Вопрос или проблема
Я столкнулся с странной проблемой на нашем файрволе Palo Alto и мог бы использовать совет. У нас настроена политика безопасности, разрешающая трафик только на портах 21 (FTP) и 22 (SSH). Поле приложения установлено в любое, а поле службы явно ограничивает трафик портами 21 и 22. Однако я заметил, что файрвол позволяет трафик на порту 6667 (обычно ассоциируемом с IRC). Это не имеет смысла для меня, так как порт 6667 не входит в разрешенные службы в этой политике, и я ожидал, что он будет заблокирован. Я уже дважды проверил порядок правил политики, и нет более широких правил, которые бы переопределяли это. Журналы показывают, что трафик разрешается и определяется как FTP, что кажется странным, учитывая номер порта. Может ли это быть связано с тем, как работает поле приложения “любой”, или есть что-то еще, что я упускаю?
Ответ или решение
Проблема с политиками безопасности Palo Alto: разрешение порта, несмотря наRestrictive policy
### Введение
Ваша ситуация с файрволом Palo Alto, когда трафик на Port 6667 (обычно используемый для протокола IRC) разрешен, несмотря на наличие политики, ограничивающей использование только портов 21 (FTP) и 22 (SSH), может вызывать недоумение. Давайте разберем возможные причины этого поведения и предложим пути решения.
### 1. Возможные причины
#### 1.1. Применение поля “Any” в режиме “Приложение”
Одной из главных причин, почему ваш файрвол может разрешать трафик на порту 6667, является использование в политике поля “Any” для приложения. При выборе поля “Any” Palo Alto может идентифицировать приложение и сессии, соответствующие этому правилу, даже если они используют порты, не указанные в секции “Сервис”.
В вашем случае, если трафик на порту 6667 ошибочно идентифицируется как FTP, это может происходить из-за того, что Palo Alto использует метод идентификации, который не всегда приводит к правильному определению протокола.
#### 1.2. Обнаружение приложений
На некоторых версиях прошивки Palo Alto могут возникать случаи, когда трафик определенного приложения не соответствует порту, который он фактически использует. Это может происходить из-за старой базы сигнатур или неправильной идентификации приложения. В этом случае ваш трафик на IRC может быть занят под неправильно определенное приложение на FTP.
#### 1.3. Обширные правила политики
Хотя вы уже проверили порядок правил и не нашли более широких политик, стоит обратить внимание на возможные правила, которые могут иметь более низкий приоритет, но все же предопределять разрешения в других условиях (например, при использовании профилей безопасности или правил NAT).
### 2. Рекомендации
#### 2.1. Проверьте идентификацию приложений
Рассмотрите возможность выполнения анализа захваченного трафика. Убедитесь, что Palo Alto правильно определяет приложения. Если проблема сохраняется, попробуйте запросить обновление баз данными сигнатур на вашем устройстве или вручную настроить правила идентификации приложений.
#### 2.2. Измените политику на более строгую
Смотрите возможности изменения политики так, чтобы определять трафик на основе приложения и порта с более высокой точностью. Вы можете создать более строгие правила, которые будут явно указывать приложения и порты, которые вы хотите разрешать.
#### 2.3. Логи и отладка
Проведите анализ логов для проверки, какие именно приложения и порты были использованы в рамках политики. Используйте средства отладки, чтобы проследить путь пакетов, который проходит через фаервол, и чтобы увидеть, как идентификация и обработка производятся на уровне правил.
### Заключение
Проблема, с которой вы столкнулись, может быть результатом неправильной идентификации приложений и недостатков в настройках политик. Обновление баз сигнатур и изменение правил идентификации может помочь разрешить текущую проблему. Важно следить за верностью настройки правил на вашем устройстве Palo Alto, чтобы обеспечить защиту вашей сети. Если вам необходима более подробная поддержка, может быть целесообразно обратиться к техническому специалисту или в службу технической поддержки Palo Alto.