Any/Any/Deny セキュリティルールのデフォルト動作の変更について

キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
L4 Transporter
この記事は役に立ちましたか? はい いいえ
評価なし

※この記事は以下の記事の日本語訳です。

Any/Any/Deny Security Rule Changes Default Behavior

https://live.paloaltonetworks.com/t5/Learning-Articles/Any-Any-Deny-Security-Rule-Changes-Default-Be...

 

 

概要

Palo Alto Networks firewallsすべてで下記の2つの暗黙のセキュリティルールが存在しています。

  • それぞれのゾーン間のトラヒックは許可されない
  • 同一ゾーン間のトラヒックは許可される

明示的に2つのゾーンに跨る通信を許可するルールが存在しない限り、デフォルトルールが適用されます。デフォルトルールに適用されるトラヒックについてはログに記録されません。すべてのゾーンに跨るあらゆるすべてのトラヒックを許可しない、Deny All ruleを追加して初めて、トラヒックが許可されなかったことを示すトラフィックログの書き込みを確認できたというユーザーもいます。

このdeny allが適用されたとき、しばしば、デフォルトで許可されている同一ゾーンのトラヒックがドロップされてしまうという想定しない結果につながります。trust zoneから開始、終了するトラヒックは、deny ruleの Any/Any zonesに合致します。最終的に、SSL VPN, BGP, IPSECや同じゾーン間で受信、応答が実施されるその他のプロトコルやトラヒックが許可されない結果に至ります。

 

GlobalProtectの場合、Any/Any/Denyルールは下記の症状をトリガする可能性があります:

  • GlobalProtect (GP) クライアントによる接続はUntrust Zoneから開始し、Untrust Zoneで終了するものであるため、結果的にAny/Any/Deny ruleによって拒否され、それにより発生するGlobalProtect (GP) クライアントの接続不具合
  • 同一ゾーン間のトラヒックを許可するポリシーが存在しない環境下で、GlobalProtectが動作することが起因し、それにより発生する同一ゾーンの内部サービス間接続不良。

下記は、Any/Any/DenyルールとSSL VPNを組み合わせた例となります。

この例では、仮想ルーターのインターネット側インターフェースがインターネットへのアクセスを提供し、SSL VPNトラヒックを終端させます。 このインターフェースは、UNTRUSTというゾーンの一部として設定されています。すべてのSSL VPN接続要求は、UNTRUSTのインターフェースから入り、SSL VPN接続応答は、UNTRUSTのインターフェースから出て行きます。

 

この内容を意図通りに動作させるためには、下記の例にある2つのルールを設定します。

VPN.PNG.png

もし、ルーティングプロトコルやその他のプロトコルにより同一ゾーン内でトラヒックが発生するのであれば、さらに追加のルールを設定する必要があります。

Deny all.PNG.png

 

デフォルトのポリシー(暗黙のセキュリティルール)によるログ書き込みをテストする場合、以下のコマンドで

確認が可能です。

> set system setting logging default-policy-logging <value>

where <value> is 0-300

 

著者: panagent

 

この記事を評価:
Register or Sign-in
記事ダッシュボード
バージョン履歴
最終更新:
‎07-12-2016 08:07 PM
更新者:
寄稿者: