Qué es la dependencia de aplicaciones
Environment
- Cualquier PAN-OS archivo .
- Palo Alto Firewall .
Resolution
¿Qué es la dependencia de la aplicación?
Dependencia de aplicación o "Depende de las aplicaciones" (cómo está catalogado dentro de los detalles de aplicación dentro de los objetos > Aplicaciones > ventana de detalle de la aplicación) es una lista de otras aplicaciones que se requieren para que funcione correctamente esta aplicación.
¿Por qué es importante para usted?
Si no permite la aplicación y su dependencia a través de palo alto firewall networks, la aplicación no funcionará.
Nota: También hay un campo "Usar aplicaciones implícitamente" que debe reconocer.
El "implícitamente uso aplicaciones" es un subconjunto de "Depende de aplicaciones", por el que implícitamente se permiten las aplicaciones dependientes. La aplicación sigue dependiendo de estas aplicaciones, sin embargo, no es necesario permitirlas explícitamente en policy seguridad. Las aplicaciones dependientes se pueden permitir implícitamente, cuando firewall se puede determinar la aplicación correcta por un punto específico de la sesión.
Para más información sobre comprobación de dependencia de la aplicación, por favor vea a este doc:
Cómo comprobar si una aplicación necesita tener aplicaciones de dependencia explícitamente permitido
Permite realizar dos aplicaciones como ejemplos; 'facebook-base' y 'facebook-publicación'.
«facebook-base»
Cuando nos fijamos en la ventana de detalle de la aplicación para 'base de facebook', se pueden ver 2 cosas enumeradas.
- Depende de aplicaciones está en blanco. Esto significa que no necesita de otras aplicaciones en la misma regla para que funcione.
- Implícitamente Usar aplicaciones tiene SSL y la exploración web aparece en la lista. Esto significa que si permites facebook-base, que también estará permitiendo SSL y aplicaciones de navegación web implícitamente.
Por lo tanto, si permite que 'facebook-base' en una regla no se necesita ninguna otra aplicación.
'registro de facebook'
Cuando nos fijamos en la ventana Detalle de 'registro de facebook', puede ver 2 cosas enumeradas.
- Depende de las aplicaciones tiene las siguientes aplicaciones enumeradas: facebook-base, facebook-apps y facebook-chat. Esto significa que para que funcione, uno o más de las aplicaciones anteriores deben ser permitidos en la misma regla para que funcione.
- Implícitamente usos tiene listado de navegación web. Esto significa que si permite publicación de facebook, que estará también permitiendo la aplicación de navegación por la Web implícitamente.
Por lo tanto, con el fin de permitir la aplicación de publicación de Facebook, es necesario tener una de las siguientes aplicaciones deben permitirse en la misma regla t o permitir la publicación de Facebook a través de esa regla deseguridad dependiendo de lo que se permita:
- aplicaciones de Facebook
- chat de Facebook
- Facebook-registro
Así como la base de facebook.
I fue capaz de probar esto con la siguiente regla, que me permitió publicar en Facebook.
Si desea charlar, entonces sería necesario base de facebook y el chat de facebook en la misma norma.
Additional Information
Cuando se recibe el primer TCP paquete ( ), el debe configurar una SYN firewall sesión. Puesto que la aplicación no se puede detectar en una TCP sesión hasta que al menos un paquete de datos atraviesa el dispositivo, la aplicación estará incompleta.Para que el firewall determine si debe incluso permitir el paquete a través de él debe hacer una búsqueda de SYN policy seguridad.
Porque la aplicación no se conoce cuando se recibe el SYN paquete la parte de la aplicación de las directivas de seguridad no se puede aplicar. Como resultado, la búsqueda de seguridad policy se realiza contra las 6 tuplas de la sesión, el origen y el destino y el IP puerto, la interfaz de entrada (realmente zone) y el protocolo. El policy primero, que coincide con estas 6 tuplas, se utilizará para permitir el SYN y cualquier paquete adicional que atraviesa el antes de que se identifique la firewall aplicación.
Siempre es una buena idea mirar cualquier nuevos detalles de la aplicación en primer lugar para determinar lo que la regla de seguridad que deba permitir que la aplicación funcione correctamente. Además, esto puede ayudar a prevenir cualquier mensajes de advertencia de dependencia de aplicación sobre confía.