Resumen
El propósito de este documento es documentar las diferentes entradas que se pueden presentar dentro del campo de aplicación, y lo que significan.
Incompleta en el campo de aplicación
Incompleto significa que el protocolo de enlace TCP de tres vías no se completó o el protocolo de enlace TCP de tres vías se completó, pero no hubo datos después del apretón de mano para identificar la aplicación. En otras palabras que se observa el tráfico no es realmente una aplicación.
Por ejemplo, si un cliente envía un servidor un syn y el equipo de Palo Alto Networks crea una sesión para syn, pero el servidor no envía un SYN ACK al cliente, luego que la sesión es incompleta.
Datos suficientes en el campo de aplicación
Datos insuficientes: no hay suficientes datos para identificar la aplicación. Así por ejemplo, si el protocolo TCP de tres vías completa y allí fue un paquete de datos después del apretón de manos, pero que un paquete de datos no fue suficiente para que coincida con cualquiera de nuestras firmas, entonces verá datos suficientes en el campo de aplicación del registro de tráfico de usuario.
desconocido-tcp
Desconocido-tcp significa el firewall había capturado el handshake TCP de tres vías, pero la aplicación no fue identificada. Esto puede ser debido al uso de una aplicación personalizada para que el firewall no tiene firmas.
desconocido-udp
Desconocido-udp consiste en tráfico udp desconocido.
desconocido-p2p
Desconocido-p2p coincide con heurística genérica de P2P.
No procede
No aplicable significa que el dispositivo palo alto ha recibido datos que se descartarán porque no se permite el puerto o servicio en el que está entrando el tráfico, o no hay ninguna regla o Directiva que permita ese puerto o servicio.
Por ejemplo, si sólo hubiera una regla en el dispositivo palo alto y esa regla permitiera la aplicación de la navegación web sólo en el puerto/servicio 80, y el tráfico (navegación web o cualquier otra aplicación) se envía al dispositivo palo alto en cualquier otro puerto/servicio además de 80 , entonces el tráfico se descarta o se cae y verá sesiones con "no aplicable" en el campo de aplicación.
Propietario: swhyte