PaloAltのPAN-OS 7.1以降ではバージョンアップに伴い特定のポリシーの動作が変更されるため、既存のポリシーが該当しているか確認が必要です。

live.paloaltonetworks.com

この変更により、サービス設定 に「application-default」が設定されている場合はアプリケーションで指定したプロトコルに応じて許可されるポート番号が自動的に決まってしまいます。(DNSでれば53番など）

上記から社内用に独自のポート番号を割り当てたアプリケーションが使用不可能になる可能性があります。やっかいなことにファイアウォールのログを見てもBlockログが表示されず、切り分けが面倒です。また、設定値を確認してもapplication-defaultで定義されたポート番号一覧は表示されないため、以下のコマンドでグループごとに確認が必要です。

#show predefined application <application>

ちなみにアプリケーションに「Any」を定義した場合、PaloAlt側で通信を独自にグループ分けし、該当グループのapplication-defaultで定義されたフィルタが実施されているような気がします。。。

PaloAltのメジャーアップデートはたまにポリシーを変更を実施しないと通信影響が出るような動作変更が入ることがあるので注意が必要です。