TCP 3 ウェイ ハンドシェイクは、 Policy アプリケーションとサービスを許可するセキュリティに一致させることができます ICMP ANY 。
22817
Created On 03/21/19 23:01 PM - Last Modified 03/26/21 18:22 PM
Symptom
セッション ブラウザのトラフィック ログとセッションの詳細から、 CLI TCP 一部の 3 ウェイ ハンドシェイク接続が、アプリケーションのみを許可するセキュリティ規則に一致することが確認 ICMP されました。
たとえば、ポート 80 で example.com する telnet セッションは、このセキュリティを介して許可されています policy 。
admin@PA> show session id 136043 Session 136043 c2s flow: source: 192.168.243.55 [Trust-Zone] dst: 93.184.216.34 proto: 6 sport: 53792 dport: 80 state: ACTIVE type: FLOW src user: unknown dst user: unknown s2c flow: source: 93.184.216.34 [Untrust] dst: 10.129.82.243 proto: 6 sport: 80 dport: 28507 state: ACTIVE type: FLOW src user: unknown dst user: unknown qos node: ethernet1/1, qos member N/A Qid 0 start time : Fri Dec 28 17:44:52 2018 timeout : 3600 sec time to live : 3569 sec total byte count(c2s) : 264 total byte count(s2c) : 264 layer7 packet count(c2s) : 4 layer7 packet count(s2c) : 4 vsys : vsys1 application : undecided <<<< Application is still undecided rule : test-icmp <<<< Rule is the security policy allowing ICMP service timeout override(index) : False application db : 0 app.id : c2s node (0, 0) s2s node (0, 0) session to be logged at end : True session in session ager : True session updated by HA peer : False address/port translation : source nat-rule : Outbound(vsys1) layer7 processing : enabled URL filtering enabled : True URL category : any session via syn-cookies : False session terminated on host : False session traverses tunnel : False captive portal session : False ingress interface : ethernet1/1 egress interface : ethernet1/2 session QoS rule : N/A (class 4) end-reason : unknown
Environment
firewall非 / アプリケーション (たとえば) を持つセキュリティ規則 TCP UDP ICMP とサービスが " ." に設定 ANY
TCP されている場合、このルールにより適切なルールではなく、このルールで許可されているオブザーバーです。
Cause
この現象は、セキュリティ上でサービスが " " に設定されている場合 ANY に発生 policy します。
のセキュリティを見 policy ると CLI 、次の内容が表示されます。
admin@PA> show running security-policy
"test-icmp; index: 1" {
from any;
source any;
source-region none;
to any;
destination any;
destination-region none;
user any;
category any;
application/service 0:icmp/any/any/any; <<<< Application is ICMP, & Protocol IS ANY
action allow;
icmp-unreachable: no
terminal yes;ICMPプロトコルですが、アプリケーション専用のアプリケーション署名があります ICMP 。 したがって、セッションのアプリケーションが未定である限り、トラフィックは引き続きセキュリティと一致 policy し、アプリケーション ICMP とサービスを " に設定できます ANY 。
IP プロトコルは、アプリケーションではなく、 のサービス PAN-OS によって決定されます。
Resolution
特定の ICMP に一致するトラフィックのみを許可する場合は policy 、サービスを "アプリケーション既定" に設定します。
"test-icmp; index: 1" {
from any;
source any;
source-region none;
to any;
destination any;
destination-region none;
user any;
category any;
application/service 0:icmp/icmp/any/any;<<<< Application is ICMP & Protocol is ICMP
action allow;
icmp-unreachable: no
terminal yes;サービス フィールドによってプロトコルが決定されるため IP 、サービスがアプリケーション の既定に設定されている場合、ルールはプロトコル ICMP を反映します。
Additional Information
TIP: A 良い方法は、常にアプリケーションのデフォルトを設定することです。