パケット フロー シーケンス PAN-OS
1265420
Created On 09/25/18 19:10 PM - Last Modified 06/04/21 21:44 PM
Resolution
このドキュメントでは、 でのパケット処理のシーケンスについて説明 PAN-OS します。
パケットの生活の中の日
PAN-OSパケット フロー シーケンス。 PAN-OS7.0.2 および 6.1.7 PAN-48644 ( ) 以降、 DOS 保護ルックアップはセキュリティー・ルックアップの前に行われます policy 。 このドキュメントは、この動作の変更を反映するように更新されました。
内容 SECTION :1: OVERVIEW
SECTION 2: INGRESS STAGE
2.1 PACKET PARSING 2.2 TUNNEL DECAPSULATION 2.3 IP DEFRAGMENTATION
SECTION 3: FIREWALLSESSION LOOKUP
3.1. ZONE PROTECTION CHECKS 3.2. TCP STATE CHECK 3.3. FORWARDING SETUP 3.4. NAT POLICY LOOKUP 3.5. USER - ID 3.6. DOS PROTECTION POLICY LOOKUP 3.7. SECURITY POLICY LOOKUP 3.8. SESSION ALLOCATION
SECTION 4: FIREWALL SESSION FAST PATH
SECURITY PROCESSING CAPTIVE PORTAL
SECTION 5: APPLICATION IDENTIFICATION( APP - ID)
SECTION 6: CONTENT INSPECTION
SECTION 7: FORWARDING EGRESS /
SECTION 8: SUMMARY
セクション 1: 概要
このドキュメントでは、デバイス内部のパケット処理シーケンスについて説明 PAN-OS します。 入力および転送/出力ステージは、ネットワーク機能を処理し、パケット単位でパケット転送の決定を行います。 残りのステージは、セッションベースのセキュリティ モジュールで、App- と Content- で強調表示されます ID ID 。 この分離は、アプリケーション層でのステートフルなセキュリティ機能、およびパケットごとの転送の回復性と展開トポロジの柔軟性を提供します。
セクション 2: 入力ステージ
入力ステージは、ネットワーク インターフェイスからパケットを受信し、それらのパケットを解析し、特定のパケットがさらなる検査の対象かどうかを判断します。 パケットがさらに検査を受ける場合、セッション firewall 検索が続行され、パケットはセキュリティ処理段階に入ります。 それ以外の場合は、 firewall パケットを出力ステージに転送します。セクション 3 では、 firewall パケットの種類とインターフェイスの動作モードに応じて、インスペクションなしでパケットを転送する場合について説明します。
注 : パケット処理中に、 firewall プロトコル違反のために パケットを破棄する可能性があります。 攻撃 firewall 防止機能により、設定可能なオプションを使用せずにパケットを破棄する場合があります。 セクション 2.1 は、 firewall この段階でパケットを廃棄する場合のこのようなケースを列挙します。
パケットフローウォークスルー 高解像度HERE の画像をクリックしてください
2.1 パケット 解析
パケット解析は、ワイヤから受信したパケットのイーサネット(レイヤ 2)ヘッダーから開始されます。 入力ポート、802.1q、 tag および宛先 MAC アドレスは、入力論理インターフェイスをルックアップするためのキーとして使用されます。 インターフェイスが見つからない場合、パケットは破棄されます。 hardwareインターフェイス カウンター "受信エラー" とグローバル カウンター "flow_rcv_dot1q_tag_err" がインクリメントされます。
次に、 IP ヘッダーが解析されます (レイヤー 3)。
IPv4: firewall 次のいずれかの理由でパケットが廃棄されます。
イーサネットの種類とバージョンの不一致 IP 切り捨てられた IP ヘッダー IP プロトコル番号 0 TTL ゼロ 土地攻撃 死の平 火星 IP の住所 IP チェックサムエラー
