为未知流量配置自定义应用 ID 时，将绕过威胁防护和高级威胁防护扫描

• 自定义 App-ID 配置为识别未知流量（unknown-req-tcp-payload、unknown-rsp-tcp-payload、unknown-req-udp-payload、unknown-rsp-udp-payload）
• 和
• 在自定义 App-ID 中启用“继续扫描其他应用程序”设置， 或者 将“漏洞防护”配置文件附加到安全策略，以允许使用这些自定义 App-ID 标识的流量。

• 帕洛阿尔托防火墙。
• PAN-OS 9.1 及更高版本。
• 自定义应用 ID
• 漏洞保护

我如何知道我是否受到影响？

• 第 1 步：转到 Panorama 或 FW UI 并查找使用未知流量的自定义 App-ID（GUI：对象>应用程序>使用下拉按钮以选择“自定义应用程序”。

• 单击应用程序以检查“上下文”。 以下示例显示了为定义的签名配置了未知 udp 有效负载上下文的自定义应用程序。  

• 步骤2： 检查是否启用了“继续扫描其他应用程序”设置。
  
  
  步骤3：检查漏洞配置文件是否附加到允许自定义 App-ID
  
  
  
  的安全策略规则 如果步骤 1 为 TRUE，并且 Step2 或 Step3 为 TRUE，则防火墙将受到修复的影响。 继续阅读以了解如何准备修复。

如何准备修复？

查看所有自定义 App-ID，查看它们是否满足上述条件。 使用以下选项之一进行准备。

• 选项 1（推荐）：在实验室中测试自定义 App-ID 流量：Option 1 （Recommended）： Test Custom App-ID traffic in the lab：
  1. 捕获使用此自定义 App-ID 标识的流量， 详见此处。
  2. 在没有自定义 App-ID 的情况下，在固件上的实验室环境中重播 pcap。
  3. 如果流量被标识为 unknown-tcp 或 unknown-udp ，则应该不会产生任何影响（安装内容更新后，此流量将继续使用您的自定义 App-ID 进行标识）。
  4. 如果流量被另一个 App-ID 标识，则将此新 App-ID 添加到安全策略规则中以允许此流量。
• 选项 2： 使用应用程序筛选器
• 此选项适用于自信地了解其自定义 App-ID 流量（例如，它所属的类别和子类别）的客户。 
  1. 为自定义 App-ID 适合的应用程序的类别和子类别创建应用程序筛选器。 例如，如果自定义 App-ID 流量与 OT/ICS 协议相关，请使用 App-ID 过滤器，该过滤器将从“ics-protocols”子类别中选择所有 App-ID。
  2. 接下来，使用操作“允许”将此筛选器附加到安全策略规则，并将其放在策略规则集的底部。
  3. 更新应用程序和威胁（内容）。
  4. 在安装内容更新后的几天内，查看 策略优化器中的规则使用情况统计信息。 如果流量被另一个 App-ID 标识，则将此新 App-ID 添加到安全策略规则中以允许此流量。
  5. 完成后，删除应用程序筛选器。

请确保在计划于 2023 年 10 月 17 日更新的应用程序和威胁（内容）之前应用修复程序