トラフィックが Policy HIP 選択されたプロファイルとセキュリティを一致しない
28622
Created On 03/14/19 00:38 AM - Last Modified 03/26/21 18:21 PM
Symptom
- VPN クライアント・ワークステーションが実行 GlobalProtect され、 firewall ゲートウェイで構成される間に確立された接続 GlobalProtect
- GlobalProtect クライアントは HIP 、ゲートウェイにレポートを送信, HIP [確立された上で一致] firewall
- クライアントからのトラフィック GlobalProtect は IP 、設定 policy 済みのプロファイルとセキュリティを照合 HIP し、それに応じてトラフィックを処理するために確立されたセッション
- その後、クライアント上のプロセスが異なるユーザー名でドメイン認証をトリガーし、ドメイン コントローラのセキュリティ イベントを更新 IP- ID UIA PAN-OS ID します。
- ユーザー識別Firewallから更新されたマッピングを学習し、 GlobalProtect クライアントログインから学習した元のマッピングに優先します
- HIP 条件はすぐに不一致になり、クライアントからの新しいトラフィックが GlobalProtect 他の未 HIP- 構成で処理されなくなり policy HIP 、プロファイルは現在も有効です。
- トラフィック ログは、正しく一致しないトラフィック HIP policy に送信元ユーザー情報がないことを示します。
- ユーザーを介して接続 firewall を復元するには、ユーザーの GlobalProtect IP- マッピングと一致条件を再確立するために、ユーザーからログオフし、再度ログオンする HIP 必要があります
Environment
- PANOS 8.0.10
- GP エージェントバージョン 4.1.1-14 および 4.1.6
- GlobalProtect ポータルとゲートウェイが firewall
- HIP 構成されたオブジェクトとプロファイル
- HIP セキュリティで選択されたプロファイル policy
- ユーザー ID マッピングを取得するように IP- 設定されている
Cause
- レポートからの情報 HIP は、ユーザー・プロセスによって管理され ID 、 IP- ユーザー・マッピングとグループ・ユーザー・マッピングを管理しているのと同じプロセス
- の HIP 情報 レポートは IP- クライアントからのユーザーマッピングに結びついて GlobalProtect いますが、 firewall 同じクライアントのマッピング更新を受け取ると、 GlobalProtect IP 別のユーザー名を使用すると、前のレコードが優先されます。
- GlobalProtect接続が確立されたクライアント VPN は HIP firewall 、対応するデータ ソース (例: ユーザー エージェント) で何かが変更されていない限り、1 時間に 1 回レポートを送信しますが PC 、対応する IP- ユーザー マッピングが別のデータ ソース (ユーザー エージェントなど) に置き換えられると ID 、 HIP そのクライアントのデータは無視され、同じクライアントからのトラフィックは HIP 、選択されたプロファイルを持つセキュリティ ポリシーと一致しなくなります。
Resolution
- ユーザー エージェント (ユーザー - エージェントの ID ID インクルード/除外リストの動作) またはエージェントレス ユーザー ID 設定 (エージェントレス ユーザの組み込み/除外リストの構成方法ID) で、含める/除外リストを使用して、管理者は IP Gateway 上のプールを GlobalProtect ユーザから除外できます ID 。
- この操作により、 IP- ユーザー マッピングと HIP 一致の両方 GlobalProtect がソースとしてのみ残されます。
- その結果、 HIP クライアント上の情報 GlobalProtect は、クライアントの接続がアップしている限り有効なままになります VPN GlobalProtect 。