Prisma Access - 安全policy需要允许Prisma Access要下载的节点EDL和 SaaS 应用程序管理(云管理)
9502
Created On 01/16/23 00:24 AM - Last Modified 03/21/24 21:35 PM
Symptom
在Prisma Access平台,当客户配置EDL或 SaaS 应用程序管理,安全性policy和EDL不能正常工作。
检查后Prisma Access节点,问题在于Prisma Access节点无法连接到EDL URL下载EDL.
在系统登录Panorama或者CDL,将显示以下日志 -
- EDL(xxxx) 无法获取外部动态列表。 SSL 连接错误。 使用旧副本进行刷新。
Environment
- Prisma Access -Panorama管理
- Prisma Access - 云管理
Cause
Prisma Access 节点使用环回接口IP地址(在信任区和IP地址是从配置的基础设施子网自动分配的)以连接到EDL URL下载EDL.
默认情况下不允许此连接(从受信任区域到不受信任区域),因此连接失败。
Resolution
解决方案是创建一个安全policy如下例允许Prisma Access节点连接到EDL URL-
- 源区 - 信任
- 目标区域 - 不信任
- 源地址 - 基础设施子网 xxxx/xx
- 目标地址 - 地址对象EDL URL FQDNxxxxx.xxx
- App-ID - SSL
Additional Information
使用下面的命令Prisma Access防火墙检查EDL连接状态 -
>> 请求系统外部列表显示类型 xxxx
使用下面的命令Prisma Access手动启动防火墙EDL联系 -
>> 请求系统外部列表刷新类型 xxxx
然后检查EDL刷新工作状态 -
>> 全部显示职位
然后检查EDL刷新工作状态 -
>> 全部显示职位