何时在通信日志中显示会话开始日志？

详细

会话开始日志是在第一个数据包上生成的, 在三路握手之后不正确。例如, 如果安全策略仅在会话启动时登录, 并且在客户端和服务器之间建立了三路握手, 并且不发送任何数据, 则会话将存在于帕洛阿尔托网络防火墙上, 但通信日志将不会有相应的日志项。用户需要在会话开始日志显示之前通过连接推送一些数据。

下面是四个已测试的方案:

方案 1

仅在会话开始时记录的策略集

远程登录到更高端口13050上的目标主机。(请勿通过已建立的 telnet 会话传递数据包, 仅建立三路握手)

1. 检查防火墙上的已建立会话 (用户将看到一个会话 dport: 13050 为活动状态, 此时仅可看到3个数据包)
2. 检查监视器 > 日志 > 交通。(用户将找不到该会话的任何日志, 因为尚未传递任何数据)

方案 2

仅在会话开始时记录的策略集

远程登录到更高端口13050的目标主机并通过该会话传递数据包

1. 检查防火墙上的会话。(用户将看到一个会话 dport: 13050 为活动状态, 三个以上的数据包在当时可以看到)
2. 没有用于握手的通信记录。通信通过时, 它创建一个日志。

方案 3

用于在会话开始和会话结束时进行日志记录的策略集

远程登录到更高端口13050上的目标主机。(请勿通过已建立的 telnet 会话传递数据包, 仅建立三路握手)

1. 检查防火墙上的已建立会话 (用户将看到一个会话 dport: 13050 为活动状态, 此时仅可看到3个数据包)
2. 检查监视器 > 日志 > 交通。(用户将找不到该会话的任何日志, 因为尚未传递任何数据)
3. 通过该会话传递一些字符/数据包, 并让它超时或终止 telnet 会话。用户将看到 "开始" 日志和 "结束" 日志。

场景4

仅在会话结束时记录的策略集

远程登录到更高端口13050上的目标主机。(不要通过已建立的 telnet 会话传递数据包。只有三路握手)

1. 检查防火墙上的会话。(用户将看到一个会话 dport: 13050 作为活动, 当时只有3个数据包可以看到, 这是显而易见的)
2. 杀死会话。(ctrl+ C)。  可以看到会话的通信日志类型 = 结束

所有者： pmak