升级到 PAN-OS 版本 11.0.4 后,防火墙在几分钟内丢失了 GlobalProtect 用户的 HIP 报告

升级到 PAN-OS 版本 11.0.4 后,防火墙在几分钟内丢失了 GlobalProtect 用户的 HIP 报告

3701
Created On 05/23/24 00:52 AM - Last Modified 08/14/24 01:42 AM


Symptom


  • 防火墙不会间歇性地向用户显示 hip 报告。
  • 用户无法匹配安全策略。

Environment


  • Palo Alto NGFW 防火墙
  • 泛操作系统 11.0.4+
  • GlobalProtect (GP) 应用程序
  • 基于 HIP 的策略实施
  • IP 用户映射

Cause


  • 由于从不同来源学习 IP 与用户的映射,给定 IP 的用户名来回更改。 它导致在用户名更改时重置 hip 数据。
  • 这可以在 GUI 中观察到:监控 > 日志> User-ID,对于给定的 IP,用户名来回更改。
  • 出现此问题是由于当前 PAN-OS 版本 11.0.4 上的行为更改所致。
在 PAN-OS 版本 11.0.4 之前:
当用户名被其他数据源更改并且 IP 保持不变时,相同的 hip 报告将被重复使用,这就是为什么一切正常,即使用户名从不同的来源发生了变化。

PAN-OS 版本 11.0.4+:
这解决了安全问题,并且错误的 hip 报告不会用于来自不同源的相同 IP 的不同用户。它导致在用户名更改时重置 hip 数据。

Resolution


  1. 无代理用户 ID基于 Window 的 User-ID 代理 下为 GlobalProtect IP 池子网配置排除列表,以阻止防火墙上的 IP 用户映射。
  2. 这将有助于保持 IP 用户映射始终来自 GlobalProtect。

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000scGPCAY&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language