如何检测 Bittorrent 在帕洛阿尔托网络防火墙上工作?
36605
Created On 09/25/18 17:52 PM - Last Modified 06/01/23 21:11 PM
Resolution
详细
由于帕洛阿尔托网络防火墙处理检测 p2p 应用程序的方式, 用户可能会看到一个混淆的 startlog 表示允许 bittorrent, 即使存在拒绝规则并且通信实际上被拒绝。 下面是对检测如何工作的解释。
对于许多 p2p 应用程序和 skype, 我们使用预测流来预测一些基于其他会话的会话。 以 bittorrent 为例, 我们预测了许多基于 UDP 会话的 TCP 会话, 对于 emule, 一个 udp 会话会预测许多其他 emule udp 会话。 预测是作为应用程序解码器的一部分发生的。
bittorrent 的流量如下:
- UDP 会话进入帕洛阿尔托网络防火墙。
- 应用程序 id 检测到它是 bittorrent 的。
- 应用程序变得 bittorrent。
- bittorrent 解码器运行。
- 将设置 TCP 会话的预测流。
- TCP 会话到达, 并且它成为 bittorrent, 如预期。
当我们允许这样的交通时, 一切都很好。 但是, 如果用户配置的 bittorrent 被拒绝, 将发生以下情况:
- UDP 会话进入帕洛阿尔托网络防火墙.
- 应用程序 id 检测到它是 bittorrent 的。
- 应用程序变得 bittorrent, 并且被拒绝。
- Bittorrent 解码器不运行, 并且没有设置预测流。
- TCP 会话到达, 并且, 因为没有设定预测流, 它变得 "未知"。
为了克服 "未知" 的日志记录, 我们引入了一些内部应用程序 (例如位内部)。此应用程序在 UI 上被报告为 bittorrent。这就是 bittorrent 将要发生的事情:
- UDP 会话进入帕洛阿尔托网络防火墙.
- 应用程序 id 检测到它是位内部的。它在 UI 上被报告为 bittorrent (但操作仍然允许)。
- 应用程序变得有点内部。
- 位内部解码器运行。
- 将设置 TCP 会话的预测流。
- 该应用程序设置为 bittorrent。
- 如果 bittorrent 的操作被拒绝, 会话将被阻止。
- TCP 会话到达, 并且它成为 bittorrent, 如预期。
当通信量被标识为 bittorrent 时, 如果用户启用了启动日志, 并且该操作设置为 "拒绝 bittorrent", 则会显示两个用于这些 UDP 会话的日志。 一个日志说 bittorrent, 允许 (一个被报告为位内部), 另一个说 bittorrent, 下降。
虽然最初的 "允许" 日志条目可能会混淆, 但通信量实际上会被丢弃。
onwer: panagent