HIP 检查失败导致全局保护隧道在 3 小时后断开连接
34340
Created On 09/01/20 19:57 PM - Last Modified 04/23/24 00:11 AM
Symptom
GlobalProtect 用户在 3 小时后断开连接,尽管他们正在从工作站积极工作。
Environment
- 帕洛阿尔托网络防火墙配置如下:安全策略、URL 筛选配置文件
- 全局保护应用
Cause
- 默认情况下,非活动注销超时设置为 3 小时,如下所示:
- 当用户成功登录到 GlobalProtect 时,其用户映射显示具有登录生存期超时值。 几秒钟后,它将在"监视器"中更改为 3 小时(>用户 ID 日志,如下所示:
- HIP 检查每小时进行一次,由 GP 应用程序启动。 在许多情况下,为 GlobalProtect 网关连接配置了显式安全策略,并在此策略中添加了 URL 筛选配置文件,如下所示:
- 当用户连接到 GlobalProtect 时,三小时后,他们开始遇到断开连接。根据防火墙上的 URL 筛选日志,网关URL"/ssl-vpn/hipreportcheck.esp"被阻止,如下所示:</GP-GATEWAY-IP>
- 这是因为 URL 类别"未知"设置为阻止,网关 URL 与此类别匹配。 这也可以在 PanGPS 上.log,如下所示:
P 866-T12663 1 月 28 日 12:38:19:653061 调试 (5028): 使用 https 将臀部报告检查发送到网关 x.x.x .x
P 866-T12663 1 月 28 日 12:38:19:653067 调试 (5070): 网络发现 SN 92 保持不变。
P 866-T126663 1月28日 12:38:19:653153 调试 (779): SSL 连接到 x.x.x.x
P 866-T12663 1 月 28 日 12:38:19:746013 调试(4407): SSL 成功
验证 P 8 66-T12663 1月28日 12:38:19:834616 错误(4698): HTTP 200 OK 未收到: HTTP/1.1 503 服务不可用
内容类型: 文本/html; 字符集 = UTF-8 内容
长度: 978 连接
: 关闭
P3P: CP ="CAO PSA 我们"
过期, 01 一月 1970 00:00:00 GMT
缓存控制: 无商店, 无缓存, 必须重新验证,检查后=0,预检查
=0 实用:无缓存
<html>
<head>
<title>网页已阻止</title>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<META HTTP-EQUIV="PRAGMA" CONTENT="NO-CACHE">
<meta name="viewport" content="initial-scale=1.0">
<style>
#content {
border:3px solid#aaa;
background-color:#fff;
margin:1.5em;
padding:1.5em;
font-family:Tahoma,Helvetica,Arial,sans-serif;
font-size:1em;
}
h1 {
font-size:1.3em;
font-weight:bold;
color:#196390;
}
b {
font-weight:normal;
color:#196390;
}
</style>
</head>
<body bgcolor="#e7e8e9">
<div id="content">
<h1>网页已阻止</h1> <<<<<<<<
<p>根据公司政策,您尝试访问网页的访问已被阻止。</div></body></html> 如果您认为这是错误的,请与系统管理员联系。</p>
<p><b>用户:</b> x. x. x. x </p>
<p><b>URL:</b> x. x. x. x / ssl - vpn / hipreportcheck. esp </p> <<<<<<<<<<
<p><b>类别:</b> 未知 </p> <<<<<<<
P 866-T12663 1月28日 12:38:19:834710 调试(1322): 打开SSL警报写:
警告:关闭通知P 866-T12663 1月28日 12:38:19:834948 信息 (5073): 发送() 失败。
P 866-T12663 1月28日 12:38:19:834964 调试(4875): 发送臀部报告检查失败<<<<<<<<
P 866-T12663 1 月 28 日 12:38:19:653067 调试 (5070): 网络发现 SN 92 保持不变。
P 866-T126663 1月28日 12:38:19:653153 调试 (779): SSL 连接到 x.x.x.x
P 866-T12663 1 月 28 日 12:38:19:746013 调试(4407): SSL 成功
验证 P 8 66-T12663 1月28日 12:38:19:834616 错误(4698): HTTP 200 OK 未收到: HTTP/1.1 503 服务不可用
内容类型: 文本/html; 字符集 = UTF-8 内容
长度: 978 连接
: 关闭
P3P: CP ="CAO PSA 我们"
过期, 01 一月 1970 00:00:00 GMT
缓存控制: 无商店, 无缓存, 必须重新验证,检查后=0,预检查
=0 实用:无缓存
<html>
<head>
<title>网页已阻止</title>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<META HTTP-EQUIV="PRAGMA" CONTENT="NO-CACHE">
<meta name="viewport" content="initial-scale=1.0">
<style>
#content {
border:3px solid#aaa;
background-color:#fff;
margin:1.5em;
padding:1.5em;
font-family:Tahoma,Helvetica,Arial,sans-serif;
font-size:1em;
}
h1 {
font-size:1.3em;
font-weight:bold;
color:#196390;
}
b {
font-weight:normal;
color:#196390;
}
</style>
</head>
<body bgcolor="#e7e8e9">
<div id="content">
<h1>网页已阻止</h1> <<<<<<<<
<p>根据公司政策,您尝试访问网页的访问已被阻止。</div></body></html> 如果您认为这是错误的,请与系统管理员联系。</p>
<p><b>用户:</b> x. x. x. x </p>
<p><b>URL:</b> x. x. x. x / ssl - vpn / hipreportcheck. esp </p> <<<<<<<<<<
<p><b>类别:</b> 未知 </p> <<<<<<<
P 866-T12663 1月28日 12:38:19:834710 调试(1322): 打开SSL警报写:
警告:关闭通知P 866-T12663 1月28日 12:38:19:834948 信息 (5073): 发送() 失败。
P 866-T12663 1月28日 12:38:19:834964 调试(4875): 发送臀部报告检查失败<<<<<<<<
- 因此,当连续三次 HIP 检查失败(3 小时后)时,网关将断开隧道的连接。
Resolution
- 您可以通过创建自定义 URL 类别并向其添加 URL,在 URL 筛选配置文件上将网关 URL 列入白名单。 此类别应设置为允许或提醒对 URL 筛选配置文件执行操作,如下所示:
- 这将确保每小时进行一次 HIP 检查;一旦网关收到 GlobalProtect 映射,并且防火墙也会获取更新的 HIP 报告(如果对旧的 HIP 报告存在任何更改),则将全局保护映射重置为 3 小时。