Policyトラフィックが、アドレスで使用される定義済みリージョンとセキュリティと一致しない
14776
Created On 07/23/19 22:30 PM - Last Modified 04/20/24 02:19 AM
Symptom
- Policy送信元アドレスの ' US ' 領域で構成されたセキュリティ
- 以下のJP「テストセキュリティ - -match」に記載されていないセキュリティルールに当たる(日本)地域からのトラフィックは、 Policy JP 以下の policy 「( IP JP日本)がリストされていない地域のルールを打つ」に記載されているセキュリティルールです。
> show location ip 60.32.151.210 61.122.112.1 Japan > test security-policy-match source 192.168.1.1 destination 60.32.151.210 protocol 17 destination-port 53 from trust to untrust application dns show-all yes "Trust-Untrust-12; index: 17" { from trust; source any; source-region none; to untrust; destination any; destination-region [ AZ BZ CN KP LU NL NO PL RU UA ]; user any; category any; application/service 0:any/any/any/any; action deny; icmp-unreachable: no terminal no; }
Environment
- PAN-OS 8.1 以上
- パロアルト Firewall
- Policy送信元/送信先リージョンに基づくトラフィックを許可するように構成されたセキュリティ
例: US 送信元アドレスにリストされている (米国) リージョン
Cause
顧客は、内部で使用されるカスタム アドレス オブジェクト "0.0.0.0" を作成しました。 内部的には、リージョンのセキュリティ ポリシーで使用されるプレフィックスが 0.0.0.0/32 に設定された 0.0.0.0 という名前のオブジェクトがあります。 プレフィックスが 0.0.0.0/0 に設定された名前が "0.0.0.0" の新しく作成されたオブジェクトは、内部オブジェクトを事実上"any"として再定義しました。
Resolution
構成からアドレス オブジェクト名 "0.0.0.0" を削除するか、名前を変更します。
- 差出人 GUI :アドレス>オブジェクト
- "0.0.0.0" という名前のオブジェクトを編集または削除する
- 変更をコミット します。