Wie man den Verkehr auf der Basis von Anwendungs Filtern mit einer Ausnahme blockiert
Resolution
Übersicht
Dieses Dokument beschreibt, wie eine Palo Alto Networks Firewall konfiguriert wird, um den Traffic mit einem Anwendungs Filter zu blockieren und trotzdem eine Anwendung zu erlauben, die im Filter enthalten ist. Das Beispiel, das in diesem Dokument gezeigt wird, blockiert Instant Messaging (IM) und Peer-to-Peer (P2P)-Anwendungs Filter-Traffic, erlaubt aber trotzdem die Skype-Anwendung.
Der Anwendungs Filter ist ein dynamisches Element, das durch die Auswahl von Filteroptionen (Kategorie, Unterkategorie, Technologie) im Anwendungs Browser erstellt wird. Alle neuen Anwendungen, die in einem Content-Update zu PAN-OS kommen, das den gleichen Filtern entspricht, wird das Set automatisch in den erstellten Anwendungs Filter aufgenommen. Wenn zum Beispiel ein ' Peer-to-Peer ' als Technologie-Filter ausgewählt wird, wird dieser Filter automatisch aktualisiert, wenn eine neue Anwendung im neuesten Content-Paket zu dieser Kategorie hinzugefügt wird.
Schritte
- Gehen Sie zu Objekten > Anwendungs Filter
- Klicken Sie auf HinzuFügen, um einen Anwendungs Filter zu konfigurieren, der alle Instant Messaging und P2P-Anwendungen enthält, indem Sie die Kategorie, Unterkategorie und Technologie auswählen, wie unten gezeigt:
- Kategorie-Kollaboration
- Unterkategorie-Instant-Messaging + VoIP-Video
- Technologie-Browser-basierte + Client-Server + Netzwerk-Protokoll + Peer-to-Peer
- Konfigurieren Sie zwei Sicherheitsregeln, um Skype zuerst zu erlauben, und verweigern Sie die restlichen IM und P2P-Anwendungen
- Die erste Regel erlaubt Skype, Skype-Sonde und Unknown-UDP (erforderlich für eine akzeptable Sprachqualität)
- Die zweite Regel verweigert P2P und den IM-Filter
, um die Konfiguration zu überprüfen, siehe das Beispiel unten, das die Verkehrsprotokolle zeigt, die angeben, dass Skype erlaubt ist, während Omegle (Online-Chat-Website) und Jabber gesperrt werden:
Hinweis: um alle Anwendungen, die in diesem Anwendungs Filter enthalten sind, anzuzeigen, verwenden Sie den folgenden Befehl, um die entsprechenden Sicherheitsrichtlinien zu überprüfen, in denen der Anwendungs Filter enthalten ist:
> Lauf Sicherheitspolitik anzeigen
Trust-2-Untrust {
von Trust-L3;
jede Quelle;
Quelle-Region keine;
um Vertraulichkeit-L3;
Ziel jeder;
Ziel-Region keine;
Benutzer;
Kategorie alle;
Anwendung/Service [IRC-base/any/Any/any VidSoft/Any/Any/any SIP/Any/any/irgendwelche h. 323/jede/jede/jede MSN-Basis/jede/jede/irgendwelche eBuddy/irgendwelche/irgendwelche/irgendwelche HOVRS/any/irgendwelche/irgendwelche Yahoo-im-base/any/Any/any Google-Talk-base/any
/Any/any Jabber/jede/jede/jede QQ-Base/jede/jede/jede AIM-Basis/jede/jede/jede ICQ/any/irgendwelche/irgendwelche WebAIM/any/irgendwelche/any Meebo-Base/jeder/jeder/jeder Swapper/jeder/jeder/irgendwelche KoolIM/Any/Any/any Cooltalk/Any/any/irgendein NetMeeting/irgendwelche/irgendwelche/
Google-Buzz/Any/any/irgendein Chatroulette/Any/any/irgendwelche TeamSpeak/Any/any/a Ventrilo/Any/Any/any iChat-AV/Any/any/irgendwelche SCCP/Any/any/irgendwelche Skype/Any/any/eine Skype-Probe/Any/Any/any Mabber/Any/Any/any Zoho-im/Any/any/a
NY Lotus-Sametime/jede/jede/jede Yahoo-Webcam/jede/jede/jede sichtzeit/jede/jede/jede MSN-Webmessenger/any/irgendwelche/irgendwelche Yahoo-webmesseng/any/irgendwelche/irgendwelche/irgendwelche/irgendwelche/irgendwelche/irgendwelche/irgendwelche/245/Any/any/a
NY MS-OCS/Any/Any/any MS-OCS-Audio/Any/Any/any MS-OCS-Video/Any/any/a Gmail-Chat/Any/Any/any MessengerFX/Any/Any/any ILoveIM/Any/Any/any Meetro/Any/any/a P10/Any/any/irgendwelche imhaha/any/a Application/SE
rvice (implizit) [http/Any/any/irgendwelche SSL/Any/Any/any Stun/Any/any/irgendein Web-Browsing/Any/any/irgendein RTMP/Any/Any/any];
Aktion ermöglichen;
Terminal ja;
}
Besitzer: Kadak