IPv6: firewall 次のいずれかの理由でパケットが廃棄されます。
イーサネットの種類とバージョンの不一致 IP 切り捨てられた IPv6 ヘッダー 切り捨てられた IP パケット ( IP ペイロード・バッファー長が IP ペイロード・フィールドより小さい) ジャンボグラム拡張 ( RFC 2675) 切り捨てられた拡張ヘッダー
次に、Layer-4 ( TCP / UDP ) ヘッダーが解析されます (該当する場合)。
TCP: firewall は、次のいずれかの理由によりパケットを破棄します。
TCP ヘッダーは切り捨てられます。 データ - オフセット フィールドが 5 未満です チェックサム エラー ポートがゼロです フラグの組み合わせが無効です TCP
UDP: firewall は、次のいずれかの理由でパケットを破棄します。
UDP ヘッダーが切り捨てられました UDP ペイロード切り捨て ( IP フラグメントおよび UDP バッファー長が UDP 長さフィールドより小さい ) チェックサム エラー
2.2 トンネルのカプセル化
構文 firewall 解析の段階でカプセル化解除/復号化を実行します。 パケットを解析した後、 firewall トンネル、つまり IPSec とトランスポートと一致すると判断した SSL-VPN 場合 SSL 、次のシーケンスが実行されます。
最初 firewall にパケットのカプセル化を解除し、エラーが存在する場合は破棄します。 トンネルに関連付けられたトンネル インターフェイスはその新しいイングレスインタ フェースとしてパケットに割り当てられ、パケットはトンネル型で定義されるパケットのヘッダーで始まる、解析プロセスを通じてフィードバックされます。 現在、サポートされているトンネル タイプは IP レイヤ トンネリングであるため、パケット解析 (トンネル パケットの場合) はヘッダーで始まります IP 。
2.3 IP デフラグ
フラグメント firewall を解析 IP し、最適化プロセスを使用して再アセンブルし、ヘッダーで始まるパーサーにパケットを送り返 IP します。この段階では、ティアドロップ攻撃(重複フラグメント)、断片化エラー、バッファ firewall リングされたフラグメントのシステム制限に達した場合(最大パケットしきい値に達した場合)、フラグメントが破棄される可能性があります。
セクション 3:Firewall セッションルックアップ
A パケットは、 firewall パケットタイプとインターフェイスモードに応じて処理されます。 次の表は、特定のインターフェイス操作モードとパケットタイプのパケット処理動作をまとめたものです。
パケットの種類 インターフェイスの操作モード レイヤー 3 レイヤー 2 仮想線 タップ IPv4 ユニキャスト 検査と前方 検査と前方 検査と前方 検査・ ドロップ IPv4 マルチキャスト
(224.0.0.1 239.255.255.255)
検査と前方 前方のみ (洪水) 転送しますが、マルチキャストの場合にのみ検査します
ファイアウォールが存在します。
検査・ ドロップ IP 放送
(255.255.255.255)
ドロップ 前方参照専用 (洪水) 転送しますが、マルチキャストの場合にのみ検査します
ファイアウォールが存在します。
ドロップ IP ローカル放送 ドロップ 前方参照専用 (洪水) 転送しますが、マルチキャストの場合にのみ検査します
ファイアウォールが存在します。
ドロップ IPv6 検査し、有効になっている場合は、転送
転送がオン (デフォルト) が IPv6 ファイアウォールの場合のみを検査
転送がオン (デフォルト) が IPv6 ファイアウォールの場合のみを検査 ドロップが on (デフォルト) が IPv6 ファイアウォールの場合のみを検査 非-IP プロセス、ない順に該当する場合 転送のみ 転送のみ ドロップ
パケットが検査の対象となる firewall 場合、パケットのフロー ルックアップを実行します。 A firewall セッションは、それぞれが一意に識別される 2 つの単方向フローで構成されます。 PAN-OS実装では、 は firewall 6 タプル キーを使用してフローを識別します。
