Paketflusssequenz in PAN-OS

Paketflusssequenz in PAN-OS

1091894
Created On 09/25/18 19:10 PM - Last Modified 06/04/21 21:44 PM


Resolution


Dieses Dokument beschreibt die Paketverarbeitungssequenz in PAN-OS .

Tag im Leben eines Pakets

PAN-OSPaketflusssequenz. Seit PAN-OS 7.0.2 und 6.1.7 ( PAN-48644 wird die DOS Schutzsuche vor der policy Sicherheitssuche durchgeführt. Dieses Dokument wurde aktualisiert, um diese Verhaltensänderung widerzuspiegeln:
 

Inhalt:
SECTION1: OVERVIEW
SECTION 2: INGRESS STAGE
  • 2.1 PACKET PARSING   
  • 2.2 TUNNEL DECAPSULATION  
  • 2,3 IP DEFRAGMENTATION  

SECTION 3: FIREWALLSESSION LOOKUP

  • 3.1. ZONE PROTECTION CHECKS      
  • 3.2. TCP STATE CHECK   
  • 3.3. FORWARDING SETUP   
  • 3.4. NAT POLICY LOOKUP   
  • 3.5. USER - ID   
  • 3.6. DOS PROTECTION POLICY LOOKUP  
  • 3.7. SECURITY POLICY LOOKUP    
  • 3.8. SESSION ALLOCATION  

SECTION 4: FIREWALL SESSION FAST PATH

  • SECURITY  PROCESSING
  • CAPTIVE  PORTAL
SECTION 5: APPLICATION IDENTIFICATION( APP - ID)
SECTION 6: CONTENT INSPECTION
SECTION 7: FORWARDING EGRESS /
SECTION 8: SUMMARY
 


Abschnitt 1: Übersicht

Dieses Dokument beschreibt die Paketverarbeitungssequenz innerhalb von PAN-OS Geräten. Die Eingangs- und Weiterleitungs-/Ausgangsphasen verarbeiten Netzwerkfunktionen und treffen Paketentscheidungen pro Paket. Die übrigen Phasen sind sitzungsbasierte Sicherheitsmodule, die durch App- und Content- hervorgehoben ID ID werden. Diese Entkopplung bietet zustandsbehaftete Sicherheitsfunktionen auf Anwendungsebene sowie die Ausfallsicherheit der Pro-Paket-Weiterleitung und Flexibilität von Bereitstellungstopologien.
 

Abschnitt 2: Eintrittsstufe

Die Eingangsstufe empfängt Pakete von der Netzwerkschnittstelle, analysiert diese Pakete und bestimmt dann, ob ein bestimmtes Paket einer weiteren Überprüfung unterzogen wird. Wenn das Paket einer weiteren Überprüfung unterzogen wird, wird die firewall sitzungssuchend fortgesetzt, und das Paket tritt in die Sicherheitsverarbeitungsphase ein. Andernfalls leitet der firewall das Paket an die Ausgangsstufe weiter.Abschnitt 3 fasst Fälle zusammen, in denen die firewall Weiterleitungspakete ohne Inspektion, abhängig vom Pakettyp und dem Betriebsmodus der Schnittstelle, gesendet werden.

Hinweis: Während der Paketverarbeitung kann das firewall Paket aufgrund einer Protokollverletzung verwerfen. In bestimmten Fällen werden Pakete aufgrund von firewall Angriffsverhinderungsfunktionen ohne konfigurierbare Optionen verworfen. Abschnitt 2.1 zählt solche Fälle auf, wenn die firewall verworfenen Pakete in dieser Phase .
 
Das Paketflussdiagramm, das jede Phase (Ingress, FW Session Setup/Slowpath, FW Fastpath, Application Identification, Fowarding/Egress) des firewall
Packungs Durchlauf

Klicken HERE Sie für High-res-Bild

 

2.1 Paketanalyse

Die Paketanalyse beginnt mit dem Ethernet-Header (Layer-2) des vom Draht empfangenen Pakets.
Der Eingangsport, 802.1q tag und MAC die Zieladresse werden als Schlüssel verwendet, um die eingangse logische Schnittstelle zu suchen. Wenn die Schnittstelle nicht gefunden wird, wird das Paket verworfen. Der hardware Schnittstellenzähler "Empfangsfehler" und der globale Zähler "flow_rcv_dot1q_tag_err" werden erhöht.

