Korreliert die IDMGR-Dump-ID-Nummer mit der Flow-Basic-Index Nummer?

15595

Created On 09/25/18 19:21 PM - Last Modified 06/08/23 06:32 AM

Symptom

Symptome

Nach der Überprüfung, dass Ihre Richtlinien sowohl für die Sicherheitspolitik als auch für die NAT-Politik korrekt sind, ist der Netzwerkverkehr immer noch nicht mit der erwarteten Sicherheitspolitik. Weil der Verkehr die erwartete Sicherheitspolitik nicht nutzt, wird er entweder durch eine falsche Politik erlaubt oder verweigert.

Eine wichtige Sache zu beachten, wenn Sie Ihre Sicherheitsrichtlinien auf der Registerkarte Anwendung konfigurieren und ihren Service auf die Anwendung einstellen lassen, ist, wenn nicht-Standard-Ports von der Anwendung verwendet werden, dann kann es nicht mit der Sicherheitspolitik übereinstimmen.

Beispiel

Wenn die SSH-Anwendung, die Sie stören, einen anderen Port als Port 22 verwendet, wird die beabsichtigte Sicherheitspolitik nicht getroffen und die Anwendung kann durch eine andere Sicherheitsrichtlinie blockiert werden. Anwendung-default erzwingt die Verwendung von Standard-Ports, die den Anwendungen zugeschrieben werden.

SSH1. Png

SSH2. Png

Diagnose

Es besteht der Irrglaube, dass die Ausgabe der Dumping-ID-Nummer mit der Flow-Basic-Debug-Indexnummer korreliert und somit eine falsche Diagnose gegeben werden kann.

IDMG-DUMP-Ausgabe

admin @ PA-200 > Debug Device-Server Dump idmgr Typ Security-Regel alle

ID-Namen
------------------------------
1 intrazone-Standard
2 Interzone-Standard
3 YouTube
4 SSH Brute Force Test
5          VPN_ALLOW_ 192.168.55.1
6 Kinder strenge Regel Basis
7 Kunde erlauben alle
8 Outbound erlauben alle
9 VLAN_100 zu vertrauen erlauben
10 log alle
11 Inbound Clean up
12 T-Mobile Tower
13 D VR_Policy

Typ: 13 Letzte ID: 14 Mismatch CNT: 0

Resolution

Der richtige Weg, um die Sicherheitspolitik in Bezug auf den Flow-Basis Index zu bestimmen, wäre, einen Show-Running-sicherheitspolitischen Befehl auszuführen und von oben nach unten zu zählen, beginnend mit Index 0. Von dort aus können Sie den Flow-Basic-Index mit der sicherheitspolitischen Regel korrelieren.

admin @ PA-200 > Lauf-Sicherheits-Politik anzeigen | Match "\ {"
DVR_Policy {Index 0
"SSH Brute Force Test" {Index 1
vpn_allow_ 192.168.55.1 {Index 2
"Kinder strenge Regel Basis" {Index 3
"Kunde erlauben alle" {Inde x 4
"Outbound erlauben alle" { Index 5  
"T-Mobile Tower" { 
"Inbound Clean up" { 
intrazone-Standard { 
Interzone-Default {

Flow Basic Debug zeigt Traffic Match zu Index 5

= = 2016-09-11 15:48:45.817-0700 = =

Paket auf der slowpath-Bühne erhalten

Paket info: len 89 Port 17 Interface 17 Vsys 1

wqe Index 229141 Packet 0x0x80000000b7aca0c6

Decodierte Packet Dump:

L2:44:39: C4:59:8c: 38-> B4:0C: 25:4D: 19:11, Typ 0x0800

IP: 10.200.10.118-> 4.2.2.2, Protokoll 17

Version 4, IHL 5, TOS 0x00, len 75,

ID 27506, frag_off 0x0000, TTL 128, Prüfsumme 46062

UDP: Sport 54308, dport 53, len 55, Prüfsumme 49523

Session Setup: Vsys 1

PBF Lookup (Vsys 1) mit Anwendung None

Session-Setup: Eindringen-Schnittstelle Ethernet1/2 Egress-Schnittstelle Ethernet1/4 (Zone 3)

NAT Policy Lookup, abgestimmtes Regel Index 0

DoS Policy Lookup, keine Regel abgestimmt, Let PKT go

Policy Lookup, abgestimmtes Regel Index 5,<--- security=""></--->

Neue Session 40164 zugewiesen.

Paket passend Vsys 1 NAT-Regel ' SRC_NAT_ 10.200. x. x ' (Index 1),

Source Translation 10.200.10.118/54308 = > 10.0.0.5/35941