可配置的拒绝操作

安全策略使管理员能够允许适当的应用程序通过防火墙并阻止不需要的应用程序连接到外部或网络之间。

分配给安全策略的 "允许" 操作相当简单, 但是当涉及到阻塞通信时, 管理员可以使用几个选项来更改防火墙的行为, 具体取决于应用程序或情况。

从 PAN OS 7.0 开始, 管理员可以选择要应用于不需要的会话的操作: 删除、拒绝或重置:

Drop 操作主要用作一种隐形的丢弃通信方式。防火墙只会丢弃与不需要的连接相关的任何数据包, 而不会让客户端或服务器知道数据包正在被丢弃。这是一个常见的良好做法, 以减少对外部世界的接触, 因为端口扫描将需要更长的时间来完成, 并将导致不太有用的法医。如果希望让客户端知道会话不允许, 则可以发送 ICMP 无法访问 (ICMPv4 Type3 Code13、ICMPv6 Type1 Code1) 消息, 使客户端意识到远程主机不可用于此连接。这可以帮助源优雅地关闭或清除会话, 并防止应用程序在适用时中断。

"拒绝" 操作将使用每个应用程序推荐的方法来拆下会话。

如果安全策略阻止应用程序并具有拒绝操作集, 则应用程序 ID 描述包含对所采取操作的拒绝操作说明。如果未列出 "拒绝" 操作, 则数据包将被静默丢弃。下拉复位将丢弃会话的数据包, 并发送 TCP RST 数据包, 以让客户端知道会话已被终止, 因此它可以在本地正常关闭会话。

管理员还可以选择始终向客户端、服务器或两者发送重置数据包。如果会话是基于 TCP 的, 则将发送 RST 数据包。如果会话是基于 UDP 或 icmp 的, 则将发送 icmp 无法访问。

• 将重置只发送到客户端将确保, 例如, 内部主机收到通知, 会话被重置, 浏览器不会旋转, 或者应用程序可以在远程服务器不知情的情况下关闭已建立的会话。
• 重置服务器可用于确保内部服务器能够在外部客户端不知道的情况下清除套接字。
• 向双方发送复位将让双方都知道会话被阻止。

为了防止发送太多的 ICMP 无法访问的数据包, 您可以通过会话设置切换每秒的速率

这些信息对你有帮助吗？

此致敬意

死神