Overview

• Paloalto Firewall에서 방화벽 정책을 생성할때, 사용될수 있는 destination의 적용과 관련된 부분에 대한 메모
• 목적지에 대한 적용 순서는 destintaion -> url category -> url filtering 로 적용

Content

• Packet 처리 방법에 대한 자세한 Diagram
• 자세한 내용은 https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClVHCA0 참고

Destination 적용 테스트

Case1

• Destination IP : any
• URL Category : www.naver.com
• URL Filtering : X
• Action : Allow
• Result
• www.naver.com 접근 가능
• 

Case2

• Destination IP : 1.1.1.1
• URL Category : www.naver.com
• URL Filtering : X
• Action : Allow
• Result
• www.naver.com 접근 불가능
• 

Case3

• Destination IP : 223.130.192.248 -> naver.com ip
• URL Category : www.naver.com
• URL Filtering : X
• Action : Allow
• Result
• destination ip와 url 매칭해야 접속 허용
• 
• 



Case4

• Destination IP : any
• URL Category : www.naver.com
• URL Filtering : www.naver.com / alert
• Action : Allow
• Result
• 정상접근
• 

Case5

• Destination IP : any
• URL Category : www.naver.com
• URL Filtering : www.naver.com / block
• Action : Allow
• Result
• 정상접근
• 

Case6

• Destination IP : any
• URL Category : www.naver.com
• URL Filtering : www.naver.com / alert
• Action : deny
• Result
• 차단되는데 차단 정책이 실제로는 다른 정책에 걸림
• 
• 차단 정책이 실제 설정된 정책에서 차단되는 것이 아니라 아래의 STUDY_TEST_MACHINE_ALL_DENY 에 걸림
• 

Case7

• Destination IP : any
• URL Category : www.naver.com
• URL Filtering : www.naver.com / alert
• Action : deny
• Result
• Case6에서 차단되는 정책을 Disable 할 경우
• 
• 이번에는 원하는 정책에서 차단됨을 볼수 있음
• 
• 
• (?)

Reference

• https://networkinterview.com/palo-alto-firewall-architecture/
• https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClVHCA0