隐式安全策略与显式安全策略
28902
Created On 08/25/20 22:17 PM - Last Modified 12/31/24 17:46 PM
Symptom
配置的防火墙配置了两个安全规则:第一个规则允许"twitter 基",而第二个策略允许所有 Web 流量,但通过 URL 筛选器阻止"社交网络"URL 类别。 这意味着用户将能够访问Twitter,但无法访问任何其他社交网站:
策略 -->安全:
在此环境中,SSL转发代理为"社交网络"URL 类别启用。 流量日志指示,在切换到第一个规则(允许-twitter)之前,Twitter 的初始流量与第二个规则(Block-Social)匹配,即使第一个策略隐式地允许"ssl"和"Web 浏览"。
监视器 -- >流量 -- >视图(放大镜):
Environment
- PAN-OS 的所有版本
- 使用特定于应用程序的安全策略配置的防火墙
Cause
流量以 Web 浏览(或不解密时 SSL)开始。默认情况下,防火墙将基于显式安全策略匹配第一个流量(如果存在)。否则,它将与隐式策略匹配。 演示:禁用第二条规则时,第一条规则将匹配到 Twitter 的所有流量。
Resolution
这是预期的行为。 识别流量后,应用程序从"Web 浏览"转移到"twitter 基"(如图所示)。此时,将触发"新"应用程序的新安全查找。
Additional Information
了解这一点有助于诊断与 URL 筛选和安全策略中的应用程序转变相关的问题。