通过安全策略允许的 TCP 3 方式握手在使用固定门户时拒绝通信量
91416
Created On 09/25/18 19:47 PM - Last Modified 06/14/23 05:56 AM
Symptom
症状
当定义安全策略以拒绝对特定目标的通信时, 您会发现帕洛阿尔托网络防火墙仍然允许3路握手。
示例:
user@host 显示运行安全策略
PANOBLOCK {任何; 源
区域无;
任何;
目标 104.244.14.253;目的地-区域无; < specific="" destination="">
</>
用户任何;
类别; 或申请/服务任何/任何/任何/任何/任何
;
行动否认;无法访问 icmp: 无终端 no;} < simple="" destination="" ip="" based="">
</>
user@host 显示会话 id 10622
会话10622
c2s 流量:
来源: 192.168.15.41 [L3-Trust]
dst: 104.244.14.253
原: 6
体育: 49460 dport:80
状态: 活动类型: 流
src 用户
: 未知的 dst 用户: 未知数
s2c 流量:
来源: 104.244.14.253 [L3-Untrust]
dst: 10.129.72.15
原: 6
体育:80 dport: 17747
状态: 活动类型: 流
src 用户
: 未知的 dst 用户: 未知数
开始时间: 周四 10月27日 19:52:53 2016
超时:90 秒
生存时间:76 秒
总字节计数 (c2s): 672
总字节计数 (s2c):62
layer7 数据包计数 (c2s): 5 <>
</> layer7 数据包计数 (s2c): 1 <>
</> vsys: vsys1
应用: 网页浏览
规则: PANOBLOCK
将在末尾记录的会话:
会话中的错误会话:
HA 对等方更新的真实会话: 错误
地址/端口转换: 源
nat 规则: NAT_OUT (vsys1)
layer7 处理: 启用的
URL 筛选已启用: True
URL 类别: 未解析的
会话通过 syn cookie:
在主机上终止的错误会话: 假
会话遍历隧道: 伪
捕获门户会话: 错误的
入口接口: ethernet1/4
出口接口:ethernet1/3
会话 QoS 规则: N/A (类 4)
结束原因: 策略拒绝< policy="" action=""></>
您可以看到, 尽管通信量与拒绝策略数据包匹配并且正在发送。
数据包捕获还会显示数据包实际上是发送的。
诊断
如果通信量与配置的固定门户策略匹配, 则会发生这种情况。
示例:
user@host 显示运行的固定门户-策略
测试 {
从 L3-Trust;
源;
L3-Untrust;
目的地任何;
类别;
服务 [tcp/any/80 tcp/any/8080];
操作 web 窗体;
终端是;
}
在使用流基本集运行数据包诊断时, 您可以注意到通信与捕获的门户策略匹配:
示例:
== 2016-10-27 19:52:53.510-0700 ==
在 slowpath 阶段收到的数据包
信息: len 62 端口19接口 19 vsys 1
wqe 索引229362数据包 0x0x8000000037b900e6
包解码转储:
L2: 00:50:56:93:51:10-> 58:49:3b: 9 d: a6:13, 类型0x0800
IP: 192.168.15.41-104.244.14.253, 协议 6
版 4, 国际人道主义法 5, tos 0x00, len 48,
id 991, frag_off 0x4000, ttl 128, 校验和 44838
TCP: 运动 49460, dport 80, 序列 1732543400, ack 0,
保留 0, 偏移 7, 窗口 8192, 校验和28395、
标志 0x0002 (SYN), 紧急数据 0
TCP 选项:
00000000:02 04 05 b4 01 01 04 02.. 。
会话设置: vsys 1
PBF 查找 (vsys 1) 使用应用程序 web 浏览
会话设置: 入口接口 ethernet1/4 出口接口 ethernet1/3 (区域 8)
NAT 策略查找, 匹配规则索引 0
2016-10-27 19:52:53.510-0700 调试: __pan_cfg_cp_policy_lookup (pan_cfg_cp_policy: 154): 返回规则索引为 0Pa
cket 匹配的固定门户规则, 操作 1 < matching="" captive="" portal=""></>
然后, 我们将看到通过内部安全策略为捕获的门户会话通信允许通信量:
策略查找 (匹配的规则索引 0) 是特殊 < hitting="" a="" special="" rule=""> </>
分配的新会话 10622.
当任何到端口80或8080的通信 (如果启用了解密 443), 匹配该固定门户策略它绕过配置的安全策略查找并允许3路握手。
这种行为的原因是, 如果在被囚禁的门户网站上, 帕洛阿尔托网络防火墙将通过劫持正在进行的 "http" 会话来呈现 "重定向" 或 "web 窗体"。3方式握手将被允许, 帕洛阿尔托网络防火墙将拦截 "http 获取" 请求并发送重定向。
Resolution
如果希望阻止对任何特定目标的3路握手, 则必须为特定目标配置无固定门户策略, 并将其插入到现有的固定门户策略之前。
示例:
测试-排除 {
从 L3-Trust;
源;
L3-Untrust;
目标 104.244.14.253;
类别;
服务 [tcp/any/80 tcp/any/8080];
行动无俘虏门户;
终端 no;
}
现在, 您可以从数据包诊断日志中看到,通信量将按预期被拒绝, 并且您将看不到为该目标创建的任何会话.
user@host 少 dp 日志 pan_packet_diag 日志
== 2016-10-27 20:02:53.356-0700 ==
在 slowpath 阶段收到的数据包
信息: len 66 端口19接口 19 vsys 1
wqe 索引228960数据包 0x0x8000000037bae8e6
包解码转储:
L2: 00:50:56:93:51:10-> 58:49:3b: 9 d: a6:13, 类型0x0800
IP: 192.168.15.41-104.244.14.253, 协议 6
版 4, 国际人道主义法 5, tos 0x00, len 52,
id 1097, frag_off 0x4000, ttl 128, 校验和 44728
TCP: 运动 49467, dport 80, 序列 1588496236, ack 0,
保留 0, 偏移 8, 窗口 8192, 校验和24487、
标志 0x0002 (SYN), 紧急数据 0
TCP 选项:
00000000:02 04 05 b4 01 03 03 08 01 01 04..。....
会话设置: vsys 1
PBF 查找 (vsys 1), 应用程序无
会话设置: 入口接口 ethernet1/4 出口接口 ethernet1/3 (区域 8)
NAT 策略查找, 匹配规则索引 0
2016-10-27 20:02:53.356-0700 调试: __pan_cfg_cp_policy_lookup (pan_cfg_cp_policy: 154): 返回规则索引为 0Policy 查找, 匹配规则索引 0,
生成会话拒绝日志
数据包, 会话设置失败