问题
有一个基于策略的转发 (PBF) 规则配置为将 "SSL" 和 "web 浏览" 应用程序转发到特定的目标。 PBF 规则允许某些端口80通信通过默认路由出去。
原因
PBF 与应用程序作为匹配条件的效果最好, 因为 PBF 策略评估在通信的初始数据包中发生。在此阶段,应用程序仍然未知. 如果应用程序使用标准端口或已知端口, 则建议使用服务作为匹配条件。
泛 OS 向 PBF 添加应用程序选择的方式是执行 "应用程序 ID 缓存"。使用应用程序 ID 缓存, PBF 规则可以引用应用程序. 应用程序第一次通过防火墙时, 防火墙不知道应用程序最初是什么, 并且不应用 PBF 规则。但是, 随着更多的数据包到达, PAN OS 能够确定应用程序并在应用程序 ID 缓存中创建一个条目。下次使用相同的 IP 源和目标端口创建新会话时, PAN OS 假定它与初始会话的应用程序相同 (基于应用程序 ID 缓存), 然后应用 PBF 规则。
请阅读以下文档以了解此技术中的警告:基于策略的转发
此外, 许多基于 web 的应用程序都运行在端口80或 SSL 上。帕洛阿尔托网络设备将将它们识别为特定的应用程序, 并且不能将它们归类为 "Web 浏览" 或 "SSL"。在这种情况下, 将不使用定义的 PBF 策略。
解决办法
- 为应用程序创建一个 PBF 策略, 然后将服务设置为 http 和 https。这将涵盖所有运行在端口80和443上的应用程序。
- 为应用程序 SSL 和 Web 浏览创建另一个 PBF, 并将服务设置为任意。这将覆盖在非标准端口上运行 SSL 或 Web 浏览的所有其他站点。
所有者: jteetsel