Trafic correspondance de manière inattendue à une règle basée sur un port sous une règle basée sur une application clonée

Trafic correspondance de manière inattendue à une règle basée sur un port sous une règle basée sur une application clonée

2912
Created On 01/15/24 16:37 PM - Last Modified 01/07/25 13:35 PM


Symptom


  • Le nombre de succès de la règle basée sur le port continue d'augmenter.
  • Aucune autre application n'est visible sous Applications vues sur la règle basée sur le port.
  • Aucun journal de trafic à la fin de la session n'est observé correspondance à la règle basée sur le port.

Environment


  • N'importe quel pare-feu Palo Alto Networks
  • Toute version de PAN-OS
  • Deux politiques de sécurité configurées pour le même trafic :
    • La première règle est basée sur le port pour n'importe quelle application.
    • La deuxième règle est basée sur les applications (APP-ID) avec les ports par défaut/any. Cette règle est placée au-dessus de la règle basée sur les ports.
  • L' application configurée dans la règle basée sur l'application comporte des applications implicitement autorisées.

Cause


Le pare-feu identifie initialement l' application comme l'une des applications implicitement autorisées et la recherche de politique, règle, mesures correspond à la règle basée sur le port car elle est explicitement définie et a la priorité sur la règle basée sur application , bien qu'elle soit plus bas dans la base de règles.

Une fois le trafic identifié, l' application passe à l' application définie dans la règle basée sur l'application et une nouvelle recherche de sécurité est déclenchée correspondance à la règle basée sur application .

Les journaux de trafic correspondance à la règle basée sur le port pour l' application implicite peuvent être vus si l'option « Journal au démarrage de la session » est activée pour cette règle.

Resolution


Les applications implicites peuvent être explicitement ajoutées à la règle de politique basée sur application avant de désactiver/supprimer la règle basée sur le port pour garantir qu'aucun trafic ne correspond plus à la règle basée sur le port.
Si le compteur de hits pour la règle basée sur le port cesse d'augmenter, il peut être désactivé/supprimé en toute sécurité car le trafic correspondra à la règle basée sur application .

Additional Information


Pour plus d'informations sur les règles de sécurité implicites et explicites, consultez cet article .
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000XhUSCA0&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language