Als Nächstes wird der IP Header analysiert (Layer-3).
 
IPv4: Der firewall verwirft das Paket aus einem der folgenden Gründe:
  • Inübereinstimmung von Ethernet-Typ und IP Version
  • Abgeschnittener IP Header
  • IP Protokollnummer 0
  • TTL Null
  • Landangriff
  • Ping des Todes
  • Marsadresse IP
  • IP Prüfsummenfehler
 
IPv6: Der firewall verwirft das Paket aus einem der folgenden Gründe:
  • Inübereinstimmung von Ethernet-Typ und IP Version
  • Abgeschnittener IPv6-Header
  • Abgeschnittenes IP Paket IP (Nutzlastpufferlänge kleiner als IP Nutzlastfeld)
  • JumboGram-Erweiterung ( RFC 2675)
  • Abgeschnittene Verlängerung header
 
Als Nächstes wird der Layer-4 - TCP / UDP ) Header analysiert, falls zutreffend.
 
TCP: Der firewall verwirft das Paket aus einem der folgenden Gründe:
  • TCP Header abgeschnitten wird.
  • Daten - Offsetfeld ist kleiner als 5
  • Prüfsumme Fehler
  • Port ist Null
  • Ungültige Kombination von TCP Flags
 
UDP: Der firewall verwirft das Paket aus einem der folgenden Gründe:
  • UDP Header abgeschnitten
  • UDP Nutzlast abgeschnitten (kein IP Fragment und UDP Pufferlänge kleiner als UDP Länge Feld)
  • Prüfsumme Fehler
 

2.2 Tunnelentkapselung

Die firewall führt die Entkapselung/Entschlüsselung in der Analysephase durch. Wenn das Paket nach dem Analysieren der firewall feststellt, dass es einem Tunnel, d. h. IPSec, SSL-VPN mit dem Transport SSL entspricht, führt es die folgende Sequenz aus:
  • Der firewall entkapselt das Paket zuerst und verwirft es, wenn Fehler vorhanden sind.
  • Die Tunnel-Schnittstelle verbunden mit dem Tunnel wird das Paket als seine neue Eindringen-Schnittstelle zugewiesen und dann wird das Paket zurück durch den Analyseprozess, beginnend mit der Paket-Header durch den Tunneltyp definiert zugeführt. Derzeit sind die unterstützten Tunneltypen IP Layer-Tunneling, daher beginnt die Paketanalyse (für ein getunneltes Paket) mit dem IP Header.
 

2.3 IP Defragmentierung

Der firewall analysiert IP Fragmente, setzt sich mithilfe des Defragmentierungsprozesses wieder zusammen und speist das Paket dann ab dem Header zurück an den Parser. IPIn dieser Phase kann ein Fragment aufgrund eines Tear-Drop-Angriffs (überlappende Fragmente), Fragmentierungsfehlern oder wenn das firewall Trifft systemgrenzen für gepufferte Fragmente (den maximalen Paketschwellenwert erreicht) verworfen werden.
 

Abschnitt 3: FirewallSitzungssuche

A Paket wird firewall abhängig vom Pakettyp und dem Schnittstellenmodus verarbeitet. In der folgenden Tabelle wird das Paketverarbeitungsverhalten für einen bestimmten Schnittstellenbetriebsmodus und Pakettyp zusammengefasst:
 
PakettypBetriebsarten-Schnittstelle
Layer-3Layer-2Virtuelle-DrahtTippen
IPv4 unicastinspect & forwardinspect & forwardinspect & forwardÜberprüfen Sie & fallen

IPv4 Multicast

(224.0.0.1 - 239.255.255.255)

inspect & forwardnur vorwärts (Flut)

vorwärts, sondern nur inspizieren, wenn Multicast

Firewall ist auf

Überprüfen Sie & fallen

IP Übertragung

(255.255.255.255)

