Lorsque des objets génériques sont utilisés, le trafic ne correspond pas à la politique, règle, mesures appropriée.

4516

Created On 10/16/23 05:29 AM - Last Modified 01/07/25 01:57 AM

Symptom

Le trafic ne suit pas la règle attendue avec l'objet générique.

Étant donné la configuration ci-dessous :

Objets génériques
Nom de l'objet	Adresse	Signification	Exemple de correspondances attendues
caractère générique-10.128.0.1-0.127.0.0	10.128.0.1/0.127.0.0	Match 10.128-255.0.1	10.128.0.1 10.129.0.1 10.164.0.1 10.255.0.1
caractère générique-10.128.0.1-0.127.255.0	10.128.0.1/0.127.255.0	Match 10.128-255.0-255.1	10.128.0.1 10.128.192.1 10.164.128.1 10.255.255.1
caractère générique-10.128.0.1-0.15.255.0	10.128.0.1/0.15.255.0	Match 10.128-143.0-255.1	10.128.0.1 10.129.255.1 10.143.0.1

Base de règles de sécurité
Base de règles	Objet Source
Règle A	caractère générique-10.128.0.1-0.127.0.0
Règle B	caractère générique-10.128.0.1-0.127.255.0
Règle C	caractère générique-10.128.0.1-0.15.255.0

Le trafic provenant de 10.128.0.1 correspond aux 3 objets génériques, cependant, il est traité par la règle C.

admin@NGFW> test security-policy-match from Trust to Untrust source 10.128.0.1 destination 8.8.8.8 destination-port 80 protocol 6

"Rule C; index: 3" {
        from any;
        source none;
        source-region none;
        to any;
        destination any;
        destination-region none;
        user any;
        source-device any;
        destination-device any;
        category any;
        application/service 0:any/any/any/app-default;
        action allow;
        icmp-unreachable: no
        terminal yes;
}

Environment

Pare-feu Palo Alto
Système d'exploitation PAN pris en charge
Objet générique

Cause

En cas de chevauchement d'objets génériques, l'adresse est comparée au masque générique de préfixe le plus long (voir informations supplémentaires).
Dans cet exemple,
- Pour l' adresse IP 10.128.0.1.
- La feuille correspondante est 10.128.0.1/12 (/12 est plus long que /9).
- L' adresse IP est ensuite comparée au caractère générique 10.128.0.1-0.15.255.0 qui est utilisé dans la règle C.

Resolution

Déplacez les règles dans le bon ordre pour obtenir les résultats escomptés
Voir le calcul de l'exemple ci-dessus ci-dessous
1. Pour l’exemple ci-dessus, examinez les objets génériques afin que la correspondance de longueur de préfixe soit neutralisée (étape 1).

Pour l' adresse IP 10.128.0.1.
Étant donné que 10.128.0.1 correspond à la feuille 10.128.0.1/12, les autres objets génériques doivent être modifiés pour générer des préfixes /12.

L'objet wildcard-10.128.0.1-0.127.0.0 - 10.128.0.1/0.127.0.0 doit être décomposé dans le caractère générique comme ci-dessous.

10.128.0.1/0.15.0.0
10.144.0.1/0.15.0.0
10.160.0.1/0.15.0.0
10.176.0.1/0.15.0.0
10.192.0.1/0.15.0.0
10.208.0.1/0.15.0.0
10.224.0.1/0.15.0.0
10.240.0.1/0.15.0.0

Objets génériques mis à jour
Nom de l'objet	Adresse
wildcard-10.128.0.1-0.127.0.0	10.128.0.1/0.127.0.0
caractère générique-10.128.0.1-0.127.255.0	10.128.0.1/0.127.255.0
caractère générique-10.128.0.1-0.15.255.0	10.128.0.1/0.15.255.0
nouveau-10.128.0.1-0.15.0.0	10.128.0.1/0.15.255.0
nouveau-10.144.0.1-0.15.0.0	10.144.0.1/0.15.255.0
nouveau-10.160.0.1-0.15.0.0	10.160.0.1/0.15.255.0
nouveau-10.176.0.1-0.15.0.0	10.176.0.1/0.15.255.0
nouveau-10.192.0.1-0.15.0.0	10.192.0.1/0.15.255.0
nouveau-10.208.0.1-0.15.0.0	10.208.0.1/0.15.255.0
nouveau-10.224.0.1-0.15.0.0	10.224.0.1/0.15.255.0
nouveau-10.240.0.1-0.15.0.0	10.240.0.1/0.15.255.0

Mise à jour de la base de règles de sécurité
Base de règles	Objet Source
Règle A	caractère générique-10.128.0.1-0.127.0.0 nouveau-10.128.0.1-0.15.0.0 nouveau-10.144.0.1-0.15.0.0 nouveau-10.160.0.1-0.15.0.0 nouveau-10.176.0.1-0.15.0.0 nouveau-10.192.0.1-0.15.0.0 nouveau-10.208.0.1-0.15.0.0 nouveau-10.224.0.1-0.15.0.0 nouveau-10.240.0.1-0.15.0.0
Règle B	caractère générique-10.128.0.1-0.127.255.0
Règle C	caractère générique-10.128.0.1-0.15.255.0

Après le changement, la règle correspond comme prévu

admin@NGFW> test security-policy-match from Trust to Untrust source 10.128.0.1 destination 8.8.8.8 destination-port 80 protocol 6

"Rule A; index: 1" {
        from any;
        source none;
        source-region none;
        to any;
        destination any;
        destination-region none;
        user any;
        source-device any;
        destination-device any;
        category any;
        application/service 0:any/any/any/app-default;
        action allow;
        icmp-unreachable: no
        terminal yes;
}

Additional Information

Les objets génériques sont stockés dans une structure de données arborescente.
Chaque feuille de l'arbre est un préfixe associé aux objets génériques correspondance .

caractère générique-10.128.0.1-0.127.0.0 - 10.128.0.1/0.127.0.0
0.127.0.0 ( 0000 0000.0 111 1111.0.0) donne un /9 (9 bits à 0 avant le premier bit à 1)
La feuille sera : 10.128.0.1/9

caractère générique-10.128.0.1-0.127.255.0 - 10.128.0.1/0.127.255.0
0.127.255.0 ( 0000 0000.0 111 1111.255.0) donne un /9 (9 bits à 0 avant le premier bit à 1)
La feuille sera : 10.128.0.1/9

caractère générique-10.128.0.1-0.15.255.0 - 10.128.0.1/0.15.255.0
0.15.0.0 ( 0000 0000.0000 1111.255.0) donne un /9 (9 bits à 0 avant le premier bit à 1)
La feuille sera : 10.128.0.1/12

Structure des données
Feuille	Objets génériques associés
10.128.0.1/9	caractère générique-10.128.0.1-0.127.0.0 caractère générique-10.128.0.1-0.127.255.0
10.128.0.1/12	caractère générique-10.128.0.1-0.15.255.0

La correspondance de l'objet générique s'effectue en 2 étapes :

Correspondance de longueur de préfixe
À cette étape, pour une adresse donnée, le système recherchera la correspondance de préfixe la plus longue sur la structure de données pour obtenir la liste des objets génériques.
Correspondance d'objet générique associé
À cette étape, pour une adresse donnée, le système vérifiera la correspondance avec les objets génériques associés.