GlobalProtect 代理的流量无法匹配使用HIP配置文件配置的正确安全规则

GlobalProtect 代理的流量无法匹配使用HIP配置文件配置的正确安全规则

4925
Created On 07/29/22 01:57 AM - Last Modified 01/07/25 14:34 PM


Symptom


  • 来自 GlobalProtect 代理的流量与使用HIP配置文件配置的预期安全规则不匹配。
  • HIP 匹配日志显示,流量与收到的HIP 报告的预期HIP配置文件正确匹配。
  • show 用户 ip-user-mapping ”显示不匹配的HIP配置文件
> show user ip-user-mapping ip x.x.x.x

IP address:    x.x.x.x (vsys1)
User:          user1
From:          GP
Idle Timeout:  10638s
Max. TTL:      10638s
HIP Timestamp: 46677158s
HIP Query:     Disabled
HIP profiles that user belong to (used in policy)
HIP profile(s): HIP-Profile1                       <<<<<<<<<<<<< !!!!
Group(s):      user1(1)

Environment


  • 全局保护
  • Prisma 访问
  • 泛操作系统
  • HIP 配置文件

Cause


软件问题。

Resolution


  1. 该问题已在 PAN-OS 10.1.10、10.2.4 及更高版本中的PAN-197115下修复。
  2. 升级到修复版本将解决该问题。
  3. 作为一种解决方法,将安全策略中的HIP配置文件数量减少到 32 个以下。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000CqsPCAS&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language