복제된 애플리케이션 기반 규칙 아래의 포트 기반 규칙 과 예기치 않게 매칭 트래픽

3726

Created On 01/15/24 16:37 PM - Last Modified 01/07/25 13:42 PM

Symptom

포트 기반 규칙 의 적중 횟수가 계속 증가합니다.
포트 기반 규칙 에 따라 표시된 앱에 다른 애플리케이션이 표시되지 않습니다.
세션 종료 시 포트 기반 규칙 매칭 트래픽 로그가 확인되지 않습니다.

Environment

모든 Palo Alto Networks 방화벽
모든 PAN-OS 버전
동일한 트래픽에 대해 구성된 두 가지 보안 정책:
- 첫 번째 규칙 모든 애플리케이션 에 적용되는 포트 기반 규칙입니다.
- 두 번째 규칙 디폴트/모든 포트를 사용하는 애플리케이션(APP-ID)을 기반으로 합니다. 이 규칙 포트 기반 규칙 위에 배치됩니다.
애플리케이션 기반 규칙 에 구성된 애플리케이션 암묵적으로 애플리케이션을 허용했습니다.

Cause

방화벽 처음에 해당 애플리케이션 암묵적으로 허용되는 애플리케이션 중 하나로 식별하고, 정책 조회(lookup) 포트 기반 규칙 명시적으로 정의되어 있고 룰베이스(rulebase) 에서 더 아래에 있음에도 불구하고 애플리케이션 기반 규칙 보다 우선순위가 높기 때문에 해당 규칙과 일치합니다.

트래픽이 식별되면 애플리케이션 애플리케이션 기반 규칙 에 정의된 애플리케이션 으로 전환되고 애플리케이션 기반 규칙 매칭 새로운 보안 조회(lookup) 트리거됩니다.

"세션 시작 시 로그" 옵션이 이 규칙 에 대해 활성화된 경우 암묵적 애플리케이션 에 대한 포트 기반 규칙 매칭 트래픽 로그를 볼 수 있습니다.

Resolution

포트 기반 규칙 비활성화/제거하기 전에 암묵적인 애플리케이션을 애플리케이션 기반 정책 규칙 에 명시적으로 추가하여 트래픽이 더 이상 포트 기반 규칙 과 일치하지 않도록 할 수 있습니다.
포트 기반 규칙 에 대한 히트 카운터가 증가하지 않으면 트래픽이 애플리케이션 기반 규칙 과 일치하므로 안전하게 비활성화하거나 제거할 수 있습니다.

Additional Information