Tráfico que coincidente inesperadamente con una regla basada en puerto debajo de una regla basada en aplicación clonada

Tráfico que coincidente inesperadamente con una regla basada en puerto debajo de una regla basada en aplicación clonada

3726
Created On 01/15/24 16:37 PM - Last Modified 01/07/25 13:38 PM


Symptom


  • El número de aciertos de la regla basada en puerto sigue aumentando.
  • No se ven otras aplicaciones en Aplicaciones vistas en la regla basada en puerto.
  • No se ven registros de tráfico al final de la sesión que coincidente con la regla basada en puerto.

Environment


  • Cualquier firewall de Palo Alto Networks
  • Cualquier versión de PAN-OS
  • Dos políticas de seguridad configuradas para el mismo tráfico:
    • La primera regla se basa en el puerto con cualquier aplicación.
    • La segunda regla se basa en aplicaciones (APP-ID) con puertos valor predeterminado/any. Esta regla se ubica por encima de la regla basada en puerto.
  • La aplicación configurada en la regla basada en aplicaciones tiene aplicaciones permitidas implícitamente.

Cause


El cortafuegos identifica inicialmente la aplicación como una de las aplicaciones permitidas implícitamente y la búsqueda de política coincide con la regla basada en puerto tal como está definida explícitamente y tiene precedencia sobre la regla basada en aplicación , a pesar de estar más abajo en la fundamento de la regla.

Una vez identificado el tráfico, la aplicación cambia a la aplicación definida en la regla basada en la aplicación y se activa una nueva búsqueda de seguridad que coincidente con la regla basada en la aplicación .

Los registros de tráfico que coincidente con la regla basada en puerto para la aplicación implícita se pueden ver si la opción "Registrar al iniciar sesión" está habilitada para esta regla.

Resolution


Las aplicaciones implícitas se pueden agregar explícitamente a la regla de política basada en aplicación antes de deshabilitar o eliminar la regla basada en puertos para garantizar que ningún tráfico coincida más con la regla basada en puertos.
Si el contador de visitas de la regla basada en puerto deja de incrementarse, se puede deshabilitar o eliminar de manera segura ya que el tráfico coincidirá con la regla basada en aplicación .

Additional Information


Para obtener más información sobre las reglas de política de seguridad implícitas y explícitas, consulte este artículo .
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000XhUSCA0&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language