PA 防火墙中虚拟路由器内的正常数据包流是否需要规则?

网络工程 路由 防火墙 帕洛阿尔托
2021-07-11 04:00:44

我试图了解帕洛阿尔托防火墙内的数据包流。我们的防火墙有一个“入站”分支和三个“出站”分支,分别对应不同的外部 VLAN。外部 VLAN 用于不同的目的(想想具有传输接口的多个 DMZ)。我们希望流量到达防火墙的入站接口 (INSIDE),将 NAT 转换为一个区域 (ZONE2) 上的 IP,然后路由到第三个区域 (ZONE1)。最近对此配置的尝试失败了,但在我们不得不将防火墙恢复正常运行之前,我们无法获得数据包捕获。对于那些使用过帕洛阿尔托防火墙的人来说,在这样的环境中预期的数据包流是什么,您能否回答以下问题:

  • 我应该能够使用单个 VR 来实现这一点,还是需要在每个区域的基础上定义不同的 VR 和/或定义 PBF 行为?
  • 从“ZONE2”区域到“ZONE1”区域的过境是否需要规则?
  • 默认情况下,防火墙是否会因为流量看起来不对称而丢弃返回流量?(路由器将直接将流量转发到帕洛阿尔托的“ZONE2”接口) - 如果是这样,当区域保护配置文件设置为非对称丢弃下的“全局”规则时,我如何禁用此行为?

图表:

拓扑

1个回答

在简单的情况下:

  • 您只需要一个 VR。当您希望为不同的接口组(即不同的客户端)使用单独的路由表时,需要多个 VR。
  • 如果您可以仅使用目标 IP 选择数据包的目标(据我所知 - 您可以),那么您就不需要 PBF。如果您想根据源 IP/端口和/或目标端口将具有相同目标 IP 的数据包发送到不同的下一跳,则需要 PBF。

并针对您的具体问题:

  • 根据Palo 知识库,您可以在区域之间进行非对称路由,如果您使用:
    set deviceconfig setting session tcp-reject-non-syn no
    set deviceconfig setting tcp asymmetric-path bypass
  • 但也许您应该重新考虑将 ZONE1、ZONE2 和 ZONE3 合并到一个区域中,因为另一篇文章建议这些命令有效地禁用对非对称流量的更高级别扫描。您可能可以通过添加人工 VR 并扫描 VR 之间的流量(它将是对称的)来绕过此问题,但这实际上与合并区域相同 - 只是更复杂。
其它你可能感兴趣的问题
上一篇DOCSIS 调制解调器后面的 IP PBX 的 QoS(没有 ISP 直接路由的 SIP 中继) 下一篇Sonicwall 不通过隧道转发 VPN 流量