Datenverkehr, der unerwartet einer portbasierten Regel unterhalb einer geklonten anwendungsbasierten Regel Übereinstimmung

Datenverkehr, der unerwartet einer portbasierten Regel unterhalb einer geklonten anwendungsbasierten Regel Übereinstimmung

2942
Created On 01/15/24 16:37 PM - Last Modified 01/07/25 13:37 PM


Symptom


  • Die Trefferzahl der portbasierten Regel steigt ständig an.
  • Unter „Angesehene Apps“ der portbasierten Regel werden keine anderen Anwendungen angezeigt.
  • Es werden keine Verkehrsprotokolle am Sitzung angezeigt, die der portbasierten Regel Übereinstimmung .

Environment


  • Jede Palo Alto Networks Firewall
  • Jede PAN-OS-Version
  • Zwei für denselben Datenverkehr konfigurierte Sicherheitsrichtlinien:
    • Die erste Regel ist bei jeder Anwendung portbasiert.
    • Die zweite Regel basiert auf Anwendungen (APP-ID) mit Standard(-)/beliebigen Ports. Diese Regel wird über der portbasierten Regel platziert.
  • Die in der anwendungsbasierten Regel konfigurierte Anwendung verfügt implizit über zugelassene Anwendungen.

Cause


Die Firewall identifiziert die Anwendung zunächst als eine der implizit zugelassenen Anwendungen und die Richtlinie stimmt mit der portbasierten Regel überein, da diese explizit definiert ist und Vorrang vor der Anwendung Regel hat, obwohl sie sich weiter unten in der Regelwerk befindet.

Nachdem der Datenverkehr identifiziert wurde, wechselt die Anwendung zu der in der anwendungsbasierten Regel definierten Anwendung und es wird eine neue Suche ausgelöst, die der Anwendung Regel Übereinstimmung .

Verkehrsprotokolle, die der portbasierten Regel für die implizite Anwendung Übereinstimmung , können angezeigt werden, wenn die Option „Beim Sitzungsstart protokollieren“ für diese Regel aktiviert ist.

Resolution


Die impliziten Anwendungen können explizit zur Anwendung Richtlinienregel hinzugefügt werden, bevor die portbasierte Regel deaktiviert/entfernt wird, um sicherzustellen, dass kein Datenverkehr mehr der portbasierten Regel entspricht.
Wenn der Trefferzähler für die portbasierte Regel nicht mehr hochzählt, kann er problemlos deaktiviert/entfernt werden, da der Datenverkehr der Anwendung Regel entspricht.

Additional Information


Weitere Informationen zu impliziten und expliziten Richtlinie finden Sie in diesem Artikel .
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000XhUSCA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language