Tropfennur vorwärts (Flut)

vorwärts, sondern nur inspizieren, wenn Multicast

Firewall ist auf

Tropfen
IP Lokale SendungTropfennur vorwärts (Flut)

vorwärts, sondern nur inspizieren, wenn Multicast

Firewall ist auf

Tropfen
IPv6

kontrollieren Sie und weiterleiten Sie, wenn aktiviert

vorwärts, aber überprüfen Sie nur, wenn IPv6-Firewall (Standard)

vorwärts, aber überprüfen Sie nur, wenn IPv6-Firewall (Standard)fallen Sie, aber überprüfen Sie nur, wenn IPv6-Firewall (Standard)
Nicht-IPVorgang ggf. nicht vorwärtsnur vorwärtsnur vorwärtsTropfen
 
Wenn das Paket einer Überprüfung unterzogen firewall wird, führt es eine Flow-Suche auf dem Paket durch. A  firewall Sitzung besteht aus zwei unidirektionalen Strömungen, die jeweils eindeutig identifiziert sind. In PAN-OS der Implementierung identifiziert der den Flow mithilfe eines firewall 6-Tupel-Schlüssels:
  • Quell- und Zieladressen: IP Adressen aus dem IP Paket. 
  • Quell- und Zielports: Portnummern von TCP / UDP Protokollheadern.Für nicht- TCP UDP / werden verschiedene Protokollfelder verwendet (z.B. für ICMP die ICMP Kennung und Sequenznummern werden verwendet, für IPSec wird auf dem Gerät der Sicherheitsparameterindex ( SPI ) und für unbekannt wird ein konstanter reservierter Wert verwendet, um Layer-4-Übereinstimmung zu überspringen).
  • Protokoll: Die IP Protokollnummer aus dem IP Header wird verwendet, um den Flow Key abzuleiten.
  • Sicherheitszone: Dieses Feld wird von der Eingangsschnittstelle abgeleitet, an der ein Paket eintrifft.
Die firewall speichert aktive Flows in der Flow-Lookup-Tabelle. Wenn festgestellt wird, dass ein Paket für eine Prüfung in Frage firewall kommt, extrahiert der firewall den 6-Tupel-Flow-Schlüssel aus dem Paket und führt dann eine Flow-Suche durch, um das Paket mit einem vorhandenen Flow abzugleichen. Jeder Flow verfügt über eine Client- und Serverkomponente, bei der der Client aus Der Perspektivder des ersten Pakets der Sitzung der Absender des ersten Pakets ist firewall und der Server der Empfänger dieses ersten Pakets ist.
 
Hinweis: Die Unterscheidung zwischen Client und Server ist aus der firewall Sicht der "Endeshosts" und kann aus der Sicht der Endhosts identisch sein. Basierend auf der obigen Definition von Client und Server wird es einen Client-zu-Server-Flow (C2S) und Einen S2C-Flow (Server-zu-Client) geben, bei dem alle Client-zu-Server-Pakete denselben Schlüssel wie der C2S-Fluss enthalten sollten usw. für den S2C-Fluss.
 

Firewall Sitzungseinrichtung

firewallFührt die folgenden Schritte aus, um eine Sitzung firewall einzurichten:
 

3.1. Zonenschutzkontrollen

Nachdem das Paket auf einer firewall Schnittstelle eintrifft, werden die Eingangsschnittstelleninformationen verwendet, um die Eingangszone zu bestimmen. Wenn jede Zone Schutzprofile für diese Zone vorhanden sind, ist das Paket evaluiert, basierend auf der Profilkonfiguration.
 

3.2. TCP State Check  

Wenn das erste Paket in einer Sitzung ein Paket ist TCP und das Bit nicht festgelegt SYN ist, verwirft der firewall es (Standard).Wenn SYN Überflutungseinstellungen im Zonenschutzprofil konfiguriert sind und die Aktion auf Cookies gesetzt SYN ist, TCP SYN wird das Cookie ausgelöst, wenn die Anzahl der SYN Übereinstimmungen mit dem Aktivierungsschwellenwert erfolgt. SYN Die Cookie-Implementierung funktioniert wie folgt:
  • Das Saatgut, das Cookie zu kodieren wird per Zufallsgenerator erzeugt jedes Mal, wenn die Datenebene hochfährt.
  • Wenn ein ACK vom Client empfangenes Paket nicht mit der Cookie-Codierung übereinstimmt, behandelt es das Paket als SYN nicht-paket.
  • A Sitzung, die den Cookie-Prozess übergibt, unterliegt der Übersetzung der SYN TCP Sequenznummer, da der firewall als Proxy für den TCP 3-Wege-Handshake fungiert.
Wenn die SYN Aktion "Hochwasserschutz" stattdessen auf Random Early Drop ( ) festgelegt RED ist, was die Standardeinstellung ist, werden alle Nachrichten, die firewall nach Erreichen des Schwellenwerts empfangen werden, einfach fallen SYN gelassen. SYN Cookies werden bevorzugt, wenn Sie mehr legitimen Datenverkehr passieren lassen möchten, während Sie in der Lage sind, Flutpakete zu unterscheiden SYN und diese stattdessen fallen zu lassen. RED, auf der anderen Seite, wird SYN Pakete nach dem Zufallsprinzip fallen und kann legitimen Verkehr gleichermaßen beeinflussen.
 
