アプリケーション依存とは
160625
Created On 09/25/18 19:10 PM - Last Modified 03/26/21 16:45 PM
Environment
- 任意 PAN-OS の .
- パロ アルト Firewall .
Resolution
Additional Information
最初の TCP パケットが受信されると、 SYN は firewall セッションをセットアップする必要があります。 TCP少なくとも 1 つのデータ パケットがデバイスを通過するまで、アプリケーションはセッションで検出できないので、アプリケーションは不完全になります。firewallパケットを通過させる必要があるかどうかを判断するには SYN 、セキュリティルックアップを行う必要があります policy 。
パケットを受信したときにアプリケーションが不明であるため SYN 、セキュリティ ポリシーのアプリケーション部分を適用できません。 その結果、 policy セッション、送信元と宛先、 IP およびポート、入力インターフェイス(実際にはゾーン)、およびプロトコルの 6 つのタプルに対してセキュリティ ルックアップが実行されます。 これらの policy 6 つのタプルに一致する最初の は、 アプリケーションが識別される前に を SYN 通過するパケットと、 を通過する追加のパケットを許可するために使用 firewall されます。
常にセキュリティ ルールが適切に動作するアプリケーションを許可する必要がある何を確認して任意の新しいアプリケーションの詳細を確認することをお勧め。 また、これはコミット時に、アプリケーションの依存関係の警告メッセージを防ぐを助けるかもしれない。