例外を使用してアプリケーションフィルタに基づいてトラフィックをブロックする方法

例外を使用してアプリケーションフィルタに基づいてトラフィックをブロックする方法

125999
Created On 09/25/18 19:24 PM - Last Modified 06/02/23 09:15 AM


Resolution


概要

このドキュメントでは、アプリケーションフィルタを使用してトラフィックをブロックし、フィルタに含まれるアプリケーションを許可するように、パロアルトネットワークファイアウォールを構成する方法について説明します。このドキュメントに示す例では、インスタントメッセージング (IM) およびピアツーピア (P2P) アプリケーションフィルタトラフィックをブロックしますが、Skype アプリケーションを許可します。

アプリケーションフィルターは、アプリケーションブラウザーでフィルターオプション (カテゴリ、サブカテゴリ、テクノロジ) を選択することによって作成される動的項目です。同じフィルタに一致するコンテンツ更新でパン OS に追加される新しいアプリケーションは、作成されたアプリケーションフィルタに自動的に設定されます。たとえば、"ピアツーピア" がテクノロジフィルターとして選択されている場合、新しいアプリケーションが最新のコンテンツパッケージでそのカテゴリに追加されると、そのフィルターは自動的に更新されます。

手順

  1. オブジェクトに移動 > アプリケーションフィルタ
  2. [追加] をクリックして、次に示すようにカテゴリ、サブカテゴリ、およびテクノロジを選択して、すべてのインスタントメッセージングおよび P2P アプリケーションを含むアプリケーションフィルタを構成します。
    • カテゴリ-コラボレーション
    • サブカテゴリ-インスタントメッセージング + voip-ビデオ
    • テクノロジー-ブラウザベース + クライアントサーバ + ネットワークプロトコル + ピアツーピア


  3. Skype を最初に許可するように2つのセキュリティルールを構成し、残りの IM および P2P アプリケーションを拒否する
    • 最初のルールでは、skype、skype プローブ、未知の udp (許容可能な音声品質に必要) を許可します。
    • 2番目のルールは、構成を確認するために P2P と IM フィルタを拒否し、


      Omegle (オンラインチャットのウェブサイト)、および早口がブロックされているのに対し、Skype が許可されていることを示すトラフィックログを示す以下の例を参照してください。

注: アプリケーションフィルタに含まれるすべてのアプリケーションを表示するには、次のコマンドを使用して、アプリケーションフィルタが含まれている関連するセキュリティポリシーを確認します。

> 実行中のセキュリティポリシーの表示

トラスト-2-untrust {

        信頼-L3 から;

        ソースのいずれか。

        震源域なし;

        untrust L3; に

        コピー先。

        送付先地域なし;

        ユーザー。

        カテゴリ。

        アプリケーション/サービス [irc ベース/任意/任意/任意の vidsoft/任意/任意/任意の sip/任意/任意/任意の h. 323/任意/任意/任意/任意/任意/任意/任意/任意/任意/任意/任意/任意/任意/任意/hovrs/任意/任意/任意/すべての ebuddy/任意/任意/すべての google トークベース/任意の

/any/any 早口/任意/任意/任意の qq ベース/任意/任意/任意の aim ベース/任意/任意/任意の icq/任意/任意/任意/webaim/任意/任意/任意の meebo ベース/任意/任意/任意のスワッパー/任意/任意/任意の koolim/任意/任意/任意の cooltalk/任意/任意/任意/任意/任意/任意/任意/任意/任意/任意/任意/任意/任意/

google-バズ/任意/任意/任意の chatroulette/任意/任意/任意/任意/任意/任意/任意/任意の ventrilo/任意/任意/すべての teamspeak/任意/任意/任意/任意の sccp/任意/任意/skype/任意/任意/任意/任意の mabber/任意/任意/任意/任意/任意/任意/任意/zoho

sightspeed/任意/任意/任意/任意/任意/任意/任意/任意の/任意/任意/任意/任意/任意/任意/任意/任意/任意/任意/任意/任意/任意/任意/任意/任意/任意/任意/任意/任意/yahoo-webmesseng/任意/任意/任意/任意/任意/任意/任意/任意/任意の pownce/任意/任意/任意の vsee/任意/任意/任意の h 245/任意/任意/

ny の ms-ocs の/任意/任意の/任意の ms-ocs の-オーディオ/任意の/任意の/任意の ms-ocs の-ビデオ/任意/任意の/任意の gmail の-チャット/任意/任意の/任意の/任意/任意/任意/任意の iloveim/任意/任意/任意の meetro/任意/任意/任意の/任意の/任意の/任意の/任意/任意/任意/任意/任意/任意の/任意の/任意の/messengerfx

rvice (暗黙的) [http/任意/任意/任意/任意/任意/任意/任意/任意/任意/任意/任意/任意/任意/任意/任意/任意/任意/任意/任意/任意/任意/任意/任意/任意/任意/任意/任意/任意/任意/任意/任意/任意

        アクションを許可する;

        ターミナルはい;

}

所有者: kadak
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClXfCAK&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language