GlobalProtectエージェントからのトラフィックがHIPプロファイルで設定された正しいセキュリティルールと一致しない

GlobalProtectエージェントからのトラフィックがHIPプロファイルで設定された正しいセキュリティルールと一致しない

4893
Created On 07/29/22 01:57 AM - Last Modified 01/07/25 14:32 PM


Symptom


  • GlobalProtect エージェントからのトラフィックは、 HIPプロファイルで構成された予期されるセキュリティルールと一致しません。
  • HIPマッチ ログには、受信したHIPレポートのトラフィックが予想されるHIPプロファイルに正しく一致したことがわかります。
  • show ユーザー ip-user-mapping 」は不一致のHIPプロファイルを表示します
> show user ip-user-mapping ip x.x.x.x

IP address:    x.x.x.x (vsys1)
User:          user1
From:          GP
Idle Timeout:  10638s
Max. TTL:      10638s
HIP Timestamp: 46677158s
HIP Query:     Disabled
HIP profiles that user belong to (used in policy)
HIP profile(s): HIP-Profile1                       <<<<<<<<<<<<< !!!!
Group(s):      user1(1)

Environment


  • グローバルプロテクト
  • プリズマアクセス
  • パンOS
  • HIPプロファイル

Cause


ソフトウェアの問題。

Resolution


  1. この問題は、PAN-OS 10.1.10、10.2.4 以降ではPAN-197115で修正されています。
  2. 修正されたバージョンにアップグレードすると、問題は解決します。
  3. 回避策として、セキュリティポリシー内のHIPプロファイルの数を 32 未満に減らします。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000CqsPCAS&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language