IDMGR 转储 ID 号与流基本索引号相关吗？

15589

Created On 09/25/18 19:21 PM - Last Modified 06/08/23 06:32 AM

Symptom

症状

验证策略对安全策略和 NAT 策略是否正确后, 您发现网络通信仍未使用预期的安全策略。因为通信没有使用预期的安全策略, 所以它要么被不正确的策略允许, 要么被拒绝。

要注意的重要一点是, 当您在 "应用程序" 选项卡上配置安全策略并将服务设置为应用程序默认值时, 如果应用程序使用非标准端口, 则它可能与安全策略不匹配。

示例

如果您正在诊断的 SSH 应用程序使用端口22以外的端口, 则预期的安全策略不会被命中, 并且应用程序可能会被不同的安全策略阻止。应用程序默认强制使用归因于应用程序的标准端口。

SSH1。Png

SSH2。Png

诊断

有一种误解, 即转储 idmgr 命令 ID 号输出与流基本调试索引号相关联, 因此可能会给出错误的诊断。

IDMG 转储输出

admin@PA-200> 调试设备-服务器转储 idmgr 类型安全-规则所有

ID 名称
------------------------------
1 intrazone-默认
2 区间-默认
3 YouTube
4 SSH 强力测试
5         VPN_ALLOW_192.168.55.1
6 个孩子严格规则基础
7 客户允许所有
8 出站允许所有
9 VLAN_100 信任允许
10 日志所有
11 入站清理
12 T 移动塔
13 DVR_Policy

类型:13 最后一个 id:14 不匹配碳纳米管: 0

Resolution

确定与流程基本索引相关的安全策略的正确方法是运行显示运行的安全策略命令, 并从上往下计数, 从索引0开始。从那里, 您可以将流基本索引与安全策略规则关联起来。

admin@PA-200> 显示运行安全-策略 |匹配 "\ {"
DVR_Policy {索引 0
"SSH 蛮力测试" {索引 1
VPN_ALLOW_192.168.55.1 {索引 2
"孩子严格规则基地" {索引 3
"客户允许所有" {体育学院x 4
"出站允许所有" {索引 5  
"T 移动塔" { 
"入站清理" { 
intrazone-默认 {
区间-默认 {

流基本调试显示与索引5的通信匹配

== 2016-09-11 15:48:45.817-0700 ==

slowpath 阶段收到的数据包

数据包信息: len 89 端口17接口 17 vsys 1

wqe 索引229141数据包0x0x80000000b7aca0c6

数据包解码的转储：

L2: 44:39: c4:59:8c:38-> b4:0c: 25:4d: 19:11, 类型0x0800

IP: 10.200.10.118-4.2. 2.2, 协议17

版本 4, 国际人道主义法 5, tos 0x00, len 75,

id 27506, frag_off 0x0000, ttl 128, 校验和46062

UDP: 体育 54308, dport 53, len 55, 校验和49523

设置会话： vsys 1

PBF 查找 (vsys 1), 应用程序无

会话设置: 入口接口 ethernet1/2 出口接口 ethernet1/4 (3 区)

NAT 策略查找, 匹配的规则索引0

DoS 策略查找, 没有规则匹配, 让 pkt 去

策略查找, 匹配的规则索引 5,<--- security=""></--->

分配了新的会话40164。

数据包匹配 vsys 1 NAT 规则 "SRC_NAT_10.200 x" (索引 1),

源翻译 10.200.10.118/54308 = 10.0. 0.5/35941

创建的会话, 排队要安装

IDMGR 转储 ID 号与流基本索引号相关吗？

Symptom

症状

示例

诊断

Resolution

Other users also viewed: