パロアルトネットワークファイアウォールセッションの概要
Resolution
概要
パロアルトネットワークファイアウォールでは、セッションは、ソースアドレス、宛先アドレス、送信元ポート、宛先ポート、プロトコル、およびセキュリティゾーンの6組のキーによって一意に識別される2つの単一方向のフローによって定義されます。
セッションを識別する6つの属性に加えて、各セッションにはさらに注目すべき識別子がいくつかあります。
- エンドホスト-クライアント (ソース ip) とサーバー (宛先 ip) としてマークされますソース ip アドレスと宛先 ip
- フロー方向-各セッションは2つの単一方向のフローによって識別されるため、各フローを適切に識別する必要があります。パロアルトネットワークファイアウォールは、クライアントからサーバー (c2s) としての最初のフローと、サーバーからクライアント (s2c) として返されるフローを識別します。
セッションの表示コマンド
セッションに関連する情報を表示するには、[>セッションの表示]コマンドの後に目的のオプションを指定します。
- > [セッションをすべて表示] コマンドが入力された時点で、ファイアウォールによって処理される現在のすべてのセッションが表示されます。
注: [セッションを すべて表示] コマンド で表示できるセッション数には制限があります。制限は、変更できないセッションのバイトサイズに基づいています。
詳細については、次のドキュメントを参照してください。セッションログ全体をエクスポートできますか。 - > セッション id [id] を表示すると、入力したセッション id に基づいてセッションの詳細情報が表示されます。
- > セッション情報を表示すると、セッション管理とその現在の統計に関するファイアウォールの全般的な設定が表示されます。
- > 表示セッションメーターは、複数の仮想システム機能を持つファイアウォール上の各 VSYS のセッションの最大数を表示します
次に、> [セッション id の表示] コマンドの出力例を示します。
以下のスクリーンショットで、セッションの重要な詳細をいくつか特定します。
- セッション id -例では、セッション id は524342です。
- c2s フローとs2c フロー -クライアントからサーバー (c2s) およびサーバーからクライアント (s2c) へのトラフィックのフローを識別します。
- [ソース] と [ dst (宛先)] アドレス (ゾーン)-セッションの各フローについて、ソースと dst のアドレスを識別します。上記の例では、s2c フローの dst ip は、動的 ip およびポートソース NAT による c2s フローのソース ip と一致しません。
- ソース (スポーツ) と宛先ポート (dport)-セッションの各フローについて、送信元と送信先のポートを識別します。この例では、構成された NAT ポリシーによって、c2s と s2c フローが異なるポートを示しています。
- src ユーザーとdst ユーザー -ユーザー ID がファイアウォール上で構成されている場合、ユーザーは利用可能な場合に識別されます。
- 状態-セッションの状態。次のセクションで、状態を定義します。
- タイプ-セッションの2種類があります:フローと予測。 セッションの種類は、次のセクションで定義されています。
セッションの種類、状態、およびフラグ
パロアルトネットワークファイアウォールには、次の2種類のセッションがあります。
- フローは、フローが c2s と s2c の間で同じであるセッションの定期的なタイプ (例. HTTP、Telnet、SSH)。
- 予測-このタイプは、Layer7 アプリケーションレイヤゲートウェイ (ALG) が必要な場合に作成されるセッションに適用されます。アプリケーションが識別され、追加のセキュリティ規則を使用せずにファイアウォールで新しいセッションを許可する必要があります (ex. FTP アクティブ/パッシブ、音声プロトコル h323/sip など)。これらのセッションは、情報がまだ知られていない可能性があるため、ソース/宛先 IP/ポートとして0を使用して作成することができます。予測セッションに一致するパケットは、通常のフローセッションに変更されます。
ファイアウォール上の予測 (PRED) セッションを詳細に表示するには、[すべてのフィルタの種類を予測] コマンド を使用します。このコマンドは、ファイアウォールで現在アクティブになっている予測セッションのみを表示します。このコマンドは、各予測セッションが1つのパケットによって一致した後、フローセッションになるという事実により、ファイアウォール上で多くの予測セッションを表示しない場合があります。したがって、コマンドは、パケットによって照合されるために現在保留中の予測セッションのみを表示します。
注:各アプリケーションの予測セッションには、独自のタイムアウト設定があります。
次の例では、FTP アクティブモード用に作成された予測セッションの出力を示します。
上記のスクリーンショットは、両方向のパケット数を0とし、予測セッションがクライアントによってトリガされたことを示しています。
各セッションは、特定の時点で一定の状態になります。が3つの状態は、安定した状態として、そのセッションのテーブルの中で最も表示されます知っている:
