vue d'ensemble de la session du pare-feu Palo Alto Networks

vue d'ensemble de la session du pare-feu Palo Alto Networks

339102
Created On 09/25/18 19:10 PM - Last Modified 06/15/23 22:02 PM


Resolution


Vue d’ensemble

Sur un pare-feu de Palo Alto Networks, une session est définie par deux flux unidirectionnels identifiés par une clé de 6 tuples: adresse source, adresse de destination, port source, port de destination, protocole et zone de sécurité.

 

Outre les six attributs qui identifient une session, chaque session a peu d'identificateurs plus notables:

  • End Hosts-la source IP et IP de destination qui sera marqué comme client (source IP) et le serveur (destination IP)
  • Sens d'écoulement-puisque chaque session est identifiée par un écoulement unidirectionnel de deux, chaque écoulement doit être correctement identifié. Les pare-feu de Palo Alto Networks identifient le premier flux en tant que client-serveur (C2S) et le flux de retour en tant que serveur-à-client (S2C).

 

Afficher la commande de session

Pour afficher les informations relatives aux sessions, l'utilisateur peut utiliser la commande > show session suivie de l'option souhaitée:

  • > Show session tous afficheront toutes les sessions en cours qui sont traitées par le pare-feu au moment où la commande est entrée.
    Remarque: il y a une limite dans le nombre de sessions qui peuvent être affichées avec la commande > show session All . La limite est basée sur la taille d'octet de la session qui ne peut pas être modifiée.
    Pour plus d'informations, reportez-vous au document suivant: le journal de session     entier peut-il être exporté?
  • > Show session ID [id] affichera des informations détaillées sur une session en fonction de l'ID de session entré
  • > Show session info affiche la configuration générale sur le pare-feu concernant la gestion des sessions et leurs statistiques actuelles
  • > afficher le compteur de session affichera le nombre maximal de sessions pour chaque VSYS sur les pare-feu avec plusieurs fonctionnalités du système virtuel

 

Voici un exemple de sortie de la commande > show session ID :

 

Dans la capture d'écran ci-dessous, identifier certains des détails importants d'une session:

  • ID de session-dans L'exemple, L'Id de session est 524342
  • flux C2S et flux S2c -identifie le flux de trafic du client au serveur (C2S) et du serveur au client (S2C).
  • Adresse source et DST (destination) avec zone-identifie les adresses source et DST pour chaque flux de la session. Dans L'exemple ci-dessus, l'ip DST dans le flux S2C ne correspond pas à l'ADRESSE IP source dans le flux C2S en raison d'un NAT source dynamique-IP-et-port.
  • Source (sport) et port de destination(dport)-identifie les ports source et de destination pour chaque flux de la session. Dans L'exemple, les flux C2S et S2C montrent des ports différents en raison de la stratégie NAT configurée.
  • utilisateur SRC et DST utilisateur -si l'ID utilisateur est configuré sur le pare-feu, les utilisateurs seront identifiés s'ils sont disponibles.
  • état -l'état de la session. Les États sont définis ci-dessous, dans la section suivante.
  • type -il y a 2 types de sessions: Flow et Predict.   Les types de session sont définis ci-dessous, dans la section suivante.

 

Types de session, États et indicateurs

Sur les pare-feu de Palo Alto Networks, il existe deux types de sessions:

  • Flux -type régulier de session où le flux est le même entre C2S et S2C (ex. HTTP, Telnet, SSH).
  • Predict -ce type est appliqué aux sessions qui sont créées lorsque Layer7 Application Layer Gateway (ALG) est requise. L'application a été identifiée et il est nécessaire d'autoriser une nouvelle session sur le pare-feu sans aucune règle de sécurité supplémentaire (ex. FTP active/passive, Voice Protocols H323/SIP etc.) Ces sessions peuvent être créées avec un 0 comme IP source/destination/port, puisque cette information peut ne pas être encore connue. Les paquets qui correspondent aux sessions de prédiction se transforment ensuite en session normale de flux.

 

Afin d'avoir une vue granulaire des sessions Predict (PRED) sur le pare-feu, utilisez la commande > show session All type de filtre Predict . La commande n'affichera que la session de prédiction actuellement active sur le pare-feu. Cette commande peut ne pas afficher de nombreuses sessions de prédiction sur le pare-feu en raison du fait que chaque session de prédiction deviendra une session de flux une fois qu'il sera apparié par un seul paquet. Par conséquent, la commande affiche uniquement les sessions de prédiction qui sont actuellement en attente pour être assorties par paquets.

Remarque: la session de prédiction de chaque application a son propre paramètre de délai d'attente.

 

Dans L'exemple suivant est la sortie d'une session de préDICTION créée pour le mode actif FTP:

 

La capture d'écran ci-dessus montre le nombre de paquets comme 0 pour les deux directions et que la session de prédiction a été déclenchée par le client.

