Implizite vs explizite Sicherheitsrichtlinien
28918
Created On 08/25/20 22:17 PM - Last Modified 12/31/24 17:46 PM
Symptom
Eine konfigurierte Firewall ist mit zwei Sicherheitsregeln konfiguriert: Die erste Regel erlaubt "Twitter-Base", während die zweite Richtlinie den gesamten Webverkehr zulässt, aber die URL-Kategorie "Social-Networking" über einen URL-Filter blockiert. Dies bedeutet, dass Benutzer auf Twitter zugreifen können, aber nicht auf andere Social-Networking-Sites:
Richtlinien --> Sicherheit: In dieser Umgebung ist der
SSL-Forward-Proxy für die URL-Kategorie "Social-Networking" aktiviert. Die Datenverkehrsprotokolle zeigen an, dass der anfängliche Datenverkehr zu Twitter mit der zweiten Regel (Block-Social) übereinstimmt, bevor zur ersten Regel (allow-twitter) gewechselt wird, obwohl die erste Richtlinie implizit "ssl" und "Web-Browsing" zulässt.
Monitor --> Traffic --> Detailansicht (Vergrößerungsglas):
Environment
- Alle Versionen von PAN-OS
- Firewall mit anwendungsspezifischen Sicherheitsrichtlinien konfiguriert
Cause
Der Datenverkehr beginnt als Web-Browsing (oder SSL, wenn nicht entschlüsselt.) Standardmäßig entspricht die Firewall dem ersten Datenverkehr, der auf einer expliziten Sicherheitsrichtlinie basiert (falls vorhanden). Andernfalls entspricht sie der impliziten Richtlinie. Um zu demonstrieren: Wenn die zweite Regel deaktiviert ist, wird der gesamte Datenverkehr zu Twitter mit der ersten Regel abgeglichen.
Resolution
Das ist erwartungsgemäß verhalten. Nachdem der Datenverkehr identifiziert wurde, verschiebt sich die Anwendung von 'Web-Browsing' zu 'twitter-base' (in dieser Abbildung). An diesem Punkt wird eine neue Sicherheitssuche für die "neue" Anwendung ausgelöst.
Additional Information
Dies zu verstehen, kann bei der Diagnose von Problemen im Zusammenhang mit der URL-Filterung und Anwendungsverschiebungen innerhalb von Sicherheitsrichtlinien hilfreich sein.