Políticas de seguridad implícitas frente a explícitas
28930
Created On 08/25/20 22:17 PM - Last Modified 12/31/24 17:46 PM
Symptom
Un firewall configurado está configurado con dos reglas de seguridad: la primera regla permite 'twitter-base' mientras que la segunda directiva permite todo el tráfico web, pero bloquea la categoría de URL de "redes sociales" a través de un filtro de URL. Esto significa que los usuarios podrán acceder a Twitter, pero no a cualquier otro sitio de redes sociales:
Políticas --> Seguridad:
En este entorno, el proxy de reenvío SSL está habilitado para la categoría de URL de "redes sociales". Los registros de tráfico indican que el tráfico inicial a Twitter coincide con la segunda regla (Block-Social) antes de cambiar a la primera regla (allow-twitter) aunque la primera política permite implícitamente 'ssl' y 'web-browsing'.
Monitor --> Tráfico --> vista detallada (lupa):
Environment
- Todas las versiones de PAN-OS
- Firewall configurado con directivas de seguridad específicas de la aplicación
Cause
El tráfico comienza como navegación web (o SSL cuando no se descifra.) De forma predeterminada, el firewall coincidirá con el primer tráfico basado en una directiva de seguridad explícita (si está presente.) De lo contrario, coincidirá en la directiva implícita. Para demostrar: cuando la segunda regla está deshabilitada, todo el tráfico a Twitter coincide con la primera regla.
Resolution
Este es el comportamiento esperado. Una vez identificado el tráfico, la aplicación cambia de 'web-browsing' a 'twitter-base' (en esta ilustración.) En ese momento, se desencadena una nueva búsqueda de seguridad para la aplicación 'nueva'.
Additional Information
Comprender esto puede ser útil para diagnosticar problemas relacionados con el filtrado de direcciones URL y los cambios de aplicación dentro de las directivas de seguridad.