¿Qué significa la aplicación por defecto en servicio?
Cuando se trata de crear reglas, hay muchos componentes que conforman las reglas. Uno de los más confusos que me han preguntado acerca de "aplicación por defecto" en los servicios.
La sección "Service/URL Category" es la que permite definir el puerto que utiliza la aplicación.
Por ejemplo: la aplicación web-browseing (http) utiliza el puerto TCP 80.
Dentro de cualquier regla, bajo la pestaña categoría servicio/URL, usted tendrá un menú desplegable en la parte izquierda de la pantalla.
Usted verá estas siguientes tres opciones:
- Cualquier
- Seleccione
- Default de la aplicación
¿Qué significan?
- Cualquiera -esto simplemente significa todos los puertos: 1-65535, TCP o UDP. Las aplicaciones seleccionadas están permitidas o denegadas en cualquier protocolo o puerto.
- SELECT -Esto significa que usted tendrá que especificar exactamente qué puerto TCP o UDP que la aplicación desea permitir o bloquear va a utilizar. Elija un servicio existente o elija servicio o grupo de servicios para especificar una nueva entrada.
- Aplicación-default -eligiendo esto significa que las aplicaciones seleccionadas son permitidas o denegadas sólo en sus puertos predeterminados definidos por Palo Alto Networks. Esta opción se recomienda para permitir directivas porque impide que las aplicaciones se ejecuten en puertos y protocolos inusuales, que si no son intencionales, pueden ser un signo de comportamiento y uso de aplicaciones no deseados.
Nota: cuando se utiliza esta opción, el dispositivo sigue comprobando todas las aplicaciones en todos los puertos, pero con esta configuración, las aplicaciones sólo se permiten en sus puertos/protocolos predeterminados.
Permite mostrar esto en una regla con DNS como un ejemplo a continuación:
La primera regla se escribe para permitir la aplicación DNS, pero sólo en el puerto UDP 53.
La segunda regla se escribe para permitir la aplicación DNS, pero utiliza la aplicación predeterminada.
Esto se está demostrando si DNS estaba utilizando el puerto TCP 53, no sería permitido por la primera regla.
Pero la segunda regla lo permitiría. Sin embargo, ¿por qué y cómo lo sabe?
Al mirar la aplicación DNS haciendo clic en objetos > aplicaciones > tipo DNS y luego haga clic en ' DNS ', para ver la siguiente pantalla:
Observe cómo se enumeran los puertos predeterminados de la aplicación:
TCP/53, UDP/53, 5353
Dado que la primera regla sólo permite el puerto UDP 53, si la aplicación utiliza el puerto TCP 53 o el puerto UDP 5353, entonces no se permitiría porque no se usaba la aplicación predeterminada. Esto también se puede utilizar para bloquear aplicaciones. Esto es sólo un ejemplo sencillo para mostrarle cómo es mucho más fácil permitir la aplicación predeterminada en lugar de tratar de especificar cada puerto TCP o UDP.
Esto es también aplicable para las reglas con "cualesquiera" como la aplicación, él asegurará que cualquier aplicación se identifique, él se cerciorará de que la aplicación utilizará solamente los puertos estándar.
Consulte este artículo para ver más información sobre los puertos predeterminados de la aplicación a través de CLI:
Cómo ver los puertos predeterminados de la aplicación para una aplicación
Acojo con beneplácito todos los comentarios en la sección de comentarios.
Gracias por leerme,
Joe Delio