複製されたアプリケーションベースのルールの下にあるポートベースのルールに予期せず一致するトラフィック

3742

Created On 01/15/24 16:37 PM - Last Modified 01/07/25 13:40 PM

Symptom

ポートベースのルールのヒット数は増加し続けます。
ポートベースのルールの「表示されるアプリ」の下に他のアプリケーションは表示されません。
セッション終了時に、ポートベースのルールに一致トラフィックログは表示されません。

Environment

Palo Alto Networksファイアウォール
任意のPAN-OSバージョン
同じトラフィックに対して 2 つのセキュリティポリシーが構成されています。
- 最初のルールは、どのアプリケーションでもポートに基づいています。
- 2 番目のルールは、デフォルトの/any ポートを持つアプリケーション (APP-ID) に基づいています。このルールは、ポートベースのルールの上に配置されます。
アプリケーションベースのルールで構成されたアプリケーションには、暗黙的に許可されたアプリケーションがあります。

Cause

ファイアウォールは最初にアプリケーションを暗黙的に許可されたアプリケーションの 1 つとして識別し、ポリシー検索は、明示的に定義されているポートベースのルールと一致し、ルールベース内で下位にあるにもかかわらず、アプリケーションベースのルールよりも優先されます。

トラフィックが識別されると、アプリケーションはアプリケーションベースのルールで定義されたアプリケーションに移行し、アプリケーションベースのルールに一致新しいセキュリティ検索がトリガーされます。

このルールで「セッション開始時にログを記録する」オプションが有効になっている場合、暗黙的なアプリケーションのポートベースのルールに一致トラフィックログを表示できます。

Resolution

ポートベースのルールを無効化/削除する前に、暗黙的なアプリケーションをアプリケーションベースのポリシールールに明示的に追加して、ポートベースのルールに一致するトラフィックがなくなるようにすることができます。
ポートベースのルールのヒットカウンターの増加が停止した場合、トラフィックはアプリケーションベースのルールと一致するため、安全に無効化/削除できます。

Additional Information