SSL および web ブラウジングアプリケーションが動作しない場合の PBF ルール

問題

"SSL" および "web ブラウジング" アプリケーションを特定の宛先に転送するように構成されたポリシーベースの転送 (PBF) ルールがあります。  PBF ルールでは、一部のポート80トラフィックがデフォルトルートを経由して外出できるようになっています。

原因

PBF は、トラフィックの初期パケット中に PBF ポリシーの評価が行われるため、一致条件としてアプリケーションに最適な動作をしません。この段階では、アプリケーションはまだ不明です。アプリケーションによって標準ポートが使用されている場合、または使用されるポートが既知である場合は、サービスを一致条件として使用することをお勧めします。 

PBF にアプリケーション選択を追加する方法は、「アプリ ID キャッシング」を実行することです。アプリ ID キャッシュを使用すると、PBF ルールはアプリケーションを参照できます。初めてアプリケーションがファイアウォールを通過するとき、ファイアウォールは、アプリケーションが最初に何であるかを認識せず、PBF ルールは適用されません。ただし、より多くのパケットが到着すると、PAN-OS は、アプリケーションを決定することができますし、アプリ ID キャッシュ内のエントリを作成します。次回、同じ IP 送信元と宛先と宛先ポートを使用して新しいセッションが作成されると、PAN-OS は、最初のセッション (アプリ ID キャッシュに基づく) と同じアプリケーションであると見なし、PBF ルールを適用します。

この技法に関する注意事項については、次のドキュメントを参照してください。ポリシーベースの転送

さらに、多くの web ベースのアプリケーションは、ポート80または SSL を介して実行されます。パロアルトネットワークデバイスは、特定のアプリケーションとしてそれらを識別し、"Web ブラウジング" または "SSL" として分類することはできません。この場合、定義された PBF ポリシーは使用されません。

解決方法

1. アプリケーションの PBF ポリシーを作成し、サービスを http および https に設定します。これは、ポート80と443を介して実行されるすべてのアプリをカバーします。
2. アプリケーションの SSL と Web ブラウジングのための別の PBF を作成し、サービスを any に設定します。これは、非標準ポートを介して SSL または Web ブラウジングを実行する他のすべてのサイトをカバーします。 

所有者: jteetsel