Qu’est-ce que la dépendance à l’application

Qu’est-ce que la dépendance à l’application

149078
Created On 09/25/18 19:10 PM - Last Modified 03/26/21 16:45 PM


Environment


  • Tout PAN-OS .
  • Palo Alto Firewall .

Resolution


Ce qui est Application dépendance ?

Dépendance d’application ou « Repose sur les Applications » (comment il est inscrit à l’intérieur les détails d’Application à l’intérieur d’objets > Applications > fenêtre de détail d’application) est une liste d’autres applications qui sont nécessaires pour cette application puisse fonctionner correctement.

 

Pourquoi est-ce important pour vous?

Si vous n’autorisez pas l’application et sa dépendance à travers les réseaux Palo Alto firewall , alors l’application ne fonctionnera pas.

 

Note: Il existe également un champ « Applications d’utilisation implicite » que vous devez reconnaître.

« Implicitement Use Applications » est un sous-ensemble de « Dépend sur demandes », par lequel les applications dépendantes sont implicitement autorisées. L’application dépend toujours de ces applications, mais elles n’ont pas besoin d’être explicitement autorisées en matière de policy sécurité. Les applications dépendantes peuvent être autorisées implicitement, lorsque firewall l’application est en mesure de déterminer la bonne application par un point spécifique de la session.

 

Pour plus d’informations sur la vérification de dépendance d’Application, s’il vous plaît voir ce doc :

Comment vérifier si une Application doit avoir explicitement autorisé dépendance Apps

 

Permet de tirer deux applications comme exemples ; « facebook-base » et « facebook-affichage ».

 

« facebook-base »

TNT-2015-07-10-p1.png

Quand on regarde à la fenêtre de détail d’application pour « facebook-base », vous pouvez voir 2 choses énumérées.

  1. Dépend des Applications est vide. Cela signifie qu’il n’a pas besoin d’autres applications d’être permise dans la même règle pour fonctionner.
  2. Utilisez implicitement les applications et SSL la navigation sur le Web répertoriées. Cela signifie que si vous autorisez facebook-base, qu’il sera également permettant SSL et web-navigation applications implicitement.

 

Donc, si vous autorisez « facebook-base » en règle générale, aucune autre application n’est nécessaires.

TNT-2015-07-10-p3.png

 

« facebook-comptabilisation »

TNT-2015-07-10-p2.png

Quand on regarde à la fenêtre de détail d’application pour facebook « affichage », vous pouvez voir 2 choses énumérées.

  1. Dépend des applications a les applications suivantes énumérées: facebook-base, facebook-apps et facebook-chat. Cela signifie qu’afin que cela fonctionne, une ou plusieurs des applications ci-dessus doivent être autorisés dans la même règle pour fonctionner.
  2. Utiliser des Applications a implicitement énumérée navigation sur le web. Cela signifie que si vous autorisez facebook-annonce, qu’il va aussi être permettant l’application de navigation Web implicitement.

Ainsi, afin d’autoriser l’application d’affichage facebook, vous devez avoir l’une des applications suivantes doivent être autorisés dans la même règle to permettre facebook-affichage à travers à cette règle de sécurité en fonction de ce qui doit être autorisé:

  • Facebook-apps
  • Facebook-chat
  • Facebook-annonce

Ainsi que de base de facebook.

I a été en mesure de tester cela avec la règle suivante, ce qui m’a permis de poster sur facebook.

TNT-2015-07-10-p4.png

Si vous voulez discuter, puis base de facebook et facebook-chat auraient besoin d’être permise dans la même règle.

Additional Information


Lorsque le premier TCP paquet est reçu ( ), le doit SYN firewall configurer une session. Comme l’application ne peut pas être détectée sur une TCP session tant qu’au moins un paquet de données n’aura pas traversé l’appareil, l’application sera incomplète.Pour le firewall de déterminer si elle doit même permettre le paquet à travers elle doit faire une recherche de SYN policy sécurité.

Étant donné que l’application n’est pas connue SYN lorsque le paquet est reçu, la partie application des stratégies de sécurité ne peut pas être appliquée. Par conséquent, la recherche de sécurité est effectuée contre policy les 6 tuples de la session, de la source et de la destination et IP du port, de l’interface d’entrée (en fait de la zone) et du protocole. Le premier policy , qui correspond à ces 6 tuples, sera utilisé pour permettre aux SYN paquets supplémentaires qui traversent firewall l’avant que l’application est identifiée.

C’est toujours une bonne idée de regarder de tout nouveaux détails demande tout d’abord de déterminer ce que la règle de sécurité devrez peut-être autoriser l’application fonctionne correctement. Aussi, cela peut aider à prévenir les messages d’avertissement de dépendance demande à s’engage.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClV0CAK&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language