如何检测 Bittorrent 在帕洛阿尔托网络防火墙上工作？

详细

由于帕洛阿尔托网络防火墙处理检测 p2p 应用程序的方式, 用户可能会看到一个混淆的 startlog 表示允许 bittorrent, 即使存在拒绝规则并且通信实际上被拒绝。  下面是对检测如何工作的解释。

对于许多 p2p 应用程序和 skype, 我们使用预测流来预测一些基于其他会话的会话。  以 bittorrent 为例, 我们预测了许多基于 UDP 会话的 TCP 会话, 对于 emule, 一个 udp 会话会预测许多其他 emule udp 会话。  预测是作为应用程序解码器的一部分发生的。

bittorrent 的流量如下:

1. UDP 会话进入帕洛阿尔托网络防火墙。
2. 应用程序 id 检测到它是 bittorrent 的。
3. 应用程序变得 bittorrent。
4. bittorrent 解码器运行。
5. 将设置 TCP 会话的预测流。
6. TCP 会话到达, 并且它成为 bittorrent, 如预期。

当我们允许这样的交通时, 一切都很好。  但是, 如果用户配置的 bittorrent 被拒绝, 将发生以下情况:

1. UDP 会话进入帕洛阿尔托网络防火墙.
2. 应用程序 id 检测到它是 bittorrent 的。
3. 应用程序变得 bittorrent, 并且被拒绝。
4. Bittorrent 解码器不运行, 并且没有设置预测流。
5. TCP 会话到达, 并且, 因为没有设定预测流, 它变得 "未知"。

为了克服 "未知" 的日志记录, 我们引入了一些内部应用程序 (例如位内部)。此应用程序在 UI 上被报告为 bittorrent。这就是 bittorrent 将要发生的事情:

1. UDP 会话进入帕洛阿尔托网络防火墙.
2. 应用程序 id 检测到它是位内部的。它在 UI 上被报告为 bittorrent (但操作仍然允许)。
3. 应用程序变得有点内部。
4. 位内部解码器运行。
5. 将设置 TCP 会话的预测流。
6. 该应用程序设置为 bittorrent。
7. 如果 bittorrent 的操作被拒绝, 会话将被阻止。
8. TCP 会话到达, 并且它成为 bittorrent, 如预期。

当通信量被标识为 bittorrent 时, 如果用户启用了启动日志, 并且该操作设置为 "拒绝 bittorrent", 则会显示两个用于这些 UDP 会话的日志。  一个日志说 bittorrent, 允许 (一个被报告为位内部), 另一个说 bittorrent, 下降。

虽然最初的 "允许" 日志条目可能会混淆, 但通信量实际上会被丢弃。

onwer: panagent