URLQu’est-ce qui fera qu’un pays sera classé comme « adresse ip privée »?

URLQu’est-ce qui fera qu’un pays sera classé comme « adresse ip privée »?

55879
Created On 09/26/18 19:16 PM - Last Modified 04/19/24 19:30 PM


Symptom


Le trafic est déterminé à être dans la catégorie « adresse ip privée » URL et il est bloqué par le URL filtrage.

Environment


PAN-OS >= 6,0

Cause


La URL catégorie filtrage « adresse ip privée » est définie pour bloquer.

Resolution


La recommandation est au lieu de bloquer la catégorie d’adresse ip privée dans URL filtering, de déplacer ces contrôles vers les stratégies de sécurité. Définissez IP un groupe d’adresses avec les sous-réseaux RFC1918, et un avec les sous-réseaux Link-Local, et établissez une règle en plus de la sécurité Policy définie pour jeter tout trafic vers Untrust si l’adresse de destination se IP trouve dans le groupe d’adresses RFC1918 IP et dans le groupe d’adresses IP link-local.
 

Remarque : La raison pour laquelle vous créez des groupes d’adresses RFC1918 et Link-Local distincts est que IP vous pouvez réutiliser l’objet RFC1918 à d’autres fins.


 

Additional Information


La catégorie « adresse ip privée » est utilisée pour les IP adresses définies en RFC 1918 :

  • 10.0.0.0 - 10.255.255.255 (préfixe 10/8)
  • 172.16.0.0 - 172.31.255.255 (préfixe 172.16/12)
  • 192.168.0.0 - 192.168.255.255 (préfixe 192.168/16)
Si une adresse Link-Local RFC (3927) se trouve dans l’adresse destination, elle se IP traduira également par une catégorie IP « adresse ip privée ».
  • 169.254.0.0 - 169.254.255.255 (préfixe 169.254/16)


Le PAN-DB nuage, détermine d’abord si le URL est un IP . Si ce IP n’est pas un , il saura s’il ya un TLD . S’il TLD n’y en a pas, alors le cloud retournerait « adresse IP privée ».

La catégorie des adresses ip privées est également utilisée pour les domaines de haut niveau qui ne sont pas enregistrés publiquement, tels que .

Cela inclut également les URL qui utilisent des noms courts qui n’incluent pas les domaines de haut niveau. Voir les exemples suivants:

Du point de vue du routage, tout trafic vers IP une adresse privée qui n’est pas défini dans LAN l’itinéraire de volonté vers la passerelle par défaut, et dans de nombreux cas sera envoyé à Untrust (internet). 

Cela se produit souvent avec les appareils mobiles qui changent de réseau (par exemple, un ordinateur portable qui est mis en mode veille à la maison et est ensuite réveillé au travail, peut prendre quelques instants pour réaliser le changement de réseau, et peut continuer à baliser sur le réseau domestique). Cela peut également se produire pendant les transitions de connexion /déconnexion vers un VPN .

Le ISP routeur en amont serait probablement jeter le trafic, mais il est compréhensible que vous ne voudriez pas que le trafic interne, qui peut contenir des informations identifiables, de fuite à Untrust.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm3wCAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language