提示和技巧: 应用程序默认下的服务意味着什么?
Resolution
什么是应用程序默认下的服务意味着什么?
当涉及到创建规则时, 有许多构成规则的组件。我被问及的一个更令人困惑的问题是 "应用程序默认" 下的服务。
"服务/URL 类别" 部分是您可以定义应用程序使用的端口的位置。
例如: 应用程序 Web 浏览 (http) 使用 TCP 端口80。
在任何规则的内部, 在 "服务/URL 类别" 选项卡下, 屏幕左侧将有一个下拉菜单。
您将看到以下三选项:
- 任何
- 选择
- 应用程序-默认值
他们是什么意思?
- 任何-这仅仅意味着所有端口: 1-65535, TCP 或 UDP. 在任何协议或端口上都允许或拒绝选定的应用程序。
- 选择-这意味着您必须确切地指定要允许或阻止的应用程序要使用的 TCP 或 UDP 端口. 选择现有服务或选择 "服务或服务组" 以指定新条目。
- 应用程序-默认值-选择这意味着仅允许或拒绝选定的应用程序在帕洛阿尔托网络定义的默认端口上. 建议使用此选项来允许策略, 因为它可以防止应用程序在不寻常的端口和协议上运行 (如果不是故意的), 这可能是不需要的应用程序行为和用法的标志。
注意:使用此选项时, 设备仍会检查所有端口上的所有应用程序, 但使用此配置, 应用程序只能在其默认端口/协议上允许.
让我们以 DNS 的规则显示这一点, 如下所示:
第一条规则被写入允许 DNS 应用程序, 但仅在 UDP 端口53上。
第二条规则被写入以允许 DNS 应用程序, 但使用应用程序默认值。
这表明如果 DNS 使用的是 TCP 端口 53, 则第一条规则不允许这样做。
但是, 第二条规则允许这样做。但是, 为什么和如何知道呢?
在查看 dns 应用程序时, 单击对象 >> 应用程序 > 键入 dns, 然后单击 "dns", 查看以下屏幕:
注意如何列出应用程序默认端口:
tcp/53,udp/53,5353
由于第一条规则只允许 UDP 端口 53, 如果应用程序使用了 TCP 端口53或 UDP 端口 5353, 则不允许使用它, 因为没有用到应用程序默认值。这也可以用来阻止应用程序。这只是一个简单的示例, 向您展示如何更容易地允许应用程序默认值, 而不是尝试指定每个 TCP 或 UDP 端口。
这也适用于以 "任何" 作为应用程序的规则, 它将确保任何应用程序被识别, 它将确保应用程序只使用标准端口.
请参阅本文以通过 CLI 查看有关应用程序默认端口的更多信息:
我欢迎下面评论部分的所有反馈意见。
感谢阅读,
乔德里奥