暗黙的なセキュリティ ポリシーと明示的なセキュリティ ポリシー
28922
Created On 08/25/20 22:17 PM - Last Modified 12/31/24 17:46 PM
Symptom
構成されたファイアウォールは2つのセキュリティルールで構成され、最初のルールは「twitter-base」を許可し、2番目のポリシーはすべてのウェブトラフィックを許可しますが、URLフィルタを介して「ソーシャルネットワーキング」URLカテゴリをブロックします。 つまり、ユーザーはTwitterにアクセスできますが、他のソーシャルネットワーキングサイトにはアクセスできません:
Policies -->セキュリティ:
この環境では、SSLフォワードプロキシは「ソーシャルネットワーキング」のURLカテゴリに対して有効になります。 トラフィックログは、最初のポリシーで暗黙的に「ssl」と「ウェブブラウジング」が許可されている場合でも、Twitterへの最初のトラフィックが最初のルール(allow-twitter)に切り替える前に2番目のルール(Block-Social)と一致することを示しています。
監視 --> トラフィック -->詳細ビュー (虫眼鏡):
Environment
- PAN-OSのすべてのバージョン
- アプリケーション固有のセキュリティ ポリシーで構成されたファイアウォール
Cause
トラフィックは Web ブラウジング (または復号されていない場合は SSL) として開始されます。既定では、ファイアウォールは明示的なセキュリティ ポリシーに基づいて最初のトラフィックと一致します (存在する場合)。それ以外の場合は、暗黙的なポリシーと一致します。 実演するには、2 番目のルールが無効になっている場合、Twitter へのすべてのトラフィックが最初のルールで照合されます。
Resolution
これは予期される動作です。 トラフィックが識別されると、アプリケーションは「ウェブブラウジング」から「twitterベース」に移行します(この図では)。その時点で、新しいセキュリティ ルックアップが 'new' アプリケーションに対してトリガーされます。
Additional Information
これを理解することは、URL フィルタリングとセキュリティ ポリシー内のアプリケーションのシフトに関連する問題を診断する際に役立ちます。