Vérifications de la hanches ne sont pas consignées et le trafic est autorisé lorsque HIP correspondance échoue
Resolution
Symptôme
Lorsqu'une vérification de la hanche échoue pour un agent GlobalProtect, aucun événement n'est consigné dans le journal des correspondances hip. L'hôte se connecte avec succès à la passerelle, et le trafic de l'hôte est autorisé.
Cause
Les contrôles de la hanche qui échouent ne pas enregistrer un événement sous moniteur > logs > hip match. De même, les stratégies de sécurité configurées avec les profils hip ne s'appliquent pas aux matches de hanche défaillants. Les événements hip match ne sont enregistrés que lorsque les hôtes connectés correspondent à un profil de hanche ou à un objet hip. Pour vous assurer qu'un événement hip est consigné et pour contrôler le trafic de l'hôte, créez un objet Hip qui correspond au type d'hôte et contrôlez le trafic de l'agent GlobalProtect connecté avec les règles de sécurité.
Exemple
Pour enregistrer les événements de connexion GlobalProtect pour tous les hôtes qui se trouvent en dehors d'un groupe désiré, dans ce cas tous les hôtes qui ne sont pas membres du domaine "mydomain. local", et pour refuser le trafic pour ces hôtes, procédez comme suit:
- Créez un objet hip basé sur un négatif qui correspondra à tous les objets en dehors d'un groupe hôte désiré. Aller à objets > GlobalProtect > objets hip. Ajoutez un nouvel objet et spécifiez que le domaine de l'hôte de connexion «n'est pas» égal à «mydomain. local».
Les hôtes qui se connectent, qui ne sont pas membres du domaine «mydomain. local», correspondront à cet objet Hip, et un événement sera consigné sous le journal Monitor > journaux > hip match log. - Créez un profil de hanche et ajoutez l'objet hip:
- Créez une stratégie de sécurité qui contrôle le trafic à partir d'hôtes qui ne sont pas membres de domaine du domaine «mydomain. local». Créez une stratégie qui refuse le trafic des hôtes qui correspondent au profil de la hanche.
Vérifiez
Connectez un hôte à l'agent GlobalProtect qui n'est pas un membre de domaine de «mydomain. local».
- Vérifiez qu'un événement hip match a été enregistré lorsque l'hôte connecté en allant à surveiller > logs > hip match.
- Accédez au moniteur > log > Traffic et vérifiez que le trafic de l'hôte est refusé par la stratégie GP-Deny.
propriétaire: jmoses