Hinweis: Sie können die so konfigurieren, dass das erste Paket zugelassen firewall TCP wird, auch wenn kein SYN Bit festgelegt ist.Das Ändern des Standardverhaltens und das Zulassen von SYN TCP Nicht-Paketen durch stellen ein Sicherheitsrisiko dar, indem die zu böswilligen Paketen geöffnet werden, die Firewall nicht Teil einer gültigen TCP Verbindungssequenz sind. Obwohl dies keine empfohlene Einstellung ist, könnte es für Szenarien mit asymmetrischen Ströme erforderlich.  Sie sollten die so firewall konfigurieren, TCP dass sie nicht- SYN abgelehnt wird, wenn Cookies aktiviert SYN sind.
 

3.3. Weiterleitung Setup

Dieser Phase bestimmt den Paketweiterleitung Pfad. Paketweiterleitung hängt von der Konfiguration der Schnittstelle. Die folgende Tabelle fasst die Paketweiterleitung Verhalten:
 
Interface-Modus
Spedition-Aktion
TippenDie Egressschnittstelle/-zone ist perspektivisch identisch mit der Eingangsschnittstelle/Zone. policy Der firewall verwirft das Paket.
Virtuelle DrahtEgress-Schnittstelle ist der Peer-Schnittstelle konfiguriert in der virtuellen Draht
Layer - 2
Die Ausgangsschnittstelle für das Ziel MAC wird aus der Tabelle MAC abgerufen. Wenn die Informationen nicht vorhanden sind, wird der Frame auf alle Schnittstellen in der zugeordneten Broadcastdomäne mit VLAN Ausnahme der Eingangsschnittstelle überflutet.
Layer - 3Der firewall verwendet die Routensuchtabelle, um den nächsten Hop zu bestimmen, oder verwirft das Paket, wenn keine Übereinstimmung vorhanden ist.
 

3.4. NAT Policy Lookup  

Dies gilt nur im Layer-3 oder virtuellen Draht-Modus. In diesem Stadium sind die Informationen zur Eingangs- und Ausgangszone verfügbar. Der firewall wertet NAT Regeln für das ursprüngliche Paket aus.
  • Für Ziel NAT führt der eine zweite firewall Routensuche für die übersetzte Adresse durch, um die Ausgangsschnittstelle/Zone zu bestimmen.  
  • Für source NAT wertet der firewall die Regel für die NAT IP Quellzuordnung aus. Wenn die Zuordnungsprüfung fehlschlägt, firewall verwirft der das Paket.

 

3.5. Benutzer-ID

Der firewall verwendet die Adresse des IP Pakets, um die IP Benutzerzuordnungstabelle abzufragen (verwaltet pro VSYS ) . Die entsprechenden Benutzerinformationen wird geholt. Der firewall nächste benutzerruft diese Benutzerinformationen an, um die Zuordnungstabelle der Benutzergruppe abzufragen, und ruft die diesem Benutzer zugeordnete Gruppenzuordnung ab (es werden alle Gruppen zurückgegeben, denen der Benutzer angehört).
 
Es gibt eine Chance, dass Benutzerinformationen zu diesem Zeitpunkt nicht verfügbar ist. In diesem Fall, wenn Captive Portal policy eingerichtet ist, wird der firewall versuchen, die Benutzerinformationen über Captive Portal Authentifizierung (in Abschnitt 4) beschrieben herauszufinden.
 