送信元アドレスと宛先アドレス: IP パケットからのアドレス IP 。 送信元および宛先ポート: ポート番号が TCP / プロトコル UDP ヘッダーから。非/ TCP UDP の場合、異なるプロトコルフィールドが使用されます(例えば ICMP ICMP 、識別子とシーケンス番号が使用され、デバイス上でIPSecを終端する場合はセキュリティパラメータインデックス( SPI )が使用され、不明な場合は、定数予約値がレイヤ4の一致をスキップするために使用されます。 プロトコル: IP ヘッダーからのプロトコル番号 IP は、フローキーを導出するために使用されます。 セキュリティ ゾーン: このフィールドは、パケットが到着する入力インターフェイスから派生します。
アクティブ firewall なフローはフロー ルックアップ テーブルに格納されます。 パケットが検査の対象と判断されると firewall 、パケットから firewall 6 タプル フロー キーを抽出し、パケットと既存のフローを照合するフロー ルックアップを実行します。 各フローにはクライアントとサーバー コンポーネントがあり、クライアントはセッションの最初のパケットの送信者であり firewall 、サーバーはこの最初のパケットの受信側になります。
注: クライアントとサーバーの違いは firewall 、"エンド ホスト" の観点からは同じである場合と異なっている場合があります。 クライアントとサーバーの上記の定義に基づいて、クライアント間 (C2S) とサーバー間 (S2C) のフローがあり、すべてのクライアントからサーバーへのパケットには、C2S フローと同じキーが含まれている必要があります。
Firewall セッションのセットアップ
は firewall 、セッションを設定するために次の手順を実行 firewall します。
3.1. ゾーン保護チェック
パケットがインターフェイスに到着すると firewall 、入力インターフェイス情報が入力ゾーンを決定するために使用されます。 任意ゾーンの保護プロファイルがそのゾーンの場合は、パケットがプロファイル構成に基づいて評価対象です。
3.2.TCPSテートCヘックk
セッションの最初のパケットが TCP パケットであり、 SYN そのビットセットがない場合、そのパケットは破棄されます firewall (デフォルト)。SYNゾーン保護プロファイルでフラッド設定が構成され、アクションが Cookie に設定されている場合 SYN 、 TCP SYN SYN アクティブ化しきい値と一致する回数が Cookie に設定されると、Cookie がトリガーされます。 SYN クッキーの実装は次のように機能します。
クッキーをエンコードする種子、データ面が起動するたびに乱数ジェネレーターによって生成されます。 ACKクライアントから受信したパケットが Cookie エンコーディングと一致しない場合、パケットは非パケットとして扱われます SYN 。 A クッキーのプロセスを通過するセッション SYN は TCP firewall 、3 ウェイ ハンドシェイクのプロキシとして機能するため、シーケンス番号 TCP 変換の対象となります。
SYNフラッド保護アクションがデフォルトであるランダム早期ドロップ ( ) に設定されている場合 RED 、 firewall SYN しきい値に達した後に受信したメッセージは単にドロップされます。 SYN クッキーは、より合法的なトラフィックを通過させ、 SYN フラッディングパケットを区別して代わりにそれらをドロップできるようにする場合に推奨されます。 RED一方、 SYN パケットはランダムにドロップされ、正当なトラフィックに等しく影響を与える可能性があります。
注: ビットが設定 firewall TCP されていない場合でも、最初のパケットを許可するように設定できます SYN 。デフォルトの動作を変更し、非 SYN TCP パケットを許可すると Firewall 、有効な接続シーケンスの一部ではない悪意のあるパケットを開くことでセキュリティ上のリスクが生 TCP じます。 これは推奨される設定が、非対称のフローをシナリオに必要なことがあります。 Cookie が firewall TCP SYN 有効な場合は、非拒否するように を構成する必要があります SYN 。
3.3. 転送Sエタプ
この段階では、パケット転送経路を判断します。 パケット転送は、インタ フェースの構成によって異なります。 次の表では、パケット転送の動作をまとめたものです。
インターフェイスのモード
転送アクション
