Trucs et astuces: qu'est-ce que l'Application-default sous service signifie?
Resolution
Qu'est-ce que l'Application-default sous service signifie?
Quand il s'agit de créer des règles, il ya beaucoup de composants qui constituent les règles. Un des plus confus ceux que J'ai été interrogé sur est "application default" sous services.
La section "service/catégorie d'URL" permet de définir le port utilisé par l'application.
Par exemple: l'application Web-navigation (http) utilise le port TCP 80.
À l'Intérieur de n'importe quelle règle, sous l'onglet catégorie service/URL, vous aurez un menu déroulant sur le côté gauche de l'écran.
Vous verrez ces trois options suivantes:
- N’importe quel
- Sélectionnez
- Application-default
Qu'est-ce qu'ils veulent dire?
- Any -cela signifie simplement tous les ports: 1-65535, TCP ou UDP. Les applications sélectionnées sont autorisées ou refusées sur tout protocole ou port.
- SELECT -cela signifie que vous devrez spécifier exactement quel port TCP ou UDP que l'application que vous souhaitez autoriser ou bloquer va utiliser. Choisissez un service existant ou choisissez service ou groupe de services pour spécifier une nouvelle entrée.
- Application-default -choix cela signifie que les applications sélectionnées sont autorisées ou refusées uniquement sur leurs ports par défaut définis par les réseaux Palo Alto. Cette option est recommandée pour autoriser les stratégies car elle empêche les applications de s'exécuter sur des ports et des protocoles inhabituels, qui, s'ils ne sont pas intentionnels, peuvent être un signe de comportement et d'utilisation d'applications indésirables.
Remarque: lorsque vous utilisez cette option, l'appareil vérifie toujours toutes les applications sur tous les ports, mais avec cette configuration, les applications ne sont autorisées que sur leurs ports/protocoles par défaut.
Permet de montrer cela dans une règle avec DNS comme un exemple ci-dessous:
La première règle est écrite pour autoriser l'application DNS, mais uniquement sur le port UDP 53.
La deuxième règle est écrite pour autoriser l'application DNS, mais utilise l'application par défaut.
Cela démontre que si DNS utilisait le port TCP 53, il ne serait pas autorisé par la première règle.
Mais la deuxième règle le permettrait. Cependant, pourquoi et comment le sait-il?
Lorsque vous regardez l'application DNS en cliquant sur objets > applications > type DNS, puis cliquez sur "DNS", pour voir l'écran suivant:
Notez comment les ports d'application par défaut répertoriés:
TCP/53, UDP/53, 5353
Puisque la première règle autorise uniquement le port UDP 53, si l'application utilise le port TCP 53 ou le port UDP 5353, elle ne sera pas autorisée car l'application-default n'est pas utilisée. Cela peut également être utilisé pour bloquer les applications. Il s'agit simplement d'un exemple simple pour vous montrer comment il est beaucoup plus facile d'autoriser l'application par défaut au lieu d'essayer de spécifier chaque port TCP ou UDP.
Ceci est également applicable pour les règles avec "any" comme l'application, il s'assurera que n'importe quelle application est identifiée, il s'assurera que l'application n'utilisera que les ports standard.
Veuillez consulter cet article pour afficher plus d'informations sur les ports d'application par défaut via l'INTERFACE CLI:
Procédure pour afficher les ports d'Application par défaut d'une application
Je me réjouis de tous les commentaires dans la section commentaires ci-dessous.
Merci pour la lecture,
Joe Delio