Regla de PBF para aplicaciones de navegación SSL y Web que no funcionan

Regla de PBF para aplicaciones de navegación SSL y Web que no funcionan

16898
Created On 09/26/18 19:16 PM - Last Modified 06/12/23 20:40 PM


Resolution


Incidencia

Hay una regla de reenvío basada en políticas (PBF) configurada para reenviar las aplicaciones "SSL" y "navegación web" a un destino específico.  La regla PBF permite que el tráfico del puerto 80 salga por la ruta predeterminada.

 

Causa

PBF no funciona mejor con aplicaciones como criterios de coincidencia, ya que la evaluación de políticas PBF ocurre durante los paquetes iniciales del tráfico. En esta etapa la aplicación sigue siendo desconocida. Es recomendable utilizar el servicio como criterio de coincidencia si los puertos estándar son utilizados por la aplicación o se conocen los puertos utilizados. 

 

La forma en que pan-os añade la selección de aplicaciones a PBF es realizar "ID de APP en caché". Con app-id en caché, una regla PBF puede hacer referencia a una aplicación. La primera vez que la aplicación pasa a través del cortafuegos, el cortafuegos no es consciente de lo que la aplicación es inicialmente y la regla PBF no se aplica. Sin embargo, a medida que llegan más paquetes, pan-os es capaz de determinar la aplicación y crea una entrada en la caché de ID de App. La próxima vez que se cree una nueva sesión con la misma fuente IP y puerto de destino y destino, pan-os asume que es la misma aplicación que la sesión inicial (basada en la caché de ID de aplicación) y que aplicará la regla PBF.

 

Por favor lea el siguiente documento para advertencias en esta técnica: reenvío basado en políticas

 

Además, muchas aplicaciones basadas en Web se ejecutan sobre el puerto 80 o SSL. El dispositivo Palo Alto Networks los identificará como aplicaciones específicas y no puede clasificarlos como "navegación web" o "SSL". En este caso, no se usará la Directiva PBF definida.

 

Resolución

  1. Cree una directiva PBF para la aplicación any y, a continuación, establezca los servicios en http y https. Esto cubrirá todas las aplicaciones que se ejecutan sobre el puerto 80 y 443.
  2. Cree otro PBF para la aplicación SSL y Web-hojeando y fije el servicio a cualesquiera. Esto cubrirá todos los otros sitios que ejecutan la navegación SSL o Web por el puerto no estándar. 

Propietario: jteetsel
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm4ICAS&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language