GlobalProtect客户端和修补程序管理的臀部配置匹配配置
71652
Created On 09/26/18 20:46 PM - Last Modified 02/27/23 08:15 AM
Environment
- 帕洛阿尔托网络 Firewall
- Windows、Linux 或 macOS 终结点
- 现有 GlobalProtect 基础设施
Resolution
此配置的目的是允许 GlobalProtect 连接的用户访问网络,基于他们是否在其 Windows 主机上安装了所有修补程序。 臀部配置文件与允许访问的安全性相关联 policy ,任何缺失的修补程序将导致拒绝访问。
注意: 示例配置创建 2 个臀部对象,第一个对象将寻找大于零的补丁严重性级别。 第二个查找严重性级别为零。 这两个髋关节的对象是一个单一的髋关节轮廓与 ' 和 ' 和 ' 不 ' 条件为每个髋关节对象。
- HIP通过 CLI
> configure
# set vsys vsys1 rulebase security rules Trust-Intrust-PING-Allow hip-profiles hip-prof-1
# set vsys vsys1 rulebase security rules Trust-Intrust-PING-Deny hip-profiles any
# set vsys vsys1 profiles hip-objects hip-obj-sev-over-0 patch-management criteria missing-patches check has-none
# set vsys vsys1 profiles hip-objects hip-obj-sev-over-0 patch-management criteria missing-patches severity greater-than 0
# set vsys vsys1 profiles hip-objects hip-obj-sev-over-0 patch-management criteria is-installed yes
# set vsys vsys1 profiles hip-objects hip-obj-sev-over-0 patch-management exclude-vendor no
# set vsys vsys1 profiles hip-objects hip-obj-sev-0 patch-management criteria missing-patches check has-none
# set vsys vsys1 profiles hip-objects hip-obj-sev-0 patch-management criteria missing-patches severity is 0
# set vsys vsys1 profiles hip-objects hip-obj-sev-0 patch-management criteria is-installed yes
# set vsys vsys1 profiles hip-objects hip-obj-sev-0 patch-management exclude-vendor no
# set vsys vsys1 profiles hip-profiles hip-prof-1 match 'not "hip-obj-sev-over-0" and not "hip-obj-sev-0"'
- HIP通过 CLI
- 通过导航到对象>>对象创建第一个臀部 GlobalProtect HIP 对象>选择"添加"
- 为 "补丁管理" 选项卡定义严重程度大于零的参数,并在 OK 完成后选择
- 通过选择"添加"创建第二个臀部对象
- 为"修补程序管理"选项卡定义严重性级别等于零的参数
- 将 2 个臀部对象与单个臀部配置文件关联 AND NOT 为"条件",通过导航到对象 GlobalProtect >> HIP 配置文件>选择"添加"
注意:如果您希望忽略严重级别为零的补丁,请勿在臀部轮廓中包含名为"hip-obj-sev-0"的臀部对象。
- 创建一个安全- policy 允许访问。
- 将单个臀部轮廓与安全性联系起来 policy 。
- 可能的故障排除想法:
- 查看 WebUI 中的臀部匹配日志,并确定匹配哪些臀部对象
- 检查每个匹配的臀部对象的属性, 以确定准确性。
- 移动到调试命令:
> debug user-id dump hip-profile-database entry
> debug user-id dump hip-report computer <computer-name> ip <global-protect-assigned-ip> user <username>
- 为了获得更大的可见性,可以通过下面的命令启用臀部试试 CLI 。 这些消息将被打印到 "useridd.log" 文件中。
> debug user-id set hip all
> debug user-id on debug
> tail follow yes mp-log useridd.log
注意:下面的示例显示了用户 idd 中臀部.log。 在初始评估后, 在 22:11:55.219,<hip-notification>消息被发送到客户端, 反映匹配.</hip-notification>
2016-03-01 22:11:55.219 -0800 debug: pan_hip_obj_evaluate_report(pan_hip_obj.c:3121): evaluating obj 'hip-obj-sev-over-0' for report 'TEMPLATE-PC'
2016-03-01 22:11:55.219 -0800 debug: pan_hip_obj_category_evaluate_report_xml(pan_hip_obj.c:2581): validating category 'patch-management' from report 'TEMPLATE-PC'
2016-03-01 22:11:55.219 -0800 debug: pan_hip_obj_category_evaluate_node(pan_hip_obj.c:2548): match 0 check is not passed
2016-03-01 22:11:55.219 -0800 debug: pan_hip_obj_simple_evaluate_report(pan_hip_obj.c:3095): category 'patch-management' evaluate failed for 'TEMPLATE-PC'
2016-03-01 22:11:55.219 -0800 debug: pan_hip_obj_evaluate_report(pan_hip_obj.c:3132): obj 'hip-obj-sev-over-0' for report 'TEMPLATE-PC' evaluated : 0
2016-03-01 22:11:55.219 -0800 debug: pan_hip_evaluate_report(pan_hip.c:1255): customer report evaluation : 0x2
2016-03-01 22:11:55.219 -0800 debug: pan_hip_evaluate_report(pan_hip.c:1276): for hip report 'TEMPLATE-PC', notification: <hip-notification>
<entry name="hip-prof-1"><value>1</value><message><b>HIP MATCHES !!!!!!</b></message><show-notification-as>pop-up-message</show-notification-as></entry>
2016-03-01 22:11:55.219 -0800 debug: pan_hip_evaluate_report(pan_hip.c:1291): for hip report 'TEMPLATE-PC', notification: <hip-notification>
<entry name="hip-prof-1"><value>1</value><message><b>HIP MATCHES !!!!!!</b></message><show-notification-as>pop-up-message</show-notification-as></entry>
Additional Information
- 注意:无论与臀部 firewall 配置文件关联如何,在上面创建的所有臀部对象都会进行评估。 最后的行动是根据髋部的对象所包含的髋关节轮廓。 这也意味着臀部匹配日志将反映任何符合其标准的臀部对象,无论与 policy 臀部配置文件相关的安全操作允许或拒绝网络访问。
- 有关配置的其他信息 HIP ,请参阅以下文档: 基于配置的 HIP- Policy 强制执行