当我们在阻止规则中添加未知的 TCP/UDP应用程序过滤器时,所有应用程序流量都会被阻止

当我们在阻止规则中添加未知的 TCP/UDP应用程序过滤器时,所有应用程序流量都会被阻止

5598
Created On 04/25/23 05:35 AM - Last Modified 01/07/25 03:18 AM


Symptom


  • 我们已经配置了安全策略,使用应用程序过滤器“未知”来阻止未知的 TCP 和未知的 UDP 流量。 图片.png
  • 9.1.x 升级到 10.1.x后,我们无法访问互联网,即使应用程序被识别为“网页浏览”并且会话结束原因是“重置两者”
image.png
  • 当为未知的 TCP 和未知的 UDP 创建的应用程序过滤器从阻止策略中删除时,我们就可以访问互联网了。

Environment


  • 防火墙
  • PAN OS 版本:10.1.x、10.2.x

Cause


  • In the session info you could observe that the application as "web-browsing" and hitting the "block" policy.
image.png
  • 当我们将名称“unknown”添加为应用程序过滤器时,它与解码器名称“unknown”匹配。
  • 当解码器名称用作应用程序过滤器名称时,这将导致错误的策略匹配。

Resolution


Target fix version PAN-OS 11.1.0
  1. 避免使用与解码器名称匹配的应用程序过滤器、自定义应用程序和应用程序组。
  2. 我们可以通过在应用程序过滤器、应用程序组和自定义app名称前面添加、插入或附加“一个或两个下划线(_ 或 __)”来避免这种情况,因为解码器名称很少包含下划线。
  3. 在这种情况下, “未知”是防火墙中存在的解码器的名称。
  4. 对应用程序过滤器进行更改之前:
admin@Lab81-233-PA-VM# show application-filter unknown
unknown {
  category unknown;
}
Post changes made to the application filter:
admin@Lab81-233-PA-VM# show application-filter unknown-category
unknown {
  category unknown;
}


Additional Information


  • 创建安全策略规则

    https://docs.paloaltonetworks.com/pan-os/9-1/pan-os-admin/策略/security-policy/create-a-security-policy-rule
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kHkECAU&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language