Quelles sont les règles universelles, intrazone et interzones?

Quelles sont les règles universelles, intrazone et interzones?

217642
Created On 09/26/18 13:47 PM - Last Modified 06/08/23 08:26 AM


Resolution


Détails

Lors de la configuration d'une stratégie de sécurité, il n'est pas évident lors de la recherche sur le rulebase, ce qui va arriver à la circulation qui ne correspond à aucune règle. En outre, il n'y a aucun moyen de modifier le traitement de ce trafic sans créer une règle explicite. Dans de nombreux cas, les utilisateurs veulent simplement activer l'enregistrement pour ce trafic. Dans certains cas, ils veulent changer facilement le traitement pour le trafic intrazone. Actuellement, cela nécessite la configuration de règles explicites pour chaque zone.

 

Dans les versions antérieures de Pan-OS avant le 6,1, il n'y a pas de classification appelée «type de règle» dans la politique de sécurité. Cette nouvelle fonctionnalité est incorporée dans la version 6,1 de Pan-OS. Cette fonctionnalité nous donne une option pour créer des règles basées sur les paramètres d'interzone, intrazone et Universal. Cette fonctionnalité permet aux administrateurs d'avoir le contrôle sur les règles créées en fonction des zones de leur réseau, qui peuvent également être utiles lors d'une vérification.

 

Sur Pan-OS 6,1 et au-dessus, les règles de sécurité par défaut sont ajoutées à la fin des règles de sécurité normales, comme indiqué ci-dessous:

  • Une image à pignon vert à côté du nom de règle "intrazone-default" indique que la règle est de "prédéfini" ou de "Panorama".  Une info-bulle est disponible sur l'image.
  • Une image à pignon double à côté du nom de la règle «interzone par défaut» indique que la règle se trouve dans le VSYS actuel et qu'elle substitue les valeurs d'une autre règle de «prédéfini» ou Panorama
  • l'action de règle "intrazone-default" est autoriser
  • l'action de règle «interzone par défaut» est Deny

doc-57491-2. png

 

Le tableau ci-dessous décrit les types de règles et les descriptions:

Type de règleDescription
Universel

Par défaut, tout le trafic destiné entre deux zones, indépendamment de la même zone ou d'une zone différente, applique la règle à tous les trafics interzone et intrazone correspondants dans les zones source et destination spécifiées.

Par exemple, si la création d'un rôle universel avec les zones sources a et b et les zones de destination a et b, la règle s'appliquerait à tout le trafic dans la zone a, tout le trafic à l'intérieur de la zone b et tout le trafic de la zone a à la zone b et tout le trafic de la zone b

Intrazone

Une stratégie de sécurité autorisant le trafic entre la même zone, cela applique la règle à tout le trafic correspondant dans les zones source spécifiées (impossible de spécifier une zone de destination pour les règles intrazone).

Par exemple, si vous définissez la zone source sur a et b, la règle s'appliquerait à tout le trafic dans la zone a et à tout le trafic à l'intérieur de la zone b, mais pas au trafic entre les zones a et b.

Interzone

Une politique de sécurité permettant le trafic entre deux zones différentes. Toutefois, le trafic entre la même zone ne sera pas autorisé lorsqu'il est créé avec ce type, cela applique la règle à tout le trafic correspondant entre les zones source et destination spécifiées.

Par exemple, si l'affectation de la zone source à a, b et C et à la zone de destination a et b, la règle s'appliquerait au trafic de la zone a à la zone b, de la zone b à la zone a, de la zone c à la zone a, et de la zone c à la zone b , mais pas le trafic dans les zones A, B ou C.

 

Une règle de sécurité définie par l'utilisateur peut être configurée comme «universel», «intrazone» ou «interzone», comme indiqué ci-dessous:

doc-57491-1. png

 

Lorsqu'une règle est configurée comme «intrazone», la «zone de destination» ne peut pas être modifiée (grisée). Sa valeur provient de la "zone source".

doc-57491-3. png

 

Les noms ou fonctions "prédéfinis" ou "Panorama" poussés "intrazone-default" et "interzone-default" ne peuvent pas être modifiés.

