Vue d’ensemble
Ce document vise à documenter les différentes entrées qui peuvent apparaître à l’intérieur du champ d’Application, et ce qu’ils signifient.
Incomplète dans le champ d’application
Incomplet signifie que soit la poignée de main TCP à trois voies n'a pas terminé ou la poignée de main TCP à trois voies a terminé, mais il n'y avait pas de données après la poignée de main pour identifier l'application. En d’autres termes que le trafic étant considéré n’est pas vraiment une demande.
Par exemple, si un client envoie un serveur syn et l’appareil de Palo Alto Networks crée une session pour que syn, mais le serveur n’envoie jamais un SYN ACK au client, alors que la session est incomplète.
Pas suffisamment de données dans le champ d’application
Données insuffisantes ne : pas assez de données pour identifier l’application. Ainsi, par exemple, si la négociation à trois voies TCP menée à bien et il y avait un paquet de données après la poignée de main, mais qu’un paquet de données n’a pas suffi à correspond à aucun de nos signatures, puis utilisateur verra pas suffisamment de données dans le champ d’application du journal de trafic.
inconnu-tcp
Inconnu-tcp signifie le pare-feu capturé la négociation à trois voies TCP, mais l’application n’a pas été identifiée. Cela peut être dû à l’utilisation d’une application personnalisée pour laquelle le pare-feu n’a pas de signatures.
inconnu-udp
Inconnu-udp comprend le trafic udp inconnu.
inconnu-p2p
Inconnu-p2p matches générique P2P heuristique.
Non-applicable
Non-applicable signifie que le dispositif de Palo Alto a reçu des données qui seront rejetées parce que le port ou le service que le trafic est à venir sur n'est pas autorisé, ou il n'y a aucune règle ou politique autorisant ce port ou service.
Par exemple, S'il n'y avait qu'une seule règle sur le dispositif de Palo Alto et cette règle a permis l'application de la navigation sur le Web uniquement sur le port/Service 80, et le trafic (navigation sur le Web ou toute autre application) est envoyé à l'Appareil Palo Alto sur tout autre port/service en plus 80 , le trafic est rejeté ou supprimé et vous verrez des sessions avec "non-applicable" dans le champ application.
propriétaire : swhyte