PaloAltoのアプリケーション識別の依存関係

スポンサーリンク
スポンサーリンク

PaloAltoのアプリケーション識別の依存関係

PaloAltoではアプリケーション識別を行うために、ある程度通信を泳がせ、その間に識別をします。そのため、通常のFWと異なり、TCPコネクションを張った後に通信を切断する、ということもあり得ます。

また、facebookなどの識別も行いますが、その際はhttp通信がまず行われ、その後にfacebookかどうかの判定を行います。

このような場合、App「facebook-base」はApp「web-browsing(http)」に依存している、と呼びます。

PaloAltoの古いPAN-OSだと、セキュリティポリシーを書く際にfacebookだけではダメで、facebook-baseとweb-browsingを両方記載する必要がありました。

しかしPAN-OS 5.0以降では、web-browsingのような一部の基本的なアプリケーションについては、依存関係があっても明示的に書かなくてもよくなりました。つまり、facebook-baseだけ指定すればよいのです。

これにより、セキュリティが格段に向上しました。なぜなら、facebookを識別出来たとしても、今まではfacebookだけを狙って拒否 or 許可、というのができなかったからです。(httpも道連れに拒否 or 許可設定となる)

依存関係自体は下記ページで確認できますが、このページには明示すべきか否かは書かれていません。

https://applipedia.paloaltonetworks.com/

そこで、以下手順での確認が必要となります。

  1. PaloAltoにCLIでログインする
  2. # show predefined application <name-of-app>を打つ
  3. 「use-applications」と「implicit-use-applications」の項目を確認する

2の<name-of-app>はfacebook-baseなどのアプリケーション名を入れます。

3について、「use-applications」は依存しているアプリ名、「implicit-use-applications」は依存しており、かつ明示せずともよいアプリ名を指しています。つまり、「use-applications」と「implicit-use-applications」が同じであれば明示的に書く必要はなく、「implicit-use-applications」の項目が無い場合は全て明示的に書く必要があります。

PaloAltoの勉強については以下書籍がお薦めです。

スポンサーリンク
スポンサーリンク
スポンサーリンク

シェアする

  • このエントリーをはてなブックマークに追加

フォローする

スポンサーリンク
スポンサーリンク