der Zone a zur Zone b und den gesamten Verkehr von der Zone b zur Zone a.

Intrazone

Eine Sicherheitsrichtlinie, die den Verkehr zwischen der gleichen Zone erlaubt, gilt die Regel für alle passenden Datenverkehr innerhalb der angegebenen Quell Zonen (kann keine Zielzone für intrazone-Regeln angeben).

Wenn zum Beispiel die Quell Zone auf A und B festgelegt wird, würde die Regel für den gesamten Verkehr innerhalb der Zone a und für den gesamten Verkehr innerhalb der Zone B gelten, aber nicht für den Verkehr zwischen den Zonen a und B.

Interzone

Eine Sicherheitspolitik, die den Verkehr zwischen zwei verschiedenen Zonen ermöglicht. Der Verkehr zwischen der gleichen Zone wird jedoch nicht erlaubt sein, wenn er mit diesem Typ erstellt wird, dies gilt die Regel für alle passenden Datenverkehr zwischen den angegebenen Quell-und Zielzonen.

Wenn zum Beispiel die Quell Zone auf a, b und C und die Zielzone auf a und B festgelegt wird, würde die Regel für den Verkehr von der Zone a bis zur Zone b gelten, von der Zone b bis zur Zone a, von der Zone c bis zur Zone a und von der Zone c bis zur Zone b , aber nicht den Verkehr innerhalb der Zonen A, B oder C.

 

Eine benutzerdefinierte Sicherheitsregel kann als "Universal", "intrazone" oder "Interzone" konfiguriert werden, wie unten gezeigt:

doc-57491-1. png

 

Wenn eine Regel als "intrazone" konfiguriert ist, kann die "Zielzone" nicht geändert werden (ausgegraut). Sein Wert kommt aus der "Quell Zone".

doc-57491-3. png

 

Die "vordefinierten" oder Panorama-gedrückten "intrazone-default" und "Interzone-default"-Regeln-Namen oder Funktionen können nicht geändert werden.

Dies wird durch eine grüne Grenze um den Editor und die "Read only"-Formulierung im Titel angezeigt.

Intrazone4-1. png

Um eine Änderung von "vordefinierten" oder Panorama-Regeln "intrazone-default" oder "Interzone-default" zu machen, muss der Benutzer diese Regeln "überschreiben".

Die "intrazone-default" oder "Interzone-default"-Regel kann überschrieben werden, wenn Sie neben dem Regel Namen ein grünes einzelnes Zahnrad-Bild hat.

Die "override"-Aktion bringt einen Security-Rule-Editor mit, der nur zwei Tabs hat.

Auf der Registerkarte "Allgemein" kann nur das Feld "Tags" geändert werden:

Intrazone5-1. png

 

Auf der Registerkarte "Aktionen" können nur die Felder "Profileinstellung" und "Log-Einstellung" geändert werden:

Intrazone6-1. png

 

Um den "vordefinierten" oder Panorama-gedrückten Wert zurückzubekommen, kann die "Rückgängig"-Aktion durchgeführt werden.

Auf Panorama sind die Standardregeln in einem separaten Baumknoten sichtbar, unterhalb der Sicherheits-vor-und Post-Regeln.

Das grüne Single-Zahnrad-Bild neben dem Namen zeigt an, dass die Regel von einer "Ahnen"-Gerätegruppe, "geteilt" oder "vordefiniert" ist.

Das doppelte Zahnrad-Bild neben dem Namen zeigt an, dass die Regel "übertrieben" ist, die einer "Ahnen"-Gerätegruppen Regel, einer "geteilten" Regel oder einer "vordefinierten" Regel.

Der Benutzer kann die "intrazone-default" oder "Interzone-default"-Regeln, wie unten gezeigt, "überschreiben":

Intrazone8-1. png

 

Panorama

Sowohl VM als auch M-100 Panorama unterstützen neue Features. Die neuen Standardregeln werden unterhalb der Post-Sicherheitsregeln erscheinen.

 

Weitere Details zum Panorama:

  • Standardregeln, wenn Sie auf das Gerät dataplane gedrückt werden, werden nach jeder anderen Gruppe oder gemeinsamen Regeln wirksam.
  • Änderungen, die auf "Interzone-default" oder "intrazone-default" lokal auf Palo Alto Networks-Gerät vorgenommen werden, haben Vorrang vor Änderungen, die von Panorama gedrückt werden.

 

Panorama 6,1 und 5. x/6.0 Pan-OS Geräte Interaktion:

Wenn Sie die Sicherheitsregeln von 6,1 Panorama auf ein PANOS-Gerät vor 6,1 drücken, wird das erwartete Verhalten unten gezeigt:

  • Vorgegebene Standardregeln von der rulebase entfernt, um gedrückt zu werden
  • Regeln mit "intrazone" und "Interzone"-Typen von der rulebase entfernt, um gedrückt zu werden
  • Regeln mit "Universal"-Typ in Pre-6,1-Regeln umgewandelt
  • Panorama stellt eine Warnung vor, dass nicht alle Regeln auf Pre-6,1-Gerät (s)
    Admin @ Panorama > Show Jobs ID 25970

 

Enqueued ID Type Status Ergebnis abgeschlossen

--------------------------------------------------------------------------

2014/07/22 22:03:38 25970 commitall FIN OK 100%   

Warnungen: 001606007416 ist unter 6,1, Entfernung von intrazone und Interzone Regeln

-010401000006 Commit Nachfolger OK 22:03:39 22:03:57

-001606007416 Commit Nachfolger OK 22:03:39 22:05:15

 

Upgrade/Downgrade:

  • Upgrades: Wenn eine Regel bereits mit dem Namen "intrazone-default" oder "Interzone-default" existiert, sollte diese Regel in "Custom-intrazone-default" oder "Custom-Interzone-default" umbenannt werden.
    Hinweis: beim Upgrade auf Pan-OS 6,1 werden alle bestehenden Regeln in der Sicherheits-rulebase in universelle Regeln umgewandelt.
  • Downgrades: Entfernen Sie den Typ-Knoten aus allen universellen Regeln. Löschen Sie alle intrazone-und Interzone-Regeln.

 

Siehe auch

Pan-OS 6,1 Administrator es Guide

 

Besitzer: Jdelio
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClomCAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language