Datenverkehr, der nicht mit der Policy in Address verwendeten vordefinierten Region übereinstimmt
14776
Created On 07/23/19 22:30 PM - Last Modified 04/20/24 02:19 AM
Symptom
- Sicherheit Policy konfiguriert mit ' ' Region in US Quelladresse
- Datenverkehr JP aus der Region (Japan), die die Policy Sicherheitsregel erreicht, die nicht JP in der Zielregion aufgeführt ist, wie unten unter "test security- policy -match" zu sehen ist IP (aus JP (Japan) auf Regel mit Region nicht aufgeführt)
> show location ip 60.32.151.210 61.122.112.1 Japan > test security-policy-match source 192.168.1.1 destination 60.32.151.210 protocol 17 destination-port 53 from trust to untrust application dns show-all yes "Trust-Untrust-12; index: 17" { from trust; source any; source-region none; to untrust; destination any; destination-region [ AZ BZ CN KP LU NL NO PL RU UA ]; user any; category any; application/service 0:any/any/any/any; action deny; icmp-unreachable: no terminal no; }
Environment
- PAN-OS 8.1 und höher
- Palo Alto Firewall
- Sicherheit, Policy die so konfiguriert ist, dass Datenverkehr basierend auf der Quell-/Zielregion zugelassen wird
Beispiel: Mit US (USA) Region in Quelladresse aufgeführt
Cause
Der Kunde hat das benutzerdefinierte Adressobjekt "0.0.0.0" erstellt, das intern verwendet wird. Intern gibt es ein Objekt mit dem Namen 0.0.0.0 mit dem Präfix 0.0.0.0/32, das in den Sicherheitsrichtlinien für Regionen verwendet wird. Das neu erstellte Objekt mit dem Namen "0.0.0.0" mit dem Präfix 0.0.0.0/0 definierte das interne Objekt effektiv als "any" neu.
Resolution
Löschen oder benennen Sie den Adressobjektnamen "0.0.0.0" aus der Konfiguration um.
- Von GUI : Objekte>Adressen
- Objekt mit dem Namen "0.0.0.0" bearbeiten oder löschen
- Übernehmen Sie die Änderungen.