クライアントとパッチ管理のためのヒッププロファイルマッチの設定 GlobalProtect

この構成の目的は GlobalProtect 、Windows ホストにインストールされているすべての修正プログラムがあるかどうかに基づいて、接続ユーザーがネットワークにアクセスできるようにすることです。 hip-profile はアクセスを許可するセキュリティに関連 policy 付けられており、パッチが欠落するとアクセスが拒否されます。

注: 設定例では 2 つの hip-object が作成され、最初のパッチの重大度レベルは 0 より大きい値が検索されます。 2番目の重大度レベルゼロを探します。 2つのヒップ-オブジェクトは、それぞれのヒップオブジェクトの ' and ' と ' not ' 条件を持つ単一のヒッププロファイルに関連付けられています。

• 構成の例 HIP は、 CLI

> configure

# set vsys vsys1 rulebase security rules Trust-Intrust-PING-Allow hip-profiles hip-prof-1
# set vsys vsys1 rulebase security rules Trust-Intrust-PING-Deny hip-profiles any
# set vsys vsys1 profiles hip-objects hip-obj-sev-over-0 patch-management criteria missing-patches check has-none
# set vsys vsys1 profiles hip-objects hip-obj-sev-over-0 patch-management criteria missing-patches severity greater-than 0
# set vsys vsys1 profiles hip-objects hip-obj-sev-over-0 patch-management criteria is-installed yes
# set vsys vsys1 profiles hip-objects hip-obj-sev-over-0 patch-management exclude-vendor no
# set vsys vsys1 profiles hip-objects hip-obj-sev-0 patch-management criteria missing-patches check has-none
# set vsys vsys1 profiles hip-objects hip-obj-sev-0 patch-management criteria missing-patches severity is 0
# set vsys vsys1 profiles hip-objects hip-obj-sev-0 patch-management criteria is-installed yes
# set vsys vsys1 profiles hip-objects hip-obj-sev-0 patch-management exclude-vendor no
# set vsys vsys1 profiles hip-profiles hip-prof-1 match 'not "hip-obj-sev-over-0" and not "hip-obj-sev-0"'

• 構成の例 HIP は、 CLI

1. 「追加」を選択>オブジェクト> >オブジェクトに移動して、最初 GlobalProtect のヒップ HIP オブジェクトを作成します。

2. 「パッチ管理」タブにゼロより大きい重大度レベルのパラメータを定義し、 OK 完了したら選択します。

3. 「追加」を選択して、2 番目のヒップオブジェクトを作成します。

4. [パッチ管理] タブの重大度レベルがゼロに等しいパラメータを定義する

5. 「追加」を選択>「>プロファイル」を AND NOT 選択して、2 つのヒップオブジェクトを「」条件>単一のヒップ GlobalProtect HIP プロファイルに関連付けます。

注: 重大度レベル 0 のパッチを無視する場合は、hip-obj-sev-0 という名前の hip-obj-sev-0 という名前の hip-object を hip-profile に含まないでください。

6. policyアクセスを許可するセキュリティを作成します。

7. 単一のヒッププロファイルをセキュリティに関連付けます policy 。

• 考えられるトラブルシューティングのアイデア:

1. WebUI からヒップマッチ ログを確認し、一致するヒップ オブジェクトを特定します。
2. 一致した各 hip オブジェクトの属性を確認して、精度を決定します。

• デバッグコマンドへの移動:

> debug user-id dump hip-profile-database entry
> debug user-id dump hip-report computer <computer-name> ip <global-protect-assigned-ip> user <username>

• 視認性を高めるために、以下のコマンドを使用して、ヒップデバッグを有効に CLI できます。 メッセージは ' useridd ' ファイルに出力されます。

> debug user-id set hip all
> debug user-id on debug
> tail follow yes mp-log useridd.log

注: 以下の例は、useridd.logでのヒップオブジェクト評価を示しています。 最初の評価の後、22:11: 55.219 では、<hip-notification>メッセージはクライアントに送信され、一致するものが反映されます。</hip-notification>

2016-03-01 22:11:55.219 -0800 debug: pan_hip_obj_evaluate_report(pan_hip_obj.c:3121): evaluating obj 'hip-obj-sev-over-0' for report 'TEMPLATE-PC'
2016-03-01 22:11:55.219 -0800 debug: pan_hip_obj_category_evaluate_report_xml(pan_hip_obj.c:2581): validating category 'patch-management' from report 'TEMPLATE-PC'
2016-03-01 22:11:55.219 -0800 debug: pan_hip_obj_category_evaluate_node(pan_hip_obj.c:2548): match 0 check is not passed
2016-03-01 22:11:55.219 -0800 debug: pan_hip_obj_simple_evaluate_report(pan_hip_obj.c:3095): category 'patch-management' evaluate failed for 'TEMPLATE-PC'
2016-03-01 22:11:55.219 -0800 debug: pan_hip_obj_evaluate_report(pan_hip_obj.c:3132): obj 'hip-obj-sev-over-0' for report 'TEMPLATE-PC' evaluated : 0
2016-03-01 22:11:55.219 -0800 debug: pan_hip_evaluate_report(pan_hip.c:1255): customer report evaluation : 0x2
2016-03-01 22:11:55.219 -0800 debug: pan_hip_evaluate_report(pan_hip.c:1276): for hip report 'TEMPLATE-PC', notification: <hip-notification>
       <entry name="hip-prof-1"><value>1</value><message>&lt;b&gt;​HIP MATCHES !!!!!!&lt;/b&gt;</message><show-notification-as>pop-up-message</show-notification-as></entry>
2016-03-01 22:11:55.219 -0800 debug: pan_hip_evaluate_report(pan_hip.c:1291): for hip report 'TEMPLATE-PC', notification: <hip-notification>
       <entry name="hip-prof-1"><value>1</value><message>&lt;b&gt;​HIP MATCHES !!!!!!&lt;/b&gt;</message><show-notification-as>pop-up-message</show-notification-as></entry>