Ceci est indiqué par un pensionnaire vert autour de l'éditeur et le mot «lecture seule» dans le titre.

Intrazone4-1. png

Pour apporter une modification aux règles "prédéfinies" ou "intrazone-default" ou "interzone-default", l'utilisateur doit "outrepasser" ces règles.

La règle «intrazone-default» ou «interzone-default» peut être remplacée si elle possède une image à pignon unique vert à côté du nom de la règle.

L'action "override" va mettre en place un éditeur de règles de sécurité qui n'a que deux onglets.

Sur l'onglet "général", seul le champ "tags" peut être modifié:

Intrazone5-1. png

 

Dans l'onglet "actions", seuls les champs "configuration du profil" et "paramètres du journal" peuvent être modifiés:

Intrazone6-1. png

 

Pour récupérer la valeur «prédéfini» ou le panorama poussé, l'action «rétablir» peut être effectuée.

Sur panorama, les règles par défaut sont visibles dans un nœud d'arborescence distinct, sous les règles de sécurité pré et post.

L'image à pignon unique vert à côté du nom indique que la règle provient d'un groupe de périphériques «ancêtre», «partagé» ou «prédéfini».

L'image à deux pignons à côté du nom indique que la règle est «substitution» de celle d'une règle de groupe de périphériques «ancêtre», de la règle «partagée» ou de la règle «prédéfinie».

L'utilisateur peut "remplacer" les règles "intrazone-default" ou "interzone-default" comme indiqué ci-dessous:

Intrazone8-1. png

 

Panorama

Les deux VM et M-100 panorama prennent en charge de nouvelles fonctionnalités. Les nouvelles règles par défaut s'affichent sous les règles de sécurité post.

 

Plus de détails concernant Panorama:

  • Les règles par défaut, lorsqu'elles sont envoyées au périphérique dataplane, prendront effet après tout autre groupe ou règle partagée.
  • Les modifications apportées à "interzone-default" ou "intrazone-default" localement sur le périphérique Palo Alto Networks ont priorité sur les changements poussés depuis panorama.

 

Panorama 6,1 et 5. x/6.0 Pan-OS périphériques interaction:

Lorsque vous poussez les règles de sécurité du 6,1 panorama vers un périphérique Panos pré-6,1, le comportement attendu est indiqué ci-dessous:

  • Règles par défaut prédéfinies supprimées de rulebase à pousser
  • Règles avec les types "intrazone" et "Interzone" supprimés de rulebase à pousser
  • Règles avec type "universel" converti en règles pré-6,1
  • Panorama présente un avertissement que toutes les règles n'ont pas été poussées à pré-6,1 dispositif (s)
    admin @ panorama > afficher les travaux ID 25970

 

Résultat d'état de type d'ID en file d'attente terminé

--------------------------------------------------------------------------

2014/07/22 22:03:38 25970 CommitAll fin OK 100%   

Avertissements: 001606007416 est inférieur à 6,1, en supprimant intrazone et interzone règles

-010401000006 commit réussi OK 22:03:39 22:03:57

-001606007416 commit réussi OK 22:03:39 22:05:15

 

Mise à niveau/downgrade:

  • Mises à niveau: si une règle existe déjà avec le nom "intrazone-default" ou "interzone-default", cette règle doit être renommée en "Custom-intrazone-default" ou "Custom-interzone-default".
    Remarque: lors de la mise à niveau vers Pan-OS 6,1, toutes les règles existantes dans le rulebase de sécurité seront converties en règles universelles.
  • Downgrades: supprimez le nœud type de toutes les règles universelles. Supprimez toutes les règles intrazone et interzone.

 

Voir aussi

Guide de l'administrateur Pan-OS 6,1

 

propriétaire : jdelio
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClomCAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language