普遍的、Intrazone、Interzone のルールとは何ですか?
Resolution
詳細
セキュリティポリシーを構成するとき、rulebase を見ても、どのルールにも一致しないトラフィックはどうなるかは明らかではありません。さらに、明示的な規則を作成せずに、そのトラフィックの処理を変更する方法はありません。多くの場合、ユーザーはこのトラフィックのログ記録を有効にするだけです。場合によっては、それらは容易に intrazone の交通のための処置を変えたいと思う。現在、ゾーンごとに明示的な規則を構成する必要があります。
6.1 以前のバージョンの PAN OS では、セキュリティポリシーに「ルールの種類」という分類はありません。これは、PAN-OS の6.1 バージョンに組み込まれている新機能です。この機能は、interzone、intrazone、ユニバーサルのパラメータに基づいてルールを作成するオプションを提供します。この機能は、管理者がネットワーク内のゾーンに基づいて作成されるルールを制御できるようにするのに役立ち、監査中にも役に立ちます。
PAN-OS 6.1 以降では、次に示すように、既定のセキュリティ規則が通常のセキュリティ規則の末尾に追加されます。
- "intrazone" ルール名の横にある緑色の歯車のイメージは、ルールが "定義済み" または "パノラマ" からのものであることを示します。 ツールヒントは、イメージで使用できます。
- "interzone" ルール名の横にある二重の重心イメージは、ルールが現在の VSYS にあり、「定義済み」または「パノラマ」から別のルールの値をオーバーライドすることを示します。
- "intrazone-デフォルト" ルールの動作が許可されています
- "interzone-デフォルト" ルールのアクションは deny
次の表は、ルールの種類と説明の詳細を示しています。
ルール タイプ | 説明 |
---|---|
ユニバーサル | 既定では、2つのゾーンの間にあるすべてのトラフィックは、同じゾーンまたは別のゾーンからのものに関係なく、指定されたソースおよび宛先ゾーン内のすべての一致する interzone および intrazone トラフィックにルールを適用します。 たとえば、ソースゾーン a と b、および宛先ゾーン a と b のユニバーサルロールを作成する場合、ルールはゾーン a 内のすべてのトラフィック、ゾーン b 内のすべてのトラフィック、およびゾーン a からゾーン b へのすべてのトラフィック、およびゾーン b からゾーン a へのすべてのトラフィックに適用されます。 |
Intrazone | 同じゾーン間のトラフィックを許可するセキュリティポリシーは、指定されたソースゾーン内のすべての一致するトラフィックにルールを適用します (intrazone ルールの宛先ゾーンを指定することはできません)。 たとえば、ソースゾーンを a と b に設定した場合、ゾーン a とゾーン b 内のすべてのトラフィックにルールが適用されますが、ゾーン a と b の間のトラフィックには該当しません。 |
Interzone | 2つの異なるゾーン間のトラフィックを許可するセキュリティポリシー。ただし、この種類を使用して作成した場合、同じゾーン間のトラフィックは許可されないため、指定された送信元ゾーンと宛先領域の間の一致するすべてのトラフィックにルールが適用されます。 たとえば、ソースゾーンを a、b、c、および宛先ゾーンを a と b に設定すると、ゾーン a からゾーン b へのトラフィック、ゾーン b からゾーン a、ゾーン c からゾーン a、およびゾーン c からゾーン b に、ルールが適用されます。が、ゾーン A、B、または C 内のトラフィックではありません。 |
ユーザー定義のセキュリティ規則は、次に示すように、"ユニバーサル"、"intrazone"、または "interzone" として構成できます。
ルールが "intrazone" として構成されている場合、"宛先ゾーン" は変更できません (グレーアウトされます)。その値は、"ソースゾーン" から来ています。
"定義済み" またはパノラマプッシュされた "intrazone-default" と "interzone" ルールの名前または関数は変更できません。
これは、エディタの周りに緑のボーダーとタイトルの "読み取り専用" の文言で示されています。
"定義済み" または "intrazone" または "interzone-default" ルールに変更を加えるには、ユーザーはこれらのルールを "オーバーライド" する必要があります。
ルール名の横に緑色の単一の重心イメージがある場合は、"intrazone" または "interzone-default" ルールをオーバーライドできます。
"上書き" アクションを実行すると、2つのタブしかないセキュリティルールエディタが表示されます。
[全般] タブで、[タグ] フィールドのみを変更できます。
[アクション] タブでは、[プロファイル設定] と [ログ設定] フィールドのみを変更できます。
"定義済み" または "パノラマプッシュ" 値を取り戻すために、"元に戻す" アクションを実行できます。
パノラマでは、既定のルールは、セキュリティの前と後のルールの下にある別のツリーノードに表示されます。
名前の横にある緑色の単一の重心イメージは、ルールが "先祖" デバイスグループ、"共有"、または "事前定義" からのものであることを示します。
名前の横にある二重の重心イメージは、ルールが "先祖" デバイスグループルール、"共有" ルール、または "定義済み" ルールの "オーバーライド" であることを示します。
ユーザーは、以下に示すように "intrazone" または "interzone-default" ルールを "上書き" することができます。
パノラマ
VM と M-100 の両方のパノラマは、新機能をサポートしています。新しい既定のルールは、post セキュリティルールの下に表示されます。
パノラマに関する詳細:
- 既定のルールは、デバイス dataplane にプッシュすると、他のグループまたは共有ルールの後に反映されます。
- パロアルトネットワークデバイス上でローカルに "interzone-default" または "intrazone-デフォルト" に加えられた変更は、パノラマからプッシュされた変更に優先します。
パノラマ6.1 と 5. x/6.0 の PAN-OS デバイスの相互作用:
6.1 パノラマから6.1 パノスデバイスにセキュリティルールをプッシュすると、予想される動作が次のように表示されます。
- プッシュされる rulebase から削除された定義済みの既定の規則
- プッシュされる rulebase から削除された "intrazone" と "interzone" タイプのルール
- 6.1 規則に変換された "ユニバーサル" タイプのルール
- パノラマは、すべてのルールが6.1 デバイスにプッシュされていないことを警告します (s)
管理者 @ パノラマ > ジョブ id 25970 を表示
キューに入っている ID タイプのステータス結果の完了
--------------------------------------------------------------------------
2014/07/22 22:03:38 25970 CommitAll フィン OK 100%
警告: 001606007416 は、intrazone と interzone のルールを削除する6.1 の下にあります
-010401000006 コミット成功 OK 22:03:39 22:03:57
-001606007416 コミット成功 OK 22:03:39 22:05:15
アップグレード/ダウングレード:
- アップグレード: "intrazone-default" または "interzone-default" という名前のルールが既に存在する場合は、そのルールの名前を "カスタム-intrazone-デフォルト" または "カスタム-interzone-デフォルト" に変更する必要があります。
注: PAN-OS 6.1 にアップグレードすると、セキュリティ rulebase の既存のすべてのルールがユニバーサルルールに変換されます。 - ダウングレード: すべてのユニバーサルルールから type ノードを削除します。すべての intrazone と interzone ルールを削除します。
また見なさい
所有者: jdelio