• アプリケーション フィルタ「unknown」を使用して、unknown-tcp および unknown-udp トラフィックをブロックセキュリティポリシーを構成しました。
• 9.1.x から 10.1.x へのアップグレード後、アプリケーションが「Web ブラウジング」として識別され、セッション終了理由が「両方をリセット」であっても、インターネットにアクセスできなくなりました。

• unknown-tcp および unknown-udp 用に作成されたアプリケーション フィルタをブロックポリシーから削除すると、インターネットにアクセスできるようになりました。

• ファイアウォール
• PAN-OS バージョン: 10.1.x、10.2.x

• In the session info you could observe that the application as "web-browsing" and hitting the "block" policy.
  
  
  

• アプリケーション フィルタとして「unknown」という名前を追加すると、デコーダ名「unknown」と一致します。
• これにより、デコーダ名がアプリケーション フィルタ名として使用された場合に、ポリシーの一致が正しく行われなくなります。

1. デコーダ名と一致するアプリケーションフィルター、カスタム アプリ、アプリケーショングループの使用は避けてください。
2. デコーダ名にアンダースコアが含まれることはほとんどないため、アプリケーション フィルタ、アプリケーション グループ、カスタムアプリケーションの名前の先頭、挿入、または末尾に「1 つまたは 2 つのアンダースコア (_ または __)」を追加、挿入、または末尾に追加することで、この問題を回避できます。
3. このシナリオでは、 「不明」はファイアウォールに存在するデコーダの名前です。
4. アプリケーション フィルタに変更を加える前:

admin@Lab81-233-PA-VM# show application-filter unknown
unknown {
  category unknown;
}
Post changes made to the application filter:
admin@Lab81-233-PA-VM# show application-filter unknown-category
unknown {
  category unknown;
}

• セキュリティポリシールールを作成する

  https://docs.paloaltonetworks.com/pan-os/9-1/pan-os-admin/ポリシー/security-policy/create-a-security-policy-rule