Palo Alto Networks Firewall- Sitzungs Übersicht

Palo Alto Networks Firewall- Sitzungs Übersicht

339104
Created On 09/25/18 19:10 PM - Last Modified 06/15/23 22:02 PM


Resolution


Übersicht

Auf einer Firewall von Palo Alto Networks wird eine Session durch zwei Uni-direktionale Ströme definiert, die jeweils durch einen 6-Tuple-Schlüssel gekennzeichnet sind: Quelladresse, Zieladresse, Quell-Port, Destination-Port, Protokoll und Sicherheitszone.

 

Neben den sechs Attributen, die eine Sitzung identifizieren, hat jede Sitzung nur wenige weitere bemerkenswerte Identifikatoren:

  • Endrechner-die Quelle IP und Ziel-IP, die als Client (Quelle IP) und Server (Destination IP) markiert werden
  • Strömungsrichtung-da jede Sitzung durch einen zwei Uni-Richtungs Fluss gekennzeichnet ist, muss jeder Fluss richtig identifiziert werden. Palo Alto Networks Firewalls wird den ersten Fluss als Client-to-Server (C2S) und den wiederkehrenden Flow als Server-to-Client (S2C) identifizieren.

 

Sitzungs Befehl anzeigen

Um alle Informationen zu den Sitzungen zu sehen, kann der Benutzer den Befehl "Show-Session" verwenden, gefolgt von der gewünschten Option:

  • > Show-Session alle zeigen alle aktuellen Sessions, die von der Firewall zum Zeitpunkt der Eingabe des Befehls bearbeitet werden.
    Hinweis: es gibt ein Limit in der Anzahl der Sitzungen, die mit dem Befehl > Show alle angezeigt werden können. Das Limit basiert auf der Byte-Größe der Sitzung, die nicht geändert werden kann.
    Weitere Informationen finden Sie im folgenden Dokument: kann das gesamte SitzungsProtokoll exportiert werden?
  • > Show Session ID [ID] zeigt detaillierte Informationen über eine Sitzung auf der Grundlage der eingegebenen Session-ID
  • > Session-Informationen zeigen die allgemeine Konfiguration auf der Firewall in Bezug auf das Sitzungsmanagement und ihre aktuellen Statistiken
  • > Session-Meter zeigt die maximale Anzahl von Sessions für jeden Vsys auf Firewalls mit mehrfacher virtueller System Fähigkeit

 

Im folgenden finden Sie eine Beispielausgabe aus dem " Show Session ID"- Befehl:

 

Im Screenshot unten finden Sie einige der wichtigsten Details einer Sitzung:

  • Session -ID-im Beispiel ist die Session-ID 524342
  • C2S Flow und S2C Flow -identifiziert den Verkehrsfluss vom Client zum Server (C2S) und vom Server zum Client (S2C).
  • Quelle und DST (Destination) Adresse mit Zone-identifiziert die Quell-und DST-Adressen für jeden Fluss der Sitzung. Im obigen Beispiel entspricht der DST IP in S2C Flow nicht der Quelle IP in C2S Flow aufgrund eines Dynamic-IP-und-Port-Quell NAT.
  • Quelle (Sport) und Zielport (dport)-identifiziert Quell-und Zielports für jeden Fluss der Session. Im Beispiel zeigen die C2S-und S2C Ströme aufgrund der konfigurierten NAT-Richtlinien verschiedene Ports.
  • src-Benutzer und DST -Benutzer-wenn User-ID auf der Firewall konfiguriert ist, würden die Benutzer identifiziert, wenn verfügbar.
  • Staat -der Stand der Sitzung. Die Staaten sind im folgenden Abschnitt definiert.
  • Typ -es gibt zwei Arten von Sitzungen: Flow und Vorhersagen.   Die Sitzungs Typen sind unten im folgenden Abschnitt definiert.

