Problem
Es gibt eine Policy-basierte Forwarding-Regel (PBF), die konfiguriert ist, um die Anwendungen "SSL" und "Web-Browsing" an ein bestimmtes Ziel weiterzuleiten. Die PBF-Regel erlaubt es, dass einige Port-80-Traffic über die Standard-Route ausgehen.
Ursache
PBF funktioniert nicht am besten mit Anwendungen als Match Kriterien, da die PBF-Politik Auswertung während der ersten Pakete des Verkehrs erfolgt. Zum jetzigen Zeitpunkt ist die Bewerbung noch unbekannt. Es ist ratsam, den Dienst als Match-Kriterien zu verwenden, wenn Standard-Ports von der Anwendung verwendet werden oder die verwendeten Ports bekannt sind.
Die Art und Weise, wie Pan-OS der PBF die Anwendungs Auswahl hinzufügt, ist die Durchführung von "App ID Caching". Mit dem App-ID-Caching kann eine PBF-Regel auf eine Anwendung verweisen. Das erste Mal, dass die Anwendung durch die Firewall geht, ist der Firewall nicht bewusst, was die Anwendung zunächst ist und die PBF-Regel wird nicht angewendet. Da jedoch mehr Pakete ankommen, ist Pan-OS in der Lage, die Anwendung zu bestimmen und es wird ein Eintrag im APP-ID-Cache erstellt. Das nächste Mal, wenn eine neue Session mit der gleichen IP-Quelle und Ziel-und Zielport erstellt wird, geht Pan-OS davon aus, dass es sich um die gleiche Anwendung wie die erste Sitzung (basierend auf dem App-ID-Cache) handelt und wird dann die PBF-Regel anwenden.
Bitte lesen Sie das folgende Dokument für Vorbehalte in dieser Technik: politikbasierte Weiterleitung
Darüber hinauslaufen viele webbasierte Anwendungen über Port 80 oder SSL. Das Netzwerk Palo Alto Networks wird Sie als spezifische Anwendungen identifizieren und darf Sie nicht als "Web-Browsing" oder "SSL" einstufen. In diesem Fall wird die definierte PBF-Richtlinie nicht verwendet.
Lösung
- Erstellen Sie eine PBF-Richtlinie für die Anwendung, dann setzen Sie die Dienste auf http und HTTPS. Damit werden alle apps abgedeckt, die über Port 80 und 443 laufen.
- Erstellen Sie eine weitere PBF für die Anwendung SSL und Web-Browsing und setzen Sie den Dienst auf jede. Dies wird alle anderen Websites abdecken, die SSL oder Web-Browsing über den nicht-Standard-Port ausführen.
Besitzer: Jteetsel