Cómo bloquear el tráfico basado en filtros de aplicación con una excepción
Resolution
Resumen
Este documento describe cómo configurar un cortafuegos de Palo Alto Networks para bloquear el tráfico utilizando en un filtro de aplicación y aún así permitir una aplicación incluida en el filtro. El ejemplo que se muestra en este documento bloquea la mensajería instantánea (IM) y el tráfico de filtro de aplicaciones Peer-to-peer (P2P), pero aún así permite la aplicación Skype.
El filtro de aplicación es un elemento dinámico que se crea mediante la selección de opciones de filtrado (categoría, subcategoría, tecnología) en el explorador de aplicaciones. Las nuevas aplicaciones que llegan a pan-os en una actualización de contenido que coincida con los mismos filtros, el conjunto se agregará automáticamente al filtro de aplicación creado. Por ejemplo, cuando se selecciona un ' peer-to-peer ' como filtro de tecnología, ese filtro se actualizará automáticamente si se agrega una nueva aplicación a esa categoría en el paquete de contenido más reciente.
Pasos
- Ir a objetos > filtro de aplicación
- Haga clic en Agregar para configurar un filtro de aplicación que incluya todas las aplicaciones de mensajería instantánea y P2P, seleccionando la categoría, subcategoría y tecnología, como se muestra a continuación:
- Categoría-colaboración
- Subcategoría-mensajería instantánea + VoIP-video
- Tecnología-basado en navegador + cliente-servidor + red-protocolo + peer-to-peer
- Configure dos reglas de seguridad para permitir primero Skype, y negar el resto de aplicaciones de mensajería instantánea y P2P
- La primera regla permite Skype, Skype-probe y Unknown-UDP (requerido para una calidad de voz aceptable)
- La segunda regla niega el P2P y el filtro im
para verificar la configuración, ver el ejemplo siguiente mostrando los registros de tráfico que indica Skype se permite, mientras que omegle (sitio web de chat en línea), y Jabber están siendo bloqueados:
Nota: para ver todas las aplicaciones incluidas en ese filtro de aplicación, utilice el siguiente comando para comprobar la política de seguridad pertinente en la que se incluye el filtro de la aplicación:
> Mostrar ejecución de la Directiva de seguridad
Trust-2-no Trust {
de Trust-L3;
de la fuente
región de origen.
a untrust-L3;
destino;
región de destino.
usuario cualquier;
Categoría;
uso/servicio [IRC-base/cualquie/cualquier/cualquier vidsoft/any/any/any SIP/any/any/cualquier h. 323/any/any/any MSN-base/cualquie/any/cualquier eBuddy/cualesquiera/cualesquiera/cualesquiera/cualesquiera/cualesquiera/cualquier Yahoo-IM-base/cualesquiera/cualesquiera/cualquier Google-Talk-base/cualquier hovrs
/Any/any Jabber/cualquie/any/cualquie QQ-base/cualquie/cualesquiera/cualquie AIM-base/cualquie/cualesquiera/cualquier ICQ/cualquier/cualquier/cualquie webaim/any/any/any Meebo-base/cualquie/cualquie/cualquie/cualquie/cualesquiera/cualesquiera/cualesquiera/cualesquiera/cualesquiera/cualesquiera/cualesquiera/cualesquiera/cualesquiera/cualesquiera/cualesquiera/cualesquiera/cualesquiera/cualesquiera/cualesquiera/cualesquiera
Google-Buzz/cualquie/cualquier/cualquier/cualquier/cualquier/cualquie/cualesquiera/cualesquiera/cualesquiera/cualesquiera/cualesquiera/cualesquiera/cualesquiera/cualesquiera/cualesquiera/cualesquiera/cualesquiera/cualesquiera/cualesquiera/cualquier SCCP de Chatroulette/cualquie/any/cualquier Skype/cualquier/cualquier/cualesquiera/cualesquiera/cualesquiera/cualesquiera/cualesquiera/cualesquiera/cualesquiera/cualesquiera/cualesquiera/cualesquiera/cualesquiera/a
NY Lotus-Sametime/any/any/cualquier Yahoo-Webcam/any/any/cualquier SightSpeed/any/any/cualquier MSN-webmessenger/cualquiera/cualesquiera/cualesquiera Yahoo-webmesseng/cualquie/any/cualquier Pownce/any/any/cualquie medio-im/any/any/cualquier vsee/any/any/any h. 245/any/any/a
NY MS-OCS/any/cualquier/cualquier MS-OCS-audio/cualquier/cualquier/cualquier MS-OCS-video/cualquier/cualquier/cualquier gmail-chat/any/any/cualquie Shape/any/any/any/cualquier/cualquier/cualquier/cualquier/cualquier/cualquier/cualquier/cualquier/cualquier/cualquier/cualquier/cualquier/cualquier/cualquier/cualquier/cualquier/cualquier/cualquier imhaha/se
rvice (implícito) [http/cualquier/cualquier/cualquier SSL/any/any/cualquier Stun/any/any/cualquier web-navegación/cualquier/cualquier/cualquier RTMP/any/any/any];
acción permite;
terminal sí;
}
Propietario: kadak