Tipps & Tricks: Was bedeutet Application-default unter Service?

Tipps & Tricks: Was bedeutet Application-default unter Service?

219812
Created On 09/25/18 19:20 PM - Last Modified 06/15/23 20:23 PM


Resolution


FY16-Tipstricks-lato.png

 

Was bedeutet Application-default unter Service?

Wenn es darum geht, Regeln zu schaffen, gibt es viele Komponenten, die die Regeln ausmachen. Einer der verwirrendsten, nach denen ich gefragt wurde, ist "Application default" unter Services.

TNT-2015-06-30-P1. png

 

In der Rubrik "Service/URL-Kategorie" können Sie den Port definieren, den die Anwendung verwendet.

Zum Beispiel: die Anwendung Web-Browsing (http) verwendet TCP-Port 80.

TNT-2015-06-30-P2. png

Innerhalb jeder Regel, unter dem Reiter Service/URL-Kategorie, haben Sie ein Drop-Down-Menü auf der linken Seite des Bildschirms.

Sie werden diese folgenden drei Optionen sehen:

  1. Alle
  2. Wählen Sie aus
  3. Anwendung-Standard

 

Was bedeuten Sie?

  1. Any -das bedeutet einfach alle Ports: 1-65535, TCP oder UDP. Die ausgewählten Anwendungen sind auf jedem Protokoll oder Port erlaubt oder verweigert.
  2. Wählen Sie-das bedeutet, dass Sie genau angeben müssen, welchen TCP oder UDP-Port die Anwendung, die Sie erlauben oder blockieren möchten, verwenden wird. Wählen Sie einen bestehenden Service oder wählen Sie Service oder Service Group, um einen neuen Eintrag anzugeben.
  3. Anwendung-Default -die Auswahl bedeutet, dass die ausgewählten Anwendungen nur auf Ihren Standard-Ports erlaubt oder verweigert werden, die von Palo Alto Networks definiert werden. Diese Option wird empfohlen, um Richtlinien zuzulassen, weil Sie verhindert, dass Anwendungen auf ungewöhnlichen Ports und Protokollen laufen, was, wenn nicht absichtlich, ein Zeichen für das unerwünschte Anwendungsverhalten und die Verwendung sein kann.

Hinweis: Wenn Sie diese Option verwenden, prüft das Gerät immer noch alle Anwendungen auf allen Ports, aber mit dieser Konfiguration sind Anwendungen nur auf Ihren Standard-Ports/Protokollen erlaubt.

 

Lassen Sie dies in einer Regel mit DNS als Beispiel unten zeigen:

TNT-2015-06-30-P3. png

Die erste Regel ist geschrieben, um die DNS-Anwendung zu erlauben, aber nur auf UDP-Port 53.

Die zweite Regel ist geschrieben, um die DNS-Anwendung zu erlauben, verwendet aber Application-default.

 

Dies zeigt, wenn DNS TCP-Port 53 verwendet, würde es nicht von der ersten Regel erlaubt werden.

Aber die zweite Regel würde es erlauben. Aber warum und wie weiß Sie das?

 

Wenn Sie sich die DNS-Anwendung ansehen, indem Sie auf Objekte > Anwendungen > Typ DNS klicken und dann auf "DNS" klicken, um den folgenden Bildschirm zu sehen:

TNT-2015-06-30-P4. png

Beachten Sie, wie die Anwendung default Ports aufgelistet:

TCP/53, UDP/53, 5353

 

Da die erste Regel nur UDP-Port 53 erlaubt, wenn die Anwendung TCP-Port 53 oder UDP-Port 5353 verwendet, dann wäre es nicht erlaubt, weil Application-default nicht verwendet wurde. Damit könnten auch Anwendungen blockiert werden. Dies ist nur ein einfaches Beispiel, um Ihnen zu zeigen, wie es viel einfacher ist, Anwendung-Default zu erlauben, anstatt zu versuchen, jeden TCP oder UDP-Port anzugeben.

 

Dies gilt auch für Regeln mit "Any" als Anwendung, es wird sicherstellen, dass, welche Anwendung identifiziert wird, wird sichergestellt, dass die Anwendung nur die Standard-Ports verwenden wird.

 

Bitte sehen Sie sich diesen Artikel an, um weitere Informationen über die Standard-Ports der Anwendung über das CLI anzuzeigen:

Wie man Application sieht-Standard-Ports für eine Anwendung

 

Ich begrüße alle Rückmeldungen im Kommentarbereich unten.

 

Danke fürs Lesen,

Joe Delio
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClVwCAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language