Comment faire pour bloquer le trafic basé sur les filtres d'Application avec une exception
Resolution
Vue d’ensemble
Ce document décrit comment configurer un pare-feu Palo Alto Networks pour bloquer le trafic à l'Aide d'un filtre d'application et autoriser toujours une application incluse dans le filtre. L'exemple illustré dans ce document bloque la messagerie instantanée (im) et le trafic de filtre d'application peer-to-peer (P2P), mais autorise toujours l'application Skype.
Le filtre d'application est un élément dynamique créé en sélectionnant Options de filtre (catégorie, sous-catégorie, technologie) dans le navigateur d'application. Toutes les nouvelles applications venant de PAN-OS dans une mise à jour de contenu qui correspondent aux mêmes filtres, l'ensemble sera automatiquement ajouté au filtre d'Application créé. Par exemple, lorsqu'un'peer-to-peer'est sélectionné comme filtre de technologie, ce filtre se met automatiquement à jour si une nouvelle application est ajoutée à cette catégorie dans le package de contenu le plus récent.
Étapes
- Aller à objets > filtre d'Application
- Cliquez sur Ajouter pour configurer un filtre d'Application qui inclurait toutes les applications de messagerie instantanée et P2P, en sélectionnant la catégorie, la sous-catégorie et la technologie, comme indiqué ci-dessous:
- Catégorie-collaboration
- Sous-catégorie-messagerie instantanée + VoIP-vidéo
- Technologie-basé sur le navigateur + client-serveur + réseau-protocole + peer-to-peer
- Configurer deux règles de sécurité pour permettre à Skype d'abord, et de refuser le reste de la messagerie instantanée et les applications P2P
- La première règle permet Skype, Skype-Probe et Unknown-UDP (requis pour une qualité vocale acceptable)
- La deuxième règle nie P2P et le filtre de messagerie instantanée
pour vérifier la configuration, voir L'exemple ci-dessous montrant les journaux de trafic indiquant Skype étant autorisé, tandis que Omegle (site de chat en ligne), et Jabber sont bloqués:
Remarque: afin d'afficher toutes les applications incluses dans ce filtre d'application, utilisez la commande suivante pour vérifier la stratégie de sécurité appropriée dans laquelle le filtre d'application est inclus:
> afficher la stratégie de sécurité en cours d'exécution
Trust-2-non-confiance {
de Trust-L3;
source de tout ;
source-région aucune ;
à untrust-L3 ;
destination tout ;
Destination-région aucune ;
l’utilisateur y a lieu ;
catégorie tout ;
application/service [IRC-base/any/any/any vidsoft/any/any/any SIP/any/any/any h. 323/any/any/any MSN-base/any/any/any eBuddy/any/any/any HOVRS/any/any/any Yahoo-IM-base/any/any/any Google-Talk-base/any
/any/any Jabber/any/any/any QQ-base/any/any/any AIM-base/any/any/any ICQ/any/any/any WebAIM/any/any/any Meebo-base/any/any/any swaper/any/any/any KoolIM/any/any/any CoolTalk/any/any/any NetMeeting/any/any/any
Google-Buzz/any/any/any Chatroulette/any/any/any TeamSpeak/any/any/any Ventrilo/any/any/any/any iChat-AV/any/any/any PCCC/any/any/any Skype/any/any/any Skype-Probe/any/any/any mabber/any/any/any Zoho-im/any/any/a
NY Lotus-Sametime/any/any/any/any Yahoo-webcam/any/any/any SightSpeed/any/any/any MSN-webmessenger/any/any/any Yahoo-webmesseng/any/any/any Pownce/any/any/any medium-im/any/any/any VSEE/any/any/any h. 245/any/any/a
NY MS-OCS/any/any/any MS-OCS-audio/any/any/any MS-OCS-Video/any/any/any/any Gmail-chat/any/any/toute messengerfx/any/any/any iloveim/any/any/any Meetro/any/any/any P10/any/any/any imhaha/any/une application/se
Loi sur (implicite) [http/any/any/any/any/any/any/any/any STUN/any/any/any Web-navigation/any/any/any RTMP/any/any/any];
action le permettent ;
Oui terminal ;
}
propriétaire : anissa