 

Sitzungs Typen, Zustände und Fahnen

Auf Palo Alto Networks Firewalls gibt es zwei Arten von Sessions:

  • Flow -reguläre Art der Sitzung, bei der der Fluss zwischen C2S und S2C (z. HTTP, Telnet, SSH).
  • VorherZusagen -dieser Typ wird auf Sitzungen angewendet, die erstellt werden, wenn layer7 Application Layer Gateway (ALG) benötigt wird. Die Anwendung wurde identifiziert, und es ist notwendig, dass eine neue Sitzung auf der Firewall ohne zusätzliche Sicherheitsregel erlaubt wird (z. FTP aktiv/passiv, sprach Protokolle h323/SIP etc.). Diese Sessions können mit einer 0 als Quelle/Ziel-IP/Port erstellt werden, da diese Informationen möglicherweise noch nicht bekannt sind. Pakete, die zu den VorherSage Sitzungen passen, werden dann in die normale FLOW-Session geändert.

 

Um einen granularen Blick auf die VorherSage (PRED)-Sessions auf der Firewall zu haben, verwenden Sie den Befehl > Session all Filter Type Vorhersagen . Der Befehl wird nur die Vorhersage Sitzung anzeigen, die derzeit auf der Firewall aktiv ist. Dieser Befehl kann nicht viele Vorhersage Sitzungen auf der Firewall zeigen, da jede Vorhersage Sitzung zu einer FLOW-Session wird, sobald Sie von einem einzigen Paket begleitet wird. Daher wird der Befehl nur die Vorhersage Sitzungen anzeigen, die derzeit anhängig sind, um mit Paketen übereinstimmen zu können.

Hinweis: die Vorhersage Sitzung jeder Anwendung hat ihre eigene Timeout-Einstellung.

 

Im folgenden Beispiel ist die Ausgabe einer PRÄDIKAT-Sitzung für FTP-aktiv-Modus erstellt:

 

Der obige Screenshot zeigt die Anzahl der Pakete als 0 für beide Richtungen und dass die Vorhersage Sitzung vom Client ausgelöst wurde.

 

Jede Sitzung wird zu jeder Zeit in einem bestimmten Zustand sein. Es gibt drei Staaten, die als stabile Staaten bekannt sind , die am meisten in der Sitzungstabelle erscheinen werden:

  • INIT -jede Sitzung beginnt standardmäßig im Init-Zustand. EINE Sitzung im INIT-Zustand ist Teil des freien Pools und kann jederzeit genutzt werden. Die Session wurde zwar schon früher genutzt, wurde nun aber wieder in den freien Pool zurückgeführt.
  • AKTIV -jede Sitzung, die zu einem bestimmten Verkehrsfluss passt, und wurde für die Inspektion und Weiterleitung verarbeitet.
  • DISCARD -Verkehr, der von einer Sitzung begleitet wurde, aber aufgrund einer Sicherheitspolitik, Bedrohungserkennung verweigert wird.

 

Die anderen Zustände einer Sitzung in der Palo Alto Networks Firewall sind: öffnen, schließen, schließen und frei. Diese Zustände werden als vergänglich bezeichnet. Sessions in vergänglichen Zuständen sind schwer zu erkennen, da Sie den Übergang zu einem der stabilen Zustände sehr schnell schaffen.

 

Unter normalen Bedingungen wird jeder Staat den folgenden Übergangs Zyklus durchlaufen: init > öffnen > aktiv > ablegen/schließen > geschlossen > kostenlos. Aus dem Freistaat wird die Session wieder in den ersten Sitzungszustand (INIT) übergehen, um den nächsten Zyklus zu starten. Der folgende Zustandsübergang stellt den Sitzungs Lebenszyklus dar:

                                           

 

Der wichtigste Zustand im Lebenszyklus ist der aktive Staat. Aus aktivem Zustand wird die Sitzung entweder auf den Ablage-oder Schließ Zustand auf der Grundlage folgender Bedingungen übergehen:

  • Wenn der Timeout der Session erreicht ist, wird die Sitzung Timeout und der Übergang zum Schließen. Session Timeout wird im folgenden Abschnitt beschrieben.
  • Wenn der Verkehr aufgrund einer Sicherheitsregel verweigert wurde oder eine Bedrohung festgestellt wurde (mit der Aktion, die eingestellt werden soll), wird die Sitzung zum Ablegen übergehen.

 

In der Ausgabe von > Show Session kann jede Sitzung mit einem Fahnen Wert identifiziert werden . Die Bedeutung jedes Sitzungs Flaggen Wertes wird unten beschrieben:

  • NS -es wurde Quelle NAT auf der Sitzung angewendet
  • ND - es wurde Destination NAT auf der Sitzung angewendet
  • NB -es gab sowohl Quelle + Destination NAT auf der Sitzung angewendet
  • Keine Fahne -auf der Sitzung wird kein NAT angewendet.

