Paloalto防火牆規則方向性

防火牆 paloalto

a01541681680 2020-08-26 09:21:06 ‧ 4014 瀏覽

小弟手邊沒有可以讓我測試的設備
職場新鮮人對此很好奇
本身了解CISCO 交換器ACL方向性
但似乎又與防火牆方向性有不同之處
還請各位不吝賜教

全乾淨的paloalto:如果wan,lan的zone都已經設定好，且接好設備，但policy都未設定，此時是內到外，外到內都不通嗎?
如果要讓外部某IP到內部，是否只要開放外到內，內到外同時也需要開放嗎?
如果要讓內部某IP到外部，是否只要開放內到外，外到內同時也需要開放嗎?

bluegrass iT邦高手 1 級 ‧ 2020-08-26 22:12:52 檢舉

新鮮人用Paloalto防火牆起手? 你前途多難呢.

dylantsao iT邦研究生 5 級 ‧ 2020-08-27 09:59:24 檢舉

防火牆的領域中，Paloalto設定難度算是大學等級的，應該不適合新手起步吧！

bluegrass iT邦高手 1 級 ‧ 2020-08-27 16:16:18 檢舉

還不到大學

CHECKPOINT, ASA跟IPTABLE 才是

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

1 個回答

bluegrass

iT邦高手 1 級 ‧ 2020-08-26 22:12:04

最佳解答

ACL 跟 FIREWALL 的分別是

ACL 需要處理"來"跟"回"的PACKET

FIREWALL 會自動處理因"來"而"回"的PACKET , 因為有了SESSION TABLE.
[只限Layer 3 ; L2 / Virtual Wire / Bridge / TRANSPARENT MODE 就不可以, 要跟ACL]

比如你想允許

電腦A PING 到電腦B 用 ACL
那麼A的ICMP REQUEST跟B的ICMP REPLY便要被放行

那麼, 在PA/FIREWALL上要怎樣處理呢?
比如電腦A在TRUST ZONE, B在UNTRUEST ZONE
你只要一個FIREWALL POLICY
SRC:A
SRC ZONE:TRUST
DST:B
DST ZOME:UNTRUST
APPLICATION:PING
ACTION:ALLOW

就可以了

當然了, 如果你的UNTRUST是真正的INTERNET. 還要處理SNAT, 原理一樣

回應
分享
檢舉

登入發表回應

我要發表回答

立即登入回答

參賽組數

1123 組

團體組數

52 組

累計文章數

23096 篇

完賽人數

656 人

15th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 2018鐵人賽 javascript 2017鐵人賽 python windows php c# windows server linux css react 程式設計 vue.js

IT邦幫忙