ワイルドカード オブジェクトを使用すると、トラフィックは正しいポリシーと一致しません。

ワイルドカード オブジェクトを使用すると、トラフィックは正しいポリシーと一致しません。

4534
Created On 10/16/23 05:29 AM - Last Modified 01/07/25 02:02 AM


Symptom


トラフィックは、ワイルドカード オブジェクトを含む予期されるルールを適用しません。

以下の設定を想定します。

ワイルドカードオブジェクト
オブジェクト名住所意味予想される一致の例
ワイルドカード-10.128.0.1-0.127.0.010.128.0.1/0.127.0.0マッチ 10.128-255.0.1

10.128.0.1
10.129.0.1
10.164.0.1
10.255.0.1

ワイルドカード-10.128.0.1-0.127.255.010.128.0.1/0.127.255.0試合 10.128-255.0-255.1

10.128.0.1
10.128.192.1
10.164.128.1
10.255.255.1

ワイルドカード-10.128.0.1-0.15.255.010.128.0.1/0.15.255.0試合 10.128-143.0-255.1

10.128.0.1
10.129.255.1
10.143.0.1

セキュリティルールベース
ルールベース送信元オブジェクト
ルールAワイルドカード-10.128.0.1-0.127.0.0
ルールBワイルドカード-10.128.0.1-0.127.255.0
ルールCワイルドカード-10.128.0.1-0.15.255.0


10.128.0.1 からのトラフィックは 3 つのワイルドカード オブジェクトと一致しますが、ルールC によって処理されます。

admin@NGFW> test security-policy-match from Trust to Untrust source 10.128.0.1 destination 8.8.8.8 destination-port 80 protocol 6

"Rule C; index: 3" {
        from any;
        source none;
        source-region none;
        to any;
        destination any;
        destination-region none;
        user any;
        source-device any;
        destination-device any;
        category any;
        application/service 0:any/any/any/app-default;
        action allow;
        icmp-unreachable: no
        terminal yes;
}




              
Environment

  • パロアルトファイアウォール
  • サポートされているPAN-OS
  • ワイルドカードオブジェクト



              
Cause

  • ワイルドカード オブジェクトが重複している場合、アドレスは最長のプレフィックス ワイルドカード マスクと照合されます (追加情報を参照)。
  • この例では、
    •  IPアドレス10.128.0.1 の場合。
    • 一致するリーフは 10.128.0.1/12 です (/12 は /9 より長い)。
    • 次に、 IPアドレスは、ルール C で使用されるワイルドカード 10.128.0.1-0.15.255.0と照合されます。



              
Resolution

  1. 意図した結果を得るためにルールを正しい順序に変更する
  2. 上記の例の計算は下記をご覧ください。
    1. 上記の例では、プレフィックス長の一致が無効になるようにワイルドカード オブジェクトを確認します (手順 1)。



IPアドレス10.128.0.1 の場合。
 10.128.0.1 はリーフ 10.128.0.1/12 と一致したため、他のワイルドカード オブジェクトを編集して /12 プレフィックスにする必要があります。

オブジェクトwildcard-10.128.0.1-0.127.0.0 - 10.128.0.1/0.127.0.0 は、以下のようにワイルドカードで分解する必要があります。


  • 10.128.0.1/0.15.0.0
  • 10.144.0.1/0.15.0.0
  • 10.160.0.1/0.15.0.0
  • 10.176.0.1/0.15.0.0
  • 10.192.0.1/0.15.0.0
  • 10.208.0.1/0.15.0.0
  • 10.224.0.1/0.15.0.0
  • 10.240.0.1/0.15.0.0


更新されたワイルドカードオブジェクト
オブジェクト名住所
wildcard-10.128.0.1-0.127.0.010.128.0.1/0.127.0.0
ワイルドカード-10.128.0.1-0.127.255.010.128.0.1/0.127.255.0
ワイルドカード-10.128.0.1-0.15.255.010.128.0.1/0.15.255.0
新しい-10.128.0.1-0.15.0.010.128.0.1/0.15.255.0
新しい-10.144.0.1-0.15.0.010.144.0.1/0.15.255.0
新しい-10.160.0.1-0.15.0.010.160.0.1/0.15.255.0
新しい-10.176.0.1-0.15.0.010.176.0.1/0.15.255.0
新しい-10.192.0.1-0.15.0.010.192.0.1/0.15.255.0
新しい-10.208.0.1-0.15.0.010.208.0.1/0.15.255.0
新しい-10.224.0.1-0.15.0.010.224.0.1/0.15.255.0
新しい-10.240.0.1-0.15.0.010.240.0.1/0.15.255.0


