9.0 にアップグレードした後 PAN-OS 、オーバーライドされた URL からのトラフィックが間違ったカスタム カテゴリに一致しています URL
40399
Created On 03/21/19 23:23 PM - Last Modified 08/27/21 23:27 PM
Symptom
- 最近 9.0 にアップグレードしました PAN-OS
- 上書きされた URL からのトラフィックが間違ったカスタム カテゴリに一致 URL しています。 URL
Environment
- PAN-OS9.0 にアップグレード
- Panorama
- Firewall
Cause
PAN-OS8.x では、8.x から 9.x へのアップグレード時に、フィルタリング プロファイルの [上書き] タブの許可と禁止リストで URL を設定できます URL
。 PAN-OS firewall 上書き許可リストとブロック リストをカスタム カテゴリのセットに自動的に移行 URL し、それぞれ "allow" と "block" を追加GUI URL
GUI URL
PAN-OS URL URL します > > > >。
Resolution
これは 9.0 から始まる設計変更 PAN-OS です。
PAN-OS9.0 では、移行中に許可リスト/ブロック リストがカスタム カテゴリに変更 URL され、優先順位が失われます。 これにより、 firewall 最も重大なアクションがトリガーされ、場合によってはブロックによってトラフィックがブロックされます。
8.x と同様の結果を得るには、 policy アクションを allowとして追加する必要があります。 このセキュリティ policy は、トラフィックをブロックしている現在の前にする必要があります policy 。 URLこの "新しい" にプロファイルをアタッチする場合 policy は、"ブロックされた URL" に対するアクションを必ずnoneに設定してください。
アップグレード URL ダウングレードの考慮事項のカスタム カテゴリのフィルタリングを参照してください。
Additional Information
8.x では、上書きタブの許可リスト/ブロックリストは、通常のカスタムカテゴリよりも優先 URL- されます。
たとえば、許可リストに「paloaltonetworks.com/security-for」を追加し、ブロックされたカスタム URL カテゴリのプロファイルに 「paloaltonetworks.com」を追加します。 トラフィックは、paloaltonetworks.com/security-for に対してのみ許可されます URL
9.0 で同様の結果を達成するには、追加のセキュリティ policy (例: new- policy ) カテゴリ "許可された URL" と現在のアクティブの前に 許可 されたアクション policy . URL-この "new- " にプロファイルを添付する場合 policy は、"ブロックされた URL" のアクションを必ず none に設定してください。