Warum sind Regeln zu leugnen Anwendungen erlauben einige Pakete?

Warum sind Regeln zu leugnen Anwendungen erlauben einige Pakete?

50131
Created On 09/25/18 20:36 PM - Last Modified 05/31/23 21:42 PM


Resolution


Symptome

Eine anwendungsorientierte Deny-Regel zugeordnete Sitzungen zeigen einige Pakete gesendet/empfangen.

Problem

Wenn die Palo Alto Networks Firewallregeln ausgewertet werden, wird die Sicherheitsrichtlinie zweimal ausgewertet:

  1. Überprüfen das Paket gegen die Regel festgelegt, wenn die Anwendung auf eine festgelegt wurde
  2. Überprüfen das Paket gegen den Regelsatz, nachdem die Anwendung identifiziert wurde

Da die Anwendung nicht unbedingt in die ersten Pakete bekannt ist, dauert es mehrere Pakete zu bestimmen, was die zugrundeliegende Anwendung. Während dieser Testphase Pakete können durchgelassen werden, es sei denn, eine Regel, die den Verkehr unabhängig von der Anwendung verweigern würden (wie bestreiten ein Ziel URL/IP, port, Benutzer usw.). Wann wird die Anwendung bestimmt, wenn in der Regel nicht zulässt, dass die Anwendung und andere Aspekte dieser Sitzung, dass Paket und weiteren Pakete in die aktive Sitzung verweigert wird (gelöscht).

Lösung

Dies ist Erwartetes Verhalten. Das Problem wird durch die Firewall nicht unter Berufung auf Häfen nur verursacht, die zugrundeliegende Anwendung bestimmt.

Besitzer: Gwesson
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CliLCAS&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language