El tráfico no coincide con la seguridad Policy con la región predefinida utilizada en la dirección
14776
Created On 07/23/19 22:30 PM - Last Modified 04/20/24 02:19 AM
Symptom
- Seguridad Policy configurada con ' ' Región en la dirección de US origen
- Tráfico JP de la región (Japón) que golpea la regla de seguridad Policy que no aparece en la región de destino como se ve en " prueba de JP seguridad- policy -match" a continuación ( IP de JP (Japón) golpear la regla con la región no aparece)
> show location ip 60.32.151.210 61.122.112.1 Japan > test security-policy-match source 192.168.1.1 destination 60.32.151.210 protocol 17 destination-port 53 from trust to untrust application dns show-all yes "Trust-Untrust-12; index: 17" { from trust; source any; source-region none; to untrust; destination any; destination-region [ AZ BZ CN KP LU NL NO PL RU UA ]; user any; category any; application/service 0:any/any/any/any; action deny; icmp-unreachable: no terminal no; }
Environment
- PAN-OS 8.1 y superior
- Palo Alto Firewall
- Seguridad Policy configurada para permitir el tráfico basado en la región de origen/destino
Ejemplo: con la US región (Estados Unidos) enumerada en Dirección de origen
Cause
El cliente creó el objeto de dirección personalizada "0.0.0.0" que se utiliza internamente. Internamente hay un objeto denominado 0.0.0.0 con un prefijo establecido en 0.0.0.0/32 utilizado en las directivas de seguridad para regiones. El objeto recién creado con el nombre "0.0.0.0" con el prefijo establecido en 0.0.0.0/0 redefinió eficazmente el objeto interno como "any".
Resolution
Elimine o cambie el nombre del objeto de dirección "0.0.0.0" de la configuración.
- De GUI : Objetos>direcciones
- Editar o eliminar objeto denominado "0.0.0.0"
- Confirme los cambios.