什么是应用程序依赖性
Environment
- 任何 PAN-OS .
- 帕洛阿尔托 Firewall .
Resolution
应用程序依赖关系是什么?
应用程序依赖项或"应用程序取决于"(上市的方式在应用程序详细信息对象 > 应用 > 应用程序详细信息窗口) 是此应用程序正常工作所需的其他应用程序的列表。
为什么是它对你来说重要?
如果您不允许应用程序及其依赖性通过帕洛阿尔托网络 firewall ,那么应用程序将不起作用。
注意: 还有一个"隐性使用应用程序"字段需要识别。
"隐式使用的应用程序"是"取决于在应用程序",藉以隐式允许依赖于应用程序的一个子集。 申请仍然取决于这些申请,但它们不需要在安全性方面得到明确允许 policy 。 当受抚养的应用程序 firewall 能够通过会话中的特定点确定正确的应用时,可以隐含地允许。
检查应用程序依赖项的详细信息,请参阅本文档:
让我们看两个应用程序为例;facebook 基地 '和' facebook 张贴 '。
facebook 基地 '
当我们看看 'facebook 基地' 的应用程序详细信息窗口时,你可以看到 2 列出的东西。
- 取决于应用程序是空白。 这意味着,它并不需要任何其他应用程序允许在相同的规则,这项工作。
- 隐式使用应用程序已 SSL 列出并列出 Web 浏览。 这意味着,如果你允许脸谱网基地,它也将允许 SSL 和网络浏览应用程序隐含。
所以,如果你允许 'facebook 基地' 在规则中没有其他应用程序需要。
facebook 张贴 '
当我们看看 'facebook 张贴' 的应用程序详细信息窗口时,你可以看到 2 列出的东西。
- 取决于应用程序有以下应用程序列出: 脸谱基础, 脸谱应用程序和脸谱聊天。 这意味着,为了使这项工作,一个或多个上述应用程序需要被允许在相同的规则,这项工作。
- 隐式使用的应用程序具有列出的 web 浏览。 这意味着,如果你允许 facebook 张贴,它将也会允许 Web 浏览应用程序隐式。
因此,为了允许 Facebook 发布应用程序,您需要允许以下应用程序之一在同一规则中允许在该安全规则下发布 Facebook,具体取决于允许的内容:
- facebook 应用程序
- facebook 聊天
- facebook 过帐
以及 facebook 基地。
I 能够测试以下规则,这让我可以在Facebook上发布。
如果你想聊天,那么 facebook 基地和 facebook 聊天需要允许在相同的规则。
Additional Information
收到第一个 TCP 数据包时 SYN (), firewall 必须设置会话。 由于在会话中无法检测到应用程序 TCP ,直到至少有一个数据包穿过设备,应用程序将不完整。要 firewall 确定它是否应该允许 SYN 数据包通过它必须做一个安全 policy 查找。
由于应用程序在收到数据包时不为人所知 SYN ,因此无法应用安全策略的应用程序部分。 因此, policy 根据会话、源和目的地以及 IP 端口、入口接口(实际区域)和协议的 6 个图块执行安全查找。 第一个 policy ,匹配这6个图组,将用于允许 SYN 和任何额外的数据包,通过 firewall 之前的应用程序被识别。
它始终是一个好主意,看看任何新的应用程序细节,首先要确定安全规则可能需要允许应用程序正常工作。 此外,这可能有助于防止后提交任何应用程序依赖项警告消息。