Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
アプリケーション依存とは - Knowledge Base - Palo Alto Networks

アプリケーション依存とは

164292
Created On 09/25/18 19:10 PM - Last Modified 03/26/21 16:45 PM


Environment


  • 任意 PAN-OS の .
  • パロ アルト Firewall .


Resolution


アプリケーションの依存関係とは何ですか。

アプリケーションの依存関係または「アプリケーションの依存」(内部オブジェクトの内部アプリケーション詳細の表示方法 > アプリケーション > アプリケーション詳細ウィンドウ) このアプリケーションが正しく動作するために必要なその他アプリケーションのリストです。

 

なぜそれが重要なの?

パロアルトネットワークスを介してアプリケーションとその依存関係を許可しない場合 firewall 、アプリケーションは動作しません。

 

注: 認識する必要がある "暗黙的にアプリケーションを使用する" フィールドもあります。

「暗黙的に使用アプリケーション」は、「依存のアプリケーション」、という依存のアプリケーションは暗黙的に許可されてのサブセットです。 アプリケーションは依然としてこれらのアプリケーションに依存しますが、セキュリティで明示的に許可する必要はありません policy 。 依存アプリケーションは、 firewall セッション内の特定のポイントで正しいアプリケーションを判別できる場合に、暗黙的に許可することができます。

 

アプリケーションの依存関係のチェックの詳細については、このドキュメントを参照してください。

アプリケーションが明示的に依存関係のアプリを許可する必要がある場合は、チェックする方法

 

例として 2 つのアプリケーションを取ることができます。'facebook ベース' と ' facebook 投稿 '。

 

' facebook ベース '

tnt-2015-07-10-p1.png

'Facebook ベース' のアプリケーション詳細ウィンドウを見て、記載されている 2 つのことを参照してください。

  1. アプリケーションに依存するが空白。 これは、それが働くためにこれのための同じ規則で許可される他のアプリケーションを必要としないことを意味します。
  2. 暗黙的にアプリケーションを使用して SSL 、Web ブラウジングがリストされています。 つまり、facebook ベースを許可すると、アプリケーションの暗黙の許可や Web ブラウズも行われます SSL 。

 

だから、' facebook の ' ルールを許可する他のアプリケーションは必要ありません。

tnt-2015-07-10-p3.png

 

facebook 投稿

tnt-2015-07-10-p2.png

我々 は facebook 投稿のアプリケーション詳細ウィンドウを見て、記載されている 2 つのことを見ることができます。

  1. アプリケーションに依存するには、facebookベース、フェイスブックアプリ、フェイスブックチャットのアプリケーションが表示されています。 つまり、これを動作させるため、上記のアプリケーションの 1 つ以上必要があるためにこれのための同じ規則で許可されます。
  2. 暗黙的に使用アプリケーション、web ブラウジングの記載が。 つまり、facebook の投稿を許可するかどうかは、それもすることで、Web ブラウジング アプリケーションに暗黙的に。

したがって、Facebook投稿アプリケーションを許可するには、許可するものに応じて、そのセキュリティルールでFacebookの投稿を許可する必要がある場合は、次のアプリのいずれかを同じルールで許可する必要があります。

  • facebook アプリ
  • facebook チャット
  • facebook 投稿

だけでなく、facebook ベース。

I 私はFacebookに投稿することができ、次のルールでこれをテストすることができました。

tnt-2015-07-10-p4.png

場合、チャット、facebook ベースと facebook のチャットは、同じルールで許可される必要があります。



Additional Information


最初の TCP パケットが受信されると、 SYN は firewall セッションをセットアップする必要があります。 TCP少なくとも 1 つのデータ パケットがデバイスを通過するまで、アプリケーションはセッションで検出できないので、アプリケーションは不完全になります。firewallパケットを通過させる必要があるかどうかを判断するには SYN 、セキュリティルックアップを行う必要があります policy 。

パケットを受信したときにアプリケーションが不明であるため SYN 、セキュリティ ポリシーのアプリケーション部分を適用できません。 その結果、 policy セッション、送信元と宛先、 IP およびポート、入力インターフェイス(実際にはゾーン)、およびプロトコルの 6 つのタプルに対してセキュリティ ルックアップが実行されます。 これらの policy 6 つのタプルに一致する最初の は、 アプリケーションが識別される前に を SYN 通過するパケットと、 を通過する追加のパケットを許可するために使用 firewall されます。

常にセキュリティ ルールが適切に動作するアプリケーションを許可する必要がある何を確認して任意の新しいアプリケーションの詳細を確認することをお勧め。 また、これはコミット時に、アプリケーションの依存関係の警告メッセージを防ぐを助けるかもしれない。



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClV0CAK&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language