Tips & Tricks: サービスの Application-default は何を意味するか?

告知

ATTENTION Customers, All Partners and Employees: The Customer Support Portal (CSP) will be undergoing maintenance and unavailable on Saturday, November 7, 2020, from 11 am to 11 pm PST. Please read our blog for more information.

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
Tips & Tricks: What Does Application-default Under Service Mean?
https://live.paloaltonetworks.com/t5/Learning-Articles/Tips-amp-Tricks-What-Does-Application-default...

 

fy16-tipstricks-lato.png

 

サービスの Application-default は何を意味するか?
ルールを作成する際には、ルールを構成する多くのコンポーネントがあります。よく質問される紛らわしいものの1つは、サービスの設定にある"Application Default"です。
tnt-2015-06-30-p1.png

 

"サービス/URL カテゴリ"セクションでは、アプリケーションが使用するポートを定義できます。

例: アプリケーション "web-browsing" (http)は、TCP ポート 80を使用します。
tnt-2015-06-30-p2.png

どのルールの中であっても、"サービス/URL カテゴリ"タブの下には、画面の左側にドロップ ダウン メニューがあります。

次の3つのオプションを見ることができます:

  1. Any
  2. 選択 (Select)
  3. Application-default

 

これらはどういう意味ですか?

  1. Any - これは単純に全てのポート(TCP/UDP: 1-65535)を意味します。選択したアプリケーションは、全てのプロトコルまたはポートで許可または拒否されます。
  2. 選択 (Select) - これは許可またはブロックしたいアプリケーションが使用するTCPまたはUDPのポートを正確に指定する必要があることを意味します。既存のサービスを選択するか、"サービス"または"サービス グループ"をクリックし、新しいエントリを作成します。
  3. Application-Default - これは選択したアプリケーションがPalo Alto Networksによって定義された標準ポートでのみ許可または拒否されることを意味します。アプリケーションが通常ではないポートやプロトコルで実行されることを防ぐのでこのオプションは許可ポリシーの作成において推奨されています。通常ではないポートやプロトコルの通信は、意図的ではない場合、望ましくないアプリケーションの動作や使用状況の兆候となります。

注: このオプションを使用する場合、デバイスは引き続き全てのポートで全てのアプリケーションをチェックしますが、この設定ではアプリケーションは標準ポート/プロトコルでのみ使用できます。

 

以下にDNSを例として見てみます:

tnt-2015-06-30-p3.png

最初のルールはDNS アプリケーションを許可するように設定されていますが、サービスとしてUDP ポート 53のみが設定されています。
2番目のルールはDNS アプリケーションを許可するように設定されていますが、サービスとして"application-default"が設定されています。

 

これはDNSがTCP ポート 53を使用していた場合、これが最初のルールで許可されないことのデモンストレーションです。
しかし、2番目のルールはそれを許可します。

 

DNSアプリケーションを確認する場合は、Objects > アプリケーション へ移動し、検索スペースに"DNS"と入力し、下部の一覧表示から"dns"をクリックすると、次の画面が表示されます:

tnt-2015-06-30-p4.png

アプリケーションの標準ポートが一覧表示されています:

tcp/53, udp/53, 5353

 

最初のルールではUDP ポート 53のみが許可されており、アプリケーションがTCP ポート 53やUDP ポート 5353を使用する場合は、ルールで"application-default"が使用されていないので許可されません。
これはアプリケーションをブロックするためにも使用できます。これは全てのTCPまたはUDP ポートを指定する代わりに、"application-default"を許可するほうがはるかに簡単であることを示す簡単な例です。

 

これはアプリケーションとして"any"が設定されたルールにも適用され、どのアプリケーションと識別されたとしても、そのアプリケーションでは標準ポートのみ許可されます。

 

CLIを用いてアプリケーションの標準ポートに関する詳細を表示するには以下記事を参照してください:

How to View Application-Default Ports for an Application (英文)

 

著者: Joe Delio