3.6. DoS Protection PolicyLookup

Als Nächstes überprüft der firewall DoS-Schutz (Denial of Service) policy auf Datenverkehrsschwellenwerte basierend auf dem DoS-Schutzprofil.Wenn die DoS-Schutzaktion policy auf "Schützen" festgelegt ist, werden die angegebenen Schwellenwerte überprüft firewall und wenn ein Übereinstimmungs- (DoS-Angriff erkannt) vorhanden ist, wird das Paket verworfen.
 
Wenn die policy Aktion entweder zulassen oder verweigern wird, hat die Aktion Vorrang, unabhängig von den im DoS-Profil festgelegten Schwellenwerten.
 

3.7. Sicherheit POlicy Lo okup

In diesem Stadium ist die Ingress- und Egress Zone-Informationen zur Verfügung.Der firewall verwendet die ANY Anwendung, um die Suche durchzuführen und nach einer Regelübereinstimmung zu suchen.Wenn die policy Aktion auf "Verweigern" gesetzt ist, wird das Paket im Falle einer Regelübereinstimmung firewall fallen.Der firewall verweigert den Datenverkehr, wenn keine Sicherheitsregelübereinstimmung vorhanden ist. Der firewall erlaubt standardmäßig den innerzonengebundenen Datenverkehr. Sie können dieses Standardverhalten für den intra-Zone- und inter-zone-Datenverkehr von der Regelbasis der Sicherheitsrichtlinien ändern.  
 
Hinweis: Der firewall wendet Sicherheitsregeln auf den Inhalt des ursprünglichen Pakets an, auch wenn NAT Regeln konfiguriert sind.    
 

3.8. ASitzungslortung

Der firewall weist einen neuen Sitzungseintrag aus dem freien Pool zu, nachdem alle oben genannten Schritte erfolgreich abgeschlossen wurden. Speicherreservierung Sitzung kann an dieser Stelle aufgrund von Ressourceneinschränkungen auftreten:
  • VSYS Sitzungshöchstgeschwindigkeit erreicht oder
  • Der firewall weist alle verfügbaren Sitzungen zu.
Nachdem die Sitzungszuweisung erfolgreich war:
  • Der firewall füllt Sitzungsinhalte mit Flow-Schlüsseln, die aus dem Paket extrahiert wurden, und den Weiterleitungs-/Ergebnissen policy .
  • Sitzungsstatus ändert sich von INIT (Vorzuordnung) zu OPENING (Nachzuweisung) .
  • Wenn die Anwendung nicht identifiziert wurde, sind den Session-Timeout-Werte auf Default-Wert des Transportprotokolls festgelegt. Sie können diese globalen Timeoutwerte über die Geräteeinstellungen von Firewall konfigurieren.Anwendungsspezifische Timeoutwerte überschreiben die globalen Einstellungen und sind die effektiven Timeoutwerte für die Sitzung, sobald die Anwendung identifiziert wurde.  
Nach der Installation erfolgt die Installationsinstallation:
  • Firewall fragt die Flow-Suchtabelle ab, um festzustellen, ob eine Übereinstimmung für die Flussschlüssel vorhanden ist, die der Sitzung entsprechen.Wenn eine Flow-Suchübereinstimmung gefunden wird (Sitzung mit demselben Tupel ist bereits vorhanden), wird diese Sitzungsinstanz verworfen, da die Sitzung bereits vorhanden ist.
  • Die Sitzung wird der Flow-Suchtabelle für C2S- und S2C-Flows hinzugefügt und firewall ändert den Status der Sitzung von in OPENING ACTIVE .
Der firewall sendet das Paket dann zur Sicherheitsverarbeitung an die Session Fast Path-Phase.
 

