与 Policy 地址中使用的预定义区域不匹配的安全性
14780
Created On 07/23/19 22:30 PM - Last Modified 04/20/24 02:19 AM
Symptom
- Policy配置为源 US 地址中的"区域"的安全配置
- 来自JP(日本)区域的流量点击未 Policy JP 列在目的地区域的安全规则,如下"测试安全 policy 匹配"所示( IP 来自JP(日本)命中规则,未列出区域)
> show location ip 60.32.151.210 61.122.112.1 Japan > test security-policy-match source 192.168.1.1 destination 60.32.151.210 protocol 17 destination-port 53 from trust to untrust application dns show-all yes "Trust-Untrust-12; index: 17" { from trust; source any; source-region none; to untrust; destination any; destination-region [ AZ BZ CN KP LU NL NO PL RU UA ]; user any; category any; application/service 0:any/any/any/any; action deny; icmp-unreachable: no terminal no; }
Environment
- PAN-OS 8.1及以上
- 帕洛阿尔托 Firewall
- Policy根据源/目的地区域配置的安全性允许流量
示例: US 源地址中列出(美国)区域
Cause
客户创建了内部使用的自定义地址对象"0.0.0.0"。 内部有一个名为 0.0.0.0 的对象,前缀设置为 0.0.0.0/32 用于区域安全策略。 新创建的对象名称为"0.0.0.0",前缀设置为0.0.0.0/0,有效地将内部对象重新定义为"任何"。
Resolution
从配置中删除或重命名地址对象名称"0.0.0.0"。
- GUI从 :对象>地址
- 编辑 或 删除 名为"0.0.0.0"的对象
- 提交 更改。