Was bedeutet Application-default unter Service?
Wenn es darum geht, Regeln zu schaffen, gibt es viele Komponenten, die die Regeln ausmachen. Einer der verwirrendsten, nach denen ich gefragt wurde, ist "Application default" unter Services.
In der Rubrik "Service/URL-Kategorie" können Sie den Port definieren, den die Anwendung verwendet.
Zum Beispiel: die Anwendung Web-Browsing (http) verwendet TCP-Port 80.
Innerhalb jeder Regel, unter dem Reiter Service/URL-Kategorie, haben Sie ein Drop-Down-Menü auf der linken Seite des Bildschirms.
Sie werden diese folgenden drei Optionen sehen:
- Alle
- Wählen Sie aus
- Anwendung-Standard
Was bedeuten Sie?
- Any -das bedeutet einfach alle Ports: 1-65535, TCP oder UDP. Die ausgewählten Anwendungen sind auf jedem Protokoll oder Port erlaubt oder verweigert.
- Wählen Sie-das bedeutet, dass Sie genau angeben müssen, welchen TCP oder UDP-Port die Anwendung, die Sie erlauben oder blockieren möchten, verwenden wird. Wählen Sie einen bestehenden Service oder wählen Sie Service oder Service Group, um einen neuen Eintrag anzugeben.
- Anwendung-Default -die Auswahl bedeutet, dass die ausgewählten Anwendungen nur auf Ihren Standard-Ports erlaubt oder verweigert werden, die von Palo Alto Networks definiert werden. Diese Option wird empfohlen, um Richtlinien zuzulassen, weil Sie verhindert, dass Anwendungen auf ungewöhnlichen Ports und Protokollen laufen, was, wenn nicht absichtlich, ein Zeichen für das unerwünschte Anwendungsverhalten und die Verwendung sein kann.
Hinweis: Wenn Sie diese Option verwenden, prüft das Gerät immer noch alle Anwendungen auf allen Ports, aber mit dieser Konfiguration sind Anwendungen nur auf Ihren Standard-Ports/Protokollen erlaubt.
Lassen Sie dies in einer Regel mit DNS als Beispiel unten zeigen:
Die erste Regel ist geschrieben, um die DNS-Anwendung zu erlauben, aber nur auf UDP-Port 53.
Die zweite Regel ist geschrieben, um die DNS-Anwendung zu erlauben, verwendet aber Application-default.
Dies zeigt, wenn DNS TCP-Port 53 verwendet, würde es nicht von der ersten Regel erlaubt werden.
Aber die zweite Regel würde es erlauben. Aber warum und wie weiß Sie das?
Wenn Sie sich die DNS-Anwendung ansehen, indem Sie auf Objekte > Anwendungen > Typ DNS klicken und dann auf "DNS" klicken, um den folgenden Bildschirm zu sehen:
Beachten Sie, wie die Anwendung default Ports aufgelistet:
TCP/53, UDP/53, 5353
Da die erste Regel nur UDP-Port 53 erlaubt, wenn die Anwendung TCP-Port 53 oder UDP-Port 5353 verwendet, dann wäre es nicht erlaubt, weil Application-default nicht verwendet wurde. Damit könnten auch Anwendungen blockiert werden. Dies ist nur ein einfaches Beispiel, um Ihnen zu zeigen, wie es viel einfacher ist, Anwendung-Default zu erlauben, anstatt zu versuchen, jeden TCP oder UDP-Port anzugeben.
Dies gilt auch für Regeln mit "Any" als Anwendung, es wird sicherstellen, dass, welche Anwendung identifiziert wird, wird sichergestellt, dass die Anwendung nur die Standard-Ports verwenden wird.
Bitte sehen Sie sich diesen Artikel an, um weitere Informationen über die Standard-Ports der Anwendung über das CLI anzuzeigen:
Wie man Application sieht-Standard-Ports für eine Anwendung
Ich begrüße alle Rückmeldungen im Kommentarbereich unten.
Danke fürs Lesen,
Joe Delio