Cuando se utilizan objetos comodín, el tráfico no coincide con la política correcta.

4516

Created On 10/16/23 05:29 AM - Last Modified 01/07/25 02:00 AM

Symptom

El tráfico no está tomando la regla esperada con el objeto comodín.

Dada la siguiente configuración :

Objetos comodín
Nombre del objeto	DIRECCIÓN	Significado	Ejemplo de coincidencias esperadas
comodín-10.128.0.1-0.127.0.0	10.128.0.1/0.127.0.0	Coincidencia 10.128-255.0.1	10.128.0.1 10.129.0.1 10.164.0.1 10.255.0.1
comodín-10.128.0.1-0.127.255.0	10.128.0.1/0.127.255.0	Coincidencia 10.128-255.0-255.1	10.128.0.1 10.128.192.1 10.164.128.1 10.255.255.1
comodín-10.128.0.1-0.15.255.0	10.128.0.1/0.15.255.0	Partido 10.128-143.0-255.1	10.128.0.1 10.129.255.1 10.143.0.1

Base de reglas de seguridad
Base de reglas	Objeto de Origen
Regla A	comodín-10.128.0.1-0.127.0.0
Regla B	comodín-10.128.0.1-0.127.255.0
Regla C	comodín-10.128.0.1-0.15.255.0

El tráfico de 10.128.0.1 coincide con los 3 objetos comodín, sin embargo, lo procesa la regla C.

admin@NGFW> test security-policy-match from Trust to Untrust source 10.128.0.1 destination 8.8.8.8 destination-port 80 protocol 6

"Rule C; index: 3" {
        from any;
        source none;
        source-region none;
        to any;
        destination any;
        destination-region none;
        user any;
        source-device any;
        destination-device any;
        category any;
        application/service 0:any/any/any/app-default;
        action allow;
        icmp-unreachable: no
        terminal yes;
}

Environment

Cortafuegos de Palo Alto
Sistema operativo PAN compatible
Objeto comodín

Cause

En el caso de objetos comodín superpuestos, la dirección se compara con la máscara comodín de prefijo más larga (consulte información adicional).
En este ejemplo,
- Para la Dirección IP 10.128.0.1.
- La hoja coincidente es 10.128.0.1/12 (/12 es más largo que /9).
- Luego, la Dirección IP se compara con el comodín 10.128.0.1-0.15.255.0 que se utiliza en la Regla C.

Resolution

Cambie las reglas en el orden correcto para obtener los resultados previstos
Vea el cálculo para el ejemplo anterior a continuación.
1. Para el ejemplo anterior, revise los objetos comodín para que se neutralice la coincidencia de longitud del prefijo (paso 1).

Para la Dirección IP 10.128.0.1.
Debido a que 10.128.0.1 coincide con la hoja 10.128.0.1/12, los demás objetos comodín deben editarse para generar prefijos /12.

El objeto comodín-10.128.0.1-0.127.0.0 - 10.128.0.1/0.127.0.0 debe descomponerse en el comodín como se muestra a continuación.

10.128.0.1/0.15.0.0
10.144.0.1/0.15.0.0
10.160.0.1/0.15.0.0
10.176.0.1/0.15.0.0
10.192.0.1/0.15.0.0
10.208.0.1/0.15.0.0
10.224.0.1/0.15.0.0
10.240.0.1/0.15.0.0

Objetos comodín actualizados
Nombre del objeto	DIRECCIÓN
wildcard-10.128.0.1-0.127.0.0	10.128.0.1/0.127.0.0
comodín-10.128.0.1-0.127.255.0	10.128.0.1/0.127.255.0
comodín-10.128.0.1-0.15.255.0	10.128.0.1/0.15.255.0
nuevo-10.128.0.1-0.15.0.0	10.128.0.1/0.15.255.0
nuevo-10.144.0.1-0.15.0.0	10.144.0.1/0.15.255.0
nuevo-10.160.0.1-0.15.0.0	10.160.0.1/0.15.255.0
nuevo-10.176.0.1-0.15.0.0	10.176.0.1/0.15.255.0
nuevo-10.192.0.1-0.15.0.0	10.192.0.1/0.15.255.0
nuevo-10.208.0.1-0.15.0.0	10.208.0.1/0.15.255.0
nuevo-10.224.0.1-0.15.0.0	10.224.0.1/0.15.255.0
nuevo-10.240.0.1-0.15.0.0	10.240.0.1/0.15.255.0

Base de reglas de seguridad actualizada
Base de reglas	Objeto de Origen
Regla A	comodín-10.128.0.1-0.127.0.0 nuevo-10.128.0.1-0.15.0.0 nuevo-10.144.0.1-0.15.0.0 nuevo-10.160.0.1-0.15.0.0 nuevo-10.176.0.1-0.15.0.0 nuevo-10.192.0.1-0.15.0.0 nuevo-10.208.0.1-0.15.0.0 nuevo-10.224.0.1-0.15.0.0 nuevo-10.240.0.1-0.15.0.0
Regla B	comodín-10.128.0.1-0.127.255.0
Regla C	comodín-10.128.0.1-0.15.255.0

Después del cambio, la regla coincide como se esperaba.

admin@NGFW> test security-policy-match from Trust to Untrust source 10.128.0.1 destination 8.8.8.8 destination-port 80 protocol 6

"Rule A; index: 1" {
        from any;
        source none;
        source-region none;
        to any;
        destination any;
        destination-region none;
        user any;
        source-device any;
        destination-device any;
        category any;
        application/service 0:any/any/any/app-default;
        action allow;
        icmp-unreachable: no
        terminal yes;
}

Additional Information

Los objetos comodín se almacenan en una estructura de datos de árbol.
Cada hoja del árbol tiene un prefijo asociado con el objeto o los objetos comodín coincidente .

comodín-10.128.0.1-0.127.0.0 - 10.128.0.1/0.127.0.0
0.127.0.0 ( 0000 0000.0 111 1111.0.0) da un /9 (9 bits a 0 antes del primer bit a 1)
La hoja será: 10.128.0.1/9

comodín-10.128.0.1-0.127.255.0 - 10.128.0.1/0.127.255.0
0.127.255.0 ( 0000 0000.0 111 1111.255.0) da un /9 (9 bits a 0 antes del primer bit a 1)
La hoja será: 10.128.0.1/9

comodín-10.128.0.1-0.15.255.0 - 10.128.0.1/0.15.255.0
0.15.0.0 ( 0000 0000.0000 1111.255.0) da un /9 (9 bits a 0 antes del primer bit a 1)
La hoja será: 10.128.0.1/12

Estructura de datos
Hoja	Objetos comodín asociados
10.128.0.1/9	comodín-10.128.0.1-0.127.0.0 comodín-10.128.0.1-0.127.255.0
10.128.0.1/12	comodín-10.128.0.1-0.15.255.0

La coincidencia del objeto comodín se realiza en 2 pasos:

Coincidencia de longitud de prefijo
En esta etapa, para una dirección determinada, el sistema buscará la coincidencia de prefijo más larga en la Estructura de Datos para obtener la lista de objetos comodín.
Coincidencia de objetos comodín asociados
En esta etapa, para una dirección determinada, el sistema verificará la coincidencia con los objetos comodín asociados.