PBF-Regel für SSL und Web-Browsing-Anwendungen nicht funktioniert

PBF-Regel für SSL und Web-Browsing-Anwendungen nicht funktioniert

16892
Created On 09/26/18 19:16 PM - Last Modified 06/12/23 20:40 PM


Resolution


Problem

Es gibt eine Policy-basierte Forwarding-Regel (PBF), die konfiguriert ist, um die Anwendungen "SSL" und "Web-Browsing" an ein bestimmtes Ziel weiterzuleiten.  Die PBF-Regel erlaubt es, dass einige Port-80-Traffic über die Standard-Route ausgehen.

 

Ursache

PBF funktioniert nicht am besten mit Anwendungen als Match Kriterien, da die PBF-Politik Auswertung während der ersten Pakete des Verkehrs erfolgt. Zum jetzigen Zeitpunkt ist die Bewerbung noch unbekannt. Es ist ratsam, den Dienst als Match-Kriterien zu verwenden, wenn Standard-Ports von der Anwendung verwendet werden oder die verwendeten Ports bekannt sind. 

 

Die Art und Weise, wie Pan-OS der PBF die Anwendungs Auswahl hinzufügt, ist die Durchführung von "App ID Caching". Mit dem App-ID-Caching kann eine PBF-Regel auf eine Anwendung verweisen. Das erste Mal, dass die Anwendung durch die Firewall geht, ist der Firewall nicht bewusst, was die Anwendung zunächst ist und die PBF-Regel wird nicht angewendet. Da jedoch mehr Pakete ankommen, ist Pan-OS in der Lage, die Anwendung zu bestimmen und es wird ein Eintrag im APP-ID-Cache erstellt. Das nächste Mal, wenn eine neue Session mit der gleichen IP-Quelle und Ziel-und Zielport erstellt wird, geht Pan-OS davon aus, dass es sich um die gleiche Anwendung wie die erste Sitzung (basierend auf dem App-ID-Cache) handelt und wird dann die PBF-Regel anwenden.

 

Bitte lesen Sie das folgende Dokument für Vorbehalte in dieser Technik: politikbasierte Weiterleitung

 

Darüber hinauslaufen viele webbasierte Anwendungen über Port 80 oder SSL. Das Netzwerk Palo Alto Networks wird Sie als spezifische Anwendungen identifizieren und darf Sie nicht als "Web-Browsing" oder "SSL" einstufen. In diesem Fall wird die definierte PBF-Richtlinie nicht verwendet.

 

Lösung

  1. Erstellen Sie eine PBF-Richtlinie für die Anwendung, dann setzen Sie die Dienste auf http und HTTPS. Damit werden alle apps abgedeckt, die über Port 80 und 443 laufen.
  2. Erstellen Sie eine weitere PBF für die Anwendung SSL und Web-Browsing und setzen Sie den Dienst auf jede. Dies wird alle anderen Websites abdecken, die SSL oder Web-Browsing über den nicht-Standard-Port ausführen. 

Besitzer: Jteetsel
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm4ICAS&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language