股関節のチェックは、ログインしていないとヒップのマッチに失敗したときに、トラフィックが許可されます。

問題の状況

GlobalProtect エージェントに対して hip チェックが失敗すると、hip 照合ログにイベントは記録されません。ホストがゲートウェイに正常に接続し、ホストからのトラフィックが許可されます。

原因

hip チェックが失敗した場合、[モニタ] > [ログ] > [ヒップ一致] のイベントはログに記録されません。同様に、hip プロファイルで構成されたセキュリティポリシーは、失敗した hip 一致には適用されません。ヒップマッチイベントは、接続しているホストがヒッププロファイルまたは hip オブジェクトと一致する場合にのみ記録されます。hip イベントがログに記録され、ホストのトラフィックを制御するには、ホストの種類に一致する hip オブジェクトを作成し、接続されている GlobalProtect エージェントのトラフィックをセキュリティルールで制御します。

例

目的のグループの外にあるすべてのホストの GlobalProtect 接続イベントをログに記録するには、この場合、"mydomain" ドメインのメンバではないすべてのホスト、およびこれらのホストのトラフィックを拒否するには、次の手順を実行します。

1. 目的のホストグループ外のすべてのオブジェクトに一致する負のオブジェクトを作成します。オブジェクト > GlobalProtect > ヒップオブジェクトに移動します。新しいオブジェクトを追加し、接続しているホストのドメインが "mydomain" と等しくないことを指定します。 
   "mydomain" ドメインのメンバではない接続されているホストは、この hip オブジェクトと一致し、[モニタ] > [ログ] > [ヒップマッチログ] の下にイベントが記録されます。                                                                                                                                                                  
2. ヒッププロファイルを作成し、ヒップオブジェクトを追加します。                                                                                                                          
3. "mydomain" ドメインのドメインメンバではないホストからのトラフィックを制御するセキュリティポリシーを作成します。HIP プロファイルに一致するホストからのトラフィックを拒否するポリシーを作成します。                                                                                

確認します。

"mydomain" のドメインメンバーではない GlobalProtect エージェントにホストを接続します。

1. モニター > ログ > ヒップマッチによってホストが接続されたときに、ヒップマッチイベントがログに記録されたことを確認します。
2. [モニタ] > [ログ] > [トラフィック] に移動し、GP 拒否ポリシーによってホストのトラフィックが拒否されていることを確認します。

所有者: jmoses