 

Zeitlimit für Sitzung

Jede Sitzung hat einen definierten Timeout-Wert, der auf dem Gerät konfigurierbar ist. Es gibt ein paar Details, die in Bezug auf den Timer einer Sitzung beobachtet werden können, indem man sich die Ausgabe des > Session-ID- Befehls anschaut. Der Screenshot unten zeigt die Ausgabe einer DNS-Session durch die Firewall:

 

 

Drei wichtige Details zum Timeout der Session sind:

  • Timeout -die spezifische Timeout für die Anwendung konfiguriert.
  • Zeit zum Leben -die Zeit bleibt, bis die Sitzung ausläuft. Im Beispiel bleiben noch 2 Sekunden, bis die Sitzung ausläuft und sich der Sitzungszustand ändert.
  • Session in Session Ager -für jede Session gibt es einen Flow Ager, der ein Alterungsprozess ist, der den Überblick über die Lebensdauer der Sessions behält. Solange die Session aktiv ist und die Zeit zum Leben nicht 0 sec erreicht hat, wird die Session in Session Ager als wahr markiert.

 

Im folgenden Beispiel sehen Sie die Ausgabe der gleichen Sitzung, aber jetzt ist die Sitzung abgelaufen (wegen des keinen Datenverkehrs, der zur Sitzung passt):

 

Sehen Sie nun, dass der Sitzungszustand geschlossen ist und auch die Sitzung in Session Ager sich falsch gedreht hat .

 

Sitzungsmanagement in HA-Einsatz

Bei Einsätzen, bei denen eine hohe VerfügBarkeit verwendet wird, müssen bestimmte aktive Sitzungen, die nicht auf der lokalen Firewall, sondern auf dem Peer-Gerät erstellt werden, zwischen Gleichaltrigen synchronisiert werden. Wenn diese Sitzungen zwischen Gleichaltrigen synchronisiert werden, werden die aktiven Sitzungen im Falle eines Scheiterns nicht verloren gehen und der Verkehrsfluss wird auf dem anderen Gerät fortgesetzt (aktiv im Falle eines aktiven/passiven Einsatzes). Weitere Informationen zu den Einsatzszenarien mit HA finden Sie im Admin-Guide im HA-Bereich.

 

Der Benutzer kann erkennen, ob eine Session nicht auf der lokalen Firewall erstellt wurde, indem er sich die Session anschaut, die von ha Peer aus > Session-ID-Ausgabe  synchronisiert wurde. EINE Sitzung, die lokal auf der Firewall erstellt wird , wird den falschen Wert haben und einer, der auf dem Peer-Gerät erstellt wird und mit der lokalen Firewall synchronisiert wird, wird den wahren Wert haben .

 

Zusätzliche info

Der Befehl "Show Session ID" zeigt weitere Informationen über den Verkehrsfluss durch die Firewall an. Während ein Großteil der zusätzlichen Informationen für die fortgeschrittene Fehlersuche von Palo Alto Networks-Unterstützungs Vertretern ist, gibt es hier drei Attribute, die für die selbstbehebung nützlich sein können:

  • Sitzung, die am Ende protokolliert werden soll-bei der Konfiguration der Sicherheitsregeln gibt es 2 Optionen für die Regel Protokollierung: am Ende (true) oder am Anfang (falsch) der Sitzung.
    In diesem Beispiel (siehe den obigen Screenshot) hat die Konfiguration festgelegt, dass die Regel am Ende protokolliert werden soll.        
  • Offload ja -markiert den Verkehr, für den die Anwendung bereits identifiziert wurde, und wird in Hardware verarbeitet.
  • Layer7 -Verarbeitung-Wenn aktiviert, dann wurde die APP-ID im Verkehrsfluss aktiviert und die Anwendung wird ständig identifiziert. Wenn layer7 processing abgeschlossen ist, dann wurde die Anwendung identifiziert.

 

Siehe auch

PAN-OS admin Guides und CLI Reference Guides in der Dokumentation

 

Besitzer: Aciobanu
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClVECA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language