什么是普遍、Intrazone 和区间规则？

217658

Created On 09/26/18 13:47 PM - Last Modified 06/08/23 08:26 AM

Resolution

详细

在配置安全策略时, 在查看规则库时不明显, 与任何规则不匹配的通信会发生什么情况。此外, 在不创建显式规则的情况下, 无法更改该通信的处理方式。在许多情况下, 用户只希望启用此通信记录。在某些情况下, 他们想方便地改变 intrazone 交通的治疗。目前, 这需要为每个区域配置显式规则。

在6.1 以前的 PAN OS 版本中, 安全策略中没有称为 "规则类型" 的分类。这是在6.1 版的 PAN OS 中加入的新功能。此功能为我们提供了一种根据区间、intrazone 和通用参数创建规则的选项。此功能可帮助管理员控制基于网络中的区域创建哪些规则, 在审核期间也可以方便地进行。

在泛型 OS 6.1 和以上, 默认安全规则附加到正常安全规则的末尾, 如下所示:

"intrazone 默认" 规则名称旁边的绿色齿轮图像表示规则来自 "预定义" 或 "全景"。图像上有一个工具提示。
"区间默认" 规则名称旁边的双齿图像指示规则位于当前 VSYS 中, 并从 "预定义" 或全景图中重写另一个规则的值。
"intrazone 默认" 规则操作允许
"区间-默认" 规则操作被拒绝

doc-57491-2. png

下表详细介绍了规则类型和说明:

规则类型	描述
通用	默认情况下, 在两个区域之间 (无论是来自同一区域还是不同区域) 之间的所有通信都将该规则应用于指定的源和目标区域中所有匹配的区间和 intrazone 通信。例如, 如果创建具有源区域 a 和 b 以及目标区域 a 和 b 的通用角色, 则该规则将应用于区域 a 中的所有通信、区域 b 中的所有通信以及从区域 a 到区域 b 的所有通信量以及从 b 区到 a 区的所有通讯。
Intrazone	允许在同一区域之间进行通信的安全策略, 这将规则应用于指定源区域内的所有匹配通信 (不能为 intrazone 规则指定目标区域)。例如, 如果将源区域设置为 A 和 b, 则该规则将应用于区域 a 中的所有通信和 b 区域内的所有通信, 但不应用于区域 a 和 b 之间的通信。
区间	允许在两个不同区域之间通信的安全策略。但是, 如果使用此类型创建了同一区域之间的通信, 则会将该规则应用于指定源区域和目标区之间的所有匹配通信。例如, 如果将源区域设置为 a、b 和 C 以及目标区域到 a 和 b, 则该规则将应用于从区域 a 到区域 b 的通信, 从区域 b 到区域 a, 从 c 区到 a 区, 从 c 区到 b 区。, 但不是区域 A、B 或 C 中的通信量。

规则类型

描述

通用

默认情况下, 在两个区域之间 (无论是来自同一区域还是不同区域) 之间的所有通信都将该规则应用于指定的源和目标区域中所有匹配的区间和 intrazone 通信。

例如, 如果创建具有源区域 a 和 b 以及目标区域 a 和 b 的通用角色, 则该规则将应用于区域 a 中的所有通信、区域 b 中的所有通信以及从区域 a 到区域 b 的所有通信量以及从 b 区到 a 区的所有通讯。

Intrazone

允许在同一区域之间进行通信的安全策略, 这将规则应用于指定源区域内的所有匹配通信 (不能为 intrazone 规则指定目标区域)。

例如, 如果将源区域设置为 A 和 b, 则该规则将应用于区域 a 中的所有通信和 b 区域内的所有通信, 但不应用于区域 a 和 b 之间的通信。

区间

允许在两个不同区域之间通信的安全策略。但是, 如果使用此类型创建了同一区域之间的通信, 则会将该规则应用于指定源区域和目标区之间的所有匹配通信。

例如, 如果将源区域设置为 a、b 和 C 以及目标区域到 a 和 b, 则该规则将应用于从区域 a 到区域 b 的通信, 从区域 b 到区域 a, 从 c 区到 a 区, 从 c 区到 b 区。, 但不是区域 A、B 或 C 中的通信量。

用户定义的安全规则可以配置为 "通用"、"intrazone" 或 "区间", 如下所示:

doc-57491-1. png

如果将规则配置为 "intrazone", 则无法更改 "目标区域" (灰色)。它的价值来自于 "源区"。

doc-57491-3. png

无法更改 "预定义" 或全景推送 "intrazone 默认" 和 "区间默认" 规则名称或函数。

这是由编辑和标题中的 "只读" 字样的绿色边框表示的。

Intrazone4-1. png

要更改 "预定义" 或全景推送 "intrazone 默认" 或 "区间默认" 规则, 用户必须 "重写" 这些规则。

如果规则名称旁边有一个绿色的单齿轮图像, 则可以重写 "intrazone 默认" 或 "区间默认" 规则。

"重写" 操作将带来一个只有两个选项卡的安全规则编辑器。

在 "常规" 选项卡上, 只能修改 "标记" 字段:

Intrazone5-1. png

在 "操作" 选项卡上, 只能修改 "配置文件设置" 和 "日志设置" 字段:

Intrazone6-1. png

要返回 "预定义" 或全景推送值, 可以执行 "还原" 操作。

在全景图中, 默认规则在单独的树节点中可见, 在安全前和 post 规则之下。

名称旁边的绿色单齿轮图像表示规则来自 "上级" 设备组 "共享" 或 "预定义"。

名称旁边的双齿图像表示规则是 "重写" "上级" 设备组规则、"共享" 规则或 "预定义" 规则的 "覆盖"。

用户可以 "重写" "intrazone 默认" 或 "区间默认" 规则, 如下所示:

Intrazone8-1. png

全景

VM 和 M-100 全景都支持新功能。新的默认规则将显示在 post 安全规则的下面。

进一步细节关于全景:

默认规则, 当被推送到设备 dataplane 将在任何其他组或共享规则之后生效。
在帕洛阿尔托网络设备上本地对 "区间默认" 或 "intrazone 默认" 所做的更改优先于从全景推送的任何更改。

全景6.1 和 5. x/6.0 泛 OS 设备交互:

将安全规则从6.1 全景推送到 pre-6.1 帕诺斯设备时, 预期的行为如下所示:

从规则库中删除的预定义默认规则将被推送
从规则库中删除的 "intrazone" 和 "区间" 类型的规则被推送
"通用" 类型的规则转换为 pre-6.1 规则
全景显示的警告不是所有的规则都被推到 pre-6.1 设备
admin@Panorama >> 显示作业 id 25970

排队 ID 类型状态结果已完成

--------------------------------------------------------------------------

2014/07/22 22:03:38 25970 CommitAll 鳍 OK 100%

警告: 001606007416 低于 6.1, 删除 intrazone 和区间规则

-010401000006 提交成功确定 22:03:39 22:03:57

-001606007416 提交成功确定 22:03:39 22:05:15

升级/降级:

升级: 如果规则已经存在, 名称为 "intrazone 默认" 或 "区间默认", 则该规则应重命名为 "自定义 intrazone 默认值" 或 "自定义区间默认值"。
注意:升级到 PAN OS 6.1 时, 安全规则库中的所有现有规则都将转换为通用规则.
降级: 从所有通用规则中移除类型节点。删除所有 intrazone 和区间规则。

请参见

泛 OS 6.1 管理员指南

所有者： jdelio

什么是普遍、Intrazone 和区间规则？

Resolution

详细

请参见

Other users also viewed: