Règle PBF pour SSL et les applications de navigation Web ne fonctionne pas

Règle PBF pour SSL et les applications de navigation Web ne fonctionne pas

16886
Created On 09/26/18 19:16 PM - Last Modified 06/12/23 20:40 PM


Resolution


Demande client

Il existe une règle de transfert basée sur les stratégies (PBF) configurée pour transférer les applications «SSL» et «navigation Web» vers une destination spécifique.  La règle PBF permet à certains trafic port 80 de sortir via l'itinéraire par défaut.

 

Cause

PBF ne fonctionne pas mieux avec les applications comme critères de correspondance que PBF évaluation de la stratégie se produit pendant les paquets initiaux du trafic. À ce stade, l' application est encore inconnue. Il est conseillé d'utiliser le service comme critère de correspondance si les ports standard sont utilisés par application ou si les ports utilisés sont connus. 

 

La façon dont Pan-OS ajoute la sélection d'application à PBF est d'effectuer "app ID Caching." Avec la mise en cache App-ID, une règle PBF peut référencer une application. La première fois que l'application passe par le pare-feu, le pare-feu n'est pas au courant de ce que l'application est initialement et la règle PBF n'est pas appliquée. Toutefois, à mesure que d'autres paquets arrivent, Pan-OS est en mesure de déterminer l'application et crée une entrée dans le cache d'ID de l'application. La prochaine fois qu'une nouvelle session est créée avec la même source IP et le même port de destination et de destination, Pan-OS suppose qu'il s'agit de la même application que la session initiale (basée sur le cache d'ID d'application) et appliquera ensuite la règle PBF.

 

Veuillez lire le document suivant pour les mises en garde dans cette technique: retransmission basée sur les politiques

 

De plus, de nombreuses applications basées sur le Web fonctionnent sur le port 80 ou SSL. Le dispositif de Palo Alto Networks les identifiera comme des applications spécifiques et peut ne pas les classer comme "Web-navigation" ou "SSL." Dans ce cas, la stratégie PBF définie ne sera pas utilisée.

 

Résolution

  1. Créez une stratégie PBF pour l'application any, puis définissez les services sur http et HTTPS. Cela couvrira toutes les applications qui s'exécutent sur le port 80 et 443.
  2. Créez un autre PBF pour l'application SSL et la navigation sur le Web et définissez le service sur any. Cela couvrira tous les autres sites qui exécutent SSL ou navigation sur le Web sur le port non standard. 

propriétaire : jteetsel
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm4ICAS&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language