¿Qué hará que URL a se clasifique como "dirección IP privada"?

55867

Created On 09/26/18 19:16 PM - Last Modified 04/19/24 19:30 PM

Symptom

Se determina que el tráfico está en la categoría "dirección IP privada" URL y se bloquea mediante URL filtrado.

Environment

PAN-OS >= 6.0

Cause

La URL categoría de filtrado 'private-ip-address' está establecida en block.

Resolution

La recomendación es en lugar de bloquear la categoría de dirección IP privada en URL filtrado, para mover estos controles a directivas de seguridad. Defina un IP grupo de direcciones con las subredes RFC1918, y otra con las subredes del link-local, y fije una regla en la parte superior de la seguridad establecida para descartar cualquier tráfico a la desconfianza si la dirección de destino está en el grupo de direcciones Policy IP RFC1918 IP y en el grupo de direcciones local del IP link.

Nota: La razón para crear rfc1918 separados y grupos de direcciones locales de link IP es que usted puede querer reutilizar el objeto RFC1918 para otros propósitos.

Additional Information

La categoría "dirección IP privada" se utiliza para IP las direcciones definidas en RFC 1918:

10.0.0.0 - 10.255.255.255 (Prefijo de 10/8)
172.16.0.0 - 172.31.255.255 (prefijo 172.16/12)
192.168.0.0 - 192.168.255.255 (prefijo 192.168/16)

Si se encuentra una dirección Link-Local ( RFC 3927) IP en la dirección de IP destino, también dará lugar a una categoría de "dirección IP privada".

169.254.0.0 - 169.254.255.255 (prefijo 169.254/16)

La PAN-DB nube, primero determina si URL se trata de un archivo IP . Si no es un IP , se averiguará si hay un TLD . Si no hay TLD , entonces la nube devolvería IP "dirección privada".

La categoría de dirección IP privada también se utiliza para dominios de nivel superior que no están registrados públicamente, como .local.

Esto también incluye direcciones URL que usan nombres cortos que no incluyen dominios de nivel superior. Vea los siguientes ejemplos:

En cuanto al enrutamiento, cualquier tráfico a una dirección privada IP que no esté definida en la ruta will a la puerta de enlace predeterminada LAN y, en muchos casos, se enviará a Untrust (Internet).

Esto sucede a menudo con los dispositivos móviles que cambian de red (por ejemplo, un portátil que se pone en modo de suspensión en casa y luego se despierta en el trabajo, puede tomar unos momentos para realizar el cambio de red, y puede continuar balizándose a la red doméstica). Esto también puede ocurrir durante las transiciones de conexión/desconexión a un VPN archivo .

El router ascendente ISP probablemente descartaría el tráfico, pero es comprensible que usted no quisiera que el tráfico interno, que puede contener la información identificable, se filtre a la desconfianza.