Verhalten "Gefälschte IP Adresse" und "Strikte IP Adressprüfung" mit PA-VM im AWS Modus bereitgestellt GWLB .
Symptom
Datenverkehr, der im AWS Modus "Bereitgestellt im PA-VM GWLB Modus" abgelegt wird, wenn das Zonenschutzprofil mit "Gefälschte IP Adresse" und/oder "Strenge IP Adressprüfung" angewendet wird.
Environment
PA-VM im AWS Modus mit Zonenschutzprofil, das auf Unterschnittstellen angewendet wird GWLB .
Setup mit PA-VM in deployed AWS im GWLB Modus ähnelt Router auf einem Stick Konfiguration.
name id vsys zone forwarding tag address
------------------- ----- ---- ---------------- ------------------------ ------ ------------------
ethernet1/1 16 1 Zone1 vr:virtual-router 0 10.11.0.241/24
ethernet1/1.100 256 1 Zone2 vr:virtual-router 100 N/A
ethernet1/1.200 257 1 Zone3 vr:virtual-router 200 N/A
ethernet1/1.300 258 1 Zone4 vr:virtual-router 300 N/A
Ein wesentlicher Unterschied besteht jedoch darin, dass selbst wenn Unterschnittstellen vom Typ "Schicht 3" sind, diesen Unterschnittstellen keine IP zugewiesenen Unterschnittstellen und keine Routen, die auf diese Unterschnittstellen verweisen.
admin@PA-vm> show interface ethernet1/1.100
--------------------------------------------------------------------------------
Name: ethernet1/1.100, ID: 256, 802.1q tag: 100
Operation mode: layer3
Virtual router virtual-router
Interface MTU 1500
Interface management profile: N/A
Service configured:
Zone: obew-ap-southeast-1, virtual system: vsys1
Adjust TCP MSS: no
Policing: no
Die Weiterleitungsentscheidungen werden auf VPC der Grundlage der Endpunkt-zu-Sub-Interface-Zuordnung getroffen.
Weitere Informationen zur Zuordnung von Endpunkt zu Unterschnittstelle finden Sie im folgenden ArtikelVPC.
vm-serieshttps://docs.paloaltonetworks.com//10-1/vm-series-deployment/set-up-the--firewallvm-series-on-aws/vm-series-integration-with-gateway-load-balancer/integrate-the--vm-serieswith-an-aws-gateway-load-balancer/associate-a-vpc-endpoint-with-a-vm-series-interface.html#idfa08d566-ce68-4733-a17f-b67ae9110aa9In
der Routingtabelle werden Routen nur der übergeordneten Schnittstelle (e1/1 in unserem Beispiel) zugeordnet.
Wenn jedoch ein Zonenschutzprofil mit der Prüfung "Gefälschte IP Adresse" auf Zonen angewendet wird, die der Unterschnittstelle zugeordnet sind, wird der gesamte Datenverkehr, der auf die Unterschnittstelle trifft, als IP gefälschtes Paket mit flow_dos_pf_ipspoof globalen Leistungsindikatoren abgelegt.
admin@PA-vm> show routing route
{noformat}
flags: A:active, ?:loose, C:connect, H:host, S:static, ~:internal, R:rip, O:ospf, B:bgp,
Oi:ospf intra-area, Oo:ospf inter-area, O1:ospf ext-type-1, O2:ospf ext-type-2, E:ecmp, M:multicast
VIRTUAL ROUTER: virtual-router (id 2)
==========
destination nexthop metric flags age interface next-AS
0.0.0.0/0 10.11.0.1 10 A S ethernet1/1
10.11.0.0/24 10.11.0.241 0 A C ethernet1/1
10.11.0.241/32 0.0.0.0 0 A H
Cause
"Spoofed IP address" und "Strict IP Address Check" werden im deployed in AWS GWLB mode nicht unterstütztPA-VM.
IP spoofing wird bereits von AWS behandelt und ist standardmäßig aktiviertAWS.
Es wird empfohlen, eine starke Netzwerksicherheitsgruppe mit Kommunikation innerhalb des Subnetzes mit .GWLB
Da AWS ein starkes Anti-Spoofing policy standardmäßig aktiviert ist, wurde diese Funktion auf PA-VM Firewallals nicht benötigt eingestuft.
Resolution
Deaktivieren Sie die Optionen "Gefälschte IP Adresse" und "Strenge IP Adressprüfung" in den zugeordneten Zonenschutzprofilen.