Warum sind Regeln zu leugnen Anwendungen erlauben einige Pakete?
Resolution
Symptome
Eine anwendungsorientierte Deny-Regel zugeordnete Sitzungen zeigen einige Pakete gesendet/empfangen.
Problem
Wenn die Palo Alto Networks Firewallregeln ausgewertet werden, wird die Sicherheitsrichtlinie zweimal ausgewertet:
- Überprüfen das Paket gegen die Regel festgelegt, wenn die Anwendung auf eine festgelegt wurde
- Überprüfen das Paket gegen den Regelsatz, nachdem die Anwendung identifiziert wurde
Da die Anwendung nicht unbedingt in die ersten Pakete bekannt ist, dauert es mehrere Pakete zu bestimmen, was die zugrundeliegende Anwendung. Während dieser Testphase Pakete können durchgelassen werden, es sei denn, eine Regel, die den Verkehr unabhängig von der Anwendung verweigern würden (wie bestreiten ein Ziel URL/IP, port, Benutzer usw.). Wann wird die Anwendung bestimmt, wenn in der Regel nicht zulässt, dass die Anwendung und andere Aspekte dieser Sitzung, dass Paket und weiteren Pakete in die aktive Sitzung verweigert wird (gelöscht).
Lösung
Dies ist Erwartetes Verhalten. Das Problem wird durch die Firewall nicht unter Berufung auf Häfen nur verursacht, die zugrundeliegende Anwendung bestimmt.
Besitzer: Gwesson