从用户 ID 代理中看到的意外通信量

问题

在 UDP 端口135和137上, 从用户 ID 代理中看到意外的通信量。

• 该应用程序被列为不完整、msrpc 或 netbios ns。
• 目标似乎是随机的公共 IP 地址。
• 在代理程序的事件查看器下, 系统日志中有许多事件10009事件 DCOM 事件。

原因

如果在不受信任 (面向公共的) 区域上启用了用户 id, 并且在用户 id 代理上启用了 WMI 探测, 则可能会发生此问题。出现此问题的原因是, 来自公共面向区域的任何入站连接可能都是未知的 IP 地址, 因为在此区域上启用了用户 ID, 帕洛阿尔托网络防火墙将尝试标识源 IP 地址的用户映射。由于在防火墙或用户 ID 代理上不存在映射, 因此代理将尝试通过 WMI 探测来解析 IP 用户映射, 这很可能会失败。这可能会导致防火墙和代理的性能问题。

生成并发送到公共面向区域的通信量如下所示, 请参阅目的地为随机公共 IP 地址的通信, 并将其指定到端口 137, 应用程序是 netbios ns:

如下所示, 请参阅应用程序 msrpc 的通信量, 有时不完整:

解决办法

不要在公共面向区域上启用用户 ID。在大多数情况下, 只应在受信任或内部区域上启用用户 ID。如果在公共面向区域上启用了用户 ID, 则通过进入网络 > 区域 >> 并单击不信任区域并取消选中 "启用用户标识" 来禁用它:

最后的区域配置应与下面的示例类似:

所有者： jteetsel