Der SMB-Verkehr wird blockiert und das Windows Explorer-Fenster hängt beim Zugriff auf einen gemeinsamen Ordner
Resolution
Problem
Server Message Block (SMB) der Traffic wird blockiert und das Windows Explorer-Fenster hängt beim Zugriff auf einen gemeinsamen Ordner.
Ursache
Dies kann passieren, wenn es ein Datei Sperr Profil gibt, mit einer blockaktion, die in einer Sicherheitsregel verwendet wird, die mit dieser Sitzung übereinstimmt.
Details
Im Rahmen der Sicherheitsrichtlinien > Aktionen, wenn eine Sitzung durch die Palo Alto Networks Firewall geht und mit einer bestimmten allow-Richtlinie übereinstimmt, nach den definierten Kriterien, wird die in der Politik definierte Aktion getroffen.
Im folgenden Beispiel ist die sicherheitspolitische Regel, die abgestimmt wird, "ALLOW_ALL", die ein Profil für die Dateisperrung hat.
Das Datei Sperr Profil blockiert alle PE-Dateien (einschließlich. exe,. msi), jede Datei in dieser Sitzung, die dem Dateityp entspricht, wird die Sitzung in den Ablage Zustand bringen.
Sobald ein Benutzer den geteilten Ordner öffnet, der eine. exe-Datei darin hat, wird diese sitzungsöffnung in den Ablage Zustand gehen und keine anderen Dateien können sich zwischen den Rechnern bewegen.
> Session alle Filter Destination 10.193.17.10
--------------------------------------------------------------------------------
ID Anwendung State Art Flagge Src [Sport] / Zone/Proto (übersetzte IP[Port])
VSys Dst [Dport] / Zone (übersetzt von IP[Port])
--------------------------------------------------------------------------------
152568 ms-DS-SMB DISCARD Flow NS 192.168.8.136 [49158]/Trust-L3/6 (10.193.17.8 [32047])
vsys1 10.193.17.10 [445]/Untrust-L3 (10.193.17.10 [445])
Sehen Sie sich das folgende Beispiel an, die Sitzung wird auf den Zustand der Sicherheitspolitik eingestellt:
> Session ID 152568
Session 152568
C2S fließen:
Quelle: 192.168.8.136 [Trust-L3]
DST: 10.193.17.10
Proto: 6
Sport: 49158 dport: 445
Zustand: INIT Typ: FLOW
SRC-Benutzer: unbekannt
DST-Benutzer: unbekannt
S2C Durchfluss:
Quelle: 10.193.17.10 [Untrust-L3]
DST: 10.193.17.8
Proto: 6
Sport: 445 dport: 32047
Zustand: INIT Typ: FLOW
SRC-Benutzer: unbekannt
DST-Benutzer: unbekannt
Startzeit: Do Apr 17 17:12:56 2014
Timeout: 90 sec
Gesamtzahl der Byte (C2S): 44292
Gesamtzahl der Byte (S2C): 50073
layer7 Paket Zählung (C2S): 182
layer7 Paket Zählung (S2C): 176
VSys: vsys1
Anwendung: ms-DS-SMB
Regel: ALLOW_ALL
Sitzung am Ende angemeldet sein: wahr
Sitzung im Sitzung Ager: False
Sitzung von HA Peer synchronisiert: False
Adresse/Port Übersetzung: Quelle + Ziel
NAT-rule: NAT_all_inside_to_out (vsys1)
Layer7-Verarbeitung: abgeschlossen
URL-Filterung aktiviert: wahr
URL-Kategorie : jede
Sitzung über Syn-Cookies: False
Sitzung beendet auf Host: False
Sitzung Tunnel durchquert: False
Captive Portal Sitzung: False
Eindringen-Schnittstelle: Ethernet1/2
Egress-Schnittstelle: Ethernet1/1
Sitzung-QoS-Regel: N/A (Klasse 4)
Tracker Stage Firewall: Minderung Block CONT URL
Sobald der Ordner geöffnet ist, wird die SMB-Sitzung in den Ablage Zustand gehen. Wenn der gleiche Ordner. txt-Dateien hat, und wenn Sie versuchen, Sie zu kopieren, wird er scheitern, weil die SMB-Sitzung bereits verworfen wird. Dies wird auch dann geschehen, wenn es keine Sperr Politik für die. txt-Dateien gibt.
Der Benutzer wird dies erleben, wenn seine Windows Explorer-Anwendung hängt und keine Ergebnisse zurückgibt, nachdem der Share-Ordner geöffnet wurde.
Wie unten gezeigt, bestätigen die Global Counters auch diese Informationen:
> zeigen Zähler globale Filter Paketfilter ja Delta ja
Globale Zähler:
Verstrichene Zeit seit der letzten Probenahme: 58,678 Sekunden
Name Wert schwere Kategorie Aspekt Beschreibung
--------------------------------------------------------------------------------
pkt_recv 1511 25 Info-Paket pktproc-Pakete erhalten
pkt_sent 349 5 Info Paket pktproc Pakete übertragen
session_allocated 2 0 Info-Session Resource Sessions zugeordnet
session_installed 2 0 Info Session Resource Sessions installiert
session_discard 4 0 Info-Session-Ressourcen Sitzung, die durch sicherheitspolitische Überprüfung abgelegt werden soll
flow_fwd_mtu_exceeded 21 0 info-Flow-Forward-Pakete übertroffen MTU
flow_ipfrag_frag 42 0 info Flow ipfrag IP-Fragmente übertragen
flow_host_pkt_xmt 1248 21 Info Flow Mgmt Pakete, die an die Steuerebene übertragen werden
flow_host_vardata_rate_limit_ok 1227 20 Info-Flow Mgmt-Host-VARDATA nicht gesendet: Rate Limit OK
appid_ident_by_dport 1 0 info AppID pktproc-Anwendung, die von L4 dport identifiziert wurde
appid_proc 2 0 info AppID pktproc die Anzahl der Pakete, die durch die Anwendungs Kennzeichnung verarbeitet werden
appid_use_dfa_1 2 0 info AppID pktproc die Anzahl der Pakete mit der zweiten DFA-Tabelle
appid_skip_terminal 2 0 info AppID pktproc das DFA-Ergebnis ist Terminal
nat_dynamic_port_xlat 2 0 info NAT Ressource die Gesamtzahl der dynamic_ip_port NAT Translate genannt
dfa_sw 326 5 Info DFA pktproc die Gesamtzahl der DFA-Übereinstimmung mit Software
ctd_run_pattern_match_failure 2 0 info CTD pktproc Lauf Muster-Match-Fehler
aho_sw 507 8 Info Aho pktproc die Gesamtnutzung der Software für Aho
ctd_appid_reassign 5 0 info CTD pktproc AppID wurde geändert
ctd_pkt_slowpath 318 5 Info CTD pktproc Pakete, die von slowpath verarbeitet werden
ctd_detector_discard 2 0 info CTD pktproc Session von Detektor verworfen
log_pkt_diag_us 23585 401 Info Log System Time (US) ausgeben Sie das Schreiben von Packet-Diag Logs
--------------------------------------------------------------------------------
Gesamt Zähler angezeigt: 21
--------------------------------------------------------------------------------
Lösung
Dies wird aufgrund der Beschaffenheit des SMB-Verhaltens erwartet. Wenn es eine Sicherheitsregel mit einem Block Profil gibt, das an Sie für SMB-Sitzungen angehängt wird, ist es am besten, Dateitypen, die blockiert werden sollen, nicht mit einer Richtlinie mit erlaubten Dateien zu mischen.
Besitzer: Ialeksov