Symptômes
Lorsqu'une stratégie de sécurité est définie pour refuser le trafic à une destination particulière, vous verrez que le pare-feu de Palo Alto Networks permettrait toujours la poignée de main à trois voies pour passer.
Exemple:
utilisateur @ Host > afficher la stratégie de sécurité en cours d'exécution
PANOBLOCK {
de Any;
source Any;
source-Region None;
à Any;
destination 104.244.14.253; Destination-région None; < specific="" destination="">
</>
utilisateur any;
catégorie any;
application/service any/any/any/any;
action Deny; ICMP-inaccessible: aucun terminal no;} < simple="" destination="" ip="" based="">
</>
utilisateur @ hôte > Show session ID 10622
SESSION 10622
flux C2S:
source: 192.168.15.41 [L3-Trust]
DST: 104.244.14.253
proto: 6
sport: 49460 dport: 80
État: type actif: Flow
src utilisateur: inconnu
DST utilisateur: inconnu
flux S2C:
source: 104.244.14.253 [L3-Untrust]
DST: 10.129.72.15
proto: 6
sport: 80 DPORT: 17747
État: actif type: Flow
src utilisateur: inconnu
DST utilisateur: inconnu
heure de début: Thu Oct 27 19:52:53 2016
timeout: 90 sec
temps de vivre: 76 sec nombre
total d'octets (C2S): 672 nombre
total d'octets (S2C): 62
layer7 nombre de paquets (C2S): 5 <>
</> layer7 paquet Count (S2C): 1 <>
</> VSys: vsys1
application: navigation sur le Web
règle: PANOBLOCK
session à consigner à la fin: fausse
session en session Agere: true
session mise à jour par ha Peer: fausse
adresse/port traduction: source
NAT-Rule: NAT_OUT (vsys1)
traitement layer7:
filtrage d'URL activé activé: true
URL Category: non-résolu
session via syn-cookies: false
session terminée sur l'hôte: false
session traverse tunnel: false
captive Portal session: false ingresse
interface: ethernet1/4
sortie interface: ethernet1/3
session QoS Rule: N/A (classe 4)
end-Reason: stratégie- Deny < policy="" action=""></>
Vous pouvez voir que si le trafic qu'il correspond aux paquets de stratégie de refus et sont envoyés.
Les captures de paquets révéleraient également que les paquets sont effectivement envoyés.
Diagnostic
Cela se produit si le trafic correspond à une stratégie de portail captif configurée.
Exemple:
utilisateur @ Host > afficher Running captive-Portal-Policy
TEST {
de L3-Trust;
source Any;
à L3-Untrust;
destination Any;
catégorie Any;
service [TCP/any/80 TCP/any/8080];
action Web-Form;
Terminal oui;
}
Lorsque vous exécutez Packet-diag avec Flow Basic Set, vous pouvez noter que le trafic correspond à la stratégie de portail captif:
Exemple:
= = 2016-10-27 19:52:53.510-0700 = =
paquet reçu à slowpath étape
info paquet: Len 62 port 19 interface 19 VSys 1
wQE index 229362 Packet 0x0x8000000037b900e6
paquet décodés dump:
L2:00:50:56:93:51:10-> 58:49:3b: 9D: A6:13, type 0x0800
IP: 192.168.15.41-> 104.244.14.253, Protocol 6
version 4, DIH 5, TOS 0x00, Len 48,
ID 991, frag_off 0x4000, TTL 128, checksum 44838
TCP: sport 49460, dport 80, Seq 1732543400, ACK 0,
réservé 0, offset 7, Window 8192, checksum 28395,
Flags 0x0002 (SYN), données urgentes 0
TCP option:
00000000:02 04 05 B4 01 01 04 02...... ..
Session Setup: VSys 1
PBF Lookup (Vsys 1) with application Web-navigation
session Setup: Ingres interface ethernet1/4 sortie interface ethernet1/3 (zone 8)
NAT recherche de stratégie, index de règle correspondant 0
2016-10-27 19:52:53.510-0700 Debug: __pan _cfg_cp_policy_lookup (pan_cfg_cp_policy. c:154): l'index de règle retourné est 0Pa
llet règle du portail captif, action < matching="" captive="" portal=""></> 1
Ensuite, nous voyons que le trafic est autorisé par une politique de sécurité interne pour le trafic de session portail captif:
Recherche de stratégie, index de règle correspondant à 0, est spécial < hitting="" a="" special="" rule=""> </>
alloué nouvelle session 10622.
Lorsqu'un trafic vers le port 80 ou 8080 (443 si le décryptage est activé), correspond à la stratégie de portail captif, il contourne la recherche de stratégie de sécurité configurée et permet la poignée de main à 3 voies.
Ce comportement est dû au fait que, en cas de portail captif, le pare-feu de Palo Alto Networks présenterait une "redirection" ou un "Web-Form", en détournant la session "http" en cours. La poignée de main à 3 voies serait autorisée, et le pare-feu de Palo Alto Networks intercepterait la requête "http-get" et enverrait la redirection.