流量未正确匹配具有多个 FQDN 对象的规则

流量未正确匹配具有多个 FQDN 对象的规则

6927
Created On 11/23/21 08:53 AM - Last Modified 02/02/24 06:08 AM


Symptom


  • 安全规则在同一规则中将两个或多个 FQDN 配置为源/目标。
  • 这些 FQDN 解析为相同的 IP 地址。
  • 流量间歇性地与正确的规则不匹配。

Environment


  • 帕洛阿尔托防火墙
  • PAN-OS 10.1 和 10.2
  • FQDN

Cause


  • 由于软件问题,当其中一个 FQDN 稍后解析为其他 IP 时(由于 TTL 过期),另一个 FQDN 解析的 IP 也将更改。
  • 这将导致具有原始 IP 的流量命中错误的规则。

Resolution


  1. 此问题已在 PANOS 10.2.3、10.1.7 中的 PAN-157215 下得到解决
  2. 升级到已修复的代码将解决该问题
  3. 解决方法是,为解析为相同 IP 的每个单独的 FQDN 创建单独的安全规则。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004MPCCA2&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language