如何缓解 unknown-tcp 或 unknown-udp 流量的增加

17709

Created On 01/11/24 21:16 PM - Last Modified 02/02/24 05:45 AM

Objective

检查防火墙系统日志：MONITOR>Logs> Traffic，并使用（ app eq 'unknown-tcp' ）或（app eq 'unknown-udp'） 搜索过滤器。定义防火墙尚未识别其应用程序的流量（确定其源区域、源 IP 地址、目标区域、目标 IP 地址、目标端口等）。
如果防火墙先前正确识别了已定义流量的应用，然后突然停止识别：
1. 检查防火墙上的内容或应用程序版本是否为最新版本： 设备>动态更新 ，然后：
  1. 应用程序和威胁（适用于安装了有效 威胁防护 许可证的防火墙）
  2. 应用程序（适用于没有 威胁防护 许可证的防火墙）。
2. 如果需要更新内容或应用程序版本，请参阅安装内容更新。
3. 报告应用程序的错误识别。
如果防火墙从未识别过已定义流量的应用，则根据用例：
1. 为该流量创建客户应用程序，请参阅专业提示：未知应用程序以及如何为此流量创建应用程序覆盖。
2. 向 Palo Alto Networks 请求新的 app-id 用于他的流量。