タップ 出力インターフェイス/ゾーンは、入力インターフェイス/ゾーンと同じ policy 観点から見たものです。 は firewall パケットを破棄します。 仮想線 出力インターフェイスは仮想回線で構成されているピア インターフェイスです。 レイヤー - 2 宛先の出力インターフェイス MAC がテーブルから取得されます MAC 。 情報が存在しない場合、フレームは VLAN 、入力インターフェイスを除く、関連付けられたブロードキャスト ドメイン内のすべてのインターフェイスにフラッディングされます。
レイヤー - 3 は firewall 、ルート ルックアップ テーブルを使用してネクスト ホップを決定するか、一致がない場合はパケットを破棄します。
3.4. NAT Pオリシー L・オークアップ
これレイヤー 3 または仮想モードでのみ適用されます。 この段階では、入力ゾーンと出力ゾーン情報を使用できます。元 firewall の NAT パケットのルールを評価します。
宛先 NAT の場合、 firewall 変換されたアドレスに対して 2 番目のルート ルックアップを実行して、出力インターフェイス/ゾーンを決定します。 ソース NAT の場合、ソース firewall NAT IP 割り当てのルールが評価されます。 割り当てチェックが失敗した場合、 firewall パケットは破棄されます。
3.5.ユーザー-ID
は firewall IP 、パケットのアドレスを使用して、 User- IP マッピング テーブル ( ごとに管理) を照会 VSYS します。 対応するユーザー情報を取得します。 firewall次の例では、このユーザー情報を取得してユーザー グループ マッピング テーブルを照会し、このユーザーに関連付けられたグループ マッピングを取得します (ユーザーが属するすべてのグループを返します)。
ユーザー情報がこの時点で使用できないこと可能性があります。 その場合、キャプティブ ポータル policy が設定されている場合 firewall 、キャプティブ ポータル認証を介してユーザ情報を見つけようとします(セクション 4 で説明)。
3.6. DoS 保護Policy ルックアップ
次に firewall 、DoS 保護 policy プロファイルに基づいて、トラフィックしきい値に対する DoS (サービス拒否) 保護をチェックします。DoS 保護 policy アクションが 「保護」に設定されている場合、 firewall 指定されたしきい値がチェックされ、一致 (DoS 攻撃が検出された) 場合はパケットが廃棄されます。
policyアクションが許可または拒否の場合、DoS プロファイルで設定されたしきい値制限に関係なく、アクションが優先されます。
3.7.セキュリティPオリシーローOKUP
この段階ではイングレスと出口のゾーン情報です。は firewall 、アプリケーション ANY を使用してルックアップを実行し、ルール一致をチェックします。ルールが一致した場合、 policy アクションが「拒否」に設定されている場合、 firewall パケットはドロップされます。firewall一致するセキュリティ ルールがない場合、トラフィックを拒否します。 デフォルト firewall では、ゾーン内トラフィックが許可されます。 セキュリティ ポリシー ルールベースから、ゾーン内およびゾーン間トラフィックに対するこの既定の動作を変更できます。
注 : 設定 firewall されたルールがある場合でも、元のパケットの内容にセキュリティルールが適用されます NAT 。
3.8. セッションAの割り当て
firewall上記の手順がすべて正常に完了した後、空きプールから新しいセッション エントリを割り当てます。 セッションの割り当てに失敗しました、この時点でリソースの制約により発生します。
VSYS セッションの最大値に達しました。 使用可能 firewall なすべてのセッションを割り当てます。
セッション割り当てが成功した後:
firewallパケットから抽出されたフローキーと転送/結果でセッションの内容を埋めます policy 。 セッション状態は INIT 、(事前割り当て) から OPENING (割り当て後) に変更されます。 アプリケーションが識別されていない場合、セッション タイムアウト値は、トランスポート プロトコルのデフォルト値に設定されます。 これらのグローバル タイムアウト値は Firewall 、デバイスの設定から構成できます。アプリケーション固有のタイムアウト値はグローバル設定をオーバーライドし、アプリケーションが識別されるとセッションの有効なタイムアウト値になります。
