会话跟踪器功能
Resolution
泛 OS 6.0, 6。1
详细
PAN OS 6.0 在 CLI 命令中引入了会话跟踪器功能,显示会话 id, 并显示在显示会话 id 输出的底部, <id #="">作为跟踪器阶段防火墙. </id>
在数据包处理过程中的各个阶段, 由于以下原因, 会话可能会关闭:
- 会话被拒绝或超时
- 由于威胁各种处理条件而丢弃的数据包
- 由任何端主机重置
会话跟踪器的目的是说明在特定会话上采取的缓解措施的确切原因。提供的信息可能有助于追溯性分析, 而且大部分时间减少了问题复制的需要, 这往往是不成功的。
有多个跟踪器阶段状态, 例如:
- 当会话因老化而关闭时发生
- tcp 鳍-当 tcp 鳍用于关闭连接的一半或两侧时发生.
- tcp RST -客户端-当客户端向服务器发送 TCP 重置时发生
- tcp RST -服务器-当服务器向客户端发送 TCP 重置时发生
- appid 策略查找拒绝-当会话与带有拒绝或删除操作的安全策略匹配时发生
- 缓解 tdb -当会话因威胁检测而结束时发生
- 资源限制-当会话被设置为由于系统资源限制 (如超出每个流允许的超出顺序数据包数或全局出单数据包队列数量) 时发生. 还有许多其他原因会导致这个原因。
- 主机服务-用于防火墙的通信, 但不允许或启用服务
带有跟踪器阶段行的 "显示会话 id"命令示例如下所示:
>> 显示会话 id 4632
会话4632
c2s 流︰
来源: 192.168.210.103 [信托]
dst: 198.172.88.58
原: 6
体育: 4475 dport:80
状态: INIT 类型: 流
src 用户︰ 未知
dst 用户︰ 未知
pbf 规则: VPNTest 1
s2c 流︰
来源: 198.172.88.58 [VPN]
dst: 192.168.210.103
原: 6
体育:80 dport: 4475
状态︰ 初始化类型︰ 流
src 用户︰ 未知
dst 用户︰ 未知
开始时间: 周一 9月9日 16:39:2013 年 06
超时时间: 30 秒
总字节数 (c2s): 1063
总字节数 (s2c): 1461
layer7 数据包计数 (c2s):12
layer7 数据包计数 (s2c):10
[.....]
通过 syn cookie 的会话︰ 虚假
在主机上终止会话︰ 虚假
会话遍历隧道: True
圈养的门户会话︰ 虚假
入口接口: ethernet1/6
出口接口: 隧道179
会议 QoS 规则︰ n/A (4 班)
跟踪器阶段防火墙: TCP 鳍
以下命令列出启用了 "跟踪程序阶段" 标志的所有会话:
>> 显示日志流量方向等于向后显示跟踪器等于是
时间从 Src 端口源的应用程序
规则操作到 Dst 端口目的地
Src 用户 Dst 用户会话信息
===============================================================================
2013/09/09 16:44:01 闪存信任 4433 192.168.210.103
TCP 日志记录允许 VPN 80 74.125.239.124
TCP 鳍
2013/09/09 16:44:00 不完全不信任 52405 10.30.6.210
允许-任何允许不信任 135 10.30.14.212
老化
2013/09/09 16:40:25 ms-更新信任 4402 192.168.210.103
TCP 日志记录允许 VPN 80 96.17.148.40
TCP RST –客户端
所有者: djoksimovic