HIP如果 HIP 配置文件无法匹配,如何生成匹配日志
17544
Created On 01/15/21 01:07 AM - Last Modified 03/26/21 18:55 PM
Objective
- HIP firewall 每当 GlobalProtect 用户 HIP 的报告与配置的配置文件匹配时,网关的匹配日志中都会生成条目 HIP 。
- 此文档描述了如何配置日志条目,以在用户报告无法匹配预期 HIP 配置文件时生成日志条目。
Environment
- 任何帕洛阿尔托网络 firewall
- PAN-OS 7.1 和较新的
- GlobalProtect 与支票配置的网关 HIP
Procedure
- 在对象 GlobalProtect >> HIP 配置文件下,确定 HIP 用户应该匹配的配置文件。
- 检查 HIP 配置文件并复制匹配标准:
- 创建一个新 HIP 配置文件,其名称将指示用户无法匹配正确的 HIP 配置文件。 添加相同的匹配条件,但使用"not"关键字来否定所有现有逻辑。 在此示例中,我们使用"windows_nomatch"名称表示用户与 Windows 配置文件不匹配 HIP :
- 提交
Additional Information
一旦 HIP 创建新的配置文件"nomatch",所有传入的用户臀部报告将针对它进行评估。 没有必要将新的臀部配置文件添加到任何安全 policy 规则中。 正如以下文档所解释的(在第 6 步中),在 HIP 提交报告时,所有配置的配置文件都会进行评估 HIP ,而不是在安全规则匹配时进行评估
globalprotect :https://docs.paloaltonetworks.com//9-0/- globalprotect 管理员/主机信息/基于配置的臀部 policy -执行
现在, HIP 如果用户连接且无法匹配适当的配置文件,则匹配日志(监视器>日志> HIP 匹配)将记录条目"无匹配 HIP "。