Pourquoi les règles niant Applications permettant à certains paquets ?

Symptômes

Sessions associées à une règle de refus basées sur les applications montrent des paquets transmis/reçu.

Demande client

Lorsque les règles de pare-feu de Palo Alto Networks sont évalués, la stratégie de sécurité est évaluée deux fois :

1. Vérifier le paquet contre la règle définie si l’application a été configurée pour une
2. Vérifier le paquet contre la règle définie une fois que l’application a été identifiée

Parce que l’application n’est pas nécessairement connue dans les premiers paquets, cela peut prendre plusieurs paquets afin de déterminer quelle est la demande sous-jacente. Pendant cette période d’évaluation, les paquets peuvent être autorisés par sauf s’il existe une règle qui nierait le trafic indépendamment de l’application (par exemple refuser une destination URL/IP, port numéro, utilisateur, etc..). Lorsque l’application est déterminée, si une règle ne permet pas à cette demande et autres aspects de cette session, ce paquet et les futurs paquets dans que la session active se verront refuser (abandonnés).

Résolution

Ce comportement est attendu. Le problème est provoqué par le pare-feu ne dépend ne pas de ports seulement, il détermine la demande sous-jacente.

propriétaire : gwesson