¿El número de ID de volcado de IDMGR se correlaciona con el número de índice básico de flujo?

15585

Created On 09/25/18 19:21 PM - Last Modified 06/08/23 06:32 AM

Symptom

Síntomas de

Tras comprobar que las directivas son correctas tanto para la Directiva de seguridad como para la Directiva NAT, el tráfico de red sigue sin utilizar la Directiva de seguridad prevista. Dado que el tráfico no utiliza la Directiva de seguridad prevista, se está permitiendo o denegando una directiva incorrecta.

Una cosa importante a tener en cuenta, cuando se configura la Directiva de seguridad en la ficha aplicación y se establece el valor predeterminado de la aplicación, si los puertos no estándar son utilizados por la aplicación, puede que no coincida con la Directiva de seguridad.

Ejemplo

Si la aplicación ssh que está solucionando problemas utiliza un puerto que no sea el puerto 22, la Directiva de seguridad prevista no se verá afectada y la aplicación puede bloquearse mediante una directiva de seguridad diferente. La aplicación-default impone el uso de los puertos estándar atribuidos a las aplicaciones.

SSH1. Png

SSH2. Png

Diagnóstico

Hay una idea errónea de que la salida del número de identificación del comando dump idmgr se correlaciona con el número de índice de depuración de flujo básico y, por lo tanto, se puede dar un diagnóstico incorrecto.

SALIDA de volcado IDMG

admin @ PA-200 > depurar dispositivo-servidor volcado idmgr tipo seguridad-regla todo

nombre de ID
------------------------------
1 intrazone-defecto
2 Interzone-default
3 YouTube
4 ssh fuerza bruta prueba
5          Vpn_allow_ 192.168.55.1
6 niños base estricta regla
7 cliente permitir todos los
8 salientes permitir todos los
9 VLAN_100 a confiar en permitir
10 log todos los
11 limpieza entrante
12 T-Mobile Tower
13 D Tipo de VR_Policy

: 13 última ID: 14 no coinciden  CNT: 0

Resolution

La forma correcta de determinar la Directiva de seguridad en relación con el índice básico de flujo sería ejecutar un comando de directiva de seguridad de ejecución de show y contar desde arriba hacia abajo comenzando por el índice 0. A partir de ahí, puede correlacionar el índice de flujo básico con la regla de directiva de seguridad.

admin @ PA-200 > Mostrar seguridad en ejecución-política | coincidir "\ {"
DVR_Policy {index 0
"ssh bruta fuerza de prueba" {index 1
vpn_allow_ 192.168.55.1 {índice 2
"niños base estricta regla" {index 3
"cliente permitir todos" {Inde x 4
"salida permitir todos" { index 5  
"T-Mobile Tower" { 
"entrada de limpieza" {intrazone 
-por defecto {Interzone 
-default {

Flujo básico depurar muestra coincidencia de tráfico al índice 5

= = 2016-09-11 15:48:45.817-0700 = =

Paquete recibido en la etapa slowpath

Información sobre el paquete: Len 89 Port 17 interface 17 vsys 1

wqe index 229141 paquete 0x0x80000000b7aca0c6

Descarga descifrada de paquetes:

L2:44:39: C4:59:8c: 38-> B4:0C: 25:4D: 19:11, tipo 0x0800

IP: 10.200.10.118-> 4.2.2.2, protocolo 17

versión 4, DIH 5, tos 0x00, Len 75,

ID 27506, frag_off 0x0000, TTL 128, checksum 46062

UDP: deporte 54308, dport 53, Len 55, suma de comprobación 49523

Configuración de la sesión: vsys 1

PBF Lookup (vsys 1) con el uso ninguno

Configuración de sesión: entrada interfaz ethernet1/2 salida interfaz ethernet1/4 (zona 3)

Búsqueda de directivas NAT, índice de regla coincidente 0

Búsqueda de directivas de dos, no se ha emparejado ninguna regla, Let PKT Go

Búsqueda de directivas, índice de regla coincidente 5,<--- security=""></--->

Asignada nueva sesión 40164.

Paquete emparejado vsys 1 regla NAT ' src_nat_ 10.200. x ' (Índice 1),

fuente Translation 10.200.10.118/54308 = > 10.0.0.5/35941