HIP Kontrollen werden nicht protokolliert und Verkehr ist zulässig, wenn HIP Übereinstimmung schlägt fehl

HIP Kontrollen werden nicht protokolliert und Verkehr ist zulässig, wenn HIP Übereinstimmung schlägt fehl

60277
Created On 09/27/18 07:23 AM - Last Modified 02/07/19 23:36 PM


Resolution


 

 

Symptom

Wenn ein Hüft Check für einen globalprotect-Agenten fehlschlägt, wird kein Ereignis im Hip-Match-log protokolliert. Die Gastgeber verbinden sich erfolgreich mit dem Tor, und der Verkehr vom Gastgeber ist erlaubt.

 

Ursache

Hip-Checks, die scheitern, protokollieren kein Ereignis unter Monitor > Logs > Hip Match. Ebenso gelten Sicherheitsrichtlinien, die mit Hüft Profilen konfiguriert sind, nicht für gescheiterte Hüft Spiele. Hip-Match-Events werden nur dann protokolliert, wenn die Verbindung von Hosts zu einem Hüft Profil oder einem Hüft Objekt passt. Um sicherzustellen, dass ein Hip-Event protokolliert wird und um den Traffic des Hosts zu kontrollieren, erstellen Sie ein Hüft Objekt, das dem Host-Typ entspricht, und Steuern Sie den Verkehr des angeschlossenen globalprotect-Agenten mit Sicherheitsregeln.

 

Beispiel

Um globalprotect-Verbindungs Ereignisse für alle Hosts, die außerhalb einer gewünschten Gruppe sind, zu protokollieren, in diesem Fall alle Hosts, die nicht Mitglied der "mydomain. local"-Domain sind), und um den Datenverkehr für diese Hosts zu verweigern, folgen diese Schritte:

 

  1. Erstellen Sie ein Hip-Objekt, das auf einem negativ basiert, das alle Objekte außerhalb einer gewünschten Host-Gruppe zusammenpasst. Gehen Sie zu Objekten > globalprotect > Hüft Objekte. Fügen Sie ein neues Objekt hinzu und geben Sie an, dass die Domäne des angeschlossenen Hosts "nicht" gleich "mydomain. local" ist.  Hosts, diE sich Benutzer hinzugefügt Bild
    verbinden, die nicht Mitglieder der Domäne "mydomain. local" sind, werden mit diesem Hip-Objekt übereinstimmen, und ein Ereignis wird unter Monitor > Logs > Hip Match log protokolliert.                                                                                                                                                                   
  2. Erstellen Sie ein Hüft Profil und fügen Sie das Hüft Objekt hinzu:                                                                                                                           Benutzer hinzugefügt Bild
  3. Erstellen Sie eine Sicherheitsrichtlinie, die den Datenverkehr von Hosts kontrolliert, die nicht Domain-Mitglieder der "mydomain. local"-Domain sind. Erstellen Sie eine Richtlinie, die den Verkehr von Hosts, die das Hüft Profil entsprechen, verweigert.                                                                                 Benutzer hinzugefügt Bild

 

Überprüfen Sie

Verbinden Sie einen Host mit dem globalprotect Agent, der kein Domain-Mitglied von "mydomain. local" ist.

  1. Überprüfen Sie, ob ein Hip-Match-Ereignis protokolliert wurde, wenn der Host angeschlossen wurde, indem er > Logs > Hip-Match überwacht.
  2. Gehen Sie zu Monitor > Log > Traffic und überprüfen Sie den Verkehr des Rechners wird durch die GP-Deny-Richtlinie verweigert.

 

Besitzer: jmoses
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm83CAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language