流量意外地与克隆的基于应用程序的规则下的基于端口的规则匹配

流量意外地与克隆的基于应用程序的规则下的基于端口的规则匹配

3814
Created On 01/15/24 16:37 PM - Last Modified 01/07/25 13:41 PM


Symptom


  • 基于端口的规则的命中次数不断增加。
  • 在基于端口的规则中,“看到的应用程序”下看不到其他应用程序。
  • 会话结束时未看到与基于端口的规则匹配的流量日志。

Environment


  • 任何Palo Alto Networks防火墙
  • 任何 PAN-OS 版本
  • 为同一流量配置两种安全策略:
    • 第一条规则是基于任何应用程序的端口。
    • 第二条规则基于具有默认/任意端口的应用程序 (APP-ID)。此规则位于基于端口的规则之上。
  • 基于应用程序的规则中配置的应用程序已隐式允许应用程序。

Cause


防火墙最初将应用程序标识为隐式允许的应用程序之一,并且策略查找与基于端口的规则相匹配,因为它是明确定义的,并且优先于基于应用程序的规则,尽管它在规则库中的位置更靠后。

识别流量后,应用程序将转移到基于应用程序的规则中定义的应用程序,并触发与基于应用程序的规则匹配的新的安全查找。

如果为此规则启用了“会话开始时记录”选项,则可以看到与隐式应用程序的基于端口的规则匹配的流量日志。

Resolution


在禁用/删除基于端口的规则之前,可以将隐式应用程序明确添加到基于应用程序的策略规则中,以确保不再有流量与基于端口的规则匹配。
如果基于端口的规则的命中计数器停止递增,那么就可以安全地禁用/删除它,因为流量将与基于应用程序的规则匹配。

Additional Information


有关隐式和显式安全策略规则的更多信息,请查看本文
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000XhUSCA0&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language