Sicherheits-RegelVerhalten mit Anwendungen mit Service "Any" erlaubt

Übersicht

Die Service-Option ' Application-default ' unter Sicherheitsregel erlaubt nur die Anwendungen mit Standard-Ports, die von Palo Alto Networks definiert werden. Wenn es notwendig ist, die Anwendung auf einem anderen Port zuzulassen, sollte der Dienst hinzugefügt werden.

Wenn die Anwendung mit Service wie jeder erlaubt ist, dann werden ein paar Pakete übermittelt, um die Art des Verkehrs zu identifizieren.

Beispiel

Die Sicherheitsrichtlinien sind mit Application Ping und ICMP konfiguriert, erlauben, mit Service wie jeder.

Während Sie versuchen, auf zufälligen Ports über netcat auf den Server zu Texten, geht der zufällige Text durch, obwohl er von keiner anderen Sicherheitspolitik erlaubt ist.

Die Sitzungsdetails zeigen die Bewerbung als Unentschieden an.

Die applikationsmaschine versucht immer noch, die Art des Verkehrs aus den zu sensenden Zufalls Paketen zu identifizieren.

Wenn die Anwendung als unbekannt-TCP identifiziert wird, wird sie verworfen.

Session 985347

        C2S Flow:

                Quelle: 199.58.199.98 [Untrust]

                DST: 192.41.90.141

                Proto: 6

                Sport: 23005 dport: 45632

                Zustand: aktiver Typ: Flow

                SRC-Benutzer: unbekannt

                DST-Benutzer: unbekannt

        S2C Flow:

                Quelle: 10.200.65.1 [Trust]

                DST: 199.58.199.98

                Proto: 6

                Sport: 45632 dport: 23005

                Zustand: aktiver Typ: Flow

                SRC-Benutzer: unbekannt

                DST-Benutzer: unbekannt

        Startzeit: Mi Oct 24 17:08:39 2012

        Timeout: 3600 sec

        Zeit zum Leben: 2816 sec

        Gesamtzahl der Byte (C2S): 286

        Gesamtzahl der Byte (S2C): 206

        Layer7-Paket count(c2s): 4

        layer7 Paket Zählung (S2C): 3

        VSys: vsys1

        Bewerbung: Unentschieden

        Regel: lbq_ping

        Anwendung DB: 8

        Sitzung am Ende angemeldet sein: wahr

        Sitzung im Sitzung Ager: wahr

        Sitzung von HA Peer synchronisiert: False

        Adresse/Port Übersetzung: Quelle + Ziel

        NAT-rule: lbq1_inbound (vsys1)

        Layer7-Verarbeitung: aktiviert

        URL-Filterung aktiviert: False

        Sitzung über Syn-Cookies: False

        Sitzung beendet auf Host: False

        Sitzung Tunnel durchquert: False

        Captive Portal Sitzung: False

        Eindringen-Schnittstelle: ethernet1/1

        Egress-Schnittstelle: AE1

        Sitzung-QoS-Regel: N/A (Klasse 4)

        DoS rule: Standard DOS

Dies ist Erwartetes Verhalten. Wenn es notwendig ist, nur eine bestimmte Anwendung zuzulassen, ohne dass irgendwelche Pakete gesendet werden können, muss der Anwendungsstandard-Service ausgewählt werden.

Besitzer: Ukhapre