セッショントラッカー機能
Resolution
パン-OS 6.0、6.1
詳細
PAN-OS 6.0 は、CLI コマンドでセッショントラッカー機能を導入し、セッション id を表示し、 <id #=""> トラッカーステージファイアウォールとして </id> show セッション idの出力の一番下の行に表示されます。
パケット処理中のさまざまな段階で、次のような原因によりセッションが終了することがあります。
- セッションの拒否またはタイムアウト
- 脅威によるパケットの破棄さまざまな処理条件
- エンド・ホストのいずれかによるリセット
セッショントラッカーの目的は、特定のセッションで行われた軽減措置の正確な理由を特徴とすることです。提供される情報は、遡及解析に有用である可能性があり、時間のほとんどは、しばしば成功していない問題の再現の必要性を減らす。
トラッカーステージのステータスには、次のような複数のものがあります。
- エージングアウト-タイムアウトのためにセッションが終了すると発生する
- tcp フィン-tcp フィンを使用して接続の半分または両側を閉じるときに発生します。
- tcp RST -クライアント-クライアントがサーバーに tcp リセットを送信するときに発生します。
- tcp RST -サーバー-サーバーがクライアントに tcp リセットを送信するときに発生します。
- appid ポリシーの参照拒否-セッションがセキュリティポリシーと拒否または削除アクションと一致する場合に発生します。
- 軽減 tdb -脅威の検出によってセッションが終了したときに発生します。
- [リソースの制限]-フローごとに許可されているパケットのうち、またはグローバルな順序外のパケットキューの数を超過するなどのシステムリソースの制限により、セッションがドロップするように設定されている場合に発生します。他の多くの理由は、この理由にロールアップされます。
- ホストサービス-ファイアウォール宛てのトラフィックが、サービスが許可または有効になっていない
トラッカーステージライン付きの show セッション id コマンドの例を以下に示します。
> セッション id 4632 を表示
セッション4632
c2s の流れ:
出典: 192.168.210.103 [信託]
dst: 198.172.88.58
プロト: 6
スポーツ: 4475 dport:80
状態: INIT タイプ: フロー
src ユーザー: 未知
dst ユーザー: 未知
pbf ルール: wt-VPNTest 1
s2c フロー:
ソース: 198.172.88.58 [VPN の]
dst: 192.168.210.103
プロト: 6
スポーツ:80 dport: 4475
状態: 初期化の種類: フロー
src ユーザー: 未知
dst ユーザー: 未知
開始時間: 月曜日9月 9 16:39:06 2013
タイムアウト: 30 秒
合計バイト数 (c2s): 1063
合計バイト数 (s2c): 1461
layer7 パケット数 (c2s):12
layer7 パケット数 (s2c):10
[.....]
syn クッキーを介してセッション: False
ホスト セッションを終了: False
セッションはトンネルを横断: 真
非脱落型ポータル セッション: False
進入インタフェース: ethernet1/6
出口インターフェイス: トンネル. 179
セッション QoS ルール: N/A (クラス 4)
トラッカーステージファイアウォール: TCP フィン
次のコマンドは、"トラッカーステージ" フラグが有効になっているすべてのセッションを一覧表示します。
> 表示ログトラフィックの方向と等しい後方の表示-トラッカー等しいはい
Src ポート ソースから時間アプリ
先の Dst ポート ルールの動作
Src ユーザー Dst ユーザーセッション情報
===============================================================================
2013/09/09 16:44:01 フラッシュトラスト 4433 192.168.210.103
TCP ロギングは、VPN 80 74.125.239.124 を許可する
TCP フィン
2013/09/09 16:44:00 不完全 untrust 52405 10.30.6.210
許可-任意の許可 untrust 135 10.30.14.212
高齢者アウト
2013/09/09 16:40:25 ms-更新トラスト 4402 192.168.210.103
TCP ロギングは、VPN 80 96.17.148.40 を許可する
TCP RST –クライアント
所有者: djoksimovic