 

Chaque session sera dans un certain État à un moment donné. Il ya trois États, savoir que les États stables , qui apparaîtra le plus dans la table de session:

  • INIT -chaque session commence, par défaut, dans l'ÉTAT init. UNE session dans l'état INIT fait partie de la piscine libre et peut être utilisée à tout moment. La session peut être utilisée précédemment, mais est maintenant retournée dans le pool libre.
  • ACTIVE -toute session qui correspond à un flux de trafic particulier, et a été traitée pour l'inspection et le transfert.
  • Ignorer -trafic qui a été mis en correspondance par une session mais qui est refusé en raison d'une stratégie de sécurité, détection de menace.

 

Les autres États d'une session dans le pare-feu de Palo Alto Networks sont: ouverture, fermeture, fermé et libre. Ces États sont appelés transitoires . Les sessions dans les États transitoires sont difficiles à voir car elles font la transition à L'un des États stables très rapidement.

 

Dans des conditions normales, chaque État passe par le cycle de transition suivant: init > ouverture > active > écart/fermeture > fermé > gratuit. De l'état libre, la session se déplace de nouveau à l'état initial de session (INIT) pour commencer le cycle suivant. La transition d'état suivante représente le cycle de vie de la session:

                                           

 

L'état le plus important dans le cycle de vie est l'état actif. À partir de l'état actif, la session va passer à l'état de suppression ou de fermeture en fonction des conditions suivantes:

  • Si le délai d'attente de la session a été atteint, la session sera timeout et la transition à la fermeture. Le délai d'expiration de session est décrit dans la section suivante.
  • Si le trafic a été refusé en raison d'une règle de sécurité ou si une menace a été détectée (avec l'action définie sur Drop), la session va passer à l'abandon.

 

Dans la sortie de > Show session, toutes les sessions peuvent être identifiées par une valeur d'indicateur . La signification de chaque valeur d'indicateur de session est décrite ci-dessous:

  • NS -il y a eu la source NAT appliquée sur la session
  • ND - il y a eu la destination NAT appliquée sur la session
  • NB -il a été à la fois source + NAT destination appliquée sur la session
  • Aucun drapeau -il N'y a aucun NAT appliqué sur la session.

 

Délai d'expiration de session

Chaque session a une valeur de délai d'attente définie qui est configurable sur l'appareil. Il ya quelques détails qui peuvent être observés concernant la minuterie d'une session en regardant la sortie de la commande > Show session ID . La capture d'écran ci-dessous montre la sortie d'une session DNS via le pare-feu:

 

 

Trois détails significatifs sur le délai d'expiration de la session sont:

  • Timeout -le délai d'attente spécifique configuré pour l'application.
  • Temps de vivre -le temps restant jusqu'à ce que la session expire. Dans L'exemple, il reste 2 secondes jusqu'à ce que la session expire et que l'état de session change.
  • Session en session Agere -pour chaque session il ya un flux Agere, qui est un processus de vieillissement qui maintient la trace de la durée de vie des sessions. Tant que la session est active et que le temps de vie n'atteint pas 0 sec, la session de l'agere de session sera marquée comme true.

 

Dans L'exemple suivant, consultez la sortie de la même session, mais maintenant la session a expiré (en raison d'aucun trafic correspondant à la session):

 

Maintenant, voir que l'état de session est fermé et aussi la session dans l'agere session a tourné à false.

 

Gestion de session dans le déploiement de HA

Dans les déploiements où la haute disponibilité est utilisée, certaines sessions actives qui ne sont pas créées sur le pare-feu local, mais sur le périphérique homologue doivent être synchronisées entre homologues. Si ces sessions sont synchronisées entre pairs, en cas de basculement, les sessions actives ne seront pas perdues et le flux de trafic continuera sur L'autre périphérique (actif en cas de déploiement actif/passif). Pour plus de détails sur les scénarios de déploiement concernant HA, veuillez consulter le guide D'Administration à la section HA.

 

L'utilisateur peut dire si une session n'a pas été créée sur le pare-feu local en regardant la session synchronisée de ha Peer à partir de > Show session ID desortie.  Une session créée localement sur le pare-feu aura la valeur false et L'autre créée sur le périphérique homologue et synchronisée avec le pare-feu local aura la valeur true.

 

Plus d'infos

La commande > show session ID affiche d'autres informations concernant le flux de trafic à travers le pare-feu. Bien que la plupart des informations supplémentaires sont pour le dépannage avancé par les représentants de Palo Alto réseaux de soutien, voici trois attributs qui peuvent être utiles pour l'auto-dépannage:

  • Session à enregistrer à la fin -lors de la configuration des règles de sécurité, il existe 2 options pour l'enregistrement des règles: à la fin (true) ou au début (false) de la session.
    Dans cet exemple (voir la capture d'écran ci-dessus), la configuration a spécifié que la règle doit être consignée à la fin.        
  • Déchargement oui -marque le trafic pour lequel l'application a déjà été identifiée et elle sera traitée dans le matériel.
  • Layer7 Processing -S'il est activé, app-ID a été activé sur le flux de trafic et l'application est constamment identifiée. Si le traitement Layer7 est défini sur terminé, l'application a été identifiée.

 

Voir aussi

Guides d'Administration PAN-OS et guides de référence CLI dans la documentation

 

propriétaire : aciobanu
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClVECA0&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language