Politiques de sécurité implicites vs explicites
28944
Created On 08/25/20 22:17 PM - Last Modified 12/31/24 17:46 PM
Symptom
Un pare-feu configuré est configuré avec deux règles de sécurité : la première règle permet la « base twitter » tandis que la deuxième stratégie permet tout le trafic Web, mais bloque la catégorie d’URL « réseautage social » via un filtre URL. Cela signifie que les utilisateurs seront en mesure d’accéder à Twitter, mais pas à d’autres sites de réseautage social:
Politiques --> Sécurité:
Dans cet environnement, proxy avant SSL est activé pour la catégorie URL « réseautage social ». Les journaux de trafic indiquent que le trafic initial vers Twitter correspond à la deuxième règle (Block-Social) avant de passer à la première règle (autoriser-twitter) même si la première politique permet implicitement « ssl » et « web-navigation.
Moniteur --> Trafic --> vue détaillée (loupe):
Environment
- Toutes les versions de PAN-OS
- Pare-feu configuré avec des stratégies de sécurité spécifiques à l’application
Cause
Le trafic commence comme la navigation web (ou SSL lorsqu’il n’est pas décryptage.) Par défaut, le pare-feu correspondra au premier trafic en fonction d’une stratégie de sécurité explicite (le cas présent).) Dans le cas contraire, il correspondra à la politique implicite. Pour démontrer : lorsque la deuxième règle est désactivée, tout le trafic vers Twitter est apparié sur la première règle.
Resolution
C'est le comportement attendu. Une fois le trafic identifié, l’application passe de la « navigation web » à « twitter-base » (dans cette illustration.) À ce stade, une nouvelle recherche de sécurité est déclenchée pour la « nouvelle » application.
Additional Information
Comprendre cela peut être utile pour diagnostiquer les problèmes liés au filtrage des URL et aux changements d’application dans les stratégies de sécurité.