 


セキュリティルールベースの更新
ルールベース送信元オブジェクト
ルールA

ワイルドカード-10.128.0.1-0.127.0.0
新しい-10.128.0.1-0.15.0.0
新しい-10.144.0.1-0.15.0.0
新しい-10.160.0.1-0.15.0.0
新しい-10.176.0.1-0.15.0.0
新しい-10.192.0.1-0.15.0.0
新しい-10.208.0.1-0.15.0.0
新しい-10.224.0.1-0.15.0.0
新しい-10.240.0.1-0.15.0.0


ルールBワイルドカード-10.128.0.1-0.127.255.0
ルールCワイルドカード-10.128.0.1-0.15.255.0


変更後、ルールは期待どおりに一致します




admin@NGFW> test security-policy-match from Trust to Untrust source 10.128.0.1 destination 8.8.8.8 destination-port 80 protocol 6

"Rule A; index: 1" {
        from any;
        source none;
        source-region none;
        to any;
        destination any;
        destination-region none;
        user any;
        source-device any;
        destination-device any;
        category any;
        application/service 0:any/any/any/app-default;
        action allow;
        icmp-unreachable: no
        terminal yes;
}







              
Additional Information

ワイルドカード オブジェクトはツリー データ構造に格納されます。
ツリーの各リーフは、一致ワイルドカード オブジェクトに関連付けられたプレフィックスです。

ワイルドカード-10.128.0.1-0.127.0.0 - 10.128.0.1/0.127.0.0
 0.127.0.0 ( 0000 0000.0 111 1111.0.0) は /9 (最初のbit (ビット- bit )が 1 になる前に 9 ビットが 0 になる) になります。
リーフは次のようになります: 10.128.0.1/9

ワイルドカード-10.128.0.1-0.127.255.0 - 10.128.0.1/0.127.255.0
 0.127.255.0 ( 0000 0000.0 111 1111.255.0) は /9 (最初のbit (ビット- bit )が 1 になる前に 9 ビットが 0 になる) になります。
リーフは次のようになります: 10.128.0.1/9

ワイルドカード-10.128.0.1-0.15.255.0 - 10.128.0.1/0.15.255.0
 0.15.0.0 ( 0000 0000.0000 1111.255.0) は /9 (最初のbit (ビット- bit )が 1 になる前に 9 ビットが 0 になる) になります。
リーフは次のようになります: 10.128.0.1/12
データ構造
関連ワイルドカードオブジェクト
10.128.0.1/9ワイルドカード-10.128.0.1-0.127.0.0
ワイルドカード-10.128.0.1-0.127.255.0
 10.128.0.1/12ワイルドカード-10.128.0.1-0.15.255.0

ワイルドカード オブジェクトの一致は 2 つの手順で行われます。
  1. プレフィックス長の一致
    この段階では、システムは指定されたアドレスに対して、データ構造上で最も長いプレフィックスの一致を検索し、ワイルドカード オブジェクトのリストを取得します。
  2. 関連するワイルドカードオブジェクトの一致
    この段階では、指定されたアドレスに対して、システムは関連付けられたワイルドカード オブジェクトとの一致をチェックします。
ドキュメント
ワイルドカードマスクが重複する場合のセキュリティポリシールールのトップダウン順序



        
       
      





      

        
        
        

    

    

    

      

        
Other users also viewed:

        

             

               
              

        

    

        

        
        

          
Actions

          
    
           
            
            
            
  • 
                Print
            
    • 
            
  • 
            
    • 
            
  • 
              Copy Link
                
                
    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000XguPCAS&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail
    
            
    • 
          

        
 

        

         
        

          

            
Choose Language