Le numéro d'ID de vidage IDMGR est-il corrélé avec le numéro d'Index de base Flow?

15593

Created On 09/25/18 19:21 PM - Last Modified 06/08/23 06:32 AM

Symptom

Symptômes

Après vérification que vos stratégies sont correctes pour la stratégie de sécurité et la stratégie NAT, vous trouvez que le trafic réseau n'utilise toujours pas la stratégie de sécurité attendue. Étant donné que le trafic n'utilise pas la stratégie de sécurité attendue, il est autorisé ou refusé par une stratégie incorrecte.

Une chose importante à noter, lorsque vous configurez votre stratégie de sécurité à l'onglet application et que votre service est défini par défaut d'application, est si les ports non standard sont utilisés par l'application, alors il peut ne pas correspondre à la stratégie de sécurité.

Exemple

Si l'application SSH que vous dépannez utilise un port autre que le port 22, la stratégie de sécurité prévue ne sera pas atteinte et l'application risque d'être bloquée par une stratégie de sécurité différente. Application-default applique L'utilisation de ports standard attribués aux applications.

SSH1. Png

SSH2. Png

Diagnostic

Il ya une idée fausse que la sortie dump idmgr numéro d'identification de commande est corrélée avec le flux de base numéro d'index de débogage et donc un diagnostic incorrect peut donner.

IDMG DUMP OUTPUT

admin @ PA-200 > Debug Device-Server dump idmgr type de sécurité-Rule All

ID nom
------------------------------
1 intrazone-par défaut
2 INTERZONE-par défaut
3 YouTube
4 SSH brute force test
5          Vpn_allow_ 192.168.55.1
6 Kids règle stricte base
7 client permettre
à tous les 8 sortant permettre
à tous 9 VLAN_100 de confiance permettre
10 log tous les
11 en entrant Clean Up
12 T-Mobile Tower
13 D VR_Policy

type: 13 dernier ID: 14 incompatibilité CNT:  0

Resolution

La bonne façon de déterminer la stratégie de sécurité par rapport à l'index de base de flux serait d'exécuter une commande Afficher l'exécution de la stratégie de sécurité et de compter à partir du haut vers le bas en commençant par l'index 0. De là, vous pouvez corréler l'index de base de flux avec la règle de stratégie de sécurité.

admin @ PA-200 > afficher la sécurité en cours d'exécution-politique | match "\ {"
DVR_Policy {index 0
"ssh brute force test" {index 1
vpn_allow_ 192.168.55.1 {index 2
"enfants strict Rule base" {index 3
"Customer Allow All" {Inde x 4
"sortant autoriser tous" { index 5  
"T-Mobile Tower" { 
"entrant nettoyer" { 
intrazone-default { 
interzone-default {

Flow Basic Debug affiche la correspondance de trafic avec l'index 5

= = 2016-09-11 15:48:45.817-0700 = =

Paquet reçu au stade slowpath

Info paquet: Len 89 port 17 interface 17 VSys 1

wQE index 229141 Packet 0x0x80000000b7aca0c6

Benne basculante, paquet décodé :

L2:44:39: C4:59:8c: 38-> B4:0C: 25:4D: 19:11, type 0x0800

IP: 10.200.10.118-> 4.2.2.2, protocole 17

version 4, DIH 5, TOS 0x00, Len 75,

ID 27506, frag_off 0x0000, TTL 128, checksum 46062

UDP: sport 54308, dport 53, Len 55, checksum 49523

Installation de la session : vsys 1

PBF Lookup (Vsys 1) avec l'application None

Session Setup: Ingres interface ethernet1/2 sortie interface ethernet1/4 (zone 3)

Recherche de stratégie NAT, index de règle correspondant 0

Recherche de stratégie dos, aucune règle assortie, Let PKT Go

Recherche de stratégie, index de règle 5,<--- security=""></--->

Alloué la nouvelle session 40164.

Paquet correspondant VSys 1 NAT rule'src_nat_ 10.200. x. x' (index 1),

source translation 10.200.10.118/54308 = > 10.0.0.5/35941

Session créée, Enqueue à installer