Cómo uso predeterminado en los cambios de la base de reglas es comparable el tráfico de manera
Resolution
Resumen
Este documento aplica una directiva de ejemplo para describir cómo se compara el tráfico con una directiva de seguridad, en el cortafuegos de Palo Alto Networks, en función de si se utiliza o no el valor predeterminado de la aplicación.
Detalles
A continuación se muestra una directiva de ejemplo de la interfaz de usuario Web (directivas > seguridad):
Las directivas anteriores se convierten en la siguiente configuración del cortafuegos (parte de la salida del comando se ha omitido):
> Mostrar ejecución de la Directiva de seguridad
R1
de L3-Trust;
de la fuente
a L3-Untrust;
destino;
aplicación/servicio ping/ICMP/any/any;
acción permite;
}
R2
de L3-Trust;
de la fuente
a L3-Untrust;
destino;
aplicación/servicio ping/cualquiera/cualquiera/cualquiera;
acción permite;
}
R3
de L3-Trust;
de la fuente
a L3-Untrust;
destino;
Web-navegación/TCP/any/80 de la aplicación/del servicio;
acción permite;
}
R4
de L3-Trust;
de la fuente
a L3-Untrust;
destino;
aplicación/servicio de navegación web/TCP/any/8888;
acción permite;
}
R5
de L3-Trust;
de la fuente
a L3-Untrust;
destino;
Web-OJEADA de la aplicación/del servicio/cualesquiera/cualesquiera/cualesquiera;
acción permite;
}
R6
de L3-Trust;
de la fuente
a L3-Untrust;
destino;
aplicación/servicio [ssh/TCP/any/22 ping/ICMP/cualquiera/any];
acción permite;
}
"R7 deny" {
de cualquiera;
de la fuente
a cualquiera;
destino;
servicio de aplicación cualquier/cualquiera/cualquier/cualquiera;
acción deny;
}
Los campos de aplicación/servicio de la salida muestran: Puerto de aplicación/protocolo/puerto fuente/destino.
Como se ha visto anteriormente, el cortafuegos convirtió el campo "servicio" en valores específicos. El servicio "por defecto de la aplicación" se ha convertido en protocolos y puertos definidos con precisión. Por ejemplo, en la regla "R6", se emparejará el tráfico que sea protcol ICMP o TCP con dport 22. Donde el servicio se deja como cualquiera (como en la regla, "R2"), el Firewall aceptará cualquier protocolo y puerto.
A continuación, se envía el siguiente tráfico a través del cortafuegos:
solicitud de eco,
SYN del TCP a los puertos 80, 1222, 8888, 9999
petición http a los puertos 80, 8888, 9999,
ssh a los puertos 22, 1222
Como se ve en las entradas de registro siguientes:
- ICMP-ECHO emparejado "R1"
- TCP SYN todos coinciden con "R2". Debido a que el Firewall sólo vio el TCP-SYN y esta regla permite cualquier puerto en ese momento en el tiempo, que coincide con la regla. Como no había otro tráfico en la conexión, se desconectó y el Firewall registró la aplicación como "incompleta" con la regla "R2" como la que permitía el tráfico.
- las solicitudes HTTP coinciden: puerto 80-"R3": la aplicación-por defecto para la navegación web es en efecto TCP/80. El puerto 8888 no coincide con "R3" pero coincide con "R4". El puerto 9999 no coincide con "R2" y "R3" pero sí coincide con "R5", ya que permite la navegación web en cualquier puerto.
- SSH al puerto 22 coincide con "R6". Sin embargo, ssh al puerto 1222 no coincidió con "R6", ya que sólo permite el puerto TCP/22 por defecto. En cambio, ese tráfico golpeó la regla de denegación, "R7".
Ver también
Datos incompletos, insuficientes y no aplicables en el campo de aplicación
Directrices de política de seguridad
Propietario: rweglarz