¿Por qué son reglas negar aplicaciones permitiendo algunos paquetes?

¿Por qué son reglas negar aplicaciones permitiendo algunos paquetes?

50121
Created On 09/25/18 20:36 PM - Last Modified 05/31/23 21:42 PM


Resolution


Síntomas de

Asociados con una regla de denegar basado en la aplicación de sesiones muestran algunos paquetes transmitidos/recibidos.

Incidencia

Cuando se evalúan las reglas de firewall de Palo Alto Networks, la política de seguridad se evalúa dos veces:

  1. Comprobar el paquete contra la regla si la aplicación se establece en cualquier
  2. Comprobar el paquete contra la regla fijada una vez se ha identificado la aplicación

Porque la aplicación no necesariamente es conocida en los primeros paquetes, puede tomar varios paquetes para determinar lo que es la aplicación subyacente. Durante este período de evaluación, los paquetes pueden ser permitidos a través de a menos que haya una regla que negaría el tráfico independientemente de la aplicación (como negar un destino URL/IP, el puerto número, usuario, etcetera.). Cuando se determina la aplicación, si una norma no permite que la aplicación y otros aspectos de esa sesión, paquetes y paquetes de futuros en que se negará la sesión activa (caídos).

Resolución

Es un comportamiento esperado. El problema es causado por el firewall no depender de sólo los puertos, determina la aplicación subyacente.

Propietario: gwesson
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CliLCAS&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language