セッショントラッカー機能

セッショントラッカー機能

273902
Created On 09/25/18 19:10 PM - Last Modified 06/13/23 03:51 AM


Resolution


パン-OS 6.0、6.1

詳細

PAN-OS 6.0 は、CLI コマンドでセッショントラッカー機能を導入し、セッション id を表示し、 <id #=""> トラッカーステージファイアウォールとして </id> show セッション idの出力の一番下の行に表示されます。

パケット処理中のさまざまな段階で、次のような原因によりセッションが終了することがあります。

  • セッションの拒否またはタイムアウト
  • 脅威によるパケットの破棄さまざまな処理条件
  • エンド・ホストのいずれかによるリセット

セッショントラッカーの目的は、特定のセッションで行われた軽減措置の正確な理由を特徴とすることです。提供される情報は、遡及解析に有用である可能性があり、時間のほとんどは、しばしば成功していない問題の再現の必要性を減らす。

トラッカーステージのステータスには、次のような複数のものがあります。

  • エージングアウト-タイムアウトのためにセッションが終了すると発生する
  • tcp フィン-tcp フィンを使用して接続の半分または両側を閉じるときに発生します。
  • tcp RST -クライアント-クライアントがサーバーに tcp リセットを送信するときに発生します。
  • tcp RST -サーバー-サーバーがクライアントに tcp リセットを送信するときに発生します。
  • appid ポリシーの参照拒否-セッションがセキュリティポリシーと拒否または削除アクションと一致する場合に発生します。
  • 軽減 tdb -脅威の検出によってセッションが終了したときに発生します。
  • [リソースの制限]-フローごとに許可されているパケットのうち、またはグローバルな順序外のパケットキューの数を超過するなどのシステムリソースの制限により、セッションがドロップするように設定されている場合に発生します。他の多くの理由は、この理由にロールアップされます。
  • ホストサービス-ファイアウォール宛てのトラフィックが、サービスが許可または有効になっていない

トラッカーステージライン付きの show セッション id コマンドの例を以下に示します。

> セッション id 4632 を表示

セッション4632

c2s の流れ:

出典: 192.168.210.103 [信託]

dst: 198.172.88.58

プロト: 6

スポーツ: 4475 dport:80

状態: INIT タイプ: フロー

src ユーザー: 未知

dst ユーザー: 未知

pbf ルール: wt-VPNTest 1

s2c フロー:

ソース: 198.172.88.58 [VPN の]

dst: 192.168.210.103

プロト: 6

スポーツ:80 dport: 4475

状態: 初期化の種類: フロー

src ユーザー: 未知

dst ユーザー: 未知

開始時間: 月曜日9月 9 16:39:06 2013

タイムアウト: 30 秒

合計バイト数 (c2s): 1063

合計バイト数 (s2c): 1461

layer7 パケット数 (c2s):12

layer7 パケット数 (s2c):10

[.....]

syn クッキーを介してセッション: False

ホスト セッションを終了: False

セッションはトンネルを横断: 真

非脱落型ポータル セッション: False

進入インタフェース: ethernet1/6

出口インターフェイス: トンネル. 179

セッション QoS ルール: N/A (クラス 4)

トラッカーステージファイアウォール: TCP フィン

次のコマンドは、"トラッカーステージ" フラグが有効になっているすべてのセッションを一覧表示します。

> 表示ログトラフィックの方向と等しい後方の表示-トラッカー等しいはい

Src ポート ソースから時間アプリ

先の Dst ポート ルールの動作

Src ユーザー Dst ユーザーセッション情報

===============================================================================

2013/09/09 16:44:01 フラッシュトラスト 4433 192.168.210.103

TCP ロギングは、VPN 80 74.125.239.124 を許可する

                                                    TCP フィン

2013/09/09 16:44:00 不完全 untrust 52405 10.30.6.210

許可-任意の許可 untrust 135 10.30.14.212

                                                    高齢者アウト

2013/09/09 16:40:25 ms-更新トラスト 4402 192.168.210.103

TCP ロギングは、VPN 80 96.17.148.40 を許可する

                                                    TCP RST –クライアント

所有者: djoksimovic
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClVFCA0&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language