¿Por qué IP las direcciones bajo IP "exenciones de dirección" de excepción de amenaza de spyware no se exceptuaron de la acción modificada spyware.
19645
Created On 07/16/20 04:11 AM - Last Modified 11/01/23 19:25 PM
Question
- Perfil Anti Spyware se configura en GUI : Objetos > perfiles de seguridad > Anti-Spyware.
- En la pestaña Excepciones, IP las direcciones se han incluido en IP "Exenciones de direcciones"
- Con esta configuración en su lugar, la Asunción de clientes es que los paquetes que coincidan con las IP direcciones configuradas estarán exentos del comportamiento de amenaza modificado.
- En realidad, los paquetes que coinciden con las IP direcciones no están exentos del comportamiento de la amenaza, sino que siguen el comportamiento modificado.
Environment
- All PAN-OS
- Palo Alto Firewall .
- Perfil Anti-Spyware configurado.
Answer
- Cuando se agrega una excepción para una firma de spyware, eso significa cambiar el comportamiento predeterminado y el comportamiento modificado se aplicará a todo el tráfico que coincida con el tráfico.
- Sin embargo, cuando IP las direcciones se agregan a una excepción de spyware, la acción modificada solo se aplica para estas direcciones. El resto del tráfico realizará su acción predeterminada. Puede agregar hasta 100 DIRECCIONES IP por firma, y estas IP direcciones pueden ser como origen/destino. IP
- Esta funcionalidad se percibe a menudo incorrectamente como "Ips bajo la IP pestaña de excepción estarán exentas del comportamiento modificado", en cambio, el nuevo comportamiento solo se aplicará a estas IPs, mientras que todos los demás tráficos estarán exentos.
- En el ejemplo siguiente, la modificación en la firma de spyware,14978: Evasión sospechosa TLS encontrada, sólo se aplicará a dos IP 172.168.3.10 y 10.46.162.5. Estas direcciones IP pueden estar en el campo de origen o de destino.