Was ist Anwendungsabhängigkeit?
Environment
- Jede PAN-OS .
- Palo Alto Firewall .
Resolution
Was ist Anwendung Abhängigkeit?
Anwendung-Abhängigkeit oder "Richtet sich auf Anwendungen" (wie es im Inneren der Anwendungsdetails innerhalb von Objekten aufgeführt wird > Anwendungen > Detail Anwendungsfenster) finden Sie eine Liste von anderen Anwendungen, die für diese Anwendung ordnungsgemäß erforderlich sind.
Warum ist es wichtig für Sie?
Wenn Sie die Anwendung und ihre Abhängigkeit nicht über die Palo Alto-Netzwerke firewall zulassen, funktioniert die Anwendung nicht.
Hinweis: Es gibt auch ein Feld "Implizit Anwendungen verwenden", das Sie erkennen müssen.
Die "implizit Use Applications" ist eine Teilmenge von "Richtet sich auf Anwendungen", wobei die abhängigen Anwendungen implizit erlaubt sind. Die Anwendung hängt immer noch von diesen Anwendungen ab, muss jedoch in der Sicherheit nicht explizit zugelassen policy werden. Abhängige Anwendungen können implizit zugelassen werden, wenn der in der firewall Lage ist, die richtige Anwendung durch einen bestimmten Punkt in der Sitzung zu bestimmen.
Weitere Informationen bei der Kontrolle der Anwendung Abhängigkeit finden Sie in diesem Dokument:
Gewusst wie: Überprüfen Sie, ob eine Anwendung muss explizit erlaubt Abhängigkeit Apps haben
Werfen wir zwei Anwendungen als Beispiele; "Facebook-Basis" und "Facebook-Posting".
"Facebook-Base"
Wenn wir die Anwendung-Detail-Fenster für "Facebook-Base" betrachten, sehen Sie 2 Dinge aufgeführt.
- Hängt von Anwendungen ist leer. Dies bedeutet, dass alle anderen Anwendungen in derselben Regel für diese Arbeiten dürfen nicht erforderlich ist.
- Implizit Use Applications hat SSL und Web-Browsing aufgelistet. Dies bedeutet, dass, wenn Sie Facebook-Basis zulassen, dass es auch erlauben SSL und Web-Browsing-Anwendungen implizit.
Also, wenn du "Facebook-Base" in der Regel erlaubst sind keine anderen Anwendungen erforderlich.
"Facebook-Posting"
Wenn wir die Anwendung-Detail-Fenster für "Facebook-Posting" betrachten, sehen Sie 2 Dinge aufgeführt.
- Abhängig von Anwendungen hat die folgenden Anwendungen aufgeführt: facebook-base, facebook-apps und facebook-chat. Dies bedeutet, dass für diese zu arbeiten eine oder mehrere der oben genannten Anwendungen damit, in derselben Regel für diese Arbeiten dürfen müssen.
- Implizit hat Anwendungen, Web-browsing aufgeführt. Dies bedeutet, dass wenn Sie Facebook-Posting zulassen, dass es auch die Web-Browsing Anwendung implizit ermöglicht wird.
Um also eine Facebook-Posting-Anwendung zu ermöglichen, müssen Sie eine der folgenden Apps in der gleichen Regel zulassen, dassFacebook-Posting bei dieser Sicherheitsregel durchlässt, je nachdem, was erlaubt ist:
- Facebook-apps
- Facebook-chat
- Facebook-posting
Sowie Facebook-Basis.
I konnte dies mit der folgenden Regel testen, die es mir erlaubte, auf Facebook zu posten.
Wenn Sie chatten, dann Facebook-Base und Facebook-Chat in derselben Regel erlaubt sein müsste.
Additional Information
Wenn das erste TCP Paket empfangen wird ( ), muss der eine Sitzung SYN firewall einrichten. Da die Anwendung in einer Sitzung erst erkannt werden kann, TCP wenn mindestens ein Datenpaket das Gerät durchquert, ist die Anwendung unvollständig.Damit der firewall feststellen kann, ob es das Paket überhaupt durchlassen soll, SYN muss eine Sicherheitssuche möglich policy sein.
Da die Anwendung nicht bekannt ist, wann das SYN Paket empfangen wird, kann der Anwendungsteil der Sicherheitsrichtlinien nicht angewendet werden. Als Ergebnis wird die policy Sicherheitssuche für die 6 Tupeln der Sitzung, Quelle und Ziel IP und Port, Eingangsschnittstelle (eigentlich Zone) und Protokoll durchgeführt. Die erste policy , die diesen 6 Tupeln entspricht, wird verwendet, um die und alle zusätzlichen Pakete zuzulassen, die die SYN firewall durchlaufen, bevor die Anwendung identifiziert wird.
Es ist immer eine gute Idee, betrachten Sie jede neue Anwendungsdetails zuerst zu bestimmen, was die Sicherheitsregel benötigen, damit die Anwendung ordnungsgemäß funktionieren kann. Darüber hinaus kann dies helfen, keine Anwendung Abhängigkeit Warnmeldungen bei Commits zu verhindern.