- init -すべてのセッションはデフォルトで init 状態で開始されます。INIT 状態のセッションは、空きプールの一部であり、いつでも使用できます。セッションは以前に使用されましたが、現在は空きプールに戻されています。
- アクティブ-特定のトラフィックフローに一致し、検査と転送のために処理されたすべてのセッション。
- 破棄-セッションによって一致したが、セキュリティポリシー、脅威の検出によって拒否されたトラフィック。
パロアルトネットワークファイアウォールのセッションの他の状態があります: オープニング、クローズ、クローズドと無料です。これらの状態は、過渡と呼ばれます。 過渡状態のセッションは、安定状態の1つへの移行を非常に迅速に行うため、参照が困難です。
通常の条件では、各状態は次の遷移サイクルを通過します: Init > 開く > アクティブ > 破棄/終了 > 閉じた > 無料。空き状態から、セッションは初期セッション状態 (INIT) に戻り、次のサイクルを開始します。次の状態遷移は、セッションのライフサイクルを表します。
ライフサイクルで最も重要な状態は、アクティブ状態です。アクティブ状態から、セッションは次の条件に基づいて破棄または終了状態に遷移します。
- セッションタイムアウトに達した場合、セッションはタイムアウトし、終了に移行します。セッションタイムアウトについては、次のセクションで説明します。
- セキュリティルールによってトラフィックが拒否された場合、または脅威が検出された場合 (アクションがドロップされた場合)、セッションは破棄に移行します。
> show セッションの出力では、すべてのセッションをフラグ値で識別できます 。各セッションフラグ値の意味は次のとおりです。
- NS -ソース NAT がセッションに適用されています
- ND - 宛先 NAT は、セッションに適用されている
- NB -ソース + 宛先 NAT の両方がセッションに適用されています
- フラグなし-セッションに適用された NAT はありません。
セッション タイムアウト
各セッションには、デバイスで構成可能なタイムアウト値が定義されています。セッションのタイマについては、> [セッション id の表示] コマンドの出力を確認することで、いくつかの詳細を確認できます。次のスクリーンショットは、ファイアウォールを介した DNS セッションの出力を示しています。
セッションタイムアウトに関する3つの重要な詳細は次のとおりです。
- タイムアウト-アプリケーションに対して構成された特定のタイムアウト。
- ライブ時間-セッションが期限切れになるまでの残り時間。この例では、セッションが期限切れになり、セッション状態が変更されるまで2秒残っています。
- セッションエイガーのセッション-各セッションには、セッションの有効期間を記録するエージングプロセスであるフローエイガーがあります。セッションがアクティブで、live の時間が0 秒に達していない限り、セッションエイガーのセッションはTrue としてマークさ れます。
次の例では、同じセッションの出力を参照しますが、セッションがタイムアウトしました (セッションに一致するトラフィックがないため)。
セッション状態が閉じられ、セッションエイガーのセッションもFalse になっ たことを確認します。
HA デプロイメントにおけるセッション管理
高可用性が使用されている展開では、ローカルファイアウォールには作成されず、ピアデバイス上にある特定のアクティブなセッションは、ピア間で同期する必要があります。これらのセッションをピア間で同期させることで、アクティブなセッションをフェールオーバーした場合は失われず、トラフィックフローは他のデバイスでも継続されます (アクティブ/パッシブ展開の場合はアクティブ)。ha を含む展開シナリオの詳細については、ha セクションの管理者ガイドを参照してください。
ユーザーは、[HA ピア] から [セッション id の出力を表示] から同期されたセッションを見て、ローカルファイアウォールでセッションが作成されていないかどうかを知ることができ ます。 ファイアウォールでローカルに作成されたセッションは、偽の値を持ち、ピアデバイス上に作成され、ローカルファイアウォールに同期すると、真の値 になります。
追加情報
> [セッション id を表示] コマンドは、ファイアウォール経由のトラフィックフローに関するその他の情報を表示します。追加情報の多くは、パロアルトネットワークのサポート担当者による高度なトラブルシューティングのためのものですが、自己トラブルシューティングに役立つ3つの属性があります。
- セッションが終了時にログに記録される-セキュリティルールを構成するときに、ルールログの2つのオプション (True) またはセッションの開始時 (False) があります。
この例では (上記のスクリーンショットを参照してください)、構成によってルールが最後にログに記録されるように指定されています。 - [はい] をオフロードすると、アプリケーションが既に識別され、ハードウェアで処理されるトラフィックにマークが付けられます。
- Layer7 処理-有効にすると、アプリ ID がトラフィックフローで有効になり、アプリケーションが常に識別されます。Layer7 処理が完了するように設定されている場合は、アプリケーションが識別されます。
また見なさい
ドキュメント の PAN-OS 管理ガイドと CLI リファレンスガイド
所有者: aciobanu