セットアップ後、セッションのインストールが行われます。
Firewall は、フロー ルックアップ テーブルに対して、セッションに一致するフロー キーに一致するかどうかを確認します。フロールックアップの一致が見つかった場合(同じタプルのセッションが既に存在します)、セッションが既に存在するため、このセッションインスタンスは破棄されます。 セッションは、C2S フローと S2C フローの両方のフロー ルックアップ テーブルに追加され、 firewall セッションの状態 OPENING が に変更されます ACTIVE 。
firewallその後、セキュリティ処理のためにパケットをセッション・ファースト・パス・フェーズに送信します。
セクション 4 : Firewall セッション高速機能
A 既存のセッションと一致するパケットは、高速パスに入ります。 このステージは、レイヤ 2 からレイヤ 4 の処理から始まります firewall 。
セッションが廃棄状態の場合、 firewall パケットは破棄されます。firewall拒否する policy アクション変更または脅威検出により、セッションが破棄状態になっているとマークできます。 セッションがアクティブな場合は、セッションタイムアウトを更新します。 パケットが / TCP FIN の場合、 RST セッション TCP ハーフクローズタイマーは、これが最初に FIN 受信されたパケット(半分クローズドセッション)である場合 TCP は開始され、2番目の FIN パケットまたはパケットの場合はTime Waitタイマーが開始されます RST 。 これらのタイマーのいずれかが切れるとすぐにセッションは閉じられます。 NAT該当する場合は、L3/L4 ヘッダーを適宜変換します。
アプリケーションが TCP トランスポートとして使用する場合、データ firewall ストリームがセキュリティ処理 TCP モジュールに送信される前に、アプリケーションは再アセンブリ モジュールによって処理されます。 TCP再アセンブリ モジュールは、再送信をスキップしながら、ウィンドウ チェックを実行し、順序の切れデータをバッファします TCP 。 firewall再アセンブリ エラーがあった場合や、異常なフラグメントが多すぎる場合はパケットが廃棄され、その結果、再アセンブリ バッファがいっぱいになります。
4.1. セキュリティ処理
A 既存のセッションと一致するパケットは、パケットが/データ(ペイロード)を持っている場合、 TCP または非/ パケットである場合、さらなる処理(アプリケーション識別および/またはコンテンツインスペクション UDP )の対象となります TCP UDP 。
セッション firewall アプリケーションが検出されない場合は、App- 検索を実行 ID します。 App- ID lookup が決定的でない場合、コンテンツ検査モジュールは既知のプロトコル デコーダー チェックとヒューリスティックを実行して、アプリケーションを識別します。
firewallアプリケーションが検出された場合、セッションは、次のいずれかに該当する場合、コンテンツ検査の対象となります。
アプリケーション層ゲートウェイ ( ALG ) が関与しています。 アプリケーションは、トンネリングされたアプリケーションです。 セキュリティ ルールには、セキュリティ プロファイルが関連付けられている。
アプリケーション識別 (App- ID ) およびコンテンツ検査の各段階については、後のセクション (セクション 5 および 6) で詳しく説明します。
4.2. キャプティブポータル
パケットから抽出された送信元アドレスに対してユーザ情報 was が使用できず IP 、パケットが /80 に送信される場合 TCP 、キャ firewall プティブ ポータル ルール ルックアップを実行して、パケットがキャプティブ ポータル認証の対象かどうかを確認します。 キャプティブ ポータルが適用可能な場合、パケットはキャプティブ ポータル デーモンにリダイレクトされます。
注: キャプティブ ポータルは http トラフィックに適用可能で URL 、カテゴリベースのルックアップもサポートしているため policy 、 TCP ハンドシェイクが完了し、セッション交換で http ホスト ヘッダーを使用できるようになると、このキーを開始できます。
セクション5 :アプリケーションIのインデント (アプリ-ID)
