Cuando traducimos la configuración del firewall de Palo Alto, la política de seguridad es muy importante, ¿cómo traducir la política de seguridad?
La configuración de seguridad de Palo Alto Firewall es la siguiente:
<security>
<rules>
<entry name="BlockPort_445">
<from>
<member>zone_CNS</member>
</from>
<to>
<member>any</member>
</to>
<source>
<member>Client_Fr_G_IT</member>
<member>IT_FL03</member>
<member>IT_FL4_Bureau_IT</member>
<member>IT_FL5</member>
<member>Wireless_PreAuthen</member>
<member>CC-MGMT</member>
<member>CallManager_172.29.47.0</member>
<member>CC-Server</member>
</source>
<destination>
<member>any</member>
</destination>
<source-user>
<member>any</member>
</source-user>
<category>
<member>any</member>
</category>
<application>
<member>any</member>
</application>
<service>
<member>Service_445</member>
</service>
<hip-profiles>
<member>any</member>
</hip-profiles>
<action>deny</action>
<negate-source>yes</negate-source>
<disabled>no</disabled>
</entry>
#
De esta configuración, podemos saber que la zona de origen es zone_CNS, la zona de destino es cualquiera. La IP de origen es un conjunto de direcciones que deberíamos traducir antes. El servicio es Service_445. La acción es negar.
Así que podemos traducir es como sigue:
#
rule name BlockPort_445
source-zone zone_CNS
source-address-exclude address-set Client_Fr_G_IT
source-address-exclude address-set IT_FL03
source-address-exclude address-set IT_FL4_Bureau_IT
source-address-exclude address-set IT_FL5
source-address-exclude address-set Wireless_PreAuthen
source-address-exclude address-set CC-MGMT
source-address-exclude address-set CallManager_172.29.47.0
source-address-exclude address-set CC-Server
service Service_445
action deny
#
