Application Override Policyの作成方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

How to Create an Application Override Policy

https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Create-an-Application-Override-Po...

 

概要

Application Override Policy はPalo Alto Networks firewallのアプリケーション識別の仕方を変えます。 Application Overrideを Custom Applicationで設定することによって セッションをApp-ID engineによるLayer-7検知から除外することができ、firewall はセッションをステートフルインスペクションfirewallのように Layer-4までの処理しかしなくなります。 既存のアプリケーション、例えばweb browsingをApplication Overrideに使用する場合、特定のアプリケーションに一致するすべての通信この例だとweb browsing)はLayer-7検知処理されることになります。

 

Application Overrideは標準のポート番号を使用しない内部Custom ApplicationやFirewallが”unknown”と識別するcustom 定義が既に設定されている内部アプリケーションに使用する事ができます。

 

注意: 既存のアプリケーションを使用するとApplication Overrideが正常に動作しない可能性があるのでCustom Applicationの使用を推薦します。

 

参照:Tips & Tricks: How to Create an Application Override.


以下の例では, Telnetに対してApplication Overrideを設定します。

 

ステップ

Custom Applicationの作成

  1. WebUI上でObjects > Applications に行きaddをクリックします。
  2. Applicationに名前をつけます。 (“telnet”はもう使用されているので別の名前にします)この例では”telnet_override”と名前をつけます。
  3. Category, Subcategory, と Technology を選択します。
    AppOverride01.png
  4. Advanced タブでDefaults を'Port'に設定します。 (アプリケーションが使用するポートが表示されます)。
    App w port.PNG.png
  5. この例だとSignaturesを追加する必要がないので, OKをクリックし Custom Application作成を完了します。

 

Application Override Policyの作成

  1. Policies > Application Overrideへ行き、Addをクリックします。
  2. Generalタブで Policyの名前を入力します。
    Policy.PNG.png
  3. Sourceタブで Source Zoneを設定します. 送信元が固定IPの場合Source Addressを設定し、固定でない場合は”Any”と設定します。
    source.PNG.png
  4. Destinationタブで Destination Zoneを設定します. 送信先が固定IPの場合Destination Addressを設定し、固定でない場合は”Any”と設定します。
    Destination.PNG.png
  5. Protocol/Applicationタブでは ProtocolとPort number を設定し、前のステップで作成した custom application を選択します。
    Protocol.PNG.png

 

Security Policyの作成

  1. Policies > Security に行きAddをクリックします。
  2. Custom Applicationの通信が通過するZoneを設定したSecurity policy を作成します。 新規セッションは作成したCustom Applicationとして識別されます。App_Overrode.png
  3. 作成したCustom Applicationのセッションを表示するにはCLIshow session all filter application コマンドを使用します。
    例: > show session all filter application Telnet_Override