Session Tracker Feature
Resolution
PAN-OS 6.0, 6.1
Details
PAN-OS 6,0 hat eine Session-Tracker-Funktion im CLI-Befehl, Show-Session-ID, eingeführt und wird am unteren Ende der Ausgabe der Show-Session-ID <id #=""> als Tracker-Stage-Firewall angezeigt. </id>
In verschiedenen Phasen während der Paket Bearbeitung kann eine Sitzung aufgrund von Ursachen wie:
- Session verweigert oder Auszeit
- Abgefallene Pakete wegen Bedrohung verschiedener Behandlungsbedingungen
- Reset von einem der endrechner
Der Zweck des Session-Trackers besteht darin, die genauen Gründe für Minderungsmaßnahmen zu berücksichtigen, die zu bestimmten Sitzungen ergriffen wurden. Die bereitgestellten Informationen können für eine rückwirkende Analyse nützlich sein und die meiste Zeit den Bedarf an Ausgabe Wiedergabe verringern, was oft nicht gelingt.
Es gibt mehrere Tracker-Bühnen Zustände, wie:
- Altert -tritt auf, wenn eine Sitzung wegen des Alterns beendet wird
- TCP FIN -tritt auf, wenn eine TCP-Flosse verwendet wird, um die Hälfte oder beide Seiten einer Verbindung zu schließen
- TCP RST -Client-tritt auf, wenn der Client einen TCP-Reset an den Server sendet
- TCP RST -Server-tritt auf, wenn der Server einen TCP-Reset an den Client sendet
- AppID Policy Lookup Denial -tritt auf, wenn eine Sitzung mit einer Sicherheitspolitik mit einer Deny-oder Drop-Aktion übereinstimmt
- Mitigation TDB -tritt auf, wenn eine Sitzung aufgrund einer Bedrohungserkennung endet
- Ressourcenbegrenzung -tritt auf, wenn eine Sitzung aufgrund einer Systemressourcen Begrenzung fallen gelassen wird, wie etwa die Überschreitung der Anzahl der von der Bestellung erlaubten Pakete pro Flow oder die globale out-of-Order-Paket Schlange. Viele andere Gründe werden sich aus diesem Grund Rollen.
- Host -Service-Verkehr für Firewall bestimmt, aber Service nicht erlaubt oder aktiviert
Das Beispiel des Show-Session-ID- Befehls mit der Tracker-Bühnen Linie wird unten gezeigt:
> Session ID 4632
Session 4632
C2S fließen:
Quelle: 192.168.210.103 [Trust]
DST: 198.172.88.58
Proto: 6
Sport: 4475 dport: 80
Zustand: INIT-Typ: FLOW
SRC-Benutzer: unbekannt
DST-Benutzer: unbekannt
PBF-Regel: WT-VPNTest 1
S2C Durchfluss:
Quelle: 198.172.88.58 [VPN]
DST: 192.168.210.103
Proto: 6
Sport: 80 dport: 4475
Zustand: INIT Typ: FLOW
SRC-Benutzer: unbekannt
DST-Benutzer: unbekannt
Startzeit: Mo Sep 9 16:39:06 2013
Zeitlimit: 30 Sek.
Gesamtzahl der Byte (C2S): 1063
Gesamtzahl der Byte (S2C): 1461
layer7 Packet count (C2S): 12
layer7 Paket Zählung (S2C): 10
[.....]
Sitzung über Syn-Cookies: False
Sitzung beendet auf Host: False
Session Traversen Tunnel: true
Captive Portal Sitzung: False
Eindringen-Schnittstelle: Ethernet1/6
Egress-Schnittstelle: Tunnel. 179
Sitzung-QoS-Regel: N/A (Klasse 4)
Tracker Stage Firewall: TCP FIN
Der folgende Befehl listet alle Sitzungen auf, die das "Tracker Stage"-Flag aktiviert haben:
> Log-Traffic-Richtung gleiche rückwärts Show anzeigen-Tracker gleich Ja
Time-App von Src Port Quelle
Regelaktion auf Sommerzeit Bestimmungshafen
Src-Benutzer DST User Session Info
===============================================================================
2013/09/09 16:44:01 Flash Trust 4433 192.168.210.103
TCP-Logging erlauben VPN 80 74.125.239.124
TCP FIN
2013/09/09 16:44:00 unvollständige Untrust 52405 10.30.6.210
erlauben-alle erlauben unvertrauen 135 10.30.14.212
Gealtert
2013/09/09 16:40:25 MS-Update Trust 4402 192.168.210.103
TCP-Logging erlauben VPN 80 96.17.148.40
TCP RST – Client
Besitzer: Djoksimovic