Abschnitt 4 : Firewall Schneller Sitzungspfad

A Paket, das einer vorhandenen Sitzung entspricht, wird in den schnellen Pfad eingegeben. Diese Phase beginnt mit der Verarbeitung von Layer-2 bis firewall Layer-4:
  • Wenn sich die Sitzung im Verwerfenbefindet, verwirft der firewall das Paket.Der firewall kann eine Sitzung aufgrund einer policy Aktionsänderung zum Verweigern oder bedrohungserkennung als im Verwerfenstatus befinden.
  • Wenn die Sitzung aktiv ist, aktualisieren Sie das Sitzungstimeout .
  • Wenn es sich bei dem Paket um ein TCP FIN / RST handelt, wird der Halbgeschlossene Zeitgeber der Sitzung TCP gestartet, wenn dies das erste FIN empfangene Paket ist (halb geschlossene Sitzung) oder der TCP Time Wait-Timer gestartet wird, wenn dies das zweite FIN Paket oder Paket RST ist. Die Sitzung wird geschlossen, sobald einer dieser Timer abläuft.
  • Wenn NAT anwendbar, übersetzen Sie den L3/L4-Header als zutreffend.
Wenn eine Anwendung als Transport verwendet TCP wird, verarbeitet dies firewall durch das TCP Reassemblymodul, bevor sie den Datenstrom an das Sicherheitsverarbeitungsmodul sendet. Das TCP Reassembly-Modul führt auch Fensterüberprüfungen durch, Puffer aus der Reihenfolge von Daten, während die TCP erneute Übertragung übersprungen wird. Der firewall löscht die Pakete, wenn ein Reassemblyfehler auftritt oder wenn er zu viele nicht geordnete Fragmente empfängt, was dazu führt, dass sich die Reassemblypuffer füllen.
 

4.1. Sicherheitsverarbeitung

A Paketabgleich einer bestehenden Sitzung unterliegt der weiteren Verarbeitung (Anwendungsidentifikation und/oder Inhaltsüberprüfung), wenn Paket TCP Daten UDP (Nutzlast) hat oder es sich um ein TCP Nicht-/Paket UDP handelt.
 
Wenn die firewall Sitzungsanwendung nicht erkannt wird, führt sie eine ID App-Suche durch. Wenn die ID App-Suche nicht schlüssig ist, führt das Inhaltsinspektionsmodul bekannte Protokolldecoderprüfungen und Heuristiken aus, um die Anwendung zu identifizieren.  
 
Wenn der firewall die Anwendung erkennt, unterliegt die Sitzung einer Inhaltsprüfung, wenn eine der folgenden Optionen zutrifft:
  • Application Layer Gateway ( ALG ) ist beteiligt .
  • Anwendung ist getunnelte.
  • Der Sicherheitsregel ist ein Sicherheitsprofil zugeordnet.
Die Phasen Anwendungsidentifikation (App- ID ) und Inhaltsinspektion werden in späteren Abschnitten (Abschnitt 5 und 6) ausführlich erläutert.  
 

4.2. Captive Portal

Wenn die Benutzerinformationen für die aus dem Paket extrahierte Quelladresse nicht verfügbar IP sind und das Paket für /80 bestimmt TCP ist, führt der eine Suchsuche nach der firewall Eigenportalregel durch, um festzustellen, ob das Paket der Ingebundenen Portalauthentifizierung unterliegt. Wenn das Captive Portal anwendbar ist, wird das Paket an den Daemon des Gefangenenportals umgeleitet.
 
Hinweis: Da das Captive-Portal für http-Datenverkehr gilt und auch eine URL kategoriebasierte policy Suche unterstützt, kann dies erst nach Abschluss des Handshakes ausgelöst TCP werden, und die http-Hostheader sind im Sitzungsaustausch verfügbar.
 

Abschnitt 5 : IAnwendungsverdichtung (App-ID)

Die firewall erste führt eine Anwendungs-Override-Suche policy durch, um festzustellen, ob eine Regelübereinstimmung vorliegt. Falls vorhanden, ist die Anwendung bekannt, und die Inhaltsprüfung wird für diese Sitzung übersprungen.
Wenn keine Anwendung-Override-Regel vorhanden ist, werden Anwendung Signaturen verwendet, um die Anwendung zu identifizieren.Der firewall verwendet die Protokolldekodierung in der Inhaltsinspektionsphase, um zu bestimmen, ob eine Anwendung von einer Anwendung in eine andere wechselt.
 
