Ok, melanjutkan tulisan saya sebelumnya terkait pengenalan app-id pada next generation firewall, tulisan seblumnya anda bisa buka disini. Nah jika anda sudah baca atau sudah memahami apa itu app-id. Langsung saja kita lihat list application yang ada di firewall palo alto.
Bisa anda lihat sperti pada gambar di atas, ada banyak list application yang sudah ada di firewall palo alto, atau anda juga bisa menambah application baru atau custom application. appliation pada firewall, dikelompokkan berdasarkan category, sub-category, technology, risk maupun karakteristik. Anda bisa melihat secara detail dari setiap kategory dengan meng-klik langsung dari nama kategorynya. saya contohkan, saya pilih email kategory.
Bisa anda lihat detailnya sperti di atas, sbg contoh yang saya tampilkan adalah aplikasi email sperti gmail, di dalamnya ada beberapa sub aplikasi lagi misalnya gmail-downloading, gmail-enterprise, posting, uploading. Jadi jika memang policy di perusahaan anda cukup ketat, anda bisa melakukan kontrol penuh terhadap aplikasi tersebut.
Ok, anda tau cara cek atau liat list application nya, skrg mari kita lihat cara konfig di rule policynya. Pada kesempatan ini saya coba buat policy untuk allow network LAN untuk akses Internet, tapi tidak bisa melakukan streaming atau uploading video di youtube. Langkah pertama adalah create terlebih dahulu rule allow any ke internet.
Application dan Service di buat any saja :). Lalu action pilih permit. Selanjutnya anda buat spesifik rule untuk blocking youtbe streaming dan upload dari LAN ke Internet.
Pada menu Firewall–> Add (+), lengkapi policy name, source dan destination, lalu pada menu application, pilih opsi add (+), ketik youtube, lalu pilih youtube streaming dan uploading. maka hasilnya sperti berikut ini.
Jangan lupa di commit yah 🙂
Jadi dengan rule yang di create sperti di atas, expected resultnya adalah anda bisa membuka youtube.com tapi anda tidak bisa melakukan streaming atapun upload video anda ke youtube.
Demikian contoh cara create rule policy based on application (bukan based on port). Jika ada pertanyaan anda bisa meninggalkan komentar dibawah tulisan ini hehe.
Komentar