为什么是规则拒绝应用程序允许一些数据包？

症状

与基于应用程序的拒绝规则关联的会话显示一些数据包发送接收。

问题

当帕洛阿尔托网络防火墙规则进行评估时，安全策略被计算两次：

1. 检查该数据包与规则集如果应用程序被设置为任何
2. 检查该数据包与规则集一旦被确定的应用程序

因为第一个数据包中，一定不知道应用程序，它可以采取几个数据包，以确定基础的应用程序是什么。评估期间，可能会允许数据包通过除非还有会拒绝不因应用程序通信的规则 （如否认目的地 URL/IP，端口数、用户等）。当应用程序坚定的如果一条规则不允许该应用程序和其他方面该届会议上，在未来数据包，数据包将否认活动会话 （下降）。

解决办法

这是预期的行为。该问题由防火墙不依托港口只引起，它确定基础的应用程序。

所有者： gwesson