El tráfico no coincide con la seguridad Policy con HIP el perfil seleccionado
28665
Created On 03/14/19 00:38 AM - Last Modified 03/26/21 18:21 PM
Symptom
- VPN conexión establecida entre la estación de trabajo cliente en ejecución GlobalProtect y firewall configurada con GlobalProtect gateway
- GlobalProtect cliente envía HIP informe a Gateway, HIP Match on firewall established
- El tráfico desde GlobalProtect el cliente coincide con la seguridad con el perfil IP policy HIP configurado; sesión establecida para procesar el tráfico en consecuencia
- Momento después, un proceso en el cliente desencadena la autenticación de dominio con un nombre de usuario diferente, actualiza el evento de seguridad en el controlador de dominio que actualiza aún más IP- la asignación de usuarios registrada en el agente de usuario ( ) o usuario basado ID UIA PAN-OS (sin agente). ID
- Firewall aprende la asignación actualizada de la identificación delusuario, reemplaza la asignación original aprendida del inicio de sesión del GlobalProtect cliente
- HIP condición pronto se convierte en desajuste, causando nuevo tráfico del GlobalProtect cliente mal manejado por otros no HIP- configurados ; el perfil sigue policy siendo válido en ese HIP momento
- El registro de tráfico indica que el tráfico que no coincide con correcto HIP policy no tendría información de usuario de origen
- Para restaurar la conectividad a través firewall del usuario tiene que cerrar sesión y volver a iniciar sesión para restablecer la asignación de usuarios GlobalProtect y la condición de IP- HIP coincidencia
Environment
- PANOS 8.0.10
- GP Versiones del agente 4.1.1-14 & 4.1.6
- GlobalProtect Portal y Gateway están configurados en firewall
- HIP objetos y perfil configurados
- HIP perfil seleccionado en seguridad policy
- El usuario ID está configurado para recuperar la asignación de IP- usuarios
Cause
- La información del informe se mantiene mediante el proceso del HIP ID usuario, el mismo proceso que administra IP- la asignación de usuarios y la asignación de grupos y usuarios
- Información HIP en el informe está vinculado a IP- la asignación de usuarios desde el GlobalProtect cliente; cuando recibe la actualización de firewall asignación para el mismo GlobalProtect IP cliente, pero con un nombre de usuario diferente, reemplazará el registro anterior
- Aunque GlobalProtect el cliente con conexión establecida VPN enviaría el informe a una vez por HIP hora a menos que se cambie algo en lo correspondiente firewall PC (por ejemplo, la configuración del sistema, el software instalado), si la asignación de usuario correspondiente IP- es reemplazada por otro origen de datos (por ejemplo, agente de ID usuario), los datos de ese cliente se HIP ignorarían; el tráfico desde el mismo cliente ya no coincidiría con las directivas de seguridad con el HIP perfil seleccionado
Resolution
- Mediante el uso de la lista include/exclude en el agente de usuario ID ( Cómo funciona la lista de ID inclusión/exclusión del agentede usuario) o la configuración de usuario sin agente ( Cómo configurar la lista de ID inclusión/exclusión paraIDel usuario sin agente- ), el administrador puede excluir los IP grupos de la puerta de enlace del GlobalProtect ID usuario.
- Esta acción deja tanto la asignación de usuarios como IP- la coincidencia solo como HIP GlobalProtect origen.
- Como resultado, HIP la información sobre el cliente seguiría siendo válida siempre y cuando la conexión del cliente establecida por GlobalProtect está VPN GlobalProtect actualizada.