流量无法 Policy 匹配已 HIP 选定配置文件的安全性
28640
Created On 03/14/19 00:38 AM - Last Modified 03/26/21 18:21 PM
Symptom
- VPN 客户端工作站运行 GlobalProtect 和 firewall 配置与 GlobalProtect 网关之间的连接
- GlobalProtect 客户端 HIP 向网关发送报告, HIP 在 firewall 已建立时匹配
- 客户端 GlobalProtect 的流量 IP policy 将安全性与 HIP 配置的配置文件相匹配;为相应地处理流量而建立的会话
- 之后的某一时刻,客户端上的一个过程会用不同的用户名触发域认证,更新域控制器上的安全事件,从而进一步更新 IP- 用户 ID 代理 UIA ()或 PAN-OS 基于(无代理)用户的用户映射 ID 。
- 从用户身份识别Firewall中学习更新的映射,取代从 GlobalProtect 客户端登录中学到的原始映射
- HIP 条件很快变得不匹配,导致客户端的新流量 GlobalProtect 被其他未配置的处理不当 HIP- policy : HIP 配置文件在当时仍然有效
- 流量日志表示流量不匹配正确 HIP policy 将没有源用户信息
- 要通过用户恢复连接 firewall ,必须注销 GlobalProtect 并重新登录以重新建立 IP- 用户映射和 HIP 匹配状态
Environment
- PANOS 8.0.10
- GP 代理版本 4.1.1-14 + 4.1.6
- GlobalProtect 门户和网关配置在 firewall
- HIP 对象和配置文件
- HIP 在安全中选择的配置文件 policy
- 用户 ID 被配置为检索 IP- 用户映射
Cause
- HIP来自报告的信息由用户过程维护 ID ,与管理 IP- 用户映射和群用户映射的过程相同
- 信息在 HIP 报告 IP- 与来自客户端的用户映射相关 GlobalProtect :当 firewall 接收同一客户端的映射更新 GlobalProtect IP 时,但使用不同的用户名,它将取代以前的记录
- 虽然 GlobalProtect 已建立 VPN 连接的客户端将发送 HIP 报告到 firewall 每小时一次,除非相应 PC (例如系统设置、已安装的软件)上有所更改),但如果相应的 IP- 用户映射被另一个数据源(例如用户 ID 代理)取代, HIP 则该客户端的数据将被忽略;来自同一客户端的流量将不再匹配安全策略与 HIP 选定的配置文件
Resolution
- 通过使用用户 ID 代理(用户 ID 代理包括/排除列表的工作原理)或无代理用户 ID 设置(如何配置无代理用户的包含/排除列表ID),管理员可以 IP GlobalProtect 将网关上的池排除在用户之外 ID 。
- 此操作仅将 IP- 用户映射和 HIP 匹配 GlobalProtect 作为源。
- 因此, HIP GlobalProtect 只要客户端建立的连接已建立,客户端信息将保持有效 VPN GlobalProtect 状态。