Le trafic ne correspond pas à la sécurité Policy avec la région prédéfinie utilisée dans l’adresse
14776
Created On 07/23/19 22:30 PM - Last Modified 04/20/24 02:19 AM
Symptom
- Sécurité Policy configurée avec ' ' Région dans US l’adresse source
- Trafic JP en provenance de la région (Japon) atteignant la règle de sécurité Policy qui n’est pas JP répertoriée dans la région de destination comme indiqué dans « tester la sécurité - policy -match» ci-dessous IP (à partir de JP (Japon) en appuyant sur la règle avec la région non répertoriée)
> show location ip 60.32.151.210 61.122.112.1 Japan > test security-policy-match source 192.168.1.1 destination 60.32.151.210 protocol 17 destination-port 53 from trust to untrust application dns show-all yes "Trust-Untrust-12; index: 17" { from trust; source any; source-region none; to untrust; destination any; destination-region [ AZ BZ CN KP LU NL NO PL RU UA ]; user any; category any; application/service 0:any/any/any/any; action deny; icmp-unreachable: no terminal no; }
Environment
- PAN-OS 8.1 et au-dessus
- Palo Alto (Palo Alto) Firewall
- Sécurité Policy configurée pour autoriser le trafic en fonction de la région source/de destination
Exemple : Avec US la région (États-Unis) répertoriée dans Adresse source
Cause
Le client a créé l’objet d’adresse personnalisé « 0.0.0.0 » qui est utilisé en interne. En interne, il existe un objet nommé 0.0.0.0 avec un préfixe défini sur 0.0.0.0/32 utilisé dans les stratégies de sécurité pour les régions. L’objet nouvellement créé avec le nom « 0.0.0.0 » avec le préfixe défini sur 0.0.0.0/0 a effectivement redéfini l’objet interne comme « any ».
Resolution
Supprimez ou renommez le nom de l’objet d’adresse « 0.0.0.0 » de la configuration.
- De GUI : Objets>adresses
- Modifier ou supprimer l’objet nommé « 0.0.0.0 »
- Engagez les modifications.