firewall最初の方法では、アプリケーションオーバーライド policy ルックアップを実行して、ルールの一致があるかどうかを確認します。 存在する場合、アプリケーションは既知であり、このセッションのコンテンツインスペクションはスキップされます。
アプリケーションによる上書きルールがない場合は、アプリケーションを識別するアプリケーションの署名が使用されます。では firewall 、コンテンツ検査ステージでプロトコルのデコードを使用して、アプリケーションがアプリケーション間で変更されるかどうかを判断します。
セッション firewall アプリケーションを識別した後、アクセス 制御、コンテンツ インスペクション、トラフィック管理、およびログ記録が設定されます。
セキュリティ policy ルックアップ: 識別されたアプリケーションと IP 、セッション内の /port/protocol/zone/user/ URL カテゴリが、ルールの一致を検索するためのキーとして使用されます。 policyセッション開始時にセキュリティでログ記録が有効になっている場合、 firewall セッションの有効期間中、App- が変更されるたびに、トラフィックログ ID が生成されます。 セキュリティ policy アクションが許可するように設定されており、関連付けられたプロファイルやアプリケーションがコンテンツ検査の対象になっている場合は、Content- を通じてすべてのコンテンツを渡 ID します。 セキュリティ policy アクションが許可に設定されている場合、 は firewall 、QoS ルックアップを実行 policy し、照合に基づいて QoS クラスを割り当てます policy 。 セキュリティ policy アクションが許可に設定され、アプリケーションが または である場合は、 SSL SSH 復号化ルックアップを実行 policy し、一致する復号化ルール がある場合はプロキシ コンテキストを設定します。
セクション 6 : コンテンツ検査
firewall必要に応じて、プロトコル デコーダーがフローをデコード firewall し、既知のトンネリング アプリケーション (Web ブラウジングなどの他のアプリケーションを日常的に実行するアプリケーション) を解析して識別する場合は、コンテンツインスペクションを実行します。
この理由により、識別されたアプリケーションが変更された場合は、 firewall セキュリティ ポリシーを再度調べて、セッションの継続を許可するかどうかを判断します。
アプリケーションが変更されない場合、元 firewall の一致ルールにアタッチされているすべてのセキュリティ プロファイルに従って、コンテンツが検査されます。 脅威検出が行われた場合は、対応するセキュリティ プロファイルアクションが実行されます。
firewall次のいずれかの条件が満たされている場合、パケットはフォワーディング ステージに転送されます。
検査の結果として「検出」が行われ、セキュリティプロファイルアクションが許可に設定されている場合、 コンテンツの検査が '検出' を返しません。
firewall次に、転送段階に入る前にパケットを再暗号化します (転送 SSL プロキシの復号化と SSH 復号化)。
セクション 7: 転送/出口
firewallは、(前述の)転送設定に基づいて、パケットの転送ドメインを識別します。
は firewall 、出力プロセスで適宜 QoS シェーピングを実行します。 また、 MTU 出力インターフェイスの出力およびパケットのフラグメント ビット設定に基づいて、 firewall 必要に応じてフラグメント化も実行されます。
出力インターフェイスがトンネル インターフェイスの場合は、IPSec/ SSL-VPN トンネル暗号化が実行され、パケット転送が再評価されます。
最後に、パケットは物理出力インターフェイスから送信されます。
セクション8:概要
パロ ・ アルト ネットワーク次世代ファイアウォールは、独自のアーキテクチャ単一パス並列処理 (SP3)-すべての前例のない機能と技術を取り入れながら高スループット、低レイテンシのネットワーク セキュリティを有効にするを使用します。 パロアルトネットワークスは、2つの補完的なコンポーネントを組み合わせたSP3アーキテクチャを使用して、今日のセキュリティインフラストラクチャを悩ませるパフォーマンスの問題を解決 hardware します。 その結果、生のスループット、トランザクション処理の優秀なミックス、ネットワーク セキュリティ、今日の高性能ネットワークを必要とします。