Nachdem die firewall Sitzungsanwendung identifiziert wurde, werden zugriffsgesteuerte, Inhaltsinspektion, Datenverkehrsverwaltung und Protokollierung wie konfiguriert eingerichtet.
  • policySicherheitssuche: Die identifizierte Anwendung sowie IP /port/protocol/zone/user/category URL in der Sitzung werden als Schlüssel verwendet, um Regelübereinstimmungen zu finden.
  • Wenn die Protokollierung der Sicherheit policy beim Sitzungsstart aktiviert ist, generiert der firewall ein Datenverkehrsprotokoll, das sich jedes Mal ändert, wenn sich die App ID während der gesamten Sitzungsdauer ändert.  
  • Wenn eine policy Sicherheitsaktion so eingestellt ist, dass sie zulässig ist und das zugehörige Profil und/oder die Anwendung einer Inhaltsüberprüfung unterliegt, übergibt sie alle Inhalte über Content- ID .
  • Wenn die policy Sicherheitsaktion so eingestellt ist, dass sie zulässt, führt der firewall eine QoS-Suche aus policy und weist eine QoS-Klasse basierend auf der übereinstimmenden policy zu.
  • Wenn die policy Sicherheitsaktion so eingestellt ist, dass diese zulässig ist und die Anwendung SSL eine oder - SSH ist, führen Sie eine Entschlüsselungssuche policy durch und richten Sie Proxykontexte ein, wenn eine übereinstimmende Entschlüsselungsregel vorhanden ist.
 

Abschnitt 6 : Inhaltsinspektion  

Der firewall führt ggf. Content Inspection durch, bei der Protokolldecoder den Flow und die Analyse dekodieren firewall und bekannte Tunneling-Anwendungen identifizieren (solche, die routinemäßig andere Anwendungen wie Web-Browsing übertragen).
Wenn sich die identifizierte Anwendung aus diesem Grund ändert, konsultiert der firewall die Sicherheitsrichtlinien erneut, um festzustellen, ob die Sitzung fortgesetzt werden darf.
 
Wenn sich die Anwendung nicht ändert, firewall überprüft der Inhalt gemäß allen Sicherheitsprofilen, die der ursprünglichen Übereinstimmungsregel zugeordnet sind. Wenn dies zur Erkennung von Bedrohungen führt, wird die entsprechende Sicherheitsprofilaktion ausgeführt.
 
Der firewall leitet das Paket an die Weiterleitungsphase weiter, wenn eine der Bedingungen zutrifft:
  • Wenn die Inspektion zu einer "Erkennungs- und Sicherheitsprofilaktion" führt,
  • Content Inspection gibt keine "Erkennung" zurück.
Der verschlüsselt dann das Paket erneut, bevor es in firewall die Weiterleitungsphase eintritt, falls zutreffend SSL (ForwardProxy-Entschlüsselung und SSH -Entschlüsselung).
 

Abschnitt 7: Spedition/Egress

Der firewall identifiziert eine Weiterleitungsdomäne für das Paket, basierend auf dem Weiterleitungs-Setup (siehe zuvor).
Der firewall führt QoS-Formungen wie im Ausgangsprozess aus. Außerdem führt die Fragmentierung basierend auf der MTU Egress-Schnittstelle und den Fragmentbiteinstellungen auf dem Paket firewall bei Bedarf aus.

Wenn es sich bei der Egressschnittstelle um eine Tunnelschnittstelle handelt, wird die IPSec/Tunnelverschlüsselung durchgeführt und die SSL-VPN Paketweiterleitung neu ausgewertet.
 
Schließlich wird das Paket aus der physischen Egress-Schnittstelle übertragen.
 

Abschnitt 8 : Zusammenfassung

Palo Alto Networks Firewalls der nächsten Generation verwendet eine einzigartige Single Pass Parallel Processing (SP3) Architektur – ermöglicht hohen Durchsatz, geringer Latenz Netzwerksicherheit, alle unter Einbeziehung von noch nie da gewesenen Features und Technologie. Palo Alto Networks löst die Leistungsprobleme, die die heutige Sicherheitsinfrastruktur plagen, mit der SP3-Architektur, die zwei komplementäre Komponenten kombiniert: Single Pass-Software, Parallel Processing hardware . Das Ergebnis ist eine hervorragende Mischung aus reinen Durchsatz, Transaktionsverarbeitung, und Netzwerk-Sicherheit, dass die heutigen Hochleistungs-Netzwerke erfordern.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClVHCA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language