Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
提示和技巧: 如何创建应用程序重写 - Knowledge Base - Palo Alto Networks

提示和技巧: 如何创建应用程序重写

491068
Created On 09/25/18 19:10 PM - Last Modified 06/05/24 07:13 AM


Resolution


什么是应用程序重写?

应用程序重写是帕洛阿尔托网络防火墙配置为覆盖通过防火墙的特定通信量的正常应用程序标识 (App ID) 的地方。 应用程序重写策略生效后, 将停止对通信的所有进一步的应用程序 ID 检查, 并使用自定义应用程序标识会话。 

 

示例使用方案

您可能会问, 为什么我们需要重写正常的应用程序标识过程。在某些情况下, 客户构建自己的自定义应用程序以满足公司特有的特殊需求。对于这些应用程序, 我们可能没有签名来正确识别预期的行为, 并使用已知的应用程序标识通信量。在这种情况下, 我们建议创建一个应用程序重写, 以允许更容易地识别和报告, 并防止混淆。

 

让我们看看一个典型的场景, 您可能会使用应用程序重写策略。例如, 如果您有一个使用 TCP 端口23的自定义应用程序, 但通过防火墙传递的通信被标识为temenos-T24,并且误认会导致通信流混乱, 则可以实现应用程序重写以正确识别通信量.  

 

安装程序需要的内容

要配置应用程序重写, 请转到 WebGUI 中的策略 > 应用程序重写。对于安装程序, 您需要以下内容:

  • 要在应用程序重写策略中使用的自定义应用程序 (建议)
  • 应用程序重写策略
  • 允许新创建的自定义应用程序通过防火墙的安全策略

关于内容和威胁检查的特别说明

应用程序重写到自定义应用程序将强制防火墙绕过与重写规则匹配的通信的内容和威胁检查.  对此的例外情况是, 当您重写到支持威胁检查的预定义应用程序时.  

 

步骤

要为 Telnet 配置新的自定义应用程序, 它使用 TCP 端口 23:

  1. 为问题的通信创建新的自定义应用程序.  从 WebGUI, 转到对象 > 应用程序, 然后单击左下方的 "添加".
    2015-10-05 tnt 1.jpg

  2. 对于应用程序 (在本例中, 除了 Telnet 之外, 已经使用过的东西). 该示例使用 Telnet_Override 作为名称。 此外, 选择类别、子类别和技术的值。
    2015-10-05 tnt 2.jpg

  3. 可选步骤: 这只是添加了另一层不总是需要的细节.
    转到高级 >> 默认值, 然后选择 "端口" 以列出应用程序中的端口.
    该示例显示应用程序中列出的端口:
    2015-10-05 tnt 3.jpg
    选择端口作为参数后, 单击 "添加并插入协议和端口" (根据需要). 在本例中, 我们不需要签名, 因此请继续, 然后单击 "确定" 以完成此自定义应用程序。

  4. 要创建应用程序重写策略, 请转到策略 > 应用程序重写, 然后单击 "添加":
    2015-10-05 tnt 4.jpg

  5. 在 "常规" 选项卡下, 输入策略的名称。该示例使用 Telnet_Override。
    2015-10-05 tnt 5.png

  6. 转到 "源" 并添加源区域。如果源是静态地址, 则指定源地址 (请参见示例)。否则, 就离开吧。
    2015-10-05 tnt 6.png

  7. 转到目的地, 然后添加目标区域. 如果目标是静态地址, 则指定目标地址 (请参见示例)。否则, 就离开吧。
    2015-10-05 tnt 7.png

  8. 转到协议/应用程序并选择协议, 输入端口号, 然后选择创建的自定义应用程序。
    2015-10-05 tnt 8.png

使用自定义应用程序、验证和测试

现在, 创建一个安全策略以允许此新应用程序通过防火墙或修改现有规则。

 

  1. 要创建新规则, 请转到 "策略 > 安全性", 然后单击左下方的 "添加"。为通信将通过使用自定义应用程序传递的区域创建安全策略。指定将在服务中使用的端口。将使用新的自定义应用程序检测所有新的会话。允许通信量。
    2015-10-05 tnt 9.jpg

  2. 现在提交和测试。通信应使用 Telnet_Override 作为应用程序, 而不是 Telnet 或 temenos-T24, 如前面所述。

  3. 提交策略后, 通过 CLI 运行以下命令以查看会话详细信息.
    >> 显示会话所有筛选器应用程序 Telnet_Override

请让我们知道, 如果这有助于, 或如果你有任何意见如下。 

 

 

 



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClVLCA0&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language